利用華為ENSP模擬器分析和配置中小型企業(yè)網(wǎng)絡(luò)的綜合實(shí)驗(yàn)

1????? 【實(shí)驗(yàn)?zāi)康摹?/p>

增強(qiáng)分析和配置中小型企業(yè)網(wǎng)絡(luò)的綜合能力

2????? 【實(shí)驗(yàn)環(huán)境】

本實(shí)驗(yàn)?zāi)M了一個(gè)企業(yè)網(wǎng)絡(luò)場(chǎng)景，其中R1為公司總部的路由器，交換機(jī)S1，S2，S3，S4，服務(wù)器，終端等設(shè)備組成了公司總部的園區(qū)網(wǎng)，R2，R3，R4為公司分部的路由器。

公司總部的園區(qū)網(wǎng)劃分了不同的VLAN。為了防止二層環(huán)路及提高交換機(jī)的抗攻擊性，每臺(tái)交換機(jī)都需要運(yùn)行RSTP協(xié)議，同時(shí)配置RSTP保護(hù)功能。

在公司總部網(wǎng)絡(luò)中，R1,S1,R2運(yùn)行OSPF協(xié)議，并需要通過配置OSPF認(rèn)證功能來提高安全性。由于種種原因，S3和S4不能運(yùn)行OSPF路由協(xié)議，所以網(wǎng)絡(luò)管理員需要將用戶網(wǎng)段的路由引入OSPF進(jìn)程，在路由引用的同時(shí)還需要實(shí)現(xiàn)路由聚合。

公司分部網(wǎng)絡(luò)使用了IS-IS路由協(xié)議作為IGP，公司總部網(wǎng)絡(luò)與公司分部網(wǎng)絡(luò)之間通過BGP路由協(xié)議實(shí)現(xiàn)互通，同時(shí)，總部與分部之間的通信還需要滿足負(fù)載分擔(dān)等許多特別的要求，這些要求將在實(shí)驗(yàn)步驟中進(jìn)行具體的說明。

實(shí)驗(yàn)拓?fù)淙鐖D所示

13? ? ?【實(shí)驗(yàn)過程】

3.1??? IP地址表：

3.2? ??基礎(chǔ)配置及VLAN劃分：

在公司總部園區(qū)網(wǎng)的 S1、S2、S3、S4 上創(chuàng)建 VLAN10、20、30、110、120、130；并在四個(gè)交換機(jī)上并配置 Mux VLAN，其中 Server 1 的 VLAN 20 屬于Principal VLAN（主 VLAN），PC-1 和 PC-2 的 VLAN 10 屬于 Group VLAN(互通型從 VLAN)，PC-3 和 PC-4 的 VLAN 30 屬于 Separarte VLAN(隔離型從 VLAN)。

3.2.1?? R1配置：

sys [Huawei]sysname?R1 [R1]int?loop?0 [R1-LoopBack0]ip?add?1.1.1.1?24 [R1-LoopBack0]int?g0/0/0 [R1-GigabitEthernet0/0/0]ip?add?192.168.15.1?24 [R1-GigabitEthernet0/0/0]int?g0/0/1 [R1-GigabitEthernet0/0/1]ip?add?192.168.16.1?24 [R1-GigabitEthernet0/0/1]int?g0/0/2 [R1-GigabitEthernet0/0/2]ip?add?192.168.12.1?30 [R1-GigabitEthernet0/0/2]int?g0/0/3 [R1-GigabitEthernet0/0/3]ip?add?192.168.13.1?30

3.2.2?? AR2配置：

sys [Huawei] [Huawei]sysname?AR2 [AR2]int?loop?0 [AR2-LoopBack0] [AR2-LoopBack0]ip?add?2.2.2.2?24 [AR2-LoopBack0]int?g0/0/0 [AR2-GigabitEthernet0/0/0]ip?add?192.168.12.2?30 [AR2-GigabitEthernet0/0/0]int?g0/0/1 [AR2-GigabitEthernet0/0/1]ip?add?192.168.24.2?24

3.2.3?? AR3配置：

sys [Huawei]sysname?AR3 [AR3]int?loop?0 [AR3-LoopBack0]ip?add?3.3.3.3?24 [AR3-LoopBack0]int?g0/0/1 [AR3-GigabitEthernet0/0/1]ip?add?192.168.13.3?30 [AR3-GigabitEthernet0/0/1]int?g0/0/2 [AR3-GigabitEthernet0/0/2]ip?add?192.168.34.3?24

3.2.4?? AR4配置：

sys [Huawei]sysname?AR4 [AR4]int?loop?0 [AR4-LoopBack0]ip?add?4.4.4.4?24 [AR4-LoopBack0]int?loop?1 [AR4-LoopBack1]ip?add?14.14.14.14?24 [AR4-LoopBack1]int?g0/0/1 [AR4-GigabitEthernet0/0/1]ip?add?192.168.24.4?24 [AR4-GigabitEthernet0/0/1]int?g0/0/2 [AR4-GigabitEthernet0/0/2]ip?add?192.168.34.4?24

LSW1 和 LSW3相連接的接口為access端口，允許VLAN 20通過其余四臺(tái)交換機(jī)相連接口為Trunk

3.2.5?? LSW1配置：

sys [Huawei]sysname?LSW1 [LSW1]vlan?batch?20?56?57 [LSW1]int?vlanif?20 [LSW1-Vlanif20]ip?add?20.20.10.1?24 [LSW1-Vlanif20]int?vlanif?56 [LSW1-Vlanif56]ip?add?192.168.15.2?24 [LSW1-Vlanif56]int?vlanif?57 [LSW1-Vlanif57]ip?add?192.168.56.2?24 [LSW1-Vlanif57]q [LSW1]int?g0/0/2 [LSW1-GigabitEthernet0/0/2]port?link-type?access [LSW1-GigabitEthernet0/0/2]port?default?vlan?20 [LSW1-GigabitEthernet0/0/2]int?g0/0/3 [LSW1-GigabitEthernet0/0/3]port?link-type?trunk [LSW1-GigabitEthernet0/0/3]port?trunk?allow-pass?vlan?all [LSW1-GigabitEthernet0/0/3]int?g0/0/1 [LSW1-GigabitEthernet0/0/1]port?link-type?access [LSW1-GigabitEthernet0/0/1]port?default?vlan?57 [LSW1-GigabitEthernet0/0/1]int?g0/0/4 [LSW1-GigabitEthernet0/0/4]port?link-type?access [LSW1-GigabitEthernet0/0/4]port?default?vlan?56

3.2.6?? LSW2配置：

sys [Huawei]sysname?LSW2 [LSW2]vlan?batch?66?67?110?120?130 [LSW2]int?vlanif?110? [LSW2-Vlanif110]ip?add?60.20.10.1?24 [LSW2-Vlanif110]int?vlanif?120 [LSW2-Vlanif120]ip?add?60.20.20.1?24 [LSW2-Vlanif120]int?vlanif?130 [LSW2-Vlanif130]ip?add?60.60.30.1?24 [LSW2-Vlanif130]int?vlanif?66 [LSW2-Vlanif66]ip?add?192.168.16.6?24 [LSW2-Vlanif66]int?vlanif?67 [LSW2-Vlanif67]ip?add?192.168.56.6?24 [LSW2]int?g0/0/2 [LSW2-GigabitEthernet0/0/2]port?link-type?trunk [LSW2-GigabitEthernet0/0/2]port?trunk?all?vlan?10?20?30?110?120?130 [LSW2-GigabitEthernet0/0/2]int?g0/0/3 [LSW2-GigabitEthernet0/0/3]port?link-type?trunk [LSW2-GigabitEthernet0/0/3]port?trunk?all?vlan?10?20?30?110?120?130 [LSW2-GigabitEthernet0/0/3]int?g0/0/1 [LSW2-GigabitEthernet0/0/1]port?link-type?access [LSW2-GigabitEthernet0/0/1]port?default?vlan?67 [LSW2-GigabitEthernet0/0/1]int?g0/0/4 [LSW2-GigabitEthernet0/0/4]port?link-type?access [LSW2-GigabitEthernet0/0/4]port?default?vlan?66

3.2.7?? LSW3配置：

（只有接口是access才能配置MUX-VLAN）

sys? [LSW3]sys?LSW3 [LSW3]int?g0/0/2 [LSW3-GigabitEthernet0/0/2]port?link-type?access [LSW3-GigabitEthernet0/0/2]port?default?vlan?20 [LSW3-GigabitEthernet0/0/2]int?g0/0/1 [LSW3-GigabitEthernet0/0/1]port?link-type?trunk [LSW3-GigabitEthernet0/0/1]port?trunk?all?vlan?10?20?30?110?120?130 [LSW3-GigabitEthernet0/0/1]q [LSW3]vlan?batch?10?20?30 [LSW3]vlan?20 [LSW3-vlan20]mux-vlan [LSW3-vlan20]subordinate?group?10 [LSW3-vlan20]subordinate?separate?30 [LSW3-vlan20]int?e0/0/1 [LSW3-Ethernet0/0/1]port?mux-vlan?enable [LSW3-Ethernet0/0/1]port?link-type?access [LSW3-Ethernet0/0/1]port?default?vlan?20 [LSW3-Ethernet0/0/1]int?e0/0/2 [LSW3-Ethernet0/0/2]port?mux-vlan?enable [LSW3-Ethernet0/0/2]port?link-type?access [LSW3-Ethernet0/0/2]port?default?vlan?10 [LSW3-Ethernet0/0/2]int?e0/0/3 [LSW3-Ethernet0/0/3]port?mux-vlan?enable [LSW3-Ethernet0/0/3]port?link-type?access [LSW3-Ethernet0/0/3]port?default?vlan?10 [LSW3-Ethernet0/0/3]int?e0/0/4 [LSW3-Ethernet0/0/4]port?mux-vlan?enable [LSW3-Ethernet0/0/4]port?link-type?access [LSW3-Ethernet0/0/4]port?de?vlan?30 [LSW3-Ethernet0/0/4]int?e0/0/5 [LSW3-Ethernet0/0/5]port?mux-vlan?enable [LSW3-Ethernet0/0/5]port?link-type?access [LSW3-Ethernet0/0/5]port?de?vlan?30

3.2.8?? LSW4配置：

sys [Huawei]sys?LSW4 [LSW4]int?g0/0/1 [LSW4-GigabitEthernet0/0/1]port?link-type?trunk [LSW4-GigabitEthernet0/0/1]port?trunk?all?vlan?10?20?30?110?120?130 [LSW4-GigabitEthernet0/0/1]int?g0/0/2 [LSW4-GigabitEthernet0/0/2]port?link-type?trunk [LSW4-GigabitEthernet0/0/2]port?trunk?all?vlan?10?20?30?110?120?130 [LSW4-GigabitEthernet0/0/2]vlan?110 [LSW4-vlan110]mac-vlan?mac-address?5489-98AF-781B??????????????? [LSW4-vlan110]int?e0/0/1 [LSW4-Ethernet0/0/1]port?hybrid?untagged?vlan?all [LSW4-Ethernet0/0/1]mac-vlan?enable

3.2.9?? 結(jié)果查看：

1.在LSW4中通過MAC地址綁定將Server 2添加到 VLAN 100

2.在LSW3中MUX-VLAN結(jié)果（互通型與隔離型）

3.在LSW1與LSW2中VLAN信息

3.3??? RSTP配置：

在 S1、S2、S3、S4 配置 RSTP，S1 為根交換機(jī)，S2 為備份根交換機(jī)，并在四個(gè)交換機(jī)上配置 TC-BPDU 保護(hù)，S2 上啟用根保護(hù)特性，S3 和 S4 配置邊緣端口。

3.3.1?? LSW1配置：

[LSW1]stp?mode?rstp [LSW1]stp?root?primary [LSW1]int?g0/0/3 [LSW1-GigabitEthernet0/0/3]stp?root-protection [LSW1-GigabitEthernet0/0/3]stp?tc-protection [LSW1]stp?tc-protection?threshold?2

3.3.2? ?LSW2配置：

[LSW2]stp?mode?rstp [LSW2]stp?root?secondary [LSW2]int?g0/0/2 [LSW2-GigabitEthernet0/0/2]stp?root-protection [LSW2-GigabitEthernet0/0/2]int?g0/0/3 [LSW2-GigabitEthernet0/0/3]stp?root-protection [LSW2-GigabitEthernet0/0/3]stp?tc-protection [LSW2]stp?tc-protection?threshold?2

3.3.3?? LSW3配置：

[LSW3]stp?mode?rstp [LSW3]stp?tc-protection [LSW3]stp?tc-protection?threshold?2 [LSW3]int?e0/0/1 [LSW3-Ethernet0/0/1]stp?edged-port?enable [LSW3-Ethernet0/0/1]int?e0/0/2 [LSW3-Ethernet0/0/2]stp?edged-port?enable [LSW3-Ethernet0/0/2]int?e0/0/3 [LSW3-Ethernet0/0/3]stp?edged-port?enable [LSW3-Ethernet0/0/3]int?e0/0/4 [LSW3-Ethernet0/0/4]stp?edged-port?enable [LSW3-Ethernet0/0/4]int?e0/0/5 [LSW3-Ethernet0/0/5]stp?edged-port?enable [LSW3-Ethernet0/0/5]stp?bpdu-protection

3.3.4?? LSW4配置：

[LSW4]stp?mode?rstp [LSW4]stp?tc-protection [LSW4]stp?tc-protection?threshold?2 [LSW4]int?e0/0/1 [LSW4-Ethernet0/0/1]stp?edged-port?enabl [LSW4-Ethernet0/0/1]stp?bpdu-protection

3.3.5?? 結(jié)果查看：

1.在LSW3和LSW4中查看當(dāng)前端口角色信息、TC-BPDU 保護(hù)、邊緣端口

2.在LSW1和LSW2中跟交換機(jī)與備份交換機(jī)

從圖中可以看出LSW1優(yōu)先級(jí)為0，LSW2優(yōu)先級(jí)為4096，LSW1成為根網(wǎng)橋,LSW2成為備用根網(wǎng)橋

3.在LSW1和LSW2中置指定端口保護(hù)

3.4??? 路由（OSPF）

在 S1、S2、R1 之間使用 OSPF 路由協(xié)議，需配置認(rèn)證功能，并將 LSA 的更新時(shí)間間隔和被接受的時(shí)間間隔設(shè)置為 0 秒，以加快 OSPF 的收斂速度。把 S1 上的VLANIF 20 和 S2 上的 VLANIF 110、VLANIF 120、VLANIF 130 所對(duì)應(yīng)的網(wǎng)段引入OSPF 進(jìn)程，同時(shí)需要實(shí)現(xiàn) VLANIF 20、VLANIF 110、VLANIF 120 路由聚合。

3.4.1?? R1配置：

[R1]ospf?router-id?1.1.1.1 [R1-ospf-1]area?0 [R1-ospf-1-area-0.0.0.0]net?1.1.1.1?0.0.0.0 [R1-ospf-1-area-0.0.0.0]network?192.168.15.1?0.0.0.0 [R1-ospf-1-area-0.0.0.0]network?192.168.16.1?0.0.0.0

為了提高網(wǎng)絡(luò)的安全性，R1 LSW1 LSW2 需要相互通過認(rèn)證才能交換路由信息。

做OSPF的區(qū)域認(rèn)證，簡(jiǎn)單的明文，密鑰為Jack20

[R1-ospf-1]ospf [R1-ospf-1]area?0 [R1-ospf-1-area-0.0.0.0]authentication-mode?simple?plain?Jack20

3.4.2?? LSW1配置：

[LSW1]ospf?router-id?5.5.5.5 [LSW1-ospf-1]area?0 [LSW1-ospf-1-area-0.0.0.0]network?192.168.15.2?0.0.0.0 [LSW1-ospf-1-area-0.0.0.0]network?192.168.56.2?0.0.0.0 [LSW1]ospf [LSW1-ospf-1]import-route?direct [LSW1-ospf-1]asbr-summary?20.20.0.0?255.255.0.0 [LSW1-ospf-1]q

使用了md5 密碼密鑰驗(yàn)證方式

[LSW1]ospf [LSW1-ospf-1]area?0 [LSW1-ospf-1-area-0.0.0.0]authentication-mode?md5?1?Jack20

3.4.3?? LSW2配置：

[LSW2]ospf?router-id?6.6.6.6 [LSW2-ospf-1]area?0 [LSW2-ospf-1-area-0.0.0.0]network?192.168.16.6?0.0.0.0 [LSW2-ospf-1-area-0.0.0.0]network?192.168.56.6?0.0.0.0 [LSW2]ospf [LSW2-ospf-1]import-route?direct [LSW2-ospf-1]asbr-summary?60.20.0.0?255.255.224.0 [LSW2-ospf-1]ospf [LSW2-ospf-1]area?0 [LSW2-ospf-1-area-0.0.0.0]authentication-mode?simple?plain?Jack20

3.4.4?? 結(jié)果查看：

1.在R1中查看鄰居的建立

2.在LSW1和LSW2中查看鄰居的建立

通過以上2個(gè)OSPF鄰居建立的查看，看出在區(qū)域中A1與LSW1與LSW2已經(jīng)成功建立關(guān)系，可以成功實(shí)現(xiàn)公司總部和公司分部之間的相互通訊

3.5??? IS-IS 路由配置

在 AR2、AR3、AR4 之間配置 IS-IS 路由協(xié)議，并為路由器配置為IS-IS level-1路由器，以減少鄰居關(guān)系和精簡(jiǎn)鏈路狀態(tài)數(shù)據(jù)庫

3.5.1?? AR2配置

[AR2]isis [AR2-isis-1]network-entity?49.0001.0000.0002.00 [AR2-isis-1]is-name?R2 [AR2-isis-1]is-level?level-1 [AR2-isis-1]int?loop?0 [AR2-LoopBack0]isis?enable [AR2-LoopBack0]int?g0/0/1 [AR2-GigabitEthernet0/0/1]isis?enable

3.5.2?? AR3配置

[AR3]isis [AR3-isis-1]network-entity?49.0001.0000.0003.00 ed?all?ISIS?modules.? [AR3-isis-1]is-name?R3 [AR3-isis-1]is-level?level-1 [AR3-isis-1]int?loopback?0 [AR3-LoopBack0]isis?enable [AR3-LoopBack0]int?g0/0/2 [AR3-GigabitEthernet0/0/2]isis?enable

3.5.3?? AR4配置

[AR4]isis [AR4-isis-1]network-entity?49.0001.0000.0004.00 [AR4-isis-1]is-name?R4 [AR4-isis-1]is-level?level-1 [AR4-isis-1]int?loop?0 [AR4-LoopBack0]isis?enable [AR4-LoopBack0]int?loop?1 [AR4-LoopBack1]isis?enable [AR4-LoopBack1]int?g0/0/1 [AR4-GigabitEthernet0/0/1]isis?enable [AR4-GigabitEthernet0/0/1]int?g0/0/2 [AR4-GigabitEthernet0/0/2]isis?enable

3.5.4?? 結(jié)果查看：

1.???? 在AR4中查看 IS-IS 鄰居關(guān)系

ISIS建立成功且AR2、AR3、AR4均成功設(shè)置為level-1路由器

2.???? 在AR2、AR3、AR4中檢查IS-IS在接口的啟用狀況和DIS

從圖中可以看出AR2、AR3和AR4在一個(gè)廣播網(wǎng)絡(luò)下建立鄰居，因此需要選舉DIS，默認(rèn)情況下， DIS優(yōu)先級(jí)都為64，如果優(yōu)先級(jí)相同MAC地址大的接口將成為DIS

3.???? 在AR2、AR3、AR4中路由表

AR2過濾32位子網(wǎng)掩碼后精簡(jiǎn)版路由表

AR4完整路由表

AR4已經(jīng)成功通過IS-IS協(xié)議獲得了 AR2、A R3的網(wǎng)段的路由

3.6??? BGP路由配置

在 R1、R2、R3、R4 之間配置 BGP 路由協(xié)議，并在 R1 上將 OSPF 引入 BGP 進(jìn)程，在 R2 和 R3 上將 IS-IS 路由引入 BGP 進(jìn)程；同時(shí)為了 R4 可以獲取到總部網(wǎng)絡(luò)的 BGP 路由條目，需要在 R2 和 R3 上將 R4 的 Loopback 0 的 IP 地址設(shè)置為向IBGP 對(duì)等體發(fā)布路由時(shí)的下一跳地址。然而，總公司不希望分公司分部訪問60.20.30.0/24 網(wǎng)段，在 R1 上使用路由策略在引入 OSPF 路由時(shí)過濾掉這個(gè)網(wǎng)段的路由。為了使 S1 和 S2 獲取到公司分部網(wǎng)絡(luò)的路由，需要在 R1 上配置 OSPF 非強(qiáng)制方式下轉(zhuǎn)發(fā)缺省路由，同時(shí)要在 R2 和 R3 上配置 BGP 下轉(zhuǎn)發(fā)缺省路由給 R1， 使得 R1 的路由表中存在一條來自 BGP 的缺省路由。

3.6.1?? R1配置

[R1]bgp?100 [R1-bgp]router-id?1.1.1.1 [R1-bgp]peer?192.168.12.2?as-number?200 [R1-bgp]peer?192.168.13.3?as-number?200 [R1-bgp]q [R1]bgp?100 [R1-bgp]import-route?ospf?1 [R1-bgp]q [R1]acl?2000 [R1-acl-basic-2000]rule?permit?source?60.2.30.0?0.0.0.255 [R1-acl-basic-2000]route-policy?10?deny?node?1 [R1-route-policy]if-match?acl?2000 [R1-route-policy]route-policy?10?permit?node?2 [R1-route-policy]bgp?100 [R1-bgp]import-route?ospf?1?route-policy?10 [R1-bgp]q [R1]ospf [R1-ospf-1]default-route-advertise

3.6.2?? AR2配置

[AR2]bgp?200 [AR2-bgp]router-id?2.2.2.2 [AR2-bgp]peer?192.168.12.1?as-number?100 [AR2-bgp]peer?4.4.4.4?as-number?200 [AR2-bgp]peer?4.4.4.4?connect-interface?loopback?0 [AR2-bgp]peer?4.4.4.4?next-hop-local [AR2-bgp]q [AR2]bgp?200 [AR2-bgp]import-route?isis?1 [AR2-bgp]q [AR2]bgp?200 [AR2-bgp]peer?192.168.12.1?default-route-advertise

3.6.3?? AR3配置

[AR3]bgp?200 [AR3-bgp]router-id?3.3.3.3 [AR3-bgp]peer?192.168.13.1?as-number?100 [AR3-bgp]peer?4.4.4.4?as-number?200 [AR3-bgp]peer?4.4.4.4?connect-interface?loopback?0 [AR3-bgp]peer?4.4.4.4?next-hop-local [AR3-bgp]q [AR3]bgp?200 [AR3-bgp]import-route?isis?1 [AR3-bgp]q [AR3]bgp?200 [AR3-bgp]peer?192.168.13.1?default-route-advertise

3.6.4?? AR4配置

[AR4]bgp?200 [AR4-bgp]router-id?4.4.4.4 [AR4-bgp]peer?2.2.2.2?as-number?200 [AR4-bgp]peer?2.2.2.2?connect-interface?loopback?0 [AR4-bgp]peer?3.3.3.3?as-number?200 [AR4-bgp]peer?3.3.3.3?connect-interface?loopback?0

3.6.5?? 結(jié)果查看：

1.???? 在AR2、AR4中查看BGP

可以看到4臺(tái)路由器之間的BGP鄰居關(guān)系處于Established狀態(tài)，說明鄰居關(guān)系已成功建立。

2.在R1、AR2中查看TCP端口連接狀態(tài)

從圖中可以看到Local Add為2.2.2.2（即為AR2的Loopback0接口 地址），端口號(hào)為179（BGP協(xié)議的TCP端口號(hào)）。與4.4.4.4和192.168.12.1的狀態(tài)已經(jīng)為Established，說明AR2和R1、AR4的TCP連接已建立。

3.在R1中路由表

R1過濾32位子網(wǎng)掩碼類地址后精簡(jiǎn)版路由表

3.7??? AAA與Telnet管理

在 R1、AR2、AR3、AR4 、LSW1、LSW2之間配置AAA與Telnet管理，此時(shí)圖中的PC6和PC7利用串口分別連接到公司總部分部路由器與交換機(jī)，用于實(shí)現(xiàn)Telnet管理。

3.7.1?? 路由器與交換機(jī)配置

R1、AR2、AR3、AR4 、LSW1、LSW2之間做相同配置：

用戶名設(shè)置為Jack20，密碼為201802010320

[AR2]telnet?server?enable??//開啟Telnet服務(wù) [AR2]user-interface?vty?0?4??????//進(jìn)入0～4的VTY用戶界面視圖 [AR2-ui-vty0-4]authentication-mode?aaa???//配置VTY用戶界面的驗(yàn)證方式為aaa [AR2-ui-vty0-4]aaa [AR2-aaa]local-user?Jack20?password?cipher?201802010320 //配置本地用戶user1的接入類型為Telnet，該用戶只能使用Telnet方式登錄 [AR2-aaa]local-user?Jack20?service-type?telnet //配置本地用戶user1的用戶級(jí)別為3，該用戶登錄后可以執(zhí)行0~3級(jí)的命令 [AR2-aaa]local-user?Jack20?privilege?level?3

3.7.2?? 結(jié)果查看：

1.在PC6中通過AR4成功遠(yuǎn)程登錄到AR3中

2.在PC7中通過LSW1成功遠(yuǎn)程登錄到LSW2、R1中

這樣在組網(wǎng)中利用Telnet就可以很輕松的通過一臺(tái)電腦就可以配置和查看組網(wǎng)中公司總部和分部中的所有交換機(jī)與路由器，實(shí)現(xiàn)安全維護(hù)、方便快捷。

4.? ?【實(shí)驗(yàn)總結(jié)】

通過對(duì)分析和配置中小型企業(yè)網(wǎng)絡(luò)的綜合實(shí)驗(yàn)的實(shí)踐，我們學(xué)會(huì)了很多東西，也很實(shí)用：

4.1??? OSPF協(xié)議特性

1）OSPF單區(qū)域

2）OSPF多區(qū)域.

3）OSPF的鄰接關(guān)系和LSA

4）OSPF STUB區(qū)域與NSSA區(qū)域

5）OSPF電路和區(qū)域路過濾

OSPF(Open Shortest Path First)是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議(Interior Gateway Protocol,簡(jiǎn)稱IGP)，用于在單一自治系統(tǒng)(autonomous system,AS)內(nèi)決策路由。與RIP相對(duì)，OSPF是鏈路狀態(tài)路由協(xié)議，而RIP是距離向量路由協(xié)議。

鏈路是路由器接口的另一種說法，因此OSPF也稱為接口狀態(tài)路由協(xié)議。OSPF通過路由器之間通告網(wǎng)絡(luò)接口的狀態(tài)來建立鏈路狀態(tài)數(shù)據(jù)庫，生成最短路徑樹，每個(gè)OSPF路由器使用這些最短路徑構(gòu)造路由表。 　　開放最短路徑協(xié)議(OSPF)協(xié)議不僅能計(jì)算兩個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)之間的最短路徑，而且能計(jì)算通信費(fèi)用。可根據(jù)網(wǎng)絡(luò)用戶的要求來平衡費(fèi)用和性能，以選擇相應(yīng)的路由。在一個(gè)自治系統(tǒng)內(nèi)可劃分出若干個(gè)區(qū)域，每個(gè)區(qū)域根據(jù)自己的拓?fù)浣Y(jié)構(gòu)計(jì)算最短路徑，這減少了OSPF路由實(shí)現(xiàn)的工作量；OSPF屬動(dòng)態(tài)的自適應(yīng)協(xié)議，對(duì)于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速地做出反應(yīng)，進(jìn)行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化。每個(gè)路由器都維護(hù)一個(gè)相同的、完整的全網(wǎng)鏈路狀態(tài)數(shù)據(jù)庫。這個(gè)數(shù)據(jù)庫很龐大，尋徑時(shí)， 該路由器以自己為根，構(gòu)造最短路徑樹，然后再根據(jù)最短路徑構(gòu)造路由表。路由器彼此交換，并保存整個(gè)網(wǎng)絡(luò)的鏈路信息，從而掌握全網(wǎng)的拓?fù)浣Y(jié)構(gòu)，并獨(dú)立計(jì)算路由。

4.2??? IS-IS協(xié)議特性

為了提供對(duì)IP路由的支持，通過對(duì)IS-IS進(jìn)行擴(kuò)充和修改，使IS-IS能夠同時(shí)應(yīng)用在TCP/IP和OSI環(huán)境中，形成了集成化IS-IS（Integrated IS-IS或Dual IS-IS）。現(xiàn)在提到的IS-IS協(xié)議都是指集成化的IS-IS協(xié)議，主要用于城域網(wǎng)和承載網(wǎng)。

IS-IS屬于內(nèi)部網(wǎng)關(guān)路由協(xié)議，用于自治系統(tǒng)內(nèi)部。IS-IS是一種鏈路狀態(tài)協(xié)議，與TCP/IP網(wǎng)絡(luò)中的OSPF協(xié)議非常相似，使用最短路徑優(yōu)先算法進(jìn)行路由計(jì)算。

ISO網(wǎng)絡(luò)和IP網(wǎng)絡(luò)的網(wǎng)絡(luò)層地址的編址方式不同。IP網(wǎng)絡(luò)的三層地址是常見的IPv4地址或IPv6地址，IS-IS協(xié)議將ISO網(wǎng)絡(luò)層地址稱 NSAP（Network Service Access Point，網(wǎng)絡(luò)服務(wù)接入點(diǎn)），用來描述ISO模型的網(wǎng)絡(luò)地址結(jié)構(gòu)。

運(yùn)行IS-IS協(xié)議的網(wǎng)絡(luò)包含了終端系統(tǒng)、中間系統(tǒng)、區(qū)域（Area）和路由域。一個(gè)路由器是Intermediate System（IS），一個(gè)主機(jī)就是End System（ES）。主機(jī)和路由器之間運(yùn)行的協(xié)議稱為ES-IS，路由器與路由器之間運(yùn)行的協(xié)議稱為IS-IS。區(qū)域是路由域的細(xì)分單元，IS-IS允許將整個(gè)路由域分為多個(gè)區(qū)域，IS-IS就是用來提供路由域內(nèi)或一個(gè)區(qū)域內(nèi)的路由。

4.3??? BGP協(xié)議特性

1)IBGP與EBGP

2)BGP路由匯總

3)BGP屬性與路徑選擇

4)BGP多宿主

BGP屬于外部或域間路由協(xié)議。BGP的主要目標(biāo)是為處于不同AS中的路由器之間進(jìn)行路由信息通信提供保障。BGP既不是純粹的矢量距離協(xié)議，也不是純粹的鏈路狀態(tài)協(xié)議，通常被稱為通路向量路由協(xié)議。這是因?yàn)锽GP在發(fā)布到一個(gè)目的網(wǎng)絡(luò)的可達(dá)性的同時(shí)，包含了在IP分組到達(dá)目的網(wǎng)絡(luò)過程中所必須經(jīng)過的AS的列表。通路向量信息時(shí)十分有用的，因?yàn)橹灰?jiǎn)單地查找一下BGP路由更新的AS編號(hào)就能有效地避免環(huán)路的出現(xiàn)。BGP對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)沒有限制，其特點(diǎn)包括：

（1）實(shí)現(xiàn)自治系統(tǒng)間通信，傳播網(wǎng)絡(luò)的可達(dá)信息。BGP 是一個(gè)外部網(wǎng)關(guān)協(xié)議，允許一個(gè)AS與另一個(gè)AS進(jìn)行通信。BGP允許一個(gè)AS向其他AS通告其內(nèi)部的網(wǎng)絡(luò)的可達(dá)性信息，或者是通過該AS可達(dá)的其他網(wǎng)絡(luò)的路由信息。同時(shí)，AS也能夠從另一個(gè)AS中了解這些信息。與距離向量選路協(xié)議類似，BGP為每個(gè)目的網(wǎng)絡(luò)提供的是下一跳（next-hop）結(jié)點(diǎn)的信息。

（2）多個(gè)BGP路由器之間的協(xié)調(diào)。如果在一個(gè)自治系統(tǒng)內(nèi)部有多個(gè)路由器分別使用BGP與其他自治系統(tǒng)中對(duì)等路由器進(jìn)行通信，BGP可以協(xié)調(diào)者一系列路由器，使這些路由器保持路由信息的一致性。

（3）BGP支持基于策略的選路（policy-base routing）。一般的距離向量選路協(xié)議確切通告本地選路中的路由。而BGP則可以實(shí)現(xiàn)由本地管理員選擇的策略。BGP路由器可以為域內(nèi)和域間的網(wǎng)絡(luò)可達(dá)性配置不同的策略。

（4）可靠的傳輸。BGP路由信息的傳輸采用了可靠地TCP協(xié)議。

（5）路徑信息。在BGP通告目的網(wǎng)絡(luò)的可達(dá)性信息時(shí)，處理指定目的網(wǎng)絡(luò)的下一跳信息之外，通告中還包括了通路向量（path vector），即去往該目的網(wǎng)絡(luò)時(shí)需要經(jīng)過的AS的列表，使接受者能夠了解去往目的網(wǎng)絡(luò)的通路信息。

（6）增量更新。BGP不需要再所有路由更新報(bào)文中傳送完整的路由數(shù)據(jù)庫信息，只需要在啟動(dòng)時(shí)交換一次完整信息。后續(xù)的路由更新報(bào)文只通告網(wǎng)絡(luò)的變化信息。這種網(wǎng)絡(luò)變化的信息稱為增量（delta）。

（7）BGP支持無類型編制（CIDR）及VLSM方式。通告的所有網(wǎng)絡(luò)都以網(wǎng)絡(luò)前綴加子網(wǎng)掩碼的方式表示。

（8）路由聚集。BGP允許發(fā)送方把路由信息聚集在一起，用一個(gè)條目來表示多個(gè)相關(guān)的目的網(wǎng)絡(luò)，以節(jié)約網(wǎng)絡(luò)帶寬。

（9）BGP還允許接收方對(duì)報(bào)文進(jìn)行鑒別和認(rèn)證，以驗(yàn)證發(fā)送方的身份。

4.4??? VLAN特性

1)VLAN配置

2)MUX-VLAN

3)VLAN間通信

虛擬局域網(wǎng)（VLAN）是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門等因素將它們組織起來，相互之間的通信就好像它們?cè)谕粋€(gè)網(wǎng)段中一樣。

虛擬局域網(wǎng)優(yōu)點(diǎn)是網(wǎng)絡(luò)設(shè)備的移動(dòng)、添加和修改的管理開銷減少，可以控制廣播活動(dòng)，可提高網(wǎng)絡(luò)的安全性。

MUX VLAN提供了一種在VLAN的端口間進(jìn)行二層流量隔離的機(jī)制。采用兩層VLAN隔離技術(shù)，只有上層VLAN全局可見，下層VLAN相互隔離。MUX VLAN通常用于企業(yè)內(nèi)部網(wǎng)，客戶端口可以同服務(wù)器端口通訊，但客戶端口之間不能通訊。用來防止連接到某些接口或接口組的網(wǎng)絡(luò)設(shè)備之間的相互通信，但卻允許與默認(rèn)網(wǎng)關(guān)進(jìn)行通信。從而對(duì)企業(yè)內(nèi)部的資源共享及安全通信起到了至關(guān)重要的作用。

MUX-VLAN分為主VLAN和從VLAN，從VLAN又分為隔離型從VLAN和互通型從VLAN。

主VLAN（Principal VLAN）：Principal port可以和MUX VLAN內(nèi)的所有接口進(jìn)行通信。

隔離型從VLAN（Separate VLAN）：Separate port只能和Principal port進(jìn)行通信，和其他類型的接口實(shí)現(xiàn)完全隔離。每個(gè)隔離型從VLAN必須綁定一個(gè)主VLAN。

互通型從VLAN（Group VLAN）：Group port可以和Principal port進(jìn)行通信，在同一組內(nèi)的接口也可互相通信，但不能和其他組接口或Separate port通信。每個(gè)互通型從VLAN必須綁定一個(gè)主VLAN。

4.5??? STP

1)STP、RSTP與MSTP

2)MSTP多區(qū)域與STP的兼容

STP協(xié)議由IEEE802.1D定義，RSTP由IEEE802.1W定義。STP的基本原理是，通過交換機(jī)之間傳遞一種特殊的協(xié)議報(bào)文（在IEEE 802.1D中這種協(xié)議報(bào)文被稱為“配置消息”）來確定網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。配置消息中包含了足夠的信息來保證交換機(jī)完成生成樹計(jì)算。

RSTP是從STP發(fā)展過來的，其實(shí)現(xiàn)基本思想一致，但它更進(jìn)一步的處理了網(wǎng)絡(luò)臨時(shí)失去連通性的問題。Rstp規(guī)定在某些情況下，處于Blocking狀態(tài)的端口不必經(jīng)歷2倍的Forward Delay時(shí)延而可以直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)。如網(wǎng)絡(luò)邊緣端口（即直接與終端相連的端口），可以直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，不需要任何時(shí)延。或者是網(wǎng)橋舊的根端口已經(jīng)進(jìn)入Blocking狀態(tài)，并且新的根端口所連接的對(duì)端網(wǎng)橋的指定端口仍處于Forwarding狀態(tài)，那么新的根端口可以立即進(jìn)入Forwarding狀態(tài)。即使是非邊緣的指定端口，也可以通過與相連的網(wǎng)橋進(jìn)行一次握手，等待對(duì)端網(wǎng)橋的贊同報(bào)文而快速進(jìn)入Forwarding狀態(tài)。當(dāng)然，這有可能導(dǎo)致進(jìn)一步的握手，但握手次數(shù)會(huì)受到網(wǎng)絡(luò)直徑的限制。

MSTP（Multiple Spanning Tree Protocol，多生成樹協(xié)議）將環(huán)路網(wǎng)絡(luò)修剪成為一個(gè)無環(huán)的樹型網(wǎng)絡(luò)，避免報(bào)文在環(huán)路網(wǎng)絡(luò)中的增生和無限循環(huán)，同時(shí)還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個(gè)冗余路徑，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實(shí)現(xiàn)VLAN 數(shù)據(jù)的負(fù)載均衡。MSTP 兼容STP 和RSTP，并且可以彌補(bǔ)STP 和RSTP 的缺陷。它既可以快速收斂，也能使不同VLAN 的流量沿各自的路徑分發(fā)，從而為冗余鏈路提供了更好的負(fù)載分擔(dān)機(jī)制。

4.6??? AAA與Telnet

AAA是Authentication，Authorization and Accounting（認(rèn)證、授權(quán)和計(jì)費(fèi)）的簡(jiǎn)稱，它提供了一個(gè)對(duì)認(rèn)證、授權(quán)和計(jì)費(fèi)這三種安全功能進(jìn)行配置的一致性框架，實(shí)際上是對(duì)網(wǎng)絡(luò)安全的一種管理。

在移動(dòng)通信系統(tǒng)中，用戶要訪問網(wǎng)絡(luò)資源，首先要進(jìn)行用戶的入網(wǎng)認(rèn)證，這樣用戶才能訪問網(wǎng)絡(luò)資源。鑒別的過程就是驗(yàn)證用戶身份的合法性；鑒別完成后，才能對(duì)用戶訪問網(wǎng)絡(luò)資源進(jìn)行授權(quán)，并對(duì)用戶訪問網(wǎng)絡(luò)資源進(jìn)行計(jì)費(fèi)管理。一般來講，鑒別過程由三個(gè)實(shí)體來完成的。用戶（Client）、認(rèn)證器（Authenticator）、AAA服務(wù)器（Authentication 、Authorization和Accounting Server）。在第三代移動(dòng)通信系統(tǒng)的早期版本中，用戶也稱為MN（移動(dòng)節(jié)點(diǎn)），Authenticator在NAS（Network Access Server）中實(shí)現(xiàn)，它們之間采用PPP協(xié)議，認(rèn)證器和AAA服務(wù)器之間采用AAA協(xié)議（以前的方式采用遠(yuǎn)程訪問撥號(hào)用戶服務(wù)RADIUS（Remote Access Dial up User Service）；Raduis英文原意為半徑，原先的目的是為撥號(hào)用戶進(jìn)行鑒別和計(jì)費(fèi)。后來經(jīng)過多次改進(jìn)，形成了一項(xiàng)通用的鑒別計(jì)費(fèi)協(xié)議）。

Telnet是Internet遠(yuǎn)程登錄服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式，最初由ARPANET開發(fā)，現(xiàn)在主要用于Internet會(huì)話，它的基本功能是允許用戶登錄進(jìn)入遠(yuǎn)程主機(jī)系統(tǒng)。

Telnet可以讓我們坐在自己的計(jì)算機(jī)前通過Internet網(wǎng)絡(luò)登錄到另一臺(tái)遠(yuǎn)程計(jì)算機(jī)上，這臺(tái)計(jì)算機(jī)可以在任何地方。當(dāng)?shù)卿浬线h(yuǎn)程計(jì)算機(jī)后，本地計(jì)算機(jī)就等同于遠(yuǎn)程計(jì)算機(jī)的一個(gè)終端，我們可以用自己的計(jì)算機(jī)直接操縱遠(yuǎn)程計(jì)算機(jī)，享受遠(yuǎn)程計(jì)算機(jī)本地終端同樣的操作權(quán)限。

Telnet的主要用途就是使用遠(yuǎn)程計(jì)算機(jī)上所擁有的本地計(jì)算機(jī)沒有的信息資源，如果遠(yuǎn)程的主要目的是在本地計(jì)算機(jī)與遠(yuǎn)程計(jì)算機(jī)之間傳遞文件，那么相比而言使用FTP會(huì)更加快捷有效。

當(dāng)我們使用Telnet登錄進(jìn)入遠(yuǎn)程計(jì)算機(jī)系統(tǒng)時(shí)，事實(shí)上啟動(dòng)了兩個(gè)程序：一個(gè)是Telnet客戶程序，運(yùn)行在本地主機(jī)上；另一個(gè)是Telnet服務(wù)器程序，它運(yùn)行在要登錄的遠(yuǎn)程計(jì)算機(jī)上。

本地主機(jī)上的Telnet客戶程序主要完成以下功能：

（1）建立與遠(yuǎn)程服務(wù)器的TCP聯(lián)接。

（2）從鍵盤上接收本地輸入的字符。

（3）將輸入的字符串變成標(biāo)準(zhǔn)格式并傳送給遠(yuǎn)程服務(wù)器。

（4）從遠(yuǎn)程服務(wù)器接收輸出的信息。

（5）將該信息顯示在本地主機(jī)屏幕上。

NAT TCP/IP 網(wǎng)絡(luò)

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。