一、实验要求:
(设备名称按照拓扑标识修改,注意区分大小写)
1、ISP路由器仅配置IP地址
2、test-1和test-2仅作为代替终端设备进行测试使用,路由采用静态路由
3、R1/R2之间使用OSPF做到内网全通,单区域,OSPF使用一条命令进行宣告(直接宣告192.168.1.0网段);router-ID分别为1.1.1.1和2.2.2.2;OSPF进程为1
4、PC1-PC4使用DHCP获取地址,地址池名称使用1,2
5、PC1不能访问PC5,acl编号为3000
6、R2出口只拥有一个公网IP
7、test-1设备可以登录内网telnet服务器,test-2不行;acl编号为3000
8、telnet服务器的账号密码为huawei/123456
9、内网用户可以正常访问ISP(边界做默认路由)
10、公网设备的路由表不能有私网的路由,使用nat(acl编号为2000)
11、内网设备的路由表不能有公网的路由,边界下发默认路由
12、VLAN及IP规划查看附件材料(所有trunk链路按照最少VLAN透传原则放通)
二、实验步骤与结果:
1.先划分网段如下
192.168.1.0/26----骨干
192.168.1.64/26
192.168.1.64/28--P1----网关1.65
192.168.1.80/28----P2-----网关1.81
192.168.1.96/28----TS----网关1.97
192.168.1.128/26
192.168.1.128/27---P4----网关1.129
192.168.1.160/27---P5----网关1.161
R2: 202.1.1.1/30 ISP: 202.1.1.2/30
ISP:203.1.1.254/24; test-1:203.1.1.1/24;test-2: 203.1.1.2/24
2.在lsw1(valn2 、3、4)和lsw2(vlan20、30)上配置vlan
以lsw1中的vlan2(其余都有一样)为例
[lsw1]vlan 2
[lsw1]inter g 0/0/2
[lsw1-GigabitEthernet0/0/2]port link-type access
[lsw1-GigabitEthernet0/0/2]port default vlan 2
在r1上创建子接口并允许vlan 2运行
[r1-GigabitEthernet0/0/0]inter g 0/0/0.1
[r1-GigabitEthernet0/0/0.1]ip add 192.168.1.65 28
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 2
[r1-GigabitEthernet0/0/0.1]arp broadcast enable
注意在lsw1中g 0/0/1和lsw2中g 0/0/1接口上要配置trunk链路(以下以lsw1为例)
[lsw1-GigabitEthernet0/0/1]port link-type trunk
[lsw1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3 4
3.在每台路由器上按划分好的网段配置好IP地址(如图所示)
- 完成第三条要求:R1/R2之间使用OSPF做到内网全通,单区域,OSPF使用一条命令进行宣告(直接宣告192.168.1.0网段);router-ID分别为1.1.1.1和2.2.2.2;OSPF进程为1
以下用r1(r2步骤与r1一样)为例
[r1]ospf 1 router-id 1.1.1.1
[r1-ospf-1]area 0
[r1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
可以查看一下路由表是否有该网段路由信息--dis IP rout-type
- 完成第四条要求:PC1-PC4使用DHCP获取地址,地址池名称使用1,2
以下用r1(r2步骤与r1一样)为例
[r1]dhcp e
[r1]ip pool 1
[r1-ip-pool-1]network 192.168.1.64 mask 28
[r1-ip-pool-1]gateway-list 192.168.1.65
[r1-ip-pool-1]network 192.168.1.80 mask 28
[r1]ip pool 2
[r1-ip-pool-2]network 192.168.1.80 mask 28
[r1-ip-pool-2]gateway-list 192.168.1.81
[r1-GigabitEthernet0/0/0.1]dhcp select global
[r1-GigabitEthernet0/0/0.1]inter g 0/0/0.2
[r1-GigabitEthernet0/0/0.2]dhcp select global
注意要在对应的接口上把DHCP select global打开如这里就是r1的子接口,而不是g 0/0/0接口。
在pc1、2、3、4上查看是否获取到IP
6.完成第五、六条要求;R2出口只拥有一个公网IP、PC1不能访问PC5,acl编号为3000
由于pc1是内网pc5是外网所以要在边界路由器上做一个nat的地址转换
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255----通过ACL抓取私网流量
[r2-GigabitEthernet0/0/2]nat outbound 2000------配置easy ip
由于r2上没有pc5的网端路由所以要写一条缺省路由指向isp
[r2]ip route-static 0.0.0.0 0 24 202.1.1.2
由于在内网没有到达pc5的路由所以可以直接在r2上配置一条缺省路由让内网可以到达pc5网段的路径
[r2-ospf-1]default-route-advertise (此时在r1上已经有了一条缺省路由可以测试以下用pc1ping一下pc5)
就近原则在r1上配置让PC1不能访问PC5,acl编号为3000
[r1]acl 3000
[r1-acl-adv-3000]rule deny ip source 192.168.1.64 0.0.0.15 destination 203.1.1.1 0.0.0.0(不能直接写pc1的IP地址会变,所以就直接写一个网段来限制)
在r1上的入接口调用(也是在网关上配置也就是子接口而不是g 0/0/0接口)
[r1-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000
最后ping一下pc1可以不可以访问pc5
7.完成第七、八要求:test-1设备可以登录内网telnet服务器,test-2不行;acl编号为3000 、telnet服务器的账号密码为huawei/123456
[TS]aaa
[TS-aaa]local-user huawei privilege level 15 password cipher 123456
[TS-aaa]local-user huswei service-type telnet
[TS]user-interface vty 0 4
[TS-ui-vty0-4]authentication-mode aaa
在r2上接口上做
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside
192.168.1.98 80
Warning:The port 80 is well-known port. If you continue it may cause function fa
ilure.Are you sure to continue?[Y/N]:y
在test1、2上写相关路由表
[TEST-1]ip rou 202.1.1.1 30 203.1.1.1
[TEST-2]ip rou 202.1.1.1 30 203.1.1.1
在r2上写一条acl来完成test-1设备可以登录内网telnet服务器,test-2不行
[r2-acl-adv-3001]rule deny tcp source 203.1.1.3 0.0.0.0 destination-port eq 23
[r2-GigabitEthernet0/0/2]traffic-filter inbound acl 3000
完成这些其余的要求也完成其余的要求