来源:蜘蛛抓取(WebSpider)
时间:2015-02-09 03:41
标签:
女人图片 急急急
后使用快捷导航没有帐号?
怎么我的H60-L01连接不上电脑 大神你在那?急急急
&新学乍练&
来自:浏览器
一连助手(360的)怎么都连不上(其他助手一样)&&是不是要手机升级 当前版本是H60-L01V100R001CHNC00B120SP03&&连不上电脑就不能解锁 解不了就不能ROOT 各种麻烦 各种头疼急
width:100%">
&主题爱好者&
来自:H60-L01
不建议楼主解锁手机,解锁后就无法收到后续推送更新且会失去保修,建议等到保修结束后再折腾
连不上电脑,确保你电脑端usb端口工作正常,台式机最好接入机箱后面的接口,确保驱动正常安装!
width:100%">
&新学乍练&
来自:浏览器
不建议楼主解锁手机,解锁后就无法收到后续推送更新且会失去保修,建议等到保修结束后再折腾
连不上电脑, ...
不解锁能ROOT? 各种后台运行麻烦死了 时常卡屏重启 正常&&后面一样连不上
width:100%">
&初窥门径&
来自:浏览器
我的也连接不上360手机助手下视频太费劲了
width:100%">
&新学乍练&
来自:浏览器
我的也连接不上360手机助手下视频太费劲了
其他助手一样连不上
width:100%">
&略有小成&
来自:浏览器
下个华为手机驱动吧。
width:100%">
&主题爱好者&
来自:H60-L01
Accpet 发表于
不解锁能ROOT? 各种后台运行麻烦死了 时常卡屏重启 正常&&后面一样连不上
请问你用的是什么操作系统?(电脑)
width:100%">
&新学乍练&
来自:浏览器
请问你用的是什么操作系统?(电脑)
操作系统 Microsoft Windows XP Professional (SP3)工作站(32位)
width:100%">
&花粉特种部队&
来自:浏览器
1,在设置——关于手机——版本号连续点击7次
2,返回上一级菜单,usb调试打开
3,连接电脑,用豌豆荚之类的安装驱动就可以了。
“已答复”的盖章,只是用来部队内部分辨是否有人接手在跟进此贴,不是结贴完事的意思,仅作部队内部工作分配用,请各位坛友周知,并继续回贴帮助各位楼主。感谢理解
向部队反馈或提供后续信息,请在我的回贴下面,直接点击“回复”
width:100%">
&新学乍练&
来自:浏览器
1,在设置——关于手机——版本号连续点击7次
2,返回上一级菜单,usb调试打开
3,连接电脑,用豌豆荚之类 ...
usb调试打开了& & 试过一样连不上
width:100%">
至少5个原创技术帖,每个帖≥8K浏览,有效回复≥300,加分数达≥25
至少3个原创技术帖,每个帖≥5K浏览,有效回复数≥150,被加分数≥15
关注华为花粉俱乐部微信公众平台——“华为花粉俱乐部”
申请成为热心花粉,满足热心花粉条件即可获得!http://cn./forum.php?mod=viewthread&tid=183642
好基友勋章
花粉好机友,注册时间大于99天
1000万花粉
纪念花粉俱乐部注册花粉数超过1000万
大富翁勋章
达到1万花瓣后可申请获得大富翁勋章
1月7日前可申请自动获得,1月7日后参与其它相关活动获得。
夜色随拍一叶落几番秋微距镜头下的小昆虫只有你知道遇见夏天的海去K记
花粉客户端
Make it Possible
Make your device special
华为云服务
Huawei cloud services
音乐播放器
Huawei Music
Huawei Vmall
没有最新动态
关注花粉俱乐部
联系我们:
|关注花粉俱乐部:
Copyright (C)
华为软件技术有限公司 版权所有 保留一切权利热门日志推荐
人人最热标签
分享这篇日志的人常去
北京千橡网景科技发展有限公司:
文网文[号··京公网安备号·甲测资字
文化部监督电子邮箱:wlwh@··
文明办网文明上网举报电话: 举报邮箱:&&&&&&&&&&&&
请输入手机号,完成注册
请输入验证码
密码必须由6-20个字符组成
下载人人客户端
品评校花校草,体验校园广场1421人阅读
变更到 VLAN 99
的接口配置模式。
用 IP 地址 172.17.A.B/24 配置 VLAN99 并激活接口。
变更到 ethernet 0/0/20
的接口配置模式,将端口模式设置为 access。
将 VLAN 99 分配给端口,退出接口配置模式。
进入到 ethernet 0/0/20
的接口配置模式,将接口的带宽设置为 10Mbps 和全双工。
在特权模式下使用write命令保存设置。
保存运行配置文件:
配置的默认网关。
ip default-gateway 172.17.99.1
任务:修改历史记录缓存
步骤将控制台线路的历史记录缓存设置为。
line console 0
history size 50
任务:配置口令和控制台访问
步骤加密口令。
service password-encryption
任务:配置登录标语
banner motd #Authorized Access Only#
任务:配置启动顺序
步骤配置使用所列的第二个映像启动。
boot system flash:c2960-lanbase-mz.122-25.SEE1.bin
!给加入端口
!给加入端口
将端口设置为模式,端口设置为模式。
设置交换机trunk 端口
switchA(Config)#interface ethernet 0/0/24
switchA(Config-Ethernet0/0/24)#switchport mode trunk
Set the port Ethernet0/0/24 mode TRUNK successfully
switchA(Config-Ethernet0/0/24)#switchport trunk allowed vlan all
set the port Ethernet0/0/24 allowed vlan successfully
switchA(Config-Ethernet0/0/24)#exit
:设置端口允许通过,,的流量。
设置某端口的为。
新建一个,并且采用默认的流量分担方式
在端口模式下,将本端口以模式加入
使能端口的MAC地址绑定功能
switch(Config)#interface ethernet 0/0/1
switch(Config-Ethernet0/0/1)#switchport port-security
设置镜像源端口为的发出流量。
设置镜像目的端口为。
显示当前地址表中的过滤表项。
&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& !进入特权模式
&&&&&& &&&&&&&&&&&&&&&&&&&&&&& !查看当前配置
&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& !删除配置文件
&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& !重新启动
设置接口地址、的时钟频率以及验证
&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& !进入特权模式
&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& !进入全局配置模式
&&&& &&&&&&&&&&&&&&&&&&& !修改机器名
&&&& &&&&&&&&&&&&&&&&&&&&&&& !进入接口模式
&&&& !配置IP 地址
&&&& &&&&&&& !配置DCE 时钟频率
&&&&& &&&&&&&&&&&&&&&&&&&&&&& !按ctrl + z
进入特权模式
&&&&& &&&&&&&&&&&&&&&&&&& !查看接口状态
&&& &&&&&&&&&&&
!对端没有配置,所以协议是DOWN
&&&& &&& &&&&&&&&&&& !查看DCE
&&&&&& &&&&&&&&&&& !查看IP
&&&&&& !查看封装协
设置特权模式密码
&&&&& &&&&&&& !0 表示明文
&&&& !启用认证
&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& !保存配置
使用全局配置命令配置接口状态。
(用于带有非信道化的物理接口的路由器)
(用于显示非信道化的物理接口)
(用于显示子接口)
&&&&&&&&&&&&& !上传配置文件作为备份
&&&&&& !封装协议
&&& !配置
!封装协议
!配置时钟频率
客户机的配置
配置静态路由,
Router-A_config #ip route 192.168.2.0 255.255.255.0 192.168.1.2
Router-A_config #show ip route
配置访问控制列表禁止 PC-A所在的网段对
PC-B的访问
!定义标准的访问控制列表
!基于源地址
!因为有隐含的
在 ROUTER-A上设置访问列表
Router-A#conf
Router-A_config# ip access-list extended 192 !定义扩展访问列表
Router-A_config_std_nacl#
deny tcp 192.168.3.0 255.255.255.0 192.168.2.2 255.255.255.255 eq 23& !设置扩展访问列表,拒绝 Telnet
①进入特权模式
DCRS-5650-28&enable
②进入配置模式
DCRS-5650-28#config
③设置交换机名
DCRS-5650-28#hostname Switch
④进入管理VLAN配置模式
Switch(config)#interface vlan 1
⑤设置管理ip地址
Switch(config-If-Vlan1)#ip address 192.168.A.B 255.255.255.0
⑥启用vlan1。
Switch(config-If-Vlan1)#no shutdown
Switch(config-If-Vlan1)#exit
交换机设置授权telnet用户
①启用telnet服务
Switch(config)#telnet-server enable
②设置telnet用户及密码
5650及除一号、八号实验台的3950配置方式为:
Switch(config)#telnet-user &用户名& password 0 &密码&
一号、八号实验台3950配置方式为:
Switch(config)#username &用户名& privilege 15 password 0 &密码&
Enable密码配置
5650及一号、八号实验台3950配置方式为:
Switch(config)#enable password &密码&
除一号、八号实验台的3950配置方式为:
Switch(config)#enable password level admin
变更到 ethernet 0/0/20 的接口配置模式,将端口模式设置为 access。
步骤 11. 将 VLAN 99 分配给端口,退出接口配置模式。
步骤8. 进入到 ethernet 0/0/20 的接口配置模式,将接口的带宽设置为 10Mbps 和全双工。
步骤9. 在计算机的命令提示符中输入“Ping 192.168.A.B”命令,查看是否能Ping通。
步骤10. 进入到 ethernet 0/0/20 的接口配置模式,将接口的带宽设置为 100Mbps 和全双工。
步骤15. 在特权模式下使用write命令保存设置。
)储存内的映像到 服务器
()从服务器上得到系统文件:
()从服务器上得到系统文件,对堆叠模式下的交换机进行整体升级:
()保存运行配置文件:
相关命令:
配置主机名和
步骤配置的默认网关。
ip default-gateway 172.17.99.1
任务:修改历史记录缓存
步骤将控制台线路的历史记录缓存设置为。
line console 0
history size 50
任务:配置口令和控制台访问
步骤加密口令。
service password-encryption
任务:配置登录标语
banner motd #Authorized Access Only#
任务:配置启动顺序
步骤配置使用所列的第二个映像启动。
boot system flash:c2960-lanbase-mz.122-25.SEE1.bin
任务:保护未使用端口的安全
步骤禁用上的所有未使用端口。
进入端口配置模式,然后使用命令
S1#configure terminal
S1(config)#line console 0
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#line vty 0 15
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#exit
S1(config)#
为什么需要登录命令?
设置命令模式口令。
将使能加密口令设置为 class。
S1(config)#enable secret class
配置交换机的第 3
在内部虚拟接口 VLAN 99
上将交换机的 IP
地址设置为 172.17.99.11,子网掩码为 255.255.255.0。首先必须在交换机上创建
VLAN,然后才能分配地址。
S1(config)#vlan 99
S1(config-vlan)#exit
S1(config)#interface vlan99
S1(config-if)#ip address 172.17.99.11 255.255.255.0
S1(config-if)#no shutdown
S1(config-if)#exit
为交换机 VLAN
分配端口。
将 Fastethernet 0/1、0/8
端口分配给 VLAN 99。
S1(config)#interface fa0/1
S1(config-if)#switchport access vlan 99
S1(config-if)#exit
设置交换机默认网关。
S1(config)#ip default-gateway 172.17.99.1
S1(config)#exit
配置快速以太网接口的端口速率和双工设置。
配置 FastEthernet 0/18
的双工和速率设置。完成后使用&end&命令返回特权执行模式。
S1#configure terminal
S1(config)#interface fastethernet 0/18
S1(config-if)#speed 100
S1(config-if)#duplex full
S1(config-if)#end
定交换机已学习的 MAC
在特权执行模式下使用&show mac-address-table&命令显示
MAC 地址。如果没有显示 MAC
地址,请从 PC1 ping S1,然后再次检查。
S1#show mac-address-table
要删除现有 MAC
地址,请在特权执行模式下使用&clear mac-address-table dynamic&命令。
S1#clear mac-address-table dynamic
确认结果。
地址表已清除。
S1#show mac-address-table
.设置静态 MAC
S1(config)#mac-address-table static .C285 vlan 99 interface fastethernet 0/18
地址表条目。
S1#show mac-address-table
删除静态 MAC
进入配置模式,在命令串前加上&no&以删除静态
S1(config)#no mac-address-table static .C285 vlan 99 interface fastethernet 0/18
使用&show mac-address-table static&命令确认静态
MAC 地址已被清除。
列出端口安全选项。
研究用于在快速以太网接口 0/18
上设置端口安全的选项。
S1# configure terminal
S1(config)#interface fastethernet 0/18
S1(config-if)#switchport port-security ?
& mac-address& Secure mac address
& maximum&&&&& Max secure addresses
& violation&&& Security violation mode
在接入端口上配置端口安全性。
配置交换机端口 FastEthernet 0/18
仅接受两台设备,动态学习这些设备的 MAC
地址,并在发生安全违规事件时关闭端口。
S1(config-if)#switchport mode access
S1(config-if)#switchport port-security
S1(config-if)#switchport port-security maximum 2
S1(config-if)#switchport port-security mac-address sticky
S1(config-if)#switchport port-security violation shutdown
S1(config-if)#exit
确认结果。
使用&show port-security interface fa0/18&命令显示端口安全设置。
在端口上修改端口安全设置。
在快速以太网接口 0/18
上,将端口安全最大 MAC
地址计数更改为 1。
S1(config-if)#switchport port-security maximum 1
确认结果。
使用&show port-security interface fa0/18&命令显示端口安全设置
重新激活端口。
S1#configure terminal
S1(config)#interface fastethernet 0/18
S1(config-if)#no shutdown
S1(config-if)#exit
举例:设置某Access 端口加入VLAN100。
Switch(Config)#interface ethernet 0/0/8
Switch(Config-ethernet0/0/8)#switchport mode access
Switch(Config-ethernet0/0/8)#switchport access vlan 100
Switch(Config-ethernet0/0/8)#exit
举例:将端口
设置为模式,端口设置为模式。
Switch(Config)#interface ethernet 0/0/8
举例:设置
端口允许通过,,的流量。
举例:设置某
端口的为。
功能:使能端口
地址绑定功能;本命令的操作为关闭端口地址绑定功能。
命令模式:端口配置模式
缺省情况:交换机端口不打开地址绑定功能。
使用指南:地址绑定功能与、、端口汇聚功能存在互斥关系,因
此如果要打开端口的地址绑定功能,就必须关闭端口上的、、端
口汇聚功能,且打开地址绑定功能的端口不能是口。
举例:使能端口的地址绑定功能。
功能:将端口学习到的动态地址转化为静态安全地址。
命令模式:端口配置模式
使用指南:必须在安全端口锁定之后才能执行端口动态地址转化命令。执行此命令之
后,端口学习到的动态地址将转化为静态安全地址。该命令没有配置保留。
举例:将端口的地址转化为静态安全地址。
switchport port-security lock
功能:锁定端口。端口被锁定之后,端口的地址学习功能将被关闭;本命令的操作
为恢复端口的地址学习功能。
命令模式:端口配置模式
缺省情况:端口未锁定
使用指南:端口必须使能地址绑定功能之后才能执行端口锁定命令。执行端口锁定命
令之后,端口将关闭动态学习功能。
举例:锁定端口。
switchport port-security timeout
功能:设置端口锁定的定时器;本命令的操作为恢复缺省值。
参数:锁定时器时间间隔,取值范围为。
命令模式:端口配置模式
缺省情况:端口未打开端口锁定的定时器。
使用指南:端口锁定定时器功能是一种动态地址锁定功能,锁定定时器超时就执行
地址锁定操作及将动态转换为安全地址的操作。端口必须先开启地址绑定功能后才能使用此命令。
举例:设置端口的锁定时器为秒。
switchport port-security mac-address
功能:添加静态安全地址;本命令的操作为删除静态安全地址。
命令模式:端口配置模式
参数:为添加删除的地址。
使用指南:端口必须使能地址绑定功能之后才能添加端口静态安全地址。
举例:添加到端口。
clear port-security dynamic
功能:清除指定端口的动态地址。
命令模式:特权配置模式
参数:为地址;为指定的端口号。
使用指南:必须在安全端口锁定之后之后才能执行指定端口的动态清除操作。如果不
指定端口、地址,则清除所有锁定的安全端口的动态;如果仅指定端口,不指
定地址,则清除指定端口的所有动态地址。
举例:删除端口动态。
switchport port-security maximum
功能:设置端口最大安全地址数;本命令的操作为恢复最大安全地址数为。
命令模式:端口配置模式
参数:端口静态安全地址上限,取值范围。
缺省情况:端口最大安全地址数为。
使用指南:端口必须使能地址绑定功能之后才能设置端口安全地址上限。如果
端口静态安全地址数大于设置的最大安全地址数,则设置失败;必须删除端口
的静态安全地址,直到端口静态安全地址数不大于设置的最大安全地址
数,设置才会成功。
举例:设置端口安全地址上限为。
switchport port-security violation
功能:设置端口违背模式;本命令的操作为恢复违背模式为。
命令模式:端口配置模式
参数:为保护模式;
为关闭模式。
缺省情况:端口违背模式为缺省为。
使用指南:端口必须使能地址绑定功能之后才能设置端口违背模式。如果端口违背模
式设置为,那么当端口安全地址超过设置的端口安全上限的时候,端口
仅仅关闭动态地址学习功能;如果端口违背模式设置为,那么当端口安全
地址超过设置的端口安全上限的时候,端口将被关闭,用户可以通过
命令手工打开该端口。
举例:设置端口的违背模式为。
show port-security
功能:显示全局安全端口配置情况。
命令模式:特权配置模式
缺省情况:交换机不显示安全端口配置情况。
使用指南:本命令显示交换机当前已经配置为安全端口的端口信息。
显示信息解释
配置为安全端口的端口名
安全端口设置的最大安全地址数
安全端口当前安全地址数
端口设置的违背模式
系统中当前安全地址数
系统中最大安全地址数
show port-security interface
功能:显示安全端口配置情况。
命令模式:特权配置模式
参数:指定的显示端口。
缺省情况:交换机不显示安全端口配置情况。
使用指南:本命令显示交换机安全端口的详细配置信息。
显示信息解释
端口是否使能为安全端口
端口安全状态
端口设置的违背模式
端口设置的安全地址上限
端口当前安全地址数
端口静态配置的安全地址数
端口是否开启锁定的定时器(定时器时间)
端口地址学习功能是否打开
show port-security address
功能:显示端口安全地址。
命令模式:特权配置模式
参数:指定的显示端口。
使用指南:本命令显示端口安全地址信息,如果不指定端口则显示所有端口安全
地址。显示内容举例如下:
显示信息解释
安全地址的
安全地址类型
安全地址所属端口
系统中当前安全地址数
功能:指定镜像源端口;本命令的操作为删除镜像源端口。
参数:为镜像值,取值范围;但根据堆叠组的数目,目前最多只能
支持个(在全部为的情况下);从取值中无法辨别方式,还是
方式,两种方式采用号统一编号。为镜像源端口列表,支持
等特殊字符;为镜像源端口接收的流量;
为镜像从源端口发出的流量;
端口入和出的流量。
命令模式:全局配置模式
使用指南:本命令设置镜像的源端口,对镜像源端口没有限制,可以是一个端
口,也可以是多个端口,不仅能镜像源端口的发出和接收双向的流量,还能单独镜像源端口
的发出流量及接收流量。如果不指定关键字,缺省为。
说明:互相配对的源和目的端口的值必须是相同的。
举例:设置镜像源端口为的发出流量。
功能:指定镜像目的端口;本命令的操作为删除镜像目的端口。
参数:为镜像值,取值范围;但根据堆叠组的数目,目前最多只能
支持个(在全部为的情况下);从取值中无法辨别方式,还是
方式,两种方式采用号统一编号。为镜像目的端口。
命令模式:全局配置模式
使用指南:目前仅支持一个镜像目标端口。需要注意的是,作为镜像目标端口
不能是端口聚合组的成员,并且端口吞吐量最好大于或等于它所镜像的所有源端口的吞吐量
说明:互相配对的源和目的端口的值必须是相同的。
举例:设置镜像目的端口为。
功能:显示镜像源、目的端口的信息。
命令模式:特权模式
使用指南:通过本命令可以显示当前设置的镜像源端口及目的端口。
功能:打开的调试信息;本命令的操作为关闭的调试信息。
命令模式:特权用户配置模式
使用指南:分发配置参数至交换机时,会显示相应的配置的信息,
使用户明白是否已经配置上相应的镜像。
private-vlan
功能:将当前设置为,该命令的操作为取消设置。
参数:将当前 设置为,将当前设置为
,将当前设置为。
命令模式:配置模式
缺省情况:缺省没有配置。
使用指南:分为三种:,在内的端口可以和关
联到该的和中的端口进行通信;
,在内的端口之间是隔绝的,它们只可以和其相关联的
内的端口通信;,在内的端口相互之间可以通信,也
也可以和其相关联的内的端口通信;在内的端口和在
内的端口之间不能通信。
只有不包含任何以太网端口的才能被设置为;只有设置了关联关系的
才能类型的以太网端口设置为成员端口;普通若被设置成
后,会自动将所属以太网端口清空。
另外注意 不传播的信息。
举例:将、、设置为,类型分别为、、。
private-vlan association
no private-vlan association
功能:设置的绑定操作,该命令的操作为取消绑定。
参数: 为与指定
相关关联的列表,
包括和两种,支持连接多个
命令模式:配置模式
缺省情况:缺省没有绑定。
使用指南:只有类型的才能设置关联关系;被关联到
上的内的各个端口可以和关联的内的各个端口进行
在设置 关联前,三种类型的都没有以太网端口的成员端口;存
在关联关系的不能被删除;被解除关联关系的
会自动将所属成员端口清空。
举例:将、关联到上。
S1(config)#vlan 99
S1(config-vlan)#name Management&Native
S1(config-vlan)#exit
S1(config)#vlan 10
S1(config-vlan)#name Faculty/Staff
S1(config-vlan)#exit
S1(config)#vlan 20
S1(config-vlan)#name Students
S1(config-vlan)#exit
S1(config)#vlan 30
S1(config-vlan)#name Guest(Default)
S1(config-vlan)#exit
S2(config)#interface fastEthernet0/6
S2(config-if)#switchport access vlan 30
S2(config-if)#interface fastEthernet0/11
S2(config-if)#switchport access vlan 10
S2(config-if)#interface fastEthernet0/18
S2(config-if)#switchport access vlan 20
S2(config-if)#end
S1(config)#interface fa0/1
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk native vlan 99
S1(config-if)#interface fa0/2
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk native vlan 99
S1(config-if)#end
S2(config)#interface fa0/1
S2(config-if)#switchport mode trunk&&
S2(config-if)#switchport trunk native vlan 99
S2(config-if)#end
S3(config)#interface fa0/2
S3(config-if)#switchport mode trunk &&&&
S3(config-if)#switchport trunk native vlan 99
S3(config-if)#end
S2(config)#interface fastethernet 0/11
S2(config-if)#switchport access vlan 20
S2(config-if)#end
任务 1:配置基本交换机管理
建立到 S1 的控制台连接。
·&&&&&&&&&&&&&&&&&
单击 PC1,然后单击 Desktop(桌面)选项卡,选择其中的
Terminal(终端)。
·&&&&&&&&&&&&&&&&&
保留终端配置的下列默认设置不变,然后单击 OK(确定):
·&&&&&&&&&&&&&&&&&&&&&&&&&&
Bits Per Second(每秒位数)= 9600
·&&&&&&&&&&&&&&&&&&&&&&&&&&
Data Bits(数据位)= 8
·&&&&&&&&&&&&&&&&&&&&&&&&&&
Parity(奇偶校验)= None(无)
·&&&&&&&&&&&&&&&&&&&&&&&&&&
Stop Bits(停止位)= 1
·&&&&&&&&&&&&&&&&&&&&&&&&&&
Flow Control(流量控制)= None(无)
·&&&&&&&&&&&&&&&&&
现在已建立到 S1
的控制台连接。按 Enter
进入交换机提示符。
变更到特权执行模式。
要使用特权执行模式,键入&enable&命令。提示符从&变为&#。
S1&enable&S1#
注意您是如何能够不提供口令而进入特权执行模式的。为什么缺少特权执行模式口令是一个安全威胁?
变更到全局配置模式配置特权执行模式口令。
·&&&&&&&&&&&&&&&&&
在特权执行模式下,您可以使用&configure terminal&命令访问全局配置模式。
·&&&&&&&&&&&&&&&&&
使用&enable secret&命令设置口令。对于本练习,请将口令设置为&class。
S1#configure terminal&
Enter configuration commands, one per line. End with CNTL/Z.
S1(config)#enable secret class&
S1(config)#
不会给&enable secret&命令评分。
配置虚拟终端和控制台的口令并要求用户通过口令登录。
访问控制台线路应当需要口令。即使最基本的用户执行模式也能给恶意用户提供重要信息。另外,vty
线路必须有口令,用户从远程访问交换机时必须先输入口令。
·&&&&&&&&&&&&&&&&&
使用&line console 0&命令进入控制台提示符。
·&&&&&&&&&&&&&&&&&
使用&password&命令将控制台和 vty
线路的口令配置为&cisco。注:这种情况下,PT
不会给&password cisco&命令评分。
·&&&&&&&&&&&&&&&&&
然后输入&login&命令,它要求用户先输入口令,然后才能进入用户执行模式。
·&&&&&&&&&&&&&&&&&
线路重复上述过程。使用&line vty 0 15&命令进入正确的提示符。
·&&&&&&&&&&&&&&&&&
键入&exit&命令,返回全局配置提示符。
S1(config)#line console 0&
S1(config-line)#password cisco&
S1(config-line)#login&
S1(config-line)#line vty 0 15&
S1(config-line)#password cisco&
S1(config-line)#login&
S1(config-line)#exit
S1(config)#
配置口令加密。
特权执行口令已经加密。要对刚才配置的线路口令加密,请在全局配置模式下输入&service password-encryption&命令。
S1(config)#service password-encryption&
S1(config)#
配置并测试 MOTD
配置当天消息 (MOTD),文本使用&Authorized Access Only(仅限授权访问)。标语文本区分大小写。请勿在标语文本前后添加空格。在标语文本前后使用定界符指示文本从何处开始,到何处结束。下例中使用的定界符为&&,但是您可以使用标语文本中未使用的任何字符。配置完
MOTD 后,从交换机注销,然后再次登录,检查是否显示了上述标语。
S1(config)#banner motd &Authorized Access Only&&
S1(config)#end&[or&exit]&
S1 con0 is now available Press RETURN to get started.&[Enter]&
Authorized Access Only User Access Verification Password:
·&&&&&&&&&&&&&&&&&
现在口令提示符要求输入口令才能进入用户执行模式。输入口令&cisco。
·&&&&&&&&&&&&&&&&&
使用口令&class&进入特权执行模式,然后使用&configure terminal&命令返回全局配置模式。
Password:&[cisco]&!注:键入口令时,口令将会自动隐藏。
S1&enable&
Password:&[class]&!注:键入口令时,口令不显示。
S1#configure terminal&
Enter configuration commands, one per line. End with CNTL/Z.
S1(config)#
检查结果。
完成百分比应当为 40%。如果不是,请单击&Check Results(检查结果),查看哪些需要的组件尚未完成。
任务 2:配置动态端口安全性
启用 VLAN99。
Packet Tracer 打开时,VLAN 99
接口处在关闭状态,实际的交换机并不是这样运作。必须使用no shutdown&命令启用
VLAN 99,然后该接口在 Packet Tracer
中才变为活动。
S1(config)#interface vlan 99&
S1(config-if)#no shutdown
进入 FastEthernet 0/18
的接口配置模式并启用端口安全性。
首先必须启用端口安全性,方能在接口上使用其它端口安全性命令。
S1(config-if)#interface fa0/18&
S1(config-if)#switchport port-security
请注意,无需退回到全局配置模式便可进入 fa0/18
的接口配置模式。
地址的最大数量。
要配置端口使其只允许学习一个 MAC
地址,请将&maximum&设置为&1:
S1(config-if)#switchport port-security maximum 1
不会给&switchport port-security maximum 1&命令评分,但此命令对配置端口安全性非常重要。
配置端口将 MAC
地址添加到运行配置中。
可以把端口学习的 MAC
地址添加(“粘滞”)到端口的运行配置中。
S1(config-if)#switchport port-security mac-address sticky
不会给&switchport port-security mac-address sticky&命令评分,但此命令对配置端口安全性非常重要。
配置端口在发生端口安全违规事件时自动关闭。
如果不配置以下命令,则 S1
只会将违规事件登记在端口安全性统计信息中,而不会关闭端口。
S1(config-if)#switchport port-security violation shutdown
不会给&switchport port-security violation shutdown&命令评分,但此命令对配置端口安全性非常重要。
已学习到 PC1 的 MAC
从 PC1 ping S1。
现在的 MAC
表中有 PC1 的静态 MAC
S1#show mac-address-table&Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 99 b.cd23 STATIC Fa0/18
地址现已“粘滞”到运行配置。
S1#show running-config&
&省略部分输出&
interface FastEthernet0/18
switchport access vlan 99
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky B.CD23
&省略部分输出&
检查结果。
完成百分比应当为 70%。如果不是,请单击&Check Results(检查结果),查看哪些需要的组件尚未完成。
任务 3:测试动态端口安全性
与 S1 之间的连接,将 PC2
·&&&&&&&&&&&&&&&&&
要测试端口安全性,请拆除 PC1
之间的以太网连接。如果不小心拆除了控制台电缆连接,只需重新连上。
·&&&&&&&&&&&&&&&&&
上的 Fa0/18。等待琥珀色链路指示灯变绿,然后从 PC2 ping S1。端口应当自动关闭。
确认端口安全事件是端口关闭的原因。
要确认端口关闭的原因与端口安全性有关,请输入命令&show interface fa0/18。
S1#show interface fa0/18&
FastEthernet0/18 is down, line protocol is down (err-disabled) Hardware is Lance, address is 12 (bia 12)
&省略部分输出&
由于交换机端口从不同于已学习到的 MAC
地址接收到帧而发生错误 (err),致使线路协议关闭,因而 Cisco IOS
软件关闭了 (disabled)
也可以使用&show port-security interface fa0/18&命令检验安全违规事件。
S1#show port-security interface fa0/18&
Port Security : Enabled Port
Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute SecureStatic
Address Aging : Disabled Maximum
MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 00E0.F7B0.086E:99
Security Violation Count : 1
请注意端口状态是&secure-shutdown(安全关闭),而且安全违规事件计数是&1。
与 S1 之间的连接并重置端口安全性。
之间的连接。将 PC1
重新连接到 S1 上的 Fa0/18
请注意,尽管您已重新连上端口允许的 PC,但是端口仍处在关闭状态。对于发生安全违规事件的端口,必须手动将其激活。关闭端口,然后使用&no
shutdown&命令激活端口。
S1#config t&
Enter configuration commands, one per line. End with CNTL/Z.
S1(config)#interface fa0/18&
S1(config-if)#shutdown&
%LINK-5-CHANGED: Interface FastEthernet0/18, changed state to administratively down
S1(config-if)#no shutdown&%LINK-5-CHANGED: Interface FastEthernet0/18, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/18, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to up
S1(config-if)#exit&
S1(config)#
从 PC1 ping S1,测试其间的连通性。
应当能成功 ping
此任务结束时,完成百分比仍应是 70%。
任务 4:保护未使用端口的安全
为了防止未经授权访问网络,许多管理员使用的一个简单方法是禁用网络交换机上的所有未使用端口。
上的接口 Fa0/17。
进入 FastEthernet 0/17
的接口配置模式,关闭该端口。
S1(config)#interface fa0/17&
S1(config-if)#shutdown
连接到 S1 上的 Fa0/17,测试该端口。
·&&&&&&&&&&&&&&&&&
上的 Fa0/17 接口。请注意链路指示灯为红色。PC2
无权访问网络。
任务 1:使用 Easy IP
配置路由器
和 R3 的排除地址。
服务器、路由器和打印机等设备需要静态地址,定义一个保留给这些主机使用的地址集。可供分配给 DHCP
客户端的地址池中不包括这些地址。对于 R1
和 R3,排除 DHCP
池中的前九个地址。
R1(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.9&
R1(config)#
R3(config)#ip dhcp excluded-address 192.168.30.1 192.168.30.9&
R3(config)#
的地址池。
定义地址池, DHCP
将把该地址池中的地址分配给 R1 LAN
客户端。可用地址为 192.168.10.0
网络上除步骤 1
排除地址以外的所有地址。
上,将地址池命名为 R1LAN。为请求 DHCP
服务的客户端设备指定地址池、默认网关和 DNS
R1(config)#ip dhcp pool R1LAN&
R1(dhcp-config)#network 192.168.10.0 255.255.255.0&
R1(dhcp-config)#default-router 192.168.10.1&
R1(dhcp-config)#dns-server 192.168.20.254
的地址池。
上,将地址池命名为 R3LAN。为请求 DHCP
服务的客户端设备指定地址池、默认网关和 DNS
R3(config)#ip dhcp pool R3LAN&
R3(dhcp-config)#network 192.168.30.0 255.255.255.0&
R3(dhcp-config)#default-router 192.168.30.1&
R3(dhcp-config)#dns-server 192.168.20.254
检查结果。
完成比例应为 43%。如果不是,请单击&Check Results(检查结果),查看哪些需要的组件尚未完成。
任务 2:检验 PC
已自动配置
和 PC3 的 DHCP
的&Desktop(桌面)选项卡上,单击&IP Configuration(IP
配置),然后选择&DHCP。IP
配置信息应会立即更新。
检查路由器的 DHCP
运行情况。
要检验路由器的 DHCP
运行情况,请发出&show ip dhcp binding&命令。结果应显示每台路由器上都绑定了一个 IP
检查结果。
完成比例应为 86%。如果不是,请单击 Check Results(检查结果),查看哪些需要的组件尚未完成。
任务 3:利用 DNS
条目配置 DNS Server
配置 DNS Server。
要在 DNS Server
上配置 DNS,请单击&Config(配置)选项卡上的&DNS&按钮。
已启动,输入以下 DNS
·&&&&&&&&&&&&&&&&&
209.165.201.30
·&&&&&&&&&&&&&&&&&
209.165.202.158
是一种路由器配置脚本,根据源地址、目的地址,以及协议或端口来控制路由器应该允许还是应该拒绝数据包。扩展 ACL
比标准 ACL
更加灵活而且精度更高。本练习的主要内容是定义过滤标准、配置扩展 ACL、将 ACL
应用于路由器接口并检验和测试 ACL
实施。路由器已经过配置,包括 IP
地址和 EIGRP
路由。用户执行口令是cisco,特权执行口令是&class。
任务 1:检查当前的网络配置
查看路由器的运行配置。
逐一在三台路由器的特权执行模式下使用&show running-config&命令查看运行配置。请注意,接口和路由已配置完整。将
IP 地址配置与上面的地址表相比较。此时,路由器上应该尚未配置任何 ACL。
本练习不需要配置 ISP
路由器。假设 ISP
路由器不属于您的管理范畴,而是由 ISP
管理员配置和维护。
确认所有设备均可访问所有其它位置。
将任何 ACL
应用于网络中之前,都必须确认网络完全连通。如果应用 ACL
之前不测试网络连通性,排查故障会非常困难。
要确保整个网络连通,请在不同的网络设备之间使用&ping&命令和&tracert&命令检验连接。
任务 2:评估网络策略并规划 ACL
评估 R1 LAN
·&&&&&&&&&&&&&&&&&
对于 192.168.10.0/24
网络,阻止 telnet
访问所有位置,并且阻止通过 TFTP
访问地址为 192.168.20.254
的企业 Web/TFTP Server。允许所有其它访问。
·&&&&&&&&&&&&&&&&&
对于 192.168.11.0/24
网络,允许通过 TFTP
访问地址为 192.168.20.254
的企业 Web/TFTP Server。阻止从 192.168.11.0/24
网络发往 192.168.20.0/24
网络的所有其它流量。允许所有其它访问。
规划 ACL 实施。
·&&&&&&&&&&&&&&&&&
用两个 ACL
可完全实施 R1 LAN
的安全策略。
·&&&&&&&&&&&&&&&&&
第一个 ACL
支持策略的第一部分,配置在 R1
上并应用于 Fast Ethernet 0/0
接口的入站流量。
·&&&&&&&&&&&&&&&&&
第二个 ACL
支持策略的第二部分,配置在 R1
上并应用于 Fast Ethernet 0/1
接口的入站流量。
评估 R3 LAN
·&&&&&&&&&&&&&&&&&
阻止 192.168.30.0/24
网络的所有 IP
地址访问 192.168.20.0/24
网络的所有 IP
·&&&&&&&&&&&&&&&&&
允许 192.168.30.0/24
的前一半地址访问所有其它目的地址。
·&&&&&&&&&&&&&&&&&
允许 192.168.30.0/24
的后一半地址访问 192.168.10.0/24
网络和 192.168.11.0/24
·&&&&&&&&&&&&&&&&&
允许 192.168.30.0/24
的后一半地址通过 Web
访问和 ICMP
访问所有其余目的地址。
·&&&&&&&&&&&&&&&&&
隐含拒绝所有其它访问。
规划 ACL 实施。
本步骤需要在 R3
上配置一个 ACL
并应用于 FastEthernet 0/0
接口的入站流量。
评估通过 ISP
进入的 Internet
流量的策略。
·&&&&&&&&&&&&&&&&&
仅允许 Outside Host
通过端口 80
与内部 Web Server
建立 Web 会话。
·&&&&&&&&&&&&&&&&&
仅允许已建立 TCP
会话进入。
·&&&&&&&&&&&&&&&&&
仅允许 ping
应答通过 R2。
为通过 ISP
进入的 Internet
流量规划 ACL 实施。
本步骤需要在 R2
上配置一个 ACL
并应用于 Serial 0/1/0
接口的入站流量。
任务 3:配置采用数字编号的扩展 ACL
确定通配符掩码。
上实施访问控制策略需要两个 ACL。这两个 ACL
将用于拒绝整个 C
类网络。您需要配置一个通配符掩码,匹配这些 C
类网络中每个网络的所有主机。
例如,要匹配整个 192.168.10.0/24
子网,通配符掩码就应为 0.0.0.255。此掩码可以理解为“检查、检查、检查、忽略”,实质上能匹配整个
192.168.10.0/24 网络。
配置第一个扩展 ACL。
在全局配置模式下,使用编号 110
配置第一个 ACL。首先需要阻止 192.168.10.0/24
网络中的所有 IP
地址 telnet 至任何位置。
编写语句时,请确定您目前处于全局配置模式下。
R1(config)#access-list 110 deny tcp 192.168.10.0 0.0.0.255 any eq telnet
接下来要阻止 192.168.10.0/24
网络中的所有 IP
地址通过 TFTP 访问地址为 192.168.20.254
R1(config)#access-list 110 deny udp 192.168.10.0 0.0.0.255 host 192.168.20.254 eq tftp
最后要允许所有其它流量。
R1(config)#access-list 110 permit ip any any
配置第二个扩展 ACL。
用编号 111
配置第二个 ACL。允许 192.168.11.0/24
网络中的任何 IP
地址通过 WWW 访问地址为 192.168.20.254
R1(config)#access-list 111 permit tcp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq www
然后,允许 192.168.11.0/24
网络中的任何 IP
地址通过 TFTP 访问地址为 192.168.20.254
R1(config)#access-list 111 permit udp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq tftp
阻止从 192.168.11.0/24
网络发往 192.168.20.0/24
网络的所有其它流量。
R1(config)#access-list 111 deny ip 192.168.11.0 0.0.0.255 192.168.20.0 0.0.0.255
最后,允许任何其它流量。此语句用于确保不会阻止来自其它网络的流量。
R1(config)#access-list 111 permit ip any any
上发出 show access-lists
命令,确认您的配置。输出应类似下例:
R1#show access-lists&
Extended IP access list 110 deny tcp 192.168.10.0 0.0.0.255 any eq telnet deny udp 192.168.10.0 0.0.0.255 host 192.168.20.254 eq tftp permit ip any any Extended IP access list 111 permit tcp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq www permit udp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq tftp deny ip 192.168.11.0 0.0.0.255 192.168.20.0 0.0.0.255 permit ip any any
将语句应用到接口。
应用到某个接口,请进入该接口的接口配置模式。配置&ip access-group&access-list-number&{in | out}命令,将相应
ACL 应用于该接口
都用于过滤入站流量。将 ACL 110
应用于 FastEthernet 0/0
接口,ACL 111
应用于 FastEthernet 0/1
R1(config)#interface fa0/0&
R1(config-if)#ip access-group 110 in&
R1(config-if)#interface fa0/1&
R1(config-if)#ip access-group 111 in
确认这两个 ACL
的运行配置中而且已应用到正确的接口。
上配置的 ACL。
配置和应用 ACL
后,必须测试是否能按照预期阻止或允许流量。
·&&&&&&&&&&&&&&&&&
尝试从 PC1 telnet
访问任何设备。此流量应该阻止。
·&&&&&&&&&&&&&&&&&
尝试从 PC1
访问企业 Web/TFTP Server。此流量应该允许。
·&&&&&&&&&&&&&&&&&
尝试从 PC2
访问 Web/TFTP Server。此流量应该允许。
·&&&&&&&&&&&&&&&&&
尝试从 PC2
访问外部 Web Server。此流量应该允许。
根据您掌握的 ACL
知识,尝试从 PC1
和 PC2 执行一些其它的连通性测试。
检查结果。
Packet Tracer 不支持测试 TFTP
访问,因此您无法检验该策略。不过,完成比例应为 50%。如果并非如此,请单击&Check Results(检查结果)查看尚未完成哪些必要部分。
任务 4:为 R3
配置命名扩展 ACL
确定通配符掩码
<span style="color:#2.168.30.0/24 网络中前一半 IP
地址的访问策略有如下要求:
·&&&&&&&&&&&&&&&&&
拒绝其访问 192.168.20.0/24
·&&&&&&&&&&&&&&&&&
允许其访问所有其它目的地址
对 192.168.30.0/24
网络中的后一半 IP
地址有如下限制:
·&&&&&&&&&&&&&&&&&
允许其访问 192.168.10.0
和 192.168.11.0
·&&&&&&&&&&&&&&&&&
拒绝其访问 192.168.20.0
·&&&&&&&&&&&&&&&&&
允许其对所有其它位置的 Web
访问和 ICMP
要确定通配符掩码,应考虑 ACL
地址 0–127(前一半)或 128–255(后一半)时需要检查哪些位。
我们学过,确定通配符掩码的方法之一是从 255.255.255.255
中减去标准网络掩码。对 C
类地址而言,IP
地址 0–127 和 128–255
的标准掩码是 255.255.255.128。用减法可得出正确的通配符掩码:
255.255.255.255 –
255.255.255.128 ------------------
0. 0. 0.127
上配置扩展 ACL。
上,进入全局配置模式并以 130
作为访问列表编号配置 ACL。
第一条语句用于阻止 192.168.30.0/24
访问 192.168.30.0/24
网络中的所有地址。
R3(config)#access-list 130 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
第二条语句用于允许 192.168.30.0/24
网络的前一半地址访问任何其它目的地址。
R3(config)#access-list 130 permit ip 192.168.30.0 0.0.0.127 any
其余的语句则明确允许 192.168.30.0/24
网络的后一半地址访问网络策略允许的网络和服务。
R3(config)#access-list 130 permit ip 192.168.30.128 0.0.0.127 192.168.10.0 0.0.0.255
R3(config)#access-list 130 permit ip 192.168.30.128 0.0.0.127 192.168.11.0 0.0.0.255
R3(config)#access-list 130 permit tcp 192.168.30.128 0.0.0.127 any eq www
R3(config)#access-list 130 permit icmp 192.168.30.128 0.0.0.127 any&
R3(config)#access-list 130 deny ip any any
将语句应用到接口。
应用到某个接口,请进入该接口的接口配置模式。配置&ip access-group&access-list-number&{in | out}命令,将相应
ACL 应用于该接口。
R3(config)#interface fa0/0&R3(config-if)#ip access-group 130 in
检验和测试 ACL。
配置和应用 ACL
后,必须测试是否能按照预期阻止或允许流量。
·&&&&&&&&&&&&&&&&&
从 PC3 ping Web/TFTP Server。此流量应该阻止。
·&&&&&&&&&&&&&&&&&
从 PC3 ping
任何其它设备。此流量应该允许。
·&&&&&&&&&&&&&&&&&
从 PC4 ping Web/TFTP Server。此流量应该阻止。
·&&&&&&&&&&&&&&&&&
通过 192.168.10.1
或 192.168.11.1
接口 telnet
至 R1。此流量应该允许。
·&&&&&&&&&&&&&&&&&
从 PC4 ping PC1
和 PC2。此流量应该允许。
·&&&&&&&&&&&&&&&&&
通过 10.2.2.2
接口 telnet
至 R2。此流量应该阻止。
经过测试并得出正确结果后,在 R3
上使用 show access-lists
特权执行命令检查 ACL
语句是否存在匹配。
根据您掌握的 ACL
知识执行其它测试,检查每条语句匹配的流量是否正确。
检查结果。
完成比例应为 75%。如果并非如此,请单击&Check Results(检查结果)查看尚未完成哪些必要部分。
任务 5:配置命名扩展 ACL
上配置命名扩展 ACL。
前面讲过,R2
上配置的策略将用于过滤 Internet
流量。由于 R2
连接到 ISP ,因此它是配置 ACL
的最佳位置
上使用&ip access-list extendedname&命令配置名为 FIREWALL
的命名 ACL。此命令使路由器进入扩展命名 ACL
配置模式。请留意路由器提示符已更改。
R2(config)#ip access-list extended FIREWALL&R2(config-ext-nacl)#
配置模式下添加语句,按照策略中所述的要求过滤流量:
·&&&&&&&&&&&&&&&&&
仅允许 Outside Host
通过端口 80
与内部 Web Server
建立 Web 会话。
·&&&&&&&&&&&&&&&&&
仅允许已建立 TCP
会话进入。
·&&&&&&&&&&&&&&&&&
应答通过 R2
R2(config-ext-nacl)#permit tcp any host 192.168.20.254 eq www&
R2(config-ext-nacl)#permit tcp any any established&
R2(config-ext-nacl)#permit icmp any any echo-reply&
R2(config-ext-nacl)#deny ip any any
上配置了 ACL
后,使用&show access-lists&命令确认该 ACL
语句正确。
应用到接口。
使用&ip access-group&name&{in | out}&命令,将
ACL 应用于 ISP
的入站流量,面向 R2
R3(config)#interface s0/1/0&
R3(config-if)#ip access-group FIREWALL in
检验和测试 ACL。
执行下列测试,确保 ACL
能达到预期效果:
·&&&&&&&&&&&&&&&&&
从 Outside Host
打开内部 Web/TFTP Server中的网页。此流量应该允许。
·&&&&&&&&&&&&&&&&&
从 Outside Host ping
内部 Web/TFTP Server。此流量应该阻止。
·&&&&&&&&&&&&&&&&&
从 Outside Host ping PC1。此流量应该阻止。
·&&&&&&&&&&&&&&&&&
从 PC1 ping
地址为 209.165.201.30
的外部 Web Server。此流量应该允许。
·&&&&&&&&&&&&&&&&&
打开外部 Web Server
中的网页。此流量应该允许。
经过测试并得出正确结果后,在 R2
上使用&show access-lists&特权执行命令检查 ACL
语句是否存在匹配。
根据您掌握的 ACL
知识执行其它测试,检查每条语句匹配的流量是否正确。
评估 R1 LAN
·&&&&&&&&&&&&&&&&&
允许 192.168.10.0/24
网络访问除 192.168.11.0/24
网络外的所有位置。
·&&&&&&&&&&&&&&&&&
允许 192.168.11.0/24
网络访问所有目的地址,连接到 ISP
的所有网络除外。
规划 ACL 实施。
·&&&&&&&&&&&&&&&&&
用两个 ACL
可完全实施 R1 LAN
的安全策略。
·&&&&&&&&&&&&&&&&&
上配置第一个 ACL,拒绝从 192.168.10.0/24
网络发往 192.168.11.0/24
网络的流量,但允许所有其它流量。
·&&&&&&&&&&&&&&&&&
应用于 R1 Fa0/1
接口的出站流量,监控发往 192.168.11.0
网络的所有流量。
·&&&&&&&&&&&&&&&&&
上配置第二个 ACL,拒绝 192.168.11.0/24
网络访问 ISP,但允许所有其它流量。
·&&&&&&&&&&&&&&&&&
控制 R2 S0/1/0
接口的出站流量。
·&&&&&&&&&&&&&&&&&
ACL 语句的顺序应该从最具体到最概括。拒绝网络流量访问其它网络的语句应在允许所有其它流量的语句之前。
评估 R3 LAN
·&&&&&&&&&&&&&&&&&
允许 192.168.30.0/10
网络访问所有目的地址。
·&&&&&&&&&&&&&&&&&
拒绝主机 192.168.30.128
以外的地址。
规划 ACL 实施。
·&&&&&&&&&&&&&&&&&
即可完全实施 R3 LAN
的安全策略。
·&&&&&&&&&&&&&&&&&
上配置该 ACL,拒绝 192.168.30.128
主机访问 LAN
以外的地址,但允许 LAN
中的所有其它主机发出的流量。
·&&&&&&&&&&&&&&&&&
将应用于 Fa0/0
接口的入站流量,监控尝试离开 192.168.30.0/10
网络的所有流量。
·&&&&&&&&&&&&&&&&&
ACL 语句的顺序应该从最具体到最概括。拒绝 192.168.30.128
主机访问的语句应在允许所有其它流量的语句之前。
任务 3:配置采用数字编号的标准 ACL
确定通配符掩码。
ACL 语句中的通配符掩码用于确定要检查的 IP
源地址或 IP
目的地址的数量。若某个位为 0,则表示匹配地址中该位的值,若为 1
则忽略地址中该位的值。请记住,标准 ACL
仅检查源地址。
·&&&&&&&&&&&&&&&&&
拒绝所有 192.168.10.0/24
网络的流量,因此以 192.168.10
开头的任何源 IP
地址都应拒绝。鉴于 IP
地址的最后一组二进制八位数可以忽略,所以正确的通配符掩码应为 0.0.0.255。此掩码中的每组二进制八位数可以理解为“检查、检查、检查、忽略”。
·&&&&&&&&&&&&&&&&&
R2 上的 ACL
还要拒绝 192.168.11.0/24
网络流量。可以使用同样的通配符掩码 0.0.0.255。
确定语句。
·&&&&&&&&&&&&&&&&&
应在全局配置模式下配置 ACL。
·&&&&&&&&&&&&&&&&&
使用介于 1
和 99 之间的编号。R1
上的此列表使用编号&10&,有助于记住此 ACL
监控的是 192.168.10.0
·&&&&&&&&&&&&&&&&&
上,访问列表&11&将拒绝从 192.168.11.0
网络发往任何 ISP
网络的流量,因此使用网络<span style="color:#2.168.11.0和通配符掩码&0.0.0.255&设置
deny 选项。
·&&&&&&&&&&&&&&&&&
末尾有隐式 &deny any&
语句,因此必须用&permit&选项允许所有其它流量。any&选项用于指定任何源主机。
上执行下列配置:
R1(config)#access-list 10 deny 192.168.10.0 0.0.0.255
R1(config)#access-list 10 permit any
配置只有按正确顺序输入所有语句后,才会获得 Packet Tracer
现在,请在 R2
上创建拒绝 192.168.11.0
网络并允许所有其它网络的 ACL。此 ACL
使用编号 11。在 R2
上执行下列配置:
R2(config)#access-list 11 deny 192.168.11.0 0.0.0.255&
R2(config)#access-list 11 permit any
将语句应用到接口。
上,进入 Fa0/1
接口的配置模式。
发出&ip access-group 10 out&命令,将标准
ACL 应用于该接口的出站流量。
R1(config)#interface fa0/1&
R1(config-if)#ip access-group 10 out
上,进入 S0/1/0
接口的配置模式。
发出&ip access-group 11 out&命令,将标准
ACL 应用于该接口的出站流量。
R2(config)#interface s0/1/0&
R2(config-if)#ip access-group 11 out
检验和测试 ACL。
配置并应用 ACL
后,PC1 (192.168.10.10)
应该无法 ping
通 PC2 (192.168.11.10),因为 ACL 10
上应用于 Fa0/1
的出站流量。
PC2 (192.168.11.10)
应该无法 ping
通 Web Server (209.165.201.30)
或Outside Host (209.165.202.158),但应能 ping
通其它所有位置,因为 ACL 11
上应用于 S0/1/0
的出站流量。但 PC2
无法 ping 通 PC1,因为 R1
上的 ACL 10
会阻止 PC1 向 PC2
发送的应答。
检查结果。
完成比例应为 67%。如果并非如此,请单击&Check Results(检查结果)查看尚未完成哪些必要部分。
任务 4:配置命名标准 ACL
确定通配符掩码。
·&&&&&&&&&&&&&&&&&
R3 的访问策略规定,应该拒绝 192.168.30.128
主机访问本地 LAN
以外的任何地址。允许 192.168.30.0
网络中的所有其它主机访问所有其它位置。
·&&&&&&&&&&&&&&&&&
要检查一台主机,就需要检查完整的 IP
地址,可使用关键字 host
·&&&&&&&&&&&&&&&&&
不匹配 host
语句的所有数据包都应允许。
确定语句。
·&&&&&&&&&&&&&&&&&
上进入全局配置模式。
·&&&&&&&&&&&&&&&&&
发出 ip access-list standard NO_ACCESS
命令,创建名为 NO_ACCESS
的命名 ACL。您将进入 ACL
配置模式。所有 permit
语句都在此配置模式下配置。
·&&&&&&&&&&&&&&&&&
选项拒绝来自 192.168.30.128
主机的流量。
·&&&&&&&&&&&&&&&&&
使用 permit any
允许所有其它流量。
上配置以下命名 ACL:
R3(config)#ip access-list standard NO_ACCESS&
R3(config-std-nacl)#deny host 192.168.30.128
R3(config-std-nacl)#permit any
将语句应用到正确的接口。
发出&ip access-group NO_ACCESS in&命令,将命名
ACL 应用于该接口的入站流量。
应用之后,即会根据该 ACL
检查从 192.168.30.0/24 LAN
进入 Fa0/0
接口的所有流量。
R3(config)#interface fa0/0&
R3(config-if)#ip access-group NO_ACCESS in
任务 1:配置帧中继
的 Serial 0/0/0
接口上配置帧中继封装。
R1(config)#interface serial0/0/0&
R1(config-if)#encapsulation frame-relay&
R1(config-if)#no shutdown
上配置静态映射。
每台路由器需要两个静态映射来访问另两台路由器。用于访问这些路由器的 DLCI
路由器 R1:
·&&&&&&&&&&&&&&&&&
要访问路由器 R2,应使用位于 IP
地址 10.10.10.2
的 DLCI 102。&&ip为目的地ip,DLCI为本地的
·&&&&&&&&&&&&&&&&&
要访问路由器 R3,应使用位于 IP
地址 10.10.10.3
的 DLCI 103。
路由器还必须支持 RIP;因此需要使用关键字&broadcast。在路由器
R1 上,如下配置静态帧中继映射:
R1(config-if)#frame-relay map ip 10.10.10.2 102 broadcast&
R1(config-if)#frame-relay map ip 10.10.10.3 103 broadcast
使用上面提供的信息配置路由器 R2
配置为 R1、R2
上的 LMI 类型。
对每台路由器的串行接口输入下列命令。
R1(config-if)#interface s0/0/0&
R1(config-if)#frame-relay lmi-type ansi
配置为与 R2
之间使用 PPP 封装。
R1(config)#interface serial0/0/0&
R1(config-if)#encapsulation ppp
ISP(config)#interface serial0/0/0&
ISP(config-if)#encapsulation hdlc&
ISP(config-if)#no shutdown
封装支持两种不同类型的身份验证:PAP(口令验证协议)和 CHAP(挑战握手验证协议)。PAP
使用明文口令,而 CHAP
则调用安全性高于 PAP 的单向哈希。本练习将配置 PAP
和 CHAP 两种验证,同时还要复习 OSPF
路由配置。
任务 1:配置 OSPF
上启用 OSPF。
以&1&作为&process-ID,使用&router
ospf 1&命令启用 OSPF
上配置 network
在路由器的配置模式下,使用&network&命令添加连接到 R1
的所有网络。在本拓扑结构中,所有 network
语句的 OSPF&area-id&参数均为&0。
R1(config-router)#network 192.168.10.0 0.0.0.255 area 0&R1(config-router)#network
10.1.1.0 0.0.0.3 area 0
和 R3 上配置 network
对路由器 R2 和 R3 重复步骤 1 和步骤 2。使用地址表确定正确的语句。在 R2 上,不要通告 209.165.202.224/30 网络。下一步将配置默认路由。
建立并重分布 OSPF
默认路由。
·&&&&&&&&&&&&&&&&&
上,使用命令&ip route 0.0.0.0 0.0.0.0 s0/1/0&创建指向
ISP 的静态默认路由。
·&&&&&&&&&&&&&&&&&
在路由器提示符后发出&default-information originate&命令,将该静态路由包括在从
R2 发出的 OSPF
检验端到端连通性。
此时在您的配置中,所有设备均应能够 ping
通所有位置。
单击&Check Results(检查结果),然后单击&Connectivity
Tests(连通性测试)。两项测试的 Status(状态)均应为“Correct(正确)”。R1、R2
的路由表均应完整。R1
和 R3 应该有默认路由,与下例 R1
的路由表所示相同:
R1#show ip route
任务 2:配置 PAP 身份验证
配置为使用 PAP 验证 R2
·&&&&&&&&&&&&&&&&&
的全局配置模式下,键入命令&username R2 password cisco123。此命令允许远程路由器 R2
使用口令&cisco123连接到 R1。
·&&&&&&&&&&&&&&&&&
使用&encapsulation ppp&命令将 R1 s0/0/0
接口上的封装类型更改为 PPP。
·&&&&&&&&&&&&&&&&&
在该串行接口的接口配置模式下,使用&ppp authentication pap&命令配置 PAP
身份验证。
·&&&&&&&&&&&&&&&&&
使用&ppp pap sent-username R1 password cisco123&命令配置要向 R2
发送的用户名和口令。虽然 Packet Tracer
不对&ppp pap sent-username R1 password cisco123&命令评分,但配置 PAP
身份验证时需要使用此命令才能成功。
·&&&&&&&&&&&&&&&&&
返回到特权执行模式,然后使用&show ip interface brief&命令观察 R1
之间的链路是否已断开。
R1(config)#username
R2 password cisco123&
R1(config)#interface s0/0/0&
R1(config-if)#encapsulation ppp&
R1(config-if)#ppp authentication pap&
R1(config-if)#ppp pap sent-username R1 password cisco123&
R1(config-if)#end&
%SYS-5-CONFIG_I:Configured from console by console
R1#show ip interface brief&
Interface IP-Address OK? Method Status Protocol FastEthernet0/0 192.168.10.1 YES manual up up FastEthernet0/1 unassigned YES manual administratively down down
Serial0/0/0 10.1.1.1 YES manual up down Serial0/0/1 unassigned YES manual administratively down down Vlan1 unassigned YES manual administratively down down
配置为使用 PAP 验证 R1
对 R2 重复步骤 1,使用与 R1 之间的串行链路。
请记住,命令&usernamename&password&password&中使用的名称始终是远程路由器的名称,但在&ppp
pap sent-usernamename&password&password&命令中,该名称应该是始发路由器的名称。
注:虽然 Packet Tracer
会开通链路,但在实际设备上,您却需要首先对接口发出&shutdown&命令,然后再发出&no shutdown&命令,促使
PAP 重新验证身份。当然,您也可以重新启动路由器。
和 Web Server
之间的连通性。
使用&show ip interface brief&命令观察 R1
之间的链路现在是否已启用。现在,从 R1
到 Web Server
的连接应该已恢复。从 PC1
向 Web Server
命令来测试。
R2#show ip interface brief
任务 3:配置 CHAP 身份验证
配置为使用 CHAP
验证 R2 的身份。
·&&&&&&&&&&&&&&&&&
的全局配置模式下,键入&username R2 password cisco123。
·&&&&&&&&&&&&&&&&&
接口发出&encapsulation ppp&命令和&ppp authentication chap&命令,启用
PPP 封装和 CHAP
身份验证。
·&&&&&&&&&&&&&&&&&
使用&show ip interface brief&命令观察 R2
之间的链路是否已断开。
R3(config)#username R2 password cisco123&
R3(config)#interface s0/0/1&
R3(config-if)#encapsulation ppp&
R3(config-if)#ppp authentication chap
VTP通告:相互通告版本号等。
模式:服务器:NVRAM(会存储),客户端:RAM(不会存储),透明
修订版本号:配置多少vlan,就有多少修订版本号
启动vtp修剪命令:vtp pruning
show vtp status 命令的输出确认了该交换机默认为 VTP
服务器。因为尚未配置任何 VLAN,所以修订版号仍然设置为 0,并且该交换机不属于任何 VTP
如果交换机尚未配置为 VTP
服务器,可以使用&vtp mode {server}&命令进行配置。
使用 vtp domaindomain-name
命令配置域名。在图中,交换机 S1
已将域名配置为 cisco1。确保域名都一致。
出于安全原因,可以使用&vtp password password&命令配置口令。
大多数交换机可支持 VTP
版和第 2 版。但是,Catalyst 2960
交换机默认设置为第 1
版。当在交换机上输入 vtp version 1
命令时,它会通知我们该交换机已经配置为运行第 1
客户端不用配置vlan,
服务器:确认将要配置的所有交换机都已设置为默认设置,务必重置配置版本号。
S1#show vlan
步骤 3:使用 shutdown
命令禁用所有端口。
S1(config)#interface range fa0/1-24
S1(config-if-range)#shutdown
S1(config-if-range)#interface range gi0/1-2
S1(config-if-range)#shutdown
步骤 4:重新启用 S2
上的用户端口。
将用户端口配置为接入模式。请参阅拓扑图来确定哪些端口连接到最终用户设备。
S2(config)#interface fa0/6
S2(config-if)#switchport mode access
S2(config-if)#no shutdown
任务 2:执行基本交换机配置
根据以下原则配置交换机 S1、S2
并保存配置:
o 按照拓扑所示配置交换机主机名。
o 禁用 DNS
o 将执行模式口令配置为class。
o 为控制台连接配置口令cisco。
连接配置口令cisco。
显示的输出)
Switch&enable
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname S1
S1(config)#enable secret class
S1(config)#no ip domain-lookup
S1(config)#line console 0
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#line vty 0 15
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#end
S1#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
任务 3:配置主机 PC
上的以太网接口
使用本实验开头部分地址表中的 IP
地址和默认网关配置PC1、PC2、PC3、PC4、PC5
的以太网接口。
通 PC4、PC2
通 PC5、PC3
任务 4:在交换机上配置 VTP
VTP 可让网络管理员通过创建 VTP
域来控制网络上的 VLAN
实例。在每个 VTP
可以将一台或多台
交换机配置为 VTP
服务器。然后可以在 VTP
服务器上创建 VLAN,并将这些 VLAN
送给域中的其它交换机。常见的 VTP
配置任务是设置工作模式、域和口令。在本实验中,您将使用 S1
服务器,S2 和 S3
则配置为 VTP
客户端或 VTP 透明模式。
步骤 1:检查三台交换机上的当前 VTP
S1#show vtp status
请注意,三台交换机均处于服务器模式。服务器模式是大多数 Catalyst
交换机的默认 VTP
步骤 2:在所有三台交换机上配置工作模式、域名和 VTP
在三台交换机上,全部将 VTP
域名设置为Lab4,VTP
口令设置为cisco。将 S1
配置为服务器模式,S2配置为客户端模式,S3
配置为透明模式。
S1(config)#vtp mode server
S1(config)#vtp domain Lab4
S1(config)#vtp password cisco
S1(config)#end
S2(config)#vtp mode client
S2(config)#vtp domain Lab4
S2(config)#vtp password cisco
S2(config)#end
S3(config)#vtp mode transparent
S3(config)#vtp domain Lab4
S3(config)#vtp password cisco
S3(config)#end
注意:客户端交换机可从服务器交换机处获知 VTP
域名,但前提是客户端交换机的域为空。如果客户端交换机已设置有域名,则不会获知新的域名。因此,最好是在所有交换机上手动配置域名,以确保域名配置正确。位于不同 VTP
域中的交换机不会交换 VLAN
步骤 3:为所有三台交换机上的中继端口配置中继和本征 VLAN。
在全局配置模式下使用interface-range
命令来简化此项任务。
S1(config)#interface range fa0/1-5
S1(config-if-range)#switchport mode trunk
S1(config-if-range)#switchport trunk native vlan 99
S1(config-if-range)#no shutdown
S1(config-if-range)#end
步骤 4:在 S2
接入层交换机上配置端口安全功能。配置端口 fa0/6、fa0/11
和 fa0/18,使它们只支持一台主机,并且动态获知该主机的 MAC
S2(config)#interface fa0/6
S2(config-if)#switchport port-security
S2(config-if)#switchport port-security maximum 1
S2(config-if)#switchport port-security mac-address sticky
步骤 5:在 VTP
服务器上配置 VLAN。
本实验还需要四个 VLAN:
o VLAN 99 (management)
o VLAN 10 (faculty/staff)
o VLAN 20 (students)
o VLAN 30 (guest)
服务器上配置这些 VLAN。
S1(config)#vlan 99
S1(config-vlan)#name management
S1(config-vlan)#exit
使用&show vlan brief&命令检验
S1 上是否创建了这些 VLAN。
步骤 7:在交换机 2
上创建新的 VLAN。
S3(config)#vlan 88
S3(config)#no vlan 88
步骤 8:手动配置 VLAN。
此时您能体会到 VTP
的一项优点。手动配置费时又容易出错,并且此处所犯的任何错误都可能阻碍 VLAN内的通信。此外,此类错误也难以排查。
步骤 9:在所有三台交换机上配置管理接口地址。
S1(config)#interface vlan 99
S1(config-if)#ip address 172.17.99.11 255.255.255.0
S1(config-if)#no shutdown
在交换机之间执行 ping
操作,检查这些交换机是否都已得到正确配置。从 S1 ping S2
的管理接口。从 S2 ping S3
的管理接口。
ping 是否成功?___________________________________________
若不成功,则排除交换机配置故障,然后重试。
步骤 10:将交换机端口分配给 VLAN。
请参阅本实验开头的端口分配表,将端口分配给 VLAN。使用interface range
命令可简化此任务。端口分配不是通过 VTP
完成的。必须在每台交换机上以手动方式或使用 VMPS
服务器动态执行端口分配。下面只显示了 S3
上的端口分配命令,但是交换机 S2
的配置方法相似。完成后保存配置。
S3(config)#interface range fa0/6-10
S3(config-if-range)#switchport access vlan 30
S3#copy running-config startup-config
Destination filename [startup-config]? [enter]
Building configuration...
任务 5:在交换机上配置 VTP
VTP 修剪功能可让 VTP
服务器针对特定 VLAN
广播流量,当交换机没有任何端口位于对应 VLAN中时,广播流量便不会到达该交换机。默认情况下,VLAN
中的所有未知单播和广播流量会泛洪到整个VLAN
中。网络中的所有交换机都会收到所有广播,即使只有极少数用户连接到该 VLAN
的情况下也是如此。VTP
修剪功能可消除这种不必要的流量。由于不会将广播发送给不需要的交换机,因此修剪功能可节省 LAN
带宽。修剪功能是在服务器交换机的全局配置模式下使用vtp pruning
命令配置的。这一配置也会发送到客户端交换机。但是由于 S3
处于透明模式,因此必须在 S3
上以本地方式配置 VTP
使用 show vtp status
命令确认每台交换机上的 VTP
修剪配置。每台交换机上都应该已启用 VTP
修剪模式。
S1#show vtp status
VTP Version : 2
Configuration Revision : 17
Maximum VLANs supported locally : 255
Number of existing VLANs : 9
VTP Operating Mode : Server
VTP Domain Name : Lab4
VTP Pruning Mode : Enabled
本例中,在全局配置模式下输入&interface f0/0.10&命令,创建路由器子接口。子接口的语法始终为物理接口(在本例中为
f0/0)加上一个点号再加上子接口编号。子接口编号可配置,但通常设置为 VLAN
的编号。本例中,使用 10
作为子接口编号,以便记住相关联的 VLAN。由于路由器可能有多个接口,且各接口可配置为支持多个子接口,所以需指定物理接口。
地址分配给子接口之前,需要使用&encapsulation dot1q vlan id&命令配置子接口,使之在特定
VLAN 上运行。本例中,子接口 Fa0/0.10
被分配给 VLAN10。分配 VLAN
后,使用&ip address 172.17.10.1 255.255.255.0&命令将相应的
IP 地址分配给该 VLAN
中的子接口。
与常规的物理接口不同,子接口不能通过 Cisco IOS
软件子接口配置模式下的 no shutdown
命令启用。当物理接口通过 no shutdown
命令启用后,配置的所有子接口都会被启用。同理,如果物理接口被禁用,所有子接口都会被禁用。
任务 1:测试不使用 VLAN
间路由时的连通性
和 PC3 之间执行 Ping
等待交换机收敛。在连接到 PC1
的交换机上,链路灯从琥珀色变为绿色。当链路灯呈绿色时,在 PC1
和 PC3之间执行 ping
操作。由于两台计算机位于不同网络中而且尚未配置路由器,因此它们无法相互通信,ping
操作会失败。
切换到模拟模式监控 ping
·&&&&&&&&&&&&&&&&&
单击&Simulation(模拟)&选项卡或按&Shift+S,切换到模拟模式。
·&&&&&&&&&&&&&&&&&
单击&Capture/Forward(捕获/转发),观看
ping 操作在 PC1
之间采取的步骤。
·&&&&&&&&&&&&&&&&&
请留意,ping
甚至无法通过交换机。
完成比例应为 0%。
任务 2:添加 VLAN
上创建 VLAN。
上创建两个 VLAN,分别对应 PC1
和 PC3。其中 PC1
属于 VLAN 10,PC3
属于 VLAN 30。要创建 VLAN,请在全局配置模式下发出命令&vlan
10&和&vlan 30。
S1#configure terminal&S1(config)#vlan 10&S1(config-vlan)#vlan 30
要检查是否已创建 VLAN,请在特权执行提示符后发出&show vlan brief&命令。
S1#show vlan brief&
VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig1/1, Gig1/2 10 VLAN0010 active 30 VLAN0030 active 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active
为端口分配 VLAN。
将交换机上的每个端口分配到 VLAN
以实现 VLAN
交换机端口的分配方式如下:
·&&&&&&&&&&&&&&&&&
接口分配到 VLAN 10。
·&&&&&&&&&&&&&&&&&
接口分配到 VLAN 30。
要为端口分配 VLAN,需进入接口配置模式。Fa0/8
的命令是&interface fa0/8。switchport mode access&命令可将该端口设置为接入模式。switchport
access vlan 10&命令可将 VLAN 10
分配给该端口。
S1(config)#interface fa0/8&
S1(config-if)#switchport mode access&
S1(config-if)#switchport access vlan 10
对 Fa0/5、Fa0/6
重复上述步骤,为每个接口分配正确的 VLAN。
和 PC3之间的连通性。
现在,请在 PC1
和 PC3之间发出 ping
命令。ping
仍应失败。
检查结果。
完成比例应为 45%。如果并非如此,请单击&Check Results(检查结果)查看尚未完成哪些必要部分。
任务 3:配置 IP
上配置 IP 地址。
地址 172.17.10.1
和子网掩码 255.255.255.0
的 Fa0/0 接口。
地址 172.17.30.1
和子网掩码 255.255.255.0
配置 Fa0/1
对两个接口发出&no shutdown&命令,启用这些接口。
R1(config)#interface fa0/0&
R1(config-if)#ip address 172.17.10.1 255.255.255.0&
R1(config-if)#no shutdown&
R1(config-if)#interface fa0/1&
R1(config-if)#ip address 172.17.30.1 255.255.255.0&
R1(config-if)#no shutdown
检查结果。
完成比例应为 100%。如果并非如此,请单击&Check Results(检查结果)查看尚未完成哪些必要部分。
任务 4:再次测试连通性
和 PC3 之间执行 Ping
收敛。然后,从 PC1 ping PC3。ping
应该会成功。
切换到模拟模式监控 ping
·&&&&&&&&&&&&&&&&&
单击&Simulation(模拟)&选项卡或按&Shift+S,切换到模拟模式。
·&&&&&&&&&&&&&&&&&
单击&Capture/Forward(捕获/转发),观看
ping 操作在 PC1
之间采取的步骤。
·&&&&&&&&&&&&&&&&&
如何从 PC1
到 S1,然后到 R1,再返回 S1,最终返回
interface range fa0/6-10
switchport mode trunk
switchport access vlan 30
interface range fa0/11-17
switchport mode trunk
switchport access vlan 10
interface range fa0/18-24
switchport mode trunk
switchport access vlan 20
vtp mode transparent
vtp domain Lab4_3
vtp password cisco
int vlan 99
ip addr 172.17.99.13 255.255.255.0
dymitic domain
interface f0/2
switchport mode trunk
switchport trunk native vlan 99
步骤 2:清除交换机上的所有现有配置,将所有端口置于关闭状态。如果需要,请参考实验 2.5.1
的附录 1,以了解清除交换机配置的方法。要禁用交换机上未使用的端口,较好的办法是将这些端口设置为 shutdown。禁用交换机上的所有端口。
Switch#config term
Switch(config)#interface range fa0/1-24
Switch(config-if-range)#shutdown
Switch(config-if-range)#interface range gi0/1-2
Switch(config-if-range)#shutdown
步骤 2:启用 S2
上的用户端口。
S2(config)#interface range fa0/6, fa0/11, fa0/18
S2(config-if-range)#switchport mode access
S2(config-if-range)#no shutdown
CCNA Exploration
LAN 交换和无线:VLAN
实验 3.5.1:基本 VLAN
S3(config)#interface range fa0/6, fa0/11, fa0/18
S3(config-if-range)#switchport mode access
S3(config-if-range)#no shutdown
任务 3:配置并激活以太网接口
步骤 1:配置 PC。
执行本实验可以只使用两台 PC,只要根据要执行的测试相应地更改这两台 PC
地址即可。例如,如果您要测试 PC1
之间的连通性,那么根据本实验开头部分的地址表为这两台 PC
地址。或者您也可以为所有六台 PC
配置 IP 地址和默认网关。任务 4:在交换机上配置 VLAN
步骤 1:在交换机 S1
上创建 VLAN。
在全局配置模式下使用vlan vlan-id
命令将 VLAN
添加到交换机 S1。本实验需要配置四个 VLAN:VLAN10 (faculty/staff)、VLAN
20 (students)、VLAN 30 (guest)
和 VLAN 99 (management)。创建 VLAN
之后,您将处于 vlan
配置模式,在该模式下可以使用name vlan name
命令为 VLAN
指定名称。
S1(config)#vlan 10
S1(config-vlan)#name faculty/staff
S1(config-vlan)#vlan 20
S1(config-vlan)#name students
S1(config-vlan)#vlan 30
S1(config-vlan)#name guest
S1(config-vlan)#vlan 99
S1(config-vlan)#name management
S1(config-vlan)#end
LAN 交换和无线:VLAN
实验 3.5.1:基本 VLAN
S3(config)#interface range fa0/6-10
S3(config-if-range)#switchport access vlan 30
S3(config-if-range)#interface range fa0/11-17
S3(config-if-range)#switchport access vlan 10
S3(config-if-range)#interface range fa0/18-24
S3(config-if-range)#switchport access vlan 20
S3(config-if-range)#end
S3#copy running-config startup-config
Destination filename [startup-config]? [enter]
Building configuration...
步骤 5:确定已添加的端口。
上使用show vlan id vlan-number
命令查看哪些端口已分配给 VLAN 10。
哪些端口已分配给 VLAN 10?_______________________________________________________
注意:show vlan id vlan-name
可显示相同的输出。您也可以使用show interfaces interface switchport
命令查看 VLAN
分配信息。
步骤 6:分配管理 VLAN。
是您配置用于访问交换机管理功能的 VLAN。如果您没有特别指明使用其它 VLAN,那么VLAN
1 将作为管理 VLAN。您需要为管理 VLAN
地址和子网掩码。交换机可通过 HTTP、Telnet、SSH
进行管理。因为 Cisco
交换机的出厂配置将 VLAN 1
作为默认 VLAN,所以将VLAN 1
用作管理 VLAN
不是明智的选择。您肯定不愿意连接到交换机的任何用户都默认连接到管理VLAN。在本实验前面的部分中,我们已经将管理 VLAN
配置为 VLAN 99。在接口配置模式下,使用ip address
命令为交换机分配管理 IP
S1(config)#interface vlan 99
S1(config-if)#ip address 172.17.99.11 255.255.255.0
S1(config-if)#no shutdown
S2(config)#interface vlan 99
S2(config-if)#ip address 172.17.99.12 255.255.255.0
S2(config-if)#no shutdown
S3(config)#interface vlan 99
S3(config-if)#ip address 172.17.99.13 255.255.255.0
S3(config-if)#no shutdown
CCNA Exploration
LAN 交换和无线:VLAN
实验 3.5.1:基本 VLAN
分配管理地址后,交换机之间便可通过 IP
通信。此外,任何主机只要连接到已分配给 VLAN 99
的端口,这些主机便能连接到交换机。因为 VLAN 99
配置为管理 VLAN,所以任何分配到该 VLAN
的端口都应视为管理端口,并且应该对这些端口实施安全保护,控制可以连接到这些端口的设备。
步骤 7:为所有交换机上的中继端口配置中继和本征 VLAN。
中继是交换机之间的连接,它允许交换机交换所有 VLAN
的信息。默认情况下,中继端口属于所有VLAN,而接入端口则仅属于一个 VLAN。如果交换机同时支持
ISL 和 802.1Q VLAN
封装,则中继必须指
定使用哪种方法。因为 2960
交换机仅支持 802.1Q
中继,所以在本实验中无需指定使用何种方法。本征 VLAN
分配给 802.1Q
中继端口。在拓扑中,本征 VLAN
是 VLAN 99。<span style="color:#2.1Q
中继端口支持来自多
的流量(已标记流量),也支持来源不是 VLAN
的流量(无标记流量)。<span style="color:#2.1Q
中继端口会将无标记流量发送到本征 VLAN。产生无标记流量的计算机连接到配置有本征 VLAN
的交换机端口。在有关
的 IEEE 802.1Q
规范中,其中一项的作用便是维护无标记流量的向下兼容性,这种流量在传统LAN
方案中十分常见。对于本练习而言,本征 VLAN
的作用是充当中继链路两端的通用标识符。最佳做法是使用 VLAN 1
以外的 VLAN
作为本征 VLAN。在全局配置模式下使用interface range
命令可简化配置中继的操作。
S1(config)#interface range fa0/1-5
S1(config-if-range)#switchport mode trunk
S1(config-if-range)#switchport trunk native vlan 99
S1(config-if-range)#no shutdown
S1(config-if-range)#end
S2(config)# interface range fa0/1-5
S2(config-if-range)#switchport mode trunk
S2(config-if-range)#switchport trunk native vlan 99
S2(config-if-range)#no shutdown
S2(config-if-range)#end
S3(config)# interface range fa0/1-5
S3(config-if-range)#switchport mode trunk
S3(config-if-range)#switchport trunk native vlan 99
S3(config-if-range)#no shutdown
S3(config-if-range)#end
使用 show interface trunk
命令检验中继的配置情况。
链路状态协议包括OSPF协议,IS-IS协议等。
链路是路由器上的一个接口,链路状态时有关各条链路的状态的信息。
链路状态包含的信息:
·&&&&&&&&&&&&&&&&&
网络地址(非接口地址)
·&&&&&&&&&&&&&&&&&
接口IP地址
·&&&&&&&&&&&&&&&&&
网络类型(以太网,点到点,广播多路访问,广播非多路访问等)
·&&&&&&&&&&&&&&&&&
链路开销:(带宽)每个OSPF路由器不一样
·&&&&&&&&&&&&&&&&&
邻居:邻居路由器
路由器使用Hello协议来发现其链路上的所有邻居。两台链路状态路由器获悉邻居后,形成相邻关系。每隔一定时间发送LSP(Link
State Packet链路状态数据包),想邻居发送LSP,知道泛洪(不管从哪里来的数据包,立即发送给邻居)完成后,用SPF(Dijsktra)算法计算最短路。所以非常消耗CPU。所以要分成很多个区域。
LSP只需要在路由器开启的时候和拓扑改变的时候发送,所以收敛速度比RIP快得多。
将通过其他协议得知的信息通过OSPF协议散布
default-information originate
ip ospf priority 200
定义优先级
网络号通配符 area 0
其中为了使得局域网可以收到信息,但是不能发布信息,可用passive-int f0/0
EIGRP是cisco的协议,也就是说他的算法是不公开的。
我们主要学习的是内部网关协议,包括距离矢量路由协议(EIGRP和RIP)和链路状态协议(OSPF)。
EIGRP信息分为
外部路由信息:从其他协议,包括静态路由信息什么的得到的信息&&&170管理距离
内部路由信息:EIGRP自己的协议获得的信息。&&&&90管理距离&&(eigrp总结路由的管理距离是<span style="color:#)
组播地址:<span style="color:#4.0.0.100
数据包类型分为:
hello:用于发现邻居并建立邻接关系,由于不可靠,因此无需接收方答复
update:更新路由信息
ACK:使用可靠传输时发送。realiable tcp protocol(RTP)
查询(Query)和应答(Reply):使用DUAL算法,所以在路由表中,最开头的字母是D,而RIP协议是R。
部分更新和限定更新。。。。使得EIGRP的效率增加。
相关命令:
router eigrp 1
<span style="color:#代表自制区域,实际上是参与更新,起进程的ID作用,只有ID号一样的时候才可以相互接收信息。所以是自制区域。。autonomous-system
network 网络号&&&&&&&&(有类的)
network 网络号通配符(子网掩码的反码)&&(无类的)
这里代表着网络号的那个接口启动,并且那个网络号所在的网络可以收到EIGRP的信息。配置的时候可以是有类的和无类的。
EIGRP的路由路径长度的度量:K1&&K2&&K3 K4 K5&&五个度量&&默认只有k1(带宽)和k3(延迟)的值为<span style="color:#,其他为<span style="color:#.计算方法(<span style="color:#,000,000/带宽kbps)*256
+ 延迟/10*256
得出的值就是管理距离后面的那个值了。这里有个常识,就是要是路由路径上的带宽都不一样的时候,当然取最小的瓶颈带宽;路由路径上延迟当然都是相加起来的总延迟。
第二种度量类型有前缀长度,代表着EIGRP是支持子网掩码的。
null0作为一个虚拟接口存在,是将一些数据包丢弃的。EIGRP支持自动的路由总结。默认是开启的。只要子网中有一个或者一个以上的通过EIGRP获得的子网,就会进行自动总结。
根据路由表的查找方式,我们知道,RIP版本<span style="color:#是支持有类的,也就是说,当查找复路由满足条件,找子路由不满足条件的时候,不管有没有默认路由,都是将数据包丢弃的。而版本二是无类查找,这样有默认路由便会从默认路由走。
但是EIGRP开启自动总结的情况下,会将数据包直接送往null0丢弃。所以我们要关闭自动总结。
&&&no auto-summary
在端口下,可以改变带宽 bandwidth 64
,单位是kb,但是这里的改变带宽是将用于计算(度量)的带宽改变,并不是真正改变物理的带宽。相比之下,clock rate 64000是改变物理的带宽(单位是bit),而非计算的带宽。
路由表要求简洁明了,这样可以提高路由器的计算效率。所以我们可以将其手动总结出来。在端口下:
ip summary-address eigrp 1 192.168.0.0 255.255.252.0 (ID号,网络号,子网掩码)
DUAL算法:
找最佳路径的同时,找一条备份路径。一定要对方到终点的距离比自身到终点的距离小的时候才作为备份。这样可以防止回路。
show ip eigrp topology
查看备份信息
show ip eigrp nerghbors
首先,需要用
router rip
no auto-summary&&&否则RIPv2会和第一个版本一样,会自动总结。
RIPV1用广播来更新,RIPV2用组播来更新,用D类地址,<span style="color:#4.0.0.9地址。。。更新
VLSM变长子网掩码。
用network +ip地址来说明更新的网络
最长匹配原则。&&有关复路由和子路由(<span style="color:#级路由)
路由表搜索方式:分为有类和无类两种。有类是非常老的类型。通常在版本一中。
第二个版本比第一个版本多了子网掩码的发送。
第一个版本是不支持无类的地址划分的。也就是不支持子网掩码,所以容易出错。
ip route 192.168.0.0 255.255.0.0 null0表示发送给虚拟的空接口,空接口将作为静态路由的送出接口,所以会将这个网络的ip包丢弃。
要redistribute static
将静态路由重新分布,否则其他路由将不会知道这个静态路由信息
版权声明:本文为博主原创文章,未经博主允许不得转载。
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
访问:28340次
排名:千里之外
原创:28篇
(2)(5)(11)(1)(11)
