网工网络实训报告

网络实训报告课程名称网络实训课题名称ACL标准访问控制列表&路由器实现VLAN间通信专业网络工程班级学号姓名指导教师湖南工程学院课程设计任务书课程名称网络实训课题ACL标准访问控制列表&路由器实现VLAN间通信专业班级网络工程学生姓名学号指导老师陈淑红、张晓清审批任务书下达日期2016年12月16日任务完成日期2016年12月28日网络实训报告1局域网的访问控制之ACL标准访问控制列表1.1需求分析公司的经理部PC1、销售部PC2、财务部PC3分属于不同的网段，3个PC之间用路由器连接。为安全起见，要求经理部的PC1能访问财务部的PC2，但是销售部的PC1不可以可以访问财务部的PC3。1.2网络规划1.2.1网络结构分析选用两台路由器连通各PC所在的网段，在router1中设置访问控制列表并且将该列表应用到f0/0端口，使得来自PC1的流量可以通过而来自PC2的流量不可以通过。一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。这里要注意，ACL不能对本路由器产生的数据包进行控制。如果设备使用了TCAM，比如auteU3052交换机，那么所有的ACL是并行执行的。举例来说，如果一个端口设定了多条ACL规则，并不是逐条匹配，而是一次执行所有ACL语句。ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网络能否有效地减少不必要的通信流量，这还要取决于网络管理员把ACL放置在哪个地方。假设在的一个运行TCP/IP协议的网络环境中，网络只想拒绝从RouterA的T0接口连接的网络到RouterD的E1接口连接的网络的访问，即禁止从网络1到网络2的访问。根据减少不必要通信流量的通行准则，网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处，即RouterA上。如果网管员使用标准ACL来进行网络流量限制，因为标准ACL只能检查源IP地址，所以实际执行情况为：凡是检查到源IP地址和网络1匹配的数据包将会被丢掉，即网络1到网络2、网络3和网络4的访问都将被禁止。由此可见，这个ACL控制方法不能达到网管员的目的。同理，将ACL放在RouterB和RouterC上也存在同样的问题。只有将ACL放在连接目标网络的RouterD上（E0接口），网络才能准确实现网管员的目标。由此可以得出一个结论:标准ACL要尽量靠近目的端。网管员如果使用扩展ACL来进行上述控制，则完全可以把ACL放在RouterA上，因为扩展ACL能控制源地址（网络1），也能控制目的地址（网络2），这样从网络1到网络2访问的数据包在RouterA上就被丢弃，不会传到RouterB、RouterC和RouterD上，从而减少不必要的网络流量。因此，我们可以得出另一个结论：扩展ACL要尽量靠近源端。ACL的主要的命令命令描述access-list定义访问控制列表参数ipaccess-group指派一个访问控制列表到一个接口ipaccess-listextended定义一个扩展访问控制列表Remark注释一个访问控制列表showipaccess-list显示已配置的访问控制列表。1.2.2网络设备选用先准备三台主机,两台路由器,直连线或交叉线3条。1.2.3IP地址规划配置首先给各台PC机配置IP地址与网关点击PC1在桌面上选择IP设置用来给PC1配置IP地址，其IP地址为，掩码为，网关为。完成设置后如图2.1：图2.1PC1IP地址设置点击PC2在桌面选择IP设置来给PC2配置IP地址，其IP地址为，掩码为，网关为。完成设置后如图2.2：图2.2PC2IP地址设置点击PC3在桌面给PC3配置IP地址，其IP地址为，掩码为，网关为。完成设置后如图2.3：图2.3PC3IP地址设置1.2.4实验拓扑图从软件下方拖出两个路由器、三台PC机按顺序将设备连接起来，连接完成后的如图2.4：图2.4实验拓扑图1.3网络实施1.3.1实验原理ACL是实现对流经路由器或交换机数据包根据一定的规划进行过滤，从而提高网络可管理性和安全性。IPACL分两种：标准IP访问列表和扩展IP访问列表。标准IP访问列表可以根据数据包的源IP地址定义规划，进行数据包的过滤。扩展访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规划，进行数据包的过滤。所以在router1中设置创建一个ACL控制访问列表,将这个控制列表应用到其上的F0/0接口以达到控制流量来往的目的。之所以将列表应用到F0/0接口，是因为该实验目的是控制访问财务部的PC3，如果将其应用到F0/1接口的话，那么所有来自PC2的流量都将无法通过router1。静态路由是指由用户或网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的，不会传递给其他的路由器。当然，网管员也可以通过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。在一个支持DDR（Dial-on-DemandRouting）的网络中，拨号链路只在需要时才拨通，因此不能为动态路由信息表提供路由信息的变更情况。在这种情况下，网络也适合使用静态路由。使用静态路由的好处是网络安全保密性高。动态路由因为需要路由器之间频繁地交换各自的路由表，而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。因此，网络出于安全方面的考虑也可以采用静态路由。不占用网络带宽，因为静态路由不会产生更新流量。大型和复杂的网络环境通常不宜采用静态路由。一方面，网络管理员难以全面地了解整个网络的拓扑结构；另一方面，当网络的拓扑结构和链路状态发生变化时，路由器中的静态路由信息需要大范围地调整，这一工作的难度和复杂程度非常高。当网络发生变化或网络发生故障时，不能重选路由，很可能使路由失败。1.3.2网络配置命令

（1）Router0路由器F0/0端口IP地址配置Router(config)#interface

fastEthernet

0/0（进入F0/0端口）

Router(config-if)#ip

add

（给端口配置IP地址）

Router(config-if)#no

shutdown（将端口打开）

（2）Router0路由器F0/1端口IP地址配置

Router(config)#interface

fastEthernet

0/1（进入F0/1端口）

Router(config-if)#ip

add

（给端口配置IP地址）

Router(config-if)#no

shutdown（将端口打开）

（3）Router0路由器F1/0端口IP地址配置

Router(config)#interface

fastEthernet

1/0（进入F1/0端口）

Router(config-if)#ip

add

（给端口配置IP地址）

Router(config-if)#no

shutdown（将端口打开）（4）Router0路由器配置静态路由条目

Router(config)#ip

route

（去往4.0网段的数据包送到3.2端口）

（5）Router路由器F0/0口IP地址配置

Router(config)#interface

fastEthernet

0/0（进入F0/0端口）

Router(config-if)#ip

add

（给端口配置IP地址）

Router(config-if)#no

shutdown（将端口打开）（6）Router1路由器F0/1口IP地址配置

Router(config)#interface

fastEthernet

0/1（进入F0/1端口）

Router(config-if)#ip

add

（给端口配置IP地址）

Router(config-if)#no

shutdown（将端口打开）

（7）Router1路由器配置静态路由条目

Router(config)#ip

route

（去往1.0网段的数据包送到3.1端口）

Router(config)#ip

route

（去往2.0网段的数据包送到3.1端口）1.3.3配置ACL访问控制列表

本次实验中的要求主要是用ACL控制访问列表来实现，其具体命令如下：

Router(config)#access-list

1

deny

55

（拒绝网段2.0的流量通过）

Router(config)#access-list

1

permit

55

（允许网段1.0的流量通过）

Router(config)#interface

fastEthernet

0/0（进入F0/0端口）

Router(config-if)#ip

access-group

1

out

（在接口F0/0

应用访问控制列表）1.4调试分析1.4.1测试目标从经理部使用PC1使用ping命令能够得到PC3的回复，但是从销售部的PC2使用ping命令无法得到PC3的回复。1.4.2测试结果图4.1PC1测试图从图4.1中可看出使用ping命令后PC1可以ping通PC3，从PC1发出的数据包都得到了PC3的回复。该项目标达到试验要求，测试成功。图4.2PC2测试图从测试结果图4.2可以看到使用ping命令后从PC2发出的数据包无法得到PC3的回复，证明PC2的流量无法通过router1的F0/0接口，符合验要求，测试成功。2路由器实现VLAN间通信2.1需求分析该实验要求在同一台交换机上的不同VLAN间能够通信，因此需要在交换机配置两个VLAN,因为不同VLAN间无法直接通信，所以需要使用三层交换机或者使用一个路由器做单臂路由，根据该实验要求使用路由器，因此该实验重点在使用路由器做单臂路由，在交换机上将相应的端口上划分给不同VLAN，给相应的pc配置IP地址与网关，然后将交换机与路由器之间连接的端口做trunk并将路由器做单臂路由以实现不同VLAN间的通信。2.1.1实验目的一般情况下VLAN之间无法直接通信，本次实验要求掌握在路由器做单臂路由和来实现VLAN间的通信，实验要求掌握单臂路由及封装dotlq协议，以实现不同VLAN间的通信。虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点：网络设备的移动、添加和修改的管理开销减少；可以控制广播活动；可提高网络的安全性。在计算机网络中，一个二层网络可以被划分为多个不同的广播域，一个广播域对应了一个特定的用户组，默认情况下这些不同的广播域是相互隔离的。不同的广播域之间想要通信，需要通过一个或多个路由器。这样的一个广播域就称为VLAN。通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（MAC地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的VLAN中去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据工作站的MAC地址来划分VLAN的。所以，用户可以自由的在企业网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。VLAN网络可以是有混合的网络类型设备组成，比如：10M以太网、100M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。物理位置不同的多个主机如果划分属于同一个VLAN，则这些主机之间可以相互通信。物理位置相同的多个主机如果属于不同的VLAN，则这些主机之间不能直接通信。VLAN通常在交换机或路由器上实现，在以太网帧中增加VLAN标签来给以太网帧分类，具有相同VLAN标签的以太网帧在同一个广播域中传送。VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。2.1.2实验思想首先连接实验拓扑图，然后在交换机创建vlan10和vlan20，接着将各交换机端口所对应的PC划分给vlan10和vlan20再将交换机与路由器相连接的端口设置为trunk端口，完成上述步骤后，对路由器的单臂路由及配置封装dot1Q协议进行操作。然后配置电脑IP地址与网关，最后进行调试分析。单臂路由（router-on-a-stick）是指在路由器的一个接口上通过配置子接口（或“逻辑接口”，并不存在真正物理接口）的方式，实现原来相互隔离的不同VLAN（虚拟局域网）之间的互联互通。在Cisco网络体系中，单臂路由是一个重要的学习知识点。通过单臂路由的学习，能够深入的了解VLAN（虚拟局域网）的划分、封装和通信原理，理解路由器子接口、ISL协议和802.1Q协议2.2网络规划2.2.1结构分析本次实验用到了二层交换机用来划分两个不同VLAN，交换机的四个接口各连接四台PC还有一个接口连接路由器，将交换机的该接口配置一个trunk接口。后与路由器连接。VLAN的中继端口叫做trunk。trunk技术用在交换机之间互连，使不同VLAN通过共享链路与其它交换机中的相同VLAN通信。交换机之间互连的端口就称为trunk端口。trunk是基于OSI第二层数据链路层（DataLinkLayer)的技术。两台交换机上分别创建了多个VLAN（VLAN是基于Layer2的），在两台交换机上相同的VLAN（比如VLAN10）要通信，需要将交换机A上属于VLAN10的一个端口与交换机B上属于VLAN10的一个端口互连；如果这两台交换机其它相同VLAN间需要通信，那么交换机之间需要更多的互连线，端口利用率就太低了。交换机通过trunk功能，事情就简单了，只需要两台交换机之间有一条互连线，将互连线的两个端口设置为trunk模式，这样就可以使交换机上不同VLAN共享这条线路。交换端口两种模式：access和trunk。连接终端（如PC）用access模式，设备级连接用trunk模式。把access端口加入到某个VLAN，那么这个端口就只将这个VLAN的数据转发给PC，PC发送的数据通过这个端口后会打上这个VLAN的ID，转发到相同VLAN。2.2.2网络设备选用四台PC、一台二层交换机、一台2811路由器2.2.3IP地址规划配置PCIP地址网关VLANPC00VLAN10PC10VLAN10PC30VLAN20PC40VLAN20表2.1IP地址规划表点击PC0在桌面给PC0配置IP地址，其IP地址为0，掩码为，网关为，如图6.1：图6.1PC0IP地址点击PC1在桌面给PC1配置IP地址，其IP地址为1，掩码为，网关为，如图6.2：图6.2PC1IP地址点击PC2在桌面给PC2配置IP地址，其IP地址为0，掩码为，网关为，如图6.3：图6.3PC2IP地址点击PC3在桌面给PC3配置IP地址，其IP地址为1，掩码为，网关为，如图6.4：图6.4PC3IP地址VLAN可以限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。VLAN为网络管理带来了方便，因为有相似网络需求的用户将共享同一个VLAN。VLAN将用户和网络设备聚合到一起，以支持商业需求或地域上的需求。通过职能划分，项目管理或特殊应用的处理都变得十分方便，例如可以轻松管理教师的电子教学开发平台。VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。给四台PC机配置IP地址与网关，一定要注意不要配置错误，否则在接下来的步骤中将会导致网关的不正确或者IP地址的混乱，这样在路由器的路由条表中将会没有目标网段的条目，数据包从PC机发送出去后，因为网关错误数据包无法出去，或者出来网关之后，数据包的目的IP在路由器中没有相应的路由条目，这会导致数据包无法被路由器转发，这样VLAN间会无法通信。2.2.4实验拓扑图图6.5实验拓扑图2.3网络实施2.3.1实验原理（1）在交换机中，通过VLAN对一个物理网络进行了逻辑划分，不同的VLAN之间是无法直接访问的，必须通过三层的路由设备进行连接。一般利用路由器来做网关或者利用三层交换机来实现不同的VLAN之间的互相通信。将路由器或交换机相连接，采用IEEE802.1q来启动路由器上的子接口成为干道模式，就可以利用路由器来实现VLAN之间的通信。路由器可以从某一个VLAN接收数据包，并将这个数据包转发到另外的一个VLAN。要实施VLAN间的路由，可以使用路由器的单臂路由功能，而该功能的使用必须在一个路由器的物理接口上启用子接口，也就是将以太网物理接口划分为多个逻辑的、可编址的接口，并配置成干道模式。这样才能使用单臂路由功能。并且将每个VLAN对应一个这种子接口，这样路由器就能够知道如何到达这些互连的VLAN。实现VLAN间的通信，完成实验。VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备——要实现路由功能，既可采用路由器，也可采用三层交换机来完成，同时还严格限制了用户数量。根据MAC地址划分，这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。产生很多的重复工作。按网络层划分，这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。按IP组播划分，IP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。基于规则的划分，也称为基于策略的VLAN。这是最灵活的VLAN划分方法，具有自动配置的能力，能够把相关的用户连成一体，在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则（或属性），那么当一个站点加入网络中时，将会被“感知”，并被自动地包含进正确的VLAN中。同时，对站点的移动和改变也可自动识别和跟踪。采用这种方法，整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的VLAN，这在交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLAN时，交换机中软件自动检查进入交换机端口的广播信息的IP源地址，然后软件自动将这个端口分配给一个由IP子网映射成的VLAN。（2）路由器上，指定以太网子接口属于VLAN1,此命令应用在以太网子接口上。只有配置了该命令之后，以太网子接口才会根据配置的VLANID号在以太网帧头中嵌入VLAN标签，与该网口相连的交换机接口才能正确处理接收到的帧。在局域网中,通过交换机上配置VLAN可以减少主机通信广播域的范围,当VLAN之间有部分主机需要通信,但交换机不支持三层交换时,可以采用一台支持802.1Q的路由器实现VLAN的互通.这需要在以太口上建立子接口,分配IP地址作为该VLAN的网关,同时启动802.1Q.协议。路由器的工作原理为从某一个接口接收到一个数据包时，会查看包中的目标网络地址以判断该包的目的地址在当前的路由表中是否存在（即路由器是否知道到达目标网络的路径）。如果发现包的目标地址与本路由器的某个接口所连接的网络地址相同，那么马上数据转发到相应接口；如果发现包的目标地址不是自己的直连网段，路由器会查看自己的路由表，查找包的目的网络所对应的接口，并从相应的接口转发出去；如果路由表中记录的网络地址与包的目标地址不匹配，则根据路由器配置转发到默认接口，在没有配置默认接口的情况下会给用户返回目标地址不可达的ICMP信息。2.3.2网络配置命令（1）先创建VLAN10，再将F0/2端口与F0/3端口所对应的PC0与PC1配置到VLAN10

Switch(config)#vlan

10（创建VLAN10）

Switch(config)#int

f0/2（进入f0/2端口）

Switch(config-if)#switchport

access

vlan

10（将端口2的PC0划到VLAN10）

Switch(config)#int

f0/3（进入f0/3端口）

Switch(config-if)#switchport

access

vlan

10（将端口3的PC1划到VLAN10）

Switch(config-if)#exit（退出当前端口）（2）再将F0/4端口与F0/5端口配置给VLAN20

Switch(config)#vlan

20（创建VLAN20）Switch(config)#int

f0/4（进入f0/4端口）

Switch(config-if)#switchport

access

vlan

20(将端口4的PC2划到VLAN20)

Switch(config-if)#exit（退出当前端口）

Switch(config)#int

f0/5（进入f0/5端口）Switch(config-if)#switchport

access

vlan

20(将端口5的PC3划到VLAN20)

（3）将F0/1口配置trunk

Switch(config)#interface

fastEthernet0/1（进入f0/1端口）

Switch(config-if)#switchport

mode

trunk（将该端口设置为trunk模式）

至此，已将四台PC机所对应端口划分在VLAN10与VLAN20，并且将二层交换机与路由器相连接的端口配置为trunk模式，trunk技术用在交换机之间互连，使不同VLAN通过共享链路与其它交换机中的相同VLAN通信。交换机之间互连的端口就称为trunk端口。交换机的配置完成，接下来将进行路由器的单臂路由配置。（3）Router1单臂路由设置：配置F0/0.1口Router>enableRouter#configuretermianl

Router(config)#interface

fastEthernet

0/0.1（进入f0/0.1端口）

Router(config-subif)#description

vlan

10（声明该端口属于VLAN10）

Router(config-subif)#encapsulation

dot1Q

10（封装dot1Q协议）

Router(config-subif)#ip

address

（给该端口配置IP地址）

（4）配置F0/0.2口Router(config-subif)#exit（退出f0/0.1接口）Router(config)#int

f0/0.2（进入f0/0.2接口）

Router(config-subif)#description

vlan

20（声明该接口属于VLAN20）

Router(config-subif)#encapsulation

dot1Q20（封装dot1Q协议）

Router(config-subif)#ip

address

（给该端口配置IP地址）

2.4调试分析2.4.1测试目标在VLAN10的PC1、PC2能够ping通VLAN20的PC3、PC4。PING(PacketInternetGroper)，因特网包探索器，用于测试网络连接量的程序。Ping发送一个ICMP(InternetControlMessagesProtocol）即因特网信报控制协议；回声请求消息给目的地并报告是否收到所希望的ICMPecho（ICMP回声应答）。它是用来检查网络是否通畅或者网络连接速度的命令。它所利用的原理是这样的：利用网络上机器IP地址的唯一性，给目标IP地址发送一个数据包，再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通，时延是多少。2.4.2测试结果图8.1测试通信图从图8.1中可以看出使用ping命令后只有一个丢包，剩余的三个数据包都得到了回复，证明VLAN10的PC0能够ping通VLAN20的PC2，测试成功。图8.2测试通信图从图8.2中可以看到没有丢包，即四个数据包都得到了回复，所以VLAN10的PC1能够ping通VLAN20的PC3，测试成功。心得体会本次课程设计使我们学习并熟悉CiscoPacketTracer6.0软件的一般操作和运用，在加深对计算机网络课本知识的理解的基础上，学会运用已学的知识设计一个小型互连网络并对其进行分析，并且进一步理解互连网的基本组成、VLAN的基本原理及划分、对网络设备进行相关配置并测试等相关知识。课程设计的目的，实际上是为了让学生更深入的掌握计算机网络的核心内容，实现理论与实践相结合的教学目的，让学生能用具体的实践成果来体现对理论知识掌握的程度，有利于学生提高计算机网络方面的实践能力和加深计算机网络理论知识的理解。具体来讲，安排计算机网络课程设计的目的主要有两个：一是引导学生将书本上抽象的概念和具体实现技术结合起来，使学习深化；二是消除学生对计算机网络理论知识的神秘感，调动学生学习的积极性与主动性，进而锻炼解决实际问题的能力。通过本课程设计，使学生在对计算机网络技术与发展整体了解基础上，掌握了计算机网络的核心内容、基本概念及子网规划和VLAN划分，初步掌握以TCP/IP协议为主的网络协议结构，培养学生在TCP/IP协议工程和VLAN上的实际工作能力；学会网络构建、日常维护及管理的方法，使学生掌握在信息化社会建设过程中所必需的计算机网络组网和建设所需的基本知识与操作技能。次试验让我更加充分的理解了课本上的知识，并能够加以扩展，从而应用于实践当中。这几天的课程设计令我受益匪浅，很多平时模棱两可的知识点都认真复习并实践了。我对网络编程提升了认识，我意识到我们所学的东西将来都是要付诸实践的，所以一切要从实际情况出发，理论联系实际，这样才能真正发挥我们所具备的能力。还有这次的课程设计我还是遇到了很多的问题的，不过在老师和同学的帮助下，以及自己到网上的查找下，都顺利的解决了。我觉得，在学习的过程中，当遇到问题苦思不得其所的时候，千万不要一根筋的非得自己做出来，这时候就是我们锻炼交际能力的时候到了，我们可以问老师，也可以问机房里的同学，这样我们既解决了问题，又提升了大家的关系，这是一举两得的事情，因此大家千万不要羞于开口。另外，也可以通过上网查询资料来解决问题，一般来说当我遇到问题时我会先记下来，晚上或者问题比较多的时候就到网络上集中查询或求助。这也是行之有效的办法，通过查找资料，对于这些问题的解决办法我印象相当深刻。并且通过这次实验我学会了标准IP访问列表和扩展IP访问列表。标准IP访问列表可以根据数据包的源IP地址定