第一步:分析实验
1.分析地址
互联网区不需要进行网段划分
核心区需要添加两个网段
12.1.1.0/24
13.1.1.0/24
用户区三个网段
8.8.8.0/24
192.168.1.0/24
192.168.2.0/24
办公区两个网段
192.168.3.0/24
192.168.4.0/24
2.互联网区域ripv2
3.内网区域使用OSPF动态路由协议
注意分布式部署时区域的划分,从左到右应为area1,area0,area3,边界路由为R2和R3
加快收敛速度,保证接口安全,后面在进行讨论
4.其余配置为附加配置我们稍后处理
第二步,基础配置
由于网络较为复杂,我们进行分区基础配置
1.互联网区配置
1)地址配置
R5
R4
PC9
server3
在这里开启http服务,我们需要模拟一个http页面,我在桌面上建立了一个文件夹,内部存放一个html文件,将文件夹位置和服务器上的http位置绑定起来,为了实现域名解析,我们还需要建立一台域名解析服务器(目前也只能这样处理了)
建立域名解析服务器
在这里先绑定一下域名
2)测试连通性
R4测试
R5测试
直连成功
3)进行ripv2宣讲
[R4]rip 1
[R4-rip-1]version 2
[R4-rip-1]network 8.0.0.0
[R4-rip-1]network 100.0.0.0
[R5]rip 1
[R5-rip-1]version 2
[R5-rip-1]network 100.0.0.0
4)再次测试
R4ping100.1.4.2
pc上测试域名
互联网区配置完毕,接下来去内网配置
2.内网配置
基础地址配置
1)核心区配置
R1
R2
R3
测试连通性
R1—》R2,R3
测试成功
2)用户区配置
使用dhcp下放网段
[R2]dhcp enable
Info: The operation may take a few seconds. Please wait for a moment.done.
[R2]ip pool 1
Info: It's successful to create an IP address pool.
[R2-ip-pool-1]network 192.168.1.0 mask 24
[R2-ip-pool-1]gateway-list 192.168.1.1
[R2-ip-pool-1]dns-list 8.8.8.8
[R2-ip-pool-1]q
[R2]interface g0/0/1
[R2-GigabitEthernet0/0/1]dhcp select global
[R2-GigabitEthernet0/0/1]q
[R2]ip pool 2
Info: It's successful to create an IP address pool.
[R2-ip-pool-2]network 192.168.2.0 mask 24
[R2-ip-pool-2]gateway-list 192.168.2.1
[R2-ip-pool-2]dns-list 8.8.8.8
[R2-ip-pool-2]q
[R2]interface g0/0/2
[R2-GigabitEthernet0/0/2]dhcp select global
[R2-GigabitEthernet0/0/2]q
服务器的配置:同时开启http和dns服务就行
客户端配置
3)办公区配置
dhcp下放
[R3]dhcp enable
Info: The operation may take a few seconds. Please wait for a moment.done.
[R3]ip pool 1
Info: It's successful to create an IP address pool.
[R3-ip-pool-1]network 192.168.3.0 mask 24
[R3-ip-pool-1]gateway-list 192.168.3.1
[R3-ip-pool-1]dns-list 8.8.8.8
[R3-ip-pool-1]q
[R3]interface g0/0/1
[R3-GigabitEthernet0/0/1]dhcp select global
[R3-GigabitEthernet0/0/1]q
[R3]ip pool 2
Info: It's successful to create an IP address pool.
[R3-ip-pool-2]network 192.168.4.0 mask 24
[R3-ip-pool-2]dns-list 8.8.8.8
[R3-ip-pool-2]gateway-list 192.168.4.1
[R3-ip-pool-2]q
[R3]interface g0/0/2
[R3-GigabitEthernet0/0/2]dhcp select global
[R3-GigabitEthernet0/0/2]q
客户端配置
OSPF动态路由协议配置
R1
[R1]ospf router-id 1.1.1.1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 13.1.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]q
R2
[R2]ospf router-id 2.2.2.2
[R2-ospf-1]area 1
[R2-ospf-1-area-0.0.0.1]network 8.8.8.0 0.0.0.255
[R2-ospf-1-area-0.0.0.1]network 192.168.1.0 0.0.0.255
[R2-ospf-1-area-0.0.0.1]network 192.168.2.0 0.0.0.255
[R2-ospf-1-area-0.0.0.1]q
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]net
[R2-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255
R3
[R3]ospf router-id 3.3.3.3
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 13.1.1.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]q
[R3-ospf-1]area 2
[R3-ospf-1-area-0.0.0.2]network 192.168.4.0 0.0.0.255
[R3-ospf-1-area-0.0.0.2]network 192.168.3.0 0.0.0.255
[R3-ospf-1-area-0.0.0.2]q
内网连通性测试
在PC1中进行ping
测试完毕,网络正常
测试域名解析情况,客户端测试
内网配置正常
3.内网连接外网(NAT转换)
这里使用EASY NAT进行转换
[R1]ip route-static 0.0.0.0 0 100.1.1.2
[R1]ospf router-id 1.1.1.1
[R1-ospf-1]default-route-advertise
[R1-ospf-1]q
//书写指向外部的缺省,以及边界缺省
[R1]acl 2000
[R1-acl-basic-2000]rule 1 permit source any
[R1-acl-basic-2000]q
[R1]interface g0/0/2
[R1-GigabitEthernet0/0/2]nat ?
outbound Specify net address translation
server Specify NAT server
static Specify static NAT
[R1-GigabitEthernet0/0/2]nat outbound ?
INTEGER<2000-3999> Apply basic or advanced ACL
[R1-GigabitEthernet0/0/2]nat outbound 2000
[R1-GigabitEthernet0/0/2]q
//实现easy nat
测试连通性
pc1ping 100.1.1.2
出外网成功
测试访问外网的网址
在内外网同时有8.8.8.8这个服务器时,会优先访问内网的解析服务器,可以将外网域名对应关系存储至内网
至此,内网所有主机均可访问外网,并进行网页访问
第三步,扩展配置
3.保证接口安全,加快收敛速度
1)核心区域进行接口加密
[R1-GigabitEthernet0/0/1]ospf authentication-mode simple cipher batman
[R1-GigabitEthernet0/0/0]ospf authentication-mode simple cipher huawei
[R2-GigabitEthernet0/0/0]ospf authentication-mode simple cipher huawei
[R3-GigabitEthernet0/0/0]ospf authentication-mode simple cipher batman
注意此类型加密密码不要写成一样的,会导致通信中断
2)缩短hello包的发送速度
[R1-GigabitEthernet0/0/0]ospf timer hello 8
[R2-GigabitEthernet0/0/0]ospf timer hello 8
[R2-GigabitEthernet0/0/1]ospf timer hello 8
[R3-GigabitEthernet0/0/0]ospf timer hello 8
5.图中pc处于vlan2,client处于vlan3
进入交换机进行配置
6.办公区内外网的网址都可以访问
7.用户区只可访问外网地址www.cloud.com
这里需要在R2上架设高级acl
[V200R003C00]
#
acl number 3000
rule 1 deny tcp source 192.168.1.0 0.0.0.255 destination 8.8.8.8 0 destination-port eq www
rule 2 deny tcp source 192.168.2.0 0.0.0.255 destination 8.8.8.8 0 destination-port eq www
#
return
[R2-acl-adv-3000]
//出口处架设acl3000
[R2-GigabitEthernet10/0/0]traffic-filter outbound acl 3000
测试成功
8.R4可以远程登录R2
1)开启R2上面的远程登录
[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode aaa
[R2-ui-vty0-4]q
[R2]aaa
//设置用户名密码
[R2-aaa]local-user batman password cipher huawei
Info: Add a new user.
//给与权限
[R2-aaa]local-user batman privilege level 15
//选择服务类型
[R2-aaa]local-user batman service-type telnet
[R2-aaa]
测试一下
2)在边界路由处做端口映射
为了安全起见进行协议映射
[R3-GigabitEthernet0/0/2]nat server protocol tcp global 100.1.1.3 telnet inside 12.1.1.2 telnet
在R4上测试
总结:
1.服务器的服务可以一个服务器开多个服务
2.接口加密时,密码要区分开
3858
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
