实验拓扑
一、测试安排
本次测试使用cisco Packet Tracer7.0模拟器进行,请按照实验操作文件(pka)的要求完成配置任务。pka文件中的拓扑和设备命名均不许修改,终端和网络设备接口的IP地址按要求进行分配。本次测试的时长为80分钟,系统将自动对各个配置点和连通情况进行测评。
二、设备命名和IP地址分配
请严格按下表分配IP地址
三、实验目标要求
1、PC11.2可以ping通DMZ-Srv、Intra-Srv,不可以ping通Inter-Srv
2、Laptop22.3可以ping通DMZ-Srv、Intra-Srv、Inter-Srv
3、PC-R1可以ping通DMZ-Srv、Intra-Srv、Inter-Srv以及PC22.2
4、PC-R2和PC0可以ping通Inter-Srv ,可以访问DMZ-Srv的web服务
5、1001、1002、2001三部IP电话可以互通
四、配置步骤指导
- 配置AS1和AS2两台接入层交换机
a) 创建vlan
b) 把接口加入vlan - 配置CS核心交换机
a) 启用三层路由功能
b) 设置trunk封装模式为802.1q,设置与接入层交换机相连的端口为trunk模式
c) 创建vlan,把相应接口加入vlan
d) 为vlan虚接口设置IP地址
e) 设置Fa0/5端口为路由模式,设置端口IP地址
f) 设置默认路由指向出口路由器firewall - 配置Firewall出口路由器
a) 配置两条静态路由,一条默认路由指向外网,一条路由指向内网
b) 配置nat地址转换,使得内网PC能够访问互联网
Ø 设置转换访问控制列表(使用扩展访问控制列表,避免与×××冲突)
Ø 设置地址转换规则
Ø 设定inside和outside接口
c) 配置静态地址映射,使得外网能访问DMZ-Srv服务器(启用服务器http服务)
Ø 方法1:使用端口映射,避免与×××冲突
Ø 方法2:把2.0.0.2映射到内网
d) 配置控制列表禁止PC11.2访问互联网
Ø 设置扩展访问控制列表,允许PC11.2访问DMZ-Srv、禁止PC11.2访问其他地址、允许所有IP流量
Ø 把访问控制列表应用于Firewall内网接口入方向上 - 配置ISP1、ISP2、ISP3互联网路由器
a) 配置loopback地址作为路由器ID
b) 启用ospf路由协议并宣告直连网络
c) 检查每台路由器的路由表 - 配置Div-R分公司路由器
a) 配置路由器接入链路封装格式为PPP
b) 配置缺省路由指向ISP2
c) 配置NAT网络地址转换(注意使用扩展访问控制列表,避免与×××冲突) - 配置wlan无线接入
a) 在无线AP和无线路由器上设置SSID为AP1和AP2、认证方式为WAP2,AP1密码为12345678,AP2密码为87654321
b) 在两台笔记本上配置无线网卡,分别接入无线AP和无线路由器 - 配置PPPoE接入
a) 配置接入cloud的DSL映射
b) 配置ISP2路由器支持PPPoE接入,使用AAA认证服务器
c) 配置Inter-Srv作为AAA认证服务器
d) 在pc0使用PPPoE Dialer接入网络,ipconfig查看地址并ping6.0.0.2
e) 配置无线路由器使用PPPoE接入网络 - 配置×××
a) 在总部Firewall配置端到端IPSec ×××,对端为7.0.0.2,认证方式为pre−share,key为123,加密方式为ah−md5−hmac esp−des,从总部172.16.0.0到分公司192.168.1.0的流量加密
b) 在分公司DIV-R配置端到端IPSec ×××,对端为2.0.0.2,认证方式为pre−share,key为123,加密方式为ah−md5−hmac esp−des,从分公司192.168.1.0到总部172.16.0.0的流量加密 - 配置VoIP
a) 把总部IP电话和callmanager的接入端口加入到voice vlan1
b) 把分公司IP电话和Div-R向内网的接入端口加入到voice vlan1
c) 在公司总部配置callmanager ,测试总部两部电话的连通性
d) 在分公司配置Div-R出口路由器作为callmanager,检查分公司IP电话
e) 把总部IP电话和callmanager的接入端口加入到vlan100
f) 在CS上设置VLAN100的虚接口地址为172.16.100.2
g) 在总部callmanager上设置默认路由指向172.16.100.2
h) 配置两台callmanager点对点连接,测试总部到分公司电话的连通性
转载于:https://blog.51cto.com/13670314/2315236