路由交换项目实战1.docx
《路由交换项目实战1.docx》由会员分享,可在线阅读,更多相关《路由交换项目实战1.docx(36页珍藏版)》请在冰豆网上搜索。
![路由交换项目实战1.docx](https://file1.bdocx.com/fileroot1/2023-5/21/5b57e57f-1eb9-432d-8d4c-1ce29ecafb79/5b57e57f-1eb9-432d-8d4c-1ce29ecafb791.gif)
路由交换项目实战1
路由交换项目实战
小型办公网络环境部署
一.实验目的
1.PC1、PC2不能互相访问;
2.在5750上搭建DHCP服务器,使得PC1、PC2能动态获取ip地址;
3.在firewall1600s上做NAT使得PC1可以通过外网(办公网)访问internet;
二.实验环境
二层交换机RG-2628G、三层交换机RG-5750G、防火墙FIREWALL1600S
三.实验拓扑
四.实验前技术点准备
1.VLAN:
一个vlan=一个广播域=一个逻辑子网,不同的vlan之间需要经过路由才能相互访问;
划分VLAN的好处:
提供网络管理的便捷性;增加网络安全性(不同的VLAN把病毒、攻击隔离开);缩小广播域(把大的广播域划分为小的广播域)。
2.Trunk:
Trunk=串口连接=干道连接,在一条物理传输介质上能传递多个VLAN信息叫TRUNK技术,trunk链路有两种封装协议:
ISL和Dot1q,ISL是cisco私有,dot1q是公有标准厂商普遍支持。
3.SVI:
SVI是通过3层交换机在交换机上为了实现不同vlan间通信使用的一种技术,它是虚拟接口,不是物理存在的,可以配置ip地址,为每个vlan转发流量到其他vlan上。
在三层交换机上搭建Dhcp服务器步骤:
(1)首先开启dhcp服务并建立一个dhcp地址池,在全局模式下命令是:
ipdhcppoolpool-name;
(2)指定dhcp服务器网关:
default-routerip-address
(3)激活dhcp地址池的ip网段:
networkip-addressnetmask
(4)指定dns服务器地址:
dns-serverip-address
(5)不允许地址池里的某些特定地址分配给PC机,在全局模式下命令为:
ipdhcpexcluded-addressip-address
4.NAT
解决使用私有地址,如何来访问互联网,因为互联网上没有私有地址的路由,私有地址发送请求将被丢弃,而NAT能把私有地址翻译成公有的IP地址,NAT功能:
网络地址转换;解决网络地址重叠;实现TCP负载均衡(通过配置PAT技术)。
五.实验步骤
1.在2628上划分vlan,把f0/1-10划分到vlan10,f11/20划分到vlan20;
2.在5750上开启svi接口作为vlan10和vlan20的网关,然后搭建dhcp服务器为vlan10和vlan20分配ip;
3.在firewall上做NAT地址转换,使得内部主机pc1和pc2可以访问internet,NAT采用的是多对一转换;
六.实验配置
1.2628上的配置
(1)接口f0/1-10划分到vlan10,
interfacerangef0/1-10
switchportmodeaccess
switchportaccessvlan10
nosh
(2)f0/11-20划分到vlan20
interfacerangef0/1-10
switchportmodeaccess
switchportaccessvlan10
nosh
(3)f0/24接口与5750的g0/24相连,需要起trunk链路
interfacef0/24
switchportmodetrunk
switchporttrukencapsulationdot1q
nosh
2.5750上的配置
PC1和PC2属于不同vlan即属于不同子网,建立svi接口分别作为vlan10和vlan20的网关
(1)vlan10建立svi
interfacevlan10
ipaddress10.10.1.1255.255.255.0
nosh
(2)vlan20建立svi
interfacevlan10
ipaddress10.10.2.1255.255.255.0
nosh
(3)为vlan10所以成员建立dhcp服务器
ipdhcppoolvlan10_dhcp
default-router10.10.1.1
network10.10.1.0255.255.255.0
dns-server8.8.8.8
(4)为vlan20所有成员建立dhcp服务器
ipdhcppoolvlan20_dhcp
default-router10.10.2.1
network10.10.2.0255.255.255.0
dns-server8.8.8.8
(5)把网关地址在dhcp地址池里边剔除掉,在全局模式下命令如下:
ipdhcpexcluded-address10.10.1.1
ipdhcpexcluded-address10.10.2.1
(6)在g0/24上起trunk链路
interfaceg0/24
switchportmodetrunk
switchporttrunkencapsulationdot1q
nosh
(7)g0/23口与防火墙GE3口相连,开启三层口配置ip
interfaceg0/23
noswitchport
ipaddress10.10.3.1255.255.255.0
nosh
(8)添加访问控制列表并在svi接口调用使得PC1和PC2不能互通
access-list100denyip10.10.1.00.0.0.25510.10.2.00.0.0.255
access-list100permitipanyany
access-list101denyip10.10.2.00.0.0.25510.10.1.00.0.0.255
access-list101permitipanyany
interfacevlan10
ipaccess-group100in
interfacevlan20
ipaccess-group101in
3.1600s上的配置
给ge3配置ip:
给ge2配置ip
添加静态路由:
(1)出外网的静态路由
(2)进内网的静态路由
配置NAT地址池:
配置NAT安全规则:
七.实验测试
在pc2上输入ipconfig/all查看是否从dhcp获取到ip
用ping命令测试与PC2的连通性:
NAT通过wireshark抓包检测:
2010_8_13_ACL_扩展访问控制列表
拓扑图
实验配置详解
(一)错误的配置(返回数据也被deny掉了)
access-list101denyicmp192.168.2.00.0.0.25510.0.0.00.0.0.255echo
access-list101permittcp192.168.2.00.0.0.255host10.0.0.2eqwww
access-list101denyip192.168.2.00.0.0.255host10.0.0.3
access-list101permitipanyany
一开始配置的ACL入上述,结果出现:
市场部PC7-----(ping)-----àPC6不通【合题目要求】
PC6-----(ping)-----à市场部PC7不通【不合题目要求】
应该是能ping通的,通过使用PT包分析,发现ACL配置的问题:
access-list101denyip192.168.2.00.0.0.255host10.0.0.3
这条ACL,把从市场部PC7返回的ICMP包给deny掉了:
1.Thereceivingporthasaninboundtrafficaccess-listwithanIDof101.Therouterchecksthepacketagainsttheaccess-list.
2.Thepacketmatchesthecriteriaofthefollowingstatement:
denyip192.168.2.00.0.0.255host10.0.0.3.Thepacketisdeniedanddropped.
正确的解决方式是使用:
自反ACL
CiscoPacketTracer模拟器上没有自反ACL命令,正确的命令可以在真机上验证:
使用自反ACL的例子:
一个大楼局域网,核心是三层交换机,楼层为二层交换机,划分几个vlan等等,客户提出一个要求,就是给他们单位领导层单独划分一个vlanA,并且要求做到领导所在的vlanA能够访问其他各个部门的vlanB、C等等,而部门所在的vlanB、C则不能访问领导所在的vlanA。
这个属于一个单向访问的案例,今天在公司没事搭了个环境测试了一下,基本上已经解决问题,整理了一下,给各位DRL兄弟做个参考。
整个环境如图所示,因搭环境没有三层交换机(库存新机不敢用,嘿嘿),所以找了台路由器和交换机做了个接口来代替三层交换机。
整个配置其他均为常规配置,如划分vlan,设立网关地址等等。
这里不再详细描述,本文仅仅描述如何通过ACL方便而且简单的实现单向访问。
关键点:
单向访问用到的是ReflexiveACL的知识点以及reflect和uate命令的应用。
我们首先建立两组ReflexiveACL,一组in,一组out。
ipaccess-listextendedout_traffic
permiticmpanyanyreflecticmp_traffic
permitipanyanyreflectip_traffic
ipaccess-listextendedin_traffic
uateicmp_traffic
uateip_traffic
denyipanyanylog
请大家注意:
ReflexiveACL必须是extended字符ACL时才有效。
大家请看out的ACL配置,关键是在每个permit后面加上reflect参数,reflect后面的icmp…..为自定义字符。
大家再看in的ACL配置,关键在这里uate命令后面所跟的字符必须和out的reflect后面的字符相同。
作用是什么呢?
当被允许访问其他vlan的vlanA地址访问其他的vlanB地址时,首先通过out的ACL,到达vlanB的计算机,我们知道一个访问的真正建立还必须有返回的数据包,当从VlanB的计算机的返回数据包经过in的ACL进行匹配时,因为这个数据包是从A到B的返回数据包,in的ACL的uate字符匹配out的reflect字符,所以允许通过,其他的从B到A的数据包则一律deny。
从而实现了A能够访问B,B无法访问A。
这是ACL的具体写法,关键是写out,in只要匹配即可。
本文的out我写了两个基本的作为测试,详细的可以根据不同需求写的更加具体,大家根据具体案例具体分析。
最后一个关键点是应用到vlan接口上,请务必弄清楚in和out的关系
比如:
Interfacevlan1
Ipaddress192.168.1.254255.255.255.0
ipaccess-groupin_trafficin
ipaccess-groupout_trafficout
!
Interfacevlan2
Ipaddress192.168.2.254255.255.255.0
这个例子如果结合前面的ACL配置就是允许vlan2访问vlan1,而禁止vlan1访问vlan2。
不知道大家是否搞清楚了这个in和out的关系。
重要备注:
in和out的关系不仅仅和应用到哪个接口,如何应用有关系,还和ACL的写法有关系,比如ACL的通常写法有两种,一种是permit具体的条件,然后deny剩余的其他一切条件。
另外一种是deny具体的某些条件,然后permit剩余的其他一切条件。
(二)不使用自反ACL的配置(利用established)
要求实现的功能(只考虑www和icmp两种服务):
允许市场部(192.168.2.0)访问WebServer80(10.0.0.2)端口
不允许市场部PING通WebServer网段
不允许市场部访问PC6
允许PC6访问市场部的Server0
没有提到的功能,默认都是deny。
在S2/0的入方向配置:
access-list101permittcpany10.0.0.00.0.0.255established
外网能回应内网所有主机的TCP连接(已经建立连接的可以连接),
【允许PC6访问市场部的Server0,允许Server0的返回流量通过S2/0】
access-list101permittcp192.168.2.00.0.0.255host10.0.0.2eqwww
【允许市场部(192.168.2.0)访问WebServer80(10.0.0.2)端口】
access-list101permiticmpanyany
【允许内网10.0.0.0ping外网任何机器,允许任何外网ping内网任何机器】
access-group101in在入方向配置。
在S2/0的出方向配置:
access-list102denyicmpany192.168.2.00.0.0.255echo-reply
阻止内网10.0.0.0做出对192.168.2.0网段的ping的回应——等同于只让192.168.2.0网段无法ping通
【不允许市场部PING通WebServer网段】
access-list102permitipanyany
ipaccess-group101out在出方向配置。
PacketTracer5.3GREofIPsec备份专线实验
!
cryptoisakmppolicy1//IPsec协商加密配置
hashmd5
authenticationpre-share//选择口令认证
group2
!
cryptoisakmpkeyciscoaddress202.1.2.2//配置口令cisco,以及对端地址
!
cryptoipsectransform-settestesp-desesp-md5-hmac//配置数据加密test
!
access-list100permitgrehost202.1.1.2host202.1.2.2
!
cryptomaphjfmap1ipsec-isakmp//条用policy1
setpeer202.1.2.2//对端IP
settransform-settest//调用数据加密方式
matchaddress100
!
interfaceTunnel0
ipaddress1.1.1.1255.255.255.0
tunnelsourceFastEthernet0/0//由于模拟器原因,只能配端口,真机可以配IP
tunneldestination202.1.2.2
!
interfaceFastEthernet0/0
ipaddress202.1.1.2255.255.255.0
cryptomaphjfmap//应用到接口
!
interfaceFastEthernet0/1
ipaddress192.168.1.1255.255.255.0
!
interfaceSerial0/0/0
ipaddress10.1.1.1255.255.255.0
clockrate19200
!
iproute0.0.0.00.0.0.0202.1.1.1//默认上网还是从Internet出去
iproute172.16.1.0255.255.255.010.1.1.2
iproute172.16.1.0255.255.255.01.1.1.210//浮动路由,配置管理距离实现
!
IPV6隧道配置
1.IPV6基本配置
注:
PC1,PC2均为XP双协议栈系统,但环境中只是用IPV6地址
UTM1,UTM2均为linux双协议栈系统,,多张网卡,此环境中只是用IPV6地址
PC1的配置如下:
(Xp下使用netsh工具配置)
netshinterfaceipv6>addaddress52011:
2:
:
2
netshinterfaceipv6>addroute:
:
/052011:
2:
:
1
PC2的配置如下:
netshinterfaceipv6>addaddress52011:
3:
:
2
netshinterfaceipv6>addroute:
:
/052011:
3:
:
1
UTM1的配置如下:
[UTM-DX]$ifconfigeth12011:
2:
:
1/64up
[UTM-DX]$ifconfigeth02011:
1:
:
1/96up
[UTM-DX]$route-Ainet6adddefaultgw2011:
1:
:
2
[UTM-DX]$echo"1">/proc/sys/net/ipv6/conf/all/forwarding
特别注意最后一个命令,开启IPV6转发功能。
UTM2的配置如下:
[UTM-DX]$ifconfigeth12011:
3:
:
1/64up
[UTM-DX]$ifconfigeth02011:
1:
:
2/96up
[UTM-DX]$route-Ainet6adddefaultgw2011:
1:
:
1
[UTM-DX]$echo"1">/proc/sys/net/ipv6/conf/all/forwarding
PC1pingPC2结果如下:
C:
\DocumentsandSettings\Aben.Zong>ping2011:
3:
:
2
Pinging2011:
3:
:
2with32bytesofdata:
Replyfrom2011:
3:
:
2:
time=6ms
Replyfrom2011:
3:
:
2:
time=1ms
Replyfrom2011:
3:
:
2:
time<1ms
Replyfrom2011:
3:
:
2:
time=1ms
Pingstatisticsfor2011:
3:
:
2:
Packets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=0ms,Maximum=6ms,Average=2ms
2.IPV6隧道配置
现在修改上面的网络环境,使IPV6的业务网络经过IPV4的网络访问IPV6的业务网络,情况如下图:
PC1,PC2的配置和上述配置一致;
UTM1的配置如下:
[UTM-DX]$ifconfigeth0192.168.1.2up
[UTM-DX]$routeadddefaultgw192.168.1.1
UTM2的配置如下:
[UTM-DX]$ifconfigeth0192.168.2.2up
[UTM-DX]$routeadddefaultgw192.168.2.1
此时,网络状况为PC1与UTM1互通/PC2与UTM2互通/UTM1与UTM2互通,但PC1与PC2不通。
UTM1的隧道配置如下:
[UTM-DX]$iptunneladdsit1modesitttl64local192.168.1.2remote192.168.2.2
[UTM-DX]$ifconfigsit1up
[UTM-DX]$route-Ainet6add:
:
/0devsit1
[UTM-DX]$echo"1">/proc/sys/net/ipv6/conf/all/forwarding
特别注意最后一个命令,开启IPV6转发功能,不开起的情况下隧道不通。
UTM2的隧道配置如下:
[UTM-DX]$iptunneladdsit1modesitttl64local192.168.2.2remote192.168.1.2
[UTM-DX]$ifconfigsit1up
[UTM-DX]$route-Ainet6add:
:
/0devsit1
[UTM-DX]$echo"1">/proc/sys/net/ipv6/conf/all/forwarding
特别注意最后一个命令,开启IPV6转发功能
PC1pingPC2的结果如下:
C:
\DocumentsandSettings\Aben.Zong>ping2011:
3:
:
2
Pinging2011:
3:
:
2with32bytesofdata:
Replyfrom2011:
3:
:
2:
time=1ms
Replyfrom2011:
3:
:
2:
time=1ms
Replyfrom2011:
3:
:
2:
time=1ms
Replyfrom2011:
3:
:
2:
time=1ms
Pingstatisticsfor2011:
3:
:
2:
Packets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=1ms,Maximum=1ms,Average=1ms
如果不通,注意查看ip6tables的规则信息。
本文出自“国产0与1”博客,请务必保留此出处
IPv6-over-IPv4GRE隧道
下面给出路由器R2和R3上的配置:
R2#shrun
ipv6unicast-routing
!
interfaceTunnel0
noipaddress
ipv6address2006:
CCCC:
:
1/64
ipv6ripxuhuienable
tunnelsourceSerial1/2
tunneldestination202.100.2.2
!
interfaceEthernet0/0
noipaddress
full-duplex