PT-练习-5.6.1.3-Packet-Tracer-综合技巧练习(教师版)

所有内容版权所有©1992–2007CiscoSystems,Inc.保留所有权利。本文档为Cisco公开信息。第1页（共7页）PT练习5.6.1：PacketTracer综合技巧练习（教师版）拓扑图CCNAExploration接入WAN：ACLPT练习5.6.1：PacketTracer综合技巧练习所有内容版权所有©1992–2007CiscoSystems,Inc.保留所有权利。本文档为Cisco公开信息。第2页（共7页）地址表设备接口IP地址子网掩码S0/0/010.1.1.1255.255.255.252S0/0/110.1.1.5255.255.255.252S0/1/0209.165.201.2255.255.255.252Fa0/010.1.50.1255.255.255.0HQFa0/110.1.40.1255.255.255.0S0/0/010.1.1.2255.255.255.252Fa0/010.1.10.1255.255.255.0B1Fa0/110.1.20.1255.255.255.0S0/0/010.1.1.6255.255.255.252Fa0/010.1.80.1255.255.255.0B2Fa0/110.1.70.1255.255.255.0S0/0/0209.165.201.1255.255.255.252ISPFa0/0209.165.202.129255.255.255.252WebServer网卡209.165.202.130255.255.255.252学习目标•配置带有CHAP身份验证的PPP•配置默认路由•配置OSPF路由•实施并检验多项ACL安全策略简介在本练习中，您需要演练配置实施五项安全策略的ACL的技能。此外，您还要配置PPP和OSPF路由。设备已配置了IP地址。用户执行口令是cisco，特权执行口令是class。任务1：配置带有CHAP身份验证的PPP步骤1.将HQ和B1之间的链路配置为使用带有CHAP身份验证的PPP封装。CHAP身份验证的口令是cisco123。HQ(config)#usernameB1passwordcisco123HQ(config)#interfaces0/0/0HQ(config-if)#encapsulationpppHQ(config-if)#pppauthenticationchapB1(config)#usernameHQpasswordcisco123B1(config)#interfaces0/0/0B1(config-if)#encapsulationpppCCNAExploration接入WAN：ACLPT练习5.6.1：PacketTracer综合技巧练习所有内容版权所有©1992–2007CiscoSystems,Inc.保留所有权利。本文档为Cisco公开信息。第3页（共7页）B1(config-if)#pppauthenticationchap步骤2.将HQ和B2之间的链路配置为使用带有CHAP身份验证的PPP封装。CHAP身份验证的口令是cisco123。HQ(config)#usernameB2passwordcisco123HQ(config)#interfaces0/0/1HQ(config-if)#encapsulationpppHQ(config-if)#pppauthenticationchapB2(config)#usernameHQpasswordcisco123B2(config)#interfaces0/0/0B2(config-if)#encapsulationppp步骤3.检查路由器之间是否已恢复连通性。HQ应能ping通B1和B2。接口恢复可能需要几分钟。在Realtime（实时）模式和Simulation（模拟）模式之间来回切换可加快此过程。要让PacketTracer加快此过程，另一种可行的方法是对接口使用shutdown和noshutdown命令。注：由于PacketTracer程序缺陷，接口可能会在练习期间的任何时候随机关闭。请等待几秒钟，通常接口会自行重新打开。步骤4.检查结果。完成比例应为29%。如果并非如此，请单击CheckResults（检查结果）查看尚未完成哪些必要部分。任务2：配置默认路由步骤1.配置从HQ到ISP的默认路由。在HQ上使用送出接口参数配置默认路由，将所有默认流量发送到ISP。HQ(config)#iproute0.0.0.00.0.0.0s0/1/0步骤2.测试与WebServer的连通性。从HQ的Serial0/1/0接口发出ping。HQ应该能成功ping通WebServer(209.165.202.130)。步骤3.检查结果。完成比例应为32%。如果并非如此，请单击CheckResults（检查结果）查看尚未完成哪些必要部分。任务3：配置OSPF路由步骤1.在HQ上配置OSPF。•使用进程ID1配置OSPF。•通告除209.165.201.0网络外的所有子网。•向OSPF相邻设备传播默认路由。•在接入ISP和接入HQLAN的接口上禁用OSPF更新。HQ(config)#routerospf1CCNAExploration接入WAN：ACLPT练习5.6.1：PacketTracer综合技巧练习所有内容版权所有©1992–2007CiscoSystems,Inc.保留所有权利。本文档为Cisco公开信息。第4页（共7页）HQ(config-router)#network10.1.1.00.0.0.3area0HQ(config-router)#network10.1.1.40.0.0.3area0HQ(config-router)#network10.1.40.00.0.0.255area0HQ(config-router)#network10.1.50.00.0.0.255area0HQ(config-router)#default-informationoriginateHQ(config-router)#passive-interfacefa0/0HQ(config-router)#passive-interfacefa0/1HQ(config-router)#passive-interfaces0/1/0步骤2.在B1和B2上配置OSPF。•使用进程ID1配置OSPF。•在每台路由器上配置适当的子网。•在接入LAN的接口上禁用OSPF更新。B1(config)#routerospf1B1(config-router)#network10.1.1.00.0.0.3area0B1(config-router)#network10.1.10.00.0.0.255area0B1(config-router)#network10.1.20.00.0.0.255area0B1(config-router)#passive-interfacefa0/0B1(config-router)#passive-interfacefa0/1B1(config)#routerospf1B1(config-router)#network10.1.1.40.0.0.3area0B1(config-router)#network10.1.70.00.0.0.255area0B1(config-router)#network10.1.80.00.0.0.255area0B1(config-router)#passive-interfacefa0/0B1(config-router)#passive-interfacefa0/1步骤3.测试整个网络的连通性。现在，网络应该实现了完全的端到端连通性。所有设备均应能够成功ping通所有其它设备，包括地址为209.165.202.130的WebServer。步骤4.检查结果。完成比例应为76%。如果并非如此，请单击CheckResults（检查结果）查看尚未完成哪些必要部分。任务4：实施多项ACL安全策略步骤1.实施第一项安全策略。阻止10.1.10.0网络访问10.1.40.0网络。允许对10.1.40.0的所有其它访问。在HQ上使用ACL编号10配置ACL。•使用标准ACL还是扩展ACL？_______________标准•将ACL应用到哪个接口？_______________Fa0/1•将ACL应用于哪个方向？_______________出站方向____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________CCNAExploration接入WAN：ACLPT练习5.6.1：PacketTracer综合技巧练习所有内容版权所有©1992–2007CiscoSystems,Inc.保留所有权利。本文档为Cisco公开信息。第5页（共7页）________________________________________________________________________________________________________________________________________________________________________HQ(config)#access-list10deny10.1.10.00.0.0.255HQ(config)#access-list10permitanyHQ(config)#intfa0/1HQ(config-if)#ipaccess-group10out步骤2.检查第一项安全策略是否已实现。从PC5pingPC1应该失败。步骤3.检查结果。完成比例应为80%。如果并非如此，请单击CheckResults（检查结果）查看尚未完成哪些必要部分。步骤4.实施第二项安全策略。拒绝主机10.1.10.5访问主机10.1.50.7。允许所有其它主机访问10.1.50.7。在B1上使用ACL编号115配置ACL。•使用标准ACL还是扩展ACL？_______________扩展•将ACL应用到哪个接口？_______________Fa0/0•将ACL应用于哪个方向？_______________入站方向____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________B1(config)#access-list115denyiphost10.1.10.5host10.1.50.7B1(config)#access-list115permitipanyanyB