《計(jì)算機(jī)網(wǎng)絡(luò)虛擬實(shí)踐操作》課件第2部分 Cisco路由器和交換機(jī)配置-PT版

1第16章CiscoPacketTracer使用簡介第17章CiscoIOS的基本操作第18章Cisco路由器配置第19章Cisco交換機(jī)配置Cisco路由器和交換機(jī)配置

目錄2

PacketTracer是Cisco公司為思科網(wǎng)絡(luò)技術(shù)學(xué)院開發(fā)的一款針對Cisco網(wǎng)絡(luò)設(shè)備進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)、設(shè)備配置和故障排除的模擬軟件，可以進(jìn)行Cisco網(wǎng)絡(luò)設(shè)備的一些虛擬實(shí)踐。第16章CiscoPacketTracer

使用簡介3路由器實(shí)踐網(wǎng)絡(luò)拓?fù)淙缦聢D所示。4在PacketTracer中完成以上拓?fù)鋱D的連接配置后，如下圖所示。第17章CiscoIOS的基本操作

17.1實(shí)踐環(huán)境5同前圖17.3CiscoIOS的有關(guān)基本操作6

下面以路由器2620A為例介紹路由器的有關(guān)基本操作，在路由器2620B也請自行進(jìn)行類似的操作。

17.3.1各種模式的轉(zhuǎn)換Router>（一般用戶模式，提示符為>）Router>enable

（進(jìn)入超級權(quán)限模式的命令）Router#（超級權(quán)限模式，提示符為#）Router#configterminal

（進(jìn)入全局設(shè)置模式的命令）Router(config)#（全局設(shè)置模式，提示符為(config)#）Router(config)#interfacefastEthernet0/0

（進(jìn)入快速以太網(wǎng)端口

設(shè)置模式的命令）Router(config-if)（端口設(shè)置模式，提示符為(config-if)#）Router(config-if)#interfaceserial0/0

（進(jìn)入同步串口端口設(shè)置模

式的命令）Router(config-if)#exit

（退到上一級模式的命令）Router(config)#exit

（退到上一級模式的命令）Router#exit

（退到上一級模式的命令）Router>（退到一般用戶模式）7

17.3.2熟悉幫助命令

CiscoIOS命令行操作提供了多種幫助方式，以幫助用戶正確的使用命令。

1．打開路由器，看到“PressRETURNtogetstarted.”提示信息后按回車鍵進(jìn)入一般用戶模式。

2．鍵入幫助命令“？”，將出現(xiàn)在一般用戶模式下可用的所有命令，顯示滿了一屏后會暫停，按下回車鍵，屏幕將上移一行，按下空格鍵，屏幕將上移一屏。

3．鍵入命令“enable”，進(jìn)入特權(quán)模式。

4．在特權(quán)模式下，鍵入幫助命令“？”，查詢哪個命令管理系統(tǒng)時鐘。

5．鍵入clock？命令，系統(tǒng)將提示可用的參數(shù)及注釋“setSetthetimeanddate”，鍵入“clockset?”命令，系統(tǒng)將提示可用的參數(shù)及注釋“hh:mm:ssCurrentTime”，按照此規(guī)則合理運(yùn)用幫助命令來設(shè)置正確的時鐘。

6．在特權(quán)模式下鍵入“sh？”命令，系統(tǒng)會顯示所有以sh打頭的命令。

7．鍵入“sh”兩個符號后，再按Tab鍵，系統(tǒng)會在本命令行將“show”補(bǔ)充完整，在同一行中，再鍵入“？”，系統(tǒng)會將“show”命令后可用的參數(shù)及注釋全部顯示出來。8

17.3.3路由器常規(guī)配置

1．由！字符引導(dǎo)的句子是一個注釋語句。

2．按Ctrl+P（或者按向上箭頭的鍵），將顯示上一次鍵入的一條命令。

3．分別鍵入下列編輯命令。

Ctrl+A：光標(biāo)會在當(dāng)前位置進(jìn)到命令行的首字母。

Ctrl+F：光標(biāo)就會右進(jìn)一格。

Ctrl+E：光標(biāo)會回到當(dāng)前命令行的末尾。

Ctrl+B：光標(biāo)就會左進(jìn)一格。

4．配置路由器的名字。

在特權(quán)模式下鍵入configterminal，進(jìn)入全局設(shè)置模式。

在全局設(shè)置模式下鍵入hostname2620A，可將路由器的名字設(shè)置為2620A。

5．禁用DNS查找。

在全局設(shè)置模式下鍵入noipdomainlookup，禁用DNS查找，鍵入exit退到特權(quán)模式，在特權(quán)模式鍵入錯誤的命令，系統(tǒng)將很快提示錯誤信息，而沒有較長的查找DNS時間。9

6．在控制臺端口上啟用同步記錄功能。

鍵入linecon0進(jìn)入控制臺端口設(shè)置模式，鍵入loggingsynchronous即可。

7．將console控制設(shè)為無時間限制

鍵入lineconsole0命令進(jìn)入console口的行配置模式，再鍵入exec-timeout00命令，將console控制設(shè)為無時間限制，即長時間不在console口上進(jìn)行操作時，也不會退出當(dāng)前配置模式。10

17.3.4查看路由器的狀態(tài)信息

利用CiscoIOS軟件提供的show命令可以方便的查看路由器各種狀態(tài)信息。

1．showhistory命令：顯示該模式下以前輸入過的命令。

2．showversion命令：顯示IOS軟件、IOS軟件版本、系統(tǒng)image文件名、以太網(wǎng)端口數(shù)量、串口數(shù)量、ISDN口數(shù)量（如果有的話）、NVRAM大小等信息。

3．showinterface命令：顯示端口的狀態(tài)及相關(guān)信息，如：端口是否已經(jīng)激活，最大傳輸單元（MTU）和帶寬等。

4．showrunning-config命令：可查看當(dāng)前配置信息。

5．terminalhistorysize20命令：將緩沖區(qū)大小設(shè)為20。

6．showterminal命令：查看緩沖區(qū)的大小。

7．exit命令：退出當(dāng)前模式。11

17.3.5設(shè)置各級密碼并修改啟動配置文件

1．路由器啟動后，按回車鍵進(jìn)入一般用戶模式。鍵入enable命令進(jìn)入特權(quán)模式。

2．鍵入configureterminal命令進(jìn)入全局設(shè)置模式。

3．設(shè)置console控制口的密碼。

鍵入lineconsole0命令進(jìn)入console口的設(shè)置模式，鍵入login命令，再鍵入password123將console控制口密碼設(shè)為123。

4．不斷鍵入exit，退回到一般用戶模式，再鍵入exit（或logout）命令退出會話。按回車鍵重新進(jìn)入一般用戶模式時，系統(tǒng)會提示輸入密碼。

5．在全局設(shè)置模式下，鍵入enablepassword456命令，設(shè)置進(jìn)入特權(quán)模式的明文密碼。

6．在全局設(shè)置模式下，鍵入enablesecret789命令，設(shè)置進(jìn)入特權(quán)模式的加密密碼。

7．不斷鍵入exit，退回到一般用戶模式，再鍵入enable命令，重新進(jìn)入特權(quán)模式時，只有加密密碼789才生效。12

8．設(shè)置telnet遠(yuǎn)程登錄。

如果給該設(shè)備設(shè)置好了IP地址，并且網(wǎng)絡(luò)是通的，遠(yuǎn)端設(shè)備可以用“telnet<IP地址>”的命令遠(yuǎn)程登錄上來，對該設(shè)備進(jìn)行遠(yuǎn)程控制。

為了允許遠(yuǎn)端設(shè)備對路由器進(jìn)行telnet遠(yuǎn)程登錄，在路由器的全局設(shè)置模式下要鍵入如下命令：

2620A(config)#linevty015

（設(shè)置虛擬終端線0-15，共允許16

個虛擬終端同時登錄）

2620A(config-line)#login

（設(shè)置登錄驗(yàn)證）

2620A(config-line)#passwordcisco

（設(shè)置虛擬終端登錄密碼

，這里設(shè)成了cisco）

注意：默認(rèn)情況下，如果沒有設(shè)置虛擬終端密碼是無法從遠(yuǎn)端進(jìn)行telnet登錄的，遠(yuǎn)端進(jìn)行telnet登錄時候會提示輸入login密碼。如果輸入nologin，是代表任何人都能不需要驗(yàn)證密碼就可以從遠(yuǎn)端telnet到該設(shè)備，這樣是很危險的，千萬要注意。

9．鍵入showrunning-config命令查看運(yùn)行配置文件。

查看哪個是明文密碼，哪個是加密密碼。13

10．鍵入showstartup-config命令查看啟動配置文件。這時啟動配置文件內(nèi)容與運(yùn)行配置文件內(nèi)容可能不一致。

11．鍵入copyrunning-configstartup-config命令，將運(yùn)行配置文件復(fù)制到啟動配置文件，即將運(yùn)行配置文件保存起來，以便在下次啟動時發(fā)揮作用。

12．鍵入showstartup-config命令，再次查看啟動配置文件，可發(fā)現(xiàn)啟動配置文件內(nèi)容已與運(yùn)行配置文件內(nèi)容一致。14

17.3.6設(shè)置串口

1．在路由器2620B配置界面的命令行窗口中，在特權(quán)模式下，鍵入showcontrollerserial0/0命令可查看串口連接線的類型是否為DCE。

若該類型是DCE，在全局設(shè)置模式下，鍵入interfaceserial0/0命令進(jìn)入串口設(shè)置模式，鍵入clockrate2000000命令設(shè)置DCE的時鐘。

2．在兩臺路由器的串口設(shè)置模式下，分別鍵入noshutdown命令激活兩個串口。第18章Cisco路由器配置15

Cisco路由器上可以配置3種路由：①靜態(tài)路由；②默認(rèn)路由；③動態(tài)路由。一般地，路由器查找路由的順序?yàn)橹边B路由，靜態(tài)路由，動態(tài)路由，如果以上路由表中都沒有合適的路由，則通過默認(rèn)路由將數(shù)據(jù)包傳輸出去。在一個路由器中，可以綜合使用多種路由。路由器動態(tài)路由協(xié)議配置的基本步驟是：①選擇路由協(xié)議，②指定網(wǎng)絡(luò)或端口。路由器配置的主要任務(wù)有：①配置端口IP地址，②配置廣域網(wǎng)線路協(xié)議，③配置路由，④其它設(shè)置。下面，將按此步驟進(jìn)行實(shí)踐操作。18.1實(shí)踐環(huán)境16同前圖18.3配置端口IP地址17

1．設(shè)置主機(jī)PCA的IP地址

主機(jī)PCA設(shè)置的IP地址為192.168.0.1，子網(wǎng)掩碼為255.255.255.0，默認(rèn)網(wǎng)關(guān)為192.168.0.254。

2．設(shè)置主機(jī)PCB的IP地址

主機(jī)PCB設(shè)置的IP地址為172.16.0.1，子網(wǎng)掩碼為255.255.0.0，默認(rèn)網(wǎng)關(guān)為172.16.0.254。

3．設(shè)置路由器2620A各端口的IP地址

在路由器2620A的命令行方式輸入下列命令。命令采用了簡寫的方式。

Router>en

（進(jìn)入超級權(quán)限模式）

Router#conft

（進(jìn)入全局設(shè)置模式）

Router(config)#hostname2620A

（修改主機(jī)名為2620A）

2620A(config)#enablepassword456

（設(shè)置進(jìn)入超級權(quán)限模

式的密碼）182620A(config)#intfa0/0

（進(jìn)入快速以太網(wǎng)端口

FastEthernet0/0的設(shè)置模式）2620A(config-if)#ipaddress192.168.0.254255.255.255.0

（設(shè)置以太網(wǎng)端口的IP地址）2620A(config-if)#noshut

（激活以太網(wǎng)端口）2620A(config-if)#ints0/0

（進(jìn)入同步串口Serial0/0的設(shè)置模式）2620A(config-if)#ipaddress10.0.0.1255.0.0.0

（設(shè)置同步串

口的IP地址）2620A(config-if)#noshut

（激活同步串口）2620A(config-if)#^Z

（按Ctrl+Z快捷鍵直接退到超級權(quán)限模式）2620A#19

4．設(shè)置路由器2620B各端口的IP地址

在路由器2620B的命令行方式輸入下列命令。命令采用了簡寫的方式。

Router>en

（進(jìn)入超級權(quán)限模式）

Router#conft

（進(jìn)入全局設(shè)置模式）

Router(config)#hostname2620B

（修改主機(jī)名為2620B）

2620B(config)#enablepassword456

（設(shè)置進(jìn)入超級權(quán)限模

式的密碼）

2620B(config)#intfa0/0

（進(jìn)入快速以太網(wǎng)端口

FastEthernet0/0的設(shè)置模式）

2620B(config-if)#ipaddress172.16.0.254255.255.0.0

（設(shè)置以太網(wǎng)端口的IP地址）

2620B(config-if)#noshut

（激活以太網(wǎng)端口）202620B(config-if)#ints0/0

（進(jìn)入同步串口Serial0/0的設(shè)置模式）2620B(config-if)#ipaddress10.0.0.2255.0.0.0

（設(shè)置同步串口的

IP地址）2620B(config-if)#clockrate2000000

（因?yàn)檫B線時路由器2620B

的同步串口Serial0/0為

DCE端，所以要在此設(shè)置

時鐘頻率）2620B(config-if)#noshut

（激活同步串口）2620B(config-if)#^Z

（按Ctrl+Z快捷鍵直接退到超級權(quán)限模式）2620B#

這時可回到路由器2620A的命令行控制臺，發(fā)現(xiàn)它的同步串口已自動激活，因?yàn)楝F(xiàn)在兩端的配置已匹配了。21

5．連通性測試（1）在路由器2620A中測試連通性。在路由器2620A的命令行輸入以下命令。2620A#ping192.168.0.1

（ping主機(jī)PCA）2620A#ping10.0.0.2

（ping相鄰路由器的相鄰端口）（2）在路由器2620B中測試連通性。在路由器2620B的命令行輸入以下命令。2620B#ping172.16.0.1

（ping主機(jī)PCB）2620B#ping10.0.0.1

（ping相鄰路由器的相鄰端口）18.4配置廣域網(wǎng)線路協(xié)議22

這里的廣域網(wǎng)線路協(xié)議實(shí)質(zhì)上就是指OSI模型中的第2層協(xié)議。在以太網(wǎng)中，第2層協(xié)議已固定封裝為IEEE802.3協(xié)議，所以無需人工配置了，但在廣域網(wǎng)中，由于其靈活性的要求，廣域網(wǎng)端口沒有固定封裝某種第2層協(xié)議，所以需要手工設(shè)置。

Cisco路由器的同步串口默認(rèn)狀態(tài)下為CiscoHDLC封裝，因此，一般地?zé)o需顯示封裝HDLC。

在Cisco路由器之間用同步專線連接時，采用CiscoHDLC比采用PPP協(xié)議效率高得多，但是，如果將Cisco路由器與非Cisco路由器進(jìn)行同步專線連接時，不能用CiscoHDLC，因?yàn)樗鼈儾恢С諧iscoHDLC，為了保證不同廠家設(shè)備之間連接的兼容性，建議采用PPP協(xié)議。23

下面配置PPP協(xié)議及其驗(yàn)證。

1．確認(rèn)連接線路正常。

2．在路由器2620A的全局設(shè)置模式下鍵入username2620Bpasswordcisco（2620B為對方路由器的名字），指明需要驗(yàn)證的路由器的名稱、密碼。

3．在全局設(shè)置模式下鍵入ints0/0。

4．在串口設(shè)置模式下鍵入encapsulationppp，設(shè)置PPP的封裝格式。

5．在串口設(shè)置模式下，鍵入pppauthenticationchap命令，采用CHAP驗(yàn)證。

6．在另一端路由器2620B上做類似的配置，只是username命令要寫為username2620Apasswordcisco形式，因?yàn)椋?620A對2620B而言為對方路由器的名字。

7．使用ping命令測試路由器的通訊情況，兩個路由器可以通信了。

8．取消ppp驗(yàn)證

在串口設(shè)置模式下，使用nopppauthenticationchap命令，在全局設(shè)置模式下，使用nousername2620Bpasswordcisco命令取消對方用戶名和密碼的設(shè)置。在另一臺路由器上也做類似的取消設(shè)置。18.5靜態(tài)路由的配置24

通過配置靜態(tài)路由，用戶可以人為地指定對某一網(wǎng)絡(luò)訪問時所要經(jīng)過的路徑，在網(wǎng)絡(luò)結(jié)構(gòu)比較簡單，且一般到達(dá)某一網(wǎng)絡(luò)所經(jīng)過的路徑唯一的情況下可采用靜態(tài)路由。

下面配置靜態(tài)路由。

1．在路由器2620A的全局設(shè)置模式下，鍵入iproute172.16.0.0255.255.0.010.0.0.2，設(shè)置到172.16.0.0網(wǎng)段的靜態(tài)路由。

2．在另一臺路由器2620B上也進(jìn)行類似的配置。在路由器2620B的全局設(shè)置模式下，鍵入iproute192.168.0.0255.255.255.010.0.0.1，設(shè)置到192.168.0.0網(wǎng)段的靜態(tài)路由。

3．在路由器2620A的特權(quán)模式下鍵入showiproute命令查看路由表。

4．測試連通性在主機(jī)PCA的命令提示符窗口，ping對方主機(jī)PCB的IP地址，即ping172.16.0.1。25

5．在進(jìn)行后面的路由實(shí)踐之前，為了防止不同路由之間的相互影響，給用戶造成錯覺，請取消本實(shí)踐的路由設(shè)置。

在路由器2620A的全局設(shè)置模式下，鍵入noiproute172.16.0.0255.255.0.010.0.0.2命令，取消靜態(tài)路由設(shè)置。

在路由器2620B的全局設(shè)置模式下，鍵入noiproute192.168.0.0255.255.255.010.0.0.1命令，取消靜態(tài)路由設(shè)置。18.6默認(rèn)路由的配置26

由于本實(shí)踐拓?fù)渲兄鳈C(jī)所在網(wǎng)段均只有一個外出接口，所以，也可配置成默認(rèn)路由，以簡化配置。

下面配置默認(rèn)路由。

1．在路由器2620A的全局設(shè)置模式下，鍵入iproute0.0.0.00.0.0.010.0.0.2，設(shè)置到對方網(wǎng)段的默認(rèn)路由。

2．在另一臺路由器2620B上也進(jìn)行類似的配置。

在路由器2620B的全局設(shè)置模式下，鍵入iproute0.0.0.00.0.0.010.0.0.1，設(shè)置到對方網(wǎng)段的默認(rèn)路由。

3．在路由器2620A的特權(quán)模式下鍵入showiproute命令查看路由表。

4．測試連通性

在主機(jī)PCA的命令提示符窗口，ping對方主機(jī)PCB的IP地址，即ping172.16.0.1。27

5．在進(jìn)行后面的路由實(shí)踐之前，為了防止不同路由之間的相互影響，給用戶造成錯覺，請取消本實(shí)踐的路由設(shè)置。

在路由器2620A的全局設(shè)置模式下，鍵入noiproute0.0.0.00.0.0.010.0.0.2命令，取消默認(rèn)路由設(shè)置。

在路由器2620B的全局設(shè)置模式下，鍵入noiproute0.0.0.00.0.0.010.0.0.1命令，取消默認(rèn)路由設(shè)置。18.7RIP路由協(xié)議基本配置28

下面介紹RIP路由協(xié)議的基本配置。

1．在路由器2620A中鍵入configterminal，進(jìn)入全局設(shè)置模式。

2．鍵入routerrip，啟動RIP路由協(xié)議。

3．鍵入version2，使用RIP版本2。

4．在路由協(xié)議的配置模式下，鍵入network192.168.0.0和network10.0.0.0，指明與路由器直接相連的網(wǎng)絡(luò)。

5．在特權(quán)模式下，鍵入showipprotocols命令查看RIP協(xié)議的相關(guān)信息。

6．在路由器2620B中進(jìn)行類似的配置。

7．測試連通性

在主機(jī)PCA的命令提示符窗口，ping對方主機(jī)PCB的IP地址，即ping172.16.0.1。

8．在路由器2620A的特權(quán)模式下，鍵入showiproute命令查看動態(tài)路由表。29

9．在進(jìn)行后面的路由實(shí)踐之前，為了防止不同路由之間的相互影響，給用戶造成錯覺，請取消本實(shí)踐的路由設(shè)置。

在路由器2620A的全局設(shè)置模式下，鍵入norouterrip命令，取消RIP路由設(shè)置。

在路由器2620B的全局設(shè)置模式下，鍵入norouterrip命令，取消RIP路由設(shè)置。18.8OSPF路由協(xié)議基本配置30

下面介紹OSPF路由協(xié)議的基本配置。

1．在路由器2620A中鍵入configterminal，進(jìn)入全局設(shè)置模式。

2．鍵入routerospf100，啟動OSPF路由協(xié)議。

3．在路由協(xié)議的配置模式下鍵入network192.168.0.00.0.0.255area200和network10.0.0.00.255.255.255area200，指明與路由器直接相連的網(wǎng)絡(luò)。

4．在特權(quán)模式下，鍵入showipprotocols命令查看OSPF協(xié)議的相關(guān)信息。

5．在路由器2620B中進(jìn)行類似的配置。

6．測試連通性

在主機(jī)PCA的命令提示符窗口，ping對方主機(jī)PCB的IP地址，即ping172.16.0.1。

7．在路由器2620A的特權(quán)模式下，鍵入showiproute命令查看動態(tài)路由表。18.9用訪問列表來控制IP通信31

18.9.1包過濾功能簡介

包過濾功能可以幫助路由器控制數(shù)據(jù)包在網(wǎng)絡(luò)中的傳輸，通過包過濾可以限制網(wǎng)絡(luò)流量以及增加網(wǎng)絡(luò)安全性。包過濾功能對路由器本身產(chǎn)生的數(shù)據(jù)包不起作用。當(dāng)數(shù)據(jù)包進(jìn)入某個端口時，路由器首先檢查該數(shù)據(jù)包是否可以通過路由或橋接方式送出去，如果不能，則路由器將丟掉該數(shù)據(jù)包，如果該數(shù)據(jù)包可以傳送出去，則路由器將檢查該數(shù)據(jù)包是否滿足該端口中定義的包過濾規(guī)則，如果包過濾規(guī)則不允許該數(shù)據(jù)包通過，則路由器將丟掉該數(shù)據(jù)包。

有兩種方式的包過濾規(guī)則：

（1）標(biāo)準(zhǔn)包過濾。該種包過濾只對數(shù)據(jù)包中的源地址進(jìn)行檢查。

（2）擴(kuò)展包過濾。該種包過濾對數(shù)據(jù)包中的源地址、目的地址、協(xié)議及端口號都進(jìn)行檢查。32

1．定義標(biāo)準(zhǔn)包過濾規(guī)則

在全局配置狀態(tài)下設(shè)置如下命令：

access-list<標(biāo)識號碼><deny︱permit><源地址><通配符>33

2．定義擴(kuò)展包過濾規(guī)則

在全局配置狀態(tài)下設(shè)置如下命令：

access-list<標(biāo)識號碼><deny︱permit><協(xié)議標(biāo)識><源地址><通配符><目的地址><通配符>

Cisco路由器中access-list規(guī)定的標(biāo)識號碼如下：

IP標(biāo)準(zhǔn)包過濾標(biāo)識號碼范圍為1～99；

IP擴(kuò)展包過濾標(biāo)識號碼范圍為100～199；

可以在指定范圍內(nèi)任意選擇一個標(biāo)識號碼定義相應(yīng)的包過濾規(guī)則，deny參數(shù)表示禁止，permit表示允許。通配符也為32位二進(jìn)制數(shù)字，并與相應(yīng)的地址一一對應(yīng)。路由器將檢查與通配符中的“0”（2進(jìn)制）位置一樣的地址位，對于通配符中“1”（2進(jìn)制）位置一致的地址位，將忽略不檢查。

一個包過濾規(guī)則可以包含一系列檢查條件，即可以用同一標(biāo)識號碼定義一系列access-list語句，路由器將從最先定義的條件開始依次檢查，如數(shù)據(jù)包滿足某個條件，路由器將不再執(zhí)行下面的包過濾條件，如果數(shù)據(jù)包不滿足規(guī)則中的所有條件，Cisco路由器默認(rèn)為禁止該數(shù)據(jù)包，即丟掉該數(shù)據(jù)包。34

3．在需要包過濾功能的端口引用包過濾規(guī)則

引用包過濾規(guī)則的命令如下：

ipaccess-group<包過濾規(guī)則標(biāo)識號><in︱out>

其中in表示對進(jìn)入該端口的數(shù)據(jù)包進(jìn)行檢查，out表示對要從該端口送出的數(shù)據(jù)包進(jìn)行檢查。

如果不進(jìn)行該命令的配置，則所定義的包過濾規(guī)則根本不會執(zhí)行。35

18.9.2標(biāo)準(zhǔn)IP訪問列表的應(yīng)用

下面的實(shí)踐將建立標(biāo)準(zhǔn)的IP訪問列表，以拒絕特定的計(jì)算機(jī)訪問本設(shè)備。

1．檢查連接線路和路由協(xié)議，在主機(jī)PCB中執(zhí)行ping192.168.0.1（192.168.0.1為主機(jī)PCA的IP地址）命令，確保主機(jī)PCB與主機(jī)PCA能夠互相通信。

2．在路由器2620A中鍵入configterminal，進(jìn)入全局設(shè)置模式。

3．鍵入access-list1deny172.16.0.10.0.0.0（172.16.0.1為主機(jī)PCB的IP地址），鍵入access-list1permit0.0.0.0255.255.255.255。

4．鍵入ints0/0，進(jìn)入串口設(shè)置模式。

5．鍵入ipaccess-group1in，在串口上應(yīng)用此訪問列表。

6．在特權(quán)模式下鍵入showipaccess-list命令查看IP訪問列表。

7．在特權(quán)模式下，鍵入showipinterfaceserial0/0命令查看端口的訪問列表。36

8．在主機(jī)PCB上鍵入ping192.168.0.1命令，驗(yàn)證訪問列表的作用，此時主機(jī)PCB將無法ping通主機(jī)PCA。

9．在全局設(shè)置模式下，鍵入noaccess-list1，可取消該訪問控制列表。在串口serial0/0的配置模式下，鍵入noipaccess-group1in，可取消串口對該訪問列表的引用。37

18.9.3擴(kuò)展IP訪問列表的應(yīng)用

下面的實(shí)踐將建立擴(kuò)展的IP訪問列表，以拒絕特定計(jì)算機(jī)telnet到本地路由器。

1．為了允許遠(yuǎn)端設(shè)備對路由器2620A進(jìn)行telnet遠(yuǎn)程登錄，在路由器2620A的全局設(shè)置模式下要鍵入如下命令：

2620A(config)#linevty015

（設(shè)置虛擬終端線0-15，共允許

16個虛擬終端同時登錄）

2620A(config-line)#login

（設(shè)置登錄驗(yàn)證）

2620A(config-line)#passwordcisco

（設(shè)置虛擬終端登錄密

碼，這里設(shè)成了cisco）

2．檢查連接線路、路由協(xié)議及訪問控制列表，在主機(jī)PCB中執(zhí)行ping10.0.0.1和telnet10.0.0.1命令，確保主機(jī)PCB與路由器2620A能夠互相通信。

3．在路由器2620A中，鍵入configterminal，進(jìn)入全局設(shè)置模式。38

4．鍵入access-list101denytcp172.16.0.10.0.0.010.0.0.10.0.0.0eq23（172.16.0.1為對方主機(jī)PCB的IP地址，10.0.0.1為本地路由器串口的IP地址，telnet的TCP端口號為23），鍵入access-list101permitipanyany。

5．鍵入ints0/0，進(jìn)入串口設(shè)置模式。

6．鍵入ipaccess-group101in，在串口上應(yīng)用此訪問列表。

7．在特權(quán)模式下鍵入showipaccess-list命令查看訪問列表。

8．在特權(quán)模式下，鍵入showipinterfaces0/0命令查看端口的訪問列表。

9．在主機(jī)PCB上鍵入telnet10.0.0.1（路由器2620A串口的IP地址）命令，將無法完成telnet命令，但ping10.0.0.1仍能夠互相ping通。

10．在路由器2620A的全局設(shè)置模式下，鍵入noaccess-list101，可取消該訪問控制列表。在串口serial0/0的配置模式下，鍵入noipaccess-group101in，可取消串口對該訪問列表的引用。第19章Cisco交換機(jī)配置39

Cisco的交換機(jī)為Catalyst系列交換機(jī)。Catalyst系列交換機(jī)支持兩種操作系統(tǒng)之一，一種是基于CiscoIOS的；另一種是基于CatalystIOS的。以CiscoIOS為操作系統(tǒng)的交換機(jī)，使用的命令與在Cisco路由器上所使用的CiscoIOS命令集相似。Catalyst系列交換機(jī)的控制口（Console口）與計(jì)算機(jī)的連接方法同Cisco路由器一樣，計(jì)算機(jī)也是通過交換機(jī)的控制口去設(shè)置交換機(jī)的，進(jìn)入設(shè)置的方法與Cisco路由器類似。19.1Cisco交換機(jī)常規(guī)配置40

19.1.1實(shí)踐環(huán)境交換機(jī)常規(guī)配置實(shí)踐的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示。41

19.1.3實(shí)踐內(nèi)容

1．給主機(jī)PCA設(shè)置好IP地址，IP地址為192.168.0.1，子網(wǎng)掩碼為255.255.255.0。

2．給主機(jī)PCB設(shè)置好IP地址，IP地址為192.168.0.2，子網(wǎng)掩碼為255.255.255.0。

3．測試主機(jī)間的連通性。

在主機(jī)PCA的命令提示符窗口去ping主機(jī)PCB的IP地址，測試通信成功。

4．在交換機(jī)2950A的命令行方式下輸入以下命令。

Switch>en

（進(jìn)入超級權(quán)限模式）

Switch#conft

（進(jìn)入全局設(shè)置模式）

Switch(config)#hostname2950A

（設(shè)置交換機(jī)的名字）

2950A(config)#enablepassword456

（設(shè)置進(jìn)入超級權(quán)限模

式的密碼）422950A(config)#intrangefa0/2–10

（批量配置fa0/2到fa0/10

的多個以太網(wǎng)端口）2950A(config-if-range)#speed100

（設(shè)置端口速率為100M）2950A(config-if-range)#duplexfull

（設(shè)置端口雙工模式為全雙工）2950A(config-if-range)#intvlan1

（進(jìn)入VLAN1的端口設(shè)置模式）2950A(config-if)#ipaddress192.168.0.10255.255.255.0

（給VLAN1設(shè)置IP地址，即管理用的IP地址）2950A(config-if)#noshut

（激活VLAN1端口）2950A(config-if)#linevty015

（設(shè)置虛擬終端線0-15，共允許16個

虛擬終端同時登錄）2950A(config-line)#login

設(shè)置登錄驗(yàn)證）2950A(config-line)#passwordcisco

（設(shè)置虛擬終端登錄密碼）2950A(config-line)#^Z

（按Ctrl+Z快捷鍵退到超級權(quán)限模式）43

說明：

（1）交換機(jī)以太網(wǎng)端口的速率和雙工模式一般出廠時的默認(rèn)設(shè)置都為自適應(yīng)（auto），實(shí)際工作中只要不出問題，一般都不必去手工設(shè)置。

（2）二層交換機(jī)通訊時一般都不需要配置IP地址，配置管理用的IP地址（也就是虛擬端口VLAN1的IP地址）一般是為了方便遠(yuǎn)程telnet登錄，實(shí)現(xiàn)遠(yuǎn)程管理。

5．在主機(jī)PCA中Telnet交換機(jī)2950A。

在主機(jī)PCA的命令提示符窗口先ping交換機(jī)2950A的管理用的IP地址，看是否可以通信，然后再Telnet交換機(jī)2950A，實(shí)現(xiàn)對其的遠(yuǎn)程控制。

6．在交換機(jī)2950B的命令行方式下輸入以下命令。

Switch>en

Switch#conft

Switch(config)#hostname2950B

2950B(config)#enablepassword456

2950B(config)#^Z19.2MAC地址表的管理44

19.2.3實(shí)踐內(nèi)容

1．在主機(jī)PCA的命令提示符窗口去ping主機(jī)PCB的IP地址。

2．在主機(jī)PCA的命令提示符窗口輸入命令ipconfig/all，查看本機(jī)的MAC地址。

3．進(jìn)入交換機(jī)2950A的命令行方式。在超級權(quán)限模式下輸入命令showmac-address-table，查看交換機(jī)自動學(xué)到的MAC地址表。

4．進(jìn)入全局配置模式，輸入命令mac-address-tablestatic00d0.ff2c.c103vlan1interfacefa0/2，分配一個靜態(tài)（即不會自動刷新）的主機(jī)PCA的MAC地址給fa0/2端口。

在fa0/2端口上設(shè)置了靜態(tài)MAC地址后，該端口將只允許這個MAC地址對應(yīng)的設(shè)備連接在該端口上進(jìn)行通信。換言之，就是將某主機(jī)的MAC地址與交換機(jī)的某端口進(jìn)行了靜態(tài)捆綁，只有符合這個綁定組合，主機(jī)才可通信。

現(xiàn)在的主機(jī)PCA是連在了fa0/1端口，不符合上述的綁定組合，應(yīng)該就不能進(jìn)行網(wǎng)絡(luò)通信了。實(shí)際工作中，可以利用這個特性防止非法計(jì)算機(jī)接入本單位的局域網(wǎng)。45

5．在交換機(jī)2950A的超級權(quán)限模式下再次輸入命令showmac-address-table，查看交換機(jī)的MAC地址表。

6．再次在主機(jī)PCA的命令提示符窗口去ping主機(jī)PCB的IP地址，結(jié)果已經(jīng)ping不通了。

7．在交換機(jī)2950A的全局配置模式，輸入命令nomac-address-tablestatic00d0.ff2c.c103vlan1interfacefa0/2，取消這個綁定。

8．在主機(jī)PCA的命令提示符窗口去ping主機(jī)PCB的IP地址，結(jié)果可以ping通。19.3生成樹協(xié)議46

19.3.3實(shí)踐內(nèi)容

1．兩臺交換機(jī)之間有冗余鏈路，交換機(jī)之間形成了鏈路環(huán)路，這時，生成樹協(xié)議（STP）自動發(fā)揮了作用，阻塞了交換機(jī)2950B上的兩個端口，使得在交換機(jī)之間只有一條鏈路在傳輸信息，從而打斷了信息環(huán)路。

由于生成樹根橋上的端口是不會被阻塞的，阻塞端口只會發(fā)生在非根橋上，從圖中看，交換機(jī)2950A應(yīng)該是被生成樹協(xié)議選作了根橋，而交換機(jī)2950B應(yīng)該是非根橋。

2．查看交換機(jī)2950A生成樹協(xié)議狀態(tài)。在交換機(jī)2950A的超級權(quán)限模式下輸入命令showspanning-tree。

3．查看交換機(jī)2950B生成樹協(xié)議狀態(tài)。在交換機(jī)2950B的超級權(quán)限模式下輸入命令showspanning-tree。47

4．設(shè)置交換機(jī)2950B作為根橋。在交換機(jī)2950B的全局設(shè)置模式下，輸入命令spanning-treevlan1rootprimary，并觀察圖中端口狀態(tài)的變化，再退到超級權(quán)限模式，輸入命令showspanning-tree。由于命令spanning-treevlan1rootprimary將網(wǎng)橋優(yōu)先級設(shè)置為了24576，比默認(rèn)的網(wǎng)橋優(yōu)先級值32768小，所以，交換機(jī)2950B就選作了根橋，它的所有的端口都是轉(zhuǎn)發(fā)（FWD）的，而交換機(jī)2950A就選作了非根橋，它有兩個端口被阻塞了。

5．由于命令spanning-treevlan1rootprimary只是將網(wǎng)橋優(yōu)先級設(shè)置了24576，而網(wǎng)橋優(yōu)先級值的取值范圍為0～65535，最小值可為0。下面通過修改網(wǎng)橋優(yōu)先級值的命令，再次將交換機(jī)2950A設(shè)置為根橋。

在交換機(jī)2950A的全局設(shè)置模式下，輸入命令spanning-treevlan1priority0，并觀察圖中端口狀態(tài)的變化。

過了一段時間，可以發(fā)現(xiàn)交換機(jī)2950A又作為了根橋。48

6．下面我們來驗(yàn)證生成樹協(xié)議的鏈路容錯功能?，F(xiàn)在，兩臺交換機(jī)的Fa0/22端口對應(yīng)的鏈路是通的，而Fa0/23、Fa0/24端口對應(yīng)的鏈路是不通的。下面我們將交換機(jī)2950A的Fa0/22端口down掉，看看鏈路狀態(tài)會發(fā)生什么變化。

7．雖然生成樹協(xié)議具有鏈路容錯功能，但從觀察端口狀態(tài)轉(zhuǎn)化的過程可以看出，這種轉(zhuǎn)化的時間有點(diǎn)偏長，標(biāo)準(zhǔn)時間是50秒左右，這對有些用戶來說，可能不太滿意。為了加快生成樹的收斂速度，我們可采用快速生成樹協(xié)議，它可使生成樹的收斂速度減少到1秒以內(nèi)。設(shè)置成RSTP（快速生成樹協(xié)議）模式的命令是spanning-treemoderapid-pvst。

在交換機(jī)2950B中輸入命令spanning-treemoderapid-pvst。

再在交換機(jī)2950A中輸入命令spanning-treemoderapid-pvst，并且將Fa0/22端口激活，查看鏈路狀態(tài)的變化時間。

可以看到鏈路狀態(tài)的變化比沒有使用快速生成樹協(xié)議之前要快很多。49

8．加快計(jì)算機(jī)與交換機(jī)的連通速度。

當(dāng)計(jì)算機(jī)通電開機(jī)時，由于交換機(jī)要進(jìn)行生成樹狀態(tài)的判斷，所以，交換機(jī)端口要經(jīng)過一段時間才能變成轉(zhuǎn)發(fā)狀態(tài)，這可通過關(guān)、開計(jì)算機(jī)的電源觀察到。

選擇PCA，關(guān)閉電源，再單擊電源開關(guān)，打開電源，觀察對應(yīng)的交換機(jī)端口變成綠色的過程時間。

由于連接計(jì)算機(jī)的交換機(jī)端口沒有連接冗余環(huán)路，所以，沒必要進(jìn)行生成樹的判斷，為了加快計(jì)算機(jī)與交換機(jī)的連通速度，可在端口設(shè)置模式下通過命令spanning-treeportfast將端口設(shè)置成速端口，使端口立刻進(jìn)入轉(zhuǎn)發(fā)狀態(tài)。也可在全局設(shè)置模式下輸入命令spanning-treeportfastdefault，將所有非中繼端口設(shè)置成速端口，以減少配置工作量。

在交換機(jī)2950A中輸入命令spanning-treeportfastdefault。

再次關(guān)、開主機(jī)PCA的電源，可觀察到其對應(yīng)的交換機(jī)端口很快就變成了轉(zhuǎn)發(fā)狀態(tài)。19.4以太網(wǎng)通道50

19.4.3實(shí)踐內(nèi)容

兩臺交換機(jī)之間有多條冗余鏈路時，生成樹協(xié)議使得只有一個鏈路處于通訊狀態(tài)，其它鏈路處于阻塞備用狀態(tài)。生成樹協(xié)議提供了兩臺交換機(jī)之間鏈路容錯能力，并沒有增加交換機(jī)之間數(shù)據(jù)傳輸?shù)乃俣取?/p>

以太網(wǎng)通道（Etherchannel）可將多條平行的一組物理鏈路捆綁成一條邏輯通路，使用它可以提高交換機(jī)間的鏈路帶寬，同時也具有鏈路容錯能力。

1．在交換機(jī)2950A中，在端口設(shè)置模式下，通過命令channel-group1modeon將端口Fa0/22、Fa0/23、Fa0/24對應(yīng)的鏈路設(shè)置成以太網(wǎng)通道。

2．同樣在交換機(jī)2950B中，在端口設(shè)置模式下，通過命令channel-group1modeon將端口Fa0/22、Fa0/23、Fa0/24對應(yīng)的鏈路設(shè)置成以太網(wǎng)通道。51

3．觀察以太網(wǎng)通道中鏈路端口狀態(tài)，發(fā)現(xiàn)所有的端口都變成了綠色，即所有的端口都處于轉(zhuǎn)發(fā)狀態(tài)，沒有被阻塞的了。

4．將交換機(jī)2950A的Fa0/23端口down掉，即將以太網(wǎng)通道中的某個鏈路中斷，觀察端口的狀態(tài)變化?？梢园l(fā)現(xiàn)其它鏈路仍然是通的。

5．通過命令showetherchannelsummary查看每個以太網(wǎng)通道組摘要信息。

6．通過命令showspanning-tree查看生成樹協(xié)議狀態(tài)。

對應(yīng)于以太網(wǎng)通道的邏輯端口Po1處于轉(zhuǎn)發(fā)狀態(tài)。19.5VLAN的設(shè)置52

19.5.1實(shí)踐環(huán)境交換機(jī)VLAN設(shè)置實(shí)踐的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示。53

19.5.3實(shí)踐內(nèi)容

1．給主機(jī)PCA設(shè)置好IP地址，IP地址為192.168.0.1，子網(wǎng)掩碼為255.255.255.0，默認(rèn)網(wǎng)關(guān)為192.168.0.254。

2．給主機(jī)PCB設(shè)置好IP地址，IP地址為192.168.0.2，子網(wǎng)掩碼為255.255.255.0，默認(rèn)網(wǎng)關(guān)為192.168.0.254。

3．給主機(jī)PCC設(shè)置好IP地址，IP地址為192.168.0.3，子網(wǎng)掩碼為255.255.255.0，默認(rèn)網(wǎng)關(guān)為192.168.0.254。

4．給主機(jī)PCD設(shè)置好IP地址，IP地址為192.168.0.4，子網(wǎng)掩碼為255.255.255.0，默認(rèn)網(wǎng)關(guān)為192.168.0.254。

5．測試主機(jī)間的連通性。

在主機(jī)PCA的命令提示符窗口去ping主機(jī)PCC的IP地址，測試通信成功。54

6．在交換機(jī)2950A的命令行方式下輸入以下命令。Switch>en

（進(jìn)入超級權(quán)限模式）Switch#conft

（進(jìn)入全局設(shè)置模式）Switch(config)#hostname2950A

（設(shè)置交換機(jī)的名字）2950A(config)#exit

（退到上一級模式）2950A#vlandatabase

（進(jìn)入VLAN數(shù)據(jù)庫）2950A(vlan)#vtpdomainvd1

（設(shè)置VTP域名）2950A(vlan)#vlan2

（創(chuàng)建VLAN2）2950A(vlan)#exit

（退到上一級模式）2950A#conft

（進(jìn)入全局設(shè)置模式）2950A(config)#intfa0/12

（進(jìn)入端口fa0/12設(shè)置模式）2950A(config-if)#switchportmodetrunk

（將級連口trunk打開）2950A(config-if)#intfa0/2

（進(jìn)入端口fa0/2設(shè)置模式）2950A(config-if)#switchportmodeaccess

（設(shè)置端口為存取模式）2950A(config-if)#switchportaccessvlan2

（將端口添加到VLAN2）2950A(config-if)#^Z

（按Ctrl+Z快捷鍵退到超級權(quán)限模式）2950A#showvlan

（顯示VLAN信息）55

7．在交換機(jī)2950B的命令行方式下輸入以下命令（與交換機(jī)2950A輸入的命令類似）。Switch>en

（進(jìn)入超級權(quán)限模式）Switch#conft

（進(jìn)入全局設(shè)置模式）Switch(config)#hostname2950B

（設(shè)置交換機(jī)的名字）2950B(config)#exit

（退到上一級模式）2950B#vlandatabase

（進(jìn)入VLAN數(shù)據(jù)庫）2950B(vlan)#vtpdomainvd1

（設(shè)置VTP域名）2950B(vlan)#vlan2

（創(chuàng)建VLAN2）2950B(vlan)#exit

（退到上一級模式）2950B#conft

（進(jìn)入全局設(shè)置模式）2950B(config)#intfa0/12

（進(jìn)入端口fa0/12設(shè)置模式）2950B(config-if)#switchportmodetrunk

（將級連口trunk打開）2950B(config-if)#intfa0/2

（進(jìn)入端口fa0/2設(shè)置模式）2950B(config-if)#switchportmodeaccess

（設(shè)置端口為存取模式）2950B(config-if)#switchportaccessvlan2

（將端口添加到VLAN2）2950B(config-if)#^Z

（按Ctrl+Z快捷鍵退到超級權(quán)限模式）2950B#showvlan

（顯示VLAN信息）56

8．測試不同VLAN的主機(jī)間的連通性。

在主機(jī)PCA的命令提示符窗口去ping主機(jī)PCC的IP地址。由于主機(jī)PCA在VLAN1，而主機(jī)PCC在VLAN2，它們屬于不同的VLAN，它們之間的通信已被VLAN隔離，所以測試通信不成功。19.6VLAN之間的路由設(shè)置57

19.6.1單臂路由的配置

在上一節(jié)實(shí)踐的基礎(chǔ)上接著做下面的實(shí)踐操作。

不同VLAN內(nèi)的網(wǎng)絡(luò)地址應(yīng)該不同，這樣將來才能利用路由器或第三層交換機(jī)實(shí)現(xiàn)它們之間的通信。

（1）將主機(jī)PCC的IP設(shè)置進(jìn)行修改，IP地址改為192.168.1.3，子網(wǎng)掩碼為255.255.255.0，默認(rèn)網(wǎng)關(guān)改為192.168.1.254。

（2）將主機(jī)PCD的IP設(shè)置進(jìn)行修改，IP地址改為192.168.1.4，子網(wǎng)掩碼為255.255.255.0，默認(rèn)網(wǎng)關(guān)改為192.168.1.254。

（3）進(jìn)入交換機(jī)2950A的命令行方式，利用switchportmodetrunk命令將其與路由器2620連接的那個端口fa0/10設(shè)成trunk模式。58

（4）進(jìn)入路由器2620的命令行方式，輸入以下命令。Router>en

（進(jìn)入超級權(quán)限模式）Router#conft

（進(jìn)入全局設(shè)置模式）Router(config)#hostname2620

（設(shè)置路由器的名字）2620(config)#intfa0/0

（進(jìn)入端口fa0/0設(shè)置模式）2620(config-if)#noipaddress

（刪除以太網(wǎng)端口原有的IP地址）2620(config-if)#intfa0/0.1

（指定子接口1）2620(config-subif)#encapsulationdot1q1

（子接口封裝dot1q協(xié)議，最后數(shù)字1對應(yīng)VLAN1）2620(config-subif)#ipaddress192.168.0.254255.255.255.0

（為子接口1分配一個IP地址，該地址為其對應(yīng)VLAN1內(nèi)各計(jì)算機(jī)的默認(rèn)網(wǎng)關(guān)）2620(config-subif)#intfa0/0.2

（指定子接口2）2620(config-subif)#encapsulationdot1q2

（子接口封裝dot1q協(xié)

議，最后數(shù)字2對應(yīng)VLAN2）2620(config-subif)#ipaddress192.168.1.254255.255.255.0

（為子接口2分配一個IP地址，該地址為其對應(yīng)VLAN2內(nèi)各計(jì)算機(jī)的默認(rèn)網(wǎng)關(guān)）2620(config-subif)#^Z

（按Ctrl+Z快捷鍵退到超級權(quán)限模式）59

說明：

Catalyst2950交換機(jī)trunk模式的端口默認(rèn)封裝且只能封裝dot1q協(xié)議（即IEEE802.1Q協(xié)議）。如果路由器是與Catalyst2950交換機(jī)相連，則此處路由器的子接口就也應(yīng)封裝為dot1q。如果交換機(jī)在與路由器連接的端口上，使用了switchporttrunkencapsulation命令封裝了其他可選的協(xié)議，則此處路由器的子接口就也應(yīng)封裝成與之一樣的協(xié)議。

（5）測試不同VLAN的主機(jī)間的連通性。

在主機(jī)PCA的命令提示符窗口去ping主機(jī)PCC的IP地址。由于主機(jī)PCA在VLAN1，而主機(jī)PCC在VLAN2，它們屬于不同的VLAN，由于VLAN之間已設(shè)置了路由，所以測試通信成功。60

19.6.2三層交換機(jī)的配置