《計算機網(wǎng)絡虛擬實踐操作》課件第2部分 Cisco路由器和交換機配置-PT版

1第16章CiscoPacketTracer使用簡介第17章CiscoIOS的基本操作第18章Cisco路由器配置第19章Cisco交換機配置Cisco路由器和交換機配置

目錄2

PacketTracer是Cisco公司為思科網(wǎng)絡技術學院開發(fā)的一款針對Cisco網(wǎng)絡設備進行網(wǎng)絡設計、設備配置和故障排除的模擬軟件，可以進行Cisco網(wǎng)絡設備的一些虛擬實踐。第16章CiscoPacketTracer

使用簡介3路由器實踐網(wǎng)絡拓撲如下圖所示。4在PacketTracer中完成以上拓撲圖的連接配置后，如下圖所示。第17章CiscoIOS的基本操作

17.1實踐環(huán)境5同前圖17.3CiscoIOS的有關基本操作6

下面以路由器2620A為例介紹路由器的有關基本操作，在路由器2620B也請自行進行類似的操作。

17.3.1各種模式的轉換Router>（一般用戶模式，提示符為>）Router>enable

（進入超級權限模式的命令）Router#（超級權限模式，提示符為#）Router#configterminal

（進入全局設置模式的命令）Router(config)#（全局設置模式，提示符為(config)#）Router(config)#interfacefastEthernet0/0

（進入快速以太網(wǎng)端口

設置模式的命令）Router(config-if)（端口設置模式，提示符為(config-if)#）Router(config-if)#interfaceserial0/0

（進入同步串口端口設置模

式的命令）Router(config-if)#exit

（退到上一級模式的命令）Router(config)#exit

（退到上一級模式的命令）Router#exit

（退到上一級模式的命令）Router>（退到一般用戶模式）7

17.3.2熟悉幫助命令

CiscoIOS命令行操作提供了多種幫助方式，以幫助用戶正確的使用命令。

1．打開路由器，看到“PressRETURNtogetstarted.”提示信息后按回車鍵進入一般用戶模式。

2．鍵入幫助命令“？”，將出現(xiàn)在一般用戶模式下可用的所有命令，顯示滿了一屏后會暫停，按下回車鍵，屏幕將上移一行，按下空格鍵，屏幕將上移一屏。

3．鍵入命令“enable”，進入特權模式。

4．在特權模式下，鍵入幫助命令“？”，查詢哪個命令管理系統(tǒng)時鐘。

5．鍵入clock？命令，系統(tǒng)將提示可用的參數(shù)及注釋“setSetthetimeanddate”，鍵入“clockset?”命令，系統(tǒng)將提示可用的參數(shù)及注釋“hh:mm:ssCurrentTime”，按照此規(guī)則合理運用幫助命令來設置正確的時鐘。

6．在特權模式下鍵入“sh？”命令，系統(tǒng)會顯示所有以sh打頭的命令。

7．鍵入“sh”兩個符號后，再按Tab鍵，系統(tǒng)會在本命令行將“show”補充完整，在同一行中，再鍵入“？”，系統(tǒng)會將“show”命令后可用的參數(shù)及注釋全部顯示出來。8

17.3.3路由器常規(guī)配置

1．由！字符引導的句子是一個注釋語句。

2．按Ctrl+P（或者按向上箭頭的鍵），將顯示上一次鍵入的一條命令。

3．分別鍵入下列編輯命令。

Ctrl+A：光標會在當前位置進到命令行的首字母。

Ctrl+F：光標就會右進一格。

Ctrl+E：光標會回到當前命令行的末尾。

Ctrl+B：光標就會左進一格。

4．配置路由器的名字。

在特權模式下鍵入configterminal，進入全局設置模式。

在全局設置模式下鍵入hostname2620A，可將路由器的名字設置為2620A。

5．禁用DNS查找。

在全局設置模式下鍵入noipdomainlookup，禁用DNS查找，鍵入exit退到特權模式，在特權模式鍵入錯誤的命令，系統(tǒng)將很快提示錯誤信息，而沒有較長的查找DNS時間。9

6．在控制臺端口上啟用同步記錄功能。

鍵入linecon0進入控制臺端口設置模式，鍵入loggingsynchronous即可。

7．將console控制設為無時間限制

鍵入lineconsole0命令進入console口的行配置模式，再鍵入exec-timeout00命令，將console控制設為無時間限制，即長時間不在console口上進行操作時，也不會退出當前配置模式。10

17.3.4查看路由器的狀態(tài)信息

利用CiscoIOS軟件提供的show命令可以方便的查看路由器各種狀態(tài)信息。

1．showhistory命令：顯示該模式下以前輸入過的命令。

2．showversion命令：顯示IOS軟件、IOS軟件版本、系統(tǒng)image文件名、以太網(wǎng)端口數(shù)量、串口數(shù)量、ISDN口數(shù)量（如果有的話）、NVRAM大小等信息。

3．showinterface命令：顯示端口的狀態(tài)及相關信息，如：端口是否已經(jīng)激活，最大傳輸單元（MTU）和帶寬等。

4．showrunning-config命令：可查看當前配置信息。

5．terminalhistorysize20命令：將緩沖區(qū)大小設為20。

6．showterminal命令：查看緩沖區(qū)的大小。

7．exit命令：退出當前模式。11

17.3.5設置各級密碼并修改啟動配置文件

1．路由器啟動后，按回車鍵進入一般用戶模式。鍵入enable命令進入特權模式。

2．鍵入configureterminal命令進入全局設置模式。

3．設置console控制口的密碼。

鍵入lineconsole0命令進入console口的設置模式，鍵入login命令，再鍵入password123將console控制口密碼設為123。

4．不斷鍵入exit，退回到一般用戶模式，再鍵入exit（或logout）命令退出會話。按回車鍵重新進入一般用戶模式時，系統(tǒng)會提示輸入密碼。

5．在全局設置模式下，鍵入enablepassword456命令，設置進入特權模式的明文密碼。

6．在全局設置模式下，鍵入enablesecret789命令，設置進入特權模式的加密密碼。

7．不斷鍵入exit，退回到一般用戶模式，再鍵入enable命令，重新進入特權模式時，只有加密密碼789才生效。12

8．設置telnet遠程登錄。

如果給該設備設置好了IP地址，并且網(wǎng)絡是通的，遠端設備可以用“telnet<IP地址>”的命令遠程登錄上來，對該設備進行遠程控制。

為了允許遠端設備對路由器進行telnet遠程登錄，在路由器的全局設置模式下要鍵入如下命令：

2620A(config)#linevty015

（設置虛擬終端線0-15，共允許16

個虛擬終端同時登錄）

2620A(config-line)#login

（設置登錄驗證）

2620A(config-line)#passwordcisco

（設置虛擬終端登錄密碼

，這里設成了cisco）

注意：默認情況下，如果沒有設置虛擬終端密碼是無法從遠端進行telnet登錄的，遠端進行telnet登錄時候會提示輸入login密碼。如果輸入nologin，是代表任何人都能不需要驗證密碼就可以從遠端telnet到該設備，這樣是很危險的，千萬要注意。

9．鍵入showrunning-config命令查看運行配置文件。

查看哪個是明文密碼，哪個是加密密碼。13

10．鍵入showstartup-config命令查看啟動配置文件。這時啟動配置文件內(nèi)容與運行配置文件內(nèi)容可能不一致。

11．鍵入copyrunning-configstartup-config命令，將運行配置文件復制到啟動配置文件，即將運行配置文件保存起來，以便在下次啟動時發(fā)揮作用。

12．鍵入showstartup-config命令，再次查看啟動配置文件，可發(fā)現(xiàn)啟動配置文件內(nèi)容已與運行配置文件內(nèi)容一致。14

17.3.6設置串口

1．在路由器2620B配置界面的命令行窗口中，在特權模式下，鍵入showcontrollerserial0/0命令可查看串口連接線的類型是否為DCE。

若該類型是DCE，在全局設置模式下，鍵入interfaceserial0/0命令進入串口設置模式，鍵入clockrate2000000命令設置DCE的時鐘。

2．在兩臺路由器的串口設置模式下，分別鍵入noshutdown命令激活兩個串口。第18章Cisco路由器配置15

Cisco路由器上可以配置3種路由：①靜態(tài)路由；②默認路由；③動態(tài)路由。一般地，路由器查找路由的順序為直連路由，靜態(tài)路由，動態(tài)路由，如果以上路由表中都沒有合適的路由，則通過默認路由將數(shù)據(jù)包傳輸出去。在一個路由器中，可以綜合使用多種路由。路由器動態(tài)路由協(xié)議配置的基本步驟是：①選擇路由協(xié)議，②指定網(wǎng)絡或端口。路由器配置的主要任務有：①配置端口IP地址，②配置廣域網(wǎng)線路協(xié)議，③配置路由，④其它設置。下面，將按此步驟進行實踐操作。18.1實踐環(huán)境16同前圖18.3配置端口IP地址17

1．設置主機PCA的IP地址

主機PCA設置的IP地址為192.168.0.1，子網(wǎng)掩碼為255.255.255.0，默認網(wǎng)關為192.168.0.254。

2．設置主機PCB的IP地址

主機PCB設置的IP地址為172.16.0.1，子網(wǎng)掩碼為255.255.0.0，默認網(wǎng)關為172.16.0.254。

3．設置路由器2620A各端口的IP地址

在路由器2620A的命令行方式輸入下列命令。命令采用了簡寫的方式。

Router>en

（進入超級權限模式）

Router#conft

（進入全局設置模式）

Router(config)#hostname2620A

（修改主機名為2620A）

2620A(config)#enablepassword456

（設置進入超級權限模

式的密碼）182620A(config)#intfa0/0

（進入快速以太網(wǎng)端口

FastEthernet0/0的設置模式）2620A(config-if)#ipaddress192.168.0.254255.255.255.0

（設置以太網(wǎng)端口的IP地址）2620A(config-if)#noshut

（激活以太網(wǎng)端口）2620A(config-if)#ints0/0

（進入同步串口Serial0/0的設置模式）2620A(config-if)#ipaddress10.0.0.1255.0.0.0

（設置同步串

口的IP地址）2620A(config-if)#noshut

（激活同步串口）2620A(config-if)#^Z

（按Ctrl+Z快捷鍵直接退到超級權限模式）2620A#19

4．設置路由器2620B各端口的IP地址

在路由器2620B的命令行方式輸入下列命令。命令采用了簡寫的方式。

Router>en

（進入超級權限模式）

Router#conft

（進入全局設置模式）

Router(config)#hostname2620B

（修改主機名為2620B）

2620B(config)#enablepassword456

（設置進入超級權限模

式的密碼）

2620B(config)#intfa0/0

（進入快速以太網(wǎng)端口

FastEthernet0/0的設置模式）

2620B(config-if)#ipaddress172.16.0.254255.255.0.0

（設置以太網(wǎng)端口的IP地址）

2620B(config-if)#noshut

（激活以太網(wǎng)端口）202620B(config-if)#ints0/0

（進入同步串口Serial0/0的設置模式）2620B(config-if)#ipaddress10.0.0.2255.0.0.0

（設置同步串口的

IP地址）2620B(config-if)#clockrate2000000

（因為連線時路由器2620B

的同步串口Serial0/0為

DCE端，所以要在此設置

時鐘頻率）2620B(config-if)#noshut

（激活同步串口）2620B(config-if)#^Z

（按Ctrl+Z快捷鍵直接退到超級權限模式）2620B#

這時可回到路由器2620A的命令行控制臺，發(fā)現(xiàn)它的同步串口已自動激活，因為現(xiàn)在兩端的配置已匹配了。21

5．連通性測試（1）在路由器2620A中測試連通性。在路由器2620A的命令行輸入以下命令。2620A#ping192.168.0.1

（ping主機PCA）2620A#ping10.0.0.2

（ping相鄰路由器的相鄰端口）（2）在路由器2620B中測試連通性。在路由器2620B的命令行輸入以下命令。2620B#ping172.16.0.1

（ping主機PCB）2620B#ping10.0.0.1

（ping相鄰路由器的相鄰端口）18.4配置廣域網(wǎng)線路協(xié)議22

這里的廣域網(wǎng)線路協(xié)議實質上就是指OSI模型中的第2層協(xié)議。在以太網(wǎng)中，第2層協(xié)議已固定封裝為IEEE802.3協(xié)議，所以無需人工配置了，但在廣域網(wǎng)中，由于其靈活性的要求，廣域網(wǎng)端口沒有固定封裝某種第2層協(xié)議，所以需要手工設置。

Cisco路由器的同步串口默認狀態(tài)下為CiscoHDLC封裝，因此，一般地無需顯示封裝HDLC。

在Cisco路由器之間用同步專線連接時，采用CiscoHDLC比采用PPP協(xié)議效率高得多，但是，如果將Cisco路由器與非Cisco路由器進行同步專線連接時，不能用CiscoHDLC，因為它們不支持CiscoHDLC，為了保證不同廠家設備之間連接的兼容性，建議采用PPP協(xié)議。23

下面配置PPP協(xié)議及其驗證。

1．確認連接線路正常。

2．在路由器2620A的全局設置模式下鍵入username2620Bpasswordcisco（2620B為對方路由器的名字），指明需要驗證的路由器的名稱、密碼。

3．在全局設置模式下鍵入ints0/0。

4．在串口設置模式下鍵入encapsulationppp，設置PPP的封裝格式。

5．在串口設置模式下，鍵入pppauthenticationchap命令，采用CHAP驗證。

6．在另一端路由器2620B上做類似的配置，只是username命令要寫為username2620Apasswordcisco形式，因為，2620A對2620B而言為對方路由器的名字。

7．使用ping命令測試路由器的通訊情況，兩個路由器可以通信了。

8．取消ppp驗證

在串口設置模式下，使用nopppauthenticationchap命令，在全局設置模式下，使用nousername2620Bpasswordcisco命令取消對方用戶名和密碼的設置。在另一臺路由器上也做類似的取消設置。18.5靜態(tài)路由的配置24

通過配置靜態(tài)路由，用戶可以人為地指定對某一網(wǎng)絡訪問時所要經(jīng)過的路徑，在網(wǎng)絡結構比較簡單，且一般到達某一網(wǎng)絡所經(jīng)過的路徑唯一的情況下可采用靜態(tài)路由。

下面配置靜態(tài)路由。

1．在路由器2620A的全局設置模式下，鍵入iproute172.16.0.0255.255.0.010.0.0.2，設置到172.16.0.0網(wǎng)段的靜態(tài)路由。

2．在另一臺路由器2620B上也進行類似的配置。在路由器2620B的全局設置模式下，鍵入iproute192.168.0.0255.255.255.010.0.0.1，設置到192.168.0.0網(wǎng)段的靜態(tài)路由。

3．在路由器2620A的特權模式下鍵入showiproute命令查看路由表。

4．測試連通性在主機PCA的命令提示符窗口，ping對方主機PCB的IP地址，即ping172.16.0.1。25

5．在進行后面的路由實踐之前，為了防止不同路由之間的相互影響，給用戶造成錯覺，請取消本實踐的路由設置。

在路由器2620A的全局設置模式下，鍵入noiproute172.16.0.0255.255.0.010.0.0.2命令，取消靜態(tài)路由設置。

在路由器2620B的全局設置模式下，鍵入noiproute192.168.0.0255.255.255.010.0.0.1命令，取消靜態(tài)路由設置。18.6默認路由的配置26

由于本實踐拓撲中主機所在網(wǎng)段均只有一個外出接口，所以，也可配置成默認路由，以簡化配置。

下面配置默認路由。

1．在路由器2620A的全局設置模式下，鍵入iproute0.0.0.00.0.0.010.0.0.2，設置到對方網(wǎng)段的默認路由。

2．在另一臺路由器2620B上也進行類似的配置。

在路由器2620B的全局設置模式下，鍵入iproute0.0.0.00.0.0.010.0.0.1，設置到對方網(wǎng)段的默認路由。

3．在路由器2620A的特權模式下鍵入showiproute命令查看路由表。

4．測試連通性

在主機PCA的命令提示符窗口，ping對方主機PCB的IP地址，即ping172.16.0.1。27

5．在進行后面的路由實踐之前，為了防止不同路由之間的相互影響，給用戶造成錯覺，請取消本實踐的路由設置。

在路由器2620A的全局設置模式下，鍵入noiproute0.0.0.00.0.0.010.0.0.2命令，取消默認路由設置。

在路由器2620B的全局設置模式下，鍵入noiproute0.0.0.00.0.0.010.0.0.1命令，取消默認路由設置。18.7RIP路由協(xié)議基本配置28

下面介紹RIP路由協(xié)議的基本配置。

1．在路由器2620A中鍵入configterminal，進入全局設置模式。

2．鍵入routerrip，啟動RIP路由協(xié)議。

3．鍵入version2，使用RIP版本2。

4．在路由協(xié)議的配置模式下，鍵入network192.168.0.0和network10.0.0.0，指明與路由器直接相連的網(wǎng)絡。

5．在特權模式下，鍵入showipprotocols命令查看RIP協(xié)議的相關信息。

6．在路由器2620B中進行類似的配置。

7．測試連通性

在主機PCA的命令提示符窗口，ping對方主機PCB的IP地址，即ping172.16.0.1。

8．在路由器2620A的特權模式下，鍵入showiproute命令查看動態(tài)路由表。29

9．在進行后面的路由實踐之前，為了防止不同路由之間的相互影響，給用戶造成錯覺，請取消本實踐的路由設置。

在路由器2620A的全局設置模式下，鍵入norouterrip命令，取消RIP路由設置。

在路由器2620B的全局設置模式下，鍵入norouterrip命令，取消RIP路由設置。18.8OSPF路由協(xié)議基本配置30

下面介紹OSPF路由協(xié)議的基本配置。

1．在路由器2620A中鍵入configterminal，進入全局設置模式。

2．鍵入routerospf100，啟動OSPF路由協(xié)議。

3．在路由協(xié)議的配置模式下鍵入network192.168.0.00.0.0.255area200和network10.0.0.00.255.255.255area200，指明與路由器直接相連的網(wǎng)絡。

4．在特權模式下，鍵入showipprotocols命令查看OSPF協(xié)議的相關信息。

5．在路由器2620B中進行類似的配置。

6．測試連通性

在主機PCA的命令提示符窗口，ping對方主機PCB的IP地址，即ping172.16.0.1。

7．在路由器2620A的特權模式下，鍵入showiproute命令查看動態(tài)路由表。18.9用訪問列表來控制IP通信31

18.9.1包過濾功能簡介

包過濾功能可以幫助路由器控制數(shù)據(jù)包在網(wǎng)絡中的傳輸，通過包過濾可以限制網(wǎng)絡流量以及增加網(wǎng)絡安全性。包過濾功能對路由器本身產(chǎn)生的數(shù)據(jù)包不起作用。當數(shù)據(jù)包進入某個端口時，路由器首先檢查該數(shù)據(jù)包是否可以通過路由或橋接方式送出去，如果不能，則路由器將丟掉該數(shù)據(jù)包，如果該數(shù)據(jù)包可以傳送出去，則路由器將檢查該數(shù)據(jù)包是否滿足該端口中定義的包過濾規(guī)則，如果包過濾規(guī)則不允許該數(shù)據(jù)包通過，則路由器將丟掉該數(shù)據(jù)包。

有兩種方式的包過濾規(guī)則：

（1）標準包過濾。該種包過濾只對數(shù)據(jù)包中的源地址進行檢查。

（2）擴展包過濾。該種包過濾對數(shù)據(jù)包中的源地址、目的地址、協(xié)議及端口號都進行檢查。32

1．定義標準包過濾規(guī)則

在全局配置狀態(tài)下設置如下命令：

access-list<標識號碼><deny︱permit><源地址><通配符>33

2．定義擴展包過濾規(guī)則

在全局配置狀態(tài)下設置如下命令：

access-list<標識號碼><deny︱permit><協(xié)議標識><源地址><通配符><目的地址><通配符>

Cisco路由器中access-list規(guī)定的標識號碼如下：

IP標準包過濾標識號碼范圍為1～99；

IP擴展包過濾標識號碼范圍為100～199；

可以在指定范圍內(nèi)任意選擇一個標識號碼定義相應的包過濾規(guī)則，deny參數(shù)表示禁止，permit表示允許。通配符也為32位二進制數(shù)字，并與相應的地址一一對應。路由器將檢查與通配符中的“0”（2進制）位置一樣的地址位，對于通配符中“1”（2進制）位置一致的地址位，將忽略不檢查。

一個包過濾規(guī)則可以包含一系列檢查條件，即可以用同一標識號碼定義一系列access-list語句，路由器將從最先定義的條件開始依次檢查，如數(shù)據(jù)包滿足某個條件，路由器將不再執(zhí)行下面的包過濾條件，如果數(shù)據(jù)包不滿足規(guī)則中的所有條件，Cisco路由器默認為禁止該數(shù)據(jù)包，即丟掉該數(shù)據(jù)包。34

3．在需要包過濾功能的端口引用包過濾規(guī)則

引用包過濾規(guī)則的命令如下：

ipaccess-group<包過濾規(guī)則標識號><in︱out>

其中in表示對進入該端口的數(shù)據(jù)包進行檢查，out表示對要從該端口送出的數(shù)據(jù)包進行檢查。

如果不進行該命令的配置，則所定義的包過濾規(guī)則根本不會執(zhí)行。35

18.9.2標準IP訪問列表的應用

下面的實踐將建立標準的IP訪問列表，以拒絕特定的計算機訪問本設備。

1．檢查連接線路和路由協(xié)議，在主機PCB中執(zhí)行ping192.168.0.1（192.168.0.1為主機PCA的IP地址）命令，確保主機PCB與主機PCA能夠互相通信。

2．在路由器2620A中鍵入configterminal，進入全局設置模式。

3．鍵入access-list1deny172.16.0.10.0.0.0（172.16.0.1為主機PCB的IP地址），鍵入access-list1permit0.0.0.0255.255.255.255。

4．鍵入ints0/0，進入串口設置模式。

5．鍵入ipaccess-group1in，在串口上應用此訪問列表。

6．在特權模式下鍵入showipaccess-list命令查看IP訪問列表。

7．在特權模式下，鍵入showipinterfaceserial0/0命令查看端口的訪問列表。36

8．在主機PCB上鍵入ping192.168.0.1命令，驗證訪問列表的作用，此時主機PCB將無法ping通主機PCA。

9．在全局設置模式下，鍵入noaccess-list1，可取消該訪問控制列表。在串口serial0/0的配置模式下，鍵入noipaccess-group1in，可取消串口對該訪問列表的引用。37

18.9.3擴展IP訪問列表的應用

下面的實踐將建立擴展的IP訪問列表，以拒絕特定計算機telnet到本地路由器。

1．為了允許遠端設備對路由器2620A進行telnet遠程登錄，在路由器2620A的全局設置模式下要鍵入如下命令：

2620A(config)#linevty015

（設置虛擬終端線0-15，共允許

16個虛擬終端同時登錄）

2620A(config-line)#login

（設置登錄驗證）

2620A(config-line)#passwordcisco

（設置虛擬終端登錄密

碼，這里設成了cisco）

2．檢查連接線路、路由協(xié)議及訪問控制列表，在主機PCB中執(zhí)行ping10.0.0.1和telnet10.0.0.1命令，確保主機PCB與路由器2620A能夠互相通信。

3．在路由器2620A中，鍵入configterminal，進入全局設置模式。38

4．鍵入access-list101denytcp172.16.0.10.0.0.010.0.0.10.0.0.0eq23（172.16.0.1為對方主機PCB的IP地址，10.0.0.1為本地路由器串口的IP地址，telnet的TCP端口號為23），鍵入access-list101permitipanyany。

5．鍵入ints0/0，進入串口設置模式。

6．鍵入ipaccess-group101in，在串口上應用此訪問列表。

7．在特權模式下鍵入showipaccess-list命令查看訪問列表。

8．在特權模式下，鍵入showipinterfaces0/0命令查看端口的訪問列表。

9．在主機PCB上鍵入telnet10.0.0.1（路由器2620A串口的IP地址）命令，將無法完成telnet命令，但ping10.0.0.1仍能夠互相ping通。

10．在路由器2620A的全局設置模式下，鍵入noaccess-list101，可取消該訪問控制列表。在串口serial0/0的配置模式下，鍵入noipaccess-group101in，可取消串口對該訪問列表的引用。第19章Cisco交換機配置39

Cisco的交換機為Catalyst系列交換機。Catalyst系列交換機支持兩種操作系統(tǒng)之一，一種是基于CiscoIOS的；另一種是基于CatalystIOS的。以CiscoIOS為操作系統(tǒng)的交換機，使用的命令與在Cisco路由器上所使用的CiscoIOS命令集相似。Catalyst系列交換機的控制口（Console口）與計算機的連接方法同Cisco路由器一樣，計算機也是通過交換機的控制口去設置交換機的，進入設置的方法與Cisco路由器類似。19.1Cisco交換機常規(guī)配置40

19.1.1實踐環(huán)境交換機常規(guī)配置實踐的網(wǎng)絡拓撲結構如下圖所示。41

19.1.3實踐內(nèi)容

1．給主機PCA設置好IP地址，IP地址為192.168.0.1，子網(wǎng)掩碼為255.255.255.0。

2．給主機PCB設置好IP地址，IP地址為192.168.0.2，子網(wǎng)掩碼為255.255.255.0。

3．測試主機間的連通性。

在主機PCA的命令提示符窗口去ping主機PCB的IP地址，測試通信成功。

4．在交換機2950A的命令行方式下輸入以下命令。

Switch>en

（進入超級權限模式）

Switch#conft

（進入全局設置模式）

Switch(config)#hostname2950A

（設置交換機的名字）

2950A(config)#enablepassword456

（設置進入超級權限模

式的密碼）422950A(config)#intrangefa0/2–10

（批量配置fa0/2到fa0/10

的多個以太網(wǎng)端口）2950A(config-if-range)#speed100

（設置端口速率為100M）2950A(config-if-range)#duplexfull

（設置端口雙工模式為全雙工）2950A(config-if-range)#intvlan1

（進入VLAN1的端口設置模式）2950A(config-if)#ipaddress192.168.0.10255.255.255.0

（給VLAN1設置IP地址，即管理用的IP地址）2950A(config-if)#noshut

（激活VLAN1端口）2950A(config-if)#linevty015

（設置虛擬終端線0-15，共允許16個

虛擬終端同時登錄）2950A(config-line)#login

設置登錄驗證）2950A(config-line)#passwordcisco

（設置虛擬終端登錄密碼）2950A(config-line)#^Z

（按Ctrl+Z快捷鍵退到超級權限模式）43

說明：

（1）交換機以太網(wǎng)端口的速率和雙工模式一般出廠時的默認設置都為自適應（auto），實際工作中只要不出問題，一般都不必去手工設置。

（2）二層交換機通訊時一般都不需要配置IP地址，配置管理用的IP地址（也就是虛擬端口VLAN1的IP地址）一般是為了方便遠程telnet登錄，實現(xiàn)遠程管理。

5．在主機PCA中Telnet交換機2950A。

在主機PCA的命令提示符窗口先ping交換機2950A的管理用的IP地址，看是否可以通信，然后再Telnet交換機2950A，實現(xiàn)對其的遠程控制。

6．在交換機2950B的命令行方式下輸入以下命令。

Switch>en

Switch#conft

Switch(config)#hostname2950B

2950B(config)#enablepassword456

2950B(config)#^Z19.2MAC地址表的管理44

19.2.3實踐內(nèi)容

1．在主機PCA的命令提示符窗口去ping主機PCB的IP地址。

2．在主機PCA的命令提示符窗口輸入命令ipconfig/all，查看本機的MAC地址。

3．進入交換機2950A的命令行方式。在超級權限模式下輸入命令showmac-address-table，查看交換機自動學到的MAC地址表。

4．進入全局配置模式，輸入命令mac-address-tablestatic00d0.ff2c.c103vlan1interfacefa0/2，分配一個靜態(tài)（即不會自動刷新）的主機PCA的MAC地址給fa0/2端口。

在fa0/2端口上設置了靜態(tài)MAC地址后，該端口將只允許這個MAC地址對應的設備連接在該端口上進行通信。換言之，就是將某主機的MAC地址與交換機的某端口進行了靜態(tài)捆綁，只有符合這個綁定組合，主機才可通信。

現(xiàn)在的主機PCA是連在了fa0/1端口，不符合上述的綁定組合，應該就不能進行網(wǎng)絡通信了。實際工作中，可以利用這個特性防止非法計算機接入本單位的局域網(wǎng)。45

5．在交換機2950A的超級權限模式下再次輸入命令showmac-address-table，查看交換機的MAC地址表。

6．再次在主機PCA的命令提示符窗口去ping主機PCB的IP地址，結果已經(jīng)ping不通了。

7．在交換機2950A的全局配置模式，輸入命令nomac-address-tablestatic00d0.ff2c.c103vlan1interfacefa0/2，取消這個綁定。

8．在主機PCA的命令提示符窗口去ping主機PCB的IP地址，結果可以ping通。19.3生成樹協(xié)議46

19.3.3實踐內(nèi)容

1．兩臺交換機之間有冗余鏈路，交換機之間形成了鏈路環(huán)路，這時，生成樹協(xié)議（STP）自動發(fā)揮了作用，阻塞了交換機2950B上的兩個端口，使得在交換機之間只有一條鏈路在傳輸信息，從而打斷了信息環(huán)路。

由于生成樹根橋上的端口是不會被阻塞的，阻塞端口只會發(fā)生在非根橋上，從圖中看，交換機2950A應該是被生成樹協(xié)議選作了根橋，而交換機2950B應該是非根橋。

2．查看交換機2950A生成樹協(xié)議狀態(tài)。在交換機2950A的超級權限模式下輸入命令showspanning-tree。

3．查看交換機2950B生成樹協(xié)議狀態(tài)。在交換機2950B的超級權限模式下輸入命令showspanning-tree。47

4．設置交換機2950B作為根橋。在交換機2950B的全局設置模式下，輸入命令spanning-treevlan1rootprimary，并觀察圖中端口狀態(tài)的變化，再退到超級權限模式，輸入命令showspanning-tree。由于命令spanning-treevlan1rootprimary將網(wǎng)橋優(yōu)先級設置為了24576，比默認的網(wǎng)橋優(yōu)先級值32768小，所以，交換機2950B就選作了根橋，它的所有的端口都是轉發(fā)（FWD）的，而交換機2950A就選作了非根橋，它有兩個端口被阻塞了。

5．由于命令spanning-treevlan1rootprimary只是將網(wǎng)橋優(yōu)先級設置了24576，而網(wǎng)橋優(yōu)先級值的取值范圍為0～65535，最小值可為0。下面通過修改網(wǎng)橋優(yōu)先級值的命令，再次將交換機2950A設置為根橋。

在交換機2950A的全局設置模式下，輸入命令spanning-treevlan1priority0，并觀察圖中端口狀態(tài)的變化。

過了一段時間，可以發(fā)現(xiàn)交換機2950A又作為了根橋。48

6．下面我們來驗證生成樹協(xié)議的鏈路容錯功能?，F(xiàn)在，兩臺交換機的Fa0/22端口對應的鏈路是通的，而Fa0/23、Fa0/24端口對應的鏈路是不通的。下面我們將交換機2950A的Fa0/22端口down掉，看看鏈路狀態(tài)會發(fā)生什么變化。

7．雖然生成樹協(xié)議具有鏈路容錯功能，但從觀察端口狀態(tài)轉化的過程可以看出，這種轉化的時間有點偏長，標準時間是50秒左右，這對有些用戶來說，可能不太滿意。為了加快生成樹的收斂速度，我們可采用快速生成樹協(xié)議，它可使生成樹的收斂速度減少到1秒以內(nèi)。設置成RSTP（快速生成樹協(xié)議）模式的命令是spanning-treemoderapid-pvst。

在交換機2950B中輸入命令spanning-treemoderapid-pvst。

再在交換機2950A中輸入命令spanning-treemoderapid-pvst，并且將Fa0/22端口激活，查看鏈路狀態(tài)的變化時間。

可以看到鏈路狀態(tài)的變化比沒有使用快速生成樹協(xié)議之前要快很多。49

8．加快計算機與交換機的連通速度。

當計算機通電開機時，由于交換機要進行生成樹狀態(tài)的判斷，所以，交換機端口要經(jīng)過一段時間才能變成轉發(fā)狀態(tài)，這可通過關、開計算機的電源觀察到。

選擇PCA，關閉電源，再單擊電源開關，打開電源，觀察對應的交換機端口變成綠色的過程時間。

由于連接計算機的交換機端口沒有連接冗余環(huán)路，所以，沒必要進行生成樹的判斷，為了加快計算機與交換機的連通速度，可在端口設置模式下通過命令spanning-treeportfast將端口設置成速端口，使端口立刻進入轉發(fā)狀態(tài)。也可在全局設置模式下輸入命令spanning-treeportfastdefault，將所有非中繼端口設置成速端口，以減少配置工作量。

在交換機2950A中輸入命令spanning-treeportfastdefault。

再次關、開主機PCA的電源，可觀察到其對應的交換機端口很快就變成了轉發(fā)狀態(tài)。19.4以太網(wǎng)通道50

19.4.3實踐內(nèi)容

兩臺交換機之間有多條冗余鏈路時，生成樹協(xié)議使得只有一個鏈路處于通訊狀態(tài)，其它鏈路處于阻塞備用狀態(tài)。生成樹協(xié)議提供了兩臺交換機之間鏈路容錯能力，并沒有增加交換機之間數(shù)據(jù)傳輸?shù)乃俣取?/p>

以太網(wǎng)通道（Etherchannel）可將多條平行的一組物理鏈路捆綁成一條邏輯通路，使用它可以提高交換機間的鏈路帶寬，同時也具有鏈路容錯能力。

1．在交換機2950A中，在端口設置模式下，通過命令channel-group1modeon將端口Fa0/22、Fa0/23、Fa0/24對應的鏈路設置成以太網(wǎng)通道。

2．同樣在交換機2950B中，在端口設置模式下，通過命令channel-group1modeon將端口Fa0/22、Fa0/23、Fa0/24對應的鏈路設置成以太網(wǎng)通道。51

3．觀察以太網(wǎng)通道中鏈路端口狀態(tài)，發(fā)現(xiàn)所有的端口都變成了綠色，即所有的端口都處于轉發(fā)狀態(tài)，沒有被阻塞的了。

4．將交換機2950A的Fa0/23端口down掉，即將以太網(wǎng)通道中的某個鏈路中斷，觀察端口的狀態(tài)變化。可以發(fā)現(xiàn)其它鏈路仍然是通的。

5．通過命令showetherchannelsummary查看每個以太網(wǎng)通道組摘要信息。

6．通過命令showspanning-tree查看生成樹協(xié)議狀態(tài)。

對應于以太網(wǎng)通道的邏輯端口Po1處于轉發(fā)狀態(tài)。19.5VLAN的設置52

19.5.1實踐環(huán)境交換機VLAN設置實踐的網(wǎng)絡拓撲結構如下圖所示。53

19.5.3實踐內(nèi)容

1．給主機PCA設置好IP地址，IP地址為192.168.0.1，子網(wǎng)掩碼為255.255.255.0，默認網(wǎng)關為192.168.0.254。

2．給主機PCB設置好IP地址，IP地址為192.168.0.2，子網(wǎng)掩碼為255.255.255.0，默認網(wǎng)關為192.168.0.254。

3．給主機PCC設置好IP地址，IP地址為192.168.0.3，子網(wǎng)掩碼為255.255.255.0，默認網(wǎng)關為192.168.0.254。

4．給主機PCD設置好IP地址，IP地址為192.168.0.4，子網(wǎng)掩碼為255.255.255.0，默認網(wǎng)關為192.168.0.254。

5．測試主機間的連通性。

在主機PCA的命令提示符窗口去ping主機PCC的IP地址，測試通信成功。54

6．在交換機2950A的命令行方式下輸入以下命令。Switch>en

（進入超級權限模式）Switch#conft

（進入全局設置模式）Switch(config)#hostname2950A

（設置交換機的名字）2950A(config)#exit

（退到上一級模式）2950A#vlandatabase

（進入VLAN數(shù)據(jù)庫）2950A(vlan)#vtpdomainvd1

（設置VTP域名）2950A(vlan)#vlan2

（創(chuàng)建VLAN2）2950A(vlan)#exit

（退到上一級模式）2950A#conft

（進入全局設置模式）2950A(config)#intfa0/12

（進入端口fa0/12設置模式）2950A(config-if)#switchportmodetrunk

（將級連口trunk打開）2950A(config-if)#intfa0/2

（進入端口fa0/2設置模式）2950A(config-if)#switchportmodeaccess

（設置端口為存取模式）2950A(config-if)#switchportaccessvlan2

（將端口添加到VLAN2）2950A(config-if)#^Z

（按Ctrl+Z快捷鍵退到超級權限模式）2950A#showvlan

（顯示VLAN信息）55

7．在交換機2950B的命令行方式下輸入以下命令（與交換機2950A輸入的命令類似）。Switch>en

（進入超級權限模式）Switch#conft

（進入全局設置模式）Switch(config)#hostname2950B

（設置交換機的名字）2950B(config)#exit

（退到上一級模式）2950B#vlandatabase

（進入VLAN數(shù)據(jù)庫）2950B(vlan)#vtpdomainvd1

（設置VTP域名）2950B(vlan)#vlan2

（創(chuàng)建VLAN2）2950B(vlan)#exit

（退到上一級模式）2950B#conft

（進入全局設置模式）2950B(config)#intfa0/12

（進入端口fa0/12設置模式）2950B(config-if)#switchportmodetrunk

（將級連口trunk打開）2950B(config-if)#intfa0/2

（進入端口fa0/2設置模式）2950B(config-if)#switchportmodeaccess

（設置端口為存取模式）2950B(config-if)#switchportaccessvlan2

（將端口添加到VLAN2）2950B(config-if)#^Z

（按Ctrl+Z快捷鍵退到超級權限模式）2950B#showvlan

（顯示VLAN信息）56

8．測試不同VLAN的主機間的連通性。

在主機PCA的命令提示符窗口去ping主機PCC的IP地址。由于主機PCA在VLAN1，而主機PCC在VLAN2，它們屬于不同的VLAN，它們之間的通信已被VLAN隔離，所以測試通信不成功。19.6VLAN之間的路由設置57

19.6.1單臂路由的配置

在上一節(jié)實踐的基礎上接著做下面的實踐操作。

不同VLAN內(nèi)的網(wǎng)絡地址應該不同，這樣將來才能利用路由器或第三層交換機實現(xiàn)它們之間的通信。

（1）將主機PCC的IP設置進行修改，IP地址改為192.168.1.3，子網(wǎng)掩碼為255.255.255.0，默認網(wǎng)關改為192.168.1.254。

（2）將主機PCD的IP設置進行修改，IP地址改為192.168.1.4，子網(wǎng)掩碼為255.255.255.0，默認網(wǎng)關改為192.168.1.254。

（3）進入交換機2950A的命令行方式，利用switchportmodetrunk命令將其與路由器2620連接的那個端口fa0/10設成trunk模式。58

（4）進入路由器2620的命令行方式，輸入以下命令。Router>en

（進入超級權限模式）Router#conft

（進入全局設置模式）Router(config)#hostname2620

（設置路由器的名字）2620(config)#intfa0/0

（進入端口fa0/0設置模式）2620(config-if)#noipaddress

（刪除以太網(wǎng)端口原有的IP地址）2620(config-if)#intfa0/0.1

（指定子接口1）2620(config-subif)#encapsulationdot1q1

（子接口封裝dot1q協(xié)議，最后數(shù)字1對應VLAN1）2620(config-subif)#ipaddress192.168.0.254255.255.255.0

（為子接口1分配一個IP地址，該地址為其對應VLAN1內(nèi)各計算機的默認網(wǎng)關）2620(config-subif)#intfa0/0.2

（指定子接口2）2620(config-subif)#encapsulationdot1q2

（子接口封裝dot1q協(xié)

議，最后數(shù)字2對應VLAN2）2620(config-subif)#ipaddress192.168.1.254255.255.255.0

（為子接口2分配一個IP地址，該地址為其對應VLAN2內(nèi)各計算機的默認網(wǎng)關）2620(config-subif)#^Z

（按Ctrl+Z快捷鍵退到超級權限模式）59

說明：

Catalyst2950交換機trunk模式的端口默認封裝且只能封裝dot1q協(xié)議（即IEEE802.1Q協(xié)議）。如果路由器是與Catalyst2950交換機相連，則此處路由器的子接口就也應封裝為dot1q。如果交換機在與路由器連接的端口上，使用了switchporttrunkencapsulation命令封裝了其他可選的協(xié)議，則此處路由器的子接口就也應封裝成與之一樣的協(xié)議。

（5）測試不同VLAN的主機間的連通性。

在主機PCA的命令提示符窗口去ping主機PCC的IP地址。由于主機PCA在VLAN1，而主機PCC在VLAN2，它們屬于不同的VLAN，由于VLAN之間已設置了路由，所以測試通信成功。60

19.6.2三層交換機的配置