CCNA的一个综合实验(经典)

该企业的具体环境如下： 1、企业具有2个办公地点，且相距较远，公司总共大约有200台主机。 2、A办公地点具有的部门较多，例如业务部、财务部、综合部等，为主要的办公场所，因此这部分的交换网络对可用性和可靠性要求较高 3、B办公地点只有较少办公人员，但是Internet的接入点在这里 4、公司只申请到了一个公网IP地址，供企业内网接入使用 5、公司内部使用私网地址 

【网络拓补】

 【需求分析】 

∙需求1：采取一定方式分隔广播域。 

∙分析1：在交换机上划分VLAN可以实现对广播域的分隔。 

                      划分业务部VLAN10、财务部VLAN20、综合部VLAN30，并分配接口 。 

∙需求二：核心交换机采用高性能的三层交换机，且采用双核心互为备份的形势，接入层交换机分别通过2条上行链路连接到2台核心交换机，由三层交换机实现VLAN之间的路由 。 

∙分析二 

            –交换机之间的链路配置为Trunk链路 

            –三层交换机上采用SVI方式（switch virtual interface）实现VLAN之间的路由 

∙需求三：2台核心交换机之间也采用双链路连接，并提高核心交换机之间的链路带宽 

∙分析三 

            –在2台三层交换机之间配置端口聚合，以提高带宽 

∙需求四：接入交换机的access端口上实现对允许的连接数量为4个，以提高网络的安全性 

∙分析四 

            –采用端口安全的方式实现 

∙需求五：三层交换机配置路由接口，与RA、RB之间实现全网互通 

∙分析五 

             –两台三层交换机上配置路由接口，连接A办公地点的路由器RA 

             –RA和RB分别配置接口IP地址 

              –在三层交换机的路由接口和RA，以及RB的内网接口上启用RIP路由协议，实 

                   现全网互通 

∙需求六：RA和B办公地点的路由器RB之间通过广域网链路连接，并提供一定的安全性 

∙分析六 

            –RA和RB的广域网接口上配置PPP（点到点）协议，并用PAP认证提高安全性 

∙需求七：RB配置静态路由连接到Internet 

∙分析七 

            –两台三层交换上配置缺省路由，指向RA 

            –RA上配置缺省路由指向RB 

            –RB上配置缺省路由指向连接到互联网的下一跳地址 

∙需求八：在RB上用一个公网IP地址实现企业内网到互联网的访问 

∙分析八 

           –用PAT（网络地址转换）方式，实现企业内网仅用一个公网IP地址到互联网的 

              访问 

∙需求九：在RB上对内网到的访问进行一定控制，要求不允许财务部访问互联网，业务部只能访问WWW和FTP服务，而综合部只能访问WWW服务，其余访问不受控制 

∙分析九 

             –通过ACL（访问控制列表）实现 

【配置如下：】 

【路由器R-B的配置】 

初次进入路由器R-B时，我们进行如下的基本配置，配置主机名和各端口IP地址，配置信息如下.（两个路由器ping不通，记得设置时钟速率，千万别忘记了哦。） 

Router>enable 

Router# conf ter 

Router (config)# hostname R-B 

R-B (config)# interface fa0/0 

R-B (config-if)# ip address 201.1.1.1 255.255.255.0 

R-B (config-if)# no shutdown 

R-B (config-if)# exit 

R-B (config)# interface serial 3/0 

R-B (config-if)# ip address 30.1.1.2 255.255.255.0 

R-B (config-if)# clock rate 000 

R-B (config-if)#no shutdown 

上面只是路由器R-B的基本配置，下面在R-B上启用动态路由协议Ripv2，同时配置一条连接到Internet的默认路由，并且配置pap验证，配置信息如下： 

R-B(config)#router rip 

R-B(config-router)# version 2 

R-B(config-router)# no au 

R-B(config-router)# network 201.1.1.0 

R-B(config-router)# network 30.0.0.0 

R-B(config-router)# exit 

R-B(config)# ip route 0.0.0.0 0.0.0.0 fa0/0 （注释：默认路由） 

R-B(config)#username R-A password cisco //建立用户R-A，密码cisco 

R-B (config)#interface serial3/0 

R-B(config-if)#encapsulation ppp //用PPP封装 

R-B (config-if)#ppp authentication pap //PPP验证方式为pap 

R-B (config-if)#ppp pap sent-username R-B password cisco  

//发送用户名R-B ，密码cisco到R-A上验证 

下面通过ACL（访问控制列表）配置来实现财务部不能访问访问互联网，业务部只能访问WWW和FTP服务，而综合部只能访问WWW服务，其余访问不受控制，配置信息如下： 

R-B>enable 

R-B#conf ter 

R-B(config)#access-list 100 deny ip 192.168.20.0 0.0.0.255 any 

R-B(config)#access-list 100 permit tcp 192.168.10.0 0.0.0.255 any eq www 

R-B(config)#access-list 100 permit tcp 192.168.10.0 0.0.0.255 any eq ftp 

R-B(config)#access-list 100 permit tcp 192.168.30.0 0.0.0.255 any eq www  

R-B(config)#interface serial 3/0 

R-B(config-if)#ip access-group 100 in 

R-B(config-if)#exit 

R-B(config)# 

上面通过访问控制列表实现了网络的安全，下面进行NAT转换的配置，由于申请的只有一个公网IP地址，所以就用基于端口转换的NAT，即所说的PAT，其配置如下： 

R-B>enable 

R-B#conf ter 

R-B(config)#access-list 10 permit any 

R-B(config)#ip nat inside source list 10 interface fa0/0 overload （将局域网内的所有IP地址转换成interface fa0/0上对应的202.1.1.1这个内部全局地址） 

R-B(config)#interface fa0/0 

R-B(config-if)#ip nat outside 

R-B(config-if)#interface serial3/0 

R-B(config-if)#ip nat inside 

R-B(config-if)#exit 

R-B(config)# 

以上就是R-B的配置，R-B配置完成，下面进行R-A的配置 

【路由器R-A的配置】 

初次进入路由器R-A时，我们进行如下的基本配置，配置主机名和各端口IP地址，配置信息如下. 还是被忘了陪时钟速率，其实可以用命令查看那端是DCE和DTE的，为了保险起见，就都设置了吧！呵呵 

Router>enable 

Router# conf ter 

Router (config)# hostname R-A 

R-A(config)# interface fa0/0 

R-A (config-if)# ip address 10.1.1.1 255.255.255.0 

R-A (config-if)# no shutdown 

R-A (config-if)# exit 

R-A(config)# interface fa0/1 

R-A (config-if)# ip address 20.2.2.1 255.255.255.0 

R-A (config-if)# no shutdown 

R-A (config-if)# exit 

R-A (config)# interface serial 3/0 

R-A (config-if)# ip address 30.1.1.1 255.255.255.0 

R-A(config-if)# clock rate 000 

R-A (config-if)#no shutdown 

上面只是路由器R-A的基本配置，下面在R-A上启用动态路由协议Ripv2，同时配置ppp中的pap验证，还要一条默认路由，配置信息如下： 

R-A(config)#router rip 

R-A(config-router)# version 2 

R-A(config-router)# no au 

R-A(config-router)# network 10.0.0.0 

R-A(config-router)# network 20.0.0.0 

R-A(config-router)# network 30.0.0.0 

R-A(config-router)# exit 

R-A(config)# ip route 0.0.0.0 0.0.0.0 30.1.1.2 （配置一条到R-B默认路由） 

R-A(config)#username R-B password cisco //建立用户R-B，密码cisco 

R-A (config)#interface serial3/0 

R-A(config-if)#encapsulation ppp //用PPP封装 

R-A (config-if)#ppp authentication pap //PPP验证方式为pap 

R-A (config-if)#ppp pap sent-username R-A password cisco  

//发送用户名R-B ，密码cisco到R-B上验证 

以上就是路由器R-A的配置，配置完成，下面就配置交换机SW-A 

【交换机SW-A的配置】 

Switch> 

Switch>enable 

Switch#configure terminal . 

Switch(config)#hostname sw-A 

sw-A(config)#interface fa0/22 

sw-A(config-if)#no sw 

sw-A(config-if)#no switchport （注释：由于是三层交换机，没有启用第三层的功能的，所以这里需要启用第三层，用no switchport 来实现，下面配置IP地址才会成功） 

sw-A(config-if)#ip address 10.1.1.2 255.255.255.0 

sw-A(config-if)#no shutdown 

sw-A(config-if)#exit 

sw-A(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1 （注释：配置一条默认路由到R-A，下一跳IP地址为R-A上fa0/0上的IP地址） 

sw-A(config)# 

以上是交换机SW-A的基本配置，下面进行vlan的划分，指派属于VLAN的端口，配置如下： 

sw-A(config)#vlan 10 //划分VLan10 

sw-A(config-vlan)#name 10 //VLan10的名字为10 

sw-A(config-vlan)#exit 

sw-A(config)#vlan 20 

sw-A(config-vlan)#name 20 

sw-A(config-vlan)#vlan 30 

sw-A(config-vlan)#name 30 

sw-A(config-vlan)#exit 

sw-A(config)#interface fa0/1 

sw-A(config-if)#switchport mode access 

sw-A(config-if)#switchport access vlan 10 

sw-A(config-if)#interface fa0/2 

sw-A(config-if)#switchport mode access 

sw-A(config-if)#switchport access vlan 20 

sw-A(config-if)#interface fa0/3 

sw-A(config-if)#switchport mode access 

sw-A(config-if)#switchport access vlan 30 

sw-A(config-if)#exit 

sw-A(config)# 

下面为各个Vlan配置IP地址，并配置Thunk链路以实现相同Vlan之间跨越交换机也是可以通信的，最后配置端口聚合配置如下： 

sw-A(config)# 

sw-A(config)#interface vlan 10 //进入VLAN10 

sw-A(config-if)#ip address 192.168.10.1 255.255.255.0 //为VLAN10配置IP地址 

sw-A(config-if)#no shutdown 

sw-A(config-if)#exit 

sw-A(config)#interface vlan 20 

sw-A(config-if)#ip address 192.168.20.1 255.255.255.0 

sw-A(config-if)#no shutdown 

sw-A(config-if)#exit 

sw-A(config)#interface vlan 30 

sw-A(config-if)#ip address 192.168.30.1 255.255.255.0 

sw-A(config-if)#no shutdown 

sw-A(config-if)#exit 

sw-A(config)#interface port-group 1 

sw-A(config-if)#switchport mode trunk //设置trunk链路 

sw-A(config-if)#switchport trunk allowed vlan all //允许所有Vlan通过trunk链路 

sw-A(config-if)# switchport trunk encapsulation dot1q //封装802.1q协议 

sw-A(config-if)#interface range fa0/23 – 24 //进入23、24端口 

sw-A(config-if-range)#channel-group 1 mode on //端口聚合 

下面配置三层交换机上采用SVI方式（switch virtual interface）实现VLAN之间的路由 

Switch>en 

Switch#conf ter 

sw-A#conf ter 

sw-A(config)#interface vlan 10 

sw-A(config-if)#ip address 192.168.10.1 255.255.255.0 

sw-A(config-if)#no shutdown 

sw-A(config-if)#exit 

sw-A(config)#interface vlan 20 

sw-A(config-if)#ip address 192.168.20.1 255.255.255.0 

sw-A(config-if)#no shutdown 

sw-A(config-if)#exit 

sw-A(config)#interface vlan 2 

sw-A(config-if)#interface vlan 30 

sw-A(config-if)#ip address 192.168.30.1 255.255.255.0 

sw-A(config-if)#no shutdown 

sw-A(config-if)#exit 

在三层交换机上启用Ripv2协议，同时启用端口安全,配置如下： 

sw-A(config)#router rip 

sw-A(config-router)#version 2 

sw-A(config-router)#no au 

sw-A(config-router)#no auto-summary 

sw-A(config-router)#network 192.168.10.0 

sw-A(config-router)#network 192.168.20.0 

sw-A(config-router)#network 192.168.30.0 

sw-A(config-router)#network 10.0.0.0 

sw-A(config-router)#exit 

sw-A(config)#interface range fa0/1 – 3 

sw-A(config-if)# switchport mode access 

sw-A (config-if)# switchport port-security 

sw-A (config-if)# switchport port-security max 4 

以上就是路由器sw-A的配置，配置完成，下面就配置交换机SW-B 

【交换机SW-B的配置】 

Switch> 

Switch>enable 

Switch#configure terminal . 

Switch(config)#hostname SW-B 

SW-B(config)#interface fa0/22 

SW-B(config-if)#no sw 

SW-B(config-if)#no switchport （注释：由于是三层交换机，没有启用第三层的功能的，所以这里需要启用第三层，用no switchport 来实现，下面配置IP地址才会成功） 

sw-B(config-if)#ip address 20.2.2.2 255.255.255.0 

sw-B(config-if)#no shutdown 

sw-B(config-if)#exit 

sw-B(config)#ip route 0.0.0.0 0.0.0.0 20.2.2.1 （注释：配置一条默认路由到R-A，下一跳IP地址为R-A上fa0/0上的IP地址） 

sw-B(config)# 

以上是交换机SW-B的基本配置，下面进行vlan的划分，指派属于VLAN的端口，配置如下： 

sw-B(config)#vlan 10 //划分VLan10 

sw-B(config-vlan)#name 10 //VLan10的名字为10 

sw-B(config-vlan)#exit 

sw-B(config)#vlan 20 

sw-B(config-vlan)#name 20 

sw-B(config-vlan)#vlan 30 

sw-B(config-vlan)#name 30 

sw-B(config-vlan)#exit 

sw-B(config)#interface fa0/1 

sw-B(config-if)#switchport mode access 

sw-B(config-if)#switchport access vlan 10 

sw-B(config-if)#interface fa0/2 

sw-B(config-if)#switchport mode access 

sw-B(config-if)#switchport access vlan 20 

sw-B(config-if)#interface fa0/3 

sw-B(config-if)#switchport mode access 

sw-B(config-if)#switchport access vlan 30 

sw-B(config-if)#exit 

sw-B(config)# 

下面为各个Vlan配置IP地址，并配置Thunk链路以实现相同Vlan之间跨越交换机也是可以通信的，最后配置端口聚合配置如下： 

sw-B(config)# 

sw-B(config)#interface vlan 10 //进入VLAN10 

sw-B(config-if)#ip address 192.168.10.1 255.255.255.0 //为VLAN10配置IP地址 

sw-B(config-if)#no shutdown 

sw-B(config-if)#exit 

sw-B(config)#interface vlan 20 

sw-B(config-if)#ip address 192.168.20.1 255.255.255.0 

sw-B(config-if)#no shutdown 

sw-B(config-if)#exit 

sw-B(config)#interface vlan 30 

sw-B(config-if)#ip address 192.168.30.1 255.255.255.0 

sw-B(config-if)#no shutdown 

sw-B(config-if)#exit 

sw-B(config)#interface port-group 1 

sw-B(config-if)#switchport mode trunk //设置trunk链路 

sw-B(config-if)#switchport trunk allowed vlan all //允许所有Vlan通过trunk链路 

sw-B(config-if)# switchport trunk encapsulation dot1q //封装802.1q协议 

sw-B(config-if)#interface range fa0/23 – 24 //进入23、24端口 

sw-B(config-if-range)#channel-group 1 mode on //端口聚合 

下面配置三层交换机上采用SVI方式（switch virtual interface）实现VLAN之间的路由 

sw-B>en 

sw-B#conf ter 

sw-B#conf ter 

sw-B(config)#interface vlan 10 

sw-B(config-if)#ip address 192.168.10.1 255.255.255.0 

sw-B(config-if)#no shutdown 

sw-B(config-if)#exit 

sw-B(config)#interface vlan 20 

sw-B(config-if)#ip address 192.168.20.1 255.255.255.0 

sw-B(config-if)#no shutdown 

sw-B(config-if)#exit 

sw-B(config)#interface vlan 2 

sw-B(config-if)#interface vlan 30 

sw-B(config-if)#ip address 192.168.30.1 255.255.255.0 

sw-B(config-if)#no shutdown 

sw-B(config-if)#exit 

在三层交换机上启用Ripv2协议，同时启用端口安全,配置如下： 

sw-B(config)#router rip 

sw-B(config-router)#version 2 

sw-B(config-router)#no au 

sw-B(config-router)#no auto-summary 

sw-B(config-router)#network 192.168.10.0 

sw-B(config-router)#network 192.168.20.0 

sw-B(config-router)#network 192.168.30.0 

sw-B(config-router)#network 20.0.0.0 

sw-B(config-router)#exit 

sw-B(config)#interface range fa0/1 – 3 

sw-B(config-if)# switchport mode access 

sw-B (config-if)# switchport port-security 

sw-B(config-if)# switchport port-security max 4 

以上就是交换机的SW-B的配置，对于PC机的配置如下：

业务部PC机IP地址范围为：192.168.10.2—192.168.10.254 网关为：192.168.10.1

财务部PC机IP地址范围为：192.168.20.2—192.168.20.254 网关为：192.168.20.1

综合部PC机IP地址范围为：192.168.30.2—192.168.30.254 网关为：192.168.30.1