（Router）路由交换实验

（Router）路由交换实验

实验00 模拟器HCL

实验任务一：请使用HCL模拟器完成上图拓扑

1、用快速以太网连线连接两台虚拟 PC 机。

2、选择界面中合适工具添加文字注释和椭圆框线。

实验任务二：网络互通

1、进入 PC1 的配置界面，填写IP地址、启动端口。

2、配置并启动 PC2

3、测试：进入 PC1 的命令行终端，先输入 ping 1.1.1.1 查看结果，再输入 ping 1.1.1.2 查看结果

实验任务三：抓包分析

右键单击设备间连线，在弹出菜单中点击 “开启抓包” 弹出抓包接口选择窗口，选择需要抓包的接口，点击“确认”启动抓包，同时在抓包列表区显示该接口。

将 PC2 改为 1.1.2.1，再 ping，发现不通，说明两者不在同一个网络中

---

$$OneEnd.$$

实验01 常用设备管理操作

任务一：掌握四种命令视图

1. 用户视图（Ctrl + z）

<H3C>		# 用户视图，一般都先进入系统视图再操作

2. 系统视图

<H3C>sys	# Tab 键自动补全命令
[H3C]		# 系统视图

3. 路由协议视图

[H3C]rip	# rip、ospf 等协议
[H3C-rip-1]

4. 接口视图：在这个视图下可以配置接口参数

[H3C]int g 0/0
[H3C-GigabitEthernet0/0]

任务二：设备的基本操作命令：

1. 修改配置设备名称

[h3c]sysname RTA

2. 配置系统时间

<h3c>clock datetime 11:11:11 2020/02/02

2. 显示系统时间（简写命令，自动识别）

<h3c>dis clock

3. 显示当前配置

<h3c>dis current-configuration

任务三：文件的基本操作命令

1. 保存配置命令

<h3c>save		// 或 save h3c.cfg 将当前配置文件保存为 h3c.cfg
<h3c>dis saved-configuration

2. 删除和清空配置文件

<h3c>reset saved-configuration

3. 显示文件目录

<h3c>pwd			// 显示文件目录
<h3c>dir			// 显示当前路径的所有文件列表
<h3c>more h3c.cfg	// 显示文本文件内容 less、cat等不知能用否
<h3c>cd				// 改变当前工作路径
<h3c>delete			// 文件删除

---

$$TwoEnd.$$

实验03 文件操作与设备调试

任务一 使用FTP上传下载系统文件

步骤一：根据拓扑连接设备，按图示完成基本配置

配置接口 IP

// 配置路由器 IP 地址
sys
int g 0/0
ip add 1.1.1.1 24

// 配置主机 IP，然后互 ping

步骤二：配置路由器

开启服务，创建用户

// 开启 ftp 服务功能
ftp server enable

// 创建用户设置密码、服务类型和用户角色
local-user whl
password simple 123
service-type ftp
authorization-attribute user-role network-admin		// 可以打问号看选项

步骤三：使用ftp登录到路由器中

ftp 1.1.1.1
ls 		// 可查看设备中、存在的文件
dir 	// 可看文件的详细属性
get filename.bin	// 下载文件
put d:/182501.cfg	// 上传文件

任务二 使用TFTP传输文件

1、如上图拓扑配置主机和路由器。

2、在电脑上打开3CDaemon程序作为TFTP服务器端。

3、选择传输文件存放的路径。

tftp 1.1.1.1 put h3c.cfg	// 上传
tftp 1.1.1.1 get h3c.cfg	// 下载

任务三 网络设备的基本调试

1. 基本配置

将 PCA IP地址设置为1.1.1.10 子网掩码为255.255.255.0 网关为1.1.1.1

将 PCB IP地址设置为1.1.2.10 子网掩码为255.255.255.0 网关为1.1.2.1

sysname PCA
int g 0/0
ip add 1.1.1.1 24
quit
ip route-static 0.0.0.0 0 1.1.1.1		// 设置网关

// PCB 同理

配置路由器 IP

int g 0/0
ip add 1.1.1.1 24		// 路由的 ip 即网关
int g 0/1
ip add 1.1.2.1 24
quit
ip ttl-expires enable
ip unreachables enable	// 这两行是让什么起作用的?

2. 通过 ping 测试互通性

3. tracert 命令的使用

tracert 1.1.2.1
// tracert 结果的三个时间分别是三次发 ttl 值的 ping request 消息后，返回 ttlexeced 的包的时间间隔

4. 通过 debugging 命令调试

// 用户视图下，打开 ip、icmp 调试开关
debugging ip icmp

// 信息输出的两个控制开关
terminal monitor		// 接口信息的监控功能开关
terminal debugging 		// 调试信息的屏幕输出开关

---

$$ThreeEnd.$$

实验04 以太网的基础实验

任务一 以太网端口配置

1. 建立物理连接并运行超级终端

2. 查看端口双工与速率

dis interface GigabitEthernet 1/0/1
1000Mbps-speed mode		// 速率
full-duplex mode		// 双工（这两个默认都是自协商模式）

3. 修改端口速率

int g 1/0/1			// 进入接口视图
speed 100			// 改为 100 M（速率模式变为强制模式了）

4. 修改端口双工模式

int g 1/0/1
duplex full			// 全双工（虽仍是全双工，但模式也变为强制了）

5. 同时修改端口的速率与双工

6. 关闭端口

shutdown 			// 只是影响了端口的物理状态
undo shutdown 		// 重启

任务二 MAC地址学习

1. 运行超级终端并初始化交换机配置

2. 连接 PC 并查看 MAC 地址表

dis mac-address
// 可以看到，MAC 地址对应的 port 表示：该 mac 地址对应的二层以太网端口，也即表示该 mac 地址是从该端口学习到的，那么发往 mac 地址的报文将从此端口发出

3. 配置静态 MAC 地址

mac-address static 5272-bcd2-0206 interface GE1/0/1 vlan 1
// state 为 static，不同于 Learned，不会动态改变

---

$$FourEnd.$$

实验05 VLAN配置

任务一 配置 Access链路端口

1. 建立物理连接并运行超级终端

2. 观察缺省VLAN

dis vlan		// 系统视图下

3. 配置VLAN并添加端口

// 配置 SWA、SWB
vlan 2
int g 1/0/1
port link-type access
port access vlan 2

4. 查看物理端口链路类型

dis int g 1/0/1		// 同以太网端口配置中 查看端口和双工速率 的命令

5. 测试VLAN间的隔离（不同 VLAN 间不能 ping 通）

任务二 配置 Trunk链路端口

1. 跨交换机VLAN互通测试

2. 配置Trunk链路端口

int g 1/0/24
port link-type trunk
port trunk permit vlan all		// 允许所有 vlan 通过（1， 2-4094）

3. 查看Trunk相关信息

dis int g 1/0/24
dis vlan 2

4. 跨交换机VLAN互通测试（通）

任务三 配置 Hybrid链路端口

1. 配置PC属于不同的VLAN

// PCA、B、C、D 分别属于 VLAN10、20、30、40
// 配置 SWA 10、20
vlan 10
vlan 20
int g 1/0/1
port access vlan 10
int g 1/0/2
port access vlan 20
// 配置 SWB 30、40

2. 配置Hybrid链路端口

// 配置 SWA，设置 vlan 30 40 允许以 untagged 方式通过
int g 1/0/1
port link-type hybrid
port hybrid vlan 30 40 untagged
int g 1/0/2
port link-type hybrid
port hybrid vlan 30 40 untagged

3. 查看Hybrid相关信息

dis vlan 10

4. 检查不同VLAN之间的互通性（唯AB不通）

---

$$FiveEnd.$$

实验06 生成树协议

任务一：STP基本配置

1. 连接配置线缆

2. 配置 STP

// 配置 SWA
[swa]stp global enable
[swa]stp priority 0			// 设置优先级为 4096的0倍
[swa]int g 1/0/1
[swa-GE1/0/1]stp edged-port	// 设置 0/1端口为边缘端口  （简写为GE了）

// 配置 SWB 优先级为 stp priority 4096

3. 查看 STP 信息

[swa]dis stp
[swa]dis stp brief
// 可以看到 swa 上端口的stp角色为 DESI(DP)，都处于 FORWAEDING 状态
// 可以看到SWB端口E1/0/23的STP角色是 ROOT(RP)  端口，处于   FORWARDING   状态，端口E1/0/24的STP角色是备份根端口，处于 DISCARDING  状态；连接PC的端口E1/0/1STP角色是  DESI  端口，处于  FORWARDING  状态

从上可以得知，STP能够发现网络中的环路，并有选择的对某些端口进行阻塞，最终将环路网络结构修剪成无环路的树型网络结构

STP不但能够阻断冗余链路，并且能够在活动链路断开时，通过激活被阻断的冗余链路而恢复网络的连通

MSTP包括RSTP行为，在指定端口是边缘端口的情况下，指定端口可以直接进入转发状态，没有延迟

端口E1/0/1从 DESI 状态先迁移到 DOWN 状态，最后到 DESI 状态。从以上实验可知，取消边缘端口配置后，STP收敛速度变慢了

任务二 配置聚合链路

交换机静态链路聚合配置

1. 连接配置电缆

2. 配置静态聚合

[swa]int bridge-aggregation 1		// 设置聚合组 1
[swa]int g 1/0/23
[swa-GE1/0/23]port link-aggregation group 1		// 将端口 23 加入聚合组 1
[swa]int g 1/0/24
[swa-GE1/0/24]port link-aggregation group 1
// 同样配置 SWB

3. 查看聚合组信息

<swa>dis link-aggregation summary		// 查看二层聚合端口所对应的聚合组摘要信息
<swa>dis int Bridge-Aggregation 1		// 详细信息

通过执行查看聚合组摘要信息命令，可以得知该聚合组聚合端口类型是： BAGG ，聚合模式是 S 静态聚合 ，负载分担类型是 Shar ，Select Ports数是 2 ，Unselect Ports数是 0

4. 链路聚合组验证

注意观察交换机面板上的端口LED显示灯，闪烁表明有 报文发送 。将聚合组中LED显示灯闪烁的端口上电缆断开，观察PCA上发送的ICMP报文无（有/无）丢失。（注意：丢失一个ping包也属于正常）

如上测试说明聚合组中的两个端口之间是 聚合 的关系。

另一个端也是如此

---

$$SixEnd.$$

实验07 ARP

任务一：ARP 表项观察

1. 建立物理连接

2. 配置PC及路由器的IP地址

// 配置完成后，查看配置是否正确
[pca]dis int g 0/0

3. 查看 ARP 信息

[rta]dis int g 0/0
[rta]dis int g 0/1
// 真机用 ipconfig/all 看
[pcb]ping 1.1.2.1
[pca]dis arp
[rta]dis arp all
// PC 及 RTA 上的 ARP 表对比一下 可知，PC 及 RTA 都建立了正确的 ARP 表项，表项中包含了 IP 地址和对应的 MAC 地址

任务二：ARP 代理配置

1. 上个实验的基础上修改 PC 配置，及配置路由 IP

2. ARP 代理配置

为什么呢？因为尽管 PCA 和 PCB 处于同一个子网内（掩码都是 255.255.0.0），但 RTA上两个接口的子网是不同的（分别为 172.16.0.0/24 和 172.16.1.0/24），所以它不会在两个不同子网之间转发 ARP 报文。但如果配置了 ARP 代理，路由器可以像二层交换机一样转发 ARP报文

[rta]int g 0/0
[rta-GE0/0]proxy-arp enable
[rta-GE0/0]int g 0/1
[rta-GE0/0]proxy-arp enable		// 然后应该就可达了

3. 查看 ARP 信息

[pca]dis arp

在 PCA 看来，RTA 的接口 G0/0 就是 PCB。实际上，是 RTA 的接口 G0/0 执行了 ARP 代理功能，为 PCA 发出的 ARP 请求提供了代理应答。

RTA欺骗了PCA（善意的谎言）

思考：RTA 的 ARP 表项中的“Aging”含义是什么？

答：老化时间

---

$$SevenEnd.$$

实验08 配置 DHCP 服务

任务一：PCA 直接通过 RTA 获得 IP

1. 建立物理连接并初始化路由配置

2. 在设备上配置 IP 及路由

3. 配置 RTA 作为 DHCP 服务器

[rta]dhcp enable						// 启动 DHCP服务
[rta]dhcp server forbidden-ip 172.16.0.1	// 配置地址池中不参与自动分配的 IP
[rta]dhcp server ip-pool abc			// 地址池名 abc
[rta-dhcp-pool-abc]network 172.16.0.0 mask 255.255.255.0
[rta-dhcp-pool-abc]gateway-list 172.16.0.1
// dis current-configuration 查看配置是否正确

4. PCA 通过 DHCP 服务器获得 IP

模拟器中用路由器充当PC来获取ip的方法是[H3C-GigabitEthernet0/0] ip add dhcp-alloc

[h3c-GE0/0]ip add dhcp-alloc
[h3c]dis ip int br

5. 查看 DHCP 服务器相关信息

在RTA上用 dis cu 命令来查看DHCP服务器禁止分配的IP地址

用 dis dhcp server free-ip pool abc 来查看DHCP服务器可供分配的IP地址资源

[rta]dis cu
[rta]dis dhcp server free-ip pool abc

任务二：PCA 通过 DHCP 中继方式获得 IP

1. 建立物理连接并初始化路由器配置

2. 在设备上配置 IP 及路由

// RTB 上配置缺省路由，下一跳指向 RTA
[rtb]ip route-static 0.0.0.0 0 1.1.0.2
// RTA 上配置接口 IP 及静态路由
[rta-GE0/0]ip add 1.1.0.2 24
[rta]ip route-staic 1.1.1.0 24 1.1.0.1

3. 在 RTA 上配置 DHCP 服务器及在 SWA 上配置 DHCP 中继

配置RTA为DHCP 服务器，给远端的PCA分配IP网段为1.1.1.0/24的地址，在如下的空格中补充完整的配置命令：

[rta]dhcp enable
[rta]dhcp server forbidden-ip 1.1.0.2
[rta]dhcp server forbidden-ip 1.1.0.1
[rta]dhcp server ip-pool 1
[rta-dhcp-pool-1]network 1.1.0.0 mask 255.255.255.0
[rta-dhcp-pool-1]gateway-list 1.1.1.0

配置RTB提供DHCP Relay服务

[rtb]dhcp enable
[rtb]int g 0/0
[rtb-GE0/0]dhcp select relay
[rtb-GE0/0]dhcp relay server-address 1.1.0.2

4. PCA 通过 DHCP 中继获取 IP

断开PCA与RTA之间的连接电缆，再接上，以使PCA重新发起DHCP请求

dis ip int br

5. 查看 DHCP 中继相关信息

在RTA上通过命令 dis dhcp relay server-address 查看DHCP中继服务器组的信息，

通过命令 dis dhcp relay information int g 0/0 查看接口对应的DHCP中继服务器组信息

RTA：

RTB：

H3C：

---

$$EightEnd.$$

实验09 路由配置+IPv6

任务一：直连路由与路由表查看

1. 建立物理连接并运行超级终端

2. 在路由器上查看路由表

路由器上在任意视图下通过执行 display ip routing-table 命令查看路由器全局路由表，执行该命令，从输出信息可知，目前路由器只有目的地址是 Direct 直连 的路由

[rta]dis ip routing-table

配置完成后，再次通过 display ip routing-table 查看RTA路由表，从该命令的输出信息可以看出，路由表中的路由类型为 直连 ，这种类型的路由是由链路层协议发现的路由，链路层协议UP后，路由器会将其加入路由表中。如果我们关闭链路层协议，则 该接口所属网段的直连路由无法进入路由表

在RTA上通过在 接口 视图下执行 shutdown 命令关闭接口GigabitEthernet0/0，然后再次查看RTA路由表，可以看到与该接口网段相关的路由 消失

继续在RTA上在 接口 视图下执行 undo shutdown 命令开启接口GigabitEthernet0/0，然后再次查看RTA路由表，可以看到与该接口网段相关的路由 存在

任务二：静态路由配置

1. 配置PC IP地址

在PCA上用Ping命令测试到PCB的可达性，PING的结果是 不通 ,造成该结果的原因是 RTB不认识1.1.1.0网段的报文

2. 静态路由配置规划

规划配置静态路由：

\1. 规划RTA上的静态路由，RTA上应该配置一条目的网段为 3.3.3.0 下一跳为 2.2.2.2 的静态路由

\2. 规划RTB上的静态路由，RTB上应该配置一条目的网段为 1.1.1.0 下一跳为 2.2.2.1 的静态路由

3. 配置静态路由

[rta]ip route-static 3.3.3.0 24 2.2.2.2
[rtb]ip route-static 1.1.1.0 24 2.2.2.1

配置完成后，分别在RTA和RTB上查看路由表，可以看到路由表中有一条 Proto 类型为static Pre优先级 为60的静态路由，表明路由配置成功

要查看PCA到PCB得数据报文的传递路径，可以在PCA上通过 tracert 命令来查看，查看结果是报文沿PCA→ RTA → RTB →_PCB__的路径被转发的

4. 路由环路观察

为了人为在RTA和RTB之间造成环路，可以在RTA和RTB上分别配置一条缺省路由，该路由的下一跳互相指向对方，因为路由器之间是用串口点到点相连的，所以可以（可以/不可以）配置下一跳为本地接口

[rta]ip route-static 0.0.0.0 0 2.2.2.2
[rtb]ip route-static 0.0.0.0 0 2.2.2.1

然后在PCA上用 tracert 命令追踪到目的IP地址3.3.3.3的数据报文的转发路径，由以上输出可以看到，到目的地址3.3.3.3的报文匹配了缺省路由，报文在 RTA 和 RTB 之间循环转发。造成该现象的原因是：到目的地址3.3.3.3的报文匹配了缺省路由，报文被转发到了RTB（192.168.1.2），而RTB又根据它的缺省路由，把报文转发回了RTA（192.168.1.1）。这样就形成了转发环路，报文在两台路由器之间被循环转发，直到TTL值到0后被丢弃

任务三：单臂路由

[sw1]vlan 10
[sw1-vlan10]port g 1/0/1
[sw1-vlan10]vlan 20
[sw1-vlan20]port g 1/0/2
[sw1-vlan20]int g 1/0/3
[sw1-GE1/0/3]port link-type trunk
[sw1-GE1/0/3]port tr per vlan  10 20

任务四：利用三层交换机实现VLAN间路由

[h3c]vlan 10
[h3c-vlan10]port g 0/1
[h3c]vlan 20
[h3c-vlan20]port g 0/2
// 创建vlan虚接口，配置vlan网关ip
[h3c]int vlan 10
[h3c-Vlan-interface10]ip add 10.1.1.1 24
[h3c]int vlan 20
[h3c-Vlan-interface20]ip add 20.1.1.1 24

IPv6

IPv6 地址配置及查看

1. 建立物理连接

<RTA> display version 
<RTA> reset saved-configuration 
<RTA> reboot 

2. 配置接口自动生成链路本地地址及测试可达性，查看邻居信息

配置RTA： 
# 配置接口G0/0自动生成链路本地地址。 
[RTA] interface GigabitEthernet0/0 
[RTA-GigabitEthernet0/0] ipv6 address auto link-local
用命令来查看生成的链路本地地址，记录下来并测试可达性。如下所示： 
[RTA] display ipv6 interface GigabitEthernet0/0 brief
[rta]dis ipv6 int g 0/0 br
[rta]ping ipv6 -i g 0/0 FE80::3CEF:CEFF:FE56:205
查看路由器的邻居信息。如下所示： 
[RTA] display ipv6 neighbors all

3. 配置接口生成全球单播地址并测试可达性，查看邻居信息

配置RTA： 
#在接口G0/0配置全球单播地址3001::1。 
[RTA] interface GigabitEthernet0/0 
[RTA-GigabitEthernet0/0] ipv6 address 3001::1/64 
[rta]dis ipv6 int g 0/0 br
[RTA] ping ipv6 3001::2
[RTA] display ipv6 neighbors all

可以看到，RTA与RTB间除了有链路本地地址的邻居外，还有全球单播地址的邻居

---

$$NineEnd.$$

实验10 配置RIP

任务一：配置RIPv1

**1. 配置各IP**

2. 启用RIP协议

在RTB上创建RIP进程并在RTB的两个接口上使能RIP，在如下的空格处填写具体命令
[rtb]rip
[rtb-rip-1]network 2.2.2.0
[rtb-rip-1]network 3.3.3.0
[rta]dis ip routing-table
在RTA上可以看到一条目的网段为   3.3.3.0  优先级为  100 的RIP路由
在RTB上可以看到一条目的网段为   1.1.1.0   优先级为 100 的RIP路由

3. 查看RIP运行状态

dis rip
<RTA>terminal debugging 
<RTA>terminal monitor
<RTA>debugging rip 1 packet

原因是路由器启用RIP后，水平分割功能缺省是打开的

4. 查看水平分割与毒性逆转

[RTA-Serial6/0]undo rip split-horizon		// 关闭水平分割功能
由以上输出可知，在水平分割功能关闭的情况下，RTA在接口Serial6/0上发送的路由更新包含了路由   2.2.2.2    。也就是说，路由器把从接口Serial6/0学到的路由 又从该接口发送了出去。这样容易造成路由环路
另外一种避免环路的方法是毒性逆转。在RTA的接口Serial6/0上启用毒性逆转，请在如下的空格中补充完整的配置命令
[RTA-Serial6/0]  rip poison-reverse
由以上输出信息可知，启用毒性逆转后，RTA在接口Serial 6/0上发送的路由更新包含了路由192.168.2.0，但度量值为16（无穷大）。相当于显式地告诉RTB，从RTA的接口Serial6/0上不能到达网络192.168.2.0

配置RTA接口GigabitEthernet 0/0工作在抑制状态，请补充完整的配置命令：

[RTA-rip-1]silent-interface g 0/0

关闭debugging

<RTB>undo debugging all

任务二：配置RIPv2

// 使能rip
rip
dis ip routing-table	// 查看全局路由表
在步骤三的基础上修改RTA、RTB的RIP版本为Version 2，在正确的视图下配置RIP Version 2的命令：
[RTA-rip-1]  version 2
要使得RIP V2能够向外发布子网路由和主机路由，而不是按照自然掩码发布网段路由，还需要配置关闭RIPV2自动聚合功能，在正确视图下完成该配置的命令：
[RTA-rip-1]   undo summary
RTA上添加如下配置：
[RTA-Serial6/0]rip authentication-mode md5 rfc2453 aaaaa
如上配置命令的含义是在  启动2453格式的MD5认证，密钥为aaaaa
配置RTB的S6/0启动RFC 2453格式的MD5认证，密钥为abcde，请在如下空格中填写完整的配置命令：
[RTB-Serial6/0]rip authentication-mode md5 rfc2453 plain abcde
修改RTB的MD5认证密钥，使其与RTA认证密钥一致，请在如下空格中补充完整的配置命令：
[RTB-Serial6/0]rip authentication-mode md5 rfc2453 plain aaaaa
配置完成后，等待一段时间后，再查看RTA上的路由表，可以看到，RTA路由表中有了正确的路由10.0.0.0/24。请在如下空格中说明为什么需要等待一段时间后才能看到正确的路由：需要等到RIP的更新周期

---

$$TenEnd.$$

实验11 配置OSPF

任务一：单区域OSPF基本配置

[RTA]router id 1.1.1.1
[RTA]ospf 1
如上配置中，数字1的含义是    启动ospf进程1     
[RTA-ospf-1]area 0.0.0.0
[RTA-ospf-1-area-0.0.0.0]network 1.1.1.1   0.0.0.255  
[RTA-ospf-1-area-0.0.0.0]network 10.0.0.0    0.0.0.255    
[RTA-ospf-1-area-0.0.0.0]network 20.0.0.0    0.0.0.255
display ospf peer   	命令查看路由器OSPF邻居状态
display ospf routing    命令查看路由器的OSPF路由表
display ip routing-table    命令查看路由器全局路由表

任务二：单区域OSPF增强配置

修改路由器OSPF接口开销需要在  接口  视图下通过 ospf cost value 命令完成
配置修改路由器OSPF接口优先级需要在 接口 视图下通过 ospf dr-priority pri 命令完成
在路由器上重启OSPF进程需要在用户视图下通过reset ospf 1 process 命令完成

任务三：多区域OSPF基本配置

---

$$11End.$$

实验12 ACL包过滤

任务一：配置基本ACL

次配置基本ACL，基本ACL的编号范围是  2000+  ，请在下面的空格中补充完整的命令：
[RTA]acl basic 2001  
[RTA-acl-basic-2001]  rule deny source 1.1.1.2 0
最后要在RTA的接口上应用ACL才能确保ACL生效，请在下面的空格中写出完整的在正确的接口正确的方向上应用该ACL的配置命令：
[RTA-GigabitEthernet0/0]  packet-filter 2001 inbound

在RTA上通过命令 display acl 2001 查看ACL的统计，根据其输出信息显示可以看
Rule 0  8   times matched,根据该显示可以看到有数据报文命中了ACL中定义的规则

任务二：配置高级ACL

配置高级ACL，高级ACL的编号范围是 3000+  ，请在下面的空格中补充完整的命令：
[RTA]acl advanced 3002  
[RTA-acl-adv-3002]rule 0 deny tcp source 1.1.1.2 0 destination 3.3.3.0 0.0.0.255 destination-port eq ftp  
[RTA-acl-adv-3002]rule 5 permit ip source 1.1.1.0 0.0.0.255 destination 3.3.3.0 0.0.0.255
最后要在RTA的接口上应用ACL才能确保ACL生效，请在下面的空格中写出完整的在正确的接口正确的方向上应用该ACL的配置命令：
[RTA-GigabitEthernet0/0]      packet-filter 3002 inbound
display acl 3002

---

$$12End.$$

实验13 NAT配置

任务一：配置BasicNAT

在RTA上配置缺省路由去往公网路由器RTB，请在下面的空格中补充完整的路由配置：
[RTA]     ip route-static 0.0.0.0 0 1.1.1.2
通过ACL定义允许源地址属于10.0.0.0/24网段的流做NAT转换，请在如下的空格中填写完整的ACL配置命令
[RTA]acl basic 2000 
[RTA-acl-basic-2000] rule permit source 10.0.0.0 0.0.0.255
配置NAT地址池，设置地址池中用于地址转换的地址范围为：198.76.28.11到198.76.28.20，请在下面的空格中填写完成的NAT地址池配置命令：
[RTA]nat address-group 1 address 1.1.1.100 1.1.1.110    
   在该命令中，数字1的含义是：   地址池1
将地址池与ACL关联，并在正确的接口的正确方向上下发，请在下面的空格中填写完整的命令：
[RTA]int g 0/1  
[RTA- G0/1]nat outbound 2000 address-group 1 no-pat
在该命令中，参数no-pat的含义是： 不复用

通过  dis nat session br 命令查看NAT会话信息，依据该信息输出，可以看到该ICMP报文的源地址10.0.0.1已经转换成公网地址    1.1.1.108     ，目的端口号和源端口号均为   174   。源地址10.0.0.2已经转换成公网地址  1.1.1.109  ，目的端口号和源端口号均为  177  。五分钟后再次通过该命令查看表项，发现  找不到了   ，产生这种现象的原因是     路由器的NAT老化了

dis nat session verbose  命令查看路由器的NAT默认老化时间

任务二：NAPT配置

首先通过ACL定义允许源地址属于10.0.0.0/24网段的流做NAT转换，请在如下的空格中填写完整的ACL配置命令
[RTA]acl number 2000 
[RTA-acl-basic-2000]    rule permit source 10.0.0.0 0.0.0.255            
其次配置NAT地址池1，设置地址池中用于地址转换的地址为：198.76.28.11（1.1.1.111）
[RTA-acl-basic-2000]  address 1.1.1.111 1.1.1.111              
在  接口  视图下将NAT地址池与ACL绑定并下发，在配置命令中   不需 （需要/不需要）携带no-pat参数，意味着   可复用  ,请在下面的空格中填写完整的命令：
[RTA] interface   G0/1
[RTA- G0/1]  nat outbound 2000 address-group 1

dis nat session br  命令查看NAT会话信息

任务三：EasyIP配置

先通过ACL定义允许源地址属于10.0.0.0/24网段的流做NAT转换，请在如下的空格中填写完整的ACL配置命令
[RTA]acl number 2000 
[RTA-acl-basic-2000]                   同上                       
   然后在接口视图下江ACL与接口关联并下发NAT，请在如下的空格中填写完整的配置命令：
[RTA] int     g 0/1        
[RTA- G0/1]    nat outbound 2000

dis nat session br

请思考一个问题：在步骤五中，从Client_A能够ping通Server，但是如果从Server端ping Client_A呢？其结果是无法ping通。 导致这种情况的原因是：在RTA上始终没有10.0.0.0/24网段的路由，所以Server直接ping Client_A是不可达的。而Client_A能ping通Server是因为，由Server回应的ICMP回程报文源地址是Server的地址198.76.29.4，但是目的地址是RTA的出接口地址198.76.28.1，而不是Client_A的实际源地址10.0.0.1。也就是说这个ICMP连接必须是由Client端来发起连接，触发RTA做地址转换后转发。还记得我们在RTA出接口Eth 0/1下发NAT配置时的那个outbound吗？NAT操作是在出方向使能有效。所以，如果从Server端始发ICMP报文ping Client端，是无法触发RTA做地址转换的

任务四：NAT Server配置

允许Client_A对外提供ICMP服务。请在如下空格中完成完整的配置命令：
[RTA] interface   G0/1
[RTA- G0/1]  nat server protocol icmp global 1.1.1.112 inside 10.0.0.1

dis nat server

---

$$13End.$$

实验14 广域网基础

---

$$14End.$$

md地址.