實訓一 路由器接口ip配置及直聯路由一、實訓目的了解路由器的功能；掌握路由器的基本配置方式；熟練掌握路由器的命令行配置。二、實訓內容1.環境：1臺路由器、2臺計算機2.內容：路由器基本配置、命令使用、清除路由器的口令、路由器接口ip配置、直聯路由配置三、實訓步驟1.路由器口令設置及忘記口令后口令重設打開路由器，進入終端模式(1) 先設置路由的特權口令routeren；第一次密碼為空router#conf t；進入全局配置模式router(config)#enable secret aaa；設置特權加密口令為aaarouter(config)#end；返回特權狀態router#exitrouterenpassword:aaarouter#設置密碼后，再進入特權模式就需要輸入口令了。2) 清除路由器的口令假如忘記口令可以進行以下操作。RouterA進入終端模式，再按Ctrl+Break進入rommon狀態，操作如下：這個操作是在假設口令丟失的情況下使用的方法，具體的操作是啟動時按Ctrl+Break進入rommon 狀態，打開寄存器配置開關。即：router；按Ctrl+Breakrommon；進入ROM監控狀態rommonconfreg 0x2142；跳過配置文件，適用26xx 36xx 45xxrommonreset；重新引導，等效于重開機Continue with configuration dialog? yes/no:norouterenrouter#conf t；不需要密碼了router(config)#enable secret bbb；設置特權加密口令為 bbbrouter(config)#exitrouter#exitrouteren看看有變化嗎？不需要密碼，應該配置回正常引導。router#conf trouter(config)#config-register 0x2102 ；正常使用配置文件router(config)#exitrouter#exitrouterenpassword:bbbrouter#刪除該路由器2.配置路由器的IP地址，測試路由器的直聯路由和計算機網關的作用。添加一個路由器，兩個計算機。計算機A與路由器的f0/0口連接，計算機B與路由器的f0/1口連接1）分配ip地址設置PCA 的IP地址為：10.65.1.1 255.255.0.0網關：10.65.1.2計算機A設置PCB 的IP地址為：10.66.1.1 255.255.0.0網關：10.66.1.2計算機B設置ROA f0/0 IP 為：10.65.1.2 255.255.0.0路由器f0/0設置ROA f0/1 IP 為：10.66.1.2 255.255.0.0路由器f0/12）設置計算機PCA的ip地址和網關的操作：rootPCA root# ifconfig eth0 10.65.1.1 netmask 255.255.0.0rootPCA root# ifconfigrootPCA root# route add default gw 10.65.1.2rootPCA root# route3）設置計算機PCB的ip地址和網關的操作：rootPCB root# ifconfig eth0 10.66.1.1 netmask 255.255.0.0rootPCB root# ifconfigrootPCA root# route add default gw 10.66.1.2rootPCA root# route4）雙擊Router A，配置路由器的接口IP地址：routerenrouter#conf trouter(config)#hostname roaroa(config)int f0/0roa(config-if)#ip address 10.65.1.2 255.255.0.0roa(config-if)#no shutdown(默認是shutdown)roa(config-if)#exitroa(config)int f0/1roa(config-if)#ip address 10.66.1.2 255.255.0.0roa(config-if)#exitroa(config)int s0/0roa(config-if)#ip address 10.67.1.2 255.255.0.0roa(config-if)#no shutroa(config-if)#clock rate 64000設置傳輸速率roa(config-if)#exitroa(config)int s0/1roa(config-if)#ip address 10.68.1.2 255.255.0.0roa(config-if)#no shutroa(config-if)#exitroa(config)#ip routing(默認是關閉的)5）檢查網絡聯通情況rootPCA root# ping 10.65.1.2(通)(ping自己的網關)rootPCA root# ping 10.66.1.2(不通)(ping f0/1，沒開端口)rootPCA root# ping 10.66.1.1(不通)(ping PCB)rootPCA root# ping 10.67.1.2(不通) (端口空時down)rootPCA root# ping 10.68.1.2(不通) (端口空時down)rootPCB root# ping 10.66.1.2(不通) (ping自己的網關，沒開端口)rootPCB root# ping 10.65.1.2(通) (ping f0/0)rootPCB root# ping 10.65.1.1(不通) (ping PCA)rootPCB root# ping 10.67.1.2(不通) (端口s0/0空時down)rootPCB root# ping 10.68.1.2(不通) (端口s0/1空時down)roa#ping 10.65.1.1(通) (ping PCA)roa#ping 10.65.1.2(通) (ping f0/0)roa#ping 10.66.1.1(不通) (ping PCB)roa#ping 10.66.1.2(不通) (ping f0/1)roa#ping 10.67.1.2(不通) (端口s0/0空時down)roa#ping 10.68.1.2(不通) (端口s0/1空時down)6）開啟f0/1roa(config)int f0/1roa(config-if)#no shutroa(config-if)#exit7）檢查網絡聯通情況rootPCA root# ping 10.65.1.2(通)(ping自己的網關)rootPCA root# ping 10.66.1.2(通)(ping f0/1)rootPCA root# ping 10.66.1.1(通)(ping PCB)rootPCA root# ping 10.67.1.2(不通) (端口空時down)rootPCA root# ping 10.68.1.2(不通) (端口空時down)rootPCB root# ping 10.66.1.2(通) (ping自己的網關，沒開端口)rootPCB root# ping 10.65.1.2(通) (ping f0/0)rootPCB root# ping 10.65.1.1(通) (ping PCA)rootPCB root# ping 10.67.1.2(不通) (端口s0/0空時down)rootPCB root# ping 10.68.1.2(不通) (端口s0/1空時down)roa#ping 10.65.1.1(通) (ping PCA)roa#ping 10.65.1.2(通) (ping f0/0)roa#ping 10.66.1.1(通) (ping PCB)roa#ping 10.66.1.2(通) (ping f0/1)roa#ping 10.67.1.2(不通) (端口s0/0空時down)roa#ping 10.68.1.2(不通) (端口s0/1空時down)8）將s0/0與一設備相連，再開啟測試通斷rootPCB root# ping 10.67.1.2(通) 斷開連接，再測試通斷rootPCB root# ping 10.67.1.2(不通) 3.下面我們做這個幾個小實訓：1) 將路由器的接口f0/0關閉roa#conf troa(config)#int f0/0roa(config-if)#shutdownroa(config-if)#endroa#ping 10.65.1.2(不通，端口down掉)roa#show int f0/0(f0/0 is down，line proto is down)rootPCA root# ping 10.65.1.2(不通)激活f0/0端口:roa(config)#int f0/0roa(config-if)#no shutroa(config-if)#endroa#ping 10.65.1.2(通)去掉PCA與f0/0的連線roa#sh int f0/0(f0/0 is up，line proto is down)roa#ping 10.65.1.2(不通)roa#sh int s0/0(s0/0 is down，line proto is down)roa#sh int s0/1(s0/1 is down，line proto is down)2) 關閉路由器的路由roa#conf troa(config)#no ip routingrootPCA root# ping 10.65.1.2(通)(ping 自己的網關)rootPCA root# ping 10.66.1.1(不通)(路由器不能轉發了)rootPCB root# ping 10.66.1.2(通)(ping 自己的網關)rootPCB root# ping 10.65.1.1(不通)(路由器不能轉發了)計算機可以ping與其相連的端口，但不能ping通下面的計算機，因為no ip routing后不具備轉發的功能了。roa(config)#ip routing3) 去掉計算機PCA的網關rootPCA root# route del default gwPCA只能ping通直聯口，計算機沒有網關不能和路由器交換信息。rootPCA root# ping 10.65.1.2(通)(f0/0在PCA的廣播域)rootPCA root# ping 10.66.1.1(不通)(PCA不能連通其它網絡)rootPCA root# ping 10.66.1.2(不通)rootPCB root# ping 10.66.1.2(通)rootPCB root# ping 10.65.1.2(通)(PCB有網關)rootPCB root# ping 10.65.1.1(不通)(PCA沒網關)可見一個沒有網關的設備不能與其它網絡互通。四、完成實訓報告針對以上實訓要求(目的,步驟等),在報告中明確描述各部分要求的完成情況,同時需姜實訓中的各種現象,問題及結論等在報告中清晰反映;并最終做出實訓總結.五、實訓思考路由器的基本配置與交換機有何異同？實訓二 單臂路由一、實訓目的了解路由器單臂路由的功能；掌握cisco 2621路由器的基本配置方式；熟練掌握路由器的命令行配置。二、實訓內容1.環境：1臺路由器、1臺交換機、2臺計算機2.內容：單臂路由配置三、實訓步驟上次實訓我們利用兩個路由器端口實現了路由功能，這個實訓我們同過1個路由器端口來實現。一、同VLAN下的單臂路由在一個vlan下，可以通過設置計算機的secondary ip實現在一個物理網絡上兩個具有不同網段IP計算機的聯通。1、打開一點通路由模擬軟件，按下圖添加虛擬設備配置如圖。2、設置計算機PCA的ip地址root#PCA root# ifconfig eth0 10.65.1.1 netmask 255.255.0.0root#PCB root# ifconfig eth0 10.66.1.1 netmask 255.255.0.0root#PCA root# ping 10.66.1.1 (不通)(PCA ping PCB)root#PCB root# ping 10.65.1.1 (不通)(PCB ping PCA)PCA與PCB是不通的，即便他們在同一個VLAN里。因為它們在不同的網絡段，一個是10.65.0.0/16網絡，一個是10.66.0.0/16網絡，即netid不同，而不同網絡的主機間訪問必須通過路由實現。3、設置路由器接口f0/0有兩個ip地址。routeenroute#在此提示下變更為如下提示符并按下述操作.roa(config)#int f0/0roa(config-if)#ip address 10.65.1.2 255.255.0.0roa(config-if)#ip address 10.66.1.2 255.255.0.0 secondaryroa(config-if)#no shutroa(config-if)#exitroa(config)#ip routingroa#sh run如何可以做到這一步?在顯示信息中FastEthernet0/0的位置，應該能夠看到設置的兩個IP地址。4、測試可通性root#PCA root# ping 10.66.1.1 (不通)root#PCA root# ping 10.66.1.2 (通)root#PCB root# ping 10.65.1.1 (不通)root#PCB root# ping 10.65.1.3 (通)為什么PCA和PCB還是不通呢？該如何做呢？root#PCA root# route add default gw 10.65.1.2root#PCB root# route add default gw 10.66.1.2root#PCA root# ping 10.66.1.1 (通了)root#PCB root# ping 10.65.1.1 (通了)5、去掉交換機與路由器的聯接線root#PCA root# ping 10.66.1.1 (不通了)root#PCB root# ping 10.65.1.1 (不通了)由此可以看出，PCA與PCB之間的發送的數據包是經過路由器的，從路由器f0/0入，再從f0/0出，所以稱之為單臂路由。這種情況PCA和PCB在鏈路層是同一個廣播域，對網絡帶寬不利。如果劃分VLAN可以隔離廣播域。通過子接口可以實現對不同VLAN的路由。6、雙擊交換機，進入交換機的終端模式：switchenswitch#conf tswitch(config)#int vlan 1switch(config-if)#ip address 10.65.1.8 255.255.0.0switch(config-if)#exitswitch(config)#ip default-gateway 10.65.1.2switch(config)#endswitch#ping 10.65.1.1 (通)switch#ping 10.66.1.1 (通)7、斷開交換機與路由器的聯線，再執行從交換機ping 命令：switch#ping 10.65.1.1 (通)switch#ping 10.66.1.1 (不通)這又說明不同網絡段IP的聯通是要通過路由器的。二、VLAN下的單臂路由將交換機設置為工作在兩個VLAN，一個是原有的默認vlan 1，另一個是新設置的vlan 2，含f0/6、f0/7。當交換機設置成兩個vlan時，邏輯上已經成為兩個網絡，廣播被隔離了。兩個vlan 的網絡要通信，必須通過路由器， 如果接入路由器的一個物理端口，則必須有兩個子接口分別與兩個vlan對應，同時還要求與路由器相聯的交換機的端口f0/1要設置為trunk，因為這個口要通過兩個vlan的數據包。上個實訓中我們使用了secondary ip，對于secondary ip的情況，實質上是一個接口，所以不能實現對兩個vlan的路由。1、設置交換機的vlan 2和trunkswitch#vlan databaseswitch(vlan)#vlan 2switch(vlan)#exitswitch#conf tswitch(config)#hostname SWASWA(config)#int f0/6SWA(config-if)#switchport access vlan 2SWA(config-if)#int f0/7SWA(config-if)#switchport access vlan 2SWA(config-if)#int f0/1SWA(config-if)#switchport mode trunkSWA(config-if)#switchport trunk allowed vlan 1，2SWA(config-if)#switchport trunk encap dot1qSWA(config-if)#endSWA#sh vlanSWA#sh run檢查設置情況，應該能正確的看到vlan和trunk等信息。dot1q是vlan中繼協議802.1q，一般cisco設備使用isl協議，其作用是一樣的。計算機的ip地址分別為10.65.1.1、10.66.1.1，網關分別指向路由器的子接口10.65.1.2、10.66.1.2。root#PCA root# ping 10.66.1.1(不通)因為現在路由器還沒有設置子接口，所以PCA與PCB不通。2、設置路由器f0/0 為兩個子接口roa(config)#int f0/0roa(config-if)#no shutroa(config-if)#int f0/0.1roa(config-subif.1)#encapsulation dot1q 1roa(config-subif.1)#ip address 10.65.1.2 255.255.0.0roa(config-subif.1)#int f0/0.2roa(config-subif.2)#encapsulation dot1q 2roa(config-subif.2)#ip address 10.66.1.2 255.255.0.0roa(config-subif.2)#exitroa(config)#ip routingroa#sh run3. 測試可通性root#PCA root# ping 10.66.1.1 (通)root#PCA root# ping 10.66.1.2 (通)root#PCB root# ping 10.65.1.1 (通)root#PCB root# ping 10.65.1.2 (通)如果去掉交換機與路由的連線，PCA和PCB還可以通嗎？可見這也是一種單臂路由。四、完成實訓報告針對以上實訓要求(目的,步驟等),在報告中明確描述各部分要求的完成情況,同時需姜實訓中的各種現象,問題及結論等在報告中清晰反映;并最終做出實訓總結.五、實訓思考單臂路由與直連路由有什么不同。實訓三 靜態路由一、實訓目的了解靜態路由的作用及添加、配置靜態路由的方法、理解默認路由的配置和作用二、實訓內容1.環境：3臺路由器、4臺計算機2.內容：掌握靜態路由的配置，路由的作用，默認路由的作用三、實訓步驟將設備如上圖連接好，并分配IP地址如下：1.設置計算機和路由器的IP地址設置PCA、PCB、PCC的IP地址分別為：10.65.1.1和10.71.1.1及10.70.1.1。并分別添加添加網關10.65.1.2和10.71.1.2和10.70.1.2root#PCA root# ifconfig eth0 10.65.1.1 netmask 255.255.0.0root#PCB root# ifconfig eth0 10.71.1.1 netmask 255.255.0.0root#PCC root# ifconfig eth0 10.70.1.1 netmask 255.255.0.0root#PCA root# route add default gw 10.65.1.2root#PCB root# route add default gw 10.71.1.2root#PCC root# route add default gw 10.70.1.2設置RouterA的IP地址: (子網掩碼是255.255.0.0)f0/0: 10.65.1.2-10.65.1.1(與PCA連接)f0/1: 10.66.1.2s0/0: 10.67.1.2s0/1: 10.68.1.2- (RouterA的s0/1接RouterB的s0/0)設置RouterB的IP地址:s0/0: 10.68.1.110.71.1.1 (與PCB連接)2設置路由器的靜態路由：先看一下路由表：show ip route 是顯示路由表命令，它可以看到直聯網絡，靜態路由和動態路由的情況，這是一個很常用的命令。開啟端口并啟動路由，然后ROA#show ip route這時只能看到直連路由ROA添加靜態路由：ROA(config)#ip route 10.71.0.0 255.255.0.0 10.68.1.1ROA(config)#ip routingROA#show ip route可以看到多了一條靜態路由從PCA ping PCB ：（路由器B別忘開啟端口并啟動路由）rootPCA root# ping 10.71.1.1 (通)從PCA pingrootPCA root# ping 10.70.1.2 (不通)再設置一條靜態路由：ROA(config)#ip route 10.70.0.0 255.255.0.0 10.68.1.1ROA(config)#endROA#show ip route又多了一條靜態路由rootPCA root# ping 10.70.1.2 (通了)3設置路由器的默認路由回憶路由的作用是什么？先去掉兩條靜態路由：ROA(config)#no ip route 10.70.0.0 255.255.0.0 10.68.1.1ROA(config)#on ip route 10.71.0.0 255.255.0.0 10.68.1.1此時A與B、C就不通了。rootPCA root# ping 10.71.1.1 (不通)rootPCA root# ping 10.70.1.1 (不通)設置RouterA的默認路由：ROA(config)#ip route 0.0.0.0 0.0.0.0 10.68.1.1ROA#show ip routerootPCA root# ping 10.71.1.1 (通)rootPCA root# ping 10.70.1.2 (通)使用指定靜態路由時，要查看指定的目的網絡，使用默認路由時，不判斷目的網絡。將匹配不了的數據包都發送給默認的下一跳。路由器設置中一般有一條默認路由。問題:如果有三個路由器，靜態路由如果設置呢？要求靜態路由接力!4. 三個路由器的靜態路由如圖配置設置RouterA的IP:f0/0: 10.65.1.2-PCA:10.65.1.1f0/1: 10.66.1.2-PCB:10.66.1.1s0/0: 10.67.1.2s0/1: 10.68.1.2-接RouterC s0/0設置RouterC的IP:s0/0: 10.68.1.1接RouterB s0/0設置RouterB的IP:s0/0: 10.78.1.1PCC:10.69.1.1f0/1: 10.70.1.2-PCD:10.70.1.1設置從PCA到PCC的靜態路由ROA(config)#ip routingROA(config)#ip route 10.69.0.0 255.255.0.0 10.68.1.1（下一跳）ROA#show ip routeROC（config）#ip route 10.69.0.0 255.255.0.0 10.78.1.1ROC#show ip routerootPCA root#ping 10.69.1.1 (通)rootPCA root#ping 10.78.1.1 (不通)rootPCA root#ping 10.70.1.1 (不通)如何讓PCA到 10.70.1.1 (PCD)通呢？像10.69.0.0網絡一樣，在路徑的路由器上，再各寫一條到10.70.0.0 網絡的靜態路由。或使用默認路由較好。我們再來熟悉一下默認路由的使用。先去掉原有的靜態路由。ROA(config)#no ip route 10.69.0.0 255.255.0.0 10.68.1.1ROA#sh ip roROB(config)#no ip route 10.69.0.0 255.255.0.0 10.78.1.1ROB#sh ip rorootPCA root#ping 10.69.1.1 (不通)加默認路由：ROA(config)#ip route 0.0.0.0. 0.0.0.0 10.68.1.1ROA#sh ip roROC(config)#ip route 0.0.0.0. 0.0.0.0 10.69.1.1ROC#sh ip rorootPCA root#ping 10.69.1.1 (通)rootPCA root#ping 10.70.1.1 (通)rootPCA root#ping 10.78.1.1 (通)通過實訓我們看出：路由表是路由器尋找網絡的依據。是否能到達一個網絡，要看路由表中有沒有去這個網絡的路由表項。默認路由的功能是沒有目標網絡的路由信息時使用該路由。四、完成實訓報告針對以上實訓要求(目的,步驟等),在報告中明確描述各部分要求的完成情況,同時需姜實訓中的各種現象,問題及結論等在報告中清晰反映;并最終做出實訓總結.五、實訓思考如果路由器只設置默認路由可以嗎？實訓四 動態路由一、實訓目的了解動態路由的作用及添加、配置動態路由的方法、理解動態路由和靜態路由的區別二、實訓內容1.環境：3臺路由器、4臺計算機2.內容：動態路由協議RIP的配置三、實訓步驟1、復習配置靜態路由進入路由模擬軟件，按照如圖方式搭建設備，首先實現靜態路有的配置，使各計算機可以互相通信。可以參考實訓六。RIP(Routing information Protocol)是應用較早、使用較普遍的內部網關協議(Interior Gateway Protocol,簡稱IGP)，適用于小型同類網絡，是典型的距離向量(distance-vector)協議。RIP通過廣播UDP報文來交換路由信息，每30秒發送一次路由信息更新。RIP提供跳躍計數(hop count)作為尺度來衡量路由距離，跳躍計數是一個包到達目標所必須經過的路由器的數目。如果到相同目標有二個不等速或不同帶寬的路由器，但跳躍計數相同，則RIP認為兩個路由是等距離的。RIP最多支持的跳數為15，即在源和目的網間所要經過的最多路由器的數目為15，跳數16表示不可達。2、配置RIP動態路由動態路由是指動態路由協議(如RIP)自動建立路由表，當你去掉一條連線時，它會自動去掉其路由。路由器的每一個接口對應不同網絡，而一條連接兩個路由器連線的兩個端點IP應該屬于同一網絡。設置的IP地址時，如果路由器的其它端口已有這個網絡了，則提示已有這個網絡，并顯示對應的端口。如果是本端口可以覆蓋。1設置計算機的IProot#PCA root# ifconfig eth0 10.65.1.1 netmask 255.255.0.0root#PCB root# ifconfig eth0 10.66.1.1 netmask 255.255.0.0root#PCC root# ifconfig eth0 10.69.1.1 netmask 255.255.0.0root#PCD root# ifconfig eth0 10.70.1.1 netmask 255.255.0.0root#PCA root# route add default gw 10.65.1.2root#PCB root# route add default gw 10.66.1.2root#PCC root# route add default gw 10.69.1.2root#PCD root# route add default gw 10.70.1.22.設置路由器的IP地址RouterA(config)int f0/0RouterA(config-if)#ip address 10.65.1.2 255.255.0.0RouterA(config-if)#no shutdownRouterA(config-if)#int f0/1RouterA(config-if)#ip address 10.66.1.2 255.255.0.0RouterA(config-if)#no shutdownRouterA(config-if)#int s0/1RouterA(config-if)#ip address 10.68.1.2 255.255.0.0RouterA(config-if)#no shutdownRouterA(config-if)#exitRouterA(config)#ip routingRouterA(config)#router ripRouterA(config-router)#network 10.0.0.0RouterA(config-router)#endRouterA#network network指定與該路由器相連的網絡。指定的網絡號一定不能包含子網信息。可以指定多重network命令。只能通過這些網絡的接口發送和接收RIP路由更新信息。RIP發送更新信息到指定網絡的接口上，同時，如果接口網絡未指定，則得不到RIP更新通告。RouterCconfig)int s0/0RouterC(config-if)#ip address 10.68.1.1 255.255.0.0RouterC(config-if)#no shutdownRouterC(config-if)#clock rate 64000RouterC(config-if)#int s0/1RouterC(config-if)#ip address 10.78.1.1 255.255.0.0RouterC(config-if)#no shutdownRouterC(config-if)#clock rate 64000RouterC(config-if)#exitRouterC(config)#ip routingRouterC(config)#router ripRouterC(config-router)#network 10.0.0.0RouterC(config-router)#endRouterB(config)int f0/0RouterB(config-if)#ip address 10.69.1.2 255.255.0.0RouterB(config-if)#no shutdownRouterB(config-if)#int f0/1RouterB(config-if)#ip address 10.70.1.2 255.255.0.0RouterB(config-if)#no shutdownRouterB(config-if)#int s0/0RouterB(config-if)#ip address 10.78.1.2 255.255.0.0RouterB(config-if)#no shutdownRouterB(config-if)#exitRouterB(config)#ip routingRouterB(config)#router ripRouterB(config-router)#network 10.0.0.0RouterB(config-router)#endRouterA#sh ip routeRouterC#sh ip routeRouterB#sh ip route是否可以看到動態路由表？如果看不到，請檢查路由器是否啟動了轉發ip routing，接口是否激活，命令network設置路由器發布的網絡。計算機PCA 測試到各點的連通性:3. 測試網絡聯通性rootPCA root#ping 10.65.1.2 (通)rootPCA root#ping 10.66.1.1 (通)rootPCA root#ping 10.66.1.2 (通)rootPCA root#ping 10.68.1.1 (通)rootPCA root#ping 10.68.1.2 (通)rootPCA root#ping 10.78.1.1 (通)rootPCA root#ping 10.78.1.2 (通)rootPCA root#ping 10.69.1.1 (通)rootPCA root#ping 10.69.1.2 (通)rootPCA root#ping 10.70.1.1 (通)rootPCA root#ping 10.70.1.2 (通)斷開某個路由路由器連線，或執行no ip routing，或某相接口執行shutdown，再通過show ip ro 命令查看路由表。3、再加一個路由器，設置RIP協議網絡，再查看表由表。四、完成實訓報告針對以上實訓要求(目的,步驟等),在報告中明確描述各部分要求的完成情況,同時需姜實訓中的各種現象,問題及結論等在報告中清晰反映;并最終做出實訓總結.五、實訓思考動態路由可以替代靜態路由嗎？實訓五 訪問控制列表一、實訓目的了解網絡防線-訪問控制列表的作用和配置方法，了解基本訪問控制列表和擴展訪問控制列表的含義二、實訓內容1.環境：3臺路由器、1臺交換機、7臺計算機2.內容：掌握基本訪問控制列表的作用和配置方法。三、實訓步驟按下圖搭建網絡，并根據下述任務配置好各IP地址和RIP動態路由。1.配置路由器到網絡各點可通設置為RIP動態路由，IP地址分配如下：PCA ip:10.65.1.1gateway:10.65.1.2PCB ip:10.66.1.1gateway:10.66.1.2PCC ip:10.69.1.1gateway:10.69.1.2PCD ip:10.70.1.1gateway:10.70.1.2PCE ip:10.65.1.3gateway:10.65.1.2PCF ip:10.65.2.1gateway:10.65.1.2PCG ip:12.1.1.1gateway:12.1.1.2SWA ip:10.65.1.8gateway:10.65.1.2RouterA f0/0: 10.65.1.2實際還應該設置另一個IP：12.1.1.2RouterA f0/1: 10.66.1.2RouterA s0/1: 10.68.1.2RouterC s0/0: 10.68.1.1RouterC s0/1: 10.78.1.2RouterB s0/0: 10.78.1.1RouterB f0/0: 10.69.1.2RouterB f0/1: 10.70.1.22.基本的訪問控制列表：先從PCA ping PCD:rootPCA root#ping 10.70.1.1 (通)在ROC的s0/0寫一個輸入的訪問控制列表：RouterC(config)#access-list 1 permit 10.65.1.1 0.0.0.0RouterC(config)#access-list 1 deny anyRouterC(config)#int s0/0RouterC(config-if)#ip access-group 1 inRouterC(config-if)#endRouterC#sh access-list 1配置命令access-list用來配置訪問列表訪問表是管理者加入的一系列控制數據包在路由器中輸入、輸出的規則。它不是由路由器自己產生的。訪問表能夠允許或禁止數據包進入或輸出到目的地。一個IP標準訪問表的創建可以由如下命令來完成：access-list access list number permit | deny source source-mask 在這條命令中：access list number：確定這個入口屬于哪個訪問表。它是從1到99的數字。 permit | deny：表明這個入口是允許還是阻塞從特定地址來的信息流量。 source：確定源IP地址。 source-mask：確定地址中的哪些比特是用來進行匹配的。如果某個比特是1，表明地址中該位比特不用管，如果是0的話，表明地址中該位比特將被用來進行匹配。可以使用通配符。 關于訪問列表參考該文件：控制列表（見最末頁）rootPCA root#ping 10.70.1.1(通)(只允許PCA)rootPCE root#ping 10.70.1.1(不通)(被access-list 1禁止)rootPCE root#ping 10.66.1.1(通)(不經過access-list 1)rootPCB root#ping 10.70.1.1(不通)(被access-list 1禁止)rootPCD root#ping 10.65.1.3(不通)(echo-reply包不能返回)第一個ping命令，PCA的IP地址是10.65.1.1在訪問控制列表access-list 1中是允許的，所以能通。第二個ping命令，PCE雖然是65網段，但是access-list 只允許10.65.1.1通過，所以10.65.1.3的數據包不能通過。第三個ping命令，PCE到PCB不通過RouterC的s0/0，所以能通。第四個ping命令，PCB的IP地址是10.66.1.1，它是被禁止的，所以不通。第五個ping命令，從10.65.1.3返回包echo-reply不能通過access-list 1，PCD收不到返回包，所以不通。有些系統的ping 命令，echo不能通過時表示為unreachable，若echo-reply不能返回時，表示為timeout，等待時間超時。下面再寫一個訪問控制列表，先刪除原訪問控制列表：RouterC(config)#no access-list 1RouterC(config-if)#no ip access-group 1 in二者都可以實現去掉訪問列表的目的。前者是從列表號角度刪除，后者是從端口和輸入或輸出的角度刪除。可以通過show access-list 命令查看刪除情況，下面再寫一個訪問控制列表：RouterC(config)#access-list 2 deny 10.65.1.1 0.0.