要求:
(设备名称按照拓扑标识修改,注意区分大小写)
1、ISP路由器仅配置IP地址
2、test-1和test-2仅作为代替终端设备进行测试使用,路由采用静态路由
3、R1/R2之间使用OSPF做到内网全通,单区域,OSPF进行宣告、router-ID分别为1.1.1.1和2.2.2.2;OSPF进程为1
4、PC1-PC4使用DHCP获取地址,地址池名称使用1,2
5、PC1不能访问PC5,acl编号为3000
6、R2出口只拥有一个公网IP
7、test-1设备可以登录内网telnet服务器,test-2不行;acl编号为3000
8、telnet服务器的账号密码为huawei/123456
9、内网用户可以正常访问ISP(边界做默认路由)
10、公网设备的路由表不能有私网的路由,使用nat(acl编号为2000)
11、内网设备的路由表不能有公网的路由,边界下发默认路由
12、VLAN及IP规划查看附件材料(所有trunk链路按照最少VLAN透传原则放通)
第一步:实现PC1~PC4使用DHCP获取地址,地址池名称使用1,2
其中PC1~PC4的要求如下表格
设备 | VLAN | IP网段 | 网关 | 备注 |
PC1 | 2 | 192.168.1.0/27 | 192.168.1.30/27 | |
PC2 | 3 | 192.168.1.32/27 | 192.168.1.62/27 | |
PC3 | 2 | 192.168.64/27 | 192.168.1.94/27 | |
PC4 | 3 | 192.168.96/27 | 192.168.1.126/27 | |
telnet Server | 4 | 192.168.1.128/27 | R1:192.168.1.158/27; telnet server: 192.168.1.129/27 | |
R1-R2 | 192.168.1.160/30 | R1:192.168.1.161/30; R2:192.168.1.162/30 | ||
R2-ISP | 202.1.1.0/30 | R2:202.1.1.1/30;ISP: 202.1.1.2/30 | ||
ISP---test1---test-2 | 203.1.1.0/24 | ISP:203.1.1.254/24;test1:203.1.1.1/24;test-2: 203.1.1.2/24 | ||
PC5 | 203.1.1.0/24 | 203.1.1.254 | IP:203.1.1.100 |
交换机LSW1上创建V 2,V 3和V4 ,将接口划分给V2,V3和V4。
[LW1]v 2
[LW1-vlan2]v 3
[LW1-vlan3]v 4
[LSW1]int g 0/0/2
[LSW1-GigabitEthernet0/0/2]po li a
[LSW1-GigabitEthernet0/0/2]po de v 2
[LSW1]int g 0/0/3
[LSW1-GigabitEthernet0/0/3]po li a
[LSW1-GigabitEthernet0/0/3]po de v 3
[LSW1]int g 0/0/4
[LSW1-GigabitEthernet0/0/4]po li a
[LSW1-GigabitEthernet0/0/4]po de v 4
LSW1接口0/0/1允许V2,V3和V4通过,接口类型trunk
[LSW1]int g 0/0/1
[LSW1-GigabitEthernet0/0/1]po li t
[LSW1-GigabitEthernet0/0/1]po t a v 2 3 4
[LSW1-GigabitEthernet0/0/1]
AR1路由器上,配置子接口0/0/0.1IP地址作为PC1的网关,定义通讯类型为V 2
[R1]v 2
[R1-vlan2]int g 0/0/0.1
[R1-GigabitEthernet0/0/0.1]ip add 192.168.1.30 27
[R1-GigabitEthernet0/0/0.1]dot1q termination v 2 定义子接口的通讯协议类型
[R1-GigabitEthernet0/0/0.1]arp broadcast enable 子接口默认情况下没有应答功能需要开启广播,需要开启广播功能
AR1路由器开启DHCP服务,创建ip地址池名为1
[R1]dhcp enable
[R1]ip pool 1
[R1-ip-pool-1]network 192.168.1.0 mask 27
[R1-ip-pool-1]gateway-list 192.168.1.30 #网关地址要与子接口IP地址一致
在接口调用IP地址池
[R1-ip-pool-1]int g 0/0/0.1
[R1-GigabitEthernet0/0/0.1]dhcp select global
PC1使用开启DHCP服务获取IP地址
配置子接口0/0/0.2IP地址作为PC2的网关,定义通讯类型为V 3,开启广播通告
[R1]v 3
[R1-vlan3]int g 0/0/0.2
[R1-GigabitEthernet0/0/0.2]ip add 192.168.1.62 27
[R1-GigabitEthernet0/0/0.2]dot1q termination v 3
[R1-GigabitEthernet0/0/0.2]arp broadcast enable
创建IP地址池
[R1]ip pool 2
[R1-ip-pool-2]network 192.168.1.32 mask 27
[R1-ip-pool-2]gateway-list 192.168.1.62 #网关地址要与子接口IP地址一致
在接口调用IP地址池
[R1-ip-pool-2]int g 0/0/0.2
[R1-GigabitEthernet0/0/0.2]dhcp se g
PC2使用开启DHCP服务获取IP地址
完成了PC1和PC2的ip地址
对Telnet Server路由器配置IP地址
[Telnet]int g 0/0/0
[Telnet-GigabitEthernet0/0/0]ip add 192.168.1.129 27
IP on the interface GigabitEthernet0/0/0 has entered the UP state.
[Telnet-GigabitEthernet0/0/0]
AR1配置子接口0/0/0.3IP地址为192.168.1.158/27作为Telnet的网关,,定义通讯类型为V 4,开启广播通告
[R1]int g 0/0/0.3
[R1-GigabitEthernet0/0/0.3]ip add 192.168.1.158 27
[R1-GigabitEthernet0/0/0.3]dot1q termination v 4
[R1-GigabitEthernet0/0/0.3]arp bro en
Telnet路由器使用缺省路由指向AR1,下一跳地址为0/0/0.3接口IP地址。实现Telnet路由器的回复功能。实现ping通
[Telnet]ip route-static 0.0.0.0 0 192.168.1.158
使用Telnet路由器进行测试,ping通PC1和PC2,保证了下方的路由器信息通讯完成。
实现PC3和PC4的IP地址获取
同理LSW2上创建V 2和V 3 ,将接口划分给V2和V3。
[LSW2]v 2
[LSW2-vlan2]v 3
[LSW2-vlan3]int g 0/0/2
[LSW2-GigabitEthernet0/0/2]po li a
[LSW2-GigabitEthernet0/0/2]po de v 2
[LSW2-GigabitEthernet0/0/2]int g 0/0/3
[LSW2-GigabitEthernet0/0/3]po li a
[LSW2-GigabitEthernet0/0/3]po de v 3
[LSW2-GigabitEthernet0/0/3]int g 0/0/1
[LSW2-GigabitEthernet0/0/1]po li t
[LSW2-GigabitEthernet0/0/1]po t a v 2 3
[LSW2-GigabitEthernet0/0/1]
LSW2创建子接口0/0/0.1IP地址为192.168.1.94/27作为PC3的网关,定义通讯类型为V 2,开启广播通告
配置子接口0/0/0.2IP地址为192.168.1.126/27作为PC4的网关,定义通讯类型为V 3,开启广播通告
[R2]v 2
[R2-vlan2]v 3
[R2-vlan3]int g 0/0/0.1
[R2-GigabitEthernet0/0/0.1]ip add 192.168.1.94 27
[R2-GigabitEthernet0/0/0.1]dot1q te v 2
[R2-GigabitEthernet0/0/0.1]arp bro enable
[R2]int g 0/0/0.2
[R2-GigabitEthernet0/0/0.2]ip add 192.168.1.126 27
[R2-GigabitEthernet0/0/0.2]do te v 3
[R2-GigabitEthernet0/0/0.2]arp bro enable
AR2路由器开启DHCP服务,创建ip地址池名为1
[R2]dhcp enable
[R2]ip pool 1
[R2-ip-pool-1]network 192.168.1.64 mask 27
[R2-ip-pool-1]gateway-list 192.168.1.94
在接口调用IP地址池
[R2-ip-pool-1]int g 0/0/0.1
[R2-GigabitEthernet0/0/0.1]dhcp se g
创建ip地址池名为2
[R2]ip pool 2
[R2-ip-pool-2]network 192.168.1.96 mask 27
[R2-ip-pool-2]gateway-list 192.168.1.126
接口调用IP地址池
[R2-ip-pool-2]int g 0/0/0.2
[R2-GigabitEthernet0/0/0.2]dhcp se g
PC3使用开启DHCP服务获取IP地址
PC4使用开启DHCP服务获取IP地址
PC3pingPC4进行测试
完成了PC1~PC4之间的IP地址配置
第二步:R1/R2之间使用OSPF做到内网全通,单区域,OSPF使用进行宣告router-ID分别为1.1.1.1和2.2.2.2;OSPF进程为1
配置R1-R2之间的网段IP地址,
[R1]int g 0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.1.161 30
[R1-GigabitEthernet0/0/1]
[R2]int g 0/0/1
[R2-GigabitEthernet0/0/1]ip add 192.168.1.162 30
[R2-GigabitEthernet0/0/1]
R1使用OSPF进行宣告,宣告3个子接口和0/0/1接口
router-ID分别为1.1.1.1,OSPF进程为1
[R1]ospf 1 rou 1.1.1.1
[R1-ospf-1]a 0
[R1-ospf-1-area-0.0.0.0]network 192.168.1.30 0.0.0.0
[R1-ospf-1-area-0.0.0.0]network 192.168.1.62 0.0.0.0
[R1-ospf-1-area-0.0.0.0]network 192.168.1.158 0.0.0.0
[R1-ospf-1-area-0.0.0.0]network 192.168.1.161 0.0.0.0
[R1-ospf-1-area-0.0.0.0]
R2使用OSPF进行宣告,宣告2个子接口和0/0/1接口
router-ID分别为2.2.2.2;OSPF进程为1
[R2]ospf 1 rou 2.2.2.2
[R2-ospf-1]a 0
[R2-ospf-1-area-0.0.0.0]netw
[R2-ospf-1-area-0.0.0.0]network 192.168.1.94 0.0.0.0
[R2-ospf-1-area-0.0.0.0]network 192.168.1.126 0.0.0.0
[R2-ospf-1-area-0.0.0.0]network 192.168.1.162 0.0.0.0
[R2-ospf-1-area-0.0.0.0]
使用PC3进行测试PING通内网
第三步:配置外网IP地址,ISP路由器仅配置IP地址,test-1和test-2仅作为代替终端设备进行测试使用,路由采用静态路由,实现外网全通。
配置R2-R3之间的IP地址
[R2]int g 0/0/2
[R2-GigabitEthernet0/0/2]ip add 202.1.1.1 30
[R2-GigabitEthernet0/0/2]
[ISP]int g 0/0/0
[ISP-GigabitEthernet0/0/0]ip add 202.1.1.2 30
[ISP-GigabitEthernet0/0/0]int g 0/0/1
[ISP-GigabitEthernet0/0/1]ip add 203.1.1.254 24
[test-1]int g 0/0/0
[test-1-GigabitEthernet0/0/0]ip add 203.1.1.1 24
[test-1-GigabitEthernet0/0/0]
[test-2]int g 0/0/0
[test-2-GigabitEthernet0/0/0]ip add 203.1.1.2 24
[test-2-GigabitEthernet0/0/0]
PC5使用静态
test-1和test-2仅作为代替终端设备进行测试使用,路由采用静态路由,缺省向上指。
[test-1]ip route-static 0.0.0.0 0 203.1.1.254
[test-2]ip route-static 0.0.0.0 0 203.1.1.254
使用ISP路由器进行测试外网环境
第四步:R2出口只拥有一个公网IP,公网设备的路由表不能有私网的路由,使用nat(acl编号为2000)内网设备的路由表不能有公网的路由,边界下发默认路由。
边界路由器可以向下发送缺省路由,但是不可以进行回复。访问外网时没有明确要求注意:实现内外网访问时,边界路由器需要配置一跳缺省路由指向外网
创建缺省路由:
[R2]ip route-static 0.0.0.0 0 202.1.1.2 (下一路由器的接口)
[R2]ospf 1
[R2-ospf-1]default-route-advertise (向下强制)
对于访问外网时可以使用ACL技术进行抓取内网流量,将源地址为192.168.1.0/24网段的流量抓取向外网发送。再发送之前使用NAT技术进行构造。
注意!!!抓取流量时是对于源ip使用基本ACL。
[R2]acl 2000
[R2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255--动作必须为允许
[R2-acl-basic-2000]int g 0/0/2
[R2-GigabitEthernet0/0/2]nat outbound 2000----接口调用
[R2-GigabitEthernet0/0/2]
使用PC1进行测试,PING通外网test-1.test-2和PC5。
实现了内网ping通了外网,外网是不需要ping通内网的。
第五步:实现PC1不能访问PC5,acl编号为3000和test-1设备可以登录内网telnet服务器,test-2不行;acl编号为3000且telnet服务器的账号密码为huawei/123456
实现PC1不能访问PC5,acl编号为3000
使用高级ACL;基于源目IP、IP报文协议字段、IP报文优先级、IP报文长度、TCP源目端口号、UDP源目端口 等信息来定义规则。
使用高级ACL,靠近源进行配置。
R1路由器靠近源PC1,在R1上进行配置
[R1]acl 3000
[R1-acl-adv-3000]rule deny ip source 192.168.1.29 0 destination 203.1.1.100 0
自定规则拒绝源IP192.168.1.29访问目的IP203.1.1.100
[R1-acl-adv-3000]int g0/0/0.1
[R1-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000
PC1流量进入子接口0/0/0.1,故在子接口进行调用
[R1-GigabitEthernet0/0/0.1]
PC1进行测试,尝试pingPC5
可以看出PC1不能访问PC5,但是可以访问其他地址。
test-1设备可以登录内网telnet服务器,test-2不行;acl编号为3000且telnet服务器的账号密码为huawei/123456
在Telnet服务器上启Telnet开启过程
telnet server enable ----已经默认开启,不需要配置该命令
user-interface vty 0 4----开启用户接口名称为vty且开启5个接口
authentication-mode aaa----设定使用AAA作为用户接口的认证模式, 即登录方式
退出视图,创建用户名和密码
aaa----进入aaa视图
local-user huawei password cipher 123456----创建本地用户命名为huawei的用户,设置密码123456,其中cipher表示以本地密文形式保存于本地中。
local-user huawei privilege level 15----设置用户huawei等级为15(最高等级)
local-user huawei service-type telnet----设定huawei用户登录设备所使用的协议为telnet
在R1上测试telnet是否成功
外网想登入内网的telnt需要再边界路由(R2)的出接口处做边界映射。
[R2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface telnet inside 192.168.1.129 telnet
current-interface:使用当前接口作为公网IP,及是R2的出接口IP地址0/0/2是外网telnet的IP地址
inside 192.168.1.129 telnet:登入的telnet的ip地址
使用test-1,test-2进行telnet测试成功。注意telent登入的地址为R2的出接口IP地址
实现test-1设备可以登录内网telnet服务器,test-2不行
使用高级ACL拒绝外网登入内网
[R2-acl-adv-3000]rule deny tcp source 203.1.1.2 0 destination-port eq 23
source 203.1.1.2 源IP地址及test-2
destination-port eq 23:端口号为23及telnet服务的端口号
注意记得!!!!再0/0/2接口进行调用。
使用test-1,test-2进行telnet测试成功。test-2一直登不上telnet