前言
有关dhcp、ospf、nat、acl、telnet服务等配置的综合实验。边做边学习配置。
实验
实验环境:HCL模拟器
拓补图如下:
实验要求:
1、 SW3上开启DHCP,分别给Server1分配固定IP192.168.x.100/24,同时下发网关192.168.x.1;给PC2分配固定IP192.168.2.200,同时下发固定网关192.168.2.1。
2、SW3、RT4、RT5和RT6之间运行OSPF,将10.10.10.0/24段和20.20.20.0/24段宣告进area0;将30.30.30.0/24段、40.40.40.0/24段、192.168.x.0段和192.168.2.0段宣告进area1。---------这里x采用1
3、192段是需要去Internet上网访问202.1.1.1的,所以请在RT6上开启NAT实现上网需求,同时请在RT6上配置默认路由(整个实验要求只有这里建了一条默认路由,其他任何设备都不允许手动配置静态或者默认路由)。配置完毕后请使用Server1和PC2 ping 测试202.1.1.1。
4、Server1上开启telnet服务,启用账号密码认证,使得默认使用账号登陆的用户只能拥有低权限(不能配置类似OSPF这种命令),配置SSH登录认证,使得登录用户获得最高权限。
5、通过NAT配置实现Internet通过访问RT6的公网IP202.1.1.2可以访问到内部服务器Server1的telnet服务。
6、通过配置实现PC2能ping通Server1的IP192.168.x.100,但PC2不能直接访问Server1(192.168.x.100)的telnet服务,PC2只能通过公网IP202.1.1.2去访问Server1的telnet服务。
7、每台设备都开启如下配置,然后就可以发起tracert追踪路径了,方便验证测试选路需求。
[H3C] ip ttl-expires enable
[H3C] ip unreachables enable
请通过配置实现192段出去上网的流量优先走如下路径:
SW3->RT4->RT6
请通过配置实现外部回包给192段的流量优先走如下路径:
RT6->RT5->SW3
(这次要求比较多,但很详细,很适合一步一步做下来)
实验步骤
首先,第一步是很重要的一步,就是搭建拓补时,把信息写在旁边,方便后续配置。
先把信息已有的都配上去,就是配点简单的ip和网关。
设备重命名
RT6:
<H3C>sys
System View: return to User View with Ctrl+Z.
[H3C]sysname RT6
略。。。
**********************************************
基础接口ip配置
Internet7
[Internet7]int g0/2
[Internet7-GigabitEthernet0/2]ip add 202.1.1.1 24
[Internet7-GigabitEthernet0/2]
RT6
[RT6]int g0/2
[RT6-GigabitEthernet0/2]ip add 202.1.1.2 24
[RT6-GigabitEthernet0/2]int g0/1
[RT6-GigabitEthernet0/1]ip add 10.10.10.1 24
[RT6-GigabitEthernet0/1]int g0/0
[RT6-GigabitEthernet0/0]ip add 20.20.20.1 24
[RT6-GigabitEthernet0/0]
RT4
[RT4]int g0/1
[RT4-GigabitEthernet0/1]ip add 10.10.10.2 24
[RT4-GigabitEthernet0/1]int g0/0
[RT4-GigabitEthernet0/0]ip add 30.30.30.1 24
[RT4-GigabitEthernet0/0]
RT5
[RT5]int g0/0
[RT5-GigabitEthernet0/0]ip add 20.20.20.2 24
[RT5-GigabitEthernet0/0]int g0/1
[RT5-GigabitEthernet0/1]ip add 40.40.40.1 24
[RT5-GigabitEthernet0/1]
SW3
[SW3]vlan 10
[SW3-vlan10]port g1/0/1
[SW3-vlan10]qu
[SW3]vlan 20
[SW3-vlan20]port g1/0/2
[SW3-vlan20]qu
[SW3]vlan 30
[SW3-vlan30]port g1/0/3
[SW3-vlan30]qu
[SW3]vlan 40
[SW3-vlan40]port g1/0/4
[SW3-vlan40]
[SW3]int vlan 10
[SW3-Vlan-interface10]ip add 192.168.1.1 24
[SW3-Vlan-interface10]int vlan 20
[SW3-Vlan-interface20]ip add 192.168.2.1 24
[SW3-Vlan-interface20]int vlan 30
[SW3-Vlan-interface30]ip add 30.30.30.2 24
[SW3]int vlan 40
[SW3-Vlan-interface40]ip add 40.40.40.2 24
配一下ospf吧。没有什么好说的。根据要求配就是了。
要求:SW3、RT4、RT5和RT6之间运行OSPF,将10.10.10.0/24段和20.20.20.0/24段宣告进area0;将30.30.30.0/24段、40.40.40.0/24段、192.168.x.0段和192.168.2.0段宣告进area1。
Ospf连通
RT4:
ospf 1
area 0
network 10.10.10.0 0.0.0.255
qu
area 1
network 30.30.30.0 0.0.0.255
RT5
ospf 1
area 0
network 20.20.20.0 0.0.0.255
qu
area 1
network 40.40.40.0 0.0.0.255
RT6:
ospf 1
area 0
network 10.10.10.0 0.0.0.255
net 20.20.20.0 0.0.0.255
[SW3]
ospf 1
area 1
net 30.30.30.0 0.0.0.255
net 40.40.40.0 0.0.0.255
net 192.168.1.0 0.0.0.255
net 192.168.2.0 0.0.0.255
//这里注明一下,图上的server机子是pc,后续改成路由器了!pc无法开服务。懒得dhcp分发了,就直接配地址上去了。如果进行dhcp配置,参考我写的上一篇《交换综合组网的简单配置》里面有讲,思路大差不差。后续的pc还是dhcp分配哈。
[SERVER1]int g0/0
[SERVER1-GigabitEthernet0/0]ip add 192.168.1.100 24
[SERVER1-GigabitEthernet0/0]qu
[SERVER1]ospf 1
[SERVER1-ospf-1]area 1
[SERVER1-ospf-1-area-0.0.0.1]net 192.168.1.0 0.0.0.255
-------------------还是配一下说明一下吧
[server1]dis interface g0/0
找到hardware address
[server1]int g0/0
[server1-GigabitEthernet0/0]ip add dhcp-alloc
[SW3-dhcp-pool-vlan10]dis this
#
dhcp server ip-pool vlan10
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
static-bind ip-address 192.168.1.100 hardware-address xxxxxxx
就能获取到地址了,没获取到命令(ip add dhcp-alloc)取消重敲一下
开dhcp服务。
[SW3]dhcp enable----------别忘了
[SW3]dhcp server ip-pool vlan20
[SW3-dhcp-pool-vlan20]network 192.168.2.0 mask 255.255.255.0
[SW3-dhcp-pool-vlan20]dns-list 8.8.8.8
[SW3-dhcp-pool-vlan20]gateway-list 192.168.2.1
[SW3-dhcp-pool-vlan20]static-bind ip-address 192.168.2.200 client-identifier xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx(码)
[SW3-dhcp-pool-vlan20]
---------------这里说一下,我是如何获取pc的client-identifier。没找到pc的mac在哪。直接dhcp先自动分配了,pc就获取了一个地址。然后在交换机上,查看dis dhcp server ip-in-use,就能发现我需要分配地址pc的client-identifier。然后进行绑定地址,再分发就好了。有其他的方法,麻烦告诉我一下。
好,这里除了ping不通外网,都能ping通了。
要求1和2都完成了,来搞3吧。
RT6:
ip route-static 0.0.0.0 0 202.1.1.1(配置默认路由)
acl basic 2000
rule 0 permit source 192.168.1.0 0.0.0.255
rule 5 permit source 192.168.2.0 0.0.0.255
nat address-group 1//地址池用于地址转换
address 202.1.1.10 202.1.1.20
interface GigabitEthernet0/2
--------进入公网口,将地址池1与acl 2000关联,并在接口的出方向应用NAT
ip address 202.1.1.2 255.255.255.0
nat outbound 2000 address-group 1 no-pat
提问,什么是no-pat
NO-PAT(No Port Address Translation)表示不进行端口转换,只转换IP地址。
Basic NAT是最简单的一种地址转换方式,它只对数据包的IP层进行转换。
好了,现在你认为pc能通外网吗?
怎么可能通啊!整个ospf网段都不知道外网怎么走,怎么转发呀?但是我整个拓补只配了一条默认路由,不能配置其余静态路由。该怎么办?
路由引用。
[RT6]ospf 1
[RT6-ospf-1]default-route-advertise
[RT6-ospf-1]qu
测试:
[SERVER1]ping 202.1.1.1
Ping 202.1.1.1 (202.1.1.1): 56 data bytes, press CTRL+C to break
56 bytes from 202.1.1.1: icmp_seq=0 ttl=252 time=4.000 ms
56 bytes from 202.1.1.1: icmp_seq=1 ttl=252 time=4.000 ms
56 bytes from 202.1.1.1: icmp_seq=2 ttl=252 time=4.000 ms
56 bytes from 202.1.1.1: icmp_seq=3 ttl=252 time=3.000 ms
56 bytes from 202.1.1.1: icmp_seq=4 ttl=252 time=4.000 ms
default-route-advertise 命令是用来控制路由器是否向OSPF区域内通告默认路由(也称为0.0.0.0/0路由)
| 命令 | 功能与作用 | 配置场景 |
|---|---|---|
| default-route-advertise | 将默认路由通告到OSPF区域内 | 通常配置在ASBR或希望通告默认路由的路由器上 |
| import-route static | 将静态路由引入OSPF协议中 | 路由器上同时配置了静态路由和OSPF协议,且希望OSPF能够感知到静态路由时 |
抓包分析
进行抓包查看!
[SERVER1]ping 202.1.1.1
<RT6>*Aug 16 15:00:43:793 2024 RT6 NAT/7/COMMON:
PACKET: (GigabitEthernet0/2-out-config) Protocol: ICMP
192.168.1.100:10973 - 202.1.1.1: 2048(VPN: 0) ------>
202.1.1.13:10973 - 202.1.1.1: 2048(VPN: 0)
*Aug 16 15:00:43:794 2024 RT6 NAT/7/COMMON:
PACKET: (GigabitEthernet0/2-in-session) Protocol: ICMP
202.1.1.1:10973 - 202.1.1.13: 0(VPN: 0) ------>
202.1.1.1:10973 - 192.168.1.100: 0(VPN: 0)
[H3C]ping 202.1.1.1
<RT6>*Aug 16 15:01:21:447 2024 RT6 NAT/7/COMMON:
PACKET: (GigabitEthernet0/2-out-config) Protocol: ICMP
192.168.2.200: 145 - 202.1.1.1: 2048(VPN: 0) ------>
202.1.1.14: 145 - 202.1.1.1: 2048(VPN: 0)
*Aug 16 15:01:21:448 2024 RT6 NAT/7/COMMON:
PACKET: (GigabitEthernet0/2-in-session) Protocol: ICMP
202.1.1.1: 145 - 202.1.1.14: 0(VPN: 0) ------>
202.1.1.1: 145 - 192.168.2.200: 0(VPN: 0)
看no-pat,端口都没有转换吧。
做4
4、Server1上开启telnet服务,启用账号密码认证,使得默认使用账号登陆的用户只能拥有低权限(不能配置类似OSPF这种命令),配置SSH登录认证,使得登录用户获得最高权限。
[SERVER1]telnet server enable
[SERVER1]line vty 0 63
[SERVER1-line-vty0-63]authentication-mode scheme----用户名密码方式
[SERVER1-line-vty0-63]qu
[SERVER1]local-user admin
[SERVER1-luser-manage-admin]password simple guihuaxianga1
[SERVER1-luser-manage-admin]service-type telnet------给服务
[SERVER1-luser-manage-admin]authorization-attribute user-role network-operator
[SERVER1]ssh server enable
[SERVER1]line vty 0 4
[SERVER1-line-vty0-4]authentication-mode scheme
[SERVER1-line-vty0-4]protocol inbound ssh-----设置远程用户登录为ssh
[SERVER1-line-vty0-4]qu
[SERVER1]local-user guihuaxiang
New local user added.
[SERVER1-luser-manage-guihuaxiang]password simple guihuaxianga1-------换个密码,之前没注意。下面提示报错了。
The new password cannot contain the username or reversed username.
[SERVER1-luser-manage-guihuaxiang]service-type ssh---------服务类型为ssh
[SERVER1-luser-manage-guihuaxiang]authorization-attribute user-role network-admin
[SERVER1-luser-manage-guihuaxiang]
测试ssh
<H3C>ssh 192.168.1.100
Username: guihuaxiang
Press CTRL+C to abort.
Connecting to 192.168.1.100 port 22.
guihuaxiang@192.168.1.100's password:
Enter a character ~ and a dot to abort.
******************************************************************************
* Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<server1>
5、通过NAT配置实现Internet通过访问RT6的公网IP202.1.1.2可以访问到内部服务器Server1的telnet服务。
[RT6-GigabitEthernet0/2]nat server protocol tcp global 202.1.1.2 4433 inside 192.168.1.100 23
[RT6-GigabitEthernet0/2]qu
[RT6]int g0/0
[RT6-GigabitEthernet0/0]nat hairpin enable
[RT6-GigabitEthernet0/0]qu
[RT6]int g0/1
[RT6-GigabitEthernet0/1]nat hairpin enable
[RT6-GigabitEthernet0/1]
两个口都得配nat hairpin enable
测试
<H3C>telnet 202.1.1.2 4433
Trying 202.1.1.2 ...
Press CTRL+K to abort
Connected to 202.1.1.2 ...
******************************************************************************
* Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
Login: admin
Password:
<SERVER1>
6、通过配置实现PC2能ping通Server1的IP192.168.x.100,但PC2不能直接访问Server1(192.168.x.100)的telnet服务,PC2只能通过公网IP202.1.1.2去访问Server1的telnet服务。
未配置前:
<H3C>telnet 192.168.1.100
Trying 192.168.1.100 ...
Press CTRL+K to abort
Connected to 192.168.1.100 ...
******************************************************************************
* Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
Login:
<H3C>
配置如下:
[SERVER1]acl advanced 3000
[SERVER1-acl-ipv4-adv-3000]rule 0 deny tcp source 192.168.2.0 0.0.0.255 destinat
ion 192.168.1.100 0.0.0.0 destination-port eq 23
[SERVER1-acl-ipv4-adv-3000]rule permit ip
[SERVER1-acl-ipv4-adv-3000]qu
[SERVER1]int g0/0
[SERVER1-GigabitEthernet0/0]packet-filter 3000 inbound
[SERVER1-GigabitEthernet0/0]
配置后:
<H3C>telnet 192.168.1.100
Trying 192.168.1.100 ...
Press CTRL+K to abort
Connected to 192.168.1.100 ...
失败了,满足要求
<H3C>telnet 202.1.1.2 4433
Trying 202.1.1.2 ...
Press CTRL+K to abort
Connected to 202.1.1.2 ...
******************************************************************************
* Copyright (c) 2004-2021 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
Login:
<H3C>ping 192.168.1.100
Ping 192.168.1.100 (192.168.1.100): 56 data bytes, press CTRL_C to break
56 bytes from 192.168.1.100: icmp_seq=0 ttl=254 time=2.560 ms
56 bytes from 192.168.1.100: icmp_seq=1 ttl=254 time=1.105 ms
56 bytes from 192.168.1.100: icmp_seq=2 ttl=254 time=3.754 ms
56 bytes from 192.168.1.100: icmp_seq=3 ttl=254 time=2.411 ms
56 bytes from 192.168.1.100: icmp_seq=4 ttl=254 time=3.564 ms
--- Ping statistics for 192.168.1.100 ---
- ip ttl-expires:
• 这个设置用于启用或禁用对TTL(Time to Live,生存时间)过期数据包的处理。TTL是一个IP数据包在网络中可以经过的最大跳数。当数据包的TTL值减到0时,它将被丢弃,并且通常会向发送方发送一个ICMP(Internet Control Message Protocol)消息,告知数据包已因TTL过期而被丢弃。启用这个设置可以确保网络设备正确处理这类ICMP消息。- ip unreachables:
• 这个设置用于启用或禁用对不可达目的地的ICMP不可达消息的发送。当一个路由器或主机收到一个数据包,但无法将其转发到目的地时(例如,因为目的地不可达或不存在),它会发送一个ICMP不可达消息给发送方。启用这个设置可以确保网络设备在遇到这种情况时发送适当的ICMP消息。
这两个设置通常用于网络故障诊断和确保网络通信的可靠性。它们可以帮助网络管理员了解数据包在网络中的流动情况,以及在数据包无法到达目的地时提供反馈。
请通过配置实现192段出去上网的流量优先走如下路径:
SW3->RT4->RT6
请通过配置实现外部回包给192段的流量优先走如下路径:
RT6->RT5->SW3
[RT5]int g0/0
[RT5-GigabitEthernet0/0]ospf cost 100
[RT5-GigabitEthernet0/0]qu
[RT4]int g0/0
[RT4-GigabitEthernet0/0]ospf cost 100
[RT4-GigabitEthernet0/0]
-----------------在OSPF(Open Shortest Path First)选路过程中,Cost值的累加是看出接口的Cost值来计算的,而不是入接口的Cost值。
----------------所以应该明白我为什么这样配了。
----------------display ospf interface,可以看到接口优先级
<H3C>tracert 202.1.1.1
traceroute to 202.1.1.1 (202.1.1.1), 30 hops at most, 40 bytes each packet, press CTRL_C to break
1 192.168.2.1 (192.168.2.1) 2.385 ms 0.872 ms 0.691 ms
2 30.30.30.1 (30.30.30.1) 2.116 ms 3.133 ms 2.478 ms
3 20.20.20.1 (20.20.20.1) 3.221 ms 2.675 ms 2.365 ms
4 202.1.1.1 (202.1.1.1) 3.169 ms 2.997 ms 2.533 ms
<H3C>
[Internet7]tracert 192.168.2.200
traceroute to 192.168.2.200 (192.168.2.200), 30 hops at most, 40 bytes each packet, press CTRL+C to break
1 202.1.1.2 (202.1.1.2) 1.000 ms 1.000 ms 2.000 ms
2 20.20.20.2 (20.20.20.2) 1.000 ms 2.000 ms 1.000 ms
3 40.40.40.2 (40.40.40.2) 3.000 ms 3.000 ms 3.000 ms
4 * * *
5 * *
[Internet7]
其实可以看到回包路径的,但未配置外网访问内网的配置,所以不能通
结语
终于写完报告了。希望对看到这篇文章的你有点用吧。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
