這裏寫自定義目錄標題
《CCNA計算機網絡工程》實驗指導書
目錄
試驗一 雙絞線的製作與測試 1
實驗二 模擬仿真實驗環境 4
實驗三 交換機的基本配置 13
實驗四 VLAN配置 21
實驗五 VLAN負載均衡 24
實驗六 路由器的基本配置 28
實驗七 動態路由配置 32
實驗八 訪問控制列表 34
實驗九 網絡地址翻譯 37
實驗十 防火牆基本配置 40
實驗十一 服務器常規配置 44
實驗十二 綜合設計 55
實驗十三 VLAN之間的通信 56
學時分配建議表
序號 實驗項目 學時 實驗類型 性質
1 雙絞線的製作與測試 2 驗證性實驗 選做
2 模擬仿真實驗環境 2 驗證性實驗 必做
3 交換機的基本配置 2 驗證性實驗 必做
4 VLAN配置 2 驗證性實驗 必做
5 VLAN負載均衡 2 驗證性實驗 選做
6 路由器的基本配置 2 驗證性實驗 必做
7 動態路由配置 2 驗證性實驗 必做
8 訪問控制列表 2 設計性實驗 必做
9 網絡地址翻譯 2 驗證性實驗 選做
10 防火牆基本配置 2 驗證性實驗 選做
11 服務器常規配置 2 設計性實驗 選做
12 綜合設計 4 綜合性實驗 必做
13 VLAN之間的通信 2 綜合性實驗 選做
合計 28 合計(必做) 16學時
試驗一 雙絞線的製作與測試
一、實驗目的:
1、瞭解傳輸介質的分類
2、瞭解與佈線有關的標準與標準組織
3、掌握三類UTP線纜的用途與製作
4、瞭解UTP線纜測試的主要指標,並掌握簡單網絡線纜測試儀的使用
二、相關知識介紹:
1UTP線纜的分類:
UTP按照性能與質量的不同可以分爲
一類線纜(CAT 1)
二類線纜(CAT 2)
三類線纜(CAT 3)
四類線纜(CAT 4)
五類線纜(CAT 5)
超五類線纜(CAT 5e)
六類線纜(CAT 6)
其中只有CAT 3、CAT 4、CAT 5、CAT 5E和CAT 6可以用於局域網。
CAT 5的傳輸速率爲10Mbps至100Mbps,阻抗爲100Ohm,線纜的最大傳輸距離爲100米。
CAT 5e通過性能增強設計後可支持1000Mbps的傳輸速率。
CAT 6是專用1000Mbps傳輸制定的佈線標準
2UTP線纜的實施:
直通電纜(straight-through cable )
交叉電纜(crossover cable )
全反電纜(rollover cable )
(1)直通電纜(straight-through cable )
直連線可用於將計算機連入到HUB或交換機的以太網口,或者用於連接交換機與交換機(必須是電纜兩端連接的端口只有一個端口被標記上X時)。 EIA/TIA 568-B標準的直通線的線序排列圖如下右圖
應用:
PC-HUB普通口
HUB-HUB普通口-級連口
HUB(級連口)-SWITCH
SWITCH-ROUTER
(2)交叉電纜(crossover cable )
交叉線用於將計算機與計算機直接相連、交換機與交換機直接相連(必須是電纜兩端連接的端口同時被標記上X,或者都未標明X時),EIA/TIA 568-B標準的交叉線線序排列如右下圖所示
應用:
PC-PC
HUB-HUB普通口
HUB-HUB級連口-級連口
HUB-SWITCH
SWITCH-SWITCH
ROUTER-ROUTER
(3)全反電纜(rollover cable )
全反線又稱爲控制線(console cable),或稱反接線。用於連接一臺工作站到交換機或路由器的控制端口,以訪問這臺交換機或路由器,直通電纜兩端的RJ-45連接器的電纜都具有完全相反的次序,EIA/TIA568-B標準的反接線線序排列如右下圖所示。
三、試驗內容
1UTP直通線纜的製作步驟:
① 用剝線鉗在線纜的一端剝出一定長度的線纜。
② 用手將4對絞在一起的線纜按白橙、橙、白綠、綠、白藍、藍、白棕、棕的順序拆分開來並小心地拉直(注意:切不可用力過大,以免扯斷線纜)。
③ 按表端1的順序調整線纜的顏色順序(即交換藍線與綠線的位置)。
④ 將線纜整理平直並剪齊(確保平直線纜的最大度不超過1.2cm)。
⑤ 將線纜放入RJ-45插頭,在放置過程中注意RJ-45插頭的把了朝下,並保持線纜的顏色順序不變。
⑥ 檢查已入RJ-45插的頭的線纜顏色順序,並確保線纜的末端已位於RJ-45插頭的頂端。⑦ 確認無誤後,用壓線工具用刀壓制RJ-45插頭,以使RJ-45插頭內部的金屬薄片能穿破線纜的絕緣層。
⑧ 重複步驟①~⑦製作線纜的另一端,直至完成直線的製作。
⑨ 用網線測試儀檢查已製作完成的網線。
2UTP交叉線的製作步驟:
① 控制直連線中的步驟①~⑦製作線纜的一端。
② 用剝線工具在線纜的另一端剝出一定長度的線纜。
③ 用手將4對絞在一起的線纜按白綠、綠、白橙、橙、白藍、藍、白棕、棕的順序拆分開來並小心的拉直(注意:切不可用力過大,以免扯斷線纜)。
④ 按表端2的順序調整線纜的顏色順序,即交換表端1線橙線與藍線的位置。
⑤ 將線纜整理平直並剪齊(確保平直線纜的最大長度不超過1.2mm)。
⑥ 將線纜放入RJ-45插頭,在放置過程中注意RJ-45插頭的把子朝下,並保持線纜的顏色順序不變。
⑦ 檢查已放入RJ-45插頭的線纜顏色順序,並確保線纜末端已位於RJ-45插頭的頂端。
⑧ 確認無誤後,用壓線工具壓制RJ-45插頭,以使RJ-45插頭內部的金屬薄片能穿破線纜的絕緣層,直至完成對接線的製作。
⑨ 用網線測試儀檢查已製作完成的網線。
3UTP反接線的製作步驟:
① 按製作直連線中的步驟①~⑦製作線纜的一端。
② 用剝線工具在線纜的另一端剝出一定長度的線纜。
③ 用手將4對絞在一起的線纜按白橙、橙、白綠、綠、白藍、藍、白棕、棕的順序拆分來並小心地拉直(注意:切實不可用力過大,以免扯斷線纜)。
④ 按表端2的順序調整線纜的顏色順序。
⑤ 將線纜整理平直並剪齊(確保平直線纜的最大長度不超過1.2mm)。
⑥ 將線纜入RJ-45插頭,在放置過程中注意RJ-45插頭的把子朝下,並保持線纜的顏色順序不變。
⑦ 檢查已放入RJ-45插頭的線纜顏色順序,並確保線纜的末端已位於RJ-45插頭的頂端。⑧ 確認無誤後,用壓線工具用力壓制RJ-45插頭,以使RJ-45插頭內部的金屬薄片能穿破線纜的絕緣層,直至完成反接線的內亂。
⑨ 用測試儀檢查已製作完成的網線。
實驗二 模擬仿真實驗環境
一、實驗目的:
1、掌握Packet Tracer仿真軟件的使用
2、掌握DynamipsGUI仿真軟件的使用
二、相關知識
1Packet Tracer使用簡介
Packet Tracer 是Cisco公司爲思科網絡技術學院開發的一款模擬軟件,可以用來模擬CCNA的實驗,並能進行協議分析。其缺點是CCNP級試驗的多數命令無法實現。
下面以Packet Tracer 4.0爲模擬軟件按三個方面對該軟件做簡單介紹。
基本界面。
選擇設備,爲設備選擇所需模塊並且選用合適的線型互連設備。
配置不同設備。
(1)首先我們認識一下Packet Tracer4.0的基本界面
打開Packet Tracer 4.0時界面如下圖所示:
圖1 Packet Tracer 4.0 基本界面
表1 Packet Tracer 4.0基本界面介紹
1 菜單欄 此欄中有文件、選項和幫助按鈕,我們在此可以找到一些基本的命令如打開、保存、打印和選項設置,還可以訪問活動向導。
2 主工具欄 此欄提供了文件按鈕中命令的快捷方式,我們還可以點擊右邊的網絡信息按鈕,爲當前網絡添加說明信息。
3 常用工具欄 此欄提供了常用的工作區工具包括:選擇、整體移動、備註、刪除、查看、添加簡單數據包和添加複雜數據包等。
4 邏輯/物理工作區轉換欄 我們可以通過此欄中的按鈕完成邏輯工作區和物理工作區之間轉換。
5 工作區 此區域中我們可以創建網絡拓撲,監視模擬過程查看各種信息和統計數據。
6 實時/模擬轉換欄 我們可以通過此欄中的按鈕完成實時模式和模擬模式之間轉換。
7 網絡設備庫 該庫包括設備類型庫和特定設備庫。
8 設備類型庫 此庫包含不同類型的設備如路由器、交換機、HUB、無線設備、連線、終端設備和網雲等。
9 特定設備庫 此庫包含不同設備類型中不同型號的設備,它隨着設備類型庫的選擇級聯顯示。
10 用戶數據包窗口 此窗口管理用戶添加的數據包。
(2)選擇設備,爲設備選擇所需模塊並且選用合適的線型互連設備
我們在工作區中添加一個2600 XM路由器。首先我們在設備類型庫中選擇路由器,特定設備庫中單擊2600 XM路由器,然後在工作區中單擊一下就可以把2600 XM路由器添加到工作區中了。我們用同樣的方式再添加一個2950-24交換機和兩臺PC。注意我們可以按住Ctrl鍵再單擊相應設備以連續添加設備。如圖2所示:
圖2 設備添加
接下來我們要選取合適的線型將設備連接起來。我們可以根據設備間的不同接口選擇特定的線型來連接,當然如果我們只是想快速的建立網絡拓撲而不考慮線型選擇時我們可以選擇自動連線,如圖3所示:
圖3 線型介紹
在正常連接Router0 和 PC0後,我們再連接Router0和Switch 0 ,提示出錯了,如下圖:
圖4出錯信息
出錯的原因是Router上沒有合適的端口。如圖所示:
圖5 Cisco2620 XM的接口面板
默認的2600 XM有三個端口,剛纔連接PC0已經被佔去了ETHERNET 0/0,Console口和AUX口自然不是連接交換機的所以會出錯,所以我們在設備互連前要添加所需的模塊(添加模塊時注意要關閉電源)。我們爲Router 0 添加NM-4E模塊(將模塊添加到空缺處即可,刪除模塊時將模塊拖回到原處即可)。模塊化的特點增強了Cisco設備的可擴展性。我們繼續完成連接。
圖6 設備連接
我們看到各線纜兩端有不同顏色的圓點,它們分別表示什麼樣的含義呢?
表2 線纜兩端亮點含義
鏈路圓點的狀態 含義
亮綠色 物理連接準備就緒,還沒有Line Protocol status 的指示
閃爍的綠色 連接激活
紅色 物理連接不通,沒有信號
黃色 交換機端口處於“阻塞”狀態
線覽兩端圓點的不同顏色來將有助於我們進行連通性的故障排除。
(3)配置不同設備。
我們配置一下Router0,在Router0上單擊打開設備配置對話框。如圖7所示:
圖7 Router0的Physical配置選項卡
Physical 選項卡用於添加端口模塊,剛剛我們已經介紹過了,至於各模塊的詳細信息,大家可以參考幫助文件。
我們主要介紹一下Config選項卡和CLT選項卡。
圖7 Router0的Config和CLI配置選項卡
Config 選項卡給我們提供了簡單配置路由器的圖形化界面,在這裏我們可以全局信息,路由信息和端口信息。當你進行某項配置時下面會顯示相應的命令。這是Packer Tracer中的快速配置方式,主要用於簡單配置,將注意力集中在配置項和參數上,實際設備中沒有這樣的方式。
對應的CLT選項卡則是在命令行模式下對Router0進行配置,這種模式和實際路由器的配置環境相似。
我們配置一下FastEthernt 0/0端口,如圖所示:
圖8 Config選項卡中的端口配置
下面我們來看一下終端設備的配置,單擊PC0打開配置對話框,在Config選項卡中配置默認網關和IP地址分別爲192.168.1.1,192.168.1.2 255.255.255.0
圖9 終端設備配置面板
Desktop選項卡中的IP Configuration 也可以完成默認網關和IP地址的設置。Terminal選項模擬一個超級終端對路由器或者交換機進行配置。Command Prompt相當於計算機中的命令窗口。
我們用相似的方法配置Router0 上Ethernet 1/0(192.168.2.1 255.255.255.0)和PC1(192.168.2.2 255.255.255.0 默認網關爲192.168.2.1)。
配置完成後我們發現所有的圓點已經變爲閃爍的綠色。圖10 :
圖10成功連接
2DynamipsGUI使用簡介
Dynamips是一個非商業軟件,由法國UTC大學Christophe Fillot開發。其特點是使用了Cisco的IOS文件(Internetworking Operating System-Cisco,縮寫IOS)進行路由器模擬,因而可以使用絕大多數IOS命令及參數。其缺點是IOS涉及到Cisco IOS文件的版權。
Dynamips英文官方網站:http://www.ipflow.utc.fr/index.php/Cisco_7200_Simulator
以Dynamips爲基礎的Cisco模擬工具有多個,如GNS、DynamipsGUI等。這裏以DynamipsGUI爲介紹對象,其他的Dynamips類模擬軟件請自行查閱。
(1)DynamipsGUI使用界面一:
以上區域的參數設置如下:
區域1:根據實驗的拓撲圖選擇路由器、交換機、防火牆的個數
區域2:實驗拓撲圖中若有PC,則選取虛擬PC;根據模擬的IOS版本選取相應路由器的型號,如3640。
區域3:根據不同的設備類型選取並指定對應的IOS文件位置。Idle-pc值可以使用默認值,也可以重新計算idle值,點擊“計算idle”按鈕後,在出現的IOS界面隨意輸入一些配置命令,然後使用ctrl+]+i鍵。從對應的count值列表中選擇最大的參數即可。
區域4:虛擬RAM及寄存器參數一般無需更改;但寄存器參數設置爲0x2142時,路由器啓動時是不從NVRAM讀配置參數的;而爲0x2102則需要讀取NVRAM中的配置參數。
區域5:通過“瀏覽”按鈕確定輸出的目錄位置後,單擊“下一步”按鈕進入第二個界面。
(2)DynamipsGUI使用界面二
以上區域的參數設置如下:
區域1:第一個列表框用於設置路由器參數,第二個列表框用於設置交換機參數,第三個列表框用於設置防火牆參數。對於每個列表中的設備名須依次選定後,選擇其對應的設備類型和模塊slot參數。
區域2:針對不同設備類型選擇相應的模塊參數。不同設備對應的模塊設置參數及個數均有不同,slot0表示第一個模塊插槽,slot1表示第二個;slot中常用的模塊參數表示如下:
NM-1E:表示配置一個以太網口,一般用e簡稱 ;
NM-1FE-TX:表示配置一個快速以太網口,一般用f簡稱;
NM-4T:表示配置4個串口,一般用s簡稱;
NM-16ESW:表示配置一個包含16個以太網口的交換模塊。
區域3:根據當前使用的操作系統如實選取;
區域4:選擇TCP輸出時,需要通過telnet方式進行設備配置;選擇直接輸出時,可以在打開的DOS窗口中直接配置設備。單擊“下一步”按鈕可以進入第三個界面。
(3)DynamipsGUI使用界面三
以上區域的參數設置如下:
區域1:根據實驗拓撲圖的鏈接線路確定源設備及其對應的端口。
區域2:根據實驗拓撲圖的鏈接線路確定目的設備及其對應的端口。
區域3:當區域1與2選定後,單擊“連接”按鈕後,若鏈接成功,中間的列表會顯示對應的鏈接線路,對已有的鏈接線路也可以通過單擊“取消連接”按鈕去掉鏈接。
區域4:當實驗拓撲圖中所有鏈路連接完後,可以單擊“生成.bat文件”按鈕得到實驗用的相關文件夾及文檔。其中PC1文件夾中存放有路由器、交換機設備模擬用的批處理文件,運行相應的批處理可以模擬對應的設備;VPCS文件夾用於模擬PC及;文件conninfo.txt中保存有實驗拓撲結構信息。
三、試驗內容
使用Packet Tracer或DynamipsGUI設計如下實驗環境,並驗證之!
其中:
Router1的f0/1:192.168.1.1/24
Router1的f0/0:10.1.1.1/24
Router2的f0/1:192.168.1.2/24
Router2的f0/0:10.1.2.1/24
PC1/PC2的IP:10.1.1.2/10.1.1.3
PC3/PC4的IP:10.1.2.2/10.1.2.3
實驗三 交換機的基本配置
一、實驗目的
1、熟悉Cisco IOS的基本配置方式
2、掌握交換機的基本配置命令
二、相關知識
IOS(Internetworking Operating System-Cisco,縮寫IOS),CISCO網絡配置系統,大多數Cisco設備中安裝有此操作系統。要配置好Cisco設備必需要熟悉IOS命令及相關的知識。本實驗以交換機爲對象,其他設備的配置與此類似。
(一)交換機的初始配置
爲了配置或檢查交換機,需要將一臺計算機連接到交換機上,並建立雙方之間的通信。使用一根反接線連接交換機背面的“console port”和計算機背面的串口”com port” 。如圖,用反接線一端通過RJ-45到DB-9連接器與計算機的串行口(如COM1口)相連,另一端與交換機的CONSOLE端口相連。
所謂交換機的初始配置是指第一次進行交換機的配置。第一次配置主要包括交換機的主機名、密碼和管理IP地址的配置。啓動計算機的“超級終端(HyperTerminal)”程序,會顯示一個如圖所示的對話窗口。
第一次建立交換機和超級終端的連接時,首先要爲這一連接命名。在下拉菜單中選擇連接交換機所使用的COM端口,點擊確定按鈕,如圖所示。
第二個對話窗口出現,點擊“還原爲默認值”後,點擊確定按鈕。
在交換機完成啓動與超級終端建立連接之後,會出現關於系統配置對話的提示。此時就可以對交換機進行手工配置。
注:交換機啓動時,首先運行ROM中的程序,進行系統自檢及引導,然後加載FLASH中的IOS到RAM中運行,並在NVRAM中尋找交換機的配置文件,將其裝入RAM中。
(二)幾種常見配置命令模式
交換機各種配置必須在不同的配置方式下才能完成,CISCO交換機提供了六種主要配置模式,分別爲:
(1)普通用戶模式
交換機初始化完成後,首先要進入一般用戶模式,在一般用戶模式下,用戶只能運行少數的命令,而且不能對交換機進行配置。在沒有進行任何配置的情況下,缺省的交換機提示符爲:
Switch>
在用戶配置模式下鍵入“?”則可以查看該模式下所提供的所有命令集及其功能,出現的“–More—”表示屏幕命令還未顯示完,此時可按“回車鍵(Enter)”或者“空格鍵”顯示餘下的命令。
鍵入“回車鍵”,表示屏幕向下顯示一行,鍵入“空格鍵”表示屏幕向下顯示一屏。
(2)特權模式
在用戶模式switch>下輸入enable命令可以進入特權配置模式,特權模式的缺省提示符爲:
Switch#
在特權模式下可以查看當前設備的大多數配置信息及其狀態。若要進行命令參數配置,還需接着進入其它工作模式下。
(3)幾種模式配置命令的練習
模式間的切換命令如下:
在第一次使用交換機進行配置的時,需要了解幾種配置模式的命令及其之間的轉換。下面是實際的配置命令的使用,並附加有註釋說明。
Switch> //執行用戶模式提示符
Switch>enable //由用戶模式進入特權模式
Switch# //特權模式提示符
Switch#configure terminal //進入全局配置模式
Switch(config)# //全局配置模式提示符
Switch(config)#line console 0 //進入線路配置模式
Switch(config-line)# //線路配置模式提示符
Switch>enable //由用戶模式進入特權模式
Switch(config-line)#exit //返回到上一級模式
Switch(config)# //全局配置模式提示符
Switch(config)#interface f0/1 //進入接口配置模式, f0/1用於識別交換機的端口,
//其表示形式爲端口類型 模塊/端口
Switch(config-if)# //接口配置模式提示符
Switch(config-if)# ctrl+z //直接返回到特權模式
Switch# //特權模式提示符
Switch#vlan database // 進入VLAN配置模式
Switch(VLAN)# //VLAN配置模式提示符
(三)檢查、查看命令
這些命令是查看當前配置狀況,通常是以show(sh)爲開始的命令。show version查看IOS的版本、show flash查看flash內存使用狀況、show mac-address-table查看MAC地址列表
圖 show version命令查看IOS版本
圖 show flash命令查看flash上的IOS文件
圖 查看交換機的地址表
圖 Show ? 幫助命令顯示當前所有的查看命令
圖 查看端口狀態信息
(四)密碼設置命令
Cisco交換機、路由器中有很多密碼,設置好這些密碼可以有效地提高設備的安全性。
switch(config)#enable password jkx 設置進入特權模式的普通密碼爲jkx
Switch(config)#enable secret xgu 設置進入特權模式的加密密碼爲xgu
Switch (config)#line console 0 //進入line子模式
Switch (config-line)#password jkx1 //設置console口登錄密碼爲jkx1
Switch (config-line)#login //密碼使能命令
Switch (config-line)#exit //回到上一級模式
Switch (config)#line vty 0 15 //配置VTY0到VTY15的密碼
Switch (config-line)#password network //設置遠程登錄密碼爲network
Switch (config-line)#login //密碼使能命令
Switch (config-line)#exit //回到上一級模式
Switch (config)# //全局配置模式提示符
(五)配置交換機名稱、IP地址及默認網關
Switch>enable //進入特權模式
Switch# //特權模式提示符
Switch#configure terminal //進入全局配置模式
Switch(config)# //全局配置模式提示符
Switch(config)#hostname jkx //配置交換機的名稱爲jkx
jkx(config)#interface vlan 1 //進入交換機的管理VLAN,即VLAN1的接口模式
jkx(config-if)#ip address 192.168.1.1 255.255.255.0 //配置交換機的IP爲192.168.1.1/24
jkx(config-if)#no shutdown //激活當前端口
jkx(config-if)#exit
jkx(config)#ip default-gateway 192.168.1.254 //配置默認網關
(六)保存配置參數
Switch#copy running-config startup-config //將RAM中運行的配置參數保存到NVRAM中
Destination filename [startup-config]?
Building configuration…
[OK]
Switch#copy running-config tftp: //將運行的配置參數保存到tftp服務器192.168.1.11上
Address or name of remote host []? 192.168.1.11
Destination filename [Switch-confg]?
!!! [OK - 938 bytes]
938 bytes copied in 0.078 secs (12000 bytes/sec)
Switch#copy startup-config running-config //將NVRAM中的配置參數恢復到RAM中
Destination filename [running-config]?
938 bytes copied in 0.416 secs (2254 bytes/sec)
Switch#
三、試驗內容
1、配置拓撲圖中交換機1的名字爲SW1:
Switch>enable
Switch#configure terminal
Switch(config)#hostname SW1
SW1(config)#
2、對交換機1配置口令:
(1)分別設置進入特權模式的普通口令與加密口令:
SW1(config)#enable password jkx
SW1(config)#enable secret xgu
SW1(config)#
(2)分別設置進入控制檯0的口令與遠程登錄的口令:
SW1(config)#line console 0
SW1(config-line)#password jk1
SW1(config-line)#login
SW1(config-line)#exit
SW1(config)#line vty 0 15
SW1(config-line)#password jk2
SW1(config-line)#login
SW1(config-line)#exit
SW1(config)#
(3)以上四個口令分別用在什麼環節?
enable設置的兩個口令用於限制從用戶模式進入特權模式
line console 中設置的口令用於限制從CONSOLE口登錄此設備
line vty中設置的口令用於限制從網絡登錄此設備
3、對交換機1配置管理IP地址:192.168.1.254/24
SW1(config)#interface vlan 1
SW1(config-if)#ip address 192.168.1.254 255.255.255.0
SW1(config-if)#
SW1#
4、查看兩個交換機的端口,哪些處於轉發狀態?哪些處於阻塞狀態?爲什麼?
在兩個交換機的特權模式下使用show spanning-tree brief(PT中去掉brief參數)命令可以發現:交換機1上的端口f0/1、f0/2、f0/11、f0/12都處於轉發狀態,這是因爲在STP協議下SW1是根橋的原因;交換機2上的端口f0/1、f0/2、f0/11都處於轉發狀態,f0/12處於阻塞狀態,這是因爲交換機2是非根橋,爲了防止出現環路,STP協議根據優先級將f0/12阻塞了。
5、設四個PC機的E0口速率爲全雙工10Mbps,請設置交換機的相關端口速率與PC機一致:
SW1(config)#interface fastEthernet 0/1
SW1(config-if)#speed 10
SW1(config-if)#duplex full
SW1(config-if)#exit
SW1(config)#interface fastEthernet 0/2
SW1(config-if)#speed 10
SW1(config-if)#duplex full
SW1(config-if)#exit
交換機2上可做類似配置
6、查看這兩個交換機上有哪些端口UP?哪些端口DOWN?爲什麼?
在特權模式下使用show ip interface brief可發現:交換機1與2上f0/1-2,f0/11-12端口狀態都是UP,其它端口DOWN,這是因爲這四個端口均連接有對端設備,且對端設備正常工作,而其它端口未連接對端設備。
實驗四 VLAN配置
一、實驗目的
1、熟悉cisco交換機的VLAN配置過程
二、相關知識
虛擬局域網VLAN(Virtual Local Area Network)是以局域網交換機爲基礎,通過交換機軟件實現根據功能、部門、應用等因素將設備或用戶組成虛擬工作組或邏輯網段的技術。其最大的特點是在組成邏輯網時無須考慮用戶或設備在網絡中的物理位置。VLAN可以把同一個物理網絡劃分爲多個邏輯網段,因此,Vlan可以抑制網絡風暴、增強網絡的安全性。
進行VLAN配置需瞭解以下知識:
1VLAN的實現方式:
靜態VLAN :直接設置交換機的端口屬於某個VLAN。此方法較爲安全、可靠。
動態VLAN :使用智能管理軟件根據MAC地址進行VLAN的劃分。但MAC地址具有欺騙性,此種方法不太可靠
2VLAN標識
VLAN幀標識存放在每個幀的頭部中,每臺交換機都要檢查此標識以決定此幀所屬的VLAN,交換機間交換VLAN信息的協議有兩種:
CISCO ISL協議:僅用於Cisco設備環境
IEEE 802.1Q協議:用於不同設備間
3交換網中鏈路的類型
接入鏈路 :access
此種鏈路只允許一個VLAN
幹道鏈路(又叫中繼鏈路):trunk
此鏈路可以傳遞多個VLAN
混合鏈路 :可傳輸兩種幀(帶VLAN信息的幀與不帶VLAN信息的幀)
4VTP及其工作模式
VLAN中繼協議(VLAN Trunk Protocol)即VTP,也稱爲VLAN主幹,是指在交換機與交換機或交換機與路由器之間連接的情況下,在互相連接的端口上配置中繼模式,可以便得屬於不同的VLAN的數據都可以通過這條中繼鏈路進行傳輸。VTP可以在交換網絡中提供跨交換機VLAN實現的一致性,同時也爲了降低跨交換機配置和管理VLAN的複雜性。 VTP有三種工作模式:
服務器模式:server
可進行VLAN的創建、更改、刪除,並自動將VLAN的信息向同一個VTP域內的其它交換機廣播
客戶模式 :client
只能被動接收VTP server的VLAN配置
透明模式 :transparent
可獨立配置自己的VLAN,但不與其它交換機交換本機的VLAN信息,同時轉發其它交換機發來的VLAN信息。
5VLAN配置的基本任務
創建VTP域並進行VTP工作模式的設置。(非必須配置)
配置VLAN Trunk端口。(非必須配置)
在VTP server上創建VLAN。
將交換機的端口指派給所屬的VLAN。
三、試驗內容
PC1-PC4的IP地址:10.1.1.1-10.1.1.4/24
1.完成各PC機的IP地址配置。
2.在交換機1上創建VLAN2及VLAN3。並設置其VTP模式爲server,域名爲jkx。
3.設置交換機2,使其VLAN的管理由交換機1完成。
4.交換機2獲得了VLAN配置信息沒有?怎樣才能使其獲得VLAN的配置信息?
5.將兩臺交換機的fa0/1劃分到VLAN2中、fa0/2劃分到VLAN3中。
6.測試在PC1上能否ping通PC2、PC3、PC4?爲什麼?
實驗參考步驟如下:
- 。。。。。。(依據具體實驗環境而定)
2.進入交換機1的配置環境:
Switch#vlan database
Switch(vlan)#vlan 2
Switch(vlan)#vlan 3
Switch(vlan)#vtp domain jkx
Switch(vlan)#vtp server
Switch(vlan)#exit
3.進入交換機2的配置環境:
Switch#vlan database
Switch(vlan)#vtp domain jkx
Switch(vlan)#vtp client
Switch(vlan)#exit
4.進入交換機2的配置環境:
Switch#show vlan-switch brief (此命令用於路由器的交換模塊上查看VLAN信息)
Switch#show vlan brief (此命令用於二層交換機上查看VLAN信息)
通過查看並沒有發現交換機1上創建的VLAN2與3.要使交換機2得到VLAN的配置信息,必須進行TRUNK的配置.在兩個交換機的fa0/11-12端口上分別進行以下配置:
Switch#conf t
Switch(config)#interface fastethernet 0/11
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit
Switch#conf t
Switch(config)#interface fastethernet 0/12
Switch(config-if)#switchport mode trunk
Switch(config-if)#
5.進入交換機1的配置環境
Switch#conf t
Switch(config)#interface fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#interface fa0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 3
Switch(config-if)#end
在交換機2上也要進行類似的配置,完成將相應端口劃分到指定VLAN中.
6……(根據實驗具體情況如實描寫)
實驗五 VLAN負載均衡
一、實驗目的
1、瞭解生成樹的相關特性
2、掌握PVST的均衡配置
二、相關知識
1生成樹相關內容
生成樹有兩種工作級別:
橋級別(bridge level):生成樹算法爲每臺交換機計算橋的標誌級數(Bridge Identifier,也稱橋ID),然後設定根橋(Root Bridge)和指定橋(Designated Bridges)
端口級別(port level):在端口一級上,生成樹算法設定根端口(Root Port)和指定端口(Designated Ports)
橋級別(bridge level)任務:
根橋(Root Bridge):具有最小橋ID的交換機是根橋。
橋ID=橋優先級(Bridge Priority)+交換機MAC
橋ID小的交換機將成爲根橋。橋優先級可以自行指定,默認爲32768、範圍是0-65535
指定橋(Designated Bridge):在每個網段中,到根橋的路徑開銷(根路徑開銷)最低的橋將成爲指定橋。若網段內有多個交換機具有相同的根路徑開銷,那麼具有最低橋ID的交換機纔會被定爲指定橋
根路徑開銷:一臺交換機的根路徑開銷是根端口的路徑開銷與數據包經過的所有交換機的根路徑開銷之和。根橋的根路徑開銷是零。
端口級別(Port Level)任務:
根端口:每臺交換機都有一個根端口,這個端口到達根橋的路徑開銷最低。一旦多個端口具有相同的到根橋的路徑開銷時,那麼具有最低的端口優先級別的纔會成爲根端口。
到達路徑的開銷一般以帶寬爲依據,IEEE802.1d規定的路徑的代價既開銷(cost)如下:
10Gbps=2 1Gbps=4 100Mbps=19 10Mbps=100
開銷小的將被選擇爲根端口。
指定端口:每個網段必須選擇一個非根橋的端口作爲指定端口,指定端口到根橋的路徑開銷最低。凡根網橋上的端口均爲指定端口。
2STP的選舉原則
(1)選舉根橋(Root Bridge)Minimum(BridgeID)
BridgeID = Bridge Priority + Bridge MAC Address
0~65535(缺省:32768)
(2)在每個非根橋上選舉一個根端口(Root Port)
Minimum(到達根橋的Cost)
Minimum(Sending Bridge ID)
Minimum(Sending PortID):
PortID = Port Priority + Port No.
0~255(缺省128)
(3)給每個網段選擇一個指定端口(Designated Port)
Minimum(到達根橋的Cost)
Minimum(Sending Bridge ID)
Minimum(Sending PortID):
PortID = Port Priority + Port No.
0~255(缺省128)
3生成樹協議的配置
(1)關閉/啓用STP
Cisco的交換機默認是開啓PVST的,也就是開啓每VLAN的STP協議。因此一般無須爲交換機啓用STP。如果確認在LAN內沒有拓撲環路,可以禁用Spanning-Tree,以減少端口接入時等待的時間。
Switch# configure terminal進入全局配置模式
Switch(config)# no spanning-tree vlan vlan-id
//關閉某一VLAN的STP(Cisco的交換機默認是基於每VLAN的,vlan-id 指定關閉的VLAN ID)
啓用:Switch(config)#spanning-tree vlan vlan-id
(2)將交換機配置爲根橋
交換機出廠時默認的橋優先級爲32768,配置spanning-tree vlan vlan-id root primary後,將使此交換機的優先級值減少,並保證比其他交換機低,使之成爲相應VLAN-id的根橋。
Switch(config)#spanning-tree vlan vlan-id priority priority
vlan-id: 指定的VLAN ID,可以用連接號或逗號隔開多個。
Priority :範圍爲0~65535,默認爲32768,數據最小的將被選爲根橋
(3)配置端口的開銷
Switch(config)#interface interface-id //進入端口配置模式
Switch(config-if)# spanning-tree cost cost //默認配置VLAN1中此端口的cost值。
cost參考:10Gbps=2 1Gbps=4 100Mbps=19 10Mbps=100
Switch(config-if)# spanning-tree vlan vlan-id cost cost //配置特定VLAN中端口的開銷
(4)配置端口的優先級
Switch(config-if)#spanning-tree port-priority priority
配置VLAN1中此端口的優先級,Priority 範圍爲0~255,步長爲16(非16的步長值,不接受),默認爲128,數據越小優先級越大
Switch(config-if)#spanning-tree vlan vlan-id port-priority priority
//配置一個特定VLAN中端口的優先級
三、試驗內容
此試驗必須使用Dynamips仿真環境
1.此LAN中,那臺交換機是根橋?那個交換機端口被阻塞了?爲什麼?
Sw1是根橋 ,SW2的f0/14端口block了,可以通過
SW1#show spanning-tree brief
查看到This bridge is the root的提示信息,sw1成爲根橋的原因是由於其橋MAC比sw2的值小;SW2的f0/14被阻塞是由於其接收到端口ID比sw2的f0/13大。
2.配置非根橋的阻塞端口的優先級爲64後,非根橋端口的狀態有無變化?
SW2(config)#int f0/14
SW2(config-if)#spanning-tree port-priority 64
SW2(config-if)#end
SW2#show spanning-tree brief
可以看到非根橋的f0/13、f0/14端口狀態無變化
3.配置阻塞端口對接的端口優先級爲64後,非根橋端口的狀態有無變化?
SW1(config)#int f0/14
SW1(config-if)#spanning-tree port-priority 64
SW1(config-if)#end
SW2#show spanning-tree brief
可以看到SW2的f0/14端口狀態爲轉發,而f0/13被阻塞。
4.配置阻塞端口的開銷(cost)爲10後,非根橋端口的狀態有無變化?
SW2(config)#int f0/13
SW2(config-if)#spanning-tree cost 10
SW2(config-if)#end
SW2#show spanning-tree brief
可以看到SW2的f0/14端口狀態變爲阻塞,而f0/13爲轉發。
5.配置在SW1、SW2上分別創建VLAN2-3,並設置trunk口.
SW1#vlan database
SW1(vlan)#vlan 2
SW1(vlan)#vlan 3
SW1(vlan)#exit
SW1#conf ter
SW1(config)#int range f0/13 – 14
SW1(config-if)#switchport mode trunk
SW1(config-if)#end
SW2的配置與此類似,請自行完成。
6. 查看非根橋上端口f0/13、f0/14的狀態,結果如何?
SW1#show spanning-tree int f0/13 brief
可以看到f0/13端口轉發VLAN1、2、3
SW1#show spanning-tree int f0/14 brief
可以看到f0/14端口對於VLAN1、2、3均爲block
7.在阻塞端口上配置VLAN2的開銷(cost)爲10後,非根橋端口f0/13、f0/14的狀態有無變化?
SW2(config)#int f0/14
SW2(config-if)#spanning-tree vlan 2 cost 10
SW2(config-if)#end
SW2#show spanning-tree interface f0/13 brief
SW2#show spanning-tree interface f0/14 brief
可以發現f0/13端口對於VLAN2是阻塞的,而f0/14端口對於VLAN2是轉發的,即原來阻塞的f0/14端口現在可以轉發VLAN2的幀,沒有全部阻塞。
8.如果對根橋相應的端口進行端口優先級的設置能否使非根橋的阻塞端口轉發VLAN3?爲什麼?
SW1(config)#int f0/14
SW1(config-if)#spanning-tree vlan 3 port-priority 32
SW1(config-if)#end
SW2#show spanning-tree interface f0/14 brief
可以發現沒有轉發VLAN3的幀,原因是f0/13的cost值更低 。
實驗六 路由器的基本配置
一、實驗目的
1、掌握路由器的基本配置
2、熟悉靜態路由的配置
二、相關知識
1路由器的組成
硬件:主要由處理器、內存、接口、控制端口等物理硬件和電路組成。其實就是一種具有多個輸入端口和多個輸出端口的專用計算機,與一臺普通計算機的主機的硬件結構大致相同。
軟件:IOS(Internetworking Operating System ),IOS存在多個不同版本,類似DOS或Linux環境。
(1)路由器的處理器(CPU)
路由器的CPU負責處理數據包所需的工作,如協議轉換、維護路由表、選擇最佳路由和轉發數據包。不同產品的路由器,其CPU也不盡相同,其處理數據包的速度在很大程度上取決於處理器(CPU)的性能。
(2)路由器的內存
路由器主要採用4種類型的內存:ROM、Flash RAM、NVRAM 、RAM 。
ROM保存着路由器IOS操作系統的引導部分,負責路由器的引導和診斷。它是路由器的啓動軟件,負責使路由器進入正常的工作狀態。ROM通常存放在一個或多個芯片上,或插接在路由器的主板上。
Flash RAM(閃存)保存IOS軟件的擴展部分(相當於硬盤),維持路由器的正常工作。當路由器中安裝了閃存,它就是引導路由器IOS軟件的默認位置。FLASH的內容可擦寫(即可以對IOS進行升級),在系統斷電後內容不會丟失。
NVRAM(非易失性RAM)保存IOS在路由器啓動時讀入的啓動配置數據。當路由器啓動時,首先尋找並執行該配置,並將此處的配置數據加載到RAM中。NVRAM在系統斷電後內容不會丟失,因此在進行了設備的相關配置成功後,就應該將配置數據保存到此內存中。
RAM(隨機存取內存)主要存放IOS系統的路由表和緩衝(運行配置)數據,IOS通過RAM滿足其所有的常規存儲的需要。RAM在路由器或交換機啓動或斷電時,內容會丟失。對運行設備的現場配置參數均在RAM中,因此配置成功後一定要將RAM中的配置數據保存到NVRAM中。
路由器或交換機啓動時:
首先運行ROM中的程序,進行系統自檢及引導;然後運行FLASH中的IOS;IOS啓動成功後,在NVRAM中尋找配置數據,並將它裝入到RAM中運行相關配置。
(3)路由器的物理接口
1)局域網端口
AUI端口:即粗纜口,連接10Base-5以太網絡。
RJ45端口:雙絞線以太網端口,在路由器中,10Base-T網的RJ-45端口標識爲“ETH”,100Base-TX 網的RJ-45端口標識爲“10/100bTX”。
SC端口:光纖端口,連接快速以太網或千兆以太網交換機,以“100b FX”或“1000b FX”標註
2)廣域網端口
高速同步串口Serial:可連接DDN、幀中繼和X.25等。
同步/異步串口ASYNC:用於Modem或Modem池的連接,實現遠程計算機通過公用電話網撥入網絡。
ISDN BRI端口:用於ISDN線路通過路由器實現與Internet或其他遠程網絡的連接,可實現128Kbps的通信速率。
3)配置端口
AUX端口:該端口爲異步端口,主要用於遠程配置、撥號備份、Modem連接。
Console端口:該端口爲異步端口,主要連接終端或支持終端仿真程序計算機,在本地配置路由器。在網絡管理中,網絡管理員第一次配置路由器或交換機時,都要通過這個端口進行配置。
2路由器基本配置
路由器的基本配置(CONSOLE連接方式、密碼配置、名稱配置、工作模式切換等)與交換機的基本配置基本類似,請參見交換機的基本配置實驗。
路由器的接口(端口)配置
路由器接口的配置包括接口的IP地址、子網掩碼、接口描述等內容。
路由器的不同接口的IP網絡號必須不同!!!!!
在全局配置模式下使用interface命令可以進入相應的接口配置模式
注:對於不同設備的不同接口,其表示形式是不同的。配置前可使用show ip interface brief查看具體接口型號。
路由器接口配置示例:
R_A(config)#interface f0/0 //進入接口配置模式,對f0/0端口進行配置
R_A(config-if)# //接口配置模式提示符
R_A(config-if)# ip address 192.168.1.1 255.255.255.0
//配置接口的IP地址爲192.168.1.1,子網掩碼爲255.255.255.0
R_A(config-if)#duplex full //啓用全雙工模式
R_A(config-if)#no shutdown
//激活接口,如果要手工管理性關閉接口,則使用“shutdown”命令
R_A(config-if)#end //直接返回到特權模式
R_A#show interface //查看配置後接口狀態
3靜態路由配置
全局配置模式下使用:
ip route 目標網絡號 掩碼 下一跳或轉發端口
例:Router(config)#ip route 30.0.0.0 255.0.0.0 s0/0
功能:設置到目標網絡30.0.0.0/8的數據報從串口0/0轉發
對於Stub網絡,可直接使用: ip route 0.0.0.0 0.0.0.0 轉發端口
4缺省路由
缺省路由是爲所有在路由表中找不到明確對應的路由項時所指定的路由,可以通過兩種方式設置缺省路由:
ip route c1 c2 c3
//c1爲目標網絡ID,c2爲對應子網掩碼,c3爲本地轉發端口名或下一跳IP地址
ip default-network c1
//c1爲轉發端口所在的網絡號
5刪除靜態或缺省路由:在相應配置命令前加no即可。
三、實驗內容
其中:
Router1的f0/1:192.168.1.1/24
Router1的f0/0:10.1.1.1/24
Router2的f0/1:192.168.1.2/24
Router2的f0/0:10.1.2.1/24
PC1/PC2的IP:10.1.1.2/10.1.1.3
PC3/PC4的IP:10.1.2.2/10.1.2.3
1、設置ROUTER1設置console口密碼爲jkx,VTY密碼爲xgu,enable password密碼爲jkx1,enable secret密碼爲jkx2。這些密碼各自的作用是什麼?
Router#conf t
Router(config)#line console 0
Router(config-line)#password jkx
Router(config-line)#login
Router(config-line)#exit
Router(config)#line vty 0 5
Router(config-line)#password xgu
Router(config-line)#login
Router(config-line)#exit
Router(config)#enable password jkx1
Router(config)#enable secret jkx2
密碼作用請自行查看課件。
2、在Router1路由器上配置f0/0與f0/1口的IP地址。
在Router1路由器上配置f0/0與f0/1口的IP地址。
Router#conf t
Router(config)#interface f0/1
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface f0/0
Router(config-if)#ip address 10.1.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#
3、在Router2路由器上配置f0/0與f0/1口的IP地址
在Router2路由器上配置f0/0與f0/1口的IP地址。
Router#conf t
Router(config)#interface f0/1
Router(config-if)#ip address 192.168.1.2 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface f0/0
Router(config-if)#ip address 10.1.2.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#
4、配置PC1至PC4的IP地址。
(請根據模擬軟件自己描述PC機的IP配置過程)
5、在PC1上使用ping命令測試它可以和哪些路由器端口連通?
(請自行使用ping命令檢測具體實驗結果)
6、在Router1與Router2上配置靜態路由,使PC1能與PC3/PC4連通。
Router1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
Router2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1
7、爲了確保路由器重啓後,以上配置參數有效,應如何操作?
Router1#copy run start
Router2#copy run start
實驗七 動態路由配置
一、實驗目的
1.掌握RIP協議的相關配置
2.掌握OSPF協議的相關配置
二、相關知識
1RIP協議相關知識
RIP屬於距離矢量路由協議,使用跳數作爲路徑選擇的參數,並規定以目標網絡的最大跳數爲15,如果超過此跳數,則直接丟棄數據包;RIP路由協議每30秒更新一次,並在相鄰路由器上進行路由信息廣播。
RIP爲路由消息協議,存在兩個版本V1、V2。RIP V2是V1的改進版本,RIP v2支持VLSM,並提供認證、使用組播地址224.0.0.9傳遞路由信息
相關配置命令:
Router(config)#router rip //進入路由配置模式
Router(config-router)#version 1/2 //指定RIP的版本爲1或2
Router(config-router)#network M1 //指定本地端口連接的網絡ID,M1爲網絡ID
2OSPF協議相關知識
OSPF是一種典型的鏈路狀態路由協議。採用OSPF的路由器彼此交換並保存整個網絡的鏈路信息,從而掌握全網的拓撲結構,獨立計算路由。
OSPF作爲一種內部網關協議(Interior Gateway Protocol,IGP),用於在同一個自治域(AS)中的路由器之間發佈路由信息。區別於距離矢量協議(RIP),OSPF具有支持大型網絡、路由收斂快、佔用網絡資源少等優點,在目前應用的路由協議中佔有相當重要的地位。
OSPF協議引入“分層路由”的概念,將網絡分割成一個“主幹”連接的一組相互獨立的部分,這些相互獨立的部分被稱爲“區域” (Area),“主幹”的部分稱爲“主幹區域(area 0)”。每個區域就如同一個獨立的網絡,該區域的OSPF路由器只保存該區域的鏈路狀態。每個路由器的鏈路狀態數據庫都可以保持合理的大小,路由計算的時間、報文數量都不會過大。 在多於一個區域的自治系統中,OSPF 規定必須有一個骨幹區(backbone)-area 0,骨幹區是 OSPF的中樞區域,它與其他區域通過區域邊界路由器(ABR)相連。
相關配置命令:
Router(config)#router OSPF process-number
//參數process-number表示路由進程編號,其取值範圍是:1~65535
Router(config-router)#network network-address wildcard-mask area area-number
//參數network-address表示IP子網號;wildcard-mask表示通配符掩碼,它是子網掩碼的反碼;area-number區域號,0~4 294 967 295範圍內的十進制數,也可以用點分十進制的方法表示。
三、實驗內容
實驗拓撲圖如下所示,其中:
Router1的f0/1:192.168.1.1/24
Router1的f0/0:10.1.1.1/24
Router2的f0/1:192.168.1.2/24
Router2的f0/0:10.1.2.1/24
PC1/PC2的IP:10.1.1.2/10.1.1.3
PC3/PC4的IP:10.1.2.2/10.1.2.3
各個路由器上已經完成了基本配置 ,現要求:
1、在各路由器上完成RIP的基本配置,並寫出相應的配置命令行。
RA#conf ter
RA(config)#router rip
RA(config-route)#version 2
RA(config-route)#network 10.1.1.0
RA(config-route)#network 192.168.1.0
RA(config-route)#exit
(路由器B與此類似。。。。。。)
2、查看並簡要寫出各個路由器上查看到的路由選擇。
(到每個路由器上使用show ip route命令可以查看到相應的路由表,請將主要的路由信息寫下來。。。。。 )
RA#show ip route
R 10.0.0.0/8 [120/1] via 192.168.1.2, 00:00:24, FastEthernet0/1
C 10.1.1.0/24 is directly connected, FastEthernet0/0
C 192.168.1.0/24 is directly connected, FastEthernet0/1
RB# show ip route
R 10.0.0.0/8 [120/1] via 192.168.1.1, 00:00:04, FastEthernet0/1
C 10.1.2.0/24 is directly connected, FastEthernet0/0
C 192.168.1.0/24 is directly connected, FastEthernet0/1
3、清除各路由器上的RIP配置
RA(config)# no router rip
RB(config)# no router rip
4、在各路由器上完成OSPF的配置,並寫出相應的配置命令行。
路由器A的OSPF配置:
RA(config)#router ospf 111
RA(config-route)#network 10.1.1.0 0.0.0.255 area 0
RA(config-route)#network 192.168.1.0 0.0.0.255 area 0
(路由器B與此類似。。。。。。)
實驗八 訪問控制列表
一、試驗目的
1.熟悉路由器的標準訪問控制列表配置方法
2.瞭解路由器的擴展訪問控制列表配置方法
二、相關知識
訪問控制列表(Access Control List ,簡稱ACL)既是控制網絡通信流量的手段,也是網絡安全策略的一個組成部分。每一個ACL列表可以由一條或若干條指令組成,對於任一個被檢查的數據包,依次用每一指令進行匹配,一旦獲得匹配,則後續的指令將被忽略。
路由器爲不同的網絡協議定義不同的ACL列表。爲了標識與不同的網絡協議對應的ACL,可以採用數字標識的方式。在使用ACL數字標識時,必須爲每一協議的訪問控制列表分配唯一的數字,並保證該數字值在所規定的範圍內。標準IP協議的ACL取值範圍:1-99; 擴展IP協議的ACL取值範圍:100-199。
1標準ACL的相關知識
標準ACL是指基於數據包中的源IP地址進行簡單的包過濾的訪問控制列表,其通過檢查數據包的源地址,來確定是允許還是拒絕基於網絡、子網絡或主機IP地址的某一協議簇通過路由器的接口。
(1)標準ACL列表的定義
Router(config)# access-list access-list-number {deny | permit} source [source-wildcard ][log]
Access-list-num:ACL號(1-99)
Deny:若測試條件成立,則拒絕相應的數據包
Permit:若測試條件成立,則接受相應的數據包
Source:源IP地址(網絡或主機均可)
Source-wildcard:與源IP地址配合使用的通配掩碼
Log:是否就ACL事件生成日誌
(2)標準ACL列表的接口配置
Router(config-if)#ip access-group access-list-number {in | out}
此命令用於將已經定義的標準ACL列表應用於相應的路由器端口。
in:指定相應的ACL被用於對從該接口進入的數據包進行處理。
out:指定相應的ACL被用於對從該接口流出的數據包進行處理。
注:在路由器的每一個端口,對每個協議、在每個方向上只能指定一個ACL列表
2擴展ACL的相關知識
擴展ACL是對標準ACL功能上的擴展,其不僅可以基於源和目標IP地址數據包的測試,還可基於協議類型和TCP端口號進行數據包的測試,從而較標準的ACL提供了更強大的包過濾功能和設置上的靈活性
擴展ACL通常用於下列情況
指定源和目標地址的包過濾
指定協議類型的包過濾
指定傳輸層端口號的包過濾
(1)擴展ACL列表的定義
Router(config)#access-list access-list-number {permit | deny} protocol source [source-mask destination destination-mask][ operator operand] [established] [precedence priority] [tos type of service]
參數含義:
access-list-number:ACL表號(100-199)
protocol:指定協議,如IP、TCP、UDP等
source /destination:源/目的IP地址(網絡或主機也可以)
source /destination-mask:與上述IP地址配合使用的通配掩碼
operator:表示關係如lt小於、gt大於、eq相等、neq不相等
operand:端口號,如80、21等
established:若數據包使用一個已建立連接,則允許TCP通信通過
Priority:設置數據包的優先級0-7
type of service:設定服務類型0-15
(2)擴展ACL列表的接口配置
Router(config-if)#ip access-group access-list-number {in | out}
參數含義同標準ACL定義
三、實驗內容
1設網絡拓撲圖如上,已經按下列要求配置完IP地址
Router_A: f0/0爲10.1.1.1/24 f0/1爲20.1.1.1/24
Router_B: f0/0爲10.1.1.2/24 f0/1爲30.1.1.1/24
PC1的IP爲20.1.1.2/24;PC3的IP爲30.1.1.2/24;
請配置兩個路由器的路由,使PC1與PC3互聯互通。
RA(config)#ip route 30.1.1.0 255.255.255.0 f0/0
RB(config)# ip route 20.1.1.0 255.255.255.0 f0/0
2請在路由器A上配置標準ACL:拒絕PC3來的數據包到達左邊的網絡,而其它PC可以達到。
在路由器A上配置ACL:
RA(config)#access-list 10 deny host 30.1.1.2
RA(config)#access-list 10 permit any
RA(config)#interface f0/0
RA(config-if)#ip access-group 10 in
3請在路由器A上配置標準ACL:拒絕PC1與外網的通信,而PC2可以。
在路由器A上配置ACL:
RA(config)#access-list 20 deny host 20.1.1.2
RA(config)#access-list 20 permit any
RA(config)#interface f0/1
RA(config-if)#ip access-group 20 in
4請在路由器B上配置標準ACL:拒絕與QQ服務器219.133.49.171的任何通信,而其它通信允許。
在路由器B上配置ACL:
RB(config)#access-list 30 deny host 219.133.49.171
RB(config)#access-list 30 permit any
RB(config)#interface f0/0
RB(config-if)#ip access-group 30 in
5在進行網絡控制時,標準ACL的侷限是什麼?
標準ACL的侷限是隻能根據數據包的源IP地址進行訪問控制,而不能進行其它更靈活的控制。
實驗九 網絡地址翻譯
一、實驗目的
1.瞭解掌握網絡地址翻譯的相關概念
2.掌握NAT的基本配置過程
二、相關知識
網絡地址翻譯(NAT)可以將內部網絡的私有IP翻譯爲Internet合法IP,從而可以方便解決LAN內大量IP地址的申請問題。NAT是一種用來讓使用私有地址的主機訪問Internet的技術。這項技術的核心是將私有地址轉換爲可以在公網上被路由的公有IP地址;PAT又稱多端口地址轉換(port address translation),是對NAT功能的一種改進。PAT能使多個內部地址映射到同一個全球地址,故又被稱爲“多對一”NAT
1 NAT的靜態配置命令
配置靜態NAT的步驟:
首先,在路由器的全局配置模式下輸入以下命令建立內部本地地址與外部的全球地址的靜態轉換關係
Router(config)#ip nat inside source static local-ip global-ip
//參數“local-ip”和“global-ip”分別表示內部私有地址和外部公有地址。
第二步,在全局配置模式下指定NAT內部相連的接口:
Router(config)#interface type number
Router(config-if)#ip nat inside
最後,在全局配置模式下定義NAT與外部相連的接口:
Router(config)#interface type number
Router(config-if)#ip nat outside
2 NAT的動態配置命令
動態NAT的配置步驟:
首先定義一個全球地址池:
Router(config)#ip nat pool name start-ip end-ip {netmask netmask|prefix-length prefix-length}
第二步,定義標準訪問控制列表(指定哪些地址進行NAT轉換)
Router(config)#access-list access-list-number permit source [source-wildcard]
第三步,用下面的命令句法建立動態的源地址轉換
Router(config)#ip nat inside source list access-list-number pool name
最後,指定NAT與內部相連的接口、NAT與外部相連的接口:
Router(config)#interface type number
Router(config-if)#ip nat inside
Router(config)#interface type number
Router(config-if)#ip nat outside
3 PAT的配置
PAT配置的步驟:
首先定義一個標準訪問控制列表,以指定哪些地址可以被進行PAT轉換。
Router(config)#access-list access-list-number permit source [source-wildcard]
其次,指定所採用的PAT方式(有兩種):
將多個內部地址映射到同一個公有地址:
Router(config)#ip nat inside source list acl-number interface interface overload
指定採用將PAT與到一個NAT池的動態映射一起使用方式的配置命令
Router(config)#ip nat pool name start-ip end-ip {netmask netmask |prefix-length prefix-length}
Router(config)#ip nat inside source list acl-number pool name overload
以上兩種PAT方式只需選擇一種即可。參數overload允許內部多個地址使用相同的外部全局地址
最後,指定NAT與內部相連的接口,指定NAT與外部相連的接口:
Router(config)#interface type number
Router(config-if)#ip nat inside
Router(config)#interface type number
Router(config-if)#ip nat outside
4 檢測NAT
Clear ip nat …… 清除nat的相關參數
Show ip nat translation 查看NAT翻譯的結果
Show ip nat statistics 查看NAT連接的統計信息
三、實驗內容
DNS服務器:192.168.1.20/24; sohu的Web服務器:221.236.12.136/24
Router1的f0/1:192.168.1.1/24 f0/0:61.183.22.136/24
Router2的f0/1:221.236.12.254/24 f0/0:61.183.22.254/24
PC1:192.168.1.11/24 ;PC2:192.168.1.12/24
1、拓撲圖中設備各端口IP已經配置成功,DNS服務器與Web服務器也配置完成。PC1、PC2的默認網關與DNS服務器參數應如何配置?Router1與Router2上的路由應如何配置?請完成這些操作,使左右網絡相連通。
PC1與PC2的默認網關參數爲爲192.168.1.1,DNS服務器參數爲192.168.1.20
Router1(config)#ip route 0.0.0.0 0.0.0.0 f0/0
Router2(config)#ip route 0.0.0.0 0.0.0.0 f0/0
此時在PC1或PC2上可以ping通www.sohu.com,證明左右網絡已經相連通.
2、在PC1的WEB瀏覽器上打開www.sohu.com,同時到WEB服務器上查詢TCP的連接,其結果如何?此時訪問WEB服務器在外部IP是什麼?
SERVER>netstat
Active Connections
Proto Local Address Foreign Address State
TCP 221.236.12.136:80 192.168.1.11:1027 SYN_RECEIVED
由此可以發現此時訪問WEB服務器的外部IP是192.168.1.11
3、在Router1上配置靜態NAT,使內部IP地址192.168.1.11與外部IP地址61.183.22.138建立映射關係.重新操作第2步,結果如何?
Router(config)#ip nat inside source static 192.168.1.11 61.183.22.138
Router(config)#int f0/0
Router(config-if)#ip nat outside
Router(config-if)#exit
Router(config)#int f0/1
Router(config-if)#ip nat inside
重新操作第2步的結果爲:
SERVER>netstat
Active Connections
Proto Local Address Foreign Address State
TCP 221.236.12.136:80 61.183.22.138:1030 SYN_RECEIVED
由此可以發現此時訪問WEB服務器的外部IP是61.183.22.138,而不是PC1的IP!
4、在Router1上配置動態NAT:全局地址池爲61.183.22.130-137,左邊LAN內在PC都可使用這些全局IP.到PC2上重新操作第2步,結果如何?
Router(config)#ip nat pool xgu 61.183.22.130 61.183.22.137 netmask 255.255.255.0
Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255
Router(config)#ip nat inside source list 10 pool xgu
重新操作第2步的結果爲:
SERVER>netstat
Active Connections
Proto Local Address Foreign Address State
TCP 221.236.12.136:80 61.183.22.130:1031 CLOSED
由此可以發現此時訪問WEB服務器在外部IP是61.183.22.130
5、在Router1上配置PAT:使LAN內所有PC機都複用全局地址61.183.22.140. 到PC2上重新操作第2步,結果如何?
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#ip nat pool jk 61.183.22.140 61.183.22.140 netmask 255.255.255.0
Router(config)# ip nat inside source list 1 pool jk overload
重新操作第2步的結果爲:
SERVER>netstat
Active Connections
Proto Local Address Foreign Address State
TCP 221.236.12.136:80 61.183.22.140:1027 CLOSED
由此可以發現此時訪問WEB服務器在外部IP是61.183.22.140
實驗十 防火牆基本配置
一、實驗目的
1.瞭解Cisco PIX的相關知識
2.瞭解PIX相關配置命令
二、相關知識
1Cisco PIX簡介
PIX是Cisco的硬件防火牆,硬件防火牆有工作速度快,使用方便等特點。 PIX有很多型號,併發連接數是PIX防火牆的重要參數。典型的設備:PIX525、635、721等。
PIX防火牆常見接口有:Console、Ethernet 、 Failover等
網絡區域:
內部網絡:inside
外部網絡:outside
中間區域:DMZ (停火區),放置對外開放的服務器。
2防火牆的基本拓撲環境:
3PIX防火牆的配置模式
PIX 7.x防火牆的配置模式與路由器類似,有4種管理模式:
pixfirewall>:用戶普通模式
pixfirewall#:特權模式
pixfirewall (config)#:配置模式
pixfirewall(config-if)# :端口模式
PIX 6.x防火牆的配置模式只有前三個,端口模式的配置在配置模式下完成
PIX端口比較單一:Ethernet0、Ethernet1、 Ethernet2
4PIX基本配置命令
常用命令有:interface、Nameif、ip address、Nat、Global、Route、static等。
(1)interface
配置以太口工作狀態,常見狀態有三種:
auto:設置網卡工作在自適應狀態。
100full:設置網卡工作在100Mbit/s、全雙工狀態。
shutdown:設置網卡接口關閉,否則爲激活。
例如:
PIX525(config)#interface ethernet0 auto
PIX525(config)#interface ethernet1 100full
PIX525(config)#interface ethernet2 100full shutdown
Show interface可以查看配置結果
(2)nameif
設置接口名稱,並指定安全級別,安全級別取值範圍爲1~100,數字越大安全級別越高。例如要求設置:
ethernet0命名爲外部接口outside,安全級別是0。
ethernet1命名爲內部接口inside,安全級別是100。
ethernet2命名爲中間接口dmz, 安裝級別爲50。
使用命令:
PIX525(config)#nameif ethernet0 outside security0
PIX525(config)#nameif ethernet1 inside security100
PIX525(config)#nameif ethernet2 dmz security50
Show nameif可以查看配置結果
(3)ip address
配置網絡接口的IP地址,例如:
PIX525(config)#ip address outside 92.168.1.1 255.255.255.0
PIX525(config)#ip address inside 10.0.1.1 255.255.255.0
PIX525(config)#ip address dmz 172.16.1.1 255.255.255.0
功能:內網inside接口使用私有地址10.0.1.1,外網outside接口使用公網地址92.168.1.1,DMZ接口IP爲172.16.1.1。
(4)global
Global的功能:定義外部地址池。Global命令的配置語法:
global (ext_if_name) nat_id ip_address-ip_address [netmark global_mask]
其中:
(ext_ if_name):表示外網接口名稱,一般爲outside。
nat_id:建立的地址池標識(後面的nat要引用)。
ip_address-ip_address:表示一段ip地址範圍。
[netmark global_mask]:表示全局ip地址的網絡掩碼。
例如:
PIX525(config)#global (outside) 1 92.168.1.5-92.168.1.15 netmask 255.255.255.0
地址池1對應的IP是: 92.168.1.5-92.168.1.15/24
PIX525(config)#global (outside) 1 133.1.1.100
地址池1只有一個IP地址 133.1.1.100
PIX525(config)#no global (outside) 1 133.1.1.100
表示刪除這個全局表項。
(5)nat
地址轉換命令,將內網的私有ip轉換爲外網公網ip。nat命令配置語法:
nat (if_name) nat_id local_ip [netmark]
其中:
(if_name):表示接口名稱,一般爲inside.
nat_id: 表示地址池,由global命令定義。
local_ip: 表示內網的ip地址。對於0.0.0.0表示內網所有主機。
[netmark]:表示內網ip地址的子網掩碼。
在實際配置中nat命令總是與global命令配合使用。一個指定外部網絡,一個指定內部網絡,通過net_id聯繫在一起。例如:
PIX525(config)#nat (inside) 1 0 0
表示內網的所有主機(0 0)都可以訪問由global指定的外網。(0 0 代表 0.0.0.0 0.0.0.0,表示任意網絡。)
PIX525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有172.16.5.0/16網段的主機可以訪問global指定的外網。
(6)route
route命令定義靜態路由。語法:route (if_name) 0 0 gateway_ip [metric]
其中:
(if_name):表示接口名稱。
0 0 :表示所有主機
Gateway_ip:表示網關路由器的ip地址或下一跳。
[metric]:路由花費。缺省值是1。
格式:route if_name 0 0 gateway_ip [metric]
例如:PIX525(config)#route outside 0 0 92.168.1.2
設置缺省路由從outside口送出,下一跳是92.168.1.2 。0 0 代表 0.0.0.0 0.0.0.0,表示任意網絡。
PIX525(config)#route inside 10.0.1.0 255.255.255.0 10.0.1.1 1
設置到10.0.1.0網絡的網關是10.0.1.1。最後的“1”是花費。
(7)static
配置靜態IP地址翻譯,使內部地址與外部地址一一對應。語法:
static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address
其中:
internal_if_name表示內部網絡接口,安全級別較高,如inside。
external_if_name表示外部網絡接口,安全級別較低,如outside。
outside_ip_address表示外部網絡的公有ip地址。
inside_ ip_address表示內部網絡的本地ip地址。
(括號內序順是先內後外,外邊的順序是先外後內)
static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address
例如:PIX525(config)#static (inside,outside) 92.168.1.108 10.0.1.2
表示內部ip地址10.0.1.2 ,訪問外部時被翻譯成92.168.1.108全局地址。
PIX525(config)#static (dmz,outside) 92.168.1.118 172.16.1.50
表示中間區域ip地址172.16.1.50,訪問外部時被翻譯成92.168.1.118全局地址。
(8)conduit
管道conduit命令用來設置允許數據從低安全級別的接口流向具有較高安全級別的接口。例如允許從outside到DMZ或inside方向的會話(作用同訪問控制列表)。
語法: conduit permit|deny protocol global_ip port[-port] foreign_ip [netmask]
其中:
global_ip是一臺主機時前面加host參數,所有主機時用any表示。
foreign_ip 表示外部ip。
[netmask] 表示可以是一臺主機或一個網絡。
例如:PIX525(config)# static (inside,outside) 92.168.1.128 10.0.1.22
PIX525(config)#conduit permit tcp host 10.0.1.22 eq www any
這個例子說明static和conduit的關係。 10.0.1.22是內網一臺web服務器,現在希望外網的用戶能夠通過PIX防火牆訪問web服務。
所以先做static靜態映射: 10.0.1.2 -> 92.168.1.128
然後利用conduit命令允許任何外部主機對全局地址92.168.1.128進行http訪問。
(9)訪問控制列表ACL
訪問控制列表的命令與couduit命令類似,例:
PIX525(config)#access-list 100 permit ip any host 133.0.0.1 eq www
PIX525(config)#access-list 100 deny ip any any
PIX525(config)#access-group 100 in interface outside
(10)fixup
作用是啓用或禁止一個服務或協議,通過指定端口設置PIX防火牆要偵聽listen服務的端口。例:
PIX525(config)#fixup protocol ftp 21
啓用ftp協議,並指定ftp的端口號爲21
PIX525(config)#fixup protocol http 8080
PIX525(config)#no fixup protocol http 80
啓用http協議8080端口,禁止80端口。
(11)顯示命令
show interface ;查看端口狀態。
show static ;查看靜態地址映射。
show ip ;查看接口ip地址。
show config ;查看配置信息。
show cpu usage ;顯示CPU利用率
show traffic ;查看流量。
show blocks ;顯示攔截的數據包。
show mem ;顯示內存
實驗十一 服務器常規配置
一、實驗目的
1掌握WWW、FTP的配置
2瞭解DNS的基本配置過程
二、相關知識
1 WWW相關知識
(1)簡介
World Wide Web(也稱Web、WWW或萬維網)是Internet上集文本、聲音、動畫、視頻等多種媒體信息於一身的信息服務系統,整個系統由Web服務器、瀏覽器(Browser)及通信協議等3部分組成。WWW採用的通信協議是超文本傳輸協議(HTTP,HyperText Transfer Protocol),它可以傳輸任意類型的數據對象,是Internet發佈多媒體信息的主要協議。
WWW中的信息資源主要由一篇篇的網頁爲基本元素構成,所有網頁採用超文本標記語言(HTML,HyperText Markup Language)來編寫,HTML對Web頁的內容、格式及Web頁中的超鏈進行描述。Web頁間採用超級文本(HyperText)的格式互相鏈接。當鼠標的光標移到這些鏈接上時,光標形狀變成一手掌狀,點擊即可從這一網頁跳轉到另一網頁上,這也就是所謂的超鏈。
Internet中的網站成千上萬。爲了準確查找。人們採用了統一資源定位器(URL,Uniform Resource Locator)來在全世界唯一標識某個網絡資源。其描述格式爲:
協議://主機名稱/路徑名/文件名:端口號
例如:http://www.xgu.cn,客戶程序首先看到http(超文本傳輸協議),知道處理的是HTML連接,接下來的是www.xgu.cn站點地址(對應一特定的IP地址),http協議默認使用的TCP協議端口爲80,可省略不寫。
在Windows 2000中推出了Internet Information Server 5.0(簡稱IIS5.0)提供了方便的安裝和管理,增強的應用環境,基於標準的發佈協議,在性能和擴展性方面有了很大的改進,爲客戶提供更佳的穩定性和可靠性。IIS是基於TCP/IP的Web應用系統,使用IIS可使運行Windows 2000的計算機成爲大容量、功能強大的Web服務器。IIS不但可以通過使用HTTP協議傳輸信息,還可以提供FTP和Gopher服務,這樣,IIS可以輕鬆地將信息發送給整個Internet上的用戶。
(2)HTML語言的導讀
HTML是WWW上專用的操作語言,在Web服務器中的信息組織和操作都要依靠HTML來完成。HTML的特點是標記代碼簡單明瞭、功能強大、可以定義顯示格式、標題、字型、表格、窗口等;可以和WWW上任一信息資源建立超文本鏈接;可以輔助應用程序連入圖像、視頻、聲頻等多介質信息。HTML也存在一定的侷限性,如只能選用Web資源的字體,排版功能較弱;忽略空格及自然格式,段落必須聲明;在不同硬件環境下顯示效果不同等。HTML的代碼文件是一個純文本文件(即ASCII碼文件),通常以.html或.htm爲文件後綴。
(3)配置管理WWW服務器
選擇“開始”/“程序”/“管理工具”/“Internet服務管理器”,打開“Internet信息服務” 管理窗口,如圖所示,窗口顯示此計算機上已經安裝好的Internet服務,而且都已經自動啓動運行,其中Web站點有兩個,分別是默認Web站點及管理Web站點。
1)使用IIS的默認站點
步驟一,將製作好的主頁文件(html文件)複製到\Inetpub\wwwroot目錄,該目錄是安裝程序爲默認Web站點預設的發佈目錄。
步驟二,將主頁文件的名稱改爲Default.htm。IIS默認要打開的主頁文件是Default.htm或Default.asp,而不是一般常用的Index.htm。
完成這兩個步驟後,打開本機或客戶機瀏覽器,在地址欄中輸入此計算機 IP地址或主機的JKX名字(前提是DNS服務器中有該主機的A記錄)來瀏覽站點,測試Web服務器是否安裝成功,WWW服務是否運行正常。
站點開始運行後,如果要維護系統或更新網站數據,可以暫停或停止站點的運行,完成上述工作後,再重新啓動站點。
步驟一,打開“Internet信息服務窗口”,鼠標右鍵單擊要創建新站點的計算機,在彈出菜單中選擇“新建”/“Web站點”,出現“Web站點創建嚮導”,單擊“下一步”繼續。
步驟二,在“Web站點說明”文本框中輸入說明文字,單擊“下一步”繼續,出現如圖所示窗口,輸入新建Web站點的IP地址和TCP端口地址。如果通過主機頭文件將其它站點添加到單一IP地址,必須指定主機頭文件名稱。
步驟三,單擊“下一步”,輸入站點的主目錄路徑,然後單擊“下一步”,選擇Web站點的訪問權限,單擊“下一步”完成設置。
Web站點建立好之後,可以通過“Microsoft 管理控制檯”進一步來管理及設置Web站點,站點管理工作既可以在本地進行,也可以遠程管理。
1)本地管理
通過“開始”/“程序”/“管理工具”/“Internet服務管理器”,打開“Internet信息服務窗口”,在所管理的站點上,單擊鼠標右鍵執行“屬性”命令,進入該站點的“屬性”對話框,如圖所示。
“Web站點”屬性頁
如圖所示,在Web站點的屬性頁上主要設置標識參數、連接、啓用日誌記錄,主要有以下內容:
說明:在“說明”文本框中輸入對該站點的說明文字,用它表示站點名稱。這個名稱會出現在IIS的樹狀目錄中,通過它來識別站點。
IP地址:設置此站點使用的IP地址,如果構架此站點的計算機中設置了多個IP地址,可以選擇對應的IP地址。若站點要使用多個IP地址或與其他站點共用一個IP地址,則可以通過高級按鈕設置。
TCP端口:確定正在運行的服務的端口。默認情況下公認的WWW連接端口爲80。如果設置了其他端口,例如:8080,則用戶在瀏覽該站點時,必須輸入這個端口號,如:http://www.xgu.cn:8080
連接:“無限”表示允許同時發生的連接數不受限制;“限制到”表示限制同時連接到該站點的連接數,在對話框中鍵入允許的最大連接數;“連接超時”設置服務器斷開未活動用戶的時間;
“啓用保持HTTP激活”允許客戶保持與服務器的開放連接,而不是使用新請求逐個重新打開客戶連接,禁用則會降低服務器性能,默認爲激活狀態。這一選擇頁的設置關係到對網絡及服務器優化管理,例如,若發現本服務器負載過大,應限制連接數量。
啓用日誌:表示要記錄用戶活動的細節,在“活動日誌格式”下拉列表框中可選擇日誌文件使用的格式。單擊“屬性”按鈕可進一步設置記錄用戶信息所包含的內容,如用戶IP、訪問時間、服務器名稱等。默認的日誌文件保存在\winnt\system32\logfiles子目錄下。良好的管理習慣應注重日誌功能的使用,通過日誌可以監視訪問本服務器的用戶、內容等,對不正常的連接和訪問加以監控和限制。
“主目錄”屬性頁
如圖所示,可以設置Web站點所提供的內容來自何處,內容的訪問權限以及應用程序在此站點的執行許可。
Web站點的內容包含各種給用戶瀏覽的文件,例如HTML文件、ASP程序文件等,這些數據必須指定一個目錄來存放,而主目錄所在的位置有3中選擇:
此計算機上的目錄:表示站點內容來自本地計算機。
另一計算機上的共享位置:站點的數據也可以不在本地計算機上,而在局域網上其他計算機中的共享位置,注意要在網絡目錄文本框中輸入其路徑。並按“連接爲”按鈕設置有權訪問此資源的域用戶帳號和密碼。
重定向到URL(U):表示將連接請求重新定向到別的網絡資源,如某個文件、目錄、虛擬目錄或其他的站點等。選擇此項後,在重定向到文本框中輸入上述網絡資源的URL地址。
執行許可:此項權限可以決定對該站點或虛擬目錄資源進行何種級別的程序執行。“無”只允許訪問靜態文件,如HTML或圖像文件;“純文本”只允許運行腳本,如ASP腳本;“腳本和可執行程序”可以訪問或執行各種文件類型,如服務器端存儲的CGI程序。
應用程序保護:選擇運行應用程序的保護方式。可以是與Web服務在同一進程中運行(低),與其他應用程序在獨立的共用進程中運行(中),或者在與其他進程不同的獨立進程中運行(高)。
“操作員”屬性頁
使用該屬性頁可以設置哪些用戶帳號擁有管理此站點的權力,默認只有Administrators組成員才能管理Web站點,而且無法利用“刪除”按鈕來解除該組的管理權利。如果你是該組的成員,可以在每個站點的這個選項中利用“添加”及“刪除”按鈕來個別設置操作員。雖然操作員具有管理站點的權力。但其權限與服務器管理員仍有差別。
“性能”屬性頁
性能調整:Web站連接的數目愈大時,佔有的系統資源愈多。在這裏預先設置的Web站點每天的連接數,將會影響到計算機預留給Web服務器使用的系統資源。合理設置連接數可以提高Web服務器的性能。 啓用帶寬抑制:如果計算機上設置了多個Web站點,或是還提供其他的Internet服務,如文件傳輸、電子郵件等,那麼就有必要根據各個站點的實際需要,來限制每個站點可以使用的帶寬。要限制Web站點所使用的帶寬,只要選擇“啓用帶寬抑制”選項,在“最大網絡使用”文本框中輸入設置數值即可。
啓用進程限制:選擇該選項以限制該Web站點使用CPU處理時間的百分比。如果選擇了該框但未選擇“強制性限制”,結果將是在超過指定限制時間時把事件寫入事件記錄中。
“文檔”屬性頁
啓動默認文檔:默認文檔可以是HTML文件或ASP文件,當用戶通過瀏覽器連接至Web站點時,若未指定要瀏覽哪一個文件,則Web服務器會自動傳送該站點的默認文檔供用戶瀏覽,例如我們通常將Web站點主頁default.htm、default.asp和index.htm設爲默認文檔,當瀏覽Web站點時會自動連接到主頁上。如果不啓用默認文檔,則會將整個站點內容以列表形式顯示出來供用戶自己選擇。
“HTTP頭”屬性頁
在“HTTP標題”屬性頁上,如果選擇了“允許內容過期”選項,便可進一步設置此站點內容過期的時間,當用戶瀏覽此站點時,瀏覽器會對比當前日期和過期日期,來決定顯示硬盤中的網頁暫存文件,或是向服務器要求更新網頁。
2)遠程管理Web站點
遠程管理就是系統管理員可以在任何地方,例如出差或是在家裏,從任何一個終端客戶端,可以是Windows2000 Professional、Windows2000 Server或是Windows98,來管理Windows 2000域與計算機,它們可以直接運行系統管理工具來進行管理工作,這些操作就好象在本機上一樣。要實現這些管理首先要安裝終端服務,設置終端服務器與終端客戶端,纔可以進行遠程管理與遠程控制。
2FTP相關知識
(1)FTP簡介
FTP(File Transfer Protocol)是文件傳輸協議,服務器中存有大量的共享軟件和免費資源,要想從服務器中把文件傳送到客戶機上或者把客戶機上的資源傳送至服務器,就必須在兩臺機器中進行文件傳送,此時雙方必須要共同遵守一定的規則。FTP就是用來在客戶機和服務器之間實現文件傳輸的標準協議。它使用客戶/服務器模式,客戶程序把客戶的請求告訴服務器,並將服務器發回的結果顯示出來。而服務器端執行真正的工作,比如存儲、發送文件等。
如果用戶要將一個文件從自己的計算機上發送到另一臺計算機上,稱爲是FTP的上載(Upload),而更多的情況是用戶從服務器上把文件或資源傳送到客戶機上,稱之爲FTP的下載(Download)。在Internet上有一些計算機稱爲FTP服務器,它存儲了許多允許存取的文件,如:文本文件、圖像文件、程序文件、聲音文件、電影文件等。
FTP協議的描述在RFC 959中。FTP是用戶必須有用戶名口令才能登入到FTP服務器,獲得相應的服務。匿名FTP只是FTP服務的一種,當然是廣泛使用的一種。並不是所有的FTP服務器都是匿名FTP服務器。匿名FTP服務器用Anonymous作爲用戶名,用電子郵件地址作爲口令。也有使用GUEST或FTP作用戶名。
(2)FTP服務器管理
FTP站點管理工作既可以在本地進行,也可以遠程管理。
1)本地管理
通過“開始”/“程序”/“管理工具”/“Internet服務管理器”,打開“Internet信息服務” 窗口,在要管理的FTP站點上單擊鼠標右鍵,選擇“屬性”命令,出現如下圖所示對話框。
“FTP站點”屬性頁
IP地址:設置此站點的IP地址,即本服務器的IP地址,如211.85.10.5。如果服務器設置了兩個以上的IP站點,可以任選一個。FTP站點可以與Web站點共用IP地址以及DNS名稱,但不能設置使用相同的TCP端口。
TCP端口:FTP服務器默認使用TCP協議的21端口,若更改此端口,則用戶在連接到此圖
站點時,必須輸入站點所使用端口,例如使用命令ftp://211.85.10.5:8080,表示連接FTP服務器的TCP端口爲8080。
“安全賬號”屬性頁
選擇“安全賬號”標籤,出現如下圖所示對話框。
允許匿名連接:FTP站點一般都設置爲允許用戶匿名登錄,除非想限制只允許NT用戶登錄使用。在安裝時系統自動建立一個默認匿名用戶賬號:“IUSR_COMPUTERNAME”。注意用戶在客戶機登錄FTP服務器的匿名用戶名爲“anonymous”,並不是上邊給出的名字。
只允許匿名連接:選擇此項,表示用戶不能用私人的賬號登錄。只能用匿名來登錄FTP站點,可以用來防止具有管理權限的賬號通過FTP訪問或更改文件。
FTP站點操作員:設置擁有管理此FTP站點的權限的域用戶,默認是隻有Administrators組的成員才能管理FTP站點。作爲該組的成員,可以利用添加及刪除按鈕,針對每個站點來設置操作員。
“信息”屬性頁
在此選項中,可以設置一些類似站點公告的信息,比如用戶登錄後顯示的歡迎信息。
“主目錄”屬性頁
該屬性頁設置供網絡用戶下載文件的站點是來自於本地計算機,還是來自於其他計算機共享的文件夾。
選擇此計算機上的目錄,還需指定FTP站點目錄,即站點的根目錄所在的路徑。選擇另一計算機上的共享位置,需指定來自於其他計算機的目錄,按“連接爲”按鈕設置一個有權訪問該目錄的Windows 2000域用戶賬號。
對於站點的訪問權限可進行幾種複選設置:
“讀取”:即用戶擁有讀取或下載此站點下的文件或目錄的權限;
“寫入”:即允許用戶將文件上載至此FTP站點目錄中;
“日誌訪問”:如果此FTP站點已經啓用了日誌訪問功能,選擇此項,則用戶訪問此站點文件的行爲就會以記錄的形式被記載到日誌文件中。
“目錄安全性” 屬性頁
設定客戶訪問FTP站點的範圍,其方式爲:授權訪問和拒絕訪問。
授權訪問:開放訪問此站點的權限給所有用戶,並可以在“下列地址例外”列表中加入不受歡迎的用戶IP地址。
拒絕訪問:不開放訪問此站點的權限,默認所有人不能訪問該FTP站點,在“下列地址例外”列表中加入允許訪問站點的用戶IP地址,使它們具有訪問權限。
(3)FTP測試
爲了測試FTP服務器是否正常工作,可選擇一臺客戶機登錄FTP服務器進行測試,首先保證FTP服務器的FTP發佈目錄下存放有文件,可供下載,在這裏我們選擇使用Web瀏覽器作爲FTP客戶程序。
1)IE測試:
可以使用Internet Explorer(IE)連接到FTP站點。輸入協議以及域名,例如ftp://211.85.10.5,就可以連接到FTP站點,如圖5-3所示。對用戶來講,與訪問本地計算機磁盤上文件夾一樣,這種方法也是最容易理解的FTP網站訪問的方式。因此,IE測試的方式細節在此省略。
圖5-3 FTP網站應用
2)ftp命令方式測試:
使用熟知端口號(21)與FTP服務器211.85.10.5的建立連接:
ftp>open 211.85.10.5
Connected to 211.85.10.5.
220 xgujkx-cxw Microsoft FTP Service (Version 5.0)
User (211.85.10.5:(none)):anonymous (匿名)
331 Anonymous access allowed, send identity (e-mail name) as password.
Password:**** 任意
230 Anonymous user logged in.
查看FTP服務器上的文件目錄:
ftp>dir
在服務器上建立子目錄jkx:
ftp>mkdir jkx
改變本地工作目錄到C:\:
ftp>lcd c:
將服務器根目錄下的文本文檔lab1.txt下載到本地工作目錄C:\中,並以ch.txt命名:
ftp>get
Remote file lab1.txt
Local file ch.txt
200 PORT command successful.
150 Opening ASCII mode data connection for lab1.txt(48 bytes).
226 Transfer complete.
ftp: 48 bytes received in 0.00Seconds 48000.00Kbytes/sec.
250 RNTO command successful.
其餘命令可查看ftp命令的幫助信息。
3DNS相關知識
(1)爲DNS服務器配置靜態IP地址的步驟:
在彈擊的Internet協議(TCP/IP)屬性窗口中輸入DNS服務器相應的IP地址和子網掩碼。
(2)安裝DNS服務
在打開的“添加/刪除程序”窗口中,單擊“添加/刪除WINDOWS”組件。在 “Windows組件嚮導”窗口中,在組件列表中找到“網絡服務”這一項,並且雙擊。
在“網絡服務”窗口中選擇“域名系統(DNS)”,單擊“確定” 按鈕。
(3)進行DNS正向解析區域的配置
單擊“開始”—>“程序”—>“管理工具”—>“DNS”
右鍵單擊“正向搜索區域” ,在彈出的菜單中選擇“新建區域”選項 。
單擊“下一步” ,選擇“標準主要區域”,單擊“下一步” ,輸入相應的DNS區域名,如“test.com”,單擊“下一步” ,在此可以接受默認的區域記錄保存的文件名,系統會自動在區域名後加“.dns”作爲文件名,或者使用一個已有的文件。不做任何改變,直接單擊下一步,單擊“完成”按鈕。
正向區域“test.com”創建後的DNS控制界面:
反向解析區域的配置與此類似,可參照正向解析區域配置。
(4)爲主機創建記錄
右鍵單擊創建的正向區域名,在彈出的菜單中選擇“新建主機”選項,在彈出的“新建主機”窗口中,其名稱輸入相應的主機名,輸入對應的IP地址,並選擇“創建相關的指針(PTR)記錄”,系統會自動在反向區域內創建指針記錄,最後單擊“添加主機”按鈕。
其它記錄的創建方法與此類似,請參照完成其它記錄的配置。
三、實驗內容
1、請寫出以下DNS配置與管理的實現步驟:
(1)在虛擬機中安裝DNS服務,服務器IP爲A.B.C.1XX (XX爲自己的機號,本地IP爲A.B.C.XX)
(2)創建DNS正向解析區域,區域名爲xgu.cn
(3)創建DNS反向解析區域,網絡號爲211.85.1.0
(4)在DNS服務器上創建主機記錄名爲WWW,對應IP爲211.85.1.3
(5)將本地真實計算機配置爲DNS服務器的客戶端
(6)在DNS客戶端使用NSLOOKUP檢測域名www.xgu.cn對應的IP地址
2、在虛擬機上完成WWW服務器的配置,實現:
將HTML文件index.htm作爲WWW網站的首頁,並能在其它計算機上通過http://A.B.C.1XX 訪問到index.htm文件。
3、在虛擬機上配置FTP服務器,實現:
能在其它計算機上通過ftp://A.B.C.1XX匿名下載index.htm文件;並可以在該FTP網站上傳文件,但要求對已經上傳的文件進行保護,使已經成功上傳的文件不能被修改與刪除。
以上操作步驟可參見相關內容的配置步驟!
實驗十二 綜合設計
一、實驗目的
熟悉組網過程中的網絡規劃與相關配置
二、實驗內容
網絡拓撲圖中:Router2爲某ISP路由器,其f0/0端口IP爲61.183.22.1/24,圖中其它所有設備均爲某學院校園網所有,Router1的F0/0端口IP爲61.183.22.126/24,此單位在NIC申請的外部合法IP爲61.183.22.126-255/24,內部合法IP爲211.85.0.0-211.85.15.255。校園網基本情況如下:
1教學樓有100臺PC、圖書館有100臺PC、辦公樓有20個科室(每個科室最多3臺PC)、計算機中心有300臺PC、宿舍區有20棟(每棟最多30臺PC)
2辦公樓內有5個不同的科室需要進行VLAN保護
3DNS服務器用於向內網提供域名解析,WEB服務器爲內外網提供WWW服務
現要求完成此校園網的網絡組建、IP規劃及所有互聯設備的配置(若拓撲圖中的設備不夠用,請自行添加)
實驗十三 VLAN之間的通信
一、實驗目的
3、理解VLAN在網絡通信中的隔離作用
4、理解第三層路由功能在VLAN間通信中所起的作用
5、掌握用於VLAN之間通信的外部路由器設置
二、相關知識
1、VLAN之間的通信方式
VLAN間的通信可通過以下兩種方式:
外部路由器——在交換機設備之外,提供具備第三層路由功能的獨立路由器用以實現不同VLAN之間的通信。這也是本實驗內容中所採用的方式。
內部路由模塊或三層交換機——在目前的一些中高端的主流網絡設備中,通常將交換機的第二層功能與路由器的第三層功能集成到同一網絡設備中,這種網絡設備被稱爲三層交換機。
無論是使用哪種方式,其原理都是使用三層的路由功能實現二層不同的VLAN進行相互通信!因此VLAN的互訪與二層網絡無關、與VLAN實現的目標並不衝突!!!
2、物理和邏輯接口的關係
邏輯子接口是一個物理接口中的一個邏輯接口,單個物理接口上可有多個邏輯子接口,然後每個邏輯子接口支持一個VLAN,並被分配一個IP地址,子接口的標識是在原來的物理接口後加“.”再加上數字,如“f0/0.1”爲物理接口“f0/0”的一個邏輯子接口。
三、實驗內容
此拓撲圖中:
PC1的IP:10.1.2.11/24,網關:10.1.2.1
PC2的IP:10.1.3.12/24,網關:10.1.3.1
PC3的IP:10.1.2.13/24,網關:10.1.2.1
PC4的IP:10.1.3.14/24,網關:10.1.3.1
VLAN2中的主機:PC1與PC3;VLAN3中的主機:PC2與PC4。現要求完成以下步驟實現VLAN2與VLAN3中的PC機能夠相互通信:
1、請完成各PC機IP配置
此步請自行完成。。。。。。
2、在交換機上完成VLAN的配置與劃分
Switch#vlan database //進行VLAN配置子模式
Switch(vlan)#vlan 2 name vlan2 //創建一個名叫VLAN2的VLAN
Switch(vlan)#vlan 3 name vlan3 //創建一個名叫VLAN3的VLAN
Switch(config)#int f0/7 //進入快速以太網端口7的配置模式
Switch(config-if)#switchport mode access //設置端口的鏈路爲接入鏈路模式
Switch(config-if)#switchport access vlan 2 //接入鏈路允許VLAN2的幀通過
Switch(config)#int f0/8 //進入快速以太網端口8的配置模式
Switch(config-if)#switchport mode access //設置端口的鏈路爲接入鏈路模式
Switch(config-if)#switchport access vlan 3 //接入鏈路允許VLAN3的幀通過
Switch(config-if)#int f0/9 //進入快速以太網端口9的配置模式
Switch(config-if)#switchport mode access //設置端口的鏈路爲接入鏈路模式
Switch(config-if)#switchport access vlan 2 //接入鏈路允許VLAN2的幀通過
Switch(config-if)#int f0/10 //進入快速以太網端口10的配置模式
Switch(config-if)#switchport mode access //設置端口的鏈路爲接入鏈路模式
Switch(config-if)#switchport access vlan 3 //接入鏈路允許VLAN3的幀通過
Switch(config)#int f0/12 //進入快速以太網端口12的配置模式
Switch(config-if)#switchport mode trunk //設置當前端口爲Trunk模式
3、完成路由器配置實現VLAN2與VLAN3中的PC機相互通信
Router(config)#int f0/0
Router(config-if)#no shut
Router(config)#int f0/0.1 //進入f0/0.1的邏輯子接口
Router(config-subif)#encapsulation dot1Q 2
//定義VLAN幀標識封裝爲802.1Q,允許VLAN2的幀通過
Router(config-subif)#ip address 10.1.2.1 255.255.255.0
//配置f0/0.1的邏輯子接口的IP地址爲10.1.2.1,子網掩爲:255.255.255.0
Router(config)#int f0/0.2//進入f0/0.2的邏輯子接口模式
Router(config-subif)#encapsulation dot1Q 3
//定義VLAN的封裝,幀標識封裝爲IEEE802.1Q,允許VLAN3的幀過
Router(config-subif)#ip address 10.1.3.1 255.255.255.0
4、此實驗中,不難發現不同VLAN中的PC機的網絡ID值是不同的,這些PC機的網絡ID能否設置爲相同?爲什麼?