ensp实验:hcia综合实验
需求:
黄色背景区域为内网区;
紫色背景区域为外网区;
1.配置接入层
1)配置LSW2
接入层交换机lsw2需要承载vlan10 20 30 40 的流量,首先要创建这4个vlan;
eth0/0/1接口和pc1相连,使用access链路,属于vlan10;
eth0/0/2接口和pc2相连,使用access链路,属于vlan20;
eth0/0/3接口和汇聚层交换机lsw1相连,使用trunk链路,允许vlan 10 20 30 40 的流量;
eth0/0/4接口和接入层交换机lsw3相连,使用trunk链路,允许vlan 10 20 30 40 的流量;
sys sys SW2 vlan batch 10 20 30 40 int eth0/0/1 p l a p d v 10 int eth0/0/2 p l a p d v 20 int eth0/0/3 p l t p t a v 10 20 30 40 int eth0/0/4 p l t p t a v 10 20 30 40
2)配置LSW3
接入层交换机lsw3需要承载vlan10 20 30 40 的流量,首先要创建这4个vlan;
eth0/0/1接口和pc3相连,使用access链路,属于vlan30;
eth0/0/2接口和pc4相连,使用access链路,属于vlan40;
eth0/0/3接口和汇聚层交换机lsw1相连,使用trunk链路,允许vlan 10 20 30 40 的流量;
eth0/0/4接口和接入层交换机lsw2相连,使用trunk链路,允许vlan 10 20 30 40 的流量;
sys sys SW3 vlan batch 10 20 30 40 int eth0/0/1 p l a p d v 30 int eth0/0/2 p l a p d v 40 int eth0/0/3 p l t p t a v 10 20 30 40 int eth0/0/4 p l t p t a v 10 20 30 40
2.配置汇聚层
配置LSW1:
汇聚层交换机lsw1需要承载vlan10 20 30 40 的流量,首先要创建这4个vlan;
g0/0/0接口和汇聚层交换机lsw2相连,使用trunk链路,允许vlan 10 20 30 40
g0/0/1接口和汇聚层交换机lsw3相连,使用trunk链路,允许vlan 10 20 30 40
需要作为三层交换机转发vlan10 20 30 40 的流量,创建4个vlanif并分别绑定ip地址
需要通过DHCP协议自动分配ip地址,首先要允许DHCP,然后在每个三层接口也就是vlanif中开启DHCP;
sys sys SW1 dhcp enable vlan batch 10 20 30 40 int g0/0/1 p l t p t a v 10 20 30 40 int g0/0/2 p l t p t a v 10 20 30 40 int vlanif 10 ip add 192.168.10.254 24 dhcp sel int int vlanif 20 ip add 192.168.20.254 24 dhcp sel int int vlanif 30 ip add 192.168.30.254 24 dhcp sel int int vlanif 40 ip add 192.168.40.254 24 dhcp sel int
3.配置终端
配置4台pc,用DHCP获取ip地址;
测试:查看pc1是否分配到了地址:
ipconfig
可以看到:pc1通过DHCP协议分配到地址192.168.10.253
4.配置STP
需求:将交换机lsw1设为根桥;
配置LSW1:
stp root primary
验证:
dis stp
可以看到:
lsw1的桥BID的优先级变成0,也就是优先级最高;
lsw1的BID和根桥ID相等,表示lsw1就是根桥;
5.配置核心层和出口层
1)配置LSW1
三层交换机lsw1的g0/0/3接口和出口路由器AR1相连,使用access链路,属于vlan12,需要先创建vlan12
需要转发vlan12的流量,要创建虚拟三层接口vlanif12;
lsw1 - AR1之间的网段为:192.168.12.0/24网段,需要给vlanif12绑定一个该网段的ip地址;
vlan 12 int g0/0/3 p l a p d v 12 int vlanif 12 ip add 192.168.12.2 24
2)配置AR1
出口路由器AR1的g0/0/0接口和交换机lsw1相连,属于192.168.12.0/24网段,给接口绑定一个该网段的ip地址;
sys sys R1 int g0/0/0 ip add 192.168.12.1 24
6.配置路由
因为存在非直连路由,pc无法ping通出口路由器AR1;
这里使用动态路由协议ospf来解决;
1)配置三层交换机LSW1
lsw1有5个虚拟三层接口,使用ospf协议,宣告5个接口;
ospf 1 router-id 2.2.2.2 a 0 net 192.168.12.2 0.0.0.0 net 192.168.10.254 0.0.0.0 net 192.168.20.254 0.0.0.0 net 192.168.30.254 0.0.0.0 net 192.168.40.254 0.0.0.0
2)配置路由器AR1
AR1跑ospf协议,宣告1个接口
ospf 1 router-id 1.1.1.1 a 0 net 192.168.12.1 0.0.0.0
等建立邻居完成后,路由器AR1就能通过ospf协议学到PC1的路由;
pc1就可以ping通AR1了;
7.配置公网路由
1)配置AR2
AR2的s2/0/0接口和AR1相连,属于12.0.0.0/24网段;
AR2的g0/0/0接口和AR3相连,属于23.0.0.0/24网段;
AR2的g0/0/1接口和AR4相连,属于24.0.0.0/24网段;
需要配置ospf来学习非直连路由,宣告3个接口;
sys sys R2 int s2/0/0 ip add 12.0.0.2 24 int g0/0/0 ip add 23.0.0.2 24 int g0/0/1 ip add 24.0.0.2 24 ospf 1 router-id 2.2.2.2 a 0 net 12.0.0.2 0.0.0.0 net 23.0.0.2 0.0.0.0 net 24.0.0.2 0.0.0.0
2)配置AR3
sys sys R3 int g0/0/0 ip add 23.0.0.3 24 int g0/0/0 ip add 23.0.0.3 24 int g0/0/1 ip add 34.0.0.3 24 int g0/0/2 ip add 3.0.0.254 24 ospf 1 router-id 3.3.3.3 a 0 net 23.0.0.3 0.0.0.0 net 34.0.0.3 0.0.0.0 net 3.0.0.254 0.0.0.0
3)配置AR4
sys sys R4 int g0/0/0 ip add 24.0.0.4 24 int g0/0/1 ip add 34.0.0.4 24 int g0/0/2 ip add 4.0.0.254 24 ospf 1 router-id 4.4.4.4 a 0 net 23.0.0.4 0.0.0.0 net 34.0.0.4 0.0.0.0 net 4.0.0.254 0.0.0.0
4)验证
R2应该能通过ospf协议学到非直连网段路由:3.0.0.0网段、4.0.0.0网段、34.0.0.0网段
dis ip routing-table pro ospf
8.配置PPP认证
内网的出口路由器AR1通过串口和AR2相连,使用PPP协议(华为设备串口默认是PPP协议,不需要修改协议类型);
使用CHAP认证模式:
AR1为被认证方,需要在连接时提供用户名和密码;
AR2为认证方,需要设置用户将和密码;
1)配置AR2
AR2的串口s2/0/0和出口路由器AR1相连;
使用PPP的CHAP认证模式;
用户名:wakin
密码:123456
int s2/0/0 ppp authentication-mode CHAP q aaa local-user wakin password cipher 123456 local-user wakin service-type PPP
2)配置AR1
出口路由器的串口s2/0/0和AR2相连,属于网段12.0.0.0/24;
使用PPP的CHAP认证模式,作为被认证方,需要提供用户名和密码;
int s2/0/0 ip add 12.0.0.1 24 PPP chap user wakin PPP chap password cipher 123456
3)验证
查看AR1的串口的状态
dis ip int b
可以看到AR1的串口s2/0/0状态为up,说明用户名密码正确,CHAP认证通过;
9.配置缺省路由
配置AR1:
给AR1配置缺省路由,下一跳指定为AR2;
同时通过ospf发布缺省路由,让三层交换机也能学到缺省路由;
导致的结果是:访问内网中路由表中没有的地址时,都会转发给公网中的AR2,从而通过AR2到公网中转发;
ip route-static 0.0.0.0 0 12.0.0.2 ospf 1 default-route-advertise
验证:
如果AR1发布缺省路由成功,三层交换机lsw1应该能通过ospf协议学到缺省路由;
dis ip routing-table pro ospf
10.配置NAT
目前为止内网到外网的包能出去,但外网回内网无法到达;
比如,pc1发到外网的包,可以走缺省路由,到AR2,然后通过AR2转发给公网中的目标设备;
但公网中的设备没有pc1的ip地址,只能通过ospf协议学到网关路由器AR1的路由;
可以使用NAT来实现互通,也就是内网设备的包出去时,将地址改为AR1的地址;
使用NAT前需要创建一个ACL来做流量的筛选;
配置AR1:
使用基本ACL,允许所有流量;
使用Easy IP配置NAT,绑定出口路由器AR1的出接口地址;
acl 2000 rule 1 permit q int s2/0/0 nat outbound 2000
验证:
用pc3可以ping通公网中的路由器AR3
11.配置DNS服务器
1)配置server1
ip地址为:3.0.0.1/24;网关为路由器AR3的下接口g0/0/2的地址;
server1用作dns服务器:
配置2个域名,都绑定server2的ip地址;
然后点启动,开启dns服务;
2)配置server2
ip地址为:4.0.0.1/24;网关为路由器AR4的下接口g0/0/2的地址;
3)配置三层交换机LSW1
前面在lsw1中配置了DHCP,但没有配置dns服务器,导致终端pc无法通过DHCP协议自动配置DNS服务器;
int vlanif 10 ip add 192.168.10.254 24 dhcp sel int dhcp server dns 3.0.0.1 int vlanif 20 ip add 192.168.20.254 24 dhcp sel int dhcp server dns 3.0.0.1 int vlanif 30 ip add 192.168.30.254 24 dhcp sel int dhcp server dns 3.0.0.1 int vlanif 40 ip add 192.168.40.254 24 dhcp sel int dhcp server dns 3.0.0.1
4)配置PC
由于DHCP做了修改重新获取地址:
ipconfig /release
ipconfig /renew
重新获取IP地址后,有了DNS服务器,也就是server1的地址3.0.0.1
5)验证
因为在dns服务器server1中配置了域名,用pc1可以ping通www.wakin.com
12.配置ACL
需求:拒绝vlan20的主机访问http服务器;
1)配置服务端Server2
给Server2开启http服务和FTP服务:
2)配置客户端Client2
pc2属于vlan20,为了做浏览器测试,将pc2换成Client2;
在ensp模拟器中Client只能手动配置地址:
验证:
用client2访问http服务器
可以看到状态为200 ok,说明访问成功;
用client2访问ftp服务器
可以看到FTP服务器中的文件,说明访问FTP服务成功;
3)配置ACL
创建ACL:
为了阻止client2访问http服务,需要在出口路由器AR1中创建一个acl;
为了不影响访问ftp服务,使用高级acl,高级acl的编号要在3000~3999;
acl的规则为:拒绝来自client2的tcp流量(http是tcp的上层协议)到server2的80端口(http服务的端口号为80)
调用ACL:
需要在AR1的接口中调用ACL;
有两个接口可选:入接口g0/0/0、出接口s2/0/0
但是在出接口s2/0/0配置了NAT,导致client2的流量到达出接口时地址变为了出接口的地址,根据配置的ACL规则,不会拦截;
因此在出接口s2/0/0调用ACL是没有效果的;
这里选入接口g0/0/0
配置AR1:
acl 3000 rule 1 deny tcp so 192.168.20.0 0.0.0.255 dest 4.0.0.1 0 dest eq 80 int g0/0/0 traffic-filter inbound acl 3000
4)验证
client2可以ping通server2,说明其它流量没受影响:
client2访问http服务失败,一直等待,说明流量被拦截,acl生效:
13.最终拓扑结构
