《第10章 综合案例实施》由会员分享,可在线阅读,更多相关《第10章 综合案例实施(11页珍藏版)》请在金锄头文库上搜索。
1、表表 10-1 路由器接口路由器接口 IP 地址及运行协议地址及运行协议路由器接口名称地址运行协议F0/0202.96.12.1/29EIGRP AS=1LO0202.96.1.1/23EIGRP AS=1S0/0/0172.16.12.1/24OSPF 区域 0Beijing1S0/0/1172.16.21.1/24OSPF 区域 0S0/0/0172.16.12.2/24OSPF 区域 0S0/1/0172.16.21.2/24OSPF 区域 0F0/0172.16.2.2/24OSPF 区域 0172.16.23.2/24RIP v2S0/0/12012:2323:2/64OSPFv31
2、72.16.24.2/24OSPF 区域 1Beijing2S0/1/12012:2424:2/64OSPFv3172.16.3.3/24RIP v2F0/02012:3333:3/64OSPFv3172.16.23.3/24RIP v2ShanghaiS0/0/12012:2323:3/64OSPFv3172.16.24.4/24OSPF 区域 1S0/0/02012:2424:4/64OSPFv3172.16.4.4/24OSPF 区域 1ShenzhenF0/02012:4444:4/64OSPFv3F0/0202.96.12.2/29EIGRP AS=1LO0202.96.7.7/32
3、EIGRP AS=1S0/0/1219.19.1.1/30BGP 通告相应网络InternetS0/0/0218.18.1.1/30BGP 通告相应网络F0/0172.16.5.5/24HotelS0/0/0219.19.1.2/30F0/0172.16.6.6/24SOHOS0/0/0218.181.2/30WEB 服务器内网地址:172.16.2.200 外网地址:202.96.12.3FTP 服务器内网地址:172.16.2.201 外网地址:202.96.12.4内部资源 1172.16.2.202内部资源 2172.16.2.20310.3 案例配置任务案例配置任务本案例尽可能覆盖到
4、前面章节的内容,配置任务具体如下所述。 1照要求配置路由器各个端口的 IPv4 和 IPv6 地址,保证直连链路通。 2配置 OSPF 路由协议保证 OSPF 各个区域路由正常,具体要求如下所述。 将区域 1 配置成完全末节区域; 区域 0 需要 MD5 验证,区域 1 需要简单口令验证; 从 Beijing1 路由器向 OSPF 网络注入一条默认路由。 3配置 RIP V2 路由协议,采用 MD5 验证。 4置 EIGRP 路由协议,为路由器 Beijing1 和 Internet 运行 BGP 路由协议提供 TCP 连通性。 5Beijing1 和 Internet 运行 EBGP 路由协
5、议 6置 DHCP 服务,为分公司员工的主机提供 IP 地址。 7配置 NAT: 配置 NAT 过载,实现总部和分公司的主机可以访问 Internet; 配置 NAT 过载,实现 Hotel 和 SOHO 的主机可以访问 Internet; 配置静态 NAT,实现 Internet 主机可以访问企业的 Web 和 FTP 服务器在路由器 Beijing2 上执行 RIP 和 OSPF 的双向重分布:将 RIP 路由重分布到 OSPF; 将 OSPF 路由重分布到 RIP;配置 OSPv3 路由协议协议,采用验证,保证 IPv6 路由通。在路由器 Beijing1 上配置策略路由:使 Inter
6、net 主机访问 FTP 服务器的数据流走路由器 R1 的“Seria10/0/0”接口; 使 Internet 主机访问 Web 服务器的数据流走路由器 R1 的“Seria10/0/1”接口;在路由器 SOHO 和 Beijing1 上配置 Site-to-Site VPN,使得 SOHO 的用户可以通过 IPSec VPN 访问企业内部资源在路由器 Beijing1 上配置配置 EZ VPN,使得出差员工通过酒店的网络可以访问企业内部资源。配置静态默认路由,使得 Hotel 路由器和 SOHO 路由器接入 Internet。企业的路由器采用集中化管理,全部由北京的网络管理员进行管理,并采
7、用 AAA 进行验证授权和计费。为了便于企业设备管理和排错,在内网配置 NTP,使得内网设备时间统一。10.4 案例配置实现案例配置实现本节只给出实验的配置,不再作注释,如有需要,请参考前面的章节。配置顺序按照路由 器“show running-config”的输出顺序给出。AAA 配置只给出路由器 Beijing2 的配置,其他 设备请读者自己配制,ACS 服务器的配置部分请参考第 1 章。 1配置路由器 Beijing1Beijing1(config)#aaa new-model Beijing1(config)#aaa authentication login CON none Beij
8、ing1(config)#aaa authentication login VPNUSERS local Beijing1(config)#aaa authorization network VPN-REMOTE-ACCESS local Beijing1(config)#ip cef Beijing1(config)#key chain EIGRP Beijing1(config-keychain)#key 1 Beijing1(config-keychain-key)#key-string cisco123 Beijing1(config-keychain-key)#08:00:00 No
9、v 11 2011 08:00:00 Jun 11 2012 Beijing1(config-keychain-key)#08:00:00 Nov 11 2011 08:00:00 Jun 11 2012 Beijing1(config-keychain)#key 2 Beijing1(config-keychain-key)#key-string cisco234 Beijing1(config-keychain-key)#accept-lifetime 08:00:00 Nov 11 2011 08:00:00 Jun 11 2012 Beijing1(config-keychain-ke
10、y)#send-lifetime 08:00:00 Nov 11 2011 08:00:00 Jun 11 2012 Beijing1(config)#username vpnuser secret cisco Beijing1(config)#archive Beijing1(config-archive)#path tftp:/172.16.2.202/$h-config Beijing1(config-archive)#write-memory Beijing1(config-archive)#time-period 60 Beijing1(config)#crypto isakmp p
11、olicy 10 Beijing1(config-isakmp)#hash md5 Beijing1(config-isakmp)#authentication pre-share Beijing1(config-isakmp)#group 2 Beijing1(config)#crypto isakmp key cisco address 218.18.1.2 Beijing1(config)#crypto isakmp fragmentation Beijing1(config)#crypto isakmp keepalive 20 Beijing1(config)#crypto isak
12、mp xauth timeout 20 Beijing1(config)#crypto isakmp client configuration group VPN-REMOTE-ACCESS Beijing1(config-isakmp-group)#key MYVPNKEY Beijing1(config-isakmp-group)#pool REMOTE-POOL Beijing1(config-isakmp-group)#acl EZVPN Beijing1(config-isakmp-group)#save-password Beijing1(config)#crypto ipsec
13、transform-set TS esp-3des esp-md5-hmac Beijing1(config)#crypto dynamic-map DYNMAP 1 Beijing1(config-crypto-map)#set transform-set TS Beijing1(config-crypto-map)#reverse-route Beijing1(config)#crypto map MAP client authentication list VPNUSERS Beijing1(config)#crypto map MAP isakmp authorization list
14、 VPN-REMOTE-ACCESSBeijing1(config)#crypto map MAP 10 ipsec-isakmp Beijing1(config-crypto-map)#set peer 218.18.1.2 Beijing1(config-crypto-map)#set transform-set TS Beijing1(config-crypto-map)#set pfs group2 Beijing1(config-crypto-map)#match address VPN Beijing1(config-crypto-map)#reverse-route static
15、 Beijing1(config)#crypto map MAP 65535 ipsec-isakmp dynamic DYNMAP Beijing1(config)#interface Loopback0 Beijing1(config-if)#ip address 202.96.1.1 255.255.255.255 Beijing1(config)#interface FastEthernet0/0 Beijing1(config-if)#ip address 202.96.12.1 255.255.255.248 Beijing1(config-if)#ip authenticatio
16、n mode eigrp 1 md5 Beijing1(config-if)#ip authentication key-chain eigrp 1 EIGRP Beijing1(config-if)#ip nat outside Beijing1(config-if)#ip policy route-map PO Beijing1(config-if)#crypto map MAP Beijing1(config)#interface Serial0/0/0 Beijing1(config-if)#ip address 172.16.21.1 255.255.255.0 Beijing1(config-if)#ip nat inside Beijing1(config-if)#ip ospf message-digest-key 1 md5 cisco Beijing1(config)#interface Serial0/0/1 Beijing1(config-if)#ip address 172.16.21.1 255.2
