CCNA实验手册 下载本文

R1(config-router)# area 0 authentication 过了down机间隔时间之后,在路由器R1发出“show ip ospf neighbor”命令,查看R1的OSPF邻居。用“debug ip ospf events”确定该结果的原因。 在R2与R3上作与R1相同的配置。 再次用“show ip ospf neighbor”来查看结果。 说明:在debug信息中,可以看到三种认证类型,0表示不使用认证,类型1代表明文认证,类型2代表用MD5加密认证。 百思学网络,领先科技 -77- HTTP://WWW.BESTXUE.CN

实验22. 配置标准、扩展、命令ACL实验 实验拓扑:

实验目的: 学会配置标准ACL、扩展ACL、命名ACL以及限制虚拟终端的访问。 实验内容: 在路由器上配置单域的OSPF 配置ACL访问控制列表 实验步骤: 配置ACL访问控制列表 在完成OSPF实验的基础上,修改拓扑结构如下图。其中的虚线只是表示R1和R2是对等的,它们的功能和配置都基本相同。 修改相应的接口IP,用(no)network命令修改OSPF发布的网段信息,进一步熟悉OSPF配置,语法如下。以R1为例: R1(config)#router ospf 1 R1(config-router)#no network 192.168.1.0 0.0.0.255 area 0 R1(config-router)#network 192.168.4.0 0.0.0.255 area 0 配置完OSPF之后,检查连通性,各台主机可以相互ping通,可以运行telnet程序。 1.标准ACL的配置 (1) 禁止单一的主机 实现目标:禁止网络上某台主机的访问 实现方法:在各台路由器的f0口的出方向上绑定ACL 在路由器3上作如下配置: R3(config)#access-list 1 deny host 192.168.4.2 log R3(config)#access-list 1 deny host 192.168.5.2 log R3(config)#access-list 1 permit any R3(config)#int e0 R3(config-if)#ip access-group 1 out

R1

L0: 10.0.0.3/32 Host1: 4.2 192.168.4.0/24 F0: 4.1 R3

Host3: 6.2 192.168.6.0/24 S1: 3.1

F0: 6.1 R2

L0: 10.0.0.2/32 Host2: 5.2 192.168.5.0/24 F0:5.1

L0: 10.0.0.1/32 S0: 3.2

S0: 2.2

192.168.3.0/24 S0:2.1

192.168.2.0/24

百思学网络,领先科技 -78- HTTP://WWW.BESTXUE.CN

检验配置:在路由器3上:show run show access-list 1 //显示访问控制列表的所有条目 show ip int e0 //显示端口上绑定ACL的情况 A.分别从Host1和Host2上ping 192.168.6.2,结果返回“目标网段不可达”的信息; B.在路由器1和2上,用扩展ping命令,源地址用e0的IP地址,同样ping 192.168.6.2, 结果是ping通的。 C.从Host3上分别ping Host1和Host2,观察返回信息,思考为什么会有这样的结果。 也可以在R1和R2上配置标准ACL: R1(config)#access-list 1 deny host 192.168.5.2 log //添加log关键字是为了记录 R1(config)#access-list 1 deny host 192.168.6.2 log //更详细的信息 R1(config)#access-list 1 permit any R1(config)#int e0 //注意根据具体的路由器接口而定,譬如有的是f0口 R1(config-if)#ip access-group 1 out R2(config)#access-list 1 deny host 192.168.4.2 log R2(config)#access-list 1 deny host 192.168.6.2 log R2(config)#access-list 1 permit any R2(config)#int e0 R2(config-if)#ip access-group 1 out 重复三个检查步骤,注意返回

信息。 最后,在各个路由器上取消e0口上的ACL绑定: R1(config)#int e0 R1(config-if)#no ip access-list 1 out (2) 禁止整个以太网段 实现目标:禁止某个以太网段对Host1、2、3的访问。 实现方法:分别在两台路由器的f0口的出方向上绑定ACL。 以RTC配置为例: R3(config)#access-list 2 deny 192.168.4.0 0.0.0.255 R3(config)#access-list 2 deny 192.168.5.0 0.0.0.255

R3(config)#access-list 2 permit any R3(config)#int f0 R3(config-if)#ip access-group 2 out 检验配置:在路由器C上:show run show access-list 2 show ip int e0 a.从Host1、Host2上ping 192.168.6.2,结果返回“目标网段不可达”的信息; b.在路由器A和B上用扩展ping命令,源地址用e0的IP,同样ping 192.168.3.2,结果 是不可到达。(与之前的禁止单一主机不同,为什么?) c.在路由器A和B上用扩展ping命令,源地址用lo0的IP,同样再ping 192.168.3.2,结果 是ping通的。 同样可以在路由器1与2上作相同的配置,并检验配置。 最后,在各个路由器上取消e0口上的ACL绑定: (config)#int e0 (config-if)#no ip access-list 2 out 2.扩展ACL的配置 实现目标:禁止主机telnet另一主机,但是仍能ping通。 实现方法:分别在路由器的f0口的入方向上绑定ACL。 以禁止Host1远程登陆Host2为例: 从R2 telnet上R1,对R1进行配置: R2(config)#telnet 192.168.2.1 R1(config)#access-list 101 deny tcp host 192.168.4.2 host 192.168.5.2 eq telnet 百思学网络,领先科技 -79- HTTP://WWW.BESTXUE.CN

R1(config)#access-list 101 permit ip any any R1(config)#int e0 R1(config-if)#ip access-group 101 in 检验配置: 在各路由器上:show access-list 101 show run show ip int f0 从Host1上无法telnet 192.168.5.2,但可以ping通到192.168.5.2。 同样方法,可以禁止Host2 到Host3,Host3到Host1的telnet,请学员参照一下配置完成。 最后在路由器上都取消e0口上的ACL绑定: Router(config)#int e0 Router(config-if)#no ip access-group 101 in 注:eq telnet可以放置在目的地址或目的掩码后,也可一放置在源地址或源掩码后。前者表示对目的端口进行匹配,而后者表示对远端口进行匹配。如下: access-list 101 deny tcp host 192.168.4.2 eq telnet host 192.168.5.2 这里表示对主机192.168.4.2发出的源端口为23的telnet数据包进行限制。 3.命名ACL的配置(选做) 命名ACL可以实现标准ACL或者扩展ACL,下面以标准ACL为例。 实现目标和实现方法与第1步中的标准ACL相同,只是将标准access-list number改为命名ACL。 在路由器C上作如下配置: R3(config)#ip access-list standard denyhost R3(config stardard-nacl)#deny host 192.168.4.2 log R3(config stardard-nacl)#deny host 192.168.5.2 log R3(config stardard-nacl)#permit any R3(config)#int e0 R3(config-if)#ip access-group denyhost out 检验配置:在路由器3上:show run show access-list denyhost //现实访问控制列表的所有条目 show ip int e0 //显示端口上绑定ACL的情况 从Host1和Host2 都无法ping通Host3。 为了从Host1能ping通Host3,需要把其中一条deny语句删除掉,对于命名ACL,可以删除单个条目。 RTC(config)#ip access-list standard denyhost RTC(config stardard-nacl)#no deny host 192.168.4.2 log 检查从Host1 是否可以ping通Host3。 在R1与R2可以做类似的配置,体会命名ACL特殊作用。 4.限制虚拟终端的访问

在做这个实验前大家先尝试在主机上telnet到路由器R1,必须先在路由器上进行以下配置: R1(config)#enable password cisco R1(config)#line vty 0 4 R1(config-line)#login

R1(config-line)#password cisco 确保主机能telnet上路由器1。 在R3上进行以下配置:

R3(config)#access-list 1 deny host 192.168.6.2 R3(config)#access-list 1 permit any R3(config)#line vty 0 4 R3(config-line)#access-class 1 in 尝试从Host3 telnet R3,结果是失败的,证明绑定在虚拟线路上的ACL起作用了。

百思学网络,领先科技 -80- HTTP://WWW.BESTXUE.CN

实验23. 静态NAT 、动态NAT、PAT的配置 1.静态NAT 配置 实验拓扑:

实验目的: 测试内网主机能否成功ping 通R2路由器。 实验步骤: R1的配置如下: interface FastEthernet0/1 ip address 10.1.1.1 255.0.0.0 ip nat inside duplex auto speed auto ! interface Serial0/0 ip address 192.168.1.1 255.255.255.0 ip nat outside ! interface Vlan1 no ip address shutdown ! ip nat inside source static 10.1.1.2 192.168.1.2 ip classless ! R2的配置如下: interface Serial0/0 ip address 192.168.1.2 255.255.255.0 clock rate 64000 查看地址翻译表 Router#show ip nat translations Pro Inside global Inside local Outside local Outside global

--- 192.168.1.2 10.1.1.2 --- ---百思学网络,领先科技 -81- HTTP://WWW.BESTXUE.CN 2.动态NAT 配置 实验拓扑:

实验目的: 测试内网主机能否成功ping 通R2路由器,并且使用debug命令查看数据发送和接受的IP转换过程。 实验步骤: 1、首先定义NAT池。例如:定义一个被内部本地主机使用的叫做mynatpool的全局地址池: R1(config)#ip nat pool mynatpool 171.70.2.1 171.70.2.254 netmask 255.255.255.0 2、为了允许那些本地主机用这个地址池,使用一个访问控制列表来匹配需要转换的源地址。下面 是使用 access-list 24来决定是否使用mynatpool转换IP源地址:

R1(config)#access-list 24 permit 10.1.1.0 0.0.0.255 R1(config)#ip nat inside source list 24 pool mynatpool 3、最后配置NAT路由器,外部和内部的接口 R1的配置如下: interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside duplex auto speed auto ! interface Serial0/0 ip address 171.70.1.1 255.255.255.0 ip nat outside ! ip nat pool mynatpool 171.70.2.1 171.70.2.254 netmask 255.255.255.0 ip nat inside source list 24 pool mynatpool ! access-list 24 permit 10.1.1.0 0.0.0.255 R2配置如下: interface Serial0/0/0 ip address 171.70.1.2 255.255.255.0 clock rate 64000 !

百思学网络,领先科技 -82- HTTP://WWW.BESTXUE.CN 实验拓扑:

实验目的: 进行NAT网络试验的条件: 1、先决定网络的结构,它是由哪些物理的网络组件构成。(本试验中进行复用 动态地址转换《PAT》用到了3个计算机、1个SWITCH、1台充当地址转换的路由器 和1个外部网络路由器。) 2、这些网络组件由什么介质进行连接。(计算机与交换机用直通线、交换机与 路由器用直通线、路由器与路由器用DCE线缆配置。)注意:配置过程中,DCE端 要配置“时钟速率”。 实验步骤: PAT试验过程: 1、我们先来配置每台计算机的默认网关、IP地址和子网掩码。 PC0网关:192.168.1.254 IP:192.168.1.1 子网:255.255.255.0 PC1网关:192.168.1.254 IP:192.168.1.2 子网:255.255.255.0 PC2网关:

192.168.1.254 IP:192.168.1.3 子网:255.255.255.0 (在这个试验中交换机只起到组建一个物理网络的作用,所以不需要配置。) 2、在R1中先配置路由器名字和三个口令,设置好R1的F0/0和S0/0口的IP地址 并激活。返回到全局配置模式依次写入: access-list 1 permit 192.168.1.0 0.0.0.255 /定义转发的网段 ip nat inside source list 1 interface s0/0 overload /将符合的每个内部本地IP地址,转换为对应的全局端口的地址。 3、int f0/0 /进入f0/0端口,这个端口与内部网络相连。 ip nat inside /指定连接内部网络的内部端口 int s0/0 /进入s0/0端口,这个端口与外部网络相连。 ip nat outside /指定连接外部网络的外部端口 完成试验步骤。 百思学网络,领先科技 -83- HTTP://WWW.BESTXUE.CN

实验24. PPP的配置

实验拓扑: 实验步骤:

R1: username aaa password 0 ccc interface Serial0/0/0 ip address 192.168.0.1 255.255.255.0 no shutdown encapsulation ppp ppp authentication pap ppp pap sent-username bbb password 0 ddd clock rate 64000 !

R2: username bbb password 0 ddd interface Serial0/0/0 ip address 192.168.0.2 255.255.255.0 no shutdown encapsulation ppp ppp authentication pap ppp pap sent-username aaa password 0 ccc ! 实验拓扑: 实验步骤:

R2: username bbb password 0 ccc interface Serial0/0/0 ip address 192.168.0.2 255.255.255.0 no shutdown encapsulation ppp ppp authentication chap !

R1: username aaa password 0 ccc interface Serial0/0/0 ip address 192.168.0.1

255.255.255.0 no shutdown encapsulation ppp ppp authentication chap clock rate 64000 ! 百思学网络,领先科技 -84- HTTP://WWW.BESTXUE.CN

实验25. 配置帧中继 实验目的: 了解帧中继技术的原理,掌握DLCI和LMI的意义和作

用; 掌握帧中继的配置,掌握用路由器模拟帧中继交换机的方法; 了解子接口的意义,熟悉

子接口的配置,并学会在子接口间建立链路; 掌握各种帧中继的验证和troubleshooting命令。 实验内容: 帧中继基本配置

1.实验拓扑 虽然没有FR交换机,但我们可以用路由器模拟成帧中继交换机。实验时,用一台1700模拟帧中继交换机,并配置其它路由器到1700的帧中继连接,分别实现两个路由器的互联。 2.配置FR (1) 配置帧中继交换机 要点: 首先要把路由器1700设成帧中继交换机,在端口上需要配置其封装为frame-relay 在各个端口设置帧中继交换表,并设置端口类型为DCE。 注意帧中继交换机的端口不需要配置ip地址 Switch(config) # frame-relay switching //模拟成帧中继交换机 Swtich(config) # int s0 //进入s0端口 Switch(config-if)#enacapsulation frame-relay //配置端口封装为帧中继,默认类型是cisco Switch(config-if) # frame-relay intf-type dce //设置端口类型为DCE Switch(config-if) # frame-relay lmi-type cisco //配置lmi类型为cisco Switch(config-if) # clock rate 56000 Switch(config-if) # frame-relay route 100 interface s2 200 //建立一条交换记录

Switch(config-if) # no shut Switch(Config) # int s1 //进入s1端口 Switch(config-if) # enacapsulation frame-relay Switch(config-if) # frame-relay intf-type dce Switch(config-if) # frame-relay lmi-type cisco Switch(config-if) # clock rate 56000 Switch(config-if) # frame-relay route 110 interface s2 210 //建立一条交换记录 Switch(config-if) # no shut Switch(config-if) # exit Switch(Config) # int s2 //进入s1端口 Switch(config-if) # enacapsulation frame-relay Switch(config-if) # frame-relay intf-type dce Switch(config-if) # frame-relay lmi-type cisco Switch(config-if) # clock rate 56000

S2

DLCI=110

S0:192.168.1.2/24 S0:192.168.1.1/24 DLCI=100

DLCI=200

S0.2:192.168.1.3/24 DLCI=210 RTB RTA RTC S1 S0

百思学网络,领先科技 -85- HTTP://WWW.BESTXUE.CN

Switch(config-if) # frame-relay route 200 interface s0 100 Switch(config-if) # frame-relay route 210 interface s0 110 Switch(config-if) # no shut Switch(config-if) # exit (2) 配置用户路由器 要点: 在端口上使用“ip address ”命令指定ip地址 端口上配置封装为frame-relay 由于lmi类型可以通过LMI信令自动发现,所以在路由器上可以不进行配置 A路由器(图中左边为A路由器):(1700/1600) RTA(Config) # int s0 //进入s0端口 RTA(config-if) # encapsulation frame-relay //设置帧中继封装 RTA(config-if)# ip address 192.168.1.1 255.255.255.0 //指定端口ip RTA

(config-if)#no shut B、C路由器与A的配置类似 路由器A、B、C采用Inverse-ARP协议会自动生成帧中继映射表,而不用静态指定。 在对端路由器不支持inverse arp的情况下,我们可以采静态指定DLCI和静态生成映射 表,则可采用下列命令: RTA(config-if) # frame-relay map ip <下一跳地址> (3) 验证帧中继 测试连通性:在用户路由器(A/B/C)上使用ping 命令 查看虚电路:show frame-relay pvc (在帧中继交换机上) 查看映射表:show frame-relay map(在用户路由器上) 查看LMI信息:show frame-relay lmi(在用户路由器上) 查看端口封装:show int s0 查看交换表(只在FR交换机上用):show frame-relay route 使用子接口

1.实验拓扑 目标:在以上步骤的配置下,RTA与RTB由于水平分割的限制而不能交换路由信息,在RTC物理接口上使用子接口,可以解决这个问题。

RTC RTA S2 RTB S0

DLCI=110 S1

S0:192.168.1.1/24

S0.2:192.168.2.2/24 DLCI=210 S0:192.168.2.1/24 DLCI=100

S0.1:192.168.1.2/24 DLCI=200

百思学网络,领先科技 -86- HTTP://WWW.BESTXUE.CN

2.观察水平分割问题 修改用户路由器配置之前,观察水平分割对路由更新信息的影响。 在用户路由器A、B上配置Loopback口,模拟两个网段地址,并启动RIP协议: RTA(config)#int l0 RTA(config-if)#ip add 192.168.3.1 255.255.255.0 RTA(config-if)#exit RTA(config)#router rip

RTA(config-route)#network 192.168.1.0 RTA(config-route)#network 192.168.3.0 RTB(config)#int l0 RTB(config-if)#ip add 192.168.4.1 255.255.255.0 RTB(config-if)#exit RTB(config)#router rip

RTB(config-route)#network 192.168.1.0 RTB(config-route)#network 192.168.4.0 在A、B上show ip route,观察路由表是否有所有网段的路由条目。 3.子接口配置 (1)帧中继交换机 与第一步中的交换机一样,不需要作配置上的改动。 (2)在用户路由器C上启用子接口 要点: 由于要配置子接口,物理端口要用no ip address 去掉ip; 进入子接口时需要指明点对点模式,在子接口只需要配置IP地址以及DLCI号就可以了,帧中继映射表通过LMI动态生成。 为查看帧中继lmi的工作过程,可以使用debug frame-relay lmi命令 C路由器 物理端口 RTC(config) #int s0 RTC(config-if) # no ip address //去掉IP,否则子接口不起作用 RTC(config-if) # encap frame-relay //帧中继封装 RTC(config-if) # frame-relay lmi-type cisco //配置lmi类型,注意lmi类型要匹配 RTC(config-if) # no shut RTC(config-if) # exit 子接口1 RTC(config) # int s0.1 point-to-point //进入s0.1子接口,注意需要指明是point-to-point RTC(config-subif) # ip address 192.168.1.2

255.255.255.0 //设置子接口ip地址 RTC(config-subif) # frame-relay interface-dlci 200 //设置本地dlci号 RTC(config-subif) #exit 子接口2 RTC(config) # int s0.1 point-to-point RTC(config-subif) # ip address 192.168.2.2 255.255.255.0 RTC(config-subif) #frame-relay interface-dlci 210

RTC(config-subif) #exit 修改路由器RTB的S0口的IP地址如拓扑图所示。 (3)验证配置 查看路由表:show ip route (检查是否有全部网段的信息) 查看虚电路:show frame-relay pvc (在帧中继交换机上) 查看映射表:show frame-relay map(在用户路由器上) 查看端口封装:show int s0 查看lmi信息:show frame-relay lmi 查看帧中继lmi的工作过程:debug frame-relay lmi