CCNA综合实验集合Word下载.docx

1、R2上使用ACL使得内网的地址不会出现在外网中DHCP需求:地址池网段-192.168.1.0/24 排除地址：192.168.1.1192.168.1.50 DNS：218.30.19.40 网关：192.168.1.254 Domain:租约期：无限实验步骤：步骤1将R1配置成DHCP服务器R1（config）#ip dhcp pool stsd R1（dhcp-config）#network 192.168.1.0 255.255.255.0 R1（dhcp-config）#default-router 192.168.1.1 R1（dhcp-config）#dns-server 218

2、.30.19.40 R1（dhcp-config）#domain-name R1（dhcp-config）#lease infinite 配置排除地址:R1（config）#ip dhcp excluded-address 192.168.1.1 192.168.1.50 使路由器接口通过DHCP获取IP地址可以使用命令ip address dhcp步骤2在R1上做静态NAT，使WEB服务器可以通过12.1.1.3被访问R1（config）#ip nat inside source static 192.168.1.1 12.1.1.3 步骤3在R1上做PAT，使内网可以访问Internet

3、R1（config）#access-list 1 deny 192.168.1.1 0.0.0.0 R1（config）#access-list 1 permit 192.168.1.0 0.0.0.255 R1（config）#ip nat inside source list 1 interface s0 overload 步骤4指定NAT的内部接口和外部接口R1（config）#interface f0/0 R1（config-if）#ip nat inside R1（config）#interface s0 R1（config-if）#ip nat outside 步骤5在R2上做AC

4、L，防止内网地址在外网中出现R2（config）#access-list 1 deny 192.168.1.0 0.0.0.255 R2（config）#access-list 1 permit any R2（config）#interface s0 R2（config-if）#ip access-group 1 in 常用DHCP以及NAT查看命令：Router#show ip nat translations 显示NAT转换表Router#show ip nat statistics 显示NAT状态Router#clear ip nat translations* 清除所有NAT转换Rou

5、ter#show ip dhcp binding 显示已有的DHCP绑定信息Router#show ip dhcp database 显示当前使用的DHCP数据库Router#show ip dhcp server Statistics 列出DHCP服务运行状态信息6.标准与扩展ACL实验一标准访问控制列表实验：掌握标准与扩展ACL的配置拒绝R1到R3的所有流量步骤1 按如上拓扑做好底层配置，并检测相邻设备之间的连通性步骤2起静态路由，使全网互通R1（config）#ip route 10.1.1.64 255.255.255.252 10.1.1.2 R3（config）#ip route

6、10.1.1.0 255.255.255.252 10.1.1.65 步骤3在R3上做标准的ACL使R1不能访问R3 R3（config）#access-list 1 deny 10.1.1.1 0.0.0.0 或者使用命令R3（config）#access-list 1 deny host 10.1.1.1 因为访问控制列表默认有一个拒绝所有的隐含条目，所以需要在最后加入一条：R3（config）#access-list 1 permit any 标准ACL要放置在离目标近的地方，所以配置在R3的S1的入向上面：R3（config）#int s1 R3（config-if）#ip acces

7、s-group 1 in 二 扩展访问控制列表实验：掌握扩展访问控制列表的配置掌握如何使用扩展的访问控制列表实现网络的安全性拒绝任何来自192.168.1.0网络的icmp流量只有PC1可以访问FTP服务器步骤1按如上拓扑在做好底层配置，在三台路由器上启RIPv2协议，使之互通R1（config）#router rip R1（config-router）#version 2 R1（config-router）#no auto-summary R1（config-rotuer）#network 10.0.0.0 R1（config-rotuer）#network 172.16.0.0 R2（co

8、nfig）#router rip R2（config-router）#version 2 R2（config-router）#no auto-summary R2（config-rotuer）#network 10.0.0.0 R3（config）#router rip R3（config-router）#version 2 R3（config-router）#no auto-summary R3（config-rotuer）#network 10.0.0.0 R3（config-router）#network 192.168.1.0 步骤3在R3上做扩展的ACL，拒绝来自192.168.1.

9、0网络的icmp流量R3（config）#access-list 102 deny icmp 192.168.1.0 0.0.0.255 any R3（config）#access-list 102 permit ip any any R3（config）#int e0 R3（config-if）ip access-group 102 in 步骤4在R1上做扩展的ACL使得只有PC1可以访问FTP服务器注意FTP使用两个端口号，20与21：R1（config）#access-list 110 permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 e

10、q 21 R1（config）#access-list 110 permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 20 R1（config）#int s0 R1（config-if）#ip access-group 110 in 三 命名的访问控制列表试验：实验需求与拓扑图通上，将访问控制列表转换成命名的ACL：R3（config）#ip access-list extended deny_icmp R3（config-ext-nacl）#deny icmp 192.168.1.0 0.0.0.255 any R3（config-ext-

11、nacl）#permit ip any any R3（config-if）#ip access-group deny_icmp in R1（config）#ip access-list extended deny_ftp R1（config-ext-nacl）#permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 20R1（config-ext-nacl）#permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 21 R1（config-if）#ip access-group deny_ftp

12、 in 命名ACL的最大优点在于可以修改其中任意一条，而使用编号的ACL则不能。四：使用ACL对vty线路进行限制：实验需求：在Router的VTY线路上通过ACL限制访问只有PC1能够远程登录Router Router（config）#access-list 1 permit host 172.16.1.3 /因为ACL有隐含拒绝特性，所以不需要显式拒绝PC2 Router（config）#line vty 0 15 Router（config-line）#password stsd Router（config-line）#login Router（config-line）#access-c

13、lass 1 in6.EIGRP基本配置掌握EIGRP的基本配置观察EIGRP的自动汇总情况步骤1按如上拓扑做好底层配置，并检测相邻设备之间的连通性步骤2在三台路由器上启EIGRP协议R1（config）#router eigrp 100 /注意EIGRP AS号的全局意义R1（config-router）#network 172.16.1.0 0.0.0.255 R1（config-router）#network 10.1.1.0 0.0.0.3 R2（config）#router eigrp 100 R2（config-router）#network 10.1.1.64 0.0.0.3 R

14、2（config-router）#network 10.1.1.0 0.0.0.3 R3（config）#router eigrp 100 R3（config-router）#network 172.16.1.0 0.0.0.255 R3（config-router）#network 10.1.1.64 0.0.0.3 步骤3用show ip route命令查看路由表，观察EIGRP的默认自动汇总特性步骤4关闭路由器上的自动汇总，然后再看其路由表有什么变化R1（config）#router eigrp 100 R3（config-router）#no auto-summaryCCNA的一个综合

15、实验【背景描述】 该企业的具体环境如下：1、企业具有2个办公地点，且相距较远，公司总共大约有200台主机。2、A办公地点具有的部门较多，例如业务部、财务部、综合部等，为主要的办公场所，因此这部分的交换网络对可用性和可靠性要求较高3、B办公地点只有较少办公人员，但是Internet的接入点在这里4、公司只申请到了一个公网IP地址，供企业内网接入使用 5、公司内部使用私网地址【网络拓补】【需求分析】 需求一：采取一定方式分隔广播域。分析一：在交换机上划分VLAN可以实现对广播域的分隔。划分业务部VLAN10、财务部VLAN20、综合部VLAN30，并分配接口 。需求二：核心交换机采用高性能的三层交

16、换机，且采用双核心互为备份的形势，接入层交换机分别通过2条上行链路连接到2台核心交换机，由三层交换机实现VLAN之间的路由 。分析二 交换机之间的链路配置为Trunk链路 三层交换机上采用SVI方式（switch virtual interface）实现VLAN之间的路由 需求三：2台核心交换机之间也采用双链路连接，并提高核心交换机之间的链路带宽 分析三 在2台三层交换机之间配置端口聚合，以提高带宽 需求四：接入交换机的access端口上实现对允许的连接数量为4个，以提高网络的安全性 分析四 采用端口安全的方式实现 需求五：三层交换机配置路由接口，与RA、RB之间实现全网互通 分析五 两台三层

17、交换机上配置路由接口，连接A办公地点的路由器RA RA和RB分别配置接口IP地址 在三层交换机的路由接口和RA，以及RB的内网接口上启用RIP路由协议，实 现全网互通 需求六：RA和B办公地点的路由器RB之间通过广域网链路连接，并提供一定的安全性 分析六 RA和RB的广域网接口上配置PPP（点到点）协议，并用PAP认证提高安全性 需求七：RB配置静态路由连接到Internet 分析七 两台三层交换上配置缺省路由，指向RA RA上配置缺省路由指向RB RB上配置缺省路由指向连接到互联网的下一跳地址 需求八：在RB上用一个公网IP地址实现企业内网到互联网的访问 分析八 用PAT（网络地址转换）方式

18、，实现企业内网仅用一个公网IP地址到互联网的 访问 需求九：在RB上对内网到外网的访问进行一定控制，要求不允许财务部访问互联网，业务部只能访问WWW和FTP服务，而综合部只能访问WWW服务，其余访问不受控制分析九 通过ACL（访问控制列表）实现 【配置如下】 【路由器R-B的配置】 初次进入路由器R-B时，我们进行如下的基本配置，配置主机名和各端口IP地址，配置信息如下.（两个路由器ping不通，记得设置时钟速率，千万别忘记了哦。） Router>enable Router# conf ter Router （config）# hostname R-B R-B （config）# int

19、erface fa0/0 R-B （config-if）# ip address 201.1.1.1 255.255.255.0 R-B （config-if）# no shutdown R-B （config-if）# exit R-B （config）# interface serial 3/0 R-B （config-if）# ip address 30.1.1.2 255.255.255.0 R-B （config-if）# clock rate 64000 R-B （config-if）#no shutdown 上面只是路由器R-B的基本配置，下面在R-B上启用动态路由协议Ripv2

20、，同时配置一条连接到Internet的默认路由，并且配置pap验证，配置信息如下：R-B（config）#router rip R-B（config-router）# version 2 R-B（config-router）# no au R-B（config-router）# network 201.1.1.0 R-B（config-router）# network 30.0.0.0 R-B（config-router）# exit R-B（config）# ip route 0.0.0.0 0.0.0.0 fa0/0 （注释：默认路由） R-B（config）#username R-A p

21、assword cisco /建立用户R-A，密码cisco R-B （config）#interface serial3/0 R-B（config-if）#encapsulation ppp /用PPP封装 R-B （config-if）#ppp authentication pap /PPP验证方式为pap R-B （config-if）#ppp pap sent-username R-B password cisco/发送用户名R-B ，密码cisco到R-A上验证 下面通过ACL（访问控制列表）配置来实现财务部不能访问访问互联网，业务部只能访问WWW和FTP服务，而综合部只能访问WWW

22、服务，其余访问不受控制，配置信息如下：R-B&R-B#conf ter R-B（config）#access-list 100 deny ip 192.168.20.0 0.0.0.255 any R-B（config）#access-list 100 permit tcp 192.168.10.0 0.0.0.255 any eq www R-B（config）#access-list 100 permit tcp 192.168.10.0 0.0.0.255 any eq ftp R-B（config）#access-list 100 permit tcp 192.168.30.0 0.0

23、.0.255 any eq www R-B（config）#access-list 100 permit ip any any R-B（config）#interface serial 3/0 R-B（config-if）#ip access-group 100 in R-B（config-if）#exit R-B（config）# 上面通过访问控制列表实现了网络的安全，下面进行NAT转换的配置，由于申请的只有一个公网IP地址，所以就用基于端口转换的NAT，即所说的PAT，其配置如下：R-B（config）#access-list 10 permit any R-B（config）#ip na

24、t inside source list 10 interface fa0/0 overload （将局域网内的所有IP地址转换成interface fa0/0上对应的202.1.1.1这个内部全局地址） R-B（config）#interface fa0/0 R-B（config-if）#ip nat outside R-B（config-if）#interface serial3/0 R-B（config-if）#ip nat inside 以上就是R-B的配置，R-B配置完成，下面进行R-A的配置 【路由器R-A的配置】 初次进入路由器R-A时，我们进行如下的基本配置，配置主机名和各端口

25、IP地址，配置信息如下. 还是被忘了陪时钟速率，其实可以用命令查看那端是DCE和DTE的，为了保险起见，就都设置了吧！呵呵 Router （config）# hostname R-A R-A（config）# interface fa0/0 R-A （config-if）# ip address 10.1.1.1 255.255.255.0 R-A （config-if）# no shutdown R-A （config-if）# exit R-A（config）# interface fa0/1 R-A （config-if）# ip address 20.2.2.1 255.255.255

26、.0 R-A （config）# interface serial 3/0 R-A （config-if）# ip address 30.1.1.1 255.255.255.0 R-A（config-if）# clock rate 64000 R-A （config-if）#no shutdown 上面只是路由器R-A的基本配置，下面在R-A上启用动态路由协议Ripv2，同时配置ppp中的pap验证，还要一条默认路由，配置信息如下：R-A（config）#router rip R-A（config-router）# version 2 R-A（config-router）# no au R-A

27、（config-router）# network 10.0.0.0 R-A（config-router）# network 20.0.0.0 R-A（config-router）# network 30.0.0.0 R-A（config-router）# exit R-A（config）# ip route 0.0.0.0 0.0.0.0 30.1.1.2 （配置一条到R-B默认路由） R-A（config）#username R-B password cisco /建立用户R-B，密码cisco R-A （config）#interface serial3/0 R-A（config-if）#encapsulation ppp /用PPP封装 R-A （config-if）#ppp authentication pap /PPP验证方式为pap R-A （config-if）#ppp pap sent-username R-A p