综合实验(NAT+×××+VRPP+MST)
技术关键词
Vlan、VTP、VRRP、MST、NTP、DHCP、OSPF、ACL、NAT、×××
1、Vlan信息
Vlan ID
|
网络地址
|
名 称
|
描 述
|
1
|
192.168.1.0/24
|
-
|
本地vlan
|
2
|
192.168.2.0/24
|
glb
|
管理部
|
3
|
192.168.3.0/24
|
cwb
|
财务部
|
4
|
192.168.4.0/24
|
xsb
|
销售部
|
5
|
192.168.5.0/24
|
cgb
|
采购部
|
6
|
192.168.6.0/24
|
zzb
|
制造部
|
7
|
192.168.7.0/24
|
xxzx
|
信息中心
|
127
|
192.168.127.0/24
|
Srv
|
服务器组
|
2、VTP 信息
设备名称
|
Domain
|
Prunning
|
Password
|
Mode
|
3550-S-1
|
Benet
|
Enable
|
123
|
Server
|
3550-S-2
|
Benet
|
Enable
|
123
|
Server
|
2950-S-1
|
Benet
|
Enable
|
123
|
Client
|
2950-S-2
|
Benet
|
Enable
|
123
|
Client
|
2950-S-3
|
Benet
|
Enable
|
123
|
Client
|
2950-S-4
|
Benet
|
Enable
|
123
|
Client
|
3、设备IP 地址分配
设备名称
|
接口
|
IP地址
|
描述
|
位置
|
BJ-R-1
|
F0/0
|
200.1.1.1/24
|
网通WAN
|
BJ
|
F0/1
|
100.1.1.1/24
|
电信WAN
|
BJ
|
F0/2
|
192.168.10.254/24
|
-
|
BJ
|
F0/3
|
192.168.20.254/24
|
-
|
BJ
|
3550-S-1
|
F0/0
|
192.168.10.1/24
|
3L-Switch
|
BJ
|
3550-S-2
|
F0/0
|
192.168.20.1/24
|
3L-Switch
|
BJ
|
GZ-R-1
|
F0/0
|
201.1.1.1/24
|
电信WAN
|
GZ
|
F0/1
|
192.168.100.254/24
|
-
|
GZ
|
QD-R-1
|
F0/0
|
101.1.1.1/24
|
网通WAN
|
QD
|
F0/1
|
192.168.200.254/24
|
-
|
QD
|
4、DHCP信息
名称
|
IP地址池
|
默认网关
|
默认DNS
|
描述
|
Glb-vlan2
|
192.168.2.10 – 200
|
192.168.2.254
|
1.1.1.1
|
管理部
|
2.2.2.2
|
Cwb-vlan3
|
192.168.3.10 – 200
|
192.168.3.254
|
1.1.1.1
|
财务部
|
2.2.2.2
|
Xsb-vlan4
|
192.168.4.10 – 200
|
192.168.4.254
|
1.1.1.1
|
销售部
|
2.2.2.2
|
Cgb-vlan5
|
192.168.5.10 – 200
|
192.168.5.254
|
1.1.1.1
|
采购部
|
2.2.2.2
|
Zzb-vlan6
|
192.168.6.10 – 200
|
192.168.6.254
|
1.1.1.1
|
制造部
|
2.2.2.2
|
Xxzx-vlan7
|
192.168.7.10 – 200
|
192.168.7.254
|
1.1.1.1
|
信息中心
|
2.2.2.2
|
5、VRRP信息
SVI接口
|
组
|
优先级
|
状态
|
IP
|
HSRP IP
|
设备
|
Vlan1
|
1
|
200
|
Active
|
192.168.1.1
|
192.168.1.254
|
3550-S-1
|
Vlan2
|
2
|
200
|
Active
|
192.168.2.1
|
192.168.2.254
|
3550-S-1
|
Vlan3
|
3
|
200
|
Active
|
192.168.3.1
|
192.168.3.254
|
3550-S-1
|
Vlan4
|
4
|
100
|
Standby
|
192.168.4.1
|
192.168.4.254
|
3550-S-1
|
Vlan5
|
5
|
100
|
Standby
|
192.168.5.1
|
192.168.5.254
|
3550-S-1
|
Vlan6
|
6
|
100
|
Standby
|
192.168.6.1
|
192.168.6.254
|
3550-S-1
|
Vlan7
|
7
|
100
|
Standby
|
192.168.7.1
|
192.168.7.254
|
3550-S-1
|
Vlan127
|
127
|
100
|
Standby
|
192.168.127.1
|
192.168.127.254
|
3550-S-1
|
Vlan1
|
1
|
100
|
Standby
|
192.168.1.2
|
192.168.1.254
|
3550-S-2
|
Vlan2
|
2
|
100
|
Standby
|
192.168.2.2
|
192.168.2.254
|
3550-S-2
|
Vlan3
|
3
|
100
|
Standby
|
192.168.3.2
|
192.168.3.254
|
3550-S-2
|
Vlan4
|
4
|
200
|
Active
|
192.168.4.2
|
192.168.4.254
|
3550-S-2
|
Vlan5
|
5
|
200
|
Active
|
192.168.5.2
|
192.168.5.254
|
3550-S-2
|
Vlan6
|
6
|
200
|
Active
|
192.168.6.2
|
192.168.6.254
|
3550-S-2
|
Vlan7
|
6
|
100
|
Active
|
192.168.7.2
|
192.168.7.254
|
3550-S-2
|
Vlan127
|
127
|
200
|
Active
|
192.168.127.2
|
192.168.127.254
|
3550-S-2
|
6、MST 信息
Mst-1:vlan1、vlan2管理部、vlan3财务部
Mst-2:vlan4销售部、vlan5采购部
Mst-3:vlan6制造部、vlan7信息中心
Mst-4:vlan127服务器组
负载均衡
mst-1 mst -2 根网桥3550-S-1
mst-3 mst -4 根网桥3550-S-2
交换机、路由器详细配置
1
.
IP
地址设置
北京
BJ-R-1(config)# int F0/0
BJ-R-1 (config-if) #ip add 200.1.1.1 255.255.255.0
BJ-R-1 (config-if) #no shutdown
----------------------------------
BJ-R-1(config)# int F0/1
BJ-R-1 (config-if) #ip add 100.1.1.1 255.255.255.0
BJ-R-1 (config-if) #no shutdown
---------------------------------
BJ-R-1(config)# int f0/2
BJ-R-1 (config-if) #ip add 192.168.10.254 255.255.255.0
BJ-R-1 (config-if) #no shutdown
---------------------------------
BJ-R-1(config)# int f0/3
BJ-R-1 (config-if) #ip add 192.168.20.254 255.255.255.0
BJ-R-1 (config-if) #no shutdown
3550-S-1 (config) # int vlan 1
3550-S-1 (config-if) # ip add 192.168.1.1 255.255.255.0
3550-S-1 (config-if) # int vlan 2
3550-S-1 (config-if) # ip add 192.168.2.1 255.255.255.0
3550-S-1 (config-if) # int vlan 3
3550-S-1 (config-if) # ip add 192.168.3.1 255.255.255.0
3550-S-1 (config-if) # int vlan 4
3550-S-1 (config-if) # ip add 192.168.4.1 255.255.255.0
3550-S-1 (config-if) # int vlan 5
3550-S-1 (config-if) # ip add 192.168.5.1 255.255.255.0
3550-S-1 (config-if) # int vlan 6
3550-S-1 (config-if) # ip add 192.168.6.1 255.255.255.0
3550-S-1 (config-if) # int vlan 7
3550-S-1 (config-if) # ip add 192.168.6.1 255.255.255.0
3550-S-1 (config-if) # int vlan 127
3550-S-1 (config-if) # ip add 192.168.127.1 255.255.255.0
3550-S-2 (config) # int vlan 1
3550-S-2 (config-if) # ip add 192.168.1.2 255.255.255.0
3550-S-2 (config-if) # int vlan 2
3550-S-2 (config-if) # ip add 192.168.2.2 255.255.255.0
…(略)
广州
GZ-R-1(config)# int F0/0
GZ-R-1 (config-if) # ip add 201.1.1.1 255.255.255.0 定义WAN口
GZ-R-1 (config-if) # no shutdown
GZ-R-1(config)# int F0/1
GZ-R-1 (config-if) # ip add 192.168.200.254 255.255.255.0 定义LAN口
GZ-R-1 (config-if) # no shutdown
-------------------------------------------------------------------
青岛
QD-R-1(config)# int F0/0
QD-R-1 (config-if) # ip add 101.1.1.1 255.255.255.0 定义WAN口
QD-R-1 (config-if) # no shutdown
QD-R-1(config)# int f0/0
QD-R-1 (config-if) # ip add 192.168.100.254 255.255.255.0.. .定义LAN口
QD-R-1 (config-if) # no shutdown
2
.
VTP
配置
3550-S-1(config)# vlan database vlan数据库模式
3550-S-1 (vlan) #
vtp domain benet
3550-S-1 (vlan) # vtp server 服务器模式
3550-S-1 (vlan) # vtp password 123
3550-S-1 (vlan) #
vtp pruning 启用修剪
按部门划分vlan
3550-S-1 (vlan) # vlan 2 name glb 管理部
3550-S-1 (vlan) # vlan 3 name cwb 财务部
3550-S-1 (vlan) # vlan 4 name xsb 销售部
3550-S-1 (vlan) # vlan 5 name cgb 采购部
3550-S-1 (vlan) # vlan 6 name zzb 制造部
3550-S-1 (vlan) # vlan 7 name xxzx 信息中心
3550-S-1 (vlan) # vlan 127 name svr 服务器组
------------------------------------------------
3550-S-2 (config) # vlan database vlan数据库模式
3550-S-2 (vlan) #
vtp domain benet
3550-S-2 (vlan) # vtp server
3550-S-2 (vlan) # vtp password 123
------------------------------------------------
2950-S-1 (vlan) #
vtp domain benet
2950-S-1 (vlan) #vtp tran 透明模式(配置修改编号清零操作)
2950-S-1 (vlan) #vtp client 客户模式
2950-S-1 (vlan) #vtp password 123
2950-S-2 (vlan) #
vtp domain benet
2950-S-2 (vlan) #vtp tran 透明模式(配置修改编号清零操作)
2950-S-2 (vlan) #vtp client 客户模式
2950-S-2 (vlan) #vtp password 123
2950-S-3 (vlan) #
vtp domain benet
2950-S-3 (vlan) #vtp tran 透明模式(配置修改编号清零操作)
2950-S-3 (vlan) #vtp client 客户模式
2950-S-3 (vlan) #vtp password 123
2950-S-4 (vlan) #
vtp domain benet
2950-S-4 (vlan) #vtp tran 透明模式(配置修改编号清零操作)
2950-S-4 (vlan) #vtp client 客户模式
2950-S-4 (vlan) #vtp password 123
3
.
MST
多生成树配置
3550-S-1 (config) # int vlan 1
3550-S-1 (config) # spanning-tree mode mst 启用mst
3550-S-1 (config) #spanning-tree mst configuration 进入mst配置
3550-S-1 (config-mst) #
name mst 命名为mst
3550-S-1 (config-mst) #
instance 1 vlan 1-3 定义实例
3550-S-1 (config-mst) #
instance 2 vlan 4-5
3550-S-1 (config-mst) #
instance 3 vlan 6-7
3550-S-1 (config-mst) #
instance 4 vlan 127
3550-S-1 (config-mst) #
revision 1 配置版本号
3550-S-1 (config-mst) #
spanning-tree mst 1 root primary
为根交换机
3550-S-1 (config-mst) #
spanning-tree mst 2 root primary
3550-S-1 (config-mst) #
spanning-tree mst 3 root secordary
3550-S-1 (config-mst) #
spanning-tree mst 4 root secordary
为次根交换机
3550-S-2 (config) # spanning-tree mode mst 启用mst
3550-S-2 (config) #spanning-tree mst configuration 进入mst配置
3550-S-2 (config-mst) #
name mst 命名为mst
3550-S-2 (config-mst) #
instance 1 vlan 1-3
3550-S-2 (config-mst) #
instance 2 vlan 4-5
3550-S-2 (config-mst) #
instance 3 vlan 6-7
3550-S-2 (config-mst) #
instance 4 vlan 127
3550-S-2 (config-mst) #
revision 1 ………配置版本号
3550-S-2 (config-mst) #
spanning-tree mst 4 root primary
为根交换机
3550-S-2 (config-mst) #
spanning-tree mst 3 root primary
3550-S-2 (config-mst) #
spanning-tree mst 2 root secordary
3550-S-2 (config-mst) #
spanning-tree mst 1 root secordary
为次根交换机
4
.
VRRP
虚拟路由冗作协议
优先级
3550-S-1 (config) # int vlan 1
3550-S-1 (config-if) # vrrp 1
pri 200
3550-S-1 (config) # int vlan 2
3550-S-1 (config-if) # vrrp 2 pri
200
3550-S-1 (config) # int vlan 3
3550-S-1 (config-if) # vrrp 3 pri
200
…(略)
3550-S-2 (config) # int vlan 1
3550-S-2 (config-if) # vrrp 1 pri
100
3550-S-2 (config) # int vlan 2
3550-S-2 (config-if) # vrrp 2 pri
100
3550-S-2 (config) # int vlan 3
3550-S-2 (config-if) # vrrp 3 pri
100
…(略)
加入vrrp组,占先权,跟踪端口
3550-S-2 (config) # int vlan 1
3550-S-2 (config) #
track 1 interface f0/1 定义跟踪编号
3550-S-2 (config-if) #
vrrp 1 ip 192.168.1.254
3550-S-2 (config-if) #
vrrp 1 preempt 占先权
3550-S-2 (config-if) # vrrp 1 authentication text cisco 明文认证
3550-S-2 (config-if) #
vrrp 1 track 1 decrement 150 端口跟踪
3550-S-2 (config) # int vlan 2
3550-S-2 (config-if) #
vrrp 2 ip 192.168.2.254
3550-S-2 (config-if) #
vrrp 2 preempt 占先权
3550-S-2 (config-if) #
vrrp 2 track 1 decrement 150
端口跟踪
3550-S-2 (config) # int vlan 3
3550-S-2 (config-if) #
vrrp 3 ip 192.168.3.254
3550-S-2 (config-if) #
vrrp 3 preempt 占先权
3550-S-2 (config-if) #
vrrp 3 track 1 decrement 150
…(略)
3550-S-2 (config) # int vlan 1
3550-S-2 (config) #track 1 interface f0/1 定义跟踪编号
3550-S-2 (config-if) vrrp 1 ip 192.168.1.254
3550-S-2 (config-if) #
vrrp 1 preempt 占先权
3550-S-2 (config-if) # vrrp 1 authentication text cisco 明文认证
3550-S-2 (config-if) #
vrrp 1 track 1 decrement 150
端口跟踪
3550-S-2 (config) # int vlan 2
3550-S-2 (config-if) # standby 2 ip 192.168.2.254
3550-S-2 (config-if) #
standby 2 preempt 占先权
3550-S-2 (config-if) #
standby 2 track 1 decrement 150 端口跟踪
3550-S-2 (config) # int vlan 3
3550-S-2 (config-if) #
standby 3 ip 192.168.3.254
3550-S-2 (config-if) #
standby 3 preempt 占先权
3550-S-2 (config-if) #
standby 3 track 1 decrement 150 端口跟踪
…(略)
5
.
以太网通道(优化流量)
3550-S-1 (config) # int f0/23
3550-S-1 (config-if) #switchport mode trunk 永久中继模式
3550-S-1 (config) # int f0/24
3550-S-1 (config-if) #switchport mode trunk 永久中继模式
3550-S-1 (config) #
port-channel load-balance src-dst-mac 基于源和目标MAC负载均衡
3550-S-1 (config) # int range f0/23 -24
3550-S-1 (if-range) #
channel-group 1 mode on
3550-S-1 (if-range) # no sh 激活端口
3550-S-2 (config) # int f0/23
3550-S-2 (config-if) #switchport mode trunk
3550-S-2 (config) # int f0/24
3550-S-2 (config-if) #switchport mode trunk
3550-S-2 (config) # int range f0/23 -24
3550-S-2 (config) #
port-channel load-balance src-dst-mac 基于源和目标MAC负载均衡
3550-S-2 (if-range) #
channel-group 1 mode on
3550-S-2 (if-range) # no sh
--------------------------------------------------------------------------
2950-S-4 (config) # int f0/23
2950-S-4 (config-if) #switchport mode trunk
2950-S-4 (config) # int f0/24
2950-S-4 (config-if) #switchport mode trunk
2950-S-4 (config) # int range f0/23 -24
2950-S-4 (config) #
port-channel load-balance src-dst-mac 基于源和目标MAC负载均衡
2950-S-4 (config) # int range f0/23 -24
2950-S-4(if-range) #
channel-group 2 mode on
2950-S-4 (if-range) # no sh....激活端口
3550-S-1 (config) # int f0/8
3550-S-1 (config-if) #switchport mode trunk
3550-S-1 (config) # int f0/9
3550-S-1 (config-if) #switchport mode trunk
3550-S-1 (config) # int range f0/8 -9
3550-S-1 (config) #
port-channel load-balance src-dst-mac 基于源和目标MAC负载均衡
3550-S-1(if-range) #
channel-group 2 mode on
3550-S-1 (if-range) # no sh
…(略)
6
.
DHCP
配置
3550-S-1 (config) # ip dhcp pool
vlan2-glb 管理部
3550-S-1 (dhcp-config) # network 192.168.2.0 255.255.255.0 地址池范围
3550-S-1 (config) #
ip dhcp excluded-address 192.168.2.2 192.168.2.10 保留
3550-S-1 (config) #
ip dhcp excluded-address 192.168.2.201 192.168.2.254
3550-S-1 (dhcp-config) #
lease 5 租约为5天
3550-S-1 (dhcp-config) #
dns-server 1.1.1.1 2.2.2.2 DNS服务器
3550-S-1 (config) #
default-router 192.168.2.254 默认网关
3550-S-1 (config) # ip dhcp pool
vlan3-cwb 财务部
3550-S-1 (dhcp-config) # network 192.168.3.0 255.255.255.0 地址池范围
3550-S-1 (dhcp-config) #
ip dhcp excluded-address 192.168.3.2 192.168.3.10 保留
3550-S-1 (dhcp-config) #
ip dhcp excluded-address 192.168.3.201 192.168.3.254
3550-S-1 (dhcp-config) #
lease 5 租约为5天
3550-S-1 (dhcp-config) #
dns-server 1.1.1.1 2.2.2.2 DNS服务器
3550-S-1 (dhcp-config) #
default-router 192.168.3.254 默认网关
…(略)
7
.
NTP
配置
将BJ-R-1设为NTP服务器,其余作NTP客户端,实现全网设备时钟同步
BJ-R-1(config)#
ntp master
BJ-R-1(config)# clock set 10:00:00 seq 2007 设置时钟
BJ-R-1(config)# ntp authenticate 启用ntp认证
BJ-R-1(config)# ntp trusted-key 1
BJ-R-1(config)#
ntp authentication-key 1 md5 benet
3550-S-1 (config) # ntp server 192.168.10.254
3550-S-1(config)# ntp authenticate 启用ntp认证
3550-S-1(config)# ntp authentication-key 1 md5 benet
3550-S-2 (config) # ntp server 192.168.20.254
3550-S-2(config)# ntp authenticate 启用ntp认证
BJ-R-1(config)# ntp trusted-key 1
3550-S-2(config)#
ntp authentication-key 1 md5 benet
…(略)
8
.
路由、NAT配置
北京总部
-----------------
静态路由
BJ-R-1(config)# ip route 192.168.100.0 255.255.255.0 f0/0 青岛办事处***
BJ-R-1(config)# ip route 192.168.200.0 255.255.255.0 f0/1 广州办事处***
BJ-R-1(config)# ip route 0.0.0.0 0.0.0.0 f0/0 10 缺省路由(网通ISP)
BJ-R-1(config)# ip route 0.0.0.0 0.0.0.0 f0/1 20 缺省路由(电信ISP)
-----------------
ospf
BJ-R-1(config)# router ospf 1
BJ-R-1(config-router)# network 192.168.1.2 0.0.0.0 area 0
BJ-R-1(config-router)# network 192.168.2.2 0.0.0.0 area 0
BJ-R-1(config-router)#
area 0 authentication message-digest 启用MD5认证
BJ-R-1(config)# interface f0/2
BJ-R-1(config-if)#
ip ospf message-digest-key 1 md5 benet-md5 定义密钥
BJ-R-1(config)# interface f0/3
BJ-R-1(config-if)#
ip ospf message-digest-key 1 md5 benet-md5 定义密钥
BJ-R-1(config-router)#
default-information orig 分发缺省路由tub
3550-S-1 (config) # int f0/0
3550-S-1 (config) #
no switchport
打开路由端口
3550-S-1 (config) # network 192.168.100.1 0.0.0.0 area 0
3550-S-1 (config) #
area 0 authentication message-digest
3550-S-1 (config) # interface f0/0
3550-S-1 (config) #
ip ospf message-digest-key 1 md5 benet-md5
3550-S-2 (config) # int f0/0
3550-S-2 (config) #
no switchport
3550-S-2 (config) # router ospf 1
3550-S-2 (config) # network 192.168.200.1 0.0.0.0 area 0
使用
路由策略优化网络流量:
1).
内部用户访问网通ISP资源,流量从f0/0出站,当访问电信ISP资源,流量从f0/1出站
2).
从不同ISP网络上所来的流量,从各自的线路返回
网通CNC IP段:100.1.1.1、101.1.1.1、102.1.1.1 (假定)
电信CTC IP 段:200.1.1.1、201.1.1.1、202.1.1.1(假定)
----------------------------------------------------------关于电信ip 段ACL
BJ-R-1(config# ip access-list extended
BJ-CTC-ACL
BJ-R-1(config-ext-nacl# ip access-list extended
BJ-CTC-ACL
BJ-R-1(config-ext-nacl# deny ip 192.168.0.0 0.0.255.255 192.168.100.0 0.0.0.255 拒绝至青岛×××流量
BJ-R-1(config-ext-nacl# deny ip 192.168.0.0 0.0.255.255 192.168.200.0 0.0.0.255 拒绝至广州×××流量
BJ-R-1(config-ext-nacl# permit ip 192.168.0.0 0.0.255.255 200.1.1.0 0.0.0.255
BJ-R-1(config-ext-nacl# permit ip 192.168.0.0 0.0.255.255 201.1.1.0 0.0.0.255
BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 202.1.1.0 0.0.0.255
----------------------------------------------------------关于网通ip 段ACL
BJ-R-1(config)# ip access-list extended
BJ-CNC-ACL
BJ-R-1(config-ext-nacl)# ip access-list extended
BJ-CNC-ACL
BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 100.1.1.0 0.0.0.255
BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 101.1.1.0 0.0.0.255
BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 102.1.1.0 0.0.0.255
-----------------------------------------------------------其它可能的IP段ACL
BJ-R-1(config)# ip access-list extended
other-ACL
BJ-R-1(config-ext-nacl)# ip access-list extended
other-ACL
BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 100.1.1.0 0.0.0.255
BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 101.1.1.0 0.0.0.255
BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 102.1.1.0 0.0.0.255
Route-map
route-policy permit 10
Math ip address
BJ-CTC-ACL
Set ip next-hop int f0/1………电信CTC
Route-map
route-policy permit 20
Math ip address
BJ-CNC-ACL
Set ip next-hop int f0/0………网通CNC
BJ-R-1(config)# int f0/2
BJ-R-1(config)# ip policy route-map
route-policy 策略调用
BJ-R-1(config)# int f0/3
BJ-R-1(config)# ip policy route-map
route-policy 策略调用
定义合法地址池
BJ-R-1(config)# ip nat pool
BJ-CNC-address
200.1.1.252 200.1.1.254 prefix 24
BJ-R-1(config)# ip nat pool
BJ-CTC-address
100.1.1.252 100.1.1.254 prefix 24
NAT转换
BJ-R-1(config)# ip nat inside source list
BJ-CTC-ACL pool
BJ-CTC-address overload
BJ-R-1(config)# ip nat inside source list
BJ-CNC-ACL pool
BJ-CNC-address overload
BJ-R-1(config)# ip nat inside source list
Other-ACL pool
BJ-CNC-address overload
端口映射,发布FTP web服务器
BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 80 200.1.1.254 eq 80 web服务器
BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 80 100.1.1.254 eq 80
BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 21 200.1.1.254 eq 21 ftp服务器
BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 21 100.1.1.254 eq 21
青岛办事处
QD-R-1(config)# access-list 101 deny ip any 192.168.0.0 0.255.255
QD-R-1(config)# access-list 101 permit ip any any
QD-R-1(config)# ip nat pool
QD-CNC-address
101.1.1.252 101.1.1.254 prefix 24
BJ-R-1(config)# ip nat inside source list pool
BJ-CNC-address overload
广州办事处
QD-R-1(config)# access-list 101 deny ip any 192.168.0.0 0.255.255
QD-R-1(config)# access-list 101 permit ip any any
QD-R-1(config)# ip nat pool
GZ-CTC-address
101.1.1.252 101.1.1.254 prefix 24
BJ-R-1(config)# ip nat inside source list pool
GZ-CTC-address overload
9
.
Ipsec ×××
*****************************************************
北京总部
1、Isakmp 密钥协商
BJ-R-1(config)# crypto isakmp enable 启用IKE
BJ-R-1(config)# crypto isakmp policy 1 建立IKE协商策略
BJ-R-1(config-isakmp)# hash md5
BJ-R-1(config-isakmp)# encryption des
BJ-R-1(config-isakmp)# authentication pre-share
BJ-R-1(config)# crypto isakmp key
QD-password address 201.1.1.1
2、Ipsec参数设置
BJ-R-1(config)# ip access-list extened
BJ-QD-×××
BJ-R-1(config-ext-nacl)# permit 192.168.0.0 0.0.255.255 192.168.200.0 0.0.0.255
BJ-R-1(config)# crypto ipsec transform-set
QD-set ah-md5 esp-des
3、端口应用
BJ-R-1(config)# crypto map QD-map 1 ipsec-isakmp 新建加密图
BJ-R-1(config-crypto-map)# set peer 201.1.1.1 对端地址
BJ-R-1(config-crypto-map)# match address
BJ-QD-×××
BJ-R-1(config-crypto-map)# set transform-set QD-set 指定传输模式
BJ-R-1(config)#int f0/0
BJ-R-1(config)#crypto map QD-map
---------------------------------------------------------------------
BJ-R-1(config)# crypto isakmp key
GZ-password address 101.1.1.1
Ipsec参数设置
BJ-R-1(config)# ip access-list extened
BJ-GZ-×××
BJ-R-1(config-ext-nacl)# permit 192.168.0.0 0.0.255.255 192.168.100.0 0.0.0.255
BJ-R-1(config)# crypto ipsec transform-set
GZ-set ah-md5 esp-des
端口应用
BJ-R-1(config)# crypto map GZ-map 1 ipsec-isakmp 新建加密图
BJ-R-1(config-crypto-map)# set peer 101.1.1.1 对端地址
BJ-R-1(config-crypto-map)# match address
BJ-GZ-×××
BJ-R-1(config-crypto-map)# set transform-set GZ-set 指定传输模式
BJ-R-1(config)#int f0/1
BJ-R-1(config)#crypto map GZ-map
**************************************************************
青岛办事处
1、建立IKE协商策略
BJ-R-1(config)# crypto isakmp policy 1
BJ-R-1(config-isakmp)# hash md5
BJ-R-1(config-isakmp)# encryption des
BJ-R-1(config-isakmp)# authentication pre-share
BJ-R-1(config)# crypto isakmp key
QD-password address 200.1.1.1
2、Ipsec参数设置
BJ-R-1(config)# ip access-list extened
QD-×××
BJ-R-1(config-ext-nacl)# permit 192.168.200.0 0.0.255.255 192.168.0.0 0.0.0.255
BJ-R-1(config)# crypto ipsec transform-set
QD-set ah-md5 esp-des
3、端口应用
BJ-R-1(config)# crypto map QD-map 1 ipsec-isakmp 新建加密图
BJ-R-1(config-crypto-map)# set peer 200.1.1.1 对端地址
BJ-R-1(config-crypto-map)# match address
QD-×××
BJ-R-1(config-crypto-map)# set transform-set QD-set 指定传输模式
BJ-R-1(config)#int f0/0
BJ-R-1(config)#crypto map QD-map
****************************************************************
广州办事处
1、建立IKE协商策略
BJ-R-1(config)# crypto isakmp policy 1
BJ-R-1(config-isakmp)# hash md5 md5认证
BJ-R-1(config-isakmp)# encryption des des加密
BJ-R-1(config-isakmp)#
authentication pre-share
BJ-R-1(config)# crypto isakmp key
GZ-password address 200.1.1.1
2、Ipsec参数设置
BJ-R-1(config)# ip access-list extened
GZ-×××
BJ-R-1(config-ext-nacl)# permit 192.168.100.0 0.0.255.255 192.168.0.0 0.0.0.255
BJ-R-1(config)# crypto ipsec transform-set
GZ-set ah-md5 esp-des
3、端口应用
BJ-R-1(config)# crypto map GZ-map 1 ipsec-isakmp 新建加密图
BJ-R-1(config-crypto-map)# set peer 100.1.1.1 对端地址
BJ-R-1(config-crypto-map)# match address
GZ-×××
BJ-R-1(config-crypto-map)# set transform-set QD-set 指定传输模式
BJ-R-1(config)#int f0/0
BJ-R-1(config)#crypto map GZ-map
10
.
流量控制及安全设置
1) 管理部、财务部vlan实现互访,且允许访问internet
2) 财务部实现与销售部、采购部vlan单向访问
3) 各部门vlan相对独立,都能访问服务器组,且允许访问internet
4) 控制设备的telnet会话,仅允许来自信息中心vlan的会话
5) 上海、青岛办事处只能访问总部服务器组vlan
6) 关闭cdp
7) 关闭 httpserver
8) 关闭著名端口(端口过滤)
北京总部
3550-S-1 (config) # ip access-list extended
glb-ACL 管理部ACL
3550-S-1 (config-ext-nacl) #permit ip any 192.168.3.0 0.0.0.255
3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255
3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255
3550-S-1 (config-ext-nacl) #permit ip any any
******************
3550-S-1 (config) # ip access-list extended
cwb-ACL 财务部ACL
3550-S-1 (config-ext-nacl) #permit ip any 192.168.4.0 0.0.0.255
reflect
cwb-xsb
自反ACL
3550-S-1 (config-ext-nacl) #permit ip any 192.168.5.0 0.0.0.255
reflect
cwb-cgb
自反ACL
3550-S-1 (config-ext-nacl) #permit ip any 192.168.2.0 0.0.0.255
3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255
3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255
3550-S-1 (config-ext-nacl) #permit ip any any
******************
3550-S-1 (config) # ip access-list extended
xsb-ACL 销售部ACL
3550-S-1 (config-ext-nacl) #evaluate
cwb-xsb 计算匹配自反ACL
3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 访问服务组
3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255
3550-S-1 (config-ext-nacl) #permit ip any any
*****************
3550-S-1 (config) # ip access-list extended
cgb-ACL 采购部ACL
3550-S-1 (config-ext-nacl) #evaluate
cwb-cgb 计算匹配自反ACL
3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 访问服务组
3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255
3550-S-1 (config-ext-nacl) #permit ip any any
*****************
3550-S-1 (config) # ip access-list extended
zzb-ACL 制造部ACL
3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 访问服务组
3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255
3550-S-1 (config-ext-nacl) #permit ip any any
…(略)
可控VTY访问,仅允许来自
信息中心vlan的会话
3550-S-1 (config) # ip access-list extended
telnet-ACL
3550-S-1 (config) # permit ip 192.168.7.0 0.0.0.255
3550-S-1 (config) # username benet password 0 benetpassword 建立本地数据库
3550-S-1 (config) # line consol 0
3550-S-1 (config) # line vty 0 4
3550-S-1 (config) # login local 验证本地数据库
3550-S-1 (config) # access-class telnet-ACL in 调用
…(略)
青岛办事处
QD-R-1 (config) # access-list 101 permit ip any 192.168.127.0 0.0.0.255
QD-R-1 (config) # access-list 101 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
QD-R-1 (config) # access-list 101 permit ip any any
QD-R-1 (config) # int f0/1
QD-R-1 (config) # ip access-group 101 in
广州办事处
GZ-R-1 (config) # access-list 101 permit ip any 192.168.127.0 0.0.0.255
GZ-R-1 (config) # access-list 101 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
GZ-R-1 (config) # access-list 101 permit ip any any
GZ-R-1 (config) # int f0/1
GZ-R-1 (config) # ip access-group 101 in
关闭cdp 协议,http协议
BJ-R-1 (config) #no cdp run
BJ-R-1 (config) # no ip http server
3550-S-2 (config) # no cdp run
3550-S-1 (config) # no ip http server
3550-S-2 (config) # no cdp run
3550-S-2 (config) # no ip http server
…(略)
端口数据包过滤
BJ-R-1(config)# ip access-list extended
port-in-ACL
定义入站ACL
BJ-R-1(config-ext-nacl)# permit ip host 201.1.1.1 any 信任青岛办事处
BJ-R-1(config-ext-nacl)# permit ip host 101.1.1.1 any 信任广州办事处
BJ-R-1(config-ext-nacl)# deny tcp any any eq 1023
BJ-R-1(config-ext-nacl)# deny tcp any any eq 3332
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4444
BJ-R-1(config-ext-nacl)# deny tcp any any eq 444
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4899
BJ-R-1(config-ext-nacl)# deny tcp any any eq 44
BJ-R-1(config-ext-nacl)# deny tcp any any eq 135
BJ-R-1(config-ext-nacl)# deny tcp any any eq 136
BJ-R-1(config-ext-nacl)# deny tcp any any eq 137
BJ-R-1(config-ext-nacl)# deny tcp any any eq 138
BJ-R-1(config-ext-nacl)# deny tcp any any eq netbio
BJ-R-1(config-ext-nacl)# deny tcp any any eq 3127
BJ-R-1(config-ext-nacl)# deny tcp any any eq 5554
BJ-R-1(config-ext-nacl)# deny tcp any any eq 9996
BJ-R-1(config-ext-nacl)# deny tcp any any eq 6129
BJ-R-1(config-ext-nacl)# deny tcp any any eq 2745
BJ-R-1(config-ext-nacl)# deny tcp any any eq 1025
BJ-R-1(config-ext-nacl)# deny udp any any eq tftp
BJ-R-1(config-ext-nacl)# deny udp any any eq 445
BJ-R-1(config-ext-nacl)# deny udp any any eq 135
BJ-R-1(config-ext-nacl)# deny udp any any eq 4444
BJ-R-1(config-ext-nacl)# deny tcp any any eq 1010
BJ-R-1(config-ext-nacl)# deny tcp any any eq 1011
BJ-R-1(config-ext-nacl)# deny tcp any any eq 1012
BJ-R-1(config-ext-nacl)# deny tcp any any eq 1015
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4661
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4662
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4663
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4664
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4665
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4666
BJ-R-1(config-ext-nacl)# deny tcp any any eq 7597
BJ-R-1(config-ext-nacl)# deny tcp any any eq 22226
BJ-R-1(config-ext-nacl)# deny tcp any any eq 1027
BJ-R-1(config-ext-nacl)# deny tcp any any eq 5168
BJ-R-1(config-ext-nacl)# permit ip any any
端口调用
BJ-R-1(config)# int f0/0 网通WAN口
BJ-R-1(config-if)# ip access-group
port-in-ACL in
BJ-R-1(config)# int f0/0 电信WAN口
BJ-R-1(config-if)# ip access-group
port-in-ACL in
BJ-R-1(config)# int f0/2 LAN口
BJ-R-1(config-if)# ip access-group
port-in-ACL in
BJ-R-1(config)# int f0/3 LAN口
BJ-R-1(config-if)# ip access-group
port-in-ACL in
|