R2: r2#conf t
r2(config)#router ospf 100
r2(config-router)#net 172.16.1.0 0.0.0.255 area 0 r2(config-router)#net 192.168.1.0 0.0.0.255 area 0 r2(config-router)#end R3: r3#conf t
r3(config)#router ospf 100
r3(config-router)#net 192.168.1.0 0.0.0.255 area 0 r3(config-router)#net 10.2.2.0 255.255.255.0 area 0 r3(config-router)#exit r3(config)#int lo 0
r3(config-if)#ip ospf network point-to-point
r3(config-if)#end //最后测试成功
《十一》 访问控制列表
1. 实验拓扑:实验用到R1、R2和R3
2. 实验要求
(1) 路由器的基本配置:根据拓扑命名路由器的名称;关闭域名查找;设置输入同步;配置IP地址;三台路由器都运行OSPF协议,且所有路由器都在区域0,并实现个网段之间能够相互访问。最后要求在每台路由器上都能看到明细的路由条目
(2) 标准访问控制列表:要求禁止网段10.2.2.0/24所有用户访问10.1.1.0/24网段 (3) 标准访问控制列表和名称访问控制列表:要求禁止10.2.2.0/24网段上所有IP数据流
访问172.16.1.0/24和10.1.1.0/24网段,该如何实现?
(4) 控制telnet访问:把R3假设为一台管理员的PC机,使用的IP地址是192.168.1.2,要求只有他才能telnet到R1和R2上进行配置,该如何实现? 3. 实验步骤
(1) 参考上一个实验配置,在此省略 (2) 标准访问控制列表: r1#conf t
r1(config)#access-list 1 deny 10.2.2.0 0.0.0.255 r1(config)#access-list 1 permit any r1(config)#int fa0/0
r1(config-if)#ip access-group 1 in r1(config-if)#end
r1#show access-list 1 //查看访问控制列表
r3#ping ip //从10.2.2..1 ping 10.1.1.1 结果:U.U.U 成功 (3) 标准访问控制列表和名称访问控制列表
r1#conf t //先把之前的实验配置清除 r1(config)#no access-list 1 r1(config)#int fa0/0
r1(config-if)#no ip access-group 1 in r1(config-if)#end r2#conf t
r2(config)#no access-list 1 r2(config)#int s1/1
r2(config-if)#no ip access-group 1 in r2(config-if)#exit
r2(config)#access-list 101 deny ip 10.2.2.0 0.0.0.255 172.16.1.0 0.0.0.255 r2(config)#access-list 101 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255 r2(config)#access-list 101 permit ip any any r2(config)#int s1/1
r2(config-if)#ip access-group 101 in r2(config-if)#end 测试:
r2#show access-list 101 r2#show ip access-list 101
r3#ping ip //从10.2.2.1 ping 172.16.1.1 提示U.U.U 测试成功 r2#conf t
r2(config)#no access-list 101 r2(config)#int s1/1
r2(config-if)#no ip access-group 101 in
r2(config-if)#exit //删除前面的配置 r2(config)#ip access-list extended cisco
r2(config-ext-nacl)#deny ip 10.2.2.0 0.0.0.255 172.16.1.0 0.0.0.255 r2(config-ext-nacl)#deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255 r2(config-ext-nacl)#permit ip any any r2(config-ext-nacl)#exit r2(config)#int s1/1
r2(config-if)#ip access-group cisco in r2(config-if)#end r2#show access-list cisco r2#show ip access-list
r3#ping ip //从10.2.2.1 ping 172.16.1.1 提示U.U.U
(4) 控制telnet访问 先给R1和R2配置密码: r1#conf t
r1(config)#line vty 0 4 r1(config-line)#pass cisco r1(config-line)#login r1(config-line)#exit
r1(config)#enable secret cisco r1(config)#end r2#conf t
r2(config)#no ip access-list extended cisco r2(config)#int s1/1
r2(config-if)#no ip access-group cisco in
r2(config-if)#exit //删除之前的配置 r2(config)#line vty 0 4 r2(config-line)#pass cisco r2(config-line)#login r2(config-line)#exit
r2(config)#enable secret cisco r2(config)#end
测试成功 配置完密码后,R1和R2可以互访测试: r2#telnet 10.1.1.1 Trying 10.1.1.1 ... Open User Access Verification Password: Password: r1>en Password:
r1# //测试成功 配置telnet访问: r1#conf t
r1(config)#access-list 1 permit host 192.168.1.2 r1(config)#line vty 0 4
r1(config-line)#access-class 1 in r1(config-line)#end r2#conf t
Enter configuration commands, one per line. End with CNTL/Z. r2(config)#access-list 1 permit host 192.168.1.2 r2(config)#line vty 0 4
r2(config-line)#access-class 1 in r2(config-line)#end 测试:
r1#telnet 192.168.1.1 Trying 192.168.1.1 ...
% Connection refused by remote host //拒绝连接 r2#telnet 10.1.1.1 Trying 10.1.1.1 ...
% Connection refused by remote host //拒绝连接 r3>en
r3#telnet 10.1.1.1 Trying 10.1.1.1 ... Open User Access Verification Password: r1>en Password:
r1# //成功登陆R1 (R2也测试成功)
《十二》 NAT
1. 实验拓扑:实验用到R1、R2、R3和R4
2. 实验环境
使用命令将R1和R4变成PC1和PC2,分别使用私有IP地址192.168.1.2和192.168.10.2 R2属于广州A公司,R2上E1/1和E1/0接口IP地址分别为202.96.128.129/28和192.168.1.1/24
R3属于深圳B公司,R3上E1/0和E1/1接口IP地址分别为202.96.128.142/28和192.168.10.1/24(深圳B公司是用来测试用的,请勿配置NAT) PC1直连R2的E1/0接口;PC2直连R3的E1/1接口 3. 实验要求
(1) 基本配置:根据拓扑命名设备的名称;关闭域名查找;设置输入同步;配置IP地址(PC1指定默认网关是192.168.1.1,PC2指定的默认网关是192.168.10.1)
(2) 静态NAT:ISP分配了一个为202.96.128.129/30的公网IP给广州A公司,要求只有公司内部网络管理员使用的PC才能上网,请使用相应的配置来实现。PC1当作网络管理员的主机
(3) 动态NAT:ISP分配了11个连续的公网IP:202.96.128.129/28—202.96.128.129/28,要求通过配置动态NAT为192.168.1.0/24这些范围的主机提供上网,该如何配置 (4) 配置PAT:广州A公司只申请了一个为202.96.128.129/30的公网IP,但是公司里却有几十台PC机要同时通过上网办公,使用相应的配置在现有的公网IP上为公司里所有的PC机同时提供上网服务
(5) 端口映射:如何实现在PC2上telnet到202.96.128.129时会自动telnet到广州A公司局域网内部的交换机上进行配置 4. 实验步骤 (1) 基本配置