苏州建站方法优化网站
实验拓扑
实验需求
1、R5为ISP,只能进行IP地址配置,其所有地址均配为公有IP地址;
2、R1和R5间使用PPP的PAP认证,R5为主认证方;
R2与R5之间使用ppp的CHAP认证,R5为主认证方;
R3与R5之间使用HDLC封装;
3、R1、R2、R3构建一个MGRE环境,R1为中心站点,R1、R4间为点到点的GRE;
4、整个私有网络基本RIP全网可达;
5、所有PC设置私有IP为源IP,可以访问R5环回,达到全网通。
实验思路
1、按照拓扑划分的网段配置路由接口IP地址,以及主机的IP地址(主机IP地址自行配置)。
2、完成R1和R5之间的PAP认证,R5为主认证方。
3、完成R2与R5之间的chap认证,R5为主认证方
4、完成R3与R5之间为HDLC封装。
5、在出口设备配置缺省路由,保证公网通
6、完成R1与R4为点到点GRE
7、完成R1/2/3构建MGRE,R1为中心站点
8、配置RIP.,实现宣告直连网段
9、私用网段配置NAT。
10、所有PC设置私有IP为源IP,可以访问R5环回。
实验步骤
1、按照拓扑划分的网段配置路由接口IP地址,以及主机的IP地址(主机IP地址自行配置)。
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R1]int Serial 4/0/0
[R1-Serial4/0/0]ip add 15.1.1.1 24[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 192.168.2.254 24
[R2]int Serial 4/0/0
[R2-Serial4/0/0]ip add 25.1.1.2 24
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip add 192.168.3.254 24
[R3]int Serial 4/0/0
[R3-Serial4/0/0]ip add 35.1.1.3 24[R4]int g0/0/1
[R4-GigabitEthernet0/0/1]ip add 192.168.4.254 24
[R4]int g0/0/0
[R4-GigabitEthernet0/0/0]ip add 45.1.1.4 24[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip add 45.1.1.5 24
[ISP]int Serial 4/0/1
[ISP-Serial4/0/1]ip add 15.1.1.5 24
[ISP-Serial4/0/1]int Serial 3/0/1
[ISP-Serial3/0/1]ip add 25.1.1.5 24
[ISP]int Serial 4/0/0
[ISP-Serial4/0/0]ip add 35.1.1.5 24
[ISP]int l0
[ISP-LoopBack0]ip add 5.5.5.5 242、完成R1和R5之间的PAP认证,R5为主认证方。
所以需要在 R5上创建用于验证的用户,且pap认证方式会明文传递用户名和密码。
主认证方:
[ISP]aaa
[ISP-aaa]local-user zhangdaye privilege level 15 password cipher wdy12345
[ISP-aaa]local-user zhangdaye service-type ppp
[ISP]int Serial 4/0/1 连接被认证方的端口
[ISP-Serial4/0/1]ppp authentication-mode pap被认证方
[R1]int Serial 4/0/0
[R1-Serial4/0/0]ppp pap local-user zhangdaye password cipher zdy12345测试:关闭在开启 R1 和 R5 的 PPP 链路,检查验证是否能够通过。
3、完成R2与R5之间的chap认证,R5为主认证方
所以需要在R5上创建用于验证的用户,且chap认证方式会密文传递用户名和密码。
主认证方:
[ISP]aaa
[ISP-aaa]local-user wangdaye privilege level 15 password cipher wdy12345
[ISP-aaa]local-user wangdaye service-type ppp
[ISP]int Serial 4/0/0
[ISP-Serial4/0/0]ppp authentication-mode chap被认证方:
[R2]int Serial 4/0/0
[R2-Serial4/0/0]ppp chap user wangdaye
[R2-Serial4/0/0]ppp chap password cipher wdy12345测试:关闭在开启 R2 和 R5 的 PPP 链路,检查验证是否能够通过。完成R3与R5之间为HDLC封装。
4、完成R3与R5之间为HDLC封装。
高级链路控制协议,这种封装技术,可以理解为就是在二层实施了介子访问控制工作
[R3]int Serial 4/0/0
[R3-Serial4/0/0]link-protocol hdlc //修改二层封装
Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]:y[ISP]int Serial 4/0/0
[ISP-Serial4/0/0]link-protocol hdlc
Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]:y
5、在出口设备配置缺省路由,保证公网通
[R1]ip route-static 0.0.0.0 0 15.1.1.5
[R2]ip route-static 0.0.0.0 0 25.1.1.5
[R3]ip route-static 0.0.0.0 0 35.1.1.5
[R4]ip route-static 0.0.0.0 0 45.1.1.56、完成R1与R4为点到点GRE
分析:GRE,一种简单的VPN技术,属于点到点网络类型,让两个网络穿越中间网络来直接通讯,逻辑的在两个网络间建立了一条新的点到点直连链路。
[R1]interface Tunnel0/0/0
[R1-Tunnel0/0/0]ip address 10.1.1.1 24 建立隧道接口IP地址
[R1-Tunnel0/0/0]tunnel-protocol gre
[R1-Tunnel0/0/0]source 15.1.1.1
[R1-Tunnel0/0/0]destination 45.1.1.4[R4]interface Tunnel 0/0/0
[R4-Tunnel0/0/0]ip add 10.1.1.2 24 建立隧道接口IP地址
[R4-Tunnel0/0/0]tunnel-protocol gre
[R4-Tunnel0/0/0]source 45.1.1.4
[R4-Tunnel0/0/0]destination 15.1.1.17、完成R1/2/3构建MGRE,R1为中心站点
分析:若将多个节点使用普通GRE连接起来,将配置大量的网段和路由信息,且所有节点为固定IP地址;而MGRE-多点GRE ,实现多个节点构建为一个网段;结构为中心到站点结构;站点可以基于NHRP实现ip地址不固定,主动到固定IP的中心站点注册;中心成MAP映射—tunnel口IP与公有ip地址的对应;
若分支到分支,那么将在中心站点下载map来实现直接通讯。
配置思路:
1.将拓扑图转化为MGRE图
2. 创建Tunnel接口并配置IP
3. 选择MGRE点到多点的封装类型
4. 中心站点的源IP写固定的,分支站点写出接口
5. 中心站点要开启伪广播,分支站点要向中心站点注册
6. 设置NHRP的工作id
中心站点的配置
[R1]interface Tunnel 0/0/1 //创建隧道接口
[R1-Tunnel0/0/1]ip address 10.1.2.1 24 //隧道接口ip地址
[R1-Tunnel0/0/1]tunnel-protocol gre p2mp //定义该隧道为多点gre隧道
[R1-Tunnel0/0/1]source 15.1.1.1 //该隧道加封装的报头源IP
//地址通过NHRP协议来获取加封装的目标IP地址
[R1-Tunnel0/0/1]nhrp entry multicast dynamic //本地成为NHRP服务端,开启伪广播,为RIP做准备。
[R1-Tunnel0/0/1]nhrp network-id 100 //NHRP的工作编号,该网段所有设备必须在同一id分支站点的配置:
[R2]interface Tunnel 0/0/1
[R2-Tunnel0/0/1]ip address 10.1.2.2 24
[R2-Tunnel0/0/1]tunnel-protocol gre p2mp
//加封装的源IP地址,为本地的隧道实际通过接口的IP地址,填写接口编号,而不是接口IP,原因在于该接口IP地址可变
[R2-Tunnel0/0/1]source serial 4/0/0
//加封装的目标ip地址,需要到NHRP中心站点获取
[R2-Tunnel0/0/1]nhrp entry 10.1.2.1 15.1.1.1 register
[R2-Tunnel0/0/1]nhrp network-id 100[R3]interface Tunnel 0/0/1
[R3-Tunnel0/0/1]ip add 10.1.2.3 24
[R3-Tunnel0/0/1]tunnel-protocol gre p2mp
[R3-Tunnel0/0/1]source Serial 4/0/0
[R3-Tunnel0/0/1]nhrp network-id 100
[R3-Tunnel0/0/1]nhrp entry 10.1.2.1 15.1.1.1 register测试:dis nhrp peer all 查看分支站点注册结果
8、配置RIP.,实现宣告直连网段
分析:这里能不能也宣告公网地址呢?多宣告多知道些路由不是更好吗?公网的地址不能被私网学到,宣告了也没用
[R1]rip 1
[R1-rip-1]version 2
[R1-rip-1]undo summary
[R1-rip-1]network 192.168.1.0
[R1-rip-1]network 10.0.0.0[R2]rip 1
[R2-rip-1]version 2
[R2-rip-1]network 192.168.2.0
[R2-rip-1]network 10.0.0.0
[R2-rip-1]undo summary[R3]rip 1
[R3-rip-1]version 2
[R3-rip-1]undo summary
[R3-rip-1]network 192.168.3.0
[R3-rip-1]network 10.0.0.0[R4]rip 1
[R4-rip-1]version 2
[R4-rip-1]undo summary
[R4-rip-1]network 192.168.4.0
[R4-rip-1]network 10.0.0.0配完后发现R2和R3的路由条目不全 原因是RIP的水平分割(从一个接口收到的路由,不从这个接口传出去),故关闭中心接口的水平分割机制
[R1]int Tunnel 0/0/1
[R1-Tunnel0/0/1]undo rip split-horizon查看RIP路由表学习情况
9、私用网段配置NAT。
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R1]int Serial 4/0/0
[R1-Serial4/0/0]nat outbound 2000[R2]acl 2000
[R2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[R2]int Serial 4/0/0
[R2-Serial4/0/0]nat outbound 2000[R3]acl 2000
[R3-acl-basic-2000]rule permit source 192.168.3.0 0.0.0.255
[R3]int Serial 4/0/0
[R3-Serial4/0/0]nat outbound 2000[R4]acl 2000
[R4-acl-basic-2000]rule permit source 192.168.4.0 0.0.0.255
[R4]int g0/0/0
[R4-GigabitEthernet0/0/0]nat outbound 200010、所有PC设置私有IP为源IP,可以访问R5环回。
11、测试全网通
