项目二 园区网互联起步
【项目分析】
本项目的来源是某园区网的比赛题目,该项目难度一般,包括的知识点也不太多,但对每个知识点要求非常仔细,尤其是对每个知识点的细节都提出了要求。这就要求选手在平时训练过程中,除了掌握各个知识点的主要情况外,还要对每个知识点继续钻研,掌握每个知识点中的每个细节。
针对该项目中的每个知识点,选手在设置交换机和路由器当中,若有不明白的地方,应多使用“?”号来获得帮助。且要了解“?”号后出现的每个细节,只有这样才可以将该项目做好。
在任务实现的过程当中,每个知识点之后都有相关说明(小贴士),这些说明是编者在长期比赛与训练工作中针对这个知识点的一些心得体会,有很强的实践意义,本章的最后有比赛与训练心得,这些心得体会来源于编者的实际工作,有很高的参考价值。选手深入了解这些心得体会,可以少走弯路,大大提高训练的效率。
任务3 园区网互联基础实现
依照附录A中的题目要求,完成交换机和路由器的配置。
注意:配置内容保存在PC1下的(非虚拟机的XP操作系统)桌面上,并用打印机打印出来,配置文件分别命名为SW1.TXT、SW2.TXT、R1.TXT、R2.TXT。注意将配置写入闪存,交换机路由器断电重启后,相关配置还应存在。
任务描述
本任务的主要内容包括特权密码、Telnet、VLAN、交换机三层接口、生成树协议、交换机端口配置、交换机骨干端口配置、路由协议、NAT、PPP协议和ACL。这些内容是基础,虽然对其要求很严格,但其难度不是很大,建议选手在完成光盘中的实验,熟练掌握每个单独的知识点后,再完成本任务,以训练其综合能力。
拓扑图如图2-1所示。
图2-1 拓扑图
任务实现
1.设备的命名
任务要求:配置设备名称,三层交换机分别为SW1、SW2;路由器分别为R1、R2。
设置交换机和路由器的名字(要求进入全局配置模式)的语句如下所示。
交换机:
DCRS-5650-28>enable
DCRS-5650-28#config
DCRS-5650-28(config)#hostname SW1
DCRS-5650-28(config)#hostname SW2
路由器:
Router>enable
Router#config
Router_config#hostname R1
Router_config#hostname R2
依照以上语句,可将路由器和交换机改名。
2.设置交换机的特权密码
任务要求:在两台三层交换机上为特权用户增加密码loginds,密码以加密方式存储。
设置交换机的特权密码,要求进入全局配置模式。交换机的设置语句如下所示。
SW1>enable
SW1#config
SW1(config)#enable password 8 loginds !设定交换机的enable密码
依照以上语句,可设置交换机的特权密码,特别应注意密码的大小写,且后面不要加空格。
3.设置Telnet和路由器的特权密码
任务要求:在三层交换机SW1和路由器R2上设置Telnet登录,登录用户名为yuanqu,密码为digital,密码以明文方式存储。路由器中的登录验证方法名为系统默认名称,此方法会使用本地数据库进行验证,会在路由器R2上为特权用户添加密码digital,会设置用户级别为最高级,且将密码以明文方式存储起来。
(1)设置交换机和路由器的Telnet,要求进入全局配置模式。在路由器中,要想让Telnet的用户名和密码生效,首先要设置aaa。交换机和路由器的设置语句如下所示。
交换机:
SW1>enable
SW1#config
SW1(config)#telnet-server enable !启动交换机Telnet服务
SW1(config)#telnet-user yuanqu password 0 digital !设定交换机Telnet用户名和密码
路由器:
R2>enable
R2#config
R2_config#aaa authentication login default local !使用本地用户信息进行认证
R2_config#username yuanqu password 0 digital !增加Telnet用户名和密码
R2_config#line vty 0 1 !最多允许1个用户登录
R2_config_line#login authentication default !Telnet使用默认认证列表
依照以上语句,可设置交换机和路由器的Telnet,特别注意密码的大小写。
(2)设置路由器的特权密码,要求进入全局配置模式。在路由器中,要想让enable生效,首先要设置aaa。路由器的设置语句如下所示。
R2>enable
R2#config
R2_config#aaa authentication enable default enable !路由器enable密码进行验证
R2_config#enable password 0 digital level 15 !设定路由器的enable密码
依照以上语句,可设置路由器的特权密码,特别注意密码的大小写,且后面不要加空格。
4.给交换机划分VLAN
(1)任务要求:依照表2-1,在三层交换机SW1上划分各VLAN,并加入相应的端口。
表2-1 给SW1划分VLAN
将表2-1中未提到的端口放在VLAN1中。
设置交换机的VLAN是交换机最基本的功能,可在全局配置模式下完成。交换机SW1的设置语句如下所示。
SW1>enable
SW1#config
SW1(config)#vlan 2 !创建VLAN2
SW1(Config-Vlan2)#switchport interface ethernet 0/0/2-3 !把E2、E3端口加入VLAN2
SW1(Config-Vlan2)#exit
SW1(config)#vlan 7 !创建VLAN7
SW1(Config-Vlan7)#switchport interface ethernet 0/0/6;8;10 !把E6、E8、E10端口加入VLAN7
SW1(Config-Vlan7)#exit
SW1(config)#vlan 8 !创建VLAN8
SW1(Config-Vlan8)#switchport interface ethernet 0/0/12-16 !把E12~E16端口加入VLAN8
依照以上语句可将所有SW1上的VLAN划分完。
(2)任务要求:依照表2-2,在三层交换机SW2上划分各VLAN,并加入相应的端口。
表2-2 给SW2划分VLAN
将表2-2中未提到的端口放在VLAN1中。
交换机SW2的设置语句如下所示。
SW2>enable
SW2#config
SW2(config)#vlan 2 !创建VLAN2
SW2(Config-Vlan2)#switchport interface ethernet 0/0/3;5 !把E3、E5端口加入VLAN2
SW2(Config-Vlan2)#exit
SW2(config)#vlan 4 !创建VLAN4
SW2(Config-Vlan4)#switchport interface ethernet 0/0/8;10;12 !把E8、E10、E12端口加入VLAN4
SW2(Config-Vlan4)#exit
SW2(config)#vlan 5 !创建VLAN5
SW2(Config-Vlan5)#switchport interface ethernet 0/0/15-20 !把E15~E20端口加入VLAN5
5.给交换机的三层接口配置IP地址
(1)任务要求:依照表2-3,在三层交换机SW1上创建各VLAN的三层接口并配置IP地址。
表2-3 给SW1 配置IP地址
设置交换机虚拟接口应在全局配置模式下完成,并应在虚拟接口模式下配置IP地址。
交换机SW1的设置语句如下所示。
SW1>enable
SW1#config
SW1(config)#interface vlan 1 !设置VLAN1
SW1(Config-if-Vlan1)#ip address 192.168.1.62255.255.255.224
!IP地址为192.168.1.62/27
SW1(Config-if-Vlan1)#exit
SW1(config)#interface vlan 2 !设置VLAN2
SW1(Config-if-Vlan2)#ip address 192.168.1.93255.255.255.224
!IP地址为192.168.1.93/27
SW1(Config-if-Vlan2)#exit
SW1(config)#interface vlan 7 !设置VLAN7
SW1(Config-if-Vlan7)#ip address 192.168.1.190255.255.255.224
!IP地址为192.168.1.190/27
SW1(Config-if-Vlan7)#exit
SW1(config)#interface vlan 8 !设置VLAN2
SW1(Config-if-Vlan8)#ip address 192.168.1.222255.255.255.224
!IP地址为192.168.1.222/27
SW1(Config-if-Vlan8)#exit
SW1(config)#interface loopback 1 !设置Loopback 1
SW1(Config-if-Loopback1)#ip address 1.1.1.3255.255.255.255
!IP地址为1.1.1.3/32
(2)任务要求:依照表2-4,在三层交换机SW2上创建各VLAN的三层接口并配置IP地址。
表2-4 给SW2 配置IP地址
交换机SW2的设置语句如下所示。
SW2>enable
SW2#config
SW2(config)#interface vlan 1 !设置VLAN1
SW2(Config-if-Vlan1)#ip address 192.168.1.61255.255.255.224
!IP地址为192.168.1.61/27
SW2(Config-if-Vlan1)exit
SW2(config)#interface vlan 2 !设置VLAN2
SW2(Config-if-Vlan2)#ip address 192.168.1.94255.255.255.224
!IP地址为192.168.1.94/27
SW2(Config-if-Vlan2)#exit
SW2(config)#interface vlan 4 !设置VLAN4
SW2(Config-if-Vlan4)#ip address 192.168.1.126255.255.255.224
!IP地址为192.168.1.126/27
SW2(Config-if-Vlan4)#exit
SW2(config)#interface vlan 5 !设置VLAN10
SW2(Config-if-Vlan5)#ip address 192.168.1.158255.255.255.224
!IP地址为192.168.1.126/27
SW2(Config-if-Vlan5)#exit
SW2(config)#int loopback 1 !设置Loopback1
SW2(Config-if-Loopback1)#ip address 1.1.1.4255.255.255.255
!IP地址为1.1.1.4/32
6.跨交换机的相同VLAN的互通
任务要求:将两台三层交换机的端口0/0/1互连,并将该端口设置成骨干端口,确保跨交换机的相同VLAN可以连通。
交换机SW1的设置语句如下所示。
SW1>enable
SW1#config
SW1(config)#interface ethernet 0/0/1
SW1(Config-If-Ethernet0/0/1)#switchport mode trunk !设置接口0/0/1为逻辑接口
SW1(Config-If-Ethernet0/0/1)# switchport trunk allowed vlan all
!设置允许通过该端口的所有VLAN
交换机SW2的设置语句如下所示。
SW2>enable
SW2#config
SW2(config)#interface ethernet 0/0/1
SW2(Config-If-Ethernet0/0/1)#switchport mode trunk !设置接口0/0/1为逻辑接口
SW2(Config-If-Ethernet0/0/1)# switchport trunk allowed vlan all
!设置允许通过该端口的所有VLAN
7.生成树协议与端口安全
任务要求:分别在两台三层交换机启动MSTP协议;在三层交换机SW1端口0/0/2上实施静态MAC地址与端口的绑定,MAC地址为00-A0-D1-00-00-01;在三层交换机SW1的端口18至端口20之间打开端口带宽限制功能,将出方向限速为5Mbps,将入方向限速为2Mbps。
1)生成树协议
交换机SW1的设置语句如下所示。
SW1>enable
SW1#config
SW1(config)#spanning-tree !启动生成树协议
交换机SW2的设置语句如下所示。
SW2>enable
SW2#config
SW2(config)#spanning-tree !启动生成树协议
小贴士
交换机中使用spanning-tree时默认开启的是MSTP协议。
2)端口安全
交换机端口作为网络的接入设备,能对接入网络的用户进行区分。利用交换机端口的这个特性,可以实现网络用户的安全接入。保证交换机端口安全主要有两种方法:一是限制交换机端口的最大连接数;二是针对交换机端口进行MAC地址、IP地址的绑定。
限制交换机端口的最大连接数可以限制一个端口上能包含的安全地址的最大个数,以防止利用交换机端口的广播传输功能,私自连接设备扩展网络,造成网络的流量负载过大。
交换机SW1的设置语句如下所示。
SW1>enable
SW1#config
SW1(config)#switchport interface ethernet 0/0/2
SW1(Config-If-Ethernet0/0/2)#no spanning-tree
SW1(Config-If-Ethernet0/0/2)#switchport port-security !启动端口安全模式
SW1(Config-If-Ethernet0/0/2)#switchport port-security mac-address 00-A0-D1-00-00-01
SW1(Config-If-Ethernet0/0/2)#switchport port-security lock !锁定安全端口
SW1(Config-If-Ethernet0/0/2)#interface ethernet 0/0/18-20
SW1(Config-If-Port-Range)#bandwidth control 5 transmit !端口带宽出口为5Mbps
SW1(Config-If-Port-Range)#bandwidth control 2 receive !端口带宽入口为2Mbps
小贴士
在设置交换机端口时,应注意看清楚题目,防止出错。另外,如果出现端口无法配置MAC地址绑定功能的情况,请检查交换机的端口是否运行了Spanning-tree;如果端口汇聚或者端口已经配置为TRUNK端口,首先要关闭该端口的生成树协议、端口汇聚和TRUNK,然后启动端口安全模式,否则后续工作将无法完成。
8.组播与交换机端口的配置
任务要求:在三层交换机SW1上使用pim-dm方式开启组播,让VLAN7和VLAN8之间可以传送组播包;在三层交换机SW2端口0/0/21口上配置广播风暴抑制,端口允许通过的广播包数为3000/秒。
1)组播
交换机SW1的设置语句如下所示。
SW1>enable
SW1#config
SW1(config)#ip pim multicast-routing !开启组播路由
SW1(config)#interface vlan 7
SW1(Config-if-Vlan7)#ip pim dense-mode !在接口模式下使用pim-dm开启组播
SW1(config)#interface vlan 8
SW1(Config-if-Vlan8)#ip pim dense-mode !在接口模式下使用pim-dm开启组播
2)交换机端口的配置
交换机SW2的设置语句如下所示。
SW2>enable
SW2#config
SW2(config)# interface ethernet 0/0/21
SW2(Config-If-Ethernet0/0/21)#rate-suppression broadcast 3000!限制广播数据包,每秒不超过3000个
在网络中,有一类数据需要一组人来接收,此时采用单播需要极大的带宽,采用广播又不现实,而采用组播则可以实现一个发送端,一组接收端,并且组的成员可以动态地变化。
PIM协议有三种模式:密集模式(DM)、稀疏模式(SM)、密集稀疏模式。其中DM是采用源分发树来构建转发多播流量的,适用于接收端比较密集的情况。
9.R1接口的配置
任务要求:将三层交换机SW2的端口8与路由器R1的FastEthernet 0/3口相连,并设置路由器R1接口的IP地址,如表2-5所示。
表2-5 设置路由器R1接口的IP地址
路由器R1的设置语句如下所示。
R1>enable
R1#config
R1_config#interface fastEthernet 0/3
R1_config_f0/3#ip address 192.168.1.97255.255.255.224 !设定f0/3端口的IP地址
R1_config_f0/3#interface serial 0/1
R1_config_s0/1#ip address 192.168.1.1255.255.255.252 !设定s0/1端口的IP地址
R1_config_s0/1#interface loopback 0
R1_config_l0#ip address 1.1.1.1255.255.255.255 !设定loopback0端口的IP地址
R1_config_l0# interface loopback 10
R1_config_l10#ip address 192.168.1.193255.255.255.255 !设定loopback10端口的IP地址
小贴士
loopback是回环地址。
10.R2接口的配置
任务要求:依照表2-6,设置路由器R2接口的IP地址。
表2-6 设置路由器R2接口的IP地址
路由器R2的设置语句如下所示。
R2>enable
R2#config
R2_config#interface fastEthernet 0/0
R2_config_f0/0#ip address 202.106.1.253255.255.255.0 !设定f0/0端口的IP地址
R2_config_f0/0#interface serial 0/1
R2_config_s0/1#ip address 192.168.1.2255.255.255.252 !设定s0/1端口的IP地址
R2_config_s0/1#interface loopback 0
R2_config_l0#ip address 1.1.1.2255.255.255.255 !设定loopback0端口的IP地址
11.给路由器的PPP绑定CHAP验证
任务要求:将两台路由器的串口serial0/1用背对背线缆连接起来,连接时注意确保R1为DTE端,R2为DCE端。封装需要进行CHAP验证的PPP协议,验证方法列表名为jineng;DCE端的路由器用户名为userdce,密码为shenzhou;DTE端的路由器用户名为userdte,密码为shenzhou,密码用明文显示。
路由器R1的设置语句如下所示。
R1>enable
R1#config
R1_config#aaa authentication ppp jineng local
!配置CHAP验证方式的本地用户认证列表名jineng
R1_config#username userdte password 0 shenzhou !增加用户名和密码
R1_config_s0/1#encapsulation ppp !封装PPP协议
R1_config_s0/1#ppp authentication chap jineng !设定验证方式为CHAP,列表名为jineng
R1_config_s0/1#ppp chap hostname userdce !设定用户名
R1_config_s0/1#ppp chap password 0 shenzhou !设定密码
路由器R2的设置语句如下所示。
R2>enable
R2#config
R2_config#aaa authentication ppp jineng local
!配置CHAP验证方式的本地用户认证列表名为jineng
R2_config#username userdce password 0 shenzhou !增加用户名和密码
R2_config_s0/1#encapsulation ppp !封装PPP协议
R2_config_s0/1#ppp authentication chap jineng !设定验证方式为CHAP,列表名为jineng
R2_config_s0/1#ppp chap hostname userdte !设定用户名
R2_config_s0/1#ppp chap password 0 shenzhou !设定密码
R2_config_s0/1#physical-layer speed 2048000 !设定DCE时钟频率为2048000Hz
12.静态路由、RIP路由和路由重发布
任务要求:两台路由器互通路由信息采用动态路由协议RIP(采用RIP-2版本),其余设备之间互通路由信息采用静态路由配置,以使三层交换机SW1、SW2,路由器R1、R2的所有网段全部连通。
要求:
● 不允许使用默认路由;
● 不允许使用接口作为下一跳网关;
● 不允许使用汇聚路由。
验证方法:从VLAN7可以ping通地址192.168.1.2/30和192.168.1.193/32。
1)设置交换机的静态路由
交换机SW1的设置语句如下所示。
SW1(config)#ip route 1.1.1.2/32192.168.1.61 !设置1.1.1.2/32静态路由
SW1(config)#ip route 192.168.1.0/30192.168.1.61 !设置192.168.1.0/30静态路由
SW1(config)#ip route 202.106.1.0/24192.168.1.61 !设置202.106.1.0/24静态路由
SW1(config)#ip route 192.168.1.193/32192.168.1.6 !设置192.168.1.193/32静态路由
SW1(config)#ip route 1.1.1.1/32192.168.1.61 !设置1.1.1.1/32静态路由
SW1(config)#ip route 192.168.1.96/27192.168.1.61 !设置192.168.1.96/27静态路由
SW1(config)#ip route 1.1.1.4/32192.168.1.61 !设置1.1.1.4/32静态路由
SW1(config)#ip route 192.168.1.128/27192.168.1.61 !设置192.168.1.128静态路由
交换机SW2的设置语句如下所示。
SW2(config)#ip route 1.1.1.1/32192.168.1.97 !设置1.1.1.1/32静态路由
SW2(config)#ip route 1.1.1.2/32192.168.1.97 !设置1.1.1.2/32静态路由
SW2(config)#ip route 1.1.1.3/32192.168.1.62 !设置1.1.1.3/32静态路由
SW2(config)#ip route 192.168.1.0/30192.168.1.97 !设置192.168.1.0/30静态路由
SW2(config)#ip route 192.168.1.193/32192.168.1.97 !设置192.168.1.193/32静态路由
SW2(config)#ip route 202.106.1.0/24192.168.1.97 !设置202.106.1.0/24静态路由
SW2(config)#ip route 192.168.1.160/27192.168.1.62 !设置192.168.1.160/27静态路由
SW2(config)#ip route 192.168.1.192/27192.168.1.62 !设置192.168.1.192/27静态路由
2)设置路由器的静态路由、RIP路由和路由重发布
路由器R1的设置语句如下所示。
R1>enable
R1#config
R1_config#router rip !设置RIP动态路由
R1_config_rip#version 2 !RIP版本为2,默认版本
R1_config_rip#no auto-summary !关闭自动汇总
R1_config_rip#network 192.168.1.0255.255.255.252 !声明网段192.168.1.0/30
R1_config_rip#network 192.168.1.96255.255.255.224 !声明网段192.168.1.96/27
R1_config_rip#network 1.1.1.1255.255.255.255 !声明网段1.1.1.1/32
R1_config_rip#network 192.168.1.193255.255.255.255 !声明网段192.168.1.193/32
R1_config#ip route 1.1.1.3255.255.255.255192.168.1.126 !设置1.1.1.3/32静态路由
R1_config#ip route 1.1.1.4255.255.255.255192.168.1.126 !设置1.1.1.4/32静态路由
R1_config#ip route 192.168.1.32255.255.255.224192.168.1.126
!设置192.168.1.32/27静态路由
R1_config#ip route 192.168.1.64255.255.255.224192.168.1.126
!设置192.168.1.64/27静态路由
R1_config#ip route 192.168.1.128255.255.255.224192.168.1.126
!设置192.168.1.128/27静态路由
R1_config#ip route 192.168.1.160255.255.255.224192.168.1.126
!设置192.168.1.160/27静态路由
R1_config#ip route 192.168.1.192255.255.255.224192.168.1.126
!设置192.168.1.192/27静态路由
R1_config_rip#redistribute static !路由重发布静态路由
路由器R2的设置语句如下所示。
R2>enable
R2#config
R2_config#router rip !设置RIP动态路由
R2_config_rip#version 2 !RIP版本为2,默认版本
R2_config_rip#no auto-summary !关闭自动汇总
R2_config_rip#network 202.106.1.0255.255.255.0 !声明网段202.106.1.0/24
R2_config_rip#network 192.168.1.0255.255.255.252 !声明网段192.168.1.0/30
R2_config_rip#network 1.1.1.2255.255.255.255 !声明网段1.1.1.2/32
3)查看各设备的路由表
SW1的路由表如图2-2所示。SW2的路由表如图2-3所示。R1的路由表如图2-4所示。R2的路由表如图2-5所示。
图2-2 SW1的路由表
图2-3 SW2的路由表
图2-4 R1的路由表
图2-5 R2的路由表
4)测试
要求:从VLAN7可以ping通地址192.168.1.2/30和192.168.1.193/32。
VLAN7的IP地址为192.168.1.190/27,该IP地址所在的网络是192.168.1.160/27,设置主机的IP地址为192.168.1.161/27,也就是该网络的第一个可用IP,将网关设为VLAN7的IP地址,并从这台主机开始测试。设置好IP地址的主机如图2-6所示。
图2-6 主机的IP地址
用该主机ping网关,结果如图2-7所示。
图2-7 用该主机ping网关
用该主机ping地址192.168.1.2/30,结果如图2-8所示。
图2-8 用该主机ping地址192.168.1.2/30
用该主机ping地址192.168.1.193/32,结果如图2-9所示。
图2-9 用该主机ping地址192.168.1.193/32
小贴士
路由表示从一个网络到另一个网络的路径或者从一个节点到另一个节点的网络路径。
静态路由是为了告诉网络设备如何转发一个到远方去的数据的路由,这个路由是网络管理员人工添加的,会直接写入到路由表中去。动态路由是路由设备之间通过协商自动添加的,它依靠路由设备之间的信息交换形式写入路由表的信息中。
网络设备的路由项主要包含以下三个元素:远端网络的标识——网络号;远端网络的掩码;去往远端网络的出口或下一跳地址。
静态路由是所有路由的基础,只有掌握了静态路由,才能更好地理解其他的路由。在没有默认路由和动态路由的情况下,一个设备的静态路由的个数等于所有网段的数量减去该设备中直连路由的数量。
静态路由的一般配置步骤如下所示。
(1)为路由器的每个接口配置IP地址。
(2)确定本路由器有哪些直连网段的路由信息。
(3)确定网络中有哪些属于本路由器的非直连网段。
(4)添加本路由器的非直连网段相关的路由信息。
13.NAT
任务要求:在路由器R2上配置地址转换,使得VLAN5中的主机可以通过地址转换访问Internet,内部全局地址为202.106.1.252/24,地址池名称为yqw,允许地址复用。
要求:
● 地址转换后的地址直接使用路由器R2连接Internet的接口地址;
● 只允许VLAN5中的主机通过地址转换访问Internet,其他VLAN中的主机不允许进行此项操作;
● 仅用一条ACL规则实现,ACL列表名称为10;
● 配置的默认路由必须使用接口作为下一跳网关。
验证方法:通过ping通地址202.106.1.253/24,表明能够访问Internet。
1)设置NAT地址转换
路由器R1的设置语句如下所示。
R2_config_f0/0#ip address 202.106.1.252255.255.255.0 secondary
R2_config_f0/0#ip nat outside !设定F0端口为外网口
R2_config#interface serial 0/1
R2_config_s0/1#ip nat inside !设定S0端口为内网口
R2_config#ip nat pool yqw 202.106.1.252202.106.1.252255.255.255.0 !创建NAT地址池
R2_config#ip access-list standard 10 !创建标准ACL
R2_config_std_10#permit 192.168.1.128255.255.255.224 !允许VLAN5中的所有主机通过
R2_config#ip nat inside source list 10 pool yqw overload
!设定把ACL允许的源地址转换成NAT地址池中的地址,并做PAT地址复用
R2_config#ip route default FastEthernet0/0 !默认路由使用F0作为下一跳网关
2)测试
要求:VLAN5主机通过ping通地址202.106.1.253/24,表明能够访问Internet。
VLAN5的IP地址为192.168.1.158/27,该IP地址所在的网络号是192.168.1.128/27。设置主机的IP地址为192.168.1.157,是该网络中的一个可用IP。将网关设为VLAN5的IP地址,并从这台主机开始测试。设置好IP地址的主机如图2-10所示。
图2-10 主机的IP地址
用该主机ping网关192.168.1.158/27,结果如图2-11所示。
图2-11 用该主机ping网关192.168.1.158/27
用该主机ping地址202.106.1.2533/24,结果如图2-12所示。
图2-12 用该主机ping地址202.106.1.2533/24
14.路由器ACL
任务要求:在路由器R2上配置ACL,在fa0/0端口禁止特定主机192.168.1.150的所有访问,ACL名称为20。
交换机SW1的设置语句如下所示。
R2_config#ip access-list standard 20 !创建标准ACL
R2_config_std_20#deny src_range 192.168.1.150 192.168.1.150
R2_config_std_20#permit any
R2_config#interface serial 0/1
R2_config_s0/1#ip access-group 20 in
知识链接
(1)交换机和路由器的配置文件存放在本书附带光盘的“\项目二 园区网互联初步\配置文件\”目录下,分别命名为SW1.txt,SW2.txt,R1.txt,R2.txt。
(2)拓扑图请参考本书附带光盘中的“\项目二 园区网互联初步\others\拓扑图.jpg”。
项目小结
本项目涉及设备的命名、特权密码、Telnet、VLAN、生成树、端口设定、给路由器的PPP绑定CHAP认证、路由器的静态路由、RIP路由和路由重发布、ACL、NAT,内容相对较少,也比较简单,要求选手熟练掌握,灵活应用。
实训
依照以下任务描述,完成交换机和路由器的配置。
拓扑图如图2-13所示。
(1)配置设备名称:三层交换机分别为SW1、SW2,路由器分别为R1、R2。
(2)在两台三层交换机上为特权用户增加密码Shenzhou,密码以加密方式存储。
(3)在三层交换机SW1和路由器R1上设置Telnet登录:登录用户名为yuanqu,密码为digital2009,密码以明文方式存储;路由器中的登录验证方法名为系统默认名称,此方法使用本地数据库进行验证;在路由器R2上为特权用户添加密码digital2009,且用户级别为最高级,密码以明文方式存储。
图2-13 拓扑图
(4)依照表2-7,在三层交换机SW1上划分各VLAN,并加入相应的端口。
表2-7 在SW1上划分VLAN
将表2-7中未提到的端口放在VLAN1中。
(5)依照表2-8,在三层交换机SW2上划分各VLAN,并加入相应的端口。
表2-8 在SW2上划分VLAN
(6)依照表2-9,在三层交换机SW1上创建各VLAN的三层接口并配置IP地址。
表2-9 给SW1配置IP地址
(7)依照表2-10,在三层交换机SW2上创建各VLAN三层接口并配置IP地址。
表2-10 给SW2配置IP地址
(8)依照表2-11,将三层交换机SW1的端口24与路由器R1的Fa0/0口相连,SW2的端口24与路由器R1的Fa0/3口相连,设置路由器R1接口的IP地址。
表2-11 设置路由器R1接口的IP地址
(9)依照表2-12,将WIN03-22与路由器R2的Fa0/0口相连,并设置路由器R2接口的IP地址。
表2-12 设置路由器R2接口的IP地址
(10)将两台三层交换机的端口E0/0/10、E0/0/11互连,并将该端口设置成聚合端口,确保跨交换机的VLAN10、VLAN20可以连通。
(11)在三层交换机SW1端口E0/0/1上实施静态MAC地址与端口的绑定,MAC地址为WIN03-11的MAC地址,禁止此端口连接交换机,违反此规则就关闭此端口。
(12)设置交换机的VRRP,使WIN03-11、WIN03-12在正常情况下从左边路径上网,WIN03-21从右边路径上网。当某一链接中断时,可以用另一条路径上网。
(13)将两台路由器的串口serial0/1用背对背线缆连接起来,连接时注意确保R1为DTE端,R2为DCE端。封装需要进行PAP验证的PPP协议,验证方法列表名为jineng;R2为认证端,DCE端的路由器用户名为userdce,密码为shenzhou,密码用明文显示。
(14)使用OSPF动态路由实现全网导通。
(15)在路由器R1配置ACL,禁止192.168.2.0/24网段在每天晚上18:00至早上7:00访问WIN03-22服务器。
(16)在路由器R2上配置地址转换,使得VLAN20中的主机可以通过地址转换访问Internet,内部全局地址为64.32.1.1/30,地址池名称为yqwds,允许地址复用。
要求:
[1] 地址转换后的地址直接使用路由器R2连接Internet的F0/3接口地址;
[2]只允许VLAN20中的主机通过地址转换访问Internet,其他VLAN中的主机不允许进行此项操作;
[3] 仅用一条ACL规则实现,ACL列表名称为10;
[4] 配置的默认路由必须使用F0/3接口作为下一跳网关,并在路由器上发布默认路由,使得VLAN20中的主机能够访问Internet。
比赛与训练心得
(1)比赛开始前要注意计算机的配置是否和全国大赛所要求的配置一样,如果不一样要立刻向监考人员汇报,以免在比赛过程中因为计算机问题而影响比赛结果。
(2)拿到试题时,不要盲目做题,要仔细审题,看清楚每一道题目,并画出拓扑图,标记好VLAN、接口、网关和IP,以免在后面配置时翻查试题浪费时间。
(3)要注意时间的分配和计算机的分配,确定好服务器并安装服务器系统;在系统安装的过程中做网线,可以节省很多时间。
(4)在连接设备时一定要分清端口,连接好网线后再根据拓扑图检查一遍,避免设备配置完成后网络不通。特别要注意路由器串口的链接,看清楚梯形口的方向,当方向接反时也能接上去,但会导致网络接口不通;还要注意配置DCE端的时钟频率,否则也会导致网络不通。
(5)安装完服务器后应该先配置服务器,把Web提前发布,避免在比赛快结束时因为没时间发布网页而导致网页部分不得分。
(6)配置特权用户密码时,有选手喜欢先打空格,然后打“?”查看帮助信息,看到不需要再配置时直接回车,这样做易导致密码错误。
(7)题目要求选手做16条网线,故选手平时要加强训练,以求将网线做得又快又好。
(8)题目要求很细,要求学习在平时训练当中多用“?”查看帮助信息,并掌握所有细节。