这里写自定义目录标题
《CCNA计算机网络工程》实验指导书
目录
试验一 双绞线的制作与测试 1
实验二 模拟仿真实验环境 4
实验三 交换机的基本配置 13
实验四 VLAN配置 21
实验五 VLAN负载均衡 24
实验六 路由器的基本配置 28
实验七 动态路由配置 32
实验八 访问控制列表 34
实验九 网络地址翻译 37
实验十 防火墙基本配置 40
实验十一 服务器常规配置 44
实验十二 综合设计 55
实验十三 VLAN之间的通信 56
学时分配建议表
序号 实验项目 学时 实验类型 性质
1 双绞线的制作与测试 2 验证性实验 选做
2 模拟仿真实验环境 2 验证性实验 必做
3 交换机的基本配置 2 验证性实验 必做
4 VLAN配置 2 验证性实验 必做
5 VLAN负载均衡 2 验证性实验 选做
6 路由器的基本配置 2 验证性实验 必做
7 动态路由配置 2 验证性实验 必做
8 访问控制列表 2 设计性实验 必做
9 网络地址翻译 2 验证性实验 选做
10 防火墙基本配置 2 验证性实验 选做
11 服务器常规配置 2 设计性实验 选做
12 综合设计 4 综合性实验 必做
13 VLAN之间的通信 2 综合性实验 选做
合计 28 合计(必做) 16学时
试验一 双绞线的制作与测试
一、实验目的:
1、了解传输介质的分类
2、了解与布线有关的标准与标准组织
3、掌握三类UTP线缆的用途与制作
4、了解UTP线缆测试的主要指标,并掌握简单网络线缆测试仪的使用
二、相关知识介绍:
1UTP线缆的分类:
UTP按照性能与质量的不同可以分为
一类线缆(CAT 1)
二类线缆(CAT 2)
三类线缆(CAT 3)
四类线缆(CAT 4)
五类线缆(CAT 5)
超五类线缆(CAT 5e)
六类线缆(CAT 6)
其中只有CAT 3、CAT 4、CAT 5、CAT 5E和CAT 6可以用于局域网。
CAT 5的传输速率为10Mbps至100Mbps,阻抗为100Ohm,线缆的最大传输距离为100米。
CAT 5e通过性能增强设计后可支持1000Mbps的传输速率。
CAT 6是专用1000Mbps传输制定的布线标准
2UTP线缆的实施:
直通电缆(straight-through cable )
交叉电缆(crossover cable )
全反电缆(rollover cable )
(1)直通电缆(straight-through cable )
直连线可用于将计算机连入到HUB或交换机的以太网口,或者用于连接交换机与交换机(必须是电缆两端连接的端口只有一个端口被标记上X时)。 EIA/TIA 568-B标准的直通线的线序排列图如下右图
应用:
PC-HUB普通口
HUB-HUB普通口-级连口
HUB(级连口)-SWITCH
SWITCH-ROUTER
(2)交叉电缆(crossover cable )
交叉线用于将计算机与计算机直接相连、交换机与交换机直接相连(必须是电缆两端连接的端口同时被标记上X,或者都未标明X时),EIA/TIA 568-B标准的交叉线线序排列如右下图所示
应用:
PC-PC
HUB-HUB普通口
HUB-HUB级连口-级连口
HUB-SWITCH
SWITCH-SWITCH
ROUTER-ROUTER
(3)全反电缆(rollover cable )
全反线又称为控制线(console cable),或称反接线。用于连接一台工作站到交换机或路由器的控制端口,以访问这台交换机或路由器,直通电缆两端的RJ-45连接器的电缆都具有完全相反的次序,EIA/TIA568-B标准的反接线线序排列如右下图所示。
三、试验内容
1UTP直通线缆的制作步骤:
① 用剥线钳在线缆的一端剥出一定长度的线缆。
② 用手将4对绞在一起的线缆按白橙、橙、白绿、绿、白蓝、蓝、白棕、棕的顺序拆分开来并小心地拉直(注意:切不可用力过大,以免扯断线缆)。
③ 按表端1的顺序调整线缆的颜色顺序(即交换蓝线与绿线的位置)。
④ 将线缆整理平直并剪齐(确保平直线缆的最大度不超过1.2cm)。
⑤ 将线缆放入RJ-45插头,在放置过程中注意RJ-45插头的把了朝下,并保持线缆的颜色顺序不变。
⑥ 检查已入RJ-45插的头的线缆颜色顺序,并确保线缆的末端已位于RJ-45插头的顶端。⑦ 确认无误后,用压线工具用刀压制RJ-45插头,以使RJ-45插头内部的金属薄片能穿破线缆的绝缘层。
⑧ 重复步骤①~⑦制作线缆的另一端,直至完成直线的制作。
⑨ 用网线测试仪检查已制作完成的网线。
2UTP交叉线的制作步骤:
① 控制直连线中的步骤①~⑦制作线缆的一端。
② 用剥线工具在线缆的另一端剥出一定长度的线缆。
③ 用手将4对绞在一起的线缆按白绿、绿、白橙、橙、白蓝、蓝、白棕、棕的顺序拆分开来并小心的拉直(注意:切不可用力过大,以免扯断线缆)。
④ 按表端2的顺序调整线缆的颜色顺序,即交换表端1线橙线与蓝线的位置。
⑤ 将线缆整理平直并剪齐(确保平直线缆的最大长度不超过1.2mm)。
⑥ 将线缆放入RJ-45插头,在放置过程中注意RJ-45插头的把子朝下,并保持线缆的颜色顺序不变。
⑦ 检查已放入RJ-45插头的线缆颜色顺序,并确保线缆末端已位于RJ-45插头的顶端。
⑧ 确认无误后,用压线工具压制RJ-45插头,以使RJ-45插头内部的金属薄片能穿破线缆的绝缘层,直至完成对接线的制作。
⑨ 用网线测试仪检查已制作完成的网线。
3UTP反接线的制作步骤:
① 按制作直连线中的步骤①~⑦制作线缆的一端。
② 用剥线工具在线缆的另一端剥出一定长度的线缆。
③ 用手将4对绞在一起的线缆按白橙、橙、白绿、绿、白蓝、蓝、白棕、棕的顺序拆分来并小心地拉直(注意:切实不可用力过大,以免扯断线缆)。
④ 按表端2的顺序调整线缆的颜色顺序。
⑤ 将线缆整理平直并剪齐(确保平直线缆的最大长度不超过1.2mm)。
⑥ 将线缆入RJ-45插头,在放置过程中注意RJ-45插头的把子朝下,并保持线缆的颜色顺序不变。
⑦ 检查已放入RJ-45插头的线缆颜色顺序,并确保线缆的末端已位于RJ-45插头的顶端。⑧ 确认无误后,用压线工具用力压制RJ-45插头,以使RJ-45插头内部的金属薄片能穿破线缆的绝缘层,直至完成反接线的内乱。
⑨ 用测试仪检查已制作完成的网线。
实验二 模拟仿真实验环境
一、实验目的:
1、掌握Packet Tracer仿真软件的使用
2、掌握DynamipsGUI仿真软件的使用
二、相关知识
1Packet Tracer使用简介
Packet Tracer 是Cisco公司为思科网络技术学院开发的一款模拟软件,可以用来模拟CCNA的实验,并能进行协议分析。其缺点是CCNP级试验的多数命令无法实现。
下面以Packet Tracer 4.0为模拟软件按三个方面对该软件做简单介绍。
基本界面。
选择设备,为设备选择所需模块并且选用合适的线型互连设备。
配置不同设备。
(1)首先我们认识一下Packet Tracer4.0的基本界面
打开Packet Tracer 4.0时界面如下图所示:
图1 Packet Tracer 4.0 基本界面
表1 Packet Tracer 4.0基本界面介绍
1 菜单栏 此栏中有文件、选项和帮助按钮,我们在此可以找到一些基本的命令如打开、保存、打印和选项设置,还可以访问活动向导。
2 主工具栏 此栏提供了文件按钮中命令的快捷方式,我们还可以点击右边的网络信息按钮,为当前网络添加说明信息。
3 常用工具栏 此栏提供了常用的工作区工具包括:选择、整体移动、备注、删除、查看、添加简单数据包和添加复杂数据包等。
4 逻辑/物理工作区转换栏 我们可以通过此栏中的按钮完成逻辑工作区和物理工作区之间转换。
5 工作区 此区域中我们可以创建网络拓扑,监视模拟过程查看各种信息和统计数据。
6 实时/模拟转换栏 我们可以通过此栏中的按钮完成实时模式和模拟模式之间转换。
7 网络设备库 该库包括设备类型库和特定设备库。
8 设备类型库 此库包含不同类型的设备如路由器、交换机、HUB、无线设备、连线、终端设备和网云等。
9 特定设备库 此库包含不同设备类型中不同型号的设备,它随着设备类型库的选择级联显示。
10 用户数据包窗口 此窗口管理用户添加的数据包。
(2)选择设备,为设备选择所需模块并且选用合适的线型互连设备
我们在工作区中添加一个2600 XM路由器。首先我们在设备类型库中选择路由器,特定设备库中单击2600 XM路由器,然后在工作区中单击一下就可以把2600 XM路由器添加到工作区中了。我们用同样的方式再添加一个2950-24交换机和两台PC。注意我们可以按住Ctrl键再单击相应设备以连续添加设备。如图2所示:
图2 设备添加
接下来我们要选取合适的线型将设备连接起来。我们可以根据设备间的不同接口选择特定的线型来连接,当然如果我们只是想快速的建立网络拓扑而不考虑线型选择时我们可以选择自动连线,如图3所示:
图3 线型介绍
在正常连接Router0 和 PC0后,我们再连接Router0和Switch 0 ,提示出错了,如下图:
图4出错信息
出错的原因是Router上没有合适的端口。如图所示:
图5 Cisco2620 XM的接口面板
默认的2600 XM有三个端口,刚才连接PC0已经被占去了ETHERNET 0/0,Console口和AUX口自然不是连接交换机的所以会出错,所以我们在设备互连前要添加所需的模块(添加模块时注意要关闭电源)。我们为Router 0 添加NM-4E模块(将模块添加到空缺处即可,删除模块时将模块拖回到原处即可)。模块化的特点增强了Cisco设备的可扩展性。我们继续完成连接。
图6 设备连接
我们看到各线缆两端有不同颜色的圆点,它们分别表示什么样的含义呢?
表2 线缆两端亮点含义
链路圆点的状态 含义
亮绿色 物理连接准备就绪,还没有Line Protocol status 的指示
闪烁的绿色 连接激活
红色 物理连接不通,没有信号
黄色 交换机端口处于“阻塞”状态
线览两端圆点的不同颜色来将有助于我们进行连通性的故障排除。
(3)配置不同设备。
我们配置一下Router0,在Router0上单击打开设备配置对话框。如图7所示:
图7 Router0的Physical配置选项卡
Physical 选项卡用于添加端口模块,刚刚我们已经介绍过了,至于各模块的详细信息,大家可以参考帮助文件。
我们主要介绍一下Config选项卡和CLT选项卡。
图7 Router0的Config和CLI配置选项卡
Config 选项卡给我们提供了简单配置路由器的图形化界面,在这里我们可以全局信息,路由信息和端口信息。当你进行某项配置时下面会显示相应的命令。这是Packer Tracer中的快速配置方式,主要用于简单配置,将注意力集中在配置项和参数上,实际设备中没有这样的方式。
对应的CLT选项卡则是在命令行模式下对Router0进行配置,这种模式和实际路由器的配置环境相似。
我们配置一下FastEthernt 0/0端口,如图所示:
图8 Config选项卡中的端口配置
下面我们来看一下终端设备的配置,单击PC0打开配置对话框,在Config选项卡中配置默认网关和IP地址分别为192.168.1.1,192.168.1.2 255.255.255.0
图9 终端设备配置面板
Desktop选项卡中的IP Configuration 也可以完成默认网关和IP地址的设置。Terminal选项模拟一个超级终端对路由器或者交换机进行配置。Command Prompt相当于计算机中的命令窗口。
我们用相似的方法配置Router0 上Ethernet 1/0(192.168.2.1 255.255.255.0)和PC1(192.168.2.2 255.255.255.0 默认网关为192.168.2.1)。
配置完成后我们发现所有的圆点已经变为闪烁的绿色。图10 :
图10成功连接
2DynamipsGUI使用简介
Dynamips是一个非商业软件,由法国UTC大学Christophe Fillot开发。其特点是使用了Cisco的IOS文件(Internetworking Operating System-Cisco,缩写IOS)进行路由器模拟,因而可以使用绝大多数IOS命令及参数。其缺点是IOS涉及到Cisco IOS文件的版权。
Dynamips英文官方网站:http://www.ipflow.utc.fr/index.php/Cisco_7200_Simulator
以Dynamips为基础的Cisco模拟工具有多个,如GNS、DynamipsGUI等。这里以DynamipsGUI为介绍对象,其他的Dynamips类模拟软件请自行查阅。
(1)DynamipsGUI使用界面一:
以上区域的参数设置如下:
区域1:根据实验的拓扑图选择路由器、交换机、防火墙的个数
区域2:实验拓扑图中若有PC,则选取虚拟PC;根据模拟的IOS版本选取相应路由器的型号,如3640。
区域3:根据不同的设备类型选取并指定对应的IOS文件位置。Idle-pc值可以使用默认值,也可以重新计算idle值,点击“计算idle”按钮后,在出现的IOS界面随意输入一些配置命令,然后使用ctrl+]+i键。从对应的count值列表中选择最大的参数即可。
区域4:虚拟RAM及寄存器参数一般无需更改;但寄存器参数设置为0x2142时,路由器启动时是不从NVRAM读配置参数的;而为0x2102则需要读取NVRAM中的配置参数。
区域5:通过“浏览”按钮确定输出的目录位置后,单击“下一步”按钮进入第二个界面。
(2)DynamipsGUI使用界面二
以上区域的参数设置如下:
区域1:第一个列表框用于设置路由器参数,第二个列表框用于设置交换机参数,第三个列表框用于设置防火墙参数。对于每个列表中的设备名须依次选定后,选择其对应的设备类型和模块slot参数。
区域2:针对不同设备类型选择相应的模块参数。不同设备对应的模块设置参数及个数均有不同,slot0表示第一个模块插槽,slot1表示第二个;slot中常用的模块参数表示如下:
NM-1E:表示配置一个以太网口,一般用e简称 ;
NM-1FE-TX:表示配置一个快速以太网口,一般用f简称;
NM-4T:表示配置4个串口,一般用s简称;
NM-16ESW:表示配置一个包含16个以太网口的交换模块。
区域3:根据当前使用的操作系统如实选取;
区域4:选择TCP输出时,需要通过telnet方式进行设备配置;选择直接输出时,可以在打开的DOS窗口中直接配置设备。单击“下一步”按钮可以进入第三个界面。
(3)DynamipsGUI使用界面三
以上区域的参数设置如下:
区域1:根据实验拓扑图的链接线路确定源设备及其对应的端口。
区域2:根据实验拓扑图的链接线路确定目的设备及其对应的端口。
区域3:当区域1与2选定后,单击“连接”按钮后,若链接成功,中间的列表会显示对应的链接线路,对已有的链接线路也可以通过单击“取消连接”按钮去掉链接。
区域4:当实验拓扑图中所有链路连接完后,可以单击“生成.bat文件”按钮得到实验用的相关文件夹及文档。其中PC1文件夹中存放有路由器、交换机设备模拟用的批处理文件,运行相应的批处理可以模拟对应的设备;VPCS文件夹用于模拟PC及;文件conninfo.txt中保存有实验拓扑结构信息。
三、试验内容
使用Packet Tracer或DynamipsGUI设计如下实验环境,并验证之!
其中:
Router1的f0/1:192.168.1.1/24
Router1的f0/0:10.1.1.1/24
Router2的f0/1:192.168.1.2/24
Router2的f0/0:10.1.2.1/24
PC1/PC2的IP:10.1.1.2/10.1.1.3
PC3/PC4的IP:10.1.2.2/10.1.2.3
实验三 交换机的基本配置
一、实验目的
1、熟悉Cisco IOS的基本配置方式
2、掌握交换机的基本配置命令
二、相关知识
IOS(Internetworking Operating System-Cisco,缩写IOS),CISCO网络配置系统,大多数Cisco设备中安装有此操作系统。要配置好Cisco设备必需要熟悉IOS命令及相关的知识。本实验以交换机为对象,其他设备的配置与此类似。
(一)交换机的初始配置
为了配置或检查交换机,需要将一台计算机连接到交换机上,并建立双方之间的通信。使用一根反接线连接交换机背面的“console port”和计算机背面的串口”com port” 。如图,用反接线一端通过RJ-45到DB-9连接器与计算机的串行口(如COM1口)相连,另一端与交换机的CONSOLE端口相连。
所谓交换机的初始配置是指第一次进行交换机的配置。第一次配置主要包括交换机的主机名、密码和管理IP地址的配置。启动计算机的“超级终端(HyperTerminal)”程序,会显示一个如图所示的对话窗口。
第一次建立交换机和超级终端的连接时,首先要为这一连接命名。在下拉菜单中选择连接交换机所使用的COM端口,点击确定按钮,如图所示。
第二个对话窗口出现,点击“还原为默认值”后,点击确定按钮。
在交换机完成启动与超级终端建立连接之后,会出现关于系统配置对话的提示。此时就可以对交换机进行手工配置。
注:交换机启动时,首先运行ROM中的程序,进行系统自检及引导,然后加载FLASH中的IOS到RAM中运行,并在NVRAM中寻找交换机的配置文件,将其装入RAM中。
(二)几种常见配置命令模式
交换机各种配置必须在不同的配置方式下才能完成,CISCO交换机提供了六种主要配置模式,分别为:
(1)普通用户模式
交换机初始化完成后,首先要进入一般用户模式,在一般用户模式下,用户只能运行少数的命令,而且不能对交换机进行配置。在没有进行任何配置的情况下,缺省的交换机提示符为:
Switch>
在用户配置模式下键入“?”则可以查看该模式下所提供的所有命令集及其功能,出现的“–More—”表示屏幕命令还未显示完,此时可按“回车键(Enter)”或者“空格键”显示余下的命令。
键入“回车键”,表示屏幕向下显示一行,键入“空格键”表示屏幕向下显示一屏。
(2)特权模式
在用户模式switch>下输入enable命令可以进入特权配置模式,特权模式的缺省提示符为:
Switch#
在特权模式下可以查看当前设备的大多数配置信息及其状态。若要进行命令参数配置,还需接着进入其它工作模式下。
(3)几种模式配置命令的练习
模式间的切换命令如下:
在第一次使用交换机进行配置的时,需要了解几种配置模式的命令及其之间的转换。下面是实际的配置命令的使用,并附加有注释说明。
Switch> //执行用户模式提示符
Switch>enable //由用户模式进入特权模式
Switch# //特权模式提示符
Switch#configure terminal //进入全局配置模式
Switch(config)# //全局配置模式提示符
Switch(config)#line console 0 //进入线路配置模式
Switch(config-line)# //线路配置模式提示符
Switch>enable //由用户模式进入特权模式
Switch(config-line)#exit //返回到上一级模式
Switch(config)# //全局配置模式提示符
Switch(config)#interface f0/1 //进入接口配置模式, f0/1用于识别交换机的端口,
//其表示形式为端口类型 模块/端口
Switch(config-if)# //接口配置模式提示符
Switch(config-if)# ctrl+z //直接返回到特权模式
Switch# //特权模式提示符
Switch#vlan database // 进入VLAN配置模式
Switch(VLAN)# //VLAN配置模式提示符
(三)检查、查看命令
这些命令是查看当前配置状况,通常是以show(sh)为开始的命令。show version查看IOS的版本、show flash查看flash内存使用状况、show mac-address-table查看MAC地址列表
图 show version命令查看IOS版本
图 show flash命令查看flash上的IOS文件
图 查看交换机的地址表
图 Show ? 帮助命令显示当前所有的查看命令
图 查看端口状态信息
(四)密码设置命令
Cisco交换机、路由器中有很多密码,设置好这些密码可以有效地提高设备的安全性。
switch(config)#enable password jkx 设置进入特权模式的普通密码为jkx
Switch(config)#enable secret xgu 设置进入特权模式的加密密码为xgu
Switch (config)#line console 0 //进入line子模式
Switch (config-line)#password jkx1 //设置console口登录密码为jkx1
Switch (config-line)#login //密码使能命令
Switch (config-line)#exit //回到上一级模式
Switch (config)#line vty 0 15 //配置VTY0到VTY15的密码
Switch (config-line)#password network //设置远程登录密码为network
Switch (config-line)#login //密码使能命令
Switch (config-line)#exit //回到上一级模式
Switch (config)# //全局配置模式提示符
(五)配置交换机名称、IP地址及默认网关
Switch>enable //进入特权模式
Switch# //特权模式提示符
Switch#configure terminal //进入全局配置模式
Switch(config)# //全局配置模式提示符
Switch(config)#hostname jkx //配置交换机的名称为jkx
jkx(config)#interface vlan 1 //进入交换机的管理VLAN,即VLAN1的接口模式
jkx(config-if)#ip address 192.168.1.1 255.255.255.0 //配置交换机的IP为192.168.1.1/24
jkx(config-if)#no shutdown //激活当前端口
jkx(config-if)#exit
jkx(config)#ip default-gateway 192.168.1.254 //配置默认网关
(六)保存配置参数
Switch#copy running-config startup-config //将RAM中运行的配置参数保存到NVRAM中
Destination filename [startup-config]?
Building configuration…
[OK]
Switch#copy running-config tftp: //将运行的配置参数保存到tftp服务器192.168.1.11上
Address or name of remote host []? 192.168.1.11
Destination filename [Switch-confg]?
!!! [OK - 938 bytes]
938 bytes copied in 0.078 secs (12000 bytes/sec)
Switch#copy startup-config running-config //将NVRAM中的配置参数恢复到RAM中
Destination filename [running-config]?
938 bytes copied in 0.416 secs (2254 bytes/sec)
Switch#
三、试验内容
1、配置拓扑图中交换机1的名字为SW1:
Switch>enable
Switch#configure terminal
Switch(config)#hostname SW1
SW1(config)#
2、对交换机1配置口令:
(1)分别设置进入特权模式的普通口令与加密口令:
SW1(config)#enable password jkx
SW1(config)#enable secret xgu
SW1(config)#
(2)分别设置进入控制台0的口令与远程登录的口令:
SW1(config)#line console 0
SW1(config-line)#password jk1
SW1(config-line)#login
SW1(config-line)#exit
SW1(config)#line vty 0 15
SW1(config-line)#password jk2
SW1(config-line)#login
SW1(config-line)#exit
SW1(config)#
(3)以上四个口令分别用在什么环节?
enable设置的两个口令用于限制从用户模式进入特权模式
line console 中设置的口令用于限制从CONSOLE口登录此设备
line vty中设置的口令用于限制从网络登录此设备
3、对交换机1配置管理IP地址:192.168.1.254/24
SW1(config)#interface vlan 1
SW1(config-if)#ip address 192.168.1.254 255.255.255.0
SW1(config-if)#
SW1#
4、查看两个交换机的端口,哪些处于转发状态?哪些处于阻塞状态?为什么?
在两个交换机的特权模式下使用show spanning-tree brief(PT中去掉brief参数)命令可以发现:交换机1上的端口f0/1、f0/2、f0/11、f0/12都处于转发状态,这是因为在STP协议下SW1是根桥的原因;交换机2上的端口f0/1、f0/2、f0/11都处于转发状态,f0/12处于阻塞状态,这是因为交换机2是非根桥,为了防止出现环路,STP协议根据优先级将f0/12阻塞了。
5、设四个PC机的E0口速率为全双工10Mbps,请设置交换机的相关端口速率与PC机一致:
SW1(config)#interface fastEthernet 0/1
SW1(config-if)#speed 10
SW1(config-if)#duplex full
SW1(config-if)#exit
SW1(config)#interface fastEthernet 0/2
SW1(config-if)#speed 10
SW1(config-if)#duplex full
SW1(config-if)#exit
交换机2上可做类似配置
6、查看这两个交换机上有哪些端口UP?哪些端口DOWN?为什么?
在特权模式下使用show ip interface brief可发现:交换机1与2上f0/1-2,f0/11-12端口状态都是UP,其它端口DOWN,这是因为这四个端口均连接有对端设备,且对端设备正常工作,而其它端口未连接对端设备。
实验四 VLAN配置
一、实验目的
1、熟悉cisco交换机的VLAN配置过程
二、相关知识
虚拟局域网VLAN(Virtual Local Area Network)是以局域网交换机为基础,通过交换机软件实现根据功能、部门、应用等因素将设备或用户组成虚拟工作组或逻辑网段的技术。其最大的特点是在组成逻辑网时无须考虑用户或设备在网络中的物理位置。VLAN可以把同一个物理网络划分为多个逻辑网段,因此,Vlan可以抑制网络风暴、增强网络的安全性。
进行VLAN配置需了解以下知识:
1VLAN的实现方式:
静态VLAN :直接设置交换机的端口属于某个VLAN。此方法较为安全、可靠。
动态VLAN :使用智能管理软件根据MAC地址进行VLAN的划分。但MAC地址具有欺骗性,此种方法不太可靠
2VLAN标识
VLAN帧标识存放在每个帧的头部中,每台交换机都要检查此标识以决定此帧所属的VLAN,交换机间交换VLAN信息的协议有两种:
CISCO ISL协议:仅用于Cisco设备环境
IEEE 802.1Q协议:用于不同设备间
3交换网中链路的类型
接入链路 :access
此种链路只允许一个VLAN
干道链路(又叫中继链路):trunk
此链路可以传递多个VLAN
混合链路 :可传输两种帧(带VLAN信息的帧与不带VLAN信息的帧)
4VTP及其工作模式
VLAN中继协议(VLAN Trunk Protocol)即VTP,也称为VLAN主干,是指在交换机与交换机或交换机与路由器之间连接的情况下,在互相连接的端口上配置中继模式,可以便得属于不同的VLAN的数据都可以通过这条中继链路进行传输。VTP可以在交换网络中提供跨交换机VLAN实现的一致性,同时也为了降低跨交换机配置和管理VLAN的复杂性。 VTP有三种工作模式:
服务器模式:server
可进行VLAN的创建、更改、删除,并自动将VLAN的信息向同一个VTP域内的其它交换机广播
客户模式 :client
只能被动接收VTP server的VLAN配置
透明模式 :transparent
可独立配置自己的VLAN,但不与其它交换机交换本机的VLAN信息,同时转发其它交换机发来的VLAN信息。
5VLAN配置的基本任务
创建VTP域并进行VTP工作模式的设置。(非必须配置)
配置VLAN Trunk端口。(非必须配置)
在VTP server上创建VLAN。
将交换机的端口指派给所属的VLAN。
三、试验内容
PC1-PC4的IP地址:10.1.1.1-10.1.1.4/24
1.完成各PC机的IP地址配置。
2.在交换机1上创建VLAN2及VLAN3。并设置其VTP模式为server,域名为jkx。
3.设置交换机2,使其VLAN的管理由交换机1完成。
4.交换机2获得了VLAN配置信息没有?怎样才能使其获得VLAN的配置信息?
5.将两台交换机的fa0/1划分到VLAN2中、fa0/2划分到VLAN3中。
6.测试在PC1上能否ping通PC2、PC3、PC4?为什么?
实验参考步骤如下:
- 。。。。。。(依据具体实验环境而定)
2.进入交换机1的配置环境:
Switch#vlan database
Switch(vlan)#vlan 2
Switch(vlan)#vlan 3
Switch(vlan)#vtp domain jkx
Switch(vlan)#vtp server
Switch(vlan)#exit
3.进入交换机2的配置环境:
Switch#vlan database
Switch(vlan)#vtp domain jkx
Switch(vlan)#vtp client
Switch(vlan)#exit
4.进入交换机2的配置环境:
Switch#show vlan-switch brief (此命令用于路由器的交换模块上查看VLAN信息)
Switch#show vlan brief (此命令用于二层交换机上查看VLAN信息)
通过查看并没有发现交换机1上创建的VLAN2与3.要使交换机2得到VLAN的配置信息,必须进行TRUNK的配置.在两个交换机的fa0/11-12端口上分别进行以下配置:
Switch#conf t
Switch(config)#interface fastethernet 0/11
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit
Switch#conf t
Switch(config)#interface fastethernet 0/12
Switch(config-if)#switchport mode trunk
Switch(config-if)#
5.进入交换机1的配置环境
Switch#conf t
Switch(config)#interface fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#interface fa0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 3
Switch(config-if)#end
在交换机2上也要进行类似的配置,完成将相应端口划分到指定VLAN中.
6……(根据实验具体情况如实描写)
实验五 VLAN负载均衡
一、实验目的
1、了解生成树的相关特性
2、掌握PVST的均衡配置
二、相关知识
1生成树相关内容
生成树有两种工作级别:
桥级别(bridge level):生成树算法为每台交换机计算桥的标志级数(Bridge Identifier,也称桥ID),然后设定根桥(Root Bridge)和指定桥(Designated Bridges)
端口级别(port level):在端口一级上,生成树算法设定根端口(Root Port)和指定端口(Designated Ports)
桥级别(bridge level)任务:
根桥(Root Bridge):具有最小桥ID的交换机是根桥。
桥ID=桥优先级(Bridge Priority)+交换机MAC
桥ID小的交换机将成为根桥。桥优先级可以自行指定,默认为32768、范围是0-65535
指定桥(Designated Bridge):在每个网段中,到根桥的路径开销(根路径开销)最低的桥将成为指定桥。若网段内有多个交换机具有相同的根路径开销,那么具有最低桥ID的交换机才会被定为指定桥
根路径开销:一台交换机的根路径开销是根端口的路径开销与数据包经过的所有交换机的根路径开销之和。根桥的根路径开销是零。
端口级别(Port Level)任务:
根端口:每台交换机都有一个根端口,这个端口到达根桥的路径开销最低。一旦多个端口具有相同的到根桥的路径开销时,那么具有最低的端口优先级别的才会成为根端口。
到达路径的开销一般以带宽为依据,IEEE802.1d规定的路径的代价既开销(cost)如下:
10Gbps=2 1Gbps=4 100Mbps=19 10Mbps=100
开销小的将被选择为根端口。
指定端口:每个网段必须选择一个非根桥的端口作为指定端口,指定端口到根桥的路径开销最低。凡根网桥上的端口均为指定端口。
2STP的选举原则
(1)选举根桥(Root Bridge)Minimum(BridgeID)
BridgeID = Bridge Priority + Bridge MAC Address
0~65535(缺省:32768)
(2)在每个非根桥上选举一个根端口(Root Port)
Minimum(到达根桥的Cost)
Minimum(Sending Bridge ID)
Minimum(Sending PortID):
PortID = Port Priority + Port No.
0~255(缺省128)
(3)给每个网段选择一个指定端口(Designated Port)
Minimum(到达根桥的Cost)
Minimum(Sending Bridge ID)
Minimum(Sending PortID):
PortID = Port Priority + Port No.
0~255(缺省128)
3生成树协议的配置
(1)关闭/启用STP
Cisco的交换机默认是开启PVST的,也就是开启每VLAN的STP协议。因此一般无须为交换机启用STP。如果确认在LAN内没有拓扑环路,可以禁用Spanning-Tree,以减少端口接入时等待的时间。
Switch# configure terminal进入全局配置模式
Switch(config)# no spanning-tree vlan vlan-id
//关闭某一VLAN的STP(Cisco的交换机默认是基于每VLAN的,vlan-id 指定关闭的VLAN ID)
启用:Switch(config)#spanning-tree vlan vlan-id
(2)将交换机配置为根桥
交换机出厂时默认的桥优先级为32768,配置spanning-tree vlan vlan-id root primary后,将使此交换机的优先级值减少,并保证比其他交换机低,使之成为相应VLAN-id的根桥。
Switch(config)#spanning-tree vlan vlan-id priority priority
vlan-id: 指定的VLAN ID,可以用连接号或逗号隔开多个。
Priority :范围为0~65535,默认为32768,数据最小的将被选为根桥
(3)配置端口的开销
Switch(config)#interface interface-id //进入端口配置模式
Switch(config-if)# spanning-tree cost cost //默认配置VLAN1中此端口的cost值。
cost参考:10Gbps=2 1Gbps=4 100Mbps=19 10Mbps=100
Switch(config-if)# spanning-tree vlan vlan-id cost cost //配置特定VLAN中端口的开销
(4)配置端口的优先级
Switch(config-if)#spanning-tree port-priority priority
配置VLAN1中此端口的优先级,Priority 范围为0~255,步长为16(非16的步长值,不接受),默认为128,数据越小优先级越大
Switch(config-if)#spanning-tree vlan vlan-id port-priority priority
//配置一个特定VLAN中端口的优先级
三、试验内容
此试验必须使用Dynamips仿真环境
1.此LAN中,那台交换机是根桥?那个交换机端口被阻塞了?为什么?
Sw1是根桥 ,SW2的f0/14端口block了,可以通过
SW1#show spanning-tree brief
查看到This bridge is the root的提示信息,sw1成为根桥的原因是由于其桥MAC比sw2的值小;SW2的f0/14被阻塞是由于其接收到端口ID比sw2的f0/13大。
2.配置非根桥的阻塞端口的优先级为64后,非根桥端口的状态有无变化?
SW2(config)#int f0/14
SW2(config-if)#spanning-tree port-priority 64
SW2(config-if)#end
SW2#show spanning-tree brief
可以看到非根桥的f0/13、f0/14端口状态无变化
3.配置阻塞端口对接的端口优先级为64后,非根桥端口的状态有无变化?
SW1(config)#int f0/14
SW1(config-if)#spanning-tree port-priority 64
SW1(config-if)#end
SW2#show spanning-tree brief
可以看到SW2的f0/14端口状态为转发,而f0/13被阻塞。
4.配置阻塞端口的开销(cost)为10后,非根桥端口的状态有无变化?
SW2(config)#int f0/13
SW2(config-if)#spanning-tree cost 10
SW2(config-if)#end
SW2#show spanning-tree brief
可以看到SW2的f0/14端口状态变为阻塞,而f0/13为转发。
5.配置在SW1、SW2上分别创建VLAN2-3,并设置trunk口.
SW1#vlan database
SW1(vlan)#vlan 2
SW1(vlan)#vlan 3
SW1(vlan)#exit
SW1#conf ter
SW1(config)#int range f0/13 – 14
SW1(config-if)#switchport mode trunk
SW1(config-if)#end
SW2的配置与此类似,请自行完成。
6. 查看非根桥上端口f0/13、f0/14的状态,结果如何?
SW1#show spanning-tree int f0/13 brief
可以看到f0/13端口转发VLAN1、2、3
SW1#show spanning-tree int f0/14 brief
可以看到f0/14端口对于VLAN1、2、3均为block
7.在阻塞端口上配置VLAN2的开销(cost)为10后,非根桥端口f0/13、f0/14的状态有无变化?
SW2(config)#int f0/14
SW2(config-if)#spanning-tree vlan 2 cost 10
SW2(config-if)#end
SW2#show spanning-tree interface f0/13 brief
SW2#show spanning-tree interface f0/14 brief
可以发现f0/13端口对于VLAN2是阻塞的,而f0/14端口对于VLAN2是转发的,即原来阻塞的f0/14端口现在可以转发VLAN2的帧,没有全部阻塞。
8.如果对根桥相应的端口进行端口优先级的设置能否使非根桥的阻塞端口转发VLAN3?为什么?
SW1(config)#int f0/14
SW1(config-if)#spanning-tree vlan 3 port-priority 32
SW1(config-if)#end
SW2#show spanning-tree interface f0/14 brief
可以发现没有转发VLAN3的帧,原因是f0/13的cost值更低 。
实验六 路由器的基本配置
一、实验目的
1、掌握路由器的基本配置
2、熟悉静态路由的配置
二、相关知识
1路由器的组成
硬件:主要由处理器、内存、接口、控制端口等物理硬件和电路组成。其实就是一种具有多个输入端口和多个输出端口的专用计算机,与一台普通计算机的主机的硬件结构大致相同。
软件:IOS(Internetworking Operating System ),IOS存在多个不同版本,类似DOS或Linux环境。
(1)路由器的处理器(CPU)
路由器的CPU负责处理数据包所需的工作,如协议转换、维护路由表、选择最佳路由和转发数据包。不同产品的路由器,其CPU也不尽相同,其处理数据包的速度在很大程度上取决于处理器(CPU)的性能。
(2)路由器的内存
路由器主要采用4种类型的内存:ROM、Flash RAM、NVRAM 、RAM 。
ROM保存着路由器IOS操作系统的引导部分,负责路由器的引导和诊断。它是路由器的启动软件,负责使路由器进入正常的工作状态。ROM通常存放在一个或多个芯片上,或插接在路由器的主板上。
Flash RAM(闪存)保存IOS软件的扩展部分(相当于硬盘),维持路由器的正常工作。当路由器中安装了闪存,它就是引导路由器IOS软件的默认位置。FLASH的内容可擦写(即可以对IOS进行升级),在系统断电后内容不会丢失。
NVRAM(非易失性RAM)保存IOS在路由器启动时读入的启动配置数据。当路由器启动时,首先寻找并执行该配置,并将此处的配置数据加载到RAM中。NVRAM在系统断电后内容不会丢失,因此在进行了设备的相关配置成功后,就应该将配置数据保存到此内存中。
RAM(随机存取内存)主要存放IOS系统的路由表和缓冲(运行配置)数据,IOS通过RAM满足其所有的常规存储的需要。RAM在路由器或交换机启动或断电时,内容会丢失。对运行设备的现场配置参数均在RAM中,因此配置成功后一定要将RAM中的配置数据保存到NVRAM中。
路由器或交换机启动时:
首先运行ROM中的程序,进行系统自检及引导;然后运行FLASH中的IOS;IOS启动成功后,在NVRAM中寻找配置数据,并将它装入到RAM中运行相关配置。
(3)路由器的物理接口
1)局域网端口
AUI端口:即粗缆口,连接10Base-5以太网络。
RJ45端口:双绞线以太网端口,在路由器中,10Base-T网的RJ-45端口标识为“ETH”,100Base-TX 网的RJ-45端口标识为“10/100bTX”。
SC端口:光纤端口,连接快速以太网或千兆以太网交换机,以“100b FX”或“1000b FX”标注
2)广域网端口
高速同步串口Serial:可连接DDN、帧中继和X.25等。
同步/异步串口ASYNC:用于Modem或Modem池的连接,实现远程计算机通过公用电话网拨入网络。
ISDN BRI端口:用于ISDN线路通过路由器实现与Internet或其他远程网络的连接,可实现128Kbps的通信速率。
3)配置端口
AUX端口:该端口为异步端口,主要用于远程配置、拨号备份、Modem连接。
Console端口:该端口为异步端口,主要连接终端或支持终端仿真程序计算机,在本地配置路由器。在网络管理中,网络管理员第一次配置路由器或交换机时,都要通过这个端口进行配置。
2路由器基本配置
路由器的基本配置(CONSOLE连接方式、密码配置、名称配置、工作模式切换等)与交换机的基本配置基本类似,请参见交换机的基本配置实验。
路由器的接口(端口)配置
路由器接口的配置包括接口的IP地址、子网掩码、接口描述等内容。
路由器的不同接口的IP网络号必须不同!!!!!
在全局配置模式下使用interface命令可以进入相应的接口配置模式
注:对于不同设备的不同接口,其表示形式是不同的。配置前可使用show ip interface brief查看具体接口型号。
路由器接口配置示例:
R_A(config)#interface f0/0 //进入接口配置模式,对f0/0端口进行配置
R_A(config-if)# //接口配置模式提示符
R_A(config-if)# ip address 192.168.1.1 255.255.255.0
//配置接口的IP地址为192.168.1.1,子网掩码为255.255.255.0
R_A(config-if)#duplex full //启用全双工模式
R_A(config-if)#no shutdown
//激活接口,如果要手工管理性关闭接口,则使用“shutdown”命令
R_A(config-if)#end //直接返回到特权模式
R_A#show interface //查看配置后接口状态
3静态路由配置
全局配置模式下使用:
ip route 目标网络号 掩码 下一跳或转发端口
例:Router(config)#ip route 30.0.0.0 255.0.0.0 s0/0
功能:设置到目标网络30.0.0.0/8的数据报从串口0/0转发
对于Stub网络,可直接使用: ip route 0.0.0.0 0.0.0.0 转发端口
4缺省路由
缺省路由是为所有在路由表中找不到明确对应的路由项时所指定的路由,可以通过两种方式设置缺省路由:
ip route c1 c2 c3
//c1为目标网络ID,c2为对应子网掩码,c3为本地转发端口名或下一跳IP地址
ip default-network c1
//c1为转发端口所在的网络号
5删除静态或缺省路由:在相应配置命令前加no即可。
三、实验内容
其中:
Router1的f0/1:192.168.1.1/24
Router1的f0/0:10.1.1.1/24
Router2的f0/1:192.168.1.2/24
Router2的f0/0:10.1.2.1/24
PC1/PC2的IP:10.1.1.2/10.1.1.3
PC3/PC4的IP:10.1.2.2/10.1.2.3
1、设置ROUTER1设置console口密码为jkx,VTY密码为xgu,enable password密码为jkx1,enable secret密码为jkx2。这些密码各自的作用是什么?
Router#conf t
Router(config)#line console 0
Router(config-line)#password jkx
Router(config-line)#login
Router(config-line)#exit
Router(config)#line vty 0 5
Router(config-line)#password xgu
Router(config-line)#login
Router(config-line)#exit
Router(config)#enable password jkx1
Router(config)#enable secret jkx2
密码作用请自行查看课件。
2、在Router1路由器上配置f0/0与f0/1口的IP地址。
在Router1路由器上配置f0/0与f0/1口的IP地址。
Router#conf t
Router(config)#interface f0/1
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface f0/0
Router(config-if)#ip address 10.1.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#
3、在Router2路由器上配置f0/0与f0/1口的IP地址
在Router2路由器上配置f0/0与f0/1口的IP地址。
Router#conf t
Router(config)#interface f0/1
Router(config-if)#ip address 192.168.1.2 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface f0/0
Router(config-if)#ip address 10.1.2.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#
4、配置PC1至PC4的IP地址。
(请根据模拟软件自己描述PC机的IP配置过程)
5、在PC1上使用ping命令测试它可以和哪些路由器端口连通?
(请自行使用ping命令检测具体实验结果)
6、在Router1与Router2上配置静态路由,使PC1能与PC3/PC4连通。
Router1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
Router2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1
7、为了确保路由器重启后,以上配置参数有效,应如何操作?
Router1#copy run start
Router2#copy run start
实验七 动态路由配置
一、实验目的
1.掌握RIP协议的相关配置
2.掌握OSPF协议的相关配置
二、相关知识
1RIP协议相关知识
RIP属于距离矢量路由协议,使用跳数作为路径选择的参数,并规定以目标网络的最大跳数为15,如果超过此跳数,则直接丢弃数据包;RIP路由协议每30秒更新一次,并在相邻路由器上进行路由信息广播。
RIP为路由消息协议,存在两个版本V1、V2。RIP V2是V1的改进版本,RIP v2支持VLSM,并提供认证、使用组播地址224.0.0.9传递路由信息
相关配置命令:
Router(config)#router rip //进入路由配置模式
Router(config-router)#version 1/2 //指定RIP的版本为1或2
Router(config-router)#network M1 //指定本地端口连接的网络ID,M1为网络ID
2OSPF协议相关知识
OSPF是一种典型的链路状态路由协议。采用OSPF的路由器彼此交换并保存整个网络的链路信息,从而掌握全网的拓扑结构,独立计算路由。
OSPF作为一种内部网关协议(Interior Gateway Protocol,IGP),用于在同一个自治域(AS)中的路由器之间发布路由信息。区别于距离矢量协议(RIP),OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点,在目前应用的路由协议中占有相当重要的地位。
OSPF协议引入“分层路由”的概念,将网络分割成一个“主干”连接的一组相互独立的部分,这些相互独立的部分被称为“区域” (Area),“主干”的部分称为“主干区域(area 0)”。每个区域就如同一个独立的网络,该区域的OSPF路由器只保存该区域的链路状态。每个路由器的链路状态数据库都可以保持合理的大小,路由计算的时间、报文数量都不会过大。 在多于一个区域的自治系统中,OSPF 规定必须有一个骨干区(backbone)-area 0,骨干区是 OSPF的中枢区域,它与其他区域通过区域边界路由器(ABR)相连。
相关配置命令:
Router(config)#router OSPF process-number
//参数process-number表示路由进程编号,其取值范围是:1~65535
Router(config-router)#network network-address wildcard-mask area area-number
//参数network-address表示IP子网号;wildcard-mask表示通配符掩码,它是子网掩码的反码;area-number区域号,0~4 294 967 295范围内的十进制数,也可以用点分十进制的方法表示。
三、实验内容
实验拓扑图如下所示,其中:
Router1的f0/1:192.168.1.1/24
Router1的f0/0:10.1.1.1/24
Router2的f0/1:192.168.1.2/24
Router2的f0/0:10.1.2.1/24
PC1/PC2的IP:10.1.1.2/10.1.1.3
PC3/PC4的IP:10.1.2.2/10.1.2.3
各个路由器上已经完成了基本配置 ,现要求:
1、在各路由器上完成RIP的基本配置,并写出相应的配置命令行。
RA#conf ter
RA(config)#router rip
RA(config-route)#version 2
RA(config-route)#network 10.1.1.0
RA(config-route)#network 192.168.1.0
RA(config-route)#exit
(路由器B与此类似。。。。。。)
2、查看并简要写出各个路由器上查看到的路由选择。
(到每个路由器上使用show ip route命令可以查看到相应的路由表,请将主要的路由信息写下来。。。。。 )
RA#show ip route
R 10.0.0.0/8 [120/1] via 192.168.1.2, 00:00:24, FastEthernet0/1
C 10.1.1.0/24 is directly connected, FastEthernet0/0
C 192.168.1.0/24 is directly connected, FastEthernet0/1
RB# show ip route
R 10.0.0.0/8 [120/1] via 192.168.1.1, 00:00:04, FastEthernet0/1
C 10.1.2.0/24 is directly connected, FastEthernet0/0
C 192.168.1.0/24 is directly connected, FastEthernet0/1
3、清除各路由器上的RIP配置
RA(config)# no router rip
RB(config)# no router rip
4、在各路由器上完成OSPF的配置,并写出相应的配置命令行。
路由器A的OSPF配置:
RA(config)#router ospf 111
RA(config-route)#network 10.1.1.0 0.0.0.255 area 0
RA(config-route)#network 192.168.1.0 0.0.0.255 area 0
(路由器B与此类似。。。。。。)
实验八 访问控制列表
一、试验目的
1.熟悉路由器的标准访问控制列表配置方法
2.了解路由器的扩展访问控制列表配置方法
二、相关知识
访问控制列表(Access Control List ,简称ACL)既是控制网络通信流量的手段,也是网络安全策略的一个组成部分。每一个ACL列表可以由一条或若干条指令组成,对于任一个被检查的数据包,依次用每一指令进行匹配,一旦获得匹配,则后续的指令将被忽略。
路由器为不同的网络协议定义不同的ACL列表。为了标识与不同的网络协议对应的ACL,可以采用数字标识的方式。在使用ACL数字标识时,必须为每一协议的访问控制列表分配唯一的数字,并保证该数字值在所规定的范围内。标准IP协议的ACL取值范围:1-99; 扩展IP协议的ACL取值范围:100-199。
1标准ACL的相关知识
标准ACL是指基于数据包中的源IP地址进行简单的包过滤的访问控制列表,其通过检查数据包的源地址,来确定是允许还是拒绝基于网络、子网络或主机IP地址的某一协议簇通过路由器的接口。
(1)标准ACL列表的定义
Router(config)# access-list access-list-number {deny | permit} source [source-wildcard ][log]
Access-list-num:ACL号(1-99)
Deny:若测试条件成立,则拒绝相应的数据包
Permit:若测试条件成立,则接受相应的数据包
Source:源IP地址(网络或主机均可)
Source-wildcard:与源IP地址配合使用的通配掩码
Log:是否就ACL事件生成日志
(2)标准ACL列表的接口配置
Router(config-if)#ip access-group access-list-number {in | out}
此命令用于将已经定义的标准ACL列表应用于相应的路由器端口。
in:指定相应的ACL被用于对从该接口进入的数据包进行处理。
out:指定相应的ACL被用于对从该接口流出的数据包进行处理。
注:在路由器的每一个端口,对每个协议、在每个方向上只能指定一个ACL列表
2扩展ACL的相关知识
扩展ACL是对标准ACL功能上的扩展,其不仅可以基于源和目标IP地址数据包的测试,还可基于协议类型和TCP端口号进行数据包的测试,从而较标准的ACL提供了更强大的包过滤功能和设置上的灵活性
扩展ACL通常用于下列情况
指定源和目标地址的包过滤
指定协议类型的包过滤
指定传输层端口号的包过滤
(1)扩展ACL列表的定义
Router(config)#access-list access-list-number {permit | deny} protocol source [source-mask destination destination-mask][ operator operand] [established] [precedence priority] [tos type of service]
参数含义:
access-list-number:ACL表号(100-199)
protocol:指定协议,如IP、TCP、UDP等
source /destination:源/目的IP地址(网络或主机也可以)
source /destination-mask:与上述IP地址配合使用的通配掩码
operator:表示关系如lt小于、gt大于、eq相等、neq不相等
operand:端口号,如80、21等
established:若数据包使用一个已建立连接,则允许TCP通信通过
Priority:设置数据包的优先级0-7
type of service:设定服务类型0-15
(2)扩展ACL列表的接口配置
Router(config-if)#ip access-group access-list-number {in | out}
参数含义同标准ACL定义
三、实验内容
1设网络拓扑图如上,已经按下列要求配置完IP地址
Router_A: f0/0为10.1.1.1/24 f0/1为20.1.1.1/24
Router_B: f0/0为10.1.1.2/24 f0/1为30.1.1.1/24
PC1的IP为20.1.1.2/24;PC3的IP为30.1.1.2/24;
请配置两个路由器的路由,使PC1与PC3互联互通。
RA(config)#ip route 30.1.1.0 255.255.255.0 f0/0
RB(config)# ip route 20.1.1.0 255.255.255.0 f0/0
2请在路由器A上配置标准ACL:拒绝PC3来的数据包到达左边的网络,而其它PC可以达到。
在路由器A上配置ACL:
RA(config)#access-list 10 deny host 30.1.1.2
RA(config)#access-list 10 permit any
RA(config)#interface f0/0
RA(config-if)#ip access-group 10 in
3请在路由器A上配置标准ACL:拒绝PC1与外网的通信,而PC2可以。
在路由器A上配置ACL:
RA(config)#access-list 20 deny host 20.1.1.2
RA(config)#access-list 20 permit any
RA(config)#interface f0/1
RA(config-if)#ip access-group 20 in
4请在路由器B上配置标准ACL:拒绝与QQ服务器219.133.49.171的任何通信,而其它通信允许。
在路由器B上配置ACL:
RB(config)#access-list 30 deny host 219.133.49.171
RB(config)#access-list 30 permit any
RB(config)#interface f0/0
RB(config-if)#ip access-group 30 in
5在进行网络控制时,标准ACL的局限是什么?
标准ACL的局限是只能根据数据包的源IP地址进行访问控制,而不能进行其它更灵活的控制。
实验九 网络地址翻译
一、实验目的
1.了解掌握网络地址翻译的相关概念
2.掌握NAT的基本配置过程
二、相关知识
网络地址翻译(NAT)可以将内部网络的私有IP翻译为Internet合法IP,从而可以方便解决LAN内大量IP地址的申请问题。NAT是一种用来让使用私有地址的主机访问Internet的技术。这项技术的核心是将私有地址转换为可以在公网上被路由的公有IP地址;PAT又称多端口地址转换(port address translation),是对NAT功能的一种改进。PAT能使多个内部地址映射到同一个全球地址,故又被称为“多对一”NAT
1 NAT的静态配置命令
配置静态NAT的步骤:
首先,在路由器的全局配置模式下输入以下命令建立内部本地地址与外部的全球地址的静态转换关系
Router(config)#ip nat inside source static local-ip global-ip
//参数“local-ip”和“global-ip”分别表示内部私有地址和外部公有地址。
第二步,在全局配置模式下指定NAT内部相连的接口:
Router(config)#interface type number
Router(config-if)#ip nat inside
最后,在全局配置模式下定义NAT与外部相连的接口:
Router(config)#interface type number
Router(config-if)#ip nat outside
2 NAT的动态配置命令
动态NAT的配置步骤:
首先定义一个全球地址池:
Router(config)#ip nat pool name start-ip end-ip {netmask netmask|prefix-length prefix-length}
第二步,定义标准访问控制列表(指定哪些地址进行NAT转换)
Router(config)#access-list access-list-number permit source [source-wildcard]
第三步,用下面的命令句法建立动态的源地址转换
Router(config)#ip nat inside source list access-list-number pool name
最后,指定NAT与内部相连的接口、NAT与外部相连的接口:
Router(config)#interface type number
Router(config-if)#ip nat inside
Router(config)#interface type number
Router(config-if)#ip nat outside
3 PAT的配置
PAT配置的步骤:
首先定义一个标准访问控制列表,以指定哪些地址可以被进行PAT转换。
Router(config)#access-list access-list-number permit source [source-wildcard]
其次,指定所采用的PAT方式(有两种):
将多个内部地址映射到同一个公有地址:
Router(config)#ip nat inside source list acl-number interface interface overload
指定采用将PAT与到一个NAT池的动态映射一起使用方式的配置命令
Router(config)#ip nat pool name start-ip end-ip {netmask netmask |prefix-length prefix-length}
Router(config)#ip nat inside source list acl-number pool name overload
以上两种PAT方式只需选择一种即可。参数overload允许内部多个地址使用相同的外部全局地址
最后,指定NAT与内部相连的接口,指定NAT与外部相连的接口:
Router(config)#interface type number
Router(config-if)#ip nat inside
Router(config)#interface type number
Router(config-if)#ip nat outside
4 检测NAT
Clear ip nat …… 清除nat的相关参数
Show ip nat translation 查看NAT翻译的结果
Show ip nat statistics 查看NAT连接的统计信息
三、实验内容
DNS服务器:192.168.1.20/24; sohu的Web服务器:221.236.12.136/24
Router1的f0/1:192.168.1.1/24 f0/0:61.183.22.136/24
Router2的f0/1:221.236.12.254/24 f0/0:61.183.22.254/24
PC1:192.168.1.11/24 ;PC2:192.168.1.12/24
1、拓扑图中设备各端口IP已经配置成功,DNS服务器与Web服务器也配置完成。PC1、PC2的默认网关与DNS服务器参数应如何配置?Router1与Router2上的路由应如何配置?请完成这些操作,使左右网络相连通。
PC1与PC2的默认网关参数为为192.168.1.1,DNS服务器参数为192.168.1.20
Router1(config)#ip route 0.0.0.0 0.0.0.0 f0/0
Router2(config)#ip route 0.0.0.0 0.0.0.0 f0/0
此时在PC1或PC2上可以ping通www.sohu.com,证明左右网络已经相连通.
2、在PC1的WEB浏览器上打开www.sohu.com,同时到WEB服务器上查询TCP的连接,其结果如何?此时访问WEB服务器在外部IP是什么?
SERVER>netstat
Active Connections
Proto Local Address Foreign Address State
TCP 221.236.12.136:80 192.168.1.11:1027 SYN_RECEIVED
由此可以发现此时访问WEB服务器的外部IP是192.168.1.11
3、在Router1上配置静态NAT,使内部IP地址192.168.1.11与外部IP地址61.183.22.138建立映射关系.重新操作第2步,结果如何?
Router(config)#ip nat inside source static 192.168.1.11 61.183.22.138
Router(config)#int f0/0
Router(config-if)#ip nat outside
Router(config-if)#exit
Router(config)#int f0/1
Router(config-if)#ip nat inside
重新操作第2步的结果为:
SERVER>netstat
Active Connections
Proto Local Address Foreign Address State
TCP 221.236.12.136:80 61.183.22.138:1030 SYN_RECEIVED
由此可以发现此时访问WEB服务器的外部IP是61.183.22.138,而不是PC1的IP!
4、在Router1上配置动态NAT:全局地址池为61.183.22.130-137,左边LAN内在PC都可使用这些全局IP.到PC2上重新操作第2步,结果如何?
Router(config)#ip nat pool xgu 61.183.22.130 61.183.22.137 netmask 255.255.255.0
Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255
Router(config)#ip nat inside source list 10 pool xgu
重新操作第2步的结果为:
SERVER>netstat
Active Connections
Proto Local Address Foreign Address State
TCP 221.236.12.136:80 61.183.22.130:1031 CLOSED
由此可以发现此时访问WEB服务器在外部IP是61.183.22.130
5、在Router1上配置PAT:使LAN内所有PC机都复用全局地址61.183.22.140. 到PC2上重新操作第2步,结果如何?
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#ip nat pool jk 61.183.22.140 61.183.22.140 netmask 255.255.255.0
Router(config)# ip nat inside source list 1 pool jk overload
重新操作第2步的结果为:
SERVER>netstat
Active Connections
Proto Local Address Foreign Address State
TCP 221.236.12.136:80 61.183.22.140:1027 CLOSED
由此可以发现此时访问WEB服务器在外部IP是61.183.22.140
实验十 防火墙基本配置
一、实验目的
1.了解Cisco PIX的相关知识
2.了解PIX相关配置命令
二、相关知识
1Cisco PIX简介
PIX是Cisco的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。 PIX有很多型号,并发连接数是PIX防火墙的重要参数。典型的设备:PIX525、635、721等。
PIX防火墙常见接口有:Console、Ethernet 、 Failover等
网络区域:
内部网络:inside
外部网络:outside
中间区域:DMZ (停火区),放置对外开放的服务器。
2防火墙的基本拓扑环境:
3PIX防火墙的配置模式
PIX 7.x防火墙的配置模式与路由器类似,有4种管理模式:
pixfirewall>:用户普通模式
pixfirewall#:特权模式
pixfirewall (config)#:配置模式
pixfirewall(config-if)# :端口模式
PIX 6.x防火墙的配置模式只有前三个,端口模式的配置在配置模式下完成
PIX端口比较单一:Ethernet0、Ethernet1、 Ethernet2
4PIX基本配置命令
常用命令有:interface、Nameif、ip address、Nat、Global、Route、static等。
(1)interface
配置以太口工作状态,常见状态有三种:
auto:设置网卡工作在自适应状态。
100full:设置网卡工作在100Mbit/s、全双工状态。
shutdown:设置网卡接口关闭,否则为激活。
例如:
PIX525(config)#interface ethernet0 auto
PIX525(config)#interface ethernet1 100full
PIX525(config)#interface ethernet2 100full shutdown
Show interface可以查看配置结果
(2)nameif
设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。例如要求设置:
ethernet0命名为外部接口outside,安全级别是0。
ethernet1命名为内部接口inside,安全级别是100。
ethernet2命名为中间接口dmz, 安装级别为50。
使用命令:
PIX525(config)#nameif ethernet0 outside security0
PIX525(config)#nameif ethernet1 inside security100
PIX525(config)#nameif ethernet2 dmz security50
Show nameif可以查看配置结果
(3)ip address
配置网络接口的IP地址,例如:
PIX525(config)#ip address outside 92.168.1.1 255.255.255.0
PIX525(config)#ip address inside 10.0.1.1 255.255.255.0
PIX525(config)#ip address dmz 172.16.1.1 255.255.255.0
功能:内网inside接口使用私有地址10.0.1.1,外网outside接口使用公网地址92.168.1.1,DMZ接口IP为172.16.1.1。
(4)global
Global的功能:定义外部地址池。Global命令的配置语法:
global (ext_if_name) nat_id ip_address-ip_address [netmark global_mask]
其中:
(ext_ if_name):表示外网接口名称,一般为outside。
nat_id:建立的地址池标识(后面的nat要引用)。
ip_address-ip_address:表示一段ip地址范围。
[netmark global_mask]:表示全局ip地址的网络掩码。
例如:
PIX525(config)#global (outside) 1 92.168.1.5-92.168.1.15 netmask 255.255.255.0
地址池1对应的IP是: 92.168.1.5-92.168.1.15/24
PIX525(config)#global (outside) 1 133.1.1.100
地址池1只有一个IP地址 133.1.1.100
PIX525(config)#no global (outside) 1 133.1.1.100
表示删除这个全局表项。
(5)nat
地址转换命令,将内网的私有ip转换为外网公网ip。nat命令配置语法:
nat (if_name) nat_id local_ip [netmark]
其中:
(if_name):表示接口名称,一般为inside.
nat_id: 表示地址池,由global命令定义。
local_ip: 表示内网的ip地址。对于0.0.0.0表示内网所有主机。
[netmark]:表示内网ip地址的子网掩码。
在实际配置中nat命令总是与global命令配合使用。一个指定外部网络,一个指定内部网络,通过net_id联系在一起。例如:
PIX525(config)#nat (inside) 1 0 0
表示内网的所有主机(0 0)都可以访问由global指定的外网。(0 0 代表 0.0.0.0 0.0.0.0,表示任意网络。)
PIX525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有172.16.5.0/16网段的主机可以访问global指定的外网。
(6)route
route命令定义静态路由。语法:route (if_name) 0 0 gateway_ip [metric]
其中:
(if_name):表示接口名称。
0 0 :表示所有主机
Gateway_ip:表示网关路由器的ip地址或下一跳。
[metric]:路由花费。缺省值是1。
格式:route if_name 0 0 gateway_ip [metric]
例如:PIX525(config)#route outside 0 0 92.168.1.2
设置缺省路由从outside口送出,下一跳是92.168.1.2 。0 0 代表 0.0.0.0 0.0.0.0,表示任意网络。
PIX525(config)#route inside 10.0.1.0 255.255.255.0 10.0.1.1 1
设置到10.0.1.0网络的网关是10.0.1.1。最后的“1”是花费。
(7)static
配置静态IP地址翻译,使内部地址与外部地址一一对应。语法:
static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address
其中:
internal_if_name表示内部网络接口,安全级别较高,如inside。
external_if_name表示外部网络接口,安全级别较低,如outside。
outside_ip_address表示外部网络的公有ip地址。
inside_ ip_address表示内部网络的本地ip地址。
(括号内序顺是先内后外,外边的顺序是先外后内)
static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address
例如:PIX525(config)#static (inside,outside) 92.168.1.108 10.0.1.2
表示内部ip地址10.0.1.2 ,访问外部时被翻译成92.168.1.108全局地址。
PIX525(config)#static (dmz,outside) 92.168.1.118 172.16.1.50
表示中间区域ip地址172.16.1.50,访问外部时被翻译成92.168.1.118全局地址。
(8)conduit
管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。例如允许从outside到DMZ或inside方向的会话(作用同访问控制列表)。
语法: conduit permit|deny protocol global_ip port[-port] foreign_ip [netmask]
其中:
global_ip是一台主机时前面加host参数,所有主机时用any表示。
foreign_ip 表示外部ip。
[netmask] 表示可以是一台主机或一个网络。
例如:PIX525(config)# static (inside,outside) 92.168.1.128 10.0.1.22
PIX525(config)#conduit permit tcp host 10.0.1.22 eq www any
这个例子说明static和conduit的关系。 10.0.1.22是内网一台web服务器,现在希望外网的用户能够通过PIX防火墙访问web服务。
所以先做static静态映射: 10.0.1.2 -> 92.168.1.128
然后利用conduit命令允许任何外部主机对全局地址92.168.1.128进行http访问。
(9)访问控制列表ACL
访问控制列表的命令与couduit命令类似,例:
PIX525(config)#access-list 100 permit ip any host 133.0.0.1 eq www
PIX525(config)#access-list 100 deny ip any any
PIX525(config)#access-group 100 in interface outside
(10)fixup
作用是启用或禁止一个服务或协议,通过指定端口设置PIX防火墙要侦听listen服务的端口。例:
PIX525(config)#fixup protocol ftp 21
启用ftp协议,并指定ftp的端口号为21
PIX525(config)#fixup protocol http 8080
PIX525(config)#no fixup protocol http 80
启用http协议8080端口,禁止80端口。
(11)显示命令
show interface ;查看端口状态。
show static ;查看静态地址映射。
show ip ;查看接口ip地址。
show config ;查看配置信息。
show cpu usage ;显示CPU利用率
show traffic ;查看流量。
show blocks ;显示拦截的数据包。
show mem ;显示内存
实验十一 服务器常规配置
一、实验目的
1掌握WWW、FTP的配置
2了解DNS的基本配置过程
二、相关知识
1 WWW相关知识
(1)简介
World Wide Web(也称Web、WWW或万维网)是Internet上集文本、声音、动画、视频等多种媒体信息于一身的信息服务系统,整个系统由Web服务器、浏览器(Browser)及通信协议等3部分组成。WWW采用的通信协议是超文本传输协议(HTTP,HyperText Transfer Protocol),它可以传输任意类型的数据对象,是Internet发布多媒体信息的主要协议。
WWW中的信息资源主要由一篇篇的网页为基本元素构成,所有网页采用超文本标记语言(HTML,HyperText Markup Language)来编写,HTML对Web页的内容、格式及Web页中的超链进行描述。Web页间采用超级文本(HyperText)的格式互相链接。当鼠标的光标移到这些链接上时,光标形状变成一手掌状,点击即可从这一网页跳转到另一网页上,这也就是所谓的超链。
Internet中的网站成千上万。为了准确查找。人们采用了统一资源定位器(URL,Uniform Resource Locator)来在全世界唯一标识某个网络资源。其描述格式为:
协议://主机名称/路径名/文件名:端口号
例如:http://www.xgu.cn,客户程序首先看到http(超文本传输协议),知道处理的是HTML连接,接下来的是www.xgu.cn站点地址(对应一特定的IP地址),http协议默认使用的TCP协议端口为80,可省略不写。
在Windows 2000中推出了Internet Information Server 5.0(简称IIS5.0)提供了方便的安装和管理,增强的应用环境,基于标准的发布协议,在性能和扩展性方面有了很大的改进,为客户提供更佳的稳定性和可靠性。IIS是基于TCP/IP的Web应用系统,使用IIS可使运行Windows 2000的计算机成为大容量、功能强大的Web服务器。IIS不但可以通过使用HTTP协议传输信息,还可以提供FTP和Gopher服务,这样,IIS可以轻松地将信息发送给整个Internet上的用户。
(2)HTML语言的导读
HTML是WWW上专用的操作语言,在Web服务器中的信息组织和操作都要依靠HTML来完成。HTML的特点是标记代码简单明了、功能强大、可以定义显示格式、标题、字型、表格、窗口等;可以和WWW上任一信息资源建立超文本链接;可以辅助应用程序连入图像、视频、声频等多介质信息。HTML也存在一定的局限性,如只能选用Web资源的字体,排版功能较弱;忽略空格及自然格式,段落必须声明;在不同硬件环境下显示效果不同等。HTML的代码文件是一个纯文本文件(即ASCII码文件),通常以.html或.htm为文件后缀。
(3)配置管理WWW服务器
选择“开始”/“程序”/“管理工具”/“Internet服务管理器”,打开“Internet信息服务” 管理窗口,如图所示,窗口显示此计算机上已经安装好的Internet服务,而且都已经自动启动运行,其中Web站点有两个,分别是默认Web站点及管理Web站点。
1)使用IIS的默认站点
步骤一,将制作好的主页文件(html文件)复制到\Inetpub\wwwroot目录,该目录是安装程序为默认Web站点预设的发布目录。
步骤二,将主页文件的名称改为Default.htm。IIS默认要打开的主页文件是Default.htm或Default.asp,而不是一般常用的Index.htm。
完成这两个步骤后,打开本机或客户机浏览器,在地址栏中输入此计算机 IP地址或主机的JKX名字(前提是DNS服务器中有该主机的A记录)来浏览站点,测试Web服务器是否安装成功,WWW服务是否运行正常。
站点开始运行后,如果要维护系统或更新网站数据,可以暂停或停止站点的运行,完成上述工作后,再重新启动站点。
步骤一,打开“Internet信息服务窗口”,鼠标右键单击要创建新站点的计算机,在弹出菜单中选择“新建”/“Web站点”,出现“Web站点创建向导”,单击“下一步”继续。
步骤二,在“Web站点说明”文本框中输入说明文字,单击“下一步”继续,出现如图所示窗口,输入新建Web站点的IP地址和TCP端口地址。如果通过主机头文件将其它站点添加到单一IP地址,必须指定主机头文件名称。
步骤三,单击“下一步”,输入站点的主目录路径,然后单击“下一步”,选择Web站点的访问权限,单击“下一步”完成设置。
Web站点建立好之后,可以通过“Microsoft 管理控制台”进一步来管理及设置Web站点,站点管理工作既可以在本地进行,也可以远程管理。
1)本地管理
通过“开始”/“程序”/“管理工具”/“Internet服务管理器”,打开“Internet信息服务窗口”,在所管理的站点上,单击鼠标右键执行“属性”命令,进入该站点的“属性”对话框,如图所示。
“Web站点”属性页
如图所示,在Web站点的属性页上主要设置标识参数、连接、启用日志记录,主要有以下内容:
说明:在“说明”文本框中输入对该站点的说明文字,用它表示站点名称。这个名称会出现在IIS的树状目录中,通过它来识别站点。
IP地址:设置此站点使用的IP地址,如果构架此站点的计算机中设置了多个IP地址,可以选择对应的IP地址。若站点要使用多个IP地址或与其他站点共用一个IP地址,则可以通过高级按钮设置。
TCP端口:确定正在运行的服务的端口。默认情况下公认的WWW连接端口为80。如果设置了其他端口,例如:8080,则用户在浏览该站点时,必须输入这个端口号,如:http://www.xgu.cn:8080
连接:“无限”表示允许同时发生的连接数不受限制;“限制到”表示限制同时连接到该站点的连接数,在对话框中键入允许的最大连接数;“连接超时”设置服务器断开未活动用户的时间;
“启用保持HTTP激活”允许客户保持与服务器的开放连接,而不是使用新请求逐个重新打开客户连接,禁用则会降低服务器性能,默认为激活状态。这一选择页的设置关系到对网络及服务器优化管理,例如,若发现本服务器负载过大,应限制连接数量。
启用日志:表示要记录用户活动的细节,在“活动日志格式”下拉列表框中可选择日志文件使用的格式。单击“属性”按钮可进一步设置记录用户信息所包含的内容,如用户IP、访问时间、服务器名称等。默认的日志文件保存在\winnt\system32\logfiles子目录下。良好的管理习惯应注重日志功能的使用,通过日志可以监视访问本服务器的用户、内容等,对不正常的连接和访问加以监控和限制。
“主目录”属性页
如图所示,可以设置Web站点所提供的内容来自何处,内容的访问权限以及应用程序在此站点的执行许可。
Web站点的内容包含各种给用户浏览的文件,例如HTML文件、ASP程序文件等,这些数据必须指定一个目录来存放,而主目录所在的位置有3中选择:
此计算机上的目录:表示站点内容来自本地计算机。
另一计算机上的共享位置:站点的数据也可以不在本地计算机上,而在局域网上其他计算机中的共享位置,注意要在网络目录文本框中输入其路径。并按“连接为”按钮设置有权访问此资源的域用户帐号和密码。
重定向到URL(U):表示将连接请求重新定向到别的网络资源,如某个文件、目录、虚拟目录或其他的站点等。选择此项后,在重定向到文本框中输入上述网络资源的URL地址。
执行许可:此项权限可以决定对该站点或虚拟目录资源进行何种级别的程序执行。“无”只允许访问静态文件,如HTML或图像文件;“纯文本”只允许运行脚本,如ASP脚本;“脚本和可执行程序”可以访问或执行各种文件类型,如服务器端存储的CGI程序。
应用程序保护:选择运行应用程序的保护方式。可以是与Web服务在同一进程中运行(低),与其他应用程序在独立的共用进程中运行(中),或者在与其他进程不同的独立进程中运行(高)。
“操作员”属性页
使用该属性页可以设置哪些用户帐号拥有管理此站点的权力,默认只有Administrators组成员才能管理Web站点,而且无法利用“删除”按钮来解除该组的管理权利。如果你是该组的成员,可以在每个站点的这个选项中利用“添加”及“删除”按钮来个别设置操作员。虽然操作员具有管理站点的权力。但其权限与服务器管理员仍有差别。
“性能”属性页
性能调整:Web站连接的数目愈大时,占有的系统资源愈多。在这里预先设置的Web站点每天的连接数,将会影响到计算机预留给Web服务器使用的系统资源。合理设置连接数可以提高Web服务器的性能。 启用带宽抑制:如果计算机上设置了多个Web站点,或是还提供其他的Internet服务,如文件传输、电子邮件等,那么就有必要根据各个站点的实际需要,来限制每个站点可以使用的带宽。要限制Web站点所使用的带宽,只要选择“启用带宽抑制”选项,在“最大网络使用”文本框中输入设置数值即可。
启用进程限制:选择该选项以限制该Web站点使用CPU处理时间的百分比。如果选择了该框但未选择“强制性限制”,结果将是在超过指定限制时间时把事件写入事件记录中。
“文档”属性页
启动默认文档:默认文档可以是HTML文件或ASP文件,当用户通过浏览器连接至Web站点时,若未指定要浏览哪一个文件,则Web服务器会自动传送该站点的默认文档供用户浏览,例如我们通常将Web站点主页default.htm、default.asp和index.htm设为默认文档,当浏览Web站点时会自动连接到主页上。如果不启用默认文档,则会将整个站点内容以列表形式显示出来供用户自己选择。
“HTTP头”属性页
在“HTTP标题”属性页上,如果选择了“允许内容过期”选项,便可进一步设置此站点内容过期的时间,当用户浏览此站点时,浏览器会对比当前日期和过期日期,来决定显示硬盘中的网页暂存文件,或是向服务器要求更新网页。
2)远程管理Web站点
远程管理就是系统管理员可以在任何地方,例如出差或是在家里,从任何一个终端客户端,可以是Windows2000 Professional、Windows2000 Server或是Windows98,来管理Windows 2000域与计算机,它们可以直接运行系统管理工具来进行管理工作,这些操作就好象在本机上一样。要实现这些管理首先要安装终端服务,设置终端服务器与终端客户端,才可以进行远程管理与远程控制。
2FTP相关知识
(1)FTP简介
FTP(File Transfer Protocol)是文件传输协议,服务器中存有大量的共享软件和免费资源,要想从服务器中把文件传送到客户机上或者把客户机上的资源传送至服务器,就必须在两台机器中进行文件传送,此时双方必须要共同遵守一定的规则。FTP就是用来在客户机和服务器之间实现文件传输的标准协议。它使用客户/服务器模式,客户程序把客户的请求告诉服务器,并将服务器发回的结果显示出来。而服务器端执行真正的工作,比如存储、发送文件等。
如果用户要将一个文件从自己的计算机上发送到另一台计算机上,称为是FTP的上载(Upload),而更多的情况是用户从服务器上把文件或资源传送到客户机上,称之为FTP的下载(Download)。在Internet上有一些计算机称为FTP服务器,它存储了许多允许存取的文件,如:文本文件、图像文件、程序文件、声音文件、电影文件等。
FTP协议的描述在RFC 959中。FTP是用户必须有用户名口令才能登入到FTP服务器,获得相应的服务。匿名FTP只是FTP服务的一种,当然是广泛使用的一种。并不是所有的FTP服务器都是匿名FTP服务器。匿名FTP服务器用Anonymous作为用户名,用电子邮件地址作为口令。也有使用GUEST或FTP作用户名。
(2)FTP服务器管理
FTP站点管理工作既可以在本地进行,也可以远程管理。
1)本地管理
通过“开始”/“程序”/“管理工具”/“Internet服务管理器”,打开“Internet信息服务” 窗口,在要管理的FTP站点上单击鼠标右键,选择“属性”命令,出现如下图所示对话框。
“FTP站点”属性页
IP地址:设置此站点的IP地址,即本服务器的IP地址,如211.85.10.5。如果服务器设置了两个以上的IP站点,可以任选一个。FTP站点可以与Web站点共用IP地址以及DNS名称,但不能设置使用相同的TCP端口。
TCP端口:FTP服务器默认使用TCP协议的21端口,若更改此端口,则用户在连接到此图
站点时,必须输入站点所使用端口,例如使用命令ftp://211.85.10.5:8080,表示连接FTP服务器的TCP端口为8080。
“安全账号”属性页
选择“安全账号”标签,出现如下图所示对话框。
允许匿名连接:FTP站点一般都设置为允许用户匿名登录,除非想限制只允许NT用户登录使用。在安装时系统自动建立一个默认匿名用户账号:“IUSR_COMPUTERNAME”。注意用户在客户机登录FTP服务器的匿名用户名为“anonymous”,并不是上边给出的名字。
只允许匿名连接:选择此项,表示用户不能用私人的账号登录。只能用匿名来登录FTP站点,可以用来防止具有管理权限的账号通过FTP访问或更改文件。
FTP站点操作员:设置拥有管理此FTP站点的权限的域用户,默认是只有Administrators组的成员才能管理FTP站点。作为该组的成员,可以利用添加及删除按钮,针对每个站点来设置操作员。
“信息”属性页
在此选项中,可以设置一些类似站点公告的信息,比如用户登录后显示的欢迎信息。
“主目录”属性页
该属性页设置供网络用户下载文件的站点是来自于本地计算机,还是来自于其他计算机共享的文件夹。
选择此计算机上的目录,还需指定FTP站点目录,即站点的根目录所在的路径。选择另一计算机上的共享位置,需指定来自于其他计算机的目录,按“连接为”按钮设置一个有权访问该目录的Windows 2000域用户账号。
对于站点的访问权限可进行几种复选设置:
“读取”:即用户拥有读取或下载此站点下的文件或目录的权限;
“写入”:即允许用户将文件上载至此FTP站点目录中;
“日志访问”:如果此FTP站点已经启用了日志访问功能,选择此项,则用户访问此站点文件的行为就会以记录的形式被记载到日志文件中。
“目录安全性” 属性页
设定客户访问FTP站点的范围,其方式为:授权访问和拒绝访问。
授权访问:开放访问此站点的权限给所有用户,并可以在“下列地址例外”列表中加入不受欢迎的用户IP地址。
拒绝访问:不开放访问此站点的权限,默认所有人不能访问该FTP站点,在“下列地址例外”列表中加入允许访问站点的用户IP地址,使它们具有访问权限。
(3)FTP测试
为了测试FTP服务器是否正常工作,可选择一台客户机登录FTP服务器进行测试,首先保证FTP服务器的FTP发布目录下存放有文件,可供下载,在这里我们选择使用Web浏览器作为FTP客户程序。
1)IE测试:
可以使用Internet Explorer(IE)连接到FTP站点。输入协议以及域名,例如ftp://211.85.10.5,就可以连接到FTP站点,如图5-3所示。对用户来讲,与访问本地计算机磁盘上文件夹一样,这种方法也是最容易理解的FTP网站访问的方式。因此,IE测试的方式细节在此省略。
图5-3 FTP网站应用
2)ftp命令方式测试:
使用熟知端口号(21)与FTP服务器211.85.10.5的建立连接:
ftp>open 211.85.10.5
Connected to 211.85.10.5.
220 xgujkx-cxw Microsoft FTP Service (Version 5.0)
User (211.85.10.5:(none)):anonymous (匿名)
331 Anonymous access allowed, send identity (e-mail name) as password.
Password:**** 任意
230 Anonymous user logged in.
查看FTP服务器上的文件目录:
ftp>dir
在服务器上建立子目录jkx:
ftp>mkdir jkx
改变本地工作目录到C:\:
ftp>lcd c:
将服务器根目录下的文本文档lab1.txt下载到本地工作目录C:\中,并以ch.txt命名:
ftp>get
Remote file lab1.txt
Local file ch.txt
200 PORT command successful.
150 Opening ASCII mode data connection for lab1.txt(48 bytes).
226 Transfer complete.
ftp: 48 bytes received in 0.00Seconds 48000.00Kbytes/sec.
250 RNTO command successful.
其余命令可查看ftp命令的帮助信息。
3DNS相关知识
(1)为DNS服务器配置静态IP地址的步骤:
在弹击的Internet协议(TCP/IP)属性窗口中输入DNS服务器相应的IP地址和子网掩码。
(2)安装DNS服务
在打开的“添加/删除程序”窗口中,单击“添加/删除WINDOWS”组件。在 “Windows组件向导”窗口中,在组件列表中找到“网络服务”这一项,并且双击。
在“网络服务”窗口中选择“域名系统(DNS)”,单击“确定” 按钮。
(3)进行DNS正向解析区域的配置
单击“开始”—>“程序”—>“管理工具”—>“DNS”
右键单击“正向搜索区域” ,在弹出的菜单中选择“新建区域”选项 。
单击“下一步” ,选择“标准主要区域”,单击“下一步” ,输入相应的DNS区域名,如“test.com”,单击“下一步” ,在此可以接受默认的区域记录保存的文件名,系统会自动在区域名后加“.dns”作为文件名,或者使用一个已有的文件。不做任何改变,直接单击下一步,单击“完成”按钮。
正向区域“test.com”创建后的DNS控制界面:
反向解析区域的配置与此类似,可参照正向解析区域配置。
(4)为主机创建记录
右键单击创建的正向区域名,在弹出的菜单中选择“新建主机”选项,在弹出的“新建主机”窗口中,其名称输入相应的主机名,输入对应的IP地址,并选择“创建相关的指针(PTR)记录”,系统会自动在反向区域内创建指针记录,最后单击“添加主机”按钮。
其它记录的创建方法与此类似,请参照完成其它记录的配置。
三、实验内容
1、请写出以下DNS配置与管理的实现步骤:
(1)在虚拟机中安装DNS服务,服务器IP为A.B.C.1XX (XX为自己的机号,本地IP为A.B.C.XX)
(2)创建DNS正向解析区域,区域名为xgu.cn
(3)创建DNS反向解析区域,网络号为211.85.1.0
(4)在DNS服务器上创建主机记录名为WWW,对应IP为211.85.1.3
(5)将本地真实计算机配置为DNS服务器的客户端
(6)在DNS客户端使用NSLOOKUP检测域名www.xgu.cn对应的IP地址
2、在虚拟机上完成WWW服务器的配置,实现:
将HTML文件index.htm作为WWW网站的首页,并能在其它计算机上通过http://A.B.C.1XX 访问到index.htm文件。
3、在虚拟机上配置FTP服务器,实现:
能在其它计算机上通过ftp://A.B.C.1XX匿名下载index.htm文件;并可以在该FTP网站上传文件,但要求对已经上传的文件进行保护,使已经成功上传的文件不能被修改与删除。
以上操作步骤可参见相关内容的配置步骤!
实验十二 综合设计
一、实验目的
熟悉组网过程中的网络规划与相关配置
二、实验内容
网络拓扑图中:Router2为某ISP路由器,其f0/0端口IP为61.183.22.1/24,图中其它所有设备均为某学院校园网所有,Router1的F0/0端口IP为61.183.22.126/24,此单位在NIC申请的外部合法IP为61.183.22.126-255/24,内部合法IP为211.85.0.0-211.85.15.255。校园网基本情况如下:
1教学楼有100台PC、图书馆有100台PC、办公楼有20个科室(每个科室最多3台PC)、计算机中心有300台PC、宿舍区有20栋(每栋最多30台PC)
2办公楼内有5个不同的科室需要进行VLAN保护
3DNS服务器用于向内网提供域名解析,WEB服务器为内外网提供WWW服务
现要求完成此校园网的网络组建、IP规划及所有互联设备的配置(若拓扑图中的设备不够用,请自行添加)
实验十三 VLAN之间的通信
一、实验目的
3、理解VLAN在网络通信中的隔离作用
4、理解第三层路由功能在VLAN间通信中所起的作用
5、掌握用于VLAN之间通信的外部路由器设置
二、相关知识
1、VLAN之间的通信方式
VLAN间的通信可通过以下两种方式:
外部路由器——在交换机设备之外,提供具备第三层路由功能的独立路由器用以实现不同VLAN之间的通信。这也是本实验内容中所采用的方式。
内部路由模块或三层交换机——在目前的一些中高端的主流网络设备中,通常将交换机的第二层功能与路由器的第三层功能集成到同一网络设备中,这种网络设备被称为三层交换机。
无论是使用哪种方式,其原理都是使用三层的路由功能实现二层不同的VLAN进行相互通信!因此VLAN的互访与二层网络无关、与VLAN实现的目标并不冲突!!!
2、物理和逻辑接口的关系
逻辑子接口是一个物理接口中的一个逻辑接口,单个物理接口上可有多个逻辑子接口,然后每个逻辑子接口支持一个VLAN,并被分配一个IP地址,子接口的标识是在原来的物理接口后加“.”再加上数字,如“f0/0.1”为物理接口“f0/0”的一个逻辑子接口。
三、实验内容
此拓扑图中:
PC1的IP:10.1.2.11/24,网关:10.1.2.1
PC2的IP:10.1.3.12/24,网关:10.1.3.1
PC3的IP:10.1.2.13/24,网关:10.1.2.1
PC4的IP:10.1.3.14/24,网关:10.1.3.1
VLAN2中的主机:PC1与PC3;VLAN3中的主机:PC2与PC4。现要求完成以下步骤实现VLAN2与VLAN3中的PC机能够相互通信:
1、请完成各PC机IP配置
此步请自行完成。。。。。。
2、在交换机上完成VLAN的配置与划分
Switch#vlan database //进行VLAN配置子模式
Switch(vlan)#vlan 2 name vlan2 //创建一个名叫VLAN2的VLAN
Switch(vlan)#vlan 3 name vlan3 //创建一个名叫VLAN3的VLAN
Switch(config)#int f0/7 //进入快速以太网端口7的配置模式
Switch(config-if)#switchport mode access //设置端口的链路为接入链路模式
Switch(config-if)#switchport access vlan 2 //接入链路允许VLAN2的帧通过
Switch(config)#int f0/8 //进入快速以太网端口8的配置模式
Switch(config-if)#switchport mode access //设置端口的链路为接入链路模式
Switch(config-if)#switchport access vlan 3 //接入链路允许VLAN3的帧通过
Switch(config-if)#int f0/9 //进入快速以太网端口9的配置模式
Switch(config-if)#switchport mode access //设置端口的链路为接入链路模式
Switch(config-if)#switchport access vlan 2 //接入链路允许VLAN2的帧通过
Switch(config-if)#int f0/10 //进入快速以太网端口10的配置模式
Switch(config-if)#switchport mode access //设置端口的链路为接入链路模式
Switch(config-if)#switchport access vlan 3 //接入链路允许VLAN3的帧通过
Switch(config)#int f0/12 //进入快速以太网端口12的配置模式
Switch(config-if)#switchport mode trunk //设置当前端口为Trunk模式
3、完成路由器配置实现VLAN2与VLAN3中的PC机相互通信
Router(config)#int f0/0
Router(config-if)#no shut
Router(config)#int f0/0.1 //进入f0/0.1的逻辑子接口
Router(config-subif)#encapsulation dot1Q 2
//定义VLAN帧标识封装为802.1Q,允许VLAN2的帧通过
Router(config-subif)#ip address 10.1.2.1 255.255.255.0
//配置f0/0.1的逻辑子接口的IP地址为10.1.2.1,子网掩为:255.255.255.0
Router(config)#int f0/0.2//进入f0/0.2的逻辑子接口模式
Router(config-subif)#encapsulation dot1Q 3
//定义VLAN的封装,帧标识封装为IEEE802.1Q,允许VLAN3的帧过
Router(config-subif)#ip address 10.1.3.1 255.255.255.0
4、此实验中,不难发现不同VLAN中的PC机的网络ID值是不同的,这些PC机的网络ID能否设置为相同?为什么?