CCNA综合实验集合

CCNA综合实验：二．需求1．A公司一共有200左右接入点（分两部门），公司总部大概有100台接入点,分部1有40多个接入点，分部2有10台PC。公司内部访问，指定网段为。为了充分使用IP地址，请您合理规划IP地址。2.总部和分部之间用专线连接，使用PPP协议的PAP进行双向认证，总部和分部都用R1访问外网。但只申请了一个公网IP,IP地址为.1/30。3.总部内部有两个部门，分别属于两个VLAN（VLAN10,VLAN20）。SW1为VTP服务器，SW2为VTP客户，要求内部VLAN间能相互通信。4．分部1和分部2之间（R4和R2之间）运行RIP协议，总部和分部之间运行OSPF，要求全网能互通。5.总部访问公网使用帧中继技术。6.允许分部1访问总部，但分部2只能访问总部的HTTP服务器（IP地址《自己划分》），注意：HTTP服务器放在VLAN10里。7.不影响其他流量的情况下，开启R2,R4的TELNET服务，只允许总部访问。分部1和分部2不能互访，也不能访问总部。8.总部的工作人员都是计算机盲，不会手动配置IP地址，请自动给PC分配地址。7.NAT+DHCP+ACL综合实验NAT+DHCP+ACL综合实验实验拓扑：实验目的：掌握NAT的原理及其实现方法掌握DHCP的原理及其配置实验要求：在R1上做静态NAT使WEB服务器可以被访问，E0口IP地址作为内网网关54在R1上做PAT使的内网可以访问InternetR1配置成DHCP服务器，为网络分配IP地址。R2上使用ACL使得内网的地址不会出现在外网中排除地址：～0DNS：0网关：54Domain:租约期：无限实验步骤：步骤1将R1配置成DHCP服务器R1(config)#ipdhcppoolstsdR1(dhcp-config)#networkR1(dhcp-config)#default-routerR1(dhcp-config)#dns-server0R1(dhcp-config)#domain-nameR1(dhcp-config)#leaseinfinite配置排除地址:R1(config)#ipdhcpexcluded-address0使路由器接口通过DHCP获取IP地址可以使用命令ipaddressdhcp步骤2在R1上做静态NAT，使WEB服务器可以通过.3被访问R1(config)#ipnatinsidesourcestatic.3步骤3在R1上做PAT，使内网可以访问InternetR1(config)#access-list1deny.0R1(config)#access-list1permit.255R1(config)#ipnatinsidesourcelist1interfaces0overload步骤4指定NAT的内部接口和外部接口R1(config)#interfacef0/0R1(config-if)#ipnatinsideR1(config)#interfaces0R1(config-if)#ipnatoutside步骤5在R2上做ACL，防止内网地址在外网中出现R2(config)#access-list1deny.255R2(config)#access-list1permitanyR2(config)#interfaces0R2(config-if)#ipaccess-group1in常用DHCP以及NAT查看命令：Router#showipnattranslations显示NAT转换表Router#showipnatstatistics显示NAT状态Router#clearipnattranslations*清除所有NAT转换Router#showipdhcpbinding显示已有的DHCP绑定信息Router#showipdhcpdatabase显示当前使用的DHCP数据库Router#showipdhcpserverStatistics列出DHCP服务运行状态信息一标准访问控制列表实验：实验拓扑：实验目的：掌握标准与扩展ACL的配置实验要求：拒绝R1到R3的所有流量实验步骤：步骤1按如上拓扑做好底层配置，并检测相邻设备之间的连通性步骤2起静态路由，使全网互通R1(config)#iproute.6452R3(config)#iproute.0525步骤3在R3上做标准的ACL使R1不能访问R3R3(config)#access-list1deny.1或者使用命令R3(config)#access-list1denyhost.1因为访问控制列表默认有一个拒绝所有的隐含条目，所以需要在最后加入一条：R3(config)#access-list1permitany标准ACL要放置在离目标近的地方，所以配置在R3的S1的入向上面：R3(config)#ints1R3(config-if)#ipaccess-group1in二扩展访问控制列表实验：实验拓扑：实验目的：掌握扩展访问控制列表的配置掌握如何使用扩展的访问控制列表实现网络的安全性只有PC1可以访问FTP服务器实验步骤：步骤1按如上拓扑在做好底层配置，在三台路由器上启RIPv2协议，使之互通R1(config)#routerripR1(config-router)#version2R1(config-router)#noauto-summaryR1(config-rotuer)#network.0R1(config-rotuer)#networkR2(config)#routerripR2(config-router)#version2R2(config-router)#noauto-summaryR2(config-rotuer)#network.0R3(config)#routerripR3(config-router)#version2R3(config-router)#noauto-summaryR3(config-rotuer)#network.0R3(config-router)#network步骤3在R3上做扩展的ACL，拒绝来自网络的icmp流量R3(config)#access-list102denyicmp.255anyR3(config)#access-list102permitipanyanyR3(config)#inte0R3(config-if)ipaccess-group102in步骤4在R1上做扩展的ACL使得只有PC1可以访问FTP服务器注意FTP使用两个端口号，20与21：R1(config)#access-list110permittcp.0eq21R1(config)#access-list110permittcp.0eq20R1(config)#ints0R1(config-if)#ipaccess-group110in三命名的访问控制列表试验：实验需求与拓扑图通上，将访问控制列表转换成命名的ACL：R3(config)#ipaccess-listextendeddeny_icmpR3(config-ext-nacl)#denyicmp.255anyR3(config-ext-nacl)#permitipanyanyR3(config)#inte0R3(config-if)#ipaccess-groupdeny_icmpinR1(config)#ipaccess-listextendeddeny_ftpR1(config-ext-nacl)#permittcp.0eq20R1(config-ext-nacl)#permittcp.0eq21R1(config)#ints0R1(config-if)#ipaccess-groupdeny_ftpin命名ACL的最大优点在于可以修改其中任意一条，而使用编号的ACL则不能。四：使用ACL对vty线路进行限制：实验拓扑：实验需求：在Router的VTY线路上通过ACL限制访问只有PC1能够远程登录Router实验步骤：Router(config)#access-list1permithost//因为ACL有隐含拒绝特性，所以不需要显式拒绝PC2Router(config)#linevty015Router(config-line)#passwordstsdRouter(config-line)#loginRouter(config-line)#access-class1in实验拓扑：实验目的：掌握EIGRP的基本配置观察EIGRP的自动汇总情况实验步骤：步骤1按如上拓扑做好底层配置，并检测相邻设备之间的连通性步骤2在三台路由器上启EIGRP协议R1(config)#routereigrp100//注意EIGRPAS号的全局意义R1(config-router)#network.255R1(config-router)#network.0R2(config)#routereigrp100R2(config-router)#network.64R2(config-router)#network.0R3(config)#routereigrp100R3(config-router)#network.255R3(config-router)#network.64步骤3用showiproute命令查看路由表，观察EIGRP的默认自动汇总特性步骤4关闭路由器上的自动汇总，然后再看其路由表有什么变化R1(config)#routereigrp100R1(config-router)#noauto-summaryR2(config)#routereigrp100R2(config-router)#noauto-summaryR3(config)#routereigrp100R3(config-router)#noauto-summaryCCNA的一个综合实验【背景描述】该企业的具体环境如下：1、企业具有2个办公地点，且相距较远，公司总共大约有200台主机。2、A办公地点具有的部门较多，例如业务部、财务部、综合部等，为主要的办公场所，因此这部分的交换网络对可用性和可靠性要求较高3、B办公地点只有较少办公人员，但是Internet的接入点在这里4、公司只申请到了一个公网IP地址，供企业内网接入使用5、公司内部使用私网地址

【网络拓补】

【需求分析】需求一：采取一定方式分隔广播域。分析一：在交换机上划分VLAN可以实现对广播域的分隔。

划分业务部VLAN10、财务部VLAN20、综合部VLAN30，并分配接口。需求二：核心交换机采用高性能的三层交换机，且采用双核心互为备份的形势，接入层交换机分别通过2条上行链路连接到2台核心交换机，由三层交换机实现VLAN之间的路由。分析二交换机之间的链路配置为Trunk链路三层交换机上采用SVI方式（switchvirtualinterface）实现VLAN之间的路由需求三：2台核心交换机之间也采用双链路连接，并提高核心交换机之间的链路带宽分析三在2台三层交换机之间配置端口聚合，以提高带宽需求四：接入交换机的access端口上实现对允许的连接数量为4个，以提高网络的安全性分析四采用端口安全的方式实现需求五：三层交换机配置路由接口，与RA、RB之间实现全网互通分析五两台三层交换机上配置路由接口，连接A办公地点的路由器RARA和RB分别配置接口IP地址在三层交换机的路由接口和RA，以及RB的内网接口上启用RIP路由协议，实现全网互通需求六：RA和B办公地点的路由器RB之间通过广域网链路连接，并提供一定的安全性分析六RA和RB的广域网接口上配置PPP（点到点）协议，并用PAP认证提高安全性需求七：RB配置静态路由连接到Internet分析七两台三层交换上配置缺省路由，指向RARA上配置缺省路由指向RBRB上配置缺省路由指向连接到互联网的下一跳地址需求八：在RB上用一个公网IP地址实现企业内网到互联网的访问分析八用PAT（网络地址转换）方式，实现企业内网仅用一个公网IP地址到互联网的访问需求九：在RB上对内网到外网的访问进行一定控制，要求不允许财务部访问互联网，业务部只能访问WWW和FTP服务，而综合部只能访问WWW服务，其余访问不受控制分析九通过ACL（访问控制列表）实现

【配置如下】【路由器R-B的配置】初次进入路由器R-B时，我们进行如下的基本配置，配置主机名和各端口IP地址，配置信息如下.（两个路由器ping不通，记得设置时钟速率，千万别忘记了哦。）Router>enableRouter#confterRouter(config)#hostnameR-BR-B(config)#interfacefa0/0R-B(config-if)#ipaddressR-B(config-if)#noshutdownR-B(config-if)#exitR-B(config)#interfaceserial3/0R-B(config-if)#ipaddressR-B(config-if)#clockrate64000R-B(config-if)#noshutdown上面只是路由器R-B的基本配置，下面在R-B上启用动态路由协议Ripv2，同时配置一条连接到Internet的默认路由，并且配置pap验证，配置信息如下：R-B(config)#routerripR-B(config-router)#version2R-B(config-router)#noauR-B(config-router)#networkR-B(config-router)#networkR-B(config-router)#exitR-B(config)#iproute.0fa0/0（注释：默认路由）R-B(config)#usernameR-Apasswordcisco//建立用户R-A，密码ciscoR-B(config)#interfaceserial3/0R-B(config-if)#encapsulationppp//用PPP封装R-B(config-if)#pppauthenticationpap//PPP验证方式为papR-B(config-if)#ppppapsent-usernameR-Bpasswordcisco

//发送用户名R-B，密码cisco到R-A上验证下面通过ACL（访问控制列表）配置来实现财务部不能访问访问互联网，业务部只能访问WWW和FTP服务，而综合部只能访问WWW服务，其余访问不受控制，配置信息如下：R-B>enableR-B#confterR-B(config)#access-list100denyip.255anyR-B(config)#access-list100permittcp.255anyeqwwwR-B(config)#access-list100permittcp.255anyeqftpR-B(config)#access-list100permittcp.255anyeqwwwR-B(config)#access-list100permitipanyanyR-B(config)#interfaceserial3/0R-B(config-if)#ipaccess-group100inR-B(config-if)#exitR-B(config)#上面通过访问控制列表实现了网络的安全，下面进行NAT转换的配置，由于申请的只有一个公网IP地址，所以就用基于端口转换的NAT，即所说的PAT，其配置如下：R-B>enableR-B#confterR-B(config)#access-list10permitanyR-B(config)#ipnatinsidesourcelist10interfacefa0/0overload（将局域网内的所有IP地址转换成interfacefa0/0上对应的这个内部全局地址）R-B(config)#interfacefa0/0R-B(config-if)#ipnatoutsideR-B(config-if)#interfaceserial3/0R-B(config-if)#ipnatinsideR-B(config-if)#exitR-B(config)#以上就是R-B的配置，R-B配置完成，下面进行R-A的配置【路由器R-A的配置】初次进入路由器R-A时，我们进行如下的基本配置，配置主机名和各端口IP地址，配置信息如下.还是被忘了陪时钟速率，其实可以用命令查看那端是DCE和DTE的，为了保险起见，就都设置了吧！呵呵Router>enableRouter#confterRouter(config)#hostnameR-AR-A(config)#interfacefa0/0R-A(config-if)#ipaddress.1R-A(config-if)#noshutdownR-A(config-if)#exitR-A(config)#interfacefa0/1R-A(config-if)#ipaddress.1R-A(config-if)#noshutdownR-A(config-if)#exitR-A(config)#interfaceserial3/0R-A(config-if)#ipaddressR-A(config-if)#clockrate64000R-A(config-if)#noshutdown上面只是路由器R-A的基本配置，下面在R-A上启用动态路由协议Ripv2，同时配置ppp中的pap验证，还要一条默认路由，配置信息如下：R-A(config)#routerripR-A(config-router)#version2R-A(config-router)#noauR-A(config-router)#network.0R-A(config-router)#network.0R-A(config-router)#networkR-A(config-router)#exitR-A(config)#iproute.0（配置一条到R-B默认路由）R-A(config)#usernameR-Bpasswordcisco//建立用户R-B，密码ciscoR-A(config)#interfaceserial3/0R-A(config-if)#encapsulationppp//用PPP封装R-A(config-if)#pppauthenticationpap//PPP验证方式为papR-A(config-if)#ppppapsent-usernameR-Apasswordcisco

//发送用户名R-B，密码cisco到R-B上验证以上就是路由器R-A的配置，配置完成，下面就配置交换机SW-A【交换机SW-A的配置】Switch>Switch>enableSwitch#configureterminal.Switch(config)#hostnamesw-Asw-A(config)#interfacefa0/22sw-A(config-if)#noswsw-A(config-if)#noswitchport（注释：由于是三层交换机，没有启用第三层的功能的，所以这里需要启用第三层，用noswitchport来实现，下面配置IP地址才会成功）sw-A(config-if)#ipaddress.2sw-A(config-if)#noshutdownsw-A(config-if)#exitsw-A(config)#iproute.0（注释：配置一条默认路由到R-A，下一跳IP地址为R-A上fa0/0上的IP地址）sw-A(config)#以上是交换机SW-A的基本配置，下面进行vlan的划分，指派属于VLAN的端口，配置如下：

sw-A(config)#vlan10//划分VLan10sw-A(config-vlan)#name10//VLan10的名字为10sw-A(config-vlan)#exitsw-A(config)#vlan20sw-A(config-vlan)#name20sw-A(config-vlan)#vlan30sw-A(config-vlan)#name30sw-A(config-vlan)#exitsw-A(config)#interfacefa0/1sw-A(config-if)#switchportmodeaccesssw-A(config-if)#switchportaccessvlan10sw-A(config-if)#interfacefa0/2sw-A(config-if)#switchportmodeaccesssw-A(config-if)#switchportaccessvlan20sw-A(config-if)#interfacefa0/3sw-A(config-if)#switchportmodeaccesssw-A(config-if)#switchportaccessvlan30sw-A(config-if)#exitsw-A(config)#下面为各个Vlan配置IP地址，并配置Thunk链路以实现相同Vlan之间跨越交换机也是可以通信的，最后配置端口聚合配置如下：sw-A(config)#sw-A(config)#interfacevlan10//进入VLAN10sw-A(config-if)#ipaddress//为VLAN10配置IP地址sw-A(config-if)#noshutdownsw-A(config-if)#exitsw-A(config)#interfacevlan20sw-A(config-if)#ipaddresssw-A(config-if)#noshutdownsw-A(config-if)#exitsw-A(config)#interfacevlan30sw-A(config-if)#ipaddresssw-A(config-if)#noshutdownsw-A(config-if)#exitsw-A(config)#interfaceport-group1sw-A(config-if)#switchportmodetrunk//设置trunk链路sw-A(config-if)#switchporttrunkallowedvlanall//允许所有Vlan通过trunk链路sw-A(config-if)#switchporttrunkencapsulationdot1q//封装802.1q协议sw-A(config-if)#interfacerangefa0/23–24//进入23、24端口sw-A(config-if-range)#channel-group1modeon//端口聚合下面配置三层交换机上采用SVI方式（switchvirtualinterface）实现VLAN之间的路由Switch>enSwitch#conftersw-A#conftersw-A(config)#interfacevlan10sw-A(config-if)#ipaddresssw-A(config-if)#noshutdownsw-A(config-if)#exitsw-A(config)#interfacevlan20sw-A(config-if)#ipaddresssw-A(config-if)#noshutdownsw-A(config-if)#exitsw-A(config)#interfacevlan2sw-A(config-if)#interfacevlan30sw-A(config-if)#ipaddresssw-A(config-if)#noshutdownsw-A(config-if)#exit在三层交换机上启用Ripv2协议，同时启用端口安全,配置如下：sw-A(config)#routerripsw-A(config-router)#version2sw-A(config-router)#noausw-A(config-router)#noauto-summarysw-A(config-router)#networksw-A(config-router)#networksw-A(config-router)#networksw-A(config-router)#network.0sw-A(config-router)#exitsw-A(config)#interfacerangefa0/1–3sw-A(config-if)#switchportmodeaccesssw-A(config-if)#switchportport-securitysw-A(config-if)#switchportport-securitymax4以上就是路由器sw-A的配置，配置完成，下面就配置交换机SW-B【交换机SW-B的配置】Switch>Switch>enableSwitch#configureterminal.Switch(config)#hostnameSW-BSW-B(config)#interfacefa0/22SW-B(config-if)#noswSW-B(config-if)#noswitchport（注释：由于是三层交换机，没有启用第三层的功能的，所以这里需要启用第三层，用noswitchport来实现，下面配置IP地址才会成功）sw-B(config-if)#ipaddress.2sw-B(config-if)#noshutdownsw-B(config-if)#exitsw-B(config)#iproute.0（注释：配置一条默认路由到R-A，下一跳IP地址为R-A上fa0/0上的IP地址）sw-B(config)#以上是交换机SW-B的基本配置，下面进行vlan的划分，指派属于VLAN的端口，配置如下：

sw-B(config)#vlan10//划分VLan10sw-B(config-vlan)#name10//VLan10的名字为10sw-B(config-vlan)#exitsw-B(config)#vlan20sw-B(config-vlan)#name20sw-B(config-vlan)#vlan30sw-B(config-vlan)#name30sw-B(config-vlan)#exitsw-B(config)#interfacefa0/1sw-B(config-if)#switchportmodeaccesssw-B(config-if)#switchportaccessvlan10sw-B(config-if)#interfacefa0/2sw-B(config-if)#switchportmodeaccesssw-B(config-if)#switchportaccessvlan20sw-B(config-if)#interfacefa0/3sw-B(config-if)#switchportmodeaccesssw-B(config-if)#switchportaccessvlan30sw-B(config-if)#exitsw-B(config)#下面为各个Vlan配置IP地址，并配置Thunk链路以实现相同Vlan之间跨越交换机也是可以通信的，最后配置端口聚合配置如下：sw-B(config)#sw-B(config)#interfacevlan10//进入VLAN10sw-B(config-if)#ipaddress//为VLAN10配置IP地址sw-B(config-if)#noshutdownsw-B(config-if)#exitsw-B(config)#interfacevlan20sw-B(config-if)#ipaddresssw-B(config-if)#noshutdownsw-B(config-if)#exitsw-B(config)#interfacevlan30sw-B(config-if)#ipaddresssw-B(config-if)#noshutdownsw-B(config-if)#exitsw-B(config)#interfaceport-group1sw-B(config-if)#switchportmodetrunk//设置trunk链路sw-B(config-if)#switchporttrunkallowedvlanall//允许所有Vlan通过trunk链路sw-B(config-if)#switchporttrunkencapsulationdot1q//封装802.1q协议sw-B(config-if)#interfacerangefa0/23–24//进入23、24端口sw-B(config-if-range)#channel-group1modeon//端口聚合下面配置三层交换机上采用SVI方式（switchvirtualinterface）实现VLAN之间的路由sw-B>ensw-B#conftersw-B#conftersw-B(config)#interfacevlan10sw-B(config-if)#ipaddresssw-B(config-if)#noshutdownsw-B(config-if)#exitsw-B(config)#interfacevlan20sw-B(config-if)#ipaddresssw-B(config-if)#noshutdownsw-B(config-if)#exitsw-B(config)#interfacevlan2sw-B(config-if)#interfacevlan30sw-B(config-if)#ipaddresssw-B(config-if)#noshutdownsw-B(config-if)#exit在三层交换机上启用Ripv2协议，同时启用端口安全,配置如下：sw-B(config)#routerripsw-B(config-router)#version2sw-B(config-router)#noausw-B(config-router)#noauto-summarysw-B(config-router)#networksw-B(config-router)#networksw-B(config-router)#networksw-B(config-router)#network.0sw-B(config-router)#exitsw-B(config)#interfacerangefa0/1–3sw-B(config-if)#switchportmodeaccesssw-B(config-if)#switchportport-securitysw-B(config-if)#switchportport-securitymax4以上就是交换机的SW-B的配置，对于PC机的配置如下：

实验拓扑：实验目的：掌握OSPF的区域汇总掌握OSPF的简单口令以及MD5认证掌握如何修改hello、dead间隔及cost的值实验要求：做area1在向Area0通告时进行汇总在R1与R2之间做区域的简单口令认证在R2与R3之间做区域的MD5认证修改R3R4之间的hello、dead间隔为5、20修改R4的s0口的cost为80在所有路由器上开启OSPF邻居日志实验步骤：步骤1按如上拓扑做好底层配置，并检测相邻设备之间的连通性步骤2在网络中各个路由器上启OSPF协议R1(config)#routerospf100R1(config-router)#network.255area1R1(config-router)#network.255area1R1(config-router)#network.255area1R1(config-router)#network.255area1R1(config-router)#network.055area1R1(config-router)#log-adjacency-changes//打开OSPF邻居状态日志R2(config)#routerospf100R2(config-router)#network.055area1R2(config-router)#network.055area0R2(config-router)#log-adjacency-changesR3(config)#routerospf100R3(config-router)#network.055area0R3(config-router)#network.255area2R3(config-router)#log-adjacency-changesR4(config)#routerospf100R4(config-router)#network.255area2R4(config-router)#log-adjacency-changes步骤2在R2上对区域1进行路由汇总R2(config)#routerospf100R2(config-router)#area1range步骤3在R2、R3之间做区域的MD5认证R2(config)#ints1R2(config-if)#ipospfmessage-digest-key1md5cisco//定义认证密钥R2(config)#routerospf100R2(config-router)#area0authenticationmessage-digestR3(config)#ints1R3(config-if)#ipospfmessage-digest-key1md5ciscoR3(config)#routerospf100R3(config-router)#area0authenticationmessage-digest步骤4在R1与R2之间配置简单口令认证R1(config)#ints0R1(config-if)#ipospfauthentication-keystsd//配置密码为stsdR1(config-router)#area1authentication//在区域1中开启认证R2(config)#ints0R2(config-