首页 理论教育 静态路由配置

静态路由配置

时间:2023-03-02 理论教育 版权反馈
【摘要】:本项目主要内容有:路由器的基本配置;设置路由器端口IP地址;单臂路由的配置与应用;静态路由配置;动态路由RIP配置;OSPF单区域路由协议;配置ACL限制上网时间;配置ACL限制网络访问;静态NAT配置;动态NAT配置。802.1Q是用于支持虚拟LAN之间通信的IEEE标准。路由器子端口的逻辑特性与物理端口是一样的,我们需要给子端口配置IP地址,此地址作为子端口关联的VLAN的网关。

项目六 搭建园区网

项目内容

本项目主要内容有:路由器的基本配置;设置路由器端口IP地址;单臂路由的配置与应用;静态路由配置;动态路由RIP配置;OSPF单区域路由协议;配置ACL限制上网时间;配置ACL限制网络访问;静态NAT配置;动态NAT配置。

项目目标

认识路由器,掌握路由器的基本配置方法;理解路由的工作原理,学会单臂路由、静态路由的配置方法;理解RIP、OSPF协议,学会RIP、OSPF的配置方法;理解ACL原理,学会ACL的应用及基本配置方法;理解NAT原理,学会NAT的应用及配置方法。

任务1 路由器的基本配置

我明了

在本任务中,了解路由器的组成与各种配置模式,熟悉路由器的基本命令及配置方法。

我掌握

本任务要求理解路由器的组成与各种配置模式,学会路由器的基本命令及配置方法与技巧。

我准备

1.路由器概述

路由是指导IP数据包发送的路径信息。

路由器(router)是互联网的主要节点设备。路由器通过路由决定数据的转发,转发策略称为路由选择(routing),这也是路由器名称的由来。路由器提供了在异构网络互联机制中,实现将数据包从一个网络发送到另一个网络。路由就是指导IP数据包发送的路径信息。

在互联网中进行路由选择要使用路由器,路由器只是根据所收到的数据包头的目的地址选择一个合适的路径,将数据包传送给下一个路由器,路径上最后的路由器负责将数据包送交目的主机。每个路由器只负责自己本站数据包通过最优的路径转发,通过多个路由器一站一站的接力将数据包通过最佳路径转发到目的地,当然有时候由于实施一些路由策略,数据包通过的路径并不一定是最佳路径。

2.路由器内部组成

路由器的内部是一块印刷电路板,电路板上有许多大规模集成电路,还有一些插槽,用于扩充Flash、内存(RAM)、接口和总线。实际上路由器和计算机一样,有四个基本部件:CPU、内存(RAM)、接口和总线。路由器是一台有特殊用途的计算机,它是专门用来做路由的。路由器与普通计算机的差别很明显,路由器没有显示器、软驱、硬盘、键盘及多媒体部件,但它有NVRAM、Flash部件。

3.路由选择

路由器依靠路由表进行路由选择。

路由器转发数据包的关键是路由表,每个路由器中都保存着一张路由表,表中每条路由项都指明数据到某个子网应通过路由器的哪个物理接口发送出去。

4. 路由器的基本命令

路由器的基本命令与交换机的命令相似,操作方法也相似。

(1)exit !返回上一级操作模式

(2)del config.text !删除配置文件

(3)write !保存配置

(4)configure terminal !进入全局配置模式

(5)hostname routerA !配置设备名称为routerA

(6)enable secret 123或者enable password 123 !设备路由器的特权模式的密码为123,secret指密码以非明文显示,password指密码以明文显示

(7)show running-config !查看当前生效的配置信息

(8)show version !查看版本信息

5.所需设备

计算机一台、路由器一台、RJ-45控制线一条、网线一条。

6.拓扑结构

我校新换了一台路由器,现需对其进行初始配置,以便以后的管理与应用。拓扑结构如图6-1-1所示。

图6-1-1 配置路由器R1

我动手

方法同交换机。

步骤1 在路由器不带电的情况下,对照图6-1-1所示的拓扑图进行路由器R1、PC0线路连接,并启动PC0、路由器,使其开始工作。

步骤2 将配置线接在路由器R1和计算机PC0上,接好后在PC0中选择“开始”→“附件”→“通讯”→“超级终端”,打开超级终端程序,登录路由器R1的配置界面。

步骤3 进入路由器进行初始化配置。

(1)设置路由器名字为R1。

Router> !路由器用户模式

Router>enable !进入路由器特权模式

Router#configure terminal !进入路由器全局配置模式

Router(config)#hostname R1 !改名为R1

R1(config)#exit !退出全局模式

R1#

(2)设置路由器的enable密码。

R1#configure terminal !进入全局配置模式

R1(config)#enable password 123 !设置路由器enable密码为123

R1(config)#

(3)参看路由器的有关信息

R1#show version !查看路由器的版本信息

R1#show running-config !查看路由器配置信息

Building configuration...

Current configuration : 468 bytes

!

version 12.4

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

!

hostname R1 !路由器名称为R1

!

enable password 123 !配置的enable密码为123

!

interface FastEthernet0/0

no ip address

duplex auto

speed auto

shutdown

!

interface FastEthernet0/1

no ip address

duplex auto

speed auto

shutdown

!

interface Vlan1

no ip address

shutdown

!

ip classless

!

line con 0

line vty 0 4

login

!

end

R1#

步骤4 测试enable密码是否生效。

R1>enable !重新进入特权模式

Password: !提示需要输入正确的登录口令才能进入特权模式

R1# !输入正确的登录口令后,进入了特权模式

步骤5 保存配置

R1#write !保存设备配置,把配置指令写入系统文件中

Building configuration...

[OK]

R1#

配置完毕后需要保存配置,否则重启设备之后,配置信息会丢失。

我收获

我留言

我练习

地点:网络实训室

按图6-1-2所示的网络拓扑结构对路由器进行配置。要求:

(1)将路由器的名字修改为R2;

(2)设置enable密码为123;

(3)设置VTY登录密码为321;

(4)保存配置;

(5)查看路由器版本信息;

(6)查看路由器当前配置信息。

图6-1-2 配置路由器R2

任务2 设置路由器端口IP

我明了

在本任务中,了解网关的作用,熟悉路由器端口IP及远程管理的配置方法。

我掌握

本任务要求理解网关的作用,学会路由器端口IP及远程管理的配置方法与技巧。

我准备

1.网关概述

你是如何理解网关的?

网关(gateway)又称网间连接器、协议转换器,如图6-2-1所示。网关在传输层上实现网络互联,它是最复杂的网络互联设备,仅用于两个高层协议不同的网络互联。网关的结构与路由器的类似,不同的是互联层。网关既可以用于广域网互连,也可以用于局域网互连。

图6-2-1 路由设备的网关

默认网关(default gateway)意思是当主机找不到可用的网关时,就把数据包发给默认的网关,由这个网关来处理数据包。目前,计算机使用的网关一般指默认网关。

2.配置命令

路由器端口的默认情况为关闭状态,交换机端口的默认状态为激活(启用或打开)状态。

Router> !进入路由器的用户模式

Router>enable !进入路由器的特权模式

Router#configure terminal !进入路由器的全局配置模式

Router(config)#interface fa0/0 !进入fa0/0端口

Router(config-if)#ip address 192.168.1.254 255.255.255.0 !给端口fa0/0配置IP地址为192.168.1.254,子网掩码为255.255.255.0

Router(config-if)#no shutdown !启用(激活)fa0/0端口

Router(config-if)#exit !返回到全局配置模式

Router(config)#line vty 0 4 !进入路由器的线程配置模式

Router(config-line)#password 321 !配置密码为321

Router(config-line)#login !开启远程功能

Router(config-line)#end !返回到路由器的特权模式

Router#

3.三层交换机路由配置命令

设置远程管理后,可以更方便地管理设备。路由器的Loopback地址、端口的IP地址都可以作为远程管理路由器的地址。

Switch> !进入交换机的用户模式

Switch>enable !进入交换机的特权模式

Switch#configure terminal !进入交换机的全局配置模式

Switch(config)#interface fastEthernet 0/1 !进入fa0/1端口

Switch(config-if)#no switchport !启用端口的三层(路由)功能

Switch(config-if)#ip address 192.168.1.254 255.255.255.0 !给端口fa0/1配置IP地址为192.168.1.254,子网掩码为255.255.255.0

Switch(config-if)#no shutdown !启用(激活)fa0/1端口

Switch(config-if)#end !返回到特权模式

Switch#

4.所需设备

计算机两台、路由器一台、RJ-45控制线一条、网线两条。

5.拓扑结构

我校的计算机部和旅游部分别使用192.168.1.0/24、192.168.2.0/24网段IP,现要求两个部融合在一起,实现互相通信、共享网络资源。PC1代表计算机部的一台计算机,PC2代表旅游部的一台计算机,其拓扑结构如图6-2-2所示。

图6-2-2 拓扑结构图

我动手

步骤1 在路由器不带电的情况下,对照图6-2-2所示的拓扑图进行路由器R1、PC1、PC2线路连接,并启动PC1、PC2、路由器,使其开始工作。

步骤2 将配置线接在路由器R1和计算机PC1上,接好后在PC1中选择“开始”→“附件”→“通讯”→“超级终端”,打开超级终端程序,登录路由器R1的配置界面。

步骤3 进入路由器进行初始化配置。

(1) 设置路由器名字为R1。

Router> !路由器用户模式

Router>enable !进入路由器特权模式

Router#configure terminal !进入路由器全局配置模式

Router(config)#hostname R1 !改名为R1

R1(config)#exit !退出全局模式

R1#

(2)设置路由器的fa0/0端口IP地址并启用该端口。

R1#configure terminal !进入全局配置模式

R1(config)#int erface fa0/0 !进入fa0/0端口

R1(config-if)#ip address 192.168.1.254 255.255.255.0 !给端口fa0/0配置IP地址为192.168.1.254,子网掩码为255.255.255.0

R1(config-if)#no shutdown !启用(激活)fa0/0端口

R1(config-if)#

(3)设置路由器的fa0/1端口IP地址并启用该端口。

R1#configure terminal !进入全局配置模式

R1 (config)#interface fa0/1 !进入fa0/1端口

R1(config-if)#ip address 192.168.2.254 255.255.255.0 !给端口fa0/1配置IP地址为192.168.2.254,子网掩码为255.255.255.0

R1(config-if)#no shutdown !启用(激活)fa0/1端口

R1(config-if)#

(4)参看路由器的有关信息。

R1#show version !查看路由器的版本信息

R1#show running-config !查看路由器配置信息

Building configuration...

Current configuration : 480 bytes

version 12.4

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

!

hostname R1 !路由器的名称为R1

!

interface FastEthernet0/0

ip address 192.168.1.254 255.255.255.0 !配置了的IP地址

duplex auto

speed auto

!

interface FastEthernet0/1

ip address 192.168.2.254 255.255.255.0 !配置了的IP地址

duplex auto

speed auto

!

interface Vlan1

no ip address

shutdown

!

ip classless

!

line con 0

line vty 0 4

login

!

end

R1#

步骤4 设置PC1、PC2的IP地址,然后使用ping进行测试。

(1)对照拓扑结构图配置PC1、PC2的IP地址。

(2)在PC1上使用ping命令测试,测试结果如图6-2-3所示。

步骤5 保存配置

R1#write !保存设备配置,把配置指令写入系统文件中

路由器能使192.168.1.0/24 与192.168.2.0/24两个不同网络的计算机连接起来且相互通信。

Building configuration...

[OK]

R1#

图6-2-3 PC1、PC2互通

我收获

我留言

我练习

地点:网络实训室

(1)按图6-2-4所示的网络拓扑结构对路由器进行配置。要求:

①将路由器的名字修改为R2;

②设置enable密码为123,设置远程登录的密码为321;

③配置路由器端口的IP地址,在PC1、PC2上使用ping命令进行测试;

④在PC2上远程登录到路由器R2上,查看路由器的当前配置信息;

⑤保存配置。

图6-2-4 实训拓扑结构图1

(2)按图6-2-5所示的网络拓扑结构对三层交换机进行配置。要求:

①将三层交换机的名字修改为SW1;

②设置enable密码为123;

③设置VTY登录密码为321;

④配置三层交换机端口的IP地址,在PC1、PC2上使用ping命令进行测试;

⑤保存配置;

⑥查看路由器当前配置信息。

图6-2-5 实训拓扑结构图2

任务3 单臂路由的配置与应用

我明了

在本任务中,了解路由器子端口的作用及协议,熟悉路由器的子端口配置方法。

我掌握

本任务要求理解路由器子端口的作用及协议,学会路由器的子端口配置方法与技巧。

我准备

单臂路由是指在路由器的一个接口上通过配置子接口(或“逻辑接口”,并不存在真正的物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通。从拓扑结构图上看,在交换机与路由器之间,数据从一条线路进去,又从同一条线路出来,两条线路重合,故形象地称之为“单臂路由”。利用子端口实现VLAN间通信,节省了路由器端口资源,但是所有数据包都要通过该物理端口传输,如果传输数据量大、对传输速率要求高等情况就不是很适用。

理解协议,利于实训。

1.802.1Q协议

802.1Q是用于支持虚拟LAN之间通信的IEEE标准。IEEE 802.1Q使用内部标记机制,即在原始以太网的源地址和类型/长度字段之间插入一个四字节的标记字段,此时,帧发生了改变,因此中继设备会重新计算修改后的数据帧的校验序列。802.1Q也称为dot1q。

路由器子端口的逻辑特性与物理端口是一样的,我们需要给子端口配置IP地址,此地址作为子端口关联的VLAN的网关。同时,需要在各子端口上封装802.1Q协议,使得路由端口能够识别接收802.1Q数据帧。当VLAN中的设备需要将数据发送给其他子网时,会将数据帧发送给子端口,之后路由器通过查找路由表,根据数据中的目的IP地址决定数据从哪个子端口发出,从而到达相应的VLAN中。

2.单臂路由

路由器和交换机连接,使用802.1Q来启动路由器上的子端口,实现子端口与相应VLAN关联。利用路由器一个物理端口来实现VLAN间通信,一般称这种方式为单臂路由。在配置单臂路由时,与路由器连接的交换机端口要设置为Trunk模式,以便可以接收和发送多个VLAN中的数据。

3. 子端口配置命令

Router(config)#interface fa0/1.1 !创建并进入子端口1

Router(config-subif)#encapsulation dot1Q 2 !封闭802.1Q协议并加入VLAN2

Router(config-subif)#ip address 192.168.1.254 255.255.255.0 !设置IP

Router(config-subif)#no shutdown !启用(激活)子端口

Router(config-subif)#

4.交换机VLAN间实现数据包转发方式

交换机VLAN间实现数据包转发方式通常有3种方式:通过交换机SVI方式、通过单臂路由方式(子端口)及通过路由器路由端口方式,各种方式特点不同。

(1)利用交换机SVI方式实现VLAN间路由,在交换机内部实现效率较高、速度快,是使用最多的一种方式。

(2)与利用路由端口实现VLAN间路由相比,单臂路由利用一个路由端口可以实现多个VLAN间路由,对于路由端口的使用效率更好。与SVI方式实现VLAN间路由相比,单臂路由方式在路由器上必须为每一个VLAN都创建一个子端口,限制了VLAN网络的灵活部署。同时,多个VLAN的流量都要通过一个物理端口进行转发,容易在此端口形成网络瓶颈。

(3)利用路由器路由端口方式实现VLAN间路由,每一个VLAN占有一个路由器端口,端口使用效率低,但不需封装IEEE 802.1Q标准。

5.所需设备

计算机两台,路由器一台,二层交换机一台,RJ-45控制线一条、网线3条。

6.拓扑结构

我校为了提高内部网络的工作效率和管理,现按部门划分VLAN。将计算机部归属于VLAN2,旅游部归属于VLAN3,并分别使用192.168.1.0/24、192.168.2.0/24网段IP。两个部的计算机由二层交换机接入网络,使用一台路由器来实现互相通信、共享网络资源。PC1代表计算机部的一台计算机,PC2代表旅游部的一台计算机,其拓扑结构如图6-3-1所示。

图6-3-1 单臂路由拓扑结构图

我动手

与交换机结合起来,有利于掌握。

步骤1 在各设备不带电的情况下,对照图6-3-1所示的拓扑图进行路由器R1、Switch0、PC1、PC2线路连接,并启动各设备,使其开始工作。

步骤2 将配置线接在路由器R1和计算机PC1上,接好后在PC1中选择“开始”→“附件”→“通讯”→“超级终端”,打开超级终端程序,登录路由器R1的配置界面。

步骤3 进入路由器进行配置。

(1)设置路由器名字为R1。

Router> !路由器用户模式

Router>enable !进入路由器特权模式

Router#configure terminal !进入路由器全局配置模式

Router(config)#hostname R1 !改名为R1

R1(config)#exit !退出全局模式

R1#

(2)设置路由器的fa0/1.1子端口IP地址并启用该端口。

R1#configure terminal !进入全局配置模式

R1(config)#interface fa0/1.1 !创建并进入fa0/1.1子端口

R1(config-subif)#encapsulation dot1Q 2 !封闭802.1Q协议并加入VLAN2

R1(config-subif)#ip address 192.168.1.254 255.255.255.0 !给子端口fa0/1.1配置IP地址为192.168.1.254,子网掩码为255.255.255.0

R1(config-subif)#no shutdown !启用(激活)fa0/1.1子端口

R1(config- subif)#

(3)设置路由器的fa0/1.2子端口IP地址并启用该端口。

R1 (config)#interface fa0/1.2 !创建并进入fa0/1.2子端口

R1(config-subif)#encapsulation dot1Q 3 !封闭802.1Q协议并加入VLAN3

R1(config-subif)#ip address 192.168.2.254 255.255.255.0 !给子端口fa0/1.2配置IP地址为192.168.2.254,子网掩码为255.255.255.0

R1(config-subif)#no shutdown !启用(激活)fa0/1.2子端口

R1(config- subif)#exit !返回到全局配置模式

R1(config)#interface fa0/1 !进入fa0/1端口

R1(config-if)#no shutdown !启用(激活)fa0/1端口

R1(config-if)#

把一个物理端口当成多个逻辑端口使用时,往往需要在该端口上启用子端口,并要封闭dot1q协议。通过一个个的逻辑子端口实现物理端口以一当多的功能。

(4)保存配置。

R1#write !保存设备配置,把配置指令写入系统文件中

Building configuration...

[OK]

R1#

步骤4 将配置线接在二层交换机Switch0和计算机PC2上,接好后在PC2中选择“开始”→“附件”→“通讯”→“超级终端”,打开超级终端程序,登录二层交换机Switch0的配置界面。

步骤5 配置二层交换机。

(1)改名并划分VLAN。

Switch(config)#hostname switch0 !更名为switch0

Switch0(config)#vlan 2 !创建VLAN2

Switch0(config-vlan)#name jsjb !给VLAN2定义名称为jsjb

Switch0(config-vlan)#vlan 3 !创建VLAN3

Switch0(config-vlan)#name nyb !给VLAN3定义名称为nyb

Switch0(config-vlan)#exit !返回到全局配置模式

(2)给VLAN添加端口。

switch0(config)#interface fa0/1 !进入fa0/1端口

switch0(config-if)#switchport access vlan2 !将fa0/1端口添加到VLAN2

switch0(config-if)#exit !返回到全局配置模式

switch0(config)#interface fa0/2 !进入fa0/2端口

switch0(config-if)#switchport access vlan 3 !将fa0/2端口添加到VLAN3

switch0(config-if)#exit !返回到全局配置模式

(3)设置Trunk端口。

switch0(config)#interface fa0/24 !进入fa0/24端口

switch0(config-if)#switchport mode trunk !设置fa0/24端口为Trunk端口

(4)保存配置。

switch0#wr

Building configuration...

[OK]

switch0#

步骤6 设置PC1、PC2的IP地址,然后使用ping进行测试。

(1)对照图6-3-1所示的拓扑图,配置PC1、PC2的IP地址。

(2)在PC1上使用ping命令,测试结果如图6-3-2所示。

图6-3-2 PC1、PC2互通

我收获

我留言

我练习

地点:网络实训室

按图6-3-3所示的网络拓扑结构对路由器、二层交换机进行配置,要求如下。

(1)将路由器的名字修改为R2;在R2的fa0/1端口上创建三个子端口并将其加入到相应的VLAN。

(2)将二层交换机的名字修改为SW1;创建三个VLAN,即VLAN2、VLAN3、VLAN4,并将相应的端口添加到VLAN;将fa0/24端口设置成Trunk端口。

(3)配置PC1、PC2的IP地址,在PC1、PC2上使用ping命令进行测试;

(4)保存配置路由器、交换机的配置。

图6-3-3 实训拓扑结构图

任务4 静态路由配置

我明了

在本任务中,了解静态路协议的作用,熟悉静态路由的配置命令及配置方法。

我掌握

本任务要求理解静态路由协议的作用,学会静态路由的配置方法与技巧。

我准备

理解静态,弄清协议。

1.静态路由协议

路由器是网络层经常使用的设备之一,每个端口连接不同网络,由其将不同局域网连接成互联网络。路由器实现不同IP网段主机间的相互访问,另外,路由器还能实现不同通信协议网段主机间的相互访问,不转发广播数据包。一般情况下,路由器是作为小型网络出口或大型网络的互连设备来使用的。

静态路由协议是一种特殊的路由协议,适用于比较简单而且相对固定的网络。当网络的拓扑结构发生改变的时候,使用静态路由协议的路由器的路由信息不会跟着发生改变,而是需要网管人员手动修改路由器中的静态路由信息才能保障网络畅通。静态路由协议的缺点是,网络结构发生改变时,需要手工修改路由信息;优点是,可节省网络带宽和提高网络安全性。

2.路由表

路由表是什么?

路由器利用路由表转发数据,路由表中的路由信息包括路由信息获得途径(来源)、目的网络和转发端口或下一跳地址。当路由器收到一个数据包要将其转发出去时,通过查看数据包中的目的地址,然后查找路由表可以得到转发数据包的最佳路径。当路由表中无法查到数据应该如何转发时,与交换机不同,路由器会丢弃此数据包。

3.静态路由协议的配置方法

在路由器上配置静态路由协议时,下一跳路由器的地址指的是与本路由器直接相连的下一跳路由器接口,如图6-4-1所示。

图6-4-1 图解手工添加静态路由

配置静态路由信息的命令格式如下:

Ip route 目的网络号 子网掩码 下一跳路由器端口IP地址或端口号

4.默认路由

默认路由是一种特殊的静态路由,其命令格式为:

Ip route 0.0.0.0 0.0.0.0 下一跳路由器端口IP地址或端口号

5.所需设备

计算机两台、路由器两台、RJ-45控制线1条、网线4条。

6. 拓扑结构

我校为了提高内部网络的工作效率和管理,将办公和实训分成了两个不同的网络,即教师办公使用172.16.1.0/24网段,学生实训使用192.168.1.0/24网段。现在我校实现了无纸化考试,需要用两台路由器将其互连来实现互相通信、共享网络资源。PC1代表实训室的一台计算机,PC2代表教师办公的一台计算机,其拓扑结构如图6-4-2所示。

图6-4-2 静态路由案例拓扑结构图

我动手

步骤1 在各设备不带电的情况下,对照图6-4-2所示的拓扑结构图进行路由器R1、R2、PC1、PC2线路连接,并启动各设备,使其开始工作。

步骤2 将配置线接在路由器R1和计算机PC1上,接好后在PC1中选择“开始”→“附件”→“通讯”→“超级终端”,打开超级终端程序,登录路由器R1的配置界面。

步骤3 配置路由器R1。

(1)设置路由器名字为R1。

Router> !路由器用户模式

Router>enable !进入路由器特权模式

Router#configure terminal !进入路由器全局配置模式

Router(config)#hostname R1 !改名为R1

R1(config)#exit !退出全局模式

R1#

(2)设置路由器R1的fa0/1端口IP地址并启用该端口。

R1#configure terminal !进入全局配置模式

R1(config)#interface fa0/1 !创建并进入fa0/1端口

R1(config-if)#ip address 192.168.1.254 255.255.255.0 !给端口fa0/1配置IP地址为192.168.1.254,子网掩码为255.255.255.0

R1(config-if)#no shutdown !启用(激活)fa0/1端口

R1(config-if)#

(3)设置路由器的fa0/0端口IP地址并启用该端口。

R1 (config)#interface fa0/0 !创建并进入fa0/0端口

R1(config-if)#ip address 10.1.1.1 255.255.255.0 !给子端口fa0/0配置IP地址为10.1.1.1,子网掩码为255.255.255.0

R1(config-if)#no shutdown !启用(激活)fa0/0端口

R1(config- if)#

(4)配置静态路由。

R1 (config)#ip route 172.16.1.0 255.255.255.0 10.1.1.2 !设置访问172.16.1.0/24网段信息从10.1.1.2端口出去

(5)保存配置。

R1#write !保存设备配置,把配置指令写入系统文件中

Building configuration...

[OK]

R1#

步骤4 将配置线接在路由器R2和计算机PC2上,接好后在PC2中选择“开始”→“附件”→“通讯”→“超级终端”,打开超级终端程序,登录路由器R2的配置界面。

步骤5 配置路由器R2。

(1)设置路由器名字为R2。

Router> !路由器用户模式

Router>enable !进入路由器特权模式

Router#configure terminal !进入路由器全局配置模式

Router(config)#hostname R2 !改名为R2

R2(config)#exit !退出全局模式

R2#

(2)设置路由器R2的fa0/1端口IP地址并启用该端口。

R2#configure terminal !进入全局配置模式

R2 (config)#interface fa0/1 !创建并进入fa0/1端口

R2(config-if)#ip address 172.16.1.254 255.255.255.0 !给端口fa0/1配置IP地址为172.16.1.254,子网掩码为255.255.255.0

R2(config-if)#no shutdown !启用(激活)fa0/1端口

R2(config-if)#

(3)设置路由器的fa0/0端口IP地址并启用该端口。

R2 (config)#interface fa0/0 !创建并进入fa0/0端口

R2(config-if)#ip address 10.1.1.2 255.255.255.0 !给子端口fa0/0配置IP地址为10.1.1.2,子网掩码为255.255.255.0

R2(config-if)#no shutdown !启用(激活)fa0/0端口

R2(config- if)#

(4)配置静态路由。

R2 (config)#ip route 192.168.1.0 255.255.255.0 10.1.1.1 !设置访问192.168.1.0/24网段信息从10.1.1.1端口出去

(5)保存配置。

R2#write !保存设备配置,把配置指令写入系统文件中

Building configuration...

[OK]

R1#

步骤6 设置PC1、PC2的IP地址,然后使用ping命令进行测试。

(1)对照拓扑结构图配置PC1、PC2的IP地址。

(2)在PC1上使用ping命令,测试结果如图6-4-3所示。

图6-4-3 PC1、PC2实现了互通

我收获

我留言

我练习

地点:网络实训室

1.按图6-4-4所示的网络拓扑结构对路由器进行配置,要求如下。

(1)将路由器的名字修改为R1、R2;在R1、R2配置端口IP地址及静态路由。

(2)配置PC1、PC2的IP地址,在PC1、PC2上使用ping命令进行测试。

(3)保存配置路由器R1、R2的配置信息。

图6-4-4 静态路由实训拓扑结构图

2.按图6-4-5所示的网络拓扑结构对路由器进行配置,要求如下。

(1)将路由器的名字修改为R1、R2;在R1、R2配置端口IP地址及默认路由。

(2)配置PC1、PC2的IP地址,在PC1、PC2上使用ping命令进行测试。

(3)保存配置路由器R1、R2的配置信息。

图6-4-5 默认路由配置拓扑结构图

任务5 动态路由RIP配置

我明了

在本任务中,了解动态路由协议的作用,熟悉动态路由RIP的配置命令及配置方法。

我掌握

本任务要求理解动态路由协议的作用,学会动态路由RIP的配置方法与技巧。

我准备

1.动态路由概述

动态路由是指利用路由器上运行的动态路由协议,定期和其他路由器交换路由信息,而从其他路由器上学习到路由信息,自动建立起自己的路由信息。动态路由协议有以下几种:RIP(路由信息协议)、OSPF(开放式最短路径优先)、IGRP(内部网关路由协议)、IS-IS(中间系统-中间系统)、EIGRP(增强型内部网关路由协议)、BGP(边界网关协议)。

2.RIP路由协议

RIP的特点与应用范围。RIPv1与RIPv2的区别。

RIP(Routing Information Protocols,路由信息协议)是应用较早、使用较普遍的内部网关协议(Interior Gateway Protocol,IGP),适用于小型同类网络。

RIP路由协议有两个版本,称为RIPv1和RIPv2,RIPv2是对RIPv1的改进。RIPv1不支持变长子网掩码,RIPv2则支持。

RIP通过广播UDP报文来交换路由信息,定时发送路由信息更新。RIP提供跳数(HopCount)作为尺度来衡量路由的优劣。跳数是一个数据包从源路由器到达目标路由器所必须经过的路由器数目,跳数最少的路径,RIP就认为是最优的路径。RIP最多支持的跳数为15,即在源和目的网间所要经过的最多路由器的数目为15,跳数为16视为不可到达。

RIP的缺点很明显,路由的度量标准过于简单,只考虑了跳数一个因素。如果有到相同目标的两个不等速或不同带宽的路由,但跳数相同,则RIP认为两个路由是等距离的。而其他因素,如链路带宽、拥塞程度等,对路径优劣的影响甚至大于跳数。在规模较大的网络中,只支持15跳也是远远不够的。因此,RIP只适用于较为简单的网络环境。

3. 配置命令

Network命令后跟的是网络号。

RIPv1版本不需要用此命令。

(1)开启RIP路由协议。

Router(config)#router rip

Router(config-router)#

(2)申请本路由器参与RIP协议的直连网段信息。

Router(config-router)#network 192.168.1.0

(3)指定RIP协议的版本2(默认是version1)。

Router(config-router)#version 2

(4)在RIPv2版本中关闭自动汇总。

Router(config-router)#no auto-summary

4.RIP的配置信息

(1)验证RIP的配置。

Router#show ip protocols

(2)显示路由表的信息。

Router#show ip route

(3)清除路由表的信息。

Router#clear ip route

(4)在控制台显示RIP的工作状态。

Router#debug ip rip

5.所需设备

计算机两台、路由器两台、RJ-45控制线一条、网线3条。

6.拓扑结构

我校为了提高内部网络的工作效率和管理,将办公和实训分成了两个不同的网络,即教师办公使用172.16.1.0/24网段,学生实训使用192.168.1.0/24网段。现在我校实现了无纸化考试,需要用两台路由器将其互连来实现互相通信、共享网络资源。由于使用静态路由协议满足不了要求,这就需要在路由器上配置动态路由协议(在此用RIP来实现)。PC1代表实训室的一台计算机,PC2代表教师办公的一台计算机,其拓扑结构如图6-5-1所示。

图6-5-1 RIP案例拓扑结构图

我动手

步骤1 在各设备不带电的情况下,对照图6-5-1所示的拓扑结构图进行路由器R1、R2、PC1、PC2线路连接,并启动各设备,使其开始工作。

步骤2 将配置线接在路由器R1和计算机PC1上,接好后在PC1中选择“开始”→“附件”→“通讯”→“超级终端”,打开超级终端程序,登录路由器R1的配置界面。

步骤3 配置路由器R1。

(1)设置路由器名字为R1。

Router> !路由器用户模式

Router>enable ! 进入路由器特权模式

Router#configure terminal !进入路由器全局配置模式

Router(config)#hostname R1 !改名为R1

R1(config)#exit !退出全局模式

R1#

(2)设置路由器R1的fa0/1端口IP地址并启用该端口。

R1#configure terminal !进入全局配置模式

R1 (config)#interface fa0/1 !创建并进入fa0/1端口

R1(config-if)#ip address 192.168.1.254 255.255.255.0 !给端口fa0/1配置IP地址为192.168.1.254,子网掩码为255.255.255.0

R1(config-if)#no shutdown !启用(激活)fa0/1端口

R1(config-if)#

(3)设置路由器的fa0/0端口IP地址并启用该端口。

R1 (config)#interface fa0/0 !创建并进入fa0/0端口

R1(config-if)#ip address 10.1.1.1 255.255.255.0 !给子端口fa0/0配置IP地址为10.1.1.1,子网掩码为255.255.255.0

R1(config-if)#no shutdown !启用(激活)fa0/0端口

步骤4 将配置线接在路由器R2和计算机PC2上,接好后在PC2中选择“开始”→“附件”→“通讯”→“超级终端”,打开超级终端程序,登录路由器R2的配置界面。

步骤5 配置路由器R2。

(1)设置路由器名字为R2。

Router> !路由器用户模式

Router>enable !进入路由器特权模式

Router#configure terminal !进入路由器全局配置模式

Router(config)#hostname R2 !改名为R2

R2(config)#exit !退出全局模式

R2#

(2) 设置路由器R2的fa0/1端口IP地址并启用该端口。

R2#configure terminal !进入全局配置模式

R2 (config)#interface fa0/1 !创建并进入fa0/1端口

R2(config-if)#ip address 172.16.1.254 255.255.255.0 !给端口fa0/1配置IP地址为172.16.1.254,子网掩码为255.255.255.0

R2(config-if)#no shutdown !启用(激活)fa0/1端口

(3)设置路由器的fa0/0端口IP地址并启用该端口。

R2 (config)#interface fa0/0 !创建并进入fa0/0端口

R2(config-if)#ip address 10.1.1.2 255.255.255.0 !给子端口fa0/0配置IP地址为10.1.1.2,子网掩码为255.255.255.0

R2(config-if)#no shutdown !启用(激活)fa0/0端口

步骤6 设置PC1、PC2的IP地址,然后使用ping命令进行测试。

(1)对照拓扑结构图配置PC1、PC2的IP地址。

(2)在PC1上使用ping命令,测试结果如图6-5-2所示。证明在未配置路由协议前PC1与PC2不能进行通信。

图6-5-2 在PC1中ping不通PC2

路由表信息里的“C”表示直连路由。

步骤7 在R1上使用show ip route命令查看路由表信息,结果如图6-5-3所示。

图6-5-3 R1的路由表信息(直连路由)

步骤8 在R2上使用show ip route命令查看路由表信息,结果如图6-5-4所示。

图6-5-4 R2的路由表信息(直连路由)

RIP默认状态是RIPv1,则不需要运行“version 1”命令,若是要配置RIPv2,则必须运行“version 2”命令。

步骤9 在R1、R2上配置RIP路由协议。

(1)在R1上配置RIP路由协议。

R1(config)#router rip !开启RIP路由协议

R1(config-router)#version 2 !定义RIP版本为2

R1(config-router)#network 192.168.1.0 !申请本路由器参与RIP协议的直连网段

R1(config-router)#network 10.1.1.0 !申请本路由器参与RIP协议的直连网段

R1(config-router)#no auto-summary !关闭自动汇总

(2)在R2上配置RIP路由协议。

R2(config)#router rip

R2(config-router)#version 2

R2(config-router)#network 172.16.1.0

R2(config-router)#network 10.1.1.0

R2(config-router)#no auto-summary

步骤10 在PC1上使用ping命令,测试结果如图6-5-5所示。证明在配置路由协议后PC1与PC2能进行通信。

路由表信息里的“R”表示通过学习而来的RIP路由。

图6-5-5 在PC1上ping通了PC2

步骤11 在R1、R2上使用show ip route命令查看路由表信息,图6-5-6所示的是R2的路由信息。

图6-5-6 R2的路由表信息

步骤12 保存配置。

(1)保存R1的配置。

R1#write !保存设备配置,把配置指令写入系统文件中

Building configuration...

[OK]

(2)保存R2的配置。

R2#write !保存设备配置,把配置指令写入系统文件中

Building configuration...

[OK]

我收获

我留言

我练习

地点:网络实训室

1.按图6-5-7所示的网络拓扑结构对路由器进行配置,要求如下。

(1)使用动态路由协议RIPv1,使整个网络互通。

(2)使用动态路由协议RIPv2,使整个网络互通。

图6-5-7 RIP实训拓扑结构图

2.按图6-5-8所示的网络拓扑结构对路由器进行配置,要求如下。

图6-5-8 RIP配置实训拓扑结构图

(1) 使用动态路由协议RIPv1,使整个网络互通。

(2)使用动态路由协议RIPv2,使整个网络互通。

任务6 OSPF单区域路由协议

我明了

在本任务中,了解OSPF协议的作用,熟悉动态路由OSPF的配置命令及单区域配置方法。

我掌握

本任务要求理解动态路由协议OSPF的作用,学会动态路由OSPF单区域的配置方法与技巧。

我准备

1.认识OSPF

认识OSPF,理解其特点,掌握其网络适用范围。

OSPF(开放式最短路径优先协议,Open Shortest Path First)是由IETF开发的路由选择协议,IETF为了满足建造越来越大基于IP网络的需要,形成了一个工作组,专门用于开发开放式的链路状态路由协议,以便用在大型异构的IP网络中。新的路由协议以已经取得一些成功的一系列私人的、与生产商相关的、最短路径优先(SPF)路由协议为基础,在市场上得到广泛使用。

OSPF路由协议是开放标准的链路状态路由协议,路由协议收敛速度快(即收敛时间短)、适用范围广,一般应用于大规模网络或者网络结构常变动的环境中。

2.Router ID

(1)它是一个32 b的无符号整数,是一台路由器的唯一标志,在整个自治系统内唯一。

(2)路由器首先选取它所有的loopback端口上数值最高的IP地址。

(3)如果路由器没有配置IP地址的loopback端口,那么路由器将选取它所有的物理端口上数值最高的IP地址。

(4)用做路由器ID的端口不一定非要运行OSPF协议。

3.理解区域

在OSPF路由协议中都会用一个骨干区域(Area 0),而其他为子区域,子区域一定要与骨干区域直接相连才能互通,否则不通。

4. OSPF配置主要命令

Route ospf 进程号的数值范围为1~65535;然后发布网络,即network直连网络号 通配符掩码 area 区域号。OSPF配置如下。

(1)创建Loopback端口,定义Router ID。

Router(config)#interface loopback 0

Router(config-if)#ip address 192.168.1.1 255.255.255.0

(2)开启OSPF进程。

Router(config)#router ospf 1

(3)申请直连网段。

Router(config-router)#network 192.168.1.0 0.0.0.255 area 0

“1”代表进程编号,只具有本地意义。

5.查看OSPF的配置信息

(1)验证OSPF的配置。

Router#show ip ospf

(2)显示路由表的信息。

Router#show ip route

(3)清除路由表的信息。

Router#clear ip route

(4)在控制台显示OSPF的工作状态。

Router#debug ip ospf

注意此处的反掩码和区域号。

6.OSPF与RIP的区别

OSPF与RIP最大的区别就是,OSPF是链路状态,RIP是距离矢量路由选择协议。OSPF是根据SPF(最短路径优先)最短路径生成树确定最短路径的,RIP是根据路由器来确定哪些网络可以到达,换句话就是,OSPF中的每台路由器拥有区域内的每台路由器的地址,而RIP只有相连路由器的地址,因此RIP又称传言路由协议;OSPF是根据自己的SPF算法来确定路由表,RIP根据跳数(最多15跳)来确定路由表;OSPF有三个表:拓扑表、邻居表、路由表;RIP只有路由表。

弄清两者的区别,有利于其应用范围。

7.所需设备

计算机3台、路由器3台、RJ-45控制线一条、网线4条、DCE-DTE线一条。

8.拓扑结构

我校为了提高内部网络的工作效率和管理,将办公、教学和实训分成了三个不同的网络,即教师教学使用172.16.1.0/24网段,教师办公使用192.168.1.0/24网段,学生实训使用192.168.2.0/24网段。现在需要用3台路由器将其互连来实现互相通信、共享网络资源,在此使用OSPF来实现。PC1代表教师办公的一台计算机,PC2代表教师办公的一台计算机,PC3代表学生实训的一台计算机,其拓扑结构如图6-6-1所示。

图6-6-1 OSPF配置拓扑结构图

我动手

步骤1 在各设备不带电的情况下,对照图6-6-1所示的拓扑结构图进行路由器R0、R1、R2、PC1、PC2、PC3线路连接,并启动各设备,使其开始工作。

步骤2 配置路由器R1的端口IP地址。

Router#configure terminal

Router(config)#hostname R1

R1(config)#interface fa0/0

R1(config-if)#ip address 10.1.1.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#interface fa0/1

R1(config-if)#ip address 192.168.1.254 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#interface s0/0/0

R1(config-if)#ip address 99.1.1.2 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#

步骤3 配置路由器R2的端口IP地址。

Router#configure terminal

Router(config)#hostname R2

R2(config)#interface fa0/0

R2(config-if)#ip address 10.1.1.2 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#interface fa0/1

R2(config-if)#ip address 172.16.1.254 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#

DCE端须配时钟频率。

步骤4 配置路由器R0的端口IP地址。

Router#configure terminal

Router(config)#hostname R0

R0(config)#interface fa0/1

R0(config-if)#ip address 192.168.2.254 255.255.255.0

R0(config-if)#no shutdown

R0(config-if)#interface s0/0/0

R0(config-if)#clock rate 64000

R0(config-if)#ip address 99.1.1.1 255.255.255.0

R0(config-if)#no shutdown

R0(config-if)#

步骤5 分别在R0、R1、R2中配置OSPF协议,使网络互通。

(1)设置路由器R0的OSPF协议。

R0(config)#router ospf 10

R0(config-router)#network 192.168.2.0 0.0.0.255 area 0

R0(config-router)#network 99.1.1.0 0.0.0.255 area 0

R0(config-router)#end

R0#

(2)设置路由器R1的OSPF协议。

R1(config)#router ospf 10

R1(config-router)#network 10.1.1.0 0.0.0.255 area 0

R1(config-router)#network 99.1.1.0 0.0.0.255 area 0

R1(config-router)#network 192.168.1.0 0.0.0.255 area 0

R1(config-router)#end

R1#

(3)设置路由器R2的OSPF协议。

R2(config)#router ospf 10

R2(config-router)#network 10.1.1.0 0.0.0.255 area 0

R2(config-router)#network 172.16.1.0 0.0.0.255 area 0

R2(config-router)#end

R2#

步骤6 分别在R0、R1、R2中查看OSPF配置信息。

(1)查看R0的OSPF配置信息,如图6-6-2所示。

路由表信息中的“O”表示是通过学习而来的OSPF路由。

图6-6-2 R0的OSPF路由信息

(2)查看R1的OSPF配置信息,如图6-6-3所示。

图6-6-3 R1的OSPF路由信息

(3)查看R2的OSPF配置信息,如图6-6-4所示。

图6-6-4 R2的OSPF路由信息

步骤7 设置PC1、PC2、PC3的IP地址,然后使用ping命令进行测试。

(1)对照拓扑结构图配置PC1、PC2、PC3的IP地址。

(2)在PC1上ping PC2能通,测试结果如图6-6-5所示。

图6-6-5 PC1能ping通PC2

(3)在PC1上ping PC3能通,测试结果如图6-6-6所示。

图6-6-6 PC1能ping通PC3

步骤8 保存配置。

(1)保存R0的配置。

R0#write !保存设备配置,把配置指令写入系统文件中

Building configuration...

[OK]

(2)保存R1的配置。

R1#write !保存设备配置,把配置指令写入系统文件中

Building configuration...

[OK]

(3)保存R2的配置。

R2#write !保存设备配置,把配置指令写入系统文件中

Building configuration...

[OK]

我收获

我留言

我练习

地点:网络实训室

1.按图6-6-7所示的网络拓扑结构对路由器进行配置。要求:使用动态路由协议OSPF,使整个网络互通。

图6-6-7 OSPF配置拓扑结构图1

2.按图6-6-8所示的网络拓扑结构对路由器进行配置。要求:使用动态路由协议OSPF,使整个网络互通。

图6-6-8 OSPF配置拓扑结构图2

任务7 配置ACL限制上网时间

我明了

在本任务中,了解ACL的作用及配置要求,熟悉ACL的配置命令及配置方法。

我掌握

本任务要求理解ACL的作用及配置要求,学会基于时间的ACL配置方法与技巧。

我准备

1.认识ACL

ACL(Access Control List,访问控制列表)是路由器和交换机端口的指令列表,用来控制端口进出的数据。ACL适用于所有的路由协议,如IP、IPX等。定义列表时要声明匹配关系和条件,目的是对某种访问进行控制。

ACL配置内容包括定义规则及将定义的规则应用于端口上。

访问列表可以基于源地址、目的地址或服务类型设置过滤条件,允许或禁止某一用户访问某一特定网络资源。IP访问控制列表(ACL)可以在路由器上配置,也可以在三层交换机上配置。ACL类型分为IP标准访问控制列表和IP扩展访问控制,每种类型的访问控制列表又分为列表编号访问控制列表和命名访问控制列表。

通过对ACL的学习,提高网络安全策略配置。

2.ACL的作用

(1)在内网部署安全策略,保证内网安全权限的资源访问。

(2)内网访问外网时,进行安全的数据过滤。

(3)防止常见病毒、木马攻击对用户的破坏。

3.配置ACL注意事项

(1)如果ACL配置了特定的时间限制,则必须正确设置交换机或路由器的系统时间。

(2)定义规则时要首先确定列表项的最后默认动作是允许还是拒绝。

(3)对ACL中表项的检查是自上而下的,只要有一条表项匹配,检查就马上结束。

(4)只有端口特定方向上没有绑定ACL或没有任何ACL表项匹配时,才会使用默认规则。

(5)一个端口可以绑定一条入口ACL。

(6)端口可以成功绑定的ACL数目取决于已绑定的ACL内容以及硬件资源,如果因为硬件资源有限而无法配置,会给用户提示相关信息。

(7)如果access-list中包括过滤信息相同但动作矛盾的规则,则其无法绑定到端口并将有报错提示。例如,同时配置permit tcp any-source any-destination及deny tcp any-source any-destination。

4.所需设备

计算机两台、三层交换机一台、RJ-45控制线一条、网线两条。

5.拓扑结构

我校发现部分学生沉迷网络,深夜还在上网,严重影响了学习。为了制止这种现象,网络管理员在校内三层交换机上配置了一个ACL,定义晚上23:00到早上7:00这段时间内不能与外部网络通信。请定义一个ACL实现本功能,其拓扑结构如图6-7-1所示。

图6-7-1 ACL模拟拓扑结构图

我动手

先定义ACL,后应用;只定义不应用就无效。

步骤1 在各设备不带电的情况下,对照图6-7-1所示的拓扑结构图进行三层交换机SW1、PC4、Server1线路连接,并启动各设备,使其开始工作。

步骤2 设置PC4的IP地址为192.168.1.1/24(内部网络),设置Server1的IP地址为172.16.1.1/24(外部网络)。设置完成后要确保能相互ping通。

步骤3 定义时间列表。

Sw1#

Sw1#configure terminal

Sw1(config)#time-range schooltime !创建时间表schooltime

Sw1(config-time-range)#periodic daily 23:00 to 23:59 ! 定义时间范围为23:00到23:59

Sw1(config-time-range)#periodic daily 0:00 to 7:00 !定义时间范围为0:00到7:00

Sw1(config-time-range)#exit

Sw1(config)#

步骤4 创建扩展ACL并将其命名为schoolACL,配置禁止192.168.1.0网段在晚上23:00至早上7:00访问外网IP地址172.16.1.1。

Sw1(config)#ip access-list extended schoolACL !创建ACL,命名为schoolACL

Sw1(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 172.16.1.1 time-range schooltime !禁止192.168.1.0网段在schooltime的时间段内访问外网IP地址172.16.1.1

Sw1(config-ext-nacl)#permit ip any any !允许其他所有IP通过

Sw1(config-ext-nacl)#exit

Sw1(config)#

步骤5 进入端口fa0/1,配置PC4的网关地址,将名为schoolACL的ACL绑定到该端口的入口处。

Sw1(config)#interface fa0/1

Sw1(config-if)#no switch

Sw1(config-if)#ip address 192.168.1.254 255.255.255.0 !设置PC4网关地址

Sw1(config-if)#ip access-group schoolACL in !将名为schoolACL 的ACL绑定到该端口的入口处

Sw1(config-if)#exit

Sw1(config)#

步骤6 验证测试配置:验证配置有时间列表的ACL,可以将交换机的系统时间调制到ACL所允许或禁止的时间段内进行验证。

(1)把交换机的系统时间设置到ACL允许通信的范围内。

Sw1(config)#clock set 9:00:00 10 19 2013 !设置时间为9点

(2)在PC4上ping Server1能通,则表明ACL配置正确,如图6-7-2所示。

应用端口的“in”、“out”的区别。

图6-7-2 PC4能ping通server1

(3)把交换机的系统时间设置到ACL禁止通信的范围内。

Sw1(config)#clock set 2:00:00 10 19 2013 !设置时间为2 点

(4)在PC4上ping Server1不通,则表明ACL配置正确,如图6-7-3所示。

图6-7-3 PC4不能ping通server1

我收获

我留言

我练习

地点:网络实训室

按图6-7-4所示的网络拓扑结构进行配置,要求如下。

(1)设置PC4、PC6、Server1的IP地址。

(2)创建VLAN,分别把端口fa0/1加入VLAN10,端口fa0/2加入VLAN20。配置VLAN10的网关为192.168.1.254/24,VLAN20的网关为192.168.2.254/24。

(3)配置交换机的路由协议,使全网通信。

(4)创建一个名为SB的ACL,禁止PC4在工作时间(8:00 —17:00)访问外网(172.16.1.1),允许PC6在工作时间(8:00—17:00)访问外网(172.16.1.1),允许其他计算机通过。

(5)将名为SB的ACL分别绑定在fa0/1、fa0/2的入口处。

(6)测试其结果。

图6-7-4 ACL拓展实训拓扑图

任务8 配置ACL限制网络访问

我明了

在本任务中,了解ACL的种类及配置要求,熟悉ACL的配置命令及配置方法。

我掌握

本任务要求理解ACL的种类及配置要求,学会ACL配置方法与应用技巧。

我准备

1.配置ACL的准备

理解ACL的类型,理清各种类型的应用对象。

(1)要使用访问控制列表对数据进行过滤,就必须首先通过access-list命令定义一系列的访问列表规则。可以根据具体安全需要的不同,使用不同种类的访问列表。

①标准IP访问列表(1~99,1300~1999)。只对源地址进行控制。

②扩展IP访问列表(100~199,2000~2699)。可以根据源目的地址进行复杂的控制。

③MAC扩展列表(700~799)。可以根据源、目的MAC地址以及以太网的类型进行匹配Expert扩展访问列表(2700~2899)。

(2)access-list的默认动作分为两种:允许通过(permit)和拒绝通过(deny)。

①在一个access-list内,可以有多条规则(rule)。对数据包的过滤从第一条规则开始,直到匹配到一条规则,对其后的规则就不再进行匹配。

②全局默认动作只对端口入口方向的IP包有效。入口方向的非IP数据包以及出口方向的所有数据包的默认转发动作均为允许通过。

③只有在打开包过滤功能并且端口上没有绑定任何ACL或不匹配任何绑定的ACL时,才会匹配入口方向的全局默认动作。

④当一条access-list命令被绑定到一个端口的出口方向时,其规则的动作只能为拒绝通过。

2.所需设备

计算机4台、三层交换机一台、路由器一台。

3.拓扑结构

我校有计算机部、机电部、旅游部和教务处等四个部门,学校要求只允许计算机部访问教务处的计算机。为了执行学校的要求,网络管理员在路由器上配置了一个标准ACL,它只允许计算机部访问教务处,其余部门都禁止访问。根据图6-8-1所示的拓扑结构来配置一个标准ACL限制网络访问。

图6-8-1 ACL配置拓扑结构图

我动手

步骤1 在各设备不带电的情况下,对照图6-8-1所示的拓扑结构图制作网线,连接好各设备,并启动各设备,使其开始工作。

步骤2 配置三层交换机SW1,创建VLAN并加入端口,设置fa0/24端口管理地址。

Switch#configure terminal

Switch(config)#hostname sw1

sw1(config)#vlan 10

sw1(config-vlan)#name jdb

sw1(config-vlan)#vlan 20

sw1(config-vlan)#name nyb

sw1(config-vlan)#vlan 30

sw1(config-vlan)#name jsjb

sw1(config-vlan)#exit

sw1(config)#interface vlan 10

sw1(config-if)#ip address 192.168.1.254 255.255.255.0

sw1(config-if)#no shutdown

sw1(config-if)#interface vlan 20

sw1(config-if)#ip address 192.168.2.254 255.255.255.0

sw1(config-if)#no shutdown

sw1(config-if)#interface vlan 30

sw1(config-if)#ip address 172.16.1.254 255.255.255.0

sw1(config-if)#no shutdown

sw1(config-if)#exit

sw1(config)#interface range fa0/1-4

sw1(config-if-range)#switchport access vlan 10

sw1(config-if-range)#interface range fa0/5-9

sw1(config-if-range)#switchport access vlan 20

sw1(config-if-range)#interface range fa0/10-14

sw1(config-if-range)#switchport access vlan 30

sw1(config-if-range)#interface fa0/24

sw1(config-if)#no switchport

sw1(config-if)#ip address 10.1.1.2 255.255.255.0

sw1(config-if)#no shutdown

sw1(config-if)#exit

sw1(config)#route ospf 10

sw1(config-router)#network 192.168.1.0 0.0.0.255 area 0

sw1(config-router)#network 192.168.2.0 0.0.0.255 area 0

sw1(config-router)#network 172.16.1.0 0.0.0.255 area 0

sw1(config-router)#network 10.1.1.0 0.0.0.255 area 0

sw1(config-router)#

步骤3 配置路由器R3的端口管理地址。

Router>

Router>enable

Router#configure terminal

Router(config)#hostname R3

R3(config)#interface fa0/0

R3(config-if)#ip address 10.1.1.1 255.255.255.0

R3(config-if)#no shutdown

R3(config-if)#interface fa0/1

R3(config-if)#ip address 172.16.2.254 255.255.255.0

R3(config-if)#no shutdown

R3(config-if)#exit

R3(config)#route ospf 10

R3(config-router)#network 10.1.1.0 0.0.0.255 area 0

R3(config-router)#network 172.16.2.0 0.0.0.255 area 0

R3(config-router)#

步骤4 PC4、PC5、PC6都能ping通PC7,结果如图6-8-2所示。

图6-8-2 PC4能ping通PC7

为什么步骤5在配置ACL时不在最后增加一条deny ip any命令来拒绝其他部门访问教务处呢?

步骤5 在路由器R3上配置ACL。

R3(config)# access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255 !创建扩展ACL,编号为101,允许计算机部的172.16.1.0网段访问教务处的172.16.2.0网段

R3(config)#interface fa0/0 !进入fa0/0端口

R3(config-if)#ip access-group 101 in !绑定编号为101的ACL到此端口的入口处

R3(config-if)#

步骤6 验证配置。

(1) 使用机电部、旅游部的计算机ping教务处的计算机,若不能ping通,则表明ACL配置成功,如图6-8-3所示。

对ACL中表项的检查是自上而下的,只要有一条表项与这匹配,对此ACL的检查就会马上结束。

图6-8-3 PC4没有ping通PC7

(2)使用计算机部的计算机ping教务处的计算机,若能ping通,则表明ACL配置成功,如图6-8-4所示。

图6-8-4 PC5能ping通PC7

我收获

我留言

我练习

地点:网络实训室

按图6-8-5所示的网络拓扑结构进行配置,要求如下。

(1)修改各网络设备的名字,制作相应的网线,按照拓扑结构图连接各设备。

(2)在S1上创建VLAN,分别把端口fa0/1~4加入VLAN10,设置网关地址为192.168.1.254/24;端口fa0/5~9加入VLAN20,设置网关地址为192.168.2.254/24。设置fa0/24端口的管理地址为10.1.1.2/24。

(3)在S2上创建VLAN,分别把端口fa0/1~4加入VLAN30,设置网关地址为172.16.1.254/24;端口fa0/5~9加入VLAN40,设置网关地址为172.16.2.254/24。设置fa0/24端口的管理地址为10.1.2.2/24。

(4)在路由器R1上设置fa0/0端口的IP地址为10.1.1.1/24;设置fa0/1端口的IP地址为10.1.2.1/24。

(5)分别在路由器、三层交换机上配置OSPF路由协议,使全网互通。

(6)在路由器上创建ACL,组号设置为102,配置允许计算机部访问旅游部,但旅游部不能访问计算机部,完成后将ACL绑定到fa0/1的入口处。

(7)配置完成后进行验证测试。

图6-8-5 ACL实训配置拓扑结构图

任务9 静态NAT配置

我明了

在本任务中,了解NAT的功能,熟悉静态NAT的工作过程与配置方法。

我掌握

本任务要求理解静态NAT的工作过程,学会静态NAT配置方法与应用技巧。

我准备

1.NAT简介

理解NAT,体会其在内网与外网中的用途。

网络地址转换(Network Address Translation,NAT)是在路由器上实施的地址转换技术,能够改变数据包的源地址或目的地址,实现Internet上主机间的相互通信。通过应用NAT技术,使得一个组织的私有IP转换为公有IP地址(全球唯一IP),实现具有私有地址的局域网与互联网连接,而不需要重新给局域网的每台主机分配公有IP地址。

2.NAT几个术语

(1)内部网络(inside):在内部网络,每台主机都分配一个内部IP地址,但与外部网络通信时,又表现为另外一个地址。每台主机的前一个地址称为内部本地地址,后一个地址称为外部全局地址。

(2)外部网络(outside):是指内部网络需要连接的网络,一般指互联网。

(3)内部本地地址(Inside Local Address):是指分配给内部网络主机的IP地址,该地址可能是非法的未向相关机构注册的IP地址,也可能是合法的私有网络地址。

(4)内部全局地址(Inside Global Address):合法的全局可路由地址,在外部网络代表着一个或多个内部本地地址。

3.静态NAT工作过程

理解静态NAT的工作过程,有利于我们在设备上的正确配置。

静态NAT是建立内部本地地址和内部全局地址的一对一永久映射。当内部网络需要与外部网络通信时,配置静态NAT,将内部私有IP地址转换成全局唯一IP地址。

例如,当内部网络一台主机10.1.11访问外部网络主机1.1.13的资源时,内部源地址NAT的工作过程如图6-9-1所示。

图6-9-1 静态NAT工作过程图解

(1)主机10.1.1.1发送一个数据包到路由器,如图6-9-1所示。

(2)路由器接收以10.1.1.1为源地址的第一个数据包时,路由器检查NAT转换表,若该地址有配置静态映射,就进入(3)执行地址转换;若没有配置静态映射,转换失败。

(3)路由器用10.1.1.1对应的NAT转换记录中全局地址172.2.2.2替换数据包源地址,经过转换后,数据包的源地址变为172.2.2.2,然后转发该数据包。

(4)1.1.1.3主机接收到数据包后,将向172.2.2.2发送响应包,如图6-9-1所示。

(5)当路由器接收到内部全局地址的数据包时,将以内部全局地址172.2.2.2为关键字查找NAT记录表,将数据包的目的地址转换成10.1.1.1并转发给10.1.1.1。

(6)10.1.1.1接收到应答包,并继续保持会话。第(1)~(5)步将一直重复,直到会话结束。

4.NAT配置命令

(1)定义NAT转换关系。

(2)定义端口类型。

5.所需设备

计算机4台、三层交换机一台、路由器一台。

6.拓扑结构

我校办公网络使用私有地址为192.168.1.0/24网段,通过出口路由器R0与Internet连接。我校申请的公有地址为99.1.1.1/24,在路由器R0上配置静态NAT转换,实现办公网络主机访问Internet上172.16.1.1/24主机。参考网络拓扑结构图如图6-9-2所示。

图6-9-2 静态NAT配置拓扑结构图

我动手

步骤1 在各设备不带电的情况下,对照图6-9-2所示的拓扑结构图制作网线,连接好各设备,并启动各设备,使其开始工作。

步骤2 配置路由器R0。

(1)R0的基本配置。

router#configure terminal

router(config)#hostname R0

R0(config)#interface fa0/0

R0(config-if)#ip address 192.168.1.254 255.255.255.0

R0(config-if)#no shutdown

R0(config-if)#interface fa0/1

R0(config-if)#ip address 99.1.1.1 255.255.255.0

R0(config-if)#no shutdown

R0(config-if)#exit

(2)R0的NAT配置。

R0(config)#interface fa0/0

R0(config-if)#ip nat inside

R0(config-if)#interface fa0/1

R0(config-if)#ip nat outside

R0(config-if)#exit

R0(config)#ip nat inside source static 192.168.1.254 99.1.1.1

(3)R0的路由配置。

r0(config)#rout rip

r0(config-router)#network 192.168.1.0

r0(config-router)#network 99.1.1.0

r0(config-router)#end

r0#

步骤3 配置路由器R1。

(1)R1的基本配置。

router#configure terminal

router(config)#hostname R1

R1(config)#interface fa0/0

R1(config-if)#ip address 172.16.1.254 255.255.255.0 R1(config-if)#no shutdown

R1(config-if)#interface fa0/1

R1(config-if)#ip address 99.1.1.2 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

(2)R1的路由配置。

R1(config)#rout rip

R1(config-router)#network 172.16.1.0

R1(config-router)#network 99.1.1.0

步骤4 验证NAT。在PC0上ping出口地址99.1.1.1。

(1)对照拓扑图配置PC0、PC1的IP地址。

(2)在PC0上ping PC1,如图6-9-3所示。

图6-9-3 PC0能ping通PC1

(3)查看R0上的NAT转换过程,如图6-9-4所示。

在查看NAT转换过程时一定要在PC上用ping命令产生数据包。

图6-9-4 R0上NAT转换过程

步骤5 保存路由器R0、R1的配置。

(1)保存R0的配置。

r0#write

Building configuration...

[OK]

r0#

(2)保存R1的配置。

R1#write

Building configuration...

[OK]

r0#

我收获

我留言

我练习

地点:网络实训室

我校网络通过路由器连接到Internet,通过ISP申请了219.139.35.98~219.139.35.99的地址,我校内部使用私有地址192.168.1.0/24网段组网,路由器inside端口地址为192.168.1.254,outside端口地址为219.139.35.98,使用静态NAT转换实现LAN访问Internet。

要求:

(1)根据我校网络规划,绘制网络拓扑结构图;

(2)配置网络设备,包括交换机及路由器基本配置、NAT转换功能配置等;

(3)通过ping命令发送数据包,观察路由器NAT记录表,验证NAT功能是否有效。

任务10 动态NAT配置

我明了

在本任务中,了解动态NAT的功能,熟悉动态NAT的工作过程与配置方法。

我掌握

本任务要求理解动态NAT的工作过程,学会动态NAT配置方法与应用技巧。

我准备

1.动态NAT简介

注意理解静态NAT与动态NAT的区别,以便更好地应用NAT。

动态NAT在路由器中建立一个地址池,放置可用的内部全局地址。当有内部本地地址需要转换时,查询地址池,取出内部全局地址,实现地址转换。当使用完毕后,这个内部全局地址返回地址池,供其他用户使用。

2.动态NAT工作过程

内部主机利用动态NAT实现Internet访问的具体工作过程,如图6-10-1所示。

图6-10-1 动态NAT工作过程图解

(1)主机10.1.1.1发送一个数据包到路由器,如图6-10-1所示。

(2)路由器接收以10.1.1.1为源地址的第一个数据包时,路由器查询地址池,获得一个可用的内部全局地址(172.2.2.2),建立NAT转换表映射记录,进入(3)执行地址转换。

(3)路由器用10.1.1.1对应的NAT转换记录中全局地址172.2.2.2替换数据包源地址。

(4)经过转换后,数据包的源地址变为172.2.2.2,然后转发该数据包。

(5)1.1.1.3主机接收到数据包后,将向172.2.2.2发送响应包,如图6-10-1所示。

(6)当路由器接收到内部全局地址的数据包时,将以内部全局地址172.2.2.2为关键字查找NAT记录表,将数据包的目的地址转换成10.1.1.1并转发给10.1.1.1。

(7)10.1.1.1接收到应答包,并继续保持会话。第(1)~(6)步将一直重复,直到会话结束。

3.动态NAT配置命令

动态NAT配置的几个步骤缺一不可。

配置动态NAT的内容为定义内部端口、定义外部端口、定义地址池、定义访问列表、启动NAT转换,其中定义访问列表是为了限制实现地址转换的网段,只有在访问列表内允许的流量才能启动NAT转换功能。其配置命令如下。

(1)定义全局地址池。

Router(config)#ip nat pool to_internet 172.2.2.1 172.2.2.10 netmask 255.255.255.0 !定义名称为to_internet全局地址池,范围为172.2.2.1~172.2.2.10的10个地址

(2)定义访问列表。

Router(config)#access-list 10 permit 10.1.1.0 0.0.0.255 !只允许10.1.1.0网段发出的数据包进行NAT转换

(3)启用内部源地址NAT。

Router(config)#ip nat inside source list 10 pool to_internet overload !启动NAT转换,并将定义的地址池to_internet与访问列表list 10关联

(4)定义端口类型。

Router(config-if)#ip nat inside !定义端口为内部端口

Router(config-if)#ip nat outside !定义端口为外部端口

(5)显示转换关系。

Router#show ip nat translations !在数据包通过后,查看数据包转换关系

4.所需设备

计算机3台、交换机一台、路由器两台。

5.拓扑结构

我校办公网络使用私有地址为192.168.1.0/24网段,通过出口路由器R1与Internet连接。我校申请的公有地址为219.139.35.97~219.139.35.99,在路由器R1上进行动态NAT转换,实现办公网络主机访问Internet。参考网络拓扑结构图如图6-10-2所示。

图6-10-2 动态NAT转换拓扑结构图

我动手

参照以前相应任务进行。

为了清楚地观察到NAT转换结果,在执行show ip nat translations前,应产生一个需要NAT转换的数据包,则执行ping命令。

步骤1 在各设备不带电的情况下,对照图6-10-2所示的拓扑结构图制作网线,连接好各设备,并启动各设备,使其开始工作。

步骤2 配置好交换机SW1,路由器R1、R2的名称,端口IP地址等基本设置。

步骤3 配置动态NAT。

(1)定义地址池。

R1(config)#ip nat pool waiwang 219.139.35.97 219.139.35.99 netmask 255.255.255.0

(2)定义ACL。

R1(config)#access-list 10 permit 192.168.1.0 0.0.0.255

(3)关联pool与ACL。

R1(config)#ip nat inside source list 10 pool waiwang overload

(4)定义内部端口。

R1(config)#interface fa0/1

R1(config-if)#ip nat inside

R1(config-if)#ip address 192.168.1.254 255.255.255.0

(5)定义外部端口。

R1(config)#interface fa0/0

R1(config-if)#ip nat outside

R1(config-if)#ip address 219.139.35.97 255.255.255.0

(6)设置默认路由。

R1(config)#ip route 0.0.0.0 0.0.0.0 fa0/0

步骤4 功能测试。

(1)在PC2上ping PC1。

Ping 172.2.2.100 -t

(2) 在路由器R1上查看NAT转换关系。

R1#show ip nat translations

我收获

我留言

我练习

地点:网络实训室

我校实训室网络要通过路由器连接到Internet,通过ISP申请了219.139.3.8~219.139.3.10的地址,实训室使用私有地址172.16.10.0/24网段组网,路由器inside端口地址为172.16.1.254,outside端口地址为219.139.3.8,使用动态NAT转换实现LAN访问Internet。

要求:

(1)根据我校实训室网络规划,绘制网络拓扑结构图;

(2)配置网络设备,包括交换机及路由器基本配置、动态NAT转换功能配置等;

(3)通过ping命令发送数据包,观察路由器NAT记录表,验证动态NAT功能是否有效。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈