锐捷交换机缺省是关闭spanning-tree的,因此,如果网络在物理上存在环路,则必须手工开启spanning-tree。
交换机快速生成树协议RSTP(b)
【实验名称】快速生成树协议RSTP
【实验目的】理解生成树协议RSTP的配置及原理。 【背景描述】
某学校为了开展计算机教学和网络办公,建立了一个计算机教室和一个校办公区,这两处的计算机网络通过两台交换机互连组成内部校园网,为了提高网络的可靠性,网络管理员用两条链路将交换机互连,现要在交换机上做适当配置,使网络避免环路。
本实验以2台S2126G交换机为例,2台交换机分别命名为SwitchA,SwitchB. PC1与PC2在同一网段,假设IP地址分别为192.168.0.137,192.168.0.136,网络掩码为255.255.255.0 【实现功能】使网络在有冗余链路的情况下避免路的产生,避免广播风暴等。 【实验拓扑】
【实验设备】S2126G(2台)。 【实验步骤】
步骤1在每台交换机上开启生成树协议。例如对SwitchA做如下配置: SwitchA#configure terminal !进入全局配置模式 SwitchA(config)#spanning-tree 开启生成树协议
SwitchA(config)#end
验证测试:验证生成协议已经开启
SwitchA#show spanning-tree !显示交换机生成树的状态
SwitchA#show spanning-tree interface fastthernet 0/1 ! 显示交换机接口fastthernet 0/1 状态 SwitchA#show spanning-tree interface fastthernet 0/2 ! 显示交换机接口fastthernet 0/2 状态 步骤2设置生成树模式
SwitchA(config)#spanning—tree rstp ! 设置生成树模式为802。1w 验证测试:验证生成树协模式为802.1W
switchA#show spanning-tree 步骤3设置交换机的优先级。
SwitchA(config)#spanning-tree priority 8192! 设置SwithA的优先级味8192 验证测试:验证SwitchA的优先级 switchA#show spanning-tree 步骤4综合验证测试。
11
A. 验证SwitchB的端口1和2的状态。
SwichB# show spanning-tree interface fastEtherner 0/1 ! 显示switchB 的端口 fastthernet 0/1的状态,记录结果:
SwitchB# show spanning-tree interface fastEtherner 0/2 ! 显示switchB 的端口 fastthernet 0/2的状态,记录结果:
B.如果SwitchA与SwitchB的端口F0/1之间的链路down掉,验证交换机SwitchB的端口2的状态,并观察状态转换时间。记录结果:
SwitchB# show spanning-tree interface fastEtherner 0/2 ! 显示switchB 的端口 fastthernet 0/2的状态,记录结果:
C.如果switchA与swichB之间的一条链路down掉(如拔掉网线),验证交换机PC1与PC2仍能互相ping通,并观察ping 的丢包情况。记录结果:
C:\\>ping 192.168.0.136-t !从主机PC1pingPC2(用连续ping),然后拔掉switchA与switchB的端口F0/1之间的连线,观察丢包情况。记录结果: 【注意事项】
锐捷交换机缺省是关闭spanning-tree的,因此,如果网络在物理上存在环路 ,则必须手工开启spanning-tree.
实验6 路由器PPP
【实验名称】:路由器PPP 【实验目的】:掌握DDN专线和CHAP验证的PPP配置方法, 配置同步串口的PPP 协议 【背景描述】:
你是公司的网络管理员,公司为了满足不断增长的业务需求,申请了专线接入,你的客户端路由器与ISP进行链路协商是要验证身份,配置路由器保证链路建立并考虑其安全性。 【实现功能】
在链路协商时保证安全验证。链路协商时用户名,密码以明文的方式传输。 【实验拓扑】
【实验设备】R2634(2台) 【实验步骤】
步骤1:基本配置。
Red – Giant(config)#hostname Ra !配置路由器主机名 Ra(config)#
Red – Giant(config)#hostname Rb ! 配置路由器主机名 Rb(config)#
Ra(config)# interface serial 1
Ra(config – if)# ip address 1.1.1.1 255.255.255.0 !配置接口地址
12
Ra(config – if)# no shutdown !启用该接口
=========================================== Rb(config)# interface serial 1
Rb(config – if)# ip address 1.1.1.2 255.255.255.0 !配置接口地址 Rb(config – if)# clock rate 64000 !在DCE端口配置时钟 Rb(config – if)# no shutdown 验证测试:(以Ra为例) Ra# sh int s1
步骤2配置PPP CHAP认证。
Rb(config)#username Ra password 0 star !在验证方配置被验证用户名密码和对方路由器一致 Ra(config – if)# encapsulation PPP !接口下封装PPP
Rb(config – if)# ppp authentication chap !ppp启用CHAP方式验证
Ra(config)# username Ra password 0 star !PAP认证的用户、密码和对方的路由器一致 Rb(config – if)# encapsulation ppp !接口下封装PPP
验证测试:
Ra# debug ppp authentication !观察CHAP验证过程,并记录结果 Rb# debug ppp authentication 【注意事项】
在DCE端要配置时钟;
Ra(config)# username Ra password 0 star !username后面的参数是对方的主机名; Rb(config)# username Rb password 0 star !username后面的参数是对方的主机名;
在接口下封装ppp;
debug ppp authentication 在路由器物理层up,链路尚未建立的情况下找开才有信息输出,本实验的实质是链路层协商建立的安全性,该信息出现在链路协商的过程中。
实验7路由器编号的标准访问列表
【实验名称】:(a)编号的标准IP访问列表 【实验目的】:掌握编号的标准IP访问列表规则及配置
【背景描述】:
你是公司的网络管理员,公司的经理部,财务部和销售部门分属不同的三个网段,三部门之间用路由器进行信息传递,为了安全起见,公司的领导要求销售部门不能对财务部门进行访问,但经理部可以对财务部门进行访问。 实现功能:实现网段间互相访问的安全控制 【实验拓扑】
13
【实验设备】:
R2624或R2620路由器(一台) 【实验步骤】
步骤1基本配置。 Red – Giant> Red – Giant> enable
Red – Giant# configure terminal Red – Giant(config)# hostname R1 R1(config)# interface fastEthernet 0
R1(config – if)# ip add 192.168.1.1 255.255.255.0 R1(config – if)# no sh
R1(config – if)# interface fastEthernet 1
R1(config – if)# ip add 192.168.2.1 255.255.255.0 R1(config – if)# no sh
R1(config – if)# interface fastEthernet 3
R1(config – if)# ip add 192.168.3.1 255.255.255.0 R1(config – if)# no sh R1(config – if)# end
测试命令:show ip interface brief !观察接口状态
R1# sh ip int brief
步骤2配置标准IP访问控制列表。
R1(config)# access – list 1 deny 192.168.1.0 0.0.0.255 !拒绝来自192.168.1.0网段的流量通过。
R1(config)# access – list 1 permit 192.168.3.0 0.0.0.255 !允许来自192.168.3.0网段的流量通过。 验证测试: show access – lists 1
R1# sh access – lists 1
步骤3把访问控制列表在接口下应用。 R1(config)# inetface fastEthernet 1
14
R1(config – if)# ip access – group 1 out !在接口下访问控制列表出栈流量调用 验证测试:
show ip access – lists 1
ping(192.168.1.0网段的主机不能ping通192.168.2.0网段的主机;192.168.3.0网段的主机能ping通192.168.2.0网段的主机)。
【注意事项】注意在访问控制列表的网络掩码是反掩码;标准控制列表要应用研究在尽量靠近目的地址的接口;注意标准控制列表的编号是从1 – 99。
【实验名称】编号的扩展IP访问列表
【实验目的】掌握编号的扩展IP访问列表规则及配置。 【背景描述】
你是学校的网络管理员,学校规定每年新入学的学生时所在的网段不能通过学校的FTP服务器上网,学校规定新生所在网段是172.16.10.0/24,学校服务器所在网段是172.16.20.0/24。 【实现功能】实现对网络服务访问的安全控制。 【实验拓扑】自拟
【实验设备】R2624或R2620路由器(1台)。 【实验步骤】
步骤1基本配置。
Red – Giant# configure terminal
Red – Giant(config)# interface fastEthernet 0
Red – Giant(config – if)# ip add 172.16.10.1 255.255.255.0 Red – Giant(config – if)# no sh Red – Giant(config – if)# exit
Red – Giant(config)# interface fastEthernet 1
Red – Giant(config – if)# ip add 127.16.20.1 255.255.255.0 Red – Giant(config – if)# no sh Red – Giant(config – if)# end 验证测试
Red – Giant# sh ip interface brief !观察接口状态 步骤2配置扩展IP访问控制列表。
Red – Giant(config)# access – list 101 deny tcp 172 . 16 . 10 . 0 0 . 0 . 0 . 255 172.16.20.0 0.0.0.255 eq ftp
!禁止规定网段对服务器进行www访问 Ged – Giant#show access – lists 101
步骤3把访问控制列表在接口下应用。
Red – Giant(config)# interface fastEthernet 0
Red – Giant(config – if)# ip access – group 101 in !访问控制列表在接口下in 方向应用 Red – Giant(config – if)# end 验证测试
show ip interface f 0
【注意事项】访问控制列表要在接口下应用。要注意deny某个网段后要peimit其他网段。
15