路由管理帮助用户认识到设备为了实现数据的转发,路由设备、路由表和路由协议是必不可少的。还可以帮助用户对路由设备,路由表有初步认识,知悉路由协议是用于发现路由,生成路由表,路由表中保存了各种路由协议发现的路由,路由设备用来选择路由,实现数据转发。
eNSP是图形化网络仿真平台,该平台通过对真实网络设备的仿真模拟,帮助广大ICT从业者和客户快速熟悉华为数通系列产品,了解并掌握相关产品的操作和配置、提升对企业ICT网络的规划、建设、运维能力,从而帮助企业构建更高效,更优质的企业ICT网络。
HCIA的最后一个综合实验,使用课程中的技术,提高综合运用能力,解决实际网络问题,主要考查:
- 掌握IP地址配置、VLAN及IP规划。
- 理解OSPF协议的工作原理及配置方法。
- 掌握NAT、ACL的配置和使用。
- 理解静态路由和默认路由的应用。
- 掌握DHCP、Telnet的配置与登录。
题目
网络拓扑:
实验要求:
- ISP路由器仅配置IP地址
- test-1和test-2仅作为代替终端设备进行测试使用,路由采用静态路由
- R1/R2之间使用OSPF做到内网全通,单区域,OSPF使用一条命令进行宣告(直接宣告192.168.1.0网段);
router-ID分别为1.1.1.1和2.2.2.2;OSPF进程为1 - PC1-PC4使用DHCP获取地址,地址池名称使用1,2
- PC1不能访问PC5,acl编号为3000
- R2出口只拥有一个公网IP
- test-1设备可以登录内网telnet服务器,test-2不行;acl编号为3000
- telnet服务器的账号密码为huawei/123456
- 内网用户可以正常访问ISP(边界做默认路由)
- 公网设备的路由表不能有私网的路由,使用nat(acl编号为2000)
- 内网设备的路由表不能有公网的路由,边界下发默认路由
- VLAN及IP规划如下(所有trunk链路按照最少VLAN透传原则放通)
IP规划:
全网可达
要求:
4、PC1-PC4使用DHCP获取地址,地址池名称使用1,2
11、内网设备的路由表不能有公网的路由,边界下发默认路由
12、VLAN及IP规划
内网1
交换机1配置
- 新增VLAN2、VLAN3、VLAN4,
- 并配置g0/0/2接口绑定VLAN2,
- g0/0/3接口绑定VLAN3,
- g0/0/4接口绑定VLAN4,
- g0/0/1接口设置主干道并允许通过VLAN2、3、4:
[Huawei]vlan batch 2 to 4
[Huawei]int g 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 2
[Huawei-GigabitEthernet0/0/2]int g 0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 3
[Huawei-GigabitEthernet0/0/3]int g 0/0/4
[Huawei-GigabitEthernet0/0/4]port link-type access
[Huawei-GigabitEthernet0/0/4]port default vlan 4
[Huawei-GigabitEthernet0/0/4]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 4
并使用display vlan查看虚拟局域网配置情况:
路由器1配置
单臂路由(router-on-a-stick)是指在路由器的一个接口上通过配置子接口(或“逻辑接口”,并不存在真正物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通。
dot1q就是802.1q,配置trunk的封装协议,vlan的一种封装方式 先根据《IP规划》给路由器配置两个DHCP地址池
[Huawei]dhcp enable
[Huawei]ip pool 1
[Huawei-ip-pool-1]net 192.168.1.0 mask 27
[Huawei-ip-pool-1]dns 8.8.8.8
[Huawei-ip-pool-1]gate 192.168.1.30
[Huawei-ip-pool-1]q
[Huawei]ip pool 2
[Huawei-ip-pool-2]net 192.168.1.32 mask 27
[Huawei-ip-pool-2]dns 8.8.8.8
[Huawei-ip-pool-2]gate 192.168.1.62
然后给g0/0/0的物理接口划分成多个逻辑接口实现单臂路由:
- g0/0/0.1配置VLAN2,网关
192.168.1.30、开启ARP广播、DHCP - g0/0/0.2配置VLAN3,网关
192.168.1.62、开启ARP广播、DHCP - g0/0/0.3配置VLAN4,网关
192.168.1.158、开启ARP广播
[Huawei]int g 0/0/0.1
[Huawei-GigabitEthernet0/0/0.1]dot1q termination vid 2
[Huawei-GigabitEthernet0/0/0.1]ip ad 192.168.1.30 27
[Huawei-GigabitEthernet0/0/0.1]arp broadcast enable
[Huawei-GigabitEthernet0/0/0.1]dhcp global enable
[Huawei-GigabitEthernet0/0/0.1]int g 0/0/0.2
[Huawei-GigabitEthernet0/0/0.2]dot1q termination vid 3
[Huawei-GigabitEthernet0/0/0.2]ip ad 192.168.1.62 27
[Huawei-GigabitEthernet0/0/0.2]arp broadcast enable
[Huawei-GigabitEthernet0/0/0.2]dhcp select global
[Huawei-GigabitEthernet0/0/0.2]int g 0/0/0.3
[Huawei-GigabitEthernet0/0/0.3]dot1q termination vid 4
[Huawei-GigabitEthernet0/0/0.3]ip ad 192.168.1.158 27
[Huawei-GigabitEthernet0/0/0.3]arp broadcast enable
最后设置g0/0/1接口地址为192.168.1.161/27:
[Huawei]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]ip ad 192.168.1.161 27
查看接口信息:
内网2
同理为内网2配置基本IP
交换机2
- 新增VLAN20、VLAN30
- 并配置g0/0/2接口绑定VLAN20,
- g0/0/3接口绑定VLAN30,
- g0/0/1接口设置主干道并允许通过VLAN20、30
[Huawei]vlan batch 20 30
[Huawei]int g 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 20
[Huawei-GigabitEthernet0/0/2]int g 0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type access
[Huawei-GigabitEthernet0/0/3]port default vlan 30
[Huawei-GigabitEthernet0/0/3]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 20 30
路由器2配置
要求:
6、R2出口只拥有一个公网IP
先根据《IP规划》给路由器2配置两个DHCP地址池:
[Huawei]dhcp enable
[Huawei]ip pool 1
[Huawei-ip-pool-1]net 192.168.1.64 mask 27
[Huawei-ip-pool-1]dns 8.8.8.8
[Huawei-ip-pool-1]gate 192.168.1.94
[Huawei-ip-pool-1]ip pool 2
[Huawei-ip-pool-2]net 192.168.1.96 mask 27
[Huawei-ip-pool-2]dns 8.8.8.8
[Huawei-ip-pool-2]gate 192.168.1.126
然后给g0/0/0实现单臂路由:
- g0/0/0.1配置VLAN20,网关
192.168.1.94、开启ARP广播、DHCP - g0/0/0.2配置VLAN30,网关
192.168.1.126、开启ARP广播、DHCP
[Huawei]int g 0/0/0.1
[Huawei-GigabitEthernet0/0/0.1]dot1q termination vid 20
[Huawei-GigabitEthernet0/0/0.1]ip ad 192.168.1.94 27
[Huawei-GigabitEthernet0/0/0.1]arp broadcast enable
[Huawei-GigabitEthernet0/0/0.1]dhcp select global
[Huawei-GigabitEthernet0/0/0.1]int g 0/0/0.2
[Huawei-GigabitEthernet0/0/0.2]dot1q termination vid 30
[Huawei-GigabitEthernet0/0/0.2]ip ad 192.168.1.126 27
[Huawei-GigabitEthernet0/0/0.2]arp broadcast enable
[Huawei-GigabitEthernet0/0/0.2]dhcp select global
设置接口g0/0/1静态地址为192.168.1.162
设置接口g0/0/2静态地址为202.1.1.1:
[Huawei]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]ip ad 192.168.1.162 27
[Huawei-GigabitEthernet0/0/1]int g 0/0/2
[Huawei-GigabitEthernet0/0/2]ip ad 202.1.1.1 30
展示当前接口情况:
OSPF宣告
要求:
3、R1/R2之间使用OSPF做到内网全通,单区域,OSPF使用一条命令进行宣告(直接宣告192.168.1.0网段);router-ID分别为1.1.1.1和2.2.2.2;OSPF进程为1
路由器1配置
[Huawei]ospf 1 router-id 1.1.1.1
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]net 192.168.1.0 0.0.0.255
路由器2配置
[Huawei]ospf 1 router-id 2.2.2.2
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]net 192.168.1.0 0.0.0.255
宣告完成后等待双方成为邻接关系,查看当前路由表:
测试连通性
PC1 Ping通 PC2、PC3、PC4测试连接情况:
ISP网络配置
要求:
1、ISP路由器仅配置IP地址
2、test-1和test-2仅作为代替终端设备进行测试使用,路由采用静态路由
ISP路由器根据《IP规划》为接口配置IP:
[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ip ad 202.1.1.2 30
[Huawei-GigabitEthernet0/0/0]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]ip ad 203.1.1.254 24
test-1配置IP和缺省路由:
[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ip ad 203.1.1.1 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]ip route-static 0.0.0.0 0 203.1.1.254
test-2配置IP和缺省路由:
[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ip ad 203.1.1.2 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]ip route-static 0.0.0.0 0 203.1.1.254
PC5配置:
NAT
要求:
10、公网设备的路由表不能有私网的路由,使用nat(acl编号为2000)
在访问外网时可以使用ACL技术进行抓取内网流量,在R2路由器上将源地址为192.168.1.0/24网段的流量抓取向外网发送,这样内网地址转换为可用的公网地址12.1.1.1
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2000]int g 0/0/2
[Huawei-GigabitEthernet0/0/2]nat outbound 2000
边界路由
要求:
9、内网用户可以正常访问ISP(边界做默认路由)
路由器2设置缺省路由访问ISP网络并下发默认路由:
[Huawei]ip route-static 0.0.0.0 0 202.1.1.2
[Huawei]ospf 1 router-id 2.2.2.2
[Huawei-ospf-1]default-route-advertise
连接
测试内网与外网连接情况:
到此就完成全网可达,即题目1、2、3、4、6、9、10、11、12。
其它配置
Telnet
要求:
8、telnet服务器的账号密码为huawei/123456
配置Telnet服务器的IP和设置缺省路由
[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ip ad 192.168.1.129 27
[Huawei-GigabitEthernet0/0/0]q
[Huawei]ip route-static 0.0.0.0 0 192.168.1.158
进入AAA谁管理配置Telent服务器的账号密码为huawei/123456、并允许建立五个设备进行Telnet会话:
[Huawei]aaa
[Huawei-aaa]local-user huawei privilege level 15 password cipher 123456
[Huawei-aaa]local-user huawei service-type telnet
[Huawei-aaa]q
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]authentication-mode aaa
ACL
路由器1配置
要求:
5、PC1不能访问PC5,acl编号为3000
进入R1路由器配置ACL规则 ,不允许来源PC1的IP访问目标为PC5的IP:
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule deny ip source 192.168.1.29 0 destination 203.1.1.100 0
[Huawei-acl-adv-3000]int g 0/0/0.1
[Huawei-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000
测试
结果为PC1无法Ping通PC5,测试通过:
路由器2配置
要求:
7、test-1设备可以登录内网telnet服务器,test-2不行;acl编号为3000
配置高级ACL拒绝test-2IP访问Telnet端口:
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule deny tcp source 203.1.1.2 0 destination-port eq 23
[Huawei-acl-adv-3000]int g 0/0/2
[Huawei-GigabitEthernet0/0/2]traffic-filter inbound acl 3000
配置路由器访问该接口的Telnet商品时转换为Telnet服务器的内网IP:
[Huawei-GigabitEthernet0/0/2]nat server protocol tcp global current-interface telnet inside 192.168.1.129 telnet
Warning:The port 23 is well-known port. If you continue it may cause function fa
ilure.
Are you sure to continue?[Y/N]:Y
测试test-1设备登录Telnet服务器:
可以登录。
再测试test-2能否登录Telnet:
被拒绝登录了,证明策略成功。
结果
到此12个配置要求全部测试通过,算是HCIA学习阶段的一个综合性实验,且意义在于:
- 实际模拟网络环境,加深对网络技术的理解。
- 掌握实际工作中常见的网络配置方法。
- 提高解决复杂网络问题的能力。
- 为将来的工作实践打下基础。
拓展思路:
- 深入研究OSPF协议,了解其他OSPF区域类型及配置方法。
- 探索其他路由协议如EIGRP、BGP等,比较不同路由协议的优缺点。
- 深入了解NAT的其他类型和应用场景。
- 研究ACL的高级用法,如基于时间的ACL、动态ACL等。
- 探索如何优化网络性能,如使用策略路由、QoS等。
1981
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
