试题下载
路由交换 试题
知识
CIDR 前缀 子网掩码 反掩码 可用主机数 二进制反掩码计算逻辑 /26 255.255.255.1920.0.0.6362 00000000.00000000.00000000.00111111 (后6位为1)/27 255.255.255.2240.0.0.3130 00000000.00000000.00000000.00011111 (后5位为1)/28 255.255.255.2400.0.0.1514 00000000.00000000.00000000.00001111 (后4位为1)/29 255.255.255.2480.0.0.76 00000000.00000000.00000000.00000111 (后3位为1)/30 255.255.255.2520.0.0.32 00000000.00000000.00000000.00000011 (后2位为1)
所需设备
实验背景
项目拓扑结构如图所示,作为网络工程师,你需要按照拓扑图完成网络部署。在实施期间,你需要配置交换机上的VLAN、中继、端口安全和SSH远程访问;接下来在路由器上实施VLAN间路由和NAT;最后通过测试端到端的连接来检验实施。
实验拓扑
VLAN和端口分配表
见文档
地址分配表
见文档
实验内容
准备
路由器添加一个接口
配置Sw1
配置远程管理访问(包括 IP 编址和 SSH):
域为 cisco.com
用户 admin ,密码为 cisco
加密密钥长度为 1024
SSH第2版,限制为2次身份验证尝试和 60 秒的超时时间
应加密明文密码。
将配置命令及登录结果截图
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 Switch(config)#hostname SW1 SW1(config)#ip domain-name cisco.com SW1(config)#username admin secret cisco SW1(config)#crypto key generate rsa The name for the keys will be: SW1.cisco.com Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] SW1(config)#ip ssh version 2 SW1(config)#ip ssh time-out 60 SW1(config)#ip ssh authentication-retries 2 SW1(config)#line vty 0 15 SW1(config-line)#transport input ssh SW1(config-line)#login local SW1(config-line)#exit SW1(config)#ex SW1#show run
配置、命名和分配 VLAN。端口应手动配置为接入端口。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 SW1(config)#vlan 15 SW1(config-vlan)#name server SW1(config-vlan)#ex SW1(config)#vlan 30 SW1(config-vlan)#name PCs SW1(config-vlan)#ex SW1(config)#vlan 40 SW1(config-vlan)#name native SW1(config-vlan)#ex SW1(config)#vlan 60 SW1(config-vlan)#name manage SW1(config-vlan)#ex SW1(config)#int range f0/1-10 SW1(config-if-range)#switchport mode access SW1(config-if-range)#switchport access vlan 15 SW1(config-if-range)#ex SW1(config)#int range f0/11-20 SW1(config-if-range)#switchport mode access SW1(config-if-range)#switchport access vlan 30 SW1(config-if-range)#ex SW1(config)#int vlan 60 SW1(config-if)#ip add SW1(config-if)#ip address 192.168.1.146 255.255.255.240
配置中继。
1 2 SW1(config)#int g0/2 SW1(config-if)#switchport mode trunk
实施端口安全
在 Fa0/1 上,当检测到 MAC 地址时,允许 2 个 MAC 地址自动添加到配置文件中。不应禁用端口,但当发生违规时,应捕获 syslog 消息。
配置截图
1 2 3 4 SW1(config)#int f0/1 SW1(config-if)#switchport port-security SW1(config-if)#switchport port-security maximum 2 SW1(config-if)#switchport port-security violation restrict
1 2 SW1(config)#int range f0/21-24 SW1(config-if-range)#shutdown
配置Admin
配置 VLAN 间路由。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 Router(config)#int g0/0 Router(config-if)#no shutdown Router(config-if)#ex Router(config)#int g0/0.15 Router(config-subif)#encapsulation dot1Q 15 Router(config-subif)#ip address 192.168.1.161 255.255.255.224 Router(config-subif)#ex Router(config)#int g0/0.30 Router(config-subif)#encapsulation dot1Q 30 Router(config-subif)#ip address 192.168.1.193 255.255.255.192 Router(config-subif)#ex Router(config)#int g0/0.40 Router(config-subif)#encapsulation dot1Q 40 Router(config-subif)#ip address 192.168.1.129 255.255.255.240 Router(config-subif)#ex Router(config)#int g0/0.60 Router(config-subif)#encapsulation dot1Q 60 Router(config-subif)#ip address 192.168.1.145 255.255.255.240 Router(config-subif)#ex Router(config)#int s0/0/1 Router(config-if)#ip address 209.165.202.138 255.255.255.240 Router(config-if)#no shutdown Router(config)#int s0/0/0 Router(config-if)#ip address 192.168.1.125 255.255.255.252 Router(config-if)#no shutdown Router(config)#ex Router#show run
配置 VLAN 30 中的 DHCP 服务。将 LAN 用作区分大小写的池名称。
1 2 3 4 5 6 Router(config)#ip dhcp excluded-address 192.168.1.193 Router(config)#ip dhcp pool LAN Router(dhcp-config)#network 192.168.1.192 255.255.255.192 Router(dhcp-config)#default-router 192.168.1.193 Router(dhcp-config)#dns-server 8.8.8.8 Router(dhcp-config)#domain-name jsjy
实施路由:
使用 OSPF 进程 ID 1 和路由器 ID 1.1.1.1
配置截图
1 2 3 4 5 6 7 8 Router(config)#router ospf 1 Router(config-router)#router-id 1.1.1.1 Router(config-router)#network 209.165.202.136 255.255.255.248 area 0 Router(config-router)#network 192.168.1.124 255.255.255.252 area 0 Router(config-router)#network 192.168.1.160 255.255.255.224 area 0 Router(config-router)#network 192.168.1.192 255.255.255.192 area 0 Router(config-router)#network 192.168.1.128 255.255.255.240 area 0 Router(config-router)#network 192.168.1.144 255.255.255.240 area 0
1 Router(config-router)#passive-interface g0/0
配置编号为1的访问控制列表,禁止私有地址访问互联网。
配置截图
1 2 3 4 5 6 Router(config)#access-list 1 deny 192.168.0.0 0.0.255.255 Router(config)#access-list 1 deny 172.16.0.0 0.15.255.255 Router(config)#access-list 1 deny 10.0.0.0 0.255.255.255 Router(config)#access-list 1 permit any Router(config)#int s0/0/1 Router(config-if)#ip access-group 1 out
实施 NAT:
配置一个只含一条语句,编号为 10 的标准 ACL。允许所有属于 192.168.X.0/24 地址空间的 IP 地址。
配置截图
1 2 Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255 Router(config)#access-list 10 deny any
1 2 3 4 5 6 7 Router(config)#ip nat inside source static 192.168.1.162 209.165.202.139 Router(config)#int g0/0.15 Router(config-if)#ip nat inside Router(config-if)#ex Router(config)#int s0/0/1 Router(config-if)#ip nat outside Router(config-if)#ex
通过 PAT 使用您选择的池名称和这两个公有地址配置动态 NAT:209.165.202.140 and 209.165.202.141
配置截图
1 2 3 4 5 6 7 Router(config)#ip nat pool jsjy 209.165.202.140 209.165.202.141 netmask 255.255.255.248 Router(config)#ip nat inside source list 10 pool jsjy overload Router(config)#int s0/0/0 Router(config-if)#ip nat inside Router(config-if)#ex Router(config)#int g0/0.30 Router(config-subif)#ip nat inside
配置intranet
1 2 3 4 5 6 7 8 9 10 Router(config)#int s0/0/0 Router(config-if)#ip address 192.168.1.126 255.255.255.252 Router(config-if)#no shutdown Router(config-if)#ex Router(config)#int g0/0 Router(config-if)#ip address 192.168.1.30 255.255.255.224 Router(config-if)#no shutdown Router(config)#router ospf 1 Router(config-router)#network 192.168.1.124 255.255.255.252 area 0 Router(config-router)#network 192.168.1.0 255.255.255.224 area 0
配置internet
1 2 3 4 5 6 7 8 9 10 11 Router(config)#int s0/0/0 Router(config-if)#ip address 209.165.202.137 255.255.255.240 Router(config-if)#no shutdown Router(config-if)#ex Router(config)#int g0/0 Router(config-if)#ip address 64.100.150.254 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#ex Router(config)#router ospf 1 Router(config-router)#network 64.100.150.0 255.255.255.0 area 0 Router(config-router)#network 209.165.202.136 255.255.255.248 area 0
配置ITsupport
检验 ITsupport 是否已收到来自 Admin 的完整编址信息。
截图
验证
所有设备现在应能够对所有其他设备执行 ping 操作。否则,请对配置进行故障排除以隔离和解决问题。测试包括:
从 Admin 使用 SSH 检验对 Admin-Sw 的远程访问。
结果截图
1 Router#ssh -l admin 192.168.1.146
检验 VLAN 是否已分配给适当的端口,端口安全是否生效。
结果截图
1 SW1#show port-security interface f0/1
1 Router#show ip ospf neighbor
1 Router#show ip nat translations
外部主机 应该可以通过公有地址访问文件服务器 。
结果截图
内部 PC 应该可以访问 Web 服务器 。
结果截图
wechat
alipay
