交換機(jī)與路由器配置實(shí)驗(yàn)教程 第3版 課件 張世勇 第5-8章 交換機(jī)高級配置和實(shí)驗(yàn)-交換機(jī)與路由器綜合實(shí)驗(yàn)

交換機(jī)與路由器配置實(shí)驗(yàn)教程第5章交換機(jī)高級配置和實(shí)驗(yàn)實(shí)驗(yàn)一、二交換機(jī)接口升級Vlan間通信2024/5/8張世勇QQ：808457962教學(xué)目標(biāo)二層交換機(jī)與三層交換機(jī)的區(qū)別。三層交換機(jī)支持3種接口。三層交換機(jī)來實(shí)現(xiàn)Vlan間的路由。2024/5/8張世勇QQ：8084579631.二層交換機(jī)與三層交換機(jī)的區(qū)別二層交換機(jī)僅僅工作在二層（數(shù)據(jù)鏈路層），由于二層是用MAC地址確定目標(biāo)，所以在這層工作的交換機(jī)是不需要涉及到IP地址這個(gè)概念的，也就是說二層交換機(jī)的端口（接口）是無法設(shè)定IP地址的。它只能讓同一網(wǎng)段的計(jì)算機(jī)通信。三層交換機(jī)可以工作在二層，同時(shí)也可以工作在三層（網(wǎng)絡(luò)層），也有三層接口，在三層接口可以配置IP地址，通過路由實(shí)現(xiàn)不同網(wǎng)段之間的通信。一般小型網(wǎng)絡(luò)使用二層交換機(jī)即可。中大型網(wǎng)絡(luò)需要使用路由功能，可以考慮使用三層交換機(jī)實(shí)現(xiàn)。2024/5/8張世勇QQ：8084579642.Cisco三層交換機(jī)支持3種接口二層交換接口，就相當(dāng)與一般二層交換機(jī)的接口。在此接口上，不能配置IP地址。三層路由接口，就相當(dāng)于路由器的接口，可以配置IP地址，也可以進(jìn)行路由設(shè)置。Vlan接口，對Vlan進(jìn)行配置，可以給Vlan配置IP地址，從而實(shí)現(xiàn)Vlan間路由。2024/5/8張世勇QQ：8084579653.二層交換機(jī)與三層交換機(jī)之間的接口轉(zhuǎn)換命令Switch（config）#hostSW1！為交換機(jī)改名SW1（config）#intF0/1！進(jìn)入F0/1接口SW1（config-if）#noswit

！升級F0/1為三層接口SW1（config-if）#ipadd

！給三層接口配IP地址SW1（config-if）#noshut！開啟路由器接口如果要把三層接口降級到二層接口，用switchport命令即可。SW1（config-if）#swit

！降級到二層接口2024/5/8張世勇QQ：8084579664.利用三層交換機(jī)實(shí)現(xiàn)Vlan間的通信2024/5/8張世勇QQ：8084579674.利用三層交換機(jī)實(shí)現(xiàn)Vlan間的通信

端口和PC的連接為：

Switch1F0/1<---->VPCSV0/1Switch1F0/2<---->VPCSV0/2Switch1F0/3<---->VPCSV0/3

打開虛擬電腦，配置IP后，PC1和PC3在一個(gè)網(wǎng)段，可以Ping同。但不能和PC2通信。2024/5/8張世勇QQ：8084579685.結(jié)果總結(jié)我們把三層交換機(jī)的二層交換接口升級到三層路由接口，并為之配置了IP地址，用“showrun”命令查看，F(xiàn)0/1接口已經(jīng)配置了IP地址，并且提示“noswitchport”，表示是三層路由接口。利用三層交換機(jī)實(shí)現(xiàn)Vlan間路由，概念其實(shí)很簡單，首先給Vlan配置IP地址，然后把這個(gè)IP當(dāng)成本Vlan內(nèi)所有PC的網(wǎng)關(guān)。把這個(gè)三層交換機(jī)當(dāng)成路由器來理解就比較容易了。2024/5/8張世勇QQ：808457969實(shí)驗(yàn)三Vlan間路由實(shí)驗(yàn)二在劃分了Vlan后，位于同一Vlan內(nèi)的PC之間是可以通信的，不同Vlan之間是無法進(jìn)行通信的。如果要想讓不同Vlan之間通信，就必須使用路由器或三層交換機(jī)實(shí)現(xiàn)Vlan之間的通信，實(shí)現(xiàn)Vlan間的路由。2024/5/8張世勇QQ：8084579610教學(xué)目標(biāo)進(jìn)一步理解Vlan間路由了解實(shí)際工作中如何使用Vlan間路由2024/5/8張世勇QQ：8084579611一、實(shí)驗(yàn)概述

在實(shí)際工作中我們往往同時(shí)用到二層交換機(jī)和三層交換機(jī)，在二層設(shè)備上創(chuàng)建Vlan，并將端口添加到Vlan。然后在三層設(shè)備上也要創(chuàng)建相應(yīng)的Vlan，然后對Vlan配置IP地址，實(shí)現(xiàn)Vlan間路由。2024/5/8張世勇QQ：8084579612二、實(shí)驗(yàn)規(guī)劃2024/5/8張世勇QQ：8084579613二、實(shí)驗(yàn)規(guī)劃拓?fù)渚幹罚篜C1——IP：/24網(wǎng)關(guān)：/24PC4——IP：/24網(wǎng)關(guān)：/24PC2——IP：/24網(wǎng)關(guān)：/24PC3——IP：/24網(wǎng)關(guān)：/24Vlan10——IP：/24，就是Vlan10內(nèi)所有PC的網(wǎng)關(guān)IPVlan20——IP：/24，就是Vlan20內(nèi)所有PC的網(wǎng)關(guān)IPVlan10都是/24網(wǎng)段，Vlan20都是/24網(wǎng)段。2024/5/8張世勇QQ：8084579614三、實(shí)驗(yàn)步驟

實(shí)驗(yàn)前，安裝好各種連接，配置好各個(gè)PC的IP地址，在未對交換機(jī)進(jìn)行Vlan劃分時(shí)，在一臺交換機(jī)上的PC之間（PC1和PC2，PC3和PC4）是不可以通信的，用Ping命令不能Ping通。因?yàn)樗鼈兣渲玫木W(wǎng)段不一樣。等劃分好Vlan并實(shí)現(xiàn)路由后，它們4臺電腦應(yīng)該可以互通訪問。2024/5/8張世勇QQ：8084579615三、實(shí)驗(yàn)步驟

通過以上配置，位于同一Vlan（但在不同交換機(jī)）的PC之間，可以ping通，如PC1和PC4之間，PC2和PC3之間。就是說同一網(wǎng)段之間可以通信。2024/5/8張世勇QQ：8084579616四、結(jié)果總結(jié)

不同網(wǎng)段之間的PC以及同一網(wǎng)段的PC都可以通信，也就是實(shí)現(xiàn)了全網(wǎng)互通。2024/5/8張世勇QQ：8084579617實(shí)驗(yàn)四鏈路聚合鏈路聚合是指將交換機(jī)上的多個(gè)端口分別連接，但是聚合成一個(gè)邏輯端口，以增加交換機(jī)之間的連接帶寬，同時(shí)提供冗余鏈路的網(wǎng)絡(luò)方式。2024/5/8張世勇QQ：8084579618教學(xué)目標(biāo)

理解鏈路聚合概念。理解鏈路聚合的作用。2024/5/8張世勇QQ：8084579619一、實(shí)驗(yàn)概述

鏈路聚合是指將交換機(jī)上的多個(gè)端口分別連接，但是聚合成一個(gè)邏輯端口，以增加交換機(jī)之間的連接帶寬，同時(shí)提供冗余鏈路的網(wǎng)絡(luò)方式。在局域網(wǎng)建設(shè)過程中，數(shù)據(jù)通信量增長很快，為了解決帶寬不足問題，可以使用將多個(gè)鏈路聚合成一個(gè)邏輯鏈路的方式。聚合在一起的鏈路傳輸速率是單一鏈路的疊加，可以使交換機(jī)之間鏈路帶寬成倍增長。同時(shí)，在交換機(jī)之間設(shè)置了鏈路聚合后，原來獨(dú)立的鏈路之間可以起到冗余備份的作用，從而保證交換機(jī)之間的鏈路安全。2024/5/8張世勇QQ：8084579620一、實(shí)驗(yàn)概述鏈路聚合時(shí)應(yīng)當(dāng)堅(jiān)持如下原則：通道中的端口配置在同一Vlan中（如果有的話），或全部設(shè)置為trunk鏈路（有些型號的交換機(jī)不用做這步配置）。將通道中的所有端口配置在相同速率和工作模式（默認(rèn)都是一樣的）。將通道中所有端口的安全功能關(guān)閉（默認(rèn)都是關(guān)閉的）。確保通道中所有端口在通道兩端都有相同的配置。2024/5/8張世勇QQ：8084579621二、實(shí)驗(yàn)規(guī)劃PC1的IP為：/24，PC2的IP為：/24。兩臺計(jì)算機(jī)網(wǎng)關(guān)都是為：/24（當(dāng)然這個(gè)網(wǎng)關(guān)是沒有的，只是在虛擬PC軟件上必須有這一項(xiàng)）。2024/5/8張世勇QQ：8084579622三、實(shí)驗(yàn)步驟端口和PC的連接：Switch1F0/0<---->VPCSV0/1Switch2F0/0<---->VPCSV0/2Switch1F0/1<---->Switch2F0/1Switch1F0/2<---->Switch2F0/22024/5/8張世勇QQ：8084579623四、結(jié)果總結(jié)

在虛擬PC1和PC2上配置IP地址，它們之間可以ping通。但是沒辦法做冗余測試，如果在真實(shí)交換機(jī)上做實(shí)驗(yàn)，可以斷開一條鏈路，檢測兩臺電腦是否可以通信。鏈路聚合的主要作用就是增加網(wǎng)絡(luò)帶寬，一種是交換機(jī)之間，比如兩臺交換機(jī)設(shè)備，用一根百兆網(wǎng)線級聯(lián)，由于訪問量增加，就會產(chǎn)生屏蔽，速度變慢，這時(shí)就可以使用鏈路聚合，建立鏈路聚合，多用兩條網(wǎng)線連接交換機(jī)，并把兩臺交換機(jī)連接的端口各自聚合在一起，能增加網(wǎng)絡(luò)帶寬。還有一種情況就是，交換機(jī)于服務(wù)器之間的鏈接，比如說一臺服務(wù)器連接交換機(jī)上，如果訪問量很大，那么服務(wù)器就會承受不了，就可以考慮多安裝兩塊網(wǎng)卡，使用鏈路聚合使兩塊網(wǎng)卡連接的端口聚合在一起，減輕服務(wù)器的負(fù)擔(dān)。2024/5/8張世勇QQ：8084579624學(xué)習(xí)改變生活2024/5/8張世勇QQ：8084579625交換機(jī)與路由器配置實(shí)驗(yàn)教程第6章路由器高級配置和實(shí)驗(yàn)實(shí)驗(yàn)一、動態(tài)路由之RIP協(xié)議教學(xué)目標(biāo)：1.理解動態(tài)路由的概念。2.理解距離矢量路由協(xié)議概念及原理。3.理解RIP路由協(xié)議概念及原理。4.學(xué)會RIP路由配置。2024/5/8張世勇QQ：8084579628一、實(shí)驗(yàn)概述

路由信息協(xié)議（RIP）是計(jì)算機(jī)網(wǎng)絡(luò)中歷史悠久的路由協(xié)議，也是較早推出的距離矢量路由協(xié)議，它是一種最簡單的距離矢量路由協(xié)議，非常適用于小型網(wǎng)絡(luò)。

RIP路由協(xié)議是以跳數(shù)作為度量值來計(jì)算路由的，跳數(shù)指的是一個(gè)包，從源到達(dá)目標(biāo)網(wǎng)絡(luò)過程中經(jīng)過的路由器個(gè)數(shù)。每經(jīng)過一臺路由器，跳數(shù)加1。跳數(shù)越多，路由越長，RIP會根據(jù)原則，優(yōu)先選擇跳數(shù)少的路徑作為最優(yōu)路徑。雖然到達(dá)相同目標(biāo)有不等速或不同帶寬的網(wǎng)絡(luò)，但只要跳數(shù)一樣，則RIP認(rèn)為這兩條路由是一樣的。同理，低帶寬跳數(shù)少的，優(yōu)于高帶寬跳數(shù)多的，這種情況有時(shí)是不合理的。2024/5/8張世勇QQ：8084579629一、實(shí)驗(yàn)概述RIP路由具體配置非常簡單：全局配置模式下，啟用RIP路由協(xié)議。在路由器配置模式下，用Network命令發(fā)布本路由器的直連網(wǎng)絡(luò)網(wǎng)段，子網(wǎng)掩碼可以不輸入。目前絕大多數(shù)路由器和三層交換機(jī)都支持默認(rèn)動態(tài)路由，即network命令，發(fā)布本路由器直連的所有網(wǎng)段，減少輸入命令的條數(shù)。相對應(yīng)的命令：

1、Router（config）#routerrip！啟用RIP2、Router（config-router）#networkx.x.x.x（直連網(wǎng)段）

3、Router（config-router）#network2024/5/8張世勇QQ：8084579630二、實(shí)驗(yàn)規(guī)劃2024/5/8張世勇QQ：8084579631二、實(shí)驗(yàn)規(guī)劃拓?fù)渚幹罚篠W3：F0/0——IP：/24Vlan10——IP：/24PC1——IP：/24，網(wǎng)關(guān)為Vlan10的IPR1：F0/0——IP：/24F0/1——IP：/24R2：F0/1——IP：/24F0/0——IP：/8PC2——IP：/8，網(wǎng)關(guān)為R2上的F0/0的IP2024/5/8張世勇QQ：8084579632三、實(shí)驗(yàn)步驟創(chuàng)建連接如下：Switch1F0/0<---->Router1E0/0Switch1F0/1<---->VPCSV0/1Router1E0/1<---->Router2E0/1Router2E0/0<---->VPCSV0/22024/5/8張世勇QQ：8084579633四、結(jié)果總結(jié)

順利的實(shí)現(xiàn)了全網(wǎng)互通，在實(shí)驗(yàn)過程中大家可以使用network命令來進(jìn)行實(shí)驗(yàn)，減少輸入命令的條數(shù)。本實(shí)驗(yàn)中路由器全部使用的是快速以太網(wǎng)接口，如果使用Serial串行接口，一定要在電纜DCE端的路由器上配置該串口的時(shí)鐘頻率，一般為64000。

Serial串行接口在仿真機(jī)上沒辦法做實(shí)驗(yàn)，其配置方法和普通以太網(wǎng)接口一樣，不過進(jìn)入的命令是：intserial0，配置完IP地址后，要增加一條時(shí)鐘頻率命令：clockrate64000，即可。在線路兩端，只能為其中一個(gè)串行端口配置時(shí)鐘頻率，不能在兩個(gè)端口都配置，否則無法通信。2024/5/8張世勇QQ：8084579634實(shí)驗(yàn)二、動態(tài)路由之OSPF協(xié)議教學(xué)目標(biāo)：1.理解鏈路狀態(tài)路由協(xié)議概念及原理。2.理解鏈路狀態(tài)算法多樣性。3.理解OSPF協(xié)議的實(shí)現(xiàn)原理。4.掌握實(shí)現(xiàn)OSPF協(xié)議的方法。2024/5/8張世勇QQ：8084579636一、實(shí)驗(yàn)概述

鏈路狀態(tài)路由協(xié)議比距離矢量路由協(xié)議有更強(qiáng)的處理能力，可以提供更多的控制和提供更快的相應(yīng)速度。鏈路狀態(tài)算法使用更多的方法，如根據(jù)鏈路的帶寬，可靠性和負(fù)載變化，避開擁塞，選擇線路，優(yōu)化線路或提供更高的優(yōu)先級來實(shí)現(xiàn)網(wǎng)絡(luò)連通。鏈路狀態(tài)路由協(xié)議適合大型網(wǎng)絡(luò)，它能在更短的時(shí)間發(fā)現(xiàn)新加入的路由器或中斷，使得路由表更新時(shí)間更短。不過由于它的復(fù)雜性，要求路由器CPU更快，內(nèi)存更大。2024/5/8張世勇QQ：8084579637一、實(shí)驗(yàn)概述OSPF協(xié)議，又稱“開放最短路徑優(yōu)先”協(xié)議，該協(xié)議是開放的，因此，它可以在幾乎所有路由器和三層交換機(jī)上使用。

OSPF協(xié)議的實(shí)現(xiàn)原理是：處于同一個(gè)OSPF中的路由器選出這個(gè)區(qū)域內(nèi)的一臺主路由器，每臺路由器根據(jù)自己的網(wǎng)絡(luò)結(jié)構(gòu)生成自己的鏈路狀態(tài)，告知主路由器，而不是像RIP那樣向鄰居發(fā)送。所有鏈路信息放在一起組成一個(gè)完整的鏈路情況數(shù)據(jù)庫，每臺路由器都得到這個(gè)數(shù)據(jù)庫，每臺路由器根據(jù)這個(gè)數(shù)據(jù)庫，利用一定算法（SPF算法，由Dijkstra艾茲格·迪科斯徹發(fā)明，又叫最短路徑算法），計(jì)算出以自己為根的最短路徑，形成路由表。2024/5/8張世勇QQ：8084579638一、實(shí)驗(yàn)概述

2024/5/8張世勇QQ：8084579639一、實(shí)驗(yàn)概述

本實(shí)驗(yàn)主要用于實(shí)現(xiàn)OSPF協(xié)議在單區(qū)域內(nèi)的網(wǎng)絡(luò)配置，OSPF協(xié)議配置命令為:1、在全局配置模式下啟動OSPF，進(jìn)入OSPF路由協(xié)議配置模式：

Router（config）#Routerospf

process-id

其中process-id是用來在這個(gè)路由器接口上啟動的OSPF的唯一標(biāo)識。Process-id可以作為識別一臺路由器上是否運(yùn)行著多個(gè)OSPF進(jìn)程的依據(jù)。Process-id的取值范圍為1——65535。一個(gè)路由器的每個(gè)接口都可以選擇不同的id，但一般來說不推薦在路由器上運(yùn)行多個(gè)OSPF，因?yàn)槎鄠€(gè)id會有多個(gè)拓?fù)鋽?shù)據(jù)庫，給路由器造成額外負(fù)擔(dān)。2024/5/8張世勇QQ：8084579640一、實(shí)驗(yàn)概述2、發(fā)布OSPF的網(wǎng)絡(luò)號和指定端口所在區(qū)域號：

Router（config-router）#network

addresswildcard

area

area-id

Addresswildcard：表示運(yùn)行OSPF端口所在網(wǎng)絡(luò)網(wǎng)段地址以及相應(yīng)的子網(wǎng)掩碼的反碼。例如/24，網(wǎng)段是：，子網(wǎng)掩碼是：，子網(wǎng)掩碼的反碼是：55。就是按位變反，1變0,0變.0的反碼是：55。那么55表示——55這個(gè)地址范圍，這個(gè)55表示通配符。通配符為0的位，IP地址不能更改，通配符為1的位，IP地址可以變化。255表示8位的變化范圍是：00000000——11111111（0——255），所以55表示——55這個(gè)地址范圍。

Area-id：表示OSPF路由器接口的區(qū)域號。骨干區(qū)域?yàn)?。2024/5/8張世勇QQ：8084579641二、實(shí)驗(yàn)規(guī)劃2024/5/8張世勇QQ：8084579642二、實(shí)驗(yàn)規(guī)劃拓?fù)渚幹罚篠W3：Vlan10——IP：/24Vlan20——IP：/24PC1——IP：/24，網(wǎng)關(guān)為Vlan20的IPR1：E0/1——IP：/24E0/0——IP：/24R2：E0/0——IP：/24E0/1——IP：/8PC2——IP：/8，網(wǎng)關(guān)為R2上的E0/1的IP2024/5/8張世勇QQ：8084579643三、實(shí)驗(yàn)步驟創(chuàng)建連接如下：Switch1F0/2<---->VPCSV0/1Switch1F0/1<---->Router1E0/1Router1E0/0<---->Router2E0/0Router2E0/1<---->VPCSV0/22024/5/8張世勇QQ：8084579644四、結(jié)果總結(jié)

連路有兩條：網(wǎng)段和網(wǎng)段。O表示OSPF路由，有兩條：和網(wǎng)段。在虛擬PC上做最終檢驗(yàn)，PC1和PC2之間是可以ping通的。2024/5/8張世勇QQ：8084579645實(shí)驗(yàn)三、靜態(tài)NAT教學(xué)目標(biāo)：1.理解靜態(tài)NAT概念。2.理解靜態(tài)NAT的工作原理。3.掌握靜態(tài)NAT轉(zhuǎn)換方法。2024/5/8張世勇QQ：8084579647一、實(shí)驗(yàn)概述

靜態(tài)NAT的工作原理很簡單。NAT將網(wǎng)絡(luò)分為內(nèi)部網(wǎng)絡(luò)（inside）和外部網(wǎng)絡(luò)（outside），內(nèi)部網(wǎng)絡(luò)指的是單位內(nèi)部局域網(wǎng)，外部網(wǎng)絡(luò)指的是公共網(wǎng)絡(luò)，一般是指Internet?？梢钥闯?，靜態(tài)NAT實(shí)現(xiàn)的是一對一的轉(zhuǎn)換，將內(nèi)部私有IP固定的轉(zhuǎn)換為外網(wǎng)合法IP，這是不可能節(jié)省IP地址資源的。2024/5/8張世勇QQ：8084579648一、實(shí)驗(yàn)概述配置命令如下：端口模式下：Ipnatinside!將某端口指定為內(nèi)部端口Ipnatoutside！將端口指定為外部端口全局模式下：Ipnatinsidesourcestaticinside_ip

outside_ipInside_ip，指的是內(nèi)部IP地址Outside_ip，指的是翻譯成的外部IP地址2024/5/8張世勇QQ：8084579649二、實(shí)驗(yàn)規(guī)劃2024/5/8張世勇QQ：8084579650二、實(shí)驗(yàn)規(guī)劃拓?fù)渚幹罚篠W1：沒有Vlan，沒有IP地址，不用設(shè)置

PC1——IP：/24，網(wǎng)關(guān)為R1上E0/0的IPPC2——IP：/24，網(wǎng)關(guān)為R1上E0/0的IPPC3——IP：/24，網(wǎng)關(guān)為R1上E0/0的IPPC4——IP：/24，網(wǎng)關(guān)為R1上E0/1的IPR1：E0/1——IP：/24E0/0——IP：/24

外網(wǎng)對應(yīng)IP：——

——2024/5/8張世勇QQ：8084579651二、實(shí)驗(yàn)規(guī)劃

實(shí)驗(yàn)的想法是PC1和PC2分別對應(yīng)有NAT轉(zhuǎn)換的外網(wǎng)IP，PC3沒有，PC4假設(shè)為外網(wǎng)Internet，設(shè)定好路由器端口IP后，因?yàn)槭沁B在一個(gè)路由器上，屬于直連路由，所以全網(wǎng)互通。在R1上設(shè)置靜態(tài)NAT后，外網(wǎng)訪問和可以訪問。但不能訪問內(nèi)網(wǎng)IP，如：等。2024/5/8張世勇QQ：8084579652三、實(shí)驗(yàn)步驟創(chuàng)建連接如下：Router1E0/1<---->VPCSV0/4Router1E0/0<---->Switch1F0/0Switch1F0/1<---->VPCSV0/1Switch1F0/2<---->VPCSV0/2Switch1F0/3<---->VPCSV0/32024/5/8張世勇QQ：8084579653三、實(shí)驗(yàn)步驟1、虛擬電腦IP設(shè)置2024/5/8張世勇QQ：8084579654四、結(jié)果總結(jié)

靜態(tài)NAT是一對一的地址轉(zhuǎn)換，是不能節(jié)省公網(wǎng)IP地址的，不過它可以很好的隔離外網(wǎng)，增強(qiáng)了網(wǎng)絡(luò)安全。2024/5/8張世勇QQ：8084579655實(shí)驗(yàn)四、動態(tài)NAT教學(xué)目標(biāo)：1.理解動態(tài)NAT概念。2.理解動態(tài)NAT的工作原理。3.掌握動態(tài)NAT轉(zhuǎn)換方法。2024/5/8張世勇QQ：8084579657一、實(shí)驗(yàn)概述

動態(tài)NAT的原理是這樣的：

1.首先還是要地址轉(zhuǎn)換，內(nèi)網(wǎng)轉(zhuǎn)換成外網(wǎng)。

2.和靜態(tài)的不同，是動態(tài)的轉(zhuǎn)換。動態(tài)NAT是定義了一個(gè)地址池（pool），其中地址池中的地址是一組連續(xù)的外網(wǎng)IP地址，所有內(nèi)網(wǎng)中允許的IP都可以使用地址池中的任意一個(gè)進(jìn)行轉(zhuǎn)換。根據(jù)訪問控制列表的命令要求，允許的IP一般是某一個(gè)網(wǎng)段，如/24等。2024/5/8張世勇QQ：8084579658一、實(shí)驗(yàn)概述3.動態(tài)NAT的外網(wǎng)轉(zhuǎn)換IP是動態(tài)的，不固定，當(dāng)需要時(shí)從地址池隨機(jī)選擇。用完后（通信結(jié)束）就需要把這個(gè)地址放回地址池，供其他主機(jī)使用。這樣就可以部分緩解外網(wǎng)IP地址壓力。

4.注意，靜態(tài)NAT和動態(tài)NAT可以共存。如果有需要內(nèi)外網(wǎng)都訪問的服務(wù)器，可以采用靜態(tài)NAT，別的可以采用動態(tài)NAT。

5.還有一個(gè)好處，因?yàn)閮?nèi)網(wǎng)主機(jī)訪問出去的IP經(jīng)常隨機(jī)變化，增加了網(wǎng)絡(luò)安全性。2024/5/8張世勇QQ：8084579659一、實(shí)驗(yàn)概述命令格式：端口模式下：Ipnatinside!將某端口指定為內(nèi)部端口Ipnatoutside！將端口指定為外部端口全局模式下：1、Ipnatpool

name

start_ipend_ip

netmask

netmask或：Ipnatpool

name

start_ipend_ip

prefix_length

子網(wǎng)掩碼位數(shù)其中：name指的是地址池的名稱

Start_ipend_ip指的是地址池的開始IP和結(jié)束IP

Netmask指的是地址池的IP地址的子網(wǎng)掩碼

子網(wǎng)掩碼位數(shù)指的是如果不用子網(wǎng)掩碼表示，可以用位數(shù)表示如：24表示。2024/5/8張世勇QQ：8084579660一、實(shí)驗(yàn)概述2、access_listnumber

permit

sourcewildcard其中：number指的是訪問控制列表的號碼，1——99sourcewildcard指的是允許地址轉(zhuǎn)換的地址段和對應(yīng)的通配符，和OSPF路由的那個(gè)意思一樣。2024/5/8張世勇QQ：8084579661一、實(shí)驗(yàn)概述3、ipnatinsidesourcelist

number

pool

name其中：number還是那個(gè)2號命令中的那個(gè)訪問控制列表號

Name還是那個(gè)1號命令中地址池的名字單看命令格式介紹，容易看不懂，結(jié)合下面的實(shí)驗(yàn)，很容易就可以理解了。2024/5/8張世勇QQ：8084579662二、實(shí)驗(yàn)規(guī)劃2024/5/8張世勇QQ：8084579663二、實(shí)驗(yàn)規(guī)劃拓?fù)渚幹罚篠W1：沒有Vlan，沒有IP地址，不用設(shè)置

PC1——IP：/24，網(wǎng)關(guān)為R1上E0/0的IPPC2——IP：/24，網(wǎng)關(guān)為R1上E0/0的IPPC3——IP：/24，網(wǎng)關(guān)為R1上E0/0的IPPC4——IP：/24，網(wǎng)關(guān)為R2上E0/0的IPR1：E0/1——IP：/24E0/0——IP：/24R2：E0/1——IP：/24E0/0——IP：/24

進(jìn)行地址轉(zhuǎn)換時(shí)，/24網(wǎng)段的主機(jī)可以動態(tài)轉(zhuǎn)換成——00之間的IP訪問外網(wǎng)，外網(wǎng)則不能訪問內(nèi)網(wǎng)。用了兩個(gè)路由器，我們在R1上用默認(rèn)路由指向外網(wǎng)。PC4模擬為Internet。2024/5/8張世勇QQ：8084579664三、實(shí)驗(yàn)步驟創(chuàng)建連接如下：Router1E0/0<---->Switch1F0/0Router1E0/1<---->Router2E0/1Switch1F0/1<---->VPCSV0/1Switch1F0/2<---->VPCSV0/2Switch1F0/3<---->VPCSV0/3Router2E0/0<---->VPCSV0/42024/5/8張世勇QQ：8084579665四、結(jié)果總結(jié)用“shoipnattranslations”命令察看NAT表，注意，剛設(shè)定好動態(tài)NAT，但沒有在PC1等電腦上用Ping命令時(shí)，NAT表內(nèi)容為空，因?yàn)檫€沒建立連接，沒有開始動態(tài)NAT。還可以用“shoipnattranslationsver”命令察看NAT條目的詳細(xì)信息。2024/5/8張世勇QQ：8084579666實(shí)驗(yàn)五、PAT教學(xué)目標(biāo)：1.理解PAT概念。2.理解PAT的工作原理。3.掌握PAT和動態(tài)NAT的不同。4.掌握PAT轉(zhuǎn)換方法。2024/5/8張世勇QQ：8084579668一、實(shí)驗(yàn)概述實(shí)際上PAT和動態(tài)NAT幾乎是一樣的，只不過在地址轉(zhuǎn)換的時(shí)候沒有地址池，或說地址池內(nèi)只有一個(gè)地址，所有的私有地址都轉(zhuǎn)換成同一個(gè)公網(wǎng)IP地址，轉(zhuǎn)換時(shí)對網(wǎng)關(guān)路由器的外網(wǎng)接口IP地址進(jìn)行復(fù)用（overload）。復(fù)用技術(shù)是通過利用對話的端口號來實(shí)現(xiàn)的。2024/5/8張世勇QQ：8084579669一、實(shí)驗(yàn)概述配置命令和動態(tài)NAT幾乎一樣：端口模式下：Ipnatinside!將某端口指定為內(nèi)部端口Ipnatoutside！將端口指定為外部端口全局模式下：1、Ipnatpool

name

start_ipend_ip

netmask

netmask或：Ipnatpool

name

start_ipend_ip

prefix_length

子網(wǎng)掩碼位數(shù)其中：name指的是地址池的名稱

Start_ipend_ip指的是地址池的開始IP和結(jié)束IP,在PAT時(shí)，這兩個(gè)IP地址是一樣的，但要寫兩個(gè)，不能省略。如

Netmask指的是地址池的IP地址的子網(wǎng)掩碼

子網(wǎng)掩碼位數(shù)指的是如果不用子網(wǎng)掩碼表示，可以用位數(shù)表示如：24表示。2024/5/8張世勇QQ：8084579670一、實(shí)驗(yàn)概述2、access_listnumber

permit

sourcewildcard其中：number指的是訪問控制列表的號碼，1——99sourcewildcard指的是允許地址轉(zhuǎn)換的地址段和對應(yīng)的通配符，和OSPF路由的那個(gè)意思一樣。2024/5/8張世勇QQ：8084579671一、實(shí)驗(yàn)概述3、ipnatinsidesourcelist

number

pool

nameoverload其中：number還是那個(gè)2號命令中的那個(gè)訪問控制列表號

Name還是那個(gè)1號命令中地址池的名字

Overload是實(shí)現(xiàn)PAT的關(guān)鍵字，不能省略和動態(tài)NAT對照比較可以看出，僅僅在IP地址池的地方換成一個(gè)IP地址和最后增加overload兩處不同。2024/5/8張世勇QQ：8084579672二、實(shí)驗(yàn)規(guī)劃2024/5/8張世勇QQ：8084579673二、實(shí)驗(yàn)規(guī)劃拓?fù)渚幹罚篠W1：沒有Vlan，沒有IP地址，不用設(shè)置

PC1——IP：/24，網(wǎng)關(guān)為R1上E0/0的IPPC2——IP：/24，網(wǎng)關(guān)為R1上E0/0的IPPC3——IP：/24，網(wǎng)關(guān)為R1上E0/0的IPPC4——IP：/24，網(wǎng)關(guān)為R2上E0/0的IPR1：E0/1——IP：/24E0/0——IP：/24R2：E0/1——IP：/24E0/0——IP：/242024/5/8張世勇QQ：8084579674二、實(shí)驗(yàn)規(guī)劃進(jìn)行地址轉(zhuǎn)換時(shí)，/24網(wǎng)段的主機(jī)都轉(zhuǎn)換成來訪問外網(wǎng)，外網(wǎng)則不能訪問內(nèi)網(wǎng)。用了兩個(gè)路由器，我們在R1上用默認(rèn)路由指向外網(wǎng)。PC4模擬為Internet。2024/5/8張世勇QQ：8084579675三、實(shí)驗(yàn)步驟創(chuàng)建連接如下：Router1E0/0<---->Switch1F0/0Router1E0/1<---->Router2E0/1Switch1F0/1<---->VPCSV0/1Switch1F0/2<---->VPCSV0/2Switch1F0/3<---->VPCSV0/3Router2E0/0<---->VPCSV0/42024/5/8張世勇QQ：8084579676三、實(shí)驗(yàn)步驟PAT還有一種不設(shè)置地址池的命令格式：1、不定義地址池，那個(gè)第一條命令就省略了。2、此條命令不變：R1(config)#access-list10permit55！定義訪問控制列表，10為訪問控制列表號，，表示允許的IP地址段，55表示這個(gè)地址段的每一個(gè)IP地址都被允許。3、此條命令發(fā)生改變，因?yàn)闆]有定義地址池，pool關(guān)鍵字省略，改為：R1(config)#ipnatinsidesourcelist10interE0/1overload！實(shí)現(xiàn)內(nèi)部IP地址與外部IP的動態(tài)轉(zhuǎn)換，其中10就是那個(gè)訪問控制列表號，地址池變?yōu)椋篿nterE0/1僅僅在端口號上加以說明,overload為配置參數(shù)，表示使用端口復(fù)用2024/5/8張世勇QQ：8084579677四、結(jié)果總結(jié)用“shoipnattranslations”命令察看NAT表，注意，剛設(shè)定好動態(tài)NAT，但沒有在PC1等電腦上用Ping命令時(shí)，NAT表內(nèi)容為空，因?yàn)檫€沒建立連接，沒有開始動態(tài)NAT。2024/5/8張世勇QQ：8084579678學(xué)習(xí)改變生活2024/5/8張世勇QQ：8084579679交換機(jī)與路由器配置實(shí)驗(yàn)教程第7章安全配置實(shí)驗(yàn)實(shí)驗(yàn)一、交換機(jī)端口安全（略）實(shí)驗(yàn)二、標(biāo)準(zhǔn)IP訪問控制列表教學(xué)目標(biāo)：理解訪問控制列表ACL概念。理解訪問控制列表ACL作用。了解訪問控制列表ACL分類。掌握標(biāo)準(zhǔn)IP訪問控制列表設(shè)置方法。2024/5/8張世勇QQ：8084579683一、實(shí)驗(yàn)概述命令格式，全局配置模式下：1、Access-list

number

{permit|deny}

source-addsource-wildcard其中number就是訪問控制列表的號，其編號取值范圍為1—99或1300—1999Permit就是允許數(shù)據(jù)包通過，Deny就是拒絕通過Source-add就是允許或拒絕的源地址，source-wildcard就是通配符掩碼。2024/5/8張世勇QQ：8084579684一、實(shí)驗(yàn)概述2、定義訪問控制列表作用于接口上的方向接口模式下，某一接口：Ipaccess-groupnumber

in|out！在某一接口上應(yīng)用標(biāo)識為number的訪問控制列表，in|out，表示在入站端口調(diào)用還是在出站端口調(diào)用。2024/5/8張世勇QQ：8084579685二、實(shí)驗(yàn)規(guī)劃2024/5/8張世勇QQ：8084579686二、實(shí)驗(yàn)規(guī)劃拓?fù)渚幹罚簝蓚€(gè)SW：沒有Vlan，沒有IP地址，不用設(shè)置

PC1——IP：/24，網(wǎng)關(guān)為R1上E0/1的IPPC2——IP：/24，網(wǎng)關(guān)為R1上E0/2的IPPC3——IP：/24，網(wǎng)關(guān)為R1上E0/0的IPR1：E0/1——IP：/24E0/2——IP：/24E0/0——IP：/242024/5/8張世勇QQ：8084579687三、實(shí)驗(yàn)步驟創(chuàng)建連接如下：Router1E0/0<---->VPCSV0/3Router1E0/1<---->Switch1F0/1Router1E0/2<---->Switch2F0/1Switch1F0/2<---->VPCSV0/1Switch2F0/2<---->VPCSV0/22024/5/8張世勇QQ：8084579688四、結(jié)果總結(jié)

在設(shè)定好標(biāo)準(zhǔn)訪問控制列表后，在PC1上還可以Ping通PC3，而PC2則不能連通PC3。用“showace-list10”命令查看標(biāo)準(zhǔn)訪問控制列表的配置情況如下：R1#shaccess-list10StandardIPaccesslist1010deny,wildcardbits55(30matches)20permit,wildcardbits55(10matches)

在路由器上運(yùn)行“showrun”，則可以查看到端口情況2024/5/8張世勇QQ：8084579689實(shí)驗(yàn)三、擴(kuò)展IP訪問控制列表教學(xué)目標(biāo)：理解擴(kuò)展訪問控制列表概念。理解擴(kuò)展訪問控制列表功能。掌握擴(kuò)展訪問控制列表設(shè)置方法。2024/5/8張世勇QQ：8084579691一、實(shí)驗(yàn)概述擴(kuò)展IP訪問控制列表的功能比較強(qiáng)大，可以根據(jù)協(xié)議或服務(wù)進(jìn)行配置，如果要想對網(wǎng)絡(luò)訪問實(shí)現(xiàn)精確控制，就必須使用擴(kuò)展訪問控制列表。標(biāo)準(zhǔn)訪問控制列表的編號取值范圍為1—99或1300—1999。擴(kuò)展訪問控制列表的編號取值范圍是100—199或2000—2699。2024/5/8張世勇QQ：8084579692一、實(shí)驗(yàn)概述命令格式如下，全局配置模式下：Access-listnumber

deny|permit

protocol[source-addsource-wildcardoperatorport][des-adddes-wildcardoperatorport]其中：number是訪問控制列表編號，deny表示拒絕，permit表示允許。

Protocol表示協(xié)議，可以是IP、TCP、UDP、IGMP等協(xié)議。

source-addsource-wildcard和des-adddes-wildcard表示源地址和目標(biāo)地址以及它們的通配符掩碼。

Operator表示操作符可以是eq（等于）、neq（不等于）、或range（范圍）

Port表示應(yīng)用層端口號，比如www為80，ftp為20、21，telnet為23另外還可以用主機(jī)的IP地址來進(jìn)行精確控制，其通配符為。

和host意思一樣都是表示IP地址為的主機(jī)，也可以用any表示所有主機(jī)。2024/5/8張世勇QQ：8084579693二、實(shí)驗(yàn)規(guī)劃2024/5/8張世勇QQ：8084579694二、實(shí)驗(yàn)規(guī)劃拓?fù)渚幹罚篠W1：Vlan10IP:/24Vlan20IP:/24Vlan30IP:/24PC1——IP：/24，網(wǎng)關(guān)為Vlan10的IPPC2——IP：/24，網(wǎng)關(guān)為Vlan10的IPPC3——IP：/24，網(wǎng)關(guān)為Vlan20的IPPC4——IP：/24，網(wǎng)關(guān)為Vlan20的IPPC5——IP：/24，網(wǎng)關(guān)為Vlan30的IPPC6——IP：/24，網(wǎng)關(guān)為Vlan30的IP2024/5/8張世勇QQ：8084579695三、實(shí)驗(yàn)步驟創(chuàng)建連接如下：Switch1F0/1<---->VPCSV0/1Switch1F0/2<---->VPCSV0/2Switch1F0/3<---->VPCSV0/3Switch1F0/4<---->VPCSV0/4Switch1F0/5<---->VPCSV0/5Switch1F0/6<---->VPCSV0/62024/5/8張世勇QQ：8084579696三、實(shí)驗(yàn)步驟1、虛擬PC配置如圖。2024/5/8張世勇QQ：8084579697四、結(jié)果總結(jié)刪除擴(kuò)展訪問控制列表命令和刪除標(biāo)準(zhǔn)訪問控制列表一樣也是：noaccess-listnumber，number就是那個(gè)訪問控制列表號。使用“shipaccess-list”命令，可以查看擴(kuò)展訪問控制列表的配置情況。2024/5/8張世勇QQ：8084579698實(shí)驗(yàn)四、配置命名訪問控制列表教學(xué)目標(biāo)：理解命名訪問控制列表概念。理解命名訪問控制列表功能與特點(diǎn)。了解命名訪問控制列表分類。掌握命名訪問控制列表語法格式。掌握命名訪問控制列表設(shè)置方法。2024/5/8張世勇QQ：80845796100一、實(shí)驗(yàn)概述所謂命名訪問控制列表其實(shí)是對訪問控制列表的命名使用。相對于標(biāo)準(zhǔn)ACL或擴(kuò)展ACL都沒有本質(zhì)差別。原本不管是標(biāo)準(zhǔn)訪問控制列表還是擴(kuò)展訪問控制列表都是用編號來加以區(qū)分。編號就是命令格式中的那個(gè)number。標(biāo)準(zhǔn)訪問控制列表的編號取值范圍為1—99或1300—1999。擴(kuò)展訪問控制列表的編號取值范圍是100—199或2000—2699。命名ACL不使用編號而使用字符串來對訪問控制列表進(jìn)行命名，命名后，路由器進(jìn)入“訪問控制列表”模式，在此模式下可以對訪問控制列表進(jìn)行設(shè)置，在網(wǎng)絡(luò)管理過程中可以隨時(shí)根據(jù)網(wǎng)絡(luò)變化修改某一條規(guī)則，調(diào)整用戶訪問權(quán)限。2024/5/8張世勇QQ：80845796101一、實(shí)驗(yàn)概述一、標(biāo)準(zhǔn)命名ACL語法格式如下：1、Ipaccess-liststandard

name

！定義標(biāo)準(zhǔn)命名ACL，standard是標(biāo)準(zhǔn)的意思，name是

ACL的名稱，不用number號碼了2、Deny

source-addsource-wildcard或者

Permit

source-addsource-wildcard

！定義允許或拒絕的源地址和通配符掩碼3、Ipaccess-groupname

in|out

！接口模式下，定義訪問控制列表作用于接口上的方向4、showaccess-list

name

！顯示配置的ACL，不加name表示顯示全部ACL內(nèi)容。2024/5/8張世勇QQ：80845796102一、實(shí)驗(yàn)概述二、擴(kuò)展命名ACL語法格式如下：1、ipaccess-listextended

name

！extended表示擴(kuò)展的2、deny|permitprotocol[source-addsource-wildcardoperatorport][des-adddes-wildcardoperatorport]deny表示拒絕，permit表示允許。

Protocol表示協(xié)議，可以是IP、TCP、UDP、IGMP等協(xié)議。

source-addsource-wildcard和des-adddes-wildcard表示源地址和目標(biāo)地址以及它們的通配符掩碼。

operator表示操作符可以是eq（等于）、neq（不等于）、或range（范圍）

Port表示應(yīng)用層端口號，比如www為80，ftp為20、21，telnet為23參數(shù)和擴(kuò)展IP訪問控制列表的意義相同。3、Ipaccess-groupname

in|out

！接口模式下，定義訪問控制列表作用于接口上的方向4、showaccess-list

name

！顯示配置的ACL，不加name表示顯示全部ACL內(nèi)容。2024/5/8張世勇QQ：80845796103二、實(shí)驗(yàn)規(guī)劃1、標(biāo)準(zhǔn)命名ACLSW1(config)#ipaccess-liststandarddeny-host！deny-host為名字SW1(config-std-nacl)#！表示進(jìn)入標(biāo)準(zhǔn)命名ACL2024/5/8張世勇QQ：80845796104二、實(shí)驗(yàn)規(guī)劃2、擴(kuò)展命名ACLSW2(config)#ipaccess-listextendedpermit-host！permit-host為名字SW2(config-ext-nacl)#！表示進(jìn)入擴(kuò)展命名ACL2024/5/8張世勇QQ：80845796105二、實(shí)驗(yàn)規(guī)劃2024/5/8張世勇QQ：80845796106二、實(shí)驗(yàn)規(guī)劃拓?fù)渚幹罚篠W1：Vlan10IP:/24F0/1——IP：/24PC1——IP：/24，網(wǎng)關(guān)為SW1上F0/1的IPPC2——IP：/24，網(wǎng)關(guān)為Vlan10的IP

在SW1上需要把F0/1升級為三層接口才能配置IP地址。在SW1和SW2上都要創(chuàng)建Vlan，SW1和SW2之間的鏈路應(yīng)為Trunk鏈路。2024/5/8張世勇QQ：80845796107三、實(shí)驗(yàn)步驟創(chuàng)建連接如下：Switch1F0/0<---->Switch2F0/0Switch1F0/1<---->VPCSV0/1Switch2F0/1<---->VPCSV0/2PC上的配置：VPCS1>ip24PC1:gatewayVPCS1>2VPCS2>ip24PC2:gateway2024/5/8張世勇QQ：80845796108四、結(jié)果總結(jié)

在ACL之前，PC2是可以訪問PC1的，經(jīng)過ACL之后就不能訪問了。用“showipaccess-list”命令查看ACL配置情況：SW1#shaccess-listStandardIPaccesslistdeny-host10deny,wildcardbits55(15matches)20permitany2024/5/8張世勇QQ：80845796109實(shí)驗(yàn)五、基于時(shí)間的IP訪問控制列表教學(xué)目標(biāo)：理解基于時(shí)間的IP訪問控制列表概念。理解基于時(shí)間的IP訪問控制列表功能與特點(diǎn)。掌握基于時(shí)間的IP訪問控制列表語法格式。掌握基于時(shí)間的IP訪問控制列表設(shè)置方法。2024/5/8張世勇QQ：80845796111一、實(shí)驗(yàn)概述基于時(shí)間的IP訪問控制列表也是為了實(shí)現(xiàn)對網(wǎng)絡(luò)的訪問控制。其實(shí)基于時(shí)間控制網(wǎng)絡(luò)有很多種方法，可以通過軟件或操作系統(tǒng)來控制。但是在路由器上進(jìn)行應(yīng)該比較方便，而且安全性高?；跁r(shí)間的IP訪問控制列表是在訪問控制中加入時(shí)間范圍來更合理的控制網(wǎng)絡(luò)訪問。通過基于時(shí)間的訪問控制列表，可以根據(jù)一天中的不同時(shí)間，或根據(jù)一個(gè)星期中的不同日期，或兩者的結(jié)合，控制對數(shù)據(jù)包的轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)對網(wǎng)絡(luò)訪問的控制。2024/5/8張世勇QQ：80845796112一、實(shí)驗(yàn)概述1、首先必須校正時(shí)間，先用showclock命令查看當(dāng)前時(shí)鐘，再用clockset2、定義時(shí)間范圍命令格式為：R1(config)#time-range

time-range-name

！進(jìn)入時(shí)間控制模式R1(config-time-range)absolutestart

begin-time

end

end-timeR1(config-time-range)periodic

timeweek其中：time-range-name表示定義時(shí)間范圍的名稱，以便在后面ACL時(shí)調(diào)用absolute可以用來定義時(shí)間范圍，start后面begin-time表示開始時(shí)間，end后面end-time表示結(jié)束時(shí)間periodic后面定義一個(gè)時(shí)間范圍。2024/5/8張世勇QQ：80845796113一、實(shí)驗(yàn)概述3、定義ACLACL的使用方式和前面講的沒有什差別，主要是在命令最后要增加按時(shí)間要求的命令：time-range

time-range-name，就是前面定義過的時(shí)間范圍。4、將訪問控制列表應(yīng)用到端口2024/5/8張世勇QQ：80845796114二、實(shí)驗(yàn)規(guī)劃2024/5/8張世勇QQ：80845796115二、實(shí)驗(yàn)規(guī)劃拓?fù)渚幹罚?/p>

SW1：沒有Vlan，沒有IP地址，不用設(shè)置

PC1——IP：/24，網(wǎng)關(guān)為R1上E0/0的IPPC2——IP：/24，網(wǎng)關(guān)為R1上E0/0的IPPC3——IP：/24，網(wǎng)關(guān)為R1上E0/0的IPPC4——IP：/24，網(wǎng)關(guān)為R1上E0/1的IP

R1：E0/0——IP：/24E0/1——IP：/242024/5/8張世勇QQ：80845796116三、實(shí)驗(yàn)步驟創(chuàng)建連接如下：Router1E0/1<---->VPCSV0/4Router1E0/0<---->Switch1F0/0Switch1F0/1<---->VPCSV0/1Switch1F0/2<---->VPCSV0/2Switch1F0/3<---->VPCSV0/3VPC基本配置：VPCS1>ip24PC1:gatewayVPCS2>ip24PC2:gatewayVPCS3>ip24PC3:gatewayVPCS4>ip24PC4:gateway2024/5/8張世勇QQ：80845796117四、結(jié)果總結(jié)

用“shtime-range”命令查看時(shí)間范圍定義情況。還可以用“showaccess-list”命名來查看訪問控制列表的具體信息。2024/5/8張世勇QQ：80845796118學(xué)習(xí)改變生活2024/5/8張世勇QQ：80845796119交換機(jī)與路由器配置實(shí)驗(yàn)教程第8章路由器交換機(jī)綜合實(shí)驗(yàn)綜合實(shí)驗(yàn)一

當(dāng)你拿到一個(gè)工程，首先是規(guī)劃，而后是在虛擬機(jī)上做實(shí)驗(yàn)，測試拓?fù)湟?guī)劃的可實(shí)施性。具體規(guī)劃步驟一般是：1、連接到設(shè)備，更改設(shè)備名稱。這樣方便與我們規(guī)劃，標(biāo)記。2、劃分VLAN并把端口加入VLAN3、配置端口IP和VLAN的IP4、配置路由：靜態(tài)路由或動態(tài)路由。5、配置生成樹、鏈路聚合、協(xié)議封裝、VRRP、防火墻、端口安全等。6、全面測試。配置思路大致上以從二層到三層，從簡單到復(fù)雜的過渡配置。先從簡單入手，每做一步測試一步避免后期發(fā)現(xiàn)問題不容易排除。

2024/5/8張世勇QQ：80845796121綜合實(shí)驗(yàn)一

一、涉及到的網(wǎng)絡(luò)設(shè)備：1、路由器（Route），路由器基于三層，主要功能是路由尋址，另外還可以隔離廣播域。2、二層交換機(jī)（Switch），二層交換機(jī)基于二層，主要功能是連接局域網(wǎng)，還可以隔離沖突域3、三層交換機(jī)（Switch），三層交換機(jī)基于二層和三層，它是實(shí)現(xiàn)了部分路由器功能的交換機(jī)，相當(dāng)于路由器+二層交換機(jī)。

2024/5/8張世勇QQ：80845796122綜合實(shí)驗(yàn)一二、涉及到的知識點(diǎn)：1、靜態(tài)路由2、動態(tài)路由3、Vlan劃分4、Vlan間路由5、生成樹協(xié)議6、鏈路聚合7、NAT動態(tài)靜態(tài)地址轉(zhuǎn)換8、訪問控制列表2024/5/8張世勇QQ：80845796123教學(xué)目標(biāo)通過綜合實(shí)驗(yàn)增加動手能力了解實(shí)際工作中如何使用各種設(shè)備2024/5/8張世勇QQ：80845796124一、實(shí)驗(yàn)概述某公司采用兩臺三層交換機(jī)和一臺路由器作為核心，使用Vlan劃分公司部門，一臺路由器負(fù)責(zé)PAT。其中PC1和PC3屬于Vlan10，PC2和PC4屬于Vlan20。1、在S3640A和S3640B上創(chuàng)建Vlan，將PC1和PC3加入Vlan10，將PC2和PC4加入Vlan20，并配置兩臺交換機(jī)之間的Trunk鏈路。2、在S3640A和S3640B上為Vlan配置IP地址。3、在交換機(jī)S3640B上實(shí)現(xiàn)Vlan10和Vlan20的通信。4、在S3640B的F0/3上升級三層接口，并配置IP和靜態(tài)路由。在R1700上配置靜態(tài)路由，實(shí)現(xiàn)內(nèi)網(wǎng)互通。5、在S1700上配置PAT，使內(nèi)網(wǎng)能夠訪問Internet。6、在S1700上配置ACL，使Internet不能訪問內(nèi)網(wǎng)，但可以訪問WebServer2024/5/8張世勇QQ：80845796125二、實(shí)驗(yàn)規(guī)劃2024/5/8張世勇QQ：80845796126二、實(shí)驗(yàn)規(guī)劃PC1：/24，網(wǎng)關(guān)是Vlan10的IP地址：00/24PC3：/24，網(wǎng)關(guān)是Vlan10的IP地址：00/24PC2：/24，網(wǎng)關(guān)是Vlan20的IP地址：00/24PC4：/24，網(wǎng)關(guān)是Vlan20的IP地址：00/24VLAN10：00/24VLAN20：00/24WebServer：/24，網(wǎng)關(guān)是S1700上E0/0的IP地址：/24Internet：/24，網(wǎng)關(guān)是S1700上E0/1的IP地址：/24S1700E0/0：/24S1700E0/1：/24，這個(gè)IP地址就是PAT時(shí)申請到的公網(wǎng)IPS3640BF0/3：/24S1700E0/3：/24

2024/5/8張世勇QQ：80845796127二、實(shí)驗(yàn)規(guī)劃Router1E0/0<---->VPCSV0/6Router1E0/1<---->VPCSV0/7Router1E0/3<---->Switch2F0/3Switch1F0/0<---->Switch2F0/0Switch1F0/1<---->VPCSV0/1Switch1F0/2<---->VPCSV0/2Switch2F0/1<---->VPCSV0/3Switch2F0/2<---->VPCSV0/4

2024/5/8張世勇QQ：80845796128綜合實(shí)驗(yàn)二2024/5/8張世勇QQ：80845796129教學(xué)目標(biāo)通過綜合實(shí)驗(yàn)增加動手能力了解實(shí)際工作中如何使用各種設(shè)備2024/5/8張世勇QQ：80845796130一、實(shí)驗(yàn)概述1、在S2100A與S2100B上劃分VLAN，并把PC加入到相應(yīng)的VLAN中。2、在S3640A與S3640B上劃分VLAN，并設(shè)置Vlan的IP，實(shí)現(xiàn)Vlan間路由。3、在S3640A與S3640B上使用鏈路聚合以提高網(wǎng)絡(luò)傳輸效率和冗余性。4、使用RIP動態(tài)路由使得全網(wǎng)互通。5、在S1700上使用PAT技術(shù)，使Administrator可以訪問Internet而WorkGroup不能。2024/5/8張世勇QQ：80845796131二、實(shí)驗(yàn)規(guī)劃2024/5/8張世勇QQ：80845796132二、實(shí)驗(yàn)規(guī)劃Internet：/24，網(wǎng)關(guān)是S1700的E0/1：/24WorkGroupPC1：/24，網(wǎng)關(guān)是Vlan10的IP：00/24WorkGroupPC2：/24，網(wǎng)關(guān)是Vlan10的IP：00/24AdministratorPC：/24，網(wǎng)關(guān)是Vlan20的IP：00/24S1700E0/1：/24S1700E0/3：/24S3640AF0/3：/24Vlan10（WorkGroup）：00/24Vlan20（Administrator）：00/24

2024/5/8張世勇QQ：80845796133二、實(shí)驗(yàn)規(guī)劃Router1E0/1<---->VPCSV0/1Router1E0/3<---->Switch1F0/3Switch1F0/1<---->Switch2F0/1Switch1F0/2<---->Switch2F0/2Switch1F0/0<---->Switch3F0/0Switch2F0/0<---->Switch4F0/0Switch3F0/1<---->VPCSV0/3Switch3F0/2<---->VPCSV0/4Switch4F0/1<---->VPCSV0/5

2024/5/8張世勇QQ：80845796134綜合實(shí)驗(yàn)三2024/5/8張世勇QQ：80845796135教學(xué)目標(biāo)通過綜合實(shí)驗(yàn)增加動手能力了解實(shí)際工作中如何使用各種設(shè)備2024/5/8張世勇QQ：80845796136一、實(shí)驗(yàn)概述下圖是模擬某學(xué)校網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在該學(xué)校網(wǎng)絡(luò)接入層采用二層交換機(jī)SW2，接入層交換機(jī)劃分了辦公網(wǎng)Vlan20和學(xué)生網(wǎng)Vlan30，Vlan20和Vlan30通過匯聚層交換機(jī)（三層交換機(jī)）SW1與路由器R1相連，另SW1上有一個(gè)Vlan40，存放一臺網(wǎng)管機(jī)PC2。路