路由設備配置課件

第四章路由設備配置第四章路由設備配置目錄項目1

路由器基本配置31項目2靜態(tài)路由項目3動態(tài)路由項目4訪問控制列表項目5DHCP與NAT項目6廣域網(wǎng)鏈路項目7三層交換機配置234567目錄項目1路由器基本配置31項目2靜態(tài)路由項目32學習內(nèi)容項目1路由器基本配置1.1項目背景1.2項目設計1.2.1拓撲設計1.2.2IP地址設計1.3項目實施1.3.1網(wǎng)絡布線及清除設備配置1.3.2路由器基本信息配置1.3.3整理配置文檔1.3.4路由器密碼恢復1.3.5路由器IOS備份與升級1.4項目總結(jié)與文檔1.4.1項目總結(jié)1.4.2項目文檔1.5實訓學習內(nèi)容項目1路由器基本配置1.1項目背景31.1項目背景路由器是網(wǎng)絡的核心，負責在網(wǎng)絡間將數(shù)據(jù)包從初始源位置轉(zhuǎn)發(fā)到最終目的地。路由器可以實現(xiàn)路由、網(wǎng)絡訪問控制、防止廣播風暴，提高網(wǎng)絡安全等功能。

路由器的安裝和調(diào)試比較復雜，相對其他網(wǎng)絡互連設備的價格較高。1.1項目背景路由器是網(wǎng)絡的核心，負責在網(wǎng)絡41.1.1需求分析需要盡快完成對公司路由器設備的檢查和基本配置，使之能夠在今后的網(wǎng)絡建設中應用。1.1.1需求分析需要盡快完成對公司路由器設備的51.1.2環(huán)境準備設備：Cisco841路由器兩臺，以太網(wǎng)交換機1臺，PC2臺；線纜：標準直通線2根，交叉線1根，Null0串行電纜一組；每組2名學生，各操作一臺PC，協(xié)同進行實訓1.1.2環(huán)境準備設備：Cisco841路由器兩臺，以太網(wǎng)61.1.3技能準備1.認識路由器的組成路由器硬件及接口編號路由器軟件（1）IOS（InternetworkOperatingSystem，互聯(lián)網(wǎng)絡操作系統(tǒng)）（2）運行配置文件（RunnningConfiguration）（3）啟動配置文件（StartupConfiguration）1.1.3技能準備1.認識路由器的組成71.1.3技能準備2.路由器的啟動過程（1）運行ROM中的POST（加電自檢）程序，檢測路由器的硬件（2）裝載ROM中的Bootstrap代碼（3）查找并加載IOS，如Flash和TFTP中都找不到IOS，則加載ROM中的MiniIOS，進入Rommon>模式（4）尋找并加載NVRAM中的啟動配置startup-config到RAM，成為運行配置running-config；如果不能找到啟動配置文件，路由器會提示用戶進入設置模式，如下圖：1.1.3技能準備2.路由器的啟動過程81.1.3技能準備3.識別路由器的線纜控制臺線纜以太網(wǎng)線纜串行廣域網(wǎng)接口線纜1.1.3技能準備3.識別路由器的線纜91.1.3技能準備4.路由器配置途徑帶外配置（1）控制臺端口方式（2）輔助端口AUX方式帶內(nèi)配置（1）遠程登錄（Telnet）方式（2）網(wǎng)絡管理軟件方式：基于圖形化界面，操作簡單，但需要安裝額外的軟件，而且不是所有的設備都支持。

1.1.3技能準備4.路由器配置途徑101.2項目設計任務1：對使用路由器的網(wǎng)絡進行布線連接并清除可能的配置；任務2：為路由器配置基本信息，如為路由器命名、配置標語、設置口令、配置接口地址等；任務3：整理配置文檔以保存路由器配置信息；任務4：為路由器執(zhí)行密碼恢復過程；任務5：對路由器執(zhí)行IOS備份與升級，并模擬執(zhí)行IOS災難恢復。1.2項目設計任務1：對使用路由器的網(wǎng)絡進行布線連接并清除111.2.1拓撲設計1.2.1拓撲設計121.2.2IP地址設計本項目中局域網(wǎng)默認網(wǎng)關(guān)地址設計為所屬網(wǎng)段第一個地址，而計算機地址采用第2個地址；串行鏈路接口地址采用所屬網(wǎng)段的前兩個地址具體設備接口地址設計方案如下表：1.2.2IP地址設計本項目中局域網(wǎng)默認網(wǎng)關(guān)地址設計為所131.3項目實施1.3.1網(wǎng)絡布線及清除設備配置1.3.2路由器基本信息配置1.3.3整理配置文檔1.3.4路由器密碼恢復1.3.5路由器IOS備份與升級

1.3項目實施1.3.1網(wǎng)絡布線及清除設備配置141.3.1網(wǎng)絡布線及清除設備配置按照拓撲設計實施網(wǎng)絡布線測試路由器連接清除配置并重新加載路由器Router>enableRouter#erasestartup-configErasingthenvramfilesystemwillremoveallfiles!Continue?[confirm][OK]Eraseofnvram:completeRouter#reload1.3.1網(wǎng)絡布線及清除設備配置按照拓撲設計實施網(wǎng)絡布線151.3.2路由器基本信息配置

為路由器配置主機名、禁用DNS查找及標語等全局信息為路由器配置各種口令及加密Router(config)#hostnameR1R1(config)#noipdomain-lookupR1(config)#bannermotd@Autorizedaccessonly!@配置執(zhí)行模式口令為"class"R1(config)#enablepasswordclassR1(config)#enablesecretclass配置控制臺口令為“cisco”R1(config)#lineconsole0R1(config-line)#passwordciscoR1(config-line)#login配置虛擬終端線路口令為“cisco”R1(config)#linevty04R1(config-line)#passwordciscoR1(config-line)#login口令加密R1(config)#servicepassword-encryption1.3.2路由器基本信息配置為路由器配置主機名、禁用DN161.3.2路由器基本信息配置為路由器配置接口信息保存配置配置局域網(wǎng)接口f0/0R1(config)#intf0/0R1(config-if)#descriptionto_PC1R1(config-if)#ipaddressR1(config-if)#noshutdown配置廣域網(wǎng)接口s0/0/0為DCE接口，時鐘頻率設置為64000R1(config-if)#ints0/0/0R1(config-if)#descriptionto_R2R1(config-if)#ipaddressR1(config-if)#clockrate64000R1(config-if)#noshutdownR1(config-if)#exitR1#copyrunning-configstartup-config1.3.2路由器基本信息配置為路由器配置接口信息配置局171.3.2路由器基本信息配置配置R2及PC對R2及PC重復上述配置，注意主機名、接口地址的不同檢驗并測試配置R1#showiproute……(略)C/24isdirectlyconnected,FastEthernet0/0C/24isdirectlyconnected,Serial0/0/0R1#1.3.2路由器基本信息配置配置R2及PCR1#sho181.3.3

整理配置文檔路由器配置可以截取到文本(.txt)文件并保存下來供今后使用，保存的配置還可以復制回路由器，這樣在快速恢復路由器配置時就不需要逐一輸入命令了：（1）使用showrunning-config命令查看路由器的當前運行配置。（2）復制輸出內(nèi)容并將其粘貼到文本文件R1_config.txt中（3）編輯配置文件中的命令從文本文件R1_config.txt中快速恢復配置1.3.3整理配置文檔路由器配置可以截取到文本(.t191.3.4路由器密碼恢復密碼恢復原理：路由器啟動時繞過Startup-config正常情況下路由器的配置寄存器的值是0x2102，會在完成IOS加載后讀取啟動配置；而當配置寄存器值為0x2142時，路由器啟動時會忽略Startup-config，直接進入setup模式。利用該特性，只要將配置寄存器值修改為0x2142，就可以跳過啟動配置，進而完成密碼重置和恢復。1.3.4路由器密碼恢復密碼恢復原理：路由器啟動時繞過S201.3.4路由器密碼恢復路由器密碼恢復步驟路由器重啟的60秒內(nèi)按住鍵盤上的Ctrl+Break進入監(jiān)控模式rommon1>confreg0x2142Rommon2>resetRouter>Router>enableRouter#copystartup-configrunning-configR1#configureterminalR1(config)#enablesecretnewpassR1(config)#config-register0x2102R1(config)#exitR1#copyrunning-configstartup-configR1#reload1.3.4路由器密碼恢復路由器密碼恢復步驟211.3.5路由器IOS備份與升級將R1路由器的IOS備份到TFTP服務器步驟1：確保路由器與TFTP的連通步驟2：查看路由器IOS文件，記下IOS的文件名。步驟3：備份flash中的IOS到TFTP服務器R1#copyflashtftpSourcefilename[]?c1841-ipbase-mz.123-14.T7.binAddressornameofremotehost[]?Destinationfilename[c1841-ipbase-mz.123-14.T7.bin]?Writingc1841-ipbase-mz.123-14.T7.bin....!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![OK-13832032bytes]1.3.5路由器IOS備份與升級將R1路由器的IOS備221.3.5路由器IOS備份與升級從TFTP服務器恢復或升級R1路由器的IOS文件步驟1：確保路由器與TFTP的連通步驟2：查看TFTP上保存的IOS文件，記下IOS的文件名。步驟3：恢復或升級IOS到路由器的flash，確保flash閃存空間足夠R1#copytftpflash

Addressornameofremotehost[]?Sourcefilename[]?c1841-ipbase-mz.123-14.T7.binDestinationfilename[c1841-ipbase-mz.123-14.T7.bin]?1.3.5路由器IOS備份與升級從TFTP服務器恢復或231.3.5路由器IOS備份與升級路由器IOS丟失的災難恢復步驟如下：確認TFTP服務器已連接到R1的f0/0，假設TFTP服務器地址為；啟動路由器，讀取ROM中的MiniIOS進入路由器的rommonitor模式，提示符：rommon1>在R1上配置如下命令（注意區(qū)分大小寫）rommon1>IP_ADDRESS=rommon2>IP_SUBNET_MASK=rommon3>DEFAULT_GATEWAY=rommon4>TFTP_SERVER=rommon5>TFTP_FILE=c1841-ipbase-mz.123-14.T7.binrommon6>setrommon7>tftpdnldrommon8>resetR1>1.3.5路由器IOS備份與升級路由器IOS丟失的災難241.4項目總結(jié)與文檔本項目介紹了如何對路由器進行布線連接和基本參數(shù)的配置：路由器的控制臺連接、以太網(wǎng)連接和串行連接分別使用Console電纜、標準直通線和交叉線、Null0串行電纜；路由器在進行初始配置之前應使用erasestartup-config清除可能的配置并重啟；路由器的初始配置包括為路由器命名、配置標語、設置口令、配置接口地址等；將路由器的配置寄存器值改為0x2142，可使路由器啟動時跳過啟動配置Startup-config，進而實現(xiàn)密碼恢復；借助TFTP服務器可以備份、升級或者恢復路由器IOS請在項目結(jié)束后完成項目規(guī)劃及實施報告（參見教材1.4.2）1.4項目總結(jié)與文檔本項目介紹了如何對路由器進行布線連接和251.5實訓1、通過控制臺方式完成路由器的主機名、標語、口令、接口地址等初始配置；2、兩人一組完成路由器密碼破解；3、利用文本文件完成路由器配置的備份和快速恢復；4、利用TFTP完成路由器IOS文件的升級與災難恢復。1.5實訓1、通過控制臺方式完成路由器的主機名、標語、口令26學習內(nèi)容項目2靜態(tài)路由2.1項目背景2.2項目設計2.2.1拓撲設計2.2.2IP地址設計2.3項目實施2.3.1配置靜態(tài)路由2.3.2配置默認路由2.3.3配置總結(jié)路由2.4項目總結(jié)與文檔2.4.1項目總結(jié)2.4.2項目文檔2.5實訓學習內(nèi)容項目2靜態(tài)路由2.1項目背景272.1項目背景某公司網(wǎng)絡是由三個路由器互相連接而成的，拓撲比較穩(wěn)定且結(jié)構(gòu)相對簡單。2.1項目背景某公司網(wǎng)絡是由三個路由器互相連接而成282.1.1需求分析靜態(tài)路由和動態(tài)路由是兩種不同的路由策略，針對不同的網(wǎng)絡應該采用不同的路由策略：對于規(guī)模不大而且結(jié)構(gòu)不經(jīng)常變化的網(wǎng)絡，靜態(tài)路由策略非常簡單高效；而對于大規(guī)模復雜網(wǎng)絡和經(jīng)常變化的網(wǎng)絡，則動態(tài)路由比較高效。

本項目網(wǎng)絡拓撲比較穩(wěn)定且結(jié)構(gòu)相對簡單，可以配置靜態(tài)路由以實現(xiàn)網(wǎng)絡的連通。2.1.1需求分析靜態(tài)路由和動態(tài)路由是兩種不同的292.1.2環(huán)境準備設備：Cisco841路由器3臺，以太網(wǎng)交換機3臺（可省略），PC3臺；線纜：標準直通線6根（或交叉線3根），Null0串行電纜2組，控制臺電纜2條；每組2名學生，各操作一臺PC，協(xié)同進行實訓2.1.2環(huán)境準備設備：Cisco841路由器3臺，以太網(wǎng)302.1.3技能準備1.路由表分析路由表是保存在RAM中的數(shù)據(jù)文件，其中存儲了與直連網(wǎng)絡以及遠程網(wǎng)絡相關(guān)的信息，路由器就是依靠路由表來轉(zhuǎn)發(fā)數(shù)據(jù)包到目的網(wǎng)絡的。2.1.3技能準備1.路由表分析312.1.3技能準備2.路由類型（1）直連路由：即路由器的直連網(wǎng)絡的路由，是在接口配置了地址并啟用后由路由器直接添加的。由于直連路由反映的是接口所直接連接的網(wǎng)絡，非“二手”信息，因此其可信程度是最高的。（2）靜態(tài)路由：由管理員手工輸入的指向遠程網(wǎng)絡的路由，它不會自動跟隨網(wǎng)絡拓撲的變化而變化。靜態(tài)路由不會占用路由器的CPU和RAM，也不占用線路的帶寬，一般適用于結(jié)構(gòu)比較簡單的網(wǎng)絡。靜態(tài)路由的可信度比直連路由略低。（3）動態(tài)路由：由路由協(xié)議生成的指向遠程網(wǎng)絡的路由，由運行同一種路由協(xié)議的多個路由器動態(tài)交換路由表信息而來。當目標網(wǎng)絡有多條路徑時，其中一條路徑失效時，動態(tài)路由會自動切換到另一條路徑，能及時反應網(wǎng)絡的變化。動態(tài)路由可信度較低。（4）默認路由：默認路由是一種特殊的靜態(tài)路由，指的是當路由表中與數(shù)據(jù)包的目的地址之間沒有匹配的表項時路由器能夠做出的選擇。如果沒有默認路由，那么目的地址在路由表中沒有匹配表項的包將被丟棄。2.1.3技能準備2.路由類型322.1.3技能準備3.iproute命令路由器用來配置靜態(tài)路由的全局命令，命令格式如下：iprouteprefixmask{address|interface}[distance][permanent]相關(guān)參數(shù)說明如下：Prefix：所要到達的目的網(wǎng)絡Mask：子網(wǎng)掩碼Address：下一個跳的IP地址，即相鄰路由器的端口地址Interface：本地網(wǎng)絡接口Distance：管理距離（可選）Permanent：指定路由的永久性，即使該端口關(guān)掉也不被移掉。2.1.3技能準備3.iproute命令332.1.3技能準備4.末節(jié)網(wǎng)絡路由問題末節(jié)網(wǎng)絡是只能通過單條路由訪問的網(wǎng)絡。從一個網(wǎng)絡路由到末節(jié)網(wǎng)絡時，一般使用靜態(tài)路由；而末節(jié)路由器訪問其他網(wǎng)絡時，適合使用默認路由。配置默認路由的全局命令：iproute{ip-address|interface}

2.1.3技能準備4.末節(jié)網(wǎng)絡路由問題342.2項目設計任務1：根據(jù)拓撲圖進行網(wǎng)絡布線連接并清除設備可能的配置，然后使用地址表中提供的IP地址為網(wǎng)絡設備分配地址，并執(zhí)行初始路由器配置；任務2：為路由器配置靜態(tài)路由使網(wǎng)絡暢通；任務3：為路由器配置默認路由使網(wǎng)絡暢通；任務4：為路由器配置靜態(tài)總結(jié)路由使網(wǎng)絡暢通；任務5：記錄網(wǎng)絡配置并清理實驗設備。2.2項目設計任務1：根據(jù)拓撲圖進行網(wǎng)絡布線連接并清除設備352.2.1拓撲設計2.2.1拓撲設計362.2.2IP地址設計2.2.2IP地址設計372.3項目實施2.3.1配置靜態(tài)路由2.3.2配置默認路由2.3.3配置總結(jié)路由

2.3項目實施2.3.1配置靜態(tài)路由382.3.1配置靜態(tài)路由使用下一跳地址配置靜態(tài)路由使用送出接口配置靜態(tài)路由R1(config)#iprouteR1(config)#iprouteR2(config)#iprouteR2(config)#iprouteR3(config)#iprouteR3(config)#iprouteR1(config)#iproutes0/0/0R1(config)#iproutes0/0/0R2(config)#iproutes0/0/0R2(config)#iproutes0/0/1R3(config)#iproutes0/0/1R3(config)#iproutes0/0/12.3.1配置靜態(tài)路由使用下一跳地址配置靜態(tài)路由R1(c392.3.1配置靜態(tài)路由

查看路由表并測試網(wǎng)絡R2上路由表輸出如下，R1、R3類似測試網(wǎng)絡連通性：各主機之間應該已經(jīng)全部能ping通了R2#showiprouteGatewayoflastresortisnotset/24issubnetted,3subnetsCisdirectlyconnected,FastEthernet0/0Cisdirectlyconnected,Serial0/0/0Sisdirectlyconnected,Serial0/0/0C/24isdirectlyconnected,Serial0/0/1S/24[1/0]via2.3.1配置靜態(tài)路由查看路由表并測試網(wǎng)絡R2#show402.3.2配置默認路由首先要刪除已配置的靜態(tài)路由配置靜態(tài)默認路由查看R1路由表測試網(wǎng)絡連通性，網(wǎng)絡應該還是通的R1(config)#noiprouteR1(config)#noiprouteR1(config)#noiproutes0/0/0R1(config)#noiproutes0/0/0R1#showiprouteR1(config)#iproute或者R1(config)#iproutes0/0/02.3.2配置默認路由首先要刪除已配置的靜態(tài)路由R1(412.3.3配置總結(jié)路由在R3上重新配置總結(jié)靜態(tài)路由showiproute命令檢查

R3(config)#iprouteR3(config)#noiprouteR3(config)#noiprouteR3(config)#noiproutes0/0/1R3(config)#noiproutes0/0/12.3.3配置總結(jié)路由在R3上重新配置總結(jié)靜態(tài)路由R422.4項目總結(jié)與文檔本項目學習了路由表及靜態(tài)路由、默認路由、總結(jié)路由的配置：路由表是存儲了網(wǎng)絡相關(guān)信息的數(shù)據(jù)表，包含有路由類型、網(wǎng)絡地址和子網(wǎng)掩碼、出站接口、下一跳地址等信息，路由器就是依靠路由表來轉(zhuǎn)發(fā)數(shù)據(jù)包的；靜態(tài)路由是由管理員手工輸入的路由，它不會自動跟隨網(wǎng)絡拓撲的變化而變化，一般適用于結(jié)構(gòu)比較簡單的網(wǎng)絡，通過iproute命令來配置；默認路由是指當路由表中與數(shù)據(jù)包的目的地址之間沒有匹配的表項時路由器能夠做出的選擇。靜態(tài)默認路由通常用來表示，在末節(jié)網(wǎng)絡中，配置靜態(tài)默認路由可以大大減少管理工作量；總結(jié)路由是指對彼此非常接近的多個網(wǎng)絡進行超網(wǎng)化得出的一條路由，可縮小路由表的大小，從而使得路由查找過程更有效率。請在項目結(jié)束后完成項目規(guī)劃及實施報告（參見教材2.4.2）2.4項目總結(jié)與文檔本項目學習了路由表及靜態(tài)路由、默認路由432.5實訓1、按本項目網(wǎng)絡拓撲完成布線連接2、清除路由器設備上的配置并按本項目要求設置主機名、口令、接口地址3、分別用靜態(tài)路由、默認靜態(tài)路由和總結(jié)靜態(tài)路由完成路由配置4、將路由器配置整理保存到相應的文本文件中2.5實訓1、按本項目網(wǎng)絡拓撲完成布線連接44學習內(nèi)容項目3動態(tài)路由3.1項目背景3.2項目設計3.2.1拓撲設計3.2.2IP地址設計3.3項目實施3.3.1動態(tài)路由協(xié)議RIP3.3.2動態(tài)路由協(xié)議EIGRP3.3.3動態(tài)路由協(xié)議OSPF3.4項目總結(jié)與文檔3.4.1項目總結(jié)3.4.2項目文檔3.5實訓學習內(nèi)容項目3動態(tài)路由3.1項目背景453.1項目背景某家成長中的公司，由于公司的發(fā)展和業(yè)務調(diào)整，公司網(wǎng)絡面臨著經(jīng)常變化的狀況，請為公司網(wǎng)絡配置路由以滿足網(wǎng)絡的有效運行。3.1項目背景某家成長中的公司，由于公司的發(fā)展和業(yè)463.1.1需求分析靜態(tài)路由由于需要管理員根據(jù)網(wǎng)絡狀況手動添加,當網(wǎng)絡規(guī)模較大或經(jīng)常容易發(fā)生結(jié)構(gòu)變化時，將給管理員帶來極大的工作量，而且容易出錯。此時，采用路由器自動計算路由的動態(tài)路由將給網(wǎng)絡管理帶來極大的方便。而且，在大型公司網(wǎng)和ISP網(wǎng)絡中，采用靜態(tài)路由幾乎是不可能的。

本案例項目中的網(wǎng)絡面臨著經(jīng)常變化的狀況，可以配置動態(tài)路由以滿足網(wǎng)絡的有效運行3.1.1需求分析靜態(tài)路由由于需要管理員根據(jù)網(wǎng)絡473.1.2環(huán)境準備設備：Cisco2811路由器3臺，以太網(wǎng)交換機3臺（可省略），PC3臺；線纜：標準直通線6根（或交叉線3根），Null0串行電纜3組，控制臺電纜3條；每組3名學生，各操作一臺PC，協(xié)同進行實訓3.1.2環(huán)境準備設備：Cisco2811路由器3臺，以483.1.3技能準備1.了解動態(tài)路由協(xié)議RIP（路由信息協(xié)議）是最早出現(xiàn)的路由協(xié)議，目前已經(jīng)演變到RIPv2版，但新版的RIP協(xié)議仍舊不具有擴展性，無法用于較大型的網(wǎng)絡為了滿足大型網(wǎng)絡的需要，兩種高級路由協(xié)議——OSPF協(xié)議和IS-IS協(xié)議應運而生。Cisco也推出了面向大型網(wǎng)絡的IGRP和EIGRP協(xié)議不同網(wǎng)際網(wǎng)絡之間的互聯(lián)也提出對網(wǎng)間路由的需求。現(xiàn)在，各ISP之間以及ISP與其大型專有客戶之間采用BGP協(xié)議來交換路由信息3.1.3技能準備1.了解動態(tài)路由協(xié)議493.1.3技能準備2.

路由協(xié)議分類（1）內(nèi)部網(wǎng)關(guān)協(xié)議和外部網(wǎng)關(guān)協(xié)議（2）距離矢量路由協(xié)議和鏈路狀態(tài)路由協(xié)議（3）有類路由協(xié)和議無類路由協(xié)議3.管理距離

管理距離(AD)是從0到255的整數(shù)值，用來定義路由來源的優(yōu)先級別，值越低表示路由來源的優(yōu)先級別越高。0表示優(yōu)先級別最高；255表示路由器不信任該路由來源，并且不會將其添加到路由表中。

直連路由的管理距離為0，且這個值不能更改；而靜態(tài)路由的管理距離為1；動態(tài)路由的管理距離各不相同，如：RIP—120、EIGRP—90、OSPF—80?？梢孕薷撵o態(tài)路由和動態(tài)路由協(xié)議的管理距離，如果從多個不同的路由來源獲取到同一目的網(wǎng)絡的路由信息，Cisco路由器會使用AD值小的來選擇最佳路徑。3.1.3技能準備2.路由協(xié)議分類503.2項目設計任務1：按照拓撲設計連接網(wǎng)絡，清除可能的設備配置并完成網(wǎng)絡初始配置；任務2：為網(wǎng)絡配置Rip路由實現(xiàn)網(wǎng)絡連通；任務3：為網(wǎng)絡配置EIGRP路由實現(xiàn)網(wǎng)絡連通；任務4：為網(wǎng)絡配置OSPF路由實現(xiàn)網(wǎng)絡連通；任務5：記錄網(wǎng)絡并清理實驗設備3.2項目設計任務1：按照拓撲設計連接網(wǎng)絡，清除可能的設備513.2.1拓撲設計3.2.1拓撲設計523.2.2IP地址設計3.2.2IP地址設計533.3項目實施3.3.1動態(tài)路由協(xié)議RIP使用提供的腳本加載路由器配置到R1、R2和R3檢查網(wǎng)絡的當前狀態(tài)3.3項目實施3.3.1動態(tài)路由協(xié)議RIP543.3項目實施3.3.1動態(tài)路由協(xié)議RIP配置RIPv2檢驗路由器上是否正在運行RIPv2檢查RIP的自動總結(jié)禁用自動總結(jié)檢查路由表R1(config)#routerripR1(config-router)#version2R2(config)#routerripR2(config-router)#version2R3(config)#routerripR3(config-router)#version2R1(config-router)#noauto-summaryR2(config-router)#noauto-summaryR3(config-router)#noauto-summary3.3項目實施3.3.1動態(tài)路由協(xié)議RIPR1(confi553.3.2動態(tài)路由協(xié)議EIGRP網(wǎng)絡布線及路由器初始配置 步驟1：布線、清除配置并重新啟動路由器 步驟2：執(zhí)行路由器基本配置 步驟3：配置接口地址啟動EIGRP并通告本地直連網(wǎng)絡R1(config)#routereigrp1R1(config-router)#networkR1(config-router)#networkR2(config)#routereigrp1R2(config-router)#networkR2(config-router)#networkR3(config)#routereigrp1R3(config-router)#networkR3(config-router)#networkR3(config-router)#network3.3.2動態(tài)路由協(xié)議EIGRP網(wǎng)絡布線及路由器初始配置563.3.2動態(tài)路由協(xié)議EIGRP檢驗EIGRP運行情況（1）showipeigrpneighbors查看鄰居（2）showipprotocols檢驗EIGRP是否已啟用（3）showiproute查看路由表中的EIGRP路由配置EIGRP度量使用showipinterface命令檢驗每條鏈路的帶寬值R1(config)#interfaceserial0/0/0R1(config-if)#bandwidth64R2(config)#interfaceserial0/0/0R2(config-if)#bandwidth64R2(config)#interfaceserial0/0/1R2(config-if)#bandwidth1024R3(config)#interfaceserial0/0/1R3(config-if)#bandwidth10243.3.2動態(tài)路由協(xié)議EIGRP檢驗EIGRP運行情573.3.2動態(tài)路由協(xié)議EIGRP禁用EIGRP自動總結(jié)配置手動總結(jié)禁用自動總結(jié)可以讓路由傳遞更準確，但有時也需要總結(jié)路由?？梢耘渲檬謩涌偨Y(jié)路由來簡化路由表。配置過程請參見教材3.3.2相關(guān)部分。R1(config)#routereigrp1R1(config-router)#noauto-summaryR2(config)#routereigrp1R2(config-router)#noauto-summaryR3(config)#routereigrp1R3(config-router)#noauto-summary3.3.2動態(tài)路由協(xié)議EIGRP禁用EIGRP自動總583.3.3動態(tài)路由協(xié)議OSPFEIGRP是Cisco專用路由協(xié)議，只能使用在Cisco的路由器上。當網(wǎng)絡中有其他廠商的路由器時，就只能使用OSPF協(xié)議。OSPF是一種鏈路狀態(tài)路由協(xié)議，支持無類網(wǎng)絡和不連續(xù)網(wǎng)絡，收斂速度快，適用于大型網(wǎng)絡啟動OSPF并通告本地直連網(wǎng)絡R1(config)#noroutereigrp1R1(config)#routerospf1R1(config-router)#network55area0R1(config-router)#network55area0R1(config-router)#networkarea0R2(config)#noroutereigrp1R2(config)#routerospf1R2(config-router)#network55area0R2(config-router)#network55area0R2(config-router)#networkarea0R3(config)#noroutereigrp1R3(config)#routerospf1R3(config-router)#network55area0R3(config-router)#networkarea0R3(config-router)#networkarea03.3.3動態(tài)路由協(xié)議OSPFEIGRP是Cisco專用路593.3.3動態(tài)路由協(xié)議OSPF配置OSPF路由器IDCisco路由器按下列順序根據(jù)下列三個條件得出路由器ID：（1）通過OSPFrouter-id命令配置的IP地址（2）路由器的環(huán)回地址中的最高IP地址（3）路由器的所有物理接口的最高活動IP地址配置環(huán)回接口改變路由器ID：R1(config)#interfaceloopback0R1(config-if)#ipaddress55R2(config)#interfaceloopback0R2(config-if)#ipaddress55R3(config)#interfaceloopback0R3(config-if)#ipaddress55使用router-id命令更改路由器ID：R1(config)#routerospf1R1(config-router)#router-id3.3.3動態(tài)路由協(xié)議OSPF配置OSPF路由器ID603.3.3動態(tài)路由協(xié)議OSPF驗證OSPF的運行情況showiprouteospf查看路由表中OSPF路由配置OSPF開銷R1(config)#interfaceserial0/0/0R1(config-if)#bandwidth64R1(config-if)#interfaceserial0/0/1R1(config-if)#bandwidth256R2(config)#interfaceserial0/0/0R2(config-if)#bandwidth64R2(config)#interfaceserial0/0/1R2(config-if)#bandwidth128R2(config)#interfaceserial0/0/0R2(config-if)#bandwidth256R2(config)#interfaceserial0/0/1R2(config-if)#bandwidth1283.3.3動態(tài)路由協(xié)議OSPF驗證OSPF的運行情況R613.3.3動態(tài)路由協(xié)議OSPF重新分配OSPF默認路由記錄網(wǎng)絡配置并清理實驗設施R2(config)#interfaceloopback1R2(config-if)#ipaddress52R2(config)#iprouteloopback1R2(config)#routerospf1R2(config-router)#default-informationoriginateR2(config-router)#3.3.3動態(tài)路由協(xié)議OSPF重新分配OSPF默認路由623.4項目總結(jié)與文檔本項目介紹了網(wǎng)絡中的動態(tài)路由協(xié)議和配置方法：RIPv2支持無類網(wǎng)絡和不連續(xù)網(wǎng)絡；OSPF協(xié)議是適用于大型網(wǎng)絡的收斂較快的鏈路狀態(tài)路由協(xié)議，而EIGRP是Cisco專用的高效路由協(xié)議，目前多數(shù)網(wǎng)絡都采用后兩種協(xié)議；

EIGRP路由域內(nèi)的所有路由器必須使用相同的進程ID號，OSPF配置命令中的進程號只具有本地意義，各路由器的進程ID號可以不同；默認情況下，EIGRP是啟用自動總結(jié)的，而OSPF是禁用自動總結(jié)的；Cisco路由器根據(jù)三個條件得出路由器ID：OSPFrouter-id命令配置的IP地址；環(huán)回接口地址最高IP地址；物理接口最高活動IP地址。路由器ID最大的路由器將成為DR。請在項目結(jié)束后完成項目規(guī)劃及實施報告（參見教材3.4.2）3.4項目總結(jié)與文檔本項目介紹了網(wǎng)絡中的動態(tài)路由協(xié)議和配置633.5實訓1、按本項目網(wǎng)絡拓撲完成布線連接2、清除路由器設備上的配置并按本項目要求設置主機名、口令、接口地址3、分別用RIP路由、EIGRP路由和OSPF路由完成路由配置，使網(wǎng)絡暢通4、將路由器配置整理保存到相應的文本文件中3.5實訓1、按本項目網(wǎng)絡拓撲完成布線連接64學習內(nèi)容項目4訪問控制列表4.1項目背景4.2項目設計4.2.1拓撲設計4.2.2IP地址設計4.3項目實施4.3.1標準ACL4.3.2擴展ACL4.3.3命名ACL4.3.4基于時間的ACL4.3.5動態(tài)ACL4.3.6自反ACL4.4項目總結(jié)與文檔4.4.1項目總結(jié)4.4.2項目文檔4.5實訓學習內(nèi)容項目4訪問控制列表4.1項目背景654.1項目背景你受聘于一家公司做網(wǎng)絡管理員，公司網(wǎng)絡已全部連通，現(xiàn)希望能阻止不合理的和非法的流量，在允許特定流量的同時阻止網(wǎng)絡中的所有其它流量，從而保護企業(yè)網(wǎng)絡安全。4.1項目背景你受聘于一家公司做網(wǎng)絡管理員，公司網(wǎng)664.1.1需求分析數(shù)據(jù)在網(wǎng)絡上的任意流動會給網(wǎng)絡帶來很多安全問題：一方面，為了業(yè)務的發(fā)展，必須允許對網(wǎng)絡資源開放訪問權(quán)限；另一方面，又必須確保數(shù)據(jù)和資源的盡可能安全。

網(wǎng)絡安全采用的技術(shù)很多，訪問控制列表是最重要的技術(shù)之一。本項目中的安全需求就可以通過訪問控制列表實現(xiàn)。4.1.1需求分析數(shù)據(jù)在網(wǎng)絡上的任意流動會給網(wǎng)絡帶674.1.2環(huán)境準備設備：Cisco2811路由器3臺，PC3臺；線纜：標準交叉線3根，Null0串行電纜2組，控制臺電纜1根；每組2名學生，各操作一臺PC，協(xié)同進行實訓4.1.2環(huán)境準備設備：Cisco2811路由器3臺，PC684.1.3技能準備1.訪問控制列表簡介

訪問控制列表（ACL）是一種路由器配置腳本，它根據(jù)從數(shù)據(jù)包報頭中發(fā)現(xiàn)的條件（源地址、目的地址、源端口、目的端口和協(xié)議等）來控制路由器應該允許還是拒絕數(shù)據(jù)包通過，從而達到訪問控制的目的。ACL可以實現(xiàn)的主要功能如下：（1）檢查和過濾數(shù)據(jù)包（2）限制網(wǎng)絡流量，提高網(wǎng)絡性能（3）限制或減少路由更新的內(nèi)容（4）提供網(wǎng)絡訪問的基本安全級別4.1.3技能準備1.訪問控制列表簡介694.1.3技能準備2.配置ACL的原則（1）3P原則（2）順序處理原則（3）最小特權(quán)原則（4）最靠近受控對象原則4.1.3技能準備2.配置ACL的原則704.1.3技能準備3.CiscoACL類型（1）標準ACL：標準ACL比較簡單，根據(jù)數(shù)據(jù)包的源IP地址進行過濾。其表號范圍是1~99或1300~1999（2）擴展ACL：擴展ACL根據(jù)多種屬性（協(xié)議類型、源IP地址、目的IP地址、源TCP或UDP端口、目的TCP或UDP端口）過濾IP數(shù)據(jù)包，并可依據(jù)協(xié)議類型信息進行更為精確的控制。其表號范圍是100~199或2000~2699（3）動態(tài)ACL：除非使用Telnet連接路由器并通過身份驗證，否則要求通過路由器的用戶都會遭到拒絕。（4）基于時間的ACL：允許根據(jù)一周以及一天內(nèi)的時間來控制訪問（5）自反ACL：允許出站流量，而入站流量只能是對路由器內(nèi)部發(fā)起的會話的響應。4.1.3技能準備3.CiscoACL類型714.2項目設計任務1：使用標準訪問控制列表實現(xiàn)公司網(wǎng)絡安全策略任務2：使用擴展ACL實現(xiàn)內(nèi)部LAN安全策略任務3：使用命名擴展ACL實現(xiàn)外網(wǎng)對內(nèi)部訪問的安全策略任務4：使用基于時間的ACL實現(xiàn)對路由器的Telnet訪問控制任務5：使用動態(tài)ACL實現(xiàn)網(wǎng)絡訪問安全策略任務6：使用自反ACL實現(xiàn)內(nèi)網(wǎng)主機可以主動訪問外網(wǎng)，但是外網(wǎng)主機不能主動訪問內(nèi)網(wǎng)，從而有效保護內(nèi)網(wǎng)。4.2項目設計任務1：使用標準訪問控制列表實現(xiàn)公司網(wǎng)絡安全724.2.1拓撲設計4.2.1拓撲設計734.2.2IP地址設計4.2.2IP地址設計744.3項目實施4.3.1標準ACL4.3.2擴展ACL4.3.3命名ACL4.3.4基于時間的ACL4.3.5動態(tài)ACL4.3.6自反ACL

4.3項目實施4.3.1標準ACL754.3.1標準ACL具體安全需求：定義一個標準ACL拒絕PC2所在的業(yè)務部網(wǎng)段訪問R3的所有直連網(wǎng)絡；同時允許管理員主機PC1訪問路由器R1、R2、R3的Telnet服務，對路由器進行遠程網(wǎng)絡管理在R1上創(chuàng)建并應用標準號碼式ACL在R2上創(chuàng)建并應用標準號碼式ACLR1(config)#access-list2remarkONLYHOSTPC1CANTELNETR1(config)#access-list2permithost00R1(config)#linevty04R1(config-line)#access-class2inR1(config-line)#passwordciscoR1(config-line)#loginR1(config-line)#endR2(config)#access-list2remarkONLYHOSTPC1CANTELNETR2(config)#access-list2permithost00R2(config)#linevty04R2(config-line)#access-class2inR2(config-line)#passwordciscoR2(config-line)#login4.3.1標準ACL具體安全需求：R1(config)#764.3.1標準ACL在R3上創(chuàng)建并應用ACL2和ACL1R3(config)#access-list2remarkONLYHOSTPC1CANTELNETR3(config)#access-list2permithost00R3(config)#linevty04R3(config-line)#access-class2in//入方向R3(config-line)#passwordciscoR3(config-line)#loginR3(config-line)#exitR3(config)#access-list1remarkDENYNETWORKFROMR1R3(config)#access-list1deny55R3(config)#access-list1permitanyR3(config)#ints0/0/1R3(config-if)#ipaccess-group1outR3(config-if)#end4.3.1標準ACLR3(config)#access-774.3.2擴展ACL注意：定義擴展ACL規(guī)則比較復雜，應該嚴格規(guī)劃，認真實施步驟1：規(guī)劃ACL實施內(nèi)部LAN安全策略對于/24網(wǎng)絡，阻止telnet訪問所有位置，并且阻止通過TFTP訪問地址為54的企業(yè)Web/TFTPServer，允許所有其它訪問；對于/24網(wǎng)絡，允許通過TFTP和Web訪問地址為54的Web/TFTPServer。阻止從/24網(wǎng)絡發(fā)往/24網(wǎng)絡的所有其它流量，允許所有其它訪問用兩個擴展ACL實施內(nèi)部LAN安全策略：ACL110支持策略的第一部分，配置在R1上并應用于F0/0接口的入站流量；ACL120支持策略的第二部分，配置在R1上并應用于F0/1接口的入站流量。4.3.2擴展ACL注意：定義擴展ACL規(guī)則比較復雜，784.3.2擴展ACLR1配置（ACL110）：R1(config)#access-list110remarkTHISISANEXAMPLEFOREXTENDEDACLR1(config)#access-list110denytcp55anyeqtelnet//阻止/24網(wǎng)絡中的所有IP地址telnet至任何位置R1(config)#access-list110denyudp55host54eqtftp//阻止/24網(wǎng)絡通過TFTP訪問地址為54的主機R1(config)#access-list110permitipanyany//允許所有其它流量4.3.2擴展ACLR1配置（ACL110）：794.3.2擴展ACLR1配置（ACL120）：R1(config)#access-list120permittcp55host54eqwww//允許/24網(wǎng)絡通過WWW訪問地址為54的主機R1(config)#access-list120permitudp55host54eqtftp//允許/24網(wǎng)絡通過TFTP訪問地址為54的主機R1(config)#access-list120denyip5555//阻止從/24網(wǎng)絡發(fā)往/24網(wǎng)絡的所有其它流量R1(config)#access-list120permitipanyany//允許所有其它流量將ACL應用到盡量靠近源的位置R1(config)#interfacefa0/0R1(config-if)#ipaccess-group110inR1(config-if)#interfacefa0/1R1(config-if)#ipaccess-group120in4.3.2擴展ACLR1配置（ACL120）：804.3.2擴展ACL步驟2：規(guī)劃ACL實施外網(wǎng)對內(nèi)部訪問的安全策略對于通過ISP進入的Internet流量，僅允許外部主機通過端口80與內(nèi)部WebServer建立Web會話；僅允許已建立TCP會話進入；僅允許ping應答通過R2。用一個擴展命名ACL實施外網(wǎng)對內(nèi)部訪問的安全策略：在R2上配置擴展命名ACL并應用于S0/1/0接口的入站方向，見下頁4.3.2擴展ACL步驟2：規(guī)劃ACL實施外網(wǎng)對內(nèi)部訪問814.3.3命名ACLR2配置：R2(config)#ipaccess-listextendedFIREWALLR2(config-ext-nacl)#permittcpanyhost54eqwwwR2(config-ext-nacl)#permittcpanyanyestablishedR2(config-ext-nacl)#permiticmpanyanyecho-replyR2(config-ext-nacl)#denyipanyany將擴展命名ACL應用到接口R2(config)#interfaces0/0/0R2(config-if)#ipaccess-groupFIREWALLin4.3.3命名ACLR2配置：824.3.4基于時間的ACL具體安全需求：

定義基于時間的ACL，只允許主機PC1在工作時間（周一到周五的每天8：00—下午5：00）訪問路由器R3的Telnet服務配置時間段，定義正常上班的時間段配置ACL，并應用時間段，以實現(xiàn)基于時間段的訪問控制將ACL應用到F0/0接口的入方向R1(config)#time-rangeWORKTIMER1(config-time-range)#periodicweekdays8:00to17:00//定義時間范圍R1(config-time-range)#exitR1(config)#intf0/0R1(config-if)#ipaccess-group200inR1(config-if)#endR1(config)#access-list200permittcphost00hosteqtelnettime-rangeWORKTIMER1(config)#access-list200permittcphost00hosteqtelnettime-rangeWORKTIME4.3.4基于時間的ACL具體安全需求：R1(confi834.3.5動態(tài)ACL具體安全需求：

定義動態(tài)ACL，如果PC1所在網(wǎng)段（/24）想要訪問Web/FTPServer（IP地址為54），必須先Telnet路由器R2成功后才能訪問建立本地驗證的用戶名和密碼定義擴展命名ACL，實現(xiàn)對R2的Telnet訪問和動態(tài)ACL屬性設置VTY本地驗證并設置自動執(zhí)行的命令R2(config)#usernameciscopasswordciscoR2(config)#linevty04R2(config-line)#loginlocal//本地驗證R2(config-line)#autocommandaccess-enablehosttimenout5R2(config)#ipaccess-listextendedmyaclR2(config-ext-nacl)#permittcp55hosteqtelnet//允許/24網(wǎng)段到路由器R2的Telnet流量R2(config-ext-nacl)#permittcp55hosteqtelnetR2(config-ext-nacl)#permiteigrpanyany//允許eigrp流量R2(config-ext-nacl)#permitdynamicDYACLtimeout60permittcp55host54eqwww

//定義動態(tài)ACLDYACL，絕對超時時間為60分鐘R2(config-ext-nacl)#exit4.3.5動態(tài)ACL具體安全需求：R2(config)#u844.3.6自反ACL具體安全需求：

為下面圖示的網(wǎng)絡定義自反ACL，實現(xiàn)內(nèi)網(wǎng)主機可以主動訪問外網(wǎng)，但是外網(wǎng)主機不能主動訪問內(nèi)網(wǎng)，從而有效保護內(nèi)網(wǎng)4.3.6自反ACL具體安全需求：854.3.6自反ACL在路由器R2上配置自反ACL將創(chuàng)建的自反列表應用于相應的接口R2(config)#intS0/1/0//連接外網(wǎng)的內(nèi)網(wǎng)路由器接口R2(config-if)#ipaccess-groupREFINin

//應用外網(wǎng)訪問內(nèi)網(wǎng)的ACLR2(config-if)#ipaccess-groupREFOUTout

//應用內(nèi)網(wǎng)用戶訪問外網(wǎng)的ACLR2(config)#ipaccess-listextendedREFOUT

//定義內(nèi)網(wǎng)訪問外網(wǎng)的ACLR2(config-ext-nacl)#permittcpanyanyreflectREF

//自反列表的名字為REFR2(config-ext-nacl)#permitudpanyanyreflectREFR2(config-ext-nacl)#permiticmpanyanyreflectREFR2(config)#ipaccess-listextendedREFIN

//定義外網(wǎng)訪問內(nèi)網(wǎng)的ACLR2(config-ext-nacl)#evaluateREF4.3.6自反ACL在路由器R2上配置自反ACLR2(c864.4項目總結(jié)與文檔本項目介紹了如何通過訪問控制列表ACL來實現(xiàn)安全策略：標準ACL只根據(jù)數(shù)據(jù)包的源IP地址進行過濾，其表號范圍是1~99或1300~1999；擴展ACL根據(jù)源IP地址、目的IP地址、源端口、目的端口等過濾數(shù)據(jù)包，并可依據(jù)協(xié)議類型信息進行更為精確的控制，其表號范圍是100~199或2000~2699；命名ACL包括標準命名ACL和擴展命名ACL兩種，定義和修改起來比數(shù)字式的ACL更方便靈活；基于時間的ACL在標準ACL或擴展ACL后應用時間段選項以實現(xiàn)基于時間段的訪問控制；動態(tài)ACL使用戶能在防火墻中臨時打開一個缺口，而不會破壞其他已配置的安全限制；自反ACL可以只允許出去的流量，但是阻止從外部網(wǎng)絡主動產(chǎn)生的向內(nèi)部網(wǎng)絡的流量；配置ACL的過程都是要先定義ACL，再將其應用到某個位置。請在項目結(jié)束后完成項目規(guī)劃及實施報告（參見教材4.4.2）4.4項目總結(jié)與文檔本項目介紹了如何通過訪問控制列表ACL874.5實訓1、按項目網(wǎng)絡拓撲和地址規(guī)劃表完成布線連接及網(wǎng)絡配置，實現(xiàn)網(wǎng)絡連通；2、配置標準ACL、擴展ACL以及命名擴展ACL實現(xiàn)網(wǎng)絡基本流量控制策略；3、配置基于時間的ACL實現(xiàn)按時間訪問網(wǎng)絡（選做）；4、配置動態(tài)ACL實現(xiàn)特殊訪問需求（選做）；5、配置自反ACL實現(xiàn)對內(nèi)網(wǎng)的保護（選做）。4.5實訓1、按項目網(wǎng)絡拓撲和地址規(guī)劃表完成布線連接及網(wǎng)絡88學習內(nèi)容項目5DHCP與NAT5.1項目背景5.2項目設計5.2.1拓撲設計5.2.2IP地址設計5.3項目實施5.3.1DHCP5.3.2靜態(tài)NAT5.3.3動態(tài)NAT5.3.4NAT過載5.4項目總結(jié)與文檔5.4.1項目總結(jié)5.4.2項目文檔5.5實訓學習內(nèi)容項目5DHCP與NAT5.1項目背景895.1項目背景某公司網(wǎng)絡由多個私有地址空間的網(wǎng)絡互連而成，內(nèi)網(wǎng)已正確部署了RIPv2路由。

現(xiàn)需要將公司內(nèi)部網(wǎng)絡連接到外網(wǎng)讓所有員工能訪問互連網(wǎng)，同時內(nèi)網(wǎng)的Web服務器需要能在外網(wǎng)訪問；客戶端的IP地址要統(tǒng)一分配和管理。

已知公司申請的公有地址塊是2028/305.1項目背景某公司網(wǎng)絡由多個私有地址空間的網(wǎng)絡905.1.1需求分析在本案例項目中，要想將私有地址空間的公司內(nèi)網(wǎng)連接到公有網(wǎng)絡，必須要進行網(wǎng)絡地址轉(zhuǎn)換?？梢栽谶B接外網(wǎng)的邊界路由器配置靜態(tài)NAT和動態(tài)NAT以滿足需求；

同時，可以在內(nèi)網(wǎng)路由器上配置DHCP服務以實現(xiàn)客戶端地址的統(tǒng)一分配和管理。5.1.1需求分析在本案例項目中，要想將私有地址915.1.2環(huán)境準備設備：Cisco2811路由器4臺，PC5臺；線纜：標準交叉線3根，直通線3根，Null0串行電纜3組，控制臺電纜1根；每組4名學生，各操作一臺PC，協(xié)同進行實訓5.1.2環(huán)境準備設備：Cisco2811路由器4臺，PC925.1.3技能準備1.了解DHCPDHCP（DynamicHostConfigurationProtocol，動態(tài)主機配置協(xié)議）是為客戶端動態(tài)分配IP地址的方法，服務器從預先設置的IP地址池里自動給主機分配IP地址，不僅能夠保證IP地址不重復分配，也能及時回收IP地址以提高地址利用率。DHCP服務可以由網(wǎng)絡服務器提供，也可以配置一臺Cisco路由器來提供。本項目中就采用后一種方式為企業(yè)網(wǎng)絡提供DHCP服務5.1.3技能準備1.了解DHCP935.1.3技能準備2.

理解NATNAT（NetworkAddressTranslation，網(wǎng)絡地址翻譯）是一種將一個IP地址域（如Intranet）轉(zhuǎn)換到另一個IP地址域（如Internet）的技術(shù)。NAT有很多用途，最主要的用途是讓網(wǎng)絡能使用私有IP地址以節(jié)省IP地址，NAT將不可路由的私有內(nèi)部地址轉(zhuǎn)換成可路由的公有地址；NAT還能在一定程度上增加網(wǎng)絡的私密性和安全性，因為它對外部網(wǎng)絡隱藏了內(nèi)部IP地址。啟用NAT的設備通常工作在末節(jié)網(wǎng)絡邊界5.1.3技能準備2.理解NAT945.1.3技能準備3.

NAT類型

NAT有三種類型：靜態(tài)NAT、動態(tài)NAT及NAT過載。靜態(tài)NAT使用本地地址與全局地址的一對一映射，這些映射保持不變。靜態(tài)NAT對于必須具有一致的地址、可從Internet訪問的Web服務器或主機特別有用。這些內(nèi)部主機可能是企業(yè)服務器或網(wǎng)絡設備動態(tài)NAT使用公有地址池，并以先到先得的原則分配這些地址。當具有私有IP地址的主機請求訪問Internet時，動態(tài)NAT從地址池中選擇一個未被其它主機占用的IP地址。NAT過載（有時稱為端口地址轉(zhuǎn)換或PAT）是一種特殊的動態(tài)NAT，它將多個私有IP地址映射到一個或少數(shù)幾個公有IP地址。大多數(shù)家用路由器就是這樣工作的，ISP分配一個地址給家用路由器，但是多名家庭成員可以同時上網(wǎng)5.1.3技能準備3.NAT類型955.1.3技能準備4.

內(nèi)部網(wǎng)絡與外部網(wǎng)絡內(nèi)部網(wǎng)絡(Inside)：指那些由機構(gòu)或企業(yè)所擁有的網(wǎng)絡，與NAT路由器上被定義為inside的接口相連接。內(nèi)部網(wǎng)絡中的主機地址通常是私有的，稱為內(nèi)部本地地址，被NAT轉(zhuǎn)換為公有的內(nèi)部全局地址。外部網(wǎng)絡(Outside)：指除了內(nèi)部網(wǎng)絡之外的所有網(wǎng)絡，常為Internet網(wǎng)絡，與NAT路由器上被定義為outside的接口相連接。外部網(wǎng)絡主機使用的IP地址可能是私有的是外部本地地址或公有的外部全局地址。5.1.3技能準備4.內(nèi)部網(wǎng)絡與外部網(wǎng)絡965.2項目設計任務1：在內(nèi)部網(wǎng)絡路由器上配置DHCP服務，為內(nèi)網(wǎng)普通客戶主機提供地址管理服務；已經(jīng)連通的情況下，在邊界路由器上添加默認路由以訪問外網(wǎng)；并在外網(wǎng)路由器上為申請到的公有地址塊做路由；任務2：實現(xiàn)內(nèi)網(wǎng)的地址動態(tài)獲取，在連接內(nèi)網(wǎng)的路由設備上配置DHCP服務；任務3：在邊界路由器上對內(nèi)網(wǎng)服務器地址配置靜態(tài)NAT，以使外網(wǎng)能訪問內(nèi)網(wǎng)服務器；任務4：在邊界路由器上配置動態(tài)NAT或PAT以使內(nèi)網(wǎng)用戶都能訪問外網(wǎng)5.2項目設計任務1：在內(nèi)部網(wǎng)絡路由器上配置DHCP服務，975.2.1拓撲設計5.2.1拓撲設計985.2.2IP地址設計5.2.2IP地址設計995.3項目實施5.3.1DHCP

5.3.2靜態(tài)NAT5.3.3動態(tài)NAT5.3.4NAT過載5.3項目實施5.3.1DHCP1005.3.1DHCP本項目網(wǎng)絡中，路由器R1和R3是DHCP服務器，負責向PC1和PC3所在網(wǎng)絡的主機動態(tài)分配IP地址。定義排除地址配置地址池R1(config)#ipdhcpexcluded-addressR3(config)#ipdhcpexcluded-addressR1(config)#ipdhcppoolR1_LANR1(dhcp-config)#networkR1(dhcp-config)#default-routerR1(dhcp-config)#dns-server54R3(config)#ipdhcppoolR3_LANR3(dhcp-config)#networkR3(dhcp-config)#default-routerR3(dhcp-config)#dns-server545.3.1DHCP本項目網(wǎng)絡中，路由器R1和R3是DHC1015.3.2靜態(tài)NAT靜態(tài)NAT使外網(wǎng)能訪問內(nèi)部服務器。在企業(yè)邊界路由器R2上配置靜態(tài)NAT以實現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)服務器需求。在R2上配置靜態(tài)NAT驗證測試（1）在OutsideHost上訪問內(nèi)部服務器InsideWebServer，應該是可以訪問的；（2）showipnattranslationsR2(config)#ipnatinsidesourcestatic5431//建立內(nèi)部本地地址與內(nèi)部全局地址之間的靜態(tài)轉(zhuǎn)換R2(config)#intf0/0R2(config-if)#ipnatinside//指定內(nèi)部接口R2(config-if)#ints0/1/0R2(config-if)#ipnatoutside//指定外部接口5.3.2靜態(tài)NATR2(config)#ipnat1025.3.3動態(tài)NAT配置動態(tài)NAT轉(zhuǎn)換過程如下：定義標準ACL，以明確哪些地址將被進行NAT轉(zhuǎn)換access-listaccess-list-number{permit|deny}定義地址池，確定轉(zhuǎn)換后的內(nèi)部全局地址ipnatpoolpool-namestart-ipend-ipnetmasknetmaskNAT主命令將ACL指定的內(nèi)部本地地址轉(zhuǎn)換為地址池中的內(nèi)部全局地址ipnatinsidesourcelistacl-numberpoolpool-name指定內(nèi)部接口和外部接口（同靜態(tài)NAT）5.3.3動態(tài)NAT配置動態(tài)NAT轉(zhuǎn)換過程如下：1035.3.3動態(tài)NATR2(config)#ipaccess-liststandardR2NATR2(config-std-nacl)#permit55R2(config-std-nacl)#permit55R2(config-std-nacl)#permit55R2(config-std-nacl)#exitR2(config)#ipnatpoolR2POOL2830netmask52R2(config)#ipnatinsidesourcelistR2NATpoolR2POOLR2(config)#intf0/0//內(nèi)部接口R2(config-if)ipnatinsideR2(config-if)#intSerial0/0/0//內(nèi)部接口R2(config-if)ipnatinsideR2(config-if)#intSerial0/0/1//內(nèi)部接口R2(config-if)ipnatinsideR2(config-if)#intSerial0/1/0//外部接口R2(config-if)ipnatoutsideR2(config-if)#end5.3.3動態(tài)NATR2(config)#ipacce1045.3.4NAT過載NAT過載是動態(tài)NAT的一種實現(xiàn)形式，它利用不同端口號將多個內(nèi)部IP地址轉(zhuǎn)換為一個外部IP地址。配置NAT過載的過程與動態(tài)NAT基本一樣，只是在NAT主命令中需要加一個參數(shù)overload。項目需求：配置NAT過載，以允許三臺以上內(nèi)部主機同時訪問InternetR2(config)#ipnatinsidesourcelistR2NATpoolR2POOL

overload其他配置命令同動態(tài)NAT部分5.3.4NAT過載NAT過載是動態(tài)NAT1055.4項目總結(jié)與文檔本項目介紹了網(wǎng)絡中的DHCP與NAT服務：DHCP動態(tài)主機配置協(xié)議是為客戶端