HCIP第二次实验

实验分析：
1.要求R3使用R2访问R1的环回，可以将R4与R3之间的网段的开销值加大
2.使用汇总的方法减少路由条目，增加手工认证增加路由传递的安全性
3.R5作为运营商，ISP，作为外网，将使用nat协议+缺省路由实现内网与外网的通信
4.R1 telnet R2的环回，实际telnet R7 上，在R7上开启telnet服务允许外网访问，并在R2上做一个映射。
5.宣告每个路由器相关的网段实现全网可达

一、拓扑组建

二、配置地址
【R1】
[r1-GigabitEthernet0/0/0]ip address 192.168.1.1 24
[r1-GigabitEthernet0/0/1]ip address 192.168.3.1 24
[r1-LoopBack0]ip address 1.1.1.1 24
[r1-LoopBack1]ip address 172.16.1.1 24
[r1-LoopBack2]ip address 172.16.2.1 24
[r1-LoopBack3]ip address 172.16.3.1 24
【R2】
[r2-GigabitEthernet0/0/0]ip address 192.168.1.2 24
[r2-GigabitEthernet0/0/1]ip address 192.168.2.1 24
[r2-LoopBack0]ip address 2.2.2.2 24
【R3】
[r3-GigabitEthernet0/0/0]ip address 192.168.2.2 24
[r3-GigabitEthernet0/0/1]ip address 192.168.4.2 24
[r3-LoopBack0]ip address 3.3.3.3 24
【R4】
[r4-GigabitEthernet0/0/0]ip address 192.168.4.1 24
[r4-GigabitEthernet0/0/1]ip address 192.168.3.2 24
[r4-GigabitEthernet0/0/2]ip address 192.168.5.1 24
[r4-GigabitEthernet4/0/0]ip address 192.168.6.1 24
[r4-LoopBack0]ip address 4.4.4.4 24
【ISP】
[isp-GigabitEthernet0/0/0]ip address 192.168.5.2 24
[isp-LoopBack0]ip address 5.5.5.5 24
【R6】
[r6-GigabitEthernet0/0/0]ip address 192.168.6.2 24
[r6-GigabitEthernet0/0/1]ip address 192.168.7.1 24
[r6-LoopBack0]ip address 6.6.6.6 24
【R7】
[r7-GigabitEthernet0/0/0]ip address 192.168.7.2 24
[r7-LoopBack0]ip address 7.7.7.7 24

三、宣告
R1—R5使用RIPV2
version 2
【R1】
[r1-rip-1]network 1.0.0.0
[r1-rip-1]network 172.16.0.0
[r1-rip-1]network 192.168.1.0
[r1-rip-1]network 192.168.3.0
【R2】
[r2-rip-1]network 2.0.0.0
[r2-rip-1]network 192.168.1.0
[r2-rip-1]network 192.168.2.0
【R3】
[r3-rip-1]network 3.0.0.0
[r3-rip-1]network 192.168.2.0
[r3-rip-1]network 192.168.4.0
【R4】
[r4-rip-1]network 4.0.0.0
[r4-rip-1]network 192.168.3.0
[r4-rip-1]network 192.168.4.0
[r4-rip-1]network 192.168.5.0
[r4-rip-1]network 192.168.6.0
【R5】
R5不进行环回宣告
[r4-rip-1]network 192.168.6.0

R6、R7使用RIPV1
version 1
【R6】
[r6-rip-1]network 192.168.6.0
[r6-rip-1]network 192.168.7.0
[r6-rip-1]network 6.0.0.0
【R7】
[r7-rip-1]network 192.168.7.0
[r7-rip-1]network 7.0.0.0

四、
1.汇总及空接口（减少路由条目数量）
只有R1上可以做
[r1]interface g0/0/0
[r1-GigabitEthernet0/0/0]rip summary-address 172.16.0.0 255.255.252.0
[r1]interface g0/0/1
[r1-GigabitEthernet0/0/1]rip summary-address 172.16.0.0 255.255.252.0
[r1]ip route-static 172.16.0.0 22 NULL 0

2.手工认证（增加路由传递安全性）
每个接口可以都可手工认证，这里只举R1和R2的例子
[r1]interface g0/0/0
[r1-GigabitEthernet0/0/0]rip authentication-mode md5 usual 123
[r2]interface g0/0/0
[r2-GigabitEthernet0/0/0]rip authentication-mode md5 usual 123

五、先实现R1——R7的互通
1.在R5上写缺省
[isp]rip
[isp-rip-1]default-route originate
2.实现RIPV1和RIPV2之间的互通
[r6]interface g0/0/0
[r6-GigabitEthernet0/0/0]rip version 2
让R6的收发数据都按照RIPV2的规则来
这样就实现了R1——R7的互通

六、修改开销值（要求R3使用R2访问R1环回）
分析：R3到R1的环回有两条路可走，负载均衡，要想R3走上面那条路，即经过R2来访问R1的环回
需要将下面这条路的开销值改大，又因为R3的数据是R4发送过来的，所以抓取流量改开销值的时候需要在R4
的出接口或R3的入接口

方法一：在R3的入方向修改
[r3]acl 2000
[r3-acl-basic-2000]rule permit source 1.1.1.0 0
[r3-acl-basic-2000]rule permit source 172.16.0.0 0
[r3]interface g0/0/1
[r3-GigabitEthernet0/0/1]rip metricin 2000 10

方法二：在R4的出方向修改
[r4]acl 2000
[r4-acl-basic-2000]rule permit source 1.1.1.0 0
[r4-acl-basic-2000]rule permit source 172.16.0.0 0
[r4]interface g0/0/0
[r4-GigabitEthernet0/0/0]rip metricout 2000 10

七、作过滤列表（R6—R7路由器不能学习到达R1环回路由）
分析：
R6的路由信息是R4发送过来的，所以需要在R4的出方向或R6的入方向来过滤相应的流量

方法一：在R6的入方向过滤
[r6]acl 2000
[r6-acl-basic-2000]rule deny source 1.1.1.0 0
[r6-acl-basic-2000]rule deny source 172.16.0.0 0
[r6-acl-basic-2000]rule permit source any
[r6]rip
[r6-rip-1]filter-policy 2000 import

方法二：在R4的出方向过滤
[r4]acl 2000
[r4-acl-basic-2000]rule deny source 1.1.1.0 0
[r4-acl-basic-2000]rule deny source 172.16.0.0 0
[r4-acl-basic-2000]rule permit source any
[r4]rip
[r4-rip-1]filter-policy 2000 export GigabitEthernet 4/0/0

八、做远程登陆和端口映射（R1telnetR2环回实际telnet到R7上）
1.先打开R7的远程登陆功能
[r7]user-interface vty 0 4
[r7-ui-vty0-4]authentication-mode aaa
[r7]aaa
[r7-aaa]local-user huawei privilege level 15 password cipher 123
[r7-aaa]local-user huawei service-type telnet
2.R1相当于外网，R7相当于内网，R2相当于边界路由器
所以需要在R2的0/0/0接口做NAT映射
[r2]interface g0/0/0
[r2-GigabitEthernet0/0/0]nat server protocol tcp global interface loopback 0 23
inside 7.7.7.7 23

问题：R1无法telnet到R7
原因：R2会将流量一部分从R2——R1这边走，一部分从R2——R3这边走，正确走法是R1—R2—R3—R4—R6—R7，所以需要改R2——R1的开销值
即R2的入接口改开销值或R1的出接口改开销值

方法一：R2的入接口改
[r2]acl 2001
[r2-acl-basic-2001]rule permit source 7.0.0.0 0
[r2]interface g0/0/0
[r2-GigabitEthernet0/0/0]rip metricin 2001 10

方法二：R1的出接口改
[r1]acl 2000
[r1-acl-basic-2000]rule permit source 7.0.0.0 0
[r1]interface g0/0/0
[r1-GigabitEthernet0/0/0]rip metricout 2000 10

同理R7回包的时候流量一部分从R4——R1，一部分R4——R3，正确走法是R7—R6—R4—R3—R2—R1，所以需要改R4——R1的开销值
即R4的入接口改开销值或R1的出接口改开销值

方法一：
[r4]acl 2000
[r4-acl-basic-2000]rule permit source 192.168.1.0 0
[r4]interface g0/0/1
[r4-GigabitEthernet0/0/1]rip metricin 2000 10

方法二：
[r1]acl 2000
[r1-acl-basic-2000]rule permit source 192.168.1.0 0
[r1]interface g0/0/1
[r1-GigabitEthernet0/0/1]rip metricout 2000 10

这样R1就可以telnet到R7