|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
综合实验(NAT+×××+VRPP+MST) 技术关键词 Vlan、VTP、VRRP、MST、NTP、DHCP、OSPF、ACL、NAT、××× 1、Vlan信息
2、VTP 信息
3、设备IP 地址分配
4、DHCP信息
5、VRRP信息
6、MST 信息 Mst-1:vlan1、vlan2管理部、vlan3财务部 Mst-2:vlan4销售部、vlan5采购部 Mst-3:vlan6制造部、vlan7信息中心 Mst-4:vlan127服务器组 负载均衡 mst-1 mst -2 根网桥3550-S-1 mst-3 mst -4 根网桥3550-S-2
交换机、路由器详细配置 1. IP地址设置 北京 BJ-R-1(config)# int F0/0 BJ-R-1 (config-if) #ip add 200.1.1.1 255.255.255.0 BJ-R-1 (config-if) #no shutdown ---------------------------------- BJ-R-1(config)# int F0/1 BJ-R-1 (config-if) #ip add 100.1.1.1 255.255.255.0 BJ-R-1 (config-if) #no shutdown --------------------------------- BJ-R-1(config)# int f0/2 BJ-R-1 (config-if) #ip add 192.168.10.254 255.255.255.0 BJ-R-1 (config-if) #no shutdown --------------------------------- BJ-R-1(config)# int f0/3 BJ-R-1 (config-if) #ip add 192.168.20.254 255.255.255.0 BJ-R-1 (config-if) #no shutdown 3550-S-1 (config) # int vlan 1 3550-S-1 (config-if) # ip add 192.168.1.1 255.255.255.0 3550-S-1 (config-if) # int vlan 2 3550-S-1 (config-if) # ip add 192.168.2.1 255.255.255.0 3550-S-1 (config-if) # int vlan 3 3550-S-1 (config-if) # ip add 192.168.3.1 255.255.255.0 3550-S-1 (config-if) # int vlan 4 3550-S-1 (config-if) # ip add 192.168.4.1 255.255.255.0 3550-S-1 (config-if) # int vlan 5 3550-S-1 (config-if) # ip add 192.168.5.1 255.255.255.0 3550-S-1 (config-if) # int vlan 6 3550-S-1 (config-if) # ip add 192.168.6.1 255.255.255.0 3550-S-1 (config-if) # int vlan 7 3550-S-1 (config-if) # ip add 192.168.6.1 255.255.255.0 3550-S-1 (config-if) # int vlan 127 3550-S-1 (config-if) # ip add 192.168.127.1 255.255.255.0 3550-S-2 (config) # int vlan 1 3550-S-2 (config-if) # ip add 192.168.1.2 255.255.255.0 3550-S-2 (config-if) # int vlan 2 3550-S-2 (config-if) # ip add 192.168.2.2 255.255.255.0 …(略) 广州 GZ-R-1(config)# int F0/0 GZ-R-1 (config-if) # ip add 201.1.1.1 255.255.255.0 定义WAN口 GZ-R-1 (config-if) # no shutdown GZ-R-1(config)# int F0/1 GZ-R-1 (config-if) # ip add 192.168.200.254 255.255.255.0 定义LAN口 GZ-R-1 (config-if) # no shutdown ------------------------------------------------------------------- 青岛 QD-R-1(config)# int F0/0 QD-R-1 (config-if) # ip add 101.1.1.1 255.255.255.0 定义WAN口 QD-R-1 (config-if) # no shutdown QD-R-1(config)# int f0/0 QD-R-1 (config-if) # ip add 192.168.100.254 255.255.255.0.. .定义LAN口 QD-R-1 (config-if) # no shutdown 2. VTP配置 3550-S-1(config)# vlan database vlan数据库模式 3550-S-1 (vlan) # vtp domain benet 3550-S-1 (vlan) # vtp server 服务器模式 3550-S-1 (vlan) # vtp password 123 3550-S-1 (vlan) # vtp pruning 启用修剪 按部门划分vlan 3550-S-1 (vlan) # vlan 2 name glb 管理部 3550-S-1 (vlan) # vlan 3 name cwb 财务部 3550-S-1 (vlan) # vlan 4 name xsb 销售部 3550-S-1 (vlan) # vlan 5 name cgb 采购部 3550-S-1 (vlan) # vlan 6 name zzb 制造部 3550-S-1 (vlan) # vlan 7 name xxzx 信息中心 3550-S-1 (vlan) # vlan 127 name svr 服务器组 ------------------------------------------------ 3550-S-2 (config) # vlan database vlan数据库模式 3550-S-2 (vlan) # vtp domain benet 3550-S-2 (vlan) # vtp server 3550-S-2 (vlan) # vtp password 123 ------------------------------------------------ 2950-S-1 (vlan) #vtp domain benet 2950-S-1 (vlan) #vtp tran 透明模式(配置修改编号清零操作) 2950-S-1 (vlan) #vtp client 客户模式 2950-S-1 (vlan) #vtp password 123 2950-S-2 (vlan) #vtp domain benet 2950-S-2 (vlan) #vtp tran 透明模式(配置修改编号清零操作) 2950-S-2 (vlan) #vtp client 客户模式 2950-S-2 (vlan) #vtp password 123 2950-S-3 (vlan) #vtp domain benet 2950-S-3 (vlan) #vtp tran 透明模式(配置修改编号清零操作) 2950-S-3 (vlan) #vtp client 客户模式 2950-S-3 (vlan) #vtp password 123 2950-S-4 (vlan) #vtp domain benet 2950-S-4 (vlan) #vtp tran 透明模式(配置修改编号清零操作) 2950-S-4 (vlan) #vtp client 客户模式 2950-S-4 (vlan) #vtp password 123 3. MST多生成树配置 3550-S-1 (config) # int vlan 1 3550-S-1 (config) # spanning-tree mode mst 启用mst 3550-S-1 (config) #spanning-tree mst configuration 进入mst配置 3550-S-1 (config-mst) #name mst 命名为mst 3550-S-1 (config-mst) # instance 1 vlan 1-3 定义实例 3550-S-1 (config-mst) # instance 2 vlan 4-5 3550-S-1 (config-mst) # instance 3 vlan 6-7 3550-S-1 (config-mst) # instance 4 vlan 127 3550-S-1 (config-mst) # revision 1 配置版本号 3550-S-1 (config-mst) # spanning-tree mst 1 root primary 为根交换机 3550-S-1 (config-mst) # spanning-tree mst 2 root primary 3550-S-1 (config-mst) # spanning-tree mst 3 root secordary 3550-S-1 (config-mst) # spanning-tree mst 4 root secordary 为次根交换机 3550-S-2 (config) # spanning-tree mode mst 启用mst 3550-S-2 (config) #spanning-tree mst configuration 进入mst配置 3550-S-2 (config-mst) #name mst 命名为mst 3550-S-2 (config-mst) # instance 1 vlan 1-3 3550-S-2 (config-mst) # instance 2 vlan 4-5 3550-S-2 (config-mst) # instance 3 vlan 6-7 3550-S-2 (config-mst) # instance 4 vlan 127 3550-S-2 (config-mst) # revision 1 ………配置版本号 3550-S-2 (config-mst) # spanning-tree mst 4 root primary 为根交换机 3550-S-2 (config-mst) # spanning-tree mst 3 root primary 3550-S-2 (config-mst) # spanning-tree mst 2 root secordary 3550-S-2 (config-mst) # spanning-tree mst 1 root secordary 为次根交换机 4. VRRP虚拟路由冗作协议 优先级 3550-S-1 (config) # int vlan 1 3550-S-1 (config-if) # vrrp 1 pri 200 3550-S-1 (config) # int vlan 2 3550-S-1 (config-if) # vrrp 2 pri 200 3550-S-1 (config) # int vlan 3 3550-S-1 (config-if) # vrrp 3 pri 200 …(略) 3550-S-2 (config) # int vlan 1 3550-S-2 (config-if) # vrrp 1 pri 100 3550-S-2 (config) # int vlan 2 3550-S-2 (config-if) # vrrp 2 pri 100 3550-S-2 (config) # int vlan 3 3550-S-2 (config-if) # vrrp 3 pri 100 …(略) 加入vrrp组,占先权,跟踪端口 3550-S-2 (config) # int vlan 1 3550-S-2 (config) # track 1 interface f0/1 定义跟踪编号 3550-S-2 (config-if) # vrrp 1 ip 192.168.1.254 3550-S-2 (config-if) # vrrp 1 preempt 占先权 3550-S-2 (config-if) # vrrp 1 authentication text cisco 明文认证 3550-S-2 (config-if) # vrrp 1 track 1 decrement 150 端口跟踪 3550-S-2 (config) # int vlan 2 3550-S-2 (config-if) # vrrp 2 ip 192.168.2.254 3550-S-2 (config-if) # vrrp 2 preempt 占先权 3550-S-2 (config-if) # vrrp 2 track 1 decrement 150 端口跟踪 3550-S-2 (config) # int vlan 3 3550-S-2 (config-if) # vrrp 3 ip 192.168.3.254 3550-S-2 (config-if) # vrrp 3 preempt 占先权 3550-S-2 (config-if) # vrrp 3 track 1 decrement 150 …(略) 3550-S-2 (config) # int vlan 1 3550-S-2 (config) #track 1 interface f0/1 定义跟踪编号 3550-S-2 (config-if) vrrp 1 ip 192.168.1.254 3550-S-2 (config-if) # vrrp 1 preempt 占先权 3550-S-2 (config-if) # vrrp 1 authentication text cisco 明文认证 3550-S-2 (config-if) # vrrp 1 track 1 decrement 150 端口跟踪 3550-S-2 (config) # int vlan 2 3550-S-2 (config-if) # standby 2 ip 192.168.2.254 3550-S-2 (config-if) # standby 2 preempt 占先权 3550-S-2 (config-if) # standby 2 track 1 decrement 150 端口跟踪 3550-S-2 (config) # int vlan 3 3550-S-2 (config-if) # standby 3 ip 192.168.3.254 3550-S-2 (config-if) # standby 3 preempt 占先权 3550-S-2 (config-if) # standby 3 track 1 decrement 150 端口跟踪 …(略) 5. 以太网通道(优化流量) 3550-S-1 (config) # int f0/23 3550-S-1 (config-if) #switchport mode trunk 永久中继模式 3550-S-1 (config) # int f0/24 3550-S-1 (config-if) #switchport mode trunk 永久中继模式 3550-S-1 (config) #port-channel load-balance src-dst-mac 基于源和目标MAC负载均衡 3550-S-1 (config) # int range f0/23 -24 3550-S-1 (if-range) # channel-group 1 mode on 3550-S-1 (if-range) # no sh 激活端口 3550-S-2 (config) # int f0/23 3550-S-2 (config-if) #switchport mode trunk 3550-S-2 (config) # int f0/24 3550-S-2 (config-if) #switchport mode trunk 3550-S-2 (config) # int range f0/23 -24 3550-S-2 (config) #port-channel load-balance src-dst-mac 基于源和目标MAC负载均衡 3550-S-2 (if-range) # channel-group 1 mode on 3550-S-2 (if-range) # no sh -------------------------------------------------------------------------- 2950-S-4 (config) # int f0/23 2950-S-4 (config-if) #switchport mode trunk 2950-S-4 (config) # int f0/24 2950-S-4 (config-if) #switchport mode trunk 2950-S-4 (config) # int range f0/23 -24 2950-S-4 (config) #port-channel load-balance src-dst-mac 基于源和目标MAC负载均衡 2950-S-4 (config) # int range f0/23 -24 2950-S-4(if-range) # channel-group 2 mode on 2950-S-4 (if-range) # no sh....激活端口 3550-S-1 (config) # int f0/8 3550-S-1 (config-if) #switchport mode trunk 3550-S-1 (config) # int f0/9 3550-S-1 (config-if) #switchport mode trunk 3550-S-1 (config) # int range f0/8 -9 3550-S-1 (config) #port-channel load-balance src-dst-mac 基于源和目标MAC负载均衡 3550-S-1(if-range) # channel-group 2 mode on 3550-S-1 (if-range) # no sh …(略) 6. DHCP配置 3550-S-1 (config) # ip dhcp pool vlan2-glb 管理部 3550-S-1 (dhcp-config) # network 192.168.2.0 255.255.255.0 地址池范围 3550-S-1 (config) # ip dhcp excluded-address 192.168.2.2 192.168.2.10 保留 3550-S-1 (config) # ip dhcp excluded-address 192.168.2.201 192.168.2.254 3550-S-1 (dhcp-config) # lease 5 租约为5天 3550-S-1 (dhcp-config) # dns-server 1.1.1.1 2.2.2.2 DNS服务器 3550-S-1 (config) # default-router 192.168.2.254 默认网关 3550-S-1 (config) # ip dhcp pool vlan3-cwb 财务部 3550-S-1 (dhcp-config) # network 192.168.3.0 255.255.255.0 地址池范围 3550-S-1 (dhcp-config) # ip dhcp excluded-address 192.168.3.2 192.168.3.10 保留 3550-S-1 (dhcp-config) # ip dhcp excluded-address 192.168.3.201 192.168.3.254 3550-S-1 (dhcp-config) # lease 5 租约为5天 3550-S-1 (dhcp-config) # dns-server 1.1.1.1 2.2.2.2 DNS服务器 3550-S-1 (dhcp-config) # default-router 192.168.3.254 默认网关 …(略) 7. NTP配置 将BJ-R-1设为NTP服务器,其余作NTP客户端,实现全网设备时钟同步 BJ-R-1(config)# ntp master BJ-R-1(config)# clock set 10:00:00 seq 2007 设置时钟 BJ-R-1(config)# ntp authenticate 启用ntp认证 BJ-R-1(config)# ntp trusted-key 1 BJ-R-1(config)# ntp authentication-key 1 md5 benet 3550-S-1 (config) # ntp server 192.168.10.254 3550-S-1(config)# ntp authenticate 启用ntp认证 3550-S-1(config)# ntp authentication-key 1 md5 benet 3550-S-2 (config) # ntp server 192.168.20.254 3550-S-2(config)# ntp authenticate 启用ntp认证 BJ-R-1(config)# ntp trusted-key 1 3550-S-2(config)# ntp authentication-key 1 md5 benet …(略)
8. 路由、NAT配置 北京总部 -----------------静态路由 BJ-R-1(config)# ip route 192.168.100.0 255.255.255.0 f0/0 青岛办事处*** BJ-R-1(config)# ip route 192.168.200.0 255.255.255.0 f0/1 广州办事处*** BJ-R-1(config)# ip route 0.0.0.0 0.0.0.0 f0/0 10 缺省路由(网通ISP) BJ-R-1(config)# ip route 0.0.0.0 0.0.0.0 f0/1 20 缺省路由(电信ISP) -----------------ospf BJ-R-1(config)# router ospf 1 BJ-R-1(config-router)# network 192.168.1.2 0.0.0.0 area 0 BJ-R-1(config-router)# network 192.168.2.2 0.0.0.0 area 0 BJ-R-1(config-router)# area 0 authentication message-digest 启用MD5认证 BJ-R-1(config)# interface f0/2 BJ-R-1(config-if)# ip ospf message-digest-key 1 md5 benet-md5 定义密钥 BJ-R-1(config)# interface f0/3 BJ-R-1(config-if)# ip ospf message-digest-key 1 md5 benet-md5 定义密钥 BJ-R-1(config-router)# default-information orig 分发缺省路由tub 3550-S-1 (config) # int f0/0 3550-S-1 (config) # no switchport 打开路由端口 3550-S-1 (config) # network 192.168.100.1 0.0.0.0 area 0 3550-S-1 (config) # area 0 authentication message-digest 3550-S-1 (config) # interface f0/0 3550-S-1 (config) # ip ospf message-digest-key 1 md5 benet-md5 3550-S-2 (config) # int f0/0 3550-S-2 (config) # no switchport 3550-S-2 (config) # router ospf 1 3550-S-2 (config) # network 192.168.200.1 0.0.0.0 area 0 使用路由策略优化网络流量: 1).内部用户访问网通ISP资源,流量从f0/0出站,当访问电信ISP资源,流量从f0/1出站 2).从不同ISP网络上所来的流量,从各自的线路返回 网通CNC IP段:100.1.1.1、101.1.1.1、102.1.1.1 (假定) 电信CTC IP 段:200.1.1.1、201.1.1.1、202.1.1.1(假定) ----------------------------------------------------------关于电信ip 段ACL BJ-R-1(config# ip access-list extended BJ-CTC-ACL BJ-R-1(config-ext-nacl# ip access-list extended BJ-CTC-ACL BJ-R-1(config-ext-nacl# deny ip 192.168.0.0 0.0.255.255 192.168.100.0 0.0.0.255 拒绝至青岛×××流量 BJ-R-1(config-ext-nacl# deny ip 192.168.0.0 0.0.255.255 192.168.200.0 0.0.0.255 拒绝至广州×××流量 BJ-R-1(config-ext-nacl# permit ip 192.168.0.0 0.0.255.255 200.1.1.0 0.0.0.255 BJ-R-1(config-ext-nacl# permit ip 192.168.0.0 0.0.255.255 201.1.1.0 0.0.0.255 BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 202.1.1.0 0.0.0.255 ----------------------------------------------------------关于网通ip 段ACL BJ-R-1(config)# ip access-list extended BJ-CNC-ACL BJ-R-1(config-ext-nacl)# ip access-list extended BJ-CNC-ACL BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 100.1.1.0 0.0.0.255 BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 101.1.1.0 0.0.0.255 BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 102.1.1.0 0.0.0.255 -----------------------------------------------------------其它可能的IP段ACL BJ-R-1(config)# ip access-list extended other-ACL BJ-R-1(config-ext-nacl)# ip access-list extended other-ACL BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 100.1.1.0 0.0.0.255 BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 101.1.1.0 0.0.0.255 BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 102.1.1.0 0.0.0.255
Route-map route-policy permit 10 Math ip address BJ-CTC-ACL Set ip next-hop int f0/1………电信CTC Route-map route-policy permit 20 Math ip address BJ-CNC-ACL Set ip next-hop int f0/0………网通CNC BJ-R-1(config)# int f0/2 BJ-R-1(config)# ip policy route-map route-policy 策略调用 BJ-R-1(config)# int f0/3 BJ-R-1(config)# ip policy route-map route-policy 策略调用 定义合法地址池 BJ-R-1(config)# ip nat pool BJ-CNC-address 200.1.1.252 200.1.1.254 prefix 24 BJ-R-1(config)# ip nat pool BJ-CTC-address 100.1.1.252 100.1.1.254 prefix 24 NAT转换 BJ-R-1(config)# ip nat inside source list BJ-CTC-ACL pool BJ-CTC-address overload BJ-R-1(config)# ip nat inside source list BJ-CNC-ACL pool BJ-CNC-address overload BJ-R-1(config)# ip nat inside source list Other-ACL pool BJ-CNC-address overload 端口映射,发布FTP web服务器 BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 80 200.1.1.254 eq 80 web服务器 BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 80 100.1.1.254 eq 80 BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 21 200.1.1.254 eq 21 ftp服务器 BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 21 100.1.1.254 eq 21 青岛办事处 QD-R-1(config)# access-list 101 deny ip any 192.168.0.0 0.255.255 QD-R-1(config)# access-list 101 permit ip any any QD-R-1(config)# ip nat pool QD-CNC-address 101.1.1.252 101.1.1.254 prefix 24 BJ-R-1(config)# ip nat inside source list pool BJ-CNC-address overload 广州办事处 QD-R-1(config)# access-list 101 deny ip any 192.168.0.0 0.255.255 QD-R-1(config)# access-list 101 permit ip any any QD-R-1(config)# ip nat pool GZ-CTC-address 101.1.1.252 101.1.1.254 prefix 24 BJ-R-1(config)# ip nat inside source list pool GZ-CTC-address overload 9. Ipsec ××× *****************************************************北京总部 1、Isakmp 密钥协商 BJ-R-1(config)# crypto isakmp enable 启用IKE BJ-R-1(config)# crypto isakmp policy 1 建立IKE协商策略 BJ-R-1(config-isakmp)# hash md5 BJ-R-1(config-isakmp)# encryption des BJ-R-1(config-isakmp)# authentication pre-share BJ-R-1(config)# crypto isakmp key QD-password address 201.1.1.1 2、Ipsec参数设置 BJ-R-1(config)# ip access-list extened BJ-QD-××× BJ-R-1(config-ext-nacl)# permit 192.168.0.0 0.0.255.255 192.168.200.0 0.0.0.255 BJ-R-1(config)# crypto ipsec transform-set QD-set ah-md5 esp-des 3、端口应用 BJ-R-1(config)# crypto map QD-map 1 ipsec-isakmp 新建加密图 BJ-R-1(config-crypto-map)# set peer 201.1.1.1 对端地址 BJ-R-1(config-crypto-map)# match address BJ-QD-××× BJ-R-1(config-crypto-map)# set transform-set QD-set 指定传输模式 BJ-R-1(config)#int f0/0 BJ-R-1(config)#crypto map QD-map --------------------------------------------------------------------- BJ-R-1(config)# crypto isakmp key GZ-password address 101.1.1.1 Ipsec参数设置 BJ-R-1(config)# ip access-list extened BJ-GZ-××× BJ-R-1(config-ext-nacl)# permit 192.168.0.0 0.0.255.255 192.168.100.0 0.0.0.255 BJ-R-1(config)# crypto ipsec transform-set GZ-set ah-md5 esp-des 端口应用 BJ-R-1(config)# crypto map GZ-map 1 ipsec-isakmp 新建加密图 BJ-R-1(config-crypto-map)# set peer 101.1.1.1 对端地址 BJ-R-1(config-crypto-map)# match address BJ-GZ-××× BJ-R-1(config-crypto-map)# set transform-set GZ-set 指定传输模式 BJ-R-1(config)#int f0/1 BJ-R-1(config)#crypto map GZ-map **************************************************************青岛办事处 1、建立IKE协商策略 BJ-R-1(config)# crypto isakmp policy 1 BJ-R-1(config-isakmp)# hash md5 BJ-R-1(config-isakmp)# encryption des BJ-R-1(config-isakmp)# authentication pre-share BJ-R-1(config)# crypto isakmp key QD-password address 200.1.1.1 2、Ipsec参数设置 BJ-R-1(config)# ip access-list extened QD-××× BJ-R-1(config-ext-nacl)# permit 192.168.200.0 0.0.255.255 192.168.0.0 0.0.0.255 BJ-R-1(config)# crypto ipsec transform-set QD-set ah-md5 esp-des 3、端口应用 BJ-R-1(config)# crypto map QD-map 1 ipsec-isakmp 新建加密图 BJ-R-1(config-crypto-map)# set peer 200.1.1.1 对端地址 BJ-R-1(config-crypto-map)# match address QD-××× BJ-R-1(config-crypto-map)# set transform-set QD-set 指定传输模式 BJ-R-1(config)#int f0/0 BJ-R-1(config)#crypto map QD-map ****************************************************************广州办事处 1、建立IKE协商策略 BJ-R-1(config)# crypto isakmp policy 1 BJ-R-1(config-isakmp)# hash md5 md5认证 BJ-R-1(config-isakmp)# encryption des des加密 BJ-R-1(config-isakmp)# authentication pre-share BJ-R-1(config)# crypto isakmp key GZ-password address 200.1.1.1 2、Ipsec参数设置 BJ-R-1(config)# ip access-list extened GZ-××× BJ-R-1(config-ext-nacl)# permit 192.168.100.0 0.0.255.255 192.168.0.0 0.0.0.255 BJ-R-1(config)# crypto ipsec transform-set GZ-set ah-md5 esp-des 3、端口应用 BJ-R-1(config)# crypto map GZ-map 1 ipsec-isakmp 新建加密图 BJ-R-1(config-crypto-map)# set peer 100.1.1.1 对端地址 BJ-R-1(config-crypto-map)# match address GZ-××× BJ-R-1(config-crypto-map)# set transform-set QD-set 指定传输模式 BJ-R-1(config)#int f0/0 BJ-R-1(config)#crypto map GZ-map
10. 流量控制及安全设置 1) 管理部、财务部vlan实现互访,且允许访问internet 2) 财务部实现与销售部、采购部vlan单向访问 3) 各部门vlan相对独立,都能访问服务器组,且允许访问internet 4) 控制设备的telnet会话,仅允许来自信息中心vlan的会话 5) 上海、青岛办事处只能访问总部服务器组vlan 6) 关闭cdp 7) 关闭 httpserver 8) 关闭著名端口(端口过滤) 北京总部 3550-S-1 (config) # ip access-list extended glb-ACL 管理部ACL 3550-S-1 (config-ext-nacl) #permit ip any 192.168.3.0 0.0.0.255 3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255 3550-S-1 (config-ext-nacl) #permit ip any any ****************** 3550-S-1 (config) # ip access-list extended cwb-ACL 财务部ACL 3550-S-1 (config-ext-nacl) #permit ip any 192.168.4.0 0.0.0.255 reflect cwb-xsb 自反ACL 3550-S-1 (config-ext-nacl) #permit ip any 192.168.5.0 0.0.0.255 reflect cwb-cgb 自反ACL 3550-S-1 (config-ext-nacl) #permit ip any 192.168.2.0 0.0.0.255 3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255 3550-S-1 (config-ext-nacl) #permit ip any any ****************** 3550-S-1 (config) # ip access-list extended xsb-ACL 销售部ACL 3550-S-1 (config-ext-nacl) #evaluate cwb-xsb 计算匹配自反ACL 3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 访问服务组 3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255 3550-S-1 (config-ext-nacl) #permit ip any any ***************** 3550-S-1 (config) # ip access-list extended cgb-ACL 采购部ACL 3550-S-1 (config-ext-nacl) #evaluate cwb-cgb 计算匹配自反ACL 3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 访问服务组 3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255 3550-S-1 (config-ext-nacl) #permit ip any any ***************** 3550-S-1 (config) # ip access-list extended zzb-ACL 制造部ACL 3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 访问服务组 3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255 3550-S-1 (config-ext-nacl) #permit ip any any …(略) 可控VTY访问,仅允许来自信息中心vlan的会话 3550-S-1 (config) # ip access-list extended telnet-ACL 3550-S-1 (config) # permit ip 192.168.7.0 0.0.0.255 3550-S-1 (config) # username benet password 0 benetpassword 建立本地数据库 3550-S-1 (config) # line consol 0 3550-S-1 (config) # line vty 0 4 3550-S-1 (config) # login local 验证本地数据库 3550-S-1 (config) # access-class telnet-ACL in 调用 …(略) 青岛办事处 QD-R-1 (config) # access-list 101 permit ip any 192.168.127.0 0.0.0.255 QD-R-1 (config) # access-list 101 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 QD-R-1 (config) # access-list 101 permit ip any any QD-R-1 (config) # int f0/1 QD-R-1 (config) # ip access-group 101 in 广州办事处 GZ-R-1 (config) # access-list 101 permit ip any 192.168.127.0 0.0.0.255 GZ-R-1 (config) # access-list 101 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 GZ-R-1 (config) # access-list 101 permit ip any any GZ-R-1 (config) # int f0/1 GZ-R-1 (config) # ip access-group 101 in 关闭cdp 协议,http协议 BJ-R-1 (config) #no cdp run BJ-R-1 (config) # no ip http server 3550-S-2 (config) # no cdp run 3550-S-1 (config) # no ip http server 3550-S-2 (config) # no cdp run 3550-S-2 (config) # no ip http server …(略) 端口数据包过滤 BJ-R-1(config)# ip access-list extended port-in-ACL 定义入站ACL BJ-R-1(config-ext-nacl)# permit ip host 201.1.1.1 any 信任青岛办事处 BJ-R-1(config-ext-nacl)# permit ip host 101.1.1.1 any 信任广州办事处 BJ-R-1(config-ext-nacl)# deny tcp any any eq 1023 BJ-R-1(config-ext-nacl)# deny tcp any any eq 3332 BJ-R-1(config-ext-nacl)# deny tcp any any eq 4444 BJ-R-1(config-ext-nacl)# deny tcp any any eq 444 BJ-R-1(config-ext-nacl)# deny tcp any any eq 4899 BJ-R-1(config-ext-nacl)# deny tcp any any eq 44 BJ-R-1(config-ext-nacl)# deny tcp any any eq 135 BJ-R-1(config-ext-nacl)# deny tcp any any eq 136 BJ-R-1(config-ext-nacl)# deny tcp any any eq 137 BJ-R-1(config-ext-nacl)# deny tcp any any eq 138 BJ-R-1(config-ext-nacl)# deny tcp any any eq netbio BJ-R-1(config-ext-nacl)# deny tcp any any eq 3127 BJ-R-1(config-ext-nacl)# deny tcp any any eq 5554 BJ-R-1(config-ext-nacl)# deny tcp any any eq 9996 BJ-R-1(config-ext-nacl)# deny tcp any any eq 6129 BJ-R-1(config-ext-nacl)# deny tcp any any eq 2745 BJ-R-1(config-ext-nacl)# deny tcp any any eq 1025 BJ-R-1(config-ext-nacl)# deny udp any any eq tftp BJ-R-1(config-ext-nacl)# deny udp any any eq 445 BJ-R-1(config-ext-nacl)# deny udp any any eq 135 BJ-R-1(config-ext-nacl)# deny udp any any eq 4444 BJ-R-1(config-ext-nacl)# deny tcp any any eq 1010 BJ-R-1(config-ext-nacl)# deny tcp any any eq 1011 BJ-R-1(config-ext-nacl)# deny tcp any any eq 1012 BJ-R-1(config-ext-nacl)# deny tcp any any eq 1015 BJ-R-1(config-ext-nacl)# deny tcp any any eq 4661 BJ-R-1(config-ext-nacl)# deny tcp any any eq 4662 BJ-R-1(config-ext-nacl)# deny tcp any any eq 4663 BJ-R-1(config-ext-nacl)# deny tcp any any eq 4664 BJ-R-1(config-ext-nacl)# deny tcp any any eq 4665 BJ-R-1(config-ext-nacl)# deny tcp any any eq 4666 BJ-R-1(config-ext-nacl)# deny tcp any any eq 7597 BJ-R-1(config-ext-nacl)# deny tcp any any eq 22226 BJ-R-1(config-ext-nacl)# deny tcp any any eq 1027 BJ-R-1(config-ext-nacl)# deny tcp any any eq 5168 BJ-R-1(config-ext-nacl)# permit ip any any 端口调用 BJ-R-1(config)# int f0/0 网通WAN口 BJ-R-1(config-if)# ip access-group port-in-ACL in BJ-R-1(config)# int f0/0 电信WAN口 BJ-R-1(config-if)# ip access-group port-in-ACL in BJ-R-1(config)# int f0/2 LAN口 BJ-R-1(config-if)# ip access-group port-in-ACL in BJ-R-1(config)# int f0/3 LAN口 BJ-R-1(config-if)# ip access-group port-in-ACL in |