福州阿拉丁網(wǎng)絡(luò)教育中心

CCNP實驗CreatedbyCappuccinoon2006/12福州阿拉丁網(wǎng)絡(luò)教育中心ALD_LAB_BASE_001 IP通信根底Fa1/0Fa1/1Fa1/15Q：PC1能否ping通PC2，分析PC通信的整個流程。Tips：1〕查看PC1、PC2的ARP表〔showarp〕2〕在R、PC1、PC2上debugippacketdetails，debugipicmp3〕查看SW的MAC地址表〔showmac-address-table〕4〕在PC1上不指定GW地址，重復(fù)上述實驗SWPC2PC1Fa0/0Fa0/0RCCNP—路由實驗拓?fù)銹1R1BBR1P1R2BBR2P1R3P1R4DCEE0E0E0E0S0S0S0S1S1S0S0幀中繼交換機(jī)111112S0S1S2S3AccessServer(10.1.1.1~10.1.1.4)帳號：ccnp密碼：ccnpLo1211212S0Lo1Lo1Lo1Lo1Lo1X：機(jī)架號Y：組號FR_SW1FR_SW2s0s1s0s1e0e0ALD_LAB_BSCI_001 RIPv1路由協(xié)議Fa0/0Q：R1、R2上配置RIPv1并發(fā)布所有網(wǎng)段。Tips：1〕查看R1、R2的IP路由表〔showiproute〕2〕在R1、R2上debugiprip，觀察RIPv1的路由更新、路由接收過程3〕解釋為什么RIPv1不支持VLSM、不支持非連續(xù)子網(wǎng)R1R2Fa0/0Lo2Lo1Lo3Lo1Lo2ALD_LAB_BSCI_002 RIPv2路由協(xié)議Fa0/0Q：R1、R2上配置RIPv2并發(fā)布所有網(wǎng)段。Tips：1〕查看R1、R2的IP路由表〔showiproute〕2〕在R1、R2上debugiprip，觀察RIPv2的路由更新、路由接收過程3〕在R1、R2的RIP路由模式下配置noauto-summary后，重復(fù)步驟1〕、2〕4〕解釋為什么RIPv2支持VLSM、不支持非連續(xù)子網(wǎng)5〕比較RIPv2與RIPv1的異同點(diǎn)R1R2Fa0/0Lo2Lo1Lo3Lo1Lo2ALD_LAB_BSCI_003 RIP中缺省路由的通告Fa0/0Q：R1、R2上配置RIPv1或RIPv2并發(fā)布所有網(wǎng)段，在R1上配置一條靜態(tài)缺省路由R1(config)#iproute0.0.0.0null0Tips：1〕查看R1、R2的IP路由表〔showiproute〕2〕在R1、R2上debugiprip，觀察RIP的路由更新、路由接收過程3〕在R1上RIP路由模式下配置default-informationoriginate，重復(fù)步驟1〕、2〕4〕掌握RIP中缺省路由通告的配置5〕將R1上RIP路由模式下配置的default-informationoriginate命令刪除，重復(fù)步驟1〕、2〕

注：MaybeCiscoIOSBUGR1R2Fa0/0Lo2Lo1Lo3Lo1Lo2ALD_LAB_BSCI_004 有類路由協(xié)議如何查找IP路由表？Fa0/0Q：在R2上配置一條靜態(tài)缺省路由指向R1，并關(guān)閉ipclasslessR2(config)#iproute0.0.0.0R2(config)#noipclasslessTips：1〕在R2上分別、、2〕掌握有類路由協(xié)議查找IP路由表的方式3〕在R2上開啟ipclassless，重復(fù)步驟1〕、2〕注：CiscoIOSversion12.0及后續(xù)版本缺省開啟ipclasslessR1R2Fa0/0Lo2Lo1Lo3Lo1Lo2ALD_LAB_BSCI_005 EIGRP鄰居建立Q：在R1、R2上配置EIGRP，觀察R1/R2的鄰居建立過程Tips：1〕使用debugeigrppacket命令觀察EIGRP鄰居建立過程2〕使用showipeigrpneighbors[detail]查看EIGRP鄰居3〕列出EIGRP建立鄰居需要滿足的條件R1R2Fa0/0Fa0/0Lo1Lo1ALD_LAB_BSCI_006 OSPF－－單區(qū)域配置Q：1〕配置單區(qū)域的OSPF2〕理解OSPF報文類型〔debugipospfevents〕3〕掌握OSPF鄰居建立的過程、DR/BDR的選舉過程4〕配置穩(wěn)定的OSPFRouterID5〕查看OSPF鄰居〔showipospfneighbor〕6〕查看OSPFLSDB〔showipospfdatabase[router|network|summary|asbr-summary|external]〕命令列表：#clearipospfprocess#debugipospfevents#showipospf#showipospfneighbor#showipospfinterface(config)#routerospf1(config-if)#ipospfpriority0(config-router)#network20.xy.1.00.0.0.255area1(config參照CCNP路由實驗拓?fù)銩LD_LAB_BSCI_007 OSPF－－多區(qū)域配置/NBMA環(huán)境Q：1〕配置多區(qū)域的OSPF2〕在FR環(huán)境中使用NBMA網(wǎng)絡(luò)類型〔注意指定OSPF鄰居、控制DR選舉〕3〕查看OSPF鄰居〔showipospfneighbor〕4〕查看OSPFLSDB〔showipospfdatabase[router|network|summary|asbr-summary|external]〕命令列表：#debugipospfevents#showipospf#showipospfneighbor(config)#routerospf1(config-if)#ipospfpriority0(config-router)#network20.xy.1.00.0.0.255area1(config-router)#neighbor參照CCNP路由實驗拓?fù)銩LD_LAB_BSCI_008 OSPF－－多區(qū)域配置/P2MP_P2P環(huán)境Q：1〕配置多區(qū)域的OSPF2〕在FR環(huán)境中配置多點(diǎn)子接口〔multipoint〕，設(shè)定OSPF網(wǎng)絡(luò)類型為P2MP〔思考：是否要指定OSPF鄰居、是否需要控制DR選舉〕3〕查看OSPF鄰居〔showipospfneighbor〕4〕查看OSPFLSDB〔showipospfdatabase[router|network|summary|asbr-summary|external]〕5〕在FR環(huán)境中配置點(diǎn)到點(diǎn)子接口〔point-to-point〕，重復(fù)上述實驗命令列表：#debugipospfevents#showipospf#showipospfneighbor(config)#defaultinterfaces0(config)#interfaces0.1multipoint|point-to-point(config-if)#ipospfnetworkpoint-to-multipoint(config-subif)#frame-relayinterface-dlci122(config-if)#frame-relaymapipyyybroadcast參照CCNP路由實驗拓?fù)銩LD_LAB0_BSCI_009 OSPF－－LSDB、區(qū)域類型、匯總參照CCNP路由實驗拓?fù)銺：1〕查看OSPF鄰居〔showipospfneighbor〕2〕查看OSPFLSDB〔showipospfdatabase[router|network|summary|asbr-summary|external]〕3〕理解LSA中各個字段的含義 ADVRouter、Age、Checksum、LinkCount、LinkID、Seq#、Tag等4〕配置路由匯總〔區(qū)域間/AS外部〕，解釋配置路由匯總的路由器上為何產(chǎn)生指向null0的路由總結(jié)OSPF中應(yīng)該在何處進(jìn)行路由匯總，為什么？5〕配置stub區(qū)域、配置完全stub區(qū)域6〕配置NSSA區(qū)域命令列表：(config-router)#areaxrange(config-router)#summary-address(config-router)#areaxstub(config-router)#areaxstubno-summary(config-router)#areaxnssa#showipospfdatabaserouter#showipospfdatabasenetwork#showipospfdatabasesummary#showipospfdatabaseasbr-summary#showipospfdatabaseexternalALD_LAB_BSCI_010 OSPF－－OSPF虛鏈路參照CCNP路由實驗拓?fù)銺：1〕配置多區(qū)域OSPF〔區(qū)域0、1、2，其中區(qū)域2與區(qū)域0無物理相鄰〕2〕查看區(qū)域2的路由器是否能夠?qū)W習(xí)到其他區(qū)域的路由，其他區(qū)域是否能夠?qū)W習(xí)到區(qū)域2的路由，給出正確的解釋？3〕配置OSPF虛鏈路4〕查看區(qū)域0、1、2內(nèi)路由器的路由學(xué)習(xí)情況命令列表：(config-router)#areaxvirtual-link#showipospf#showipospfneighbor#showipospfvirtual-links#showiproute49.000149.0002幀中繼ALD_LAB_BSCI_011 ISISBBR2BBR1S1/0S1/0P1R1112Lo1Lo1Fa0/0Fa0/0P1R2111211212S1/0S1/0S1/1P1R3P1R4S1/1Fa0/0

Fa0/0S1/1S1/1Fa0/0Fa0/0Lo1Lo1Lo1Lo1ALD_LAB_BSCI_011 ISIS－－續(xù)1【BBR1】BBR1(config)#interfaceLo1BBR1(config-if)#iprouterisisBBR1(config)#interfacefa0/0BBR1(config-if)#noshutdownBBR1(config-if)#iprouterisisBBR1(config)#interfaces1/0BBR1(config-if)#frame-relaymapclns111broadcastBBR1(config-if)#frame-relaymapclns112broadcastBBR1(config-if)#noshutdownBBR1(config-if)#iprouterisisBBR1(config)#routerisis1、配置集成ISIS2、觀察ISIS鄰居建立過程1〕debugisisadj-packethello報文的類型，發(fā)送過程，DIS選舉2〕showclnsneighbors鄰居是否正常建立，鄰居類型〔L1、L2〕SNPA地址3〕showclnsinterfacefa0/0接口的L1/L2的Metric、Priority、CircuitID判斷該接口對應(yīng)的網(wǎng)絡(luò)中的DIS是誰？4〕showclnsprotocol查看本IS的NET地址、路由器類型等5〕查看ISISL1路由showisisroute6〕查看ISISL2路由showclnsroute7〕查看ISIS數(shù)據(jù)庫showisisdatabaseshowisisdatabaselevel-1[verbose]showisisdatabaselevel-2[verbose]8〕查看ISIS到達(dá)目的的最短路徑showisistopology3、ISIS的路由匯總(config-router)#summaryOSPFRIPv2幀中繼ALD_LAB_BSCI_012 路由重分發(fā)BBR2BBR1S1/0S1/0P1R1112Lo1Lo1Fa0/0Fa0/0P1R2111211212S1/0S1/0S1/1P1R3P1R4S1/1Fa0/0

Fa0/0S1/1S1/1Fa0/0Fa0/0Lo1Lo1Lo1Lo1ALD_LAB_BSCI_012 路由重分發(fā)－－續(xù)11、按照拓?fù)浞謩e配置RIPv2和OSPF協(xié)議2、分別觀察路由器BBR1、P1R1、P1R3的路由表1〕哪個路由器學(xué)習(xí)到該網(wǎng)絡(luò)的完整路由信息？2〕為什么BBR1上學(xué)習(xí)不到RIPv2局部的路由？3〕為什么P1R3上學(xué)習(xí)不到OSPF局部的路由？4〕應(yīng)該在哪些路由器上進(jìn)行路由的重分發(fā)？3、分別在P1R1、P1R2上配置路由重分發(fā)1〕雙向重分發(fā)〔即在P1R1上將RIP重分發(fā)至OSPF，同時將OSPF重分發(fā)至RIP〕2〕觀察各個路由器的路由表有何改變？〔特別關(guān)注P1R1、P1R2的路由表，與進(jìn)行路由重分發(fā)前進(jìn)行比照〕3〕解釋上一步驟的現(xiàn)象〔P1P1、P1R2在進(jìn)行路由重分發(fā)前后路由表為何改變？〕4〕如何解決上一步驟出現(xiàn)的問題？a〕通過分發(fā)列表〔distribute-list〕進(jìn)行控制b〕通過route-map進(jìn)行控制

c〕通過管理距離進(jìn)行控制【參考命令】Router(config-router)#redistributeospf1metricxRouter(config-router)#redistributeripsubnetsmetricxRouter(config-router)#default-metricxRouter(config)#distribute-listacl_no[in|out]OSPFRIPv2幀中繼ALD_LAB_BSCI_013 基于策略的路由BBR2BBR1S1/0S1/0P1R1112Lo1Lo1Fa0/0Fa0/0P1R2111211212S1/0S1/0S1/1P1R3P1R4S1/1Fa0/0

Fa0/0S1/1S1/1Fa0/0Fa0/0Lo1Lo1Lo1Lo1ALD_LAB_BSCI_013 基于策略的路由－－續(xù)11、在實驗16的根底上，完成所有路由協(xié)議的配置2、在P1R3上tracertBBR2的Loopback1接口，描述在正常路由下報文的走向3、要求在P1R1上配置基于策略的路由，即：

1〕從P1R3的Fa0/0口tracertBBR2的Loopback1接口，報文走向為P1R3P1R1P1R2BBR22〕從P1R3的Loopback1口tracertBBR2的Loopback1接口，報文走向為P1R3P1R1BBR24、使用命令debugippolicy在P1R1上觀察策略由的過程5、驗證2種方式指定下一跳的區(qū)別setipnext-hop、setipdefaultnext-hop【參考命令】Router(config)#route-maptestpermit10Router(config-route-map)#matchipaddress10Router(config-route-map)#setipnext-hopRouter(config-route-map)#setipdefaultnext-hopRouter(config-if)#ippolicyroute-maptestRouter#debugippolicy注：1〕setipnext-hop優(yōu)先進(jìn)行策略路由。2〕setipdefaultnext-hop優(yōu)先查看IP路由表，假設(shè)能夠到達(dá)目的地那么進(jìn)行普通的路由；假設(shè)路由表中無到達(dá)目的地的路由信息，那么采用策略路由。AS65100AS65200幀中繼ALD_LAB_BSCI_014 BGP實驗1〔eBGP/iBGP鄰居〕BBR2BBR1S1/0S1/0P1R1112Lo1Lo1Fa0/0Fa0/0P1R2111211212S1/0S1/0S1/1P1R3P1R4S1/1Fa0/0

Fa0/0S1/1S1/1Fa0/0Fa0/0Lo1Lo1Lo1Lo1注：AS65100、65200中的IGP路由協(xié)議任選，不通告AS間互連接口的網(wǎng)段〔〕。ALD_LAB_BSCI_014 BGP實驗1〔eBGP/iBGP鄰居〕－－續(xù)11、在P1R1、P1R2上配置iBGP鄰居1〕通過雙方的s1/1接口地址建立鄰居2〕通過雙方的Lo1接口地址建立鄰居3〕比較上述兩種方式的優(yōu)缺點(diǎn)，在配置上有什么區(qū)別？2、在P1R1與BBR1間、P1R2與BBR1間配置eBGP鄰居1〕P1R1、BBR1間通過直連接口地址建立eBGP鄰居2〕P1R2、BBR1間能否通過Lo1接口地址建立eBGP鄰居？假設(shè)可以，需要如何配置？3、觀察BGP鄰居建立過程4、查看BGP鄰居信息【參考命令】Router(config)#routerbgpxxxRouter(config-router)#neighborremote-asyyRouter(config-router)#neighborupdate-sourceloopback1Router(config-router)#neighborebgp-multihopRouter#debugipbgpRouter#debugipbgpkeepalivesRouter#showipbgpsummaryRouter#showipbgpRouter#showipbgpneighborsAS65100AS65200幀中繼ALD_LAB_BSCI_015 BGP實驗2〔BGP轉(zhuǎn)發(fā)表〕BBR2BBR1S1/0S1/0P1R1112Lo1Lo1Fa0/0Fa0/0P1R2111211212S1/0S1/0S1/1P1R3P1R4S1/1Fa0/0

Fa0/0S1/1S1/1Fa0/0Fa0/0Lo1Lo1Lo1Lo1注：AS65100、65200中的IGP路由協(xié)議任選，不通告AS間互連接口的網(wǎng)段〔〕。ALD_LAB_BSCI_015 BGP實驗2〔BGP轉(zhuǎn)發(fā)表〕－－續(xù)11、完成AS65100內(nèi)的IGP〔OSPF或ISIS或RIP〕配置2、完成AS65200內(nèi)的IGP〔OSPF或ISIS或RIP〕配置3、P1R1、P1R2間配置iBGP鄰居4、P1R1、BBR2間配置eBGP鄰居5、P1R2、BBR1間配置eBGP鄰居6、BBR1、BBR2上通過BGP通告本AS的路由7、P1R1、P1R2上通過BGP通告本AS的路由8、分別在BBR1、BBR2、P1R1、P1R2上觀察BGP轉(zhuǎn)發(fā)表9、掌握BGP路由的通告以及BGP路由選擇原那么10、在BBR1上以作為源地址，traceroute和，觀察報文轉(zhuǎn)發(fā)路徑在P1R1上以作為源地址，traceroute和，觀察報文轉(zhuǎn)發(fā)路徑11、配置BGP策略，到達(dá)以下目的：1〕AS65100訪問AS65200中的、網(wǎng)段時，由P1R2進(jìn)入方法1：在AS65200中利用MED進(jìn)行控制方法2：在AS65100中利用LocalPref進(jìn)行控制2〕AS65200訪問AS65100中的、網(wǎng)段時，由P1R1出去方法1：在AS65100中利用MED進(jìn)行控制方法2：在AS65200中利用LocalPref進(jìn)行控制12、掌握BGP中路由策略的控制手段〔LocalPref、MED〕13、在上述實驗的根底上，將P1R1、P1R2的鏈路中斷，觀察BGP轉(zhuǎn)發(fā)表是否改變？此時在BBR1上以作為源地址，是否可以通？為什么？應(yīng)該如何解決？〔思考iBGP鄰居全連接、路由黑洞等問題〕14、配置AS65200內(nèi)的路由器iBGP全連接，能否解決問題？ALD_LAB_BSCI_015 BGP實驗2〔BGP轉(zhuǎn)發(fā)表〕－－續(xù)2【參考命令】Router(config)#routerbgpxxxRouter(config-router)#networkmaskRouter(config-router)#neighborroute-mapxxxinRouter(config-router)#neighborroute-mapyyyoutRouter(config)#route-mapxxxpermitseq_noRouter(config-route-map)#matchipaddressxRouter(config-route-map)#setlocal-preferencexxxRouter(config-route-map)#setmetricxxxRouter#debugipbgpRouter#showipbgpsummaryRouter#showipbgpAS65300AS65100AS65200幀中繼ALD_LAB_BSCI_016 BGP實驗3〔BGP高級特性〕BBR2BBR1S1/0S1/0P1R1112Lo1Lo1P1R2211S1/0S1/0P1R3P1R4Fa0/0

Fa0/0S1/1S1/1Fa0/0Fa0/0Lo1Lo1Lo1Lo1ALD_LAB_BSCI_016 BGP實驗3〔BGP高級特性〕－－續(xù)11、完成BBR2、P1R1的eBGP配置2、完成BBR1、P1R2的eBGP配置3、完成P1R1、P1R2的iBGP配置4、在BBR1上通告網(wǎng)段、在BBR2上通告網(wǎng)段5、觀察BBR1上是否可以學(xué)習(xí)到的路由〔BGP轉(zhuǎn)發(fā)表、IP路由表〕6、觀察BBR2上是否可以學(xué)習(xí)到的路由〔BGP轉(zhuǎn)發(fā)表、IP路由表〕7、在BBR1上用作為源地址，是否可以通？為什么不可以？如何解決？方法1：在AS65200中配置iBGP全連接方法2：在AS65200中利用RR技術(shù)方法3：在AS65200中利用Confederation技術(shù)8、在AS65200的P1R1上配置向BBR2只發(fā)布本AS起源的路由9、在AS65300的BBR1上配置只從P1R2接收起源自65100的路由10、在BBR1上添加幾個環(huán)回接口，網(wǎng)段分別為、、，并在BGP中通告。在P1R1上利用distribute-list或route-map控制P1R1只發(fā)布的路由給BBR2?！緟⒖济睢縍outer(config)#routerbgpxxxRouter(config-router)#networkmaskRouter(config-router)#neighborroute-reflector-clientRouter(config-router)#bgpcluster-idRouter(config-router)#bgpconfederationidentifierxRouter(config-router)#bgpconfederationpeersxxxyyyzzz….Router(config)#ipas-pathaccess-list10permit_65200_Router(config)#ipprefix-listMY_PFXseqVLAN10VLAN20VLAN10CCNP—交換實驗拓?fù)銩ccessServer(10.1.1.5)帳號：ccnp密碼：ccnpFa1/0/1Fa1/0/23Fa1/0/24Fa0/23Fa0/24Fa0/0Fa0/24Fa0/21Fa0/21Fa0/22Fa0/22Fa0/1Fa0/1Fa0/1SW3SW5SW4SW1R1Fa0/17Fa0/18Fa0/17Fa0/18Fa0/19Fa0/20Fa0/19Fa0/20PC1PC3PC220.1.2.252/24…………Fa0/1ALD_LAB_BCMSN_001 Catalyst交換機(jī)Cluster實驗1、配置Catalyst3750為Cluster的Commander2、配置SW1、SW2、SW3為Cluster的Member3、利用rcommand命令管理member設(shè)備【參考命令】Switch(config)#clusterenablexxxxSwitch(config)#clustermembermacSwitch#showcluster[member|candidate] 查看Cluster中成員；查看候選的交換機(jī)Switch#rcommandCluster_NO

切換到Cluster中的第Cluster_NO個成員Catalyst3750Fa1/0/1Fa1/0/2Fa1/0/3Fa0/24Fa0/24Fa0/24SW1SW2SW3ALD_LAB_BCMSN_002 VLAN根底配置、VTP、DTP1、配置SW1的VTP工作模式為效勞器，域名為Alading2、配置SW3的VTP工作模式為透明模式，域名為Alading3、配置SW4、SW5的VTP工作模式為客戶端，域名為Alading4、在SW1上創(chuàng)立VLAN10〔名為Sales〕、VLAN20〔名為HR〕、VLAN30〔名為Mngt〕5、分別在SW3、SW4、SW5查看VLAN信息，是否同步？假設(shè)沒有，為什么？6、請問VTP同步的條件是什么？7、查看SW1、SW3、SW4、SW5上互連的端口工作狀態(tài)〔access/trunk〕8、DTP協(xié)商的機(jī)制〔auto、desirable〕9、將SW3的VTP域名設(shè)置為Test，查看SW3與其他交換機(jī)互連的端口是否工作在trunk模式？如果沒有，為什么？10、配置SW3的端口Fa0/1為access端口，屬于VLAN10；配置SW4的端口Fa0/1為access端口，屬于VLAN20；配置SW5的端口Fa0/1為access端口，屬于VLAN1011、從PC1pingPC3，是否能夠ping通？請說出原因。如果不能ping通，如何修正？12、從PC1或PC3pingPC2，是否能夠ping通？請說出原因。13、在SW3的trunk端口上配置允許的vlan列表為20、30，再次觀察PC1能否ping通PC3，為什么？14、思考802.1q中的nativeVLAN特性ALD_LAB_BCMSN_002 VLAN根底配置、VTP、DTP－－續(xù)1【參考命令】Switch(config)#vtpmode[server|transparent|client]Switch(config)#vtpdomainDOMAIN_NAMESwitch(config)#vlanVLAN_NAMESwitch(config)#interfaceIF_NAMESwitch(config-if)#switchporttrunkencapsulation[dot1q|isl|negotiate]Switch(config-if)#switchport[access|trunk|dynamicauto|dynamicdesirable]Switch(config-if)#switchportaccessvlanVLAN_IDSwitch(config-if)#swichporttrunkallowedvlan[all|none|VLAN_LIST|addVLAN_LIST|removeVLAN_LIST]Switch(config-if)#switchporttrunknativevlanVLAN_IDSwitch#showdtpinterface[IF_NAME] 查看端口DTP的狀態(tài)Switch#showinterfaces[IF_NAME]switchport 查看端口的swichport屬性Switch#showinterfaces[IF_NAME]trunk 查看端口的trunk屬性Switch#showinterfaces[IF_NAME] 查看端口狀態(tài)Switch#showvtpstatusSwitch#showvtpcountersVLAN200VLAN100ALD_LAB_BCMSN_003 Catalyst交換機(jī)ACL實驗1、根據(jù)圖中給出的IP地址，完成Catalyst3750交換機(jī)的配置，實現(xiàn)PC1、PC2、PC3互通。2、現(xiàn)要求過濾PC1到PC2、PC3的ICMPechorequest報文，試用不同的ACL來實現(xiàn)1〕采用PortACL能否實現(xiàn)，如何配置？2〕采用RouterACL能否實現(xiàn)，如何配置？3〕采用VLANmap能否實現(xiàn)，如何配置？3、假設(shè)某個SVI上同時存在多種ACL配置，Catalyst交換機(jī)如何處理？例如：端口Fa1/0/1上配置PortACL，而InterfaceVLAN100上配置RouterACL。PC2PC1PC3Catalyst3750Fa1/0/1Fa1/0/2Fa1/0/3ALD_LAB_BCMSN_004 HSRP案例分析(1)【MSFC1】Interfacevlan10IpStandby1ipStandby1priority110Interfacevlan20IpStandby2ipCatalyst6500〔2〕Fa1/0/24Fa1/0/24Fa1/0/1Catalyst6500〔1〕Fa1/0/1PC1PC2Vlan10Vlan20【MSFC2】Interfacevlan10IpStandby1ipInterfacevlan20IpStandby2ipStandby2priority110【問題】從PC1持續(xù)pingPC2，在通信的過程中發(fā)現(xiàn)有較多的單播報文泛洪，請分析原因！ALD_LAB_BCMSN_004 HSRP案例分析〔1〕－－續(xù)1注： MSFC1的intvlan10/20的MAC地址均為 MSFC2的intvlan10/20的MAC地址均為【問題】從PC1持續(xù)pingPC2，在通信的過程中發(fā)現(xiàn)有較多的單播報文泛洪，請分析原因！【提示】分析PC1與PC2通信的整個過程，包括ARP過程、MAC地址表學(xué)習(xí)等。ALD_LAB_BCMSN_004 HSRP案例分析〔2〕HSRP的ICMP重定向ALD_LAB_BCMSN_004 HSRP案例分析〔2〕－－續(xù)11、Host訪問NETDPacketfromhost: destMAC=HSRPgroup1virtualMAC sourceMAC=HostMAC destIP=host-on-netDIP sourceIP=HostIPR1收到該報文，發(fā)現(xiàn)R4可以更好地到達(dá)NETD，那么R1準(zhǔn)備發(fā)送ICMPredirect消息〔重定向到R4，因為在R1的路由表中到達(dá)NETD的下一跳為R4的實IP地址〕InitialICMPredirectmessage: destMAC=HostMAC sourceMAC=routerR1MAC destIP=HostIP sourceIP=routerR1IP gatewaytouse=routerR4IP在這個重定向發(fā)送前，R1的HSRP進(jìn)程判斷出R4是HSRPGroup3的ActiveRouter，所以它將redirect消息中的下一跳修改為Group3的虛IP地址。接下來，它根據(jù)Host發(fā)送的報文得知Host以Group1的虛IP地址作為網(wǎng)關(guān)，因此它將redirect消息中的源IP修改為虛IP地址。ALD_LAB_BCMSN_004 HSRP案例分析〔2〕－－續(xù)2ThemodifiedICMPredirectmessageshowingthetwomodifiedfields(*)isasfollows: destMAC=HostMAC sourceMAC=routerR1MAC destIP=HostIP sourceIP*=HSRPgroup1virtualIP gatewaytouse*=HSRPgroup3virtualIP注：第二次修改是必要的，因為Host會比較ICMPredirect消息中的源IP是否等于它的缺省網(wǎng)關(guān)IP地址，假設(shè)不匹配，那么該redirect消息被忽略。這樣，在Host的路由表中存在一個缺省路由〔指向Group1的虛IP地址〕，以及一條到達(dá)NETD的路由〔指向Group3的虛IP地址〕。注1：重定向到passiveHSRP路由器是不允許的，因為如果host學(xué)習(xí)到HSRP路由器的真實IP地址可能導(dǎo)致冗余失敗。例如：在上例中重定向到R8是不允許的，因為R8是passive的HSRP路由。注2：重定向到非HSRP路由器是允許的。因為此時Host學(xué)習(xí)到的是非HSRP路由器的真實IP地址ALD_LAB_BSMSN_005 交換網(wǎng)絡(luò)AAA配置Q：啟用AAA前，在PC上telnet路由器R、交換機(jī)SW，是否能夠正常登錄？在R、SW上啟用AAA驗證，對login進(jìn)行驗證，驗證方式首選Tacacs+、次選Local、最后noneTips：1〕測試PC可以與AAAServer采用同一臺計算機(jī)2〕必須在AAAServer配置用戶信息3〕參考命令Router(config)#aaanew-modelRouter(config)#aaaauthenticationloginaladinggrouptacacs+localnoneRouter(config)#tacacsRouter(config)#tacacs-serverkeyaladingRouter(config)#linevty015Router(config-line)#loginauthenticationaladingRSWFa0/0Fa0/0AAAServer：ALD_LAB_ISCW_001 Site-to-SiteIPSec

【R1】interfacefa0/0ipinterfaces1/0ipiproute0.0.0.0R1R2S1/0S1/0Fa0/0Fa0/0【R2】interfacefa0/0ipinterfaces1/0ipiproute0.0.0.0Fa0/1Fa0/1注1：R1、R2的Fa0/1接口為了方便SDM管理，不作為業(yè)務(wù)接口。注2：R1公網(wǎng)接口為靜態(tài)IP，R2公網(wǎng)接口為靜態(tài)IP實驗要求：R1、R2建立Site-to-SiteVPN 1〕由R1私網(wǎng)接口pingR2私網(wǎng)接口〔測試通過后，去除所有sa〕 2〕由R2私網(wǎng)接口pingR1私網(wǎng)接口〔測試通過后，去除所有sa〕ALD_LAB_ISCW_001 Site-to-SiteIPSec〔1〕－－續(xù)1ISAKMP策略IPSec轉(zhuǎn)換集CryptoMAPcryptoisakmppolicy1encraesauthenticationpre-sharegroup2cryptoisakmpkeyabcaddress100.1.1.2no-xauthcryptoipsectransform-setS2S_IPSecesp-aesesp-sha-hmaccryptomapSDM_CMAP_11ipsec-isakmpsettransform-setS2S_IPSecmatchaddress100access-list100remarkSDM_ACLCategory=4access-list100remarkIPSecRuleaccess-list100permitipinterfaceSerial1/0cryptomapSDM_CMAP_1【R1】ACL應(yīng)用至接口ALD_LAB_ISCW_001 Site-to-SiteIPSec〔1〕－－續(xù)2ISAKMP策略IPSec轉(zhuǎn)換集CryptoMAPcryptoisakmppolicy1encraesauthenticationpre-sharegroup2cryptoisakmpkeyabcaddress100.1.1.1no-xauthcryptoipsectransform-setS2S_IPSecesp-aesesp-sha-hmaccryptomapSDM_CMAP_11ipsec-isakmpsettransform-setS2S_IPSecmatchaddress100access-list100remarkSDM_ACLCategory=4access-list100remarkIPSecRuleaccess-list100permitipinterfaceSerial1/0cryptomapSDM_CMAP_1【R2】ACL應(yīng)用至接口ALD_LAB_ISCW_002 Site-to-SiteIPSec〔2〕【R1】interfacefa0/0ipinterfaces1/0ipiproute0.0.0.0R1R3S1/0S1/0Fa0/0Fa0/0【R2】interfacefa0/0ipinterfaces1/0ipiproute0.0.0.0Fa0/1Fa0/1注1：R1、R2的Fa0/1接口為了方便SDM管理，不作為業(yè)務(wù)接口。注2：R1公網(wǎng)接口為靜態(tài)IP，R2公網(wǎng)接口為動態(tài)IP實驗要求：R1、R2建立Site-to-SiteVPN 1〕由R1私網(wǎng)接口pingR2私網(wǎng)接口〔測試通過后，去除所有sa〕 2〕由R2私網(wǎng)接口pingR1私網(wǎng)接口〔測試通過后，去除所有sa〕ALD_LAB_ISCW_002 Site-to-SiteIPSec〔2〕－－續(xù)1ISAKMP策略IPSec轉(zhuǎn)換集Cryptodynamic-mapcryptoisakmppolicy1encraesauthenticationpre-sharegroup2cryptoisakmpkeyabcaddress0.0.0.0cryptoipsectransform-setS2S_IPSecesp-aesesp-sha-hmaccryptodynamic-mapSDM_DYNMAP_11settransform-setESP-3DES-SHAmatchaddress100cryptomapSDM_CMAP_165535ipsec-isakmpdynamicSDM_DYNMAP_1access-list100remarkSDM_ACLCategory=4access-list100remarkIPSecRuleaccess-list100permitipinterfaceSerial1/0cryptomapSDM_CMAP_1【R1】ACL應(yīng)用至接口ALD_LAB_ISCW_002 Site-to-SiteIPSec〔2〕－－續(xù)2ISAKMP策略IPSec轉(zhuǎn)換集CryptoMAPcryptoisakmppolicy1encraesauthenticationpre-sharegroup2cryptoisakmpkeyabcaddress100.1.1.1no-xauthcryptoipsectransform-setS2S_IPSecesp-aesesp-sha-hmaccryptomapSDM_CMAP_11ipsec-isakmpsettransform-setS2S_IPSecmatchaddress100access-list100remarkSDM_ACLCategory=4access-list100remarkIPSecRuleaccess-list100permitipinterfaceSerial1/0cryptomapSDM_CMAP_1【R2】ACL應(yīng)用至接口ALD_LAB_ISCW_003GREoverIPSEC【R1】interfacefa0/0ipinterfaces1/0ipR1R3S1/0S1/0Fa0/0Fa0/0【R2】interfacefa0/0ipinterfaces1/0ipFa0/1Fa0/1注1：R1、R2的Fa0/1接口為了方便SDM管理，不作為業(yè)務(wù)接口。注2：R1公網(wǎng)接口為靜態(tài)IP，R2公網(wǎng)接口為靜態(tài)IP實驗要求：R1、R2建立GREoverVPN 1〕由R1私網(wǎng)接口pingR2私網(wǎng)接口〔測試通過后，去除所有sa〕 2〕由R2私網(wǎng)接口pingR1私網(wǎng)接口〔測試通過后，去除所有sa〕Tunnel0Tunnel0ALD_LAB_ISCW_003GREoverIPSEC－－續(xù)1ISAKMP策略IPSec轉(zhuǎn)換集Cryptodynamic-mapcryptoisakmppolicy1encraesauthenticationpre-sharegroup2cryptoisakmpkeyabccryptoipsectransform-setS2S_IPSecesp-aesesp-sha-hmaccryptomapSDM_CMAP_11ipsec-isakmpsettransform-setESP-3DES-SHAmatchaddress100interfaceTunnel0ipipmtu1420ipospfmtu-ignoretunnelsourceSerial1/0tunnelpath-mtu-discoverycryptomapSDM_CMAP_1 ----SDM自動生成，沒有作用【R1】ACL創(chuàng)立tunnelALD_LAB_ISCW_003GREoverIPSEC－－續(xù)2應(yīng)用至公網(wǎng)接口interfaceSerial1/0cryptomapSDM_CMAP_1【R1】ALD_LAB_ISCW_003GREoverIPSEC－－續(xù)3ISAKMP策略IPSec轉(zhuǎn)換集Cryptodynamic-mapcryptoisakmppolicy1encraesauthenticationpre-sharegroup2cryptoisakmpkeyabccryptoipsectransform-setS2S_IPSecesp-aesesp-sha-hmaccryptomapSDM_CMAP_11ipsec-isakmpsettransform-setESP-3DES-SHAmatchaddress100interfaceTunnel0ipipmtu1420i