ciscoPacket+Tracer教程1Word文档下载推荐.docx
《ciscoPacket+Tracer教程1Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《ciscoPacket+Tracer教程1Word文档下载推荐.docx(39页珍藏版)》请在冰点文库上搜索。
DNSSever"
中输入192.168.219.5。
点"
INTERFACE"
FastEthernet"
IPAddress"
中输入192.168.219.10。
在下方的"
SubnetMask"
的输入框中点一下,会自动分配一个子网掩码。
跟刚才差不多,给Server设置一下,你需要给它配置IP192.168.219.5,Subnetmask默认。
在"
DNS"
标签下,"
DomainName"
设置为.
"
设置为192.168.219.5。
别忘了点一下"
Add"
按钮,把它添加进去。
现在我们模拟的是这样一个网络,我们架设了一台Web服务器,然后我拿一台电脑和它相连,如果我们能正常访问网页,证明我们的网络没问题。
好了,我现在单击一下PC0,点一下"
WebBrowser"
图标。
在URL栏里输入。
如果返回下图,表示我们的第一个实验完成了。
下一节,我将讲一下包的一些知识
PacketTracer教程三之做实验
PacketTracer本身带有一些试验,该设置的都设置了,只不过都不通,你的目的就是把拓扑连通。
在打开PacketTracer后,打开%安装路径%\PacketTracer5.0\saves\Reference_Topologies\.你会看到如下图所示的实验拓扑文件:
选择其中的一个,把它对通,就算完成任务,初始的情况下,都是不通的,不过该设的都给你设了。
我选了6c1.pkt.,如下:
可以看到,接口都是红色的,表示不通。
下面我们把这个实验做完。
(1)分别进入R0与R1的f0/0、Router1与Router0的s0/0接口的配置模式下,输入noshut.并保存配置。
(2)此时发现接口状况都是绿的,接口已激活。
(3)我们可以在PC0上试着ping一下PC1,发现ping不通。
怎么回事呢?
在Router0上showiproute一下,发现没有到192.168.3.0段的路由。
配个路由协议就OK了。
(4)用RIP协议就可以了,在R0上宣告一下网段。
Router(config)#routerrip
Router(config-router)#network192.168.1.0
Router(config-router)#network192.168.2.0
(5)在R1上宣告一下网段:
Router(config-router)#network192.168.3.0
(6)过一小会儿,路由器之间会互相学习到对方的路由。
我们可以在R0上showiproute一下:
Gatewayoflastresortisnotset
C
192.168.1.0/24isdirectlyconnected,FastEthernet0/0
192.168.2.0/24isdirectlyconnected,Serial0/0
R
192.168.3.0/24[120/1]via192.168.2.2,00:
00:
03,Serial0/0
看到了吗,已经学习到了。
这时候我们进入PC0的命令行模式下。
ping一下PC1.
通了,就是这么简单,你也可以作实验了。
PacketTracer教程四之ACL
首先我们要搭建一个拓扑,以验证我们的ACL是否有效。
结构很简单,一个Web服务器,一个用于调试路由器的控制终端。
一个用于访问Web服务器的访问终端。
Web服务器地址是:
172.16.1.1网关地址是:
172.16.1.2对应Router的f0/0接口;
访问终端IP地址是:
192.168.10.10网关地址是:
192.168.1.1对应Router的f0/1接口;
控制终端不用设置;
关于如何搭建Web服务器的配置,在原来说过,在教程2里说过,这里给个链接:
这个拓扑比那个多个路由器,只需配置一个简单的路由协议。
RIP就行。
配置好,用访问终端访问Web服务器,效果如下:
我们现在要在Router的右侧的f0/1接口配置一条规则,禁止Web服务器的一切路由信息访问到访问终端。
这用到了一标准的访问控制列表策略。
Router>
en
Router#configt
Router(config)#access-list10deny172.16.1.10.0.0.0
Router(config)#access-list10permitany
Router(config)#intf0/1
Router(config-if)#ipaccess-group10out
现在我们在访问终端处ping一下看一下效果,如下:
我们ping172.16.1.2是通的,ping172.16.1.1却不通。
我们在Web服务器端ping192.168.10.1发现是通的。
也就是说,ping能够到达Web服务器,但在f0/1接口遇到阻拦,也就是我们的ACL发挥了效果。
数据能够出的去,但却因为在f0/1接口有ACL,数据回不来。
既然是Web服务器,我们当然想别人能够访问web服务,但为了安全起见,我们只需服务器提供此服务,不想让别人通过其它的端口啊什么的,和服务器建立联系。
所以此时我们要用到扩展访问控制列表了。
未完待续
ACL:
访问控制列表(AccessControlList,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。
ACL介绍
信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。
简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段。
ACL的定义也是基于每一种协议的。
如果路由器接口配置成为支持三种协议(IP、AppleTalk以及IPX)的情况,那么,用户必须定义三种ACL来分别控制这三种协议的数据包。
[1]
ACL的作用
ACL可以限制网络流量、提高网络性能。
例如,ACL可以根据数据包的协议,指定数据包的优先级。
ACL提供对通信流量的控制手段。
例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。
ACL允许主机A访问人力资源网络,而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。
例如:
某部门要求只能使用WWW这个功能,就可以通过ACL实现;
又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。
ACL的执行过程
一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。
如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。
数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较。
如果匹配(假设为允许发送),则不管是第一条还是最后一条语句,数据都会立即发送到目的接口。
如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。
这里要注意,ACL不能对本路由器产生的数据包进行控制。
ACL的分类
目前有两种主要的ACL:
标准ACL和扩展ACL、通过命名、通过时间。
标准的ACL使用1~99以及1300~1999之间的数字作为表号,扩展的ACL使用100~199以及2000~2699之间的数字作为表号。
标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。
扩展ACL比标准ACL提供了更广泛的控制范围。
例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。
在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。
使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改。
在使用命名访问控制列表时,要求路由器的IOS在11.2以上的版本,并且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字。
随着网络的发展和用户要求的变化,从IOS12.0开始,思科(CISCO)路由器新增加了一种基于时间的访问列表。
通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,或二者相结合来控制网络数据包的转发。
这种基于时间的访问列表,就是在原来的标准访问列表和扩展访问列表中,加入有效的时间范围来更合理有效地控制网络。
首先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。
基于时间访问列表的设计中,用time-range命令来指定时间范围的名称,然后用absolute命令,或者一个或多个periodic命令来具体定义时间范围。
[2]
正确放置ACL
ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。
然而,网络能否有效地减少不必要的通信流量,这还要取决于网络管理员把ACL放置在哪个地方。
假设在的一个运行TCP/IP协议的网络环境中,网络只想拒绝从RouterA的T0接口连接的网络到RouterD的E1接口连接的网络的访问,即禁止从网络1到网络2的访问。
根据减少不必要通信流量的通行准则,网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处,即RouterA上。
如果网管员使用标准ACL来进行网络流量限制,因为标准ACL只能检查源IP地址,所以实际执行情况为:
凡是检查到源IP地址和网络1匹配的数据包将会被丢掉,即网络1到网络2、网络3和网络4的访问都将被禁止。
由此可见,这个ACL控制方法不能达到网管员的目的。
同理,将ACL放在RouterB和RouterC上也存在同样的问题。
只有将ACL放在连接目标网络的RouterD上(E0接口),网络才能准确实现网管员的目标。
由此可以得出一个结论:
标准ACL要尽量靠近目的端。
网管员如果使用扩展ACL来进行上述控制,则完全可以把ACL放在RouterA上,因为扩展ACL能控制源地址(网络1),也能控制目的地址(网络2),这样从网络1到网络2访问的数据包在RouterA上就被丢弃,不会传到RouterB、RouterC和RouterD上,从而减少不必要的网络流量。
因此,我们可以得出另一个结论:
扩展ACL要尽量靠近源端。
ACL的主要的命令 命令描述access-list定义访问控制列表参数ipaccess-group指派一个访问控制列表到一个接口ipaccess-listextended定义一个扩展访问控制列表Remark注释一个访问控制列表showipaccess-list显示已配置的访问控制列表
Cisco网络术语汇编
10BaseT-----原始IEEE802.3标准的一部分,1OBaseT是1OMb/s基带以太网规范,它使用两对双绞电缆(3类、4类或5类),一对用于发送数据另一对用于接收数据。
1OBaseT每段的距离限制约为100米。
参见Ethernet和IEEE802.3。
1OOBaseT-----基于IEEE802.3U标准,1OOBaseT是使用UTP接线的基带快速以太网规范。
当没有通信量出现时。
1OOBaseT在网络上发送链接脉冲(比1OBaseT中使用的包含更多信息)。
参见10BaseT、FastEthernet和IEEE802.3。
100BaseTX-----基于IEEE802.3U标准,100BaseTX是使用两对UTP或STP接线的10OMb/S基带快速以太网规范。
第一对线接收数据;
第二对线发送数据。
为确保正确的信号定时,一个100BaseTX网段不能超过100米长。
A&
Bbitsignaling(A和B比特信令)-----用于T-1传输设备,有时称为\"
第24信道信令\"
。
在这一方案中,每个T-1于信道使用每个第六帧的一个比特来发送监控信令信息。
字串3
AAA-----身份验证(Authentication)、授权(Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。
奏见authentication。
authorization和accounting
AALATM适应层-----数据链路层的一个与服务有关的子层,数据链路层从其他应用程序接受数据并将其带人ATM层的48字节有效负载段中。
CS和SAR是AAL的两个子层。
当前,ITU-T建议的四种AAL是AAL1、AAL2、AAL3/4和AAL5。
AAL由它们使用的源-目的地定时所区分,无论它们是CBR或VBR,也无论它们是用于面向连接的或无连接模式的数据传输。
参见AAL1、AAL2、AAL3/4、AAL5、AT和ATMlayer
AAL1ATM适应层1-----ITU-T建议的四种AAL之一,用于面向连接的、需要恒定比特率的时间敏感的业务,如同步通信量和未压缩的视频。
奏见
AAL2ATM适应层2-----ITU-T建议的四种AAL之一,用于面向连接的、支持可变比特率的业务,如语音通信量参见AAL
AAL3/4ATM适应层3/4-----ITU-T建议的四种AAL之一,支持面向连接的也支持无连接的链路。
主要用于在ATM网络上发送SMDS数据包。
参见AAL
AAL5ATM适应层5-----ITU-T建议的四种AAL之一,主要用于支持面间连接的VBR业务以传送经典的IPoverATM和LANE通信量。
这个AAL的最简单推荐标准使用SEAL,提供较低的带宽开销和较简单的处理要求,但也提供减少的带宽和差错恢复能力。
参见AAL
字串7
AARPAppleTalk地址解析协议-----在AppleTalk栈中的这个协议将数据链路地址映射为网络地址
AARPprobepackets(AARP探测包)-----AARP发送的数据包,用来确定一个非扩展AppleTalk网络中一个给定的节点ID是否被另一个节点所使用。
若该节点ID末被使用,发送节点可用那个节点的ID,若该节点ID已被使用,发送节点将选择一个不同的ID并送出更多的AARP探测包。
参见AARP
ABM异步平衡模式-----当两个站可以开始传输时,ABM是一种支持两站间对等的、点到点通信的HDLC(或其导出的一个协议)通信技术
ABR区域边界路由器-----位于一个或多个OSPF区域边界的OSPF路由器,ABR被用来将OSPF区域连接到OSPF骨干区
accesslayer(接入层)-----Cisco三层分级模型中的一层。
接人层使用户接人互联网络。
accesslink(接入链接)-----交换机使用的一种链接,是虚拟VAN(VLAN)的一部分。
干线链接从多个VLAN传送信息。
ccesslist(访问表)-----路由器保存的一组测试条件,它确定网络上各种业务\"
感兴趣的通信量\"
往返于路由器。
字串2
accessmethod(访问方法)-----网络设备获得网络访问权的万式。
accessrate(接入速率)-----定义电路的带宽速率。
例如,T-1电路的接人速率是1.544Mb/s。
在帧中继和其他技术中,可以是部分T-1连接(例如256kb/s),但接人速率和时钟速率仍为I.544Mb/S
accessserver(接入服务器)-----即所谓的\"
网络接人服务器\"
,它是一个通信过程,通过网络和终端仿真软件将异步设备连接到--个LAN或WAN,提供所支持协议的同步或异步路由选择。
accounting(统计)-----AAA中的三个组件之一。
统计为安全模型提供审计和记录功能
acknowledgment(确认)-----从一个网络设备发送到另一个网络设备的验证,表明一个事件已经发生。
可缩写为ACK。
对照NAK。
ACR允许信元速率-----ATM论坛为管理ATM通信量定义的一个名称。
利用拥塞控制措施动态控制,ACR在最小信元速率(MCR)和峰值信元速率(PCR)之间变化。
参见MCR和PCR
activemonitor(活动监视器)-----用来管理令牌环的机制。
环上具有最高MAC地址的网络节点成为活动监视器并负责管理防止环路和确保令牌不丢失之类的任务。
字串8
addresslearnmng(地址学习)-----与透明网桥一起用于获悉互联网络上所有设备的硬件地址。
然后交换机用已知硬件地址(MAC)过滤该网络
addressmapping(地址映射)-----通过将网络地址从一种格式转换为另一种格式,这种方法允许不同的协议交替操作
addressmask(地址掩码)-----一个位组合描述符,它识别一个地址的哪个部分代表网络或子网,哪个部分代表主机。
有时简称为掩码。
奏见subnetmask
addressresolution(地址解析)-----用于解决计算机编址方案间差别的过程。
地址解析一般定义一种方法来跟踪网络层(第三层)地址到数据链路层(第二层)地址。
参见addressmapping。
adjacency(邻接)-----使用共同介质段建立的邻近路由器和终端节点之间的关系,以交换路由信息。
administrativedistance(管理距离)-----0到255之间的一个数,它表示一条路由选择信息源的可信性值。
该值越小,宪整性级别越高
administrativeweight(管理加权)-----网络管理员对给定网络链路分级所指定的值。
它是PTSP交换的四个链路度量之一,用来测试ATM网络资源的可靠性。
ADSUATM数据服务单元(ATMDataServiceUnit)-----用于通过HSSI兼容机制连接到ATM网络的终端适配器。
参见DSU
advertising(通告)-----路由选择或服务更新以给定间隔被发送的过程,允许网络上的其他路由器维护一个现有可用路由的记录
AEPAppleTalk回应协议(AppleTalkEchoProtocol):
两个AppleTalk节点之间连通性的一种测试,其中一个节点发送一个包给另一个节点并在响应中接收回应或拷贝。
AFI权限和格式标识符(AuthorityandFormatIdentifier)-----NSAPATM地址的一部分,它描绘ATM地址IDI部分的类型和格式。
AFPAppleTalk文件协议(AppleTalkFilingProtocol)-----一个表示层协议,支持AppleShare和MacOS文件共享,允许用户共享服务器上的文件和应用程序。
AIPATM接口处理器(ATMInterfaceProcessor)-----支持AAL3/4和AAL5.Cisco7000系列路由器的这个接口最小化UNI的性能瓶颈。
参AAL3/4私AAL5。
algorithm(算法)-----用来解决一个问题的一组规则或过程。
在网络中算法一般用来发现通信量从源到其目的地的最佳路由。
字串2
alignmenterror(对齐错误)-----以太网网络中出现的一种错误,其中收到的帧有额外的位,即一个数不可被8整除。
对齐错误通常是冲突引起的帧损坏的结果。
all-routesexplorerpacket(全路由探测包)-----一个能够越过整个SRB网络的探测包,跟踪到一个给定目的地的所有可能路径。
也称为全环探测包。
参见explorerpacket、localexplorerpacket和Spanningexplorerpacket。
AM幅度调制(Ampli