網絡設備配置與綜合實戰（簡體書）

本書作為計算機網絡應用中“網絡設備配置”課程的配套教材，十分注重學生實際動手能力方面的培養。本書層次分明，內容圖文並茂，實用性較強，既有適度的基礎理論知識介紹，又有比較詳細的組網實驗操作技術講解。全書根據網絡工程師的崗位能力要求和學生的認知規律精心組織教材內容，並圍繞一個完整項目展開知識和技能的講解。交換機和路由器是計算機網絡中的核心設備，對於希望今後從事網絡系統集成、網絡管理與維護等工作的學生，掌握交換機和路由器的基本應用技術十分重要。

本書是計算機網絡專業教學資源庫建設項目的重要成果之一，也是資源庫課程開發成果資源整合應用實踐的重要載體。本書編寫人員均有多年的項目工程設計、實施和教學經驗。本書在設計上滿足四個有利的原則：有利於豐富學生的經歷，有利於開拓學生的視野，有利於發展學生的個性，有利於學生的自主選擇，本書不但反映了學習的過程，還體現了教育的價值。

本書由多年負責企業大資料中心運維工程師及擔任計算機網絡基礎的任課教師共同編寫，由川北幼兒師範高等專科學校張帥老師、四川信息職業技術學院賈如春老師擔任本書的主編並負責整本書的規劃及統稿，由歐洋、張琦、江穎、胡燕一起擔任本書的副主編。本書在編寫過程中參考了大量書籍和文獻，並得到了H3C通信技術有限公司的協助，在此一併表示感謝。

本書適合作為高校計算機相關專業，特別是網絡工程、網絡運維專業有關課程的教學用書，也可作為從事或即將從事網絡運維工作的專業技術人員的技術培訓用書或工作的參考用書。

由於編寫時間倉促，又因為計算機硬體技術發展迅猛，所以書中有不足和疏漏之處在所難免，敬請廣大讀者批評指正，以便再版時修訂，在此表示衷心的感謝。

編者

2018年4月

目錄

項目1VLAN概述1

1.1認識VLAN1

1.2VLAN的優點與局限性1

1.3VLAN的配置命令1

實驗配置VLAN2

項目2IP位址規劃4

2.1IP地址簡介4

2.2IP地址的分類4

2.3規劃IP地址的用途4

2.4IP位址的配置命令4

實驗IP地址的規劃5

項目3局域網部署7

3.1trunk簡介7

3.1.1什麼情況下使用trunk7

3.1.2trunk的配置命令7

實驗1使用trunk7

3.2生成樹協議10

3.2.1STP的操作原理10

3.2.2STP的埠狀態10

3.2.3RSTP簡介11

3.2.4MSTP原理11

3.2.5STP的配置命令11

實驗2配置MSTP11

3.3VRRP簡介13

3.3.1VRRP的工作原理13

3.3.2VRRP的狀態13網絡設備配置與綜合實戰目錄3.3.3VRRP監視功能14

3.3.4VRRP的配置命令14

實驗3配置VRRP14

3.4IRF簡介18

3.4.1IRF的工作原理18

3.4.2IRF的訪問18

3.4.3MAD的配置19

3.4.4IRF的配置命令19

實驗4配置IRF20

3.5GVRP簡介22

3.5.1GVRP的註冊模式22

3.5.2GVRP的配置命令22

實驗5配置GVRP Normal註冊模式22

實驗6配置GVRP Fixed註冊模式23

實驗7配置GVRP Forbidden註冊模式24

項目4廣域網絡接入26

4.1PPP簡介26

4.1.1PPP認證方式26

4.1.2PPP的配置命令26

實驗1配置PPP27

4.2HDLC簡介29

4.2.1HDLC的基本概念29

4.2.2HDLC與PPP的區別29

4.2.3HDLC的配置命令30

實驗2配置HDLC30

項目5路由規劃及應用33

5.1靜態路由33

5.1.1靜態路由的特點33

5.1.2默認路由33

5.1.3靜態路由的配置命令33

實驗1配置靜態路由34

5.2ISIS簡介36

5.2.1ISIS區域36

5.2.2ISIS的配置命令37

實驗2配置ISIS37

5.3BGP簡介39

5.3.1BGP的路由屬性39

5.3.2BGP的配置命令40

實驗3配置IPv4 BGP40

5.4RIP簡介42

5.4.1RIP兩個版本的比較42

5.4.2RIP的配置命令42

實驗4配置RIP43

實驗5配置RIP並引入外部路由45

5.5OSPF簡介47

5.5.1OSPF的區域47

5.5.2OSPF路由器類型48

5.5.3OSPF的配置命令48

實驗6配置簡單的OSPF48

實驗7配置OSPF的虛連接52

項目6三層網絡技術55

6.1網絡位址轉譯簡介55

6.1.1網絡位址轉譯的類型55

6.1.2什麼情況下使用NAT55

6.1.3NAT的配置命令55

實驗1配置靜態NAT56

6.2IPv6簡介57

6.2.1IPv6協定的特點57

6.2.2IPv6地址58

6.2.3IPv6的配置命令59

實驗2配置IPv660

實驗3配置IPv6快速轉發64

6.3路由策略66

6.3.1路由策略的應用66

6.3.2篩檢程式66

6.3.3路由策略的配置命令68

實驗4配置IPv4路由引入路由策略68

實驗5IPv6路由引入路由策略配置71

6.4策略路由簡介73

6.4.1ifmatch與apply子句73

6.4.2策略路由的種類73

實驗6配置基於報文協定類型的本地策略路由74

項目7ACL與QoS部署76

7.1ACL簡介76

7.1.1ACL的分類76

7.1.2ACL的配置命令76

實驗1配置基本ACL76

實驗2配置高級ACL79

7.2QoS簡介80

7.2.1QoS服務模型簡介81

7.2.2QoS的配置方式81

7.2.3優先順序映射介紹81

7.2.4QoS的配置命令82

實驗3配置QoS部署82

項目8IPSec配置88

8.1IPSec簡介88

8.1.1IPSec的安全服務88

8.1.2IPSec的認證和加密88

8.1.3IPSec的優點89

8.2IKE簡介89

8.2.1IKE的安全機制89

8.2.2IKE的優點90

8.2.3IPSec的配置命令90

實驗1採用手動方式建立保護IPv4報文的IPSec隧道91

實驗2採用IKE方式建立保護IPv4報文的IPSec隧道95

項目9網絡管理101

9.1SSH簡介101

9.1.1SSH的認證方式101

9.1.2SSH的層次101

9.1.3SSH的配置命令102

實驗1路由器開啟SSH服務器端功能102

9.2Telnet簡介108

9.2.1Telnet的用途108

9.2.2安全隱患109

9.2.3Telnet的交互過程109

9.2.4Telnet的配置命令109

實驗2交換機開啟Telnet功能110

實驗3為路由器配置Telnet111

9.3SNMP簡介112

9.3.1SNMP的優勢113

9.3.2SNMP的基本操作113

9.3.3SNMP版本介紹113

實驗4路由器開啟SNMP114

項目10綜合訓練116

10.1綜合基礎訓練116

10.2綜合提高訓練120

附錄1項目10中綜合基礎訓練部分的配置信息128

附錄2項目10中綜合提高訓練部分的配置信息144

參考資料169

項目3局域網部署

3.1trunk 簡 介

trunk中文名稱為“骨幹”“中繼線”“長途線”。簡單地說，埠如果配置為trunk模式，則允許多個VLAN的資料通過該埠，它為兩端設備進行轉接，作為信令和終端設備資料的傳輸鏈路。

3.1.1什麼情況下使用trunk

當網絡中劃分了多個VLAN後，為了保證接在不同交換機上的同一VLAN中的網絡設備能接收和發送多個VLAN報文，所以交換機之間互聯用的埠必須設置為trunk，否則相互之間將無法進行通信。

3.1.2trunk的配置命令

表31所示是配置trunk時所需用到的一些命令。表31trunk的配置命令

操 作 命 令操 作 說 明systemview進入系統接口int number進入埠配置接口port linktype trunk設置為trunk模式port trunk permit vlan number設置允許通過的VLANundo port trunk permit vlan number關掉已允許通過的VLAN實驗1使 用 trunk

實驗目的： 掌握交換機埠trunk的配置，使多個VLAN相互通信。

實驗設備： H3C S5820三臺。

交換機trunk埠配置拓撲圖如圖31所示。網絡設備配置與綜合實戰項目3局域網部署圖31交換機埠trunk配置拓撲圖

實驗步驟如下： \[S1\]vlan 10

\[S1-vlan10\]vlan 20

\[S1-vlan20\]vlan 30

\[S1-vlan30\]vlan 40

\[S1-vlan40\]vlan 50

\[S1-vlan50\]quit

\[S1\]interface GigabitEthernet 1/0/1//進入埠 1

\[S1-GigabitEthernet1/0/1\]port link-type trunk //將埠設置為trunk模式

\[S1-GigabitEthernet1/0/1\]port trunk permit vlan 10 20 30 40 50

//允許VLAN 10~VLAN 50 的整十資料通過

\[S1-GigabitEthernet1/0/1\]undo port trunk permit vlan 1

//關閉VLAN 1，讓不必要的VLAN資料不通過

\[S1\]interface GigabitEthernet 1/0/2

\[S1-GigabitEthernet1/0/1\]port link-type trunk

\[S1-GigabitEthernet1/0/1\]port trunk permit vlan 10 20 30 40 50

\[S1-GigabitEthernet1/0/1\]undo port trunk permit vlan 1

\[S2\]vlan 10

\[S2-vlan10\]vlan 20

\[S2-vlan20\]vlan 30

\[S2-vlan30\]vlan 40

\[S2-vlan40\]vlan 50

\[S2-vlan50\]quit

\[S2\]interfaceGigabitEthernet1/0/1

\[S2-GigabitEthernet1/0/1\]portlink-typetrunk

\[S2GigabitEthernet1/0/1\]port trunk permt vlan10 20 30 40 50

\[S2-GigabitEthernet1/0/1\]undo port trunk permit vlan 1

\[S2\]interface GigabitEthernet 1/0/2

\[S2-GigabitEthernet1/0/1\]port link-type trunk

\[S2-GigabitEthernet1/0/1\]port trunk permit vlan 10 20 30 40 50

\[S2-GigabitEthernet1/0/1\]undo port trunk permit vlan 1

\[S3\]vlan 10

\[S3-vlan10\]vlan 20

\[S3-vlan20\]vlan 30

\[S3-vlan30\]vlan 40

\[S3-vlan40\]vlan 50

\[S3-vlan50\]quit

\[S3\]interfaceGigabitEthernet1/0/1

\[S3-GigabitEthernet1/0/1\]port link-type trunk

\[S3-GigabitEthernet1/0/1\]port trunk permit vlan 10 20 30 40 50

\[S3-GigabitEthernet1/0/1\]undo port trunk permit vlan 1

\[S3\]interface GigabitEthernet 1/0/2

\[S3-GigabitEthernet1/0/1\]port link-type trunk

\[S3-GigabitEthernet1/0/1\]port trunk permit vlan 10 20 30 40 50

\[S3-GigabitEthernet1/0/1\]undo port trunk permit vlan 1 實驗結果如下：\[S1\]display current-configuration

interface GigabitEthernet1/0/1 port

link-mode bridge

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 10 20 30 40 50

combo enable copper

#interface GigabitEthernet1/0/2 port link-mode bridge

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 10 20 30 40 50

combo enable copper

#

\[S2\]display current-configuration

interface GigabitEthernet1/0/1 port

link-mode bridge

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 10 20 30 40 50

combo enable copper

#interface GigabitEthernet1/0/2 port link-mode bridge

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 10 20 30 40 50

combo enable copper

#

\[S3\]display current-configuration

interface GigabitEthernet1/0/1 port

link-mode bridge

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 10 20 30 40 50

combo enable copper

#interface GigabitEthernet1/0/2 port link-mode bridge

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 10 20 30 40 50

combo enable copper

#

3.2生成樹協議

生成樹協議(STP,Spanning Tree Protocol)主要是為了防止二層網絡（交換機或橋接器）產生網絡環路，避免因環路的存在而造成廣播風暴問題。

3.2.1STP的操作原理

1） 選擇根橋接器

選擇根橋接器的依據是橋接器ID,由優先順序和MAC位址組成。先看優先順序，優先順序相同時再看MAC位址，值越小越優先選擇。

2） 選擇根埠

每一個非根橋接器將從其接口選出一個到根橋接器管理成本（administrative cost）最低的接口作為根埠，選擇的依據： ①自身到達根橋接器的根路徑是成本最低的接口； ②直連橋接器ID最小； ③埠ID最小。

3） 選擇指定埠

當一個網段中有多個橋接器時，這些橋接器會將它們到根橋接器的管理成本都通告出去，其中具有最低管理成本的橋接器將作為指定（designated）橋接器。指定橋接器中發送最低管理成本的BPDU的接口是該網段中的指定埠。在每段鏈路上，選擇一個指定埠，選擇的依據如下。

(1) 發送最低根路徑成本的BPDU的接口；

(2) 所在橋接器ID最小；

(3) 埠ID最小。

3.2.2STP的埠狀態

STP的埠狀態有以下幾種。

（1） 學習： 交換機埠監聽BPDU，並學習此交換式網絡中的所有路徑，但不轉發資料包。

（2） 監聽： 該埠正在等待接收BPDU資料包，BPDU可能告知該埠重新回到阻塞狀態。

（3） 阻塞： 被阻塞的埠不能對資料幀進行轉發，只監聽BPDU幀。

（4） 轉發： 它會轉發幀，也會發送和接收BPDU幀。

（5） 禁用：該第二層埠不參與生成樹，不會轉發幀。禁用狀態下的埠是不工作的。

3.2.3RSTP簡介

RSTP由IEEE制定的802.1w標準定義，它在STP基礎上進行了改進，實現了網絡拓撲的快速收斂。其“快速”體現在： 當一個埠被選為根埠和指定埠後，其進入轉發狀態的延時在某種條件下大大縮短，從而縮短了網絡最終達到拓撲穩定所需要的時間。

3.2.4MSTP原理

MSTP將整個二層網絡劃分為多個MST域，各個域之間通過計算生成CST；域內則通過計算生成多棵生成樹，每棵生成樹都被稱為是一個多生成樹實例。其中，實例0被稱為IST，其他多生成樹實例為MSTI。MSTP同STP一樣，使用配置消息進行生成樹的計算，只是配置消息中攜帶的是設備上MSTP的配置信息。

3.2.5STP的配置命令

表32所示是配置STP時所需用到的一些命令。表32STP的配置命令

操 作 命 令操 作 說 明systemview進入系統接口stp regionconfiguration進入MSTP配置接口regionname name為MSTP配置功能變數名稱instance id vlan number配置VLAN映射表revisionlevel配置MSTP的修訂級別active regionconfiguration啟動MSTP域stp instanceid root primary設置實例為主根stp instanceid root secondary設置實例為從根實驗2配 置 MSTP

實驗目的： 掌握MSTP的配置，學會如何防止二層網絡產生網絡環路。

實驗器材： H3C S5820三臺。

實驗要求： regionname為H3C。

實例1對應VLAN 10、VLAN 20，實例2對應VLAN 30、VLAN 40。