CCNP学习笔记之实验练习

 

                                             CCNP 学习之 重要实验

实验一

 

 

 

要求：每个部门的经理能互通，员工不通，为了保证公司财务的安全性，财务部经理不能访问外网，其余的全部都能访问外网。

  也许有人说，在同一交换机上连接的机子有的能通信，有的不能通信，这不是鸡蛋里挑骨头吗？这怎么能实现呢？呵呵呵，其实也不是很难，只要好好想想交换机的功能和路由器的功能就一定会想到办法的。在前面我已经写了交换机的功能和路由器的功能，我在这就不在重复了。下面是我的想法，如果大家有更好的办法请多多指点。

 1 想让不同部门的员工不通： 我们可以将每个部门划在一个 VLAN 中，即可实现不同部门的所有成员都不能通信，第一步完成。

 2 让每个部门的经理能互通： 我们通过 VLAN 间路由加访问控制列表即可实现

 3 创建访问控制列表拒绝财务部经理访问外网。

   也许有人又不明白了。既然不让部门之间通信了，为什么有通过 VLAN 间路由让不同部门间通信呢？呵呵呵。如果不用 VLAN 间路由经理之间就永远也不能通信。

  下面是我的配置：

Sw(config)#int f0/1

Sw(config-if)#switchport mode trunk

Sw(config)#vlan 10

Sw(config-vlan)#name shichang

Sw(config)#vlan 20

Sw(config-vlan)#name caiwu

Sw(config)#vlan 30

Sw(config-vlan)#name gongcheng

 

Sw(config)#int range f0/2 �C  3

Sw(config-range)#switchport access vlan 10

Sw(config)#int range f0/4 �C  5

Sw(config-range)#switchport access vlan 20

Sw(config)#int range f0/6 �C  7

Sw(config-range)#switchport access vlan 30

 

 

R1(config)#int f0/0

R1(config-if)#no shut

R1(config-if)#exit

R1(config)#int f0/0.1

R1(config-subif)#encapsulation dot1q 10

R1(config-subif)#ip addr 192.168.1.1 255.255.255.0

R1(config)#int f0/0.2

R1(config-subif)#encapsulation dot1q 20

R1(config-subif)#ip addr 192.168.2.1 255.255.255.0

R1(config)#int f0/0.3

R1(config-subif)#encapsulation dot1q 30

R1(config-subif)#ip addr 192.168.3.1 255.255.255.0

 

    R1(config)#access-list 10 permit host 192.168.1.2

R1(config)#access-list 10 permit host 192.168.2.2

R1(config)#access-list 10 deny 192.168.1.0 0.0.0 .255

R1(config)#access-list 10 deny 192.168.2.0 0.0.0 .255

R1(config)#access-list 10 permit any

R1(config)#int f0/0.3

R1(config-subif)#ip access-group 10 out

 

    R1(config)#access-list 20 permit host 192.168.1.2

R1(config)#access-list 20 permit host 192.168.3.2

R1(config)#access-list 20 deny 192.168.1.0 0.0.0 .255

R1(config)#access-list 20 deny 192.168.3.0 0.0.0 .255

R1(config)#access-list 20 permit any

R1(config)#int f0/0.2

R1(config-subif)#ip access-group 20 out

 

R1(config)#access-list 30 permit host 192.168.2.2

R1(config)#access-list 30 permit host 192.168.3.2

R1(config)#access-list 30 deny 192.168.2.0 0.0.0 .255

R1(config)#access-list 30 deny 192.168.3.0 0.0.0 .255

R1(config)#access-list 30 permit any

R1(config)#int f0/0.1

R1(config-subif)#ip access-group 30 out

 

R1(config)#access-list 102 deny ip host 192.168.2.2  host 202.106.1.2

R1(config)#access-list 102 permit ip any any

 

 

实验二：

 

 

要求 ：用最简单的一个规则实现只有总部管理员对分公司路由器的 telnet , 其他的人不允许。

也许有人会想到扩展的访问控制列表，是的，扩展的访问控制列表是能限制。但是，那不是最简单的。

下面是我的配置：

   在分公司的路由器上： (config)#access-list 10 permit host 192.168.1.2

                       (config)#line vty 0 4

                       (config-line)#pass cisco

                       (config-line)#login

                       (config-line)#exit

                       (config)#line vty 0 4

                       (config-line)#access-class 10 in

 

用 NAT 实现内网对外网的访问。

1 NAT 的全称是 internet access translation, 称为网络地址转换，它是 IETF 标准，允许一个公司以一个公有地址出现在 internet 上， NAT 将每个局域网内的私有地址转换成一个公网地址。

 2 NAT 的分类

  静态 NAT

  语法： (config)#ip nat inside source static 私有 IP 公有 IP

  动态 NAT

   语法： (config)#ip nat  pool  pool-name 起始 IP 结尾 IP netmask 子网掩码

          (config)#access-list 10 permit 内网 IP

          (config)#ip nat inside source list list-number pool pool-name

  网络地址端口转换 (PAT)

   语法： (config)#access-list 10 permit 内网 IP 反码

          (config)#ip nat inside source list list-number interface s0/0

 

实验三：多重协议路由重分发拓扑如下：

 

首先。我们的明确为什么要路由重分发？

  当一个公司网络要迁移时，我们是不可能将网络中的服务器停止工作的，当在一个大的网络结构中有不同公司的路由设备，有不同协议时，当我们要新增一些协议但还要保留原来的路由协议时，我们就必须使用路由重分发来实现网络畅通。但同时，我们也要考虑一些问题，就是路由环路、协议之间的兼容性和路由汇聚时间的一致性问题。良好的规划可避免这些因素引发的网络灾难，规划不良可能会导致网络环路和黑洞。

路由分发时需注意两点 ;

1 路由重分发时，可能需要修改协议的管理距离

2 路由重分发时，必须给重分发而来的路由指定度量值

路由重分发有两种：

双向重分发：在两个路由协议之间重分发所有路由

单向重分发：将一条默认路由分发给一种动态路由协议

下面进行重分发实验 ;

条件是：让 pc0 和 pc1 能通信，其中有三种协议分别是 RIP 、 EIGRP 、 OSPF

  我的实验是这样的

Router0(config)#router rip

Router0(config-router)#net 192.168.1.0

Router0(config-router)#net 172.16.1.0

 

Router1(config)#router rip

Router1(config-router)#net 172.16.1.0

Router1(config-router)#net 172.16.2.0

Router1(config-router)#redistridute eigrp 100 metric 1

Router1(config)#router eigrp 100

Router1(config-router)#net 172.16.1.0

Router1(config-router)#net 172.16.2.0

Router1(config-router)#redistridute rip metric 1544 20000 255 1 1500

 

Router2(config)#router eigrp 100

Router2(config-router)#net 172.16.2.0

Router2(config-router)#net 172.16.3.0

Router2(config-router)#redistridute ospf 1 metric 1544 20000 255 1 1500

Router2(config)#router ospf 1

Router2(config-rotuer)#net 172.16.2.0 0.0.0 .255 area 0

Router2(config-router)#net172.16.3.0 0.0.0 .255 area 0

Router2(config-router)#redistridute eigrp 100 metric 100

 

Router3(config)#router ospf 1

Router3(config-router)#net 172.16.3.0 0.0.0 .255 area 0

Router3(config-router)#net 192.168.2.0 0.0.0 .255 area 0