Cisco 网络联盟www.cisconet.cn 提供CCNA 之之 access-list 实验基础篇实验基础篇当数据包经过路由器的时候，使用访问列表能够过滤数据包，它是一种网络层的安全手段。在 CCNA 中我们只关注 ip access-list ，依据使用用途分为 standard access-list 和 extend access-listR1-R2s0 s010.1.1.1 10.1.1.2标准型访问列表应用R1 过滤来自 R2 的所有数据包R1 主要配置如下：1，创建访问列表access-list 10 deny host 10.1.1.2access-list 10 permit any2，接口上调用访问列表interface serial 0ip access-group 10 in此时，A,B 之间不能通信，可用 ping 检验扩展型访问列表应用一，在 A 上只过滤来自 B 的 telnet 访问R1 主要配置如下： 1，创建访问列表access-list 100 deny tcp host 10.1.1.2 any eq 23access-list 100 permit any any2，在接口上调用访问列表interface serial 0ip access-group 100 in为了检验，在 A 上起用 vty 线路密码和特权密码B ping A 通，B telnet A 不通二，在 A 上只过滤来自 B 的 pingR1 主要配置如下：1，创建访问列表access-list 101 deny icmp host 10.1.1.2 any access-list 101 permit any any2，在接口上调用访问列表interface serial 0ip access-group 101 inCCNA 之之 NAT 转换实验三部曲转换实验三部曲NAT 让网络管理员能够在组织内部使用私有地址空间，同时使用全局唯一的地址通过Cisco 网络联盟www.cisconet.cn 提供Internet 以及在组织的独立分部之间进行通信。对于不同的用户组，可以使用不同的地址池，这使得管理互联性更为容易。最大的好处是，缓解了 IPv4 地址即将耗尽的困境。一，配置静态 NAT 转换(固定组合）PC ip 地址 192.168.1.2 上网，使用公网地址 202.102.119.121，指定内网口和外网口PC-R1-clouds0 s1R1 上配置interface serial 0ip nat insideip add 192.168.1.1 255.255.255.0no shutdown!interface serial 1ip nat outsideip add 10.1.1.1 255.255.255.0no shutdown!2,静态 NAT 转换R1 上配置（config)#ip nat inside source static 192.168.1.2 202.102.119.12使用 show ip nat translations 查看是否转换二，配置动态 NAT 转换如 50 台主机使用 50 个私网地址，能使用的公网地址只有 20 个 202.102.1.101-202.102.1.120采用动态 NAT 将它们随意组合1，指定内网口和外网口 同上2，使用标准访问列表，划定私网范围access-list 1 permit 192.168.1.0 0.255.255.2553，使用地址池框定公网地址范围ip nat pool abc 202.102.1.101 202.102.1.120 netmask 255.255.255.04,二者关联ip nat inside source list 1 pool abc动态 NAT 转换，仍然是一对一的对应关系三，PAT，端口地址转换1，2，3，同动态配置4，二者关联ip nat inside source list 1 pool abc overloadPAT 转换的好处是可以实现多个私网地址使用一个公网地址上网。在现实中，PAT 应用最广泛Cisco 网络联盟www.cisconet.cn 提供CCNA 之之 frame-relay 实验实验最近在上 CCNA 课的时候，做了一个 frame-relay（帧中继）的实验，遇到了一点问题，与大家分享。网络拓扑图如下：R1-FR-R2DLCI 号 100 200R1 使用 s0 口与 FR s0 口相连，R2 使用 s0 口与 FR s1 口相连，FR 作为 DCE 端这里的 FR 由路由器 2514 模拟，R1,R2 分别是 2501，2502，使用 ISO 12.3 版本。R1 配置如下：interface s0ip add 10.1.1.1 255.255.255.0encapsulation frame-relayno shutdown!R2 配置如下：interface s0ip add 10.1.1.2 255.255.255.0encapsulation frame-relayno shutdown!FR 配置如下:(conf)#frame-relay switching!interface serial 0encapsulation frame-relayframe-relay intf-type dceclock rate 64000frame-relay route 100 interface serial 1 200no shutdown!interface serial 1encapsulation frame-relayframe-relay intf-type dceclock rate 64000frame-relay route 200 interface serial 0 100no shutdown!配置已经完成，使用 show frame-relay pvc 查看状态 status=active 活跃但此时，在 R1，R2 上相互 ping ,却不能 ping 通以前做这个实验，没有这个问题，百思不得其解show run，配置没有问题，show interface serial 0,1，两端接口状态全 upshow ip route，路由条目也有show frame-relay lmi 发现两端在发送信息，接收信息Cisco 网络联盟www.cisconet.cn 提供但 show frame-relay map 时，发现地址为 0.0.0.0解决方法：3 台设备所有端口 shutdown,再 no shutdown，问题解决，R1,R2 恢复通信这个可能是路由器自身的 bug，所以遇到这种问题时，一定要细心ccna 实验一实验一 修改修改 cisco 路由器的名称及路由器密码命令操作路由器的名称及路由器密码命令操作实验要求:1. 路由器名：cisconetkeji2. 设置 password 为 cisconet,secret 为 cisconet,vty 为 cisconet,3. 并要求所有密码都加密。实验过程：cisconet enablecisconet# configure temininalcisconet(config)#hostname cisconetkeji 设置路由器名cisconetkeji(config)# enable password cisconet 设置 passwordcisconetkeji(config)# enable secret cisconet 设置 secretcisconetkeji(config)# line vty 0 cisconetkeji(config-line)#login 要求密码验证cisconetkeji(config-line)#password cisconet 设置 vty 密码cisconetkeji(config-line)#exit 退出线路配置模式cisconetkeji(config)iservice password-encryption 对密码加密ccna 实验二实验二 配置路由器端口配置路由器端口 ip 地址地址/标识及保存当前的配置操作标识及保存当前的配置操作实验要求：1：在路由器的端口下配置 ip 地址 202.119.249.219 掩码 255.255.255.02：配置路由器提示信息 welcome to cisconetkeji ccna lab3：配置路由器接口提示信息 this is a serial port4：保存当前的配置cisconetkjienablejaincekji# configure terminalcisconetkeji(config)# interface fastethernet 0/0 cisconetkeji(config-if)# ip address 202.119.249.219 255.255.255.0 对以太网口 fa0/0 配置 IPjaincekeji(config-if)# no shutdown 开启端口cisconetkeji(config-if)exitcisconetkeji(config)#banner motd “cisconetkeji(config)#welcome to cisconetkeji ccna lab” 提示信息以上几部是设置登陆提示信息cisconetkeji(config)# interface serial 0cisconetkeji(config-if)# description this is a serial port 端口描述信息cisconetkeji(config-if)#endcisconetkeji#copy running-config startup-config 对配置进行保存Cisco 网络联盟www.cisconet.cn 提供ccna 实验三实验三 CDP 命令操作命令操作实验要求:1. 路由器名：ccna1、 ccna2、 ccna3.2. 设置 password 为 cisconet,secret 为 cisconet,vty 为 cisconet,，并要求所有密码都加密.3. 配置各路由器.实验过程：配置路由器 1router(config)#hostname ccna1 设置路由器名ccna1(config)enable password cisconet 设置 passwordccna1(config)enable secret cisconet 设置 secretccna1(config)line vty 0 4