1、網絡互聯設備實驗指導書2012年9月實驗一 子網規劃一、 實驗目的：進行定長子網規劃；分析兩種規劃的使用范圍；。二、實驗器材：計算機，交換機，網線，PacketTracer三、學時分配： 2學時。四、實驗類型：驗證五、實驗地點：計算機系硬件實驗室。六、實驗內容：（一）子網編址的方法在IP互聯網中，A類、B類、C類IP地址是經常使用的IP地址。由于經過網絡號和主機號的層次劃分，它們能適應于不同的網絡規模。使用A類IP地址的網絡可以容納1600萬臺主機，而使用C類IP地址的網絡僅僅可以容納254臺主機。但是，隨著計算機的發展和網絡技術的進步，個人計算機應用迅速普及，小型網絡（特別的小型局域網）越來

2、越多。這些網絡多則擁有幾十臺主機，少則擁有兩三臺主機，對于這樣一些小規模網絡即使采用一個C類地址仍然的一種浪費（可以容納254臺主機），因而在實際應用中，人們開始尋找新的解決方案以克服IP地址的浪費現象，其中子網編址就是方案之一。IP地址具有層次結構，標準的IP地址分為網絡號和主機號兩層。為了避免IP地址的浪費，子網編址的主機號部分進一步劃分成子網部分和主機部分，如圖5.1所示圖5.1子網編址的層次結構為了創建一個子網地址，網絡管理員從標準IP地址的主機號部分“借”位并把它們指定為子網號部分。只要主機號部分能夠剩余兩位，子網地址可以借用主機號部分的任何位數（但至少應借用2位）。因為B類網絡的主

3、機號部分只有兩個字節。故而最多只能借用14位創建子網。而在C類網絡中，由于主機號部分只有一個字節，故最多只能借用6位去創建子網。是一個B類IP地址。它的主機號部分有兩個字節。在圖5.2中，借用了其中的一個字節作為子網號。圖5.2 借用B類IP地址的一個字節作為子網號當然，如果從IP地址的主機號部分借用來創建子網，相應子網中的主機數目就會減少。例如一個C類網絡，它用一個字節表示主機號，可以容納的主機數為254臺。當利用這個C類網絡創建子網時，如果借用2位子網號，那么可以剩下的6位表示子網號的主機，可以容納的主機數為62臺；如果借用3位作為子網號，那么僅可以使用剩下的5位來表

4、示子網中的主機，可以容納的主機數也可以減少到30臺。（二）子網的規劃方法子網規劃,就是根據子網個數要求及每一個子網的有效主機地址個數要求，確定借幾位主機號作為子網號，然后寫出借位后的子網個數、每一個子網的有效主機地址個數、每一個子網的子網地址、子網掩碼和每一個子網的有效主機地址。子網規劃和IP地址分配在網絡規劃中占有重要地位。在確定借幾位主機號作為子網號時應使子網號部分產生足夠的子網，而剩余的主機號部分能容納足夠的主機。例如，一個網絡被分配了一個C類地址。如果該網絡有10個子網組成，每個子網包含10臺主機，那么應該怎樣規劃和使用IP地址呢？表5.1 C類網絡子網劃分對應關

5、系表子網號位數子網數主機數子網掩碼2262923630244141440530648662252在C 類子網中，子網位數、子網掩碼、容納的子網數和主機數的對應關系如表4.1所示，從表5.1中可以看出，子網位數為4位，子網掩碼為40，可以產生14個子網，每個子網容納14臺主機，滿足例子中10個子網，每個子網10臺主機的要求，因此可以采取這種規劃方案；如果存在多種可選方案，可以在其中選出最佳方案（方法是在為將來的擴展留有余地的同時盡量提高IP地

6、址的利用率）。在掩碼為40時的地址分配情況請看表5.2。表5.2 在掩碼為40時的地址分配表子網子網號子網地址每一個子網的有效主機地址范圍子網掩碼1000167.30402001023.46403001189.62404010045.78255.25

7、5.255.2405010101.94406011067.11040701111213.12640810002829.14240910014445.158401010106061.174255.255.25

8、5.2401110117677.190401211009293.206401311010809.222401411102425.23840與標準的IP地址相同，子網編址也為子網網絡和子網廣播保留了地址編號。在子網編址中以二進制全“0”結尾的IP地址是子網地址，用來表示子網；而以二進制全“1”結尾的IP地址則是子網直接廣

9、播地址，為子網廣播所保留。 由于這個C類地址最后一個字節的4位用作劃分子網，因此子網中的主機號只能用剩下的4位來表達。在這4位中，全部為“0”的表示該子網網絡，全部為“1”的表示子網廣播，其余的可以分配給子網中的主機。為了與標準的IP編址保持一致，二進制全“0”或全“1”的子網號不能分配給實際的子網。在上面的例子中，除“0”和“15”外（二進制“0000”和“1111”），其他的子網號都可進行分配。IP協議規定，將與IP地址的網絡號和子網號部分相對應的位用“1”、與IP地址的主機號部分相對應的位用“0”表示后，就得出了該IP地址對應的子網掩碼。將IP地址和它的子網掩碼相結合，就可以判斷出IP地

10、址中哪些位表示網絡和子網，哪些位表示主機。32位全為“1”的IP地址（55）為有限廣播地址，如果在子網中使用該廣播地址，廣播將被限制在本子網內。需要注意的是，進行子網互連的路由器也需要占用有效的IP地址，因此，在計算機網絡中（或子網中）需要使用的IP數時，不要忘記連接該網絡（或子網）的路由器。在圖5.3中 ，盡管子網3只有2臺主機，但由于兩個路由器分別有一條連接與該網相連。因此，該子網需要4個有效的IP地址。圖5.3路由器的每個一條連接要占用1個有效的IP地址實驗二 配置靜態 VLAN二、 實驗目的：正確連接交換機，熟悉交換機的端口；正確掌握靜態 VLAN 的概念；正

11、確配置靜態 VLAN ；能進行簡單的靜態 VLAN 的調試。二、實驗器材：計算機，交換機，網線，PacketTracer三、學時分配： 2學時。四、實驗類型：驗證五、實驗地點：計算機系硬件實驗室。六、實驗內容：整個網絡中干部分采用3臺Catalyst 1900網管型交換機（分別命名為：Switch1、Switch2和Switch3，各交換機根據需要下接若干個集線器，主要用于非VLAN用戶，如行政文書、臨時用戶等）、一臺Cisco 2514路由器，整個網絡都通過路由器Cisco 2514與外部互聯網進行連接。 所連的用戶主要分布于四個部分，即：生產部、財務部、信息中心和人事部。主要對這四個部分用

12、戶單獨劃分VLAN，以確保相應部門網絡資源不被盜用或破壞。 現為了公司相應部分網絡資源的安全性需要，特別是對于像財務部、人事部這樣的敏感部門，其網絡上的信息不想讓太多人可以隨便進出，于是公司采用了VLAN的方法來解決以上問題。通過VLAN的劃分，可以把公司主要網絡劃分為：生產部、財務部、人事部和信息中心四個主要部分，對應的VLAN組名為：Prod、Fina、Huma、Info，各VLAN組所對應的網段如下表所示。VLAN 號VLAN 名 端口號 2ProdSwitch 1 2-21 3FinaSwitch2 2-164HumaSwitch3 2-95InfoSwitch3 10-21【注】之所

13、以把交換機的VLAN號從2號開始，那是因為交換機有一個默認的VLAN，那就是1號VLAN，它包括所有連在該交換機上的用戶。VLAN的配置過程其實非常簡單，只需兩步：（1）為各VLAN組命名；（2）把相應的VLAN對應到相應的交換機端口。下面是具體的配置過程：第1步：設置好超級終端，連接上1900交換機，通過超級終端配置交換機的VLAN，連接成功后出現如下所示的主配置界面（交換機在此之前已完成了基本信息的配置）： 1 user(s) now active on Management Console.User Interface MenuM MenusK Command LineI IP Conf

14、igurationEnter Selection:【注】超級終端是利用Windows系統自帶的超級終端（Hypertrm）程序進行的，具體參見有關資料。第2步：單擊K按鍵，選擇主界面菜單中K Command Line選項 ，進入如下命令行配置界面：CLI session with the switch is open.To end the CLI session,enter Exit .此時我們進入了交換機的普通用戶模式，就象路由器一樣，這種模式只能查看現在的配置，不能更改配置，并且能夠使用的命令很有限。所以我們必須進入特權模式。第3步：在上一步提示符下輸入進入特權模式命令enable，進入特

15、權模式，命令格式為enable，此時就進入了交換機配置的特權模式提示符：#config tEnter configuration commands,one per line.End with CNTL/Z(config)#第4步：為了安全和方便起見，我們分別給這3個Catalyst 1900交換機起個名字，并且設置特權模式的登陸密碼。下面僅以Switch1為例進行介紹。配置代碼如下：(config)#hostname Switch1Switch1(config)# enable password level 15 XXXXXXSwitch1(config)#【注】特權模式密碼必須是48位字符這

16、，要注意，這里所輸入的密碼是以明文形式直接顯示的，要注意保密。交換機用 level 級別的大小來決定密碼的權限。Level 1 是進入命令行界面的密碼，也就是說，設置了 level 1 的密碼后，你下次連上交換機，并輸入 K 后，就會讓你輸入密碼，這個密碼就是 level 1 設置的密碼。而 level 15 是你輸入了enable命令后讓你輸入的特權模式密碼。第5步：設置VLAN名稱。因四個VLAN分屬于不同的交換機，VLAN命名的命令為 vlan vlan號 name vlan名稱 ，在Switch1、Switch2、Switch3、交換機上配置2、3、4、5號VLAN的代碼為：Switc

17、h1 (config)#vlan 2 name ProdSwitch2 (config)#vlan 3 name FinaSwitch3 (config)#vlan 4 name HumaSwitch3 (config)#vlan 5 name Info【注】以上配置是按表1規則進行的。第6步：上一步我們對各交換機配置了VLAN組，現在要把這些VLAN對應于表1所規定的交換機端口號。對應端口號的命令是vlan-membership static/ dynamic VLAN號 。在這個命令中static(靜態)和dynamic(動態)分配方式兩者必須選擇一個，不過通常都是選擇static(靜態)

18、方式。VLAN端口號應用配置如下：（1）. 名為Switch1的交換機的VLAN端口號配置如下：Switch1(config)#int e0/2Switch1(config-if)#vlan-membership static 2Switch1(config-if)#int e0/3Switch1(config-if)#vlan-membership static 2Switch1(config-if)#int e0/4 Switch1(config-if)#vlan-membership static 2Switch1(config-if)#int e0/20Switch(config-if

19、)#vlan-membership static 2Switch1(config-if)#int e0/21 Switch1(config-if)#vlan-membership static 2Switch1(config-if)#【注】int是nterface命令縮寫，是接口的意思。e0/3是ethernet 0/2的縮寫，代表交換機的0號模塊2號端口。（2）. 名為Switch2的交換機的VLAN端口號配置如下：Switch2(config)#int e0/2Switch2(config-if)#vlan-membership static 3Switch2(config-if)#int

20、 e0/3Switch2(config-if)#vlan-membership static 3Switch2(config-if)#int e0/4 Switch2(config-if)#vlan-membership static 3Switch2(config-if)#int e0/15Switch2(config-if)#vlan-membership static 3Switch2(config-if)#int e0/16 Switch2(config-if)#vlan-membership static 3Switch2(config-if)#（3）. 名為Switch3的交換機的

21、VLAN端口號配置如下(它包括兩個VLAN組的配置)，先看VLAN 4（Huma）的配置代碼：Switch3(config)#int e0/2Switch3(config-if)#vlan-membership static 4Switch3(config-if)#int e0/3Switch3(config-if)#vlan-membership static 4Switch3(config-if)#int e0/4 Switch3(config-if)#vlan-membership static 4Switch3(config-if)#int e0/8Switch3(config-if)

22、#vlan-membership static 4Switch3(config-if)#int e0/9 Switch3(config-if)#vlan-membership static 4Switch3(config-if)#下面是VLAN5（Info）的配置代碼：Switch3(config)#int e0/10Switch3(config-if)#vlan-membership static 5Switch3(config-if)#int e0/11Switch3(config-if)#vlan-membership static 5Switch3(config-if)#int e0/

23、12Switch3(config-if)#vlan-membership static 5Switch3(config-if)#int e0/20Switch3(config-if)#vlan-membership static 5Switch3(config-if)#int e0/21 Switch3(config-if)#vlan-membership static 5Switch3(config-if)#好了，我們已經按表1要求把VLAN都定義到了相應交換機的端口上了。為了驗證我們的配置，可以在特權模式使用show vlan命令顯示出剛才所做的配置，檢查一下是否正確。實驗三 路由器的配置

24、三、 實驗目的：熟悉進入路由器的每個配置模式；配置路由器的接口地址和子網掩碼；配置路由器的被動路由協議；配置路由器的路由協議；調試路由器的配置。二、實驗器材：計算機，交換機，路由器，網線，PacketTracer三、學時分配： 2學時。四、實驗類型：驗證五、實驗地點：計算機系硬件實驗室。六、實驗內容：一般來說，可以用5種方式來設置路由器： 1Console口接終端或運行終端仿真軟件的微機； 2AUX口接MODEM，通過電話線與遠方的終端或運行終端仿真軟件的微機相連；3通過Ethernet上的TFTP服務器； 4通過Ethernet上的TELNET程序； 5通過Ethernet上的SNMP網管工

25、作站。 但路由器的第一次設置必須通過第一種方式進行,此時終端的硬件設置如下: 波特率 ：9600 數據位 ：8 停止位 ：1 奇偶校驗: 無二、命令狀態1. router 路由器處于用戶命令狀態，這時用戶可以看路由器的連接狀態，訪問其它網絡和主機，但不能看到和更改路由器的設置內容。 2. router# 在router提示符下鍵入enable,路由器進入特權命令狀態router#，這時不但可以執行所有的用戶命令，還可以看到和更改路由器的設置內容。 3. router(config)# 在router#提示符下鍵入configure terminal,出現提示符router(config)#，此

26、時路由器處于全局設置狀態，這時可以設置路由器的全局參數。 4. router(config-if)#; router(config-line)#; router(config-router)#; 路由器處于局部設置狀態，這時可以設置路由器某個局部的參數。 5. 路由器處于RXBOOT狀態，在開機后60秒內按ctrl-break可進入此狀態，這時路由器不能完成正常的功能，只能進行軟件升級和手工引導。 6. 設置對話狀態 這是一臺新路由器開機時自動進入的狀態，在特權命令狀態使用SETUP命令也可進入此狀態，這時可通過對話方式對路由器進行設置。三、設置對話過程顯示提示信息全局參數的設置接口參數的設置

27、顯示結果利用設置對話過程可以避免手工輸入命令的煩瑣，但它還不能完全代替手工設置，一些特殊的設置還必須通過手工輸入的方式完成。進入設置對話過程后，路由器首先會顯示一些提示信息：- System Configuration Dialog - At any point you may enter a question mark ? for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets . 這是告訴你在設置對話過程中的任何地方都可以鍵入“？”得到

28、系統的幫助，按ctrl-c可以退出設置過程，缺省設置將顯示在中。然后路由器會問是否進入設置對話：Would you like to enter the initial configuration dialog? yes: 如果按y或回車，路由器就會進入設置對話過程。首先你可以看到各端口當前的狀況： First, would you like to see the current interface summary? yes: Any interface listed with OK? value NO does not have a valid configuration Interface

29、IP-Address OK? Method Status Protocol Ethernet0 unassigned NO unset up up Serial0 unassigned NO unset up up 然后，路由器就開始全局參數的設置： Configuring global parameters: 1設置路由器名： Enter host name Router: 2設置進入特權狀態的密文(secret)，此密文在設置以后不會以明文方式顯示The enable secret is a one-way cryptographic secret used instead of the

30、enable password when it exists. Enter enable secret: cisco 3設置進入特權狀態的密碼(password)，此密碼只在沒有密文時起作用，并且在設置以后會以明文方式顯示： The enable password is used when there is no enable secret and when using older software and some boot images. Enter enable password: pass 4設置虛擬終端訪問時的密碼： Enter virtual terminal password:

31、cisco 5詢問是否要設置路由器支持的各種網絡協議：Configure SNMP Network Management? yes: Configure DECnet? no: Configure AppleTalk? no: Configure IPX? no: Configure IP? yes: Configure IGRP routing? yes: Configure RIP routing? no: 6如果配置的是撥號訪問服務器，系統還會設置異步口的參數： Configure Async lines? yes: 1) 設置線路的最高速度： Async line speed 9600

32、: 2) 是否使用硬件流控： Configure for HW flow control? yes: 3) 是否設置modem： Configure for modems? yes/no: yes 4) 是否使用默認的modem命令： Configure for default chat script? yes: 5) 是否設置異步口的PPP參數： Configure for Dial-in IP SLIP/PPP access? no: yes 6) 是否使用動態IP地址： Configure for Dynamic IP addresses? yes: 7) 是否使用缺省IP地址： Con

33、figure Default IP addresses? no: yes 8) 是否使用TCP頭壓縮： Configure for TCP Header Compression? yes: 9) 是否在異步口上使用路由表更新： Configure for routing updates on async links? no: y 10) 是否設置異步口上的其它協議。 接下來，系統會對每個接口進行參數的設置。 1Configuring interface Ethernet0: 1) 是否使用此接口： Is this interface in use? yes: 2) 是否設置此接口的IP參數：

34、Configure IP on this interface? yes: 3) 設置接口的IP地址： IP address for this interface: 4) 設置接口的IP子網掩碼： Number of bits in subnet field 0: Class C network is , 0 subnet bits; mask is /24 在設置完所有接口的參數后，系統會把整個設置對話過程的結果顯示出來： The following configuration command script was created: hos

35、tname Router enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1 enable password pass 請注意在enable secret后面顯示的是亂碼，而enable password后面顯示的是設置的內容。 顯示結束后，系統會問是否使用這個設置： Use this configuration? yes/no: yes 如果回答yes，系統就會把設置的結果存入路由器的NVRAM中，然后結束設置對話過程，使路由器開始正常的工作。實驗四 配置訪問控制列表四、 實驗目的：熟悉訪問控制列表的概念；正確配置標準訪問控制列表；實驗驗證該標準訪問

36、控制列表的正確性；正確配置擴展訪問控制列表；實驗驗證該擴展訪問控制列表的正確性。二、實驗器材：計算機，交換機，網線，PacketTracer三、學時分配： 4學時。四、實驗類型：綜合五、實驗地點：計算機系硬件實驗室。六、實驗內容：本實驗對IP訪問控制列表進行配置和監測，包括標準、擴展和命名的IP訪問控制列表。1. 設備需求本實驗需要以下設備：l Cisco路由器3臺，分別命名為R1、R2和R3.要求具有1個以太網接口，R2具有1個以太網接口和1個串行接口，R3具有1個串行接口；l 1條交叉線序的雙絞線，或2條正常線序雙絞線和1個Hub；l 1條DCE電纜和1條DTE電纜，或1條DCE轉DTE電

37、纜；l 1臺終端服務器，如Cisco2509路由器，及用于反向Telnet的相應電纜；l 1臺帶有超級終端程序的PC機，以及Console電纜及轉接器。2. 拓撲結構及配置說明本實驗拓撲結構如圖10-1所示，R1的E0接口與R2的E0接口通過以太網連接起來，R2的S0接口與R3的S0接口通過串行電纜連接起來。/24各路由器相關接口的IP地址分配如圖10-1中的標注。L0R2R1S1/0S1/0/24/24E0E0R3/24/24 圖10-1 實驗1網絡拓撲結構3. 實驗配置及監測結果首先配置各路由器，并且通過路由選

38、擇協議的配置實現了整個拓撲的IP連通性，在此基礎上進行IP訪問控制列表的配置和監測。在R1上設置enable口令為cisco, VTY 口令為cisco1,用于Telnet測試。以上配置在以前章節中已進行過 實驗，在本實驗中不再給出配置清單。我們主要在R2路由器上配置訪問控制列表，R1和R3用于測試目的。第1部分：配置和引用標準IP訪問控制列表 配置清單10-1列出了在R2路由器上配置和引用標準IP訪問控制列表的操作。配置清單10-1 配置和引用標準IP訪問控制列表 R2#conf tEnter configuration commands, one per line. End with CN

39、TL/Z.R2(config)#access-list 1 deny 55R2(config)#access-list 1 permit anyR2(config)#int s1/0R2(config-if)#ip access-group 1 inR2(config-if)#ZR2#00:08:35: %SYS-5-CONFIG_I: Configured from console by consoleR2#sh ip access-list 1Standard IP access list 1 deny , wildcard bits 0.0

40、.0.255 check=2 permit any (2 matches)R2#sh ip int s1/0Serial1/0 is up, line protocol is up Internet address is /24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access li

41、st is not set Inbound access list is 1 Proxy ARP is enabled Security level is default (輸入省略)R2#R2#clear access-list countersR2#sh ip access-l 1Standard IP access list 1 deny , wildcard bits 55 permit anyR2#Term_Server#3Resuming connection 3 to R3 R3#ping Type escape sequence t

42、o abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 16/20/24 msR3#pingProtocol ip:Target IP address: Repeat count 5:Datagram size 100:Timeout in seconds 2:Extended commands n: ySource address or interface: 30.1

43、.1.3Type of service 0:Set DF bit in IP header? no:Validate reply data? no:Data pattern 0xABCD:Loose, Strict, Record, Timestamp, Verbosenone:Sweep range of sizes n:Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:Packet sent with a source address of 30.1.

44、1.3U.U.USuccess rate is 0 percent (0/5)R3#ZTerm_Server#2Resuming connection 2 to R2 R2#sh ip access-l 1Standard IP access list 1 deny , wildcard bits 55 (5 matches) permit any (5 matches)（1） 在定義訪問控制列表時，要特殊注意語句輸入的先后順序，因為路由器在執行該列表時的順序是自上而下的。 另一個應注意的問題是路由器不對由自身產生的IP包進行過濾，在實驗時應由其他的設備發包進行測

45、試。（2） 配置標準IP訪問控制列表1時，定義了除/24網段外的所有網段都被接受。（3） 在R2路由器S0接口的進入方向引用了訪問控制列表1，目的是過濾來自/24網段的數據包，允許其他所有網段的數據包通過。 在接口上引用訪問控制列表時。使用in或out子命令。這里的in和out是指以路由器本身為參考點，數據包是進入（in）還是離開(out)路由器。（4） Show ip access-list命令列出了所定義的訪問控制列表的情況，可以看到“permit any”一行有2個匹配包的報告，表示已經有2個匹配此行條件的數據包被S0接口接收。（5） Show ip in

46、t s0命令列出的信息中加陰影的2行是關于訪問控制列表引用情況的信息，表明在進入路由器的方向（in ）引用了訪問控制列表1。（6） 接下來用clear access-list counters指令清空了訪問控制列表的計數器，以便觀察實驗結果。所以清空計數器，就是把訪問控制列表各行的匹配數清空。再次使用show ip access-list命令查看顯示了我們想得到的結果。（7） 使用ping和擴展的ping 命令測試訪問控制列表1的定義和引用清空，結果為： 從發往的IP包被R2接收和路由；從發往的IP包被R2過濾掉。測試結果符合訪問

47、控制列表的設置。（8） 再次查看訪問控制列表的匹配情況，可以看到，在訪問控制列表1中，2條語句各有5個相匹配的包，即5個ICMP Echo包。第2部分：配置和引用擴展IP訪問控制列表接下來是有關擴展IP訪問控制列表的實驗。配置清單10-2列出了在R2路由器上配置和引用擴展IP訪問控制列表的操作。配置清單10-2 配置和引用擴展IP訪問控制列表R2#conf tEnter configuration commands, one per line. End with CNTL/Z.R2(config)#$ 101 deny icmp 55 0.0.

48、0.255 echoR2(config)#access-list 101 permit ip any anyR2(config)#int fa0/0R2(config-if)#ip access-group 101 outR2(config-if)#int s1/0R2(config-if)#no ip access-g 1 inR2(config-if)#ZR2#R2#sh ip access-listStandard IP access list 1 deny , wildcard bits 55 (8 matches) check=20 permit any

49、 (20 matches)Extended IP access list 101 deny icmp 55 55 echo permit ip any anyR2#Term_Server#3Resuming connection 3 to R3 R3#ping Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/

50、5)R3#telnet Trying . OpenUser Access VerificationPassword: (鍵入cisco1)R1enPassword: (鍵入cisco)R1#exitConnection to closed by foreign hostR3#Term_Server#2Resuming connection 2 to R2 R2#sh ip access-list 101Extended IP access list 101 deny icmp 55 0.0.0

51、.255 echo (8 matches) permit ip any any (40 matches)R2#（1） 首先定義了一個擴展的IP訪問控制列表101。 列表的第1包拒絕從/24網段發往/24網段的ICMP Echo包，即希望從/24網段到/24網段的ping失敗。列表的第2句允許所有的源地址到所有的目的地址的IP包的發送。（2） 在R2的E0接口出路由器的方向上引用訪問控制列表101；同時把S0接口對于訪問控制列表1的引用刪除。（3） 在R3路由器上使用ping 命令測試，可以看到報告目標把可達。 同樣的R3路由器上，

52、telnet到R1，結果是成功。以上結果表明訪問控制列表101的定義和執行是成功的 。從R3到R1，ping 把通，但能夠實現telnet，這正是我們想要的結果。（4） Show ip access-list 101命令報告了IP包與訪問控制列表101中各行的匹配情況。第3部分：配置和引用命名的IP訪問控制列表命名的 IP訪問控制列表提高了訪問控制列表定義和使用上的方便性，并且允許定義更多數量的訪問控制列表。 配置清單10-3記錄了在R2路由器上配置和引用命名的IP訪問控制列表的操作。 我們把第1部分和第2部分中第標準和擴展IP訪問控制列表用命名列表的方式重新進行定義，比例規進行引用。相關的測

53、試與這兩部分中的相同，不再列出測試結果。配置清單10-3配置和引用命名的IP訪問控制列表R2#conf tEnter configuration commands, one per line. End with CNTL/Z.R2(config)#ip access-list stR2(config)#ip access-list standard Test1R2(config-std-nacl)#deny 55R2(config-std-nacl)#permit anyR2(config-std-nacl)#exitR2(config)#int s1/0R2(config-if)#ip access-group Test1 inR2(config-if)#exitR2(config)#R2(config)#ip access-list extended Test2R2(config-ext-nacl)#deny icmp 55 55 echoR2(config-ext-nacl)#permi