描述:企业内网和运营商网络如上图所示。
公网IP段:12.1.1.0/24。
内网IP段:192.168.1.0/24。
公网口PPPOE 拨号采用CHAP认证,用户名:admin 密码:Admin@123
财务PC 配置静态IP:192.168.1.8
R1使用模拟器中的AR201型号,作为交换路由一体机,下图的WAN口为E0/0/8口,可以在该接口下配置IP地址。
可以通过display ip interface brief查看IP地址接口
由上图就可以看到E0/0/8口是具备配置IP地址的,因为WAN口也是路由接口。
这台设备的E0/0/0口是可以切换为WAN口的,默认情况下它是交换机的LAN口,
那么如何把E0/0/0接口由二层交换接口切换为三层路由接口/WAN口?
需要进入到E0/0/0接口下,通过命令undo portswitch 关闭交换口,提升为路由口,那么E0/0/0接口就可以配置IP地址。如果没关闭,那么它无法配置IP地址,类似与交换机的接口无法配置IP地址。
实验要求:
(1)出口采用PPPOE拨号接入运营商(公网地址自动获取)。
(2)R1作为内网用户的网关,内网用户自动获取IP地址,财务除外。
DHCP 预留192.168.1.2-192.168.1.10 用于特殊设备静态配置。
(3)财务PC 不允许访问外网。
(4)R1 开启telent 功能,方便远程管理。
(5)所有用户都可以访问外网。
配置步骤:
1、配置PC 1、Server和接口IP
财务PC 1:
Server:
R1:
R1是路由交换一体设备,因此把vlanif 1作为内网网关
网关配置完,可以使用财务PC进行ping 验证是否联通。
R2:
2、PPPoE配置
(1)先配置PPPoE客户端R1
[R1]int Dialer 1 #创建拨号接口
[R1-Dialer1]link-protocol ppp #配置链路类型PPP
#配置客户端拨号接口的认证功能--CHAP认证
[R1-Dialer1]ppp chap user admin #配置PPP认证用户
[R1-Dialer1]ppp chap password cipher Admin@123 #配置认证密码
#客户端获取上网地址通过服务端的IP地址池协商获得
[R1-Dialer1]ip add ppp-negotiate
[R1-Dialer1]dialer user admin #配置拨号接口用户名
[R1-Dialer1]dialer bundle 1 #指定当前拨号接口使用的拨号绑定
[R1-Dialer1]tcp adjust-mss 1200
[R1-Dialer1]quit
[R1]int e0/0/8
#将出接口E0/0/8与拨号口进行绑定
[R1-Ethernet0/0/8]pppoe-client dial-bundle-number 1
[R1-Ethernet0/0/8]quit
(2)再配置PPPOE服务端R2
a. 先创建地址池,指定分配的IP地址和网关
[R2]ip pool ISP_pool
[R2-ip-pool-ISP_pool]network 12.1.1.0 mask 24
[R2-ip-pool-ISP_pool]gateway-list 12.1.1.2
[R2-ip-pool-ISP_pool]quit
[R2]
b. 接着创建虚拟模版
[R2]interface Virtual-Template 1 #创建虚拟模板接口
[R2-Virtual-Template1]ppp authentication-mode chap #添加PPP认证
#在虚拟模板接口下为远程连接或VPN客户端指定一个地址池
[R2-Virtual-Template1]remote address pool ISP_pool
[R2-Virtual-Template1]ip add 12.1.1.2 24
[R2-Virtual-Template1]quit
[R2]
c. 将指向客户端的物理接口G0/0/0与虚拟模板绑定
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]pppoe-server bind virtual-template 1
[R2-GigabitEthernet0/0/0]quit
[R2]
d. 配置CHAP的认证方用户信息
[R2]aaa
[R2-aaa]local-user admin password cipher Admin@123
[R2-aaa]local-user admin service-type ppp
[R2-aaa]quit
[R2]
(3)PPPOE的客户端与服务端配置好之后,进行验证,查看R1拨号接口是否可以获取到IP地址。
在R1上通过display ip interface brief 可以查看拨号接口是否获取到IP地址,下图结果获取到12.1.1.254的上网IP地址,网络测试能连通到运营商网络。
3、配置DHCP
[R1]dhcp enable
[R1]int vlan 1
[R1-Vlanif1]dhcp select interface
[R1-Vlanif1]dhcp server dns-list 114.114.114.114 223.5.5.5
[R1-Vlanif1]dhcp server excluded-ip-address 192.168.1.2 192.168.1.10
[R1-Vlanif1]quit
[R1]
将PC 2/3/4设置为自动获取,查看是否获取IP地址成功
PC 2:
PC 3:
PC 4:
能获取IP地址说明与网关可以连通。
现在用户还没法去访问外网百度,因为还没配置NAT转换和缺省路由。
4、配置NAT和缺省路由
创建ACL,在拨号接口下调用匹配规则
[R1]acl 2001
[R1-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2001]quit
[R1]int dialer 1
[R1-Dialer1]nat outbound 2001
[R1-Dialer1]quit
#.配置本端到达服务器端的缺省路由
[R1]ip route-static 0.0.0.0 0.0.0.0 dialer1
[R1]
配置完之后,内网的用户就可以访问外网百度了。
5、配置ACL过滤财务禁止访问外网
没配置ACL规则过滤之前,财务PC还是可以访问到外网的。
在R1上配置ACL拒绝192.168.1.8访问,有两种方法:
第一种就是在R1的E0/0/0接口上,数据的inbound口下调用过滤192.168.1.8;
第二种就是在R1的拨号接口上,数据的outbound口下调用过滤192.168.1.8;
但是第二种方法由于模拟环境中的拨号接口上调用会出现不生效的情况,可以配置,但是实现不了禁止192.168.1.8访问外网,实际中的设备是可以生效的。
那么本实验就使用第一种方法来做。
上图创建完ACL规则之后,为啥不能调用在E0/0/0接口呢?原因是E0/0/0接口属于二层接口,而E0/0/0和E0/0/1接口都属于在vlanif 1中,vlanif属于三层接口,因此需在vlanif 1接口下调用ACL。
财务PC这时再去ping就无法访问到外网了
为了验证第二种方法,也可以尝试去配置看看效果。
首先需要到vlanif接口下undo掉刚调用的acl,然后再去出接口dialer 1接口下调用:
[R1]int vlan 1
[R1-Vlanif1]undo traffic-filter inbound
[R1-Vlanif1]quit
[R1]int Dialer 1
[R1-Dialer1]traffic-filter outbound acl 2005
[R1-Dialer1]quit
[R1]
接着让财务PC访问外网,下图可以看到由于模拟器环境的原因导致ACL无法生效。
6、配置Telnet远程管理R1设备
(1)配置AAA,用户名:admin 密码:admin@123 权限等级为3
用户服务类型为Telnet
[R1]aaa
[R1-aaa]local-user admin privilege level 3 password cipher admin@123
[R1-aaa]local-user admin service-type telnet
(2)开启Telnet服务,设备默认开启,因此输入命令会出现报错说已经开启。
telnet server enable
(3)创建登录用户
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode aaa
[R1-ui-vty0-4]protocol inbound telnet #默认允许Telnet远程
(4)在R2进行验证,如下图Telnet远程成功。
扫一扫
1578
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
