静态综合实验图如下:
具体实验要求如下:
1. ISP路由上只能配置IP地址,不得再进行其他任何操作
2. ISP的直连网段已经被规定,其余内网所有设备ip地址192.168.1.0/24划分
3. R1-R4每台设备存在两个环回
4. P0/P1自动获取IP地址
5. R1-R4均可ping通PC2
6. PC2可以通过域名www.baidu.com访问HTTP服务器
7. PC2在TelnetR5的ip地址时,实际登录到R1上
8. VLAN2的所在网段只有PC0不能访问PC2
网络组建步骤
- 拓扑规划–IP地址的规划
- 配置
1)底层IP的配置
2)路由- -全网可达
3)策略
4)测试
5)优化 - 维护
- 升级
具体规划与实现
根据拓扑图和实验要求,我将192.168.1.0/24划分为6个子网
- 第一个子网为骨干网,即每两个路由器之间的IP地址,图中骨干网由6条链路构成,分别是:R1-R2、R1-R3、R2-R4、R3-R4、R4-R5两条链路 共六条
- 第二个子网为R1,该子网下根据题意还有两个环回,故还要在子网基础上再分为2个子网
- 第三个子网为R2,该子网下根据题意还有两个环回,故还要在子网基础上再分为2个子网
- 第四个子网为R3,该子网下根据题意还有两个环回,故还要在子网基础上再分为2个子网
- 第五个子网为R4,该子网下根据题意还有两个环回,故还要在子网基础上再分为2个子网
- 第六个子网为R5,该子网下根据题意还有两个VLAN,故还要在子网基础上再分为2个子网
网段划分:
图中标识出具体网段:
具体配置:
- 配置内网VLAN部分,以及配置DHCP池塘
switch0
interface FastEthernet0/1
switchport access vlan 2
switchport mode access
interface FastEthernet0/2
switchport access vlan 2
switchport mode access
interface FastEthernet0/3
switchport access vlan 3
switchport mode access
interface FastEthernet0/24
switchport mode trunk
R5
interface FastEthernet1/1
no shutdown
interface FastEthernet1/1.1
encapsulation dot1Q 2
ip address 192.168.1.161 255.255.255.240
interface FastEthernet1/1.2
encapsulation dot1Q 3
ip address 192.168.1.177 255.255.255.240
ip dhcp pool v2
network 192.168.1.160 255.255.255.240
default-router 192.168.1.161
dns-server 114.114.114.114
- 将内网的ip地址按照规划的地址进行配置,然后将内网的四台路由器:R1、R2、R3、R4分别配置缺省路由,指向边界路由器所在的方向
R1
ip route 0.0.0.0 0.0.0.0 192.168.1.2
ip route 0.0.0.0 0.0.0.0 192.168.1.6
R2
ip route 0.0.0.0 0.0.0.0 192.168.1.10
R3
ip route 0.0.0.0 0.0.0.0 192.168.1.14
R4- -浮动静态路由
ip route 0.0.0.0 0.0.0.0 192.168.1.18
ip route 0.0.0.0 0.0.0.0 192.168.1.22 2
- 检查内网路由器的缺省路由有没有到不了路由或者通过缺省路由进行访问不太合理的,再添加静态路由进行补充
R1
ip route 192.168.1.64 255.255.255.224 192.168.1.2
ip route 192.168.1.96 255.255.255.224 192.168.1.6
R2
ip route 192.168.1.32 255.255.255.224 192.168.1.1
ip route 192.168.1.4 255.255.255.252 192.168.1.1
ip route 192.168.1.96 255.255.255.224 192.168.1.1
ip route 192.168.1.96 255.255.255.224 192.168.1.10
R3
ip route 192.168.1.32 255.255.255.224 192.168.1.5
ip route 192.168.1.0 255.255.255.252 192.168.1.5
ip route 192.168.1.64 255.255.255.224 192.168.1.5
ip route 192.168.1.64 255.255.255.224 192.168.1.14
R4
ip route 192.168.1.64 255.255.255.224 192.168.1.9
ip route 192.168.1.0 255.255.255.252 192.168.1.9
ip route 192.168.1.96 255.255.255.224 192.168.1.13
ip route 192.168.1.4 255.255.255.252 192.168.1.13
ip route 192.168.1.32 255.255.255.224 192.168.1.9
ip route 192.168.1.32 255.255.255.224 192.168.1.13
R5
ip route 192.168.1.0 255.255.255.0 192.168.1.17
ip route 192.168.1.0 255.255.255.0 192.168.1.21 2
- 对存在路由黑洞隐患的路由器,在其上配置空接口防环路由
R1
ip route 192.168.1.32 255.255.255.224 Null0
R2
ip route 192.168.1.64 255.255.255.224 Null0
R3
ip route 192.168.1.96 255.255.255.224 Null0
R4
ip route 192.168.1.128 255.255.255.224 Null0
R5
ip route 192.168.1.0 255.255.255.0 Null0
- 边界路由器访问外网,在R5上配置缺省指向ISP并且配置地址转换(NAT)
R5
ip route 0.0.0.0 0.0.0.0 12.1.1.2
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list 1 interface FastEthernet1/0 overload
interface FastEthernet 1/0
ip nat outside
interface FastEthernet 0/0
ip nat inside
interface FastEthernet 0/1
ip nat inside
interface FastEthernet 1/1.1
ip nat inside
interface FastEthernet 1/1.2
ip nat inside
- 在R5上对内网的HTTP服务器进行端口映射,因为PC2只能访问到边界路由器的外部接口
R5
ip nat inside source static tcp 192.168.1.178 80 12.1.1.1 80
- 在R1上开启telnet,并且在R5上进行端口映射
R1
username ccnp privilege 15 secret 123456
line vty 0 4
login local
R5
ip nat inside source static tcp 192.168.1.33 23 12.1.1.1 23
- 在R5上制定acl,禁止PC0访问PC2,并调用在接口上
ip access-list extended ccnp
deny ip host 192.168.1.162 any
permit ip any any
interface FastEthernet 1/1.1
ip access-group ccnp in
