計(jì)算機(jī)網(wǎng)絡(luò)實(shí)習(xí)報(bào)告

桂林理工大學(xué)

網(wǎng)絡(luò)實(shí)習(xí)報(bào)告

信息科學(xué)與工程學(xué)院

計(jì)本10-1班

3100717116

謝佳樺

目錄

服務(wù)器的配置......................................................................1

一、實(shí)驗(yàn)?zāi)康?.................................................................1

二、實(shí)驗(yàn)涉及到的基本概念和理論..............................................1

三、實(shí)驗(yàn)拓?fù)?.................................................................1

實(shí)驗(yàn)過程及主要步驟...........................................................1

實(shí)驗(yàn)中遇到的問題.............................................................3

動(dòng)態(tài)路由配置......................................................................4

一、實(shí)驗(yàn)?zāi)康?................................................................4

二、實(shí)驗(yàn)涉及到的基本概念和理論..............................................4

三、實(shí)驗(yàn)拓?fù)?................................................................5

實(shí)驗(yàn)過程及主要步驟...........................................................5

實(shí)驗(yàn)中遇到的問題.............................................................6

網(wǎng)絡(luò)地址翻譯NAT...................................................................................................................................7

一、實(shí)驗(yàn)?zāi)康?................................................................7

二、實(shí)驗(yàn)涉及到的基本概念和理論..............................................7

三、實(shí)驗(yàn)拓?fù)?................................................................7

實(shí)驗(yàn)過程及主要步驟...........................................................7

實(shí)驗(yàn)中遇到的問題.............................................................9

VLAN間路由配置.................................................................10

一、實(shí)驗(yàn)?zāi)康?...............................................................10

二、實(shí)驗(yàn)涉及到的基本概念和理論.............................................10

三、實(shí)驗(yàn)拓?fù)?...............................................................10

四、實(shí)驗(yàn)過程及主要步驟......................................................11

五、實(shí)驗(yàn)中遇到的問題........................................................12

訪問控制列表配置................................................................13

一、實(shí)驗(yàn)?zāi)康?...............................................................13

二、實(shí)驗(yàn)涉及到的基本概念和理論.............................................13

三、實(shí)驗(yàn)拓?fù)?...............................................................14

實(shí)驗(yàn)過程及主要步驟..........................................................14

實(shí)驗(yàn)中遇到的問題............................................................15

PPP配置.........................................................................16

一、實(shí)驗(yàn)?zāi)康?...............................................................16

二、實(shí)驗(yàn)涉及到的基本概念和理論.............................................16

三、實(shí)驗(yàn)拓?fù)?...............................................................16

實(shí)驗(yàn)過程及主要步驟..........................................................17

實(shí)驗(yàn)中遇到的問題............................................................18

基于EasyVPN設(shè)計(jì)及配置..........................................................19

一、實(shí)驗(yàn)?zāi)康?...............................................................19

二、實(shí)驗(yàn)涉及到的基本概念和理論.............................................19

二、實(shí)驗(yàn)拓?fù)?...............................................................19

實(shí)驗(yàn)過程及主要步驟..........................................................20

實(shí)驗(yàn)中遇到的問題............................................................21

基于IpsecVPN設(shè)計(jì)及配置.........................................................22

一、實(shí)驗(yàn)?zāi)康?...............................................................22

二、實(shí)驗(yàn)涉及到的基本概念和理論.............................................22

三、實(shí)驗(yàn)拓?fù)?...............................................................22

實(shí)驗(yàn)過程及主要步驟..........................................................23

實(shí)驗(yàn)中遇到的問題............................................................24

服務(wù)器的配置

一、實(shí)驗(yàn)?zāi)康?/p>

1.了解掌握網(wǎng)絡(luò)地址翻譯的相關(guān)概念

2.掌握NAT和PAT的基本配置過程

二、實(shí)驗(yàn)涉及到的基本概念和理論

網(wǎng)絡(luò)地址翻譯(NAT)可以將內(nèi)部網(wǎng)絡(luò)的私有IP翻譯為Internet合法IP,從而可以方便

解決LAN內(nèi)大量IP地址的申請(qǐng)問題。NAT是一種用來讓使用私有地址的主機(jī)訪問Internet

的技術(shù)。這項(xiàng)技術(shù)的核心是將私有地址轉(zhuǎn)換為可以在公網(wǎng)上被路由的公有IP地址；PAT又稱

多端口地址轉(zhuǎn)換(portaddresstranslation),是對(duì)NAT功能的一種改進(jìn)。PAT能使多個(gè)內(nèi)部地

址映射到同一個(gè)全球地址，故又被稱為“多對(duì)一"NAT

三、實(shí)驗(yàn)拓?fù)?/p>

￡0/061.183.22.136/24f0/054/24

實(shí)驗(yàn)過程及主要步驟

1、將IP設(shè)置如下:

DNS服務(wù)器0/24;

Web服務(wù)器3^24

RouterOf0/l:192,168.1.1/24

(0/0:3^24

RouterlfO/l:54Z24

f0/0:54/24

PCI1/24;

PC2^24

web服務(wù)器設(shè)置成

GLOBAL

GlobalSettings

AlgonthmSettingsDisplayName

ccovirpc

DNS服務(wù)器添加A記錄如下

No.NameTypeDetails

1ARecord36

2、將PCI與PC2的默認(rèn)網(wǎng)關(guān)參數(shù)設(shè)置為

3、靜態(tài)路由表設(shè)置如下：

RouterO(config)#iproutefO/3

Routerl(config)#iproutef0/0

4、設(shè)置NAT

a)配置靜態(tài)NAT

RouterO(config)#ipnatinsidesourcestatic138

RouterOconfig)#irterfacef0/0

RouterO(config-if)#ipnatoutside〃指定NAT與外部相連的接口

RouterO(config-if)#exit

RouterO(config)#interfacef0/l

RouterO(config-if)#ipnatinside//toAENAT與內(nèi)部相連的接口

然后在PC0的WEB瀏覽器上打開,同時(shí)到WEB服務(wù)器上使用netstat

命令查詢TCP的連接情況

得到下圖結(jié)果

b)清除靜態(tài)NAT配置

RouterOttnoipna：insidesourcestatic138

c)配置動(dòng)態(tài)NAT

RouterO(config)#ipnatpoolnatpool3037netmask

//配置名為“natpool動(dòng)態(tài)NAT全局地址池為

30-37

RouterO(config)#access-list10permit192.168.1.C55〃建立編號(hào)為“10”的標(biāo)

準(zhǔn)訪問控制列表

RouterO(config)#ipnatinsidesourcelist10poolnatpool〃建立動(dòng)態(tài)NAT內(nèi)部源地址

轉(zhuǎn)換

然后在PCO的WEB瀏覽器上打開,同時(shí)到WEB服務(wù)器上使用netstat

命令查詢TCP的連接情況

得到下圖結(jié)果：

SERVER>netstao

ActiveConnections

Prot-oLocalAddressForeignAddressState

TCP221.236.12.136:8061.183.22.130:1025CLOSED

d)配置PAT

RouterO(config)#ipnatpoolnatpool4040netmask

RouterO(config)#ipnatinsidesourcelist10poolnatpooloverload

然后在PCO和PCI的WEB瀏覽器上打開,同時(shí)到WEB服務(wù)器上使用

netstat命令查詢TCP的連接情況

SERVER>netstat

ActiveConnections

ProtoLocalAddressForeignAddressState

e)

f)

實(shí)驗(yàn)中遇到的問題

在這次實(shí)驗(yàn)中，我最大的問題就是沒有配置好計(jì)算機(jī)的網(wǎng)關(guān)沒設(shè)置，導(dǎo)致無法訪問服務(wù)器。

動(dòng)態(tài)路由配置

一、實(shí)驗(yàn)?zāi)康?/p>

1、掌握RIP協(xié)議的相關(guān)配置

2、掌握OSPF協(xié)議的相關(guān)配置

二、實(shí)驗(yàn)涉及到的基本概念和理論

1、RIP協(xié)議相關(guān)知識(shí)

RIP屬于距離矢量路由協(xié)議，使用跳數(shù)作為路徑選擇的參數(shù)，并規(guī)定以目標(biāo)網(wǎng)絡(luò)的最大

跳數(shù)為15,如果超過此跳數(shù)，則直接丟棄數(shù)據(jù)包：RIP路由協(xié)議每30秒更新一次，并在相

鄰路由器上進(jìn)行路由信息廣播。

RIP為路由消息協(xié)議,存在兩個(gè)版本Vl>V2oRIPV2是VI的改進(jìn)版本,RIPv2支持VLSM,

并提供認(rèn)證、使用組播地址224.009傳遞路由信息

相關(guān)配置命令：

Router(config)#routerrip〃進(jìn)入路由配置模式

Router(config-router)#ver$ion1(2)〃指定RIP的版本為1或2

Router(config-router)//networkid〃指定本地端口連接的網(wǎng)絡(luò)ID,id為網(wǎng)絡(luò)ID

2、0SPF協(xié)議相關(guān)知吸

OSPF是一種典型的鏈路狀態(tài)路由協(xié)議。采用OSPF的路由器彼此交換并保存整個(gè)網(wǎng)絡(luò)的

鏈路信息，從而掌握全網(wǎng)的拓?fù)浣Y(jié)構(gòu)，獨(dú)立計(jì)算路由。

OSPF作為一種內(nèi)部網(wǎng)關(guān)協(xié)議(InteriorGatewayProtocol,IGP),用于在同一個(gè)自治域(AS)

中的路由器之間發(fā)布路由信息。區(qū)別于距離矢量協(xié)議(RIP),OSPF具有支持大型網(wǎng)絡(luò)、路由

收斂快、占用網(wǎng)絡(luò)濟(jì)源少等優(yōu)點(diǎn)，在目前應(yīng)用的路由協(xié)議中占有相當(dāng)重要的地位。

OSPF協(xié)議引入“分層路由”的概念，將網(wǎng)絡(luò)分割成一個(gè)“主干”連接的一組相互獨(dú)立

的部分，這些相互獨(dú)立的部分被稱為“區(qū)域”(Area),“主干”的部分稱為“主干區(qū)域(area

0)\每個(gè)區(qū)域就如同一個(gè)獨(dú)立的網(wǎng)絡(luò)，該區(qū)域的OSPF路由器只保存該區(qū)域的鏈路狀態(tài)。每

個(gè)路由器的鏈路狀態(tài)數(shù)據(jù)庫(kù)都可以保持合理的大小，路由計(jì)算的時(shí)間、報(bào)文數(shù)量都不會(huì)過大。

在多于一個(gè)區(qū)域的自治系統(tǒng)中，OSPF規(guī)定必須有一個(gè)骨干區(qū)(backbone)—area0,骨干

區(qū)是OSPF的中樞區(qū)域，它與其他區(qū)域通過區(qū)域邊界路由器(ABR)相連。

相關(guān)配置命令：

Router(config)#routerOSPFprocess-number

〃參數(shù)process-number表示路由進(jìn)程編號(hào)，其取值范圍是：1~65535

Router(config-router)ftnetworknetwork-addresswildcerd-maskareaarea-number

〃參數(shù)network-address表示IP子網(wǎng)號(hào)；wildcard-mask表示通配符掩碼，它是子網(wǎng)

掩碼的反碼;area-number區(qū)域號(hào)，0~4294967295范圍內(nèi)的十進(jìn)制數(shù),也可以用點(diǎn)分十進(jìn)

制的方法表示。

三、實(shí)驗(yàn)拓?fù)?/p>

RouterO的fO/1：724

RouterO的fO/D：/24

Routerl的fO/1：192.168.1.?/24

Routeri的f0/0：/24

PC0/PC1的IP：10.1.1.^2410.1.1.^24

PC2/PC3的IP：10.12X2410.1.2.第24

實(shí)驗(yàn)過程及主要步驟

1、配置RIP

Routerl配置：

Router>enable

Router#configureterrrinal

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

Router(config)#routerrip

Router(config-router)#version2

Router(config-router)#network

Router(config-router)#network

RouterO配置同上

2、查看各個(gè)路由的路由表

RouterO的路由表：

Router#showiproute

Codes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGP

D-日GRREX-日GRPexternal,O-OSPF,IA-OSPFinterarea

N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2

El-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGP

i-IS-IS,LI-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea

4-candidatedefault,U-per-userstaticroute,o-ODR

P-periodicdownloadedstaticroute

Gatewayoflastresortisnotset

/8isvariablysubnetted,2subnets,2masks

R/8[120/1]via,00:00:06,FastEthernetO/1

C/24isdirectlyconnected,FastEthemetO/3

C/24isdirectlyconnected,FastEthernetO/1

Routeri的路由表：

Router#showiproute

Codes:C-connected,S-static,I-IGRRR-RIP,M-mobile,B-BGP

D-日GRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea

N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2

El-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGP

i-IS-IS,LI-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea

*-candidatedefault,U-per-userstaticroute,o-ODR

P-periodicdownloadedstaticroute

Gatewayoflastresortisnotset

/8isvariablysubnetted,2subnets,2masks

R/8(120/1]via,00:00:18,FastEthernetO/1

/24isdirectlyconnected,FastEthernetO/D

C/24isdirectlyconnected,FastEthernetO/1

3、清除各路由器上的RIP配置

Router(config)#norouterrip

4、配置OSPF

Router(config)#routerospf150

Router(config-route)#network55area0

Router(config-route)#network55area0

另一個(gè)路由類似

實(shí)驗(yàn)中遇到的問題

這個(gè)實(shí)驗(yàn)，還是很順利的。沒遇到什么問題

網(wǎng)絡(luò)地址翻譯NAT

一、實(shí)驗(yàn)?zāi)康?/p>

1、了解掌握網(wǎng)絡(luò)地址翻譯的相關(guān)概念

2、掌握NAT和PAT的基本配置過程

二、實(shí)驗(yàn)涉及到的基本概念和理論

網(wǎng)絡(luò)地址翻譯(NAT)可以將內(nèi)部網(wǎng)絡(luò)的私有IP翻譯為Internet合法IP,從而可以方便

解決LAN內(nèi)大量IP地址的申請(qǐng)問題。NAT是一種用來讓使用私有地址的主機(jī)訪問Internet

的技術(shù)。這項(xiàng)技術(shù)的核心是將私有地址轉(zhuǎn)換為可以在公網(wǎng)上被路由的公有IP地址；PAT又稱

多端口地址轉(zhuǎn)換(portaddresstranslation),是對(duì)NAT功能的一種改進(jìn)。PAT能使多個(gè)內(nèi)部地

址映射到同一個(gè)全球地址，故又被稱為“多對(duì)一"NAT

三、實(shí)驗(yàn)拓?fù)?/p>

￡0/061.183.22.136/24f0/054/24

實(shí)驗(yàn)過程及主要步驟

1、將IP設(shè)置如下:

DNS服務(wù)器0/24;

Web服務(wù)器3^24

RouterOfO/1:192,168.1.1/24

(0/0:3^24

Routerif0/l:5%4

f0/0:54/24

PCI1/24;

PC2^24

web服務(wù)器設(shè)置成

GLOBAL

GlobalSettings

AlgonthmSettingsDisplayName

ccovirpc

DNS服務(wù)器添加A記錄如下

No.NameTypeDetails

1ARecord36

2、將PCI與PC2的默認(rèn)網(wǎng)關(guān)參數(shù)設(shè)置為

3、靜態(tài)路由表設(shè)置如下：

RouterO(config)#iproutefO/3

Routerl(config)#iproutef0/0

4、設(shè)置NAT

a)配置靜態(tài)NAT

RouterO(config)#ipnatinsidesourcestatic138

RouterOconfig)#irterfacef0/0

RouterO(config-if)#ipnatoutside〃指定NAT與外部相連的接口

RouterO(config-if)#exit

RouterO(config)#interfacef0/l

RouterO(config-if)#ipnatinside〃指定NAT與內(nèi)部相連的接口

然后在PC0的WEB瀏覽器上打開,同時(shí)到WEB服務(wù)器上使用netstat

命令查詢TCP的連接情況

得到下圖結(jié)果

b)清除靜態(tài)NAT配置

RouterOttnoipna：insidesourcestatic138

c)配置動(dòng)態(tài)NAT

RouterO(config)#ipnatpoolnatpool3037netmask

//配置名為“natpool動(dòng)態(tài)NAT全局地址池為

30-37

RouterO(config)#access-list10permit192.168.1.C55〃建立編號(hào)為“10”的標(biāo)

準(zhǔn)訪問控制列表

RouterO(config)#ipnatinsidesourcelist10poolnatpool〃建立動(dòng)態(tài)NAT內(nèi)部源地址

轉(zhuǎn)換

然后在PCO的WEB瀏覽器上打開,同時(shí)到WEB服務(wù)器上使用netstat

命令查詢TCP的連接情況

得到下圖結(jié)果：

SERVER>netstao

ActiveConnections

Prot-oLocalAddressForeignAddressState

TCP36:8030:1025CLOSED

配置PAT

RouterO(config)#ipnatpoolnatpool4040netmask

RouterO(config)#ipnatinsidesourcelist10poolnatpooloverload

然后在PCO和PCI的WEB瀏覽器上打開,同時(shí)到WEB服務(wù)器上使用

netstat命令查詢TCP的連接情況

SERVER>netscat

ActiveConnections

ProtoLocalAddressForeignAddressState

實(shí)驗(yàn)中遇到的問題

在這次實(shí)驗(yàn)中，我最大的問題就是沒有配置好計(jì)算機(jī)的網(wǎng)關(guān)沒設(shè)置，導(dǎo)致無法訪問服務(wù)器。

VLAN間路由配置

一、實(shí)驗(yàn)?zāi)康?/p>

1、理解VLAN在網(wǎng)絡(luò)通信中的隔離作用

2、理解第三層路由功能在VLAN間通信中所起的作用

3、掌握用于VLAN之間通信的外部路由器設(shè)置

二、實(shí)驗(yàn)涉及到的基本概念和理論

1、VLAN之間的通信方式

VLAN間的通信可通過以下兩種方式：

外部路由器一一在交換機(jī)設(shè)備之外，提供具備第三層路由功能的獨(dú)立路由器用以實(shí)現(xiàn)不

同VLAN之間的通信。這也是本實(shí)驗(yàn)內(nèi)容中所采用的方式。

內(nèi)部路由模塊或三層交換機(jī)一一在目前的一些中高端的主流網(wǎng)絡(luò)設(shè)備中，通常將交換機(jī)

的第二層功能與路由器的第三層功能集成到同一網(wǎng)絡(luò)設(shè)冬中，這種網(wǎng)絡(luò)設(shè)備被稱為三層交換

機(jī)。

無論是使用哪種方式，其原理都是使用三層的路由功能實(shí)現(xiàn)二層不同的VLAN進(jìn)行相互

通信！因此VLAN的互訪與二層網(wǎng)絡(luò)無關(guān)、與VLAN實(shí)現(xiàn)的目標(biāo)并不沖突！”

2、物理和邏輯接口的關(guān)系

邏輯子接口是一個(gè)物理接口中的一個(gè)邏輯接口，單個(gè)物理接口上可有多個(gè)邏輯子接口，

然后每個(gè)邏輯子接口支持一個(gè)VLAN,并被分配一個(gè)IP地址，子接口的標(biāo)識(shí)是在原來的物理

接口后加再加上數(shù)字，如"fOQl”為物理接口"fOQ〃的一個(gè)邏輯子接口。

三、實(shí)驗(yàn)拓?fù)?/p>

PC-PT

PC3

PCO的IP:1/24,網(wǎng)關(guān)：10.L2.1

PCI的IP:^24,網(wǎng)關(guān)：

PC2的IP:10.121契4,網(wǎng)關(guān):

PC3的IP:4Z24,網(wǎng)關(guān)：

四、實(shí)驗(yàn)過程及主要步驟

1、劃分VLAN

1)新建Vian

Switch>enable

Switch#configureterminal

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

Switch(config)#vlan2

Switch(config-vlan)#namevlan2

Switch(config-vlan)#exit

Switch(config)#vlan3

Switch(config-vlan)#namevlan3

Switch(config-vlan)#exit

2)劃分Vian

Switch(config)#interfacef0/2

Switch(config-if)#switchportmodeaccess〃設(shè)置端口的鏈路為接入鏈路模式

Switch(config-if)#switchportaccessvlan〃/將接口劃分給Vlan2

Switch(config)#interfacefOA

Switch(config-if)#switchportmodeaccess

Switch(config-if)#switchportaccessvlan2

Switch(config)#interfacef0/3

Switch(configif)#switchportmodeaccess

Switch(config-if)#switchportaccessvlan歹/戈U分給Vlan3

Switch(config)#interfacef0/5

Switch(config-if)#switchportmodeaccess

Switch(config-if)#switchportaccessvlan3

Switch(config)#interfacefO/1

Switch(config-if)#switchportmodetrunk〃設(shè)置端口為trunk模式

2、對(duì)RouterO進(jìn)行配置，實(shí)現(xiàn)vlan2和vlan3中的PC相互通信

Router>enable

Routerffconfigureterrrinal

Router(config)#interfacef0/0

Router(config-if)#noshutdown

Router(config-if)#interfacefO/O.l〃進(jìn)入邏輯子接口fO/3.1

Router(config-subif)#encapsulationdotlQ2〃將vlan2的幀封裝成802.IQ

Router(config-subif)#ipaddress〃配置邏輯子接口的IP地址為

10.1.2.1,子網(wǎng)掩碼為

Router(config-subif)#exit

Router(config)#interfacef002〃進(jìn)入邏輯子接口fO/J.2

Router(config-subif)#encapsulationdotlQ3〃將vlan3的幀封裝成802.IQ

Router(config-subif)#ipaddress10.13.1/配置邏輯子接II的IP地址為

10.1.3.1,子網(wǎng)掩碼為

3、進(jìn)行ping測(cè)試

在pcO中pingpel,過程及結(jié)果如下:

PacketTracerPCCommandLine1.0

POping10.1.3.12

Pinging10.1.3.12with32bytesofdat-a:

Requesttimedout.

Replyfrom10.1.3.12:byt.es=32time=12SiasTTL=127

Replyfrom10.1.3.12:bytes=3Ztime=125111sTTL=127

Replyfrom10.1.3.12:bytes=32tiiae=12SiasTTL=127

Pingstatisticsfor10.1.3.12:

Packets;Sent=4,Received=3,Lost=1(25書loss),

Approximateroundtriptimesinmilli-seconds:

配置成功!

五、實(shí)驗(yàn)中遇到的問題

在這次實(shí)驗(yàn)中，并沒有遇到特別大的問題。在這次實(shí)驗(yàn)中，我接觸到了子接口這個(gè)概念,

邏楫接口可以將有限的物理接口進(jìn)行邏輯擴(kuò)展，對(duì)實(shí)際應(yīng)用有很大的幫助。

訪問控制列表配置

一、實(shí)驗(yàn)?zāi)康?/p>

1、熟悉路由器的標(biāo)準(zhǔn)訪問控制列表配置方法

2、了解路由器的擴(kuò)展訪問控制列表配置方法

二、實(shí)驗(yàn)涉及到的基本概念和理論

訪問控制列表（AccessControlList,簡(jiǎn)稱ACL）既是控制網(wǎng)絡(luò)通信流量的手段，也是網(wǎng)

絡(luò)安全策略的一個(gè)組成部分。每一個(gè)ACL列表可以由一條或若干條指令組成，對(duì)于任一個(gè)被

檢查的數(shù)據(jù)包，依次用每一-指令進(jìn)行匹配，一旦獲得匹配，則后續(xù)的指令將被忽略。

路由器為不同的網(wǎng)絡(luò)協(xié)議定義不同的ACL列表。為了標(biāo)識(shí)與不同的網(wǎng)絡(luò)協(xié)議對(duì)應(yīng)的ACL,

可以采用數(shù)字標(biāo)識(shí)的方式，在使用ACL數(shù)字標(biāo)識(shí)時(shí)，必須為每一協(xié)議的訪問控制列表分配唯

一的數(shù)字，并保證該數(shù)字值在所規(guī)定的范圍內(nèi)。標(biāo)準(zhǔn)IP協(xié)議的ACL取值范圍：1-99；擴(kuò)

展IP協(xié)議的ACL取值范隹：100-199o

1、標(biāo)準(zhǔn)ACL的相關(guān)知識(shí)

標(biāo)準(zhǔn)ACL是指基于數(shù)據(jù)包中的源IP地址進(jìn)行簡(jiǎn)單的包過濾的訪問控制列表,其通過檢查

數(shù)據(jù)包的源地址，來確定是允許還是拒絕基于網(wǎng)絡(luò)、子網(wǎng)絡(luò)或主機(jī)IP地址的某一協(xié)議簇通

過路由器的接口。

1）標(biāo)準(zhǔn)ACL列表的定義

Router（config）#access-listaccess-list-number{deny|permit}source

[source-wildcard][log]

Access-list-num:ACL（1-99）

Deny:若測(cè)試條件成立，則拒絕相應(yīng)的數(shù)據(jù)包

Permit:若測(cè)試條件成立，則接受相應(yīng)的數(shù)據(jù)包

Source:源IP地址（網(wǎng)絡(luò)或主機(jī)均可）

Source-wildcard:與源IP地址配合使用的通配掩碼

Log:是否就ACL事件生成日志

2）標(biāo)準(zhǔn)ACL列表的接口配置

Router（config-if）#ipaccess-groupaccess-list-number{in|out}

此命令用于將已經(jīng)定義的標(biāo)準(zhǔn)ACL列表應(yīng)用于相應(yīng)的路由器端口。

in:指定相應(yīng)的ACL被用于對(duì)從該接口進(jìn)入的數(shù)據(jù)包進(jìn)行處理。

out:指定相應(yīng)的ACL被用于對(duì)從該接口流出的數(shù)據(jù)包進(jìn)行處理。

注：在路由器的每一個(gè)端口，對(duì)每個(gè)協(xié)議、在每個(gè)方向上只能指定一個(gè)ACL列表

2、擴(kuò)展ACL的相關(guān)知識(shí)

擴(kuò)展ACL是對(duì)標(biāo)準(zhǔn)ACL功能上的擴(kuò)展，其不僅可以基于源和目標(biāo)IP地址數(shù)據(jù)包的測(cè)試，

還可基于協(xié)議類型和TCP端口號(hào)進(jìn)行數(shù)據(jù)包的測(cè)試,從而較標(biāo)準(zhǔn)的ACL提供了更強(qiáng)大的包過

謔功能和設(shè)置上的靈活性

擴(kuò)展ACL通常用于下列情況

A.指定源和目標(biāo)地址的包過濾

B.指定協(xié)議類型的包過濾

C.指定傳輸層端口號(hào)的包過濾

1）擴(kuò)展ACL列表的定義

Router（config）#access-listaccess-list-number{permit|deny}protocolsource

[source-maskdestinationdestination-mask][operatoroperand][established]

[precedencepriority][tostypeofservice]

參數(shù)含義：

access-list-number：ACL表號(hào)（100-199）

protocol：指定協(xié)議，如IP、TCP、UDP等

source/destination：源/目的IP地址（網(wǎng)絡(luò)或主機(jī)也可以）

source/destination-mask:與上述IP地址配合使用的通配掩碼

operator：表示關(guān)系如It小于、8t大于、eq相等、neq不相等

operand：端口號(hào)，如80、21等

established：若數(shù)據(jù)包使用一個(gè)已建立連接，則允許TCP通信通過

Priority：設(shè)置數(shù)據(jù)包的優(yōu)先級(jí)0-7

typeofservice：設(shè)定服務(wù)類型0-15

2）擴(kuò)展ACL列表的接口配置

Router（config-if）#ipaczess-groupaccess-list-number{in|out}

參數(shù)含義同標(biāo)準(zhǔn)ACL定義

三、實(shí)驗(yàn)拓?fù)?/p>

20.1.1.2/24/2430.1.1.2/2430.1.1.3/24

按照上圖設(shè)置各個(gè)接口和主機(jī)的的IP地址

實(shí)驗(yàn)過程及主要步驟

1、按照拓?fù)鋱D設(shè)置IP

RouterA:f0/0為/24f0/l為724

RouterB:fO/J為/24f0/l為/24

PC0的IP為20.1.1.^24；PCI的IP為24

PC2的IP為30.1.1.%4；PC3的IP為30.1.1.V24

2、設(shè)置路由

RouterA(config)#iproutef0/0

RouterB(config)#iproutef0/0

3、在路由器A上配置標(biāo)準(zhǔn)訪問控制列表ACL(拒絕PC2來的數(shù)據(jù)包到達(dá)左邊的網(wǎng)絡(luò)，而其

它PC可以達(dá)到)

RouterA(config)#access-list10denyhost〃建立訪問控制列表，拒絕PC2發(fā)送

的數(shù)據(jù)包到達(dá)左邊的網(wǎng)絡(luò)

RouterA(config)#access-list10permitany〃允許除PC2的其他主機(jī)的數(shù)據(jù)包通過

RouterA(config)#interfacefO/3

RouterA(config-if)#ipaccess-group10in〃將訪問控制列表與接口fOQ綁定

4、在路由器A上配置標(biāo)準(zhǔn)訪問控制列表ACL(拒絕PC0與外網(wǎng)的通信，而PC1可以)

RouterA(config)#access-list20denyhost〃建立訪問控制列表，拒絕PC0發(fā)送

的數(shù)據(jù)包到右邊的網(wǎng)絡(luò)

RouterA(config)#access-list20permitany〃允許除PC0的其他主機(jī)的數(shù)據(jù)包通過

RouterA(config)#interfacef0/l

RouterA(config-if)#ipaccess-group20in〃將訪問控制列表與接口f0/l綁定

5、在路由器B上配置標(biāo)準(zhǔn)ACL(拒絕與QQ服務(wù)器71的任何通信，而其它通信

允訂)

RouterB(config)#access-list30denyhost71〃建立訪問控制列表,拒絕QQ

服務(wù)器發(fā)送的數(shù)據(jù)包到達(dá)右邊的網(wǎng)絡(luò)

RouterB(config)#access-list30permitany〃允許除QQ以外的其他主機(jī)的數(shù)據(jù)包通

過

RouterB(config)#interfacefO/3

RouterB(config-if)#ipaccess-group30in〃將訪問控制列表與接口fO/D綁定

實(shí)驗(yàn)中遇到的問題

在這次實(shí)驗(yàn)中，并沒有遇到什么問題。完成順利!

ppp配置

一、實(shí)驗(yàn)?zāi)康?/p>

1、理解VLAN在網(wǎng)絡(luò)通信中的隔離作用

2、理解第三層路由功能在VLAN間通信中所起的作用

3、掌握用于VLAN之間通信的外部路由器設(shè)置

二、實(shí)驗(yàn)涉及到的基本概念和理論

1、VLAN之間的通信方式

VLAN間的通信可通過以下兩種方式：

外部路由器一一在交換機(jī)設(shè)備之外，提供具備第三層路由功能的獨(dú)立路由器用以實(shí)現(xiàn)不

同VLAN之間的通信。這也是本實(shí)驗(yàn)內(nèi)容中所采用的方式。

內(nèi)部路由模塊或三層交換機(jī)一一在目前的一些中高端的主流網(wǎng)絡(luò)設(shè)備中，通常將交換機(jī)

的第二層功能與路由器的第三層功能集成到同一網(wǎng)絡(luò)設(shè)冬中，這種網(wǎng)絡(luò)設(shè)備被稱為三層交換

機(jī)。

無論是使用哪種方式，其原理都是使用三層的路由功能實(shí)現(xiàn)二層不同的VLAN進(jìn)行相互

通信！因此VLAN的互訪與二層網(wǎng)絡(luò)無關(guān)、與VLAN實(shí)現(xiàn)的目標(biāo)并不沖突！”

2、物理和邏輯接口的關(guān)系

邏輯子接口是一個(gè)物理接口中的一個(gè)邏輯接口，單個(gè)物理接口上可有多個(gè)邏輯子接口，

然后每個(gè)邏輯子接口支持一個(gè)VLAN,并被分配一個(gè)IP地址，子接口的標(biāo)識(shí)是在原來的物理

接口后加再加上數(shù)字，如"fOQl”為物理接口"fOQ〃的一個(gè)邏輯子接口。

三、實(shí)驗(yàn)拓?fù)?/p>

PC-PT

PC3

PCO的IP:1/24,網(wǎng)關(guān)：10.L2.1

PCI的IP:^24,網(wǎng)關(guān)：

PC2的IP:10.121契4,網(wǎng)關(guān):

PC3的IP:4Z24,網(wǎng)關(guān)：

實(shí)驗(yàn)過程及主要步驟

1、將IP設(shè)置如下:

DNS服務(wù)器0/24;

Web服務(wù)器3^24

RouterOf0/l:/24

2/0:3的4

Routerif0/l:54/24

f0/0:54/24

PCI1/24;

PC2?/24

web服務(wù)器設(shè)置成

GlobalSettings

DisplayName

DNS服務(wù)器添加A記錄如下

No.NameTypeDetails

1ARecord36

2、將PCI與PC2的默認(rèn)網(wǎng)關(guān)參數(shù)設(shè)置為

3、靜態(tài)路由表設(shè)置如下：

RouterO(config)#iproutefO/D

Routerl(config)#iproutef0/0

4、設(shè)置NAT

a)配置靜態(tài)NAT

RouterO(config)#ipnatinsidesourcestatic138

RouterOconfig)#irterfacef0/0

RouterO(config-lf)#lpnatoutside//才旨定NAT與夕卜部相連的接II

RouterO(config-if)#exit

RouterO(config)#interfacef0/l

RouterO(config-if)#ipnatinside〃指定NAT與內(nèi)部相連的接口

然后在PCO的WEB瀏覽器上打開,同時(shí)至WEB服務(wù)器上使用netstat

命令查詢TCP的連接情況

得到下圖結(jié)果

b）清除靜態(tài)NAT配置

RouterO#noipna:insidesourcestatic138

c)配置動(dòng)態(tài)NAT

RouterO(config)#ipnatpoolnatpool3037netmask

〃配置名為“natpool”動(dòng)態(tài)NAT全局地址池為

30-37

RouterO(config)#access-list10permit192.168.1.C55〃建立編號(hào)為“10”的標(biāo)

準(zhǔn)訪問控制列表

RouterO(config)#ipnatinsidesourcelist10poolnatpool〃建立動(dòng)態(tài)NAT內(nèi)部源地址

轉(zhuǎn)換

然后在PC0的WEB瀏覽器上打開,同時(shí)到WEB服務(wù)/上使用netstat

命令查詢TCP的連接情況

得到下圖結(jié)果：

SERVER>netstao

ActiveConnections

Prot-oLocalAddressForeignAddressState

TCP221.236.12.136:8061.183.22.130:1025CLOSED

d)配置PAT

RouterO(config)#ipnatpoolnatpool4040netmask

RouterO(config)#ipnatinsidesourcelist10poolnatpooloverload

然后在PCO和PCI的WEB瀏覽器上打開,同時(shí)到WEB服務(wù)器上使用

netstat命令查詢TCP的連接情況

SERVER>netscat

ActiveConnections

ProtoLocalAddressForeignAddressState

e)

f)

實(shí)驗(yàn)中遇到的問題

在這次實(shí)驗(yàn)中，我最大的問題就是沒有配置好計(jì)算機(jī)的網(wǎng)關(guān)沒設(shè)置，導(dǎo)致無法訪問服務(wù)器。

基于EasyVPN設(shè)計(jì)及配置

一、實(shí)驗(yàn)?zāi)康?/p>

1、理解VLAN在網(wǎng)絡(luò)通信中的隔離作用

2、理解第三層路由功能在VLAN間通信中所起的作用

3、掌握用于VLAN之間通信的外部路由器設(shè)置

二、實(shí)驗(yàn)涉及到的基本概念和理論

1、VLAN之間的通信方式

VLAN間的通信可通過以下兩種方式：

外部路由器一一在交換機(jī)設(shè)備之外，提供具備第三層路由功能的獨(dú)立路由器用以實(shí)現(xiàn)不

同VLAN之間的通信。這也是本實(shí)驗(yàn)內(nèi)容中所采用的方式。

內(nèi)部路由模塊或三層交換機(jī)一一在目前的一些中高端的主流網(wǎng)絡(luò)設(shè)備中，通常將交換機(jī)

的第二層功能與路由器的第三層功能集成到同一網(wǎng)絡(luò)設(shè)冬中，這種網(wǎng)絡(luò)設(shè)備被稱為三層交換

機(jī)。

無論是使用哪種方式，其原理都是使用三層的路由功能實(shí)現(xiàn)二層不同的VLAN進(jìn)行相互

通信！因此VLAN的互訪與二層網(wǎng)絡(luò)無關(guān)、與VLAN實(shí)現(xiàn)的目標(biāo)并不沖突！”

2、物理和邏輯接口的關(guān)系

邏輯子接口是一個(gè)物理接口中的一個(gè)邏輯接口，單個(gè)物理接口上可有多個(gè)邏輯子接口，

然后每個(gè)邏輯子接口支持一個(gè)VLAN,并被分配一個(gè)IP地址，子接口的標(biāo)識(shí)是在原來的物理

接口后加再加上數(shù)字，如"fOQl”為物理接口"fOQ〃的一個(gè)邏輯子接口。

三、實(shí)驗(yàn)拓?fù)?/p>

PC-PT

PC3

PCO的IP:1/24,網(wǎng)關(guān)：10.L2.1

PCI的IP:^24,網(wǎng)關(guān)：

PC2的IP:10.121契4,網(wǎng)關(guān):

PC3的IP:4Z24,網(wǎng)關(guān)：

實(shí)驗(yàn)過程及主要步驟

1、將IP設(shè)置如下:

DNS服務(wù)器0/24;

Web服務(wù)器3^24

RouterOf0/l:/24

2/0:3的4

Routerif0/l:54/24

f0/0:54/24

PCI1/24;

PC2?/24

web服務(wù)器設(shè)置成

GlobalSettings

DisplayName

DNS服務(wù)器添加A記錄如下

No.NameTypeDetails

1ARecord36

2、將PCI與PC2的默認(rèn)網(wǎng)關(guān)參數(shù)設(shè)置為

3、靜態(tài)路由表設(shè)置如下：

RouterO(config)#iproutefO/D

Routerl(config)#iproutef0/0

4、設(shè)置NAT

a)配置靜態(tài)NAT

RouterO(config)#ipnatinsidesourcestatic138

RouterOconfig)#irterfacef0/0

RouterO(config-lf)#lpnatoutside//才旨定NAT與夕卜部相連的接II

RouterO(config-if)#exit

RouterO(config)#interfacef0/l

RouterO(config-if)#ipnatinside〃指定NAT與內(nèi)部相連的接口

然后在PCO的WEB瀏覽器上打開,同時(shí)至WEB服務(wù)器上使用netstat

命令查詢TCP的連接情況

得到下圖結(jié)果

b）清除靜態(tài)NAT配置

RouterO#noipna:insidesourcestatic138

c)配置動(dòng)態(tài)NAT

RouterO(config)#ipnatpoolnatpool3037netmask

〃配置名為“natpool”動(dòng)態(tài)NAT全局地址池為

30-37

RouterO(config)#access-list10permit192.168.1.C55〃建立編號(hào)為“10”的標(biāo)

準(zhǔn)訪問控制列表

RouterO(config)#ipnatinsidesourcelist10poolnatpool〃建立動(dòng)態(tài)NAT內(nèi)部源地址

轉(zhuǎn)換

然后在PC0的WEB瀏覽器上打開,同時(shí)到WEB服務(wù)/上使用netstat

命令查詢TCP的連接情況

得到下圖結(jié)果：

SERVER>netstao

ActiveConnections

Prot-oLocalAddressForeignAddressState

TCP221.236.12.136:8061.183.22.130:1025CLOSED

d)配置PAT

RouterO(config)#ipnat