【導讀】CLI的各種編輯命令和幫助命令的使用。本實驗所用之圖見圖1。某公司剛采購了新的路由器，管理員要學習使用路由器。⑵在Windows中啟動超級終端通信程序，建立新的連接，選擇路由器和計算機連接的串口，波特率為9600，其他的參數(shù)保持缺省。⑶開啟路由器的電源，觀察路由器的啟動過程，粗略估計路由器啟動過程完成的時間。列出以“clock”開頭的所有命令，只有一個“clock”，而“clock?”

　　

【正文】 o RouterB (configif)＃ no framerelay inversearp RouterB(configif)＃ framerelay map ip 200 cisco 【 問題 3】：不可能！ PVC 狀態(tài)不為 active，則端口協(xié)議不可 能起來，因而 ping 不會成功。 實驗 十二 標準 ACL 配置與調試 一、 實驗目標 在這個實驗中，我們將在 Cisco 2611XM 路由器上配置標準 ACL。通過該實驗我們可以進一步了解 ACL 的定義和應用，并且掌握標準 ACL 的配置和調試。 二、 實驗拓撲 實驗的拓撲結構如圖 1 所示。 圖 1 ACL 實驗拓撲結構 三、 實 驗要求 根據(jù)圖 1，設計標準 ACL，首先使得 PC1 所在的網(wǎng)絡不能通過路由器 R1 訪問 PC2 所在的網(wǎng)絡，然后使得 PC2 所在的網(wǎng)絡不能通過路由器 R2 訪問 PC1 所在的網(wǎng)絡。本實驗各設備的 IP 地址分配如下： ⑴ 路由器 R1： s0/0:fa0/0:⑵ 計算機 PC1： IP： 網(wǎng)關： ⑶ 路由器 R2： s0/0:fa0/0:⑷ 計算機 PC2： IP： 網(wǎng)關： 四、 實驗步驟 在開始本實驗之前，建議在刪除各路由器的初始配置后再重新啟動路由器。這樣可以防止由殘留的配置所帶來的問題。在準備好硬件以及線纜之后，我們按照下面的步驟開始進行實驗。 ⑴ 按照圖 1 進行組建網(wǎng)絡，經(jīng)檢查硬件連接沒有問題之后，各設備上電。 ⑵ 按照拓撲結構的要求，給路由器各端口配置 IP 地址、子網(wǎng)掩碼、時鐘（ DCE 端），并且用“ no shutdown”命令啟動各端口，可以用“ show interface”命令查看各端口的狀態(tài)，保證端口正常工作。 ⑶ 設置主機 A 和主 機 B 的 IP 地址、子網(wǎng)掩碼、網(wǎng)關，完成之后，分別 ping 自己的網(wǎng)關，應該是通的。 ⑷ 為保證整個網(wǎng)絡暢通，分別在路由器 R1 和 R2 上配置 rip 路由協(xié)議：在 R1和 R2上查看路由表分別如下： ① R1show ip route Gateway of last resort is not set R [120/1] via , 00:00:08, Serial0/0 C , Serial0/0 C , FastEther0/0 ② R2show ip route Gateway of last resort is not set C , Serial0/0 R [120/1] via , 00:00:08, Serial0/0 C , FastEther0/0 ⑸ R1 路由器上禁止 PC2 所在網(wǎng)段訪問： ①在路由器 R1 上配置如下： R1(config)accesslist 1 deny R1(config) accesslist 1 permit any R1(config)interface s0/0 R1(configif)ip accessgroup 1 in 【 問題 1】：為什么要配置“ accesslist 1 permit any”？ ②測試上述配置： 此時在 PC2 上 ping 路由器 R1，應該是不同的，因為訪問控制列表“ 1”已經(jīng)起了作用，結果如圖 2 所示： 圖 2 在 PC2 上 ping 路由器 R1 的結果 【 問題 2】：如果在 PC2 上 ping PC1，結果應該是怎樣的？ ③查看定義 ACL 列表： R1show accesslists Standard IP access list 1 deny , wildcard bits (26 matches) check=276 permit any (276 matches) ④查看 ACL 在 s0/0 作用的方向： R1show ip interface s0/0 Serial0/0 is up, line protocol is up Inter address is Broadcast address is Address determined by setup mand MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Multicast reserved groups joined: Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled 【 問題 3】：如果把 ACL 作用在 R1 的 fa0/0 端口，相應的配置應該怎樣改動？ 【 問題 4】：如果把上述配置的 ACL 在端口 s0/0 上的作用方向改為“ out”，結果會怎樣？ ⑹ 成功后在路由器 R1 上取消 ACL，轉為在 R2 路由器上禁止 PC1 所在網(wǎng)段訪問： ①在 R2 上配置如下： R2(config)accesslist 2 deny R2(config) accesslist 2 permit any R2(config)interface fa0/0 R2(configif)ip accessgroup 2 out ②測試和查看結果的操作和步驟⑸基本相同，這里不再贅述。 【 問題 5】：當我們把 ACL 作用的路由器的某個接口上時，“ in”和“ out”的參照對象是誰？ 五、 實驗問題參考答案 【 問題 1】：因為定義 ACL 時，路由器隱含拒絕所有，如果沒有該語句，則會拒絕所有的數(shù)據(jù)包通過 R1 的 s0/0，而我們的目的只是拒絕來自特定的網(wǎng)絡的數(shù)據(jù)包。 【 問題 2】：如果在 PC2 上 ping PC1，結果應該是不通的，應為 ping 命令執(zhí)行的時候，發(fā)送“ request”數(shù)據(jù)包，同時需要“ reply”數(shù)據(jù)包，所以只要一個方向不通，則整個 ping命令的結果就不通。 【 問題 3】：如果把 ACL 作用在 R1 的 fa0/0 端口，相應的配置應該是： R1(config)interface fa0/0 R2(configif)ip accessgroup 1 out 【 注意 】：注意 ACL 作用在接口上的方向發(fā)生了變化。 【 問題 4】：如果把上述配置的 ACL 在端口 s0/0 上的作用方向改為“ out” ,結果就是 ACL不起作用。 【 問題 5】：參照對象是路由器。 實驗 十三 擴展 ACL 配置與調試 一、 實驗目 標 在這個實驗中，我們將在 Cisco 2611XM 路由器上配置擴展 ACL。通過該實驗我們可以進一步了解 ACL 的定義和應用，并且掌握擴展 ACL 的配置和調試。 二、 實驗拓撲 實驗的拓撲結構如圖 1 所示。 圖 1 ACL 實驗拓撲結構 三、 實驗要求 根據(jù)圖 1，設計擴展 ACL，在 R1 路由器上禁止 PC2 所在網(wǎng)絡的 請求和所有的 tel請求，但仍能互相 ping 通。 四、 實驗步驟 ⑴、⑵、⑶、⑷步驟同實驗 13 的操作完全相同，限于篇幅的限制，再這里就不一一講述了。 ⑸ 分別在 R1 和 R2 上啟動 HTTP 服務： R1(config)ip server R2(config)ip server ⑹ 在 R1 路由器上禁止 PC2 所在網(wǎng)絡的 請求和所有的 tel請求，但允許能夠互相ping 通： ①在 R1 路由器上配置 ACL： R1(config) accesslist 101 deny tcp eq R1(config) accesslist 101 deny tcp any any eq 23 R1(config) accesslist 101 permit ip any any R1(config)interface s0/0 R1(configif)ip accessgroup 101 in ②測試上述配置： A． 在 PC2 上訪問 WWW服務，結果是無法訪問。 B． 在 PC2 上訪問 WWW服務，結果如圖 2所示。 圖 2 在 PC2 上訪問路由器 R1 的 s0/0 的結果 【 問題 1】：為什么在 PC2 上訪問同一個路由器的不同端口，會出現(xiàn)不同的結果？ C. 在 PC2 上遠程登錄 和 的結果如圖 3所示。 圖 3 從 PC2 上 tel 到路由器 R1 的不同的接口 D. 從 PC2 上 和 的結果如 4所示。 【 問題 2】：為什么在 C 和 D 的測試結果卻是相同的？ ③查看定義 ACL 列表： R1show accesslists Extended IP access list 101 deny tcp eq (12 matches) deny tcp any any eq tel (224 matches) permit ip any any (122 matches) 【 問題 3】：為什么我們定義 ACL 標號沒有延續(xù)實驗 13 的標號選為 3，而是 101？ 【 問題 4】：“ any”代表什么含義？ 【 問題 5】：如果想拒絕 PC2 到主機 的 FTP 服務，應該怎樣定義 ACL？ 圖 4 從 PC2 上 ping 到路由器 R1 的不同的接口 五、 實驗問題參考答案 【 問題 1】：這是由我們所定義的 ACL 決定的，“ accesslist 101 deny tcp eq ”的含義是拒絕網(wǎng) 絡 的 請求，并沒有拒絕到網(wǎng)絡 的 請求，所以訪問 可以成功，而訪問 卻被拒絕。 【 問題 2】：同樣是由我們的 ACL 引起的，“ accesslist 101 deny tcp any any eq 23” 和 “ accesslist 101 permit ip any any”兩條語句的源和目的都是“ any” ,也就是全部的，當然訪問的結果是一樣的。 【 問題 3】：因為擴展 ACL 標號的范圍是 100199。 【 問題 4】：“ any”代表“ ”。 【 問題 5】： accesslist 101 deny tcp host host eq 21 實驗 十四 NAT 配置實驗 一、 實驗目標 在這個實驗中，我們將在 Cisco 2611XM 路由器上配置 NAT。首先，我們配置靜態(tài) NAT 轉換，然后我們配置動態(tài) NAT，最后我們用 NAT 來配置 TCP 負載均衡。 二、 實驗拓撲 實驗的拓撲結構如圖 1 所示。 三、 實驗要求 某公司的網(wǎng)絡由兩臺路由器 RTA 和 RTC 組成。路由器 RTA 是連接 ISP 的邊界路由器，而 ISP只分配了一個子網(wǎng)： 。因為這個子網(wǎng)只允許有 30 臺主機，所以該公司決定在它的網(wǎng)絡內部運行 NAT，以使公司內部的幾百臺主機共享這 30 個全局地址。除了配置 NAT 復用以外，該公司還讓我們實施 TCP 負載均衡以使外部來的 web 請求被均衡在兩臺不同的內部 web 服務器上。公司內部的網(wǎng)絡 IP 地址分配為 。 圖 1 NAT 實驗拓撲結構 四、 實驗步驟 在開始本實驗之前，建議在刪除各路由器的初始配置后再重新啟動路由器。這樣可以防止由殘留的配置所帶來的問題。在準備好硬件以及線纜之后，我們按照下面的步驟開始進行實驗。 ⑴ 按照圖 1 進行組建網(wǎng)絡，經(jīng)檢查硬件連接沒有問題之后，各設備上電。 ⑵ 按照拓撲結構的要求，給路由器各端口配置 IP 地址、子網(wǎng)掩碼、時鐘（ DCE 端），并將各端口啟動，還要配置主機 A 和主機 B 的 IP 地址、 子網(wǎng)掩碼、網(wǎng)關等信息，上面的信息配好之后，用 ping 命令測試直接相連的設備之間是否能夠通信。 ⑶ 分別在三臺路由器上配置靜態(tài)路由： 【注意】：因為路由器 RTA 和 RTB 不屬于同一個自治系統(tǒng)，所以我們將不能在它們之間啟用路由選擇協(xié)議。 ①在路由器 RTA 上配置靜態(tài)路由，使它將所有的非本地的數(shù)據(jù)流轉發(fā)到 ISP 的路由器（ RTB），配置命令如下： RTA(config) ip route ②為路由器 RTB 配置一條到子網(wǎng) (分配 給該公司的全局地址塊 )的靜態(tài)路由，配置命令如下： RTB(config) ip route ③在 RTC 上配置一條到 RTA 的缺省路由，因為路由選擇協(xié)議不運行在 ，配置命令如下： RTC(config) ip route 通過上面的配置，此時我們檢驗：在路由器 RTA 上應該可以 ping 通所有的設備，但是路由器 RTC 應該 ping 不通路由器 RTB，反之，路由器 RTB 應該也 ping 不通路由器 RTC。 【 問