《路由與交換技術》課件-第九章：實訓項目

路由與交換技術—網(wǎng)絡互連技術應用目

錄OSI模型與以太網(wǎng)1思科路由器操作與配置3TCP/IP簡介2實訓項目9IP路由4交換技術6廣域網(wǎng)8訪問控制列表7OSPF協(xié)議5項目1通過終端遠程登錄到路由器和交換機項目2ping和tracert測試項目3配置IP路由項目4VLAN與VLAN間路由項目5PPP鏈路和認證第九章：實訓項目

項目一：通過終端遠程登錄（telnet）到路由器和交換機Telnet協(xié)議是TCP/IP協(xié)議族中的一員，是Internet遠程登陸服務的標準協(xié)議和主要方式。它為用戶提供了在本地計算機上完成遠程主機（可以是路由器、交換機、服務器等）工作的能力。在終端使用者的電腦上使用telnet程序，用它連接到路由器（交換機/服務器）。終端使用者可以在telnet程序中輸入命令，這些命令會在路由器上運行，就像直接在路由器的控制臺上輸入一樣。可以在本地就能控制路由器。要開始一個telnet會話，必須輸入用戶名和密碼來登錄路由器。Telnet是常用的遠程控制路由器的方法。要telnet到某一臺路由器，那么需要知道此設備的ID，所謂ID就是在網(wǎng)絡上能唯一標識此設備的編號。那么，在互聯(lián)網(wǎng)上如何標識一臺設備的呢？IP地址。任務1：telnet到路由器

步驟1：使用交叉線將PC0的網(wǎng)口和路由器的fa0/0相連，使用控制線（console）把PC0的RS232口與路由器的console口相連。步驟2：在PC機上打開超級終端。如果使用ciscopackettracer軟件則單擊PC0圖標，在彈出的窗口上選擇Desktop標簽，選擇terminal的選項。步驟3：打開路由器開關，等待其正常啟動。步驟4：為路由器fa0/0接口配置IP地址。步驟5：設置進入特權(quán)模式的密碼。步驟6：設置telnet密碼步驟7：保存設置步驟8：為PC配置IP地址/24。步驟9：測試路由器和PC的連通性。步驟10：在PC上打開命令行窗口，telnet到路由器。任務2：登陸到交換機

使用線纜路由器交換機PC路由器交叉線直通線交叉線交換機直通線交叉線直通線PC交叉線直通線交叉線路由器/交換機/PC直接相連的線纜選擇交換機的接口和路由器的接口不一樣，不能為它的每個接口設置IP地址，而為了便于管理，通信設備廠商往往允許我們?yōu)榻粨Q機設置一個邏輯地址，來代表某一臺交換機，這樣可以通過telnet對交換機進行操作。下面是對交換機IP的設置。Switch#confteEnterconfigurationcommands,oneperline.EndwithCNTL/Z.//進入虛擬接口，vlan1是管理vlanSwitch(config)#interfacevlan1//在虛擬接口下設置IP地址Switch(config-if)#ipaddress//開啟此虛擬接口Switch(config-if)#noshutdown思考配置交換機switch1、switch2以及路由器router1，讓PC1能telnet到switch1、switch2和router1。項目二ping和tracert測試

完成該項目后，你將能夠（1）使用ping命令驗證簡單TCP/IP網(wǎng)絡的連通性；（2）使用tracert/traceroute命令驗證TCP/IP連通性。ping和tracert是測試TCP/IP網(wǎng)絡連通性時不可或缺的兩個工具。在Windows、Linux和CiscoIOS上都可以使用ping程序測試網(wǎng)絡連通性。Windows系統(tǒng)上可以使用tracert實用程序，而Linux和CiscoIOS系統(tǒng)上則可使用類似的實用程序traceroute。除了測試連通性外，tracert還可用于檢查網(wǎng)絡反應時間。任務2.1：使用ping命令驗證簡單TCP/IP網(wǎng)絡的連通性

ping命令用于驗證本地主機計算機或其它網(wǎng)絡設備上的TCP/IP網(wǎng)絡層連通性。使用該命令時，可以用目的IP地址或限定域名（例）來測試域名服務(DNS)功能。本項目只使用IP地址。ping操作設簡單。源計算機向目的設備發(fā)送ICMP回應請求。目的設備用應答消息做出相應。如果源設備和目的設備之間連接斷開，路由器可能會用ICMP消息做出響應，表示主機未知或目的網(wǎng)絡未知。步驟1：驗證本地主機計算機上的TCP/IP網(wǎng)絡層連通性。步驟2：驗證LAN的TCP/IP網(wǎng)絡層連通性。步驟3：驗證與遠程網(wǎng)絡的TCP/IP網(wǎng)絡層連通性。任務2.1：使用ping命令驗證簡單TCP/IP網(wǎng)絡的連通性

tracert命令適用于了解網(wǎng)絡反應時間和路徑信息。我們可以不使用ping命令逐一測試與目的設備之間每臺設備的連通性，而使用tracert命令。Linux和CiscoIOS設備上的等效命令是traceroute。步驟1：使用tracert命令驗證TCP/IP網(wǎng)絡層連通性。步驟2：觀察向網(wǎng)絡連接丟失的主機發(fā)問tracert命令時的輸出。任務2.2：使用tracert命令驗證TCP/IP連通性

路由器可以從相鄰的路由器或從管理員那里認識遠程網(wǎng)絡。之后，路由器需要建立一個描述如何尋找遠程網(wǎng)絡的路由表(一張網(wǎng)絡地圖)。在動態(tài)路由中，在一臺路由器上運行的協(xié)議將與相鄰路由器上運行的相同協(xié)議之間進行通信。然后，這些路由器會更新各自對整個網(wǎng)絡的認識并將這些信息加入到路由表中去。如果在網(wǎng)絡中有一個改變出現(xiàn)，動態(tài)路由協(xié)議將自動將這個改變通知給所有的路由器。如果使用的是靜態(tài)路由，則管理員將負責通過手工方式在所有的路由器上更新所有的改變。在一個大型網(wǎng)絡中，同時使用動態(tài)和靜態(tài)路由是很典型的方式。項目三配置IP路由

路由信息協(xié)議（RIP）發(fā)布了兩個版本，RIPv1和RIPv2。RIP協(xié)議的特征有：路由表的更新周期為30s；僅使用跳數(shù)（hops）作為度量值；最大跳數(shù)限制為15，跳數(shù)為16的路由被認為是不可達的，不再使用。RIPv1屬于有類路由協(xié)議，此種協(xié)議路由更新時只發(fā)送路由條目而不攜帶條目的子網(wǎng)掩碼，使用廣播地址55通告路由信息。RIPv2是無類路由協(xié)議，允許同一主網(wǎng)內(nèi)的子網(wǎng)有不同的掩碼，通告路由信息時攜帶掩碼，支持兩種認證方式的路由更新（明文驗證和密文驗證），使用組播地址通告路由信息。項目三配置IP路由

-動態(tài)路由協(xié)議簡介

開放最短路徑優(yōu)先(OSPF)是一個開放標準的路由選擇協(xié)議，它被各種網(wǎng)絡開發(fā)商所廣泛使用,如果你的網(wǎng)絡擁有多種路由器，而并不全都是Cisco的，你可以使用OSPF。OSPF是通過使用Dijkstra算法來工作的。首先，構(gòu)建一個最短路徑樹，然后使用最佳路徑的計算結(jié)果來組建路由表。OSPF是第一個被介紹給大多數(shù)人的鏈路狀態(tài)路由選擇協(xié)議，因此，了解一下它與更為傳統(tǒng)的距離矢量協(xié)議(如RIPv2和RIPv1)之間的差異是很有意義的。表9-4給出了這三種協(xié)議之間的比較。項目三配置IP路由

-動態(tài)路由協(xié)議簡介

任務3.1：配置靜態(tài)路由

路由器之間通過快速以太網(wǎng)口相連，PC0和PC1在不同的網(wǎng)絡，請配置靜態(tài)路由要求PC0和PC1能相互通信。每個設備的IP地址設置見表，并填空。設備接口ip地址子網(wǎng)掩碼默認網(wǎng)關R0fa0/0不適用fa0/1不適用R1fa0/0不適用fa0/1不適用PC0不適用

PC1不適用

任務3.2：配置RIPv1RIPv1是有類路由，此路由協(xié)議只發(fā)送路由條目，不攜帶掩碼，所以運行有類路由協(xié)議的路由器在接收到路由條目后，進行如下的判斷：如果路由更新信息中的路由條目與自己的接收接口地址屬于同一個主類網(wǎng)絡（即ABC類網(wǎng)絡的主網(wǎng)號），路由器則使用自己接口上的子網(wǎng)掩碼作為接收到的路由條目的網(wǎng)絡掩碼。如果路由更新信息中的路由條目與自己的接收接口地址不屬于同一主類網(wǎng)絡，路由器則根據(jù)接收到的路由條目所屬的地址類別默認的主類網(wǎng)絡掩碼（把子網(wǎng)歸納到主網(wǎng)）。任務3.2：配置RIPv1使用RIPv1協(xié)議配置Left、Middle、Right三個路由器，使PC0與PC1能相互通信。在路由器上啟動RIPv2的命令和啟動RIPv1的命令基本相同，只不過需要聲明版本號，命令如下：Router(config)#routerripRouter(config-router)#version2Router(config-router)#network網(wǎng)絡地址任務3.3：配置RIPv2協(xié)議任務3.3：配置RIPv2協(xié)議使用RIPv2配置左圖，使計算機之間能通信。任務3.4：配置OSPFRouter0和Router1通過串口相連，它們的封裝形式都是HDLC，思科默認開啟HDLC封裝。下面的兩個要素是OSPF配置中的基本元素：啟用OSPF配置OSPF區(qū)域配置路由器Router0、Router1和Router2，讓它們都啟用OSPF協(xié)議VLAN是兩個部分的邏輯組合：一是網(wǎng)絡用戶；二是在管理上連接到交換機所定義端口的資源。在創(chuàng)建虛擬局域網(wǎng)時，可以將交換機上的不同端口分派到不同的子網(wǎng)中，這樣就可以在第2層交換式互聯(lián)網(wǎng)絡中創(chuàng)建小一些的廣播域。通過將某個端口配置到合適的VLAN中，就可以實現(xiàn)網(wǎng)絡的添加、移動和改變。將對安全性要求高的一組用戶放入VLAN中，這樣，VLAN外部的用戶就無法與它們通信。作為功能上的邏輯用戶組，可以認為VLAN獨立于它們的物理位置或地理位置。VLAN可以增強網(wǎng)絡安全性。VLAN增加了廣播域的數(shù)量，同時減小了廣播域的范圍。項目四VLAN與VLAN間路由任務4.1：交換機中mac表是如何生成的

在PC0中，輸入ping產(chǎn)生ICMP包和ARP包任務4.1：交換機中mac表是如何生成的

PC0發(fā)送ARP數(shù)據(jù)包給交換機交換機廣播ARP數(shù)據(jù)包任務4.1：交換機中mac表是如何生成的

只有PC1回復信息給交換機交換機回復信息給PC0任務4.2：如何為交換機創(chuàng)建vlan將交換機SW0的fa0/1端口和SW1的fa0/1端口指派到vlan10中，將SW0的fa0/2和SW1的fa0/2端口指派到vlan20中。SW0#SW0#vlandatabase//創(chuàng)建vlan10名稱為dianxinSW0(vlan)#vlan10namedianxinVLAN10added:Name:dianxinSW0(vlan)#vlan20nametongxin任務4.2：如何為交換機創(chuàng)建vlan

-配置命令//創(chuàng)建vlan20名稱為tongxinVLAN20added:Name:tongxinSW0(vlan)#exitSW0(config)#interfacefa0/1//將interfacefa0/1端口指派到vlan10SW0(config-if)#switchportaccessvlan10任務4.3：跨交換機的vlan內(nèi)通信PC0和PC2都屬于vlan10，但PC0連接到交換機SW0上，PC2連接到交換機SW1上，想讓PC0和PC2通信，需要通過交換機與交換機的鏈路，那如何設置這條鏈路呢？****sw0的設置****SW0(config)#interfacefa0/3//將SW0的interfacefa0/3端口設置成trunk類型SW0(config-if)#switchportmodetrunk//此trunk端口允許vlan10和vlan20通過SW0(config-if)#switchporttrunkallowedvlan10,20任務4.3：跨交換機的vlan內(nèi)通信

-配置命令****sw1的設置****SW1(config)#interfacefa0/3//將SW1的interfacefa0/3端口設置成trunk類型SW1(config-if)#switchportmodetrunk//此trunk端口允許vlan10和vlan20通過SW1(config-if)#switchporttrunkallowedvlan10,20任務4.4：vlan間的通信設備或接口接口ip地址及掩碼端口類型默認網(wǎng)關R1的fa0/0fa0/0.154/24trunk不適用fa0/0.254/24不適用SW0fa0/1不適用accessvlan10不適用fa0/2不適用accessvlan20不適用fa0/5不適用trunk不適用SW1fa0/1不適用accessvlan10不適用fa0/2不適用accessvlan20不適用fa0/5不適用trunk不適用SW2fa0/1不適用trunk不適用fa0/2不適用trunk不適用fa0/4不適用trunk不適用PC0不適用/24不適用54PC1不適用/24不適用54PC2不適用/24不適用54PC3不適用/24不適用54任務4.4：vlan間的通信

-設備配置信息表

SW2(config)#interfacefa0/1SW2(config-if)#switchportmodetrunkSW2(config-if)#switchporttrunkallowedvlanallSW2(config)#interfacefa0/2SW2(config-if)#switchportmodetrunkSW2(config-if)#switchporttrunkallowedvlanallSW2(config)#interfacefa0/4SW2(config-if)#switchportmodetrunkSW2(config-if)#switchporttrunkallowedvlanall任務4.4：vlan間的通信

-設置trunk口R1(config)#interffa0/0R1(config-if)#noipaddressR1(config-if)#noshutdownR1(config-if)#interffa0/0.1R1(config-subif)#ipaddr54//使用802.1Q封裝vlan10的幀，即此接口允許vlan10的幀通過，幀的格式是802.1Q格式R1(config-subif)#encapsulationdot1Q10R1(config-subif)#interfa0/0.2R1(config-subif)#ipaddr54R1(config-subif)#encapsulationdot1Q20任務4.4：vlan間的通信

-設置子接口

通過此項目的練習，你將了解PPP原理，掌握PPP的兩種認證方式：PAP和CHAP;掌握PPP封裝在串口上的配置，PAP和CHAP認證的配置。項目五：PPP鏈路和認證PPP即點對點協(xié)議，它是一種層次化的協(xié)議，包括鏈路控制協(xié)議(LCP)和網(wǎng)絡控制協(xié)議(NCP)。LCP負責建立、配置和測試數(shù)據(jù)鏈路連接，包括協(xié)商數(shù)據(jù)鏈路層物理參數(shù)，進行認證、壓縮及反向回撥等功能；NCP負責建立和配置不同的網(wǎng)絡協(xié)議，它可以建立和中斷一個數(shù)據(jù)鏈路的多個三層會話。PPP的LCP層支持PAP和CHAP認證協(xié)議。PPP(Point-to-point)原理（1）PAP(PasswordAuthenticationProtocol)為密碼認證協(xié)議，是一個較為簡單的認證協(xié)議。在認證過程中，它把認證信息直接以明文方式傳輸?shù)椒掌鞫?，因此密碼容易被竊取從而遭受攻擊。另外，認證階段對非法用戶的重復攻擊沒有采取保護措施，且認證成功一次后的通信過程中又不要求復查，因此其安全性能比較差。（2）CHAP(ChallengeHandshakeAuthenticationProtocol)為“挑戰(zhàn)握手認證協(xié)議”，它與PAP相比起來則穩(wěn)健得多。首先，在認證過程中，密碼不以明文方式發(fā)送，其認證所需的重要數(shù)據(jù)在傳輸之前就經(jīng)過不可逆加密，有效地防止了密碼被竊取和逆向解密；其次，整個過程中服務器始終處于主動地位，它可以隨時要求遠程主機提供身份復查，并且每次認證的challenge參數(shù)都是不可預測的，因此企圖以上次認證所使用的信息來欺騙服務器是不可能的；還有其他安全措施，如可設置最大允許錯誤次數(shù)，不允許反復試驗等。PAP和CHAP認證協(xié)議RT1和RT2之間以串行線連接，在該鏈路上采用PPP協(xié)議進行封裝，并采用PAP認證機制。認證時，路由器將username/password發(fā)送出去，對端路由器將接收到username/password后跟配置在本地的username/password進行比較，如果相同則通過。任務5.1：PAP認證配置RT1:Router(config)#hostnameRT1RT1(config)#usernameRT2passwordcisco2//建立本地數(shù)據(jù)庫以驗證對端路由器RT1(config)#ints0RT1(config-if)#ipaddressRT1(config-if)#clockrate56000RT1(config-if)#encapsulationppp//啟動PPP封裝RT1(config-if)#pppauthenticationpap//啟動pap認證協(xié)議RT1(config-if)#ppppapsent-usernameRT1passwordcisco1配置PAP的命令//發(fā)送username和passwordRT1(config-if)#noshutRouter(config)#hostnameRT2RT2(config)#usernameRT1passwordcisco1//建立本地數(shù)據(jù)庫以驗證對端路由器RT2(config)#ints0RT2(config)#ipaddressRT2(config-if)#clockrate56000RT2(config-if)#encapsulationppp//啟動PPP封裝RT2(config-if)#pppauthenticationpap//啟動pap認證協(xié)議RT2(config-if)#ppppapsent-usernameRT2passwordcisco2RT2(config)#noshut配置PAP的命令去掉PAP認證RT1(config)#ints0RT1(config-if)#encapsulationpppRT1(config-if)#nopppauthenticationpap//關閉pap認證任務5.2：CHAP認證配置配置CHAP認證RT1：Router(config)#hostnameRT1RT1(config)#usernameRT2passwordciscoRT1(config)#ints0RT1(config-if)#ipaddressRT1(config-if)#clockrate56000RT1(config-if)#encapsulationppp//啟動PPP封裝RT1(config-if)#pppauthenticationchap//啟動chap認證協(xié)議RT1(config-if)#noshutRT2:任務5.2：CHAP認證配置續(xù)：Router(config)#hostnameRT2RT2(config)#enablepasswordciscoRT2(config)#usernameRT1passwordciscoRT2(config)#ints0RT2(config)#ipaddressRT2(config-if)#clockrate56000RT2(config-if)#encapsulationpppRT2(config-if)#pppauthenticationchapRT2(config)#noshut任務5.2：CHAP認證配置此項目是vlan、ACL、路由、NAT的綜合題目，需要大家對前面所講述的知識點有很好的理解并能應用。問題：一臺思科三層交換機劃分3個vlanvlan2：ip54網(wǎng)段vlan3:ip54vlan4ip54各vlan之間能互相通迅；現(xiàn)在增加1臺cisco路由想實現(xiàn)共享上網(wǎng)，cisco路由器配置NAT，如何使用靜態(tài)路由協(xié)議，實現(xiàn)各vlan上公網(wǎng)。項目六：綜合實訓項目六：綜合實訓PC0、PC1處在VLAN2中，PC2、PC3處在VLAN3中，Server0處在VLAN4中?，F(xiàn)在要使我們內(nèi)網(wǎng)能夠正常訪問我們的Server0服務器，然后同時還要能夠訪問我們的ISP外網(wǎng)的WWW服務器。Switch#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#vlan2創(chuàng)建VLAN2Switch(config-vlan)#exiSwitch(config)#vlan3創(chuàng)建VLAN3Switch(config-vlan)#exiSwitch(config)#vlan4創(chuàng)建VLAN4Switch(config-vlan)#exitSwitch(config)#intfa0/1將我們的fa0/1添加到VLAN2中Switch(config-if)#swmoacSwitch(config-if)#swacvlan2Switch(config-if)#exit步驟1，配置三層交換機Switch(config)#intfa0/2將我們的FA0/2添加到VLAN3中Switch(config-if)#swmoacSwitch(config-if)#swacvlan3Switch(config-if)#exitSwitch(config)#intfa0/3將我們的FA0/3添加到VLAN4中Switch(config-if)#swmoacSwitch(config-if)#swacvlan4Switch(config-if)#exitSwitch(config)#intvlan2給我們的VLAN2添加一個IP地址，用于不同網(wǎng)段之間互相訪問步驟1，配置三層交換機Switch(config-if)#ipaddSwitch(config-if)#exitSwitch(config)#intvlan3給我們的VLAN3添加一個IP地址Switch(config-if)#ipaddSwitch(config-if)#exitSwitch(config)#intvlan4給我們的VLAN4添加一個IP地址Switch(config-if)#ipaddSwitch(config-if)#noshutSwitch(config-if)#exit步驟1，配置三層交換機以下幾行是用不同的VLAN內(nèi)的主機自動分配IP地址。Switch(config)#ipdhcppoolVLAN2Switch(dhcp-config)#networkSwitch(dhcp-config)#default-routerSwitch(dhcp-config)#exitSwitch(config)#ipdhcppoolVLAN3Switch(dhcp-config)#networkSwitch(dhcp-config)#default-routerSwitch(dhcp-config)#exitSwitch(config)#步驟1，配置三層交換機步驟2，觀察PC0，PC1，PC2，PC3有無分配到IP地址

-PC2/PC3不列出步驟3，手工輸入服務器IP地址步驟4，測試內(nèi)網(wǎng)Switch(config)#intfa0/24Switch(config-if)#noswitchport關閉二層端口，這樣就可以配置IP地址了Switch(config-if)#ipadd它現(xiàn)在是一個三層端口，它可以配置IP地址Switch(config-if)#noshutSwitch(config-if)#exitSwitch(config)#iprouting開啟路由功能，如果不開啟路由功能就不能使用路由協(xié)議Switch(config)#routerrip這里運行一個rip協(xié)議驟5，添加路由器的處理Switch(config-router)#ver2Switch(config-router)#noauSwitch(config-router)#netSwitch(config-router)#netSwitch(config-router)#netSwitch(config-router)#netSwitch(config-router)#exitSwitch(config)#步驟5，添加路由器的處理Router(config)#