作业 - 简书

一、实验拓扑图：

WPS图片(1).png

二、实验需求： 1.所有PC均需要通过DHCP获取IP地址-地址池名称和设备VLAN一致，例如PC1-ip pool vlan10,其中只有业务B网络用户需要访问互联网web服务-需要DNS信息。 2.交换机配置VLAN需要遵循最小VLAN透传原则 3.利用OSPF协议使内外用户互相访问-全网可达（设备Router-ID需要手工配置，和设备编号一致，例如R1-RID：1.1.1.1），并采用精准宣告的方式进行宣告（例如：172.16.64.1/24接口，宣告：172.16.64.1 0.0.0.0） 4.内网全网可达，并且需要尽可能减小路由表条目数量（汇总采用精确汇总方式），能够利用缺省省去的配置可省略，防止环路，并且保障安全（在OSPF区域0需要配置认证-采用MD5认证，密码为123456），企业内网所有用户网段能够汇总都需要尽量汇总;OSPF网络用户终端不能收到OSPF协议报文。 5.内网所有用户均可访问互联网（边界路由器配置NAT），ACL采用基础ACL，编号为2000，R3-0/0/2接口不允许宣告在内网中（包含静态）。 6.test设备需要远程登陆到内网telnet-server设备,登录账号为 huawei 密码 123456，登录权限为最高。 7.不允许VLAN 40和VLAN 50 用户访问内网B业务，acl编号为2001（在R3设备0/0/0接口配置），不允许PC1访问PC5，ACL编号为3000。 8.R3-R4中间百兆链路作为备份链路，不允许正常情况下数据通过，需要降低优先级数值配置为100。 9.所有设备严格按照拓扑图标识进行配置，注意大小写。 10.图示中所有服务器和client设备均为体现需求，地址固定，不做更改，在配置时需求注意。clinet1用来模拟内网用户访问互联网（ISP-服务器），test设备用来测试互联网用户远程登陆内网telent-server主机。

三、操作方法：

1、要想所有PC获得ip地址: （1）、先配置交换机的vlan接口access接口和trunk接口

以SW1交换机为例：

[SW1]int g 0/0/2

[SW1-GigabitEthernet0/0/2]port default vlan 10

[SW1-GigabitEthernet0/0/2]port link-type access

[SW1]int g 0/0/3

[SW1-GigabitEthernet0/0/3]port default vlan 20

[SW1-GigabitEthernet0/0/3]port link-type access

[SW1]int g 0/0/4

[SW1-GigabitEthernet0/0/4]port default vlan 30

[SW1-GigabitEthernet0/0/4]port link-type access [SW1]int g 0/0/1

[SW1-GigabitEthernet0/0/1]port link-type trunk

[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30 [图片上传失败...(image-18a79-1762867421796)]

(2)、继续在R1上配置地域池：因为有三个PC端，所以我们可以建立虚拟接口：

[R1]int g 0/0/1.1

[R1-GigabitEthernet0/0/1.1]ip add 172.16.64.1 24

[R1-GigabitEthernet0/0/1.1] dhcp select global

[R1-GigabitEthernet0/0/1.1]arp broadcast enable

[R1-GigabitEthernet0/0/1.1]dot1q termination vid 10

[R1]int g 0/0/1.2

[R1-GigabitEthernet0/0/1.2]ip add 172.16.66.1 24

[R1-GigabitEthernet0/0/1.2] dhcp select global

[R1-GigabitEthernet0/0/1.1]arp broadcast enable

[R1-GigabitEthernet0/0/1.1]dot1q termination vid 10

[R1]int g 0/0/1.3

[R1-GigabitEthernet0/0/1.3]ip add 172.16.66.1 24

[R1-GigabitEthernet0/0/1.3] dhcp select global

[R1-GigabitEthernet0/0/1.1]arp broadcast enable

[R1-GigabitEthernet0/0/1.1]dot1q termination vid 10

再创建地域池： [R1]IP pool vlan10

[R1-ip-pool-vlan10]network 172.16.64.1 mask 24

[R1-ip-pool-vlan10]gateway-list 172.16.64.1

Pc1就可以获取IP:

[图片上传失败...(image-f3e188-1762867421796)]

2、OSPF协议配置时要注意router id 要不同；并且区域要划分清楚还是以R1和R2为例（精准宣告接口IP是多少就宣告多少）：

[R1]ospf 1 router-id 1.1.1.1

[R1-ospf-1]a 1

[R1-ospf-1-area-0.0.0.1]netw 172.16.64.1 0.0.0.0

[R1-ospf-1-area-0.0.0.1]netw 172.16.65.1 0.0.0.0

[R1-ospf-1-area-0.0.0.1]network 172.16.66.1 0.0.0.0

[R1-ospf-1-area-0.0.0.1]netw 172.16.67.1 0.0.0.0

[R2]ospf 1 router-id 2.2.2.2

[R2-ospf-1]a 0

[R2-ospf-1-area-0.0.0.0]network 172.16.0.1 0.0.0.0

[R2-ospf-1-area-0.0.0.0]netw 172.16.1.1 0.0.0.0

[R2-ospf-1-area-0.0.0.0]netw 172.16.2.1 0.0.0.0

[R2-ospf-1-area-0.0.0.0]q

[R2-ospf-1]a 1

[R2-ospf-1-area-0.0.0.1]netw 172.16.67.2 0.0.0.0（R2的0/0/0接口在area 1 中）

配置完之后R1和R2就可以互通了

[图片上传失败...(image-737d43-1762867421796)]

[图片上传中...(image-ab6950-1762867421796-1)]

（172.16.0.0/18 就是a 0汇总后的网段）

3、汇总：

[R2]ospf 1

[R2-ospf-1]a 1

[R2-ospf-1-area-0.0.0.1]ab

[R2-ospf-1-area-0.0.0.1]abr-summary 172.16.64.0 255.255.192.0

[R2-ospf-1-area-0.0.0.1]q

[R2-ospf-1]a 0

[R2-ospf-1-area-0.0.0.0]ab

[R2-ospf-1-area-0.0.0.0]abr-summary 172.16.0.0 255.255.192.0

汇总完之后做防环：

[R2]ip route-static 172.16.0.0 18 NU

[R2]ip route-static 172.16.0.0 18 NULL 0

[R2]ip route-static 172.16.64.0 18 NULL 0

（2）、在OSPF区域0需要配置认证-采用MD5认证，密码为123456：在area 0 中就是在R2 的0/0/2接口和R3 的0/0/0接口上配置： [R2-GigabitEthernet0/0/2]ospf authentication-mode md5 1 cipher 123456

[R3-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456

5、内网所有用户均可访问互联网（边界路由器配置NAT），ACL采用基础ACL，编号为2000，R3-0/0/2接口不允许宣告在内网中（包含静态）。

NAT配置采用ease ip:

R3:

[R3]acl 2000

[R3-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255

[R3-acl-basic-2000]q

[R3]int g 0/0/2

[R3-GigabitEthernet0/0/2]nat outbound 2000

6.test设备需要远程登陆到内网telnet-server设备,登录账号为 huawei 密码 123456，登录权限为最高。

[Telent-sever]telnet server enable

Error: TELNET server has been enabled

[Telent-sever]aaa

[Telent-sever-aaa]local-user huawei password cipher 123456 privilege level 15

[Telent-sever-aaa]local-user huawei service-type telnet

[Telent-sever-aaa]q

[Telent-sever]user-interface vty 0 4

[Telent-sever-ui-vty0-4]authentication-mode aaa

7、不允许VLAN 40和VLAN 50 用户访问内网B业务，acl编号为2001（在R3设备0/0/0接口配置），不允许PC1访问PC5，ACL编号为3000。

（1）、

[R3]acl 2001

[R3-acl-basic-2001]rule deny source 172.16.0.1 0.0.0.255

[R3-acl-basic-2001]rule deny source 172.16.1.1 0.0.0.255

[R3-acl-basic-2001]q

[R3]int g 0/0/0

[R3-GigabitEthernet0/0/0]traffic-filter inbound acl 2001

（2）、PC1 不能访问PC5 可以在R1 的出接口0/0/0上配置： [R1]acl 3000

[R1-acl-adv-3000]rule deny ip source 172.16.64.254 0.0.0.0 destination 172.16.128.254 0.0.0.0

[R1-acl-adv-3000]q

[R1]int g 0/0/0

[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 3000

8、R3-R4中间百兆链路作为备份链路，不允许正常情况下数据通过，需要降低优先级数值配置为100。（1）、做这个之前我们可以先通过[R3]dis ip routing-table protocol static

查看有哪些需要降低优先值：

[图片上传中...(image-c0357-1762867421796-0)]

直接通过：[R3]ip route-static 172.16.131.0 24 172.16.130.2 preference 100

这个命令去写。

作业

推荐阅读更多精彩内容