拓扑 2014 思科和 / 或其附属公司 保留所有权利 本文档所含内容为思科公开发布的信息 第 1 页, 共 10 页
地址分配表 设备 接口 IP 地址 默认网关 R1 G0/0 2001:DB8:ACAD:B::1/64 N/A G0/1 2001:DB8:ACAD:A::1/64 N/A S0/0/0 (DCE) 2001:DB8:AAAA:1::1/64 N/A R2 S0/0/0 2001:DB8:AAAA:1::2/64 N/A S0/0/1 (DCE) 2001:DB8:AAAA:2::2/64 N/A R3 G0/1 2001:DB8:CAFE:C::1/64 N/A S0/0/1 2001:DB8:AAAA:2::1/64 N/A S1 VLAN1 2001:DB8:ACAD:A::A/64 N/A S2 VLAN1 2001:DB8:ACAD:B::A/64 N/A S3 VLAN1 2001:DB8:CAFE:C::A/64 N/A PC-A NIC 2001:DB8:ACAD:A::3/64 FE80::1 PC-B NIC 2001:DB8:ACAD:B::3/64 FE80::1 PC-C NIC 2001:DB8:CAFE:C::3/64 FE80::1 目标 第 1 部分 : 设置拓扑并初始化设备 第 2 部分 : 配置设备并检验连接 第 3 部分 : 配置并检验 IPv6 ACL 第 4 部分 : 编辑 IPv6 ACL 背景 / 场景 与创建 IPv4 命名 ACL 类似, 通过创建 IPv6 访问控制列表 (ACL) 并将其应用到接口, 可以过滤 IPv6 流量 IPv6 ACL 包括扩展和命名两种类型 IPv6 不再使用标准和编号 ACL 要对 vty 接口应用 IPv6 ACL, 可以使用新的 ipv6 traffic-filter 命令 ipv6 access-class 命令仍然用来对接口应用 IPv6 ACL 在本实验中, 您将运用 IPv6 过滤规则, 然后检验它们是否按照预期限制访问 您还将编辑 IPv6 ACL 并清除匹配计数器 注意 :CCNA 动手实验所用的路由器是采用 Cisco IOS Release 15.2(4)M3(universalk9 映像 ) 的 Cisco 1941 集成多业务路由器 (ISR) 所用的交换机是采用 Cisco IOS Release 15.0(2)(lanbasek9 映像 ) 的 Cisco Catalyst 2960 系列 也可使用其他路由器 交换机以及 Cisco IOS 版本 根据型号以及 Cisco IOS 版本不同, 可用命令和产生的输出可能与实验显示的不一样 请参考本实验末尾的 路由器接口摘要表 以了解正确的接口标识符 注意 : 确保所使用的路由器和交换机的启动配置都已擦除 如果不确定, 请联系教师 2013 思科和 / 或其附属公司 保留所有权利 本文档所含内容为思科公开发布的信息 第 2 页, 共 10 页
所需资源 3 台路由器 ( 支持 Cisco IOS 15.2(4)M3 版通用映像的 Cisco 1941 或同类路由器 ) 3 台交换机 ( 支持 Cisco IOS 版本 15.0(2) lanbasek9 映像的 Cisco 2960 或同类交换机 ) 3 台 PC( 采用 Windows 7 Vista 或 XP 且支持终端模拟程序, 比如 Tera Term) 用于通过控制台电缆配置 Cisco IOS 设备的控制台端口 如拓扑所示的以太网电缆和串行电缆 第 1 部分 : 设置拓扑并初始化设备 在第 1 部分, 您需要建立网络拓扑, 并在必要时清除所有配置 第 1 步 : 建立如拓扑图所示的网络 第 2 步 : 初始化并重新加载路由器和交换机 第 2 部分 : 配置设备并检验连通性 在第 2 部分, 您需要在路由器 交换机和 PC 上配置基本设置 请参考本实验开头的拓扑和地址分配表获取设备名称和地址信息 第 1 步 : 在所有 PC 上配置 IPv6 地址 根据地址分配表配置 IPv6 全局单播地址 使用本地链路地址 FE80::1 作为所有 PC 的默认网关 第 2 步 : 配置交换机 a. 禁用 DNS 查找 b. 指定主机名 c. 指定域名 ccna-lab.com d. 加密明文密码 e. 创建一个向用户发出警告的 MOTD 标语 : 未经授权, 禁止访问 f. 使用用户名 admin 和密码 classadm 创建本地用户数据库 g. 指定 class 作为特权 EXEC 加密密码 h. 指定 cisco 作为控制台密码并启用登录 i. 使用本地数据库启用 VTY 线路上的登录 j. 使用 1024 位的模数大小, 生成 SSH 的加密 RSA 密钥 k. 更改 transport input VTY 线路仅允许 SSH 和 Telnet l. 根据地址分配表为 VLAN 1 分配 IPv6 地址 m. 管理性禁用所有非活动接口 2013 思科和 / 或其附属公司 保留所有权利 本文档所含内容为思科公开发布的信息 第 3 页, 共 10 页
第 3 步 : 在所有路由器上配置基本设置 a. 禁用 DNS 查找 b. 指定主机名 c. 指定域名 ccna-lab.com d. 加密明文密码 e. 创建一个向用户发出警告的 MOTD 标语 : 未经授权, 禁止访问 f. 使用用户名 admin 和密码 classadm 创建本地用户数据库 g. 指定 class 作为特权 EXEC 加密密码 h. 指定 cisco 作为控制台密码并启用登录 i. 使用本地数据库启用 VTY 线路上的登录 j. 使用 1024 位的模数大小, 生成 SSH 的加密 RSA 密钥 k. 更改 transport input VTY 线路仅允许 SSH 和 Telnet 第 4 步 : 在 R1 上配置 IPv6 设置 a. 配置接口 G0/0 G0/1 和 S0/0/0 的 IPv6 单播地址 b. 配置接口 G0/0 G0/1 和 S0/0/0 的 IPv6 本地链路地址 在三个接口上都使用 FE80::1 作为本地链路地址 c. 将 S0/0/0 的时钟频率设置为 128000 d. 启用接口 e. 启用 IPv6 单播路由 f. 配置 IPv6 默认路由使用接口 S0/0/0 R1(config)# ipv6 route ::/0 s0/0/0 第 5 步 : 在 R2 上配置 IPv6 设置 a. 配置接口 S0/0/0 和 S0/0/1 的 IPv6 单播地址 b. 配置接口 S0/0/0 和 S0/0/1 的 IPv6 本地链路地址 在两个接口上都使用 FE80::2 作为本地链路地址 c. 将 S0/0/1 的时钟频率设置为 128000 d. 启用接口 e. 启用 IPv6 单播路由 f. 配置静态 IPv6 路由用于处理 R1 和 R3 LAN 子网的流量 R2(config)# ipv6 route 2001:db8:acad::/48 s0/0/0 R2(config)# ipv6 route 2001:db8:cafe:c::/64 s0/0/1 第 6 步 : 在 R3 上配置 IPv6 设置 a. 配置接口 G0/1 和 S0/0/1 的 IPv6 单播地址 b. 配置接口 G0/1 和 S0/0/1 的 IPv6 本地链路地址 在两个接口上都使用 FE80::1 作为本地链路地址 c. 启用接口 2013 思科和 / 或其附属公司 保留所有权利 本文档所含内容为思科公开发布的信息 第 4 页, 共 10 页
d. 启用 IPv6 单播路由 e. 配置 IPv6 默认路由使用接口 S0/0/1 R3(config)# ipv6 route ::/0 s0/0/1 第 7 步 : 检验连通性 a. 每台 PC 都应能够对拓扑中的其他 PC 执行 ping 操作 b. 通过 Telnet 从拓扑中的所有 PC 连接到 R1 c. 通过 SSH 从拓扑中的所有 PC 连接到 R1 d. 通过 Telnet 从拓扑中的所有 PC 连接到 S1 e. 通过 SSH 从拓扑中的所有 PC 连接到 S1 f. 请立即排除连接故障, 因为在此实验第 3 部分创建的 ACL 将限制对某些网络区域的访问 注意 :Tera Term 要求将目的 IPv6 地址置于方括号中 输入如下所示的 IPv6 地址, 单击 OK( 确定 ), 然后单击 Continue( 继续 ) 接受安全警告并连接到路由器 输入配置的用户凭据 ( 用户名 admin 和密码 classadm), 并在 SSH 身份验证对话框中选择 Use plain password to log in( 使用明文密码登录 ) 单击 OK( 确定 ) 继续 2013 思科和 / 或其附属公司 保留所有权利 本文档所含内容为思科公开发布的信息 第 5 页, 共 10 页
第 3 部分 : 配置并检验 IPv6 ACL 第 1 步 : 配置并检验 R1 的 VTY 限制 a. 创建一个 ACL, 以仅允许来自 2001:db8:acad:a::/64 网络的主机通过 Telnet 连接到 R1 所有主机应该只能通过 SSH 连接到 R1 R1(config)# ipv6 access-list RESTRICT-VTY R1(config-ipv6-acl)# permit tcp 2001:db8:acad:a::/64 any R1(config-ipv6-acl)# permit tcp any any eq 22 b. 对 R1 的 VTY 线路应用 RESTRICT-VTY ACL R1(config-ipv6-acl)# line vty 0 4 R1(config-line)# ipv6 access-class RESTRICT-VTY in R1(config-line)# end R1# c. 显示新的 ACL R1# show access-lists IPv6 access list RESTRICT-VTY permit tcp 2001:DB8:ACAD:A::/64 any sequence 10 permit tcp any any eq 22 sequence 20 2013 思科和 / 或其附属公司 保留所有权利 本文档所含内容为思科公开发布的信息 第 6 页, 共 10 页
d. 检验 RESTRICT-VTY ACL 只允许来自 2001:db8:acad:a::/64 网络的 Telnet 流量 RESTRICT-VTY ACL 如何仅允许来自 2001:db8:acad:a::/64 网络的主机通过 Telnet 连接到 R1? RESTRICT-VTY ACL 的第二条 permit 语句有什么作用? 第 2 步 : 限制通过 Telnet 访问 2001:db8:acad:a::/64 网络 a. 创建一个名为 RESTRICTED-LAN 的 ACL, 从而阻止通过 Telnet 访问 2001:db8:acad:a::/64 网络 R1(config)# ipv6 access-list RESTRICTED-LAN R1(config-ipv6-acl)# remark Block Telnet from outside R1(config-ipv6-acl)# deny tcp any 2001:db8:acad:a::/64 eq telnet R1(config-ipv6-acl)# permit ipv6 any any b. 对接口 G0/1 的所有出站流量应用 RESTRICTED-LAN ACL R1(config-ipv6-acl)# int g0/1 R1(config-if)# ipv6 traffic-filter RESTRICTED-LAN out R1(config-if)# end c. 通过 Telnet 从 PC-B 和 PC-C 连接到 S1, 检验 Telnet 是否受限 通过 SSH 从 PC-B 连接到 S1, 检验是否仍能使用 SSH 连接 根据情况排除故障 d. 使用 show ipv6 access-list 命令查看 RESTRICTED-LAN ACL R1# show ipv6 access-lists RESTRICTED-LAN IPv6 access list RESTRICTED-LAN deny tcp any 2001:DB8:ACAD:A::/64 eq telnet (6 matches) sequence 20 permit ipv6 any any (45 matches) sequence 30 注意, 每条语句可识别将 ACL 应用到接口后的命中数或匹配数 e. 使用 clear ipv6 access-list 可重置 RESRICTED-LAN 的 ACL 匹配计数器 R1# clear ipv6 access-list RESTRICTED-LAN f. 使用 show access-lists 命令重新显示该 ACL, 以确认计数器已清除 R1# show access-lists RESTRICTED-LAN IPv6 access list RESTRICTED-LAN deny tcp any 2001:DB8:ACAD:A::/64 eq telnet sequence 20 permit ipv6 any any sequence 30 2013 思科和 / 或其附属公司 保留所有权利 本文档所含内容为思科公开发布的信息 第 7 页, 共 10 页
第 4 部分 : 编辑 IPv6 ACL 在第 4 部分, 您将编辑您在第 3 部分创建的 RESTRICTED-LAN ACL 在编辑 ACL 之前, 最好从应用该 ACL 的接口将其移除 完成编辑之后, 再将该 ACL 应用到接口 注意 : 许多网络管理员会复制 ACL, 然后编辑副本 完成编辑之后, 管理员会删除旧的 ACL, 然后将新编辑的 ACL 应用到接口 此方法可以保留 ACL, 直到您准备好应用经过编辑的 ACL 副本 第 1 步 : 移除接口上的 ACL R1(config)# int g0/1 R1(config-if)# no ipv6 traffic-filter RESTRICTED-LAN out R1(config-if)# end 第 2 步 : 使用 show access-lists 命令查看 ACL R1# show access-lists IPv6 access list RESTRICT-VTY permit tcp 2001:DB8:ACAD:A::/64 any (4 matches) sequence 10 permit tcp any any eq 22 (6 matches) sequence 20 IPv6 access list RESTRICTED-LAN deny tcp any 2001:DB8:ACAD:A::/64 eq telnet sequence 20 permit ipv6 any any (36 matches) sequence 30 第 3 步 : 使用序列号插入新的 ACL 语句 R1(config)# ipv6 access-list RESTRICTED-LAN R1(config-ipv6-acl)# permit tcp 2001:db8:acad:b::/64 host 2001:db8:acad:a::a eq 23 sequence 15 新的 permit 语句有什么作用? 第 4 步 : 在 ACL 的末尾插入新的 ACL 语句 R1(config-ipv6-acl)# permit tcp any host 2001:db8:acad:a::3 eq www 注意 : 此 permit 语句仅用于显示如何在 ACL 末尾添加语句 此 ACL 线路不匹配任何流量, 因为上一条 permit 语句匹配所有流量 第 5 步 : 使用 do show access-lists 命令查看 ACL 变化 R1(config-ipv6-acl)# do show access-list IPv6 access list RESTRICT-VTY permit tcp 2001:DB8:ACAD:A::/64 any (2 matches) sequence 10 permit tcp any any eq 22 (6 matches) sequence 20 IPv6 access list RESTRICTED-LAN permit tcp 2001:DB8:ACAD:B::/64 host 2001:DB8:ACAD:A::A eq telnet sequence 15 deny tcp any 2001:DB8:ACAD:A::/64 eq telnet sequence 20 permit ipv6 any any (124 matches) sequence 30 permit tcp any host 2001:DB8:ACAD:A::3 eq www sequence 40 2013 思科和 / 或其附属公司 保留所有权利 本文档所含内容为思科公开发布的信息 第 8 页, 共 10 页
注意 : 在全局配置模式或子模式中,do 命令可用来执行任何特权 EXEC 命令 第 6 步 : 删除一条 ACL 语句 使用 no 命令删除刚才添加的 permit 语句 R1(config-ipv6-acl)# no permit tcp any host 2001:DB8:ACAD:A::3 eq www 第 7 步 : 使用 do show access-list RESTRICTED-LAN 命令查看 ACL R1(config-ipv6-acl)# do show access-list RESTRICTED-LAN IPv6 access list RESTRICTED-LAN permit tcp 2001:DB8:ACAD:B::/64 host 2001:DB8:ACAD:A::A eq telnet sequence 15 deny tcp any 2001:DB8:ACAD:A::/64 eq telnet sequence 20 permit ipv6 any any (214 matches) sequence 30 第 8 步 : 对接口 G0/1 重新应用 RESTRICTED-LAN ACL R1(config-ipv6-acl)# int g0/1 R1(config-if)# ipv6 traffic-filter RESTRICTED-LAN out R1(config-if)# end 第 9 步 : 测试 ACL 更改 思考 通过 Telnet 从 PC-B 连接到 S1 根据情况排除故障 1. 什么原因导致 RESTRICTED-LAN permit ipv6 any any 语句的匹配数继续增加? 2. 使用什么命令可以重置 VTY 线路上的 ACL 计数器? 2013 思科和 / 或其附属公司 保留所有权利 本文档所含内容为思科公开发布的信息 第 9 页, 共 10 页
路由器接口摘要表 路由器接口摘要 路由器型号 Ethernet Interface #1 Ethernet Interface #2 Serial Interface #1 Serial Interface #2 1800 Fast Ethernet 0/0 (F0/0) Fast Ethernet 0/1 (F0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) 1900 Gigabit Ethernet 0/0 (G0/0) Gigabit Ethernet 0/1 (G0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) 2801 Fast Ethernet 0/0 (F0/0) Fast Ethernet 0/1 (F0/1) Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1) 2811 Fast Ethernet 0/0 (F0/0) Fast Ethernet 0/1 (F0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) 2900 Gigabit Ethernet 0/0 (G0/0) Gigabit Ethernet 0/1 (G0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) 注意 : 若要了解如何配置路由器, 请查看接口来确定路由器类型以及路由器拥有的接口数量 我们无法为每类路由器列出所有的配置组合 下表列出了设备中以太网和串行接口组合的标识符 此表中未包含任何其他类型的接口, 但实际的路由器可能会含有其他接口 例如 ISDN BRI 接口 括号中的字符串是约定缩写, 可在 Cisco IOS 命令中用来代表接口 2013 思科和 / 或其附属公司 保留所有权利 本文档所含内容为思科公开发布的信息 第 10 页, 共 10 页