拓扑
一.实验目标
1.所有PC均需要通过DHCP获取IP地址-地址池名称和设备VLAN一致,例如PC1-ip pool vlan10,其中
只有业务B网络用户需要访问互联网web服务-需要DNS信息。
2.交换机配置VLAN需要遵循最小VLAN透传原则
3.利用OSPF协议使内外用户互相访问-全网可达(设备Router-ID需要手工配置,和设备编号一致,例
如R1-RID:1.1.1.1),并采用精准宣告的方式进行宣告(例如:172.16.64.1/24接口,宣告:
172.16.64.1 0.0.0.0)
4.内网全网可达,并且需要尽可能减小路由表条目数量(汇总采用精确汇总方式),能够利用缺省省去
的配置可省略,防止环路,并且保障安全(在OSPF区域0需要配置认证-采用MD5认证,密码为123456)
5.内网所有用户均可访问互联网(边界路由器配置NAT),ACL采用基础ACL,编号为2000,R3-0/0/2
接口不允许宣告在内网中(包含静态)。
6.test设备需要远程登陆到内网telnet-server设备,登录账号为 huawei 密码 123456,登录权限
为最高。
7.不允许VLAN 40和VLAN 50 用户访问内网B业务,acl编号为2001,不允许PC1访问PC5,ACL编号为
3000。
8.R3-R4中间百兆链路作为备份链路,不允许正常情况下数据通过,需要降低优先级数值配置为100。
9.所有设备严格按照拓扑图标识进行配置,注意大小写。
10.图示中所有服务器和client设备均为体现需求,地址固定,不做更改,在配置时需求注意。
clinet1用来模拟内网用户访问互联网(ISP-服务器),test设备用来测试互联网用户远程登陆内网
telent-server主机。
二、实验配置思路
1.接口IP配置:根据地址规划表,为路由器各接口配置相应的IP地址,包括物理接口和子接口(用于VLAN间通信)。
2.首先创建所需VLAN,根据IP地址及VLAN规划表,确定各交换机需创建的VLAN(如VLAN 10、20、30、40、50、60、70)。
3.DHCP配置:在相关路由器上配置DHCP地址池,地址池名称与设备VLAN一致,为各PC分配IP地址、子网掩码、网关和DNS服务器地址(仅业务B网络用户配置DNS)。
4..配置交换机端口,将连接PC和服务器的端口划分为相应的接入端口,并加入对应的VLAN;将连接路由器或其他交换机的端口配置为 trunk 端口,遵循最小VLAN透传原则,只允许必要的VLAN通过。
5.OSPF配置:手工配置各路由器的Router - ID(与设备编号一致,如R1的Router - ID为1.1.1.1);在各区域内采用精准宣告方式宣告接口网段;配置OSPF区域0的MD5认证,密码为123456;对OSPF路由进行精确汇总,减小路由表条目数量。
6.静态路由配置:根据业务需求,配置必要的静态路由,如模拟远程主机的test设备配置一条缺省路由指向网关。
7.NAT配置:在边界路由器(如R3)上配置NAT,实现内网用户访问互联网。
8.ACL配置:配置基础ACL 2000控制内网访问互联网;配置ACL 2001禁止VLAN 40和VLAN 50用户访问内网B业务;配置ACL 3000禁止PC1访问PC5。
9.链路优先级配置:将R3 - R4中间百兆链路的优先级降低为100,使其成为备份链路,正常情况下不传输数据。
10.telnet配置:在telnet - server服务器上配置telnet服务,设置登录账号huawei,密码123456,权限为最高;确保test设备可通过远程登录访问该服务器。
11.telnet - server服务器:固定IP地址为172.16.66.254/24,网关为172.16.66.1(R1 - 0/0/1.3),配置telnet服务参数。
12.DNS服务器:固定IP地址为172.16.128.126/25,网关为172.16.128.1(R7 - 0/0/2.1),确保能为业务B网络用户提供DNS解析服务。
13.test设备:固定IP地址为100.0.0.2,配置缺省路由指向网关,用于远程登录内网telnet - server设备。
14.client1设备:固定IP地址为172.16.128.125/24,网关为172.16.128.1(R7 - 0/0/2.1),用于模拟内网用户访问互联网。
15.PC机:无需手动配置IP地址,通过DHCP自动获取,确保能正常与内网其他设备通信(根据ACL规则有相应访问限制)。
三、详细步骤
1.ip
2.创vlan,并且接入接口
3.dhcp(附pc机获取地址)
4.ospf
5全网可达以及链路优先级
6.nat
7.telnet
