路由交换项目实战1.docx

路由交换项目实战1.docx

《路由交换项目实战1.docx》由会员分享，可在线阅读，更多相关《路由交换项目实战1.docx（36页珍藏版）》请在冰豆网上搜索。

路由交换项目实战1

路由交换项目实战

小型办公网络环境部署

一．实验目的

1．PC1、PC2不能互相访问；

2．在5750上搭建DHCP服务器，使得PC1、PC2能动态获取ip地址；

3．在firewall1600s上做NAT使得PC1可以通过外网（办公网）访问internet；

二．实验环境

二层交换机RG-2628G、三层交换机RG-5750G、防火墙FIREWALL1600S

三．实验拓扑

四．实验前技术点准备

1.VLAN：

一个vlan=一个广播域=一个逻辑子网，不同的vlan之间需要经过路由才能相互访问；

划分VLAN的好处：

提供网络管理的便捷性；增加网络安全性（不同的VLAN把病毒、攻击隔离开）；缩小广播域（把大的广播域划分为小的广播域）。

2.Trunk：

Trunk=串口连接=干道连接，在一条物理传输介质上能传递多个VLAN信息叫TRUNK技术，trunk链路有两种封装协议：

ISL和Dot1q，ISL是cisco私有，dot1q是公有标准厂商普遍支持。

3.SVI：

SVI是通过3层交换机在交换机上为了实现不同vlan间通信使用的一种技术，它是虚拟接口，不是物理存在的，可以配置ip地址，为每个vlan转发流量到其他vlan上。

在三层交换机上搭建Dhcp服务器步骤：

（1）首先开启dhcp服务并建立一个dhcp地址池，在全局模式下命令是：

ipdhcppoolpool-name;

（2）指定dhcp服务器网关：

default-routerip-address

（3）激活dhcp地址池的ip网段：

networkip-addressnetmask

（4）指定dns服务器地址：

dns-serverip-address

（5）不允许地址池里的某些特定地址分配给PC机，在全局模式下命令为：

ipdhcpexcluded-addressip-address

4.NAT

解决使用私有地址，如何来访问互联网，因为互联网上没有私有地址的路由，私有地址发送请求将被丢弃，而NAT能把私有地址翻译成公有的IP地址，NAT功能：

网络地址转换；解决网络地址重叠；实现TCP负载均衡（通过配置PAT技术）。

五．实验步骤

1.在2628上划分vlan，把f0/1-10划分到vlan10，f11/20划分到vlan20；

2.在5750上开启svi接口作为vlan10和vlan20的网关，然后搭建dhcp服务器为vlan10和vlan20分配ip；

3.在firewall上做NAT地址转换，使得内部主机pc1和pc2可以访问internet，NAT采用的是多对一转换；

六．实验配置

1.2628上的配置

（1）接口f0/1-10划分到vlan10，

interfacerangef0/1-10

switchportmodeaccess

switchportaccessvlan10

nosh

（2）f0/11-20划分到vlan20

interfacerangef0/1-10

switchportmodeaccess

switchportaccessvlan10

nosh

（3）f0/24接口与5750的g0/24相连，需要起trunk链路

interfacef0/24

switchportmodetrunk

switchporttrukencapsulationdot1q

nosh

2.5750上的配置

PC1和PC2属于不同vlan即属于不同子网，建立svi接口分别作为vlan10和vlan20的网关

（1）vlan10建立svi

interfacevlan10

ipaddress10.10.1.1255.255.255.0

nosh

（2）vlan20建立svi

interfacevlan10

ipaddress10.10.2.1255.255.255.0

nosh

（3）为vlan10所以成员建立dhcp服务器

ipdhcppoolvlan10_dhcp

default-router10.10.1.1

network10.10.1.0255.255.255.0

dns-server8.8.8.8

（4）为vlan20所有成员建立dhcp服务器

ipdhcppoolvlan20_dhcp

default-router10.10.2.1

network10.10.2.0255.255.255.0

dns-server8.8.8.8

（5）把网关地址在dhcp地址池里边剔除掉，在全局模式下命令如下：

ipdhcpexcluded-address10.10.1.1

ipdhcpexcluded-address10.10.2.1

（6）在g0/24上起trunk链路

interfaceg0/24

switchportmodetrunk

switchporttrunkencapsulationdot1q

nosh

（7）g0/23口与防火墙GE3口相连，开启三层口配置ip

interfaceg0/23

noswitchport

ipaddress10.10.3.1255.255.255.0

nosh

（8）添加访问控制列表并在svi接口调用使得PC1和PC2不能互通

access-list100denyip10.10.1.00.0.0.25510.10.2.00.0.0.255

access-list100permitipanyany

access-list101denyip10.10.2.00.0.0.25510.10.1.00.0.0.255

access-list101permitipanyany

interfacevlan10

ipaccess-group100in

interfacevlan20

ipaccess-group101in

3.1600s上的配置

给ge3配置ip：

给ge2配置ip

添加静态路由：

（1）出外网的静态路由

（2）进内网的静态路由

配置NAT地址池：

配置NAT安全规则：

七．实验测试

在pc2上输入ipconfig/all查看是否从dhcp获取到ip

用ping命令测试与PC2的连通性：

NAT通过wireshark抓包检测：

2010_8_13_ACL_扩展访问控制列表

拓扑图

实验配置详解

（一）错误的配置（返回数据也被deny掉了）

access-list101denyicmp192.168.2.00.0.0.25510.0.0.00.0.0.255echo

access-list101permittcp192.168.2.00.0.0.255host10.0.0.2eqwww

access-list101denyip192.168.2.00.0.0.255host10.0.0.3

access-list101permitipanyany

一开始配置的ACL入上述，结果出现:

市场部PC7-----（ping）-----àPC6不通【合题目要求】

PC6-----（ping）-----à市场部PC7不通【不合题目要求】

应该是能ping通的，通过使用PT包分析，发现ACL配置的问题：

access-list101denyip192.168.2.00.0.0.255host10.0.0.3

这条ACL，把从市场部PC7返回的ICMP包给deny掉了：

1.Thereceivingporthasaninboundtrafficaccess-listwithanIDof101.Therouterchecksthepacketagainsttheaccess-list.

2.Thepacketmatchesthecriteriaofthefollowingstatement:

denyip192.168.2.00.0.0.255host10.0.0.3.Thepacketisdeniedanddropped.

正确的解决方式是使用：

自反ACL

CiscoPacketTracer模拟器上没有自反ACL命令，正确的命令可以在真机上验证：

使用自反ACL的例子：

一个大楼局域网，核心是三层交换机，楼层为二层交换机，划分几个vlan等等，客户提出一个要求，就是给他们单位领导层单独划分一个vlanA，并且要求做到领导所在的vlanA能够访问其他各个部门的vlanB、C等等，而部门所在的vlanB、C则不能访问领导所在的vlanA。

这个属于一个单向访问的案例，今天在公司没事搭了个环境测试了一下，基本上已经解决问题，整理了一下，给各位DRL兄弟做个参考。

整个环境如图所示，因搭环境没有三层交换机（库存新机不敢用，嘿嘿），所以找了台路由器和交换机做了个接口来代替三层交换机。

整个配置其他均为常规配置，如划分vlan，设立网关地址等等。

这里不再详细描述，本文仅仅描述如何通过ACL方便而且简单的实现单向访问。

关键点：

单向访问用到的是ReflexiveACL的知识点以及reflect和uate命令的应用。

我们首先建立两组ReflexiveACL，一组in，一组out。

ipaccess-listextendedout_traffic

permiticmpanyanyreflecticmp_traffic

permitipanyanyreflectip_traffic

ipaccess-listextendedin_traffic

uateicmp_traffic

uateip_traffic

denyipanyanylog

请大家注意：

ReflexiveACL必须是extended字符ACL时才有效。

大家请看out的ACL配置，关键是在每个permit后面加上reflect参数，reflect后面的icmp…..为自定义字符。

大家再看in的ACL配置，关键在这里uate命令后面所跟的字符必须和out的reflect后面的字符相同。

作用是什么呢？

当被允许访问其他vlan的vlanA地址访问其他的vlanB地址时，首先通过out的ACL，到达vlanB的计算机，我们知道一个访问的真正建立还必须有返回的数据包，当从VlanB的计算机的返回数据包经过in的ACL进行匹配时，因为这个数据包是从A到B的返回数据包，in的ACL的uate字符匹配out的reflect字符，所以允许通过，其他的从B到A的数据包则一律deny。

从而实现了A能够访问B，B无法访问A。

这是ACL的具体写法，关键是写out，in只要匹配即可。

本文的out我写了两个基本的作为测试，详细的可以根据不同需求写的更加具体，大家根据具体案例具体分析。

最后一个关键点是应用到vlan接口上，请务必弄清楚in和out的关系

比如：

Interfacevlan1

Ipaddress192.168.1.254255.255.255.0

ipaccess-groupin_trafficin

ipaccess-groupout_trafficout

！

Interfacevlan2

Ipaddress192.168.2.254255.255.255.0

这个例子如果结合前面的ACL配置就是允许vlan2访问vlan1，而禁止vlan1访问vlan2。

不知道大家是否搞清楚了这个in和out的关系。

重要备注：

in和out的关系不仅仅和应用到哪个接口，如何应用有关系，还和ACL的写法有关系，比如ACL的通常写法有两种，一种是permit具体的条件，然后deny剩余的其他一切条件。

另外一种是deny具体的某些条件，然后permit剩余的其他一切条件。

（二）不使用自反ACL的配置（利用established）

要求实现的功能（只考虑www和icmp两种服务）：

允许市场部（192.168.2.0）访问WebServer80（10.0.0.2）端口

不允许市场部PING通WebServer网段

不允许市场部访问PC6

允许PC6访问市场部的Server0

没有提到的功能，默认都是deny。

在S2/0的入方向配置：

access-list101permittcpany10.0.0.00.0.0.255established

外网能回应内网所有主机的TCP连接（已经建立连接的可以连接），

【允许PC6访问市场部的Server0，允许Server0的返回流量通过S2/0】

access-list101permittcp192.168.2.00.0.0.255host10.0.0.2eqwww

【允许市场部（192.168.2.0）访问WebServer80（10.0.0.2）端口】

access-list101permiticmpanyany

【允许内网10.0.0.0ping外网任何机器，允许任何外网ping内网任何机器】

access-group101in在入方向配置。

在S2/0的出方向配置：

access-list102denyicmpany192.168.2.00.0.0.255echo-reply

阻止内网10.0.0.0做出对192.168.2.0网段的ping的回应——等同于只让192.168.2.0网段无法ping通

【不允许市场部PING通WebServer网段】

access-list102permitipanyany

ipaccess-group101out在出方向配置。

PacketTracer5.3GREofIPsec备份专线实验

!

cryptoisakmppolicy1//IPsec协商加密配置

hashmd5

authenticationpre-share//选择口令认证

group2

!

cryptoisakmpkeyciscoaddress202.1.2.2//配置口令cisco，以及对端地址

!

cryptoipsectransform-settestesp-desesp-md5-hmac//配置数据加密test

!

access-list100permitgrehost202.1.1.2host202.1.2.2

!

cryptomaphjfmap1ipsec-isakmp//条用policy1

setpeer202.1.2.2//对端IP

settransform-settest//调用数据加密方式

matchaddress100

!

interfaceTunnel0

ipaddress1.1.1.1255.255.255.0

tunnelsourceFastEthernet0/0//由于模拟器原因，只能配端口，真机可以配IP

tunneldestination202.1.2.2

!

interfaceFastEthernet0/0

ipaddress202.1.1.2255.255.255.0

cryptomaphjfmap//应用到接口

!

interfaceFastEthernet0/1

ipaddress192.168.1.1255.255.255.0

!

interfaceSerial0/0/0

ipaddress10.1.1.1255.255.255.0

clockrate19200

!

iproute0.0.0.00.0.0.0202.1.1.1//默认上网还是从Internet出去

iproute172.16.1.0255.255.255.010.1.1.2

iproute172.16.1.0255.255.255.01.1.1.210//浮动路由，配置管理距离实现

!

IPV6隧道配置

1.IPV6基本配置

注：

PC1,PC2均为XP双协议栈系统，但环境中只是用IPV6地址

UTM1,UTM2均为linux双协议栈系统，，多张网卡，此环境中只是用IPV6地址

PC1的配置如下：

（Xp下使用netsh工具配置）

netshinterfaceipv6>addaddress52011:

2:

:

2

netshinterfaceipv6>addroute:

:

/052011:

2:

:

1

PC2的配置如下：

netshinterfaceipv6>addaddress52011:

3:

:

2

netshinterfaceipv6>addroute:

:

/052011:

3:

:

1

UTM1的配置如下：

[UTM-DX]$ifconfigeth12011:

2:

:

1/64up

[UTM-DX]$ifconfigeth02011:

1:

:

1/96up

[UTM-DX]$route-Ainet6adddefaultgw2011:

1:

:

2

[UTM-DX]$echo"1">/proc/sys/net/ipv6/conf/all/forwarding

特别注意最后一个命令，开启IPV6转发功能。

UTM2的配置如下：

[UTM-DX]$ifconfigeth12011:

3:

:

1/64up

[UTM-DX]$ifconfigeth02011:

1:

:

2/96up

[UTM-DX]$route-Ainet6adddefaultgw2011:

1:

:

1

[UTM-DX]$echo"1">/proc/sys/net/ipv6/conf/all/forwarding

PC1pingPC2结果如下：

C:

\DocumentsandSettings\Aben.Zong>ping2011:

3:

:

2

Pinging2011:

3:

:

2with32bytesofdata:

Replyfrom2011:

3:

:

2:

time=6ms

Replyfrom2011:

3:

:

2:

time=1ms

Replyfrom2011:

3:

:

2:

time<1ms

Replyfrom2011:

3:

:

2:

time=1ms

Pingstatisticsfor2011:

3:

:

2:

Packets:

Sent=4,Received=4,Lost=0（0%loss）,

Approximateroundtriptimesinmilli-seconds:

Minimum=0ms,Maximum=6ms,Average=2ms

2.IPV6隧道配置

现在修改上面的网络环境,使IPV6的业务网络经过IPV4的网络访问IPV6的业务网络，情况如下图：

PC1,PC2的配置和上述配置一致；

UTM1的配置如下：

[UTM-DX]$ifconfigeth0192.168.1.2up

[UTM-DX]$routeadddefaultgw192.168.1.1

UTM2的配置如下：

[UTM-DX]$ifconfigeth0192.168.2.2up

[UTM-DX]$routeadddefaultgw192.168.2.1

此时，网络状况为PC1与UTM1互通/PC2与UTM2互通/UTM1与UTM2互通，但PC1与PC2不通。

UTM1的隧道配置如下：

[UTM-DX]$iptunneladdsit1modesitttl64local192.168.1.2remote192.168.2.2

[UTM-DX]$ifconfigsit1up

[UTM-DX]$route-Ainet6add:

:

/0devsit1

[UTM-DX]$echo"1">/proc/sys/net/ipv6/conf/all/forwarding

特别注意最后一个命令，开启IPV6转发功能，不开起的情况下隧道不通。

UTM2的隧道配置如下：

[UTM-DX]$iptunneladdsit1modesitttl64local192.168.2.2remote192.168.1.2

[UTM-DX]$ifconfigsit1up

[UTM-DX]$route-Ainet6add:

:

/0devsit1

[UTM-DX]$echo"1">/proc/sys/net/ipv6/conf/all/forwarding

特别注意最后一个命令，开启IPV6转发功能

PC1pingPC2的结果如下：

C:

\DocumentsandSettings\Aben.Zong>ping2011:

3:

:

2

Pinging2011:

3:

:

2with32bytesofdata:

Replyfrom2011:

3:

:

2:

time=1ms

Replyfrom2011:

3:

:

2:

time=1ms

Replyfrom2011:

3:

:

2:

time=1ms

Replyfrom2011:

3:

:

2:

time=1ms

Pingstatisticsfor2011:

3:

:

2:

Packets:

Sent=4,Received=4,Lost=0（0%loss）,

Approximateroundtriptimesinmilli-seconds:

Minimum=1ms,Maximum=1ms,Average=1ms

如果不通，注意查看ip6tables的规则信息。

本文出自“国产0与1”博客，请务必保留此出处

IPv6-over-IPv4GRE隧道

下面给出路由器R2和R3上的配置：

R2#shrun

ipv6unicast-routing

!

interfaceTunnel0

noipaddress

ipv6address2006:

CCCC:

:

1/64

ipv6ripxuhuienable

tunnelsourceSerial1/2

tunneldestination202.100.2.2

!

interfaceEthernet0/0

noipaddress

full-duplex