依据IP地址分配表,在总部三层交换机上为所有的SVI接口配置IP。 (2)路由器接口配置
依据IP地址分配表,在路由器上为所有接口配置IP。 CORE1的配置如下,CORE2、CORE3配置类似: CORE1#configure terminal
CORE1(config)#interface range f1/1 -2 CORE1(config-if-range)#switchport mode Trunk
CORE1(config-if-range)#switchport Trunk allowed vlan all CORE1(config-if-range)#exit CORE1(config)#int range f1/5 -7
CORE1(config-if-range)#switchport mode Trunk
CORE1(config-if-range)#switchport Trunk allowed vlan all CORE1(config-if-range)#exit CORE1(config)#int loopback0
CORE1(config-if)#ip address 10.1.0.2 255.255.255.255 CORE1(config-if)#exit
CORE1(config)#int fastEthernet 1/0 CORE1(config-if)#no switchport
CORE1(config-if)#ip address 10.1.1.6 255.255.255.252 CORE1(config-if)#no shutdown CORE1(config-if)#exit
配置好端口地址时,为VLAN也配置IP地址。
配置上CORE1、CORE2、CORE3上的端口IP后,用CORE1拼CORE2成功拼通,用CORE2拼CORE1成功拼通,如图6-3,图6-4所示。
CORE3的连通性在之后做好tunnel后,再测试连通性。
图6-3 CORE1拼通CORE2图
图6-4 CORE2拼通CORE2图
26
6.5 HSRP的配置与实现
HSRP(Hot Standby Router Protocol,热备份路由器协议),是cisco平台一种特
有的技术,是cisco的私有协议。该协议中含有多台路由器,对应一个HSRP组。该组中只有一个路由器承担转发用户流量的职责,这就是活动路由器。当活动路由器失效后,备份路由器将承担该职责,成为新的活动路由器。这就是热备份的原理。。
为了减少网络的数据流量,在设置完活动路由器和备份路由器之后,只有活动路由器和备份路由器定时发送HSRP报文。如果活动路由器失效,备份路由器将接管成为活动路由器。如果备份路由器失效或者变成了活跃路由器,将由另外的路由器被选为备份路由器。
考虑到总校区的用户访问量比较大,因此决定在CORE1、CORE2配置HSRP,使得VLAN10、VLAN20、VLAN30优先通过CORE1,VLAN40、VLAN50优先通过CORE2。以CORE1的配置为例,CORE2上的配置原理类似。
CORE1(config)#int vlan 10 //进入VLAN10这个SVI接口下
CORE1(config-if)#ip address 10.1.10.2 255.255.255.0 //配置VLAN10的IP CORE1(config-if)#ip access-group 100 out
CORE1(config-if)#standby 10 ip 10.1.10.1 //CORE2作为VLAN10的备份路由 CORE1(config-if)#standby 10 priority 120 //配置VLAN10的优先级,使得CORE1成为VLAN10的主要通道,默认优先级是100,值越大,优先级越高 CORE1(config-if)#standby 10 preempt //开启抢占模式
CORE1(config-if)#standby 10 track FastEthernet1/0 30 //在F1/0上作端口监听,若出现故障,优先级减30,即VLAN10选择CORE2路径 CORE1(config-if)#exit CORE1(config)#int vlan 20
CORE1(config-if)#ip address 10.1.20.2 255.255.255.0 CORE1(config-if)#ip access-group 102 out CORE1(config-if)#standby 20 ip 10.1.10.1 CORE1(config-if)#standby 20 priority 120 CORE1(config-if)#standby 20 preempt
CORE1(config-if)#standby 20 track FastEthernet1/0 30 CORE1(config-if)#exit CORE1(config)#int vlan 30
CORE1(config-if)#ip address 10.1.30.2 255.255.255.0 CORE1(config-if)#ip access-group 103 out CORE1(config-if)#standby 30 ip 10.1.30.1
27
CORE1(config-if)#standby 30 priority 120 CORE1(config-if)#standby 30 preempt
CORE1(config-if)#standby 30 track FastEthernet1/0 30 CORE1(config-if)#exit CORE1(config)#int vlan 40
CORE1(config-if)#ip address 10.1.40.3 255.255.255.0 CORE1(config-if)#ip access-group 104 out CORE1(config-if)#standby 40 ip 10.1.40.1 CORE1(config-if)#standby 40 preempt
CORE1(config-if)#standby 40 track FastEthernet1/0 30 CORE1(config-if)#exit CORE1(config)#int vlan 50
CORE1(config-if)#ip address 10.1.50.3 255.255.255.0 CORE1(config-if)#ip access-group 105 out CORE1(config-if)#standby 50 ip 10.1.50.1 CORE1(config-if)#standby 50 preempt
CORE1(config-if)#standby 50 track FastEthernet1/0 30
CORE1(config-if)#exit
6.6 NAT/PAT的配置与实现
1.解决IP地址不够用的问题。
随着接入Internet的计算机数量的不断猛增,IP地址资源也就愈加显得捉襟见肘。事实上,除了中国教育和科研计算机网(CERNET)外,一般用户几乎申请不到整段的C类IP地址。在其他ISP那里,即使是拥有几百台计算机的大型局域网用户,当他们申请IP地址时,所分配的地址也不过只有几个或十几个IP地址[12]。显然,这样少的IP地址根本无法满足网络用户的需求,于是也就产生了NAT技术。
2.屏蔽内网,使内网更加安全。
在网络中,IPv4定义了私有地址和共有地址,并且规定私网地址不能在公网中传输。在我们做完NAT技术之后,内网里面的主机IP地址对于公网来说是不可见的。实现屏蔽内网IP地址的功能。
1.总部出口路由器R1的NAT配置: R1(config)#interface Ethernet0/0
R1(config-if)#ip address 10.1.1.5 255.255.255.252 R1(config-if)#ip nat inside
28
R1(config-if)#exit
R1(config)#interface Ethernet0/1
R1(config-if)#ip address 172.1.1.2 255.255.255.240 R1(config-if)#ip nat inside R1(config-if)#exit
2.分部出口路由器R2的NAT配置: R2(config)#int e0/0
R2(config-if)#ip address 172.1.2.2 255.255.255.240 R2(config-if)#ip nat outside R2(config-if)#int e0/1
R2(config-if)#ip address 10.2.1.2 255.255.255.252 R2(config)#ip nat inside R2(config-if)#exit
6.7 GRE的配置和实现
GRE(Generic Routing Encapsulation,通用路由封装协议)是对某些网络层协议(如IP和IPX)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如IP)中传输。GRE是VPN的第三层隧道协议,即在协议层之间采用了一种被称之为Tunnel(隧道)的技术[12]。
根据东方学院的实际情况分析,需要在总校区的出口路由R1和分校区的出口路由R2上建立隧道tunnel 0。
R1的配置:
R1(config)#int tunnel 1
R1(config-if)#ip add 172.168.1.1 255.255.255.252 R1(config-if)#tunnel source 172.1.1.2 R1(config-if)#tunnel destination 172.1.2.2 R1(config-if)#exit R2的配置:
R2(config)#int tunnel 1
R2(config-if)#ip add 172.168.1.2 255.255.255.252 R2(config-if)#tunnel source 172.1.2.2 R2(config-if)#tunnel destination 172.1.1.2 R2(config-if)#exit
29
6.8 Internet接入之静态路由配置
在总部CORE1上配置默认路由,下一跳指向R1; 在总部CORE2上配置默认路由,下一跳指向R1; 在分部CORE3上配置默认路由,下一跳指向R2;
在总部R1上配置默认路由,下一跳指向公网出口对端IP地址。 在分部R2上配置默认路由,下一跳指向公网出口对端IP地址。 相关命令配置: CORE1:
CORE1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.5 CORE2:
CORE2(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.9 CORE3:
CORE3(config)#ip route 0.0.0.0 0.0.0.0 10.2.1.2 总部路由器RT1:
R1(config)#ip route 0.0.0.0 0.0.0.0 172.1.1.1 分部路由器RT2:
R2(config)#ip route 0.0.0.0 0.0.0.0 172.1.2.1
6.9 ACL的配置与实现
ACL(Access Control List,访问控制列表)可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。
ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量[12]。
东方学院总部和分部的财务部门可以互访,但是不允许其他vlan访问,以保证数据的安全和及时了解数据更新。在R1、R2上作链路访问控制配置。
R1配置:
R1(config)#access-list 15 permit 10.1.0.0 0.0.255.255
R1(config)#access-list 102 permit ip host 172.1.1.2 host 172.1.2.2 R2配置:
R2(config)#access-list 102 permit ip host 172.1.2.2 host 172.1.1.2
30