第46届世界技能大赛网络系统管理项目湖北省选拔赛赛题-模块C-Cisco解题

这篇具有很好参考价值的文章主要介绍了第46届世界技能大赛网络系统管理项目湖北省选拔赛赛题-模块C-Cisco解题。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

VTP

SW3

SW3(config)#ip routing
SW3(config)#vtp version 2
SW3(config)#vtp mode server 
SW3(config)#vtp domain worldskills.cn
SW3(config)#vtp password Skills39

SW1 & SW2

SW1(config)#vtp version 2
SW1(config)#vtp mode client 
SW1(config)#vtp domain worldskills.cn
SW1(config)#vtp password Skills39

SW2(config)#vtp version 2
SW2(config)#vtp mode client 
SW2(config)#vtp domain worldskills.cn
SW2(config)#vtp password Skills39

链路聚合

sw1 & sw2

SW1(config-if-range)#in r f0/23-24
SW1(config-if-range)#sw m t
SW1(config-if-range)#channel-group 1 mode on

快速生成树

SW3(config)#spanning-tree mode rapid-pvst 
SW3(config)#in f0/1		#边缘端口,不与交换设备相连的端口,一般为终端
SW3(config-if)#spanning-tree portfast

SW1(config)#spanning-tree mode rapid-pvst 
SW1(config)#in f0/10
SW1(config-if)#spanning-tree portfast 

SW2(config)#spanning-tree mode rapid-pvst 
SW2(config)#in f0/10
SW2(config-if)#spanning-tree portfast 

配置交换网络安全,边缘接口限制2台客户端接入

SW3(config)#in f0/1
SW3(config-if)#sw a v 99
SW3(config-if)#switchport port-security
Command rejected: FastEthernet0/1 is a dynamic port.
SW3(config-if)#switchport port-security maximum 2

SW1(config)#in f0/10
SW1(config-if)#sw a v 10
SW1(config-if)#switchport port-security 
Command rejected: FastEthernet0/10 is a dynamic port.
SW1(config-if)#switchport port-security maximum 2

SW2(config)#in f0/10
SW2(config-if)#sw a v 20
SW2(config-if)#switchport port-security 
Command rejected: FastEthernet0/10 is a dynamic port.
SW2(config-if)#switchport port-security maximum 2

EDGER配置浮动静态路由

EDGER(config)#ip route 0.0.0.0 0.0.0.0 s0/0/0 
EDGER(config)#ip route 0.0.0.0 0.0.0.0 s0/0/1 100

路由器配置PPP-CHAP

CHAP两端的密码必须相同,用户名为对方设备的hostname

EDGER

EDGER(config)#username ISPR1 password CISCO
EDGER(config)#username ISPR2 password CISCO
EDGER(config)#in s0/0/0
EDGER(config-if)#enc ppp
EDGER(config-if)#ppp au chap
EDGER(config)#in s0/0/1
EDGER(config-if)#enc ppp
EDGER(config-if)#ppp au chap

ISPR1

ISPR1(config)#username EDGER password CISCO
ISPR1(config)#in s0/0/0
ISPR1(config-if)#enc ppp
ISPR1(config-if)#ppp au chap

ISPR2

ISPR2(config)#username EDGER password CISCO
ISPR2(config)#in s0/0/0
ISPR2(config-if)#enc ppp
ISPR2(config-if)#ppp au chap

配置完等待一分钟,或者模拟器点加速,出现端口up,ping测试通过即可

ISPR1#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up
ISPR2#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up

FW(ASAS505)基础配置及NAT

基础配置

配置vlan1为inside(turst区域)

配置vlan1为outside(unturst区域)

ciscoasa>en
Password: 		#空密码,直接回车
ciscoasa#conf t			//进入全局配置模式
FW(config)#no dhcpd address 192.168.1.5-192.168.1.36 inside
FW(config)#in vl 1
FW(config-if)#ip add 192.168.30.254 255.255.255.0
FW(config-if)#in vl2
FW(config-if)#ip add 209.54.78.2 255.255.255.248
FW(config)#sh sw vl

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    inside                           up        Et0/1, Et0/2, Et0/3, Et0/4
                                                Et0/5, Et0/6, Et0/7
2    outside                          up        Et0/0
FW(config)#sh ip 
System IP Addresses:
Interface             Name                 IP address      Subnet mask     Method
Vlan1                 inside               192.168.30.254  255.255.255.0   manual
Vlan2                 outside              209.54.78.2     255.255.255.248 manual

Current IP Addresses:
Interface             Name                 IP address      Subnet mask     Method
Vlan1                 inside               192.168.30.254  255.255.255.0   manual
Vlan2                 outside              209.54.78.2     255.255.255.248 manual

NAT配置

题目的static静态映射

FW(config)#object network web
FW(config-network-object)#host 192.168.30.100
FW(config-network-object)#nat (inside,outside) static 209.54.78.3 
FW(config)#route outside 0.0.0.0 0.0.0.0 209.54.78.1	#添加ISP运营商提供的网关
FW(config)#write memory

FW内网NAT上网

FW(config)#access-list 100 extended permit icmp any any
FW(config)#access-list 100 extended permit ip any any
FW(config)#object network any
FW(config-network-object)#subnet 0.0.0.0 0.0.0.0
FW(config-network-object)#nat (inside,outside) dynamic interface 
FW(config)#access-group 100 in interface outside 
FW(config)#write memory

效果

FW(config)#show  nat 
Auto NAT Policies (Section 2)
1 (inside) to (outside) source dynamic any interface
    translate_hits = 0, untranslate_hits = 0
2 (inside) to (outside) source static web 209.54.78.3
    translate_hits = 0, untranslate_hits = 0

拓展:放行ICMP

理解一些概念:
在思科防火墙中,不同安全级别的接口之间访问时,遵从:允许出站(outbound)连接 [即从高安全等级100到低安全等级0,我可以给你发消息],禁止入站(inbound)连接 [即低安全等级0到高安全等级100,你不能回我消息],并且,禁止相同安全级别的接口之间通信 [如果你的安全等级为100,我也为100,咱俩不能相互发消息]
配置安全策略,放行从untrust 到 trust 区域的icmp响应报文:

这里vlan1(inside)的ip:1.1.1.1;vlan1(outside)的ip:2.2.2.2
ciscoasa#conf t			//进入全局配置模式
ciscoasa(config)#access-list icmp permit icmp host 2.2.2.2 host 1.1.1.1 echo-reply	// access-list [创建ACL] icmp[ACL条目名称] permit [执行的动作,允许或拒绝] icmp[协议类型] host[表示指定源主机ip] 2.2.2.2 host[表示指定目的主机ip1.1.1.1] echo-reply[报文类型:icmp响应报文]
ciscoasa(config)#access-group icmp in int outside        //access-group [将指定ACL应用到接口] icmp[要应用的ACL的名称] in [流量方向:inbound] int outside [应用到outside接口]

######################################################################
查看ACL
ciscoasa(config)#show access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
access-list icmp; 1 elements; name hash: 0xd95cd98d
access-list icmp line 1 extended permit icmp host 2.2.2.2 host 1.1.1.1 echo-reply(hitcnt=3) 0xe655907e

从设置SERVER ping通 CLIENT 配置方法同上,注意应用接口,流量方向,源地址,目的地址,协议,即可;

路由器EDGER配置NAT

EDGER(config)#access-list 1 permit 192.168.10.0 0.0.0.255 
EDGER(config)#access-list 1 permit 192.168.20.0 0.0.0.255 
EDGER(config)#ip nat inside source list 1 interface s0/0/1 overload 

SW3-dhcp配置

SW3(config)#service dhcp 
SW3(config)#ip dhcp excluded-address 192.168.10.254
SW3(config)#ip dhcp excluded-address 192.168.20.254
SW3(config)#ip dhcp pool vl10
SW3(dhcp-config)#network 192.168.10.0 255.255.255.0
SW3(dhcp-config)#default-router 192.168.10.254
SW3(dhcp-config)#dns-server 209.54.78.3
SW3(config)#ip dhcp pool vl20
SW3(dhcp-config)#network 192.168.20.0 255.255.255.0
SW3(dhcp-config)#default-router 192.168.20.254
SW3(dhcp-config)#dns-server 209.54.78.3

路由配置

默认路由

SW3(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1
FW(config)#route outside 0.0.0.0 0.0.0.0 209.54.78.1

ospf

EDGER(config)#rou os 10
EDGER(config-router)#netw 11.1.1.1 0.0.0.255 a 2
EDGER(config-router)#netw 22.1.1.2 0.0.0.255 a 1
EDGER(config-router)#netw 10.0.0.1 0.0.0.3 a 0
ISPR1(config)#rou os 10
ISPR1(config-router)#netw 11.1.1.2 0.0.0.255 a 2
ISPR1(config-router)#netw 22.2.2.1 0.0.0.255 a 0
ISPR1(config-router)#netw 100.100.100.254 0.0.0.255 a 0
ISPR2(config)#rou os 10
ISPR2(config-router)#netw 22.1.1.1 0.0.0.255 a 1
ISPR2(config-router)#netw 209.54.78.1 0.0.0.255 a 0
ISPR2(config-router)#netw 209.54.78.1 0.0.0.7 a 0

摘要验证对方身份

EDGER(config)#in s0/0/0
EDGER(config-if)#ip ospf authentication message-digest
EDGER(config-if)#ip ospf authentication-key cisco
EDGER(config)#in s0/0/1
EDGER(config-if)#ip ospf authentication message-digest
EDGER(config-if)#ip ospf authentication-key cisco

FW和EDGER上配置站点到站点VPN

EDGER(config)#access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
EDGER(config)#access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255

思科模拟器PKT做不了

•
首先,在 FW 上创建一个隧道接口并启用 IPSec:
FW(config)# interface tunnel 1
FW(config-if)# ip address 10.1.1.1 255.255.255.0
FW(config-if)# tunnel source GigabitEthernet0/0
•
接着,配置 FW 上的 IPSec 隧道参数:
FW(config)# crypto isakmp policy 10
FW(config-isakmp)# encr aes 128
FW(config-isakmp)# hash md5
FW(config-isakmp)# authentication pre-share
FW(config-isakmp)# group 5
FW(config-isakmp)# exit

FW(config)# crypto isakmp key Skills39123 address 192.168.2.2

FW(config)# crypto ipsec transform-set TS1 esp-aes 128 esp-sha-hmac

FW(config)# crypto map VPN 10 ipsec-isakmp
FW(config-crypto-map)# set peer 192.168.2.2
FW(config-crypto-map)# set transform-set TS1
FW(config-crypto-map)# match address VPN_ACL
FW(config-crypto-map)# exit

FW(config)# interface GigabitEthernet0/0
FW(config-if)# crypto map VPN
FW(config-if)# exit
•
然后,配置 EDGER 上的 IPSec 隧道参数:
EDGER(config)# crypto isakmp policy 10
EDGER(config-isakmp)# encr aes 128
EDGER(config-isakmp)# hash md5
EDGER(config-isakmp)# authentication pre-share
EDGER(config-isakmp)# group 5
EDGER(config-isakmp)# exit

EDGER(config)# crypto isakmp key Skills39123 address 192.168.1.1

EDGER(config)# crypto ipsec transform-set TS1 esp-aes 128 esp-sha-hmac

EDGER(config)# crypto map VPN 10 ipsec-isakmp
EDGER(config-crypto-map)# set peer 192.168.1.1
EDGER(config-crypto-map)# set transform-set TS1
EDGER(config-crypto-map)# match address VPN_ACL
EDGER(config-crypto-map)# exit

EDGER(config)# interface GigabitEthernet0/0
EDGER(config-if)# crypto map VPN
EDGER(config-if)# exit
•
最后,创建一个 VPN_ACL 以匹配需要加密的流量:
FW(config)# access-list VPN_ACL permit ip 10.1.1.0 0.0.0.255 192.168.2.0 0.0.0.255
EDGER(config)# access-list VPN_ACL permit ip 192.168.2.0 0.0.0.255 10.1.1.0 0.0.0.255
现在,FW 和 EDGER 之间的站点到站点 VPN 已经成功配置。

服务器设置

AAA-RADISU

第46届世界技能大赛网络系统管理项目湖北省选拔赛赛题-模块C-Cisco解题

BS1-DNS;WWW

第46届世界技能大赛网络系统管理项目湖北省选拔赛赛题-模块C-Cisco解题
第46届世界技能大赛网络系统管理项目湖北省选拔赛赛题-模块C-Cisco解题
第46届世界技能大赛网络系统管理项目湖北省选拔赛赛题-模块C-Cisco解题文章来源地址https://www.toymoban.com/news/detail-483052.html

到了这里,关于第46届世界技能大赛网络系统管理项目湖北省选拔赛赛题-模块C-Cisco解题的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包