HCIP第一次作业 HCIA复习实验 实验报告

image.png

一、网络设备：

交换机 2 台：SW1、SW2、SW3
路由器 7 台：R1、R2、R3、R4、R5、R6、R7
PC 终端5台：PC1、PC2、PC3、PC4、PC5
Telnet 服务器1台
DNS 服务器1台
测试终端 1 台：test

二、设备与 VLAN 地址对应：

1、PC1（VLAN 10）：网段 172.16.64.0/24，地址 172.16.64.254/24，网关 172.16.64.1（R1-0/0/1.1）
2、PC2（VLAN 20）：网段 172.16.65.0/24，地址 172.16.65.254/24，网关 172.16.65.1（R1-0/0/1.2）
3、Telnet-server（VLAN 30）：网段 172.16.66.0/24，地址 172.16.66.254/24，网关 172.16.66.1（R1-0/0/1.3）
4、R1-R2 链路：网段 172.16.67.0/24 ；
-----R1 地址 172.16.67.1/24，R2 地址 172.16.67.2/24
5、PC3（VLAN 40）：网段 172.16.0.0/24，地址 172.16.0.254/24，网关 172.16.0.1（R2-0/0/1.1）
6、PC4（VLAN 50）：网段 172.16.1.0/24，地址 172.16.1.254/24，网关 172.16.1.1（R2-0/0/1.2）
7、R2-R3 链路：网段 172.16.2.0/24；
-----R2 地址 172.16.2.1/24，R3 地址 172.16.2.2/24
8、DNS/client1（VLAN 60）：网段 172.16.128.0/25；DNS 地址 172.16.128.126/25，client1 地址 172.16.128.125/24，网关 172.16.128.1（R7-0/0/2.1）
9、PC5（VLAN 70）：网段 172.16.128.128/25；地址 172.16.128.254/25，网关 172.16.128.129（R7-0/0/2.2）
10、R3-R4 链路：
（1）千兆链路网段 172.16.129.0/24：
——R3 地址 172.16.129.1/24，R4 地址 172.16.129.2/24
（2）百兆链路网段 172.16.130.0/24：
——R3 地址 172.16.130.1/24，R4 地址 172.16.130.2/24
11、R4-R5 链路：网段 172.16.131.0/24
——R4 地址 172.16.131.1/24，R5 地址 172.16.131.2/24
12、R4-R6 链路：网段 172.16.132.0/24
——R4 地址 172.16.132.1/24，R6 地址 172.16.132.2/24
13、R5-R7 链路：网段 172.16.133.0/24
——R5 地址 172.16.133.1/24，R7 地址 172.16.133.2/24
14、R6-R7 链路：网段 172.16.134.0/24
——R6 地址 172.16.134.1/24，R7 地址 172.16.134.2/24
15、公网出口区：R3-0/0/2 接口地址 100.0.0.1/24，test 终端地址 100.0.0.2/24

三、实验配置详情

1、交换机

SW1

1、创建 VLAN 10、20、30：vlan batch 10 20 30
2、GigabitEthernet0/0/1 配置为 Trunk 模式，允许 VLAN 10 20 30 通行，对接 R1:
port link-type trunk、port trunk allow-pass vlan 10 20 30
3、GigabitEthernet0/0/2-0/0/4 分别绑定 VLAN 10、20、30，连接终端:
port link-type access、port default vlan 10
port link-type access、port default vlan 20（对应PC2）
port link-type access、port default vlan 30（对应PC3）

SW2

1、创建 VLAN40、50：vlan batch 40 50
2、GigabitEthernet0/0/1 配置为 Trunk 模式，允许 VLAN 40 50通行，对接 R2:
port link-type trunk、port trunk allow-pass vlan 40 50
3、GigabitEthernet0/0/2-0/0/3 分别绑定 VLAN 40 50，连接终端:
port link-type access、port default vlan 40（对应PC4）
port link-type access、port default vlan 50（对应PC5）

SW3

1、创建 VLAN60、70：vlan batch 60 70
2、GigabitEthernet0/0/1 配置为 Trunk 模式，允许 VLAN 40 50通行，对接 R2:
port link-type trunk、port trunk allow-pass vlan 60、70
3、GigabitEthernet0/0/2-0/0/3 分别绑定 VLAN60 70，连接终端:
port link-type access、port default vlan 60（对应PC6）
port link-type access、port default vlan 70（对应PC7）

2、DHCP

R1（vlan10 20）

1、启用 DHCP：执行dhcp enable
2、创建地址池：
（1）执行ip pool vlan10，配置gateway-list 172.16.64.1、network 172.16.64.0 mask 255.255.255.0
（2）执行ip pool vlan20，配置gateway-list 172.16.65.1、network 172.16.65.0 mask 255.255.255.0
3、子接口
（1）GigabitEthernet0/0/1.1执行dot1q termination vid 10、ip address 172.16.64.1 255.255.255.0、arp broadcast enable、dhcp select global
（2）GigabitEthernet0/0/1.2执行dot1q termination vid 20、ip address 172.16.65.1 255.255.255.0、arp broadcast enable、dhcp select global
4、(R1连接SW1，负责VLAN10、20终端的IP分配，子接口封装 VLAN 标签实现与交换机跨 VLAN 通信，DHCP 全局分配确保终端获取正确的网络参数)

R2（VLAN 40、50）

1、启用 DHCP：执行dhcp enable
2、创建地址池：
（1）执行ip pool vlan40，配置gateway-list 172.16.0.1、network 172.16.0.0 mask 255.255.255.0
（2）执行ip pool vlan50，配置gateway-list 172.16.1.1、network 172.16.1.0 mask 255.255.255.0
3、子接口配置：
（1） GigabitEthernet0/0/1.1执行dot1q termination vid 40、ip address 172.16.0.1 255.255.255.0、arp broadcast enable、dhcp select global
（2） GigabitEthernet0/0/1.2执行dot1q termination vid 50、ip address 172.16.1.1 255.255.255.0、arp broadcast enable、dhcp select global
4、(R2 连接 sw2，负责 VLAN40、50 终端的 IP 分配，配置逻辑与 R1 一致，确保终端获取正确网络参数，实现与其他区域通信)

R7（VLAN 60、70）

1、启用 DHCP：执行dhcp enable
2、创建地址池：
（1）执行ip pool vlan60，配置gateway-list 172.16.128.1、network 172.16.128.0 mask 255.255.255.128、dns-list 172.16.128.126
（2）执行ip pool vlan50，配置gateway-list 172.16.128.129、network 172.16.128.128 mask 255.255.255.128、dns-list 172.16.128.126
3、子接口配置：
（1） GigabitEthernet0/0/1.1执行dot1q termination vid 60、ip address 172.16.128.1 255.255.255.128、arp broadcast enable、dhcp select global
（2） GigabitEthernet0/0/1.2执行dot1q termination vid 70、ip address 172.16.128.129 255.255.255.128、arp broadcast enable、dhcp select global
4、(R7 连接 sw3，负责 VLAN60、70 终端的 IP 分配，/25 网段划分满足业务 B 区域终端数量需求，DNS 配置确保终端可解析互联网域名)

3、OSPF

R1

1、执行ospf 1 router-id 1.1.1.1
2、执行silent-interface GigabitEthernet0/0/1.1、silent-interface GigabitEthernet0/0/1.2、silent-interface GigabitEthernet0/0/1.3
3、进入area 0.0.0.1，执行network 172.16.64.1 0.0.0.0、network 172.16.65.1 0.0.0.0、network 172.16.66.1 0.0.0.0、network 172.16.67.1 0.0.0.0

R2

1、执行ospf 1 router-id 2.2.2.2
2、执行silent-interface GigabitEthernet0/0/1.1、silent-interface GigabitEthernet0/0/1.2
3、进入area 0.0.0.0，执行authentication-mode md5 1 cipher、network 172.16.0.1 0.0.0.0、network 172.16.1.1 0.0.0.0、network 172.16.2.1 0.0.0.0、abr-summary 172.16.0.0 255.255.192.0(宣告与R1连接的网段)
4、进入area 0.0.0.1，执行network 172.16.67.2 0.0.0.0、abr-summary 172.16.64.0 255.255.192.0
5、(R2 需连接两个 OSPF 区域)

R3

1、执行ospf 1 router-id 3.3.3.3
2、进入area 0.0.0.0，执行authentication-mode md5 1 cipher、network 172.16.2.2 0.0.0.0、default-route-advertise always

4、静态路由

R1

执行ip route-static 172.16.0.0 255.255.192.0 172.16.67.2

R3

1、主：ip route-static 172.16.128.0 255.255.128.0 172.16.129.2、ip route-static 172.16.131.0 255.255.255.0 172.16.129.2
2、备份（百兆链路，优先级 100，低于主路由）：ip route-static 172.16.128.0 255.255.128.0 172.16.130.2 preference 100、ip route-static 172.16.131.0 255.255.255.0 172.16.130.2 preference 100

R4

ip route-static 0.0.0.0 0.0.0.0 172.16.129.1(路由指向R3主链路，访问外网)
ip route-static 0.0.0.0 0.0.0.0 172.16.130.1 preference 100
ip route-static 172.16.133.0 255.255.255.0 172.16.131.2(指向R5网段路由)
ip route-static 172.16.134.0 255.255.255.0 172.16.132.2(指向R6网段路由)

静态路由指向 R5、R6 网段，实现与 R7 的通信

R5

ip route-static 0.0.0.0 0.0.0.0 172.16.131.1(路由指向R4)
ip route-static 172.16.128.0 255.255.128.0 172.16.133.2(指向R7)

R5 连接 R4 与 R7，默认路由确保访问外网，静态路由实现与 R7 的通信

R6

ip route-static 0.0.0.0 0.0.0.0 172.16.132.1
ip route-static 172.16.128.0 255.255.128.0 172.16.134.2

R6 连接 R4 与 R7，配置逻辑与 R5 一致，确保与外网及 R7 的通信

R7

ip route-static 0.0.0.0 0.0.0.0 172.16.133.1(主路由指向R5主链路)
ip route-static 0.0.0.0 0.0.0.0 172.16.134.1(备份路由指向R6)
ip route-static 172.16.131.0 255.255.255.0 172.16.133.1(指向R5网段路由)
ip route-static 172.16.132.0 255.255.255.0 172.16.134.1(指向R6网段路由)

双默认路由，静态路由确保与 R5、R6 的通信，进而访问外网

5、ACL 配置

R1（ACL 3000）：

acl number 3000(创建ACL 3000，用于拒绝PC1访问PC5)
rule 5 deny ip source 172.16.64.254 0 destination 172.16.128.254 0
进入 GigabitEthernet0/0/1，执行traffic-filter inbound acl 3000(过滤进入R1的非法流量)

R3（ACL 2000）：

acl number 2000(创建ACL 2000，允许内网访问公网)
rule 5 permit source 172.16.0.0 0.0.255.255(匹配OSPF内网网段)

R3（ACL 2001）：

acl number 2001(创建ACL 2001，拒绝VLAN40/50访问业务)
rule 5 deny source 172.16.0.0 0.0.0.255(匹配VLAN40网段)
rule 10 deny source 172.16.1.0 0.0.0.255(匹配VLAN50网段)
进入GigabitEthernet0/0/0，执行traffic-filter inbound acl 2001

ACL 2000 为 NAT 提供权限依据，仅允许内网合法网段访问公网；ACL 2001 拒绝 VLAN40/50 访问业务,阻挡非法流量

6、NAT 配置

R3

进入 GigabitEthernet0/0/2，执行nat outbound 2000
ip address 100.0.0.1 255.255.255.0(配置公网接口IP)
R3（NAT Server）：执行nat server protocol tcp global current-interface telnet inside 172.16.66.254 telnet(将内网 Telnet 服务器映射到公网接口，支持 test 终端远程登录-账号 huawei，密码 123456-)