通讯全程全网配置分析

通讯全程全网配置分析

摘要：局域网技术是当今计算机网络的热点，它是一种能够连接多种计算机设备，并为这些设备提供互相通信方法的通信网络。其中主要用到的网络产品有交换机、路由器、集线器等等。通过配置使它们在网络中发挥作用。满足人们对网络的需求。本文只是比较浅显的介绍了网络中交换机和路由器的配置。

关键字： 通讯，网络，交换机，路由器，终端计算机

Summary:The bureau area net technique is a now calculator network a little bit hot, it is a kind of canning link various calculators equipments, and provide the correspondence network of the mutual correspondence method for these equipmentseses.Among them primarily the network product that use contain commutation machine, router, gather the line machine etc..Pass to install to make them produced result in network.Satisfy people to the need of the network.This text just compares to introduce plainly to exchange the machine in the network to install with the router. Key word: Communication, network, commutation machine, router, terminal calculator

一. 序言

计算机网络是计算机技术和通信技术日益发展和密切结合的产物，也是计算机科学研究的重点对象之一，而局域网技术是当前计算机网络研究的热点，也是目前技术发展最快的领域之一。局域网是一种能够连接多种计算机设备，并为这些设备提供互相通信方法的通信网络，通常局域网的规模都不大，只局限于一座或几座相邻的大楼。在局域网中一般不需要采用MODEM（调制解调器）和电话线来实现各个终端之间的信息互通，而是通过网线以及少量的网络结点设备（路由器或交换机）将各个终端设备相连。 在此向大家介绍计算机网络中节点（Node）的最重要的2种设备-交换机（Lan Switcher）和路由器（Router），以及对其进行的必要配置，使其在网络中发挥其应有的作用。

二. 初识设备

在本报告中，最主要的设备有三种：交换机、路由器以及终端即计算机。 如下图所示意：

交换机型号：华为QuidWay系列 S2403H

路由器型号：华为QuidWay系列 R1604 和 R2501E / 万林克 VL-RT02 计算机型号：普通计算机3台（PII 366 /128 RAM/10M.100M自适应网卡） 备注：具体的各设备的端口类型以及分布在此略去，详细的信息请仔细查阅

第 1 页 共 15 页

通信全程全网配置分析 2

相应设备的手册。

三. 初始配置

作为计算机网络中重要的2种结点设备的交换机和路由器来讲，必须先通过配置线的初始配置，才能进行正常的配置工作，初始配置如下图所示：(交换机和路由器配置线连接方式类似)

当所有的硬件连线都连接完毕并且确认无误以后，接下来我们就可以使用Windows“程序” “附件”中的超级终端连接程序（窗体如右图所示）进行终端连接，设定好连接设备的名字以及对所要连接的设备的一些参数进行正确的设置就可以连接实际的硬件设备了，具体的操作步骤请仔细参看交换机的说明手册。 备注：路由器的配置和上述类似。

第一次配置好了以后，下次可不必用配置线配置了，可以直接使用Telnet方式登录交换机或者是路由器进行配置。

使用终端程序进入交换机或者是路由器后，可以发现，实际上配置方式全部是以命令行的方式进行的，这一点很象是在UNIX/LINUX 环境进行操作系统各种服务的配置一样，同时也有点象DOS 的命令行模式，因此建议如果对命令行不熟悉的话，应该尽量多敲命令行，以提高熟练程度，自然而然的可以增加对命令执行作用的认识程度。

交换机、路由器的基本配置：

无论是交换机还是路由器其基本的配制环境是十分类似的，在命令行下键入 setup 可以对交换机、路由器的基本信息进行重新配置，如果不想修改，只要一直按回车键即可。具体配置参看手册介绍，这里就将最基本的配置和一些基本信息一一说明。除了配置端之外，交换机有以太网口和级联口之分，路由器有以太网口和串口之分，从理论上来讲，任意两个设备之间均可以通过任意两个口进行互联，在本此实验中，路由器之间的互联多数是用串口连起来，交换机之间一般是由级联口或者是普通的以太网互联，而路由器和交换机之间则一般通过以太网口进行连接，而实际的网络结构可以有多种连接方式，视具体的情况而定。

第 2 页 共 15 页

通信全程全网配置分析 3

交换机需要对其配置地址，对于通过以太网口外接而言，必须配置一个IP地址和掩码，路由器也需要对其配置地址，对于通过以太网口外接而言，必须配置一个IP地址，而对于通过串口向外连接而言，也必须配置一个IP地址，作为通信的一个地址，因此，不难理解，这2个IP是应该不相同的，而且不应该在同一个子网里。

交换机在配制了基本的IP后就可以使用了，感觉上来讲是比较傻瓜的一类设备，而路由器在配置好基本的IP网络参数之后，此时路由器还并不能在网络中发挥作用甚至可能使路由器两端的网络不连通。路由路由，顾名思义，就是一个能对发来的信息包进行地址解析，然后将其转发至下一个网络结点，因此，路由器的路由配置是一个很重要而且复杂的部分路由配置有多种配置方法，将在下面一一做简单的介绍和具体举例。

四. 进一步认识：

||1|| 交换机简单连接实例 具体连接图如下：

图表 1三台机器的 IP 和 掩码 如图中所示：通过网络邻居属性将其固定 如果仅仅只是把3台计算机随便连接到交换机上的某些以太网的端口上，那么从Windows系统的网络邻居里可以互相看到，同时也能达到通信的目的。但是在DOS命令行中是用ping命令则不能ping 通，此时开始检查各个可能的错误设置或者连接问题。

…………………………………………………………………………………………

1.首先排除网线的质量问题，检查各个终端计算机、交换机的连接牢靠情况，检查没有问题。

2再次检查交换机是否已经接通电源以及以太口的显示小灯是否全亮，经检查全部正常。

3.检查计算机是否装有防火墙，发现有一台计算机装有瑞星防火墙，将其关闭，仍不能实现所有机器两两PING通，说明这不是问题的关键。

4.经过思考，问题解决的关键集中在交换机的配置上，首先检查3台计算机和交换机所连的以太口的属性，发现了有关的VLAN的字样，不太了解VLAN的具体作用，翻阅设备手册，了解到有关VLAN的知识，再次实践操作，检查

第 3 页 共 15 页

通信全程全网配置分析 4

3台计算机所连以太网口所属的VLAN，发现不尽相同，哈！修改之，建立一个新的VLAN 100 将所有的ETHERNET口纳入该VLAN，操作完毕，再次通过3台计算机使用PING命令，OK ！ 全部PING通！ 问题解决。

…………………………………………………………………………………………

总结：问题就出在3个机器所连接的以太网（ethernet）端口（port）不在一个VLAN里，不在一个VLAN里，将造成不同VLAN里的计算机广播的信息不被VLAN以外的计算机所接收到，从具体的情况来看，VLAN具有一定程度的安全性。

VLAN的概念：VLAN（Virtual Local Area Network，虚拟局域网），是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机，由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里，即这些计算机不一定属于同一个物理LAN网段。

使用VLAN具有以下优点： 1、控制广播风暴

一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。 2、提高网络整体安全性

通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性。

3、网络管理简单、直观

对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。在一个交换网络中，VLAN提供了网段和机构的弹性组合机制。

总而言之,VLAN的优势在于VLAN内部的广播和单播流量不会被转发到其它VLAN中，从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性。

因此，只要将上述机器连接的以太网的3、4、5 的端口均设置于一个VLAN 就可以。

具体命令行配置步骤如下：[带！的表示对执行的结果说明] ！创建VLAN 100并进入其配置模式。

第 4 页 共 15 页

通信全程全网配置分析 5

Quidway(config)# vlan 100

！向VLAN 100中加入端口Ethernet 0/3到Ethernet 0/5。

Quidway(config-vlan100)# switchport ethernet 0/3 to ethernet 0/5 完成后，再次使用ping命令，则显示已经ping 通 ，故任务完成。 ||2|| 路由器简单连接实例 实际连接图如下所示：

图表 2

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

R2501E 串口地址：S_0 [172.17.1.2] S_1 [172.17.2.2] 以太口地址：[192.168.3.1] R1604 I 串口地址：S_0 [172.17.1.1] 以太口地址：[192.168.1.1] R1604 II 串口地址：S_0 [172.17.2.1] 以太口地址：[192.168.2.1] Computer 1 IP地址 [192.168.1.100] 网关 [192.168.1.1] Computer 2 IP地址 [192.168.2.100] 网关 [192.168.2.1] Computer 3 IP地址 [192.168.3.100] 网关 [192.168.3.1]

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ 至于三台计算的IP 、子网掩码以及网关的设置，这里就不赘述了，不过千万要注意，3台计算机的网关应该是各自所连的路由器的Ethernet口的IP地址，本实例的关键是在于3个路由器的路由配置，路由的配置方法很多，通过查阅和上网了解，发现路由的配置有静态路由配置，有动态路由配置，例如RIP 、 OSPF 、DLSW 等等。

这里先对静态路由配置的具体进行描述，经过2周的学习，对路由器的理解是：当路由器收到一台终端发来的信息包的时候，检测所包含的信息要发送到的目的地地址，对照内部的路由表检测对应的下一步的信息应转发到的地址，一般来讲，若发送信息的目的地址是内部对应的地址，则路由器将把信息回传至下属的子网，若不是内部地址，则对照路由表，寻找其对应的IP地址映射，转发至与之相连的路由器或者是级别较高的交换机，因此，简单的来讲，实际

第 5 页 共 15 页

通信全程全网配置分析 6

的路由器只是一个消息转发的设备而言，它本身所起的作用并不是把信息直接传递给目的地址，只能转发到下一个路由器，如此下去，下一个路由器对信息处理也依然这样，直至信息到达目的抵制的子网。（先排除不存在对方地址的情况，当然若转发的次数或者反应的时间过长，路由器将认为是无法通达，这也是比较合理的，反应时间过长必然会使的具体通信达不到要求而接近于无效通信）。

路由器的作用可如下图所示：

① 首先计算机向目的地址发送信息包，该信息包可能是通过PING命令产生，也可能是别的方式比如HTTP IGMP 等等，但信息包通过TCP/IP协议封装后就包含了发送的IP地址MAC地址以及目的地址等等信息。这里假设由此计算机通过发送PING命令，假设计算机IP为172.16.1.100 发送目的地址为 172.16.2.100

② 然后信息包经由网线发送至与之相连的路由器。

③ 路由器接收到终端发来的信息包后，得到其发送目的地址为[172.16.2.100] 然后将判断其路由表中是否有此172.16.2.X 网段的端口映射，如果路由表中有此映射的静态路由设置或者有RIP等动态路由设置则将信息包发送至映射的端口，若无则将信息包返回至源地址，此时，相应的反应在终端就是显示目的地址PING不通！

④路由表中将172.16.2.X网段映射至地址 192.168.1.1 因此，信息包被传递至另一路由器如上图所示，然后此时接收信息包的路由器继续判断该往哪里传递此包，恰好就在其所连的子网里，因此发送至目的地址 172.16.2.100 ，由此PING通。

第 6 页 共 15 页

通信全程全网配置分析 7

再回到图表2中实际拓扑结构，在清楚通信的过程后，就可以写出3台路由器各自的静态路由配置（如下）： R1604-I-路由配置：

ip route 192.168.3.0 255.255.255.0 172.17.1.2 将C网映射至172.17.1.2 ip route 172.17.2.0 255.255.255.0 172.17.1.2 将R2501E和R1604-II-之间的子网映射至172.17.1.2

ip route 192.168.2.0 255.255.255.0 172.17.1.2 将B网映射至172.17.1.2 从以上3句来看，凡是不是和A网直接连接的子网，对于R1604-I-路由器而言都应该影射到R2501E的S-0端口去，这样看就很好的理解了路由器的功能了，当R1604-I-发现由其下属的子网发出的消息只要不是本子网段的，一律将转发给路由器R2501E，因此就达到了消息转发的目的，至于下一步应该走哪，那就是R2501E的事了，因此，就可以继续写出 R2501E 和R1604-II- 的路由表了。 R2501E 路由配置：

ip route 192.168.1.0 255.255.255.0 172.17.1.1 将A网映射至172.17.1.1 ip route 192.168.2.0 255.255.255.0 172.17.2.1 将B网映射至172.17.2.1

R1604 –II- 路由配置：

ip route 192.168.3.0 255.255.255.0 172.17.2.2 将C网映射至172.17.2.2 ip route 172.17.1.0 255.255.255.0 172.17.2.2 将R2501E和R1604-I-之间的子网映射至172.17.2.2

ip route 192.168.1.0 255.255.255.0 172.17.2.2 将A网映射至172.17.2.2

综上所述：可以用一句话来概括路由器的静态路由表的配置，即总是将子网映射到与之相连的对端路由器的串口上。由此也可以看出静态路由的某些缺点来，由于实际的网络中有很多的子网，除某些单位内部网外一般很少会使用静态路由功能，如果只是单纯的靠添加静态路由来使得网路相通，那么工作量将会很大，因为两两不相连的子网之间就要设立一个静态路由，所以不太现实，使得效率下降，不仅如此，想象一下，如果对于一个原来已经配置好的网络，可能其中有很多的路由器，如果要添加一个新的子网的话，如果仅仅靠静态路由的话，那么所有的路由器的路由表就不得不都得添加几句，因此，引入了动态路由的配置，此点将在下面进行叙述。 ||3||-交换机、路由器联合拓扑结构以及应用

这个计算机网络具有的功能比较全面，和实际的网络也最接近，网络中所应用的服务也比较全面。不仅用到了多种路由配置如RIP、OSPF等，而且交换机和路由器的服务也相应完全，例如FTP 、域名解析、防火墙等。 实际的连接图如下：

第 7 页 共 15 页

通信全程全网配置分析 8

完成任务 指定使用RIP协议 指定RIP版本 指定与该路由器相邻的端口地址 命令格式 router rip version {1|2}1 Neighbor 指定与该路由器相连的网络（子网） network network

图表 3

网络拓扑结构如上，各交换机、路由器以及终端计算机的IP和掩码的配置的详细步骤在这里不再赘述，具体的方法可以参照参考手册或者PDF帮助文档所述。

在这里，若是采用静态路由的配置，无疑是十分复杂而且是不利于管理的，而且实际的网络很少是能确定知道子网对应的 IP段是什么，因此这里采用了RIP 的动态路由配置。

RIP(Routing information Protocol)是应用较早、使用较普遍的内部网关协议(Interior Gateway Protocol,简称IGP)，适用于小型同类网络，是典型的距离向量(distance-vector)协议。文档见RFC1058、RFC1723。 RIP通过广播UDP报文来交换路由信息，每30秒发送一次路由信息更新。RIP提供跳跃计数(hop count)作为尺度来衡量路由距离，跳跃计数是一个包到达目标所必须经过的路由器的数目。如果到相同目标有二个不等速或不同带宽的路由器，但跳跃计数相同，则RIP认为两个路由是等距离的。RIP最多支持的跳数为15，即在源和目的网间所要经过的最多路由器的数目为15，跳数16表示不可达。 有关命令

备注：上述只是简单的最基本的一些RIP协议启动和配置的命令，除此之外的其他的命令以及格式请仔细查阅路由器的电子手册。

第 8 页 共 15 页

通信全程全网配置分析 9

R2501E-II-配置命令行如下： ! 配置路由器的串口IP以及掩码 interface serial 0 ip address 172.17.1.1 255.255.255.0 ！启动RIP协议 router rip ！设置子网为172.17.1.0 network 172.17.1.0 ！设置路由的对端为172.17.1.2 即 VL-RT02 neighbor 172.17.1.2 R1604 配置命令行如下： !配置路由器的串口IP以及掩码 interface serial 0 ip address 172.17.3.1 255.255.255.0 ！启动RIP协议 router rip ！设置子网为172.17.3.0 network 172.17.3.0 ！设置路由的对端为172.17.3.1 即R2501E-I- neighbor 172.17.3.1 从上述2个路由器的RIP配置命令行来看，启动和配置基本的RIP路由协议也是十分清晰易懂的。首先先是启动RIP协议，然后每个路由器设置和其相连接的路由器的串口地址为相邻，然后再设置路由器串口所在子网。当然，通过查阅多数的资料和手册，RIP协议使用于路由器不多的情况，对于路由器较多的情况，则有些缺点。上面也提到了，由于其支持的跳数为15，所以路由器数目一多则就不使用了。回归正题，VLRT02和R2501II的RIP配置也类似如此，如下所演： R2501-II 配置命令行如下： VL-RT02 配置命令行如下： !配置路由器的串口0 IP以及掩码 !配置路由器的串口0 IP以及掩码 interface serial 0 interface serial 0 ip address 172.17.3.1 255.255.255.0 ip address 172.17.1.2 255.255.255.0 ！启动RIP协议 ！启动RIP协议 router rip router rip ！设置子网为172.17.1.0 ！设置子网为172.17.3.0 network 172.17.1.0 network 172.17.3.0 ！设置路由的对端为172.17.1.1 即！设置路由的对端为172.17.3.2 即 R2501E-I R2501E-II neighbor 172.17.1.2 neighbor 172.17.3.2 配置路由器的串口1 IP以及掩码 配置路由器的串口1 IP以及掩码 interface serial 1 interface serial 1 ip address 172.17.2.1 255.255.255.0 ip address 172.17.2.2 255.255.255.0 ！启动RIP协议 ！启动RIP协议 router rip router rip ！设置子网为172.17.2.0 ！设置子网为172.17.2.0 network 172.17.2.0 network 172.17.2.0 ！设置路由的对端为172.17.2.2 即！设置路由的对端为172.17.2.1 即 R2501E-II R2501E-I neighbor 172.17.2.2 neighbor 172.17.2.1 补充说明：

第 9 页 共 15 页

通信全程全网配置分析 10

其实在上面的这些配置里，也感觉其实大部分的配置语句是一致的，比如有一条，配置路由的对端IP，如果不能确定具体的对端路由的IP，（在实际中是很现实的一个问题）只要写一句network all 即可~，路由器就会自动去寻找与之相连的对端路由器。

经过上述的简单配置之后，4台终端计算机实现了能够互相ping通，而且任意一台机器能够telnet到其他子网绝大部分的路由器和交换机，并对其进行远程配置。

同样，配置OSPF路由协议也是如此。

OSPF(Open Shortest Path First)是一个内部网关协议(Interior Gateway Protocol,简称IGP)，用于在单一自治系统(autonomous system,AS)内决策路由。与RIP相对，OSPF是链路状态路有协议，而RIP是距离向量路由协议。 链路是路由器接口的另一种说法，因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。与RIP相对，OSPF是链路状态路有协议，而RIP是距离向量路由协议。

同时通过查阅多方资料，与RIP不同，OSPF的工作是有层次的，其层次中最大的实体是自治系统(AS)，即遵循共同的路由策略统一管理下的网络群。虽然OSPF可以与其它AS中的路由器交换路由信息，但它们是一种AS内部（内部网关）路由协议。

一个AS可以分为多个区间，即一组连续的网络和相连的主机。拥有多个接口的路由器可以加入多个区间，这些路由器称为区间边缘路由器，分别为每个区间保存其拓扑数据库。拓扑数据库实际上是与路由器有关联的网络的总图，包含从同一区间所有路由器收到的LSA的集合。因为同一区间内的路由器共享相同的信息，所以它们具有相同的拓扑数据库。（术语域(domain)有时用于描述含有相同拓扑数据库的路由器组成的网络，通常与AS可互换。）

区间的划分产生了两种不同类型的OSPF路由，区别在于源和目的是在相同的还是不同的区间，分别为区间内路由和跨区间路由。

OSPF主干负责在区间之间分发路由信息，包含所有的区间边缘路由器、非全部属于某区间的网络及其相连的路由器。下图是一个分为若干区间的OSPF

自治系统的例子。

图表 4

第 10 页 共 15 页

通信全程全网配置分析 11

上图中，路由器4、5、6、10、11和12构成了主干。如果区间3中的主机H1要给区间2中的主机H2发送数据，则先发给路由器13，它转发给路由器12，再转给路由器11，路由器11再沿主干转发给路由器10，然后通过两个区间内路由器（9和7）到达主机H2。 主干本身也是个OSPF区间，所以所有的主干路由器与其它区间路由器一样，使用相同的过程和算法来维护主干内的路由信息，主干拓扑对所有的跨区间路由器都是可见的。

可以以非连续主干的形式来定义区间，这时，主干的连接必须通过虚拟链接来保持。虚拟链接可以配置在任意共享非主干区间链接的路由器对之间，就象它们有直接链接一样工作。

OSPF的配置需要完成的项目有很多，但是如果要完成基本的路由连通，大致需要完成如下几个配置： ①配置路由器的ID号 ②启动OSPF

③指定接口与区域号

④指定路由器的对端地址（即邻居地址）

实际上根据不同的网络情况和实际需求，还需要对路由器进行路由过滤的配置、路由优先级的设置以及封装协议的不同。

OSPF有关命令 全局设置模式下 任务 指定使用OSPF协议 指定与该路由器相连的网络 指定与该路由器相邻的节点地址 命令 router ospf process-id1 network address wildcard-mask area area-id2 neighbor ip-address

备注：

1、OSPF路由进程process-id必须指定范围在1-65535，多个OSPF进程可以在同一个路由器上配置，但最好不这样做。多个OSPF进程需要多个OSPF数据库的副本，必须运行多个最短路径算法的副本。process-id只在路由器内部起作用，不同路由器的process-id可以不同。

2、wildcard-mask 是子网掩码的反码, 网络区域ID area-id在0-4294967295内的十进制数，也可以是带有IP地址格式的x.x.x.x。当网络区域ID为0或0.0.0.0时为主干域。不同网络区域的路由器通过主干域学习路由信息。 3. 使用身份验证

为了安全的原因，我们可以在相同OSPF区域的路由器上启用身份验证的功

第 11 页 共 15 页

通信全程全网配置分析 12

能，只有经过身份验证的同一区域的路由器才能互相通告路由信息。在默认情况下OSPF不使用区域验证。通过两种方法可启用身份验证功能，纯文本身份验证和消息摘要(md5)身份验证。纯文本身份验证传送的身份验证口令为纯文本，它会被网络探测器确定，所以不安全，不建议使用。

而消息摘要(md5)身份验证在传输身份验证口令前，要对口令进行加密，所以一般建议使用此种方法进行身份验证。使用身份验证时，区域内所有的路由器接口必须使用相同的身份验证方法。为起用身份验证，必须在路由器接口配置模式下，为区域的每个路由器接口配置口令。 任务 指定身份验证 使用纯文本身份验证 命 令 格 式 area area-id authentication message-digest] Ip ospf authentication-key password 使用消息摘要(md5)身份验Ip ospf message-digest-key keyid md5 证 备注：不同的路由器的其命令行也不尽相同，以上的表格仅供参考，具体可以用？命令或者HELP命令查询或者是参考PDF使用手册。 R1604 的OSPF路由协议配置 R2501-II 的OSPF路由协议配置 !进入串口0的配置模式 interface serial 0 !进入串口0配置模式 interface serial 0 ！设置串口IP地址和掩码 ip address 172.17.3.2 255.255.255.0 ！配置串口IP地址和掩码 ip address 172.17.1.1 255.255.255.0 ！进入以太网口配置模式 ！设定路由器ID号 interface ethernet 0 router id 1.1.1.1 ！配置IP地址和掩码 ！启动OSPF路由协议 ip address 192.168.3.1 255.255.255.0 router ospf enable ！设定路由器ID号 router id 4.4.4.4 ！进入串口0配置模式 ！启动OSPF路由协议 interface serial 0 router ospf enable ！进入串口0配置模式 ！封装接口类型为PPP interface serial 0 encapsulation ppp ！封装接口类型为PPP protocol-link ppp ！配置该接口所属的区域号 第 12 页 共 15 页 key ip ospf enable area 0 ip ospf network-type point-to-point ！配置该接口所属的区域号 ip ospf enable area 0 ip ospf network-type point-to-point

通信全程全网配置分析 13

心得：和RIP类似，每个路由器的设置都十分相似，所以要十分注意各个IP以及子网不要弄错，已免造成学习中不必要的时间耽搁。 R2501E-I- 的OSPF路由协议配置 VT-RT02 的OSPF路由协议配置 ！进入以太网口配置模式 ！进入以太网口配置模式 interface ethernet 0 interface ethernet 0 ！设置以太网口IP地址和掩码 ！设置以太网口IP地址和掩码 ip address 192.168.2.1 255.255.255.0 ip address 192.168.1.1 255.255.255.0 ！进入串口0配置模式 ！进入串口0配置模式 interface serial 0 interface serial 0 ！设置串口0的 IP地址和掩码 ！设置串口0的 IP地址和掩码 ip address 172.17.1.2 255.255.255.0 ip address 172.17.3.1 255.255.255.0 ！进入串口1配置模式 ！进入串口1配置模式 interface serial 1 interface serial 1 ！设置串口1的IP地址和掩码 ！设置串口1的 IP地址和掩码 ip address 172.17.2.1 255.255.255.0 ip address 172.17.2.2 255.255.255.0 ！进入串口0配置模式 ！进入串口0配置模式 interface serial 0 interface serial 0 ！封装接口类型为PPP ！封装接口类型为PPP encapsulation ppp encapsulation ppp ！设定路由器ID号 ！设定路由器ID号 router id 2.2.2.2 router id 3.3.3.3 ！启动OSPF路由协议 ！启动OSPF路由协议 router ospf enable router ospf enable ！配置该接口所属的区域号 ！配置该接口所属的区域号 ip ospf enable area 0 ip ospf enable area 0 !设定对端邻居IP地址 !设定对端邻居IP地址 ip ospf neighbor 172.17.3.2 ip ospf neighbor 172.17.1.1 ！进入串口1配置模式 ！进入串口1配置模式 interface serial 1 interface serial 1 ！封装接口类型为PPP ！封装接口类型为PPP encapsulation ppp encapsulation ppp ！配置该接口所属的区域号 ！配置该接口所属的区域号 ip ospf enable area 0 ip ospf enable area 0 !设定对端邻居IP地址 !设定对端邻居IP地址 防火墙的配置：

防火墙的目的形象的来讲在内部网络和外部广域Internet网之间建立一个信

第 13 页 共 15 页

通信全程全网配置分析 14

息检测中继，无论是内部网络发送到外部网络的信息，还是外部网络发送至内部网络的信息，防火墙均对其根据防火墙的配置脚本进行检测，查看是否有不符合配置规则的信息，并且根据实际的配置的脚本规则，进行实际的信息转发和过滤等等的操作，做到了对内部网络的有效保护。

在实验图中，具体表现为，以R2501E-I-和R1604为例，在R2501E上设置防火墙，设置只有2号机器可以访问3号机器所启动的HTTP服务，在R1604上设置防火墙，配置只有1号、2号机器所在的网段可以访问4号机器所启动的FTP服务。

实际命令行如下： R2501E-I- 防火墙的配置： !启动防火墙 firewall enable !定义防火墙的规则，规则号为100 ！仅允许192.168.1.11可以访问到路由器的 ！串口1的地址，192.168.1.10被禁止 access-list 100 permit tcp 192.168.1.11 0 172.17.2.2 0 access-list 100 deny tcp 192.168.1.10 0 172.17.2.2 0 ！进入串口1的配置模式 interface serial 1 ！将规则100作用于进入串口1的包 ip access-group 100 R1604 防火墙的配置： !启动防火墙配置 firewall enable !定义防火墙的规则，规则号为101 acl 100 ！仅允许192.168.1.*可以访问到路由器的串口0的地址 rule normal permit tcp source 192.168.1.10 0 destination 172.17.3.2 0 rule normal permit tcp source 192.168.1.11 0 destination 172.17.3.2 0 ！进入串口0的配置模式 interface serial 0 ！将规则101作用于进入串口0的包 ip access-group 101

实际应用：在上述的实际网络中分别对3台机器分别起不同的服务，2号机器安装了CCPROXY 是属于代理服务器，3号机器安装了WEB.Server 属于HTTP服务器，4号机器安装了Serve-U 属于FTP服务器。可以在这个模拟的网络中，通过这些服务检测网络互通并且验证了防火墙的实际作用。 五．结束语

第 14 页 共 15 页

通信全程全网配置分析 15

经过这近三个月在xxx计算机网络工程有限公司的实习，在公司同事们的帮助下，本文得以顺利完成。在此感谢xxx公司的xx、xx和xx等同事对我的帮助，他们为我形象的讲解了网络方面的基础知识，使得我纠正了不少错误的概念，我觉的最突出的一个方面是，每当我出现问题向其寻求解决方案的时候，他们并不是直接把解决方法告诉我而是通过点拨和提示的方法引导我自己去寻找正确答案。

在本次毕业设计中，我从指导老师老师那学到了很多东西。老师认真负责的工作态度，严谨的治学精神和深厚的理论水平都使我受益非浅。对我今后的工作和学习有非常大的帮助，感谢他的指导。

六.参考书目：

计算机网络原理与网络技术 计算机网络教程 Cisco 路由器连网技术 中小型局域网组建案例精选 第 15 页 共 15 页 《机械工业出版社》 《机械工业出版社》 《机械工业出版社》 《科学出版社》