CCNA培训学习_重点实验_重要考点ccna-7.docx

实验、利用扩展的ACL做一个过滤步骤：1、 先把所有的链路配置和RIP的路由协议2、 建立52这台服务器为web，不允许52这台主机访问我的web网站R2(config)#access-list 101 deny tcp host 52 host 52 eq 80R2(config)#access-list 101 permit ip any any 我们必须permit ip，因为扩展列表中默认deny所有是deny的ip any any。R2(config)#int f0/0R2(config-if)#ip access-group 101 in应用这个列表，在进方向。测试结果没有问题：3、 email的过滤A 先操作DNS解析服务器B email的服务器和邮件的配置需求，依然保留刚才的http过滤，不允许ccc 54的用户访问我的email服务器。R2(config)#no access-list 101R2(config)#access-list 101 deny tcp host 52 host 52 eq wwwR2(config)#access-list 101 deny tcp host 54 host 53 eq ? Port number ftp File Transfer Protocol (21) pop3 Post Office Protocol v3 (110) smtp Simple Mail Transport Protocol (25) telnet Telnet (23) www World Wide Web (HTTP, 80)R2(config)#access-list 101 deny tcp host 54 host 53 eq smtpR2(config)#access-list 101 deny tcp host 54 host 53 eq pop3R2(config)#access-list 101 permit ip any any4、 操作FTP服务器，过滤掉53对FTP服务器的访问R2(config)#access-list 101 deny tcp host 52 host 52 eq wwwR2(config)#access-list 101 deny tcp host 54 host 53 eq smtpR2(config)#access-list 101 deny tcp host 54 host 53 eq pop3R2(config)#access-list 101 deny tcp host 53 host 54 eq ftpR2(config)#access-list 101 deny icmp any anyR2(config)#access-list 101 permit ip any any实验、分析名称列表的优势R1(config)#ip access-list extended fengR1(config-ext-nacl)#?Ext Access List configuration commands: Sequence Number default Set a command to its defaults deny Specify packets to reject dynamic Specify a DYNAMIC list of PERMITs or DENYs evaluate Evaluate an access list exit Exit from access-list configuration mode no Negate a command or set its defaults permit Specify packets to forward remark Access list entry commentR1(config-ext-nacl)#10 deny icmp any any R1(config-ext-nacl)#20 deny tcp host host eq 23R1(config-ext-nacl)#30 deny tcp host host eq 21R1(config-ext-nacl)#400 permit ip any any名称列表可以删除某一个条目，也可以根据序列号做插入R1(config)#ip access-list ex fengR1(config-ext-nacl)#21 deny tcp 55 55 eq 80R1(config-ext-nacl)#no 10 deny icmp any any网络通信模式的分类：1、 专线，点对点，安全性非常高，但是成本过高。HDLC：高级数据链路控制，他的发明者是IBM，目前每一个公司都有自己的HDLC的协议标准。他也是串行接口的默认封装2、 电路交换，说白了就是利用电话线来做传输，封装一般是HDLC，或者PPP3、 包交换，包交换的方式，是把数据包打碎，多路通过交换机传输出去。他的代表链路类型是帧中继和ATM以太网帧中继以太网交换机帧中继交换机MAC地址DLCI号码，数据链路控制标示符ARP ip解析macIARP ip解析DLCI号码以太网交换机只能读取mac帧中继交换机只可以读取DLCI号码区别区别用的接口是F0/0口帧中继的设备接入用的是点对点接口，但是他又不是点对点的设备。他们之间形成的链路是虚链路=PVC（永久虚链路）以太网，不存在clockrate，在帧中继的交换机上，需要输入clock rate时钟同步，毕竟他们都是串口连接，只不过是逻辑上看的更像广播而已。实验、基本的串口封装实验R1(config)#int s0/0/0R1(config-if)#ip add R1(config-if)#no shutR2(config)#int s0/0/0R2(config-if)#ip add R2(config-if)#clock rate 64000配置时钟速率，这个只在DCE配置，一般实际工程中，是由SP来配置的。R2(config-if)#no shut实验、帧中继的配置实验：R1(config)#int s0/0/0R1(config-if)#encapsulation frame-relay R1(config-if)#ip add R1(config-if)#no shutr2(config)#int s0/0/0r2(config-if)#en frr2(config-if)#ip add r2(config-if)#no shutPPP点对点的传输协议，都是封装点对点的串口链路的。PPP:NCP:网络控制协议用于封装不同的网络层协议。LCP：链路控制协议，用于启动PPP的链路封装结构，并且提供了认证。PPP的两种认证方式：1、 PAP 包认证协议，明文2、 CHAP 挑战握手认证协议，密文实验、PPP的PAP认证协议步骤：1、 基本接口链路配置R1(config)#int s0/0/0R1(config-if)#ip add 配置IP地址R1(config-if)#enR1(config-if)#encapsulation ppp封装PPP协议。R1(config-if)#no shutR2(config)#int s0/0/0R2(config-if)#clock rate 64000R2(config-if)#ip add R2(config-if)#en pppR2(config-if)#no shutR2#sh int s0/0/0查询串行接口Serial0/0/0 is up, line protocol is up (connected) Hardware is HD64570 Internet address is /24 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, loopback not set, keepalive set (10 sec)Ppp能否真正起来，需要有三个open。 LCP Open 链路控制层起来 Open: IPCP, CDPCP NCP起来，cdp协议也起来2、 PPP的pap认证R1(config)#username cisco password cisco建立用户账户R1(config)#int s0/0/0R1(config-if)#ppp authentication pap 启动PPP的认证为PAP明文认证R1(config-if)#ppp pap sent-username cisco password cisco 传递明文认证的口令和密码给对方做验证R2(config)#username cisco password ciscoR2(config)#int s0/0/0R2(config-if)#ppp authen pap启动认证R2(config-if)#ppp pap sent-username cisco pass cisco和对方进行匹配交换口令。R1#debug ppp authentication 用debug来查看认证的过程PPP authentication debugging is onCHAP的传输过程（三次）：例子：主机名：A 主机名：B用户名为：B 密码是：key 用户名为：A 密码是：key1、 无论任何人，都可以发送请求，比如主机A对主机B发送一个CHAP认证的请求。2、 主机B收到请求后，把自己的主机名（B）+口令（key）=进行哈希，把字符串传递给主机A.3、 主机A收到了对方传递过来的MD5数值后，以自己的用户名（B）+口令（key）也来进行哈希，并且与收到的哈希结果进行匹配，一致后，完成校验的过程。CHAP的实验（留给你们了。，记住需要输入clockrate）NAT地址转换技术特点：把一个私有地址转换为一个公有地址出去，特点是一对一。PAP地址转换技术：特点：把多个私有地址，转换为一个公有地址的多个端口号。特点是多对一实验、静态NAT的一对一转换实验步骤：1、基本的接口配置和ISP的路由配置GW(config)#ip route f0/0给你的出口路由器写一个默认路由！2、1对1的NAT地址转换GW(config)#int f0/0GW(config-if)#ip nat outside定义这个接口连接外部GW(config-if)#int f0/1GW(config-if)#ip nat inside定义这个接口连接内部GW(config)#ip nat inside source static 52 进行nat的静态转换，把内部的52地址转换为外部的公有地址，但是这个转换是一对一的，没有写的，就不可以转换出去了。GW#debug ip natIP NAT debugging is on启动NAT的debugGW#sh ip nat translations查看NAT的转换列表多对多的nat转换，继续上面的实验：删除刚才的1对1转换表项：GW(config)#no ip nat inside source static 52 GW(config)#ip nat pool NAT-T netmask 建立转换后的地址池。GW(config)#access-list 1 permit any允许所有的内部地址做转换GW(config)#ip nat inside source list 1 pool NAT-T 进行转换，