网络工程师实验大全(精心整理版).pdf

AAA 实验实验 【实验拓扑】 【配置 AAA 服务器】 加管理员帐号，点“Administration Control”按钮，在添加管理员帐号 配置 cisco secure acs HTML interface，点 interface configuration。在选择所需的服务，对这次实验，选 shell （exec）即可。 Network configuration，添加对应的 AAA client，设置其 IP 地址及 Key。如下图： 更多精彩IT资源 敬请关注三通IT学院 w w w .s a n t o n g i t .c o m 配置用户信息，点“User Setup” ，设置用户密码，选中 shell（exec） ，设置 Privilege Level 【路由器上的配置】 1、 enable AAA： Router(config)#aaa new-model 更多精彩IT资源 敬请关注三通IT学院 w w w .s a n t o n g i t .c o m2、Configuring TACACS+ and RADIUS clients： 对TACACS： Router(config)#tacacs-server host ip-address Router(config)#tacacs-server key word 对RADIUS： Router(config)#radius-server host ip-address Router(config)#radius-server key word 3、Configuring AAA authentication： Router(config)#aaa authentication type default|list-name method1 method4 type分为：login、enable、ppp、local-override、arap、nasi、password-prompt 和和username-prompt，其中常用的为前面四个。 login：为想进入到 EXEC 命令行模式的用户认证。 enable：决定用户是否可以访问特权级命令级。 ppp：在运行 PPP 的串行口上指定认证。 local-override：用于某些特殊用户（如系统管理员）快速登录，先使用本地数据库，如果失败再使用后面的认证方式。 List type分两种，一种是default，一种是命名list。用来指代后面的认证方式列表method1 method4 不同的type对应不同的Method，后面的认证方式只有当前面的认证方式返回了一个出错信息时使用 （最多四种 Method） ， 而不是在前面的认证失败时使用。 一般分为以下几种： enable 使用 enable 口令进行认证 krb5 使用 Kerberos 5 进行认证 line 使用线路口进行认证 local 使用本地用户数据库进行认证 none 不认证 group radius 使用 RADIUS 进行认证 group tacacs+ 使用 TACACS进行认证 krb5-telnet 当用 Telnet 连接路由器时，使用 Kerberos 5 Telnet 认证协议 if-neede 如果用户已在 TTY 上进行了认证，就不再进行认证（用于 enable type）4、Configuring AAA authorization： Router(config)#aaa authorization type default|list-name method1 method2 type分为： network 所有网络服务，包括 SLIP、PPP 和 ARAP Exec EXEC 进程 commands level 所指定级别（0 到 15）的所有 EXEC 命令 config-commands配置命令 reverse-access 用于反向 Telnet Method分为： if-authenticated 如果用户已经通过认证，则允许该用户使用所要求的功能 local 使用本地用户数据库进行授权 none 不进行授权 group radius 使用 RADIUS 进行授权 group tacacs+ 使用 TACACS+进行授权 krb5-instance 使用由“kerberos instance map”命令所定义的例子 更多精彩IT资源 敬请关注三通IT学院 w w w .s a n t o n g i t .c o mList type与 authentication 一样分两种：default 和命名list 5、Configuring AAA accounting： Router(config)#aaa accounting type default|list-name Record-type method1 method2 type分为： commonds level 监察所指定特权级（0 到 15）的所有命令 Connection 监察所有外出连接，例如 Telnet 和 rlogin Exec 监察 EXEC 进程 Network 监察所有网络请求服务，如 SLIP、PPP 和 ARAP System 监察所有系统级事件，例如系统重启 Recordtype分为： Start-stop 在一个进程开始和结束分别发送一个开始统计和停止统计的通知 Stop-only 只在用户所请求的进程结束后发送一个停止统计通知 wait-start 和“start-stop”不同在于开始统计通知被服务器确认之前，用户所请求的服务不会开始 Method分为：group tacacs+和group radius List type与 authentication 一样，分为：default和命名list 【配置示例】 (RADIUS 的 authentication 配置与下相似，可选做，但其不能实行 authorization Building configuration. Current configuration : 4102 bytes ! version 12.2 aaa new-model ! ! aaa authentication login TELNET group tacacs+ local enable none aaa authorization exec TELNET group tacacs+ local aaa accounting exec TELNET start-stop group tacacs+ aaa accounting commands 15 TELNET start-stop group tacacs+ aaa accounting network TELNET start-stop group tacacs+ aaa accounting connection TELNET start-stop group tacacs+ aaa accounting system default start-stop group tacacs+ aaa session-id common enable password 7 070C285F4D060D00161F ! tacacs-server host 10.2.0.1 tacacs-server key ciscoteam privilege configure level 7 snmp-server host privilege configure level 7 snmp-server enable privilege configure level 7 snmp-server 更多精彩IT资源 敬请关注三通IT学院 w w w .s a n t o n g i t .c o mprivilege exec level 7 ping privilege exec level 7 configure terminal privilege exec level 7 configure ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 insecure authorization exec TELNET accounting connection TELNET accounting commands 15 TELNET accounting exec TELNET logging synchronous login authentication TELNET transport input telnet ! no scheduler allocate end 更多精彩IT资源 敬请关注三通IT学院 w w w .s a n t o n g i t .c o m Backup Interface 实验目的：实验目的： 配置拨号连接，使其成为一个帧中继网络的备份。在帧中继网络失效时自动启动。 实验设备：实验设备： Cisco 1720 三台。其中一台用来模拟帧中继交换机。 实验原理：实验原理： 一、备份接口 备份接口提供了一条冗余的链路，在主链路失效时，备份链路会建立起一条到目的地的连接来代替该主链路。 二、用 Dialer Profiles 配置拨号备份 拨号接口（Dialer interface）可以配置成为物理接口之间的逻辑中介。当拨号接口被设置为主链路的备份接口时，如果主链路失效或发生过载，拨号接口就会启动，并从拨号接口中选择一个空闲的物理接口，让它发起呼叫以建立一条备份链路。 三、实验拓朴图： 说明：远程节点 RouterA 通过帧中继与中心 RouterB 连接，该连接是主连接，另外还有一条异步线路（使用 Modem）作为备份的连接。要实现的是当主链路失效时，备份链路能自动启动，代替主链路连接到中心，当主链路恢复后，备份链路重新回到 Stanby 状态。FRswitch 是模拟帧中继交换网。 实验内容：实验内容： ? 配置基本的配置基本的 Backup Interface （使用物理接口）（使用物理接口） 一、路由器的基本配置 二、配置拨号连接(物理接口) 三、配置帧中继 四、配置Backup Interface 五、使用动态路由协议 ? 选做实验选做实验 六、使用Dialer Profile 配置Backup Interface实验步骤：实验步骤： 更多精彩IT资源 敬请关注三通IT学院 w w w .s a n t o n g i t .c o m一、 路由器的基本配置一、 路由器的基本配置 Router B: hostname RouterB ! enable password cisco ! interface Loopback0 ip address 192.168.0.1 255.255.255.0 ! interface Loopback1 ip address 192.168.20.1 255.255.255.0 ! interface Serial0 ip address 192.168.192.1 255.255.255.0 ! interface Serial1 ip address 192.168.16.2 255.255.255.0 ! ! line vty 0 4 password cisco login ! end RouterA: hostname RouterA ! enable password cisco ! interface Loopback0 ip address 192.168.216.1 255.255.255.0 ! interface Serial0 ip address 192.168.192.4 255.255.255.0 ! interface Serial1 ip address 192.168.16.4 255.255.255.0 ! ! line vty 0 4 password cisco login ! end 二、 配置拨号连接二、 配置拨号连接(物理接口物理接口) 1 RouterA a) 配置串行口为异步模式 interface Serial 1 physical-layer async ip address 192.168.16.4 255.255.255.0 encapsulation ppp dialer in-band ! 表示端口支持 DDR dialer map ip 192.168.16.2 name RouterB broadcast 88 ! 中心的 ip 是 16.2 号码是 88 dialer-group 1 ! 使用 dialer-list 1 async default routing ! 允许发布路由更新 async mode dedicated ppp authentication chap ! 使用 chap 认证 ! b) 配置异步线路 line 2 password cisco login modem InOut 2更多精彩IT资源 敬请关注三通IT学院 w w w .s a n t o n g i t .c o m modem autoconfigure discovery ! 使用自动配置 transport input all stopbits 1 speed 115200 flowcontrol hardware ! c) 配置 Dialer list dialer-list 1 protocol ip permit ! ip 数据流出发 ddr ! d) 配置 chap 认证用户名密码 （全局配置模式下） username RouterB password cisco ! 配置 chap 用户名密码（远端） ! 2 RouterB a) 配置串行口为异步模式 interface Serial1 physical-layer async ip address 192.168.16.2 255.255.255.0 encapsulation ppp async default routing async mode dedicated ppp authentication chap ! b) 配置异步线路 line 2 password cisco login modem InOut modem autoconfigure discovery transport input all stopbits 1 speed 115200 flowcontrol hardware ! c) 配置 chap 认证用户名密码 （全局配置模式下） username RouterA password cisco ! 3 测试拨号连接测试拨号连接 在 RouterA 尝试 ping RouterB 的 s1 接口 ip 地址（192.168.16.2） ，看是否能拨号成功 三、 配置帧中继三、 配置帧中继 1 RouterA interface Serial 0 ip address 192.168.192.4 255.255.255.0 encapsulation frame-relay ip ospf network point-to-point ! FR 为非广播式网络，为了运行 OSPF，将其配置为点到点模式 3更多精彩IT资源 敬请关注三通IT学院 w w w .s a n t o n g i t .c o mframe-relay interface-dlci 16 ! 2 RouterB interface Serial0 ip address 192.168.192.1 255.255.255.0 encapsulation frame-relay ip ospf network point-to-point ! FR 为非广播式网络，为了运行 OSPF，将其配置为点到点模式 frame-relay interface-dlci 17 ! 3 FR-Switching hostname FR-Switching ! enable password cisco ! frame-relay switching ! interface Serial0 no ip address encapsulation frame-relay clockrate 56000 frame-relay lmi-type cisco frame-relay intf-type dce frame-relay route 16 interface Serial1 17 ! interface Serial1 no ip address encapsulation frame-relay clockrate 56000 frame-relay lmi-type cisco frame-relay intf-type dce frame-relay route 17 interface Serial0 16 ! 4 测试帧中继连接测试帧中继连接 在 RouterA 尝试 ping RouterB 的 s0 接口 ip 地址（192.168.192.1） ，看是否连通 四、 配置四、 配置 Backup Interface 1 RouterA a) 在 RouterA 的 s0 接口（帧中继接口）配置备份接口 ！ interface Serial 0 backup interface Serial 1 backup delay 6 8 ！ b) 配置静态路由 设置浮动路由，将备份链路的管理距离设大，令其在主链路失效的时候才生效。正常情况下，在路由表内看不见备份链路的路由存在。 4更多精彩IT资源 敬请关注三通IT学院 w w w .s a n t o n g i t .c o mip route 0.0.0.0 0.0.0.0 192.168.192.1 ! 主链路使用帧中继 ip route 0.0.0.0 0.0.0.0 192.168.16.2 222 ! 备份链路路由，管理距离设为 222，当主链路路由失效时才启用 2 RouterB 配置静态路由 ip route 0.0.0.0 0.0.0.0 192.168.192.4 ip route 0.0.0.0 0.0.0.0 192.168.16.4 222 3 测试测试 Backup Interface 正常工作时，检查 RouterA 的路由表： 1、 在 RouterA 上面手动关闭帧中继接口 此时 RouterA 没有拨号，因为主接口状态被认为是人为需要关闭，而不是意外中断，不需要备份接口的介入，所以当主接口关闭时，备份接口也不会启用。 2、 重新启用端口 S1 后，在帧中继交换机上关闭与 RouterA 的连接 RouterA#show backup Primary Interface Secondary Interface Status - - - Serial1 Serial 0 backup mode 可以看到，备份接口自动启用，作为主链路的冗余。 察看路由表： 可以用 ping 命令检查联通性。 3、 在交换机上打开帧中继的连接 RouterA#show backup 4、 中心路由器的路由表： 使用主链路时： 使用备份链路时： 5、 用于检验的命令还有 debug backup 五、 使用动态路由协议五、 使用动态路由协议 问题：当 RouterA 连接到 FR 的链路失效时，RouterB 的 FR 链路没有失效的话，虽然 RouterA 可以更新路由表而启用备份链路，但是 RouterB 的 FR 端口没有失效，路由表和之前的一样，仍然选用FR 作为和 RouterA 通信的通道，导致数据包不能回去 A。即只有当两端路由直连的时候，静态路由才可以顺利生效。使用扩展 ping 改变源端口 ip 地址测试 1 RouterA 先将静态路由删除并确认已在帧中继端口配置了ip ospf network point-to-point 命令 router ospf 2 network 192.168.16.0 0.0.0.255 area 0 network 192.168.192.0 0.0.0.255 area 0 network 192.168.216.0 0.0.0.255 area 0 ! 2 RouterB 先将静态路由删除并确认已在帧中继端口配置了ip ospf network point-to-point 命令 router ospf 1 5更多精彩IT资源 敬请关注三通IT学院 w w w .s a n t o n g i t .c o m network 192.168.0.0 0.0.0.255 area 0 network 192.168.16.0 0.0.0.255 area 0 network 192.168.192.0 0.0.0.255 area 0 ! 3. 测试测试 Backup Interface 同上 六、 使用六、 使用 Dialer Profile 配置配置 Backup Interface 当主链路正常时，用作 backup 的拨号链路处于准备状态（Standby mode） ，会一直断开除非主链路失效。在这种情况下，作备份用的拨号链路就不能用作 DDR。为了解决这个问题，我们可以使用Dialer Profile 来配置 Backup Interface，使得主链路失效时，拨号链路能用于备份，主链路正常时，拨号链路可以用作 DDR。 实验拓扑图实验拓扑图 FR-SwitchingRouterARouterBCentral OfficeRemote Site A192.168.16.4/24S0S0S1S1S0S1192.168.16.2/24DLCI 17192.168.192.1/24DLCI 16192.168.192.4/24DLCI 16DLCI 17RouterCBranch OfficeS0192.168.10.1/24Telco 说明：说明：远程节点 RouterA 通过帧中继连接着中心 RouterB，并且用一条拨号链路作为帧中继主链路的备份。同时这条拨号链路也用于连接 Branch Office RouterC。目的是要实现帧中继主链路正常时，拨号链路可以用于连接 Branch Office， 当帧中继主链路失效时， 拨号链路能用于帧中继链路的备份。 配置文件 (RouterB 与 FR-Switching 无需修改配置) 1 RouterA 配置要点：配置要点：设置两个 Interface Dialer，一个用于备份，一个用于 ddr，绑到同一个接口 Interface S0 hostname RouterA ! 6更多精彩IT资源 敬请关注三通IT学院 w w w .s a n t o n g i t .c o musername RouterB password cisco ! 配置中心 chap 用户名密码 username RouterC password cisco ! 配置分支 chap 用户名密码 ! interface Loopback1 ip address 192.168.216.1 255.255.255.0 ! interface Serial 0 backup interface Dialer1 ! 设置 interface Dialer1 为备份接口 backup delay 6 8 ip address 192.168.192.4 255.255.255.0 encapsulation frame-relay ip ospf network point-to-point ! interface Serial 1 physical-layer async no ip address encapsulation ppp dialer in-band dialer pool-member 1 ! 绑定 dialer pool 1, pool 1 含有 Dialer1 和 Dialer2 async default routing async mode dedicated ppp authentication chap ! interface Dialer1 ! 配置 Dialer1，用于到中心的备份链路 ip address 192.168.16.4 255.255.255.0 ! 拨号后为 16 网段 dialer pool 1 ! 属于 dialer pool 1 dialer remote-name RouterB ! 拨号远端为中心路由器 dialer string 88 ! 88 为中心号码，配置时请注意修正 dialer-group 1 ! 使用 dialer-list 1 触发拨号 ! interface Dialer2 ! 配置 Dialer2，用于到分支的 DDR 链路 ip address 192.168.10.2 255.255.255.0 ! 拨号后为 10 网段 dialer pool 1 ! 属于 dialer pool 1 dialer remote-name RouterC ! 拨号远端为分支路由器 dialer string 85 ! 85 为中心号码，配置时请注意修正 7更多精彩IT资源 敬请关注三通IT学院 w w w .s a n t o n g i t .c o m dialer-group 1 ! 使用 dialer-list 1 触发拨号 ! router ospf 2 network 192.168.10.0 0.0.0.255 area 0 network 192.168.16.0 0.0.0.255 area 0 network 192.168.192.0 0.0.0.255 area 0 network 192.168.216.0 0.0.0.255 area 0 ! ! access-list 101 deny ip any host 224.0.0.5 ! 为防止 ospf 的 hello 包触发拨号， 加入 acl 作限制 access-list 101 permit ip any any dialer-list 1 protocol ip list 101 ! dialer-list 1 使用扩展 acl ! line 2 password cisco login modem InOut modem autoconfigure discovery transport input all stopbits 1 speed 115200 flowcontrol hardware line aux 0 line vty 0 4 password cisco login ! end 2 RouterC ! hostname RouterC ! username RouterA password cisco ! 配置远程节点的 chap 认证用户名密码 ! interface Loopback0 8更多精彩IT资源 敬请关注三通IT学院 w w w .s a n t o n g i t .c o m ip address 192.168.11.1 255.255.255.0 ! interface Serial0 physical-layer async ip address 192.168.10.1 255.255.255.0 ! 接口在 10 网段 encapsulation ppp async default routing async mode dedicated ppp authentication chap ! router ospf 1 network 192.168.10.0 0.0.0.255 area 0 network 192.168.11.0 0.0.0.255 area 0 ! line con 0 line 1 password cisco login modem InOut modem autoconfigure discovery transport input all stopbits 1 speed 115200 flowcontrol hardware line aux 0 line vty 0 4 password cisco login ! end 注意： 1 因为 ospf 的 hello 包使用 ip 协议，在启动 ospf 时会自动打开拨号连接，为了防止这种情况发生，我们可以在 dialer-list 使用扩展 acl，使得 ospf 的更新不触发拨号（ospf 的 hello包发向 224.0.0.5 这个组播地址） 。但因为 ospf 不能更新，这时路由器上的路由表是不完整的，只能通过与拨号接口直连的网段上的主机通信时才能触发拨号。 9更多精彩IT资源 敬请关注三通IT学院 w w w .s a n t o n g i t .c o m2 如果当前的拨号连接处于空闲状态（仍然保持连接） ，新的拨号将取代原有连接，举例来说：RouterA 正在通过 DDR 与分支 RouterC 建立连接，如果此连接出于 Idle 状态，而正好这时 RouterA 与中心 RouterB 的帧中继主链路突然失效了，RouterA 会自动断开与RouterC 的连接，进入备份状态，拨号连接到中心 RouterB，无需等到空闲超时。反过来也一样。 3 如果当前的拨号连接处于活跃状态（即链路上有数据流传输） ，则新的连接必须等到原链路的数据传输完毕，进入空闲状态后才能建立。 10更多精彩IT资源 敬请关注三通IT学院 w w w .s a n t o n g i t .c o mBGP TroubleShooting 【实验目的】【实验目的】 1利用学过的知识对实施 BGP 后而出现的问题进行故障排除； 2熟悉和掌握系统地进行 trouble shooting 的方法。 【Troubleshooting 系统方法】系统方法】 STEP1: STEP1: Define the problem you are experiencing. STEP2:STEP2: Gather relevant facts about the situation. STEP3:STEP3: Consider the possibilities. Use the information you have and your knowledge of Cisco products to isolate the problem. STEP4:STEP4: Formulate an action plan to solve this problem. STEP5:STEP5: Implement your action plan and attempt to fix the problem. STEP6: STEP6: What were the results of your implementation? Did it fix the problem? List your results and observations below. STEP7:STEP7: If you solution did not fix the problem, repeat the process again. If your solution did fix the problem, document your fix below. 【实验拓扑【实验拓扑】 S0 AS200-A Lo1: 20.1.1.1/24 F0 Lo0: 21.1.1.1/24 F1Lo0: 41.1.1.1/24Lo0: 42.1.1.1/24AS300-F 40.1.1.2/24 AS300-E 40.1.1.1/2430.1.3.2/2430.1.3.1/24F0S0S030.1.2.2/24F030.1.2.1/2430.1.1.2/2420.1.2.2/24 20.1.2.1/24AS100-D Lo0: 30.30.30.1/32 30.1.1.1/24AS100-B Lo0: 30.10.10.1/32 AS100-C F0 F0S0 Lo1: 30.20.20.1/24 1更多精彩IT资源 敬请关注三通IT学院 w w w .s a n t o n g i t .c o m【故障描述和排障目标故障描述和排障目标】 1故障描述 上述为某公司合并几个子公司并实施 BGP 路由器协议后形成的拓扑结构。 其，各子公司原来的网络运行状况为：AS100 运行 RIP，AS200 为一小的分支机个 AS 之间实施 BGP 路由协议，但由于 AS300-E 路不足，无法采用 BGP 协议。在实施 BGP 后，发现有部分路由信息（2） 21.1.1.0/24 .1.2.0/24 4 ?都能互相访问。 ?0须使用不同的 IGP 协议。 ?能重发布 ?上述的几个网段外，还必须都都获得/24 这三个网段的信息； 0/24、40.1.1.0、41.1.1.0 和 42.1.1.0/24 的网段 【配置链接配置链接一、Bren1A配置中构，AS300 运行 OSPF。各由器硬件资源丢失，无法在所有路由器之间实现互相访问。 2排障目标 ? 使得除 AS300-E 外的所有路由器都有如下几个网段的路由条目： （1） 20.1.1.0/24 （3） 20（4） 30.1.1.0/24 （5） 30.1.2.0/24 （6） 30.1.3.0/24 （7） 30.20.20.0/2（8） 40.1.1.0/24 （9） 41.1.1.0/24 （10） 42.1.1.0/24 使得各台路由器之间 AS10 和 AS300 必 各路由协议之间不 此外，还应该： ? 在 AS100 内的三台路由器除了30.10.10.0/24、30.20.20.0/24 和 30.30.30.0? 在 AS300-E 上有 30.1.3.信息。 】 ok configuration S200-A的 2AS100-B的配置 -C的配置3AS100 4AS100-D的配置 5AS100-E的配置 6AS100-F的配置 二、Configuration omplete and correct c1AS200-A的配置 2AS100-B的配置 3AS100-C的配置 4AS100-D的配置 5AS100-E的配置 2更多精彩IT资源 敬请关注三通IT学院 w w w .s a n t o n g i t .c o m6AS100-F的配置 【故故1在（1.2.2 设为 remote-as 101； （2） 配置了 no auto-summary，但 BGP 中配置一条 network 20.0.0.0，不配ask。 （见 sem 8 14.3.2 的 note） 2IP 地址时却又按照正确的拓扑连接进行配置。 -C 和 AS100-D 形成 IBGP。与 AS100-D 时用 loopback 口的（3） （4） 3颠倒两个物理接口； 3） 启动 IGP，即启用 RIP； opback1 口 （IP 地址为 30.20.20.1/24） ， 但在配置 BGP 时却又4te-source 命令； 2） 与 AS300-F 形成 multihop，但不显式配置； P，即不启用 RIP； （5） 由协议是不同的， 且它们之间不能知道下一跳 40.1.1.2 如next-hop-self。但这里 AS100-D 对两个B 和 A