• / 40
  • 下载费用:8 金币  

【可编辑】西安电子科技大学校内生产实习报告.doc

关 键 词:
可编辑 编辑 西安电子科技大学 校内 生产 实习 报告
资源描述:
西安电子科技大学2016年校内生产实习——分组数据网络实习报告学院:通信工程学院班级: 姓名: 学号:组号:目录一、实习目的3二、实习设备3三、基本原理3四、实习内容7(一)2个交换机配置VLAN7(二)静态路由10(三)2个路由器里做RIP协议13(四)2个路由器里做OSPF协议15(五)单臂路由17(六)ACL访问控制列表20(七)NAT的访问控制的设置22(八)GRE的访问控制的设置23(九)TELNET 访问控制的设置25(十)DHCP访问控制的设置27(十一)基于MAC地址的访问控制的设置29(十二)SSH用户的本地认证和授权配置32(十三)基于IPSec访问控制的设置36五、经验总结39六、心得体会40一、实习目的l 掌握路由器和交换机的基本原理l 掌握目前网络中常用的路由协议l 学会使用Packet tracer进行网络设置和规划的仿真l 学会使用路由器和交换机二、实习设备l 2台具有2个以上10/100Mbit/s以太网接口的路由器l 2台H3C交换机l 2-3台以及Console电缆l 多条双绞线跳线三、基本原理 1. VLANVLAN的中文名称为“虚拟局域网” ,是一种将在同一个局域网的局域网计算机从逻辑上划分成一个独立网段,从而实现虚拟工作组的新兴数据交换技术。VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。2. 静态路由静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表中相关的静态路由信息。一般来说静态路由信息是私有的,不会传递给其他的路由器。当然,网管员也可以通过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境,在这样的环境中,网络管理员易于清楚地了解网络的拓扑结构,便于设置正确的路由信息。3. RIP协议原理路由信息协议(RIP)是一种在网关与主机之间交换路由选择信息的标准。RIP通过广播UDP报文来交换路由信息,每30秒发送一次路由信息更新。它提供跳跃计数(hop count)作为尺度来衡量路由距离,跳跃计数是一个包到达目标所必须经过的路由器的数目。如果到相同目标有二个不等速或不同带宽的路由器,但跳跃计数相同,则RIP认为两个路由是等距离的。RIP最多支持的跳数为15,即在源和目的网间所要经过的最多路由器的数目为15,跳数16表示不可达。4. OSPF协议OSPF(Open Shortest Path First,开放式最短路径优先)协议,是目前网络中应用最广泛的路由协议之一。属于内部网关路由协议,能够适应各种规模的网络环境,是典型的链路状态(link-state)协议。OSPF 路由协议通过向全网扩散本设备的链路状态信息,使网络中每台设备最终同步一个具有全网链路状态的数据库(LSDB),然后路由器采用 SPF 算法,以自己为根,计算到达其他网络的最短路径,最终形成全网路由信息。在大模型的网络环境中,OSPF 支持区域的划分,将网络进行合理规划。划分区域时必须存在 area0(骨干区域)。其他区域和骨干区域直接相连,或通过虚链路的方式连接。5. 单臂路由单臂路由(router-on-a-stick)是指在路由器的一个接口上通过配置子接口(或“逻辑接口”,并不存在真正物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通。所谓子接口,就是在一个物理接口上配置出来的多个逻辑上的虚接口。这些虚接口共用物理接口的物理层参数,又可以分别配置各自的链路层和网络层的参数。因为这样的多个虚接口可以对应一个物理接口,故常被称为“子接口”。6. ACL访问控制列表访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。7. MAC地址MAC地址是网络设备在全球的唯一编号,它也就是我们通常所说的:物理地址、硬件地址、适配器地址或网卡地址。MAC地址可用于直接标识某个网络设备,是目前网络数据交换的基础。 现在大多数的高端交换机都可以支持基于物理端口配置MAC地址过滤表,用于限定只有与MAC地址过滤表中规定的一些网络设备有关的数据包才能够使用该端口进行传递。通过MAC地址过滤技术可以保证授权的MAC地址才能对网络资源进行访问。 基于MAC地址访问控制不需要额外的客户端软件,当一个客户端连接到交换机上会自动地进行认证过程。基于MAC地址访问控制功能允许用户配置一张MAC 地址表,交换机可以通过存储在交换机内部或者远端认证服务器上面的MAC地址列表来控制合法或者非法的用户问。8. NAT技术NAT技术能帮助解决令人头痛的IP地址紧缺的问题,而且能使得内外网络隔离,提供一定的网络安全保障。它解决问题的办法是:在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址在Internet上使用,其具体的做法是把IP包内的地址域用合法的IP地址来替换。NAT设备维护一个状态表,用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址,发往下一级,这意味着给处理器带来了一定的负担。但对于一般的网络来说,这种负担是微不足道的。动态地址NAT只是转换IP地址,它为每一个内部的IP地址分配一个临时的外部IP地址,主要应用于拨号,对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后,动态地址NAT就会分配给他一个IP地址,用户断开时,这个IP地址就会被释放而留待以后使用。9. GRE协议GRE(通用路由封装)协议是对某些网络层协议(如IP何IPX)的数据报文进行封装,使这些被封装的数据报文能在另一个网络层协议(如IP)中传输。GRE的隧道由两端的源IP地址和目的IP地址来定义,允许用户使用IP包封装IP、IPX、AppleTalk包,并支持全部的路由协议(如RIP2、OSPF等)。通过GRE,用户可以利用公共IP网络连接IPX网络、AppleTalk网络,还可以使用保留地址进行网络互连,或者对公网隐藏企业网的IP地址。 Tunnel是一个虚拟的点对点的连接,提供了一条通路是封装的数据报文能够在这个通路上传输,并且在一个Tunnel中传输必须要经过封装与解封装两个过程。10. Telnet协议Telnet协议是TCP/IP协议族中的一员,是Internet远程登陆服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序,用它连接到服务器。终端使用者可以在telnet程序中输入命令,这些命令会在服务器上运行,就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。要开始一个telnet会话,必须输入用户名和密码来登录服务器。Telnet提供远程登录功能,使得用户在本地主机上运行Telnet客户端,就可登录到远端的Telnet服务器。在本地输入的命令可以在服务器上运行,服务器把结果返回到本地,如同直接在服务器控制台上操作,这样就可以在本地远程操作和控制服务器。11. SSHSSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。设备支持SSH服务器功能,可以接受多个SSH客户端的连接。同时,设备还支持SSH客户端功能,允许用户与支持SSH服务器功能的设备建立SSH连接,从而实现从本地设备通过SSH登录到远程设备上。12. IPSec协议“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。AH和ESP协议在操作系统内核模块,用于对IP包的过滤。IKE是运行在外部的守护程序。PF_KEY实现了外部运行程序与内核间的通信。对于AH和ESP,都有两种操作模式: 隧道模式和传输模式。 两种模式的区别是: 隧道模式将整个IP分组封装到AH/ESP中,而传输模式将上层协议(如TCP)部分封装到AH/ESP中。IKE协议用于协商AH和ESP协议所使用的密码算法,并将算法所需的密钥放在合适的位置。13. DHCP协议DHCP协议采用客户端/服务器模型,主机地址的动态分配任务由网络主机驱动。当DHCP服务器接收到来自网络主机申请地址的信息时,才会向网络主机发送相关的地址配置等信息,以实现网络主机地址信息的动态配置。DHCP具有以下功能:1. 保证任何IP地址在同一时刻只能由一台DHCP客户机所使用。2. DHCP应当可以给用户分配永久固定的IP地址。3. DHCP应可以同用其他方法获得IP地址的主机共存(如手工配置IP地址的主机)。4. DHCP服务器应当向现有的BOOTP客户端提供服务。四、实习内容(一)2个交换机配置VLAN1. 拓扑图2. 配置文件(相关命令)#分别对交换机1/2进行VLAN划分及端口配置system-view System View: return to User View with Ctrl+Z.[H3C]sysname s1[s1]vlan 31[s1-vlan31]quit [s1]vlan 34 [s1-vlan34]quit [s1]interface GigabitEthernet 1/0/1[s1-GigabitEthernet1/0/1]port link-type trunk [s1-GigabitEthernet1/0/1]port trunk permit vlan all [s1-GigabitEthernet1/0/1]quit[s1]interface GigabitEthernet 1/0/2 [s1- GigabitEthernet1/0/2]port access vlan 31 [s1- GigabitEthernet1/0/2]quit[s1]interface GigabitEthernet 1/0/3[s1- GigabitEthernet1/0/3]port access vlan 34[s1- GigabitEthernet1/0/3]quit[s1]quitsave system-view System View: return to User View with Ctrl+Z.[H3C]sysname s2[s2]vlan 31[s2-vlan31]quit[s2]vlan 34[s2-Vlan34]quit[s2]interface GigabitEthernet 1/0/1[s2- GigabitEthernet1/0/1]port link-type trunk[s2- GigabitEthernet1/0/1]port trunk permit vlan all[s2- GigabitEthernet1/0/1]quit[sh2]interface GigabitEthernet 1/0/2[s2- GigabitEthernet1/0/2]port access vlan 31[sh2- GigabitEthernet1/0/2]quit[s2]interface GigabitEthernet 1/0/3[s2- GigabitEthernet1/0/3]port access vlan 34[s2- GigabitEthernet1/0/3]quit[s2]quitsave3. 测试结果IP地址为192.168.0.65的主机当处在VLAN31中,与同处在VLAN31中的主机192.168.0.59可以ping通;而当其改换接入端口,处在VLAN34中时,则无法与主机192.168.0.59 ping通。(二)静态路由1. 拓扑图2. 配置文件(相关命令)#配置路由器r1的ip地址system-view[H3C]sysname r1[r1]interface Ethernet 0/0[r1-Ethernet0/0]ip add 192.168.0.1 255.255.255.0[r1-Ethernet0/0]quit[r1]interface Ethernet 0/1[r1-Ethernet0/0]ip add 192.168.1.2 255.255.255.0[r1-Ethernet0/0]quit#配置路由器r2的ip地址system-view[H3C]sysname r2[r2]interface Ethernet 0/0[r2-Ethernet0/0]ip add 192.168.1.3 255.255.255.0[r2-Ethernet0/0]quit[r2]interface Ethernet 0/1[r2-Ethernet0/0]ip add 192.168.2.1 255.255.255.0[r2-Ethernet0/0]quit#配置静态路由#在Router 1上配置静态路由system-view[r1] ip route-static 192.168.2.0 255.255.255.0 192.168.1.3[r1]quitsave#在Router 2上配置静态路由system-view[r2] ip route-static 192.168.0.0 255.255.255.0 192.168.1.2[r2]quitsave3. 下发结果(1)显示路由器r1的路由表(2)显示路由器r2的路由表4. 测试结果在ip地址为192.168.2.3的主机上输入如下命令。结果为两个主机可以ping通(三)2个路由器里做RIP协议1. 拓扑图2. 配置文件(1)路由器各端口地址配置同“静态路由”(2)配置r1的RIP功能#进入系统视图,启动RIP功能system-view[r1] rip#在互联网接口上使能RIP。[r1-rip-1]network 192.168.1.0#RIP中发布本地路由网段。[r1-rip-1]network 192.168.0.0[r1-rip-1]quit[r1]quitsave(3)配置r2的RIP功能#进入系统视图,启动RIP功能system-view[r2] rip#在互联网接口上使能RIP。[r2-rip-1]network 192.168.1.0#RIP中发布本地路由网段。[r2-rip-1]network 192.168.2.0[r2-rip-1]quit[r2]quitsave3. 下发结果(1)显示路由器r1的路由表(2)显示路由器r2的路由表4. 测试结果在ip地址为192.168.2.3的主机上输入如下命令。结果为两个主机可以ping通(四)2个路由器里做OSPF协议1. 拓扑图2. 配置文件(1) 配置各接口的IP地址(同上)(2)配置r1#在r1上启动OSPF进程,默认进程ID为1.system-view[r1] ospf[r1-ospf-1]area1[r1-ospf-1-area-0.0.0.1]network 192.168.0.0 0.0.0.255[r1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255[r1-ospf-1-area-0.0.0.0]quit(3)配置r2#在r2上启动OSPF进程,默认进程ID为1.system-view[r2] ospf[r2-ospf-1]area1[r2-ospf-1-area-0.0.0.1]network 192.168.2.0 0.0.0.255[r2-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255[r2-ospf-1-area-0.0.0.0]quit3. 下发结果(1)查看r2 的OSPF路由表4. 测试结果在ip地址为192.168.2.3的主机上输入如下命令。结果为两个主机可以ping通(五)单臂路由1. 拓扑图2. 配置文件#对交换机Switch1/2分别进行接口配置sysname s1vlan 31quitvlan 34quit#配置access端口interface Ethernet 1/0/1port access vlan 31quitinterface Ethernet 1/0/2port access vlan 34quit#配置trunk端口interface Ethernet 1/0/3port link-type trunkport trunk permit vlan allquitquitsave#对router1进行端口配置interface Ethernet 0/0.1vlan-type dot1q vid 31ip add 192.168.31.1 24interface Ethernet 0/0.2vlan-type dot1q vid 34ip add 192.168.34.1 24interface Ethernet 0/0undo shutdowninterface Ethernet 0/1ip add 192.168.59.2 24 quit#设置rip路由rip network 192.168.31.0network 192.168.34.0network 192.168.59.0quitquitsave#对router2进行端口配置interface Ethernet 0/0.1vlan-type dot1q vid 31ip add 192.168.65.1 24interface Ethernet 0/0.2vlan-type dot1q vid 34ip add 192.168.60.1 24interface Ethernet 0/0undo shutdowninterface Ethernet 0/1ip add 192.168.59.3 24 quit#设置rip路由rip network 192.168.65.0network 192.168.60.0network 192.168.59.0quitquitsave3. 测试结果在ip地址为192.168.65.2的主机上输入如下命令。结果为两个主机可以ping通ip为192.168.60.2的主机无法与ip为192.168.31.2的主机ping通同样,ip为192.168.65.2的主机无法与ip为192.168.34.2的主机ping通(六)ACL访问控制列表1. 拓扑图2. 配置文件acl number 2100rule deny ip source 192.168.31.0 0.0.0.255 quitinterface Ethernet 0/1firewall packet-filter 2100 inboundquitquitsave3. 下发结果(1)查看访问控制列表4. 测试结果(七)NAT的访问控制的设置1. 拓扑图2. 配置文件[r1]nat address-group 1 192.168.59.5 192.168.59.10[r1]acl number 2723[r1-acl-basic-2723]rule permit source 192.168.31.0 0.0.0.255[r1-acl-basic-2723]rule deny[r1-acl-basic-2723]quit[r1]interface Ethernet 0/1[r1-Ethernet0/1]nat outbound 2723 address-group 1[r1-Ethernet0/1]quit[r1]quitsave3. 测试结果(1)内网能ping通外网(2)外网ping不通内网(八)GRE的访问控制的设置1. 拓扑图2. 配置文件[r1]interface tunnel 1[r1-Tunnel1]undo shutdown[r1-Tunnel1]ip add 192.168.39.1 24[r1-Tunnel1]sourse 192.168.59.2[r1-Tunnel1]destination 192.168.59.3[r1-Tunnel1]quit[r1]ip route 192.168.65.0 255.255.255.0 tunnel 1[r1]quitsave[r2]interface tunnel 1[r2-Tunnel1]undo shutdown[r2-Tunnel1]ip add 192.168.39.2 24[r2-Tunnel1]sourse 192.168.59.3[r2-Tunnel1]destination 192.168.59.2[r2-Tunnel1]quit[r2]ip route 192.168.31.0 255.255.255.0 tunnel 1[r2]quitsave3. 下发结果(1)查看隧道状态(2)显示路由表4. 测试结果(九)TELNET 访问控制的设置1. 拓扑图2. 配置文件#设置登录用户的认证方式为Scheme,采用本地认证方式[r1]local-user new#设置本地用户的认证方式口令为明文方式[r1-luser-new]password simple 123456#设置vty用户的服务类型为telnet服务[r1-luser-new]service-type telnet#设置本地用户的登录级别为3[r1-luser-new]authorization-attribute level 3[r1-luser-new]quit#进入vty用户界面视图[r1]user-interface vty 0 4[r1-ui-vty0-4]authentication-mode scheme[r1-ui-vty0-4]quit[r1]quit3. 测试结果利用dos命令进行测试,telnet登录成功;并且可以在主机上利用dis cur命令对路由器r1进行配置查看。(十)DHCP访问控制的设置1. 拓扑图2. 配置文件[r2]dhcp sever forbidden-ip 192.168.65.1[r2]dhcp sever forbidden-ip 192.168.65.100 #创建DHCP地址池 [r2]dhcp sever ip-pool OA#指定可以分配的地址段[r2-dhcp-pool-oa]network 192.168.65.0 mask 255.255.255.0#指定域名[r2-dhcp-pool-oa]domain-name h3c.com#指定DNS域名服务器地址[r2-dhcp-pool-oa]dns-list 192.168.65.100#指定网关[r2-dhcp-pool-oa]gateway-list 192.168.65.1#DHCP租期时间设置[r2-dhcp-pool-oa]expired day 1 hour 12[r2-dhcp-pool-oa]quit[r2]interface Ethernet 0/0[r2-Ethernet0/0]dhcp select sever global-pool[r2-Ethernet0/0]quit[r2]dhcp enable[r2]dhcp sever detect3. 下发结果(1)查看DHCPIP地址分配情况(2)从dos command界面中也可以查看到DHCP已启用,自动分配给主机的IP地址为:192.168.65.2(十一)基于MAC地址的访问控制的设置1. 拓扑图2. 配置文件##对交换机S1进行接口配置sysname s1vlan 31quitvlan 34quit#配置access端口interface Ethernet 1/0/1port access vlan 31quitinterface Ethernet 1/0/2port access vlan 34quit#配置trunk端口interface Ethernet 1/0/3port link-type trunkport trunk permit vlan allquitquitsave##对router1进行端口配置interface Ethernet 0/0.1vlan-type dot1q vid 31ip add 192.168.31.1 24interface Ethernet 0/0.2vlan-type dot1q vid 34ip add 192.168.34.1 24interface Ethernet 0/0undo shutdowninterface Ethernet 0/1ip add 192.168.59.2 24##基于MAC地址的访问控制的配置#创建二级acl访问控制列表[s1]acl number 4023System View: return to User View with Ctr1+Z.[s1-acl-ethernetframe-4023]rule permit source-mac 6400-6A03-AE33 ffff-ffff-ffff[s1-acl-ethernetframe-4023]rule deny source-mac 6400-6A04-5033 ffff-ffff-ffff[s1-acl-ethernetframe-4023]quit#对交换机端口进行包过滤配置[s1]interface GigabitEthernet 1/0/1 [s1-GigabitEthernet1/0/1] packet-filter 4023 inbound [s1-GigabitEthernet1/0/1]quit [s1]interface GigabitEthernet 1/0/2 [s1-GigabitEthernet1/0/2] packet-filter 4023 inbound [s1-GigabitEthernet1/0/2]quit3. 下发结果4. 测试结果由于acl访问控制的存在,PC1可以与PC3ping通,而PC2不能与PC3ping通。(1)PING通截图(2)Ping不通截图(十二)SSH用户的本地认证和授权配置1. 拓扑图2. 配置文件#在H3C设备上生成本地RSA密钥对[r1]public-key local creat rsaWarning: The local key pair already exist.Confirm to replace them? [Y/N]:yThe range of public key s1ze is (512~2048).NOTES: If the key modulus is greater than 512,It will take a few minutes.Press CTR1+C to abort.Input the bits of the modulus[default = 1024]: Generating Keys...++++++++++++++++++++++++++++++++#在H3C设备上生成本地DSA密钥对[r1]public-key local creat dsaWarning: The local key pair already exist.Confirm to replace them? [Y/N]:yThe range of public key s1ze is (512~2048).NOTES: If the key modulus is greater than 512,It will take a few minutes.Press CTR1+C to abort.Input the bits of the modulus[default = 1024]: Generating Keys...+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++[r1]user-interface vty 0 4 [r1-ui-vty0-4]authentication-mode scheme #设置在用户界面支持SSH协议[r1-ui-vty0-4]protocol inbound ssh [r1-ui-vty0-4]quit [r1]local-user h3c New local user added.[r1-luser-h3c]password simple 123456 #设置本地用户的服务类型[r1-luser-h3c]service-type ssh [r1-luser-h3c]authorization-attribute level 3 [r1-luser-h3c]quit#建立SSH用户,并设置SSH用户的认证方式[r1]ssh user h3c service-type stelnet authentication-type password #激活r1作为SSH的服务器端[r1]ssh server enable Info: Enable SSH server.[r1]quit save3. 下发结果4. 测试结果利用putty软件进行了SSH远程登录测试,测试结果如下:(1)远程链接截图 (2)登录成功截图(十三)基于IPSec访问控制的设置1. 拓扑图2. 配置文件#配置路由器r1[r1]acl number 3101 [r1-acl-adv-3101]rule permit ip source 192.168.31.0 0.0.0.255 destination 192.168.65.0 0.0.0.255[r1-acl-adv-3101]quit#配置到PC2的静态路由[r1]ip route-static 192.168.65.0 24#创建安全提议[r1]ipsec proposal tran1#报文封装形式采用隧道模式[r1-ipsec-proposal-tranl]encapsulation-mode tunnel#安全协议采用ESP协议[r1-ipsec-proposal-tranl]transform esp#选择算法[r1-ipsec-proposal-tranl]esp encryption-algorithm des[r1-ipsec-proposal-tranl]esp authentication-algorithm sha1[r1-ipsec-proposal-tranl]quit#配置IKE对等体[r1]ike peer peer[r1-ike-peer-peer]pre-shared-key abcde[r1-ike-peer-peer]remote-address 192.168.59.3[r1-ike-peer-peer]quit#创建一条安全策略[r1]ipsec policy mapl 10 isakmp#引用访问控制列表、安全提议、IKE对等体[r1-ipsec-policy-isakmp-mapl-10]proposal tran1[r1-ipsec-policy-isakmp-mapl-10]security acl 3101[r1-ipsec-policy-isakmp-mapl-10]ike-peer peer[r1-ipsec-policy-isakmp-mapl-10]quit[r1]interface Ethernet 0/1[r1-Ethernet0/1]ipsec policy map1[r1-Ethernet0/1]quit[r1]quit#配置路由器r2[r2]acl number 3101[r2-acl-adv-3101]rule permit ip source 192.168.65.0 0.0.0.255 destination 192.168.31.0 0.0. 0.255 [r2-acl-adv-3101]quit[r2]ip route-static 192.168.31.0 24[r2]ipsec proposal tran1[r2-ipsec-proposal~tranl]encapsulation-mode tunnel [r2-ipsec-proposal~tranl]transform esp [r2-ipsec-proposal~tranl]esp encryption-algorithm des [r2-ipsec-proposal~tranl]esp authentication-algorithm sha1[r2-ipsec-proposal~tranl]quit[r2]ike peer peer[r2~ike-peer-peer]pre-shared-key abcde[r2~ike-peer-peer]remote-address 192.168.59.2[r2~ike-peer-peer]quit[r2]ipsec policy usel 10 isakmp[r2-ipsec-policy-isakmp-usel-10]security acl 3101[r2-ipsec-policy-isakmp-use1~10]proposal tran1[r2-ipsec-policy-isakmp-usel-10]ike-peer peer[r2-ipsec-policy-isakmp-usel-10]quit[r2]interface Ethernet 0/1[r2-Ethernet0/1]ipsec policy use1[r2-Ethernet0/l]quit[r2]quitsave3. 下发结果4. 测试结果五、经验总结在这次实习过程中,我们遇到过很多问题,通过询问老师、小组讨论以及查阅资料,我们将一个个问题攻克,得到了最终的正确结果。与此同时,这些问题的解决也为我们积攒了宝贵的实践经验,对我们来说非常有意义。现将问题经验总结如下:l 实习中应当注意由于网线接触不良等硬件设备问题而导致的主机ping不通。l 完成几个配置之后就要对路由器进行清除和重启,以方便后续配置。l Win7系统下默认关闭Telnet客户端和Telnet服务器功能,应将功能打开才能在DOS command中使用 “telnet”命令。l 在NAT访问控制设置中,出现错误结果:外网与内网皆能互通。查其原因:路由表中存在rip路由未被删除。l 在NAT等协议的访问控制中,设备连接发生改变,而PC机的IP地址没有更改,导致PC机的网关地址错误,从而ping不通链路。l 在配置好IPSec协议后要分别给两个路由器配置路由,链路才能ping通,否则是ping不通的。l 检测SSH用户的本地认证和授权时,要通过一个软件putty来完成。链接时,应远程链接到路由器的端口IP地址,而非远程主机的IP地址上。
展开阅读全文
  语墨文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:【可编辑】西安电子科技大学校内生产实习报告.doc
链接地址:http://www.wenku38.com/p-82169.html

                                            站长QQ:1002732220      手机号:18710392703    


                                                          copyright@ 2008-2020 语墨网站版权所有

                                                             经营许可证编号:蜀ICP备18034126号

网站客服微信
收起
展开