[计算机]《网络互连设备》实验指导.doc

网络互联设备实验指导书数学与计算机科学学院网络工程教研室高 凯2011年9月实验一 子网规划一、 实验目的：进行定长子网规划；分析两种规划的使用范围；。二、实验器材：计算机，交换机，网线，PacketTracer三、学时分配： 2学时。四、实验类型：验证五、实验地点：计算机系硬件实验室。六、实验内容：（一）子网编址的方法在IP互联网中，A类、B类、C类IP地址是经常使用的IP地址。由于经过网络号和主机号的层次划分，它们能适应于不同的网络规模。使用A类IP地址的网络可以容纳1600万台主机，而使用C类IP地址的网络仅仅可以容纳254台主机。但是，随着计算机的发展和网络技术的进步，个人计算机应用迅速普及，小型网络（特别的小型局域网）越来越多。这些网络多则拥有几十台主机，少则拥有两三台主机，对于这样一些小规模网络即使采用一个C类地址仍然的一种浪费（可以容纳254台主机），因而在实际应用中，人们开始寻找新的解决方案以克服IP地址的浪费现象，其中子网编址就是方案之一。IP地址具有层次结构，标准的IP地址分为网络号和主机号两层。为了避免IP地址的浪费，子网编址的主机号部分进一步划分成子网部分和主机部分，如图5.1所示图5.1子网编址的层次结构为了创建一个子网地址，网络管理员从标准IP地址的主机号部分“借”位并把它们指定为子网号部分。只要主机号部分能够剩余两位，子网地址可以借用主机号部分的任何位数（但至少应借用2位）。因为B类网络的主机号部分只有两个字节。故而最多只能借用14位创建子网。而在C类网络中，由于主机号部分只有一个字节，故最多只能借用6位去创建子网。是一个B类IP地址。它的主机号部分有两个字节。在图5.2中，借用了其中的一个字节作为子网号。图5.2 借用B类IP地址的一个字节作为子网号当然，如果从IP地址的主机号部分借用来创建子网，相应子网中的主机数目就会减少。例如一个C类网络，它用一个字节表示主机号，可以容纳的主机数为254台。当利用这个C类网络创建子网时，如果借用2位子网号，那么可以剩下的6位表示子网号的主机，可以容纳的主机数为62台；如果借用3位作为子网号，那么仅可以使用剩下的5位来表示子网中的主机，可以容纳的主机数也可以减少到30台。（二）子网的规划方法子网规划,就是根据子网个数要求及每一个子网的有效主机地址个数要求，确定借几位主机号作为子网号，然后写出借位后的子网个数、每一个子网的有效主机地址个数、每一个子网的子网地址、子网掩码和每一个子网的有效主机地址。子网规划和IP地址分配在网络规划中占有重要地位。在确定借几位主机号作为子网号时应使子网号部分产生足够的子网，而剩余的主机号部分能容纳足够的主机。例如，一个网络被分配了一个C类地址。如果该网络有10个子网组成，每个子网包含10台主机，那么应该怎样规划和使用IP地址呢？表5.1 C类网络子网划分对应关系表子网号位数子网数主机数子网掩码2262923630244141440530648662252在C 类子网中，子网位数、子网掩码、容纳的子网数和主机数的对应关系如表4.1所示，从表5.1中可以看出，子网位数为4位，子网掩码为40，可以产生14个子网，每个子网容纳14台主机，满足例子中10个子网，每个子网10台主机的要求，因此可以采取这种规划方案；如果存在多种可选方案，可以在其中选出最佳方案（方法是在为将来的扩展留有余地的同时尽量提高IP地址的利用率）。在掩码为40时的地址分配情况请看表5.2。表5.2 在掩码为40时的地址分配表子网子网号子网地址每一个子网的有效主机地址范围子网掩码1000167.30402001023.46403001189.62404010045.78405010101.94406011067.11040701111213.12640810002829.14240910014445.158401010106061.174401110117677.190401211009293.206401311010809.222401411102425.23840与标准的IP地址相同，子网编址也为子网网络和子网广播保留了地址编号。在子网编址中以二进制全“0”结尾的IP地址是子网地址，用来表示子网；而以二进制全“1”结尾的IP地址则是子网直接广播地址，为子网广播所保留。 由于这个C类地址最后一个字节的4位用作划分子网，因此子网中的主机号只能用剩下的4位来表达。在这4位中，全部为“0”的表示该子网网络，全部为“1”的表示子网广播，其余的可以分配给子网中的主机。为了与标准的IP编址保持一致，二进制全“0”或全“1”的子网号不能分配给实际的子网。在上面的例子中，除“0”和“15”外（二进制“0000”和“1111”），其他的子网号都可进行分配。IP协议规定，将与IP地址的网络号和子网号部分相对应的位用“1”、与IP地址的主机号部分相对应的位用“0”表示后，就得出了该IP地址对应的子网掩码。将IP地址和它的子网掩码相结合，就可以判断出IP地址中哪些位表示网络和子网，哪些位表示主机。32位全为“1”的IP地址（55）为有限广播地址，如果在子网中使用该广播地址，广播将被限制在本子网内。需要注意的是，进行子网互连的路由器也需要占用有效的IP地址，因此，在计算机网络中（或子网中）需要使用的IP数时，不要忘记连接该网络（或子网）的路由器。在图5.3中 ，尽管子网3只有2台主机，但由于两个路由器分别有一条连接与该网相连。因此，该子网需要4个有效的IP地址。图5.3路由器的每个一条连接要占用1个有效的IP地址实验二 配置静态 VLAN二、 实验目的：正确连接交换机，熟悉交换机的端口；正确掌握静态 VLAN 的概念；正确配置静态 VLAN ；能进行简单的静态 VLAN 的调试。二、实验器材：计算机，交换机，网线，PacketTracer三、学时分配： 2学时。四、实验类型：验证五、实验地点：计算机系硬件实验室。六、实验内容：整个网络中干部分采用3台Catalyst 1900网管型交换机（分别命名为：Switch1、Switch2和Switch3，各交换机根据需要下接若干个集线器，主要用于非VLAN用户，如行政文书、临时用户等）、一台Cisco 2514路由器，整个网络都通过路由器Cisco 2514与外部互联网进行连接。 所连的用户主要分布于四个部分，即：生产部、财务部、信息中心和人事部。主要对这四个部分用户单独划分VLAN，以确保相应部门网络资源不被盗用或破坏。 现为了公司相应部分网络资源的安全性需要，特别是对于像财务部、人事部这样的敏感部门，其网络上的信息不想让太多人可以随便进出，于是公司采用了VLAN的方法来解决以上问题。通过VLAN的划分，可以把公司主要网络划分为：生产部、财务部、人事部和信息中心四个主要部分，对应的VLAN组名为：Prod、Fina、Huma、Info，各VLAN组所对应的网段如下表所示。VLAN 号VLAN 名 端口号 2ProdSwitch 1 2-21 3FinaSwitch2 2-164HumaSwitch3 2-95InfoSwitch3 10-21【注】之所以把交换机的VLAN号从2号开始，那是因为交换机有一个默认的VLAN，那就是1号VLAN，它包括所有连在该交换机上的用户。VLAN的配置过程其实非常简单，只需两步：（1）为各VLAN组命名；（2）把相应的VLAN对应到相应的交换机端口。下面是具体的配置过程：第1步：设置好超级终端，连接上1900交换机，通过超级终端配置交换机的VLAN，连接成功后出现如下所示的主配置界面（交换机在此之前已完成了基本信息的配置）： 1 user(s) now active on Management Console.User Interface MenuM MenusK Command LineI IP ConfigurationEnter Selection:【注】超级终端是利用Windows系统自带的超级终端（Hypertrm）程序进行的，具体参见有关资料。第2步：单击K按键，选择主界面菜单中K Command Line选项 ，进入如下命令行配置界面：CLI session with the switch is open.To end the CLI session,enter Exit .此时我们进入了交换机的普通用户模式，就象路由器一样，这种模式只能查看现在的配置，不能更改配置，并且能够使用的命令很有限。所以我们必须进入特权模式。第3步：在上一步提示符下输入进入特权模式命令enable，进入特权模式，命令格式为enable，此时就进入了交换机配置的特权模式提示符：#config tEnter configuration commands,one per line.End with CNTL/Z(config)#第4步：为了安全和方便起见，我们分别给这3个Catalyst 1900交换机起个名字，并且设置特权模式的登陆密码。下面仅以Switch1为例进行介绍。配置代码如下：(config)#hostname Switch1Switch1(config)# enable password level 15 XXXXXXSwitch1(config)#【注】特权模式密码必须是48位字符这，要注意，这里所输入的密码是以明文形式直接显示的，要注意保密。交换机用 level 级别的大小来决定密码的权限。Level 1 是进入命令行界面的密码，也就是说，设置了 level 1 的密码后，你下次连上交换机，并输入 K 后，就会让你输入密码，这个密码就是 level 1 设置的密码。而 level 15 是你输入了enable命令后让你输入的特权模式密码。第5步：设置VLAN名称。因四个VLAN分属于不同的交换机，VLAN命名的命令为 vlan vlan号 name vlan名称 ，在Switch1、Switch2、Switch3、交换机上配置2、3、4、5号VLAN的代码为：Switch1 (config)#vlan 2 name ProdSwitch2 (config)#vlan 3 name FinaSwitch3 (config)#vlan 4 name HumaSwitch3 (config)#vlan 5 name Info【注】以上配置是按表1规则进行的。第6步：上一步我们对各交换机配置了VLAN组，现在要把这些VLAN对应于表1所规定的交换机端口号。对应端口号的命令是vlan-membership static/ dynamic VLAN号 。在这个命令中static(静态)和dynamic(动态)分配方式两者必须选择一个，不过通常都是选择static(静态)方式。VLAN端口号应用配置如下：（1）. 名为Switch1的交换机的VLAN端口号配置如下：Switch1(config)#int e0/2Switch1(config-if)#vlan-membership static 2Switch1(config-if)#int e0/3Switch1(config-if)#vlan-membership static 2Switch1(config-if)#int e0/4 Switch1(config-if)#vlan-membership static 2Switch1(config-if)#int e0/20Switch(config-if)#vlan-membership static 2Switch1(config-if)#int e0/21 Switch1(config-if)#vlan-membership static 2Switch1(config-if)#【注】int是nterface命令缩写，是接口的意思。e0/3是ethernet 0/2的缩写，代表交换机的0号模块2号端口。（2）. 名为Switch2的交换机的VLAN端口号配置如下：Switch2(config)#int e0/2Switch2(config-if)#vlan-membership static 3Switch2(config-if)#int e0/3Switch2(config-if)#vlan-membership static 3Switch2(config-if)#int e0/4 Switch2(config-if)#vlan-membership static 3Switch2(config-if)#int e0/15Switch2(config-if)#vlan-membership static 3Switch2(config-if)#int e0/16 Switch2(config-if)#vlan-membership static 3Switch2(config-if)#（3）. 名为Switch3的交换机的VLAN端口号配置如下(它包括两个VLAN组的配置)，先看VLAN 4（Huma）的配置代码：Switch3(config)#int e0/2Switch3(config-if)#vlan-membership static 4Switch3(config-if)#int e0/3Switch3(config-if)#vlan-membership static 4Switch3(config-if)#int e0/4 Switch3(config-if)#vlan-membership static 4Switch3(config-if)#int e0/8Switch3(config-if)#vlan-membership static 4Switch3(config-if)#int e0/9 Switch3(config-if)#vlan-membership static 4Switch3(config-if)#下面是VLAN5（Info）的配置代码：Switch3(config)#int e0/10Switch3(config-if)#vlan-membership static 5Switch3(config-if)#int e0/11Switch3(config-if)#vlan-membership static 5Switch3(config-if)#int e0/12Switch3(config-if)#vlan-membership static 5Switch3(config-if)#int e0/20Switch3(config-if)#vlan-membership static 5Switch3(config-if)#int e0/21 Switch3(config-if)#vlan-membership static 5Switch3(config-if)#好了，我们已经按表1要求把VLAN都定义到了相应交换机的端口上了。为了验证我们的配置，可以在特权模式使用show vlan命令显示出刚才所做的配置，检查一下是否正确。实验三 路由器的配置三、 实验目的：熟悉进入路由器的每个配置模式；配置路由器的接口地址和子网掩码；配置路由器的被动路由协议；配置路由器的路由协议；调试路由器的配置。二、实验器材：计算机，交换机，路由器，网线，PacketTracer三、学时分配： 2学时。四、实验类型：验证五、实验地点：计算机系硬件实验室。六、实验内容：一般来说，可以用5种方式来设置路由器： 1Console口接终端或运行终端仿真软件的微机； 2AUX口接MODEM，通过电话线与远方的终端或运行终端仿真软件的微机相连；3通过Ethernet上的TFTP服务器； 4通过Ethernet上的TELNET程序； 5通过Ethernet上的SNMP网管工作站。 但路由器的第一次设置必须通过第一种方式进行,此时终端的硬件设置如下: 波特率 ：9600 数据位 ：8 停止位 ：1 奇偶校验: 无二、命令状态1. router 路由器处于用户命令状态，这时用户可以看路由器的连接状态，访问其它网络和主机，但不能看到和更改路由器的设置内容。 2. router# 在router提示符下键入enable,路由器进入特权命令状态router#，这时不但可以执行所有的用户命令，还可以看到和更改路由器的设置内容。 3. router(config)# 在router#提示符下键入configure terminal,出现提示符router(config)#，此时路由器处于全局设置状态，这时可以设置路由器的全局参数。 4. router(config-if)#; router(config-line)#; router(config-router)#; 路由器处于局部设置状态，这时可以设置路由器某个局部的参数。 5. 路由器处于RXBOOT状态，在开机后60秒内按ctrl-break可进入此状态，这时路由器不能完成正常的功能，只能进行软件升级和手工引导。 6. 设置对话状态 这是一台新路由器开机时自动进入的状态，在特权命令状态使用SETUP命令也可进入此状态，这时可通过对话方式对路由器进行设置。三、设置对话过程显示提示信息全局参数的设置接口参数的设置显示结果利用设置对话过程可以避免手工输入命令的烦琐，但它还不能完全代替手工设置，一些特殊的设置还必须通过手工输入的方式完成。进入设置对话过程后，路由器首先会显示一些提示信息：- System Configuration Dialog - At any point you may enter a question mark ? for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets . 这是告诉你在设置对话过程中的任何地方都可以键入“？”得到系统的帮助，按ctrl-c可以退出设置过程，缺省设置将显示在中。然后路由器会问是否进入设置对话：Would you like to enter the initial configuration dialog? yes: 如果按y或回车，路由器就会进入设置对话过程。首先你可以看到各端口当前的状况： First, would you like to see the current interface summary? yes: Any interface listed with OK? value NO does not have a valid configuration Interface IP-Address OK? Method Status Protocol Ethernet0 unassigned NO unset up up Serial0 unassigned NO unset up up 然后，路由器就开始全局参数的设置： Configuring global parameters: 1设置路由器名： Enter host name Router: 2设置进入特权状态的密文(secret)，此密文在设置以后不会以明文方式显示The enable secret is a one-way cryptographic secret used instead of the enable password when it exists. Enter enable secret: cisco 3设置进入特权状态的密码(password)，此密码只在没有密文时起作用，并且在设置以后会以明文方式显示： The enable password is used when there is no enable secret and when using older software and some boot images. Enter enable password: pass 4设置虚拟终端访问时的密码： Enter virtual terminal password: cisco 5询问是否要设置路由器支持的各种网络协议：Configure SNMP Network Management? yes: Configure DECnet? no: Configure AppleTalk? no: Configure IPX? no: Configure IP? yes: Configure IGRP routing? yes: Configure RIP routing? no: 6如果配置的是拨号访问服务器，系统还会设置异步口的参数： Configure Async lines? yes: 1) 设置线路的最高速度： Async line speed 9600: 2) 是否使用硬件流控： Configure for HW flow control? yes: 3) 是否设置modem： Configure for modems? yes/no: yes 4) 是否使用默认的modem命令： Configure for default chat script? yes: 5) 是否设置异步口的PPP参数： Configure for Dial-in IP SLIP/PPP access? no: yes 6) 是否使用动态IP地址： Configure for Dynamic IP addresses? yes: 7) 是否使用缺省IP地址： Configure Default IP addresses? no: yes 8) 是否使用TCP头压缩： Configure for TCP Header Compression? yes: 9) 是否在异步口上使用路由表更新： Configure for routing updates on async links? no: y 10) 是否设置异步口上的其它协议。 接下来，系统会对每个接口进行参数的设置。 1Configuring interface Ethernet0: 1) 是否使用此接口： Is this interface in use? yes: 2) 是否设置此接口的IP参数： Configure IP on this interface? yes: 3) 设置接口的IP地址： IP address for this interface: 4) 设置接口的IP子网掩码： Number of bits in subnet field 0: Class C network is , 0 subnet bits; mask is /24 在设置完所有接口的参数后，系统会把整个设置对话过程的结果显示出来： The following configuration command script was created: hostname Router enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1 enable password pass 请注意在enable secret后面显示的是乱码，而enable password后面显示的是设置的内容。 显示结束后，系统会问是否使用这个设置： Use this configuration? yes/no: yes 如果回答yes，系统就会把设置的结果存入路由器的NVRAM中，然后结束设置对话过程，使路由器开始正常的工作。实验四 配置访问控制列表四、 实验目的：熟悉访问控制列表的概念；正确配置标准访问控制列表；实验验证该标准访问控制列表的正确性；正确配置扩展访问控制列表；实验验证该扩展访问控制列表的正确性。二、实验器材：计算机，交换机，网线，PacketTracer三、学时分配： 4学时。四、实验类型：综合五、实验地点：计算机系硬件实验室。六、实验内容：本实验对IP访问控制列表进行配置和监测，包括标准、扩展和命名的IP访问控制列表。1. 设备需求本实验需要以下设备：l Cisco路由器3台，分别命名为R1、R2和R3.要求具有1个以太网接口，R2具有1个以太网接口和1个串行接口，R3具有1个串行接口；l 1条交叉线序的双绞线，或2条正常线序双绞线和1个Hub；l 1条DCE电缆和1条DTE电缆，或1条DCE转DTE电缆；l 1台终端服务器，如Cisco2509路由器，及用于反向Telnet的相应电缆；l 1台带有超级终端程序的PC机，以及Console电缆及转接器。2. 拓扑结构及配置说明本实验拓扑结构如图10-1所示，R1的E0接口与R2的E0接口通过以太网连接起来，R2的S0接口与R3的S0接口通过串行电缆连接起来。/24各路由器相关接口的IP地址分配如图10-1中的标注。L0R2R1S1/0S1/0/24/24E0E0R3/24/24 图10-1 实验1网络拓扑结构3. 实验配置及监测结果首先配置各路由器，并且通过路由选择协议的配置实现了整个拓扑的IP连通性，在此基础上进行IP访问控制列表的配置和监测。在R1上设置enable口令为cisco, VTY 口令为cisco1,用于Telnet测试。以上配置在以前章节中已进行过 实验，在本实验中不再给出配置清单。我们主要在R2路由器上配置访问控制列表，R1和R3用于测试目的。第1部分：配置和引用标准IP访问控制列表 配置清单10-1列出了在R2路由器上配置和引用标准IP访问控制列表的操作。配置清单10-1 配置和引用标准IP访问控制列表 R2#conf tEnter configuration commands, one per line. End with CNTL/Z.R2(config)#access-list 1 deny 55R2(config)#access-list 1 permit anyR2(config)#int s1/0R2(config-if)#ip access-group 1 inR2(config-if)#ZR2#00:08:35: %SYS-5-CONFIG_I: Configured from console by consoleR2#sh ip access-list 1Standard IP access list 1 deny , wildcard bits 55 check=2 permit any (2 matches)R2#sh ip int s1/0Serial1/0 is up, line protocol is up Internet address is /24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default (输入省略)R2#R2#clear access-list countersR2#sh ip access-l 1Standard IP access list 1 deny , wildcard bits 55 permit anyR2#Term_Server#3Resuming connection 3 to R3 R3#ping Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 16/20/24 msR3#pingProtocol ip:Target IP address: Repeat count 5:Datagram size 100:Timeout in seconds 2:Extended commands n: ySource address or interface: Type of service 0:Set DF bit in IP header? no:Validate reply data? no:Data pattern 0xABCD:Loose, Strict, Record, Timestamp, Verbosenone:Sweep range of sizes n:Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:Packet sent with a source address of U.U.USuccess rate is 0 percent (0/5)R3#ZTerm_Server#2Resuming connection 2 to R2 R2#sh ip access-l 1Standard IP access list 1 deny , wildcard bits 55 (5 matches) permit any (5 matches)（1） 在定义访问控制列表时，要特殊注意语句输入的先后顺序，因为路由器在执行该列表时的顺序是自上而下的。 另一个应注意的问题是路由器不对由自身产生的IP包进行过滤，在实验时应由其他的设备发包进行测试。（2） 配置标准IP访问控制列表1时，定义了除/24网段外的所有网段都被接受。（3） 在R2路由器S0接口的进入方向引用了访问控制列表1，目的是过滤来自/24网段的数据包，允许其他所有网段的数据包通过。 在接口上引用访问控制列表时。使用in或out子命令。这里的in和out是指以路由器本身为参考点，数据包是进入（in）还是离开(out)路由器。（4） Show ip access-list命令列出了所定义的访问控制列表的情况，可以看到“permit any”一行有2个匹配包的报告，表示已经有2个匹配此行条件的数据包被S0接口接收。（5） Show ip int s0命令列出的信息中加阴影的2行是关于访问控制列表引用情况的信息，表明在进入路由器的方向（in ）引用了访问控制列表1。（6） 接下来用clear access-list counters指令清空了访问控制列表的计数器，以便观察实验结果。所以清空计数器，就是把访问控制列表各行的匹配数清空。再次使用show ip access-list命令查看显示了我们想得到的结果。（7） 使用ping和扩展的ping 命令测试访问控制列表1的定义和引用清空，结果为： 从发往的IP包被R2接收和路由；从发往的IP包被R2过滤掉。测试结果符合访问控制列表的设置。（8） 再次查看访问控制列表的匹配情况，可以看到，在访问控制列表1中，2条语句各有5个相匹配的包，即5个ICMP Echo包。第2部分：配置和引用扩展IP访问控制列表接下来是有关扩展IP访问控制列表的实验。配置清单10-2列出了在R2路由器上配置和引用扩展IP访问控制列表的操作。配置清单10-2 配置和引用扩展IP访问控制列表R2#conf tEnter configuration commands, one per line. End with CNTL/Z.R2(config)#$ 101 deny icmp 55 55 echoR2(config)#access-list 101 permit ip any anyR2(config)#int fa0/0R2(config-if)#ip access-group 101 outR2(config-if)#int s1/0R2(config-if)#no ip access-g 1 inR2(config-if)#ZR2#R2#sh ip access-listStandard IP access list 1 deny , wildcard bits 55 (8 matches) check=20 permit any (20 matches)Extended IP access list 101 deny icmp 55 55 echo permit ip any anyR2#Term_Server#3Resuming connection 3 to R3 R3#ping Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)R3#telnet Trying . OpenUser Access VerificationPassword: (键入cisco1)R1enPassword: (键入cisco)R1#exitConnection to closed by foreign hostR3#Term_Server#2Resuming connection 2 to R2 R2#sh ip access-list 101Extended IP access list 101 deny icmp 55 55 echo (8 matches) permit ip any any (40 matches)R2#（1） 首先定义了一个扩展的IP访问控制列表101。 列表的第1包拒绝从/24网段发往/24网段的ICMP Echo包，即希望从/24网段到/24网段的ping失败。列表的第2句允许所有的源地址到所有的目的地址的IP包的发送。（2） 在R2的E0接口出路由器的方向上引用访问控制列表101；同时把S0接口对于访问控制列表1的引用删除。（3） 在R3路由器上使用ping 命令测试，可以看到报告目标把可达。 同样的R3路由器上，telnet到R1，结果是成功。以上结果表明访问控制列表101的定义和执行是成功的 。从R3到R1，ping 把通，但能够实现telnet，这正是我们想要的结果。（4） Show ip access-list 101命令报告了IP包与访问控制列表101中各行的匹配情况。第3部分：配置和引用命名的IP访问控制列表命名的 IP访问控制列表提高了访问控制列表定义和使用上的方便性，并且允许定义更多数量的访问控制列表。 配置清单10-3记录了在R2路由器上配置和引用命名的IP访问控制列表的操作。 我们把第1部分和第2部分中第标准和扩展IP访问控制列表用命名列表的方式重新进行定义，比例规进行引用。相关的测试与这两部分中的相同，不再列出测试结果。配置清单10-3配置和引用命名的IP访问控制列表R2#conf tEnter configuration commands, one per line. End with CNTL/Z.R2(config)#ip access-list stR2(config)#ip access-list standard Test1R2(config-std-nacl)#deny 55R2(config-std-nacl)#permit anyR2(config-std-nacl)#exitR2(config)#int s1/0R2(config-if)#ip access-group Test1 inR2(config-if)#exitR2(config)#R2(config)#ip access-list extended Test2R2(config-ext-nacl)#deny icmp 55 55 echoR2(c