R1(config-router)# area 0 authentication 过了down机间隔时间之后，在路由器R1发出“show ip ospf neighbor”命令，查看R1的OSPF邻居。用“debug ip ospf events”确定该结果的原因。 在R2与R3上作与R1相同的配置。 再次用“show ip ospf neighbor”来查看结果。 说明：在debug信息中，可以看到三种认证类型，0表示不使用认证，类型1代表明文认证，类型2代表用MD5加密认证。 百思学网络，领先科技 -77- HTTP://WWW.BESTXUE.CN

实验22. 配置标准、扩展、命令ACL实验 实验拓扑：

实验目的： 学会配置标准ACL、扩展ACL、命名ACL以及限制虚拟终端的访问。 实验内容： 在路由器上配置单域的OSPF 配置ACL访问控制列表 实验步骤： 配置ACL访问控制列表 在完成OSPF实验的基础上，修改拓扑结构如下图。其中的虚线只是表示R1和R2是对等的，它们的功能和配置都基本相同。 修改相应的接口IP，用（no）network命令修改OSPF发布的网段信息，进一步熟悉OSPF配置，语法如下。以R1为例： R1(config)#router ospf 1 R1(config-router)#no network 192.168.1.0 0.0.0.255 area 0 R1(config-router)#network 192.168.4.0 0.0.0.255 area 0 配置完OSPF之后，检查连通性，各台主机可以相互ping通，可以运行telnet程序。 1．标准ACL的配置 (1) 禁止单一的主机 实现目标：禁止网络上某台主机的访问 实现方法：在各台路由器的f0口的出方向上绑定ACL 在路由器3上作如下配置： R3(config)#access-list 1 deny host 192.168.4.2 log R3(config)#access-list 1 deny host 192.168.5.2 log R3(config)#access-list 1 permit any R3(config)#int e0 R3(config-if)#ip access-group 1 out

R1

L0: 10.0.0.3/32 Host1: 4.2 192.168.4.0/24 F0: 4.1 R3

Host3: 6.2 192.168.6.0/24 S1: 3.1

F0: 6.1 R2

L0: 10.0.0.2/32 Host2: 5.2 192.168.5.0/24 F0:5.1

L0: 10.0.0.1/32 S0: 3.2

S0: 2.2

192.168.3.0/24 S0:2.1

192.168.2.0/24

百思学网络，领先科技 -78- HTTP://WWW.BESTXUE.CN

检验配置：在路由器3上：show run show access-list 1 //显示访问控制列表的所有条目 show ip int e0 //显示端口上绑定ACL的情况 A．分别从Host1和Host2上ping 192.168.6.2,结果返回“目标网段不可达”的信息； B．在路由器1和2上，用扩展ping命令，源地址用e0的IP地址，同样ping 192.168.6.2， 结果是ping通的。 C．从Host3上分别ping Host1和Host2，观察返回信息，思考为什么会有这样的结果。 也可以在R1和R2上配置标准ACL： R1(config)#access-list 1 deny host 192.168.5.2 log //添加log关键字是为了记录 R1(config)#access-list 1 deny host 192.168.6.2 log //更详细的信息 R1(config)#access-list 1 permit any R1(config)#int e0 //注意根据具体的路由器接口而定，譬如有的是f0口 R1(config-if)#ip access-group 1 out R2(config)#access-list 1 deny host 192.168.4.2 log R2(config)#access-list 1 deny host 192.168.6.2 log R2(config)#access-list 1 permit any R2(config)#int e0 R2(config-if)#ip access-group 1 out 重复三个检查步骤，注意返回

信息。 最后，在各个路由器上取消e0口上的ACL绑定： R1(config)#int e0 R1(config-if)#no ip access-list 1 out (2) 禁止整个以太网段 实现目标：禁止某个以太网段对Host1、2、3的访问。 实现方法：分别在两台路由器的f0口的出方向上绑定ACL。 以RTC配置为例： R3(config)#access-list 2 deny 192.168.4.0 0.0.0.255 R3(config)#access-list 2 deny 192.168.5.0 0.0.0.255

R3(config)#access-list 2 permit any R3(config)#int f0 R3(config-if)#ip access-group 2 out 检验配置：在路由器C上：show run show access-list 2 show ip int e0 a．从Host1、Host2上ping 192.168.6.2，结果返回“目标网段不可达”的信息； b．在路由器A和B上用扩展ping命令，源地址用e0的IP，同样ping 192.168.3.2，结果 是不可到达。（与之前的禁止单一主机不同，为什么？） c．在路由器A和B上用扩展ping命令，源地址用lo0的IP，同样再ping 192.168.3.2，结果 是ping通的。 同样可以在路由器1与2上作相同的配置，并检验配置。 最后，在各个路由器上取消e0口上的ACL绑定： (config)#int e0 (config-if)#no ip access-list 2 out 2．扩展ACL的配置 实现目标：禁止主机telnet另一主机，但是仍能ping通。 实现方法：分别在路由器的f0口的入方向上绑定ACL。 以禁止Host1远程登陆Host2为例： 从R2 telnet上R1，对R1进行配置： R2(config)#telnet 192.168.2.1 R1(config)#access-list 101 deny tcp host 192.168.4.2 host 192.168.5.2 eq telnet 百思学网络，领先科技 -79- HTTP://WWW.BESTXUE.CN

R1(config)#access-list 101 permit ip any any R1(config)#int e0 R1(config-if)#ip access-group 101 in 检验配置： 在各路由器上：show access-list 101 show run show ip int f0 从Host1上无法telnet 192.168.5.2，但可以ping通到192.168.5.2。 同样方法，可以禁止Host2 到Host3，Host3到Host1的telnet，请学员参照一下配置完成。 最后在路由器上都取消e0口上的ACL绑定： Router(config)#int e0 Router(config-if)#no ip access-group 101 in 注：eq telnet可以放置在目的地址或目的掩码后，也可一放置在源地址或源掩码后。前者表示对目的端口进行匹配，而后者表示对远端口进行匹配。如下： access-list 101 deny tcp host 192.168.4.2 eq telnet host 192.168.5.2 这里表示对主机192.168.4.2发出的源端口为23的telnet数据包进行限制。 3．命名ACL的配置（选做） 命名ACL可以实现标准ACL或者扩展ACL，下面以标准ACL为例。 实现目标和实现方法与第1步中的标准ACL相同，只是将标准access-list number改为命名ACL。 在路由器C上作如下配置： R3(config)#ip access-list standard denyhost R3(config stardard-nacl)#deny host 192.168.4.2 log R3(config stardard-nacl)#deny host 192.168.5.2 log R3(config stardard-nacl)#permit any R3(config)#int e0 R3(config-if)#ip access-group denyhost out 检验配置：在路由器3上：show run show access-list denyhost //现实访问控制列表的所有条目 show ip int e0 //显示端口上绑定ACL的情况 从Host1和Host2 都无法ping通Host3。 为了从Host1能ping通Host3，需要把其中一条deny语句删除掉，对于命名ACL，可以删除单个条目。 RTC(config)#ip access-list standard denyhost RTC(config stardard-nacl)#no deny host 192.168.4.2 log 检查从Host1 是否可以ping通Host3。 在R1与R2可以做类似的配置，体会命名ACL特殊作用。 4.限制虚拟终端的访问

在做这个实验前大家先尝试在主机上telnet到路由器R1，必须先在路由器上进行以下配置： R1(config)#enable password cisco R1(config)#line vty 0 4 R1(config-line)#login

R1(config-line)#password cisco 确保主机能telnet上路由器1。 在R3上进行以下配置：

R3(config)#access-list 1 deny host 192.168.6.2 R3(config)#access-list 1 permit any R3(config)#line vty 0 4 R3(config-line)#access-class 1 in 尝试从Host3 telnet R3，结果是失败的，证明绑定在虚拟线路上的ACL起作用了。

百思学网络，领先科技 -80- HTTP://WWW.BESTXUE.CN

实验23. 静态NAT 、动态NAT、PAT的配置 1.静态NAT 配置 实验拓扑：

实验目的： 测试内网主机能否成功ping 通R2路由器。 实验步骤： R1的配置如下： interface FastEthernet0/1 ip address 10.1.1.1 255.0.0.0 ip nat inside duplex auto speed auto ! interface Serial0/0 ip address 192.168.1.1 255.255.255.0 ip nat outside ! interface Vlan1 no ip address shutdown ! ip nat inside source static 10.1.1.2 192.168.1.2 ip classless ! R2的配置如下： interface Serial0/0 ip address 192.168.1.2 255.255.255.0 clock rate 64000 查看地址翻译表 Router#show ip nat translations Pro Inside global Inside local Outside local Outside global

--- 192.168.1.2 10.1.1.2 --- ---百思学网络，领先科技 -81- HTTP://WWW.BESTXUE.CN 2.动态NAT 配置 实验拓扑：

实验目的： 测试内网主机能否成功ping 通R2路由器，并且使用debug命令查看数据发送和接受的IP转换过程。 实验步骤： 1、首先定义NAT池。例如：定义一个被内部本地主机使用的叫做mynatpool的全局地址池： R1(config)#ip nat pool mynatpool 171.70.2.1 171.70.2.254 netmask 255.255.255.0 2、为了允许那些本地主机用这个地址池，使用一个访问控制列表来匹配需要转换的源地址。下面 是使用 access-list 24来决定是否使用mynatpool转换IP源地址：

R1(config)#access-list 24 permit 10.1.1.0 0.0.0.255 R1(config)#ip nat inside source list 24 pool mynatpool 3、最后配置NAT路由器，外部和内部的接口 R1的配置如下： interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside duplex auto speed auto ! interface Serial0/0 ip address 171.70.1.1 255.255.255.0 ip nat outside ! ip nat pool mynatpool 171.70.2.1 171.70.2.254 netmask 255.255.255.0 ip nat inside source list 24 pool mynatpool ! access-list 24 permit 10.1.1.0 0.0.0.255 R2配置如下： interface Serial0/0/0 ip address 171.70.1.2 255.255.255.0 clock rate 64000 !

百思学网络，领先科技 -82- HTTP://WWW.BESTXUE.CN 实验拓扑：

实验目的： 进行NAT网络试验的条件： 1、先决定网络的结构，它是由哪些物理的网络组件构成。（本试验中进行复用 动态地址转换《PAT》用到了3个计算机、1个SWITCH、1台充当地址转换的路由器 和1个外部网络路由器。） 2、这些网络组件由什么介质进行连接。（计算机与交换机用直通线、交换机与 路由器用直通线、路由器与路由器用DCE线缆配置。）注意：配置过程中，DCE端 要配置“时钟速率”。 实验步骤： PAT试验过程： 1、我们先来配置每台计算机的默认网关、IP地址和子网掩码。 PC0网关：192.168.1.254 IP：192.168.1.1 子网：255.255.255.0 PC1网关：192.168.1.254 IP：192.168.1.2 子网：255.255.255.0 PC2网关：

192.168.1.254 IP：192.168.1.3 子网：255.255.255.0 （在这个试验中交换机只起到组建一个物理网络的作用，所以不需要配置。） 2、在R1中先配置路由器名字和三个口令，设置好R1的F0/0和S0/0口的IP地址 并激活。返回到全局配置模式依次写入： access-list 1 permit 192.168.1.0 0.0.0.255 /定义转发的网段 ip nat inside source list 1 interface s0/0 overload /将符合的每个内部本地IP地址，转换为对应的全局端口的地址。 3、int f0/0 /进入f0/0端口，这个端口与内部网络相连。 ip nat inside /指定连接内部网络的内部端口 int s0/0 /进入s0/0端口，这个端口与外部网络相连。 ip nat outside /指定连接外部网络的外部端口 完成试验步骤。 百思学网络，领先科技 -83- HTTP://WWW.BESTXUE.CN

实验24. PPP的配置

实验拓扑： 实验步骤：

R1: username aaa password 0 ccc interface Serial0/0/0 ip address 192.168.0.1 255.255.255.0 no shutdown encapsulation ppp ppp authentication pap ppp pap sent-username bbb password 0 ddd clock rate 64000 !

R2: username bbb password 0 ddd interface Serial0/0/0 ip address 192.168.0.2 255.255.255.0 no shutdown encapsulation ppp ppp authentication pap ppp pap sent-username aaa password 0 ccc ! 实验拓扑： 实验步骤：

R2： username bbb password 0 ccc interface Serial0/0/0 ip address 192.168.0.2 255.255.255.0 no shutdown encapsulation ppp ppp authentication chap !

R1： username aaa password 0 ccc interface Serial0/0/0 ip address 192.168.0.1

255.255.255.0 no shutdown encapsulation ppp ppp authentication chap clock rate 64000 ! 百思学网络，领先科技 -84- HTTP://WWW.BESTXUE.CN

实验25. 配置帧中继 实验目的： 了解帧中继技术的原理，掌握DLCI和LMI的意义和作

用； 掌握帧中继的配置，掌握用路由器模拟帧中继交换机的方法； 了解子接口的意义，熟悉

子接口的配置，并学会在子接口间建立链路； 掌握各种帧中继的验证和troubleshooting命令。 实验内容： 帧中继基本配置

1．实验拓扑 虽然没有FR交换机，但我们可以用路由器模拟成帧中继交换机。实验时，用一台1700模拟帧中继交换机，并配置其它路由器到1700的帧中继连接，分别实现两个路由器的互联。 2．配置FR （1） 配置帧中继交换机 要点： 首先要把路由器1700设成帧中继交换机，在端口上需要配置其封装为frame-relay 在各个端口设置帧中继交换表，并设置端口类型为DCE。 注意帧中继交换机的端口不需要配置ip地址 Switch(config) # frame-relay switching //模拟成帧中继交换机 Swtich(config) # int s0 //进入s0端口 Switch(config-if)#enacapsulation frame-relay //配置端口封装为帧中继，默认类型是cisco Switch(config-if) # frame-relay intf-type dce //设置端口类型为DCE Switch(config-if) # frame-relay lmi-type cisco //配置lmi类型为cisco Switch(config-if) # clock rate 56000 Switch(config-if) # frame-relay route 100 interface s2 200 //建立一条交换记录

Switch(config-if) # no shut Switch(Config) # int s1 //进入s1端口 Switch(config-if) # enacapsulation frame-relay Switch(config-if) # frame-relay intf-type dce Switch(config-if) # frame-relay lmi-type cisco Switch(config-if) # clock rate 56000 Switch(config-if) # frame-relay route 110 interface s2 210 //建立一条交换记录 Switch(config-if) # no shut Switch(config-if) # exit Switch(Config) # int s2 //进入s1端口 Switch(config-if) # enacapsulation frame-relay Switch(config-if) # frame-relay intf-type dce Switch(config-if) # frame-relay lmi-type cisco Switch(config-if) # clock rate 56000

S2

DLCI=110

S0:192.168.1.2/24 S0:192.168.1.1/24 DLCI=100

DLCI=200

S0.2:192.168.1.3/24 DLCI=210 RTB RTA RTC S1 S0

百思学网络，领先科技 -85- HTTP://WWW.BESTXUE.CN

Switch(config-if) # frame-relay route 200 interface s0 100 Switch(config-if) # frame-relay route 210 interface s0 110 Switch(config-if) # no shut Switch(config-if) # exit （2） 配置用户路由器 要点： 在端口上使用“ip address ”命令指定ip地址 端口上配置封装为frame-relay 由于lmi类型可以通过LMI信令自动发现，所以在路由器上可以不进行配置 A路由器(图中左边为A路由器)：（1700/1600） RTA(Config) # int s0 //进入s0端口 RTA(config-if) # encapsulation frame-relay //设置帧中继封装 RTA(config-if)# ip address 192.168.1.1 255.255.255.0 //指定端口ip RTA

(config-if)#no shut B、C路由器与A的配置类似 路由器A、B、C采用Inverse-ARP协议会自动生成帧中继映射表，而不用静态指定。 在对端路由器不支持inverse arp的情况下，我们可以采静态指定DLCI和静态生成映射 表，则可采用下列命令： RTA(config-if) # frame-relay map ip <下一跳地址> （3） 验证帧中继 测试连通性：在用户路由器（A/B/C）上使用ping 命令 查看虚电路：show frame-relay pvc (在帧中继交换机上) 查看映射表：show frame-relay map（在用户路由器上） 查看LMI信息：show frame-relay lmi（在用户路由器上） 查看端口封装：show int s0 查看交换表（只在FR交换机上用）：show frame-relay route 使用子接口

1．实验拓扑 目标：在以上步骤的配置下，RTA与RTB由于水平分割的限制而不能交换路由信息，在RTC物理接口上使用子接口，可以解决这个问题。

RTC RTA S2 RTB S0

DLCI=110 S1

S0:192.168.1.1/24

S0.2:192.168.2.2/24 DLCI=210 S0:192.168.2.1/24 DLCI=100

S0.1:192.168.1.2/24 DLCI=200

百思学网络，领先科技 -86- HTTP://WWW.BESTXUE.CN

2．观察水平分割问题 修改用户路由器配置之前，观察水平分割对路由更新信息的影响。 在用户路由器A、B上配置Loopback口，模拟两个网段地址，并启动RIP协议： RTA（config）#int l0 RTA(config-if)#ip add 192.168.3.1 255.255.255.0 RTA(config-if)#exit RTA(config)#router rip

RTA(config-route)#network 192.168.1.0 RTA(config-route)#network 192.168.3.0 RTB(config)#int l0 RTB(config-if)#ip add 192.168.4.1 255.255.255.0 RTB(config-if)#exit RTB(config)#router rip

RTB(config-route)#network 192.168.1.0 RTB(config-route)#network 192.168.4.0 在A、B上show ip route，观察路由表是否有所有网段的路由条目。 3．子接口配置 （1）帧中继交换机 与第一步中的交换机一样，不需要作配置上的改动。 （2）在用户路由器C上启用子接口 要点： 由于要配置子接口，物理端口要用no ip address 去掉ip； 进入子接口时需要指明点对点模式，在子接口只需要配置IP地址以及DLCI号就可以了，帧中继映射表通过LMI动态生成。 为查看帧中继lmi的工作过程，可以使用debug frame-relay lmi命令 C路由器 物理端口 RTC(config) #int s0 RTC(config-if) # no ip address //去掉IP，否则子接口不起作用 RTC(config-if) # encap frame-relay //帧中继封装 RTC(config-if) # frame-relay lmi-type cisco //配置lmi类型，注意lmi类型要匹配 RTC(config-if) # no shut RTC(config-if) # exit 子接口1 RTC(config) # int s0.1 point-to-point //进入s0.1子接口，注意需要指明是point-to-point RTC(config-subif) # ip address 192.168.1.2

255.255.255.0 //设置子接口ip地址 RTC(config-subif) # frame-relay interface-dlci 200 //设置本地dlci号 RTC(config-subif) #exit 子接口2 RTC(config) # int s0.1 point-to-point RTC(config-subif) # ip address 192.168.2.2 255.255.255.0 RTC(config-subif) #frame-relay interface-dlci 210

RTC(config-subif) #exit 修改路由器RTB的S0口的IP地址如拓扑图所示。 （3）验证配置 查看路由表：show ip route （检查是否有全部网段的信息） 查看虚电路：show frame-relay pvc (在帧中继交换机上) 查看映射表：show frame-relay map（在用户路由器上） 查看端口封装：show int s0 查看lmi信息：show frame-relay lmi 查看帧中继lmi的工作过程：debug frame-relay lmi