【HCIA复习作业】综合拓扑实验（已施工完）

一、实验要求

1.学校内部的HTTP客户端可以正常通过域名www.baidu.com访问到百度网络中的HTTP服务器
2.学校网络内部网段基于192.168.1.0/24划分，PC1可以正常访问3.3.3.0/24网段，但是Pc2不允许
3.学校内部路由使用静态路由，R1和R2之间两条链路进行浮动静态
4.运营商网络内部使用动态路由协议
5.AR1可以被telnet远程控制

二、实验思路

先进行ip地址的子网划分，再进各路由器中进行指令配置

校园网内进行VLAN划分（划分成VLAN 2 和 3）、客户端，PC配置（PC1/2使用DHCP自动分配IP）、r1和r2间的负载路由配置

运营商内进行DNS服务器配置，给域名发放

百度（模拟）网络内进行服务器配置

每个网段间进行NAT、ACL配置；ACL来抓取并禁止PC2的访问；NAT连接校园内网和运营商外网

telnet配置令其可以远程操控

三、实验步骤

·校园内网的配置解析

1.在校园网内进行子网划分（如图每个接口或设备旁的标记）

校园网内基于192.168.1.0/24网段进行划分，有VLAN 2/3、r1与r2之间的两条路，一共4个小网段，故划分为：

        4个网段，则借2位：2²=4

        192.168.1.00 000000

        1）            00 -- 192.168.1.0/26 -- VLAN 3

        2）            01 -- 192.168.1.64/26 -- VLAN 2

        3）            10 -- 192.168.1.128/26 -- 线路1

        4）            11 -- 192.168.1.192/26 -- 线路2

对r1的接口ip配置：

[r1]int g0/0/2
[r1-GigabitEthernet0/0/2]ip ad 192.168.1.193 26	
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]ip address 192.168.1.129 26

2.PC1、PC2和HTTP客户端的具体配置：

1）在r1配置DHCP指令，并设置其对VLAN 3开放（题目要求）：

[r1]dhcp enable 
[r1]ip pool vlan3
[r1-ip-pool-vlan3]network 192.168.1.0 mask 26
[r1-ip-pool-vlan3]gateway-list 192.168.1.62
[r1-ip-pool-vlan3]dns-list 8.8.8.8
[r1]int g0/0/0.2
[r1-GigabitEthernet0/0/0.2]dhcp select global

PC1/2使用DHCP自动分配IP地址，故只需要点击DHCP并应用即可。

再在PC1/2的命令行内进行指令ipconfig，来查询其自动分配的IP地址：

pc1

pc2 

2）HTTP客户端则手动配置ip地址等信息： 

3.对交换机SW1的指令配置（创建VLAN2和3，并划分区域，设置干道trunk）

<Huawei>
<Huawei>sys
[Huawei]sysn sw1
[sw1]vlan 3
[sw1-vlan3]q
[sw1]int g0/0/1
[sw1-GigabitEthernet0/0/1]port link-type access
[sw1-GigabitEthernet0/0/1]port default vlan 3
[SW1]int g0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 3
[SW1]int g0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 2
[SW1]int g0/0/4
[SW1-GigabitEthernet0/0/4]port link-type trunk
[SW1-GigabitEthernet0/0/4]port trunk allow-pass vlan 2 3

设完我们查看一下VLAN表（指令：display vlan） 

可见，设置和划分正确 

4.对R1的配置（在g0/0/0口创建子接口0.1/0.2，设置其ip地址，让各自服务各自的VLAN，并设置arp广播）

[r1]int g0/0/0.1
[r1-GigabitEthernet0/0/0.1]ip ad 192.168.1.126 26
[r1-GigabitEthernet0/0/0.1]q
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 2
[r1-GigabitEthernet0/0/0.1]arp broadcast enable
[r1-GigabitEthernet0/0/0.1]q
[r1]int g0/0/0.2
[r1-GigabitEthernet0/0/0.2]ip ad 192.168.1.62 26	
[r1-GigabitEthernet0/0/0.2]dot1q termination vid 3
[r1-GigabitEthernet0/0/0.2]arp broadcast enable

5. 对R2配置（R2上需要配置静态路由和负载均衡的设置，还有基础的接口ip设置等）

 1）r2的接口配置

[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ip ad 192.168.1.130 26 
[r2-GigabitEthernet0/0/0]q
[r2]int g0/0/1
[r2-GigabitEthernet0/0/1]ip ad 192.168.1.194 26

2）静态路由配置与负载均衡配置

在r2上配置了两条到192.168.1.0/26（VLAN 3）和两条到192.168.1.64/26（VLAN 2）的静态路由，下一跳注意不要写错

[r2]ip route-static 192.168.1.0 26 192.168.1.129
[r2]ip route-static 192.168.1.0 26 192.168.1.193 preference 61
[r2]ip route-static 192.168.1.64 26 192.168.1.129
[r2]ip route-static 192.168.1.64 26 192.168.1.193 preference 61

配置其中一条的优先级为61，这样就配置好了负载均衡（优先级preference越高，优先级越低）

至此，校园网内部一配置完毕。

·运营商公网的配置解析

1.配置公网内的所有路由器接口ip地址，其配置的网段在图中已标记

1）r2

[r2]int g0/0/2
[r2-GigabitEthernet0/0/2]ip ad 23.0.0.2 24

2）r3（r3应题目要求创建了一个环回loopback0）

[r3]int g0/0/0
[r3-GigabitEthernet0/0/0]ip ad 23.0.0.3 24 
[r3-GigabitEthernet0/0/0]q
[r3]int g0/0/1
[r3-GigabitEthernet0/0/1]ip ad 34.0.0.3 24
[r3-GigabitEthernet0/0/1]int g0/0/2
[r3-GigabitEthernet0/0/2]ip ad 35.0.0.3 24
[r3-GigabitEthernet0/0/2]q
[r3]int l 0
[r3-LoopBack0]ip ad 3.3.3.3 24 

3）r4 

[r4]int g0/0/0 
[r4-GigabitEthernet0/0/0]ip ad 34.0.0.4 24
[r4-GigabitEthernet0/0/0]int g0/0/1
[r4-GigabitEthernet0/0/1]ip ad 100.0.0.4 24

 4）r5

[r5]int g0/0/0
[r5-GigabitEthernet0/0/0]ip ad 35.0.0.5 24
[r5-GigabitEthernet0/0/0]int g0/0/1
[r5-GigabitEthernet0/0/1]ip ad 56.0.0.5 24

2.运营商内部用动态路由配置，这里选择OSPF进行相关配置

1）在r3上

启用ospf协议并命名为3.3.3.3（这边命名方式是因为这个ospf在r3上所以是3.3.3.3）

[r3]ospf 1 router-id 3.3.3.3

进入area 0 

[r3-ospf-1]area  0

在area 0上宣发其需要的接口

[r3-ospf-1-area-0.0.0.0]network 23.0.0.3 0.0.0.0
[r3-ospf-1-area-0.0.0.0]network 34.0.0.3 0.0.0.0
[r3-ospf-1-area-0.0.0.0]network 35.0.0.3 0.0.0.0
[r3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0

0.0.0.0是反掩码，意在“定死”此ip地址（唯一确定） 

2）在r4上

同理，启动ospf、进入area 0、在其上宣告接口ip

[r4]ospf 1 r	
[r4]ospf 1 router-id 4.4.4.4
[r4-ospf-1]area 0
[r4-ospf-1-area-0.0.0.0]network 34.0.0.4 0.0.0.0
[r4-ospf-1-area-0.0.0.0]network 100.0.0.4 0.0.0.0

3）在r5上

 同理，启动ospf、进入area 0、在其上宣告接口ip

[r5]ospf 1 router-id 5.5.5.5	
[r5-ospf-1]area 0
[r5-ospf-1-area-0.0.0.0]network 35.0.0.5 0.0.0.0
[r5-ospf-1-area-0.0.0.0]network 56.0.0.5 0.0.0.0

4）确认邻居

在r3上，我们查看ospf邻居表和路径（指令：display ospf peer brief/display ospf routing）

确认无误

 至此，OSPF协议部分配置完成

5）配置缺省路由到公网

在r2上

[r2]ip route-static 0.0.0.0 0 23.0.0.3

在r1上（r1要配置负载均衡）

[r1]ip route-static 0.0.0.0 0 192.168.1.130
[r1]ip route-static 0.0.0.0 0 192.168.1.194 preference 61

6）使用NAT将私网（校园网）转换成公网（运营商） 

r2是校园网和运营商的边界路由，所以在r2上设置NAT：

因为VLAN 2/3都要访问外部公网，故192.168.1.0/26和192.168.1.64/26作为源IP，转换后的IP是r2的出接口ip（G0/0/2）

配置：

启动acl，写规则允许192.168.1.0-127 的所有ip，因为通配符是0.0.0.127 -- 00000000.00000000.00000000.01111111（通配符0代表不变，1代表可变）

[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.127

接下来在r2的出接口（G0/0/2）激活NAT协议：

[r2]int g0/0/2
[r2-GigabitEthernet0/0/2]nat outbound 2000

 这里outbound代表出方向；2000则代表刚写好的rule 2000

在PC1与PC2上ping 3.3.3.3来测试NAT是否完成：

可见，NAT已完成

7）但题目要求PC2不允许访问3.3.3.0/24网段，故还要配置acl中的禁止访问命令：

在r2上

创建规则acl 3000、并在此规则上写“禁止源ip为192.168.1.60，目标ip为3.3.3.0/24的路径访问”，即禁止PC2访问3.3.3.0/24网段。

再允许其他任意访问

[r2]acl 3000
[r2-acl-adv-3000]rule deny ip source 192.168.1.60 0.0.0.0 destination 3.3.3.0 0.
0.0.255
[r2-acl-adv-3000]rule permit ip source any

 在r2上的0/0/0接口启动acl规则

[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

 这样，禁止PC2的访问部分也已完成

8）设置telnet远程访问

应题目要求“AR1可以被telnet远程控制”故：

在r1上

[r1]user-interface vty 0 4
[r1-ui-vty0-4]authentication-mode aaa
[r1-ui-vty0-4]q
[r1]aaa
[r1-aaa]local-user lincoln password cipher 123456
[r1-aaa]local-user lincoln privilege level 15
[r1-aaa]local-user lincoln service-type telnet

这里创建了一个名为“lincoln”的用户，密码123456，并给予了最高权限等级、远程服务类型选择telnet

 测试：我们在r2上试试看能不能远程访问r1：

可见可以访问r1，故远程访问设置完成

9）配置DNS服务器

设置其服务器信息：

测试：在client那ping测试一下：

成功

配置HTTP服务器：

 设置其服务器信息：

在r6上配置其接口ip：

[r6]int g0/0/1
[r6-GigabitEthernet0/0/1]ip ad 172.16.1.254 24

在r6上配置NAT并创建规则acl2000在接口上允许：

[r6-GigabitEthernet0/0/1]int g0/0/0
[r6-GigabitEthernet0/0/0]nat server protocol tcp global current-interface www in
side 172.16.1.100 www
Warning:The port 80 is well-known port. If you continue it may cause function fa
ilure.
Are you sure to continue?[Y/N]:y
[r6-GigabitEthernet0/0/0][r6]acl 2000	
[r6-acl-basic-2000]rule permit source 172.16.1.0 0.0.0.255
[r6-acl-basic-2000]q
[r6]int g0/0/0
[r6-GigabitEthernet0/0/0]nat outbound 2000

 在client上尝试连接访问百度：

成功 

至此，此综合实验的所有要求已全部完成