《計算機網(wǎng)絡(luò)實驗教程-基于Packet Tracer》- 課件 第4章 網(wǎng)絡(luò)層

第四章

網(wǎng)絡(luò)層實驗1：路由器IP地址配置及直連網(wǎng)絡(luò)實驗?zāi)康?1（1）理解IP地址。02（2）掌握路由器端口IP地址的配置方法。03（3）理解路由器的直連網(wǎng)絡(luò)?；A(chǔ)知識IP地址是網(wǎng)絡(luò)層中使用的地址，不管網(wǎng)絡(luò)層下面是什么網(wǎng)絡(luò)，或是什么類型的接口，在網(wǎng)絡(luò)層看來，它只是一個可以用IP地址代表的接口地址而已。網(wǎng)絡(luò)層依靠IP地址和路由協(xié)議將數(shù)據(jù)報送到目的IP主機。既然是一個地址，那么一個IP地址就只能代表一個接口，否則會造成地址的二義性；接口則不同，一個接口可以配多個IP地址，這并不會造成地址的二義性。路由器是互聯(lián)網(wǎng)的核心設(shè)備，它在IP網(wǎng)絡(luò)間轉(zhuǎn)發(fā)數(shù)據(jù)報，這使得路由器的每個接口都連接一個或多個網(wǎng)絡(luò)，而兩個接口卻不可以代表一個網(wǎng)絡(luò)。路由器的一個配置了IP地址的接口所在的網(wǎng)絡(luò)就是路由器的直連網(wǎng)絡(luò)。對于直連網(wǎng)絡(luò)，路由器并不需要額外對其配置路由，當其接口被激活后，路由器會自動將直連網(wǎng)絡(luò)加入到路由表中。命令格式含義ipaddressIP地址子網(wǎng)掩碼在接口模式下給當前接口配置IP地址，例如：ipaddressshowiproute在特權(quán)模式下查看路由器的路由表doshowiproute在非特權(quán)模式下查看路由器的路由表noshutdown在接口模式下激活當前接口表4-1常用配置命令實驗流程實驗流程圖實驗步驟（1）布置拓撲，路由器連接了兩個網(wǎng)絡(luò)，通過g0/0端口連接網(wǎng)絡(luò)/24，通過g0/1端口連接網(wǎng)絡(luò)/24，這兩個網(wǎng)絡(luò)都屬于路由器的直連網(wǎng)絡(luò)。實驗步驟（2）配置路由器的IP地址。（3）查看路由表。（4）激活端口。（5）查看路由表，觀察路由表的變化，注意C打頭的路由條目為直連路由。Router(config-if)#doshowiproute//查看路由表/24isvariablysubnetted,2subnets,2masksC/24isdirectlyconnected,GigabitEthernet0/0//直連路由實驗步驟L54/32isdirectlyconnected,GigabitEthernet0/0//路由器的IP/24isvariablysubnetted,2subnets,2masksC/24isdirectlyconnected,GigabitEthernet0/1L54/32isdirectlyconnected,GigabitEthernet0/1（6）查看端口信息。實驗步驟（7）驗證連通性。從主機端使用ping命令來測試網(wǎng)絡(luò)的連通性。另外，若把g0/1端口配置IP地址為/24，則會彈出出錯提示框，該IP和g0/0端口有重疊。也就是說，不同路由器端口所連接的不能是同一個網(wǎng)絡(luò)。實驗二ARP協(xié)議分析實驗?zāi)康模?）理解ARP協(xié)議的作用。（2）理解ARP協(xié)議的工作方式?；A(chǔ)知識ARP協(xié)議用來解決局域網(wǎng)內(nèi)一個廣播域中的IP地址和MAC地址的映射問題。其中，ARP請求是廣播分組，該廣播域內(nèi)的主機都可以收到，ARP響應(yīng)是單播分組，由響應(yīng)主機直接發(fā)給請求主機，為了提高效率，避免ARP請求占用過多的網(wǎng)絡(luò)資源，主機或路由器都設(shè)置有ARP高速緩存，用來將請求得到的映射保存起來，以備下次需要時直接使用。該緩存設(shè)有時間限制，防止因地址改變導(dǎo)致不能及時更新，造成發(fā)送失敗的情況?；A(chǔ)知識如果源主機本身發(fā)送的就是廣播分組，或雙方使用的是點對點的鏈路，就無須發(fā)起ARP請求了。實驗流程實驗流程圖實驗步驟（1）布置拓撲，路由器連接了兩個網(wǎng)絡(luò)，通過g0/0端口連接網(wǎng)絡(luò)/24，通過g0/1端口連接網(wǎng)絡(luò)/24，這兩個網(wǎng)絡(luò)都屬于路由器的直連網(wǎng)絡(luò)。切換到模擬模式下，只選中ARP協(xié)議。（2）由PC0pingPC3，觀察ARP分組的走向及結(jié)構(gòu)，如圖4-8所示。由于目的地址和源IP地址不在同一網(wǎng)絡(luò)中，所以，PC0首先應(yīng)將IP分組發(fā)送給自己的網(wǎng)關(guān)，即路由器。這樣，PC0須通過ARP請求分組得到網(wǎng)關(guān)的MAC地址，用于發(fā)往網(wǎng)關(guān)的鏈路層封裝。當PC0得到網(wǎng)關(guān)的MAC地址后，會將其添加到自己的ARP高速緩存中，在生存期內(nèi)再次訪問網(wǎng)關(guān)時，就不需要發(fā)出對網(wǎng)關(guān)的ARP請求了。實驗步驟拓撲圖實驗步驟此處PC0生成ARP請求分組，該分組將通過交換機被廣播到PC1和Router。PC1會將其丟棄，只有Router會收下該請求分組，并做出響應(yīng)實驗步驟路由器收下請求分組，將PC0的IP地址和MAC地址記入ARP高速緩存，并生成ARP的響應(yīng)分組，將其以單播的形式發(fā)送給PC0Router會收下該請求分組，并做出響應(yīng)以單播的形式發(fā)送給PC0實驗步驟PC0收到該響應(yīng)分組后，就得到了網(wǎng)關(guān)（54）的MAC地址。接著主機封裝網(wǎng)關(guān)的MAC地址，并將分組發(fā)送給網(wǎng)關(guān)，即路由器的g0/0端口。而路由器會查詢路由表，分組將從g0/1端口被轉(zhuǎn)發(fā)出去，這樣，在g0/1端口處封裝MAC幀時，就需要目的IP地址的MAC地址。由于是第一次，其緩存中并沒有保存該IP對應(yīng)的MAC地址，所以，需要發(fā)出ARP請求分組來獲得需要的MAC地址，如圖4-11和圖4-12所示。觀察該請求分組的廣播域。實驗步驟分組將從g0/1端口被轉(zhuǎn)發(fā)出去發(fā)到目的地址實驗步驟路由器的PC3處封裝的ARP分組1實驗步驟路由器的PC3處封裝的ARP分組2實驗3：靜態(tài)路由與默認路由配置實驗?zāi)康模?）理解靜態(tài)路由的含義。01（3）理解默認路由的含義。03（2）掌握路由器靜態(tài)路由的配置方法。02（4）掌握默認路由的配置方法。04基礎(chǔ)知識靜態(tài)路由是指路由信息由管理員手工配置，而不是路由器通過路由算法和其他路由器學(xué)習(xí)得到。所以，靜態(tài)路由主要適合網(wǎng)絡(luò)規(guī)模不大、拓撲結(jié)構(gòu)相對固定的網(wǎng)絡(luò)使用，當網(wǎng)絡(luò)環(huán)境比較復(fù)雜時，由于其拓撲或鏈路狀態(tài)相對容易變化，就需要管理員再手工改變路由，這對管理員來說是一個煩瑣的工作，且網(wǎng)絡(luò)容易受人的影響，對管理員不論技術(shù)上還是紀律上都有更高的要求。默認路由也是一種靜態(tài)路由，它位于路由表的最后，當數(shù)據(jù)報與路由表中前面的表項都不匹配時，數(shù)據(jù)報將根據(jù)默認路由轉(zhuǎn)發(fā)。這使得其在某些時候是非常有效的，例如在末梢網(wǎng)絡(luò)中，默認路由可以大大簡化路由器的項目數(shù)量及配置，減輕路由器和網(wǎng)絡(luò)管理員的工作負擔?？梢?，靜態(tài)路由優(yōu)先級高于默認路由?；A(chǔ)知識配置靜態(tài)路由格式：R0(config)#iproute目的網(wǎng)絡(luò)號目的網(wǎng)絡(luò)掩碼下一跳IP地址01配置默認路由格式：R0(config)#iproute下一跳IP地址02

實驗流程本實驗配置靜態(tài)路由和默認路由，要求各IP全部可達。實驗步驟（1）布置拓撲，配置IP地址。（2）靜態(tài)路由配置。（3）默認路由配置。拓撲圖實驗4：RIP路由協(xié)議配置實驗?zāi)康模?）理解RIP路由的原理。（2）掌握RIP路由的配置方法?；A(chǔ)知識RIP（RoutingInformationProtocols）屬于內(nèi)部網(wǎng)關(guān)協(xié)議（IGP），用于一個自治系統(tǒng)內(nèi)部，是一種基于距離向量的分布式的路由選擇協(xié)議?？蓮囊韵聨追矫胬斫釸IP的特點。（1）在RIP協(xié)議中，距離最短的路由就是最好的路由。RIP協(xié)議對距離的度量是跳數(shù)，初始的直連路由距離為1，此后每經(jīng)過一臺路由器，跳數(shù)就加1，這樣，經(jīng)過的路由器數(shù)量越多，距離也就越長。RIP規(guī)定，一條路由最大的跳數(shù)為15，也就是最大距離為16，距離超出16的路由被認為不可達，會被刪除。（2）RIP中路由的更新是通過定時廣播實現(xiàn)的，接收對象為鄰居。默認情況下，路由器每隔30秒向與它相連的網(wǎng)絡(luò)廣播自己的路由表，接到廣播的路由器將收到的信息按一定算法添加到自身的路由表中。每個路由器都這樣廣播，最終網(wǎng)絡(luò)上所有的路由器都會得知全部RIP范圍的路由信息?；A(chǔ)知識（3）環(huán)路的解決方法：在RIP中也存在環(huán)路問題，如好消息傳播得快，壞消息傳播得慢。解決辦法通常有以下幾種。①定義最大跳數(shù)。比如將TTL值設(shè)為16，如果分組陷入路由循環(huán)中，則跳數(shù)耗盡后就會被消滅，在RIP中就被視為網(wǎng)絡(luò)不可達而被刪除。②水平分割。水平分割即單向路由更新，它保證路由器記住每一條路由信息的來源，并且不在收到這條信息的端口上再次發(fā)送它，這是不產(chǎn)生路由循環(huán)的最基本措施。A從B處得到一個網(wǎng)絡(luò)的路由信息，A不會向B更新該網(wǎng)絡(luò)可以通過B到達的信息。這樣，當該網(wǎng)絡(luò)出現(xiàn)故障不可達時，B會將路由信息通告給A，而A則不會把可以通過B到達該網(wǎng)絡(luò)的路由信息通告給B。如此便可以加快網(wǎng)絡(luò)收斂，破壞路由環(huán)路。基礎(chǔ)知識③路由毒化。當某直連網(wǎng)絡(luò)發(fā)生故障時，路由器將其度量值標為無窮大，并將此路由信息通告給鄰居，鄰居再向其鄰居通告，依次毒化各路由器，從而避免環(huán)路。④控制更新時間。也稱抑制計時，當一條路由信息無效之后，就在一段時間內(nèi)使這條路由處于抑制狀態(tài)，即不再接收關(guān)于相同目的地址的路由更新。顯然，當一個網(wǎng)絡(luò)頻繁地在有效和無效間切換時，往往是有問題的，這時，將該網(wǎng)絡(luò)的路由信息在一定時間內(nèi)不更新，可以增加網(wǎng)絡(luò)的穩(wěn)定性，避免路由振蕩，是合理的?；A(chǔ)知識（4）RIPv1和RIPv2的主要區(qū)別如下：①RIPv1是有類路由協(xié)議，RIPv2是無類路由協(xié)議。②RIPv1不能支持VLSM，RIPv2可以支持VLSM。③RIPv1沒有認證的功能，RIPv2可以支持認證，并且有明文和MD5兩種認證。④RIPv1沒有手工匯總的功能，RIPv2可以在關(guān)閉自動匯總的前提下進行手工匯總。⑤RIPv1是廣播更新，RIPv2是組播更新。⑥RIPv1對路由沒有打標記的功能，RIPv2可以對路由打標記（tag），用于過濾和制訂策略?；A(chǔ)知識（5）RIP協(xié)議常用配置命令。命令格式含義hostname路由器名稱配置路由器名稱routerrip啟動RIP路由協(xié)議version版本號設(shè)置RIP版本，可為1或者2network網(wǎng)絡(luò)號網(wǎng)絡(luò)號應(yīng)為路由器直連的網(wǎng)絡(luò)號，是分類網(wǎng)絡(luò)號debugiprip顯示RIP路由的動態(tài)更新auto-summary路由匯總showipprotocols顯示路由協(xié)議配置與統(tǒng)計等信息passive-interface端口名將端口設(shè)置為被動端口，此端口不再發(fā)送路由信息實驗流程實驗流程圖RIPv1實驗步驟（1）布置拓撲，配置各設(shè)備的IP地址。（2）在路由器上配置RIPv1路由。（3）查看路由器的路由表。（4）查看RIP路由的動態(tài)更新。RIPv2實驗步驟RIPv2實驗步驟（1）布置拓撲，并配置IP地址。這里將PC的IP地址設(shè)為網(wǎng)絡(luò)的第一個可用的IP地址，網(wǎng)關(guān)設(shè)為網(wǎng)絡(luò)的最后一個可用地址。連接兩個路由器的網(wǎng)絡(luò)為/30的地址RIPv2實驗步驟（2）在路由器上配置RIPv2路由。（3）查看路由器的路由表。（4）查看RIP路由的動態(tài)更新。實驗5：OSPF路由協(xié)議實驗?zāi)康模?）理解OSPF。（2）掌握OSPF的配置方法。（3）掌握查看OSPF協(xié)議的相關(guān)信息?；A(chǔ)知識OSPF（OpenShortestPathFirst）的中文名稱為開放式最短路徑優(yōu)先，是一個內(nèi)部網(wǎng)關(guān)協(xié)議（IGP），用于在單一自治系統(tǒng)（AS）中決策路由，使用迪杰斯特拉（Dijkstra）提出的最短路徑算法（SPF）生成路由表。OSPF分為OSPFv2和OSPFv3兩個版本，其中OSPFv2用于IPv4網(wǎng)絡(luò)，OSPFv3用于IPv6網(wǎng)絡(luò)。OSPF有以下特點。（1）OSPF是鏈路狀態(tài)協(xié)議。OSPF將連接兩個路由器的鏈路狀態(tài)歸結(jié)為一個度量或代價，以此來表示鏈路的時延、帶寬、費用和距離等，可以由管理員配置其大小，范圍為1~65535，但很多時候并沒有顯式地配置，這時代價被默認為100Mb/s帶寬。而RIP中只用跳數(shù)來衡量距離，而不考慮鏈路的狀態(tài)。基礎(chǔ)知識（2）OSPF使用最短路徑算法（SPF）計算路由。OSPF中的每一臺路由器都會維護一個本區(qū)域的拓撲結(jié)構(gòu)圖（LSDB），路由器依據(jù)拓撲圖中的節(jié)點和鏈路代價計算出一棵以自己為根的最短路徑樹，根據(jù)這棵樹，就可以找到去往各目的網(wǎng)絡(luò)的最短路徑，并生成自己的路由表。由于OSPF使用最短路徑樹算法計算路由，故從算法本身保證了不會生成自環(huán)路由。（3）OSPF使用層次結(jié)構(gòu)的區(qū)域劃分。①劃分區(qū)域的理由。由于每一個路由器都會維護一個全網(wǎng)的拓撲結(jié)構(gòu)，當網(wǎng)絡(luò)規(guī)模達到一定程度時，拓撲結(jié)構(gòu)勢必形成一個龐大的數(shù)據(jù)庫，這樣會給OSPF計算最小路徑算法帶來比較大的壓力。為了能夠降低計算的復(fù)雜程度，OSPF采用分區(qū)域計算，即將網(wǎng)絡(luò)中所有OSPF路由器劃分成不同的區(qū)域，每個區(qū)域負責(zé)各自區(qū)域精確的鏈路狀態(tài)通告（LSA）傳遞與路由計算，然后再將一個區(qū)域的LSA簡化和匯總之后轉(zhuǎn)發(fā)到另外一個區(qū)域，這樣一來，在區(qū)域內(nèi)部，擁有網(wǎng)絡(luò)精確的LSA，而在不同區(qū)域，則傳遞簡化的LSA?；A(chǔ)知識②區(qū)域的層次。區(qū)域分為骨干區(qū)域（BackBoneArea）和標準區(qū)域（NormalArea）。其中，骨干區(qū)域位于頂層。一般來說，所有的標準區(qū)域應(yīng)該直接和骨干區(qū)域相連，標準區(qū)域間的通信分組要通過骨干區(qū)域路由轉(zhuǎn)發(fā)，標準區(qū)域只能和骨干區(qū)域交換鏈路狀態(tài)通告（LSA），標準區(qū)域相互之間即使直連也無法互換LSA?；A(chǔ)知識③區(qū)域的命名可以采用整數(shù)數(shù)字，如1、2、3等，也可以采用32位IP地址的形式，如、，需要注意的是骨干區(qū)域只能被命名為0區(qū)域，而不能是其他區(qū)域。④OSPF區(qū)域中路由器的區(qū)別。OSPF區(qū)域是基于路由器的接口劃分的，而不是基于整臺路由器劃分的，這樣，一臺路由器可以屬于單個區(qū)域，也可以屬于多個區(qū)域，如果一臺OSPF路由器屬于單個區(qū)域，即該路由器所有接口都屬于同一個區(qū)域，那么這臺路由器稱為區(qū)域內(nèi)部路由器（IR）。如果一臺OSPF路由器屬于多個區(qū)域，即該路由器的接口不都屬于一個區(qū)域，那么這臺路由器稱為區(qū)域邊界路由器（ABR），ABR可以將一個區(qū)域的LSA匯總后轉(zhuǎn)發(fā)至另一個區(qū)域。如果一臺OSPF路由器代表本自治系統(tǒng)連接到外部自治系統(tǒng)的路由器上，那么這臺路由器稱為自治系統(tǒng)邊界路由器（ASBR），它代表本AS與外部進行路由?；A(chǔ)知識（4）負載平衡。OSPF支持到同一目的地址的多條等值路由，以此實現(xiàn)負載平衡。（5）收斂速度快。如果網(wǎng)絡(luò)的拓撲結(jié)構(gòu)發(fā)生變化，OSPF立即洪泛發(fā)送更新報文，使這一變化快速在自治系統(tǒng)中同步，使路由快速收斂。（6）OSPF在描述路由時攜帶網(wǎng)段的掩碼信息，所以其支持變長子網(wǎng)掩碼VLSM和無分類編址CIDR。（7）支持驗證。它支持基于接口的報文驗證以保證路由計算的安全性。（8）協(xié)議自身的開銷控制較小。①使用定期發(fā)送的hello報文來發(fā)現(xiàn)和維護鄰居關(guān)系。hello報文非常小，減小了網(wǎng)絡(luò)資源的消耗?；A(chǔ)知識②在可以多址訪問的網(wǎng)絡(luò)中，如廣播網(wǎng)絡(luò)（以太網(wǎng)）或NBMA網(wǎng)絡(luò)（如x.25、幀中繼），通過選舉DR和BDR，使同網(wǎng)段的路由器之間的路由交換次數(shù)減少。DR從鄰居那里收到更新后，通過LSA通告給局域網(wǎng)上的所有鄰居，使同一個局域網(wǎng)的LSDB都相同。③在廣播網(wǎng)絡(luò)中，使用組播地址發(fā)送報文，這樣可以減少對其他不運行OSPF的網(wǎng)絡(luò)設(shè)備的干擾。④在區(qū)域邊界路由器ABR上支持路由聚合，進一步減少區(qū)域間的路由信息傳遞。實驗流程實驗流程圖命令格式含義routerospf進程號全局配置模式下進入OSPF配置模式router-idA.B.C.D以IP地址的形式配置路由器的路由IDnetwork網(wǎng)絡(luò)地址通配符area區(qū)域號通告直連網(wǎng)絡(luò)及區(qū)域，通配符為網(wǎng)絡(luò)掩碼的反碼showipprotocols查看路由協(xié)議配置與統(tǒng)計信息showipospf查看OSPF進程及區(qū)域細節(jié)的數(shù)據(jù)showipospfdatabase查看路由器OSPF數(shù)據(jù)庫信息showipospfinterface查看接口OSPF信息showipospfneighbor查看OSPF鄰居信息debugipospfevents調(diào)試OSPF事件常用配置命令單區(qū)域OSPF路由配置實驗單區(qū)域OSPF應(yīng)用于網(wǎng)絡(luò)規(guī)模不大，只使用area0一個區(qū)域就可滿足需求的情況。（1）布置拓撲，4個路由器連接了5個網(wǎng)段，全部屬于area0。單區(qū)域OSPF路由配置實驗01配置路由器的OSPF路由，將全部路由器接口配置到area0。02驗證連通性。03查看路由器的路由。04查看路由協(xié)議配置與統(tǒng)計信息05查看OSPF進程及區(qū)域細節(jié)的數(shù)據(jù)06查看路由器OSPF數(shù)據(jù)庫信息，以R1為例。07查看接口OSPF信息08查看OSPF鄰居信息多區(qū)域OSPF路由配置實驗多區(qū)域OSPF路由配置實驗（1）布置拓撲，4個路由器連接了5個網(wǎng)段，其中，/24屬于area0，/24和/24屬于area18，/24和/24屬于area36，多區(qū)域OSPF路由配置實驗（2）配置路由器的OSPF路由，注意將路由器接口配置到對應(yīng)區(qū)域。（3）驗證連通性。（4）查看路由器（5）查看路由協(xié)議配置與統(tǒng)計信息（6）查看OSPF進程及區(qū)域細節(jié)的數(shù)據(jù)（7）查看路由器OSPF數(shù)據(jù)庫信息（8）查看接口OSPF信息（9）查看OSPF鄰居信息（10）調(diào)試OSPF事件，主要包括顯示發(fā)送、接受hello包、鄰居改變事件、DR選取、如何建立鄰接關(guān)系等。實驗6：外部網(wǎng)關(guān)協(xié)議（BGP）實驗實驗?zāi)康模?）理解外部網(wǎng)關(guān)協(xié)議BGP的含義；（2）掌握外部網(wǎng)關(guān)協(xié)議BGP的配置方法。基礎(chǔ)知識BGP邊界網(wǎng)關(guān)協(xié)議是一種路徑向量協(xié)議。作為外部網(wǎng)關(guān)協(xié)議，在不同自治系統(tǒng)（AS）之間選擇路由，力求尋找一條能夠到達目的網(wǎng)絡(luò)且比較好的路由，而不是尋找一條最佳路由。其有以下特點：（1）BGP分為eBGP（外部BGP）和iBGP（內(nèi)部BGP），兩個AS之間的發(fā)言人運行eBGP，而在一個AS內(nèi)部則運行iBGP，他們使用同樣的報文格式和屬性類型。eBGP發(fā)言人將獲得的外部BGP路由通過iBGP傳遞給AS內(nèi)部iBGP鄰居，再由其進一步轉(zhuǎn)化為自己的路由表項目。（2）BGP鄰居間進行通信是建立在TCP連接之上的。TCP連接是位于IP之上的一種一對一的通信，這意味著BGP的鄰居并非物理連接上的鄰居，而是可以經(jīng)過IP路由后到達的鄰居。（3）在BGP的世界中，是一系列的AS路徑和經(jīng)過這些AS所能到達的目的地，并通過路徑向量路由選擇協(xié)議選出認為最合適的路由。命令格式含義routerbgpAS號啟動該AS號的BGP路由進程neighborA.B.C.Dremote-asAS號指定鄰居的數(shù)據(jù)更新源地址及AS號network網(wǎng)絡(luò)號mask子網(wǎng)掩碼發(fā)布網(wǎng)段信息showipbgp查看路由器的BGP表常用配置命令實驗流程實驗流程圖實驗步驟（1）布置拓撲，如圖4-26所示，拓撲中共有三個自治系統(tǒng)（AS1，AS2，AS3），其中AS1中R1和R2配置OSPF協(xié)議相連，其余路由器配置BGP協(xié)議相連，由于模擬器不支持iBGP，此處僅配置eBGP。為了更好的顯示效果，每臺路由器都配置了一個環(huán)回口實驗步驟（2）配置路由器（3）查看路由器路由表（4）查看BGP表實驗7：用以太網(wǎng)三層交換機

實現(xiàn)VLAN間路由配置實驗?zāi)康模?）理解三層交換機中SVI的含義。（3）掌握利用三層交換機實現(xiàn)VLAN間的路由。（1）理解三層（第三層）交換機的功能?；A(chǔ)知識二層（第二層）交換機是利用MAC地址表進行轉(zhuǎn)發(fā)操作的，而三層交換機是一個帶有路由功能的二層交換機，是二者的結(jié)合。這里的三層意思就是網(wǎng)絡(luò)層，其優(yōu)勢是既能實現(xiàn)三層的路由功能，又能進行二層的高速轉(zhuǎn)發(fā)。三層交換技術(shù)的出現(xiàn)，解決了企業(yè)網(wǎng)劃分子網(wǎng)之后，子網(wǎng)之間必須依賴路由器進行通信的問題，多用于企業(yè)網(wǎng)內(nèi)部。當目的IP與源IP不在同一個三層網(wǎng)段時，發(fā)送方會向網(wǎng)關(guān)請求ARP解析，這個網(wǎng)關(guān)往往是三層交換機里的一個地址，三層交換模塊會查找ARP緩存表，將不在同一個三層網(wǎng)段IP的MAC地址返回發(fā)送方，如果ARP緩存表沒有，則運用其路由功能，找到下一跳的MAC地址，一方面將該地址保存，并將其發(fā)送給請求方，另一方面將該MAC地址發(fā)送到二層交換引擎的MAC交換表中。這樣，以后就可以進行高速的二層轉(zhuǎn)發(fā)了。所以，三層交換機有時被描述為“一次路由，多次交換”?；A(chǔ)知識在實際組網(wǎng)中，一個VLAN對應(yīng)一個三層的網(wǎng)段，三層交換機采用SVI（交換虛擬接口）的方式實現(xiàn)VLAN間互連。SVI是指交換機中的虛擬接口，對應(yīng)一個VLAN，并且配置IP地址，將其作為該VLAN對應(yīng)網(wǎng)段的網(wǎng)關(guān)，其作用類似于路由口。常用配置命令如表4-12所示。表4-12常用配置命令常用配置命令命令格式含義interfacevlan虛擬局域網(wǎng)號進入SVI配置模式switchporttrunkencapsulationdot1q端口模式下用dot1q封裝該端口showarp查看交換機ARP緩存showmacaddress-table查看交換機交換表iprouting開啟交換機路由功能實驗流程實驗流程實驗步驟（1）布置拓撲，網(wǎng)絡(luò)中共劃分為兩個三層網(wǎng)段，分別對應(yīng)兩個VLAN，這種情況下二層交換機是無法配通的，這里利用三層交換機使兩個網(wǎng)段互通。圖實驗步驟（2）配置三層交換機MS0。（3）配置S0和S1兩個二層交換機。（4）查看三層交換機的路由表。（5）查看三層交換機的ARP緩存表。（6）查看三層交換機的二層交換表。為便于觀察，先將主機互相ping通，再來觀察ARP緩存。MS0#showarp

ProtocolAddressAge(min)HardwareAddrType Interface

Internet 210002.1764.1337 ARPA Vlan10

Internet 110003.E451.AD23ARPAVlan10

Internet54 -

000A.F38E.5601ARPA Vlan10

Internet 160060.3E6E.4261ARPA Vlan20

Internet 110060.3E25.72E7ARPA Vlan20

Internet54 -000A.F38E.5602 ARPA Vlan20可以看到，即便是不同的目的網(wǎng)絡(luò)，也可以查詢到其對應(yīng)的MAC地址，便于進行二層封裝，達到一次路由，多次交換的效果。實驗8：用路由器單臂路由

實現(xiàn)VLAN間通信實驗?zāi)康模?）理解路由器單臂路由的含義。（2）掌握路由器單臂路由的配置方法?；A(chǔ)知識路由器包含的接口數(shù)量一般都比較少，有時為了拓展功能，會將某一個物理接口在邏輯上劃分為多個子接口，這些邏輯子接口不能被單獨地開啟或關(guān)閉，也就是說，當物理接口被開啟或關(guān)閉時，所有的該接口的子接口也隨之被開啟或關(guān)閉。在實際應(yīng)用中，往往用這些子接口分別作為局域網(wǎng)中不同VLAN的網(wǎng)關(guān)，這樣就可以僅使用一個物理接口為局域網(wǎng)中不同的VLAN提供路由了。這樣做的好處是可以節(jié)約設(shè)備，降低組網(wǎng)成本。子接口的命名采用如下形式，比如物理接口“Fa0/1”，其子接口命名為“Fa0/1.1”“Fa0/1.2”“Fa0/1.3”等。常用配置命令如下所示：Router(config-subif)#encapsulationdot1q20//給路由器子接口封裝dot1q協(xié)議，并將其劃入VLAN20實驗流程實驗流程圖實驗步驟（1）布置拓撲，如圖4-30所示，網(wǎng)絡(luò)中共劃分為3個三層網(wǎng)段，分別對應(yīng)3個VLAN，都連接在同一個二層交換機上，這里利用路由器單臂路由使3個網(wǎng)段互通。實驗步驟配置交換機。1配置路由器。2驗證主機路由是否可達。3查看路由器的路由表。4實驗9：PPP協(xié)議配置（點對點信道）實驗?zāi)康?1（1）理解PPP協(xié)議。02（2）掌握不帶認證的PPP協(xié)議配置。03（3）掌握PAP、CHAP認證的PPP協(xié)議配置?；A(chǔ)知識點對點協(xié)議（PointtoPointProtocol，PPP）為在點對點連接上傳輸多協(xié)議數(shù)據(jù)包提供了一個標準方法，是一種點到點的串行通信協(xié)議。這種鏈路提供全雙工操作，并按照順序傳遞數(shù)據(jù)包。PPP協(xié)議提供認證的功能，有兩種方式，一種是PAP，一種是CHAP。相對來說，PAP的認證方式安全性沒有CHAP高。PAP在傳輸密碼（password）時是明文的，而CHAP不傳輸密碼，取代密碼的是Hash（哈希值）。PAP認證是通過兩次握手實現(xiàn)的，而CHAP則是通過3次握手實現(xiàn)的?；A(chǔ)知識常用配置命令命令格式含義encapsulationPPP{HDLC}封裝指定協(xié)議pppauthenticationchap{ppp}指定PPP用戶認證方式username對方路由器名稱password對方路由器密碼在本路由器上記錄對方路由器的名字和密碼ppppapsent-usernamerouter1passwordpass1設(shè)置向?qū)Ψ桨l(fā)送的PAP認證信息實驗流程實驗流程實驗步驟（1）拓撲如圖，兩路由器之間用串口相連，若無串口可先關(guān)機，添加WIC-1T串口模塊，再開機。兩個串口用PPP協(xié)議封裝，做適當配置使其互通。實驗步驟（2）配置路由。經(jīng)過路由配置后，此時兩臺PC是可以ping通的，但兩臺路由器之間的串行鏈路并沒有封裝PPP協(xié)議，這是因為Cisco路由器串行接口默認封裝了HDLC協(xié)議的原因。（3）封裝不帶認證的PPP協(xié)議。（4）封裝帶PAP認證的PPP協(xié)議。（5）封裝帶CHAP認證的PPP協(xié)議。注意串口雙方的密碼要一致，而用戶名則更習(xí)慣于使用對方的主機名（hostname定義的名稱）。實驗10：訪問控制列表（ACL）實驗?zāi)康模?）理解訪問控制列表的含義。（2）初步掌握訪問控制列表的配置和應(yīng)用。訪問控制列表基礎(chǔ)知識訪問控制列表（AccessControlList，ACL），也稱接入控制列表，俗稱防火墻，在有的文檔中還稱為包過濾。ACL通過定義一些規(guī)則對網(wǎng)絡(luò)設(shè)備接口上的數(shù)據(jù)包進行控制。每個ACL可以包含多條規(guī)則，這些規(guī)則被組織在一起成為一個整體。對ACL的命名有兩種方式：編號ACL和命名ACL，這些編號或命名是唯一的，在設(shè)備配置中將通過引用它們來達到控制訪問的目的。ACL分為兩種訪問列表：標準IP訪問列表和擴展IP訪問列表，標準IP訪問列表編號范圍為1~99、1300~1999；擴展IP訪問列表為100~199、2000~2699。標準IP訪問控制列表只對數(shù)據(jù)包中的源IP地址進行檢查，定義規(guī)則，控制來自某個IP地址或IP網(wǎng)段的數(shù)據(jù)包。訪問控制列表基礎(chǔ)知識擴展IP訪問列表可以根據(jù)數(shù)據(jù)包的源IP、目的IP、源端口、目的端口、協(xié)議來定義規(guī)則，進行數(shù)據(jù)包的過濾。ACL不能過濾路由器自己生成的流量，一般來說，對于標準ACL，建議將ACL盡可能靠近目的主機；對于擴展ACL，應(yīng)盡可能靠近源主機。不管是標準ACL還是擴展ACL，需要注意以下規(guī)則。（1）在表達源IP和目的IP時，經(jīng)常使用host和any。any允許所有IP地址作為源地址。如下面兩行是等價的：Access-list1permit55Access-list1permitany訪問控制列表基礎(chǔ)知識host表達某一主機IP，如下面兩行是等價的：Access-list1permitAccess-list1permithost（2）對于有多條規(guī)則的ACL，這些規(guī)則的順序很重要，ACL嚴格按生效的順序進行匹配?？梢允褂胹howrunning-config或showaccess-list命令查看生效的ACL規(guī)則順序。如果分組與某條規(guī)則相匹配，則根據(jù)規(guī)則中的關(guān)鍵字permit或deny進行操作，所有的后續(xù)規(guī)則均被忽略。也就是說采用的是首先匹配的算法。路由器從開始往下檢查列表，一次一條規(guī)則，直至發(fā)現(xiàn)匹配項為止。訪問控制列表基礎(chǔ)知識因此，更為具體的規(guī)則應(yīng)始終排列在較不具體的規(guī)則的前面。例如，以下ACL準許除發(fā)自子網(wǎng)/16之外的所有tcp數(shù)據(jù)報。zxr10(config)#access-list101denytcp55anyzxr10(config)#access-list101permittcpanyany當tcp分組從子網(wǎng)/16中發(fā)出時，它發(fā)現(xiàn)與第一項規(guī)則相匹配，從而使得該分組被丟棄。發(fā)自其他子網(wǎng)的tcp分組不與第一項規(guī)則相匹配，而與第二項規(guī)則匹配，由此這些分組得以通過。訪問控制列表基礎(chǔ)知識（3）每個ACL的最后，系統(tǒng)自動附加一條隱式deny規(guī)則，這條規(guī)則拒絕所有數(shù)據(jù)報。對于不與用戶指定的任何規(guī)則相匹配的分組，隱式deny規(guī)則起到了截流的作用，所有分組均與該規(guī)則相匹配。配置ACL需要實施如下步驟：（1）創(chuàng)建ACL。（2）在接口上啟用ACL。接口既可以是物理接口，也可以是邏輯接口，在應(yīng)用時，還需要指出是出站的方向還是入站的方向。入站指從外面進入接口時檢查，出站則相反。命令格式含義access-listACL列表號deny{permit}source-ipwildcard-mask在全局配置模式下定義ACL。其中，deny{permit}為拒絕{允許}，source-ipwildcard-mask分別為源IP地址和通配符掩碼access-listaccess-list-numberdeny{permit}protocol{protocol-keyword}source-ipwildcard-maskdestination-ipwildcard-mask{other}在全局配置模式下定義擴展ACL。其中，access-list-number為ACL列表號，deny{permit}為拒絕{允許}，source-ipwildcard-mask分別為源IP地址和通配符掩碼，protocol為協(xié)議，destination-ip和wildcard-mask為目的IP和通配符，other項為一些其他的可選參數(shù)，如eqwww或eq80，表示與該協(xié)議或其占用的端口號匹配ipaccess-groupaccess-list-numberout{in}在接口配置模式下，將ACL應(yīng)用到該接口上。out表示數(shù)據(jù)包從該端口出去時進行檢查，in表示數(shù)據(jù)包從該端口進來時進行檢查常用配置命令實驗流程標準ACL實驗（1）布置拓撲。Company是公司出口路由器，對內(nèi)用單臂路由連接了3個子網(wǎng)，其中VLAN30里有一臺公司內(nèi)部服務(wù)器，只允許公司內(nèi)部訪問。VLAN10是內(nèi)部員工子網(wǎng)，由于工作需要，不允許訪問外部網(wǎng)絡(luò)。VLAN20是管理人員子網(wǎng)，允許訪問外網(wǎng)。這里暫不考慮公有地址和私有地址的差別。。標準ACL實驗（2）配置路由。（3）配置ACL并驗證效果。為滿足要求，此處設(shè)計兩個ACL，分別應(yīng)用在兩個端口上。路由器Company：Company(config)#access-list1permit55Company(config)#access-list1permit55//創(chuàng)建access-list1，允許兩個子網(wǎng)通過，但規(guī)則最后自動附加一條隱式deny規(guī)則，這條規(guī)則拒絕所有數(shù)據(jù)報。也就是說，只允許這兩個子網(wǎng)訪問服務(wù)器Company(config)#access-list2permit55Company(config)#intf0/0.3Company(config-subif)#ipaccess-group1out//將access-list1應(yīng)用在該接口，出方向檢查Company(config-subif)#exitCompany(config)#intf1/0標準ACL實驗Company(config-if)#ipaccess-group2out//將access-list2應(yīng)用在該接口，出時檢查。員工子網(wǎng)VLAN10將匹配后面的隱式deny規(guī)則，從而無法從該端口出去在沒有應(yīng)用ACL之前，員工子網(wǎng)可以訪問外面的IP。應(yīng)用ACL之后，顯示目的主機不可達信息。從外面訪問公司內(nèi)部服務(wù)器，在ACL的作用下，無法ping通。擴展ACL實驗步驟（1）布置拓撲，實驗允許管理人員子網(wǎng)（VLAN20）不能訪問外部Server1的WWW站點，但可以訪問其他WWW站點。員工子網(wǎng)（VLAN10）不可以訪問外面的網(wǎng)絡(luò)。擴展ACL實驗步驟Company(config)#access-list101denytcp55hosteqwwwCompany(config)#access-list101permittcpanyanyeqwwwCompany(config)#access-list101denyip55anyCompany(config)#access-list101permitipanyanyCompany(config)#intf1/0Company(config-if)#ipaccess-group101out擴展ACL實驗步驟管理人員無法訪問Server1上的WWW站點，與ACL101（access-list101的簡稱）第1條規(guī)則匹配，被否定。管理人員可以訪問Server2上的WWW站點，與ACL101第2條規(guī)則匹配，被通過。管理人員盡管無法訪問Server1上的WWW站點，但卻可以ping通Server1，這是因為匹配了第4條規(guī)則的結(jié)果。員工區(qū)pingServer2不通，但可以訪問內(nèi)部，因為ACL應(yīng)用在Compony的Fa1/0接口上。實驗11：網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）實驗實驗?zāi)康睦斫獾刂忿D(zhuǎn)換NAT的含義。01理解地址轉(zhuǎn)換NAT的3種轉(zhuǎn)換方式。02初步掌握地址轉(zhuǎn)換NAT的配置和應(yīng)用。03網(wǎng)絡(luò)地址轉(zhuǎn)換基礎(chǔ)知識目前，很多局域網(wǎng)內(nèi)部使用的都是專用地址。而互聯(lián)網(wǎng)上的路由器對于目的地址為專用地址的IP數(shù)據(jù)報一律不進行轉(zhuǎn)發(fā)，這種情況下，局域網(wǎng)連通互聯(lián)網(wǎng)主要是采用了NAT技術(shù)。NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是1994年提出的，主要用來解決專用地址和全球地址的轉(zhuǎn)換問題。局域網(wǎng)內(nèi)部的通信只需要專用地址就可以，當訪問因特網(wǎng)時，就可以轉(zhuǎn)換成一個全球地址（公網(wǎng)地址）去訪問，這種方法需要在專用網(wǎng)連接到因特網(wǎng)的路由器上安裝NAT軟件，裝有NAT軟件的路由器叫做NAT路由器，它至少有一個有效的外部全球IP地址。使用NAT技術(shù)有以下一些優(yōu)點：網(wǎng)絡(luò)地址轉(zhuǎn)換基礎(chǔ)知識（1）節(jié)省全球IP地址。NAT可以讓局域網(wǎng)內(nèi)部的使用專用地址的主機共用少量的公網(wǎng)IP來訪問互聯(lián)網(wǎng)，而不需要為每一臺主機都申請一個IP，這在一定程度上節(jié)約了公網(wǎng)地址。（2）由于在訪問互聯(lián)網(wǎng)時被轉(zhuǎn)換為一個公網(wǎng)地址，這就對外部網(wǎng)絡(luò)屏蔽了內(nèi)部的網(wǎng)絡(luò)拓撲，提高了安全性。NAT包括3種技術(shù)類型：（1）靜態(tài)NAT是把內(nèi)部網(wǎng)絡(luò)中的每個主機地址永久映射成外部網(wǎng)絡(luò)中的某個合法地址。如果內(nèi)部網(wǎng)絡(luò)有對外提供服務(wù)的需求，如WWW服務(wù)器、FTP服務(wù)器等，那么這些服務(wù)器的IP地址應(yīng)該采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務(wù)。靜態(tài)地址轉(zhuǎn)換不能節(jié)省IP地址。網(wǎng)絡(luò)地址轉(zhuǎn)換基礎(chǔ)知識（2）動態(tài)NAT是采用把外部網(wǎng)絡(luò)中的一系列公網(wǎng)地址使用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)的。轉(zhuǎn)換時，從內(nèi)部合法地址范圍中動態(tài)地選擇一個未使用的地址與內(nèi)部專用地址進行轉(zhuǎn)換。當然，當內(nèi)部合法地址使用完畢時，后續(xù)的NAT申請將失敗。（