实训指导书华为Word文档下载推荐.docx
- 文档编号:8097220
- 上传时间:2023-05-10
- 格式:DOCX
- 页数:19
- 大小:362.06KB
实训指导书华为Word文档下载推荐.docx
《实训指导书华为Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《实训指导书华为Word文档下载推荐.docx(19页珍藏版)》请在冰点文库上搜索。
实验设备
Switch_57281台;
PC1台;
交叉线一根;
实验步骤:
一
l用ensp创建拓扑图
l了解交换机命令行
l进入系统模式(sys)
l进入交换机端口视图模式(intG0/0/1)
l返回到上级模式(quit)
l从系统模式返回到用户模式(quit)
l帮助信息(如?
、co?
、copy?
)
l命令简写(如qu)
l命令自动补全(Tab)
l快捷键(ctrl+c中断测试,ctrl+z退回到用户视图)
lreboot重启。
(在用户模式下)
l修改交换机名称(sysnameX)
ldiscur查看配置
相关配置:
Huawei>
sys*从用户模式进入系统模式*
[Huawei]intg0/0/1*从系统模式进入端口模式*
[Huawei-GigabitEthernet0/0/1]
sys*Entersystemview,returnuserviewwithCtrl+Z.*
[Huawei]sysna*Tab命令补全*
[Huawei]sysnameX*修改交换机名字*
[X]discu
X>
save保存交换机配置
第二部分 交换机的端口配置和Telnet登陆配置
实验目标
●掌握交换机基本信息的配置管理。
实验背景
●第一次在设备机房对交换机进行了初次配置后,你希望以后在办公室或出差时也可以对设备进行远程管理。
现要在交换机上做适当配置。
技术原理
●配置交换机的管理IP地址(计算机的IP地址与交换机管理IP地址在同一个网段):
●在2层交换机中,IP地址仅用于远程登录管理交换机,对于交换机的运行不是必需,但是若没有配置管理IP地址,则交换机只能采用控制端口console进行本地配置和管理。
●默认情况下,交换机的所有端口均属于VLAN1,VLAN1是交换机自动创建和管理的。
每个VLAN只有一个活动的管理地址,因此对2层交换机设置管理地址之前,首先应选择VLAN1接口,然后再利用IPaddress配置命令设置管理IP地址。
●为telnet用户配置用户名和登录口令:
●交换机、路由器中有很多密码,设置对这些密码可以有效的提高设备的安全性。
●[Huawei]user-interfacevty04表示配置远程登录线路,0~4是远程登录的线路编号。
[Huawei-ui-vty0-4]authentication-modeaaa
PingPingPingPingPing
2M
PingPingPing
PingPing
0.0.00.0.00.0.00.0.00.0.00.0.00.0.0PingPing
0.0.00.0.00.0.00.0.0PingPingPing
0.0.0displayiproute
PC0
ping(success)
PC1
Router2
[R2]acl2001
[R2-acl-basic-2001]descriptionbiaozhun
[R2-acl-basic-2001]rule1permitsource0.0.0.255
[R2-acl-basic-2001]rule2denysource0.0.0.255
[R2]intg0/0/0
[R2-GigabitEthernet0/0/0]traffic-filterinboundacl2001
[R2-GigabitEthernet0/0/0]traffic-filteroutboundacl2001PC0
ping(ReplayfromDestinationhostunreachable)
第二部分扩展IP访问控制列表配置
理解标准IP访问控制列表的原理及功能;
掌握编号的标准IP访问控制列表的配置方法;
你是公司的网络管理员,公司的经理部、财务部们和销售部门分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问。
PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机。
访问列表中定义的典型规则主要有以下:
源地址、目标地址、上层协议、时间区域;
扩展IP访问列表(编号100-199、2000、2699)使用以上四种组合来进行转发或阻断分组;
可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。
扩展IP访问列表的配置包括以下两部:
定义扩展IP访问列表
将扩展IP访问列表应用于特定接口上
实验步骤
新建eNSP拓扑图
(1)分公司出口路由器与外路由器之间通过电缆串口连接,DCE端连接在R2上,配置其时钟频率64000;
主机与路由器通过交叉线连接。
(2)配置PC机、服务器及路由器接口IP地址。
(3)在各路由器上配置静态路由协议,让PC间能相互ping通,因为只有在互通的前提下才涉及到访问控制列表。
(4)在R2上配置编号的IP扩展访问控制列表。
(5)将扩展IP访问列表应用到接口上、。
(6)验证主机之间的互通性。
Server-PT1台;
Router-PT3台;
交叉线;
DCE串口线
IP:
Submask:
Gateway:
IP:
Router1
<
sys
[Huawei]sysnameR1
[R1]intg0/0/0
[R1-GigabitEthernet0/0/0]ipadd24
[R1-GigabitEthernet0/0/0]intg0/0/1
[R1-GigabitEthernet0/0/1]ipadd24
[R2]sysnameR2
[R2]intg0/0/2
[R2-GigabitEthernet0/0/1]ipadd24
[R2-GigabitEthernet0/0/2]intg0/0/0
[R2-GigabitEthernet0/0/0]ipadd24
Router3
[Huawei]sysnameR3
[R3]intg0/0/0
[R3-GigabitEthernet0/0/0]ipadd24
[R3-GigabitEthernet0/0/0]intg0/0/1
[R3-GigabitEthernet0/0/1]ipadd24
[R1]iproute-static0.0.0.0[R3]iproute-static0.0.0.0[R2]iproute-static[R2]iproute-static[R2]displayiproute
pingWEB访问:
(可以访问)由于模拟器限制无法模拟
Router3
[R3]acl3001
[R3-acl-adv-3001]de
[R3-acl-adv-3001]descriptionkuozhan
[R3-acl-adv-3001]rule1denyicmpsource0.0.0.255destination.
0.0.0.255icmp-typeecho-reply
[R3-acl-adv-3001]intg0/0/1
[R3-GigabitEthernet0/0/1]traffic-filterinboundacl3001
[R3-GigabitEthernet0/0/1]traffic-filteroutacl3001
Pc1pingserpingpc1(ReplayfromDestinationhostunreachable)
WEB访问:
第三部分 网络地址转换NAT配置
理解NAT网络地址转换的原理及功能;
掌握静态NAT的配置,实现局域网访问互联网;
你是某公司的网络管理员,欲发布公司的WWW服务。
现要求将内网Web服务器IP地址映射为全局IP地址,实现外部网络可以访问公司内部Web服务器。
网络地址转换NAT(NetworkAddressTranslation),被广泛应用于各种类型Internet接入方式和各种类型的网络中。
原因很简单,NAT不仅完美地解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
默认情况下,内部IP地址是无法被路由到外网的,内部主机10.1.1.1要与外部Internet通信,IP包到达NAT路由器时,IP包头的源地址被替换成一个合法的外网IP,并在NAT转发表中保存这条记录。
当外部主机发送一个应答到内网时,NAT路由器受到后,查看当前NAT转换表,用替换掉这个外网地址。
NAT将网络划分为内部网络和外部网络两部分,局域网主机利用NAT访问网络时,是将局域网内部的本地地址转换为全局地址(互联网合法的IP地址)后转发数据包;
NAT分为两种类型:
NAT(网络地址转换)和NAPT(网络端口地址转换IP地址对应一个全局地址)。
静态NAT:
实现内部地址与外部地址一对一的映射。
现实中,一般都用于服务器;
动态NAT:
定义一个地址池,自动映射,也是一对一的。
现实中,用得比较少;
NAPT:
使用不同的端口来映射多个内网IP地址到一个指定的外网IP地址,多对一。
(1)R1为公司出口路由器,其与外部路由器之间通过电缆串口连接,DCE端连接在R1上,配置其时钟频率64000;
(2)配置PC机、服务器及路由器接口IP地址;
(3)在各路由器上配置静态路由协议,让PC间能相互Ping通;
(4)在R1上配置静态NAT。
(5)在R1上定义内外网络接口。
PC1台;
Switch_2950-241台;
Router-PT2台;
直连线;
Server-PT
[Huawei]sysnameR1
[R1-GigabitEthernet0/0/0]intg0/0/2
[R1-GigabitEthernet0/0/2]ipadd24
[Huawei]sysnameR2
[R2]
[R2-GigabitEthernet0/0/2]ipadd24
[R1]iproute-static[R2]iproute-static[R2]displayiproute
CMD
ping(success)
[R1]nataddress-group1
[R1]acl2000
[R1-acl-basic-2000]ru1permit
[R1]intg0/0/2
[R1-GigabitEthernet0/0/2]natoutbound2000
Ping(success)
Route1
R1>
displaynatsessionall
NATSessionTableInformation:
Protocol:
ICMP
(1)
SrcAddrVpn:
DestAddrVpn:
TypeCodeIcmpId:
0822808
NAT-Info
NewSrcAddr:
NewDestAddr:
----
NewIcmpId:
10274
0822807
10273
第四部分交换机端口安全
实验目的
掌握交换机的端口安全功能,控制用户的安全接入。
背景描述
你是一个公司的网络管理员,公司要求对网络进行严格控制。
为了防止公司内部用户的
IP
地址冲突,防止公司内部的网络攻击和破坏行为。
为每一位员工分配了固定的IP
地址,并
且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。
例如:
某员工分配的
IP
地址是1.1.1.1/24,主机MAC
地址是00-06-1B-DE-13-B4。
该主机连接在1
台S3560
上边。
实现功能
针对交换机的所有端口,配置最大连接数为1,针对PC1
主机的接口进行IP+MAC
地址绑
定。
实验设备
S3650
交换机(1
台),PC(1
台)、直连网线(1
条)
实验拓扑
实验步骤
[Huawei]
[Huawei]intvlan1
[Huawei-Vlanif1]ipadd1.1.1.124
Ping网关Ping(success)
配置交换机端口的最大连接数限制为2。
[Huawei-GigabitEthernet0/0/1]port-securitymax-mac-num2
重复更换mac地址两次后无法访问网关
换回原来的mac地址00-06-1B-DE-13-B4
[Huawei-GigabitEthernet0/0/1]port-securitymac-addresssticky
[Huawei-GigabitEthernet0/0/1]port-securitymac-addresssticky0006-1bde-13b4vlan1
更换mac地址发现唯有00-06-1B-DE-13-B4能访问网关
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 指导书 华为