RS綜合實驗一
實驗要求:
-
内部所有網段從192.168.0.0/24中劃分,營運商配置設定202.102.24.96/30
和120.202.249.192/30兩個網段給邊界路由器;
- 内部用戶端A屬于VLAN 10,内部用戶端B屬于VLAN 20;
- 内部三台交換機之間的雙鍊路使用以太網通道将鍊路聚合;
- 多層交換VLAN間互通;
- 阻塞内部二層交換機B上面向内部交換機A的兩個端口;
- 内部路由使用OSPF協定;
- 分别映射兩台FTP伺服器的TCP 21端口至兩台邊界路由器的外部端口;
-
不允許内部用戶端A通路FTP伺服器A;
不允許内部用戶端B通路FTP伺服器B的TCP 21端口
子網劃分
- ISP營運商—http-pc
- G0/0/0:100.100.100.1/24
- http-pc:100.100.100.2/24
- ISP營運商—邊界路由器A
- G0/0/1:202.102.24.97/30
- 邊界路由器A:G0/0/0:202.102.24.98/30
- ISP營運商—邊界路由器B
- G0/0/2:120.202.249.193/30
- 邊界路由器B:G0/0/0:120.202.249.194/30
分析:
- ISP營運商—邊界路由器A
- 營運商配置設定的網段為:202.102.24.96/30
- 網段為:202.102.24.96
- 廣播位址:202.102.24.99
- 可用子網:202.102.24.97和202.102.24.98
- ISP營運商—邊界路由器B
- 營運商配置設定的網段為:120.202.249.192/30
- 網段為:120.202.249.192
- 廣播位址:120.202.249.195
- 可用子網:120.202.249.193和120.202.249.194
- 邊界路由器A—SW3—邊界路由器B
- 邊界路由器A:G0/0/1:192.168.0.97/27
- 邊界路由器B:G0/0/1:192.168.0.98/27
- SW3-Vlanif1:192.168.0.126/27
分析:
- 給定網段為:192.168.0.96/27
- 網段:192.168.0.96
- 廣播位址:192.168.0.127
- 可用子網:192.168.0.97-192.168.0.126
- 内部路由器A—SW3—内部路由器B
- 内部路由器A:G0/0/0:192.168.0.65/27
- 内部路由器B:G0/0/0:192.168.0.66/27
- SW3-Vlanif100:192.168.0.94/27
- 分析:
- 給定網段為:192.168.0.64/27
- 網段:192.168.0.64
- 廣播位址:192.168.0.95
- 可用子網:192.168.0.65-192.168.0.94
- 内部路由器A—FTP_A
- 内部路由器A:G0/0/1:192.168.0.1/27
- FTP_A:E0/0/0:192.168.0.2/27
- 分析:
- 給定網段:192.168.0.0/27
- 網段:192.168.0.0
- 廣播位址:192.168.0.32
- 可用子網:192.168.0.1-192.168.0.31
- 内部路由器B—FTP_B
- 内部路由器B:G/0/0/1:192.168.0.33/27
- FTP_B:E0/0/0:192.168.0.34/27
- 分析:
- 給定網段:192.168.0.32/27
- 網段:192.168.0.32
- 廣播位址:192.168.0.63
- 可用子網:192.168.0.33-192.168.0.62
- SW_A—PC_A
- SW_A-Vlanif10:192.168.0.158/27
- PC_A:192.168.0.129/27
- 分析:
- 給定網段:192.168.0.128/27
- 網段:192.168.0.128
- 廣播位址:192.168.0.159
- 可用子網:192.168.0.129-192.168.0.158
- SW_B—PC_B
- SW_B-Vlanif20:192.168.0.222/27
- PC_B:192.168.0.193/27
- 分析:
- 給定網段:192.168.0.192/27
- 網段:192.168.0.192
- 廣播位址:192.168.0.223
- 可用子網:192.168.0.193-192.168.0.222
配置相應IP位址
http-pc:
- IP:100.100.100.2/24
- 網關:100.100.100.1/24
ISP營運商
[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip ad 100.100.100.1 24
[ISP-GigabitEthernet0/0/0]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip ad 202.102.24.97 30
[ISP-GigabitEthernet0/0/1]int g0/0/2
[ISP-GigabitEthernet0/0/2]ip ad 120.202.249.193 30
[ISP-GigabitEthernet0/0/2]q
[ISP]dis ip int brief
Interface IP Address/Mask Physical Protocol
GigabitEthernet0/0/0 100.100.100.1/24 up up
GigabitEthernet0/0/1 202.102.24.97/30 up up
GigabitEthernet0/0/2 120.202.249.193/30 up up
NULL0 unassigned up up(s)
- 邊界路由器A
[BoadeA]int g0/0/0
[BoadeA-GigabitEthernet0/0/0]ip ad 202.102.24.98 30
[BoadeA-GigabitEthernet0/0/0]
[BoadeA-GigabitEthernet0/0/0]int g0/0/1
[BoadeA-GigabitEthernet0/0/1]ip ad 192.168.0.97 27
[BoadeA-GigabitEthernet0/0/1]q
[BoadeA]dis ip int bri
Interface IP Address/Mask Physical Protocol
GigabitEthernet0/0/0 202.102.24.98/30 up up
GigabitEthernet0/0/1 192.168.0.97/27 up up
GigabitEthernet0/0/2 unassigned down down
NULL0 unassigned up up(s)
- 邊界路由器B
[BoadeB]int g0/0/0
[BoadeB-GigabitEthernet0/0/0]ip ad 120.202.249.194 30
[BoadeB-GigabitEthernet0/0/0]int g0/0/1
[BoadeB-GigabitEthernet0/0/1]ip ad 192.168.0.98 27
[BoadeB-GigabitEthernet0/0/1]q
[BoadeB]dis ip int bri
Interface IP Address/Mask Physical Protocol
GigabitEthernet0/0/0 120.202.249.194/30 up up
GigabitEthernet0/0/1 192.168.0.98/27 up up
GigabitEthernet0/0/2 unassigned down down
NULL0 unassigned up up(s)
- 内部路由器A
[ltemalA]int g0/0/0
[ltemalA-GigabitEthernet0/0/0]ip ad 192.168.0.65 27
[ltemalA-GigabitEthernet0/0/0]int g0/0/1
[ltemalA-GigabitEthernet0/0/1]ip ad 192.168.0.1 27
[ltemalA-GigabitEthernet0/0/1]q
[ltemalA]dis ip int bri
Interface IP Address/Mask Physical Protocol
GigabitEthernet0/0/0 192.168.0.65/27 up up
GigabitEthernet0/0/1 192.168.0.1/27 up up
GigabitEthernet0/0/2 unassigned down down
NULL0 unassigned up up(s)
- 内部路由器B
[ltemalB]int g0/0/0
[ltemalB-GigabitEthernet0/0/0]ip ad 192.168.0.66 27
[ltemalB-GigabitEthernet0/0/0]int g0/0/1
[ltemalB-GigabitEthernet0/0/1]ip ad 192.168.0.33 27
[ltemalB-GigabitEthernet0/0/1]q
[ltemalB]dis ip int bri
Interface IP Address/Mask Physical Protocol
GigabitEthernet0/0/0 192.168.0.66/27 up up
GigabitEthernet0/0/1 192.168.0.33/27 up up
GigabitEthernet0/0/2 unassigned down down
NULL0 unassigned up up(s)
- SW3
[SW3]vlan batch 10 20 100
[SW3]int Vlanif 1
[SW3-Vlanif1]ip ad 192.168.0.126 27
[SW3-Vlanif1]q
[SW3]int Vlanif 100
[SW3-Vlanif100]ip ad 192.168.0.94 27
[SW3-Vlanif100]q
劃分VLAN
# SWA配置
[SWA]vlan 10
[SWA-vlan10]q
[SWA]int g0/0/10
[SWA-GigabitEthernet0/0/10]port link-type access
[SWA-GigabitEthernet0/0/10]port default vlan 10
# SWB配置
[SWB]vlan 20
[SWB-vlan20]q
[SWB]int g0/0/10
[SWB-GigabitEthernet0/0/10]port link-type access
[SWB-GigabitEthernet0/0/10]port default vlan 20
# SW3配置
[SW3]int g0/0/5
[SW3-GigabitEthernet0/0/5]port link-type access
[SW3-GigabitEthernet0/0/5]port default vlan 100
[SW3]int g0/0/6
[SW3-GigabitEthernet0/0/6]port link-type access
[SW3-GigabitEthernet0/0/6]port default vlan 100
以上為簡單的子網劃分,配置的相應的ip位址及接入交換機劃分vlan等簡單的操作我就不做過多的講解
配置鍊路聚合
鍊路聚合的作用:
華為交換機配置鍊路聚合
鍊路聚合(Eth-Trunk),是将多個實體接口捆綁為一個邏輯接口,實作增加鍊路帶寬、提高可靠性、提供負載分擔的目的。
鍊路聚合兩種模式:手工負載分擔模式(預設模式,預設負載均衡方式src-dst-ip),LACP模式(推薦)。
一,手工模式下,Eth-Trunk的建立、成員接口的加入由手工配置,沒有LACP的參與。手工模式下所有活動鍊路都參與資料的轉發,平均分擔流量。如果某條活動鍊路發生故障,鍊路聚合組會自動在剩餘的活動鍊路中平均分擔流量。
當需要在兩個直連裝置之間提供一個較大的鍊路帶寬,而其中一端或兩端裝置都不支援LACP協定時,可以配置手工模式鍊路聚合。
# SWA配置
[SWA]int Eth-Trunk 1 //進入到聚合口1
[SWA-Eth-Trunk1]trunkport GigabitEthernet 0/0/1 to 0/0/2
[SWA-Eth-Trunk1]port link-type trunk //是和交換機相連所有打上trunk
[SWA-Eth-Trunk1]port trunk allow-pass vlan all //放行所有vlan
[SWA-Eth-Trunk1]q
[SWA]int Eth-Trunk 2
[SWA-Eth-Trunk2]trunkport GigabitEthernet 0/0/5 to 0/0/6
[SWA-Eth-Trunk2]port link-type trunk
[SWA-Eth-Trunk2]port trunk allow-pass vlan all
[SWA-Eth-Trunk2]q
# SWB配置
[SWB]int Eth-Trunk 1
[SWB-Eth-Trunk1]trunkport GigabitEthernet 0/0/3 to 0/0/4
[SWB-Eth-Trunk1]port link-type trunk
[SWB-Eth-Trunk1]port trunk allow-pass vlan all
[SWB-Eth-Trunk1]q
[SWB]int Eth-Trunk 2
[SWB-Eth-Trunk2]trunkport GigabitEthernet 0/0/5 to 0/0/6
[SWB-Eth-Trunk2]port link-type trunk
[SWB-Eth-Trunk2]port trunk allow-pass vlan all
[SWB-Eth-Trunk2]q
# SW3配置
[SW3]int Eth-Trunk 1
[SW3-Eth-Trunk1]trunkport GigabitEthernet 0/0/3 to 0/0/4
[SW3-Eth-Trunk1]port link-type trunk
[SW3-Eth-Trunk1]port trunk allow-pass vlan all
[SW3-Eth-Trunk1]q
[SW3]int Eth-Trunk 2
[SW3-Eth-Trunk2]trunkport GigabitEthernet 0/0/1 to 0/0/2
[SW3-Eth-Trunk2]port link-type trunk
[SW3-Eth-Trunk2]port trunk allow-pass vlan all
[SW3-Eth-Trunk2]q
三層接口(已配置)
[SW3]dis ip int bri
Interface IP Address/Mask Physical Protocol
MEth0/0/1 unassigned down down
NULL0 unassigned up up(s)
Vlanif1 192.168.0.126/27 up up
Vlanif10 192.168.0.158/27 up up
Vlanif20 192.168.0.222/27 up up
Vlanif100 192.168.0.94/27 up up
阻塞端口
此時用的是多執行個體生成樹(MSTP)因為華為預設就是MSTP
[SW3]stp root primary //将SW3設定為根橋也就是當作老大承當鍊路的轉發
# 檢視SW3的端口角色
[SW3]dis stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet0/0/5 DESI FORWARDING NONE
0 GigabitEthernet0/0/6 DESI FORWARDING NONE
0 GigabitEthernet0/0/10 DESI FORWARDING NONE
0 GigabitEthernet0/0/11 DESI FORWARDING NONE
0 Eth-Trunk1 DESI FORWARDING NONE
0 Eth-Trunk2 DESI FORWARDING NONE
# 檢視SWB的端口角色
[SWB]dis stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet0/0/10 DESI FORWARDING NONE
0 Eth-Trunk1 ROOT FORWARDING NONE
0 Eth-Trunk2 ALTE DISCARDING NONE
配置OSPF
OSPF簡介
開放式最短路徑優先OSPF(Open Shortest Path First)是IETF組織開發的一個基于鍊路狀态的内部網關協定(Interior Gateway Protocol)。
目前針對IPv4協定使用的是OSPF Version 2(RFC2328);針對IPv6協定使用OSPF Version 3(RFC2740)。如無特殊說明,本文中所指的OSPF均為OSPF Version 2。
OSPF協定是因為 Internet 社群中需要為TCP/IP協定族引入具備強大功能的非專有内部網關協定 (IGP)。關于建立Internet通用互操作IGP的讨論從1988年就開始了,但直到 1991年才正式成形。當時OSPF 工作組請求為了 Internet 草案标準的發展而考慮OSPF。
OSPF 協定基于鍊路狀态技術,不同于傳統Internet 路由協定(如 RIP)中使用的基于距離矢量的算法。OSPF引入了一些新概念,如可變長度子網路遮罩(VLSM) 、路由彙總等。
以下章節将詳細闡述OSPF協定相對于RIP協定的差異、OSPF基本原理及OSPF基本功能配置。
# BoadeA配置
[BoadeA]ospf //進入到ospf程序下配置
[BoadeA-ospf-1]area 0 //區域0
[BoadeA-ospf-1-area-0.0.0.0]network 192.168.0.96 0.0.0.31 //宣告一個網段
[BoadeA-ospf-1-area-0.0.0.0]q
[BoadeA-ospf-1]default-route-advertise //交換預設路由,這條是為了能讓交換通過ospf下發的預設路由來通路外網
# BoadeB配置
[BoadeB]ospf
[BoadeB-ospf-1]area 0
[BoadeB-ospf-1-area-0.0.0.0]net 192.168.0.96 0.0.0.31
[BoadeB-ospf-1-area-0.0.0.0]q
[BoadeB-ospf-1]default-route-advertise
# SW3配置
[SW3]ospf
[SW3-ospf-1]area 0
# 精确宣告
[SW3-ospf-1-area-0.0.0.0]network 192.168.0.126 0.0.0.0 //全為0為精确宣告,如果是0.0.0.0 0.0.0.0那就是宣告本路由器的全部網段
[SW3-ospf-1-area-0.0.0.0]network 192.168.0.158 0.0.0.0
[SW3-ospf-1-area-0.0.0.0]net 192.168.0.222 0.0.0.0
[SW3-ospf-1-area-0.0.0.0]net 192.168.0.94 0.0.0.0
# ltemalA
[ltemalA]ospf
[ltemalA-ospf-1]area 0
[ltemalA-ospf-1-area-0.0.0.0]net 192.168.0.0 0.0.0.31
[ltemalA-ospf-1-area-0.0.0.0]net 192.168.0.64 0.0.0.31
# ltemalB
[ltemalB]ospf
[ltemalB-ospf-1]area 0
[ltemalB-ospf-1-area-0.0.0.0]net 192.168.0.32 0.0.0.31
[ltemalB-ospf-1-area-0.0.0.0]net 192.168.0.64 0.0.0.31
- OSPF精确宣告:
- 測試FTP_A與PC的連通性
- 檢視所有裝置的路由表
配置FTP映射
# BoadeA配置
[BoadeA]ip route-static 0.0.0.0 0.0.0.0 202.102.24.97 //指一條預設路由到ISP營運商達到能和營運商通路的需求,注:不能和營運商跑ospf之類的動态協定
[BoadeA]acl 2000 //配置通路控制清單
[BoadeA-acl-basic-2000]rule permit //行為是允許
[BoadeA-acl-basic-2000]q
[BoadeA]int g0/0/0
[BoadeA-GigabitEthernet0/0/0]nat outbound 2000 //用出口的流量做nat的轉換
[BoadeA-GigabitEthernet0/0/0]nat server protocol tcp global current-interface 21 inside 192.168.0.2 21
Warning:The port 21 is well-known port. If you continue it may cause function fa
ilure.
Are you sure to continue?[Y/N]:y //Y确認
[BoadeA-GigabitEthernet0/0/0]
# BoadeB配置
[BoadeB]ip route-static 0.0.0.0 0.0.0.0 120.202.249.193
[BoadeB]acl 2000
[BoadeB-acl-basic-2000]rule permit
[BoadeB-acl-basic-2000]q
[BoadeB]int g0/0/0
[BoadeB-GigabitEthernet0/0/0]nat outbound 2000
[BoadeB-GigabitEthernet0/0/0]nat server protocol tcp global current-interface 21 inside 192.168.0.34 21
Warning:The port 21 is well-known port. If you continue it may cause function fa
ilure.
Are you sure to continue?[Y/N]:y //Y确認
[BoadeB-GigabitEthernet0/0/0]
- FTP_A與ISP營運商連通性測試
- FTP_A與http-pc連通性測試
- http-pc通路FTP_A測試
- 配置内網FTP_A伺服器
- http-pc通路内網FTP_A(檔案傳輸模式PORT)
禁止通路FTP
# ltemalA配置ACL
[ltemalA]acl 3000 //配置進階通路控制清單
[ltemalA-acl-adv-3000]rule deny tcp source 192.168.0.129 0.0.0.0 destination-port eq 21 //禁止TCP協定中源位址為192.168.0.129這個ip 目的的端口好為21也就是ftp的端口号 直接禁止掉
[ltemalA-acl-adv-3000]q
[ltemalA]int g0/0/0
[ltemalA-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 //把剛寫的那條acl挂接到接口上 此時是inbound也就是流量進來的時候比對acl直接把流量禁止掉
# ltemalB配置ACL
[ltemalB]acl 3000
[ltemalB-acl-adv-3000]rule deny tcp source 192.168.0.193 0.0.0.0 destination-port eq 21 //禁止TCP協定中源位址為192.168.0.129這個ip 目的的端口好為21也就是ftp的端口号 直接禁止掉
- PC測試登入FTP伺服器
- PC與FTP連通性測試