要求:
1.R6为isp,接口IP地址均为公有地址;该设备只能配置IP地址,之后不能再对其进行其他任何配置;
2.R1-R5为局域网,私有IP地址192.168.1.0/24,请合理分配
3.R1,R2,R4,各有两个环回地址;R5,R6各有一个环回地址;所有路由器上环回均代表连接用户的接口;
4.R3下的两台pc通过DHCP自动获取IP地址;
5.选路最佳,路由表尽量小,避免环路;
6.R1-R5均可以访问R6的环回;
7.R6 telnet R5的公有IP地址时,实际登录到R1上;
8.R4与R5正常通过1000M的链路,故障时通过100M的链路
先分配IP地址
可以将骨干链路作为一个网段,再将路由器作为一个网段 即一共有6个网段要划分
划分完后如下图所示
分别给路由器的接口配置IP地址与环回
R1:
int g0/0/0
ip ad 192.168.1.1 30
int g0/0/1
ip address 192.168.1.5 30
int l0
ip ad 192.168.1.33 28
int l1
ip address 192.168.1.49 28
R2:
int g0/0/0
ip ad 192.168.1.2 30
int g0/0/1
ip address 192.168.1.9 30
int l0
ip address 192.168.1.65 28
int l1
ip address 192.168.1.81 28
R3:
int g0/0/0
ip ad 192.168.1.6 30
int g0/0/1
ip ad 192.168.1.13 30
int g0/0/2
ip ad 192.168.1.161 27
R4:
int g0/0/0
ip ad 192.168.1.10 30
int g0/0/1
ip ad 192.168.1.14 30
int g0/0/2
ip ad 192.168.1.17 30
int g4/0/0
ip ad 192.168.1.21 30
int l0
ip ad 192.168.1.97 28
int l1
ip ad 192.168.1.113 28
R5:
int g0/0/0
ip ad 192.168.1.18 30
int g0/0/1
ip ad 192.168.1.22 30
int g0/0/2
ip ad 12.0.0.5 24
int l0
ip ad 192.168.1.129 27
ISP:
int g0/0/0
ip ad 12.0.0.6 24
int l0
ip ad 1.1.1.6 24
接下来来到各自路由器分别去ping各自端口对应的直连网段,查看是否能ping通
例:
R3上DHCP配置:
两种方式:二者选一种即可
全局地址池配置:
R3:
dhcp enable
ip pool aa
network 192.168.1.160 27
gateway-list 192.168.1.161
dns-list 1.1.1.1
q
int g0/0/2
dhcp select global
pc启动DHCP查询并ip地址
其中网关可以配置多个
excluded-ip-address地址排除,将手工配置的与自动配置的ip隔离开来,即不希望自动配置的网段的范围 起始———结束
在pool池中配置
启动DHCP后在pc中查询ip地址会发现ip地址没有从规定的范围中去取
第二种:接口地址池:根据接口IP自动生成
感觉生成很慢
R3:
dhcp enable
int g0/0/2
dhcp select interface
dhcp server dns-list 2.2.2.2
配置路由 选路最佳,路由表尽量小,避免环路
选路最佳:路径最短
路由表尽量小:能汇总就汇总,能做缺省做缺省
避免环路:设置空接口防环
做缺省路由
由于R1要配置两条路由(两条路径),在选择这两条路径,由于其优先级相同,会随机选择一条,所以需要再配置明细路由,从而避免绕路,同时提高效率
R1:
ip route-static 0.0.0.0 0 192.168.1.2
ip route-static 0.0.0.0 0 192.168.1.6
ip route-static 192.168.1.8 30 192.168.1.2
ip route-static 192.168.1.12 30 192.168.1.6
ip route-static 192.168.1.64 27 192.168.1.2
ip route-static 192.168.1.160 27 192.168.1.6
对于R2:缺陷路一直从左向右,所以R1的环回,R1与R3之间的链路,R3下的网段都不能通过缺省路由配置到 所以需要写静态明细,而R3与R4之间的链路与R4是直连,所以不需要写,通过缺省路由到R4即可访问到
R2:
ip route-static 0.0.0.0 0 192.168.1.10
ip route-static 192.168.1.4 30 192.168.1.1
ip route-static 192.168.1.32 27 192.168.1.1
ip route-static 192.168.1.160 27 192.168.1.1
ip route-static 192.168.1.160 27 192.168.1.10
关于R3:同R2一样
R3:
ip route-static 0.0.0.0 0 192.168.1.14
ip route-static 192.168.1.0 30 192.168.1.5
ip route-static 192.168.1.32 27 192.168.1.5
ip route-static 192.168.1.64 27 192.168.1.5
ip route-static 192.168.1.64 27 192.168.1.14
对于R4:需要配置的较多,先将缺省路由完成,将1000M与100M都写出静态,再给100M配置优先级,默认为60,修改为比60大的值,从而在1000M链路故障时使用100M,右边需要配置五条路由明细,即没有与R4直连的路由
R4:
ip route-static 0.0.0.0 0 192.168.1.18
ip route-static 0.0.0.0 0 192.168.1.22 preference 61
ip route-static 192.168.1.0 30 192.168.1.9
ip route-static 192.168.1.4 30 192.168.1.13
ip route-static 192.168.1.32 27 192.168.1.9
ip route-static 192.168.1.32 27 192.168.1.13
ip route-static 192.168.1.64 27 192.168.1.9
ip route-static 192.168.1.160 27 192.168.1.13
来看R5:先写缺省,对于R5的左边,有两个链路,还需要分配优先级所以需要配置的静态数量直接就翻倍了,太麻烦,由于R5为边界路由器,所以对于R5,他与他直连的只有1.16,1.20,1.29这三个网段,且R5在配置完缺省后,剩下需要配置明细静态的的数据只能左边发送,所以将左边汇总成一个网段,以简化步骤将右边汇总为192.168.1.0 24。
R5:
ip route-static 0.0.0.0 0 12.0.0.5
ip route-static 0.0.0.0 0 12.0.0.6
ip route-static 192.168.1.0 24 192.168.1.21 preference 61
R6不需要配置
到这里,选路最佳、路由表尽量小的配置已完成,再来配置空接口防止环路
R1到R4要进行接口防环,当环回接口中的一个接口出现故障时,可能会出现黑洞
R1:
ip route-static 192.168.1.32 27 NULL 0
R2:
ip route-static 192.168.1.64 27 NULL 0
R3:
ip route-static 192.168.1.160 27 NULL 0
R4:
ip route-static 192.168.1.96 27 NULL 0
对于R5的防环,对于R5的左边链路,例如R1上的环回,若R1上的环回故障,R1不会讲其故障的IP发送给R5,因为R1已经配置了空接口接受该故障链路的信号,依次推断出R2 3 4 ,因此不需要管左边的链路,只用管R5上面的环路,以及划分网段中所剩下的网段,即保留的或未使用的网段,即192.168.1.192 27 192.168.1.224 27这两个网段,所以R5需要配置三个防环
R5:
ip route-static 192.168.1.128 27 NULL 0
ip route-static 192.168.1.192 27 NULL 0
ip route-static 192.168.1.224 27 NULL 0
尝试使用PC ping一下各个路由器下的环回,可以看到ping的通
但是尝试去ping ISP上的环回时发现ping不通,因为ISP(R6)不能回包,即PC的数据能到ISP,但是ISP不能回到PC所以ping不通,此时通过在R5上配置NET以解决该问题
关于NET
从内向外
静态net:一个私网IP对应一个公网IP
动态net:多个私网IP对应一个公网IP,或多个公网IP
Easy IP:可以进行端口号转换,即一个公网IP对应多个私网IP时,当同时有多个
私网IP像转换为公网IP时,不用进行排队,即可通过端口号转换
由外向内转换: 服务映射/端口映射
在R5上使用EasyIP
acl步长为5
net的调用在边界路由器的出接口,即0/0/2上
R5:
acl 2000
rule permit source 192.168.1.0 0.0.0.255
q
int g0/0/2
nat outbound 2000
配置完成后再去ping一下ISP的环回
外网到内网的配置
以为使用telnet所以使用tcp协议
其中inside配置的ip为R1的ip只要是R上配置的IP都可以这里使用192.168.1.1
在R5上的出接口上配置:
R5:
nat server protocol tcp global current-interface telnet inside 192.168.1.1 telnet
y
在R1上配置telnet功能
- 开启telnet:两种方式:一种使用password,另一种使用aaa 认证 授权 计费
由于在华为设备中telnet是默认开启的,但是在其他设备上可能没有开启,所以存在telnet开启的命令:telnet server enable
- 创建用户远程登录的接口
关于cipher:即选择密文方式保存,查看cipher后的命令,其后会变成一段乱码,其实是一段密码加密后的样子
关于simple:即选择明文方式保存,密码以明文,即其本来的形式显示保存
telnet在传输过程中会有泄露风险,因为telnet是以明文方式把保存文件
关于分配的用户等级<0-15>
0-3 为用户级 3-15为系统级
aaa中的服务类型为telnet
R1:
telnet server enable
user-interface vty 0 4
authentication-mode aaa
q
aaa
local-user huawei password cipher 123456
local-user huawei privilege level 15
local-user huawei service-type telnet
以上配置就完成了
测试一下
使用R5来登录R1
再使用ISP登录R5以登录R1
成功