思科路由網(wǎng)絡(luò)通信技術(shù)實(shí)驗(yàn)指令匯總概述

1、網(wǎng)絡(luò)實(shí)驗(yàn)指令匯總一、配置Cisco交換機(jī)二、配置VLAN三、Cisco VTP和非VTP中繼四、STP生成樹(shù)協(xié)議五、無(wú)線路由配置六、配置單個(gè)路由器七、靜態(tài)路由八、配置動(dòng)態(tài)路由RIP九、Cisco EIGRP（增強(qiáng)型內(nèi)部網(wǎng)關(guān)路由協(xié)議）十、配置單區(qū)域OSPF十一、路由器實(shí)現(xiàn)Vlan間通信（單臂路由）十二、PPP（數(shù)據(jù)鏈路層協(xié)議）十三、ACL簡(jiǎn)單的配置十四、使用 Easy IP 配置 DHCP (DNS服務(wù)器)十五、利用 NAT 擴(kuò)展網(wǎng)絡(luò)一、配置Cisco交換機(jī)設(shè)置訪問(wèn)口令switch(config)#enable password設(shè)置進(jìn)入特權(quán)模式進(jìn)的密碼 switch(config-line)可以

2、設(shè)置通過(guò)console端口連接設(shè)備及telnet遠(yuǎn)程登錄時(shí)所需要的密碼S1#configure terminalS1(config)#line console 0 S1(config-line)#password ciscoS1(config-line)#loginS1(config-line)#line vty 0 15S1(config-line)#password ciscoS1(config-line)#loginS1(config-line)#exit設(shè)置命令模式口令將使能加密口令設(shè)置為 class：S1(config)#enable secret class配置IP地址及默認(rèn)網(wǎng)關(guān)管

3、理MAC地址表switch#show mac-address-table顯示MAC地址列表switch#clear mac-address-table dynamic清除動(dòng)態(tài)MAC地址列表配置端口安全switch(config-if)switchport port-security switch(config-if)switchport port-security maximum 4配置端口在發(fā)生端口安全違規(guī)事件時(shí)自動(dòng)關(guān)閉:如果不配置以下命令，則 S1 只會(huì)將違規(guī)事件登記在端口安全性統(tǒng)計(jì)信息中，而不會(huì)關(guān)閉端口。S1(config-if)#switchport port-security vio

4、lation shutdown配置快速以太網(wǎng)接口的端口速率和雙工設(shè)置S1#configure terminalS1(config)#interface fastethernet 0/18S1(config-if)#speed 100 S1(config-if)#duplex full二、配置VLAN創(chuàng)建VLAN在Cisco IOS中有兩種方式創(chuàng)建vlan,在全局配置模式下使用vlan vlanid命令，如switch(config)#vlan 10；在vlan database下創(chuàng)建vlan,如switch(vlan)vlan 20把端口劃分給vlan(基于端口的vlan)switch(con

5、fig)#interface fastethernet0/1進(jìn)入端口配置模式switch(config-if)#switchport mode access配置端口為access模式switch(config-if)#switchport access vlan 10把端口劃分到vlan 10如果一次把多個(gè)端口劃分給某個(gè)vlan可以使用interface range命令。刪除配置把第0個(gè)模塊中的第8個(gè)端口從vlan 40中刪除:刪除vlan 40:為vlan配置ip地址三、CiscoVTP1、配置基本交換機(jī)配置2、配置主機(jī) PC 上的以太網(wǎng)接口3、啟用用戶交換機(jī)上的用戶端口S2(config)

6、#interface fa0/6S2(config-if)#switchport mode accessS2(config-if)#no shutdownS2(config-if)#interface fa0/11S2(config-if)#switchport mode accessS2(config-if)#no shutdown4、配置VTP（1）將 S1 Fa0/1 和 Fa0/3 配置為中繼，并使用 VLAN 99 作為本征 VLAN。S1(config)#interface FastEthernet 0/1S1(config-if)#switchport mode trunkS1(

7、config-if)#switchport trunk native vlan 99 S1(config-if)#interface FastEthernet 0/3S1(config-if)#switchport mode trunkS1(config-if)#switchport trunk native vlan 99 （2）S2上啟用中繼，并將 VLAN 99 配置為本征 VLANS2(config)#interface FastEthernet 0/1S2(config-if)#switchport mode trunkS2(config-if)#switchport trunk n

8、ative vlan 99（3）為交換機(jī)配置工作模式、域名和 VTP 口令S1(config)#vtp mode serverDevice mode already VTP SERVER.S1(config)#vtp domain CCNAChanging VTP domain name from NULL to Lab4S1(config)#vtp password ciscoSetting device VLAN database password to ciscoS1(config)#end S2(config)#vtp mode clientSetting device to VTP

9、CLIENT modeS2(config)#vtp domain CCNAChanging VTP domain name from NULL to Lab4S2(config)#vtp password ciscoSetting device VLAN database password to ciscoS2(config)#end S3(config)#vtp mode transparentSetting device to VTP TRANSPARENT mode.S3(config)#vtp domain CCNAChanging VTP domain name from NULL

10、to Lab4S3(config)#vtp password ciscoSetting device VLAN database password to ciscoS3(config)#end （4）為所有交換機(jī)上的中繼端口配置中繼和本征 VLAN。S1(config)#interface fa0/1S1(config-if)#switchport mode trunkS1(config-if)#switchport trunk native vlan 99S1(config-if)#no shutdownS1(config-if)#interface fa0/2S1(config-if)#s

11、witchport mode trunkS1(config-if)#switchport trunk native vlan 99S1(config-if)#no shutdownS1(config-if)#endS2(config)#interface fa0/1S2(config-if)#switchport mode trunkS2(config-if)#switchport trunk native vlan 99S2(config-if)#no shutdownS2(config-if)#endS3(config)#interface fa0/2S3(config-if)#switc

12、hport mode trunkS3(config-if)#switchport trunk native vlan 99S3(config-if)#no shutdownS3(config-if)#end（5）在 S2 和 S3 接入層交換機(jī)上配置端口安全功能配置端口 fa0/6和fa0/11使它們只支持一臺(tái)主機(jī)，并且動(dòng)態(tài)獲知該主機(jī)的 MAC 地址。S2(config)#interface fa0/6S2(config-if)#switchport port-security S2(config-if)#switchport port-security maximum 1S2(config-

13、if)#switchport port-security mac-address sticky S2(config-if)#interface fa0/11S2(config-if)#switchport port-security S2(config-if)#switchport port-security maximum 1S2(config-if)#switchport port-security mac-address sticky S3(config)#interface fa0/6S3(config-if)#switchport port-security S3(config-if

14、)#switchport port-security maximum 1S3(config-if)#switchport port-security mac-address sticky S3(config-if)#interface fa0/11S3(config-if)#switchport port-security S3(config-if)#switchport port-security maximum 1S3(config-if)#switchport port-security mac-address sticky （6）在 VTP 服務(wù)器上（server）配置 VLAN。(7

15、)在所有交換機(jī)上配置管理接口地址。S1(config)#interface vlan 99S1(config-if)#ip address 1 S1(config-if)#no shutdownS2(config)#interface vlan 99S2(config-if)#ip address 2 S2(config-if)#no shutdownS3(config)#interface vlan 99S3(config-if)#ip address 3 255.255.2

16、55.0S3(config-if)#no shutdown(8)分配交換機(jī)(client)端口給 VLAN。S3(config)#interface fa0/6S3(config-if-range)#switchport access vlan 30S3(config-if-range)#interface fa0/11S3(config-if-range)#switchport access vlan 10S3(config-if-range)#interface fa0/18S3(config-if-range)#switchport access vlan 20非VTP中繼1、在中繼交換

17、機(jī)上配置 VLAN2、在用戶交換機(jī)上配置 VLAN3、將 VLAN 分配給用戶交換機(jī)上的活動(dòng)端口S2(config)#interface fastEthernet 0/6S2(config-if)#switchport mode accessS2(config-if)#switchport access vlan 30S2(config-if)#interface fastEthernet 0/11S2(config-if)#switchport mode accessS2(config-if)#switchport access vlan 104、配置中繼（1）將 中繼交換機(jī)S1的 Fa0/

18、1 和 Fa0/3 配置為中繼，并使用 VLAN 99 作為本征 VLAN。S1(config)#interface FastEthernet 0/1S1(config-if)#switchport mode trunkS1(config-if)#switchport trunk native vlan 99 S1(config-if)#interface FastEthernet 0/3S1(config-if)#switchport mode trunkS1(config-if)#switchport trunk native vlan 99 （2）用戶交換機(jī)啟動(dòng)中繼，并將 VLAN 99

19、 配置為本征 VLAN。S2(config)#interface FastEthernet 0/1S2(config-if)#switchport mode trunkS2(config-if)#switchport trunk native vlan 99S3(config)#interface FastEthernet 0/3S3(config-if)#switchport mode trunkS3(config-if)#switchport trunk native vlan 99四、STP生成樹(shù)協(xié)議STP基本配置命令修改Brigde ID，重新選根網(wǎng)橋switch(config)#sp

20、anning-tree vlan 1 priority 4096switch(config-if)spanning-tree vlan vlan-id port-priority 優(yōu)先級(jí)值交換機(jī)端口優(yōu)先級(jí)值修改命令,通過(guò)修改端口優(yōu)先值也可以更改端口的轉(zhuǎn)發(fā)狀態(tài)。查看、檢驗(yàn)STP（生成樹(shù)協(xié)議）配置switch#show spanning-tree switch#show spanning-tree active switch#show spanning-tree detail switch#show spanning-tree interface interface-id switch#show

21、spanning-tree vlan vlanidSTP與VLAN負(fù)載均衡配置配置負(fù)載均衡后，每個(gè)VLAN有自己的根網(wǎng)橋。每條vlan中繼鏈路只轉(zhuǎn)發(fā)所允許的Vlan數(shù)據(jù)幀。 switch(config-if)switchport trunk allowed vlan vlanid這條命令配置某條trunk中繼鏈路只能轉(zhuǎn)發(fā)該vlan五、無(wú)線路由配置一、配置 Linksys Setup（設(shè)置）選項(xiàng)卡中的選項(xiàng)1、Internet 連接類(lèi)型設(shè)置為靜態(tài) IP。（1）單擊 Linksys 路由器，然后選擇 GUI 選項(xiàng)卡。（2）在 Linksys 路由器的 Setup（設(shè)置）屏幕中，找到 Internet

22、 Setup（Internet 設(shè)置）下的 Internet Connection Type（Internet 連接類(lèi)型）選項(xiàng)。單擊下拉菜單并從列表中選擇 Static IP（靜態(tài) IP）。（3）配置 WRS2 的 VLAN 88 IP 地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)。2、配置路由器 IP 參數(shù)。（1）在Setup（設(shè)置）屏幕中，向下滾動(dòng)到Network Setup（網(wǎng)絡(luò)設(shè)置）。對(duì)于Router IP（路由器 IP）選項(xiàng)，將 IP 地址設(shè)置為 ，子網(wǎng)掩碼設(shè)置為 。（2）在DHCP Server Setting（DHCP 服務(wù)器設(shè)置）中，確保已啟用 DH

23、CP 服務(wù)器。3、保存設(shè)置單擊Setup（設(shè)置）屏幕底部的Save Settings（保存設(shè)置）按鈕。二、配置 Linksys Wireless（無(wú)線）選項(xiàng)卡中的選項(xiàng)1、配置網(wǎng)絡(luò)名稱(chēng) (SSID)。（1）單擊Wireless（無(wú)線）選項(xiàng)卡（2）在Network Name (SSID) 網(wǎng)絡(luò)名稱(chēng) (SSID)中，將網(wǎng)絡(luò)從 Default 重命名為 WRS_LAN。（3）單擊Save Settings（保存設(shè)置）。2、設(shè)置安全模式。(1)單擊Wireless Security（無(wú)線安全），位于 Wireless（無(wú)線）主選項(xiàng)卡中的 Basic Wireless Settings（基本無(wú)線設(shè)置）旁。

24、(2)將Security Mode（安全模式）從 Disabled（已禁用）改為 WEP。(3)Encryption（加密）使用默認(rèn)的 40/64-Bit（40/64 位），將Key1（密鑰 1）設(shè)置為 0123456789。(4)單擊Save Settings（保存設(shè)置）。三、配置 Linksys Administration（管理）選項(xiàng)卡中的選項(xiàng)1、設(shè)置路由器口令。(1)單擊Administration（管理）選項(xiàng)卡(2)在Router Access（路由器訪問(wèn)）中，將路由器口令改為 cisco123。再次輸入同一口令以確認(rèn)2、啟用遠(yuǎn)程管理。(1)在Remote Access（遠(yuǎn)程訪問(wèn)）中

25、啟用遠(yuǎn)程管理。(2)單擊Save Settings（保存設(shè)置）。四、為 PC 添加無(wú)線連接1、刪除 PC3 的快速以太網(wǎng)卡（1）單擊PC3，然后單擊Physical（物理）選項(xiàng)卡。（2）hysical Device View（物理設(shè)備視圖）中是該 PC 的圖像。單擊 PC 上的電源按鈕將其關(guān)閉。（3）刪除快速以太網(wǎng)卡，即將其拖到窗口右下角。網(wǎng)卡位于機(jī)器底部。2、在 PC3 上安裝無(wú)線網(wǎng)卡。（1）在Modules（模塊）下，找到 Linksys-WMP300N 并將其拖放到快速以太網(wǎng)卡先前所在的位置。（2）重新打開(kāi)電源。3、使用 WEP 密鑰配置 PC3。（1）在 PC3 的配置 GUI 中，單

26、擊Desktop（桌面）選項(xiàng)卡。（2）單擊 PC Wireless（PC 無(wú)線）開(kāi)始為 PC3 設(shè)置 WEP 密鑰。出現(xiàn)的 Linksys 屏幕應(yīng)顯示該 PC 尚未與任何接入點(diǎn)關(guān)聯(lián)。（3）單擊Connect（連接）選項(xiàng)卡。（4）WRS_LAN 應(yīng)顯示在可用無(wú)線網(wǎng)絡(luò)列表中。務(wù)必選中它并單擊Connect（連接）。（5）在WEP Key 1（WEP 密鑰 1）中鍵入 WEP 密鑰 0123456789，然后單擊Connect（連接）。（6）切換到Link Information（鏈路信息）選項(xiàng)卡。Signal Strength（信號(hào)強(qiáng)度）和 Link Quality（鏈路質(zhì)量）指標(biāo)應(yīng)顯示信號(hào)極強(qiáng)。

27、（7）單擊More Information（詳細(xì)信息）按鈕查看該連接的詳細(xì)信息。您可以看到 PC 從 DHCP 地址池接收的 IP 地址。（8）關(guān)閉 PC Wireless（PC 無(wú)線）配置窗口。六、配置單個(gè)路由器實(shí)驗(yàn)環(huán)境搭建添加一個(gè)模塊化的路由器，單擊Packet Tracer 5.0的工作區(qū)中剛添加的路由器，在彈出的配置窗口上添加一些模塊：圖一默認(rèn)情況下，路由器的電源是打開(kāi)的，添加模塊時(shí)需要關(guān)閉路由器的電源，單擊圖一箭頭所指的電源開(kāi)關(guān)，將其關(guān)閉，路由器的電源關(guān)閉后綠色的電源指示燈也將變暗。圖二添加所需要的模塊在“MODULES”下尋找所需要的模塊，選中某個(gè)模塊時(shí)會(huì)在下方顯示該模塊的信息。然

28、后拖到路由器的空插槽上即可。圖三各種模塊添加完成，打開(kāi)路由器的電源 圖四添加一計(jì)算機(jī)，其RS-232與路由器的Console端口相連 通過(guò)Console端口配置路由器點(diǎn)擊PC1的Desktop-Terminal Configuration:配置單個(gè)的路由器:配置路由器的名字：配置enable密碼:配置Console登錄時(shí)的密碼配置終端登錄方式的密碼配置登錄時(shí)的歡迎信息配置僅限授權(quán)訪問(wèn)的標(biāo)語(yǔ)標(biāo)語(yǔ)：AUTHORIZED ACCESS ONLY!（僅限授權(quán)訪問(wèn)）R1(config)#banner motd &AUTHORIZED ACCESS ONLY!&七、靜態(tài)路由路由器基本配置1、配置路由器、交

29、換機(jī)的名字（以及登陸命令）2、配置路由器FastEthernet接口IP地址3、配置路由器Serial口ip地址4、設(shè)置串口時(shí)鐘速率(DCE)5、取消ip地址設(shè)置：R3(config)#int fa0/0R3(config-if)#no ip address配置各個(gè)路由器上的靜態(tài)路由配置Router0的靜態(tài)路由：R1(config)#ip route 目的網(wǎng)絡(luò)地址 目的網(wǎng)絡(luò)子網(wǎng)掩碼 下一條路由的IP地址或源端口（一）下一條路由的IP地址：（二）源端口：R1#configure terminalR1(config)#ip route FastE

30、thernet 0/1R3(config)#ip route Serial 0/0/1刪除一條靜態(tài)路由表配置默認(rèn)路由八、配置動(dòng)態(tài)路由RIPRIP協(xié)議基本配置命令 （有類(lèi)IP編址）Router(config)#ip classless讓路由器支持無(wú)類(lèi)編址，RIPv1是不支持無(wú)類(lèi)IP編址的。RIP基本配置命令： Router(config)#router rip Router(config-router)#network w.x.y.z(與路由器直連網(wǎng)絡(luò)的地址)可選的配置命令： Router(config)#no router rip在路由器上關(guān)

31、閉RIP協(xié)議Router(config-router)#no network w.x.y.z從RIP協(xié)議中移除w.x.y.z網(wǎng)絡(luò)Router(config-router)#version 2RIP協(xié)議為第2版Router(config-if)#ip rip send version 2該接口僅發(fā)送RIP ver 2報(bào)文Router(config-if)#ip rip send version 1該接口僅發(fā)送RIP ver 1報(bào)文Router(conifg-if)#ip rip send version 1 2該接口發(fā)送RIP ver 1報(bào)文和RIP ver 2報(bào)文Router(config-i

32、f)#ip rip receive version 2該接口僅接收RIP ver 2報(bào)文Router(config-router)#no auto-summary 關(guān)閉路由協(xié)議的自動(dòng)聚合功能Router(config-router)#ip split-horizon配置水平分割RIP配置過(guò)程：1、路由器的基本配置（見(jiàn)路由器基本配置）2、RIP路由協(xié)議配置 給每個(gè)路由器RIP協(xié)議啟用第二版：、RIP路由協(xié)議的診斷與排錯(cuò)：debug ip rip開(kāi)啟RIP診斷，no debug ip rip 關(guān)閉RIP診斷九、Cisco EIGRP（增強(qiáng)型內(nèi)部網(wǎng)關(guān)路由協(xié)議）配置Cisco EIGRP的基本命令 （

33、有類(lèi)+無(wú)類(lèi)IP編址）Router(config)#router eigrp 100開(kāi)啟EIGRP進(jìn)程，100為AS（自治系統(tǒng)）編號(hào)(165535)Router(config-router)#network 直連網(wǎng)絡(luò)地址 子網(wǎng)掩碼（可有可無(wú)）在網(wǎng)絡(luò)上通告自己所直接連接的網(wǎng)段注：有類(lèi)IP編址：network 直連網(wǎng)絡(luò)地址 無(wú)類(lèi)IP編址：network 直連網(wǎng)絡(luò)地址 子網(wǎng)掩碼（或其反碼:通配符掩碼）配置Cisco EIGRP：1、 路由器的基本配置（見(jiàn)路由器基本配置）2、 啟用EIGRP：、校驗(yàn)與排錯(cuò)debug eigrp packets開(kāi)啟eigrp診斷，no debug eigrp packet

34、s 關(guān)閉eigrp診斷十、配置單區(qū)域OSPFOSPF配置基本命令 (無(wú)類(lèi)IP編址)Router(config)#router ospf 1Router(config-router)#network與路由器直連網(wǎng)絡(luò)的地址55(子網(wǎng)掩碼的反碼) area 0 Router(config-router)#router-id OSPF配置、路由器基本配置、啟動(dòng)OSPF、校驗(yàn)、診斷debug ip ospf events開(kāi)啟診斷，no debug ip ospf events關(guān)閉診斷實(shí)例：配置動(dòng)態(tài)路由和默認(rèn)路由步驟 1. 配置 R1、R2 和 R3 使用 OSPF 路由協(xié)議

35、。 在路由器上配置 OSPF 時(shí)，使用進(jìn)程 ID 1。 通告與 R1 和 R3 相連的所有網(wǎng)絡(luò)，但請(qǐng)勿將路由更新送出 LAN 接口以外。 在 R2 上，請(qǐng)勿通告 24 網(wǎng)絡(luò)，并請(qǐng)勿將路由更新送出 Fa0/0 或 Serial0/1/0 接口以外。步驟 2. 在 R2 上配置默認(rèn)路由。配置到 ISP 的靜態(tài)路由，將 R2 上的送出接口指定為下一跳地址。步驟 3. 配置 OSPF 通告默認(rèn)路由。在 R2 上，輸入命令以通過(guò) OSPF 向 R1 和 R3 通告默認(rèn)路由。R1:啟動(dòng)OSPF，通告與 R1相連的所有網(wǎng)絡(luò)，R1(config)#router ospf 1R1(co

36、nfig-router)#network a 0R1(config-router)#network 55 a 0 R1(config-router)#network 55 a 0但請(qǐng)勿將路由更新送出 LAN 接口以外。R1(config-router)#default-information originateR1(config-router)#passive-interface f0/1R1(config-router)#passive-interface f0/0R2:配置到

37、ISP 的靜態(tài)路由，將 R2 上的送出接口指定為下一跳地址R2(config)#ip route s0/1/0啟動(dòng)OSPFR2(config)#router ospf 1R2(config-router)#network a 0R2(config-router)#network a 0R2(config-router)#network 55 a 0R2(config-router)#network 24 1 a 0在

38、 R2 上，請(qǐng)勿通告 24 網(wǎng)絡(luò)，并請(qǐng)勿將路由更新送出 Fa0/0 或Serial0/1/0 接口以外。R2(config-router)#default-information originate R2(config-router)#passive-interface s0/1/0R2(config-router)#passive-interface f0/0R3:啟動(dòng)OSPF，通告與 R3 相連的所有網(wǎng)絡(luò)，R3(config)#router ospf 1R3(config-router)#network a 0R3(config-

39、router)#network 55 a 0但請(qǐng)勿將路由更新送出 LAN 接口以外。R3(config-router)#default-information originateR3(config-router)#passive-interface f0/0注意:1、default-information originate作用:向OSPF區(qū)域內(nèi)通告一條默認(rèn)路由2、passive-interface的作用: 防止路由更新通過(guò)這個(gè)接口發(fā)送出去。十一、路由器實(shí)現(xiàn)Vlan間通信（單臂路由）主要操作過(guò)程：1、創(chuàng)建Vlan2、把交換機(jī)端口分配給Vlan3、配置交換

40、機(jī)trunk端口4、配置路由器子接口Router#conf tRouter(config)#int fa0/1.1Router(config-subif)#encapsulation dot1q vlan-idRouter(config-subif)#ip address Router(config-subif)#int fa0/1.2Router(config-subif)#encapsulation dot1q vlan-idRouter(config-subif)#ip address R

41、outer(config-subif)#int fa0/1Router(config-if)#no shut十二、PPP（數(shù)據(jù)鏈路層協(xié)議）PPP的基本配置命令Router(config-if)#encapsulation PPP Router(config-if)#PPP multilink Router(config-if)#PPP authentication chap配置PPP1、路由器Boson上配置PPP的命令：2、啟用RIP路由協(xié)議，兩個(gè)路由器要配置RIP3、配置計(jì)算機(jī)的IP地址及網(wǎng)關(guān)PPP操作1（1）串行接口恢復(fù)為其默認(rèn)的 HDLC 封裝R2(config)#interface

42、serial 0/0/0R2(config-if)#encapsulation hdlc（2）串行接口恢復(fù)為 PPP 封裝R2(config)#interface s0/0/0R2(config-if)#encapsulation ppp2、配置 PPP 身份驗(yàn)證【采用 PAP 身份驗(yàn)證時(shí)，口令不加密。雖然這無(wú)疑強(qiáng)于完全沒(méi)有身份驗(yàn)證，但較之對(duì)鏈路上傳送的口令加密而言，卻仍稍遜一籌。CHAP 驗(yàn)證則會(huì)對(duì)口令加密?！浚?）在 R1 和 R2 間的串行鏈路上配置 PPP PAP 身份驗(yàn)證R1(config)#username R1 password ciscoR1(config)#int s0/0/

43、0R1(config-if)#ppp authentication papR1(config-if)#ppp pap sent-username R2 password ciscoR2(config)#username R2 password ciscoR2(config)#interface Serial0/0/0R2(config-if)#ppp authentication papR2(config-if)#ppp pap sent-username R1 password cisco（2）在 R2 和 R3 間的串行鏈路上配置 PPP CHAP 身份驗(yàn)證。R2(config)#user

44、name R3 password ciscoR2(config)#int s0/0/1R2(config-if)#ppp authentication chapR3(config)#username R2 password ciscoR3(config)#int s0/0/1R3(config-if)#ppp authentication chap注意:命令username namepasswordpassword中使用的名稱(chēng)始終是遠(yuǎn)程路由器的名稱(chēng)，但在ppp pap sent-username namepasswordpassword命令中，該名稱(chēng)應(yīng)該是始發(fā)路由器的名稱(chēng)。十三、ACL簡(jiǎn)單的配

45、置ACL(Access Control List，訪問(wèn)控制列表)，簡(jiǎn)單說(shuō)就是包過(guò)濾，根據(jù)數(shù)據(jù)包的報(bào)頭中的ip地址、協(xié)議端口號(hào)等信息進(jìn)行過(guò)濾。利用ACL可以實(shí)現(xiàn)安全控制。命名ACL的配置（一）創(chuàng)建ACL（二）將ACL應(yīng)用于接口檢驗(yàn) ACL 配置Router#show access-lists 配置標(biāo)準(zhǔn) ACL 配置擴(kuò)展 ACL ACL的一些特性配置標(biāo)準(zhǔn) ACL標(biāo)準(zhǔn)ACL的配置（一）創(chuàng)建ACL（二）將ACL應(yīng)用于接口一般來(lái)說(shuō)，限制訪問(wèn)某一網(wǎng)絡(luò)：限制流入in限制只能訪問(wèn)某一網(wǎng)絡(luò)：限制流出out一、配置采用數(shù)字編號(hào)的標(biāo)準(zhǔn) ACL要求： 允許 /24 網(wǎng)絡(luò)訪問(wèn)除 192.168.

46、11.0/24 網(wǎng)絡(luò)外的所有位置。 允許 /24 網(wǎng)絡(luò)訪問(wèn)所有目的地址，連接到 ISP 的所有網(wǎng)絡(luò)除外。要點(diǎn):access-list：標(biāo)準(zhǔn)訪問(wèn)控制列表,使用介于 0 和 99 之間的編號(hào)。any= 55, any表示的是任何一臺(tái)主機(jī)或所有主機(jī)， 55 代表的是所有網(wǎng)段，即所有主機(jī)。步驟 1. 確定通配符掩碼。步驟 2. 確定語(yǔ)句。R1(config)#access-list 10 deny 55限制源網(wǎng)絡(luò)的網(wǎng)絡(luò)號(hào)和通配符掩碼R1(config)#acc

47、ess-list 10 permit any 代表 55R2(config)#access-list 11 deny 55R2(config)#access-list 11 permit any步驟 3. 將語(yǔ)句應(yīng)用到接口。R1(config)#interface fa0/1 被限制的目的網(wǎng)絡(luò)的路由器接口R1(config-if)#ip access-group 10 out 限制流出R2(config)#interface s0/1/0R2(config-if)#ip access-group 11 out二、配

48、置命名標(biāo)準(zhǔn) ACL要求： 允許 /10 網(wǎng)絡(luò)訪問(wèn)所有目的地址。 拒絕主機(jī) 28 訪問(wèn) LAN 以外的地址。要點(diǎn):如果您想要指定一個(gè)特定的主機(jī)，可以增加一個(gè)通配符掩碼, 還可以使用host這一關(guān)鍵字。步驟 1. 確定通配符掩碼。步驟 2. 確定語(yǔ)句。R3(config)#ip access-list standard NO_ACCESS ACL命名R3(config-std-nacl)#deny host 28 指定特定主機(jī)28R3(config-std-nacl)#permit any

49、步驟 3. 將語(yǔ)句應(yīng)用到正確的接口。R3(config)#interface fa0/0R3(config-if)#ip access-group NO_ACCESS in 限制流入配置擴(kuò)展 ACL擴(kuò)展 ACL 是一種路由器配置腳本，根據(jù)源地址、目的地址，以及協(xié)議或端口來(lái)控制路由器應(yīng)該允許還是應(yīng)該拒絕數(shù)據(jù)包。擴(kuò)展 ACL 比標(biāo)準(zhǔn) ACL 更加靈活而且精度更高。本練習(xí)的主要內(nèi)容是定義過(guò)濾標(biāo)準(zhǔn)、配置擴(kuò)展 ACL、將 ACL 應(yīng)用于路由器接口并檢驗(yàn)和測(cè)試 ACL 實(shí)施。擴(kuò)展ACL的配置（一）創(chuàng)建ACL（二）將ACL應(yīng)用于接口一般來(lái)說(shuō)，限制不能訪問(wèn)某一網(wǎng)絡(luò)：限制流入in(擴(kuò)展ACL多為這種)限制只能訪

50、問(wèn)某一網(wǎng)絡(luò)：限制流出out一、配置采用數(shù)字編號(hào)的擴(kuò)展 ACL要求： 對(duì)于 /24 網(wǎng)絡(luò)，阻止 telnet 訪問(wèn)所有位置，并且阻止通過(guò) TFTP 訪問(wèn)地址為 54 的企業(yè) Web/TFTP Server。允許所有其它訪問(wèn)。 對(duì)于 /24 網(wǎng)絡(luò)，允許通過(guò) TFTP 和 Web 訪問(wèn)地址為 54 的企業(yè) Web/TFTP Server。阻止從 /24 網(wǎng)絡(luò)發(fā)往 /24 網(wǎng)絡(luò)的所有其它流量。允許所有其它訪問(wèn)。要點(diǎn): Telnet協(xié)議是TCP/IP協(xié)議族中的一

51、員，是Internet遠(yuǎn)程登陸服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式。TFTP（Trivial File Transfer Protocol,簡(jiǎn)單文件傳輸協(xié)議）是TCP/IP協(xié)議族中的一個(gè)用來(lái)在客戶機(jī)與服務(wù)器之間進(jìn)行簡(jiǎn)單文件傳輸?shù)膮f(xié)議，提供不復(fù)雜、開(kāi)銷(xiāo)不大的文件傳輸服務(wù)。端口號(hào)為69。TCP是傳輸控制協(xié)議，UDP 是用戶數(shù)據(jù)報(bào)協(xié)議。access-list：擴(kuò)展訪問(wèn)控制列表,使用介于 100 和 199 之間的編號(hào)。步驟 1. 確定通配符掩碼。步驟 2. 確定語(yǔ)句。（一）為 R1 配置第一個(gè)擴(kuò)展 ACL。在全局配置模式下，使用編號(hào) 110 配置第一個(gè) ACL。首先需要阻止 /24 網(wǎng)絡(luò)

52、中的所有 IP 地址 telnet 至任何位置。R1(config)#access-list 110 deny tcp 55 any eq telnet阻止 /24 網(wǎng)絡(luò)中的所有 IP 地址通過(guò) TFTP 訪問(wèn)地址為 54 的主機(jī)。R1(config)#access-list 110 deny udp 55 host 54 eq tftp允許所有其它流量。R1(config)#access-list 110 permit ip any any

53、第一個(gè)any是源，第二any是目的，指的是匹配數(shù)據(jù)包頭部信息中的源ip和目的ip。這句的意思是 允許所有源ip到達(dá)所有目的ip（二）為 R1 配置第二個(gè)擴(kuò)展 ACL。允許 /24 網(wǎng)絡(luò)中的任何 IP 地址通過(guò) WWW 訪問(wèn)地址為 54 的主機(jī)。R1(config)#access-list 111 permit tcp 55 host 54 eq www許 /24 網(wǎng)絡(luò)中的任何 IP 地址通過(guò) TFTP 訪問(wèn)地址為 54 的主機(jī)。R1(config)#access-list 111 permit udp 55 host 54 eq tftp阻止從 /24 網(wǎng)絡(luò)發(fā)往 /24 網(wǎng)絡(luò)的所有其它流量。R1(config)#access-list 111 deny ip 55 55允許任何其它流量。此語(yǔ)句用于確保不會(huì)阻止來(lái)自其它網(wǎng)絡(luò)的流量。R1(config)#ac