交换机与路由器配置实验教程 张世勇第3版 教案 第7、8章 安全配置实验、 交换机与路由器综合实验.docx

《交换机与路由器配置实验教程 张世勇第3版 教案 第7、8章 安全配置实验、 交换机与路由器综合实验.docx》由会员分享，可在线阅读，更多相关《交换机与路由器配置实验教程 张世勇第3版 教案 第7、8章 安全配置实验、 交换机与路由器综合实验.docx（21页珍藏版）》请在三一办公上搜索。

1、第七章安全配置实验随着网络技术的发展，现在面临的安全问题越来越严峻。网络必须保证其开放性和连接性才能成长并称之为网络，但现在必须高度重视网络的安全性，只有更安全的网络才能保证网络为人民服务，才能推动网络的发展，最终推动社会的发展和人类的进步，针对网络的安全问题，我们从网络设备的安全配置方面，介绍一些安全技术的实验。实验一交换机端口安全交换机（包括路由器）的端口安全，就是对交换机的端口（接口）进行配置，主要包括限制端口的状态，允许或拒绝符合条件的访问，从而实现网络安全0一、实验概述大多数交换机都有端口安全配置，也就是对端口进行相应的设置，实现对网络设备的安全控制。端口的安全配置主要有以下三项：1

2、、端口工作方式所谓端口工作方式，主要是在网络设备发展的时间渐进过程中形成的，一般分为单工、半双工、全双工，自动等工作模式。早期的端口，工作能力不行，只能发送，不能接收，称为单工。发送数据的时候不能同时接收，接收时不能发送称为半双工。现在的交换机一般都可以工作在全双工工作模式下，在两台设备之间同时可以接收和发送数据，使得工作能力增强。交换机端口工作方式的设置命令为：DUPleXauto/full/half其中auto,表示端口的工作模式为自动协商模式，即交换机端口根据所连设备的速率来自动确定其工作速率。full,表示强制进入全双工模式。half,表示强制进入半双工模式。端口工作方式这个命令，在d

3、ynamips仿真软件上使用3640的iso做仿真是可以使用的。但以下两个功能（端口最大连接数和MAC（或IP）地址绑定）不能在仿真软件上实现,因为3640是CiSCo的一款路由器产品，在进行仿真时，一般是增加路由器网络模块：NM-4E4端口IobT以太网网络模块，实现路由器功能。增加交换机模块NM-16ESW16端口10/100快速以太网交换机网络模块，实现交换机功能。但这个交换机模块不支持以下两种端口命令。不过这两种功能比较简单，我们在此还是讲一下：2、端口最大连接数限制交换机端口的最大连接数，就是控制交换机某端口所能连接的计算机数量。因为端口可以级联下一级交换机（或集线器），下一级交换机

4、又可以连接多台电脑。所以端口的最大连接数也可以很多。不同品牌或型号的交换机，默认允许的端口最大连接数不同，一般为100以上。假如人为设定交换机端口最大连接数为1,那么连接到该端口的设备只能是一个设备，如果一个设备建立了连接，其余设备将不能建立连接。命令：SiritPOrt-SeCUritymaximumValUCvalue是最大连接数量。3、MAC(或IP)地址绑定为了增强交换机的端口安全，可以针对交换机进行端口地址的绑定，将接入设备的MAC地址或IP地址绑定到某端口，也可以MAC地址+IP地址双重绑定。绑定以后，不符合要求的设备将不能建立连接。命令：SIdtPOrt-SeCUritymac-

5、addressmacadd或：SWitPOrt-SeCuritYip-addressipadd其中macadd和ipadd,指的是具体的MAC地址和IP地址。实验二标准IP访问控制列表访问控制列表AC1.(AccessControl1.ist),是一种安全技术，配置在路由器、三层交换机或防火墙上。简单说就是包过滤。通过设置可以允许(permit)或拒绝(deny)进入(in)或离开(OUt)路由器的数据包，对网络起到安全保护作用。AC1.包含了一组安全控制和检查的命令，根据设定，指定哪些数据可以通过，哪些数据被拒绝，网管人员通过设置对网络中的数据包过滤，实现访问控制。一般是根据IP地址进行AC

6、1.eAC1.分为标准IP访问控制列表和扩展访问控制列表，标准访问控制列表比较简单，只对数据包的源地址进行检查，其编号取值范围为199或1300-1999o命令格式，全局配置模式下：1ACCeSSTiStnumberpermitdenySOUrCO-addSOUrC。-WiIdCard其中三Ev就是访问控制列表的号，其编号取值范围为199或1300-1999Permit就是允许数据包通过，deny就是拒绝通过SOMCeFdd就是允许或拒绝的源地址，source-widcad就是通配符掩码。比如：acceTist10Permit10.0.0.00.0.0.255表示允许来自100.0.0/24网

7、段的访问另外还可以用主机的IP地址来进行精确控制，其通配符为0.0.0.0：如：acce-list10Permit10.0.0.20.0.0.0表示允许10.0.0.2这个IP地址访问或：acce-list10Permithost10.0.0.2,也可以表达同一个意思。允许所有报文通过则用参数any：acce-list10Permitany。我们再来看一个例子：Router(config)Vacce-Iist10deny10.0.0.20.0.0.0ROUtCr(Config)cceTist10Permitany这两个命令的组合就是表示除了来自10.0.0.2的访问，其他的都允许。注意：Ae1

8、.对每个数据包都以自上向下的顺序进行匹配，如果数据包满足第一个条件，就按规定执行，不满足就检测下一条，以此类推。一旦满足了匹配条件，相应操作就会执行,对数据包的检测也到此为止。因此过滤规则的顺序必须考虑，如上例中，一旦顺序颠倒，则允许所有报文通过，不能拒绝10.0.0.2了。2、定义访问控制列表作用于接口上的方向接口模式下，某一接口：IPaccess-goupnumberinout!在某一接口上应用标识为number的访问控制列表，inout,表示在入站端口调用还是在出站端口调用。所谓入站端口还是出站端口，是指以路由器为参考点，数据包是进入(in)还是离开(out)这个路由器本实验拓扑图如图7

9、-9：图7-9标准AC1.实验拓扑图图中假设PCl为教师用机，PC2为学生用机，PC3代表互联网，出于安全考虑，要求教师机可以访问互联网，学生机则无法访问,拓扑编址：两个SW：没有Vlan,没有IP地址，不用设置PClIP：192.168.0.2/24,网关为Rl上E0/1的IPPC2IP：192.168.1.2/24,网关为Rl上E0/2的IPPC3IP：100.0.0.2/24,网关为Rl上E0/0的IPRI：E0/1IP：192.168.0.1/24E0/2IP：192.168.1.1/24E0/0IP：100.0.0.1/24用用howOCe-IiSt10”命令查看标准访问控制列表的配

10、置情况如下：RI-Shaccess-list10StandardIPaccesslist1010deny192.168.1.0,wildcardbits0.0.0.255(30matches)20permit192.168.0.0,wildcardbits0.0.0.255(10matches)在路由器上运行“showrun”，则可以查看到端口情况，如图7T0：interfaceEthemet0/0ipaddress100.0.0.1255.255.255.0ipaccess-goup10outhalf-duplex*interfaceEthernet0lipaddress192.168.0.

11、1255.255.255.0haIf-duplex?interfaceEthernet02ipaddress192.168.1.1255.255.255.0half-duplextinterfaceEthernet03noipaddressshutdownhaIf-duplex*iphttpserueraccess-list10deny192.168.1.00.0.0.255access-list10permit192.168.0.00.0.0.255图7T0查看AC1.配置信息在实际工作中，标准访问控制列表还可以和NAT,PAT等功能配合使用，提供更好的网络服务。删除访问控制列表命令是：no

12、accessTistnumber,疝?，就是那个访问控制列表号。实验三扩展IP访问控制列表标准访问控制列表只能对源地址进行检查，功能比较单一，远远不能满足网络的需要。扩展访问控制列表功能齐全，大大扩展了访问控制列表的应用范围。扩展访问控制列表除了可以对数据包的源地址进行过滤操作，还可以对数据包的源IP,目的IP,端口，协议等来定义访问控制规则。扩展IP访问控制列表的功能比较强大，可以根据协议或服务进行配置，如果要想对网络访问实现精确控制，就必须使用扩展访问控制列表。标准访问控制列表的编号取值范围为199或1300-1999O扩展访问控制列表的编号取值范围是100199或20002699。命令格

13、式如下，全局配置模式下：ACCeSS-IiStnumberdenypermitPIPtoColISoUrCe-addSoUrCe-WildCardOperatorJJOrWIdes-addd。S-WiIdCardOPeratOrpOri其中：number是访问控制列表编号，deny表示拒绝，pe11nit表示允许。PrOtoCol表示协议,可以是IP、TCP、UDP、IGMP等协议。source-addsource-wiIdcardfdes-adddes-rJdCard表示源地址和目标地址以及它们的通配符掩码。卬eraSr表示操作符可以是Cq（等于）、neq（不等于）、或range（范围）po

14、r表示应用层端口号，比如WwW为80,ftp为20、21,telnet为23另外还可以用主机的IP地址来进行精确控制，其通配符为0.0.0.O010.0.0.20.0.0.0和host10.0.0.2意思一样都是表示IP地址为10.0.0.2的主机。也可以用any表示所有主机。例如：acceTist110Permittcpany10.0.0.10.0.0.0eqWWW表示允许任何主机的tcp报文到主机10.0.0.1的WwW服务如：acce-list110denytcp100.0.0.00.0.0.25510.0.0.00.0.0.255eq20acceTist110denytcp100.0.

15、0.00.0.0.25510.0.0.00.0.0.255eq21两条命令同时使用，表示拒绝100.0.0.0网段的主机访问10.0.0.0网段的任何ftp服务，由于ftp使用两个端口，20和21,最好同时关闭两个端口。扩展IP访问控制列表一般放在各类应用服务器的前端，对服务器上的各种应用起到安全保护作用。如图7T2图7-12扩展AC1.实验拓扑图图中表示一个学校网络状况，一台三层交换机连接各个主机，其中Vlan10内都是教师用机，Vlan30内都是学生用机，Vlan20内放置学校服务器，现在要求学生机只能访问WWw服务，而不能访问FTP服务。教师机无限制。拓扑编址：SW1：Vlan10IP:

16、10.0.0.1/24Vlan20IP:20.0.0.1/24Vlan30IP:30.0.0.1/24PClIP：PC2IP：PC3IP：PC4IP：PC5IP：10.0.0.2/24,10.0.0.3/24,20.0.0.2/24,20.0.0.3/24,30.0.0.2/24,网关为VIan网关为VIan网关为Vlan网关为VIan10的IP10的IP20的IP20的IP网关为Vlan30的IPPC6IP：30.0.0.3/24,网关为Vlan30的IP这个实验中，我们规定把WWW服务器和FTP服务器放在同一个主机PC3上，如果服务器分别放置在两个主机上，用标准访问控制列表也可以做了，失去

17、了实验的意义。删除扩展访问控制列表命令和删除标准访问控制列表一样也是：noaccess-listnumber,number就是那个访问控制列表号。使用“shaccess-list”命令，可以查看扩展访问控制列表的配置情况，如图774：SWlttshoaccess-listExtendedIPaccesslist11010denytcp30.0.0.00.0.0.255host20.0.0.2eqftp-data20denytcp30.0.0.00.0.0.255host20.0.0.2eqftp30permitipanyanySWltt.图7T4查看扩展AC1.配置但是需要注意，在虚拟机PC5

18、上用Ping命令访问PC3仍然是可以Ping通的，因为这个访问控制列表并不能拒绝连通，反而因为需要访问WW服务必须要连通，因此在用Dynamips仿真机做这个实验时配合用虚拟电脑就不能真实的反应扩展访问控制列表的应用了。实验四配置命名访问控制列表所谓命名访问控制列表其实是对访问控制列表的命名使用。相对于标准AC1.或扩展AC1.都没有本质差别。原本不管是标准访问控制列表还是扩展访问控制列表都是用编号来加以区分。编号就是命令格式中的那个number。标准访问控制列表的编号取值范围为199或1300-1999o扩展访问控制列表的编号取值范围是100199或20002699。命名AC1.不使用编号而

19、使用字符串来对访问控制列表进行命名，命名后，路由器进入“访问控制列表”模式，在此模式下可以对访问控制列表进行设置，在网络管理过程中可以随时根据网络变化修改某一条规则，调整用户访问权限。命名AC1.也分标准和扩展两类。一、标准命名AC1.语法格式如下：(I)IPaccess-listStandardname!定义标准命名AC1.,Standard是标准的意思，name是AC1.的名称，不用number号码了(2) DenySoUrCe-addSoUrCe-WiIdCard或者PermitSolnco-addSOlJrCO-WiIdCard!定义允许或拒绝的源地址和通配符掩码(3) IPacces

20、s-groupnameinlout!接口模式下，定义访问控制列表作用于接口上的方向(4) ShoWaCCeSSTiStname!显示配置的AC1.,不加表示显示全部AC1.内容。二、扩展命名AC1.语法格式如下：(1) ipaccess-listextendednan】。!CXtendCd表示扩展的(2) denyPermitProtocolSOUrCe-addSOUrCC-IdCardOPeratorportdes-adddes-wildcardOPeratorPQrdeny表示拒绝，permit表示允许。夕roQco表示协议，可以是IP、TCP、UDP、IGMP等协议。source-add

21、source-wiIdcard和des-adddcs-wi/dcd表示源地址和目标地址以及它们的通配符掩码。operator表示操作符可以是Cq(等于)、neq(不等于)、或range(范围)port表示应用层端口号，比如WWW为80,ftp为20、21,telnet为23参数和扩展IP访问控制列表的意义相同。(3) IPaccess-groupnameinlout!接口模式下，定义访问控制列表作用于接口上的方向(4) ShOWaCCeSSTiStnamo!显示配置的AC1.,不加name表示显示全部AC1.内容。(5) noaccess-listname!删除访问控制列表采用命名AC1.会进

22、入一个新的命令行模式，我们称之为命名AC1.模式:1、标准命名AC1.!deny-host为名字!表示进入标准命名AC1.!permit-host为名字SWI(COnfig)#ipaccess-listStandarddeny-hostSWl(COnfig-Std-nacl)#2、扩展命名Ae1.SW2(config)#ipaccessTistextendedPermit-hostSW2(config-CXt-nacl)#!表示进入扩展命名AC1.因为命名AC1.的命令方式和前面实验二、三非常相似，我们仅用标准命名AC1.做一个实验，扩展命名AC1.请同学们自己设计。另外，我们也会在本章下一个

23、实验，实验五中用到扩展命名AC1.o拓扑图，如图7-15：图7-15标准命名AC1.实验拓扑图PCl为学校办公网，连接到一台三层交换机SWl的F0/1端口。PC2为学生用机，放在Vlan10内。需要在三层交换机上做标准命名AC1.,禁止学生机访问学校办公网拓扑编址：SW1：Vlan10IP:192.168.0.1/24FO/1IP：172.18.0.1/24PClIP：172.18.0.2/24,网关为SWl上FO/1的IPPC2IP：192.168.0.2/24,网关为Vlan10的IP在SWl上需要把FO/1升级为三层接口才能配置IP地址。在SWl和SW2上都要创建Vlan,SWl和SW2

24、之间的链路应为Trunk链路。实验五基于时间的IP访问控制列表基于时间的IP访问控制列表也是为了实现对网络的访问控制。其实基于时间控制网络有很多种方法，可以通过软件或操作系统来控制。但是在路由器上进行应该比较方便，而且安全性高。基于时间的IP访问控制列表是在访问控制中加入时间范围来更合理的控制网络访问。通过基于时间的访问控制列表,可以根据一天中的不同时间,或根据一个星期中的不同日期,或两者的结合，控制对数据包的转发，从而实现对网络访问的控制。命令格式：1、首先必须校正时间，先用ShoWCloCk命令查看当前时钟,再用CIOCkSet设定。例如：RI#ShCIOCk*01:59:43.711UT

25、CFriMar12002!现在路由器时间是2002年3月1日,其中星期五是自动层成的，不可随意调整。RI#ClOCkSet12:00:001jul2010!设定时间为2010年，7月1日，8点整。设定好后查看：RI#ShCloCk12:01:38.435UTCThuJul12010!星期四是自动生成的各种月份对应关系：月份英文简写英文全称一月Jan.January二月Feb.February三月Mar.March四月Apr.April五月May.May六月Jun.June七月Jul.July八月Aug.Auguest九月Sep.September十月Oct.October十一月Nov.Nove

26、mber十二月Dec.December2、定义时间范围命令格式为：RI(COnfig)#tiMe-rangetimo-rang。-name!进入时间控制模式Rl(Config-timc-rangc)WabsoluteStartbegin-timeendCnd-timeRl(config-time-range)Speriodictimeweek其中：timc-range-namc表示定义时间范围的名称，以便在后面AC1.时调用absolute可以用来定义时间范围，start后面begin-time表示开始时间，end后面end-time表示结束时间PeriOdiC后面定义一个时间范围：timew

27、ceko它后面的参数有：monday星期一tuesday星期二Wednesday星期三thursday星期四friday星期五Saturday星期六sunday星期日daily每天weekdays周一至周五weekend星期六和星期日下面通过几个例子加以说明（重要）：absoluteStart08:00end18:00!表示每天从早8点到下午6点absoluteStart08:002jan2009end23:5931dec2010!表示从2009年1月2日上午8点到2010年12月31日23点59分PeriodiCWeekday06:00to20:00!表示工作日的早6点至晚8点Periodi

28、CMonday07:00toSatUrday19:00!表示从周一至周六的早7点至晚7点在输入命令时，可以用“？”命令和“Tab”键补全命令获得帮助(重要)。例如：Rl(Config-timc-range)#absoluteStart?hh:mmStartingtimeRI(Config-tim。-range)*absoluteStart00:00?DayofthemonthRI(COnfig-time-range)bsohrteStart00:0001?MONTHMonthoftheyeareg:JanforJanuary,JunforJuneRI(Config-timc-rangc)bso

29、hrteStart00:0001jan?YearRI(Config-time-range)在absoluteStart00:00Oljan2010Rl(COnfig-tim。-range)#absoluteStart00:0001jan2010end23:59?Dayofthemonth3、定义Ae1.AC1.的使用方式和前面讲的没有什差别，主要是在命令最后要增加按时间要求的命令：time-rangetimc-rangc-namc就是前面定义过的时间范围。例如：RI(Config)#ipaccess-listextendeddeny-host!定义扩展命名访问控制列表名称为deny-hostR

30、I(COnfig-cxt-nacDtfpermittcp10.1.1.00.0.0.255192.168.0.00.0.0.255tim。-rang。host!前面定义过一个名称为host的时间范围。4、将访问控制列表应用到端口和前面介绍的AC1.一样，不再重复。基于时间的AC1.一般放在各类服务器的前端，为各类服务器起到安全保护作用，如图7-17：PClPC3图7-17基于时间AC1.实验拓扑图图7T7中PCI代表WWW服务器，PC2代表FTP服务器，PC3为普通PC,和PCI、PC2同网段，PC4代表学生用机.现要求PC4在2010年1月1日0点到2010年12月31日晚24点这一年中，只

31、能在周一至周五的上午8点至晚8点允许访问WwW服务器PCl,只能在周一至周六上午9点至晚7点访问FTP服务器。拓扑编址：SW1：没有Vlan,没有IP地址，不用设置PClIP：192,168.0.2/24,网关为Rl上E0/0的IPPC2IP：192.168.0.3/24,网关为Rl上E0/0的IPPC3IP：192.168.0.4/24,网关为Rl上E0/0的IPPC4IP：10.1.1.2/24,网关为Rl上E0/1的IPRI：E0/0IP：192.168.0.1/24E0/1IP：10.1.1.1/24本章命令总结如表7-1：命令作用Duplexauto/full/half配置交换机端口

32、工作属性Switport-security打开交换机的端口安全功能Switport-securitymaximumvalue设置交换机接口最大连接数Switport-securitymac-addressmacadd端口mac地址绑定switport-securityip-addressipadd端口IP地址绑定ShowDIaC-address-tabIe显示mac地址表Showaccess-list查看IP访问控制列表Access-list定义访问控制列表Ipaccess-group在接口上应用AC1.Noaccess-list删除AC1.Ipaccess-liststandard定义标准命

33、名AC1.Deny/permit定义拒绝或允许的源地址和通配符掩码Ipaccess-listextended定义扩展命名AC1.Clockset设置路由器时间Showclock查看路由器时间Time-range进入时间控制模式absolutestartbegin-timeendend-time定义时间列表periodictimeweek定义时间列表表7-1本章命令汇总实训项目二一标准IP访问控制列表创建图7-9实验环境，完成第七章实验二。理解访问控制列表的概念，学会配置标准IP访问控制列表。实训项目二二扩展IP访问控制列表创建图7-12实验环境，完成第七章实验三。在学会标准TP访问控制列表的基

34、础上，掌握扩展IP访问控制列表。*实训项目二三（选做）命名访问控制列表创建图7-15实验环境，完成第七章实验四。学会命名AC1.,更好的理解和掌握AC1.的概念的配置步骤。*实训项目二四（选做）基于时间的IP访问控制列表创建图7-17实验环境，完成第七章实验五。更高级的内容，对于更好的管理网络，和实现网络安全都有重要意义。第八章路由器交换机综合实验这一章，我们将会以综合实验的形式对以前学过的内容进行复习和扩展。这章的实验都会从真实施工部署的实验出发，来给大家做讲解。当你拿到一个工程，首先是规划，而后是在虚拟机上做实验，测试拓扑规划的可实施性。具体规划步骤一般是：1、连接到设备，更改设备名称。这

35、样方便与我们规划，标记。2、划分V1.AN并把端口加入Y1.AN3、配置端口IP和V1.AN的IP4、配置路由：静态路由或动态路由。5、配置生成树、链路聚合、协议封装、VRRP,防火墙、端口安全等。6、全面测试。配置思路大致上以从二层到三层，从简单到复杂的过渡配置。先从简单入手，每做一步测试一步避免后期发现问题不容易排除。一、涉及到的网络设备：1、路由器(R。Ute),路由器基于三层，主要功能是路由寻址，另外还可以隔离广播域。2、二层交换机(Switch),二层交换机基于二层，主要功能是连接局域网，还可以隔离冲突域3、三层交换机(Switch),三层交换机基于二层和三层，它是实现了部分路由器功

36、能的交换机，相当于路由器+二层交换机。二、涉及到的知识点：1、静态路由2、动态路由3、VIan划分4、VIan间路由5、链路聚合6、NAT动态静态地址转换7、访问控制列表实验开始前的准备工作很重要，首先在练习本上自己用手工绘画出各个设备的拓扑连接图，并标明各个接口和PC,然后在旁边配上各个设备的IP地址，以便实验时对照检查。如果有时间，也可以把各个设备上的关键步骤用笔写在练习本上，可以理清自己的思路。综合实验一一、实验概述下面我们来看一个例子，如图8-1：S1700图8T综合实验一拓扑图二、实验需求某公司采用两台三层交换机和一台路由器作为核心，使用VIan划分公司部门，一台路由器负责PAT。其

37、中PCI和PC3属于Vlanl0,PC2和PC4属于VIan20。1、在S3640A和S3640B上仓IJ建Vlan,将PCl和PC3力口入VlanlO,将PC2和PC4力口入Vlan20,并配置两台交换机之间的TrUnk链路。2、在S3640A和S3640B上为Vlan配置IP地址。3、在交换机S3640B上实现VlanlO和Vlan20的通信。4、在S3640B的F0/3上升级三层接口，并配置IP和静态路由。在R1700上配置静态路由，实现内网互通。5、在S1700上配置PAT,使内网能够访问Internet。6、在S1700上配置AC1.,使IntCrnet不能访问内网，但可以访问WCb

38、SCrVer三、拓扑编址PCI：172.18.10.1/24,网关是VlanlO的IP地址：172.18.10.100/24PC3：172.18.10.2/24,网关是VlanlO的IP地址：172.18.10.100/24PC2：172.18.20.1/24,网关是Vlan20的IP地址：172.18.20.100/24PC4：172.18.20.2/24,网关是Vlan20的IP地址：172.18.20.100/24V1.AN10：172.18.10.100/24V1.AN20：172.18.20.100/24WebServer：172.2.2.2/24,网关是S1700上E0/0的IP地

39、址：172.2.2.1/24Internet：202.1.1.2/24,网关是S1700上EO/1的IP地址：202.1.1.1/24S1700E0/0：172.2.2.1/24S1700EO/1：202.1.1.1/24,这个IP地址就是PAT时申请到的公网IPS3640BF0/3：172.1.1.1/24S1700E0/3：172.1.1.2/24综合实验二S3640AF02F021、2、3、4、5、该实验是很典型的中小型企业网搭建实例。两台S3640核心交换机相连，每台交换机分别对应一台二层交换机，向下划分成若干个组。路由器S1700连接S3640A,配置PA1.二、实验需求在S2100

40、A与S2100B上划分V1.AN,并把PC加入到相应的V1.AN中。在S3640A与S3640B上划分V1.AN,并设置Vlan的IP,实现Vlan间路由。在S3640A与S3640B上使用链路聚合以提高网络传输效率和冗余性。使用RIP动态路由使得全网互通。在S1700上使用PAT技术，使Administrator可以通过转换访问IntCrnct。三、拓扑编址Internet：202.102.224.1/24,网关是S1700的E0/1：202.102.224.2/24WorkGroupPCI：172.18.1.1/24,网关是VlanlO的IP：172.18.1.100/24WorkGrou

41、pPC2：172.18.1.2/24,网关是VlanlO的IP：172.18.1.100/24AdministratorPC：172.18.2.1/24,网关是Vlan20的IP：172.18.2.100/24S1700E01：202.102.224.2/24S1700EO/3：172.18.3.1/24S3640AFO/3：172.18.3.2/24VlanlO(WorkGroup)：172.18.1.100/24Vlan20(Administrator)：172.18.2.100/24综合实验三一、实验概述下图是模拟某学校网络拓扑结构。在该学校网络接入层采用二层交换机SW2,接入层交换机划

42、分了办公网Vlan20和学生网VIan30,Vlan20和VIan30通过汇聚层交换机（三层交换机）SWl与路由器Rl相连，另SWl上有一个Vlan40,存放一台网管机PC2。路由器RI与R2通过路由协议获取路由信息后，办公网（Vlan20）可以访问R2路由器后的WEBSerVer（PCl）0为了防止学生网（Vlan30）内的主机访问重要的WEB服务，R2路由器采用了访问控制列表的技术作为控制手段。图8-3综合实验三拓扑图二、实验需求1、配置全网四台设备，使四台设备均能远程管理（交换机要配置Vlan1）,为了安全起见，特权密码不能明文显示（四台设备都要密文密码）。2、SWl与SW2两台设备创建

43、相应的Vlan,SW2的Vlan20包含3-5及10端口，Vlan30包含6-9及15端口。SWl的VIan40的接口为F04,Vlan10的接口为FO/3。3、SWl与SW2两台设备F0/1与FO/2接口作为TrUnk端口，建立TrUnk链路。4、SWl与SW2两台设备运行802.3ad（聚合端口）。5、在SWl上做相应配置，使得V1.AN间可以互相访问，所有地址配置正确。6、运用OSPF路由协议配置全网路由。7、在路由器R2作配置，禁止学生网对WEB服务进行访问。三、拓扑编址RI：E0/0192.168.1.1/30E0/110.1.1.1/24R2：E0/0192.168.1.2/30E

44、0/1172.16.1.1/24SW1：Vlan1010.1.1.2/24Vlan20192.168.20.1/24Vlan30192.168.30.1/24Vlan40192.168.40.1/24Webserver(PCl)172.16.1.18/24,网关是R2上的E0/1PC2192.168.40.2/24,网关是Vlan40的IP地址PC3192.168.20.2/24,网关是Vlan20的IP地址PC4192.168.30.2/24,网关是Vlan30的IP地址SWl的VIan11.1.1.1/24SW2的Vlan11.1.1.2/24综合实验四一、实验概述1、下图为某企业网络的拓

45、扑图，汇聚和核心层使用了一台三层交换机Sw3。SW3使用具有三层特性的物理端口与Rl相连。2、网络边缘采用一台路由器R1.用于连接到外部网络，Rl与Internet(PC4)相连,SW3同时和一台内部服务器PC3相连。3、采用VIan划分各个部门，以实现方便管理。4、提高网的吞吐量及冗余性，Swl与SW3之间使用两条链路相连。1、在SWl和SW2上划分VIan10和VIan20。2、把PCl加入VIan10,PC2加入Vlan20。3、在SWl与SW3上使用链路聚合。4、在SW3上开启三层路由功能，对VIan、端口配置IP地址，使全网互通。5、在Rl上配置配置PAT,使VlanlO能够通过转换访问PC4。三、拓扑编址PClIP：172.1.1.1/24GATEWAY：172.1.1.10PC2IP：172.2.2.2/24GATEWAY：172.2.2.20PC3IP：172.3.3.3/24GATEWAY：172.3.3.30PC4IP：202.1.1.1/24GATEWAY：202.1.1.10VlanlOVlan20IP：172.1.1.10/24IP：172.2.2.20/24SW3F04IP：172.3.3.30/24F00IP：172.4.4.1/24RlF00IP：172.4.4.2/24F01IP：202.1