H3C网络设备实训指导手册.docx

序 言 实训课是计算机网络专业学习的重要实践环节。通过实训，使学生加深理解、验证、巩固课堂教学的内容，掌握对网络的工作原理以及配置应用，从而获得对网络更全面，更深层次的理解。用正确的理论指导实践活动，强化学生的知识实践意识、提高其实际动手能力，发挥学生的想象力和创新能力。 本实训手册在教师的指导和学生的亲手操作下，让学生对华为路由器、交换机的基础知识和应用有一个基础、全面的掌握。先通过模拟软件的操作，增加学生对每个实验的感性认识，初步理解其配置过程，然后在此基础之上，让学生在真实的路由器和交换机上加以实习，使之学会对主流路由和交换设备的配置及网络搭建与维护。 本实训指导手册是由从事相关专业的老师们，结合本专业学生的实际学习情况和特点，充分利用本系华为设备搭建的实验环境，编写了本手册34个基本、典型、实用的试验，所有的试验都是由老师精选出来，并亲手配置、测试通过。它是对课堂教学的补充，让学生在上机实训时，目的明确，思路清楚，具有很高的参考价值。同时也为日后获取IT的高端认证，从事网络相关行业，打下了坚实的基础。 二〇〇六年七月二十五日 目 录 实验一：CONSOLE口登录 4 实验二：TELNET登录交换机 11 实验三：FTP登录交换机 18 实验四：交换机的基本命令使用 21 实验五：静态路由 24 实验六：RIP协议 26 实验七：NAT基础应用 30 实验八：NAT对外提供WWW和FTP服务 38 实验九：路由引入 42 试验十：利用路由器提供DHCP服务 49 实验十一：组播技术 53 实验十二：IP策略路由 68 实验十三：QOS技术 74 实验十四：QOS之端口优先级设置 83 实验十五：VLAN技术 87 实验十六：VLAN之间的路由 89 实验十七：交换机端口基本配置 95 实验十八：端口镜像 105 实验十九：端口汇聚 109 实验二十：端口限速 112 实验二十一：端口隔离 115 实验二十二：最大地址数 120 实验二十三：PPP协议中的CHAP和PAP验证 125 实验二十四：MP协议 138 实验二十五：HYBRID端口 147 实验二十六：GVRP协议 154 实验二十七：基本的ACL包过滤 161 实验二十八：高级的ACL包过滤 165 实验二十九：多条列表的匹配规则 174 实验三十： 基于二层ACL的包过滤（在三层交换机上） 177 实验三十一： 基本的ACL包过滤（在三层交换机上） 181 实验三十二： VPN技术 186 实验三十三：防火墙技术 191 实验三十四 ：使用RADIUS 协议来实现AAA 198 实验一：Console口登录 一、 理论基础 在对路由器、 交换机进行管理的方法中，最常见的就是通过Console口进行本地配置和管理。Console端口是设备的基本端口，在设备初始或者没有进行其它方式的配置管理准备时，都使用Console口进行本地配置管理。通过Console口进行配置管理的实验组网连接最为简单。连接console端口的线缆称为控制台电缆（console cable），也称为反序电缆（rollover cable），即左右插头端的线序完全相反。 二、 实验案例 Console登录的配置 1、 配置说明： 启动Windows 2000下的“开始”→“程序”→“附件”→“通讯”下的“超级终端”，便可以打开以Console口登录的对话框。 在对话窗口的“名称”一栏中，输入“sunke”(或者其他文字用于标志该连接)，并在“图标”一栏内选择一个图标，然后单击“确定”按钮。 此时，出现了一个新的对话窗口，如图所示。 在“连接时使用”一栏的下拉列表中选择“COM1”，然后单击“确定”按钮。 此时出现“COM1属性”对话窗口，在其中把“每秒位数”一栏的数值改为“9600”，把“数据流控制”一栏的设置更改为“无”，然后单击“确定”按钮。 2、 具体配置： 增加登录时的简单口令认证：（权限不变———最高级别即3级） [Quidway]user-interface aux 0 [Quidway-ui-aux0]authentication-mode ? none Login without checking password Authentication use password of user terminal interface scheme Authentication use RADIUS scheme [Quidway-ui-aux0]authentication-mode password [Quidway-ui-aux0]set authentication password simple sunke 重新登录时的结果———需要密码即sunke Password: <Quidway> %Apr 1 23:57:17 2000 Quidway SHELL/5/LOGIN: Console login from Aux0/0 <Quidway> 需要口令认证，同时更改缺省登录权限为0级，再利用super命令设置进行权限切换时的口令。 [Quidway]user-interface aux 0 [Quidway-ui-aux0]user privilege level 0 [Quidway-ui-aux0]quit [Quidway]super password level 1 simple sunke1 [Quidway]super password level 2 simple sunke2 [Quidway]super password level 3 simple sunke3 [Quidway]dis cur sysname Quidway super password level 1 simple sunke1 super password level 2 simple sunke2 super password level 3 simple sunke3 radius scheme system server-type huawei primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain domain system radius-scheme system access-limit disable state active vlan-assignment-mode integer idle-cut disable self-service-url disable messenger time disable domain default enable system local-server nas-ip 127.0.0.1 key huawei queue-scheduler wrr 1 2 4 8 vlan 1 interface Aux0/0 interface Ethernet0/1 interface Ethernet0/2 interface Ethernet0/3 interface Ethernet0/4 interface Ethernet0/5 interface Ethernet0/6 interface Ethernet0/7 interface Ethernet0/8 interface NULL0 user-interface aux 0 authentication-mode password user privilege level 0 set authentication password simple sunke user-interface vty 0 4 return 重新登录时的结果： Password: <Quidway> %Apr 1 23:57:18 2000 Quidway SHELL/5/LOGIN: Console login from Aux0/0 <Quidway>? User view commands: cluster Run cluster command debugging Debugging functions language-mode Specify the language environment ping Ping function quit Exit from current command view super Privilege specified user priority level telnet Establish one TELNET connection tracert Trace route function undo Negate a commond or set its default <Quidway>super 1 Password: Now user privilege is 1 level, and just commands which level is equal to or less than this level can be used. Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE <Quidway>? User view commands: cluster Run cluster command debugging Enable system debugging functions display Display current system information language-mode Specify the language environment ping Ping function quit Exit from current command view reset Reset operation send Send information to other user terminal interface super Privilege specified user priority level telnet Establish one TELNET connection terminal Specify the terminal characteristics tracert Trace route function undo Cancel current setting <Quidway>super 2 Password: Now user privilege is 2 level, and just commands which level is equal to or less than this level can be used. Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE <Quidway>? User view commands: boot Set boot option cluster Run cluster command debugging Enable system debugging functions display Display current system information free Clear user terminal interface language-mode Specify the language environment ntdp Run NTDP commands ping Ping function quit Exit from current command view reboot Reset switch reset Reset operation save Save current configuration send Send information to other user terminal interface super Privilege specified user priority level system-view Enter the system view telnet Establish one TELNET connection terminal Specify the terminal characteristics tracert Trace route function undo Cancel current setting <Quidway>super 3 Password: Now user privilege is 3 level, and just commands which level is equal to or less than this level can be used. Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE <Quidway>? User view commands: boot Set boot option cd Change the current path clock Specify the system clock cluster Run cluster command copy Copy the file debugging Enable system debugging functions delete Delete the file dir Display the file list in system display Display current system information format Format the device free Clear user terminal interface ftp Open FTP connection language-mode Specify the language environment lock Lock current user terminal interface mkdir Create new directory more Display the specified file move Move the file ntdp Run NTDP commands ping Ping function pwd Display the current path quit Exit from current command view reboot Reset switch rename Rename file or directory reset Reset operation rmdir Delete existing directory save Save current configuration send Send information to other user terminal interface super Privilege specified user priority level system-view Enter the system view telnet Establish one TELNET connection terminal Specify the terminal characteristics tracert Trace route function undelete Undelete the deleted file undo Cancel current setting <Quidway> <Quidway>super 1 Now user privilege is 1 level, and just commands which level is equal to or less than this level can be used. Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE <Quidway>? User view commands: cluster Run cluster command debugging Enable system debugging functions display Display current system information language-mode Specify the language environment ping Ping function quit Exit from current command view reset Reset operation send Send information to other user terminal interface super Privilege specified user priority level telnet Establish one TELNET connection terminal Specify the terminal characteristics tracert Trace route function undo Cancel current setting 三、 实验总结 通过CONSOLE口登录进行配置和管理。 A：在缺省的情况下，CONSOLE口登录的用户具有最高的权限，可以使用所有的命令，并且不需要任何口令的认证。 B：但也可以通过AUX用户接口视图下进行设置登录的口令认证。 有三种认证的方式：NONE不需要口令认证的；PASSWORD需要简单的本地口令认证；SCHEME通过RADIUS服务器或本地提供用户名和口令认证。 C：登录进去后，利用Super命令进行权限的切换，观察所能使用命令多少的变化，以及从高权限到低权限，从低权限到高权限时所需提供密码的变化情况。 实验二：Telnet登录交换机 一、 理论基础 Telnet管理方法是网络工程师或网络管理员最常用的设备访问方法.它通过局域网或者广域网实现本地或者远程的访问控制.但是它的使用必须要求首先对设备进行初始化配置,否则用户无法正确登录和访问. 要想访问某交换机,必须能够唯一确定被访问的交换机.在网络中都使用IP地址进行标识,所以我们使用Telnet进行登录时,前提是交换机必须有一个唯一的地址,即管理地址. 二、 实验案例 Telnet登录的配置 1、实验拓扑结构图： 2、配置说明： 交换机的管理IP是: 192.168.10.100 子网掩码是: 255.255.255.0 3、具体配置： 没有设置认证的情况下： [Quidway]int vlan 1 [Quidway-Vlan-interface1] %Apr 2 00:03:23 2000 Quidway L2INF/5/VLANIF LINK STATUS CHANGE: Vlan-interface1: turns into UP state [Quidway-Vlan-interface1]ip address 192.168.10.100 255.255.255.0 [Quidway-Vlan-interface1] %Apr 2 00:03:56 2000 Quidway IFNET/5/UPDOWN:Line protocol on the interface Vlan -interface1 turns into UP state [Quidway-Vlan-interface1]quit [Quidway]dis cur sysname Quidway radius scheme system server-type huawei primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain domain system radius-scheme system access-limit disable state active vlan-assignment-mode integer idle-cut disable self-service-url disable messenger time disable domain default enable system local-server nas-ip 127.0.0.1 key huawei queue-scheduler wrr 1 2 4 8 vlan 1 interface Vlan-interface1 ip address 192.168.10.100 255.255.255.0 interface Aux0/0 interface Ethernet0/1 interface Ethernet0/2 interface Ethernet0/3 interface Ethernet0/4 interface Ethernet0/5 interface Ethernet0/6 interface Ethernet0/7 interface Ethernet0/8 interface NULL0 user-interface aux 0 user-interface vty 0 4 Return 显示结果图： 仅设置口令认证的情况： [Quidway]user-interface vty 0 4 [Quidway-ui-vty0-4]authentication-mode ? none Login without checking password Authentication use password of user terminal interface scheme Authentication use RADIUS scheme [Quidway-ui-vty0-4]authentication-mode password [Quidway-ui-vty0-4]set authentication password simple djw [Quidway]super password level 1 simple djw1 [Quidway]super password level 2 simple djw2 [Quidway]super password level 3 simple djw3 [Quidway]dis cur sysname Quidway super password level 1 simple djw1 super password level 2 simple djw2 super password level 3 simple djw3 radius scheme system server-type huawei primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain domain system radius-scheme system access-limit disable state active vlan-assignment-mode integer idle-cut disable self-service-url disable messenger time disable domain default enable system local-server nas-ip 127.0.0.1 key huawei queue-scheduler wrr 1 2 4 8 vlan 1 interface Vlan-interface1 ip address 192.168.10.100 255.255.255.0 interface Aux0/0 interface Ethernet0/1 interface Ethernet0/2 interface Ethernet0/3 interface Ethernet0/4 interface Ethernet0/5 interface Ethernet0/6 interface Ethernet0/7 interface Ethernet0/8 interface NULL0 user-interface aux 0 user-interface vty 0 4 set authentication password simple djw return <Quidway> %Apr 2 00:12:20 2000 Quidway SHELL/5/LOGIN: VTY login from 192.168.10.11 %Apr 2 00:13:28 2000 Quidway SHELL/5/LOGOUT: VTY logout from 192.168.10.11 显示结果图： 用户登录前更改缺省的权限为3级： [Quidway]user-interface vty 0 4 [Quidway-ui-vty0-4]user privilege level 3 需要口令和用户名认证的情况，同时更改缺省的权限级别： [Quidway]user-interface vty 0 4 [Quidway-ui-vty0-4]authentication-mode scheme Notice: Telnet or SSH user must be added , otherwise operator can't login[Quidway]local-user djw New local user added. [Quidway-luser-djw]service-type telnet level 3 [Quidway-luser-djw]password simple djw4 [Quidway-luser-djw]quit [Quidway]dis cur sysname Quidway super password level 1 simple djw1 super password level 2 simple djw2 super password level 3 simple djw3 radius scheme system server-type huawei primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain domain system radius-scheme system access-limit disable state active vlan-assignment-mode integer idle-cut disable self-service-url disable messenger time disable domain default enable system local-server nas-ip 127.0.0.1 key huawei local-user djw password simple djw4 service-type telnet level 3 queue-scheduler wrr 1 2 4 8 vlan 1 interface Vlan-interface1 ip address 192.168.10.100 255.255.255.0 interface Aux0/0 interface Ethernet0/1 interface Ethernet0/2 interface Ethernet0/3 interface Ethernet0/4 interface Ethernet0/5 interface Ethernet0/6 interface Ethernet0/7 interface Ethernet0/8 interface NULL0 user-interface aux 0 user-interface vty 0 4 authentication-mode scheme return <Quidway> %Apr 2 00:37:19 2000 Quidway SHELL/5/LOGIN: djw login from 192.168.10.11 显示结果图: 三、 实验总结 A：telnet登录认证也有三种方法：NONE不需要口令认证的；PASSWORD需要简单的本地口令认证；SCHEME通过RADIUS服务器或本地提供用户名和口令认证。 B：缺省的情况下，telnet登录的用户是需要验证的，所以在登录前，必须先设置好。 C：缺省的情况下，telnet登录的用户的权限是0级。 实验三：FTP登录交换机 四、 理论基础 利用ftp登录交换机可以对交换机进行升级VRP和bootrom等工作。 五、 实验案例 FTP登录交换机的配置 1、 具体配置： <Quidway>sys Enter system view, return to user view with Ctrl+Z. [Quidway]int vlan 1 [Quidway-Vlan-interface1] %Apr 2 00:18:35 2000 Quidway L2INF/5/VLANIF LINK STATUS CHANGE: Vlan-interface1: turns into UP state [Quidway-Vlan-interface1]ip address 192.168.10.10 255.255.255.0 [Quidway]ftp server enable [Quidway]local-user sunke [Quidway-luser-sunke]service-type ftp New local user added. [Quidway-luser-sunke]password simple sunke <Quidway>dis cur sysname Quidway FTP server enable radius scheme system server-type huawei primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain domain system radius-scheme system access-limit disable state active idle-cut disable self-service-url disable messenger time disable domain default enable system local-server nas-ip 127.0.0.1 key huawei local-user sunke password simple sunke service-type ftp queue-scheduler wrr 1 2 4 8 vlan 1 interface Vlan-interface1 ip address 192.168.10.10 255.255.255.0 interface Aux0/0 interface Ethernet0/1 interface Ethernet0/2 interface Ethernet0/3 interface Ethernet0/4 interface Ethernet0/5 interface Ethernet0/6 i