计算机网络工程实验教案

组网工程技术实验教案

课程名称： 组网工程技术 授课班级： 08网络工程1、2班 教师姓名： 日期时间： 2010.10

实验一 VLAN的规划及配置（2

一、实验目的

课时）

通过VLAN的规划及配置，了解VLAN(虚拟局域网)的作用，掌握在一台交换机上划分VLAN的方法和跨交换机的VLAN的配置方法，掌握Trunk端口的配置方法，了解VLAN数据帧的格式、VLAN标记添加和删除的过程。为大型局域网设计奠定坚实基础。

二、实验内容

1.理解VLAN的划分方式； 2.掌握VLAN的规划知识；

3.掌握VLAN的静态配置操作及一种动态配置操作.

三、仪器、设备和材料

带XP操作系统电脑、交换机、配置线、网线等。

四、实验原理

S3525A S3525B

E0/1 E0/1

E0/2 E0/2 E0/9 E0/17 E0/9 E0/17 PCA vlan2 PCB vlan3 PCC vlan2 PCD vlan 3

1．VLAN的产生

以太网交换机在数据链路层上基于端口进行数据转发，使得冲突域被缩小到交换机的每一个端lYl，有效地提高了网络的利用率。但是，随着网络规模的增大，网络内主机数量将急剧增加。如果这些主机都属于同一个局域网，也就是属于同一个广播域，那么网络中任一主机发送的广播报文将被转发给该广播域内所有主机，这样网络的利用率就会大大下降。网络中将传播过多的广播信息而引起的网络性能恶化的现象称为广播风暴。

怎样才能够避免这种情况的发生呢?首先想到的应该是减小广播域内的主机量，也就是将大的广播域隔离成多个较小的广播域，这样主机发送的广播报文就只能在自己所属的某一个小的广播域内传播，从而提高了整个网络的带宽利用率。最早用来隔离广播域的设备就是常见的路由器，但是路由器在处理数据报文时需要经过繁琐的软件处理，并且由于路由器其他功能的兼顾使路由器的成本变得让一般局域网用户无法接受。经过一段时间的发展，出现

了现在广泛应用的VLAN技术--一种专门为隔离二层广播报文设计的虚拟局域网技术。

路由器隔离广播域，是因为路由器的数据转发都在IP层进行，所以对于二层本地广播来说，它是无法通过路由器的。那么VLAN技术又是如何实现广播报文的隔离呢?在VLAN技术中，规定凡是具有VLAN功能的交换机在转发数据报文时，都需要确认该报文属于某一个VLAN，并且该报文只能被转发到属于同一VLAN的端口或主机。即是说每一VLAN代表了一个广播域，不同的VLAN用户属于不同的广播域，它不能接收来自于不同VLAN用户的广播报文，如图2-4所示。

虚拟局域网将一组位于不同物理网段上的用户在逻辑上划分在一个局域网内，在功能和操作上与传统LAN基本相同，可以提供一定范围内终端系统的互联。VLAN与传统的LAN相比，具有以下优势：

·广播包，提高带宽的利用率； ·减少移动和改变的代价； ·虚拟工作组；

·用户不受物理设备的，VLAN用户可以处于网络中的任何地方； ·VLAN对用户的应用不产生影响； ·增强通信的安全性； ·增强网络的健壮性。 2．VLAN的划分

VLAN的主要目的就是划分广播域，那么在建设网络时，如何确定这些广播域?根据物理端口、MAC地址、协议还是子网?其实到目前为止，上述参数都可以用来作为划分广播域的依据。

(1)基于端口的VLAN划分

基于端口的VLAN划分方法是根据以太网交换机的端口来划分广播域的。也就是说，交换机某些端口连接的主机在一个广播域内，而另一些端口连接的主机在另一个广播域，VLAN和端口连接的主机无关，如图2-5和表2-2所示。

假设指定交换机的端口l和端口7属于VLAN2，端口2和端口10属于VLAN3，此时，主机A和主机C在同一VLAN，主机B和主机D在另一VLAN下。如果将主机A和主机B交换连接端口，则VLAN表仍然不变，而主机A变成与主机D在同一VLAN(广播域)，而主机B和主机C在另一VLAN下。如果网络中存在多个交换机，还可以指定交换机1的端口和交换机2的端口属于同一VLAN，这样同样可以实现VLAN内部主机的通信，也隔离广播报文的泛滥。所以这种VLAN划分方法的优点是定义VLAN成员非常简单，只要指定交换机的端口即可；但是如果VLAN用户离开原来的接入端口，而连接到新的交换机端口，就必须重新指定新连接的端口所属的VLAN ID。

(2)基于MAC地址的VLAN划分

基于MAC地址的VLAN划分方法是根据连接在交换机上主机的MAC地址来划分广播域的。也就是说，某个主机属于哪一个VLAN只和它的MAC地址有关，和它连接在哪个端口或者IP地址都没有关系。这种划分VLAN的方法最大的优点在于当用户改变物理位置(改变接人端口)时，不用重新配置。但是这种方法的初始配置量很大，要针对每个主机进行VLAN设置。尤其是那些容易更换网络接El卡的笔记本电脑用户，会经常迫使交换机更改配置。

(3)基于协议的VLAN划分

基于协议的VLAN划分方法是根据网络主机使用的网络协议来划分广播域的。也就是说，主机属于哪一个VLAN取决于它所运行的网络协议(如IP协议和IPX协议)，而与其他因素没有关系。这种VLAN划分在实际应用中非常少，因为目前绝大多数都是IP协议的主

机，其他协议的主机组件被IP协议主机代替，所以它很难将广播域划分得更小。

(4)基于子网的VLAN划分

基于子网的VLAN划分方法是根据网络主机使用的IP地址所在的网络子网来划分广播域的。也就是说，IP地址属于同一个子网的主机属于同一个广播域，而与主机的其他因素没有任何关系。这种VLAN划分方法管理配置灵活，网络用户自由移动位置而不需重新配置主机或交换机，并且可以按照传输协议进行子网划分，从而实现针对具体应用服务来组织网络用户。但这种方法也有它不足的一面，为了判断用户属性，必须检查每上个数据包的网络层地址，这将耗费交换机不少的资源；并且同一个端口可能存在多个VLAN用户，这将导致广播报文的抑制效率有所下降。

从上述几种VLAN划分方法的优缺点综合来看，基于端口划分VLAN是最普遍使用的方法之一，它也是目前所有交换机都支持的一种VLAN划分方法。有少量交换机支持基于MAC地址的VLAN划分。

五、实验步骤

S3526A上配置：

[Quidway]sysname S3526A [S3526A]interface e0/1

[S3526A-Ethermet0/1]duplex full [S3526A-Ethermet0/1]speed 100 [S3526A-Ethermet0/1]interface e0/2 [S3526A-Ethermet0/2]duplex full [S3526A-Ethermet0/2] speed 100 [S3526A-Ethermet0/2]quit

[S3526A]link-aggregation Ethermet0/1to Ethermet0/2 both S3526B上配置:

[Quidway]sysname S3526B [S3526B]interface e0/1

[S3526B-Ethermet0/1]duplex full [S3526B-Ethermet0/1]speed 100 [S3526B-Ethermet0/1]interface e0/2 [S3526B-Ethermet0/2]duplex full [S3526B-Ethermet0/2] speed 100 [S3526B-Ethermet0/2]quit

[S3526B]link-aggregation Ethermet0/1to Ethermet0/2 both 配置每一台PC属于特定的VLAN [S3526A]Vlan2

[S3526A-Vlan2]port Ethermet0/9 to Ethermet 0/16 [S3526A-Vlan2] Vlan3

[S3526A-Vlan3]port Ethermet0/17to Ethermet0/24 [S3526B]Vlan2

[S3526B-Vlan2]port Ethermet0/9 to Ethermet0/16 [S3526B-Vlan2] Vlan3

[S3526B-Vlan3]port Ethermet0/17to Ethermet0/24

配置交换机之间的端口为Truck口，并且允许所有VLAN通过

[S3526A]interface e0/1

[S3526A-Ethermet0/1] port link-type truck 允许所有VLAN通过Truck端口

[S3526A-Ethermet0/1] port truck permit vlan all [S3526A-Ethermet0/1] interface e0/2

[S3526A-Ethermet0/2] port link-type truck 允许所有VLAN通过Truck端口

[S3526A-Ethermet0/2] port truck permit vlan all [S3526B]interface e0/1

[S3526B-Ethermet0/1] port link-type truck 允许所有VLAN通过Truck端口

[S3526B-Ethermet0/1] port truck permit vlan all [S3526B-Ethermet0/1]interface e0/2

[S3526B-Ethermet0/2] port link-type truck 允许所有VLAN通过Truck端口

[S3526B-Ethermet0/2] port truck permit vlan all

配置完后。可以看到同一Vlan内PC可以相互访问，不同的Vlan内PC不可以相互访问

六、实验结果分析

实验同一个vlan 之间能通信，不同vlan之间电脑不能通信

七、思考题

理解vlan 的功能及特点

实验二、路由器交换机综合实验（2课时）

一、实验目的

通过路由器动态路由协议配置的学习，使学生了解或掌握RIP的基本知识、协议特点优点及带来的问题，训练或培养学生配置基本RIP命令的技能，为今后继续路由器综合试验的学习奠定基础。

二、实验内容

学习关于RIP一些基本知识； 了解RIP协议的特点； 明确RIP缺点和优点；

学习如何配置基本RIP命令； 知道使用RIP协议所带来的问题； 三、仪器、设备和材料

带XP操作系统电脑、路由器、配置线、网线等 四、实验原理

五、实验步骤

在画图时选择RouterC的s0、s1端口作为DCE端口。 pc机的地址如下。

ip address subnet mask default-gateway HostA 10.65.1.1 255.255.0.0 10.65.1.2 HostB 10.66.1.1 255.255.0.0 10.66.1.2 HostC 10.69.1.1 255.255.0.0 10.69.1.2 HostD 10.70.1.1 255.255.0.0 10.70.1.2 （2）对RouterA进行配置，在配置好各端口ip地址后激活该端口。各端口ip地址如下。 E0/0：ip地址10.65.1.2，子网掩码255.255.0.0。 E0/1：ip地址10.66.1.2，子网掩码255.255.0.0。 s1：ip地址10.68.1.2，子网掩码255.255.0.0。 （3）在RouterA上配置RIP动态路由。 （4）对RouterB进行配置，在配置好各端口ip地址后激活该端口。各端口ip地址如下。 E0/0：ip地址10.69.1.2，子网掩码255.255.0.0。 E0/1：ip地址10.70.1.2，子网掩码255.255.0.0。 s0：ip地址10.78.1.2，子网掩码255.255.0.0。 （5）在RouterB上配置RIP动态路由。 （6）对RouterC进行配置，在配置好各端口ip地址后激活该端口。各端口ip地址如下。

s0：ip地址10.68.1.1，子网掩码255.255.0.0。 s1：ip地址10.78.1.1，子网掩码255.255.0.0。 s0、s1端口的时钟频率都设置为000。 （7）在RouterC上配置RIP动态路由。

（8）查看RouterA的路由表，将路由表写在下面。 （9）查看RouterB的路由表，将路由表写在下面。 （10）查看RouterC的路由表，将路由表写在下面。 （11）测试pc之间的连通性。 六、实验结果分析

PC间互通实验成功

实验三：路由综合实验（2课时）

一、实验目的

进一步深入理解路由协议的配置。

二、实验内容

在路由器上配置静态路由、RIP和OSPF协议，实现互通。

三、仪器、设备和材料

华为路由器、交换机、电脑、配置线、网线。

四、实验原理

综合实验的模拟环境，实验共需要四台路由器、一台交换机和四台主机。

图2-66路由协议综合实验组网图

路由器的各接口IP地址分配如下：

RTA RTB RTC RTD

E0 202.0.0.1/24 202.0.1.1/24 202.0.2.1/24 202.0.3.1/24 SO 192.0.0.1 /24 192.0.0.2／24 192.0.2.1／24 192.0.2.2／24 S1 192.0.1.1／24 192.0.1.2／24 主机的IP地址和网关地址分配如下：

PCA PCB PCC PCD

IP 202.0.0.2/24 202.0.1.2/24 202.0.2.2/24 202.0.3.2／24 Address

Gateway 202．0．0．1 202．0．1．1 202．0．2．1 202．0．3．1

实验中要求进行了OSPF协议的配置。读者可参考实验步骤完成配置。 实验中路由器的各串口默认封装PPP协议，不做另外的配置。 为了不受路由器原来的配置影响，在实验之前请先将所有路由器的配置数据擦除后重新启动。交换机在此不需要配置。

五、实验步骤

(1) 启动路由协议及配置静态路由

在RTA与RTB之间配置静态路由，RTB与RTC之间启动RIP协议，RTC与RTD之间启动OSPF协议。具体使能哪些网段详见配置信息。在此，我们先不配置路由引入，看能否实现全网互通。配置好后，配置信息如下：

路由器A的配置信息： [Quidway]sysname RouterA [RouterA]interface Ethemet0

[RouterA-Ethemet0]ip address 202．0．0．1 255.255.255.0 [RouterA-Ethemet0]interface Serial0

[RouterA-Serial0]ip address l92．0．0．1 255.255.255.0 [RouterA-Serial0]quit

[RouterA]ip route 0．0．0．0 0 192．0．0．2 路由器B的配置信息： [RouterB]int e0

[RouterB-Ethernet0]ip addr 202．0．1．1 24 [RouterB—Ethemet0]int s0

[RouterB—Serial0]ip addr l92．0．0．224 [RouterB—Serial0]int sl

[RouterB—Serial0]ip addr l92．0．1．1 24 [ROuterB—Serial0]qu [RouterB] rip

[RouterB—rip]network l92．0．1．0 [RouterB—rip]network 202．0．1．0 [RouterB-rip]qu

[RouterB]ip route 202．0．0．024 192．0．0．1 路由器C的配置信息： [Quidway]Sysname routerC [RouterC]int e0

[RouterC-Ethemet0]ip addr 202．0．2．1 24 [RouterC-Ethernet0]ospf en a0 [RouterC-Ethemet0]qu [RouterC]int s0

[RouterC-Serial0]ip addr l92．0．2．1 2 [RouterC-Serial0]ospf en a0 [RouterC-Serial0]int sl

[RouterC-Serial1]ip addrl92．0．1．224 [RouterC—Seriall]qu [RouterC]rip

[ROuterC-rip]network 202．0．2．0 [RouterC-rip]network l92．0．1．0 [RouterC-rip]qu [RouterC]ospf en

路由器D的配置信息： [Quidway]Sysname RouterD [RouterD]int e0

[RouterD-Ethemet0]ip addr 202．0．3．1 24 [RouterD-Ethemet0]ospf en a0 [RouterD-Ethemet0] int s0

[RouterD-Serial0]ip addr l92．0．2．2 24 [RouterD-Serial0]ospf en a0 [RouterD-Serial0]qu [RouterD]ospf en

检查配置与以上配置相同后，用ping命令测试网络互通情况，我们会发现跨越路由器的网段不能互通，如202．0．0．0网段不能与202．0．2．0网段互通。在RTA上不能ping通192．0．2．0网段。这是由于不同路由协议发现的路由没有互相传递。通过查看路由器的路由信息可知不同路由协议之间没有相互交换路由信息，所以路由器不能发现整网的路由，从而不能全网互通。各路由器的路由表信息如示：

路由器A的路由表： [RouterA] dis ip ro RoutingTableS：

Destination／Mask Proto Pref Metric Nexth叩 Interface 0．0．0．0／0 Static 60 0 192．0．0．2 Serial0

127．0．0．0／8 Direct 0 0 127．0．0．1 LoopBack0 127．0．0．1／32 Direct 0 0 127．0．0．1 LoopBack0 192．0．0．1/0/24 Direct 0 0 192．0．0．2 Serial0

192．0．0．1／32 Direct 0 0 127．0．0．1 Loop Back0 192．0．0．2／32 Direct 0 0 192．0．0．2 Serial0 202．0．0．1/0/24 Direct 0 0 202．0．0．1 Ethemet0 202．0．0．1／32 Direct 0 0 127．0．0．1 Loop Back0 路由器B的路由表： [RouterB]dis ip ro RoutingTableS：

Destination／Mask Proto Pref Metric Nexthop Interface

127．0．0．0／8 Direct 0 0 127．0．0．1 LoopBack0 127．0．0．1／32 Direct 0 0 127．0．0．1 LoopBack0 192．0．0．1/0/24 Direct 0 0 192．0．0．1 Serial0 192．0．0．1／32 Direct 0 0 192．0．0．1 Serial0 192．0．0．2／32 Direct 0 0 127．0．0．1 LoopBack0 192．0．1．1/0/24 Direct 0 0 192．0．1．2Serial1 192．0．1．1／32 Direct 0 0 127．0．0．1LoopBack0 192．0．1．2／32 Direct 0 0 192．0．1．2Serial1 202．0．0．1/0/24 Stiatic 60 0 192．0．0．1 Serial0 202．0．1．1/0/24 Direct 0 0 202．0．1．1 Ethemet0 202．0．1．1／32 Direct 0 0 127．0．0．1 LoopBack0 202．0．2．1/0/24 RIP 100 1 192．0．1．2Serial1 路由器C的路由表： [RouterC]dlis ip ro RoutingTables：

Destination／Mask Proto Pref Metric Nexthop Interface

127．0．0．0／8 Direct 0 0 127．0．0．1 LoopBack0 127．0．0．1／32 Direct 0 0 127．0．0．1 LoopBack0 192．0．1．1/0/24 Direct 0 0 192．0．1．1 Serial1 192．0．1．1／32 Direct 0 0 192．0．1．1 Serial1 192．0．1．2／32 Direct 0 0 127．0．0．1 LoopBack0 192．0．2．1/0/24 Direct 0 0 192．0．2．2Serial1

192．0．2．1／32 Direct 0 0 127．0．0．1 LoopBack0 192．0．2．2／32 Direct 0 0 192．0．2．2 Serial1 202．0．1．1/0/24 RIP 100 1 192．0．1．1 Serial1 202．0．2．1/0/24 Direct 0 0 202．0．2．1 Eethernet0 202．0．2．1／32 Direct 0 0 127．0．0．1 LoopBack0 202．0．3．1/0/24 OSPF 10 1572 192．0．2．2 Serial0 路由器D的路由表： [RouterD)dis ip ro RoutingTables：

Destination／Mask Proto Pref Metric Nexthop Interface

127．0．0．0／8 Direct 0 0 127．0．0．1 LoopBack0 127．0．0．1／32 Direct 0 0 127．0．0．1 LoopBack0 192．0．2．1/0/24 Direct 0 0 192．0．2．1 Serial0 192．0．2．1／32 Direct 0 0 192．0．2．1 Serial0 192．0．2．2／32 Direct 0 0 127．0．0．1 LoopBack0 202．0．2．1/0/24 OSPF 10 1572 192．0．2．1 Serial0 202．0．3．1/0/24 Direct 0 0 202．0．3．1 Ethemet0 202．0．3．1／32 Direct 0 0 127．0．0．1 LoopBack0 (2) 引入其它路由协议 为了实现全网互通，我们需要路由器能在不同协议之间交换路由信息或者全网运行同一种路由协议，但实际网络中往往需要运行多种路由协议，所以我们在这里有必要介绍如何让不同路由协议交换路由信息。这涉及到路由引入即引入其它路由协议发现的路由。下面是配置完路由引入后各路由器的配置信息和路由信息表：

路由器A： [RouterA]dis cu

Now create conflguration…… Current configuration version 1．74 firewall enable Sysname RouterA

encrypt-card fast-switch !

Interface Aux0 Async mode now phy—mru 0

link-protocol ppp interface Ethemet0

ip address 202．0．0．1 255．255．255．0

interface serial0 1ink-protocol ppp

Ipa ddress 192．0．0．1 255．255．255．0 Interface Serial1 link-protocol ppp interface Serial2 1ink-protocol ppp Interface Serial3 1ink-protoco1 ppp

Ip route-static0．0．0．00．0．0．0 192．0．0．2 prefefence 60 ! reurn

[RouterA]dis ip ro RoutingTableS：

Destination／Mask Proto Pref Metric Nexthop Interface

0．0．0．0／0 Static 60 0 192．0．0．2Seftal0 127．0．0．0／8 Direct 0 0 127．0．0．1 LoopBack0 127．0．0．1／32 Direct 0 0 127．0．0．1 LoopBack0 192．0．0．1/0/24 Direct 0 0 192．0．0．2 Serial0 192．0．0．1／32 Direct 0 0 127．0．0．1 LoopBack0 192．0．0．2／32 Direct 0 0 192．0．0．2 Serial0 202．0．0．1/0/24 direct 0 0 202．0．0．1 Ethernet0 202．0．0．1／32 0 0 127．0．0．1LoopBack0 路由器B：

[RouterB-rip]import direct cost2 [RouterB-rip]import Staticcostt2 [RouterB]dis cu

Now create configuration… Current Configuration !

version 1．74 nrewallenable SysnameROUterB

encrypt—Card fast-switch interface Aux0 async moden flow phy-mru 0

1ink-protocol ppp !

Interface Ethemet 0

Ip address 202．0．1．1 255．255．255．0 !

Interface Serial0 Clock DTECLKl

link-protocol ppp

ip address 192．0．0．2255．255．255．0 !

interfaceSeriall 1ink-protocol ppp

Ip address l92．0．1．1 255．255．255．0 ! qult rip

network 202．0．1．0 network l92．0．1．0 import-route Static cost2 import-route directc cost2 202．0．0．1 Etheraet0 127．0．0．1 LoopBack0 ! quit ! quit

ip route-static 202．0．0．0255．255．255．0 192．0．0．1 preference 60 !

return

[RouterB]dis ip ro RoutingTables：

Destination／mask Proto Pref Metric Nexthop Interface

127．0．0．0／8 Direct 0 0 127．0．0．1 LoopBack0 127．0．0．1／32 Direct 0 0 127．0．0．1 LoopBack0 192．0．0．1/0/24 Direct 0 0 192．0．0．1 Serial0 192．0．0．1／32 Direct 0 0 192．0．0．1 Serial0 192．0．0．2／32 Direct 0 0 127．0．0．1 LoopBack0 192．0．1．1/0/24 Direct 0 0 192．0．1．2 Seriall 192．0．1．1／32 Direct 0 0 127．0．0．1 LoopBack0 192．0．1．2／32 Direct 0 0 192．0．1．2 Serial1 202．0．0．1/0/24 Static 60 0 192．0．0．1 Serial1 202．0．1．1/0/24 Direct 0 0 202．0．1．1 Ethemet0 202．0．1．1／32 Direct 0 0 127．0．0．1 LoopBack0 202．0．2．1/0/24 RIP 100 1 192．0．1．2Serial1 配置路由器C：

[RouterC-rip] import dir co 2 [RouterC-rip]import ospf co 2 [RouterC-rip]qu [RouterC]ospf

[RouterC-ospf]import dir [ROUterC-ospf]import rip

[ROUterC-sfp]dis cu

Now createfConfiguration… Current configuration !

version 1．74 firewall enable Sysname RouterC

encrypt—card fast-switch !

interface Aux0 async mode flow phy-mru 0

link-protocol ppp !

Interface Ethemet0

Ip address 202．0．2．1 255．255．255．0 ospf enable area 0．0．0．0 !

Interface Serial0 link-protocol ppp

ip address l92．0．2．1 255．255．255．0 ospf enable area0．0．0．0 !

interface Seriall clock DTEClKl 1ink-protocol ppp

ip address l92．0．1．2255．255．255．0 ! quit rip

network 192，0．1．0 network 202．0．2．0 import-route ospf cost2 import-route direc tcost2 ! quit !

ospf enable

import-route rip impor-·route direct ! quit !

[RouterC-ospf ]dis ip rou

RoutingTableS：

Destnation／Mask Proto Pref Metric Nexthop Interface

127．0．0．0／8 Direct 0 0 127．0．0．1 LoopBack0 127．0．0．1／32 Direct 0 0 127．0．0．1 LoopBack0 192．0．0．1/0/24 RIP 100 2 192．0．1．1 Seriall 192．0．1．1/0/24 D让ect 0 0 192．0．1．1 Seriall 192．0．1．1／32 D订ect 0 0 192．0．1．1 Seriall

192．0．1．2／32 D订ect 0 0 127．0‘0．1 LoopBack0 192．0．2．1/0/24 D订ect 0 0 192．0．2．2Serial0

192．0．2．1／32 D订ect 0 0 127．0．0．1 LoopBack0 192．0．2．2／32 D让ect 0 0 192．0．2．2 Serial0 202．0．0．1/0/24 RIP 100 2 192．0．1．1 Seriall 202．0．1．1/0/24 RIP 100 1 192．0．1．1 Seriall 202．0．2．1/0/24 Direct 0 0 202．0．2．1 Ethemet0 202．0．2．1／32 D订ect 0 0 127．0．0．1 LoopBack0 202．0．3．1/0/24 OSPF 10 1572 192．0．2．2 Serial0 路由器D： [RouterD]dis cu

NOW create configuration…… Current configuration version 1．74 firewall enable Sysname RouterD

Encrypt-card fast-switch interface Aux0 async mode flow phy-mru 0

link-protocol ppp interface Ethemet0

ip address202．0．3．1 255．255．255．0 ospf enable area 0．0．0．0 !

interface Serial 0 clock DTECLI1 1ink-protocol ppp

ip address l92．0．2．2255．255．255．0 ospf enable area0．0．0．0 interface Serial l link-protocol PPP ! quit

ospf enable !quit !

Return

[RouterD]dis ip ro RoutingTables：

Destination／Mask Proto Pref Metric Nexthop Interface

127．0．0．0／8 Direct 0 0 127．0．0．1 LoopBack0 127．0．0．1／32 Direct 0 0 127．0．0．1 LoopBack0 192．0．0．0/24 O_ASE 150 1 192．0．2．1 Serial0 192．0．1．1/0/24 O _ASE 150 1 192．0．2．1 SerialO 192．0．1．1／32 O _ASE 150 1 192．0．2．1 Serial0 192．0．2．1/0/24 Direct 0 0 192．0．2．1 Serial0 192．0．2．1／32 Direct 0 0 192．0．2．1 Serial0 192．0．2．2／32 Direct 0 0 127．0．0．1 LoopBack0 202．0．0．1/0/24 O _ASE 150 1 192．0．2．1 Serial0 202．0．1．1/0/24 O_ ASE 150 1 192．0．2．1 Serial0 202．0．2．1/0/24 OSPF 10 1572 192．0．2．1 SerialO 202．0．3．1/0/24 Direct 0 0 202．0．3．1 Ethernet0 202．0．3．1／32 Direct 0 0 127．0．0．1 LoopBack0

六、实验结果分析

从路由表可以看出，引入其他路由协议之后每个路由器的路由表都增加了几条新的路由记录这就是通过路由引入从其它路由协议学习到的路由信息。现在我们再次测试全网的互通情况会发现各网段的主机都可以互通了。知道为什么了吗?

实验四：配置访问控制列表（2课时）

一、实验目的

标准访问控制列表只使用数据包的源地址来判断数据包，所以它只能以源地址来区分数据包，源相同而目的不同的数据包也只能采取同一种策略。所以利用标准访问控制列表，我们只能粗略的区别对待网内的用户群，那些主机能访问外部网，那些不能。我们来完成如下实验，看看标准访问控制列表是如何完成该功能的。

二、实验内容

熟悉路由器的包过滤的核心技术：访问控制列表； 掌握访问控制列表的相关知识；

掌握访问控制列表的应用，灵活设计防火墙；

三、仪器、设备和材料

带Xp操作系统电脑、交换机、路由器、网络配置线、网线等。

四、实验原理

在实际的企业网或者校园网络中为了保证信息安全以及权限控制，都需要分别对待网内的用户群。有的能够访问外部，有的则不能。这些设置往往都是在整个网络的出口或是入口（一台路由器上）进行的。所以在实验室我们用一台路由器（RTA）模拟整个企业网，用另一台路由器（RTB）模拟外部网。具体实验环境如下：

RTAS0E0S0RTBE0SwitchSwitchPCAPCBPCC

PCDPCE在实际完成实验时不一定需要两台交换机和多台主机，交换机可以共用一台，但最好划分在不同的VLAN下，主机至少两台，可以灵活改变IP地址来满足实验需求。

五、实验步骤

按照上面的组网图建立实验环境，然后按照如下规则分配IP地址。 路由器接口IP地址： S0 E0 主机的地址和缺省网关：

IP/MASK GATEWAY PCA 202.0.0.2/24 202.0.0.1 PCB 202.0.0.3/24 202.0.0.1 PCC 202.0.0.4/24 202.0.0.1 PCD 202.0.1.2/24 202.0.1.1 PCE 202.0.1.3/24 202.0.1.1 RTA 192.0.0.1/24 202.0.0.1/24 RTB 192.0.0.2/24 202.0.1.1/24

在实验环境中，我们如果只允许IP地址为202.0.0.2的主机PCA访问外部网络，则只需在路由器上进行如下配置即可：

[RTA]display current-configuration

Now create configuration... Current configuration !

version 1.74 sysname RTA

firewall enable //启动防火墙功能 aaa-enable

aaa accounting-scheme optional !

acl 2000 match-order auto

rule normal permit source 202.0.0.2 0.0.0.0 //允许特定主机访问外部网络 rule normal deny source 202.0.0.0 0.0.0.255 //禁止其他主机访问外部网络 !

interface Aux0 async mode flow link-protocol ppp !

interface Ethernet0

ip address 202.0.0.1 255.255.255.0 !

interface Serial0 clock DTECLK1 link-protocol ppp

ip address 192.0.0.1 255.255.255.0

firewall packet-filter 2000 outbound //使访问列表生效 !

interface Serial1

link-protocol ppp ! quit

rip //启动路由协议 network all ! quit !

return

[RTB] display current-configuration

Now create configuration... Current configuration !

version 1.74

sysname RTB aaa-enable

aaa accounting-scheme optional !

interface Aux0 async mode flow link-protocol ppp !

interface Ethernet0

ip address 202.0.1.1 255.255.255.0 !

interface Serial0 clock DTECLK1 link-protocol ppp

ip address 192.0.0.2 255.255.255.0 !

interface Serial1 link-protocol ppp ! quit rip

network all ! quit !

return

注意：在配置路由器时还需要配置防火墙的缺省工作过滤模式（firewall default {permit|deny}），因该命令配置与否在配置信息中没有显示，所以要特别注意。Quidway系列路由器防火墙默认过滤模式是允许。在此我们也设为允许。（您可以设为禁止，看看实验现象。此时有可能路由器不能发现动态路由，因为路由协议也是用IP包去发现路由的，禁

止了所有IP包的传送当然不可能生成动态路由。）完成上述配置之后，用网络测试命令测试PCA是不是真的能够访问外部网络，PCB等主机是不是不能访问外部网络呢？

在设置防火墙时，一般选择在路由器的出口，可以使用firewall packet-filter 2000 outbound来使防火墙生效，但是如果改为firewall packet-filter 2000 inbound呢？试试会是什么现象，是不是任何主机都可以访问外部网络呢？答案是肯定的。那么我们如果是在E0口使用firewall packet-filter 2000 inbound命令呢？现象就如同开始一样了。现在明白in和out的意义了吗？我们甚至可以在RTB上来完成该项功能，完成如下配置即可达到同样的效果：

[RTA] display current-configuration

Now create configuration... Current configuration !

version 1.74

sysname RTA aaa-enable

aaa accounting-scheme optional !

interface Aux0 async mode flow link-protocol ppp !

interface Ethernet0

ip address 202.0.0.1 255.255.255.0 !

interface Serial0 clock DTECLK1 link-protocol ppp

ip address 192.0.0.1 255.255.255.0 !

interface Serial1 link-protocol ppp ! quit rip

network all ! quit !

return

[RTB] display current-configuration

Now create configuration... Current configuration !

version 1.74

sysname RTA

firewall enable aaa-enable

aaa accounting-scheme optional !

acl 2000 match-auto

rule normal permit source 202.0.0.2 0.0.0.0 rule normal deny source 202.0.0.0 0.0.0.255 !

interface Aux0 async mode flow link-protocol ppp !

interface Ethernet0

ip address 202.0.1.1 255.255.255.0 !

interface Serial0 clock DTECLK1 link-protocol ppp

ip address 192.0.0.2 255.255.255.0 firewall packet-filter 2000 inbound !

interface Serial1 link-protocol ppp ! quit rip

network all ! quit !

return

六、实验结果分析

从上面的实验可以看出in和out两个方向不同作用以及使用不同接口的配置差异了，所以在设置防火墙时，我们需要仔细分析，灵活运用，选择最佳接口，最简单的配置完成最完善的功能。

实验五：三层网络规划设计（2课时）

一、实验目的

通过对三层网络规划的设计，使学生了解三层网络的原理并掌握三层网络的规划方法。 二、实验内容

设计一个校园三层网络。

三、仪器、设备和材料

电脑、华为交换机。

四、实验原理

本系统采用三层结构进行网络设计，即核心层、汇聚层和接入层。考虑到校园网内数据流量和网络的扩展能力，核心层选用背板带宽为1.6Tbit/s的华为S7506核心交换机，通过用光纤（校方已敷设完毕）连接到汇聚层交换机，实现“千兆互连，百兆到桌面”。由于校园网需要接入互联网，因此选用一台Quidway SecPath 100F-A防火墙保证内网的安全。

五、实验步骤

1.网络拓扑结构图

服务器群 H3C E352级联H3C S2126C

电信宽带 B服务器 WEDMZ 防火墙 H3C E352 1台 连接图书馆信息点20个 Int ernet 连接办公楼信息点100个 连接高三楼信息点20个 S7506核心交换机 连接校综合楼信息点60个 电脑教室信息点180个 连接宿舍楼南区信息点30个 连接宿舍楼西区信息点120个 连接两栋学生宿舍楼信息点120个

链路聚合双千兆 千兆

连接教工楼信息点30个 百兆双绞线

2. 核心层网络设计

根据校园信息点的分布及数量情况，考虑到核心交换机需要为内网的各项信息化应用提供一个高速、优质的数据通信和图像传输平台，满足数据和视频传输的需要，考虑到目前的应用以及将来网络扩展的需要，特别选用了一台技术先进的、高性能的华为3COM S7506核心路由交换机来构造内部网络的中心节点。

核心交换机配置1块自带4个个SFP千兆接口、Salience™ III 384G的管理模块及主控引擎，使核心交换的交换容量达到384Gbps， 198Mpps的包转发率完全满足校园网的需求。为满足会聚层交换机的连接，采用一块4端口千兆以太网电口(RJ45)+12端口千兆以太网SFP光口业务板，配置6块多模光纤模块连接和1块单模光纤模块连接会聚层交换机。针对宿舍楼西区、校综合楼、办公楼的信息节点较多的情况，核心交换机与这三个会聚层交换机之间增配一块多模光纤模块，与原配的多模光纤模块采用链路聚合的方式保证传输带宽为2G。通过以上配置的核心交换机具有16个千兆SFP接口（配12个光纤模块）和4个1000Base-T RJ45端口，通过核心交换机384Gbps的背板交换带宽，为网络系统提供稳定的三层路由交换功能。网络中心节点与9个汇聚层节点通过光缆相连，形成内网主干信息通道。

3、汇聚层网络设计

汇聚层主要用于汇聚接入层的网络流量，并提供各种服务和控制功能。汇聚层设备均位于各个汇聚区域的核心，在本次项目建设中，我们设立了9个网络汇聚区域，根据汇聚区域的信息点数量，选用了9台华为3COM E328教育网以太网交换机，配置8块多模光纤模块通过多模光纤连接核心交换机，校园网内其中一栋学生宿舍的会聚层节点由于距离较远，因此配置了一块单模光纤模块通过单模光纤连接核心交换机。为了减轻与核心节点的数据交换压力和信息点较多带来的带宽瓶颈，我们在校办公楼（100点）、校综合楼（240点）、宿舍楼西区（120点）的会聚层交换机上配置了2块光纤模块，采用链路聚合使这三个会聚层节点与核心交换机之间的传输带宽达到2G。华为3COM E328教育网交换机具有32G的背板交换容量，完全满足会聚网络数据连接网络核心的需求。各汇聚层交换机提供的24个10/100Base-TX端口除连接接入层交换机以外，其余端口也可作为工作站的接入使用。

4、接入层网络设计

接入层交换机主要用于校园网内所有的信息点与用户终端的接入。根据校园接入层网络的实际应用与业务需求，从保护校方投资的角度考虑，在接入层我们提倡使用安全和智能化的2层线速交换机进行网络的接入。另外，接入交换机需要支持网管以满足对整个网络统一管理的需求。

基于以上因素考虑，我们在校园校园网的接入层设计中，在利用校方原有的接入层交换机的基础上，选用了12台华为3COM公司生产的S2126-CN型以太网交换机，该交换机的背板容量达到12.8G，满足各信息节点对校园网络的高速访问。该交换机支持VLAN和IGMP Snooping组播协议，校方可以很方便的通过交换机的网络管理功能实现子网划分和校园网内的视频点播。本系统的接入层交换机放置在各楼层子配线柜中，通过双绞线级连到汇聚层交换机，各信息点通过超5类双绞线与华为3COM S2126-CN交换机相连，保证每个桌面信息点独享100MBPS的带宽，完全满足校园对接入层网络的要求。

5、防火墙设计

由于校园校园网需要接入互联网，如果网络的边界没有必要的安全防护，来自互联网的黑客会很容易进入到内部网络，窃取各种资料或对服务器进行攻击，更为严重的是有可能导致整个网络堵塞、瘫痪，甚至崩溃。因此在本系统中，我们选用了华为公司生产的Quidway® SecPath 100F-A防火墙进行防护。校园网内的计算机通过防火墙的NAT地址转换功能访问互联网，完全保护了内网的安全。该防火墙采用包过滤技术，内置IDS功能，可防御DOS、

IP欺骗、IP盗用和端口扫描等攻击，同时具有报警功能，非常适合校园校园网的使用。本系统防火墙建议校方通过电信光纤宽带申请固定IP地址与Internet连接。将来可配置一台WEB服务器连接防火墙的DMZ口，配置防火墙内相应的访问策略后，可以保证校园网站的安全。

6、 UPS 设计

为了保证电源的不间断，防止意外停电造成服务器数据丢失，本建设项目选用一台EAST EA804H 4KVA工频在线 UPS。为满足停电后系统的正常运转，配备了EAST 12V 65AH电池16节，保证停电后中心机房网络设备3个小时的正常工作时间。EAST EA804H UPS的CPU带内部软件智能电池管理功能，带网络管理软件，校方管理和维护UPS非常方便。

六、实验结果分析

校园网要能很好地应用与发展，很大程度上取决于设计方案(包括组网技术、拓扑结构、IP及路由规划、设备选型等)的设计实施成功与否。