Wolf网络实验室.docx

1、Wolf网络实验室一、学习从基础开始：小编准备了如何配置路由的实验分享给大家配置静态路由：实验一:在R2和R3上配置静态路由，实现互访R2(config)#ip route 13.1.1.0 255.255.255.0 12.1.1.1 用下一跳R3(config)#ip route 12.1.1.0 255.255.255.0 s1/1ip route 172.16.0.0 255.255.0.0 10.1.1.1 50 修改管理距离ip route 172.16.0.0 255.255.0.0 10.1.1.1 permanent 默认当一条路由下一跳不可达时。此路由就会从路由表删除。加了

2、这个参数就是无论下一跳是否可达。都保留在路由表中。(用这个参数时不能写接口，只能用下一跳)默认路由：默认路由是一条特殊的路由，可以用来代表所有的网络。通常可以在存根网络上只配置默认路由：存根网络是指与外界只有一个输出连接的网络R2(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.1 用下一跳R3(config)#ip route 0.0.0.0 0.0.0.0 s1/1ip classless 在有类路由协议中，如果想使用默认路由，就必须打上这一命令，否则数据包会被丢弃。现已是默认配置二、学习从基础开始：小编今天准备了如何配置浮动路由的实验分享给大家：什么是路由

3、协议：路由协议从工作范围来分类：1、内部路由协议 IGP-工作在自治系统之内2、外部路由协议 EGP-工作在自治系统之外从工作原理分为：1、距离矢量协议 例如：RIP 距离矢量协议通过判断距离查找到达远程网络的最佳路径。数据包每通过一个路由器，称为一跳。使用最少跳数到达目的网络的路由被认为是最佳路由。距离矢量路由协议发送完整的路由表到相邻的路由器，一个传一个，所以被戏称为传言路由。2、链路状态协议 例如：OSPF3、混合型协议 例如：EIGRP还可分为：1、有类协议 RIP-V1、IGRP 通告时不带掩码，在主类边界自动汇总，不以手工汇总2、无类协议 RIP-V2、EIGRP、OSPF有类别的

4、路由查找首先将IP包的目的IP地址与路由表中的主网地址匹配，找到后，然后再匹配主网的子网，如果经过这些步骤找不到匹配的子网路由，数据包将被扔掉，即使路由表中还有默认路由也不会匹配。只有在主网路由也没有的情况下，才会去匹配默认路由。无类别的路由查找会将IP包的目的地址与路由表中的每一条路由逐位进行最佳匹配，找到最匹配的路由，如果没有找到相匹配的，那么也会去匹配默认路由，进行转发。对于RIP-V1和IGRP这样的有类路由协议，也可以通过全局命令ip classless来强制启用无类路由查找配置浮动静态路由：这是一种用来进行路由备份的方法，可以在动态路由发生改变，不再可用的情况下去启用一个备份路径其

5、实就是写一条静态路由，但是将它的管理距离设得比动态路由协议要大，这样平常这条静态路由就不会起作用，一旦动态路由不可用了，消失了，这条静态路由就生效了。实验三：R1与R2之间有两条链路，在R1与R2的E0/0口之间运行RIP，并且将2.2.2.0宣告进RIP，这样R1就可以学到2.2.2.0的路由，R1和R2之间还有一条链路是用s1/0口相连，现在要求在E0/0口down掉之后，R1还能通过S1/0的接口访问2.2.2.0网段R1(config)#ip route 2.2.2.0 255.255.255.0 s1/0 150 只要在R1上设置这样一条静态路由就可以了三、学习从基础开始：小编今天准

6、备了动态路由协议RIP的总结分享给大家：RIP（Routing Information Protocol）RIP协议的特点：1）RIP属于IGP，是Distance-Vector协议。2）RIP是基于UDP的，端口号5203）周期性以广（组）播向邻居发送更新。4）做完整更新，将整个路由表的信息传递给邻居。5）Metric（度量值）只跟跳数有关。6）只支持等价的负载均衡解决DV环路问题：1）Defining a Maximum：16跳。2）Split Horizon：从一个接口收到的路由不再从此接口发出。3）Route Poisoning：将不可达路由直接设成Infinity(16跳）。4）Ho

7、lddown Timers：所有邻居都将此路由“冻结”，如在“冻结”期内该路由恢复，继续采纳该路由如在“冻结”期收到更好的路由，将采纳更好的路由如在“冻结”期收到更差的路由，不采纳该路由5）Triggered Updates：避免周期性更新占用带宽，只有当拓扑变化时才发送更新。RIP的报文类型RIP协议定义了两种消息类型：1、请求消息request2、响应消息response请求消息可以请求整个路由表的信息，也可以仅请求某些特定的路由信息。通常当RIP刚启用时，会向每一个启用的RIP协议的接口发出带有请求消息的数据包。响应消息则用来将路由器的路由发送给其他路由器。通常会周期发送。RIP v1R

8、IP-v1的特点：以广播地址255.255.255.255发送更新。路由在跨越主类网络边界时，会自动汇总成主类网络。不支持VLSM，更新时不携带掩码信息配置：router rip /在路由器上启用RIP协议network 10.0.0.0 /宣告网络，只能主类宣告在CISCO路由器上，运行RIP后，默认即不是V1版也不是V2版，而是一种特殊状态。show ip protocols /查看当前运行的协议Interface Send Recv Serial0/0 1 1 2 （默认） router ripversion 1 /如果你想运行V1版，打上这条命令Interface Send RecvS

9、erial0/0 1 1 （指定v1)debup ip rip /本命令可调试路由更新RIP v2RIP-v2的特点：以组播地址224.0.0.9发送更新。默认情况下路由在跨越主类网络边界时，会自动汇总，但是也可以关闭自动汇总，进行手动汇总RIPv2支持VLSM，更新发送时携带掩码信息。配置：router ripversion 2 /启用V2版Interface Send RecvSerial0 2 2 （指定v2）正常情况下，RIP-V2是发送组播更新，下面这条命令强制让RIP使用广播更新int s0ip rip v2-broadcast /在接口下配置虽然v2携带了掩码信息，但跨越不同网络

10、边界时，默认还是会自动汇总成主类。router ripno auto-summary /通过这一命令可关闭自动汇总RIP在auto-summary时，会将本地及收到的路由都汇总成主类然后发出四、学习从基础开始：小编今天准备了动态路由协议RIP的总结2分享给大家：实现V1和V2版的兼容性int s0ip rip send version 1 /设定接口只发送出V1版的更新ip rip receive version 1 /设定接口只接收V2版的更新ip rip send version 1 2 /设定接口同时发送V1和V2版的更新RIP Timer1）Update （30S）随机变量是更新周期的

11、15%，即4.5S（25.5S-30S)2）Invalid （180S）180S后置为Possible Down，之后立即启动hold Down计时器。3）Hold Down（180S）实际只用到60S4）Flush（240S）240S还没收到路由更新，才将此路由删除。测试Possible Down：1）设置Passive-interface2）中间接SW3）中间是FR4）认证不匹配router riptimers basic 10 20 20 40 /修改四个计时器被动接口在RIP协议中，如果一个接口被设定为被动接口，这个接口将不能向外发送路由更新，不过还可以接收对端发送过来的路由更新。ro

12、uter rippassive-interface s1/0 /将接口设为被动接口，只收不发router rippassive-interface default /将所有接口设为被接口router ripno passive-interface s1/0 /取消一个被动接口debug ip rip五、学习从基础开始：小编今天准备了动态路由协议RIP的总结3分享给大家：路由汇总在RIP中关闭自动汇总后，可以在某一个接口去做手动的汇总。但要注意，汇总出的网络号不能越过主类网络。RIP不支持CIDRR1(config)#int s1/1R1(config-if)#ip summary-addres

13、s rip 172.16.0.0 255.255.0.0（在路由流向的出接口作）RIP中汇总的特点：本地存在有明细路由，才能从做汇总的接口发出汇总路由。直到明细的最后一条路由消失，汇总才会消失。取明细路由的最小metric值水平分割在绝大多数的接口运行RIP，水平分割默认都有是开启的Enable : Ethernet / Serial / BRI /FR子接口（p2p/mp)Disable : FR物理接口 这个接口比较特殊，默认是关闭的int s0no ip split-horizon /本命令在接口下关闭水平分割单播更新默认RIP只发送广播或组播更新包，下面的命令让RIP发出单播包rout

14、er ripneighbor 10.0.0.2偏移列表可以用来增加路由的metric值，需要先用ACL抓出路由access-list 1 permit 2.2.2.0 0.0.0.0router ripoffset-list 1 out 3 ethernet 0/0 /对ACL1所匹配的路由加三点的metric值或：offset-list 0 out 3 ethernet 0/0（0代表对所有路由）RIP v2 Authentication认证技术可以提高网络的安全性，只有互相认证成功的两台合法路由器之间才能传递路由信息。RIP支持两种认证方式：1、明文认证2、md5认证第一步：定义密码库ke

15、y chain R2 /本地有效key 1 /建议两端一致key-string cisco可以定义多个KEY值，按从小到大的顺序进行匹配，发送KEY值时也是发送最小的一个，还可以设定KEY值的有效时间。第二步：在接口下应用密码库int s0ip rip authentication key-chain R2第三步：在接口下指定认证模式int s0ip rip authentication mode md5|text R1#show key chain R1#debug ip rip 小知识：RIP中每一个路由更新报文最大可包含25条路由,做了明文认证后只能包含24条，做了MD5认证后只能包含2

16、3条。R2(config-keychain-key)#Accept-lifetime 04:00:00 jan 2006 infinite 定时接收R2(config-keychain-key)#Send-lifetime 04:00:00 jan 2006 04:01:00 jan 2006 定时发送R2(config-keychain-key)#Send-lifetime 04:00:00 jan 2006 duration 300 有效期300S注意：密码库中可以同时定义多个密码，在匹配时要按规则来匹配，明文认证和md5认证的匹配规则各不一样，明天继续！六、学习从基础开始：小编今天准备了

17、动态路由协议RIP的总结4分享给大家：明文认证总结：只发送KEY ID最小的KEY，并不携带KEY ID，接收方与KEY列表中所有的KEY匹配，只要有一个能匹配上则通过认证密文认证总结：只发送最小的KEY ID，并且携带KEY ID。当接收到时，先只匹配相同KEY ID密钥，如果不匹配，则通不过认证。但如果没有相同KEY ID，只向下查找一次大的KEY ID密钥，如果有相同的KEY ID，但不匹配也不通过认证，如果仍然没有不是相同的KEY ID则也不通过认证Triggered周期更新：路由器周期性的向外发送出自已的路由更新触发更新：路由器平时不会周期性的发送路由更新，只会在拓朴改变的情况下（也

18、就是路由变化了），才会向外发送出路由更新。RIP默认只做周期更新，通过以下命令，可以实现触发更新。使用触发更新后：路由器不再周期发更新，只触发更新。计时器会自动变成Timers basic 30 180 0 240只能打在低速点对点链路上,E0口是不能打的int s0ip rip triggered （E0/Lo0不支持）（两端都配）debug ip ripRIP区域生成默认路由为了让一个网络中的路由器都能自动获得默认路由，从而可以访问外部网络，我们可以利用路由协议来自动下发默认路由。1）Redistribute Static：ip route 0.0.0.0 0.0.0.0 serial 0

19、router ripredistribute static 2）Network 0.0.0.0：ip route 0.0.0.0 0.0.0.0 serial 0（写下一跳不行）router ripnetwork 0.0.0.03）default-information originate：router ripdefault-information originate4）default-network：ip default-network 12.0.0.0（写成主类）#如写成ip default-network 12.1.1.0就不行负载均衡负载均衡指的是将去往一个特定目的地的多条路由同时放进

20、路由表，用来做流量的转发。负载均衡有两种：1、等价负载均衡-将metric值相等的路由同时放入路由表用来做流量转发。2、不等价负载均衡-将metric值不相等的路由也同时放入路由表用来做流量转发。RIP只支持等价的负载均衡。也就是说用来做负载均衡的路由metric必须一致。默认RIP只支持四条路径的负载均衡，在新的IOS中可以通过命令修改为最多16条router ripmaximum-paths 2 /最多16条show ip protocols /可以用来查看rip暂时分享到这里！七、学习从基础开始：小编今天准备了终端服务器配置实例1分享给大家：常用指令SH SESSSH LINSH USE

21、RSH LIN XXXYPLEX- MRV - ELITE - DIGI带外网络管理与带内网络管理的区别节省资源随路信令. 共路信令使用终端访问服务器的优点1.不使用终端服务器来访问路由器的中心点。为便于管理，每个路由器需要一个单独的调制解调器连接2.使用终端服务器来访问所有的设备。管理所有的设备只需要一条模拟线路和一台调制解调器，这种特点不仅简化了网络管理，而且还削减了投资成本如何配置路由器.使其可以被TELNET1. 先使其PING通1.1 如在一个网段里, 保证两个IP地址在同一个最长的子网掩码中.Int e0Ip add 1.1.1.1 255.255.255.0No shu1.2如不

22、在同一个网段中.确保源及目标必须有可达性路由.如是主机.确保配置有网关: 可以是本地IP, 也可以是路由器的接口A ping B 通B PING A 不通2. 在路由器上做如下配置2.1 conf t2.21 enable pass ciscoline v 0 4login pass cisco 2 Ena pass ciscolin v 0 4No login3. lin v 0 4LoginPass cisco 对所有用户设置密码Privi level 154 lin v 0 4No loginPrivi level 155 Ena pass ciscoUsername ciscopass

23、 ciscolin v 0 4login local 对某个具体用户设置密码.6 Username ciscoprivilege 15 pass ciscolin v 0 4loginlocal 对某个具体用户设置密码.7 LIN V 0 4login tacacstacacs-server host 192.168.3.171AAA NEW-MODELAAA AUTHE.3 测试: 开始/运行/TELNET 1.1.1.1 开始/运行/CMD/ TELNET 1.1.1.1 CRT 超级终端 其他仿真终端.注: 可以TELNET本地路由器地址.此方法经常用于测试 TELNET时如何隐藏主机地

24、址servicehide-telnet-addresses TELNET 1.1.1.1/ SOURCE-INTERFACE LO0ip telnet source-interface lo0 不允许其他人TELNET ACCE 1 PER 1.1.1.1LIN V 0 4ACCESS-CLASS 1 IN安全级别: CON 不需要任何PASSWORD AUX 至少要ENA PASSWORD TELNET 至少一个密码: ENA PASS ,如果没有:NO LOGIN .还需要一个PASS八、学习从基础开始：小编今天准备了终端服务器配置实例2分享给大家：基本终端服务器配置INT LO0IP A

25、DD 1.1.1.1255.255.255.0 任何激活的接口LIN 1 16 UARTNO EXEC 不为外面发起的数据连接,创建一个进程 TRANS INPUT ALL (DEFAULT: 12.1-12.3是NONE)如何通过终端访问服务器控制路由器及交换机为创建一条反向t e l n e t连接，要远程登录到终端访问服务器上任何激活的I P地址，并附上2 0 x x值，x x是希望访问的线号（如Telnet 1.1.1.1 2001）。 #1.1.1.1 2001 2 0 x x（x x为希望连接的端口号） # TELNET 1.1.1.1 2001 # R1 首先要配置: IP HO

26、ST R1 2001 1.1.1.1 #TELNET R1注: Cisco IOS软件维护一个主机名表和它们相应的地址。可以像域名服务器（D N S）一样通过它们映射主机名到IP地址。绝对与相对线路号(ABSOLUTE LINE NUMBER /RELATIVE NUMBER)SH LINE/SH USERTTY = TTYAUX = (TTY) + 1VTY = (TTY) + 2+ 相对线号.如何退出逆向telnet会话 EXIT 1. 在TERMINAL SERVER上,可以完全清除所有的自已建立的SESSION2. 不在TERMINAL SERVER上,此语句不能使此路由器退出到TER

27、MINALSERVER.只退出到PRIVILEVEL 13. 只能逐级退出4. END 可以直接退到特权模式, DISCONNECT CLE LIN 1 CTRL+SHIFT+6 XESCAPE-CHARACTER23 -23=W 24=X 25=Y .以此类推ESCAPE NONEESCAPE DEFAESCAP BREAK= DEFAUESCAPNO ESCAP= ESCAPBREAK注: 此指令在指令传递的入口处被截获,需小心设计SH LIN 1 /SH LINV 1/SH LIN CON.可以查看退出键符 banner motd #XXCX#建议在记事本编辑好,再粘帖一台新路由器的初始

28、配置 host R1 no ip domain-lo line console 0logg syexec-t 0 0 = noexec-t 注意: 不是NO EXEC如何设置密码 ena pass 与enasecret 的区别 ena secret优先于 ena pass,如果前者有. 后者失效EAN SECREIT 用MD5加密. Y= X15+X13.+XENA PASS 0/7 XXX ENA SECRET 0/5XXX 如何使未加密的密码加密servicepassword-encryption - NO SERVICEPASSWORD-RECOVERY(SWITCH)作用点: ENA

29、PASS XX USER XX PASS XX PASS XX USER XX PRIV 2 PASS XX几条关健指令 TRANS INPUT NONE /ALL/TELNET 不允许/允许外部通过一些协议连接进来.DEFAULT TRANSINPUT 在有的CON口,没有这条指令,即使用这条指令,也不起作用. 在VTY下起作用. (有时不起作用).TRAN IN NONE封锁23端口. 在AUX下不起作用 在TTY起作用 TRANS OUTPUT NONE/ALL此指令的作用点为SESSION入口处,DEFAU TRAN OUT LINE VTY 3ROTARY XX 把端口号改为: 3000+XX, 此线VTY在此监听端口:30XX,同时监听:23端口. 如果有ROTARY+TRAN IN NONE,则封锁23,30XX端口.此方法可以用于给自已留个后门LINE VTY 3NO-EXECLINE VTY 4ROTARY 51#TELNET 1.1.1.13051 NO EXEC - 不执行任何外部发起的联接.- 在配置TERMINAL SERVER时.可以不配.但有时会出现清不了线.原因是对方发起了连接.占用了现有的LINE- 指令在CONSOLE口上禁用.如何用了.只有使用恢复密码的方法来解决. AUTOC