Packet Tracer 5.0建构CCNA实验攻略ACL简单的配置

附录三：Cisco Packet Tracer 5.0中文教程一、Packet Tracer 5.0 使用简介Packet Tracer 是Cisco公司为思科网络技术学院开发的一款模拟软件，可以用来模拟CCNA的实验。

我们也以Packet Tracer 5.0 做为模拟软件来进行我们的实验。

下面按四个方面对该软件做简单介绍。

1、基本界面。

2、选择设备，为设备选择所需模块并且选用合适的线型互连设备。

3、配置不同设备。

4、测试设备的连通性，并在simulation模式下跟踪数据包，查看数据包的详细信息。

1、首先我们认识一下Packet Tracer5.0的基本界面打开Packet Tracer 5.0时界面如下图所示：图1 Packet Tracer 5.0 基本界面1 菜单栏此栏中有文件、选项和帮助按钮，我们在此可以找到一些基本的命令如打开、保存、打印和选项设置，还可以访问活动向导。

2 主工具栏此栏提供了文件按钮中命令的快捷方式，我们还可以点击右边的网络信息按钮，为当前网络添加说明信息。

3 常用工具栏此栏提供了常用的工作区工具包括：选择、整体移动、备注、删除、查看、添加简单数据包和添加复杂数据包等。

4 逻辑/物理工作区转换栏我们可以通过此栏中的按钮完成逻辑工作区和物理工作区之间转换。

5 工作区此区域中我们可以创建网络拓扑，监视模拟过程查看各种信息和统计数据。

6 实时/模拟转换栏我们可以通过此栏中的按钮完成实时模式和模拟模式之间转换。

7 网络设备库该库包括设备类型库和特定设备库。

8 设备类型库此库包含不同类型的设备如路由器、交换机、HUB、无线设备、连线、终端设备和网云等。

9 特定设备库此库包含不同设备类型中不同型号的设备，它随着设备类型库的选择级联显示。

10 用户数据包窗口此窗口管理用户添加的数据包。

表1 Packet Tracer 4.0基本界面介绍2、选择设备，为设备选择所需模块并且选用合适的线型互连设备我们在工作区中添加一个2600 XM路由器。

利用PacketTracer完成无线局域网配置实验一、实验目的1）掌握无线局域网的基本组成和设备连接关系2）学习使用无线路由器配置无线局域网的基本技能二、实验环境:1）运行Windows 2008 Server/XP/7操作系统的PC一台。

2）每台PC运行程序CISCO公司提供的PacketTracer版本5.3.0。

三、实验内容1）构建虚拟Internet路由器及互联网Web服务器2）部署实验网络并对网络设备进行配置3）验证无线连接并对实验网络进行分析4）学习使用无线路由器配置无线局域网的基本技能四、实验步骤通过PacketTracer搭建无线接入实验网络，网络拓扑如图1。

图11. 构建虚拟Internet路由器及互联网Web服务器在PacketTracer主界面中，添加2811路由器Router0和通用服务器Server0。

用自动选择端口方式连接Router0和Server0。

配置Router0：激活FastEthernet0/0，并配置静态IP地址12.0.0.254/24，如图2所示图2类似的，继续配置ROUTER0的端口FastEthernet0/1，并配置静态IP地址11.0.0.254/24,并激活端口。

配置服务器Server0。

在FastEthernet配置页，设置静态IP地址12.0.0.1/24。

在全局设置页面(Global→Settings)配置默认网关为12.0.0.254。

检查服务器的HTTP服务是否已开启（默认开启）。

此时可在服务器桌面标签下，打开命令行窗口并使用ping命令，测试服务器到路由器Router0的可达性。

配置无线路由器Wireless Router0在PacketTracer主界面中，添加型号为Linksys-WRT300N的无线路由器Wireless Router0。

此外，添加两台普通台式机PC0、PC1和普通笔记本电脑Laptop0。

在这里，我们的目标是，把位于本地网络的三台电脑(PC0、PC1和Laptop0)，通过无线路由器Wireless Router0联入Internet。

一、基本路由器的检验命令show versionshow processesshow protocolsshow memshow ip routeshow startup-configshow running-configshow flash>show interfaces二、基本路由配置命令进入：config terminal/memory/network 配置网络时常采用的命令：copy和load1.标识：hostname 标识名2.启动标识：banner 启动标识3.接口：interface 端口号4.密码：line 0 6loginpasswd 口令enable password/secret 口令5.接口：1）配置端口interface 端口号clock rate 时钟速率（64000）/* 在串口中配置*/ bandwidth 带宽（缺省56）/* 在串口中配置*/ media-type 介质类型/* 在以太网口上*/early-token release /* 在令牌环网口上*/ring-speed 16 /* 在令牌环网口上*/no shutdownwrite memory2）检验端口show interfacesshow controllers6．配置环境1）引导方式boot system flash IOS-filenameboot system tftp IOS-filename tftp-addressboot system rom2）配置Register值config-register 0x21027．查看邻居路由show cdp interfaceshow cdp neighbors [detail]show cdp entry routerA8.IP Address 配置Ip address 网络地址掩码Ip host 主机名addressIp name-server 服务器地址1 服务器地址2 。

Packet Tracer 5.0配置cisco路由器详细说明1、Cisco路由器的接口类型介绍路由器既可以对不同局域网段进行连接，也要以对不同类型的广域网络进行连接，所以路由器的接口类型也就一般可以分为局域网接口和广域网接口两种。

另外，因为路由器本身不带有输入和终端显示设备，但它需要进行必要的配置后才能正常使用，所以一般的路由器都带有一个控制端口"Console"，用来与计算机或终端设备进行连接，通过特定的软件来进行路由器的配置。

下面我们先就来看看路由器的局域网和广域网连接端口。

①、局域网接口根据其接口的名字我们可看出这些接口主要是用于路由器与局域网进行连接，因局域网类型也是多种多样的，所以这也就决定了路由器的局域网接口类型也可能是多样的。

不同的网络有不同的接口类型，常见的以太网接口主要有AUI、BNC和RJ-45接口，还有FDDI、ATM、光纤接口。

②、广域网接口路由器不仅能实现局域网之间连接，更重要的应用还是在于局域网与广域网、广域网与广域网之间的互连。

但因为广域网规模大，网络环境复杂，所以也就决定了路由器用于连接广域网的端口的速率要求非常高，在以太网中一般都要求在100Mbps快速以太网以上。

常见的广域网接口主要有AUI、RJ-45接口、ISDN BRI端口、异步串口、高速同步串口。

2、路由器配置接口路由器的配置端口其实有两个，分别是"Console"和"AUX"，"Console"通常是用来进行路由器的基本配置时通过专用连线与计算机连用的，而"AUX"是用于路由器的远程配置连接用的。

3、路由器的配置方式①、路由器硬件连接（所有设备必须断开电源）控制端口(consoleport)和辅助端口(AUXport)是cisco路由器的两个管理端口，这两个端口都可以在第一次进行cisco路由器配置时使用，但是我们一般都推荐使用控制端口，因为并不是所有的路由器都会有AUX端口。

Packet Tracer 5.0建构CCNA实验攻略(10)——配置单区域OSPFOSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议(Interior Gateway Protocol,简称IGP)，用于在单一自治系统(autonomous system,AS)内决策路由。

OSPF协议比较复杂F version 2 RFC 2328标准文档长达224页，可以划分区域是OSPF能多适应大型复杂网络的一个特性，我们只借助完成单个area的简单配置。

一、配置实例拓扑图图一二、OSPF配置基本命令Router(config)#router ospf 1Router(config-router)#network 192.168.1.0 0.0.0.255 area 0Router(config-router)#router-id 10.1.1.1三、OSPF配置实例１、路由器基本配置图二以Router1为例介绍网络中各个路由器的基本配置２、启动OSPF图三图四Router1的OSPF配置图五Router２的OSPF配置图六Router3的OSPF配置图七Router4的OSPF配置图八查看路由器中的路由表３、校验、诊断图九show ip protocol查看路由器中所启用的路由计算协议图十show ip ospf图十一show ip ospf interface图十二图十三show ip ospf neighbor想看邻居图十四show ip ospf database图十五debug ip ospf events开启诊断，no debug ip ospf events关闭诊断图十六pc2 ping 通所有网段内的计算机或路由器在这里只能进行最为简单的OSPF配置了，可以完成CCNA的实验。

packettracer路由器的基本命令packet tracer路由器的基本命令⼀、实验环境搭建添加⼀个模块化的路由器，单击Packet Tracer 5.0的⼯作区中刚添加的路由器，在弹出的配置窗⼝上添加⼀些模块：图⼀默认情况下，路由器的电源是打开的，添加模块时需要关闭路由器的电源，单击图⼀箭头所指的电源开关，将其关闭，路由器的电源关闭后绿⾊的电源指⽰灯也将变暗。

图⼆添加所需要的模块在“MODULES”下寻找所需要的模块，选中某个模块时会在下⽅显⽰该模块的信息。

然后拖到路由器的空插槽上即可。

图三各种模块添加完成，打开路由器的电源图四添加⼀计算机，其RS-232与路由器的Console端⼝相连图五⽤计算机的终端连接路由器图六实验环境搭建完成⼆、配置单个的路由器路由器的⼏种模式：User mode(⽤户模式)、Privileged mode（特权模式）、Global configuration mode(全局配置模式)、Interface mode(接⼝配置模式)、Subinterface mode(⼦接⼝配置模式)、Line mode、Router configuration mode （路由配置模式）。

每种模式对应不同的提⽰符。

图七⼏各配置命令提⽰符图⼋配置路由器的名字图九配置enable密码图⼗配置Console登录时的密码图⼗⼀通过Console端⼝登录到路由器需要输⼊密码图⼗⼆配置终端登录⽅式的密码默认情况下路由器中的各种密码以明⽂形式保存。

在全局配置模式下使⽤service password-encryption命令加密⼝令。

图⼗三查看路由器接⼝的IP配置信息⾸先要明⽩接⼝名称表⽰⽅式：接⼝类型接⼝数字标识/插槽数字标识，如Serial 4/0表⽰该接⼝为串⼝，第⼀个插槽的第4个接⼝。

插槽的数字标识是从零开始的。

图⼗四显⽰所有接⼝的详细信息图⼗五显⽰某个指定端⼝的详细信息图⼗六配置登录时的欢迎信息图⼗七保存配置信息图⼗⼋各显⽰显⽰信息的命令。

实验五路由器的基本配置及应用实验目标●掌握路由器几种常用配置方法；●掌握采用Console线缆配置路由器的方法；●掌握采用Telnet方式配置路由器的方法；●熟悉路由器不同的命令行操作模式以及各种模式之间的切换；●掌握路由器的基本配置命令并应用；实验背景●你是某公司新进的网管，公司要求你熟悉网络产品，首先要求你登录路由器，了解、掌握路由器的命令行操作；●作为网络管理员，你第一次在设备机房对路由器进行了初次配置后，希望以后在办公室或出差时也可以对设备进行远程管理，现要在路由器上做适当配置。

技术原理●路由器的管理方式基本分为两种：带内管理和带外管理。

通过路由器的Console口管理路由器属于带外管理，不占用路由器的网络接口，其特点是需要使用配置线缆，近距离配置。

第一次配置时必须利用Console端口进行配置。

实验步骤一、按下图所示设备和连线，新建packet tracer拓扑图S2/0 S2/0实验设备Router_PT 2台，具备以太网口和串口；PC 2台；交叉线；直通线说明：1、路由器与路由器相连：用DTE串口线或DCE串口线（串口线用于远程连接）。

（1）若选DTE串口线：则连线起点设备为DTE，连线终点设备为DCE。

（2）若选DCE串口线：则连线起点设备为DCE，连线终点设备为DTE。

注意：其中DCE需设置时钟频率。

2、计算机与路由器相连：按理论应该用直连线，该模拟软件需用交叉线；同时需要在路由器和PC机之间连一条配置线（console线：路由器端选择console口，PC机端选RS232口）二、对路由器进行配置，有两种路由器配置方法：1、配置模式（1）先配置第一个路由器的串口（此处按拓扑选择的是serial2/0）：双击路由器——>选“配置”——>选“接口配置”——>选serial2/0：将端口设置为“开启”；时钟速率设置为“64000”IP地址设置为：172.16.2.2子网掩码设置为：255.255.255.0（2）再配置第一个路由器的以太网口（此处按拓扑选择的是fastethernet0/0 ）：——>选fastethernet0/0 (路由器和PC的连接口)：将端口设置为“开启”；带宽自动，全双工IP地址设置为：172.16.3.1子网掩码设置为：255.255.255.0注意：其中（1）（2）的每一步，请大家关注每做一次选项时，屏幕下方“IOS”命令窗口中对应的路由器命令是什么，便于大家使用第二种配置方法“命令行配置”路由器时，不致于输错命令。

acl基本配置实验总结ACL（Access Control List）是网络设备中常用的一种安全控制机制，用于限制网络流量的访问权限。

在网络配置实验中，基本的ACL配置是必不可少的一环，它能够帮助管理员实现对网络流量的精细化控制。

本文将对ACL基本配置实验进行总结，并介绍实验过程中需要注意的关键点。

一、实验目的本次实验的主要目的是学习和掌握ACL的基本配置方法，并了解其在网络安全中的重要作用。

通过实践操作，加深对ACL的理解，为今后在网络管理和安全中的应用打下基础。

二、实验环境本次实验使用的环境是一个模拟的网络拓扑结构，包括多个主机和网络设备。

通过连接这些设备，并进行相应的配置，实现ACL的功能。

三、实验步骤1. 配置网络设备：首先需要对网络设备进行基本的配置，包括设置IP地址、子网掩码、网关等。

这些配置将为后续的ACL配置提供基础支持。

2. 创建ACL规则：在网络设备中创建ACL规则，用于限制网络流量的访问权限。

ACL规则可以基于源IP地址、目标IP地址、协议类型等进行过滤。

管理员可以根据实际需求，设置不同的ACL规则。

3. 应用ACL规则：将ACL规则应用到网络设备的特定接口上。

通过应用ACL规则，可以限制特定接口的流量访问权限，提高网络的安全性。

4. 测试ACL配置：在ACL配置完成后，需要进行测试验证。

可以通过发送不同类型的网络流量，观察ACL规则是否生效，以及网络流量是否按照规则进行过滤。

四、实验总结ACL基本配置实验是学习网络安全中重要的一环。

通过实验，我深入了解了ACL的配置方法和原理，掌握了基本的ACL规则设置和应用。

ACL能够在网络中起到精细化的流量控制作用，提高网络的安全性和可管理性。

在实验过程中，我遇到了一些问题，例如配置错误导致ACL规则无法生效，或者配置过于复杂导致网络流量无法正常传输。

通过仔细分析问题原因，并进行相应的调整和修正，最终解决了这些问题。

通过本次实验，我还发现ACL配置需要考虑以下几个关键点：1. 精确的ACL规则：ACL规则应该尽可能精确，以避免对合法流量的误过滤。

网络上有相关Packet Tracer的所谓“教程”，但是都只是皮毛，今天我从以下三个方面入手介绍Packet Tracer 5.0这个软件。

力求做到“深入、详解”。

另外我不反对大家转载这篇文章，但是我希望朋友转载后请注明链接：[/post]可以这么说，我用过有许多好的网络模拟软件，其中不乏有特别优秀的！比如Boson的Boson NetSim for CCNA 6.0就很优秀。

但是自从我用了Packet Tracer这个思科官方模拟软件后，我发现竟有更优秀的。

他的最新版本是Packet Tracer 5.0，直到现在我使用这个工具仍然是爱不释手，好了闲话不多说，工作！|狼人◇_传说/谢谢！本文用到的Packet Tracer有最新版本PT 5.2,下载地址：/files/1521bf9c-a187-11de-87fc-0014221b798a/cisco的Packet Tracer 5.2现已推出。

在原有5.1的基础上，增加了很多的安全特性。

现在5.2可以满足CCNA 安全课程的学习。

5.2增加的功能主要有：1、AAA2、加密功能2.1 点到点VPN2.2 远端VPN3、Qos （MQC的使用）4、NTP （网络时间协议）5、SNMP6、ipv67、ips8、路由协议也更加完善，可以实现的功能更加全面9、PC上也增加了几个新的功能是和路由器做配合。

第一篇、熟悉界面一、设备的选择与连接在界面的左下角一块区域，这里有许多种类的硬件设备，从左至右，从上到下依次为路由器、交换机、集线器、无线设备、设备之间的连线（Connections）、终端设备、仿真广域网、C ustom Made Devices（自定义设备）下面着重讲一下“Connections”，用鼠标点一下它之后，在右边你会看到各种类型的线，依次为Automatically Choose Connection Type（自动选线，万能的，一般不建议使用，除非你真的不知道设备之间该用什么线）、控制线、直通线、交叉线、光纤、电话线、同轴电缆、DCE、DTE。

目录Packet Tracer 5.0建构CCNA实验攻略(1)——配置Cisco交换机 (2)Packet Tracer 5.0建构CCNA实验攻略(2)——配置VLAN (7)Packet Tracer 5.0建构CCNA实验攻略(3)——Cisco VTP (11)Packet Tracer 5.0建构CCNA实验攻略(4)——STP生成树协议 (17)Packet Tracer 5.0建构CCNA实验攻略(5)——WLAN (21)Packet Tracer 5.0建构CCNA实验攻略(1)——配置Cisco交换机Packet Tracer 5.0是一款非常不错的Cisco(思科)网络设备模拟器，对于想考思科初级认证（如CCNA）的朋友们来说，Packet Tracer 5.0是非常不错的选择。

利用Packet Tracer 5.0练习思科IOS操作命令很不错的。

要配置好Cisco交换必需要熟悉IOS命令及相关的知识。

一、几种配置命令模式switch>这种提示符表示是在用户命令模式，只能使用一些查看命令。

switch#这种提示符表示是在特权命令模式。

switch(config)# 这种提示符表示是全局配置模式switch(config-if)# 端口配置命令模式图一几种命令模式二、检查、查看命令这些命令是查看当前配置状况，通常是以show(sh)为开始的命令。

show version查看IOS的版本、show flash查看flash内存使用状况、show mac-address-table查看MAC地址列表图二图三图四图五Show ? 帮助命令显示当前所有的查看命令图六查看端口状态信息三、密码设置命令Cisco交换机、路由器中有很多密码，设置好这些密码可以有效地提高设备的安全性。

switch(config)#enable password 设置进入特权模式进的密码switch(config-line) 可以设置通过console端口连接设备及telnet远程登录时所需要的密码图七设置交换机的各种密码默认情况下，这些密码都是以明文的形式存储，所以很容易查看到。

路由交换实训专业：计算机网络技术班级：网络xx学号：xxxxxxxx姓名：xxx采用Packet Tracer完成网络搭建和配置112三、逻辑拓扑图四、IP地址规划五、配置任务1、交换交换部分需求如下：（1）参考前面的信息，将交换机的端口分配到恰当的VLAN中（2）所有交换机上启用快速生成树协议（3）Core交换机和HQ-Access交换机之间可能会有大量的数据传输，请选用配置etherchannel链路聚合（要求使用PAgP），将两个端口合并使用（4）在Core和HQ-Access上启用VTP，domain名：HQ，密码:vtpass，Core 为VTP server（5）在Core上建立下列VLAN，确认HQ-Access可以通过VTP方式自动学习到下列VLAN：（6）将Core和HQ-Access交换机上所有未连接设备的端口划分到VLAN 190中（7）所有连接设备和PC的接口，如果未特别说明，都请设置为access模式（8）所有未使用的设备接口，如果未特别要求，请设置为shutdown模式2、广域网（1）HQ-Admin到Branch 1之间的广域网链路带宽约为2Mbps，HQ-Admin 到Branch 1之间的广域网链路带宽约为1Mbps，请做出恰当配置（2）HQ-Admin到Branch 1之间使用PPP封装，chap方式验证，请自行设置验证的用户名和密码（3）做出配置，以便HQ-Admin和Branch 1之间PPP链路建立之后，两边路由器都不会产生一条由于PPP链路而带来的/32的路由3、路由（1）请根据下面示意图配置OSPF路由，process号码任意（2）请在接口上启用基于区域的MD5方式的密码认证，认证口令任意，所有可能连接用户设备的接口应设置为passive模式（3）请在所有启用IPv6的三层设备上配置RIPng，所有可能连接用户设备的接口应设置为passive模式（4）根据下面表格在设备上配置loopback接口，并将loopback接口用重分布直连接口的方式发布到OSPF路由中（5）请确保所有私有地址不要出现在OSPF路由中4、无线（1）请设置AP的管理IP：192.168.100.100/24（2）请将交换机连接AP的端口的Native VLAN设置为VLAN 100，在交换机上做出恰当配置，以便仅有需要的VLAN会载到HQ-AP允许的trunk列表中（3）根据下面表格配置HQ-AP，认证使用的用户名口令任意选择设置（4）AP管理用户名设置为cisco 密码设置为cisco123 (注意区分大小写) 5、IP语音（1）Core交换机上连接的两台IP电话注册到HQ-admin上，电话号码分别是1001和1002（2）PC1和PC2上安装的软件IP电话也将在拨入VPN后注册到HQ-admin 上，电话号码分别是1003和10046、VPN（1）请在HQ-admin上配置ezVPN服务器，参数如下：用户名: vpnuser，密码：vpnpass组名: vpngroup，组密码groupkey （路由器本地认证和授权）设置xauth认证超时时间10秒分配IP的地址池名为localpool，范围192.168.123.1—100保持10秒，最多重试认证3次要求采用AES加密和SHA1 Hash验证客户端拨入后在路由器上注入客户端的静态路由设置一个列表，所有拨入的客户端访问私有地址范围(不论该私有地址是否存在在拓扑中)一律通过VPN来进行（2）在PC1和PC2上尝试拨入ezVPN服务器，拨入后验证是否可以使用软件IP电话实验命令全部如下：聚合链路Core配置Switch>enSwitch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#int range f0/5-6Switch(config-if-range)#channel-group 1 mode desSwitch(config-if-range)#channel-group 1 mode desirableHQ-Access同上电话配置HQ-admin配置Router(config)#ip dhcp pool admindhcpRouter(dhcp-config)#network 192.168.1.0 255.255.255.0Router(dhcp-config)#default-router 192.168.1.254Router(dhcp-config)#option 150 ip 192.168.1.254Router(dhcp-config)#exitRouter(config)#telRouter(config)#telephony-serviceRouter(config-telephony)#max-ephones 5Router(config-telephony)#max-dn 5Router(config-telephony)#ip source-address 192.168.1.254 port 2000Router(config-telephony)#auto assign 1 to 5Router(config-telephony)#exitRouter(config)#ephone-dn 1%LINK-3-UPDOWN: Interface ephone_dsp DN 1.1, changed state to upRouter(config-ephone-dn)#number 10001Router(config-ephone-dn)#exitRouter(config)#ephone-dn 2Router(config-ephone-dn)#%LINK-3-UPDOWN: Interface ephone_dsp DN 2.1, changed state to up Router(config-ephone-dn)#number 10002Core配置Switch(config)#int range f0/1-3Switch(config-if-range)#switchport voice vlan 1VTP配置Core配置Switch#vlan database% Warning: It is recommended to configure VLAN from config mode,as VLAN database mode is being deprecated. Please consult userdocumentation for configuring VTP/VLAN in config mode.Switch(vlan)#vlan 100 name IPTVLAN 100 added:Name: IPTSwitch(vlan)#vlaSwitch(vlan)#vlan 200 name AdminVLAN 200 added:Name: AdminSwitch(vlan)#vlaSwitch(vlan)#vlan 150 name Access1VLAN 150 added:Name: Access1Switch(vlan)#vlanSwitch(vlan)#vlan 180 name Access2VLAN 180 added:Name: Access2Switch(vlan)#vlSwitch(vlan)#vlan 190 name GuestVLAN 190 added:Name: GuestSwitch(vlan)#exitAPPL Y completed.Exiting....Switch#Switch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#vtp domain HQvtpChanging VTP domain name from NULL to HQvtpSwitch(config)#vtp mode serverDevice mode already VTP SERVER.Switch(config)#vtp password 123Setting device VLAN database password to 123Switch(config)#int range f0/5-6Switch(config-if-range)#switchport mode trunkHQ-Access配置Switch(config)#int range f0/5-6Switch(config-if-range)#switchport mode trunkChap路由协议配置Branch 1路由器配置Router(config)#Router(config)#username HQ-admin password 123Router(config)#int s1/0Router(config-if)#encapsulation ppp%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to down Router(config-if)#ppp authentication chapRouter(config-if)#exitRouter(config)#hostname Branch1Branch1(config)#HQ-admin配置Router(config-if)#int s1/0Router(config-if)#encapsulation pppRouter(config-if)#ppp authentication chapRouter(config-if)#exitRouter(config)#hostname HQ-adminHQ-admin(config)#username Branch1 password 321HQ-admin(config)#ospf路由协议配置HQ-admin配置HQ-admin(config)#router ospf 100HQ-admin(config-router)#network 192.168.1.0 0.0.0.255 area 0HQ-admin(config-router)#network 100.1.1.0 0.0.0.255 area 1HQ-admin(config-router)#network 100.2.2.0 0.0.0.255 area 2Branch1配置Branch1(config)#router ospf 100Branch1(config-router)#network 100.1.1.0 0.0.0.255 area 1Branch1(config-router)#network 172.22.1.0 0.0.0.255 area 1Branch2配置Router(config)#router ospf 100Router(config-router)#network 100.2.2.0 0.0.0.255 area 2Router(config-router)#network 172.22.2.0 0.0.0.255 area 2Core配置Switch(config)#router ospf 100Switch(config-router)#network 192.168.1.0 0.0.0.255 area 0VPN配置拓扑图先配置rip路由协议R1配置Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z. Router(config)#router ripRouter(config-router)#network 192.168.2.0R2配置Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z. Router(config)#router ripRouter(config-router)#network 192.168.2.0Router(config-router)#network 192.168.1.0AAA及vpn配置R1上配置Router(config-if)#exitRouter(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.2//aaa认证Router(config)#aaa new-modelRouter(config)#aaa authentication login a1 localRouter(config)#aaa authorization network a2 local//登陆的vpn用户及密码Router(config)#username cisco password 123//创建优先级为10的IKE策略Router(config)#crypto isakmp policy 10Router(config-isakmp)#hash md5//制定预共享密匙作为认证方法Router(config-isakmp)#authentication pre-share//指定一个模数为1024的modp组Router(config-isakmp)#group 2Router(config-isakmp)#exit//定义一个33的地址池，以便为vpn用户分配地址Router(config)#ip local pool 33 10.1.1.100 10.1.1.150//定义一个能接入此easy vpn的组名字为vvppnn密码为123 及33地址池Router(config)#crypto isakmp client configuration group vvppnnRouter(config-isakmp-group)#key 123Router(config-isakmp-group)#pool 33Router(config-isakmp-group)#exit//定义一个cisco传输模式Router(config)#crypto ipsec transform-set cisco esp-3des esp-sha-hmac//创建ciscomap动态图绑定到10策略Router(config)#crypto dynamic-map ciscomap 10Router(config-crypto-map)#set transform-set cisco//反向路由注入Router(config-crypto-map)#reverse-routeRouter(config-crypto-map)#exit//对Easy VPN认证及授权Router(config)#crypto map ddd client authentication list a1Router(config)#crypto map ddd isakmp authorization list a2Router(config)#crypto map ddd client configuration address respondRouter(config)#crypto map ddd 10 ipsec-isakmp dynamic ciscomap//绑定到接口Router(config)#int f0/1Router(config-if)#crypto map ddd*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON。

Packet tracer用户使用手册Packet Tracer是一款由Cisco公司开发的网络模拟软件，它为网络初学者、专业技术人员以及Cisco认证考生提供了一个功能强大的、交互式的网络模拟环境，可以帮助用户进行网络设备的配置、故障排除以及网络设计等操作。

以下是Packet Tracer的用户使用手册：一、软件安装与界面1.下载并安装Packet Tracer软件。

在安装过程中，请遵循Cisco官方提供的安装指南。

2.打开Packet Tracer软件，您将看到一个模拟的网络拓扑界面。

在这个界面上，您可以添加各种网络设备，如路由器、交换机、计算机等。

二、设备添加与配置1.在Packet Tracer的设备列表中，选择您需要添加的设备，例如一台路由器，然后将其拖放到模拟界面上。

2.双击该设备，将进入设备配置界面。

在这里，您可以对该设备进行各种配置，如IP地址、路由设置、交换机端口等。

三、网络连接与故障排除1.在模拟界面上，您可以使用线缆将各个设备连接起来。

选择正确的端口，并在两个设备之间画线，即可建立连接。

2.如果您的网络连接出现问题，例如无法ping通某个设备，您可以在Packet Tracer的故障排除工具中进行分析。

这里提供了各种常见的故障排除工具，如ping、traceroute等。

四、网络设计与优化1.在Packet Tracer中，您可以根据实际需要设计各种网络拓扑结构，如星型、树型、环型等。

2.根据网络性能指标，例如吞吐量、延迟、丢包率等，对您的网络进行优化。

这里提供了各种优化工具，如QoS、流量控制等。

五、考试准备与评估1.Packet Tracer还提供了丰富的Cisco认证考试练习和模拟功能。

您可以在这里进行CCNA、CCNP等认证考试练习。

2.在进行考试准备时，您可以查看详细的题目解析和答案，以便更好地理解考题并提高应试能力。

3.Packet Tracer还提供了评估工具，您可以对自己的学习成果进行评估，以便更好地了解自己的学习进度和不足之处。

acl的配置实验报告ACL的配置实验报告摘要：本实验旨在通过配置ACL（Access Control List），实现对网络流量的控制和管理。

通过实验，我们了解了ACL的基本概念、分类以及配置方法，并对其在网络安全中的应用进行了探讨。

实验结果表明，ACL可以有效地过滤和限制网络流量，提高网络的安全性和性能。

1. 引言随着互联网的快速发展，网络安全问题日益凸显。

为了保护网络免受恶意攻击和非法访问，ACL成为一种重要的网络安全工具。

ACL通过控制网络流量的进出，实现对网络资源的保护和管理。

本实验旨在通过配置ACL，探索其在网络安全中的应用。

2. ACL的基本概念ACL是一种用于控制网络流量的策略工具，它基于一系列规则对数据包进行过滤和限制。

ACL可以通过源IP地址、目标IP地址、协议类型、端口号等条件进行过滤，从而实现对网络流量的精确控制。

3. ACL的分类ACL根据其作用范围和工作方式的不同，可以分为以下几类：- 标准ACL：基于源IP地址进行过滤，适用于简单的网络环境。

它可以实现对特定源IP地址的流量进行控制，但无法对目标IP地址和协议类型进行过滤。

- 扩展ACL：除了源IP地址外，还可以根据目标IP地址、协议类型、端口号等条件进行过滤。

扩展ACL适用于复杂的网络环境，可以实现更精确的流量控制。

- 命名ACL：为ACL规则定义一个可读性强的名称，使得配置更加方便和可维护。

- 动态ACL：根据特定条件自动更新ACL规则，实现对网络流量的实时控制。

4. ACL的配置方法ACL的配置通常在网络设备（如路由器、防火墙）上进行。

具体配置方法如下：- 进入设备的配置模式，进入特定接口的配置模式。

- 创建ACL，并定义ACL规则。

可以使用数字或名称标识ACL。

- 配置ACL规则，包括源IP地址、目标IP地址、协议类型、端口号等条件。

- 将ACL应用到特定接口，使其生效。

5. ACL在网络安全中的应用ACL在网络安全中起到了重要的作用。

Packet Tracer 5.0建构CCNA实验攻略(9)——Cisco EIGRP
EIGRP(Enhanced Interior Gateway Routing Protocol，增强型内部网关路由协议)是Cisco内部专有协议，其它公司的网络产品是不会拥有该协议的。

一、配置实例拓扑图
图一共有四个Cisco 2811路由器，共六个网段
二、配置Cisco EIGRP的基本命令
Router(config)#router eigrp 100开启EIGRP进程，100为AS编号(1——65535)
Router(config-router)#network 10.0.0.0在网络上通告自己所直接连接的网段
三、配置Cisco EIGRP实例
１、基本配置
图二以Router2为例２、启用EIGRP
图三
图四Router1的配置
图五Router2的配置
图六Router3的配置
图七Router4的配置
图八查看路由表
３、校验与排错
把个网段的PC配置好IP地址及网关，用PC4 ping 所有网段都可以ping 通。

图九
图十show ip eigrp neighbors命令查看EIGRP的邻接关系
图十一show ip eigrp interfaces
图十二show ip eigrp topology查看拓扑表
图十三show ip eigrp traffic
图十四debug eigrp packets
EIGRP支持MD5加密认证，但是我们的这个模拟器不支持，这个试验就不做了。

实验5:CISCO 路由器基本配置一、实验目的1、练习cisco 路由器端口的基本配置；2、初步了解静态路由协议二、实验环境：packet tracer 5.0三、实验步骤：拓扑结构图如下所示：配置过程：Router1：Router>enable /进入特权模式Router＃config t /进入配置模式Enter configuration commands， one per line。

End with CNTL/Z.Router（config)＃hostname yangyu /修改路由器名称yangyu（config)#int serial 0/0/0 /配置串口yangyu(config-if）#ip add 192.168。

2。

1 255.255.255。

0yangyu(config—if)＃clock rate 64000yangyu(config-if）＃no shut％LINK—5—CHANGED: Interface Serial0/0/0， changed state to downyangyu(config-if)#int fa0/0 /配置以太网接口yangyu（config-if）＃ip add 192.168.1.1 255.255。

255.0yangyu(config-if）＃no shut%LINK-5—CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO—5-UPDOWN： Line protocol on Interface FastEthernet0/0, changed state to up yangyu（config）＃％LINK—5-CHANGED: Interface Serial0/0/0， changed state to upyangyu#config tEnter configuration commands, one per line。

CiscoPacketTracer计算机⽹络实验CLI操作01交换机配置⽅式认识及初始化配置【实验⽬的】认识通过物理管理端⼝(即Console)“带外"本地连接交换机和通过虚拟接⼝"带内"远程连接交换机等⽹络设备访问⽅式。

掌握交换机的配置模式及命令格式，掌握交换机设备的初始化配置项⽬、相关命令和配置及测试⽅法。

【实验任务】1.观摩⽤控制 (Console)线连接交换机Console端⼝访问⽹络设备；2.下载TeraTerm或PuTTY终端仿真软件，认识与设置终端串⾏接⼝通信参数；3.在Packet Tracer 仿真平台搭建下图所⽰设备连接；4. 使⽤ CLI（命令⾏接⼝）完成交换机初始配置：设备名称，访问密码，访问提⽰消息，交换机虚拟接⼝配置 IP 地址；5.使⽤show ip interface brief 检测交换机接⼝配置；6.使⽤命令保存交换机当前运⾏的配置；7.为PC设备配置 IP 地址，使⽤IPconfig命令、检测配置；8.⽤ping命令测试交换机和主机设备之间的连通性。

【实验背景】开箱即⽤的交换机和终端设备的初始化配置。

是建⽴⼀个新⽹络的准备⼯作。

【实验设备】交换机、Console线，Packet Tracer 仿真软件及软件中的交换机和PC等设备。

步骤：从实验任务的第四步起，使⽤pt平台，搭建如下结构进⼊全局配置初始设置：名称、密码、密码加密、访问消息提⽰配置虚拟接⼝检测接⼝配置总结：1、初始化配置主要在控制台进⾏，包括以下⼏个操作设备名称Switch(config)#hostname Sw-Floor-1设备密码Sw-Floor-1(config)#line console 0 //进⼊控制台界⾯Sw-Floor-1(config-line)#password 12345Sw-Floor-1(config-line)#loginSw-Floor-1(config-line)#exit密码处理：加密与指定Sw-Floor-1(config)#service password-encryption //加密所有的明⽂密码。

实验5基于CiscoPacketTracer的路由器综合路由配置实验实验5 基于Cisco Packet Tracer的路由器综合路由配置实验一．实验目标1.掌握综合路由的配置方法；2.掌握查看通过路由重分布学习产生的路由；3.熟悉广域网线缆的连接方式；二．实验工具主机操作系统为windows 7及以上；使用Cisco Packer Rracer 软件。

三．实验内容某公司通过一台三层交换机连到公司出口路由器R1上，路由器R1再和公司外的另一台路由器R2连接。

三层与R1间运行RIPv2路由协议，R1与R2间运行OSPF路由协议。

现要做适当配置，实现公司内部主机与公司外部主机之间的相互通信。

四．参考知识为了支持本设备能够运行多个路由协议进程，系统软件提供路由信息从一个路由进程重分布到另外一个路由进程的功能。

比如你可以将OSPF路由域的路由重新分布后通告RIP路由域中，也可以将RIP路由域的路由重新分布后通告到OSPF路由域中。

路由的相互重分布可以在所有的IP路由协议之间进行。

要把路由从一个路由域分布到另一个路由域，并且进行控制路由重分布，在路由进程配置模式中执行以下命令：redistribute protocol [metric metric] [metric-type metric-type] [match internal | external type | nssa-external type] [tag tag] [route-map route-map-name] [subnets]五．实验步骤实验拓扑1．PC与交换机间用直连线连接；PC与路由、路由与路由之间用交叉线连接。

2．在三层上划分2个VLAN，运行RIPv2协议；R2运行OSPF协议；3．在路由器R1上左侧配置RIPv2路由协议；右侧配置OSPF协议；4．在R1路由器进程中引入外部路由，进行路由重分布；5．将PC1、PC2主机默认网关分别设置为与直连网络设备接口IP 地址；。

cisco路由器配置ACL详解什么是ACL访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的;该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了;访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置;在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识;1、最小特权原则只给受控对象完成任务所必须的最小的权限;也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的;2、最靠近受控对象原则所有的层访问权限控制;也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句;3、默认丢弃原则在路由交换设备中默认最后一句为ACL中加入了DENYANYANY,也就是丢弃所有不符合条件的数据包;这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视;由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等;因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用;分类：标准访问控制列表扩展访问控制列表基于名称的访问控制列表反向访问控制列表基于时间的访问控制列表标准访问列表：访问控制列表ACL分很多种,不同场合应用不同种类的ACL;其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL访问控制列表ACL分很多种,不同场合应用不同种类的ACL;其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL;标准访问控制列表的格式：标准访问控制列表是最简单的ACL;它的具体格式如下：access-listACL号permit|denyhostip地址例如：access-list10denyhost当然我们也可以用网段来表示,对某个网段进行过滤;命令如下：0.0.00.0.0.255呢这是因为小提示：对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list10deny标准访问控制列表实例一：环境介绍：我们采用如图所示的网络结构;实例1：路由器配置命令access-list1permithostaccess-list1denyany设置ACL,阻止其他一切IP地址进行通讯传输;inte1进入E1端口;ipaccess-group1 in将ACL1宣告;小提示：由于默认添加了DENYANY的语句在每个ACL中,所以上面的access-list1denyany这句命令可以省略;另外在路由器连接网络不多的情况下也可以在E0端口使用ipaccess-group1out命令来宣告,宣告结果和上面最后两句命令效果一样;标准访问控制列表实例二：配置任务：配置命令：access-list1denyhostaccess-list1permitany设置ACL,容许其他地址的计算机进行通讯inte1进入E1端口ipaccess-group1 in将ACL1宣告,同理可以进入E0端口后使用ipaccess-group1out来完成宣告;总结：标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式;应用比较广泛,经常在要求控制级别较低的情况下使用;如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求;扩展访问控制列表：上面我们提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL;那么如果我们希望将过滤细到端口怎么办呢或者希望对数据包的目的地址进行过滤;这时候就需要使用扩展访问控制列表了;使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务例如,FTP等;扩展访问控制列表使用的ACL号为100到199;扩展访问控制列表的格式：扩展访问控制列表是一种高级的ACL,配置命令的具体格式如下：access-listACL号permit|deny协议定义过滤源主机范围定义过滤源端口定义过滤目的主机访问定义过滤目的端口例如：access-list101denytcpanyhosteq这句命令是将所有主机访问这个地址网页服务TCP连接的数据包丢弃;小提示：同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码;扩展访问控制列表的实例：环境介绍：我们采用如图所示的网络结构;配置任务：路由器配置命令：0.0.0默认添加DENYANY的命令,所以ACL只写此一句即可;inte0进入E1端口ipaccess-group101out将ACL101宣告出去扩展ACL有一个最大的好处就是可以保护服务器,例如很多服务器为了更好的提供服务都是暴露在公网上的,如果所有端口都对外界开放,很容易招来黑客和病毒的攻击,通过扩展ACL可以将除了服务端口以外的其他端口都封锁掉,降低了被攻击的机率;如本例就是仅仅将80端口对外界开放;总结：扩展ACL功能很强大,他可以控制源IP,目的IP,源端口,目的端口等,能实现相当精细的控制,扩展ACL不仅读取IP包头的源地址/目的地址,还要读取第四层包头中的源端口和目的端口的IP;不过他存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL会消耗大量的路由器资源;所以当使用中低档路由器时应尽量减少扩展ACL的条目数,将其简化为标准ACL或将多条扩展ACL合一是最有效的方法;基于名称的访问控制列表不管是标准访问控制列表还是扩展访问控制列表都有一个弊端,那就是当设置好ACL的规则后发现其中的某条有问题,希望进行修改或删除的话只能将全部ACL信息都删除;也就是说修改一条或删除一条都会影响到整个ACL列表;这一个缺点影响了我们的工作,为我们带来了繁重的负担;不过我们可以用基于名称的访问控制列表来解决这个问题;一、基于名称的访问控制列表的格式：ipaccess-liststandard|extendedACL名称例如：ipaccess-liststandardsofter就建立了一个名为softer的标准访问控制列表;二、基于名称的访问控制列表的使用方法：当我们建立了一个基于名称的访问列表后就可以进入到这个ACL中进行配置了;例如我们添加三条ACL规则1.1.12.2.23.3.3如果我们发现第二条命令应该是2.2.2permitpermit总结：如果设置ACL的规则比较多的话,应该使用基于名称的访问控制列表进行管理,这样可以减轻很多后期维护的工作,方便我们随时进行调整ACL规则;反向访问控制列表：我们使用访问控制列表除了合理管理网络访问以外还有一个更重要的方面,那就是防范病毒,我们可以将平时常见病毒传播使用的端口进行过滤,将使用这些端口的数据包丢弃;这样就可以有效的防范病毒的攻击;不过即使再科学的访问控制列表规则也可能会因为未知病毒的传播而无效,毕竟未知病毒使用的端口是我们无法估计的,而且随着防范病毒数量的增多会造成访问控制列表规则过多,在一定程度上影响了网络访问的速度;这时我们可以使用反向控制列表来解决以上的问题;一、反向访问控制列表的用途反向访问控制列表属于ACL的一种高级应用;他可以有效的防范病毒;通过配置反向ACL可以保证AB两个网段的计算机互相PING,A可以PING通B而B不能PING通A;说得通俗些的话就是传输数据可以分为两个过程,首先是源主机向目的主机发送连接请求和数据,然后是目的主机在双方建立好连接后发送数据给源主机;反向ACL控制的就是上面提到的连接请求;二、反向访问控制列表的格式反向访问控制列表格式非常简单,只要在配置好的扩展访问列表最后加上established即可;我们还是通过实例为大家讲解;反向访问控制列表配置实例环境介绍：我们采用如图所示的网络结构;,我们通过反向ACL设置保护这些配置实例：路由器配置命令：0.0.0进入E1端口ipaccess-group101out将ACL101宣告出去小提示：通过上文配置的反向ACL会出现一个问题,那就是0.0.0这样根据“最靠近受控对象原则”基于时间的访问控制列表：上面我们介绍了标准ACL与扩展ACL,实际上我们只要掌握了这两种访问控制列表就可以应付大部分过滤网络数据包的要求了;不过实际工作中总会有人提出这样或那样的苛刻要求,这时我们还需要掌握一些关于ACL的高级技巧;基于时间的访问控制列表就属于高级技巧之一;一、基于时间的访问控制列表用途：可能公司会遇到这样的情况,要求上班时间不能上,下班可以上或者平时不能访问某网站只有到了周末可以;对于这种情况仅仅通过发布通知规定是不能彻底杜绝员工非法使用的问题的,这时基于时间的访问控制列表应运而生;二、基于时间的访问控制列表的格式：基于时间的访问控制列表由两部分组成,第一部分是定义时间段,第二部分是用扩展访问控制列表定义规则;这里我们主要讲解下定义时间段,具体格式如下：time-range时间段名称absolutestart小时：分钟日月年end小时：分钟日月年例如：time-rangesofterabsolutestart0:001may2005end12:001june2005意思是定义了一个时间段,名称为softer,并且设置了这个时间段的起始时间为2005年5月1日零点,结束时间为2005年6月1日中午12点;我们通过这个时间段和扩展ACL的规则结合就可以指定出针对自己公司时间段开放的基于时间的访问控制列表了;当然我们也可以定义工作日和周末,具体要使用periodic命令;我们将在下面的配置实例中为大家详细介绍;配置实例：要想使基于时间的ACL生效需要我们配置两方面的命令：1、定义时间段及时间范围;2、ACL自身的配置,即将详细的规则添加到ACL中;3、宣告ACL,将设置好的ACL添加到相应的端口中;环境介绍：我们采用如图所示的网络结构;配置任务：路由器配置命令：time-rangesofter定义时间段名称为softerperiodicweekend00:00to23:59定义具体时间范围,为每周周末6,日的0点到23点59分;当然可以使用periodicweekdays定义工作日或跟星期几定义具体的周几;0.0.0access-list101permitipanyany设置ACL,容许其他时间段和其他条件下的正常访问;inte1进入E1端口;ipaccess-group101out宣告ACL101;提供的FTP资源了,平时无法访问;访问控制列表流量记录网络管理员就是要能够合理的管理公司的网络,俗话说知己知彼方能百战百胜,所以有效的记录ACL 流量信息可以第一时间的了解网络流量和病毒的传播方式;下面这篇文章就为大家简单介绍下如何保存访问控制列表的流量信息,方法就是在扩展ACL规则最后加上LOG命令;实现方法：log为指定一个日志0.0.0在希望监测的扩展ACL最后加上LOG命令,这样就会把满足该条件的信息保存到指定的日志小提示：如果在扩展ACL最后加上log-input,则不仅会保存流量信息,还会将数据包通过的端口信息也进行保存;使用LOG记录了满足访问控制列表规则的数据流量就可以完整的查询公司网络哪个地方流量大,哪个地方有病毒了;简单的一句命令就完成了很多专业工具才能完成的工作;ACL百科名片访问控制列表AccessControlList,ACL是路由器和交换机接口的指令列表,用来控制端口进出的数据包;ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等;这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制;目录ACL介绍信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的;简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段;ACL的定义也是基于每一种协议的;如果路由器接口配置成为支持三种协议IP、AppleTa lk以及IPX的情况,那么,用户必须定义三种ACL来分别控制这三种协议的数据包;1ACL的作用ACL可以限制网络流量、提高网络性能;例如,ACL可以根据数据包的协议,指定数据包的优先级;ACL提供对通信流量的控制手段;例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量;ACL是提供网络安全访问的基本手段;ACL允许主机A访问人力资源网络,而拒绝主机B访问;ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞;例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量;例如：某部门要求只能使用这个功能,就可以通过ACL实现；又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现;ACL的执行过程一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断;如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查;数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较;如果匹配假设为允许发送,则不管是第一条还是最后一条语句,数据都会立即发送到目的接口;如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃;这里要注意,ACL不能对本路由器产生的数据包进行控制;ACL的分类目前有两种主要的ACL:标准ACL和扩展ACL、通过命名、通过时间;标准的ACL使用1~99以及1300~1999之间的数字作为表号,扩展的ACL使用100~199以及2000~2699之间的数字作为表号;标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇比如IP的所有通信流量;扩展ACL比标准ACL提供了更广泛的控制范围;例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL 来达到目的,标准ACL不能控制这么精确;在标准与中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字;使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改;在使用命名访问控制列表时,要求路由器的IOS 在以上的版本,并且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字;随着网络的发展和用户要求的变化,从开始,思科CISCO路由器新增加了一种基于时间的访问列表;通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,或二者相结合来控制网络数据包的转发;这种基于时间的访问列表,就是在原来的标准访问列表和扩展访问列表中,加入有效的时间范围来更合理有效地控制网络;首先定义一个时间范围,然后在原来的各种访问列表的基础上应用它;基于时间访问列表的设计中,用time-range命令来指定时间范围的名称,然后用absolu te命令,或者一个或多个periodic命令来具体定义时间范围;2正确放置ACLACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量;然而,网络能否有效地减少不必要的通信流量,这还要取决于网络管理员把ACL放置在哪个地方;假设在的一个运行TCP/IP协议的网络环境中,网络只想拒绝从RouterA的T0接口连接的网络到RouterD的E1接口连接的网络的访问,即禁止从网络1到网络2的访问;根据减少不必要通信流量的通行准则,网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处,即RouterA上;如果网管员使用标准ACL来进行网络流量限制,因为标准A CL只能检查源IP地址,所以实际执行情况为：凡是检查到源IP地址和网络1匹配的数据包将会被丢掉,即网络1到网络2、网络3和网络4的访问都将被禁止;由此可见,这个ACL控制方法不能达到网管员的目的;同理,将ACL放在RouterB和RouterC上也存在同样的问题;只有将ACL放在连接目标网络的RouterD上E0接口,网络才能准确实现网管员的目标;由此可以得出一个结论:标准ACL要尽量靠近目的端;网管员如果使用扩展ACL来进行上述控制,则完全可以把ACL放在RouterA上,因为扩展ACL能控制源地址网络1,也能控制目的地址网络2,这样从网络1到网络2访问的数据包在R outerA上就被丢弃,不会传到RouterB、RouterC和RouterD上,从而减少不必要的网络流量;因此,我们可以得出另一个结论：扩展ACL要尽量靠近源端;ACL的主要的命令命令描述ac cess-list定义访问控制列表参数ipaccess-group指派一个访问控制列表到一个接口ipacc ess-listextended定义一个扩展访问控制列表Remark注释一个访问控制列表showipaccess -list显示已配置的访问控制列表定义ACL时所应遵循的规范1ACL的列表号指出了是那种协议的ACL;各种协议有自己的ACL,而每个协议的ACL又分为标准ACL和扩展ACL;这些ACL是通过ACL列表号区别的;如果在使用一种访问ACL时用错了列表号,那么就会出错误;2一个ACL的配置是每协议、每接口、每方向的;路由器的一个接口上每一种协议可以配置进方向和出方向两个ACL;也就是说,如果路由器上启用了IP和IPX两种协议栈,那么路由器的一个接口上可以配置IP、IPX两种协议,每种协议进出两个方向,共四个ACL;3ACL的语句顺序决定了对数据包的控制顺序;在ACL中各描述语句的放置顺序是很重要的;当路由器决定某一数据包是被转发还是被阻塞时,会按照各项描述语句在ACL中的顺序,根据各描述语句的判断条件,对数据报进行检查,一旦找到了某一匹配条件就结束比较过程,不再检查以后的其他条件判断语句;4最有限制性的语句应该放在ACL语句的首行;把最有限制性的语句放在ACL语句的首行或者语句中靠近前面的位置上,把“全部允许”或者“全部拒绝”这样的语句放在末行或接近末行,可以防止出现诸如本该拒绝放过的数据包被放过拒绝的情况;5新的表项只能被添加到ACL的末尾,这意味着不可能改变已有访问控制列表的功能;如果必须改变,只有先删除已存在的ACL,然后创建一个新ACL,将新ACL应用到相应的接口上;6在将ACL应用到接口之前,一定要先建立ACL;首先在全局模式下建立ACL,然后把它应用在接口的出方向或进方向上;在接口上应用一个不存在的ACL是不可能的;7ACL语句不能被逐条的删除,只能一次性删除整个ACL;8在ACL的最后,有一条隐含的“全部拒绝”的命令,所以在ACL里一定至少有一条“允许”的语句;9ACL只能过滤穿过路由器的数据流量,不能过滤由本路由器上发出的数据包;10在路由器选择进行以前,应用在接口进入方向的ACL起作用;11在路由器选择决定以后,应用在接口离开方向的ACL起作用;。