场景
本总结练习包括您在本课程中获得的许多技能。首先,您将完成对网络的文档化。所以,请确保您有说明的打印版本。在实施期间,您需要配置交换机上的 VLAN、中继、端口安全和 SSH 远程访问。接下来,您将在路由器上实施 VLAN 间路由和 NAT。最后,您将使用文档通过测试端到端的连接来检验实施。
文档
您需要完整记录网络。您需要打印该指令集,其中包括一个未标记的拓扑图:
- 标记所有设备名称、网络地址以及 Packet Tracer 生成的其他重要信息。
- 完成“地址分配表 ”和“VLAN 和端口分配表 ”。
- 填写实施 和检验 步骤中的任何空白。当您开始 Packet Tracer 练习时,将为您提供信息。
实施
注意:拓扑中的所有设备,除 Central 、Cnt-Sw 和 NetAdmin 外,均已配置完全。您无权访问其他路由器。为了便于测试,您可以访问所有服务器和 PC。
使用您的文档实施以下要求:
Cnt-Sw
· 配置远程管理访问(包括 IP 编址和 SSH):
- 域为 cisco.com
- 用户 HQadmin ,密码为 ciscoclass
- 加密密钥长度为 1024
- SSH 第 2 版,限制为 2 次身份验证尝试和 60 秒的超时时间
- 应加密明文密码。
· 配置、命名和分配 VLAN。端口应手动配置为接入端口。
· 配置中继。
· 实施端口安全: - 在 Fa0/1 上,当检测到 MAC 地址时,允许 2 个 MAC 地址自动添加到配置文件中。不应禁用端口,但当发生违规时,应捕获 syslog 消息。
- 禁用其他所有未使用的端口。
Central
· 配置 VLAN 间路由。
· 配置 VLAN 30 中的 DHCP 服务。将 LAN 用作区分大小写的池名称。
· 实施路由:
- 使用 OSPF 进程 ID 1 和路由器 ID 1.1.1.1
- 为整个 172.16.15.0/24 地址空间配置一条 network 语句
- 禁用不应发送 OSPF 消息的接口。
- 配置通往互联网的默认路由。
· 实施 NAT: - 配置一个只含一条语句,编号为 1 的标准 ACL。允许所有属于 172.16.15.0/24 地址空间的 IP 地址。
- 参考您的文档,为文件服务器配置静态 NAT。
- 通过 PAT 使用您选择的池名称和这两个公有地址配置动态 NAT:
209.165.200.225 and 209.165.200.226
NetAdmin
检验 NetAdmin 是否已收到来自 Central 的完整编址信息。
验证
所有设备现在应能够对所有其他设备执行 ping 操作。否则,请对配置进行故障排除以隔离和解决问题。测试包括:
· 从 PC 使用 SSH 检验对 Cnt-Sw 的远程访问。
· 检验 VLAN 是否已分配给适当的端口,端口安全是否生效。
· 检验 OSPF 邻居和完整的路由表。
· 检验 NAT 转换和静态路由。
- 外部主机 应该可以通过公有地址访问文件服务器 。
- 内部 PC 应该可以访问 Web 服务器 。
· 请在下方的故障排除文档 表中记录您遇到的问题和解决方案
Admin-Sw
· 配置远程管理访问(包括 IP 编址和 SSH):
- 域为 cisco.com
Admin-Sw(config)#ip domain-name cisco.com - 用户 CAdmin ,密码为 itsasecret
Admin-Sw(config)#username HQadmin password ciscoclass - 加密密钥长度为 1024
Admin-Sw(config)#crypto key generate rsa
The name for the keys will be: Admin-Sw.cisco.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
- SSH 第 2 版,限制为 2 次身份验证尝试和 60 秒的超时时间
- 应加密明文密码。
Admin-Sw(config)#ip ssh version 2
Admin-Sw(config)#ip ssh authentication-retries 2
Admin-Sw(config)#ip ssh time-out 60
Admin-Sw(config)#service password-encryption
· 配置、命名和分配 VLAN。端口应手动配置为接入端口。
Admin-Sw(config)#vlan 15
Admin-Sw(config-vlan)#name service
Admin-Sw(config-vlan)#vlan 30
Admin-Sw(config-vlan)#name PCs
Admin-Sw(config-vlan)#vlan 45
Admin-Sw(config-vlan)#name native
Admin-Sw(config-vlan)#vlan 60
Admin-Sw(config-vlan)#name management
Admin-Sw(config-vlan)#int range f0/11-20
Admin-Sw(config-if-range)#switchport mode access
Admin-Sw(config-if-range)#switchport access vlan 15
Admin-Sw(config-if-range)#int range f0/1-10
Admin-Sw(config-if-range)#switchport mode access
Admin-Sw(config-if-range)#switchport access vlan 30
Admin-Sw(config)#interface vlan 60
Admin-Sw(config-if)#ip address 172.16.15.10 255.255.255.248
· 配置中继。
Admin-Sw(config)#int g0/1
Admin-Sw(config-if)#switchport mo
Admin-Sw(config-if)#switchport mode ac
Admin-Sw(config-if)#switchport mode tr
Admin-Sw(config-if)#switchport mode trunk
Admin-Sw(config-if)#switchport trunk native vlan 45
· 实施端口安全: - 在 Fa0/1 上,当检测到 MAC 地址时,允许 2 个 MAC 地址自动添加到配置文件中。不应禁用端口,但当发生违规时,应捕获 syslog 消息。
Admin-Sw(config-if)#int f0/1
Admin-Sw(config-if)#switchport mode access
Admin-Sw(config-if)#switchport port-security
Admin-Sw(config-if)#switchport port-security maximum 2
Admin-Sw(config-if)#switchport port-security mac-address sticky
Admin-Sw(config-if)#switchport port-security violation restrict Admin-Sw(config-if)#int f0/1
Admin-Sw(config-if)#switchport mode access
Admin-Sw(config-if)#switchport port-security
Admin-Sw(config-if)#switchport port-security maximum 2
Admin-Sw(config-if)#switchport port-security mac-address sticky
Admin-Sw(config-if)#switchport port-security violation restrict - 禁用其他所有未使用的端口。
Admin-Sw(config-if)#int range f0/21-24
Admin-Sw(config-if-range)#shutdown
Admin-Sw(config)#int g0/2
Admin-Sw(config-if)#shutdown
Admin
· 配置 VLAN 间路由。
Admin>en
Admin#conf t
Admin(config)#int g0/0.15
Admin(config-subif)#encapsulation dot1Q 15
Admin(config-subif)#ip address 172.16.15.17 255.255.255.240
Admin(config-subif)#ip nat inside
Admin(config-subif)#int g0/0.30
Admin(config-subif)#encapsulation dot1Q 30
Admin(config-subif)#ip address 172.16.15.33 255.255.255.224
Admin(config-subif)#ip nat inside
Admin(config-subif)#int g0/0.45
Admin(config-subif)#encapsulation dot1Q 45 native
Admin(config-subif)#ip address 172.16.15.1 255.255.255.248
Admin(config-subif)#ip nat inside
Admin(config-subif)#int g0/0.60
Admin(config-subif)#encapsulation dot1Q 60
Admin(config-subif)#ip address 172.16.15.9 255.255.255.248
Admin(config-subif)#ip nat inside
· 配置 VLAN 30 中的 DHCP 服务。将 LAN 用作区分大小写的池名称。
Admin(config)#ip dhcp pool LAN
Admin(dhcp-config)#net 172.16.15.32 255.255.255.224
Admin(dhcp-config)#default-router 172.16.15.33
· 实施路由:
- 使用 OSPF 进程 ID 1 和路由器 ID 1.1.1.1
Admin(config)#router ospf 1
Admin(config-router)#router-id 1.1.1.1 - 为整个 172.16.15.0/24 地址空间配置一条 network 语句
Admin(config-router)#network 172.16.15.0 0.0.0.255 area 0 - 禁用不应发送 OSPF 消息的接口。
Admin(config-router)#passive-interface g0/0
Admin(config-router)#passive-interface g0/0.15 - 配置通往互联网的默认路由。
Admin(config)#ip route 0.0.0.0 0.0.0.0 s0/1/0
· 实施 NAT: - 配置一个只含一条语句,编号为 1 的标准 ACL。允许所有属于 172.16.15.0/24 地址空间的 IP 地址。
Admin(config)#access-list 1 permit 172.16.15.0 0.0.0.255 - 参考您的文档,为文件服务器配置静态 NAT。
Admin(config)#ip nat inside source static 172.16.15.17 198.133.219.128
Admin(config)#ip nat inside source list 1 pool TEST overload - 通过 PAT 使用您选择的池名称和这两个公有地址配置动态 NAT:
209.165.200.225 and 209.165.200.226
Admin(config)#int s0/0/0
Admin(config-if)#ip nat inside
Admin(config-if)#int s0/0/1
Admin(config-if)#ip nat inside
Admin(config-if)#int s0/1/0
Admin(config-if)#ip nat outside
Admin(config-if)#exit
Admin(config)#ip nat pool TEST 198.133.219.128 198.133.219.129 netmask 255.255.255.252
Admin(config)#ip nat inside source list 1 pool TEST overload
Admin(config)#ip nat inside source static 172.16.15.18 209.165.200.227