网站开发和软件测试网站链接提交收录
实验要求
实验拓扑以及实验分析
第一步先划分网段
先对内网划分
192.168.1.0/24划分
192.168.1.0/26---骨干主线路
192.168.1.64/26---骨干备线路
---192.168.1.128/25--vlan2 3汇总---便于减少路由表条目---在大型网络方便
192.168.1.128/26---vlan2
192.168.1.192/26---vlan3
拓扑图已表明每个网段路由器的接口IP缩写
对公网进行IP规划
私有ip地址:
10.0.0.0/8 172.16.0.0/16-172.31.0.0/26 192.168.0.0/24-192.168.255.0/24
公网不能采用私有IP地址对此我用以下方法命名
采用路由器间名称来命名,例如R3与R4网段为34.0.0.0 24,接口IP为34.0.0.1与34.0.0.2
R3有个换回网段3.3.3.0 24
[R3]interface LoopBack 3 #创建环回接口
[R3-LoopBack3]ip address 3.3.3.3 24 #配置环回接口IP路由器与DNS服务器间的网段为100.0.0.0 24
对红色区域网段规划
我使用的是172.16.1.0/24网段
路由器接口表明IP
实验详细配置
配置内网VLAN
<SW1>system-view #进入配置模式
[SW1]vlan batch 2 3 #批量创建vlan 2与3
交换机上的接口划分到对应的vlan中
[SW1]interface GigabitEthernet0/0/3 #进入交换机接口
[SW1-GigabitEthernet0/0/3]port link-type access #将该接口修改为接入模式
[SW1-GigabitEthernet0/0/3]port default vlan 2 #将该接口划分到对应的vlan中trunk干道 --- 中继干道,不属于任何一个vlan,可以承载所有vlan的流量转发,能够标记和识别来区分不同vlan产生的数据流量
[SW1]interface GigabitEthernet 0/0/4
[SW1-GigabitEthernet0/0/4]port link-type trunk #将接口修改为trunk模式
[SW1-GigabitEthernet0/0/4]port trunk allow-pass vlan 2 3 #再定义允许列表,华为设备 trunk干道默认仅允许vlan1通过路由器子接口方案 --- 单臂路由
[R2]interface GigabitEthernet 0/0/0.1 #创建该物理接口1号子接口
[R2-GigabitEthernet0/0/0.1]dot1q termination vid 2 #定义其识别和管理的vlan id
[R2-GigabitEthernet0/0/0.1]ip address 192.168.1.190 24 #配置子接口IP
[R2-GigabitEthernet0/0/0.1]arp broadcast enable #启用arp广播功能
路由器间接口配置
[R1]interface g0/0/1 #进入接口
[R1-GigabitEthernet0/0/1]ip address 192.168.1.1 26 #配置IP地址以及子网掩码
后面的路由器接口配置省略
静态路由以及浮动静态配置
[R1]ip route-static 0.0.0.0 0 13.0.0.3 #指向外网的缺省路由
浮动静态
[R1]ip route-static 192.168.1.128 25 192.168.1.1 #配置去往汇总后的vlan网段的静态路由
[R1]ip route-static 192.168.1.128 25 192.168.1.65 preference 61 #去往vlan网段的备用路由
同理配置去往公网的浮动静态
[R2]ip route-static 0.0.0.0 0 192.168.1.2
[R2]ip route-static 0.0.0.0 0 192.168.1.66 preference 61Inactive为备用路由当active的路由断开后Inactive会变为active
公网配置动态路由
如拓扑图所示需要配置动态路由的路由器有R3,R4,R5
[R3]ospf 1 router-id 3.3.3.3 #启动时可以定义进程号,仅具有本地意义;默认为1,建议同时配置RID
[R3-ospf-1]area 0 #单区域
宣告:1、激活接口协议 2、共享接口信息 3、区域划分
宣告时,使用反掩码精确的匹配
[R3-ospf-1-area-0.0.0.0]network 34.0.0.3 0.0.0.0
[R3-ospf-1-area-0.0.0.0]network 13.0.0.3 0.0.0.0
[R3-ospf-1-area-0.0.0.0]network 35.0.0.3 0.0.0.0
[R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0
同理可配R4,R5
如上图所示为FULL即可获得路由
可通过查看路由表查看通过OSPF获得的路由
PC1可访问3.3.3.0/24网段,PC2不能
通过NAT与ACL来实现
私网要访问公网网段需要通过NAT地址转换协议实现
先通过标准ACL抓取PC1网段感兴趣流量,在边界路由器上
[R1]acl 2000 #创建ACL列表2000 2000-2999为标准ACL,一个编号为一张大表 在编辑具体时,使用通配符进行匹配;通配符和OSPF的反掩码匹配规则一致,但区别在于通配符支持0和1混编
[R1-acl-basic-2000]rule permit source 192.168.1.192 0.0.0.255 #抓取感兴趣流量
退出进入接口
[R1]interface GigabitEthernet 0/0/2
[R1-GigabitEthernet0/0/2]nat outbound 2000 #在出接口调用acl 2000ACL表至上而下逐一匹配,上条匹配按上条执行,不再查看下条;
在思科系设备中,表格末尾含义一条拒绝所有的规则;
在华为系设备中,表格末尾含义一条允许所有的规则;
此时使用PC1ping 3.3.3.3
PC2不能访问3.3.3.0网段,使用扩展ACL
扩展ACL -- 由于扩展acl精确匹配目标和源,故调用时尽量靠近源仅针对源、目标ip地址
[R1]acl 3000 #编号3000-3999为扩展列表
[R1-acl-adv-3000]rule deny ip source 192.168.1.252 0.0.0.0 destination 3.3.3.0 0
.0.0.255
[R1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000 #进入接口在入方向调用acl 3000
此时PC2不能访问3.3.3.0/24网段
AR1可以被telnet远程控制
[R1]user-interface vty 0 4 #在VTY(远程登录虚拟接口)上调用aaa服务
[R1-ui-vty0-4]authentication-mode aaa
[R1]aaa #进入aaa服务,该服务用于管理账号信息
[R1-aaa]local-user huawei privilege level 15 password cipher 123456 #配置账号信息,权限,密码
[R1-aaa]local-user huawei service-type telnet 定义账号功能使用AR2远程控制AR1
需求1,客户端域名访问服务器
客户端的配置
DNS服务器的配置
启动域名解析服务
HTTP服务器配置
随便使用一个文件
在R6边界路由器需要用到NAT动态转换与端口映射
[R6-GigabitEthernet0/0/0]nat server protocol tcp global current-interface www in
side 172.16.1.100 www #进入端口,输入端口为80的端口映射关系[R6]acl 2000
[R6-acl-basic-2000]rule permit source 172.16.1.0 0.0.0.255 #抓取感兴趣流量此时R6作为边界路由器还需要一条通往公网的缺省路由
[R6]ip route-static 0.0.0.0 0 56.0.0.5此时在客户端输入域名即可访问服务器
