h3cne大综合实验规划

H3C_NE综合实验【实验名称】H3CNE综合实验【实验目的】在实验室环境根据具体真实网络建设搭建模拟环境进行综合应用实验，学习如何规划实施大型企业、校园网络建设规划。

【实验拓扑】【实现功能】1.按照组网环境，互连网络设备，并按照需求配置设备基本信息2.Device-2 与Device-1 之间采用PPP 封装，考虑广域网链路的安全，启用CHAP 的双向验证3.Device-3 与Device-1 之间采用Frame-relay 封装，采用子接口，封装类型为PTMP，且使用静态FR 的映射，Device-3 使用PVC 301，Device-1 使用PVC 1034.A公司内网运行RIP 协议，为保证RIP 协议的安全运行，A公司内网启用RIP 的MD5 验证，密码为riph3c5.Device-3 上的关键业务30.1.1.1 和30.1.1.2 必须以明细的路由在内网发布，同时，为减轻路由器负担，需对内网进行优化6.Device-1 与外网相连，不可以将s1/0 接口的IP公告进RIP 中，使用缺省路由访问外网；7.外网除Device-1 上s1/0 上的IP 地址为公网IP 外，额外还分配了一个公网地址100.1.1.1 作为NAT 装换后的公网地址，8.结合公司规定及业务需求，只允许Device-2 上的2.2.2.1 的业务和Device-3 上的关键业务30.1.1.1 和30.1.1.2 可以访问Internet 上的Device-5 的200.1.1.1 业务9.为以后内网维护方便，开启内网内所有路由器的远程登录服务，分别设置管理级别、访问级别的登录用户10.禁止A 公司内网测试与Device-4 上的4.4.4.1 与4.4.4.2 业务连通性，且外网不可测试A 公司的内部网络【实验步骤】1.按照组网环境，互连网络设备，并按照需求配置设备基本信息Device-1:system-viewsysname Device-1interface s1/0ip address 192.168.1.1 255.255.255.252undo shutdownquitinterface s1/1ip address 192.168.1.5 255.255.255.252undo shutdownquitinterface s1/2ip address 192.168.1.9 255.255.255.252undo shutdownquitinterface loopback1ip address 1.1.1.1 255.255.255.255undo shutdownquitDevice-2:system-viewsysname Device-2interface s0/1ip address 192.168.1.6 255.255.255.252undo shutdownquitinterface loopback1ip address 2.2.2.1 255.255.255.255undo shutdownquitDevice-3:system-viewsysname Device-3interface s1/2ip address 192.168.1.10 255.255.255.252undo shutdowninterface loopback1ip address 3.3.3.1 255.255.255.255 undo shutdownquitinterface loopback2ip address 3.3.3.2 255.255.255.255 undo shutdownquitinterface loopback3ip address 30.1.1.1 255.255.255.255 undo shutdownquitinterface loopback4ip address 30.1.1.2 255.255.255.255 undo shutdownquitDevice-4:system-viewsysname Device-4interface s0/0ip address 192.168.1.2 255.255.255.252 undo shutdownquitinterface f0/0ip address 192.168.1.13 255.255.255.252 undo shutdownquitinterface loopback1ip address 4.4.4.1 255.255.255.255 undo shutdownquitinterface loopback2ip address 4.4.4.2 255.255.255.255 undo shutdownquitDevice-5:system-viewsysname Device-5interface f1/0ip address 192.168.1.14 255.255.255.252 undo shutdowninterface loopback1ip address 200.1.1.1 255.255.255.0undo shutdownquit2.Device-2 与Device-1 之间采用PPP 封装，考虑广域网链路的安全，启用CHAP 的双向验证Device-2:[Device-2]local-user Device-1[Device-2-luser-user2]password simple pwdpwd[Device-2-luser-user2]service-type ppp[Device-2-luser-user2]quit[Device-2] interface Serial0/1[Device-2-Serial0/1]ppp authentication-mode chapDevice-1：[Device-1-Serial1/1]ppp chap user Device-2[Device-1-Serial1/1]ppp chap password simple pwdpwd3.Device-3 与Device-1 之间采用Frame-relay 封装，采用子接口，封装类型为PTMP，且使用静态FR 的映射，Device-3 使用PVC 301，Device-1 使用PVC 103Device-3:[Device-3]interface s1/2[Device-3-Serial1/2]link-protocol frame-relay ietf[Device-3-Serial1/2]fr interface-type dte[Device-3-Serial1/2]fr lmi type Q933a[Device-3-Serial1/2]fr map ip 192.168.1.9 301Device-1:[Device-1]interface s1/2[Device-1-Serial1/2]link-protocol frame-relay ietf[Device-1-Serial1/2]fr interface-type dte[Device-1-Serial1/2]fr lmi type Q933a[Device-1-Serial1/2]fr map ip 192.168.1.10 1034.A公司内网运行RIP 协议，为保证RIP 协议的安全运行，A公司内网启用RIP 的MD5 验证，密码为riph3cDevice-1:[Device-1]rip[Device-1-rip-1]version 2[Device-1-rip-1]undo summary[Device-1-rip-1]network 192.168.1.0[Device-1-rip-1]network 1.0.0.0[Device-1-rip-1]quit[Device-1]interface s1/1[Device-1-Serial1/1]rip authentication-mode md5 riph3c[Device-1-Serial1/1]quit[Device-1]interface s1/2[Device-1-Serial1/2]rip authentication-mode md5 riph3c[Device-1-Serial1/2]quitDevice-2:[Device-2]rip[Device-2-rip-1]version 2[Device-2-rip-1]undo summary[Device-2-rip-1]network 192.168.1.0[Device-2-rip-1]network 1.0.0.0[Device-2-rip-1]quit[Device-2]interface s0/1[Device-2-Serial0/1]rip authentication-mode md5 riph3c[Device-2-Serial0/1]quitDevice-3:[Device-3]rip[Device-3-rip-1]version 2[Device-3-rip-1]undo summary[Device-3-rip-1]network 192.168.1.0[Device-3-rip-1]network 3.0.0.0[Device-3-rip-1]network 30.0.0.0[Device-3-rip-1]quit[Device-3]interface s1/2[Device-3-Serial1/2]rip authentication-mode md5 riph3c[Device-3-Serial1/2]quit5.Device-3 上的关键业务30.1.1.1 和30.1.1.2 必须以明细的路由在内网发布，同时，为减轻路由器负担，需对内网进行优化Device-3:[Device-3]ip route-static 30.1.1.1 255.255.255.255 s0/0[Device-3]ip route-static 30.1.1.2 255.255.255.255 s0/0Device-4:[Device-4]ip route-static 0.0.0.0 0.0.0.0 s1/06.Device-1 与外网相连，不可以将s1/0 接口的IP公告进RIP 中，使用缺省路由访问外网；Device-1:[Device-1]ip route-static 0.0.0.0 0.0.0.0 s0/0Device-4:[Device-4]ip route-static 0.0.0.0 0.0.0.0 s1/07.外网除Device-1 上s1/0 上的IP 地址为公网IP 外，额外还分配了一个公网地址100.1.1.1 作为NAT 装换后的公网地址Device-1:[Device-1]acl number 2000[Device-1-basic-2000]rule 0 permit source 192.168.1.0 0.0.0.255[Device-1]interface s1/0[Device-1]nat outbound 2000 address-group 18.结合公司规定及业务需求，只允许Device-2 上的 2.2.2.1 的业务和Device-3 上的关键业务30.1.1.1 和30.1.1.2 可以访问Internet 上的Device-5 的200.1.1.1 业务[Device-5]firewall enable[Device-5]firewall default permit[Device-5]acl number 3002[Device-5-axl-adv-3002]rule permit tcp source 200.1.1.1 0.0.0.0 destination 2.2.2.1 0.0.0.0[Device-5]interface f0/0[Device-5-FastEthernet0/0]firewall packet-filter 3002 inbound9.为以后内网维护方便，开启内网内所有路由器的远程登录服务，分别设置管理级别、访问级别的登录用户Device-1:[Device-1] local-user admin password simple admin[Device-1] local-user admin service-type telnet[Device-1] local-user admin level 3[Device-1]user-interface vty 0 4[Device-1-ui-vty0-4]authentication-mode local[Device-1]super password level 3 simple super[Device-1]user-interface vty 0 4[Device-1-ui-vty0-4]user privilege level 1[Device-1-ui-vty0-4]set authentication password simple abc10.禁止A 公司内网测试Device-4 上的4.4.4.1 与4.4.4.2 业务连通性，且外网不可测试A 公司的内部网络Device-1:[Device-1]acl 101[Device-1-basic-101] rule deny icmp source any destination 4.4.4.0 icmp-type echo[Device-1-basic-101]rule deny icmp source any destination 4.4.4.0 icmp-type echo-reply[Device-1-basic-101] rule deny souce any destination any[Device-1]acl 102[Device-1-basic-102]rule deny icmp source any destination anyicmp-type echo[Device-1-basic-102]rule deny icmp source any destination any icmp-type echo-reply[Device-1-basic-102] rule deny souce any destination any。

H3C综合实验一、VLAN规划[SW1] vlan 2vlan 3interface Ethernet0/4/2port link-mode bridgeport access vlan 2interface Ethernet0/4/3port link-mode bridgeport access vlan 3interface Ethernet0/4/23port link-mode bridgeport link-type trunkport trunk permit vlan 1 to 3[SW2]vlan 2vlan 3vlan 10interface Ethernet0/4/1port link-mode bridgeport link-type trunkport trunk permit vlan 1 to 3interface Ethernet0/4/2port link-mode bridgeport access vlan 2interface Ethernet0/4/3port link-mode bridgeport access vlan 3二、配置SW和PC的IP 地址，实现不同VLAN间的通信。

[SW1] int vlan1ip address 172.16.1.201 255.255.255.0[SW2] int vlan1ip address 172.16.1.251 255.255.255.0int vlan2ip address 172.16.2.251 255.255.255.0int vlan3ip address 172.16.3.251 255.255.255.0int loop1ip address 172.16.10.1 255.255.255.0配置sw3、sw4、pc2和pc3的IP地址，做为vlan2和vlan3的主机，进行测试使用。

[SW3] vlan 2interface Ethernet0/4/23port access vlan 2int vlan2ip address 172.16.2.2 255.255.255.0[SW4] vlan 3interface Ethernet0/4/23port access vlan 3int vlan3ip address 172.16.3.2 255.255.255.0[PC2] vlan 2interface Ethernet0/4/23port access vlan 2int vlan2ip address 172.16.2.1 255.255.255.0[PC3] vlan 3interface Ethernet0/4/23port access vlan 3int vlan2ip address 172.16.3.1 255.255.255.0三、配置SW2的路由接口和默认路由。

H3CNE综合实验实验设备：1、两台路由器；一台做ISP设备、一台做局域网网关设备2、两台交换机；一台三层、一台二层3、一根串口线，若干根超5类双绞线实验时间：3～6个小时实验要求：XX公司的一个分支机构正在建设中。

根据公司的设计需要，分支机构的网络只能使用192.168.1x.0/24的网段，该网络中共有3个部门（分别是工程部、市场部、研发部）和一个DMZ区域（存放一台Server向企业内网和Internet提供网络服务）。

根据安全策略的要求，3个部门之间以及DMZ区域需要进行逻辑隔离；并且DMZ区域的主机禁止向内网发起Telnet、FTP等服务，但反之可以；对于所有的接入设备进行802.1X认证；内部网络之间使用OSPF进行互通，VLAN间的设备通过三层交换进行路由。

将企业网络的配置通过FTP或TFTP的方式下载到设备中保存做为备份使用（对于交换机，请在实验前将配置导出，待实验完成后将之前导出的配置恢复回去）。

ISP为分支机构提供一条专线，使用CHAP的方式进行验证；ISP 作为主验证放，并且分配网段202.102.192.0/30作为和企业网关设备的互联地址，ISP设备上不允许配置任何路由信息。

根据要求自选设备，设计及搭建网络环境完成实验并将实验报告发至：chengzhili2001@实验提示：1、根据实验要求转换为响应的网络拓扑图，并在图上标出相应的地址分配和要求2、将接口互联的地址都配置完成，并测试直连接口的联通性3、使用合适的路由协议保证全网互通4、在全网互通的基础上设计并实施安全策略5、实验过程中配做完一步都需要进行验证，要善于使用display和Debug命令进行故障排除6、完成实验报告并写下实验感想发至指定的E-mail。

《计算机网络基础》实验报告（H3CNE《路交换技术》第1卷上册）实验1网络设备基本操作学院班级实验组实验组成员指导老师成绩实验日期实验1网络设备的基本操作1.1实验内容与目标完成本实验，您应该能够达到以下目标:使用Console 口登录设备使用Telnet终端登录设备掌握基本系统操作命令的使用掌握基本文件操作命令的使用使用上传下载文件1. 2实验组图Ro uter / SwitchConsol盛发缆8M□卜，网卡交叉网线PC实验图1.1实验组网1. 3实验设备与版本实验表1-1实验设备器材1教材所采用的实验路由器是MSR30-20与实验室设备MSR20-20型号不同。

在进入接口视图时采用“interface Elhemel 0/0»命令而不是“interface GigabitEhteme,,t合0的L 4实验过程本实验以一台MSR20-20路由器作为演示设备，使用交换机(Quieway3026)亦可0实验任务一：通过Console登录本实验的主要任务是熟悉并掌握通过Console电缆连接进行设备配置的方法。

步骤一：连接配置电缆将PC的串口通过标准Console电缆与路由器的C。

ns。

le口连接。

电缆的RJ-45头一端连接路由器的Console∏ ；9针RS-232接口一端连接计算机的串行口。

步骤二：启动PC ,运行超级终端在PC桌面上运行，开始T程序T附件”1"通信T超级终端”命令，填入一个任意名称，单击“确定”按钮。

实验图1. 2超级终端从“连接时使用”下拉列表框选择合适的COM 口，并点击“确定”。

如图所示:L 4实验过程本实验以一台MSR20-20路由器作为演示设备，使用交换机(Quieway3026)亦可0实验任务一：通过Console登录本实验的主要任务是熟悉并掌握通过Console电缆连接进行设备配置的方法。

步骤一：连接配置电缆将PC的串口通过标准Console电缆与路由器的C。

实验 1 Telnet实验配置[SW1]local-user test {创建用户名为test}[SW1-luser-manage-test]password simple test ｛密码test明文方式显示密码simple｝[SW1-luser-manage-test]service-type telnet {服务类型telnet}[SW1-luser-manage-test]level 0 {优先级模拟器敲不出来命令只能查看}[SW1]header loginPlease input banner content, and quit with the character '%'.welcome to H3C world!% ｛登陆欢迎信息welcome to H3C world!%｝[SW1]user-interface vty 0 5 ｛支持5个VTY用户访问｝[SW1-line-vty0-5]authentication-mode scheme ｛本地认证授权方式为scheme｝[SW1]interface Vlan-interface 1 {配置交换机VLAN1地址}[SW1-Vlan-interface1]ip address 192.168.0.1 255.255.255.0[SW1]telnet server enable ｛开启telnet服务｝实验2 网络设备基本链接与调试RTA配置如下：[H3C]sysname RTA[RTA]interface g0/1[RTA-GigabitEthernet0/1]ip address 192.168.0.1 24[RTA]interface Serial 1/0[RTA-Serial1/0]ip address 192.168.1.1 30RTA配置如下：[H3C]sysname RTB[RTA]interface g0/1[RTA-GigabitEthernet0/1]ip address 192.168.2.1 24[RTA]interface Serial 1/0[RTA-Serial1/0]ip address 192.168.1.2 30步骤一：RTA ping RTB[RTA]ping 192.168.1.2Ping 192.168.1.2 (192.168.1.2): 56 data bytes, press CTRL_C to break56 bytes from 192.168.1.2: icmp_seq=0 ttl=255 time=1.000 ms56 bytes from 192.168.1.2: icmp_seq=1 ttl=255 time=0.000 ms56 bytes from 192.168.1.2: icmp_seq=2 ttl=255 time=0.000 ms56 bytes from 192.168.1.2: icmp_seq=3 ttl=255 time=1.000 ms56 bytes from 192.168.1.2: icmp_seq=4 ttl=255 time=0.000 ms { 路由默认发送5个ICMP请求报文大小56bytes}[RTA]ping -c 50 192.168.1.2Ping 192.168.1.2 (192.168.1.2): 56 data bytes, press CTRL_C to break 56 bytes from 192.168.1.2: icmp_seq=0 ttl=255 time=1.000 ms56 bytes from 192.168.1.2: icmp_seq=1 ttl=255 time=1.000 ms56 bytes from 192.168.1.2: icmp_seq=2 ttl=255 time=0.000 ms56 bytes from 192.168.1.2: icmp_seq=3 ttl=255 time=1.000 ms56 bytes from 192.168.1.2: icmp_seq=4 ttl=255 time=1.000 ms56 bytes from 192.168.1.2: icmp_seq=5 ttl=255 time=1.000 ms56 bytes from 192.168.1.2: icmp_seq=6 ttl=255 time=1.000 ms56 bytes from 192.168.1.2: icmp_seq=7 ttl=255 time=0.000 ms56 bytes from 192.168.1.2: icmp_seq=8 ttl=255 time=1.000 ms {参数– C来设定发送50个ping报文}[RTA]ping -s 512 192.168.1.2{-s 512 报文字节为512bytes}RTA配置静态路由：[RTA]ip route-static 192.168.2.0 255.255.255.0 192.168.1.2RTB配置静态路由：[RTB]ip route-static 192.168.0.0 255.255.255.0 192.168.1.1{ping命令与tracert命令和扩展命令的使用用查看}配置SWA：[SWA]vlan 2[SWA-vlan2]port GigabitEthernet 1/0/1配置SWB：[SWB]vlan 2[SWB-vlan2]port GigabitEthernet 1/0/1配置SWA trunk链路端口：[SWA]interface GigabitEthernet 1/0/24[SWA-GigabitEthernet1/0/24]port link-type trunk [SWA-GigabitEthernet1/0/24]port trunk permit vlan all配置SWB trunk链路端口：[SWB]interface GigabitEthernet 1/0/24[SWB-GigabitEthernet1/0/24]port link-type trunk [SWB-GigabitEthernet1/0/24]port trunk permit vlan all[SWA]stp enable[SWA]stp priority 0 {配置优先级} [SWA]interface g 1/0/1。

网络设备基础操作1.1 实验内容与目标-使用Console口登录设备-使用telnet终端登录设备-掌握基本系统操作命令的使用-掌握基本文件操作命令的使用-使用FTP、TFTP上传下载文件1.2 实验拓扑1.3 实验步骤任务一：通过Console口登录设备本实验主要是为了让学员对配置设备有个初步的了解，可以控制网络设备步骤一：连接配置线使用Console线缆连接PC机的COM口和设备的Console口。

对于大部分笔记本现在已没有COM了，可以通过一个USB转COM的装置进行转接。

步骤二：配置串口调试工具现在常用的串口调试工具只要包括超级终端和SecureCRT 6.11、超级终端运行“开始”-“程序”-“附件”-“通信”-“超级终端”（共三张图）图一：超级终端——用户名设置（可以随便填写）图二：超级终端——选择合适的COM口（这个可以在设备管理器中查找到主机使用的是什么COM口）图三：配置COM口的属性，直接还原成默认值即可2、SecureCRT 6.1这是一个第三方软件，如要安装，安装后打开图一：启动CRT并配置为Serial口（及串口）图二：属性设置，这里可以参考超级终端的默认配置，其中注意流量控制设置为空，都不要选上即可任务二：使用系统操作及文件操作的基本命令对于刚刚拿到的设备，我们必然要做一些基础性的操作，来熟悉设备的操作技巧，并最终达到熟练设备的目的步骤一：进入系统视图在刚刚进入设备时，我们是停留在用户视图下，这是只能执行有点的查看命令，要想对设备进行配置，必须要进入系统视图。

<RT1>system-view步骤二：学习之用帮助特性和补全健对于网络工程师来说，再强的记忆也很难把所有的命令行记下来，这是就需要Conware的帮助机制来协助完成配置具体可以通过<?>和<Tab>来实现步骤三：更改系统名称在实际环境中，我们大部分时间是通过远程登录的方式来控制设备，这时如果都使用出厂默认的系统名称的话容易产生误解，给维护设备造成不必要的麻烦，这时我们可以选择根据功能或区域来给设备起一个名字，方便管理员记忆与识别[RT1]sysname Lab_MSR_30-20注：系统名称的长度为1到30个字符步骤四：更改系统时间由于组网时，一般会考虑到配置一台日志服务器来记录设备运行的状态，方便进行灾难恢复，所以给设备设置一个正确的时间显得尤为重要查看时间：[Lab_MSR_30-20]display clock21:15:45 UTC Wed 01/27/2010修改时间：<Lab_MSR_30-20>clock datetime ?TIME Specify the time (HH:MM:SS)步骤五：显示系统运行配置当用户完成一组配置之后，需要验证是否配置正确，则可以执行display current-configuration命令来查看当前生效的参数。

《计算机网络基础》实验报告（H3CNE《路交换技术》第1卷上册）实验1 网络设备基本操作学院班级实验组实验组成员指导老师成绩实验日期实验1 网络设备的基本操作1.1 实验内容与目标完成本实验，您应该能够达到以下目标：●使用Console口登录设备●使用Telnet终端登录设备●掌握基本系统操作命令的使用●掌握基本文件操作命令的使用●使用FTP、TFTP上传下载文件1.2 实验组图实验图1.1 实验组网1.3 实验设备与版本实验表1-1 实验设备器材名称和型号版本数量描述MSR20-201CMW5.2R1618P13-Standard 1 也可以用交换机代替PC Windows XP SP2 1Console 串口线 15类UTP以太网连接线 1 交叉线1教材所采用的实验路由器是MSR30-20与实验室设备MSR20-20型号不同。

在进入接口视图时采用“interface Ethernet 0/0”命令而不是“interface GigabitEhternet 0/0”命令1.4实验过程本实验以一台MSR20-20路由器作为演示设备，使用交换机（Quieway3026）亦可。

实验任务一：通过Console登录本实验的主要任务是熟悉并掌握通过Console电缆连接进行设备配置的方法。

步骤一：连接配置电缆将PC的串口通过标准Console电缆与路由器的Console口连接。

电缆的RJ-45 头一端连接路由器的Console口；9针RS-232接口一端连接计算机的串行口。

步骤二：启动PC，运行超级终端在PC桌面上运行“开始”|“程序”|“附件”|“通信”|“超级终端”命令，填入一个任意名称，单击“确定”按钮。

实验图1.2 超级终端从“连接时使用”下拉列表框选择合适的COM口，并点击“确定”。

如图所示：实验图1.3 超级终端通信端口本实验中PC连接Console线缆的接口是，所以从“连接时使用”下拉表框选择合适的COM口，并单击“确定”按钮。

H3CNE综合实验实验背景：XX公司的一个分支机构正在建设中。

根据公司的设计需要，分支机构的网络只能使用192.168.1x.0/24的网段，该网络中共有3个部门（分别是工程部、市场部、研发部）和一个DMZ区域（存放一台Server向企业内网和Internet提供网络服务）。

根据安全策略的要求，3个部门之间以及DMZ区域需要进行逻辑隔离；并且DMZ区域的主机禁止向内网发起Telnet、FTP等服务，但反之可以；对于所有的接入设备进行802.1X认证；内部网络之间使用OSPF进行互通，VLAN间的设备通过三层交换进行路由。

ISP为分支机构提供一条专线，使用CHAP的方式进行验证；ISP 作为主验证方，并且分配网段202.102.192.0/30作为和企业网关设备的互联地址，ISP设备上不允许配置任何路由信息。

实验分析与规划：根据顾客要求制作了拓扑图，如下所示。

实验拓扑：实验简述：1、PC1、PC3、PC3分别属于Vlan10、Vlan 20、Vlan302、SW2、SW1分别为二层交换和三层交换，通过E1/0/1和E1/0/24口相连，三层交换SW1和局域网网关设备R2用G1/1/3和G0/0相连，网关和ISP用S6/0口相连。

3、Server放在DMZ区域中，与R2的G0/1口相连。

4、整个网络IP地址的规划如图所示。

实验器材：1、两台交换机均为：H3C S36102、两台路由器均为：H3C MSR 30-20实验目标：1、三个部门和服务器实现互相逻辑隔离。

2、在三层交换机上实现vlan间路由3、全网用OSPF互通，并且可以访问外网4、所有接入的终端设备采用802.1x认证5、服务器不能向内网设备进行telnet、ftp操作，反之可以6、局域网网关设备和ISP设备链路采用Chap验证。

实验内容：R1的简要配置与分析：#interface Serial5/0link-protocol pppppp authentication-mode chap //ISP设备作为chap的主验证方ppp chap user r2ip address 202.102.192.2 255.255.255.252#local-user r1 //CHAP验证的本地用户列表password simple r2service-type pppR2的简要配置与分析：#firewall enable //开启防火墙#nat address-group 1 202.102.192.1 202.102.192.1 //nat地址组#acl number 2001rule 0 permit //定义局域网内哪些设备可以访问外网的数据#acl number 3001 //定义Server对局域网内设备进行某些操作rule 0 deny tcp source 192.168.40.2 0 destination-port eq telnet rule 5 deny tcp source 192.168.40.2 0 destination-port eq ftprule 10 deny tcp source 192.168.40.2 0 destination-port eq ftp-data #local-user r2 //CHAP验证的本地用户列表password simple r2service-type ppp#interface Serial6/0link-protocol pppppp chap user r1 //对端设备CHAP验证的用户名称nat outbound 2001 address-group 1 //将nat和定义的数据流在接口上进行绑定ip address 202.102.192.1 255.255.255.252#interface GigabitEthernet0/0port link-mode routeip address 192.168.2.2 255.255.255.0# //连接到三层交换机上的接口地址interface GigabitEthernet0/1port link-mode routefirewall packet-filter 3001 inbound //在接口上应用限制server访问内网的ACLip address 192.168.40.1 255.255.255.0#ospf 1 router-id 2.2.2.2 //OSPF的启用与宣告网络area 0.0.0.0network 192.168.2.0 0.0.0.255network 202.102.192.0 0.0.0.3network 192.168.40.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 202.102.192.2//默认路由#SW1的简要配置与分析：#vlan 10#vlan 20#vlan 30#//定义三个vlan ，以便在三层交换机上进行vlan间路由interface Vlan-interface10ip address 192.168.10.1 255.255.255.0#interface Vlan-interface20ip address 192.168.20.1 255.255.255.0#interface Vlan-interface30ip address 192.168.30.1 255.255.255.0# //在各个vlan上配置三层地址，进行vlan间路由interface Ethernet1/0/24port link-mode bridgeport link-type trunkport trunk permit vlan all#//配置三层交换机和二层交换机连接的trunk口interface GigabitEthernet1/1/3port link-mode routeip address 192.168.2.1 255.255.255.0#//配置三层交换机和网关设备连接的端口ospf 1 router-id 1.1.1.1 //OSPF的配置与宣告网络area 0.0.0.0network 192.168.10.0 0.0.0.255network 192.168.20.0 0.0.0.255network 192.168.30.0 0.0.0.255network 192.168.2.0 0.0.0.255#SW2的简要配置与分析：#dot1x#vlan 1#vlan 10#vlan 20#vlan 30# //定义三个vlan以便进行网络的逻辑隔离local-user admin //配置802.1x的本地用户列表password simple adminservice-type lan-access#interface Ethernet1/0/1port link-mode bridgeport link-type trunkport trunk permit vlan all# //配置与三层交换机连接的trunk口interface Ethernet1/0/11port link-mode bridgeport access vlan 10dot1x //启用802.1x认证#实验总结：1、NAT技术在局域网应用中非常广泛，能够为企业节省很多的公网IP地址开销。

目录实验一常用设备管理操作 (2)实验二配置TELNET路由器远程登录 (15)实验三通过SSH登录路由器的配置 (21)实验四使用FTP上传下载系统文件 (24)实验五使用TFTP传输文件 (29)实验六网络基本设备调试命令 (33)实验七 ARP协议 (39)实验八 VLAN配置 (44)实验九 STP配置 (52)实验十以太网交换机端口安全技术 (54)实验十一配置聚合链路 (59)实验十二配置DHCP服务 (64)实验十三 VLAN间路由 (70)实验十四静态路由的配置 (78)实验十五配置RIP (84)实验十六配置单区域OSPF (92)实验十七 ACL包过滤 (96)实验十八 NAT配置 (100)实验十九配置HDLC (110)实验二十配置PPP (113)实验二十一帧中继配置 (121)附录一 IPV6 (128)附录二交换机密码恢复 (131)附录三路由器的密码恢复 (137)实验一常用设备管理操作一、实验目的：掌握通过console登录设备掌握修改设备名称掌握显示、修改系统时间掌握四种命令视图掌握查看版本、当前配置、接口信息二、实验描述及组网图：三、实验步骤：实验任务一：使用console口进行设备的连接1、通过console口将pc机与交换机或者路由器相连。

2、通过超级终端进行连接：首先，通过【开始】|【所有程序】|【附件】|【超级终端】启动超级终端程序并创建一个新连接，输入一个连接的名字。

3、选择所用的通讯串口（com）注：com口信息在“我的电脑”“管理”下的设备管理器中查看到。

4、设置属性参数，在串口属性中设置波特率为9600，数据位为8，奇偶校验为无，停止位为1，流量控制为无。

（可以使用“还原为默认值”就能完成参数配置）。

5、设置好参数后，直接点击【确认】，就可以进入到如下的设置界面。

就可以对设备进行配置。

实验任务二：掌握四种命令视图1、进入用户试图：如上图，通过console口登录到设备上的时候就进入了用户视图。

实验 1 网络设施的基本操作1.1实验内容与目标达成实验，您应当能够：使用 Console 口登录设施使用 Telnet 终端登录设施掌握基本系统操作命令的使用掌握基本文件操作命令的使用使用 FTP、 TFTP 上传下载文件1.2实验组图图 1-1 实验组网图1.3实验过程本实验以一台MSR 路由器作为演示设施，使用互换机亦可。

实验任务一：经过Console 登录本实验的主要任务是熟习并掌握经过Console 电缆连结进行设施配置的方法。

步骤一：连结配置电缆将 PC 的串口经过标准 Console 电缆与路由器的 Console 口连结。

电缆的 RJ-45 头一端连结路由器的 Console 口； 9 针 RS-232 接口一端连结计算机的串行口。

步骤二：启动 PC，运转超级终端在PC 桌面上运转“开始 /程序 /附件 /通讯 /超级终端”。

填入一个随意名称，点击“确立”。

以下图：从“连结时使用”下拉列表框选择适合的COM 口，并点击“确立”。

以下图：这时弹出 COM 属性页面，点击“复原为默认值”，能够看见每秒位数为9600bps、8 位数据位、 1 位停止位、无奇偶校验和无流量控制，点击“确立”。

以下图：步骤三：进入 Console 配置界面再键入回车，即可见：“H3C_ ”提示符。

实验任务二：使用系统操作及文件操作的基本命令步骤一：进入系统视图达成实验任务一时，配置界面处于用户视图下，此时履行system-view 命令进入系统视图。

<H3C>system-viewSystem View: return to User View with Ctrl+Z.[H3C]此时提示符变成[***] 形式，说明用户已经处于系统视图。

在系统视图下，履行quit 命令能够从系统视图切换到用户视图。

[H3C]quit<H3C>步骤二：学习使用帮助特征和补全键H3C Comware 平台支持对命令行的输入帮助和智能补全功能。