交换机和路由器的配置（完整篇）

第5单元 设计与构建多区域网络

课题： 5.1划分虚拟局域网

一、任务的提出

1．任务目标

在实际应用当中，为了加强网络的安全性，经常需要把局域网中一些计算机与另外一些计算机隔离管理，本节将学习虚拟局域网的划分方法。

2. 解决的问题 局域网的隔离。 3. 原有知识要点

本课知识点为本单元第五节。前面已经学习并掌握了交换机的简单配置命令。

二、教学目标

1. 知识目标

理解VLAN的作用。 2. 操作技能目标

⑴ 掌握同一交换机接口VLAN的划分方法 ⑵ 掌握不同交换机相同VLAN之间的通信方法 3. 情感目标

理解VLAN划分给网络安全管理带来的好处。

三、教学分析与准备

1. 教学重点

VLAN的划分方法，相同VLAN间通信的方法。 2．教学难点

跨交换机VLAN间的通信 3. 教学方法

任务驱动学习和协作学习、探究学习相结合 4. 课时安排 2课时

5. 教学环境 网络实验室

四、学习过程 教学环节及手段 组织课堂 复习旧课 导入新课

教学内容 师生问好，准备上课。 通过实操方式考察学生对前面课程的学习情况。 1．请一名学生利用超级终端登录交换机。 2．请一名学生显示交换机的配置信息。 在某些时候，我们并不希望同一局域网内的所有计算机之间能够通信，比如某个公司的财务部与销售部共用一台交换机，但是由于数据保密需要，财务部与销售部的计算机只能访问本部门其它计算机，而不允许访问其它部门的计算机，怎样将处于同一个局域网内部的两个部门实现隔离呢？这就要用到我们今天要讲到的虚拟局域网技术。 1

备注 学习新课 教师根据设置的工作情境画出网络拓朴 教师演示VLAN的划分过程

首先对今天学习的任务进行明确定位，让学生明确今天学习的任务目标。 一、什么是虚拟局域网 虚拟局域网简称VLAN（Virtual Local Area Network），VLAN是在一个物理网络上划分出来的逻辑网络，它有着和普通物理网络相同的属性。 二、VLAN的划分 基于端口的VLAN划分是常用的一种VLAN划分方法，这种VLAN的划分不受网络端口的实际物理位置限制。实现步骤如下： 步骤一，画出网络拓朴图： 步骤二， 为PC1与PC2配置同一网段的IP地址，测试两台PC的连通性。 没有划分VLAN时是连通的。 步骤三，按照拓朴结构进行网络连接，测试网络在划分VLAN前的连通性。 步骤四，进行VLAN划分 Switch#Configure terminal ！进入配置模式 Switch (config)#vlan 10 ！创建VLAN10 Switch (config-vlan)#exit ！返回配置模式 Switch (config)#interface range fastethernet 0/1-12 ！选择1-12口 Switch (config-range-if)#switchport access vlan 10 ！划分到VLAN10 Switch (config-range-if)#no shutdown ！启用接口 Switch (config-range-if)#exit ！返回配置模式 Switch(config)# 同理，将RG2126的13至24 口划分到VLAN20。 步骤五，测试划分VLAN后的隔离效果 用PC1 ping PC2， PC1与PC2不能通信，实现了隔离。 步骤六，用命令“show VLAN”显示VLAN的划分情况 三、跨交换机的相同VLAN之间的级联通信 2

告诉学生网络拓朴图的重性 请学生观察两台计算机是否连通 学生完成另一台交换机的VLAN划分 请学生注意观察隔离效果 教师根据工作情境画出网络拓朴图 指导学生自己完成VLAN划分 教师演示TRUNK的建立过程

我们通过以上配置实现了不同部门计算机之间的隔离，我们如何使位于不同地理位置的相同部门之间的计算机来实现通信呢。实现步骤如下： 步骤一，画出网络拓朴图，并按图连接设备。 。 步骤二，将两台交换机上分别划分出VLAN10和LVAN20，并用SHOW VLAN命令显示VLAN的划分情况。 步骤三，为四台PC机设置同一网段内的IP地址。 步骤四，对相同VLAN分别用一条双绞线进行级联，测试相同VLAN的连通性。 测试结果：PC1与PC2能够正常通信。 三、使用接口TRUNK实现不同交换机相同VLAN之间的通信 如果交换机上划分了10个VLAN，就需要10条级联线进行级联，这样把宝贵的交换接口浪费掉了，为了节省接口以连接更多的计算机到网络中，我们能不能只用一个接口就可以实现所有VLAN之间的通信呢？为了解决这一问题，交换机中提供了TRUNK技术。 步骤五，分别在RG2126-1与RG2126-2上将第24接口工作模式设置为TRUNK（干道）模式。配置命令如下： Switch#Configure terminal ！进入配置模式 Switch (config)#interface fastethernet 0/24 ！选择要配置的端口 Switch (config-if)#switchport mode trunk ！将端口设置为TRUNK模式 Switch (config-if)#no shutdown ！启用接口 Switch (config-if)#exit ！返回配置模式 步骤六，将两台交换机的TRUNK接口级联，测试3

让学生体会TRUNK这个公共通道的作用 课堂小结 相同VLAN的连通性。 1．VLAN的作用 划分VLAN的主要目的有以下几个方面： 第一，安全隔离。不同VLAN之间不能直接访问，要实现相互访问，需通过路由设备或其它三层交换设备。 第二，隔离广播。我们已经学习过了局域网的工作原理，已经知道以太网的工作过程具有广播的特性，如果局域网内计算机数量过多，由于广播的增加的原因会降低网络的工作效率。通过VLAN划分可将一个大的网络分解为几个小的网络，从而减小广播域，使得广播对网络的性能影响减小。 第三，使工作组不受物理位置的限制。位于不同地理位置，接在不同交换机上的计算机可以通过划分在同一VLAN内而实现直接通信。 2．VLAN的划分方法 3．不同交换机相同VLAN间的通信方法

拓展练习：

1．划分VLAN的主要目的是什么。 2．写出划分VLAN的配置命令。

3．接口设置为什么模式后，便可以流通所有VLAN的信息，怎么设置。 4．在什么配置模式下用什么命令可以显示VLAN划分情况？

4

课题： 5.2 VLAN间互联互通

一、任务的提出

1．任务目标

实现不同VLAN之间的通信。 2. 解决的问题

局域网内部全网互通。 3. 原有知识要点

本课程为第五单元第六节内容，在前面的学习中，我们学习掌握了如何划分VLAN来实现局域网内部广播的隔离，同时学习了不同交换机上相同VLAN之间的通信方法。在此基础上，我们将学习如何实现不同VLAN之间的通信。

二、教学目标

1. 知识目标

结合OSI体系七层结构，理解二层交换机与三层交换机的区别。 2. 操作技能目标

利用三层交换机实现不同VLAN之间的通信。 3. 情感目标

让学生树立严谨的学习工作态度。

三、教学分析与准备

1. 教学重点

⑴ 三层虚拟接口SVI ⑵ 三层交换接口 2．教学难点

三层虚拟接口SVI配置 3. 教学方法

任务驱动学习和协作学习、探究学习相结合 4. 课时安排 2课时

5. 教学环境 网络实验室

四、学习过程 教学环节及手段 组织课堂 复习旧课 导入新课 学习新课

教学内容 师生问好，准备上课。 通过提问方式考察学生VLAN的理解情况。 1．为什么要划分VLAN？ 2．相同VLAN间怎样实现通信？ 通过前面的学习，我们已经了解了为了实现局域网广播的隔离，为了更便于网络的管理，我们需要通过VLAN划分将网络分割成更小的网络。相同VLAN之间可以通过级联或TRUNK来实现通信，不同的VLAN之间是不能直接通信的，要实现不同VLAN之间的通信，需要通过三层交换机或路由器。 一、利用三层交换虚拟接口实现VLAN互访 5

备注

教师演示讲解 教师演示

1．网络拓朴图 S3760 PC1 S2126 PC2 2． 连接PC1到二层交换机S2126的第10口，连接PC2到S2126的第20口，测试PC1与PC2的连通性。（测试结果：PC1与PC2能够连通，原因：处于同一网络） 3． 将S2126的1至12口划分到VLAN10；将S2126的13至24 口划分到VLAN20，测试PC1与PC2的连通性。（测试结果：PC1与PC2不能连通，原因：处于不同VLAN中） S2126(config)#vlan 10 S2126(config-vlan)#exit S2126(config)#vlan 20 S2126(config-vlan)#exit S2126(config)#vlan 10 S2126(config-vlan)#exit S2126(config)#interface range fastethernet 0/1-12 S2126(config-range-if)#switchport access vlan 10 S2126(config-range-if)#no shutdown S2126(config-range-if)#exit S2126(config)#interface range fastethernet 0/13-24 S2126(config-range-if)#switchport access vlan 20 S2126(config-range-if)#no shutdown S2126(config-range-if)#exit 4．在三层交换机划分VLAN10、VLAN20，并将Fa10划到VLAN10，Fa20划到VLAN20，。 S3760(config)# interface range fastethernet 0/10 S3760(config-if)#switchport access vlan 10 S2126(config-if)#no shutdown S2126(config-if)#exit S3760(config)# interface range fastethernet 0/20 S3760(config-if)#switchport access vlan 20 S3760(config-if)#no shutdown S3760(config-if)#exit S3760(config)# 5．在三层交换机上建立SVI S3760#configure terminal S3760(config)#interface vlan 10 6

让学生理解不同VLAN间不能直接通信，只能通过三层交换设备

S3760(config-if)#ip address 192.168.1.254 255.255.255.0 S3760(config-if)#no shutdown S3760(config-if)#exit S3760(config)#interface vlan 20 S3760(config-if)#ip address 192.168.2.254 255.255.255.0 S3760(config-if)#no shutdown S3760(config-if)#exit S3760(config)# 6．在PC1与PC2上设置IP、子网掩码与网关。测试PC1与PC2的连通性。（测试结果：PC1与PC2能连通，原因：创建了三层SVI接口） 注意：SVI中定义 的VLAN接口IP即为PC机的网关 二、创建三层接口 1．网络拓朴图 S3760 PC1 S2126 PC2 2． 连接PC1到二层交换机S2126的第10口，连接PC2到S2126的第20口，测试PC1与PC2的连通性。（测试结果：PC1与PC2能够连通，原因：处于同一网络） 3． 将S2126的1至12口划分到VLAN10；将S2126的13至24 口划分到VLAN20，测试PC1与PC2的连通性。（测试结果：PC1与PC2不能连通，原因：处于不同VLAN中） 4．在三层交换机上建立三层（layer 3）接口 S3760#configure terminal S3760(config)# interface range fastethernet 0/10 S3760(config)# no switchport S3760(config-if)#ip address 192.168.1.254 255.255.255.0 S3760(config-if)#no shutdown S3760(config-if)#exit S3760(config)#i interface range fastethernet 0/20 S3760(config-if)#no switchport S3760(config-if)#ip address 192.168.2.254 255.255.255.0 S3760(config-if)#no shutdown S3760(config-if)#exit S3760(config)# 5．在PC1与PC2上设置IP、子网掩码与网关。测试PC1与PC2的连通性。（测试结果：PC1与PC2能连7

课堂小结 通，原因：创建了三层接口） 注意：L3接口IP即为PC机的网关地址 三、研究学习 显示三层交换机中的直连路由 三层交换配置完成后，使用命令“SHOW IP ROUTE”可以看到指向各个VLAN的直连路由信息。 1．利用三层SVI接口实现不同VLAN间的通信 2．利用三层L3接口实现不同VLAN间的通信 教师对路由信息含义作出适当解释

拓展练习：

1．利用三层SVI接口，并在三层交换机与二层交换机之间采用TRUNK模式实现不同VLAN间的通信,网络拓朴如下图。

S3760 TRUNK PC1

S2126

PC2

8

课题： 5.3使用单个路由器实现区域网络连通

一、任务的提出

1．任务目标

通过配置IP地址，利用单个路由实现不同网络之间的通信。 2. 解决的问题

不同类型网络互通。 3. 原有知识要点

本课程为第五单元第七节内容，在前面的学习中，我们学习了利用三层交换机实现不同VLAN之间的通信。在此基础上，我们将学习如何利用路由器实现不同网络之间的通信。

二、教学目标

1. 知识目标

理解路由、直连路由等基本概念。 2. 操作技能目标

⑴ 进入路由器的CLI（Command Line Interface，命令行接口）配置界面 ⑵ 为路由器接口配置IP地址。 3. 情感目标

让学生对交换机与路由器的配置作出比较，找出共性。

三、教学分析与准备

1. 教学重点

⑴ 进入路由器的CLI（Command Line Interface，命令行接口）配置界面 ⑵ 为路由器接口配置IP地址 2．教学难点

⑴ 路由器的不同配置状态 3. 教学方法

任务驱动学习和协作学习、探究学习相结合 4. 课时安排 2课时

5. 教学环境 网络实验室

四、学习过程 教学环节及手段 组织课堂 复习旧课 导入新课 学习新课 教师演示讲解

教学内容 师生问好，准备上课。 通过提问方式考察学生对三层交换接口的掌握情况。 1．在三层交换机中有哪些方式可以实现不同VLAN间的通信？ 2．三层SVI接口怎么配置？ 3．三层物理接口怎么配置？ 上次我们学习了利用三层交换机实现不同VLAN之间的通信，本次课我们将学习怎样通过路由器来实现不同网络的互联。 一、路由基础知识 1．什么是路由 9

备注 教师演示

路由就是将从一个接口接收到的数据包转发到另外一个接口的过程。 2．路由器的主要功能 ⑴选径。根据目标地址和路由表内容进行路径选择。 ⑵转发。根据选择的路径，将收到的数据包转发到另一个接口。 二、路由器的配置访问方式 1．带外管理 ⑴准备一台装有Windows超级终端的计算机。 ⑵准备一条RJ45接头配置线，将RJ45接到路由器的Console口，将另一端的DB9接头接到配置计算机的串口COM1上。 ⑶在配置计算机依次点击“开始?程序?附件?通讯?超级终端”，打开windows 超级终端。 ⑷系统提示是否将超级终端作为默认telnet程序。点击“是”、“否”均可，不会影响后续配置。 ⑸在连接描述窗口中“名称”处为本次连接起一个名 字。 ⑹在连接到窗口选择连接时使用COM1，点击“确定”。 ⑺在COM1属性设置窗口中，点击“还原默认值”后 10

点击“确定”。 ⑻输入回车，出现提示符“router>” ，此配置状态表示“一般用户模式”。 2．带内管理 PC机与交换机交换接口直接相连。 ⑴通过TELNET对路由器进行远程管理 ⑵通过WEB对路由器进行远程管理 ⑶通过SNMP对路由器进行远程管理 ⑷通过AUX和MODEM对路由器进行远程管理 三、路由器的配置模式 1．路由器不同配置模式提示符 配置模式 用户模式（User EXEC） 特权模式（Privileged EXEC） 提示符 router> router# 全局配置模式(Global configuration) router(config)# 接口配置模式(Interface configuration) router(config-if)# 线程配置模式（line configuration） 路由协议配置模式 router(config-line)# router(config-router)# 2．路由器不同配置状态完成的配置功能 配置模式 11

功能

特权模式 查看、管理路由器配置信息，测试、 调试 全局配置模式 配置路由器的整体参数 接口配置模式 配置路由器的接口参数 线程配置模式 配置路由器拨号设置 路由协议配置模式 配置路由器路由协议 3． 路由器不同配置状态进入及退出方法 配置模式 访问方法 退出方法 一般用户 访问路由器时首先进入该模式。 在任何模式 在用户模式下,用enable 命令进入下,可用命令特权模式 exit返回上一该模式。 在特权模式下,用configure 命令进模式, 用命令 全局配置 end或键入组入该模式。 合键Ctrl+C在全局模式下,用interface 命令进 接口配置 返回特权模入该模式。 在全局模式下,使用line 命令进入式。从特权模线程配置 式返回到用户该模式。 路由协议在全局模式下,使用router 命令进模式，可命令 disable。 配置 入该模式 三、利用直连路由实现不同网络之间的通信 1．网络拓朴 PC1 PC2 F0 F1 192.168.1.1 192.168.2.1 192.168.1.2 192.168.2.2 2．为路由器接口配置IP地址 路由器接口IP地址配置的基本原则 ? 路由器的物理网络接口需要有一个IP地址 ? 相邻路由器的相邻接口IP地址在同一网段 ? 同一路由器不同端口在不同网段上 ⑴为F0口配置IP地址 配置路由接口Router>enable IP时注意强调Router#config terminal 接口IP的配置Router(config)#interface fastethernet 1/1 原则；同时注Router(config-if)#ip address 192.168.1.1 255.255.255.0 意路由器默认Router(config-if)#no shutdown 模块号 Router(config-if)#^Z Router# ⑵用同样的方法为路由器F1口配置IP地址 3．按拓朴图为计算机配置IP地址，并将网关地址设 一般用户模式 路由器信息的查看，简单测试命令 12

课堂小结 置为所连接路由器接口的IP地址 4．测试PC1与PC2的连通性 5．显示路由器的路由信息：show ip route 当为路由器的路由接口配置了IP地址后，如果此接口与其它网络设备（如路由器、交换机、PC机等）正常连接，路由器中便会自动生成一条与本接口IP所在网段相关的一条路由，由于这条路由信息所指向的网络与本路由接口直接相连，因而称为直连路由。 6．显示路由器接口信息：show interface 1．路由器管理方式 2．路由器接口IP设置 3．直连路由 4．路由器和三层交换机的主要区别 表现在以下几个方面： ⑴同属于网络层设备，具有选径和转发功能。 ⑵三层交换机的转发性能远远高于路由器。 ⑶三层交换机主要用于连接不同网段(VLAN)，路由器主要用于连接不同的网络类型。 ⑷三层交换机主要都是以太网接口，而路由器提供各广域网接口，用于连接不同的广域网链路。 运行show ip route后，注意让学生观察直连路由信息

拓展练习：

1． 路由器管理有哪些方式。

2． 路由器接口IP配置原则是什么？ 3． 怎样为路由器接口配置IP地址？

13

课题： 5.4使用多个路由器实现区域网络连通

一、任务的提出

1．任务目标

通过配置静态路由实现不同路由器之间的通信。 2. 解决的问题

使用多个路由器实现不同类型网络互通。 3. 原有知识要点

本课程为第五单元第八节内容，在前面的学习中，我们学习了通过配置路由器接口IP，利用单个路由器实现不同网络之间的通信。在此基础上，我们将学习如何利用多台路由器实现不同网络之间的通信。

二、教学目标

1. 知识目标

理解路由、直连路由、静态路由、路由表、下一跳地址等基本概念。 2. 操作技能目标

在路由器中配置静态路由实现不同网络之间的通信。 3. 情感目标

让学生理解路由器在网络通信过程中的重要作用。

三、教学分析与准备

1. 教学重点 ⑴显示路由表 ⑵配置静态路由 2．教学难点 配置静态路由 3. 教学方法

任务驱动学习和协作学习、探究学习相结合 4. 课时安排 2课时

5. 教学环境 网络实验室

四、学习过程 教学环节及手段 组织课堂 复习旧课 导入新课 学习新课 教师演示讲解

教学内容 师生问好，准备上课。 通过提问方式考察学生对路由器接口IP配置的掌握情况。 1．路由器接口IP的配置原则？ 2．路由器接口IP的配置命令？ 上次我们学习了利用单个路由器实现不同网络之间通信的方法，但在实际应用当中通常是多个路由器协同工作，怎样实现多个路由器之间的连接通信呢？本次课我们就来解决多台路由器的互连问题。 一、路由表 路由就是将从一个接口接收到的数据包转发到另外一14

备注 强调路由信息的含义 注意分步骤配置测试，以便让学生体会路由信息的作用

个接口的过程。三层交换机或路由器在工作时都保留着一张路由表用来记录到达目标网络需从哪个端口转发数据包。路由器使用特定的路由协议动态寻找到达目标网络的最佳路径，并按照路由协议与其它路由器通信来修改和维护路由表。下图一个路由表实例。 路由器RA中表项“S 192.168.2.0 F1”表明发往网络192.168.2.0的数据包需经由本路由器F1接口转发。 二、显示路由表 显示命令：show ip route 三、使用两个路由器实现不同网络之间的通信 静态路由的一般配置步骤： ? 确定本路由器有哪些直连网段的路由信息 ? 为路由器各个接口配置IP地址 ? 确定网络中本路由器有哪些非直连网段 ? 添加本路由器的非直连网段相关的路由信息。 1．网络拓朴 2．按拓朴图所示为路由器RA、RB路由接口配置IP地址。 3．按拓朴图为计算机配置IP地址，并将网关地址设置为所连接路由器接口的IP地址 4．用PC1ping PC2。 测试结果：不通。 原因：通过显示路由表，路由器RA中没有指向RB的路由信息 5．在RA中配置到达网络192.168.2.0的路由。 ⑴ 静态路由 由网络管理员手工配置的路由。 ⑵ 静态路由配置命令： ip route 目标网络号 子网掩码 下一跳路由器与本路由器直连接口的IP地址 ip route 目标网络号 子网掩码本路由器出口 15

让学生理解不同VLAN间不能直接通信，只能通过三层交换设备 要注意路由器是否支持智能MDI／MDIX识别，以确定选择直通线或交叉线 请同学们注意观察路由表的变化及网络的连通情况

课堂小结 ⑶ 在配置模式下为路由器RA配置静态路由。 ip route 192.168.2.0 255.255.255.0 200.200.200.2或ip route 192.168.2.0 255.255.255.0 fastethernet 1/1 6．用PC1ping PC2。 测试结果：不通。 原因：通过显示路由表，路由器RB中没有指向RA的路由信息。 7．在配置模式下，在RA中配置到达网络192.168.1.0的路由。 ip route 192.168.1.0 255.255.255.0 200.200.200.2或ip route 192.168.1.0 255.255.255.0 fastethernet 1/1 8．用PC1ping PC2。 测试结果：连通。 原因：通过显示路由表，路由器RA、RB中各多了一条指向目标网络的路由信息。 四、研究学习 一个路由器中需要配置多少静态路由 请同学们说出下面的拓朴图中，每台路由器中应该设置多少条静态路由就可以实现所有计算机互谅。 让学生体会静态路由随着路由器数量的增多，路由设置的困难程度 使用静态路由，路由器有多少非直连网络，就需要在本 路由器中设置多少条静态路由。 1．查看路由表 2．静态路由的设置 拓展练习：

1．直连路由与静态路由是怎么产生的。 2．静态路由的配置命令格式是怎样的。

16

课题： 5.5使用多个路由器实现区域网络连通

一、任务的提出

1．任务目标

通过配置动态路由实现不同路由器之间的通信。 2. 解决的问题

使用多个路由器实现区域网络互通。 3. 原有知识要点

本课程为第五单元第九节内容，在前面的学习中，我们学习了通过配置静态路由实现不同网络之间的通信。在此基础上，我们将学习如何利用动态路由实现不同网络之间的通信。

二、教学目标

1. 知识目标

⑴ 理解静态路由、动态路由等基本概念，理解路由协议的作用。 ⑵ 掌握反掩码的表示方法及与子网掩码的区别。 2. 操作技能目标

在路由器中配置动态路由实现不同网络之间的互通。 3. 情感目标

让学生理解静态路由与动态路由的优缺点。

三、教学分析与准备

1. 教学重点

⑴ RIP动态路由的配置 ⑵ OSPF动态路由的配置 2．教学难点

动态路由协议的分类，反掩码。 3. 教学方法

任务驱动学习和协作学习、探究学习相结合 4. 课时安排 2课时

5. 教学环境 网络实验室

四、学习过程 教学环节及手段 组织课堂 复习旧课 导入新课

教学内容 师生问好，准备上课。 通过提问方式考察学生对静态路由的掌握情况。 1．静态路由配置命令。 2．路由表显示命令。 上次课我们学习了利用静态路由实现不同网络之间通信的方法，但在实际应用当中通常要使用多个路由器，随着路由器数量的增多，静态路由的配置将越来越复杂，网络中每增加一个网络，就需要在每个路由器中做相应配置改动，这就给网络的维护带来巨大的困难，为了便于维护，简化管理过程，对于规模较大的网络，我们通常使用动态路由实现路由间的互相通信,实现网络的互连。本次课我们就来学习动态路由的配置方法。 17

备注 学习新课 教师讲解

一、动态路由协议 1．动态路由协议的作用 ⑴ 完成路由器动态寻找网络最佳路径。 ⑵ 实现路由器之间相互通信，使用路由器能够利用收到的路由信息更新路由表，使所有路由器拥有相同的路由表。 2．动态路由协议的基本工作原理 ⑴要求网络中运行相同的路由协议。 ⑵所有运行了路由协议的路由器会将本机相关路由信息发送给网络中其它的路由器。 ⑶所有路由器会根据接收到的其它路由器的路由信息生成相应网段的路由信息。 ⑷所有路由器每隔一段时间会向邻居发送本机的状态，实现路由更新。 3．路由协议的管理距离 管理距离就是人为指定的一个数字，由这个数字来代表路由协议的优先度，数字越小，越优先采用这个路由协议通告的路由，比如，静态路由的默认的管理距离是0，rip是120，如果到达某个网段的路由信息通告由这两个路由协议同时通告，路由器会根据管理距离决定采用静态路由通告的路径，即优先信任管理距离小的路由协议。 4．动态路由协议的分类 ⑴距离向量路由协议（Distance Vector Routing Protocol） ? 路由算法。距离向量路由协议基于Bellman-Ford算法，主要有RIP、IGRP（IGRP为Cisco公司的私有协议）。 ? 最大跳数。距离向量路由协议使用跳数或向量来确定从一个设备到另一个设备的距离，超过最大跳数认为路由不可到达。 ? 最佳路由选择。根据距离矢量（跳数，hop）来进行路由选择。 ? 适用范围。由于路由计算收敛速度慢，适用于小型网络。当少于100个路由器或需要更少的路由更新和计算环境时，距离向量路由协议运行得相当好。当扩展到大型网络时，该算法计算新路由的收敛速度极慢。 ? 路由表更新。定时更新路由表，更新时发送部分或整个路由表，消耗较大带宽。随着路由表的增大，需要消耗更多的CPU资源，并消耗了内存。 ⑵链路状态路由协议（Link State Routing Protocol） ? 路由算法。链路状态路由协议基于图论中非常著名的Dijkstra算法，即最短优先路径（Shortest Path 18

让学生理解动态路由是相互学习获得的 让学生理解多种路由协议存在时，路由协议的选择依据 让学生理解路由协议的适用范围

? ? ? ? First，SPF）算法，如OSPF。 没有跳数的限制，使用“图形理论”算法或最短路径优先算法 最佳路由选择。根据带宽、延迟等指标综合考虑而得到一个权值，再根据权值确定最佳路由。 适用范围。路由协议有更短的收敛时间。链路状态路由协议在会话期间通过交换Hello包（也叫链路状态信息）创建对等关系，这种关系加速了路由的收敛。 路由表更新。链路状态路由协议支持VLSM（Variable Length Subnet Mask，可变长子网掩码，从主机号部分借出相应的位数来做网络号）和CIDR（Classless Inter-Domain Routing，无类域间路由，将多个地址块聚合在一起生成一个更大的网络），路由聚合将路由表中的许多路由条目合并为成更少的数目，因此可以限制路由器中路由表的增大，减少了路由通告，同时只广播更新的或改变的网络拓扑，这使得更新信息更小，节省了带宽和CPU利用率。另外，如果网络不发生变化，更新包只在特定的时间内发出（通常为30min到2h）。 二、RIP动态路由 1．RIP（路由信息协议）版本 RIP是一个最广泛的开放的路由协议，几乎所有路由器都支持RIP路由协议。RIP有两个版本：RIPv1和RIPv2，它们均基于经典的距离向量路由算法，最大跳数为15跳。 RIPv1是族类路由（Classful Routing）协议，因路由上不包括掩码信息，所以网络上的所有设备必须使用相同的子网掩码，不支持VLSM。RIPv2可发送子网掩码信息，是非族类路由（Classless Routing）协议，支持VLSM。 2．RIP路由信息更新 RIP使用UDP数据包更新路由信息。路由器每隔30s更新一次路由信息，如果在180s内没有收到相邻路由器的回应，则认为去往该路由器的路由不可用，该路由器不可到达。如果在240s后仍未收到该路由器的应答，则把有关该路由器的路由信息从路由表中删除。 3．RIP特点 ⑴不同厂商的路由器可以通过RIP互联； ⑵配置简单； ⑶适用于小型网络（小于15跳）； ⑷RIPv1不支持VLSM； ⑸需消耗广域网带宽； 4．配置RIP协议 ⑴网络拓朴 19

动态路由的配

置是学习重点 ⑵按拓朴图所示为路由器RA、RB路由接口配置IP地 址。 ⑶按拓朴图为计算机配置IP地址，并将网关地址设置 为所连接路由器接口的IP地址 ⑷用ping 命令测试PC1与PC2的连通性。 注意观察路由测试结果：不通。 表变化，通过原因：通过显示路由表，路由器RA中没有指向RB直连路由表的变化网络的路由信息。 让学生体会动⑸在RA中配置动态RIP路由。 态路由协议之！开启RIP路由协议进程，注意命令不能写成route 间的相互学习RA(config)#router rip 过程 ！指定本路由器参与RIP协议的直连网段信息 RA(config-router)#network 192.168.1.0 RA(config-router)#network 200.200.200.0 ！指定RIP协议为版本2，以支持VLSM和MD5认证 RA(config-router)#version 2 ！关闭自动汇总 RA(config-router)#no auto-summary ⑹用ping命令测试PC1与PC2的连通性。 测试结果：不通。 原因：通过显示路由表，路由器RA中没有指向RB直连 网络的路由信息。 ⑺在RB中配置动态RIP路由。 RB(config)#router rip RB(config-router)#network 192.168.2.0 RB(config-router)#network 200.200.200.0 RB(config-router)#version 2 RB(config-router)#no auto-summary ⑻测试PC1与PC2的连通性，并显示RA、RB中路由 信息。 测试结果：连通。 原因：通过显示路由表，路由器RA、RB中各多了一条 指向两个路由器直连网络的路由信息。 三、OSPF动态路由 1．OSPF协议组成 开放式最短路径优先（Open Shortest Path First）协 议简称OSPF。OSPF协议由三个子协议组成：Hello协议、交 换协议和扩散协议。其中Hello协议负责检查链路是否可用， 20

并完成指定路由器及备份指定路由器；交换协议完成“主”、“从”路由器的指定并交换各自的路由数据库信息；扩散协议完成各路由器中路由数据库的同步维护。 2．OSPF协议具有以下优点： ⑴OSPF支持通往相同目的的多重路径。 ⑵OSPF使用路由标签区分不同的外部路由。 ⑶OSPF支持路由验证，只有互相通过路由验证的路由器之间才能交换路由信息；并且可以对不同的区域定义不同的验证方式，从而提高了网络的安全性。 ⑷OSPF支持费用相同的多条链路上的负载均衡。 ⑸OSPF是一个非族类路由协议，路由信息不受跳数的限制，减少了因分级路由带来的子网分离问题。 ⑹OSPF支持VLSM和非族类路由查表，有利于网络地址的有效管理。 ⑺OSPF使用AREA对网络进行分层，减少了协议对CPU处理时间和内存的需求。 3．配置OSPF协议 ⑴网络拓朴 注意观察路由表变化，通过路由表的变化让学生体会动态路由协议之 ⑵按拓朴图所示为路由器RA、RB路由接口配置IP地间的相互学习址。 过程 ⑶按拓朴图为计算机配置IP地址，并将网关地址设置 为所连接路由器接口的IP地址 ⑷用ping 命令测试PC1与PC2的连通性。 测试结果：不通。 原因：通过显示路由表，路由器RA中没有指向RB直连 网络的路由信息。 ⑸在RA中配置动态OSPF路由。 ！启动OSPF路由协议进程 RA(config)#router OSPF ！network命令指定本路由器参与OSPF协议的直连网 段信息，将参与OSPF协议的直连网络关联在指定的区域内， 区域编号取值范围为0到4294967295。 RA(config-router)#network 192.168.1.0 0.0.0.255 area 0 RA(config-router)#network 200.200.200.0 0.0.0.255 area 0 0.0.0.255称为反掩码，每个数对应八位二进制，二进制 位为0时表示比较该比特位，为1时表示不比较该比特位， 与正常的子网掩码正好相反。 6．用ping命令测试 PC1与 PC2的连通性。 测试结果：不通。 21

课堂小结 原因：通过显示路由表，路由器RA中还是没有指向RB直连网络的路由信息。 7．在配置模式下，在RA中配置到达网络192.168.1.0的路由。 ip route 192.168.1.0 255.255.255.0 200.200.200.2或ip route 192.168.1.0 255.255.255.0 fastethernet 1/1 8．用ping命令测试 PC1与 PC2的连通性。 测试结果：连通。 原因：通过显示路由表，路由器RA、RB中各多了一条指向两个路由器直连网络的路由信息。 四、研究学习 动态路由网络管理 请同学们说出下面的拓朴图中，使用动态路由协议，在路由器RC新增加一个网络192.168.5.0，路由器RA、RB、RC需要做什么设置。 使用动态路由，只需在直连网络发生变化的路由器中将新增网络添加到现有网络当中即可，其它路由器无需进行重新配置。 1． 静态路由与动态路由的优缺点。 2． RIP路由与OSPF路由的配置方法。

拓展练习：

1．静态路由有哪些特点和缺点？ 静态路由具有以下特点：

⑴静态路由无需进行路由交换，因此节省网络的带宽、CPU的利用率和路由器的内存。

⑵静态路由具有更高的安全性。在使用静态路由的网络中，所有要连到网络上的路由器都需在邻接路由器上设置其相应的路由。因此，在某种程度上提高了网络的安全性。

⑶有的情况下必须使用静态路由，如DDR、使用NAT技术的网络环境。 静态路由具有以下缺点：

⑴管理者必须真正理解网络的拓扑并正确配置路由。 ⑵网络的扩展性能差。如果要在网络上增加一个网络，管理者必须在所有路由器上加一条路由。 ⑶配置烦琐，特别是当需要跨越几台路由器通信时，其路由配置更为复杂。 2．简述RIP路由与OSPF路由的配置方法。

22

课题： 5.6交换机端口安全

一、任务的提出

1．任务目标

理解交换机端口安全功能，掌握端口安全配置方法。 2. 解决的问题

控制用户安全接入。 3. 原有知识要点

本课程为第五单元第十节内容，在前面的学习中，我们学习了交换机及路由器的基本使用配置方法，实现了不同网络之间的互联通信。在此基础上，我们将学习有关网络安全方面的知识。

二、教学目标

1. 知识目标

⑴ 网络安全问题的几种常见表现形式。 ⑵ 交换机的MAC地址表 2. 操作技能目标

掌握交换机端口安全配置方法。 3. 情感目标

让学生感受网络安全的重要性。

三、教学分析与准备

1. 教学重点

⑴ 配置端口最大安全地址数量。 ⑵ 本机MAC地址的查看 ⑶ 配置端口地址绑定。 2．教学难点 端口地址绑定 3. 教学方法

任务驱动学习和协作学习、探究学习相结合 4. 课时安排 2课时

5. 教学环境 网络实验室

四、学习过程 教学环节及手段 组织课堂 复习旧课 导入新课

教学内容 师生问好，准备上课。 通过提问方式考察学生对动态路由的掌握情况。 1．RIP路由协议的特点及配置方法？ 2．OSPF路由协议的特点及配置方法？ 通过学习有关交换机及路由器的相关知识，我们已经掌握实现不同网络之间相互连通的基本方法，虽然网络实现了互相连通，但在使用网络的过程中，会出现各种各样的问题，如IP冲突、遭受病毒攻击等等。怎样才能保证网络的稳定安全呢？本次课我们就来学习有关交换机的端口安全问题。 23

备注 学习新课 教师讲解

一、网络安全隐患 1．IP冲突 局域网内部用户乱改IP造成IP冲突，影响网络使用。 2．非法IP盗用 内部人员盗用权限更高人员的IP地址，以获得权限外的信息。 3．网络非法扩展 利用小型交换机在网络接入端非法接入设备，对网络运行造成影响。 4．ARP欺骗 ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网，从而导致PC“掉线”，不能上网。 5．广播风暴 交换机在工作过程中会在内存中建立一张地址-MAC对应表，这张表叫做MAC地址表，表中每个表项标明了到达某个MAC地址需要从哪个端口转发MAC数据帧。整张表的生成采动态学习的方法，交换机收到一个数据帧后，将帧的源地址和输入端口记录在地址表中，以后如果有发给这个源地址的数据帧，交换机会直接将它从记录的端口转发出去。每一条地址表项都有一个时间标记，用来指示此表项的存储了多长时间，如果在规定时间内此表项没有被引用，它就会被从表中移走。因此，MAC表中记录着最有效、最精确的地址与端口相互对应的信息。 交换机在转发收到的数据帧时，如果帧的目标地址是广播地址或组播地址，交换机将此帧向除源端口外的所有端口转发；如果帧的目标地址是单播地址，并且目标地址在MAC表内，则向记录的对应端口转发数据帧，否则亦向除源端口外的所有端口转发此帧；如果帧的目标地址与帧的源地址在同一端口上，交换机将丢弃此帧。 假如病毒伪造不同的源MAC地址从某一端口在很短的时间内向网络发送大量数据帧，这些不相同的源地址都会被记录在MAC表中，很快MAC地址表空间被完全占用，这时交换机不能再记录新的目标地址与端口对应项，此后，会出现大量在MAC表中找不到的目标地址的数据帧，这些帧被广播到交换机的所有端口（除源端口），结果导致网络传输拥塞，甚至导致交换机死机，这种现象称为广播风暴 24

让学生了解网络安全涉及的一些问题 教师演示

二、交换机端口安全设置 1．配置端口最大连接数 ⑴ 网络拓朴图 S2126-2 S2126-1 F0/24 F0/24 PC1 PC3 PC2 IP分配： 计算机 PC1 PC2 PC3 IP地址 192.168.1.1 192.168.1.2 192.168.1.3 二层交换机S2126-1与S2126-2通过F0/24口相连。 ⑵ 为交换机S2126-1的F0/24口配置最大安全地址数 S2126-1>enable ！输入命令enable进入特权模式 S2126-1#configure terminal ！输入命令进入全局配置模式 S2126-1(config)#interface fastethernet 0/24 ！配置交换机第24口 S2126-1(config-if)#switchport mode access ！将接口设置为access口，安全功能只能用于access口 S2126-1(config-if)#switchport port-security ！打开接口的端口安全功能 S2126-1(config-if)#switchport port-security maximum 1 ！将接口安全地址最大个数设置为1，最大取值128 S2126-1(config-if)#switchport port-security violation protect ！当该端口通过的安全MAC地址个数满1个后，将自动丢弃未知地址的数据包。 S2126-1(config-if)#no shutdown ！将接口启用，使其可以转发数据 S2126-1(config-if)#end ！退出接口配置模式,回到特权模式,也可按快捷键ctrl+z S2126-1# ⑶ 查看接口安全统计信息 S2126-1# show port-security ⑷ 先用ping命令测试PC2与PC1的连通性，再用ping命令测试PC3与PC1的连通性，观察测试结果 ⑸更改安全违例处理方式，测试PC2与PC1、PC3与25

配置时一定要先打开端口安全功能

PC1连通性，观察违例处理测试结果。 安全违例的处理方式： 如果一个交换机端口被配置为安全端口，那么当安全地址数目已达到允许的最大个数或者端口收到的源地址不是此端口上设置的安全地址时，一个安全违例将产生。安全违例产生后，通常有以下几种处理方式： Protect：发现违例，则丢弃违例的报文。 Restric：发现违例，则丢弃违例的报文并且发送trap通知。 Shutdown：发现违例，则丢弃违例的报文、发送trap 并且关闭接口。当端口因为安全违例被关闭后，可在全局配置模式下用命令errdisable recovery将端口从错误状态恢复过来。 2．端口和安全地址绑定 ⑴ 网络拓朴图 S2126-2 S2126-1 F0/24 F0/24 PC1 PC3 PC2 IP分配： 计算机 PC1 PC2 PC3 IP地址 192.168.1.1 192.168.1.2 192.168.1.3 二层交换机S2126-1与S2126-2通过F0/24口相连。 ⑵ 查看PC2的MAC与IP地址 在windows系统中运行CMD，打开一个DOS窗口，输入命令ipconfig /all即可查看本机的MAC及IP地址。 ⑶ 为交换机S2126-1的F0/24口绑定PC2地址 S2126-1>enable S2126-1#configure terminal S2126-1(config)#interface fastethernet 0/24 S2126-1(config-if)#switchport mode access S2126-1(config-if)#switchport port-security S2126-1(config-if)#switchport port-security maximum 1 ！将接口安全地址最大个数设置为1 S2126-1(config-if)#switchport port-security mac-address 000019.214B.A3CA ip-address 192.168.1.2 ！为S2126-1的第24口绑定PC2的MAC与IP地址 S2126-1(config-if)#switchport port-security violation protect ！当该端口通过的安全地址不是手动绑定的安全地址26

让学生注意配置安全地址的同时还应该对最大安全地址数作出限制 课堂小结 时将自动丢弃未知地址的数据包。 S2126-1(config-if)#no shutdown S2126-1(config-if)#end S2126-1# ⑷ 查看接口安全地址统计信息 S2126-1# show port-security address ⑸ 用ping命令测试PC2与PC1的连通性，观察测试结果。 ⑹ 用ping命令测试PC3与PC1的连通性，观察测试结果。 ⑺ 更改安全违例处理方式，测试PC2与PC1、PC3与PC1连通性，观察违例处理测试结果。 三、研究学习 如何解决ARP欺骗 1．最安全的方法是采用可网管交换机，对每台交换机的每个端口进行MAC和IP地址绑定。 2．也可以采用软件ARP防火墙，如AntiARP。 3．如果条件不允许，可采用以下经济方便的双向绑定的方法，即局域网内部主机中绑定网关的IP和MAC地址，网关中同时绑定每台主机的IP和MAC地址。 首先，在PC上绑定网关路由器的IP和MAC地址。编写一个包含如下内容的批处理文件放在windows“启动”组中： @echo off ！关闭在执行命令时回显命令行 arp –d ！删除ARP表所有内容 arp -s 192.168.1.254 00-19-21-4B-A3-CA ！绑定网关路由器的IP和MAC地址 其次，在路由器上绑定用户主机的IP和MAC地址。目前大部分路由器支持用户主机IP与MAC地址的绑定。 如锐捷路由器R1762在配制模式下使用如下命令绑定主机的IP与MAC地址： arp arpa 如:arp 192.168.4.1 00d3.4443.3345 arpa 1．设置端口最大安全地址数 2．端口安全地址绑定 拓展练习：

27

1．怎样配置端口最大安全地址数。

2．端口安全地址绑定有几种方式，怎样配置。（单MAC、单IP、MAC+IP）

28

课题： 5.7访问控制列表

一、任务的提出

1．任务目标

掌握为交换机、路由器接口配置访问控制列表的方法，实现网络安全访问。 2. 解决的问题

控制用户之间的相互访问。 3. 原有知识要点

本课程为第五单元第十一节内容，在前面的学习中，我们学习了交换机接口安全，解决了网络的非法接入问题。在此基础上，我们将学习有关访问控制列表的配置方法，以实现网络间的安全访问。

二、教学目标

1. 知识目标

⑴ 理解什么是访问控制列表。 ⑵ 掌握访问控制列表的基本准则 2. 操作技能目标

⑴ 掌握在交换机中配置ACL的方法。 ⑵ 掌握在路由器中配置ACL的方法。 3. 情感目标

让学生理解ACL对网络访问控制的重要性和灵活性。

三、教学分析与准备

1. 教学重点

⑴ 标准访问列表的使用。 ⑵ 扩展访问列表的使用。 2．教学难点

扩展访问控制列表。 3. 教学方法

任务驱动学习和协作学习、探究学习相结合 4. 课时安排 2课时

5. 教学环境 网络实验室

四、学习过程 教学环节及手段 组织课堂 复习旧课 导入新课

教学内容 师生问好，准备上课。 通过提问方式考察学生对交换机端口安全配置的掌握情况。 1．交换端口最大安全地址数配置方法。 2．交换端口绑定MAC与IP地址的配置方法。 通过学习有关交换机端口安全方面的知识，我们解决了网络接入端的安全问题，有效地防止了人为因素或病毒原因对网络造成的不良影响。而在网络相互访问过程中，我们经常需要控制哪些网络可以访问另外哪些网络，不可以访问哪些网络，比如在学校中学生网络不能访问教师网29

备注 学习新课 教师讲解

络，在公司中财务网络不允许其它网络访问等等，要解决这些访问控制问题，就需要用到我们今天要学习的访问控制列表相关知识。 一、访问控制列表 1．什么是访问控制列表 访问控制列表(access controller list)简称ALC，通过将一组规则应用于路由器或交换机的某些接口，对流经网络设备的数据包进行过滤，只有被允许的信息才能通过接口，从而实现网络的安全访问。 2．访问列表的分类 ⑴ 标准访问控制列表。 只能根据数据源IP地址，进行数据包的过滤。 ⑵ 扩展访问控制列表。 根据数据包中源IP、目标IP、源端口、目的端口、协议进行过滤。 3．ACL的基本准则 ⑴ 一切未被允许的就是禁止的。 ⑵ 至顶向下逐条匹配 ⑶ 匹配成功马上停止 ⑷ 匹配成功马上将规则应用于接口 交换机及路由器缺省允许所有的信息流通过。 4．定义访问控制列表的方法步骤 第一步，定义访问规则，即允许哪些数据通过或不允许哪些数据通过； ⑴ 在路由器中定义访问控制列表： ? 定义标准访问控制列表： access-list <1-99> {permit|deny} 源地址 [反掩码] ? 定义扩展访问控制列表： access-list <100-199> {permit|deny} 协议 源地址 反掩码 [源端口] 目标地址 反掩码 [目标端口] ⑵ 在交换机中定义访问控制列表： ? 定义标准访问控制列表： IP access-list {extended|standard} <访问列表名称> {permit|deny} 源地址 [反掩码] ? 定义扩展访问控制列表： IP access-list {extended|standard} <访问列表名称> {permit|deny} 协议 源地址 反掩码 [源端口] 目标地址 反掩码 [目标端口] ⑶两个特殊的反掩码： ? 反掩码0.0.0.0 表示目标IP地址的32位都要进行检查，即将目标地址限定为了一个IP地址，这种目标地址只有一个的情况可以简化为用host 地址来表示。 30

注意标准访问与扩展访问列表的区别 注意规则应用于接口后缺省规则改变 注意路由器采用列表编号，交换机采用列表名称 让学生掌握两个特殊反掩码的简写方法

教师演示讲解

? 反掩码255.255.255.255 表示对IP地址的32位都不做检查，即可以是任意IP地址，这样的IP地址可用any来表示。 第二步，将规则应用于路由器或交换机接口。将规则应用于三层接口时分为入栈应用（in）和出栈应用(out)两种控制方式，即指明是对流进接口的数据流进行控制还是对流出接口的数据流进行控制。在应用规则时，应用选择离受限网络较近的接口，避免无效数据流占用网络带宽。 ⑴ 路由器中将访问控制列表应用于接口： Router(config-if)#ip access-group <1-199> {in|out} ⑵ 交换机中将访问控制列表应用于接口： Switch(config-if)#ip access-group <列表名> {in|out} 注：锐捷交换机SVI 接口控制有in和out两个方向，物理接口只能控制in方向。 5．ACL的显示 ⑴ 显示全部或指定的访问控制列表 Router)#show access-lists [<列表编号>/<列表名称>] ⑵ 显示接口的访问控制列表应用 Router)#show access-group 5．ACL的删除 ⑴ 删除路由器中的访问控制列表： No access-list <访问列表编号> ⑵ 删除交换机中的访问控制列表： No IP access-list {extended|standard} <访问列表名称> 二、访问控制列表配置应用实例 1．在三层交换机S3760内部创建扩展访问列表，只允许网络192.168.1.0网络内所有主机访问HTTP服务器172.15.100.3。 ⑴网络拓朴图 注意观察ACL应用后的隔离效果 S3760 F0/23 F0/24 172.15.100.3 192.168.1.0 ⑵将三层交换机S3760的23口、24口配置为三层接 口并配置IP地址。 ⑶定义ACL S3760(config)# ip access-list standard abc S3760(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 172.15.100.3 0.0.0.0 eq www S3760(config-ext-nacl)#end S3760#show access-lists 31

⑷将规则应用于交换机F0/24口。 S3760(config)# ip access-group abc in ⑸用ping命令测试网络192.168.1.0与HTTP服务器的连通性。 2．禁止学生网络192.168.2.0通过路由器访问FTP服务器192.168.1.1 ⑴网络拓朴图 F1/1 F1/0 172.15.100.3 192.168.2.0 ⑵为路由器R1762的F1/1、F1/0口配置相应IP地址。 ⑶定义ACL Red-Giant(config)#access-list 101 deny 192.168.2.0 0.0.0.255 host 192.168.1.1 eq ftp Red-Giant(config)#access-list 101 permit ip any any ⑷将规则应用于路由器F1/0口。 Red-Giant(config)#interface fa1/0 Red-Giant(config-if)#ip access-group 101 in Red-Giant(config-if)#no shutdown ⑸用ping命令测试网络192.168.2.0与FTP服务器的 连通性。 三、研究学习 利用ACL隔离冲击波病毒 进一步理解扩针对冲击波病毒所涉及到的端口进行限制，配置命令列展访问列表的表： 强大功能 Access-list 111 deny udp any any eq 69 Access-list 111 deny tcp any any eq 135 Access-list 111 deny udp any any eq 135 Access-list 111 deny udp any any eq 137 Access-list 111 deny udp any any eq 138 Access-list 111 deny tcp any any eq 139 Access-list 111 deny udp any any eq 139 Access-list 111 deny tcp any any eq 445 Access-list 111 deny tcp any any eq 593 Access-list 111 deny tcp any any eq 4444 Access-list 111 permit ip any any Inface <路由接口类型> <接口编号> Ip access-group 111 in Ip access-group 111 out 32

课堂小结 1．ACL的作用 2．ACL基本准则 3．ACL的分类 4．ACL的使用 拓展练习：

1．常见的ACL基本上分为几种类型。 2．比较两种不同类型的ACL的异同点。 3．ACL的基本准则是什么。

4．ACL应用于接口的一般原则是什么。

5．在交换机上使用ACL与在路由器上使用ACL有什么不同。

33

课题： 5.8访问控制列表

一、任务的提出

1．任务目标

掌握在路由器上配置NAPT。 2. 解决的问题

实现局域网访问Internet。 3. 原有知识要点

本课程为第五单元第十二节内容，在前面的学习中，我们学习了交换机与路由器的配置基本方法，解决了区域网络互联问题。在此基础上，我们将学习有关NAT的配置方法，以实现局域网与互联网的连接。

二、教学目标

1. 知识目标

⑴ 理解什么是NAT。

⑵ 理解NAT的几种分类。 2. 操作技能目标

⑴ 三层交换机与路由器间的路由通信。

⑵ 采用动态NAPT实现局域网访问Internet。 3. 情感目标

理解动态NAPT在广域网通信中解决IPv4地址不足问题的重要作用。

三、教学分析与准备

1. 教学重点

⑴ 三层交换机与路由器的通信。 ⑵ 动态NAPT配置。 2．教学难点

动态NAPT配置。 3. 教学方法

任务驱动学习和协作学习、探究学习相结合 4. 课时安排 2课时

5. 教学环境 网络实验室

四、学习过程 教学环节及手段 组织课堂 复习旧课 导入新课

教学内容 师生问好，准备上课。 通过提问方式考察学生对ACL掌握情况。 1．标准ACL与扩展ACL的区别。 2．定义ACL的步骤及命令。 在以前的课程中我们学习了交换机与交换机、路由器与路由器的连接通信方法，解决了局域网络、区域网络的连接问题。今天我们将综合运用前面所学知识，通过交换机、路由器互连，利用NAT技术，实现局域网与互联网的连接。 34

备注 学习新课 教师讲解

一、NAT技术 1．什么是NAT、NAPT NAT是Network Address Translator的缩写，即网络地址转换，采用NAT技术可将网络地址从一个空间转换到另外一个地址空间，转换后，一个本地IP地址对应一个全局IP地址。 NAPT是Network Address Port Translator的缩写，即网络地址端口转换，采用NAPT技术可将多个本地IP地址对应一个全局IP地址，从而实现多台主机同时访问外部网络。 2．NAT的基本原理 NAT解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址（公共IP地址）在Internet上使用，其具体的做法是把IP包内的地址域用合法的IP地址来替换。下面以TCP为主要对象讨论其工作原理。 TCP是建立在连接抽象（connection abstraction）基础之上的，TCP把端点（endpoint）定义为一对整数（host，port），即（主机，端口），用1对端点来标识1条虚电路连接，因此可以将1条TCP连接用1个4元组（source：port；destion：port），即（源地址：源端口；目标地址：目标端口）来定义，这样的一个连接抽象允许多个连接共享1个端点，例如2条连接（192.168.1.1：1184；192.168.2.1：80）和（192.168.1.2：1155；192.168.2.1：80）共享同1个端点（192.168.1.3：80），但又并不会引起歧义，可见这种基于连接的抽象为利用1个IP地址进行外部世界的访问提供了基础。 NAT网关拥有内网端口和外网端口，两个端口各被分配一个IP地址，其中外网端口的IP地址是合法的全球唯一的IP地址,如200.200.200.200，内网端口的IP地址一般为私有地址，如设为192.168.1.2。当内部网络中的一台主机A（IP地址为192.168.1.2）要访问Internet上的Web服务器B（主机地址为222.222.222.222），首先A要与B建立TCP连接，设定主机A为此次连接分配的TCP端口为1024，此时主机A将IP数据包（D＝222.222.222.222：80，S＝192.168.1.2：1024）发向NAT网关，当NAT接受到数据包后，会将数据包中的私有IP地址192.168.1.2用本地全局地址200.200.200.200替换，即将数据包中的地址修改为（D＝222.222.222.222：80，S＝200.200.200.200：1024），然后将修改地址后的数据包发向Internet，由此可见，此数据包中此时已经不含任何私有地址的信息。NAT已经记录下这对映射：（D＝222.222.222.222：80，S＝192.168.1.2：1024）、（D＝222.222.222：80，S＝200.200.200.200：1024）。以后当NAT接受到这一对主机间的任何一个IP分组时，35

让学生对NAT的工作原理有一个简单的理解

可通过图示的方法讲清楚每种NAT的特点，重点放在NATP，具体配置方法可不讲

NAT网关会查询内部的映射记录表，根据地址映射关系使IP分组顺利通过NAT网关，实现主机间的通信。 3．和NAT相关的几个术语。 什么是内部本地地址、内部全局地址、外部本地地址、外部全局地址？ 如图所示，对于企业A，192.168.1.0网段包括的IP地址称为其内部IP地址，192.168.200.1称为其内部全局地址，211.12.168.5称为其外部全局地址，192.168.2.0网段包括的IP地址称为其外部本地地址。 4．NAT的分类及配置方法 NAT在使用时可分为静态NAT 、静态NAPT 、动态NAT和动态NAPT四种情况。 (1) 静态NAT 内部网络与外部网络建立永久的一对一IP地址映射关系。上图中企业A内部一台主机要连接外网可在路由器RA做如下配置： RA(config)#interface fastethernet 1/0 RA(config-if)#ip nat inside !配置为内部网络接口 RA(config-if)#ip address 192.168.1.254 255.255.255.0 ！为F1/0配置IP地址，亦即内部主机的网关地址 RA(config-if)#exit RA(config)#interface fastethernet 1/1 RA(config-if)#ip nat outside！F1/1配置为外部网络接口 RA(config-if)#ip address 192.16.200.1 255.255.255.0 ！为接口F1/1配置IP地址，亦即企业A用于连接外网的公有IP地址 RA(config-if)#exit RA(config)#ip nat inside source static 192.168.1.1 192.16.200.1 !建立内部IP地址192.168.1.1与外部IP地址192.16.200.1一对一的静态映射关系。 (2) 静态NAPT 内部网络与外部网络建立永久的一对一IP地址映射关系，与NAT的主要区别是设置时需要指定协议的端口。上图中企业A内部一台主机要连接外网可在路由器RA做如下配置： RA(config)#interface fastethernet 1/0 RA(config-if)#ip nat inside !配置为内网接口 RA(config-if)#ip address 192.168.1.254 255.255.255.0 ！为接口F1/0配置IP地址，此IP是内部主机的网关地址 36

RA(config-if)#exit RA(config)#interface fastethernet 1/1 RA(config-if)#ip nat outside ！F1/1配置为外网接口 RA(config-if)#ip address 192.16.200.1 255.255.255.0 ！为接口F1/1配置IP地址，此IP是企业A用于连接外网的IP地址 RA(config-if)#exit RA(config)#ip nat inside source static TCP 192.168.1.1 1024 192.16.200.1 1024 RA(config)#ip nat inside source static UDP 192.168.1.1 1024 192.16.200.1 1024 ！建立内部IP 192.168.1.1与外部IP 192.16.200.1一对一的端口静态映射关系。 (3) 动态NAT 内部网络与外部网络建立多对一或多对多的IP地址映射关系，但同一时间只能有一个内网IP与一个外网IP建立映射关系，也就是同时连接外网的主机数量取决于拥有的外部IP数量。上图中企业A内部多台主机要连接外网可在路由器RA做如下配置： RA(config)#interface fastethernet 1/0 RA(config-if)#ip nat inside RA(config-if)#ip address 192.168.1.254 255.255.255.0 ！为接口F1/0配置IP地址,亦即内部主机的网关地址 RA(config-if)#exit RA(config)#interface fastethernet 1/1 RA(config-if)#ip nat outside ！配置为外网接口 RA(config-if)#ip address 192.16.200.1 255.255.255.0 ！为接口F1/1配置IP地址，此IP是企业A用于连接外网的IP地址 RA(config-if)#exit RA(config)# access-list 1 permit 192.168.1.0 0.0.0.255 !利用访问控制列表定义内部本地地址范围,即允许192.168.1.0这个网络通过接口 RA(config)# ip nat pool aaa 192.16.200.1 192.16.200.1 netmask 255.255.255.0 ！定义内部全局地址范围，亦称全局地址池，地址范围起始IP要小于或等于终止IP，并且两个IP地址要求在同一网络内，只有一个IP时，起始IP与结束IP相等。 RA(config)#ip nat inside source list 1 pool aaa !建立内部IP地址范围与外部IP地址池之间的动态映射关系。 (4) 动态NAPT 内部网络与外部网络建立多对一或多对多的IP地址映射关系，同一时间允许有多个内网IP与某个外网IP建37

立映射关系，也就是同时连接外网的主机数量可多于外部IP数量。上图中企业A内部多台主机要同时连接外网，在路由器RA中所做配置与动态NAT配置基本相同，只是需要在最后一条配置命令结尾加overload，命令如下： RA(config)#ip nat inside source list 1 pool aaa overload 二、局域网专线接入互联网应用实例 目标：实现PC1、PC1同时打开PC3上发布的站点。 1．网络拓朴及IP分配。 vlan10 F0/22 S2126 F0/23 F0/24 Vlan20 S3760 F1/0 R1762 F1/1 PC1 PC2 Vlan100 PC3 IP分配： VLAN10 VLAN20 VLAN100 PC1 PC2 PC3 F1/0 F1/1 192.168.10.254 192.168.20.254 192.168.100.254 IP：192.168.10.1 网关：192.168.10.254 IP：192.168.20.1 网关：192.168.20.254 IP：192.168.30.1 网关：192.168.30.254 192.168.100.2 192.168.30.254 2．为PC1、PC2、PC3设置IP及网关。 3．连接网络。将PC1接至S2126第1口，将PC2接至S2126第15口，将PC3接至路由器F1/1口，将S2126的F0/22接口接到S3760的F0/23接口，将S3760的F0/23接口接到路由器F1/0接口。 4．对S2126进行VLAN划分：第1至12口划分到VLAN10，第13至24口划分到VLAN20。将S3760的F0/24接口划分到VLAN100。 5．将S2126的F0/22接口与S3760的F0/23接口工作模式设置为TRUNK。 6．在S3760中为VLAN10、VLAN20、VLAN100配置接口IP地址。并在特权模式下使用命令“show ip 38

让学生养成画网络拓朴的习惯 2、3、4、5、6、7、8内容是复习

interface”显示接口配置。 S3760 (config)#interface vlan 10 S3760 (config-if)#ip address 192.168.10.254 255.255.255.0 S3760 (config-if)#no shutdown S3760 (config-if)#exit S3760 (config)#interface vlan 20 S3760 (config-if)#ip address 192.168.20.254 255.255.255.0 S3760 (config-if)#no shutdown S3760 (config-if)#exit S3760 (config)#interface vlan 100 S3760 (config-if)#ip address 192.168.100.254 255.255.255.0 S3760 (config-if)#no shutdown S3760 (config-if)#exit 7．为路由器接口配置IP地址。在特权模式下使用命令“show ip interface frief”显示接口配置情况。 8．在S3760内部配置缺省路由。 S3760 (config)#ip route 0.0.0.0 0.0.0.0 192.168.100.2 9．在路由器R1762内部配置静态路由。 R1762 (config)#ip route 192.168.10.0 255.255.255.0 192.168.100.254 R1762 (config)#ip route 192.168.20.0 255.255.255.0 192.168.100.254 R1762 (config)#ip route 0.0.0.0 0.0.0.0 F1/1 交换机与路由器之间通信，静态路由配置要使用下一跳IP地址。 10．在路由器R1762内部配置动态NAPT。 R1762 (config)#interface fastethernet 1/0 R1762 (config-if)#ip nat inside R1762 (config-if)#exit R1762 (config)#interface fastethernet 1/1 R1762 (config-if)#ip nat outside R1762 (config-if)#exit R1762 (config)# access-list 1 permit 192.168.1.0 0.0.0.255 R1762 (config)# ip nat pool aaa 192.168.30.254 192.168.30.254 netmask 255.255.255.0 R1762 (config)#ip nat inside source list 1 pool aaa overload 11．测试网络连通性。 ⑴用PC1、PC2访问PC3发布的站点。 ⑵用show running-config查看S2126、S3760、R1762的配置结果。 三、研究学习 39

让学生理解缺省路由的作用及重要性 学习重点与难点 课堂小结 利用三层交换物理接口与路由器通信 上面我们在三层交换机内使用SVI实现了与路由器的通信，我们也可以采用交换机三层物理接口实现与路由器的通信。方法是：将VLAN100去掉，将S3760的F0/24口转换为三层接口并配置IP地址为192.168.100.254，其它配置不变。 S3760 (config)#interface Fastethernet f0/24 S3760 (config-if)#no switchport S3760 (config-if)#ip address 192.168.100.254 255.255.255.0 S3760 (config-if)#no shutdown S3760 (config-if)#exit 1．NAT的分类。 2．NAPT的配置方法。 鼓励学生用不同的方法解决问题

拓展练习：

1．NAT分为几种类型？

2．路由器与交换机互连配置静态路由时应该注意什么问题？ 3．怎样配置动态NAPT？

40

本文来源：https://www.bwwdw.com/article/c6xp.html