使用eNSP模拟HCIA综合实验
Telnet Trunk VLAN DHCP STP OSPF PPP 缺省路由 NAT ACL
与
路由器 交换机 服务器的综合配置
实验配套拓扑:HCIA Comprehensive Experiment.topo
目录
- 使用eNSP模拟HCIA综合实验
- 拓扑预览
- 一、配置内网区域(黄色)
-
- 1.配置接入层交换机SW2与SW3
- 2.配置汇聚层交换机SW1
- 测试
- 3.配置STP 使SW1成为根桥
- 4.创建Vlan12 配置SW1 R1 与 PC
-
- 配置SW1
- 配置R1
- 测试
- 二、配置外网区域(蓝色)
-
- 1.配置R1 R2
- 2.配置R3 R4
- 测试
- 三、配置内网与外网互连互通
-
- 1.配置PPP认证
- 2.配置R1缺省路由
- 3.配置NAT
- 4.配置服务器
- 测试PC是否能连通外网服务器
- 5.配置DNS服务器
- 测试
- 6.配置ACL
- 测试
- 配置完成 复盘拓扑
拓扑预览
实验要求:
内网区域(黄色)
外网区域(蓝色)
一、配置内网区域(黄色)
1.配置接入层交换机SW2与SW3
与交换机相连的配置trunk模式
与主机相连的配置access模式
在SW2中键入命令:
sys
sys SW2
vlan batch 10 20 30 40 int eth0/0/2
port link-type access
port default vlan 10
int eth0/0/3
port link-type access
port default vlan 20int eth0/0/4
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
int eth0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
在SW3中键入命令:
sys
sys SW3
vlan batch 10 20 30 40 int eth0/0/2
port link-type access
port default vlan 30
int eth0/0/3
port link-type access
port default vlan 40int eth0/0/4
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
int eth0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
配置VLAN
配置交换机模式
2.配置汇聚层交换机SW1
在SW1中键入命令:
sys
sys SW1
dhcp enable
vlan batch 10 20 30 40 int g0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30 40
int g0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20 30 40int vlanif10
ip add 192.168.10.254 24
dhcp select interface
int vlanif20
ip add 192.168.20.254 24
dhcp select interface
int vlanif30
ip add 192.168.30.254 24
dhcp select interface
int vlanif40
ip add 192.168.40.254 24
dhcp select interface
并开启DHCP服务
配置VLAN
测试
配置完成后 保证四台PC能够互通 进行测试
在SW1中键入命令:
dis ip int brief
将四台PC全部修改为DHCP自动获取IP地址
并主机命令行中键入命令:
ipconfig
或通过ping命令测试
成功互连!进入下一步
3.配置STP 使SW1成为根桥
首先在SW1 SW2 SW3中键入命令:
dis stp brief
查看当前端口状态
由此可知SW2为根桥
题目要求使SW1成为根桥 修改SW1的BID即可
BID = B 优先级 + B MAC
修改BID即修改桥优先级 因为MAC地址是固定的
在SW1中键入命令:
sys
sys SW1
stp priority 0
或
sys
sys SW1
stp root primary
在SW1中键入命令:
dis stp brief
查看当前端口状态
SW1成功被选举为根桥
4.创建Vlan12 配置SW1 R1 与 PC
配置192.168.12.0/24网段
配置SW1
在SW1中键入命令:
vlan 12
int g0/0/1
port link-type access
port default vlan 12int vlanif 12
ip add 192.168.12.2 24
ospf 1 router-id 2.2.2.2
area 0
net 192.168.12.1 0.0.0.255net 192.168.10.254 0.0.0.255
net 192.168.20.254 0.0.0.255
net 192.168.30.254 0.0.0.255
net 192.168.40.254 0.0.0.255
配置R1
在R1中键入命令:
sys
sys R1
int g0/0/0
ip add 192.168.12.1 24
此时PC和R1还未连通
配置OSPF 并宣告路由
在R1中键入命令:
ospf 1 router-id 1.1.1.1
area 0
net 192.168.12.2 0.0.0.255
测试
在R1中键入命令:
ping 192.168.10.253
黄色区域成功连通
二、配置外网区域(蓝色)
1.配置R1 R2
在未启动状态下 分别给R1 R2配置串口
连接Serial线
启动设备
配置12.0.0.0/24网段
在R1中键入命令:
sys
sys R1
int s4/0/0
ip add 12.0.0.1 24
在R2中键入命令:
sys
sys R2
int s4/0/0
ip add 12.0.0.2 24
int g0/0/1
ip add 23.0.0.2 24
int g0/0/2
ip add 24.0.0.2 24ospf 1 router-id 2.2.2.2
area 0
net 12.0.0.2 0.0.0.255
net 23.0.0.2 0.0.0.255
net 24.0.0.2 0.0.0.255
2.配置R3 R4
配置23.0.0.0/24 24.0.0.0/24 34.0.0.0/24网段
在R3中键入命令:
sys
sys R3int g0/0/0
ip add 23.0.0.3 24
int g0/0/1
ip add 3.0.0.3 24
int g0/0/2
ip add 34.0.0.3 24ospf 1 router-id 3.3.3.3
area 0
net 3.0.0.3 0.0.0.255
net 23.0.0.3 0.0.0.255
net 34.0.0.3 0.0.0.255
在R4中键入命令:
sys
sys R4int g0/0/0
ip add 24.0.0.4 24
int g0/0/1
ip add 4.0.0.4 24
int g0/0/2
ip add 34.0.0.4 24ospf 1 router-id 4.4.4.4
area 0
net 4.0.0.4 0.0.0.255
net 24.0.0.4 0.0.0.255
net 34.0.0.4 0.0.0.255
测试
验证邻居
在R2中键入命令:
dis ospf peer brief
State全为Full表明 建立邻居成功
验证链路是否连通
在R2中键入命令:
dis ip routing-table protocol ospf
三、配置内网与外网互连互通
1.配置PPP认证
认证方为ISP R2 开启认证
非认证方为内网出口路由器 R1 匹配认证
在R2中键入命令:
int s4/0/0
ppp authentication-mode chap
q
aaa
local-user admin password cipher admin
local-user admin service ppp
在R1中键入命令:
int s4/0/0
ppp chap user admin
ppp chap password cipher admin
验证认证是否通过
在R1中键入命令:
int s4/0/0
dis ip int brief
s4/0/0的Physical和Protocol都处于up状态
认证通过
2.配置R1缺省路由
在R1中键入命令:
ip route-static 0.0.0.0 0 12.0.0.2ospf 1
default-route-advertise
建立缺省理由 并通过OSPF发布
查看SW1是否学习到R1的路由
只有一条缺省路由即正确
此时PC1的包可以传递到外网服务器
但是无法传递回来 需要配置NAT
3.配置NAT
在R1中键入命令:
acl 2000
rule 1 permitint s4/0/0
nat outbound 2000
4.配置服务器
测试PC是否能连通外网服务器
在PC1命令行中键入命令:
ping 4.0.0.1
成功连通!
tracert验证经过的路由
在PC1命令行中键入命令:
tracert 4.0.0.1
5.配置DNS服务器
按如图所示增加条目并点击启动
在SW1中键入命令:
sys
sys SW1
int vlanif10
dhcp server dns 3.0.0.1
int vlanif20
dhcp server dns 3.0.0.1
int vlanif30
dhcp server dns 3.0.0.1
int vlanif40
dhcp server dns 3.0.0.1
匹配DNS服务器
测试
测试主机能否ping通域名
在PC中键入命令:
ipconfig /release
ipconfig /renew
重新获取IP地址
才会显示DNS信息
再来测试能否ping通域名
成功!
6.配置ACL
新建Client1
启动设备
在SW2中键入命令:
sys
sys SW2
int eth0/0/5
port link-type access
port default vlan 20
为Client1创建Vlan20
配置Client1
在Client上测试是否可以ping通服务器
成功发送!
启动HTTP服务
在Clinet1客户端信息中输入域名:
www.adminhttp.com
点击获取
成功传送文件!
启动FTP服务
在Client1配置FTP 点击登录
一切服务正常
测试
下面开始利用ACL 拒绝VLAN20的Client与PC通过浏览器访问HTTP服务器 其他流量不受影响
在R1中键入命令:
acl 3000
rule 1 deny tcp source 192.168.20.0 0.0.0.255 destination-port eq 80
q
int g0/0/0
traffic-filter inbound acl 3000
在R1入方向调用ACL
再测试是否只限制了HTTP服务
Client1 ping测试正常
Client1 FTP正常
此时再利用Client1访问服务器HTTP服务
限制成功!
那是否可以在R1出方向上调用ACL呢?
答案是不能的
因为R1配置了NAT 源地址已经不是ACL规则中的源地址
所以没有效果
配置完成 复盘拓扑
初始拓扑
最终拓扑