一、实验拓扑
二、实验要求
1、学校内部的HTTP客户端可以正常通过域名www.baidu.com访问到百度网络中的HTTP服务器。
2、学校内部网络基于192.168.1.0/24划分,PC1可以正常访问3.3.3.0/24网段,但是PC2不允许。
3、学校内部网络使用静态路由,R1和R2之间两条链路进行浮动静态。
4、运营商网络内部使用动态路由协议
5、R2可以被telnet远程控制
三、实验步骤
1、实现学校内部网络互通
学校内部网段基于192.168.1.0/24进行划分,我们划分四个网段,划分的网段分别为:
- 192.168.1.0/26(VLAN2)
- 192.168.1.64/26(VLAN3)
- 192.168.1.128/26(R1和R2)
- 192.168.1.192/26(R1和R2)
(1)基本IP配置
PC1上:
PC2上:
HTTP客户端上:
R1上:
其中子接口g0/0/0.1和g0/0/0.2分别作为vlan2和vlan3的网关。
R2上:
相关命令参考:
# 进入接口配置IP地址
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.1.129 26
# 查看接口ip配置
[R1]display ip interface brief(2)配置VLAN
LSW1上:
R1上:
相关命令参考:
[SW1]vlan 2 //单个创建vlan
[SW2]vlan batch 2 3 //单个创建vlan
[SW2]vlan batch 20 to 30 //批量创建vlan20-30
[SW1]int e0/0/2
[SW1-Ethernet0/0/2]port link-type access //配置端口的链路模式
[SW1-Ethernet0/0/2]port default vlan 2 //将接口加入相应vlan
[SW1-Ethernet0/0/1]port link-type trunk //配置端口的链路模式
[SW1-Ethernet0/0/1]port trunk allow-pass vlan 2 3 //trunk干道上放行vlan
[R1]int g0/0/0.2 //创建子接口
[R1-GigabitEthernet0/0/0.2]ip add 192.168.1.254 24 //配置子接口地址,相当于网关
[R1-GigabitEthernet0/0/0.2]dot1q termination vid 2 //相当于把这个接口划分给相应的vlan了
[R1-GigabitEthernet0/0/0.2]arp broadcast enable //开启ARP广播。
# 额外:三层交换机配置
[SW1]int vlanif 10
[SW1-Vlanif10]ip add 192.168.10.254 24
[SW1-Vlanif10]int vlanif 20
[SW1-Vlanif20]ip add 192.168.20.254 24(3)配置静态路由
这里配置了浮动路由。
R1上:
R2上:
相关命令参考:
[R1]ip route-static 192.168.1.64 27 192.168.1.2 //配置静态路由ip route-static 目的地址 子网掩码 下一跳地址
[R1]ip route-static 0.0.0.0 0 192.168.1.2 //配置缺省路由使得任何地址都能经过下一跳的地
[R1]ip route-static 192.168.1.32 27 NULL 0 //防环,做黑洞路由配置
[R5]ip route-static 192.168.1.0 24 192.168.1.21 preference 61 //设置路由优先级,优先级数字越小越优先
[R1]display ip routing-table //查看路由表,后面可跟协议类型
[R1]tracert 5.5.5.5 //查看该主机到达5.5.5.5经过了哪些地址(4)测试
PC1 ping HTTP客户端
PC1 ping R2
2、实现运营商公网互通
运营商划分五个网段,划分的网段分别为:
- 100.0.1.0/24(DNS和R4)
- 100.0.2.0/24(R3和R4)
- 100.0.3.0/24(R2和R3)
- 100.0.5.0/24(R3和R5)
- 100.0.6.0/24(R5和R6)
(1)基本IP配置
DNS服务器上:
R4上:
R3上:
R5上:
(2)配置动态路由(OSPF)
这里我选择了OSPF协议。
R4上:
R3上:
R5上:
相关命令参考:
[R1]ospf 1 router-id 1.1.1.1 //配置ospf协议,配置router-id(一般按照主机型号配置)
[R1-ospf-1]area 0 //分配区域
[R1-ospf-1-area-0.0.0.0]network 192.168.1.32 0.0.0.0 //精确宣告(宣告地址),后面跟着反掩码
[R1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.31 //网段宣告(宣告网段)
[R1]dis ospf peer //查看邻居表
[R1]dis ospf peer brief //查看邻居表(简洁)
[R1]dis ospf lsdb //查看链路状态数据库表(目前用不到)
[R4-ospf-1]default-route-advertise always //给区域内所有路由下发一条到达目的网段的默认路由(和rip的指令不同)
[R1-GigabitEthernet0/0/0]ospf dr-priority 0 //修改接口优先级,优先级为0,代表此接口失去了成为 DR或者BDR的资格,优先级高的获得DR资格。
[R1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 12138 //接口认证
[R3-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher 12138 //区域认证,接口认证优于区域认证
[R3-ospf-1-area-0.0.0.0]abr-summary 192.168.1.0 255.255.255.128 //网段汇总
# 额外:RIP协议
[R1]rip 1 //配置rip协议
[R1-rip-1]version 2 //选择rip版本
[R1-rip-1]network 192.168.1.0 //宣告直连网段
[R1-rip-1]undo summary //关闭自动汇总
[r3-rip-1]default-route originate //当前设备生成一条缺省路由或者将路由表中存在的缺省路由发送给邻居
[R1-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher 12345 //接口认证
[R1-GigabitEthernet0/0/0]rip summary-address 192.168.1.128 255.255.255.192 //接口汇总
(3)查看ospf路由表并测试
DNS ping R5:
3、配置百度内部网络以及各不同网段之间的通信
百度内部网段基于192.168.2.0/24进行划分。
(1)基本IP配置
R2上:
R6上:
HTTP服务端上:
(2)配置NAT
这里选择都配置EASY IP,R6额外配置NAT server
R2上:
还需要配一条缺省:
R6上:
还需要一条缺省:
以及nat server:
相关命令参考:
NAPT:
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 //创建基本acl,允许该网段通过
[R1]nat address-group 1 100.1.1.3 100.1.1.254 //创建地址池,设置公网地址
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 //接口上配置napt
EASY IP:
[R3]acl 2000
[R3-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 //创建基本acl,允许该网段通过
[R3]interface g0/0/0
[R3-GigabitEthernet0/0]nat outbound 2000 //接口上配置 EASY IP
NAT SERVER:
[R1-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 23 inside 192.168.1.2 23 //配置NAT SERVER,映射端口23(3)测试
PC1 ping R6:
4、配置DNS和HTTP服务器
(1)开启DNS和HTTP服务
DNS上:
HTTP服务端上:
(2)测试
HTTP客户端配置DNS服务器后测试:
5、R2上配置telnet服务
(1)开启telnet服务
相关命令参考:
[telnet server]aaa //一种安全模式
[telnet server-aaa]local-user obboda privilege level 15 password cipher obboda123 //创建用户,授权、配置用户密码
[telnet server-aaa]local-user obboda service-type telnet //配置用户的服务类型
[telnet server]user-interface vty 0 4 //配置用户远程登录的数量
[telnet server-ui-vty0-4]authentication-mode aaa //配置用户认证模式(2)测试
R1 telnet R2查看接口的IP配置:
6、禁止PC2访问3.3.3.0/24网段
在本次实验中,我将3.3.3.0/24的网段划分到了R3的环回接口上了。目前PC1和PC2都可以正常访问到3.3.3.3,所以我们需要配置ACL来过滤PC2地址的流量。因为是私网访问公网,所以我们应该在私网内配置。
(1)配置高级ACL
这里我们选择配置在R1上
(2)应用到接口
这里我们选择在R1的进接口上
相关命令参考:
# 高级ACL:
[R1]acl 3000
[R1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23 //配置acl
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 //接口下发acl,对外部流入进来的流量做限制(3)测试
PC1 访问 3.3.3.0/24网段
PC2 访问 3.3.3.0/24网段
PC2 访问 公网其它网段
