如图,本次实验的拓扑主要分为了蓝色区域的私网和右边区域的公网,我们将私网划分为了两个区域,以便ospf汇总路由。
首先我们要根据192.168.1.0/24来划分私网的网段
一个拓扑的实施前一定要规划好ip地址,这是最重要也是最难的一步。
在这个拓扑内我们主要有4个环回区域和骨干链路,且骨干链路都是两个节点的类型,因此我们借到27位一共就有8个大网段,然后我们再根据每个大的网段继续划分 多余的网段可以不使用,以备后续网段的添加:
1.首先是192.168.1.0/27的骨干网段,因为都是为两个节点的类型,我们可以直接每一个骨干网络段全部借位到/30
2.然后是每个环回网络段,此实验我们主要每个环回有两个网络段,因此都只需要借位到28就可以
至此网络划分基本完毕,我们开始分配各自的ip
其中我们ar3下的两个pc是由dhcp自动获取地址的
主要是分为三步:
1:在路由器开启dhcp功能
2:每一个网络段创建一个ip池塘
3:在对应的接口上开启dhcp。
注意点:我们在创建ip池塘前一定要开启路由器的dhcp功能,不然会池塘创建不生效,并且开启后还要在对应的接口上开启。
主要的实例代码为:
Huawei]dhcp enable 必须先开启DHCP服务器
一台设备上,可以创建多个池塘,但一个池塘只能服务一个广播域
[Huawei]ip pool wangcai 创建名为wangcai的dhcp池塘
[Huawei-ip-pool-wangcai]network 192.168.1.0 mask 24 池塘范围+关联接口
[Huawei-ip-pool-wangcai]gateway-list 192.168.1.1 该网段的网关地址
[Huawei-ip-pool-wangcai]dns-list 192.168.2.2 DNS服务器地址
切记:还要在对应分配的接口上,再次开始服务
[Huawei]interface g0/0/0
[Huawei-GigabitEthernet0/0/0]dhcp select global 配置好ip之后,我们需要在每一个路由器上开启ospf服务:
注意的点:
1.在开启ospf服务的时候建议自己手动设计router ID否则后面查看邻居表的时候不知道邻居是谁。
2.在宣告网络号的时候 跟的是反掩码,这里要和ospf的区域界限路由器的网络汇总的掩码要区分一下,网络汇总summa跟的是掩码
3.常见的反掩码有(记忆方法就是从第一个二位开始 2的n-1次方减一):
26 ---0.0.0.63
27----0.0.0.31
28-----0.0.0.15
29---0.0.0.7
30---0.0.0.3
基本的配置命令为:
[r1]ospf 1 router-id 1.1.1.1 启动时,可以定义进程号,仅具有本地意义,默认为1;
同时可以定义RID;
[r1-ospf-1]
宣告:1、激活-该接口可以收发ospf信息 2、被宣告接口的信息可以共享给其他设备
3、区域划分
[r1-ospf-1]area 0
[r1-ospf-1-area-0.0.0.0]network 1.1.1.0 0.0.0.255
[r1-ospf-1-area-0.0.0.0]network 12.1.1.1 0.0.0.0然后我们在私网的边界路由器上做缺省路由:
[r3]ospf 1
[r3-ospf-1]default-route-advertise always 至此已经全网可达了,那我们还可以在此做优化:
1.在区域界限路由器做子网的汇总,减少路由条目
2.在如r3上路由器对其下的端口做沉默接口
3.在每个路由器之间可以做手工认证,加强安全性。
然后我们做公网的部分:
我们在边界路由器上做一对多的nat 也就是easy nat
具体操作命令类似为:
[r2]acl 2000 先使用标准ACL,将可以被转换的私有ip地址的范围定义为感兴趣流量
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[r2-acl-basic-2000]q
[r2]interface g0/0/2 再在边界路由器,连接外部网络的接口上配置nat,调用该acl
[r2-GigabitEthernet0/0/2]nat outbound 2000 将acl表格2000中提到的私有地址,向外部通讯时,修改其源ip地址,为本地接口(g0/0/2)的ip地址
此方案最大的优势在于,g0/0/2的公有ip地址,可以变化,特别适用于没有固定公有ip地址的场所(家庭宽带、小型企业宽带)
我们在此也可以复习一下acl的知识:
一对多和多对多的nat都是使用的标准的acl:也就是对应acl表是2000---2999的,它常用于为其他的协议做感兴趣的路由,在nat中就是我们将感兴趣的路由,也就是我们所有的私网的网络号全部选中然后交给nat协议,使我们所有的私有的ip去访问公网的时候都能够被路由器检查到,并进行地址转换。
此外我们还有拓展的acl:比标准的acl更加具体,表明了源目ip,以及可以限制一个ip到另一个ip的具体的协议和端口的访问。在我们书写此类acl访问控制列表的时候,我们通常写不允许的限制,然后在最后直接同意所有,或者我们写允许的限制,然后再最后直接拒绝所有。
注意:1.acl在标记感兴趣路由的时候也是用的反掩码。
2.我们要注意做nat的物理接口方向,通常是在边界路由器的出接口做nat,并且我们在书写命令时也会 表明 :nat outbound 200
我们做好nat后,一定要在边界路由器上书写一条指向公网的静态缺省,这样才可以实现私网向公网的访问。
至此我们全网可达(包括私网和公网)
然后我们在r1上开启telnet服务,具体的代码:
[r1]aaa
[r1-aaa]local-user panxi privilege level 15 password cipher 123456
账户panxi 权限15级(超级管理员 ) 密码123456
[r1-aaa]local-user panxi service-type telnet
定义该账户为telnet使用
[r1-aaa]q
先创建远程登录的账号、权限、密码,定义账号功能
[r1]user-interface vty 0 4 开启telnet功能
[r1-ui-vty0-4]authentication-mode aaa然后我们就可以在其他路由器远程登陆r1了。
然后我们做端口映射
我们要将r1的telnet tcp端口23服务绑定到边界路由器对应的端口上。
我们要在边界路由器的出接口上做如下的指令:
nat server protocol tcp global current-interface 23 inside 192.168.1.1 23此条指令意义就是将边界路由器的tcp 23端口映射到r1的tcp 23端口上 我们以后,私网外的设备telnet边界路由器,就会直接登陆到r1上来。
至此我们整个实验完全结束
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
