**实训目的:**设计一个完整的网络解决方案的设计,并在模拟器上模拟实施。
实训要求:
(1)高性能、全交换,满足用户需求
(2)要求为校园内网找到合适的私有网络地址
(3)要求建立一个最节省IP地址的有效地址方案
(4)要求每个设备都有能相互区分的名称
(5)要求在交换机上设置本地和远程访问口令
(6)要求在路由器上设置本地和远程访问口令
(7)实现网络设备的安装和调试
(8)管理简单
(9)系统安全,保密性高
实训内容:
要搭建的网络是一个在小型的校园网络,主要适宜单一建筑物(教学楼)内的网络解决方案。具体内容:
(1)3个校区:总校区、东校区和西校区
(2)总校区有5个多媒体教室(每个教室约5台机器);1个电子阅览器(10台机器);5个机房(每个机房4台机器)
(3)东校区有4个多媒体教室(每个教室约5台机器); 3个机房(每个机房4台机器)
(4)西校区有1个多媒体教室(每个教室约5台机器); 5个机房(每个机房4台机器)
(5)都需要互联网接入,实现安全的广域网访问
实验材料:
(1)所用设备:路由器、交换机、PC机、网线
(2)消耗性器材:无
一、实验场景描述
某学校需要搭建一个校园网络,该学校有总校区、东校区、西校区3个校区,她们拥有的计算机台数分别是:55台、32台、25台。现在要让这些机器能够互联互通,并且都能安全接入互联网,需要设计一个完整的网络解决方案。
二、网络拓扑图及描述
三、实验步骤
1.根据各校区的计算机台数,确定了以下私有网络地址编址方案:
总校区:IP为192.168.0.1~126,子网掩码为255.255.255.128
东校区:IP为192.168.0.129~190,子网掩码为255.255.255.192
西校区:IP为192.168.0.193~222,子网掩码为255.255.255.224
2.根据网络拓扑图,将相关设备进行连接(PC与交换机、交换与路由器用直通线连接;交换机与交换机、PC与路由器用交叉线连接;路由器与路由器用DCE串口线连接)。
3.给PC0配置IP地址、子网掩码、默认网关如下:
IP地址:192.168.0.2
子网掩码:255.255.255.128
默认网关:192.168.0.1
同理,给其它PC进行相应的配置。
4.进入交换机S0的CLI界面,执行以下命令给其修改设备名称、设置本地和远程访问口令:
en //进入特权模式
conf t //进入全局配置模式
hostname S0 //修改交换机的名称为S0
line console 0 //进入控制台配置模式
password NET@SchooL //设置控制台口令为NET@SchooL
login //设置登录时需要输入口令
exit //返回上一级模式
enable secret a12%SCHool //设置特权模式访问口令为a12%SCHool
line vty 0 4 //进入远程虚拟终端配置模式
password Hello!student //设置远程访问口令为Hello!student
login //设置登录时需要输入口令
exit //返回上一级模式
service password-encryption //对所有未加密的口令进行弱加密
int vlan 1 //进入vlan 1配置模式
ip add 192.168.0.29 255.255.255.128 //设置交换机的IP地址为192.168.0.29
no shut //开启端口
exit //返回上一级模式
ip default-gateway 192.168.0.1 //设置交换机的默认网关
end //直接返回特权模式
copy running-config startup-config //保存配置文件
同理,给其它交换机进行相应的配置。
5.进入路由器R1的CLI界面,执行以下命令给其修改设备名称、设置本地和远程访问口令:
en //进入特权模式
conf t //进入全局配置模式
hostname R1 //修改路由器的名称为R1
line console 0 //进入控制台配置模式
password SCh#!net6 //设置控制台口令为SCh#!net6
login //设置登录时需要输入口令
exit //返回上一级模式
enable secret STu%%ok8 //设置特权模式访问口令为STu%%ok8
clock timezone GMT 8 //设置时区
ip domain-name class.com //设置域名
crypto key generate rsa //生成密钥
1024 //选择不对称密钥的模数为1024
aaa new-model //配置认证授权统计服务(AAA)
username student123 password school#Hi //设置用户名和密码
line vty 0 4 //进入远程登录配置模式
transport input ssh //设置只允许使用SSH登录
login local //使用本地用户数据库进行身份验证
exit //返回上一级模式
service password-encryption //对所有未加密的口令进行弱加密
end //直接返回特权模式
copy running-config startup-config //保存配置文件
同理,给其它路由器进行相应必要的配置。
6.给路由器R1进行接口配置和设置RIP动态路由协议,以及配置默认路由,在全局配置模式下执行以下命令:
int fa0/0 //进入以太网口配置模式
ip add 192.168.100.1 255.255.255.0 //配置以太网口的IP和子网掩码
no shut //打开以太网口
exit //返回上一级模式
int se0/1/0 //进入串口配置模式
ip add 192.168.10.1 255.255.255.0 //配置串口的IP和子网掩码
no shut //打开串口接口
exit //返回上一级模式
int se0/2/0 //进入串口配置模式
ip add 192.168.20.1 255.255.255.0 //配置串口的IP和子网掩码
no shut //打开串口接口
exit //返回上一级模式
int se0/3/0 //进入串口配置模式
ip add 192.168.30.1 255.255.255.0 //配置串口的IP和子网掩码
no shut //打开串口接口
exit //返回上一级模式
int se0/0/0 //进入串口配置模式
ip add 202.10.6.1 255.255.255.0 //配置串口的IP和子网掩码
no shut //打开串口接口
clock rate 9600 //设置时钟频率
exit //返回上一级模式
router rip //配置RIP动态路由协议
version 2 //选择RIPV2协议
passive-interface fa0/0 //设置连接路由器LAN的接口为被动接口
network 192.168.100.0 //向其他路由器通告自己直连的网络是192.168.100.0
network 192.168.10.0 //向其他路由器通告自己直连的网络是192.168.10.0
network 192.168.20.0 //向其他路由器通告自己直连的网络是192.168.20.0
network 192.168.30.0 //向其他路由器通告自己直连的网络是192.168.30.0
no auto-summary //关闭自动汇总功能
exit //返回上一级模式
ip route 0.0.0.0 0.0.0.0 se0/0/0 //设置默认路由
end //直接返回特权模式
copy running-config startup-config //保存配置文件
同理,给其它路由器进行相应的配置。
7.配置NAT过载,进行内网、外网地址转换,在R1全局配置模式下执行以下命令:
access-list 1 permit 192.168.0.0 0.0.0.255
//定义一个标准访问控制列表,允许待转换的私有地址通过R1
ip nat inside source list 1 int se0/0/0 overload
//定义使用"overload"过载方式进行NAT源地址转换,应用到R1的se0/0/0接口
int se0/0/0 //进入串口配置模式
ip nat outside //设置R1连接外网ISP接口se0/0/0为NAT外部接口
exit //返回上一级模式
int se0/1/0 //进入串口配置模式
ip nat inside //设置R1连接内网的se0/1/0接口为NAT内部接口
exit //返回上一级模式
int se0/2/0 //进入串口配置模式
ip nat inside //设置R1连接内网的se0/2/0接口为NAT内部接口
exit //返回上一级模式
int se0/3/0 //进入串口配置模式
ip nat inside //设置R1连接内网的se0/3/0接口为NAT内部接口
8、用ping命令测试三个校区之间的所有PC能否ping通,结果为:全部能ping通。
- 用ping 202.10.6.2命令测试三个校区的所有PC能否访问广域网,结果为:全部可以访问互联网。
10.在PC0上用telnet 192.168.0.29命令测试能否远程访问交换机S0,结果为:可以成功访问。用同样的方法,测试其它交换机和路由器能够被成功远程访问。
11.在管理机上用ssh --l student123命令测试能否使用SSH远程登录路由器R1,结果为:可以成功登录。
12.在调试过程中,还可以使用下面命令查看设备的相关信息:
Show ip route //查看路由表
show ip nat translations //查看NAT转换信息
show running-config //查看运行配置文件
show startup-config //查看启动配置文件
show ip access-lists //查看配置的ACL信息
show ip protocols //查看当前使用的IP路由协议的具体配置信息
show ip rip database //查看RIP数据库中的路由信息
伍、实验总结
1、ip route 0.0.0.0 0.0.0.0 se0/0/0,ISP出于保密等原因不会与用户交换其内部网络的路由信息,因此,在内网、外网边界路由器上,应该增加一条连通ISP外网路由器的默认路由。
2、NAT过载能够节省IPv4地址资源、增加内网安全性。使用NAT技术可以配置部分内网设备自由访问外网。
3、Telnet虽然能够提供有身份认证口令的访问,但所有用户名、口令都是明文传输的,容易被嗅探和窃取,具有安全隐患;采用SSH访问可以增加发送数据的安全性,因为SSH对传输数据是加密处理的。
4、AAA安全服务不但可以做身份认证和授权,还可以用于统计,是一系列安全服务的集合。通常使用RADIUS、TACACS+或Kerberos服务器保存AAA数据。
5、RIP是距离矢量路由协议,多用于小型网络互联设计中。RIP分两个版本,分别为RIPv1和RIPv2,它们主要的区别在于RIPv2能提供无类路由,因此RIPv2可适用于VLSM可变长子网。
1.根据各校区的计算机台数,确定了以下私有网络地址编址方案:
总校区:IP为192.168.0.1~126,子网掩码为255.255.255.128
东校区:IP为192.168.0.129~190,子网掩码为255.255.255.192
西校区:IP为192.168.0.193~222,子网掩码为255.255.255.224
2.根据网络拓扑图,将相关设备进行连接(PC与交换机、交换与路由器用直通线连接;交换机与交换机、PC与路由器用交叉线连接;路由器与路由器用DCE串口线连接)。
3.给PC0配置IP地址、子网掩码、默认网关如下:
IP地址:192.168.0.2
子网掩码:255.255.255.128
默认网关:192.168.0.1
同理,给其它PC进行相应的配置。
4.进入交换机S0的CLI界面,执行以下命令给其修改设备名称、设置本地和远程访问口令:
en //进入特权模式
conf t //进入全局配置模式
hostname S0 //修改交换机的名称为S0
line console 0 //进入控制台配置模式
password NET@SchooL //设置控制台口令为NET@SchooL
login //设置登录时需要输入口令
exit //返回上一级模式
enable secret a12%SCHool //设置特权模式访问口令为a12%SCHool
line vty 0 4 //进入远程虚拟终端配置模式
password Hello!student //设置远程访问口令为Hello!student
login //设置登录时需要输入口令
exit //返回上一级模式
service password-encryption //对所有未加密的口令进行弱加密
int vlan 1 //进入vlan 1配置模式
ip add 192.168.0.29 255.255.255.128 //设置交换机的IP地址为192.168.0.29
no shut //开启端口
exit //返回上一级模式
ip default-gateway 192.168.0.1 //设置交换机的默认网关
end //直接返回特权模式
copy running-config startup-config //保存配置文件
同理,给其它交换机进行相应的配置。
5.进入路由器R1的CLI界面,执行以下命令给其修改设备名称、设置本地和远程访问口令:
en //进入特权模式
conf t //进入全局配置模式
hostname R1 //修改路由器的名称为R1
line console 0 //进入控制台配置模式
password SCh#!net6 //设置控制台口令为SCh#!net6
login //设置登录时需要输入口令
exit //返回上一级模式
enable secret STu%%ok8 //设置特权模式访问口令为STu%%ok8
clock timezone GMT 8 //设置时区
ip domain-name class.com //设置域名
crypto key generate rsa //生成密钥
1024 //选择不对称密钥的模数为1024
aaa new-model //配置认证授权统计服务(AAA)
username student123 password school#Hi //设置用户名和密码
line vty 0 4 //进入远程登录配置模式
transport input ssh //设置只允许使用SSH登录
login local //使用本地用户数据库进行身份验证
exit //返回上一级模式
service password-encryption //对所有未加密的口令进行弱加密
end //直接返回特权模式
copy running-config startup-config //保存配置文件
同理,给其它路由器进行相应必要的配置。
6.给路由器R1进行接口配置和设置RIP动态路由协议,以及配置默认路由,在全局配置模式下执行以下命令:
int fa0/0 //进入以太网口配置模式
ip add 192.168.100.1 255.255.255.0 //配置以太网口的IP和子网掩码
no shut //打开以太网口
exit //返回上一级模式
int se0/1/0 //进入串口配置模式
ip add 192.168.10.1 255.255.255.0 //配置串口的IP和子网掩码
no shut //打开串口接口
exit //返回上一级模式
int se0/2/0 //进入串口配置模式
ip add 192.168.20.1 255.255.255.0 //配置串口的IP和子网掩码
no shut //打开串口接口
exit //返回上一级模式
int se0/3/0 //进入串口配置模式
ip add 192.168.30.1 255.255.255.0 //配置串口的IP和子网掩码
no shut //打开串口接口
exit //返回上一级模式
int se0/0/0 //进入串口配置模式
ip add 202.10.6.1 255.255.255.0 //配置串口的IP和子网掩码
no shut //打开串口接口
clock rate 9600 //设置时钟频率
exit //返回上一级模式
router rip //配置RIP动态路由协议
version 2 //选择RIPV2协议
passive-interface fa0/0 //设置连接路由器LAN的接口为被动接口
network 192.168.100.0 //向其他路由器通告自己直连的网络是192.168.100.0
network 192.168.10.0 //向其他路由器通告自己直连的网络是192.168.10.0
network 192.168.20.0 //向其他路由器通告自己直连的网络是192.168.20.0
network 192.168.30.0 //向其他路由器通告自己直连的网络是192.168.30.0
no auto-summary //关闭自动汇总功能
exit //返回上一级模式
ip route 0.0.0.0 0.0.0.0 se0/0/0 //设置默认路由
end //直接返回特权模式
copy running-config startup-config //保存配置文件
同理,给其它路由器进行相应的配置。
7.配置NAT过载,进行内网、外网地址转换,在R1全局配置模式下执行以下命令:
access-list 1 permit 192.168.0.0 0.0.0.255
//定义一个标准访问控制列表,允许待转换的私有地址通过R1
ip nat inside source list 1 int se0/0/0 overload
//定义使用"overload"过载方式进行NAT源地址转换,应用到R1的se0/0/0接口
int se0/0/0 //进入串口配置模式
ip nat outside //设置R1连接外网ISP接口se0/0/0为NAT外部接口
exit //返回上一级模式
int se0/1/0 //进入串口配置模式
ip nat inside //设置R1连接内网的se0/1/0接口为NAT内部接口
exit //返回上一级模式
int se0/2/0 //进入串口配置模式
ip nat inside //设置R1连接内网的se0/2/0接口为NAT内部接口
exit //返回上一级模式
int se0/3/0 //进入串口配置模式
ip nat inside //设置R1连接内网的se0/3/0接口为NAT内部接口
8、用ping命令测试三个校区之间的所有PC能否ping通,结果为:全部能ping通。
9. 用ping 202.10.6.2命令测试三个校区的所有PC能否访问广域网,结果为:全部可以访问互联网。
10.在PC0上用telnet 192.168.0.29命令测试能否远程访问交换机S0,结果为:可以成功访问。用同样的方法,测试其它交换机和路由器能够被成功远程访问。
11.在管理机上用ssh --l student123命令测试能否使用SSH远程登录路由器R1,结果为:可以成功登录。
12.在调试过程中,还可以使用下面命令查看设备的相关信息:
Show ip route //查看路由表
show ip nat translations //查看NAT转换信息
show running-config //查看运行配置文件
show startup-config //查看启动配置文件
show ip access-lists //查看配置的ACL信息
show ip protocols //查看当前使用的IP路由协议的具体配置信息
show ip rip database //查看RIP数据库中的路由信息