BOSON NETSIM v5.27独立实验(28个)练习笔记
CCNA/ICND独立实验
一,登陆到路由器进入特权模式
从用户模式进入特权模式的指令:enable
从特权模式退出到用户模式的指令:disable
从路由器注销的指令:logout,exit
注:在特权模式下执行exit也会注销
二,指令基础
显示出当前模式下的所有可用指令: ?
显示出当前模式下的所有以show开头的可用指令:show ?
从特权模式进入配置模式的指令:config terminal
从配置模式退出到特权模式:ctrl+z,exit
三,show指令介绍
显示路由器基本配置:show version
显示目前的路由协议:show protocols
显示闪存配置:show flash
显示当前路由器运行配置文件:show running-config
显示命令历史:show history
显示时间:show clock
显示主机名称:show hosts
显示当前用户:show users
显示路由器接口信息:show interfaces
四,CDP协议
1,CDP协议用来发现邻居路由器的信息
2,CDP工作在数据链路层,只能找到直连的路由器
3,CDP配置默认是启动的
全局配置指令:
关闭本路由器的CDP协议:no cdp run
启动CDP协议:cdp run
调整CDP协议的广播时间:cdp timer 120 (秒)
接口模式配置指令
启动该接口CDP协议:cdp enable
关闭该接口CDP协议:no cdp enable
显示CDP协议运行状态
显示接口上的CDP状态:show cdp interface
显示直连邻居路由器:show cdp neighhor
显示直连邻居路由器详细信息:show cpd neighbor detail
显示CDP协议基本状态:show cdp
实验:利用路由器R1和R4
1在R1进入配置模式
2将R1的主机名字改为R1
3同理将R4的名字改为R4
4在R1打开S0
5在R4打开S0
6在R1打开E0
7在R1上查看CDP协议运行状态
8在R1上查看邻居路由器
9在R1上查看邻居路由器详细信息
10在R1上显示具体邻居路由器的状态 show cdp entry R4
11在R1上查看CDP协议运行状态
12在R1上设置CDP更新时间为45秒
13在R1上设置CDP延迟时间为80秒 cdp holdtime 60
14在R1上查看CDP协议变化
15在R1上关闭CDP协议
16在R1上启动CDP协议
17在R1上关闭E0接口的CDP协议
18在R1上校验E0接口不再发送CDP数据包
五,指令基础
配置特权模式密码:enable password xxxx
配置特权模式密码(加密):enable secret xxxx
六,配置MOTD信息
配置进入路由器的欢迎信息:
router#config>banner motd z
welcom to hrb z
七,配置信息的保存
启动配置文件startup-config保存在NVRAM里面,路由器启动时,将startup-config拷贝到内存中形成运行配置文件running-config
显示启动配置文件:show startup-config
显示当前运行配置文件:show running-config
将当前配置保存:copy running-config startup-config
实验步骤
1进入R1特权模式
2显示当前运行配置文件
3显示启动配置文件
4将当前运行文件保存为启动配置文件
5显示当前启动配置文件
6删除启动配置文件:earse startup-config
7重新启动路由器
8显示目前的启动配置文件
9修改路由器名字为BOSON
10重启路由器
八,端口配置
路由器端口类型:令牌环网,FDDI,以太网,串口,ISDN。
show interfaces命令的输出
Ethernet 0 is Line protocol is Meaning
administratively down down 端口被shutdown指令关闭
up down 线缆连上但没有通讯
down down 线路故障/DCE上没有设置clock rate
up up 工作正常
看某个具体端口信息:show interface serial 0
看所有端口基本状态:show ip int brief
DTE和DCE的区别(DCE设备必须设置时钟)
判断某个接口属于DCE还是DTE:show controllers serial 0
配置某DCE端口的例子:
eRouter#config t
Enter configuration commands, one per line. End with CNTL/Z.
eRouter(config)#interface serial 0
eRouter(config-if)#clock rate 56000
eRouter(config-if)#end
eRouter#
九,IP地址的基本配置方法
格式:ip address ip-address mask
实验:
Router>
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int e0
Router(config-if)#ip address 10.1.1.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#int s0
Router(config-if)#ip address 172.16.10.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#end
%SYS-5-CONFIG_I: Configured from console by console
Router>
Ping指令的使用
ping ip-address
显示路由器IP状态:show ip interface brief
Router#shoe ip interface brief
Interface IP-Address OK? Method Status Protocol
BRI0 unassigned YES manual admin down down
Ethernet0 10.1.1.1 YES manual admin down down
Serial0 172.16.10.1 YES manual admin down down
十,ARP基础
显示ARP表:show arp
清除ARP表:clear arp
十一,Host表
实验步骤:
1进入路由器1特权模式
2进入配置模式将hostname设置为California
3打开E0接口,将IP设置为:195.42.36.10 255.255.255.240
4进入路由器2特权模式
5进入配置模式将hostname设置为Tampa
6打开E0接口,将IP设置为:195.42.36.12 255.255.255.240
7ip host California
8可以直接ping California
9show hosts
十二,静态路由配置
目标:
1设定主机名称将端口打开
2Ping直连路由器
3配置静态路由
4查看路由表
5校验Ping校验路由
步骤:
1按照下表配置路由器1,2,4
eRouter1 eRouter2 eRouter4
Interface Ethernet 0 10.1.1.1 10.1.1.2
255.255.255.0 255.255.255.0
Interface Serial 0 12.5.10.1 12.5.10.2
255.255.255.0 255.255.255.0
2校验每一个直连的路由器端口
3进入每一个路由器进行静态路由配置,首先看Router1,我们需要为其建立那些和它不直接相连的路由器的路由表,因为Router1和R2,R4都直接相连,所以不用设置。
4我们开始在R4上配置到R2的路由,因为R4的S0(12.5.10.0)连接到R1,而R1连接到我们想要到达的网段(10.1.1.0),我们设置静态路由如下:ip route 10.1.1.0 255.255.255.0 12.5.10.1
5从R4路由器PingR2路由器
6Ping不通的原因分析
7查看目前的路由表
8在R2上设置到R4网段的静态路由:ip route 12.5.10.0 255.255.255.0 10.1.1.2
配置静态路由指令格式:
ip route 目标网段 目标网段子网掩码 下一跳路由器端口
十三,RIP路由协议
本例依然使用R1,R2,R4
实验目标:
1设定路由器名字,打开端口
2配置RIP路由协议
3挑选直连网络
4查看路由表
5查看RIP协议信息
6观察RIP调试信息
实验环境
====================================================================================
eRouter1 eRouter2 eRouter4
Interface Ethernet 0 10.1.1.1 10.1.1.2
255.255.255.0 255.255.255.0
Interface Serial 0 172.16.10.1 172.16.10.2
255.255.0.0 255.255.0.0
====================================================================================
1配置R1的端口
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname eRouter1
eRoute1r(config)#int e0
eRouter1(config-if)#ip address 10.1.1.1 255.255.255.0
eRouter1(config-if)#no shut
%LINK-3-UPDOWN: Interface Ethernet0, changed state to up
eRouter1(config-if)#exit
eRouter1(config)#int s0
eRouter1(config-if)#ip address 172.16.10.1 255.255.0.0
eRouter1(config-if)#no shut
%LINK-3-UPDOWN: Interface Serial0, changed state to up
eRouter1(config-if)#exit
eRouter1(config)#
2进入路由配置模式:route rip
3给出协议工作网段:
network 172.16.0.0
network 10.0.0.0
4同理在R2上配置RIP协议
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname eRouter2
eRouter2(config)#int e0
eRouter2(config-if)#ip address 10.1.1.2 255.255.255.0
eRouter2(config-if)#no shut
00:17:25: %LINK-3-UPDOWN: Interface Ethernet0, changed state to up
eRouter2(config-if)#exit
eRouter2(config)#
eRouter2(config)#router rip
eRouter2(config-router)#network 10.0.0.0
eRouter2(config-router)#exit
eRouter2(config)#exit
eRouter2#
5同理设置R4
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname eRouter4
eRouter4(config)#int s0
eRouter4(config-if)#ip address 172.16.10.2 255.255.0.0
eRouter4(config-if)#no shut
00:20:35: %LINK-3-UPDOWN: Interface Serial0, changed state to up
eRouter4(config-if)#exit
eRouter4(config)#
eRouter4(config)#router rip
eRouter4(config-router)#network 172.16.0.0
eRouter4(config-router)#exit
eRouter4(config)#exit
eRouter4#
6查看路由器上运行的路由协议:show ip protocols
十四:IGRP协议
内部网管路由协议是一个标准的距离向量类型的内部网关协议。本协议使用带宽和时延作为度量值来决定路由线路,我们也可以把MTU,负载,可靠性配置成度量值,在一个IGRP的网罗中,每一个路由器每90秒把自己整个IGRP路由表发布到邻居路由器,邻居路由器由此更新自己路由表,并把更新过的路由表在发布出去,由此直到所有路由器都对整个网络有了全面认识。
IGRP是个有类路由协议
实验环境:
===============================================================
eRouter1 eRouter2 eRouter4
Interface 10.1.1.1 10.1.1.2
Ethernet 0 255.255.255.0 255.255.255.0
Interface 172.16.10.1 172.16.10.2
Serial 0 255.255.255.0 255.255.255.0
===============================================================
请将实验环境配置完成
1在R1上配置IGRP协议
指令格式:router igrp 自治系统编号
eRouter1(config)#router IGRP 100
现在我们需要告诉路由器连到了哪个网段上。换句话说,我们需要在每一个端口上设置该端口所在网络的自治系统编号.
在R1上的端口10.1.1.1/24,因为IGRP是有类路由,我们仅仅需要把10.1.1.1所在网段地址给出便可。所以在R1上设置:
eRouter1(config-router)#network 172.16.0.0
eRouter1(config-router)#network 10.0.0.0
2同理设置R2和R4
3利用show ip route 指令查看路由表
分析下列输出
I 10.1.1.0/24 [100/273] via 172.16.10.1, 00:00:21, Serial0.
I:代表本条路由是由IGRP协议得到的
10.1.1.1/24 目标
100 管辖距离
273 度量值
172.16.10.1 下一跳地址
Serial0 到下一跳的端口
4利用show ip protocols 指令查看协议运行状态
eRouter4#show ip protocols
Routing Protocol is igrp 100
Sending updates every 90 seconds, next due in 12 seconds
Invalid after 270 seconds, hold down 280, flushed after 630
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Default networks flagged in outgoing updates
Default networks accepted from incoming updates
IGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0
IGRP maximum hopcount 100
IGRP maximum metric variance 1
Redistributing: igrp 100
Routing for Networks:
172.16.0.0
Routing Information Sources:
Gateway Distance Last Update
172.16.10.2 100 00:00:09
Distance: (default is 100)
十五,PPP/CHAP
点对点协议处理在两个计算机之间的串口连接,比如一台个人电脑与服务器的连接。
PPP使用IP协议
PPP提供的是第二层服务(将TCP/IP包再次打包然后传送到服务器上)
PPP是个full-duplex协议,可以用在不同的物理介质上。包括双绞线,光纤,卫星传输,它使用High Speed Data Link Control (HDLC)协议的一个变种版本来封装数据
PPP可以传送同步信号,也可以传送异步信号
PPP具有SLIP所缺乏的错误检测功能
CHAP (Challenge-Handshake Authentication Protocol) 是一个比Password Authentication Procedure (PAP)更加安全的协议
CHAP工作方式
1,连接建立后,服务器发出一个挑战信息给请求者,请求者回应一个包含HASH函数计算结果的值。
2,服务器检查请求者的回应,将值与自己计算的结果进行比较。
3,如果相等,认证被承认,否则连接断开
任何时间,服务器都可以要求连接者再发出一个新的挑战信息。因为CHAP表示可以有规律的改变,因为服务器可以随时进行认证,所以CHAP协议更安全
在Cisco路由器上配置PPP/CHAP的方法
设置PPP的指令:encapsulation ppp
在两方都需要设置
设置认证的方式:ppp authentication chap
给两方路由器
此时两个路由器在这条链路有将试图建立认证,他们会尝试用自己的主机名(hostname)作为用户名,用enable密码作为密码来和对方进行认证,所以我们必须在路由器上建立一个用户表来存储其它路由器的认证信息,格式为:
username Other_Router password Other_enable_pass
例题:
R1)s0----------s0(R2)
PPP Without CHAP
eRouter 1:
hostname R1
interface serial 0
encapsulation PPP
no shutdown
eRouter 2:
hostname R2
interface serial 0
encapsulation PPP
no shutdown
PPP With CHAP default names and password
eRouter 1:
hostname R1
enable secret toast1
username R2 password cool2
interface serial 0
encapsulation PPP
ppp authentication chap
no shutdown
eRouter 2:
hostname R2
enable secret cool2
username R1 password toast1
interface serial 0
encapsulation PPP
ppp authentication chap
no shutdown
十六,保存路由配置
1,保存当前配置文件的指令:copy running-config statup-config
2,删除启动配置文件,使启动是进入配置模式:erase startup-config
实验步骤:
本实验需要R4和工作站eStation1
1,进入R4 的配置模式
2,将R4的名字设置为Tampa
3,进入e0端口
4,将e0的ip地址设置为24.37.2.1 255.255.255.0
5,打开e0端口
6,进入eStaton1,设置eStation1的ip地址为24.37.2.252/24 网关为R4的E0地址,并用winipcfg指令测试
7,Ping R4的E0端口测试连接
8,在R4上将运行配置文件拷贝到tftp服务器上
9,给出tftp服务器的ip地址和存储文件名称
10,在eStation1上面使用show tftp-configs查看当前信息
十七,配置文件的载入
实验环境同上,就是从上面完成的环境开始
1,进入Tampa的配置模式
2,设置主机名称为Bad_Router
3,从tftp服务器拷贝到运行配置文件:copy tftp running-config
4,输入tftp服务器的ip地址
5,输入配置文件名字
6,校验主机名字是否变回来了?
十八,ISDN
ISDN理论
1,端对端的数字链接
2,可以运行在电话线和光纤上。
3,两种通道类型
B通道:运送用户信息:语音、数据等 64Kbps
D通道:运送通道控制信息 64/16Kbps(包交换)
4,两种服务类型
BRI:2B+D 128K数据传输率
PRI:23B+D 1.5M数据传输率
5,硬件
接口设备
U接口:客户到电话局,一对线便可,容易安装
S/T接口 在终端卡和墙上插座,两对线 需要额外的NT1设备
ISDN调制解调器
连接电脑和ISDN线路
一般包含TA(终端适配卡)
常用来把一个电脑练到网络上
ISDN路由器
连接ISDN线路到网络媒体(ISDN digital protocol->networking protocol)
高级特点
绑定:合并多个通道达到更大的速率,亦称为逆转多路复用
动态分配:发现拥挤线路可以多路传送来化解
错误检验:很少用
优点:速度;一条电话线多种服务,智能化
缺点:位置限制,安装复杂
ISDN提供如下各类的标准设备:
TE1:ISDN标准终端设备;
TE2:非标准ISDN终端设备;
NT1:网络终端1,标志本地环路的物理终结,具有用户传输线终端和用
户网络接口(UNI)功能;
NT2:网络终端2,可以是PABX或局域网LAN;
LE:本地交换设备,完成用户本地环路内的设备间信息交换;
TA:终端适配器,完成非标准设备到ISDN速率的匹配及协议转换(它可以在TE2中内嵌实现);
实验目标:在Cisco路由器上配置ISDN
实验设备:R1,R2
实验步骤
1设置路由器1(hostname eRouter1)和路由器2(hostname eRouter2)之间BR的端口的连接(设置IP,打开端口)
路由器1
router>enable
config t
hostname eRouter1
interface bri0
ip address 42.34.10.1 255.0.0.0
no shut
end
路由器2
router>enable
config t
hostname eRouter2
interface bri0
ip address 42.34.10.121 255.0.0.0
no shut
end
2设定eRoute1的ISDN接口的isdn switch类型,如果我们使用了缺省的switch-type参数值basic-ni,可以有两个位置可以设置switch-type参数,一种方法可以一次设定本路由器全部的BRI接口
config t
isdn switch-type basic-ni
3设置BRI接口特定信息,我们这里设置ISDN SPID(Service Profile Identifier)用户标识符
config t
interface bri0
isdn spid1 32177820010100
4设置完成switch-type和SPID,我们应该完成了物理层上的连接,可以用下列指令进行检验
show isdn status
5开始设定拨号号码
config t
interface bir0
dialer string 7782002
6为了1SDN的费用问题,我们应该设定需要连接时才建立(按需拨号),方法多种,我们这里使用拨号组(dialer groups)和拨号列表(dialer lists)
eRoute1(config)#dialer-list 1 protocol permit
7把这个dialer-list应用到bri0端口上
interface bri0
dialer-group 1
小结
isdn-switch----spid----dialer string----dialer-list-----dialer-group
8同理设置eRouter2
9在eRouter2上ping eRouter1的bri0端口
10校验isdn状态show isdn status
11校验show running-config
十九,IPX协议
IPX地址
IPX地址80个bit长,前32个bit代表俩网段地址,后面的48个bit代表节点地址,网段地址有管理员设定,节点地址一般是网卡MAC地址,对于串口,节点地址就是第一个LAN端口地址
举例:network.node.node.node
IPX路由
三个主要的IPX路由协议是ipx rip,ipx eigrp,nlsp
ipx rip是距离向量型路由协议,它每60秒将整个路由表广播出去
ipx rip支持负载均衡可以利用ipx maximum-paths 设置
ipx是个三层协议,被释放前会被包装成二层帧,二层帧可以是不同的封装形式,缺省的封装类型是HDLC,在一个端口上可以有多个封装形式。
如果一个端口需要多种封装形式,需要设定子端口。
ipx的配置
1 配置ipx: Router(config)#ipx routing
2 配置接口:
Router(config)#interface ethernet 0
Router(config-if)#ipx network 6F
Router(config-if)#ipx encapsulation arpa
3 查看信息
Router#show ipx interface
Router#show ipx interface brief
Router#show ipx route
实验步骤
1,在eRouter1上启动IPX路由
ipx routing
2,设置e0端口的ipx地址B201
ipx network B201
3,设置e1端口的ipx地址
ipx network AAA
4,进入eRouter2
5,启动eRouter2的IPX路由
ipx routing
6,设置eRouter2的e0端口ipx地址和eRouter1的e0一致
ipx network b201
7,查看eRouter2的ipx路由表
show ipx route
8,进入eRouter3
9,设置ipx路由
ipx routing
10,设置eRouter3的e0端口ipx地址和eRouter1和e1一致
ipx network AAA
11,查看ipx路由状态
show ipx route
12,查看ipx接口
show ipx interface
13,在eRouter3 ping eRouter1的e0的ipx地址
ping ipx "eRouter2's ethernet 0 ipx address"
14,ipx常用指令
show ipx interface
show ipx traffic
show ipx interface brief
二十,交换机介绍
交换机工作于第二层,可以和路由器一样的调试,连接cosole口、telnet、或者使用tftp改变ios
有些指令和路由器相同:show interfaces、 show version 、show running-config
查看mac地址表:show mac-address-table
二十一,交换机基本配置
enable
config t
end
二十二,帧中继
帧中继是在X.25基础上发展起来的通讯协议,两者之间的不同在于数据检错和纠错。
X.25在网络上作全方位的数据检验和纠正。这意味着网络设备发现错误数据会立刻要求重新传输,这种检查的代价就是网络的延迟。
帧中继仅仅作错误检验而不作纠正,它把纠错的事情交给两端设备协议来作。所以减少了延迟
帧中继相关指令:
1 端口描述符:description descriptive-string 加在端口上的字符描述用来跟踪PVCs
2 封装设置指令:encapsulation frame-relay [cisco|ietf]
如果连接的路由器不是Cisco出品的封装格式就设置为ietf
3 设置子端口DLCI号码:frame-relay interface-dlci dlci [broadcast]
对于连接到路由器上的每一个PVC都应该设置一个DLCI号码。这个DLCI并不在路由器之间交换.
4 配置管理接口frame-relay lmi-type {ansi | cisco | q933a}
5 配置ip映射frame-relay map ip ip-address dlci [broadcast]
6 设置子端口interface Serial0.subinterface# [point-to-point | multipoint]
帧中继试验
试验目标:理解如何建立一个帧中继连接
试验设备:R1,R2
试验拓扑:frame.top
1,进入eRouter1的配置模式
enable
config t
2,更名为R1
hostname R1
3,配置S0端口ip地址
interface serial 0
ip address 10.1.1.1 255.255.255.0
4,打开s0端口
no shut
5,将eRouter2的名称改为R2
hostname R2
6,设置R2的S0端口
ip address 10.1.1.2 255.255.255.0
7,打开s0
no shut
8,在R1为S0设定帧中继封装格式,注意现在的两个端口都依然没有启动,我们需要在每一个断口上设定
帧中继格式,端口才能打开。在配置模式下执行下列指令
R1(config-if)#encapsulation frame-reday
9,设置R1到R2通讯帧中继接口的DLCI参数,我们这里使用缺省的102
R1(config-if)#frame-reday interface-dlci 102
10,在R2上为S0设定帧中继封装格式,注意现在的两个端口都依然没有启动,我们需要在每一个断口上设
定帧中继格式,端口才能打开。在配置模式下执行下列指令
R2(config-if)#encapsulation frame-reday
11,设置R2到R1通讯帧中继接口的DLCI参数,我们这里使用缺省的102
R2(config-if)#frame-reday interface-dlci 201
12,现在路由器的输出中应该看到DLCI状态是激活的,这意味着我们已经从R1到R2建立起了一条帧中继连
接。我们可以用ping来验证,下面利用指令显示帧中继的状态,第一个指令是show frame-relay lmi,用
来显示两个路由器之间已经发生了LMI信息的交换
R2#show frame-relay lmi
13,下一个指令是show frame-relay traffic显示全局的帧中继统计信息
R2#show frame-relay traffic
14,利用show frame-relay map指令查看2层的DLCI到3层IP的映射,我们可以利用frame-relay map手工
添加映射
R2#frame-relay map
15,利用show frame-relay PVC指令查看PVC的映射,这些映射在路由器和帧中继交换机之间仅仅用来作
本地信号
R2#show frame-relay PVC
二十三,标准控制列表
根据源地址判断数据包是否允许通过-标准控制列表
路由器根据控制列表号码判断是标准控制列表还是扩展控制列表
使用方法
1,建立
access-list [#] [permit │ deny] [source-address │ keyword any] [source mask]
2,应用到具体端口
ip access-group [access-list-number] [in │ out]
示例1
eRouter#conf t
Enter configuration commands, one per line. End with CNTL/Z.
eeRouter(config)#int Ethernet 0
eeRouter(config-if)#ip access-group 1 in
eRouter#
eRouter#conf t
eRouter(config)#int Ethernet 0
eRouter(config-if)#ip access-group 1 out
eRouter(config-if)#^Z
示例2
要求
1接受所有来自10.1.1.0 255.255.255.128的数据包
2但同时需要拒绝10.1.1.128 255.255.255.128的数据包
3拒绝来自15.1.1.0网段的数据表但接受15.1.1.5这一台主机
结果
eRouter#conf t
Enter configuration commands, one per line. End with CNTL/Z.
eeRouter(config)#access-list 2 deny 10.1.1.128 0.0.0.127
eeRouter(config)#access-list 2 permit 15.1.1.5
eeRouter(config)#access-list 2 deny 15.1.1.0 0.0.0.255
eeRouter(config)#access-list 2 permit any
eeRouter(config)#^Z
eRouter#
分析
1没有必要特意写出源地址,因为最后一行已经包括了源地址
2拒绝10.1.1.128/25网段,我们将这个网段的主机全部拒绝
3既然拒绝15.1.1.0所有网段的主机所以source mask设置为0 0.0.0.255,根据拒绝优先原则,必须先设置对15.1.1.5的接收后在设置对该网段的拒绝
二十四,校验访问控制列表
这里我们验证一下上一节的实验结果
1,在eRouter4上是否可以ping到eRouter2的e0端口(24.17.2.2).
2,如果得到.....说明访问控制列表起作用
3,在eRouter2查看目前配置show running-config
4,看看访问控制列表的作用点show ip interface
5,查看目前访问控制列表的状态show access-lists
如果计算source mask
1匹配具体的一台独立主机
All wildcard mask bits are zero’s
For Standard Access-list
Access-list 1 permit 157.89.8.9 0.0.0.0
Access-list 1 permit 157.89.8.9 (standard access lists assume a 0.0.0.0 mask)
For Extended Access-lists
Access-list 101 permit ip 157.89.8.9 0.0.0.0 any
Access-list 101 permit ip host 157.89.8.9 any
2匹配一个子网
Wildcard mask = 255.255.255.255 – subnet mask
例子 1
Given 3.2.4.0 subnet mask 255.255.255.0
255.255.255.255
- subnet mask 255.255.255. 0
Wildcard mask 0. 0. 0. 255
用法:
Access-list 1 permit 3.2.4.0 0.0.0.255
例子 2
Given 111.2.4.112 subnet mask 255.255.255.224
255.255.255.255
- subnet mask 255.255.255.224
Wildcard mask 0. 0. 0. 31
用法:
Access-list 1 permit 111.2.4.112 0.0.0.31
例子 3
Given 3.2.128.0 subnet mask 255.255.192.0
255.255.255.255
- subnet mask 255.255.192. 0
Wildcard mask 0. 0. 63.255
用法:
Access-list 1 permit 3.2.128.0 0.0.63.255
例子 4
Given 203.2.4.128 subnet mask 255.255.255.240
255.255.255.255
- subnet mask 255.255.255.240
Wildcard mask 0. 0. 0. 15
用法:
Access-list 1 permit 203.2.4.128 0.0.0.15
二十五,扩展控制列表
实验目标:使用扩展访问列表
实验设备:R1,R2,R4
实验设备配置:
eRouter1
Ethernet 0 – 24.17.2.1 255.255.255.240
Serial 0-24.17.2.17 255.255.255.240
Rip Enabled for both interfaces
eRouter2
Ethernet 0-24.17.2.2 255.255.255.240
Rip Enabled for E0
eRouter 4
Serial 0-24.17.2.18 255.255.255.240
Rip Enabled for S0
实验步骤:
如果在实验之前路由器上已经设置了标准访问列表,请用no ip access-group 1 去掉
1,设置R1的E0端口24.17.2.1 255.255.255.240,S0端口24.17.2.17 255.255.255.240,然后激活
2,设置R2的E0端口24.17.2.2 255.255.255.240,激活
3,pingR1的E0端口检验连通
4,设置R4的S0端口24.17.2.18 255.255.255.240,激活,ping E1的S0端口
5,在R2和R4之间建立路由,在R1上加入Rip协议,给出E0和S0网段地址
route rip
network 21.0.0.0
6,同理在R2上设置E0网段的rip
route rip
network 21.0.0.0
7,同理在R4上设置S0网段的rip
8,现在我们将网络已经连通,可以互相ping试验,如从R4路由器pingR2的E0端口
9,建立扩展访问列表
首先仅仅让R1的S0网段的主机telnet到R1上,然后对R1的E0端口的主机不加入口限制,先进入配置模式
10,写出访问控制列表,注意log参数会显示出一些信息
access-list 101 permit TCP 24.17.2.16 0.0.0.15 any eq telnet log
11,下面不限制任何从21.17.2.0网段主机的出口
Access-list 102 permit IP 24.17.2.0 0.0.0.15 any log
12,将访问控制列表应用到具体端口上
interface serial0
ip access-group 101 in
13,继续
interface ethernet0
ip access-group 102 in
二十六,验证扩展访问列表
完成25实验后进行验证
1,从R4上PingR1的S0(应该不通)
2,我们验证访问控制列表是否关闭了telnet.从R1上打开telnet权限
Router#conf t
Router(config)#hostname eRouter1
eRouter1(config)#
eRouter1(config)#line vty 0 4
eRouter1(config-line)#login
eRouter1(config-line)#password boson
eRouter1(config-line)#exit
3,回到R4上telnet R1
telnet 24.17.2.17
4,按下control-shift-6-x回到提示符然后从R1上断开
control-shift-6-x
disconnect 1
5,从R2上实验Ping R4的S0端口
Router#config t
Router(config)#hostname eRouter2
eRouter2(config)#
eRouter2(config)#end
eRouter2#ping 24.17.2.183
6,分析无法ping通的原因
数据包从R2出来,通过R1,当R4重新对数据包封装的时候,数据包源地址和目标地址互换,当数据包来到R1的S0时候因为源地址是R4的S0端口被阻止
7,从R2上Ping R1的E0端口24.17.2.2
8,实验能否telnet R1
eRouter2#telent 24.17.2.1
control+shift+6+x
eRouter2#disconnect 1
9,查看配置
show running-config
10,查看访问控制列表配置
show ip interfaces
11,查看访问控制列表状态
show access-lists
二十七 telnet
试验目标:建立一个telnet连接
设备:R1和R2
步骤:
1,配置telnet端口
Router#conf t
Router(config)#hostname eRouter1
eRouter1(config)#line vty 0 4
eRouter1(config-line)#
2,指出可以在此口上登陆
eRouter1(config-line)#login
3,设置登陆密码
eRouter1(config-line)#password boson
4,5,给E0一个ip 激活
eRouter1(config)#interface Ethernet 0
IP address of 34.25.67.18 255.255.255.224
no shutdown
6,7,同理设置R2的E0端口,激活
Router#conf t
Router(config)#hostname eRouter2
eRouter2(config)#interface Ethernet 0
eRouter2(config-if)#Ip address 34.25.67.2 255.255.255.224
eRouter2(config-if)#no shutdown
8,9,回到特权模式下telnet R1
telnet 34.25.67.18
10,注意屏幕,输入密码,进入R1
control-shift-6 +x 可以回到R2
11,利用show sessions指令查看回话状态
利用recume 1回到telnet状态
12,control-shift-6 +x 回到R2
利用disconnect 1断开
二十八 VlANS
实验目标:VLAN划分
实验拓扑:vlans.top
我们要设置eStation可以Ping到通过交换机相连的任何其它主机
1,配置R1的Fast Ethernet 0/0端口的ip地址
Router#conf t
Router(config)#hostname eRouter1
eRouter1(config)#
eRouter1(config)#interface Fast0/0
eRouter1(config-if)#ip add 24.17.2.1 255.255.255.0
eRouter1(config-if)#no shut
2,配置eStation1的ip地址并指明网关
winipcfg
ip:24.17.2.3 255.255.255.0
gateway 24.17.2.1
3,配置eStation2ip地址并指明网关
winipcfg
ip:24.17.2.4 255.255.255.0
gateway 24.17.2.1
4,现在我们可以从eStation2 ping到R1和eStation1
ping 24.17.2.1
ping 24.17.2.3
5,连到Switch1进入VLAN设置,默认所有端口都属于VLAN1,在这种情况下,我们需要建立一个独立的VLAN
#config t
(config)#vlan 22 name pcs
6,现在VLAN建立了,我们将连接eStation1的端口1放入
(config)#int e0/1
#vlan-membership static 22
7,从eStation2 ping R1和eStation1,分析不通的原因
ping 24.17.2.1 ok
ping 24.17.2.3 not ok
8,在交换上将端口2放入VLAN22
(config)#int e0/2
(config-if)#vlan-membership static 22
9,现在回到eStaion2 继续测验
ping 24.17.2.1 not
ping 24.17.2.3 ok
10,查看交换机状态
show VLAN
show VLAN-membership
