路由交換綜合實驗(NAT+***+VRRP+MST)

 

綜合實驗(NAT+***+VRPP+MST)

技術關鍵詞

Vlan、VTP、VRRP、MST、NTP、DHCP、OSPF、ACL、NAT、***

1、Vlan信息

Vlan ID	網絡地址	名 稱	描 述
1	192.168.1.0/24	-	本地vlan
2	192.168.2.0/24	glb	管理部
3	192.168.3.0/24	cwb	財務部
4	192.168.4.0/24	xsb	銷售部
5	192.168.5.0/24	cgb	採購部
6	192.168.6.0/24	zzb	製造部
7	192.168.7.0/24	xxzx	信息中心
127	192.168.127.0/24	Srv	服務器組

2、VTP 信息

設備名稱	Domain	Prunning	Password	Mode
3550-S-1	Benet	Enable	123	Server
3550-S-2	Benet	Enable	123	Server
2950-S-1	Benet	Enable	123	Client
2950-S-2	Benet	Enable	123	Client
2950-S-3	Benet	Enable	123	Client
2950-S-4	Benet	Enable	123	Client

3、設備IP 地址分配

設備名稱	接口	IP地址	描述	位置
BJ-R-1	F0/0	200.1.1.1/24	網通WAN	BJ
F0/1	100.1.1.1/24	電信WAN	BJ
F0/2	192.168.10.254/24	-	BJ
F0/3	192.168.20.254/24	-	BJ
3550-S-1	F0/0	192.168.10.1/24	3L-Switch	BJ
3550-S-2	F0/0	192.168.20.1/24	3L-Switch	BJ
GZ-R-1	F0/0	201.1.1.1/24	電信WAN	GZ
F0/1	192.168.100.254/24	-	GZ
QD-R-1	F0/0	101.1.1.1/24	網通WAN	QD
F0/1	192.168.200.254/24	-	QD

4、DHCP信息

名稱	IP地址池	默認網關	默認DNS	描述
Glb-vlan2	192.168.2.10 – 200	192.168.2.254	1.1.1.1	管理部
2.2.2.2
Cwb-vlan3	192.168.3.10 – 200	192.168.3.254	1.1.1.1	財務部
2.2.2.2
Xsb-vlan4	192.168.4.10 – 200	192.168.4.254	1.1.1.1	銷售部
2.2.2.2
Cgb-vlan5	192.168.5.10 – 200	192.168.5.254	1.1.1.1	採購部
2.2.2.2
Zzb-vlan6	192.168.6.10 – 200	192.168.6.254	1.1.1.1	製造部
2.2.2.2
Xxzx-vlan7	192.168.7.10 – 200	192.168.7.254	1.1.1.1	信息中心
2.2.2.2

5、VRRP信息

SVI接口	組	優先級	狀態	IP	HSRP IP	設備
Vlan1	1	200	Active	192.168.1.1	192.168.1.254	3550-S-1
Vlan2	2	200	Active	192.168.2.1	192.168.2.254	3550-S-1
Vlan3	3	200	Active	192.168.3.1	192.168.3.254	3550-S-1
Vlan4	4	100	Standby	192.168.4.1	192.168.4.254	3550-S-1
Vlan5	5	100	Standby	192.168.5.1	192.168.5.254	3550-S-1
Vlan6	6	100	Standby	192.168.6.1	192.168.6.254	3550-S-1
Vlan7	7	100	Standby	192.168.7.1	192.168.7.254	3550-S-1
Vlan127	127	100	Standby	192.168.127.1	192.168.127.254	3550-S-1
Vlan1	1	100	Standby	192.168.1.2	192.168.1.254	3550-S-2
Vlan2	2	100	Standby	192.168.2.2	192.168.2.254	3550-S-2
Vlan3	3	100	Standby	192.168.3.2	192.168.3.254	3550-S-2
Vlan4	4	200	Active	192.168.4.2	192.168.4.254	3550-S-2
Vlan5	5	200	Active	192.168.5.2	192.168.5.254	3550-S-2
Vlan6	6	200	Active	192.168.6.2	192.168.6.254	3550-S-2
Vlan7	6	100	Active	192.168.7.2	192.168.7.254	3550-S-2
Vlan127	127	200	Active	192.168.127.2	192.168.127.254	3550-S-2

6、MST 信息

Mst-1：vlan1、vlan2管理部、vlan3財務部

Mst-2：vlan4銷售部、vlan5採購部

Mst-3：vlan6製造部、vlan7信息中心

Mst-4：vlan127服務器組

負載均衡

mst-1 mst -2 根網橋3550-S-1

mst-3 mst -4 根網橋3550-S-2

 

交換機、路由器詳細配置

1． IP地址設置

北京

BJ-R-1（config）# int F0/0

BJ-R-1 (config-if) #ip add 200.1.1.1 255.255.255.0

BJ-R-1 (config-if) #no shutdown

----------------------------------

BJ-R-1（config）# int F0/1

BJ-R-1 (config-if) #ip add 100.1.1.1 255.255.255.0

BJ-R-1 (config-if) #no shutdown

---------------------------------

BJ-R-1（config）# int f0/2

BJ-R-1 (config-if) #ip add 192.168.10.254 255.255.255.0

BJ-R-1 (config-if) #no shutdown

---------------------------------

BJ-R-1（config）# int f0/3

BJ-R-1 (config-if) #ip add 192.168.20.254 255.255.255.0

BJ-R-1 (config-if) #no shutdown

3550-S-1 (config) # int vlan 1

3550-S-1 (config-if) # ip add 192.168.1.1 255.255.255.0

3550-S-1 (config-if) # int vlan 2

3550-S-1 (config-if) # ip add 192.168.2.1 255.255.255.0

3550-S-1 (config-if) # int vlan 3

3550-S-1 (config-if) # ip add 192.168.3.1 255.255.255.0

3550-S-1 (config-if) # int vlan 4

3550-S-1 (config-if) # ip add 192.168.4.1 255.255.255.0

3550-S-1 (config-if) # int vlan 5

3550-S-1 (config-if) # ip add 192.168.5.1 255.255.255.0

3550-S-1 (config-if) # int vlan 6

3550-S-1 (config-if) # ip add 192.168.6.1 255.255.255.0

3550-S-1 (config-if) # int vlan 7

3550-S-1 (config-if) # ip add 192.168.6.1 255.255.255.0

3550-S-1 (config-if) # int vlan 127

3550-S-1 (config-if) # ip add 192.168.127.1 255.255.255.0

3550-S-2 (config) # int vlan 1

3550-S-2 (config-if) # ip add 192.168.1.2 255.255.255.0

3550-S-2 (config-if) # int vlan 2

3550-S-2 (config-if) # ip add 192.168.2.2 255.255.255.0

…(略)

廣州

GZ-R-1（config）# int F0/0

GZ-R-1 (config-if) # ip add 201.1.1.1 255.255.255.0 定義WAN口

GZ-R-1 (config-if) # no shutdown

GZ-R-1（config）# int F0/1

GZ-R-1 (config-if) # ip add 192.168.200.254 255.255.255.0 定義LAN口

GZ-R-1 (config-if) # no shutdown

-------------------------------------------------------------------

青島

QD-R-1（config）# int F0/0

QD-R-1 (config-if) # ip add 101.1.1.1 255.255.255.0 定義WAN口

QD-R-1 (config-if) # no shutdown

QD-R-1（config）# int f0/0

QD-R-1 (config-if) # ip add 192.168.100.254 255.255.255.0.. .定義LAN口

QD-R-1 (config-if) # no shutdown

2． VTP配置

3550-S-1（config）# vlan database vlan數據庫模式

3550-S-1 (vlan) # vtp domain benet

3550-S-1 (vlan) # vtp server 服務器模式

3550-S-1 (vlan) # vtp password 123

3550-S-1 (vlan) # vtp pruning 啓用修剪

按部門劃分vlan

3550-S-1 (vlan) # vlan 2 name glb 管理部

3550-S-1 (vlan) # vlan 3 name cwb 財務部

3550-S-1 (vlan) # vlan 4 name xsb 銷售部

3550-S-1 (vlan) # vlan 5 name cgb 採購部

3550-S-1 (vlan) # vlan 6 name zzb 製造部

3550-S-1 (vlan) # vlan 7 name xxzx 信息中心

3550-S-1 (vlan) # vlan 127 name svr 服務器組

------------------------------------------------

3550-S-2 (config) # vlan database vlan數據庫模式

3550-S-2 (vlan) # vtp domain benet

3550-S-2 (vlan) # vtp server

3550-S-2 (vlan) # vtp password 123

------------------------------------------------

2950-S-1 (vlan) #vtp domain benet

2950-S-1 (vlan) #vtp tran 透明模式(配置修改編號清零操作)

2950-S-1 (vlan) #vtp client 客戶模式

2950-S-1 (vlan) #vtp password 123

2950-S-2 (vlan) #vtp domain benet

2950-S-2 (vlan) #vtp tran 透明模式(配置修改編號清零操作)

2950-S-2 (vlan) #vtp client 客戶模式

2950-S-2 (vlan) #vtp password 123

2950-S-3 (vlan) #vtp domain benet

2950-S-3 (vlan) #vtp tran 透明模式(配置修改編號清零操作)

2950-S-3 (vlan) #vtp client 客戶模式

2950-S-3 (vlan) #vtp password 123

2950-S-4 (vlan) #vtp domain benet

2950-S-4 (vlan) #vtp tran 透明模式(配置修改編號清零操作)

2950-S-4 (vlan) #vtp client 客戶模式

2950-S-4 (vlan) #vtp password 123

3． MST多生成樹配置

3550-S-1 (config) # int vlan 1

3550-S-1 (config) # spanning-tree mode mst 啓用mst

3550-S-1 (config) #spanning-tree mst configuration 進入mst配置

3550-S-1 (config-mst) #name mst 命名爲mst

3550-S-1 (config-mst) # instance 1 vlan 1-3 定義實例

3550-S-1 (config-mst) # instance 2 vlan 4-5

3550-S-1 (config-mst) # instance 3 vlan 6-7

3550-S-1 (config-mst) # instance 4 vlan 127

3550-S-1 (config-mst) # revision 1  配置版本號

3550-S-1 (config-mst) # spanning-tree mst 1 root primary 爲根交換機

3550-S-1 (config-mst) # spanning-tree mst 2 root primary

3550-S-1 (config-mst) # spanning-tree mst 3 root secordary

3550-S-1 (config-mst) # spanning-tree mst 4 root secordary 爲次根交換機

3550-S-2 (config) # spanning-tree mode mst 啓用mst

3550-S-2 (config) #spanning-tree mst configuration 進入mst配置

3550-S-2 (config-mst) #name mst 命名爲mst

3550-S-2 (config-mst) # instance 1 vlan 1-3

3550-S-2 (config-mst) # instance 2 vlan 4-5

3550-S-2 (config-mst) # instance 3 vlan 6-7

3550-S-2 (config-mst) # instance 4 vlan 127

3550-S-2 (config-mst) # revision 1 ………配置版本號

3550-S-2 (config-mst) # spanning-tree mst 4 root primary 爲根交換機

3550-S-2 (config-mst) # spanning-tree mst 3 root primary

3550-S-2 (config-mst) # spanning-tree mst 2 root secordary

3550-S-2 (config-mst) # spanning-tree mst 1 root secordary 爲次根交換機

4． VRRP虛擬路由冗作協議

優先級

3550-S-1 (config) # int vlan 1

3550-S-1 (config-if) # vrrp 1 pri 200

3550-S-1 (config) # int vlan 2

3550-S-1 (config-if) # vrrp 2 pri 200

3550-S-1 (config) # int vlan 3

3550-S-1 (config-if) # vrrp 3 pri 200

…(略)

3550-S-2 (config) # int vlan 1

3550-S-2 (config-if) # vrrp 1 pri 100

3550-S-2 (config) # int vlan 2

3550-S-2 (config-if) # vrrp 2 pri 100

3550-S-2 (config) # int vlan 3

3550-S-2 (config-if) # vrrp 3 pri 100

…(略)

加入vrrp組,佔先權，跟蹤端口

3550-S-2 (config) # int vlan 1

3550-S-2 (config) # track 1 interface f0/1 定義跟蹤編號

3550-S-2 (config-if) # vrrp 1 ip 192.168.1.254

3550-S-2 (config-if) # vrrp 1 preempt 佔先權

3550-S-2 (config-if) # vrrp 1 authentication text cisco 明文認證

3550-S-2 (config-if) # vrrp 1 track 1 decrement 150 端口跟蹤

3550-S-2 (config) # int vlan 2

3550-S-2 (config-if) # vrrp 2 ip 192.168.2.254

3550-S-2 (config-if) # vrrp 2 preempt 佔先權

3550-S-2 (config-if) # vrrp 2 track 1 decrement 150 端口跟蹤

3550-S-2 (config) # int vlan 3

3550-S-2 (config-if) # vrrp 3 ip 192.168.3.254

3550-S-2 (config-if) # vrrp 3 preempt 佔先權

3550-S-2 (config-if) # vrrp 3 track 1 decrement 150

…(略)

3550-S-2 (config) # int vlan 1

3550-S-2 (config) #track 1 interface f0/1 定義跟蹤編號

3550-S-2 (config-if) vrrp 1 ip 192.168.1.254

3550-S-2 (config-if) # vrrp 1 preempt 佔先權

3550-S-2 (config-if) # vrrp 1 authentication text cisco 明文認證

3550-S-2 (config-if) # vrrp 1 track 1 decrement 150 端口跟蹤

3550-S-2 (config) # int vlan 2

3550-S-2 (config-if) # standby 2 ip 192.168.2.254

3550-S-2 (config-if) # standby 2 preempt 佔先權

3550-S-2 (config-if) # standby 2 track 1 decrement 150 端口跟蹤

3550-S-2 (config) # int vlan 3

3550-S-2 (config-if) # standby 3 ip 192.168.3.254

3550-S-2 (config-if) # standby 3 preempt 佔先權

3550-S-2 (config-if) # standby 3 track 1 decrement 150 端口跟蹤

…(略)

5． 以太網通道(優化流量)

3550-S-1 (config) # int f0/23

3550-S-1 (config-if) #switchport mode trunk 永久中繼模式

3550-S-1 (config) # int f0/24

3550-S-1 (config-if) #switchport mode trunk 永久中繼模式

3550-S-1 (config) #port-channel load-balance src-dst-mac 基於源和目標MAC負載均衡

3550-S-1 (config) # int range f0/23 -24

3550-S-1 (if-range) # channel-group 1 mode on

3550-S-1 (if-range) # no sh 激活端口

3550-S-2 (config) # int f0/23

3550-S-2 (config-if) #switchport mode trunk

3550-S-2 (config) # int f0/24

3550-S-2 (config-if) #switchport mode trunk

3550-S-2 (config) # int range f0/23 -24

3550-S-2 (config) #port-channel load-balance src-dst-mac 基於源和目標MAC負載均衡

3550-S-2 (if-range) # channel-group 1 mode on

3550-S-2 (if-range) # no sh

--------------------------------------------------------------------------

2950-S-4 (config) # int f0/23

2950-S-4 (config-if) #switchport mode trunk

2950-S-4 (config) # int f0/24

2950-S-4 (config-if) #switchport mode trunk

2950-S-4 (config) # int range f0/23 -24

2950-S-4 (config) #port-channel load-balance src-dst-mac 基於源和目標MAC負載均衡

2950-S-4 (config) # int range f0/23 -24

2950-S-4(if-range) # channel-group 2 mode on

2950-S-4 (if-range) # no sh....激活端口

3550-S-1 (config) # int f0/8

3550-S-1 (config-if) #switchport mode trunk

3550-S-1 (config) # int f0/9

3550-S-1 (config-if) #switchport mode trunk

3550-S-1 (config) # int range f0/8 -9

3550-S-1 (config) #port-channel load-balance src-dst-mac 基於源和目標MAC負載均衡

3550-S-1(if-range) # channel-group 2 mode on

3550-S-1 (if-range) # no sh

…(略)

6． DHCP配置

3550-S-1 (config) # ip dhcp pool vlan2-glb 管理部

3550-S-1 (dhcp-config) # network 192.168.2.0 255.255.255.0 地址池範圍

3550-S-1 (config) # ip dhcp excluded-address 192.168.2.2 192.168.2.10 保留

3550-S-1 (config) # ip dhcp excluded-address 192.168.2.201 192.168.2.254

3550-S-1 (dhcp-config) # lease 5 租約爲5天

3550-S-1 (dhcp-config) # dns-server 1.1.1.1 2.2.2.2 DNS服務器

3550-S-1 (config) # default-router 192.168.2.254 默認網關

3550-S-1 (config) # ip dhcp pool vlan3-cwb 財務部

3550-S-1 (dhcp-config) # network 192.168.3.0 255.255.255.0 地址池範圍

3550-S-1 (dhcp-config) # ip dhcp excluded-address 192.168.3.2 192.168.3.10 保留

3550-S-1 (dhcp-config) # ip dhcp excluded-address 192.168.3.201 192.168.3.254

3550-S-1 (dhcp-config) # lease 5 租約爲5天

3550-S-1 (dhcp-config) # dns-server 1.1.1.1 2.2.2.2 DNS服務器

3550-S-1 (dhcp-config) # default-router 192.168.3.254 默認網關

…(略)

7． NTP配置

將BJ-R-1設爲NTP服務器,其餘作NTP客戶端,實現全網設備時鐘同步

BJ-R-1（config）# ntp master

BJ-R-1（config）# clock set 10:00:00 seq 2007 設置時鐘

BJ-R-1（config）# ntp authenticate 啓用ntp認證

  BJ-R-1（config）# ntp trusted-key 1

BJ-R-1（config）# ntp authentication-key 1 md5 benet

3550-S-1 (config) # ntp server 192.168.10.254

3550-S-1（config）# ntp authenticate 啓用ntp認證

3550-S-1（config）# ntp authentication-key 1 md5 benet

3550-S-2 (config) # ntp server 192.168.20.254

3550-S-2（config）# ntp authenticate 啓用ntp認證

  BJ-R-1（config）# ntp trusted-key 1

3550-S-2（config）# ntp authentication-key 1 md5 benet

…(略)

 

 

8． 路由、NAT配置

北京總部

-----------------靜態路由

BJ-R-1（config）# ip route 192.168.100.0 255.255.255.0 f0/0 青島辦事處***

BJ-R-1（config）# ip route 192.168.200.0 255.255.255.0 f0/1 廣州辦事處***

BJ-R-1（config）# ip route 0.0.0.0 0.0.0.0 f0/0 10 缺省路由(網通ISP)

BJ-R-1（config）# ip route 0.0.0.0 0.0.0.0 f0/1 20 缺省路由(電信ISP)

-----------------ospf

BJ-R-1（config）# router ospf 1

BJ-R-1（config-router）# network 192.168.1.2 0.0.0.0 area 0

BJ-R-1（config-router）# network 192.168.2.2 0.0.0.0 area 0

BJ-R-1（config-router）# area 0 authentication message-digest 啓用MD5認證

BJ-R-1（config）# interface f0/2

BJ-R-1（config-if）# ip ospf message-digest-key 1 md5 benet-md5 定義密鑰

BJ-R-1（config）# interface f0/3

BJ-R-1（config-if）# ip ospf message-digest-key 1 md5 benet-md5 定義密鑰

BJ-R-1（config-router）# default-information orig 分發缺省路由tub

3550-S-1 (config) # int f0/0

3550-S-1 (config) # no switchport 打開路由端口

3550-S-1 (config) # network 192.168.100.1 0.0.0.0 area 0

3550-S-1 (config) # area 0 authentication message-digest

3550-S-1 (config) # interface f0/0

3550-S-1 (config) # ip ospf message-digest-key 1 md5 benet-md5

3550-S-2 (config) # int f0/0

3550-S-2 (config) # no switchport

3550-S-2 (config) # router ospf 1

3550-S-2 (config) # network 192.168.200.1 0.0.0.0 area 0

使用路由策略優化網絡流量:

1).內部用戶訪問網通ISP資源，流量從f0/0出站，當訪問電信ISP資源，流量從f0/1出站

2).從不同ISP網絡上所來的流量，從各自的線路返回

網通CNC IP段：100.1.1.1、101.1.1.1、102.1.1.1 (假定)

電信CTC IP 段：200.1.1.1、201.1.1.1、202.1.1.1（假定）

----------------------------------------------------------關於電信ip 段ACL

BJ-R-1（config# ip access-list extended BJ-CTC-ACL

BJ-R-1（config-ext-nacl# ip access-list extended BJ-CTC-ACL

BJ-R-1（config-ext-nacl# deny ip 192.168.0.0 0.0.255.255 192.168.100.0 0.0.0.255 拒絕至青島***流量

BJ-R-1（config-ext-nacl# deny ip 192.168.0.0 0.0.255.255 192.168.200.0 0.0.0.255 拒絕至廣州***流量

BJ-R-1（config-ext-nacl# permit ip 192.168.0.0 0.0.255.255 200.1.1.0 0.0.0.255

BJ-R-1（config-ext-nacl# permit ip 192.168.0.0 0.0.255.255 201.1.1.0 0.0.0.255

BJ-R-1（config-ext-nacl）# permit ip 192.168.0.0 0.0.255.255 202.1.1.0 0.0.0.255

----------------------------------------------------------關於網通ip 段ACL

BJ-R-1（config）# ip access-list extended BJ-CNC-ACL

BJ-R-1（config-ext-nacl）# ip access-list extended BJ-CNC-ACL

BJ-R-1（config-ext-nacl）# permit ip 192.168.0.0 0.0.255.255 100.1.1.0 0.0.0.255

BJ-R-1（config-ext-nacl）# permit ip 192.168.0.0 0.0.255.255 101.1.1.0 0.0.0.255

BJ-R-1（config-ext-nacl）# permit ip 192.168.0.0 0.0.255.255 102.1.1.0 0.0.0.255

-----------------------------------------------------------其它可能的IP段ACL

BJ-R-1（config）# ip access-list extended other-ACL

BJ-R-1（config-ext-nacl）# ip access-list extended other-ACL

BJ-R-1（config-ext-nacl）# permit ip 192.168.0.0 0.0.255.255 100.1.1.0 0.0.0.255

BJ-R-1（config-ext-nacl）# permit ip 192.168.0.0 0.0.255.255 101.1.1.0 0.0.0.255

BJ-R-1（config-ext-nacl）# permit ip 192.168.0.0 0.0.255.255 102.1.1.0 0.0.0.255

 

Route-map route-policy permit 10

Math ip address BJ-CTC-ACL

Set ip next-hop int f0/1………電信CTC

Route-map route-policy permit 20

Math ip address BJ-CNC-ACL

Set ip next-hop int f0/0………網通CNC

BJ-R-1（config）# int f0/2

BJ-R-1（config）# ip policy route-map route-policy 策略調用

BJ-R-1（config）# int f0/3

BJ-R-1（config）# ip policy route-map route-policy 策略調用

定義合法地址池

BJ-R-1（config）# ip nat pool BJ-CNC-address 200.1.1.252 200.1.1.254 prefix 24

BJ-R-1（config）# ip nat pool BJ-CTC-address 100.1.1.252 100.1.1.254 prefix 24

NAT轉換

BJ-R-1（config）# ip nat inside source list BJ-CTC-ACL pool BJ-CTC-address overload

BJ-R-1（config）# ip nat inside source list BJ-CNC-ACL pool BJ-CNC-address overload

BJ-R-1（config）# ip nat inside source list Other-ACL pool BJ-CNC-address overload

端口映射,發佈FTP web服務器

BJ-R-1（config）# ip nat inside source static tcp 192.168.127.10 eq 80 200.1.1.254 eq 80 web服務器

BJ-R-1（config）# ip nat inside source static tcp 192.168.127.10 eq 80 100.1.1.254 eq 80

BJ-R-1（config）# ip nat inside source static tcp 192.168.127.10 eq 21 200.1.1.254 eq 21 ftp服務器

BJ-R-1（config）# ip nat inside source static tcp 192.168.127.10 eq 21 100.1.1.254 eq 21

青島辦事處

QD-R-1（config）# access-list 101 deny ip any 192.168.0.0 0.255.255

QD-R-1（config）# access-list 101 permit ip any any

QD-R-1（config）# ip nat pool QD-CNC-address 101.1.1.252 101.1.1.254 prefix 24

BJ-R-1（config）# ip nat inside source list pool BJ-CNC-address overload

廣州辦事處

QD-R-1（config）# access-list 101 deny ip any 192.168.0.0 0.255.255

QD-R-1（config）# access-list 101 permit ip any any

QD-R-1（config）# ip nat pool GZ-CTC-address 101.1.1.252 101.1.1.254 prefix 24

BJ-R-1（config）# ip nat inside source list pool GZ-CTC-address overload

9． Ipsec ***

*****************************************************北京總部

1、Isakmp 密鑰協商

BJ-R-1（config）# crypto isakmp enable 啓用IKE

BJ-R-1（config）# crypto isakmp policy 1 建立IKE協商策略

BJ-R-1（config-isakmp）# hash md5

BJ-R-1（config-isakmp）# encryption des

BJ-R-1（config-isakmp）# authentication pre-share

BJ-R-1（config）# crypto isakmp key QD-password address 201.1.1.1

2、Ipsec參數設置

BJ-R-1（config）# ip access-list extened BJ-QD-***

BJ-R-1（config-ext-nacl）# permit 192.168.0.0 0.0.255.255 192.168.200.0 0.0.0.255

BJ-R-1（config）# crypto ipsec transform-set QD-set ah-md5 esp-des

3、端口應用

BJ-R-1（config）# crypto map QD-map 1 ipsec-isakmp 新建加密圖

BJ-R-1（config-crypto-map）# set peer 201.1.1.1 對端地址

BJ-R-1（config-crypto-map）# match address BJ-QD-***

BJ-R-1（config-crypto-map）# set transform-set QD-set 指定傳輸模式

BJ-R-1（config）#int f0/0

BJ-R-1（config）#crypto map QD-map

---------------------------------------------------------------------

BJ-R-1（config）# crypto isakmp key GZ-password address 101.1.1.1

Ipsec參數設置

BJ-R-1（config）# ip access-list extened BJ-GZ-***

BJ-R-1（config-ext-nacl）# permit 192.168.0.0 0.0.255.255 192.168.100.0 0.0.0.255

BJ-R-1（config）# crypto ipsec transform-set GZ-set ah-md5 esp-des

端口應用

BJ-R-1（config）# crypto map GZ-map 1 ipsec-isakmp 新建加密圖

BJ-R-1（config-crypto-map）# set peer 101.1.1.1 對端地址

BJ-R-1（config-crypto-map）# match address BJ-GZ-***

BJ-R-1（config-crypto-map）# set transform-set GZ-set 指定傳輸模式

BJ-R-1（config）#int f0/1

BJ-R-1（config）#crypto map GZ-map

**************************************************************青島辦事處

1、建立IKE協商策略

BJ-R-1（config）# crypto isakmp policy 1

BJ-R-1（config-isakmp）# hash md5

BJ-R-1（config-isakmp）# encryption des

BJ-R-1（config-isakmp）# authentication pre-share

BJ-R-1（config）# crypto isakmp key QD-password address 200.1.1.1

2、Ipsec參數設置

BJ-R-1（config）# ip access-list extened QD-***

BJ-R-1（config-ext-nacl）# permit 192.168.200.0 0.0.255.255 192.168.0.0 0.0.0.255

BJ-R-1（config）# crypto ipsec transform-set QD-set ah-md5 esp-des

3、端口應用

BJ-R-1（config）# crypto map QD-map 1 ipsec-isakmp 新建加密圖

BJ-R-1（config-crypto-map）# set peer 200.1.1.1 對端地址

BJ-R-1（config-crypto-map）# match address QD-***

BJ-R-1（config-crypto-map）# set transform-set QD-set 指定傳輸模式

BJ-R-1（config）#int f0/0

BJ-R-1（config）#crypto map QD-map

****************************************************************廣州辦事處

1、建立IKE協商策略

BJ-R-1（config）# crypto isakmp policy 1

BJ-R-1（config-isakmp）# hash md5 md5認證

BJ-R-1（config-isakmp）# encryption des des加密

BJ-R-1（config-isakmp）# authentication pre-share

BJ-R-1（config）# crypto isakmp key GZ-password address 200.1.1.1

2、Ipsec參數設置

BJ-R-1（config）# ip access-list extened GZ-***

BJ-R-1（config-ext-nacl）# permit 192.168.100.0 0.0.255.255 192.168.0.0 0.0.0.255

BJ-R-1（config）# crypto ipsec transform-set GZ-set ah-md5 esp-des

3、端口應用

BJ-R-1（config）# crypto map GZ-map 1 ipsec-isakmp 新建加密圖

BJ-R-1（config-crypto-map）# set peer 100.1.1.1 對端地址

BJ-R-1（config-crypto-map）# match address GZ-***

BJ-R-1（config-crypto-map）# set transform-set QD-set 指定傳輸模式

BJ-R-1（config）#int f0/0

BJ-R-1（config）#crypto map GZ-map

 

10． 流量控制及安全設置

1) 管理部、財務部vlan實現互訪，且允許訪問internet

2) 財務部實現與銷售部、採購部vlan單向訪問

3) 各部門vlan相對獨立，都能訪問服務器組,且允許訪問internet

4) 控制設備的telnet會話，僅允許來自信息中心vlan的會話

5) 上海、青島辦事處只能訪問總部服務器組vlan

6) 關閉cdp

7) 關閉 httpserver

8) 關閉著名端口(端口過濾)

北京總部

3550-S-1 (config) # ip access-list extended glb-ACL 管理部ACL

3550-S-1 (config-ext-nacl) #permit ip any 192.168.3.0 0.0.0.255

3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255

3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255

3550-S-1 (config-ext-nacl) #permit ip any any

******************

3550-S-1 (config) # ip access-list extended cwb-ACL 財務部ACL

3550-S-1 (config-ext-nacl) #permit ip any 192.168.4.0 0.0.0.255 reflect cwb-xsb

自反ACL

3550-S-1 (config-ext-nacl) #permit ip any 192.168.5.0 0.0.0.255 reflect cwb-cgb

自反ACL

3550-S-1 (config-ext-nacl) #permit ip any 192.168.2.0 0.0.0.255

3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255

3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255

3550-S-1 (config-ext-nacl) #permit ip any any

******************

3550-S-1 (config) # ip access-list extended xsb-ACL 銷售部ACL

3550-S-1 (config-ext-nacl) #evaluate cwb-xsb 計算匹配自反ACL

3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 訪問服務組

3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255

3550-S-1 (config-ext-nacl) #permit ip any any

*****************

3550-S-1 (config) # ip access-list extended cgb-ACL 採購部ACL

3550-S-1 (config-ext-nacl) #evaluate cwb-cgb 計算匹配自反ACL

3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 訪問服務組

3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255

3550-S-1 (config-ext-nacl) #permit ip any any

*****************

3550-S-1 (config) # ip access-list extended zzb-ACL 製造部ACL

3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 訪問服務組

3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255

3550-S-1 (config-ext-nacl) #permit ip any any

…(略)

可控VTY訪問，僅允許來自信息中心vlan的會話

3550-S-1 (config) # ip access-list extended telnet-ACL

3550-S-1 (config) # permit ip 192.168.7.0 0.0.0.255

3550-S-1 (config) # username benet password 0 benetpassword 建立本地數據庫

3550-S-1 (config) # line consol 0

3550-S-1 (config) # line vty 0 4

3550-S-1 (config) # login local 驗證本地數據庫

3550-S-1 (config) # access-class telnet-ACL in 調用

…(略)

青島辦事處

QD-R-1 (config) # access-list 101 permit ip any 192.168.127.0 0.0.0.255

QD-R-1 (config) # access-list 101 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255

QD-R-1 (config) # access-list 101 permit ip any any

QD-R-1 (config) # int f0/1

QD-R-1 (config) # ip access-group 101 in

廣州辦事處

GZ-R-1 (config) # access-list 101 permit ip any 192.168.127.0 0.0.0.255

GZ-R-1 (config) # access-list 101 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255

GZ-R-1 (config) # access-list 101 permit ip any any

GZ-R-1 (config) # int f0/1

GZ-R-1 (config) # ip access-group 101 in

關閉cdp 協議，http協議

BJ-R-1 (config) #no cdp run

BJ-R-1 (config) # no ip http server

3550-S-2 (config) # no cdp run

3550-S-1 (config) # no ip http server

3550-S-2 (config) # no cdp run

3550-S-2 (config) # no ip http server

…(略)

端口數據包過濾

BJ-R-1（config）# ip access-list extended port-in-ACL 定義入站ACL

BJ-R-1（config-ext-nacl）# permit ip host 201.1.1.1 any 信任青島辦事處

BJ-R-1（config-ext-nacl）# permit ip host 101.1.1.1 any 信任廣州辦事處

BJ-R-1（config-ext-nacl）# deny tcp any any eq 1023

BJ-R-1（config-ext-nacl）# deny tcp any any eq 3332

BJ-R-1（config-ext-nacl）# deny tcp any any eq 4444

BJ-R-1（config-ext-nacl）# deny tcp any any eq 444

BJ-R-1（config-ext-nacl）# deny tcp any any eq 4899

BJ-R-1（config-ext-nacl）# deny tcp any any eq 44

BJ-R-1（config-ext-nacl）# deny tcp any any eq 135

BJ-R-1（config-ext-nacl）# deny tcp any any eq 136

BJ-R-1（config-ext-nacl）# deny tcp any any eq 137

BJ-R-1（config-ext-nacl）# deny tcp any any eq 138

BJ-R-1（config-ext-nacl）# deny tcp any any eq netbio

BJ-R-1（config-ext-nacl）# deny tcp any any eq 3127

BJ-R-1（config-ext-nacl）# deny tcp any any eq 5554

BJ-R-1（config-ext-nacl）# deny tcp any any eq 9996

BJ-R-1（config-ext-nacl）# deny tcp any any eq 6129

BJ-R-1（config-ext-nacl）# deny tcp any any eq 2745

BJ-R-1（config-ext-nacl）# deny tcp any any eq 1025

BJ-R-1（config-ext-nacl）# deny udp any any eq tftp

BJ-R-1（config-ext-nacl）# deny udp any any eq 445

BJ-R-1（config-ext-nacl）# deny udp any any eq 135

BJ-R-1（config-ext-nacl）# deny udp any any eq 4444

BJ-R-1（config-ext-nacl）# deny tcp any any eq 1010

BJ-R-1（config-ext-nacl）# deny tcp any any eq 1011

BJ-R-1（config-ext-nacl）# deny tcp any any eq 1012

BJ-R-1（config-ext-nacl）# deny tcp any any eq 1015

BJ-R-1（config-ext-nacl）# deny tcp any any eq 4661

BJ-R-1（config-ext-nacl）# deny tcp any any eq 4662

BJ-R-1（config-ext-nacl）# deny tcp any any eq 4663

BJ-R-1（config-ext-nacl）# deny tcp any any eq 4664

BJ-R-1（config-ext-nacl）# deny tcp any any eq 4665

BJ-R-1（config-ext-nacl）# deny tcp any any eq 4666

BJ-R-1（config-ext-nacl）# deny tcp any any eq 7597

BJ-R-1（config-ext-nacl）# deny tcp any any eq 22226

BJ-R-1（config-ext-nacl）# deny tcp any any eq 1027

BJ-R-1（config-ext-nacl）# deny tcp any any eq 5168

BJ-R-1（config-ext-nacl）# permit ip any any

端口調用

BJ-R-1（config）# int f0/0 網通WAN口

BJ-R-1（config-if）# ip access-group port-in-ACL in

BJ-R-1（config）# int f0/0 電信WAN口

BJ-R-1（config-if）# ip access-group port-in-ACL in

BJ-R-1（config）# int f0/2 LAN口

BJ-R-1（config-if）# ip access-group port-in-ACL in

BJ-R-1（config）# int f0/3 LAN口

BJ-R-1（config-if）# ip access-group port-in-ACL in