《西安電子科技大學(xué)校內(nèi)生產(chǎn)實(shí)習(xí)報告》由會員分享,可在線閱讀,更多相關(guān)《西安電子科技大學(xué)校內(nèi)生產(chǎn)實(shí)習(xí)報告(40頁珍藏版)》請在裝配圖網(wǎng)上搜索。
西安電子科技大學(xué)
2016年校內(nèi)生產(chǎn)實(shí)習(xí)
——分組數(shù)據(jù)網(wǎng)絡(luò)
實(shí)習(xí)報告
學(xué)院:通信工程學(xué)院
班級:
姓名:
學(xué)號:
組號:
目錄
一、實(shí)習(xí)目的 3
二、實(shí)習(xí)設(shè)備 3
三、基本原理 3
四、實(shí)習(xí)內(nèi)容 7
(一)2個交換機(jī)配置VLAN 7
(二)靜態(tài)路由 10
(三)2個路由器里做RIP協(xié)議 13
(四)2個路由器里做OSPF協(xié)議 15
(五)單臂路由 17
(六)ACL訪問控制列表 20
(七)NAT的訪問控制的設(shè)置 22
(八)GRE的訪問控制的設(shè)置 23
(九)TELNET 訪問控制的設(shè)置 25
(十)DHCP訪問控制的設(shè)置 27
(十一)基于MAC地址的訪問控制的設(shè)置 29
(十二)SSH用戶的本地認(rèn)證和授權(quán)配置 32
(十三)基于IPSec訪問控制的設(shè)置 36
五、經(jīng)驗(yàn)總結(jié) 39
六、心得體會 40
一、實(shí)習(xí)目的
l 掌握路由器和交換機(jī)的基本原理
l 掌握目前網(wǎng)絡(luò)中常用的路由協(xié)議
l 學(xué)會使用Packet tracer進(jìn)行網(wǎng)絡(luò)設(shè)置和規(guī)劃的仿真
l 學(xué)會使用路由器和交換機(jī)
二、實(shí)習(xí)設(shè)備
l 2臺具有2個以上10/100Mbit/s以太網(wǎng)接口的路由器
l 2臺H3C交換機(jī)
l 2-3臺以及Console電纜
l 多條雙絞線跳線
三、基本原理
1. VLAN
VLAN的中文名稱為“虛擬局域網(wǎng)” ,是一種將在同一個局域網(wǎng)的局域網(wǎng)計算機(jī)從邏輯上劃分成一個獨(dú)立網(wǎng)段,從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。VLAN技術(shù)的出現(xiàn),使得管理員根據(jù)實(shí)際應(yīng)用需求,把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域,每一個VLAN都包含一組有著相同需求的計算機(jī)工作站,與物理上形成的LAN有著相同的屬性。由于它是從邏輯上劃分,而不是從物理上劃分,所以同一個VLAN內(nèi)的各個工作站沒有限制在同一個物理范圍中,即這些工作站可以在不同物理LAN網(wǎng)段。由VLAN的特點(diǎn)可知,一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中,從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。
2. 靜態(tài)路由
靜態(tài)路由是指由網(wǎng)絡(luò)管理員手工配置的路由信息。當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)或鏈路的狀態(tài)發(fā)生變化時,網(wǎng)絡(luò)管理員需要手工去修改路由表中相關(guān)的靜態(tài)路由信息。一般來說靜態(tài)路由信息是私有的,不會傳遞給其他的路由器。當(dāng)然,網(wǎng)管員也可以通過對路由器進(jìn)行設(shè)置使之成為共享的。靜態(tài)路由一般適用于比較簡單的網(wǎng)絡(luò)環(huán)境,在這樣的環(huán)境中,網(wǎng)絡(luò)管理員易于清楚地了解網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),便于設(shè)置正確的路由信息。
3. RIP協(xié)議原理
路由信息協(xié)議(RIP)是一種在網(wǎng)關(guān)與主機(jī)之間交換路由選擇信息的標(biāo)準(zhǔn)。RIP通過廣播UDP報文來交換路由信息,每30秒發(fā)送一次路由信息更新。它提供跳躍計數(shù)(hop count)作為尺度來衡量路由距離,跳躍計數(shù)是一個包到達(dá)目標(biāo)所必須經(jīng)過的路由器的數(shù)目。如果到相同目標(biāo)有二個不等速或不同帶寬的路由器,但跳躍計數(shù)相同,則RIP認(rèn)為兩個路由是等距離的。RIP最多支持的跳數(shù)為15,即在源和目的網(wǎng)間所要經(jīng)過的最多路由器的數(shù)目為15,跳數(shù)16表示不可達(dá)。
4. OSPF協(xié)議
OSPF(Open Shortest Path First,開放式最短路徑優(yōu)先)協(xié)議,是目前網(wǎng)絡(luò)中應(yīng)用最廣泛的路由協(xié)議之一。屬于內(nèi)部網(wǎng)關(guān)路由協(xié)議,能夠適應(yīng)各種規(guī)模的網(wǎng)絡(luò)環(huán)境,是典型的鏈路狀態(tài)(link-state)協(xié)議。OSPF 路由協(xié)議通過向全網(wǎng)擴(kuò)散本設(shè)備的鏈路狀態(tài)信息,使網(wǎng)絡(luò)中每臺設(shè)備最終同步一個具有全網(wǎng)鏈路狀態(tài)的數(shù)據(jù)庫(LSDB),然后路由器采用 SPF 算法,以自己為根,計算到達(dá)其他網(wǎng)絡(luò)的最短路徑,最終形成全網(wǎng)路由信息。在大模型的網(wǎng)絡(luò)環(huán)境中,OSPF 支持區(qū)域的劃分,將網(wǎng)絡(luò)進(jìn)行合理規(guī)劃。劃分區(qū)域時必須存在 area0(骨干區(qū)域)。其他區(qū)域和骨干區(qū)域直接相連,或通過虛鏈路的方式連接。
5. 單臂路由
單臂路由(router-on-a-stick)是指在路由器的一個接口上通過配置子接口(或“邏輯接口”,并不存在真正物理接口)的方式,實(shí)現(xiàn)原來相互隔離的不同VLAN(虛擬局域網(wǎng))之間的互聯(lián)互通。所謂子接口,就是在一個物理接口上配置出來的多個邏輯上的虛接口。這些虛接口共用物理接口的物理層參數(shù),又可以分別配置各自的鏈路層和網(wǎng)絡(luò)層的參數(shù)。因?yàn)檫@樣的多個虛接口可以對應(yīng)一個物理接口,故常被稱為“子接口”。
6. ACL訪問控制列表
訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣,包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。訪問控制列表(Access Control Lists,ACL)是應(yīng)用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕,可以由類似于源地址、目的地址、端口號等的特定指示條件來決定。
7. MAC地址
MAC地址是網(wǎng)絡(luò)設(shè)備在全球的唯一編號,它也就是我們通常所說的:物理地址、硬件地址、適配器地址或網(wǎng)卡地址。MAC地址可用于直接標(biāo)識某個網(wǎng)絡(luò)設(shè)備,是目前網(wǎng)絡(luò)數(shù)據(jù)交換的基礎(chǔ)。 現(xiàn)在大多數(shù)的高端交換機(jī)都可以支持基于物理端口配置MAC地址過濾表,用于限定只有與MAC地址過濾表中規(guī)定的一些網(wǎng)絡(luò)設(shè)備有關(guān)的數(shù)據(jù)包才能夠使用該端口進(jìn)行傳遞。通過MAC地址過濾技術(shù)可以保證授權(quán)的MAC地址才能對網(wǎng)絡(luò)資源進(jìn)行訪問。 基于MAC地址訪問控制不需要額外的客戶端軟件,當(dāng)一個客戶端連接到交換機(jī)上會自動地進(jìn)行認(rèn)證過程?;贛AC地址訪問控制功能允許用戶配置一張MAC 地址表,交換機(jī)可以通過存儲在交換機(jī)內(nèi)部或者遠(yuǎn)端認(rèn)證服務(wù)器上面的MAC地址列表來控制合法或者非法的用戶問。
8. NAT技術(shù)
NAT技術(shù)能幫助解決令人頭痛的IP地址緊缺的問題,而且能使得內(nèi)外網(wǎng)絡(luò)隔離,提供一定的網(wǎng)絡(luò)安全保障。它解決問題的辦法是:在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址,通過NAT把內(nèi)部地址翻譯成合法的IP地址在Internet上使用,其具體的做法是把IP包內(nèi)的地址域用合法的IP地址來替換。NAT設(shè)備維護(hù)一個狀態(tài)表,用來把非法的IP地址映射到合法的IP地址上去。每個包在NAT設(shè)備中都被翻譯成正確的IP地址,發(fā)往下一級,這意味著給處理器帶來了一定的負(fù)擔(dān)。但對于一般的網(wǎng)絡(luò)來說,這種負(fù)擔(dān)是微不足道的。
動態(tài)地址NAT只是轉(zhuǎn)換IP地址,它為每一個內(nèi)部的IP地址分配一個臨時的外部IP地址,主要應(yīng)用于撥號,對于頻繁的遠(yuǎn)程聯(lián)接也可以采用動態(tài)NAT。當(dāng)遠(yuǎn)程用戶聯(lián)接上之后,動態(tài)地址NAT就會分配給他一個IP地址,用戶斷開時,這個IP地址就會被釋放而留待以后使用。
9. GRE協(xié)議
GRE(通用路由封裝)協(xié)議是對某些網(wǎng)絡(luò)層協(xié)議(如IP何IPX)的數(shù)據(jù)報文進(jìn)行封裝,使這些被封裝的數(shù)據(jù)報文能在另一個網(wǎng)絡(luò)層協(xié)議(如IP)中傳輸。GRE的隧道由兩端的源IP地址和目的IP地址來定義,允許用戶使用IP包封裝IP、IPX、AppleTalk包,并支持全部的路由協(xié)議(如RIP2、OSPF等)。通過GRE,用戶可以利用公共IP網(wǎng)絡(luò)連接IPX網(wǎng)絡(luò)、AppleTalk網(wǎng)絡(luò),還可以使用保留地址進(jìn)行網(wǎng)絡(luò)互連,或者對公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。
Tunnel是一個虛擬的點(diǎn)對點(diǎn)的連接,提供了一條通路是封裝的數(shù)據(jù)報文能夠在這個通路上傳輸,并且在一個Tunnel中傳輸必須要經(jīng)過封裝與解封裝兩個過程。
10. Telnet協(xié)議
Telnet協(xié)議是TCP/IP協(xié)議族中的一員,是Internet遠(yuǎn)程登陸服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式。它為用戶提供了在本地計算機(jī)上完成遠(yuǎn)程主機(jī)工作的能力。在終端使用者的電腦上使用telnet程序,用它連接到服務(wù)器。終端使用者可以在telnet程序中輸入命令,這些命令會在服務(wù)器上運(yùn)行,就像直接在服務(wù)器的控制臺上輸入一樣。可以在本地就能控制服務(wù)器。要開始一個telnet會話,必須輸入用戶名和密碼來登錄服務(wù)器。Telnet提供遠(yuǎn)程登錄功能,使得用戶在本地主機(jī)上運(yùn)行Telnet客戶端,就可登錄到遠(yuǎn)端的Telnet服務(wù)器。在本地輸入的命令可以在服務(wù)器上運(yùn)行,服務(wù)器把結(jié)果返回到本地,如同直接在服務(wù)器控制臺上操作,這樣就可以在本地遠(yuǎn)程操作和控制服務(wù)器。
11. SSH
SSH是Secure Shell(安全外殼)的簡稱。用戶通過一個不能保證安全的網(wǎng)絡(luò)環(huán)境遠(yuǎn)程登錄到設(shè)備時,SSH可以利用加密和強(qiáng)大的認(rèn)證功能提供安全保障,保護(hù)設(shè)備不受諸如IP地址欺詐、明文密碼截取等攻擊。設(shè)備支持SSH服務(wù)器功能,可以接受多個SSH客戶端的連接。同時,設(shè)備還支持SSH客戶端功能,允許用戶與支持SSH服務(wù)器功能的設(shè)備建立SSH連接,從而實(shí)現(xiàn)從本地設(shè)備通過SSH登錄到遠(yuǎn)程設(shè)備上。
12. IPSec協(xié)議
“Internet 協(xié)議安全性 (IPSec)”是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu),通過使用加密的安全服務(wù)以確保在 Internet 協(xié)議 (IP) 網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊。AH和ESP協(xié)議在操作系統(tǒng)內(nèi)核模塊,用于對IP包的過濾。IKE是運(yùn)行在外部的守護(hù)程序。PF_KEY實(shí)現(xiàn)了外部運(yùn)行程序與內(nèi)核間的通信。對于AH和ESP,都有兩種操作模式: 隧道模式和傳輸模式?!煞N模式的區(qū)別是: 隧道模式將整個IP分組封裝到AH/ESP中,而傳輸模式將上層協(xié)議(如TCP)部分封裝到AH/ESP中。IKE協(xié)議用于協(xié)商AH和ESP協(xié)議所使用的密碼算法,并將算法所需的密鑰放在合適的位置。
13. DHCP協(xié)議
DHCP協(xié)議采用客戶端/服務(wù)器模型,主機(jī)地址的動態(tài)分配任務(wù)由網(wǎng)絡(luò)主機(jī)驅(qū)動。當(dāng)DHCP服務(wù)器接收到來自網(wǎng)絡(luò)主機(jī)申請地址的信息時,才會向網(wǎng)絡(luò)主機(jī)發(fā)送相關(guān)的地址配置等信息,以實(shí)現(xiàn)網(wǎng)絡(luò)主機(jī)地址信息的動態(tài)配置。
DHCP具有以下功能:
1. 保證任何IP地址在同一時刻只能由一臺DHCP客戶機(jī)所使用。
2. DHCP應(yīng)當(dāng)可以給用戶分配永久固定的IP地址。
3. DHCP應(yīng)可以同用其他方法獲得IP地址的主機(jī)共存(如手工配置IP地址的主機(jī))。
4. DHCP服務(wù)器應(yīng)當(dāng)向現(xiàn)有的BOOTP客戶端提供服務(wù)。
四、實(shí)習(xí)內(nèi)容
(一)2個交換機(jī)配置VLAN
1. 拓?fù)鋱D
2. 配置文件(相關(guān)命令)
#分別對交換機(jī)1/2進(jìn)行VLAN劃分及端口配置
system-view
System View: return to User View with Ctrl+Z.
[H3C]sysname s1
[s1]vlan 31
[s1-vlan31]quit
[s1]vlan 34
[s1-vlan34]quit
[s1]interface GigabitEthernet 1/0/1
[s1-GigabitEthernet1/0/1]port link-type trunk
[s1-GigabitEthernet1/0/1]port trunk permit vlan all
[s1-GigabitEthernet1/0/1]quit
[s1]interface GigabitEthernet 1/0/2
[s1- GigabitEthernet1/0/2]port access vlan 31
[s1- GigabitEthernet1/0/2]quit
[s1]interface GigabitEthernet 1/0/3
[s1- GigabitEthernet1/0/3]port access vlan 34
[s1- GigabitEthernet1/0/3]quit
[s1]quit
save
system-view
System View: return to User View with Ctrl+Z.
[H3C]sysname s2
[s2]vlan 31
[s2-vlan31]quit
[s2]vlan 34
[s2-Vlan34]quit
[s2]interface GigabitEthernet 1/0/1
[s2- GigabitEthernet1/0/1]port link-type trunk
[s2- GigabitEthernet1/0/1]port trunk permit vlan all
[s2- GigabitEthernet1/0/1]quit
[sh2]interface GigabitEthernet 1/0/2
[s2- GigabitEthernet1/0/2]port access vlan 31
[sh2- GigabitEthernet1/0/2]quit
[s2]interface GigabitEthernet 1/0/3
[s2- GigabitEthernet1/0/3]port access vlan 34
[s2- GigabitEthernet1/0/3]quit
[s2]quit
save
3. 測試結(jié)果
IP地址為192.168.0.65的主機(jī)當(dāng)處在VLAN31中,與同處在VLAN31中的主機(jī)192.168.0.59可以ping通;而當(dāng)其改換接入端口,處在VLAN34中時,則無法與主機(jī)192.168.0.59 ping通。
(二)靜態(tài)路由
1. 拓?fù)鋱D
2. 配置文件(相關(guān)命令)
#配置路由器r1的ip地址
system-view
[H3C]sysname r1
[r1]interface Ethernet 0/0
[r1-Ethernet0/0]ip add 192.168.0.1 255.255.255.0
[r1-Ethernet0/0]quit
[r1]interface Ethernet 0/1
[r1-Ethernet0/0]ip add 192.168.1.2 255.255.255.0
[r1-Ethernet0/0]quit
#配置路由器r2的ip地址
system-view
[H3C]sysname r2
[r2]interface Ethernet 0/0
[r2-Ethernet0/0]ip add 192.168.1.3 255.255.255.0
[r2-Ethernet0/0]quit
[r2]interface Ethernet 0/1
[r2-Ethernet0/0]ip add 192.168.2.1 255.255.255.0
[r2-Ethernet0/0]quit
#配置靜態(tài)路由
#在Router 1上配置靜態(tài)路由
system-view
[r1] ip route-static 192.168.2.0 255.255.255.0 192.168.1.3
[r1]quit
save
#在Router 2上配置靜態(tài)路由
system-view
[r2] ip route-static 192.168.0.0 255.255.255.0 192.168.1.2
[r2]quit
save
3. 下發(fā)結(jié)果
(1)顯示路由器r1的路由表
(2)顯示路由器r2的路由表
4. 測試結(jié)果
在ip地址為192.168.2.3的主機(jī)上輸入如下命令。
結(jié)果為兩個主機(jī)可以ping通
(三)2個路由器里做RIP協(xié)議
1. 拓?fù)鋱D
2. 配置文件
(1)路由器各端口地址配置同“靜態(tài)路由”
(2)配置r1的RIP功能
#進(jìn)入系統(tǒng)視圖,啟動RIP功能
system-view
[r1] rip
#在互聯(lián)網(wǎng)接口上使能RIP。
[r1-rip-1]network 192.168.1.0
#RIP中發(fā)布本地路由網(wǎng)段。
[r1-rip-1]network 192.168.0.0
[r1-rip-1]quit
[r1]quit
save
(3)配置r2的RIP功能
#進(jìn)入系統(tǒng)視圖,啟動RIP功能
system-view
[r2] rip
#在互聯(lián)網(wǎng)接口上使能RIP。
[r2-rip-1]network 192.168.1.0
#RIP中發(fā)布本地路由網(wǎng)段。
[r2-rip-1]network 192.168.2.0
[r2-rip-1]quit
[r2]quit
save
3. 下發(fā)結(jié)果
(1)顯示路由器r1的路由表
(2)顯示路由器r2的路由表
4. 測試結(jié)果
在ip地址為192.168.2.3的主機(jī)上輸入如下命令。
結(jié)果為兩個主機(jī)可以ping通
(四)2個路由器里做OSPF協(xié)議
1. 拓?fù)鋱D
2. 配置文件
(1) 配置各接口的IP地址(同上)
(2)配置r1
#在r1上啟動OSPF進(jìn)程,默認(rèn)進(jìn)程ID為1.
system-view
[r1] ospf
[r1-ospf-1]area1
[r1-ospf-1-area-0.0.0.1]network 192.168.0.0 0.0.0.255
[r1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[r1-ospf-1-area-0.0.0.0]quit
(3)配置r2
#在r2上啟動OSPF進(jìn)程,默認(rèn)進(jìn)程ID為1.
system-view
[r2] ospf
[r2-ospf-1]area1
[r2-ospf-1-area-0.0.0.1]network 192.168.2.0 0.0.0.255
[r2-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[r2-ospf-1-area-0.0.0.0]quit
3. 下發(fā)結(jié)果
(1)查看r2 的OSPF路由表
4. 測試結(jié)果
在ip地址為192.168.2.3的主機(jī)上輸入如下命令。
結(jié)果為兩個主機(jī)可以ping通
(五)單臂路由
1. 拓?fù)鋱D
2. 配置文件
#對交換機(jī)Switch1/2分別進(jìn)行接口配置
sysname s1
vlan 31
quit
vlan 34
quit
#配置access端口
interface Ethernet 1/0/1
port access vlan 31
quit
interface Ethernet 1/0/2
port access vlan 34
quit
#配置trunk端口
interface Ethernet 1/0/3
port link-type trunk
port trunk permit vlan all
quit
quit
save
#對router1進(jìn)行端口配置
interface Ethernet 0/0.1
vlan-type dot1q vid 31
ip add 192.168.31.1 24
interface Ethernet 0/0.2
vlan-type dot1q vid 34
ip add 192.168.34.1 24
interface Ethernet 0/0
undo shutdown
interface Ethernet 0/1
ip add 192.168.59.2 24
quit
#設(shè)置rip路由
rip
network 192.168.31.0
network 192.168.34.0
network 192.168.59.0
quit
quit
save
#對router2進(jìn)行端口配置
interface Ethernet 0/0.1
vlan-type dot1q vid 31
ip add 192.168.65.1 24
interface Ethernet 0/0.2
vlan-type dot1q vid 34
ip add 192.168.60.1 24
interface Ethernet 0/0
undo shutdown
interface Ethernet 0/1
ip add 192.168.59.3 24
quit
#設(shè)置rip路由
rip
network 192.168.65.0
network 192.168.60.0
network 192.168.59.0
quit
quit
save
3. 測試結(jié)果
在ip地址為192.168.65.2的主機(jī)上輸入如下命令。
結(jié)果為兩個主機(jī)可以ping通
ip為192.168.60.2的主機(jī)無法與ip為192.168.31.2的主機(jī)ping通
同樣,ip為192.168.65.2的主機(jī)無法與ip為192.168.34.2的主機(jī)ping通
(六)ACL訪問控制列表
1. 拓?fù)鋱D
2. 配置文件
acl number 2100
rule deny ip source 192.168.31.0 0.0.0.255
quit
interface Ethernet 0/1
firewall packet-filter 2100 inbound
quit
quit
save
3. 下發(fā)結(jié)果
(1)查看訪問控制列表
4. 測試結(jié)果
(七)NAT的訪問控制的設(shè)置
1. 拓?fù)鋱D
2. 配置文件
[r1]nat address-group 1 192.168.59.5 192.168.59.10
[r1]acl number 2723
[r1-acl-basic-2723]rule permit source 192.168.31.0 0.0.0.255
[r1-acl-basic-2723]rule deny
[r1-acl-basic-2723]quit
[r1]interface Ethernet 0/1
[r1-Ethernet0/1]nat outbound 2723 address-group 1
[r1-Ethernet0/1]quit
[r1]quit
save
3. 測試結(jié)果
(1)內(nèi)網(wǎng)能ping通外網(wǎng)
(2)外網(wǎng)ping不通內(nèi)網(wǎng)
(八)GRE的訪問控制的設(shè)置
1. 拓?fù)鋱D
2. 配置文件
[r1]interface tunnel 1
[r1-Tunnel1]undo shutdown
[r1-Tunnel1]ip add 192.168.39.1 24
[r1-Tunnel1]sourse 192.168.59.2
[r1-Tunnel1]destination 192.168.59.3
[r1-Tunnel1]quit
[r1]ip route 192.168.65.0 255.255.255.0 tunnel 1
[r1]quit
save
[r2]interface tunnel 1
[r2-Tunnel1]undo shutdown
[r2-Tunnel1]ip add 192.168.39.2 24
[r2-Tunnel1]sourse 192.168.59.3
[r2-Tunnel1]destination 192.168.59.2
[r2-Tunnel1]quit
[r2]ip route 192.168.31.0 255.255.255.0 tunnel 1
[r2]quit
save
3. 下發(fā)結(jié)果
(1)查看隧道狀態(tài)
(2)顯示路由表
4. 測試結(jié)果
(九)TELNET 訪問控制的設(shè)置
1. 拓?fù)鋱D
2. 配置文件
#設(shè)置登錄用戶的認(rèn)證方式為Scheme,采用本地認(rèn)證方式
[r1]local-user new
#設(shè)置本地用戶的認(rèn)證方式口令為明文方式
[r1-luser-new]password simple 123456
#設(shè)置vty用戶的服務(wù)類型為telnet服務(wù)
[r1-luser-new]service-type telnet
#設(shè)置本地用戶的登錄級別為3
[r1-luser-new]authorization-attribute level 3
[r1-luser-new]quit
#進(jìn)入vty用戶界面視圖
[r1]user-interface vty 0 4
[r1-ui-vty0-4]authentication-mode scheme
[r1-ui-vty0-4]quit
[r1]quit
3. 測試結(jié)果
利用dos命令進(jìn)行測試,telnet登錄成功;并且可以在主機(jī)上利用dis cur命令對路由器r1進(jìn)行配置查看。
(十)DHCP訪問控制的設(shè)置
1. 拓?fù)鋱D
2. 配置文件
[r2]dhcp sever forbidden-ip 192.168.65.1
[r2]dhcp sever forbidden-ip 192.168.65.100
#創(chuàng)建DHCP地址池
[r2]dhcp sever ip-pool OA
#指定可以分配的地址段
[r2-dhcp-pool-oa]network 192.168.65.0 mask 255.255.255.0
#指定域名
[r2-dhcp-pool-oa]domain-name h3c.com
#指定DNS域名服務(wù)器地址
[r2-dhcp-pool-oa]dns-list 192.168.65.100
#指定網(wǎng)關(guān)
[r2-dhcp-pool-oa]gateway-list 192.168.65.1
#DHCP租期時間設(shè)置
[r2-dhcp-pool-oa]expired day 1 hour 12
[r2-dhcp-pool-oa]quit
[r2]interface Ethernet 0/0
[r2-Ethernet0/0]dhcp select sever global-pool
[r2-Ethernet0/0]quit
[r2]dhcp enable
[r2]dhcp sever detect
3. 下發(fā)結(jié)果
(1)查看DHCPIP地址分配情況
(2)從dos command界面中也可以查看到DHCP
已啟用,自動分配給主機(jī)的IP地址為:192.168.65.2
(十一)基于MAC地址的訪問控制的設(shè)置
1. 拓?fù)鋱D
2. 配置文件
##對交換機(jī)S1進(jìn)行接口配置
sysname s1
vlan 31
quit
vlan 34
quit
#配置access端口
interface Ethernet 1/0/1
port access vlan 31
quit
interface Ethernet 1/0/2
port access vlan 34
quit
#配置trunk端口
interface Ethernet 1/0/3
port link-type trunk
port trunk permit vlan all
quit
quit
save
##對router1進(jìn)行端口配置
interface Ethernet 0/0.1
vlan-type dot1q vid 31
ip add 192.168.31.1 24
interface Ethernet 0/0.2
vlan-type dot1q vid 34
ip add 192.168.34.1 24
interface Ethernet 0/0
undo shutdown
interface Ethernet 0/1
ip add 192.168.59.2 24
##基于MAC地址的訪問控制的配置
#創(chuàng)建二級acl訪問控制列表
[s1]acl number 4023
System View: return to User View with Ctr1+Z.
[s1-acl-ethernetframe-4023]rule permit source-mac 6400-6A03-AE33 ffff-ffff-ffff
[s1-acl-ethernetframe-4023]rule deny source-mac 6400-6A04-5033 ffff-ffff-ffff
[s1-acl-ethernetframe-4023]quit
#對交換機(jī)端口進(jìn)行包過濾配置
[s1]interface GigabitEthernet 1/0/1
[s1-GigabitEthernet1/0/1] packet-filter 4023 inbound
[s1-GigabitEthernet1/0/1]quit
[s1]interface GigabitEthernet 1/0/2
[s1-GigabitEthernet1/0/2] packet-filter 4023 inbound
[s1-GigabitEthernet1/0/2]quit
3. 下發(fā)結(jié)果
4. 測試結(jié)果
由于acl訪問控制的存在,PC1可以與PC3ping通,而PC2不能與PC3ping通。
(1)PING通截圖
(2)Ping不通截圖
(十二)SSH用戶的本地認(rèn)證和授權(quán)配置
1. 拓?fù)鋱D
2. 配置文件
#在H3C設(shè)備上生成本地RSA密鑰對
[r1]public-key local creat rsa
Warning: The local key pair already exist.
Confirm to replace them? [Y/N]:y
The range of public key s1ze is (512~2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Press CTR1+C to abort.
Input the bits of the modulus[default = 1024]:
Generating Keys...
+++++++++++
+++++++++++
+++
+++++++
#在H3C設(shè)備上生成本地DSA密鑰對
[r1]public-key local creat dsa
Warning: The local key pair already exist.
Confirm to replace them? [Y/N]:y
The range of public key s1ze is (512~2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Press CTR1+C to abort.
Input the bits of the modulus[default = 1024]:
Generating Keys...
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
[r1]user-interface vty 0 4
[r1-ui-vty0-4]authentication-mode scheme
#設(shè)置在用戶界面支持SSH協(xié)議
[r1-ui-vty0-4]protocol inbound ssh
[r1-ui-vty0-4]quit
[r1]local-user h3c
New local user added.
[r1-luser-h3c]password simple 123456
#設(shè)置本地用戶的服務(wù)類型
[r1-luser-h3c]service-type ssh
[r1-luser-h3c]authorization-attribute level 3
[r1-luser-h3c]quit
#建立SSH用戶,并設(shè)置SSH用戶的認(rèn)證方式
[r1]ssh user h3c service-type stelnet authentication-type password
#激活r1作為SSH的服務(wù)器端
[r1]ssh server enable
Info: Enable SSH server.
[r1]quit
save
3. 下發(fā)結(jié)果
4. 測試結(jié)果
利用putty軟件進(jìn)行了SSH遠(yuǎn)程登錄測試,測試結(jié)果如下:
(1)遠(yuǎn)程鏈接截圖
(2)登錄成功截圖
(十三)基于IPSec訪問控制的設(shè)置
1. 拓?fù)鋱D
2. 配置文件
#配置路由器r1
[r1]acl number 3101
[r1-acl-adv-3101]rule permit ip source 192.168.31.0 0.0.0.255 destination 192.168.65.0 0.0.0.255
[r1-acl-adv-3101]quit
#配置到PC2的靜態(tài)路由
[r1]ip route-static 192.168.65.0 24
#創(chuàng)建安全提議
[r1]ipsec proposal tran1
#報文封裝形式采用隧道模式
[r1-ipsec-proposal-tranl]encapsulation-mode tunnel
#安全協(xié)議采用ESP協(xié)議
[r1-ipsec-proposal-tranl]transform esp
#選擇算法
[r1-ipsec-proposal-tranl]esp encryption-algorithm des
[r1-ipsec-proposal-tranl]esp authentication-algorithm sha1
[r1-ipsec-proposal-tranl]quit
#配置IKE對等體
[r1]ike peer peer
[r1-ike-peer-peer]pre-shared-key abcde
[r1-ike-peer-peer]remote-address 192.168.59.3
[r1-ike-peer-peer]quit
#創(chuàng)建一條安全策略
[r1]ipsec policy mapl 10 isakmp
#引用訪問控制列表、安全提議、IKE對等體
[r1-ipsec-policy-isakmp-mapl-10]proposal tran1
[r1-ipsec-policy-isakmp-mapl-10]security acl 3101
[r1-ipsec-policy-isakmp-mapl-10]ike-peer peer
[r1-ipsec-policy-isakmp-mapl-10]quit
[r1]interface Ethernet 0/1
[r1-Ethernet0/1]ipsec policy map1
[r1-Ethernet0/1]quit
[r1]quit
#配置路由器r2
[r2]acl number 3101
[r2-acl-adv-3101]rule permit ip source 192.168.65.0 0.0.0.255 destination 192.168.31.0 0.0. 0.255
[r2-acl-adv-3101]quit
[r2]ip route-static 192.168.31.0 24
[r2]ipsec proposal tran1
[r2-ipsec-proposal~tranl]encapsulation-mode tunnel
[r2-ipsec-proposal~tranl]transform esp
[r2-ipsec-proposal~tranl]esp encryption-algorithm des
[r2-ipsec-proposal~tranl]esp authentication-algorithm sha1
[r2-ipsec-proposal~tranl]quit
[r2]ike peer peer
[r2~ike-peer-peer]pre-shared-key abcde
[r2~ike-peer-peer]remote-address 192.168.59.2
[r2~ike-peer-peer]quit
[r2]ipsec policy usel 10 isakmp
[r2-ipsec-policy-isakmp-usel-10]security acl 3101
[r2-ipsec-policy-isakmp-use1~10]proposal tran1
[r2-ipsec-policy-isakmp-usel-10]ike-peer peer
[r2-ipsec-policy-isakmp-usel-10]quit
[r2]interface Ethernet 0/1
[r2-Ethernet0/1]ipsec policy use1
[r2-Ethernet0/l]quit
[r2]quit
save
3. 下發(fā)結(jié)果
4. 測試結(jié)果
五、經(jīng)驗(yàn)總結(jié)
在這次實(shí)習(xí)過程中,我們遇到過很多問題,通過詢問老師、小組討論以及查閱資料,我們將一個個問題攻克,得到了最終的正確結(jié)果。與此同時,這些問題的解決也為我們積攢了寶貴的實(shí)踐經(jīng)驗(yàn),對我們來說非常有意義?,F(xiàn)將問題經(jīng)驗(yàn)總結(jié)如下:
l 實(shí)習(xí)中應(yīng)當(dāng)注意由于網(wǎng)線接觸不良等硬件設(shè)備問題而導(dǎo)致的主機(jī)ping不通。
l 完成幾個配置之后就要對路由器進(jìn)行清除和重啟,以方便后續(xù)配置。
l Win7系統(tǒng)下默認(rèn)關(guān)閉Telnet客戶端和Telnet服務(wù)器功能,應(yīng)將功能打開才能在DOS command中使用 “telnet”命令。
l 在NAT訪問控制設(shè)置中,出現(xiàn)錯誤結(jié)果:外網(wǎng)與內(nèi)網(wǎng)皆能互通。查其原因:路由表中存在rip路由未被刪除。
l 在NAT等協(xié)議的訪問控制中,設(shè)備連接發(fā)生改變,而PC機(jī)的IP地址沒有更改,導(dǎo)致PC機(jī)的網(wǎng)關(guān)地址錯誤,從而ping不通鏈路。
l 在配置好IPSec協(xié)議后要分別給兩個路由器配置路由,鏈路才能ping通,否則是ping不通的。
l 檢測SSH用戶的本地認(rèn)證和授權(quán)時,要通過一個軟件putty來完成。鏈接時,應(yīng)遠(yuǎn)程鏈接到路由器的端口IP地址,而非遠(yuǎn)程主機(jī)的IP地址上。
鏈接地址:http://m.appdesigncorp.com/p-10141544.html