地址分配表
学习目标
- 应用基本的路由器配置
- 配置动态路由和默认路由
- 建立远程办公服务
- 在配置 ACL 之前测试连通性
- 应用 ACL 策略
- 在配置 ACL 之后测试连通性
简介
本练习要求您配置一个默认路由以及使用 RIP 第 2 版的动态路由。您还要为网络添加宽带设备。最后,您要在两台路由器上设置 ACL 来控制网络流量。由于 Packet Tracer 在对 ACL 的评分方式上非常严格,因此需要按给定的顺序来配置 ACL 规则。
任务 1:应用基本的路由器配置
步骤 1:配置基本命令。
用拓扑图和地址表中的信息来配置 R1、R2 和 R3 上的基本设备配置。主机名已配置好。
包括以下内容:
- 控制台线路和 vty 线路
- 标语
- 禁用域名查询
- 接口描述
任务 2:配置动态路由和默认路由
步骤 1. 配置默认路由。
R2 需要有默认路由。请在默认路由配置中采用送出接口参数。
步骤 2. 配置动态路由。
在 R1、R2 和 R3 上针对所有可用网络配置 RIPv2。R2 需要将其默认网络配置传递给其它路由器。此外,请务必对所有未用于路由的活动接口使用 passive-interface 命令。
步骤 3. 检查结果。
完成百分比应当为 59%。如果不是,请单击 Check Results(检查结果),了解哪些必需的组件尚未完成。
任务 3:建立远程办公服务
步骤 1. 添加 WAN 设备。
根据拓扑图,添加一台 DSL 调制解调器和一台电缆调制解调器。
步骤 2. 命名 WAN 设备。
用 Config(配置)选项卡将每台 WAN 设备的显示名称分别更改为Cable 和 DSL。
步骤 3. 连接 WAN 设备。
使用适当的电缆和接口将 WAN 设备连接至相应的 PC 和 Internet。
步骤 4. 检查结果。
完成百分比应当为 86%。如果不是,请单击 Check Results(检查结果),了解哪些必需的组件尚未完成。
任务 4:在配置 ACL 之前测试连通性
此时,拓扑的所有分支都应相互连通。在 Simulation(模拟)模式和 Realtime(实时)模式之间切换可加快收敛。
任务 5:应用 ACL 策略
步骤 1. 创建并应用第一项安全策略。
使用 ACL 编号 101 来实施以下 ACL 规则:
- 允许 192.168.30.0/24 网络上的主机通过 Web 访问任意目的地。
- 允许 192.168.30.0/24 网络上的主机通过 ping 访问任意目的地。
- 拒绝来自网络的任何其它访问。
R3(config)#int f0/1
R3(config-if)#ip access-group 101 in
R3(config)#access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq www
R3(config)#access-list 101 permit icmp 192.168.30.0 0.0.0.255 any
R3(config)#access-list 101 deny ip any any
步骤 2. 创建并应用第二项安全策略。
由于 ISP 提供通往 Internet 的连接,因此请按照下列顺序配置名为 FIREWALL 的命名 ACL:
- 允许 TW-DSL 通过 Web 访问 Intranet 服务器。
- 允许 TW-Cable 通过 Web 访问 Intranet 服务器。
- 仅允许来自 ISP 和来自 ISP 之外任何源地址的入站 ping 应答。(echo-reply)
- 仅允许来自 ISP 和来自 ISP 之外任何源地址的已建立 TCP 会话。
- 明确阻止来自 ISP 和来自 ISP 之外任何源地址的所有其它入站访问。
R2(config)#ip access-list extended FIREWALL
R2(config-ext-nacl)#permit tcp host 192.168.1.10 host 192.168.20.254 eq www
R2(config-ext-nacl)#permit tcp host 192.168.2.10 host 192.168.20.254 eq www
R2(config-ext-nacl)#permit icmp any any echo-reply
R2(config-ext-nacl)#permit tcp any any established
R2(config-ext-nacl)#deny ip any any
步骤 3. 检查结果。
完成百分比应当为 100%。如果不是,请单击 Check Results(检查结果),了解哪些必需的组件尚未完成。
任务 6:在配置 ACL 之后测试连通性
远程工作者应该无法 ping 通 Intranet 服务器,但是应该能通过 Web 浏览器访问其 HTTP 服务器。本练习包括三个 PDU,其中两个应该会失败,另一个则会成功。查看 Check Results(检查结果)菜单中的 Connectivity Tests(连通性测试),确保完成结果为 100%。
R1配置
R1(config)#line vty 0 15
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#line console 0
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#banner motd #warnning#
R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#no auto-summary
R1(config-router)#net 192.168.10.0
R1(config-router)#net 10.1.1.0
R1(config-router)#pass f0/1
R2配置
R2(config)#line vty 0 15
R2(config-line)#password cisco
R2(config-line)#login
R2(config-line)#line console 0
R2(config-line)#password cisco
R2(config-line)#login
R2(config-line)#banner motd #warnning#
R2(config)#
R2(config)#router rip
R2(config-router)#version 2
R2(config-router)#no auto-summary
R2(config-router)#net 192.168.20.0
R2(config-router)#net 10.1.1.0
R2(config-router)#net 209.165.200.0
R2(config-router)#pass f0/1
R2(config-router)#default originate
R2(config)#ip access-list extended FIREWALL
R2(config-ext-nacl)#permit tcp host 192.168.1.10 host 192.168.20.254 eq www
R2(config-ext-nacl)#permit tcp host 192.168.2.10 host 192.168.20.254 eq www
R2(config-ext-nacl)#permit icmp any any echo-reply
R2(config-ext-nacl)#permit tcp any any established
R2(config-ext-nacl)#deny ip any any
R2(config)#int s0/1/0
R2(config-if)#ip access-group FIREWALL in
R3配置
R3(config)#line vty 0 15
R3(config-line)#password cisco
R3(config-line)#login
R3(config-line)#line console 0
R3(config-line)#password cisco
R3(config-line)#login
R3(config-line)#banner motd #warnning#
R3(config)#route rip
R3(config-router)#version 2
R3(config-router)#net 192.168.30.0
R3(config-router)#net 10.1.1.0
R3(config-router)#no auto-summary
R3(config-router)#pass f0/1
R3(config)#int f0/1
R3(config-if)#ip access-group 101 in
R3(config)#access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq www
R3(config)#access-list 101 permit icmp 192.168.30.0 0.0.0.255 any
R3(config)#access-list 101 deny ip any any