计算机网络 课程设计指导书 尹 星 江苏大学电气信息工程学院 2006.1 前 言 为发挥计算机网络集成实验环境在本专科教学中的作用,特编写此课程设计指导书。 本书的目的就是作为课堂教学的补充,是扩展学生的网络知识,增强学生的动手能力。本书可作为计算机科学、计算机应用、通信工程、电子信息科学与技术等相关专业的本科和专科学生的《计算机网络》、《网络技术》、《Internet原理及其应用》等相关课程的实验及课程设计指导书。 本课程设计指导书分为试验指导和课程设计两个部分,其中试验指导部分所列的实验项目分两大类——基础实验(9项)和网络管理(9项)。这两个大类共计18个实验项目是完成课程设计项目的基础,课程设计教师可以根据需要,在每类中选择若干项来实施课程设计教学环节。课程设计部分是一个独立的实验项目——“管理配置I P路由协议”。 由于受目前计算机网络集成实验环境、应用开发时间等一些条件的限制,只开发出部分实验项目。今后,将会随着网络技术的发展,网络集成实验环境的改善,改进本实验指导书。同时,希望使用该书的师生多提意见,以便纠正其中的错误。 本书编写过程中多次得到陈晓平和刘超两位老师的指导和帮助。同时,计算机学院赵跃华教授也对本指导书提出了很多宝贵意见,在此表示衷心的感谢。 2006-1 目 录 第1篇 实验指导………………………………………………3 第1部分 基础实验…………………………………………………3 实验1.1 熟悉网络环境…………………………………………………………3 实验1.2 IP地址的概念…………………………………………………………4 实验1.3 TCP/IP协议的装卸……………………………………………………5 实验1.4 电缆的制作……………………………………………………………7 实验1.5 星型拓扑结构…………………………………………………………9 实验1.6 TCP/IP网络故障的查找………………………………………………10 实验1.7 网络监视器的使用……………………………………………………12 实验1.8 组群管理………………………………………………………………13 实验1.9 共享文件管理…………………………………………………………15 第2部分 网络管理…………………………………………………17 实验2.1 路由器的配置…………………………………………………………17 实验2.2 局域网互连………………………………………………………19 实验2.3 路由器系统管理………………………………………………………21 实验2.4 路由器配置管理………………………………………………………25 实验2.5 路由器故障的查找及排除…………………………………………29 实验2.6 网络地址转换的配置…………………………………………………33 实验2.7 访问列表的配置………………………………………………………40 实验2.8 路由器配置的备份……………………………………………………45 实验2.9 路由器安全管理………………………………………………………49 第2篇 课程设计………………………………………………55 课程设计 管理配置I P路由协议…………………………………………55 第1篇 实验指导 第1部分 基础实验 实验1.1 熟悉网络环境 实验目的 参观本学院网络实验室或其他机构,对网络设备、通信介质、拓扑结构、软件等有一个感性认识。 完成本实验后将能够: 1)分辨出不同的网络拓扑结构。 2)分辨出网络的服务器、客户器、路由器、交换机、集线器等。 3)分辨出网络所使用的网络操作系统,和各种服务功能。 4)分辨出网络所使用的协议。 实验环境 一些网络机构。 实验要求 1)认真听取有关网络技术人员的介绍,并做好记录。 2)进行访问并同时观察网络。 3)画出该网络拓扑结构示意图,并标出各种设备。 4)记录网络操作系统的类型和版本。 5)记录网络接口卡的类型。 6)记录网络的协议。 7)对网络的文件和打印服务、通信服务、邮件服务和其他服务以及网络管理、安全管理等提出问题。 8)记录网络所使用的各种服务器的软件名及版本。 实验1.2 IP地址的概念 1.实验目的 理解TCP/IP地址、网络类型和子网掩码的概念。 完成本实验后将能够: 1)使用Windows的计算器程序判断两个TCP/IP地址是否属于同一个子网。 2)决定IP地址的缺省子网地址。 3)决定IP地址的网络类型。 2.实验环境 一台安装了Windows 2000的计算机。 3.实验步骤 1)启动运行Windows的计算机。 2)选中Start,再选中Run,则Run对话框打开。 3)在Open文本框中,键入Calc,并按Enter键,则Calculator应用程序打开。 4)选中菜单条上的View,再选中Scientific,则计算器的附加功能出现。使用计算器,键入一个十进制数并选中Binary以查看该数的二进制形式。为了把IP地址转换成二进制数,必须每次转换一个八位组数字(Octet)。在本例中,需要把IP地址165.100.90.5转换成二进制形式。 5)验证Dec选项按钮已经被选中。这样就能够保证键入一个数后,能够以十进制数(常规基数10)的形式显示。 6)键入165并选中Bin,则第一个八位组数字165被转换成二进制数。记录下该二进制数。 7)现在,准备把第二个八位组(Octet)数字100转换成二进制数。选中Dec,键入100,再选中Bin。记录下该二进制数。 8)把第三个八位组数字90转换成二进制数。记录下该二进制数。 9)把第四个八位组数字5转换成二进制数。记录下该二进制数。 10)这样就把IP地址165.100.90.5转换成二进制形式。记录下结果。 11)记录下IP地址165.100.90.5所属的网络类型。 12)记录下IP地址165.100.90.5的缺省子网掩码。 13)把IP地址214.55.11.2转换成二进制形式。记录下结果。 14)记录下IP地址214.55.11.2所属的网络类型。 15)记录下IP地址214.55.11.2的缺省子网掩码。 16)把IP地址15.19.50.135转换成二进制形式。记录下结果。 17) 记录下IP地址15.19.50.135所属的网络类型。 18) 记录下IP地址15.19.50.135的缺省子网掩码。 实验1.3 TCP/IP协议的装卸 1.实验目的 掌握有关删除和安装TCP/IP协议的操作。 完成本实验后将能够: 1)从计算机上删除TCP/IP协议。 2)从光盘或硬盘,在计算机上安装TCP/IP协议。 3)为一台运行Windows 2000的计算机设置IP地址和子网掩码属性。 2.实验环境 1)一台安装了Microsoft Windows 2000的计算机。 2)Microsoft Windows 2000的安装光盘。 3.实验步骤 1)登录到该台安装了Microsoft Windows 2000的计算机上。 2)将Microsoft Windows 2000的安装光盘插入CD-ROM驱动器中。当光盘安装屏幕出现时,选中Browse,定位到光盘的I386文件夹上,并且将它完全拷贝到硬盘驱动器上。最后关闭所有的文件夹。 3)点击鼠标右键,选中Network Neighborhood,然后选中Properties,则Network对话框打开。 4)选中Protocol,然后再选中TCP/IP协议,则TCP/IP协议条目显示高亮。 5)选中Remove,则出现一个提示该行为将导致永久性删除TCP/IP协议的警告消息。 6)选中Yes。 7)选中Close,删除TCP/IP协议,则出现Network Settings Change对话框,并提示必须关闭计算机再重新启动后新的设置才会有效。 8)选中Yes,重新启动计算机。 9)一旦计算机重新启动,以管理员身份登录。 10)点击鼠标右键,选中Network Neighborhood,然后选中Properties,则Network对话框打开。 11)选中Protocol标签,再选中Add,则Select Network Protocol对话框打开。 12)在Select Network Protocol列表中选择TCP/IP协议,然后选中OK,则TCP/IP Setup对话框打开。 13)选中No,则Windows 2000 Setup对话框打开。 14)在文本框中,键入驱动器C上的I386目录的路径(例如,键入C:\I386),选中Continue,则安装程序开始安装TCP/IP协议。 15)选中Close。 16)Microsoft TCP/IP Properties对话框打开。在这个对话框中,能够键入计算机的IP地址和子网掩码属性。 17)选中Specify an IP Address选项,则IP Address、Subnet Mask以及Default Gateway文本框变成激活状态。 18)在IP Address文本框中,键入211.65.88.151作为计算机的IP地址。 19)选中Subnet Mask文本框,则出现一个缺省的子网掩码。记录下这个缺省的子网掩码。 20)选中Ok,将会看到一个提示在修改有效之前必须重新启动计算机的对话框。 21)选Yes,重新启动计算机。在计算机重新启动后,按照下面的步骤测试其IP配置。 22)选中Start,再选中Run,则Run对话框出现,在对话框中输入cmd。 23)在弹出的DOS窗口中键入IPCongfig(DOS命令行不区分大小写),则将会显示在第17和18步中记录下的IP的地址和子网掩码。 实验1.4 电缆的制作 实验目的 学会如何制作电缆以实现简单的端到端网络。 完成本实验后将能够: 1)制作1根RJ-45交叉电缆,并直接连接2台计算机。 2)制作1根RJ-45普通电缆,并将计算机连接到集线器。 实验条件 1)2根若干米长的5类电缆。 2)4个RJ-45水晶头。 3)2台带有以太网络接口卡和RJ-45连接座,并且运行Windows 2000的计算机。 4)电缆工具。 说明:2人为1组合作完成。 实验步骤 1)取1根UTP电缆,用电缆工具在UTP电缆的2端各切开1个小口。 2)用电缆工具剥去UTP电缆1端的封套皮,长度约为2cm。当心不要损坏里面双绞线的绝缘层。 3)小心地分开4对双绞线,但仍需保持双绞线2线之间的缠绕。 4)使用电缆工具,在这8根电线上剥去约1cm长的绝缘层。 注意:解开双绞线2线之间的缠绕长度不得超过1.5cm。 5)根据表1.1所描述的颜色和排列号的关系,用电缆工具将UTP电缆压入RJ-45水晶头中相应的管脚,从而完成UTP电缆1端的制作。 表1.1 制作直接电缆末端所使用的管脚号和颜色编码 管脚号 功能 颜色  1 发送+ 白色和绿色相间  2 发送- 绿色  3 接收= 白色和橘黄色相间  4 未使用 蓝色  5 未使用 白色和蓝色相间  6 接收- 橘黄色  7 未使用 白色和褐色相间  8 未使用 褐色  6)对该UTP电缆的另1端,重复2)到4)步。 7)根据表1.2所描述的颜色和排列号的关系,用电缆工具将UTP电缆的另1端压入RJ-45水晶头中相应的管脚,从而完成完整UTP交叉电缆的制作。 表1.2 制作交叉电缆末端所使用的管脚号和颜色编码 管脚号 功能 颜色  1 发送+ 白色和橘黄色相间  2 发送- 橘黄色  3 接收= 白色和绿色相间  4 未使用 蓝色  5 未使用 白色和蓝色相间  6 接收- 绿色  7 未使用 白色和褐色相间  8 未使用 褐色  8)全部按照表1.1,重复1)到7)步,完成另1根UTP直接电缆的整个制作。 9)将交叉电缆的1端连接到1台计算机的网络接口卡上;而另1端连接到另1台计算机上,则每块网络接口卡上的指示灯都应该变亮。 10)在其中1台计算机上,按Ctrl-Alt-Delete组合键,则Windows 2000 Cogon屏幕出现。 11)键入管理员帐号和口令,然后选中OK,则Windows 2000桌面出现。 12)双击鼠标右键,选中Network Neighborhood,则Network屏幕出现,并且显示其他计算机的名字。 13)双击鼠标右键,选中其他计算机的名字,则是否能够发现另1台计算机上的文件夹列表出来。 14)从该计算机中退出。 15)更换为UTP直接电缆,重复9)到13)步,查看是否能够发现另1台计算机上的文件夹列表出来。 16)从该计算机中退出。 实验1.5 星型拓扑结构 1.实验目的 理解如何创建1个星型拓扑结构。 完成本实验后将能够: 1)创建1个星型拓扑结构的网络。 2.实验环境 1)运行Windows 2000 Server的计算机1台。 2)运行Windows 2000 Professional的计算机1台。 3)以太网集线器2台。 4)5类双绞线电缆3根。 试验步骤 1)接通计算机和集线器的电源。 2)用1根电缆连接1台集线器的1端口与Server计算机的网络接口卡。 该集线器的此端口和Server计算机的网络接口卡上的指示灯都应该变亮。在有些设备上,指示灯将会闪烁,这是正常现象。 3)对Professional的计算机重复上面的步骤。 4)将第3根电缆连接到1台集线器的上行链路端口与另1台集线器某端口。在连接完这2台集线器后,将能看到第1台集线器的上行端口和另1台集线器该端口上的指示灯变亮。 5)以管理员的身份登录到Server计算机上。 6)双击Network Neighborhood图标,Network屏幕出现,同时还显示工作站的名字。 问:能够在列表中看到这台运行Professional计算机的名字吗? 7)从Network Neighborhood中退出。 8)从1个端口中拔出RJ-45连接器。 问:此时,该端口上的指示灯有何变化? 9)再次双击Network Neighborhood图标。 问:现在,这台运行Professional计算机的名字出现在该列表中吗? 10)将连接器插回到端口中,然后,从Network Neighborhood中退出。 实验1.6 TCP/IP网络故障的查找 1.实验目的 掌握利用ping命令来查找并定位TCP/IP网络故障的操作。 完成本实验后将能够: 1)用ping命令来找出TCP/IP网络的故障源。 2)用一定的方法分离出问题并定位之。 2.实验环境 1)一台运行Windows 2000 Server并且安装了两块网络接口卡,名字为SERVER1的计算机。要求它被配置为路由器,其中一块网络接口卡的IP地址为160.100.100.100,另一块网络接口卡的IP地址为170.100.100.100。 2)两个10BaseT集线器,且分别连接到路由器的两块不同的网络接口卡上。 3)一台运行Windows 2000 Professional,名字为WSl的计算机,并且它通过电缆连接其中一个集线器。该工作站的IP地址为160.100.100.6。 4)一台运行Windows 2000 Professional,名字为WS2的计算机,并且它通过电缆连接其中一个集线器。该工作站的IP地址为170.100.100.7。 3.实验步骤 1)浏览图2.1中网络布局和IP地址。 2)现在,可以检查WS2(其IP地址为170.100.100.7)的IP地址是否工作正常。具体的问题分离方法可参见如下步骤: (1)登录到名字为WSl的计算机。用本地计算机的本地回送地址ping该计算机,确保其网络接口卡工作正常。 160.100.100.100 170.100.100.100 160.100.100.6 170.100.100.7 图2.1 实验2.3的环境 术语“本地(Local)计算机”是指你已经登录上的那台计算机,在本例中,即为WSl。 (2)ping本地计算机的IP地址,确保TCP/IP工作正常。 (3)ping旁边(Near side)的路由器,确保160.100.100.6和170.100.100.7之间的连接工作正常。 术语“旁边(Nearside)”是指与本地计算机处于同一网络的路由器所在的段。 (4)ping远处(Far side)的路由器,确保通过路由器的连接工作正常,特别地,这种测试能够确保160.100.100.6和170.100.100.7之间的连接工作正常。 术语“远处 (Far side)”是指与本地计算机处于不同网络的路由器所在的段。 (5)ping远处(Far side)的路由器所在段中的一台计算机,在本例中,路由器远处的计算机就是WS2。这样就能够确保160.100.100.6和170.100.100.7之间的所有连接都工作正常。 对于每一次ping测试,ping命令都能够给出是失败还是成功的消息。如果在某一步中执行ping命令后返回错误,就可以假设此步之前的连接都能够正常工作。相应地,问题就出在返回错误消息这一测试步骤中。 下面将引导你进行上述所列的各个步骤。 3)启动这三台计算机。 4)以管理员身份登录到WSl,其IP地址为160.100.100.6。 5)选中Start,再选中Programs,然后再选中Command Prompt,则Command Prompt窗口打开。 6)现在,就能够实施第2)步列出的方法了。为了测试本地计算机的网络接口卡工作是否正常,键入ping 127.0.0.1并敲击Enter键。记录下ping命令的输出信息以及成功或失败的提示信息。 7)为了测试TCP/IP工作是否正常,键入ping 160.100.100.6并敲击Enter健。记录下ping命令的输出信息以及成功或失败的提示信息。 8)为了测试路由器旁边(Near side)的连接工作是否正常,键入ping 160.100.100.100并敲击Enter健。记录下ping命令的输出信息以及成功或失败的提示信息。 9)为了测试路由器工作是否正常,键入ping 170.100.100.100并敲击Enter键。记录下ping命令的输出信息以及成功或失败的提示信息。 10)为了测试路由器远处(Far side)网段中的计算机工作是否正常,键入ping 170.100.100.7并敲击Enter健。记录下ping命令的输出信息以及成功或失败的提示信息。 11)拔出连接在IP地址为170.100.100.100网络接口卡上的电缆。 12)重复第6)步至第10)步,查找并定位故障。 13)插入第11)步中拔出的电缆,使网络恢复正常工作。 实验1.7 网络监视器的使用 1.实验目的 理解对数据包如何安排的操作。 完成本实验后将能够: 1)熟悉数据包的各个组成部分。 2)使用Network Monitor实用程序。 2.实验环境 1)运行Windows 2000 Server的计算机1台。 2)运行Windows 2000 Professional的计算机1台。 3)安装在Server服务器上的Network Monitor Tools and Agent。 实验步骤 1)以管理员身份登录到运行Windows 2000 Server的计算机上。 2)选中Start,指向Administrative Tools,然后,选中Network Monitor,则Network Monitor窗口出现。 3)选中Capture,然后,选中Start,则Network Monitor开始捕获数据包。 4)在运行Windows 2000 Professional的计算机上,以管理员身份登录并双击选中Network Neighborhood中的Server计算机图标。 试:查看这台运行Server的计算机上1个文件夹的内容。其目的是为了有足够的行为在Network Monitor中能够产生1个好的捕捉数据的样本。 注意:本步骤至少持续1分钟。 5)返回到Network Monitor中,选中Capture,再选中Stop。 6)选中Capture,再选中Display Captured Data,则Network Monitor Summary窗口打开,同时以行和列的形式显示一些有关被捕获数据的信息。 请:记录有关被捕获数据的信息。 7)在Protocol列中定位到LLC条目。 8)双击Ethernet 802.3条目。 9)在第6步所记录的信息中,找出目标计算机的MAC地址,并记录下结果。 10)定位到源计算机的MAC地址,并记录下结果。 11)从Network Monitor中退出,并且不必保存捕获的数据。 12)从这2台计算机中退出。 实验1.8 组群管理 1.实验目的 理解Windows 2000的组的概念。 完成本实验后将能够: 1)创建一个用户。 2)创建一个局部组。 3)创建一个全局组。 4)向全局组中添加一个用户。 5)把一个全局组添加进一个局部组。 2.实验环境 1)被配置为Domain_A域PDC(主域控制器),并运行Windows 2000 Server的计算机1台。 3)Domain_A域内运行Windows 2000 Professional的计算机1台。 3.实验步骤 1)以管理员身份登录到该PDC。 2)选中Start,再选中Programs,然后选中Administrative Tools(Common)和User Manager for Domains,则User Manager窗口打开。 3)选中User,再选中New User,则New User对话框打开。 4)在User name文本框中,键入你的名字。 5)选中Add,则新用户被添加进来。 6)选中Close。 7)选中User,再选中New Global Group,则New Global Group对话框打开,并且其中一边显示组成员,另一边显示非组成员。 8)在组名称栏中,键入GG_1。 9)在Not Member滚动框中,选中在4)步中创建的用户名。 10)选中Add,则该用户就被添加进成员列表中。 11)选中OK,则该全局组就被添加进该域中。 此时,该用户也被添加进该全局组。 12)现在,以管理员身份登录到该工作站。 13)选中Start,再选中Programs,然后选中Administrative Tools(Common)和User Manager,则User Manager窗口打开。 14)选中User,再选中New Local Group,则New Local Group对话框打开。 15)在Group Name文本框中,键入LG_1。 16)选中Add,则Add Users and Group对话框打开。 17)在List Names From框中,选中Domain_1。 18)选中GG_1。 19)为了查看GG_1的成员,选中Members,则Global Group Membership框打开。 20)记下各成员。 21)选中Cancel。 22)选中Add,把GG_1添加进该局部组。 现在,全局组出现在Add Names框中。 23)选中OK两次,就完成了把该域中的全局组添加进该工作站上的局部组的工作。 说明:Microsoft建议按照如下的步骤进行:把用户置入全局组;然后把全局组置入局部组;最后再把现有的资源的权限分配给局部组。 实验1.9 共享文件管理 1.实验目的 理解如何在Windows 2000中共享文件夹和设置许可。 完成本实验后将能够: 1)共享文件夹。 2)理解NTFS的共享许可。 2.实验环境 1)充当Domain_A域的PDC,运行Windows 2000 Server计算机1台。 2)Domain_A域中,名字为WSA的Windows 2000 Professional计算机1台。 3)该Windows 2000 Professional计算机需有被格式化成NTFS格式的D驱动器。 4)完成实验1.6。 3.实验步骤 1)以管理员的身份,登录到该Windows 2000 Professional计算机。 2)双击鼠标选中My Computer图标,则My Computer窗口打开,并显示计算机上的驱动器和文件夹。 3)点击鼠标右键,选中D:驱动器图标,则D:Properties对话框打开。 4)选中File,再选中New,然后选中Folder,则一个新文件夹被创建并且提示为其键入一个文件夹名称。 5)给该文件夹命名为FolderR。 6)点击鼠标右键,选中FolderR的图标,并选中Sharing,则FolderR的Properties窗口打开。 7)选中Shared As,则该文件夹的名字出现在Share Name框中。 注意:不要修改该共享名字。 8)选中Permissions,则Access Through Share Permissions对话框打开。 9)记下缺省显示组的名称。 10)记下缺省显示组的许可。 11)选中该组,并选中Remove,实现删除该组操作。 12)选中Add,则Add User and Groups对话框打开。 13)滚动框中的名字列表中选中\\WSA,则工作站上组的列表将显示在Name框中。 14)选中LG_1,并点击Add,则该条目出现在Add Names框中。 15)在访问类型滚动列表中,选中Read。 16)记下其他的访问类型。 17)选中OK,则局部组LG_1出现在Names list of the Access Through Share Permissions对话框中。 18)选中OK两次。此时,局部组LG_1就对FolderR具有了读的权限。 实验1.6中创建的用户可以读取该文件夹。 19)为了验证实验1.6中创建的用户对FolderR只具有读权限,退出此次登录,并以在实验1.6中创建的用户的身份登录。 登录后,Windows 2000桌面出现。 20)双击鼠标右键,选中Network Neighborhood,则Network Neighborhood窗口打开并显示计算机的列表。 21)双击鼠标右键,选中WSA的图标,则WSA窗口打开。 22)双击鼠标右键,选中FolderR,则FolderR窗口打开。 23)选中File,再选中New,然后选中Folder。 记录所出现的消息。 24)为什么会出现这条消息?需解释之。 25)为了学习有关全部共享控制许可,重复本实验,创建一个叫做FolderF的文件夹。并使局部组LG_1具有访问FolderF文件夹的全部权限。 26)以在实验1.6第4步中创建的用户的身份登录,则出现Windows 2000桌面。 27)试着打开FolderF,并在其内部创建一个文件夹。 此操作能够进行吗?应回答之。 28)为了学习有关禁止访问共享许可的知识,重复本实验并创建一个叫做FolderN的文件夹。并使局部组LG_1具有访问FolderN文件夹的全部权限。 29)以在实验1.6第4步中创建的用户的身份登录,则出现Windows 2000桌面。 30)试着打开FolderF,并在其内部创建一个文件夹。 此操作能够进行吗?应回答之。 再回答:具有读许可后,用户能够进行什么操作? 第2部分 网络管理 实验2.1 路由器的配置 1.实验目的 学会对路由器的初始设置。 完成本实验后将能够: 1)使用计算机建立一个作为路由器的超级终端。 2)配置路由器——配置Ethernet 0。 3)将运行配置拷贝到启动配置文件NVRAM中。 4)将运行配置备份到服务器中。 5)查看路由器运行状态。 2.实验环境 1)一台安装了Windows 2000的计算机。 2)一台CISCO 2600路由器。 3.实验步骤 配置CISCO(思科)路由器有两种方法,一是通过CISCO路由器的配置端口,利用计算机或终端来配置;二是利用网络通过Telnet命令来配置。 第2种方法,要求用户已经正确配置了路由器各接口的IP地址,而第1种方法更具有通用性。 1)建立本地配置环境,将计算机(或终端)的串口通过标准RS232电缆与路由器的配置口连接;如果建立远程配置环境,需要在微机串口和路由器配置口上分别挂接Modem,然后通过电话拨号实现连接。   2)用随机提供的配置口电缆把PC机的串口1和CISCO的Console口相连,然后打开计算机和CISCO的电源。 3)用计算机建立一个超级终端。具体操作顺序是:开始→程序→附件→通信→超级终端。 4)用鼠标双击Hypertrm.exe文件,然后输入要建的超级终端名称并选择一个图标,选择“直接连接到串口1”选项,设置通信端口(设置终端通信参数:通信速率9600bps、8位数据位、1位停止位,无奇偶校验,无流控。 5)鼠标点击确定后,计算机或终端即正确连到了CISCO路由器上。 6)键入命令,配置一个具体路由器或查看路由器运行状态,需要帮助可以键入“?”命令。 (1)拷贝TFTP服务器上的配置文件到路由器的运行配置中。 (2)配置Ethernet 0并保存到启动配置中。 (3)将运行配置拷贝到启动配置文件NVRAM中。 (4)将运行配置备份到服务器中。 4.实验参考 一个配置实例: Router>en   Password:abcdefg(特权用户口令)   Router#copy ftfp runnig-config(拷贝TFTP服务器上的配置文件到路由器的运行配置中)   Host or network configuration file[host]?host   Address of remote host[255.255.255.255]?145.1.1.1(主机的IP地址)   145.1.1.1为运行TFTP的服务器,也是路由器配置文件所在的主机。   如出现提示:“There are no usable interface configured for ip”表明路由器的Ethernet 0(以太网口)未配置好。   配置Ethernet 0:   Router#config   Router(config)#int e0   Router(config-if)ip address#145.1.1.5   Router(config-if)#no shutdown   Router(config-if)#exit   Router(config)#exit   Router#wr(保存到启动配置中)   Name of configuration file[router-config]?2600(配置文件名)   Configure using 2511 from 145.1.1.1?[confirm]   Loading 2511 from 145.1.1.1(via Ethernet0)[ok-1553/32723 bytes]   拷贝运行配置到启动配置文件NVRAM中:   Router#copy runnig-config startup-config   Router#i或重新开启路由器电源以重新启动路由器。   备份运行配置到服务器中:   Router#copy runnig-config ftfp   Remote host[]145.1.1.1   Name of configuration file to write[router-config]?2600bf   Write file 2511bf on host 145.1.1.1?[confirm]   Writing 2511bf!![ok]   至此,路由器配置完成。 实验2.2 局域网互连 1.实验目的 学会2个局域网的相互连接。 完成本实验后将能够: 1)通过路由器的配置口(Console)搭建本地配置环境。 2)对路由器的地址和路由配置。 2.实验环境 1)通过路由器A和B将2个支持TCP/IP的以太局域网LAN A与LAN B连接起来,连接图见图2.2。 Cisco 2600*2 路由器A 路由器B 专线 图2.2 实验2.6的环境 两个路由器均采用CISCO 2600,它提供一个以太网接口和两个串行接口。其中以太网接口与各自的局域网相连,而串行接口之间通过专线互连,速率为2Mb/s。 2)假设局域网的参数如表2.1所列。 表2.1 实验2.6的参数 参 数 LAN A LAN B  网络号 202.97.76.0 202.96.199.0  子网掩码 255.255.255.254 255.255.255.O  IP范围 202.97.76.0 202.97.76.31 202.96.199.0 202.96.199.255  域名 a.com b.com  路由器的以太网地址 202.97.76.1 202.96.199.1  路由器的互连地址 202.98.O.2 202.98.O.1  DNS 202.98.198.2 202.98.198.2   3.实验步骤 1)通过路由器的配置口(Console)搭建本地配置环境。 建立本地配置环境,只需将计算机(或终端)的串口通过标准RS-232电缆与路由器的配置口连接,然后使用Netterm或者超级终端之类的软件登录即可。 2)进入配置界面后,操作。 Router>en: Passwd:x,x,x,x(输入超级口令) 3)进人全局配置界面(A、B路由器大致相同)。 Router#config terminal(切换到配置状态) Router(config)#enable secretroot-password(定义超级口令) Router(config)#domain-name a.com(定义所属域名称,B网为b.com) Router(config)#nameserver 202.98.198.2(定义主域名服务器) Router(config)#ip classless Router(config)#line vty0 3(定义4个telnet虚终端,即可以同时有4个用户登录本路由器) Router(config-line)#password telnet-password(定义telnet口令) Router(config-line)#exit Router(config)#exit 4)配置地址和路由(以路由器A为例,路由器B不同的地方会特意指出)。 Router#confterminal(切换到配置状态) Router(config)#int e0(配置Ethernet 0口) Router(config-if)#ip add 202.96.199.1 255.255.255.0(定义以太网IP地址,子网掩码表示为C类网络,对于路由器B为:ip add 202.96.199.1 255.255.255.0) Router(config-if)#no shutdown(激活端口) Router(config-if)#exit Router(config)#int s0(配置Serial0口) Router(config-if)#ip add 202.97.76.1 255.255.255.224(定义互连广域网IP地址,对于路由器B为:ip add 202.98.0.1 255.255.255.252) Router(config-if)#bandwidth 2048(定义端口速率,以Kb/s为单位) Router(config-if)#no shutdown(激活端口) Router(config-if)#exit Router(config)#ip route 202.96.199.0 255.255.255.O 202.98.O.1(定义静态路由,通过网关到达对端局域网络,IP为对端广域网IP地址,对于路由器B为:ip route 202.97.76.0 255.255.255.224 202.98.0.2) Router(config)#exit Router#wrm(保存配置) 至此,配置完成。 5)测试2个局域网是否能够相互连通。 实验2.3 路由器系统管理 1.实验目的 了解并熟悉路由器的基本管理操作过程。 完成本实验后将能够: 1)了解不同的命令访问模式。 2)掌握主要命令访问模式的进入及退出方法。 3)学会使用User EXEC模式命令,实现远端路由器的连接,完成基本测试和系统信息显示等功能。 4)学会使用Priviledged EXEC模式命令,完成更改配置,监控网络状态等功能。 5)了解Global配置模式下的针对不同配置方式的10种子模式。 6)学会使用Global模式命令,实现用户调试,监控网络状态性能等功能。 2.实验环境 1)CISCO 2600 路由器1台。 2)运行DOS的计算机1台。 3)连网环境。 3.实验内容 网际操作系统(IOS)用户接口提供了几种不同的命令访问模式,每一个命令模式提供了一组相关的命令。 为安全起见,IOS 提供了两种命令访问级别:User和Priviledged。无优先级的用户模式称作User EXEC模式;而Priviledged EXEC被称作超级用户模式,需要有口令才能进入。用户模式下的命令集是超级用户下命令集的子集。 在超级用户级别下,你可以进入配置模式和其下的十个特定的配置模式:Interface,Subinterface,Controller,Hub,Map-list,Map-class,Line,Router,Ipx-router,Router-map等配置。 大多数系统配置命令都有No的形式,通常用No来取消一个配置过的命令。另外,在各种模式下的命令均可以用“?”来查找自己所需的命令。 表3.1列出几种主要命令模式,进入及退出的方法等等。 表31 实验31的主要命令模式 命令模式 进入方式 提示符 退出方法  User EXEC 登录路由器 Router> 使用logout命令  Priviledged EXEC User模式下,用enable命令 Router>enable Router# 使用exit或 disable命令退到 User EXEC模式  Global Configuration 在Priviledged EXEC模式下,用configuration命令 Router#config-terminal Router(config)# 使用exit或end或 Ctrl-Z命令退到 Ppriviledged EXEC模式  Interface Configuration 在Global Configuration下,用interface命令进入具体的端口 Router(config)#interface interface-type interface-number Router(config-if)# 使用exit退出Configuration 模式,或使用Ctrl-Z直接退到Priviledged EXEC模式  Controller Configuration 在Global Configuration模式下,用controller命令配置T1或E1端口 Router(config)#controller e1 slot/port或number Router(config-controller)# 使用exit退出Configuration 模式,或使用Ctrl-Z直接退到Priviledged EXEC模式  Line Configuration 在Global Configuration模式下,用line命令指定具体的line端口 Router(config)#line number或{vty|aux|con}number Router(config-line)# 使用exit退出Configuration 模式,或使用Ctrl-Z直接退到Priviledged EXEC模式  Router Configuration 在Global Configuration模式下,使用router igrp命令指定具体的路由协议 Router(config)#router protocol[option] Router(config-router)# 使用exit退出Configuration 模式,或使用Ctrl-Z直接退到Priviledged EXEC模式  4.实验步骤 1)在DOS窗口,用TELNET命令登录到路由器: D:\>telnet 10.1.4.2 按照提示,输入密码******,便进入User EXEC模式。   当使用终端登录上路由器后,系统直接进入User EXEC模式,它的命令是超级用户下的子集。通常,User EXEC模式命令可以连接远端路由器,完成基本测试和系统信息显示。 在User EXEC下的系统提示符是路由器名和后面紧跟的“>”号,在此提示符下,用户可以使用“?”列出命令提示。 实验者使用User EXEC下的命令,观察系统的输出并记录之。 2)在User EXEC模式下,使用enable命令进入Priviledged EXEC(超级用户)模式。 Router>enable Password: Priviledged EXEC模式的系统提示符是: Router# 为安全起见,象UNIX操作系统一样,在路由器的指令系统中,设定了一个超级用户模式。在这个级别下,用户可以完成更改配置,监控网络状态等任务。 在Priviledged EXEC的系统提示符下,用户可以使用“?”列出命令提示。 实验者使用Priviledged EXEC下的命令,观察系统的输出并记录之。 必要时,比较User EXEC和Priviledged EXEC这2种模式下的系统输出。 3)进入Global配置模式。该模式是在超级用户下所实现的10个子模式(以针对不同的配置方式)之一。 Router#configure terminal 便出现Global配置模式的提示符:Router(config)# 4)在Global模式下,CISCO IOS提供了许多监控程序,它可以帮助用户调试,监控网络状态、性能等等。 Router#show? 在“?”下有许多信息,以帮助你找寻想要的命令。 例如: Router#show conf——显示配置文件的配置。 Router#show running-config——显示当前正在运行的配置。 Router#show interface ethernet 0——查看以太口0的状态。 实验者使用有关Interface Configuration和Controller Configuration命令,观察系统的输出并记录之。 说明:在CISCO路由器上,不同的端口是处在不同的接口卡上的,因此,指定某一个端口必须包括槽口号和端口号。例如:Interface serial 4/5就表示串口卡是在第4槽上的第5个串口。 实验2.4 路由器配置管理 1.实验目的 了解路由器的配置概况,以及众多可利用资源。掌握利用设置对话过程来实施配置管理。 完成本实验后将能够: 1)路由器的全局参数的设置。 2)对路由器的每个接口进行参数的设置。 2.实验环境 1)CISCO 2600路由器1台。 2)运行DOS的计算机1台。 3)连网环境。 3.实验内容 进入对话过程,路由器首先将显示一些提示信息: --- System Configuration Dialog --- At any point you may Enter a question mark“?”for help. Use CTRL-C to abort configuration dialog at any prompt. Default settings are in square brackets“[]”. 这将告诉你在设置对话过程中的任何地方都可以键入“?”以得到系统的帮助;按CTRL-C可以退出设置过程;缺省设置将显示在“[]”中。然后路由器会提问是否进入设置对话: Would you like to Enter the initial configuration dialog? [yes]: 如果按y或回车,路由器便会进入设置对话过程。首先你可以看到各端口当前的状况: First,would you like to see the current interface summary? [yes]: Any interface listed with OK?value Interface IP-Address OK? Method Status Protocol  Ethernet0 unassigned NO unset up up  Serial0 unassigned NO unset up up  ……… ……… … …… … …  说明:“NO”does not have a valid configuration. 然后,路由器就开始全局参数Configuring global parameters的设置。 1)设置路由器名: Enter host name[Router]: 2)设置进入特权状态的密文(Secret),此密文在设置以后不会以明文方式显示: The enable secret is a one-way cryptographic secret used instead of the enable password when it exists. Enter enable secret:cisco 3)设置进入特权状态的密码(Password),此密码只在没有密文时起作用,并且在设置以后会以明文方式显示: The enable password is used when there is no enable secret and when using older software and some boot images. Enter enable password:pass 4)设置虚拟终端访问时的密码: Enter virtual terminal password:cisco 5)询问是否要设置路由器支持的各种网络协议: Configure SNMP Network Management?[yes]: Configure DECnet?[no]: Configure AppleTalk?[no]: Configure IPX?[no]: Configure IP?[yes]: Configure IGRP routing?[yes]: Configure RIP routing?[no]: ……… 6)如果配置的是拨号访问服务器,系统还会设置异步口的参数: Configure Async lines?[yes]: (1)设置线路的最高速度: Async line speed[9600]: (2)是否使用硬件流控: Configure for HW flow control?[yes]: (3)是否设置modem: Configure for modems?[yes/no]:yes (4)是否使用默认的modem命令: Configure for default chat script?[yes]: (5)是否设置异步口的PPP参数: Configure for Dial-in IP SLIP/PPP access?[no]:yes (6)是否使用动态IP地址: Configure for Dynamic IP addresses?[yes]: (7)是否使用缺省IP地址: Configure Default IP addresses?[no]:yes (8)是否使用TCP头压缩: Configure for TCP Header Compression?[yes]: (9)是否在异步口上使用路由表更新: Configure for routing updates on async links?[no]:y (10)是否设置异步口上的其它协议。 接下来,系统会对每个接口进行参数的设置。 7)Configuring interface Ethernet0。 (1)是否使用此接口: Is this interface in use?[yes]: (2)是否设置此接口的IP参数: Configure IP on this interface?[yes]: (3)设置接口的IP地址: IP address for this interface:192.168.162.2 (4)设置接口的IP子网掩码: Number of bits in subnet field[0]: Class C network is 192.168.162.0,0 subnet bits mask is /24 在设置完所有接口的参数后,系统会把整个设置对话过程的结果显示出来: The following configuration command script was created: hostname Router enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1 enable password pass ………… 请注意在Enable Secret后面显示的是乱码,而Enable Password后面显示的是所设置的内容。 显示结束后,系统会询问是否使用这个设置: Use this configuration?[yes/no]:yes 如果回答Yes,系统就会把设置的结果存入路由器的NVRAM中,然后结束设置对话过程,使路由器开始正常的工作。 ? 4.实验步骤 1)按实验3.1登录路由器,出现路由器的一般提示符: Router1> 2)进入特权命令,出现路由器的特权提示符: Router1# 3)使用Setup命令进入设置对话过程: Router1#setup  对照实验内容,对Ethernet 0接口进行参数的设置。 Configuring interface Ethernet0: Is this interface in use?[yes]: Configure IP on this interface?[yes]: IP address for this interface:202.195.168.1 Number of bits in subnet field[0]: Class C network is 192.168.162.0,0 subnet bits mask is /24 实验2.5 路由器故障的查找及排除 1.实验目的 学会使用路由器诊断命令的操作,掌握一定的路由器故障查找及排除的技巧。 完成本实验后将能够: 1)能使用Show命令(基本部分),进行故障查找及排除。 2)能使用Debug命令,进行故障查找及排除。 3)能使用Ping命令,进行故障查找及排除。 4)能使用Trace命令,进行故障查找及排除。 2.实验环境 1)CISCO 2600路由器1台。 2)运行DOS的计算机1台。 3)连网环境。 3.实验内容 故障查找及排除TroubleShooting的工具有许多种,可以用路由器的诊断命令,CISCO网络管理工具(CiscoWorks)和规程分析仪等等方法。本实验将主要介绍路由器的诊断命令。 路由器诊断命令有四种:Show命令、Debug命令、Ping命令和Trace命令。 1)Show命令 Show命令是一个很有用的监控命令和解决系统出现问题的工具。下面是几个通常用到的Show命令: (1)Show Interface——显示接口统计信息。 一些常用的Show Interface命令有: Show Interface Ethernet Show Interface Tokenring Show Interface Serial (2)Show Controllers——显示接口卡控制器统计信息。 一些常用的Show Controllers命令有: Show Controllers Cxbus Show Controllers E1 (3)Show Running-config——显示当前路由器正在运行的配置。 (4)Show Startup-config——显示存在NVRAM的配置。 (5)Show Flash——显示Flash Memory中的内容。 (6)Show Buffers——显示路由器中Buffer Pools统计信息。 (7)Show Memory——显示路由器使用内存情况的统计信息,包括空闲池统计信息。 (8)Show Processes——显示路由器活动进程的信息。 (9)Show Version——显示系统硬件,软件版本,配置文件和启动的系统映象。 2)Debug命令 在超级用户模式下的debug命令能够提供端口传输信息,节点产生的错误消息,诊断协议包和其它有用的TroubleShooting数据。 Debug命令默认是显示在控制台端口上的,可用Log Buffer命令把输出重定向到Buffers里面。 若是Telnet,可用Router#terminal monitor命令便可监控到控制台信息。 3)Ping命令 Ping命令将能确定网络的连通性。 4)Trace命令 Trace命令将能跟踪路由器的包传输状态。 4.实验步骤 1)排除故障:主机到本地路由器的以太口不通。 我们可以把路由器的以太网口看作是普通主机的以太网卡,这就成了一个局域网连接问题。 (1)使用Show Interface Ethernet Number命令。 Router#show interface ethernet 0/0 Ethernet is up,line protocol is up (2)断开路由器的以太网的双绞线,再使用Show Interface Ethernet Number命令,能发现主机到本地路由器的以太口不通。 Router#show interface ethernet 0/0 Ethernet is down,line protocol is down  (3)请把双绞线接上。 若Ethernet is admsinstratively down,则: Router#conf t Router(config)#interface ethernet 0 Router(config-if)#no shutdown Router(config-if)#^Z Router# 若Ethernet is up,而line protocol is down,则: Router#conf t Router(config)#interface ethernet 0 Router(config-if)#media-type 10baset Router(config-if)#^Z Router# 说明:主机10M网卡连接到路由器100M的以太口时,如它不是自适应的,则会出现,否则无问题。 若Ethernet is up,line protocol is up,但ping不通,则请查看路由器以太口的IP地址,是否与主机IP地址在同一个网段上。 2)使用Ping或Trace命令 (1)D:\ping 10.1.4.2  (2)登录到路由器,并: D:\trace 10.1.4.2  实验2.6 网络地址转换的配置 1.实验目的 理解NAT(Network Address Translation)的概念,掌握NAT的配置。 完成本实验后将能够: 1)静态地址转换的基本配置。 2)动态地址转换的基本配置。 3)复用动态地址的转换配置。 2.实验环境 1)CISCO 2600路由器1台。 2)运行DOS的计算机1台。 3)连网环境。 3.实验内容 随着Internet网络以爆炸性的速度膨胀,IP地址短缺及路由规模越来越大已成为一个相当严重的问题。为了解决这个问题,出现了多种解决方案。一种在目前网络环境中比较有效的方法即地址转换(NAT)功能。 所谓的地址转换,即NAT功能,就是指在一个组织网络内部,根据需要可以随意自定义的IP地址(不需要经过申请),即假的IP地址。在本组织内部,各计算机间通过假的IP地址进行通讯;而当组织内部的计算机要与外部Internet网络进行通讯时,具有NAT功能的设备(这里是CISCO路由器)负责将其假的IP地址转换为真的IP地址,即该组织申请的合法IP地址进行对外通信。 简单地说,NAT就是通过某种方式将IP地址进行转换。 NAT有以下几种应用: (1)当想连接Internet,但又不想让你的网络内的所有计算机都拥有一个真正的Internet IP地址时,通过NAT功能,可以将申请的合法的Internet IP地址作统一管理。当内部的计算机需要上Internet时,动态或静态地将假的IP地址转换为合法的IP地址。 (2)当不想让外部网络用户知道你的网络的内部结构时,可以通过NAT将内部网络与外部Internet隔离开,则外部用户根本不知道你的IP地址的分配。 (3)当所申请的合法Internet IP地址很少,而你的内部网络用户很多时,可以通过NAT功能实现多个用户同时使用一个公开的合法的IP地址与外部Internet进行通信。 NAT的几个概念: (1)内部本地地址(Inside local address)——分配给内部网络中的计算机的假的IP地址。 (2)内部合法地址(Inside global address)——对外进行Internet通信时,代表一个或多个内部本地地址的合法IP地址。 NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1)静态地址转换适用的环境 静态地址转换是将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。   2)动态地址转换适用的环境 动态地址转换也是将本地地址与内部合法地址一对一的转换,但动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。 3)复用动态地址转换适用的环境 复用动态地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。只申请到少量IP地址但却经常同时有多于合法地址个数的用户上外部网络的情况,这种转换极为有用。 注意:当多个用户同时使用一个IP地址时,外部网络通过路由器内部,利用上层的如TCP或UDP端口号等来唯一标识某台计算机。   4.实验步骤 1)静态地址转换基本配置,具体参数: 将CISCO 2600的以太口作为内部端口,同步端口O作为外部端口。网络的10.1.1.2,10.1.1.3,10.1.1.4的内部本地地址采用静态地址转换,其内部合法地址分别对应为192.1.1.2,192.1.1.3,192.1.1.4。 (1)在内部本地地址与内部合法地址之间建立静态地址转换。 在全局设置状态下输入: Ip nat inside source static 内部本地地址 内部合法地址 (2)指定连接网络的内部端口,在端口设置状态下输入:  Ip nat inside 内部端口 (3)指定连接外部网络的外部端口,在端口设置状态下输入:  Ip nat outside 外部端口 注:可以根据实际需要定义多个内部端口及多个外部端口。 2)动态地址转换基本配置,具体参数: 运用动态NAT地址转换功能。将CISCO 2600的以太口作为内部端口,同步端口0作为外部端口。网络的10.1.1.0网段采用动态地址转换。对应内部合法地址为202.195.168.12到202.195.168.80。 (1)在全局设置模式下,定义内部合法地址池: Ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码   其中地址池名称可以任意设定。 (2)在全局设置模式下,定义一个标准的Access-list规则,以允许哪些内部地址可以进行动态地址转换: Access-list 标号 permit 源地址 通配符   其中标号为1-99之间的整数。 (3)在全局设置模式下,将由Access-list指定的内部本地地址与指定的内部合法地址池进行地址转换: Ip nat inside source list 访问列表标号 pool内部合法地址池名字 (4)指定与内部网络相连的内部端口,具体操作是在端口设置状态下:    Ip nat inside 内部端口 (5)指定与外部网络相连的外部端口,具体操作是在端口设置状态下:    Ip nat outside 外部端口 3)复用动态地址转换配置,具体参数: 应用复用动态NAT地址转换功能。将CISCO 2600的以太口作为内部端口,同步端口0作为外部端口。网络的10.1.1.0网段采用复用动态地址转换。假设企业只申请了一个合法的IP地址202.198.168.15。 (1)在全局设置模式下,定义内部合地址池: Ip nat pool 地址池名字 起始IP地址 终止IP地址 子网掩码 其中地址池名字可以任意设定。 (2)在全局设置模式下,定义一个标准的Access-list规则,以允许哪些内部本地地址可以进行动态地址转换: Access-list 标号 permit 源地址 通配符 其中标号为1-99之间的整数。 (3)在全局设置模式下,设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换: Ip nat inside source list 访问列表标号 pool 内部合法地址池名字 overload (4)在端口设置状态下,指定与内部网络相连的内部端口: Ip nat inside内部端口 (5)在端口设置状态下,指定与外部网络相连的外部端口: Ip nat outside外部端口 5.实验参考 1)实现静态NAT地址转换功能。 将CISCO 2600的以太口作为内部端口,同步端口0作为外部端口。网络的10.1.1.2,10.1.1.3,10.1.1.4的内部本地地址采用静态地址转换,其内部合法地址分别对应为192.1.1.2,192.1.1.3,192.1.1.4。 路由器的配置: Current configuration: Version 11.3 No service password-encryption Hostname 2600 Ip nat inside source static 10.1.1.2 192.1.1.2 Ip nat inside source static 10.1.1.3 192.1.1.3 Ip nat inside source static 10.1.1.4 192.1.1.4 Interface Ethernet 0 Ip address 10.1.1.1 255.255.255.0 Ip nat inside Interface Serial 0 Ip address 192.1.1.1 255.255.255.0 Ip nat outside No ip mroute-cache Bandwidth 2000 No fair-queue Clockrate 2000000 Interface Serial 1 No ip address Shutdown No ip classless Ip route 0.0.0.0 0.0.0.0 Serial 0 Line con 0 Line aux 0 Line vty 0 4 Password cisco End 配置完成后,可以用以下语句进行查看: Show ip nat statistcs Show ip nat translations 2)实现动态NAT地址转换功能。 将CISCO 2600的以太口作为内部端口,同步端口0作为外部端口。网络的10.1.1.0网段采用动态地址转换。对应内部合法地址为202.195.168.12到202.195.168.80。 路由器的配置: Curre2000 configuration: Version 11.3 No service password-encryption Hostname 2600 Ip nat pool aaa 192.1.1.2 192.1.1.10 netmask 255.255.255.0 Ip nat inside source list 1 pool aaa Interface Ethernet 0 Ip address 10.1.1.1 255.255.255.0 Ip nat inside Interface Serial 0 Ip address 192.1.1.1 255.255.255.0 Ip nat outside No ip mroute-cache Bandwidth 2000 No fair-queue Clockrate 2000000 Interface Serial 1 No ip address Shutdown No ip classless Ip route 0.0.0.0 0.0.0.0 Serial0 Access-list 1 permit 10.1.1.0 0.0.0.255 Line con 0 Line aux 0 Line vty 0 4 Password cisco End 3)实现复用动态NAT地址转换功能。 将CISCO 2600的以太口作为内部端口,同步端口0作为外部端口。网络的10.1.1.0网段采用复用动态地址转换。假设企业只申请了一个合法的IP地址202.198.168.15。 路由器的配置: Current configuration: Version 11.3 No service password-encryption Hostname 2600 Ip nat pool bbb 192.1.1.1 192.1.1.1 netmask 255.255.255.0 Ip nat inside source list 1 pool bbb overload Interface Ethernet 0 Ip address 10.1.1.1 255.255.255.0 Ip nat inside Interface Serial 0 Ip address 192.1.1.1 255.255.255.0 Ip nat outside No ip mroute-cache Bandwidth 2000 No fair-queue Clockrate 2000000 Interface Serial 1 No ip address Shutdown No ip classless Ip route 0.0.0.0 0.0.0.0 Serial 0 Access-list 1 permit 10.1.1.0 0.0.0.255 Line con 0 Line aux 0 Line vty 0 4 Password cisco End 实验2.7 访问列表的配置 1.实验目的 理解通配符掩码、隐含拒绝全部等概念,并掌握通过使用访问控制列表(ACL),来完成配置流量过滤的实际过程的操作。 完成本实验后将能够: 1)理解通配符掩码、隐含的拒绝全部等概念。 2)制定一个流量过滤策略。 3)实现通过路由器的接口出或入报文的过滤。 2.实验环境 1)CISCO 2600路由器1台。 2)运行DOS的计算机1台。 3)连网环境。 3.实验内容 控制一个网络上的流量是非常必要的,这些流量可能以各种不同的形式出现,或者是用户数据或者是路由协议刷新流量的网络开销。此外指定哪些内容将被控制或滤除的能力也是非常重要的。在今天的网络环境中,过滤流量的前提通常是因为网络安全的需要,你将会看到安全并不是惟一的原因。 可以通过使用访问控制列表(ACL),来完成配置流量过滤的实际过程,这是CISCO的网络操作系统(IOS)中的一个特点。 访问控制列表是用来过滤通过路由器的接口出或入的报文。根据已经配置的内容,路由器将会决定或者丢弃这个报文或者转发这个报文。如何实现ACL还有大量的因素需要考虑,这需制定一个流量过滤策略。首先必须为ACL选择一个或更多的路由器接口,可以把ACL应用到多种不同的网络接口类型上,包括串口、以太网接口以及令牌环接口;其次,为ACL选择应用的方向:或者入站或者出站;最后,必须指定将被过滤的网络协议,例如,网际协议(IP),网际信息包交换协议(IPX),或者AppleTalk协议。几乎每种网络协议都可以使用ACL过滤。 1)构造标准访问列表 当使用标准的IP访问列表来过滤流量时,路由器将仅仅使用数据报文的源IP地址来判断这个报文是否匹配。如果完成了匹配,再根据ACL配置行上的关键字来决定这个报文是被允许通过还是被拒绝。一个标准的IP访问列表可以允许或拒绝整个IP协议。 从全局配置模式下进人标准IP访问列表的配置,其配置语法如下所示: Access-list access-list-number{permit|deny}source[wildcard-mask] 对于标准的IP访问列表,所允许的Access-list-number号的范围是从1—99。通过这个号把访问列表定义为一个标准的IP访问列表。 一旦配置了全局访问列表语句,随后就必须用一个在接口配置模式下输入的命令把访问列表语句应用到一个接口上。如果全局访问列表语句没有应用到一个接口上,这些语句将不会起作用,换句话说,所有的流量将会继续通过。把ACL应用到一个接口上的语法如下所述: 在下面的例子中,将会允许来自于子网10.1.1.0的所有IP流量进入到以太网接口E0,所有其他的IP流量将会被拒绝。 Router(config)#access-list l permit 10.1.1.0 0.0.0.255 Router(config)#accecc-list 1 deny any Router(config)#interface ethernet 0 Router(config-if)#ip access-group 10l in 注意:构造ACL语句自身时,应当首先进入到全局配置模式,然后进入到接口配置模式,把ACL同以太网接口E0联系在一起,一次一行。 在下面的两个部分里,你将会看到,语句的顺序同使用的掩码一样重要。最后,要注意ACL语句是共享一个ACL号的,比如在前面的例子中,ACL号是1。 2)理解通配符掩码 通配符掩码为ACL语句定义了标准。在同一个ACL语句中,与32位地址长度相比较,通配符掩码也是32位的串。在32位长通配符掩码中,0意味着“必须完全准确匹配”,1则意味着“不用管它”。 比较通配符与IP地址的区别: 0.0.0.255的通配符与IP地址10.1.1.0相比较,它们都是32位串,因此0.0.0.255也就等于00000000 00000000 00000000 11111111,而10.1.1.0也就等于0000X0X0 0000000X 0000000X 00000000。 当这两个32位串相比较时,将会发现前面3个八位位组(10.1.1)必须完全匹配,最后一个八位位组可以是任何合法的数字。因此,在这个例子中,任何以10.1.1开始的IP地址的报文将会被匹配。 使用“0”和“1”的组合将产生一个通配符掩码,她可以定义任何IP地址、子网、网络等。 3)理解访问列表语句的顺序 当产生一个访问列表时,全局性的Access-list语句的顺序是非常重要的,因为路由器处理这些语句的顺序是从列表的顶部到列表的底部的。路由器总是首先访问列表的第一条语句,其次是第二条语句,然后是第三条语句等等,以此类推。 提示:许多特殊的访问列表语句应当出现在通用访问列表语句之前。 由于需要依照ACL中的语句来检查每一个报文,一旦依照ACL语句行发现匹配了,将会执行或者允许或者拒绝的动作,同时路由器将会停止处理ACL语句中的剩余部分。因此,如果可能的话,把你最想要的语句放在靠近整个列表的首部是很有意义的,因为对于一个给定的报文,越早完成匹配,将越早过滤掉这个报文,同时需要的处理过程就越少。然而,你必须注意不要为了使路由器处理更少的语句,而改变你想要的过滤策略,如下面例子所示: Router(config)#access-list l permit any Router(config)#access-list l deny 10.1.1.0 0.0.0.255 Router(config)#interface ethernet 0 Router(config-if)#ip access-group 101. in 在这个例子中,其目的是要拒绝来自于子网10.1.1.0的IP流量,同时允许所有其他的Ip流量。然而,如果你配置了这个ACL,所有的IP流量,包括子网10.1.1.0的流量,都将会被允许通过。这是因为子网10.1.1.0将会匹配ACL的第一行,即允许所有的IP流量,于是永远不会有报文被拒绝。在这个例子里,尽管大部分流量将会匹配“允许”语句,但要想达到所期望的效果,必须把这个语句放在更为具体的“拒绝”语句的下面。 4)理解“隐含拒绝全部”的概念 无论何时在CISCO路由器上创建一个IP访问列表,IOS都会在ACL后面加上一行没写出来命令Implicitdenyall,即不管你的访问列表包括一行还是许多行,这条语句都是存在的。为使事情变得更为复杂,隐含拒绝全部的语句将不会显示在路由器的输出上,但你必须假定它是存在的。由于隐含拒绝全部的语句的存在,如果不想拒绝所有的流量,在访问列表中必须至少有一条允许语句。如果不是这样,则将会拒绝所有的IP流量。 为了便于理解,下面将举一个使用隐含拒绝全部的语句的例子: Router(config)#access-list l permit 10.1.1.0 0.0.0.255 Router(config)#interface ethernet 0 Router(config-if)#ip access-group 10l in 在这个例子中,过滤的策略是在以太网E0上允许网络10.1.1.0进入,同时拒绝所有其他的内容,因为每一个ACL在其最后一条语句的后面都内置了一个没有写出来的Implicitdenyall命令。在这个ACL里可以仅仅使用一行语句来制定这个策略,网络10.1.1.0将会被允许,而所有剩余的IP流量将会被拒绝。 4.实验步骤 1)用标准访问列表屏蔽10.1.20.0到10.1.20.255的所有主机:  (1)登录路由器10.1.4.2 telent 10.1.4.2 (2)进入配置模式 Router#conf t (3)修改访问列表 access-list 1 deny 10.1.20.0 0.0.0.255 (4)有意识地选择IP地址,发送一些报文,观察发送情况并记录之。 2)用标准访问列表允许10.1.20.4主机 (1)登录路由器10.1.4.2 telnet 10.1.4.2 (2)进入配置模式 Router#conf t (3)修改访问列表 access-list 1 permit 10.1.20.4 (4)有意识地选择IP地址,发送一些报文,观察发送情况并记录之。 实验2.8 路由器配置的备份 1.实验目的 掌握路由器配置文件的备份和提取的操作。 完成本实验后将能够: 1)备份系统映象到网络服务器。 2)备份配置文件到网络服务器。 3)把系统映象从网络服务器拷贝到路由器的Flash Memory。 4)把配置文件从网络服务器拷贝到路由器的NVRAM。 2.实验环境 1)CISCO 2600路由器1台。 2)运行DOS的计算机1台。 3)TFTP服务器1台。 4)连网环境。 3.实验内容 路由器Router在网络中可能遭到黑客攻击后而使配置文件受损,将Router的配置文件进行备份可以使路由器快速地恢复正常。 CISCO路由器把它的系统软件存放在Flash memory里,每次启动路由器时,从Flash memory里调出系统并执行它,类似普通计算机的操作系统。 开机后,进入初始化配置或用“configer”,“setup”作配置后,所作的配置要保存起来以便下一次启动可直接运行,这就是配置文件了。配置文件存在非易失的NVRAM中。配置文件分成Start-up configer和Running configer两种。Start-up configer是开机时启动NVRAM中的配置。由于CISCO路由器的指令系统是即时生效的,所以运行的配置可能与启动时的配置不同,把Running configer写到NVRAM中才是Start-up configer。 路由器的系统文件和配置文件都可以象普通计算机一样拷贝进来或拷贝出去。把系统文件和配置文件保存在网中的服务器上是一个很好的做法,她帮助你在系统或配置文件丢失时,能尽快地恢复系统正常运行。当系统出现故障,系统升级,配置文件拷贝等,需要把服务器里软件拷贝到路由器里。 内存体系结构介绍: CISCO路由器的软件部分即网络操作系统IOS。通过IOS,CISCO路由器可以连接IP,IPX,IBM,DEC,AppleTalk的网络,并实现许多丰富的网络功能。软件是需要内存的,CISCO 2600系列路由器的内存体系结构,如图3.1。  图3.1 CISCO2600系列路由器的内存体系结构 CISCO 2600系列路由器的内存体系结构中,ROM相当于计算机的BIOS,CISCO路由器运行时首先运行ROM中的程序。该程序主要进行加电自检,对路由器的硬件进行检测。她含引导程序及IOS的一个最小子集。ROM为一种只读存储器,系统掉电后程序也不会丢失。 FLASH是一种可擦写、可编程的ROM,FLASH包含IOS及微代码。可以把它想象和计算机的硬盘功能一样,但其速度快得多。可以通过写入新版本和OS对路由器进行软件升级。FLASH中的程序,在系统掉电时也不会丢失。 DRAM是动态内存。该内存中的内容在系统掉电时会完全丢失。DRAM中主要包含路由表,ARP缓存,fast-switch缓存,数据包缓存等。DRAM中也包含有正在执行的路由器配置文件。 NVRAM中包含路由器配置文件,NVRAM中的内容在系统掉电时不会丢失。 一般地,路由器启动时,首先运行ROM中的程序,进行系统自检及引导,然后运行FLASH中的IOS,并在NVRAM中寻找路由器的配置,并将装入DRAM中。 拷贝命令用于IOS及Config的备份和升级,操作见图3.2。?  图3.2 路由器的Copy命令 4.实验步骤 1)备份系统映象到网络服务器 拷贝系统文件给TFTP服务器,首先要在TFTP服务器中指定目录下生成一个具有读,写和可执行的文件。相关的命令如下: 命令 功能  show flash all 或 show flash[device:] (Cisco7000,7200和7500系列) 显示(可选的)Flash memory中系统的文件名  copy flash tftp 或 copy file-id tftp (Cisco7000,7200和7500系列) 拷贝系统文件到TFTP Server   2)备份配置文件到网络服务器的相关命令如下: 命令 功能  copy running-config tftp 或 copy startup-config tftp 把配置文件保存在TFTP Server中   3)把系统映象从网络服务器拷贝到路由器的Flash Memory 网络上要有服务器作TFTP Server,用TFTP把系统文件拷贝到路由器的Flash memeory中。相关命令如下: 命令 功能  copy tftp flash 或 copy tftp file-id (Cisco7000,7200和7500系列) 拷贝系统文件到Flash memory   具体步骤为: Env-chassis#copy tftp flash IP address or name of remote host[255.255.255.255]?172.16.1.111 Name of file to copy?gs7-k Copy gs7-k from 172.16.13.111 into flash memory?[confirm] Flash is filled to capacity. Erasure is needed before flash may be written. Erase flash before writing?[confirm] eeeeeeeeeeeeeeee... Loading from 172.16.1.111:!!!!... [OK-1906676/4194240 bytes] Verifying via checksum... vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv vvvvvvvvvvvvvvvvvvvvvvvvvvvvv Flash verification successful. Length = 1906676, checksum = 0x12AD 注意:在作系统升级时,为防止不正确操作等引起的升级失败,请先把路由器原有的系统备份下来。操作步骤参阅1)备份系统映象到网络服务器。作系统升级时,请指定ip default路由。 4)把配置文件从网络服务器拷贝到路由器的NVRAM 相关命令如下: 命令 功能  copy tftp running-config 或 copy tftp startup-config 从TFTP Server中把文件拷入路由器   实验2.9 路由器安全管理 1.实验目的 理解路由器中防火墙的概念,掌握其配置及使用的操作。 完成本实验后将能够: 1)配置PIX防火墙。 2)配置外部防护路由器。 3)配置内部网防护路由器。 2.实验环境 1)CISCO 2600路由器1台。 2)运行DOS的计算机1台。 3)连网环境。 3.实验内容: 为了防止非法入侵,需要使用专用的防火墙计算机。路由器防火墙只能作为过滤器,并不能把内部网络结构从入侵者眼前隐藏起来。只要允许外部网络上的计算机直接访问内部网络上的计算机,就存在着攻击者可以损害内部局域网上机器的安全性,并从那里攻击其他计算机的可能性。CISCO提供了PIX (Private Internet eXchange,私有Internet交换)防火墙,它运行自己定制的操作系统,事实证明,它可以有效地防止非法攻击。 从外部世界看来,内部计算机好象就是直接连接到PIX的外部接口似的。由于PIX的外部接口是Ethernet接口,所以,向主机传送信息包需要用到MAC地址。为了使内部主机在数据链路层和网络层上看起来都好象是连接在外部接口上的,PIX运行了代理ARP,代理ARP给外部网络层IP地址指定数据链路MAC地址,这就使得内部计算机看起来像是在数据链路层协议的外部接口上似的。大多数情况下,与外部网络的通信是从内部网络中发出的。由于PIX是对信息包进行操作,而不是在应用过程级(代理服务器则采用这种方法),PIX既可以跟踪UDP会话,也可以跟踪TCP连接。当一个计算机希望同外部计算机进行通信时,PIX记录下内部来源地址,然后从外部地址库分配一个地址,并记录下所进行的转换。这就是人们常说的有界NAT(stateful NAT),这样,PIX就能记住它在同谁进行交谈,以及是哪个计算机首先发起的对话。只有已被确认的来自外部网络的信息包才会运行,并进入内部网络。 不过,有时也需要允许外部计算机发起同指定的内部计算机的通信。典型的服务包括电子邮件、WWW服务、以及FTP服务。PIX给一个内部地址硬编码一个外部地址,这个地址是不会过期的。在这种情况下,用到对目标地址和端口号的普通过滤。除非侵入PIX本身,外部用户仍然是无法了解内部网络结构的。在不了解内部网络结构的情况下,恶意用户就无法从内部主机向内部网络实施攻击。 PIX另一个关键性的安全特性是对TCP信息包的序列编号进行随机化处理。由于IP地址电子欺骗的方法早已公布,所以,入侵者已经有可能通过这种方法,控制住一个现成的TCP连接,然后向内部局域网上的计算机发送它们自己的信息。要想做到这一点,入侵者必须猜出正确的序列编号。在通常的TCP/IP中实现是很容易的,因为每次初始化连接时,大都采用一个相同的编号来启动会话。而PIX则使用了一种数学算法来随机化产生序列编号,这实际上使得攻击者已经不可能猜出连接所使用的序列编号了。 4.实验步骤 配置PIX防火墙,从理论上讲,所需做的就是指定一个IP地址和一个用来对外部进行访问的地址库,一个针对内部连接的IP地址和网络掩码、RIP、超时以及其他附属安全信息。 1)PIX防火墙 ip address outside 131.1.23.2 //设置PIX防火墙的外部地址 ip address inside 10.10.254.1 //设置PIX防火墙的内部地址 global 1 131.1.23.10-131.1.23.254 //设置一个内部计算机与Internet上计算机进行通信时所需的全局地址池 nat 1 10.0.0.0 //允许网络地址为10.0.0.0的网段地址被PIX翻译成外部地址 static 131.1.23.11 10.14.8.50 //网管工作站固定使用的外部地址为131.1.23.11 conduit 131.1.23.11 514 udp 131.1.23.1 255.255.255.255 //允许从RTRA发送到网管工作站的系统日志包通过PIX防火墙 mailhost 131.1.23.10 10.10.254.3 //允许从外部发起的对邮件服务器的连接(131.1.23.10) telnet 10.14.8.50 //允许网络管理员通过远程登录管理IPX防火墙 syslog facility 20.7 syslog host 10.14.8.50 //在位于网管工作站上的日志服务器上记录所有事件日志 在网络上发送若干有关报文,观察现象并记录之。 2)路由器RTRA RTRA是外部防护路由器,它必须保护PIX防火墙免受直接攻击,保护FTP/HTTP服务器,同时作为一个警报系统,如果有人攻入此路由器,可以立即通知管理者。 no service tcp small-servers //阻止一些对路由器本身的攻击 logging trap debugging //强制路由器向系统日志服务器发送在此路由器发生的每一个事件,包括被存取列表拒绝的包和路由器配置的改变。这个动作可以作为对系统管理员的早期预警:预示有人在试图攻击路由器,或者已经攻入路由器,正在试图攻击防火墙。 logging 131.1.23.11 //此地址是网管工作站的外部地址,路由器将记录所有事件到此主机上的enable secret xxxxxxxxxxx。 interface Ethernet 0 ip address 131.1.23.1 255.255.255.0 interface Serial 0 ip unnumbered ethernet 0 ip access-group 110 in //保护PIX防火墙和HTTP/FTP服务器以及防卫欺骗攻击(见存取列表) access-list 110 deny ip 131.1.23.0 0.0.0.255 any log //禁止任何显示为来源于路由器RTRA和PIX防火墙之间的信息包,这可以防止欺骗攻击。 access-list 110 deny ip any host 131.1.23.2 log //防止对PIX防火墙外部接口的直接攻击并记录到系统日志服务器任何企图连接PIX防火墙外部接口的事件。 access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established //允许已经建立的TCP会话的信息包通过 access-list 110 permit tcp any host 131.1.23.3 eq ftp //允许和FTP/HTTP服务器的FTP连接 access-list 110 permit tcp any host 131.1.23.2 eq ftp-data //允许和FTP/HTTP服务器的FTP数据连接 access-list 110 permit tcp any host 131.1.23.2 eq www //允许和FTP/HTTP服务器的HTTP连接 access-list 110 deny ip any host 131.1.23.2 log //禁止和FTP/HTTP服务器的别的连接并记录到系统日志服务器任何企图连接FTP/HTTP的事件。 access-list 110 permit ip any 131.1.23.0 0.0.0.255 //允许其他预定在PIX防火墙和路由器RTRA之间的流量 line vty 0 4 login password xxxxxxxxxx access-class 10 in //限制可以远程登录到此路由器的IP地址 access-list 10 permit ip 131.1.23.11 //只允许网管工作站远程登录到此路由器,当你想从Internet管理此路由器时,应对此存取控制列表进行修改。 在网络上发送若干有关报文,观察现象并记录之。 3)路由器RTRB RTRB是内部网防护路由器,它是你的防火墙的最后一道防线,是进入内部网的入口。 logging trap debugging logging 10.14.8.50 //记录此路由器上的所有活动到网管工作站上的日志服务器,包括配置修改 interface Ethernet 0 ip address 10.10.254.2 255.255.255.0 no ip proxy-arp ip access-group 110 in access-list 110 permit udp host 10.10.254.0 0.0.0.255 //允许通向网管工作站的系统日志信息 access-list 110 deny ip any host 10.10.254.2 log //禁止所有别的从PIX防火墙发来的信息包 access-list permit tcp host 10.10.254.3 10.0.0.0 0.255.255.255 eq smtp //允许邮件主机和内部邮件服务器的SMTP邮件连接 access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255 //禁止别的来源与邮件服务器的流量 access-list deny ip any 10.10.254.0 0.0.0.255 //防止内部网络的信任地址欺骗 access-list permit ip 10.10.254.0 0.0.0.255 10.0.0.0 0.255.255.255 //允许所有别的来源于PIX防火墙和路由器RTRB之间的流量 line vty 0 4 login password xxxxxxxxxx access-class 10 in //限制可以远程登录到此路由器上的IP地址 access-list 10 permit ip 10.14.8.50 //只允许网管工作站远程登录到此路由器,当你想从Internet管理此路由器时,应对此存取控制列表进行修改。 按以上设置配置好PIX防火墙和路由器后,PIX防火墙外部的攻击者将无法在外部连接上找到可以连接的开放端口,也不可能判断出内部任何一台主机的IP地址,即使告诉了内部主机的IP地址,要想直接对它们进行Ping和连接也是不可能的。这样就可以对整个内部网进行有效的保护,防止外部的非法攻击。 在网络上发送若干有关报文,观察现象并记录之。 第2篇 课程设计 管理配置IP路由协议 1.课程设计要求 1.1 课程设计内容 (1)配置及管理IGRP (2)配置及管理Enhanced IGRP (3)配置及管理RIP (4)配置及管理静态路由 1.2 课程设计环境 网络集成实验环境 1.3 课程设计结果 记录每步操作及系统的输出,验证所配置的路由协议,分析课程设计的过程,总结课程设计的体会,提交课程设计的报告。 2.课程设计有关知识基础 课程设计所涉及的有关知识基础有: (1)选择路由协议的原则; (2)配置IGRP,包括Cisco's IGRP的实现,IGRP的路由交换,IGRP的配置; (3)配置Enhanced IGRP,包括Cisco's Enhanced IGRP的实现,EIGRP的配置,IGRP到EIGRP的迁移; (4)配置RIP,包括RIP的配置,RIP与IGRP,EIGRP的迁移; (5)配置静态路由。 Cisco IOS支持的协议有2种: (1)内部网关协议,它是在一个自治系统内部交换路由信息的路由协议,有IGRP, EIGRP,OSPF,RIP和IS-IS等等。 (2)外部网关协议,它是为连接两个或多个自治系统的路由协议,有BGP和EGP等等。 2.1 选择路由协议的原则 选择一个路由协议是一个非常复杂的工作。在选择路由协议时,可参考以下几点: (1)网络的大小和复杂性 (2)支持可变长掩码(VLSM)。Enhanced IGRP,IS-IS,OSPF和静态路由支持可变长掩码。 (3)网络流量大小 (4)安全需要 (5)网络延迟特性 下面就分别介绍各种路由协议的特点和配置. 2.2 配置IGRP 内部网关路由协议(Interior Gateway Routing Protocol——IGRP)是一个动态的,长跨度的路由协议,它是Cisco公司八十年代中期设计实现的,具有在一个自治系统内具有高跨度,适合复杂网络的特点。 2.2.1 Cisco's IGRP的实现 IGRP的网络延迟,带宽,可靠性和负载都是可由用户配置决定的。 IGRP广播3种类型的路由:内部的,系统的和外部的,如课程图1.1所示。 内部的路由是在1台路由器的端口上连接子网的路由。如果1台路由器连接的网络是非子网的,IGRP就不广播内部路由。 系统路由是一个自治系统内的路由。Cisco IOS软件从直连的网络接口上获得系统路由,并把它提供给其它的支持IGRP协议的路由器或访问服务器。系统路由不包括子网信息。 外部路由是自治系统之间的路由。 2.2.2 IGRP的路由交换 默认的,1个运行IGRP路由协议的路由器每90秒广播一次路由信息。如果在270秒内未收到某路由器的回应,它则认为目前该路由器不可到达;若在630秒后仍未有应答,则把有关它的路由信息从路由表中删掉。  课程图1.1 内部,系统和外部路由 2.2.3 IGRP的配置 指定路由器IGRP协议: 命令 功能  router igrp process number 激活IGRP路由,进入路由配置模式  nework network-number 加入网络直连的网段  2.3 配置Enhanced IGRP Enhanced IGRP是Cisco公司开发的IGRP的增强的版本。它使用与IGRP相同的路由算法,但它在许多方面对IGRP作了较大的改进。 2.3.1 Cisco's Enhanced IGRP的实现 Cisco's Enhanced IGRP提供了以下特性: (1)自动重新分配——IP IGRP路由可以自动地重新分配到EIGRP中,IP EIGRP也可以自动地重新分配到IGRP中。如果愿意,也可以关掉重新分配。 (2)可扩展的网络——对于IP RIP,你的网络最大只有15个hops,而当使用EIGRP时,最大可以有224个hops。 (3)触发的路由表——EIGRP并不象IGRP那样经过一定的时间间隔后交换路由信息的,而是只有当路由表有变化时才把路由表广播出去的,叫做触发式的(triggered)。 (4)支持可变长掩码(VLSM)。 2.3.2 配置Enhanced IGRP 指定EIGRP路由协议: 命令 功能  router eigrp process number 激活EIGRP路由,进入路由配置模式  nework network-number 加入网络直连的网段  更加详细的资料请看Cisco CD或Cisco的主页。 2.3.3 IGRP到EIGRP的迁移 在同1个自治系统的IGRP和EIGRP是自动能够重新分配的,而在不同的2个自治系统之间,需作如下配置: 命令 功能  redistribute protocol [option] 在路由配置模式下,指定路由重新分配  default-metric bandwidth delay reliability loading mtu 在所有的非IGRP环境下使用相同的metric值  2.4 配置RIP 路由信息协议(Routing Information Protocol——RIP)是一个相对比较老的,但仍被广泛使用的路由协议。 RIP广播一个UDP数据包来更换路由信息,每个路由器间隔30秒更换一次路由信息,在180秒内未收到某路由器的回应,它则认为目前该路由器不可到达;若在270秒后仍未有应答,则把有关它的路由信息从路由表中删掉。 2.4.1 RIP的配置 指定IP RIP路由协议: 命令 功能  router rip 激活RIP路由,进入路由配置模式  nework network-number 加入网络直连的网段  2.4.2 RIP到IGRP,EIGRP的迁移 命令 功能  redistribute protocol [option] 在路由配置模式下,指定路由重新分配  default-metric number 在所有的非IGRP环境下使用相同的metric值  2.5 配置静态路由 在某些环境下,需要尽量小的路由交换和其它一些特殊环境下会用到静态路由。 命令 功能  ip route network[mask] address [distance] 在Global配置模式下,指定网关静态路由  ip route network[mask] interface [distance] 在Global配置模式下,使用串口指定静态路由  3.IP路由协议配置实例 Configure IGRP Example IGRP and EIGRP Redistribution Example RIP and EIGRP Redistribution Example Static Routing Redistribution Configure Example Route Filtering Example Redistribution Filtering 3.1 Configure IGRP Example 假设Router A连接到130.108.0.0和10.0.0.0这两个直连网段上。 RouterA#config terminal(在“#”提示符下) RouterA(config)#router igrp 15 (进入配置模式) RouterA(config-router)#network 130.108.0.0 (进入路由配置子模式) RouterA(config-router)#network 10.0.0.0 3.2 IGRP and EIGRP Redistribution Example 在AS 200和AS 100两个自治系统内,分别跑EIGRP和IGRP协议,要想互相通信:  Configuration for RouterA router eigrp 200 network 201.222.5.0 redistribute igrp 100 default-mertic 56 2000 255 1 1500 router igrp 100 network 131.108.0.0 redistribute eigrp 200 default-metric 56 2000 255 1 1500 3.3 RIP and EIGRP Redistribution Example  Configuration for RouterA router rip network 201.222.5.0 redistribute eigrp 100 default-mertic 3 router eigrp 100 network 131.108.0.0 redistribute rip default-metric 56 2000 255 1 1500 3.4 Static Routing Redistribution Configure Example Configuration for RouterA ip route 131.108.1.0 255.255.255.0 131.108.2.1 ! router eigrp 1 network 192.31.7.0 default-metric 10000 100 255 1 1500 redistribute static distribute-list 3 out static ! access-list 3 permit 131.108.0.0 0.0.255.255 3.5 Route Filtering Example 在路由器B上,过滤掉由10.0.0.0发送过来的路由信息,那么在201.222.5.0这个网段上是不能与10.0.0.0这个网通信的,换句话说,在201.222.5.0一端隐藏了10.0.0.0这个网。  Configuration for Router router eigrp 1 network 131.108.0.0 network 201.222.5.0 distribute-list 7 out s0 ! access-list 7 permit 131.108.0.0 0.0.255.255 access-list 7 deny 10.0.0.0 0.255.255.255 3.6 Redistribution Filtering 效果同上,但是在两个不同的路由协议下的。  Configuration for Router router rip network 201.222.5.0 redistribute eigrp 100 default-mertic 3 ! router eigrp 100 network 131.108.0.0 redistribute rip default-metric 56 2000 255 1 1500 distribute-list 7 out rip ! access-list 7 deny 10.0.0.0 0.255.255.255 access-list 7 permit 0.0.0.0 255.255.255.255