企业远程网实验手册(详细)

企业远程网实训指导手册

了解设备及其连接关系：

CISCO1721、2501、2503、2611、3640硬件、接口、线缆（DTE、DCE、V.35、V.24）、DDN(E1) MODEM,了解实验室网络连接结构及相关地址分配可参见下图-1：

1、项目网络拓扑图：

图-1

说明：以上IP地址均以C类地址中私有地址192.168.x.x/24 为标准！

网络工程---实训手册

2、设备清单：

设备型号 cisco 2611 cisco 2501 cisco 3640 cisco 2503 Cisco 2501 Cisco 2501 Cisco 2503 cisco 1721

所属机构（公司）分公司A 分公司B 总公司 分公司C 分公司D 分公司E 分公司F 分公司G

端口及数量

两个Serial口，两个FastEthernet口 两个Serial口，一个Ethernet口(以AUX注明)十二个Serial口，一个FastEthernet口 两个Serial口，一个Ethernet口(以AUX注明)两个Serial口，一个Ethernet口(以AUX注明)两个Serial口，一个Ethernet口(以AUX注明)两个Serial口，一个Ethernet口(以AUX注明)两个Serial口，一个FastEthernet口

一． 连接设备：

1．按以上网络拓扑图（结构）用相关线缆将各设备正确的连接；

2．超级终端连接到路由器Console口，连接参数选择“恢复默认值”；

3．第一次对路由器配置时，在提示是否进入初始配置状态(Setup状态)如下图所示，按[Ctrl]+[C]

或键入“no”，中断其而进入“CLI命令行”配置模式；

4．配置时与上拓扑图不相符的则以实际连接线缆为标准。

二．熟悉IOS各种配置模式：

总的来说，Cisco的IOS的“CLI命令行”模式中有三个基本的模式：

1． 一般用户模式(User mode) Router>

路由器处于用户命令状态，这时用户只能进行有限的操作，如看路由器的连接状态（Ping其它网络设备等），访问其它网络和主机；但不能看到和更改路由器的设置内容。 2． 特权模式(Privileged mode)

特权模式又被称为私有模式或Enable模式。

Router#

在router>提示符下键入enable（退出用：exit或disable）,路由器进入特权命令状态router#,这时不但可以执行所有的用户命令，还可以通过show命令来观察设备的状

网络工程---实训手册

况或我们所做的配置，但是在此模式中我们不能对设备进行配置。

3． 全局模式(Global mode) Router(config)#

在特权模式中，我们键入configure命令，并且选择terminal模式，即键入configure

terminal(退出用：exit或ctrl + Z ), 路由器即进入全局命令状态router(config)#，这时可以设置路由器的全局参数，且此设置是对整个路由器是有效的（配置）。如果我们需要对某一个接口或某一个功能进行单独的配置，我们可以从全局模式再进入这些其它的个别模式。在这些模式里的配置只能对设备的一部分有效，比如在某个接口下的配置只对这个接口有效。 从全局模式可以进入的其它模式在下略举一二：

 进入端口配置模式,显示为“Router(config-if)#”: interface type port

或 interface type slot/port (模块化端口)

 进入线路配置模式，显示为“Router(config-line)#”；

比如我们进入vty(虚拟终端线路)线路： Router(config)#line vty 0 4 Router(config-line)#login

Router(config-line)#password cisco

 进入路由配置模式，显示为“Router(config-router)#”；

比如我们在路由器上启动RIP协议： Router(config)# router rip Router(config-router)# 4． 几个模式的切换方式：

 退回上一级配置模式： 用 exit 命令

 直接退到特权用户模式：

用命令 end 或使用快捷键：[ctrl]+[Z] 5． 重启动加载：

键入命令 reload

三．查看路由器状态与测试命令

1．IOS常用的查询命令：

show processes 显示当前活动进程 show memory 显示路由器的内存信息

show version 显示系统的硬件配置，IOS版本等信息

网络工程---实训手册

show interface 显示所有端口信息（属性）

show [ip] interface serial x 显示具体广域网端口的配置状态 show controllers serial x 显示接口上连接的线缆是DTE线还是DCE线 show running-config 显示当前运行配置信息 show startup-config 显示备份配置文件 show session 显示各telnet会话连接

show user 显示telnet连接用户，带*的表示当前用户 show ip route 显示路由状态（路由表） show ip protocol 显示路由器所配置的路由协议 show {protocol} access-lists 显示所有的ACL信息

show {protocol} access-lists {access-list-number} 显示某个具体的ACL信息 2． 测试命令：

ping A.B.C.D 广域网、局域网IP地址 trace A.B.C.D 路径跟踪

telnet A.B.C.D 远程登录(路由器) 3. 命令使用方法：

 查看帮助命令，如用 ？或 c? 或 config ? ；

 路由器系统都支持对命令的简写（同理交换机亦样），如interface可简写为：int；  如输入简写时要查看全名，可用[Tab]键来解析其全名，即按[Tab]键。

四. CISCO路由器的配置：

1. 设置路由器名： hostname name

2. 路由器登录标识（Login Banner）： banner motd #This is A router!!# 重新登录验证

3. 关闭错误命令查找(即：DNS查询功能)：

no ip domain-lookup

4. 以太口设置：

interface E0 按以太口类型进行设置,cisco1721为fa0,cisco3640上为fa3/0

网络工程---实训手册

端口描述：

Desc This is LAN port 设置以太口IP地址：

ip address A.B.C.D 255.255.255.0 (A.B.C.D为以太口所设IP地址) 启用端口： no Shutdown 5. 高速同步串口设置：

interface S0（或S1） 注：2611及3640涉及模块问题(interface type slot/port) 端口描述：

Desc Link To Router** 设置IP地址:

ip address A.B.C.D 255.255.255.0 (A.B.C.D为串行端口所设IP地址) 设置时钟: 注：DCE 端口才需设置时钟 clock rate 64000 设置速率： bandwidth 1024 启用端口： no shutdown

6． PPP的配置 ( 任选下面一种模式)：

PPP与HDLC一样，也是串行线路上（同步电路或异步电路）的一种帧封装格式，但是PPP可以提

供对多种网络层协议的支持。PPP支持认证、多链路捆绑、回拨、压缩等功能。 PPP经过4个过程（阶段）在一个点对点的链路上建立通讯连接：

链路的建立和配置协调：通信的发起方发送LCP帧来配置和检测数据链路 链路质量检测（安全验证）：在链路已经建立、协调之后进行，这一阶段可选 网络层协议配置协调：通信的发起方发送NCP帧以选择并配置/封装网络层协议 关闭链路：通信链路将一直保持到LCP或NCP帧关闭链路或发生一些外部事件

由PPP会话建立第二阶段可定，PPP协议配置方式有两种模式，即无认证配置模式与认证配置模式。

网络工程---实训手册

 无认证模式配置

双方串行端口直接绑定广域网协议为PPP: encapsulation PPP  PPP认证：PAP 或 CHAP

通常，当无法控制谁将试图连接到路由器(如使用拨号连接)时，可使用PPP身份验证。配置PPP身份验证时，可选择PAP或CHAP。CHAP是首选协议，因其使用更安全的身份验证方法。其简要概述：

 PAP---密码验证协议

PAP（Password Authentication Protocol）利用两次握手的简单方法进行认证。在PPP链路建立完毕后，源节点不停地在链路上反复发送用户名和密码，直到验证通过。PAP的验证中，密码在链路上是以明文传输的，而且由于是源节点控制验证重试频率和次数，因此PAP不能防范再生攻击和重复的尝试攻击。

其主要配置方法如下：

配置路由器R1(被认证方)在路由器R2(认证方)取得验证： 路由器R1(被认证方)的配置信息如下： R1(config)# int s1/0

R1(config-if)# encapsulation ppp /* 封装链路层协议PPP */ R1(config-if)# ppp pap sent-username R1 password password1 /* 于路由器R1上配置在R2上登录的用户名及密码 */ 路由器R2(认证方)有配置信息： R2(config)# int s1

R2(config-if)# encapsulation ppp /* 封装链路层协议PPP */ R2(config-if)# ppp authentication pap /* 配置PAP验证 */ R2(config)# username R1 password password1

/* 于 本地R2，为远程路由器R1设置用户名及密码 */

以上配置只是完成了R1在R2上取得验证，即单向验证。然而在实际应用中通常是采用双向验证。故，我们要采取类似步骤进行配置，完成R1对R2的验证，此时R1为认证方，R2为被认证方：

网络工程---实训手册

R1(config-if)# ppp authentication pap /* 配置PAP验证 */ R1(config)# username R2 password password2

/* 于本地R1，为远程路由器R2设置用户名及密码 */ R2(config-if)# ppp pap sent-username R2 password password2 /* 于路由器R2上配置在R1上登录的用户名及密码 */ [提示]：

1)、如上password1及password2 为管理员待设定密码，二者最好为不同；

2)、在ISDN拨号上网时，却通常只是电信对用户进行验证（因根据用户名来记账收费），用户不能对电信进行验证，即验证为单向验证。

[链路调试]：

使用特权用户命令 debug ppp authentication 可以查看 ppp 认证过程。 R1# debug ppp authentication

PPP authentication debugging is on /* 开启PPP认证调试 */ R1(config)# int s1/0 R1(config-if)# shutdown R1(config-if)# no shutdown

/* 因PAP认证是在链路建立后进行一次，故把接口关闭并重新开启以便观察认证过程 */ 03:44:10: Se1/0 PPP: Treating connection as a dedicated line 03:44:10: Se1/0 PPP: Authorization NOT required

03:44:10: %LINK-3-UPDOWN: Interface Serial0/0, changed state to up 03:44:10: Se1/0 PAP: Using hostname from interface PAP 03:44:10: Se1/0 PAP: Using password from interface PAP 03:44:10: Se1/0 PAP: O AUTH-REQ id 27 len 13 from \"R1\" 03:44:10: Se1/0 PAP: I AUTH-REQ id 18 len 13 from \"R2\" 03:44:10: Se1/0 PAP: Authenticating peer R2

03:44:10: Se1/0 PPP: Sent PAP LOGIN Request to AAA

03:44:10: Se1/0 PPP: Received LOGIN Response from AAA = PASS 03:44:10: Se1/0 PAP: O AUTH-ACK id 18 len 5 03:44:10: Se1/0 PAP: I AUTH-ACK id 27 len 5

03:44:11: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed sta te to up

/* 以上是认证成功的例子 */

网络工程---实训手册

03:07:50: Se1/0 PPP: Treating connection as a dedicated line 03:07:50: Se1/0 PPP: Authorization NOT required

03:07:50: Se1/0 PAP: Using hostname from interface PAP 03:07:50: Se1/0 PAP: Using password from interface PAP 03:07:50: Se1/0 PAP: O AUTH-REQ id 18 len 13 from \"R1\" 03:07:50: Se1/0 PAP: I AUTH-REQ id 9 len 13 from \"R2\" 03:07:50: Se1/0 PAP: Authenticating peer R2

03:07:50: Se1/0 PPP: Sent PAP LOGIN Request to AAA

03:07:50: Se1/0 PPP: Received LOGIN Response from AAA = FAIL

03:07:50: Se1/0 PAP: O AUTH-NAK id 9 len 27 msg is \"Authentication failure\" /* 如上认证失败，或为密码错误等所致 */  CHAP---询问握手验证协议

CHAP（Challenge Handshke Authentication Protocol）利用三次握手周期地验证源端节点身份。CHAP验证过程在链路建立之后，而且在以后的任何时候可以再次进行。这使得链路更为安全；CHAP不允许连接发起方在没有收到询问消息的情况下进行验证尝试。CHAP每次使用不同的询问消息，每个消息都是不可预测的唯一的值，CHAP不直接传送密码，只传送一个不可预测的询问消息，以及该询问消息与密码经过MD5加密运算后的加密值。所以CHAP可防止再生攻击，CHAP的安全性比PAP要高。

其主要配置方法如下例：

R1: R2:

于全局配置命令： 于全局配置命令：

username R2 password password username R1 password password int s1/0 int s1

encapsulation ppp encapsulation ppp ppp authentication chap ppp authentication chap （

注意：username 后的名称为相邻路由器名，password必须相同，且区分大小写 ）

验证与观察PPP连通性：

 命令 debug ppp authentication 可以查看 ppp 认证过程

网络工程---实训手册

 Show [ip] int s1/0 或 s1

 ping 对方(与本地路由器相连的相邻路由器)的广域网端口地址

项目具体实施：

此处我们根据上网络拓扑图而分别设定相关配置命令。

设备命名我们依各公司名称而设定，即为：分公司A路由器命名为RA；分公司B路由器命名为RB；

分公司C为RC；分公司D为RD；分公司E为RE；分公司F为RF；分公司G为RG；总公司为RZ。 1、准备工作：

为实现以上网络之通讯，首先实现各局域网及广域网物理线路的连接，记录各设备使用之端口，并分配待设之IP，以确定各设备连接之关系。此处我们还得记录各串行端口（Serial）连接的线缆为DTE或是DCE，以确定DCE端口时钟频率的设置。 2、项目实施：

为实现以上网络(各公司机构)之通讯，首先激活各设备之端口以建立完整之链路（即在每条物理链路上建立起数据通讯所需之逻辑链路，亦或数据会话）。

 对于分公司A有其配置：

建立超级终端，开启设备（路由器）以使运行，并从Setup状态切换至CLI命令行。 Router> enable /* 注意：设备支持命令的简写 */ Router# configure terminal

!---于全局配置模式设定路由器名为RA：

Router(config)# hostname RA !---进入接口配置模式：

RA(config)# interface fastethernet 0/0 ！---设置接口描述，方便排错等管理

RA(config-if)# description connected to LAN_A ！---为接口设置IP地址：

RA(config-if)# ip address 192.168.7.1 255.255.255.0 !---启用接口：

RA(config-if)# no shutdown

验证：

直接退到特权用户模式，用命令 end 或 使用快捷键[ctrl]+[Z]： RA(config-if)# end

网络工程---实训手册

RA#

于特权用户模式查看接口fastethernet 0/0之状态并验证其的连通性： RA# show interface fastethernet 0/0

fastethernet 0/0 is up ,line protocol is up. 说明：fastethernet 0/0 is up表示接口之物理层状态； line protocol is up表示其数据链路层状态（具体含义为下得以详细介绍）。

RA# ping 192.168.7.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.7.1, timeout is 2 seconds: !!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms Router#

说明：特权测试命令ping的几个字符含义：

！---表示连通正常 . ---表示未连通

U ---表示协议数据单元被认可，但目的主机（节点）不可达 C ---表示数据包拥塞 | ---表示用户中断操作

除快速以太口Fa0/0之外，路由器RA还使用了同步串行接口Serial0/0接口以连接总公司路由器RZ（提供接口Serial2/7），为实现其广域网链路之建立，故相关配置涉及IP地址，广域网线路协议（如HDLC、PPP），时钟频率等重要信息之设置。

注意：广域网链路之建立必须为两终端（如此：总公司及分公司A）网络工程师协同配置，相互联系并讨论，具有良好之团队精神以建立链路之通讯。 RA# configure terminal

RA(config)# interface serial 0/0

RA(config-if)# ip address 192.168.8.1 255.255.255.0 ! ---设置接口速率:

RA(config-if)# bandwidth 1024 /* 注意：此速率为相对速率 */ ！---设置接口描述，方便排错等管理

RA(config-if)# description connected to RZ !---设置此接口的链路封装协议为PPP：

网络工程---实训手册

RA(config-if)# encapsulation PPP /*选择PPP协议的无认证配置模式*/ ! ---开启接口

RA(config-if)# no shutdown 说明：

以上同步串行接口的链路封装协议为PPP，其封装方式有：无认证配置模式，认证配置模式两种。在配置时两终端管理员必须达到相互协商，相互讨论，选择相同之链路封装协议（并有相同协议之相同运行模式），以达链路最终之建立。具体分析如下：

路由器RA使用接口S0/0实现与RZ的连接，RZ提供同步串行接口S2/7，在建立此广域网链路时其广域网线路协议必须达到一致性。实验要求在此处能选择的协议有PPP协议（无认证配置或认证配置）、HDLC（高级数据链路控制协议，Cisco私有协议）。再次说明：在选择协议时，两端成员（如上RA及RZ）必须相互讨论、协商，选择一致（线路协议）。另外在此链路上线缆为DCE的同步串行接口必须作时钟频率的设置，否则广域网链路也莫法建立。

在实验室中采用V.35标准的串行电缆实现路由器与路由器的连接（以模拟广域网链路），为此对DCE（数据通信设备）或DTE的确定可由串行电缆决定，主要是整理线缆，并查看其连接头标签以确定为DCE或DTE类型，如下图所示：

网络工程---实训手册

另外DCE或DTE的确定除从线缆标签上可得外，还可通过特权命令：show controllers serial X 进行查看，如：

RA# show controllers serial 0/0

HD unit 0, idb = 0xB3FEC, driver structure at 0xB9460 buffer size 1524 HD unit 0, V.35 DTE cable cpb = 0x61, eda = 0x4940, cda = 0x4800

说明在路由器RA的串行接口Serial0/0上V.35线缆类型为DTE，相应与其相连的Serial2/7（路由器RZ上）为DCE类型，进而配置Serial2/7 时必须配置时钟频率，否则接口Serial0/0及Serial2/7（数据链路层状态）不能完成启动（激活），致使其对应广域网链路无法实现连接（通讯）。

 相应总公司路由器RZ有配置信息： Router> enable

Router# configure terminal

!---于全局配置模式设定路由器名为RZ：

网络工程---实训手册

Router(config)# hostname RZ

RZ(config)# interface serial 2/7

RZ(config-if)# ip address 192.168.8.2 255.255.255.0 ! ---设置接口速率:

RZ(config-if)# bandwidth 1024 /* 注意：此速率为相对速率 */ ！---设置接口描述，方便排错等管理

RZ(config-if)# description connected to RA

!---设置此接口的链路封装协议为PPP（与RA的S0/0达到一致性）：

RZ(config-if)# encapsulation PPP /*选择PPP协议的无认证配置模式*/ ! ---DCE端设置时钟频率：

RZ(config-if)# clock rate 64000 /* 注意：64000为相对时钟值 */ ! ---开启接口

RZ(config-if)# no shutdown 验证：

通过以上的配置，建立起了设备RA与RZ之间的联系，能实现RA与RZ之间的通讯，同样PC1与RA之间的通讯。于特权用户模式： Router#

1）、show interface serial x 显示具体广域网端口的配置状态； 如下：

RZ# show interface serial 2/7

Serial2/7 is up, line protocol is up Hardware is CD2430 in sync mode Internet address is 192.168.8.2/24

MTU 1500 bytes, BW 2048 Kbit, DLY 20000 usec,

reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, loopback not set Keepalive set (10 sec)

LCP Open /* 说明：LCP Open 表示设备之间已进行了PPP会话 */ Open: IPCP, CDPCP，IPXCP

Last input 00:00:01, output 00:00:01, output hang never Last clearing of \"show interface\" counters 00:00:33

Input queue: 0/75/0 (size/max/drops); Total output drops: 0 ………………………………………………………………………………

网络工程---实训手册

……………………………………………………………………………… 2）、show running-config 显示当前配置信息； RZ# show running-config

. . .

Interface serial 2/7

description connected to RA

ip address 192.168.8.2 255.255.255.0 bandwidth 1024

clock rate 64000 /* DCE串行口设置了时钟频率-----必须性 */ encapsulation ppp /* 由此判定选择PPP协议的无认证配置模式 */ Interface fastethernet 3/0 . . .

另外，假若在接口serial2/7下显示如下讯息： Interface serial 2/7

description connected to RA

ip address 192.168.8.2 255.255.255.0 bandwidth 1024

clock rate 64000 encapsulation ppp

ppp authentication chap

于此判定，此接口（链路）选择PPP协议认证配置模式。

3)、ping，如对端路由器的广域网端口（与本地相连的串行口）地址（测试连通性）； 如下：

RA# ping 192.168.8.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.8.2, timeout is 2 seconds: !!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 56/58/64 ms 4)、show ip route 查看路由表，即能确定各路由器已知网段及未知网段。 如下：

RA# show ip route

网络工程---实训手册

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set

192.168.8.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.8.0/24 is directly connected, Serial0/0 C 192.168.8.2/32 is directly connected, Serial0/0

C 192.168.7.0/24 is directly connected, FastEthernet0/1

由此判定（总结）：

在建立了链路（逻辑/数据链路）的情况下，某路由器的已知网段即为之直连网段；而未知网段即为之非直连网段。

附接口状态分析（串行接口故障诊断）：

在使用show interface 命令中，我们首先关注的是接口的状态和二层线路协议的状态，如下给出了这两个状态的四种可能：

图 X 线路的四种状态

在使用show interface 命令中的第一行，给出了接口的物理层状态：up表示线路上有载波，物理线路没有问题；down表示线路上没有载波，物理线路有问题。在物理层状态之后是数据链路层状态：up表示线路保持激活，数据帧的封装没有问题；down表示线路没有激活没，数据帧的封装有问题或者物理层有问题。

网络工程---实训手册

在上图X的四种状态中，第一种是接口正常工作的状态；第二种是物理层无问题，数据链路层有问题的状态，多在数据传输的两端帧封装格式不匹配时出现（即两端线路协议不统一或DCE时钟未设置）；第三种是线路有物理故障（多出现在与本地相连的对端串行接口未开启）；第四种状态是该接口还没有被配置或被管理员人为将接口shutdown时的状态。

广域网链路的建立方法如上分析，故其它链路（建立）不作详细分析，相应配置（包括各分公司的局域网链路）信息如下：

总公司路由器RA有配置(除上所建立到RA的链路之外):

RZ# configure terminal RZ(config)# interface fastethernet 3/0

RZ(config-if)# ip address 192.168.2.2 255.255.255.0 RZ(config-if)# description connected to LAN_Z

RZ(config-if)# no shutdown RZ(config-if)# exit

RZ(config)# int s 2/6 /* 注意：设备支持命令的简写 */ RZ(config-if)# ip add 192.168.9.2 255.255.255.0 RZ(config-if)# bandwidth 1024

RZ(config-if)# description connected to RB RZ(config-if)# encapsulation ppp

RZ(config-if)# ppp authentication chap RZ(config-if)# no shutdown RZ(config-if)# exit

RZ(config)# username RB password 123 /* 于本地为RB建立用户数据库 */

说明：其中本地路由器所建立起的用户名必须匹配链路对端路由器的主机名（区分大小写），

并且所设置两端路由器的这两个用户的密码必须相同。然后为每个与本地路由器通信的远程系统添加一个用户名记录和需要的验证列表。远程设备必须同样有一条用户名记录与本地路由器对应。

RZ(config)# int s 1/3

RZ(config-if)# ip add 192.168.5.2 255.255.255.0 RZ(config-if)# description connected to RC RZ(config-if)# bandwidth 2048 RZ(config-if)# encapsulation ppp RZ(config-if)# no shutdown RZ(config-if)# exit

RZ(config)# int s 1/0

RZ(config-if)# ip add 192.168.6.1 255.255.255.0 RZ(config-if)# description connected to RD

网络工程---实训手册

RZ(config-if)# bandwidth 2048 RZ(config-if)# encapsulation ppp RZ(config-if)# no shutdown RZ(config-if)# exit  对于分公司B有其配置： Router> enable

Router# configure terminal Router(config)# hostname RB

RB(config)# interface Ethernet 0

RB(config-if)# ip address 192.168.1.1 255.255.255.0

RB(config-if)# description connected to LAN_B RB(config-if)# no shutdown RB(config-if)# exit

RB(config)# int s 1

RB(config-if)# ip add 192.168.9.1 255.255.255.0 RB(config-if)# bandwidth 1024

RB(config-if)# description connected to RZ RB(config-if)# encapsulation ppp

RB(config-if)# ppp authentication chap

RB(config-if)# clock rate 64000 /* DCE端口设置时钟频率 */ RB(config-if)# no shutdown RB(config-if)# exit

RB(config)# username RZ password 123 /* 于本地为RZ建立用户数据库 */

 对于分公司C有其配置： Router> enable

Router# configure terminal Router(config)# hostname RC

RC(config)# interface Ethernet 0

RC(config-if)# ip address 192.168.4.1 255.255.255.0

RC(config-if)# description connected to LAN_C RC(config-if)# no shutdown RC(config-if)# exit

RC(config)# int serial 1

RC(config-if)# ip add 192.168.5.1 255.255.255.0 RC(config-if)# bandwidth 2048

网络工程---实训手册

RC(config-if)# description connected to RZ RC(config-if)# encapsulation ppp

RC(config-if)# clock rate 64000 /* DCE端口设置时钟频率 */ RC(config-if)# no shutdown RC(config-if)# exit  对于分公司D有其配置： Router> enable

Router# configure terminal Router(config)# hostname RD

RD(config)# interface Ethernet 0

RD(config-if)# ip address 192.168.10.1 255.255.255.0

RD(config-if)# description connected to LAN_D RD(config-if)# no shutdown RD(config-if)# exit

RD(config)# int serial 0

RD(config-if)# ip add 192.168.6.2 255.255.255.0 RD(config-if)# bandwidth 2048

RD(config-if)# description connected to RZ RD(config-if)# encapsulation ppp

RD(config-if)# clock rate 64000 /* DCE端口设置时钟频率 */ RD(config-if)# no shutdown RD(config-if)# exit RD(config)# int serial 1

RD(config-if)# ip add 192.168.11.1 255.255.255.0 RD(config-if)# bandwidth 1024

RD(config-if)# description connected to RE RD(config-if)# encapsulation ppp

RD(config-if)# clock rate 64000 /* DCE端口设置时钟频率 */ RD(config-if)# no shutdown RD(config-if)# exit

 对于分公司E有其配置： Router> enable

Router# configure terminal Router(config)# hostname RE RE(config)# interface Ethernet 0

网络工程---实训手册

RE(config-if)# ip address 192.168.12.1 255.255.255.0

RE(config-if)# description connected to LAN_E RE(config-if)# no shutdown RE(config-if)# exit

RE(config)# int serial 0

RE(config-if)# ip add 192.168.11.2 255.255.255.0 RE(config-if)# bandwidth 1024

RE(config-if)# description connected to RD RE(config-if)# encapsulation ppp RE(config-if)# no shutdown RE(config-if)# exit

RE(config)# int serial 1

RE(config-if)# ip add 192.168.13.2 255.255.255.0 RE(config-if)# bandwidth 1024

RE(config-if)# description connected to RF RE(config-if)# encapsulation ppp

RE(config-if)# clock rate 64000 /* DCE端口设置时钟频率 */ RE(config-if)# no shutdown RE(config-if)# exit

 对于分公司F有其配置： Router> enable

Router# configure terminal Router(config)# hostname RF

RF(config)# interface Ethernet 0

RF(config-if)# ip address 192.168.14.1 255.255.255.0

RF(config-if)# description connected to LAN_F RF(config-if)# no shutdown RF(config-if)# exit

RF(config)# int serial 0

RF(config-if)# ip add 192.168.13.1 255.255.255.0 RF(config-if)# bandwidth 1024

RF(config-if)# description connected to RE RF(config-if)# encapsulation ppp RF(config-if)# no shutdown RF(config-if)# exit

RF(config)# int serial 1

网络工程---实训手册

RF(config-if)# ip add 192.168.15.1 255.255.255.0 RF(config-if)# bandwidth 1024

RF(config-if)# description connected to RG RF(config-if)# encapsulation ppp

RF(config-if)# clock rate 64000 /* DCE端口设置时钟频率 */ RF(config-if)# no shutdown RF(config-if)# exit

 对于分公司F有其配置： Router> enable

Router# configure terminal Router(config)# hostname RG

RG(config)# interface FastEthernet 0

RG(config-if)# ip address 192.168.3.1 255.255.255.0

RG(config-if)# description connected to LAN_G RG(config-if)# no shutdown RG(config-if)# exit

RG(config)# int serial 0

RG(config-if)# ip add 192.168.15.2 255.255.255.0 RG(config-if)# bandwidth 1024

RG(config-if)# description connected to RF RG(config-if)# encapsulation ppp RG(config-if)# no shutdown RG(config-if)# exit

 验证：

通过以上配置建立（激活）了各通讯链路（局域网链路及广域网链路），但此时只能实现相邻设备的通讯。如：PC1与RA通讯（说明：PC1能ping通Fa0/1的地址，也能Ping通Serial0/0的地址，但是不能Ping通RZ的Serial2/7），RA与RZ通讯，RZ与RB通讯，RZ与PC4通讯，RB与PC2通讯；RA与RB不能通讯，RA与PC4或PC2都不能相互通信。

问题缘由：相关路由器未能获取完整的路由信息（没有相关网络/段的路由信息）。如：在RA初始路由表中只有192.168.7.0/24 （以太口直连网段）及192.168.8.0/24（串行接口Serial0/0的直连网段）的路由信息(如上show ip route 示例所示)；相应RZ初始路由表中只有192.168.8.0/24 （Serial2/7的直连网段）、192.168.9.0/24 （Serial2/6的直连网段）、192.168.2.0/24 （以太口FastEthernet3/0的直连网段）、192.168.5.0/24 （Serial1/3的直连网段）、192.168.6.0/24 （Serial1/0的直连网段）的路由信息；而RB初始路由表中也只有192.168.1.0/24 （以太口直连网段）及192.168.9.0/24（Serial1的直连网段）的路由信息；同理RC、RD、RE、RF、RG都有其初始路由信息（此处不再作详细介绍）。

网络工程---实训手册

问题解决（实现整网通讯）：通过路由协议（静态或动态路由协议）建立及维护完整路由表，实现全网之通讯。

注意：

在作路由协议（不管是静态或是动态路由协议）之前，一定要确定待设路由器的已知网络、未知网络。

通过特权命名Show ip route查看路由表，分析得出：凡是与路由器有直接连接关系的都为其已知网络/网段。

五. CISCO路由器的高级配置：

(一).路由协议的配置： 1.静态路由的配置：

通过配置静态路由，用户可以人为地指定对某一网络访问时所要经过的路径,在网络结构比较简单，且一般到达某一网络所经过的路径唯一的情况下采用静态路由。其具体

配置格式如下：

ip route [mask] {address | interface} [distance] [permanent] 其中：

 network：指所要到达的目标网络(未知网络)的网络号；  mask：是子网掩码；

 address：指达到该目标网络的下一个广域网端口地址（下一跳地址），即访问路

径中相邻路由器的广域网端口(与本地相连)地址；  interface：本地网络接口名称(仅适合点对点网络中)；  distance：管理距离，缺省值为1或0，是一个可选参数；

 permanent：指定此路由即使该端口关掉也不被删除，是一个可选参数。 项目实施（实例）：

因为静态路由有其缺陷性（配置、管理工作量倍增），故我们建议实现上网络（全部网段）通讯最好是采用动态路由协议，因实训所需，建议两台路由器或三台，最多四台路由器建立静态路由实现部分网络之通讯：

案例：

网络工程---实训手册

以上设备都分别开启了（使用）端口，各链路都保持激活的状态，现为实现以上网络任意网段之间的通讯，使用静态路由有：  对于分公司A有其配置：

RA(config)# ip route 192.168.2.0 255.255.255.0 192.168.8.2 或 S0/0 RA(config)# ip route 192.168.9.0 255.255.255.0 192.168.8.2 或 S0/0 RA(config)# ip route 192.168.1.0 255.255.255.0 192.168.8.2 或 S0/0 RA(config)# ip route 192.168.5.0 255.255.255.0 192.168.8.2 或 S0/0 RA(config)# ip route 192.168.4.0 255.255.255.0 192.168.8.2 或 S0/0  对于总公司有其配置：

RZ(config)# ip route 192.168.4.0 255.255.255.0 192.168.5.1 或 S1/3 RZ(config)# ip route 192.168.1.0 255.255.255.0 192.168.9.1 或 S2/6 RZ(config)# ip route 192.168.7.0 255.255.255.0 192.168.8.1 或 S2/7  对于分公司B有其配置：

RB(config)# ip route 192.168.2.0 255.255.255.0 192.168.9.2 或 S1 RB(config)# ip route 192.168.7.0 255.255.255.0 192.168.9.2 或 S1 RB(config)# ip route 192.168.8.0 255.255.255.0 192.168.9.2 或 S1 RB(config)# ip route 192.168.5.0 255.255.255.0 192.168.9.2 或 S1 RB(config)# ip route 192.168.4.0 255.255.255.0 192.168.9.2 或 S1  对于分公司C有其配置：

RC(config)# ip route 192.168.2.0 255.255.255.0 192.168.5.2 或 S1 RC(config)# ip route 192.168.7.0 255.255.255.0 192.168.5.2 或 S1 RC(config)# ip route 192.168.8.0 255.255.255.0 192.168.5.2 或 S1

网络工程---实训手册

RC(config)# ip route 192.168.1.0 255.255.255.0 192.168.5.2 或 S1 RC(config)# ip route 192.168.9.0 255.255.255.0 192.168.5.2 或 S1  验证：

查看路由表（比较配置前后路由表信息）： show ip route 测试连通性：

互相ping对方局域网IP地址，在WINDOWS系统中用TRACERT 来进行路径跟踪 用前面第三步 1 所示查询命令查看路由器各状态信息，认真观察显示信息。 2.动态路由的配置：

(1).启用RIP路由协议

router rip 声明使用RIP协议

network network-number 指定与该路由器相连的网络，即发布路由器所直接连接的网

段

退回特权用户模式：键入命令end 或按[ctrl] + [Z] 查看RIP协议： show ip route show ip protocol 测试连通性：

互相ping对方局域网IP地址，在WINDOWS系统中用Tracert 来进行路径跟踪 用前面第三步3.1所示命令查看路由器各状态信息，认真观察显示信息。 (2).修改RIP协议，使用IGRP 协议

no router rip 取消RIP协议

router igrp 100 使用IGRP协议，其中的100是自治域系统(AS)号

network network-number 指定与该路由器相连的网络 查看IGRP协议： show ip route show ip protocol

网络工程---实训手册

测试连通性：

互相ping对方局域网IP地址，在WINDOWS系统中用Tracert 来进行路径跟踪

注：以上自治域系统(autonomous-system)可随意建立，并非实际意义上的AS，但运行IGRP的路由器要想相互交换路由信息其AS需相同，以下 EIGRP 协议后的100亦然！

(3).修改IGRP协议，使用EIGRP 协议 no router igrp 100 取消IGRP协议 ，

router eigrp 100 声明使用EIGRP协议,100为AS号

network network-number 指定与该路由器相连的网络 查看eigrp协议： show ip route show ip protocol 测试连通性：

互相ping对方局域网IP地址，在WINDOWS系统中用Tracert 来进行路径跟踪 (4).修改EIGRP协议，使用OSPF 协议 no router eigrp 100 取消EIGRP协议

router ospf 100 使用OSPF协议，其中100为路由进程process-id号 Network address wildcard-mask area area-id

( 其中：address可以为连接路由器的网络、子网或接口IP地址；而wildcard-mask为通配符子网掩码，它指定在判断IP地址是否匹配时需要考虑哪部分，0表示相应位必须匹配，1表示不考虑，如，0.0.0.0表示全部32比特都必须匹配；相应的area-id 指要将地址加入到哪个区域，如，0表示骨干区域 )

查看OSPF协议： show ip route show ip protocol 测试连通性：

互相ping对方局域网IP地址，在WINDOWS系统中用TRACERT 来进行路径跟踪 项目实施（实例）：

因为静态路由有其缺陷性（配置、管理工作量倍增），故我们建议实现上网络（全部网段）通讯最好是采用动态路由协议，现选择动态路由RIP实现全网之通讯：

网络工程---实训手册

 对于分公司A有其配置：

RA(config)# router rip

RA(config-router)# network 192.168.7.0 RA(config-router)# network 192.168.8.0

说明：于路由配置模式使用network network-number，指定与该路由器相连的网络，即发布路由器所直接连接的网段。

 对于分公司B有其配置：

RB(config)# router rip

RB(config-router)# network 192.168.9.0 RB(config-router)# network 192.168.1.0  对于分公司C有其配置：

RC(config)# router rip

RC(config-router)# network 192.168.4.0 RC(config-router)# network 192.168.5.0  对于总公司有其配置：

RZ(config)# router rip

RZ(config-router)# network 192.168.2.0 RZ(config-router)# network 192.168.5.0 RZ(config-router)# network 192.168.8.0 RZ(config-router)# network 192.168.9.0 RZ(config-router)# network 192.168.6.0  对于分公司D有其配置：

RD(config)# router rip

RD(config-router)# network 192.168.6.0 RD(config-router)# network 192.168.10.0 RD(config-router)# network 192.168.11.0  对于分公司E有其配置：

RE(config)# router rip

RE(config-router)# network 192.168.12.0 RE(config-router)# network 192.168.13.0 RE(config-router)# network 192.168.11.0  对于分公司F有其配置：

网络工程---实训手册

RF(config)# router rip

RF(config-router)# network 192.168.13.0 RF(config-router)# network 192.168.14.0 RF(config-router)# network 192.168.15.0  对于分公司G有其配置：

RG(config)# router rip

RG(config-router)# network 192.168.3.0 RG(config-router)# network 192.168.15.0  验证：

于特权用户模式show ip route查看路由表（比较配置前后路由表信息）； show ip protocol 查看RIP协议： 测试连通性：

互相ping对方局域网IP地址，在WINDOWS系统中用TRACERT 来进行路径跟踪 用前面第三步 1 所示查询命令查看路由器各状态信息，认真观察显示信息。  总结：

因实训所需，在作完静态路由后将要作RIP，得事先把静态路由删除。如：在总公司有： RZ(config)# no ip route 192.168.4.0 255.255.255.0 192.168.5.1 或 S1/3 RZ(config)# no ip route 192.168.1.0 255.255.255.0 192.168.9.1 或 S2/6 RZ(config)# no ip route 192.168.7.0 255.255.255.0 192.168.8.1 或 S2/7

同样作完RIP协议后将要作IGRP或EIGRP，亦或是OSPF，一定把之前的RIP路由协议删除。如：  在总公司上有：

RZ(config)# no router rip  在分公司A上有：

RA(config)# no router rip

因为路由协议配置方法具有相同流程（思想），故此处IGRP或EIGRP，亦或是OSPF的配置就不再作详细介绍，若有疑惑请咨询相关专业人士。

3、静态路由与动态路由的比较：

 静态路由

优点：路由器处理负载轻，不占用带宽，运行安全，可预见 缺点：维护工作量大（手工创建及管理），无法适应网络的变化

网络工程---实训手册

配置：添未知，创未知  动态路由

优点：高适应性（自动学习、建立及管理），维护工作量小 缺点：路由器处理负载重，带宽占用大

配置：添（发布/通告）已知，学未知，创未知，择未知

(二). Telnet远程登陆:

由于Telnet到路由器时，都将连接到某条虚拟终端线路(virtual type terminal)，即VTY0-VTY4，因此，我们必须在虚拟终端线路上作相应得操作(口令的设置或权限的更改)。其具体操作步骤如下： 1、基于安全的Telnet操作

设备虚拟终端线路(virtual type terminal)之配置：

* 于VTY缐路上提供登陆口令：

Router# config t

Router(config)# line vty 0 4

Router(config-line)# login /*登陆回显(检查口令),需要提供相应登陆密码*/ Router(config-line)# password XXXXXX

* 于本地验证登陆用户及口令：

Router# config t

Router(config)# username password XXXXXX

/*设置允许登陆账号（用户）及相关口令*/ Router(config)# line vty 0 4

Router(config-line)# login local /* 远程登录使用本地数据库 */

网络工程---实训手册

说明：

A)、以上仅实现对设备Telnet会话的建立，另于全局配置命令Enable password 或 enable secret 实现特权用户口令的设置，以实现最终对设备的完整控制(设备资源之查看、配置、调试等管理)。 B)、使用login命令来保护一条线路，password命令是给线路设定密码的惟一方法。但是，若使用login local 命令来保护线路，就要使用指定的用户名/密码对。为了访问和登陆，建议使用login local 方法。 2、无安全的telnet操作

虚拟终端线路的设定：

Router# config t

Router(config)# line vty 0 4 Router(config-line)# no login

*/ 强制设备接受外部的telnet连接,无需检查口令配置 /* Router(config-line)# privilege level xx

*/ 修改访问(登陆)权限，XX为权值，其范围为0--15 /* 验证：

建立到设备的Telnet连接，实现远程登陆操作。 其中：

show session 显示各telnet会话连接

show user 显示telnet连接用户，带*的表示当前用户 disconnect 关闭由自己发起的当前的telnet会话 clear line number 关闭一个由远程用户发起的telnet会话

（三）.基于编号的IP（传统）访问控制(ACL)设置:

访问控制列表主要包括两种类型：标准访问列表和扩展访问列表。标准ACL只检查分组的源地址；扩展ACL既检查分组的源地址，也检查分组的目的地址，也可以检查特殊的协议类型、端口及其它参数。因此有下配置格式： 1、基于编号的标准访问控制

全局配置命令access-list用于创建访问列表：

access-list access-list-number {permit | deny} source [source-wildcard]

网络工程---实训手册

其中，access-list-number是ACL的列表号，标准IP ACL列表号范围为1-99及扩展范围1300-1999；permit|deny指定允许还是禁止来自指定地址的数据流通过；而source表示源IP地址，source-wildcard表示源IP地址的通配符掩码(反掩码)。

接口配置命令ip access-group用于在接口上激活以上所建IP访问列表： ip access-group access-list-number {in | out}

其中，in | out 是针对本路由器数据包的进出传输方向，如没指定是in或是out,则默认是out,出方向。

注意：在访问列表的最后面都有一条隐式语句deny any 。因此当我们在仅输入一条permit语句后，访问列表会将从允许所有数据流通过变成禁止大部分数据流通过，从而实现只允许特定的(permit语句所定义的网络或节点)网络数据流通过；相反，在我们定义禁止（deny X.X.X.X）特定的网络或节点之后，都得加上Access-list access-list-number permit any ，定义除禁止特定网络或节点之外的网络或节点能通过并到达相应网络。下扩展访问列表亦然。 验证：

根据所配置的访问列表分析、比较配置前后网络或节点的连通性。 2、基于编号的扩展访问控制

全局配置命令access-list用于创建访问列表：

access-list access-list-number {permit | deny} protocol source source-wildcard

[operator port] destination destination-wildcard [operator port] 其中：

access-list-number：是ACL的列表号，扩展IP ACL列表号范围100-199及扩展范围2000-2699； permit|deny：指定该条目是允许还是禁止符合指定条件的数据流通过；

protocol：可以是IP、TCP、UDP、ICMP等协议； source及destination：指定源IP及目标IP地址；

source-wildcard、destination-wildcard：通配符掩码；

operator：可为1t(小于)、gt(大于)、eq(等于)或neq(不等于)，port为协议端口号。 接口配置命令ip access-group用于在接口上激活以上所建IP访问列表： ip access-group access-list-number {in | out}

其中，in | out 是针对本路由器数据包的进出传输方向，如没指定是in或是out,则默认是out,出方向。

注意：在每个接口的每个方向上，每种协议只能有一个访问列表。 验证：

网络工程---实训手册

Show ip access-list 显示配置的所有访问列表，或具体列表项(加列表号编号)； 根据所配置的访问列表分析、比较配置前后网络或节点的连通性或其它的实验效果。

实验题目：

利用传统ACL控制技术以控制不同节点与节点，不同网段与网段，或者节点与网段之间的访问（建立其访问权限）。具体控制方案为实训人员共同分析、讨论并模拟实际环境以验证之。

补充推荐策略放置规则：

 标准ACL---推荐尽量放置在接近数据流的 目的 端；  扩展ACL---推荐尽量放置在接近数据流的 源 端。 典型案例一： 如图所示：

方案要求：拒绝网络LAN_1访问网络LAN_3 方案目的：理解并掌握ACL基本应用及原则

方案分析：拒绝网络LAN_1访问网络LAN_3，如此便知拒绝网络LAN_1为数据通信的发起端，而网

络LAN_3为数据通信的接收端。为实现方案要求，于此可通过标准(基本)ACL技术或扩展ACL技术得以实现之。具体有如下设置：

方案实施：

一、通过标准(基本)ACL技术实现案例要求：根据标准(基本)ACL技术特点，策略建立主要根

据数据源IP进行控制管理，故为满足以上案例要求，策略必须在网络LAN_3端路由器R3上配置，并有最佳应用(激活)端口Serial0 ，方向为in :

R3(config)# access-list 58 deny 192.168.1.0 0.0.0.255 R3(config)# access-list 58 permit any R3(config)# int serial 0

R3(config-if)# ip access-group 58 in

网络工程---实训手册

典型案例二：路由器阻止Telnet自身的两种方法 ：

由于Telnet到路由器时，数据报文首先通过设备之实际的物理端口并建立于连接到某条虚拟终端线路(virtual type terminal)，即VTY0-VTY4的链接。为建立一个正常的Telnet链接，因此我们必须在虚拟终端线路上作相应的操作(口令的设置或登陆权限的更改)。其具体操作以上得以说明！相应，Router为阻止telnet自身的两种方法有：

假设有routerA，其e0: 10.1.1.1/24 、e1: 10.1.2.1/24，如下图：

方法一：通过实际的物理端口以阻止Telnet会话：

routerA(config)# access-list 120 deny tcp any 10.1.1.1 0.0.0.0 eq 23 routerA(config)# access-list 120 deny tcp any 10.1.2.1 0.0.0.0 eq 23

routerA(config)# access-list 120 permit ip any any routerA(config)# int e0

routerA(config-if)# ip access-group 120 in routerA(config-if)# no shutdown

routerA(config-if)# exit routerA(config)# int e1

routerA(config-if)# ip access-group 120 in routerA(config-if)# no shutdown routerA(config-if)# end

routerA# copy running-config startup-config / 实现配置文件之保存 / 方法二：使用VTY虚拟终端线路：

routerA(config)#access-list 58 deny any routerA(config)#line vty 0 4

routerA(config-line)#access-class 58 in

routerA(config-line)#end

routerA#copy running-config startup-config / 实现配置文件之保存 /

说明：

以上两种方法都为阻止对路由器的Telnet连接。为实现之，其策略建立采用基于编号的扩展ACL控制技术，以更加详细、清晰的表达而为学员所识。另外为实现目的，策略的建立亦采用了传统的标准ACL(基于编号的标准ACL)控制技术。

网络工程---实训手册

典型案例三：

(四). Frame Relay(帧中继)----实验可选：

帧中继是一种ITU-T（国际电信联盟-电信标准部）和ANSI（美国国家标准协会）标准，定义了通过公共数据网络（PDN）传输数据的流程。帧中继属于广域网连接技术包交换(或分组交换)的一典型的例子，其使用虚电路(Virtual Circuit)提供端到端的连通性，其物理连接是由统计复用程控交换设备所完成。 实验环境：

配置一台路由器为帧中继交换机，另外两台为帧中继终端用户，通过连接到帧中继交 换机，验证广域网(帧中继网络)的连通性： 路由器作帧中继交换机，配置如下： 配置为帧交换机： frame-relay switching

网络工程---实训手册

S0端口封装：

interface serial0

encapsulation frame-relay {cisco|ietf} 说明：

INETRNET 工程任务组(IETF)

no shutdown

clock rate 64000

frame-relay lmi-type {cisco|ansi|q933a} ;设定LMI及其类型 (使用IOS 11.1及以下版本必须添加此命令)

说明：

LMI(本地管理接口)协议用于建立和维护路由器和帧交换机之间的连接，LMI协议还用于维护虚电路，包括虚电路的建立、删除和状态改变等。 支持的三种LMI类型如下：

 Cisco：由Cisco、StrataCom、北方电讯和字据设备公司（被称为“四人帮”）一起定义的LIM类型；

 Ansi：ANSI标准T1.617附录D定义的LIM类型；  q933a：ITU-T Q.933附录A定义的LIM类型；

frame-relay intf-type dce /* 设置同步串行接口Serial0为DCE接口 */ 建立帧交换表：

frame-relay route 100 interface serial1 200

说明：

 此命令是创建正确的DLCI转发规则，这些规则指定一个帧进入某个DLCI特定接口时，它将被转发到另一个接口和DLCI。以上指的是在接口S0上接受的任何具有DLCI 100的帧都将被转发到具有DLCI 200的接口S1上；

 DLCI (Data Link Connection Identifier) 数据链路连接标识符，它是帧中继帧格式中地字段的一个重要部分之一。DLCI字段的长度一般为10bit，但也可扩展为16bit，前者用二字节地址字段，后者是三字节地址字段。23bit用四字节地址字段。DLCI值用于在同一物理链路上唯一标识每一个虚电路（VC）、呼叫控制或管理信息，DLCI只具有本地意义；  一个接口即一条物理链路最多可以配置4095条虚电路(Virtual Circuit)，虚电路分为SVC(交换虚电路)和PVC(永久虚电路)。 #show frame-relay route /* 通过命令显示所建立的交换表 */ S1端口封装：

Interface serial1

encapsulation frame-relay {cisco|ietf}

网络工程---实训手册

no shutdown clockrate 64000

frame-relay lmi-type {cisco|ansi|933a} ;LMI类型 (使用IOS 11.1及以下版本必须添加此命令)

frame-relay intf-type dce /* 设置同步串行接口Serial1为DCE接口 */ 建立帧交换表：

frame-relay route 200 interface serial0 100 /* 此命令指的是在接口S1上接受的任何具有DLCI 200的帧都将被转发到具有DLCI 100的接口S0上 */ 路由器A/B的配置：

interface serial0

ip address A.B.C.D 255.255.255.0 /* 设定同步串行接口接口地址 */

encapsulation frame-relay {cisco|ietf} no shutdown

frame-relay lmi-type {cisco|ansi|q933a} ;LMI类型 (使用IOS 11.1及以下版本必须添加此命令) 建立MAP地址映像表实现端到端的连接：

建立地址映像表可用动态或静态两种映像方式。若路由器不支持反向ARP或想控制PVC上的广播和多播数据流，必须静态地定义远程地址到DLCI的映像条目，即为静态映射(Static map)：

frame-relay map ip A.B.C.D 100 brordcast ； /* A.B.C.D 为下一跳地址， 100 为本

地DLCI号 */

说明：

建立地址映像的命令和物理接口相同，可以使用静态或动态地址映像。地址映像只有在点到多点的情况下才需要配置。

验证与观察Frame Relay连通性：

Show int s0 或 s1 显示帧中继连接的状态和信息；

Show frame-relay pvc DLCI-number 显示帧中继连接及相关数据流的统计信息； Show frame-relay map 显示帧中继映射条目；

Shoe frame-relay lmi 显示有关LMI数据流的统计信息； ping 对方(与本地路由器相连的相邻路由器)的广域网端口地址。

网络工程---实训手册

(五)、反身访问控制技术

反身访问列表（reflexive access list）从IOS 11.3开始引入，现在的各平台上都有该特征。反访问列表提供了一种保留已存在连接状态信息的方式。我们都知道传统的访问列表没有方法可以判断一个报文是否为一个已存在连接的一部分（亦，普通的ACL均不具备检测会话状态的能力）。反访问列表可根据上层会话信息对IP数据包进行判断、评估，通过建立动态的、临时的表项可以弥补这个不足。

当一个新的IP对话从内部网络发往外部网络时，反访问列表可以被触发。随即反访问列表产生一个新的、临时的开启表项。如果流量是原有会话的一部分的话，新的表项可以允许流量进入网络。这个被创建的可临时表项拥有以下特征：  表项总是Permit的；

 表项指定了与原来的向外报文相同的协议（例如：TCP、UDP、ICMP、或IP等）；  新的表项交换源和目的IP地址；

 新的表项还交换源和目的端的上层端口号（对ICMP而言，使用类型号）；  如果会话被关闭，或空闲超时，则表项将自动清除。祗有TCP对话可以通过监视报文中的FIN

或RST位而主动关闭。UDP等其它协议必须空闲超时才会被关闭。 图中，反身ACL可以应用在RTE的外部接口S0/1上，这样流入流量就可以在它进入路由器之前被评估。

至此利用反身ACL实现常见的过滤需求，即使源于指定网络的会话中的IP数据包得以通过，而使源于外部网络的会话中的IP数据包被拒绝。反身ACL更适合应用于对真实会话的过滤。当反

网络工程---实训手册

身ACL被配置后，当出现新的IP上层会话（例如TCP或UDP）时，它被触发。它借租通过外部网络的数据包，从内部网络初始化。该命令的语法格式：

Router(config)# ip access-list extended name

Router(config-ext-nacl)# permit protocol any any reflect name [timeout seconds] Router(config)# ip access-list extended name Router(config-ext-nacl)# evaluate name

Router(config)# interface interface number

Router(config-if)# ip access-group { number | name} { in | out }

说明：以上name是reflect组的名字，具备相同reflect组名字的所有的ACL条目为一个reflect组，即name为之后反身ACL(临时表项、动态的生成)的名称。 现以具体实例进行讲解：

企业A为保证自身网络的安全，以防止所有Internet用户访问自身网络，由于目前业务需求，企业A需要从Internet上获取业务数据等。至此我们的网管在接到这个需求后就在与外网相连的路由器2611上做了如下的配置：

2611(config)#ip access-list extended acl1

2611(config-ext-nacl)#deny ip any 192.168.1.0 0.0.0.255

2611(config-ext-nacl)#permit ip any any 2611(config)#interface serial 0/1

2611(config-if)#ip access-group acl1 in

配置做完后，测试了一下，于外部网络用户B及C确实访问不到内网A（即192.168.1.0/24网段）了；但同时内网亦不可访问外部网络(如用户B及C)。这是怎么回事呢？

让我们回忆一下，在两台主机A与B之间要实现通讯，需要些什么条件呢？答案是既需要A能向B发包，也需要B能向A发包，任何一个方向的包被阻断，通讯都不能成功，在我们的例子中就

网络工程---实训手册

存在这样的问题，内部网络访问外部网络时，包到达外部网络的主机（如用户B或用户C），由这些主机返回的包在到达路由器2611时，由于普通（传统）的ACL均不具备检测会话状态的能力，就被deny ip any 192.168.1.0 0.0.0.255这条ACL给阻断了，所以访问不能成功。

要想实现真正意义上的单向访问控制应该怎么办呢？我们希望在内部网络A访问外部外部网络时，能在外部网络的ACL中临时生成一个反向的ACL条目，这样就能实现单向访问了。这里就需要使用到反身ACL控制技术。我们可以按照如下配置实例以满足刚才的那个单向访问需求，即实现真正意义上的内网A访问外部网络，而外部网络不能访问内部网络A： 2611(config)# ip access-list extended acl2

permit tcp 192.168.1.0 0.0.0.255 any reflect rename timeout 120 permit udp 192.168.1.0 0.0.0.255 any reflect rename timeout 130 permit icmp 192.168.1.0 0.0.0.255 any reflect rename timeout 13 permit ip any any 2611(config)# interface FastEthernet0/0 2611(config-if)# ip access-group acl2 in 2611(config)# ip access-list extended acl1

evaluate rename

deny ip any 192.168.1.0 0.0.0.255 permit ip any any 2611(config)# interface serial 0/1

2611(config-if)#ip access-group acl1 in 验证：

外部网络（如用户B及用户C）不能访问内部网络A，而内部网络A能访问外部网络，方案实施成功。

通过命令Show ip access-list显示配置的所有访问列表，及当实现站点与站点构成通讯前后的所有表项：

无站点之间的通讯

网络工程---实训手册

PC1访问用户C

总结（后记）：

在上面的实验当中如果把evaluate rename与deny ip any 192.168.1.0 0.0.0.255 位置交换下，而出现为：

2611(config)# ip access-list extended acl1

deny ip any 192.168.1.0 0.0.0.255 evaluate rename permit ip any any 2611(config)# interface serial 0/1

2611(config-if)#ip access-group acl1 in

此时对网络进行测试，得结果：

所有节点都不能相互访问，不能PING通对方。

将evaluate rename放回列表之初位置，结果又和第一次同样，测试成功！！！

分析：

2611(config)# ip access-list extended acl1

evaluate rename

deny ip any 192.168.1.0 0.0.0.255 permit ip any any

2611(config)# ip access-list extended acl2

permit tcp 192.168.1.0 0.0.0.255 any reflect rename timeout 120 permit udp 192.168.1.0 0.0.0.255 any reflect rename timeout 130 permit icmp 192.168.1.0 0.0.0.255 any reflect rename timeout 13 permit ip any any

ACL的执行顺序是按照从上往下的顺序一条条执行的，如把实验中把蓝色部分和红色部分互换了一下，结果是所有的PC均不能ping通对方，因为ACL acl1中的顺序变成了先是deny ip any

网络工程---实训手册

192.168.1.0 0.0.0.255，然后才是匹配evaluate rename，因为无论标准的ACL和扩展的ACL都是双向的，况且先执行deny ip any 192.168.1.0 0.0.0.255语句，就把流量都拒绝掉了，也不会去执行下一条了。

把顺序调换回来后，先执行evaluate rename这条，有符合rename这个reflect组中所定义的acl条目的流量发生时，在evaluate语句所在的当前位置动态生成一条反向的permit语句，假如没有符合rename这个reflect组中所定义的ACL条目的流量的时候，会执行下一条语句，即deny ip any 192.168.1.0 0.0.0.255这条即会把非定义通过的流量拒绝掉，实现单向访问！ 综上所述，在配置ACL的时候一定要注意条目先后的顺序排放！！！！ 现在对反身ACL新增加的内容一一作详细解释：

 新增了一个ACL(acl2)并应用在具备访问权限的接口下的in方向，使用该acl中具备reflect关键词的acl条目来捕捉建立反身ACL条目所需要的信息。我们将该ACL称为主ACL。  reflect rename timeout xxx ：其中的reflect关键词表明该条目可以用于捕捉建立反身ACL条目所需要的信息。rename是reflect组的名字，具备相同reflect组名字的所有的ACL条目为一个reflect组。timeout xxx表明由这条ACL条目所建立起来的反身ACL条目在没有流量的情况下，多长时间后会消失（缺省值为300秒），单位为秒。

 evaluate rename ：我们注意到在acl1(我们把它称为反ACL)增加了这样一句，此条语句表明在有符合rename这个reflect组中所定义的acl条目的流量发生时，于evaluate语句所在的当前位置动态生成一条反身/反向的permit语句。 反向ACL的局限性：

 必须使用命名的ACL（而命名的ACL必须在IOS 11.2以后的版本），其实这不能叫局限性，

应该算注意事项吧；

 对多信道应用程序如h323之类无法提供支持。

附，h323：

现在常用的网络会议软件和网络电话软件采用的是国际电信联盟（ITU-T）制定的H.323协议族，其中包括H.225，H.245，Q.931等，另外还有IETF制定的SIP（会话启动协议），SIP协议采用与http类似的文本命令形式，而且协议比较简单，是未来网络电话和实时通讯的方向。但由于H.323出现较早，已经有很多商业应用，比如微软的NetMeeting采用的就是比较成熟的H.323，另外中国的电信企业实施IP电话也适用的H.323协议。所以H.323还将会在长时间内和SIP同时存在。

　　H.323标准定义了一个在基于分组的网络上进行灵活的、实时的、可交互的多媒体通信协议集。个人计算机能在包交换网络（网际网和内部网）和电路交换网络上传输音频、视频和数据。 　　

(六)、使用时间范围的时基ACL

网络工程---实训手册

随着网络的发展和用户要求的变化，从IOS12.0开始，CISCO新增加了一种基于时间的访问列表。在IOS版本12.0以前，Cisco路由器上还没有程序可以让管理员基于一天中的不同时间而建立不同的策略。而基于时基的ACL即能提供此功能，以实现一天中的不同时间或者根据一星期中的不同日期（当然也可以二者结合起来）控制网络数据包的转发。在使用访问表实现许多其它的Cisco特征，如基于策略的路由、排队和拨号要求时，基于时基ACL亦提供了更多的灵活性。同样，与其它特征不一样的，基于时间的访问表被所有的Cisco平台所支持。

使用基于时间的访问表的主要目的是根据一天中的不同时间，或者根据一星期中的不同天，或者二者的结合，来控制对网络资源的访问。基于时间的ACL允许网络管理员对流入网络和流出网络的数据进行附加的控制。网络管理员对周末或工作日中的不同时间段定义不同的安全策略。另外，这种基于时间的数据流过滤实现方法使得网络管理员对组织中的策略和过程更具有敏感性。例如，某些组织可能希望所有的或特殊的雇员在通常的业务时间之后可以进行Web冲浪。基于时间ACL使得满足组织的这种需求变得容易。另外它的一个示例是在不同的时间段内通过服务类型（Type of service,TOS）域改变数据。读者还可以使用基于时间的访问表来控制日志消息，以记录不同时间段的行为。这样，基于时间的访问表提供了一种改变报文过滤的机制，它能够满足公司的某些需要。 基于时间的访问表对于编号访问表和命名访问表都适合。实现基于时间的访问表只需要简单的步骤：

 首先，于命令Time-range正确地指定时间范围，通过使用absolute或者一个或多个periodic

语句来定义具体时间范围。其IOS命令（语法）格式如下：

time-range [time-range-name]

absolute [start time date] [end time date] 或 periodilc days-of-the-week hh:mm to [days-of-the-week] hh:mm

 其次，在访问列表中引用定义好的时间范围。 说明：

时间范围通过名称标示，而后被函数引用。因此事件限制由函数本身利用。时间范围依赖于路

由器的系统时钟。虽然可以使用路由器时钟，但它与网络时间协议（NTP）工作最佳。 以上命令格式中各域之意义如下：

time-range-name 用来标识时间范围的，以便在访问表中进行引用的名称； time 以小时和分钟方式（hh:mm）输入的时间；

date 以日/月/年方十输入的日期；

days-of-the-week 产生作用的某天或某几天；其参数可以是单一的天（如Monday），某几天

（Monday，Friday），或daily，weekdays或weekend。 为了更好地理解Time-range命令，以及在absolute和periodilc语句中对不同变量的使用，下

面将对命令和各语句进行详细阐述。

网络工程---实训手册

1）、time-range命令

time-range命令用来将名字与使用一个absolute或者一个或多个periodilc语句定义的时间范围

联系起来。若要将时间范围命名为Hwadee，则有：

time-range Hwadee

一旦使用了time-range命令，并且为该范围指定了名称，随即可使用absolute和/或periodilc语句定义与名称相关联的时间范围了。现将一一阐述这些语句。

2）、absolute语句

absolute语句指定绝对时间范围。absolute关键字后紧跟着start和end两关键字。若希望访问表中相关的permit或deny语句生效，则start和end之后应紧跟开始和结束时间。时间以24小时的格式指定，而日期用日/月/年格式表示。{一定注意格式的正确性} 。若去掉了start或end日期，则有：若去掉开始日期时，与之相联系的permit或deny语句会立即产生作用；而去掉的是结束日期时，则与之相关联的permit或deny语句会永远产生作用。因此在配置时诸格式及变量都十分重要，得谨慎实施。

示例：

为说明absolute命令的使用方式，假如我们只在5:00 p.m到7:00 a.m之间允许HTTP流量，则有： absolute start 17:00 end 07:00

在本示例中，时间范围为每一天的5:00 p.m到7:00 a.m，除此之外没有其它的限制。

这样除非手工删除，该时间范围将一直保持有效。现在我们又假设这样的情况，其网管计划外出，希望在7月1号的早上7:00自动删除时间范围产生的效果，而不用回到办公室去作这件工作。假如今天是4月21号，而此网管希望该语句下午5:00产生作用。则absolute语句将变成：

absolute start 17:00 21 April 2008 end 07:00 1 June 2008 此处一定注意语法规则，即前面提到的start和end关键字与时间、日期的联系；另外从逻辑上结束时间必须在开始时间、日期之后指定。

3）、periodic语句

尽管一个时间范围只能有一个absolute语句，但它可以有多个periodic语句。另外，absolute语句只拥有开始和结束时间以及日期等少数几个参数，而periodic语句允许使用大量的参数，其范围可以使一星期中的某一天、几天的结合，或者使用关键字daily、weekdays和weekend等。以下为periodic语句中可以使用的每星期中天数的参数。

参 数 意 义

Monday、Tuesday、Wednesday、Thursday、Friday、某一天或某几天的结合

Saturday、Sunday； Daily

从星期一到星期天（每天）

网络工程---实训手册

Weekday Weekend

从星期一到星期五 星期六和星期日（周末）

示例：

同样，为说明periodic命令的使用方式，假如我们如示例：希望在周末（从星期六早上7:00到星期日晚上6:30）限制Web访问。为达到此目的periodic语句有如下：

Periodic weekend 07:00 to 18:30

注意，因为关键字weekend表示星期六和星期日，所以只要再指定开始时间和结束时间就可以了；IOS能够将开始时间与星期六联系起来，而将结束时间与星期日联系起来。

作为periodic语句的第二个示例，假若要指定从9:00 a.m到5:00 p.m（星期一到星期五）的时间范围。为此有periodic语句：

Periodic weekday 09:00 to 17:00

作为periodic语句的第三个示例，假若要指定从10:00 a.m到4:00 p.m（一周的每一天）的时间范围。为此有periodic语句：

Periodic daily 10:00 to 16:00

作为periodic语句的第四个示例，假若有：时间范围从星期六晚上5:00开始，结束于星期一的早上7:00。注意，这样的一段时间不适宜于用daily、weekdays或weekend关键字建立从星期六晚上5:00到星期日凌晨的一段时间，而第二个periodic语句将使用Monday作为参数，如下所示：

Periodic weekend 17:00 to 24:00 Periodic Monday 00:00 to Monday 07:00

作为使用两个Periodic语句的一种替代方法，我们也可以使用一条语句，它以Saturday作为开始时间参数，以Monday作为结束时间参数。如下所示：

Periodic saturday 17:00 to Monday 07:00

尽管可以使用单个Periodic语句作为多个Periodic语句的替代语句，但只是时间段连续时才可以如此使用。例如，假如我们要再每个工作日的晚上11:00到午夜，以及在周末中，从星期六早上7:00到星期日的晚上8:00阻塞对Web服务器的访问，在这样情况下，我们就可以使用多个Periodic语句。

注意事项：

 时间范围要依赖于路由器的系统时钟。因此为使用带时间范围的访问表能正确达到网管人员预期希望之目的，除建立准确的时间范围及访问策略外，还得使设备（路由器）拥有正确的时钟设置。此，我们可以使用NTP和硬件日历达到目的。在路由器上设置始终：Router#clock set hh:mm:ss date 其中日期用日/月/年格式表示。于路由器上显示时钟讯息，显示简要讯

网络工程---实训手册

息：Router#show clock 或显示详细讯息：Router#show clock detail。

 另外一个注意事项是在一个time-范围命令中同时使用absolute和periodic语句。在这样的情况下，只有在匹配绝对开始时间之后再匹配periodic语句。而且，若以经超过了绝对结束时间，则periodic语句就不再进一步匹配。为说明此概念，如下： 假如要指定的时间范围为从星期六的早上7:00到星期日的下午5:30，日期为2007年7月1号到2007年10月31号。要建立这样的时间段，首先要使用absolute语句来定义开始和结束日期。然后使用periodic语句来定义前面提到的周末时间段。这样，time-范围命令和absolute、periodic语句将如下：

time-range Hwadee

absolute start 07:00 1 July 2007 end 17:30 31 October 2007 periodic weekends 07:00 to 17:30

 以上都在作时间范围建立之介绍，当时间范围建立后，则传统或命名等访问列表即可通过可选关键字“time-range”实现其引用。

典型案例一：

于下图所示，因业务所需企业A某网管希望在2008年4月21号下午7:45到7:47两分钟内于公司服务器192.168.1.2/24上下载某数据，于是在之前其在路由器2611上作相关策略配置：

2611(config)# time-range ipfangwen

2611(config-time-range)# absolute start 19:45 21 April 2008 end 19:47 21 April 2008 2611(config)# access-list 158 permit ip any any time-range ipfangwen 2611(config)#interface serial 0/1

2611(config-if)#ip access-group 158 in 验证：

在其作完配置后显示系统时钟及访问列表：

网络工程---实训手册

以上状态亦不能实现外部节点访问内部服务器192.168.1.2/24，而当时间到达指定时间时能实现其访问，并有状态讯息：

而当时间超出指定范围后，网络的访问状态又回到初始情况，亦不能实现其访问，并有讯息：

网络工程---实训手册

典型案例二：

如图所示的网络中，路由器有以太网接口E0和E1，分别连接着202.111.150.0/24和

202.222.100.0/24两个子网络，其中202.111.150.50/24和202.222.100.100/24分别为WEB服务器1和WEB服务器2；外网口S1，连入Internet。为了让202.111.150.0/24子网公司员工在工作时间不能进行WEB浏览，从2007年12月1日零点到2007年12月31日晚24点(即2008年1月1日0:00之前)这一个月中，祗有在周六早上6点到周日晚上11点才可以通过公司的网络访问Internet。至此有如下配置以实现其功能：

3640(config)# time-range http

3640(config-time-range)# absolute start 0:00 1 Dec 2007 end 0:00 1 Jan 2008 3640(config-time-range)# periodic Saturday 6:00 to Sunday 23:00 3640(config)# access-list 158 permit tcp any any eq 80 time-range http 3640(config)#interface ethernet 0

3640(config-if)#ip access-group 158 in 分析：

于上策略配置中定义时间范围http，并结合于扩展访问列表158控制策略之中得以引用以达方案实施之目的。此处因为是要控制WEB访问的协议，所以必须要用扩展列表，也就是说，编号在100-199之间，即取之158。 典型案例三：

网络工程---实训手册

网络结构同上例，现在假设我们的访问要求变了，服务器WEB2（202.222.100.100/24）上放着的是新年贺岁版的公司主页，现希望在2007年12月31日24点前(即2008年1月1日0:00之前)，Internet的用户访问的是服务器WEB1（202.111.150.50/24）上的主页内容，而不能访问WEB2上的内容。在此之后的新年里，访问的是新年版主页而不能访问旧版本的主页。那么，利用带有时间控制的访问列表来自动实现这个功能，而再也不用让网管人员在新年半夜时跑去公司实现其策略的手动删除了。此访问列表具体配置如下：

3640(config)# time-range changeweb

3640(config-time-range)# absolute end 0:00 1 Jan 2008

3640(config)# ip access-list extended web

3640 (config-ext-nacl)# permit tcp any host 202.111.150.50 eq 80 changeweb 3640 (config-ext-nacl)# deny tcp any host 202.222.100.100 eq 80 changeweb 3640 (config-ext-nacl)# permit tcp any host 202.222.100.100 eq 80 3640(config)#interface serial 1

3640(config-if)#ip access-group web in 分析：

首先定义一个时间范围名称为changeweb，并指定其具体时间范围。其次是定义扩展名称访问列表web，并制定其策略表示在新年前，只能允许访问WEB1（即第四、五句表明

了此意）；随即再建策略允许所有到WEB2的web访问（即第六句表明了此意）。由上列表项可见第六句没有引用任何时间范围，即表明在没有时间限制的情况下全部允许了WEB2的访问。最后实现访问列表web的应用，于Serial 1的入口方向，表示数据流入路由器的时候做协议控制分析并判断，以达方案最终实施之目的。

在此实施中定谨记，访问控制列表的每一个表项的顺序是很重要的，它是从上到下执行的。这样，在新年之前，也就是第四、五句起作用的时候，访问WEB2的要求已经被禁止了，至此，第六句就不再执行；而在新年之后，第四、五句失效了，第六句则发挥其作用，为此表明允许所有对WEB2的访问请求，而拒绝或不再响应对WEB1服务器的访问，因为我们第六句只允许访问WEB2，其隐含的意思就是，其余的全部禁止。 总结：

于我们的想法都都被CISCO路由器实现。即合理有效的利用基于时间的访问控制列表，可以更有效、更安全、更方便的保护我们的内部网络。 [附件]：

January（Jan），February（Feb），March（Mar），April(Apr)，May，June，July，August(Aug)，September(Sept)，月份：

October(Oct)，November(Nov)，December(Dec)。

(七)、锁和密钥(动态)ACL

网络工程---实训手册

动态访问列表通常又称为lock-and-key安全。它是cisco IOS的一种安全特性，它使用户能在路由器或防火墙中临时打开一个缺口，而不会破坏其它已配置的安全限制。该特性通过一种被称为动态访问控制列表的扩展访问控制列表来配置。

动态访问控制列表使指定的用户能够获得对受保护资源的临时访问权，而不管它们是通过什么IP源地址进行访问。在配置之后，lock-and-key特性将修改接口上的现有IP访问控制列表（动态的生成临时的acl），以让它允许指定用户的IP地址访问特定的目的地。在用户切断连接之后，lock-and-key特性将复原该访问列表(即动态的生成的acl消失)。

为了让lock-and-key特性能工作，用户必须先要telnet到路由器上（即建立一个到Cisco路由器的Telnet会话），telnet给用户一个机会来告诉路由器它是谁（即需通过用户名和口令对用户进行认证），以及它目前所使用的源IP地址。如果用户成功地通过认证，路由器将随即关闭所建立起来的Telnet会话，并在向内的访问列表中增加一个动态的表项，该表项将允许来自用户工作站的报文。 注，此过程将在特定的时间段内（空闲和绝对超时是可能的）允许流量通过。在空闲的时间过长，或连接超时时，表项会被动态的清除。用户的授权可以通过路由器自身的用户数据库，或TACACS+、Radius数据库进行。而被授权临时通过路由器进行访问的范围，由动态访问控制列表的配置所决定。

下面的步骤总结了lock-and-key的操作：

 用户向一台配置了lock-and-key特性的路由器或防火墙等设备发起一个telnet会话；（用户

的连接通过设备上的某条vty线路进行）  cisco IOS收到telnet数据包，打开一个telnet会话，提示用户输入用户名及口令，即执行一

个认证过程。认证可以由路由器本身或通过一台安全服务器（如tacacs+或radius服务器）执行。当一个用户通过了认证之后，该telnet会话随即被切断，ios软件将在动态访问控制列表中创建一个临时性条目；（根据具体的配置，该临时性条目可以限制用户被授权临时访

网络工程---实训手册

问权的目的网络范围）

 用户通过路由器中的临时“通道”交换数据；

 当达到了一个预先配置好的超时限制后，或当管理员手工清除它时，ios软件就删除该临时

性访问控制列表条目。此超时限制可以是一个空闲超时值，或一个绝对超时值。临时性访问控制列表条目不是在用户结束一个会话后自动被删除的，其在达到超时限制或被系统管理员手工清除之前将一直存在。 具体（关键）配置命令如下：

1、设置动态ACL，于全局配置命令：

router(config)#access-list access-list-number dynamic dynamic-name timeout minutes

{deny|permit} protocol {source source-wildcard} {destination destination-wildcard} 说明：dynamic表示使用动态acl。timeout为连接指定绝对超时时间。源IP地址总是使用认证主机的IP地址来替换，所以我们在动态表项中定义的源地址总是使用关键词any。 2、扩展动态ACL的绝对计时器(可选)：

router(config)# access-list dynamic-extend

3、对验证的锁和密钥进行配置：

router(config)# username username password password 4、定义VTY线路：

router(config)# line vty line-number 5、采用本地认证或TACACS+认证方式：

router(config -line)#login { local | tacacs }

6、创建临时性的访问许可权限：

router(config -line)# autocommand access-enable host timeout minutes 或：router(config )#

username username autocommand access-enable host timeout minutes

注意：在使用autocommand命令时要使用参数host。若不使用host参数，动态表项就不会替换动态表项中认证主机的源IP地址，这样，就会允许任何主机都能通过动态表项，我们也就不能达到使用动态ACL的目的。其中time-out命令可指定空闲超时时间(限制)，其为可选，若没有time-out参数，动态的表项就不会过期，而永远处于激活状态，直到路由器下一次重新启动。 7、应用（激活）动态ACL：

router(config )#interface interface-type number

router(config –if)#ip access-group { number | name} { in | out }

补充(说明)：

网络工程---实训手册

通过以上的配置，我们阻止了管理员通过通常的Telnet会话来对路由器进行远程管理。因为所有为路由器而启动的Telnet会话都会被（路由器）认为是试图要建立（开启）一个动态表项，而使得Telnet会话最终在认证之后，很快被关闭。为解决此问题并同时又得顺利实现动态ACL之目的，可通过在某些VTY线路夏使用命令：rotary 1。如下配置讯息：

router(config)# line vty 3 4 router(config -line)#login local router(config -line)#rotary 1

命令rotary 1的使用使得管理员可以通过普通的Telnet访问路由器的端口3001。当试图通过Telnet会话访问路由器时，有如下使用格式： telnet 193.158.1.1 3001

随即被提示键入本地用户名及口令，并实现最终的telnet会话连接。注意以上之配置，我们只指定了VTY的线路3和线路4，并没有使用autocommand命令。在作此配置之前，我们应该选择合理的VTY线路，以保证动态ACL正确的应用，并有正常的Telnet会话连接以实现对路由器的管理。

典型案例：

router(config)# username test password cisco

router(config)#access-list 158 permit tcp any host 193.158.1.1 eq 23

router(config)#access-list 158 dynamic Hwadee timeout 10 permit ip any any router(config)#interface serial 1

router(config-if)#ip access-group 158 in

router(config)#line vty 0 4 router(config -line)#login local

router(config -line)# autocommand access-enable host timeout 5

或：router(config )#username test autocommand access-enable host timeout 5

为正确的使用动态ACL，并达其目的；同时亦能使得管理员远程登陆于路由器实现其管理，有如下配置：

router(config)# username test password cisco

router(config)#access-list 158 permit tcp any host 193.158.1.1 eq 23

router(config)#access-list 158 dynamic Hwadee timeout 10 permit ip any any

router(config)#interface serial 1

router(config-if)#ip access-group 158 in

router(config)#line vty 0 2 router(config -line)#login local

router(config -line)# autocommand access-enable host timeout 5

网络工程---实训手册

router(config)#line vty 3 4 router(config -line)#login local router(config-line)#rotary 1

(待续)

配置HSRP----原理

★ 采用HSRP进行备份的一组路由器共享一个虚拟的MAC地址及虚拟IP地址，每个参与HSRP的局域端口有一个本端口的IP地址和MAC地址，每个路由器都有一个权值，权值最高的作为主路由器进行工作，其它的不工作，当主路由器瘫痪时，第二个权值最高的路由器将作为主路由器，依次类推。路由器之间定期交换权值信息以确定路由器的工作状态。如果主路由器在一段时间内不发送这种信息包，其它备份路由器将认为该路由器已坏，权值较高的备份路由器将接管虚拟MAC地址和IP地址，并负责传输数据。一旦主路由器恢复正常，将自动切换回去，重新接管传输数据的工作，之后备份路由器停止传输，处于备份状态。

★ HSRP允许路由器对某些端口的工作状态进行监测，一旦这个端口出现故障，也进行自动切换。 ★ 对于局域网的计算器，它们的网关只有一个，即虚拟 IP 地址。 ★ HSRP适应于主路由器与备份路由器的线路完全一致的情况。

★ 使用HSRP功能，建议采用收敛速度较快的动态路由协议，如OSPF，EIGRP。

配置HSRP----配置步骤

1、在端口配置下，设置端口 IP 地址： ip address端口 IP 地址 子网掩码

2、在端口配置下，启用 HSRP 功能，并设置虚拟 IP 地址 standby 组号 IP 虚拟 IP 地址

其中只有有相同组号的路由器属于同一个hsrp组，所有属于同一个hsrp组的路由器的虚拟地址必须一致

3、在端口设置状态下设置HSRP抢占 standby 组号 preempt

该设置允许权值高于该hsrp组的其它路由器成为主路由器。所有该组路由器都应该设置此项，以便每台路由器都可以成为其它路由器的备份路由器。如果不设置该项，即使该路由器权值再高，也不会成为主路由器。

网络工程---实训手册

4、设置路由器的hsrp权值

standby 组号 priority 权值

如果不设置该项，缺省权值为100，其中权值数字大，则抢占为主路由器的优先权越高。 5、设置hsrp组路由器身份验证字符串

standby 组号 authentication 字符串 如果设置该项，则该hsrp组的所有路由器都必须进行该项设置，且只有有相同字符串的该组路由器才能进行hsrp功能。 6、设置hsrp切换时间

standby 组号 时间参数１ 时间参数２

其中时间参数1表示路由器每间隔多长时间交换一次hello信息，参数２表示在多长时间内同组的其它路由器没有收到主路由器的信息，则宣布主路由器瘫痪。如果要更改缺省值，所有同hsrp组的路由器的该项设置必须一致。 7、端口跟踪设置

standby 组号 track 端口号

该设置表示如果所监测的端口出现故障，则也进行路由器的切换。可以跟踪多个端口。

配置HSRP----配置举例

Router-1与Router-2互为路由器备份

Router-1：

interface FastEthernet0

ip address 192.168.1.2 255.255.255.0

no ip redirects / 关闭ICMP复位向功能 / standby 1 timers 5 15 standby 1 priority 110 standby 1 preempt

standby 1 authentication cisco standby 1 ip 192.168.1.1

网络工程---实训手册

standby 1 track Serial0 standby 1 track Seriall

Router-2：

interface FastEthernet0

ip address 192.168.1.3 255.255.255.0 no ip redirects

standby 1 timers 5 15 standby 1 priority 100 standby 1 preempt

standby 1 authentication cisco standby 1 ip 192.168.1.1

在以上有条：

no ip redirects / 关闭ICMP复位向功能 /

在Cisco IOS 软件12.1.3.T 和更高版本中，改造了HSRP以支持ICMP复位向。IOS以前的版本要求关闭ICMP复位向。即，在运行HSRP时，终端用户不能发现作为默认网关目的MAC的路由器真实MAC地址是十分重要的。必须关闭任何将路由器的真实地址告诉主机的协议。为了确保不会发现参与HSRP路由器的真实地址，在一个Cisco路由器接口上启动HSRP会自动关闭该接口上的ICMP复位向。

另有实验内容（具体实验案例步骤正于修订之中）：

   

4.8.3 开放最短路径优先（OSPF）

OSPF（Open Shortest Path First）是一个由网间工程任务组织（IETF）的内部网关协议工作组为IP网络开发的一种链路状态路由协议，它也是一种内部网关路由协议（IGP）。

链路是路由器接口的另一种说法，因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。

为实现网络之通信，采用路由器协议OSPF实现前期路由表的建立及管理，其相关配置命令如下： !---于路由器全局配置模式指定使用OSPF路由协议： Router(config)# router ospf process-id NAT

多区域的OSPF； 路由重发布； 策略路由；

网络工程---实训手册

说明：OSPF路由进程process-id必须指定范围在1—65535之内，多个OSPF进程可以在同一个路由器上配置，但最好不这样做。多个OSPF进程需要多个OSPF数据库的副本，必须运行多个最短路径算法的副本。process-id只在路由器内部起作用，不同路由器的process-id可以不同。

!---发布与路由器直接相连的网络：

Router(config-router)# network address wildcard-mask area area-id

说明：wildcard-mask是子网掩码的反码，网络区域ID area-id为0—4294967295内的十进制数，也可以是带有IP地址格式的x.x.x.x。当网络区域ID为0或0.0.0.0时为主干域。不同网络区域的路由器通过主干域学习路由信息。

!---指定与该路由器相邻的节点地址：

Router(config-router)# neighbor ip-address 1、项目需求说明

如上项目工程示例，为实现所有分公司、分支机构网络的互联，采用了诸广域网及局域网连接技术。为达到各

网络的互联，有效的规划并建立其区域性连接，以保证网络的有效性、可靠性、安全性，分别于路由器分配路由协议OSPF，建立区域0、区域1、区域2，其连接关系如下图4-45所示。

图4-45 OSPF路由网络

2、项目环境准备

网络工程---实训手册

硬件设备如上项目所示，故此处不再作详细介绍。另在中心层交换机选择Cisco Catalyst4506交换机，并配置相关接口模块，如WS-X4306-GB、WS-X4148-RJ模块。如下图4-46到4-48所示。

图4-46 Cisco Catalyst4506部件

图4-47 WS-X4306-GB模块

网络工程---实训手册

图4-48 WS-X4148-RJ模块

3、具体实现步骤

为建立网络连接，分别于各路由器配置使用端口，分配IP及相关信息如第二层帧封装协议等。最后实现网络最终的链接，选择路由协议实现路由信息的选择并最终网络之通信。关于以上4-70网络的建立有关键配置信息： 在路由器RZ1上有关键配置：

！---配置路由协议为Ospf，并指定其路由进程号为1： RZ1(config)# router ospf 1

！---发布其直连网段，即通告已知网段信息，并指定其网络区域： RZ1(config-router)# network 195.1.1.0 0.0.0.255 area 1 RZ1(config-router)# network 193.16.6.0 0.0.0.255 area 1 RZ1(config-router)# network 192.168.10.0 0.0.0.255 area 0 ! !

在路由器RB上有关键配置：

！---配置路由协议为Ospf，并指定其路由进程号为10： RB(config)# router ospf 10

！---发布其直连网段，即通告已知网段信息，并指定其网络区域： RB(config-router)# network 172.16.10.0 0.0.0.255 area 1 RB(config-router)# network 193.16.6.0 0.0.0.255 area 1 !

网络工程---实训手册

!

在路由器RY上有关键配置：

！---配置路由协议为Ospf，并指定其路由进程号为10： RY(config)# router ospf 10

！---发布其直连网段，即通告已知网段信息，并指定其网络区域： RY(config-router)# network 172.30.10.0 0.0.0.255 area 1 RY(config-router)# network 195.1.1.0 0.0.0.255 area 1 ! ！

在中心交换机SW上有关键配置：

！---配置路由协议为Ospf，并指定其路由进程号为1： SW(config)# router ospf 1

！---发布其直连网段，即通告已知网段信息，并指定其网络区域： SW(config-router)# network 192.168.10.0 0.0.0.255 area 0 SW(config-router)# network 192.168.50.0 0.0.0.255 area 0

SW(config-router)# network 192.168.20.0 0.0.0.255 area 0 ! ！

在路由器RZ2 上有关键配置：

！---配置路由协议为Ospf，并指定其路由进程号为20： RZ2(config)# router ospf 20

！---发布其直连网段，即通告已知网段信息，并指定其网络区域： RZ2(config-router)# network 202.158.1.0 0.0.0.255 area 2

RZ2(config-router)# network 192.168.20.0 0.0.0.255 area 0彩电 ! ！ 4、项目验收

网络测试命令PING等验证网络的连通性，及特权命令Show ip protocol显示设备所运行的路由协议，Show ip

网络工程---实训手册

route 显示设备所运行的路由信息，Show ip ospf database显示OSPF数据库信息。如下所示： 路由器RZ1有路由信息：

RZ1#sh ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP

i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set

C 192.168.10.0/24 is directly connected, FastEthernet3/0 172.16.0.0/24 is subnetted, 1 subnets

O 172.16.10.0 [110/791] via 193.16.6.2, 00:15:01, Serial0/0 172.30.0.0/24 is subnetted, 1 subnets

O 172.30.10.0 [110/58] via 195.1.1.2, 00:15:01, Serial0/1

O 192.168.20.0/24 [110/112] via 192.168.10.1, 00:12:25, FastEthernet3/0 202.158.1.0/24 is subnetted, 1 subnets

O IA 202.158.1.0 [110/122] via 192.168.10.1, 00:12:25, FastEthernet3/0 C 193.16.6.0/24 is directly connected, Serial0/0

O 192.168.50.0/24 [110/58] via 192.168.10.1, 00:12:25, FastEthernet3/0 C 195.1.1.0/24 is directly connected, Serial0/1 RZ1#

其OSPF数据库信息可以显示整个网络拓扑结构（拓扑状态），如下：

RZ1#sh ip ospf database

OSPF Router with ID (195.1.1.1) (Process ID 1) Router Link States (Area 0)

Link ID ADV Router Age Seq# Checksum Link count

192.168.20.254 192.168.20.254 818 0x80000002 0xD042 2 192.168.50.1 192.168.50.1 821 0x80000005 0x5596 5 195.1.1.1 195.1.1.1 1114 0x80000004 0x4FE4 3 Summary Net Link States (Area 0)

Link ID ADV Router Age Seq# Checksum 202.158.1.0 192.168.20.254 823 0x80000001 0xC1E8 172.16.10.0 195.1.1.1 972 0x80000001 0xA0F4 172.30.10.0 195.1.1.1 1040 0x80000001 0x3C2B 193.16.6.0 195.1.1.1 1152 0x80000001 0x5638 195.1.1.0 195.1.1.1 1142 0x80000001 0x6C14

网络工程---实训手册

Router Link States (Area 1)

Link ID ADV Router Age Seq# Checksum Link count 193.16.6.2 193.16.6.2 978 0x80000003 0x5243 3 195.1.1.1 195.1.1.1 994 0x80000004 0x9A7B 4 195.1.1.2 195.1.1.2 1048 0x80000003 0x1CB3 3 Summary Net Link States (Area 1)

Link ID ADV Router Age Seq# Checksum 202.158.1.0 195.1.1.1 818 0x80000001 0xC12E 192.168.10.0 195.1.1.1 1165 0x80000001 0x547E 192.168.20.0 195.1.1.1 1166 0x80000001 0x6820 192.168.50.0 195.1.1.1 1166 0x80000001 0xFEA1 RZ1#

对于路由器RZ2有路由表的信息：

RZ2#sh ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP

i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route, o - ODR Gateway of last resort is not set

C 202.158.1.0 is directly connected, Ethernet0

O 192.168.50.0/24 [110/74] via 192.168.20.1, 00:15:17, FastEthernet0/0 O 192.168.10.0/24 [110/128] via 192.168.20.1, 00:15:17, FastEthernet0/0 C 192.168.20.0/24 is directly connected, FastEthernet0/0 172.30.0.0/24 is subnetted, 1 subnets

O IA 172.30.10.0 [110/186] via 192.168.20.1, 00:15:17, FastEthernet0/0 172.16.0.0/24 is subnetted, 1 subnets

O IA 172.16.10.0 [110/919] via 192.168.20.1, 00:15:17, FastEthernet0/0 O IA 195.1.1.0/24 [110/176] via 192.168.20.1, 00:15:17, FastEthernet0/0 O IA 193.16.6.0/24 [110/909] via 192.168.20.1, 00:15:18, FastEthernet0/0 RZ2#

其OSPF数据库信息为： RZ2#sh ip ospf database

OSPF Router with ID (192.168.20.254) (Process ID 20) Router Link States (Area 0)

Link ID ADV Router Age Seq# Checksum Link count

网络工程---实训手册

192.168.20.254 192.168.20.254 883 0x80000002 0xD042 2 192.168.50.1 192.168.50.1 887 0x80000005 0x5596 5 195.1.1.1 195.1.1.1 1182 0x80000004 0x4FE4 3 Summary Net Link States (Area 0)

Link ID ADV Router Age Seq# Checksum 202.158.1.0 192.168.20.254 888 0x80000001 0xC1E8 172.16.10.0 195.1.1.1 1041 0x80000001 0xA0F4 172.30.10.0 195.1.1.1 1109 0x80000001 0x3C2B 193.16.6.0 195.1.1.1 1221 0x80000001 0x5638 195.1.1.0 195.1.1.1 1211 0x80000001 0x6C14 Router Link States (Area 2)

Link ID ADV Router Age Seq# Checksum Link count 192.168.20.254 192.168.20.254 889 0x80000002 0xDE43 1 Summary Net Link States (Area 2)

Link ID ADV Router Age Seq# Checksum 172.16.10.0 192.168.20.254 882 0x80000001 0xA55 172.30.10.0 192.168.20.254 882 0x80000001 0xA58B 192.168.10.0 192.168.20.254 882 0x80000001 0xDBF0 192.168.20.0 192.168.20.254 892 0x80000001 0xEA18 192.168.50.0 192.168.20.254 883 0x80000001 0x4D6 193.16.6.0 192.168.20.254 883 0x80000001 0xBF98 195.1.1.0 192.168.20.254 883 0x80000001 0xD574 RZ2#

对于路由器RY有路由信息：

RY#sh ip route ospf

O IA 192.168.10.0/24 [110/112] via 195.1.1.1, 00:21:06, Serial0/0 172.16.0.0/24 is subnetted, 1 subnets

O 172.16.10.0 [110/855] via 195.1.1.1, 00:21:06, Serial0/0 O IA 192.168.20.0/24 [110/176] via 195.1.1.1, 00:21:06, Serial0/0 202.158.1.0/24 is subnetted, 1 subnets

O IA 202.158.1.0 [110/186] via 195.1.1.1, 00:18:30, Serial0/0 O 193.16.6.0/24 [110/845] via 195.1.1.1, 00:21:06, Serial0/0 O IA 192.168.50.0/24 [110/122] via 195.1.1.1, 00:21:06, Serial0/0 O IA 192.168.10.0/24 [110/65] via 195.1.1.1, 00:21:06, Serial0/0 RY#

其OSPF数据库信息为： RY#sh ip ospf database

网络工程---实训手册

OSPF Router with ID (195.1.1.2) (Process ID 10) Router Link States (Area 1)

Link ID ADV Router Age Seq# Checksum Link count 193.16.6.2 193.16.6.2 1254 0x80000003 0x5243 3 195.1.1.1 195.1.1.1 1268 0x80000004 0x9A7B 4 195.1.1.2 195.1.1.2 1319 0x80000003 0x1CB3 3 Summary Net Link States (Area 1)

Link ID ADV Router Age Seq# Checksum 202.158.1.0 195.1.1.1 1092 0x80000001 0xC12E 192.168.10.0 195.1.1.1 1439 0x80000001 0x547E 192.168.20.0 195.1.1.1 1439 0x80000001 0x6820 192.168.50.0 195.1.1.1 1439 0x80000001 0xFEA1 RY#

说明：以上OSPF区域的划分具有规律性，区域1与区域2都连接在区域0上，即区域1通过区域0成功与区域2实现连接。假若区域划分变化一下，如下图4-49所示：

图4-49 OSPF区域连接

因为我们知道，在OSPF区域运行期间，非骨干区域之间的路由必须通过骨干区域0得以实现。对上图4-C所示网络区域规划的解决方法为，通过路由配置命令在路由器RZ1与中心交换机SW之间建立虚链路。此时的虚链路被认为是属于骨干区域的，即在OSPF路由协议看来，虚链路两端的两个设备（路由器）被一个点对点的链路连在一起。在OSPF路由协议中，通过虚链路的路由信息是作为域内路由来看待的。

网络工程---实训手册

对于虚链路的建立可通过命名area area-id virtual-link router-id 实现，其相关参数如下：

 area-id ：虚链路经过的中转区域的区域ID，可以为十进制值，也可以是类似于IP地址的点分十进制格

式。没有默认值；中转区域不能使末节区域。

 router-id ：虚链路另一端的路由器的RID。此值可使用命令Show ip ospf 来获悉，并以IP地址的格式

指定它。没有默认值。

故建立虚链路后有如下图4-50所示：

图4-50 OSPF区域连接

又：

网络工程---实训手册

4.9 用例模型六：网络地址转换（NAT） 4.9.1 用户需求说明

随着Internet的迅速发展，IP地址短缺已成为十分突出的问题，同样网络的安全性、IP信息的隐蔽性受到一定的冲击。为解决如入此类问题，出现了多种解决方案，其中地址转换（NAT）就是其中的一种。其它的比如无类别域间路由（CIDR）的开发，其目的是为了有效地使用现有的Internet地址。地址短缺的根源在于IPv4中32位的编址方案，NAT和CIDR只能是缓解地址短缺的趋势，并不能真正解决问题。而IPv6的开发是一种从根本上来解决地址短缺的方案，但目前来看，IPv6投入商业运营还有一定时间，所以NAT和CIDR在目前还是非常有用的。 NAT技术的原理就是指在一个网络内部，用户可以随意分配IP地址（如我们大家知道RFC1918所指定的私有IP地址），而不需要花较高成本去申请特定IP地址（即相关公有IP地址）。 关于NAT的几个概念：

 内部本地地址（Inside Local Address）：分配给内部设备的地址（一般为RFC1918定义的私有IP地址）。  内部全局地址（Inside Global Address）：通过这个地址，外部网络可以知道内部设备，诸如此类地址往

往是由NIC或服务提供商分配的合法IP地址。

 外部本地地址（Outside Local Address）：在内部网络中看到的外部主机的IP地址，可以不是合法的地

址，来自内部可路由的地址空间。

网络工程---实训手册

 外部全局地址(Outside Global Address)：外部主机的IP地址，来自全局可路由的地址（网络）空间。 于此，我们来看看如何在路由器上配置NAT。实现NAT的配置，首先得选择NAT的配置类型，诸如静态地址转换、动态地址转换和复用动态地址转换三种方式。

 静态地址转换

静态地址转换将内部本地地址与内部合法地址进行一对一地转换，且需要指定与哪个合法地址进行转换。如内部网络有FTP服务器或WWW服务器等可以为外部用户提供服务，则这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。

 动态地址转换

动态地址转换也是将内部本地地址与内部合法地址一对一地转换，但是动态地址转换是从内部合法地址池中动态地选择一个未使用的地址来对内部本地地址进行转换的。

 复用动态地址转换

复用动态地址转换为一种特殊的动态地址转换类型，其可以允许多个内部本地地址共享一个内部合法地址。对只申请到少量IP地址但却经常同时有多个用户接入外部网络的情况，这种转换极为有用（能更大程度的节约IP地址）。

如此，对某集团公司网络如图4-10所示，为实现其公司市场拓展，需使得市场开发部（此部门有30个节点用户）通过其公司路由器RZ上Internet。如下图4-51所示。

图4-51 NAT案例配置图

以实现此功能，该公司专为其申请了一根专线，并获得服务提供商分配的12个公网IP地址，地址为202.106.11.224/28～202.106.11.233/28（注释：其中202.106.11.224/28是网络地址，其它11个地址可用）。其中市场开发部网络使用的IP地址范围为192.168.50.1/24～192.168.50.254/24，局域网端口FastEthernet 0/1的IP地址为192.168.50.254/24，子网掩码为255.255.255.0；连接ISP的端口Serial0/0的IP地址为

网络工程---实训手册

202.106.11.236，子网掩码为255.255.255.240。公司自身搭建了WWW、公司网络内部邮件系统E-mail服务器及FTP服务器，用于公司业务宣传及远端用户下载平台等。其相应IP地址的配置如上图4-51所示。 4.9.2 工程环境准备

为实现以上网路需求，公司采用了NAT技术，故设置NAT功能的对设备路由器要求至少要有一个内部端口（Inside），一个外部端口（Outside）。内部端口连接的网络用户使用的是内部IP地址，内部端口可以为任意一个路由器端口；外部端口连接的是外部的网络（如Internet），同样外部端口可以为路由器上的任意端口。 设置NAT功能的路由器的IOS应支持NAT功能(其中IOS为11.2版本以上支持NAT功能)。由此选择集防火墙功能的路由器Cisco 3725(如图4-52所示)，并配带相应广域网接入模块，如WIC-1T接口卡等。

图4-52 Cisco3725路由器

4.9.3 具体实现步骤

对于路由器RZ有如下配置信息： ！

Router(config)# service timestamps debug uptime Router(config)# service timestamps log uptime Router(config)# service password-encryption Router(config)# no service tcp-small-servers Router(config)# no service udp-small-servers !

Router(config)# hostname RZ !

RZ(config)# enable password cisco !

RZ(config) no ip name-server !

RZ(config) ip subnet-zero

网络工程---实训手册

RZ(config) no ip domain-lookup RZ(config) ip routing !

RZ(config) interface FastEthernet 0/1

RZ(config-if)# description connected to LAN_ZS RZ(config-if)# ip address 192.168.50.254 255.255.255.0 !---配置此接口为地址转换（NAT）的内部接口： RZ(config-if)# ip nat inside

RZ(config-if)# duplex auto RZ(config-if)# speed auto

RZ(config-if)# no shutdown !

RZ(config) interface FastEthernet 0/0

RZ(config-if)# description connected to LAN_DMZ RZ(config-if)# ip address 10.10.50.254 255.255.255.0 !---配置此接口为地址转换（NAT）的内部接口： RZ(config-if)# ip nat inside

RZ(config-if)# duplex auto RZ(config-if)# speed auto

RZ(config-if)# no shutdown ！

RZ(config)# Interface Serial 0/0

RZ(config-if)# description connected to Internet RZ(config-if)# ip address 202.106.11.236 255.255.255.240 !---配置此接口为地址转换（NAT）的外部接口： RZ(config-if)# ip nat outside

RZ(config-if)# encapsulation ppp

! !

!---定义标准访问控制列表“58”，允许需要转换的内部网络/段192.168.50.0/24通过：

网络工程---实训手册

RZ(config)# access-list 58 permit 192.168.50.0 0.0.0.255 ！ ！

！---建立静态NAT映射关系，实现内部本地地址10.10.50.1/24 与内部全局地址（公网地址）202.106.11.225/28的转换关系，及10.10.50.2/24与202.106.11.226/28，10.10.50.3/24与202.106.11.227/28的关系，该配置主要用于向外部网络提供服务的WWW、邮件系统及FTP服务器：

RZ(config)# ip nat inside source static 10.10.50.1 202.106.11.225 RZ(config)# ip nat inside source static 10.10.50.2 202.106.11.226 RZ(config)# ip nat inside source static 10.10.50.3 202.106.11.227 !

！---定义从服务商那里申请到的公网IP地址在公司市场开发部网络中的分配策略，为此定义一地址池“Hwadee-pool”,如此所涵盖的地址将被市场人员用来上Internet，实现公司市场更加拓展： RZ(config)# ip nat pool Hwadee-pool 202.106.11.228 202.106.11.235 netmask 255.255.255.240 !

!---将标准访问控制列表“58”与地址池“Hwadee-pool”对应，即如果用户X（192.168.50.4/24）将网关地址

指向“192.168.50.254”，当其上网时，它的内网地址“192.168.50.4”将被转换为“202.106.11.228” ～ “202.106.11.235”中的某一地址：

RZ(config)# ip nat inside source list 58 pool Hwadee-pool overload

说明：以上配置命令中的“overload”表示，如果有多于地址池中定义的地址数量的用户访问外部网络，如上

30个用户同时访问Internet，那么多个内部本地网络地址可能会被转换为同一公网地址，不同内网地址之间可以通过不同的端口来识别，这样利用地址池定义的8个公网地址就可以满足所有市场人员上Internet。 ！ ！

RZ(config)# ip classless !

!---设置一缺省静态路由：

RZ(config)# ip route 0.0.0.0 0.0.0.0 Serial 0/0 !

RZ(config)# no ip http server

RZ(config)# snmp-server community public RO RZ(config)# no snmp-server location

网络工程---实训手册

RZ(config)# no snmp-server contact ！

RZ(config)# line console 0 RZ(config-line)# exec-timeout 0 0 RZ(config-line)# password cisco RZ(config-line)# login !

RZ(config)# line vty 0 4 RZ(config-line)# password cisco RZ(config-line)# login ！

4.9.4 工程验收

通过以上的配置，实现了市场部网络所有计算机访问Internet，并且在Internet中提供了WWW、内部邮件系

统外访和FTP三种服务。

通过命令Show ip nat translations 可显示活动转换，及Show ip nat statistics显示有关地址转换的统计信息。

其实，为实现以上功能，另有配置信息同样能实现之，如下关键配置： !

RZ(config) interface FastEthernet 0/1

RZ(config-if)# description connected to LAN_ZS RZ(config-if)# ip address 192.168.50.254 255.255.255.0 !---配置此接口为地址转换（NAT）的内部接口： RZ(config-if)# ip nat inside

RZ(config-if)# duplex auto RZ(config-if)# speed auto

RZ(config-if)# no shutdown !

RZ(config) interface FastEthernet 0/0

RZ(config-if)# description connected to LAN_DMZ RZ(config-if)# ip address 10.10.50.254 255.255.255.0 !---配置此接口为地址转换（NAT）的内部接口：

网络工程---实训手册

RZ(config-if)# ip nat inside

RZ(config-if)# duplex auto RZ(config-if)# speed auto

RZ(config-if)# no shutdown ！

RZ(config)# Interface Serial 0/0

RZ(config-if)# description connected to Internet RZ(config-if)# ip address 202.106.11.236 255.255.255.240 !---配置此接口为地址转换（NAT）的外部接口： RZ(config-if)# ip nat outside

RZ(config-if)# encapsulation ppp

! !

!---定义标准访问控制列表“58”，允许需要转换的内部网络/段192.168.50.0/24通过： RZ(config)# access-list 58 permit 192.168.50.0 0.0.0.255 ！

！---建立静态NAT映射关系，实现各服务器地址之间的转换，以用于向外部网络提供服务的WWW、邮件系统及FTP服务器：

RZ(config)# ip nat inside source static 10.10.50.1 202.106.11.225 RZ(config)# ip nat inside source static 10.10.50.2 202.106.11.226 RZ(config)# ip nat inside source static 10.10.50.3 202.106.11.227 ! ---启用端口复用地址转换，并直接采用Serial0/0的IP地址:

RZ(config)# ip nat inside source list 58 interface serial 0/0 overload !---设置一缺省静态路由：

RZ(config)# ip route 0.0.0.0 0.0.0.0 Serial 0/0 ！

通过如上配置同样实现了最初网络设计的需求。

网络工程---实训手册 综合实验：

案例如下图所示：

1、 在各广域网链路上封装PPP(chap)验证协议，除分公司G、E之外，而其链路建立帧中继协议； 2、 整个网络路由协议选择OSPF，其区域分配如上图所示；

3、 基于安全需求，分公司G、E、D（内部）网络不能访问总公司管理主机PC4，但PC4能反其访问之（分公司G、E、D内部网络）以完成其对所有分公司网络进行管理/维护。另，基于安全考虑，各分公司路由器只允许PC4对其建立Telnet远程登录服务，以对接入设备（路由器）进行管理处理；

4、 分公司A处路由器在外端端口F0/0与内部端口F0/1、S0/0之间建立NAT，以使各分公司用户上Internet（可参考之外部地址池：192.168.6.200~192.168.6.253 netmask 255.255.255.0）； 5、 因工作内容及时限所需，分公司内部分用户不能访问外部网络，部分需访问外部网络，而访问外部网络部分通过建立账号（cisco）及口令(password)以验证，验证通过则实现之。（解决：此处实现之通过动态ACL在路由器C上完成之）。

网络工程---实训手册

还可以把基于时间的ACL加进来，还有路由重分发等！

说明：以上实验内容仅供参考，若有错误请给予指点或纠正！