image.png

一、網(wǎng)絡(luò)設(shè)備：

交換機(jī) 2 臺：SW1、SW2、SW3
路由器 7 臺：R1、R2、R3、R4、R5、R6、R7
PC 終端5臺：PC1、PC2、PC3、PC4、PC5
Telnet 服務(wù)器1臺
DNS 服務(wù)器1臺
測試終端 1 臺：test

二、設(shè)備與 VLAN 地址對應(yīng)：

1、PC1（VLAN 10）：網(wǎng)段 172.16.64.0/24，地址 172.16.64.254/24，網(wǎng)關(guān) 172.16.64.1（R1-0/0/1.1）
2、PC2（VLAN 20）：網(wǎng)段 172.16.65.0/24，地址 172.16.65.254/24，網(wǎng)關(guān) 172.16.65.1（R1-0/0/1.2）
3、Telnet-server（VLAN 30）：網(wǎng)段 172.16.66.0/24，地址 172.16.66.254/24，網(wǎng)關(guān) 172.16.66.1（R1-0/0/1.3）
4、R1-R2 鏈路：網(wǎng)段 172.16.67.0/24 ；
-----R1 地址 172.16.67.1/24，R2 地址 172.16.67.2/24
5、PC3（VLAN 40）：網(wǎng)段 172.16.0.0/24，地址 172.16.0.254/24，網(wǎng)關(guān) 172.16.0.1（R2-0/0/1.1）
6、PC4（VLAN 50）：網(wǎng)段 172.16.1.0/24，地址 172.16.1.254/24，網(wǎng)關(guān) 172.16.1.1（R2-0/0/1.2）
7、R2-R3 鏈路：網(wǎng)段 172.16.2.0/24；
-----R2 地址 172.16.2.1/24，R3 地址 172.16.2.2/24
8、DNS/client1（VLAN 60）：網(wǎng)段 172.16.128.0/25；DNS 地址 172.16.128.126/25，client1 地址 172.16.128.125/24，網(wǎng)關(guān) 172.16.128.1（R7-0/0/2.1）
9、PC5（VLAN 70）：網(wǎng)段 172.16.128.128/25；地址 172.16.128.254/25，網(wǎng)關(guān) 172.16.128.129（R7-0/0/2.2）
10、R3-R4 鏈路：
（1）千兆鏈路網(wǎng)段 172.16.129.0/24：
——R3 地址 172.16.129.1/24，R4 地址 172.16.129.2/24
（2）百兆鏈路網(wǎng)段 172.16.130.0/24：
——R3 地址 172.16.130.1/24，R4 地址 172.16.130.2/24
11、R4-R5 鏈路：網(wǎng)段 172.16.131.0/24
——R4 地址 172.16.131.1/24，R5 地址 172.16.131.2/24
12、R4-R6 鏈路：網(wǎng)段 172.16.132.0/24
——R4 地址 172.16.132.1/24，R6 地址 172.16.132.2/24
13、R5-R7 鏈路：網(wǎng)段 172.16.133.0/24
——R5 地址 172.16.133.1/24，R7 地址 172.16.133.2/24
14、R6-R7 鏈路：網(wǎng)段 172.16.134.0/24
——R6 地址 172.16.134.1/24，R7 地址 172.16.134.2/24
15、公網(wǎng)出口區(qū)：R3-0/0/2 接口地址 100.0.0.1/24，test 終端地址 100.0.0.2/24

三、實驗配置詳情

1、交換機(jī)

SW1

1、創(chuàng)建 VLAN 10、20、30：vlan batch 10 20 30
2、GigabitEthernet0/0/1 配置為 Trunk 模式，允許 VLAN 10 20 30 通行，對接 R1:
port link-type trunk、port trunk allow-pass vlan 10 20 30
3、GigabitEthernet0/0/2-0/0/4 分別綁定 VLAN 10、20、30，連接終端:
port link-type access、port default vlan 10
port link-type access、port default vlan 20（對應(yīng)PC2）
port link-type access、port default vlan 30（對應(yīng)PC3）

SW2

1、創(chuàng)建 VLAN40、50：vlan batch 40 50
2、GigabitEthernet0/0/1 配置為 Trunk 模式，允許 VLAN 40 50通行，對接 R2:
port link-type trunk、port trunk allow-pass vlan 40 50
3、GigabitEthernet0/0/2-0/0/3 分別綁定 VLAN 40 50，連接終端:
port link-type access、port default vlan 40（對應(yīng)PC4）
port link-type access、port default vlan 50（對應(yīng)PC5）

SW3

1、創(chuàng)建 VLAN60、70：vlan batch 60 70
2、GigabitEthernet0/0/1 配置為 Trunk 模式，允許 VLAN 40 50通行，對接 R2:
port link-type trunk、port trunk allow-pass vlan 60、70
3、GigabitEthernet0/0/2-0/0/3 分別綁定 VLAN60 70，連接終端:
port link-type access、port default vlan 60（對應(yīng)PC6）
port link-type access、port default vlan 70（對應(yīng)PC7）

2、DHCP

R1（vlan10 20）

1、啟用 DHCP：執(zhí)行dhcp enable
2、創(chuàng)建地址池：
（1）執(zhí)行ip pool vlan10，配置gateway-list 172.16.64.1、network 172.16.64.0 mask 255.255.255.0
（2）執(zhí)行ip pool vlan20，配置gateway-list 172.16.65.1、network 172.16.65.0 mask 255.255.255.0
3、子接口
（1）GigabitEthernet0/0/1.1執(zhí)行dot1q termination vid 10、ip address 172.16.64.1 255.255.255.0、arp broadcast enable、dhcp select global
（2）GigabitEthernet0/0/1.2執(zhí)行dot1q termination vid 20、ip address 172.16.65.1 255.255.255.0、arp broadcast enable、dhcp select global
4、(R1連接SW1，負(fù)責(zé)VLAN10、20終端的IP分配，子接口封裝 VLAN 標(biāo)簽實現(xiàn)與交換機(jī)跨 VLAN 通信，DHCP 全局分配確保終端獲取正確的網(wǎng)絡(luò)參數(shù))

R2（VLAN 40、50）

1、啟用 DHCP：執(zhí)行dhcp enable
2、創(chuàng)建地址池：
（1）執(zhí)行ip pool vlan40，配置gateway-list 172.16.0.1、network 172.16.0.0 mask 255.255.255.0
（2）執(zhí)行ip pool vlan50，配置gateway-list 172.16.1.1、network 172.16.1.0 mask 255.255.255.0
3、子接口配置：
（1） GigabitEthernet0/0/1.1執(zhí)行dot1q termination vid 40、ip address 172.16.0.1 255.255.255.0、arp broadcast enable、dhcp select global
（2） GigabitEthernet0/0/1.2執(zhí)行dot1q termination vid 50、ip address 172.16.1.1 255.255.255.0、arp broadcast enable、dhcp select global
4、(R2 連接 sw2，負(fù)責(zé) VLAN40、50 終端的 IP 分配，配置邏輯與 R1 一致，確保終端獲取正確網(wǎng)絡(luò)參數(shù)，實現(xiàn)與其他區(qū)域通信)

R7（VLAN 60、70）

1、啟用 DHCP：執(zhí)行dhcp enable
2、創(chuàng)建地址池：
（1）執(zhí)行ip pool vlan60，配置gateway-list 172.16.128.1、network 172.16.128.0 mask 255.255.255.128、dns-list 172.16.128.126
（2）執(zhí)行ip pool vlan50，配置gateway-list 172.16.128.129、network 172.16.128.128 mask 255.255.255.128、dns-list 172.16.128.126
3、子接口配置：
（1） GigabitEthernet0/0/1.1執(zhí)行dot1q termination vid 60、ip address 172.16.128.1 255.255.255.128、arp broadcast enable、dhcp select global
（2） GigabitEthernet0/0/1.2執(zhí)行dot1q termination vid 70、ip address 172.16.128.129 255.255.255.128、arp broadcast enable、dhcp select global
4、(R7 連接 sw3，負(fù)責(zé) VLAN60、70 終端的 IP 分配，/25 網(wǎng)段劃分滿足業(yè)務(wù) B 區(qū)域終端數(shù)量需求，DNS 配置確保終端可解析互聯(lián)網(wǎng)域名)

3、OSPF

R1

1、執(zhí)行ospf 1 router-id 1.1.1.1
2、執(zhí)行silent-interface GigabitEthernet0/0/1.1、silent-interface GigabitEthernet0/0/1.2、silent-interface GigabitEthernet0/0/1.3
3、進(jìn)入area 0.0.0.1，執(zhí)行network 172.16.64.1 0.0.0.0、network 172.16.65.1 0.0.0.0、network 172.16.66.1 0.0.0.0、network 172.16.67.1 0.0.0.0

R2

1、執(zhí)行ospf 1 router-id 2.2.2.2
2、執(zhí)行silent-interface GigabitEthernet0/0/1.1、silent-interface GigabitEthernet0/0/1.2
3、進(jìn)入area 0.0.0.0，執(zhí)行authentication-mode md5 1 cipher、network 172.16.0.1 0.0.0.0、network 172.16.1.1 0.0.0.0、network 172.16.2.1 0.0.0.0、abr-summary 172.16.0.0 255.255.192.0(宣告與R1連接的網(wǎng)段)
4、進(jìn)入area 0.0.0.1，執(zhí)行network 172.16.67.2 0.0.0.0、abr-summary 172.16.64.0 255.255.192.0
5、(R2 需連接兩個 OSPF 區(qū)域)

R3

1、執(zhí)行ospf 1 router-id 3.3.3.3
2、進(jìn)入area 0.0.0.0，執(zhí)行authentication-mode md5 1 cipher、network 172.16.2.2 0.0.0.0、default-route-advertise always

4、靜態(tài)路由

R1

執(zhí)行ip route-static 172.16.0.0 255.255.192.0 172.16.67.2

R3

1、主：ip route-static 172.16.128.0 255.255.128.0 172.16.129.2、ip route-static 172.16.131.0 255.255.255.0 172.16.129.2
2、備份（百兆鏈路，優(yōu)先級 100，低于主路由）：ip route-static 172.16.128.0 255.255.128.0 172.16.130.2 preference 100、ip route-static 172.16.131.0 255.255.255.0 172.16.130.2 preference 100

R4

ip route-static 0.0.0.0 0.0.0.0 172.16.129.1(路由指向R3主鏈路，訪問外網(wǎng))
ip route-static 0.0.0.0 0.0.0.0 172.16.130.1 preference 100
ip route-static 172.16.133.0 255.255.255.0 172.16.131.2(指向R5網(wǎng)段路由)
ip route-static 172.16.134.0 255.255.255.0 172.16.132.2(指向R6網(wǎng)段路由)

靜態(tài)路由指向 R5、R6 網(wǎng)段，實現(xiàn)與 R7 的通信

R5

ip route-static 0.0.0.0 0.0.0.0 172.16.131.1(路由指向R4)
ip route-static 172.16.128.0 255.255.128.0 172.16.133.2(指向R7)

R5 連接 R4 與 R7，默認(rèn)路由確保訪問外網(wǎng)，靜態(tài)路由實現(xiàn)與 R7 的通信

R6

ip route-static 0.0.0.0 0.0.0.0 172.16.132.1
ip route-static 172.16.128.0 255.255.128.0 172.16.134.2

R6 連接 R4 與 R7，配置邏輯與 R5 一致，確保與外網(wǎng)及 R7 的通信

R7

ip route-static 0.0.0.0 0.0.0.0 172.16.133.1(主路由指向R5主鏈路)
ip route-static 0.0.0.0 0.0.0.0 172.16.134.1(備份路由指向R6)
ip route-static 172.16.131.0 255.255.255.0 172.16.133.1(指向R5網(wǎng)段路由)
ip route-static 172.16.132.0 255.255.255.0 172.16.134.1(指向R6網(wǎng)段路由)

雙默認(rèn)路由，靜態(tài)路由確保與 R5、R6 的通信，進(jìn)而訪問外網(wǎng)

5、ACL 配置

R1（ACL 3000）：

acl number 3000(創(chuàng)建ACL 3000，用于拒絕PC1訪問PC5)
rule 5 deny ip source 172.16.64.254 0 destination 172.16.128.254 0
進(jìn)入 GigabitEthernet0/0/1，執(zhí)行traffic-filter inbound acl 3000(過濾進(jìn)入R1的非法流量)

R3（ACL 2000）：

acl number 2000(創(chuàng)建ACL 2000，允許內(nèi)網(wǎng)訪問公網(wǎng))
rule 5 permit source 172.16.0.0 0.0.255.255(匹配OSPF內(nèi)網(wǎng)網(wǎng)段)

R3（ACL 2001）：

acl number 2001(創(chuàng)建ACL 2001，拒絕VLAN40/50訪問業(yè)務(wù))
rule 5 deny source 172.16.0.0 0.0.0.255(匹配VLAN40網(wǎng)段)
rule 10 deny source 172.16.1.0 0.0.0.255(匹配VLAN50網(wǎng)段)
進(jìn)入GigabitEthernet0/0/0，執(zhí)行traffic-filter inbound acl 2001

ACL 2000 為 NAT 提供權(quán)限依據(jù)，僅允許內(nèi)網(wǎng)合法網(wǎng)段訪問公網(wǎng)；ACL 2001 拒絕 VLAN40/50 訪問業(yè)務(wù),阻擋非法流量

6、NAT 配置

R3

進(jìn)入 GigabitEthernet0/0/2，執(zhí)行nat outbound 2000
ip address 100.0.0.1 255.255.255.0(配置公網(wǎng)接口IP)
R3（NAT Server）：執(zhí)行nat server protocol tcp global current-interface telnet inside 172.16.66.254 telnet(將內(nèi)網(wǎng) Telnet 服務(wù)器映射到公網(wǎng)接口，支持 test 終端遠(yuǎn)程登錄-賬號 huawei，密碼 123456-)