思科ACS網絡設備安全管理方案

一、網絡設備安全管理需求概述

就北京中行網絡布局來看，網絡的基礎設施現包含幾百個網絡設備。在網絡

上支撐的業務日益關鍵，對網絡安全和可靠性要求更為嚴格。

可以預測的是，大型網絡管理需要多種網絡管理工具協調工作，不同的網絡

管理協議、工具和技術將各盡其力，同時發揮著應有的作用。比如：對于Telnet

網絡管理手段。有些人可能會認為，今后這些傳統的設備管理手段，會減少使用

甚或完全消失。但實際上，Telnet命令行設備管理仍因其速度、強大功能、熟悉

程度和方便性而廣受歡迎。盡管其他網絡設備管理方式中有先進之處，基于Telnet

的管理在未來依然會是一種常用管理方式。

隨著BOC網絡設備數量的增加，為維持網絡運作所需的管理員數目也會隨

之增加。這些管理員隸屬于不同級別的部門，系統管理員結構也比較復雜。網絡

管理部門現在開始了解，如果沒有一個機制來建立整體網絡管理系統，以控制哪

些管理員能對哪些設備執行哪些命令，網絡基礎設施的安全性和可靠性問題是無

法避免的。

二、設備安全管理解決之道

建立網絡設備安全管理的首要出發點是定義和規劃設備管理范圍，從這一點

我門又可以發現，網絡設備安全管理的重點是定義設備操作和管理權限。對于新

增加的管理員，我們并不需要對個體用戶進行權限分配，而是通過分配到相應的

組中，繼承用戶組的權限定義。

通過上面的例子，我們可以發現網絡安全管理的核心問題就是定義以下三個

概念：設備組、命令組和用戶組。設備組規劃了設備管理范圍；命令組制定了操

作權限；用戶組定義了管理員集合。根據BOC的設備管理計劃，將它們組合在

一起，構成BOC所需要的設備安全管理結構。

安全設備管理包括身份驗證Authentication授權Authorization和記帳

Accounting三個方面的內容。例如：管理員需要通過遠程1Qgin或是本地Iyogin

到目標設備，能否進入到設備上，首先要通過嚴格的身份認證；通過身份驗證的

管理員能否執行相應的命令，要通過檢查該管理員的操作權限；管理員在設備上

的操作過程，可以通過記帳方式記錄在案。

AAA的應用大大簡化了大型網絡復雜的安全管理問題，提高了設備集中控制

強度。目前AAA在企業網絡中越來越成為網絡管理人員不可缺少的網絡管理工

具。

CiscoSecureACS3.1以后的版本提供的Shell殼式授權命令集提供的工具可使

用思科設備支持的高效、熟悉的TCP/IP協議及實用程序，來構建可擴展的網絡

設備安全管理系統。

三、CiscoACS幫助BOC實現設備安全管理

熟悉CiscoIOS的用戶知道，在K)S軟件中，定義了16個級別權限，即從0

到15。在缺省配置下，初次連接到設備命令行后，用戶的特權級別就設置為1。

為改變缺省特權級別,您必須運行enable啟用命令，提供用戶的enablepassword

和請求的新特權級別。如果口令正確，即可授予新特權級別。請注意可能會針對

設備上每個權利級別而執行的命令被本地存儲于那一設備配置中。超級管理員可

以在事先每臺設備上定義新的操作命令權限。例如：可修改這些級別并定義新級

別，如圖1所示。

______________________圖1啟用命令特權級別示例______________________

enablepasswordlevel13pswdl0

privilegeexeclevel10clearline

privile-jeexec1-5vel10jebugpppchap

privilegeexecleve-110debugppperror

privilegeexecl^v-110lebugpppnegotiation

當值班的管理員enable10之后，該管理員僅僅擁有在級別10規定之下的投

權命令集合，其可以執行clearline、debugPPP等命令。這種方式是"分散"特

權級別授權控制。這種應用方式要求在所有設備都要執行類似同樣的配置，這樣

同一個管理員才擁有同樣的設備操作權限，這顯然會增加超級管理員的工作負

擔。

為解決這種設備安全管理的局限性，CiscoACS提出了可擴展的管理方式一

“集中”特權級別授權控制，CiscoACS通過啟用TACACS+,就可從中央位置

提供特權級別授權控制。TACACS+服務器通常允許各不同的管理員有自己的啟

用口令并獲得特定特權級別。

下面探討如何利用CiscoACS實現設備組、命令集、用戶組的定義與關聯。

3.1設備組定義

根據北京行的網絡結構，我們試定義以下設備組：

（待定）交換機組一包含總行大樓的樓層交換機Cisco65/45;

試定義以下設備組：

（待定）交換機組--CiscoCatalyst6500或Catalyst4xxx

（待定）網絡設備組…Cisco2811

3.2Shell授權命令集(ShellAuthorizationCommandSets)定義

殼式授權命令集可實現命令授權的共享，即不同用戶或組共享相同的命令集。

如圖2所示，CiscoSecureACS圖形用戶界面(GUI)可獨立定義命令授權集。

命令集會被賦予一個名稱，此名稱可用于用戶或組設置的命令集。

基于職責的授權(Role-basedAuthorization)

命令集可被理解為職責定義。實際上它定義授予的命令并由此定義可能采取的任

務類型。如果命令集圍繞BOC內部不同的網絡管理職責定義，用戶或組可共享

它們。當與每個網絡設備組授權相結合時，用戶可為不同的設備組分配不同職責。

BQC網絡設備安全管理的命令集，可以試定義如下：

超級用戶命令組一具有IOS第15特權級別用戶，他/她可以執行所有的配置

configurexshow和Troubleshooting命令；

故障診斷命令組一具有所有Ping、Trace命令、show命令和debug命令，以

及簡單的配置命令；

網絡操作員命令組一具有簡單的Troubleshooting命令和針對特別功能的客戶

定制命令；

3.3用戶組定義（草案）

用戶組的定義要根據BOC網絡管理人員的分工組織構成來確定，可以試定義

如下：

運行管理組一負責管理控制大樓網絡樓層設備，同時監控BOC骨干網絡設

備。人員包括分行網絡管理處的成員；

操作維護組…對于負責日常網絡維護工作的網絡操作員，他們屬于該組°

3.4設備安全管理實現

完成了設備組、命令組和用戶組的定義之后，接下來的工作是在用戶組的定

義中，將設備組和命令組對應起來。

TACAS+要求AAA的Clients配置相應的AAA命令，這樣凡是通過遠程或本

地接入到目標設備的用戶都要通過嚴格的授權，然后TACAS+根據用戶組定義的

權限嚴格考察管理員步輸入的命令。

四、TACAS+的審計跟蹤功能

由于管理人員的不規范操作，可能會導致設備接口的down,或是路由協議

的reset,或許更嚴重的設備reload。所以設備操作審計功能是必須的。

我們可以在網絡相對集中的地方設立一個中央審計點，即是可以有一個中央

點來記錄所有網絡管理活動。這包括那些成功授權和那些未能成功授權的命令。

可用以下三個報告來跟蹤用戶的整個管理進程。

?TACACS+記帳報告可記錄管理進程的起始和結束。在AAA客戶機上必須啟

動記帳功能；

TACACS+管理報告記錄了設備上發出的所有成功授權命令；在AAA客戶機

上必須啟動記帳功能;

?嘗試失敗報告記錄了設備的所有失敗登錄嘗試和設備的所有失敗命令授權；

在AAA客戶機上必須啟動記帳功能；。

圖4審計示例——登錄

LA-Gateway

Doglntandy

Password：????*??

LA-Gateway〉

當管理員在某一設備上開始一個新管理進程時，它就被記錄在TACACS+記

帳報告中。當管理進程結束時，也創建一個數值。Acct-Flags字段可區分這丙個

事件。

圖5審計示例——計帳報告節選［按文本給出］

3..能螯啃髭ir齪氣界必出」.也皿

卜班《800】卜5小笳卜，［ijWtoOaa"

當管理員獲得對設備的接入，所有成功執行的命令都作為TACACS+記帳請

求送至TACACS+服務器。TACACS+服務器隨后會將這些記帳請求記錄在

TACACS+管理報告中。圖6為管理進程示例。

圖6審計示例——記帳請求

LA,-Gateway*enable

Password：????????

lA-Gatewas'ttconf1gtenninal

Enteroonfigurationcowranda.onep^xline.EndwithrtJTL/Z.

LA-Gateway<con￡ig)^interfacebuo

LA-aaceway<con￡ig-if)?Hpppauthenticationchap

圖7中顯示的TACACS+管理報告節選以時間順序列出了用戶在特定設備

上成功執行的所有命令。

圖7審計示例——管理報告節選

由，?才口”交種7；0喧b.F4E

1“144X1”力弘foxiEltUL町V/e

1心200，1”433g"ifnrvuSUXkiewMjt,WritC^at

匚山占+

liri4.0??31153507an4y5l￡?C-><|VLAQuewffjrV/rttCgt

llfU.200］：l?0233mavLMhiwwy侏HCwn

注：本報告僅包含成功授權和執行的命令。它不包括含排字錯誤或未授權命令的

命令行。

在圖8顯示的示例中，用戶從執行某些授權命令開始，然后就試圖執行用戶

未獲得授權的命令（配置終端）。

圖8審計示例——未授權請求

NY-Gateway

Login：andy

Password：???????

NYGatsway>

IfY■Xateitfay*enable

Password：??????

HY-Gatewaynshoxrun

HY-tjatewayttconfigureterminal

圖8為TACACS+管理報告節選，具體說明了用戶andy在網關機上執行的

命令。

圖9審計示例——管理報告節選

i>*?tUm?>k>r)nii

i-i.-.?

lt>>4COO(KM5)6與<rM，，wrI刁'FlCoE

當Andy試圖改變網關機器的配置，TACACS+服務器不給予授權，用此試圖

記錄在失敗試圖報告中（圖10）。

圖10審計示例——失敗試圖報告節選

Jfffwwt

VirtO-Ett

Eta?Af<??

lies.！??&?SXl!>uk!Hfcr?C“?

3

EKFrtiri

40皿0C*rrg-MiU

!7194*AMCLJI￡?1T1=卜汽吁c

IrmmJ

提示：如果失敗試圖報告中包括網絡設備組和設備命令集欄，您可輕松確定

用戶andy為何被拒絕使用配置命令。

這三個報告結合起來提供了已試圖和已授權的所有管理活動的完整記錄。

五、CiscoACS在北京中行網絡中的配置方案

在各個分行中心配置兩臺ACS服務器（數據庫同步，保證配置冗余），由個

分行控制和管內所轄的網絡設備。

我們建議CiscoACS安裝在網絡Firewall保護的區域。參見下圖:

Region1Region2

Firewall

Region3

六、TACAS+與RADIUS協議比較

網絡設備安全管理要求的管理協議首先必須是安全的cRADIUS黔證管理員

身份過程中使用的是明文格式，而TACAS使用的是密文格式，所以TACAS可

以抵御Sniffer的竊聽。

TACAS使用TCP傳輸協議，RADIUS使用LDP傳輸協議，當AAA的客戶

端和服務器端之間有lowspeed的鏈接時，TCP機制可以保證數據的可靠傳輸,

而UDP傳輸沒有保證。

TACAS和RADIUS都是IETF的標準化協議，Cisco在TACAS基礎上開發了

TACAS增強型協議--TACAS+,所以CiscoACS可以同時支持TACAS+和RADIUS

認證協議。

RADIUS對授權Authorization和記帳Accounting功能有限，而Cisco的

TACAS+的授權能力非常強，上面介紹的RBAC（基于職責的授權控制）是

TACAS+所特有的。同時TACAS+的記帳內容可以通過管理員制定AV值，來客

戶花客戶所需要的記帳報告。

在BOC這樣復雜的網絡環境，我們建議啟動CiscoACS的TACAS+和R/XDIUS

服務。對于Cisco的網絡設備，我們強烈加以采月TACAS+AAA協議；對于非

Cisco網絡設備，建議使用RADIUS協議。

七、CiscoACS其它應用環境

除了設備安全管理使用AAA認證之外，我們運可以在RAS-遠程訪問接入服

務、VPN接入安全認證控制、PIX防火墻In/Out控制、有線/無線LAN的802.1x

安全接入認證、VOIP記帳服務等領域使用CiscoACSo

CiscoACS可以結合第三方數據庫比如SybasexOracle和MicrosoftNTDomain

DatabaseNMicrosoftSQLo同時CiscoACS支持與OTP—Onc-timc-password集成，

為用戶提供更為安全的身份認證方式，該功能在數據中心有應用實例。

前言

編者：任澎

教研室

年月

目錄

實驗一：認識路由器.......................................12

實驗二路由器使用入門..................................12

實驗三路由器的基本配置與靜態路由.......................14

實驗四RIP路由協議的配置................................17

實驗五單區域OSPF路由協議的配置.......................23

實驗六多區域OSPF路由協議的配置.......................26

實驗七EIGRP路由協議的配置.............................28

實驗八訪問控制列表（ACL）的配置.......................31

實驗九廣域網鏈路的配置.................................34

實驗十交換機的基本配置與VLAN劃分....................37

實驗十一單臂路由.......................................40

實驗十二NAT.........................................41

實驗一：認識路由器

1、實驗目的

(1)了解路由器外部結構，明確路由器內部組成：

(2)掌握連接路由器的方法；

2、實驗設備

安裝Windows2003操作系統的PC機一臺，路由器一臺

3、實驗步驟

(1)觀察路由器外觀

常見接口：

Console口

以太網接口(EtherneD

廣域網接口

主要內部組件：

CPU

RAM/DRAM

FlashMemory

NVRAM

ROM

接口

(2)連接路由器

連接計算機(把路由器的Console接口通過反轉線的轉接頭和計算機串口連接)。

啟動超級終端通信程序，配置正確信息(路由器的Console口默認波特率是9600)。

第一次啟動或NVRAM中不存在配置文件時，路由器進入setup模式。

4、完成實驗報告

5、思考練習

路由器內部組件RAM/DRAM、FlashMemory>NVRAM、ROM的作用？

實驗二路由器使用入門

1.實驗目的

<1)掌握路由器工作模式

(2)掌握路由耕基本配置命令

2.實驗設備

安裝Windows2003操作系統的PC機一臺，路由器一臺

3.實驗步驟

(1)路由器兩種基本工作模式

用戶模式：查看路由器狀態

特權模式：更改配置，查看所有信息

用戶模式：

Routcr>

Router——路由器名；>——代表用戶模式

用戶模式。特權模式：enable

特權模式。用戶模式:disable

Routcr>cnablc

Router#

Router#disable

Router>

基本配置：

Router>enable〃進入特權模式

Routcr#configtcnninal〃進入全局配置模式

Rou(er(config)#hostnameR1〃更改路由器名稱

Rl(config)#enablepassword1234〃設置路由器進入特權模式的密碼

Rl(config)#interfacef0/0〃進入fD/O接口

Rl(config-if)#ipaddress192.168.81.254255.255.255.0〃給所進入的接口設置IP地址

Rl(config-if)#cnd〃退出到特權模式，也可,以使用兩次exit

Rl#showinterface〃杳看路由器所有端口狀態

R1#showinterfaceR)/()〃查看制定端口狀態

Rl#showrunning-config〃查看路由器運行狀態

R1#showrunning-config〃查看路由器開機配置狀態

注意：1、命令可以使用簡寫

2、了解？和Tab鍵的使用

實驗三路由器的基本配置與靜態路由

1、實驗目的

（1）掌握路由器的基本管理特性；

（2）學習路由器配置的基本指令

（3）配置靜態路由的相關指令

（4）理解路由表。

2、空聆環境

實驗而絡拓撲如下圖。

10.1.1.0/2412.12.12.0/2423.23.23.0/24192.168.1.0/24

A:10.1.1.100/24B:192.168.1.100/24

3、實驗的內容

（1）網絡設備模式的切換

（2）網絡設備指令的使用技巧

（3）配置路由器接口的IP地址

（4）掌握通過靜態路由方式實現網絡的連通性

4、實驗步驟

（1）、網絡連接

按上圖所示進行網絡連接，并設置好計算機A和計算機B的IP地址.

計算機A的IP設置：

IP：10.1.1.100

掩碼:255.255.255.0

網關：10.1.1.1

計算機B的IP設置：

IP：192.168.1.100

掩碼：255.255.255.0

網關：192.168.1.3

進行如下操作時注意：

1、看好配置命令的使用狀態和命令有無空格

2、看好路由器接口的連接

（2）、路由器的基本配置

路由器R1的基本設置：

RSR20-04-l>en14〃當前為用戶模式，通過en命令進入特權模式

Password：star

RSR20-04-l#conft〃當前為特權模式，進入全局配置模式（t前有空格）

RSR20-04-1（config）#intf0/0〃進入接口模式

RSR20-04-1（config-if）#ipaddressI（）.1.1.1255.255.255.0//配置接口IP

RSR20-04-1(config-if)#noshut

RSR20-04-1(config-if)#intfO/1

RSR20-04-1(config-if)#ipaddress12.12.12.1255.255.255.0

RSR20-04-1(config-if)#noshut

RSR20-04-1(2onfig-if)#end//end退至特權模式；exil只后退到前一模式下

路由器R2的基本設置：

>en14

Password：star

#conft

(config)#intft)/0

(config-if)#ipaddress12.12.12.2255.255.255.0

(config-if)#noshut

(config-if)#intfO/1

(config-if)#ipaddress23.23.23.2255.255.255.0

(config-if)#noshut

(config-if)#cnd

路由器R3的基本設置：

>en14

Password：star

#conft

(config)#intTO/0

(config-if)#ipaddress23.23.23.3255.255.255.0

(config-if)#noshut

(config-if)#intft)/l

(config-iD#ipaddress192.168.1.3255.255.255.D

(config-if)#noshut

(config-if)#end

測試與驗癥

I、

在路由器RI上使用如卜命令：

#showinterface〃查看接口f0/0和fO/1的狀態(應該為up)和IP地址是否

正確(shint命令用于查看該路由器所有端口的狀態信息；shint?)/0命令只查看力/()接

口的狀態信息)

2、

在路由器R2上使用如下命令：

#showinterface〃查看接口f0/0和TO/I的狀態(應該為up)和IP地址是否

正確

3、

在路由器R3上使用如下命令：

#showinterface〃查看接口f0/0和fO/1的狀態(應該為up)和IP地址是否

正確

4、

在路由器R1上使用如下命令：

#showiproute〃查看路由器R1的路由表，此時只有網絡10.1.1.0和網絡

12.12.12.0的路由言息。

在路由器R2上使用如下命令：

#showiproute〃查看路由器R2的路由表，此時只有網絡12.12.12.0和網絡

23.23.23.0的路由點息。

在路由器R2上使用如卜.命令：

#showiproute〃杳看路由器R2的路由表，此時只有網絡12.12.12.0取網絡

23.23.23.0的路由喑息。

5、

在計算機Ahping以下地址

a、10.1.1.1〃該地址為網關地址［在同一網絡）。通

b、12.12.12.1〃該地址和計算機A同為路由器RI的直連網絡。通

c、12.12.12.2〃該地址和計算機A同為路由器RI的直連網絡，但無法發

回確認數據包。不通

d、23.23.23.2〃該地址和計算機A不在同一個網絡，且不同在某一路由

器的直連網絡（隔了兩個路由器）。不通

c、23.23.23.3〃該地址和計算機A不在同一個網絡，且不同在某一路由

器的直連網絡（隔了兩個路由器）。不通

f.192.168.1.100〃該地址為計算機B的地址，和計算機A不在同一個網絡,

且不同在某一路由器的直連網絡（隔了兩個路由器）。不通

(3)靜態路由的配置

路由器R1的設置：

(config)#iproute23.23.23.0255.255.255.012.12.12.2

(config)#iproute192.168.1.0255.255.255.012.12.12.2

路由鎏R2的設置：

(config)#iproutei0.1.1.()255.255.255.012.12.12.1

(config)#iproutei92.168.1.0255.255.255.023.23.23.3

路由寤R3的設置：

(config)#iproute10.1.1.0255.255.255.023.23.23.2

(config)#iproute12.12.12.0255.255.255.023.23.23.2

測試后驗證

在路由器RI上使用如下命令：

#showiproute〃查看路由器R1的路由表，此時有網絡10.1.1.0、網絡1212.12.0

和網絡23.23.23.0的路由信息

2、

在路由器R2上使用如下命令：

#showiproute〃查看路由器R2的路由表，此時有網絡10.1.1.0、網絡12.12.12.0

和網絡23.23.23.0的路由信息

3、

在計算機A上ping以下地址

a、10.1.1.1該地址為網關地址（在同一網絡）。通

b、12.12.12.1該地址和計算機A同為路由器R1的直連網絡。通

c、12.12.12.2該地址和計算機A同為路由器R1的直連網絡。通

d、23.23.23.2該地址和計算機A不在同一個網絡，且不同在某一路由器

的直連網絡（隔了兩個路由器）,但由于采用了靜態路由，通

e、23.23.23.3該地址和計算機A不在同一個網絡，且不同在某一路由器

的直連網絡（隔了兩個路由器）,但由于采用了靜態路由，R1路由表中有了網絡23.23.23.0的

信息，知道了到達網絡23.23.23.0該如何走。通

f>192.168.1.100該地址和計算機A不在同一個網絡，且不同在某一路由器

的直連網絡（隔了兩個路由器），但由于采用了靜態路由，通

5、完成實驗報告

6、思考練習

思考路由表的組成與路由器路由功能的實現。

實驗四RIP路由協議的配置

1、實驗目的

(1)理解RIP協議的基本特性

(2)掌握RIP協議的配置

2、實驗環境

實驗網絡拓撲如下圖。

10.1.1.0/2412.12.12.0/2423.23.23.0/24192.168.1.0/24

A:10.1.1.100/24B:192.168.1.100/24

3、實驗的內容

(1)路由器接口的配置

(2)路由器RIP協議的配置

(3)驗證RIP協議的配置

4、實驗步驟

(l)^網絡連接

按上圖所示進行網絡連接，并設置好計算機A和計算機B的IP地址。

計算機A的IP設置：

IP：10.1.1.109

掩碼：255.255.255.0

網關：10.1.1.1

計算機B的IP設置:

IP：192.168.1.100

掩碼：255.255.255.0

網關：192.168.1.3

進行如下操作時注意：

1、看好配置命令的使用狀態和命令有無空格

2、看好路由器接口的連接

(2)、路由器的基本配置

路由器R1的基本設置：

RSR20-04-l>en14〃當前為用戶模式，通過cn命令進入特權模式

Password：star

RSR20-04-l#conft〃當前為特權模式，進入全局配置模式(t前有空格)

RSR20-04-1(config)#intf0/0〃進入接口模式

RSR20-04-1(config-iD#ipaddress10.1.1.1255.255.255.0〃配置接口IP

RSR20-04-1(vonfig-if)#noshut

RSR20-04-1(config-if)#intfU/1

RSR20-04-1(config-if)#ipaddress12.12.12.1255.255.255.0

RSR20-04-1(config-if)#noshut

RSR20-04-1(config-if)#end//end退至特權模式；exit只后退到前?模式卜

路由器R2的基本設置：

>en14

Password：star

#conft

(config)#intf0/0

(config-if)#ipaddress12.12.12.2255.255.255.0

(config-iD#noshut

(config-if)#intf()/l

(config-if)#ipaddress23.23.23.2255.255.255.0

(config-if)#noshut

(config-if)#end

路由器R3、的基本設置：

>cn14

Password：star

#conft

(config)#intfl)/0

(config-if)#ipaddress23.23.23.3255.255.255.0

(config-if)#noshut

(config-if)#intCO/1

(config-if)#ipaddress192.168.1.3255.255.255.0

(config-if)#noshut

(config-if)#end

測試與驗證

1、

#showinterface〃查看接口的狀態(應該為up)和IP地址是否正確(shint

命令用于查看該路由器所有端口的狀態信息；shintfD/O命令只查看fO/O接口的狀態信息、)

2、

#showiproute〃查看路由器的路由表,此時只有網絡10.1.1.0和網絡12.12.12.0

的路由信息。

3、

在計算機A上ping以卜.地址

a、10.1.1.1〃該地址為網關地址［在同一網絡)。通

b、12.12.12.1〃該地址和計算機A同為路由器R1的自.連網絡。逋

d、23.23.23.2〃該地址和計算機A不在同一個網絡，且不同在某一路由

器的直連網絡(隔了兩個路由器)。不通

f>192.168.1.100〃該地址為計算機B的地址，和計算機A不在同一個網絡，

旦不同在某一路由器的直連網絡(隔了兩個路由器)。不通

(3)靜態路由的配置

路由器R1的設置：

(config)#routerrip

(config-rou(cr)#nctworkI().().().()

(config-router)#network12.0.0.0

路由盛R2的設置：

(config)#routerrip

(config-router)#network12.0.0.0

(config-routcr)#nctwork23.0.0.0

路由嘉R3的設置：

(config)#routerrip

(config-router)#network23.0.0.0

(config-router)#network192.168.1.0

測試與驗證

1、

#showiproute〃查看路由器的路由表，此時有網絡10.1.1.0、網絡12.12.12.0、

網絡23.23.23.0和192.168.1.0四個網絡的路由信息

2、

在計算機A±ping以下地址

a.10.1.1.1該地址為網關地址（在同一網絡）。通

b.12.12.12.1該地址和計算機A同為路由器R1的直連網絡。通

d、23.23.23.2該地址和計算機A不在同一個網絡，R不同在某一路由器

的直連網絡（隔了兩個路由器），但由于采用了RIP路由協議，通

f.192.168.1.100該地址和計算機A不在同一個網絡，且不同在某一路由器

的直連網絡（隔了兩個路由器），但由于采用了RIP路由協議，通

5、完成實驗報告

實驗五被動接口與單播更新

1、實驗目的

(1)理解被動接口與單播更新的應用

(2)掌握被動接口與單播更新的配置

2、實驗環境

實驗網絡拓撲如下圖。

10.1.1.0/2412.12.12.0/2423.23.23.0/24192.168.1.0/24

A:10.1.1.100/24B:192.168.1.100/24

3、實驗的內容

(1)路由器接口的配置

(2)路由器RIP協議的配置

(3)驗證RIP協議的配置

4、實驗步驟

(l)^網絡連接

按上圖所示進行網絡連接，并設置好計算機A和計算機B的IP地址。

計算機A的IP設置：

IP：10.1.1.109

掩碼：255.255.255.0

網關：10.1.1.1

計算機B的IP設置:

IP：192.168.1.100

掩碼：255.255.255.0

網關：192.168.1.3

進行如下操作時注意：

1、看好配置命令的使用狀態和命令有無空格

2、看好路由器接口的連接

(2)、路由器的基本配置

路由器R1的基本設置：

RSR20-04-l>en14〃當前為用戶模式，通過cn命令進入特權模式

Password：star

RSR20-04-l#conft〃當前為特權模式，進入全局配置模式(t前有空格)

RSR20-04-1(config)#intf0/0〃進入接口模式

RSR20-04-1(config-iD#ipaddress10.1.1.1255.255.255.0〃配置接口IP

RSR20-04-1(vonfig-if)#noshut

RSR20-04-1(config-if)#intfU/1

RSR20-04-1(config-if)#ipaddress12.12.12.1255.255.255.0

RSR20-04-1(config-if)#noshut

RSR20-04-1(config-if)#end//end退至特權模式；exit只后退到前?模式卜

路由器R2的基本設置：

>en14

Password：star

#conft

(config)#intf0/0

(config-if)#ipaddress12.12.12.2255.255.255.0

(config-iD#noshut

(config-if)#intf()/l

(config-if)#ipaddress23.23.23.2255.255.255.0

(config-if)#noshut

(config-if)#end

路由器R3、的基本設置：

>cn14

Password：star

#conft

(config)#intfl)/0

(config-if)#ipaddress23.23.23.3255.255.255.0

(config-if)#noshut

(config-if)#intCO/1

(config-if)#ipaddress192.168.1.3255.255.255.0

(config-if)#noshut

(config-if)#end

測試與驗證

1、

#showinterface〃查看接口的狀態(應該為up)和IP地址是否正確(shint

命令用于查看該路由器所有端口的狀態信息；shintfD/O命令只查看fO/O接口的狀態信息、)

2、

#showiproute〃查看路由器的路由表,此時只有網絡10.1.1.0和網絡12.12.12.0

的路由信息。

3、

在計算機A上ping以卜.地址

a、10.1.1.1〃該地址為網關地址［在同一網絡)。通

b、12.12.12.1〃該地址和計算機A同為路由器R1的自.連網絡。逋

d、23.23.23.2〃該地址和計算機A不在同一個網絡，且不同在某一路由

器的直連網絡(隔了兩個路由器)。不通

f>192.168.1.100〃該地址為計算機B的地址，和計算機A不在同一個網絡，

旦不同在某一路由器的直連網絡(隔了兩個路由器)。不通

(3)靜態路由的配置

路由器R1的設置：

(config)#routerrip

(config-rou(cr)#nctworkI().().().()

(config-router)#network12.0.0.0

路由盛R2的設置：

(config)#routerrip

(config-router)#network12.0.0.0

(config-routcr)#nctwork23.0.0.0

路由嘉R3的設置：

(config)#routerrip

(config-router)#network23.0.0.0

(config-router)#network192.168.1.0

測試與驗證

1、

#showiproute〃查看路由器的路由表，此時有網絡10.1.1.0、網絡12.12.12.0、

網絡23.23.23.0和192.168.1.0四個網絡的路由信息

2、

在計算機A±ping以下地址

a.10.1.1.1該地址為網關地址（在同一網絡）。通

b.12.12.12.1該地址和計算機A同為路由器R1的直連網絡。通

d、23.23.23.2該地址和計算機A不在同一個網絡，R不同在某一路由器

的直連網絡（隔了兩個路由器），但由于采用了RIP路由協議，通

f.192.168.1.100該地址和計算機A不在同一個網絡，且不同在某一路由器

的直連網絡（隔了兩個路由器），但由于采用了RIP路由協議，通

5、完成實驗報告

實驗五單區域OSPF路由協議的配置

1、實驗目的

(1)理解OSPF協議的基本特性

(2)掌握單區域OSPF協議的配置

2、實驗環境

實驗網絡拓撲如下圖。

10.1.1.0/2412.12.12.0/2423.23.23.0/24192.168.1.0/24

A:10.1.1.100/24B:192.168.1.100/24

3、實驗的內容

(1)路由器接口的配置

(2)路由器單區域OSPF協議的配置

(3)驗證OSPF協議的配置

4、實驗步驟

(l)^網絡連接

按上圖所示進行網絡連接，并設置好計算機A和計算機B的IP地址。

計算機A的IP設置：

IP：10.1.1.109

掩碼：255.255.255.0

網關：10.1.1.1

計算機B的IP設置:

IP：192.168.1.100

掩碼：255.255.255.0

網關：192.168.1.3

進行如下操作時注意：

1、看好配置命令的使用狀態和命令有無空格

2、看好路由器接口的連接

(2)、路由器的基本配置

路由器R1的基本設置：

RSR20-04-l>en14〃當前為用戶模式，通過cn命令進入特權模式

Password：star

RSR20-04-l#conft〃當前為特權模式，進入全局配置模式(t前有空格)

RSR20-04-1(config)#intf0/0〃進入接口模式

RSR20-04-1(config-iD#ipaddress10.1.1.1255.255.255.0〃配置接口IP

RSR20-04-1(vonfig-if)#noshut

RSR20-04-1(config-if)#intfU/1

RSR20-04-1(config-if)#ipaddress12.12.12.1255.255.255.0

RSR20-04-1(config-if)#noshut

RSR20-04-1(config-if)#end//end退至特權模式；exit只后退到前?模式卜

路由器R2的基本設置：

>en14

Password：star

#conft

(config)#intf0/0

(config-if)#ipaddress12.12.12.2255.255.255.0

(config-iD#noshut

(config-if)#intf()/l

(config-if)#ipaddress23.23.23.2255.255.255.0

(config-if)#noshut

(config-if)#end

路由器R3、的基本設置：

>cn14

Password：star

#conft

(config)#intfl)/0

(config-if)#ipaddress23.23.23.3255.255.255.0

(config-if)#noshut

(config-if)#intCO/1

(config-if)#ipaddress192.168.1.3255.255.255.0

(config-if)#noshut

(config-if)#end

測試與驗證

1、

#showinterface〃查看接口的狀態(應該為up)和IP地址是否正確(shint

命令用于查看該路由器所有端口的狀態信息；shintfD/O命令只查看fO/O接口的狀態信息、)

2、

#showiproute〃查看路由器的路由表,此時只有網絡10.1.1.0和網絡12.12.12.0

的路由信息。

3、

在計算機A上ping以卜.地址

a、10.1.1.1〃該地址為網關地址［在同一網絡)。通

b、12.12.12.1〃該地址和計算機A同為路由器R1的自.連網絡。逋

d、23.23.23.2〃該地址和計算機A不在同一個網絡，且不同在某一路由

器的直連網絡(隔了兩個路由器)。不通

f