西安電子科技大學(xué)2016年校內(nèi)生產(chǎn)實(shí)習(xí)分組數(shù)據(jù)網(wǎng)絡(luò)實(shí)習(xí)報(bào)告學(xué)院：通信工程學(xué)院班級(jí)： 姓名： 學(xué)號(hào)：組號(hào)：目錄一、實(shí)習(xí)目的3二、實(shí)習(xí)設(shè)備3三、基本原理3四、實(shí)習(xí)內(nèi)容7（一）2個(gè)交換機(jī)配置VLAN7（二）靜態(tài)路由10（三）2個(gè)路由器里做RIP協(xié)議13（四）2個(gè)路由器里做OSPF協(xié)議15（五）單臂路由17（六）ACL訪問(wèn)控制列表20（七）NAT的訪問(wèn)控制的設(shè)置22（八）GRE的訪問(wèn)控制的設(shè)置23（九）TELNET 訪問(wèn)控制的設(shè)置25（十）DHCP訪問(wèn)控制的設(shè)置27（十一）基于MAC地址的訪問(wèn)控制的設(shè)置29（十二）SSH用戶的本地認(rèn)證和授權(quán)配置32（十三）基于IPSec訪問(wèn)控制的設(shè)置36五、經(jīng)驗(yàn)總結(jié)39六、心得體會(huì)40一、實(shí)習(xí)目的l 掌握路由器和交換機(jī)的基本原理l 掌握目前網(wǎng)絡(luò)中常用的路由協(xié)議l 學(xué)會(huì)使用Packet tracer進(jìn)行網(wǎng)絡(luò)設(shè)置和規(guī)劃的仿真l 學(xué)會(huì)使用路由器和交換機(jī)二、實(shí)習(xí)設(shè)備l 2臺(tái)具有2個(gè)以上10/100Mbit/s以太網(wǎng)接口的路由器l 2臺(tái)H3C交換機(jī)l 2-3臺(tái)以及Console電纜l 多條雙絞線跳線三、基本原理 1. VLANVLAN的中文名稱為“虛擬局域網(wǎng)” ，是一種將在同一個(gè)局域網(wǎng)的局域網(wǎng)計(jì)算機(jī)從邏輯上劃分成一個(gè)獨(dú)立網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。VLAN技術(shù)的出現(xiàn)，使得管理員根據(jù)實(shí)際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域，每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站沒(méi)有限制在同一個(gè)物理范圍中，即這些工作站可以在不同物理LAN網(wǎng)段。由VLAN的特點(diǎn)可知，一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。2. 靜態(tài)路由靜態(tài)路由是指由網(wǎng)絡(luò)管理員手工配置的路由信息。當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)或鏈路的狀態(tài)發(fā)生變化時(shí)，網(wǎng)絡(luò)管理員需要手工去修改路由表中相關(guān)的靜態(tài)路由信息。一般來(lái)說(shuō)靜態(tài)路由信息是私有的，不會(huì)傳遞給其他的路由器。當(dāng)然，網(wǎng)管員也可以通過(guò)對(duì)路由器進(jìn)行設(shè)置使之成為共享的。靜態(tài)路由一般適用于比較簡(jiǎn)單的網(wǎng)絡(luò)環(huán)境，在這樣的環(huán)境中，網(wǎng)絡(luò)管理員易于清楚地了解網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，便于設(shè)置正確的路由信息。3. RIP協(xié)議原理路由信息協(xié)議（RIP）是一種在網(wǎng)關(guān)與主機(jī)之間交換路由選擇信息的標(biāo)準(zhǔn)。RIP通過(guò)廣播UDP報(bào)文來(lái)交換路由信息，每30秒發(fā)送一次路由信息更新。它提供跳躍計(jì)數(shù)(hop count)作為尺度來(lái)衡量路由距離，跳躍計(jì)數(shù)是一個(gè)包到達(dá)目標(biāo)所必須經(jīng)過(guò)的路由器的數(shù)目。如果到相同目標(biāo)有二個(gè)不等速或不同帶寬的路由器，但跳躍計(jì)數(shù)相同，則RIP認(rèn)為兩個(gè)路由是等距離的。RIP最多支持的跳數(shù)為15，即在源和目的網(wǎng)間所要經(jīng)過(guò)的最多路由器的數(shù)目為15，跳數(shù)16表示不可達(dá)。4. OSPF協(xié)議OSPF（Open Shortest Path First，開(kāi)放式最短路徑優(yōu)先）協(xié)議，是目前網(wǎng)絡(luò)中應(yīng)用最廣泛的路由協(xié)議之一。屬于內(nèi)部網(wǎng)關(guān)路由協(xié)議，能夠適應(yīng)各種規(guī)模的網(wǎng)絡(luò)環(huán)境，是典型的鏈路狀態(tài)（link-state）協(xié)議。OSPF 路由協(xié)議通過(guò)向全網(wǎng)擴(kuò)散本設(shè)備的鏈路狀態(tài)信息，使網(wǎng)絡(luò)中每臺(tái)設(shè)備最終同步一個(gè)具有全網(wǎng)鏈路狀態(tài)的數(shù)據(jù)庫(kù)（LSDB），然后路由器采用 SPF 算法，以自己為根，計(jì)算到達(dá)其他網(wǎng)絡(luò)的最短路徑，最終形成全網(wǎng)路由信息。在大模型的網(wǎng)絡(luò)環(huán)境中，OSPF 支持區(qū)域的劃分，將網(wǎng)絡(luò)進(jìn)行合理規(guī)劃。劃分區(qū)域時(shí)必須存在 area0（骨干區(qū)域）。其他區(qū)域和骨干區(qū)域直接相連，或通過(guò)虛鏈路的方式連接。5. 單臂路由單臂路由(router-on-a-stick)是指在路由器的一個(gè)接口上通過(guò)配置子接口(或“邏輯接口”，并不存在真正物理接口)的方式，實(shí)現(xiàn)原來(lái)相互隔離的不同VLAN(虛擬局域網(wǎng))之間的互聯(lián)互通。所謂子接口，就是在一個(gè)物理接口上配置出來(lái)的多個(gè)邏輯上的虛接口。這些虛接口共用物理接口的物理層參數(shù)，又可以分別配置各自的鏈路層和網(wǎng)絡(luò)層的參數(shù)。因?yàn)檫@樣的多個(gè)虛接口可以對(duì)應(yīng)一個(gè)物理接口，故常被稱為“子接口”。6. ACL訪問(wèn)控制列表訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問(wèn)控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。訪問(wèn)控制列表（Access Control Lists,ACL）是應(yīng)用在路由器接口的指令列表。這些指令列表用來(lái)告訴路由器哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號(hào)等的特定指示條件來(lái)決定。7. MAC地址MAC地址是網(wǎng)絡(luò)設(shè)備在全球的唯一編號(hào)，它也就是我們通常所說(shuō)的:物理地址、硬件地址、適配器地址或網(wǎng)卡地址。MAC地址可用于直接標(biāo)識(shí)某個(gè)網(wǎng)絡(luò)設(shè)備，是目前網(wǎng)絡(luò)數(shù)據(jù)交換的基礎(chǔ)。 現(xiàn)在大多數(shù)的高端交換機(jī)都可以支持基于物理端口配置MAC地址過(guò)濾表，用于限定只有與MAC地址過(guò)濾表中規(guī)定的一些網(wǎng)絡(luò)設(shè)備有關(guān)的數(shù)據(jù)包才能夠使用該端口進(jìn)行傳遞。通過(guò)MAC地址過(guò)濾技術(shù)可以保證授權(quán)的MAC地址才能對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問(wèn)。 基于MAC地址訪問(wèn)控制不需要額外的客戶端軟件，當(dāng)一個(gè)客戶端連接到交換機(jī)上會(huì)自動(dòng)地進(jìn)行認(rèn)證過(guò)程?；贛AC地址訪問(wèn)控制功能允許用戶配置一張MAC 地址表，交換機(jī)可以通過(guò)存儲(chǔ)在交換機(jī)內(nèi)部或者遠(yuǎn)端認(rèn)證服務(wù)器上面的MAC地址列表來(lái)控制合法或者非法的用戶問(wèn)。8. NAT技術(shù)NAT技術(shù)能幫助解決令人頭痛的IP地址緊缺的問(wèn)題，而且能使得內(nèi)外網(wǎng)絡(luò)隔離，提供一定的網(wǎng)絡(luò)安全保障。它解決問(wèn)題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過(guò)NAT把內(nèi)部地址翻譯成合法的IP地址在Internet上使用，其具體的做法是把IP包內(nèi)的地址域用合法的IP地址來(lái)替換。NAT設(shè)備維護(hù)一個(gè)狀態(tài)表，用來(lái)把非法的IP地址映射到合法的IP地址上去。每個(gè)包在NAT設(shè)備中都被翻譯成正確的IP地址，發(fā)往下一級(jí)，這意味著給處理器帶來(lái)了一定的負(fù)擔(dān)。但對(duì)于一般的網(wǎng)絡(luò)來(lái)說(shuō)，這種負(fù)擔(dān)是微不足道的。動(dòng)態(tài)地址NAT只是轉(zhuǎn)換IP地址，它為每一個(gè)內(nèi)部的IP地址分配一個(gè)臨時(shí)的外部IP地址，主要應(yīng)用于撥號(hào)，對(duì)于頻繁的遠(yuǎn)程聯(lián)接也可以采用動(dòng)態(tài)NAT。當(dāng)遠(yuǎn)程用戶聯(lián)接上之后，動(dòng)態(tài)地址NAT就會(huì)分配給他一個(gè)IP地址，用戶斷開(kāi)時(shí)，這個(gè)IP地址就會(huì)被釋放而留待以后使用。9. GRE協(xié)議GRE(通用路由封裝）協(xié)議是對(duì)某些網(wǎng)絡(luò)層協(xié)議(如IP何IPX)的數(shù)據(jù)報(bào)文進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報(bào)文能在另一個(gè)網(wǎng)絡(luò)層協(xié)議（如IP）中傳輸。GRE的隧道由兩端的源IP地址和目的IP地址來(lái)定義，允許用戶使用IP包封裝IP、IPX、AppleTalk包，并支持全部的路由協(xié)議（如RIP2、OSPF等）。通過(guò)GRE，用戶可以利用公共IP網(wǎng)絡(luò)連接IPX網(wǎng)絡(luò)、AppleTalk網(wǎng)絡(luò)，還可以使用保留地址進(jìn)行網(wǎng)絡(luò)互連，或者對(duì)公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。 Tunnel是一個(gè)虛擬的點(diǎn)對(duì)點(diǎn)的連接，提供了一條通路是封裝的數(shù)據(jù)報(bào)文能夠在這個(gè)通路上傳輸，并且在一個(gè)Tunnel中傳輸必須要經(jīng)過(guò)封裝與解封裝兩個(gè)過(guò)程。10. Telnet協(xié)議Telnet協(xié)議是TCP/IP協(xié)議族中的一員，是Internet遠(yuǎn)程登陸服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式。它為用戶提供了在本地計(jì)算機(jī)上完成遠(yuǎn)程主機(jī)工作的能力。在終端使用者的電腦上使用telnet程序，用它連接到服務(wù)器。終端使用者可以在telnet程序中輸入命令，這些命令會(huì)在服務(wù)器上運(yùn)行，就像直接在服務(wù)器的控制臺(tái)上輸入一樣?？梢栽诒镜鼐湍芸刂品?wù)器。要開(kāi)始一個(gè)telnet會(huì)話，必須輸入用戶名和密碼來(lái)登錄服務(wù)器。Telnet提供遠(yuǎn)程登錄功能，使得用戶在本地主機(jī)上運(yùn)行Telnet客戶端，就可登錄到遠(yuǎn)端的Telnet服務(wù)器。在本地輸入的命令可以在服務(wù)器上運(yùn)行，服務(wù)器把結(jié)果返回到本地，如同直接在服務(wù)器控制臺(tái)上操作，這樣就可以在本地遠(yuǎn)程操作和控制服務(wù)器。11. SSHSSH是Secure Shell（安全外殼）的簡(jiǎn)稱。用戶通過(guò)一個(gè)不能保證安全的網(wǎng)絡(luò)環(huán)境遠(yuǎn)程登錄到設(shè)備時(shí)，SSH可以利用加密和強(qiáng)大的認(rèn)證功能提供安全保障，保護(hù)設(shè)備不受諸如IP地址欺詐、明文密碼截取等攻擊。設(shè)備支持SSH服務(wù)器功能，可以接受多個(gè)SSH客戶端的連接。同時(shí)，設(shè)備還支持SSH客戶端功能，允許用戶與支持SSH服務(wù)器功能的設(shè)備建立SSH連接，從而實(shí)現(xiàn)從本地設(shè)備通過(guò)SSH登錄到遠(yuǎn)程設(shè)備上。12. IPSec協(xié)議“Internet 協(xié)議安全性 (IPSec)”是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通過(guò)使用加密的安全服務(wù)以確保在 Internet 協(xié)議 (IP) 網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊。AH和ESP協(xié)議在操作系統(tǒng)內(nèi)核模塊，用于對(duì)IP包的過(guò)濾。IKE是運(yùn)行在外部的守護(hù)程序。PFKEY實(shí)現(xiàn)了外部運(yùn)行程序與內(nèi)核間的通信。對(duì)于AH和ESP，都有兩種操作模式：隧道模式和傳輸模式。兩種模式的區(qū)別是：隧道模式將整個(gè)IP分組封裝到AH/ESP中，而傳輸模式將上層協(xié)議（如TCP）部分封裝到AH/ESP中。IKE協(xié)議用于協(xié)商AH和ESP協(xié)議所使用的密碼算法，并將算法所需的密鑰放在合適的位置。13. DHCP協(xié)議DHCP協(xié)議采用客戶端/服務(wù)器模型，主機(jī)地址的動(dòng)態(tài)分配任務(wù)由網(wǎng)絡(luò)主機(jī)驅(qū)動(dòng)。當(dāng)DHCP服務(wù)器接收到來(lái)自網(wǎng)絡(luò)主機(jī)申請(qǐng)地址的信息時(shí)，才會(huì)向網(wǎng)絡(luò)主機(jī)發(fā)送相關(guān)的地址配置等信息，以實(shí)現(xiàn)網(wǎng)絡(luò)主機(jī)地址信息的動(dòng)態(tài)配置。DHCP具有以下功能：1. 保證任何IP地址在同一時(shí)刻只能由一臺(tái)DHCP客戶機(jī)所使用。2. DHCP應(yīng)當(dāng)可以給用戶分配永久固定的IP地址。3. DHCP應(yīng)可以同用其他方法獲得IP地址的主機(jī)共存（如手工配置IP地址的主機(jī)）。4. DHCP服務(wù)器應(yīng)當(dāng)向現(xiàn)有的BOOTP客戶端提供服務(wù)。四、實(shí)習(xí)內(nèi)容（一）2個(gè)交換機(jī)配置VLAN1. 拓?fù)鋱D2. 配置文件（相關(guān)命令）#分別對(duì)交換機(jī)1/2進(jìn)行VLAN劃分及端口配置<H3C>system-view System View: return to User View with Ctrl+Z.H3Csysname s1s1vlan 31s1-vlan31quit s1vlan 34 s1-vlan34quit s1interface GigabitEthernet 1/0/1s1-GigabitEthernet1/0/1port link-type trunk s1-GigabitEthernet1/0/1port trunk permit vlan all s1-GigabitEthernet1/0/1quits1interface GigabitEthernet 1/0/2 s1- GigabitEthernet1/0/2port access vlan 31 s1- GigabitEthernet1/0/2quits1interface GigabitEthernet 1/0/3s1- GigabitEthernet1/0/3port access vlan 34s1- GigabitEthernet1/0/3quits1quit<s1>save <H3C>system-view System View: return to User View with Ctrl+Z.H3Csysname s2s2vlan 31s2-vlan31quits2vlan 34s2-Vlan34quits2interface GigabitEthernet 1/0/1s2- GigabitEthernet1/0/1port link-type trunks2- GigabitEthernet1/0/1port trunk permit vlan alls2- GigabitEthernet1/0/1quitsh2interface GigabitEthernet 1/0/2s2- GigabitEthernet1/0/2port access vlan 31sh2- GigabitEthernet1/0/2quits2interface GigabitEthernet 1/0/3s2- GigabitEthernet1/0/3port access vlan 34s2- GigabitEthernet1/0/3quits2quit<s2>save3. 測(cè)試結(jié)果IP地址為192.168.0.65的主機(jī)當(dāng)處在VLAN31中，與同處在VLAN31中的主機(jī)192.168.0.59可以ping通；而當(dāng)其改換接入端口，處在VLAN34中時(shí)，則無(wú)法與主機(jī)192.168.0.59 ping通。（二）靜態(tài)路由1. 拓?fù)鋱D2. 配置文件（相關(guān)命令）#配置路由器r1的ip地址<H3C>system-viewH3Csysname r1r1interface Ethernet 0/0r1-Ethernet0/0ip add 192.168.0.1 255.255.255.0r1-Ethernet0/0quitr1interface Ethernet 0/1r1-Ethernet0/0ip add 192.168.1.2 255.255.255.0r1-Ethernet0/0quit#配置路由器r2的ip地址<H3C>system-viewH3Csysname r2r2interface Ethernet 0/0r2-Ethernet0/0ip add 192.168.1.3 255.255.255.0r2-Ethernet0/0quitr2interface Ethernet 0/1r2-Ethernet0/0ip add 192.168.2.1 255.255.255.0r2-Ethernet0/0quit#配置靜態(tài)路由#在Router 1上配置靜態(tài)路由<r1>system-viewr1 ip route-static 192.168.2.0 255.255.255.0 192.168.1.3r1quit<r1>save#在Router 2上配置靜態(tài)路由<r2>system-viewr2 ip route-static 192.168.0.0 255.255.255.0 192.168.1.2r2quit<r2>save3. 下發(fā)結(jié)果（1）顯示路由器r1的路由表（2）顯示路由器r2的路由表4. 測(cè)試結(jié)果在ip地址為192.168.2.3的主機(jī)上輸入如下命令。結(jié)果為兩個(gè)主機(jī)可以ping通（三）2個(gè)路由器里做RIP協(xié)議1. 拓?fù)鋱D2. 配置文件（1）路由器各端口地址配置同“靜態(tài)路由”（2）配置r1的RIP功能#進(jìn)入系統(tǒng)視圖，啟動(dòng)RIP功能<r1>system-viewr1 rip#在互聯(lián)網(wǎng)接口上使能RIP。r1-rip-1network 192.168.1.0#RIP中發(fā)布本地路由網(wǎng)段。r1-rip-1network 192.168.0.0r1-rip-1quitr1quit<r1>save（3）配置r2的RIP功能#進(jìn)入系統(tǒng)視圖，啟動(dòng)RIP功能<r2>system-viewr2 rip#在互聯(lián)網(wǎng)接口上使能RIP。r2-rip-1network 192.168.1.0#RIP中發(fā)布本地路由網(wǎng)段。r2-rip-1network 192.168.2.0r2-rip-1quitr2quit<r2>save3. 下發(fā)結(jié)果（1）顯示路由器r1的路由表（2）顯示路由器r2的路由表4. 測(cè)試結(jié)果在ip地址為192.168.2.3的主機(jī)上輸入如下命令。結(jié)果為兩個(gè)主機(jī)可以ping通（四）2個(gè)路由器里做OSPF協(xié)議1. 拓?fù)鋱D2. 配置文件(1) 配置各接口的IP地址(同上)(2)配置r1#在r1上啟動(dòng)OSPF進(jìn)程，默認(rèn)進(jìn)程ID為1.<r1>system-viewr1 ospfr1-ospf-1area1r1-ospf-1-area-0.0.0.1network 192.168.0.0 0.0.0.255r1-ospf-1-area-0.0.0.0network 192.168.1.0 0.0.0.255r1-ospf-1-area-0.0.0.0quit(3)配置r2#在r2上啟動(dòng)OSPF進(jìn)程，默認(rèn)進(jìn)程ID為1.<r2>system-viewr2 ospfr2-ospf-1area1r2-ospf-1-area-0.0.0.1network 192.168.2.0 0.0.0.255r2-ospf-1-area-0.0.0.0network 192.168.1.0 0.0.0.255r2-ospf-1-area-0.0.0.0quit3. 下發(fā)結(jié)果（1）查看r2 的OSPF路由表4. 測(cè)試結(jié)果在ip地址為192.168.2.3的主機(jī)上輸入如下命令。結(jié)果為兩個(gè)主機(jī)可以ping通（五）單臂路由1. 拓?fù)鋱D2. 配置文件#對(duì)交換機(jī)Switch1/2分別進(jìn)行接口配置sysname s1vlan 31quitvlan 34quit#配置access端口interface Ethernet 1/0/1port access vlan 31quitinterface Ethernet 1/0/2port access vlan 34quit#配置trunk端口interface Ethernet 1/0/3port link-type trunkport trunk permit vlan allquitquitsave#對(duì)router1進(jìn)行端口配置interface Ethernet 0/0.1vlan-type dot1q vid 31ip add 192.168.31.1 24interface Ethernet 0/0.2vlan-type dot1q vid 34ip add 192.168.34.1 24interface Ethernet 0/0undo shutdowninterface Ethernet 0/1ip add 192.168.59.2 24 quit#設(shè)置rip路由rip network 192.168.31.0network 192.168.34.0network 192.168.59.0quitquitsave#對(duì)router2進(jìn)行端口配置interface Ethernet 0/0.1vlan-type dot1q vid 31ip add 192.168.65.1 24interface Ethernet 0/0.2vlan-type dot1q vid 34ip add 192.168.60.1 24interface Ethernet 0/0undo shutdowninterface Ethernet 0/1ip add 192.168.59.3 24 quit#設(shè)置rip路由rip network 192.168.65.0network 192.168.60.0network 192.168.59.0quitquitsave3. 測(cè)試結(jié)果在ip地址為192.168.65.2的主機(jī)上輸入如下命令。結(jié)果為兩個(gè)主機(jī)可以ping通ip為192.168.60.2的主機(jī)無(wú)法與ip為192.168.31.2的主機(jī)ping通同樣，ip為192.168.65.2的主機(jī)無(wú)法與ip為192.168.34.2的主機(jī)ping通（六）ACL訪問(wèn)控制列表1. 拓?fù)鋱D2. 配置文件acl number 2100rule deny ip source 192.168.31.0 0.0.0.255 quitinterface Ethernet 0/1firewall packet-filter 2100 inboundquitquitsave3. 下發(fā)結(jié)果（1）查看訪問(wèn)控制列表4. 測(cè)試結(jié)果（七）NAT的訪問(wèn)控制的設(shè)置1. 拓?fù)鋱D2. 配置文件r1nat address-group 1 192.168.59.5 192.168.59.10r1acl number 2723r1-acl-basic-2723rule permit source 192.168.31.0 0.0.0.255r1-acl-basic-2723rule denyr1-acl-basic-2723quitr1interface Ethernet 0/1r1-Ethernet0/1nat outbound 2723 address-group 1r1-Ethernet0/1quitr1quit<r1>save3. 測(cè)試結(jié)果（1）內(nèi)網(wǎng)能ping通外網(wǎng)（2）外網(wǎng)ping不通內(nèi)網(wǎng)（八）GRE的訪問(wèn)控制的設(shè)置1. 拓?fù)鋱D2. 配置文件r1interface tunnel 1r1-Tunnel1undo shutdownr1-Tunnel1ip add 192.168.39.1 24r1-Tunnel1sourse 192.168.59.2r1-Tunnel1destination 192.168.59.3r1-Tunnel1quitr1ip route 192.168.65.0 255.255.255.0 tunnel 1r1quit<r1>saver2interface tunnel 1r2-Tunnel1undo shutdownr2-Tunnel1ip add 192.168.39.2 24r2-Tunnel1sourse 192.168.59.3r2-Tunnel1destination 192.168.59.2r2-Tunnel1quitr2ip route 192.168.31.0 255.255.255.0 tunnel 1r2quit<r2>save3. 下發(fā)結(jié)果（1）查看隧道狀態(tài)（2）顯示路由表4. 測(cè)試結(jié)果（九）TELNET 訪問(wèn)控制的設(shè)置1. 拓?fù)鋱D2. 配置文件#設(shè)置登錄用戶的認(rèn)證方式為Scheme，采用本地認(rèn)證方式r1local-user new#設(shè)置本地用戶的認(rèn)證方式口令為明文方式r1-luser-newpassword simple 123456#設(shè)置vty用戶的服務(wù)類型為telnet服務(wù)r1-luser-newservice-type telnet#設(shè)置本地用戶的登錄級(jí)別為3r1-luser-newauthorization-attribute level 3r1-luser-newquit#進(jìn)入vty用戶界面視圖r1user-interface vty 0 4r1-ui-vty0-4authentication-mode schemer1-ui-vty0-4quitr1quit3. 測(cè)試結(jié)果利用dos命令進(jìn)行測(cè)試，telnet登錄成功；并且可以在主機(jī)上利用dis cur命令對(duì)路由器r1進(jìn)行配置查看。（十）DHCP訪問(wèn)控制的設(shè)置1. 拓?fù)鋱D2. 配置文件r2dhcp sever forbidden-ip 192.168.65.1r2dhcp sever forbidden-ip 192.168.65.100 #創(chuàng)建DHCP地址池 r2dhcp sever ip-pool OA#指定可以分配的地址段r2-dhcp-pool-oanetwork 192.168.65.0 mask 255.255.255.0#指定域名r2-dhcp-pool-oadomain-name h3c.com#指定DNS域名服務(wù)器地址r2-dhcp-pool-oadns-list 192.168.65.100#指定網(wǎng)關(guān)r2-dhcp-pool-oagateway-list 192.168.65.1#DHCP租期時(shí)間設(shè)置r2-dhcp-pool-oaexpired day 1 hour 12r2-dhcp-pool-oaquitr2interface Ethernet 0/0r2-Ethernet0/0dhcp select sever global-poolr2-Ethernet0/0quitr2dhcp enabler2dhcp sever detect3. 下發(fā)結(jié)果（1）查看DHCPIP地址分配情況（2）從dos command界面中也可以查看到DHCP已啟用，自動(dòng)分配給主機(jī)的IP地址為：192.168.65.2（十一）基于MAC地址的訪問(wèn)控制的設(shè)置1. 拓?fù)鋱D2. 配置文件#對(duì)交換機(jī)S1進(jìn)行接口配置sysname s1vlan 31quitvlan 34quit#配置access端口interface Ethernet 1/0/1port access vlan 31quitinterface Ethernet 1/0/2port access vlan 34quit#配置trunk端口interface Ethernet 1/0/3port link-type trunkport trunk permit vlan allquitquitsave#對(duì)router1進(jìn)行端口配置interface Ethernet 0/0.1vlan-type dot1q vid 31ip add 192.168.31.1 24interface Ethernet 0/0.2vlan-type dot1q vid 34ip add 192.168.34.1 24interface Ethernet 0/0undo shutdowninterface Ethernet 0/1ip add 192.168.59.2 24#基于MAC地址的訪問(wèn)控制的配置#創(chuàng)建二級(jí)acl訪問(wèn)控制列表s1acl number 4023System View: return to User View with Ctr1+Z.s1-acl-ethernetframe-4023rule permit source-mac 6400-6A03-AE33 ffff-ffff-ffffs1-acl-ethernetframe-4023rule deny source-mac 6400-6A04-5033 ffff-ffff-ffffs1-acl-ethernetframe-4023quit#對(duì)交換機(jī)端口進(jìn)行包過(guò)濾配置s1interface GigabitEthernet 1/0/1 s1-GigabitEthernet1/0/1 packet-filter 4023 inbound s1-GigabitEthernet1/0/1quit s1interface GigabitEthernet 1/0/2 s1-GigabitEthernet1/0/2 packet-filter 4023 inbound s1-GigabitEthernet1/0/2quit3. 下發(fā)結(jié)果4. 測(cè)試結(jié)果由于acl訪問(wèn)控制的存在，PC1可以與PC3ping通，而PC2不能與PC3ping通。（1）PING通截圖（2）Ping不通截圖（十二）SSH用戶的本地認(rèn)證和授權(quán)配置1. 拓?fù)鋱D2. 配置文件#在H3C設(shè)備上生成本地RSA密鑰對(duì)r1public-key local creat rsaWarning: The local key pair already exist.Confirm to replace them? Y/N:yThe range of public key s1ze is (5122048).NOTES: If the key modulus is greater than 512,It will take a few minutes.Press CTR1+C to abort.Input the bits of the modulusdefault = 1024: Generating Keys.+#在H3C設(shè)備上生成本地DSA密鑰對(duì)r1public-key local creat dsaWarning: The local key pair already exist.Confirm to replace them? Y/N:yThe range of public key s1ze is (5122048).NOTES: If the key modulus is greater than 512,It will take a few minutes.Press CTR1+C to abort.Input the bits of the modulusdefault = 1024: Generating Keys.+*+r1user-interface vty 0 4 r1-ui-vty0-4authentication-mode scheme #設(shè)置在用戶界面支持SSH協(xié)議r1-ui-vty0-4protocol inbound ssh r1-ui-vty0-4quit r1local-user h3c New local user added.r1-luser-h3cpassword simple 123456 #設(shè)置本地用戶的服務(wù)類型r1-luser-h3cservice-type ssh r1-luser-h3cauthorization-attribute level 3 r1-luser-h3cquit#建立SSH用戶，并設(shè)置SSH用戶的認(rèn)證方式r1ssh user h3c service-type stelnet authentication-type password #激活r1作為SSH的服務(wù)器端r1ssh server enable Info: Enable SSH server.r1quit <r1>save3. 下發(fā)結(jié)果4. 測(cè)試結(jié)果利用putty軟件進(jìn)行了SSH遠(yuǎn)程登錄測(cè)試，測(cè)試結(jié)果如下：（1）遠(yuǎn)程鏈接截圖 （2）登錄成功截圖（十三）基于IPSec訪問(wèn)控制的設(shè)置1. 拓?fù)鋱D2. 配置文件#配置路由器r1r1acl number 3101 r1-acl-adv-3101rule permit ip source 192.168.31.0 0.0.0.255 destination 192.168.65.0 0.0.0.255r1-acl-adv-3101quit#配置到PC2的靜態(tài)路由r1ip route-static 192.168.65.0 24#創(chuàng)建安全提議r1ipsec proposal tran1#報(bào)文封裝形式采用隧道模式r1-ipsec-proposal-tranlencapsulation-mode tunnel#安全協(xié)議采用ESP協(xié)議r1-ipsec-proposal-tranltransform esp#選擇算法r1-ipsec-proposal-tranlesp encryption-algorithm desr1-ipsec-proposal-tranlesp authentication-algorithm sha1r1-ipsec-proposal-tranlquit#配置IKE對(duì)等體r1ike peer peerr1-ike-peer-peerpre-shared-key abcder1-ike-peer-peerremote-address 192.168.59.3r1-ike-peer-peerquit#創(chuàng)建一條安全策略r1ipsec policy mapl 10 isakmp#引用訪問(wèn)控制列表、安全提議、IKE對(duì)等體r1-ipsec-policy-isakmp-mapl-10proposal tran1r1-ipsec-policy-isakmp-mapl-10security acl 3101r1-ipsec-policy-isakmp-mapl-10ike-peer peerr1-ipsec-policy-isakmp-mapl-10quitr1interface Ethernet 0/1r1-Ethernet0/1ipsec policy map1r1-Ethernet0/1quitr1quit#配置路由器r2r2acl number 3101r2-acl-adv-3101rule permit ip source 192.168.65.0 0.0.0.255 destination 192.168.31.0 0.0. 0.255 r2-acl-adv-3101quitr2ip route-static 192.168.31.0 24r2ipsec proposal tran1r2-ipsec-proposaltranlencapsulation-mode tunnel r2-ipsec-proposaltranltransform esp r2-ipsec-proposaltranlesp encryption-algorithm des r2-ipsec-proposaltranlesp authentication-algorithm sha1r2-ipsec-proposaltranlquitr2ike peer peerr2ike-peer-peerpre-shared-key abcder2ike-peer-peerremote-address 192.168.59.2r2ike-peer-peerquitr2ipsec policy usel 10 isakmpr2-ipsec-policy-isakmp-usel-10security acl 3101r2-ipsec-policy-isakmp-use110proposal tran1r2-ipsec-policy-isakmp-usel-10ike-peer peerr2-ipsec-policy-isakmp-usel-10quitr2interface Ethernet 0/1r2-Ethernet0/1ipsec policy use1r2-Ethernet0/lquitr2quit<r2>save3. 下發(fā)結(jié)果4. 測(cè)試結(jié)果五、經(jīng)驗(yàn)總結(jié)在這次實(shí)習(xí)過(guò)程中，我們遇到過(guò)很多問(wèn)題，通過(guò)詢問(wèn)老師、小組討論以及查閱資料，我們將一個(gè)個(gè)問(wèn)題攻克，得到了最終的正確結(jié)果。與此同時(shí)，這些問(wèn)題的解決也為我們積攢了寶貴的實(shí)踐經(jīng)驗(yàn)，對(duì)我們來(lái)說(shuō)非常有意義。現(xiàn)將問(wèn)題經(jīng)驗(yàn)總結(jié)如下：l 實(shí)習(xí)中應(yīng)當(dāng)注意由于網(wǎng)線接觸不良等硬件設(shè)備問(wèn)題而導(dǎo)致的主機(jī)ping不通。l 完成幾個(gè)配置之后就要對(duì)路由器進(jìn)行清除和重啟，以方便后續(xù)配置。l Win7系統(tǒng)下默認(rèn)關(guān)閉Telnet客戶端和Telnet服務(wù)器功能，應(yīng)將功能打開(kāi)才能在DOS command中使用 “telnet”命令。l 在NAT訪問(wèn)控制設(shè)置中，出現(xiàn)錯(cuò)誤結(jié)果：外網(wǎng)與內(nèi)網(wǎng)皆能互通。查其原因：路由表中存在rip路由未被刪除。l 在NAT等協(xié)議的訪問(wèn)控制中，設(shè)備連接發(fā)生改變，而PC機(jī)的IP地址沒(méi)有更改，導(dǎo)致PC機(jī)的網(wǎng)關(guān)地址錯(cuò)誤，從而ping不通鏈路。l 在配置好IPSec協(xié)議后要分別給兩個(gè)路由器配置路由，鏈路才能ping通，否則是ping不通的。l 檢測(cè)SSH用戶的本地認(rèn)證和授權(quán)時(shí)，要通過(guò)一個(gè)軟件putty來(lái)完成。鏈接時(shí)，應(yīng)遠(yuǎn)程鏈接到路由器的端口IP地址，而非遠(yuǎn)程主機(jī)的IP地址上。