HCIA综合实验练习—详细解析过程

要求：
（设备名称按照拓扑标识修改，注意区分大小写）
1、ISP路由器仅配置IP地址
2、test-1和test-2仅作为代替终端设备进行测试使用，路由采用静态路由
3、R1/R2之间使用OSPF做到内网全通，单区域，OSPF进行宣告、router-ID分别为1.1.1.1和2.2.2.2；OSPF进程为1
4、PC1-PC4使用DHCP获取地址，地址池名称使用1，2
5、PC1不能访问PC5，acl编号为3000
6、R2出口只拥有一个公网IP
7、test-1设备可以登录内网telnet服务器，test-2不行；acl编号为3000
8、telnet服务器的账号密码为huawei/123456
9、内网用户可以正常访问ISP（边界做默认路由）
10、公网设备的路由表不能有私网的路由，使用nat（acl编号为2000）
11、内网设备的路由表不能有公网的路由，边界下发默认路由
12、VLAN及IP规划查看附件材料（所有trunk链路按照最少VLAN透传原则放通）

第一步：实现PC1~PC4使用DHCP获取地址，地址池名称使用1，2

其中PC1~PC4的要求如下表格

设备	VLAN	IP网段	网关	备注
PC1	2	192.168.1.0/27	192.168.1.30/27
PC2	3	192.168.1.32/27	192.168.1.62/27
PC3	2	192.168.64/27	192.168.1.94/27
PC4	3	192.168.96/27	192.168.1.126/27
telnet Server	4	192.168.1.128/27		R1:192.168.1.158/27； telnet server： 192.168.1.129/27
R1-R2		192.168.1.160/30		R1:192.168.1.161/30； R2:192.168.1.162/30
R2-ISP		202.1.1.0/30		R2:202.1.1.1/30；ISP： 202.1.1.2/30
ISP---test1---test-2		203.1.1.0/24		ISP：203.1.1.254/24；test1：203.1.1.1/24；test-2： 203.1.1.2/24
PC5		203.1.1.0/24	203.1.1.254	IP：203.1.1.100

交换机LSW1上创建V 2,V 3和V4 ，将接口划分给V2，V3和V4。

[LW1]v 2
[LW1-vlan2]v 3
[LW1-vlan3]v 4
[LSW1]int g 0/0/2
[LSW1-GigabitEthernet0/0/2]po li a
[LSW1-GigabitEthernet0/0/2]po de v 2
[LSW1]int g 0/0/3
[LSW1-GigabitEthernet0/0/3]po li a
[LSW1-GigabitEthernet0/0/3]po de v 3
[LSW1]int g 0/0/4
[LSW1-GigabitEthernet0/0/4]po li a 
[LSW1-GigabitEthernet0/0/4]po de v 4

LSW1接口0/0/1允许V2,V3和V4通过，接口类型trunk 

[LSW1]int g 0/0/1
[LSW1-GigabitEthernet0/0/1]po li t
[LSW1-GigabitEthernet0/0/1]po t a v 2 3 4
[LSW1-GigabitEthernet0/0/1]

AR1路由器上，配置子接口0/0/0.1IP地址作为PC1的网关，定义通讯类型为V 2

[R1]v 2
[R1-vlan2]int g 0/0/0.1
[R1-GigabitEthernet0/0/0.1]ip add 192.168.1.30 27
[R1-GigabitEthernet0/0/0.1]dot1q termination v 2 定义子接口的通讯协议类型
[R1-GigabitEthernet0/0/0.1]arp broadcast enable 子接口默认情况下没有应答功能需要开启广播，需要开启广播功能

AR1路由器开启DHCP服务，创建ip地址池名为1

[R1]dhcp enable 
[R1]ip pool 1
[R1-ip-pool-1]network 192.168.1.0 mask 27 
[R1-ip-pool-1]gateway-list 192.168.1.30   #网关地址要与子接口IP地址一致

在接口调用IP地址池
[R1-ip-pool-1]int g 0/0/0.1 
[R1-GigabitEthernet0/0/0.1]dhcp select global 

PC1使用开启DHCP服务获取IP地址

配置子接口0/0/0.2IP地址作为PC2的网关，定义通讯类型为V 3，开启广播通告

[R1]v 3
[R1-vlan3]int g 0/0/0.2
[R1-GigabitEthernet0/0/0.2]ip add 192.168.1.62 27 
[R1-GigabitEthernet0/0/0.2]dot1q termination v 3  
[R1-GigabitEthernet0/0/0.2]arp broadcast enable 

创建IP地址池

[R1]ip pool 2
[R1-ip-pool-2]network 192.168.1.32 mask 27
[R1-ip-pool-2]gateway-list 192.168.1.62  #网关地址要与子接口IP地址一致

在接口调用IP地址池
[R1-ip-pool-2]int g 0/0/0.2
[R1-GigabitEthernet0/0/0.2]dhcp se g    

PC2使用开启DHCP服务获取IP地址

完成了PC1和PC2的ip地址

对Telnet Server路由器配置IP地址

[Telnet]int g 0/0/0
[Telnet-GigabitEthernet0/0/0]ip add 192.168.1.129 27
 IP on the interface GigabitEthernet0/0/0 has entered the UP state. 
[Telnet-GigabitEthernet0/0/0]

AR1配置子接口0/0/0.3IP地址为192.168.1.158/27作为Telnet的网关，，定义通讯类型为V 4，开启广播通告

[R1]int g 0/0/0.3
[R1-GigabitEthernet0/0/0.3]ip add 192.168.1.158 27  
[R1-GigabitEthernet0/0/0.3]dot1q termination v 4
[R1-GigabitEthernet0/0/0.3]arp bro en

Telnet路由器使用缺省路由指向AR1，下一跳地址为0/0/0.3接口IP地址。实现Telnet路由器的回复功能。实现ping通

[Telnet]ip route-static 0.0.0.0 0 192.168.1.158

使用Telnet路由器进行测试，ping通PC1和PC2，保证了下方的路由器信息通讯完成。

实现PC3和PC4的IP地址获取

同理LSW2上创建V 2和V 3 ，将接口划分给V2和V3。

[LSW2]v 2
[LSW2-vlan2]v 3
[LSW2-vlan3]int g 0/0/2
[LSW2-GigabitEthernet0/0/2]po li a
[LSW2-GigabitEthernet0/0/2]po de v 2
[LSW2-GigabitEthernet0/0/2]int g 0/0/3
[LSW2-GigabitEthernet0/0/3]po li a 
[LSW2-GigabitEthernet0/0/3]po de v 3
[LSW2-GigabitEthernet0/0/3]int g 0/0/1
[LSW2-GigabitEthernet0/0/1]po li t 
[LSW2-GigabitEthernet0/0/1]po t a v 2 3
[LSW2-GigabitEthernet0/0/1]

LSW2创建子接口0/0/0.1IP地址为192.168.1.94/27作为PC3的网关，定义通讯类型为V 2，开启广播通告

配置子接口0/0/0.2IP地址为192.168.1.126/27作为PC4的网关，定义通讯类型为V 3，开启广播通告

[R2]v 2
[R2-vlan2]v 3
[R2-vlan3]int g 0/0/0.1
[R2-GigabitEthernet0/0/0.1]ip add 192.168.1.94 27
[R2-GigabitEthernet0/0/0.1]dot1q te v 2
[R2-GigabitEthernet0/0/0.1]arp bro enable 
[R2]int g 0/0/0.2
[R2-GigabitEthernet0/0/0.2]ip add 192.168.1.126 27
[R2-GigabitEthernet0/0/0.2]do te v 3 
[R2-GigabitEthernet0/0/0.2]arp bro enable 

AR2路由器开启DHCP服务，创建ip地址池名为1

[R2]dhcp enable 
[R2]ip pool 1
[R2-ip-pool-1]network 192.168.1.64 mask 27
[R2-ip-pool-1]gateway-list 192.168.1.94

在接口调用IP地址池
[R2-ip-pool-1]int g 0/0/0.1
[R2-GigabitEthernet0/0/0.1]dhcp se g

创建ip地址池名为2

[R2]ip pool 2
[R2-ip-pool-2]network 192.168.1.96 mask 27
[R2-ip-pool-2]gateway-list 192.168.1.126

接口调用IP地址池
[R2-ip-pool-2]int g 0/0/0.2
[R2-GigabitEthernet0/0/0.2]dhcp se g

PC3使用开启DHCP服务获取IP地址

PC4使用开启DHCP服务获取IP地址

PC3pingPC4进行测试

完成了PC1~PC4之间的IP地址配置

第二步：R1/R2之间使用OSPF做到内网全通，单区域，OSPF使用进行宣告router-ID分别为1.1.1.1和2.2.2.2；OSPF进程为1

配置R1-R2之间的网段IP地址，
[R1]int g 0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.1.161 30
[R1-GigabitEthernet0/0/1]

[R2]int g 0/0/1
[R2-GigabitEthernet0/0/1]ip add 192.168.1.162 30
[R2-GigabitEthernet0/0/1]

R1使用OSPF进行宣告，宣告3个子接口和0/0/1接口

router-ID分别为1.1.1.1，OSPF进程为1

[R1]ospf 1 rou 1.1.1.1
[R1-ospf-1]a 0
[R1-ospf-1-area-0.0.0.0]network 192.168.1.30 0.0.0.0   
[R1-ospf-1-area-0.0.0.0]network 192.168.1.62 0.0.0.0
[R1-ospf-1-area-0.0.0.0]network 192.168.1.158 0.0.0.0
[R1-ospf-1-area-0.0.0.0]network 192.168.1.161 0.0.0.0
[R1-ospf-1-area-0.0.0.0]

R2使用OSPF进行宣告，宣告2个子接口和0/0/1接口

router-ID分别为2.2.2.2；OSPF进程为1

[R2]ospf 1 rou 2.2.2.2
[R2-ospf-1]a 0
[R2-ospf-1-area-0.0.0.0]netw    
[R2-ospf-1-area-0.0.0.0]network 192.168.1.94 0.0.0.0
[R2-ospf-1-area-0.0.0.0]network 192.168.1.126 0.0.0.0
[R2-ospf-1-area-0.0.0.0]network 192.168.1.162 0.0.0.0
[R2-ospf-1-area-0.0.0.0]

使用PC3进行测试PING通内网

第三步：配置外网IP地址，ISP路由器仅配置IP地址，test-1和test-2仅作为代替终端设备进行测试使用，路由采用静态路由，实现外网全通。

配置R2-R3之间的IP地址

[R2]int g 0/0/2
[R2-GigabitEthernet0/0/2]ip add 202.1.1.1 30
[R2-GigabitEthernet0/0/2]

[ISP]int g 0/0/0
[ISP-GigabitEthernet0/0/0]ip add 202.1.1.2 30

[ISP-GigabitEthernet0/0/0]int g 0/0/1
[ISP-GigabitEthernet0/0/1]ip add 203.1.1.254 24

[test-1]int g 0/0/0
[test-1-GigabitEthernet0/0/0]ip add 203.1.1.1 24
[test-1-GigabitEthernet0/0/0]

[test-2]int g 0/0/0
[test-2-GigabitEthernet0/0/0]ip add 203.1.1.2 24
[test-2-GigabitEthernet0/0/0]

PC5使用静态

test-1和test-2仅作为代替终端设备进行测试使用，路由采用静态路由,缺省向上指。

[test-1]ip route-static 0.0.0.0 0 203.1.1.254
[test-2]ip route-static 0.0.0.0 0 203.1.1.254
使用ISP路由器进行测试外网环境

第四步：R2出口只拥有一个公网IP，公网设备的路由表不能有私网的路由，使用nat（acl编号为2000）内网设备的路由表不能有公网的路由，边界下发默认路由。

边界路由器可以向下发送缺省路由，但是不可以进行回复。访问外网时没有明确要求注意：实现内外网访问时，边界路由器需要配置一跳缺省路由指向外网
创建缺省路由：
[R2]ip route-static 0.0.0.0 0 202.1.1.2 （下一路由器的接口）
[R2]ospf 1
[R2-ospf-1]default-route-advertise （向下强制）

对于访问外网时可以使用ACL技术进行抓取内网流量，将源地址为192.168.1.0/24网段的流量抓取向外网发送。再发送之前使用NAT技术进行构造。

注意！！！抓取流量时是对于源ip使用基本ACL。
[R2]acl 2000
[R2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255--动作必须为允许
[R2-acl-basic-2000]int g 0/0/2  
[R2-GigabitEthernet0/0/2]nat outbound 2000----接口调用
[R2-GigabitEthernet0/0/2]

使用PC1进行测试，PING通外网test-1.test-2和PC5。

实现了内网ping通了外网，外网是不需要ping通内网的。

第五步：实现PC1不能访问PC5，acl编号为3000和test-1设备可以登录内网telnet服务器，test-2不行；acl编号为3000且telnet服务器的账号密码为huawei/123456

实现PC1不能访问PC5，acl编号为3000

使用高级ACL；基于源目IP、IP报文协议字段、IP报文优先级、IP报文长度、TCP源目端口号、UDP源目端口 等信息来定义规则。

使用高级ACL，靠近源进行配置。

R1路由器靠近源PC1，在R1上进行配置

[R1]acl 3000
[R1-acl-adv-3000]rule deny ip source 192.168.1.29 0 destination 203.1.1.100 0

自定规则拒绝源IP192.168.1.29访问目的IP203.1.1.100
[R1-acl-adv-3000]int g0/0/0.1

[R1-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000

PC1流量进入子接口0/0/0.1，故在子接口进行调用
[R1-GigabitEthernet0/0/0.1]

PC1进行测试，尝试pingPC5

可以看出PC1不能访问PC5，但是可以访问其他地址。

test-1设备可以登录内网telnet服务器，test-2不行；acl编号为3000且telnet服务器的账号密码为huawei/123456

在Telnet服务器上启Telnet开启过程
telnet server enable ----已经默认开启，不需要配置该命令
user-interface vty 0 4----开启用户接口名称为vty且开启5个接口
authentication-mode aaa----设定使用AAA作为用户接口的认证模式， 即登录方式
退出视图，创建用户名和密码
aaa----进入aaa视图
local-user huawei password cipher 123456----创建本地用户命名为huawei的用户,设置密码123456,其中cipher表示以本地密文形式保存于本地中。
local-user huawei privilege level 15----设置用户huawei等级为15（最高等级）
local-user huawei service-type telnet----设定huawei用户登录设备所使用的协议为telnet
 

在R1上测试telnet是否成功

外网想登入内网的telnt需要再边界路由（R2）的出接口处做边界映射。
[R2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface  telnet inside 192.168.1.129 telnet 
current-interface:使用当前接口作为公网IP，及是R2的出接口IP地址0/0/2是外网telnet的IP地址
inside 192.168.1.129 telnet：登入的telnet的ip地址

使用test-1，test-2进行telnet测试成功。注意telent登入的地址为R2的出接口IP地址

实现test-1设备可以登录内网telnet服务器，test-2不行

使用高级ACL拒绝外网登入内网

[R2-acl-adv-3000]rule deny tcp source 203.1.1.2 0 destination-port eq 23

source 203.1.1.2 源IP地址及test-2
destination-port eq 23：端口号为23及telnet服务的端口号
注意记得！！！！再0/0/2接口进行调用。

使用test-1，test-2进行telnet测试成功。test-2一直登不上telnet