qq_43416206的博客

步骤 4：创建隧道。在“VPN”→“IKE VPN”→“隧道”中创建到防火墙 FW-B 的 VPN隧道，并定义相关参数，如图 7-2-23 所示。步骤 5：创建隧道接口并与 IPSec 绑定。在“网络”→“接口”中新建隧道接口，指定安全域并引用 IPSec 隧道，如图 7-2-24 所示。步骤 6：添加隧道路由。在“网络”→“路由”→“目的路由”中新建一条路由，目的地址是对端加密保护子网，网关为创建的 tunnel 接口，如图 7-2-25 所示。步骤 7：添加安全策略。

SSL 握手协议相对于 IPSec 协议体系中的 IKE（互联网密钥交换协议）协议而言，主要用于服务器和客户之间的相互认证，协商加密算法和 MAC（MessageAuthentication Code，消息认证码）算法，用于生成在 SSL 记录协议中使用的加密和认证密钥。毕竟，只有适合自己的，才是最理想的选择。由于规模的扩大，总公司和分公司之间都购买了防火墙，出于安全性考虑，网络管理员想在两个防火墙之间使用一种更安全的 VPN 连接方式，网络管理员认为防火墙的 IPSec VPN可以实现此功能。

动态黑名单（Dynamic Blacklist）属于无线安全功能模块中防 DOS 攻击的部分。动态黑名单中包含将被丢弃帧的终端设备的 MAC 地址。AP 使用该列表，丢弃该名单中的终端设备发送的数据帧。当检测到某个终端设备发送的泛洪报文超过安全阈值时，将该终端设备添加到黑名单中。步骤实现步骤 1：配置动态黑名单步骤 2：配置黑名单/白名单。（1）允许无线终端接入列表。Client1、Client2 和 Client3 都通过 AP1 连接网络，如图 6-3-2 所示。

步骤 10：验证 AC 选取的无线 IP 地址是否正确。步骤 11：验证 AP 注册状态。步骤 14：需要修改 profile 对应的硬件类型。小贴士（ 1）下发配置前需注意当前无线网络的使用情况，防止无线网络中断。（ 2）同一 profile 只能对应一个硬件类型，即如果网络中存在多个型号的 AP，则需创建多个 profile。步骤 15：开启 VAP。radio 下需要启用对应的 VAP，network2 对应 vap 1，所以要把 vap 1开启。

在 R2 的 F0/0 接口上添加 ACL，禁止来自网段 192.168.0.0/24 的数据包。在 R1 路由器上配置 NAPT，使得左侧内部主机 PC1 可以通过公网访问右侧的 Web Server。所需设备：（1）DCR-2600 路由器 2 台。（2）PC 2 台。（3）Console 线 1 条。（4）双绞线 3 条。NAPT 训练用图如图 5-3-6 所示。IP 地址配置表见表 5-3-4。

当 NAPT 设备收到外部网络发送的应答数据包后，根据NAT 转换表的记录，设备识别出数据包中的端口号对应的内部主机，将应答数据包中目的 IP地址（即内部公网地址）转换为原来的内部私有地址，并将该数据包转发到内部网络中。由于它有两个方向上的地址转换，NAPT 向外屏蔽了内部主机的地址信息，在一定程度上加强了内部网络的安全性。当外部主机访问内部公网地址时，NAT 设备将数据包中的目的 IP 地址（公网地址）与端口号转换为内部私有地址和端口号，从而实现使用公网地址向互联网发布内部服务器的目的。

在 Internet 中传输信息时， CHAP 表现出了足够强大的抗攻击能力，可以适用于对安全性要求比较高的网络环境。步骤 1：按照图 5-2-3 连接网络拓扑结构。步骤 11：查看 RouterB 的串口信息。步骤 8：查看 RouterA 的接口信息。步骤 9：查看 RouterA 的串口信息。步骤 12：查看 RouterA 的路由表。步骤 3：RouterA 的基本配置。步骤 4：RouterB 的基本配置。IP 地址配置表见表 5-2-2。步骤 2：恢复路由器的出厂配置。（2）PC 2 台。

很明显，这种验证方式的安全性较差，第三方可以很容易地获取被传送的用户名和口令，并利用这些信息与 NAS 建立连接，获取 NAS 提供的所有资源。因为服务器端存有客户的明文口令，所以服务器可以重复客户端进行的操作，并将结果与用户返回的口令进行对照。广域网协议的 PPP 具有 PAP 和 CHAP 两种验证协议，PAP 认证只在链路建立初期进行，只有两次信息的交换，因此被称为两次握手。考虑到增强 WAN 链路的安全功能，公司计划在路由器上配置 PPP 的 CHAP 认证，以满足日益增长的安全需求。

这些分组及其响应选择一些 PPP 参数，进行网络层配置，NCP 给新接入的 PC 分配一个临时的 IP 地址，使PC 成为因特网中的一个主机。通信完毕时，NCP 释放网络层连接，收回原来分配的 IP 地址，LCP 释放数据链路层连接，最后释放物理层的连接。（2）链路控制：LCP 支持同步和异步线路，也支持面向字节的和面向位的编码方式，可用于启动路线、测试线路、协商参数、关闭线路。PPP 的认证功能是指在建立 PPP 链路的过程中进行密码的验证，验证通过则建立连接，验证不通过则拆除连接。

广域网（Wide Area Network，WAN）也称远程网，是一种运行地域超过局域网的数据通信网络，通常跨接很大的物理范围，所覆盖的范围从几十千米到几千千米，它能连接多个城市或国家，或者横跨几个大洲并能提供远距离通信，形成国际性的远程网络。广域网和局域网的主要区别之一是需要向外部的广域网服务提供商申请订购广域网电信网络服务。一般使用电信运营商提供的数据链路在广域网范围内访问网络。本项目重点学习路由器广域网协议的封装配置、广域网 PPP 封装验证和网络地址协议转换协议配置。

VPN（Virtual Private Network，虚拟专用网）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。由于公司规模的扩大，总公司和分公司之间出于安全性的考虑，想在两个公司的出口之间使用更安全的 VPN 连接方式，网络管理员认为路由器的 IPSec VPN 可以实现此功能。在实际的工作岗位上，经常会遇到各种各样的病毒，使用 ACL 可以有效地过滤特定的病毒报文，以保证公司网络环境的稳定和安全。

当我们配置基于时间的访问控制列表时，需要注意时间的准确性和不同专有名词的英文意义，网络管理员往往会将专业术语弄错，以致访问控制列表无法起到应有的作用。配置命名 ACL 时，是在 ACL 配置模式下进行的。某公司的网络工程师发现了近期网络上流行的震荡波病毒，为了防范这些病毒，网络工程师要在公司连接外网的路由器上配置命名 ACL，防范震荡波病毒侵入公司内部，危及网络安全。在图 4-2-10 所示的网络拓扑中，请尝试使用命名 ACL 禁止财务部访问外网的 WWW 服务，禁止技术部访问外网的 FTP 服务。

在路由器上使用标准 ACL 实现网段的隔离。在路由器 RouterA 或者 RouterB 上创建 ACL，阻断 PC2 访问 PC1。所需设备：（1）DCR 2626 路由器 2 台。（2）PC 2 台。（3）CR-V35MT 1 条。（4）CR-V35FC 1 条。（5）交叉线 2 条。标准 ACL 训练拓扑结构如图 4-2-4 所示。IP 地址配置表见表 4-2-2。步骤 1：RouterA 的基本配置。步骤 2：在 RouterA 上配置静态路由。

步骤 1：按照图 4-1-8 连接网络拓扑结构。步骤 2：按照图 4-1-8 配置计算机的 IP 地址、子网掩码和网关。步骤 3：清空交换机的配置。步骤 4：获取 PC1 的 MAC 地址。执行“开始”→“运行”命令，在“运行”对话框的“打开”文本框中输入“cmd”命令，弹出命令行窗口，输入“ipconfig/all”命令，查看 MAC 地址，如图 4-1-9 所示。步骤 5：配置全局 MAC-IP 命名访问列表。步骤 11：使用 ping 命令验证连通性，见表 4-1-3。

1．飞翔公司规模很小，只有一家总公司和一家上海分公司，经理决定组建一个网络实现总公司和分公司的通信，公司网管经过分析，决定使用静态路由协议，如图 3-2-33 所示。（1）先用静态路由实现全网互通。（2）将静态路由清除，用 RIPv2 实现全网互通，注意三层交换机的配置。完成标准：各网段能相互通信。2．配置 OSPF 单区域。

采用分层路由后，各个区域之间仍然能够进行路由（区域间路由），但许多处理器密集型的路由操作（如重新计算数据库）在区域内进行。例如，每当路由器收到与区域中拓扑更改有关的最新信息时（包括添加、删除或修改链路），路由器必须重新运行 SPF 算法，创建新的 SPF 树并更新路由表。（2）在 PC2 上 ping 192.168.1.2 和 192.168.3.2，网络不连通，如图 3-2-28 所示。在配置 OSPF 多区域时，骨干区域（ area 0）只有一个，且要为每个路由器指定所在的区域。

步骤 13：查看 Router-A 的路由表。步骤 14：查看 Router-B 的路由表。步骤 15：配置路由协议后，验证网络的连通性。（1）在 PC1 上 ping 172.16.2.2，网络已连通，如图 3-2-19 所示。（2）在 PC2 上 ping 172.16.0.2，网络已连通，如图 3-2-20 所示。如果不使用 RIPv2 路由协议，则会导致计算机之间在使用 ping 命令的时候丢包。学习小结。

（1）在 PC1 上 ping 192.168.20.2，网络不连通，如图 3-2-12 所示。（2）在 PC2 上 ping 192.168.10.2，网络不连通，如图 3-2-13 所示。（1）在 PC1 上 ping 192.168.20.2，网络已连通，如图 3-2-14 所示。（2）在 PC2 上 ping 192.168.10.2，网络已连通，如图 3-2-15 所示。（ 2） 在 PC2 上 ping 172.16.2.2，网络不连通，如图 3-2-18 所示。

步骤实现步骤 1：按照图 3-2-6 连接网络拓扑结构。步骤 2：按照表 3-2-2 配置计算机的 IP 地址、子网掩码和网关。步骤 3：恢复路由器的出厂配置。步骤 4：在 Router-A 接口上配置 IP 地址。步骤 5：在 Router-B 接口上配置 IP 地址。步骤 6：查看 Router-A 接口的地址配置情况。步骤 10：配置路由协议前，使用 ping 命令测试网络的连通性。（1）在 PC1 上 ping 192.168.20.2，网络未连通，如图 3-2-7 所示。

在实际应用中路由器通常连接着许多不同的网络，要实现多个不同网络间的通信，则要在路由器上配置路由协议。路由器提供的路由协议包括静态路由协议、RIP 动态路由、OSPF动态路由协议等。本学习任务重点学习路由器的路由协议的配置，分为以下三个学习活动进行。学习活动 1 路由器的静态路由配置。学习活动 2 路由器的 RIP 动态路由配置。学习活动 3 路由器的 OSPF 动态路由配置。 静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路状态发生变化时，网络管理员要手工修改路由表中

步骤 11：Telnet 测试。（1）执行“开始”→“运行”命令，弹出“打开”对话框，在“打开”文本框中输入“telnet192.168.1.1”，如图 3-1-6 所示。（2）在“Username”栏中输入“zwk”，在“Password”栏中输入“123456”，如图 3-1-7所示，出现“Router>-A”，表示远程登录成功。小贴士（ 1） CR-V35FC 所连的接口为 DCE，需要配置时钟频率， CR-V35MT 所连的接口为DTE。

用户模式：进入路由器后得到的第一个操作模式，此模式下用户只具有最底层的权限，可以查看路由器的软、硬件版本信息，但不能对路由器进行配置。特权模式：用户模式的下一级模式，此模式下用户可以对路由器的配置文件进行管理，查看路由器的配置信息，进行网络的测试和调试等。全局配置模式：特权模式的下一级模式，此模式下可以配置路由器的全局参数，如主机名、登录信息等，在此模式下可以进入下一级的配置模式，对路由器具体的功能进行配置。网络管理员拿到刚买的路由器，第一次对出厂的路由器配置时，可以通过路由器的Console 口进行。

本学习活动介绍了三层交换机之间如何实现动态 OSPF 路由协议， 需要注意的是要先启动 OSPF 协议，再在相应接口配置所属 OSPF 区域， OSPF 骨干区域（ area 0）必须保证是连续的。步骤 12：配置路由协议前，同一个交换机的 VLAN 可以通信，不同交换机的 VLAN 无法通信，如图 2-4-21 所示。步骤 17：配置了 OSPF 多区域协议后，验证网络的连通性，如图 2-4-22 所示。步骤 2：按照表 2-4-7 配置计算机的 IP 地址、子网掩码和网关。步骤 3：清空交换机的配置。

在大型的网络环境中，OSPF 支持区域的划分，以对网络进行合理规划。说明：在神州数码交换机中，在使用 OSPF 路由协议时，进程 ID 可以省略，network 后面跟的是直连网段和相应的子网掩码，不能写成反码，配置成功后，交换机会自动转换为反码显示，这一点和其他品牌的交换机有所区别，需要特别注意。OSPF 路由协议通过向全网通告自己的路由信息，使网络中每台设备最终同步一个具有全网链路状态的数据库（LSDB），然后路由器采用 SPF 算法，以自己为根，计算到达其他网络的最短路径，最终形成全网路由信息。

步骤 12：配置路由协议前，同一个交换机的 VLAN 可以通信，不同交换机的 VLAN 无法通信，如图 2-4-15 所示。RIPv2 路由协议拓扑结构如图 2-4-14 所示。交换机和 PC 的 IP 地址网络参数设置见表 2-4-5。步骤 17：配置了 RIP 协议后，验证网络的连通性，如图 2-4-13 所示。步骤 17：配置了 RIP 协议后，验证网络的连通性，如图 2-4-16 所示。步骤 2：按照表 2-4-5 配置计算机的 IP 地址、子网掩码和网关。步骤 3：清空交换机的配置。

RIP 是应用较早、使用较普遍的动态路由协议，也是内部网关协议，由于 RIP 跳数作为衡量路径的开销，且规定最大跳数为 15，因此 RIP 在实际应用中还是有一定限制的，通常适用于中小型的企业网络。因此，决定在公司的交换机之间使用动态的 RIP 路由协议，实现网络的互连。步骤 12：配置路由协议前，同一个交换机的 VLAN 可以通信，不同交换机的 VLAN 无法通信，如图 2-4-12 所示。由于公司的网络规模开始扩大，管理员发现使用静态路由确实不合适了，所以决定使用动态的 RIP 路由协议。

（2）在 PC2 上 ping 192.168.10.2，网络已连通，如图 2-4-10 所示。（1）在 PC1 上 ping 192.168.20.2，网络未连通，如图 2-4-7 所示。（2）在 PC2 上 ping 192.168.10.2，网络未连通，如图 2-4-8 所示。（1）在 PC1 上 ping 192.168.20.2，网络已连通，如图 2-4-9 所示。步骤 2：按照表 2-4-2 配置计算机的 IP 地址、子网掩码和网关。交换机和 PC 的 IP 地址网络参数设置见表 2-4-2。

（1）在 PC1 上 ping 192.168.20.2，网络未连通，如图 2-4-2 所示。（2）在 PC2 上 ping 192.168.10.2，网络未连通，如图 2-4-3 所示。（1）在 PC1 上 ping 192.168.20.2，网络已连通，如图 2-4-4 所示。（2）在 PC2 上 ping 192.168.10.2，网络已连通，如图 2-4-5 所示。步骤 2：按照表 2-4-1 配置计算机的 IP 地址、子网掩码和网关。步骤 11：查看交换机 B 接口上的 IP 地址配置情况。

步骤 24：测试网络的连通性，此时全网已经互通，如图 2-3-13 所示。步骤 25：在交换机 A 上配置 VRRP。步骤 26：在交换机 B 上配置 VRRP。步骤 29：测试网络的连通性。（1）在 PC1 上 ping PC2 的 IP 地址 192.168.10.2，网络是连通的，将交换机 B 和交换机 C之间的网线拔掉，断了几秒后，仍然是连通的，如图 2-3-14 所示。

公司企业网络核心层原来使用一台三层交换机，随着网络应用的日益增多，对网络的可靠性也提出了越来越高的要求，公司决定采用默认网关进行冗余备份，以便在其中一台设备出现故障时，备份设备能够及时接管数据转发工作，为用户提供透明的切换，提高网络的稳定性。某公司总经理发现自己的计算机“IP 地址冲突”，并且上不了网，于是找来网络管理员解决该问题，管理员认为是有员工擅自修改 IP 地址导致的，可以通过在现有的三层交换机上使用 DHCP 技术来解决该问题。（1）设置 PC 的 IP 地址，如图 2-3-10 所示。

如果准备两条以上的路，就必然形成一个环路，交换机并不知道如何处理环路，只有周而复始地转发帧，形成一个“死环路”，这个死环路会造成整个网络处于阻塞状态，导致网络瘫痪。交换机 A 和交换机 B 之间的两条链路形成了环路，在两台交换机上配置生成树协议后，交换机 B 的端口 e0/0/4 成为了阻塞端口，所以避免了两台交换机之间由于环路而引起的端口频繁闪烁的不正常现象，此时端口 e0/0/4 是备用端口，连接它的链路成为备用链路，因此也起到了冗余作用。时，正常情况下，交换机的端口要经过几个工作状态的转变。

参数：为要显示的 port channel 的组号，值为 1～16，brief 显示摘要信息，detail 显示详细信息，load-balance 显示流量分担信息，port 显示成员端口信息，port-channel 显示聚合端口信息。（3）检查对端交换机的对应端口是否配置端口聚合组，并要查看配置方式是否相同，如果本端是手工方式，则对端也应该配置了手工方式，如果本端是 LACP 动态生成的，则对端也应该是 LACP 动态生成的，否则端口聚合组不能正常工作。

本学习活动介绍了利用 SVI 实现 VLAN 之间的通信，在二层交换机上配置 VLAN 后，只能实现相同 VLAN 的通信，如果想实现 VLAN 间的通信，就必须借助于三层设备（三层交换机或路由器），路由器实现 VLAN 间通信，在后面章节中进行介绍。在 PC3 上 ping PC1 的 IP 地址 192.168.10.101 和 PC2 的 IP 地址 192.168.20.101，网络是连通的，表明利用 SVI 可以实现 VLAN 间的路由，如图 2-2-12 所示。步骤 18：测试网络的连通性。

小贴士说明跨交换机的相同 VLAN 的计算机无法互相通信，主要原因就是没有配置 Trunk。步骤 11：设置交换机 A 的 Trunk 端口。步骤 12：设置交换机 B 的 Trunk 端口。步骤 13：验证交换机 A 的配置。步骤 14：验证交换机 B 的配置。步骤 15：测试网络的连通性。在 PC3 上 ping PC1 的 IP 地址 192.168.1.101，网络连通，表明交换机之前的 Trunk 链路已经成功建立，如图 2-2-8 所示。

当网络中存在两台或两台以上的交换机，且每个交换机上均划分了相同的 VLAN 时，可以使交换机间所有相同 VLAN 中的计算机通过交换机互连的端口进行通信。某公司有销售部、技术部等部门，其中在不同楼层内都有销售部和技术部的员工计算机，为了使公司的管理更加安全与便捷，公司的领导想让网络管理员组建公司局域网，使各个部门内部的主机之间的业务往来可以进行通信，但基于安全方面的考虑，禁止部门之间的访问。的流量，通过 Trunk 端口之间的互连，可以实现不同交换机上的相同 VLAN 的互通，工作在。

在理解什么是 VLAN 技术前，我们需要明白广播域和冲突域这两个概念。广播域是局域网中设备之间发送广播帧的区域，即一台计算机发送广播帧的最远范围，广播存在所有局域网中，如果不进行适当的控制，广播便会充斥整个网络，产生较大的网络通信流量，消耗带宽，但广播是不可避免的，交换机对所有的广播进行转发，而路由器不会。图 2-2-2 所示为交换机广播域的形成。

当交换机有一些没用的设置时，需要清空配置，恢复到刚刚出厂的状态，让交换机的配置成为一张“白纸”，这样就能按照自己的思路进行基本配置了，也能更清楚地了解配置是否生效，是否正确。进入特权用户配置模式后，可以用全局配置模式对交换机的各项配置进行修改，因此进行特权用户配置模式必须设置特权用户口令，防止非特权用户的非法使用，对交换机配置进行恶意修改，造成不必要的损失。本学习活动介绍了交换机的基本配置，需要注意的是，交换机的接口 IP通过配置 VLAN 的 IP 地址来实现，交换机的帮助信息可以设置为中文。

本学习任务介绍了怎样合理使用 IP 地址，通过 VLSM 对子网进行划分，使寻址效率达到最高，提高了网络性能和管理效率，在企业中应用较多，需要熟练掌握。某公司拟新建公司办公网络，从 ISP 处获得一段 C 类地址块 192.168.10.0/24，试根据图 1-2-10 中描述的信息对该公司网络进行适当的网络地址规划。制作网线连接子网 A 中的 PC1 和 PC2，安装适当的协议，配置相应的 IP 地址信息，进行必要的测试，使 PC1 能访问 PC2 中的共享文件夹。

VLSM 即可变长子网掩码，是为了解决在一个网络系统中使用多种层次子网化 IP 地址的问题而发展起来的。这种策略只能在所用的路由协议都支持的情况才能使用，如开放式最短路径优先路由选择（OSPF）协议和增强内部网关路由选择协议（EIGRP）。RIP 版本 1 由于出现早于 VLSM 而无法支持，RIP 版本 2 可以支持 VLSM。VLSM 允许一个组织在同一个网络地址空间中使用多个子网掩码。利用 VLSM 可以实现“把子网继续划分为子网”功能，使寻址效率达到最高。