clip_p_w_picpath002
 
综合实验(NAT+×××+VRPP+MST)
技术关键词
Vlan、VTP、VRRP、MST、NTP、DHCP、OSPF、ACL、NAT、×××
1、Vlan信息
Vlan ID
网络地址
名 称
描 述
1
192.168.1.0/24
-
本地vlan
2
192.168.2.0/24
glb
管理部
3
192.168.3.0/24
cwb
财务部
4
192.168.4.0/24
xsb
销售部
5
192.168.5.0/24
cgb
采购部
6
192.168.6.0/24
zzb
制造部
7
192.168.7.0/24
xxzx
信息中心
127
192.168.127.0/24
Srv
服务器组
2、VTP 信息
设备名称
Domain
Prunning
Password
Mode
3550-S-1
Benet
Enable
123
Server
3550-S-2
Benet
Enable
123
Server
2950-S-1
Benet
Enable
123
Client
2950-S-2
Benet
Enable
123
Client
2950-S-3
Benet
Enable
123
Client
2950-S-4
Benet
Enable
123
Client
3、设备IP 地址分配
设备名称
接口
IP地址
描述
位置
BJ-R-1
F0/0
200.1.1.1/24
网通WAN
BJ
F0/1
100.1.1.1/24
电信WAN
BJ
F0/2
192.168.10.254/24
-
BJ
F0/3
192.168.20.254/24
-
BJ
3550-S-1
F0/0
192.168.10.1/24
3L-Switch
BJ
3550-S-2
F0/0
192.168.20.1/24
3L-Switch
BJ
GZ-R-1
F0/0
201.1.1.1/24
电信WAN
GZ
F0/1
192.168.100.254/24
-
GZ
QD-R-1
F0/0
101.1.1.1/24
网通WAN
QD
F0/1
192.168.200.254/24
-
QD
4、DHCP信息
名称
IP地址池
默认网关
默认DNS
描述
Glb-vlan2
192.168.2.10 – 200
192.168.2.254
1.1.1.1
管理部
2.2.2.2
Cwb-vlan3
192.168.3.10 – 200
192.168.3.254
1.1.1.1
财务部
2.2.2.2
Xsb-vlan4
192.168.4.10 – 200
192.168.4.254
1.1.1.1
销售部
2.2.2.2
Cgb-vlan5
192.168.5.10 – 200
192.168.5.254
1.1.1.1
采购部
2.2.2.2
Zzb-vlan6
192.168.6.10 – 200
192.168.6.254
1.1.1.1
制造部
2.2.2.2
Xxzx-vlan7
192.168.7.10 – 200
192.168.7.254
1.1.1.1
信息中心
2.2.2.2
5、VRRP信息
SVI接口
优先级
状态
IP
HSRP IP
设备
Vlan1
1
200
Active
192.168.1.1
192.168.1.254
3550-S-1
Vlan2
2
200
Active
192.168.2.1
192.168.2.254
3550-S-1
Vlan3
3
200
Active
192.168.3.1
192.168.3.254
3550-S-1
Vlan4
4
100
Standby
192.168.4.1
192.168.4.254
3550-S-1
Vlan5
5
100
Standby
192.168.5.1
192.168.5.254
3550-S-1
Vlan6
6
100
Standby
192.168.6.1
192.168.6.254
3550-S-1
Vlan7
7
100
Standby
192.168.7.1
192.168.7.254
3550-S-1
Vlan127
127
100
Standby
192.168.127.1
192.168.127.254
3550-S-1
clip_p_w_picpath003Vlan1
1
100
Standby
192.168.1.2
192.168.1.254
3550-S-2
Vlan2
2
100
Standby
192.168.2.2
192.168.2.254
3550-S-2
Vlan3
3
100
Standby
192.168.3.2
192.168.3.254
3550-S-2
Vlan4
4
200
Active
192.168.4.2
192.168.4.254
3550-S-2
Vlan5
5
200
Active
192.168.5.2
192.168.5.254
3550-S-2
Vlan6
6
200
Active
192.168.6.2
192.168.6.254
3550-S-2
Vlan7
6
100
Active
192.168.7.2
192.168.7.254
3550-S-2
Vlan127
127
200
Active
192.168.127.2
192.168.127.254
3550-S-2
6、MST 信息
Mst-1:vlan1、vlan2管理部、vlan3财务部
Mst-2:vlan4销售部、vlan5采购部
Mst-3:vlan6制造部、vlan7信息中心
Mst-4:vlan127服务器组
负载均衡
mst-1 mst -2 根网桥3550-S-1
mst-3 mst -4 根网桥3550-S-2
 
交换机、路由器详细配置
1 IP 地址设置
北京
BJ-R-1(config)# int F0/0
BJ-R-1 (config-if) #ip add 200.1.1.1 255.255.255.0
BJ-R-1 (config-if) #no shutdown
----------------------------------
BJ-R-1(config)# int F0/1
BJ-R-1 (config-if) #ip add 100.1.1.1 255.255.255.0
BJ-R-1 (config-if) #no shutdown
---------------------------------
BJ-R-1(config)# int f0/2
BJ-R-1 (config-if) #ip add 192.168.10.254 255.255.255.0
BJ-R-1 (config-if) #no shutdown
---------------------------------
BJ-R-1(config)# int f0/3
BJ-R-1 (config-if) #ip add 192.168.20.254 255.255.255.0
BJ-R-1 (config-if) #no shutdown
3550-S-1 (config) # int vlan 1
3550-S-1 (config-if) # ip add 192.168.1.1 255.255.255.0
3550-S-1 (config-if) # int vlan 2
3550-S-1 (config-if) # ip add 192.168.2.1 255.255.255.0
3550-S-1 (config-if) # int vlan 3
3550-S-1 (config-if) # ip add 192.168.3.1 255.255.255.0
3550-S-1 (config-if) # int vlan 4
3550-S-1 (config-if) # ip add 192.168.4.1 255.255.255.0
3550-S-1 (config-if) # int vlan 5
3550-S-1 (config-if) # ip add 192.168.5.1 255.255.255.0
3550-S-1 (config-if) # int vlan 6
3550-S-1 (config-if) # ip add 192.168.6.1 255.255.255.0
3550-S-1 (config-if) # int vlan 7
3550-S-1 (config-if) # ip add 192.168.6.1 255.255.255.0
3550-S-1 (config-if) # int vlan 127
3550-S-1 (config-if) # ip add 192.168.127.1 255.255.255.0
3550-S-2 (config) # int vlan 1
3550-S-2 (config-if) # ip add 192.168.1.2 255.255.255.0
3550-S-2 (config-if) # int vlan 2
3550-S-2 (config-if) # ip add 192.168.2.2 255.255.255.0
…(略)
广州
GZ-R-1(config)# int F0/0
GZ-R-1 (config-if) # ip add 201.1.1.1 255.255.255.0 定义WAN口
GZ-R-1 (config-if) # no shutdown
GZ-R-1(config)# int F0/1
GZ-R-1 (config-if) # ip add 192.168.200.254 255.255.255.0 定义LAN口
GZ-R-1 (config-if) # no shutdown
-------------------------------------------------------------------
青岛
QD-R-1(config)# int F0/0
QD-R-1 (config-if) # ip add 101.1.1.1 255.255.255.0 定义WAN口
QD-R-1 (config-if) # no shutdown
QD-R-1(config)# int f0/0
QD-R-1 (config-if) # ip add 192.168.100.254 255.255.255.0.. .定义LAN口
QD-R-1 (config-if) # no shutdown
2 VTP 配置
3550-S-1(config)# vlan database vlan数据库模式
3550-S-1 (vlan) # vtp domain benet
3550-S-1 (vlan) # vtp server 服务器模式
3550-S-1 (vlan) # vtp password 123
3550-S-1 (vlan) # vtp pruning 启用修剪
按部门划分vlan
3550-S-1 (vlan) # vlan 2 name glb 管理部
3550-S-1 (vlan) # vlan 3 name cwb 财务部
3550-S-1 (vlan) # vlan 4 name xsb 销售部
3550-S-1 (vlan) # vlan 5 name cgb 采购部
3550-S-1 (vlan) # vlan 6 name zzb 制造部
3550-S-1 (vlan) # vlan 7 name xxzx 信息中心
3550-S-1 (vlan) # vlan 127 name svr 服务器组
------------------------------------------------
3550-S-2 (config) # vlan database vlan数据库模式
3550-S-2 (vlan) # vtp domain benet
3550-S-2 (vlan) # vtp server
3550-S-2 (vlan) # vtp password 123
------------------------------------------------
2950-S-1 (vlan) # vtp domain benet
2950-S-1 (vlan) #vtp tran 透明模式(配置修改编号清零操作)
2950-S-1 (vlan) #vtp client 客户模式
2950-S-1 (vlan) #vtp password 123
2950-S-2 (vlan) # vtp domain benet
2950-S-2 (vlan) #vtp tran 透明模式(配置修改编号清零操作)
2950-S-2 (vlan) #vtp client 客户模式
2950-S-2 (vlan) #vtp password 123
2950-S-3 (vlan) # vtp domain benet
2950-S-3 (vlan) #vtp tran 透明模式(配置修改编号清零操作)
2950-S-3 (vlan) #vtp client 客户模式
2950-S-3 (vlan) #vtp password 123
2950-S-4 (vlan) # vtp domain benet
2950-S-4 (vlan) #vtp tran 透明模式(配置修改编号清零操作)
2950-S-4 (vlan) #vtp client 客户模式
2950-S-4 (vlan) #vtp password 123
3 MST 多生成树配置
3550-S-1 (config) # int vlan 1
3550-S-1 (config) # spanning-tree mode mst 启用mst
3550-S-1 (config) #spanning-tree mst configuration 进入mst配置
3550-S-1 (config-mst) # name mst 命名为mst
3550-S-1 (config-mst) # instance 1 vlan 1-3 定义实例
3550-S-1 (config-mst) # instance 2 vlan 4-5
3550-S-1 (config-mst) # instance 3 vlan 6-7
3550-S-1 (config-mst) # instance 4 vlan 127
3550-S-1 (config-mst) # revision 1  配置版本号
3550-S-1 (config-mst) # spanning-tree mst 1 root primary 为根交换机
3550-S-1 (config-mst) # spanning-tree mst 2 root primary
3550-S-1 (config-mst) # spanning-tree mst 3 root secordary
3550-S-1 (config-mst) # spanning-tree mst 4 root secordary 为次根交换机
3550-S-2 (config) # spanning-tree mode mst 启用mst
3550-S-2 (config) #spanning-tree mst configuration 进入mst配置
3550-S-2 (config-mst) # name mst 命名为mst
3550-S-2 (config-mst) # instance 1 vlan 1-3
3550-S-2 (config-mst) # instance 2 vlan 4-5
3550-S-2 (config-mst) # instance 3 vlan 6-7
3550-S-2 (config-mst) # instance 4 vlan 127
3550-S-2 (config-mst) # revision 1 ………配置版本号
3550-S-2 (config-mst) # spanning-tree mst 4 root primary 为根交换机
3550-S-2 (config-mst) # spanning-tree mst 3 root primary
3550-S-2 (config-mst) # spanning-tree mst 2 root secordary
3550-S-2 (config-mst) # spanning-tree mst 1 root secordary 为次根交换机
4 VRRP 虚拟路由冗作协议
优先级
3550-S-1 (config) # int vlan 1
3550-S-1 (config-if) # vrrp 1 pri 200
3550-S-1 (config) # int vlan 2
3550-S-1 (config-if) # vrrp 2 pri 200
3550-S-1 (config) # int vlan 3
3550-S-1 (config-if) # vrrp 3 pri 200
…(略)
3550-S-2 (config) # int vlan 1
3550-S-2 (config-if) # vrrp 1 pri 100
3550-S-2 (config) # int vlan 2
3550-S-2 (config-if) # vrrp 2 pri 100
3550-S-2 (config) # int vlan 3
3550-S-2 (config-if) # vrrp 3 pri 100
…(略)
加入vrrp组,占先权,跟踪端口
3550-S-2 (config) # int vlan 1
3550-S-2 (config) # track 1 interface f0/1 定义跟踪编号
3550-S-2 (config-if) # vrrp 1 ip 192.168.1.254
3550-S-2 (config-if) # vrrp 1 preempt 占先权
3550-S-2 (config-if) # vrrp 1 authentication text cisco 明文认证
3550-S-2 (config-if) # vrrp 1 track 1 decrement 150 端口跟踪
3550-S-2 (config) # int vlan 2
3550-S-2 (config-if) # vrrp 2 ip 192.168.2.254
3550-S-2 (config-if) # vrrp 2 preempt 占先权
3550-S-2 (config-if) # vrrp 2 track 1 decrement 150 端口跟踪
3550-S-2 (config) # int vlan 3
3550-S-2 (config-if) # vrrp 3 ip 192.168.3.254
3550-S-2 (config-if) # vrrp 3 preempt 占先权
3550-S-2 (config-if) # vrrp 3 track 1 decrement 150
…(略)
3550-S-2 (config) # int vlan 1
3550-S-2 (config) #track 1 interface f0/1 定义跟踪编号
3550-S-2 (config-if) vrrp 1 ip 192.168.1.254
3550-S-2 (config-if) # vrrp 1 preempt 占先权
3550-S-2 (config-if) # vrrp 1 authentication text cisco 明文认证
3550-S-2 (config-if) # vrrp 1 track 1 decrement 150 端口跟踪
3550-S-2 (config) # int vlan 2
3550-S-2 (config-if) # standby 2 ip 192.168.2.254
3550-S-2 (config-if) # standby 2 preempt 占先权
3550-S-2 (config-if) # standby 2 track 1 decrement 150 端口跟踪
3550-S-2 (config) # int vlan 3
3550-S-2 (config-if) # standby 3 ip 192.168.3.254
3550-S-2 (config-if) # standby 3 preempt 占先权
3550-S-2 (config-if) # standby 3 track 1 decrement 150 端口跟踪
…(略)
5 以太网通道(优化流量)
3550-S-1 (config) # int f0/23
3550-S-1 (config-if) #switchport mode trunk 永久中继模式
3550-S-1 (config) # int f0/24
3550-S-1 (config-if) #switchport mode trunk 永久中继模式
3550-S-1 (config) # port-channel load-balance src-dst-mac 基于源和目标MAC负载均衡
3550-S-1 (config) # int range f0/23 -24
3550-S-1 (if-range) # channel-group 1 mode on
3550-S-1 (if-range) # no sh 激活端口
3550-S-2 (config) # int f0/23
3550-S-2 (config-if) #switchport mode trunk
3550-S-2 (config) # int f0/24
3550-S-2 (config-if) #switchport mode trunk
3550-S-2 (config) # int range f0/23 -24
3550-S-2 (config) # port-channel load-balance src-dst-mac 基于源和目标MAC负载均衡
3550-S-2 (if-range) # channel-group 1 mode on
3550-S-2 (if-range) # no sh
--------------------------------------------------------------------------
2950-S-4 (config) # int f0/23
2950-S-4 (config-if) #switchport mode trunk
2950-S-4 (config) # int f0/24
2950-S-4 (config-if) #switchport mode trunk
2950-S-4 (config) # int range f0/23 -24
2950-S-4 (config) # port-channel load-balance src-dst-mac 基于源和目标MAC负载均衡
2950-S-4 (config) # int range f0/23 -24
2950-S-4(if-range) # channel-group 2 mode on
2950-S-4 (if-range) # no sh....激活端口
3550-S-1 (config) # int f0/8
3550-S-1 (config-if) #switchport mode trunk
3550-S-1 (config) # int f0/9
3550-S-1 (config-if) #switchport mode trunk
3550-S-1 (config) # int range f0/8 -9
3550-S-1 (config) # port-channel load-balance src-dst-mac 基于源和目标MAC负载均衡
3550-S-1(if-range) # channel-group 2 mode on
3550-S-1 (if-range) # no sh
…(略)
6 DHCP 配置
3550-S-1 (config) # ip dhcp pool vlan2-glb 管理部
3550-S-1 (dhcp-config) # network 192.168.2.0 255.255.255.0 地址池范围
3550-S-1 (config) # ip dhcp excluded-address 192.168.2.2 192.168.2.10 保留
3550-S-1 (config) # ip dhcp excluded-address 192.168.2.201 192.168.2.254
3550-S-1 (dhcp-config) # lease 5 租约为5天
3550-S-1 (dhcp-config) # dns-server 1.1.1.1 2.2.2.2 DNS服务器
3550-S-1 (config) # default-router 192.168.2.254 默认网关
3550-S-1 (config) # ip dhcp pool vlan3-cwb 财务部
3550-S-1 (dhcp-config) # network 192.168.3.0 255.255.255.0 地址池范围
3550-S-1 (dhcp-config) # ip dhcp excluded-address 192.168.3.2 192.168.3.10 保留
3550-S-1 (dhcp-config) # ip dhcp excluded-address 192.168.3.201 192.168.3.254
3550-S-1 (dhcp-config) # lease 5 租约为5天
3550-S-1 (dhcp-config) # dns-server 1.1.1.1 2.2.2.2 DNS服务器
3550-S-1 (dhcp-config) # default-router 192.168.3.254 默认网关
…(略)
7 NTP 配置
将BJ-R-1设为NTP服务器,其余作NTP客户端,实现全网设备时钟同步
BJ-R-1(config)# ntp master
BJ-R-1(config)# clock set 10:00:00 seq 2007 设置时钟
BJ-R-1(config)# ntp authenticate 启用ntp认证
  BJ-R-1(config)# ntp trusted-key 1
BJ-R-1(config)# ntp authentication-key 1 md5 benet
3550-S-1 (config) # ntp server 192.168.10.254
3550-S-1(config)# ntp authenticate 启用ntp认证
3550-S-1(config)# ntp authentication-key 1 md5 benet
3550-S-2 (config) # ntp server 192.168.20.254
3550-S-2(config)# ntp authenticate 启用ntp认证
  BJ-R-1(config)# ntp trusted-key 1
3550-S-2(config)# ntp authentication-key 1 md5 benet
…(略)
 
 
8 路由、NAT配置
北京总部
----------------- 静态路由
BJ-R-1(config)# ip route 192.168.100.0 255.255.255.0 f0/0 青岛办事处***
BJ-R-1(config)# ip route 192.168.200.0 255.255.255.0 f0/1 广州办事处***
BJ-R-1(config)# ip route 0.0.0.0 0.0.0.0 f0/0 10 缺省路由(网通ISP)
BJ-R-1(config)# ip route 0.0.0.0 0.0.0.0 f0/1 20 缺省路由(电信ISP)
----------------- ospf
BJ-R-1(config)# router ospf 1
BJ-R-1(config-router)# network 192.168.1.2 0.0.0.0 area 0
BJ-R-1(config-router)# network 192.168.2.2 0.0.0.0 area 0
BJ-R-1(config-router)# area 0 authentication message-digest 启用MD5认证
BJ-R-1(config)# interface f0/2
BJ-R-1(config-if)# ip ospf message-digest-key 1 md5 benet-md5 定义密钥
BJ-R-1(config)# interface f0/3
BJ-R-1(config-if)# ip ospf message-digest-key 1 md5 benet-md5 定义密钥
BJ-R-1(config-router)# default-information orig 分发缺省路由tub
3550-S-1 (config) # int f0/0
3550-S-1 (config) # no switchport 打开路由端口
3550-S-1 (config) # network 192.168.100.1 0.0.0.0 area 0
3550-S-1 (config) # area 0 authentication message-digest
3550-S-1 (config) # interface f0/0
3550-S-1 (config) # ip ospf message-digest-key 1 md5 benet-md5
3550-S-2 (config) # int f0/0
3550-S-2 (config) # no switchport
3550-S-2 (config) # router ospf 1
3550-S-2 (config) # network 192.168.200.1 0.0.0.0 area 0
使用 路由策略优化网络流量:
1). 内部用户访问网通ISP资源,流量从f0/0出站,当访问电信ISP资源,流量从f0/1出站
2). 从不同ISP网络上所来的流量,从各自的线路返回
网通CNC IP段:100.1.1.1、101.1.1.1、102.1.1.1 (假定)
电信CTC IP 段:200.1.1.1、201.1.1.1、202.1.1.1(假定)
----------------------------------------------------------关于电信ip 段ACL
BJ-R-1(config# ip access-list extended BJ-CTC-ACL
BJ-R-1(config-ext-nacl# ip access-list extended BJ-CTC-ACL
BJ-R-1(config-ext-nacl# deny ip 192.168.0.0 0.0.255.255 192.168.100.0 0.0.0.255 拒绝至青岛×××流量
BJ-R-1(config-ext-nacl# deny ip 192.168.0.0 0.0.255.255 192.168.200.0 0.0.0.255 拒绝至广州×××流量
BJ-R-1(config-ext-nacl# permit ip 192.168.0.0 0.0.255.255 200.1.1.0 0.0.0.255
BJ-R-1(config-ext-nacl# permit ip 192.168.0.0 0.0.255.255 201.1.1.0 0.0.0.255
BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 202.1.1.0 0.0.0.255
----------------------------------------------------------关于网通ip 段ACL
BJ-R-1(config)# ip access-list extended BJ-CNC-ACL
BJ-R-1(config-ext-nacl)# ip access-list extended BJ-CNC-ACL
BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 100.1.1.0 0.0.0.255
BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 101.1.1.0 0.0.0.255
BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 102.1.1.0 0.0.0.255
-----------------------------------------------------------其它可能的IP段ACL
BJ-R-1(config)# ip access-list extended other-ACL
BJ-R-1(config-ext-nacl)# ip access-list extended other-ACL
BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 100.1.1.0 0.0.0.255
BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 101.1.1.0 0.0.0.255
BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 102.1.1.0 0.0.0.255
 
Route-map route-policy permit 10
Math ip address BJ-CTC-ACL
Set ip next-hop int f0/1………电信CTC
Route-map route-policy permit 20
Math ip address BJ-CNC-ACL
Set ip next-hop int f0/0………网通CNC
BJ-R-1(config)# int f0/2
BJ-R-1(config)# ip policy route-map route-policy 策略调用
BJ-R-1(config)# int f0/3
BJ-R-1(config)# ip policy route-map route-policy 策略调用
定义合法地址池
BJ-R-1(config)# ip nat pool BJ-CNC-address 200.1.1.252 200.1.1.254 prefix 24
BJ-R-1(config)# ip nat pool BJ-CTC-address 100.1.1.252 100.1.1.254 prefix 24
NAT转换
BJ-R-1(config)# ip nat inside source list BJ-CTC-ACL pool BJ-CTC-address overload
BJ-R-1(config)# ip nat inside source list BJ-CNC-ACL pool BJ-CNC-address overload
BJ-R-1(config)# ip nat inside source list Other-ACL pool BJ-CNC-address overload
端口映射,发布FTP web服务器
BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 80 200.1.1.254 eq 80 web服务器
BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 80 100.1.1.254 eq 80
BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 21 200.1.1.254 eq 21 ftp服务器
BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 21 100.1.1.254 eq 21
青岛办事处
QD-R-1(config)# access-list 101 deny ip any 192.168.0.0 0.255.255
QD-R-1(config)# access-list 101 permit ip any any
QD-R-1(config)# ip nat pool QD-CNC-address 101.1.1.252 101.1.1.254 prefix 24
BJ-R-1(config)# ip nat inside source list pool BJ-CNC-address overload
广州办事处
QD-R-1(config)# access-list 101 deny ip any 192.168.0.0 0.255.255
QD-R-1(config)# access-list 101 permit ip any any
QD-R-1(config)# ip nat pool GZ-CTC-address 101.1.1.252 101.1.1.254 prefix 24
BJ-R-1(config)# ip nat inside source list pool GZ-CTC-address overload
9 Ipsec ×××
***************************************************** 北京总部
1、Isakmp 密钥协商
BJ-R-1(config)# crypto isakmp enable 启用IKE
BJ-R-1(config)# crypto isakmp policy 1 建立IKE协商策略
BJ-R-1(config-isakmp)# hash md5
BJ-R-1(config-isakmp)# encryption des
BJ-R-1(config-isakmp)# authentication pre-share
BJ-R-1(config)# crypto isakmp key QD-password address 201.1.1.1
2、Ipsec参数设置
BJ-R-1(config)# ip access-list extened BJ-QD-×××
BJ-R-1(config-ext-nacl)# permit 192.168.0.0 0.0.255.255 192.168.200.0 0.0.0.255
BJ-R-1(config)# crypto ipsec transform-set QD-set ah-md5 esp-des
3、端口应用
BJ-R-1(config)# crypto map QD-map 1 ipsec-isakmp 新建加密图
BJ-R-1(config-crypto-map)# set peer 201.1.1.1 对端地址
BJ-R-1(config-crypto-map)# match address BJ-QD-×××
BJ-R-1(config-crypto-map)# set transform-set QD-set 指定传输模式
BJ-R-1(config)#int f0/0
BJ-R-1(config)#crypto map QD-map
---------------------------------------------------------------------
BJ-R-1(config)# crypto isakmp key GZ-password address 101.1.1.1
Ipsec参数设置
BJ-R-1(config)# ip access-list extened BJ-GZ-×××
BJ-R-1(config-ext-nacl)# permit 192.168.0.0 0.0.255.255 192.168.100.0 0.0.0.255
BJ-R-1(config)# crypto ipsec transform-set GZ-set ah-md5 esp-des
端口应用
BJ-R-1(config)# crypto map GZ-map 1 ipsec-isakmp 新建加密图
BJ-R-1(config-crypto-map)# set peer 101.1.1.1 对端地址
BJ-R-1(config-crypto-map)# match address BJ-GZ-×××
BJ-R-1(config-crypto-map)# set transform-set GZ-set 指定传输模式
BJ-R-1(config)#int f0/1
BJ-R-1(config)#crypto map GZ-map
************************************************************** 青岛办事处
1、建立IKE协商策略
BJ-R-1(config)# crypto isakmp policy 1
BJ-R-1(config-isakmp)# hash md5
BJ-R-1(config-isakmp)# encryption des
BJ-R-1(config-isakmp)# authentication pre-share
BJ-R-1(config)# crypto isakmp key QD-password address 200.1.1.1
2、Ipsec参数设置
BJ-R-1(config)# ip access-list extened QD-×××
BJ-R-1(config-ext-nacl)# permit 192.168.200.0 0.0.255.255 192.168.0.0 0.0.0.255
BJ-R-1(config)# crypto ipsec transform-set QD-set ah-md5 esp-des
3、端口应用
BJ-R-1(config)# crypto map QD-map 1 ipsec-isakmp 新建加密图
BJ-R-1(config-crypto-map)# set peer 200.1.1.1 对端地址
BJ-R-1(config-crypto-map)# match address QD-×××
BJ-R-1(config-crypto-map)# set transform-set QD-set 指定传输模式
BJ-R-1(config)#int f0/0
BJ-R-1(config)#crypto map QD-map
**************************************************************** 广州办事处
1、建立IKE协商策略
BJ-R-1(config)# crypto isakmp policy 1
BJ-R-1(config-isakmp)# hash md5 md5认证
BJ-R-1(config-isakmp)# encryption des des加密
BJ-R-1(config-isakmp)# authentication pre-share
BJ-R-1(config)# crypto isakmp key GZ-password address 200.1.1.1
2、Ipsec参数设置
BJ-R-1(config)# ip access-list extened GZ-×××
BJ-R-1(config-ext-nacl)# permit 192.168.100.0 0.0.255.255 192.168.0.0 0.0.0.255
BJ-R-1(config)# crypto ipsec transform-set GZ-set ah-md5 esp-des
3、端口应用
BJ-R-1(config)# crypto map GZ-map 1 ipsec-isakmp 新建加密图
BJ-R-1(config-crypto-map)# set peer 100.1.1.1 对端地址
BJ-R-1(config-crypto-map)# match address GZ-×××
BJ-R-1(config-crypto-map)# set transform-set QD-set 指定传输模式
BJ-R-1(config)#int f0/0
BJ-R-1(config)#crypto map GZ-map
 
10 流量控制及安全设置
1) 管理部、财务部vlan实现互访,且允许访问internet
2) 财务部实现与销售部、采购部vlan单向访问
3) 各部门vlan相对独立,都能访问服务器组,且允许访问internet
4) 控制设备的telnet会话,仅允许来自信息中心vlan的会话
5) 上海、青岛办事处只能访问总部服务器组vlan
6) 关闭cdp
7) 关闭 httpserver
8) 关闭著名端口(端口过滤)
北京总部
3550-S-1 (config) # ip access-list extended glb-ACL 管理部ACL
3550-S-1 (config-ext-nacl) #permit ip any 192.168.3.0 0.0.0.255
3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255
3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255
3550-S-1 (config-ext-nacl) #permit ip any any
******************
3550-S-1 (config) # ip access-list extended cwb-ACL 财务部ACL
3550-S-1 (config-ext-nacl) #permit ip any 192.168.4.0 0.0.0.255 reflect cwb-xsb
自反ACL
3550-S-1 (config-ext-nacl) #permit ip any 192.168.5.0 0.0.0.255 reflect cwb-cgb
自反ACL
3550-S-1 (config-ext-nacl) #permit ip any 192.168.2.0 0.0.0.255
3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255
3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255
3550-S-1 (config-ext-nacl) #permit ip any any
******************
3550-S-1 (config) # ip access-list extended xsb-ACL 销售部ACL
3550-S-1 (config-ext-nacl) #evaluate cwb-xsb 计算匹配自反ACL
3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 访问服务组
3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255
3550-S-1 (config-ext-nacl) #permit ip any any
*****************
3550-S-1 (config) # ip access-list extended cgb-ACL 采购部ACL
3550-S-1 (config-ext-nacl) #evaluate cwb-cgb 计算匹配自反ACL
3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 访问服务组
3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255
3550-S-1 (config-ext-nacl) #permit ip any any
*****************
3550-S-1 (config) # ip access-list extended zzb-ACL 制造部ACL
3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 访问服务组
3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255
3550-S-1 (config-ext-nacl) #permit ip any any
…(略)
可控VTY访问,仅允许来自 信息中心vlan的会话
3550-S-1 (config) # ip access-list extended telnet-ACL
3550-S-1 (config) # permit ip 192.168.7.0 0.0.0.255
3550-S-1 (config) # username benet password 0 benetpassword 建立本地数据库
3550-S-1 (config) # line consol 0
3550-S-1 (config) # line vty 0 4
3550-S-1 (config) # login local 验证本地数据库
3550-S-1 (config) # access-class telnet-ACL in 调用
…(略)
青岛办事处
QD-R-1 (config) # access-list 101 permit ip any 192.168.127.0 0.0.0.255
QD-R-1 (config) # access-list 101 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
QD-R-1 (config) # access-list 101 permit ip any any
QD-R-1 (config) # int f0/1
QD-R-1 (config) # ip access-group 101 in
广州办事处
GZ-R-1 (config) # access-list 101 permit ip any 192.168.127.0 0.0.0.255
GZ-R-1 (config) # access-list 101 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
GZ-R-1 (config) # access-list 101 permit ip any any
GZ-R-1 (config) # int f0/1
GZ-R-1 (config) # ip access-group 101 in
关闭cdp 协议,http协议
BJ-R-1 (config) #no cdp run
BJ-R-1 (config) # no ip http server
3550-S-2 (config) # no cdp run
3550-S-1 (config) # no ip http server
3550-S-2 (config) # no cdp run
3550-S-2 (config) # no ip http server
…(略)
端口数据包过滤
BJ-R-1(config)# ip access-list extended port-in-ACL 定义入站ACL
BJ-R-1(config-ext-nacl)# permit ip host 201.1.1.1 any 信任青岛办事处
BJ-R-1(config-ext-nacl)# permit ip host 101.1.1.1 any 信任广州办事处
BJ-R-1(config-ext-nacl)# deny tcp any any eq 1023
BJ-R-1(config-ext-nacl)# deny tcp any any eq 3332
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4444
BJ-R-1(config-ext-nacl)# deny tcp any any eq 444
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4899
BJ-R-1(config-ext-nacl)# deny tcp any any eq 44
BJ-R-1(config-ext-nacl)# deny tcp any any eq 135
BJ-R-1(config-ext-nacl)# deny tcp any any eq 136
BJ-R-1(config-ext-nacl)# deny tcp any any eq 137
BJ-R-1(config-ext-nacl)# deny tcp any any eq 138
BJ-R-1(config-ext-nacl)# deny tcp any any eq netbio
BJ-R-1(config-ext-nacl)# deny tcp any any eq 3127
BJ-R-1(config-ext-nacl)# deny tcp any any eq 5554
BJ-R-1(config-ext-nacl)# deny tcp any any eq 9996
BJ-R-1(config-ext-nacl)# deny tcp any any eq 6129
BJ-R-1(config-ext-nacl)# deny tcp any any eq 2745
BJ-R-1(config-ext-nacl)# deny tcp any any eq 1025
BJ-R-1(config-ext-nacl)# deny udp any any eq tftp
BJ-R-1(config-ext-nacl)# deny udp any any eq 445
BJ-R-1(config-ext-nacl)# deny udp any any eq 135
BJ-R-1(config-ext-nacl)# deny udp any any eq 4444
BJ-R-1(config-ext-nacl)# deny tcp any any eq 1010
BJ-R-1(config-ext-nacl)# deny tcp any any eq 1011
BJ-R-1(config-ext-nacl)# deny tcp any any eq 1012
BJ-R-1(config-ext-nacl)# deny tcp any any eq 1015
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4661
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4662
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4663
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4664
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4665
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4666
BJ-R-1(config-ext-nacl)# deny tcp any any eq 7597
BJ-R-1(config-ext-nacl)# deny tcp any any eq 22226
BJ-R-1(config-ext-nacl)# deny tcp any any eq 1027
BJ-R-1(config-ext-nacl)# deny tcp any any eq 5168
BJ-R-1(config-ext-nacl)# permit ip any any
端口调用
BJ-R-1(config)# int f0/0 网通WAN口
BJ-R-1(config-if)# ip access-group port-in-ACL in
BJ-R-1(config)# int f0/0 电信WAN口
BJ-R-1(config-if)# ip access-group port-in-ACL in
BJ-R-1(config)# int f0/2 LAN口
BJ-R-1(config-if)# ip access-group port-in-ACL in
BJ-R-1(config)# int f0/3 LAN口
BJ-R-1(config-if)# ip access-group port-in-ACL in