HCIA复习实验

实验要求

实验拓扑以及实验分析

第一步先划分网段

先对内网划分

192.168.1.0/24划分
192.168.1.0/26---骨干主线路
192.168.1.64/26---骨干备线路
---192.168.1.128/25--vlan2 3汇总---便于减少路由表条目---在大型网络方便
192.168.1.128/26---vlan2
192.168.1.192/26---vlan3

拓扑图已表明每个网段路由器的接口IP缩写

对公网进行IP规划

私有ip地址：

10.0.0.0/8   172.16.0.0/16-172.31.0.0/26   192.168.0.0/24-192.168.255.0/24

公网不能采用私有IP地址对此我用以下方法命名

采用路由器间名称来命名，例如R3与R4网段为34.0.0.0 24，接口IP为34.0.0.1与34.0.0.2

R3有个换回网段3.3.3.0 24

[R3]interface LoopBack 3 #创建环回接口
[R3-LoopBack3]ip address 3.3.3.3 24 #配置环回接口IP

路由器与DNS服务器间的网段为100.0.0.0 24

对红色区域网段规划

我使用的是172.16.1.0/24网段

路由器接口表明IP

实验详细配置

配置内网VLAN

<SW1>system-view #进入配置模式
[SW1]vlan batch 2 3 #批量创建vlan 2与3
交换机上的接口划分到对应的vlan中
[SW1]interface GigabitEthernet0/0/3 #进入交换机接口
[SW1-GigabitEthernet0/0/3]port link-type access #将该接口修改为接入模式
[SW1-GigabitEthernet0/0/3]port default vlan 2 #将该接口划分到对应的vlan中trunk干道 --- 中继干道，不属于任何一个vlan，可以承载所有vlan的流量转发，能够标记和识别来区分不同vlan产生的数据流量
[SW1]interface GigabitEthernet 0/0/4
[SW1-GigabitEthernet0/0/4]port link-type trunk #将接口修改为trunk模式
[SW1-GigabitEthernet0/0/4]port trunk allow-pass vlan 2 3 #再定义允许列表，华为设备 trunk干道默认仅允许vlan1通过路由器子接口方案 --- 单臂路由
[R2]interface GigabitEthernet 0/0/0.1 #创建该物理接口1号子接口
[R2-GigabitEthernet0/0/0.1]dot1q termination vid 2 #定义其识别和管理的vlan id
[R2-GigabitEthernet0/0/0.1]ip address 192.168.1.190 24 #配置子接口IP
[R2-GigabitEthernet0/0/0.1]arp broadcast enable #启用arp广播功能

路由器间接口配置

[R1]interface g0/0/1 #进入接口
[R1-GigabitEthernet0/0/1]ip address 192.168.1.1 26 #配置IP地址以及子网掩码

后面的路由器接口配置省略

静态路由以及浮动静态配置

[R1]ip route-static 0.0.0.0 0 13.0.0.3 #指向外网的缺省路由
浮动静态
[R1]ip route-static 192.168.1.128 25 192.168.1.1 #配置去往汇总后的vlan网段的静态路由
[R1]ip route-static 192.168.1.128 25 192.168.1.65 preference 61 #去往vlan网段的备用路由
同理配置去往公网的浮动静态
[R2]ip route-static 0.0.0.0 0 192.168.1.2
[R2]ip route-static 0.0.0.0 0 192.168.1.66 preference 61

Inactive为备用路由当active的路由断开后Inactive会变为active

公网配置动态路由

如拓扑图所示需要配置动态路由的路由器有R3,R4,R5

[R3]ospf 1 router-id 3.3.3.3 #启动时可以定义进程号，仅具有本地意义；默认为1，建议同时配置RID
[R3-ospf-1]area 0 #单区域
宣告：1、激活接口协议  2、共享接口信息  3、区域划分
宣告时，使用反掩码精确的匹配
[R3-ospf-1-area-0.0.0.0]network 34.0.0.3 0.0.0.0
[R3-ospf-1-area-0.0.0.0]network 13.0.0.3 0.0.0.0
[R3-ospf-1-area-0.0.0.0]network 35.0.0.3 0.0.0.0
[R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0

同理可配R4，R5

如上图所示为FULL即可获得路由

可通过查看路由表查看通过OSPF获得的路由

PC1可访问3.3.3.0/24网段,PC2不能

通过NAT与ACL来实现

私网要访问公网网段需要通过NAT地址转换协议实现

先通过标准ACL抓取PC1网段感兴趣流量，在边界路由器上

[R1]acl 2000 #创建ACL列表2000   2000-2999为标准ACL，一个编号为一张大表 在编辑具体时，使用通配符进行匹配；通配符和OSPF的反掩码匹配规则一致，但区别在于通配符支持0和1混编
[R1-acl-basic-2000]rule permit source 192.168.1.192 0.0.0.255 #抓取感兴趣流量
退出进入接口
[R1]interface GigabitEthernet 0/0/2
[R1-GigabitEthernet0/0/2]nat outbound 2000 #在出接口调用acl 2000ACL表至上而下逐一匹配，上条匹配按上条执行，不再查看下条；
在思科系设备中，表格末尾含义一条拒绝所有的规则；
在华为系设备中，表格末尾含义一条允许所有的规则；

此时使用PC1ping 3.3.3.3

PC2不能访问3.3.3.0网段，使用扩展ACL

扩展ACL -- 由于扩展acl精确匹配目标和源，故调用时尽量靠近源仅针对源、目标ip地址
[R1]acl 3000 #编号3000-3999为扩展列表
[R1-acl-adv-3000]rule deny ip source 192.168.1.252 0.0.0.0 destination 3.3.3.0 0
.0.0.255
[R1-GigabitEthernet0/0/2]traffic-filter inbound acl 3000 #进入接口在入方向调用acl 3000

此时PC2不能访问3.3.3.0/24网段

AR1可以被telnet远程控制

[R1]user-interface vty 0 4  #在VTY（远程登录虚拟接口）上调用aaa服务
[R1-ui-vty0-4]authentication-mode aaa
[R1]aaa    #进入aaa服务，该服务用于管理账号信息  
[R1-aaa]local-user huawei privilege level 15 password cipher 123456 #配置账号信息，权限，密码
[R1-aaa]local-user huawei service-type telnet   定义账号功能

使用AR2远程控制AR1

需求1，客户端域名访问服务器

客户端的配置

DNS服务器的配置

启动域名解析服务

HTTP服务器配置

随便使用一个文件

在R6边界路由器需要用到NAT动态转换与端口映射

[R6-GigabitEthernet0/0/0]nat server protocol tcp global current-interface www in
side 172.16.1.100 www #进入端口，输入端口为80的端口映射关系[R6]acl 2000
[R6-acl-basic-2000]rule permit source 172.16.1.0 0.0.0.255 #抓取感兴趣流量

 此时R6作为边界路由器还需要一条通往公网的缺省路由

[R6]ip route-static 0.0.0.0 0 56.0.0.5

此时在客户端输入域名即可访问服务器