CCNP学习之重要实验
实验一
 
 
 
要求:每个部门的经理能互通,员工不通,为了保证公司财务的安全性,财务部经理不能访问外网,其余的全部都能访问外网。
  也许有人说,在同一交换机上连接的机子有的能通信,有的不能通信,这不是鸡蛋里挑骨头吗?这怎么能实现呢?呵呵呵,其实也不是很难,只要好好想想交换机的功能和路由器的功能就一定会想到办法的。在前面我已经写了交换机的功能和路由器的功能,我在这就不在重复了。下面是我的想法,如果大家有更好的办法请多多指点。
 1 想让不同部门的员工不通:我们可以将每个部门划在一个VLAN 中,即可实现不同部门的所有成员都不能通信,第一步完成。
 2 让每个部门的经理能互通: 我们通过VLAN间路由加访问控制列表即可实现
 3 创建访问控制列表拒绝财务部经理访问外网。
   也许有人又不明白了。既然不让部门之间通信了,为什么有通过VLAN间路由让不同部门间通信呢?呵呵呵。如果不用VLAN间路由经理之间就永远也不能通信。
  下面是我的配置:
Sw(config)#int f0/1
Sw(config-if)#switchport mode trunk
Sw(config)#vlan 10
Sw(config-vlan)#name shichang
Sw(config)#vlan 20
Sw(config-vlan)#name caiwu
Sw(config)#vlan 30
Sw(config-vlan)#name gongcheng
 
Sw(config)#int range f0/2 –  3
Sw(config-range)#switchport access vlan 10
Sw(config)#int range f0/4 –  5
Sw(config-range)#switchport access vlan 20
Sw(config)#int range f0/6 –  7
Sw(config-range)#switchport access vlan 30
 
 
R1(config)#int f0/0
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#int f0/0.1
R1(config-subif)#encapsulation dot1q 10
R1(config-subif)#ip addr 192.168.1.1 255.255.255.0
R1(config)#int f0/0.2
R1(config-subif)#encapsulation dot1q 20
R1(config-subif)#ip addr 192.168.2.1 255.255.255.0
R1(config)#int f0/0.3
R1(config-subif)#encapsulation dot1q 30
R1(config-subif)#ip addr 192.168.3.1 255.255.255.0
 
    R1(config)#access-list 10 permit host 192.168.1.2
R1(config)#access-list 10 permit host 192.168.2.2
R1(config)#access-list 10 deny 192.168.1.0 0.0.0.255
R1(config)#access-list 10 deny 192.168.2.0 0.0.0.255
R1(config)#access-list 10 permit any
R1(config)#int f0/0.3
R1(config-subif)#ip access-group 10 out
 
    R1(config)#access-list 20 permit host 192.168.1.2
R1(config)#access-list 20 permit host 192.168.3.2
R1(config)#access-list 20 deny 192.168.1.0 0.0.0.255
R1(config)#access-list 20 deny 192.168.3.0 0.0.0.255
R1(config)#access-list 20 permit any
R1(config)#int f0/0.2
R1(config-subif)#ip access-group 20 out
 
R1(config)#access-list 30 permit host 192.168.2.2
R1(config)#access-list 30 permit host 192.168.3.2
R1(config)#access-list 30 deny 192.168.2.0 0.0.0.255
R1(config)#access-list 30 deny 192.168.3.0 0.0.0.255
R1(config)#access-list 30 permit any
R1(config)#int f0/0.1
R1(config-subif)#ip access-group 30 out
 
R1(config)#access-list 102 deny ip host 192.168.2.2  host 202.106.1.2
R1(config)#access-list 102 permit ip any any
 
 
实验二:
 
 
要求 :用最简单的一个规则实现只有总部管理员对分公司路由器的telnet ,其他的人不允许。
也许有人会想到扩展的访问控制列表,是的,扩展的访问控制列表是能限制。但是,那不是最简单的。
下面是我的配置:
   在分公司的路由器上:(config)#access-list 10 permit host 192.168.1.2
                       (config)#line vty 0 4
                       (config-line)#pass cisco
                       (config-line)#login
                       (config-line)#exit
                       (config)#line vty 0 4
                       (config-line)#access-class 10 in
 
NAT实现内网对外网的访问。
1 NAT 的全称是internet access translation,称为网络地址转换,它是IETF标准,允许一个公司以一个公有地址出现在internet 上,NAT将每个局域网内的私有地址转换成一个公网地址。
 2 NAT 的分类
 静态NAT
  语法:(config)#ip nat inside source static 私有IP 公有IP
 动态NAT
   语法: (config)#ip nat  pool  pool-name 起始IP 结尾IP netmask 子网掩码
          (config)#access-list 10 permit 内网IP
          (config)#ip nat inside source list list-number pool pool-name
 网络地址端口转换(PAT)
   语法: (config)#access-list 10 permit 内网IP 反码
          (config)#ip nat inside source list list-number interface s0/0
 
实验三:多重协议路由重分发拓扑如下:
 
首先。我们的明确为什么要路由重分发?
 当一个公司网络要迁移时,我们是不可能将网络中的服务器停止工作的,当在一个大的网络结构中有不同公司的路由设备,有不同协议时,当我们要新增一些协议但还要保留原来的路由协议时,我们就必须使用路由重分发来实现网络畅通。但同时,我们也要考虑一些问题,就是路由环路、协议之间的兼容性和路由汇聚时间的一致性问题。良好的规划可避免这些因素引发的网络灾难,规划不良可能会导致网络环路和黑洞。
路由分发时需注意两点;
1 路由重分发时,可能需要修改协议的管理距离
2 路由重分发时,必须给重分发而来的路由指定度量值
路由重分发有两种:
双向重分发:在两个路由协议之间重分发所有路由
单向重分发:将一条默认路由分发给一种动态路由协议
下面进行重分发实验;
条件是:让pc0pc1能通信,其中有三种协议分别是RIPEIGRPOSPF
 我的实验是这样的
Router0(config)#router rip
Router0(config-router)#net 192.168.1.0
Router0(config-router)#net 172.16.1.0
 
Router1(config)#router rip
Router1(config-router)#net 172.16.1.0
Router1(config-router)#net 172.16.2.0
Router1(config-router)#redistridute eigrp 100 metric 1
Router1(config)#router eigrp 100
Router1(config-router)#net 172.16.1.0
Router1(config-router)#net 172.16.2.0
Router1(config-router)#redistridute rip metric 1544 20000 255 1 1500
 
Router2(config)#router eigrp 100
Router2(config-router)#net 172.16.2.0
Router2(config-router)#net 172.16.3.0
Router2(config-router)#redistridute ospf 1 metric 1544 20000 255 1 1500
Router2(config)#router ospf 1
Router2(config-rotuer)#net 172.16.2.0 0.0.0.255 area 0
Router2(config-router)#net172.16.3.0 0.0.0.255 area 0
Router2(config-router)#redistridute eigrp 100 metric 100
 
Router3(config)#router ospf 1
Router3(config-router)#net 172.16.3.0 0.0.0.255 area 0
Router3(config-router)#net 192.168.2.0 0.0.0.255 area 0