综合实验(NAT+×××+VRPP+MST)

技术关键词

Vlan、VTP、VRRP、MST、NTP、DHCP、OSPF、ACL、NAT、×××

1、Vlan信息

Vlan ID

网络地址

名 称

描 述

1

192.168.1.0/24

-

本地vlan

2

192.168.2.0/24

glb

管理部

3

192.168.3.0/24

cwb

财务部

4

192.168.4.0/24

xsb

销售部

5

192.168.5.0/24

cgb

采购部

6

192.168.6.0/24

zzb

制造部

7

192.168.7.0/24

xxzx

信息中心

127

192.168.127.0/24

Srv

服务器组

2、VTP 信息

设备名称

Domain

Prunning

Password

Mode

3550-S-1

Benet

Enable

123

Server

3550-S-2

Benet

Enable

123

Server

2950-S-1

Benet

Enable

123

Client

2950-S-2

Benet

Enable

123

Client

2950-S-3

Benet

Enable

123

Client

2950-S-4

Benet

Enable

123

Client

3、设备IP 地址分配

设备名称

接口

IP地址

描述

位置

BJ-R-1

F0/0

200.1.1.1/24

网通WAN

BJ

F0/1

100.1.1.1/24

电信WAN

BJ

F0/2

192.168.10.254/24

-

BJ

F0/3

192.168.20.254/24

-

BJ

3550-S-1

F0/0

192.168.10.1/24

3L-Switch

BJ

3550-S-2

F0/0

192.168.20.1/24

3L-Switch

BJ

GZ-R-1

F0/0

201.1.1.1/24

电信WAN

GZ

F0/1

192.168.100.254/24

-

GZ

QD-R-1

F0/0

101.1.1.1/24

网通WAN

QD

F0/1

192.168.200.254/24

-

QD

4、DHCP信息

名称

IP地址池

默认网关

默认DNS

描述

Glb-vlan2

192.168.2.10 – 200

192.168.2.254

1.1.1.1

管理部

2.2.2.2

Cwb-vlan3

192.168.3.10 – 200

192.168.3.254

1.1.1.1

财务部

2.2.2.2

Xsb-vlan4

192.168.4.10 – 200

192.168.4.254

1.1.1.1

销售部

2.2.2.2

Cgb-vlan5

192.168.5.10 – 200

192.168.5.254

1.1.1.1

采购部

2.2.2.2

Zzb-vlan6

192.168.6.10 – 200

192.168.6.254

1.1.1.1

制造部

2.2.2.2

Xxzx-vlan7

192.168.7.10 – 200

192.168.7.254

1.1.1.1

信息中心

2.2.2.2

5、VRRP信息

SVI接口

优先级

状态

IP

HSRP IP

设备

Vlan1

1

200

Active

192.168.1.1

192.168.1.254

3550-S-1

Vlan2

2

200

Active

192.168.2.1

192.168.2.254

3550-S-1

Vlan3

3

200

Active

192.168.3.1

192.168.3.254

3550-S-1

Vlan4

4

100

Standby

192.168.4.1

192.168.4.254

3550-S-1

Vlan5

5

100

Standby

192.168.5.1

192.168.5.254

3550-S-1

Vlan6

6

100

Standby

192.168.6.1

192.168.6.254

3550-S-1

Vlan7

7

100

Standby

192.168.7.1

192.168.7.254

3550-S-1

Vlan127

127

100

Standby

192.168.127.1

192.168.127.254

3550-S-1

Vlan1

1

100

Standby

192.168.1.2

192.168.1.254

3550-S-2

Vlan2

2

100

Standby

192.168.2.2

192.168.2.254

3550-S-2

Vlan3

3

100

Standby

192.168.3.2

192.168.3.254

3550-S-2

Vlan4

4

200

Active

192.168.4.2

192.168.4.254

3550-S-2

Vlan5

5

200

Active

192.168.5.2

192.168.5.254

3550-S-2

Vlan6

6

200

Active

192.168.6.2

192.168.6.254

3550-S-2

Vlan7

6

100

Active

192.168.7.2

192.168.7.254

3550-S-2

Vlan127

127

200

Active

192.168.127.2

192.168.127.254

3550-S-2

6、MST 信息

Mst-1:vlan1、vlan2管理部、vlan3财务部

Mst-2:vlan4销售部、vlan5采购部

Mst-3:vlan6制造部、vlan7信息中心

Mst-4:vlan127服务器组

负载均衡

mst-1 mst -2 根网桥3550-S-1

mst-3 mst -4 根网桥3550-S-2

交换机、路由器详细配置

1 IP地址设置

北京

BJ-R-1(config)# int F0/0

BJ-R-1 (config-if) #ip add 200.1.1.1 255.255.255.0

BJ-R-1 (config-if) #no shutdown

----------------------------------

BJ-R-1(config)# int F0/1

BJ-R-1 (config-if) #ip add 100.1.1.1 255.255.255.0

BJ-R-1 (config-if) #no shutdown

---------------------------------

BJ-R-1(config)# int f0/2

BJ-R-1 (config-if) #ip add 192.168.10.254 255.255.255.0

BJ-R-1 (config-if) #no shutdown

---------------------------------

BJ-R-1(config)# int f0/3

BJ-R-1 (config-if) #ip add 192.168.20.254 255.255.255.0

BJ-R-1 (config-if) #no shutdown

3550-S-1 (config) # int vlan 1

3550-S-1 (config-if) # ip add 192.168.1.1 255.255.255.0

3550-S-1 (config-if) # int vlan 2

3550-S-1 (config-if) # ip add 192.168.2.1 255.255.255.0

3550-S-1 (config-if) # int vlan 3

3550-S-1 (config-if) # ip add 192.168.3.1 255.255.255.0

3550-S-1 (config-if) # int vlan 4

3550-S-1 (config-if) # ip add 192.168.4.1 255.255.255.0

3550-S-1 (config-if) # int vlan 5

3550-S-1 (config-if) # ip add 192.168.5.1 255.255.255.0

3550-S-1 (config-if) # int vlan 6

3550-S-1 (config-if) # ip add 192.168.6.1 255.255.255.0

3550-S-1 (config-if) # int vlan 7

3550-S-1 (config-if) # ip add 192.168.6.1 255.255.255.0

3550-S-1 (config-if) # int vlan 127

3550-S-1 (config-if) # ip add 192.168.127.1 255.255.255.0

3550-S-2 (config) # int vlan 1

3550-S-2 (config-if) # ip add 192.168.1.2 255.255.255.0

3550-S-2 (config-if) # int vlan 2

3550-S-2 (config-if) # ip add 192.168.2.2 255.255.255.0

…(略)

广州

GZ-R-1(config)# int F0/0

GZ-R-1 (config-if) # ip add 201.1.1.1 255.255.255.0 定义WAN口

GZ-R-1 (config-if) # no shutdown

GZ-R-1(config)# int F0/1

GZ-R-1 (config-if) # ip add 192.168.200.254 255.255.255.0 定义LAN口

GZ-R-1 (config-if) # no shutdown

-------------------------------------------------------------------

青岛

QD-R-1(config)# int F0/0

QD-R-1 (config-if) # ip add 101.1.1.1 255.255.255.0 定义WAN口

QD-R-1 (config-if) # no shutdown

QD-R-1(config)# int f0/0

QD-R-1 (config-if) # ip add 192.168.100.254 255.255.255.0.. .定义LAN口

QD-R-1 (config-if) # no shutdown

2 VTP配置

3550-S-1(config)# vlan database vlan数据库模式

3550-S-1 (vlan) # vtp domain benet

3550-S-1 (vlan) # vtp server 服务器模式

3550-S-1 (vlan) # vtp password 123

3550-S-1 (vlan) # vtp pruning 启用修剪

按部门划分vlan

3550-S-1 (vlan) # vlan 2 name glb 管理部

3550-S-1 (vlan) # vlan 3 name cwb 财务部

3550-S-1 (vlan) # vlan 4 name xsb 销售部

3550-S-1 (vlan) # vlan 5 name cgb 采购部

3550-S-1 (vlan) # vlan 6 name zzb 制造部

3550-S-1 (vlan) # vlan 7 name xxzx 信息中心

3550-S-1 (vlan) # vlan 127 name svr 服务器组

------------------------------------------------

3550-S-2 (config) # vlan database vlan数据库模式

3550-S-2 (vlan) # vtp domain benet

3550-S-2 (vlan) # vtp server

3550-S-2 (vlan) # vtp password 123

------------------------------------------------

2950-S-1 (vlan) #vtp domain benet

2950-S-1 (vlan) #vtp tran 透明模式(配置修改编号清零操作)

2950-S-1 (vlan) #vtp client 客户模式

2950-S-1 (vlan) #vtp password 123

2950-S-2 (vlan) #vtp domain benet

2950-S-2 (vlan) #vtp tran 透明模式(配置修改编号清零操作)

2950-S-2 (vlan) #vtp client 客户模式

2950-S-2 (vlan) #vtp password 123

2950-S-3 (vlan) #vtp domain benet

2950-S-3 (vlan) #vtp tran 透明模式(配置修改编号清零操作)

2950-S-3 (vlan) #vtp client 客户模式

2950-S-3 (vlan) #vtp password 123

2950-S-4 (vlan) #vtp domain benet

2950-S-4 (vlan) #vtp tran 透明模式(配置修改编号清零操作)

2950-S-4 (vlan) #vtp client 客户模式

2950-S-4 (vlan) #vtp password 123

3 MST多生成树配置

3550-S-1 (config) # int vlan 1

3550-S-1 (config) # spanning-tree mode mst 启用mst

3550-S-1 (config) #spanning-tree mst configuration 进入mst配置

3550-S-1 (config-mst) #name mst 命名为mst

3550-S-1 (config-mst) # instance 1 vlan 1-3 定义实例

3550-S-1 (config-mst) # instance 2 vlan 4-5

3550-S-1 (config-mst) # instance 3 vlan 6-7

3550-S-1 (config-mst) # instance 4 vlan 127

3550-S-1 (config-mst) # revision 1  配置版本号

3550-S-1 (config-mst) # spanning-tree mst 1 root primary 为根交换机

3550-S-1 (config-mst) # spanning-tree mst 2 root primary

3550-S-1 (config-mst) # spanning-tree mst 3 root secordary

3550-S-1 (config-mst) # spanning-tree mst 4 root secordary 为次根交换机

3550-S-2 (config) # spanning-tree mode mst 启用mst

3550-S-2 (config) #spanning-tree mst configuration 进入mst配置

3550-S-2 (config-mst) #name mst 命名为mst

3550-S-2 (config-mst) # instance 1 vlan 1-3

3550-S-2 (config-mst) # instance 2 vlan 4-5

3550-S-2 (config-mst) # instance 3 vlan 6-7

3550-S-2 (config-mst) # instance 4 vlan 127

3550-S-2 (config-mst) # revision 1 ………配置版本号

3550-S-2 (config-mst) # spanning-tree mst 4 root primary 为根交换机

3550-S-2 (config-mst) # spanning-tree mst 3 root primary

3550-S-2 (config-mst) # spanning-tree mst 2 root secordary

3550-S-2 (config-mst) # spanning-tree mst 1 root secordary 为次根交换机

4 VRRP虚拟路由冗作协议

优先级

3550-S-1 (config) # int vlan 1

3550-S-1 (config-if) # vrrp 1 pri 200

3550-S-1 (config) # int vlan 2

3550-S-1 (config-if) # vrrp 2 pri 200

3550-S-1 (config) # int vlan 3

3550-S-1 (config-if) # vrrp 3 pri 200

…(略)

3550-S-2 (config) # int vlan 1

3550-S-2 (config-if) # vrrp 1 pri 100

3550-S-2 (config) # int vlan 2

3550-S-2 (config-if) # vrrp 2 pri 100

3550-S-2 (config) # int vlan 3

3550-S-2 (config-if) # vrrp 3 pri 100

…(略)

加入vrrp组,占先权,跟踪端口

3550-S-2 (config) # int vlan 1

3550-S-2 (config) # track 1 interface f0/1 定义跟踪编号

3550-S-2 (config-if) # vrrp 1 ip 192.168.1.254

3550-S-2 (config-if) # vrrp 1 preempt 占先权

3550-S-2 (config-if) # vrrp 1 authentication text cisco 明文认证

3550-S-2 (config-if) # vrrp 1 track 1 decrement 150 端口跟踪

3550-S-2 (config) # int vlan 2

3550-S-2 (config-if) # vrrp 2 ip 192.168.2.254

3550-S-2 (config-if) # vrrp 2 preempt 占先权

3550-S-2 (config-if) # vrrp 2 track 1 decrement 150 端口跟踪

3550-S-2 (config) # int vlan 3

3550-S-2 (config-if) # vrrp 3 ip 192.168.3.254

3550-S-2 (config-if) # vrrp 3 preempt 占先权

3550-S-2 (config-if) # vrrp 3 track 1 decrement 150

…(略)

3550-S-2 (config) # int vlan 1

3550-S-2 (config) #track 1 interface f0/1 定义跟踪编号

3550-S-2 (config-if) vrrp 1 ip 192.168.1.254

3550-S-2 (config-if) # vrrp 1 preempt 占先权

3550-S-2 (config-if) # vrrp 1 authentication text cisco 明文认证

3550-S-2 (config-if) # vrrp 1 track 1 decrement 150 端口跟踪

3550-S-2 (config) # int vlan 2

3550-S-2 (config-if) # standby 2 ip 192.168.2.254

3550-S-2 (config-if) # standby 2 preempt 占先权

3550-S-2 (config-if) # standby 2 track 1 decrement 150 端口跟踪

3550-S-2 (config) # int vlan 3

3550-S-2 (config-if) # standby 3 ip 192.168.3.254

3550-S-2 (config-if) # standby 3 preempt 占先权

3550-S-2 (config-if) # standby 3 track 1 decrement 150 端口跟踪

…(略)

5 以太网通道(优化流量)

3550-S-1 (config) # int f0/23

3550-S-1 (config-if) #switchport mode trunk 永久中继模式

3550-S-1 (config) # int f0/24

3550-S-1 (config-if) #switchport mode trunk 永久中继模式

3550-S-1 (config) #port-channel load-balance src-dst-mac 基于源和目标MAC负载均衡

3550-S-1 (config) # int range f0/23 -24

3550-S-1 (if-range) # channel-group 1 mode on

3550-S-1 (if-range) # no sh 激活端口

3550-S-2 (config) # int f0/23

3550-S-2 (config-if) #switchport mode trunk

3550-S-2 (config) # int f0/24

3550-S-2 (config-if) #switchport mode trunk

3550-S-2 (config) # int range f0/23 -24

3550-S-2 (config) #port-channel load-balance src-dst-mac 基于源和目标MAC负载均衡

3550-S-2 (if-range) # channel-group 1 mode on

3550-S-2 (if-range) # no sh

--------------------------------------------------------------------------

2950-S-4 (config) # int f0/23

2950-S-4 (config-if) #switchport mode trunk

2950-S-4 (config) # int f0/24

2950-S-4 (config-if) #switchport mode trunk

2950-S-4 (config) # int range f0/23 -24

2950-S-4 (config) #port-channel load-balance src-dst-mac 基于源和目标MAC负载均衡

2950-S-4 (config) # int range f0/23 -24

2950-S-4(if-range) # channel-group 2 mode on

2950-S-4 (if-range) # no sh....激活端口

3550-S-1 (config) # int f0/8

3550-S-1 (config-if) #switchport mode trunk

3550-S-1 (config) # int f0/9

3550-S-1 (config-if) #switchport mode trunk

3550-S-1 (config) # int range f0/8 -9

3550-S-1 (config) #port-channel load-balance src-dst-mac 基于源和目标MAC负载均衡

3550-S-1(if-range) # channel-group 2 mode on

3550-S-1 (if-range) # no sh

…(略)

6 DHCP配置

3550-S-1 (config) # ip dhcp pool vlan2-glb 管理部

3550-S-1 (dhcp-config) # network 192.168.2.0 255.255.255.0 地址池范围

3550-S-1 (config) # ip dhcp excluded-address 192.168.2.2 192.168.2.10 保留

3550-S-1 (config) # ip dhcp excluded-address 192.168.2.201 192.168.2.254

3550-S-1 (dhcp-config) # lease 5 租约为5天

3550-S-1 (dhcp-config) # dns-server 1.1.1.1 2.2.2.2 DNS服务器

3550-S-1 (config) # default-router 192.168.2.254 默认网关

3550-S-1 (config) # ip dhcp pool vlan3-cwb 财务部

3550-S-1 (dhcp-config) # network 192.168.3.0 255.255.255.0 地址池范围

3550-S-1 (dhcp-config) # ip dhcp excluded-address 192.168.3.2 192.168.3.10 保留

3550-S-1 (dhcp-config) # ip dhcp excluded-address 192.168.3.201 192.168.3.254

3550-S-1 (dhcp-config) # lease 5 租约为5天

3550-S-1 (dhcp-config) # dns-server 1.1.1.1 2.2.2.2 DNS服务器

3550-S-1 (dhcp-config) # default-router 192.168.3.254 默认网关

…(略)

7 NTP配置

将BJ-R-1设为NTP服务器,其余作NTP客户端,实现全网设备时钟同步

BJ-R-1(config)# ntp master

BJ-R-1(config)# clock set 10:00:00 seq 2007 设置时钟

BJ-R-1(config)# ntp authenticate 启用ntp认证

  BJ-R-1(config)# ntp trusted-key 1

BJ-R-1(config)# ntp authentication-key 1 md5 benet

3550-S-1 (config) # ntp server 192.168.10.254

3550-S-1(config)# ntp authenticate 启用ntp认证

3550-S-1(config)# ntp authentication-key 1 md5 benet

3550-S-2 (config) # ntp server 192.168.20.254

3550-S-2(config)# ntp authenticate 启用ntp认证

  BJ-R-1(config)# ntp trusted-key 1

3550-S-2(config)# ntp authentication-key 1 md5 benet

…(略)

8 路由、NAT配置

北京总部

-----------------静态路由

BJ-R-1(config)# ip route 192.168.100.0 255.255.255.0 f0/0 青岛办事处***

BJ-R-1(config)# ip route 192.168.200.0 255.255.255.0 f0/1 广州办事处***

BJ-R-1(config)# ip route 0.0.0.0 0.0.0.0 f0/0 10 缺省路由(网通ISP)

BJ-R-1(config)# ip route 0.0.0.0 0.0.0.0 f0/1 20 缺省路由(电信ISP)

-----------------ospf

BJ-R-1(config)# router ospf 1

BJ-R-1(config-router)# network 192.168.1.2 0.0.0.0 area 0

BJ-R-1(config-router)# network 192.168.2.2 0.0.0.0 area 0

BJ-R-1(config-router)# area 0 authentication message-digest 启用MD5认证

BJ-R-1(config)# interface f0/2

BJ-R-1(config-if)# ip ospf message-digest-key 1 md5 benet-md5 定义密钥

BJ-R-1(config)# interface f0/3

BJ-R-1(config-if)# ip ospf message-digest-key 1 md5 benet-md5 定义密钥

BJ-R-1(config-router)# default-information orig 分发缺省路由tub

3550-S-1 (config) # int f0/0

3550-S-1 (config) # no switchport 打开路由端口

3550-S-1 (config) # network 192.168.100.1 0.0.0.0 area 0

3550-S-1 (config) # area 0 authentication message-digest

3550-S-1 (config) # interface f0/0

3550-S-1 (config) # ip ospf message-digest-key 1 md5 benet-md5

3550-S-2 (config) # int f0/0

3550-S-2 (config) # no switchport

3550-S-2 (config) # router ospf 1

3550-S-2 (config) # network 192.168.200.1 0.0.0.0 area 0

使用路由策略优化网络流量:

1).内部用户访问网通ISP资源,流量从f0/0出站,当访问电信ISP资源,流量从f0/1出站

2).从不同ISP网络上所来的流量,从各自的线路返回

网通CNC IP段:100.1.1.1、101.1.1.1、102.1.1.1 (假定)

电信CTC IP 段:200.1.1.1、201.1.1.1、202.1.1.1(假定)

----------------------------------------------------------关于电信ip 段ACL

BJ-R-1(config# ip access-list extended BJ-CTC-ACL

BJ-R-1(config-ext-nacl# ip access-list extended BJ-CTC-ACL

BJ-R-1(config-ext-nacl# deny ip 192.168.0.0 0.0.255.255 192.168.100.0 0.0.0.255 拒绝至青岛×××流量

BJ-R-1(config-ext-nacl# deny ip 192.168.0.0 0.0.255.255 192.168.200.0 0.0.0.255 拒绝至广州×××流量

BJ-R-1(config-ext-nacl# permit ip 192.168.0.0 0.0.255.255 200.1.1.0 0.0.0.255

BJ-R-1(config-ext-nacl# permit ip 192.168.0.0 0.0.255.255 201.1.1.0 0.0.0.255

BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 202.1.1.0 0.0.0.255

----------------------------------------------------------关于网通ip 段ACL

BJ-R-1(config)# ip access-list extended BJ-CNC-ACL

BJ-R-1(config-ext-nacl)# ip access-list extended BJ-CNC-ACL

BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 100.1.1.0 0.0.0.255

BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 101.1.1.0 0.0.0.255

BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 102.1.1.0 0.0.0.255

-----------------------------------------------------------其它可能的IP段ACL

BJ-R-1(config)# ip access-list extended other-ACL

BJ-R-1(config-ext-nacl)# ip access-list extended other-ACL

BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 100.1.1.0 0.0.0.255

BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 101.1.1.0 0.0.0.255

BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 102.1.1.0 0.0.0.255

Route-map route-policy permit 10

Math ip address BJ-CTC-ACL

Set ip next-hop int f0/1………电信CTC

Route-map route-policy permit 20

Math ip address BJ-CNC-ACL

Set ip next-hop int f0/0………网通CNC

BJ-R-1(config)# int f0/2

BJ-R-1(config)# ip policy route-map route-policy 策略调用

BJ-R-1(config)# int f0/3

BJ-R-1(config)# ip policy route-map route-policy 策略调用

定义合法地址池

BJ-R-1(config)# ip nat pool BJ-CNC-address 200.1.1.252 200.1.1.254 prefix 24

BJ-R-1(config)# ip nat pool BJ-CTC-address 100.1.1.252 100.1.1.254 prefix 24

NAT转换

BJ-R-1(config)# ip nat inside source list BJ-CTC-ACL pool BJ-CTC-address overload

BJ-R-1(config)# ip nat inside source list BJ-CNC-ACL pool BJ-CNC-address overload

BJ-R-1(config)# ip nat inside source list Other-ACL pool BJ-CNC-address overload

端口映射,发布FTP web服务器

BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 80 200.1.1.254 eq 80 web服务器

BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 80 100.1.1.254 eq 80

BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 21 200.1.1.254 eq 21 ftp服务器

BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 21 100.1.1.254 eq 21

青岛办事处

QD-R-1(config)# access-list 101 deny ip any 192.168.0.0 0.255.255

QD-R-1(config)# access-list 101 permit ip any any

QD-R-1(config)# ip nat pool QD-CNC-address 101.1.1.252 101.1.1.254 prefix 24

BJ-R-1(config)# ip nat inside source list pool BJ-CNC-address overload

广州办事处

QD-R-1(config)# access-list 101 deny ip any 192.168.0.0 0.255.255

QD-R-1(config)# access-list 101 permit ip any any

QD-R-1(config)# ip nat pool GZ-CTC-address 101.1.1.252 101.1.1.254 prefix 24

BJ-R-1(config)# ip nat inside source list pool GZ-CTC-address overload

9 Ipsec ×××

*****************************************************北京总部

1、Isakmp 密钥协商

BJ-R-1(config)# crypto isakmp enable 启用IKE

BJ-R-1(config)# crypto isakmp policy 1 建立IKE协商策略

BJ-R-1(config-isakmp)# hash md5

BJ-R-1(config-isakmp)# encryption des

BJ-R-1(config-isakmp)# authentication pre-share

BJ-R-1(config)# crypto isakmp key QD-password address 201.1.1.1

2、Ipsec参数设置

BJ-R-1(config)# ip access-list extened BJ-QD-×××

BJ-R-1(config-ext-nacl)# permit 192.168.0.0 0.0.255.255 192.168.200.0 0.0.0.255

BJ-R-1(config)# crypto ipsec transform-set QD-set ah-md5 esp-des

3、端口应用

BJ-R-1(config)# crypto map QD-map 1 ipsec-isakmp 新建加密图

BJ-R-1(config-crypto-map)# set peer 201.1.1.1 对端地址

BJ-R-1(config-crypto-map)# match address BJ-QD-×××

BJ-R-1(config-crypto-map)# set transform-set QD-set 指定传输模式

BJ-R-1(config)#int f0/0

BJ-R-1(config)#crypto map QD-map

---------------------------------------------------------------------

BJ-R-1(config)# crypto isakmp key GZ-password address 101.1.1.1

Ipsec参数设置

BJ-R-1(config)# ip access-list extened BJ-GZ-×××

BJ-R-1(config-ext-nacl)# permit 192.168.0.0 0.0.255.255 192.168.100.0 0.0.0.255

BJ-R-1(config)# crypto ipsec transform-set GZ-set ah-md5 esp-des

端口应用

BJ-R-1(config)# crypto map GZ-map 1 ipsec-isakmp 新建加密图

BJ-R-1(config-crypto-map)# set peer 101.1.1.1 对端地址

BJ-R-1(config-crypto-map)# match address BJ-GZ-×××

BJ-R-1(config-crypto-map)# set transform-set GZ-set 指定传输模式

BJ-R-1(config)#int f0/1

BJ-R-1(config)#crypto map GZ-map

**************************************************************青岛办事处

1、建立IKE协商策略

BJ-R-1(config)# crypto isakmp policy 1

BJ-R-1(config-isakmp)# hash md5

BJ-R-1(config-isakmp)# encryption des

BJ-R-1(config-isakmp)# authentication pre-share

BJ-R-1(config)# crypto isakmp key QD-password address 200.1.1.1

2、Ipsec参数设置

BJ-R-1(config)# ip access-list extened QD-×××

BJ-R-1(config-ext-nacl)# permit 192.168.200.0 0.0.255.255 192.168.0.0 0.0.0.255

BJ-R-1(config)# crypto ipsec transform-set QD-set ah-md5 esp-des

3、端口应用

BJ-R-1(config)# crypto map QD-map 1 ipsec-isakmp 新建加密图

BJ-R-1(config-crypto-map)# set peer 200.1.1.1 对端地址

BJ-R-1(config-crypto-map)# match address QD-×××

BJ-R-1(config-crypto-map)# set transform-set QD-set 指定传输模式

BJ-R-1(config)#int f0/0

BJ-R-1(config)#crypto map QD-map

****************************************************************广州办事处

1、建立IKE协商策略

BJ-R-1(config)# crypto isakmp policy 1

BJ-R-1(config-isakmp)# hash md5 md5认证

BJ-R-1(config-isakmp)# encryption des des加密

BJ-R-1(config-isakmp)# authentication pre-share

BJ-R-1(config)# crypto isakmp key GZ-password address 200.1.1.1

2、Ipsec参数设置

BJ-R-1(config)# ip access-list extened GZ-×××

BJ-R-1(config-ext-nacl)# permit 192.168.100.0 0.0.255.255 192.168.0.0 0.0.0.255

BJ-R-1(config)# crypto ipsec transform-set GZ-set ah-md5 esp-des

3、端口应用

BJ-R-1(config)# crypto map GZ-map 1 ipsec-isakmp 新建加密图

BJ-R-1(config-crypto-map)# set peer 100.1.1.1 对端地址

BJ-R-1(config-crypto-map)# match address GZ-×××

BJ-R-1(config-crypto-map)# set transform-set QD-set 指定传输模式

BJ-R-1(config)#int f0/0

BJ-R-1(config)#crypto map GZ-map

10 流量控制及安全设置

1) 管理部、财务部vlan实现互访,且允许访问internet

2) 财务部实现与销售部、采购部vlan单向访问

3) 各部门vlan相对独立,都能访问服务器组,且允许访问internet

4) 控制设备的telnet会话,仅允许来自信息中心vlan的会话

5) 上海、青岛办事处只能访问总部服务器组vlan

6) 关闭cdp

7) 关闭 httpserver

8) 关闭著名端口(端口过滤)

北京总部

3550-S-1 (config) # ip access-list extended glb-ACL 管理部ACL

3550-S-1 (config-ext-nacl) #permit ip any 192.168.3.0 0.0.0.255

3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255

3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255

3550-S-1 (config-ext-nacl) #permit ip any any

******************

3550-S-1 (config) # ip access-list extended cwb-ACL 财务部ACL

3550-S-1 (config-ext-nacl) #permit ip any 192.168.4.0 0.0.0.255 reflect cwb-xsb

自反ACL

3550-S-1 (config-ext-nacl) #permit ip any 192.168.5.0 0.0.0.255 reflect cwb-cgb

自反ACL

3550-S-1 (config-ext-nacl) #permit ip any 192.168.2.0 0.0.0.255

3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255

3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255

3550-S-1 (config-ext-nacl) #permit ip any any

******************

3550-S-1 (config) # ip access-list extended xsb-ACL 销售部ACL

3550-S-1 (config-ext-nacl) #evaluate cwb-xsb 计算匹配自反ACL

3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 访问服务组

3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255

3550-S-1 (config-ext-nacl) #permit ip any any

*****************

3550-S-1 (config) # ip access-list extended cgb-ACL 采购部ACL

3550-S-1 (config-ext-nacl) #evaluate cwb-cgb 计算匹配自反ACL

3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 访问服务组

3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255

3550-S-1 (config-ext-nacl) #permit ip any any

*****************

3550-S-1 (config) # ip access-list extended zzb-ACL 制造部ACL

3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 访问服务组

3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255

3550-S-1 (config-ext-nacl) #permit ip any any

…(略)

可控VTY访问,仅允许来自信息中心vlan的会话

3550-S-1 (config) # ip access-list extended telnet-ACL

3550-S-1 (config) # permit ip 192.168.7.0 0.0.0.255

3550-S-1 (config) # username benet password 0 benetpassword 建立本地数据库

3550-S-1 (config) # line consol 0

3550-S-1 (config) # line vty 0 4

3550-S-1 (config) # login local 验证本地数据库

3550-S-1 (config) # access-class telnet-ACL in 调用

…(略)

青岛办事处

QD-R-1 (config) # access-list 101 permit ip any 192.168.127.0 0.0.0.255

QD-R-1 (config) # access-list 101 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255

QD-R-1 (config) # access-list 101 permit ip any any

QD-R-1 (config) # int f0/1

QD-R-1 (config) # ip access-group 101 in

广州办事处

GZ-R-1 (config) # access-list 101 permit ip any 192.168.127.0 0.0.0.255

GZ-R-1 (config) # access-list 101 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255

GZ-R-1 (config) # access-list 101 permit ip any any

GZ-R-1 (config) # int f0/1

GZ-R-1 (config) # ip access-group 101 in

关闭cdp 协议,http协议

BJ-R-1 (config) #no cdp run

BJ-R-1 (config) # no ip http server

3550-S-2 (config) # no cdp run

3550-S-1 (config) # no ip http server

3550-S-2 (config) # no cdp run

3550-S-2 (config) # no ip http server

…(略)

端口数据包过滤

BJ-R-1(config)# ip access-list extended port-in-ACL 定义入站ACL

BJ-R-1(config-ext-nacl)# permit ip host 201.1.1.1 any 信任青岛办事处

BJ-R-1(config-ext-nacl)# permit ip host 101.1.1.1 any 信任广州办事处

BJ-R-1(config-ext-nacl)# deny tcp any any eq 1023

BJ-R-1(config-ext-nacl)# deny tcp any any eq 3332

BJ-R-1(config-ext-nacl)# deny tcp any any eq 4444

BJ-R-1(config-ext-nacl)# deny tcp any any eq 444

BJ-R-1(config-ext-nacl)# deny tcp any any eq 4899

BJ-R-1(config-ext-nacl)# deny tcp any any eq 44

BJ-R-1(config-ext-nacl)# deny tcp any any eq 135

BJ-R-1(config-ext-nacl)# deny tcp any any eq 136

BJ-R-1(config-ext-nacl)# deny tcp any any eq 137

BJ-R-1(config-ext-nacl)# deny tcp any any eq 138

BJ-R-1(config-ext-nacl)# deny tcp any any eq netbio

BJ-R-1(config-ext-nacl)# deny tcp any any eq 3127

BJ-R-1(config-ext-nacl)# deny tcp any any eq 5554

BJ-R-1(config-ext-nacl)# deny tcp any any eq 9996

BJ-R-1(config-ext-nacl)# deny tcp any any eq 6129

BJ-R-1(config-ext-nacl)# deny tcp any any eq 2745

BJ-R-1(config-ext-nacl)# deny tcp any any eq 1025

BJ-R-1(config-ext-nacl)# deny udp any any eq tftp

BJ-R-1(config-ext-nacl)# deny udp any any eq 445

BJ-R-1(config-ext-nacl)# deny udp any any eq 135

BJ-R-1(config-ext-nacl)# deny udp any any eq 4444

BJ-R-1(config-ext-nacl)# deny tcp any any eq 1010

BJ-R-1(config-ext-nacl)# deny tcp any any eq 1011

BJ-R-1(config-ext-nacl)# deny tcp any any eq 1012

BJ-R-1(config-ext-nacl)# deny tcp any any eq 1015

BJ-R-1(config-ext-nacl)# deny tcp any any eq 4661

BJ-R-1(config-ext-nacl)# deny tcp any any eq 4662

BJ-R-1(config-ext-nacl)# deny tcp any any eq 4663

BJ-R-1(config-ext-nacl)# deny tcp any any eq 4664

BJ-R-1(config-ext-nacl)# deny tcp any any eq 4665

BJ-R-1(config-ext-nacl)# deny tcp any any eq 4666

BJ-R-1(config-ext-nacl)# deny tcp any any eq 7597

BJ-R-1(config-ext-nacl)# deny tcp any any eq 22226

BJ-R-1(config-ext-nacl)# deny tcp any any eq 1027

BJ-R-1(config-ext-nacl)# deny tcp any any eq 5168

BJ-R-1(config-ext-nacl)# permit ip any any

端口调用

BJ-R-1(config)# int f0/0 网通WAN口

BJ-R-1(config-if)# ip access-group port-in-ACL in

BJ-R-1(config)# int f0/0 电信WAN口

BJ-R-1(config-if)# ip access-group port-in-ACL in

BJ-R-1(config)# int f0/2 LAN口

BJ-R-1(config-if)# ip access-group port-in-ACL in

BJ-R-1(config)# int f0/3 LAN口

BJ-R-1(config-if)# ip access-group port-in-ACL in