Instructor Packet Tracer Manual

CCNA Routing and Switching:
6.0
Instructor Packet Tracer Manual
This document is exclusive property of Cisco Systems, Inc. Permission is granted

to print and copy this document for non-commercial distribution and exclusive
use by instructors in the CCNA Routing and Switching:
course as part of an official Cisco Networking Academy Program.
Packet Tracer – Identificação e solução de problemas de
interfaces seriais (Versão do instrutor)
Nota do instrutor: a fonte vermelha ou o destaque em cinza indica o texto que aparece somente na cópia do
instrutor.
Topologia
Tabela de Endereçamento
Dispositivo Interface Endereço IP Máscara de sub-rede Rota Padrão
S0/0/0 (DCE) 64.100.34.17 255.255.255.252 N/D

S0/0/1 (DCE) 64.100.34.21 255.255.255.252 N/D
Telco
S0/1/0 (DCE) 64.100.34.25 255.255.255.252 N/D
S0/1/1 (DCE) 64.100.34.29 255.255.255.252 N/D
R1 S0/0/0 64.100.34.18 255.255.255.252 64.100.34.17
R2 S0/0/1 64.100.34.22 255.255.255.252 64.100.34.21
R3 S0/0/0 64.100.34.26 255.255.255.252 64.100.34.25
R4 S0/0/1 64.100.34.30 255.255.255.252 64.100.34.29
Objetivos
Parte 1: Diagnosticar e reparar a camada física
Parte 2: Diagnosticar e reparar a camada de enlace de dados
Parte 3: Diagnosticar e reparar a camada de rede
Cenário
Você foi solicitado a identificar e solucionar problemas em conexões WAN para uma empresa telefônica local
(Telco). O roteador Telco deve se comunicar com quatro locais remotos, mas nenhum deles está
funcionando. Use o conhecimento do modelo OSI e algumas regras gerais para identificar e reparar os erros
na rede.
© 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 1 de 3
Packet Tracer – Identificação e solução de problemas de interfaces seriais
Etapa 1: Diagnostique e repare o cabeamento.

a. Examine a Tabela de endereçamento para determinar o local das conexões DCE.
b. Cada conexão serial possui uma conexão DCE e uma conexão DTE. Para determinar se cada interface
Telco está usando a extremidade correta do cabo, consulte a terceira linha de saída após o comando
show controllers.
Telco# show controllers [interface_type interface_num]
c. Reverta todos os cabos que estejam conectados incorretamente.
Observação: o cabo entre a Telco e o R4 deve ser revertido e a taxa de clock definida em Telco. O cabo
serial em R4 deve se conectar a S0/0/1.
Observação: em configurações de rede reais, o DCE (que define o clock rate) é geralmente uma CSU/DSU.
Etapa 2: Diagnostique e repare conexões de portas incorretas.

a. Examine a Tabela de endereçamento para associar cada porta do roteador à porta Telco correta.
b. Mantenha o mouse sobre cada fio para garantir que os fios estejam conectados, conforme especificado.
Caso contrário, corrija as conexões.
Etapa 3: Diagnostique e repare as portas que estão desligadas.

a. Mostre uma breve sumarização da interface de cada roteador. Certifique-se de que todas as portas que
precisam estar em funcionamento não estejam inoperantes administrativamente.
b. Ative as portas apropriadas que estejam inoperantes administrativamente:
R3(config)# interface s0/0/0
R3(config-if)# no shutdown

Etapa 1: Examine e defina as taxas de clock no equipamento DCE.
a. Todos os cabos DCE devem estar conectados à Telco. Mostre a configuração em execução da Telco
para verificar se o clock rate foi definido em cada interface.
b. Defina o clock rate de todas as interfaces seriais que precisam dele:
Telco(config)# interface s0/0/0
Telco(config-if)# clock rate 4000000
Telco(config-if)# interface s0/1/1
Telco(config-if)# clock rate 4000000
Etapa 2: Examine o encapsulamento no equipamento DCE.

a. Todas as interfaces seriais devem usar HDLC como o tipo de encapsulamento. Examine a configuração
do protocolo das interfaces seriais.
Telco# show interface [interface_type interface_num]
b. Altere o tipo de encapsulamento para HDLC de qualquer interface que esteja definida de outra forma:
R4(config-if)# encapsulation hdlc
Packet Tracer – Identificação e solução de problemas de interfaces seriais
Etapa 1: Verifique o endereçamento IP.

a. Mostre uma breve sumarização da interface de cada roteador. Verifique os endereços IP em relação à
Tabela de endereçamento e verifique se eles estão na sub-rede correta com sua interface de conexão.
b. Corrija todos os endereços IP que se sobrepõem ou que estejam definidos como o endereço do host ou
de transmissão:
R1(config-if)# ip address 64.100.34.18 255.255.255.252
Etapa 2: Verifique a conectividade entre todos os roteadores.
Packet Tracer – Configuração da autenticação PAP e CHAP
(Versão do instrutor)
Observação para o instrutor: a fonte vermelha ou o destaque em cinza indica o texto que aparece somente na
cópia do instrutor.
Topologia
Dispositivo Interface Endereço IP Máscara de sub-rede Gateway Padrão
G0/0 192.168.10.1 255.255.255.0 N/D

R1
S0/0/0 10.1.1.1 255.255.255.252 N/D
G0/0 192.168.30.1 255.255.255.0 N/D
R2
S0/0/1 10.2.2.2 255.255.255.252 N/D
S0/0/0 10.1.1.2 255.255.255.252 N/D
R3 S0/0/1 10.2.2.1 255.255.255.252 N/D
S0/1/0 209.165.200.225 255.255.255.252 N/D
S0/0/0 209.165.200.226 255.255.255.252 N/D
ISP
G0/0 209.165.200.1 255.255.255.252 N/D
Web NIC 209.165.200.2 255.255.255.252 209.165.200.1
PC NIC 192.168.10.10 255.255.255.0 192.168.10.1
Laptop NIC 192.168.30.10 255.255.255.0 192.168.30.1
Objetivos
Parte 1: Revisar configurações de roteamento
Parte 2: Configurar PPP como o método de encapsulamento
Parte 3: Configurar a autenticação PPP
Histórico
Nessa atividade, você vai praticar a configuração do encapsulamento PPP em links seriais. Você vai também
configurar a autenticação PAP PPP e a autenticação CHAP PPP.
Parte 1: Revisar configurações de roteamento
Etapa 1: Exiba as configurações em execução em todos os roteadores.

Ao revisar as configurações do roteador, observe o uso de rotas estáticas e dinâmicas na topologia.
Etapa 2: Teste a conectividade entre computadores e o servidor da Web.

A partir do PC e do Laptop, faça ping no servidor da Web em 209.165.200.2. Ambos os comandos ping
devem ser bem-sucedidos. Lembre-se de dar tempo suficiente para que a convergência do STP e do EIGRP.
Parte 2: Configurar o PPP como Método de Encapsulamento

Etapa 1: Configure o R1 para usar o encapsulamento PPP com R3.
Insira os seguintes comandos em R1:
R1(config-if)# encapsulation ppp
Etapa 2: Configure o R2 para usar o encapsulamento PPP com R3.

Insira os apropriados comandos em R2:
Etapa 3: Configure o R3 para usar o encapsulamento PPP com R1, R2 e ISP.

Insira os apropriados comandos em R3:
Etapa 4: Configure o ISP para usar o encapsulamento PPP com R3.

a. Clique na nuvem da Internet e, em seguida, em ISP. Digite os seguintes comandos:
Router(config)# interface s0/0/0
Router(config-if)# encapsulation ppp
b. Saia da nuvem da Internet clicando em Back no canto superior esquerdo ou pressionando Alt+seta
para a esquerda.
Etapa 5: Teste a conectividade com o servidor da Web.

O PC e o Laptop devem conseguir fazer ping no servidor da Web em 209.165.200.2. Isso pode levar algum
tempo até que as interfaces comecem a funcionar novamente e o EIGRP convirja novamente.
Parte 3: Configurar a autenticação PPP

Etapa 1: Configure a autenticação PPP PAP entre R1 e R3.
Observação: em vez de usar a palavra-chave password como mostrado no currículo, você usará a palavra-
chave secret para fornecer uma melhor criptografia da senha.
a. Insira os seguintes comandos em R1:
R1(config)# username R3 secret class
R1(config-if)# ppp authentication pap
R1(config-if)# ppp pap sent-username R1 password cisco
b. Insira os seguintes comandos em R3:
R3(config)# username R1 secret cisco
R3(config-if)# ppp pap sent-username R3 password class
Etapa 2: Configure a autenticação PPP PAP entre R2 e R3.

Repita a etapa 1 para configurar a autenticação entre R2 e R3 alterando os nomes de usuário conforme
necessário. Observe que cada senha enviada em cada porta serial corresponde à senha esperada pelo
roteador oposto.
R2(config-if)# username R3 secret class
R2(config-if)# ppp pap sent-username R2 password cisco
R3(config-if)# username R2 secret cisco

R3(config-if)# ppp pap sent-username R3 password class
Etapa 3: Configure a autenticação PPP CHAP entre R3 e ISP.

a. Insira os seguintes comandos em ISP. O hostname é enviado como o nome de usuário:
Router(config)# hostname ISP
ISP(config)# username R3 secret cisco
ISP(config)# interface s0/0/0
ISP(config-if)# ppp authentication chap
b. Insira os seguintes comandos em R3. As senhas devem corresponder à autenticação CHAP:
R3(config)# username ISP secret cisco
R3(config)# interface serial0/1/0
R3(config-if)# ppp authentication chap
Etapa 4: Teste a conectividade entre computadores e o servidor da Web.

A partir do PC e do Laptop, faça ping no servidor da Web em 209.165.200.2. Ambos os comandos ping
devem ser bem-sucedidos. Lembre-se de dar tempo suficiente para que a convergência do STP e do EIGRP.
Packet Tracer – Identificação e solução de problemas com PPP
com autenticação (Versão do instrutor)
instrutor.
Topologia
G0/1 10.0.0.1 255.255.255.128 N/D

R1 S0/0/0 172.16.0.1 255.255.255.252 N/D
S0/0/1 172.16.0.9 255.255.255.252 N/D
G0/1 209.165.200.161 255.255.255.224 N/D
R2 S0/0/0 172.16.0.2 255.255.255.252 N/D
S0/0/1 172.16.0.5 255.255.255.252 N/D
G0/1 10.0.0.129 255.255.255.128 N/D
R3 S0/0/0 172.16.0.10 255.255.255.252 N/D
S0/0/1 172.16.0.6 255.255.255.252 N/D
ISP G0/1 209.165.200.162 255.255.255.224 N/D
PC1 NIC 10.0.0.10 255.255.255.128 10.0.0.1
PC3 NIC 10.0.0.139 255.255.255.128 10.0.0.129
Servidor da Web NIC 209.165.200.2 255.255.255.252 209.165.200.1
Objetivos
Packet Tracer – Identificação e solução de problemas do PPP com autenticação
Cenário
Os roteadores em sua empresa foram configurados por um engenheiro de rede inexperiente. Vários erros na
configuração resultaram em problemas de conectividade. O seu chefe solicitou que você identifique e
solucione problemas e corrija erros de configuração e documente seu trabalho. Usando seus conhecimentos
de PPP e os métodos de teste padrão, localize e corrija os erros. Certifique-se de que todos os links seriais
utilizem autenticação CHAP PPP e que todas as redes estejam acessíveis. As senhas são cisco e class.
Etapa 1: Diagnostique e repare o cabeamento.

a. Examine a Tabela de endereçamento para determinar o local de todas as conexões.
b. Verifique se os cabos estão conectados conforme especificado.
c. Diagnostique e repare todas as interfaces inativas.
R1(config-if)#interface g0/1
R1(config-if)# interface s0/0/1

R3(config)# interface g0/1

Etapa 1: Examine e defina clock rates no equipamento DCE.

Examine a configuração de cada roteador para verificar se o clock rate foi definido em interfaces apropriadas.
Defina o clock rate de todas as interfaces seriais que precisam dele.
R2(config-if)# clock rate 64000
Etapa 2: Examine o encapsulamento no equipamento DCE.

Todas as interfaces seriais devem usar PPP como o tipo de encapsulamento. Altere o tipo de
encapsulamento para PPP de qualquer interface que esteja definida de outra forma.


Etapa 3: Examine e defina nomes de usuário e senhas de CHAP.

Examine cada link para verificar se os roteadores estão fazendo login entre si corretamente. Todas as
senhas CHAP são definidas como cisco. Use o comando debug ppp authentication se necessário. Corrija
ou defina todos os nomes de usuário e senhas necessários.
R1(config)# username R3 password cisco

R2(config)# no username R11


Etapa 1: Verifique o endereçamento IP.
Verifique os endereços IP em relação à Tabela de endereçamento e se certifique de que eles estejam na
sub-rede correta com sua interface de conexão. Corrija todos os endereços IP que se sobrepõem, que
estejam na interface incorreta, que tenham o endereço de sub-rede errado ou estejam definidos para o
endereço do host ou de broadcast.
R1(config-if)# no ip address
R1(config-if)#interface g0/1



Etapa 2: Verifique a conectividade completa traçando um caminho do PC1 e PC3 para o

servidor da Web.
Packet Tracer - Desafio de integração de habilidades (versão do
instrutor)
Topologia
Packet Tracer – Desafio de Integração de Habilidades
Máscara de
Endereço IPv4
Sub-Rede IPv4 e IPv6
Dispositivo Interface
Gateway padrão
Endereço IPv6/Prefixo
10.1.1.2 255.255.255.252 N/D

S0/0/0
2001:DB8:A:A::2/64 FE80::1
R1
209.165.200.226 255.255.255.252 N/D
S0/0/1
2001:DB8:B:1::2/64 FE80::1
192.168.1.193 255.255.255.224 N/D
G0/0,1
2001:DB8:A:1::1/64 FE80::2
192.168.1.1 255.255.255.128 N/D
G0/0,15
2001:DB8:A:15::1/64 FE80::2
192.168.1.129 255.255.255.192 N/D
R2 G0/0,25
2001:DB8:A:25::1/64 FE80::2
192.168.1.225 255.255.255.224 N/D
G0/0,99
2001:DB8:A:99::1/64 FE80::2
10.1.1.1 255.255.255.252 N/D
S0/0/0
2001:DB8:A:A::1/64 FE80::2
S1 VLAN 99 192.168.1.226 255.255.255.224 192.168.1.225
192.168.1.2 255.255.255.128 192.168.1.1
PC15 NIC
2001:DB8:A:15::2/64 FE80::2
192.168.1.130 255.255.255.192 192.168.1.129
PC25 NIC
2001:DB8:A:25::2/64 FE80::2
192.168.1.190 255.255.255.192 192.168.1.129
L25 NIC
2001:DB8:A:25::A/64 FE80::2
Histórico
Essa atividade permite que você pratique uma variedade de habilidades que incluem a configuração de
VLANs, PPP com CHAP, roteamento estático e padrão, usando IPv4 e IPv6. Devido ao número completo de
elementos classificados, você pode clicar em Verificar resultados e em Itens de avaliação para ver se
inseriu corretamente um comando classificado. Use as senhas cisco e class para acessar os modos EXEC
privilegiado do CLI dos roteadores e switches.
Requisitos
Endereçamento
• O esquema de endereçamento usa o espaço de endereço 192.168.1.0/24. O espaço de endereço
adicional está disponível entre a VLAN 15 e VLAN 1. A VLAN 25 precisa de endereços suficientes para
50 hosts. Determine a sub-rede e preencha a tabela de sub-rede abaixo.
Endereço de Máscara de
VLAN sub-rede IPv4 sub-rede Hosts
1 192.168.1.192 255.255.255.224 20
15 192.168.1.0 255.255.255.128 100
25 192.168.1.128 255.255.255.192 50
99 192.168.1.224 255.255.255.224 20
• Preencha a Tabela de endereçamento atribuindo os seguintes endereços à VLAN 25:
o R2 G0/0.25 - Primeiro endereço IPv4
o PC25 - 2º endereço IPv4
o L25 - Último endereço IPv4
• Configure o endereçamento IPv4 nos dispositivos finais necessários.
• Em R2, crie e aplique o endereçamento IPv4 e IPv6 à subinterface G0/0.25.
VLANs
• Em S1, crie a VLAN 86 e nomeie-a como BlackHole.
• Configure as portas S1 no modo estático com os seguintes requisitos:
o F0/1 é o tronco nativo para VLAN 99.
o F0/7 - F0/18 como portas de acesso na VLAN 15.
o F0/19 - F0/24 como portas de acesso na VLAN 25.
o G0/1 - 2 e F0/2 - F0/6 são portas não utilizadas. Eles devem estar protegidos corretamente e ser
atribuídos à VLAN BlackHole.
• Em R2, configure o roteamento entre VLANs. A VLAN 99 é a VLAN nativa.
PPP
• Configure R1 e R2 para usar PPP com CHAP para o link compartilhado. A senha para CHAP é cisco.
Roteamento
• Em R1, configure rotas padrão de IPv4 e de IPv6 usando a interface de saída apropriada.
• Em R2, configure uma rota padrão IPv6 usando a interface de saída apropriada.
• Configure OSPF IPv4 usando os seguintes requisitos:
o Use a identificação do processo 1.
o Os roteadores R1 e R2 estão na área 0.
o R1 usa 1.1.1.1 como a identificação do roteador.
o Anuncie as sub-redes específicas.
o No R1, propague a rota padrão criada para IPv4.
• Configure OSPF IPv6 usando os seguintes requisitos:

o Use a identificação do processo 1.
o Os roteadores R1 e R2 estão na área 0.
o Configure o OSPF nas interfaces apropriadas em R1 e R2.
Conectividade
• Todos os dispositivos devem conseguir fazer ping no Servidor Web.
Scripts
Configure PC25 e L25 com endereçamento IPv4
Roteador R1
enable
config t
ipv6 unicast-routing
username R2 password 0 cisco
interface Serial0/0/0
encapsulation ppp
ppp authentication chap
ipv6 ospf 1 area 0
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
default-information originate
router-id 1.1.1.1
ipv6 router ospf 1
router-id 1.1.1.1
ip route 0.0.0.0 0.0.0.0 Serial0/0/1
ipv6 route ::/0 Serial0/0/1
end
copy running-config startup-config
Router R2
enable
config t
ipv6 unicast-routing
username R1 password 0 cisco
int g0/0
no shut
interface GigabitEthernet0/0,1
encapsulation dot1Q 1
ip add 192.168.1.193 255.255.255.224
ipv6 ospf 1 area 0
ip add 192.168.1.1 255.255.255.128
ipv6 ospf 1 area 0

ip address 192.168.1.129 255.255.255.192
ipv6 address FE80::2 link-local
ipv6 address 2001:DB8:A:25::1/64
ipv6 ospf 1 area 0
encapsulation dot1Q 99 native
ip add 192.168.1.225 255.255.255.224
ipv6 ospf 1 area 0
encapsulation ppp
ipv6 ospf 1 area 0
router ospf 1
router-id 2.2.2.2
network 192.168.1.0 0.0.0.127 area 0
network 192.168.1.128 0.0.0.63 area 0
network 192.168.1.192 0.0.0.31 area 0
network 192.168.1.224 0.0.0.31 area 0
network 10.1.1.0 0.0.0.3 area 0
ipv6 router ospf 1
router-id 2.2.2.2
ipv6 route ::/0 Serial0/0/0
end
Switch S1
en
conf t
vlan 86
name BlackHole
exit
interface FastEthernet0/1
switchport trunk native vlan 99
switchport mode trunk
interface range Gig0/1 - 2 , FastEthernet0/2 - 6
switchport access vlan 86
switchport mode access
shutdown
intervalo de interface FastEthernet0/7 – 18
intervalo de interface FastEthernet0/19 – 24
end
Packet Tracer – Configuração do GRE (Versão do instrutor)
Topologia
Máscara de
Dispositivo Interface Endereço IP sub-rede Gateway padrão
G0/0 192.168.1.1 255.255.255.0 N/D

RA S0/0/0 64.103.211.2 255.255.255.252 N/D
Tunnel 0 10.10.10.1 255.255.255.252 N/D
G0/0 192.168.2.1 255.255.255.0 N/D
RB S0/0/0 209.165.122.2 255.255.255.252 N/D
Tunnel 0 10.10.10.2 255.255.255.252 N/D
PC-A NIC 192.168.1.2 255.255.255.0 192.168.1.1
PC-C NIC 192.168.2.2 255.255.255.0 192.168.2.1
Objetivos
Parte 1: Verificar a conectividade do roteador
Parte 2: Configurar os túneis GRE
Parte 3: Verificar a conectividade do PC
Cenário
Você administra a rede de uma empresa que deseja configurar um túnel GRE para um escritório remoto.
Ambas as redes estão configuradas localmente e precisam apenas do túnel configurado.
Packet Tracer – configuração do GRE
Etapa 1: Faça ping no RA a partir de RB.

a. Use o comando show ip interface bried no RA para determinar o endereço IP da porta S0/0/0.
b. A partir do RB, faça ping no endereço S0/0/0 do RA.
Etapa 2: Faça ping de PCA a partir de PCB.

Tente fazer ping no endereço IP do PCA a partir do PCB. Repetiremos esse teste depois de configurar o
túnel GRE. Quais foram os resultados do ping? Por quê? Os pings falharam porque não havia rota até o
destino.
Parte 2: Configurar túneis GRE

Etapa 1: Configure a interface de Tunnel 0 do RA.
a. Entre no modo de configuração de Tunnel 0 do RA.
RA(config)# interface tunnel 0
b. Defina o endereço IP como indicado na Tabela de endereçamento.
RA(config-if)# ip address 10.10.10.1 255.255.255.252
c. Defina a origem e o destino dos endpoints de Tunnel 0.
RA(config-if)# tunnel source s0/0/0
RA(config-if)# tunnel destination 209,165.122,2
d. Configure Tunnel 0 para transportar o tráfego IP sobre GRE.
RA(config-if)# tunnel mode gre ip
e. A interface de Tunnel 0 já deve estar ativa. Caso não esteja, trate-a como qualquer outra interface.
RA(config-if)# no shutdown
Etapa 2: Configure a interface de Tunnel 0 do RB.

Repita as etapas de 1a a 1e com RB. Certifique-se de alterar o endereçamento IP, conforme apropriado.
RB(config)# interface tunnel 0
RB(config-if)# ip address 10.10.10.2 255.255.255.252
RB(config-if)# tunnel source s0/0/0
RB(config-if)# tunnel destination 64.103.211.2
RB(config-if)# tunnel mode gre ip
RB(config-if)# no shutdown
Etapa 3: Configure uma rota para tráfego IP privado.

Use a rede 10.10.10.0/30 como destino para estabelecer uma rota entre as redes 192.168.X.X.
RA(config)# ip route 192.168.2.0 255.255.255.0 10.10.10.2
RB(config)# ip route 192.168.1.0 255.255.255.0 10.10.10.1

Tente fazer ping no endereço IP do PCA a partir do PCB. O ping deve obter êxito.
Etapa 2: Rastreie o caminho de PCA até PCB.

Tente rastrear o caminho de PCA até PCB. Observe a falta de endereços IP públicos na saída.
Configurações de Dispositivos
Router RA
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
hostname RA
license udi pid CISCO2911/K9 sn FTX15242579
spanning-tree mode pvst
interface Tunnel0
ip address 10.10.10.1 255.255.255.252
tunnel source Serial0/0/0
tunnel destination 209.165.122.2
tunnel mode gre ip
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
no ip address
duplex auto
speed auto
shutdown
no ip address
duplex auto
speed auto
shutdown
ip address 64.103.211.2 255.255.255.252
no ip address
shutdown
interface Vlan1
no ip address
shutdown
ip classless
ip route 192.168.2.0 255.255.255.0 10.10.10.2
ip route 0.0.0.0 0.0.0.0 Serial0/0/0
line con 0
line aux 0
line vty 0 4
Login
end
Router RB
license udi pid CISCO2911/K9 sn FTX152497Z4
interface Tunnel0
ip address 10.10.10.2 255.255.255.252
tunnel mode gre ip
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
no ip address
duplex auto
speed auto
shutdown
no ip address
duplex auto
speed auto
shutdown
!
ip address 209.165.122.2 255.255.255.252
!
no ip address
shutdown
interface Vlan1
no ip address
shutdown
ip classless
ip route 192.168.1.0 255.255.255.0 10.10.10.1
ip route 0.0.0.0 0.0.0.0 Serial0/0/0
line con 0
line aux 0
line vty 0 4
Login
end
Packet Tracer – Identificação e solução de problemas de GRE
(Versão do instrutor)
instrutor.
Topologia
Dispositivo Interface Endereço IP Máscara de sub-rede Gateway padrão
G0/0 172.31.0.1 255.255.255.0 N/D

RA S0/0/0 209.165.122.2 255.255.255.252 N/D
Tunnel 0 192.168.1.1 255.255.255.252 N/D
G0/0 172.31.1.1 255.255.255.0 N/D
RB S0/0/0 64.103.211.2 255.255.255.252 N/D
Tunnel 0 192.168.1.2 255.255.255.252 N/D
PC-A NIC 172.31.0.2 255.255.255.0 172.31.0.1
PC-C NIC 172.31.1.2 255.255.255.0 172.31.1.1
Objetivos
• Localizar e corrigir todos os erros da rede
• Verificar a conectividade
Cenário
Um administrador de rede júnior foi contratado para configurar um túnel GRE entre dois locais e não conseguiu
concluir a tarefa. Foi solicitado que você corrigisse erros de configuração na rede da empresa.
Packet Tracer - Identificação e solução de problemas de GRE
Parte 1: Localizar e corrigir todos os erros da rede.

Dispositivo Erro Correção
RA A interface IP G0/0 e a máscara de sub- Tunnel 0 da interface

rede não estão corretas. O endereço do no ip address
túnel deve ser removido para evitar erro
interface g0/0
de sobreposição.
ip address 172.31.0.1 255.255.255.0
RA T0 IP address is not correct. Tunnel 0 da interface
ip address 192.168.1.1 255.255.255.252
RA A rota estática não está correta. no ip route 172.31.1.0 255.255.255.0 64.103.211.2

ip route 172.31.1.0 255.255.255.0 192.168.1.2
RB O endereço destino do túnel não está tunnel destination 209.165.122.2

correto.
RB A porta origem do túnel não está correta. tunnel source Serial0/0/0
Parte 2: Verificar a conectividade

Tente fazer ping no endereço IP do PCA a partir do PCB. O ping deve obter êxito.
Etapa 2: Rastreie o caminho de PCA até PCB.

Tente rastrear o caminho de PCA até PCB. Observe a falta de endereços IP públicos na saída.
Router RA
hostname RA
interface Tunnel0
ip address 192.168.1.1 255.255.255.252

tunnel mode gre ip
ip address 172.31.0.1 255.255.255.0
duplex auto
speed auto
no ip address
duplex auto
speed auto
shutdown
no ip address
duplex auto
speed auto
shutdown
ip address 209.165.122.2 255.255.255.252
no ip address
shutdown
interface Vlan1
no ip address
shutdown
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0/0
ip route 172.31.1.0 255.255.255.0 192.168.1.2
line con 0
line aux 0
line vty 0 4
Login
end
Router RB
hostname RB
interface Tunnel0
ip address 192.168.1.2 255.255.255.252
tunnel mode gre ip
ip address 172.31.1.1 255.255.255.0
duplex auto
speed auto
no ip address
duplex auto
speed auto
shutdown
no ip address
duplex auto
speed auto
shutdown
ip address 64.103.211.2 255.255.255.252
no ip address
shutdown
interface Vlan1
no ip address
shutdown
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0/0
ip route 172.31.0.0 255.255.255.0 192.168.1.1
line con 0
line aux 0
line vty 0 4
Login
end
Packet Tracer - Configuração e verificação do eBGP (Versão do
instrutor)
instrutor.
Topologia
Objetivos
Configurar e verificar o eBGP entre dois sistemas autônomos.
Histórico/Cenário
Nesta atividade, você irá configurar e verificar a operação do eBGP entre sistemas autônomos 65001 e
65002. A empresa ACME Inc. fez uma parceria com a Other Company e deve trocar as rotas. As duas
empresas possuem seus próprios sistemas autônomos e usarão o ISP como AS de tráfego para acesso
mútuo.
Observação: somente empresas com redes muito grandes podem arcar com seu próprio sistema autônomo.
Packet Tracer: Configurar e verificar o eBGP
Tabela de endereços
Máscara de
Dispositivo Interface Endereço IPv4 Gateway padrão
Sub-Rede
G0/0 192.168.0.1 255.255.255.0 N/D

ACME1
S0/0/0 1.1.1.2 255.255.255.252 N/D
G/0/0 172.16.10.1 255.255.255.0 N/D
OtherCo1
S0/0/0 1.1.1.10 255.255.255.252 N/D
S0/0/0 1.1.1.1 255.255.255.252
ISP1
S0/0/1 1.1.1.5 255.255.255.252
S0/0/0 1.1.1.9 255.255.255.252
ISP2
S0/0/1 1.1.1.6 255.255.255.252
PC0 NIC DHCP 192.168.0.1
Laptop0 NIC DHCP 192.168.0.1
Laptop1 NIC DHCP 192.168.0.1
Servidor NIC 172.16.10.2 255.255.255.0 172.16.10.1
Etapa 1: Configure o eBGP na ACME Inc.

A ACME Inc. contratou um ISP para se conectar com a empresa parceira denominada Other Company.
O ISP estabeleceu a acessibilidade em sua própria rede e na Other Company. Você deve conectar a ACME
ao ISP para que a ACME e a Other Company possam se comunicar. Como o ISP está usando o BGP como
protocolo de roteamento, você deve configurar a ACME1, o roteador da borda da ACME, para estabelecer
uma conexão de neighbor de BGP com o ISP1, o roteador da borda do ISP que faz interface com a ACME.
a. Verifique se o ISP estabeleceu a acessibilidade de IP em sua rede, executando um ping para 1.1.1.9,
o endereço IP atribuído à interface Serial 0/0/0 do ISP2.
b. Usando qualquer dispositivo na rede da ACME, execute um ping para o servidor 172.16.10.2 da Other
Company. Deve ocorrer falha nos pings porque o roteamento de BGP não está configurado nesse
momento.
c. Configure o ACME1 para se tornar uma porta direta do eBGP para o ISP1. O número AS da ACME é
65001, embora o ISP esteja usando o número AS 65003. Use a rede 1.1.1.1 como o endereço IP do
neighbor e adicione a rede interna 192.168.0.0/24 da ACME ao BGP.
ACME1(config)# router bgp 65001
ACME1(config-router)# neighbor 1.1.1.1 remote-as 65003
ACME1(config-router)# network 192.168.0.0 mask 255.255.255.0
Usando qualquer dispositivo na rede da ACME, execute um ping para o servidor interno da Other
Company novamente. Funcionou?
____________________________________________________________________________ Não.
Etapa 2: Configure o eBGP na Other Company Inc.

O administrador de rede da Other Company não está familiarizado com o BGP e não pôde configurar seu
lado do link. Você deve configurar o lado deles da conexão.
Packet Tracer: Configurar e verificar o eBGP
Configure o OtherCo1 para formar uma adjacência de eBGP com ISP2, o roteador da borda do ISP que faz
interface com o OtherCo1. A Other Company usa o número AS 65002, embora o ISP use o número AS
65003. Use a rede 1.1.1.9 como o endereço IP do neighbor do ISP2 e adicione a rede interna 172.16.10.0/24
da Other Company ao BGP.
OtherCo1(config)# router bgp 65002
OtherCo1(config-router)# neighbor 1.1.1.9 remote-as 65003
OtherCo1(config-router)# network 172.16.10.0 mask 255.255.255.0
Etapa 3: Verificação do eBGP

a. Verifique se o ACME1 formou uma adjacência de eBGP com o ISP1 corretamente. O comando show ip
bgp summary é muito útil nesse ponto.
b. Use o comando show ip bgp summary para verificar todas as rotas que o ACME1 encontrou através do
eBGP e o status dessas rotas.
c. Veja as tabelas de roteamento no ACME1 e no OtherCo1. O ACME1 deve ter encontrado as rotas
relacionadas à rota 172.16.10.0/24 da Other Company. Do mesmo modo, agora o OtherCo1 deve
conhecer a rota 192.168.0.0/24 da ACME.
d. Abra um navegador da Web nos dispositivos finais da ACME Inc. e navegue para o servidor da Other
Company, inserindo seu endereço IP 172.16.10.2
e. Em um dispositivo da ACME Inc., execute um ping para o servidor da Other Company no endereço
172.16.10.2.
Scripts
Configuração do ACME1
router bgp 65001
neighbor 1.1.1.1 remote-as 65003
network 192.168.0.0 mask 255.255.255.0
Configuração da OtherCo1
router bgp 65002
network 172.16.10.0 mask 255.255.255.0
Packet Tracer - Desafio de Integração de Habilidades (Versão do
instrutor)
instrutor.
Topologia
S0/0/0 209.165.201.1 255.255.255.252 N/D

ISP-1
S0/1/0 209.165.201.9 255.255.255.252 N/D
S0/0/0 209.165.201.17 255.255.255.252 N/D
ISP-2
S0/1/1 209.165.201.13 255.255.255.252 N/D
S0/0/0 209.165.201.21 255.255.255.252 N/D
ISP-3 S0/1/0 209,165.201,10 255.255.255.252 N/D
S0/1/1 209.165.201.14 255.255.255.252 N/D
S0/0/0 209.165.201.2 255.255.255.252 N/D
REMOTE G0/0 192.168.20.1 255.255.255.0 N/D
Tunnel 10 10.1.1.1 255.255.255.252 N/D
S0/0/0 209.165.201.18 255.255.255.252 N/D
Sede G0/0 192.168.30.1 255.255.255.0 N/D
Tunnel 10 10.1.1.2 255.255.255.252 N/D
S0/0/0 209.165.201.22 255.255.255.252 N/D
BRANCH
G0/0 192.168.10.1 255.255.255.0 N/D
PC1 NIC DHCP 192.168.10.1
PC2 NIC 192.168.20.10 255.255.255.0 192.168.20.1
PC3 NIC DHCP 192.168.30.1
Servidor DNS NIC 192.168.30.250 255.255.255.0 192.168.30.1
Histórico/Cenário
Nesse desafio de integração de habilidades, a Corporação XYZ usa uma combinação de conexões eBGP,
PPP e GRE WAN. Outras tecnologias incluem as configurações de DHCP, roteamento padrão, OSPF para
IPv4 e SSH.
Requisitos
Observação: a senha de EXEC do usuário é cisco e a senha de EXEC privilegiado é class.
Endereçamento de interface
• Configure o endereçamento de interface conforme necessário nos dispositivos pertinentes.
o Use a tabela de topologia para implementar o endereçamento nos roteadores REMOTE, HQ e BRANCH.
o Configure o PC1 e o PC3 para usar DHCP.
SSH
• Configure HQ para usar SSH para acesso remoto.
o Defina o módulo como 2048. O nome do domínio é CISCO.com.
o O nome do usuário é admin e a senha é secureaccess.
o Somente o SSH deve ser permitido nas linhas de VTY.

o Modifique os padrões SSH: versão 2; tempo limite de 60 segundos; duas repetições.
PPP
• Configure o link de WAN do roteador BRANCH para o ISP-3 usando o encapsulamento de PPP e a
autenticação de CHAP.
o Crie o usuário ISP-3 com a senha cisco.
• Configure o link de WAN do HQ para o roteador ISP-2 usando o encapsulamento de PPP e a
autenticação de CHAP.
o Crie o usuário ISP-2 com a senha cisco.
DHCP
• No BRANCH, configure um pool de DHCP para a LAN do BRANCH usando os seguintes requisitos:
o Exclua os 5 primeiros endereços IP no intervalo.
o O ⁪nome do pool que diferencia letras maiúsculas e minúsculas é LAN.
o Inclua o Servidor DNS conectado à LAN HQ como parte da configuração do DHCP.
• Configure o PC1 para usar DHCP.
• No HQ, configure um pool de DHCP para a LAN do HQ usando os seguintes requisitos:
o O ⁪nome do pool que diferencia letras maiúsculas e minúsculas é LAN.
• Configure o PC3 para usar DHCP.
Roteamento Padrão
• Configure o REMOTE com uma rota padrão para o roteador ISP-1. Use o IP de próximo salto como
argumento.
Roteamento eBGP
• Configure o BRANCH com o roteamento eBGP.
o Configure o BRANCH para se conectar com o ISP-3.
o Adicione a rede interna do BRANCH ao BGP.
• Configure o HQ com o roteamento eBGP.
o Configure o HQ para se conectar com o ISP-2.
o Adicione a rede interna do HQ ao BGP.
Encapsulamento GRE
• Configure o REMOTE com uma interface de túnel para enviar o tráfego de IP sobre GRE para o HQ.
o Configure o Tunnel 10 com as devidas informações de endereçamento.
o Configure a origem do túnel com a interface de saída local.
o Configure o destino do túnel com o endereço IP do endpoint apropriado.
• Configure o HQ com uma interface de túnel para enviar o tráfego de IP sobre GRE para o REMOTE.
o Configure o Tunnel 10 com as devidas informações de endereçamento.
o Configure a origem do túnel com a interface de saída local.
o Configure o destino do túnel com o endereço IP do endpoint apropriado.
Roteamento OSPF
• Como a LAN do REMOTE deve ter ⁪conectividade com a LAN do HQ, configure o OSPF sobre o túnel de
GRE.
o Configure o processo de OSPF 100 no roteador REMOTE.
o O REMOTE deve anunciar a rede LAN via OSPF.
o O REMOTE deve ser configurado para formar uma adjacência com o HQ sobre o túnel de GRE.
o Desative as atualizações de OSPF nas interfaces pertinentes.
• Como a LAN do HQ deve ter ⁪conectividade com a LAN do REMOTE, configure o OSPF no túnel de GRE.
o Configure o processo de OSPF 100 no roteador HQ.
o O HQ deve anunciar a rede LAN via OSPF.
o O HQ deve ser configurado para formar uma adjacência com o REMOTE sobre o túnel de GRE.
o Desative as atualizações de OSPF nas interfaces pertinentes.
Conectividade
• Verifique a ⁪conectividade total do PC2 para o DNS Server.
• Verifique a ⁪conectividade total do PC1 para o DNS Server.
Script
Filial
enable
config t
username ISP-3 password cisco
interface g0/0
ip add 192.168.10.1 255.255.255.0
no shutdown
interface s0/0/0
ip add 209.165.201.22 255.255.255.252
encapsulation ppp
no shutdown
ip dhcp excluded-address 192.168.10.1 192.168.10.5
ip dhcp pool LAN
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 192.168.30.250
router bgp 65010
network 192.168.10.0 mas 255.255.255.0
end
Sede
enable
config t
interface Tunnel10
ip address 10.1.1.2 255.255.255.252
tunnel mode gre ip

tunnel source s0/0/0
no shutdown
ip address 192.168.30.1 255.255.255.0
no shutdown
ip address 209.165.201.18 255.255.255.252
encapsulation ppp
no shutdown
ip domain-name CISCO.com
username admin password secureaccess
username ISP-2 password cisco
crypto key generate rsa
2048
ip ssh version 2
ip ssh authentication-retries 2
ip ssh time-out 60
line vty 0 4
transport input ssh
ip dhcp excluded-address 192.168.30.1 192.168.30.10
ip dhcp pool LAN
network 192.168.30.0 255.255.255.0
default-router 192.168.30.1
dns-server 192.168.30.250
router bgp 65020
network 192.168.30.0 mask 255.255.255.0
router ospf 100
network 192.168.30.0 0.0.0.255 area 0
network 10.1.1.0 0.0.0.3 area 0
passive-interface g0/0
end
Remoto
enable
config t
interface s0/0/0
ip add 209.165.201.2 255.255.255.0
no shutdown
túnel 10 da interface
ip address 10.1.1.1 255.255.255.252
tunnel mode gre ip
tunnel source s0/0/0
no shutdown
interface g0/0
ip address 192.168.20.1 255.255.255.0

no shutdown
ip route 0.0.0.0 0.0.0.0 209.165.201.1
router ospf 100
network 192.168.20.0 0.0.0.255 area 0
network 10.1.1.0 0.0.0.3 area 0
passive-interface g0/0
end
Packet Tracer – Configurar as ACLs IPv4 padrão (Versão do
instrutor)
instrutor.
Topologia
Packet Tracer – Configurar as ACLs IPv4 padrão
G0/0 192.168.1.1 255.255.255.0

R1 G0/1 192.168.2.1 255.255.255.0 N/D
G0/2 192.168.250.1 255.255.255.0
G0/0 172.16.1.1 255.255.255.0
R2 G0/1 172.16.2.1 255.255.255.0 N/D
G0/2 192.168.250.2 255.255.255.0
PC-A NIC 192.168.1.100 255.255.255.0 192.168.1.1
PC-B NIC 192.168.1.150 255.255.255.0 192.168.1.1
PC-C NIC 192.168.2.50 255.255.255.0 192.168.2.1
PC-D NIC 192.168.2.112 255.255.255.0 192.168.2.1
PC-E NIC 172.16.1.10 255.255.255.0 172.16.1.1
PC-F NIC 172.16.1.20 255.255.255.0 172.16.1.1
PC-G NIC 172.16.2.100 255.255.255.0 172.16.2.1
PC-H NIC 172.16.2.200 255.255.255.0 172.16.2.1
Objetivos
Limitar o tráfego na rede configurando as ACLs IPv4 padrão.
Histórico/Cenário
Uma empresa acaba de decidir limitar o tráfego usando as ACLs IPv4 padrão. Como o administrador de rede,
você é responsável por configurar duas ACLs IPv4 padrão para limitar o tráfego para a LAN Pink e a LAN
Blue (veja o diagrama da topologia de PT). Você deve configurar uma ACL IPv4 padrão nomeada para limitar
o acesso remoto ao roteador R1. As interfaces do roteador e as rotas estáticas padrão já foram configuradas.
O acesso remoto ao SSH também já foi ativado nos roteadores. Você precisará das seguintes informações
de acesso para console, VTY e modo EXEC confidencial:
Nome de usuário: admin01
Senha: ciscoPA55
Ativar segredo: secretPA55
Parte 1: Configurar uma ACL IPv4 padrão para limitar o acesso à LAN
Pink
Na Parte 1, você configurará e aplicará a lista de acesso 10 para limitar o acesso à LAN Pink.
Etapa 1: Defina o que você deseja realizar usando a lista de acesso 10.
A lista de acesso 10 deve ter 4 entradas de controle de acesso para realizar as seguintes ações:
1) A lista de acesso 10 deve começar com o seguinte comentário: ACL_TO_PINK_LAN
2) Permita que o PC-C acesse a LAN Pink
3) Permita que somente a primeira metade dos hosts da LAN Yellow acessem a LAN Pink
4) Permita que todos os hosts da LAN Blue acessem a LAN Pink
A lista de acesso 10 deve ser configurada no roteador correto e aplicada à interface apropriada e na direção
certa.
Etapa 2: Crie, aplique e teste a lista de acesso 10.

Após configurar e aplicar a lista de acesso 10, você deve estar apto para realizar os seguintes testes de rede:
1) Um ping do PC-A para um host da LAN Pink deve ser salvo com sucesso, mas um ping do PC-B
deve ser negado.
2) Um ping do PC-C para um host da LAN Pink deve ser salvo com sucesso, mas um ping do PC-D
deve ser negado.
3) Os pings dos hosts da LAN Blue para os hosts na LAN Pink devem ser salvos com sucesso.
Qual mensagem é enviada aos computadores quando um ping é negado em virtude de uma ACL?
____________________________________________________________________________________
Uma mensagem de destino inalcançável.
Quais endereços IP na LAN Yellow são permitidos para executar um ping para os hosts da LAN Pink?
____________________________________________________________________________________
A lista de acesso 10 permite pings para a LAN Pink de hosts 192.168.1.1 para 192.168.1.127 na LAN Yellow.
Parte 2: Configurar uma ACL IPv4 padrão para limitar o acesso à LAN
Blue
Na Parte 2, você configurará e aplicará a lista de acesso 20 para limitar o acesso à LAN Blue.
Etapa 1: Defina o que você deseja realizar usando a lista de acesso 20.
A lista de acesso 20 deve ter 3 entradas de controle de acesso para realizar as seguintes ações:
1) A lista de acesso 20 deve começar com o seguinte comentário: ACL_TO_BLUE_LAN
2) Permita que o PC-A acesse a LAN Blue
3) Não permita que a LAN Yellow acesse a LAN Blue
4) Permita que todas as outras redes acessem a LAN Blue
A lista de acesso 20 deve ser configurada no roteador correto e aplicada à interface apropriada e na direção
certa.
Etapa 2: Crie, aplique e teste a lista de acesso 20.

Após configurar e aplicar a lista de acesso 20, você deve estar apto para realizar os seguintes testes de rede:
1) Somente o PC-A na LAN Yellow pode salvar um ping com sucesso para LAN Blue.
2) Os pings dos hosts da LAN Yellow para a LAN Blue não devem ser salvos com sucesso.
3) Os pings dos hosts das LANs Green e Pink para a LAN Blue devem ser salvos com sucesso.
Etapa 3: Insira uma ACE na lista de acesso 20.

É necessário alterar a lista de acesso 20. Insira uma entrada de controle de acesso na lista de acesso 20
para permitir que o PC-A acesse a LAN Blue. Insira a ACE antes que a outra lista de acesso 20 permita ou
recuse as entradas de controle de acesso.
Como inserir ou remover uma ACE em uma linha específica de uma ACL?
____________________________________________________________________________________
Para inserir ou remover uma ACE em uma linha específica, insira a ACL usando os argumentos e as
palavras-chave lista de acesso de IP como se a ACL numerada fosse uma ACL nomeada.
Em qual linha você inseriu a ACE?
____________________________________________________________________________________
As respostas podem variar, mas deve dar certo inserir a ACE nas linhas 1 a 9.
Parte 3: Configurar uma ACL IPv4 padrão nomeada

Na Parte 3, você configurará e aplicará uma ACL IPv4 padrão nomeada para limitar o acesso remoto ao
roteador R1.
Etapa 1: Defina o que você deseja realizar com a ACL IPv4 padrão nomeada.
A lista de acesso nomeada deve realizar as seguintes ações:
1) No R1, crie uma ACL padrão denominada ADMIN_VTY
2) Permita um único host, PC-C
3) Aplique a ACL às linhas de VTY
Etapa 2: Teste a lista de acesso ADMIN_VTY.

Após configurar e aplicar a lista de acesso ADMIN_VTY, você deve estar apto para realizar o seguinte teste
de rede:
1) Uma conexão SSH do host PC-C para R1 deve ser salva com sucesso.
2) As conexões SSH de todos os outros hosts não devem ser salvas com sucesso.
Reflexão
Esse laboratório apresenta duas ACLs padrão para limitar o tráfego para as LANs Pink e Blue. É possível
criar mais 2 ACLs padrão para limitar o tráfego para as LANs Yellow e Green e em qual roteador essas ACLs
devem ser criadas?
_______________________________________________________________________________________
_______________________________________________________________________________________
Sim, é possível criar uma ACL padrão para G0/0 e G0/1 no roteador R1 para restringir o acesso às LANs
Yellow e Green.
Script
R1
ip access-list standard ADMIN_VTY
permit 192.168.2.50
line vty 0 4
access-class ADMIN_VTY in
R2
access-list 10 remark ACL_TO_PINK_LAN
access-list 10 permit host 192.168.2.50
access-list 10 permit 192.168.1.0 0.0.0.127
access-list 20 remark ACL_TO_BLUE_LAN
access-list 20 permit host 192.168.1.100
access-list 20 deny 192.168.1.0 0.0.0.255
access-list 20 permit any
interface gigabitEthernet0/0
ip access-group 20 out
interface gigabitEthernet0/1
Packet Tracer - Configurando ACLs Estendidas - Cenário 1
(versão do instrutor)
instrutor.
Topologia
G0/0 172.22.34.65 255.255.255.224 N/D

R1 G0/1 172.22.34.97 255.255.255.240 N/D
G0/2 172.22.34.1 255.255.255.192 N/D
Servidor NIC 172.22.34.62 255.255.255.192 172.22.34.1
PC1 NIC 172.22.34.66 255.255.255.224 172.22.34.65
PC2 NIC 172.22.34.98 255.255.255.240 172.22.34.97
Objetivos
Parte 1: Configurar, aplicar e verificar uma ACL estendida numerada
Parte 2: Configurar, aplicar e verificar uma ACL estendida nomeada
Histórico/Cenário
Dois funcionários precisam acessar os serviços fornecidos pelo servidor. O PC1 precisa somente de acesso
ao FTP, enquanto o PC2 precisa somente do acesso à Web. Ambos os computadores podem fazer ping no
servidor, mas não entre si.
Packet Tracer - configuração de ACLs estendidas - cenário 1
Etapa 1: Configure uma ACL para habilitar FTP e ICMP.

a. No modo de configuração global em R1, insira o comando a seguir para determinar o primeiro número
válido para uma lista de acesso estendido.
R1(config)# access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
b. Adicione 100 ao comando, seguido por um ponto de interrogação.
R1(config)# access-list 100 ?
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment
c. Para permitir o tráfego de FTP, insira permit, seguido por um ponto de interrogação.
R1(config)# access-list 100 permit ?
ahp Authentication Header Protocol
eigrp Cisco's EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco's GRE tunneling
icmp Internet Control Message Protocol
ip Any Internet Protocol
ospf OSPF routing protocol
tcp Transmission Control Protocol
udp User Datagram Protocol
d. Essa ACL permite o FTP e o ICMP. O ICMP é listado acima, mas o FTP não é, porque o FTP usa o TCP.
Então, digite TCP. Insira tcp para refinar ainda mais a ajuda da ACL.
R1(config)# access-list 100 permit tcp ?
A.B.C.D Source address
any Any source host
host A single source host
e. Observe que poderíamos filtrar apenas por PC1 usando a palavra-chave host ou podemos permitir
qualquer host usando a palavra-chave any. Nesse caso, é permitido qualquer dispositivo que tenha um
endereço que pertença à rede 172.22.34.64/27. Digite o endereço de rede, seguido de um ponto de
interrogação.
R1(config)# access-list 100 permit tcp 172.22.34.64 ?
A.B.C.D Source wildcard bits
f. Calcule a máscara curinga que determina o oposto binário de uma máscara de sub-rede.
11111111.11111111.11111111.11100000 = 255.255.255.224
00000000.00000000.00000000.00011111 = 0.0.0.31
g. Digite a máscara curinga, seguida de um ponto de interrogação.
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 ?
A.B.C.D Destination address
any Any destination host
eq Match only packets on a given port number

gt Match only packets with a greater port number
host A single destination host
lt Match only packets with a lower port number
neq Match only packets not on a given port number
range Match only packets in the range of port numbers
h. Configure o endereço destino. Neste cenário, estamos filtrando o tráfego para um único destino, o
servidor. Digite a palavra-chave host seguida do endereço IP do servidor.
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host
172.22.34.62 ?
dscp Match packets with given dscp value
eq Match only packets on a given port number
established established
gt Match only packets with a greater port number
lt Match only packets with a lower port number
neq Match only packets not on a given port number
precedence Match packets with given precedence value
range Match only packets in the range of port numbers
<cr>
i. Observe que uma das opções é <cr> (retorno de carro). Em outras palavras, você pode pressionar Enter
e a instrução permitirá todo o tráfego TCP. No entanto, somente permitimos tráfego de FTP; portanto,
insira a palavra-chave eq, seguida por um ponto de interrogação para exibir as opções disponíveis. Em
seguida, insira ftp e pressione Enter.
172.22.34.62 eq ?
<0-65535> Port number
ftp File Transfer Protocol (21)
pop3 Post Office Protocol v3 (110)
smtp Simple Mail Transport Protocol (25)
telnet Telnet (23)
www World Wide Web (HTTP, 80)
172.22.34.62 eq ftp
j. Crie uma segunda instrução de lista de acesso para permitir tráfego ICMP (ping etc.) de PC1 para
Servidor. Observe que o número da lista de acesso permanece o mesmo e um tipo específico de tráfego
ICMP não precisa ser determinado.
R1(config)# access-list 100 permit icmp 172.22.34.64 0.0.0.31 host
172.22.34.62
k. Todo o tráfego restante é negado, por padrão.
Etapa 2: Aplicar a ACL à interface correta para filtrar o tráfego.

Da perspectiva de R1, a ACL é aplicada ao tráfego que entra na interface Gigabit Ethernet 0/0. Entre no
modo configuração de interface e aplique a ACL.
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# ip access-group 100 in
Etapa 3: Verifique a implementação da ACL.

a. Faça ping de PC1 para o Servidor. Se os pings não tiverem êxito, verifique os endereços IP antes de
continuar.
b. Faça FTP de PC1 para o Servidor. O nome de usuário e a senha são cisco.
PC> ftp 172.22.34.62
c. Saia do serviço de FTP do Servidor.
ftp> parar
d. Faça ping de PC1 para PC2. O host destino deve estar inacessível, pois o tráfego não foi permitido
explicitamente.
Parte 2: Configure, aplique e verifique uma ACL estendida nomeada

Etapa 1: Configure uma ACL para permitir acesso HTTP e ICMP.
a. As ACLs nomeadas começam com a palavra-chave ip. No modo de configuraçãoglobal de R1, insira o
seguinte comando, seguido por um ponto de interrogação.
R1(config)# ip access-list ?
extended Extended Access List
standard Standard Access List
b. Você pode configurar as ACls padrão e estendidas nomeadas. Esta lista de acesso filtrará os endereços
IP origem e destino; portanto, deve ser estendida. Insira HTTP_ONLY como o nome. (Para a pontuação
do Packet Tracer, o nome distingue letras maiúsculas e minúsculas.)
R1(config)# ip access-list extended HTTP_ONLY
c. O prompt é alterado. Você está agora no modo de configuração de ACL estendida nomeada. Todos os
dispositivos na LAN de PC2 precisam de acesso TCP. Digite o endereço de rede, seguido de um ponto
de interrogação.
R1(config-ext-nacl)# permit tcp 172.22.34.96 ?
A.B.C.D Source wildcard bits
d. Outra maneira de calcular uma máscara curinga é subtrair a máscara de sub-rede de 255.255.255.255.
255.255.255.255
- 255.255.255.240
-----------------
= 0. 0. 0. 15
R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 ?
e. Termine a instrução especificando o endereço de servidor como você fez na Parte 1 e filtrando o tráfego
www.
R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www
f. Crie uma segunda instrução de lista de acesso para permitir tráfego ICMP (ping etc.) de PC2 para
Servidor. Observação: o prompt permanece o mesmo e um tipo específico de tráfego ICMP não precisa
ser determinado.
R1(config-ext-nacl)# permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62
g. Todo o tráfego restante é negado, por padrão. Saia do modo de configuração de ACL estendida
nomeada.
Etapa 2: Aplicar a ACL à interface correta para filtrar o tráfego.

Da perspectiva de R1, a lista de acesso HTTP_ONLY é aplicada ao tráfego que entra na interface Gigabit
Ethernet 0/1. Entre no modo configuração de interface e aplique a ACL.
R1(config)# interface gigabitEthernet 0/1
R1(config-if)# ip access-group HTTP_ONLY in

a. Faça ping de PC2 para o Servidor. Se os pings não tiverem êxito, verifique os endereços IP antes de
continuar.
b. Faça FTP de PC2 para o Servidor. A conexão deve falhar.
c. Abra o navegadores da Web no PC2 e digite o endereço IP do Server como a URL. A conexão deve ser
bem-sucedida.
Packet Tracer - Configuração de ACLs Estendidas - Cenário 2
instrutor.
Topologia
G0/0 10.101.117.49 255.255.255.248 N/D

RTA G0/1 10.101.117.33 255.255.255.240 N/D
G0/2 10.101.117.1 255.255.255.224 N/D
PCA NIC 10.101.117.51 255.255.255.248 10.101.117.49
PCB NIC 10.101.117.35 255.255.255.240 10.101.117.33
SWC VLAN1 10.101.117.2 255.255.255.224 10.101.117.1
Objetivos
Parte 2: Questões para Reflexão
Histórico/Cenário
Neste cenário, os dispositivos em uma rede local têm permissão de acesso remoto em outra rede LOCAL
usando o protocolo Telnet. Além do ICMP, todo o tráfego de outras redes é negado.

Configure, aplique e verifique uma ACL para satisfazer a seguinte política:
• O tráfego Telnet de dispositivos na rede 10.101.117.32/28 é permitido para dispositivos nas redes
10.101.117.0/27.
© 2014 © 2011 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 1 de 3
Packet Tracer - Configuração de ACLs estendidas - Instruções para o cenário 2
• O tráfego ICMP é permitido de qualquer origem para qualquer destino

• Todo o tráfego restante para 10.101.117.0/27 é bloqueado.
Etapa 1: Configure a ACL estendida.

a. No modo de configuração apropriado em RTA, use o último número da lista de acesso estendida válido
para configurar a ACL. Use os seguintes procedimentos para criar a primeira instrução da ACL:
1) O último número da lista estendida é 199.
2) O protocolo é o TCP.
3) A rede origem é 10.101.117.32.
4) A máscara curinga pode ser determinada pela subtração 255.255.255.240 de 255.255.255.255.
5) A rede destino é 10.101.117.0.
6) A máscara curinga pode ser determinada pela subtração 255.255.255.224 de 255.255.255.255.
7) O protocolo é Telnet.
Qual é a primeira instrução da ACL?
access-list 199 permit tcp 10.101.117.32 0.0.0.15 10.101.117.0 0.0.0.31 eq
telnet.
b. O ICMP é permitido, e uma segunda instrução da ACL é necessária. Use o mesmo número da lista de
acesso para permitir todo o tráfego ICMP, independentemente da origem ou do endereço destino. Qual
é a segunda instrução da ACL? (Dica: use quaisquer palavras-chave)
access-list 199 permit icmp any any
c. Todo o tráfego IP restante é negado, por padrão.
Etapa 2: Aplique a ACL estendida.

A regra geral é colocar as ACLs estendidas próximo à origem. No entanto, como a lista de acesso 199 afeta
o tráfego proveniente das redes 10.101.117.48/29 e 10.101.117.32/28, o melhor local para aplicar essa ACL
pode ser na saída da interface Gigabit Ethernet 0/2 da interface. Qual é o comando para aplicar a ACL 199 à
interface Gigabit Ethernet 0/2?

a. Execute ping do PCB para todos os outros endereços IP na rede. Se os pings não tiverem êxito,
verifique os endereços IP antes de continuar.
b. Execute Telnet de PCB para SWC. A senha é cisco.
c. Saia do serviço Telnet do SWC.
d. Execute ping do PCA para todos os outros endereços IP na rede. Se os pings não tiverem êxito,
verifique os endereços IP antes de continuar.
e. Execute Telnet de PCA para SWC. A lista de acesso faz com que o roteador rejeite a conexão.
f. Execute Telnet de PCA para SWB. A lista de acesso é colocada em G0/2 e não afeta essa conexão.
g. Depois de fazer o login em SWB, não faça o logoff. Faça Telnet para SWC.
Packet Tracer - Configuração de ACLs estendidas - Instruções para o cenário 2
Parte 2: Perguntas para reflexão

1. Como o PCA ignorou a lista de acesso 199 e realizou o Telnet para SWC? Duas etapas foram usadas:
primeiro, PCA usou Telnet para acessar SWB. Do SWB, o Telnet foi permitido para SWC.
2. Que poderia ter sido feito para evitar que o PCA alcançasse o SWC indiretamente, permitindo o acesso
Telnet do PCB ao SWC? A lista de acesso 199 devia ter sido escrita para negar o tráfego Telnet da rede
10.101.117.48 /29 e permitir ICMP. Ela deveria ter sido colocada em G0/0 de RTA. Deve ser colocado em
G0/0 de RTA.
Pontuação Sugerida
Etapa da Pontos Pontos

Seção das Atividades Pergunta Possíveis Obtidos
Parte 1: Configurar, aplicar e Etapa 1a 4

verificar uma ACL estendida
numerada Etapa 1b 4
Etapa 2 4
Total da parte 1 12
Parte 2: Questões para Pergunta 1 4
Reflexão
Pergunta 2 4
Total da parte 2 8
Pontuação do Packet Tracer 80
Pontuação total 100
Packet Tracer - Configuração de ACLs Estendidas - Cenário 3
instrutor.
Topologia
RT1 G0/0 172.31.1.126 255.255.255.224 N/D

S0/0/0 209.165.1.2 255.255.255.252 N/D
PC1 NIC 172.31.1.101 255.255.255.224 172.31.1.126
PC2 NIC 172.31.1.102 255.255.255.224 172.31.1.126
PC3 NIC 172.31.1.103 255.255.255.224 172.31.1.126
Servidor1 NIC 64.101.255.254 255.254.0.0 64.100.1.1
Servidor2 NIC 64.103.255.254 255.254.0.0 64.102.1.1
Objetivos
Parte 1: Configurar uma ACL estendida nomeada
Parte 2: Aplicar e verificar a ACL estendida
Histórico/Cenário
Neste cenário, os dispositivos específicos na LAN são permitidos a vários serviços nos servidores
localizados na Internet.
Parte 1: Configurar uma ACL estendida nomeada

Use uma ACL nomeada para implementar a seguinte política:
• Bloqueie o acesso HTTP e HTTPS do PC1 a Servidor1 e a Servidor2. Os servidores estão dentro
da nuvem e você sabe apenas os endereços IP deles.
Packet Tracer - Configuração de ACLs estendidas - Cenário 3
• Bloqueie o acesso ao FTP de PC2 para Servidor1 e Servidor2.

• Bloqueie o acesso ao ICMP de PC3 para Servidor1 e Servidor2.
Observação: para fins de pontuação, você deverá configurar as instruções na ordem especificada nas
seguintes etapas.
Etapa 1: Negue o acesso de PC1 aos serviços de HTTP e HTTPS em Servidor1 e Servidor2.
a. Crie uma lista de acesso IP estendida chamada ACL que negará o acesso de PC1 aos serviços de HTTP
e HTTPS de Servidor1 e Servidor2. Por ser impossível observar diretamente a sub-rede de servidores
na Internet, quatro regras são necessárias.
Qual é o comando para iniciar a ACL nomeada?
ip access-list extended ACL
b. Registre a instrução que nega o acesso de PC1 a Servidor1, somente para HTTP (porta 80).
deny tcp host 172.31.1.101 host 64.101.255.254 eq 80
c. Registre a instrução que nega o acesso de PC1 a Servidor1, somente para HTTPS (porta 443).
d. Registre a instrução que nega o acesso de PC1 a Servidor2, somente para HTTP.
deny tcp host 172.31.1.101 host 64,103.255.254 eq 80
e. Registre a instrução que nega o acesso de PC1 a Servidor2, somente para HTTP.
Etapa 2: Negue o acesso de PC2 aos serviços de FTP em Servidor1 e Servidor2.

a. Registre a instrução que nega o acesso de PC2 a Servidor1, somente para FTP (porta 21 somente).
b. Registre a instrução que nega o acesso de PC2 a Servidor2, somente para FTP (porta 21 somente).
Etapa 3: Negue a PC3 a execução de ping de Servidor1 e Servidor2.

a. Registre a instrução que nega o acesso de ICMP de PC3 a Servidor1.
deny icmp host 172.31.1.103 host 64.101.255.254
b. Registre a instrução que nega o acesso de ICMP de PC3 a Servidor2.
deny icmp host 172.31.1.103 host 64.103.255.254
Etapa 4: Permita todo o tráfego IP restante.

Por padrão, uma lista de acesso nega todo tráfego que não corresponder a nenhuma regra na lista. Qual
comando permite todo o tráfego restante?
permit ip any any
Parte 2: Aplicar e verificar a ACL estendida

O tráfego a ser filtrado virá da rede 172.31.1.96/27 e é destinado para redes remotas. A colocação correta da
ACL também depende da relação do tráfego em relação a RT1.
Packet Tracer - Configuração de ACLs estendidas - Cenário 3
Etapa 1: Aplique a ACL à interface e à direção corretas.

a. Quais são os comandos necessários para aplicar a ACL à interface correta e na direção correta?
interface g0/0
ip access-group ACL in
Etapa 2: Teste o acesso para cada PC.

a. Acesse os sites de Servidor1 e Servidor2 usando o Navegador da Web de PC1 e usando ambos os
protocolos HTTP e HTTPS.
b. Acesse o FTP de Servidor1 e Servidor2 usando PC1. Nome de usuário e senha: “cisco”.
c. Execute o ping de Servidor1 e Servidor2 de PC1.
d. Repita o Passo 2a e o Passo 2c usando o PC2 e PC3, para verificar a operação da lista de acesso.
Packet Tracer - Configuração de ACLs do IPv6 (Versão do instrutor)
instrutor.
Topologia
Dispositivo Interface Endereço IPv6/Prefixo Gateway Padrão
Servidor3 NIC 2001:DB8:1:30::30/64 FE80::30
Objetivos
Parte 1: Configurar, aplicar e verificar uma ACL IPv6
Parte 2: Configurar, aplicar e verificar uma segunda ACL IPv6
Parte 1: Configurar, aplicar e verificar uma ACL IPv6

Os registros indicam que um computador na rede 2001:DB8:1:11::0/64 está repetidamente atualizando sua
página da Web, o que causa um ataque de negação de serviço (DoS) contra Servidor3. Até que o cliente
possa ser identificado e limpo, você deve bloquear o acesso HTTP e HTTPS para essa rede com uma lista
de acesso.
Etapa 1: Configure uma ACL que bloqueará o acesso HTTP e HTTPS.

Configure uma ACL chamada BLOCK_ICMP em R1 com as instruções a seguir:
a. Impeça o tráfego HTTP e HTTPS de acessar Servidor3.
R1(config)# deny tcp any host 2001:DB8:1:30::30 eq www
R1(config)# deny tcp any host 2001:DB8:1:30::30 eq 443
Packet Tracer - Configuração de ACLs do IPv6
b. Permita que qualquer outro tráfego IPv6 passe.

R1(config)# permit ipv6 any any
Etapa 2: Aplique a ACL à interface correta.

Aplique a ACL à interface mais próxima da origem do tráfego a ser bloqueado.
R1(config)# interface GigabitEthernet0/1
R1(config-if)# ipv6 traffic-filter BLOCK_HTTP in

Verifique se a ACL está operando como pretendido realizando os testes a seguir:
• Abra o navegador da Web do PC1 em http://2001:DB8:1:30::30 ou https://2001:DB8:1:30::30. O site
web deve aparecer.
• Abra o navegador da Web do PC2 em http://2001:DB8:1:30::30 ou https://2001:DB8:1:30::30. O site
web deve ser bloqueado
• Faça ping de PC2 em 2001:DB8:1:30::30. O ping deve obter êxito.
Parte 2: Configurar, aplicar e verificar uma segunda ACL IPv6

Os registros indicam que agora o servidor está recebendo ping de muitos endereços IPv6 diferentes em um
ataque de negação de serviço distribuído (DDoS). Você deve filtrar solicitações de ping do ICMP para seu
servidor.
Etapa 1: Crie uma lista de acesso para bloquear o ICMP.

Configure uma ACL nomeada BLOCK_ICMP em R3 com as instruções a seguir:
a. Bloqueie todo tráfego ICMP de todos os hosts para qualquer destino.
R3(config)# deny icmp any any
b. Permita que qualquer outro tráfego IPv6 passe.
R3(config)# permit ipv6 any any
Etapa 2: Aplique a ACL à interface correta.

Nesse caso, o tráfego ICMP pode ter qualquer origem. Para garantir que o tráfego ICMP está bloqueado
independentemente da sua origem ou alterações que acontecem na topologia de rede, aplique a ACL mais
próxima do destino.
R3(config-if)# ipv6 traffic-filter BLOCK_ICMP out
Etapa 3: Verifique se a lista de acesso apropriada funciona.

a. Faça ping de PC2 em 2001:DB8:1:30::30. O ping falhará.
b. Faça ping de PC1 em 2001:DB8:1:30::30. O ping falhará.
Abra o navegador da Web do PC1 em http://2001:DB8:1:30::30 ou https://2001:DB8:1:30::30. O site
web deve exibir.
Packet Tracer – Solução de problemas de ACLs IPv4 (Versão do
instrutor)
instrutor.
Topologia
G0/0 10.0.0.1 255.0.0.0 N/D

R1 G0/1 172.16.0.1 255.255.0.0 N/D
G0/2 192.168.0.1 255.255.255.0 N/D
Servidor1 NIC 172.16.255.254 255.255.0.0 172.16.0.1
Servidor NIC 192.168.0.254 255.255.255.0 192.168.0.1
Servidor3 NIC 10.255.255.254 255.0.0.0 10.0.0.1
L1 NIC 172.16.0.2 255.255.0.0 172.16.0.1
L2 NIC 192.168.0.2 255.255.255.0 192.168.0.1
L3 NIC 10.0.0.2 255.0.0.0 10.0.0.1
Packet Tracer – Solução de problemas de ACLs IPv4
Objetivos
Parte 1: Identificar e solucionar os problemas da ACL Problema 1
Cenário
Essa rede tem como objetivo ter as seguintes três políticas implementadas:
• Os hosts da rede 192.168.0.0/24 não podem acessar nenhum serviço TCP do Servidor 3.
• Hosts da rede 10.0.0.0/8 não podem acessar qualquer serviço HTTP de Servidor1.
• Hosts da rede 172.16.0.0/16 não podem acessar qualquer serviço FTP de Servidor2.
Observação: todos os nomes de usuários e senhas de FTP são “cisco”.
Não deve haver outras restrições. Infelizmente, as regras que foram implementadas não estão funcionando
corretamente. Sua tarefa é localizar e corrigir os erros relacionados às listas de acesso em R1.
Parte 1: Identificação e solução de problemas de ACL1

Os hosts da rede 192.168.0.0/24 não podem acessar nenhum serviço TCP de Servidor3, mas não devem
ser restritos de nenhuma outra forma.
Etapa 1: Determine o problema da ACL.

Ao executar as tarefas a seguir, compare os resultados ao que você espera da ACL.
a. Usando L2, tente acessar serviços de FTP e HTTP de Servidor1, Servidor2 e Servidor3.
b. Usando L2, execute ping para Servidor1, Servidor2 e Servidor3.
c. Usando L2, execute ping para G0/2 de R1.
d. Examine a configuração atual em R1. Examine a lista de acesso 192_to_10 e sua colocação nas
interfaces. A lista de acesso está na interface correta e na direção correta? Há alguma instrução na lista
que permita ou negue o tráfego para outras redes? As instruções estão na ordem correta?
e. Realize outros testes, conforme necessário.
Etapa 2: Implementar uma solução.

Ajuste a lista de acesso 192_to_10 para corrigir o problema.
Etapa 3: Verifique se o problema foi resolvido e documente a solução.

Se o problema foi resolvido, documente a solução: se não, retorne à Etapa 1.
_______________________________________________________________________________________
_______________________________________________________________________________________
Nenhum tráfego está ocorrendo devido ao deny any implícito. Um permit ip any any foi adicionado à ACL
Parte 2: Identificação e solução de problemas de ACL 2

Os hosts da rede 10.0.0.0/8 não podem acessar o serviço HTTP de Servidor1, mas não devem ser restritos
de nenhuma outra forma.

c. Examine a configuração atual em R1. Examine a lista de acesso 10_to_172 e sua colocação nas
d. Realize outros testes, conforme necessário.


Se o problema foi resolvido, documente a solução; se não, retorne à Etapa 1.
_______________________________________________________________________________________
_______________________________________________________________________________________
A ACL foi aplicada na saída de G0/0. Removida como saída e aplicada como entrada em G0/0.
Parte 3: Identificação e solução de problemas de ACL 3

Os hosts da rede 172.16.0.0/16 não podem acessar o serviço FTP de Servidor2, mas não devem ser
restritos de nenhuma outra forma.

Ao executar as tarefas a seguir, compare os resultados às expectativas da ACL.
c. Examine a configuração atual em R1. Examine a lista de acesso 172_to_192 e sua colocação nas
interfaces. A lista de acesso está na porta correta e na direção correta? Há alguma instrução na lista que
permita ou negue o tráfego para outras redes? As instruções estão na ordem correta?


_______________________________________________________________________________________
_______________________________________________________________________________________
Todo o tráfego é permitido, pois a ordem das instruções está errada. Reorganize as instruções para que
permit ip any any seja a segunda instrução
Pontos Pontos
Etapa da pergunta Possíveis Obtidos
Pontuação da
10
documentação
Pontuação do
90
Packet Tracer
Pontuação Total 100
Packet Tracer – Identificação e solução de problemas de ACLs
IPv6 (Versão do instrutor)
instrutor.
Topologia
Dispositivo Interface Endereço/Prefixo IPv6 Gateway Padrão
G0/0 2001:DB8:CAFE::1/64 N/D

R1 G0/1 2001:DB8:CAFE:1::1/64 N/D
G0/2 2001:DB8:CAFE:2::1/64 N/D
PC0 NIC 2001:DB8:CAFE::2/64 FE80::1
Servidor1 NIC 2001:DB8:CAFE:1::2/64 FE80::1
Servidor2 NIC 2001:DB8:CAFE:2::2/64 FE80::1
L0 NIC 2001:DB8:CAFE::3/64 FE80::1
L1 NIC 2001:DB8:CAFE:1::3/64 FE80::1
L2 NIC 2001:DB8:CAFE:2::3/64 FE80::1
Objetivos
Parte 1: Solucionar problemas de acesso HTTP
Parte 2: Solucionar problemas de acesso ao FTP
Parte 3: Solucionar problemas de acesso ao SSH
Packet Tracer: Como solucionar problemas de ACLs do IPv6
Cenário
As seguintes três políticas foram implementadas na rede:
• Hosts da rede 2001:DB8:CAFÉ::/64 não têm acesso HTTP a outras redes.
• Hosts da rede 2001:DB8:CAFÉ:1::/64 são impedidos de acessar o serviço FTP no Servidor2.
• Hosts das redes 2001:DB8:CAFE:1::/64 e 2001:DB8:CAFE:2::/64 são impedidos de acessar R1 via SSH.
Não deve haver outras restrições. Infelizmente, as regras que foram implementadas não estão funcionando
corretamente. Sua tarefa é localizar e corrigir os erros relacionados às listas de acesso em R1.
Observação: Para acessar R1 e os servidores FTP, use o nome de usuário user01 e a senha user01pass.
Parte 1: Solucionar problemas de acesso HTTP

Os hosts da rede 2001:DB8:CAFE::/64 são intencionalmente impedidos de acessar o serviço HTTP, mas não
devem ser restringidos de nenhuma outra forma.

a. Usando L0, L1 e L2, tente acessar os serviços HTTP do Servidor1 e do Servidor2.
b. Usando L0, pingue o Servidor1 e o Servidor2.
c. Usando PC0, acesse os serviços HTTPS do Servidor1 e do Servidor2.
d. Examine a configuração atual em R1. Examine a lista de acesso G0-ACCESS e seu posicionamento nas
e. Realize outros testes, conforme necessário.

Faça ajustes para acessar as listas para corrigir o problema.
R1(config)# ipv6 access-list G0-ACCESS
R1(config-ipv6-acl)# permit ipv6 any any

Nenhum tráfego está ocorrendo devido ao deny any implícito. Acrescente um permit ipv6 any any ao
G0-ACCESS.
Parte 2: Solucionar problemas de acesso ao FTP

Os hosts da rede 2001:DB8:CAFE:1::/64 são impedidos de acessar o serviço FTP do Servidor2, mas não
deve existir nenhuma outra restrição.

Ao executar as tarefas a seguir, compare os resultados às expectativas da ACL.
a. Usando L0, L1 e L2, tente acessar o serviço FTP do Servidor2.
PC> ftp 2001:db8:cafe:2::2
b. Examine a configuração atual em R1. Examine a lista de acesso G1-ACCESS e seu posicionamento nas
interfaces. A lista de acesso está na porta correta e na direção correta? Há alguma instrução na lista que
permita ou negue o tráfego para outras redes? As instruções estão na ordem correta?
c. Realize outros testes, conforme necessário.

R1(config-if)# no ipv6 traffic-filter G1-ACCESS out
R1(config-if)# ipv6 traffic-filter G1-ACCESS in

G1-ACCESS foi aplicada na saída de G0/1. Removida como saída e aplicada como entrada em G0/1.
Parte 3: Solucionar problemas de acesso ao SSH

Apenas os hosts da rede 2001:DB8:CAFE::/64 têm permissão de acesso remoto a R1 via SSH.

a. De L0 ou PC0, verifique o acesso de SSH a R1.
b. Usando L1 e L2, tente acessar R1 via SSH.
c. Examine a configuração atual em R1. Examine as listas de acesso e seus posicionamentos nas

R1(config)# no ipv6 access-list G2-ACCESS
R1(config)# ipv6 access-list G2-ACCESS
R1(config-ipv6-acl)# deny tcp 2001:DB8:CAFE:2::/64 any eq 22
R1(config-ipv6-acl)# permit ipv6 any any

Se o problema foi resolvido, documente a solução: se não, retorne à Etapa 1.
A lista de acesso G2-ACCESS permite todo o tráfego porque a ordem das instruções está errada.
Reorganize as instruções para que permit ipv6 any any seja a segunda instrução
Rubrica de pontuação sugerida
Pontos Pontos
Etapa da pergunta Possíveis Obtidos
Pontuação da
10
documentação
Pontuação do
90
Packet Tracer
Script
Configuração do R1
ipv6 access-list G0-ACCESS
permit ipv6 any any
no ipv6 access-list G2-ACCESS
ipv6 access-list G2-ACCESS
deny tcp 2001:DB8:CAFE:2::/64 any eq 22
permit ipv6 any any
no ipv6 traffic-filter G1-ACCESS out
ipv6 traffic-filter G1-ACCESS in
Packet Tracer – Desafio de Integração de Habilidades (Versão do
instrutor)
instrutor.
Topologia
Endereço IP Máscara de sub-rede

Dispositivo Interface Gateway padrão
Endereço/Prefixo IPv6
G0/0 172.16.127.254 255.255.192.0 N/D

G0/1 172.16.63.254 255.255.192.0 N/D
Sede
S0/0/0 192.168.0.1 255.255.255.252 N/D
S0/0/1 64.104.34.2 255.255.255.252 64.104.34.1
172.16.159.254 255.255.240.0
G0/0 N/D
2001:DB8:ACAD:B1::1 /64
Filial 172.16.143.254 255.255.240.0
G0/1 N/D
2001:DB8:ACAD:B2::1/64
S0/0/0 192.168.0.2 255.255.255.252 N/D
Sede1 NIC 172.16.64.1 255.255.192.0 172.16.127.254
Sede2 NIC 172.16.0.2 255.255.192.0 172.16.63.254
ServidorSede.pka NIC 172.16.0.1 255.255.192.0 172.16.63.254
172.16.144.1 255.255.240.0 172.16.159.254
B1 NIC
2001:DB8:ACAD:B1::2/64 2001:DB8:ACAD:B1::1
172.16.128.2 255.255.240.0 172.16.143.254
B2 NIC
2001:DB8:ACAD:B2::2/64 2001:DB8:ACAD:B2:1
172.16.128.1 255.255.240.0 172.16.143.254
ServidorFilial.pka NIC
2001:DB8:ACAD:B2::3/64 2001:DB8:ACAD:B2::1
Cenário
Nesta atividade de desafio, você vai completar o esquema de endereçamento, configurar o roteamento e
implementar listas de controle de acesso nomeadas.
Requisitos
a. Divida 172.16.128.0/19 em duas sub-redes iguais para uso na Filial.
1) Atribua o último endereço IPv4 utilizável da segunda sub-rede à interface Gigabit Ethernet 0/0.
2) Atribua o último endereço IPv4 utilizável da primeira subrede à interface Gigabit Ethernet 0/1.
3) Documente o endereçamento IPv4 na Tabela de endereçamento.
4) Configure a Filial com o endereçamento IPv4 adequado.
b. Configure B1 com o endereço IPv4 adequado usando o primeiro endereço disponível da rede à qual ele
está conectado.
1) Atribua 2001:DB8:ACAD:B1::1/64 e 2001:DB8:ACAD:B2::1/64 à Gigabit Ethernet 0/0 e à Gigabit
Ethernet 0/1 dafilial, respectivamente.
c. Configure a Filial com o endereçamento IPv6 adequado.

d. Configure B1 e B2 com os endereços IPv6 adequados usando o primeiro endereço disponível da rede à
qual ele está conectado.
e. Documente o endereçamento na Tabela de Endereçamento.
f. Configure HQ e Filial com roteamento OSPFv2 para IPv4, de acordo com os seguintes critérios:
• Atribua o ID 1 do processo.
• Anuncie todas as redes IPv4 conectadas. Não divulgue o link na Internet.
• Configurar interfaces apropriadas como passivas.
g. Defina uma rota IPv4 padrão no HQ que direcione o tráfego para a interface S0/0/1. Redistribua a rota
para Filial.
h. Crie uma lista de acesso nomeada IPv4 HQServer para impedir que todos os computadores conectados
à interface Gigabit Ethernet 0/0 do roteador da Filial acessem HQServer.pka. Todo o tráfego restante é
permitido. Configurar a lista de acesso no roteador apropriado, e aplique-a à interface apropriada na
direção correta.
i. Crie uma lista de acesso nomeada IPv4 BranchServer para impedir que todos os computadores
conectados à interface Gigabit Ethernet 0/0 do roteador HQ acessem o serviço HTTP e HTTPS do
servidor da Filial. Todo o tráfego restante é permitido. Configurar a lista de acesso no roteador
apropriado, e aplique-a à interface apropriada na direção correta.
j. Crie uma lista de acesso IPv6 nomeada NO-B1 para impedir que qualquer tráfego IPv6 originado em B1
chegue a BranchServer.pka. Nenhum tráfego deve ser permitido de B1 para BranchServer.pka.
Aplique o acesso IPv6 ao local mais adequado (interface e direção).
Configuração da Filial
hostname Branch
!
ip address 172.16.159.254 255.255.240.0
ipv6 address 2001:DB8:ACAD:B1::1/64
ip access-group HQServer in
no shut
!
ip address 172.16.143.254 255.255.240.0
ipv6 traffic-filter NO-B1 out
ipv6 address 2001:DB8:ACAD:B2::1/64
no shut
!
ip address 192.168.0.2 255.255.255.252
no shut
!
router ospf 1
passive-interface GigabitEthernet0/0
network 172.16.128.0 0.0.15.255 area 0
network 172.16.144.0 0.0.15.255 area 0
network 192.168.0.0 0.0.0.3 area 0
!
ip access-list extended HQServer
deny ip any host 172.16.0.1
permit ip any any
ipv6 access-list NO-B1
deny ipv6 host 2001:DB8:ACAD:B1::2 host 2001:DB8:ACAD:B2::3
permit ipv6 any any
Configuração HQ
hostname HQ
!
ip address 172.16.127.254 255.255.192.0
ip access-group BranchServer in
no shut
!
ip address 172.16.63.254 255.255.192.0
no shut
!
ip address 192.168.0.1 255.255.255.252
no shut
!
ip address 64.104.34.2 255.255.255.252
no shut
!
router ospf 1
network 172.16.64.0 0.0.63.255 area 0
network 172.16.0.0 0.0.63.255 area 0
network 192.168.0.0 0.0.0.3 area 0
!
ip route 0.0.0.0 0.0.0.0 Serial0/0/1
!
ip access-list extended BranchServer
deny tcp any host 172.16.128.1 eq www
deny tcp any host 172.16.128.1 eq 443
permit ip any any
Packet Tracer – Desafio de solução de problemas -
Documentação da rede (versão do instrutor)
instrutor.
Topologia
Packet Tracer – Desafio de solução de problemas - Documentação da rede
Máscara de
PC1 NIC 10.2.15.10 255.255.255.0 10.2.15.1

PC2 NIC 10.2.25.10 255.255.255.0 10.2.25.1
PC3 NIC 10.2.35.10 255.255.255.0 10.2.35.1
PC4 NIC 10.3.100.4 255.255.255.0 10.3.100.1
PC5 NIC 10.3.100.5 255.255.255.0 10.3.100.1
PC6 NIC 10.4.1.10 255.255.255.0 10.4.1.1
PC7 NIC 10.5.1.10 255.255.255.0 10.5.1.1
Servidor DNS NIC 10.1.100.2 255.255.255.0 10.1.100.1
R1 S0/0/0 10.1.0.4 255.255.255.248 N/D
R1 G0/0 10.4.1.1 255.255.255.0 N/D
R2 S0/0/0 10.1.0.3 255.255.255.248 N/D
R2 G0/0,100 10.3.100.1 255.255.255.0 N/D
R2 G0/0,105 10.3.105.1 255.255.255.0 N/D
R3 S0/0/0 10.1.0.2 255.255.255.248 N/D
R3 G0/0,5 10.2.5.1 255.255.255.0 N/D
R3 G0/0,15 10.2.15.1 255.255.255.0 N/D
R3 G0/0,25 10.2.25.1 255.255.255.0 N/D
R3 G0/0,35 10.2.35.1 255.255.255.0 N/D
R4 S0/0/0 10.1.0.5 255.255.255.248 N/D
R4 G0/0 10.5.1.1 255.255.255.0 N/D
R5 S0/0/0 10.1.0.1 255.255.255.248 N/D
R5 S0/0/1 209.165.201.2 255.255.255.252 N/D
R5 G0/0 10.1.100.1 255.255.255.0 N/D
S1 Nenhum Nenhum Nenhum Nenhum
S2 VLAN 105 10.3.105.21 255.255.255.0 10.3.105.1
S3 VLAN 105 10.3.105.22 255.255.255.0 10.3.105.1
S4 VLAN 5 10.2.5.21 255.255.255.0 10.2.5.1
S5 VLAN 5 10.2.5.23 255.255.255.0 10.2.5.1
S6 VLAN 5 10.2.5.22 255.255.255.0 10.2.5.1
Objetivos
Parte 1: Testar a conectividade
Parte 2: Descobrir as informações sobre a configuração do computador
Parte 3: Descobrir as informações sobre a configuração do gateway padrão
Parte 4: Descobrir as rotas e os vizinhos na rede
Parte 5: Desenhar a topologia da rede
Histórico/Cenário
Esta atividade aborda as etapas que devem ser seguidas para descobrir uma rede usando basicamente os
comandos Telnet, show cdp neighbors detail e show ip route. Esta é a Parte I de uma atividade de duas
partes. A parte II é Packet Tracer - Desafio de solução de problemas - Uso da documentação para
resolver problemas.
A topologia que você vê ao abrir a atividade do Packet Tracer não revela todos os detalhes da rede. Os
detalhes foram ocultos com a função de cluster do Packet Tracer. A infraestrutura de rede foi recolhida e a
topologia do arquivo mostra apenas os dispositivos finais. Sua tarefa consiste em usar o conhecimento de
redes e descobrir os comandos para conhecer toda a topologia da rede e documentá-la.

O Packet Tracer precisa de um pouco de tempo para convergir a rede. Faça ping entre os PCs e o Servidor
www.cisco.com para verificar a convergência e testar a rede. Todos os PCs devem conseguir fazer ping
entre si, bem como no Servidor. Lembre-se de que pode ser necessário fazer alguns pings antes de eles
serem bem-sucedidos.
Parte 2: Descobrir informações sobre a configuração do PC

Etapa 1: Acesse o prompt de comando do PC1.
Clique em PC1, na guia Desktop e, em seguida, no prompt de comando.
Etapa 2: Determine as informações de endereçamento de PC1.

Para determinar a configuração do endereço IP atual, insira o comando ipconfig /all.
Observação: no Packet Tracer, você deve inserir um espaço entre ipconfig e /all.
Etapa 3: Documente as informações de PC1 na tabela de endereçamento.

PC> ipconfig /all
FastEthernet0 Connection:(default port)

Physical Address................: 0001.97DA.E057
Link-local IPv6 Address.........: FE80::201:97FF:FEDA:E057
IP Address......................: 10.2.15.10
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 10.2.15.1
DNS Servers.....................: 10.1.100.2
DHCP Servers....................: 0.0.0.0
Etapa 4: Repita as etapas 1 a 3 para os computadores 2 a 7.
Parte 3: Descobrir as informações sobre a configuração do gateway

padrão
Etapa 1: Teste a conectividade entre PC1 e seu gateway padrão.
A partir do PC1, faça ping no gateway padrão para verificar se você tem conectividade.
Etapa 2: Faça Telnet para o gateway padrão.

Use o comando ip-address do telnet. O endereço IP é o do gateway padrão. Quando solicitada a senha,
digite cisco.
Etapa 3: Exiba as configurações atuais da interface

a. Use os comandos show ip interface brief e show protocols para determinar as configurações atuais
de interface.
b. Documente as informações da máscara de sub-rede no comando show protocols.
Etapa 4: Documente as configurações de nome do host e de interface do roteador de gateway

PC1 na tabela de endereçamento.
Parte 4: Descobrir as rotas e os vizinhos na rede
Etapa 1: No roteador de gateway de PC1, exiba a tabela de roteamento.

a. Exiba a tabela de roteamento com o comando show ip route. Você deve ver cinco rotas conectadas e
seis rotas aprendidas com EIGRIP; uma delas é uma rota padrão.
b. Além das rotas, registre todas as outras informações úteis fornecidas pela tabela de roteamento para
ajudá-lo a identificar e documentar a rede.
c. Determine se há mais endereços IP nos quais você possa fazer telnet para continuar a descobrir a rede.
Etapa 2: Identifique os dispositivos Cisco diretamente conectados

No roteador do gateway para PC1, use o comando show cdp neighbors detail para descobrir outros
dispositivos Cisco conectados diretamente.
Etapa 3: Documente as informações sobre vizinhos e teste a conectividade.

O comando show cdp neighbors detail lista as informações sobre um vizinho, incluindo seu endereço IP.
Documente o hostname e o endereço IP do vizinho e, em seguida, o endereço IP para testar a conectividade.
Os primeiros dois ou três pings falham enquanto o ARP resolve o endereço MAC.
Etapa 4: Faça Telnet para o vizinho e identifique os dispositivos Cisco diretamente

conectados.
a. Faça telnet para o vizinho e use o comando show cdp neighbors detail para descobrir outros
dispositivos Cisco conectados diretamente.
b. Você deve ver três dispositivos listados desta vez. O roteador do gateway PC1 pode estar listado para
cada subinterface.
Observação: use o comando show interfaces nos switches para determinar as informações de
máscara de sub-rede.
Etapa 5: Documente os nomes de host e os endereços IP dos vizinhos e teste a conectividade.

Documente e faça ping dos novos vizinhos descobertos. Lembre-se, os primeiros dois ou três pings falham
enquanto o ARP resolve endereços MAC.
Etapa 6: Faça Telnet para cada vizinho e procure mais dispositivos Cisco.
Faça telnet para cada um dos novos vizinhos que você descobriu e use o comando show cdp neighbors
detail para verificar todos os dispositivos Cisco adicionais. A senha padrão é cisco.
Etapa 7: Continue descobrindo e documentando a rede.

Saia das sessões Telnet para retornar ao roteador do gateway padrão do PC1. A partir desse roteador, faça
telnet em outros dispositivos na rede para continuar a descobrir e documentar a rede. Lembre-se de usar os
comandos show ip route e show cdp neighbors para descobrir endereços IP que você pode usar para telnet.
Observação: use o comando show interfaces nos switches para determinar as informações de máscara de
sub-rede.
Etapa 8: Repita as etapas 1 a 7, conforme o necessário, para descobrir toda a topologia da

rede.
Parte 5: Desenhar a topologia da rede

Etapa 1: Desenhe uma topologia.
Agora que você descobriu todos os dispositivos de rede e documentou seus endereços, use as informações
da tabela de endereçamento para desenhar uma topologia.
Dica: há uma nuvem de Frame Relay no meio de rede.
Etapa 2: Guarde esta documentação.

a. Mostre seu diagrama de topologia e a tabela de endereçamento ao instrutor para verificação.
b. Seu diagrama de topologia e a tabela de endereçamento são necessários para a Parte II desta atividade.

Parte 5: Desenhar a
Etapa 2-a 100
topologia da rede
Total da parte 5 100
Resposta da topologia
Essa topologia é uma captura de tela da resposta no PKA. Talvez a topologia dos alunos seja bem diferente, mas
as conexões deverão ser todas iguais. Um bom exercício para a turma consiste em pedir aos alunos que
comparem seus diagramas de topologia corretos para verificar os benefícios e as limitações dos diferentes layouts.
Com isso, eles também entenderão que pode haver muitas maneiras excelentes de representar a mesma rede.
Roteador R1
R1#sh run
hostname R1
enable secret class
interface Gig0/0
ip address 10.4.1.1 255.255.255.0
duplex auto
speed auto
interface Gig0/1
no ip address
duplex auto
speed auto
shutdown
ip address 10.1.0.4 255.255.255.248
encapsulation frame-relay
no ip address
shutdown
interface Vlan1
no ip address
shutdown
router eigrp 1
passive-interface Gig0/0
network 10.0.0.0
no auto-summary
ip classless
line con 0
password cisco
Login
line aux 0
line vty 0 4
password cisco
login
end
Roteador R2
R2#sh run
hostname R2
enable secret class
no ip address
duplex auto
speed auto
ip address 10.3.100.1 255.255.255.0
ip address 10.3.105.1 255.255.255.0
no ip address
duplex auto
speed auto
shutdown
ip address 10.1.0.3 255.255.255.248
no ip address
shutdown
interface Vlan1
no ip address
shutdown
router eigrp 1
network 10.0.0.0
no auto-summary
ip classless
line con 0
password cisco
Login
line aux 0
line vty 0 4
password cisco
login
end
Roteador R3
R3#sh run
hostname R3
enable secret class
interface Gig0/0
no ip address
duplex auto
speed auto
interface Gig0/0.5
ip address 10.2.5.1 255.255.255.0
interface Gig0/0.15
ip address 10.2.15.1 255.255.255.0
interface Gig0/0.25
ip address 10.2.25.1 255.255.255.0
interface Gig0/0.35
ip address 10.2.35.1 255.255.255.0
interface Gig0/1
no ip address
duplex auto
speed auto
shutdown
ip address 10.1.0.2 255.255.255.248
no ip address
shutdown
interface Vlan1
no ip address
shutdown
router eigrp 1
network 10.0.0.0
no auto-summary
ip classless
line con 0
password cisco
Login
line aux 0
line vty 0 4
password cisco
login
end
Roteador R4
R4#sh run
hostname R4
enable secret class
interface Gig0/0
ip address 10.5.1.1 255.255.255.0
duplex auto
speed auto
interface Gig0/1
no ip address
duplex auto
speed auto
shutdown
ip address 10.1.0.5 255.255.255.248
no ip address
shutdown
interface Vlan1
no ip address
shutdown
router eigrp 1
network 10.0.0.0
no auto-summary
ip classless
line con 0
password cisco
Login
line aux 0
line vty 0 4
password cisco
login
end
Roteador R5
R5#sh run
hostname R5
enable secret class
interface Gig0/0
ip address 10.1.100.1 255.255.255.0
duplex auto
speed auto
interface Gig0/1
no ip address
duplex auto
speed auto
shutdown
ip address 10.1.0.1 255.255.255.248
ip nat inside
ip address 209.165.201.2 255.255.255.252
ip nat outside
no cdp enable
interface Vlan1
no ip address
shutdown
router eigrp 1
passive-interface Serial0/0/1
network 10.0.0.0
no auto-summary
ip nat pool LAN 209.165.202.128 209.165.202.159 netmask 255.255.255.224
ip nat inside source list 1 pool LAN overload
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0/1
line con 0
password cisco
Login
line aux 0
line vty 0 4
password cisco
login
end
Roteador ISP
ISP#sh run
hostname ISP
interface Gig0/0
ip address 209.165.200.225 255.255.255.252
duplex auto
speed auto
interface Gig0/1
no ip address
duplex auto
speed auto
shutdown
ip address 209.165.201.1 255.255.255.252
clock rate 64000
no ip address
no ip address
no ip address
interface Vlan1
no ip address
shutdown
ip classless
ip route 209.165.202.128 255.255.255.224 Serial0/0/0
no cdp run
line con 0
line aux 0
line vty 0 4
Login
end
Switch S1
S1#sh run
hostname S1
enable secret class
interface Vlan1
no ip address
shutdown
line con 0
password cisco
Login
line vty 0 4
password cisco
Login
line vty 5 15
Login
end
Switch S2
S2#sh run
hostname S2
enable secret class

interface Vlan1
no ip address
shutdown
interface Vlan105
ip address 10.3.105.21 255.255.255.0
line con 0
password cisco
Login
line vty 0 4
password cisco
Login
line vty 5 15
Login
end
Switch S3
S3#sh run
hostname S3
enable secret class
interface Vlan1
no ip address
shutdown
interface Vlan105
ip address 10.3.105.22 255.255.255.0
ip default-gateway 10.3.1.1
line con 0
password cisco
Login
line vty 0 4
password cisco
Login
line vty 5 15
Login
end
Switch S4
S4#sh run
hostname S4
enable secret class
spanning-tree vlan 1,5,15,25,35 priority 4096
interface Vlan1
no ip address
shutdown
interface Vlan5
ip address 10.2.5.21 255.255.255.0

line con 0
password cisco
Login
line vty 0 4
password cisco
Login
line vty 5 15
Login
end
Switch S5
S5#sh run
hostname S5
enable secret class
interface Vlan1
no ip address
shutdown
interface Vlan5
ip address 10.2.5.23 255.255.255.0
line con 0
password cisco
Login
line vty 0 4
password cisco
Login
line vty 5 15
Login
end
Switch S6
S6#sh run
hostname S6
enable secret class
interface Vlan1
no ip address
shutdown
interface Vlan5
ip address 10.2.5.22 255.255.255.0
line con 0
password cisco
Login
line vty 0 4
password cisco
Login
line vty 5 15
Login
end
Switch S7
S7#sh run
hostname S7
enable secret class
interface Vlan1
no ip address
shutdown
line con 0
line vty 0 4
Login
line vty 5 15
Login
end
Packet Tracer – Identificação e solução de problemas de redes
corporativas 1 (versão do instrutor)
Topologia
Packet Tracer – Identificação e solução de problemas de redes corporativas 1
S0/0/0 10.1.1.1 255.255.255.252 N/D

R1
S0/0/1 10.3.3.1 255.255.255.252 N/D
G0/0 192.168.40.1 255.255.255.0 N/D
G0/1 atribuído por DHCP atribuído por DHCP N/D
R2
S0/0/0 10.1.1.2 255.255.255.252 N/D
S0/0/1 10.2.2.1 255.255.255.252 N/D
G0/0,10 192.168.10.1 255.255.255.0 N/D
G0/0,20 192.168.20.1 255.255.255.0 N/D
G0/0,30 192.168.30.1 255.255.255.0 N/D
R3
G0/0,88 192.168.88.1 255.255.255.0 N/D
S0/0/0 10.3.3.2 255.255.255.252 N/D
S0/0/1 10.2.2.2 255.255.255.252 N/D
S1 VLAN 88 192.168.88.2 255.255.255.0 192.168.88.1
S2 VLAN 88 192.168.88.3 255.255.255.0 192.168.88.1
S3 VLAN 88 192.168.88.4 255.255.255.0 192.168.88.1
PC1 NIC atribuído por DHCP atribuído por DHCP atribuído por DHCP
Servidor TFTP NIC 192.168.40.254 255.255.255.0 192.168.40.1
Histórico
Esta atividade usa uma variedade de tecnologias encontradas durante seus estudos do CCNA, incluindo VLANs,
STP, roteamento, roteamento entre VLANs, DHCP, NAT, PPP e Frame Relay. Sua tarefa é rever os requisitos,
isolar e resolver todos os problemas e, em seguida, documentar as etapas executadas para verificar os requisitos.
Requisitos
VLANs e acesso
• S2 é a raiz do spanning tree para a VLAN 1, 10 e 20. S3 é a raiz do spanning tree para a VLAN 30 e 88.
• Os links de tronco que conectam os switches estão na VLAN 99 nativa.
• R3 é responsável pelo roteamento entre VLANs e serve como o Servidor DHCP para VLANs 10, 20 e 30.
Roteamento
• Cada roteador é configurado com EIGRP e usa AS 22.
• R2 é configurado com uma rota padrão que aponta para o ISP e redistribui a rota padrão.
• NAT é configurado em R2 e nenhum endereço não traduzido tem permissão para atravessar a Internet.
Tecnologias de WAN
• O link serial entre R1 e R2 usa Frame Relay.
• O link serial entre R2 e R3 usa encapsulamento HDLC.
• O link serial entre R1 e R3 usa PPP com CHAP.
Conectividade
• Os dispositivos devem ser configurados de acordo com a Tabela de endereçamento.
• Cada dispositivo deve conseguir fazer ping em todos os outros dispositivos.
Documentação sobre solução de problemas
Dispositivo Problema Solução
R1 R1 e R2 não formam uma adjacência interface Serial0/0/0

R1 O nome de usuário e as senhas estão username R3 password 0 ciscoccna
incorretos
R2 O TFTP Server não pode executar ping interface g0/0
no host externo (External Host) no ip nat outside
ip nat inside
interface g0/1
ip nat outside
R2 A rota padrão está apontando para a no ip route 0.0.0.0 0.0.0.0 g0/0
interface incorreta ip route 0.0.0.0 0.0.0.0 g0/1
S1 Incompatibilidade de VLAN nativa faixa de interface fa0/1-4
S2 Esse switch não é a ponte raiz das spanning-tree vlan 1,10,20 root
VLANs 1, 10 e 20 primary
S3 Os computadores não recebem um interface g0/1
endereço DHCP switchport mode trunk
Documentação da verificação
Capture a saída dos comandos de verificação e forneça a documentação que mostra que cada um dos requisitos
foi atendido.
Observação para o instrutor: a chave de resposta para esta seção foi deixada em branco porque há muitas
maneiras de verificar os requisitos.
O Packet Tracer marca 60 pontos. A documentação da identificação e solução de problemas e a verificação do
instrutor valem 40 pontos.
Topologia
Dispositivo Interface Endereço IPv6/Prefixo Gateway Padrão
G0/0 2001:DB8:ACAD:A::1/64 N/D

R1 S0/0/0 2001:DB8:ACAD:12::1/64 N/D
S0/0/1 2001:DB8:ACAD:31::1/64 N/D
G0/0 2001:DB8:CC1E:A::1/64 N/D
G0/1 2001:DB8:ACAD:F::2/64 N/D
R2
S0/0/0 2001:DB8:ACAD:12::2/64 N/D
S0/0/1 2001:DB8:ACAD:23::2/64 N/D
G0/0 2001:DB8:CAFE:2::1/64 N/D
G0/1 2001:DB8:CAFE:3::1/64 N/D
R3
S0/0/0 2001:DB8:ACAD:31::2/64 N/D
S0/0/1 2001:DB8:ACAD:23::1/64 N/D
Admin_PC1 NIC 2001:DB8:CAFE:2::2/64 FE80::3
Admin_PC2 NIC 2001:DB8:CAFE:3::2/64 FE80::3
Host_A NIC atribuído por DHCP atribuído por DHCP
Host_B NIC atribuído por DHCP atribuído por DHCP
Servidor TFTP NIC 2001:DB8:CC1E:A::2/64 FE80::2
Host externo NIC 2001:DB8:CC1E:F::1/64 FE80::4
Histórico
Essa atividade usa as configurações de IPv6 que incluem roteamento padrão do DHCPv6, EIGRPv6 e IPv6. Sua
tarefa é rever os requisitos, isolar e resolver todos os problemas e, em seguida, documentar as etapas
executadas para verificar os requisitos.
Requisitos
DHCPv6
• Host_A e Host_B são atribuídos por meio do DHCP IPv6 configurado em R1.
Roteamento IPv6
• Cada roteador é configurado com EIGRP IPv6 e usa AS 100.
• R3 está anunciando uma rota de sumarização para R2 e R1 para as duas LANs de R3.
• R2 é configurado com uma rota padrão totalmente especificada que aponta para o ISP.
Conectividade
R1 Host_A e Host_B não recebem interface g0/0

endereçamento de R1, pois o pool ipv6 dhcp server R1_LAN
DHCPv6 de IPv6 não foi atribuído na
interface G0/0.
R1 A interface serial0/0/1 foi configurada int s0/0/1
com o endereço IPv6 errado. no ipv6 address 2001:DB8:ACAD:32::1/64
ipv6 address 2001:DB8:ACAD:31::1/64
R1 S3 está conectado à interface de R1 Switch the cable in the topology from

errada. G0/1 to G0/0
R2 O endereço do próximo salto da rota no ipv6 route ::/0 GigabitEthernet0/0

padrão está configurado 2001:DB8:ACAD:F::
incorretamente. ipv6 route ::/0 GigabitEthernet0/1
2001:DB8:ACAD:F::1
R2 IPv6 EIGRP foi configurado com o int g0/0
sistema autônomo incorreto. no ipv6 eigrp 1000
ipv6 eigrp 100
R3 IPv6 EIGRP 100 está desligado. ipv6 router eigrp 100
no shutdown
R3 O endereço de sumarização EIGRP foi int s0/0/0
anunciado incorretamente em no ipv6 summary-address eigrp 100
serial0/0/1. 2001:DB8:CAFE::/65 5
ipv6 summary-address eigrp 100
2001:DB8:CAFÉ:2::/63 5
int s0/0/1
no ipv6 summary-address eigrp 100
2001:DB8:CAFE::/65 5
ipv6 summary-address eigrp 100
2001:DB8:CAFE:2::/63 5
foi atendido.
Observação: alguns comandos do EIGRPv6 não são pontuados no Packet Tracer v6.0.1. Seu instrutor irá
verificar se todos os requisitos foram atendidos.
maneiras de verificar os requisitos. Para fins de classificação, observe que as rotas de sumarização EIGRPv6 não
estão classificadas no Packet Tracer. Além disso, não há classificação no Packet Tracer para o endereço do próximo
salto na rota padrão IPv6 totalmente especificada. Verifique o arquivo do aluno para verificar as configurações.
Rubrica de pontuação sugerida

Topologia
G0/0 192.168.10.1 255.255.255.0 N/D

R1 S0/0/0 10.1.1.1 255.255.255.252 N/D
S0/0/1 10.3.3.1 255.255.255.252 N/D
G0/0 209.165.200.225 255.255.255.224 N/D
G0/1 192.168.20.1 255.255.255.0 N/D
R2
S0/0/0 10.1.1.2 255.255.255.252 N/D
S0/0/1 10.2.2.1 255.255.255.252 N/D
G0/1 192.168.30.1 255.255.255.0 NN/D
R3 S0/0/0 10.3.3.2 255.255.255.252 N/D
S0/0/1 10.2.2.2 255.255.255.252 N/D
S1 VLAN10 atribuído por DHCP atribuído por DHCP atribuído por DHCP
S2 VLAN11 192.168.11.2 255.255.255.0 N/D
S3 VLAN30 192.168.30.2 255.255.255.0 N/D
PC2 NIC 192.168.30.10 255.255.255.0 192.168.30.1
Servidor TFTP NIC 192.168.20.254 255.255.255.0 192.168.20.1
Histórico
Essa atividade usa uma variedade de tecnologias encontradas durante seus estudos do CCNA, incluindo
roteamento, segurança de porta, EtherChannel, DHCP, NAT, PPP e Frame Relay. Sua tarefa é rever os requisitos,
isolar e resolver todos os problemas e, em seguida, documentar as etapas executadas para verificar os requisitos.
Observação: essa atividade começa com uma pontuação parcial.
Requisitos
DHCP
• R1 é o Servidor DHCP para a LAN R1.
Tecnologias de comutação
• A segurança de porta está configurada para permitir apenas que o PC1 acesse a interface F0/3 do S1.
Todas as violações devem desativar a interface.
• A agregação de links usando EtherChannel está configurada em S2, S3 e S4.
Roteamento
• Todos os roteadores são configurados com a identificação 1 do processo de OSPF e nenhuma
atualização de roteamento deve ser enviada pelas interfaces que não têm roteadores conectados.
• R2 é configurado com uma rota padrão que aponta para o ISP e redistribui a rota padrão.
• NAT é configurado em R2 e nenhum endereço não traduzido tem permissão para atravessar a Internet.
Tecnologias de WAN
• O link serial entre R1 e R2 usa Frame Relay.
• O link serial entre R2 e R3 usa encapsulamento HDLC.
• O link serial entre R1 e R3 usa PPP com PAP.
Conectividade
Há um gateway padrão incorreto no ip dhcp pool Access

R1 pool DHCP default-router 192.168.10.1
A propagação de rota padrão não deve router ospf 1

R1 ser configurada nesse roteador no default-information originate
A propagação de rota padrão deve ser router ospf 1

R2 configurada nesse roteador default-information originate
Encapsulamento incorreto em interface s0/0/1

R2 serial0/0/1 encapsulation hdlc
router ospf 1
no passive-interface default
R3 não forma uma adjacência com R1 e passive-interface g0/1
R3 R2
switchport port-security
A segurança de porta foi configurada na switchport port-security mac-address
S1 interface incorreta sticky
A interface física do switch da interface
G1/1 não está configurada como uma interface g1/1
S3 porta de tronco switchport mode trunk
interface range f0/1-2
no channel-group 3 mode auto
channel-group 2 mode auto
interface range f0/3-4

Configuração incorreta dos canais de no channel-group 2 mode auto
S4 porta channel-group 3 mode auto
foi atendido.
maneiras de verificar os requisitos.
Packet Tracer – Desafio de identificação e solução de problemas -
Uso da documentação para solucionar problemas (versão do
instrutor)
instrutor.
Topologia
Packet Tracer – Desafio de identificação e solução de problemas - Uso da documentação para solucionar problemas
Máscara de
PC1 NIC 10.2.15.10 255.255.255.0 10.2.15.1

PC2 NIC 10.2.25.10 255.255.255.0 10.2.25.1
PC3 NIC 10.2.35.10 255.255.255.0 10.2.35.1
PC4 NIC 10.3.100.4 255.255.255.0 10.3.100.1
PC5 NIC 10.3.100.5 255.255.255.0 10.3.100.1
PC6 NIC 10.4.1.10 255.255.255.0 10.4.1.1
PC7 NIC 10.5.1.10 255.255.255.0 10.5.1.1
Servidor DNS NIC 10.1.100.2 255.255.255.0 10.1.100.1
S0/0/0 10.1.0.4 255.255.255.248 N/D
R1
G0/0 10.4.1.1 255.255.255.0 N/D
S0/0/0 10.1.0.3 255.255.255.248 N/D
R2 G0/0,100 10.3.100.1 255.255.255.0 N/D
G0/0,105 10.3.105.1 255.255.255.0 N/D
S0/0/0 10.1.0.2 255.255.255.248 N/D
G0/0,5 10.2.5.1 255.255.255.0 N/D
R3 G0/0,15 10.2.15.1 255.255.255.0 N/D
G0/0,25 10.2.25.1 255.255.255.0 N/D
G0/0,35 10.2.35.1 255.255.255.0 N/D
S0/0/0 10.1.0.5 255.255.255.248 N/D
R4
G0/0 10.5.1.1 255.255.255.0 N/D
S0/0/0 10.1.0.1 255.255.255.248 N/D
R5 S0/0/1 209.165.201.2 255.255.255.252 N/D
G0/0 10.1.100.1 255.255.255.0 N/D
S2 VLAN 105 10.3.105.21 255.255.255.0 10.3.105.1
S3 VLAN 105 10.3.105.22 255.255.255.0 10.3.105.1
S4 VLAN 5 10.2.5.21 255.255.255.0 10.2.5.1
S5 VLAN 5 10.2.5.23 255.255.255.0 10.2.5.1
S6 VLAN 5 10.2.5.22 255.255.255.0 10.2.5.1
Objetivos
Parte 1: Reunir documentação
Parte 2: Testar conectividade
Parte 3: Reunir dados e soluções de implementação
Parte 4: Testar conectividade
Cenário
Esta é a Parte II de uma atividade de duas partes. A Parte I é Packet Tracer - Desafio de identificação e
solução de problemas - Documentação da rede, que deve ser concluída antes deste capítulo. Na Parte II,
você usará suas habilidades e a documentação de identificação e solução de problemas da Parte I para
solucionar problemas de conectividade entre os computadores.
Parte 1: Coletar a documentação

Etapa 1: Recupere a documentação de rede.
Para concluir com êxito essa atividade, você precisará de sua documentação da atividade do Packet Tracer
- Desafio de identificação e solução de problemas - Documentação da rede concluída antes deste
capítulo. Localize essa documentação agora.
Etapa 2: Requisitos da documentação.

A documentação concluída na atividade anterior deve ter uma topologia e uma tabela de endereçamento
precisas. Se necessário, atualize sua documentação para refletir uma representação precisa de uma
resposta correta a partir da atividade Packet Tracer - Desafio de identificação e solução de problemas -
Documentação da rede. Você pode precisar consultar o seu instrutor.
Nota do instrutor: o aluno deve ter um panorama completo e preciso da rede de respostas da atividade
anterior, Packet Tracer - Desafio de solução de problemas - Documentação da rede. Verifique se o
trabalho anterior do aluno está correto ou forneça a documentação precisa.
Etapa 1: Determine o local da falha de conectividade.

No final dessa atividade, deve haver conectividade total entre PC e PC e entre PC e Servidor www.cisco.pka.
No entanto, agora você deve determinar onde a conectividade falha fazendo ping a partir de:
• PCs para o servidor www.cisco.pka
• PC para PC
• PC para gateway padrão
Etapa 2: Quais pings foram bem-sucedidos?

Documente os pings bem-sucedidos e com falha.
Nenhum dos computadores pode fazer ping no Servidor www.cisco.pka. PC1, PC2 e PC3 podem executar
ping entre si. PC4 e PC5 podem executar ping entre si. Todos os computadores podem fazer ping em seus
respectivos gateways padrão.
Parte 3: Coletar dados e implementar soluções
Etapa 1: Escolha um computador para iniciar a coleta de dados.

Selecione qualquer PC e comece a reunir dados testando a conectividade ao gateway padrão. Você pode
usar também traceroute para ver onde a conectividade falha.
Etapa 2: Faça Telnet para o gateway padrão e continue coletando dados.

a. Se o PC escolhido não tiver conectividade ao gateway padrão, escolha outro PC para abordar o
problema de uma direção diferente.
b. Depois que você estabeleceu conectividade por meio de um gateway padrão, a senha de login é cisco e
a senha do modo EXEC privilegiado é class.
Etapa 3: Use ferramentas de solução de problemas para verificar a configuração.

No roteador do gateway padrão, use ferramentas de identificação e solução de problemas para verificar a
configuração com sua própria documentação. Lembre-se de verificar os switches, além dos roteadores.
Certifique-se de verificar o seguinte:
• Informações de endereçamento
• Ativação da interface
• Encapsulamento
• Roteamento
• Configuração da VLAN
• Não correspondências duplex ou de velocidade
Etapa 4: Documente os sintomas da rede e as soluções possíveis.

À medida que você descobre os sintomas do problema de conectividade do PC, adicione-os em sua
documentação.
Nota do instrutor: veja uma das sugestões para o aluno avançar nesta atividade. O aluno pode começar de
qualquer computador, exceto www.cisco.pka. No caso da resposta deste exemplo, começamos com PC4.
Problema 1: de PC4, acesse o gateway padrão, R2. Faça Telnet para R2 e verifique a tabela de roteamento.
R2 tem apenas rotas diretamente conectadas, portanto, verifique a configuração de interface atual com o
comando show protocols ou show ip interface brief. Se você examinar com atenção os endereços IP,
perceberá que o endereço serial0/0/0 está incorreto. Ele deve ser 10.1.0.3 em vez de 10.1.100.3. O comando
show ip protocols não indica problemas com a configuração EIGRP em R2.
Solução 1: Configure o endereço IP correto da interface serial0/0/0 em R2.
Problema 2: Após a convergência de EIGRP em R2, use o comando show ip route para coletar mais
informações sobre problemas possíveis. R2 tem rotas conectadas corretas, mas apenas duas rotas EIGRP.
As rotas ausentes são as quatro VLANs para R3, a LAN de R1 e a LAN de R4. O ping no R3 foi bem-
sucedido, portanto, faça telnet para R3. Como R2 não está recebendo rotas de R3, use o comando show ip
protocols para verificar a configuração de EIGRP em R3. R3 envia e recebe atualizações de EIGRP e está
anunciando a rede correta. No entanto, a sumarização automática de redes está em vigor. Assim, R3 envia
apenas a rede classful 10.0.0.0/8 nas atualizações periódicas de EIGRP.
Solução 2: Configure R3 com o comando no auto-summary.
Problema 3: Volte para R3 e verifique a tabela de roteamento. Há rotas ausentes nas LANs R1 e R4.
Execute ping nas interfaces seriais de R1 e R4 para testar a conectividade desses roteadores. Os pings de
R1 falham, mas são bem-sucedidos para R4. Faça Telnet para R4. Em R4, exiba a tabela de roteamento.
Não há rotas EIGRP em R4, portanto, use o comando show ip protocols para verificar o roteamento EIGRP.
O comando não gera saída na seção Routing for Networks, portanto, o EIGRP também está configurado
incorretamente. Use o comando show run para verificar os comandos EIGRP. O comando de rede não tem
EIGRP.
Solução 3: Use o comando EIGRP network 10.0.0.0 para configurar R4.
Problema 4: Após a convergência de EIGRP, verifique a tabela de roteamento de R4. A LAN R1 ainda está
ausente. Como os pings para R1 falham, acesse R1 de PC6. Primeiro, faça ping no endereço de gateway
padrão e, depois, faça telnet para R1. Exiba a tabela de roteamento. Observe que apenas a rede F0/0 está
na tabela de roteamento. Use o comando show ip interface brief para verificar a configuração da interface.
A interface serial0/0/0 está fisicamente “ativa”, mas a camada de enlace de dados está “inativa”. Use o
comando show interface para analisar serial0/0/0. O encapsulamento está definido como PPP, em vez de
Frame Relay.
Solução 4: Altere o encapsulamento da interface serial0/0/0 em R1 de PPP para Frame Relay com o
comando encapsulation frame-relay. Todos os computadores devem ser capazes de fazer ping entre si.
Problema 5: Os computadores ainda não fazem ping de www.cisco.pka server. De qualquer dispositivo, teste
a conectividade e faça telnet para R5. Use o comando show ip interface brief para analisar o status da
interface. A interface serial0/0/1 está inativa administrativamente.
Solução 5: Ative a interface serial0/0/1 em R5 com o comando no shutdown.
Problema 6: Os PCs ainda não podem executar o ping para o servidor www.cisco.pka. No entanto, os
computadores podem fazer ping no Servidor DNS. O problema está na configuração de R5 ou na
configuração do ISP. Como você não tem acesso ao roteador do ISP, verifique a configuração em R5. O
comando show run revela que R5 está usando NAT. A configuração está ausente na instrução NAT que
vincula o pool de NAT à lista de acesso.
Solução 6: Configure R5 com o comando ip nat inside source list 1 pool LAN overload.
Etapa 5: Faça as alterações com base nas suas soluções da etapa anterior.

Etapa 1: Teste a conectividade do computador.
a. Todos os PCs devem conseguir fazer ping entre si e com o Servidor www.cisco.pka. Se você alterou as
configurações de IP, crie novos pings, pois os pings anteriores usam o endereço IP antigo.
b. Se ainda houver problemas de conectividade entre os PCs ou entre o PC e o Servidor, retorne à Parte 3
e continue a identificar e a solucionar problemas.
Etapa 2: Verifique os resultados.

A pontuação do Packet Tracer deve ser 70/70. Caso contrário, retorne à Parte 2 e continue a identificar e a
resolver problemas e a implementar as soluções sugeridas. Não será possível clicar em Verificar resultados
e saber quais componentes necessários ainda não estão concluídos.

Parte 2: Testar
Etapa 2-a 15
conectividade
Total da Parte 2 15
Parte 3: Reunir dados e
soluções de Etapa 4-a 15
implementação
Total da Parte 3 15
Roteador R1
R1#sh run
hostname R1
enable secret class
interface Gig0/0
ip address 10.4.1.1 255.255.255.0
duplex auto
speed auto
interface Gig0/1
no ip address
duplex auto
speed auto
shutdown
ip address 10.1.0.4 255.255.255.248
no ip address
shutdown
interface Vlan1
no ip address
shutdown
router eigrp 1
network 10.0.0.0
no auto-summary
ip classless
line con 0
password cisco
Login
line aux 0
line vty 0 4
password cisco
login
end
Roteador R2
R2#sh run
hostname R2
enable secret class
no ip address
duplex auto
speed auto
ip address 10.3.100.1 255.255.255.0
ip address 10.3.105.1 255.255.255.0
no ip address
duplex auto
speed auto
shutdown
ip address 10.1.0.3 255.255.255.248
no ip address
shutdown
interface Vlan1
no ip address
shutdown
router eigrp 1
network 11.0.0.0
no auto-summary
ip classless
line con 0
password cisco
Login
line aux 0
line vty 0 4
password cisco
login
end
Roteador R3
R3#sh run
hostname R3
enable secret class
interface Gig0/0
no ip address
duplex auto
speed auto
interface Gig0/0,5
ip address 10.2.5.1 255.255.255.0
interface Gig0/0,15
ip address 10.2.15.1 255.255.255.0
interface Gig0/0,25
ip address 10.2.25.1 255.255.255.0
interface Gig0/0,35
ip address 10.2.35.1 255.255.255.0
interface Gig0/1
no ip address
duplex auto
speed auto
shutdown
ip address 10.1.0.2 255.255.255.248
no ip address
shutdown
interface Vlan1
no ip address
shutdown
router eigrp 1
network 11.0.0.0
no auto-summary
ip classless
line con 0
password cisco
Login
line aux 0
line vty 0 4
password cisco
login
end
Roteador R4
R4#sh run
hostname R4
enable secret class
interface Gig0/0
ip address 10.5.1.1 255.255.255.0
duplex auto
speed auto
interface Gig0/1
no ip address
duplex auto
speed auto
shutdown
ip address 10.1.0.5 255.255.255.248
no ip address
shutdown
interface Vlan1
no ip address
shutdown
router eigrp 1
network 10.0.0.0
no auto-summary
ip classless
line con 0
password cisco
Login
line aux 0
line vty 0 4
password cisco
login
end
Roteador R5
R5#sh run
hostname R5
enable secret class
interface Gig0/0
ip address 10.1.100.1 255.255.255.0
duplex auto
speed auto
interface Gig0/1
no ip address
duplex auto
speed auto
shutdown
ip address 10.1.0.1 255.255.255.248
ip nat inside
ip address 209.165.201.2 255.255.255.252
ip nat outside
no cdp enable
interface Vlan1
no ip address
shutdown
router eigrp 1
passive-interface Serial0/0/1
network 11.0.0.0
no auto-summary
ip nat pool LAN 209.165.202.128 209.165.202.159 netmask 255.255.255.224
ip nat inside source list 1 pool LAN overload
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0/1
line con 0
password cisco
Login
line aux 0
line vty 0 4
password cisco
login
end
Roteador ISP
ISP#sh run
hostname ISP
interface Gig0/0
ip address 209.165.200.225 255.255.255.252
duplex auto
speed auto
interface Gig0/1
no ip address
duplex auto
speed auto
shutdown
ip address 209.165.201.1 255.255.255.252
clock rate 64000
no ip address
no ip address
no ip address
interface Vlan1
no ip address
shutdown
ip classless
ip route 209.165.202.128 255.255.255.224 Serial0/0/0
no cdp run
line con 0
line aux 0
line vty 0 4
Login
end
Switch S1
S1#sh run
hostname S1
enable secret class
interface Vlan1
no ip address
shutdown
line con 0
password cisco
Login
line vty 0 4
password cisco
Login
line vty 5 15
Login
end
Switch S2
S2#sh run
hostname S2
enable secret class

interface Vlan1
no ip address
shutdown
interface Vlan105
ip address 10.3.105.21 255.255.255.0
line con 0
password cisco
Login
line vty 0 4
password cisco
Login
line vty 5 15
Login
end
Switch S3
S3#sh run
hostname S3
enable secret class
interface Vlan1
no ip address
shutdown
interface Vlan105
ip address 10.3.105.22 255.255.255.0
line con 0
password cisco
Login
line vty 0 4
password cisco
Login
line vty 5 15
Login
end
Switch S4
S4#sh run
hostname S4
enable secret class
spanning-tree vlan 1,5,15,25,35 priority 4096
interface Vlan1
no ip address
shutdown
interface Vlan5
ip address 10.2.5.21 255.255.255.0

line con 0
password cisco
Login
line vty 0 4
password cisco
Login
line vty 5 15
Login
end
Switch S5
S5#sh run
hostname S5
enable secret class
interface Vlan1
no ip address
shutdown
interface Vlan5
ip address 10.2.5.23 255.255.255.0
line con 0
password cisco
Login
line vty 0 4
password cisco
Login
line vty 5 15
Login
end
Switch S6
S6#sh run
hostname S6
enable secret class
interface Vlan1
no ip address
shutdown
interface Vlan5
ip address 10.2.5.22 255.255.255.0
line con 0
password cisco
Login
line vty 0 4
password cisco
Login
line vty 5 15
Login
end
Switch S7
S7#sh run
hostname S7
enable secret class
interface Vlan1
no ip address
shutdown
line con 0
line vty 0 4
Login
line vty 5 15
Login
end
Packet Tracer – Desafio de integração de habilidades do CCNA
Topologia
Dispositivo Interface Endereço IP Máscara de sub-rede
G0/0 10.0.1.1 255.255.255.0

G0/1 192.0.2.1 255.255.255.0
Sede S0/0/0 10.255.255.1 255.255.255.252
S0/0/1 10.255.255.253 255.255.255.252
S0/1/0 209.165.201.1 255.255.255.252
G0/0,10 10.1.10.1 255.255.255.0
G0/0,20 10.1.20.1 255.255.255.0
B1 G0/0,30 10.1.30.1 255.255.255.0
G0/0,99 10.1.99.1 255.255.255.0
S0/0/0 10.255.255.2 255.255.255.252
B1-S2 VLAN 99 10.1.99.22 255.255.255.0
Configurações VLAN e mapeamentos de porta
Número da VLAN Endereço de rede Nome da VLAN Mapeamentos de porta
10 10.1.10.0/24 Admin. F0/6

20 10.1.20.0/24 Vendas F0/11
30 10.1.30.0/24 Produção F0/16
99 10.1.99.0/24 Mgmt&Native F0/1-4
999 N/D BlackHole Portas não utilizadas
Cenário
Nesta atividade abrangente de habilidades de CCNA, a corporação XYZ usa uma combinação de eBGP e
PPP para conexões de WAN. Outras tecnologias incluem NAT, DHCP, roteamento estático e padrão, EIGRP
para IPv4, roteamento entre VLANs e configurações da VLAN. As configurações de segurança incluem SSH,
segurança de porta, segurança de switch e ACLs.
Observação: Apenas HQ, B1, B1-S2 e os PCs estão acessíveis. A senha do EXEC do usuário é cisco e a
senha do EXEC privilegiado é class.
Requisitos
PPP
• Configure o link WAN de HQ para a Internet usando o encapsulamento PPP e a autenticação CHAP.
o Crie um usuário ISP com a senha cisco.
• Configure o link WAN de HQ para NewB usando o encapsulamento PPP e a autenticação CHAP.
o Crie um usuário NewB com a senha cisco.
Observação: O ppp pap sent-username não é marcado com nota pelo Packet Tracer. No entanto, ele
deve ser configurado, antes que o link apareça entre HQ e NewB.
HQ(config)# interface s0/1/0
HQ(config-if)# encapsulation ppp
HQ(config-if)# ppp authentication chap
HQ(config-if)# exit
HQ(config)# username ISP password cisco
HQ(config-if)# encapsulation ppp
HQ(config-if)# ppp authentication pap
HQ(config-if)# ppp pap sent-username HQ password cisco
HQ(config-if)# exit
HQ(config)# username NewB password cisco
eBGP
• Configure eBGP entre HQ e a Internet.
o O HQ pertence a AS 65000.
o O endereço IP para o roteador BGP na nuvem da Internet é 209.165.201.2.
o Anuncie a rede 192.0.2.0/24 para a Internet.
HQ(config)# router bgp 65000
HQ(config-router)# neighbor 209.165.201.2 remote-as 65001
HQ(config-router)# network 192.0.2.0 mask 255.255.255.0
NAT
• Configure o NAT dinâmico no HQ
o Permita que todos os endereços do espaço de endereço 10.0.0.0/8 sejam convertidos por meio de
uma lista de acesso padrão denominada NAT.
o A XYZ Corporation é a proprietária do espaço de endereço 209.165.200.240/29. O pool, HQ, usa os
endereços de .241 a .245 com uma máscara de /29. Vincule a ACL NAT ao pool HQ. Configure o
PAT.
o As conexões com a Internet e o HQ-DataCenter estão fora da corporação XYZ.
HQ(config)# ip access-list standard NAT
HQ(config-std-nacl)# permit 10.0.0.0 0.255.255.255
HQ(config-std-nacl)# exit
HQ(config)# ip nat pool HQ 209.165.200.241 209.165.200.245 netmask
255.255.255.248
HQ(config)# ip nat inside source list NAT pool HQ overload
HQ(config-if)# ip nat outside
HQ(config-if)# interface g0/1
HQ(config-if)# ip nat outside
HQ(config-if)# interface s0/0/0
HQ(config-if)# ip nat inside
HQ(config-if)# interface s0/0/1
HQ(config-if)# interface g0/0
Roteamento entre VLANs
• Configure B1 para o roteamento entre VLANs.
o Use a tabela de endereçamento de roteadores de filiais para configurar e ativar a interface LAN do
roteamento entre VLANs. A VLAN 99 é a VLAN nativa.
B1(config)# interface g0/0
B1(config-if)# no shutdown
B1(config-if)# interface g0/0.10
B1(config-subif)# encapsulation dot1q 10
B1(config-subif)# ip address 10.1.10.1 255.255.255.0
B1(config-subif)# interface g0/0.20
B1(config-subif)# encapsulation dot1q 99 native
Roteamento estático e padrão
• Configure o HQ com uma rota estática para a LAN NewB. Use a interface de saída como um argumento.
• Configure B1 com uma rota padrão para o HQ. Use o endereço IP next-hop como um argumento.
HQ(config)# ip route 10.4.5.0 255.255.255.0 serial 0/0/1
B1(config)# ip route 0.0.0.0 0.0.0.0 10.255.255.1

Roteamento EIGRP
• Configure e otimize HQ e B1 com o roteamento EIGRP.
o Use o sistema autônomo 100.
o Desative as atualizações do EIGRP nas interfaces apropriadas.
HQ(config)# router eigrp 100
HQ(config-router)# network 10.0.0.0
HQ(config-router)# passive-interface g0/0
HQ(config-router)# passive-interface s0/0/1
B1(config)# router eigrp 100

B1(config-router)# network 10.0.0.0
B1(config-router)# passive-interface g0/0.10
Configurações de VLANs e entroncamento
Observação: A conexão ao console está desativada no B1-S2 para que as mensagens de não
correspondência da VLAN nativa não interrompam suas configurações. Se preferir visualizar as mensagens
do console, entre no console global de registros de comandos de configuração.
• Configure o entroncamento e as VLANs em B1-S2.
o Crie e nomeie as VLANs listadas na tabela Configurações VLAN e mapeamentos de porta em B1-
S2 somente.
o Configure a interface VLAN 99 e o gateway padrão.
o Defina o modo de entroncamento como ativado para F0/1 - F0/4.
o Atribua VLANs às portas de acesso apropriadas.
o Desative todas as portas não usadas e atribua a VLAN BlackHole.
B1-S2(config)# vlan 10
B1-S2(config-vlan)# name Admin
B1-S2(config-vlan)# vlan 20
B1-S2(config-vlan)# name Sales
B1-S2(config-vlan)# name Production
B1-S2(config-vlan)# name Mgmt&Native
B1-S2(config-vlan)# name BlackHole
B1-S2(config)# interface vlan 99
B1-S2(config-if)# ip address 10.1.99.22 255.255.255.0
B1-S2(config-if)# exit
B1-S2(config)# ip default-gateway 10.1.99.1
B1-S2(config)# interface range f0/1 - 4
B1-S2(config-if-range)# switchport mode trunk
B1-S2(config-if-range)# switchport trunk native vlan 99

B1-S2(config-if-range)# exit
B1-S2(config)# interface f0/6
B1-S2(config-if)# switchport mode access
B1-S2(config-if)# switchport access vlan 10
B1-S2(config-if)# interface f0/11
B1-S2(config-if)# interface f0/16
B1-S2(config-if)# exit
B1-S2(config)# interface range f0/5, f0/7-10, f0/12-15, f0/17-24, g0/1-2
B1-S2(config-if-range)# switchport access vlan 999
B1-S2(config-if-range)# shutdown
Segurança de portas
• Use a seguinte política para estabelecer a segurança de porta nas portas de acesso B1-S2:
o Permita que dois endereços MAC sejam aprendidos na porta.
o Configure os endereços MAC aprendidos para serem adicionados à configuração.
o Configure a porta para enviar uma mensagem, se houver uma violação de segurança. O tráfego
ainda é permitido dos primeiros dois endereços MAC aprendidos.
B1-S2(config)# interface range f0/6, f0/11, f0/16
B1-S2(config-if-range)# switchport port-security
B1-S2(config-if-range)# switchport port-security maximum 2
B1-S2(config-if-range)# switchport port-security mac-address sticky
B1-S2(config-if-range)# switchport port-security violation restrict
SSH
• Configure HQ para usar SSH para acesso remoto.
o Defina o módulo como 2048. O nome de domínio é CCNASkills.com.
o O nome de usuário é admin e a senha é adminonly.
o Somente SSH deve ser permitido em linhas VTY.
o Modifique os padrões SSH: versão 2; tempo limite de 60 segundos; duas repetições.
HQ(config)# ip domain-name CCNASkills.com
HQ(config)# crypto key generate rsa
HQ(config)# username admin password adminonly

HQ(config)# line vty 0 4
HQ(config-line)# transport input ssh
HQ(config-line)# login local
HQ(config-line)# exit
HQ(config)# ip ssh version 2
HQ(config)# ip ssh time-out 60
HQ(config)# ip ssh authentication-retries 2
DHCP
• Em B1, configure um pool DHCP para as Vendas VLAN 20 com estes requisitos:
o O nome do pool, que diferencia maiúsculas e minúsculas, é VLAN20.
• Configure o PC de Escritório de Vendas para usar DHCP.
B1(config)# ip dhcp excluded-address 10.1.20.1 10.1.20.10
B1(config)# ip dhcp pool VLAN20
B1(dhcp-config)# network 10.1.20.0 255.255.255.0
B1(dhcp-config)# default-router 10.1.20.1
B1(dhcp-config)# dns-server 10.0.1.4
Click Sales PC > Desktop > IP Configuration

Change to DHCP and verify PC gets addressing information
Política da lista de acesso
• Como o HQ está conectado à Internet, configure e aplique uma ACL nomeada chamada HQINBOUND
na seguinte ordem:
o Permita atualizações BGP (porta TCP 179) de qualquer origem para qualquer destino.
o Permita solicitações HTTP de entrada de qualquer origem para a rede HQ-DataCenter.
o Somente permita as sessões TCP estabelecidas na Internet.
o Somente permita respostas de ping de entrada da Internet.
o Bloqueie explicitamente todo o acesso de entrada da Internet.
HQ(config)# ip access-list extended HQINBOUND
HQ(config-ext-nacl)# permit tcp any any eq 179
HQ(config-ext-nacl)# permit tcp any 192.0.2.0 0.0.0.255 eq www
HQ(config-ext-nacl)# permit tcp any any established
HQ(config-ext-nacl)# permit icmp any any echo-reply
HQ(config-ext-nacl)# deny ip any any
HQ(config-ext-nacl)# exit
HQ(config-if)# ip access-group HQINBOUND in
Conectividade
• Verifique a conectividade total de cada PC a WWW.pka e www.cisco.pka.
• O host externo deve conseguir acessar a página da Web em WWW.pka.
• Todos os testes no Cenário 0 devem ser bem-sucedidos.

Instructor Packet Tracer Manual

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Instructor Packet Tracer Manual

Caricato da

Copyright:

Formati disponibili

CCNA Routing and Switching:

This document is exclusive property of Cisco Systems, Inc. Permission is granted

Dispositivo Interface Endereço IP Máscara de sub-rede Rota Padrão

S0/0/0 (DCE) 64.100.34.17 255.255.255.252 N/D

Parte 1: Diagnosticar e reparar a camada física

Etapa 1: Diagnostique e repare o cabeamento.

Etapa 2: Diagnostique e repare conexões de portas incorretas.

Etapa 3: Diagnostique e repare as portas que estão desligadas.

Parte 2: Diagnosticar e reparar a camada de enlace de dados

Etapa 2: Examine o encapsulamento no equipamento DCE.

Parte 3: Diagnosticar e reparar a camada de rede

Etapa 1: Verifique o endereçamento IP.

Etapa 2: Verifique a conectividade entre todos os roteadores.

Dispositivo Interface Endereço IP Máscara de sub-rede Gateway Padrão

G0/0 192.168.10.1 255.255.255.0 N/D

Parte 1: Revisar configurações de roteamento

Etapa 1: Exiba as configurações em execução em todos os roteadores.

Etapa 2: Teste a conectividade entre computadores e o servidor da Web.

Parte 2: Configurar o PPP como Método de Encapsulamento

Etapa 2: Configure o R2 para usar o encapsulamento PPP com R3.

Etapa 3: Configure o R3 para usar o encapsulamento PPP com R1, R2 e ISP.

Etapa 4: Configure o ISP para usar o encapsulamento PPP com R3.

Etapa 5: Teste a conectividade com o servidor da Web.

Parte 3: Configurar a autenticação PPP

Etapa 2: Configure a autenticação PPP PAP entre R2 e R3.

R3(config-if)# username R2 secret cisco

Etapa 3: Configure a autenticação PPP CHAP entre R3 e ISP.

Etapa 4: Teste a conectividade entre computadores e o servidor da Web.

Dispositivo Interface Endereço IP Máscara de sub-rede Gateway Padrão

G0/1 10.0.0.1 255.255.255.128 N/D

Parte 1: Diagnosticar e reparar a camada física

Etapa 1: Diagnostique e repare o cabeamento.

R2(config)# interface s0/0/0

R3(config)# interface g0/1

Parte 2: Diagnosticar e reparar a camada de enlace de dados

Etapa 1: Examine e defina clock rates no equipamento DCE.

Etapa 2: Examine o encapsulamento no equipamento DCE.

R2(config)# interface s0/0/1

R3(config)# interface s0/0/0

Etapa 3: Examine e defina nomes de usuário e senhas de CHAP.

R2(config)# username R1 password cisco

R3(config)# username R2 password cisco

Parte 3: Diagnosticar e reparar a camada de rede

R2(config)# interface g0/1

R3(config)# interface g0/1

R3(config-if)# interface s0/0/1

Etapa 2: Verifique a conectividade completa traçando um caminho do PC1 e PC3 para o

10.1.1.2 255.255.255.252 N/D

• Configure OSPF IPv6 usando os seguintes requisitos:

ipv6 ospf 1 area 0

G0/0 192.168.1.1 255.255.255.0 N/D

Parte 1: Verificar a conectividade do roteador

Etapa 1: Faça ping no RA a partir de RB.

Etapa 2: Faça ping de PCA a partir de PCB.

Parte 2: Configurar túneis GRE

Etapa 2: Configure a interface de Tunnel 0 do RB.

Etapa 3: Configure uma rota para tráfego IP privado.

Parte 3: Verificar a conectividade do roteador

Etapa 1: Faça ping de PCA a partir de PCB.

Etapa 2: Rastreie o caminho de PCA até PCB.

Dispositivo Interface Endereço IP Máscara de sub-rede Gateway padrão

G0/0 172.31.0.1 255.255.255.0 N/D

Parte 1: Localizar e corrigir todos os erros da rede.

RA A interface IP G0/0 e a máscara de sub- Tunnel 0 da interface