CCNA实战能力综合测试

fen_yun13

CCNA实战案例 ：XX科技有限公司网络设计规划
　 公司有二百台计算机, 多个部门，若干个跨省的分公司.设计要求建立一个可扩展的、高速的，低成本、基于标准的网络，该网络能够支持基本数据的应用程序通信。为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低了人力资源的费用，提高网络的易用性。　
系统组成与拓扑结构：
　　为了实现网络设备的统一，本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。
设备选型：Cisco 2811路由器、Cisco Catalyst 2950 24口交换机（WS-C2950-24）、Cisco Catalyst 3560交换机
　　中小型网络设计实施方案主要由局域网和广域网构成，按配置要求分为交换模块、路由模块、互联网接入模块、远程访问模块。整个网络系统的拓扑结构图如图所

做为一名网络工程师，你的配置任务以下要求：

局域网交换实战要求：
拓扑中设备中包含预配置，根据题目要求按顺序来做。
1、 在核心交换机配置VTP、域名CCNA. 并创建VLAN2 、 vlan3 、vlan4 、vlan99 。
2 、要求SW2、 SW3、 SW4可以从核心交换机学习到VLAN信息但不能删除修改。
3 、配置Trunk,链路；封装标记协议为802.1Q  并将所有Trunk接口“ Native VLAN”修 改  为VLAN 99(思科官方教材建议的)；
    只允许  VLAN 1、 VLAN 2  、 VLAN3 、VLAN4 的流量通过所有TRUNK接口；
    按图所示将所有PC划分到相应VLAN .
4 、优化生成树协议：手工选举核心交换机SW1为STP根桥；  对于连接到PC的接口应立即转发状态而避免STP计算需要经历的“监听”和“学习时间”。
5 、在SW1配置VLAN1、VLAN2 、VLAN3 、VLAN4 相对应的SVI接口，地址分别为10.10.1.254/24  10.10.2.254/24 、 10.10.3.254/24 、10.10.4.254/24 ；
    开启VLAN间路由。
6 、配置“核心交换机SW1”为VLAN2 、VLAN3中的计算机提供DHCP服务.
    地址池： VLAN2
    地址范围：10.10.2.0 255.255.255.0
    网关      ：10.10.2.254
    DNS 服务器 :100.100.1.1
    排除地址   ：10.10.2.254  、10.10.2.10 （“主机0” IP是静态分配的）
    地址池： VLAN3
    地址范围：10.10.3.0 255.255.255.0
    网关      ：10.10.3.254
    DNS 服务器 :100.100.1.1
    排除地址   ：10.10.3.254
    测试：VLAN2 、VLAN3中的主机执行ipconfig /all是否分配到IP； 是否可以访问VLAN4的服务器 （IP : 10.10.4.1 )
7、 SW2交换机的F0/1接口（连接主机1）处于对外业务部，由于环境开放所以要提供安全保障，配置该接口只允许连接MAC地址 0010.11b3.9e54 主机，保证没有其他PC可使用这个端口。
8 、在SW2 SW3 SW4配置IP地址：10.10.1.2  、 10.10.1.3 、10.10.1.4 ；同时配置相对应的网关IP。（考虑一下网关应该配置那个IP ？ ）
     测试： 任何PC都可以 ping 通SW2 SW3 SW4    。

广域网配置实战要求：
1  、在“边界路由器R1″ S0/0/0 接口创建点对点子接口  .1 、 .2 分别连接到跨省远程分公司节点R2  、R3 。 ；
   DLCI到分公司分别为 ：102 、103
   R1下S0/0/0的子接口ip 地址分别为 ： 10.10.12.1/24    、10.10.13.1/24
   远程分公司R2  R3 做相应配置。
   DLCI到总部分别为 ：201 、 301
   IP地址分别为：10.10.12.2/24 、10.10.13.2/24
   测试：R1 可以PING 通 R2  R3  .
2、在 R1  R2  R3  SW1设备上分别开启 EIGRP路由协议 ； AS号 为1 ；  
   测试：  在远程分公司主机上能否 ping 通 总公司VLAN4服务器 （10.10.4.1 ）
   如果不通，根据各个设备的路由表找出原因并解决。
3、在边界路由器R1配置NAT以保证公司VLAN2  VLAN3 内的员工上网功能。
   服务提供商ISP提供如下信息：
   固定公网IP  ：100.100.2.1/22 （以配置在外部接口F0/1）； 运营商网关 ：100.100.2.2
  （这里只要求配置动态NAT。如果公司内部架设“公网服务器”，应考虑配置静态NAT或端口映射 ）
   测试： 总部PC 上用浏览器  http//as-ccielab.com   
   提示 ：这里查看一下R1和核心三层交换SW1的路由表，考虑一下内网连外网的路由要求。
   执行安全访问控制实战要求：
1、所有设备应配置 特权密码 ，VTY 密码；并在VTY链路下只允许”PC0″( IP  10.10.2.10)远程Telnet网络设备。
2 、限制VLAN2 ,VLAN3之间互相访问，但不能影响正常上网并且都可以访问VLAN4中的服务器
3 、VLAN4放置一台基于WEB页面的公司OA服务器（ip 10.10.4.1)。配置扩展访问列表，所有主机只允许访问服务器的80端口。
4 、在R1 防止外网对内网执行PING扫描（通常攻击的第一步），配置扩展列表禁止从互联网PING R1外部F0/1接口以及内部任何IP地址 。但要求不影响从内网PING 外网。


拓扑下载地址
http://www.kuaipan.cn/file/id_15478542443741190.html

Cisco Packet Tracer5.3.2汉化版下载  
http://www.kuaipan.cn/file/id_15478542443741189.html