CCNA实战能力综合测试
中国有上万CCNA,是否已经泛滥落伍了? 证书可以泛滥,技术永远不会落伍,真正的CCNA工程师,完全有能力完成一个中小型网络的设计,安装调试和维护。CCNA的课程覆盖面已经相当全面,从局域网到广域网,从EIGRP到OSPF,从PPP到帧中继,基本都有涉及。而这些东西都是日常企业组网时最常用的技术。
任何证书对人的证明都存在于表面,任何真正的证明最终还是靠人的本身。庆幸的是现在没有人靠一纸证书就对人顶礼膜拜,任何一家公司都要经过测试才能做出决定。即使你是CCIE,只要你能坐在面试官前,任何人的机会都是平等的。不要因为要认证而考认证,证书只是一张证明,当证书不值钱了,就拿出你的技术,掌握技术才是最关键的。
也许你通过了CCNA考试,你真实的能力又如何?下面来完成最接近实战“实验测试”来验证你是否真正掌握CCNA工程师所具备的能力.
CCNA实战案例 :XX科技有限公司网络设计规划
(实战技能测试拓扑图.pkt文件在附件中)
公司有二百台计算机, 多个部门,若干个跨省的分公司.设计要求建立一个可扩展的、高速的,低成本、基于标准的网络,该网络能够支持基本数据的应用程序通信。为了适应系统变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护,采用可网管产品,降低了人力资源的费用,提高网络的易用性。
系统组成与拓扑结构:
为了实现网络设备的统一,本设计方案中完全采用同一厂家的网络产品,即Cisco公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。
设备选型:Cisco 2811路由器、Cisco Catalyst 2950 24口交换机(WS-C2950-24)、Cisco Catalyst 3560交换机
中小型网络设计实施方案主要由局域网和广域网构成,按配置要求分为交换模块、路由模块、互联网接入模块、远程访问模块。整个网络系统的拓扑结构图如图所示。
局域网交换实战要求:
拓扑中设备中包含预配置,根据题目要求按顺序来做。
1、 在核心交换机配置VTP、域名CCNA. 并创建VLAN2 、 vlan3 、vlan4 、vlan99 。
2 、要求SW2、 SW3、 SW4可以从核心交换机学习到VLAN信息但不能删除修改。
3 、配置Trunk,链路;封装标记协议为802.1Q 并将所有Trunk接口“ Native VLAN”修改为VLAN 99(思科官方教材建议的,如果用户连接到Trunk 接口,用户的非标记流量将分配到VLAN1,修改后避免非授权用户对VLAN1访问,提高局域网安全性);
对TRUNK链路做流量修剪: SW2 SW1之间只允许VLAN 1、 VLAN 2流量;SW3 SW1之间只允许VLAN1 ,VLAN2,VLAN3流量;SW4 SW1之间只允许VLAN1 、 VLAN3 的流量。
按图所示将所有PC划分到相应VLAN .
4 、优化生成树协议:手工选举核心交换机SW1为STP根桥; 模式为RSTP。
5 、在SW1配置VLAN1、VLAN2 、VLAN3 、VLAN4 相对应的SVI接口,地址分别为10.10.1.254/24 10.10.2.254/24 、 10.10.3.254/24 、10.10.4.254/24 ;
开启VLAN间路由。
6 、配置“核心交换机SW1”为VLAN2 、VLAN3中的计算机提供DHCP服务.
地址池: VLAN2
地址范围:10.10.2.0 255.255.255.0
网关 :10.10.2.254
DNS 服务器 :100.100.1.1
排除地址 :10.10.2.254 、10.10.2.10 (“主机0” IP是静态分配的)
地址池: VLAN3
地址范围:10.10.3.0 255.255.255.0
网关 :10.10.3.254
DNS 服务器 :100.100.1.1
排除地址 :10.10.3.254
测试:VLAN2 、VLAN3中的主机执行ipconfig /all是否分配到IP; 是否可以访问VLAN4的服务器 (IP : 10.10.4.1 )
7、 SW2交换机的F0/1接口(连接主机1)处于对外业务部,由于环境开放所以要提供安全保障,防止MAC防洪攻击,配置该接口只允许连接MAC地址 0010.11b3.9e54 主机,保证没有其他PC可使用这个端口。
8 、在SW2 SW3 SW4分别配置IP地址:10.10.1.2 、 10.10.1.3 、10.10.1.4 ;同时配置指向相对应的网关IP。(考虑一下网关应该配置那个IP ? )
测试: 任何PC都可以 ping 通SW2 SW3 SW4 。
广域网配置实战要求:
1 、在“边界路由器R1″ S0/0/0 接口创建点对点子接口 .1 、 .2 分别连接到跨省远程分公司节点R2 、R3 。 ;
DLCI到分公司分别为 :102 、103
R1下S0/0/0的子接口ip 地址分别为 : 10.10.12.1/24 、10.10.13.1/24
远程分公司R2 R3 做相应配置。
DLCI到总部分别为 :201 、 301
IP地址分别为:10.10.12.2/24 、10.10.13.2/24
测试:R1 可以PING 通 R2 R3 .
2、在 R1 R2 R3 SW1设备上分别开启 EIGRP路由协议 ; AS号 为1 ;
测试: 在远程分公司主机上能否 ping 通 总公司VLAN4服务器 (10.10.4.1 )
如果不通,根据各个设备的路由表找出原因并解决。
3、在边界路由器R1配置NAT以保证公司VLAN2 VLAN3 内的员工上网功能。
服务提供商ISP提供如下信息:
固定公网IP :100.100.2.1/22 (以配置在外部接口F0/1); 运营商网关 :100.100.2.2
(这里只要求配置动态NAT。如果公司内部架设“公网服务器”,应考虑配置静态NAT或端口映射 )
测试: 总部PC 上用浏览器 http//as-ccielab.com
提示 :这里查看一下R1和核心三层交换SW1的路由表,考虑一下内网连外网的路由要求。
执行安全访问控制实战要求:
1、所有设备应配置 特权密码 ,VTY 密码;并利用访问列表应用在VTY链路下只允许”主机PC0 IP 10.10.2.10远程Telnet网络设备。
2 、限制VLAN2 ,VLAN3之间互相访问,但不能影响正常上网并且都可以访问VLAN4中的服务器
3 、VLAN4放置一台基于WEB页面的公司OA服务器(ip 10.10.4.1)。配置扩展访问列表,所有主机只允许访问服务器的80端口。
4 、在R1 防止外网对内网执行PING扫描(通常攻击的第一步),配置扩展列表禁止从互联网PING R1外部F0/1接口以及内部任何IP地址 。但要求不影响从内网PING 外网。
(实际应用中可以配置基于IOS的CBAC防火墙,这里主要测试利用扩展访问列表对ICMP协议的限制)
CCNA实战能力综合测试答案
http://as-ccielab.com/ccnashizhancheshi/
排错思路:
故障范围排错:
个别主机不能上网:执行ipconfig /all,检查访问层交换配置
局部主机不能上网:访问层交换机,核心交换机,NAT配置,路由协议,DHCP ACL
所有主机不能上网:核心交换机,路由协议,DHCP,NAT配置 ACL
按OSI七层模型:由底层到高层,例如,首先检查物理层,链路层,网络层… …
按网络距离排错:由近到远 ,例如 ping 127.0.0.1 ,ping所在VLAN网关,ping 边界路由内网接口
排错练习:
故障1:SW2的所有主机不能访问公司网络
故障锁定SW1,SW2,应该检查VLAN,TRUNK,网关配置等
故障2:所有主机不能正常访问VLAN4的服务器
故障锁定 服务器IP配置,SW1的VLAN配置等
故障3:分支机构R2用户不能正常访问总部
故障锁定 帧中继配置,R1 R2路由协议 ACL等
故障4:VLAN2 vlan3用户不能访问互联网
故障锁定在SW1 R1,应该检查VLAN间路由,路由协议,是否有默认路由,DHCP,NAT等
CCNA综合排错测试.pkt在附件中
原文来自:http://as-ccielab.com/ccna%e5%ae%9e%e6%88%98%e8%83%bd%e5%8a%9b%e6%b5%8b%e8%af%95/