┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 装 ┊ ┊ ┊ ┊ ┊ 订 ┊ ┊ ┊ ┊ ┊ 线 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊
安徽工业大学 毕业设计(论文)说明书
图5.4 Telnet输出结果
另外还要使用非VLAN1的主机对各设备进行Telnet,下图为VLAN2中的PC对路由器进行Telnet,其输出结果如下,可以看到Telnet均被拒绝了。这是由于其Telnet接口(line vty 0 15)都配置了访问控制,只允许VLAN1的主机对其进行Telnet。
图5.5 Telnet被拒绝
由于受到access-list的限制,只有VLAN1的主机可以多所有网络设备进行telnet管理。
5.2.2路由器进行Telnet测试
由于路由器指定了AAA服务器,Telnet必须先通过AAA服务器的认证,所以其安全性更强,管理也更加方便。在AAA服务器配置了如下一条项目。
ClientName: router ClienIP: 172.16.1.1 Server Type: RADIUS Key: rad123
Username: jeasky Password: jeasky
第27页 共49页
┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 装 ┊ ┊ ┊ ┊ ┊ 订 ┊ ┊ ┊ ┊ ┊ 线 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊
安徽工业大学 毕业设计(论文)说明书
图5.6 AAA服务器配置
下面验证路由器的AAA认证,使用PC(192.168.1.100)对路由器进行Telnet,输出结果如下。
图5.7 Telnet输出结果
由上图得知PC成功对路由器Telnet,并使用了登录用户名和密码,该用户名和密码记录在AAA服务器上,必须与AAA服务器进行认证才成功能授权PC对路由器的管理。
下面测试PC2(192.168.2.10)对路由器进行Telnet,按照配置命令,Telnet应该会被路由器上配置的ACL拒绝。原因是PC的IP地址不属于VLAN1,而只有处于VLAN1地址内的PC对设备有管理权限。 其测试结果如下:
第28页 共49页
┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 装 ┊ ┊ ┊ ┊ ┊ 订 ┊ ┊ ┊ ┊ ┊ 线 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊
安徽工业大学 毕业设计(论文)说明书
图5.8 Telnet被拒绝
可以看到测试结果,Telnet不成功,由于使用了AAA认证,即使有人成功得到用户名或密码,但由于其IP不属于VLAN1即使有用户名密码,也不能入侵路由器,进一步加强了其网络的安全性。
5.2.3测试外网的连通性
用任意一台主机ping外网,如下图
图5.9 Ping输出结果
如上图ping不成功,但返回结果却不同,简单来说 Destination host unreachable 即是去不到,而Request timed out则是回不来,两种结果对网络的Troubleshooting起很大作用,在第一次ping不通后,我在路由器加入了一条命令 ip route 0.0.0.0 0.0.0.0 se0/0/0 指定了路由器所有位置数据包的出口即出口路由,然后进行第二次ping测试,但仍然不能ping通,原因是网络上根本不存在211.211.211.212这个节点,但却可以根据返回结果不同,可以决定包是在去的途径丢失,还是回来的途径丢失,很大程度上降低了网络排错的困难。一般企业网络都有上千个节点,有时候根本不可能发现错误出现在那个节点,因此ping,tracer等命令可以则可以在排错上减少很多不必要的困难。
第29页 共49页
┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 装 ┊ ┊ ┊ ┊ ┊ 订 ┊ ┊ ┊ ┊ ┊ 线 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊
安徽工业大学 毕业设计(论文)说明书 5.3验证NAT
要验证NAT工作情况,首先要在路由器上输入debug ip nat 命令,该命令可以检测实时NAT地址转换的情况,并输出其结果。
下面首先用使用任意一台主机,在主机上输入ping 66.66.66.65 命令,该地址为ISP的IP地址,以检测其连通性,其输出结果如下。
图5.10 Ping ISP输出结果
由上图可以看出Ping成功,接下来检测检查路由器是否进行了NAT地址转换。
图5.11 路由器的debug输出
由上面输出结果可以得出,NAT正在进行地址转换,由于启用了地址复用,所以所有源地址为192.168.0.0/16网段的包,向外访问时都转换成源地址为66.66.66.66的包。这也是使用NAT地址转换的好处。
第30页 共49页
┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 装 ┊ ┊ ┊ ┊ ┊ 订 ┊ ┊ ┊ ┊ ┊ 线 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊
安徽工业大学 毕业设计(论文)说明书 5.4验证DHCP服务
将主机连接接入层交换机G2 ASW3,并且不需要给主机配置IP地址,让主机发送DHCP请求,并获取IP地址。其输出获取信息如下图
图5.12 获取DHCP服务
如上图,主机成功获取IP地址及相关信息,然后检测器连通性,对任意几台PC进行ping测试,其输出结果如下。
图5.13 测试设备连通性
经过多个阶段的测试,各设备的连通性基本没有发现问题,整个检测过程完成。
第31页 共49页