1、实验手册宁夏吉虎科技有限公司2015 年 10 月目 录一、基础篇 .3二、交换篇 .72.1 二层交换基础 .72.2 使用以太网子接口实现 VLAN 之间的互访 .102.3 使用三层交换机实现 VLAN 之间的互访 .14三、路由篇 .163.1 静态路由 .163.2 OSPF 单区域 .22四、安全篇 .284.1 标准 ACL .284.2 扩展 ACL .314.3 NAT.33一、基础篇实验目的 1、掌握 CISCO 设备的基础配置。2、熟练使用各种 show 命令查看设备状态。实验拓扑及需求完成设备的基本配置,两台设备要 PING 通。配置及实现1. 配置路由器 hostna
2、me R1 的配置如下: Router ! Router表示当前处于用户模式Routerenable !使用enable命令进入特权模式Router# !Router#表示当前处于特权模式Router# configure terminal !使用 configure terminal进入全局配置模式Router(config)# hostname R1 !修改路由器名称为 R1R1(config) exit !退回到特权模式R1#R2 的配置如下: Router Routerenable Router# Router# configure terminal Router(config)# h
3、ostname R2 R2(config) exit R2#2、配置路由器的 MOTD设置登录路由器时控制台显示的欢迎信息Router(config)# banner motd #Hello # 3、设置和取消密码: Console 密码、特权模式密码、VTY 线路密码Router(config)# line console 0 !进入console口Router(config-line)# password cisco !配置console 口密码Router(config-line)# login !登陆console时,需要提供密码进行身份验证Router(config-line)# e
4、xit配置完上述命令后,后续若再使用 console 口对设备进行管理就需输入相应的密码。 如果要实现通过 Console 口登陆时无需输入密码进行身份验证,则使用 no login 命令。删除密码使用:no password。 R1 配置特权密码: R1(config) # enable password ciscoenable password 命令用于设置特权明文密码,该密码在用户使用 enable 命令试图从用户模式进入特权模式时被要求输入。使用 show run 命令查看设备配置时,会看到这个密码的明文,因此强烈不建议使用这种方式指定特权密码。R1(config) # enable
5、secret cisco enable secret 命令用于设置 enable 密文密码,show run 只能查看到被加密的密码,安全级别高于 上面 的明文 密码 ,与明 文密 码同时 设置 时,密 文密 码生效 (也 就是忽 略 enable password) 。取消 enable 密文密码可使用 no enable secret。在实际部署中,强烈建议配置密文密码而不是明文的。 配置 Telnet 密码:R1(config)# line vty 0 4R1(config-line)#password ciscoR1(config-line)#loginR1(config-line)#
6、exit4、配置路由器的接口 R1 的配置如下:R1(config)# interface fastethernet 0/0R1(config-if)# ip address 192.168.12.1 255.255.255.0 R1(config-if)# no shutdown !端口开启R2 的配置如下:R2(config)# interface fastethernet 0/0R2(config-if)# ip address 192.168.12.2 255.255.255.0 R1(config-if)# no shutdown 5、查看接口状态在特权模式下使用 show ip i
7、nterface brief 可以查看路由器所有接口的 IP 配置信息,以及接口状态。 R1#show ip interface briefInterface IP-Address OK? Method Status Protocol FastEthernet0/0 192.168.12.1 YES manual up upR2#show ip interface briefInterface IP-Address OK? Method Status Protocol FastEthernet0/0 192.168.12.2 YES manual up up从输出的结果可以看出,R1 及 R2
8、 上的 FE0/0 接口的状态都为物理-Up、协议-Up。路由器的接口要能够正常工作,前提是接口的物理及协议状态都是 UP 的。6、连通性测试 完成上述配置后,R1 与 R2 即可互相通信。我们首先做一个简单的 IP 连通性测试,让 R1 及 R2 互相 ping,所谓的 ping 其实是一个基于 ICMP 的小工具,这个小工具几乎在所有的操作系统上都被携带着,可以探测从本地到远端 IP 节点的可达性。R1# ping 192.168.12.2Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.12.
9、2, timeout is 2 seconds: ! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/62/120 msR2#ping 192.168.12.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds: ! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/41/100 ms 让 R1 及
10、 R2 进行互 ping,出现感叹号 ! 代表网络是通的。 6、telnet 远程登录到设备上从 R2 远程登陆(Telnet)到 R1R2#telnet 192.168.12.1 Trying 192.168.12.1 . OpenHello !banner 提示 User Access Verification Password: !输入远程登录密码R1 !远程到 R1R1 enable Password: !R1 的特权密码R1# !密码验证通过,进入 R1 特权模式R1#exit !从 R1 登出7、查看设备配置 在特权模式或用户模式下使用 show running-config 命令
11、可以查看当前设备的配置,这些配置信息是保存在 RAM 中的,也就是保存在动态存储器里的,这意味着如果设备重启或者掉电,这些配置就会丢失。我们每为设备增加或者修改的一条命令,都会记录在 running-config 中,如果要想让设备的配置不丢失,则要把配置保存到 startup-config,使用 write 命令,或者 copy running-config start-config 即可将当前配置(running-config)保存到启动配置(startup-config)中,养成良好习惯,设备配置完成后注意保存。show startup-config 显示设备启动配置(配置信息保存于 N
12、VRAM 或 Flash 中) 。 二、交换篇2.1 二层交换基础实验目的 1. 了解二层交换机工作原理; 2. 理解 VLAN 的概念,掌握 VLAN 的配置; 3. 理解 trunk 的概念,掌握 trunk 的配置。拓扑及需求 (1)SW1 及 SW2 都创建 VLAN10 及 VLAN20,按照上图所示,将接口添加到特定的 VLAN; (2)测试 PC 之间的连通性,要求相同 VLAN 内的 PC 能够相互通信。配置及实现 1. 完成所有 PC 的配置 2. 完成交换机的配置SW1 配置:SW1# config terminal SW1(config)# vlan 10 !创建 vla
13、n 10SW1(config-vlan)# exit SW1(config)# vlan 20 !创建 vlan 20SW1(config-vlan)# exitSW1(config)# interface fastethernet0/1 SW1(config-if)# switchport mode access !将端口类型修改为 access 模式SW1(config-if)# swtichport access vlan 10 !将端口添加到特定的 VLAN 中SW1(config-if)# interface fastethernet0/2 SW1(config-if)# switc
14、hport mode access SW1(config-if)# swtichport access vlan 20 SW1(config-if)# interface fastethernet0/15 SW1(config-if)# switchport mode trunk !将接口模式定义为 trunkSW1(config-if)# switchport trunk encapsulation dot1q !指定 trunk 封装协议为 dot1qSW2 配置:SW2# config terminal SW2(config)# vlan 10 SW2(config-vlan)# exi
15、t SW2(config)# vlan 20 SW2(config-vlan)# exit SW2(config)# interface fastethernet0/1 SW2(config-if)# switchport mode access SW2(config-if)# swtichport access vlan 10 SW2(config-if)# interface fastethernet0/2 SW2(config-if)# switchport mode access SW2(config-if)# swtichport access vlan 20 SW2(config-
16、if)# interface fastethernet0/15 SW2(config-if)# switchport mode trunk SW2(config-if)# switchport trunk encapsulation dot1q3. 查看及验证SW1# show vlanVLAN Name Status Ports - - - - 1 default active Fa0/0, Fa0/3, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/14 10 VLAN0010 acti
17、ve Fa0/1 20 VLAN0020 active Fa0/21002 fddi-default active1003 token-ring-default active1004 fddinet-default active1005 trnet-default active从上面的输出可以看到我们已经成功创建了两个 VLAN:10 和 20,并且 FE0/1 及 FE0/2 口都划分到了相应的 VLAN。如果在模拟器上进行交换实验,使用 show vlan-switch 来查看 vlan 信息。 SW1# show interfaces trunkPort Mode Encapsulation Status Native vlan Fa0/15 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/15 1-1005
