CCNA 思科配置实验

来源：爱问旅游网

思科配置实验（适用于CCNA） 1. 设置计算机ip地址

设置PCA 的IP地址为：10.65.1.1 255.255.0.0 网关：10.65.1.2 设置PCB 的IP地址为：10.66.1.1 255.255.0.0 网关：10.66.1.2 设置ROA f0/0 IP 为：10.65.1.2 255.255.0.0 设置ROA f0/1 IP 为：10.66.1.2 255.255.0.0

设置计算机PCA的ip地址和网关的操作：

[root@PCA root]# ifconfig eth0 10.65.1.1 netmask 255.255.0.0 [root@PCA root]# ifconfig

[root@PCA root]# route add default gw 10.65.1.2 [root@PCA root]# route

设置计算机PCB的ip地址和网关的操作：

[root@PCB root]# ifconfig eth0 10.66.1.1 netmask 255.255.0.0 [root@PCB root]# ifconfig

[root@PCA root]# route add default gw 10.66.1.2 [root@PCA root]# route

2. 双击Router A，配置路由器的接口IP地址： router>en router#conf t

router(config)#hostname roa roa(config)int f0/0

roa(config-if)#ip address 10.65.1.2 255.255.0.0 roa(config-if)#no shutdown (默认是shutdown) roa(config-if)#exit roa(config)int f0/1

roa(config-if)#ip address 10.66.1.2 255.255.0.0 roa(config-if)#no shut

roa(config)int s0/0

roa(config-if)#ip address 10.67.1.2 255.255.0.0 roa(config-if)#no shut

roa(config-if)#clock rate 000

roa(config)int s0/1

roa(config-if)#ip address 10.68.1.2 255.255.0.0 roa(config-if)#no shut roa(config-if)#exit

roa(config)#ip routing (默认是关闭的)

3．检查网络联通情况

[root@PCA root]# ping 10.65.1.2 (通) (ping自己的网关) [root@PCA root]# ping 10.66.1.2 (通) (ping f0/1) [root@PCA root]# ping 10.66.1.1 (通) (ping PCB)

[root@PCA root]# ping 10.67.1.2 (不通) (端口空时down) [root@PCA root]# ping 10.68.1.2 (不通) (端口空时down)

[root@PCB root]# ping 10.66.1.2 (通) (ping自己的网关) [root@PCB root]# ping 10.65.1.2 (通) (ping f0/0) [root@PCB root]# ping 10.65.1.1 (通) (ping PCA)

[root@PCB root]# ping 10.67.1.2 (不通) (端口s0/0空时down) [root@PCB root]# ping 10.68.1.2 (不通) (端口s0/1空时down)

roa#ping 10.65.1.1 (通) (ping PCA) roa#ping 10.65.1.2 (通) (ping f0/0) roa#ping 10.66.1.1 (通) (ping PCB) roa#ping 10.66.1.2 (通) (ping f0/1)

roa#ping 10.67.1.2 (不通) (端口s0/0空时down) roa#ping 10.68.1.2 (不通) (端口s0/1空时down)

下面我们做这个几个小实验： (1) 将路由器的接口f0/0关闭 roa#conf t

roa(config)#int f0/0

roa(config-if)#shutdown roa(config-if)#end

roa#ping 10.65.1.2 (不通，端口down掉)

roa#show int f0/0 (f0/0 is down，line proto is down) [root@PCA root]# ping 10.65.1.2 (不通)

激活f0/0端口: roa(config)#int f0/0 roa(config-if)#no shut roa(config-if)#end

roa#ping 10.65.1.2 (通)

去掉PCA与f0/0的连线

roa#sh int f0/0 (f0/0 is up，line proto is down) roa#ping 10.65.1.2 (不通)

roa#sh int s0/0 (s0/0 is down，line proto is down) roa#sh int s0/1 (s0/1 is down，line proto is down) serial口当没有连线时???

(2) 关闭路由器的路由 roa#conf t

roa(config)#no ip routing

[root@PCA root]# ping 10.65.1.2 (通) (ping 自己的网关) [root@PCA root]# ping 10.66.1.1 (不通)(路由器不能转发了) [root@PCB root]# ping 10.66.1.2 (通) (ping 自己的网关) [root@PCB root]# ping 10.65.1.1 (不通)(路由器不能转发了)

计算机可以ping与其相连的端口，但不能ping通下面的计算机，因为 no ip routing后不具备转发的功能了。 roa(config)#ip routing

(3) 去掉计算机PCA的网关

[root@PCA root]# route del default gw

PCA只能ping通直联口，计算机没有网关不能和路由器交换信息。 [root@PCA root]# ping 10.65.1.2 (通) (f0/0在PCA的广播域) [root@PCA root]# ping 10.66.1.1 (不通)(PCA不能连通其它网络) [root@PCA root]# ping 10.66.1.2 (不通) [root@PCB root]# ping 10.66.1.2 (通)

[root@PCB root]# ping 10.65.1.2 (通) (PCB有网关) [root@PCB root]# ping 10.65.1.1 (不通)(PCA没网关) 可见一个没有网关的设备不能与其它网络互通。

实验六一个vlan下的单臂路由

在一个vlan下，可以通过设置计算机的secondary ip实现在一个物理网络上两个具有不同网段IP计算机的联通。

1.设置计算机PCA的ip地址

[root#PCA root]# ifconfig eth0 10.65.1.1 netmask 255.255.0.0 [root#PCB root]# ifconfig eth0 10.66.1.1 netmask 255.255.0.0 [root#PCA root]# ping 10.66.1.1 (不通)(PCA ping PCB) [root#PCB root]# ping 10.65.1.1 (不通)(PCB ping PCA)

PCA与PCB是不通的，因为它们在不同的网络段，一个是10.65.0.0/16网络，一个是10.66.0.0/16网络，即netid不同，而不同网络的主机间访问必须通过路由实现。

2. 设置路由器接口f0/0有两个ip地址。 roa(config)#int f0/0

roa(config-if)#ip address 10.65.1.2 255.255.0.0

roa(config-if)#ip address 10.66.1.2 255.255.0.0 secondary roa(config-if)#no shut roa(config-if)#exit roa(config)#ip routing roa#sh run

在显示信息中FastEthernet0/0的位置，应该能够看到设置的两个IP地址。

3. 测试可通性

[root#PCA root]# ping 10.66.1.1 (不通) [root#PCA root]# ping 10.66.1.2 (通) [root#PCB root]# ping 10.65.1.1 (不通) [root#PCB root]# ping 10.65.1.3 (通)

为什么PCA和PCB还是不通呢？哦，还没有设置计算机的网关。

[root#PCA root]# route add default gw 10.65.1.2 [root#PCB root]# route add default gw 10.62.1.2

[root#PCA root]# ping 10.66.1.1 (通了) [root#PCB root]# ping 10.65.1.1 (通了)

4) 去掉交换机与路由器的联接线

[root#PCA root]# ping 10.66.1.1 (不通了) [root#PCB root]# ping 10.65.1.1 (不通了)

由此可以看出，PCA与PCB之间的发送的数据包是经过路由器的，从路由器f0/0入，

再从f0/0出，所以称之为单臂路由。

这种情况PCA和PCB在链路层是同一个广播域，对网络带宽不利。如果划分VLAN可以

隔离广播域。通过子接口可以实现对不同VLAN的路由。

5) 在交换机上的情况

双击交换机，进入交换机的终端模式： switch>en switch#conf t

switch(config)#int vlan 1

switch(config-if)#ip address 10.65.1.8 255.255.0.0 switch(config-if)#exit

switch(config)#ip default-gateway 10.65.1.2 switch(config)#end

switch#ping 10.65.1.1 (通) switch#ping 10.66.1.1 (通)

断开交换机与路由器的联线，再执行从交换机ping 命令：

switch#ping 10.65.1.1 (通) switch#ping 10.66.1.1 (不通)

这说明不同网络段IP的联通是要通过路由器的。

实验七子接口单臂路由

本实验接上一个实验，计算机和交换机的IP地址和网关不变，但要求交换机工作在两个VLAN的情况下，一个是原有的默认vlan 1，另一个是新设置的vlan 2，含f0/6、f0/7。

当交换机设置成两个vlan时，逻辑上已经成为两个网络，广播被隔离了。两个vlan 的网络要通信，必须通过路由器，如果接入路由器的一个物理端口，则必须有两个子接口分别与两个vlan对应，同时还要求与路由器相联的交换机的端口f0/1要设置为trunk，因为这个口要通过两个vlan的数据包。

对于secondary ip的情况，实质上是一个接口，不能实现对两个vlan的路由。

1. 设置交换机的vlan 2和trunk switch#vlan database switch(vlan)#vlan 2 switch(vlan)#exit switch#conf t

switch(config)#hostname SWA SWA(config)#int f0/6

SWA(config-if)#switchport access vlan 2 SWA(config-if)#int f0/7

SWA(config-if)#switchport access vlan 2 SWA(config-if)#int f0/1

SWA(config-if)#switchport mode trunk

SWA(config-if)#switchport trunk allowed vlan 1，2，3 SWA(config-if)#switchport trunk encap dot1q SWA(config-if)#end SWA#sh vlan SWA#sh run

检查设置情况，应该能正确的看到vlan和trunk等信息。

dot1q是vlan中继协议802.1q，一般cisco设备使用isl协议，其作用是一样的。计算机的ip地址分别为10.65.1.1、10.66.1.1，网关分别指向路由器的子接口 10.65.1.2、10.66.1.2。

[root#PCA root]# ping 10.66.1.1 (不通)

因为现在路由器还没有设置子接口，所以PCA与PCB不通。

2. 设置路由器f0/0 为两个子接口 roa(config)#int f0/0 roa(config-if)#no shut

roa(config-if)#int f0/0.1

roa(config-subif.1)#encapsulation dot1q 1

roa(config-subif.1)#ip address 10.65.1.2 255.255.0.0 roa(config-subif.1)#int f0/0.2

roa(config-subif.2)#encapsulation dot1q 2

roa(config-subif.2)#ip address 10.66.1.2 255.255.0.0 roa(config-subif.2)#exit roa(config)#ip routing roa#sh run

3. 测试可通性

[root#PCA root]# ping 10.66.1.1 (通) [root#PCA root]# ping 10.66.1.2 (通) [root#PCB root]# ping 10.65.1.1 (通) [root#PCB root]# ping 10.65.1.2 (通)

如果去掉交换机与路由的连线，PCA和PCB还可以通吗？可见这也是一种单臂路由。

实验八静态路由

1.设置计算机和路由器的IP地址

设置PCA、PCB的IP地址分别为：10.65.1.1和10.71.1.1。 [root#PCA root]# ifconfig eth0 10.65.1.1 netmask 255.255.0.0 [root#PCB root]# ifconfig eth0 10.71.1.1 netmask 255.255.0.0 [root#PCC root]# ifconfig eth0 10.70.1.1 netmask 255.255.0.0 [root#PCA root]# route add default gw 10.65.1.2 [root#PCB root]# route add default gw 10.71.1.2 [root#PCC root]# route add default gw 10.70.1.2

设置RouterA的IP地址: (子网掩码是255.255.0.0) f0/0: 10.65.1.2 ----->10.65.1.1 (PCA) (箭头表示连接) f0/1: 10.66.1.2 s0/0: 10.67.1.2

s0/1: 10.68.1.2 -----> (RouterA的s0/1接RouterB的s0/0)

设置RouterB的IP地址: s0/0: 10.68.1.1 <---- s0/1: 10.69.1.2 f0/0: 10.70.1.2

f0/1: 10.71.1.2 ---->10.71.1.1 (PCB)

2．设置路由器的静态路由：设置路由器的IP地址(略) 先看一下路由表：

show ip route 是显示路由表命令，它可以看到直联网络，静态路由和动态路由的情况，这是一个很常用的命令。

ROA#show ip route (只能看到直连路由) ROA(config)#ip route 10.71.0.0 255.255.0.0 10.68.1.1 ROA(config)#ip routing

ROA#show ip route (多了一条静态路由)

从PCA ping PCB ：

[root@PCA root]# ping 10.71.1.1 (通) 从PCA ping

[root@PCA root]# ping 10.70.1.2 (不通) 再设置一条静态路由：

ROA(config)#ip route 10.70.0.0 255.255.0.0 10.68.1.1 ROA(config)#end

ROA#show ip route (又多了一条静态路由)

[root@PCA root]# ping 10.70.1.2 (通了)

3．设置路由器的默认路由先去掉两条静态路由：

ROA(config)#no ip route 10.70.0.0 255.255.0.0 10.68.1.1 ROA(config)#on ip route 10.71.0.0 255.255.0.0 10.68.1.1 [root@PCA root]# ping 10.71.1.1 (不通) [root@PCA root]# ping 10.70.1.1 (不通)

设置RouterA的默认路由：

ROA(config)#ip route 0.0.0.0 0.0.0.0 10.68.1.1 ROA#show ip route

[root@PCA root]# ping 10.71.1.1 (通) [root@PCA root]# ping 10.70.1.2 (通)

使用指定静态路由时，要查看指定的目的网络，使用默认路由时，不判断目的网络。

将匹配不了的数据包都发送给默认的下一跳。路由器设置中一般最后有一条默认路由。问题:如果有三个路由器，静态路由如果设置呢？要求静态路由接力!

4. 三个路由器的静态路由

参考实验九图

设置RouterA的IP:

f0/0: 10.65.1.2 --->PCA:10.65.1.1 f0/1: 10.66.1.2 --->PCB:10.66.1.1

s0/0: 10.67.1.2

s0/1: 10.68.1.2 --->接RouterC s0/0

设置RouterC的IP: s0/0: 10.68.1.1 <---

s0/1: 10.78.1.2 --->接RouterB s0/0

设置RouterB的IP: s0/0: 10.78.1.1 <--- s0/1: 10.67.1.1

f0/0: 10.69.1.2 --->PCC:10.69.1.1 f0/1: 10.70.1.2 --->PCD:10.70.1.1

设置从PCA到PCC的静态路由 ROA(config)#ip routing

ROA(config)#ip route 10.69.0.0 255.255.0.0 10.68.1.1 ROA#show ip route

ROB(config)#ip route 10.69.0.0 255.255.0.0 10.78.1.1 ROB#show ip route

[root@PCA root]#ping 10.69.1.1 (通) [root@PCA root]#ping 10.78.1.1 (不通) [root@PCA root]#ping 10.70.1.1 (不通)

如何让PCA到 10.70.1.1 (PCD)通呢，像10.69.0.0网络一样，在路径的路由器上，再各写一条到10.70.0.0 网络的静态路由。

如果每一条路径都写一组静态路由显然不好，由于PCA在10.70.0.0 有一条通路，所以使用默认路由较好。

我们再做一个使用默认路由的小实验，先去掉原有的静态路由。 ROA(config)#no ip route 10.69.0.0 255.255.0.0 10.68.1.1 ROA#sh ip ro

ROB(config)#no ip route 10.69.0.0 255.255.0.0 10.78.1.1 ROB#sh ip ro

[root@PCA root]#ping 10.69.1.1 (不通)

ROA(config)#ip route 0.0.0.0. 0.0.0.0 10.68.1.1 ROA#sh ip ro

ROB(config)#ip route 0.0.0.0. 0.0.0.0 10.69.1.1 ROB#sh ip ro

[root@PCA root]#ping 10.69.1.1 (通) [root@PCA root]#ping 10.70.1.1 (通) [root@PCA root]#ping 10.78.1.1 (通)

路由表是路由器寻找网络的依据。是否能到达一个网络，要看路由表中有没有去这个网络的路由表项，动态路由可以自动创建路由表，定时更新。

实验九动态路由

动态路由是指动态路由协议(如RIP)自动建立路由表，当你去掉一条连线时，它会自动去掉其路由。路由器的每一个接口对应不同网络，而一条连接两个路由器连线的两个端点IP应该属于同一网络。

设置的IP地址时，如果路由器的其它端口已有这个网络了，则提示已有这个网络，并显示对应的端口。如果是本端口可以覆盖。

1．设置计算机的IP

2.设置路由器的IP地址 RouterA(config)int f0/0

RouterA(config-if)#ip address 10.65.1.2 255.255.0.0 RouterA(config-if)#no shutdown RouterA(config-if)#int f0/1

RouterA(config-if)#ip address 10.66.1.2 255.255.0.0 RouterA(config-if)#no shutdown RouterA(config-if)#int s0/1

RouterA(config-if)#ip address 10.68.1.2 255.255.0.0 RouterA(config-if)#no shutdown RouterA(config-if)#exit RouterA(config)#ip routing RouterA(config)#router rip

RouterA(config-router)#network 10.0.0.0 RouterA(config-router)#end RouterA#

RouterCconfig)int s0/0

RouterC(config-if)#ip address 10.68.1.1 255.255.0.0 RouterC(config-if)#no shutdown RouterC(config-if)#clock rate 000 RouterC(config-if)#int s0/1

RouterC(config-if)#ip address 10.78.1.1 255.255.0.0 RouterC(config-if)#no shutdown RouterC(config-if)#clock rate 000 RouterC(config-if)#exit RouterC(config)#ip routing RouterC(config)#router rip

RouterC(config-router)#network 10.0.0.0 RouterC(config-router)#end

RouterB(config)int f0/0

RouterB(config-if)#ip address 10.69.1.2 255.255.0.0 RouterB(config-if)#no shutdown RouterB(config-if)#int f0/1

RouterB(config-if)#ip address 10.70.1.2 255.255.0.0 RouterB(config-if)#no shutdown RouterB(config-if)#int s0/0

RouterB(config-if)#ip address 10.78.1.2 255.255.0.0 RouterB(config-if)#no shutdown RouterB(config-if)#exit RouterB(config)#ip routing RouterB(config)#router rip

RouterB(config-router)#network 10.0.0.0 RouterB(config-router)#end

RouterA#sh ip route RouterC#sh ip route RouterB#sh ip route

是否可以看到动态路由表？如果看不到，请检查路由器是否启动了转发iprouting ，

的接口是否激活，命令network设置路由器发布的网络。计算机PCA 测试到各点的连通性:

3. 测试网络联通性

[root@PCA root]#ping 10.65.1.2 (通) [root@PCA root]#ping 10.66.1.1 (通) [root@PCA root]#ping 10.66.1.2 (通)

[root@PCA root]#ping 10.68.1.1 (通) [root@PCA root]#ping 10.68.1.2 (通)

[root@PCA root]#ping 10.78.1.1 (通) [root@PCA root]#ping 10.78.1.2 (通)

[root@PCA root]#ping 10.69.1.1 (通) [root@PCA root]#ping 10.69.1.2 (通) [root@PCA root]#ping 10.70.1.1 (通) [root@PCA root]#ping 10.70.1.2 (通)

断开某个路由路由器连线，或执行no ip routing，或某相接口执行shutdow，再通过sh ip ro 命令查看路由表。

你也可以再加一个路由器，设置好后，再查看表由表。

实验十交换机和路由器组合实验

要求所有计算机和交换机以及路由器的端口可以联通。由于交换机下的计算机在两个网络段，所以要求划分vlan，现要求switchA和switchB的f0/5和f0/6在vlan 2.

1. 设置计算机的IP地址和网关：

[root#PCA root]# ifconfig eth0 10.65.1.1 netmask 255.255.0.0 [root#PCB root]# ifconfig eth0 10.66.1.1 netmask 255.255.0.0 [root#PCC root]# ifconfig eth0 10.69.1.1 netmask 255.255.0.0 [root#PCD root]# ifconfig eth0 10.70.1.1 netmask 255.255.0.0 [root#PCE root]# ifconfig eth0 10.60.1.1 netmask 255.255.0.0 [root#PCF root]# ifconfig eth0 10.66.1.3 netmask 255.255.0.0 [root#PCG root]# ifconfig eth0 10.60.1.3 netmask 255.255.0.0 [root#PCA root]# route add default gw 10.65.1.2 [root#PCB root]# route add default gw 10.66.1.2 [root#PCC root]# route add default gw 10.69.1.2 [root#PCD root]# route add default gw 10.70.1.2 [root#PCE root]# route add default gw 10.60.1.2 [root#PCF root]# route add default gw 10.66.1.2 [root#PCG root]# route add default gw 10.60.1.2

2. 设置交换机的IP地址、网关和干线 switchA#vlan database switchA(vlan)#vlan 2 switchA(vlan)#exit switchA#conf t

switchA(config)#int f0/5

switchA(config-if)#switchport access vlan 2 switchA(config-if)#int f0/6

switchA(config-if)#switchport access vlan 2 switchA(config-if)#int f0/1

switchA(config-if)#switchport mode trunk

switchA(config-if)#switchport trunk encap dot1q switchA(config-if)#end switchA#sh vlan switchA#sh run

switchB#vlan database switchB(vlan)#vlan 2 switchB(vlan)#exit switchB#conf t

switchB(config)#int f0/5

switchB(config-if)#switchport access vlan 2 switchB(config-if)#int f0/6

switchB(config-if)#switchport access vlan 2 switchB(config-if)#int f0/8

switchB(config-if)#switchport mode trunk

switchB(config-if)#switchport trunk encap dot1q switchB(config-if)#int f0/2

switchB(config-if)#switchport mode trunk

switchB(config-if)#switchport trunk encap dot1q switchB(config-if)#end switchB#sh vlan switchB#sh run

switchA#conf t

switchA(config)#int vlan 1

switchA(config-if)#ip address 10.65.1.8 255.255.0.0 switchA(config-if)#exit

switchA(config)#ip default-gateway 10.65.1.2 switchA(config)#end switchA#sh run

switchB#conf t

switchB(config)#int vlan 1

switchB(config-if)#ip address 10.65.1.9 255.255.0.0 switchB(config-if)#exit

switchB(config)#ip default-gateway 10.65.1.2 switchB(config)#end switchB#sh run

3.设置路由器的IP和动态路由 RouterA(config)int f0/0

RouterA(config-if)#ip address 10.65.1.2 255.255.0.0 RouterA(config-if)#no shutdown RouterA(config-if)#int f0/1

RouterA(config-if)#no shutdown RouterA(config-if)#int f0/1.1

RouterA(config-subif)#ip address 10.66.1.2 255.255.0.0 RouterA(config-subif)#int f0/1.2

RouterA(config-subif)#ip address 10.60.1.2 255.255.0.0 RouterA(config-subif)#int s0/1

RouterA(config-if)#ip address 10.68.1.2 255.255.0.0 RouterA(config-if)#no shutdown RouterA(config-if)#exit RouterA(config)#ip routing RouterA(config)#router rip

RouterA(config-router)#network 10.0.0.0 RouterA(config-router)#end RouterA#

RouterC和RouterB的IP如下，设置过程略。 RouterC s0/0 ：10.68.1.1 s0/1：10.78.1.2

RouterB s0/0 ：10.78.1.1 f0/0 ：10.69.1.2 f0/1：10.70.1.2

4.测试各点的联通性

[root@PCA root]#ping 10.65.1.2 (通) [root@PCA root]#ping 10.66.1.1 (通) [root@PCA root]#ping 10.66.1.2 (通) [root@PCA root]#ping 10.66.1.3 (通) [root@PCA root]#ping 10.60.1.1 (通) [root@PCA root]#ping 10.60.1.2 (通) [root@PCA root]#ping 10.60.1.3 (通)

[root@PCA root]#ping 10.69.1.1 (通) [root@PCA root]#ping 10.69.1.2 (通) [root@PCA root]#ping 10.70.1.1 (通) [root@PCA root]#ping 10.70.1.2 (通)

[root@PCA root]#ping 10.66.1.8 (通) [root@PCA root]#ping 10.66.1.9 (通)

switchA#ping 10.65.1.1 (通) switchA#ping 10.66.1.1 (通) switchA#ping 10.66.1.2 (通) switchA#ping 10.66.1.3 (通)

switchA#ping 10.60.1.1 (通) switchA#ping 10.60.1.2 (通) switchA#ping 10.60.1.3 (通)

switchA#ping 10.69.1.1 (通) switchA#ping 10.70.1.1 (通)

[root@PCD root]#ping 10.66.1.9 (通)

network是发布路由，现将routerC的f0/0设置为11.0.0.0网络，情况如何呢？

RouterC(config)#int f0/0

RouterC(config-if)#ip address 11.0.0.2 255.255.0.0 RouterC(config-if)#no shutdown

[root#PCH root]# ifconfig eth0 11.0.0.1 netmask 255.255.0.0 [root#PCH root]# route add default gw 11.0.0.2

现在PCH可以与其它计算机互通吗？(不发布11网络，别人看不到，但它可以看到别人，所以单向通)。

设置RouterC的network all或增加network 11.0.0.0 情况以如何呢？(互通了) 。

实验十一访问控制列表

1. 配置路由器到网络各点可通

设网络图动态路由已设好，IP地址分配如下： PCA ip:10.65.1.1 gateway:10.65.1.2 PCB ip:10.66.1.1 gateway:10.66.1.2 PCC ip:10.69.1.1 gateway:10.69.1.2 PCD ip:10.70.1.1 gateway:10.70.1.2 PCE ip:10.65.1.3 gateway:10.65.1.2 PCF ip:10.65.2.1 gateway:10.65.1.2 SWA ip:10.65.1.8 gateway:10.65.1.2

RouterA f0/0: 10.65.1.2 RouterA f0/1: 10.66.1.2 RouterA s0/1: 10.68.1.2

RouterC s0/0: 10.68.1.1 RouterC s0/1: 10.78.1.2

RouterB s0/0: 10.78.1.1 RouterB s0/1: 10.79.1.2 RouterB f0/0: 10.69.1.2

RouterB f0/1: 10.70.1.2

2.基本的访问控制列表：先从PCA ping PCD:

[root@PCA @root]#ping 10.70.1.1 (通)

在ROC的s0/0写一个输入的访问控制列表：

RouterC(config)#access-list 1 permit 10.65.1.1 0.0.0.0 RouterC(config)#access-list 1 deny any RouterC(config)#int s0/0

RouterC(config-if)#ip access-group 1 in RouterC(config-if)#end RouterC#sh access-list 1

[root@PCA @root]#ping 10.70.1.1 (通) (只允许PCA)

[root@PCE @root]#ping 10.70.1.1 (不通)(被access-list 1禁止) [root@PCE @root]#ping 10.66.1.1 (通) (不经过access-list 1) [root@PCB @root]#ping 10.70.1.1 (不通)(被access-list 1禁止) [root@PCD @root]#ping 10.65.1.1 (不通)(echo-reply包不能返回)

第一个ping命令，PCA的IP地址是10.65.1.1在访问控制列表access-list 1中是允许的，所以能通。

第二个ping命令，PCE虽然是65网段，但是access-list 只允许10.65.1.1通过，所以10.65.1.3的数据包不能通过。

第三个ping命令，PCE到PCB不通过RouterC的s0/0，所以能通。

第四个ping命令，PCB的IP地址是10.66.1.1，它是被禁止的，所以不通。第五个ping命令，从10.65.1.1返回包echo-reply不能通过access-list 1，PCD 收

不到返回包，所以不通。有些系统的ping 命令，echo不能通过时表示为unreachable ，

若echo-reply不能返回时，表示为timeout，等待时间超时。

下面再写一个访问控制列表，先删除原访问控制列表： RouterC(config)#no access-list 1

RouterC(config-if)#no ip access-group 1 in

二者都可以实现去掉访问列表的目的。前者是从列表号角度删除，后者是从端口和输入或输出的角度删除。

可以通过show access-list 命令查看删除情况，下面再写一个访问控制列表： RouterC(config)#access-list 2 deny 10.65.1.1 0.0.0.255 RouterC(config)#access-list 2 permit any RouterC(config)#int s0/1

RouterC(config-if)#ip access-group 2 out RouterC(config-if)#end

RouterC#sh access-list

这个访问控制列表比上一个访问控制列表有以下几点不同： (1)先deny后permit，

(2)禁止的是一个10.65.1.0网络 (3)是输出的访问控制列表

[root@PCA @root]#ping 10.69.1.1 (不通) [root@PCE @root]#ping 10.69.1.1 (不通)

[root@PCF @root]#ping 10.69.1.1 (通) (10.65.2.1不在禁止范围) [root@PCB @root]#ping 10.69.1.1 (通) (10.66.1.1不在禁止范围)

因为PCA和PCE的IP地址10.65.1.1、10.65.1.3，在deny范围内所以不通。而PCF的IP是10.65.2.1不在10.65.1.0 0.0.0.255范围内，所以能通。

3.梯形基本访问控制列表

访问控制列表一般是顺序匹配的，梯形结构，参考如下： RouterC(config)#access-list 4 permit 10.65.1.1

RouterC(config)#access-list 4 deny 10.65.1.0 0.0.0.255 RouterC(config)#access-list 4 permit 10.65.0.0 0.0.255.255 RouterC(config)#access-list 4 deny 10.0.0.0 0.255.255.255 RouterC(config)#access-list 4 permit any RouterC(config)#int s0/1

RouterC(config-if)#ip access-group 4 out RouterC(config-if)#end

[root@PCA @root]#ping 10.69.1.1 (通)

[root@PCE @root]#ping 10.69.1.1 (不通) (10.65.1.3禁止)

[root@PCF @root]#ping 10.69.1.1 (通) (10.65.2.1不在禁止范围) [root@PCB @root]#ping 10.69.1.1 (不通) (10.66.1.1禁止)

4. 扩展访问控制列表

扩展的访问控制列表，有源和目的两个ip，并且要指明应用的协议。实际中可控制的协议有很多，本软件实际只支持icmp的echo操作，用以说明问题。

例1. 阻止PCA访问PCD:

RouterC(config)#access-list 101 deny icmp 10.65.1.1 0.0.0.0 10.70.1.1 0.0.0.0 echo

RouterC(config)#access-list 101 permit ip any any RouterC(config)#int s0/0

RouterC(config-if)#ip access-group 101 in RouterC#sh access-list 101

[root@PCA root]#ping 10.70.1.1 (不通)(请求echo包被禁止) [root@PCE root]#ping 10.70.1.1 (通) [root@PCF root]#ping 10.70.1.1 (通) [root@PCD root]#ping 10.65.1.1 (通)

RouterC(config)#no access-list 101 RouterC#sh access-list

[root@PCA root]#ping 10.70.1.1 (去掉访问控制列表，就通了)

3. 阻止10.65.1.0/24网络访问 10.70.1.1(PCD)。

RouterC(config)#access-list 102 deny icmp 10.65.1.1 0.0.0.255 10.74.1.1 0.0.0.0 echo

RouterC(config)#access-list 102 permit ip any any RouterC(config)#interface s0/1

RouterC(config-if)#ip access-group 102 (默认为out)

[root@PCA root]#ping 10.70.1.1 (不通)(PCE:10.65.1.1禁止) [root@PCE root]#ping 10.70.1.1 (不通)(PCE:10.65.1.3禁止) [root@PCF root]#ping 10.70.1.1 (通) (PCE:10.65.2.1允许)

如果将扩展访问控制列表的目的IP的匹配码改成0.0.0.255，又会怎样呢？请自己分析或做实验。

实验十二综合实验

1. 装入文件all 并使窗体最大化。

2. 规划网络各点IP。

3. 通过配置让各计算机和交换之间可以ping通。

4. 适当设置访问控制列表，检查结果。

规划网络ip地址建议如下：

HostA:192.168.1.1 SwitchA:192.168.1.8 RouterA f0/1:192.168.1.2 HostB:192.168.2.1 SwitchB:192.168.2.8 RouterB f0/1:192.168.2.2 HostC:192.168.3.1 SwitchC:192.168.3.8 RouterC f0/1:192.168.3.2 HostD:192.168.4.1 SwitchD:192.168.4.8 RouterD f0/1:192.168.4.2 HostE:192.168.5.1 SwitchE:192.168.5.8 RouterE f0/1:192.168.5.2 HostF:192.168.5.3

HostG:192.168.6.1 SwitchF:192.168.6.8 RouterF f0/1:192.168.6.2 HostH:192.168.6.3

RouterA s0/0:192.168.11.1 ---> RouterE s0/0:192.168.11.2 RouterB s0/0:192.168.12.1 ---> RouterE s0/1:192.168.12.2

RouterC s0/0:192.168.13.1 ---> RouterF s0/0:192.168.13.2 RouterD s0/0:192.168.14.1 ---> RouterF s0/1:192.168.14.2

PPP 配置实验：

PPP(Point to Point Protocol)协议是一种点对点通讯协议。封装协议：

encapsulation ppp

认证方式：

ppp authentication {chap|pap}[if][list-name|default][callin]

指定口令：

username name password secret

设置DCE端速度： clockrate speed

其中name 应该是对端路由器的名称(Hostname)。口令验证通过方可通讯。

配置PPP：

RouterA(config)#username RouterB password abc RouterA(config)#int s0/0

RouterA(config-if)#encap ppp

RouterA(config-if)#ppp authentication chap

RouterA(config-if)#ip address 10.65.1.1 255.255.255.0 RouterA(config-if)#clockrate 1000000 RouterA(config-if)#no shut RouterA(config-if)#end RouterA#end

RouterB(config)#username RouterA password abc RouterB(config)#int s0/0

RouterB(config-if)#encap ppp

RouterB(config-if)#ppp authentication chap

RouterB(config-if)#ip address 10.65.1.2 255.255.255.0 RouterB(config-if)#no shut RouterB(config)#end RouterA#

RouterA#ping 10.65.1.1

配置BGP：

自治系统AS间的通讯要采用外部网关协议EGP(External Getway Protocol)，而BGP(Backbone Getway Protocol)协议是典型的一种外部网关协议。

RIP、OSPF、IGRP、EIGRP 都属于内部网关协议IGP，内部网关协议在系统内部传送有关内部路由的信息。

外部网关协议用来传送从IGP分离出的AS之间的路由信息，设有两个AS自治系统为别为AS 100 和AS 200。在系统边界路由器上如下设置：

参考配置如下：

routerA(config)#router bgp 100 routerA(config-router)#network 19.0.0.0

routerA(config-router)#neighbor 8.1.1.2 remote-as 200 routerA(config-router)#end routerA#

routerB(config)#router bgp 200

routerB(config-router)#network 16.0.0.0

routerB(config-router)#neighbor 8.1.1.1 remote-as 100 routerB(config-router)#end routerB#

routerB#ping 8.1.1.2

点对点帧中继配置(Point to point frame relay)

设RouterB做帧中继交换机，配置如下： RouterB(config)#frame-relay switching RouterB(config)#int s0/0

RouterB(config-if)#ip address 172.l6.20.2 255.255.255.0 RouterB(config-if)#encap frame-relay

RouterB(config-if)#fram-relay lmi-type cisco RouterB(config-if)#frame-relay intf-type dce RouterB(config-if)#frame-relay interface-dlci 16 RouterB(config-fr-dlci)#exit

RouterB(config-if)#no shutdown

RouterB(config)#int s0/1

RouterB(config-if)#ip address 172.l6.40.1 255.255.255.0 RouterB(config-if)#encap frame-relay

RouterB(config-if)#fram-relay lmi-type cisco RouterB(config-if)#frame-relay intf-type dce RouterB(config-if)#frame-relay interface-dlci 17 RouterB(config-fr-dlci)#exit

RouterB(config-if)#no shutdown

RouterA(config)#int s0/0

RouterA(config-if)#ip address 172.l6.20.1 255.255.255.0 RouterA(config-if)#encap frame-relay

RouterA(config-if)#fram-relay lmi-type cisco RouterA(config-if)#frame-relay interface-dlci 16 RouterC(config-fr-dlci)#exit

RouterA(config-if)#no shutdown

RouterC(config)#int s0

RouterC(config-if)#ip address 172.l6.40.2 255.255.255.0 RouterC(config-if)#encap frame-relay

RouterC(config-if)#fram-relay lmi-type cisco RouterC(config-if)#frame-relay interface-dlci 17 RouterC(config-fr-dlci)#exit

RouterC(config-if)#no shutdown

RouterA#sh frame map RouterA#sh frame pvc

三层交换机实验:

实现交换机vlan间的路由，使用具有三层交换功能的交换机是理想的选择，无论是从性能上还是从价格上都是有优势的。Cisco 3550是具有三层交换功能的交换机。

在交换机上先建两个vlan，分别为vlan 2 和vlan 3，将f0/2 放入vlan 2，将f0/6放入vlan 3，再设置vlan 2 和 vlan 3的IP地址，最后启动路由转发： ip routing。

交换机配置如下： Switch#vlan database Switch(vlan)#vlan 2 Switch(vlan)#vlan 3 Switch(vlan)#exit Switch#conf t

Switch(config)#int f0/2

Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 2 Switch(config-if)#description connected HostA Switch(config-if)#int f0/6

Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 3

Switch(config-if)#description connected HostB Switch(config-if)#exit Switch(config)#int vlan 2

Switch(config-if)#ip address 10.65.1.2 255.255.0.0 Switch(config-if)#int vlan 3

Switch(config-if)#ip address 10.66.1.2 255.255.0.0 Switch(config-if)#exit Switch(config)#ip routing Switch(config)#end Switch#

配置HostA的IP地址为：10.65.1.1 255.255.0.0 配置HostA的网关地址：10.65.1.2

配置HostA的IP地址为：10.66.1.1 255.255.0.0 配置HostA的网关地址：10.66.1.2

多交换机的三层交换

S3550#vlan database S3550(vlan)#vlan 2 S3550(vlan)#vlan 3 S3550(vlan)#exit S3550#conf t

S3550(config)#int vlan 2

S3550(config-if)#ip address 10.65.1.2 255.255.0.0 S3550(config-if)#int vlan 3

S3550(config-if)#ip address 10.66.1.2 255.255.0.0 S3550(config-if)#exit S3550(config)#int f0/4

S3550(config-if)#switchport mode trunk

S3550(config-if)#switchport trunk encapsulation dot1q S3550(config-if)#switchport trunk allowed vlan all

S3550(config-if)#end S3550#conf t

S3550(config)#vtp mode server S3550(config)#vtp domain abc S3550(config)#vtp password abcd S3550(config)#ip routing S3550(config)#exit S3550#

S2924#conf t

S2924(config)#vtp mode client S2924(config)#vtp domain abc S2924(config)#vtp password abcd S2924(config)#int f0/4

S2924(config-if)#switchport mode trunk

S2924(config-if)#switchport trunk encapsulation dot1q S2924(config-if)#switchport trunk allowed vlan all S2924(config-if)#description trunk S2924(config)#int f0/2

S2924(config-if)#switchport mode access S2924(config-if)#switchport access vlan 2 S2924(config-if)#description connected HostA S2924(config-if)#int f0/6

S2924(config-if)#switchport mode access S2924(config-if)#switchport access vlan 3 S2924(config-if)#description connected HostB S2924(config-if)#end S2924#

三层交换机与路由器的连接

在实际的网络环境中一般有多个交换机，在中心交换机或根交换机上设置 vtp server，在下层交换机上设置vtp client，交换机与交换机之间设置trunk。这时下层的交换机就可以使用中心交换机设置的vlan，中心交换机一般都有三层交换功能，可以实现vlan间的访问。

router#conf t

router(config)#int f0/1

router(config-if)#ip address 10.67.1.2 255.255.0.0 router(config-if)#no shutdown router(config-if)#exit

router(config)#router ospf 1

router(config-router)#network 10.67.1.2 0.0.0.0 area 0

router(config-router)#end router#

交换机其它配置不变，不再赘述。与路由器连接时，no switchport关闭二层口，端口工作在三层，并配置IP地址，相关配置如下：

S3550#conf t

S3550(config)#int f0/3

S3550(config)#no switchport

S3550(config-if)#ip address 10.67.1.1 255.255.0.0 S3550(config-if)#no shutdown S3550(config-if)#exit

S3550(config)#router ospf 1

S3550(config-router)#network 10.67.0.0 0.0.0.255 area 0 S3550(config-router)#network 10.66.0.0 0.0.0.255 area 0 S3550(config-router)#network 10.65.0.0 0.0.0.255 area 0 S3550(config)#ip routing

交换机间的端口聚合

switchA#conf t

switchA(config)#int range f0/3 –6

switchA(config-if-range)#switchport mode access switchA(config-if-range)#switchport access vlan 2 switchA(config-if-range)#channel-procotol pagp

switchA(config-if-range)#channel-group 2 mode desirable Creating a port-channel interface Port-channel 2 switchA(config-if-range)#no shutdown switchA(config-if-range)#end switchA#

switchB#conf t

switchB(config)#int range f0/3 –6

switchB(config-if-range)#switchport mode access switchB(config-if-range)#switchport access vlan 2 switchB(config-if-range)#channel-procotol pagp

switchB(config-if-range)#channel-group 2 mode auto Creating a port-channel interface Port-channel 2 switchB(config-if-range)#no shutdown switchB(config-if-range)#end switchB#

交换机与路由器间的端口聚合

switchA#conf t

switchA(config)#int port-channel 5 switchA(config-if)#no switchport

switchA(config-if)#ip address 10.65.1.1 255.255.0.0 switchA(config-if)#exit

switchA(config)#int range f0/1 -2

switchA(config-if-range)#no ip address

switchA(config-if-range)#channel-group 5 mode on switchA(config-if-range)#no shutdown switchA(config-if-range)end switchA#

router#conf t

router(config-if)#int f0/0

router(config-if)#no ip address router(config-if)#no shutdown

router(config-if)#channel-group 1 mode on router(config-if)#int f0/1

router(config-if)#no ip address router(config-if)#no shutdown

router(config-if)#channel-group 1 mode on router(config-if)#int port-channel 1

router(config-if)#ip address 10.65.1.2 255.255.0.0 router(config-if)#end router#

PIX防火墙设置设：

ethernet0命名为外部接口outside，安全级别是0。 ethernet1被命名为内部接口inside，安全级别100。 ethernet2被命名为中间接口dmz，安全级别50。

Pix525#conf t

Pix525(config)#nameif ethernet0 outside security0 Pix525(config)#nameif ethernet1 inside security100 Pix525(config)#nameif ethernet2 dmz security50 Pix525(config)#interface ethernet0 auto Pix525(config)#interface ethernet1 100full Pix525(config)#interface ethernet2 100full

Pix525(config)#ip address outside 133.0.0.1 255.255.255.252 Pix525(config)#ip address inside 10.66.1.200 255.255.0.0 Pix525(config)#ip address dmz 10.65.1.200 255.255.0.0

Pix525(config)#global (outside) 1 133.1.0.1-133.1.0.14 Pix525(config)#nat (inside) 1 0 0

注：1表示global定义的全局IP地址，0 0表示所有内部主机。

Pix525(config)#route outside 0 0 133.0.0.2

Pix525(config)#static (dmz， outside) 133.1.0.1 10.65.1.101 Pix525(config)#static (dmz， outside) 133.1.0.2 10.65.1.102 Pix525(config)#static (inside， dmz) 10.66.0.0 10.66.0.0

PIX525(config)#access-list 101 permit ip any host 133.1.0.1 eq www PIX525(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp PIX525(config)#access-list 101 deny ip any any

PIX525(config)#access-group 101 in interface outside

当内部主机访问外部主机时，通过nat转换成公网IP，访问internet。当内部主机访问中间区域dmz时，将自己映射成自己，访问服务器，否则内部主机将会映射成地址池的IP，到外部去找。

当外部主机访问中间区域dmz时，对133.0.0.1映射成10.65.101，static 是双向的。由于PIX的所端口默认是关闭的，进入PIX要经过acl入口过滤。静态路由指示内部的主机和dmz的数据包从outside口出去。

S> enable 进入特权模式

S# configure terminal 进入全局配置模式 S(config)# hostname name 改变交换机名称

S(config)# enable password level level_# password 设置用户口令（level_#=1)或特权口令（level_#=15)

S(config)# line console 0 进入控制台接口

S(config-line)# password console_password 接上一条命令，设置控制台口令 S(config)# line vty 0 15 进入虚拟终端

S(config-line)# password telnet_password 接上一条命令，设置Telnet口令 S(config-line)# login 允许Telnet登录

S(config)# enable password|secret privilege_password 配置特权口令（加密或不加密） S(config)# interface ethernet|fastethernet|gigabitethernet slot_#/port_# 进入接口子配置模式

S(config-if)# [no] shutdown 关闭或启用该接口（默认启用） S(config)# ip address IP_address sunbet_mask 指定IP地址

S(config)# ip default-gateway router's_IP_address 指定哪台路由器地址为默认网关 S# show running-config 查看当前的配置

S# copy running-config startup-config 将RAM中的当前配置保存到NVRAM中 S> show interface [type slot_#/port_#] 查看所有或指定接口的信息 S> show ip 显示交换机的IP配置（只在1900系列上可用） S> show version 查看设备信息

S# show ip interface brief 验证IP配置

S(config-if)# speed 10|100|auto 设置接口速率

S(config-if)# duplex auto|full|half 设置接口双工模式 S> show mac-address-table 查看CAM表

S# clear mac-address-table 清除CAM表中的动态条目

1900(config)# mac-address-table permanent MAC_address type [slot_#/]port_# 在CAM表中创建静态条目

2950(config)# mac-address-table static MAC_address vlan VLAN_# interface type [slot_#/] port_# 在CAM表中创建静态条目

1900(config)# mac-address-table restricted static MAC_address source_port list_of_allowed_interface 设置静态端口安全措施 1900(config-if)# port secure 启用粘性学习

1900(config-if)# port secure max-mac-count value 设置粘性学习特性能够学到的地址数量（默认132，取值范围是1-132）

1900(config)# address-violation suspend|ignore|disable 改变安全选项 1900> show mac-address-table security 验证端口安全措施

2950(config)# switchport mode access 定义接口为主机端口而不是中继端口 2950(config)# switchport port-security 启用端口安全措施

2950(config)# switchport port-security maximum value 指定可与此接口相关的设备的最大数量

2950(config)# switchport port-security violation protect|restrict|shutdown 指定出现安全违规时应该发生的事

2950(config)# switchport port-security mac-address MAC_address 指定允许与此接口相关的确切的MAC地址

2950(config)# switchport port-security mac-address sticky 启用粘性学习特性 2950(config)# show port interface type [slot_#/] port_# 验证接口配置 2950(config-if) description name 设置接口描述信息 2950# show buffers 查看系统缓存的大小

1900# copy nvram tftp:// IP_address_of_TFTP_server/ file_name 将配置文件备份到TFTP服务器上

1900# copy tftp:// IP_address_of_TFTP_server/ file_name nvram 从TFTP服务器上恢复配置到NVRAM

1900# delete nvram 删除配置文件

2950# erase startup-config 删除配置文件

3550# show tcam qos TCAM_ID statistics 查看TCAM剩余容量 4000> enable 进入特权模式

4000>(enable) set password 设置用户模式密码 4000>(enable) set enablepass 设置授权密码

4000>(enable) set interface sc0 IP_address mask 配置IP地址 4000>(enable) set port enable|disable slot_#/port_# 启用/禁用接口 4000>(enable) show port [slot_#/port_#] 显示接口信息

4000>(enable) set port name slot_#/port_# name 设置交换机接口描述信息

4000>(enable) set port speed slot_#/port_# 4|10|16|100|auto 设置交换机接口速率 4000>(enable) set port duplex slot_#/port_# full|half 设置交换机接口双工模式 4000>(enable) clear config all 删除NVRAM中的配置信息

4000>(enable) erase all 删除FLASH中的内容 4000>(enable) show flash 显示FLASH中的内容

4000>(enable) show cam [count] dynamic|static|permanent|system [vlan_#] 显示CAM表 VLAN 1900(config)# vtp domain VTP_domain_name 定义交换机域名

1900(config)# vtp server|client|transparent 定义交换机VTP模式（默认服务器） 1900(config)# vtp password VTP_password 配置VTP口令

1900(config)# vtp pruning enable|disable 启用/禁用修剪（默认启用） 1900(config)# vtp trap enable 启用SNMP陷阱（默认启用） 1900# show vtp 验证VTP配置

2950# vtp database 访问VLAN和VTP配置（以下均是在IOS12.1前用，12.1后全是在全局配置模式下）

2950(vlan)# vtp domain VTP_domain_name 定义交换机域名

2950(vlan)# vtp server|client|transparent 定义交换机VTP模式（默认服务器） 2950(vlan)# vtp password VTP_password 配置VTP口令 2950(vlan)# vtp pruning 启用/禁用修剪（默认启用）

2950(config)# snmp-server enable traps vtp 启用SNMP陷阱（默认启用） 2950# show vtp status 检查VTP配置

2950# show vtp counters 显示与VTP消息发送与接收相关的VTP统计信息 1900(config-if)# trunk on|off|desirable|auto 指定中继类型

1900# show trunk A|B 验证接口中继（A是fa0/26，B是fa0/27）

2950(config-if)# switchport mode trunk|dynamic desirable|dynamic auto|nonegotiate 指定中继类型(默认自动协商）

2950(config-if)# switchport trunk native|allowed|pruning vlan VLAN_# 配置中继

2950(config-if)# switchport trunk pruning vlan remove VLAN_# 清除不希望消减的VLAN 2950# show interfaces [type 0/port_#] switchport|trunk 验证接口中继 1900(config)# vlan VLAN_# [name VLAN_name] 创建VLAN

1900(config-if)# vlan-membership static VLAN_# 将该接口静态地分配给一个VLAN 1900# show vlan 验证VLAN

1900# show vlan-membership 查看VLAN成员关系

1900# show spantree [VLAN_#] 查看VLAN的STP信息 2950# vlan database 进入VLAN数据库（ISO12.1前用） 2950(vlan)# vlan VLAN_# [name VLAN_name] 创建VLAN

2950(config)# vlan VLAN_# 进入VLAN数据库（ISO12.1后用） 2950(config-vlan)# name VLAN_name 创建VLAN

2950(config-if)# switchport mode access 指定连接是接入链路连接

2950(config-if)# switchport access vlan VLAN_# 指定VLAN是接入链路连接 4000>(enable) set vlan VLAN_# name VLAN_name 配置VLAN

4000>(enable) set vlan VLAN_# slot_#/port_#-port_# 为VLAN分配端口

4000>(enable) clear trunk slot_#/port_# VLAN_# 删除VLAN 4000>(enable) show trunk slot_#/port_# 验证中继端口 4000>(enable) set vtp v2 enable 配置VTPv2

4000>(enable) set vtp [domain name] [mode client|server|transparent] [passwd password]

[pruning enable|disable] [v2 enable|disable] 设置VTP 4000>(enable) show vtp domain 验证VTP域的信息

4000>(enable) show vtp statistics 显示发出或收到的VTP通告信息的摘要内容 4000>(enable) set vtp pruneeligible VLAN_# 设置VTP消减

4000>(enable) clear vtp pruneeligible VLAN_# 清除不希望消减的VLAN

STP 4000>(enable) set spantree enable|disable VLAN_# 启用/禁用STP（默认启用） 2950(config)# [no] spanning-tree vlan VLAN_# 启用/禁用STP（默认启用） 4000>(enable) show spantree [VLAN_#] 验证STP状态 2950# show spanning-tree 验证STP状态

4000>(enable) set spantree root [secondary] VLAN_# [dia network_diameter] [hello hello_time] 设置主根节点桥、备份节点桥、最大桥数量（2-7）、持续时间（1-10，默认2） 4000>(enable) set spantree portcost slot_#/port_# cost_# 设置端口开销 2950(config-if)# spanning-tree cost cost_# 设置端口开销

4000>(enable) set spantree portpri slot_#/port_# priority_# 设置端口优先级

4000>(enable) set spantree portvlanpri slot_#/port_# priority_# [VLAN_#] 改变VLAN的优先级设置

2950(config-if)# spanning-tree vlan VLAN_# port-priority priority_# 设置端口优先级

4000>(enable) set spantree fwddelay delay_# [VLAN_#] 设置从侦听状态到学习状态再到转发状态的时间间隔（默认15秒，取值范围是4-30秒）

4000>(enable) set spantree hello interval_time [VLAN_#] 设置根节点交换机发送BPDU的时间间隔（默认2秒，取值范围是1-10秒）

4000>(enable) set spantree maxage agingtime [VLAN_#] 设置交换机持有BPDU的时间（默认20秒，取值范围是6-40秒）

2950(config)# spanning-tree vlan VLAN_# forward-time forward_time 设置从侦听状态到学习状态再到转发状态的时间间隔（默认15秒，取值范围是4-30秒）

2950(config)# spanning-tree vlan VLAN_# hello-time hello_time 设置根节点交换机发送BPDU的时间间隔（默认2秒，取值范围是1-10秒）

2950(config)# spanning-tree vlan VLAN_# max-age maxage 设置交换机持有BPDU的时间（默认20秒，取值范围是6-40秒）

4000>(enable) set port channel slot_#/port_# on 建立以太通道集合 4000>(enable) show port capabilities slot_#/port_# 查看端口的配置 4000>(enable) show port channel 验证以太通道集合的配置

4000>(enable) set spantree portfast slot_#/port_# enable 配置PortFast 2950(config-if)# spanning-tree portfast 配置PortFast

4000>(enable) set spantree uplinkfast enable|disable [rate station_update_rate] [all-protocols off|on] 启用/禁用UplinkFast

4000>(enable) show spantree uplinkfast 验证UplinkFast配置

2950(config)# spanning-tree uplinkfast [max_update_rate] 启用/禁用UplinkFast 2950# show spanning-tree uplinkfast 验证UplinkFast配置

4000>(enable) set spantree backbonefast enable|disable 启用/禁用BackboneFast 4000>(enable) show spantree backbonefast 验证BackboneFast配置 2950(config)# spanning-tree backbonefast 启用BackboneFast

虚拟网间路由 2600(config)# interface type slot_#/port_#.subint_number 配置子接口 2600(config-subif)# encapsulation dot1q|isl|sde|tr-isl VLAN_# 配置封装类型 4000>(enable) show module 查看交换机的硬件配置 4000>(enable) session module_# 访问L3SM

L3SM(config-if)# mac-address mac_address 分配MAC地址 MLS 2600(config)# mls rp ip 启动MLS

2600(config-if)# mls rp vtp-domain domain_name 分配路由器接口到VTP域中 2600(config-if)# mls rp vlan-id VLAN_# 向接口分配VLAN

2600(config-if)# mls rp management-interface 指定该接口为管理接口 2600# show mls rp 提供全局MLS信息

2600# show mls rp interface type slot_#/port_# 提供指定接口的MLS信息 2600# show mls rp vtp-domain domain_name 提供VTP域的MLS信息 6500>(enable) set mls enable 在MLS-SE上启动MLS

6500>(enable) set mls include rp_ip_address 告诉交换机哪一个IP地址是正确的 6500>(enable) show mls include 显示外部路由处理器的IP地址列表

6500>(enable) set mls flow [destination|destination-source|full] 告诉MLS交换机要缓存候选数据包的哪些信息

6500>(enable) show mls entry 显示第三层缓存表

6500>(enable) set mls agingtime aging_time 改变缓存的衰老时间（默认256秒，取值范围是8-2032秒中的8的倍数值）

6500>(enable) set mls agingtime fast fast_aging_time pkt_threshold 改变快速衰老周期和数据包门限值

6500>(enable) show mls ip 验证MLS-SE的配置

6500>(enable) clear mls entry [destination IP_address] [source IP_address] [flow protocol] [source_port] [destination_port] [all] 删除所有或指定MLS缓存记录 3550(config)# ip routing 启动IP路由 3550(config)# ip cef 启动CEF

3550(config-if)# no switchport 将第二层接口转换为第三层接口 3550(config-if)# ip route-cache cef 在接口上启动CEF 3550# show ip cef 验证CEF

组播 30(config)# ip multicast-routing 启动路由器上的组播服务 30(config-if)# ip pim dense-mode 将接口设置为PIM密集模式 30(config-if)# ip pim sparse-mode 将接口设置为PIM稀疏模式

30(config-if)# ip pim sparsed-dense-mode 将接口设置为PIM稀疏-密集模式 30(config)# ip pim rp-address IP_address group_ACL_# [override] 手工配置RP

30(config)# ip pim send-rp-announce type slot_#/port_# scope ttl_value group-list ACL_# 通告RP组的分配

30(config)# ip pim send-rp-discovery scope ttl_value 配置RP映射代理 30(config-if)# ip multicast ttl-threshold ttl_value 设置TTL门限值

30(config-if)# ip igmp join-group group_address 加入组播组 30# show ip mroute 查看组播信息

30# ping 验证RP之间或其他组播路由器之间的连接

30# mtrace source_IP_address [destination_IP_address] [group] 组播traceroute 30(config-if)# ip cgmp 配置CGMP路由器 4000>(enable) set cgmp enable 启动CGMP

4000>(enable) show cgmp statistics 查看CGMP统计信息

4000>(enable) show multicast group cgmp 查看交换机了解到的组播组信息 4000>(enable) set cgmp leave enable 检查由客户端产生的IGMPv2的离开信息 4000>(enable) set igmp enable 启动IGMP

4000>(enable) ip igmp snooping 启动IGMP探听

4000>(enable) set igmp fastleave enable 启动快速离开过程

4000>(enable) show igmp statistics 显示交换机上IGMP探听的状态信息 QoS 2950(config)# wrr-queue cos-map queue_ID cos_value 建立队列 2950(config)# wrr-queue bandwidth bandwidth_value 设置队列门限 2950(config)# class-maps name 定义对信息传输分类时的匹配标准

2950(config-cmap)# match access-group ACL_# 识别被分类的信息传输 2950(config)# policy-map name 确定为接入信息传输所设置的分类标准 2950(config-pmap)# class name

2950(config-pmap-c)# set ip dscp number

2950(config-if)# service-policy input name 对该接口应用策略 3550(config)# mls qos 启动QoS

3550(config-if)# auto qos voip 在接口上启动自动服务质量

3550(config)# priority-list priority_queue_# protocol protocol high|medium|normal|low [list ACL_#] 为优先级队列定义信息流

3550(config)# priority-list priority_queue_# queue-limit limit_# 定义特定优先级队列的最大队列空间

3550(config-if)# priority-group priority_queue_# 向特定输出接口分配优先级队列

3550(config)# queue-list queue_list_# interface type slot_#/port_# queue_number 为一个特定的定制队列定义信息流

3550(config)# queue-list queue_list_# queue queue_number byte-count size_in_bytes [limit number_of_queue] 为特定的定制队列定义队列的最大空间

3550(config-if)# custom-queue-list custom_queue_number 为特定的输出接口分配优先级队列

4840(config)# ip slb serverfarm serverfarm_name 配置SLB冗余 4840(config-slb-sfarm)# real IP_address [port_#] 指定虚拟IP地址 4840(config-slb-sfarm)# inservice 启动服务器 4840(config)# virtual IP_address [network_mask] tcp|udp [port_number|wsp|wsp-wtp|wsp-wtls|wsp-wtp-wtls] [service service_name] 建立虚拟服务器IP地址

实验报告

实验时间：2009年4月12号实验人：贾贞

实验名称：OSPF的综合实验所属模块及课程：A

实验目的：OSP的基本配置和多域配置；双向路由重分配；配置虚链路；实现全网络的互通。

实验拓扑：

实验步骤：

在R1上的配置：配IP地址

启用RIP

在R2上的配置：配IP地址

启用RIP

启用OSPF

路由重分发

在R3上的配置：配IP地址

启用OSPF，并配置BID

配置虚链路

在R4上的配置：配IP地址

启用OSPF

配置虚链路

在R5上的配置：配IP地址

启用OSPF

查看路由表

测试网络的连通性

实验结果分析：配置虚链路时要指向对方的Router ID 双路由重分配实质上是RIP和OSPF之间的翻译作用。

实验结论：通过在各个路由器上启用OSPF，配置虚链路，双路由重分配，实现了网络的互通。

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文