组网技术实验指导书

组网技术实验指导书
实验一IP路由(基于GNS3分布式环境)
【实验目的】
1、熟悉与掌握仿真软件GNS3的安装、环境设置的方法
2、了解GNS3下cisco路由器模拟及分布式环境下模拟的机制并掌握其使用
方法
3、掌握几种典型的在GNS3环境中模拟主机的方法
4、提高综合运用静态路由、缺省路由、RIP或OSPF路由技术完成较大网络
的路由设计的能力
【实验环境】
1、操作系统：Windows
2、组网模拟器（套件）：GNS3-0.8.6--all-in-one或以上版本
【实验预习要求】
1、阅读有关GNS3使用的相关资料
2、预习Cisco路由器典型的配置命令
3、完成本实验有关IP地址规划、路由方案、GNS3环境下模拟方案部分设计（见实验步骤1-3）
【实验报告要求】
1、可以打印，但需要同时交打印稿与电子稿
2、不允许简单复制“实验指导书”
3、不允许拷贝其它同学的成果，包括设计、数据、分析及结论
【Cisco路由器主要配置命令】
clock rate 128000 配置串口上的时钟(DCE 端)
configure terminal进入终端配置模式
copy running-config startup-config把内存中的配置文件保存到NVRAM 中
encapsulation为serial接口指定链路层协议
enable 进入特权模式
exit由当前模式退出到上层模式
end退出到特权模式
hostname设置主机的名字
interface进入网络接口配置模式
ip address设置接口的ip地址
no shutdown激活网络接口
show running-config显示内存中的配置文件
show interface s0/0/0 显示接口的信息
show controllers s0/0/0 显示s0/0/0 的控制器信息
ip route配置静态路由
show ip route查看路由表
ping ping 测试
traceroute路由跟踪测试（对于windows主机命令为tracert）
router rip启用rip（路由协议）进程
version 2指定路由协议rip的版本为2
network 在指定的直连网段上，进行rip路由宣告，如：network 192.168.200.0 redistribute (重分布)将本地路由表中某种路由注入到rip路由的更新中，如redis tribute static
no auto-summary 关闭路由自动聚合功能
【GNS3中模拟主机的几种方法】
1、利用Virtual PC Simulator(开源软件)
VPCS支持最多9台PC，它的功能有限，但是可以运行ping和traceroute。

此时在GNS3中需要借助类型为“Cloud”的节点，来指向所模拟的vpc主机。

2、利用路由器当作PC
可以简单地配置路由器，使其像一台PC一样。

这种方法可能会使用更多的内存和处理器资源。

此时需要关闭路由功能（no ip routing）和指定缺省网关(ip default-gateway)。

3、桥接物理主机或虚拟机（vmware、hyper-v等）
4、利用Qemu guest
5、利用VirtualBox guest
【设计任务】
在仿真器上实现如下拓扑网络的路由设计, 并完成连通测试。

【设计要求】
1、模拟器采用GNS3
2、模拟路由器选用CISCO路由器、分布在不同的物理主机上
3、2台模拟主机要求采用不同的模拟方法
4、将静态路由、缺省路由、OSPF路由技术有机地结合起来，完成网络的路由设计，实现全网各节点互通。

【实验步骤】
1、IP地址规划
分析给定拓扑图，规划各网段、各节点（路由接口或主机）ip地址，记录到实验报告
2、确定详细的路由方案，并记录到实验报告中
建议：R1（边界路由器）不使用动态路由，其它路由器启用动态路由
3、确定路由器与主机在GNS3环境下的模拟方案，并记录到实验报告
4、主机安装GNS3与初始配置
[I]安装GNS3-0.8.6--all-in-one（相关软件或资源在E:\network目录中）
[II]GNS3环境设置
（1）在磁盘中建立相关文件夹
IOS目录、工程目录、dynmips工作目录
（2）拷贝路由器Ios镜像文件到“IOS目录”中
（3）环境设置（从“编辑”->“首选项”菜单项进入）
设置语言:中文
设置相关目录（需要当场测试）：IOS、工程、工作目录
设置终端命令参数:要求终端工具使用secu reCRT
（4）设置“IOS”（从“IOS和Hypervisors”菜单项进入）
在“IOS”窗口选择Ci sco IOS文件，以及和IOS文件对应的“平台”
和“型号”后，单击“保存”。

（5）路由器”IDLE PC”值计算
依次将实验中所用各种型号的路由器“拖入”一个到工作区，完成“Idle PC”值计算、选取。

5、在GNS3中上编辑网络拓扑图
（1）创建一个新工程
（2）在设计区中，放置所需型号路由器、所需类型主机、进行布局、命名
路由器建议使用型号：C7200
（3）为路由器添加相关的模块，确保提供所需的端口（类型、数量）
（4）设置模拟主机
采用的方法不同，设置的具体内容也不同
（此处略）请写到实验报告中
6、完成路由器设置
（1）分别启动各路由器
等一段时间后，观察物理主机CPU利用率是否正常，路由器是否启动（2）通过console终端，分别登录各路由器
（3）完成路由器基本设置
包括名称、接口ip地址、子网掩码、接口激活等，对Serial口（DCE 类型）还需设同步时钟
（4）完成路由设置
具体配置步骤（含命令和参数）
（此处略）请写到实验报告中
（5）保存配置文件
7、进行连通测试、排除故障，并进行必要的记录；
（1）用ping命令进行连通测试
如：在两主机间进行、或任何两节点间进行
（2）若ping测试失败，使用trac ert命令进行路由跟踪测试
分析测试数据，以确定故障点（即故障设备）。

（3）排除故障
若故障设备是某个路由器，需进一步显示并分析该路由器的路由表，
分析问题原因，并着手解决。

8、分别显示各路由器的路由表、配置文件running-config内容，将主要内容
记录到实验报告中。

9、保存工程文件
【思考与练习】
1、结合对本地与远程的“hypervisors”的理解，试分析GNS3与Dynamips.exe
之间如何协同工作？
2、模拟网络中端口之间的链路，在实验主机中是如何模拟的？
3、参考有关资料，自行安装virtualBOX、建立基于其的一虚拟机（操作系
统自行选择），并在GNS3中以virtualBOX guest的形式集成到模拟网络中。

4、研究.net文件（网络拓扑配置）中典型命令参数含义及内容组织的形式。

实验二VLAN
【实验目的】
1. 加深理解VLAN组网技术
2. 掌握cisco交换机的基本操作命令
3. 掌握VLAN的创建、VLAN中继的配置方法
4. 掌握VLAN间路由典型的配置方法
5. 学会在交换机上创建管理节点的方法
【主要配置命令】
（一）交换机上主要VLAN配置、验证命令
vlan参数创建一个指定编号的vlan
name参数对当前的vlan命名（改名）
interface参数进入指定接口配置模式
switchport mode access将当前接口的VLAN管理模式，设置为接入模式
switchport access vlan 参数将当前接口划分到指定的vlan中
switchport mode trunk将当前接口的VLAN管理模式，设置为中继模式
switchport trunk nativie vlan 参数设置当前接口的本征vlan属性（对中继接口有效）switchport trunk allowed vlan参数设置当前接口能中继的vlan列表(对中继接口有效）
interface vlan 参数在指定的vlan上创建一个逻辑节点（接口），有两个身份，名字为VLAN加上的所在vlan的编号。

作为逻辑节点，它有自己的MAC地址、IP地址（需要设置），可以跟其它节点通信，通常用于网络管理；作为接口，用于内部配置，对于三层交换机可作为路由接口用。

Show vlan brief 以简表形式显示设备内所划分的vlan
Show interfaces参数switchport显示指定接口的有关vlan方面的配置属性值
Show interfaces trunk 显示当前的设备中的中继接口
（二）路由器上子接口的创建、VLAN协议封装命令
interface参数1.参数2创建或进入指定路由器接口的某个子接口，参数1为某个物
理接口的名称，参数2为子接口号
encapsulation dot1q 参数指定当前子接口使用中继协议802.1q通信、指定该接口
所属的vlan
（三）已经学过的基本配置命令（适用于路由器、交换机）
no参数表取消某操作命令，后面的参数为前面某次所执行过的命令行
configure terminal进入终端配置模式
copy running-config startup-config把内存中的配置文件保存到NVRAM 中
enable进入特权模式
exit由当前模式退出到上层模式
end退出到特权模式
hostname设置主机的名字
interface参数进入指定路由器接口配置模式
ip address 参数表设置接口的ip地址
no shutdown激活网络接口
show running-config显示内存中的配置文件
show interfaces 参数显示接口的信息
ip route 参数表添加静态路由
show ip route查看路由表
ping 参数网络连通测试，参数为目标节点
traceroute 参数路由跟踪测试（对于windows主机命令为tracert），参数为目标节点
【设计任务】
在仿真器中实现如下拓扑网络设计, 并完成连通测试。

其中：
R1为路由器、S1与S2为二层交换机、S0为三层交换机、P1-P4为PC机、NMW为网管工作站。

【设计要求】
1、需要建立三个VLAN如下：
vlan 99 management & control（管理VLAN、本征VLAN）
vlan 2 staff （员工VLAN）
vlan 3 students（学员VLAN）
2、交换机网管IP地址
交换机S1网管IP：192.168.99.1/24
交换机S2网管IP：192.168.99.2/24
3、网管工作站能对交换机S1、S2进行远程管理
4、先采用单臂路由技术，实现VLAN间的设备可以互相访问
5、再采用三层交换技术，实现VLAN间的设备可以互相访问
6、将具体的配置步骤、验证结果（有关的show命令与显示内容）、测试数据
（ping测试或tracert测试）记入实验报告中；对有关问题进行相应的分析或探讨，并记录到实验报告中。

【实验步骤】
1、分析拓扑图
2、在仿真器中画出网络拓扑图
3、完成主机端网络参数配置
主机名、接口ip地址、子网掩码、网关
4、VLAN、VLAN中继配置、验证与测试
[I]S1上的配置
（1）给设备命名
在全局配置模式下：
hostname s1
（2）创建VLAN 2、划分成员接口、验证配置
在全局配置模式下：
vlan 2
name staff
exit
interface f0/2
switchport mode access
switchport access vlan 2
end
show vlan brief
show interface f0/2 switchport
（3）创建VLAN 3、划分成员接口、验证配置
（4）创建VLAN 99、划分成员接口、验证配置
（5）配置中继接口F0/1（管理方式、本征VLAN、所属VLAN）在全局配置模式下：
interface f0/1
switchport mode trunk
switchport trunk natitive vlan 99
switchport trunk allowed vlan 2, 3, 99
（6）验证中继配置
在特权模式下：
show interfaces trunk
show interface f0/1 switchport
[II]S0上的配置
（1）给设备命名
（2）创建VLAN 2
（3）创建VLAN 3
（4）创建VLAN 99、验证配置
（5）配置中继接口F0/1（管理方式、本征VLAN、所属VLAN）
（6）配置中继接口F0/2（管理方式、本征VLAN、所属VLAN）
（7）验证中继配置
[III]S2上的配置
（1）给设备命名
（2）创建VLAN 2、划分成员接口、验证配置
（3）创建VLAN 3、划分成员接口、验证配置
（4）创建VLAN 99
（5）配置中继接口F0/1（管理方式、本征VLAN、所属VLAN）（6）验证中继配置
5、网管节点建立于测试
[I]S1上的配置
（1）创建逻辑接口VLAN99、配置IP地址、激活接口
在全局配置模式下：
interface vlan 99
ip address 192.168.99.1 255.255.255.0
no shutdown
（2）配置缺省网关
在全局配置模式下：
ip default-gateway 192.168.99.254
（3）配置远程访问终端（支持telnet访问）
在全局配置模式下：
Line vty 0 15//创建16个远程访问终端
Password 123456//设定远程登录口令
privilege level 15 //设定管理权限，15为管理员级
transport input telnet//设定远程登录可以使用的协议
login //指定远程登录时，需要核对口令
[II]S2上的配置
（1）创建逻辑接口VLAN99、配置IP地址、激活接口
（2）*配置缺省网关
（3）配置远程访问终端（支持telnet访问）
在全局配置模式下：
创建2个远程访问终端
设定远程登录口令为abc
设定管理权限为管理员级
设定远程登录可以使用的协议为telnet
指定远程登录时，需要核对口令
[III]在nmw上进行访问测试
（1）使用telnet工具，登录到S1，登录口令为123456
（2）使用telnet工具，登录到S2
6、单臂路由方案的实施
[I]S0上的设置
（3）将接口F0/3设置成中继模式
（4）设置该口相应的本征vlan属性
（5）设置该口相应的所属vlan列表属性
（6）验证中继配置
[II]R1上的设置
（1）给设备命名
（2）创建子接口f0/0.2、设置ip、指定中继协议802.1q和vlanID；
在全局配置模式下：
interface f0/0.2
ip address 192.168.2.254 255.255.255.0
encapsulation dot1q 2
no shutdown
（3）创建子接口f0/0.3、设置ip、指定中继协议802.1q和vlanID；（4）创建子接口f0/0.99、设置ip、指定中继协议802.1q和vlanID；（5）激活接口f0/0
（6）显示路由表
在特权模式下：
show ip route
[III]访问测试
例：从主机P3到主机P2作ping测试或路由跟踪测试
7、基于三层交换路由方案实施
[I]R1上的设置
关闭接口f0/0(避免影响)
[II]S0上的设置
（1）创建逻辑接口VLAN2、设置ip；
在全局配置模式下：
interface vlan 2
ip address 192.168.2.254 255.255.255.0
no shutdown
（2）创建逻辑接口VLAN3、设置ip；
（3）创建逻辑接口VLAN99、设置ip；
（4）显示路由表
（5）显示配置文件
[III]访问测试
例：从主机P3到主机P2作ping测试；
例：从网管工作站nmw到主机P2作路由跟踪测试
实验三DNS、DHCP组网技术
【实验目的】
1．学习与掌握DNS组网技术
2．学习与掌握DHCP组网技术
【实验环境】
实验分组进行
1. 微机4台
2. Quidway交换机2台(Quidway S2116、S3000或S3900)
3. Quidway路由器2台（Quidway AR28-11或AR28-31）
4. console线缆1根
【设计任务】
设计并实现一个多网段互联的网络；整个网络有自己域名，对全网提供DNS 服务、DHCP服务；普通主机采用动态ip分配方案。

【设计要求】
1. 利用所提供的设备组建一个由两个网段（或以上）互联的网络
2．DNS服务器1台，为整个网络主机提供域名解析服务
3. DHCP服务器1台，为整个网络主机提供动态i p分配服务（DNS、DHCP
服务器除外）
4. 1台FTP服务器，采用dchp ip预留技术
5. 在主要的通信节点之间，做ping、路由跟踪、ftp访问测试
6. 完成实验报告
（1）给出设计图
（2）给出ip规划（网段ip分配、节点ip分配）
（3）给出给路由器主要的配置命令、最终的路由表信息
（4）给出几条测试数据，并进行分析
【实验步骤】
1.分析需求，给出网络拓扑
2.规划ip网段并分配ip地址，并在图纸进行标注
3.在实验室，按网络拓扑图组网
4.完成各主机节点的ip配置（包括路由器接口）
5.完成各路由器接口的ip配置，
若设计中使用了多台路由器，还需完成静态路由或动态路由的配置
6.分别安装DNS、FTP服务器
7.完成DNS服务器的配置，并进行测试
8.安装DHCP服务器
9.完成DHCP服务器的配置，并进行测试
10.完成DHCP 中继的配置，并进行测试
11.进行综合测试，并记录测试数据
实验四ACL 、NAT
【实验任务一】标准ACL
1.实验目的
（1）掌握ACL 设计原则和工作过程
（2）掌握定义标准ACL
（3）掌握应用ACL
（4）掌握标准ACL 调试
2.实验内容及要求
实验拓扑如图如下：
本实验拒绝PC2 所在网段访问路由器R2,同时只允许主机PC3 访问路由器R2 的TELNET 服务。

整个网络配置EIGRP（或OSPF）保证IP 的连通性。

3.实验步骤
（1）步骤1：配置路由器R1
（2）步骤2：配置路由器R2
（3）步骤3：配置路由器R3
【技术要点】
（1）ACL 定义好，可以在很多地方应用，接口上应用只是其中之一，其它的常用应用
包括在route map 中的match 应用和在vty 下用“access-class”命令调用，
来控制telnet 的访问；
（2）访问控制列表表项的检查按自上而下的顺序进行，并且从第一个表项开始，所以
必须考虑在访问控制列表中定义语句的次序；
（3）路由器不对自身产生的IP 数据包进行过滤；
（4）访问控制列表最后一条是隐含的拒绝所有；
（5）每一个路由器接口的每一个方向，每一种协议只能应用一个ACL；
（6）“access-class”命令只对标准ACL 有效。

4.实验调试
在PC1 网络所在的主机上ping 2.2.2.2，应该通，在PC2 网络所在的主机上ping
2.2.2.2，应该不通，在主机PC3 上TELNET 2.2.2.2，应该成功。

（1）show ip access-lists
该命令用来查看所定义的IP 访问控制列表。

......
以上输出表明路由器R2 上定义的标准访问控制列表为“1”和“2”，括号中的数字表示
匹配条件的数据包的个数，可以用“clear access-list counters”将访问控制列表计数
器清零。

（2）show ip interface
......
以上输出表明在接口s0/0/0 的入方向应用了访问控制列表1。

【实验任务二】扩展ACL
1.实验目的
（1）掌握定义扩展ACL
（2）掌握应用扩展ACL
（3）掌握扩展ACL 调试
2. 实验内容及要求
实验拓扑图同实验任务一。

本实验要求只允许PC2 所在网段的主机访问路由器R2 的WWW 和TELNET 服务，并拒绝PC3 所在网段PING 路由器R2。

删除实验1 中定义的ACL，保留EIGRP（或OSPF）的配置。

3.实验步骤
（1）步骤1：配置路由器R1
（2）步骤2：配置路由器R2
（3）步骤3：配置路由器R3
【技术要点】
（1）参数“log”会生成相应的日志信息，用来记录经过ACL 入口的数据包的情况；（2）尽量考虑将扩展的访问控制列表放在靠近过滤源的位置上，这样创建的过滤器就
不会反过来影响其它接口上的数据流。

另外，尽量使标准的访问控制列表靠近目的，由于标准访问控制列表只使用源地址，如果将其靠近源会阻止数据包流向其他端口。

4.实验调试
（1）分别在PC2 上访问路由器R2 的TELNET 和WWW 服务，然后查看访问控制列表10 0：
（2）在PC3 所在网段的主机ping 路由器R2, 路由器R3 会出现下面的日志信息：
*Feb 25 17:35:46.383: %SEC-6-IPACCESSLOGDP: list 101 denied icmp 172.16.3.1 -> 2.2.2.2 (0/0), 1 packet
*Feb 25 17:41:08.959: %SEC-6-IPACCESSLOGDP: list 101 denied icmp 172.16.3.1 -> 2.2.2.2 (0/0), 4 packets
*Feb 25 17:42:46.919: %SEC-6-IPACCESSLOGDP: list 101 denied icmp 172.16.3.1 ->
192.168.12.2 (0/0), 1 packet
*Feb 25 17:42:56.803: %SEC-6-IPACCESSLOGDP: list 101 denied icmp 172.16.3.1 -> 192.168.23.2 (0/0), 1 packet
以上输出说明在访问控制列表101 在有匹配数据包的时候，系统作了日志。

（3）在路由器R3 上查看访问控制列表101：
【实验任务三】静态NAT 配置
1.实验目的
（1）掌握静态NAT 的特征
（2）掌握静态NAT 基本配置和调试
2.实验内容及要求
实验拓扑图:
配置路由器R1 提供NAT 服务，要求采用静态NAT方法。

3.实验步骤
步骤1：配置路由器R1 提供NAT 服务
（1）配置静态NAT 映射
（2）配置NAT 内部接口
（3）配置NAT 外部接口
步骤2：配置路由器R2
4.实验调试
（1）debug ip nat
该命令可以查看地址翻译的过程。

在PC1 和PC2 上Ping 2.2.2.2（路由器R2 的环回接口），此时应该是通的，路由器R1 的输出信息如下：
R1#debug ip nat
*Mar 4 02:02:12.779: NAT*: s=192.168.1.1->202.96.1.3, d=2.2.2.2 [20240]
*Mar 4 02:02:12.791: NAT*: s=2.2.2.2, d=202.96.1.3->192.168.1.1 [14435]
......
*Mar 4 02:02:25.563: NAT*: s=192.168.1.2->202.96.1.4, d=2.2.2.2 [25]
*Mar 4 02:02:25.579: NAT*: s=2.2.2.2, d=202.96.1.4->192.168.1.2 [25]
......
以上输出表明了NAT 的转换过程。

首先把私有地址“192.168.1.1”和“192.168.1.2”
分别转换成公网地址“202.96.1.3”和“202.96.1.4”访问地址“2.2.2.2”，然后回来的时
候把公网地址“202.96.1.3”和“202.96.1.4”分别转换成私有地址“192.168.1.1”和“192.168.1.2”。

（2）show ip nat translations
该命令用来查看NAT 表。

静态映射时，NAT 表一直存在。

R1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 202.96.1.3 192.168.1.1 --- ---
--- 202.96.1.4 192.168.1.2 --- ---
以上输出表明了内部全局地址和内部局部地址的对应关系。

【术语】
①内部局部（inside local）地址：在内部网络使用的地址，往往是RFC1918 地址；
②内部全局（inside global）地址：用来代替一个或多个本地IP 地址的、对外的、
向NIC 注册过的地址；
③外部局部（outside local）地址：一个外部主机相对于内部网络所用的IP 地址。

不一定是合法的地址；
④外部全局（outside global）地址：外部网络主机的合法IP 地址。

【实验任务四】动态NAT
1.实验目的
（1）掌握动态NAT 的特征
（2）掌握动态NAT 配置和调试
2.实验内容及要求
实验拓扑图同实验任务三。

配置路由器R1 提供NAT 服务，要求采用动态NAT方法。

3.实验步骤
配置路由器R1 提供NAT 服务
（1）配置动态NAT 转换的地址池
（2）配置动态NAT 映射
（3）允许动态NAT 转换的内部地址范围
4.实验调试
在PC1 上访问2.2.2.2（路由器R2 的环回接口）的WWW 服务，在PC2 上分别telnet 和ping 2.2.2.2（路由器R2 的环回接口），调试结果如下：
（1）debug ip nat
R1#debug ip nat
IP NAT debugging is on
R1#clear ip nat translation * //清除动态NAT 表
*Mar 4 01:34:23.075: NAT*: s=192.168.1.1->202.96.1.4, d=2.2.2.2 [19833]
*Mar 4 01:34:23.087: NAT*: s=2.2.2.2, d=202.96.1.4->192.168.1.1 [62333]
......
*Mar 4 01:28:49.867: NAT*: s=192.168.1.2->202.96.1.3, d=2.2.2.2 [62864]
*Mar 4 01:28:49.875: NAT*: s=2.2.2.2, d=202.96.1.3->192.168.1.2 [54062]
......
【提示】
如果动态NAT 地址池中没有足够的地址作动态映射，则会出现类似下面的信息，提示NAT 转换失败，并丢弃数据包。

*Feb 22 09:02:59.075: NAT: translation failed (A), dropping packet s=192.168.1.2 d=2.2.2.2 （2）show ip nat translations
R1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 202.96.1.4:1721 192.168.1.1:1721 2.2.2.2:80 2.2.2.2:80
--- 202.96.1.4 192.168.1.1 --- ---
icmp 202.96.1.3:3 192.168.1.2:3 2.2.2.2:3 2.2.2.2:3
tcp 202.96.1.3:14347 192.168.1.2:14347 2.2.2.2:23 2.2.2.2:23
--- 202.96.1.3 192.168.1.2 --- ---
以上信息表明当PC1 和PC2 第一次访问“2.2.2.2”地址的时候,NAT 路由器R1 为主机PC1 和PC2 动态分配两个全局地址“202.96.1.4”和“202.96.1.3”，在NAT 表表中生成两条动态映射的记录，同时会在NAT 表中生成和应用向对应的协议和端口号的记录（过期时间
为60 秒）。

在动态映射没有过期（过期时间为86400 秒）之前，再有应用从相同主机发起时，NAT 路由器直接查NAT 表,然后为应用分配相应的端口号。

（3）show ip nat statistics
该命令用来查看NAT 转换的统计信息。

R1#show ip nat statistics
Total active translations: 5 (0 static, 5 dynamic; 3 extended)
//有5 个转换是动态转化，
Outside interfaces:
Serial0/0/0
//NAT 外部接口
Inside interfaces:
GigabitEthernet0/0
//NAT 内部接口
Hits: 54 Misses: 6
CEF Translated packets: 60, CEF Punted packets: 5
Expired translations: 12 //NA T 表中过期的转换
Dynamic mappings: //动态映射
-- Inside Source
[Id: 1] access-list 1 pool NA T refcount 2
pool NA T: netmask 255.255.255.0 //地址池名字和掩码
start 202.96.1.3 end 202.96.1.100 //地址池范围
type generic, total addresses 98, allocated 2 (2%), misses 0
//共98 个地址，分出去2 个
Queued Packets: 0
【实验任务五】PAT 配置
1.实验目的
（1）掌握PAT 的特征
（2）掌握overload 的使用
（3）掌握PAT 配置和调试
2.实验内容及要求
实验拓扑图同实验任务三。

配置路由器R1 提供NAT 服务，要求采用PAT方法。

3.实验步骤
（1）配置地址池
（2）配置PAT
（3）配置访问控制列表
（4）配置接口NAT
4.实验调试
在PC1 上访问2.2.2.2（路由器R2 的环回接口）的WWW 服务，在PC2 上分别telnet 和ping 2.2.2.2（路由器R2 的环回接口），调试结果如下：
（1）debug ip nat
*Mar 4 01:53:47.983: NAT*: s=192.168.1.1->202.96.1.3, d=2.2.2.2 [20056]
*Mar 4 01:53:47.995: NAT*: s=2.2.2.2, d=202.96.1.3->192.168.1.1 [46201]
......
*Mar 4 01:54:03.015: NAT*: s=192.168.1.2->202.96.1.3, d=2.2.2.2 [20787]
*Mar 4 01:54:03.219: NAT*: s=2.2.2.2, d=202.96.1.3->192.168.1.2 [12049]
......
（2）show ip nat translations
R1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 202.96.1.3:1732 192.168.1.1:1732 2.2.2.2:80 2.2.2.2:80
icmp 202.96.1.3:4 192.168.1.2:4 2.2.2.2:4 2.2.2.2:4
tcp 202.96.1.3:12320 192.168.1.2:12320 2.2.2.2:23 2.2.2.2:23
以上输出表明进行PAT 转换使用的是同一个IP 地址的不同端口号。

（3）show ip nat statistics
Total active translations: 3 (0 static, 3 dynamic; 3 extended)
Outside interfaces:
Serial0/0/0
Inside interfaces:
GigabitEthernet0/0
Hits: 762 Misses: 22
CEF Translated packets: 760, CEF Punted packets: 47
Expired translations: 19
Dynamic mappings:
-- Inside Source
[Id: 2] access-list 1 pool NA T refcount 3
pool NA T: netmask 255.255.255.0
start 202.96.1.3 end 202.96.1.100
type generic, total addresses 98, allocated 1 (1%), misses 0
Queued Packets: 0
【提示】
动态NAT 的过期时间是86400 秒，PAT 的过期时间是60 秒，通过命令“show ip nat translations verbose”可以查看。

也可以通过下面的命令来修改超时时间：
R1(config)#ip nat translation timeout timeout
参数timeout 的范围是0-2147483。

如果主机的数量不是很多, 可以直接使用outside 接口地址配置PAT，不必定义地址池，命令如下：
R1(config)#ip nat inside source list 1 interface s0/0/0 overload
实验五SNMP网络管理
【实验目的】
1．学习与掌握SNMP基本原理
2．熟悉snmp网络管理工具
3. 掌握snmp网管应用技术
【实验环境】
实验分组进行
1.每组4~5微机，每人1机
2.每组设备（机柜内）：
共4台（华为）交换机、4台（华为）路由器（由下至上编号依次为0~7），其中：
Quidway S2116交换机2台，S3000交换机1台，S3900交换机1台；
Quidway AR28-11路由器3台，AR28-31路由器1台;
3.每组1根console线缆
4.操作系统：Windows Server 2003
5.网络管理工具：
（1）Quidview
（2）Solarwinds
【基本原理】
SNMP（Simple Network ManagementProtocol）即简单网络管理协议，它为网络管理系统提供了底层网络管理的框架。

SNMP协议的应用范围非常广泛，诸多种类的网络设备、软件和系统中都有所采用，主要是因为SNMP协议有如下几个特点：
首先，相对于其它种类的网络管理体系或管理协议而言，SNMP易于实现。

SNMP的管理协议、MIB及其它相关的体系框架能够在各种不同类型的设备上运行，包括低档的个人电脑到高档的大型主机、服务器、及路由器、交换器等网络设备。

一个SNMP管理代理组件在运行时不需要很大的内存空间，因此也就不需要太强的计算能力。

SNMP协议一般可以在目标系统中快速开发出来，所以它很容易在面市的新产品或升级的老产品中出现。

尽管SNMP协议缺少其它网络管理协议的某些优点，但它设计简单、扩展灵活、易于使用，这些特点大大弥补了SNMP 协议应用中的其他不足。

其次，SNMP协议是开放的免费产品。

只有经过IETF的标准议程批准（IETF 是IAB下设的一个组织），才可以改动SNMP协议；厂商们也可以私下改动SNMP 协议，但这样作的结果很可能得不偿失，因为他们必须说服其他厂商和用户支持他们对SNMP协议的非标准改进，而这样做却有悖于他们的初衷。

第三，SNMP协议有很多详细的文档资料（例如RFC，以及其它的一些文章、说明书等），网络业界对这个协议也有着较深入的理解，这些都是SNMP协议近
一步发展和改进的基础。

最后，SNMP协议可用于控制各种设备。

比如说电话系统、环境控制设备，以及其它可接入网络且需要控制的设备等，这些非传统装备都可以使用SNMP协议。

正是由于有了上述这些特点，SNMP协议已经被认为是网络设备厂商、应用软件开发者及终端用户的首选管理协议。

SNMP是一种无连接协议，无连接的意思是它不支持象TELNET或FTP这种专门的连接。

通过使用请求报文和返回响应的方式，SNMP在管理代理和管理员之间传送信息。

这种机制减轻了管理代理的负担，它不必要非得支持其它协议及基于连接模式的处理过程。

因此，SNMP协议提供了一种独有的机制来处理可靠性和故障检测方面的问题。

另外，网络管理系统通常安装在一个比较大的网络环境中，其中包括大量的不同种类的网络和网络设备。

因此，为划分管理职责，应该把整个网络分成若干个用户分区，可以把满足以下条件的网络设备归为同一个SNMP分区：它们可以提供用于实现分区所需要的安全性方面的分界线。

SNMP协议支持这种基于分区名（communitystring）信息的安全模型，可以通过物理方式把它添加到选定的分区内的每个网络设备上。

目前SNMP协议中基于分区的身份验证模型被认是为很不牢靠的，它存在一个严重的安全问题。

主要原因是SNMP协议并不提供加密功能，也不保证在SNMP数据包交换过程中不能从网络中直接拷贝分区信息。

只需使用一个数据包捕获工具就可把整个SNMP数据包解密，这样分区名就暴露无遗。

因为这个原因，大多数站点禁止管理代理设备的设置操作。

但这样做有一个副作用，这样一来只能监控数据对象的值而不能改动它们，限制了SNMP协议的可用性。

SNMP的命令和报文
SNMP协议定义了数据包的格式，及网络管理员和管理代理之间的信息交换，它还控制着管理代理的MIB数据对象。

因此，可用于处理管理代理定义的各种任务。

SNMP协议之所以易于使用，这是因为它对外提供了三种用于控制MIB对象的基本操作命令。

它们是：Set 、Get 和 Trap ：
Set：它是一个特权命令，因为可以通过它来改动设备的配置或控制设备的运转状态。

Get：它是SNMP协议中使用率最高的一个命令，因为该命令是从网络设备中获得管理信息的基本方式。

Trap：它的功能就是在网络管理系统没有明确要求的前提下，由管理代理通知网络管理系统有一些特别的情况或问题发生了。

SNMP协议也定义了执行以上三个命令时的报文流，但它没有定义其它的设备管理代理命令，可应用于MIB数据对象的操作只有Set和Get命令，这两个命令的目标是数据对象的值。

比如说，SNMP协议中没有定义reboot（重启）命令；然而，管理代理软件把MIB数据对象和设备的内部命令联系起来，这样就可以实现某些特殊的命令操作。

如果现在想要重启某个设备，管理系统就把某个与重启有关的MIB数据对象的值设为1（我们的假定）。

这样就会触发管理代理执行重新启动设备的命令，同时还把这个MIB数据对象重新设置为原来的状态。

一条SNMP报文由三个部分组成：版本域（version field），分区域（community field）和SNMP协议数据单元域（SNMP protocol data unit field），数据包的长度不是固定的。