文章目录
实验介绍
实验拓扑
实验需求
- R1-R2-R3-R4-R5运行RIPv2,R6-R7运行RIPv1
- 使用合理地址规划网络,各自创建环回接口
- R1创建环回172.16.1.1/24,172.16.2.1/24,172.16.3.1/24
- 要求R3使用R2访问R1环回
- 减少路由条目数量,增加传递安全性
- R5创建一个环回模拟运营上,不能宣告
- R1 telnet R2环回实际telnet到R7上
- R6-R7不能学习到R1环回的路由
- 全网可达
实验思路
IP地址规划
- 由于实验中运行了两个协议,所以每个协议使用一个网段方便汇总,因为RIPv1传递路由信息不携带掩码,所以运行RIPv1的每个网段都是一个主类网段,所以v1区域分配192.168.0.0/16的网段,每个路由器使用掩码为24的网段,运行RIPv2的区域分配172.16.0.0/16的网段
- RIPv1中有两个路由器和一个骨干链路,需要三个掩码为24的网段,故分配192.168.2.0/24给R7的环回,192.168.3.0/24给R6-R7间的骨干链路,192.168.0.0/24给R6的环回
- RIPv2中有5个路由器和5个骨干链路,每个路由器分配一个掩码为24的网段,所有骨干链路共用一个掩码为24的网段,由于R1上已有三个环回,故不在分配网段给R1
骨干链路:172.16.4.0/24
R1-R2:172.16.4.0/30
R1-R4:172.16.4.4/30
R2-R3:172.16.4.8/30
R4-R3:172.16.4.12/30
R4-R5:172.16.4.16/30
R2:172.16.5.0/24
R3:172.16.6.0/24
R4:172.16.7.0/24 - RIPv1和RIPv2间的路由使用192.168.1.0/24的网段
- R5上配置一个环回模仿ISP,网段为12.1.1.0/24
路由配置
区域内路由
- R1-R2-R3-R4运行RIPv2,并宣告所有接口,R5运行RIPv2,只宣告处于172.16.0.0/16的网段
- R6-R7运行RIPv1,R7,R6宣告所有接口
- R1在接口配置手工汇总
区域间路由
- 在R6与RIPv2相连接口上配置修改RIP版本,使该接口可以收发RIPv2的数据包
访问公网
本实验只需在R5上进入RIPv2发布一条缺省
路由控制
- 要求R3使用R2访问R1环回,即在R3上增加通过R4学到的R1环回路由信息的开销值,使得R3选择R2发来的路由,也可以配置不接收R4发来的R1上的环回路由信息,但不接受的话就没有备份路径,如果R2-R3断开则会导致R2无法于R1的环回通信,所以我们选择在R3上配置增加收到的R4发来的R1上的环回路由信息的开销
- 要求R6-R7不能学习到R1环回的路由,我们可以使用分发列表(filter-policy)直接干掉R1环回的路由信息,可以在R4的出方向做分发列表,使R4不向R6发送R1环回的路由信息,或者在R6的入方向做分发列表,使R6不接收R1环回的路由信息
手工认证
为增加安全性,所以在运行RIPv2的路由器间配置手工认证
端口映射
-
要求R1 telnet R2环回实际telnet到R7上,其实就是在R1 telnet
R2,流量进入R2时,在进入R2的接口上配置NAT端口映射,使得R1的流量进入接口修改目标IP,R7回复的流量经过R2的接口时,修改源IP。 -
使用NAT要求以配置NAT的端口为界,出为外网,入为内网,R1的流量和R7的流量都将经过R2转发,这就对流量的方向做了限制,流量方向如下图所示
- R2到R7是负载均衡,经过R1和R3,但我们想要R2访问R7经由R3,所以我们在R2上选择增加R1发来的关于R7的路由的开销值,使R2选择R3
- R7回复R1时,流量经过转发来到R4上,R4会选择直接将流量转发给R1,由于没经过R2修改源IP,导致R1丢弃该流量,所以我们在R4上选择增加R1发来的关于R1的G0/0/0接口路由的开销值。R4访问R1的G 0/0/0口时由R3转发
- 注:实验中配置完成后发现R1在telnetR2的环回时,并不能telnet到R7上,抓包发现:在R1 telnet R2时,R1同R2首先三次握手后建立TCP连接,但建立连接后R1向R2的环回发送telnet数据时,R2就会强制关闭TCP连接,并在R1上提示不支持空认证,怀疑时R2配置的端口映射没有起效果
- 由于R1 无法telnet R2 的环回,我在R2的给G0/0/1口做端口映射,使R1 telnet R2的 G0/0/1口实际 telnet到R7上,配置完成后发现 R1 telnet R2的 G0/0/1口 可以telnet到R7上,至于本实验中为什么使用环回做端口映射不成功,我还不知道为什么