网络工程师实验大全(精心整理版).docx

《网络工程师实验大全(精心整理版).docx》由会员分享，可在线阅读，更多相关《网络工程师实验大全(精心整理版).docx（348页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、AAA 实验【实验拓扑】【配置 AAA 服务器】加管理员帐号，点“Administration Control”按钮，在添加管理员帐号配置 cisco secure acs HTML interface，点 interface configuration。在选择所需的服务，对这次实验，选 shell （exec）即可。Network configuration，添加对应的 AAA client，设置其 IP 地址及 Key。如下图：配置用户信息，点“User Setup”，设置用户密码，选中 shell（exec），设置 Privilege Level【路由器上的配置】1、 enable AA

2、A：Router(config)#aaa new-model2、Configuring TACACS+ and RADIUS clients：对 TACACS：Router(config)#tacacs-server host ip-addressRouter(config)#tacacs-server key word对 RADIUS：Router(config)#radius-server host ip-addressRouter(config)#radius-server key word3、Configuring AAA authentication：Router(config)#a

3、aa authentication type default|list-name method1 method4type 分为：login、enable、ppp、local-override、arap、nasi、password-prompt 和username-prompt，其中常用的为前面四个。login：为想进入到 EXEC 命令行模式的用户认证。enable：决定用户是否可以访问特权级命令级。ppp：在运行 PPP 的串行口上指定认证。local-override：用于某些特殊用户（如系统管理员）快速登录，先使用本地数据库， 如果失败再使用后面的认证方式。List type 分两种，一

4、种是 default，一种是命名 list。用来指代后面的认证方式列表method1 method4不同的 type 对应不同的 Method，后面的认证方式只有当前面的认证方式返回了一个出错信息时使用（最多四种 Method），而不是在前面的认证失败时使用。一般分为以下几种：enable使用 enable 口令进行认证krb5使用 Kerberos 5 进行认证line使用线路口进行认证local使用本地用户数据库进行认证none不认证group radius使用 RADIUS 进行认证group tacacs+使用 TACACS进行认证krb5-telnet当用 Telnet 连接路由器时

5、，使用 Kerberos 5 Telnet 认证协议if-neede如果用户已在 TTY 上进行了认证，就不再进行认证（用于 enable type）4、Configuring AAA authorization：Router(config)#aaa authorization type default|list-name method1 method2type 分为：network所有网络服务，包括 SLIP、PPP 和 ARAPExecEXEC 进程commands level所指定级别（0 到 15）的所有 EXEC 命令config-commands配置命令reverse-access

6、用于反向 TelnetMethod 分为：if-authenticated如果用户已经通过认证，则允许该用户使用所要求的功能local使用本地用户数据库进行授权none不进行授权group radius使用 RADIUS 进行授权group tacacs+使用 TACACS+进行授权krb5-instance使用由“kerberos instance map”命令所定义的例子List type 与 authentication 一样分两种：default 和命名 list5、Configuring AAA accounting：Router(config)#aaaaccountingtyped

7、efault|list-nameRecord-typemethod1 method2type 分为：commonds level监察所指定特权级（0 到 15）的所有命令Connection监察所有外出连接，例如 Telnet 和 rloginExec监察 EXEC 进程Network监察所有网络请求服务，如 SLIP、PPP 和 ARAPSystem监察所有系统级事件，例如系统重启Recordtype 分为：Start-stop在一个进程开始和结束分别发送一个开始统计和停止统计的通知Stop-only只在用户所请求的进程结束后发送一个停止统计通知wait-start和“start-stop”

8、不同在于开始统计通知被服务器确认之前，用户所请求的服务不会开始Method 分为：group tacacs+和 group radiusList type 与 authentication 一样，分为：default 和命名 list【配置示例】 (RADIUS 的 authentication 配置与下相似，可选做，但其不能实行authorizationBuilding configuration.Current configuration : 4102 bytes!version 12.2 aaa new-model!aaa authentication login TELNET grou

9、p tacacs+ local enable none aaa authorization exec TELNET group tacacs+ localaaa accounting exec TELNET start-stop group tacacs+aaa accounting commands 15 TELNET start-stop group tacacs+ aaa accounting network TELNET start-stop group tacacs+aaa accounting connection TELNET start-stop group tacacs+ a

10、aa accounting system default start-stop group tacacs+aaa session-id commonenable password 7 070C285F4D060D00161F!tacacs-server host 10.2.0.1 tacacs-server key ciscoteamprivilege configure level 7 snmp-server host privilege configure level 7 snmp-server enable privilege configure level 7 snmp-serverp

11、rivilege exec level 7 pingprivilege exec level 7 configure terminal privilege exec level 7 configure!line con 0exec-timeout 0 0 logging synchronous line aux 0line vty 0 4 insecureauthorization exec TELNET accounting connection TELNET accounting commands 15 TELNET accounting exec TELNETlogging synchr

12、onouslogin authentication TELNET transport input telnet!no scheduler allocate endBackup Interface实验目的：配置拨号连接，使其成为一个帧中继网络的备份。在帧中继网络失效时自动启动。实验设备：Cisco 1720 三台。其中一台用来模拟帧中继交换机。实验原理：一、备份接口备份接口提供了一条冗余的链路，在主链路失效时，备份链路会建立起一条到目的地的连接来代替该主链路。二、用 Dialer Profiles 配置拨号备份拨号接口（Dialer interface）可以配置成为物理接口之间的逻辑中介。当拨号

13、接口被设置为主链路的备份接口时，如果主链路失效或发生过载，拨号接口就会启动，并从拨号接口中选择一个空闲的物理接口，让它发起呼叫以建立一条备份链路。三、实验拓朴图：说明：远程节点 RouterA 通过帧中继与中心 RouterB 连接，该连接是主连接，另外还有一条异步线路（使用 Modem）作为备份的连接。要实现的是当主链路失效时，备份链路能自动启动，代替主链路连接到中心，当主链路恢复后，备份链路重新回到 Stanby 状态。FRswitch 是模拟帧中继交换网。实验内容：l 配置基本的 Backup Interface （使用物理接口） 一、路由器的基本配置二、配置拨号连接(物理接口) 三、配

14、置帧中继四、配置Backup Interface五、使用动态路由协议l 选做实验六、使用Dialer Profile 配置Backup Interface实验步骤：一、路由器的基本配置RouterA:hostname RouterA!enable password cisco!interface Loopback0ip address 192.168.216.1 255.255.255.0!interface Serial0ip address 192.168.192.4 255.255.255.0!interface Serial1ip address 192.168.16.4 255.25

15、5.255.0!line vty 0 4 password cisco login!endRouter B:hostname RouterB!enable password cisco!interface Loopback0ip address 192.168.0.1 255.255.255.0!interface Loopback1ip address 192.168.20.1 255.255.255.0!interface Serial0ip address 192.168.192.1 255.255.255.0!interface Serial1ip address 192.168.16

16、.2 255.255.255.0!line vty 0 4 password cisco login!end二、配置拨号连接(物理接口)1. RouterAa) 配置串行口为异步模式interface Serial 1 physical-layer asyncip address 192.168.16.4 255.255.255.0encapsulation pppdialer in-band! 表示端口支持 DDRdialer map ip 192.168.16.2 name RouterB broadcast 88! 中心的 ip 是 16.2 号码是 88 dialer-group 1!

17、 使用 dialer-list 1async default routing! 允许发布路由更新async mode dedicatedppp authentication chap! 使用 chap 认证!b) 配置异步线路line 2password cisco loginmodem InOutmodem autoconfigure discovery! 使用自动配置transport input all stopbits 1speed 115200 flowcontrol hardware!c) 配置 Dialer listdialer-list 1 protocol ip permit

18、! ip 数据流出发 ddr!d) 配置 chap 认证用户名密码 （全局配置模式下）username RouterB password cisco! 配置 chap 用户名密码（远端）!2. RouterBa) 配置串行口为异步模式interface Serial1 physical-layer asyncip address 192.168.16.2 255.255.255.0encapsulation ppp async default routing async mode dedicated ppp authentication chap!b) 配置异步线路line 2password

19、 cisco loginmodem InOutmodem autoconfigure discovery transport input allstopbits 1speed 115200 flowcontrol hardware!c) 配置 chap 认证用户名密码 （全局配置模式下）username RouterA password cisco!3. 测试拨号连接在 RouterA 尝试 ping RouterB 的 s1 接口 ip 地址（192.168.16.2），看是否能拨号成功三、配置帧中继1. RouterAinterface Serial 0ip address 192.168

20、.192.4 255.255.255.0encapsulation frame-relayip ospf network point-to-point! FR 为非广播式网络，为了运行 OSPF，将其配置为点到点模式frame-relay interface-dlci 16!2. RouterBinterface Serial0ip address 192.168.192.1 255.255.255.0encapsulation frame-relayip ospf network point-to-point ! FR 为非广播式网络，为了运行 OSPF，将其配置为点到点模式frame-re

21、lay interface-dlci 17!3. FR-Switchinghostname FR-Switching!enable password cisco!frame-relay switching!interface Serial0 no ip addressencapsulation frame-relay clockrate 56000frame-relay lmi-type cisco frame-relay intf-type dceframe-relay route 16 interface Serial1 17!interface Serial1 no ip address

22、encapsulation frame-relay clockrate 56000frame-relay lmi-type cisco frame-relay intf-type dceframe-relay route 17 interface Serial0 16!4. 测试帧中继连接在 RouterA 尝试 ping RouterB 的 s0 接口 ip 地址（192.168.192.1），看是否连通四、配置 Backup Interface1. RouterAa) 在 RouterA 的 s0 接口（帧中继接口）配置备份接口！interface Serial 0backup inter

23、face Serial 1 backup delay 6 8！b) 配置静态路由设置浮动路由，将备份链路的管理距离设大，令其在主链路失效的时候才生效。正常情况下，在路由表内看不见备份链路的路由存在。ip route 0.0.0.0 0.0.0.0 192.168.192.1! 主链路使用帧中继ip route 0.0.0.0 0.0.0.0 192.168.16.2 222! 备份链路路由，管理距离设为 222，当主链路路由失效时才启用2. RouterB配置静态路由ip route 0.0.0.0 0.0.0.0 192.168.192.4ip route 0.0.0.0 0.0.0.0 1

24、92.168.16.4 2223. 测试 Backup Interface正常工作时，检查 RouterA 的路由表：1、 在 RouterA 上面手动关闭帧中继接口此时 RouterA 没有拨号，因为主接口状态被认为是人为需要关闭，而不是意外中断，不需要备份接口的介入，所以当主接口关闭时，备份接口也不会启用。2、 重新启用端口 S1 后，在帧中继交换机上关闭与 RouterA 的连接RouterA#show backupPrimary InterfaceSecondary InterfaceStatusSerial1Serial 0backup mode可以看到，备份接口自动启用，作为主链路

25、的冗余。察看路由表：可以用 ping 命令检查联通性。3、 在交换机上打开帧中继的连接RouterA#show backup4、 中心路由器的路由表： 使用主链路时：使用备份链路时：5、 用于检验的命令还有 debug backup五、 使用动态路由协议问题：当 RouterA 连接到 FR 的链路失效时，RouterB 的 FR 链路没有失效的话，虽然 RouterA 可以更新路由表而启用备份链路，但是 RouterB 的 FR 端口没有失效，路由表和之前的一样，仍然选用FR 作为和 RouterA 通信的通道，导致数据包不能回去 A。即只有当两端路由直连的时候，静态路由才可以顺利生效。使用

26、扩展 ping 改变源端口 ip 地址测试1. RouterA先将静态路由删除并确认已在帧中继端口配置了ip ospf network point-to-point 命令router ospf 2network 192.168.16.0 0.0.0.255 area 0network 192.168.192.0 0.0.0.255 area 0network 192.168.216.0 0.0.0.255 area 0!2. RouterB先将静态路由删除并确认已在帧中继端口配置了ip ospf network point-to-point 命令router ospf 1network 192

27、.168.0.0 0.0.0.255 area 0network 192.168.16.0 0.0.0.255 area 0network 192.168.192.0 0.0.0.255 area 0!3. 测试 Backup Interface同上六、使用 Dialer Profile 配置 Backup Interface当主链路正常时，用作 backup 的拨号链路处于准备状态（Standby mode），会一直断开除非主链路失效。在这种情况下，作备份用的拨号链路就不能用作 DDR。为了解决这个问题，我们可以使用Dialer Profile 来配置 Backup Interface，使得

28、主链路失效时，拨号链路能用于备份，主链路正常时， 拨号链路可以用作 DDR。实验拓扑图DLCI 16S1S0FR-SwitchingDLCI 17DLCI 16 192.168.192.4/24DLCI 17 192.168.192.1/24S0192.168.16.4/24S1192.168.16.2/24S0S1Remote Site ACentral OfficeRouterARouterBTelco192.168.10.1/24S0Branch OfficeRouterC说明：远程节点 RouterA 通过帧中继连接着中心 RouterB，并且用一条拨号链路作为帧中继主链路的备份。同时

29、这条拨号链路也用于连接 Branch Office RouterC。目的是要实现帧中继主链路正常时， 拨号链路可以用于连接 Branch Office，当帧中继主链路失效时，拨号链路能用于帧中继链路的备份。配置文件 (RouterB 与 FR-Switching 无需修改配置)1. RouterA配置要点：设置两个 Interface Dialer，一个用于备份，一个用于 ddr，绑到同一个接口 Interface S0 hostname RouterA!username RouterB password cisco! 配置中心 chap 用户名密码username RouterC passw

30、ord cisco! 配置分支 chap 用户名密码!interface Loopback1ip address 192.168.216.1 255.255.255.0!interface Serial 0backup interface Dialer1! 设置 interface Dialer1 为备份接口backup delay 6 8ip address 192.168.192.4 255.255.255.0encapsulation frame-relayip ospf network point-to-point!interface Serial 1 physical-layer a

31、sync no ip address encapsulation ppp dialer in-banddialer pool-member 1! 绑定 dialer pool 1, pool 1 含有 Dialer1 和 Dialer2async default routing async mode dedicated ppp authentication chap!interface Dialer1! 配置 Dialer1，用于到中心的备份链路ip address 192.168.16.4 255.255.255.0! 拨号后为 16 网段dialer pool 1! 属于 dialer p

32、ool 1dialer remote-name RouterB! 拨号远端为中心路由器dialer string 88! 88 为中心号码，配置时请注意修正dialer-group 1! 使用 dialer-list 1 触发拨号!interface Dialer2! 配置 Dialer2，用于到分支的 DDR 链路ip address 192.168.10.2 255.255.255.0! 拨号后为 10 网段dialer pool 1! 属于 dialer pool 1dialer remote-name RouterC! 拨号远端为分支路由器dialer string 85! 85 为中

33、心号码，配置时请注意修正dialer-group 1! 使用 dialer-list 1 触发拨号!router ospf 2network 192.168.10.0 0.0.0.255 area 0network 192.168.16.0 0.0.0.255 area 0network 192.168.192.0 0.0.0.255 area 0network 192.168.216.0 0.0.0.255 area 0!access-list 101 deny ip any host 224.0.0.5! 为防止 ospf 的 hello 包触发拨号，加入 acl 作限制access-li

34、st 101 permit ip any anydialer-list 1 protocol ip list 101! dialer-list 1 使用扩展 acl!line 2password cisco loginmodem InOutmodem autoconfigure discovery transport input allstopbits 1speed 115200 flowcontrol hardware line aux 0line vty 0 4password cisco login!end2. RouterC!hostname RouterC!username Rout

35、erA password cisco! 配置远程节点的 chap 认证用户名密码!interface Loopback0ip address 192.168.11.1 255.255.255.0!interface Serial0 physical-layer asyncip address 192.168.10.1 255.255.255.0! 接口在 10 网段encapsulation ppp async default routing async mode dedicatedppp authentication chap!router ospf 1network 192.168.10.

36、0 0.0.0.255 area 0network 192.168.11.0 0.0.0.255 area 0!line con 0line 1password cisco loginmodem InOutmodem autoconfigure discovery transport input allstopbits 1speed 115200 flowcontrol hardware line aux 0line vty 0 4password cisco login!end注意：1. 因为 ospf 的hello 包使用 ip 协议，在启动 ospf 时会自动打开拨号连接，为了防止这种情

37、况发生，我们可以在 dialer-list 使用扩展 acl，使得ospf 的更新不触发拨号（ospf 的 hello 包发向 224.0.0.5 这个组播地址）。但因为 ospf 不能更新，这时路由器上的路由表是不完整的，只能通过与拨号接口直连的网段上的主机通信时才能触发拨号。2. 如果当前的拨号连接处于空闲状态（仍然保持连接），新的拨号将取代原有连接，举例来说：RouterA 正在通过 DDR 与分支 RouterC 建立连接，如果此连接出于 Idle 状态，而正好这时 RouterA 与中心 RouterB 的帧中继主链路突然失效了，RouterA 会自动断开与RouterC 的连接，进

38、入备份状态，拨号连接到中心 RouterB，无需等到空闲超时。反过来也一样。3. 如果当前的拨号连接处于活跃状态（即链路上有数据流传输），则新的连接必须等到原链路的数据传输完毕，进入空闲状态后才能建立。10BGP TroubleShooting【实验目的】1. 利用学过的知识对实施 BGP 后而出现的问题进行故障排除；2. 熟悉和掌握系统地进行 trouble shooting 的方法。【Troubleshooting 系统方法】STEP1:Define the problem you are experiencing.STEP2:Gather relevant facts about the

39、 situation.STEP3:Consider the possibilities. Use the information you have and your knowledge of Cisco products to isolate the problem.STEP4:Formulate an action plan to solve this problem.STEP5:Implement your action plan and attempt to fix the problem.STEP6:What were the results of your implementatio

40、n? Did it fix the problem? List your results and observations below.STEP7:【实验拓扑】Lo1: 30.20.20.1/24AS100-CF0F1 30.1.2.1/2430.1.1.2/24Lo0: 30.10.10.1/32F030.1.1.1/24F030.1.2.2/24AS100-BLo0: 30.30.30.1/32S020.1.2.2/24S030.1.3.1/24S020.1.2.1/24S030.1.3.2/24Lo0: 21.1.1.1/24Lo1: 20.1.1.1/24Lo0: 41.1.1.1/2

41、4Lo0: 42.1.1.1/24F0F0AS200-AAS300-E40.1.1.1/2440.1.1.2/24AS300-FAS100-DIf you solution did not fix the problem, repeat the process again. If your solution did fix the problem, document your fix below.32【故障描述和排障目标】1. 故障描述上述为某公司合并几个子公司并实施 BGP 路由器协议后形成的拓扑结构。其中，各子公司原来的网络运行状况为：AS100 运行 RIP，AS200 为一小的分支机构

42、，AS300 运行 OSPF。各个 AS 之间实施 BGP 路由协议，但由于 AS300-E 路由器硬件资源不足，无法采用 BGP 协议。在实施 BGP 后，发现有部分路由信息丢失，无法在所有路由器之间实现互相访问。2. 排障目标n 使得除 AS300-E 外的所有路由器都有如下几个网段的路由条目：（1） 20.1.1.0/24（2） 21.1.1.0/24（3） 20.1.2.0/24（4） 30.1.1.0/24（5） 30.1.2.0/24（6） 30.1.3.0/24（7） 30.20.20.0/24（8） 40.1.1.0/24（9） 41.1.1.0/24（10） 42.1.1.0

43、/24n 使得各台路由器之间都能互相访问。n AS100 和 AS300 必须使用不同的 IGP 协议。n 各路由协议之间不能重发布n 此外，还应该：n 在 AS100 内的三台路由器除了上述的几个网段外，还必须都获得30.10.10.0/24、30.20.20.0/24 和 30.30.30.0/24 这三个网段的信息；n 在 AS300-E 上有 30.1.3.0/24、40.1.1.0、41.1.1.0 和 42.1.1.0/24 的网段信息。【配置链接】一、Broken configuration 1AS200-A的配置2. AS100-B的配置3. AS100-C的配置4. AS10

44、0-D的配置5. AS100-E的配置6. AS100-F的配置二、Complete and correct configuration 1AS200-A的配置2. AS100-B的配置3. AS100-C的配置4. AS100-D的配置5. AS100-E的配置6. AS100-F的配置【故障设置】1. 在 AS200-A 上：（1） 将 neighbor 20.1.2.2 设为 remote-as 101；（2） 配置了 no auto-summary，但 BGP 中配置一条 network 20.0.0.0，不配置 mask。（见 sem 8 14.3.2 的 note）2. 在 AS1

45、00-B 上（1） 物理端口插错，AS100-C 的 f0 口应该连接 AS100-B 的，f1 口连接AS100-D 的，现在刚好倒过来，但配置 IP 地址时却又按照正确的拓扑连接进行配置。（2） 跟 AS100-C 和 AS100-D 形成 IBGP。与 AS100-D 时用 loopback 口的地址进行更新，但不配置 update-source loopback0；（3） 与 AS200-A 形成 EBGP 时，指错对端的 AS 为 201;（4） 启用同步；（5） 不启用 IGP，即不启用 RIP；3. 在 AS100-C 上（1） 如 2 中所说，颠倒两个物理接口；（2） 启用同步；（3） 启动 IGP，即启用 RIP；（4） 不配置 loopback1 口（IP 地址为 30.20.20.1/24），但在配置 BGP 时却又通告此 network；4. 在 AS100-D 上（1） 如 2 中所说