1.实验背景简介
A 公司和 B 公司均通过运营商线路接入互联网,公司员工通过出口路由器访问互联网,同时 B 公司一台终端需要通过互联网访问 A 公司的服务器。
2.拓扑图
实验拓扑说明:
- R1、R2、R3、R4 属于区域互联网区;
- R5、SW1、SW2、L1、L2、PC1、PC2、PC3、Server 属于 A 公司;
- R6、L3、PC4、PC5、Client 属于 B 公司;
- 设备互联接口规划和 IP 地址规划如图所示。
3.实验需求
1.互联网Internet区域
1.R1-R3三台设备均开启 telnet,R4 开启 SSH,关闭 telnet,用户名密码均为 ruijie,enable 密码为 ruijie;
2.R1、R2、R3之间运行 OSPF 协议(修改接口网络类型为 P2P),其中 R1 和 R2 之间为区域 0,R2 和 R3 之间为区域 1。R3 和 R4 之间运行 RIP议。通过路由重分布,使得 R1、R2、R3 和 R4 的 loopback 0地址可以互通,并且 OSPF 区域内学习到的重分布进来的外部路由类型为 OE1;
3.通过ACL,禁止 1.1.1.1 telnet 3.3.3.3,但是允许 1.1.1.1 到 3.3.3.3 的其他通信数据流;
2.A公司
1.A公司共有技术部和销售部 2 各部门,各自部门内均为 10 台 PC,其中技术部位于 VLAN 10,销售部位于 VLAN 20;
2.总部局域网终端规划了 1 个 C 类地址段 192.168.1.0/24,需要对该地址段划分子网,请根据各部门具体情况,划分合适的子网;(解析:两个部门各有10台PC,因此在划分子网时,需考虑到VRRP的设计中会占用3个地址(2 台设备的真实网关地址和虚拟网关地址),同时还有子网的网络号和广播号,所以划分后的子网中IP地址数量要大于(15+10+3+2)。
因此可以划分的子网掩码长度为 28 位,子网内共计 16 个地址。划分后的子网如下:
VLAN 10,192.168.1.0/28,可用地址范围 192.168.1.1-11,VRRP 占用的 3 个地址为 192.168.1.12、192.168.1.13、192.168.1.14;
VLAN 20,192.168.1.16/28,可用地址范围 192.168.1.17-27,VRRP 占用的 3 个地址为 192.168.1.28、192.168.1.29、192.168.1.30。)
3.SW1、SW2、L1、L2 之间运行 MSTP+VRRP 协议,VLAN 10 和 VLAN20 分别属于实例 10 和实例 20,实例 10 的主根为 SW1,实例 20 的主根为 SW2。技术部终端的 VRRP master 位于 SW1,销售部的 VRRP master 位于 SW2;
4.VLAN 20内的终端通过 DHCP 获取地址,其中 Server 的地址需要获取固定IP192.168.1.20/28,并开启 telnet 和 SSH 服务,Server 要对外网用户提供服务,且对外提供服务的地址为 R5 外网口,端口号分别为 SSH:8022、telnet:8023;
5.R5、SW1和 SW2 之间运行 OSPF 300,且 SW1 和 SW2 之间只允许通过 VLAN 800 建立邻居关系。公司总部终端均需要访问互联网,通过NAT 技术实现;
3.B公司
1.B公司共划分了 3 个 VLAN,VLAN 10:172.16.1.0/24,VLAN 20:172.16.2.0/24,VLAN 30:172.16.3.0/24;
2.3 个 VLAN 的网关均位于 R6,通过单臂路由实现;
3.3 个 VLAN 内的用户均需要访问互联网,通过 NAT 技术实现;
4.client需要通过互联网访问总部的Server服务器的telnet和SSH服务;
4.互联网区域配置
R1
username ruijie password ruijie #用户名密码均为 ruijie,enable 密码为 ruijie;
!
enable password ruijie
!
ip access-list extended 101
10 deny tcp host 1.1.1.1 host 3.3.3.3 eq telnet #通过 ACL,禁止 1.1.1.1 telnet 3.3.3.3,20 permit ip any any #但是允许 1.1.1.1 到 3.3.3.3 的其他通信数据流;
!
interface GigabitEthernet 0/0
no switchport
ip access-group 101 out
ip address 12.0.0.1 255.255.255.0
ip ospf network point-to-point #修改接口网络类型为 P2P
!
interface GigabitEthernet 0/1
no switchport
ip address 221.205.187.6 255.255.255.248
ip ospf network point-to-point #修改接口网络类型为 P2P
!
interface Loopback 0
ip address 1.1.1.1 255.255.255.255
!
router ospf 300
router-id 1.1.1.1
graceful-restart
network 1.1.1.1 0.0.0.0 area 0
network 12.0.0.0 0.0.0.255 area 0
network 221.205.187.0 0.0.0.7 area 0
!
line vty 0 4
transport input telnet #允许telnet登录
login local
R2
username ruijie password ruijie #用户名密码均为 ruijie,enable 密码为 ruijie
!
enable password ruijie
!
interface GigabitEthernet 0/0
no switchport
ip address 12.0.0.2 255.255.255.0
ip ospf network point-to-point #修改接口网络类型为 P2P
!
interface GigabitEthernet 0/1
no switchport
ip address 23.0.0.2 255.255.255.0
ip ospf network point-to-point #修改接口网络类型为 P2P
!
interface Loopback 0
ip address 2.2.2.2 255.255.255.255
!
router ospf 300
router-id 2.2.2.2
graceful-restart
network 2.2.2.2 0.0.0.0 area 0
network 12.0.0.0 0.0.0.255 area 0
network 23.0.0.0 0.0.0.255 area 1
!
line vty 0 4
transport input telnet #允许telnet登录
login local
R3
username ruijie password ruijie #用户名密码均为 ruijie,enable 密码为 ruijie
!
enable password ruijie
!
interface GigabitEthernet 0/0
no switchport
ip address 34.0.0.3 255.255.255.0
!
interface GigabitEthernet 0/1
no switchport
ip address 23.0.0.3 255.255.255.0
ip ospf network point-to-point #修改接口网络类型为 P2P
!
interface Loopback 0
ip address 3.3.3.3 255.255.255.255
!
interface Loopback 1
ip address 1.0.1.1 255.255.255.255
!
router ospf 300
router-id 3.3.3.3
graceful-restart
redistribute rip metric-type 1 subnets #路由重分布引入,将引入的路由类型改为E1
network 3.3.3.3 0.0.0.0 area 1
network 23.0.0.0 0.0.0.255 area 1
!
router rip
version 2
network 1.0.1.1 0.0.0.0
network 34.0.0.0 0.0.0.255
no auto-summary #关闭自动汇总
redistribute ospf 300 metric 3 #路由重分布引入
graceful-restart
!
line vty 0 4
transport input telnet #允许telnet登录
login local
R4
username ruijie password ruijie #用户名密码均为 ruijie,enable 密码为 ruijie
!
enable password ruijie
enable service ssh-server #开启ssh
no enable service telnet-server #关闭telnet
!
interface GigabitEthernet 0/0
no switchport
ip address 34.0.0.4 255.255.255.0
!
interface GigabitEthernet 0/1
no switchport
ip address 124.166.241.102 255.255.255.248
!
interface Loopback 0
ip address 4.4.4.4 255.255.255.255
!
router rip
version 2
network 4.4.4.4 0.0.0.0
network 34.0.0.0 0.0.0.255
network 124.166.241.96 0.0.0.7
no auto-summary #关闭自动汇总
graceful-restart
!
line vty 0 4
transport input ssh #允许ssh登录
login local
!
5.A公司配置
R5
ip access-list standard 10
10 permit any
!
interface GigabitEthernet 0/0
no switchport
ip address 221.205.187.1 255.255.255.248
ip nat outside #将接口设置为外网口
!
interface GigabitEthernet 0/1
no switchport
ip address 15.0.0.5 255.255.255.0
ip nat inside #将接口设置为内网口
!
interface GigabitEthernet 0/2
no switchport
ip address 25.0.0.5 255.255.255.0
ip nat inside #将接口设置为内网口
!
interface Loopback 0
ip address 9.9.9.9 255.255.255.255
!
interface VLAN 1
!
router ospf 300
graceful-restart
network 9.9.9.9 0.0.0.0 area 0
network 15.0.0.0 0.0.0.255 area 0
network 25.0.0.0 0.0.0.255 area 0
default-information originate always #强制下发默认路由
!
ip nat inside source static tcp 192.168.1.20 22 221.205.187.1 8022 #pat端口映射
ip nat inside source static tcp 192.168.1.20 23 221.205.187.1 8023 #pat端口映射
ip nat inside source list 10 interface GigabitEthernet 0/0 overload #napt
!
ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/0 221.205.187.6
SW1
spanning-tree mst configuration
revision 2
name test
instance 0 vlan 1-9, 11-19, 21-4094
instance 10 vlan 10 #VLAN 10属于实例 10
instance 20 vlan 20 ##VLAN 20属于实例 20
!
spanning-tree mst 10 priority 4096 #实例 10 的主根为 SW1
spanning-tree mst 20 priority 8192 #实例 20 的主根为 SW2
spanning-tree
!
service dhcp
ip dhcp excluded-address 192.168.1.28 192.168.1.30
ip dhcp excluded-address 192.168.1.21 192.168.1.22
ip dhcp excluded-address 192.168.1.17
!
ip dhcp pool users
network 192.168.1.16 255.255.255.248 #VLAN 20 内的终端通过 DHCP 获取地址
dns-server 114.114.114.114
default-router 192.168.1.30
!
ip dhcp pool server
hardware-address 5000.0013.0009 #其中Server的地址需要获取固定IP
host 192.168.1.20 255.255.255.0
default-router 192.168.1.30
!
vlan range 1,10,20,800
!
interface GigabitEthernet 0/0
no switchport
ip address 15.0.0.1 255.255.255.0
!
interface GigabitEthernet 0/1
port-group 1 mode active
!
interface GigabitEthernet 0/2
port-group 1 mode active
!
interface GigabitEthernet 0/3
switchport mode trunk
!
interface GigabitEthernet 0/4
switchport mode trunk
!
interface AggregatePort 1
switchport mode trunk
!
interface Loopback 0
ip address 11.11.11.11 255.255.255.255
!
interface VLAN 10
ip address 192.168.1.12 255.255.255.240
vrrp 10 ip 192.168.1.14
vrrp 10 priority 120 #技术部终端的 VRRP master 位于 SW1
!
interface VLAN 20
ip address 192.168.1.28 255.255.255.240
vrrp 20 ip 192.168.1.30
!
interface VLAN 800
ip address 50.0.0.1 255.255.255.252
!
router ospf 300
graceful-restart
network 11.11.11.11 0.0.0.0 area 0
network 15.0.0.0 0.0.0.255 area 0
network 50.0.0.0 0.0.0.3 area 0
network 192.168.1.0 0.0.0.15 area 0
network 192.168.1.16 0.0.0.15 area 0
!
SW2
spanning-tree mst configuration
revision 2
name test
instance 0 vlan 1-9, 11-19, 21-4094
instance 10 vlan 10 #VLAN 10属于实例 10
instance 20 vlan 20 ##VLAN 20属于实例 20
!
spanning-tree mst 10 priority 8192 #实例 10 的主根为 SW1
spanning-tree mst 20 priority 4096 #实例 20 的主根为 SW2
spanning-tree
!
service dhcp
ip dhcp excluded-address 192.168.1.28 192.168.1.30
ip dhcp excluded-address 192.168.1.21 192.168.1.22
ip dhcp excluded-address 192.168.1.17
!
ip dhcp pool users #VLAN 20 内的终端通过 DHCP 获取地址
network 192.168.1.16 255.255.255.248
default-router 192.168.1.30
!
ip dhcp pool server #其中 Server 的地址需要获取固定 IP 地址 192.168.1.20/28
hardware-address 5000.0013.0009
host 192.168.1.20 255.255.255.0
default-router 192.168.1.30
!
vlan range 1,10,20,800
!
interface GigabitEthernet 0/0
no switchport
ip address 25.0.0.2 255.255.255.0
!
interface GigabitEthernet 0/1
port-group 1 mode active
!
interface GigabitEthernet 0/2
port-group 1 mode active
!
interface GigabitEthernet 0/3
switchport mode trunk
!
interface GigabitEthernet 0/4
switchport mode trunk
!
interface AggregatePort 1
switchport mode trunk
!
interface Loopback 0
ip address 22.22.22.22 255.255.255.255
!
interface VLAN 1
!
interface VLAN 10
ip address 192.168.1.13 255.255.255.240
vrrp 10 ip 192.168.1.14
!
interface VLAN 20
ip address 192.168.1.29 255.255.255.240
vrrp 20 ip 192.168.1.30
vrrp 20 priority 120 #销售部的 VRRP master 位于 SW2;
!
interface VLAN 800
ip address 50.0.0.2 255.255.255.252
!
router ospf 300
router-id 22.22.22.22
graceful-restart
network 22.22.22.22 0.0.0.0 area 0
network 25.0.0.0 0.0.0.255 area 0
network 50.0.0.0 0.0.0.3 area 0
network 192.168.1.0 0.0.0.15 area 0
network 192.168.1.16 0.0.0.15 area 0
!
L1
spanning-tree mst configuration
revision 2
name test
instance 0 vlan 1-9, 11-19, 21-4094
instance 10 vlan 10
instance 20 vlan 20
!
spanning-tree
!
vlan range 1,10,20
!
interface GigabitEthernet 0/0
switchport access vlan 10
!
interface GigabitEthernet 0/1
switchport access vlan 20
!
interface GigabitEthernet 0/7
switchport mode trunk
!
interface GigabitEthernet 0/8
switchport mode trunk
L2
spanning-tree mst configuration
revision 2
name test
instance 0 vlan 1-9, 11-19, 21-4094
instance 10 vlan 10
instance 20 vlan 20
!
spanning-tree
!
vlan range 1,10,20
!
interface GigabitEthernet 0/0
switchport access vlan 10
!
interface GigabitEthernet 0/1
switchport access vlan 20
!
interface GigabitEthernet 0/7
switchport mode trunk
!
interface GigabitEthernet 0/8
switchport mode trunk
Server
因eve-ng中的pc限制,所以使用路由器代替
username admin password admin
!
enable password admin
enable service ssh-server
!
interface GigabitEthernet 0/8
no switchport
ip address dhcp
!
line vty 0 4
transport input ssh
login local
A-vlan20
interface GigabitEthernet 0/0
no switchport
ip address dhcp
!
A-vlan10
ip 192.168.1.1 255.255.255.240 192.168.1.14
6.B公司配置
R6
ip access-list standard 10
10 permit any
!
service dhcp
ip dhcp excluded-address 172.16.1.254
!
ip dhcp pool vlan10
network 172.16.1.0 255.255.255.0
default-router 172.16.1.254
!
vlan range 1,10,20,30
!
interface GigabitEthernet 0/0
no switchport
ip address 124.166.241.97 255.255.255.248
ip nat outside
!
interface GigabitEthernet 0/1
no switchport
!
interface GigabitEthernet 0/1.10
encapsulation dot1Q 10
ip address 172.16.1.254 255.255.255.0
ip nat inside
!
interface GigabitEthernet 0/1.20
encapsulation dot1Q 20
ip address 172.16.2.254 255.255.255.0
ip nat inside
!
interface GigabitEthernet 0/1.30
encapsulation dot1Q 30
ip address 172.16.3.254 255.255.255.0
ip nat inside
!
ip nat inside source list 10 interface GigabitEthernet 0/0 overload
!
ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/0 124.166.241.102
!
L3
ip access-list standard 10
10 permit any
!
service dhcp
ip dhcp excluded-address 172.16.1.254
!
ip dhcp pool vlan10
network 172.16.1.0 255.255.255.0
default-router 172.16.1.254
!
vlan range 1,10,20,30
!
interface GigabitEthernet 0/0
no switchport
ip address 124.166.241.97 255.255.255.248
ip nat outside
!
interface GigabitEthernet 0/1
no switchport
!
interface GigabitEthernet 0/1.10
encapsulation dot1Q 10
ip address 172.16.1.254 255.255.255.0
ip nat inside
!
interface GigabitEthernet 0/1.20
encapsulation dot1Q 20
ip address 172.16.2.254 255.255.255.0
ip nat inside
!
interface GigabitEthernet 0/1.30
encapsulation dot1Q 30
ip address 172.16.3.254 255.255.255.0
ip nat inside
!
ip nat inside source list 10 interface GigabitEthernet 0/0 overload
!
ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/0 124.166.241.102
!
B-vlan10
int gi0/0
no sw
ip add dhcp
B-vlan20
ip 172.16.2.1 255.255.255.0 172.16.2.254
B-vlan30
ip 172.16.3.1 255.255.255.0 172.16.3.254
7.需求验证
1.禁止1.1.1.1 telnet 3.3.3.3,R1-R3 三台设备均开启 telnet,R4 开启 SSH,关闭 telnet,用户名密码均为 ruijie,enable 密码为 ruijie;
2.R1、R2、R3 之间运行 OSPF 协议(修改接口网络类型为 P2P),其中 R1 和 R2 之间为区域 0,R2 和 R3 之间为区域 1。R3 和 R4 之间运行 RIP 协议。通过路由重分布,使得 R1、R2、R3 和 R4 的 loopback 0 地址可以互通,并且 OSPF 区域内学习到的重分布进来的外部路由类型为 OE1;
3.SW1、SW2、L1、L2 之间运行 MSTP+VRRP 协议,VLAN 10 和 VLAN20 分别属于实例 10 和实例 20,实例 10 的主根为 SW1,实例 20 的主根为 SW2。技术部终端的 VRRP master 位于 SW1,销售部的 VRRP master 位于 SW2;
4.A公司VLAN 20 内的终端通过 DHCP 获取地址,其中 Server 的地址需要获取固定 IP 地址 192.168.1.20/28,并开启 telnet 和 SSH 服务,Server 要对外网用户提供服务,且对外提供服务的地址为 R5 外网口,端口号分别为 SSH:8022、telnet:8023
5.R5、SW1 和 SW2 之间运行 OSPF 300,且 SW1 和 SW2 之间只允许通过 VLAN 800 建立邻居关系。公司总部终端均需要访问互联网,通过NAT 技术实现;
6.B公司3 个 VLAN 的网关均位于 R6,通过单臂路由实现
7.B公司3 个 VLAN 内的用户均需要访问互联网,通过 NAT 技术实现;
8.client需要通过互联网访问总部的Server服务器的telnet和SSH服务。