试验1:启动控制台NA 交换版,配置R1,R2,SW1,PC1 R1(192.168.0.1 192.168.1.1) R2(192.168.1.2 192.168.2.2) PC1(192.168.0.3) 在==>下启动R1, 命令是start R1,然后用SecureCRT登录到R1上,(连接localhost,端口号3001,取名字为R1),登录后在提示下 Would you like to enter the initial configuration dialog? [yes/no]: 输入no R1配置清单: 1、为R1的Fa0/0接口配置IP,并设为全双工模式: Router> enable Router# configure terminal Router(config)# hostname R1 R1(config)# interface fastEthernet 0/0 //或者interface fastEthernet0/0 ,或者 int fa0/0 R1(config-if)# ip add 192.168.0.1 255.255.255.0 R1(config-if)# speed 100 R1(config-if)# duplex full R1(config-if)# no shutdown //或者 no shut R1(config-if)# exit R1(config)# exit R1# show running-config //或者 sh run ,或者 show run, show running-config是命令全称,这样可以查看刚才的配置 //这样可以检查刚才的配置
2、为R1的s1/0接口配置IP: R1# configure terminal R1(config)# interface serial 1/0 //或者 int serial 1/0,或者 int s0/1,或者 int s 0/1 R1(config-if)# ip add 192.168.1.1 255.255.255.0 R1(config-if)# no shut R1(config-if)# exit
在==>下启动R2, 命令是start R2,然后用SecureCRT登录到R2上,(连接localhost,端口号3002,取名字为R2),登录后在提示下 Would you like to enter the initial configuration dialog? [yes/no]: 输入no R2的配置清单: 1、为R2的Fa0/0接口配置IP,并设为全双工模式: Router> enable //或者 en Router# configure terminal Router(config)# hostname R2 R2(config)#int fa0/0 R2(config-if)# ip add 192.168.2.2 255.255.255.0 R2(config-if)# speed 100 R2(config-if)# duplex full R2(config-if)# no shut R2(config-if)# exit R2(config)#
2、为R2的s1/0接口配置IP: R2(config)# int s 1/0 //int serial 1/0和int s1/0都是可以的 R2(config-if)# ip add 192.168.1.2 255.255.255.0 R2(config-if)# no shut R2(config-if)# exit R2(config)#
在==>下启动PC1, 命令是start PC1,然后用SecureCRT登录到PC1上,(连接localhost,端口号3006,取名字为PC1),登录后在提示下 Would you like to enter the initial configuration dialog? [yes/no]: 输入no PC1的配置清单: Router> enable //或者 en Router# configure terminal Router(config)# hostname PC1 PC1(config)# no ip routing //关闭路由功能,模拟PC PC1(config)# int fa0/0 PC1(config-if)# ip add 192.168.0.3 255.255.255.0 PC1(config-if)# speed 100 PC1(config-if)# duplex full PC1(config-if)# no shut PC1(config-if)# exit
在==>下启动SW1, 命令是start SW1,然后用SecureCRT登录到SW1上,(连接localhost,端口号3003,取名字为SW1),登录后在提示下 Would you like to enter the initial configuration dialog? [yes/no]: 输入no SW1的配置清单: 分别将fa1/13、fa1/14、fa1/15接口设为全双工模式: Router> enable //或者 en Router# configure terminal Router(config)# hostname SW1 SW1(config)#int fa1/13 SW1(config-if)#speed 100 SW1(config-if)#duplex full SW1(config-if)#exit SW1(config)#int fa1/14 SW1(config-if)#speed 100 SW1(config-if)#duplex full SW1(config-if)#exit SW1(config)#int fa1/15 SW1(config-if)#speed 100 SW1(config-if)#duplex full SW1(config-if)#exit
试验要求1: 1、在R2上做访问控制列表,使R3不能telnet到R2; 试验过程: 1、在R2上配置访问控制列表,拒绝PC1这个源地址的访问: R2(config)#access-list 50 deny host 192.168.0.3 R2(config)#access-list 50 permit any 2、将访问控制列表应用到VTY虚拟终端线路上: R2(config)#line vty 0 4 R2(config-line)#access-class 50 in R2(config-line)#exit 配置完访问控制列表后,我们来验证一下: PC1#telnet 192.168.1.2 Trying 192.168.1.2 ... % Connection refused by remote host 从上面的结果中我们可以看到,PC1根本找不到R2这台主机,说明PC1的访问被R2拒绝了,下面我们来看看在R2上的访问控制列表中是否有拒绝R3访问的匹配数据: R2#show access-lists Standard IP access list 50 10 deny 192.168.0.3 (1 match) 20 permit any 看到了吧,来自PC1(192.168.0.3)的访问被拒绝了!如果我们把PC1的IP改为192.168.0.4,那么它就可以telnet到R2,这就印证了我们访问控制列表中的第二条语句:permit any
那怎么能改回来呢? 方法如下: R2> en R2# R2# configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)# no access-list 50 R2(config)# exit R2# show access-lists 就没有拒绝了,你把PC1(192.168.0.4)改成PC1(192.168.0.3),就可以访问R2了。
试验要求2: 1、在R1上做访问控制列表,使R1不能ping通R2; 试验过程: 我们都知道,访问控制列表只能过滤流经路由器的流量,而对路由器自身发出的数据包不起作用。而ping命令就是路由器自身所发出的数据包,所以我们就要改变思路,既然无法过滤发出的数据包,那么我们就来拒绝返回的数据包,这样也就实现了R1不能ping通R2的要求,因为涉及到对协议的检查,所以我们要使用扩展访问控制列表: 1、在R1上配置访问控制列表: R1(config)#access-list 105 deny icmp host 192.168.1.2 host 192.168.1.1 echo-reply R1(config)#access-list 105 permit ip any any 2、将访问控制列表应用到R1的S1/0接口: R1(config)#int s1/0 R1(config-if)#ip access-group 105 in 下面我们验证一下,先从R1上ping R2,结果如下: R1#ping 192.168.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) 上面的结果显示,R1是ping不通R2的,现在我们再来看看R1上的访问控制列表是否有拒绝的匹配数据: R1#show access-lists Extended IP access list 105 10 deny icmp host 192.168.1.2 host 192.168.1.1 echo-reply (15 matches) 20 permit ip any any 看到了吧,实验完成!
那怎么能改回来呢? 方法如下: R1> en R1# R1# configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)# no access-list 105 R1(config)# exit R1# show access-lists 就改回来了。
试验要求3: 1、在R1上做路由,使PC1能ping通R2(192.168.2.2); 试验过程:
R1# configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)# ip route 192.168.2.0 255.255.255.0 192.168.1.2 R1(config)# exit R1# ping 192.168.2.2 //就是通畅的
