综合实验(NAT+×××+VRPP+MST)
技术关键词
Vlan、VTP、VRRP、MST、NTP、DHCP、OSPF、ACL、NAT、×××
1、Vlan信息
Vlan ID |
网络地址 |
名 称 |
描 述 |
1 |
192.168.1.0/24 |
- |
本地vlan |
2 |
192.168.2.0/24 |
glb |
管理部 |
3 |
192.168.3.0/24 |
cwb |
财务部 |
4 |
192.168.4.0/24 |
xsb |
销售部 |
5 |
192.168.5.0/24 |
cgb |
采购部 |
6 |
192.168.6.0/24 |
zzb |
制造部 |
7 |
192.168.7.0/24 |
xxzx |
信息中心 |
127 |
192.168.127.0/24 |
Srv |
服务器组 |
2、VTP 信息
设备名称 |
Domain |
Prunning |
Password |
Mode |
3550-S-1 |
Benet |
Enable |
123 |
Server |
3550-S-2 |
Benet |
Enable |
123 |
Server |
2950-S-1 |
Benet |
Enable |
123 |
Client |
2950-S-2 |
Benet |
Enable |
123 |
Client |
2950-S-3 |
Benet |
Enable |
123 |
Client |
2950-S-4 |
Benet |
Enable |
123 |
Client |
3、设备IP 地址分配
设备名称 |
接口 |
IP地址 |
描述 |
位置 |
BJ-R-1 |
F0/0 |
200.1.1.1/24 |
网通WAN |
BJ |
F0/1 |
100.1.1.1/24 |
电信WAN |
BJ |
F0/2 |
192.168.10.254/24 |
- |
BJ |
F0/3 |
192.168.20.254/24 |
- |
BJ |
3550-S-1 |
F0/0 |
192.168.10.1/24 |
3L-Switch |
BJ |
3550-S-2 |
F0/0 |
192.168.20.1/24 |
3L-Switch |
BJ |
GZ-R-1 |
F0/0 |
201.1.1.1/24 |
电信WAN |
GZ |
F0/1 |
192.168.100.254/24 |
- |
GZ |
QD-R-1 |
F0/0 |
101.1.1.1/24 |
网通WAN |
QD |
F0/1 |
192.168.200.254/24 |
- |
QD |
4、DHCP信息
名称 |
IP地址池 |
默认网关 |
默认DNS |
描述 |
Glb-vlan2 |
192.168.2.10 – 200 |
192.168.2.254 |
1.1.1.1 |
管理部 |
2.2.2.2 |
Cwb-vlan3 |
192.168.3.10 – 200 |
192.168.3.254 |
1.1.1.1 |
财务部 |
2.2.2.2 |
Xsb-vlan4 |
192.168.4.10 – 200 |
192.168.4.254 |
1.1.1.1 |
销售部 |
2.2.2.2 |
Cgb-vlan5 |
192.168.5.10 – 200 |
192.168.5.254 |
1.1.1.1 |
采购部 |
2.2.2.2 |
Zzb-vlan6 |
192.168.6.10 – 200 |
192.168.6.254 |
1.1.1.1 |
制造部 |
2.2.2.2 |
Xxzx-vlan7 |
192.168.7.10 – 200 |
192.168.7.254 |
1.1.1.1 |
信息中心 |
2.2.2.2 |
5、VRRP信息
SVI接口 |
组 |
优先级 |
状态 |
IP |
HSRP IP |
设备 |
Vlan1 |
1 |
200 |
Active |
192.168.1.1 |
192.168.1.254 |
3550-S-1 |
Vlan2 |
2 |
200 |
Active |
192.168.2.1 |
192.168.2.254 |
3550-S-1 |
Vlan3 |
3 |
200 |
Active |
192.168.3.1 |
192.168.3.254 |
3550-S-1 |
Vlan4 |
4 |
100 |
Standby |
192.168.4.1 |
192.168.4.254 |
3550-S-1 |
Vlan5 |
5 |
100 |
Standby |
192.168.5.1 |
192.168.5.254 |
3550-S-1 |
Vlan6 |
6 |
100 |
Standby |
192.168.6.1 |
192.168.6.254 |
3550-S-1 |
Vlan7 |
7 |
100 |
Standby |
192.168.7.1 |
192.168.7.254 |
3550-S-1 |
Vlan127 |
127 |
100 |
Standby |
192.168.127.1 |
192.168.127.254 |
3550-S-1 |
Vlan1 |
1 |
100 |
Standby |
192.168.1.2 |
192.168.1.254 |
3550-S-2 |
Vlan2 |
2 |
100 |
Standby |
192.168.2.2 |
192.168.2.254 |
3550-S-2 |
Vlan3 |
3 |
100 |
Standby |
192.168.3.2 |
192.168.3.254 |
3550-S-2 |
Vlan4 |
4 |
200 |
Active |
192.168.4.2 |
192.168.4.254 |
3550-S-2 |
Vlan5 |
5 |
200 |
Active |
192.168.5.2 |
192.168.5.254 |
3550-S-2 |
Vlan6 |
6 |
200 |
Active |
192.168.6.2 |
192.168.6.254 |
3550-S-2 |
Vlan7 |
6 |
100 |
Active |
192.168.7.2 |
192.168.7.254 |
3550-S-2 |
Vlan127 |
127 |
200 |
Active |
192.168.127.2 |
192.168.127.254 |
3550-S-2 |
6、MST 信息
Mst-1:vlan1、vlan2管理部、vlan3财务部
Mst-2:vlan4销售部、vlan5采购部
Mst-3:vlan6制造部、vlan7信息中心
Mst-4:vlan127服务器组
负载均衡
mst-1 mst -2 根网桥3550-S-1
mst-3 mst -4 根网桥3550-S-2
交换机、路由器详细配置
1. IP地址设置
北京
BJ-R-1(config)# int F0/0
BJ-R-1 (config-if) #ip add 200.1.1.1 255.255.255.0
BJ-R-1 (config-if) #no shutdown
----------------------------------
BJ-R-1(config)# int F0/1
BJ-R-1 (config-if) #ip add 100.1.1.1 255.255.255.0
BJ-R-1 (config-if) #no shutdown
---------------------------------
BJ-R-1(config)# int f0/2
BJ-R-1 (config-if) #ip add 192.168.10.254 255.255.255.0
BJ-R-1 (config-if) #no shutdown
---------------------------------
BJ-R-1(config)# int f0/3
BJ-R-1 (config-if) #ip add 192.168.20.254 255.255.255.0
BJ-R-1 (config-if) #no shutdown
3550-S-1 (config) # int vlan 1
3550-S-1 (config-if) # ip add 192.168.1.1 255.255.255.0
3550-S-1 (config-if) # int vlan 2
3550-S-1 (config-if) # ip add 192.168.2.1 255.255.255.0
3550-S-1 (config-if) # int vlan 3
3550-S-1 (config-if) # ip add 192.168.3.1 255.255.255.0
3550-S-1 (config-if) # int vlan 4
3550-S-1 (config-if) # ip add 192.168.4.1 255.255.255.0
3550-S-1 (config-if) # int vlan 5
3550-S-1 (config-if) # ip add 192.168.5.1 255.255.255.0
3550-S-1 (config-if) # int vlan 6
3550-S-1 (config-if) # ip add 192.168.6.1 255.255.255.0
3550-S-1 (config-if) # int vlan 7
3550-S-1 (config-if) # ip add 192.168.6.1 255.255.255.0
3550-S-1 (config-if) # int vlan 127
3550-S-1 (config-if) # ip add 192.168.127.1 255.255.255.0
3550-S-2 (config) # int vlan 1
3550-S-2 (config-if) # ip add 192.168.1.2 255.255.255.0
3550-S-2 (config-if) # int vlan 2
3550-S-2 (config-if) # ip add 192.168.2.2 255.255.255.0
…(略)
广州
GZ-R-1(config)# int F0/0
GZ-R-1 (config-if) # ip add 201.1.1.1 255.255.255.0 定义WAN口
GZ-R-1 (config-if) # no shutdown
GZ-R-1(config)# int F0/1
GZ-R-1 (config-if) # ip add 192.168.200.254 255.255.255.0 定义LAN口
GZ-R-1 (config-if) # no shutdown
-------------------------------------------------------------------
青岛
QD-R-1(config)# int F0/0
QD-R-1 (config-if) # ip add 101.1.1.1 255.255.255.0 定义WAN口
QD-R-1 (config-if) # no shutdown
QD-R-1(config)# int f0/0
QD-R-1 (config-if) # ip add 192.168.100.254 255.255.255.0.. .定义LAN口
QD-R-1 (config-if) # no shutdown
2. VTP配置
3550-S-1(config)# vlan database vlan数据库模式
3550-S-1 (vlan) # vtp domain benet
3550-S-1 (vlan) # vtp server 服务器模式
3550-S-1 (vlan) # vtp password 123
3550-S-1 (vlan) # vtp pruning 启用修剪
按部门划分vlan
3550-S-1 (vlan) # vlan 2 name glb 管理部
3550-S-1 (vlan) # vlan 3 name cwb 财务部
3550-S-1 (vlan) # vlan 4 name xsb 销售部
3550-S-1 (vlan) # vlan 5 name cgb 采购部
3550-S-1 (vlan) # vlan 6 name zzb 制造部
3550-S-1 (vlan) # vlan 7 name xxzx 信息中心
3550-S-1 (vlan) # vlan 127 name svr 服务器组
------------------------------------------------
3550-S-2 (config) # vlan database vlan数据库模式
3550-S-2 (vlan) # vtp domain benet
3550-S-2 (vlan) # vtp server
3550-S-2 (vlan) # vtp password 123
------------------------------------------------
2950-S-1 (vlan) #vtp domain benet
2950-S-1 (vlan) #vtp tran 透明模式(配置修改编号清零操作)
2950-S-1 (vlan) #vtp client 客户模式
2950-S-1 (vlan) #vtp password 123
2950-S-2 (vlan) #vtp domain benet
2950-S-2 (vlan) #vtp tran 透明模式(配置修改编号清零操作)
2950-S-2 (vlan) #vtp client 客户模式
2950-S-2 (vlan) #vtp password 123
2950-S-3 (vlan) #vtp domain benet
2950-S-3 (vlan) #vtp tran 透明模式(配置修改编号清零操作)
2950-S-3 (vlan) #vtp client 客户模式
2950-S-3 (vlan) #vtp password 123
2950-S-4 (vlan) #vtp domain benet
2950-S-4 (vlan) #vtp tran 透明模式(配置修改编号清零操作)
2950-S-4 (vlan) #vtp client 客户模式
2950-S-4 (vlan) #vtp password 123
3. MST多生成树配置
3550-S-1 (config) # int vlan 1
3550-S-1 (config) # spanning-tree mode mst 启用mst
3550-S-1 (config) #spanning-tree mst configuration 进入mst配置
3550-S-1 (config-mst) #name mst 命名为mst
3550-S-1 (config-mst) # instance 1 vlan 1-3 定义实例
3550-S-1 (config-mst) # instance 2 vlan 4-5
3550-S-1 (config-mst) # instance 3 vlan 6-7
3550-S-1 (config-mst) # instance 4 vlan 127
3550-S-1 (config-mst) # revision 1 配置版本号
3550-S-1 (config-mst) # spanning-tree mst 1 root primary 为根交换机
3550-S-1 (config-mst) # spanning-tree mst 2 root primary
3550-S-1 (config-mst) # spanning-tree mst 3 root secordary
3550-S-1 (config-mst) # spanning-tree mst 4 root secordary 为次根交换机
3550-S-2 (config) # spanning-tree mode mst 启用mst
3550-S-2 (config) #spanning-tree mst configuration 进入mst配置
3550-S-2 (config-mst) #name mst 命名为mst
3550-S-2 (config-mst) # instance 1 vlan 1-3
3550-S-2 (config-mst) # instance 2 vlan 4-5
3550-S-2 (config-mst) # instance 3 vlan 6-7
3550-S-2 (config-mst) # instance 4 vlan 127
3550-S-2 (config-mst) # revision 1 ………配置版本号
3550-S-2 (config-mst) # spanning-tree mst 4 root primary 为根交换机
3550-S-2 (config-mst) # spanning-tree mst 3 root primary
3550-S-2 (config-mst) # spanning-tree mst 2 root secordary
3550-S-2 (config-mst) # spanning-tree mst 1 root secordary 为次根交换机
4. VRRP虚拟路由冗作协议
优先级
3550-S-1 (config) # int vlan 1
3550-S-1 (config-if) # vrrp 1 pri 200
3550-S-1 (config) # int vlan 2
3550-S-1 (config-if) # vrrp 2 pri 200
3550-S-1 (config) # int vlan 3
3550-S-1 (config-if) # vrrp 3 pri 200
…(略)
3550-S-2 (config) # int vlan 1
3550-S-2 (config-if) # vrrp 1 pri 100
3550-S-2 (config) # int vlan 2
3550-S-2 (config-if) # vrrp 2 pri 100
3550-S-2 (config) # int vlan 3
3550-S-2 (config-if) # vrrp 3 pri 100
…(略)
加入vrrp组,占先权,跟踪端口
3550-S-2 (config) # int vlan 1
3550-S-2 (config) # track 1 interface f0/1 定义跟踪编号
3550-S-2 (config-if) # vrrp 1 ip 192.168.1.254
3550-S-2 (config-if) # vrrp 1 preempt 占先权
3550-S-2 (config-if) # vrrp 1 authentication text cisco 明文认证
3550-S-2 (config-if) # vrrp 1 track 1 decrement 150 端口跟踪
3550-S-2 (config) # int vlan 2
3550-S-2 (config-if) # vrrp 2 ip 192.168.2.254
3550-S-2 (config-if) # vrrp 2 preempt 占先权
3550-S-2 (config-if) # vrrp 2 track 1 decrement 150 端口跟踪
3550-S-2 (config) # int vlan 3
3550-S-2 (config-if) # vrrp 3 ip 192.168.3.254
3550-S-2 (config-if) # vrrp 3 preempt 占先权
3550-S-2 (config-if) # vrrp 3 track 1 decrement 150
…(略)
3550-S-2 (config) # int vlan 1
3550-S-2 (config) #track 1 interface f0/1 定义跟踪编号
3550-S-2 (config-if) vrrp 1 ip 192.168.1.254
3550-S-2 (config-if) # vrrp 1 preempt 占先权
3550-S-2 (config-if) # vrrp 1 authentication text cisco 明文认证
3550-S-2 (config-if) # vrrp 1 track 1 decrement 150 端口跟踪
3550-S-2 (config) # int vlan 2
3550-S-2 (config-if) # standby 2 ip 192.168.2.254
3550-S-2 (config-if) # standby 2 preempt 占先权
3550-S-2 (config-if) # standby 2 track 1 decrement 150 端口跟踪
3550-S-2 (config) # int vlan 3
3550-S-2 (config-if) # standby 3 ip 192.168.3.254
3550-S-2 (config-if) # standby 3 preempt 占先权
3550-S-2 (config-if) # standby 3 track 1 decrement 150 端口跟踪
…(略)
5. 以太网通道(优化流量)
3550-S-1 (config) # int f0/23
3550-S-1 (config-if) #switchport mode trunk 永久中继模式
3550-S-1 (config) # int f0/24
3550-S-1 (config-if) #switchport mode trunk 永久中继模式
3550-S-1 (config) #port-channel load-balance src-dst-mac 基于源和目标MAC负载均衡
3550-S-1 (config) # int range f0/23 -24
3550-S-1 (if-range) # channel-group 1 mode on
3550-S-1 (if-range) # no sh 激活端口
3550-S-2 (config) # int f0/23
3550-S-2 (config-if) #switchport mode trunk
3550-S-2 (config) # int f0/24
3550-S-2 (config-if) #switchport mode trunk
3550-S-2 (config) # int range f0/23 -24
3550-S-2 (config) #port-channel load-balance src-dst-mac 基于源和目标MAC负载均衡
3550-S-2 (if-range) # channel-group 1 mode on
3550-S-2 (if-range) # no sh
--------------------------------------------------------------------------
2950-S-4 (config) # int f0/23
2950-S-4 (config-if) #switchport mode trunk
2950-S-4 (config) # int f0/24
2950-S-4 (config-if) #switchport mode trunk
2950-S-4 (config) # int range f0/23 -24
2950-S-4 (config) #port-channel load-balance src-dst-mac 基于源和目标MAC负载均衡
2950-S-4 (config) # int range f0/23 -24
2950-S-4(if-range) # channel-group 2 mode on
2950-S-4 (if-range) # no sh....激活端口
3550-S-1 (config) # int f0/8
3550-S-1 (config-if) #switchport mode trunk
3550-S-1 (config) # int f0/9
3550-S-1 (config-if) #switchport mode trunk
3550-S-1 (config) # int range f0/8 -9
3550-S-1 (config) #port-channel load-balance src-dst-mac 基于源和目标MAC负载均衡
3550-S-1(if-range) # channel-group 2 mode on
3550-S-1 (if-range) # no sh
…(略)
6. DHCP配置
3550-S-1 (config) # ip dhcp pool vlan2-glb 管理部
3550-S-1 (dhcp-config) # network 192.168.2.0 255.255.255.0 地址池范围
3550-S-1 (config) # ip dhcp excluded-address 192.168.2.2 192.168.2.10 保留
3550-S-1 (config) # ip dhcp excluded-address 192.168.2.201 192.168.2.254
3550-S-1 (dhcp-config) # lease 5 租约为5天
3550-S-1 (dhcp-config) # dns-server 1.1.1.1 2.2.2.2 DNS服务器
3550-S-1 (config) # default-router 192.168.2.254 默认网关
3550-S-1 (config) # ip dhcp pool vlan3-cwb 财务部
3550-S-1 (dhcp-config) # network 192.168.3.0 255.255.255.0 地址池范围
3550-S-1 (dhcp-config) # ip dhcp excluded-address 192.168.3.2 192.168.3.10 保留
3550-S-1 (dhcp-config) # ip dhcp excluded-address 192.168.3.201 192.168.3.254
3550-S-1 (dhcp-config) # lease 5 租约为5天
3550-S-1 (dhcp-config) # dns-server 1.1.1.1 2.2.2.2 DNS服务器
3550-S-1 (dhcp-config) # default-router 192.168.3.254 默认网关
…(略)
7. NTP配置
将BJ-R-1设为NTP服务器,其余作NTP客户端,实现全网设备时钟同步
BJ-R-1(config)# ntp master
BJ-R-1(config)# clock set 10:00:00 seq 2007 设置时钟
BJ-R-1(config)# ntp authenticate 启用ntp认证
BJ-R-1(config)# ntp trusted-key 1
BJ-R-1(config)# ntp authentication-key 1 md5 benet
3550-S-1 (config) # ntp server 192.168.10.254
3550-S-1(config)# ntp authenticate 启用ntp认证
3550-S-1(config)# ntp authentication-key 1 md5 benet
3550-S-2 (config) # ntp server 192.168.20.254
3550-S-2(config)# ntp authenticate 启用ntp认证
BJ-R-1(config)# ntp trusted-key 1
3550-S-2(config)# ntp authentication-key 1 md5 benet
…(略)
8. 路由、NAT配置
北京总部
-----------------静态路由
BJ-R-1(config)# ip route 192.168.100.0 255.255.255.0 f0/0 青岛办事处vpn
BJ-R-1(config)# ip route 192.168.200.0 255.255.255.0 f0/1 广州办事处vpn
BJ-R-1(config)# ip route 0.0.0.0 0.0.0.0 f0/0 10 缺省路由(网通ISP)
BJ-R-1(config)# ip route 0.0.0.0 0.0.0.0 f0/1 20 缺省路由(电信ISP)
-----------------ospf
BJ-R-1(config)# router ospf 1
BJ-R-1(config-router)# network 192.168.1.2 0.0.0.0 area 0
BJ-R-1(config-router)# network 192.168.2.2 0.0.0.0 area 0
BJ-R-1(config-router)# area 0 authentication message-digest 启用MD5认证
BJ-R-1(config)# interface f0/2
BJ-R-1(config-if)# ip ospf message-digest-key 1 md5 benet-md5 定义密钥
BJ-R-1(config)# interface f0/3
BJ-R-1(config-if)# ip ospf message-digest-key 1 md5 benet-md5 定义密钥
BJ-R-1(config-router)# default-information orig 分发缺省路由tub
3550-S-1 (config) # int f0/0
3550-S-1 (config) # no switchport 打开路由端口
3550-S-1 (config) # network 192.168.100.1 0.0.0.0 area 0
3550-S-1 (config) # area 0 authentication message-digest
3550-S-1 (config) # interface f0/0
3550-S-1 (config) # ip ospf message-digest-key 1 md5 benet-md5
3550-S-2 (config) # int f0/0
3550-S-2 (config) # no switchport
3550-S-2 (config) # router ospf 1
3550-S-2 (config) # network 192.168.200.1 0.0.0.0 area 0
使用路由策略优化网络流量:
1).内部用户访问网通ISP资源,流量从f0/0出站,当访问电信ISP资源,流量从f0/1出站
2).从不同ISP网络上所来的流量,从各自的线路返回
网通CNC IP段:100.1.1.1、101.1.1.1、102.1.1.1 (假定)
电信CTC IP 段:200.1.1.1、201.1.1.1、202.1.1.1(假定)
----------------------------------------------------------关于电信ip 段ACL
BJ-R-1(config# ip access-list extended BJ-CTC-ACL
BJ-R-1(config-ext-nacl# ip access-list extended BJ-CTC-ACL
BJ-R-1(config-ext-nacl# deny ip 192.168.0.0 0.0.255.255 192.168.100.0 0.0.0.255 拒绝至青岛×××流量
BJ-R-1(config-ext-nacl# deny ip 192.168.0.0 0.0.255.255 192.168.200.0 0.0.0.255 拒绝至广州×××流量
BJ-R-1(config-ext-nacl# permit ip 192.168.0.0 0.0.255.255 200.1.1.0 0.0.0.255
BJ-R-1(config-ext-nacl# permit ip 192.168.0.0 0.0.255.255 201.1.1.0 0.0.0.255
BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 202.1.1.0 0.0.0.255
----------------------------------------------------------关于网通ip 段ACL
BJ-R-1(config)# ip access-list extended BJ-CNC-ACL
BJ-R-1(config-ext-nacl)# ip access-list extended BJ-CNC-ACL
BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 100.1.1.0 0.0.0.255
BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 101.1.1.0 0.0.0.255
BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 102.1.1.0 0.0.0.255
-----------------------------------------------------------其它可能的IP段ACL
BJ-R-1(config)# ip access-list extended other-ACL
BJ-R-1(config-ext-nacl)# ip access-list extended other-ACL
BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 100.1.1.0 0.0.0.255
BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 101.1.1.0 0.0.0.255
BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 102.1.1.0 0.0.0.255
Route-map route-policy permit 10
Math ip address BJ-CTC-ACL
Set ip next-hop int f0/1………电信CTC
Route-map route-policy permit 20
Math ip address BJ-CNC-ACL
Set ip next-hop int f0/0………网通CNC
BJ-R-1(config)# int f0/2
BJ-R-1(config)# ip policy route-map route-policy 策略调用
BJ-R-1(config)# int f0/3
BJ-R-1(config)# ip policy route-map route-policy 策略调用
定义合法地址池
BJ-R-1(config)# ip nat pool BJ-CNC-address 200.1.1.252 200.1.1.254 prefix 24
BJ-R-1(config)# ip nat pool BJ-CTC-address 100.1.1.252 100.1.1.254 prefix 24
NAT转换
BJ-R-1(config)# ip nat inside source list BJ-CTC-ACL pool BJ-CTC-address overload
BJ-R-1(config)# ip nat inside source list BJ-CNC-ACL pool BJ-CNC-address overload
BJ-R-1(config)# ip nat inside source list Other-ACL pool BJ-CNC-address overload
端口映射,发布FTP web服务器
BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 80 200.1.1.254 eq 80 web服务器
BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 80 100.1.1.254 eq 80
BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 21 200.1.1.254 eq 21 ftp服务器
BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 21 100.1.1.254 eq 21
青岛办事处
QD-R-1(config)# access-list 101 deny ip any 192.168.0.0 0.255.255
QD-R-1(config)# access-list 101 permit ip any any
QD-R-1(config)# ip nat pool QD-CNC-address 101.1.1.252 101.1.1.254 prefix 24
BJ-R-1(config)# ip nat inside source list pool BJ-CNC-address overload
广州办事处
QD-R-1(config)# access-list 101 deny ip any 192.168.0.0 0.255.255
QD-R-1(config)# access-list 101 permit ip any any
QD-R-1(config)# ip nat pool GZ-CTC-address 101.1.1.252 101.1.1.254 prefix 24
BJ-R-1(config)# ip nat inside source list pool GZ-CTC-address overload
9. Ipsec ×××
*****************************************************北京总部
1、Isakmp 密钥协商
BJ-R-1(config)# crypto isakmp enable 启用IKE
BJ-R-1(config)# crypto isakmp policy 1 建立IKE协商策略
BJ-R-1(config-isakmp)# hash md5
BJ-R-1(config-isakmp)# encryption des
BJ-R-1(config-isakmp)# authentication pre-share
BJ-R-1(config)# crypto isakmp key QD-password address 201.1.1.1
2、Ipsec参数设置
BJ-R-1(config)# ip access-list extened BJ-QD-×××
BJ-R-1(config-ext-nacl)# permit 192.168.0.0 0.0.255.255 192.168.200.0 0.0.0.255
BJ-R-1(config)# crypto ipsec transform-set QD-set ah-md5 esp-des
3、端口应用
BJ-R-1(config)# crypto map QD-map 1 ipsec-isakmp 新建加密图
BJ-R-1(config-crypto-map)# set peer 201.1.1.1 对端地址
BJ-R-1(config-crypto-map)# match address BJ-QD-×××
BJ-R-1(config-crypto-map)# set transform-set QD-set 指定传输模式
BJ-R-1(config)#int f0/0
BJ-R-1(config)#crypto map QD-map
---------------------------------------------------------------------
BJ-R-1(config)# crypto isakmp key GZ-password address 101.1.1.1
Ipsec参数设置
BJ-R-1(config)# ip access-list extened BJ-GZ-×××
BJ-R-1(config-ext-nacl)# permit 192.168.0.0 0.0.255.255 192.168.100.0 0.0.0.255
BJ-R-1(config)# crypto ipsec transform-set GZ-set ah-md5 esp-des
端口应用
BJ-R-1(config)# crypto map GZ-map 1 ipsec-isakmp 新建加密图
BJ-R-1(config-crypto-map)# set peer 101.1.1.1 对端地址
BJ-R-1(config-crypto-map)# match address BJ-GZ-×××
BJ-R-1(config-crypto-map)# set transform-set GZ-set 指定传输模式
BJ-R-1(config)#int f0/1
BJ-R-1(config)#crypto map GZ-map
**************************************************************青岛办事处
1、建立IKE协商策略
BJ-R-1(config)# crypto isakmp policy 1
BJ-R-1(config-isakmp)# hash md5
BJ-R-1(config-isakmp)# encryption des
BJ-R-1(config-isakmp)# authentication pre-share
BJ-R-1(config)# crypto isakmp key QD-password address 200.1.1.1
2、Ipsec参数设置
BJ-R-1(config)# ip access-list extened QD-×××
BJ-R-1(config-ext-nacl)# permit 192.168.200.0 0.0.255.255 192.168.0.0 0.0.0.255
BJ-R-1(config)# crypto ipsec transform-set QD-set ah-md5 esp-des
3、端口应用
BJ-R-1(config)# crypto map QD-map 1 ipsec-isakmp 新建加密图
BJ-R-1(config-crypto-map)# set peer 200.1.1.1 对端地址
BJ-R-1(config-crypto-map)# match address QD-×××
BJ-R-1(config-crypto-map)# set transform-set QD-set 指定传输模式
BJ-R-1(config)#int f0/0
BJ-R-1(config)#crypto map QD-map
****************************************************************广州办事处
1、建立IKE协商策略
BJ-R-1(config)# crypto isakmp policy 1
BJ-R-1(config-isakmp)# hash md5 md5认证
BJ-R-1(config-isakmp)# encryption des des加密
BJ-R-1(config-isakmp)# authentication pre-share
BJ-R-1(config)# crypto isakmp key GZ-password address 200.1.1.1
2、Ipsec参数设置
BJ-R-1(config)# ip access-list extened GZ-×××
BJ-R-1(config-ext-nacl)# permit 192.168.100.0 0.0.255.255 192.168.0.0 0.0.0.255
BJ-R-1(config)# crypto ipsec transform-set GZ-set ah-md5 esp-des
3、端口应用
BJ-R-1(config)# crypto map GZ-map 1 ipsec-isakmp 新建加密图
BJ-R-1(config-crypto-map)# set peer 100.1.1.1 对端地址
BJ-R-1(config-crypto-map)# match address GZ-×××
BJ-R-1(config-crypto-map)# set transform-set QD-set 指定传输模式
BJ-R-1(config)#int f0/0
BJ-R-1(config)#crypto map GZ-map
10. 流量控制及安全设置
1) 管理部、财务部vlan实现互访,且允许访问internet
2) 财务部实现与销售部、采购部vlan单向访问
3) 各部门vlan相对独立,都能访问服务器组,且允许访问internet
4) 控制设备的telnet会话,仅允许来自信息中心vlan的会话
5) 上海、青岛办事处只能访问总部服务器组vlan
6) 关闭cdp
7) 关闭 httpserver
8) 关闭著名端口(端口过滤)
北京总部
3550-S-1 (config) # ip access-list extended glb-ACL 管理部ACL
3550-S-1 (config-ext-nacl) #permit ip any 192.168.3.0 0.0.0.255
3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255
3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255
3550-S-1 (config-ext-nacl) #permit ip any any
******************
3550-S-1 (config) # ip access-list extended cwb-ACL 财务部ACL
3550-S-1 (config-ext-nacl) #permit ip any 192.168.4.0 0.0.0.255 reflect cwb-xsb
自反ACL
3550-S-1 (config-ext-nacl) #permit ip any 192.168.5.0 0.0.0.255 reflect cwb-cgb
自反ACL
3550-S-1 (config-ext-nacl) #permit ip any 192.168.2.0 0.0.0.255
3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255
3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255
3550-S-1 (config-ext-nacl) #permit ip any any
******************
3550-S-1 (config) # ip access-list extended xsb-ACL 销售部ACL
3550-S-1 (config-ext-nacl) #evaluate cwb-xsb 计算匹配自反ACL
3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 访问服务组
3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255
3550-S-1 (config-ext-nacl) #permit ip any any
*****************
3550-S-1 (config) # ip access-list extended cgb-ACL 采购部ACL
3550-S-1 (config-ext-nacl) #evaluate cwb-cgb 计算匹配自反ACL
3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 访问服务组
3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255
3550-S-1 (config-ext-nacl) #permit ip any any
*****************
3550-S-1 (config) # ip access-list extended zzb-ACL 制造部ACL
3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 访问服务组
3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255
3550-S-1 (config-ext-nacl) #permit ip any any
…(略)
可控VTY访问,仅允许来自信息中心vlan的会话
3550-S-1 (config) # ip access-list extended telnet-ACL
3550-S-1 (config) # permit ip 192.168.7.0 0.0.0.255
3550-S-1 (config) # username benet password 0 benetpassword 建立本地数据库
3550-S-1 (config) # line consol 0
3550-S-1 (config) # line vty 0 4
3550-S-1 (config) # login local 验证本地数据库
3550-S-1 (config) # access-class telnet-ACL in 调用
…(略)
青岛办事处
QD-R-1 (config) # access-list 101 permit ip any 192.168.127.0 0.0.0.255
QD-R-1 (config) # access-list 101 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
QD-R-1 (config) # access-list 101 permit ip any any
QD-R-1 (config) # int f0/1
QD-R-1 (config) # ip access-group 101 in
广州办事处
GZ-R-1 (config) # access-list 101 permit ip any 192.168.127.0 0.0.0.255
GZ-R-1 (config) # access-list 101 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
GZ-R-1 (config) # access-list 101 permit ip any any
GZ-R-1 (config) # int f0/1
GZ-R-1 (config) # ip access-group 101 in
关闭cdp 协议,http协议
BJ-R-1 (config) #no cdp run
BJ-R-1 (config) # no ip http server
3550-S-2 (config) # no cdp run
3550-S-1 (config) # no ip http server
3550-S-2 (config) # no cdp run
3550-S-2 (config) # no ip http server
…(略)
端口数据包过滤
BJ-R-1(config)# ip access-list extended port-in-ACL 定义入站ACL
BJ-R-1(config-ext-nacl)# permit ip host 201.1.1.1 any 信任青岛办事处
BJ-R-1(config-ext-nacl)# permit ip host 101.1.1.1 any 信任广州办事处
BJ-R-1(config-ext-nacl)# deny tcp any any eq 1023
BJ-R-1(config-ext-nacl)# deny tcp any any eq 3332
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4444
BJ-R-1(config-ext-nacl)# deny tcp any any eq 444
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4899
BJ-R-1(config-ext-nacl)# deny tcp any any eq 44
BJ-R-1(config-ext-nacl)# deny tcp any any eq 135
BJ-R-1(config-ext-nacl)# deny tcp any any eq 136
BJ-R-1(config-ext-nacl)# deny tcp any any eq 137
BJ-R-1(config-ext-nacl)# deny tcp any any eq 138
BJ-R-1(config-ext-nacl)# deny tcp any any eq netbio
BJ-R-1(config-ext-nacl)# deny tcp any any eq 3127
BJ-R-1(config-ext-nacl)# deny tcp any any eq 5554
BJ-R-1(config-ext-nacl)# deny tcp any any eq 9996
BJ-R-1(config-ext-nacl)# deny tcp any any eq 6129
BJ-R-1(config-ext-nacl)# deny tcp any any eq 2745
BJ-R-1(config-ext-nacl)# deny tcp any any eq 1025
BJ-R-1(config-ext-nacl)# deny udp any any eq tftp
BJ-R-1(config-ext-nacl)# deny udp any any eq 445
BJ-R-1(config-ext-nacl)# deny udp any any eq 135
BJ-R-1(config-ext-nacl)# deny udp any any eq 4444
BJ-R-1(config-ext-nacl)# deny tcp any any eq 1010
BJ-R-1(config-ext-nacl)# deny tcp any any eq 1011
BJ-R-1(config-ext-nacl)# deny tcp any any eq 1012
BJ-R-1(config-ext-nacl)# deny tcp any any eq 1015
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4661
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4662
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4663
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4664
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4665
BJ-R-1(config-ext-nacl)# deny tcp any any eq 4666
BJ-R-1(config-ext-nacl)# deny tcp any any eq 7597
BJ-R-1(config-ext-nacl)# deny tcp any any eq 22226
BJ-R-1(config-ext-nacl)# deny tcp any any eq 1027
BJ-R-1(config-ext-nacl)# deny tcp any any eq 5168
BJ-R-1(config-ext-nacl)# permit ip any any
端口调用
BJ-R-1(config)# int f0/0 网通WAN口
BJ-R-1(config-if)# ip access-group port-in-ACL in
BJ-R-1(config)# int f0/0 电信WAN口
BJ-R-1(config-if)# ip access-group port-in-ACL in
BJ-R-1(config)# int f0/2 LAN口
BJ-R-1(config-if)# ip access-group port-in-ACL in
BJ-R-1(config)# int f0/3 LAN口
BJ-R-1(config-if)# ip access-group port-in-ACL in |