第7部分三層設(shè)備實(shí)用配置第17章三層交換機(jī)簡(jiǎn)介第18章三層設(shè)備DHCP服務(wù)簡(jiǎn)介第19章訪問控制列表簡(jiǎn)介第20章網(wǎng)絡(luò)地址轉(zhuǎn)換NAT簡(jiǎn)介第21章虛擬路由器冗余協(xié)議VRRP簡(jiǎn)介第22章策略路由簡(jiǎn)介第7部分三層設(shè)備實(shí)用配置實(shí)訓(xùn)19三層交換VLAN互訪和路由配置實(shí)訓(xùn)20三層設(shè)備DHCP服務(wù)配置實(shí)訓(xùn)21路由器訪問控制列表配置實(shí)訓(xùn)22路由器NAT配置實(shí)訓(xùn)18OSPF虛連接配置實(shí)訓(xùn)23三層交換機(jī)VRRP配置實(shí)訓(xùn)24策略路由配置第17章三層交換機(jī)簡(jiǎn)介第17章

三層交換機(jī)簡(jiǎn)介1.三層交換機(jī)的概念三層交換機(jī)，本質(zhì)上就是“帶有路由功能的交換機(jī)”。路由屬于OSI/RM中第三層網(wǎng)絡(luò)層的功能，因此帶有第三層路由功能的交換機(jī)才被稱為“三層交換機(jī)”。簡(jiǎn)單地說，三層交換技術(shù)就是：二層交換技術(shù)＋三層路由技術(shù)。它解決了局域網(wǎng)中多個(gè)IP網(wǎng)絡(luò)必須依賴路由器進(jìn)行通信的局面，解決了傳統(tǒng)路由器低速所造成的網(wǎng)絡(luò)瓶頸問題。三層交換技術(shù)的概念如圖17-1所示。第17章三層交換機(jī)簡(jiǎn)介2.三層交換機(jī)的功能三層交換的功能主要體現(xiàn)在以下兩個(gè)方面。（1）連接網(wǎng)絡(luò)骨干和IP網(wǎng)絡(luò)，在網(wǎng)絡(luò)設(shè)計(jì)的接入層、匯聚層、核心層的三層結(jié)構(gòu)中，尤其是核心層一定是三層交換機(jī)，否則整個(gè)網(wǎng)絡(luò)成千上萬臺(tái)計(jì)算機(jī)都在一個(gè)IP網(wǎng)絡(luò)中，不僅毫無安全可言，也會(huì)因?yàn)闊o法分割廣播域而無法隔離廣播風(fēng)暴。（2）實(shí)現(xiàn)VLAN之間互通，為了避免在大型局域網(wǎng)絡(luò)進(jìn)行廣播所引起的廣播風(fēng)暴，可將其進(jìn)一步劃分為多個(gè)虛擬局域網(wǎng)VLAN。如果使用三層交換機(jī)連接不同的VLAN，就能在保持性能的前提下，經(jīng)濟(jì)地解決了VLAN之間進(jìn)行通信的問題。第17章三層交換機(jī)簡(jiǎn)介3.三層交換與路由器的區(qū)別（1）主要功能不同三層交換機(jī)仍是交換機(jī)產(chǎn)品，只不過它是具備了基本的路由功能的交換機(jī)，它的主要功能仍是數(shù)據(jù)交換，而路由器的主要功能是路由轉(zhuǎn)發(fā)。（2）主要適用的環(huán)境不一樣三層交換機(jī)主要用在局域網(wǎng)中，它的主要用途是提供快速數(shù)據(jù)交換功能，滿足局域網(wǎng)數(shù)據(jù)交換頻繁的應(yīng)用特點(diǎn)。而路由器主要用在廣域網(wǎng)中，它的設(shè)計(jì)初衷就是為了滿足不同類型的網(wǎng)絡(luò)連接。（3）性能體現(xiàn)不一樣從技術(shù)上講，路由器和三層交換機(jī)在IP數(shù)據(jù)包操作上存在著明顯區(qū)別。路由器一般由基于微處理器的軟件路由引擎執(zhí)行數(shù)據(jù)包交換，而三層交換機(jī)多數(shù)通過硬件執(zhí)行數(shù)據(jù)包交換。第17章三層交換機(jī)簡(jiǎn)介4.三層交換機(jī)的接口類型三層交換機(jī)上主要有兩種類型非常重要的接口，分別是路由接口和交換機(jī)VLAN虛接口。（1）路由接口三層交換機(jī)上的路由接口類似于路由器的純?nèi)龑咏涌?，不同的是路由器的接口支持子接口（如?dú)臂路由中用到的子接口），而三層交換機(jī)上的路由接口不支持子接口。如下所示，使用portlink-moderoute命令將二層端口轉(zhuǎn)換為三層接口。[L3SW]interfaceGigabitEthernet1/0/1[L3SW-GigabitEthernet1/0/1]portlink-mode?bridgeSwitchtolayer2ethernetrouteSwitchtolayer3ethernet\\可以配置三層交換機(jī)的接口為Route接口，默認(rèn)情況下為bridge端口。[L3SW-GigabitEthernet1/0/1]portlink-moderoute\\配置三層交換機(jī)的接口為Route接口，即三層接口。[L3SW-GigabitEthernet1/0/1]ipaddress24第17章三層交換機(jī)簡(jiǎn)介（2）VLAN虛接口三層交換機(jī)的VLAN虛接口是非常重要的接口類型。三層交換機(jī)VLAN虛接口實(shí)際上是一種與VLAN相關(guān)聯(lián)的虛擬VLAN接口，VLAN虛接口示意圖如圖17-2所示。在實(shí)際網(wǎng)絡(luò)中，每一個(gè)VLAN都是一個(gè)IP網(wǎng)絡(luò)，這樣通過VLAN虛接口三層交換機(jī)就可以通過路由功能實(shí)現(xiàn)VLAN之間的互通。VLAN虛接口示意圖項(xiàng)目17三層交換機(jī)簡(jiǎn)介三層交換機(jī)上VLAN虛接口的配置命令如下。[L3SW]vlan10[L3SW-vlan10]vlan20[L3SW-vlan20]quit[L3SW]interfacevlan10\\進(jìn)入VLAN10虛接口。[L3SW-Vlan-interface10]ipaddress24\\配置VLAN10虛接口IP地址。[L3SW-Vlan-interface10]quit[L3SW]interfacevlan20[L3SW-Vlan-interface20]ipaddress24第18章三層設(shè)備DHCP服務(wù)簡(jiǎn)介第18章三層設(shè)備DHCP服務(wù)簡(jiǎn)介DHCP是動(dòng)態(tài)主機(jī)配置協(xié)議（DynamicHostConfigurationProtocol）的縮寫。在TCP/IP網(wǎng)絡(luò)中設(shè)置計(jì)算機(jī)的IP地址，可以采用兩種方式：

一種就是手工設(shè)置，即由網(wǎng)絡(luò)管理員分配靜態(tài)的IP地址；另一種是由DHCP服務(wù)器自動(dòng)分配IP地址。DHCP基于C/S模式，DHCP客戶機(jī)啟動(dòng)后自動(dòng)尋找并與DHCP服務(wù)器通信，并從DHCP服務(wù)器那里獲得IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS服務(wù)器等TCP/IP參數(shù)，DHCP服務(wù)器可以是安裝DHCP服務(wù)軟件的計(jì)算機(jī)，也可以是網(wǎng)絡(luò)中的路由器設(shè)備、三層交換機(jī)設(shè)備。第18章三層設(shè)備DHCP服務(wù)簡(jiǎn)介關(guān)于DHCP的工作原理如圖所示，DHCP協(xié)議為應(yīng)用層協(xié)議，基于UDP協(xié)議，DHCP服務(wù)器端口為67，DHCP客戶機(jī)端口為68，DHCP廣播使用的目的IP地址為有限廣播55。項(xiàng)目18三層設(shè)備DHCP服務(wù)簡(jiǎn)介由于DHCP服務(wù)依賴于廣播信息，因此一般情況下，DHCP客戶機(jī)和DHCP服務(wù)器應(yīng)該位于同一個(gè)IP網(wǎng)絡(luò)之內(nèi)，如果DHCP客戶機(jī)和DHCP服務(wù)器處于不同的IP網(wǎng)絡(luò)，而三層設(shè)備可以隔離廣播域，因此處于不同網(wǎng)絡(luò)的DHCP客戶機(jī)和DHCP服務(wù)器將無法通信，如圖所示。默認(rèn)情況下路由器不轉(zhuǎn)發(fā)廣播項(xiàng)目18三層設(shè)備DHCP服務(wù)簡(jiǎn)介DHCP中繼的工作原理如圖所示，如圖中DHCP客戶機(jī)位于/24網(wǎng)段，該網(wǎng)絡(luò)連接在路由器的G0/1接口，而DHCP服務(wù)器卻在/24網(wǎng)絡(luò)，連接在路由器的G0/0接口，那么在路由器配置DHCP中繼以后，即從G0/1接口收到DHCP廣播后，根據(jù)路由器的配置情況，向指定的DHCP服務(wù)器進(jìn)行單播轉(zhuǎn)發(fā)，從而把DHCP廣播轉(zhuǎn)變?yōu)閱尾ズ蟀l(fā)送給DHCP服務(wù)器，實(shí)現(xiàn)DHCP服務(wù)跨路由工作。DHCP中繼原理第19章

訪問控制列表簡(jiǎn)介第19章訪問控制列表簡(jiǎn)介訪問控制列表ACL（AccesscontrolList）是應(yīng)用在路由器、三層交換機(jī)等三層設(shè)備接口的命令列表，這些命令列表用來告訴三層設(shè)備哪些IP數(shù)據(jù)包可以接收、哪些IP數(shù)據(jù)包需要拒絕。至于IP數(shù)據(jù)包是被接收還是被拒絕，可以由源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、協(xié)議等特定指示條件來決定。通過建立訪問控制列表，三層設(shè)備可以限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能，對(duì)通信流量起到控制的作用，實(shí)現(xiàn)對(duì)流入和流出三層設(shè)備接口的IP數(shù)據(jù)包進(jìn)行過濾，這也是對(duì)網(wǎng)絡(luò)訪問的基本安全手段，換句話說，三層設(shè)備的訪問控制列表配置可以實(shí)現(xiàn)包過濾防火墻的作用。第19章訪問控制列表簡(jiǎn)介在三層設(shè)備的許多配置任務(wù)中都需要使用訪問控制列表，如網(wǎng)絡(luò)地址轉(zhuǎn)換NAT、QoS策略、策略路由等很多場(chǎng)合都需要使用訪問控制列表。1.訪問控制列表的分類訪問控制列表可以分為三類，分別是基本訪問控制列表、高級(jí)訪問控制列表和二層訪問控制列表?；驹L問控制列表：也稱為標(biāo)準(zhǔn)訪問控制列表，編號(hào)為2000～2999。基本訪問控制列表是根據(jù)IP數(shù)據(jù)包的源地址來決定是否過濾數(shù)據(jù)包。高級(jí)訪問控制列表：也稱為擴(kuò)展訪問控制列表，編號(hào)為3000～3999。高級(jí)訪問控制列表根據(jù)IP數(shù)據(jù)包的源地址、目的地址、傳輸層源端口、傳輸層目的端口和協(xié)議類型等來決定是否過濾數(shù)據(jù)包，應(yīng)用比標(biāo)準(zhǔn)訪問控制列表更加靈活。二層訪問控制列表：編號(hào)為4000～4999。二層訪問控制列表是根據(jù)幀的源MAC地址、目的MAC地址等二層信息決定是否過濾幀。第19章訪問控制列表簡(jiǎn)介

2.訪問控制列表的配置步驟第一步：創(chuàng)建訪問控制列表。第二步：配置規(guī)則編號(hào)的步長(zhǎng)，如果不配置，默認(rèn)規(guī)則編號(hào)的步長(zhǎng)是5。第三步：配置訪問控制列表中的規(guī)則，定義允許或禁止IP數(shù)據(jù)包的描述語句。第四步：將訪問控制列表應(yīng)用到三層設(shè)備具體接口的inbound入方向或者outbound出方向。項(xiàng)目19訪問控制列表簡(jiǎn)介下面是一個(gè)訪問控制列表的步驟。[R1]aclbasic2000\\創(chuàng)建一個(gè)基本訪問控制列表，編號(hào)為2000。[R1-acl-ipv4-basic-2000]step3\\配置規(guī)則編號(hào)的步長(zhǎng)為3。[R1-acl-ipv4-basic-2000]rulepermitsource55\\配置規(guī)則，允許源IP地址為、通配符掩碼55的流量。[R1-acl-ipv4-basic-2000]ruledenysource55\\配置規(guī)則，禁止源IP地址為、通配符掩碼55的流量。[R1-acl-ipv4-basic-2000]displaythis#aclbasic2000step3rule0permitsource55rule3denysource55#return\\查看配置的基本訪問控制列表2000，第一條規(guī)則的編號(hào)為0，步長(zhǎng)為3，則第二條規(guī)則的編號(hào)為3，這有助于后期修改訪問控制列表的時(shí)候，在0和3編號(hào)之間插入規(guī)則。[R1-acl-ipv4-basic-2000]quit[R1]interfaceGigabitEthernet0/0[R1-GigabitEthernet0/0]packet-filter2000inbound\\在路由器R1接口的inbound入方向，那么進(jìn)入這個(gè)接口的數(shù)據(jù)流量，如果源IP地址是/24會(huì)被允許，如果源IP地址是/24會(huì)被拒絕。[R1-GigabitEthernet0/0]第20章網(wǎng)絡(luò)地址轉(zhuǎn)換NAT簡(jiǎn)介第20章網(wǎng)絡(luò)地址轉(zhuǎn)換NAT簡(jiǎn)介網(wǎng)絡(luò)地址轉(zhuǎn)換NAT（NetworkAddressTranslation）主要作用在于將內(nèi)網(wǎng)地址（內(nèi)部地址、私有地址）轉(zhuǎn)換為外網(wǎng)地址（外部地址、公網(wǎng)地址）。由于現(xiàn)行IP地址標(biāo)準(zhǔn)——IPv4的限制，Internet面臨著IP地址空間短缺的問題，從ISP申請(qǐng)并給企業(yè)的每位員工分配一個(gè)合法的公網(wǎng)IP地址是不現(xiàn)實(shí)的。NAT不僅較好地解決了IP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。NAT功能通常被集成到三層交換機(jī)、路由器、防火墻等設(shè)備中。內(nèi)網(wǎng)IP地址范圍為到55，到55，到55。內(nèi)網(wǎng)IP地址可以不經(jīng)過申請(qǐng)就在內(nèi)部網(wǎng)絡(luò)中使用。第20章網(wǎng)絡(luò)地址轉(zhuǎn)換NAT簡(jiǎn)介NAT的技術(shù)實(shí)現(xiàn)主要有三種方式。1.靜態(tài)方式靜態(tài)地址轉(zhuǎn)換是指外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的地址映射關(guān)系由配置確定，該方式適用于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間存在固定訪問需求的組網(wǎng)環(huán)境。靜態(tài)NAT方式的配置命令如下，通過這樣的配置就把內(nèi)網(wǎng)地址固定映射外網(wǎng)地址0，形成一對(duì)一的關(guān)系。[RA]natstaticoutbound0[RA]natstaticinbound0[RA]interfaceGigabitEthernet0/0[RA-GigabitEthernet0/1]natstaticenable項(xiàng)目20網(wǎng)絡(luò)地址轉(zhuǎn)換NAT簡(jiǎn)介2.動(dòng)態(tài)方式動(dòng)態(tài)地址轉(zhuǎn)換是指內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的地址映射關(guān)系在建立連接的時(shí)候動(dòng)態(tài)產(chǎn)生。該方式通常適用于內(nèi)部網(wǎng)絡(luò)有大量用戶需要訪問外部網(wǎng)絡(luò)的組網(wǎng)環(huán)境。動(dòng)態(tài)地址轉(zhuǎn)換存在兩種轉(zhuǎn)換模式：（1）NO-PAT模式NO-PAT（NotPortAddressTranslation），即無邏輯端口地址轉(zhuǎn)換，一個(gè)外網(wǎng)地址同一時(shí)間只能分配給一個(gè)內(nèi)網(wǎng)地址進(jìn)行地址轉(zhuǎn)換，不能同時(shí)被多個(gè)內(nèi)網(wǎng)地址共用。（2）PAT模式PAT（PortAddressTranslation），即邏輯端口地址轉(zhuǎn)換，一個(gè)外網(wǎng)IP地址可以同時(shí)分配給多個(gè)內(nèi)網(wǎng)地址共用。該模式下，NAT設(shè)備需要對(duì)IP地址和傳輸層端口同時(shí)進(jìn)行轉(zhuǎn)換。項(xiàng)目20網(wǎng)絡(luò)地址轉(zhuǎn)換NAT簡(jiǎn)介例如圖20-2所示，內(nèi)網(wǎng)主機(jī)和同時(shí)訪問Internet服務(wù)器。通過以上的介紹可以了解，PAT模式通過增加邏輯端口的轉(zhuǎn)化，可以實(shí)現(xiàn)多個(gè)內(nèi)網(wǎng)IP地址共享一個(gè)外網(wǎng)IP地址。項(xiàng)目20網(wǎng)絡(luò)地址轉(zhuǎn)換NAT簡(jiǎn)介（3）內(nèi)部服務(wù)器在實(shí)際應(yīng)用中，內(nèi)網(wǎng)中的服務(wù)器可能需要對(duì)外部網(wǎng)絡(luò)提供一些服務(wù)，例如給外部網(wǎng)絡(luò)提供WEB服務(wù)、FTP服務(wù)等。這種情況下，NAT設(shè)備允許外網(wǎng)用戶通過指定的NAT地址和端口訪問這些內(nèi)部服務(wù)器，NAT內(nèi)部服務(wù)器的配置就定義了外網(wǎng)地址：邏輯端口與內(nèi)網(wǎng)服務(wù)器地址：邏輯端口的映射關(guān)系。項(xiàng)目20網(wǎng)絡(luò)地址轉(zhuǎn)換NAT簡(jiǎn)介總體而言，NAT地址轉(zhuǎn)換能力具備以下優(yōu)點(diǎn)：內(nèi)部網(wǎng)絡(luò)需要與外部網(wǎng)絡(luò)通信或訪問外部資源，可以通過將大量的內(nèi)網(wǎng)地址轉(zhuǎn)換成少量的外網(wǎng)地址來實(shí)現(xiàn)，這在一定程度上緩解了IPv4地址空間日益枯竭的壓力。地址轉(zhuǎn)換可以利用邏輯端口信息，將內(nèi)網(wǎng)地址和邏輯端口映射成外網(wǎng)地址和邏輯端口，使得多個(gè)內(nèi)網(wǎng)用戶可共用一個(gè)外網(wǎng)地址與外部網(wǎng)絡(luò)通信，節(jié)省了外網(wǎng)地址。通過靜態(tài)映射，不同的內(nèi)部服務(wù)器可以映射到同一個(gè)外網(wǎng)地址。外部用戶可通過外網(wǎng)地址和端口訪問不同的內(nèi)部服務(wù)器，同時(shí)還隱藏了內(nèi)部服務(wù)器的真實(shí)IP地址，從而防止外部對(duì)內(nèi)部服務(wù)器乃至內(nèi)部網(wǎng)絡(luò)的攻擊。第21章

虛擬路由器冗余協(xié)議VRRP簡(jiǎn)介第21章虛擬路由器冗余協(xié)議VRRP簡(jiǎn)介通常，同一網(wǎng)絡(luò)內(nèi)的所有主機(jī)上都存在一個(gè)相同的默認(rèn)網(wǎng)關(guān)。主機(jī)發(fā)往其它網(wǎng)絡(luò)的IP數(shù)據(jù)包將通過默認(rèn)網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)主機(jī)與外部網(wǎng)絡(luò)的通信。當(dāng)默認(rèn)網(wǎng)關(guān)發(fā)生故障時(shí)，本網(wǎng)絡(luò)內(nèi)所有主機(jī)將無法與外部網(wǎng)絡(luò)通信。由IEEE提出的VRRP是一種冗余協(xié)議，其目的是利用備份機(jī)制來提高路由器或三層交換機(jī)與外界連接的可靠性。VRRP運(yùn)行于局域網(wǎng)的多臺(tái)三層設(shè)備上，VRRP示意圖如圖所示。VRRP將這兩臺(tái)路由器組織成一臺(tái)虛擬路由器。一個(gè)活動(dòng)路由器（被稱為Master）和一個(gè)或多個(gè)備份路由器（被稱為Backup）。Master將實(shí)際承擔(dān)這個(gè)虛擬路由器的工作任務(wù)，而備份路由器則作為活動(dòng)路由器的備份。項(xiàng)目21虛擬路由器冗余協(xié)議VRRP簡(jiǎn)介如圖中R1路由器具有一個(gè)網(wǎng)關(guān)地址，R2路由器具有一個(gè)網(wǎng)關(guān)地址，兩者共同組成的一臺(tái)虛擬路由器，在運(yùn)行的時(shí)候，這個(gè)虛擬路由器擁有自己的虛擬IP地54。由于VRRP只在路由器或三層交換機(jī)上運(yùn)行，所以對(duì)于該網(wǎng)絡(luò)上的各主機(jī)來說，這個(gè)虛擬路由器是透明的，它們僅僅知道這個(gè)虛擬路由器的虛擬IP地址，而并不知道Master以及Backup的實(shí)際IP地址，因此它們將把自己的缺省網(wǎng)關(guān)地址設(shè)置為該虛擬路由器的虛擬IP地址。VRRP虛擬路由器第22章策略路由簡(jiǎn)介第22章策略路由簡(jiǎn)介企業(yè)接入Internet，通常會(huì)采用雙線路接入的方式，如圖所示，企業(yè)使用線路1通過ISP1接入Internet，使用線路2通過ISP2接入Internet，這樣雙出口的Internet接入設(shè)計(jì)方案，可以保證企業(yè)與Internet連接的冗余性。但是在Internet的接入設(shè)備路由器上不得不面臨的一個(gè)問題是，在線路1、線路2均通暢的情況下，如何將數(shù)據(jù)流量分配到線路1和線路2上，否則就會(huì)造成某條線路的帶寬浪費(fèi)。通過策略路由PBR（PolicyBasedRouting）的方式進(jìn)行，在線路1、線路2均通暢的情況下，使得企業(yè)內(nèi)10.0/24的流量流向線路1，通過ISP1接入Internet，而20.2/24的流量流向線路2，通過ISP2接入Internet。項(xiàng)目22策略路由簡(jiǎn)介策略路由是一種依據(jù)用戶制定的策略進(jìn)行路由轉(zhuǎn)發(fā)的機(jī)制。策略路由可以對(duì)于滿足一定條件（ACL規(guī)則、報(bào)文長(zhǎng)度等）的IP數(shù)據(jù)包，執(zhí)行指定的操作（設(shè)置下一跳、出接口、缺省下一跳和缺省出接口等）。IP數(shù)據(jù)包到達(dá)后，系統(tǒng)首先根據(jù)策略路由轉(zhuǎn)發(fā)，若沒有配置策略路由，或者配置了策略路由但找不到匹配的節(jié)點(diǎn)，或者雖然找到了匹配的節(jié)點(diǎn)但指導(dǎo)IP數(shù)據(jù)包轉(zhuǎn)發(fā)失敗時(shí)，再根據(jù)路由表來轉(zhuǎn)發(fā)報(bào)文。即策略路由的優(yōu)先級(jí)高于路由表。項(xiàng)目22策略路由簡(jiǎn)介策略路由的配置流程如下：1.配置策略（1）創(chuàng)建策略節(jié)點(diǎn)?？梢詣?chuàng)建多個(gè)節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)由節(jié)點(diǎn)編號(hào)來標(biāo)識(shí)。節(jié)點(diǎn)編號(hào)越小節(jié)點(diǎn)的優(yōu)先級(jí)越高，優(yōu)先級(jí)高的節(jié)點(diǎn)優(yōu)先被執(zhí)行。（2）配置策略節(jié)點(diǎn)的匹配規(guī)則和配置策略節(jié)點(diǎn)的動(dòng)作。每個(gè)節(jié)點(diǎn)的具體內(nèi)容由if-match子句和apply子句來指定。if-match子句定義該節(jié)點(diǎn)的匹配規(guī)則，apply子句定義該節(jié)點(diǎn)的動(dòng)作。2.應(yīng)用策略在接口應(yīng)用策略。實(shí)訓(xùn)19三層交換VLAN互訪和路由配置實(shí)訓(xùn)19三層交換VLAN互訪和路由配置實(shí)訓(xùn)任務(wù)：通過本次實(shí)訓(xùn)任務(wù)，掌握三層交換機(jī)的常用配置，如VLAN虛接口配置、三層路由接口配置，掌握三層交換機(jī)的路由協(xié)議配置，實(shí)現(xiàn)三層交換VLAN的互訪，實(shí)現(xiàn)三層交換路由信息的交換，并進(jìn)行結(jié)果驗(yàn)證。HCLHub云平臺(tái)實(shí)訓(xùn)項(xiàng)目網(wǎng)址/project/14095/summary/master實(shí)訓(xùn)拓?fù)洌簩?shí)訓(xùn)19三層交換VLAN互訪和路由配置實(shí)訓(xùn)說明：在HCL模擬器中S5820V2-54QS實(shí)際上是三層交換機(jī)，在實(shí)訓(xùn)內(nèi)容中部分場(chǎng)景當(dāng)作三層交換機(jī)使用，部分場(chǎng)景作為二層交換機(jī)使用，采用L2SW表示二層交換機(jī)，采用L3SW表示三層交換機(jī)。在HCL模擬器中，添加兩臺(tái)三層交換機(jī)L3SW-1和L3SW-2，添加兩臺(tái)二層交換機(jī)L2SW-1和L2SW-2，添加4臺(tái)VPC，分別是VPC10、VPC20、VPC30、VPC40。實(shí)訓(xùn)19三層交換VLAN互訪和路由配置實(shí)訓(xùn)步驟：1.完成兩臺(tái)三層交換機(jī)L3SW-1和L3SW-2的二層VLAN相關(guān)配置。（1）三層交換機(jī)L3SW-1上的二層VLAN配置、Trunk配置。[L3SW-1]vlan10[L3SW-1-vlan10]vlan20[L3SW-1-vlan20]quit[L3SW-1]interfaceGigabitEthernet1/0/1[L3SW-1-GigabitEthernet1/0/1]portlink-typetrunk[L3SW-1-GigabitEthernet1/0/1]porttrunkpermitvlan1020實(shí)訓(xùn)19三層交換VLAN互訪和路由配置實(shí)訓(xùn)步驟：1.完成兩臺(tái)三層交換機(jī)L3SW-1和L3SW-2的二層VLAN相關(guān)配置。（2）三層交換機(jī)L3SW-2上的二層VLAN配置、Trunk配置。[L3SW-2]vlan30[L3SW-2-vlan30]vlan40[L3SW-2-vlan40]quit[L3SW-2]interfaceGigabitEthernet1/0/1[L3SW-2-GigabitEthernet1/0/1]portlink-typetrunk[L3SW-2-GigabitEthernet1/0/1]porttrunkpermitvlan3040實(shí)訓(xùn)19三層交換VLAN互訪和路由配置實(shí)訓(xùn)步驟：2.完成兩臺(tái)三層交換機(jī)L3SW-1和L3SW-2的三層相關(guān)接口配置。（1）三層交換機(jī)L3SW-1上的三層VLAN虛接口IP地址配置、三層路由接口配置。[L3SW-1]interfacevlan10[L3SW-1-Vlan-interface10]ipaddress24[L3SW-1-Vlan-interface10]quit[L3SW-1]interfacevlan20[L3SW-1-Vlan-interface20]ipaddress24[L3SW-1-Vlan-interface20]quit[L3SW-1]interfaceTen-GigabitEthernet1/0/49[L3SW-1-Ten-GigabitEthernet1/0/49]portlink-moderoute[L3SW-1-Ten-GigabitEthernet1/0/49]ipaddress24實(shí)訓(xùn)19三層交換VLAN互訪和路由配置實(shí)訓(xùn)步驟：完成以上配置以后，檢查L(zhǎng)3SW-1的路由表，結(jié)果如下?？梢钥吹絍LAN10的/24網(wǎng)絡(luò)連接在VLAN10虛接口上，VLAN20的/24網(wǎng)絡(luò)連接在VLAN20虛接口上。[L3SW-1]displayiprouting-tableprotocoldirect……Destination/MaskProtoPreCostNextHopInterface/24Direct00XGE1/0/49/24Direct00Vlan10/24Direct00Vlan20實(shí)訓(xùn)19三層交換VLAN互訪和路由配置實(shí)訓(xùn)步驟：（2）三層交換機(jī)L3SW-2上的三層VLAN虛接口IP地址配置、三層路由接口配置。[L3SW-2]interfacevlan30[L3SW-2-Vlan-interface30]ipaddress24[L3SW-2-Vlan-interface30]quit[L3SW-2]interfacevlan40[L3SW-2-Vlan-interface40]ipaddress24[L3SW-2-Vlan-interface40]quit[L3SW-2]interfaceTen-GigabitEthernet1/0/49[L3SW-2-Ten-GigabitEthernet1/0/49]portlink-moderoute[L3SW-2-Ten-GigabitEthernet1/0/49]ipaddress24實(shí)訓(xùn)19三層交換VLAN互訪和路由配置實(shí)訓(xùn)步驟：完成以上配置以后，檢查L(zhǎng)3SW-2的路由表，結(jié)果如下。<L3SW-2>displayiprouting-table……Destination/MaskProtoPreCostNextHopInterface/24Direct00XGE1/0/49/24Direct00Vlan30/24Direct00Vlan40……實(shí)訓(xùn)19三層交換VLAN互訪和路由配置實(shí)訓(xùn)步驟：3.完成兩臺(tái)二層交換機(jī)L2SW-1和L2SW-2的二層VLAN相關(guān)配置（1）二層交換機(jī)L2SW-1上的二層VLAN配置、Trunk配置。[L2SW-1]vlan10[L2SW-1-vlan10]vlan20[L2SW-1-vlan20]quit[L2SW-1]interfaceGigabitEthernet1/0/1[L2SW-1-GigabitEthernet1/0/1]portlink-typetrunk[L2SW-1-GigabitEthernet1/0/1]porttrunkpermitvlan1020[L2SW-1-GigabitEthernet1/0/1]quit[L2SW-1]interfaceGigabitEthernet1/0/10[L2SW-1-GigabitEthernet1/0/10]portaccessvlan10[L2SW-1-GigabitEthernet1/0/10]quit[L2SW-1]interfaceGigabitEthernet1/0/20[L2SW-1-GigabitEthernet1/0/20]portaccessvlan20實(shí)訓(xùn)19三層交換VLAN互訪和路由配置實(shí)訓(xùn)步驟：3.完成兩臺(tái)二層交換機(jī)L2SW-1和L2SW-2的二層VLAN相關(guān)配置（2）二層交換機(jī)L2SW-2上的二層VLAN配置、Trunk配置。[L2SW-2]vlan30[L2SW-2-vlan30]vlan40[L2SW-2-vlan40]quit[L2SW-2]interfaceGigabitEthernet1/0/1[L2SW-2-GigabitEthernet1/0/1]portlink-typetrunk[L2SW-2-GigabitEthernet1/0/1]porttrunkpermitvlan3040[L2SW-2-GigabitEthernet1/0/1]quit[L2SW-2]interfaceGigabitEthernet1/0/30[L2SW-2-GigabitEthernet1/0/30]portaccessvlan30[L2SW-2-GigabitEthernet1/0/30]quit[L2SW-2]interfaceGigabitEthernet1/0/40[L2SW-2-GigabitEthernet1/0/40]portaccessvlan40實(shí)訓(xùn)19三層交換VLAN互訪和路由配置實(shí)訓(xùn)步驟：完成以上配置以后，進(jìn)行VPC之間ping通測(cè)試。VPC10（）與VPC20（）之間可以相互ping通，VPC30（）與VPC40（）之間可以相互ping通。但由于兩臺(tái)三層交換機(jī)之間到達(dá)對(duì)方IP網(wǎng)絡(luò)的路由，因此VPC10與VPC30、VPC40之間無法ping通，VPC20與VPC30、VPC40之間無法ping通。實(shí)訓(xùn)19三層交換VLAN互訪和路由配置實(shí)訓(xùn)步驟：4.完成兩臺(tái)三層交換機(jī)上的動(dòng)態(tài)路由配置，本實(shí)訓(xùn)內(nèi)容采用了RIP協(xié)議，也可以配置靜態(tài)路由，也可以配置OSPF協(xié)議。（1）三層交換機(jī)L3SW-1上的RIP協(xié)議配置。[L3SW-1]rip1[L3SW-1-rip-1]version2[L3SW-1-rip-1]undosummary[L3SW-1-rip-1]network55[L3SW-1-rip-1]network55[L3SW-1-rip-1]network55實(shí)訓(xùn)19三層交換VLAN互訪和路由配置實(shí)訓(xùn)步驟：（2）三層交換機(jī)L3SW-2上的RIP協(xié)議配置。[L3SW-2]rip1[L3SW-2-rip-1]version2[L3SW-2-rip-1]undosummary[L3SW-2-rip-1]network55[L3SW-2-rip-1]network55[L3SW-2-rip-1]network55實(shí)訓(xùn)19三層交換VLAN互訪和路由配置實(shí)訓(xùn)步驟：完成以上配置以后，在兩臺(tái)三層交換機(jī)上都有對(duì)端的IP網(wǎng)絡(luò)路由信息，以下為L(zhǎng)3SW-1的路由表。完成以上配置以后，進(jìn)行VPC之間ping通測(cè)試。VPC10（）、VPC20（）、VPC30（）、VPC40（）之間都可以相互ping通。<L3SW-1>displayiprouting-table……Destination/MaskProtoPreCostNextHopInterface/24Direct00XGE1/0/49/24Direct00Vlan10/24Direct00Vlan20/24RIP1001XGE1/0/49/24RIP1001XGE1/0/49實(shí)訓(xùn)20三層設(shè)備DHCP服務(wù)配置實(shí)訓(xùn)20三層設(shè)備DHCP服務(wù)配置實(shí)訓(xùn)任務(wù)：通過本次實(shí)訓(xùn)任務(wù)，掌握三層設(shè)備的DHCP服務(wù)配置和DHCP中繼配置，并進(jìn)行結(jié)果驗(yàn)證。在HCL模擬器中，添加一臺(tái)三層交換機(jī)L3SW，添加一臺(tái)路由器R1，添加一臺(tái)二層交換機(jī)L2SW，添加2臺(tái)VPC，分別是VPC10、VPC20。HCLHub云平臺(tái)實(shí)訓(xùn)項(xiàng)目網(wǎng)址/project/14097/summary/master實(shí)訓(xùn)拓?fù)洌簩?shí)訓(xùn)20三層設(shè)備DHCP服務(wù)配置設(shè)置VPC10和VPC20為自動(dòng)獲取IP地址，設(shè)置方法是啟動(dòng)VPC10和VPC20以后，選中VPC，鼠標(biāo)右鍵配置，接口管理啟用、IPv4配置選擇DHCP，如實(shí)訓(xùn)圖20-2所示。實(shí)訓(xùn)20三層設(shè)備DHCP服務(wù)配置實(shí)訓(xùn)步驟：1.在二層交換機(jī)L2SW上完成VLAN配置和Trunk配置。[L2SW]vlan10[L2SW-vlan10]vlan20[L2SW-vlan20]quit[L2SW]interfaceGigabitEthernet1/0/10[L2SW-GigabitEthernet1/0/10]portaccessvlan10[L2SW-GigabitEthernet1/0/10]quit[L2SW]interfaceGigabitEthernet1/0/20[L2SW-GigabitEthernet1/0/20]portaccessvlan20[L2SW-GigabitEthernet1/0/20]quit[L2SW]interfaceGigabitEthernet1/0/1[L2SW-GigabitEthernet1/0/1]portlink-typetrunk[L2SW-GigabitEthernet1/0/1]porttrunkpermitvlan1020實(shí)訓(xùn)20三層設(shè)備DHCP服務(wù)配置實(shí)訓(xùn)步驟：2.在三層交換機(jī)L3SW上完成VLAN配置、Trunk配置、VLAN虛接口配置。[L3SW]vlan10[L3SW-vlan10]vlan20[L3SW-vlan20]quit[L3SW]interfaceGigabitEthernet1/0/2[L3SW-GigabitEthernet1/0/2]portlink-typetrunk[L3SW-GigabitEthernet1/0/2]porttrunkpermitvlan1020[L3SW-GigabitEthernet1/0/2]quit[L3SW]interfacevlan10[L3SW-Vlan-interface10]ipaddress24[L3SW-Vlan-interface10]quit[L3SW]interfacevlan20[L3SW-Vlan-interface20]ipaddress24實(shí)訓(xùn)20三層設(shè)備DHCP服務(wù)配置實(shí)訓(xùn)步驟：3.在三層交換機(jī)L3SW上完成DHCP服務(wù)配置，為VLAN10（/24網(wǎng)絡(luò)）自動(dòng)分配IP地址。[L3SW]dhcpserverip-poolvlan10pool\\創(chuàng)建DHCP地址池，名稱為vlan10pool。[L3SW-dhcp-pool-vlan10pool]network24\\地址池網(wǎng)絡(luò)為/24。[L3SW-dhcp-pool-vlan10pool]gateway-list\\地址池中網(wǎng)關(guān)為。[L3SW-dhcp-pool-vlan10pool]dns-list\\地址池中dns服務(wù)器為。[L3SW-dhcp-pool-vlan10pool]quit[L3SW]dhcpserverforbidden-ip0\\配置排除IP地址范圍為到0。實(shí)訓(xùn)20三層設(shè)備DHCP服務(wù)配置實(shí)訓(xùn)步驟：[L3SW]interfacevlan10[L3SW-Vlan-interface10]dhcpselectserver\\配置VLAN10虛接口為DHCP服務(wù)模式。[L3SW-Vlan-interface10]dhcpserverapplyip-poolvlan10pool\\配置VLAN10虛接口提供DHCP服務(wù)時(shí)使用vlan10pool地址池。[L3SW-Vlan-interface10]quit[L3SW]dhcpenable\\啟動(dòng)DHCP服務(wù)。實(shí)訓(xùn)20三層設(shè)備DHCP服務(wù)配置結(jié)果驗(yàn)證：完成以上配置以后，在VPC10上可以ping通L3SW（），同時(shí)在L3SW上使用命令displaydhcpserverip-in-use可以看到IP地址分配情況。如果VPC10沒有獲取，選VPC10鼠標(biāo)右鍵-配置，點(diǎn)擊刷新。VPC10獲取IP地址的情況如圖20-3所示。[L3SW]displaydhcpserverip-in-useIPaddressClientidentifier/LeaseexpirationTypeHardwareaddress10061-3665-662e-3336Mar3016:31:222021Auto(C)實(shí)訓(xùn)20三層設(shè)備DHCP服務(wù)配置實(shí)訓(xùn)步驟：4.配置三層交換機(jī)L3SW的G1/0/1接口為三層路由接口，并配置IP地址。配置R1的G0/0接口IP地址，保證L3SW與R1的互通。（1）三層交換機(jī)L3SW的接口配置如下。[L3SW]interfaceGigabitEthernet1/0/1[L3SW-GigabitEthernet1/0/1]portlink-moderoute[L3SW-GigabitEthernet1/0/1]ipaddress24[R1]interfaceGigabitEthernet0/0[R1-GigabitEthernet0/0]ipaddress24（2）R1的接口配置如下。實(shí)訓(xùn)20三層設(shè)備DHCP服務(wù)配置實(shí)訓(xùn)步驟：5.在R1上配置DHCP服務(wù)，為/24網(wǎng)絡(luò)分配IP地址，同時(shí)在R1上配置缺省路由。[R1]dhcpserverip-poolvlan20pool\\創(chuàng)建DHCP地址池，名稱為vlan20pool。[R1-dhcp-pool-vlan20pool]network24\\地址池網(wǎng)絡(luò)為/24。[R1-dhcp-pool-vlan20pool]gateway-list\\地址池中網(wǎng)關(guān)為。[R1-dhcp-pool-vlan20pool]dns-list\\地址池中dns服務(wù)器為。[R1-dhcp-pool-vlan20pool]quit[R1]dhcpserverforbidden-ip0\\配置排除IP地址范圍為到0。實(shí)訓(xùn)20三層設(shè)備DHCP服務(wù)配置實(shí)訓(xùn)步驟：[R1]interfaceGigabitEthernet0/0[R1-GigabitEthernet0/0]dhcpselectserver\\配置G0/0接口為DHCP服務(wù)模式。[R1-GigabitEthernet0/0]dhcpserverapplyip-poolvlan20pool\\配置G0/0接口提供DHCP服務(wù)時(shí)使用vlan20pool地址池。[R1-GigabitEthernet0/0]quit[R1]dhcpenable\\啟動(dòng)DHCP服務(wù)。[R1]iproute-static實(shí)訓(xùn)20三層設(shè)備DHCP服務(wù)配置實(shí)訓(xùn)步驟：6.在三層交換機(jī)L3SW上配置DHCP中繼服務(wù)，配置缺省路由。[L3SW]interfacevlan20[L3SW-Vlan-interface20]dhcpselectrelay\\配置VLAN20虛接口為DHCP中繼模式。[L3SW-Vlan-interface20]dhcprelayserver-address\\配置DHCP中繼的服務(wù)器IP地址為。[L3SW-Vlan-interface20]quit[L3SW]iproute-static實(shí)訓(xùn)20三層設(shè)備DHCP服務(wù)配置實(shí)訓(xùn)步驟：完成以上配置以后，在VPC20上可以ping通L3SW（）。如果VPC20沒有獲取，選中VPC20鼠標(biāo)右鍵-配置，點(diǎn)擊刷新，嘗試獲取IP地址。VPC20獲取IP地址的情況如圖20-3所示。同時(shí)在R1上查看IP地址的分配情況。[R1]displaydhcpserverip-in-useIPaddressClientidentifier/LeaseexpirationTypeHardwareaddress10061-3665-662e-3338Mar3017:11:352021Auto(C)實(shí)訓(xùn)21路由器訪問控制列表配置實(shí)訓(xùn)21路由器訪問控制列表配置實(shí)訓(xùn)任務(wù)：通過本次實(shí)訓(xùn)任務(wù)，掌握基本訪問控制列表、高級(jí)訪問控制列表的配置方法和配置指令，并進(jìn)行結(jié)果驗(yàn)證。在HCL模擬器中，添加兩臺(tái)路由器R1和R2，添加兩臺(tái)OracleVirtualBox中的Host主機(jī)Host1和Host2。HCLHub云平臺(tái)實(shí)訓(xùn)項(xiàng)目網(wǎng)址/project/14098/summary/master實(shí)訓(xùn)拓?fù)洌簩?shí)訓(xùn)21路由器訪問控制列表配置實(shí)訓(xùn)說明：配置包含兩個(gè)內(nèi)容，分別是基本訪問控制列表和高級(jí)訪問控制列表。第一個(gè)內(nèi)容，在R1上配置基本訪問控制列表，允許/24網(wǎng)絡(luò)訪問R3。禁止/24網(wǎng)絡(luò)訪問R3。第二個(gè)內(nèi)容，在R1上配置高級(jí)訪問控制列表，允許/24網(wǎng)絡(luò)訪問R3的FTP服務(wù)、禁止訪問R3的Telnet服務(wù)、允許ICMP協(xié)議訪問R3，允許/24網(wǎng)絡(luò)訪問R3的Telnet服務(wù)、禁止訪問R3的FTP服務(wù)、禁止ICMP協(xié)議訪問R3。實(shí)訓(xùn)21路由器訪問控制列表配置實(shí)訓(xùn)步驟：完成各臺(tái)設(shè)備接口的IP地址配置。保證各臺(tái)設(shè)備之間的互通。在R2上配置靜態(tài)路由，保證路由暢通，配置FTP用戶、Telnet用戶，并啟動(dòng)R2的FTP服務(wù)和Telnet服務(wù)。配置命令如下。[R2]iproute-static[R2]local-usergzeicclassmanage[R2-luser-manage-gzeic]service-typeftp[R2-luser-manage-gzeic]service-typetelnet[R2-luser-manage-gzeic]passwordsimplehelloh3c\\配置ftp用戶、Telnet用戶名gzeic的密碼為helloh3c。[R2-luser-manage-gzeic]authorization-attributeuser-rolenetwork-admin[R2-luser-manage-gzeic]quit[R2]user-interfacevty04[R2-line-vty0-4]authentication-modescheme[R2-line-vty0-4]quit[R2]telnetserverenable[R2]ftpserverenable實(shí)訓(xùn)21路由器訪問控制列表配置實(shí)訓(xùn)步驟：

3.在R1上基本訪問控制列表。配置命令如下。[R1]aclbasic2000\\創(chuàng)建基本訪問控制列表2000。[R1-acl-ipv4-basic-2000]rulepermitsource55\\允許源IP地址為，通配符掩碼為55。[R1-acl-ipv4-basic-2000]ruledenysource55\\拒絕源IP地址為，通配符掩碼為55。[R1-acl-ipv4-basic-2000]quit[R1]interfaceGigabitEthernet0/0[R1-GigabitEthernet0/0]packet-filter2000outbound\\在R1的G0/0接口出的方向上，應(yīng)用訪問控制列表2000，則對(duì)從該接口發(fā)出的流量進(jìn)行過濾。實(shí)訓(xùn)21路由器訪問控制列表配置實(shí)訓(xùn)步驟：完成以上配置內(nèi)容以后，進(jìn)行結(jié)果驗(yàn)證。結(jié)果如實(shí)訓(xùn)圖所示。Host1（）可以ping通R2（）Host2（）無法ping通R2（）。實(shí)訓(xùn)21路由器訪問控制列表配置實(shí)訓(xùn)步驟：4.在R1的G0/0接口上取消基本訪問控制列表，同時(shí)配置高級(jí)訪問控制列表，配置命令如下。（1部分）[R1]interfaceGigabitEthernet0/0[R1-GigabitEthernet0/0]undopacket-filter2000outbound\\在R1的G0/0接口上，取消訪問控制列表2000。[R1-GigabitEthernet0/0]quit[R1]acladvanced3000\\創(chuàng)建高級(jí)訪問控制列表3000。[R1-acl-ipv4-adv-3000]rulepermittcpsource55destinationdestination-porteq21\\配置規(guī)則允許TCP的流量，該流量的特征為源IP為通配符掩碼為55、目的IP地址為通配符掩碼為、目的端口為21端口，21為FTP的服務(wù)端口。實(shí)訓(xùn)21路由器訪問控制列表配置實(shí)訓(xùn)步驟：4.在R1的G0/0接口上取消基本訪問控制列表，同時(shí)配置高級(jí)訪問控制列表，配置命令如下。（2部分）[R1-acl-ipv4-adv-3000]ruledenytcpsource55destinationdestination-porteq23\\配置規(guī)則拒絕TCP的流量，該流量的特征為源IP為通配符掩碼為55、目的IP地址為通配符掩碼為、目的端口為23端口，23為Telnet的服務(wù)端口。[R1-acl-ipv4-adv-3000]rulepermiticmpsource55\\配置規(guī)則允許協(xié)議為ICMP、源地址為通配符掩碼為55的流量。[R1-acl-ipv4-adv-3000]rulepermittcpsource55destinationdestination-porteq23\\配置規(guī)則允許TCP的流量，該流量的特征為源IP為通配符掩碼為55、目的IP地址為通配符掩碼為、目的端口為23端口。實(shí)訓(xùn)21路由器訪問控制列表配置實(shí)訓(xùn)步驟：4.在R1的G0/0接口上取消基本訪問控制列表，同時(shí)配置高級(jí)訪問控制列表，配置命令如下。（3部分）[R1-acl-ipv4-adv-3000]ruledenytcpsource55destinationdestination-porteq21\\配置規(guī)則拒絕TCP的流量，該流量的特征為源IP為通配符掩碼為55、目的IP地址為通配符掩碼為、目的端口為21端口。[R1-acl-ipv4-adv-3000]ruledenyicmpsource55\\配置規(guī)矩拒絕協(xié)議為ICMP、源地址為通配符掩碼為55的流量。[R1-acl-ipv4-adv-3000]quit[R1]interfaceGigabitEthernet0/0[R1-GigabitEthernet0/0]packet-filter3000outbound\\在R1的G0/0接口出方向上應(yīng)用訪問控制列表3000。實(shí)訓(xùn)21路由器訪問控制列表配置實(shí)訓(xùn)步驟：完成以上配置內(nèi)容以后，進(jìn)行結(jié)果驗(yàn)證。Host1上的結(jié)果如下實(shí)訓(xùn)圖所示。Host1（）可以FTP訪問，不能telent，可以ping通。Host2（）不能FTP訪問，可以telent，不能ping通。實(shí)訓(xùn)22路由器NAT配置實(shí)訓(xùn)22路由器NAT配置實(shí)訓(xùn)任務(wù)：通過本次實(shí)訓(xùn)任務(wù)，掌握NAT的NO-PAT模式、PAT模式、EASYNAT、內(nèi)部服務(wù)器NAT的配置方法和配置指令，并進(jìn)行結(jié)果驗(yàn)證。HCLHub云平臺(tái)實(shí)訓(xùn)項(xiàng)目網(wǎng)址/project/14102/summary/master實(shí)訓(xùn)拓?fù)洌簩?shí)訓(xùn)22路由器NAT配置實(shí)訓(xùn)說明：在HCL模擬器中，添加一臺(tái)交換機(jī)SW，添加五臺(tái)路由器，分別是取名為InServer、Client、NAT、R1、OutServer。InServer路由器，模擬內(nèi)網(wǎng)FTP服務(wù)器。Client路由器，模擬內(nèi)網(wǎng)訪問外網(wǎng)FTP服務(wù)器的客戶機(jī)。NAT路由器實(shí)現(xiàn)內(nèi)網(wǎng)、外網(wǎng)地址的NAT轉(zhuǎn)換功能。R1路由器，模擬Internet上外部網(wǎng)絡(luò)連接路由器。OutServer路由器，模擬外網(wǎng)FTP服務(wù)器，同時(shí)也模擬訪問內(nèi)網(wǎng)FTP服務(wù)器的客戶機(jī)。實(shí)訓(xùn)22路由器NAT配置實(shí)訓(xùn)步驟：1.InServer路由器，模擬內(nèi)網(wǎng)FTP服務(wù)器，完成InServer的接口配置、缺省路由配置、FTP用戶配置（用戶名inserver密碼helloinserver）、FTP服務(wù)配置。[inserver]interfaceGigabitEthernet0/0[inserver-GigabitEthernet0/0]ipaddress24[inserver-GigabitEthernet0/0]quit[inserver]iproute-static[inserver]local-userinserverclassmanage[inserver-luser-manage-inserver]service-typeftp[inserver-luser-manage-inserver]passwordsimplehelloinserver[inserver-luser-manage-inserver]authorization-attributeuser-rolenetwork-admin[inserver-luser-manage-inserver]quit[inserver]ftpserverenable實(shí)訓(xùn)22路由器NAT配置實(shí)訓(xùn)步驟：2.Client路由器，模擬內(nèi)網(wǎng)訪問外網(wǎng)FTP服務(wù)器的客戶機(jī)。完成Client的接口配置、缺省路由配置。[client]interfaceGigabitEthernet0/0[client-GigabitEthernet0/0]ipaddress24[client-GigabitEthernet0/0]quit[client]iproute-static[NAT]interfaceGigabitEthernet0/1[NAT-GigabitEthernet0/1]ipaddress24[NAT-GigabitEthernet0/1]quit[NAT]interfaceGigabitEthernet0/0[NAT-GigabitEthernet0/0]ipaddress24[NAT-GigabitEthernet0/0]quit[NAT]iproute-static3.完成網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備的NAT接口配置、缺省路由配置。實(shí)訓(xùn)22路由器NAT配置實(shí)訓(xùn)步驟：4.完成外部網(wǎng)絡(luò)的R1接口配置。[R1]interfaceGigabitEthernet0/0[R1-GigabitEthernet0/0]ipaddress24[R1-GigabitEthernet0/0]quit[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]ipaddress24實(shí)訓(xùn)22路由器NAT配置實(shí)訓(xùn)步驟：5.OutServer路由器，模擬外網(wǎng)FTP服務(wù)器，同時(shí)也模擬訪問內(nèi)網(wǎng)FTP服務(wù)器的客戶機(jī)。完成OutServer接口的配置、缺省路由配置、FTP用戶配置（用戶名outserver密碼hellooutserver）、FTP服務(wù)配置。[outserver]interfaceGigabitEthernet0/0[outserver-GigabitEthernet0/0]ipaddress24[outserver-GigabitEthernet0/0]quit[outserver]iproute-static[outserver]local-useroutserverclassmanage[outserver-luser-manage-outserver]passwordsimplehellooutserver[outserver-luser-manage-outserver]service-typeftp[outserver-luser-manage-outserver]authorization-attributeuser-rolenetwork-admin[outserver-luser-manage-outserver]quit[outserver]ftpserverenable實(shí)訓(xùn)22路由器NAT配置實(shí)訓(xùn)步驟：6.在NAT設(shè)備上配置NO-PAT模式后，進(jìn)行結(jié)果驗(yàn)證。[NAT]nataddress-group1\\創(chuàng)建一個(gè)NAT地址池，地址池編號(hào)1。[NAT-address-group-1]address00\\地址池的范圍為0到0。[NAT-address-group-1]quit[NAT]aclbasic2000\\創(chuàng)建訪問控制列表2000[NAT-acl-ipv4-basic-2000]rulepermitsource55\\規(guī)則為允許源IP地址為通配符掩碼為55。[NAT-acl-ipv4-basic-2000]exit[NAT]interfaceGigabitEthernet0/0[NAT-GigabitEthernet0/0]natoutbound2000address-group1no-pat\\在NAT設(shè)備的G0/0出口方向上，對(duì)符合訪問控制列表2000的流量，轉(zhuǎn)化為地址池1中的地址，為no-pat模式。實(shí)訓(xùn)22路由器NAT配置結(jié)果驗(yàn)證：在內(nèi)部網(wǎng)絡(luò)client客戶機(jī)上使用ftp命令訪問外網(wǎng)FTP服務(wù)器，用戶名outserver密碼hellooutserver，成功登陸結(jié)果如下。在NAT設(shè)備商查看nat會(huì)話摘要，結(jié)果如下。<client>ftp……Connectedto().220FTPserviceready.User(:(none)):outserver331Passwordrequiredforoutserver.Password:230Userloggedin.……[NAT]displaynatsessionbriefSlot0:ProtocolSourceIP/portDestinationIP/portGlobalIP/portTCP/39234/210/39234Totalsessionsfound:1實(shí)訓(xùn)22路由器NAT配置結(jié)果驗(yàn)證：7.在NAT設(shè)備上配置PAT模式后，進(jìn)行結(jié)果驗(yàn)證。[NAT]interfaceGigabitEthernet0/0[NAT-GigabitEthernet0/0]undonatoutbound2000[NAT-GigabitEthernet0/0]natoutbound2000address-group1\\\\在NAT設(shè)備的G0/0出口方向上，對(duì)符合訪問控制列表2000的流量，轉(zhuǎn)化為地址池1中的地址，為pat模式。在內(nèi)部網(wǎng)絡(luò)client客戶機(jī)上使用ftp命令訪問外網(wǎng)FTP服務(wù)器，用戶名outserver密碼hellooutserver。然后在NAT設(shè)備商查看nat會(huì)話摘要，結(jié)果如下。<NAT>displaynatsessionbriefSlot0:ProtocolSourceIP/portDestinationIP/portGlobalIP/portTCP/39235/210/1025Totalsessionsfound:1實(shí)訓(xùn)22路由器NAT配置結(jié)果驗(yàn)證：8.在NAT設(shè)備上配置easynat模式后，進(jìn)行結(jié)果驗(yàn)證，所謂easynat就是將內(nèi)網(wǎng)地址轉(zhuǎn)換為NAT設(shè)備外網(wǎng)接口IP地址的PAT模式。[NAT]interfaceGigabitEthernet0/0[NAT-GigabitEthernet0/0]undonatoutbound2000[NAT-GigabitEthernet0/0]natoutbound2000在內(nèi)部網(wǎng)絡(luò)client客戶機(jī)上使用ftp命令訪問外網(wǎng)FTP服務(wù)器，用戶名outserver密碼hellooutserver。然后在NAT設(shè)備商查看nat會(huì)話摘要，結(jié)果如下。<NAT>displaynatsessionbriefSlot0:ProtocolSourceIP/portDestinationIP/portGlobalIP/portTCP/39236/21/1025Totalsessionsfound:1實(shí)訓(xùn)22路由器NAT配置結(jié)果驗(yàn)證：9.在NAT設(shè)備上配置內(nèi)部服務(wù)器NAT，進(jìn)行結(jié)果驗(yàn)證。為NAT設(shè)備外網(wǎng)接口IP地址的PAT模式。[NAT]interfaceGigabitEthernet0/0[NAT-GigabitEthernet0/0]natserverprotocoltcpglobal021inside21\\配置nat服務(wù)器，協(xié)議為tcp，外網(wǎng)地址0的21端口映射到內(nèi)部的的21端口。然后在OutServer上訪問0的IP地址，實(shí)現(xiàn)訪問內(nèi)部服務(wù)器，用戶名inserver密碼helloinserver。<outserver>ftp0……Connectedto0(0).220FTPserviceready.User(0:(none)):inserver331Passwordrequiredforinserver.Password:230Userloggedin.實(shí)訓(xùn)22路由器NAT配置結(jié)果驗(yàn)證：然后在NAT設(shè)備商查看nat會(huì)話摘要，結(jié)果如下。[NAT]displaynatsessionbriefSlot0:Protocol SourceIP/port DestinationIP/port GlobalIP/portTCP /21 /6848 0/21Totalsessionsfound:1[NAT]實(shí)訓(xùn)23三層交換機(jī)VRRP配置實(shí)訓(xùn)23三層交換機(jī)VRRP配置實(shí)訓(xùn)任務(wù)：通過本次實(shí)訓(xùn)任務(wù)，掌握三層交換機(jī)VRRP的配置方法和配置命令，并進(jìn)行結(jié)果驗(yàn)證。HCLHub云平臺(tái)實(shí)訓(xùn)項(xiàng)目網(wǎng)址/project/14109/summary/master實(shí)訓(xùn)拓?fù)洌簩?shí)訓(xùn)23三層交換機(jī)VRRP配置實(shí)訓(xùn)說明：在HCL模擬器中，添加兩臺(tái)三層交換機(jī)，分別是L3SW-1和L3SW-2，添加一臺(tái)二層交換機(jī)L2SW，添加兩臺(tái)VPC，分別是VPC10、VPC20。在拓?fù)鋱D中有兩個(gè)VLAN，VLAN10的IP網(wǎng)絡(luò)為/24，VLAN20的IP網(wǎng)絡(luò)為/24，在VRRP配置中，L3SW-1作為VLAN10的Master網(wǎng)關(guān)、VLAN20的backup網(wǎng)關(guān)，L3SW-2作為VLAN20的Master網(wǎng)關(guān)、VLAN10的backup網(wǎng)關(guān)。實(shí)訓(xùn)23三層交換機(jī)VRRP配置實(shí)訓(xùn)步驟：1.在L2SW上完成VLAN配置、Trunk配置。[L2SW]vlan10[L2SW-vlan10]vlan20[L2SW-vlan20]quit[L2SW]interfaceGigabitEthernet1/0/10[L2SW-GigabitEthernet1/0/10]portaccessvlan10[L2SW-GigabitEthernet1/0/10]quit[L2SW]interfaceGigabitEthernet1/0/20[L2SW-GigabitEthernet1/0/20]portaccessvlan20[L2SW-GigabitEthernet1/0/20]quit[L2SW]interfacerangeGigabitEthernet1/0/1toGigabitEthernet1/0/2[L2SW-if-range]portlink-typetrunk[L2SW-if-range]porttrunkpermitvlan1020實(shí)訓(xùn)23三層交換機(jī)VRRP配置實(shí)訓(xùn)步驟：2.在L3SW-1上完成VLAN配置、Trunk配置，以及VLAN虛接口配置和VRRP配置。（1部分）[L3SW-1]vlan10[L3SW-1-vlan10]vlan20[L3SW-1-vlan20]quit[L3SW-1]interfaceGigabitEthernet1/0/1[L3SW-1-GigabitEthernet1/0/1]portlink-typetrunk[L3SW-1-GigabitEthernet1/0/1]porttrunkpermitvlan1020[L3SW-1-GigabitEthernet1/0/1]quit[L3SW-1]interfacevlan10[L3SW-1-Vlan-interface10]ipaddress24\\配置VLAN10虛接口IP地址為/24。實(shí)訓(xùn)23三層交換機(jī)VRRP配置實(shí)訓(xùn)步驟：2.在L3SW-1上完成VLAN配置、Trunk配置，以及VLAN虛接口配置和VRRP配置。（2部分）[L3SW-1-Vlan-interface10]vrrpvrid1virtual-ip54\\創(chuàng)建VRRP虛擬路由器組1，設(shè)置該虛擬路由器組1的虛擬IP地址為54。[L3SW-1-Vlan-interface10]vrrpvrid1priority200\\配置本設(shè)備在虛擬路由器組1中的優(yōu)先級(jí)為200，默認(rèn)優(yōu)先級(jí)為100。[L3SW-1-Vlan-interface10]vrrpvrid1preempt-mode\\配置本設(shè)備在虛擬路由器組1中為搶占模式，即如果本設(shè)備故障恢復(fù)以后，重新?lián)尰豈aster角色。[L3SW-1-Vlan-interface10]quit[L3SW-1]interfacevlan20[L3SW-1-Vlan-interface20]ipad