初级网络作业
案例说明
公司内部网络,上方模拟ISP网络。 如图所示,配置ISP、R1、R2的公网IP地址和设备名称。 网络的IP规划如下: R1与ISP相连的网段为101.1.1.0/24; R2与ISP相连的网段为101.1.2.0/24; R1与R2相连的网段为192.168.12.0/30; R1与SW1相连的网段为192.168.2.0/24; R2与SW4相连的网段为192.168.4.0/24; PC5的地址为172.16.1.1/24网关为172.16.1.254/24;(vlan 172) PC1属于Vlan10,ip地址为:192.168.10.1,网关是192.168.10.254/24; PC2属于Vlan20,ip地址为:192.168.20.1,网关是192.168.20.254/24; PC3属于Vlan30,IP地址自动获取,网关是192.168.30.254/24; R1的loopback0地址为1.1.1.1/32 R2的loopback0地址为2.2.2.2/32 SW1的loopback0地址为10.1.1.1/32 SW4的loopback0地址为10.4.4.4/32 一、A网络规划需求: 如图所示,配置各设备的设备名称。 1.二层交换 1.1 SW1/2/3组成了A网络的交换网络,其中SW1是核心层,SW2/3是接入层。 1.2 三台交换机上创建vlan10 20 172 1.3 交换机之间配置trunk链路,仅允许以上三个vlan通过。 1.4 交换机使用access链路连接PC,并划入vlan。 PC1属于VLAN10, PC2属于VLAN20, PC5模拟网络中的服务器,属于VLAN172。 1.5 生成树使用STP模式,且SW1为根桥,优先级为0. 1.6 确保vlan间通信。 SW1上创建各vlan网关: vlan10-192.168.10.254/24 vlan20-192.168.20.254/24 vlan172-172.16.1.254/24 2.三层路由 2.1 SW1新建vlan100,并创建vlanif 100 ,IP地址为192.168.2.2/24 配置SW1与R1互联接口,使得SW1可以与R1通信。 2.2 R1与SW1之间运行OSPF,进程号1,RID手动设置为环回口地址。 2.3 所有network命令均要求使用接口配置掩码的反掩码。 SW1环回口通告到区域1,R1环回口通告到区域0。 2.4 A网络属于OSPF区域1,并启用区域MD5验证,key-id为1,密码为spoto 且使用display命令无法查看到真实密码。 2.5 确认所有主机与R1互通。 3.外网访问 3.1 R1配置默认路由,用于访问ISP的8.8.8.8 3.2 R1配置NAT,允许福州网络主机访问外网。 3.3 ACL使用编号2000,规则序号5允许vlan10,规则序号10允许vlan20。 3.4 内网主机都转换为R1的g0/0/0口IP地址并进行端口转换。 3.5 PC5模拟内网服务器,使用公网地址 101.1.1.111 为外网用户提供各种服务。 3.6 配置其他必要的路由。 二、B网络规划需求: 如图所示,配置各设备的设备名称。 1.二层交换 1.1 SW4组成了B网络的交换网络 1.2 在SW4上创建vlan30 1.3 SW4使用access链路与PC互联,并划入vlan。 2.IP地址分配 2.1 在SW4上启用DHCP,为vlan30的主机分配IP地址和网关。 2.2 DHCP使用全局地址池,名称为30,租期为2天。 2.3 在PC3上确认可以获取IP地址和网关。 3.三层路由 3.1 SW4新建vlan100,并创建vlanif 100 ,IP地址为192.168.4.2/24 配置SW4与R2互联接口,使得SW4可以与R2通信。 3.2 R2与SW4之间运行OSPF,进程号1,RID手动设置为环回口地址。 3.3 所有network命令均要求使用接口配置掩码的反掩码。 SW4环回口宣告到区域2,R2环回口宣告到区域0. 3.4 上海网络属于OSPF区域2,并启用区域MD5验证,key-id为1,密码为spoto 且使用display命令无法查看到真实密码。 3.5 确认主机可以与R2通信。 4.外网访问 4.1 R2配置默认路由,用于访问ISP的8.8.8.8 4.2 R2配置NAT,允许上海网络主机访问外网。 4.3 ACL使用编号2000,规则序号5允许vlan30。 4.4 内网主机都转换为R2的g0/0/0口IP地址并进行端口转换。 4.5 配置其他必要的路由。 三、B网络与A网络互联 1.PPP链路 1.1 R1与R2之间使用PPP链路互联。 1.2 配置R1的互联IP地址,注意掩码为30位。R2的互联IP地址由R1分配。 1.3 R1使用AAA管理用户名与密码,用户名为:shanghai,密码为:spoto,服务器类型为PPP。 使用display命令无法查看到真实密码。 1.4 R1为认证方,R2为被认证方,使用CHAP验证。 1.5 确认R1与R2可以通信。 2.三层路由 2.1 R1与R2建立OSPF邻居,划入区域0。 2.2 所有network命令均要求使用接口配置掩码的反掩码。 2.3 启用区域MD5验证,key-id为1,密码为spoto,且使用display命令无法查看到真实密码。 2.4 确认A网络主机可以与B网络主机通信。 3.网络优化 3.1 当R2的外网故障时,要求vlan30的主机可以通过PPP链路走R1与外网通信。 3.2 在R2上配置适当的路由完成这一需求。 3.3 在R1上做适当配置完成这一需求。 3.4 在PC3上ping 8.8.8.8 -t,并关闭R2的G0/0/0接口,确认备用方案有效。
SW1配置
vlan batch 10 20 100 172 stp mode stp stp instance 0 priority 0 interface Vlanif10 ip address 192.168.10.254 255.255.255.0 # interface Vlanif20 ip address 192.168.20.254 255.255.255.0 # interface Vlanif100 ip address 192.168.2.2 255.255.255.0 # interface Vlanif172 ip address 172.16.1.254 255.255.255.0 interface GigabitEthernet0/0/1 port link-type access port default vlan 100 # interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 10 20 172 # interface GigabitEthernet0/0/3 port link-type trunk port trunk allow-pass vlan 10 20 172 # interface GigabitEthernet0/0/4 port link-type access port default vlan 172 interface LoopBack0 ip address 10.1.1.1 255.255.255.255 # ospf 1 router-id 10.1.1.1 area 0.0.0.1 authentication-mode md5 1 cipher (@7v)HT}L.u:|l#3M^#3r4&# network 10.1.1.1 0.0.0.0 network 192.168.2.0 0.0.0.255 network 192.168.10.0 0.0.0.255 network 192.168.20.0 0.0.0.255 network 172.16.1.0 0.0.0.255 # ip route-static 0.0.0.0 0.0.0.0 192.168.2.1
SW2配置
vlan batch 10 20 172 stp mode stp interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 10 20 172 # interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 10 20 172 # interface GigabitEthernet0/0/3 port link-type access port default vlan 20
SW3配置
vlan batch 10 20 172 stp mode stp interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 10 20 172 # interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 10 20 172 # interface GigabitEthernet0/0/3 port link-type access port default vlan 10
R1配置
acl number 2000 rule 5 permit source 192.168.10.0 0.0.0.255 rule 10 permit source 192.168.20.0 0.0.0.255 rule 15 permit source 192.168.30.0 0.0.0.255 local-user shanghai password cipher %$%$1T|PE<|f=7>q($$H(ohT*CdK%$%$ local-user shanghai service-type ppp interface Serial1/0/0 link-protocol ppp ppp authentication-mode chap remote address 192.168.12.2 ip address 192.168.12.1 255.255.255.252 interface GigabitEthernet0/0/0 ip address 101.1.1.1 255.255.255.0 nat static global 101.1.1.111 inside 172.16.1.1 netmask 255.255.255.255 nat outbound 2000 # interface GigabitEthernet0/0/1 ip address 192.168.2.1 255.255.255.0 interface LoopBack0 ip address 1.1.1.1 255.255.255.255 # ospf 1 router-id 1.1.1.1 area 0.0.0.0 authentication-mode md5 1 cipher %$%$9AE+Q[wm\RZFD3CNlg+Y*FIS%$%$ network 1.1.1.1 0.0.0.0 network 192.168.12.0 0.0.0.3 area 0.0.0.1 authentication-mode md5 1 cipher %$%$46Hy6YOu)0qQa(8idiQO*57l%$%$ network 192.168.2.0 0.0.0.255 # ip route-static 0.0.0.0 0.0.0.0 101.1.1.3
R2配置
acl number 2000 rule 5 permit source 192.168.30.0 0.0.0.255 interface Serial1/0/0 link-protocol ppp ppp chap user shanghai ppp chap password cipher %$%$D|'s+RfnrQcoYcKYM[^O,#XX%$%$ ip address ppp-negotiate interface GigabitEthernet0/0/0 ip address 101.1.2.2 255.255.255.0 nat outbound 2000 # interface GigabitEthernet0/0/1 ip address 192.168.4.1 255.255.255.0 interface LoopBack0 ip address 2.2.2.2 255.255.255.255 # ospf 1 router-id 2.2.2.2 area 0.0.0.0 authentication-mode md5 1 cipher %$%$k.Qe~|icQ9=_lm%oXAL6*GdD%$%$ network 2.2.2.2 0.0.0.0 network 192.168.12.0 0.0.0.3 area 0.0.0.2 authentication-mode md5 1 cipher %$%$M;[yF%bBGGC)g@<ux@AI*A*M%$%$ network 192.168.4.0 0.0.0.255 # ip route-static 0.0.0.0 0.0.0.0 101.1.2.3 ip route-static 0.0.0.0 0.0.0.0 192.168.12.1 preference 70
SW4配置
vlan batch 30 100 ip pool 30 gateway-list 192.168.30.254 network 192.168.30.0 mask 255.255.255.0 lease day 2 hour 0 minute 0 interface Vlanif30 ip address 192.168.30.254 255.255.255.0 dhcp select global # interface Vlanif100 ip address 192.168.4.2 255.255.255.0 interface GigabitEthernet0/0/1 port link-type access port default vlan 100 # interface GigabitEthernet0/0/2 port link-type access port default vlan 30 interface LoopBack0 ip address 10.4.4.4 255.255.255.255 # ospf 1 router-id 10.4.4.4 area 0.0.0.2 authentication-mode md5 1 cipher MU1-251B;"G%*%)tS)cGA~0# network 192.168.30.0 0.0.0.255 network 10.4.4.4 0.0.0.0 network 192.168.4.0 0.0.0.255 # ip route-static 0.0.0.0 0.0.0.0 192.168.4.1
ISP配置
interface GigabitEthernet0/0/0 ip address 101.1.1.3 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 101.1.2.3 255.255.255.0 interface LoopBack0 ip address 8.8.8.8 255.255.255.255
所有PC都可以访问ISP的8.8.8.8
所有主机均可以互访问
断开R2的G0/0/0接口,在R2的S1/0/0上抓包
PC3ping测8.8.8.8
重新开启R2上的G0/0/0端口,继续抓包
只有OSPF的hello报文了。
