第7部分三層設備實用配置第17章三層交換機簡介第18章三層設備DHCP服務簡介第19章訪問控制列表簡介第20章網絡地址轉換NAT簡介第21章虛擬路由器冗余協議VRRP簡介第22章策略路由簡介第7部分三層設備實用配置實訓19三層交換VLAN互訪和路由配置實訓20三層設備DHCP服務配置實訓21路由器訪問控制列表配置實訓22路由器NAT配置實訓18OSPF虛連接配置實訓23三層交換機VRRP配置實訓24策略路由配置第17章三層交換機簡介第17章

三層交換機簡介1.三層交換機的概念三層交換機，本質上就是“帶有路由功能的交換機”。路由屬于OSI/RM中第三層網絡層的功能，因此帶有第三層路由功能的交換機才被稱為“三層交換機”。簡單地說，三層交換技術就是：二層交換技術＋三層路由技術。它解決了局域網中多個IP網絡必須依賴路由器進行通信的局面，解決了傳統路由器低速所造成的網絡瓶頸問題。三層交換技術的概念如圖17-1所示。第17章三層交換機簡介2.三層交換機的功能三層交換的功能主要體現在以下兩個方面。（1）連接網絡骨干和IP網絡，在網絡設計的接入層、匯聚層、核心層的三層結構中，尤其是核心層一定是三層交換機，否則整個網絡成千上萬臺計算機都在一個IP網絡中，不僅毫無安全可言，也會因為無法分割廣播域而無法隔離廣播風暴。（2）實現VLAN之間互通，為了避免在大型局域網絡進行廣播所引起的廣播風暴，可將其進一步劃分為多個虛擬局域網VLAN。如果使用三層交換機連接不同的VLAN，就能在保持性能的前提下，經濟地解決了VLAN之間進行通信的問題。第17章三層交換機簡介3.三層交換與路由器的區別（1）主要功能不同三層交換機仍是交換機產品，只不過它是具備了基本的路由功能的交換機，它的主要功能仍是數據交換，而路由器的主要功能是路由轉發。（2）主要適用的環境不一樣三層交換機主要用在局域網中，它的主要用途是提供快速數據交換功能，滿足局域網數據交換頻繁的應用特點。而路由器主要用在廣域網中，它的設計初衷就是為了滿足不同類型的網絡連接。（3）性能體現不一樣從技術上講，路由器和三層交換機在IP數據包操作上存在著明顯區別。路由器一般由基于微處理器的軟件路由引擎執行數據包交換，而三層交換機多數通過硬件執行數據包交換。第17章三層交換機簡介4.三層交換機的接口類型三層交換機上主要有兩種類型非常重要的接口，分別是路由接口和交換機VLAN虛接口。（1）路由接口三層交換機上的路由接口類似于路由器的純三層接口，不同的是路由器的接口支持子接口（如獨臂路由中用到的子接口），而三層交換機上的路由接口不支持子接口。如下所示，使用portlink-moderoute命令將二層端口轉換為三層接口。[L3SW]interfaceGigabitEthernet1/0/1[L3SW-GigabitEthernet1/0/1]portlink-mode?bridgeSwitchtolayer2ethernetrouteSwitchtolayer3ethernet\\可以配置三層交換機的接口為Route接口，默認情況下為bridge端口。[L3SW-GigabitEthernet1/0/1]portlink-moderoute\\配置三層交換機的接口為Route接口，即三層接口。[L3SW-GigabitEthernet1/0/1]ipaddress24第17章三層交換機簡介（2）VLAN虛接口三層交換機的VLAN虛接口是非常重要的接口類型。三層交換機VLAN虛接口實際上是一種與VLAN相關聯的虛擬VLAN接口，VLAN虛接口示意圖如圖17-2所示。在實際網絡中，每一個VLAN都是一個IP網絡，這樣通過VLAN虛接口三層交換機就可以通過路由功能實現VLAN之間的互通。VLAN虛接口示意圖項目17三層交換機簡介三層交換機上VLAN虛接口的配置命令如下。[L3SW]vlan10[L3SW-vlan10]vlan20[L3SW-vlan20]quit[L3SW]interfacevlan10\\進入VLAN10虛接口。[L3SW-Vlan-interface10]ipaddress24\\配置VLAN10虛接口IP地址。[L3SW-Vlan-interface10]quit[L3SW]interfacevlan20[L3SW-Vlan-interface20]ipaddress24第18章三層設備DHCP服務簡介第18章三層設備DHCP服務簡介DHCP是動態主機配置協議（DynamicHostConfigurationProtocol）的縮寫。在TCP/IP網絡中設置計算機的IP地址，可以采用兩種方式：

一種就是手工設置，即由網絡管理員分配靜態的IP地址；另一種是由DHCP服務器自動分配IP地址。DHCP基于C/S模式，DHCP客戶機啟動后自動尋找并與DHCP服務器通信，并從DHCP服務器那里獲得IP地址、子網掩碼、網關、DNS服務器等TCP/IP參數，DHCP服務器可以是安裝DHCP服務軟件的計算機，也可以是網絡中的路由器設備、三層交換機設備。第18章三層設備DHCP服務簡介關于DHCP的工作原理如圖所示，DHCP協議為應用層協議，基于UDP協議，DHCP服務器端口為67，DHCP客戶機端口為68，DHCP廣播使用的目的IP地址為有限廣播55。項目18三層設備DHCP服務簡介由于DHCP服務依賴于廣播信息，因此一般情況下，DHCP客戶機和DHCP服務器應該位于同一個IP網絡之內，如果DHCP客戶機和DHCP服務器處于不同的IP網絡，而三層設備可以隔離廣播域，因此處于不同網絡的DHCP客戶機和DHCP服務器將無法通信，如圖所示。默認情況下路由器不轉發廣播項目18三層設備DHCP服務簡介DHCP中繼的工作原理如圖所示，如圖中DHCP客戶機位于/24網段，該網絡連接在路由器的G0/1接口，而DHCP服務器卻在/24網絡，連接在路由器的G0/0接口，那么在路由器配置DHCP中繼以后，即從G0/1接口收到DHCP廣播后，根據路由器的配置情況，向指定的DHCP服務器進行單播轉發，從而把DHCP廣播轉變為單播后發送給DHCP服務器，實現DHCP服務跨路由工作。DHCP中繼原理第19章

訪問控制列表簡介第19章訪問控制列表簡介訪問控制列表ACL（AccesscontrolList）是應用在路由器、三層交換機等三層設備接口的命令列表，這些命令列表用來告訴三層設備哪些IP數據包可以接收、哪些IP數據包需要拒絕。至于IP數據包是被接收還是被拒絕，可以由源IP地址、目的IP地址、源端口號、目的端口號、協議等特定指示條件來決定。通過建立訪問控制列表，三層設備可以限制網絡流量，提高網絡性能，對通信流量起到控制的作用，實現對流入和流出三層設備接口的IP數據包進行過濾，這也是對網絡訪問的基本安全手段，換句話說，三層設備的訪問控制列表配置可以實現包過濾防火墻的作用。第19章訪問控制列表簡介在三層設備的許多配置任務中都需要使用訪問控制列表，如網絡地址轉換NAT、QoS策略、策略路由等很多場合都需要使用訪問控制列表。1.訪問控制列表的分類訪問控制列表可以分為三類，分別是基本訪問控制列表、高級訪問控制列表和二層訪問控制列表。基本訪問控制列表：也稱為標準訪問控制列表，編號為2000～2999。基本訪問控制列表是根據IP數據包的源地址來決定是否過濾數據包。高級訪問控制列表：也稱為擴展訪問控制列表，編號為3000～3999。高級訪問控制列表根據IP數據包的源地址、目的地址、傳輸層源端口、傳輸層目的端口和協議類型等來決定是否過濾數據包，應用比標準訪問控制列表更加靈活。二層訪問控制列表：編號為4000～4999。二層訪問控制列表是根據幀的源MAC地址、目的MAC地址等二層信息決定是否過濾幀。第19章訪問控制列表簡介

2.訪問控制列表的配置步驟第一步：創建訪問控制列表。第二步：配置規則編號的步長，如果不配置，默認規則編號的步長是5。第三步：配置訪問控制列表中的規則，定義允許或禁止IP數據包的描述語句。第四步：將訪問控制列表應用到三層設備具體接口的inbound入方向或者outbound出方向。項目19訪問控制列表簡介下面是一個訪問控制列表的步驟。[R1]aclbasic2000\\創建一個基本訪問控制列表，編號為2000。[R1-acl-ipv4-basic-2000]step3\\配置規則編號的步長為3。[R1-acl-ipv4-basic-2000]rulepermitsource55\\配置規則，允許源IP地址為、通配符掩碼55的流量。[R1-acl-ipv4-basic-2000]ruledenysource55\\配置規則，禁止源IP地址為、通配符掩碼55的流量。[R1-acl-ipv4-basic-2000]displaythis#aclbasic2000step3rule0permitsource55rule3denysource55#return\\查看配置的基本訪問控制列表2000，第一條規則的編號為0，步長為3，則第二條規則的編號為3，這有助于后期修改訪問控制列表的時候，在0和3編號之間插入規則。[R1-acl-ipv4-basic-2000]quit[R1]interfaceGigabitEthernet0/0[R1-GigabitEthernet0/0]packet-filter2000inbound\\在路由器R1接口的inbound入方向，那么進入這個接口的數據流量，如果源IP地址是/24會被允許，如果源IP地址是/24會被拒絕。[R1-GigabitEthernet0/0]第20章網絡地址轉換NAT簡介第20章網絡地址轉換NAT簡介網絡地址轉換NAT（NetworkAddressTranslation）主要作用在于將內網地址（內部地址、私有地址）轉換為外網地址（外部地址、公網地址）。由于現行IP地址標準——IPv4的限制，Internet面臨著IP地址空間短缺的問題，從ISP申請并給企業的每位員工分配一個合法的公網IP地址是不現實的。NAT不僅較好地解決了IP地址不足的問題，而且還能夠有效地避免來自網絡外部的攻擊，隱藏并保護網絡內部的計算機。NAT功能通常被集成到三層交換機、路由器、防火墻等設備中。內網IP地址范圍為到55，到55，到55。內網IP地址可以不經過申請就在內部網絡中使用。第20章網絡地址轉換NAT簡介NAT的技術實現主要有三種方式。1.靜態方式靜態地址轉換是指外部網絡和內部網絡之間的地址映射關系由配置確定，該方式適用于內部網絡與外部網絡之間存在固定訪問需求的組網環境。靜態NAT方式的配置命令如下，通過這樣的配置就把內網地址固定映射外網地址0，形成一對一的關系。[RA]natstaticoutbound0[RA]natstaticinbound0[RA]interfaceGigabitEthernet0/0[RA-GigabitEthernet0/1]natstaticenable項目20網絡地址轉換NAT簡介2.動態方式動態地址轉換是指內部網絡和外部網絡之間的地址映射關系在建立連接的時候動態產生。該方式通常適用于內部網絡有大量用戶需要訪問外部網絡的組網環境。動態地址轉換存在兩種轉換模式：（1）NO-PAT模式NO-PAT（NotPortAddressTranslation），即無邏輯端口地址轉換，一個外網地址同一時間只能分配給一個內網地址進行地址轉換，不能同時被多個內網地址共用。（2）PAT模式PAT（PortAddressTranslation），即邏輯端口地址轉換，一個外網IP地址可以同時分配給多個內網地址共用。該模式下，NAT設備需要對IP地址和傳輸層端口同時進行轉換。項目20網絡地址轉換NAT簡介例如圖20-2所示，內網主機和同時訪問Internet服務器。通過以上的介紹可以了解，PAT模式通過增加邏輯端口的轉化，可以實現多個內網IP地址共享一個外網IP地址。項目20網絡地址轉換NAT簡介（3）內部服務器在實際應用中，內網中的服務器可能需要對外部網絡提供一些服務，例如給外部網絡提供WEB服務、FTP服務等。這種情況下，NAT設備允許外網用戶通過指定的NAT地址和端口訪問這些內部服務器，NAT內部服務器的配置就定義了外網地址：邏輯端口與內網服務器地址：邏輯端口的映射關系。項目20網絡地址轉換NAT簡介總體而言，NAT地址轉換能力具備以下優點：內部網絡需要與外部網絡通信或訪問外部資源，可以通過將大量的內網地址轉換成少量的外網地址來實現，這在一定程度上緩解了IPv4地址空間日益枯竭的壓力。地址轉換可以利用邏輯端口信息，將內網地址和邏輯端口映射成外網地址和邏輯端口，使得多個內網用戶可共用一個外網地址與外部網絡通信，節省了外網地址。通過靜態映射，不同的內部服務器可以映射到同一個外網地址。外部用戶可通過外網地址和端口訪問不同的內部服務器，同時還隱藏了內部服務器的真實IP地址，從而防止外部對內部服務器乃至內部網絡的攻擊。第21章

虛擬路由器冗余協議VRRP簡介第21章虛擬路由器冗余協議VRRP簡介通常，同一網絡內的所有主機上都存在一個相同的默認網關。主機發往其它網絡的IP數據包將通過默認網關進行轉發，從而實現主機與外部網絡的通信。當默認網關發生故障時，本網絡內所有主機將無法與外部網絡通信。由IEEE提出的VRRP是一種冗余協議，其目的是利用備份機制來提高路由器或三層交換機與外界連接的可靠性。VRRP運行于局域網的多臺三層設備上，VRRP示意圖如圖所示。VRRP將這兩臺路由器組織成一臺虛擬路由器。一個活動路由器（被稱為Master）和一個或多個備份路由器（被稱為Backup）。Master將實際承擔這個虛擬路由器的工作任務，而備份路由器則作為活動路由器的備份。項目21虛擬路由器冗余協議VRRP簡介如圖中R1路由器具有一個網關地址，R2路由器具有一個網關地址，兩者共同組成的一臺虛擬路由器，在運行的時候，這個虛擬路由器擁有自己的虛擬IP地54。由于VRRP只在路由器或三層交換機上運行，所以對于該網絡上的各主機來說，這個虛擬路由器是透明的，它們僅僅知道這個虛擬路由器的虛擬IP地址，而并不知道Master以及Backup的實際IP地址，因此它們將把自己的缺省網關地址設置為該虛擬路由器的虛擬IP地址。VRRP虛擬路由器第22章策略路由簡介第22章策略路由簡介企業接入Internet，通常會采用雙線路接入的方式，如圖所示，企業使用線路1通過ISP1接入Internet，使用線路2通過ISP2接入Internet，這樣雙出口的Internet接入設計方案，可以保證企業與Internet連接的冗余性。但是在Internet的接入設備路由器上不得不面臨的一個問題是，在線路1、線路2均通暢的情況下，如何將數據流量分配到線路1和線路2上，否則就會造成某條線路的帶寬浪費。通過策略路由PBR（PolicyBasedRouting）的方式進行，在線路1、線路2均通暢的情況下，使得企業內10.0/24的流量流向線路1，通過ISP1接入Internet，而20.2/24的流量流向線路2，通過ISP2接入Internet。項目22策略路由簡介策略路由是一種依據用戶制定的策略進行路由轉發的機制。策略路由可以對于滿足一定條件（ACL規則、報文長度等）的IP數據包，執行指定的操作（設置下一跳、出接口、缺省下一跳和缺省出接口等）。IP數據包到達后，系統首先根據策略路由轉發，若沒有配置策略路由，或者配置了策略路由但找不到匹配的節點，或者雖然找到了匹配的節點但指導IP數據包轉發失敗時，再根據路由表來轉發報文。即策略路由的優先級高于路由表。項目22策略路由簡介策略路由的配置流程如下：1.配置策略（1）創建策略節點。可以創建多個節點，每個節點由節點編號來標識。節點編號越小節點的優先級越高，優先級高的節點優先被執行。（2）配置策略節點的匹配規則和配置策略節點的動作。每個節點的具體內容由if-match子句和apply子句來指定。if-match子句定義該節點的匹配規則，apply子句定義該節點的動作。2.應用策略在接口應用策略。實訓19三層交換VLAN互訪和路由配置實訓19三層交換VLAN互訪和路由配置實訓任務：通過本次實訓任務，掌握三層交換機的常用配置，如VLAN虛接口配置、三層路由接口配置，掌握三層交換機的路由協議配置，實現三層交換VLAN的互訪，實現三層交換路由信息的交換，并進行結果驗證。HCLHub云平臺實訓項目網址/project/14095/summary/master實訓拓撲：實訓19三層交換VLAN互訪和路由配置實訓說明：在HCL模擬器中S5820V2-54QS實際上是三層交換機，在實訓內容中部分場景當作三層交換機使用，部分場景作為二層交換機使用，采用L2SW表示二層交換機，采用L3SW表示三層交換機。在HCL模擬器中，添加兩臺三層交換機L3SW-1和L3SW-2，添加兩臺二層交換機L2SW-1和L2SW-2，添加4臺VPC，分別是VPC10、VPC20、VPC30、VPC40。實訓19三層交換VLAN互訪和路由配置實訓步驟：1.完成兩臺三層交換機L3SW-1和L3SW-2的二層VLAN相關配置。（1）三層交換機L3SW-1上的二層VLAN配置、Trunk配置。[L3SW-1]vlan10[L3SW-1-vlan10]vlan20[L3SW-1-vlan20]quit[L3SW-1]interfaceGigabitEthernet1/0/1[L3SW-1-GigabitEthernet1/0/1]portlink-typetrunk[L3SW-1-GigabitEthernet1/0/1]porttrunkpermitvlan1020實訓19三層交換VLAN互訪和路由配置實訓步驟：1.完成兩臺三層交換機L3SW-1和L3SW-2的二層VLAN相關配置。（2）三層交換機L3SW-2上的二層VLAN配置、Trunk配置。[L3SW-2]vlan30[L3SW-2-vlan30]vlan40[L3SW-2-vlan40]quit[L3SW-2]interfaceGigabitEthernet1/0/1[L3SW-2-GigabitEthernet1/0/1]portlink-typetrunk[L3SW-2-GigabitEthernet1/0/1]porttrunkpermitvlan3040實訓19三層交換VLAN互訪和路由配置實訓步驟：2.完成兩臺三層交換機L3SW-1和L3SW-2的三層相關接口配置。（1）三層交換機L3SW-1上的三層VLAN虛接口IP地址配置、三層路由接口配置。[L3SW-1]interfacevlan10[L3SW-1-Vlan-interface10]ipaddress24[L3SW-1-Vlan-interface10]quit[L3SW-1]interfacevlan20[L3SW-1-Vlan-interface20]ipaddress24[L3SW-1-Vlan-interface20]quit[L3SW-1]interfaceTen-GigabitEthernet1/0/49[L3SW-1-Ten-GigabitEthernet1/0/49]portlink-moderoute[L3SW-1-Ten-GigabitEthernet1/0/49]ipaddress24實訓19三層交換VLAN互訪和路由配置實訓步驟：完成以上配置以后，檢查L3SW-1的路由表，結果如下。可以看到VLAN10的/24網絡連接在VLAN10虛接口上，VLAN20的/24網絡連接在VLAN20虛接口上。[L3SW-1]displayiprouting-tableprotocoldirect……Destination/MaskProtoPreCostNextHopInterface/24Direct00XGE1/0/49/24Direct00Vlan10/24Direct00Vlan20實訓19三層交換VLAN互訪和路由配置實訓步驟：（2）三層交換機L3SW-2上的三層VLAN虛接口IP地址配置、三層路由接口配置。[L3SW-2]interfacevlan30[L3SW-2-Vlan-interface30]ipaddress24[L3SW-2-Vlan-interface30]quit[L3SW-2]interfacevlan40[L3SW-2-Vlan-interface40]ipaddress24[L3SW-2-Vlan-interface40]quit[L3SW-2]interfaceTen-GigabitEthernet1/0/49[L3SW-2-Ten-GigabitEthernet1/0/49]portlink-moderoute[L3SW-2-Ten-GigabitEthernet1/0/49]ipaddress24實訓19三層交換VLAN互訪和路由配置實訓步驟：完成以上配置以后，檢查L3SW-2的路由表，結果如下。<L3SW-2>displayiprouting-table……Destination/MaskProtoPreCostNextHopInterface/24Direct00XGE1/0/49/24Direct00Vlan30/24Direct00Vlan40……實訓19三層交換VLAN互訪和路由配置實訓步驟：3.完成兩臺二層交換機L2SW-1和L2SW-2的二層VLAN相關配置（1）二層交換機L2SW-1上的二層VLAN配置、Trunk配置。[L2SW-1]vlan10[L2SW-1-vlan10]vlan20[L2SW-1-vlan20]quit[L2SW-1]interfaceGigabitEthernet1/0/1[L2SW-1-GigabitEthernet1/0/1]portlink-typetrunk[L2SW-1-GigabitEthernet1/0/1]porttrunkpermitvlan1020[L2SW-1-GigabitEthernet1/0/1]quit[L2SW-1]interfaceGigabitEthernet1/0/10[L2SW-1-GigabitEthernet1/0/10]portaccessvlan10[L2SW-1-GigabitEthernet1/0/10]quit[L2SW-1]interfaceGigabitEthernet1/0/20[L2SW-1-GigabitEthernet1/0/20]portaccessvlan20實訓19三層交換VLAN互訪和路由配置實訓步驟：3.完成兩臺二層交換機L2SW-1和L2SW-2的二層VLAN相關配置（2）二層交換機L2SW-2上的二層VLAN配置、Trunk配置。[L2SW-2]vlan30[L2SW-2-vlan30]vlan40[L2SW-2-vlan40]quit[L2SW-2]interfaceGigabitEthernet1/0/1[L2SW-2-GigabitEthernet1/0/1]portlink-typetrunk[L2SW-2-GigabitEthernet1/0/1]porttrunkpermitvlan3040[L2SW-2-GigabitEthernet1/0/1]quit[L2SW-2]interfaceGigabitEthernet1/0/30[L2SW-2-GigabitEthernet1/0/30]portaccessvlan30[L2SW-2-GigabitEthernet1/0/30]quit[L2SW-2]interfaceGigabitEthernet1/0/40[L2SW-2-GigabitEthernet1/0/40]portaccessvlan40實訓19三層交換VLAN互訪和路由配置實訓步驟：完成以上配置以后，進行VPC之間ping通測試。VPC10（）與VPC20（）之間可以相互ping通，VPC30（）與VPC40（）之間可以相互ping通。但由于兩臺三層交換機之間到達對方IP網絡的路由，因此VPC10與VPC30、VPC40之間無法ping通，VPC20與VPC30、VPC40之間無法ping通。實訓19三層交換VLAN互訪和路由配置實訓步驟：4.完成兩臺三層交換機上的動態路由配置，本實訓內容采用了RIP協議，也可以配置靜態路由，也可以配置OSPF協議。（1）三層交換機L3SW-1上的RIP協議配置。[L3SW-1]rip1[L3SW-1-rip-1]version2[L3SW-1-rip-1]undosummary[L3SW-1-rip-1]network55[L3SW-1-rip-1]network55[L3SW-1-rip-1]network55實訓19三層交換VLAN互訪和路由配置實訓步驟：（2）三層交換機L3SW-2上的RIP協議配置。[L3SW-2]rip1[L3SW-2-rip-1]version2[L3SW-2-rip-1]undosummary[L3SW-2-rip-1]network55[L3SW-2-rip-1]network55[L3SW-2-rip-1]network55實訓19三層交換VLAN互訪和路由配置實訓步驟：完成以上配置以后，在兩臺三層交換機上都有對端的IP網絡路由信息，以下為L3SW-1的路由表。完成以上配置以后，進行VPC之間ping通測試。VPC10（）、VPC20（）、VPC30（）、VPC40（）之間都可以相互ping通。<L3SW-1>displayiprouting-table……Destination/MaskProtoPreCostNextHopInterface/24Direct00XGE1/0/49/24Direct00Vlan10/24Direct00Vlan20/24RIP1001XGE1/0/49/24RIP1001XGE1/0/49實訓20三層設備DHCP服務配置實訓20三層設備DHCP服務配置實訓任務：通過本次實訓任務，掌握三層設備的DHCP服務配置和DHCP中繼配置，并進行結果驗證。在HCL模擬器中，添加一臺三層交換機L3SW，添加一臺路由器R1，添加一臺二層交換機L2SW，添加2臺VPC，分別是VPC10、VPC20。HCLHub云平臺實訓項目網址/project/14097/summary/master實訓拓撲：實訓20三層設備DHCP服務配置設置VPC10和VPC20為自動獲取IP地址，設置方法是啟動VPC10和VPC20以后，選中VPC，鼠標右鍵配置，接口管理啟用、IPv4配置選擇DHCP，如實訓圖20-2所示。實訓20三層設備DHCP服務配置實訓步驟：1.在二層交換機L2SW上完成VLAN配置和Trunk配置。[L2SW]vlan10[L2SW-vlan10]vlan20[L2SW-vlan20]quit[L2SW]interfaceGigabitEthernet1/0/10[L2SW-GigabitEthernet1/0/10]portaccessvlan10[L2SW-GigabitEthernet1/0/10]quit[L2SW]interfaceGigabitEthernet1/0/20[L2SW-GigabitEthernet1/0/20]portaccessvlan20[L2SW-GigabitEthernet1/0/20]quit[L2SW]interfaceGigabitEthernet1/0/1[L2SW-GigabitEthernet1/0/1]portlink-typetrunk[L2SW-GigabitEthernet1/0/1]porttrunkpermitvlan1020實訓20三層設備DHCP服務配置實訓步驟：2.在三層交換機L3SW上完成VLAN配置、Trunk配置、VLAN虛接口配置。[L3SW]vlan10[L3SW-vlan10]vlan20[L3SW-vlan20]quit[L3SW]interfaceGigabitEthernet1/0/2[L3SW-GigabitEthernet1/0/2]portlink-typetrunk[L3SW-GigabitEthernet1/0/2]porttrunkpermitvlan1020[L3SW-GigabitEthernet1/0/2]quit[L3SW]interfacevlan10[L3SW-Vlan-interface10]ipaddress24[L3SW-Vlan-interface10]quit[L3SW]interfacevlan20[L3SW-Vlan-interface20]ipaddress24實訓20三層設備DHCP服務配置實訓步驟：3.在三層交換機L3SW上完成DHCP服務配置，為VLAN10（/24網絡）自動分配IP地址。[L3SW]dhcpserverip-poolvlan10pool\\創建DHCP地址池，名稱為vlan10pool。[L3SW-dhcp-pool-vlan10pool]network24\\地址池網絡為/24。[L3SW-dhcp-pool-vlan10pool]gateway-list\\地址池中網關為。[L3SW-dhcp-pool-vlan10pool]dns-list\\地址池中dns服務器為。[L3SW-dhcp-pool-vlan10pool]quit[L3SW]dhcpserverforbidden-ip0\\配置排除IP地址范圍為到0。實訓20三層設備DHCP服務配置實訓步驟：[L3SW]interfacevlan10[L3SW-Vlan-interface10]dhcpselectserver\\配置VLAN10虛接口為DHCP服務模式。[L3SW-Vlan-interface10]dhcpserverapplyip-poolvlan10pool\\配置VLAN10虛接口提供DHCP服務時使用vlan10pool地址池。[L3SW-Vlan-interface10]quit[L3SW]dhcpenable\\啟動DHCP服務。實訓20三層設備DHCP服務配置結果驗證：完成以上配置以后，在VPC10上可以ping通L3SW（），同時在L3SW上使用命令displaydhcpserverip-in-use可以看到IP地址分配情況。如果VPC10沒有獲取，選VPC10鼠標右鍵-配置，點擊刷新。VPC10獲取IP地址的情況如圖20-3所示。[L3SW]displaydhcpserverip-in-useIPaddressClientidentifier/LeaseexpirationTypeHardwareaddress10061-3665-662e-3336Mar3016:31:222021Auto(C)實訓20三層設備DHCP服務配置實訓步驟：4.配置三層交換機L3SW的G1/0/1接口為三層路由接口，并配置IP地址。配置R1的G0/0接口IP地址，保證L3SW與R1的互通。（1）三層交換機L3SW的接口配置如下。[L3SW]interfaceGigabitEthernet1/0/1[L3SW-GigabitEthernet1/0/1]portlink-moderoute[L3SW-GigabitEthernet1/0/1]ipaddress24[R1]interfaceGigabitEthernet0/0[R1-GigabitEthernet0/0]ipaddress24（2）R1的接口配置如下。實訓20三層設備DHCP服務配置實訓步驟：5.在R1上配置DHCP服務，為/24網絡分配IP地址，同時在R1上配置缺省路由。[R1]dhcpserverip-poolvlan20pool\\創建DHCP地址池，名稱為vlan20pool。[R1-dhcp-pool-vlan20pool]network24\\地址池網絡為/24。[R1-dhcp-pool-vlan20pool]gateway-list\\地址池中網關為。[R1-dhcp-pool-vlan20pool]dns-list\\地址池中dns服務器為。[R1-dhcp-pool-vlan20pool]quit[R1]dhcpserverforbidden-ip0\\配置排除IP地址范圍為到0。實訓20三層設備DHCP服務配置實訓步驟：[R1]interfaceGigabitEthernet0/0[R1-GigabitEthernet0/0]dhcpselectserver\\配置G0/0接口為DHCP服務模式。[R1-GigabitEthernet0/0]dhcpserverapplyip-poolvlan20pool\\配置G0/0接口提供DHCP服務時使用vlan20pool地址池。[R1-GigabitEthernet0/0]quit[R1]dhcpenable\\啟動DHCP服務。[R1]iproute-static實訓20三層設備DHCP服務配置實訓步驟：6.在三層交換機L3SW上配置DHCP中繼服務，配置缺省路由。[L3SW]interfacevlan20[L3SW-Vlan-interface20]dhcpselectrelay\\配置VLAN20虛接口為DHCP中繼模式。[L3SW-Vlan-interface20]dhcprelayserver-address\\配置DHCP中繼的服務器IP地址為。[L3SW-Vlan-interface20]quit[L3SW]iproute-static實訓20三層設備DHCP服務配置實訓步驟：完成以上配置以后，在VPC20上可以ping通L3SW（）。如果VPC20沒有獲取，選中VPC20鼠標右鍵-配置，點擊刷新，嘗試獲取IP地址。VPC20獲取IP地址的情況如圖20-3所示。同時在R1上查看IP地址的分配情況。[R1]displaydhcpserverip-in-useIPaddressClientidentifier/LeaseexpirationTypeHardwareaddress10061-3665-662e-3338Mar3017:11:352021Auto(C)實訓21路由器訪問控制列表配置實訓21路由器訪問控制列表配置實訓任務：通過本次實訓任務，掌握基本訪問控制列表、高級訪問控制列表的配置方法和配置指令，并進行結果驗證。在HCL模擬器中，添加兩臺路由器R1和R2，添加兩臺OracleVirtualBox中的Host主機Host1和Host2。HCLHub云平臺實訓項目網址/project/14098/summary/master實訓拓撲：實訓21路由器訪問控制列表配置實訓說明：配置包含兩個內容，分別是基本訪問控制列表和高級訪問控制列表。第一個內容，在R1上配置基本訪問控制列表，允許/24網絡訪問R3。禁止/24網絡訪問R3。第二個內容，在R1上配置高級訪問控制列表，允許/24網絡訪問R3的FTP服務、禁止訪問R3的Telnet服務、允許ICMP協議訪問R3，允許/24網絡訪問R3的Telnet服務、禁止訪問R3的FTP服務、禁止ICMP協議訪問R3。實訓21路由器訪問控制列表配置實訓步驟：完成各臺設備接口的IP地址配置。保證各臺設備之間的互通。在R2上配置靜態路由，保證路由暢通，配置FTP用戶、Telnet用戶，并啟動R2的FTP服務和Telnet服務。配置命令如下。[R2]iproute-static[R2]local-usergzeicclassmanage[R2-luser-manage-gzeic]service-typeftp[R2-luser-manage-gzeic]service-typetelnet[R2-luser-manage-gzeic]passwordsimplehelloh3c\\配置ftp用戶、Telnet用戶名gzeic的密碼為helloh3c。[R2-luser-manage-gzeic]authorization-attributeuser-rolenetwork-admin[R2-luser-manage-gzeic]quit[R2]user-interfacevty04[R2-line-vty0-4]authentication-modescheme[R2-line-vty0-4]quit[R2]telnetserverenable[R2]ftpserverenable實訓21路由器訪問控制列表配置實訓步驟：

3.在R1上基本訪問控制列表。配置命令如下。[R1]aclbasic2000\\創建基本訪問控制列表2000。[R1-acl-ipv4-basic-2000]rulepermitsource55\\允許源IP地址為，通配符掩碼為55。[R1-acl-ipv4-basic-2000]ruledenysource55\\拒絕源IP地址為，通配符掩碼為55。[R1-acl-ipv4-basic-2000]quit[R1]interfaceGigabitEthernet0/0[R1-GigabitEthernet0/0]packet-filter2000outbound\\在R1的G0/0接口出的方向上，應用訪問控制列表2000，則對從該接口發出的流量進行過濾。實訓21路由器訪問控制列表配置實訓步驟：完成以上配置內容以后，進行結果驗證。結果如實訓圖所示。Host1（）可以ping通R2（）Host2（）無法ping通R2（）。實訓21路由器訪問控制列表配置實訓步驟：4.在R1的G0/0接口上取消基本訪問控制列表，同時配置高級訪問控制列表，配置命令如下。（1部分）[R1]interfaceGigabitEthernet0/0[R1-GigabitEthernet0/0]undopacket-filter2000outbound\\在R1的G0/0接口上，取消訪問控制列表2000。[R1-GigabitEthernet0/0]quit[R1]acladvanced3000\\創建高級訪問控制列表3000。[R1-acl-ipv4-adv-3000]rulepermittcpsource55destinationdestination-porteq21\\配置規則允許TCP的流量，該流量的特征為源IP為通配符掩碼為55、目的IP地址為通配符掩碼為、目的端口為21端口，21為FTP的服務端口。實訓21路由器訪問控制列表配置實訓步驟：4.在R1的G0/0接口上取消基本訪問控制列表，同時配置高級訪問控制列表，配置命令如下。（2部分）[R1-acl-ipv4-adv-3000]ruledenytcpsource55destinationdestination-porteq23\\配置規則拒絕TCP的流量，該流量的特征為源IP為通配符掩碼為55、目的IP地址為通配符掩碼為、目的端口為23端口，23為Telnet的服務端口。[R1-acl-ipv4-adv-3000]rulepermiticmpsource55\\配置規則允許協議為ICMP、源地址為通配符掩碼為55的流量。[R1-acl-ipv4-adv-3000]rulepermittcpsource55destinationdestination-porteq23\\配置規則允許TCP的流量，該流量的特征為源IP為通配符掩碼為55、目的IP地址為通配符掩碼為、目的端口為23端口。實訓21路由器訪問控制列表配置實訓步驟：4.在R1的G0/0接口上取消基本訪問控制列表，同時配置高級訪問控制列表，配置命令如下。（3部分）[R1-acl-ipv4-adv-3000]ruledenytcpsource55destinationdestination-porteq21\\配置規則拒絕TCP的流量，該流量的特征為源IP為通配符掩碼為55、目的IP地址為通配符掩碼為、目的端口為21端口。[R1-acl-ipv4-adv-3000]ruledenyicmpsource55\\配置規矩拒絕協議為ICMP、源地址為通配符掩碼為55的流量。[R1-acl-ipv4-adv-3000]quit[R1]interfaceGigabitEthernet0/0[R1-GigabitEthernet0/0]packet-filter3000outbound\\在R1的G0/0接口出方向上應用訪問控制列表3000。實訓21路由器訪問控制列表配置實訓步驟：完成以上配置內容以后，進行結果驗證。Host1上的結果如下實訓圖所示。Host1（）可以FTP訪問，不能telent，可以ping通。Host2（）不能FTP訪問，可以telent，不能ping通。實訓22路由器NAT配置實訓22路由器NAT配置實訓任務：通過本次實訓任務，掌握NAT的NO-PAT模式、PAT模式、EASYNAT、內部服務器NAT的配置方法和配置指令，并進行結果驗證。HCLHub云平臺實訓項目網址/project/14102/summary/master實訓拓撲：實訓22路由器NAT配置實訓說明：在HCL模擬器中，添加一臺交換機SW，添加五臺路由器，分別是取名為InServer、Client、NAT、R1、OutServer。InServer路由器，模擬內網FTP服務器。Client路由器，模擬內網訪問外網FTP服務器的客戶機。NAT路由器實現內網、外網地址的NAT轉換功能。R1路由器，模擬Internet上外部網絡連接路由器。OutServer路由器，模擬外網FTP服務器，同時也模擬訪問內網FTP服務器的客戶機。實訓22路由器NAT配置實訓步驟：1.InServer路由器，模擬內網FTP服務器，完成InServer的接口配置、缺省路由配置、FTP用戶配置（用戶名inserver密碼helloinserver）、FTP服務配置。[inserver]interfaceGigabitEthernet0/0[inserver-GigabitEthernet0/0]ipaddress24[inserver-GigabitEthernet0/0]quit[inserver]iproute-static[inserver]local-userinserverclassmanage[inserver-luser-manage-inserver]service-typeftp[inserver-luser-manage-inserver]passwordsimplehelloinserver[inserver-luser-manage-inserver]authorization-attributeuser-rolenetwork-admin[inserver-luser-manage-inserver]quit[inserver]ftpserverenable實訓22路由器NAT配置實訓步驟：2.Client路由器，模擬內網訪問外網FTP服務器的客戶機。完成Client的接口配置、缺省路由配置。[client]interfaceGigabitEthernet0/0[client-GigabitEthernet0/0]ipaddress24[client-GigabitEthernet0/0]quit[client]iproute-static[NAT]interfaceGigabitEthernet0/1[NAT-GigabitEthernet0/1]ipaddress24[NAT-GigabitEthernet0/1]quit[NAT]interfaceGigabitEthernet0/0[NAT-GigabitEthernet0/0]ipaddress24[NAT-GigabitEthernet0/0]quit[NAT]iproute-static3.完成網絡地址轉換設備的NAT接口配置、缺省路由配置。實訓22路由器NAT配置實訓步驟：4.完成外部網絡的R1接口配置。[R1]interfaceGigabitEthernet0/0[R1-GigabitEthernet0/0]ipaddress24[R1-GigabitEthernet0/0]quit[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]ipaddress24實訓22路由器NAT配置實訓步驟：5.OutServer路由器，模擬外網FTP服務器，同時也模擬訪問內網FTP服務器的客戶機。完成OutServer接口的配置、缺省路由配置、FTP用戶配置（用戶名outserver密碼hellooutserver）、FTP服務配置。[outserver]interfaceGigabitEthernet0/0[outserver-GigabitEthernet0/0]ipaddress24[outserver-GigabitEthernet0/0]quit[outserver]iproute-static[outserver]local-useroutserverclassmanage[outserver-luser-manage-outserver]passwordsimplehellooutserver[outserver-luser-manage-outserver]service-typeftp[outserver-luser-manage-outserver]authorization-attributeuser-rolenetwork-admin[outserver-luser-manage-outserver]quit[outserver]ftpserverenable實訓22路由器NAT配置實訓步驟：6.在NAT設備上配置NO-PAT模式后，進行結果驗證。[NAT]nataddress-group1\\創建一個NAT地址池，地址池編號1。[NAT-address-group-1]address00\\地址池的范圍為0到0。[NAT-address-group-1]quit[NAT]aclbasic2000\\創建訪問控制列表2000[NAT-acl-ipv4-basic-2000]rulepermitsource55\\規則為允許源IP地址為通配符掩碼為55。[NAT-acl-ipv4-basic-2000]exit[NAT]interfaceGigabitEthernet0/0[NAT-GigabitEthernet0/0]natoutbound2000address-group1no-pat\\在NAT設備的G0/0出口方向上，對符合訪問控制列表2000的流量，轉化為地址池1中的地址，為no-pat模式。實訓22路由器NAT配置結果驗證：在內部網絡client客戶機上使用ftp命令訪問外網FTP服務器，用戶名outserver密碼hellooutserver，成功登陸結果如下。在NAT設備商查看nat會話摘要，結果如下。<client>ftp……Connectedto().220FTPserviceready.User(:(none)):outserver331Passwordrequiredforoutserver.Password:230Userloggedin.……[NAT]displaynatsessionbriefSlot0:ProtocolSourceIP/portDestinationIP/portGlobalIP/portTCP/39234/210/39234Totalsessionsfound:1實訓22路由器NAT配置結果驗證：7.在NAT設備上配置PAT模式后，進行結果驗證。[NAT]interfaceGigabitEthernet0/0[NAT-GigabitEthernet0/0]undonatoutbound2000[NAT-GigabitEthernet0/0]natoutbound2000address-group1\\\\在NAT設備的G0/0出口方向上，對符合訪問控制列表2000的流量，轉化為地址池1中的地址，為pat模式。在內部網絡client客戶機上使用ftp命令訪問外網FTP服務器，用戶名outserver密碼hellooutserver。然后在NAT設備商查看nat會話摘要，結果如下。<NAT>displaynatsessionbriefSlot0:ProtocolSourceIP/portDestinationIP/portGlobalIP/portTCP/39235/210/1025Totalsessionsfound:1實訓22路由器NAT配置結果驗證：8.在NAT設備上配置easynat模式后，進行結果驗證，所謂easynat就是將內網地址轉換為NAT設備外網接口IP地址的PAT模式。[NAT]interfaceGigabitEthernet0/0[NAT-GigabitEthernet0/0]undonatoutbound2000[NAT-GigabitEthernet0/0]natoutbound2000在內部網絡client客戶機上使用ftp命令訪問外網FTP服務器，用戶名outserver密碼hellooutserver。然后在NAT設備商查看nat會話摘要，結果如下。<NAT>displaynatsessionbriefSlot0:ProtocolSourceIP/portDestinationIP/portGlobalIP/portTCP/39236/21/1025Totalsessionsfound:1實訓22路由器NAT配置結果驗證：9.在NAT設備上配置內部服務器NAT，進行結果驗證。為NAT設備外網接口IP地址的PAT模式。[NAT]interfaceGigabitEthernet0/0[NAT-GigabitEthernet0/0]natserverprotocoltcpglobal021inside21\\配置nat服務器，協議為tcp，外網地址0的21端口映射到內部的的21端口。然后在OutServer上訪問0的IP地址，實現訪問內部服務器，用戶名inserver密碼helloinserver。<outserver>ftp0……Connectedto0(0).220FTPserviceready.User(0:(none)):inserver331Passwordrequiredforinserver.Password:230Userloggedin.實訓22路由器NAT配置結果驗證：然后在NAT設備商查看nat會話摘要，結果如下。[NAT]displaynatsessionbriefSlot0:Protocol SourceIP/port DestinationIP/port GlobalIP/portTCP /21 /6848 0/21Totalsessionsfound:1[NAT]實訓23三層交換機VRRP配置實訓23三層交換機VRRP配置實訓任務：通過本次實訓任務，掌握三層交換機VRRP的配置方法和配置命令，并進行結果驗證。HCLHub云平臺實訓項目網址/project/14109/summary/master實訓拓撲：實訓23三層交換機VRRP配置實訓說明：在HCL模擬器中，添加兩臺三層交換機，分別是L3SW-1和L3SW-2，添加一臺二層交換機L2SW，添加兩臺VPC，分別是VPC10、VPC20。在拓撲圖中有兩個VLAN，VLAN10的IP網絡為/24，VLAN20的IP網絡為/24，在VRRP配置中，L3SW-1作為VLAN10的Master網關、VLAN20的backup網關，L3SW-2作為VLAN20的Master網關、VLAN10的backup網關。實訓23三層交換機VRRP配置實訓步驟：1.在L2SW上完成VLAN配置、Trunk配置。[L2SW]vlan10[L2SW-vlan10]vlan20[L2SW-vlan20]quit[L2SW]interfaceGigabitEthernet1/0/10[L2SW-GigabitEthernet1/0/10]portaccessvlan10[L2SW-GigabitEthernet1/0/10]quit[L2SW]interfaceGigabitEthernet1/0/20[L2SW-GigabitEthernet1/0/20]portaccessvlan20[L2SW-GigabitEthernet1/0/20]quit[L2SW]interfacerangeGigabitEthernet1/0/1toGigabitEthernet1/0/2[L2SW-if-range]portlink-typetrunk[L2SW-if-range]porttrunkpermitvlan1020實訓23三層交換機VRRP配置實訓步驟：2.在L3SW-1上完成VLAN配置、Trunk配置，以及VLAN虛接口配置和VRRP配置。（1部分）[L3SW-1]vlan10[L3SW-1-vlan10]vlan20[L3SW-1-vlan20]quit[L3SW-1]interfaceGigabitEthernet1/0/1[L3SW-1-GigabitEthernet1/0/1]portlink-typetrunk[L3SW-1-GigabitEthernet1/0/1]porttrunkpermitvlan1020[L3SW-1-GigabitEthernet1/0/1]quit[L3SW-1]interfacevlan10[L3SW-1-Vlan-interface10]ipaddress24\\配置VLAN10虛接口IP地址為/24。實訓23三層交換機VRRP配置實訓步驟：2.在L3SW-1上完成VLAN配置、Trunk配置，以及VLAN虛接口配置和VRRP配置。（2部分）[L3SW-1-Vlan-interface10]vrrpvrid1virtual-ip54\\創建VRRP虛擬路由器組1，設置該虛擬路由器組1的虛擬IP地址為54。[L3SW-1-Vlan-interface10]vrrpvrid1priority200\\配置本設備在虛擬路由器組1中的優先級為200，默認優先級為100。[L3SW-1-Vlan-interface10]vrrpvrid1preempt-mode\\配置本設備在虛擬路由器組1中為搶占模式，即如果本設備故障恢復以后，重新搶回Master角色。[L3SW-1-Vlan-interface10]quit[L3SW-1]interfacevlan20[L3SW-1-Vlan-interface20]ipad