第46届世界技能大赛网络系统管理项目湖北省选拔赛赛题-模块C-Cisco解题

VTP

SW3

SW3(config)#ip routing
SW3(config)#vtp version 2
SW3(config)#vtp mode server 
SW3(config)#vtp domain worldskills.cn
SW3(config)#vtp password Skills39

SW1 & SW2

SW1(config)#vtp version 2
SW1(config)#vtp mode client 
SW1(config)#vtp domain worldskills.cn
SW1(config)#vtp password Skills39

SW2(config)#vtp version 2
SW2(config)#vtp mode client 
SW2(config)#vtp domain worldskills.cn
SW2(config)#vtp password Skills39

链路聚合

sw1 & sw2

SW1(config-if-range)#in r f0/23-24
SW1(config-if-range)#sw m t
SW1(config-if-range)#channel-group 1 mode on

快速生成树

SW3(config)#spanning-tree mode rapid-pvst 
SW3(config)#in f0/1		#边缘端口，不与交换设备相连的端口，一般为终端
SW3(config-if)#spanning-tree portfast

SW1(config)#spanning-tree mode rapid-pvst 
SW1(config)#in f0/10
SW1(config-if)#spanning-tree portfast 

SW2(config)#spanning-tree mode rapid-pvst 
SW2(config)#in f0/10
SW2(config-if)#spanning-tree portfast 

配置交换网络安全，边缘接口限制2台客户端接入

SW3(config)#in f0/1
SW3(config-if)#sw a v 99
SW3(config-if)#switchport port-security
Command rejected: FastEthernet0/1 is a dynamic port.
SW3(config-if)#switchport port-security maximum 2

SW1(config)#in f0/10
SW1(config-if)#sw a v 10
SW1(config-if)#switchport port-security 
Command rejected: FastEthernet0/10 is a dynamic port.
SW1(config-if)#switchport port-security maximum 2

SW2(config)#in f0/10
SW2(config-if)#sw a v 20
SW2(config-if)#switchport port-security 
Command rejected: FastEthernet0/10 is a dynamic port.
SW2(config-if)#switchport port-security maximum 2

EDGER配置浮动静态路由

EDGER(config)#ip route 0.0.0.0 0.0.0.0 s0/0/0 
EDGER(config)#ip route 0.0.0.0 0.0.0.0 s0/0/1 100

路由器配置PPP-CHAP

CHAP两端的密码必须相同，用户名为对方设备的hostname

EDGER

EDGER(config)#username ISPR1 password CISCO
EDGER(config)#username ISPR2 password CISCO
EDGER(config)#in s0/0/0
EDGER(config-if)#enc ppp
EDGER(config-if)#ppp au chap
EDGER(config)#in s0/0/1
EDGER(config-if)#enc ppp
EDGER(config-if)#ppp au chap

ISPR1

ISPR1(config)#username EDGER password CISCO
ISPR1(config)#in s0/0/0
ISPR1(config-if)#enc ppp
ISPR1(config-if)#ppp au chap

ISPR2

ISPR2(config)#username EDGER password CISCO
ISPR2(config)#in s0/0/0
ISPR2(config-if)#enc ppp
ISPR2(config-if)#ppp au chap

配置完等待一分钟，或者模拟器点加速，出现端口up，ping测试通过即可

ISPR1#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up
ISPR2#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up

FW（ASAS505）基础配置及NAT

基础配置

配置vlan1为inside（turst区域）

配置vlan1为outside（unturst区域）

ciscoasa>en
Password: 		#空密码，直接回车
ciscoasa#conf t			//进入全局配置模式
FW(config)#no dhcpd address 192.168.1.5-192.168.1.36 inside
FW(config)#in vl 1
FW(config-if)#ip add 192.168.30.254 255.255.255.0
FW(config-if)#in vl2
FW(config-if)#ip add 209.54.78.2 255.255.255.248

FW(config)#sh sw vl

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    inside                           up        Et0/1, Et0/2, Et0/3, Et0/4
                                                Et0/5, Et0/6, Et0/7
2    outside                          up        Et0/0

FW(config)#sh ip 
System IP Addresses:
Interface             Name                 IP address      Subnet mask     Method
Vlan1                 inside               192.168.30.254  255.255.255.0   manual
Vlan2                 outside              209.54.78.2     255.255.255.248 manual

Current IP Addresses:
Interface             Name                 IP address      Subnet mask     Method
Vlan1                 inside               192.168.30.254  255.255.255.0   manual
Vlan2                 outside              209.54.78.2     255.255.255.248 manual

NAT配置

题目的static静态映射

FW(config)#object network web
FW(config-network-object)#host 192.168.30.100
FW(config-network-object)#nat (inside,outside) static 209.54.78.3 
FW(config)#route outside 0.0.0.0 0.0.0.0 209.54.78.1	#添加ISP运营商提供的网关
FW(config)#write memory

FW内网NAT上网

FW(config)#access-list 100 extended permit icmp any any
FW(config)#access-list 100 extended permit ip any any
FW(config)#object network any
FW(config-network-object)#subnet 0.0.0.0 0.0.0.0
FW(config-network-object)#nat (inside,outside) dynamic interface 
FW(config)#access-group 100 in interface outside 
FW(config)#write memory

效果

FW(config)#show  nat 
Auto NAT Policies (Section 2)
1 (inside) to (outside) source dynamic any interface
    translate_hits = 0, untranslate_hits = 0
2 (inside) to (outside) source static web 209.54.78.3
    translate_hits = 0, untranslate_hits = 0

拓展：放行ICMP

理解一些概念：
在思科防火墙中，不同安全级别的接口之间访问时，遵从：允许出站（outbound）连接 [即从高安全等级100到低安全等级0，我可以给你发消息]，禁止入站（inbound）连接 [即低安全等级0到高安全等级100，你不能回我消息]，并且，禁止相同安全级别的接口之间通信 [如果你的安全等级为100，我也为100，咱俩不能相互发消息]
配置安全策略，放行从untrust 到 trust 区域的icmp响应报文：

这里vlan1（inside）的ip：1.1.1.1；vlan1（outside）的ip：2.2.2.2
ciscoasa#conf t			//进入全局配置模式
ciscoasa(config)#access-list icmp permit icmp host 2.2.2.2 host 1.1.1.1 echo-reply	// access-list [创建ACL] icmp[ACL条目名称] permit [执行的动作，允许或拒绝] icmp[协议类型] host[表示指定源主机ip] 2.2.2.2 host[表示指定目的主机ip1.1.1.1] echo-reply[报文类型：icmp响应报文]
ciscoasa(config)#access-group icmp in int outside        //access-group [将指定ACL应用到接口] icmp[要应用的ACL的名称] in [流量方向:inbound] int outside [应用到outside接口]

######################################################################
查看ACL
ciscoasa(config)#show access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
access-list icmp; 1 elements; name hash: 0xd95cd98d
access-list icmp line 1 extended permit icmp host 2.2.2.2 host 1.1.1.1 echo-reply(hitcnt=3) 0xe655907e

从设置SERVER ping通 CLIENT 配置方法同上，注意应用接口，流量方向，源地址，目的地址，协议，即可；

路由器EDGER配置NAT

EDGER(config)#access-list 1 permit 192.168.10.0 0.0.0.255 
EDGER(config)#access-list 1 permit 192.168.20.0 0.0.0.255 
EDGER(config)#ip nat inside source list 1 interface s0/0/1 overload 

SW3-dhcp配置

SW3(config)#service dhcp 
SW3(config)#ip dhcp excluded-address 192.168.10.254
SW3(config)#ip dhcp excluded-address 192.168.20.254
SW3(config)#ip dhcp pool vl10
SW3(dhcp-config)#network 192.168.10.0 255.255.255.0
SW3(dhcp-config)#default-router 192.168.10.254
SW3(dhcp-config)#dns-server 209.54.78.3
SW3(config)#ip dhcp pool vl20
SW3(dhcp-config)#network 192.168.20.0 255.255.255.0
SW3(dhcp-config)#default-router 192.168.20.254
SW3(dhcp-config)#dns-server 209.54.78.3

路由配置

默认路由

SW3(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1
FW(config)#route outside 0.0.0.0 0.0.0.0 209.54.78.1

ospf

EDGER(config)#rou os 10
EDGER(config-router)#netw 11.1.1.1 0.0.0.255 a 2
EDGER(config-router)#netw 22.1.1.2 0.0.0.255 a 1
EDGER(config-router)#netw 10.0.0.1 0.0.0.3 a 0

ISPR1(config)#rou os 10
ISPR1(config-router)#netw 11.1.1.2 0.0.0.255 a 2
ISPR1(config-router)#netw 22.2.2.1 0.0.0.255 a 0
ISPR1(config-router)#netw 100.100.100.254 0.0.0.255 a 0

ISPR2(config)#rou os 10
ISPR2(config-router)#netw 22.1.1.1 0.0.0.255 a 1
ISPR2(config-router)#netw 209.54.78.1 0.0.0.255 a 0
ISPR2(config-router)#netw 209.54.78.1 0.0.0.7 a 0

摘要验证对方身份

EDGER(config)#in s0/0/0
EDGER(config-if)#ip ospf authentication message-digest
EDGER(config-if)#ip ospf authentication-key cisco
EDGER(config)#in s0/0/1
EDGER(config-if)#ip ospf authentication message-digest
EDGER(config-if)#ip ospf authentication-key cisco

FW和EDGER上配置站点到站点VPN

EDGER(config)#access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
EDGER(config)#access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255

思科模拟器PKT做不了

•
首先，在 FW 上创建一个隧道接口并启用 IPSec：
FW(config)# interface tunnel 1
FW(config-if)# ip address 10.1.1.1 255.255.255.0
FW(config-if)# tunnel source GigabitEthernet0/0
•
接着，配置 FW 上的 IPSec 隧道参数：
FW(config)# crypto isakmp policy 10
FW(config-isakmp)# encr aes 128
FW(config-isakmp)# hash md5
FW(config-isakmp)# authentication pre-share
FW(config-isakmp)# group 5
FW(config-isakmp)# exit

FW(config)# crypto isakmp key Skills39123 address 192.168.2.2

FW(config)# crypto ipsec transform-set TS1 esp-aes 128 esp-sha-hmac

FW(config)# crypto map VPN 10 ipsec-isakmp
FW(config-crypto-map)# set peer 192.168.2.2
FW(config-crypto-map)# set transform-set TS1
FW(config-crypto-map)# match address VPN_ACL
FW(config-crypto-map)# exit

FW(config)# interface GigabitEthernet0/0
FW(config-if)# crypto map VPN
FW(config-if)# exit
•
然后，配置 EDGER 上的 IPSec 隧道参数：
EDGER(config)# crypto isakmp policy 10
EDGER(config-isakmp)# encr aes 128
EDGER(config-isakmp)# hash md5
EDGER(config-isakmp)# authentication pre-share
EDGER(config-isakmp)# group 5
EDGER(config-isakmp)# exit

EDGER(config)# crypto isakmp key Skills39123 address 192.168.1.1

EDGER(config)# crypto ipsec transform-set TS1 esp-aes 128 esp-sha-hmac

EDGER(config)# crypto map VPN 10 ipsec-isakmp
EDGER(config-crypto-map)# set peer 192.168.1.1
EDGER(config-crypto-map)# set transform-set TS1
EDGER(config-crypto-map)# match address VPN_ACL
EDGER(config-crypto-map)# exit

EDGER(config)# interface GigabitEthernet0/0
EDGER(config-if)# crypto map VPN
EDGER(config-if)# exit
•
最后，创建一个 VPN_ACL 以匹配需要加密的流量：
FW(config)# access-list VPN_ACL permit ip 10.1.1.0 0.0.0.255 192.168.2.0 0.0.0.255
EDGER(config)# access-list VPN_ACL permit ip 192.168.2.0 0.0.0.255 10.1.1.0 0.0.0.255
现在，FW 和 EDGER 之间的站点到站点 VPN 已经成功配置。

服务器设置

AAA-RADISU

BS1-DNS;WWW

文章来源地址https://www.toymoban.com/news/detail-483052.html

到了这里，关于第46届世界技能大赛网络系统管理项目湖北省选拔赛赛题-模块C-Cisco解题的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！