思科静态综合实验

实际拓扑：

实验步骤：

1、如图所示，配置IP地址，要求地址的配置严格按照图示配置，不允许出现任何篡改现象。

R1上loopback口地址100.1.1.1/24；R1和R2之间是10.1.12.0/30；R2、R3、R4的网段为10.1.24.0/29；R3、R4、R5的网段为10.1.35.0/29；R5上有loopback口10.1.5.5/32.

2、QM_R5上的终端访问公网的地址时，必须在路由器上查找路由表3次，要求不允许出现默认路由和汇总路由。（递归路由）

3、内网主机访问外网的主要路径是有QM_R3提供，所有的数据包正常情况下从QM_R3出网，为了提高网络的稳定性，QM_R4提高哦给你备份路径。

4、Q3上使用普通的静态路由实现访问外网和内网的需求，要求无论访问任何终端，本地的ARP表中都不允许出现终端IP地址和物理地址的映射条目。（限制了下一跳的IP不可以是出接口）

5、QM_R2上访问外网使用默认路由实现，并且，使用一条路由实现可以访问内网的任意终端。要求，QM_R2上的路由表同一时刻最多出现两条静态路由，并且不允许出现主类网路由。

8、QM_R1作为ISP路由设备，要求配置一条8位的汇总路由指向内网，使得出网的数据包可以回来。

R5可以ping通R1：

6、作为路由器QM_R3的备份，QM_R4的配置要求和QM_R3相同。7、全网的所有备份的路由条目的管理距离是200。

R2(config)#ip route 10.1.0.0 255.255.0.0 10.1.24.4 200

R4(config)#ip route 10.1.5.5 255.255.255.255 10.1.35.5

R4(config)#ip route 100.1.1.0 255.255.255.0 10.1.24.2

R5(config)#ip route 10.1.12.0 255.255.255.252 10.1.35.4 200

R5和R2上配置track，当R3这边链路不同时，R5会从R4去往外网：

R5(config)#ip sla 101

R5(config-ip-sla)#icmp-echo 10.1.35.3 source-interface e0/0

R5(config-ip-sla-echo)#threshold 2

R5(config-ip-sla-echo)#frequency 10

R5(config-ip-sla-echo)#timeout 2000

R5(config)#ip sla schedule 101 life forever start-time now

R5(config)#track 101 ip sla 101 reachability

R5(config)#ip route 10.1.12.0 255.255.255.252 10.1.35.3 track 101

R2(config)#ip sla 100

R2(config-ip-sla)#icmp-echo 10.1.35.3 source-interface e0/1

R2(config-ip-sla-echo)#frequency 10

R2(config-ip-sla-echo)#threshold 2

R2(config-ip-sla-echo)#timeout 2000

R2(config)#ip sla schedule 100 life forever start-time now

R2(config)#track 100 ip sla 100 reachability

R2(config)#ip route 10.1.0.0 255.255.0.0 10.1.24.3 track 100

9、为了防止环路的出现，在适当的地方配置黑洞路由，降低数据包出现环路的概率，提示，只需要一条即可。

R1s上有一条10.0.0.0/8的路由条目，R2上只有10.1.0.0/16的路由，同时还有一条默认路由，所以R1和R2之间会产生环路，在R2上配置一条黑洞路由可以避免环路：

R2(config)#ip route 10.0.0.0 255.0.0.0 null 0

10、网络管理员希望网络的安全级别提高，从而对数据包的源进行检测，要求在R3和R4上实现，主要是针对外网的流量。

any表示本地只要有到达源的明细路由就可以，rx则还限定了下一跳必须是接受这个数据包的接口：

R3(config)#interface e0/1

R3(config-if)#ip verify unicast source reachable-via any

R4(config)#interface e0/1

R4(config-if)#ip verify unicast source reachable-via any

11、内网扩大，在QM_R5上新增加一台主机，地址是10.1.5.55/32，要求，该主机的流量只能通过QM_R3出网。请用ACL控制流量，并且ACL的配置要方便后期其他流量的放行。

注意要在R3和R4上面添加路由条目：

R4(config)#ip access-list extended control

R4(config-ext-nacl)#permit ip host 10.1.5.5 any

R4(config-ext-nacl)#interface e0/0

R4(config-if)#ip access-group control in

对R3的e0/0口关掉，R5上主机10.1.5.55不能ping通外网：