思科ACS網(wǎng)絡(luò)設(shè)備安全管理方案

思科ACS網(wǎng)絡(luò)設(shè)備安全管理方案

一、網(wǎng)絡(luò)設(shè)備安全管理需求概述

就北京中行網(wǎng)絡(luò)布局來看，網(wǎng)絡(luò)的基礎(chǔ)設(shè)施現(xiàn)包含幾百個(gè)網(wǎng)絡(luò)設(shè)備。在網(wǎng)絡(luò)

上支撐的業(yè)務(wù)日益關(guān)鍵，對(duì)網(wǎng)絡(luò)安全和可靠性要求更為嚴(yán)格。

可以預(yù)測(cè)的是，大型網(wǎng)絡(luò)管理需要多種網(wǎng)絡(luò)管理工具協(xié)調(diào)工作，不同的網(wǎng)絡(luò)

管理協(xié)議、工具和技術(shù)將各盡其力，同時(shí)發(fā)揮著應(yīng)有的作用。比如：對(duì)于Telnet

網(wǎng)絡(luò)管理手段。有些人可能會(huì)認(rèn)為，今后這些傳統(tǒng)的設(shè)備管理手段，會(huì)減少使用

甚或完全消失。但實(shí)際上，Telnet命令行設(shè)備管理仍因其速度、強(qiáng)大功能、熟悉

程度和方便性而廣受歡迎。盡管其他網(wǎng)絡(luò)設(shè)備管理方式中有先進(jìn)之處，基于Telnet

的管理在未來依然會(huì)是一種常用管理方式。

隨著BOC網(wǎng)絡(luò)設(shè)備數(shù)量的增加，為維持網(wǎng)絡(luò)運(yùn)作所需的管理員數(shù)目也會(huì)隨

之增加。這些管理員隸屬于不同級(jí)別的部門，系統(tǒng)管理員結(jié)構(gòu)也比較復(fù)雜。網(wǎng)絡(luò)

管理部門現(xiàn)在開始了解，如果沒有一個(gè)機(jī)制來建立整體網(wǎng)絡(luò)管理系統(tǒng)，以控制哪

些管理員能對(duì)哪些設(shè)備執(zhí)行哪些命令，網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性和可靠性問題是無

法避免的。

二、設(shè)備安全管理解決之道

建立網(wǎng)絡(luò)設(shè)備安全管理的首要出發(fā)點(diǎn)是定義和規(guī)劃設(shè)備管理范圍，從這一點(diǎn)

我門又可以發(fā)現(xiàn)，網(wǎng)絡(luò)設(shè)備安全管理的重點(diǎn)是定義設(shè)備操作和管理權(quán)限。對(duì)于新

增加的管理員，我們并不需要對(duì)個(gè)體用戶進(jìn)行權(quán)限分配，而是通過分配到相應(yīng)的

組中，繼承用戶組的權(quán)限定義。

通過上面的例子，我們可以發(fā)現(xiàn)網(wǎng)絡(luò)安全管理的核心問題就是定義以下三個(gè)

概念：設(shè)備組、命令組和用戶組。設(shè)備組規(guī)劃了設(shè)備管理范圍；命令組制定了操

作權(quán)限；用戶組定義了管理員集合。根據(jù)BOC的設(shè)備管理計(jì)劃，將它們組合在

一起，構(gòu)成BOC所需要的設(shè)備安全管理結(jié)構(gòu)。

安全設(shè)備管理包括身份驗(yàn)證Authentication授權(quán)Authorization和記帳

Accounting三個(gè)方面的內(nèi)容。例如：管理員需要通過遠(yuǎn)程1Qgin或是本地Iyogin

到目標(biāo)設(shè)備，能否進(jìn)入到設(shè)備上，首先要通過嚴(yán)格的身份認(rèn)證；通過身份驗(yàn)證的

管理員能否執(zhí)行相應(yīng)的命令，要通過檢查該管理員的操作權(quán)限；管理員在設(shè)備上

的操作過程，可以通過記帳方式記錄在案。

AAA的應(yīng)用大大簡化了大型網(wǎng)絡(luò)復(fù)雜的安全管理問題，提高了設(shè)備集中控制

強(qiáng)度。目前AAA在企業(yè)網(wǎng)絡(luò)中越來越成為網(wǎng)絡(luò)管理人員不可缺少的網(wǎng)絡(luò)管理工

具。

CiscoSecureACS3.1以后的版本提供的Shell殼式授權(quán)命令集提供的工具可使

用思科設(shè)備支持的高效、熟悉的TCP/IP協(xié)議及實(shí)用程序，來構(gòu)建可擴(kuò)展的網(wǎng)絡(luò)

設(shè)備安全管理系統(tǒng)。

三、CiscoACS幫助BOC實(shí)現(xiàn)設(shè)備安全管理

熟悉CiscoIOS的用戶知道，在K)S軟件中，定義了16個(gè)級(jí)別權(quán)限，即從0

到15。在缺省配置下，初次連接到設(shè)備命令行后，用戶的特權(quán)級(jí)別就設(shè)置為1。

為改變?nèi)笔√貦?quán)級(jí)別,您必須運(yùn)行enable啟用命令，提供用戶的enablepassword

和請(qǐng)求的新特權(quán)級(jí)別。如果口令正確，即可授予新特權(quán)級(jí)別。請(qǐng)注意可能會(huì)針對(duì)

設(shè)備上每個(gè)權(quán)利級(jí)別而執(zhí)行的命令被本地存儲(chǔ)于那一設(shè)備配置中。超級(jí)管理員可

以在事先每臺(tái)設(shè)備上定義新的操作命令權(quán)限。例如：可修改這些級(jí)別并定義新級(jí)

別，如圖1所示。

______________________圖1啟用命令特權(quán)級(jí)別示例______________________

enablepasswordlevel13pswdl0

privilegeexeclevel10clearline

privile-jeexec1-5vel10jebugpppchap

privilegeexecleve-110debugppperror

privilegeexecl^v-110lebugpppnegotiation

當(dāng)值班的管理員enable10之后，該管理員僅僅擁有在級(jí)別10規(guī)定之下的投

權(quán)命令集合，其可以執(zhí)行clearline、debugPPP等命令。這種方式是"分散"特

權(quán)級(jí)別授權(quán)控制。這種應(yīng)用方式要求在所有設(shè)備都要執(zhí)行類似同樣的配置，這樣

同一個(gè)管理員才擁有同樣的設(shè)備操作權(quán)限，這顯然會(huì)增加超級(jí)管理員的工作負(fù)

擔(dān)。

為解決這種設(shè)備安全管理的局限性，CiscoACS提出了可擴(kuò)展的管理方式一

“集中”特權(quán)級(jí)別授權(quán)控制，CiscoACS通過啟用TACACS+,就可從中央位置

提供特權(quán)級(jí)別授權(quán)控制。TACACS+服務(wù)器通常允許各不同的管理員有自己的啟

用口令并獲得特定特權(quán)級(jí)別。

下面探討如何利用CiscoACS實(shí)現(xiàn)設(shè)備組、命令集、用戶組的定義與關(guān)聯(lián)。

3.1設(shè)備組定義

根據(jù)北京行的網(wǎng)絡(luò)結(jié)構(gòu)，我們?cè)嚩x以下設(shè)備組：

（待定）交換機(jī)組一包含總行大樓的樓層交換機(jī)Cisco65/45;

試定義以下設(shè)備組：

（待定）交換機(jī)組--CiscoCatalyst6500或Catalyst4xxx

（待定）網(wǎng)絡(luò)設(shè)備組…Cisco2811

3.2Shell授權(quán)命令集(ShellAuthorizationCommandSets)定義

殼式授權(quán)命令集可實(shí)現(xiàn)命令授權(quán)的共享，即不同用戶或組共享相同的命令集。

如圖2所示，CiscoSecureACS圖形用戶界面(GUI)可獨(dú)立定義命令授權(quán)集。

命令集會(huì)被賦予一個(gè)名稱，此名稱可用于用戶或組設(shè)置的命令集。

基于職責(zé)的授權(quán)(Role-basedAuthorization)

命令集可被理解為職責(zé)定義。實(shí)際上它定義授予的命令并由此定義可能采取的任

務(wù)類型。如果命令集圍繞BOC內(nèi)部不同的網(wǎng)絡(luò)管理職責(zé)定義，用戶或組可共享

它們。當(dāng)與每個(gè)網(wǎng)絡(luò)設(shè)備組授權(quán)相結(jié)合時(shí)，用戶可為不同的設(shè)備組分配不同職責(zé)。

BQC網(wǎng)絡(luò)設(shè)備安全管理的命令集，可以試定義如下：

超級(jí)用戶命令組一具有IOS第15特權(quán)級(jí)別用戶，他/她可以執(zhí)行所有的配置

configurexshow和Troubleshooting命令；

故障診斷命令組一具有所有Ping、Trace命令、show命令和debug命令，以

及簡單的配置命令；

網(wǎng)絡(luò)操作員命令組一具有簡單的Troubleshooting命令和針對(duì)特別功能的客戶

定制命令；

3.3用戶組定義（草案）

用戶組的定義要根據(jù)BOC網(wǎng)絡(luò)管理人員的分工組織構(gòu)成來確定，可以試定義

如下：

運(yùn)行管理組一負(fù)責(zé)管理控制大樓網(wǎng)絡(luò)樓層設(shè)備，同時(shí)監(jiān)控BOC骨干網(wǎng)絡(luò)設(shè)

備。人員包括分行網(wǎng)絡(luò)管理處的成員；

操作維護(hù)組…對(duì)于負(fù)責(zé)日常網(wǎng)絡(luò)維護(hù)工作的網(wǎng)絡(luò)操作員，他們屬于該組°

3.4設(shè)備安全管理實(shí)現(xiàn)

完成了設(shè)備組、命令組和用戶組的定義之后，接下來的工作是在用戶組的定

義中，將設(shè)備組和命令組對(duì)應(yīng)起來。

TACAS+要求AAA的Clients配置相應(yīng)的AAA命令，這樣凡是通過遠(yuǎn)程或本

地接入到目標(biāo)設(shè)備的用戶都要通過嚴(yán)格的授權(quán)，然后TACAS+根據(jù)用戶組定義的

權(quán)限嚴(yán)格考察管理員步輸入的命令。

四、TACAS+的審計(jì)跟蹤功能

由于管理人員的不規(guī)范操作，可能會(huì)導(dǎo)致設(shè)備接口的down,或是路由協(xié)議

的reset,或許更嚴(yán)重的設(shè)備reload。所以設(shè)備操作審計(jì)功能是必須的。

我們可以在網(wǎng)絡(luò)相對(duì)集中的地方設(shè)立一個(gè)中央審計(jì)點(diǎn)，即是可以有一個(gè)中央

點(diǎn)來記錄所有網(wǎng)絡(luò)管理活動(dòng)。這包括那些成功授權(quán)和那些未能成功授權(quán)的命令。

可用以下三個(gè)報(bào)告來跟蹤用戶的整個(gè)管理進(jìn)程。

?TACACS+記帳報(bào)告可記錄管理進(jìn)程的起始和結(jié)束。在AAA客戶機(jī)上必須啟

動(dòng)記帳功能；

TACACS+管理報(bào)告記錄了設(shè)備上發(fā)出的所有成功授權(quán)命令；在AAA客戶機(jī)

上必須啟動(dòng)記帳功能;

?嘗試失敗報(bào)告記錄了設(shè)備的所有失敗登錄嘗試和設(shè)備的所有失敗命令授權(quán)；

在AAA客戶機(jī)上必須啟動(dòng)記帳功能；。

圖4審計(jì)示例——登錄

LA-Gateway

Doglntandy

Password：????*??

LA-Gateway〉

當(dāng)管理員在某一設(shè)備上開始一個(gè)新管理進(jìn)程時(shí)，它就被記錄在TACACS+記

帳報(bào)告中。當(dāng)管理進(jìn)程結(jié)束時(shí)，也創(chuàng)建一個(gè)數(shù)值。Acct-Flags字段可區(qū)分這丙個(gè)

事件。

圖5審計(jì)示例——計(jì)帳報(bào)告節(jié)選［按文本給出］

3..能螯啃髭ir齪氣界必出」.也皿

卜班《800】卜5小笳卜，［ijWtoOaa"

當(dāng)管理員獲得對(duì)設(shè)備的接入，所有成功執(zhí)行的命令都作為TACACS+記帳請(qǐng)

求送至TACACS+服務(wù)器。TACACS+服務(wù)器隨后會(huì)將這些記帳請(qǐng)求記錄在

TACACS+管理報(bào)告中。圖6為管理進(jìn)程示例。

圖6審計(jì)示例——記帳請(qǐng)求

LA,-Gateway*enable

Password：????????

lA-Gatewas'ttconf1gtenninal

Enteroonfigurationcowranda.onep^xline.EndwithrtJTL/Z.

LA-Gateway<con￡ig)^interfacebuo

LA-aaceway<con￡ig-if)?Hpppauthenticationchap

圖7中顯示的TACACS+管理報(bào)告節(jié)選以時(shí)間順序列出了用戶在特定設(shè)備

上成功執(zhí)行的所有命令。

圖7審計(jì)示例——管理報(bào)告節(jié)選

由，?才口”交種7；0喧b.F4E

1“144X1”力弘foxiEltUL町V/e

1心200，1”433g"ifnrvuSUXkiewMjt,WritC^at

匚山占+

liri4.0??31153507an4y5l￡?C-><|VLAQuewffjrV/rttCgt

llfU.200］：l?0233mavLMhiwwy侏HCwn

注：本報(bào)告僅包含成功授權(quán)和執(zhí)行的命令。它不包括含排字錯(cuò)誤或未授權(quán)命令的

命令行。

在圖8顯示的示例中，用戶從執(zhí)行某些授權(quán)命令開始，然后就試圖執(zhí)行用戶

未獲得授權(quán)的命令（配置終端）。

圖8審計(jì)示例——未授權(quán)請(qǐng)求

NY-Gateway

Login：andy

Password：???????

NYGatsway>

IfY■Xateitfay*enable

Password：??????

HY-Gatewaynshoxrun

HY-tjatewayttconfigureterminal

圖8為TACACS+管理報(bào)告節(jié)選，具體說明了用戶andy在網(wǎng)關(guān)機(jī)上執(zhí)行的

命令。

圖9審計(jì)示例——管理報(bào)告節(jié)選

i>*?tUm?>k>r)nii

i-i.-.?

lt>>4COO(KM5)6與<rM，，wrI刁'FlCoE

當(dāng)Andy試圖改變網(wǎng)關(guān)機(jī)器的配置，TACACS+服務(wù)器不給予授權(quán)，用此試圖

記錄在失敗試圖報(bào)告中（圖10）。

圖10審計(jì)示例——失敗試圖報(bào)告節(jié)選

Jfffwwt

VirtO-Ett

Eta?Af<??

lies.！??&?SXl!>uk!Hfcr?C“?

3

EKFrtiri

40皿0C*rrg-MiU

!7194*AMCLJI￡?1T1=卜汽吁c

IrmmJ

提示：如果失敗試圖報(bào)告中包括網(wǎng)絡(luò)設(shè)備組和設(shè)備命令集欄，您可輕松確定

用戶andy為何被拒絕使用配置命令。

這三個(gè)報(bào)告結(jié)合起來提供了已試圖和已授權(quán)的所有管理活動(dòng)的完整記錄。

五、CiscoACS在北京中行網(wǎng)絡(luò)中的配置方案

在各個(gè)分行中心配置兩臺(tái)ACS服務(wù)器（數(shù)據(jù)庫同步，保證配置冗余），由個(gè)

分行控制和管內(nèi)所轄的網(wǎng)絡(luò)設(shè)備。

我們建議CiscoACS安裝在網(wǎng)絡(luò)Firewall保護(hù)的區(qū)域。參見下圖:

Region1Region2

Firewall

Region3

六、TACAS+與RADIUS協(xié)議比較

網(wǎng)絡(luò)設(shè)備安全管理要求的管理協(xié)議首先必須是安全的cRADIUS黔證管理員

身份過程中使用的是明文格式，而TACAS使用的是密文格式，所以TACAS可

以抵御Sniffer的竊聽。

TACAS使用TCP傳輸協(xié)議，RADIUS使用LDP傳輸協(xié)議，當(dāng)AAA的客戶

端和服務(wù)器端之間有l(wèi)owspeed的鏈接時(shí)，TCP機(jī)制可以保證數(shù)據(jù)的可靠傳輸,

而UDP傳輸沒有保證。

TACAS和RADIUS都是IETF的標(biāo)準(zhǔn)化協(xié)議，Cisco在TACAS基礎(chǔ)上開發(fā)了

TACAS增強(qiáng)型協(xié)議--TACAS+,所以CiscoACS可以同時(shí)支持TACAS+和RADIUS

認(rèn)證協(xié)議。

RADIUS對(duì)授權(quán)Authorization和記帳Accounting功能有限，而Cisco的

TACAS+的授權(quán)能力非常強(qiáng)，上面介紹的RBAC（基于職責(zé)的授權(quán)控制）是

TACAS+所特有的。同時(shí)TACAS+的記帳內(nèi)容可以通過管理員制定AV值，來客

戶花客戶所需要的記帳報(bào)告。

在BOC這樣復(fù)雜的網(wǎng)絡(luò)環(huán)境，我們建議啟動(dòng)CiscoACS的TACAS+和R/XDIUS

服務(wù)。對(duì)于Cisco的網(wǎng)絡(luò)設(shè)備，我們強(qiáng)烈加以采月TACAS+AAA協(xié)議；對(duì)于非

Cisco網(wǎng)絡(luò)設(shè)備，建議使用RADIUS協(xié)議。

七、CiscoACS其它應(yīng)用環(huán)境

除了設(shè)備安全管理使用AAA認(rèn)證之外，我們運(yùn)可以在RAS-遠(yuǎn)程訪問接入服

務(wù)、VPN接入安全認(rèn)證控制、PIX防火墻In/Out控制、有線/無線LAN的802.1x

安全接入認(rèn)證、VOIP記帳服務(wù)等領(lǐng)域使用CiscoACSo

CiscoACS可以結(jié)合第三方數(shù)據(jù)庫比如SybasexOracle和MicrosoftNTDomain

DatabaseNMicrosoftSQLo同時(shí)CiscoACS支持與OTP—Onc-timc-password集成，

為用戶提供更為安全的身份認(rèn)證方式，該功能在數(shù)據(jù)中心有應(yīng)用實(shí)例。

前言

編者：任澎

教研室

年月

目錄

實(shí)驗(yàn)一：認(rèn)識(shí)路由器.......................................12

實(shí)驗(yàn)二路由器使用入門..................................12

實(shí)驗(yàn)三路由器的基本配置與靜態(tài)路由.......................14

實(shí)驗(yàn)四RIP路由協(xié)議的配置................................17

實(shí)驗(yàn)五單區(qū)域OSPF路由協(xié)議的配置.......................23

實(shí)驗(yàn)六多區(qū)域OSPF路由協(xié)議的配置.......................26

實(shí)驗(yàn)七EIGRP路由協(xié)議的配置.............................28

實(shí)驗(yàn)八訪問控制列表（ACL）的配置.......................31

實(shí)驗(yàn)九廣域網(wǎng)鏈路的配置.................................34

實(shí)驗(yàn)十交換機(jī)的基本配置與VLAN劃分....................37

實(shí)驗(yàn)十一單臂路由.......................................40

實(shí)驗(yàn)十二NAT.........................................41

實(shí)驗(yàn)一：認(rèn)識(shí)路由器

1、實(shí)驗(yàn)?zāi)康?/p>

(1)了解路由器外部結(jié)構(gòu)，明確路由器內(nèi)部組成：

(2)掌握連接路由器的方法；

2、實(shí)驗(yàn)設(shè)備

安裝Windows2003操作系統(tǒng)的PC機(jī)一臺(tái)，路由器一臺(tái)

3、實(shí)驗(yàn)步驟

(1)觀察路由器外觀

常見接口：

Console口

以太網(wǎng)接口(EtherneD

廣域網(wǎng)接口

主要內(nèi)部組件：

CPU

RAM/DRAM

FlashMemory

NVRAM

ROM

接口

(2)連接路由器

連接計(jì)算機(jī)(把路由器的Console接口通過反轉(zhuǎn)線的轉(zhuǎn)接頭和計(jì)算機(jī)串口連接)。

啟動(dòng)超級(jí)終端通信程序，配置正確信息(路由器的Console口默認(rèn)波特率是9600)。

第一次啟動(dòng)或NVRAM中不存在配置文件時(shí)，路由器進(jìn)入setup模式。

4、完成實(shí)驗(yàn)報(bào)告

5、思考練習(xí)

路由器內(nèi)部組件RAM/DRAM、FlashMemory>NVRAM、ROM的作用？

實(shí)驗(yàn)二路由器使用入門

1.實(shí)驗(yàn)?zāi)康?/p>

<1)掌握路由器工作模式

(2)掌握路由耕基本配置命令

2.實(shí)驗(yàn)設(shè)備

安裝Windows2003操作系統(tǒng)的PC機(jī)一臺(tái)，路由器一臺(tái)

3.實(shí)驗(yàn)步驟

(1)路由器兩種基本工作模式

用戶模式：查看路由器狀態(tài)

特權(quán)模式：更改配置，查看所有信息

用戶模式：

Routcr>

Router——路由器名；>——代表用戶模式

用戶模式。特權(quán)模式：enable

特權(quán)模式。用戶模式:disable

Routcr>cnablc

Router#

Router#disable

Router>

基本配置：

Router>enable〃進(jìn)入特權(quán)模式

Routcr#configtcnninal〃進(jìn)入全局配置模式

Rou(er(config)#hostnameR1〃更改路由器名稱

Rl(config)#enablepassword1234〃設(shè)置路由器進(jìn)入特權(quán)模式的密碼

Rl(config)#interfacef0/0〃進(jìn)入fD/O接口

Rl(config-if)#ipaddress192.168.81.254255.255.255.0〃給所進(jìn)入的接口設(shè)置IP地址

Rl(config-if)#cnd〃退出到特權(quán)模式，也可,以使用兩次exit

Rl#showinterface〃杳看路由器所有端口狀態(tài)

R1#showinterfaceR)/()〃查看制定端口狀態(tài)

Rl#showrunning-config〃查看路由器運(yùn)行狀態(tài)

R1#showrunning-config〃查看路由器開機(jī)配置狀態(tài)

注意：1、命令可以使用簡寫

2、了解？和Tab鍵的使用

實(shí)驗(yàn)三路由器的基本配置與靜態(tài)路由

1、實(shí)驗(yàn)?zāi)康?/p>

（1）掌握路由器的基本管理特性；

（2）學(xué)習(xí)路由器配置的基本指令

（3）配置靜態(tài)路由的相關(guān)指令

（4）理解路由表。

2、空聆環(huán)境

實(shí)驗(yàn)而絡(luò)拓?fù)淙缦聢D。

10.1.1.0/2412.12.12.0/2423.23.23.0/24192.168.1.0/24

A:10.1.1.100/24B:192.168.1.100/24

3、實(shí)驗(yàn)的內(nèi)容

（1）網(wǎng)絡(luò)設(shè)備模式的切換

（2）網(wǎng)絡(luò)設(shè)備指令的使用技巧

（3）配置路由器接口的IP地址

（4）掌握通過靜態(tài)路由方式實(shí)現(xiàn)網(wǎng)絡(luò)的連通性

4、實(shí)驗(yàn)步驟

（1）、網(wǎng)絡(luò)連接

按上圖所示進(jìn)行網(wǎng)絡(luò)連接，并設(shè)置好計(jì)算機(jī)A和計(jì)算機(jī)B的IP地址.

計(jì)算機(jī)A的IP設(shè)置：

IP：10.1.1.100

掩碼:255.255.255.0

網(wǎng)關(guān)：10.1.1.1

計(jì)算機(jī)B的IP設(shè)置：

IP：192.168.1.100

掩碼：255.255.255.0

網(wǎng)關(guān)：192.168.1.3

進(jìn)行如下操作時(shí)注意：

1、看好配置命令的使用狀態(tài)和命令有無空格

2、看好路由器接口的連接

（2）、路由器的基本配置

路由器R1的基本設(shè)置：

RSR20-04-l>en14〃當(dāng)前為用戶模式，通過en命令進(jìn)入特權(quán)模式

Password：star

RSR20-04-l#conft〃當(dāng)前為特權(quán)模式，進(jìn)入全局配置模式（t前有空格）

RSR20-04-1（config）#intf0/0〃進(jìn)入接口模式

RSR20-04-1（config-if）#ipaddressI（）.1.1.1255.255.255.0//配置接口IP

RSR20-04-1(config-if)#noshut

RSR20-04-1(config-if)#intfO/1

RSR20-04-1(config-if)#ipaddress12.12.12.1255.255.255.0

RSR20-04-1(config-if)#noshut

RSR20-04-1(2onfig-if)#end//end退至特權(quán)模式；exil只后退到前一模式下

路由器R2的基本設(shè)置：

>en14

Password：star

#conft

(config)#intft)/0

(config-if)#ipaddress12.12.12.2255.255.255.0

(config-if)#noshut

(config-if)#intfO/1

(config-if)#ipaddress23.23.23.2255.255.255.0

(config-if)#noshut

(config-if)#cnd

路由器R3的基本設(shè)置：

>en14

Password：star

#conft

(config)#intTO/0

(config-if)#ipaddress23.23.23.3255.255.255.0

(config-if)#noshut

(config-if)#intft)/l

(config-iD#ipaddress192.168.1.3255.255.255.D

(config-if)#noshut

(config-if)#end

測(cè)試與驗(yàn)癥

I、

在路由器RI上使用如卜命令：

#showinterface〃查看接口f0/0和fO/1的狀態(tài)(應(yīng)該為up)和IP地址是否

正確(shint命令用于查看該路由器所有端口的狀態(tài)信息；shint?)/0命令只查看力/()接

口的狀態(tài)信息)

2、

在路由器R2上使用如下命令：

#showinterface〃查看接口f0/0和TO/I的狀態(tài)(應(yīng)該為up)和IP地址是否

正確

3、

在路由器R3上使用如下命令：

#showinterface〃查看接口f0/0和fO/1的狀態(tài)(應(yīng)該為up)和IP地址是否

正確

4、

在路由器R1上使用如下命令：

#showiproute〃查看路由器R1的路由表，此時(shí)只有網(wǎng)絡(luò)10.1.1.0和網(wǎng)絡(luò)

12.12.12.0的路由言息。

在路由器R2上使用如下命令：

#showiproute〃查看路由器R2的路由表，此時(shí)只有網(wǎng)絡(luò)12.12.12.0和網(wǎng)絡(luò)

23.23.23.0的路由點(diǎn)息。

在路由器R2上使用如卜.命令：

#showiproute〃杳看路由器R2的路由表，此時(shí)只有網(wǎng)絡(luò)12.12.12.0取網(wǎng)絡(luò)

23.23.23.0的路由喑息。

5、

在計(jì)算機(jī)Ahping以下地址

a、10.1.1.1〃該地址為網(wǎng)關(guān)地址［在同一網(wǎng)絡(luò)）。通

b、12.12.12.1〃該地址和計(jì)算機(jī)A同為路由器RI的直連網(wǎng)絡(luò)。通

c、12.12.12.2〃該地址和計(jì)算機(jī)A同為路由器RI的直連網(wǎng)絡(luò)，但無法發(fā)

回確認(rèn)數(shù)據(jù)包。不通

d、23.23.23.2〃該地址和計(jì)算機(jī)A不在同一個(gè)網(wǎng)絡(luò)，且不同在某一路由

器的直連網(wǎng)絡(luò)（隔了兩個(gè)路由器）。不通

c、23.23.23.3〃該地址和計(jì)算機(jī)A不在同一個(gè)網(wǎng)絡(luò)，且不同在某一路由

器的直連網(wǎng)絡(luò)（隔了兩個(gè)路由器）。不通

f.192.168.1.100〃該地址為計(jì)算機(jī)B的地址，和計(jì)算機(jī)A不在同一個(gè)網(wǎng)絡(luò),

且不同在某一路由器的直連網(wǎng)絡(luò)（隔了兩個(gè)路由器）。不通

(3)靜態(tài)路由的配置

路由器R1的設(shè)置：

(config)#iproute23.23.23.0255.255.255.012.12.12.2

(config)#iproute192.168.1.0255.255.255.012.12.12.2

路由鎏R2的設(shè)置：

(config)#iproutei0.1.1.()255.255.255.012.12.12.1

(config)#iproutei92.168.1.0255.255.255.023.23.23.3

路由寤R3的設(shè)置：

(config)#iproute10.1.1.0255.255.255.023.23.23.2

(config)#iproute12.12.12.0255.255.255.023.23.23.2

測(cè)試后驗(yàn)證

在路由器RI上使用如下命令：

#showiproute〃查看路由器R1的路由表，此時(shí)有網(wǎng)絡(luò)10.1.1.0、網(wǎng)絡(luò)1212.12.0

和網(wǎng)絡(luò)23.23.23.0的路由信息

2、

在路由器R2上使用如下命令：

#showiproute〃查看路由器R2的路由表，此時(shí)有網(wǎng)絡(luò)10.1.1.0、網(wǎng)絡(luò)12.12.12.0

和網(wǎng)絡(luò)23.23.23.0的路由信息

3、

在計(jì)算機(jī)A上ping以下地址

a、10.1.1.1該地址為網(wǎng)關(guān)地址（在同一網(wǎng)絡(luò)）。通

b、12.12.12.1該地址和計(jì)算機(jī)A同為路由器R1的直連網(wǎng)絡(luò)。通

c、12.12.12.2該地址和計(jì)算機(jī)A同為路由器R1的直連網(wǎng)絡(luò)。通

d、23.23.23.2該地址和計(jì)算機(jī)A不在同一個(gè)網(wǎng)絡(luò)，且不同在某一路由器

的直連網(wǎng)絡(luò)（隔了兩個(gè)路由器）,但由于采用了靜態(tài)路由，通

e、23.23.23.3該地址和計(jì)算機(jī)A不在同一個(gè)網(wǎng)絡(luò)，且不同在某一路由器

的直連網(wǎng)絡(luò)（隔了兩個(gè)路由器）,但由于采用了靜態(tài)路由，R1路由表中有了網(wǎng)絡(luò)23.23.23.0的

信息，知道了到達(dá)網(wǎng)絡(luò)23.23.23.0該如何走。通

f>192.168.1.100該地址和計(jì)算機(jī)A不在同一個(gè)網(wǎng)絡(luò)，且不同在某一路由器

的直連網(wǎng)絡(luò)（隔了兩個(gè)路由器），但由于采用了靜態(tài)路由，通

5、完成實(shí)驗(yàn)報(bào)告

6、思考練習(xí)

思考路由表的組成與路由器路由功能的實(shí)現(xiàn)。

實(shí)驗(yàn)四RIP路由協(xié)議的配置

1、實(shí)驗(yàn)?zāi)康?/p>

(1)理解RIP協(xié)議的基本特性

(2)掌握RIP協(xié)議的配置

2、實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)淙缦聢D。

10.1.1.0/2412.12.12.0/2423.23.23.0/24192.168.1.0/24

A:10.1.1.100/24B:192.168.1.100/24

3、實(shí)驗(yàn)的內(nèi)容

(1)路由器接口的配置

(2)路由器RIP協(xié)議的配置

(3)驗(yàn)證RIP協(xié)議的配置

4、實(shí)驗(yàn)步驟

(l)^網(wǎng)絡(luò)連接

按上圖所示進(jìn)行網(wǎng)絡(luò)連接，并設(shè)置好計(jì)算機(jī)A和計(jì)算機(jī)B的IP地址。

計(jì)算機(jī)A的IP設(shè)置：

IP：10.1.1.109

掩碼：255.255.255.0

網(wǎng)關(guān)：10.1.1.1

計(jì)算機(jī)B的IP設(shè)置:

IP：192.168.1.100

掩碼：255.255.255.0

網(wǎng)關(guān)：192.168.1.3

進(jìn)行如下操作時(shí)注意：

1、看好配置命令的使用狀態(tài)和命令有無空格

2、看好路由器接口的連接

(2)、路由器的基本配置

路由器R1的基本設(shè)置：

RSR20-04-l>en14〃當(dāng)前為用戶模式，通過cn命令進(jìn)入特權(quán)模式

Password：star

RSR20-04-l#conft〃當(dāng)前為特權(quán)模式，進(jìn)入全局配置模式(t前有空格)

RSR20-04-1(config)#intf0/0〃進(jìn)入接口模式

RSR20-04-1(config-iD#ipaddress10.1.1.1255.255.255.0〃配置接口IP

RSR20-04-1(vonfig-if)#noshut

RSR20-04-1(config-if)#intfU/1

RSR20-04-1(config-if)#ipaddress12.12.12.1255.255.255.0

RSR20-04-1(config-if)#noshut

RSR20-04-1(config-if)#end//end退至特權(quán)模式；exit只后退到前?模式卜

路由器R2的基本設(shè)置：

>en14

Password：star

#conft

(config)#intf0/0

(config-if)#ipaddress12.12.12.2255.255.255.0

(config-iD#noshut

(config-if)#intf()/l

(config-if)#ipaddress23.23.23.2255.255.255.0

(config-if)#noshut

(config-if)#end

路由器R3、的基本設(shè)置：

>cn14

Password：star

#conft

(config)#intfl)/0

(config-if)#ipaddress23.23.23.3255.255.255.0

(config-if)#noshut

(config-if)#intCO/1

(config-if)#ipaddress192.168.1.3255.255.255.0

(config-if)#noshut

(config-if)#end

測(cè)試與驗(yàn)證

1、

#showinterface〃查看接口的狀態(tài)(應(yīng)該為up)和IP地址是否正確(shint

命令用于查看該路由器所有端口的狀態(tài)信息；shintfD/O命令只查看fO/O接口的狀態(tài)信息、)

2、

#showiproute〃查看路由器的路由表,此時(shí)只有網(wǎng)絡(luò)10.1.1.0和網(wǎng)絡(luò)12.12.12.0

的路由信息。

3、

在計(jì)算機(jī)A上ping以卜.地址

a、10.1.1.1〃該地址為網(wǎng)關(guān)地址［在同一網(wǎng)絡(luò))。通

b、12.12.12.1〃該地址和計(jì)算機(jī)A同為路由器R1的自.連網(wǎng)絡(luò)。逋

d、23.23.23.2〃該地址和計(jì)算機(jī)A不在同一個(gè)網(wǎng)絡(luò)，且不同在某一路由

器的直連網(wǎng)絡(luò)(隔了兩個(gè)路由器)。不通

f>192.168.1.100〃該地址為計(jì)算機(jī)B的地址，和計(jì)算機(jī)A不在同一個(gè)網(wǎng)絡(luò)，

旦不同在某一路由器的直連網(wǎng)絡(luò)(隔了兩個(gè)路由器)。不通

(3)靜態(tài)路由的配置

路由器R1的設(shè)置：

(config)#routerrip

(config-rou(cr)#nctworkI().().().()

(config-router)#network12.0.0.0

路由盛R2的設(shè)置：

(config)#routerrip

(config-router)#network12.0.0.0

(config-routcr)#nctwork23.0.0.0

路由嘉R3的設(shè)置：

(config)#routerrip

(config-router)#network23.0.0.0

(config-router)#network192.168.1.0

測(cè)試與驗(yàn)證

1、

#showiproute〃查看路由器的路由表，此時(shí)有網(wǎng)絡(luò)10.1.1.0、網(wǎng)絡(luò)12.12.12.0、

網(wǎng)絡(luò)23.23.23.0和192.168.1.0四個(gè)網(wǎng)絡(luò)的路由信息

2、

在計(jì)算機(jī)A±ping以下地址

a.10.1.1.1該地址為網(wǎng)關(guān)地址（在同一網(wǎng)絡(luò)）。通

b.12.12.12.1該地址和計(jì)算機(jī)A同為路由器R1的直連網(wǎng)絡(luò)。通

d、23.23.23.2該地址和計(jì)算機(jī)A不在同一個(gè)網(wǎng)絡(luò)，R不同在某一路由器

的直連網(wǎng)絡(luò)（隔了兩個(gè)路由器），但由于采用了RIP路由協(xié)議，通

f.192.168.1.100該地址和計(jì)算機(jī)A不在同一個(gè)網(wǎng)絡(luò)，且不同在某一路由器

的直連網(wǎng)絡(luò)（隔了兩個(gè)路由器），但由于采用了RIP路由協(xié)議，通

5、完成實(shí)驗(yàn)報(bào)告

實(shí)驗(yàn)五被動(dòng)接口與單播更新

1、實(shí)驗(yàn)?zāi)康?/p>

(1)理解被動(dòng)接口與單播更新的應(yīng)用

(2)掌握被動(dòng)接口與單播更新的配置

2、實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)淙缦聢D。

10.1.1.0/2412.12.12.0/2423.23.23.0/24192.168.1.0/24

A:10.1.1.100/24B:192.168.1.100/24

3、實(shí)驗(yàn)的內(nèi)容

(1)路由器接口的配置

(2)路由器RIP協(xié)議的配置

(3)驗(yàn)證RIP協(xié)議的配置

4、實(shí)驗(yàn)步驟

(l)^網(wǎng)絡(luò)連接

按上圖所示進(jìn)行網(wǎng)絡(luò)連接，并設(shè)置好計(jì)算機(jī)A和計(jì)算機(jī)B的IP地址。

計(jì)算機(jī)A的IP設(shè)置：

IP：10.1.1.109

掩碼：255.255.255.0

網(wǎng)關(guān)：10.1.1.1

計(jì)算機(jī)B的IP設(shè)置:

IP：192.168.1.100

掩碼：255.255.255.0

網(wǎng)關(guān)：192.168.1.3

進(jìn)行如下操作時(shí)注意：

1、看好配置命令的使用狀態(tài)和命令有無空格

2、看好路由器接口的連接

(2)、路由器的基本配置

路由器R1的基本設(shè)置：

RSR20-04-l>en14〃當(dāng)前為用戶模式，通過cn命令進(jìn)入特權(quán)模式

Password：star

RSR20-04-l#conft〃當(dāng)前為特權(quán)模式，進(jìn)入全局配置模式(t前有空格)

RSR20-04-1(config)#intf0/0〃進(jìn)入接口模式

RSR20-04-1(config-iD#ipaddress10.1.1.1255.255.255.0〃配置接口IP

RSR20-04-1(vonfig-if)#noshut

RSR20-04-1(config-if)#intfU/1

RSR20-04-1(config-if)#ipaddress12.12.12.1255.255.255.0

RSR20-04-1(config-if)#noshut

RSR20-04-1(config-if)#end//end退至特權(quán)模式；exit只后退到前?模式卜

路由器R2的基本設(shè)置：

>en14

Password：star

#conft

(config)#intf0/0

(config-if)#ipaddress12.12.12.2255.255.255.0

(config-iD#noshut

(config-if)#intf()/l

(config-if)#ipaddress23.23.23.2255.255.255.0

(config-if)#noshut

(config-if)#end

路由器R3、的基本設(shè)置：

>cn14

Password：star

#conft

(config)#intfl)/0

(config-if)#ipaddress23.23.23.3255.255.255.0

(config-if)#noshut

(config-if)#intCO/1

(config-if)#ipaddress192.168.1.3255.255.255.0

(config-if)#noshut

(config-if)#end

測(cè)試與驗(yàn)證

1、

#showinterface〃查看接口的狀態(tài)(應(yīng)該為up)和IP地址是否正確(shint

命令用于查看該路由器所有端口的狀態(tài)信息；shintfD/O命令只查看fO/O接口的狀態(tài)信息、)

2、

#showiproute〃查看路由器的路由表,此時(shí)只有網(wǎng)絡(luò)10.1.1.0和網(wǎng)絡(luò)12.12.12.0

的路由信息。

3、

在計(jì)算機(jī)A上ping以卜.地址

a、10.1.1.1〃該地址為網(wǎng)關(guān)地址［在同一網(wǎng)絡(luò))。通

b、12.12.12.1〃該地址和計(jì)算機(jī)A同為路由器R1的自.連網(wǎng)絡(luò)。逋

d、23.23.23.2〃該地址和計(jì)算機(jī)A不在同一個(gè)網(wǎng)絡(luò)，且不同在某一路由

器的直連網(wǎng)絡(luò)(隔了兩個(gè)路由器)。不通

f>192.168.1.100〃該地址為計(jì)算機(jī)B的地址，和計(jì)算機(jī)A不在同一個(gè)網(wǎng)絡(luò)，

旦不同在某一路由器的直連網(wǎng)絡(luò)(隔了兩個(gè)路由器)。不通

(3)靜態(tài)路由的配置

路由器R1的設(shè)置：

(config)#routerrip

(config-rou(cr)#nctworkI().().().()

(config-router)#network12.0.0.0

路由盛R2的設(shè)置：

(config)#routerrip

(config-router)#network12.0.0.0

(config-routcr)#nctwork23.0.0.0

路由嘉R3的設(shè)置：

(config)#routerrip

(config-router)#network23.0.0.0

(config-router)#network192.168.1.0

測(cè)試與驗(yàn)證

1、

#showiproute〃查看路由器的路由表，此時(shí)有網(wǎng)絡(luò)10.1.1.0、網(wǎng)絡(luò)12.12.12.0、

網(wǎng)絡(luò)23.23.23.0和192.168.1.0四個(gè)網(wǎng)絡(luò)的路由信息

2、

在計(jì)算機(jī)A±ping以下地址

a.10.1.1.1該地址為網(wǎng)關(guān)地址（在同一網(wǎng)絡(luò)）。通

b.12.12.12.1該地址和計(jì)算機(jī)A同為路由器R1的直連網(wǎng)絡(luò)。通

d、23.23.23.2該地址和計(jì)算機(jī)A不在同一個(gè)網(wǎng)絡(luò)，R不同在某一路由器

的直連網(wǎng)絡(luò)（隔了兩個(gè)路由器），但由于采用了RIP路由協(xié)議，通

f.192.168.1.100該地址和計(jì)算機(jī)A不在同一個(gè)網(wǎng)絡(luò)，且不同在某一路由器

的直連網(wǎng)絡(luò)（隔了兩個(gè)路由器），但由于采用了RIP路由協(xié)議，通

5、完成實(shí)驗(yàn)報(bào)告

實(shí)驗(yàn)五單區(qū)域OSPF路由協(xié)議的配置

1、實(shí)驗(yàn)?zāi)康?/p>

(1)理解OSPF協(xié)議的基本特性

(2)掌握單區(qū)域OSPF協(xié)議的配置

2、實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)淙缦聢D。

10.1.1.0/2412.12.12.0/2423.23.23.0/24192.168.1.0/24

A:10.1.1.100/24B:192.168.1.100/24

3、實(shí)驗(yàn)的內(nèi)容

(1)路由器接口的配置

(2)路由器單區(qū)域OSPF協(xié)議的配置

(3)驗(yàn)證OSPF協(xié)議的配置

4、實(shí)驗(yàn)步驟

(l)^網(wǎng)絡(luò)連接

按上圖所示進(jìn)行網(wǎng)絡(luò)連接，并設(shè)置好計(jì)算機(jī)A和計(jì)算機(jī)B的IP地址。

計(jì)算機(jī)A的IP設(shè)置：

IP：10.1.1.109

掩碼：255.255.255.0

網(wǎng)關(guān)：10.1.1.1

計(jì)算機(jī)B的IP設(shè)置:

IP：192.168.1.100

掩碼：255.255.255.0

網(wǎng)關(guān)：192.168.1.3

進(jìn)行如下操作時(shí)注意：

1、看好配置命令的使用狀態(tài)和命令有無空格

2、看好路由器接口的連接

(2)、路由器的基本配置

路由器R1的基本設(shè)置：

RSR20-04-l>en14〃當(dāng)前為用戶模式，通過cn命令進(jìn)入特權(quán)模式

Password：star

RSR20-04-l#conft〃當(dāng)前為特權(quán)模式，進(jìn)入全局配置模式(t前有空格)

RSR20-04-1(config)#intf0/0〃進(jìn)入接口模式

RSR20-04-1(config-iD#ipaddress10.1.1.1255.255.255.0〃配置接口IP

RSR20-04-1(vonfig-if)#noshut

RSR20-04-1(config-if)#intfU/1

RSR20-04-1(config-if)#ipaddress12.12.12.1255.255.255.0

RSR20-04-1(config-if)#noshut

RSR20-04-1(config-if)#end//end退至特權(quán)模式；exit只后退到前?模式卜

路由器R2的基本設(shè)置：

>en14

Password：star

#conft

(config)#intf0/0

(config-if)#ipaddress12.12.12.2255.255.255.0

(config-iD#noshut

(config-if)#intf()/l

(config-if)#ipaddress23.23.23.2255.255.255.0

(config-if)#noshut

(config-if)#end

路由器R3、的基本設(shè)置：

>cn14

Password：star

#conft

(config)#intfl)/0

(config-if)#ipaddress23.23.23.3255.255.255.0

(config-if)#noshut

(config-if)#intCO/1

(config-if)#ipaddress192.168.1.3255.255.255.0

(config-if)#noshut

(config-if)#end

測(cè)試與驗(yàn)證

1、

#showinterface〃查看接口的狀態(tài)(應(yīng)該為up)和IP地址是否正確(shint

命令用于查看該路由器所有端口的狀態(tài)信息；shintfD/O命令只查看fO/O接口的狀態(tài)信息、)

2、

#showiproute〃查看路由器的路由表,此時(shí)只有網(wǎng)絡(luò)10.1.1.0和網(wǎng)絡(luò)12.12.12.0

的路由信息。

3、

在計(jì)算機(jī)A上ping以卜.地址

a、10.1.1.1〃該地址為網(wǎng)關(guān)地址［在同一網(wǎng)絡(luò))。通

b、12.12.12.1〃該地址和計(jì)算機(jī)A同為路由器R1的自.連網(wǎng)絡(luò)。逋

d、23.23.23.2〃該地址和計(jì)算機(jī)A不在同一個(gè)網(wǎng)絡(luò)，且不同在某一路由

器的直連網(wǎng)絡(luò)(隔了兩個(gè)路由器)。不通

f