【導(dǎo)讀】CLI的各種編輯命令和幫助命令的使用。本實(shí)驗(yàn)所用之圖見(jiàn)圖1。某公司剛采購(gòu)了新的路由器，管理員要學(xué)習(xí)使用路由器。⑵在Windows中啟動(dòng)超級(jí)終端通信程序，建立新的連接，選擇路由器和計(jì)算機(jī)連接的串口，波特率為9600，其他的參數(shù)保持缺省。⑶開(kāi)啟路由器的電源，觀察路由器的啟動(dòng)過(guò)程，粗略估計(jì)路由器啟動(dòng)過(guò)程完成的時(shí)間。列出以“clock”開(kāi)頭的所有命令，只有一個(gè)“clock”，而“clock?”

　　

【正文】 o RouterB (configif)＃ no framerelay inversearp RouterB(configif)＃ framerelay map ip 200 cisco 【 問(wèn)題 3】：不可能！ PVC 狀態(tài)不為 active，則端口協(xié)議不可 能起來(lái)，因而 ping 不會(huì)成功。 實(shí)驗(yàn) 十二 標(biāo)準(zhǔn) ACL 配置與調(diào)試 一、 實(shí)驗(yàn)?zāi)繕?biāo) 在這個(gè)實(shí)驗(yàn)中，我們將在 Cisco 2611XM 路由器上配置標(biāo)準(zhǔn) ACL。通過(guò)該實(shí)驗(yàn)我們可以進(jìn)一步了解 ACL 的定義和應(yīng)用，并且掌握標(biāo)準(zhǔn) ACL 的配置和調(diào)試。 二、 實(shí)驗(yàn)拓?fù)? 實(shí)驗(yàn)的拓?fù)浣Y(jié)構(gòu)如圖 1 所示。 圖 1 ACL 實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu) 三、 實(shí) 驗(yàn)要求 根據(jù)圖 1，設(shè)計(jì)標(biāo)準(zhǔn) ACL，首先使得 PC1 所在的網(wǎng)絡(luò)不能通過(guò)路由器 R1 訪問(wèn) PC2 所在的網(wǎng)絡(luò)，然后使得 PC2 所在的網(wǎng)絡(luò)不能通過(guò)路由器 R2 訪問(wèn) PC1 所在的網(wǎng)絡(luò)。本實(shí)驗(yàn)各設(shè)備的 IP 地址分配如下： ⑴ 路由器 R1： s0/0:fa0/0:⑵ 計(jì)算機(jī) PC1： IP： 網(wǎng)關(guān)： ⑶ 路由器 R2： s0/0:fa0/0:⑷ 計(jì)算機(jī) PC2： IP： 網(wǎng)關(guān)： 四、 實(shí)驗(yàn)步驟 在開(kāi)始本實(shí)驗(yàn)之前，建議在刪除各路由器的初始配置后再重新啟動(dòng)路由器。這樣可以防止由殘留的配置所帶來(lái)的問(wèn)題。在準(zhǔn)備好硬件以及線纜之后，我們按照下面的步驟開(kāi)始進(jìn)行實(shí)驗(yàn)。 ⑴ 按照?qǐng)D 1 進(jìn)行組建網(wǎng)絡(luò)，經(jīng)檢查硬件連接沒(méi)有問(wèn)題之后，各設(shè)備上電。 ⑵ 按照拓?fù)浣Y(jié)構(gòu)的要求，給路由器各端口配置 IP 地址、子網(wǎng)掩碼、時(shí)鐘（ DCE 端），并且用“ no shutdown”命令啟動(dòng)各端口，可以用“ show interface”命令查看各端口的狀態(tài)，保證端口正常工作。 ⑶ 設(shè)置主機(jī) A 和主 機(jī) B 的 IP 地址、子網(wǎng)掩碼、網(wǎng)關(guān)，完成之后，分別 ping 自己的網(wǎng)關(guān)，應(yīng)該是通的。 ⑷ 為保證整個(gè)網(wǎng)絡(luò)暢通，分別在路由器 R1 和 R2 上配置 rip 路由協(xié)議：在 R1和 R2上查看路由表分別如下： ① R1show ip route Gateway of last resort is not set R [120/1] via , 00:00:08, Serial0/0 C , Serial0/0 C , FastEther0/0 ② R2show ip route Gateway of last resort is not set C , Serial0/0 R [120/1] via , 00:00:08, Serial0/0 C , FastEther0/0 ⑸ R1 路由器上禁止 PC2 所在網(wǎng)段訪問(wèn)： ①在路由器 R1 上配置如下： R1(config)accesslist 1 deny R1(config) accesslist 1 permit any R1(config)interface s0/0 R1(configif)ip accessgroup 1 in 【 問(wèn)題 1】：為什么要配置“ accesslist 1 permit any”？ ②測(cè)試上述配置： 此時(shí)在 PC2 上 ping 路由器 R1，應(yīng)該是不同的，因?yàn)樵L問(wèn)控制列表“ 1”已經(jīng)起了作用，結(jié)果如圖 2 所示： 圖 2 在 PC2 上 ping 路由器 R1 的結(jié)果 【 問(wèn)題 2】：如果在 PC2 上 ping PC1，結(jié)果應(yīng)該是怎樣的？ ③查看定義 ACL 列表： R1show accesslists Standard IP access list 1 deny , wildcard bits (26 matches) check=276 permit any (276 matches) ④查看 ACL 在 s0/0 作用的方向： R1show ip interface s0/0 Serial0/0 is up, line protocol is up Inter address is Broadcast address is Address determined by setup mand MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Multicast reserved groups joined: Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled 【 問(wèn)題 3】：如果把 ACL 作用在 R1 的 fa0/0 端口，相應(yīng)的配置應(yīng)該怎樣改動(dòng)？ 【 問(wèn)題 4】：如果把上述配置的 ACL 在端口 s0/0 上的作用方向改為“ out”，結(jié)果會(huì)怎樣？ ⑹ 成功后在路由器 R1 上取消 ACL，轉(zhuǎn)為在 R2 路由器上禁止 PC1 所在網(wǎng)段訪問(wèn)： ①在 R2 上配置如下： R2(config)accesslist 2 deny R2(config) accesslist 2 permit any R2(config)interface fa0/0 R2(configif)ip accessgroup 2 out ②測(cè)試和查看結(jié)果的操作和步驟⑸基本相同，這里不再贅述。 【 問(wèn)題 5】：當(dāng)我們把 ACL 作用的路由器的某個(gè)接口上時(shí)，“ in”和“ out”的參照對(duì)象是誰(shuí)？ 五、 實(shí)驗(yàn)問(wèn)題參考答案 【 問(wèn)題 1】：因?yàn)槎x ACL 時(shí)，路由器隱含拒絕所有，如果沒(méi)有該語(yǔ)句，則會(huì)拒絕所有的數(shù)據(jù)包通過(guò) R1 的 s0/0，而我們的目的只是拒絕來(lái)自特定的網(wǎng)絡(luò)的數(shù)據(jù)包。 【 問(wèn)題 2】：如果在 PC2 上 ping PC1，結(jié)果應(yīng)該是不通的，應(yīng)為 ping 命令執(zhí)行的時(shí)候，發(fā)送“ request”數(shù)據(jù)包，同時(shí)需要“ reply”數(shù)據(jù)包，所以只要一個(gè)方向不通，則整個(gè) ping命令的結(jié)果就不通。 【 問(wèn)題 3】：如果把 ACL 作用在 R1 的 fa0/0 端口，相應(yīng)的配置應(yīng)該是： R1(config)interface fa0/0 R2(configif)ip accessgroup 1 out 【 注意 】：注意 ACL 作用在接口上的方向發(fā)生了變化。 【 問(wèn)題 4】：如果把上述配置的 ACL 在端口 s0/0 上的作用方向改為“ out” ,結(jié)果就是 ACL不起作用。 【 問(wèn)題 5】：參照對(duì)象是路由器。 實(shí)驗(yàn) 十三 擴(kuò)展 ACL 配置與調(diào)試 一、 實(shí)驗(yàn)?zāi)?標(biāo) 在這個(gè)實(shí)驗(yàn)中，我們將在 Cisco 2611XM 路由器上配置擴(kuò)展 ACL。通過(guò)該實(shí)驗(yàn)我們可以進(jìn)一步了解 ACL 的定義和應(yīng)用，并且掌握擴(kuò)展 ACL 的配置和調(diào)試。 二、 實(shí)驗(yàn)拓?fù)? 實(shí)驗(yàn)的拓?fù)浣Y(jié)構(gòu)如圖 1 所示。 圖 1 ACL 實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu) 三、 實(shí)驗(yàn)要求 根據(jù)圖 1，設(shè)計(jì)擴(kuò)展 ACL，在 R1 路由器上禁止 PC2 所在網(wǎng)絡(luò)的 請(qǐng)求和所有的 tel請(qǐng)求，但仍能互相 ping 通。 四、 實(shí)驗(yàn)步驟 ⑴、⑵、⑶、⑷步驟同實(shí)驗(yàn) 13 的操作完全相同，限于篇幅的限制，再這里就不一一講述了。 ⑸ 分別在 R1 和 R2 上啟動(dòng) HTTP 服務(wù)： R1(config)ip server R2(config)ip server ⑹ 在 R1 路由器上禁止 PC2 所在網(wǎng)絡(luò)的 請(qǐng)求和所有的 tel請(qǐng)求，但允許能夠互相ping 通： ①在 R1 路由器上配置 ACL： R1(config) accesslist 101 deny tcp eq R1(config) accesslist 101 deny tcp any any eq 23 R1(config) accesslist 101 permit ip any any R1(config)interface s0/0 R1(configif)ip accessgroup 101 in ②測(cè)試上述配置： A． 在 PC2 上訪問(wèn) WWW服務(wù)，結(jié)果是無(wú)法訪問(wèn)。 B． 在 PC2 上訪問(wèn) WWW服務(wù)，結(jié)果如圖 2所示。 圖 2 在 PC2 上訪問(wèn)路由器 R1 的 s0/0 的結(jié)果 【 問(wèn)題 1】：為什么在 PC2 上訪問(wèn)同一個(gè)路由器的不同端口，會(huì)出現(xiàn)不同的結(jié)果？ C. 在 PC2 上遠(yuǎn)程登錄 和 的結(jié)果如圖 3所示。 圖 3 從 PC2 上 tel 到路由器 R1 的不同的接口 D. 從 PC2 上 和 的結(jié)果如 4所示。 【 問(wèn)題 2】：為什么在 C 和 D 的測(cè)試結(jié)果卻是相同的？ ③查看定義 ACL 列表： R1show accesslists Extended IP access list 101 deny tcp eq (12 matches) deny tcp any any eq tel (224 matches) permit ip any any (122 matches) 【 問(wèn)題 3】：為什么我們定義 ACL 標(biāo)號(hào)沒(méi)有延續(xù)實(shí)驗(yàn) 13 的標(biāo)號(hào)選為 3，而是 101？ 【 問(wèn)題 4】：“ any”代表什么含義？ 【 問(wèn)題 5】：如果想拒絕 PC2 到主機(jī) 的 FTP 服務(wù)，應(yīng)該怎樣定義 ACL？ 圖 4 從 PC2 上 ping 到路由器 R1 的不同的接口 五、 實(shí)驗(yàn)問(wèn)題參考答案 【 問(wèn)題 1】：這是由我們所定義的 ACL 決定的，“ accesslist 101 deny tcp eq ”的含義是拒絕網(wǎng) 絡(luò) 的 請(qǐng)求，并沒(méi)有拒絕到網(wǎng)絡(luò) 的 請(qǐng)求，所以訪問(wèn) 可以成功，而訪問(wèn) 卻被拒絕。 【 問(wèn)題 2】：同樣是由我們的 ACL 引起的，“ accesslist 101 deny tcp any any eq 23” 和 “ accesslist 101 permit ip any any”兩條語(yǔ)句的源和目的都是“ any” ,也就是全部的，當(dāng)然訪問(wèn)的結(jié)果是一樣的。 【 問(wèn)題 3】：因?yàn)閿U(kuò)展 ACL 標(biāo)號(hào)的范圍是 100199。 【 問(wèn)題 4】：“ any”代表“ ”。 【 問(wèn)題 5】： accesslist 101 deny tcp host host eq 21 實(shí)驗(yàn) 十四 NAT 配置實(shí)驗(yàn) 一、 實(shí)驗(yàn)?zāi)繕?biāo) 在這個(gè)實(shí)驗(yàn)中，我們將在 Cisco 2611XM 路由器上配置 NAT。首先，我們配置靜態(tài) NAT 轉(zhuǎn)換，然后我們配置動(dòng)態(tài) NAT，最后我們用 NAT 來(lái)配置 TCP 負(fù)載均衡。 二、 實(shí)驗(yàn)拓?fù)? 實(shí)驗(yàn)的拓?fù)浣Y(jié)構(gòu)如圖 1 所示。 三、 實(shí)驗(yàn)要求 某公司的網(wǎng)絡(luò)由兩臺(tái)路由器 RTA 和 RTC 組成。路由器 RTA 是連接 ISP 的邊界路由器，而 ISP只分配了一個(gè)子網(wǎng)： 。因?yàn)檫@個(gè)子網(wǎng)只允許有 30 臺(tái)主機(jī)，所以該公司決定在它的網(wǎng)絡(luò)內(nèi)部運(yùn)行 NAT，以使公司內(nèi)部的幾百臺(tái)主機(jī)共享這 30 個(gè)全局地址。除了配置 NAT 復(fù)用以外，該公司還讓我們實(shí)施 TCP 負(fù)載均衡以使外部來(lái)的 web 請(qǐng)求被均衡在兩臺(tái)不同的內(nèi)部 web 服務(wù)器上。公司內(nèi)部的網(wǎng)絡(luò) IP 地址分配為 。 圖 1 NAT 實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu) 四、 實(shí)驗(yàn)步驟 在開(kāi)始本實(shí)驗(yàn)之前，建議在刪除各路由器的初始配置后再重新啟動(dòng)路由器。這樣可以防止由殘留的配置所帶來(lái)的問(wèn)題。在準(zhǔn)備好硬件以及線纜之后，我們按照下面的步驟開(kāi)始進(jìn)行實(shí)驗(yàn)。 ⑴ 按照?qǐng)D 1 進(jìn)行組建網(wǎng)絡(luò)，經(jīng)檢查硬件連接沒(méi)有問(wèn)題之后，各設(shè)備上電。 ⑵ 按照拓?fù)浣Y(jié)構(gòu)的要求，給路由器各端口配置 IP 地址、子網(wǎng)掩碼、時(shí)鐘（ DCE 端），并將各端口啟動(dòng)，還要配置主機(jī) A 和主機(jī) B 的 IP 地址、 子網(wǎng)掩碼、網(wǎng)關(guān)等信息，上面的信息配好之后，用 ping 命令測(cè)試直接相連的設(shè)備之間是否能夠通信。 ⑶ 分別在三臺(tái)路由器上配置靜態(tài)路由： 【注意】：因?yàn)槁酚善?RTA 和 RTB 不屬于同一個(gè)自治系統(tǒng)，所以我們將不能在它們之間啟用路由選擇協(xié)議。 ①在路由器 RTA 上配置靜態(tài)路由，使它將所有的非本地的數(shù)據(jù)流轉(zhuǎn)發(fā)到 ISP 的路由器（ RTB），配置命令如下： RTA(config) ip route ②為路由器 RTB 配置一條到子網(wǎng) (分配 給該公司的全局地址塊 )的靜態(tài)路由，配置命令如下： RTB(config) ip route ③在 RTC 上配置一條到 RTA 的缺省路由，因?yàn)槁酚蛇x擇協(xié)議不運(yùn)行在 ，配置命令如下： RTC(config) ip route 通過(guò)上面的配置，此時(shí)我們檢驗(yàn)：在路由器 RTA 上應(yīng)該可以 ping 通所有的設(shè)備，但是路由器 RTC 應(yīng)該 ping 不通路由器 RTB，反之，路由器 RTB 應(yīng)該也 ping 不通路由器 RTC。 【 問(wèn)