沃尔夫CCIE实验室CCIE LAB课件04

1、沃尔夫CCIE实验室 CCIE LAB V30,23.7/25,23.2/25,23.3/25,R1,R2,R3,R4,R6,SW1,SW2,54/24,BackBone1,Vlan BB1,Vlan A,Vlan B,Vlan C,12.1/24,12.2/24,150.100.1.YY/24,235.2/24,235.3/24,35.6/30,35.5/30,56.5/24,55.5/24,235.5/24,45.5/24,45.4/24,ISDN,56.6/24,66.8/24,66.6/24,192.1.YY.1/24,192.1.YY.254/24,ATM,20

2、5,305,503,502,FR,FR,516,615,504,405,FR,RIP V2,EIGRP YY,OSPF AREA 0,OSPF AREA 3,ODR,OSPF AREA 5,OSPF AREA 6,R5,YY.YY.0.0/16,47.0001,BackBone2,54/24,/24,Vlan D,Vlan BB2,IPv6 RIP,Section 1: 桥接与交换,1 帧中继 只能使用图中指定的PVC 在R5配置两个子接口，不能在别的地方配置子接口 无需Ping通本端 R5和R6间配置PPP over Frame-Relay (使用

3、主接口),2 VLAN 在SW1和SW2上仅配置必须的VLAN VLAN No. INTERFACE 4 VLAN_AR3 F0/0 R2 F0/0 (see q 1.5) 5 VLAN_BR5 F0/0 6 VLAN_CR6 F1/0 7 VLAN_DR1 E0/0 R2 F0/0 11 VLAN_BB1R1 E0/0 connect to BB1 12 VLAN_BB2R6 E0/0 connect to BB2 13 VLAN_BB3 R6 BB3 200 VLAN_VOICE,3 Trunk F0/23,F0/24同时启用trunk，模式自动协商(desirable) 配置Etherc

4、hannel 在这个Etherchannel上只允许传输vlan_bb2的数据 4 路由器Trunk R1 E0/0既属于VLAN_D也属于VLAN_BB1 R2 F0/0既属于VLAN_A也属于VLAN_D 不允许使用第二地址，可以使用任何合适的封装格式 5 VOICE VLAN配置 配置SW1的F0/7口使其支持7960IP Phone(802.1q trunk) VOICE流量使用VLAN 200，名字VLAN_VOICE Configure the switch so that data traffic on PC connects.,6 PPP over ATM R6 ATM口配置P

5、PP over ATM 本端地址192.4.YY.1/24，对端地址192.4.YY.254/24 使用PVC 0/400+YY,Section 2: IP IGP,1 OSPF 帧中继区域不要使用point-to-multipoint和广播网络类型 Area6确保SW2只能看到域内和域间路由，但还能访问全部拓扑 R5-R6 R2-R3虚链路,2 IPv6编址 在如下路由器接口上启用IPv6地址 使用site-local地址来定义IPv6地址，其中子网位使用IPv4地址的第三节，接口IP使用IPv4地址的第四节,R1 Lo0:FEC0:0:0:1:1/64 R2 Lo0:FEC0:0:0:2:

6、2/64 R3 Lo0:FEC0:0:0:3:3/64 R5 Lo0:FEC0:0:0:5:5/64,R1,R2,R3,SW1,FR,R5,IPv6 RIP,FEC0:0:0:C:1/64,FEC0:0:0:C:2/64,FEC0:0:0:EB:2/64,FEC0:0:0:EB:3/64,FEC0:0:0:EB:5/64,FEC0:0:0:17:3/64,FEC0:0:0:17:2/64,3 IPv6 RIP 在已配置IPv6地址的路由器接口上启动IPv6 RIP，所有IPv6接口都要在路由表中可见可访问 4 RIP R1-BB1运行RIPv2 入向只接收199.172.Z.0 (Z=偶数)的

7、路由 出向只通告YY.YY.0.0/16 5 ODR R4-R5启用ODR R5注入一条默认路由是可允许的 - OSPF,6 EIGRP R1-R2运行EIGRP AS YY 只能在R1-R2间链路存在EIGRP更新包 R1的Lo0通过EIGRP发布 R1 RIPEIGRP 要求R2看到从RIP重分布进入的路由metric在100000到1000000之间 R1新建4个loopback口，地址分别为 /24 /24 /24 /24 将其汇总为一条，不能做16位汇总 R2 EIGRPOSPF 汇总路由

8、的metric要为100 7 Ping able R6 interfaces (2 Points) 不能在路由协议中使用network命令，但要使其他路由器能ping通R6 ATM接口地址192.4.YY.1和R6的Ethernet接口地址150.100.2.YY,Section 3: ISDN,CHAP验证 R3和R5均可拨号，并能互相Ping通 配置使当链路闲置30秒时能挂断 链路在没有应用程序数据或没有发生网络拓扑改变时，不允许起拨 应用程序数据是指TCP,UDP或ICMP流量，广播和组播流不是应用程序数据 由于R5拨叫R3比较便宜，配置使R3拨R5时，R5能挂断连接，回拨R3,Sect

9、ion 4: IP/IOS Feature,1 SNMP 在R5上配置SNMP，使用community名为CiscoWorks 只允许主机40访问该community SNMP管理者不能修改R5的任何管理信息库 配置R5仅发送BGP和TTY的Trap信息,2 Contingency 在R5上配置使R3的IOS文件丢失时能够到R5来通过TFTP下载映象，IOS文件名可缩写为 “2600-ios-image”,3 Network stability R6的F1/0口不稳定，配置R6使得该接口在每30秒抖动一次的情况下，IOS能使该接口不参与路由，你可允许IOS来决定何时恢复使

10、用该接口,4 Route Manipulation 在R6与R3间配置一条tunnel 从SW2 Trace SW1 要正好只有3跳，Traceroute要看到以下结果 RackYYSW2#traceroute YY.YY.7.7 Type escape sequence to abort Tracing the route to YY.YY.7.7 YY.YY.66.6 YY.YY.3.3 YY.YY.23.7 其他路由不能受到影响,Section 5: QOS,1 Frame-relay Precedence 在R4的S0/0口配置使得将现有帧中继链路上所有IP流量优先级为0或1的，设为在

11、拥塞时可丢弃,2 Catalyst voice Feature 配置SW1命令7960将所有从data口收到的数据COS位设为1，并确保SW1能使用此信息,3 Configuration Committed Access Rate 本网段的用户运行一个应用，与BB1中/24网段中一台服务器的UDP 5000到6000端口通讯 在R1配置承诺访问速率，使去往BB1的这种UDP流量，承诺信息速率为3M bps，正常突发量为200K bits，最大突发量为300K bits，满足此速率限制时正常传输，超过此速率限制时，将IP优先级设为0再传输 其余流量承诺信息速率为800K b

12、ps，正常突发量为100K bits，最大突发量为150K bits，满足此速率限制时，将IP优先级设为0再传输，超过此速率限制时，直接丢弃,4 Rate limiting 在R3配置速率限制，将往VLAN_A发送的FTP流量速率限制为2M，往VLAN_A中发送的TCP流量速率限制为5M，无需启用CEF,Section 6: Multicast,1 PIM SPARSE-MODE 在下列接口配置sparse-mode R5 S0/0 sub-interface,F0/0 R4 S0/0,Lo0 R2 S0/0,Lo0 配置R2的Lo0作为/16内所有组的RP 配置R4的L

13、o0加入以下组: 2 配置完成后在所有运行组播的路由器上都能Ping通这些组,2 Additional configuration requirements 配置R4使得发送到这三个组的组播流量永远使用RP，除非是直连的组,Section 7: Security,1 Switching Security SW1的f0/15口连接一台向网络中发送以太帧类型6000的主机，配置访问控制列表过滤这种流量，但不要影响其余流量。使用“BLOCK_ETH6000”作为列表名。,7.2 Reflexive Access-lists (3

14、 Points) R1与BB1间为“Dirty”网络，R2及其所有网段为“Clean”网络，使用自反访问列表，使得： 路由协议流量和ICMP包能自由通过“Dirty”与“Clean”，但不能触发自反 “Clean”一侧TCP和UDP流量完全可以访问“Dirty”侧，“Dirty”侧其他流量不能访问“Clean”侧,7.3 802.1x port-Based Authentication (3 Points) SW1上面Fa0/9连接支持802.1x的主机，启用该认证功能，通过Radius认证服务器,7.4 Security Troubleshooting (2 Points) 自反访问列表配置之后，你会发现R2无法telnet到R1了，解决这个问题,Section 8: IP EGP,不允许注入默认路由 不允许做IGP与BGP之间的重分布,R1,R2,R3,R4,R6,SW1,SW2,54/24,BackBone1,1.YY/24,ISDN,ATM,FR,FR,FR,FR,R5,AS 254,AS YY,AS 254,54/24