网络设备管理与维护项目教程-项目4

任务1 广域网协议封装
训练3 PPP协议的CHAP验证
【应用环境】 日新公司公司总部与分部之间通过广域网的专线接
入，采用PPP协议封装，基于安全的考虑，需要路由器 双方经过验证后才能建立连接。CHAP验证是基于MD5加 密的验证方式，相对于PAP的明文验证，安全性更高。
任务1 广域网协议封装
训练3 PPP协议的CHAP验证
任务2 访问控制列表ACL
训练1 采用标准访问控制列表进行流量的控制
【应用环境】 日新公司的财务部有台计算机上存放着公司重要的财务数据，
为了保障信息安全，禁止除行政部以外的其他部门访问，因此需 要采用标准访问控制列表来限制其他部门对该计算机的访问。
任务2 访问控制列表ACL
训练1 采用标准访问控制列表进行流量的控制 【拓扑图】
任务2 访问控制列表ACL
训练1 采用标准访问控制列表进行流量的控制
【关键步骤】
1 、在二层交换机Switch1上创建vlan，并将各接口划入相应 vlan。
2、开启三层交换机RSW1的路由功能，创建各Vlan及其网关。
RSW1 (config)#interface vlan 10 RSW1 (config-if)#ip address 192.168.1.254 255.255.255.0 //配置vlan10的网关 RSW1 (config)#interface vlan 20 RSW1 (config-if)#ip address 192.168.2.254 255.255.255.0 //配置vlan20的网关 RSW1 (config)#interface vlan 30 RSW1 (config-if)#ip add 192.168.3.254 255.255.255.0 //配置vlan30的网关
R2(config)#int s0/0/1 R2(config)#clock rate 64000 R2(config-if)# ip address 172.16.1.2 255.255.255.0
任务1 路由器和三层交换机的配置
训练1 HDLC和PPP协议封装
【关键步骤】 3、路由器 R1 上查看配置接口s0/0/1的封装协议
//封装PPP协议
R1(config-if)#ppp pap sent-username R1 password 123456
//设置PAP认证的用户名和密码
任务1 广域网协议封装
训练2 PPP协议的PAP验证
2、 认证方R2封装PPP协议，设置PAP验证方式，添加要
验证的用户名和密码
R2 (config)#int s0/0/1
是对方的主机名； 3、R2(config)#username R1 password 123456 //username后面的参数
是对方的主机名； 4、如果不用对方设备的主机名做用户名，可以使用以下命令
R2(config-if)#ppp chap hostname 用户名 5、两个路由器设置的密码一定要相同。 6、在接口下封装ppp协议；
//封装PPP协议
R2(config-if)#ppp authentication chap //设置chap验证方式
任务1 广域网协议封装
训练3 PPP协议的CHAP验证
【训练小结】：
1、在DCE端要配置时钟； 2、R1(config)#username R2 password 123456 //username后面的参数
任务1主要内容
1 任务1 广域网协议封装
训练1 HDLC和PPP协议封装 训练2 PPP协议的PAP验证 训练3 PPP协议的CHAP验证
任务1 广域网协议封装
训练1 HDLC和PPP协议封装
【应用环境】 日新公司总部和分公司之间或与异地的互连通
常要经过第三方的网络，比如网通、电信等等，这 需要涉及到广域网。通常需要申请一条广域网专线 进行连接，作为公司的网络管理员, 需要了解公司 网络设备的广域网接口所支持的协议，以确定选择 哪种广域网链路。
R2(config)#username R1 password 123456 //添加用户名和密码
3、查看R1接口配置
任务1 广域网协议封装
训练2 PPP协议的PAP验证
3、查看R1接口配置 R1#show interface s0/0/1
//查看接口状态
4、测试连通性 R1#ping 200.1.1.2
任务1 广域网协议封装
训练2 PPP协议的PAP验证
【训练小结】： PAP认证是PPP协议中的明文认证，在认证中，发
送用户名和密码的一方为被认证方，而添加用户和密 码的一方为认证方。
任务1 广域网协议封装
训练2 PPP协议的PAP验证
【拓展练习】 1、用OSPF路由协议实现全网互通。
2、R1与R2之间采用PPP协议封装，并采用PAP验证方 式。R2为服务器端，验证码为cisco。
R2 (config)#clock rate 64000
//DCE端设置时钟频率
R2(config-if)#ip address 200.1.1.2 255.255.255.0
R2(config-if)#encapsulation ppp
//封装PPP协议
R2(config-if)#ppp authentication pap //设置PAP验证方式
R1(config-if)#encapsulation ppp
//封装PPP协议
R1(config-if)#ppp authentication chap //设置chap验证方式
任务1 广域网协议封装
训练3 PPP协议的CHAP验证
【训练步骤】
2、认证方R2封装PPP协议，设置chap验证方式
R1(config)# username R1 password 123456 //注意用对方的主机
任务1 广域网协议封装
训练1 HDLC和PPP协议封装
【关键步骤】 4、R1和R2串行链路两端的接口改为封装为PPP 封装
R1(config)#int s0/0/1 R1(config-if)#encapsulation ppp R2(config)#int s0/0/1 R2(config-if)#encapsulation ppp
任务1 广域网协议封装
训练2 PPP协议的PAP验证
【关键步骤】
1、R1接口IP配置、封装PPP协议，设置PAP验证的用户
名和密码。
R1(config)#int s0/0/1
R1(config-if)#ip address 200.1.1.1 255.255.255.0
R1(config-if)#encapsulation ppp
任务1 广域网协议封装
训练3 PPP协议的CHAP验证
【拓展练习】
1、用RIP V2版本协议实现全网互通。 2、 R1与R2之间采用PPP协议封装，并采用CHAP验证方式。
任务2 访问控制列表ACL
任务2主要内容
2 任务2 访问控制列表ACL
训练1 采用标准访问控制列表进行流量的控制 训练2 采用扩展访问列表实现应用服务的访问限制
任务2 访问控制列表ACL
训练1 采用标准访问控制列表进行流量的控制
【训练小结】
标准访问控制列表使用粗略的匹配方式，只能匹配一个网段或一 个IP地址，因此在不需要精细控制时使用。 标准访问控制列表的编号范围为1-99。访问控制列表最后有一句 隐含的拒绝所有的语句，因此在一个访问控制列表中，必须有一 句permit语句，否则将拒绝所有数据包通过。访问控制列表必须 应用在接口上才会生效。 由于标准访问控制列表只能用于粗略的控制（只能匹配源IP地 址），因此建议使用在数据包的目的地最近的接口和方向，防止 在中途过滤掉本不应该过滤的数据包。
5、查看端口 封装为PPP协议
任务1 广域网协议封装
训练1 HDLC和PPP协议封装
【训练小结】 广域网通信时要封装协议，路由器串口两端的协议
必须一致，否则无法建立链路。
任务1 广域网协议封装
训练1 HDLC和PPP协议封装
【拓展练习】 根据拓扑，完成以下训练要求： （1）更改路由器名称 （2）正确设置串口，将RA端设置为DCE端。 （3）设置串口IP地址
任务2 访问控制列表ACL
训练1 采用标准访问控制列表进行流量的控制
6、在RSW1上配置标准访问控制列表。
RSW1(config)#access-list 1 permit 192.168.3.0 0.0.0.255 //允许行政部网段 RSW1(config)#access-list 1 deny any //拒绝其他网段访问（该命令默认存在） RSW1(config)#interface vlan 20 //进入vlan20的SVI接口 RSW1(config-if)#ip access-group 1 out /将访问控制列表应用在出方向
名，密码和对方路由器相同
R2 (config)#int s0/0/0
R2 (config)#clock rate 64000
//DCE端设置时钟频率
R2(config-if)#ip address 200.1.1.2 255.255.255.0
R2(config-if)#encapsulation ppp
《网络设备管理与维护项目教பைடு நூலகம்》 — 项目4 企业网络接入Internet
项目4 企业网络接入Internet
1 任务1 广域网协议封装 2 任务2 访问控制列表ACL 3 任务3 局域网接入互联网
项目4 企业网络接入Internet
项目场景
项目4 企业网络接入Internet
项目场景描述
日新公司在前期实现了将跨越不同区域的新 老办公楼宇、厂区之间的网络互联，构建了一个 网络性能优化、保证部门信息安全的中型局域网 络。网络的快捷、高效实现了公司的信息化共享， 提高了数字化的工作流程和工作效率。
任务2 访问控制列表ACL
训练1 采用标准访问控制列表进行流量的控制
7、实验测试，用PC3 ping PC2，再用PC4和PC1 ping PC2。 由于使用了标准访问控制列表，允许行政部网段访问财务部的计算机，因 此PC3 ping PC2通：
但访问控制列表拒绝了其他网段，因此PC4和PC1 ping PC2不通
任务2 访问控制列表ACL
训练1 采用标准访问控制列表进行流量的控制
【关键步骤】
3、将Switch1中两台交换机相连的端口(24口)配置为
trunk模式。
Switch1(config)#interface f0/24
//进入接口模式
Switch1 (config-if)#switchport trunk encapsulation dot1q
随着Internet的飞速发展，仅限于单位内部网 络的信息共享已经不能满足需求，更需要与外部 企业，跨国行业的信息相互连接，享受全方位的 信息服务。这需要将构建的局域网连入互联网 Internet中。日新公司决定总部申请连入 Internet。总分公司之间仍通过专线保持网络互 联。
项目4 企业网络接入Internet
（4）在两个路由器之间做PPP封装，并测试连通 性。
任务1 广域网协议封装
训练2 PPP协议-PAP认证
【应用环境】 日新公司公司总部与分部之间通过广域网的专线 接入，采用PPP协议封装，基于安全的考虑，需要路 由器双方经过验证后才能建立连接。作为公司的网 络管理员，需要熟悉路由器串口PPP协议的PAP验证 的配置
【训练步骤】
1、被认证方R1封装PPP协议,设置chap认证
R1(config)# username R2 password 123456 //注意用对方的主机名，
密码和对方路由器相同
R1(config)#int s0/0/0
R1(config-if)#ip address 200.1.1.1 255.255.255.0
任务1 广域网协议封装
训练1 HDLC和PPP协议封装
【关键步骤】 1、在路由器 R1 上配置接口s0/0/1的 IP 地址
R1(config)#int s0/0/1 R1(config-if)# ip address 172.16.1.1 255.255.255.0
2、路由器 R2 上配置接口s0/0/1的地址
//端口封装为dot1q协议类型
Switch1 (config-if)#switchport mode trunk //将24接口设置为trunk
4、将RSW1中两台交换机相连的端口(24口)配置为trunk模 式。
任务2 访问控制列表ACL
训练1 采用标准访问控制列表进行流量的控制
5. 测试网络连通性 ---配置PC的IP地址（见拓扑图），从PC2设备使用ping命令测试，测试网 络中任意一台PC的连通性。