疯狂星期五小组-18周实训报告

疯狂星期五小组-18 周实训作业

实习概况：周四：要求和作业

实习目的

通过本次实习，可以学习到:

1. 独立规划和搭建中小型企业网络
2. 熟练配置各种网络服务，满足企业日常办公需求
3. 使用静态路由、RIP、OSPF等实现高效的网络互联
4. 排查和解决常见网络故障，保障网络平稳运行
5. 根据安全要求，配置ACL、NAT等安全策略
6. 监控网络流量，分析网络性能，并进行优化
7. 撰写网络配置文档，制定网络管理策略

实习任务：要求：内网

某公司企业内网，内网当中存在四个vlan ，分别为vlan10 vlan20 vlan30 vlan100

1. 财务部是vlan10，并命名为caiwu
   技术部是vlan20,并命名为jishu
   管理部门为vlan30，并命名为guanli
   内网服务器内网HTTP-SERVER单独位于vlan100，vlan名称为fuwuqi。

2. 配置基本网络：
   1）财务部的网段是192.168.1.0/24，网关为192.168.1.254
   2）技术部的网段为192.168.2.0/24，网关为192.168.2.254
   3）管理部的网段为192.168.3.0/24，网关为192.168.3.254
   4）服务器的网段为172.16.1.0/24，网关为172.16.1.254
   5）R1和SW1之间互联的地址为192.168.10.0/30的地址

3. 现在要求所有的网关都在内网核心交换机SW1上，使用svi接口充当网关

4. 实现内网所有PC和服务器之间的互联

5. 由于内网员工对于计算机的使用能力较差，因此，针对财务部，技术部和管理部的终端而言，需要通过DHCP的方式自动获取IP地址（需要排除每个网段1-100的地址作为保留使用，从101开始获取），而服务器的地址由于需要固定访问，所以通过手动静态配置IP地址。（dhcp的server位于出口路由器R1上，使用dhcp的中继完成最终地址的获取）

6. 允许内网管理部门的员工通过telnet管理内网的路由器和核心交换机，其他部门不允许通过telnet管理路由器和交换机。（要配置telnet管理内网设备）

要求：公网

公网部分

1. R1和R2之间采用100.1.1.0/24网段，R2和R3之间采用124.126.100.0/24网段地址，R3和R4之间采用202.96.137.0/24网段地址，R3和外网HTTP-SERVER以及公网PC之间，采用124.126.200.0/24网段地址。（外网HTTP-SERVER和公网PC的网关为124.126.200.254）

2. 为了保证公网之间能够通信，R1、R2、R3之间采用ospf动态路由协议进行通信

3. 公网PC可以通过R1的8080端口访问到内网HTTP-SERVER的80端口的http业务

4. 现在有一台公网服务器HTTP-SERVER，地址为124.126.200.10/24，现在需要内网用户能够访问到该公网服务器。（R1和R2之间使用124.126.100.0/24网段）

5. 有一台公网的DNS-SERVER，地址为113.100.2.56/24，网关为113.100.2.1/24，我们最终想要通过访问www.shixun.com这个域名访问到公网http-server，并且查看首页的a small page，内容显示为：welcome to study our course!

要求：分支

1. 内网PC7和PC8分别位于vlan70和vlan80这两个vlan当中
2. PC7和PC8的网关分别为192.168.70.254 192.168.80.254，且网关位于R4路由器上
3. PC7和PC8也要能够访问外网（测试访问公网HTTP-SERVER）

周四：拓扑图

一开始的拓扑：

然后的拓扑图如下：

最后的拓扑如下（IPSEC）：

实训具体内容

见下文

周四：VLAN添加和配置

要求如下：VLAN配置要求

某公司企业内网中存在四个VLAN,具体配置如下:

VLAN ID	名称	部门/用途
10	caiwu	财务部
20	jishu	技术部
30	guanli	管理部门
100	fuwuqi	内网服务器(HTTP-SERVER)

核心交换机：建立VLAN

Switch>en
Switch#conf t
Switch(config)#hostname core

#添加VLAN信息
core(config)#vlan 10
core(config-vlan)#name caiwu
core(config-vlan)#vlan 20
core(config-vlan)#name jishu
core(config-vlan)#vlan 30
core(config-vlan)#name guanli
core(config-vlan)#vlan 100
core(config-vlan)#name fuwuqi

核心交换机：配置完的VLAN信息

core#show vlan brief 
VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                Fa0/21, Fa0/22, Fa0/23, Fa0/24
                                                Gig0/1, Gig0/2
10   caiwu                            active    
20   jishu                            active    
30   guanli                           active    
100  fuwuqi                           active    
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active 

核心交换机：配置VLAN分发，VTP服务器

在核心交换机上：

core(config)#vtp mode server
  Device mode already VTP SERVER.
core(config)#vtp domain crazy-friday
  Changing VTP domain name from NULL to crazy-friday
core(config)#vtp password crazy
  Setting device VLAN database password to crazy

核心交换机：配置VLAN地址

要求

2、配置基本网络：

1. 财务部的网段是192.168.1.0/24，网关为192.168.1.254

2. 技术部的网段为192.168.2.0/24，网关为192.168.2.254

3. 管理部的网段为192.168.3.0/24，网关为192.168.3.254

4. 服务器的网段为172.16.1.0/24，网关为172.16.1.254

5. R1和SW1之间互联的地址为192.168.10.0/30的地址

配置

添加4个vlan，并且配置IP地址。

core(config)#int vlan 10
core(config-if)#ip addr 192.168.1.254 255.255.255.0
core(config-if)#no shut

core(config-if)#int vlan 20
core(config-if)#ip addr 192.168.2.254 255.255.255.0
core(config-if)#no shut

core(config-if)#int vlan 30
core(config-if)#ip addr 192.168.3.254 255.255.255.0
core(config-if)#no shut

core(config-if)#int vlan 100
core(config-if)#ip addr 172.16.1.254 255.255.255.0
core(config-if)#no shut       

当前接口状态和IP配置概要

物理接口状态：

• FastEthernet0/1 到 FastEthernet0/4: 启用且运行中（up/up）
• FastEthernet0/5: 物理连接断开（down/down）
• GigabitEthernet0/1 和 GigabitEthernet0/2: 物理连接断开（down/down）

VLAN ID	IP地址	状态
1	未分配	管理性关闭
10	192.168.1.254	启用但协议层关闭
20	192.168.2.254	启用但协议层关闭
30	192.168.3.254	启用但协议层关闭
100	172.16.1.254	启用但协议层关闭

公司内网：3、现在要求所有的网关都在内网核心交换机SW1上，使用svi接口充当网关

SW1上开启三层路由功能

core(config)#ip routing

公司内网：配置子交换机的VLAN同步

公司内网：财务部交换机

Switch>en
Switch#conf t
  Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#vtp mode client
  Setting device to VTP CLIENT mode.
Switch(config)#vtp domain crazy-friday
  Changing VTP domain name from NULL to crazy-friday
Switch(config)#vtp password crazy
  Setting device VLAN database password to crazy

Switch(config)#hostname finance-sw
finance-sw(config)#int fa0/4
finance-sw(config-if)#switchport mode trunk

可以看到VLAN数据库已经成功同步

划分VLAN接口

将全部接口划分到VLAN:

finance-sw(config-if)#int range fa0/1,fa0/2,fa0/3,fa0/5-24
finance-sw(config-if-range)#sw mode access 
finance-sw(config-if-range)#sw ac vlan 10
finance-sw(config-if-range)#do show vlan br

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gig0/1, Gig0/2
10   caiwu                            active    Fa0/1, Fa0/2, Fa0/3, Fa0/5
                                                Fa0/6, Fa0/7, Fa0/8, Fa0/9
                                                Fa0/10, Fa0/11, Fa0/12, Fa0/13
                                                Fa0/14, Fa0/15, Fa0/16, Fa0/17
                                                Fa0/18, Fa0/19, Fa0/20, Fa0/21
                                                Fa0/22, Fa0/23, Fa0/24
20   jishu                            active    
30   guanli                           active    
100  fuwuqi                           active    
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active    
finance-sw(config-if-range)#

公司内网：管理部交换机

Switch>en
Switch#conf t
  Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#hostname manage-sw
manage-sw(config)#int fa 0/1
manage-sw(config-if)#sw mode trunk 
  %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
  %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
manage-sw(config-if)#do show vlan br

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/2, Fa0/3, Fa0/4, Fa0/5
                                                Fa0/6, Fa0/7, Fa0/8, Fa0/9
                                                Fa0/10, Fa0/11, Fa0/12, Fa0/13
                                                Fa0/14, Fa0/15, Fa0/16, Fa0/17
                                                Fa0/18, Fa0/19, Fa0/20, Fa0/21
                                                Fa0/22, Fa0/23, Fa0/24, Gig0/1
                                                Gig0/2
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active    
manage-sw(config-if)#
manage-sw(config-if)#vtp mode client
Setting device to VTP CLIENT mode.
manage-sw(config)#vtp domain crazy-friday
Domain name already set to crazy-friday.
manage-sw(config)#vtp password crazy
Setting device VLAN database password to crazy

manage-sw(config)#do show vlan br

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/2, Fa0/3, Fa0/4, Fa0/5
                                                Fa0/6, Fa0/7, Fa0/8, Fa0/9
                                                Fa0/10, Fa0/11, Fa0/12, Fa0/13
                                                Fa0/14, Fa0/15, Fa0/16, Fa0/17
                                                Fa0/18, Fa0/19, Fa0/20, Fa0/21
                                                Fa0/22, Fa0/23, Fa0/24, Gig0/1
                                                Gig0/2
10   caiwu                            active    
20   jishu                            active    
30   guanli                           active    
100  fuwuqi                           active    
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active    
manage-sw(config)#

划分VLAN接口

manage-sw(config)#int range fa0/2-fa0/24
manage-sw(config-if-range)#sw mode access
manage-sw(config-if-range)#sw ac vlan 30
manage-sw(config-if-range)#do show vlan br

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gig0/1, Gig0/2
10   caiwu                            active    
20   jishu                            active    
30   guanli                           active    Fa0/2, Fa0/3, Fa0/4, Fa0/5
                                                Fa0/6, Fa0/7, Fa0/8, Fa0/9
                                                Fa0/10, Fa0/11, Fa0/12, Fa0/13
                                                Fa0/14, Fa0/15, Fa0/16, Fa0/17
                                                Fa0/18, Fa0/19, Fa0/20, Fa0/21
                                                Fa0/22, Fa0/23, Fa0/24
100  fuwuqi                           active    
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active    
manage-sw(config-if-range)#

公司内网：技术部交换机

Switch>en
Switch#conf t
  Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#hostname tech-sw
tech-sw(config)#vtp mode client
  Setting device to VTP CLIENT mode.
tech-sw(config)#vtp domain crazy-friday
  Changing VTP domain name from NULL to crazy-friday
tech-sw(config)#vtp password crazy
  Setting device VLAN database password to crazy
tech-sw(config)#do show vlan br

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                Fa0/21, Fa0/22, Fa0/23, Fa0/24
                                                Gig0/1, Gig0/2
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active    

tech-sw(config)#int g0/1
tech-sw(config-if)#sw mode tr
tech-sw(config-if)#sw mode trunk 
  %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to down
  %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to up
tech-sw(config-if)#dis vlan br 
tech-sw(config-if)#do show vlan br

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                Fa0/21, Fa0/22, Fa0/23, Fa0/24
                                                Gig0/2
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active     
tech-sw(config-if)#int range fa0/1-24
tech-sw(config-if-range)#sw mode access
tech-sw(config-if-range)#sw ac vlan 30
tech-sw(config-if-range)#sw ac vlan 20
tech-sw(config-if-range)#do show vlan br

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gig0/2
10   caiwu                            active    
20   jishu                            active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                Fa0/21, Fa0/22, Fa0/23, Fa0/24
30   guanli                           active    
100  fuwuqi                           active    
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active    
tech-sw(config-if-range)#

公司内网：服务器交换机

Switch#en
Switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#hostname server-sw
server-sw(config)#int g0/1
server-sw(config-if)#sw mode tr
server-sw(config-if)#sw mode trunk 
  %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to down
  %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to up 
server-sw(config-if)#vtp mode client
Setting device to VTP CLIENT mode.
server-sw(config)#vtp domain crazy-friday
Domain name already set to crazy-friday.
server-sw(config)#vtp password crazy
Setting device VLAN database password to crazy
server-sw(config)#do show vlan br

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                Fa0/21, Fa0/22, Fa0/23, Fa0/24
                                                Gig0/2
10   caiwu                            active    
20   jishu                            active    
30   guanli                           active    
100  fuwuqi                           active    
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active    
server-sw(config)#int g0/2
server-sw(config-if)#sw mode ac
server-sw(config-if)#sw ac vlan 100
server-sw(config-if)#do show vlan br

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                Fa0/21, Fa0/22, Fa0/23, Fa0/24
10   caiwu                            active    
20   jishu                            active    
30   guanli                           active    
100  fuwuqi                           active    Gig0/2
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active    
server-sw(config-if)#

公司内网：服务器IP配置

• IP：172.16.1.10/24
• 网关：172.16.1.254
• DNS：临时：113.100.2.56

公司内网： 2.5： 5）R1和SW1之间互联的地址为192.168.10.0/30的地址

公司内网：核心交换机

core#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
core(config)#vlan 1000
core(config-vlan)#name R1-SW1-Interconnect
core(config-vlan)#interface vlan 1000
core(config-if)#
  %LINK-5-CHANGED: Interface Vlan1000, changed state to up
core(config-if)#ip address 192.168.10.2 255.255.255.252
core(config-if)#no shutdown
core(config-if)#interface GigabitEthernet0/0
core(config-if)#switchport mode access
core(config-if)#switchport access vlan 1000
core(config-if)#
  %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1000, changed state to up
no shut
core(config-if)#no shut
#配置静态路由
core(config-if)#ip route 0.0.0.0 0.0.0.0 192.168.10.1

公司内网：路由器

Router>en 
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#int g0/0
Router(config-if)#ip address 192.168.10.1 255.255.255.252
Router(config-if)#no shutdown
#子网静态路由
Router(config-if)#ip route 192.168.0.0 255.255.0.0 192.168.10.2

公司内网：4、实现内网所有PC和服务器之间的互联

允许trunk VLANIP互通

server-sw>en
server-sw#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
server-sw(config)#int g0/1
server-sw(config-if)#switchport trunk allowed vlan 10,20,30,100

finance-sw>en
finance-sw#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
finance-sw(config)#int f0/4
finance-sw(config-if)#switchport trunk allowed vlan 10,20,30,100

manage-sw#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
manage-sw(config)#int fa0/1
manage-sw(config-if)#switchport trunk allowed vlan 10,20,30,100

tech-sw>en
tech-sw#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
tech-sw(config)#int g0/1
tech-sw(config-if)#switchport trunk allowed vlan 10,20,30,100

核心交换机

core#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
core(config)#int range g0/1,fa0/1-3
core(config-if-range)#switchport trunk allowed vlan 10,20,30,100

使用服务器进行测试

ping：172.16.1.254

ping 192.168.1.254

C:\>
C:\>ping 192.168.1.254

Pinging 192.168.1.254 with 32 bytes of data:

Reply from 192.168.1.254: bytes=32 time<1ms TTL=255
Reply from 192.168.1.254: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.1.254:
    Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

Control-C

ping 192.168.2.254

C:\>ping 192.168.2.254

Pinging 192.168.2.254 with 32 bytes of data:

Reply from 192.168.2.254: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.2.254:
    Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

Control-C

ping 192.168.3.254

C:\>ping 192.168.3.254

Pinging 192.168.3.254 with 32 bytes of data:

Reply from 192.168.3.254: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.3.254:
    Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

Control-C

ping 192.168.1.10

公司内网：5、由于内网员工对于计算机的使用能力较差，DHCP服务器

出口路由器

Router(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.100
Router(config)#ip dhcp excluded-address 192.168.2.1 192.168.2.100
Router(config)#ip dhcp excluded-address 192.168.3.1 192.168.3.100

Router(config)#ip dhcp pool VLAN10-POOL
Router(dhcp-config)#network 192.168.1.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.1.254
Router(dhcp-config)#dns-server 113.100.2.56
Router(dhcp-config)#exit

Router(config)#ip dhcp pool VLAN20-POOL
Router(dhcp-config)#network 192.168.2.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.2.254
Router(dhcp-config)#dns-server 113.100.2.56
Router(dhcp-config)#exit

Router(config)#ip dhcp pool VLAN30-POOL
Router(dhcp-config)#network 192.168.3.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.3.254
Router(dhcp-config)#dns-server 113.100.2.56
Router(dhcp-config)#exit

DHCP中继

core(config)#int vlan 10
core(config-if)#ip helper-address 192.168.10.1
core(config-if)#int vlan 20
core(config-if)#ip helper-address 192.168.10.1
core(config-if)#int vlan 30
core(config-if)#ip helper-address 192.168.10.1

测试

公司内网：6、允许内网管理部门的员工通过telnet管理内网的路由器和核心交换机，其他部门不允许通过telnet管理路由器和交换机。（要配置telnet管理内网设备）

新建VLAN500用于管理，并配置ACL表

• 核心交换机： 192.168.20.10
• 路由器：192.168.10.1

核心交换机：

core#configure terminal
core(config)#vlan 500
core(config-vlan)#name tech-admin
core(config-vlan)#exit
core(config)#interface vlan 500
core(config-if)#ip address 192.168.2.1 255.255.255.0
core(config-if)#no shutdown
core(config-if)#exit
core(config)#ip access-list standard TELNET-ACL
core(config-std-nacl)#permit 192.168.2.0 0.0.0.255
core(config-std-nacl)#deny any
core(config-std-nacl)#exit
core(config)#line vty 0 4
core(config-line)#access-class TELNET-ACL in
core(config-line)#exit
core(config)#interface range g0/1-2,fa0/1-3
core(config-if-range)#switchport mode trunk
core(config-if-range)#switchport trunk allowed vlan add 500
core(config-if-range)#exit
core(config)#ip route 192.168.2.0 255.255.255.0 vlan 500
core(config)#end
core#copy running-config startup-config

路由器:

Router#configure terminal
Router(config)#ip access-list standard TELNET-ACL
Router(config-std-nacl)#permit 192.168.2.0 0.0.0.255
Router(config-std-nacl)#deny any
Router(config-std-nacl)#exit
Router(config)#line vty 0 4
Router(config-line)#access-class TELNET-ACL in
Router(config-line)#exit

技术部SW:

tech-sw#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
tech-sw(config)#interface vlan 500 
tech-sw(config-if)#
  %LINK-5-CHANGED: Interface Vlan500, changed state to up
tech-sw(config-if)#ip address 192.168.20.120 255.255.255.0
tech-sw(config-if)#no shut
tech-sw(config-if)#interface g0/1
tech-sw(config-if)#switchport trunk allowed vlan add 500

tech-sw(config-if)#username KFC4 password KFC4
tech-sw(config)#line vty 0 4
tech-sw(config-line)#login local
tech-sw(config-line)#transport input telnet

只有技术部可以访问：

路由：

其他部门被拒绝了。

公网部分：要求

1. R1和R2之间采用100.1.1.0/24网段，R2和R3之间采用124.126.100.0/24网段地址，R3和R4之间采用202.96.137.0/24网段地址，R3和外网HTTP-SERVER以及公网PC之间，采用124.126.200.0/24网段地址。（外网HTTP-SERVER和公网PC的网关为124.126.200.254）

2. 为了保证公网之间能够通信，R1、R2、R3之间采用ospf动态路由协议进行通信

3. 公网PC可以通过R1的8080端口访问到内网HTTP-SERVER的80端口的http业务

4. 现在有一台公网服务器HTTP-SERVER，地址为124.126.200.10/24，现在需要内网用户能够访问到该公网服务器。（R1和R2之间使用124.126.100.0/24网段）

5. 有一台公网的DNS-SERVER，地址为113.100.2.56/24，网关为113.100.2.1/24，我们最终想要通过访问www.shixun.com这个域名访问到公网http-server，并且查看首页的a small page，内容显示为：welcome to study our course!

公网部分：1、IP配置

公网部分：R1-IP

配置项	值
接口	GigabitEthernet0/1
IP 地址	100.1.1.1
子网掩码	255.255.255.0
OSPF 进程	1
OSPF 网络	100.1.1.0
OSPF 区域	0

Router>en                                  
Router#conf t                              
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#int g0/1                    
Router(config-if)#ip address 100.1.1.1 255.255.255.0 
Router(config-if)#no shut                                   
  %LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to up
Router(config-if)#router ospf 1       
Router(config-router)#network 100.1.1.0 0.0.0.255 area 0 
Router(config-router)#hostname r1          
r1(config)#                                

公网部分：R2-IP

IP地址:

配置项	接口 g0/0	接口 g0/1
IP 地址	100.1.1.2	124.126.100.1
子网掩码	255.255.255.0	255.255.255.0
OSPF 进程	1	1
OSPF 网络	100.1.1.0	124.126.100.0
OSPF 区域	0	0

Router>en                                 
Router#conf t                              
Enter configuration commands, one per line.  End with CNTL/Z. 
Router(config)#hostname r2                 
r2(config)#int g0/0                        
r2(config-if)#ip address 100.1.1.2 255.255.255.0  
r2(config-if)#no shut                                               
  %LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up                          
  %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up
r2(config-if)#int g0/1                    
r2(config-if)#ip address 124.126.100.1 255.255.255.0  
r2(config-if)#no shut                                               
  %LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to up
#配置OSPF
r2(config-if)#router ospf 1                
r2(config-router)#network 100.1.1.0 0.0.0.255 area 0  
r2(config-router)#network 124.126.100.0 0.0.0.255 area 0  

公网部分：R3

配置项	接口 g0/0	接口 g0/1	接口 g0/2
IP 地址	124.126.100.2	202.96.137.1	124.126.200.254
子网掩码	255.255.255.0	255.255.255.0	255.255.255.0
OSPF 进程	1	1	1
OSPF 网络	124.126.100.0	202.96.137.0	124.126.200.0
OSPF 区域	0	0	0

Router>en
Router#conf t
Router(config)#hostname r3
r3(config)#int g0/0
r3(config-if)#ip address 124.126.100.2 255.255.255.0
r3(config-if)#no shut
  
r3(config-if)#int g0/1
r3(config-if)#ip address 202.96.137.1 255.255.255.0
r3(config-if)#no shut
  
r3(config-if)#int g0/2
r3(config-if)#ip address 124.126.200.254 255.255.255.0
r3(config-if)#no shut
  
#配置OSPF
r3(config-if)#router ospf 1
r3(config-router)#network 124.126.100.0 0.0.0.255 area 0
r3(config-router)#network 202.96.137.0 0.0.0.255 area 0
r3(config-router)#network 124.126.200.0 0.0.0.255 area 0

公网部分：R4

配置项	接口 g0/0
IP 地址	202.96.137.2
子网掩码	255.255.255.0
OSPF 进程	N/A
OSPF 网络	N/A
OSPF 区域	N/A

Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#hostname r4
r4(config)#int g0/0
r4(config-if)#ip addr 202.96.137.2 255.255.255.0
r4(config-if)#no shut

公网部分：当前路由表：

路由类型	目标网络	下一跳	接口	管理距离/跃点数
直连 (C)	100.1.1.0/24	-	GigabitEthernet0/1	-
直连 (C)	192.168.10.0/30	-	GigabitEthernet0/0	-
OSPF (O)	124.126.100.0/24	100.1.1.2	GigabitEthernet0/1	110/2
OSPF (O)	124.126.200.0/24	100.1.1.2	GigabitEthernet0/1	110/3
OSPF (O)	202.96.137.0/24	100.1.1.2	GigabitEthernet0/1	110/3
静态 (S)	192.168.0.0/16	192.168.10.2	-	1/0

r1#show ip route 
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

     100.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C       100.1.1.0/24 is directly connected, GigabitEthernet0/1
L       100.1.1.1/32 is directly connected, GigabitEthernet0/1
     124.0.0.0/24 is subnetted, 2 subnets
O       124.126.100.0/24 [110/2] via 100.1.1.2, 00:13:02, GigabitEthernet0/1
O       124.126.200.0/24 [110/3] via 100.1.1.2, 00:11:52, GigabitEthernet0/1
S    192.168.0.0/16 [1/0] via 192.168.10.2
     192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
C       192.168.10.0/30 is directly connected, GigabitEthernet0/0
L       192.168.10.1/32 is directly connected, GigabitEthernet0/0
O    202.96.137.0/24 [110/3] via 100.1.1.2, 00:00:33, GigabitEthernet0/1

r1#

公网部分：3、公网PC可以通过R1的8080端口访问到内网HTTP-SERVER的80端口的http业务

内网访问服务器(172.16.1.10/24)，可以正常访问

R1配置路由

r1(config)#ip route 172.16.1.0 255.255.255.0 192.168.10.2

路由可以ping通内网服务器：

配置NAT：

r1(config)#int g0/0
r1(config-if)#ip nat inside
r1(config-if)#int g0/1
r1(config-if)#ip nat outside
r1(config)#ip nat inside source static tcp 172.16.1.10 80 100.1.1.1 8080

测试访问：

公网PC:
IP地址:124.126.200.11
子网掩码:255.255.255.0
默认网关:124.126.200.254
DNS服务器：113.100.2.56

可以正常访问：

公网部分：4、现在有一台公网服务器HTTP-SERVER，地址为124.126.200.10/24，现在需要内网用户能够访问到该公网服务器。（R1和R2之间使用124.126.100.0/24网段）

（R1和R2之间使用124.126.100.0/24网段） 此句话忽略。

IP配置：
IP地址:124.126.200.10
子网掩码:255.255.255.0
默认网关:124.126.200.254
DNS服务器：113.100.2.56

r1(config)#access-list 10 permit 192.168.0.0 0.0.255.255
r1(config)#ip nat inside source list 10 interface g0/1 overload

可以正常访问啦！

公网部分：5、有一台公网的DNS-SERVER，地址为113.100.2.56/24，网关为113.100.2.1/24，我们最终想要通过访问www.shixun.com这个域名访问到公网http-server，并且查看首页的a small page，内容显示为：welcome to study our course

R2

r2>en
r2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
r2(config)#int g0/2
r2(config-if)#
r2(config-if)#ip address 113.100.2.1 255.255.255.0
r2(config-if)#no shut
  %LINK-5-CHANGED: Interface GigabitEthernet0/2, changed state to up
  %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/2, changed state to up
#配置OSPF
r2(config-if)# router ospf 1
r2(config-router)#network 113.100.2.0 0.0.0.255 area 1

配置DNS服务器

DNS服务器IP：113.100.2.56/24 via 113.100.2.1

配置域名

<www.shixun.com>

测试访问

访问成功，修改HTML

HTML内容

index.html

<!DOCTYPE html>
<html lang="zh-CN">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>首页 - 欢迎来到实训课程</title>
</head>
<body>
    <div class="container">
        <h1>欢迎来到实训课程首页</h1>
        <p>点击下面的链接查看详细信息：</p>
        <a href="a_small_page.html">进入课程页面（a_small_page)</a>

        <a>疯狂星期5组奉献</a>
    </div>
</body>
</html>

a_small_page.html

<!DOCTYPE html>
<html lang="zh-CN">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>课程详情 - 欢迎学习我们的课程</title>
   
</head>
<body>
    <div class="container">
        <h1>欢迎学习我们的课程！</h1>
        <p>Welcome to study our course!</p>
        <a href="index.html">返回首页</a>
        <a>疯狂星期5组奉献</a>
    </div>
</body>
</html>

效果

分支

分支：1、内网PC7和PC8分别位于vlan70和vlan80这两个vlan当中

内容合并在下面章节中了

分支：2、PC7和PC8的网关分别为192.168.70.254 192.168.80.254，且网关位于R4路由器上

Switch>en
Switch#conf t
Switch(config)#hostname branch
#创建VLAN
branch(config)#vlan 70
branch(config-vlan)#int vlan 70
branch(config-if)#ip addr 192.168.70.254 255.255.255.0
branch(config-if)#vlan 80
branch(config-vlan)#int vlan 80
branch(config-if)#ip addr 192.168.80.254 255.255.255.0
#上联口
branch(config-if)#vlan 600
branch(config-vlan)#int vlan 600
branch(config-if)#ip addr 10.10.10.2 255.255.255.252

branch(config-if)#int fa0/2
branch(config-if)#sw mode acc
branch(config-if)#sw acc vlan 70
branch(config-if)#no shut
branch(config-if)#int fa0/3
branch(config-if)#sw mode acc
branch(config-if)#sw acc vlan 80
branch(config-if)#no shut
branch(config-if)#int f0/1
branch(config-if)#sw mode acc
branch(config-if)#sw acc vlan 600
branch(config-if)#no shut

branch(config-if)#ip route 0.0.0.0 0.0.0.0 10.10.10.1
branch(config)#ip routing

分支：3、PC7和PC8也要能够访问外网（测试访问公网HTTP-SERVER）

PC7:

• IP地址:192.168.70.10
• 子网掩码:255.255.255.0
• 默认网关:192.168.70.254
• DNS服务器：113.100.2.56

PC8：

• IP地址:192.168.80.10
• 子网掩码:255.255.255.0
• 默认网关:192.168.80.254
• DNS服务器：113.100.2.56

R4:

r4(config)#int g0/1
r4(config-if)#ip addr 10.10.10.1 255.255.255.252
r4(config-if)#no shut

PC8<->PC7相互访问

配置访问：

1. 接口配置

接口	IP 地址	子网掩码
GigabitEthernet0/0	202.96.137.2	255.255.255.0
GigabitEthernet0/1	10.10.10.1	255.255.255.252

1. 静态路由配置

目标网络	子网掩码	下一跳
0.0.0.0	0.0.0.0	10.10.10.1
192.168.70.0	255.255.255.0	10.10.10.2
192.168.80.0	255.255.255.0	10.10.10.2

3. OSPF 邻居信息：

邻居 ID	优先级	状态	死亡时间	地址	接口
202.96.137.1	1	FULL/DR	00:00:30	202.96.137.1	GigabitEthernet0/0

配置：

branch(config)#ip route 0.0.0.0 0.0.0.0 10.10.10.1
r4(config)#int g0/1
r4(config-if)#ip addr 10.10.10.1 255.255.255.252
r4(config-if)#no shut
r4(config)#access-list 100 permit ip 192.168.70.0 0.0.0.255 any 
r4(config)#access-list 100 permit ip 192.168.80.0 0.0.0.255 any
r4(config)#int g0/1
r4(config-if)#ip nat inside
r4(config-if)#int g0/0
r4(config-if)#ip nat outside
r4(config-if)#ip nat inside source list 100 interface g0/0 overload
r4(config)#ip route 192.168.70.0 255.255.255.0 10.10.10.2
r4(config)#ip route 192.168.80.0 255.255.255.0 10.10.10.2
r4(config)#do show ip int br
Interface              IP-Address      OK? Method Status                Protocol 
GigabitEthernet0/0     202.96.137.2    YES manual up                    up 
GigabitEthernet0/1     10.10.10.1      YES manual up                    up 
GigabitEthernet0/2     unassigned      YES unset  administratively down down 
Vlan1                  unassigned      YES unset  administratively down down
r4(config)#router ospf 1
r4(config-router)#do show ip ospf neighbor

Neighbor ID     Pri   State           Dead Time   Address         Interface
202.96.137.1      1   FULL/DR         00:00:30    202.96.137.1    GigabitEthernet0/0
r4(config-router)#

r4(config-router)#network 202.96.137.0 0.0.0.255 area 0

测试

PC7成功访问

PC8成功访问

周四扩展：IPsec隧道

我认为可以让这两个部分用IPsec隧道进行连接起来。

前提条件

R1->R4：可以进行ping通

这样他们两个都有公网IP，就可以建立IPSEC隧道啦。

前提条件2

需要一个高配置点的路由器，原先的路由器不支持，迁移到这个型号：ISR4331

这样就多了两个路由：

IPSEC配置

R1

r1(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.2
r1(config)#access-list 100 permit ip 192.168.0.0 0.0.255.255 192.168.70.0 0.0.0.255
r1(config)#crypto isakmp policy 10
r1(config-isakmp)# encryption aes 256
r1(config-isakmp)# authentication pre-share
r1(config-isakmp)# group 5
r1(config-isakmp)#crypto isakmp key Secret-2020 address 202.96.137.2
r1(config)#do ping 202.96.137.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.96.137.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/0 ms

r1(config)#crypto ipsec transform-set R1-R4 esp-aes 256 esp-sha-hmac
r1(config)#crypto map IPSEC-CRYPTOMAP 10 ipsec-isakmp 
% NOTE: This new crypto map will remain disabled until a peer
        and a valid access list have been configured.
r1(config-crypto-map)# set peer 202.96.137.2
r1(config-crypto-map)# set pfs group5
r1(config-crypto-map)# set security-association lifetime seconds 86400
r1(config-crypto-map)# set transform-set R1-R4
r1(config-crypto-map)# match address 100
r1(config-crypto-map)#interface GigabitEthernet0/0
%Invalid interface type and number
r1(config)#interface GigabitEthernet0/0/1
r1(config-if)#crypto map IPSEC-CRYPTOMAP
*Jan  3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
r1(config-if)#

1. ip route 0.0.0.0 0.0.0.0 100.1.1.2 - 配置默认路由,将所有目的地指向100.1.1.2

2. access-list 100 permit ip 192.168.0.0 0.0.255.255 192.168.70.0 0.0.0.255 - 定义一个访问控制列表(ACL) 100,允许192.168.0.0/16网络与192.168.70.0/16网络之间的IP流量

3. crypto isakmp policy 10 - 创建一个优先级为10的ISAKMP(互联网安全关联和密钥管理协议)策略

   • encryption aes 256 - 使用AES-256加密算法
   • authentication pre-share - 使用预共享密钥认证
   • group 5 - 使用Diffie-Hellman组5

4. crypto isakmp key Secret-2020 address 202.96.137.2 - 配置预共享密钥”Secret-2020”,并将其与202.96.137.2的IP地址相关联

5. do ping 202.96.137.2 - Ping远程VPN端点202.96.137.2,确保连通性

6. crypto ipsec transform-set R1-R4 esp-aes 256 esp-sha-hmac - 定义一个名为”R1-R4”的转换集,使用ESP(封装安全载荷)协议,AES-256加密和SHA-HMAC完整性检查

7. crypto map - 创建一个名为”IPSEC-CRYPTOMAP”的加密映射,序号为10,使用isakmp

   • set peer 202.96.137.2 - 指定VPN对端IP为202.96.137.2
   • set pfs group5 - 使用PFS(Perfect Forward Secrecy)和DH组5
   • set security-association lifetime seconds 86400 - 设置安全关联的生存期为86400秒(1天)
   • set transform-set R1-R4 - 指定要使用的转换集为”R1-R4”
   • match address 100 - 加密映射使用访问列表100定义的感兴趣流量

8. interface GigabitEthernet0/0/1 - 进入接口GigabitEthernet0/0/1的配置模式

9. crypto map IPSEC-CRYPTOMAP - 将”IPSEC-CRYPTOMAP”加密映射应用到接口

! 配置默认路由,将所有目的地指向100.1.1.2
ip route 0.0.0.0 0.0.0.0 100.1.1.2 

! 定义一个访问控制列表(ACL) 100,
! 允许192.168.0.0/16网络与192.168.70.0/16网络之间的IP流量
access-list 100 permit ip 192.168.0.0 0.0.255.255 192.168.70.0 0.0.0.255

! 创建一个优先级为10的ISAKMP(互联网安全关联和密钥管理协议)策略
crypto isakmp policy 10
 ! 使用AES-256加密算法
 encryption aes 256
 ! 使用预共享密钥认证  
 authentication pre-share
 ! 使用Diffie-Hellman组5
 group 5

! 配置预共享密钥"Secret-2020",并将其与202.96.137.2的IP地址相关联 
crypto isakmp key Secret-2020 address 202.96.137.2

! Ping远程VPN端点202.96.137.2,确保连通性
do ping 202.96.137.2

! 定义一个名为"R1-R4"的转换集,使用ESP协议,AES-256加密和SHA-HMAC完整性检查
crypto ipsec transform-set R1-R4 esp-aes 256 esp-sha-hmac

! 创建一个名为"IPSEC-CRYPTOMAP"的加密映射,序号为10,使用isakmp  
crypto map IPSEC-CRYPTOMAP 10 ipsec-isakmp
 ! 指定VPN对端IP为202.96.137.2
 set peer 202.96.137.2
 ! 使用PFS(Perfect Forward Secrecy)和DH组5
 set pfs group5
 ! 设置安全关联的生存期为86400秒(1天)
 set security-association lifetime seconds 86400
 ! 指定要使用的转换集为"R1-R4"
 set transform-set R1-R4 
 ! 加密映射使用访问列表100定义的感兴趣流量
 match address 100

! 进入接口GigabitEthernet0/0/1的配置模式 
interface GigabitEthernet0/0/1
 ! 将"IPSEC-CRYPTOMAP"加密映射应用到接口
 crypto map IPSEC-CRYPTOMAP

R4

1. 默认路由

目标网络	子网掩码	下一跳
0.0.0.0	0.0.0.0	202.96.137.1

2. 访问控制列表 (ACL 101)

序号	动作	源网络	目的网络
-	permit	192.168.70.0 0.0.0.255	192.168.1.0 0.0.0.255
-	permit	192.168.70.0 0.0.0.255	192.168.2.0 0.0.0.255
-	permit	192.168.70.0 0.0.0.255	192.168.3.0 0.0.0.255
-	permit	192.168.70.0 0.0.0.255	172.16.1.0 0.0.0.255

3. IPsec VPN 配置

配置类型	配置项	值
默认路由	下一跳	202.96.137.1
ACL 101	允许的流量	192.168.70.0/24 到 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24, 172.16.1.0/24
ISAKMP 策略	策略编号	10
	加密	AES 256
	认证	预共享密钥
	DH 组	5
预共享密钥	对端地址	100.1.1.1
	密钥	Secret-2020
IPsec 转换集	名称	R4-R1
	加密/认证	esp-aes 256 / esp-sha-hmac
Crypto Map	名称	IPSEC-CRYPTOMAP
	序列号	10
	类型	ipsec-isakmp
	对端	100.1.1.1
	PFS	group5
	生命周期	86400 秒
	转换集	R4-R1
	匹配 ACL	101
应用 Crypto Map	接口	GigabitEthernet0/0/1

配置

r4(config)#con t
%Invalid hex value
r4(config)#ip route 0.0.0.0 0.0.0.0 202.96.137.1
r4(config)#access-list 101 permit ip 192.168.70.0 0.0.0.255 192.168.1.0 0.0.0.255
r4(config)#access-list 101 permit ip 192.168.70.0 0.0.0.255 192.168.2.0 0.0.0.255
r4(config)#access-list 101 permit ip 192.168.70.0 0.0.0.255 192.168.3.0 0.0.0.255
r4(config)#access-list 101 permit ip 192.168.70.0 0.0.0.255 172.16.1.0 0.0.0.255
r4(config)#


r4(config)#
r4(config)#crypto isakmp policy 10
r4(config-isakmp)# encryption aes 256
r4(config-isakmp)# authentication pre-share
r4(config-isakmp)# group 5

r4(config-isakmp)#crypto isakmp key Secret-2020 address 100.1.1.1
r4(config)#crypto ipsec transform-set R4-R1 esp-aes 256 esp-sha-hmac

r4(config)#crypto map IPSEC-CRYPTOMAP 10 ipsec-isakmp 
% NOTE: This new crypto map will remain disabled until a peer
        and a valid access list have been configured.
r4(config-crypto-map)# set peer 100.1.1.1
r4(config-crypto-map)# set pfs group5
r4(config-crypto-map)# set security-association lifetime seconds 86400
r4(config-crypto-map)# set transform-set R4-R1
r4(config-crypto-map)# match address 101

r4(config-crypto-map)#int g0/0/1
r4(config-if)#crypto map IPSEC-CRYPTOMAP

修复

NAT与IPSEC冲突，因为跟NAT规则冲突了，导致ACL优先匹配非VPN流量，所以需要修复。

修复1：

r4(config-if)#ip access-list extended NO-NAT
r4(config-ext-nacl)# deny ip 192.168.70.0 0.0.0.255 192.168.1.0 0.0.0.255
r4(config-ext-nacl)# deny ip 192.168.70.0 0.0.0.255 192.168.2.0 0.0.0.255
r4(config-ext-nacl)# deny ip 192.168.70.0 0.0.0.255 192.168.3.0 0.0.0.255
r4(config-ext-nacl)# deny ip 192.168.70.0 0.0.0.255 172.16.1.0 0.0.0.255
r4(config-ext-nacl)# deny ip 192.168.80.0 0.0.0.255 192.168.1.0 0.0.0.255
r4(config-ext-nacl)# deny ip 192.168.80.0 0.0.0.255 192.168.2.0 0.0.0.255
r4(config-ext-nacl)# deny ip 192.168.80.0 0.0.0.255 192.168.3.0 0.0.0.255
r4(config-ext-nacl)# deny ip 192.168.80.0 0.0.0.255 172.16.1.0 0.0.0.255
r4(config-ext-nacl)# permit ip 192.168.70.0 0.0.0.255 any
r4(config-ext-nacl)# permit ip 192.168.80.0 0.0.0.255 any
r4(config-ext-nacl)#no ip nat inside source list 100 interface GigabitEthernet0/0/0 overload
r4(config-ext-nacl)#ip nat inside source list NO-NAT interface GigabitEthernet0/0/0 overload
r4(config)#crypto map IPSEC-CRYPTOMAP 10 ipsec-isakmp
r4(config-crypto-map)# match address 101
r4(config-crypto-map)#no access-list 100
r4(config)#do show access 101
Extended IP access list 101
    permit ip 192.168.70.0 0.0.0.255 192.168.1.0 0.0.0.255
    permit ip 192.168.70.0 0.0.0.255 192.168.2.0 0.0.0.255
    permit ip 192.168.70.0 0.0.0.255 192.168.3.0 0.0.0.255
    permit ip 192.168.70.0 0.0.0.255 172.16.1.0 0.0.0.255
    permit ip 10.10.10.0 0.0.0.4 192.168.0.0 0.0.255.255

r4(config)#access-list 101 permit ip 192.168.70.0 0.0.0.255 192.168.1.0 0.0.0.255
r4(config)#access-list 101 permit ip 192.168.70.0 0.0.0.255 192.168.2.0 0.0.0.255
r4(config)#access-list 101 permit ip 192.168.70.0 0.0.0.255 192.168.3.0 0.0.0.255
r4(config)#access-list 101 permit ip 192.168.70.0 0.0.0.255 172.16.1.0 0.0.0.255
r4(config)#access-list 101 permit ip 192.168.80.0 0.0.0.255 192.168.1.0 0.0.0.255
r4(config)#access-list 101 permit ip 192.168.80.0 0.0.0.255 192.168.2.0 0.0.0.255
r4(config)#access-list 101 permit ip 192.168.80.0 0.0.0.255 192.168.3.0 0.0.0.255
r4(config)#access-list 101 permit ip 192.168.80.0 0.0.0.255 172.16.1.0 0.0.0.255
r4(config)#

修复2：

no access-list 100
ip access-list extended 100
 permit ip 192.168.1.0 0.0.0.255 192.168.70.0 0.0.0.255
 permit ip 192.168.1.0 0.0.0.255 192.168.80.0 0.0.0.255
 permit ip 192.168.2.0 0.0.0.255 192.168.70.0 0.0.0.255
 permit ip 192.168.2.0 0.0.0.255 192.168.80.0 0.0.0.255
 permit ip 192.168.3.0 0.0.0.255 192.168.70.0 0.0.0.255
 permit ip 192.168.3.0 0.0.0.255 192.168.80.0 0.0.0.255
 permit ip 172.16.1.0 0.0.0.255 192.168.70.0 0.0.0.255
 permit ip 172.16.1.0 0.0.0.255 192.168.80.0 0.0.0.255
 
ip access-list extended NO-NAT
 deny ip 192.168.1.0 0.0.0.255 192.168.70.0 0.0.0.255
 deny ip 192.168.1.0 0.0.0.255 192.168.80.0 0.0.0.255
 deny ip 192.168.2.0 0.0.0.255 192.168.70.0 0.0.0.255
 deny ip 192.168.2.0 0.0.0.255 192.168.80.0 0.0.0.255
 deny ip 192.168.3.0 0.0.0.255 192.168.70.0 0.0.0.255
 deny ip 192.168.3.0 0.0.0.255 192.168.80.0 0.0.0.255
 deny ip 172.16.1.0 0.0.0.255 192.168.70.0 0.0.0.255
 deny ip 172.16.1.0 0.0.0.255 192.168.80.0 0.0.0.255
 permit ip 192.168.0.0 0.0.255.255 any
 permit ip 172.16.1.0 0.0.0.255 any
no ip nat inside source list 1 interface GigabitEthernet0/0/1 overload
no ip nat inside source list 10 interface GigabitEthernet0/0/1 overload
ip nat inside source list NO-NAT interface GigabitEthernet0/0/1 overload

crypto map IPSEC-CRYPTOMAP 10 ipsec-isakmp
 match address 100
 
interface GigabitEthernet0/0/0
 ip nat inside
!
interface GigabitEthernet0/0/1
 ip nat outside
 crypto map IPSEC-CRYPTOMAP
 
no access-list 1
no access-list 10


r1(config)#no ip route 192.168.0.0 255.255.0.0 192.168.10.2
r1(config)#ip route 192.168.1.0 255.255.255.0 192.168.10.2
r1(config)#ip route 192.168.2.0 255.255.255.0 192.168.10.2
r1(config)#ip route 192.168.3.0 255.255.255.0 192.168.10.2
r1(config)#ip nat inside source list NO-NAT interface GigabitEthernet0/0/1 overload
r1(config)#ip route 192.168.70.0 255.255.255.0 100.1.1.2
r1(config)#ip route 192.168.80.0 255.255.255.0 100.1.1.2
r1(config)#

建立隧道：

IPsec抓包：

隧道成功

分支：通过IPSEC访问内网服务器：

PC7访问财务部服务器：

IPSEC - TCP抓包：

传出的包是ESP：

抓个包是普通TCP包：

返回数据仍然是IPSEC加密数据表：

源IP，目的IP：

加密包：

PC8也可以访问

周四：最后测试

周一作业

因为时间关系，而且内容比较简单，就直接配置了，不进行阐述了，而且因为先做的周四然后再做的周一，内容相似度、重复度非常高、几乎没有不一样的内容，这里就不再做一遍啦。

就简单进行阐述一下ovo。

Switch(config)#no logging console
Switch(config)#hostname core

#VTP服务器
core(config)#vtp mode server
Device mode already VTP SERVER.
core(config)#vtp domain ovo
Changing VTP domain name from NULL to ovo
core(config)#vlan 10
core(config-vlan)#vlan 20
core(config-vlan)#vlan 30
core(config-vlan)#vlan 40

#创建VLAN
core(config-vlan)#int vlan 10
core(config-if)#ip addr 192.168.1.254 255.255.255.0
core(config-if)#int vlan 20
core(config-if)#ip addr 192.168.2.254 255.255.255.0
core(config-if)#int vlan 30
core(config-if)#ip addr 192.168.3.254 255.255.255.0
core(config-if)#int vlan 40
core(config-if)#ip addr 172.16.2.254 255.255.255.0


core(config-if)#ip routing

#上联口：
core(config-if)#vlan 500
core(config-vlan)#int vlan 500
core(config-if)#ip addr 192.168.10.2 255.255.255.0
core(config-if)#int fa0/1
core(config-if)#sw mode acc
core(config-if)#sw acc vlan 500

# 默认网关
core(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.1


#dhcp helper
core(config)#
core(config)#int vlan 10
core(config-if)#ip helper-address 192.168.10.1
core(config-if)#int vlan 20
core(config-if)#ip helper-address 192.168.10.1

子交换机（服务器）

Switch(config)#vtp mode cli
Setting device to VTP CLIENT mode.
Switch(config)#vtp domain ovo

Switch(config)#int fa0/2
Switch(config-if)#sw mode acc
Switch(config-if)#sw acc vlan 40

Switch(config-if)#int fa0/1
Switch(config-if)#sw mode trunk
Switch(config-if)#sw trunk allowed vlan 10,20,30,40,500

子交换机（财务部交换机）

vtp mode cli
vtp domain ovo

int range fa0/2-3
sw mode acc
sw acc vlan 10

int fa0/1
sw mode trunk
sw trunk allowed vlan 10,20,30,40,500

子交换机（办公室）：

vtp mode cli
vtp domain ovo

int range fa0/2-3
sw mode acc
sw acc vlan 20


int fa0/1
sw mode trunk
sw trunk allowed vlan 10,20,30,40,500

子交换机（技术部）：

vtp mode cli
vtp domain ovo

int range fa0/2-3
sw mode acc
sw acc vlan 30


int fa0/1
sw mode trunk
sw trunk allowed vlan 10,20,30,40,500

上联路由器：

# 配置IP
no logging console
int g0/0
ip addr 192.168.10.1 255.255.255.0
no shut

#DHCP配置排除IP
ip dhcp excluded-address 192.168.1.1 192.168.1.100
ip dhcp excluded-address 192.168.2.1 192.168.2.100
ip dhcp excluded-address 192.168.3.1 192.168.3.100


ip dhcp pool VLAN10-POOL
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 113.100.2.56
exit

ip dhcp pool VLAN20-POOL
network 192.168.2.0 255.255.255.0
default-router 192.168.2.254
dns-server 113.100.2.56
exit

#静态路由：
Router(config)#ip route 192.168.0.0 255.255.0.0 192.168.10.2

测试

可以正常获得IP地址：

NAT

Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#int g0/2
Router(config-if)#ip addr 172.16.1.254 255.255.255.0
Router(config-if)#ip nat inside
Router(config-if)#
Router(config-if)#int g0/2
Router(config-if)#ip nat inside
Router(config-if)#
Router(config-if)#int g0/1
Router(config-if)#ip addr 124.126.100.1 255.255.255.252
Router(config-if)#ip nat outside
Router(config-if)#no shut

Router(config-if)#
Router(config-if)#int g0/2
Router(config-if)#no shut

Router(config-if)#int g0/0
Router(config-if)#ip nat inside

配置ACL和NAT类型：

ip nat inside source list 10 interface GigabitEthernet0/0 overload
ip nat inside source static tcp 172.16.1.10 80 124.126.100.1 8080
ip route 172.16.2.0 255.255.255.0 192.168.10.2
access-list 10 permit 192.168.1.0 0.0.0.255
access-list 10 permit 192.168.2.0 0.0.0.255
access-list 10 permit 192.168.3.0 0.0.0.255
access-list 10 permit 172.16.2.0 0.0.0.255
access-list 10 permit 172.16.1.0 0.0.0.255
access-list 10 permit 192.168.10.0 0.0.0.255

ip route 0.0.0.0 0.0.0.0 124.126.100.2

Router(config)#int g0/1
Router(config-if)#ip nat outside


Router(config-if)#access-list 10 permit 192.168.10.0 0.0.0.255
Router(config)#ip nat inside source list 10 interface GigabitEthernet0/0 overload
Router(config)#

Router(config)#ip nat inside source list 10 interface GigabitEthernet0/0 overload
Router(config)#ip nat inside source list 10 interface GigabitEthernet0/0 overload
Router(config)#no ip nat inside source list 10 interface GigabitEthernet0/0 overload

Router(config)#ip nat inside source list 10 interface GigabitEthernet0/1 overload
Router(config)#access-list 10 permit 192.168.4.0 0.0.0.255
Router(config)#no ip nat inside source static tcp 172.16.1.10 80 124.126.100.1 8080

Router(config)#ip nat inside source static tcp 172.16.1.10 8080 124.126.100.1 80

Router(config)#ip nat inside source static tcp 172.16.1.10 8080 124.126.100.1 80
Router(config)#

Router(config)#int g0/2
Router(config-if)#ip addr 172.16.1.254 255.255.255.0

Router(config-if)#no ip nat inside source static tcp 172.16.1.10 8080 124.126.100.1 80
Router(config-if)#no ip nat inside source static tcp 172.16.1.10 80 124.126.100.1 8080
Router(config-if)#ip nat inside source static tcp 172.16.1.10 80 124.126.100.1 8080

Router(config)#ip nat inside source static 172.16.1.10 124.126.100.1
Router(config)#int g0/2
Router(config-if)#ip nat inside

R2路由器

Router(config)#int g0/0
Router(config-if)#ip addr 124.126.100.2 255.255.255.252
Router(config-if)#no shut

Router(config-if)#int g0/1
Router(config-if)#ip addr 124.126.200.1 255.255.255.252
Router(config-if)#no shut

ip route 100.1.1.0 255.255.255.0 124.126.200.2

R3路由器

Router(config-if)#int g0/1
Router(config-if)#ip addr 100.1.1.254 255.255.255.0
Router(config-if)#no shut

Router(config)#int g0/0
Router(config-if)#ip addr 124.126.200.2 255.255.255.252
Router(config-if)#no shut

ip route 0.0.0.0 0.0.0.0 124.126.200.1 

测试

通了

PC0->访问服务器：

Router(config)#do show ip nat translations
Pro  Inside global     Inside local       Outside local      Outside global
tcp 124.126.100.1:1025 192.168.1.20:1025  100.1.1.101:80     100.1.1.101:80
tcp 124.126.100.1:8080 172.16.1.10:80     ---                ---
tcp 124.126.100.1:8080 172.16.1.10:80     100.1.1.100:1042   100.1.1.100:1042
tcp 124.126.100.1:8080 172.16.1.10:80     100.1.1.100:1043   100.1.1.100:1043
tcp 124.126.100.1:8080 172.16.1.10:80     100.1.1.100:1044   100.1.1.100:1044

Router(config)#

内网访问：

外网访问：

周二：单臂路由

因为已经配出最后的拓扑图了，后面的就是几个路由，只把单臂路由的内容写了一下ovo，其他的简单化了。

单臂路由：

左边vlan10，右边vlan20
vlan10的网关:192.168.1.254
vlan20的网关:192.168.2.254
网关都位于路由上
最后实现vlan10 和vlan20的通信

周二：配置完成的拓扑图

单臂路由

子交换机：

Switch>en
Switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#vlan 10
Switch(config-vlan)#vlan 20

Switch(config-vlan)#int range fa0/1-2
Switch(config-if-range)#sw mode acc
Switch(config-if-range)#sw acc vlan 10

Switch(config-if-range)#int range fa0/3-4
Switch(config-if-range)#sw mode acc
Switch(config-if-range)#sw acc vlan 20

Switch(config-if-range)#int g0/1
Switch(config-if)#sw trunk allowed vlan 10,20,30
Switch(config-if)#vlan 30

Switch(config-vlan)#int g0/1
Switch(config-if)#sw mode trunk

核心交换机

Switch(config-if)#vlan 10
Switch(config-vlan)#vlan 20
Switch(config-vlan)#vlan 30
Switch(config-vlan)#
Switch(config-vlan)#int g0/1
Switch(config-if)#switchport trunk encap dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#int g0/2
Switch(config-if)#switchport mode trunk
  Command rejected: An interface whose trunk encapsulation is "Auto" can not be configured to "trunk" mode.
Switch(config-if)#int fa0/1
Switch(config-if)#sw mode acc
Switch(config-if)#sw acc vlan 30

单臂路由

Router>en
Router#conf t
Router(config)#int g0/0
Router(config-if)#no shut
Router(config-if)#int g0/0.10
Router(config-subif)#encapsulation dot1Q 10
Router(config-subif)#ip addr 192.168.1.254 255.255.255.0
Router(config-subif)#ip nat inside

Router(config-subif)#int g0/0.20
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip addr 192.168.2.254 255.255.255.0
Router(config-subif)#ip nat inside

Router(config-subif)#int g0/0.30
Router(config-subif)#encapsulation dot1Q 30
Router(config-subif)#ip addr 192.168.3.254 255.255.255.0
Router(config-subif)#ip nat inside

回答问题

看了回放才知道这是什么意思：

1.1和1.2能不能通信 ： 能，一个冲突域
1.1和2.1能不能通信 ： 不能，无网关，冲突域不同
2.1和2.2能不能通信 ： 能，一个冲突域

测试

VLAN10->路由器:

VLAN10->VLAN20:

外网

R1:用RIP了

Router(config-if)#route rip
Router(config-router)#version 2
Router(config-router)#network 12.0.0.0
Router(config-if)#no shut

Router(config)#int g0/1
Router(config-if)#ip nat outside
Router(config-if)#ip addr 12.1.1.1 255.255.255.0

R2:

Router(config)#int g0/0/0
Router(config-if)#ip addr 12.1.1.2 255.255.255.0
Router(config-if)#no shut

Router(config-if)#ip addr 13.1.1.1 255.255.255.0
Router(config-if)#route rip
Router(config-router)#network 13.0.0.0

Router(config-router)#int g0/0/1
Router(config-if)#ip addr 13.1.1.1 255.255.255.0

Router(config-if)#route rip
Router(config-router)#version 2
Router(config-router)#network 12.0.0.0

R3:rip

Router(config-if)#int g0/0/0
Router(config-if)#no shut
Router(config-if)#ip addr 13.1.1.2 255.255.255.0

Router(config)#int g0/0/1
Router(config-if)#ip addr 23.1.1.1 255.255.255.0
Router(config-if)#no shut

Router(config-if)#route rip
Router(config-router)#version 2
Router(config-router)#netwo
Router(config-router)#network 23.0.0.0
Router(config-router)#network 13.0.0.0

外网:RIP测试

R    13.0.0.0/8 [120/1] via 12.1.1.2, 00:00:21, GigabitEthernet0/1
R    23.0.0.0/8 [120/2] via 12.1.1.2, 00:00:21, GigabitEthernet0/1
     192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks

外网：NAT

Router(config-if)#ip nat pool gongwang 12.1.1.10 12.1.1.12 netmask 255.255.255.0
Router(config)#ip nat inside source list 10 pool gongwang
Router(config)#ip nat inside source static 192.168.3.1 12.1.1.1 
Router(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2 
Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255
Router(config)#access-list 10 permit 192.168.2.0 0.0.0.255
Router(config)#access-list 10 permit 192.168.3.0 0.0.0.255

测试：

网页测试：

服务器发送NAT的IP为：
出口IP：12.1.1.1

客户端发送的NAT ip通过了地址池：
出口IP： 12.1.1.10

周三

安装、克隆虚拟机

VMware Tools记得装一下

我这里直接用了我集群里的工具包了（dayi大一的时候封装的，详细见这个文章：
https://type.dayiyi.top/index.php/archives/96/）：

懒猴子~：

直接装这个setup了。

嵌套虚拟机，直接桥接模式桥接虚拟网卡，然后直接上集群里安装tools，省下VMware有时候的BUG。

集群：

克隆一个虚拟机叫client1

配置静态IP

注意网络配置，新建一个虚拟网络，防止串味

虚拟机分配到这个网络：

配置静态IP

配置IP地址：192.168.10.254/24

安装DHCP功能

IP地址表分配

DHCP管理器->然后用引导就可以啦，挺简单的。

引导（只截图了不是直接点下一步的过程）：

引导2（只截图了不是直接点下一步的过程）：

引导3（只截图了不是直接点下一步的过程）：

引导4（只截图了不是直接点下一步的过程）：

引导5（只截图了不是直接点下一步的过程）：

添加DHCP：测试

正常分配

添加DHCP：可以看到IP地址

添加DHCP： 其他虚拟机机子也可以正常分配地址

添加DHCP排除地址

排除地址：

可以看到IP已经被排除了：
这里获得的ip地址为192.168.10.111/24

服务端也可以看到了

但我感觉windows serv的DHCP虽然高级，但是实际环境不是很好用的亚子，感觉容易出bug。

周三上午第二节IIS

一开始还以为要写ASP，结果好像就是HTML。

这样就直接配啦。

IIS引导

添加角色和功能

IIS功能选择

安装：

IIS配置

添加网站

再添加一个绑定方便调试

莫名其妙没权限，添加一下

网页

还有动画

不如看看我的弹弹堂私服

HyperV嵌套虚拟化（真的超级难开，费了好大劲，查了好多好多资料才成功嵌套虚拟化）。

为什么不用vmware，因为PVE+Vmware嵌套性能很差，尤其是2680v4这种洋垃圾上。

IIS内容

9kb的nginx配置文件

因为私服转发URL有问题，容易弄错，用了七牛云ovo；

还有GM管理器哦

你知道NGINX可以反代替换后端服务器信息吗？

sub_filter

七牛云CDN加速

https://ddt-7cow-oooooooooooooovvvvvvvvooo.dayi.ink/dayi

ovo，可以看IIS，nginx工作的非常好:

FRP反代+nginx替换：

GM：

DNS服务器

这里还是自己配一下。

DNS服务器：安装

直接下一步就可以

安装

DNS服务器：配置

DNS管理器

主要区域

完成

然后添加A记录即可

添加：www.shixun.dayi 到本地地址 （192.168.10.254）

DNS配置一下

nslookup测试

hhh，非根域，不能识别

新建一个firday-crazy.com

添加A记录

解析成功

尝试访问：

没有问题啦。

实训总结

实训总结：疯狂星期五小组-18 周实训总结

一、实训目的与任务

本次实训的目的是通过独立规划和搭建中小型企业网络，学习网络服务配置、路由协议实现、网络故障排查、网络安全策略制定等各方面的实践技能，提升网络管理和维护能力。

主要任务包括：

1. 规划内网VLAN划分，配置SVI接口、DHCP服务等
2. 实现内外网互通，配置静态NAT、动态NAT等
3. 构建公网OSPF拓扑，实现公网互通
4. 利用ACL实现网络安全访问控制
5. 部署IPSec VPN，实现分支机构与总部的安全互联
6. 搭建Windows服务器，配置DHCP、DNS、IIS等服务

二、实训过程与配置要点

2.1 内网规划与配置

• 按照部门需求规划VLAN，在核心交换机配置SVI接口充当网关
• 使用VTP在交换机间同步VLAN信息，并正确配置主干链路
• 在出口路由器配置DHCP服务，核心交换机开启DHCP中继
• 利用ACL限制仅允许管理部门通过Telnet管理网络设备

2.2 NAT配置与公网互通

• 在出口路由器配置静态NAT，实现公网用户对内网服务器的访问
• 配置动态NAT与ACL，允许内网用户访问互联网
• 在公网路由器间使用OSPF实现动态路由，并引入相关网段

2.3 分支机构互联与VPN

• 在分支交换机配置VLAN、SVI接口、默认路由等
• 通过配置出口路由器的静态路由、动态NAT等，实现分支与总部互通
• 利用IPSec配置点到点VPN，并解决与NAT的兼容性问题

2.4 Windows服务器配置

• 配置Windows Server静态IP，搭建DHCP服务，配置保留地址与排除范围
• 部署DNS服务，创建正/反向解析区域，添加相应的资源记录
• 安装并配置IIS Web服务器，发布网站内容

三、实训心得体会

通过本次实训，我深入体会到了企业网络规划与搭建的复杂性和系统性。在任务的驱动下，我主动查阅资料、动手实践、积极思考，不断突破技术难点，最终较好地完成了预期目标。

实训过程中，我对VLAN规划、SVI配置、DHCP部署、OSPF路由、ACL安全控制、IPSec VPN等技术有了更全面的认识和掌握。特别是在配置IPSec VPN时，由于NAT穿越问题，我遇到了不少困难。但通过分析数据流向、调整NAT规则、优化ACL顺序等，最终成功搭建了分支机构与总部的安全隧道。

我还体会到了网络安全对企业的重要性。通过ACL限制管理权限、配置NAT隐藏内网信息、构建IPSec VPN保障通信安全等，可以有效提升网络的整体防护能力。

本次实训让我获益匪浅，不仅巩固了已学知识，还开拓了技术视野。我意识到企业网络管理需要”总体规划、分步实施、注重安全、灵活优化”。未来，我将以此为基础，继续学习新的网络技术，为成为一名优秀的网络工程师而不懈努力。

实训收获

疯狂星期五小组-18 周实训收获

经过为期一周的网络实训，我在知识技能、问题解决、团队协作、自主学习等多个维度上都有了显著的提升和收获。

一、知识技能的全面提升

本次实训涵盖了企业网络规划与搭建的方方面面，使我对以下知识技能有了更扎实的掌握：

1. VLAN规划与SVI配置：合理规划VLAN，正确配置SVI接口，实现二层网络隔离和三层通信
2. DHCP与DNS服务搭建：在服务器和网络设备上配置DHCP服务，合理划分地址池；配置DNS服务，实现主机名解析
3. 路由协议选择与配置：根据网络拓扑和需求，选择RIP、OSPF等动态路由协议，并正确配置
4. NAT技术应用：灵活配置静态NAT、动态NAT和PAT，实现内外网通信与地址转换
5. ACL安全控制：合理配置ACL，对网络资源访问进行细粒度控制，提高网络安全性
6. IPSec VPN搭建：配置IPSec VPN，解决NAT穿越问题，实现分支机构与总部的安全互联
7. 网络服务部署：在Windows Server上安装并配置DHCP、DNS、IIS等常用网络服务

通过系统学习和动手实践，我对这些网络技术的原理、配置和优化有了更深刻的理解，为未来的网络工程师职业发展奠定了坚实的技术基础。

二、问题解决能力的提升

实训过程中，我遇到了不少棘手的问题，如VLAN间通信障碍、NAT配置冲突、IPSec VPN连接不稳定等。面对这些困难，我没有退缩，而是主动分析问题原因，查阅技术文档，尝试各种解决方案。

经过不断地试错和优化，我最终攻克了这些难题，使网络各项功能稳定运行。这一过程极大地锻炼了我的故障排查和问题解决能力，让我意识到，作为一名网络工程师，必须具备快速学习、灵活应变、善于总结的素质。

三、团队协作意识的强化

实训任务的完成离不开团队的通力合作。在项目推进过程中，我们分工协作，相互支持，群策群力，攻坚克难。每个人都发挥自身所长，积极贡献智慧和力量。

通过这次团队协作，我深刻体会到沟通、信任、互助的重要性。我们及时交流项目进展和遇到的问题，互相学习对方的长处和经验，形成了高效、和谐的工作氛围。这种团队协作意识对于未来的工作和发展至关重要。

四、自主学习习惯的养成

本次实训强调自主学习和动手实践。面对新技术和新需求，我们必须主动查阅资料、尝试配置、总结经验。这一过程帮助我养成了自主学习的良好习惯。

我意识到，IT技术日新月异，唯有保持持续学习的态度，才能立于不败之地。实训后，我将继续强化自主学习意识，利用业余时间学习新的网络技术，并通过项目实践巩固所学。

五、不足与展望

回顾实训表现，我在某些细节上还有改进空间，如对网络安全的考虑还不够全面，对新技术的学习还需加深等。今后，我将在实训的基础上，进一步夯实网络基础知识，拓展技术视野，提升网络规划、实施和优化水平。

同时，我也要加强学习网络新技术和新场景下的最佳实践，如SDN、云计算、容器网络等，以应对未来网络技术变革带来的机遇和挑战。

本次实训使我在知识、技能、意识、习惯等方面都有了全方位的进步。这些宝贵的收获必将成为我未来职业发展的核心竞争力。站在新的起点上，我将继续秉持学习与实践相结合的理念，不断提升专业素养，朝着成为优秀网络工程师的目标不懈努力。

0xff：文件下载：

PKT+HTML