网络设备安装与调试技术 课件 第5章-网络地址规划和远程管理( 华三版-04完整版)

第5章

网络地址规划和远程管理编著：

秦燊劳翠金

如何合理分配IP地址，做到既够用，又不浪费呢？方法是采用无类地址，不再使用分类地址规定的子网掩码，通过改变子网掩码，将一个大的网络划分成多个小的子网，从而可以更有效的利用有限的IPv4地址空间。下面，先从子网的划分开始学习。划分子网的方法是通过借用IP地址的主机位来充当子网位实现的。5.1子网划分

一、从十进制角度分析子网划分

1.以网络（子网掩码）为例，根据子网掩码可知，该网络IP地址的前2组数172.0是网络位，后2组数是主机位。其中最小的地址（网络地址）和最大的地址55（广播地址）不能分配给主机，可分配的地址范围是~54。主机位2组数可容纳256*256=65536个地址，减去2个特殊地址后，可分配地址数为65534。

2.划分子网，将主机位中高位的1组数借给网络位，子网掩码变成了。借来的1组数用来充当子网位，取值的范围是0~255：第1个子网是、第2个子网是、第3个子网是、……、第256个子网是。其中，第一个子网的网络位占3组数，即172.0.0；主机位占1组数，取值范围是0~255。IP地址范围是~55，其中是网络地址，55是广播地址，~54是可用地址，数量是256-2=254。第二个子网的网络位占3组数，即172.0.1；主机位占1组数，取值范围是0~255。IP地址范围是~55，其中是网络地址，55是广播地址，~54是可用地址，数量是256-2=254。其余子网类推。

5.1.1固定长度子网划分二、从二进制的角度分析子网划分某分公司网络分配到的网络地址是（子网掩码）。该分公司有5个部门，每个部门的主机数不超过28。如何划分子网？1.计算应该借几位主机位用于子网划分从二进制的角度可作更细致的子网划分。该分公司网络未划分子网前的子网掩码是，即二进制的11111111.11111111.11111111.00000000。其中连续1的部分是网络位，连续0的部分是主机位。8位主机位的变化范围是：00000000~11111111，能容纳的地址数=28=256。划分子网的方法是从8位主机位中，从高到低借用一些连续的位给子网用作子网位。例如若从8位主机位中借3位给子网，剩余5位主机位。借来3位可容纳的子网数=23=8，公司有5个部门，只需要5个子网，子网数符合要求；剩余的5位主机位能容纳的地址数=25=32，变化范围是00000-11111，即0~31，扣除网络地址和广播地址，可用于分配的地址数=32-2=30。公司每个部门不超过28台电脑，加上每个子网需要一个网关，共需要29个地址，小于30，符合案例对每个子网的IP地址数的需求。2.计算每个子网的网络地址、广播地址和地址的范围第1个子网的网络地址是/27；广播地址是：1；可分配的地址范围是：~0。该子网广播地址的计算方法如下：子网中最小的地址（即网络地址）+32-1=1。第2个子网的网络地址是2/27；广播地址是3；可分配的地址范围是：3~2。第3个子网的网络地址是4/27；广播地址是5；可分配的地址范围是：5~4。第4个子网的网络地址是6/27，广播地址是27，可分配的地址范围是：7~26。第5个子网的网络地址是28/27，广播地址是59，可分配的地址范围是：29~58。将这5个子网分配给该分公司的5个部门，剩余的地址留作将来扩展之用。5.1.2可变长子网划分

子网的划分在实际应用中比较灵活，采用可变长子网掩码VLSM可将大的子网进一步划分成更小的子网，从而将一个大的网络划分成多个大小不同的子网。例如：某分公司分配到的网络地址是/24。该分公司有5个部门和1个服务器区，各部门的电脑数分别是：研发部50台，生产部50台，销售部28台，客服部28台，财务部28台，服务器区8台。可变长子网的划分方法如下：1.研发部和生产部电脑数较多，都是50台，加1个网关，需要51个IP地址。（1）如果将网络地址是/24的8位主机位保留6位，剩2位借用给子网划分用。那么，6位主机位能容纳的IP地址数等于26=64，扣除网络地址和广播地址后，可分配地址数=64-2=62>51，符合研发部和生产部的需求。（2）8位主机位保留6位后，可被子网借用的位数是2位，2位可容纳4个子网。此时子网掩码变成了/26，其中子网/26分给研发部，子网4/26分给生产部；剩下2个子网28/26和92/26用于进一步的划分给电脑少的3个部门。

思考：主机位保留5位和7位是否符合研发部和生产部的需求？

2.销售部、客服部和财务部电脑数都是28台，加1个网关，需要29个IP地址。（1）如果将子网28/26（或92/26）的6位主机位保留5位，剩1位借给更小的子网划分用。那么，5位主机位能容纳的IP地址数等于25=32，扣除网络地址和广播地址后，可分配地址数=32-2=30>29，符合销售部、客服部和财务部的需求。（2）6位主机位保留5位后，可被更小的子网借用的位数是1位，1位可容纳2个子网。将子网28/26划分成2个更小的子网，其中，28/27分配给销售部，60/27分配给客服部。将子网92/26也划分成2个更小的子网，其中，92/27分配给财务部，剩下的子网192.168.224/27用于进一步划分给服务器区。3.服务器区有8台服务器，加1个网关，需要9个IP地址。（1）如果将子网192.168.224/27的5位主机位保留4位，剩1位借给更小的子网划分用。那么，4位主机位能容纳的地址数等于24=16，扣除网络地址和广播地址后，可分配地址数=16-2=14>9，符合服务器区的需求。（2）5位主机位保留4位后，可被更小的子网借用的位数是1位，1位可容纳2个子网。将子网192.168.224/27划分成2个更小的子网，其中，24/28分配给服务器区，剩下的子网192.168.240/28留作将来扩展之用。路由表过大会占用设备的内存空间、路由条目过多会导致路由寻址的延时。解决这一问题的方法是引入IP路由汇总。下面，首先介绍IP地址汇总，再介绍IP路由汇总。

5.2IP路由汇总1.IP地址汇总与子网划分是借用主机位给网络位相反，地址汇总是借用网络位给主机位、将多个网段汇总成一个网段。例如：/24、/24、/24、/24这4个网段，用二进制表示分别是：11000000.10101000.00000000.0000000011000000.10101000.00000001.0000000011000000.10101000.00000010.0000000011000000.10101000.00000011.0000000024位的子网掩码用二进制表示就是：11111111.11111111.11111111.00000000现将24位子网掩码变成22位：11111111.11111111.11111100.00000000根据这个新的子网掩码，将原来4个网段的网络地址的前22位保持不变，其余位置0，得到4个相同的网络地址，这就是汇总后的网络地址：11000000.10101000.00000000.00000000用十进制表示就是，子网掩码变成了“/22”，即“”。象这样的多个有类地址汇总成的一个无类地址、多个网络汇总成一个更大的网络称为超网（supernetting），也称无类别域间路由（CIDR），通常用于IP路由汇总。2.IP路由汇总超网可用于IP路由汇总，它能将具有相似网络前缀的多个网络的多条路由条目组合成一条路由条目，从而减小路由表的大小以及路由协议交换的路由更新的大小。如图5-1所示拓扑，若想让R1能ping通所有网段，有两种方法。方法一是：为R1配置四条静态路由，一条去往/24，下一跳往左走；另外三条路由分别去往/24、/24和/24，下一跳都是往右走。方法二是：为R1配置一条静态路由和一条汇总路由。图5-1三台思科路由器互联的网络拓扑搭建如图5-1所示的拓扑，完成思科设备的IP路由汇总配置。1.路由器R0、R1、R2的基本配置，命令如下：Router>enable//R0的配置Router#configureterminalR0(config)#intgigabitEthernet0/0//配置R0的接口地址R0(config-if)#ipaddress52R0(config-if)#noshutdownR0(config-if)#exitR0(config)#interfaceloopback0R0(config-if)#ipaddressRouter>enable//R1的配置Router#configureterminalR1(config)#interfacegigabitEthernet0/0//配置R1的接口地址R1(config-if)#ipaddress52R1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfacegigabitEthernet0/1R1(config-if)#ipaddress52R1(config-if)#noshutdownR1(config-if)#exit5.2.1思科设备配置IP路由汇总Router>enable//R2的配置Router#configureterminalRouter(config)#hostnameR2R2(config)#interfacegigabitEthernet0/0//配置R2的接口地址R2(config-if)#ipaddress52R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfaceloopback0R2(config-if)#ipaddressR2(config-if)#intloopback1R2(config-if)#ipaddR2(config-if)#intloopback2R2(config-if)#ipadd2.配置R1的静态路由和路由汇总，命令如下：R1(config)#iproute//配置静态路由R1(config)#iproute//配置路由汇总3.在R1上ping、、、，都能ping通。5.2.2华为设备配置IP路由汇总搭建如图5-2所示的拓扑，完成华为设备的IP路由汇总配置。1.R0、R1、R2的基本配置，命令如下：<Huawei>system-view//R0的配置[Huawei]sysnameR0[R0]interfaceGigabitEthernet0/0/0//配置R0的接口地址[R0-GigabitEthernet0/0/0]ipaddress30[R0-GigabitEthernet0/0/0]quit[R0]interfaceLoopBack0[R0-LoopBack0]ipaddress24[R0-LoopBack0]quit图5-2三台华为路由器互联的网络拓扑<Huawei>system-view//R1的配置[Huawei]sysnameR1[R1]interfaceGigabitEthernet0/0/0//配置R1的接口地址[R1-GigabitEthernet0/0/0]ipaddress30[R1-GigabitEthernet0/0/0]quit[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress30[R1-GigabitEthernet0/0/1]quit<Huawei>system-view//R2的配置[Huawei]sysnameR2[R2]interfaceGigabitEthernet0/0/0//配置R2的接口地址[R2-GigabitEthernet0/0/0]ipaddress30[R2-GigabitEthernet0/0/0]quit[R2]interfaceLoopBack0[R2-LoopBack0]ipaddress24[R2-LoopBack0]quit[R2]interfaceLoopBack1[R2-LoopBack1]ipaddress24[R2-LoopBack1]quit[R2]interfaceLoopBack2[R2-LoopBack0]ipaddress24

2.配置R1的静态路由和路由汇总，命令如下：[R1]iproute-static24//配置静态路由[R1]iproute-static22//配置路由汇总

3.在R1上ping、、、，都能ping通。

5.2.3华三设备配置IP路由汇总搭建如图5-3所示的拓扑，完成华三设备的IP路由汇总配置。1.R0、R1、R2的基本配置，命令如下：<H3C>system-view//R0的配置[H3C]sysnameR0[R0]interfaceGigabitEthernet0/0//配置R0的接口地址[R0-GigabitEthernet0/0]ipaddress30[R0-GigabitEthernet0/0]quit[R0]interfaceLoopBack0[R0-LoopBack0]ipaddress24[R0-LoopBack0]quit图5-3三台华三路由器互联的网络拓扑<H3C>system-view//R1的配置[H3C]sysnameR1[R1]interfaceGigabitEthernet0/0//配置R1的接口地址[R1-GigabitEthernet0/0]ipaddress30[R1-GigabitEthernet0/0]quit[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]ipaddress30[R1-GigabitEthernet0/1]quit<H3C>system-view//R2的配置[H3C]sysnameR2[R2]interfaceGigabitEthernet0/0//配置R2的接口地址[R2-GigabitEthernet0/0]ipaddress30[R2-GigabitEthernet0/0]quit[R2]interfaceLoopBack0[R2-LoopBack0]ipaddress24[R2-LoopBack0]quit[R2]interfaceLoopBack1[R2-LoopBack1]ipaddress24[R2-LoopBack1]quit[R2]interfaceLoopBack2[R2-LoopBack2]ipaddress24[R2-LoopBack2]quit2.配置R1的静态路由和路由汇总，命令如下：[R1]iproute-static//配置静态路由[R1]iproute-static//配置路由汇总

3.ping测试在R1上，分别ping、、、，都能ping通。

5.3.1思科设备配置DHCP服务在中、大规模的网络中，通过搭建DHCP服务器，为客户端自动分配IP地址和缺省网关等网络参数，避免手动配置繁琐且容易出错等问题。路由器、交换机、服务器等都可以提供DHCP服务。下面介绍不同厂商的网络设备配置DHCP服务的方法。5.3IP地址自动分配如图5-4所示，在PacketTracer模拟器中搭建拓扑。（PacketTracer8.2的DHCP中继实验效果不佳）图5-4思科设备配置DHCP服务的网络拓扑

1.R1、R2的基本配置，命令如下：Router>enable//R1的配置Router#configureterminalRouter(config)#hostnameR1R1(config)#interfacefastEthernet0/0//配置R1的接口地址R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfacegigabitEthernet0/1R1(config)#interfacefastEthernet0/1R1(config-if)#ipaddress52R1(config-if)#noshutdownR1(config-if)#exitRouter>enable//R2的配置Router#configureterminalRouter(config)#hostnameR2R2(config)#interfacefastEthernet0/1//配置R2的接口地址R2(config-if)#ipaddress52R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfacefastEthernet0/0R2(config-if)#ipaddressR2(config-if)#noshutdownR2(config-if)#exit

2.R1、R2的静态路由配置，命令如下：R1(config)#iproute//R1的静态路由配置R2(config)#iproute//R2的静态路由配置3.将R1配置为DHCP服务器，为网段和网段的电脑提供自动分配地址的服务。命令如下：R1(config)#servicedhcpR1(config)#ipdhcppoolpoolaR1(dhcp-config)#networkR1(dhcp-config)#default-routerR1(dhcp-config)#dns-server14R1(dhcp-config)#exitR1(config)#ipdhcpexcluded-addressR1(config)#ipdhcppoolpoolbR1(dhcp-config)#networkR1(dhcp-config)#default-routerR1(dhcp-config)#dns-server14R1(dhcp-config)#exitR1(config)#ipdhcpexcluded-address4.配置R2为网段的电脑提供DHCP中继，指向为该网段提供DHCP服务的服务器地址。命令如下：R2(config)#interfacefastEthernet0/0R2(config-if)#iphelper-address5.如图5-5所示，在PC1的Desktop选项夹的IP配置界面选择“DHCP”选项自动获取地址。

5-5PC1自动获取IP地址的界面6.如图5-6所示，在PC3的Desktop选项夹的IP配置界面选择“DHCP”选项自动获取地址。7.PC1pingPC3测试，命令如下：PC>ping//可以ping通

5-6PC3自动获取IP地址的界面5.3.2华为设备配置DHCP服务如图5-7所示，在eNSP模拟器中搭建拓扑，完成华为设备的DHCP服务配置。图5-7华为设备配置DHCP服务的网络拓扑1.R1、R2的基本配置，命令如下：<Huawei>system-view//R1的配置[Huawei]sysnameR1[R1]interfaceGigabitEthernet0/0/1//R1的IP地址配置[R1-GigabitEthernet0/0/1]ipaddress24[R1-GigabitEthernet0/0/1]quit[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]ipaddress30[R1-GigabitEthernet0/0/0]quit<Huawei>system-view//R1的配置[Huawei]sysnameR2[R2]interfaceGigabitEthernet0/0/1//R2的IP地址配置[R2-GigabitEthernet0/0/1]ipaddress24[R2-GigabitEthernet0/0/1]quit[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]ipaddress30[R2-GigabitEthernet0/0/0]quit2.R1、R2的静态路由配置，命令如下：[R1]iproute-static24//R1的静态路由配置[R2]iproute-static24//R2的静态路由配置3.在R1上配置基于接口的DHCP服务，为网段的电脑提供自动分配地址的服务。命令如下：[R1]dhcpenable[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]dhcpselectinterface[R1-GigabitEthernet0/0/1]dhcpserverdns-list14[R1-GigabitEthernet0/0/1]dhcpserverexcluded-ip-address[R1-GigabitEthernet0/0/1]dhcpserverexcluded-ip-address00544.在R1上配置基于全局地址池的DHCP服务，为网段的电脑提供自动分配地址的服务。命令如下：[R1]ippoolpoolDHCP//创建全局地址池，命名为poolDHCP[R1-ip-pool-poolDHCP]networkmask//指定网段[R1-ip-pool-poolDHCP]gateway-list//指定网关[R1-ip-pool-poolDHCP]dns-list14//指定DNS服务器地址[R1-ip-pool-poolDHCP]excluded-ip-address0054//指定排除地址范围[R1-ip-pool-poolDHCP]quit[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]dhcpselectglobal//配置为全局DHCP5.R2为网段的电脑提供DHCP中继，指出为该网段提供DHCP服务的服务器地址为。命令如下：[R2]dhcpenable[R2]interfaceGigabitEthernet0/0/1[R2-GigabitEthernet0/0/1]dhcpselectrelay[R2-GigabitEthernet0/0/1]dhcprelayserver-ip6.如图5-8所示，在PC1属性的基础配置选项夹中为IPv4选择“DHCP”选项，点击“应用”按键，自动获取地址。图5-8PC1自动获取IP地址的界面7.在PC1查看获取到的地址，命令如下：PC>ipconfigIPv4address....................:9Subnetmask.....................:Gateway...........................:DNSserver........................:148.在PC3上查看自动获取到的地址，命令如下：PC>ipconfigIPv4address....................:9Subnetmask.....................:Gateway...........................:DNSserver........................:149.PC1pingPC3测试连通性，命令如下：PC>ping9可以看到能ping通。5.3.3华三设备配置DHCP服务在HCL模拟器中搭建如图5-9所示拓扑，完成华三设备的DHCP服务配置。图5-9华三设备配置DHCP服务的网络拓扑1.R1、R2的IP地址配置，命令如下：<H3C>system-view//R1的配置[H3C]sysnameR1[R1]interfaceGigabitEthernet0/1//R1的IP地址配置[R1-GigabitEthernet0/1]ipaddress24[R1-GigabitEthernet0/1]quit[R1]interfaceGigabitEthernet0/0[R1-GigabitEthernet0/0]ipaddress30[R1-GigabitEthernet0/0]quit<H3C>system-view//R2的配置[H3C]sysnameR2[R2]interfaceGigabitEthernet0/1//R2的IP地址配置[R2-GigabitEthernet0/1]ipaddress24[R2-GigabitEthernet0/1]quit[R2]interfaceGigabitEthernet0/0[R2-GigabitEthernet0/0]ipaddress30[R2-GigabitEthernet0/0]quit2.R1、R2的静态路由配置，命令如下：[R1]iproute-static24//R1的静态路由配置[R2]iproute-static24//R2的静态路由配置3.在R1上开启DHCP服务，为网段提供自动分配地址的服务，命令如下：[R1]dhcpenable[R1]dhcpserverip-poolpoola//创建DHCP地址池，命名为poola[R1-dhcp-pool-poola]network24//指定网段[R1-dhcp-pool-poola]gateway-list//指定网关[R1-dhcp-pool-poola]dns-list14//指定DNS服务器地址[R1-dhcp-pool-poola]quit[R1]dhcpserverforbidden-ip//指定排除地址范围[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]dhcpselectserver//配置为server模式[R1-GigabitEthernet0/1]quit4.在R1上开启DHCP服务，为网段提供自动分配地址的服务，命令如下：[R1]dhcpserverip-poolpoolb[R1-dhcp-pool-poolb]network24[R1-dhcp-pool-poolb]gateway-list[R1-dhcp-pool-poolb]dns-list14[R1-dhcp-pool-poolb]quit[R1]dhcpserverforbidden-ip[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]dhcpselectserver5.R2为网段的电脑提供DHCP中继，指出为该网段提供DHCP服务的服务器地址为。命令如下：<R2>system-view[R2]dhcpenable[R2]dhcpenable[R2]interfaceGigabitEthernet0/1[R2-GigabitEthernet0/1]dhcpselectrelay[R2-GigabitEthernet0/1]dhcprelayserver-address6.如图5-10所示，在PC1的配置界面中，“启用”接口管理，选择IPv4配置的“DHCP”选项，并点击“启用”按钮，自动获取地址。图5-10PC1自动获取IP地址的界面7.如图5-11所示，在PC3的配置界面中，让PC3自动获取地址。8.在PC1上pingPC3测试连通性，命令如下：<H3C>ping//可以ping通图5-11PC3自动获取IP地址的界面5.4.1思科设备配置telnet网络设备启用远程配置功能后可以被远程操控和配置。常用的远程连接协议有telnet、SSH等。5.4网络设备的远程连接和配置如图2-9中，网络管理员在PC0上，对交换机SW2进行远程telnet连接和配置。图2-9思科路由器配置静态路由的拓扑1.让PC0能ping通SW2。命令如下：Switch>enableSwitch#configureterminalSwitch(config)#hostnameSW2SW2(config)#interfacevlan1SW2(config-if)#ipaddress00SW2(config-if)#noshutdownSW2(config)#ipdefault-gateway2.在交换机SW2上开启允许telnet远程连接管理，命令如下：SW2(config)#linevty04SW2(config-line)#transportinputtelnetSW2(config-line)#nologin//无需密码建立连接SW2(config-line)#privilegelevel15//将登陆用户的级别设为15SW2(config-line)#exit3.在PC0上，通过telnet命令远程连接管理SW2，命令如下：C:\>telnet00SW2#//成功远程连接到了SW2的特权模式4.在PC0上，使用telnet的默认级别1远程连接SW2并切换到特权模式的过程如下：（1）为SW2设置特权模式密码，命令如下：SW2(config)#enablepassword654321//将特权模式密码设为654321（2）在PC0上使用telnet远程连接SW2并切换到特权模式的命令如下：C:\>telnet00//使用telnet远程连接SW2SW2>enable//在SW2的用户模式输入enable命令切换到特权模式Password://输入密码“654321”SW2#//成功切换到SW2的特权模式二、思科设备通过密码进行telnet连接和配置在“思科设备无密码的远程telnet连接和配置”实验的基础上，将VTY远程认证方式由“nologin”更换为“login”,并为远程连接设置密码，让网络管理员在PC0上，能通过密码认证的方式对交换机SW2进行远程telnet连接和管理。1.在交换机SW2上开启允许通过密码进行telnet远程连接管理。SW2(config)#linevty04SW2(config-line)#transportinputtelnetSW2(config-line)#password123456//设置远程连接时使用的密码SW2(config-line)#login//设置远程连接时需要密码验证SW2(config-line)#exitSW2(config)#enablepassword654321//设置特权模式密码2.在PC0上，通过telnet命令远程连接管理SW2C:\>telnet00Password://此处输入telnet密码123456SW2>enable//成功远程连接到了SW2的用户模式，输入enable命令准备切换到特权模式Password://此处输入特权模式密码654321SW2#//成功远程切换到SW2的特权模式三、思科设备通过账号密码进行telnet连接和配置在“思科设备通过密码进行telnet连接和配置”实验的基础上，将VTY远程认证方式由“login”改为“loginlocal”，并为远程连接创建用户名和密码。让网络管理员在PC0上，能通过账号和密码认证后对交换机SW2进行远程telnet连接和管理。1.在交换机SW2上开启允许通过账号和密码进行telnet远程连接管理。SW2(config)#linevty04SW2(config-line)#transportinputtelnetSW2(config-line)#loginlocal//设置远程连接时需要进行本地用户和密码验证SW2(config-line)#exit2.创建本地用户admin，赋予第15级命令权限。SW2(config)#usernameadminpassword123//设置远程连接时使用的用户名和密码SW2(config)#usernameadminprivilege15//设置远程连接时用户权限的级别3.创建本地用户public，赋予第1级命令权限。SW2(config)#usernamepublicpassword456SW2(config)#usernamepublicprivilege1SW2(config)#enablepassword654321//设置特权模式密码4.在PC0上，通过telnet命令远程连接管理SW2C:\>telnet00//远程连接SW2Username:admin//此处输入用户名adminPassword://此处输入密码123SW2#//由于用户admin的权限是15级，所以直接进入了特权模式SW2#exit//退出telnet，返回DOS提示符C:\>telnet00//在DOS命令提示符下重新telnet远程连接SW2Username:public//此处输入用户名publicPassword://此处输入密码456SW2>//由于public的权限是1级，所以进入的是用户模式SW2>enable//输入enable命令，准备切换到特权模式Password://此处输入特权模式密码654321SW2#//成功切换到了SW2的特权模式四、思科设备通过AAA本地认证进行telnet连接和配置AAA是网络安全中进行访问控制的一种安全管理机制，三个字母A分别代表了认证（Authentication）、授权（Authorization）和计费（Accounting）。AAA认证模式分为本地认证和基于服务器的认证。下面采用之前的实验拓扑，介绍思科设备开启AAA本地认证进行telnet连接的方法：1.IP地址等基本配置同前。2.启用AAA本地认证，命令如下：SW2(config)#aaanew-model//全局启用AAASW2(config)#aaaauthenticationlogindefaultlocal//认证时调用默认列表default，认证方式为本地（local）。3.创建本地用户admin，命令如下：SW2(config)#usernameadminpassword123//设置远程连接时使用的用户名和密码4.设置特权模式密码，命令如下：SW2(config)#enablesecret456参数secret表示密码经过MD5加密保存，若改用参数password则密码以明文方式保存。5.在交换机SW2上设置通过配置线（Console线）连接设备时查询的本地认证列表。命令如下：SW2(config)#lineconsole0SW2(config-line)#loginauthenticationdefault//可省略，请参看第7点的分析6.通过配置线再次连接SW2时，会提示如下：Username:admin//输入用户名adminPassword://输入密码123SW2>//成功进入设备的用户模式7.在交换机SW2上开启允许通过账号和密码进行telnet远程连接管理。命令如下：SW2(config)#linevty04SW2(config-line)#transportinputtelnetSW2(config-line)#loginauthenticationdefault//可省略因为VTY和Console在执行认证时会自动查询名为default的本地默认列表，而之前我们开启AAA认证时，选用的就是本地默认列表default，所以此处命令可以省略。SW2(config-line)#exit8.在PC0上，通过telnet命令远程连接管理SW2，命令如下：C:\>telnet00//远程连接SW2Username:admin//此处输入用户名adminPassword://此处输入密码123SW2>enable//成功进入用户模式，用命令切换到特权模式Password://此处输入密码456SW2#//成功进入了特权模式5.4.2华为设备配置telnet一、华为设备无密码的远程telnet连接和配置如图5-12所示，让网络管理员在PC1上，能对交换机SW2进行远程telnet连接和配置。图5-12华为设备配置telnet远程连接1.为了更好的进行telnet远程连接测试，我们将第二章华为静态路由实验拓扑中的“PC1”用VMWare的win7虚拟机代替。方法是将原来的PC1删除，拖出Cloud1代替，将显示的名称“Cloud1”重命名为“VMnet1”，并将Cloud1的属性设置如下：（1）如图5-13所示，绑定信息栏选中为“UDP”，然后点击“增加”按钮。5-13将Cloud1重命名为VMnet1后，为其增加第一个端口（2）如图5-14所示，绑定信息栏选中“WMwareNetworkAdapterVMnet1……”，然后点击“增加”按钮。5-14将Cloud1重命名为VMnet1后，为其增加第二个端口（3）如图5-15所示，在Cloud1的IO配置“端口映射设置”栏中，入端口编号保留为“1”，出端口编号选择“2”，勾选双向通道选项，点击“增加”按钮。图5-15将Cloud1重命名为VMnet1后，为其设置端口映射2.如图5-16所示，运行VMwareWorkstationPro，打开虚拟机Win7，网卡连接到VMnet1，这台新的Win7虚拟机作为新的PC1，是用来取代原来PC1的，以便能更好的运行telnet等命令。图5-16VMware的win7虚拟机设置3.新PC1的配置与原来的一致，即IP地址为0/24，缺省网关为。4.让PC1能ping通SW2。由于PC1和SW2处在不同网段，所以为了让PC1能ping通SW2，SW2不但需要有IP地址和子网掩码，也需要有缺省网关。R3的g0/0/0接口充当了SW2的缺省网关的角色（网关地址是）。由于SW2与网关相连的端口g0/0/1属于VLAN1，所以需要给SW2的VLANif1接口配置一个属于/24

网段的地址，如00。（1）给SW2的VLANif1接口配置地址00<Huawei>system-view[Huawei]sysnameSW2[SW2]interfaceVlanif1[SW2-Vlanif1]ipaddress0024[SW2-Vlanif1]quit（2）给SW2配置缺省网关，缺省网关地址是[SW2]iproute-static0通过ping测试，可以看到，PC0和SW1可以互相ping通了。5.在交换机SW2上开启允许telnet远程连接[SW2]telnetserverenable[SW2]user-interfacevty04[SW2-ui-vty0-4]protocolinboundtelnet[SW2-ui-vty0-4]authentication-modenone//无需认证[SW2-ui-vty0-4]userprivilegelevel15//将用户级别设为15级6.测试在VMware虚拟机PC1上，通过telnet命令远程连接和配置SW2。（1）如图5-17所示，开启win7的telnet客户端功能。（2）进入PC1的命令行模式，通过telnet命令远程连接和配置SW2。命令如下：C:\Users\admin>telnet00可以正常连接和配置交换机SW2。图5-17开启win7的telnet客户端功能二、华为设备通过密码进行telnet连接和配置1.在交换机SW2上开启允许通过密码进行telnet远程连接配置，命令如下：[SW2]telnetserverenable[SW2]user-interfacevty04[SW2-ui-vty0-4]protocolinboundtelnet[SW2-ui-vty0-4]authentication-modepassword[SW2-ui-vty0-4]setauthenticationpasswordcipher123[SW2-ui-vty0-4]userprivilegelevel152.在VMware虚拟机PC1上，通过telnet命令远程连接管理SW2。（1）开启win7的telnet客户端功能。（2）进入PC1的命令行模式，通过telnet命令远程连接管理SW2。C:\Users\admin>telnet00输入密码123，可以正常连接和管理交换机SW2。三、华为设备通过账号密码进行telnet连接和配置1.在路由器SW2上创建本地账户admin，配置账户的权限等级分别为15，命令如下：[SW2]aaa[SW2-aaa]local-useradminpasswordcipher123SW2-aaa]local-useradminprivilegelevel15[SW2-aaa]local-useradminservice-typetelnet2.在路由器SW2上创建本地账户public，配置账户的权限等级分别为1，命令如下：[SW2-aaa]local-userpublicpasswordcipher456[SW2-aaa]local-userpublicprivilegelevel1[SW2-aaa]local-userpublicservice-typetelnet[SW2-aaa]quit3.在SW2上启用telnet，认证方式为AAA。命令如下：[SW2]telnetserverenable[SW2]user-interfacevty04[SW2-ui-vty0-4]protocolinboundtelnet[SW2-ui-vty0-4]authentication-modeaaa4.在SW2上查看账户信息，命令如下：[SW2]displaylocal-user5.进入PC1的命令行模式，通过telnet命令分别用admin和public用户远程登录连接配置SW2。命令如下：C:\Users\admin>telnet00//远程连接SW2Username:admin//此处输入用户名adminPassword:输入123//此处输入密码123<SW2>system-view//进入了用户视图，输入命令拟进入系统视图[SW2]quit//进入了系统视图，输入quit命令拟返回用户视图<SW2>quit//返回了用户视图，输入quit命令拟退出telnet连接C:\Users\admin>//返回了DOS提示符C:\Users\admin>telnet00//在DOS命令提示符下重新telnet到SW2Username:public//此处输入用户名publicPassword:输入456//此处输入密码456<SW2>system-view//进入了用户视图，输入命令拟进入系统视图。5.4.3华三设备配置telnet一、华三设备无密码的远程telnet连接和配置如图5-18所示，我们在第二章第二节华三设备静态路由实验的基础上，使能远程telnet连接，将VTY远程认证方式设置为“none”,即无需密码建立连接。让网络管理员在PC1上，能对交换机SW2进行远程telnet连接和配置。图5-18华三设备的telnet远程连接拓扑1.如图5-19所示，在VMWare的“编辑”菜单中，选择“虚拟网络编辑器(N)...”选项，在弹出的虚拟网络编辑器中，选中VMnet0虚拟网卡，将其选为“桥接模式”，桥接到的网卡选择“VirtualBoxHost-onlyEhernetAdapter”。图5-19VMWare的“编辑”菜单和虚拟网络编辑器2.如图5-20所示，在连接SW1和PC1（由Host取代）时，选择Host的“NIC:VirtualBoxHost-OnlyEthernetAdaper”虚拟网卡。3.通过VMwareWorkstationPro打开虚拟机Win7，Win7的网卡连接到VMnet0，Win7作为新的PC1是用来取代原来PC1的，以便能更好的运行telnet等命令。4.新PC1的配置与原来的一致，即IP地址为0/24，缺省网关为。图5-20连接SW1和PC1（由Host取代）5.让PC1能ping通SW2。命令如下：<H3C>system-view[H3C]sysnameSW2[SW2]interfaceVlan-interface1[SW2-Vlan-interface1]ipaddress0024[SW2-Vlan-interface1]quit[SW2]iproute-static0//为交换机SW2设置缺省网关通过ping测试，可以看到，PC0和SW1可以互相ping通了。6.在交换机SW2上开启允许telnet远程连接管理，命令如下：[SW2]telnetserverenable[SW2]linevty04[SW2-line-vty0-4]protocolinboundtelnet[SW2-line-vty0-4]authentication-modenone[SW2-line-vty0-4]user-rolelevel-15[SW2-line-vty0-4]quit7.测试在VMware虚拟机PC1上，通过telnet命令远程连接管理SW2。（1）如图5-17所示，与华为设备实验一样，开启win7的telnet客户端功能。（2）进入PC1的命令行模式，通过telnet命令远程连接管理SW2。C:\Users\admin>telnet00<SW2>system-view[SW2]//可以正常连接和配置交换机SW2二、华三设备通过密码进行telnet连接和配置在华三设备无密码的远程telnet连接实验的基础上继续以下配置。1.在交换机SW2上开启允许telnet远程连接管理，将“authentication-modenone”改为“authentication-modepassword”，命令如下：[SW2]telnetserverenable[SW2]linevty04[SW2-line-vty0-4]protocolinboundtelnet[SW2-line-vty0-4]authentication-modepassword[SW2-line-vty0-4]setauthenticationpasswordsimple123456[SW2-line-vty0-4]userlevel-15[SW2-line-vty0-4]quit2.在VMware虚拟机PC1上，通过telnet命令远程连接管理SW2。方法如下：（1）开启win7的telnet客户端功能。（2）进入PC1的命令行模式，通过telnet命令远程连接管理SW2。命令如下：C:\Users\admin>telnet00Password://输入密码123456<SW2>system-view[SW2]//可以正常连接和配置交换机SW2。三、华三设备通过账号密码进行telnet连接和配置1.在路由器SW2上创建本地账户admin，配置账户的权限等级分别为15，命令如下：[SW2]local-useradmin//创建本地用户admin[SW2-luser-manage-admin]passwordsimple123456//该用户的密码为123456[SW2-luser-manage-admin]service-typetelnet//指定用户的服务类型为telnet[SW2-luser-manage-admin]authorization-attributeuser-rolelevel-15//指定命令级别为15[SW2-luser-manage-admin]quit2.在路由器SW2上创建本地账户public，配置账户的权限等级分别为1，命令如下：[SW2]local-userpublic[SW2-luser-manage-public]passwordsimple654321[SW2-luser-manage-public]service-typetelnet[SW2-luser-manage-public]authorization-attributeuser-rolelevel-1[SW2-luser-manage-public]quit3.在SW2上启用telnet，认证方式为AAA（scheme），命令如下：[SW2]telnetserverenable[SW2]linevty04[SW2-line-vty0-4]protocolinboundtelnet[SW2-line-vty0-4]authentication-modescheme//采用AAA认证[SW2-line-vty0-4]quit4.进入PC1的命令行模式，通过telnet命令分别用admin和public用户远程登录连接配置SW2。命令如下：C:\Users\admin>telnet00//远程连接SW2Username:admin//此处输入用户名adminPassword:输入123456//此处输入密码123456<SW2>system-view//进入了用户视图，输入命令拟进入系统视图[SW2]quit//进入了系统视图，输入quit命令拟返回用户视图<SW2>quit//返回了用户视图，输入quit命令拟退出telnet连接C:\Users\admin>//返回了DOS提示符C:\Users\admin>telnet00//在DOS命令提示符下重新telnet到SW2Username:public//此处输入用户名publicPassword:输入654321//此处输入密码654321<SW2>system-view//进入了用户视图，输入命令拟进入系统视图。[SW2]save//输入save命令Permissiondenied.//系统提示权限被拒绝，原因是由于public用户的权限等级设置成了1级，无执行该命令的权限。5.5.1思科设备配置SNMP一、基于CiscoPacketTracer配置SNMP如图5-21所示，在PacketTracer中搭建拓扑，实现在思科设备上配置SNMP。5.5SNMP网络管理图5-21基于CiscoPacketTracer配置SNMP的拓扑

随着网络规模的不断扩大，网络设备的数量和种类不断的增多，为提高效率，有必要这些设备进行统一管理。SNMP正是这样一个可以对不同种类、不同厂商设备进行统一管理的协议。1.R1的基本配置，命令如下：R1(config)#interfacegigabitEthernet0/0R1(config-if)#ipaddressR1(config-if)#noshutdown2.R1的SNMP配置，命令如下：R1(config)#snmp-servercommunity123roR1(config)#snmp-servercommunity321rw3.如图5-22所示，在PC1中，点击Desktop选项夹的IPConfiguration选项，为PC1配置IP地址。图5-22PC1的IP地址配置4.如图5-23所示，在PC1中，先点击Desktop选项夹的MIBBrowser选项，再点击“Advanced...”按钮，在出现的“Advanced”对话框中，输入R1的IP地址，保留端口号161不变，输入读团体名为123和写团体名321，点击“OK”按钮。图5-23PC1的MIBBrowser配置5.如图5-24所示，展开MIB树，按SNMPMIBs/MIBTree/router_stdMIBs/.iso/.org/.dod/.internet/.mgmt/.mib-2/.system的路径找到.sysName。选择“Get”操作选项后，点击“GO”按钮。在结果栏中，可以看到读取到的路由器的主机名为“R1”。图5-24展开PC1的MIBBrowser的MIB树6.设置路由器主机名为Router1。方法如图5-25所示，保持选中的刚才的MID路径上的.sysName，操作选项选种点击Set，在弹出的“SNMPset”窗口中输入打算设置新路由器主机名“Router1”，点击OK按钮。可以看到原来的“R1”值会变为“Router1”。图5-25在PC1的MIBBrowser中设置路由器的主机名二、基于EVE-NG配置SNMP1.如图5-26所示，在EVE-NG中搭建拓扑。添加Node设备两台：一台“CiscovIOSRouter”和一台“CiscovIOSSwitch”，分别命名为R1和SW1；添加Network云一朵：名称设为“Net1”，Type选择“Cloud1”，用于关联VMware虚拟机Win7。图5-26基于EVE-NG配置SNMP的拓扑图2.如图5-27所示是EVE-NG实验平台页面中Network云的“Type”类型，指示了CLoud云编号。图5-27EVE-NG实验平台页面中Net1云的“Type”类型如图5-28所示是VMware中的“VMnet”编号（可按需增删和调整顺序）。Cloud云编号与VMnet编号的对应关系如下：管理平台用的Cloud0对应VMnet6，连接虚拟机用的Cloud1对应VMnet1、Cloud2对应VMnet2、依此类推。图5-28VMware中的“VMnet”编号3.将VMware虚拟机Win7与云Cloud1关联4.如图5-29所示，在VMware虚拟机Win7中，打开“控制面板”/“系统和安全”/“Windows防火墙”/“自定义配置”，关闭防火墙。图5-29在VMware虚拟机Win7的“控制面板”中关闭防火墙5.路由器R1的基本配置，命令如下：R1(config)#interfacegigabitEthernet0/0R1(config-if)#ipaddressR1(config-if)#noshutdown6.路由器R1的SNMP配置，命令如下：[R1]snmp-agent[R1]snmp-agentsys-infoversionv1//版本为1[R1]snmp-agentcommunityread123//只读团体名为123[R1]snmp-agentcommunitywrite321//读写团体名为321[R1]snmp-agentsys-infocontact"QinSir"//联系人为“QinSir”[R1]snmp-agentsys-infolocation"GuangXi"//位置为“GuangXi”7.如图5-30所示，在虚拟机Win7中，打开SNMPB，点击Options菜单的ManageAgentProfiles...选项。8.如图5-31所示，在AgentProfiles窗口的左侧空白处，右击鼠标，选择“Newagentprofile”选项。图5-30虚拟机Win7的SNMPB配置图5-31Win7的SNMPB配置中AgentProfiles窗口9.如图5-32所示，在新出现的newagent的Name栏中，写入被管代理（路由器）的名称“R1”，在AgentAddress/Name栏中，写入被管代理（路由器）的IP地址，在SupportedSNMPVersion栏中，勾选SNMPV1选项。其它栏保持默认值不变。图5-32在Win7的SNMPB中配置R1的基本属性10.如图5-33所示，点击R1左侧的三角展开选项，点击Snmpv1/v2c。按路由器R1上的配置信息，在右侧出现的“读团体名”栏填写“123”，“写团体名”栏填写“321”，然后点击“OK”按钮。图5-33在Win7的SNMPB中配置R1的Snmpv1/v2c属性11.如图5-34所示，右击交换机SW1，选择Capture/G0/0。对其后所有流经SW1的G0/0端口的网络流量进行抓包。图5-34对流经SW1的G0/0端口的网络流量进行抓包12.在第一次开启抓包时，还需要在DOS命令框中进行确认，该命令框被隐藏在windows任务栏中。如图5-35所示，在windows任务栏中，点击被隐藏的DOS命令框，在弹出的DOS命令框中输入“y”。抓包期间不要关闭这个DOS命令框，只需将其最小化。图5-35第一次开启抓包时的DOS命令框13.如图5-36所示，在Win7上的SnmpB软件的RemoteSNMPAgent选项中，选中“R1”。然后展开MIBTree/iso/org/dod/internet/mgmt/mib-2/system/sysName，在出现的sysName选项上右击，在弹出的菜单中点击Get选项，调用GetRequest命令。可以在右侧查看到获取到路由器名称“R1”。图5-36Win7上的SnmpB软件14.如图5-37所示，查看Wireshark抓包的结果，可以看到抓到了SNMP的get-request命令和get-response命令。详细信息中，还可以看到版本、团体名等信息。图5-37查看Wireshark抓包的结果15.如图5-36所示，右击sysName，点击GetNext，调用GetNextRequest命令，可以获取到位置信息“GuangXi”。查看抓包结果，可以看到抓到的SNMP的GetNextRequest命令和Response命令。16.如图5-36所示，右击sysName，点击Set，调用SetRequest命令，可以在“Values”栏中输入新的路由器名称，从而改变路由器的名称。查看抓包结果，可以看到抓到的SNMP的SetRequest命令和Response命令。17.在R1上配置SNMPTrap，命令如下：R1(config)#snmp-serverenabletraps//允许R1将trap发送出去R1(config)#snmp-serverhost0trapstrapcommu//指定trap接收者为0，指定发送trap时采用trapcommu作为团体字符串18.在R1上执行一些配置操作，以便观察Trap效果。执行命令如下：R1(config)#interfaceloopback0R1(config-if)#exitR1(config)#nointerfaceloopback019.如图5-38所示，打开SNMPB的Traps选项夹，可以看到Trap到的信息。图5-38打开SNMPB的Traps选项夹5.5.2华为设备配置SNMP在eNSP中搭建如图5-39所示拓扑，实现在华为设备上配置SNMP。图5-39华为设备配置SNMP的拓扑1.如图5-40所示，按照“华为设备无密码的远程telnet连接”实验中配置云属性的方法，配置Cloud1的属性。图5-40配置Cloud1的属性2.因为Cloud1的属性设置时连接到了VMnet1虚拟网卡，所以打开VMware虚拟机win7后，也将win7连接到VMnet1虚拟网卡。3.如图5-29所示，