三网IT

思科认证课程介绍

很多同学学完理论敲完实验已经成为理论上的高手,但对于设备的认识以及用法不知所以,将理论进行落地没有思路,介于此我们将复杂环境处理、面试就业技巧、网络规划与设计、工程师常用技能在课程中穿插学习项目实战知识。

场地租赁服务

拥有10间专业培训教室，包括了20台、25台和30台等不同规格的培训机房， 机器配置性能卓越，高速率连接因特网，可以满足不 同层次的信息化培训需求。

先后为Microsoft公司、IBM公司、Oracle公司、Juniper公司、EMC公司，中 国移动、中国石化等客户提供了相应的培训场地服务 ，获得了客户的一致认可！

【课程学习】

1、CCNA-Cisco网络设备互联(ICND）：熟练级

对网络架构有整体的认知，实现对思科交换机和路由器进行基本的操作，可 以承担中型交换网络和中型路由网络的基础维护工作。

学习收获：本课程是思科网络认证体系的入门级课程，旨在帮助学员能够对 网络架构模型有较为清晰的认知，实现对交换机和路由器的基本操作配置，在此基础上实现对中型路由网络和中型交换网络的简单维护，比如实现诸如 RIP、EIGRP、OSPF动态路由协议的基本配置，实现交换机VLAN的划分，Trunk链路的配置，STP生成树协议，DTP协议等基础交换网络的配置，在完成以 上内容的基础上，**VPN，帧中继等实现局域网到广域网的扩展学习。

2、CCNP-思科认证网络高级工程师：精通级

深入学习TCP/IP协议栈、路由协议、访问控制、故障排除等方面，可以为大 型企业网络安装、配置和运行LAN、WAN和拨号访问业务。

学习收获：CCNP全称为思科认证资深网络工程师，处于思科认证体系的中级 层次，本门课程是专为致力于维护和设计思科路由和交换网络的工程师而设计。在课程中深入学习思科路由网络、交换网络和IP网络故障排除。

3、CCIE-思科认证网络专家：大师级

深入理解IPV4、IGP的精髓、掌握BGP基础、访问控制列表、过滤和路由策略 。可以承担大型网络架构的设计、配置和优化工作。

学习收获：获得CCIE 路由和交换认证证明你具备对复杂整合式网络进行筹 划、准备、运营、监控和故障排除的专业级技能。CCIE认证是对网络专家个人技能的**高肯定。参加此项认证的考生必须对考试蓝本上的考试大纲有深 入理解，并且**好有至少三至五年的工作经验。

【思科VPN知识】IPsec VPN基本部署

---

实验目的：如图，R1,R3分别为甲公司下2个子公司的出口路由器，R2为运营商路由器（公网）。**部署IPsec VPN使子公司A和子公司B下的内网可以互通。

R2作为公网上的路由器，不可能获知公司内网的IP地址，这时候需要部署一条“隧道”，保证子公司之间的私网可以互相通信，不仅可以加快传输效率，还可以保证网络的安全性，这就是VPN部署的目的。

 

实验步骤：

1. 进行基本配置,**环回口来模拟内网地址。

R1

R1#conf t
R1(config)#int f0/0
R1(config-if)#ip add 12.0.0.1 255.255.255.0
R1(config-if)#no sh

R1(config-if)#int l0
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no sh

R1(config-if)#ex

R1(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.2

 

R2

R2#conf t
R2(config)#int f0/1
R2(config-if)#ip add 12.0.0.2 255.255.255.0
R2(config-if)#no sh

R2(config-if)#int f0/0
R2(config-if)#ip add 23.0.0.2 255.255.255.0 
R2(config-if)#no sh

 

R3

R3#conf t
R3(config)#int f0/1
R3(config-if)#ip add 23.0.0.3 255.255.255.0
R3(config-if)#no sh

R3(config-if)#int l0
R3(config-if)#ip add 192.168.3.1 255.255.255.0
R3(config-if)#no sh

R3(config-if)#ex
R3(config)#ip route 0.0.0.0 0.0.0.0 23.0.0.2

 

2.进行IPsec 配置

R1

首先定义一条ACL，用于匹配VPN路由

R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255  

   
R1(config)#crypto isakmp policy 1                         //配置安全策略，数字表示优先级

R1(config-isakmp)# encr 3des                            //告诉对端使用的对称加密算法          

                                  
R1(config-isakmp)# hash md5                           //hash算法

                                   
R1(config-isakmp)# authentication pre-share              //认证算法

                     
R1(config-isakmp)# group 2                                   //DH组                 

R1(config-isakmp)# lifetime 60                                //生存周期

 

R1(config-isakmp)#crypto isakmp key benet address 23.0.0.3        //预共享密码设置为benet,地址为

                                                                                                     对端R3路由器地址        

 

 

R1(config)#crypto ipsec transform-set bset esp-3des esp-sha-hmac                   //配置传输集beset，设

                                                                                                                        置对数据的加密方式

 

R1(cfg-crypto-trans)#crypto map bmap 10 ipsec-isakmp            //定义crypto map调用感兴趣流量并且设

                                                                                              置传输集。

R1(config-crypto-map)# set peer 23.0.0.3                             //指定对端IP

R1(config-crypto-map)# set transform-set bset                   //调用传输集beset 

R1(config-crypto-map)# match address 101                    //调用ACL列表101 

 

如上，R1的基本配置已经完成，接着需要将配置应用在外网口上。

 

R1(config)#int f0/0
R1(config-if)#duplex auto 
R1(config-if)#speed auto 
R1(config-if)#crypto map bmap                      //应用刚才设置的map bmap

 

R3上也做一样的配置，只是要将对端的IP设置为R1的外网口

 

R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255  

     
R3(config)#crypto isakmp policy 1

 

R3(config-isakmp)# encr 3des

R3(config-isakmp)# hash md5

R3(config-isakmp)# authentication pre-share

R3(config-isakmp)# group 2

 

R3(config-isakmp)# lifetime 60                               

R3(config-isakmp)#crypto isakmp key benet address 12.0.0.1

R3(config)#crypto ipsec transform-set bset esp-3des esp-sha-hmac

R3(cfg-crypto-trans)#crypto map bmap 10 ipsec-isakmp

R3(config-crypto-map)# set peer 12.0.0.1

R3(config-crypto-map)# set transform-set bset

R3(config-crypto-map)# match address 101
R3(config-crypto-map)#ex

R3(config)#int f0/1
R3(config-if)#duplex auto 
R3(config-if)#speed auto 
R3(config-if)#crypto map

bmap

 

IPsec VPN已经部署完毕，下面可以做测试了

 

R1#ping 192.168.3.1 source 192.168.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 36/52/68 ms

已经通了。

 

有人说，这样就可以结束了吧？

但是忽略了一个问题，公司内网的员工部署了这个VPN，会与原先部署的NAT冲突。

原先的NAT应该是这样部署的

R1(config)#access-list 1 permit ip 192.168.1.0 0.0.0.255

 

R1(config)#int l0
R1(config-if)#ip nat inside

R1(config-if)#int f0/0
R1(config-if)#ip nat outside 
R1(config-if)#ex
R1(config)#ip nat inside source list 1 int f0/0 overload

这样一来，公司内网IP在出口路由器上会被转化成外网口地址12.0.0.1/24 ，这样就与IPsec VPN的设置（ACL101)冲突了。

 

R1#p 192.168.3.1 source 192.168.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1 
UUUUU  www.luyouqiwang.com
Success rate is 0 percent (0/5)

不可达。

 

 

这时候需要对access-list 1做修改: