网络基础（期末大作业）

目录

一、拓扑：​

二、ospf动态路由协议  

三、配置ACL

四、Telnet登录的配置

五、DNS服务

六、NAT

      

---

本实验旨在让看到这篇文章的同学或许有所参考和配置思路，还是自己动手，多学习学习，继续加油，手动笑脸！！！

有问题:欢迎留言

一、直接上拓扑：

---

简单过一遍实验过程

IP地址就不说了吧

配IP过程既无味又无聊

拿AR1举个例子吧！

interface GigabitEthernet0/0/1 //进入接口下
ip address 192.168.100.21 255.255.255.252

后面掩码255.255.255.252直接省去 写30  /24 就写24
两个一样的，不用纠结


interface GigabitEthernet0/0/1
ip address 192.168.100.21 30

按照拓扑图的地址，一个一个配置，好吧！地址配置到此结束！

---

二、在整个网络中跑ospf动态路由协议

• 先说一下ospf配置命令：

ospf 10 Router-id 1.1.1.1

上面的命令，是在 Router 上创建 Process-ID 为 10的 OSPF 进程，并进入配置视图。使用的 Router-ID 是 1.1.1.1 。

Process-ID 是可选参数，表示 OSPF 进程的编号，只在设备本身生效，也就是说，两台设备建立 OSPF 邻居时，不要求双方的 Process-ID 一样。如果不指定 Process-ID ，会分配一个默认值作为 Process-ID 。

router-id 也是可选参数，用来指定设备的 Router-ID 。通常，手动配置 Router-ID ，不会使用默认值。

[Router]ospf 10 Router-id 1.1.1.1

[Router-ospf-10]area 0

在 OSPF 进程 10中，创建 Area 0

[Router]ospf 10 Router-id 1.1.1.1

[Router-ospf-10]area 0

[Router-ospf-10-area-0.0.0.0]network 192.168.1.0 0.0.0.255

在区域视图下，使用 network 命令，再加上 IP 地址和通配符掩码，满足条件的接口激活 OSPF 。

简而言之:把需要宣告的网段宣告进OSPF中

• 配置举例：AR1

  • 手动配置router-id   AR1就给他配1.1.1.1，那AR2的router-id就配个2.2.2.2 
  • 既然实验要求全网都要互通，那就将AR1的所有接口宣告就区域0里面
  • 接着就动手了：AR1的接口宣告进去

• 注：

这里简单说一下：我们宣告的是接口IP。而不是接口所在的网段，所以通配符掩码配的是0.0.0.0

如果宣告的是网段，则要根据网段来计算了：

举个例子：如果宣告的是：192.168.10.0  /30  则后面配 0.0.0.3

                                            192.168.10.0 /24  则后面配 0.0.0.255

•  AR1的配置

ospf 10 router-id 1.1.1.1 
area 0.0.0.0 
network 192.168.100.2 0.0.0.0 
network 192.168.100.13 0.0.0.0 
network 192.168.100.17 0.0.0.0 
network 192.168.100.21 0.0.0.0 

• dis ospf peer brief

然后可以使用dis ospf peer brief这条命令查看一下ospf邻接关系建立情况，没建立起来当然就没有路由，就不通了。

• 特殊情况

整个拓扑中就AR7搞特殊了（AR15就是拓扑图的AR7）

注意注意注意：因为AR7为边界，外面连接的是外网：网段为200.200.0.0  /24

所以在ospf上只要宣告内网的接口就OK：也就是192.168.100.42

ospf配置完成之后，当然你想ping哪个就ping哪个了

除了外网的200.200网段

---

三、配置ACL

• 要求：

在192.168.1.10和192.168.2.10的服务器上设置WWW和FTP应用，同时在路由器R5上配置ACL，要求禁止在192.168.10.0和在192.168.11.0网段的主机访问192.168.1.10的WWW应用和192.168.2.10的FTP应用，禁止192.168.14.0/24和192.168.15.0/24所在的网段访问server1和server2的FTP服务。其他网段的则允许。禁止192.168.12.0/24和192.168.13.0/24的网段去PING这二个服务器。配置：

• 配置：

一个一个来

第一个要求：禁止在192.168.10.0和在192.168.11.0网段的主机访问192.168.1.10的WWW应用和192.168.2.10的FTP应用

写个ACL 3000，在ACL里面写规则：

//在AR5上配置

ACL 3000

rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.1.10 0 destination-port eq www
rule 10 deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.2.10 0 destination-port eq ftp 

rule 15 deny tcp source 192.168.11.0 0.0.0.255 destination 192.168.1.10 0 destination-port eq www
rule 20 deny tcp source 192.168.11.0 0.0.0.255 destination 192.168.2.10 0 destination-port eq ftp 

写完ACL还没实现功能，需要把ACL挂接到AR5的出接口下：

配置命令很简单就一句：

interface GigabitEthernet2/0/0
traffic-filter outbound acl 3000

• 测试

既然写了ACL就来测试一下是否实现禁止的功能吧

这里我将PC1改为client方便测试FTP功能

第一个要求是禁止服务器192.168.2.10的FTP

开启服务器的FTP服务 

先测试192.168.1.10服务器

测试192.168.2.10服务器

第二个要求：禁止192.168.14.0/24和192.168.15.0/24所在的网段访问server1和server2的FTP服务。

在ACL 3000里面配置：

在AR5上配置

rule 25 deny tcp source 192.168.14.0 0.0.0.255 destination 192.168.1.10 0 destination-port eq ftp 
rule 30 deny tcp source 192.168.14.0 0.0.0.255 destination 192.168.2.10 0 destination-port eq ftp 
rule 35 deny tcp source 192.168.15.0 0.0.0.255 destination 192.168.1.10 0 destination-port eq ftp
rule 40 deny tcp source 192.168.15.0 0.0.0.255 destination 192.168.2.10 0 destination-port eq ftp

刚刚ACL已经挂接在出接口下，这次就不用在写了

测试一下

同样换成client

 

两个服务器的FTP的访问不了，证明ACL限制成功了

第三个要求：禁止192.168.12.0/24和192.168.13.0/24的网段去PING这二个服务器。

一样在ACL 3000里面配置：

在AR5上配置

rule deny ip source 192.168.12.0 0.0.0.255 destination 192.168.1.10 0
rule deny ip source 192.168.12.0 0.0.0.255 destination 192.168.2.10 0
rule deny ip source 192.168.13.0 0.0.0.255 destination 192.168.1.10 0
rule deny ip source 192.168.13.0 0.0.0.255 destination 192.168.2.10 0

 测试一下

OK，我就测试一边。。。

---

四、Telnet登录的配置

• 配置账号密码

        直接在AR1,AR2,AR4,AR5,AR3,AR6配置账号密码：

        账号：telnet

        密码：123456

user-interface vty 0 4 
authentication-mode aaa
quit

aaa
local-user telnet password cipher 123456
local-user telnet privilege level 3
local-user telnet service-type telnet

测试一下：在AR1上telnet登录AR3

输入账号密码

然后限制下面四台路由器telnet登录上面四台

• 在AR1上写一个ACL：

 acl name deny-telnet
 rule deny tcp destination-port eq telnet source 192.168.100.14 0 destination 192.168.100.0 0.0.0.255
 rule deny tcp destination-port eq telnet source 192.168.100.18 0 destination 192.168.100.0 0.0.0.255


进入与下面路由器相连的接口上
interface GigabitEthernet2/0/0
traffic-filter inbound acl name deny-telnet

interface GigabitEthernet2/0/1
traffic-filter inbound acl name deny-telnet

•  在AR2上写一个ACL：（AR3也要配置一个ACL，限制AR7的telnet，此处省略）

acl name deny-telnet
rule deny tcp destination-port eq telnet source 192.168.100.34 0 destination 192.168.100.0 0.0.0.255
rule deny tcp destination-port eq telnet source 192.168.100.30 0 destination 192.168.100.0 0.0.0.255

interface GigabitEthernet2/0/0
traffic-filter inbound acl name deny-telnet

interface GigabitEthernet2/0/1
traffic-filter inbound acl name deny-telnet

• 测试

测试一下有没有限制成功：

AR8登录AR1失败

其他四台一样。

---

五、DNS服务

要求：

在192.168.1.10的服务器上开通DNS服务，并在DNS上建立网址www.jyu.edu.cn与192.168.1.10的映射关系，要求内网的所有主机（除192.168.10.0/24网段和192.168.11.0/24网段）均能通过网址http://www.jyu.edu.cn访问192.168.1.10上的WWW服务

• 先开启DNS服务

• 在Sever 1上开启http 服务

• 这里一样将PC 1换成Client终端测试
• 配置域名解析地址

• 192.168.10.10 访问不了www服务

•   再试一下192.168.14.10，可以正常访问

---

六、NAT

首先在AR5的OSPF上下发一条静态路由

ospf 10
default-route-advertise type 1

AR5上再写一条静态指向AR3

• AR3配置NAT转换

首先配置一条静态指向AR7

要求:

只允许192.168.10.0、192.168.11.、192.168.12.0和192.168.13.0这四个网段去访问外网

写一条ACL 

ACL 2000

写上4个允许的网段

acl number 2000  
 rule 10 permit source 192.168.10.0 0.0.0.255 
 rule 15 permit source 192.168.11.0 0.0.0.255 
 rule 20 permit source 192.168.12.0 0.0.0.255 
 rule 25 permit source 192.168.13.0 0.0.0.255 

进入连接外网的接口

配置：

interface GigabitEthernet0/0/1
nat outbound 2000

测试：

 

 

 

OK-实验结束！！！

觉得有用点个赞吧！