实验1 网络设备的基本操作
进入系统视图
<H3C>system-view
[H3C]
帮助特性和补全键
[H3C]sys ?
sysname
[H3C]sysname ?
TEXT Host name(1 to 64 characters)
智能补全功能:<Tab>
更改系统名称
[H3C]sysname YourName
[YouerName]
更改系统时间
[H3C]display clock //显示日期时间
[quit]display clock
10:10:11 UTC Thu 10/01/2015 //可见时间已经改变
显示系统运行配置
<H3C>display current-configuration
显示保存的配置
<YourName>display saved-configuration
<YourName>
保存配置
<YourName>save
the current configuration will be written to the device.Are you sure?[Y/N]
选择Y,确定将当前运行配置写进设备存储介质中。
Please input the file name(*.cfg)[cfa0:/startup.cfg]
(To leave the existing filename unchanged,press the enter key):
删除和清空配置
[Youername]undo sysname
[H3C]
当需要恢复到出厂默认配置时,首先在用户视图下执行reset saved-configuration命令用于清空保存配置(只是清除保存配置,当前配置还是存在的),再执行reboot重启整机后,配置恢复到出厂默认配置。
<H3C>reset saved-configuration
<YourName>reboot
显示文件目录
pwd命令显示当前路径
dir命令显示当前目录下所有文件列表
显示文本文件内容
more startup.cfg
改变当前工作路径
使用cd命令改变当前的工作路径。
进入logfile子目录。
<H3C>cd logfile/
<H3C>dir
Directory of cfa0:/logfile
The directory is empty.
252164 KB total (191538 KB free)
退出当前目录。
<H3C>cd ..
<H3C>pwd
文件删除
用save命令保存一个配置文件并命名为test.cfg,再使用delete删除该配置文件。
虽然选择了Y删除该文件,但是在删除该文件前后,为什么CF卡的可用内存空间反而没有太大变化?
那是因为使用delete命令删除文件时,创建了回收站文件夹,添加的一些标记会占用存储空间,且被删除的文件仍会被保存在回收站中占用存储空间。如果用户经常使用该命令删除文件,则可能导致设备的存储空间不足。如果要彻底删除回收站中的某个废弃文件,必须在文件的原归属目录下执行reset recycle-bin命令,才可以将回收站中的废弃文件彻底删除,以回收存储空间。
还有另一种方法可以直接删除文件,而不需要经过清空回收站。使用delete /unreserved命令删除某个文件,则该文件将被彻底删除,不能再恢复。其效果等同于执行delete命令之后,在同一个目录下执行了reset recycle-bin命令。
实验三:通过Telnet登录
步骤一:通过Console口配置Telnet用户
<H3C>sys
[H3C]local-user test
New local user added. //创建一个用户
[H3C-luser-manage-test]password simple test //为该用户创建登录时的认证密码,密码为test。这里可用password命令指定密码配置方式。密码有两种配置方式,simple关键字指定以明文方式配置密码,cipher则指定以密文方式配置密码。
[H3C-luser-manage-test]service-type telnet
[H3C-luser-manage-test]authorization-attribute user-role level-0
[H3C-luser-manage-test]quit
[H3C]
步骤二:配置super口令
super命令用来将用户从当前级别切换到指定级别。设置将用户切换到level-15的密码为H3C,密码使用明文配置。
[H3C]super password role level-15 simple H3C
步骤三:配置登录欢迎信息
设置登录验证时的欢迎信息为“Welcome to H3C world!”."%"为text的结束字符,在显示文本后输入“%”表示文本结束,退出header命令。
[H3C]header login
please input banner content,and quit with the character '%'.
Welcome to H3C world!%
[H3C]
步骤四:配置对Telnet用户使用缺省的本地认证
进入VTY 0~63用户线,系统支持64个VTY用户同时访问。VTY口属于逻辑终端线用于对设备进行Telnet或SSH访问。
[H3C]line vty 0 63
路由器可以采用本地或第三方服务器来对用户进行认证,这里使用本地认证授权方式(认证模式为scheme)。
[H3C-line-vty0-63]authentication-mode scheme
步骤五:进入接口视图,配置以太口和PC网卡地址
使用interface命令进入以太接口视图,使用命令ip address配置路由器以太口地址:
[H3C]interface g0/0
[H3C-gigabitEthernet0/1]ip add 192.168.0.1 255.255.255.0
[H3C-gigabitEthernet0/1]
同时为PC设置一个与路由器接口相同网段的IP地址192.168.0.10/24
配置完PC后,就能看到路由器接口GigabitEthernet0/1自动UP的信息。
步骤六:打开Telnet服务
[H3C]telnet server enable
实验任务四:使用FTP上传下载系统文件
步骤一:通过Console口配置FTP用户
[H3C]local-user test_ftp
New local user added.
[H3C-luser-manage-test_ftp]password simple test_ftp
设置该用户使用FTP服务类型,并设置该用户的用户橘色为level-15
[H3C-luser-manage-test_ftp]service-type ftp
[H3C-luser-manage-test_ftp]authorization-attribute user-role level-15
步骤二:打开FTP服务
[H3C]ftp server enable
步骤三:使用FTP登录
步骤四:使用FTP上传文件
使用put命令上传系统文件。
步骤五:使用FTP下载文件
实验任务五:使用TFTP上传下载文件
使用TFTP下载文件
<H3C>tftp 192.168.0.10 get MUI.txt
使用TFTP上传文件
<H3C>tftp 192.168.0.10 put startup.cft
实验中的命令列表
| 命令 | 描述 |
| system-view | 进入系统视图 |
| sysname | 更改设备名 |
| quit | 退出 |
| clock | 更改时钟配置 |
| display current-configuration | 显示当前配置 |
| display saved-configuration | 显示保存配置 |
| reset saved-configuration | 清空保存配置 |
| pwd | 显示当前目录 |
| dir | 列目录 |
| more | 显示文本文件 |
| cd | 更改当前目录 |
| delete | 删除文件 |
| reset recycle-bin | 清空回收站 |
| local-user | 配置本地用户 |
| super password role | 配置super口令 |
| header login | 配置login欢迎信息 |
| line vty | 进入用户线 |
| authentication-mode | 设置认证模式 |
| telnet server enable | 启动Telnet |
| save | 保存配置 |
| reboot | 重启系统 |
| ftp server enable | 启动FTP Server |
| tftp get | 使用TFTP |
| tftp put | 使用TFTP |
实验2 网络设备基本连接与调试
实验任务一:搭建基本连接环境
步骤一:完成PC、交换机、路由器互连
步骤二:配置IP地址
RTA的配置如下:
[H3C]sysname RTA
[RTA]interface GigabitEthernet 0/1
[RTA-GigabitEthernet0/1]ip add 192.168.0.1 24
[RTA]interface Serial 1/0
[RTA-Serial1/0]ip address 192.168.1.1 30
RTB的配置如下:
[H3C]sysname RTB
[RTB]interface GigabitEthernet 0/1
[RTB-GigabitEthernet0/1]ip add 192.168.2.1 24
[RTA]interface Serial 1/0
[RTA-Serial1/0]ip address 192.168.1.2 30
实验任务二:使用ping命令检查连通性
步骤一:RTA ping RTB
RTA收到了ICMP的Echo Reply报文,RTA可以ping通RTB。反之亦然。
查看路由器ping命令携带的参数:
<RTA>ping ?
-a Specifty the source IP address
-c Specify the number of echo requests
-f Specify packets not to be fragmented
-h Specify the TTL value
-i Specify an outgoing interface
-m Specify the interval for sending echo requests
-n Numeric output only. No attempt will be made to lookup host addresses for symbolic names
-p No more than 8 "pad" hexadecimal characters to fill out the sent packet.For example,-p f2 will fill the sent packet with 000000f2 repeatedly
-q Display only summary
-r Record route.Include the RECORD_ROUTE option tin the ECHO_REQUEST packets and display the route
-s Specify the payload length
-t Specify the wait time for each reply
-topology Specify a topology
-tos Specify the TOS value
-v Display the received ICMP packets other than ECHO-RESPONSE packets
-***-instance Specify a ××× instance
STRING<1-253>IP address or hostname of remote system
ip IP information
ipv6 IPv6 information
步骤二:PCA ping RTA
进入PCA命令行串口,ping RTA的G0/1口和S1/0口地址
步骤三:PCA ping RTB
进入PCA命令行窗口,ping RTB的接口S1/0的IP地址。
步骤四:PCA ping PCB
进入PCA命令行窗口,ping PCB的IP地址。
结果显示,PCA无法ping通PCB的IP地址。让我们一步步排查为什么ping不通。
首先,PCA ping RTA的G0/1端口和S1/0,结果显示可以ping通。
其次,PCA ping RTB的S1/0端口,结果显示无法ping通。
最后,PCA ping PCB,结果显示无法ping通。
结果证明,由PCA发送给RTB和PCB的ICMP请求报文(Echo Request),没有收到回应报文(Echo Reply)。
在RTA上使用display ip routing-table命令查看一下RTA的路由表:
在路由表Destination项中,没有看到192.168.2.0表项,所以RTA当收到PCA发送给PCB的ping报文后,不知道如何转发,会丢弃报文。结果就是PCA无法ping通PCB。
但是在路由表中,有具体路由表项192.168.1.2,为什么PCA还是无法ping通RTB的串口S1/0呢?因为在RTB的路由表中没有192.168.0.0表项,所以虽然RTA将PCA ping请求报文发送给了RTB,但是RTB不知道如何转发ping的回应报文给PCA。所以,PCA也无法ping通RTB的串口S1/0。
步骤五:配置静态路由
RTA上配置
[RTA]ip route-static 192.168.2.0 255.255.255.0 192.168.1.2
RTB上配置
[RTB]ip route-static 192.168.0.0 255.255.255.0 192.168.1.1
至此,均可互通。
实验任务三:使用tracert命令检查连通性
实验任务四:使用debugging命令查看调试信息
步骤一:开启RTB上执行命令terminal monitor用于开启终端对系统信息的监视功能,执行命令terminal debugging用于开启终端对调试信息的显示功能。
<RTB>terminal monitor
The current terminal is enabled to display logs.
<RTB>terminal debugging
The current terminal is enabled to display debugging logs.
步骤二:打开RTB上ICMP的调试开关
在RTB上执行命令debugging ip icmp用于开启系统ICMP模块的调试功能。
<RTB>debugging ip icmp
步骤三:在RTA上ping RTB,观察RTB调试信息输出
在RTA上ping RTB的串口地址,连续发送10个ping报文。
<RTA>ping -c 10 192.168.1.2
在RTB上观察debugging信息输出…………
步骤四:关闭调试开关
调试结束后,使用undo debugging all命令,关闭所有模块的调试开关。
实验中的命令列表
命令列表
| 命令 | 描述 |
| ip address | 配置IP地址 |
| ip route-static | 配置静态路由 |
| ping | 检测连通性 |
| tracert | 探测转发路径 |
| terminal monitor | 开启终端系统信道的监视功能 |
| terminal debugging | 开启终端对调试信息的显示功能 |
| debugging | 打开系统指定模块调试开关 |
实验3 配置VLAN
实验组网图
实验任务一:配置Access链路端口
步骤一:建立物理连接
步骤二:观察缺省VLAN
在交换机上查看VLAN,如下所示:
[SWA]display vlan
…………
从以上输出可知,交换机上的缺省VLAN是VLAN 1,所有的端口处于VLAN 1中;端口PVID是1,且是Access链路端口类型。
步骤三:配置VLAN并添加端口
分别在SWA和SWB上创建VLAN 2,并将PCA和PCC所连接的端口 G0/1添加到VLAN2中。
步骤四:测试VLAN间的隔离
我们在PC上配置IP地址,通过ping命令来测试处于不同VLAN间的PC能否互通。
表3-2 IP地址列表
| 设备名称 | IP地址 | 网关 |
| PCA | 172.16.0.1/24-- | -- |
| PCB | 172.16.0.2/24 | -- |
| PCC | 172.16.0.3/24 | -- |
| PCD | 172.16.0.4/24 | -- |
实验任务二:配置Trunk链路端口
步骤一:跨交换机VLAN互通测试
PCA上用ping命令来测试与PCC能否互通。 其结果是不能
PCA与PCC之间不能互通。因为交换机之间的端口G1/0/24是Access链路端口,且属于VLAN 1,不允许VLAN 2的数据帧通过。
要想让VLAN 2数据帧通过端口G1/0/24,需要设置端口为Trunk链路端口。
步骤二:配置Trunk链路端口
配置SWA:
[SWA]interface g1/0/24
[SWA-GigabitEthernet1/0/24]port link-type trunk
[SWA-GigabitEthernet1/0/24]port trunk permit vlan all
配置SWB:
[SWB]interface GigabitEthernet 1/0/24
[SWB-GigabitEthernet1/0/24]port link-type trunk
[SWB-GigabitEthernet1/0/24]port trunk permit vlan all
实验中的命令列表
表3-3 VLAN实验命令列表
| 命令 | 描述 |
| display vlan | 显示交换机上的VLAN信息 |
| display interface [interface-type [interface-number]] | 显示指定接口当前的运行状态和相关信息 |
| display vlan vlan-id | 显示交换机上的指定VLAN信息 |
| vlan vlan-id | 创建VLAN并进入VLAN视图 |
| port interface-list | 向VLAN中添加一个或一组Access端口 |
| port link-type{access | hybrid | trunk} | 设置端口的链路类型 |
port trunk permit vlan {vlan-id-list | all} | 允许指定的VLAN通过当前Trunk端口 |
实验4 配置生成树
实验组网图
实验过程
实验任务一:STP基本配置
本实验通过在交换机上配置STP根桥及边缘端口,来使读者掌握STP根桥及边缘端口的配置命令和查看方法。然后通过观察端口迁移,来加深了解RSTP/MSTP协议的快速收敛特性。
步骤一:建立物理连接
可能会用到以下命令:
<SWA>display version
<SWA>reset saved-configuration
<SWA>reboot
注意:如果建立物理连接后,交换机面板上的端口LED不停闪烁,且Console口对配置命令无响应,则很可能是广播风暴导致。如有此情况,请断开交换机的线缆,配置完成后再连接。
步骤二:配置STP
本实验任务是配置STP根桥及边缘端口。在系统视图下启用STP,并设置SWA的优先级为0,以使SWA为根桥;并且配置连接PC的端口为边缘端口。
配置SWA:
[SWA]stp global enable
[SWA]stp priority 0
[SWA]interface G1/0/1
[SWA-GigabitEthernet1/0/1]stp edged-port
配置SWB:
[SWB]stp global enable
[SWB]stp priority 4096
[SWB]interface GigabitEthernet 1/0/1
{SWB-GigabitEthernet1/0/1}stp edged-port
步骤三:查看STP信息
分别在SWA和SWB上查看STP信息。
[SWA]display stp
.......
步骤四:STP冗余特性验证
STP不但能够阻断冗余链路,并且能够在活动链路断开时,通过激活被阻断的冗余链路而恢复网络的连通。
表4-2 IP地址列表
| 设备名称 | IP地址 | 网关 |
| PCA | 172.16.0.1/24 | -- |
| PCB | 172.16.0.2/24 | -- |
配置完成后,在PCA上执行命令“Ping 172.16.0.2 -t”,以适PCA向PCB不间断发送IP报文。
在SWB上查看STP端口状态,确定交换机间哪一个端口(本例中是G1/0/23)处于转发状态。将交换机之间处于STP转发状态的端口上电缆断开,观察PCA上发送的ICMP报文有无丢失。正常情况下,应该没有报文丢失或仅有一个报文丢失。
再次在SWB上查看STP端口状态,看端口状态是否有变化。
可以看到,原来处于阻塞状态的端口G1/0/24迁移到了转发状态。
无报文丢失说明目前STP的收敛速度很快。其实,这就是RSTP/MSTP相对于STP的改进之一。缺省情况下,交换机运行MSTP,SWB上的两个端口中有一个是根端口,另外一个是备份根端口。当原根端口断开时,备份根端口快速切换到转发状态。
注意:如果在PCA上Ping 172.16.0.2 -t时出现“Request timed out”,表明PCB无回应,需要检查PCB是否开启了防火墙或交换机配置是否有问题。
步骤五:端口状态迁移查看
在交换机SWA上断开端口G1/0/1的电缆,再重新连接,并且在SWA上查看交换机输出信息。如下:
……
可以看到,端口在连接电缆后马上称为转发状态。这是因为端口被配置成边缘端口,无须延迟而进入转发状态。这也是RSTP/MSTP相对于STP的改进之一。
在前面实验中,端口状态迁移速度很快。为了清晰观察端口状态,我们在连接PC的端口G1/0/1上取消边缘端口配置,
实验中的命令列表
| 命令 | 描述 |
| stp global enable | 开启或关闭全局或端口的STP特性 |
| stp mode {mstp | pvst | rstp | stp} | 设置MSTP的工作模式 |
| stp [instance instance-list | vlan vlan-id-list] priority priority | 配置设备的优先级 |
| stp edged-port | 将当前的以太网端口配置为边缘端口 |
| display stp [instance instance-list | vlan vlan-id-list] [interface interface-list | slot slot-number ] [brief] | 显示生成树的状态信息与统计信息 |
实验5 交换机端口安全技术
实验组网图
实验过程
实验任务一:配置802.1X
本实验通过在交换机上配置802.1X协议,使接入交换机的PC经过认证后才能访问网络资源。
步骤一:建立物理连接
步骤二:配置802.1X协议
[SWA]dot1x
[SWA-GigabitEhternet1/0/1]dot1x
[SWA]local-user abcde class network
[SWA-luser-network-abcde]service-type lan-access
[SWA-luser-h3c]password simple 12345
步骤三:802.1X验证
表5-2 IP地址列表
| 设备名称 | IP地址 | 网关 |
| PCA | 172.16.0.1/24 | -- |
| PCB | 172.16.0.2/24 | -- |
实验任务二:配置端口隔离
本实验通过在交换机上配置端口隔离,使处于隔离组内的两台PC不能互相访问,但PC能够访问上行端口的PC。
步骤一:建立物理连接
步骤二:配置端口隔离
在交换机上启用端口隔离,设置端口GigabitEthernet1/0/1、GigabitEthernet1/0/2为隔离组的普通端口,端口GigabitEthernet1/0/24为隔离组的上行端口。
配置SWA:
[SWA]port-isolate group 1
[SWA-GigabitEhternet1/0/1]port-isolate enable group 1
[SWA]interface GigabitEthernet 1/0/2
[SWA-GigabitEhternet1/0/2]port-isolate enable group 1
步骤三:端口隔离验证
表5-3 IP地址列表
| 设备名称 | IP地址 | 网关 |
| PCA | 172.16.0.1/24 | -- |
| PCB | 172.16.0.2/24 | -- |
表5-4 实验命令列表
| 命令 | 描述 |
| dot1x | 开启全局/端口的802.1X特性 |
| port-isolate group | 创建隔离组 |
| port-islate enable group-number | 将制定端口加入到隔离组中作为隔离组的普通端口 |
| display port-isolate group | 显示端口隔离组信息 |
实验6 配置链路聚合
实验过程
实验任务一:交换机静态链路聚合配置
步骤一:建立物理连接
步骤二:配置静态聚合
链路聚合可以分为静态聚合和动态聚合,本实验任务是验证静态聚合。
配置SWA:
[SWA]interface bridge-aggregation 1
[SWA]interface GigabitEthernet 1/0/23
[SWA-GigabitEthernet1/0/23]port link-aggregation group 1
[SWA]interface GigabitEthernet 1/0/24
[SWA-GigabitEthernet1/0/24]port link-aggregation group 1
配置SWB:
[SWB]interface bridge-aggregation 1
[SWB]interface GigabitEthernet 1/0/23
[SWB-GigabitEthernet1/0/23]port link-aggregation group 1
[SWB]interface GigabitEthernet 1/0/24
[SWB-GigabitEthernet1/0/24]port link-aggregation gruop 1
步骤三:查看聚合组信息
[SWA]display link-aggregation summary
……
从信息表明,交换机上有一个链路聚合端口,其ID是1,组中包含了2个Selected状态端口,并工作在负载分担模式下。
步骤四:链路聚合验证
表6-2 IP地址列表
| 设备名称 | IP地址 | 网关 |
| PCA | 172.16.0.1/24 | -- |
| PCB | 172.16.0.2/24 | -- |
无报文丢失说明聚合组中的两个端口之间是互相备份的。当一个端口不能钻发数据流时,系统将数据流从另外一个端口发送出去。
实验中的命令列表
| 命令 | 描述 |
| interface bridge-aggregation interface-number | 创建聚合端口 |
| port link-aggregation group number | 将以太网端口加入聚合组中 |
| display link-aggregation summary | 查看链路聚合的概要信息 |
实验7 ARP
实验过程
步骤一:建立物理连接
步骤二:配置PC及路由器的IP地址
| 设备名称 | 接口 | IP地址 |
| PCA | -- | 172.16.0.1/24 |
| PCB | -- | 172.16.1.1/24 |
| RTA | G0/0 | 172.16.0.254/24 |
| RTA | G0/1 | 172.16.1.254/24 |
步骤三:查看ARP信息
表7-3 IP地址与MAC地址对应关系列表
| 设备名称 | 接口 | IP地址 | MAC地址 |
| PCA | -- | 172.16.0.1/24 | A4-5D-36-59-26-4F |
| PCB | -- | 172.16.1.1/24 | 44-37-E6-AB-7D-F0 |
| RTA | G0/0 | 172.16.0.254/24 | 70ba-ef80-0958 |
| RTA | G0/1 | 172.16.1.254/24 | 70ba-ef80-0959 |
实验任务二:ARP代理配置
步骤一:建立物理连接
步骤二:配置PC及路由器的IP地址
步骤三:ARP代理配置
步骤四:查看ARP信息
实验中的命令李诶报
表7-5 实验命令列表
| 命令 | 描述 |
| proxy-arp enable | 开启端口的ARP代理特性 |
| display arp all | 显示ARP表项 |
实验8 DHCP
实验组网图
实验过程
实验任务一:PCA直接通过RTA获得IP地址
步骤一:建立物理连接
步骤二:在路由器接口配置IP地址
表8-2 IP地址列表
| 设备名称 | 接口 | IP地址 | 网关 |
| RTA | G0/0 | 172.16.0.1/24 | -- |
配置RTA
[RTA-GigabitEthernet0/0]ip add 172.16.0.1 24
步骤三:配置RTA作为DHCP服务器
配置RTA:
[RTA]dhcp enable
[RTA]dhcp server forbidden-ip 172.16.0.1
[RTA]dhcp server ip-pool1
[RTA-dhcp-pool-pool1]network 172.16.0.0 mask 255.255.255.0
[RTA-dhcp-pool-pool1]gateway-list 172.16.0.1
配置完成后,可以用以下命令来查看RTA上DHCP地址池相关配置:
[RTA]display dhcp server pool
pool name:pool1
Network:172.16.0.0 mask 255.255.255.0
expired 1 0 0 0
gateway-list 172.16.0.1
#
步骤四:PCA通过DHCP服务器获得IP地址
步骤五:查看DHCP服务器相关信息
<RTA>display dhcp server statistics
……
从以上输出可以得知,目前路由器上有一个地址池,有一个IP被自动分配给了客户端。
在RTA上用display dhcp server free-ip来查看DHCP服务器可供分配的IP地址资源:
[RTA]display dhcp server free-ip
pool name:pool1
Network:172.16.0.0 mask 255.255.255.0
IP ranges from 172.16.0.3 to 172.16.0.255
实验任务二:PCA通过DHCP中继方式获得IP地址
本实验通过配置DHCP客户机从处于不同子网的DHCP服务器获得IP地址、网关等信息。
步骤一:建立物理连接
步骤二:在设备上配置IP地址及路由
表8-3 设备IP地址列表
| 设备名称 | 物理接口 | IP地址 | VLAN虚接口 |
| SWA | G1/0/1 | 172.16.1.1/24 | Vlan-interface1 |
| G1/0/2 | 172.16.9.1/24 | Vlan-interface2 | |
| RTA | G0/0 | 172.16.0.2/24 | -- |
按表8-3所示在交换机及路由器上配置IP地址
在SWA上配置VLAN虚接口及IP:
[SWA]vlan 2
[SWA]interface GigabitEthernet 1/0/2
[SWA-GigabitEthernet1/0/2]port access vlan 2
[SWA]interface Vlan-interface 1
[SWA-Vlan-interface1]ip address 172.16.1.1 24
[SWA]interface Vlan-interface 2
[SWA-Vlan-interface2]ip address 172.16.0.1 24
在RTA上配置接口IP及静态路由:
[RTA-GigabitEthernet0/0]ip address 172.16.0.2 24
[RTA]ip route-static 172.16.1.0 24 172.16.0.1
步骤三:在RTA上配置DHCP服务器及在SWA上配置DHCP中继
配置RTA:
[RTA]dhcp enable
[RTA]dhcp server forbidden-ip 172.16.1.1
[RTA]dhcp server ip-pool pool1
[RTA-dhcp-pool-pool1]network 172.16.1.0 mask 255.255.255.0
[RTA-dhcp-pool-pool1]gateway-list 172.16.1.1
配置SWA:
[SWA]dhcp enable
[SWA]interface Vlan-interface 1
[SWA-Vlan-interface1]dhcp select relay
[SWA-Vlan-interface1]dhcp relay server-address 172.16.0.2
步骤四:PCA通过DHCP中继获取IP地址
步骤五:查看DHCP中继相关信息
<SWA>display dhcp relay server-address
实验中的命令列表
命令列表
| 命令 | 描述 |
| dhcp enable | 使能DHCP服务 |
| network network-address [mask-length | mask mask] | 配置动态分配的IP地址范围 |
| gateway-list ip-address | 配置为DHCP客户端分配的网关地址 |
| dhcp server forbidden-ip low-ip-address [high-ip-address] | 配置DHCP地址池中不参与自动分配的IP地址 |
| dhcp server ip-pool pool-name | 创建DHCP地址池并进入DHCP地址池视图 |
| dhcp relay server-group group-id ip ip-address | 配置DHCP服务器组及组中DHCP服务器的IP地址 |
| dhcp select relay | 配置接口工作在DHCP中继模式 |
| dhcp relay server-address ip-address | 配置在DHCP中继上指定DHCP服务器的地址 |
| display dhcp server free-ip | 显示DHCP地址池的可用地址信息 |
| display dhcp server forbidden-ip | 显示DHCP地址池中不参与自动分配的IP地址 |
| display dhcp server statistics | 显示DHCP服务器的统计信息 |
| display dhcp relay server-address [interface interface-type interface-number] | 显示工作在DHCP中继模式中的接口上指定的DHCP服务器地址信息 |
| display dhcp relay statistics [interface interface-type interface-number] | 显示DHCP中继的相关报文统计信息 |
实验9 IPv6
实验组网图
实验过程
实验任务一:IPv6地址配置及查看
本实验通过让学员在路由器上配置IPv6地址,然后用命令行观察IPv6邻居表项,再用命令行来测试IPv6邻居的可达性,从而让学员建立对IPv6地址的认知,建立起对邻居发现协议功能的初步了解。
步骤一:建立物理连接
步骤二:配置接口自动生成链路本地地址及测试可达性,查看邻居信息
配置RTA:
#配置接口G0/0自动生成本地地址。
[RTA]interface GigabitEthernet0/0
[RTA-GigabitEthernet0/0]ipv6 address auto link-local
配置RTB:
#配置接口G0/0自动生成链路本地地址。
[RTB]interface GigabitEthernet0/0
[RTB-GigabitEthernet0/0]ipv6 address auto link-local
以上配置完成后,路由器会自动生成前缀为FE80::的链路本地地址。用命令来查看生成的链路本地地址,记录下来并测试可达性。
[RTA]display ipv6 interface gigabitEthernet0/0 brief
[RTB]display ipv6 interface GigabitEthernet0/0 brief
同时,通过命令来查看路由器的邻居信息。
[RTA]display ipv6 neighbors all
可以看到,RTA的IPv6邻居就是RTB,是动态(Dynamic)方式来获得的。路由器的IPv6链路本地地址是符合EUI-64规范的地址。
步骤三:配置接口生成全球单播地址并测试可达性,查看邻居信息
配置RTA:
#在接口G0/0配置全球单播地址3001::1。
[RTA]interface GiabitEthernet0/0
[RTA-GigabitEthernet0/0]ipv6 address 3001::1/64
配置RTB:
#在接口G0/0上配置全球单播地址3001::2。
[RTB]interface GigabitEthernet0/0
[RTB-GigabitEthernet0/0]ipv6 address 3001::2/64
实验中的命令列表
表9-2 IPv6实验命令列表
| 命令 | 命令执行视图 | 描述 |
| ipv6 address {ipv6-address prefix-length | ipv6-prefix/prefix-length} | 接口视图 | 手工配置接口的IPv6全球单播地址 |
| ipv6 address auto link-local | 接口视图 | 配置系统自动为接口生成链路本地地址 |
| display ipv6 interface [interface-type interface-number | brief] | 任意视图 | 显示接口的IPv6信息 |
| ping ipv6 | 任意视图 | 测试对端设备的IPv6 |
实验10 IP路由基础
实验组网图
实验过程
实验任务一:查看路由表
本实验主要是通过在路由器上通过查看路由表,观察路由表中路由项。
步骤一:建立物理连接
步骤二:在路由器上查看路由表
[RTA]display ip routing-table
其中目的地址是127.0.0.0的路由,是路由器的回环地址直连路由。
表10-2 IP地址列表
| 设备名称 | 接口 | IP地址 | 网关 |
| RTA | S3/0 | 192.168.1.1/24 | -- |
| G0/0 | 192.168.0.1/24 | -- | |
| RTB | S3/0 | 192.168.1.2/24 | -- |
| G0/0 | 192.168.2.1/24 | -- | |
| PCA | -- | 192.168.0.2/24 | 192.168.0.1 |
| PCB | -- | 192.168.2.2/24 | 192.168.2.1 |
按表10-2所示在路由器接口上分别配置IP地址。
配置RTA和RTB的各接口IP
实验任务二:静态路由配置
步骤一:在PC配置IP地址
在PCA上测试到网关(192.168.0.1)的可达性,
。
在测试PC之间的可达性。
以上输出信息显示,RTA(192.168.0.1)返回了目的网络不可达的信息给PCA,说明RTA没有到达PCB(192.168.2.2)的路由
在RTA上查看路由表,如下所示:
是因为RTA路由表中没有到PCB所在网段192.168.2.0/24的路由。PCA发出报文到RTA后,RTA就会丢弃并返回不可达信息给PCA。我们可以通过配置静态路由而使网络可达。
步骤二:静态路由配置规划
步骤三:配置静态路由
配置RTA:
[RTA]ip route-static 192.168.2.0 24 192.168.1.2
配置RTB:
[RTB]ip route-stactic 192.168.0.0 24 192.168.1.1
配置完成后,在路由器上查看路由表。
测试PC间可达性,是OK的。
步骤四:路由环路观察
为了认为造成环路,需要在RTA和RTB上分别配置一条缺省路由,下一跳互相指向对方。因为路由器之间是用串口相连的,所以可以配置下一跳为本地接口。
实验中的命令列表
表10-3 IP路由原理实验命令列表
| 命令 | 描述 |
| ip route-static dest-address {mask-length | mask}{interface-type interface-number [next-hop-address] | next-hop-address} | 配置静态路由目的网段(包括子网长度)及下一跳 |
| display ip routing-table ip-address [mask | mask-length] | 显示IP路由表摘要信息或显示匹配某个目的网段或地址的路由 |
| ipconfig | 在Windows系统上查看IP配置 |
实验11 配置RIP
实验组网图
实验过程
实验任务一:配置RIV1
步骤一:建立物理连接
步骤二:在PC和路由器配置IP地址
表11-2 IP地址列表
| 设备名称 | 接口 | IP地址 | 网关 |
| RTA | S3/0 | 192.168.1.1/24 | -- |
| G0/0 | 192.168.0.1/24 | -- | |
| RTB | S3/0 | 192.168.1.2/24 | -- |
| G0/0 | 192.168.2.1/24 | -- | |
| PCA | -- | 192.168.0.2/24 | 192.168.0.1 |
| PCB | -- | 192.168.2.2/24 | 192.168.2.1 |
按表11-2所示在路由器接口上配置IP地址。
配置RTA:
[RTA-g0/0]ip add 192.168.0.1 24
[RTA-S3/0]ip add 192.168.1.1 24
配置RTB:
[RTB-G0/0]ip add 192.168.2.1 24
[RTB-Serial3/0]ip add 192.168.1.2 24
在PC上用Ping命令来测试到网关的可达性。。例如,在PCA上测试到网关(192.168.0.1)的可达性,是OK的。
再测试PC之间的可达性。例如,在PCA上用Ping命令测试到PCB的可达性
PC的网关返回了目的网络不可达的信息。这说明路由器没有路由到达目的地。在路由器上查看路由表。
可以看到,RTA路由表中没有到PCB所在网段192.168.2.0/24的路由。所以当PCA发出报文到RTA后,RTA就丢弃并返回不可到信息给PCA。
步骤三:启用RIP协议
配置RTA:
[RTA]rip
[RTA-rip-1]network 192.168.0.0
[RTA-rip-1]network 192.168.1.0
配置RTB:
[RTB]rip
[RTB-rip-1]network 192.168.1.0
[RTB-rip-1]network 192.168.2.0
可以看到路由表中有到目的网络192.168.2.0/24的路由,这个路由是通过RIP协议学习的。然后再测试PC之间的可达性。
步骤四:查看RIP的运行状态
在RTA上用命令display rip查看:
[RTA]display rip
……
从以上输出信息可知,目前路由器运行的是RIPv1,自动聚合功能是打开的;路由更新周期(Update time)是30秒,network命令所指定的网段是192.168.0.0和192.168.1.0。
打开RIP的debugging,观察RIP收发协议报文的情况。
<RTA>terminal debugging
步骤五:查看水平分割与毒性逆转
在RTA的接口Serial3/0上取消水平分割,观察收发协议报文的情况。
[RTA-Serial3/0]undo rip split-horizon
由以上输出可知,在水平分割功能关闭的情况下,RTA在接口Serial3/0上发送的路由更新包含了路由192.168.0.0、192.168.1.0和192.168.2.0。也就是说,路由器把从接口Serial3/0学到的路由192.168.2.0又从接口发送了出去。这样容易造成路由环路。
另外一种避免环路的方法是毒性逆转。在RTA的接口Serial3/0上启用毒性逆转,再观察收发协议报文的情况。
[RTA-Serial3/0]rip posion-reverse
由以上输出信息可知,启用毒性逆转后,RTA在接口Serial 3/0上发送的路由更新包含了路由192.168.2.0,但度量值为16(无穷大)。相当于显式地告诉RTB,从RTA的接口Serial3/0上不能到达网络192.168.2.0。
步骤六:用silent-interface来控制协议报文发送
配置RTA:
[RTA-rip-1]silent-interface GigabitEthernet 0/0
配置RTB:
[RTB-rip-1]silent-interface GigabitEthernet 0/0
配置完成后,用debugging命令来观察RIP收发协议报文的情况。可以发现,RIP不再从接口GigabitEthernet0/0发送协议报文了。
这种方法的另外一个好处是防止路由泄漏而造成网络安全隐患。
实验任务二:配置RIPv2
步骤一:建立物理连接
步骤二:在PC和路由器上配置IP地址
表11-3 IP地址列表
| 设备名称 | 接口 | IP地址 | 网关 |
| RTA | S3/0 | 192.168.1.1/24 | -- |
| G0/0 | 192.168.0.1/24 | -- | |
| RTB | S3/0 | 192.168.1.2/24 | -- |
| G0/0 | 10.0.0.1/24 | -- | |
| PCA | -- | 192.168.0.2/24 | 192.168.0.1 |
| PCB | -- | 10.0.0.2/24 | 10.0.0.1 |
按表11-3所示在路由器接口上配置IP地址。
配置RTA:
[RTA-GigabitEthernet0/0]ip address 192.168.0.1 24
[RTA-Serial3/0]ip address 192.168.1.1 24
配置RTB:
[RTB-GigabitEhternet0/0]ip address 10.0.0.1 24
[RTB-Serial3/0]ip address 192.168.1.2 24
步骤三:配置RIPv1,观察路由表
配置RTA:
配置RTB:
由上述路由表信息可看到,RTA路由表中通过RIP协议学习到路由10.0.0.0/8,但实际上在RTB的网络是10.0.0.0/24,RTA并没有正确学习到路由。
在RTA上打开debugging,观察RTA收发协议报文的情况:
<RTA>terminal debugging
<RTA>debug rip 1 packet
……
以上输出表示RTA收到RTB发出的路由更新,更新中有路由10.0.0.0,但是并没有掩码,所以RTA假定此路由10.0.0.0的掩码是自然掩码,即10.0.0.0/8
由此可知,路由器间不能正确学习路由,其原因为RIPv1协议报文中不懈怠掩码信息。通过将RIP运行版本修改为RIPv2,可以解决这个问题。
步骤四:配置RIPv2
配置RTA:
[RTA-rip-1]version 2
[RTA-rip-1]undo summary
配置RTB:
[RTB-rip-1]version 2
[RTB-rip-1]undo summary
配置完成后,在RTA上查看路由表,如下所示:
[RTA]display ip routing-table
……
可以看到,现在RTA能够正确学习到路由10.0.0.0/24
步骤五:配置RIPv2认证
RIPv2支持认证,目的是加强协议的安全性。
配置RTA:
[RTA-Serial3/0]rip authentication-mode md5 rfc2453 plain aaaaa
配置RTB:
[RTB-Serial3/0]rip authentication-mode md5 rfc2453 plain abcde
实验中的命令列表
表11-4 IP路由原理实验命令列表
| 命令 | 描述 |
| rip [process-id] | 创建RIP 进程并进入RIP 视图 |
| nework network-address | 在指定网段接口上使能RIP |
| version {1| 2} | 指定RIP版本 |
| undo summary | 取消路由自动聚合 |
| rip authentication-mode {md5 {rfc2082 {cipher cipher-string | plain plain-string | plain plain-string}} | simple{cipher cipher-sting | plain plain-string}} | 指定RIP认证方式和认证字 |
| rip poison-reverse | 在接口使能毒性逆转功能 |
| undo rip split-horizon | 在接口取消水平分割功能 |
| display rip | 显示指定RIP及才能你的当前运行状态及配置信息 |
| terminal debugging | 终端显示调试信息 |
| debugging rip 1 packet | 查看RIP协议收发报文的情况 |
实验12 配置OSPF
实验组网图
图12-1 实验任务一环境图
实验任务一组网如图12-1所示。本组网模拟单区域OSPF的应用。RTA和RTB分别是客户端ClientA和ClientB的网关。RTA设置loopback口地址1.1.1.1为RTA的Router ID,RTB设置loopback口地址2.2.2.2为RTB的Router ID,RTA和RTB都属于同一个OSPF区域0。RTA和RTB之间的网络能互通,客户端ClientA和ClientB能互通。
图12-2 实验任务二环境图
实验任务二组网突入12-2所示,由2台MSR(RT-A,RT-B)路由器组成。本组网模拟实际组网中OSPF的路由选择。RTA设置lookback口地址1.1.1.1为RTA的Router ID,RTB设置loopback口地址2.2.2.2为RTB的Router ID,RTA//和RTB都属于同一个OSPF区域0。RTA和RTB之间有两条链路连接。
图12-3 实验任务三环境图
实验任务三组网如图12-3所示,由3台MSR(RTA、RTB、RTC)路由器、2台PC(Client-A、Client-B)组成。本组网模拟实际组网中多区域OSPFD应用。RTA和RTC分别是客户端Client-A和Client-B的网关。RTA-A设置loopback口地址1.1.1.1为RTA的Router ID,RTB设置loopback口地址2.2.2.2为RT-B的Router ID,RTC设置loopback口地址3.3.3.3为RT-C的Router ID。RT-A和RT-B的G0/0口属于同一个OSPF区域0,RT-B的G0/1口和RT-C属于同一个OSPF区域1。RT-A、RT-B和RT-C之间的网络能互通,客户端Client-A和Client-B能互通。
实验过程
实验任务一:单区域OSPF基本配置
步骤一:搭建实验环境
步骤二:基本配置
[RTA]int g0/0
[RTA-GigabitEthernet0/0]ip add 20.0.0.1 24
[RTA-GigabitEthernet0/0]intface g0/1
[RTA-GigabitEhternet0/1]ip address 10.0.0.2 24
[RTA-GigabitEthernet0/1]interface loopback 0
[RTA-Loopback0]ip address 1.1.1.1 32
[RTB]interface G0/0
[RTB-GigabitEthernet0/0]ip address 20.0.0.2 24
[RTB-GigabitEthernet0/0]interface G0/1
[RTB-GigabitEthernet0/1]ip address 10.1.0.2 24
[RTB-GigabitEthernet0/1]interface loopback 0
[RTB-Loopback0]ip address 2.2.2.2 32
步骤三:检查网络连通性和路由器路由表
在ClientA上ping ClientB(IP地址为10.1.0.1),是ping不通的。
在RTA上使用display ip routing-table查看RTA的路由表,
RTA上只有直连路由,没有到达ClientB的路由表,故从ClientA上来的数据报文无法转发给ClientB。
在RTB上也执行以上的操作,查看相关信息。
步骤四:配置OSPF
在RTA上配置OSPF:
[RTA]router id 1.1.1.1
[RTA]ospf 1
[RTA-ospf-1]area 0.0.0.0
[RTA-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
[RTA-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255
[RTA-ospf-1-area-0.0.0.0]network 20.0.0.0 0.0.0.255
在RTB上配置OSPF:
[RTB]router id 2.2.2.2
[RTB]ospf 1
[RTB-ospf-1]area 0.0.0.0
[RTB-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0
[RTB-ospf-1-area--0.0.0.0]network 10.1.0.0 0.0.0.255
[RTB-ospf-1-area-0.0.0.0]network 20.0.0.0 0.0.0.255
步骤五:检查路由器OSPF邻居状态及路由表
在RTA上使用display ospf peer查看路由器OSPF邻居状态,显示如下:
[RTA]display ospf peer
RTA与Router ID位2.2.2.2(RTB)的路由器上配置IP地址20.0.0.2的接口互为邻居,RTB的配置IP地址20.0.0.2的接口为网段的DR路由器。此时,邻居状态达到Full,说明RTA和RTB之间的链路状态数据库已经同步,RTA具备到达RTB的路由信息。
在RTA上使用display ospf routing查看路由器的OSPF路由表
在RTA上使用display ip routing-table查看路由器全局路由表
RTA路由器全局路由表里加入了到达RTB的2.2.2.2/32和10.1.0.0/24网段的路由。
步骤六:检查网络连通性
实验任务二:单区域OSPF增强配置
步骤一:搭建实验环境
步骤二:基本配置
在路由器上完成接口IP地址、OSPF等基本配置
同理,配置RTB
步骤三:检查路由器OSPF邻居状态及路由表
在RTA上使用display ospf peer
在RTA上使用display ip routing-table
步骤四:修改路由器接口开销
在RTA的G0/0接口上增加配置ospf cost 150
步骤五:检查路由器路由表
步骤六:修改路由器接口优先级
[RTB]interface G0/0
[RTB-GigabitEthernet0/0]ospf dr-priority 0
步骤七:在路由器上重启OSPF进程
<RTB>reset ospf 1 process
Waring:Reset OSPF process?[Y/N]:y
<RTA>reset ospf 1 process
Warning:Reset OSPF process?[Y/N]:y
步骤八:在路由器OSPF邻居状态
实验任务三:多区域OSPF基本配置
步骤一:搭建实验环境
首先,依照图12-3搭建实验环境。配置客户端ClientA的IP地址为10.0.0.1/24,网关为10.0.0.2;配置客户端ClientB的IP地址为10.1.0.1/24,网关为10.1.0.2。
步骤二:基本配置
在路由器上完成接口IP地址、OSPF基本配置。
[RTA]interface G0/0
[RTA-GigabitEthernet0/0]ip add 20.0.0.1 24
[RTA-GigabitEthernet0/0]interface G0/1
[RTA-GigabitEthernet0/1]ip add 10.0.0.1 24
[RTA-GigabitEthernet0/1]interface loopback 0
[RTA-Loopback0]ip add 1.1.1.1 32
[RTA-Loopback0]quit
[RTA]router id 1.1.1.1
[RTA]ospf 1
[RTA-ospf-1]area 0.0.0.0
[RTA-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
[RTA-ospf-1-area-0.0.0.0]network 10.0.0.0 0.0.0.255
[RTA-ospf-1-area-0.0.0.0]network 20.0.0.0 0.0.0.255
[RTB]interface G0/0
[RTB-GigabitEthernet0/0]ip address 20.0.0.2 24
[RTB-GigabitEthernet0/0]interface G0/1
[RTB-GigabitEthernet0/1]ip address 30.0.0.2 24
[RTB-GigabitEthernet0/1]interface loopback 0
[RTB-Loopback0]ip address 2.2.2.2 32
[RTB-Loopback0]quit
[RTB]router id 2.2.2.2
[RTB]ospf 1
[RTB-ospf-1]area 0.0.0.0
[RTB-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0
[RTB-ospf-1area-0.0.0.0]network 20.0.0.0 0.0.0.255
[RTB-ospf-1-area-0.0.0.0]quit
[RTB-ospf-1-area]area 1
[RTB-ospf-1-area-0.0.0.1]network 30.0.0.0 0.0.0.255
[RTC]interface G0/0
[RTC-GigabitEthernet0/0]ip address 30.0.0.1 24
[RTC-GigabitEthernet0/0]interface G0/1
[RTC-GigabitEthernet0/1]ip address 10.1.0.2 24
[RTC-GigabitEthernet0/1]interface loopback 0
[RTC-Loopback0]ip address 3.3.3.3 32
[RTC-Loopback0]quit
[RTC]ospf 1
[RTC-ospf-1]area 1
[RTC-ospf-1-area-0.0.0.1]network 3.3.3.3 0.0.0.0
[RTC-ospf-1-area-0.0.0.1]network 3.3.3.3 0.0.0.0
[RTC-ospf-1-area-0.0.0.1]network 10.1.0.0 0.0.0.255
[RTC-ospf-1-area-0.0.0.1]network 30.0.0.0 0.0.0.255
步骤三:检查路由器OSPF邻居状态及路由表
[RTB]display ospf peer
步骤四:检查网络连通性
实验中的命令列表
表12-2 OSPF实验命令列表
| 命令 | 描述 |
| router id router-id | 配置router id |
| ospf process-id | 启动OSPF进程 |
| area area-id | 配置区域 |
| network network ip-address wildcard-mask | 指定网段接口上启动OSPF |
| ospf dr-priority priority | 配置OSPF接口优先级 |
| ospf cost value | 配置OSPF接口cost |
实验13 ACL包过滤
实验组网图
实验过程
实验任务一:配置基本ACL
本实验任务主要是通过在路由器上实施基本ACL来禁止PCA访问本网段外的网络,使学员熟悉基本ACL的配置和作用。
步骤一:建立物理连接
步骤二:配置IP地址及路由
表13-2 IP地址列表
| 设备名称 | 接口 | IP地址 | 网关 |
| RTA | S1/0 | 192.168.1.1/24 | -- |
| G0/0 | 192.168.0.1/24 | -- | |
| RTB | S1/0 | 192.168.1.2/24 | -- |
| G0/0 | 192.168.2.1/24 | -- | |
| PCA | -- | 192.168.0.2/24 | 192.168.0.1 |
| PCB | -- | 192.168.2.2/24 | 192.168.2.1 |
表13-2 IP地址列表
配置RTA:
[RTA-GiabitEthernet0/0]ip address 192.168.0.1 24
[RTA-Serial1/0]ip address 192.168.1.1 24
配置RTB:
[RTB-GigabitEthernet0/0]ip addresss 192.168.2.1 24
[RTB-Serial1/0]ip address 192.168.1.2 24
学员可自己选择在路由器上配置静态路由或任一一种动态路由,来达到全网互通。
步骤三:ACL应用规划
本实验的目的是使PCA不能访问本网段外的网络。需要考虑网络中应用ACL包过滤的相关问题:
·需要使用何种ACL?
·ACL规则的动作是deny还是permit?
·ACL规则中的反掩码应该是什么?
·ACL包过滤应该应用在路由器的哪个接口的哪个方向上?
下面是有关ACL规划的答案:
·仅使用源IP地址就能够识别PCA发出的数据报文,因此使用基本ACL即可;
·目的是要使PCA不能访问本网段外的网络,因此ACL规则的动作是deny;
·只需要限制从单台PC发出的报文,因此反掩码设置为0.0.0.0;
·因为需要禁止PCA访问本网段外的网络,所以可以在RTA连接PCA的接口G0/0上应用ACL,方向为Inbound。
步骤四:配置基本ACL并应用
在路由器RTA上定义ACL如下:
[RTA]acl number 2001
[RTA-acl-basic-2001]rule deny source 192.168.0.2 0.0.0.0
RTA上包过滤防火墙功能默认开启,默认动作为permit。
在RTA的GigabitEthernet0/0上应用ACL:
[RTA-GigabitEthernet0/0]packet-filter 2001 inbound
步骤五:验证防火墙作用
在PCA上使用ping命令来测试从PCA到PCB的可达性,结果应该是不可达。
同时,在RTA上通过命令行来查看ACL及包过滤防火墙的状态和统计:
[RTA]display acl 2001
可以看到,有数据报文命中了ACL中定义的规则。
实验任务二:配置高级ACL
本实验任务是通过在路由器上实施高级ACL来禁止从PCA到网络192.168.2.0/24的FTP数据流,使学院熟悉高级ACL的配置和作用。
步骤一:ACL应用规划
·需要使用何种ACL?
·ACL规则的动作是deny还是permit?
·ACL规则中的反掩码应该是什么?
·ACL包过滤应该应用在路由器的哪个接口的哪个方向上?
下面是有关ACL规划的答案:
·本实验目的是要禁止从PCA到网络192.168.2.0/24的FTP数据流。需要使用协议端口号来识别PCA发出的FTP数据报文,因此必须使用高级ACL;
·本实验目的是要使PC之间不可达,因此ACL规则的动作是deny;
·本实验只需要限制从单台PC发出的到网络192.168.2.0/24的报文,因此需要设置源IP地址反掩码为0.0.0.0,目的IP反掩码为0.0.0.255;
·因为需要禁止PCA发出的数据,所以可以在RTA连接PCA的接口G0/0上应用ACL,方向为inbound。
步骤二:配置高级ACL并应用
在路由器ACL上定义ACL如下:
[RTA]acl number 3002
[RTA-acl-adv-3002]rule deny tcp source 192.168.0.2 0.0.0.0 destination
192.168.2.1 0.0.0.255 destination-port eq ftp
[RTA-acl-dav-3002]rule permit ip source 192.168.0.2 0.0.0.0 destination 192.168.2.0 0.0.0.255
RTA上包过滤防火墙功能默认开启,默认动作为permit。
在RTA的GigabitEthernet0/0上应用ACL:
[RTA-GigabitEthernet0/0]packet-filter 3002 inbound
步骤三:验证防火墙作用
实验中的命令列表
表13-3 使用ACL实验包过滤实验命令列表
| 命令 | 描述 |
| packet-filter default deny | 配置缺省过滤方式 |
| packet-filter {acl-number | acl-name}{inbound | outbound} | 配置接口的IPv4报文过滤功能 |
| acl number acl-number [name acl-name] [match-order {auto | config}] | 创建IPv4 ACL并进入相应IPv4 ACL视图 |
| rule [rule-id] {deny | permit} [counting | fragment | logging | source {sour-addre sour-wildcard | any} | time-range time-range-name] | 定义一个基本IPv4 ACL规则 |
| rule [rule-id] {deny | permit} protocol [destination {dest-addr dest-wildcard | any} | destination-port operator port1 [port2] | dscp dscp | established | fragment | icmp-type {icmp-type icmp-code | icmp-message} | logging | prcedence precedence | reflective | source {sour-addr sour-wildcard | any} | source-port operator port1 [port2] | time-range time-name | tos tos | vpn-instance vpn-instance-name] | 定义一个高级IPv4 ACL规则 |
| display acl {acl-number | all | name acl-name} | 显示配置的IPv4 ACL的信息 |
| display packet-filter {interface [interface-type interface-number] [inbound | outound] | interzone [source source-zone-name destination destination-zone-name]} | 查看包过滤防火墙的应用情况 |
实验14 配置NAT
