且按照如下命令:
配置OSPF: router ospf 100
network 192.168.103.0 0.0.0.255 area 0 network 192.168.104.0 0.0.0.255 area 0 默认路由配置并计算度量值:
ip route 0.0.0.0 0.0.0.0 192.168.103.10 100 //默认路由都从192.168.103.10这个地址出去 5.1.3 高校校园网外网及VPN拓扑图与关键配置
图5-5 校园网外网拓扑图
校园网出口路由器C-R配置(配置OSPF、配置VPN、配置NAT),具体命令如下:
配置OSPF: router ospf 100
network 192.168.102.0 0.0.0.255 area 0 network 192.168.103.0 0.0.0.255 area 0
ip route 0.0.0.0 0.0.0.0 s0/0/1 //配置默认路由,指向ISP路由器 在边界路由器C-R配置ACL语句:
access-list 101 deny ip 192.18.19.0 0.0.0.255 any //拒绝财务部网段访问所有
17
access-list 101 permit ip any any
配置VPN,确保出差老师可以使用校园网; aaa new-model //打开AAA认证
aaa authentication login vta local //命名并认证vta
aaa authorization network vto local //命名并授权vto的事件 username lyw password 123 //用户名和密码设置 crypto isakmp policy 10 //配置安全参数 hash md5 //MD5加密 authentication pre-share group 2
ip local pool vpn 192.168.30.1 192.168.30.20 //连通VPN后分配的IP地址
crypto isakmp client configuration group myvpn //配置VPN的组和密码 key 123 pool vpn
crypto ipsec transform-set tim esp-3des esp-md5-hmac //IPSec第二阶段 crypto dynamic-map vpnmap 10 //动态加密图 set transform-set tim
reverse-route //反向路由注入
(下面对VAP进行认证,并配置,list是实现对AAA的配置名的调用) crypto map tom client authentication list vta crypto map tom isakmp authorization list vto crypto map tom client configuration address respond crypto map tom 10 ipsec-isakmp dynamic vpnmap //动态加密图中要实现静态绑定 interface FastEthernet1/0 crypto map tom //与接口绑定 NAT配置:
ip nat inside source list 101 interface Serial0/0/1 overload //配置动态NAT,实现内部地址向S0/0/0的端口地址的转换
18
interface FastEthernet0/0 //进F0/0接口 ip nat inside //定义NAT的内部 interface FastEthernet0/1
ip nat inside //定义NAT的内部
interface FastEthernet1/0
ip nat outside //定义NAT的外部
5.2 高校校园网络测试
5.2.1 客户端自动获取IP地址测试
图5-6 DHCP测试
5.2.2 NAT测试
图5-7 NAT测试
19
图5-8 查看NAT转换表
5.2.3 STP生成树测试
若形成环路,则一切端口都要变绿,但逻辑上来看,有些端口是断开的,当根端口down,备份端口up,应对二层网络形成风暴效应。
图5-9 环路结构图
图5-10 交换机状态图
20
5.2.4 ACL测试
学生宿舍区不能访问办公区各部门
图5-11 学生宿舍区访问财务部
5.2.5 WEB服务器测试
图5-12 学生宿舍区访问内部网站
图5-13 学生宿舍区访问外部网站
21