《计算机网络虚拟实践操作》课件第2部分 Cisco路由器和交换机配置-PT版.pptVIP

*（6）在交换机3560的命令行方式下输入以下命令。Switchen（进入超级权限模式）Switch#conft（进入全局设置模式）Switch(config)#hostname3560（设置交换机的名字）3560(config)#exit（退到上一级模式）3560#vlandatabase（进入VLAN数据库）3560(vlan)#vtpdomainvd1（设置VTP域名）3560(vlan)#vlan2（创建VLAN2）3560(vlan)#exit（退到上一级模式）3560#conft（进入全局设置模式）3560(config)#intfa0/24（进入端口fa0/24设置模式）3560(config-if)#switchportmodetrunk（将级连口trunk打开）3560(config-if)#intfa0/2（进入端口fa0/2设置模式）3560(config-if)#switchportmodeaccess（设置端口为存取模式）3560(config-if)#switchportaccessvlan2（将端口添加到VLAN2）3560(config-if)#^Z（按Ctrl+Z快捷键退到超级权限模式）*3560#showvlan（显示VLAN信息）3560#conft（进入全局设置模式）3560(config)#intvlan1（进入VLAN1的端口设置模式）3560(config-if)#ipaddress192.168.0.254255.255.255.0（给VLAN1设置IP地址，该地址为其对应VLAN1内各计算机的默认网关）3560(config-if)#noshut（激活VLAN1端口）3560(config-if)#intvlan2（进入VLAN2的端口设置模式）3560(config-if)#ipaddress192.168.1.254255.255.255.0（给VLAN2设置IP地址，该地址为其对应VLAN2内各计算机的默认网关）3560(config-if)#noshut（激活VLAN2端口）（7）测试不同VLAN的主机间的连通性。在主机PCA的命令提示符窗口去ping主机PCC的IP地址。由于主机PCA在VLAN1，而主机PCC在VLAN2，它们属于不同的VLAN，由于VLAN之间通过三层交换机已自动设置了直连路由，所以测试通信成功。18.9用访问列表来控制IP通信*18.9.1包过滤功能简介包过滤功能可以帮助路由器控制数据包在网络中的传输，通过包过滤可以限制网络流量以及增加网络安全性。包过滤功能对路由器本身产生的数据包不起作用。当数据包进入某个端口时，路由器首先检查该数据包是否可以通过路由或桥接方式送出去，如果不能，则路由器将丢掉该数据包，如果该数据包可以传送出去，则路由器将检查该数据包是否满足该端口中定义的包过滤规则，如果包过滤规则不允许该数据包通过，则路由器将丢掉该数据包。有两种方式的包过滤规则：（1）标准包过滤。该种包过滤只对数据包中的源地址进行检查。（2）扩展包过滤。该种包过滤对数据包中的源地址、目的地址、协议及端口号都进行检查。*1．定义标准包过滤规则在全局配置状态下设置如下命令：access-list标识号码deny︱permit源地址通配符*2．定义扩展包过滤规则在全局配置状态下设置如下命令：access-list标识号码deny︱permit协议标识源地址通配符目的地址通配符Cisco路由器中access-list规定的标识号码如下：IP标准包过滤标识号码范围为1～99；IP扩展包过滤标识号码范围为100～199；可以在指定范围内任意选择一个标识号码定义相应的包过滤规则，deny参数表示禁止，permit表示允许。通配符也为32位二进制数字，并与相应的地址一一对应。路由器将检查与通配符中的“0”（2进制）位置一样的地址位，对于通配符中“1”（2进制）位置一致的地址位，将忽略不检查。一个包过滤规则可以包含一系列检查条件，即可以用同一标识号码定义一系列access-list语句，路由器将从最先定义的条件开始依次检查，如数据包满足某个条件，路由器将不再执行下面的包过滤条件，如果数据包不满足规则中的所有条件，C