实施
注:拓扑结构中的所有设备(除 Central、Cnt-Sw 和 NetAdmin 外)均已完全配置。您无权访问其他路由器。为进行测试,您可以访问所有服务器和 PC。
使用记录实施以下要求:
Cnt-Sw
· 配置远程管理访问(包括 IP 编址和 SSH):
o 域是 cisco.com
o 启用 secret ciscoenpass
o 用户为 HQadmin,密码为 ciscoclass
o 加密密钥长度为 1024
o SSH 版本 2,限制为 2 次身份验证尝试,60 秒超时
o 明文密码应加密。
· 配置、命名和分配 VLAN。应将端口手动配置为接入端口。
· 配置中继。
· 实施端口安全:
o 在 Fa0/1 上,检测到 MAC 地址时,允许 2 个 MAC 地址自动添加到配置文件中。不应禁用端口,但若发生违规,则应捕获系统日志消息。
o 禁用所有其他未使用端口。
Central
· 配置 VLAN 间路由。
· 为 VLAN 30 配置 DHCP 服务。将 LAN 用作池名称(区分大小写)。
· 实施路由:
o 使用 RIPv2。
o 为整个 172.16.15.0/24 地址空间配置一条网络语句。
o 禁用不应发送 RIPv2 消息的接口。
o 配置通往互联网的默认路由。
· 实施 NAT:
o 配置含有一条语句的标准 ACL,编号为 1。允许属于 172.16.15.0/24 地址空间的所有 IP 地址。
o 请参阅您的记录,为文件服务器配置静态 NAT。
o 使用您所选择的池名称、/30 掩码和这两个公共地址借助 PAT 来配置动态 NAT:
209.165.200.225 and 209.165.200.226
NetAdmin
验证 NetAdmin 是否已从 Central 收到全部编址信息。
验证
所有设备现均应能够 ping 通所有其他设备。否则,请排除配置故障以隔离和解决问题。一些测试包括:
· 验证从 PC 使用 SSH 对 Cnt-Sw 的远程访问。
· 验证 VLAN 是否已分配到相应的端口,以及端口安全是否生效。
· 验证完整的路由表。
· 验证 NAT 转换和静态 NAT。
o 外部主机应能够访问位于公共地址的文件服务器。
o 内部 PC 应能够访问 Web 服务器。
· 请在下方的故障排除记录表中记录您遇到的任何问题和解决方案。
实验步骤:(注:此步骤仅为该实验的解法之一)
Cnt-Sw(config)#ip domain-name cisco.com
Cnt-Sw(config)#enable secret ciscoenpass
Cnt-Sw(config)#username HQadmin secret ciscoclass
Cnt-Sw(config)#crypto key generate rsa
The name for the keys will be: Cnt-Sw.cisco.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Cnt-Sw(config)#ip ssh version 2
Cnt-Sw(config)#ip ssh authentication-retries 2
Cnt-Sw(config)#ip ssh time-out 60
Cnt-Sw(config)#service password-encryption
Cnt-Sw(config)#line vty 0
Cnt-Sw(config-line)#login local
Cnt-Sw(config-line)#transport input ssh
Cnt-Sw(config)#vlan 15
Cnt-Sw(config-vlan)#name Servers
Cnt-Sw(config-vlan)#vlan 30
Cnt-Sw(config-vlan)#name PC
Cnt-Sw(config-vlan)#vlan 45
Cnt-Sw(config-vlan)#vlan 60
Cnt-Sw(config-vlan)#name Management
Cnt-Sw(config-if-range)#interface range f0/1-10
Cnt-Sw(config-if-range)#switchport mode access
Cnt-Sw(config-if-range)#switchport port-security
Cnt-Sw(config-if-range)#switchport access vlan 30
Cnt-Sw(config-if-range)#interface range f0/11-20
Cnt-Sw(config-if-range)#switchport mode access
Cnt-Sw(config-if-range)#switchport port-security
Cnt-Sw(config-if-range)#switchport access vlan 15
Cnt-Sw(config)#interface g0/1
Cnt-Sw(config-if)#switchport mode trunk
Cnt-Sw(config-if)#switchport trunk native vlan 45
Cnt-Sw(config)#interface vlan 60
Cnt-Sw(config-if)#ip address 172.16.15.10 255.255.255.248
Cnt-Sw(config)#interface f0/1
Cnt-Sw(config-if)#switchport port-security
Cnt-Sw(config-if)#switchport access vlan 30
Cnt-Sw(config-if)#switchport port-security maximum 2
Cnt-Sw(config-if)#switchport port-security mac-address sticky
Cnt-Sw(config-if)#switchport port-security violation restrict
Cnt-Sw(config)#interface range f0/21-24
Cnt-Sw(config-if-range)#shutdown
Cnt-Sw(config)#interface g0/1
Cnt-Sw(config-if)#no shutdown
Cnt-Sw(config-if)#interface g0/2
Cnt-Sw(config-if)#shutdown
Cnt-Sw(config)#ip default-gateway 172.16.15.9
Central(config)#interface g0/0
Central(config-if)#no shutdown
Central(config)#interface g0/0.15
Central(config-subif)#encapsulation dot1Q 15
Central(config-subif)#ip address 172.16.15.17 255.255.255.240
Central(config-subif)#interface g0/0.30
Central(config-subif)#encapsulation dot1Q 30
Central(config-subif)#ip address 172.16.15.33 255.255.255.224
Central(config-subif)#interface g0/0.45
Central(config-subif)#encapsulation dot1Q 45 native
Central(config-subif)#ip address 172.16.15.1 255.255.255.248
Central(config-subif)#interface g0/0.60
Central(config-subif)#encapsulation dot1Q 60
Central(config-subif)#ip address 172.16.15.9 255.255.255.248
Central(config)#ip dhcp pool LAN
Central(dhcp-config)#network 172.16.15.32 255.255.255.224
Central(dhcp-config)#default-router 172.16.15.33
Central(config)#router rip
Central(config-router)#version 2
Central(config-router)#passive-interface s0/1/0
Central(config-router)#passive-interface g0/0.15
Central(config-router)#passive-interface g0/0.30
Central(config-router)#passive-interface g0/0.45
Central(config-router)#passive-interface g0/0.60
Central(config-router)#network 172.16.15.0
Central(config)#ip route 0.0.0.0 0.0.0.0 s0/1/0
Central(config)#access-list 1 permit 172.16.15.0 0.0.0.255
Central(config)#ip nat inside source static 172.16.15.18 209.165.200.227
Central(config)#ip nat pool LAN 209.165.200.225 209.165.200.226 netmask 255.255.255.252
Central(config)#ip nat inside source list 1 pool LAN
Central(config)#interface s0/0/0
Central(config-if)#ip nat inside
Central(config-if)#interface s0/0/1
Central(config-if)#ip nat inside
Central(config-if)#interface s0/1/0
Central(config-if)#ip nat outside
Central(config)#interface g0/0.15
Central(config-subif)#ip nat inside
Central(config-subif)#interface g0/0.30
Central(config-subif)#ip nat inside
实验
链接:https://pan.baidu.com/s/1qABOh8Zptw_3lpVgRxDp2w?pwd=1313
提取码:1313