第10章综合案例实施.doc
13页
表10-1 路由器接口 IP地址及运行协议路由器接口名称地址运行协议Beiji nglF0/0202.9&12.1/29EIGRP AS=1LOO202.9.1/23EIGRP AS=1S0/0/0172.16.12.1/24OSPF区域0S0/0/1172.16.21.1/24OSPF区域0Beiji ng2S0/0/0172.16.12.2/24OSPF区域0S0/1/0172.1 &21.2/24OSPF区域0F0/0172.16.2.2/24OSPF区域0S0/0/1172.16.23.2/24RIPv22012:2323::2/64OSPFv3S0/1/1172.16.24.2/24OSPF区域12012:2424::2/64OSPFv3ShanghaiF0/0172.16.3.3/24RIPv22012:3333::3/64OSPFv3S0/0/1172.16.23.3/24RIPv22012:2323:3/64OSPFv3ShenzhenS0/0/0172.16.24.4/24OSPF区域12012:2424::4/64OSPFv3F0/0172.16.4.4/24OSPF区域12012:4444::4/64OSPFv3InternetF0/0202.96.12.2/29EIGRP AS=1LOO202.96.7.7/32EIGRP AS=1S0/0/1219.19.1.1/30BGP通告相应网络S0/0/0218.18.1.1/30BGP通告相应网络HotelF0/0172.16.5.5/24S0/0/0219.19.1.2/30SOHOF0/0172.16.6.6/24S0/0/0218.181.2/30WEB服务器内网地址:172.16.2.200 外网地址:202.96.12.3FTP服务器内网地址:172.16.2.201 外网地址:202.96.12.4内部资源1172.16.2.202内部资源2172.16.2.20310.3案例配置任务本案例尽可能覆盖到前面章节的内容,配置任务貝体如下所述。
⑴照要求配置路由器各个端口的IPv4和IPv6地址,保证肓连链路通2)配置OSPF路由协议保证OSPF各个区域路由正常,具体要求如下所述 •将区域1配置成完全末节区域;•区域0需要MD5验证,区域1需要简单II令验证;•从Beijingl路由器向OSPF网络注入一条默认路由⑶配置RIP V2路由协议,采用MD5验证4) 置EIGRP路由协议,为路由器Beijingl和Internet运行BGP路由协议提供TCP连通性5) Beijingl 和 Internet 运行 EBGP 路由协议⑹ 置DHCP服务,为分公司员工的主机提供IP地址7) 配置 NAT:•配置NAT过载,实现总部和分公司的主机可以访问Internet;•配置NAT过载,实现Hotel和SOHO的主机可以访问Internet;•配置静态NAT,实现Internet主机可以访问金业的Web和FTP服务器(8) 在路由器Beijing2上执行RIP和OSPF的双向重分布:•将RIP路由重分布到OSPF;•将OSPF路由重分布到RIP;(9) 配置OSPv3路由协议协议,釆用验证,保证IPv6路由通10) 在路由器Beijingl上配置策略路由:•使Internet主机访问FTP服务器的数据流走路由器R1的“SerialO/0/O”接口;•使Internet主机访问Web服务器的数据流走路由器R1的“SerialO/0/l”接口;(11) 在路由器SOHO和Beijingl上配置Site-to-Site VPN,使得SOHO的用户可以通过IPSecVPN 访问企业内部资源(⑵在路由器Beijingl ±配置配置EZVPN,使得出差员丄通过酒店的网络町以访问企业内部资 源。
⑶配置静态默认路由,使得Hotel路由器和SOHO路由器接入Interneto(14) 企业的路由器采用集中化管理,全部由北京的网络管理员进行管理,并采用AAA进行验 证授权和计费15) 为了便于企业设备管理和排错,在内网配置NTP,使得内网设备时间统一10.4案例配置实现本节只给出实验的配置,不再作注释,如有需要,请参考前面的章节配置顺序按照路由器 “show running-config”的输出顺序给出AAA配置只给出路由器Beijing2的配置,其他设备 请读者自己配制,ACS服务器的配置部分请参考第1章1)配置路由器BeijinglBeijingl(config)#aaa new-modelBei jingl(config)#且aa authentication login CON noneBeijingl(config)#aaa authentication login VPNUSERS localBeijingl(config)#aaa authorization network VPN-REMOTE-ACCESS localBeijingl(config)#ipcefBeijingl(config)#key chain E1GRPBeijingl(config-keychain)#key 1Beijingl(config-kcychain-koy)#key-string ciscol23Beijingl(config-keychain-key)#08:00:00 Nov 11 2011 08:00:00 Jun 11 2012Beijingl(config-keychain-key)#08:00:00 Nov 11 2011 08:00:00 Jun 11 2012Beijingl(config-keychain)#key 2Beijingl(config-keychain-key)#key-string cisco234Bei jingl (conf ig-keychain-key) #accept~l if etime 08:00:00 Nov 11 2011 08:00:00 Ju n 11 2012Beijingl(config-keychain-key)#send-lifetime 08:00:00 Nov 11 2011 08:00:00 Jun 112012Beijingl(config)#username vpnuser secret ciscoBeijingl(config)#archiveBeijingl(config-archive)#path tftp://172. 16. 2. 202/$h~configBei jingl(config-archive)#wri te- memoryBeijingl(config-archive)#time-period 60Beijingl (config)#crypto isakmp policy 10Beijingl(config-isakmp)tthash md5Beijingl(config-isakmp)#authentication pre-shareBeijingl (config-isakmp)#group 2Beijingl (config)#crypto Beijingl (config)#crypto Beijingl (config)#crypto Beijingl(config)#crypto Beijingl (config)#cryptoisakmp key cisco address 218-18.1.2isakmp fragmentation isakmpkeepalivc 20 isakmpxauth timeout 20isakmp client configuration group VPN-REMOTE-ACCESSBeijingl (config-isakmp-group)#key MYVPNKEYBeijingl(config-isakmp-group)#pool REMOTE-POOLBeijingl(config-isakmp-group)#acl EZVPNBeijingl(config-isakmp-group)#save-passwordBeijingl (config)#crypto ipsec transform^set TS esp-3des esp md5-hmacBeijingl(config)#crypto dynamic-map DYNMAP 1Beijingl(config-crypto-map)#set transform-set TSBeijingl(conf i g-crypto-map)#reverse-routeBeijingl (config)#crypto map MAP client authentication 1ist VPNUSERS10 ipsec-i sakmp peer 218. 1 & 1. 2 transform-set TS pfs group2Beijingl (config)#crypto map MAPisakmp authorization 1ist VPN-REMOTE-ACCESS Beijingl (config)#crypto map MAPBeijingl (config-crypto-map)#setBeijingl (config-crypto-map)#setBeijingl(config-crypto-map)#setBeijingl(config-crypto-map)#match address VPNBeijingl (config-crypto-map)#reverse-route staticBeijingl (config)#crypto map MAP 65535 ipsec-isakmp dynamic DYNMAPBeijingl(config)#interfsce LoopbackOBeijingl(config-if)#ip address 202.96.1.1 255. 255. 255. 255Beijingl (config)#interface FastEthernet0/0Beijingl(config-if)#ip address 202.96.12.1 255. 255. 255. 248Beijingl (config-if)#ip authentication mode eigrp 1 md5Beijingl (config-if)#ip authentication key-chain eigrp 1 ETGRP Beijingl (config-if)#ipnat outsideBeijingl (config-if)#ip policy route-map P0Beijingl (config-if)#crypto map MAPBeijingl(config)#intcrface Serial0/0/0Beijingl (config-if)#ip address 172. 。
