您好,欢迎来到保捱科技网。
科技 教育 生活 旅游 时尚 美容 美食 健康 体育 游戏 汽车 家电
搜索
您的当前位置:首页组网技术-知识概要-基于ENSP

组网技术-知识概要-基于ENSP

来源:保捱科技网


配置Telnet

IP配置如图配置,现在配置telnet

配置vty密码方式验证登录telnet [R1]user-interface vty 0 4

[R1-ui-vty0-4]authentication-mode password

Please configure the login password (maximum length 16):sise

AAA模式进行配置验证登录telnet

用户sise,密码123,privilege level 3代表优先级为3,数值越高权限越高

[R1]aaa

[R1-aaa]local-user sise password cipher 123 privilege level 3 [R1-aaa]local-user sise service-type telnet [R1-aaa]quit

[R1]user-interface vty 0 4

[R1-ui-vty0-4]authentication-mode aaa

配置STelnet

首先配置RSA本地密钥对

[R2-GigabitEthernet0/0/0]rsa local-key-pair create

接着创建新用户用于远程登录

[R2]user-interface vty 0 4

[R2-ui-vty0-4]authentication-mode aaa

[R2-ui-vty0-4]protocol inbound ssh 该虚拟终端登录只能用ssh [R2-ui-vty0-4]aaa

[R2-aaa]local-user sise password cipher 123 Info: Add a new user.

[R2-aaa]local-user sise service-type ssh

[R2-aaa]ssh user sise authentication-type password

配置SSH Client 此功能用于不对服务器的RSA公钥进行有效性检查

[R1]ssh client first-time enable

拓展:配置SFTP

[R2]aaa

[R2-aaa]local-user sise password cipher 123 [R2-aaa]local-user sise service-type ssh [R2-aaa]local-user sise privilege level 3 [R2-aaa]local-user sise ftp-directory flash:

[R2-aaa]ssh user sise authentication-type password [R2-aaa]sftp server enable

配置FTP

FTPServer设置

将路由器配置成FTP Server [R2-aaa]local-user sise password cipher 123 [R2-aaa]local-user sise service-type ftp

[R2-aaa]local-user sise ftp-directory flash: [R2-aaa]local-user sise privilege level 15

电脑作为FTP Client

配置Proxy ARP实现跨网段通讯

IP配置如图所示此处忽略命令

在R1的两个接口上配置Proxy ARP [R1]interface g0/0/1

[R1-GigabitEthernet0/0/1]arp-proxy enable [R1-GigabitEthernet0/0/1]interface g0/0/2 [R1-GigabitEthernet0/0/2]arp-proxy enable

注意:

该方法配置的arp代理,主机是不用配置网关的

单臂路由

IP配置如图所示此处忽略命令

配置Trunk,Access接口以及VLAN [S1]vlan batch 10 20 30 [S1]interface g0/0/2

[S1-GigabitEthernet0/0/2]port link-type trunk

[S1-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 20 [S1-GigabitEthernet0/0/2]interface g0/0/3

[S1-GigabitEthernet0/0/3]port link-type trunk

[S1-GigabitEthernet0/0/3]port trunk allow-pass vlan 30 [S1-GigabitEthernet0/0/3]interface g0/0/1

[S1-GigabitEthernet0/0/1]port link-type trunk

[S1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 30

[S2]vlan 10

[S2-vlan10]description HR [S2-vlan10]vlan 20

[S2-vlan20]description Market [S2-vlan20]interface e0/0/1

[S2-Ethernet0/0/1]port link-type access [S2-Ethernet0/0/1]port default vlan 10 [S2-Ethernet0/0/1]interface e0/0/2

[S2-Ethernet0/0/2]port link-type access [S2-Ethernet0/0/2]port default vlan 20 [S2-Ethernet0/0/2]int g0/0/2

[S2-GigabitEthernet0/0/2]port link-type trunk

[S2-GigabitEthernet0/0/2]port trunk allow-pass vlan all

[S3]vlan 30

[S3-vlan30]description Manager [S3-vlan30]interface e0/0/1

[S3-Ethernet0/0/1]port link-type access [S3-Ethernet0/0/1]port default vlan 30 [S3-Ethernet0/0/1]interface e0/0/2

[S3-Ethernet0/0/2]port link-type trunk

[S3-Ethernet0/0/2]port trunk allow-pass vlan all

配置路由器子接口和IP地址

[R1]int g0/0/1.1

[R1-GigabitEthernet0/0/1.1]ip address 192.168.1.254 24 [R1-GigabitEthernet0/0/1.1]int g0/0/1.2

[R1-GigabitEthernet0/0/1.2]ip address 192.168.2.254 24 [R1-GigabitEthernet0/0/1.2]int g0/0/1.3

[R1-GigabitEthernet0/0/1.3]ip address 192.168.3.254 24

配置路由器子接口封装VLAN [R1-GigabitEthernet0/0/1.1]dot1q termination vid 10 [R1-GigabitEthernet0/0/1.1]arp broadcast enable [R1-GigabitEthernet0/0/1.1]int g0/0/1.2

[R1-GigabitEthernet0/0/1.2]dot1q termination vid 20 [R1-GigabitEthernet0/0/1.2]arp broadcast enable [R1-GigabitEthernet0/0/1.2]int g0/0/1.3

[R1-GigabitEthernet0/0/1.3]dot1q termination vid 30 [R1-GigabitEthernet0/0/1.3]arp broadcast enable

因为路由器无法识别VLAN标签所以,必须要去标签

(VLANIF)三层交换机实现VLAN间路由

IP配置如图所示此处忽略命令,以及端口间使用trunk和access配置也省略(交换机间用trunk,交换机与主机用access,交换机与路由器用trunk)

在三层交换机S1配置两个VLANIF接口,作为两个VLAN的网关

[S1]interface vlanif 10

[S1-Vlanif10]ip address 192.168.1.254 24 [S1-Vlanif10]interface vlanif 20

[S1-Vlanif20]ip address 192.168.2.254 24

Hybrid接口的应用

配置除PC-5外的vlan间通信 [S1]vlan batch 10 20 30 [S1]interface e0/0/2

[S1-Ethernet0/0/2]port hybrid untagged vlan 20 [S1-Ethernet0/0/2]port hybrid pvid vlan 20 [S1-Ethernet0/0/2]interface e0/0/3

[S1-Ethernet0/0/3]port hybrid untagged vlan 10 [S1-Ethernet0/0/3]port hybrid pvid vlan 10 [S1-Ethernet0/0/3]interface e0/0/1

[S1-Ethernet0/0/1]port hybrid tagged vlan 10 20

[S2]vlan batch 10 20 30 [S2]interface e0/0/2

[S2-Ethernet0/0/2]port hybrid untagged vlan 20 从交换机进来去标

[S2-Ethernet0/0/2]port hybrid pvid vlan 20 从交换机出去分配到vlan20 [S2-Ethernet0/0/2]interface e0/0/3

[S2-Ethernet0/0/3]port hybrid untagged vlan 10 [S2-Ethernet0/0/3]port hybrid pvid vlan 10 [S2-Ethernet0/0/3]interface e0/0/1

[S2-Ethernet0/0/1]port hybrid tagged vlan 10 20

实现IT技术部访问其它VLAN

[S1]interface e0/0/4

[S1-Ethernet0/0/4]port hybrid pvid vlan 30

[S1-Ethernet0/0/4]port hybrid untagged vlan 10 20 30 [S1-Ethernet0/0/4]interface e0/0/2

[S1-Ethernet0/0/2]port hybrid untagged vlan 20 30 [S1-Ethernet0/0/2]interface e0/0/3

[S1-Ethernet0/0/3]port hybrid untagged vlan 10 30 [S1-Ethernet0/0/3]interface e0/0/1

[S1-Ethernet0/0/1]port hybrid tagged vlan 10 20 30

[S2-Ethernet0/0/1]interface e0/0/1

[S2-Ethernet0/0/1]port hybrid tagged vlan 10 20 30 [S2-Ethernet0/0/1]interface e0/0/2

[S2-Ethernet0/0/2]port hybrid untagged vlan 20 30 [S2-Ethernet0/0/2]interface e0/0/3

[S2-Ethernet0/0/3]port hybrid untagged vlan 10 30

生成树

RSTP配置

华为交换机默认是

MSTP,所以要开启RSTP,stp mode rstp

配置根交换机与次根交换机

[S1]stp root primary [S2]stp root secondary

配置边缘端口 [S3]interface e0/0/1

[S3-Ethernet0/0/1]stp edged-port enable [S4]interface e0/0/1

[S4-Ethernet0/0/1]stp edged-port enable

服务器与交换机进行端口配置时,服务器的入接口为access接口,且需要配置边缘端口。 作用:

当没配置为边缘端口时,一个接口要参与生成树计算,要经过

Discarding和Learning状态,30s后才最终进入转发状态。最终导致了延迟的情况。所以为了提高网络的可用性,应当配置边缘端口

MSTP配置

IP如图配置,以及接口

混合配置

配置MSTP多实例解决不足

[S1]stp region-configuration

[S1-mst-region]region-name sise [S1-mst-region]revision-level 1 [S1-mst-region]instance 1 vlan 10 [S1-mst-region]instance 2 vlan 20

[S1-mst-region]active region-configuration

[S2]stp region-configuration [S2-mst-region]region-name sise [S2-mst-region]revision-level 1 [S2-mst-region]instance 1 vlan 10 [S2-mst-region]instance 2 vlan 20

[S2-mst-region]active region-configuration

[S3]stp region-configuration [S3-mst-region]region-name sise [S3-mst-region]revision-level 1 [S3-mst-region]instance 1 vlan 10 [S3-mst-region]instance 2 vlan 20

[S3-mst-region]active region-configuration

配置不同实例的优先级

[S1]stp instance 1 priority 0 [S2]stp instance 2 priority 0 上述两条命令等价于

[S1]stp instance 1 root primary [S2]stp instance 2 root primary

结果图:

GVRP

用于动态注册VLAN

配置GVRP单向注册接口

[S1]vlan batch 10 20 [S1]gvrp

[S1]interface e0/0/1 [S1-Ethernet0/0/1]p l a

[S1-Ethernet0/0/1]p d vlan 10

[S1-Ethernet0/0/1]interface e0/0/2 [S1-Ethernet0/0/2]p l a

[S1-Ethernet0/0/2]p d vlan 20 [S1-GigabitEthernet0/0/1]p l t

[S1-GigabitEthernet0/0/1]p t allow-pass vlan all [S1-GigabitEthernet0/0/1]gvrp

[S2]gvrp

[S2]interface g0/0/2

[S2-GigabitEthernet0/0/2]gvrp [S2-GigabitEthernet0/0/2]p l t

[S2-GigabitEthernet0/0/2]p t allow-pass vlan all [S2-GigabitEthernet0/0/2]interface g0/0/1 [S2-GigabitEthernet0/0/1]gvrp [S2-GigabitEthernet0/0/1]p l t

[S2-GigabitEthernet0/0/1]p t allow-pass vlan all

[S3]gvrp

[S3]interface g0/0/1

[S3-GigabitEthernet0/0/1]gvrp [S3-GigabitEthernet0/0/1]p l t

[S3-GigabitEthernet0/0/1]p t allow-pass vlan all [S3-GigabitEthernet0/0/1]interface g0/0/2 [S3-GigabitEthernet0/0/2]gvrp [S3-GigabitEthernet0/0/2]p l t

[S3-GigabitEthernet0/0/2]p t allow-pass vlan all

[S4]gvrp

[S4]interface g0/0/1

[S4-GigabitEthernet0/0/1]p l t

[S4-GigabitEthernet0/0/1]p t allow-pass vlan all [S4-GigabitEthernet0/0/1]gvrp

配置GVRP双向注册(需要在S4上手工创建VLAN)

[S4]vlan batch 10 20 [S4]interface e0/0/1

[S4-Ethernet0/0/1]port link-type access [S4-Ethernet0/0/1]port default vlan 10 [S4-Ethernet0/0/1]interface e0/0/2

[S4-Ethernet0/0/2]port default vlan 20

三种注册模式 GVRP有三种注册模式,不同的模式对静态VLAN和动态VLAN的处理方式也不同。 GVRP的三种注册模式分别定义如下: Normal模式:

允许动态VLAN在端口上进行注册,同时会发送静态VLAN和动态VLAN的声明消息。 Fixed模式:

不允许动态VLAN在端口上注册,只发送静态VLAN的声明消息。 Forbidden模式:

不允许动态VLAN在端口上进行注册,同时删除端口上除VLAN1外的所有VLAN,只发送VLAN1的声明消息。

Smart Link与Monitor Link的配合使用

Smart Link

[S1]smart-link group 1

[S1-smlk-group1]smart-link enable [S1-smlk-group1]interface e0/0/3 [S1-Ethernet0/0/3]stp disable

[S1-Ethernet0/0/3]interface e0/0/4

[S1-Ethernet0/0/4]stp disable #运行Smart Link 的接口需要关闭生成树协议 [S1-Ethernet0/0/4]quit [S1]smart-link group 1

[S1-smlk-group1]port e0/0/4 master #配置该接口为主接口 [S1-smlk-group1]port e0/0/3 slave #配置该接口为备份接口 注意:一旦主接口出故障,就会把备份接口作为主接口进行切换,这就是Smart link的作用

配置回切时间

配置回切时间30s

[S1-Ethernet0/0/3]smart-link group 1 [S1-smlk-group1]restore enable [S1-smlk-group1]timer wtr 30

配置Monitor Link

[S3-GigabitEthernet0/0/2]monitor-link group 1 [S3-mtlk-group1]port g0/0/2 uplink [S3-mtlk-group1]port e0/0/4 downlink

配置链路聚合

(配置Trunk时,交换机的接口不能先配置为trunk接口,否则会出错)

Eth-trunk工作模式分为手工负载分担模式和静态LACP模式 display eth-trunk 查看聚合状态

手工负载分担模式

manual load-balance

[S1]int eth-trunk 1

[S1-Eth-Trunk1]mode manual load-balance [S1-Eth-Trunk1]int g0/0/1

[S1-GigabitEthernet0/0/1]eth-trunk 1 [S1-GigabitEthernet0/0/1]int g0/0/2 [S1-GigabitEthernet0/0/2]eth-trunk 1 [S1-GigabitEthernet0/0/2]int g0/0/5 [S1-GigabitEthernet0/0/5]eth-trunk 1

[S2]int eth-trunk 1

[S2-Eth-Trunk1]mode manual load-balance [S2-Eth-Trunk1]int g0/0/1

[S2-GigabitEthernet0/0/1]eth-trunk 1 [S2-GigabitEthernet0/0/1]int g0/0/2 [S2-GigabitEthernet0/0/2]eth-trunk 1 [S2-GigabitEthernet0/0/2]int g0/0/5 [S2-GigabitEthernet0/0/5]eth-trunk 1

静态LACP模式 lacp-static

[S1]int eth-trunk 1

[S1-Eth-Trunk1]mode lacp-static [S1]int g0/0/1

[S1-GigabitEthernet0/0/1]eth-trunk 1 [S1-GigabitEthernet0/0/1]int g0/0/2 [S1-GigabitEthernet0/0/2]eth-trunk 1 [S1-GigabitEthernet0/0/2]int g0/0/5 [S1-GigabitEthernet0/0/5]eth-trunk 1

[S2]int eth-trunk 1

[S2-Eth-Trunk1]mode lacp-static [S2]int g0/0/1

[S2-GigabitEthernet0/0/1]eth-trunk 1 [S2-GigabitEthernet0/0/1]int g0/0/2 [S2-GigabitEthernet0/0/2]eth-trunk 1 [S2-GigabitEthernet0/0/2]int g0/0/5 [S2-GigabitEthernet0/0/5]eth-trunk 1

配置优先级选出主动端

修改系统优先级,使其称为主动端(值越低优先级越高) [S1]lacp priority 100

补充:两端选出主动端后,两端都会以主动端的接口优先级来选择活动接口。两端设备选择了一致的活动端口,活动链路组便可以建立起来,设置这些活动链路来负载分担的方式转发数据。

配置活动接口上限阈值

[S1]interface eth-trunk 1

[S1-Eth-Trunk1]max active-linknumber 2 # 设置为2

在主动端配置优先级选择活动链路 [S1]interface g0/0/1

[S1-GigabitEthernet0/0/1]lacp priority 100 [S1-GigabitEthernet0/0/1]interface g0/0/2 [S1-GigabitEthernet0/0/2]lacp priority 100

静态路由配置

先进行各设备IP配置 [R1]interface g0/0/1

[R1-GigabitEthernet0/0/1]ip address 10.09.12.1 24 [R1-GigabitEthernet0/0/1]interface g0/0/2 [R1-GigabitEthernet0/0/2]ip address 10.09.1.254 24 [R1-GigabitEthernet0/0/2]interface g0/0/0 [R1-GigabitEthernet0/0/0]ip address 10.09.13.1 24 [R2]interface g0/0/1 [R2-GigabitEthernet0/0/1]ip address 10.09.12.2 24 [R2-GigabitEthernet0/0/1]interface g0/0/2

[R2-GigabitEthernet0/0/2]ip address 10.09.23.2 24 [R2-GigabitEthernet0/0/2]interface g0/0/0

[R2-GigabitEthernet0/0/0]ip address 10.09.2.254 24 [R3]interface g0/0/1

[R3-GigabitEthernet0/0/1]ip address 10.09.3.254 24 [R3-GigabitEthernet0/0/1]interface g0/0/2

[R3-GigabitEthernet0/0/2]ip address 10.09.23.3 24 [R3-GigabitEthernet0/0/2]interface g0/0/0

[R3-GigabitEthernet0/0/0]ip address 10.09.13.3 24

配置静态路由

配置 R1 目的地址为 10.0.2.0/24 和 10.0.3.0/24 的静态路由。默认静态路由优先级为 60,无需额外配置路由优先级信息。 [R1]ip route-static 10.09.2.0 24 10.09.12.2 [R1]ip route-static 10.09.3.0 24 10.09.13.3

配置 R2 目的地址为 10.0.1.0/24 和 10.0.3.0/24 的静态路由。默认静态路由优先级为 60,无需额外配置路由优先级信息。 [R2]ip route-static 10.09.1.0 24 10.09.12.1 [R2]ip route-static 10.09.3.0 24 10.09.23.3

配置 R3 目的地址为 10.0.1.0/24 和 10.0.2.0/24 的静态路由。默认静态路由优先级为 60,无需额外配置路由优先级信息。 [R3]ip route-static 10.09.1.0 24 10.09.13.1 [R3]ip route-static 10.09.2.0 24 10.09.23.2

配置备份静态路由

R2 与网络 10.09.1.0 和 10.09.3.0 之间交互的数据通过 R2 与 R3 间的链路传输。如果 R2 和 R3 间的链路发生故障,R2 将不能与网络 10.09.3.0。

但是根据拓扑图可以看出,当 R2 和 R3 间的链路发生故障时,R2 还可以通过 R1 与 R3 通信。

所以可以通过配置一条备份静态路由实现路由的冗余备份。正常情况下,备份静态 路由不生效。当 R2 和 R3 间的链路发生故障时,才使用备份静态路由传输数据。 配置备份静态路由时,需要修改备份静态路由的优先级,确保只有主链路故障时才 使用备份路由。本任务中,需要将备份静态路由的优先级修改为 80。 [R2]ip route-static 10.09.13.0 255.255.255.0 10.09.12.1 preference 80 [R2]ip route-static 10.09.3.0 24 10.09.12.1 preference 80 [R3]ip route-static 10.09.12.0 24 10.09.13.1 preference 80 [R3]ip route-static 10.09.2.0 24 10.09.13.1 preference 80

配置备份缺省路由

当R1与R3间的链路发生故障时,R1可以使用备份缺省路由通过R2实现与10.09.23.3 和 10.09.3.0 网络间通信。

配置两条备份路由,确保数据来回的双向都有路由。 [R1]ip route-static 0.0.0.0 0.0.0.0 10.0.12.2 preference 80 [R2]ip route-static 10.09.1.0 24 10.09.23.3 preference 80 [R3]ip route-static 10.09.12.0 24 10.09.23.2 preference 80 [R3]ip route-static 10.09.1.0 24 10.09.23.2 preference 80

RIP配置

水平分割:指的是RIP从某个接口接收到的路由信息,不会从该接口再发回给邻居设备.这样不但减少了带宽消耗,还可以防止路由环路。 在华为设备上,水平分割功能默认情况下是开启的。 关闭水平分割:undo rip split-horizon

触发更新:当路由信息发生变化时,运行RIP设备会立即向邻居设备发送更新报文,而不必等待定时更新,从而缩短了网络收敛时间。 在华为设备上,没有相关命令能主动关闭触发更新的功能

毒性逆转:指的是RIP从某个接口接收到路由信息后,该路由的开销设置为16(即路由不可达),并从原接口发回邻居设备。利用这种方式,

可以清楚对方路由表中的无用路由。如果同时都配置了毒性逆转和水平切割,水平切割行为会被毒性逆转行为代替。

在华为设备上,毒性逆转功能默认情况是关闭的,需要手动打开此功能 开启功能:rip poison-reverse

RIP与不连续子网

以RIP v1 版本为例,因为v1版本是无法关闭自动汇总网络的,而v2版是可以的,v2版只需在rip模式下使用undo summary,关闭自动汇总即可 实现不连续子网

依照图片配置对应设备接口IP

此处省略

配置RIP(V1)

[R1]rip

[R1-rip-1]network 10.0.0.0 [R2]rip

[R2-rip-1]network 10.0.0.0

[R2-rip-1]network 192.168.23.0 [R3]rip

[R3-rip-1]network 192.168.34.0 [R3-rip-1]network 192.168.23.0 [R4]rip

[R4-rip-1]network 10.0.0.0

[R4-rip-1]network 192.168.34.0 [R5]rip

[R5-rip-1]network 10.0.0.0

可以观察到R3设备有两个10.0.12.0与10.0.45.0的网段信息从而,会导致一边通一边不同的情况。

配置接口的从IP地址

要想不改变版本的情况下.

就是要把不连续的子网转变成连续的子网,问题就可以解决了。

办法就是给接口配置第二个IP地址,IP地址取10.0.0.0/8主网的子网 配置从IP地址,只要在常规配置IP地址的命令之后加上sub即可

[R2]interface serial2/0/0 [R2-Serial2/0/0]ip address 10.0.23.2 24 sub

[R3]interface Serial 1/0/0 [R3-Serial1/0/0]ip address 10.0.23.3 24 sub [R3-Serial1/0/0]interface Serial 1/0/1 [R3-Serial1/0/1]ip address 10.0.34.3 24 sub [R3-Serial1/0/1]q [R3]rip

[R3-rip-1]network 10.0.0.0

[R4]interface Serial 2/0/1

[R4-Serial2/0/1]ip address 10.0.34.4 24 sub

配置RIP路由附加度量值

Rip metricin命令用于在接收到路由后,给其增加一个附加度量值,再加入路由表中,使得路由表中的度量值发生变化。运行命令会影响到本地设备和其它设备的路由选择

Rip metricout命令用于自身路由的发布,发布时增加一个附加的度量值,但本地路由表中的度量值不会发生变化。运行该命令不会影响本地设备的路由选择,但是会影响其它设备的路由选择。

配置RIP

[R1]rip

[R1-rip-1]version 2 [R1-rip-1]undo summary [R1-rip-1]network 10.0.0.0 [R1-rip-1]network 192.168.1.0 [R2]rip

[R2-rip-1]version 2 [R2-rip-1]undo summ [R2-rip-1]undo summary [R2-rip-1]network 10.0.0.0 [R3]rip

[R3-rip-1]version 2 [R3-rip-1]undo summary [R3-rip-1]network 10.0.0.0 [R4]rip

[R4-rip-1]version 2 [R4-rip-1]undo summary

[R4-rip-1]network 10.0.0.0 [R4-rip-1]network 192.168.2.0

路由表信息

配置RIP Metricin

[R1]interface g0/0/1

[R1-GigabitEthernet0/0/1]rip metricin 2

在R1的g0/0/1接口设置R1接收R3发送来的路由条目时增加度量值2, 这样R1会优先1选择R2发来的RIP路由条目,并加入路由表

可以观察到到10.0.12.2的就只有

下一跳R2,查看R1上的RIP的数据库

配置RIP Metricout

为了减轻R2的负担,所有由财务部去往市场部的流量都由R3来转发

在R2上的g0/0/1上使用rip metricout 2命令,设置R2在向R4发送路由条目时增加度量值2。这样R4收到来自R2的路由度量值就会大于来自R3的路由,R4会优选来自R3的RIP路由条目,并加入到路由表中。 [R2]interface g0/0/1

[R2-GigabitEthernet0/0/1]rip metricout 2

OSPF配置

dis ospf peer 查看ospf邻居状态

dis ip routing-table protocol ospf 查看OSPF路由条目

OSPF单区域配置

ip配置如上所示:

ospf 1中的1代表进程为1,不打默认也是进程1与rip类似

[R1]ospf 1

[R1-ospf-1]area 0 [R1-ospf-1-area-0.0.0.0]network 172.16.10.0 0.0.0.255 [R1-ospf-1-area-0.0.0.0]network 172.16.20.0 0.0.0.255 [R1-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 [R2]ospf 1 [R2-ospf-1]area 0 [R2-ospf-1-area-0.0.0.0]network 172.16.10.0 0.0.0.255 [R2-ospf-1-area-0.0.0.0]network 172.16.30.0 0.0.0.255 [R2-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 [R3]ospf

[R3-ospf-1]area 0

[R3-ospf-1-area-0.0.0.0]network 172.16.20.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 172.16.30.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255

OSPF多区域配置

各设备ip如图配置:如R1的ip 在g0/0/2 10.0.15.1 24,而R5的g0/0/1 10.0.35.5 24,最后一位就是路由器设备名的数字

配置骨干区域路由器

配置骨干网络 [R1]ospf 1

[R1-ospf-1]area 0 [R1-ospf-1-area-0.0.0.0]network 10.0.12.0 0.0.0.255 [R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255

[R2]ospf 1 [R2-ospf-1]area 0 [R2-ospf-1-area-0.0.0.0]network 10.0.12.0 0.0.0.255 [R2-ospf-1-area-0.0.0.0]network 10.0.24.0 0.0.0.255

[R3]ospf 1

[R3-ospf-1]area 0

[R3-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 10.0.3.0 0.0.0.255

[R4]ospf 1

[R4-ospf-1]area 0

[R4-ospf-1-area-0.0.0.0]network 10.0.24.0 0.0.0.255 [R4-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255 [R4-ospf-1-area-0.0.0.0]network 10.0.4.0 0.0.0.255

配置非骨干区域路由器

配置分支A 非骨干网络

[R5]ospf 1

[R5-ospf-1]area 1

[R5-ospf-1-area-0.0.0.1]network 10.0.15.0 0.0.0.255 [R5-ospf-1-area-0.0.0.1]network 10.0.35.0 0.0.0.255 [R5-ospf-1-area-0.0.0.1]network 10.0.1.0 0.0.0.255 通告分支A的相应网段 [R1]ospf 1

[R1-ospf-1]area 1

[R1-ospf-1-area-0.0.0.1]network 10.0.15.0 0.0.0.255 [R3]ospf 1

[R3-ospf-1]area 1

[R3-ospf-1-area-0.0.0.1]network 10.0.35.0 0.0.0.255

配置分支B 非骨干网络

[R6]ospf 1

[R6-ospf-1]area 2 [R6-ospf-1-area-0.0.0.2]network 10.0.2.0 0.0.0.255 [R6-ospf-1-area-0.0.0.2]network 10.0.26.0 0.0.0.255 [R6-ospf-1-area-0.0.0.2]network 10.0.46.0 0.0.0.255 通告分支B的相应网段 [R2]ospf 1 [R2-ospf-1]area 2 [R2-ospf-1-area-0.0.0.2]network 10.0.26.0 0.0.0.255 [R4]ospf 1

[R4-ospf-1]area 2 [R4-ospf-1-area-0.0.0.2]network 10.0.46.0 0.0.0.255

OSPF认证

R2为ABR

OSPF多区域配置

[R1]ospf 1

[R1-ospf-1]area 1

[R1-ospf-1-area-0.0.0.1]network 10.0.12.0 0.0.0.255 [R1-ospf-1-area-0.0.0.1]network 1.1.1.1 0.0.0.0

[R2]ospf 1

[R2-ospf-1]area 1

[R2-ospf-1-area-0.0.0.1]network 10.0.12.0 0.0.0.255 [R2-ospf-1-area-0.0.0.1]network 10.0.24.0 0.0.0.255 [R2-ospf-1-area-0.0.0.1]area 0

[R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 [R2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0

[R3]ospf 1

[R3-ospf-1]area 0

[R3-ospf-1-area-0.0.0.0]network 10.0.35.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 10.0.36.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0

[R4]ospf 1

[R4-ospf-1]area 1

[R4-ospf-1-area-0.0.0.1]network 10.0.24.0 0.0.0.255 [R4-ospf-1-area-0.0.0.1]network 4.4.4.4 0.0.0.0

[R5]ospf 1

[R5-ospf-1]area 0

[R5-ospf-1-area-0.0.0.0]network 10.0.35.0 0.0.0.255

[R5-ospf-1-area-0.0.0.0]network 5.5.5.5 0.0.0.0

[R6]ospf 1

[R6-ospf-1]area 0

[R6-ospf-1-area-0.0.0.0]network 10.0.36.0 0.0.0.255 [R6-ospf-1-area-0.0.0.0]network 6.6.6.6 0.0.0.0 检测连通性

配置公司分布OSPF区域明文认证 [R1]ospf 1

[R1-ospf-1]area 1

[R1-ospf-1-area-0.0.0.1]authentication-mode simple plain sise

authentication-mode simple plain sise

sise参数为密码参数plain代表可以使得在查看配置文件时,口令均以明文方式显示.如果不配置参数,在查看配置文件时,默认会以密文方式显示口令,即无法查看到所配置的口令原文。

查看R1的ospf邻居关系,可以观察到其关系断了,是因为目前仅仅在R1上配置了认证,导致R1和R2间的OSPF认证不匹配 故要继续配置R2 [R2]ospf 1

[R2-ospf-1]area 1

[R2-ospf-1-area-0.0.0.1]authentication-mode simple sise

同理配置R4

[R4]ospf 1

[R4-ospf-1]area 1

[R4-ospf-1-area-0.0.0.1]authentication-mode simple sise

配置公司总部OSPF区域密文认证

authentication-mode md5 1 sise3 验证字标识符为1配置口令为sise3 [R2]ospf 1

[R2-ospf-1]area 0

[R2-ospf-1-area-0.0.0.0]authentication-mode md5 1 sise3

[R3]ospf 1

[R3-ospf-1]area 0

[R3-ospf-1-area-0.0.0.0]authentication-mode md5 1 sise3

[R5]ospf 1

[R5-ospf-1]area 0

[R5-ospf-1-area-0.0.0.0]authentication-mode md5 1 sise3

[R6]ospf 1

[R6-ospf-1]area 0

[R6-ospf-1-area-0.0.0.0]authentication-mode md5 1 sise3

配置OSPF链路认证

目的:为了进一步提升R2与R4之间的OSPF网络安全性,故在两个设备之间部署了MD5验证模式的OSPF链路认证 验证字标识符为1配置口令为sise5

[R2]interface g0/0/1

[R2-GigabitEthernet0/0/1]ospf authentication-mode md5 1 sise5 [R4]interface g0/0/0

[R4-GigabitEthernet0/0/0]ospf authentication-mode md5 1 sise5

连接RIP与OSPF网络

公司 A 内部配置 RIP 路由。

[R1]rip 1

[R1-rip-1]version 2

[R1-rip-1]undo summary

[R1-rip-1]network 202.96.100.0 [R2]rip 1

[R2-rip-1]version 2

[R2-rip-1]undo summary

[R2-rip-1]network 202.96.100.0 [R2-rip-1]network 192.168.100.0 公司 B 内部配置 OSPF 路由

[R1]ospf 1 [R1-ospf-1]area 0 [R1-ospf-1-area-0.0.0.0]network 202.96.10.0 0.0.0.255 [R3]ospf 1

[R3-ospf-1]area 0 [R3-ospf-1-area-0.0.0.0]network 202.96.10.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255

配置双向路由引入

[R1]ospf 1

[R1-ospf-1]import-route rip 1 [R1-ospf-1]q [R1]rip 1

[R1-rip-1]import-route ospf 1

手工配置引入时的开销值

[R1]rip 1

[R1-rip-1]import-route ospf 1 cost 3

VRRP

配置虚拟网关

VRRP的基本配置

PC-1与PC-2的网关地址都为172.16.1.254 部署OSPF网络 [R1]ospf 1

[R1-ospf-1]area 0 [R1-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 [R1-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255 [R2]ospf 1 [R2-ospf-1]area 0 [R2-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 [R2-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 [R3]ospf 1

[R3-ospf-1]area 0

[R3-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255

配置VRRP协议

[R2]interface e1/0/1

[R2-Ethernet1/0/1]vrrp vrid 1 virtual-ip 172.16.1.254

[R3]interface e1/0/1

[R3-Ethernet1/0/1]vrrp vrid 1 virtual-ip 172.16.1.254

VRRP的备份组号为1,配置虚拟IP为172.16.1.254 注意: 虚拟ip地址必须和当前接口在同一网段

不配置优先级,默认为100,优先级决定路由器在备份组中的角色,优先级高者成为Master。如果优先级相同,比较接口的IP地址大小,较大的成为Master。0被系统保留,255保留给IP地址拥有者使用

使R2成为master路由

[R2-Ethernet1/0/1]vrrp vrid 1 priority 120

配置VRRP多备份组

PC-1的网关为:172.16.1.254 PC-2的网关为:172.16.1.253

部署OSPF网络

[R1]ospf 1

[R1-ospf-1]area 0

[R1-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 [R1-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255 [R2]ospf 1

[R2-ospf-1]area 0 [R2-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 [R2-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 [R3]ospf 1 [R3-ospf-1]area 0 [R3-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255

配置VRRP双备份组

创建虚拟组1

[R2]interface e1/0/1

[R2-Ethernet1/0/1]vrrp vrid 1 virtual-ip 172.16.1.254 [R2-Ethernet1/0/1]vrrp vrid 1 priority 120 [R3]interface e1/0/1

[R3-Ethernet1/0/1]vrrp vrid 1 virtual-ip 172.16.1.254

创建虚拟组2

[R2]interface e1/0/1

[R2-Ethernet1/0/1]vrrp vrid 2 virtual-ip 172.16.1.253 [R3]interface e1/0/1

[R3-Ethernet1/0/1]vrrp vrid 2 virtual-ip 172.16.1.253 [R3-Ethernet1/0/1]vrrp vrid 2 priority 120

观察发现PC-1是通过R2访问,PC-2是通过R3访问

VRRP默认为抢占模式,即优先级高的为变成master,低的变成backup 关闭抢占模式命令:

vrrp vrid 1 preempt-mode disable

配置虚拟IP拥有者

在虚拟组1中,R2为master,为了使R2始终为虚拟组1的拥有者,则将其配置成了虚拟ip拥有者,即优先级为255

修改R2接口ip

[R2]interface e1/0/1

[R2-Ethernet1/0/1]ip address 172.16.1.254 24

修改R3的优先级

[R3]interface e1/0/1

[R3-Ethernet1/0/1]vrrp vrid 1 priority 254

发现R3无法抢占虚拟组1的Master

配置VRRP的跟踪接口及认证

PC-1和PC-2的网关都为172.16.1.254

部署OSPF网络

[R1]ospf 1

[R1-ospf-1]area 0

[R1-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 [R1-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255 [R2]ospf 1

[R2-ospf-1]area 0 [R2-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 [R2-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 [R3]ospf 1

[R3-ospf-1]area 0 [R3-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255 配置VRRP双备份组

[R2]interface e1/0/1

[R2-Ethernet1/0/1]vrrp vrid 1 virtual-ip 172.16.1.254 [R2-Ethernet1/0/1]vrrp vrid 1 priority 120 [R3]interface e1/0/1

[R3-Ethernet1/0/1]vrrp vrid 1 virtual-ip 172.16.1.254

配置上行接口监视

将上行接口R2的 G 0/0/0 用命令关闭后 [R2-GigabitEthernet0/0/0]shutdown

发现并没有进行主动的切换Master角色,此时就需要进行配置上行接口监视了 [R2]interface e1/0/1

[R2-Ethernet1/0/1]vrrp vrid 1 track interface g0/0/0 reduce 50

该配置后当上行接口g0/0/0断后就会自动将优先级减去50,从而从120变成70,而默认的优先级是100,即将会小于R3的优先级从而达到切换Master角色

在R2和R3上配置VRRP认证

配置MD5认证,默认情况下,设备对要发送的VRRP报文不进行任何认证处理。故可以通过配置更改VRRP的认证模式,使VRRP对报文进行验证,从而增强安全性 [R2]interface e1/0/1

[R2-Ethernet1/0/1]vrrp vrid 1 authentication-mode md5 huawei [R3]interface e1/0/1

[R3-Ethernet1/0/1]vrrp vrid 1 authentication-mode md5 huawei

ACL

配置了 ACL 的网络设备根据事先设定好的报文匹配规则对经过该设备的报文进行匹配,然后对匹配上的报文执行事先设定好的处理动作。这些匹配规则及相应的处理动作是根据具体的网络需求而设定的。处理动作的不同以及匹配规则的多样性,使得 ACL 可以发挥出各种各样的功效。ACL 技术总是与防火墙(Firewall)、路由策略、QoS(Quality of Service)、流量过滤(Traffic Filtering)等其他技术结合使用的。

按照访问控制列表的用途,可以分为基本的访问控制列表和高级的访问控制列表,基本ACL可以使用报文的源IP地址、时间段信息来定义规则。编号范围为2000~2999

一个 ACL 中的每一条规则都有一个相应的编号,称为规则编号(rule-id)。缺省情况下,报文总是按照规则编号从小到大的顺序与规则进行匹配,缺省情况下,设备会在创建 ACL的过程中自动为每一条规则分配一个编号,如果将规则编号的步长设定为 10(注:规则编号的步长的缺省值为 5),则规则编号将按照 10、20、30、40······这样的规律自动进行分配,如果将规则编号的步长设定为 2.则规则编号将按照 2、4、6、8······这样的规律自动进行分配。步长的大小反映了相邻规则编号之间的间隔大小。间隔的存在,实际上是为了便于在两个相邻规则之间插入新的规则。

基本 ACL

需求:是只能由R1的环回接口telnet连接到R4,而其它网络不能连接到

部署OSPF网络

[R1]ospf 1

[R1-ospf-1]area 0

[R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255 [R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0 [R2]ospf 1

[R2-ospf-1]area 0

[R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 [R3]ospf 1

[R3-ospf-1]area 0

[R3-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0 [R4]ospf 1

[R4-ospf-1]area 0

[R4-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255 [R4-ospf-1-area-0.0.0.0]network 4.4.4.4 0.0.0.0

配置基本ACL控制访问

配置 Telnet 相关配置

[R4-ui-vty0-4]authentication-mode password Please configure the login password (maximum length 16):sise 配置ACL [R4]acl 2000

[R4-acl-basic-2000]rule 5 permit source 1.1.1.1 0 [R4-acl-basic-2000]rule 10 deny source any 在远程接口启用该ACL [R4]user-interface vty 0 4 [R4-ui-vty0-4]acl 2000 inbound

高级ACL 基本 ACL

需求:是只能由R1的环回接口telnet连接到R4,而其它网络不能连接到

部署OSPF网络

[R1]ospf 1

[R1-ospf-1]area 0

[R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255 [R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0 [R2]ospf 1

[R2-ospf-1]area 0 [R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 [R3]ospf 1

[R3-ospf-1]area 0 [R3-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0 [R4]ospf 1

[R4-ospf-1]area 0

[R4-ospf-1-area-0.0.0.0]network 10.0.34.0 0.0.0.255 [R4-ospf-1-area-0.0.0.0]network 4.4.4.4 0.0.0.0

配置基本ACL控制访问

配置 Telnet 相关配置

[R4-ui-vty0-4]authentication-mode password

Please configure the login password (maximum length 16):sise 配置ACL [R4]acl 3000

[R4-acl-adv-3000]rule permit ip source 1.1.1.1 0 destination 4.4.4.4 0 在远程接口启用该ACL [R4]user-interface vty 0 4

[R4-ui-vty0-4]acl 3000 inbound

广域网

串行接口有两种协议:HDLC和PPP

而PPP协议有两种认证方式CHAP(三次交互)和PAP(两次交互)

默认的串行接口模式为PPP 两个接口必须都为同一协议才能进行通讯

WAN接入配置

配置PPP

在 R2 上配置默认路由指向出口网关 R1,并在 R1 上配置R2的网段为 PC-1 所在网络的静态路由,下一跳路由器为 R2

[R2]ip route-static 0.0.0.0 0.0.0.0 192.168.1.2

[R1]ip route-static 172.16.1.254 255.255.255.0 192.168.1.1

配置HDLC

[R1]interface Serial 1/0/1

[R1-Serial1/0/1]link-protocol hdlc

Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]:y [R3]interface Serial 1/0/1

[R3-Serial1/0/1]link-protocol hdlc

Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]:y

在 R3 上配置默认路由指向出口网关 R1,并在 R1 上配置目的网段为 PC-3 所在网络的静 态路由,下一跳路由器为 R3 连接 R1 的 S1/0/1 接口。

[R3]ip route-static 0.0.0.0 0.0.0.0 serial 1/0/1

[R1]ip route-static 172.16.3.0 255.255.255.0 serial 1/0/1

PPP的认证

配置OSPF

[R1]ospf 1

[R1-ospf-1]area 0

[R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255 [R1-ospf-1-area-0.0.0.0]network 10.0.1.0 0.0.0.25 [R3]ospf 1

[R3-ospf-1]area 0

[R3-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 [R2]ospf 1

[R2-ospf-1]area 0

[R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255 [R2-ospf-1-area-0.0.0.0]network 10.0.2.0 0.0.0.255

配置PPP的PAP认证

R3作为认证路由器, R1作为被认证路由器

在总部设备 R3 上使用 ppp authentication-mode 命令设置本端的 PPP 协议对对端设备的认证方式为 PAP

[R3]interface Serial 4/0/0

[R3-Serial4/0/0]ppp authentication-mode pap

二配置认证路由器R3的本地认证信息

[R3-Serial4/0/0]aaa

使用 local-user 命令配置存储在本地,为对端认证方所使用的用户名为 R1@siseyu,密码为 sise。

[R3-aaa]local-user R1@siseyu password cipher sise [R3-aaa]local-user R1@siseyu service-type ppp [R3-aaa]interface Serial 4/0/0

配置完成后需要关闭相应的接口再打开才有效

[R3-Serial4/0/0]shutdown

[R3-Serial4/0/0]undo shutdown

三.配置被认证方R1

在认证方 R1 上配置相关 PAP 认证参数。 [R1]interface Serial 4/0/0

[R1-Serial4/0/0]ppp pap local R1@siseyu password cipher sise

配置PPP的CHAP认证

一.删除配置好的信息

删除原有的 PAP 认证配置,域名保持不变。 [R3]interface Serial 4/0/0

[R3-Serial4/0/0]undo ppp authentication-mode [R1]interface Serial4/0/0

[R1-Serial4/0/0]undo ppp pap local-user

二. 配置认证路由器R3的本地认证信息

在认证设备 R3 的 S4/0/0 接口下配置 PPP 的认证方式为 CHAP。 [R3]interface Serial 4/0/0

[R3-Serial4/0/0]ppp authentication-mode CHAP

配置存储在本地,对端认证方所使用的用户名为 R1,密码为sise。 [R3]aaa

[R3-aaa]local-user R1 password cipher sise Info: Add a new user.

[R3-aaa]local-user R1 service-type ppp

配置完成后,关闭 R1 与 R3 相连接口一段时间后再打开,使链路重新协商。 [R3]interface Serial4/0/0 [R3-Serial4/0/0]shutdown

[R3-Serial4/0/0]undo shutdown

三.配置被认证方R1

在 R1 的 S4/0/0 接口下配置 CHAP 认证的用户名和密码 [R1]interface Serial 4/0/0

[R1-Serial4/0/0]ppp chap user R1

[R1-Serial4/0/0]ppp chap password cipher sise

DHCP

配置DHCP可以基于接口配置也可以基于全局的配置, 以及在不同局域网内配置DHCP时。要使用到中继技术

配置基于接口配置

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 [R1-GigabitEthernet0/0/0]interface g0/0/1 [R1-GigabitEthernet0/0/1]ip address 192.168.2.254 24 基于接口配置DHCP 开启DHCP功能 [R1]dhcp enable

开启接口的DHCP服务功能 [R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]dhcp select interface [R1-GigabitEthernet0/0/0]interface g0/0/1

[R1-GigabitEthernet0/0/1]dhcp select interface

配置基于接口的DHCP Server租期/DNS服务器地址

配置DHCP Server 租期, 默认为1天 [R1-GigabitEthernet0/0/1]interface g0/0/0 [R1-GigabitEthernet0/0/0]dhcp server lease day 2 配置接口池不参与DHCP配置 192.168.1.1~192.168.1.10 [R1-GigabitEthernet0/0/0]dhcp server excluded-ip-address 192.168.1.1 192.168.1.10

配置基于全局地址池的DHCP

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 [R1-GigabitEthernet0/0/0]interface g0/0/1 [R1-GigabitEthernet0/0/1]ip address 192.168.2.254 24 配置基于全局地址池的DHCP Server 开启DHCP功能 [R1]dhcp enable 配置全局地址池sise1

使用network配置全局地址池

分配的网段范围为192.168.1.0, 默认掩码为24位。 [R1]ip pool sise1

[R1-ip-pool-sise1]network 192.168.1.0 [R1-ip-pool-sise1]lease day 2

[R1-ip-pool-sise1]gateway-list 192.168.1.254

[R1-ip-pool-sise1]excluded-ip-address 192.168.1.250 192.168.1.253

[R1-ip-pool-sise1]dns-list 8.8.8.8 [R1-ip-pool-sise1]interface g0/0/0

[R1-GigabitEthernet0/0/0]dhcp select global

配置全局地址池sise2

[R1]ip pool sise2

[R1-ip-pool-sise2]network 192.168.2.0 [R1-ip-pool-sise2]lease

[R1-ip-pool-sise2]lease day 2

[R1-ip-pool-sise2]gateway-list 192.168.2.254 [R1-ip-pool-sise2]dns

[R1-ip-pool-sise2]dns-list 8.8.8.8 [R1-ip-pool-sise2]interface g0/0/1

[R1-GigabitEthernet0/0/1]dhcp select global

配置DHCP中继

[R3]interface g0/0/1

[R3-GigabitEthernet0/0/1]ip address 100.1.1.3 24 [R2]interface g0/0/0

[R2-GigabitEthernet0/0/0]ip address 200.1.1.2 24 [R2-GigabitEthernet0/0/0]interface g0/0/1 [R2-GigabitEthernet0/0/1]ip address 100.1.1.2 24 [R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]ip address 200.1.1.1 24 [R1-GigabitEthernet0/0/0]interface E1/0/1 [R1-Ethernet1/0/1]ip address 10.1.1.254 24

搭建OSPF网络 [R1]ospf 1 [R1-ospf-1]area 0

[R1-ospf-1-area-0.0.0.0]network 200.1.1.0 0.0.0.255 [R1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255 [R2]ospf 1 [R2-ospf-1]area 0

[R2-ospf-1-area-0.0.0.0]network 200.1.1.0 0.0.0.255 [R2-ospf-1-area-0.0.0.0]network 100.1.1.0 0.0.0.255 [R3]ospf 1 [R3-ospf-1]area 0

[R3-ospf-1-area-0.0.0.0]network 100.1.1.0 0.0.0.255

配置DHCP服务器

[R3]dhcp enable [R3]ip pool dhcp-pool

[R3-ip-pool-dhcp-pool]network 10.1.1.0 mask 255.255.255.0 [R3-ip-pool-dhcp-pool]gateway-list 10.1.1.254 [R3-ip-pool-dhcp-pool]interface g0/0/1 [R3-GigabitEthernet0/0/1]dhcp select global

配置DHCP中继 方法①使用接口直接配置

[R1]dhcp enable

Info: The operation may take a few seconds. Please wait for a moment.done. [R1]interface e1/0/1

[R1-Ethernet1/0/1]dhcp select relay

[R1-Ethernet1/0/1]dhcp relay server-ip 100.1.1.3

方法②使用DHCP服务器组

[R1]dhcp server group dhcp-group

Info:It's successful to create a DHCP server group.

[R1-dhcp-server-group-dhcp-group]dhcp-server 100.1.1.3 [R1-dhcp-server-group-dhcp-group]interface e1/0/1 [R1-Ethernet1/0/1]dhcp select relay

[R1-Ethernet1/0/1]dhcp relay server-select dhcp-group

GRE协议

建立管道协议

配置静态路由

[R1]ip route-static 0.0.0.0 0.0.0.0 10.1.12.2 [R3]ip route-static 0.0.0.0 0.0.0.0 10.1.23.2

配置管道接口 [R1]interface Tunnel 0/0/0 [R1-Tunnel0/0/0]tunnel-protocol gre [R1-Tunnel0/0/0]source 10.1.12.1 [R1-Tunnel0/0/0]destination 10.1.23.1 [R1-Tunnel0/0/0]ip address 172.16.1.1 24 [R3]interface Tunnel 0/0/0 [R3-Tunnel0/0/0]tunnel-protocol gre [R3-Tunnel0/0/0]source 10.1.23.1

[R3-Tunnel0/0/0]destination 10.1.12.1 [R3-Tunnel0/0/0]ip address 172.16.1.2 24

配置RIP协议

[R1]rip 1

[R1-rip-1]version 2

[R1-rip-1]network 192.168.10.0 [R1-rip-1]network 172.16.0.0 [R3]rip 1

[R3-rip-1]version 2

[R3-rip-1]network 192.168.20.0 [R3-rip-1]network 172.16.0.0

NAT配置

在 IP 地址的空间里,A、B、C 三类地址中各有一部分地址,它们被称为私网 IP 地址(或 私有 IP 地址),内容如下。 (1)A 类:10.0.0.1~10.255.255.254. (2)B 类:172.16.0.1~172.31.255.4 (3)C 类:192.168.0.1~192.168.255.254

私有地址只能在局域网内部使用,使用私有地址的主机如果要访问公网或通过公网去访

问其他的局域网,就必须通过 NAT 来完成地址的转换。

网络地址转换技术也称为 NAT(Network Address Translation)技术,它的基本作用: 就是实现私网 IP 地址与公网 IP 地址之间的转换。NAT 是将 IP 数据报文报头中的 IP 地址转 换为另一个 IP 地址的过程,主要用于实现内部网络(私有 IP 地址)访问外部网络(公有 IP 地址)的功能。NAT 有 3 种类型:静态 NAT、动态地址 NAT 以及网络地址端口转换 NAPT。

静态NAT

静态 NAT:每个私有地址都有一个与之对应并且固定的公有地址,即私有地址和公有地址之间的关系是一对一映射。

公司在网关路由器 R1 上配置访问的默认路由。

[R1]ip route-static 0.0.0.0 0.0.0.0 202.169.10.2 [R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]nat static global 202.169.10.5 inside 172.16.1.1

配置 NAT Outbound

市场部使用私网 IP 地址 172.17.1.0/24 网

段,网络管理员使用公网地址池 202.169.10.50-202.169.10.60 为市场部员工做 NAT 转换。 在 R1 上使用 nat addres-group 命令配置 NAT 地址池,设置起始和结束地址分别为 202.169.10.50 和 202.169.10.60。

[R1]nat address-group 1 202.169.10.50 202.169.10.60 创建基本 ACL 2000,匹配 172.17.1.0,掩码为 24 位的地址段。 [R1]acl 2000

[R1-acl-basic-2000]rule 5 permit source 172.17.1.0 0.0.0.255

在 GE0/0/0 接口下使用 nat outbound 命令将 ACL2000 与地址池相关联使得ACL 中规 定的地址可以使用地址池进行地址转换。 [R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat

配置 NAT Easy-IP

Easy-IP 是 NAPT 的一种方式,直接借用路由器出接口 IP 地址作为公网地址,将不同的内部地址映射到同一公有地址的不同端口号上,实现多对一地址转换。

在 R1 的GE0/0/0 接口上删除 NAT Outbound 配置,并使用nat outbound 命令配置Easy-IP 特性,直接使用接口 IP 地址作为 NAT 转换后的地址。

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]undo nat outbound 2000 address-group 1 no-pat [R1-GigabitEthernet0/0/0]nat outbound 2000

配置 NAT Server

公司内 Server 提供 FTP 服务供用户访问,配置 NAT Server 并使用公网 IP 地址 202.169.10.6 对外公布服务器地址,然后开启 NAT ALG 功能,因为对于封装在 IP 数据报文中的应用层协议报文,正常的 NAT 转换会导致错误,在开启某应用协议的 NAT ALG 功能后,该应用协议报文可以正常进行 NAT 转换,否则该应用协议不能正常工作。

在 R1 的 GE0/0/0 接口上,使用 nat server 命令定义内部服务器的映射表,指定服务器通信协议类型为 TCP,配置服务器使用的公网 IP 地址为 202.169.10.6.服务器内网地址为 172.16.1.3,指定端口号为 21,该常用端口号可以直接使用关键字“ftp”代替。

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]nat server protocol tcp global 202.169.10.6 ftp inside 172.16.1.3 ftp

[R1-GigabitEthernet0/0/0]q [R1]nat alg ftp enable

因篇幅问题不能全部显示,请点此查看更多更全内容

查看全文

Copyright © 2019- baoaiwan.cn 版权所有 赣ICP备2024042794号-3

违法及侵权请联系:TEL:199 18 7713 E-MAIL:2724546146@qq.com

本站由北京市万商天勤律师事务所王兴未律师提供法律服务