新版CCNPiscw中文实验手册.docx

新版CCNPiscw中文实验手册.docx

《新版CCNPiscw中文实验手册.docx》由会员分享，可在线阅读，更多相关《新版CCNPiscw中文实验手册.docx（43页珍藏版）》请在冰豆网上搜索。

新版CCNPiscw中文实验手册

CCNP-ISCW实验手册

实验一：

MPLS配置

实验二：

ipsecsite-to-siteVPN配置

实验三：

GREVPN的配置

实验四：

Ezvpn的配置

实验五：

本地AAA的配置

实验六：

CBAC配置

实验一：

MPLS配置

实验环境：

三台路由器Ethernet接口相连，接口配置如图

要求：

在三台路由器相连的接口分别启用MPLS,查看相应的结果，在启用前使其在OSPF下互通。

步骤一：

接口配置连通性，启用OSPF路由协议

R1（config-if）#inte0/1

R1（config-if）#ipadd10.1.1.1255.255.255.0

R1（config-if）#noshutdown

R1（config）#inte0/0

R1（config-if）#ipadd20.1.1.1255.255.255.0

R1（config-if）#nosh

R1（config）#routerospf100启用路由协议，发布接口

R1（config-router）#net10.1.1.00.0.0.255area0

R1（config-router）#net20.1.1.00.0.0.255area0

R2（config）#inte0/1

R2（config-if）#ipadd20.1.1.2255.255.255.0

R2（config-if）#nosh

R2（config-if）#inte0/0

R2（config-if）#ipadd30.1.1.1255.255.255.0

R2（config-if）#nosh

R2（config）#routerospf100

R2（config-router）#net20.1.1.00.0.0.255area0

R2（config-router）#net30.1.1.00.0.0.255area0

R3（config）#inte0/1

R3（config-if）#ipadd30.1.1.2255.255.255.0

R3（config-if）#nosh

R3（config-if）#inte0/0

R3（config-if）#ipadd40.1.1.1255.255.255.0

R3（config-if）#nosh

R3（config-if）#exit

R3（config）#routerospf100

R3（config-router）#net30.1.1.00.0.0.255area0

R3（config-router）#net30.1.1.00.0.0.255area0

步骤二：

查看路由，并测试连通性

R1#showiproute查看路由表

20.0.0.0/24issubnetted,1subnets

C20.1.1.0isdirectlyconnected,Ethernet0/0

40.0.0.0/24issubnetted,1subnets

O40.1.1.0[110/30]via20.1.1.2,00:

00:

15,Ethernet0/0

10.0.0.0/24issubnetted,1subnets

C10.1.1.0isdirectlyconnected,Ethernet0/1

30.0.0.0/24issubnetted,1subnets

O30.1.1.0[110/20]via20.1.1.2,00:

00:

15,Ethernet0/0

R2#showiproute

20.0.0.0/24issubnetted,1subnets

C20.1.1.0isdirectlyconnected,Ethernet0/1

40.0.0.0/24issubnetted,1subnets

O40.1.1.0[110/20]via30.1.1.2,00:

00:

23,Ethernet0/0

10.0.0.0/24issubnetted,1subnets

O10.1.1.0[110/20]via20.1.1.1,00:

00:

23,Ethernet0/1

30.0.0.0/24issubnetted,1subnets

C30.1.1.0isdirectlyconnected,Ethernet0/0

R3#showiproute查看路由表，都也学到相关路由

20.0.0.0/24issubnetted,1subnets

O20.1.1.0[110/20]via30.1.1.1,00:

00:

06,Ethernet0/1

40.0.0.0/24issubnetted,1subnets

C40.1.1.0isdirectlyconnected,Ethernet0/0

10.0.0.0/24issubnetted,1subnets

O10.1.1.0[110/30]via30.1.1.1,00:

00:

06,Ethernet0/1

30.0.0.0/24issubnetted,1subnets

C30.1.1.0isdirectlyconnected,Ethernet0/1

R1#ping40.1.1.1测试连通性

Typeescapesequencetoabort.

Sending5,100-byteICMPEchosto40.1.1.1,timeoutis2seconds:

!

!

!

!

!

Successrateis100percent（5/5）,round-tripmin/avg/max=4/4/4ms

R3#ping10.1.1.1

Typeescapesequencetoabort.

Sending5,100-byteICMPEchosto10.1.1.1,timeoutis2seconds:

!

!

!

!

!

Successrateis100percent（5/5）,round-tripmin/avg/max=4/4/4ms

步骤三：

启用相关接口的MPLS,及快速转发功能

R1（config）#ipcef启用快速转发功能

R1（config）#inte0/0

R1（config-if）#mplsip接口启用MPLS

R2（config）#ipcef

R2（config）#inte0/1

R2（config-if）#mplsip

R2（config-if）#inte0/0

R2（config-if）#mplsip

R3（config）#ipcef

R3（config）#inte0/1

R3（config-if）#mplsip

步骤四：

查看MPLS状态

R1#showmplsforwarding-table查看MPLS转发表

LocalOutgoingPrefixBytestagOutgoingNextHop

tagtagorVCorTunnelIdswitchedinterface

161640.1.1.0/240Et0/020.1.1.2

17Poptag30.1.1.0/240Et0/020.1.1.2

R2#showmplsforwarding-table

LocalOutgoingPrefixBytestagOutgoingNextHop

tagtagorVCorTunnelIdswitchedinterface

16Poptag40.1.1.0/240Et0/030.1.1.2

17Poptag10.1.1.0/240Et0/120.1.1.1

R3#showmplsforwarding-table

LocalOutgoingPrefixBytestagOutgoingNextHop

tagtagorVCorTunnelIdswitchedinterface

16Poptag20.1.1.0/240Et0/130.1.1.1

171710.1.1.0/240Et0/130.1.1.1

R1#showipcefsummary查看CEF转发汇总信息及标记信息

IPCEFwithswitching（TableVersion16）,flags=0x0

16routes,0reresolve,0unresolved（0old,0new）,peak0

16leaves,18nodes,20896bytes,21inserts,5invalidations

0loadsharingelements,0bytes,0references

universalper-destinationloadsharingalgorithm,id86C8F0BF

3（0）CEFresets,0revisionsofexistingleaves

ResolutionTimer:

Exponential（currently1s,peak1s）

0in-place/0abortedmodifications

refcounts:

4877leaf,4864node

Tableepoch:

0（16entriesatthisepoch）

AdjacencyTablehas2adjacencies

R2#showipcefsummary

IPCEFwithswitching（TableVersion17）,flags=0x0

17routes,0reresolve,0unresolved（0old,0new）,peak0

17leaves,18nodes,21032bytes,22inserts,5invalidations

0loadsharingelements,0bytes,0references

universalper-destinationloadsharingalgorithm,idFCD3DE86

3（0）CEFresets,0revisionsofexistingleaves

ResolutionTimer:

Exponential（currently1s,peak1s）

0in-place/0abortedmodifications

refcounts:

4879leaf,4864node

Tableepoch:

0（17entriesatthisepoch）

AdjacencyTablehas4adjacencies

R3#showipcefsummary

IPCEFwithswitching（TableVersion16）,flags=0x0

16routes,0reresolve,0unresolved（0old,0new）,peak0

16leaves,18nodes,20896bytes,21inserts,5invalidations

0loadsharingelements,0bytes,0references

universalper-destinationloadsharingalgorithm,id86B9347C

3（0）CEFresets,0revisionsofexistingleaves

ResolutionTimer:

Exponential（currently1s,peak1s）

0in-place/0abortedmodifications

refcounts:

4877leaf,4864node

Tableepoch:

0（16entriesatthisepoch）

AdjacencyTablehas2adjacencies

注：

也可用showipcefdetail这条命令来查看详细信息

R1#ping40.1.1.1测试连通性

!

!

!

!

!

R3#ping10.1.1.1

!

!

!

!

!

步骤五：

显示当前配置信息

R1#showrun

hostnameR1

ipcef

!

interfaceEthernet0/0

ipaddress20.1.1.1255.255.255.0

half-duplex

tag-switchingip

!

interfaceEthernet0/1

ipaddress10.1.1.1255.255.255.0

half-duplex

!

routerospf100

network10.1.1.00.0.0.255area0

network20.1.1.00.0.0.255area0

!

end

R2#showrun

hostnameR2

!

ipcef

!

interfaceEthernet0/0

ipaddress30.1.1.1255.255.255.0

half-duplex

tag-switchingip

!

interfaceEthernet0/1

ipaddress20.1.1.2255.255.255.0

half-duplex

tag-switchingip

!

routerospf100

network20.1.1.00.0.0.255area0

network30.1.1.00.0.0.255area0

!

end

R3#showrun

hostnameR3

!

ipcef

!

interfaceEthernet0/0

ipaddress40.1.1.1255.255.255.0

half-duplex

!

interfaceEthernet0/1

ipaddress30.1.1.2255.255.255.0

half-duplex

tag-switchingip

!

routerospf100

network30.1.1.00.0.0.255area0

network40.1.1.00.0.0.255area0

!

end

实验二：

ipsecsite-to-siteVPN配置

环境：

两台路由器串口相连，接口配置如图

要求：

用两个LOOP口模拟VPN感兴趣流来建立IPSECVPN,IKE1阶段用预共享密钥，IKE2阶段哈希算法用sha,加密算法用DES.

步骤一：

接口基本配置，并测试连通性

R1（config）#ints0

R1（config-if）#ipadd10.1.1.1255.255.255.0

R1（config-if）#clockrate64000

R1（config-if）#nosh

R1（config）#intloop0

R1（config-if）#ipadd1.1.1.1255.255.255.0

R2（config）#ints1

R2（config-if）#ipadd10.1.1.2255.255.255.0

R2（config-if）#nosh

R2（config）#intloop0

R2（config-if）#ipadd1.1.2.1255.255.255.0

R1#ping10.1.1.2测试连通性，再做IPSEC

!

!

!

!

!

Successrateis100percent（5/5）,round-tripmin/avg/max=28/31/32ms

R2#ping10.1.1.1

!

!

!

!

!

Successrateis100percent（5/5）,round-tripmin/avg/max=32/32/32ms

配置二：

配置IKE1和IKE2两个阶段，并应用到接口

R1（config）#cryptoisakmppolicy10IKE1阶段策略

R1（config-isakmp）#authenpre-share将验证修改为预共享

R1（config）#cryptoisakmpkeyciscoaddress10.1.1.2定义预共享密钥

R1（config）#cryptoipsectransformmysetesp-sha-hmacesp-des

定义2阶段的转换集

R1（config）#access-list100permitip1.1.1.00.0.0.2551.1.2.00.0.0.255

定义加密感兴趣流

R1（config）#cryptomapmymap10ipsec-isakmp定义2阶段加密图

%NOTE:

Thisnewcryptomapwillremaindisableduntilapeer

andavalidaccesslisthavebeenconfigured.

R1（config-crypto-map）#matchaddress100将列表应用到加密图

R1（config-crypto-map）#setpeer10.1.1.2指定对等体

R1（config-crypto-map）#settransform-setmyset将转换集映射到加密图

R1（config）#ints0

R1（config-if）#cryptomapmymap将加密图应用到接口

R1（config）#iproute1.1.2.0255.255.255.010.1.1.2

指定隧道感兴趣流的路由走向

R2（config）#cryptoisakmppolicy10R2与R1端策略要匹配

R2（config-isakmp）#authenticationpre-share

R2（config-isakmp）#exit

R2（config）#cryptoisakmpkeyciscoaddress10.1.1.1密钥一致，地址相互指

R2（config）#cryptoipsectransform-setmysetesp-desesp-sha-hmac

R2（cfg-crypto-trans）#exit两端必须匹配，默认即为tunnel模式

R2（config）#access-list102permitip1.1.2.00.0.0.2551.1.1.00.0.0.255

感兴趣流，两端互指

R2（config）#cryptomapmymap10ipsec-isakmp加密图

%NOTE:

Thisnewcryptomapwillremaindisableduntilapeer

andavalidaccesslisthavebeenconfigured.

R2（config-crypto-map）#setpeer10.1.1.1对端的物理地址

R2（config-crypto-map）#settransform-setmyset

R2（config-crypto-map）#matchaddress102

R2（config-crypto-map）#exit

R2（config）#iproute1.1.1.0255.255.255.010.1.1.1加密图感兴趣流的路由

R2（config）#ints1

R2（config-if）#cryptomapmymap加密映射应用到接口下

步骤三：

测试流是否加密，直接用接口ping出

R1#ping1.1.2.1

!

!

!

!

!

Successrateis100percent（5/5）,round-tripmin/avg/max=32/33/36ms

R2#ping1.1.1.1

!

!

!

!

!

Successrateis100percent（5/5）,round-tripmin/avg/max=32/33/36ms

分别在R1和R2上查看两个阶段的关联

R1#showcryptoisakmpsa没有任何关联

dstsrcstateconn-idslot

R2#showcryptoisakmpsa

dstsrcstateconn-idslot

R1#showcryptoipsecsa没有任何加密包，关联也没有建立

interface:

Serial0

Cryptomaptag:

mymap,localaddr.10.1.1.1

localident（addr/mask/prot/port）:

（1.1.1.0/255.255.255.0/0/0）

remoteident（addr/mask/prot/port）:

（1.1.2.0/255.255.255.0/0/0）

current_peer:

10.1.1.2

PERMIT,flags={origin_is_acl,}

#pktsencaps:

0,#pktsencrypt:

0,#pktsdigest0

#pktsdecaps:

0,#pktsdecrypt:

0,#pktsverify0

#pktscompressed:

0,#pktsdecompressed:

0

#pktsnotcompressed:

0,#pktscompr.failed:

0,#pktsdecompressfailed:

0

#senderrors0,#recverrors0

localcryptoendpt.:

10.1.1.1,remotecryptoendpt.:

10.1.1.2

pathmtu1500,mediamtu1500

currentoutboundspi:

0

inboundespsas:

inboundahsas:

inboundpcpsas:

outboundespsas:

outboundahsas:

outboundpcpsas:

R2#showcryptoipsecsa

interface:

Serial1

Cryptomaptag: