资源介绍
地址分配表
VLAN 配置和端口映射
场景
在这个 CCNA 综合技能练习中,XYZ 公司结合使用 eBGP 和 PPP 实现 WAN 连接。其他技术包括 NAT、DHCP、静态和默认路由、适用于 IPv4 的 EIGRP、VLAN 间路由和 VLAN 配置。安全配置包括 SSH、端口安全、交换机安全和 ACL。
注意:仅 HQ、B1、B1-S2 和 PC 可访问。用户 EXEC 密码为 cisco,特权 EXEC 密码为 class。
要求
PPP
· 使用 PPP 封装和 CHAP 身份验证配置从 HQ 到互联网的 WAN 链路。
o 使用密码 cisco 创建用户 ISP。
· 使用 PPP 封装和 PAP 身份验证配置从 HQ 到 NewB 的 WAN 链路。
o 使用密码 cisco 创建用户 NewB。
注意:ppp pap sent-username 不由 Packet Tracer 进行评分。不过,必须在 HQ 和 NewB 之间的链路建立之前配置。
eBGP
· 在 HQ 和互联网之间配置 eBGP。
o HQ 属于 AS 65000。
O 互联网云中 BGP 路由器的 IP 地址为 209.165.201.2。
o 向互联网通告 192.0.2.0/24 网络。
NAT
· 在 HQ 上配置动态 NAT
o 允许使用名为 NAT 的标准访问列表转换 10.0.0.0/8 地址空间的所有地址。
o XYZ 公司拥有 209.165.200.240/29 地址空间。池 HQ 使用掩码为 /29 的地址 .241 至 .245。将 NAT ACL 与池 HQ 绑定。配置 PAT。
o 与互联网和 HQ-DataCenter 的连接位于 XYZ 公司外部。
VLAN 间路由
· 为 B1 配置 VLAN 间路由。
o 使用分支路由器的地址分配表配置并激活用于 VLAN 间路由的 LAN 接口。VLAN 99 为本地 VLAN。
静态路由和默认路由
· 为 HQ 配置通往 NewB LAN 的静态路由。使用送出接口作为参数。
· 为 B1 配置通往 HQ 的默认路由。使用下一跳 IP 地址作为参数。
EIGRP 路由
· 为 HQ 和 B1 配置并优化 EIGRP 路由。
o 使用自主系统 100。
o 在相应接口上禁用 EIGRP 更新。
VLAN 和中继配置
注意:B1-S2 上的记录到控制台功能已关闭,因此本地 VLAN 不匹配消息不会中断配置。如果您想查看控制台消息,请输入记录控制台的全局配置命令。
· 在 B1-S2 上配置中继和 VLAN。
o 只在 B1-S2 上创建并命名 VLAN 配置和端口映射表中列出的 VLAN。
o 配置 VLAN 99 接口和默认网关。
o 将 F0/1 到 F0/4 的中继模式设为打开。
o 将 VLAN 分配给适当的接入端口。
o 禁用所有未使用的端口并分配 BlackHole VLAN。
端口安全
· 使用以下策略确保 B1-S2 接入端口的端口安全性:
o 允许在端口上获知 2 个 MAC 地址。
o 配置要添加到配置中的已获知的 MAC 地址。
o 将端口设置为在出现安全违规时发送消息。仍然允许来自获知的前两个 MAC 地址的流量。
SSH
· 将 HQ 配置为使用 SSH 进行远程访问。
o 将模数设为 2048。域名为 CCNASkills.com。
o 用户名为 admin,密码为 adminonly。
o VTY 线路上应只允许 SSH。
o 修改 SSH 默认值:版本 2;60 秒超时;两次重试。
DHCP
· 在 B1 上,按照以下要求为销售 VLAN 20 配置 DHCP 池:
o 排除范围内的前 10 个 IP 地址。
o 池名称是 VLAN20,区分大小写。
o 在 DHCP 配置中添加连接到 HQ LAN 的 DNS 服务器。
· 配置销售 PC 以使用 DHCP。
访问列表策略
· 由于 HQ 已连接到互联网,请按以下顺序配置和应用名为 HQINBOUND 的命名 ACL:
o 允许从任何源地址到任何目的地址的入站 BGP 更新(TCP 端口 179)。
o 允许从任何源地址到 HQ-DataCenter 网络的入站 HTTP 请求。
o 仅允许来自互联网的已建立的 TCP 会话。
o 仅允许来自互联网的入站 ping 回复。
o 明确阻止来自互联网的所有其他入站访问。
连接
· 验证从每台 PC 到 WWW.pka 和 www.cisco.pka 是否具有完整连接。
· 外部主机应该能够在 WWW.pka *问网页。
· 场景 0 中的所有测试均应成功。
- 上一篇: 深信服上网行为管理系统配置内网映射到公网的配置方法
- 下一篇: H3C新华三NE级别 题库