路由交换实验指导书1.docx

1、路由交换实验指导书1计算机网络路由交换实验平台路由交换验指导书打造新一代高校通信实验平台深圳市讯方通信技术有限公司目 录实验一：VLAN间通过VLANIF接口通信 3实验二：配置交换机VLAN 聚合实验 5实验三：配置路由远程桥接功能 8实验四：配置防火墙的PPPoE功能 10实验五：配置防火墙VLAN间通过VLANIF接口通信 12实验六：配置防火墙VLAN Trunk 15实验一：VLAN间通过VLANIF接口通信一，组网需求企业的不同部门拥有相同的业务，如上网、VoIP等业务，且各个部门中的用户位于不同的网段。目前存在不同的部门中相同的业务所属的VLAN不相同，现需要实现不同VLAN中的

2、用户相互通信。如图1-1所示，部门1和部门2中拥有相同的业务上网业务，但是属于不同的VLAN且位于不同的网段。现需要实现部门1与部门2的用户互通。图1-1配置VLAN间通过VLANIF接口通信组网图二，配置思路采用如下的思路配置VLAN间通过VLANIF接口通信：1在交换机上创建VLAN，确定用户所属的VLAN。2在交换机上配置允许用户所属的VLAN通过当前二层端口。3在三层交换机上创建VLANIF接口并配置IP地址，实现三层互通。说明：为了成功实现VLAN间互通，VLAN内主机的缺省网关必须是对应VLANIF接口的IP地址。三，数据准备为完成此配置例，需准备如下的数据：1在Switch上配置

3、接口Eth0/0/1加入VLAN10和VLAN20。2在Switch上配置VLANIF10的IP地址为10.10.10.2/24。3在Switch上配置VLANIF20的IP地址为20.20.20.2/24。4在SwitchA上配置接口Eth0/0/1加入VLAN10和VLAN20。5在SwitchA上配置接口Eth0/0/2加入VLAN10。6在SwitchA上配置接口Eth0/0/3加入VLAN20。四，配置步骤1. 配置Switch# 创建VLAN system-viewQuidway vlan batch 10 20# 配置接口加入VLANQuidway interface ether

4、net 0/0/1Quidway-Ethernet0/0/1 port link-type trunkQuidway-Ethernet0/0/1 port trunk allow-pass vlan 10 20Quidway-Ethernet0/0/1 quit# 配置VLANIF接口的IP地址Quidway interface vlanif 10Quidway-Vlanif10 ip address 10.10.10.2 24Quidway-Vlanif10 quitQuidway interface vlanif 20Quidway-Vlanif20 ip address 20.20.20

5、.2 24Quidway-Vlanif20 quit2. 配置SwitchA# 创建VLAN system-viewQuidway vlan batch 10 20# 配置接口加入VLANQuidway interface ethernet 0/0/1Quidway-Ethernet0/0/1 port link-type trunkQuidway-Ethernet0/0/1 port trunk allow-pass vlan 10 20Quidway-Ethernet0/0/1 quitQuidway interface ethernet 0/0/2Quidway-Ethernet0/0/

6、2 port link-type accessQuidway-Ethernet0/0/2 port default vlan 10Quidway-Ethernet0/0/2 quitQuidway interface ethernet 0/0/3Quidway-Ethernet0/0/3 port link-type accessQuidway-Ethernet0/0/3 port default vlan 20Quidway-Ethernet0/0/3 quit 五，检查配置结果在VLAN10中的PC1上配置缺省网关为VLANIF10接口的IP地址10.10.10.2/24。在VLAN20中

7、的PC2上配置缺省网关为VLANIF20接口的IP地址20.20.20.2/24。配置完成后，VLAN10内的PC1与VLAN20内的PC2能够相互访问。实验二：配置交换机VLAN 聚合实验一，组网需求如图2-1 所示，S-switch 的接口Ethernet0/0/1 连接PC1，Ethernet0/0/2 连接PC2，Ethernet0/0/3 连接PC3，Ethernet0/0/4 连接PC4。要求通过Proxy ARP 后，VLAN2 和VLAN3 之间可以互相三层通信。图2-1 配置VLAN 聚合组网图二，配置思路采用如下的思路配置VLAN 聚合：1. 创建sub-VLAN。2. 把

8、sub-VLAN 聚合为super-VLAN。3. 配置VLANIF 接口的IP 地址。4. 配置sub-VLAN 的Proxy ARP。说明：PC1、PC2、PC3 和PC4 需要预先配置IP 地址，并使它们和VLAN4 处于同一网段。三，数据准备为完成此配置例，需准备如下的数据：1sub-VLAN 的ID 为2 和3，super-VLAN 的ID 为4。2Ethernet0/0/1、Ethernet0/0/2 属于VLAN2。3Ethernet0/0/3、Ethernet0/0/4 属于VLAN3。4super-VLAN 的IP 地址为129.9.0.1。5将终端PC的IP地址分别设置为:

9、 PC1为129.9.0.101/255.255.255.0。PC2为129.9.0.102/255.255.255.0。PC3为129.9.0.103/255.255.255.0。PC4为129.9.0.104/255.255.255.0。四，配置步骤1.设置接口的类型。 system-viewQuidwayinterface Ethernet 0/0/1Quidway-Ethernet0/0/1port link-type accessQuidway-Ethernet0/0/1quitQuidwayinterface Ethernet 0/0/2Quidway-Ethernet0/0/2p

10、ort link-type accessQuidway-Ethernet0/0/2quitQuidwayinterface Ethernet 0/0/3Quidway-Ethernet0/0/3port link-type accessQuidway-Ethernet0/0/3quitQuidwayinterface Ethernet 0/0/4Quidway-Ethernet0/0/4port link-type accessQuidway-Ethernet0/0/4quit2. 创建sub-VLAN 的ID 为2。Quidway vlan 23. 将接口Ethernet0/0/1、Ethe

11、rnet0/0/2 加入到VLAN2 中。Quidway-vlan2 port ethernet 0/0/1 0/0/2Quidway-vlan2 quit4. 创建sub-VLAN 的ID 为3。Quidway vlan 35. 将接口Ethernet0/0/3、Ethernet0/0/4 加入到VLAN3 中。Quidway-vlan3 port ethernet 0/0/3 0/0/4Quidway-vlan3 quit6. 创建super-VLAN 的ID 为4,并将sub-VLAN2、3 加入到super-VLAN 中。Quidway vlan 4Quidway-vlan4 aggr

12、egate-vlanQuidway-vlan4 access-vlan 2 to 3Quidway-vlan4 quit7. 配置接口VLANIF4 的IP地址为129.9.0.1（如果是二层交换机的话，就要先实行命令：undo interface vlanif 1。因为接口默认类型为vlanif 1类型）。Quidway interface vlanif 4S-switch-Vlanif4 ip address 129.9.0.1 255.255.255.08. 配置Proxy ARP 功能。S-switch-Vlanif4 arp-proxy inter-sub-vlan-proxy en

13、ableS-switch-Vlanif4 quit五，验证配置结果VLAN2 的PC 与VLAN3 的PC 间可以互相三层通信：1.用PC1 ping PC3或PC4可以ping通。2.用PC2 ping PC3或PC4可以ping通。3.更改VLAN4的接口地址与终端PC不在同一网段后，PC1和PC2不能与PC3或PC4进行通信，此时只能PC1 ping通PC2，PC3 ping通PC4。更改VLAN4接口IP的命令如下:例如：将VLAN4接口的IP地址更改为10.10.10.1 255.255.255.0S-switchinterface vlanif 4S-switch-Vlanif4i

14、p address 10.10.10.1 255.255.255.0S-switch-Vlanif4quit实验三：配置路由远程桥接功能一，组网需求LAN 1和LAN 2中的PC终端可以通过桥接通信，不需要进行IP路由，从而达到透过广域网，进行网上邻居的直接访问和其他应用。二，硬件需求与连线1硬件需求：路由器AR2200（2台），终端PC（2台）。备注:本实验以第1组为例，终端PC分别为第1组的WS1，WS2。三，配置思路采用如下的思路配置QinQ 接口：1在创建网桥组，生成虚拟网桥；2. 创建网桥组，生成虚拟网桥3.在RouterA和RouterB上配置Ethernet1/0/1接口加入网桥

15、组；四，数据准备为完成此配置例，需准备如下的数据：1将终端PC的IP地址分别设置为:PC1为129.9.0.101/255.255.255.0。PC2为129.9.0.102/255.255.255.0。五，配置步骤1.RouterA的配置 Routersystem-viewRoutersysname RouterARouterAbridge 1RouterA-bridge1interface Ethernet1/0/0RouterA-Ethernet1/0/0bridge 1 RouterA-Ethernet1/0/0interface Ethernet1/0/1RouterA-Ethern

16、et1/0/0bridge 1 RouterA-Ethernet1/0/0return2.RouterB的配置 Routersystem-viewRoutersysname RouterBRouterBbridge 1RouterB-bridge1interface Ethernet1/0/0RouterB-Ethernet1/0/0bridge 1 RouterB-Ethernet1/0/0interface Ethernet1/0/1RouterB-Ethernet1/0/0bridge 1 RouterB-Ethernet1/0/0return 加入网桥组的接口为三层接口，三层接口除了以

17、太类型，还有ATM、Serial等其他类型。 LAN 1和LAN 2中的PC终端在同一网段。 网桥组编号相同。六，验证配置结果LAN 1中的PC终端和LAN 2中的PC终端可以互相ping通即：PC1和PC2可以互相ping通。实验四：配置防火墙的PPPoE功能一，组网需求如图1所示，USG_A和USG_B通过GigabitEthernet 0/0/0相连。要求USG_A采用PAP方式验证USG_B。图1 PPPoE配置举例二，数据准备(1) 接口号：GigabitEthernet 0/0/0，安全区域：Trust(2) 接口号：GigabitEthernet 0/0/0，安全区域：Trust

18、Virtual-Template 1 IP地址：10.10.10.1/24，安全区域：三，配置步骤# 配置USG_A作为PPPoE Server。 # 增加一个PPPoE用户。 system-viewUSG_A aaaUSG_A-aaa local-user userb password simple Password2USG_A-aaa local-user userb service-type pppUSG_A-aaa quit# 配置虚拟模板参数。USG_A interface virtual-template 1USG_A-Virtual-Template1 ppp authentic

19、ation-mode papUSG_A-Virtual-Template1 ip address 10.10.10.1 24USG_A-Virtual-Template1 remote address 10.10.10.2USG_A-Virtual-Template1 quit# 配置PPPoE Server。USG_A interface GigabitEthernet 0/0/0USG_A-GigabitEthernet0/0/0 pppoe-server bind virtual-template 1USG_A-GigabitEthernet0/0/0 shutdownUSG_A-Gig

20、abitEthernet0/0/0 undo shutdownUSG_A-GigabitEthernet0/0/0 quit配置USG_B作为PPPoE Client。 # 配置USG_B作为PPPoE Client。 system-viewUSG_B dialer-rule 1 ip permitUSG_B interface dialer 1USG_B-Dialer1 dialer user userbUSG_B-Dialer1 dialer-group 1USG_B-Dialer1 dialer bundle 1USG_B-Dialer1 ip address ppp-negotiate

21、USG_B-Dialer1 ppp pap local-user userb password simple Password2USG_B-Dialer1 quit# 配置PPPoE会话。USG_B interface GigabitEthernet 0/0/0USG_B-GigabitEthernet0/0/0 pppoe-client dial-bundle-number 1对于USG系列，将接口加入安全区域，并配置域间包过滤，以保证网络基本通信正常，具体步骤略。对于USG BSR/HSR系列，不需要将接口加入安全区域以及配置包过滤。 四，验证配置结果配置完成后，可以查看到PPPoE Se

22、rver端和PPPoE Client端的session信息。且USG_A和USG_B可以相互ping通。查看PPPoE Server端的session信息。USG_A display pppoe-server session allSID Intf State OIntf RemMAC LocMAC1 Virtual-Template1:0 UP GE0/0/0 0022.a100.11ab 0018.82cf.ebed查看PPPoE Client端的session信息。USG_B display pppoe-client session summary dial-bundle-number

23、1PPPoE Client Session:ID Bundle Dialer Intf Client-MAC Server-MAC State1 1 1 GE0/0/0 0022a10011ab 001882cfebed PPPUP 实验五：配置防火墙VLAN间通过VLANIF接口通信一，组网需求如图1所示，USG的VLAN2包含接口Ethernet 5/0/0和接口Ethernet 5/0/1；VLAN3包含Ethernet 5/0/2和Ethernet 5/0/3。要求VLAN2内的主机和VLAN3内的主机之间可以相互通信。二，配置思路1. 配置VLAN，并加入接口，将USG下的设备划分到

24、两个VLAN。 2. 创建VLANIF接口，配置VLANIF接口的IP地址。 3. 配置安全区域及域间包过滤规则。 4. 配置主机网关为VLANIF接口的IP地址。三，操作步骤1. 配置VLAN，并加入接口。 # 创建VLAN2，向VLAN2中加入接口Ethernet 5/0/0和Ethernet 5/0/1。 system-viewUSG vlan 2USG-vlan-2 port interface Ethernet 5/0/0USG-vlan-2 port interface Ethernet 5/0/1USG-vlan-2 quit# 创建VLAN3，向VLAN3中加入接口Ethern

25、et 5/0/2和Ethernet 5/0/3。USG vlan 3USG-vlan-3 port interface Ethernet 5/0/2USG-vlan-3 port interface Ethernet 5/0/3USG-vlan-3 quit2. 配置VLANIF接口。 # 创建并进入VLANIF2接口。USG interface vlanif 2# 配置VLANIF2的IP地址。USG-Vlanif2 ip address 120.1.1.1 24# 退回到系统视图。USG-Vlanif2 quit# 创建并进入VLANIF3接口。USG interface vlanif 3

26、# 配置VLANIF3的IP地址。USG-Vlanif3 ip address 130.1.1.1 24# 退回到系统视图。USG-Vlanif3 quit3. 配置VLANIF接口加入安全域并配置域间包过滤规则。 # 将VLANIF2接口加入Trust区域。USG firewall zone trustUSG-zone-trust add interface Vlanif2USG-zone-trust quit# 将VLANIF3接口加入Untrust区域。USG firewall zone untrustUSG-zone-trust add interface Vlanif3USG-zon

27、e-trust quit# 配置域间缺省包过滤规则。USG firewall packet-filter default permit interzone trust untrust4. 配置属于VLAN2的主机的网关为120.1.1.1，配置属于VLAN3的主机的网关为130.1.1.1。四，验证配置结果配置完成后，查看VLAN2和VLAN3之间的主机能否相互Ping通假设VLAN3内存在IP地址为130.1.1.2/24的主机。在VLAN2中的主机上执行ping 130.1.1.2命令，查看能否ping通VLAN3内的主机。C:ping 130.1.1.2Pinging 130.1.1.2

28、 with 32 bytes of data:Reply from 130.1.1.2: bytes=32 time1ms TTL=128Reply from 130.1.1.2: bytes=32 time1ms TTL=128Reply from 130.1.1.2: bytes=32 time1ms TTL=128Reply from 130.1.1.2: bytes=32 time1ms TTL=128Ping statistics for 130.1.1.2 : Packets: Sent = 4,Received =4,Lost = 0 ,Approximates round tr

29、ip times in milli-seconds: Minimum =0ms,Maximum =0ms,Average =0ms实验六：配置防火墙VLAN Trunk一，组网需求VLAN的组成不受物理位置的限制，一个VLAN可以在一个设备内，也可以跨设备。当VLAN跨越设备实现时，需要配置设备相连的接口为Trunk接口，允许VLAN通过。如图1所示，USGA通过二层接口Ethernet 5/0/0连接USGB的二层接口Ethernet 5/0/0。VLAN5和VLAN9都是跨设备的VLAN。VLAN5中包含的接口有USGA的Ethernet 5/0/1和Ethernet 5/0/2，USGB的Ethernet 5/0/1和Ethernet 5/0/2。VLAN9中包含的接口有USGA的Ethernet 5/0/3和Ethernet 5/0/4，USGB的Ethernet 5/0/3和Ethernet 5/0/4。要求跨设备的VLAN5内的主机之间可以相互通信，跨设备的VLAN9内的主机之间可以相互通信。二，配置思路1. 创建跨设备的VLAN5、VLAN9，并将二层接口加入VLAN。 2. 配置USGA的二层接口Ethernet 5/0/0为Trunk接口，允许VLAN5、VLAN9通过。配置USGB的二层接口Ethernet 5/0/0为Trunk接口，允许V