綜合實驗(NAT+×××+VRRP+MST)

時間  2019-11-07
標籤 綜合 實驗 nat vrrp+mst vrrp mst 简体版
原文   原文鏈接

clip_image002

綜合實驗(NAT+×××+VRPP+MST)web

技術關鍵詞數據庫

Vlan、VTP、VRRP、MST、NTP、DHCP、OSPF、ACL、NAT、×××安全

一、Vlan信息 服務器

Vlan ID網絡

網絡地址負載均衡

名 稱dom

描 述tcp

1ide

192.168.1.0/24優化

-

本地vlan

2

192.168.2.0/24

glb

管理部

3

192.168.3.0/24

cwb

財務部

4

192.168.4.0/24

xsb

銷售部

5

192.168.5.0/24

cgb

採購部

6

192.168.6.0/24

zzb

製造部

7

192.168.7.0/24

xxzx

信息中心

127

192.168.127.0/24

Srv

服務器組

二、VTP 信息

設備名稱

Domain

Prunning

Password

Mode

3550-S-1

Benet

Enable

123

Server

3550-S-2

Benet

Enable

123

Server

2950-S-1

Benet

Enable

123

Client

2950-S-2

Benet

Enable

123

Client

2950-S-3

Benet

Enable

123

Client

2950-S-4

Benet

Enable

123

Client

三、設備IP 地址分配

設備名稱

接口

IP地址

描述

位置

BJ-R-1

F0/0

200.1.1.1/24

網通WAN

BJ

F0/1

100.1.1.1/24

電信WAN

BJ

F0/2

192.168.10.254/24

-

BJ

F0/3

192.168.20.254/24

-

BJ

3550-S-1

F0/0

192.168.10.1/24

3L-Switch

BJ

3550-S-2

F0/0

192.168.20.1/24

3L-Switch

BJ

GZ-R-1

F0/0

201.1.1.1/24

電信WAN

GZ

F0/1

192.168.100.254/24

-

GZ

QD-R-1

F0/0

101.1.1.1/24

網通WAN

QD

F0/1

192.168.200.254/24

-

QD

四、DHCP信息

名稱

IP地址池

默認網關

默認DNS

描述

Glb-vlan2

192.168.2.10 – 200

192.168.2.254

1.1.1.1

管理部

2.2.2.2

Cwb-vlan3

192.168.3.10 – 200

192.168.3.254

1.1.1.1

財務部

2.2.2.2

Xsb-vlan4

192.168.4.10 – 200

192.168.4.254

1.1.1.1

銷售部

2.2.2.2

Cgb-vlan5

192.168.5.10 – 200

192.168.5.254

1.1.1.1

採購部

2.2.2.2

Zzb-vlan6

192.168.6.10 – 200

192.168.6.254

1.1.1.1

製造部

2.2.2.2

Xxzx-vlan7

192.168.7.10 – 200

192.168.7.254

1.1.1.1

信息中心

2.2.2.2

五、VRRP信息

SVI接口

優先級

狀態

IP

HSRP IP

設備

Vlan1

1

200

Active

192.168.1.1

192.168.1.254

3550-S-1

Vlan2

2

200

Active

192.168.2.1

192.168.2.254

3550-S-1

Vlan3

3

200

Active

192.168.3.1

192.168.3.254

3550-S-1

Vlan4

4

100

Standby

192.168.4.1

192.168.4.254

3550-S-1

Vlan5

5

100

Standby

192.168.5.1

192.168.5.254

3550-S-1

Vlan6

6

100

Standby

192.168.6.1

192.168.6.254

3550-S-1

Vlan7

7

100

Standby

192.168.7.1

192.168.7.254

3550-S-1

Vlan127

127

100

Standby

192.168.127.1

192.168.127.254

3550-S-1

clip_image003Vlan1

1

100

Standby

192.168.1.2

192.168.1.254

3550-S-2

Vlan2

2

100

Standby

192.168.2.2

192.168.2.254

3550-S-2

Vlan3

3

100

Standby

192.168.3.2

192.168.3.254

3550-S-2

Vlan4

4

200

Active

192.168.4.2

192.168.4.254

3550-S-2

Vlan5

5

200

Active

192.168.5.2

192.168.5.254

3550-S-2

Vlan6

6

200

Active

192.168.6.2

192.168.6.254

3550-S-2

Vlan7

6

100

Active

192.168.7.2

192.168.7.254

3550-S-2

Vlan127

127

200

Active

192.168.127.2

192.168.127.254

3550-S-2

六、MST 信息

Mst-1:vlan一、vlan2管理部、vlan3財務部

Mst-2:vlan4銷售部、vlan5採購部

Mst-3:vlan6製造部、vlan7信息中心

Mst-4:vlan127服務器組

負載均衡

mst-1 mst -2 根網橋3550-S-1

mst-3 mst -4 根網橋3550-S-2

交換機、路由器詳細配置

1 IP地址設置

北京

BJ-R-1(config)# int F0/0

BJ-R-1 (config-if) #ip add 200.1.1.1 255.255.255.0

BJ-R-1 (config-if) #no shutdown

----------------------------------

BJ-R-1(config)# int F0/1

BJ-R-1 (config-if) #ip add 100.1.1.1 255.255.255.0

BJ-R-1 (config-if) #no shutdown

---------------------------------

BJ-R-1(config)# int f0/2

BJ-R-1 (config-if) #ip add 192.168.10.254 255.255.255.0

BJ-R-1 (config-if) #no shutdown

---------------------------------

BJ-R-1(config)# int f0/3

BJ-R-1 (config-if) #ip add 192.168.20.254 255.255.255.0

BJ-R-1 (config-if) #no shutdown

3550-S-1 (config) # int vlan 1

3550-S-1 (config-if) # ip add 192.168.1.1 255.255.255.0

3550-S-1 (config-if) # int vlan 2

3550-S-1 (config-if) # ip add 192.168.2.1 255.255.255.0

3550-S-1 (config-if) # int vlan 3

3550-S-1 (config-if) # ip add 192.168.3.1 255.255.255.0

3550-S-1 (config-if) # int vlan 4

3550-S-1 (config-if) # ip add 192.168.4.1 255.255.255.0

3550-S-1 (config-if) # int vlan 5

3550-S-1 (config-if) # ip add 192.168.5.1 255.255.255.0

3550-S-1 (config-if) # int vlan 6

3550-S-1 (config-if) # ip add 192.168.6.1 255.255.255.0

3550-S-1 (config-if) # int vlan 7

3550-S-1 (config-if) # ip add 192.168.6.1 255.255.255.0

3550-S-1 (config-if) # int vlan 127

3550-S-1 (config-if) # ip add 192.168.127.1 255.255.255.0

3550-S-2 (config) # int vlan 1

3550-S-2 (config-if) # ip add 192.168.1.2 255.255.255.0

3550-S-2 (config-if) # int vlan 2

3550-S-2 (config-if) # ip add 192.168.2.2 255.255.255.0

…(略)

廣州

GZ-R-1(config)# int F0/0

GZ-R-1 (config-if) # ip add 201.1.1.1 255.255.255.0 定義WAN口

GZ-R-1 (config-if) # no shutdown

GZ-R-1(config)# int F0/1

GZ-R-1 (config-if) # ip add 192.168.200.254 255.255.255.0 定義LAN口

GZ-R-1 (config-if) # no shutdown

-------------------------------------------------------------------

青島

QD-R-1(config)# int F0/0

QD-R-1 (config-if) # ip add 101.1.1.1 255.255.255.0 定義WAN口

QD-R-1 (config-if) # no shutdown

QD-R-1(config)# int f0/0

QD-R-1 (config-if) # ip add 192.168.100.254 255.255.255.0.. .定義LAN口

QD-R-1 (config-if) # no shutdown

2 VTP配置

3550-S-1(config)# vlan database vlan數據庫模式

3550-S-1 (vlan) # vtp domain benet

3550-S-1 (vlan) # vtp server 服務器模式

3550-S-1 (vlan) # vtp password 123

3550-S-1 (vlan) # vtp pruning 啓用修剪

按部門劃分vlan

3550-S-1 (vlan) # vlan 2 name glb 管理部

3550-S-1 (vlan) # vlan 3 name cwb 財務部

3550-S-1 (vlan) # vlan 4 name xsb 銷售部

3550-S-1 (vlan) # vlan 5 name cgb 採購部

3550-S-1 (vlan) # vlan 6 name zzb 製造部

3550-S-1 (vlan) # vlan 7 name xxzx 信息中心

3550-S-1 (vlan) # vlan 127 name svr 服務器組

------------------------------------------------

3550-S-2 (config) # vlan database vlan數據庫模式

3550-S-2 (vlan) # vtp domain benet

3550-S-2 (vlan) # vtp server

3550-S-2 (vlan) # vtp password 123

------------------------------------------------

2950-S-1 (vlan) #vtp domain benet

2950-S-1 (vlan) #vtp tran 透明模式(配置修改編號清零操做)

2950-S-1 (vlan) #vtp client 客戶模式

2950-S-1 (vlan) #vtp password 123

2950-S-2 (vlan) #vtp domain benet

2950-S-2 (vlan) #vtp tran 透明模式(配置修改編號清零操做)

2950-S-2 (vlan) #vtp client 客戶模式

2950-S-2 (vlan) #vtp password 123

2950-S-3 (vlan) #vtp domain benet

2950-S-3 (vlan) #vtp tran 透明模式(配置修改編號清零操做)

2950-S-3 (vlan) #vtp client 客戶模式

2950-S-3 (vlan) #vtp password 123

2950-S-4 (vlan) #vtp domain benet

2950-S-4 (vlan) #vtp tran 透明模式(配置修改編號清零操做)

2950-S-4 (vlan) #vtp client 客戶模式

2950-S-4 (vlan) #vtp password 123

3 MST多生成樹配置

3550-S-1 (config) # int vlan 1

3550-S-1 (config) # spanning-tree mode mst 啓用mst

3550-S-1 (config) #spanning-tree mst configuration 進入mst配置

3550-S-1 (config-mst) #name mst 命名爲mst

3550-S-1 (config-mst) # instance 1 vlan 1-3 定義實例

3550-S-1 (config-mst) # instance 2 vlan 4-5

3550-S-1 (config-mst) # instance 3 vlan 6-7

3550-S-1 (config-mst) # instance 4 vlan 127

3550-S-1 (config-mst) # revision 1  配置版本號

3550-S-1 (config-mst) # spanning-tree mst 1 root primary 爲根交換機

3550-S-1 (config-mst) # spanning-tree mst 2 root primary

3550-S-1 (config-mst) # spanning-tree mst 3 root secordary

3550-S-1 (config-mst) # spanning-tree mst 4 root secordary 爲次根交換機

3550-S-2 (config) # spanning-tree mode mst 啓用mst

3550-S-2 (config) #spanning-tree mst configuration 進入mst配置

3550-S-2 (config-mst) #name mst 命名爲mst

3550-S-2 (config-mst) # instance 1 vlan 1-3

3550-S-2 (config-mst) # instance 2 vlan 4-5

3550-S-2 (config-mst) # instance 3 vlan 6-7

3550-S-2 (config-mst) # instance 4 vlan 127

3550-S-2 (config-mst) # revision 1 ………配置版本號

3550-S-2 (config-mst) # spanning-tree mst 4 root primary 爲根交換機

3550-S-2 (config-mst) # spanning-tree mst 3 root primary

3550-S-2 (config-mst) # spanning-tree mst 2 root secordary

3550-S-2 (config-mst) # spanning-tree mst 1 root secordary 爲次根交換機

4 VRRP虛擬路由冗做協議

優先級

3550-S-1 (config) # int vlan 1

3550-S-1 (config-if) # vrrp 1 pri 200

3550-S-1 (config) # int vlan 2

3550-S-1 (config-if) # vrrp 2 pri 200

3550-S-1 (config) # int vlan 3

3550-S-1 (config-if) # vrrp 3 pri 200

…(略)

3550-S-2 (config) # int vlan 1

3550-S-2 (config-if) # vrrp 1 pri 100

3550-S-2 (config) # int vlan 2

3550-S-2 (config-if) # vrrp 2 pri 100

3550-S-2 (config) # int vlan 3

3550-S-2 (config-if) # vrrp 3 pri 100

…(略)

加入vrrp組,佔先權,跟蹤端口

3550-S-2 (config) # int vlan 1

3550-S-2 (config) # track 1 interface f0/1 定義跟蹤編號

3550-S-2 (config-if) # vrrp 1 ip 192.168.1.254

3550-S-2 (config-if) # vrrp 1 preempt 佔先權

3550-S-2 (config-if) # vrrp 1 authentication text cisco 明文認證

3550-S-2 (config-if) # vrrp 1 track 1 decrement 150 端口跟蹤

3550-S-2 (config) # int vlan 2

3550-S-2 (config-if) # vrrp 2 ip 192.168.2.254

3550-S-2 (config-if) # vrrp 2 preempt 佔先權

3550-S-2 (config-if) # vrrp 2 track 1 decrement 150 端口跟蹤

3550-S-2 (config) # int vlan 3

3550-S-2 (config-if) # vrrp 3 ip 192.168.3.254

3550-S-2 (config-if) # vrrp 3 preempt 佔先權

3550-S-2 (config-if) # vrrp 3 track 1 decrement 150

…(略)

3550-S-2 (config) # int vlan 1

3550-S-2 (config) #track 1 interface f0/1 定義跟蹤編號

3550-S-2 (config-if) vrrp 1 ip 192.168.1.254

3550-S-2 (config-if) # vrrp 1 preempt 佔先權

3550-S-2 (config-if) # vrrp 1 authentication text cisco 明文認證

3550-S-2 (config-if) # vrrp 1 track 1 decrement 150 端口跟蹤

3550-S-2 (config) # int vlan 2

3550-S-2 (config-if) # standby 2 ip 192.168.2.254

3550-S-2 (config-if) # standby 2 preempt 佔先權

3550-S-2 (config-if) # standby 2 track 1 decrement 150 端口跟蹤

3550-S-2 (config) # int vlan 3

3550-S-2 (config-if) # standby 3 ip 192.168.3.254

3550-S-2 (config-if) # standby 3 preempt 佔先權

3550-S-2 (config-if) # standby 3 track 1 decrement 150 端口跟蹤

…(略)

5 以太網通道(優化流量)

3550-S-1 (config) # int f0/23

3550-S-1 (config-if) #switchport mode trunk 永久中繼模式

3550-S-1 (config) # int f0/24

3550-S-1 (config-if) #switchport mode trunk 永久中繼模式

3550-S-1 (config) #port-channel load-balance src-dst-mac 基於源和目標MAC負載均衡

3550-S-1 (config) # int range f0/23 -24

3550-S-1 (if-range) # channel-group 1 mode on

3550-S-1 (if-range) # no sh 激活端口

3550-S-2 (config) # int f0/23

3550-S-2 (config-if) #switchport mode trunk

3550-S-2 (config) # int f0/24

3550-S-2 (config-if) #switchport mode trunk

3550-S-2 (config) # int range f0/23 -24

3550-S-2 (config) #port-channel load-balance src-dst-mac 基於源和目標MAC負載均衡

3550-S-2 (if-range) # channel-group 1 mode on

3550-S-2 (if-range) # no sh

--------------------------------------------------------------------------

2950-S-4 (config) # int f0/23

2950-S-4 (config-if) #switchport mode trunk

2950-S-4 (config) # int f0/24

2950-S-4 (config-if) #switchport mode trunk

2950-S-4 (config) # int range f0/23 -24

2950-S-4 (config) #port-channel load-balance src-dst-mac 基於源和目標MAC負載均衡

2950-S-4 (config) # int range f0/23 -24

2950-S-4(if-range) # channel-group 2 mode on

2950-S-4 (if-range) # no sh....激活端口

3550-S-1 (config) # int f0/8

3550-S-1 (config-if) #switchport mode trunk

3550-S-1 (config) # int f0/9

3550-S-1 (config-if) #switchport mode trunk

3550-S-1 (config) # int range f0/8 -9

3550-S-1 (config) #port-channel load-balance src-dst-mac 基於源和目標MAC負載均衡

3550-S-1(if-range) # channel-group 2 mode on

3550-S-1 (if-range) # no sh

…(略)

6 DHCP配置

3550-S-1 (config) # ip dhcp pool vlan2-glb 管理部

3550-S-1 (dhcp-config) # network 192.168.2.0 255.255.255.0 地址池範圍

3550-S-1 (config) # ip dhcp excluded-address 192.168.2.2 192.168.2.10 保留

3550-S-1 (config) # ip dhcp excluded-address 192.168.2.201 192.168.2.254

3550-S-1 (dhcp-config) # lease 5 租約爲5天

3550-S-1 (dhcp-config) # dns-server 1.1.1.1 2.2.2.2 DNS服務器

3550-S-1 (config) # default-router 192.168.2.254 默認網關

3550-S-1 (config) # ip dhcp pool vlan3-cwb 財務部

3550-S-1 (dhcp-config) # network 192.168.3.0 255.255.255.0 地址池範圍

3550-S-1 (dhcp-config) # ip dhcp excluded-address 192.168.3.2 192.168.3.10 保留

3550-S-1 (dhcp-config) # ip dhcp excluded-address 192.168.3.201 192.168.3.254

3550-S-1 (dhcp-config) # lease 5 租約爲5天

3550-S-1 (dhcp-config) # dns-server 1.1.1.1 2.2.2.2 DNS服務器

3550-S-1 (dhcp-config) # default-router 192.168.3.254 默認網關

…(略)

7 NTP配置

將BJ-R-1設爲NTP服務器,其他做NTP客戶端,實現全網設備時鐘同步

BJ-R-1(config)# ntp master

BJ-R-1(config)# clock set 10:00:00 seq 2007 設置時鐘

BJ-R-1(config)# ntp authenticate 啓用ntp認證

  BJ-R-1(config)# ntp trusted-key 1

BJ-R-1(config)# ntp authentication-key 1 md5 benet

3550-S-1 (config) # ntp server 192.168.10.254

3550-S-1(config)# ntp authenticate 啓用ntp認證

3550-S-1(config)# ntp authentication-key 1 md5 benet

3550-S-2 (config) # ntp server 192.168.20.254

3550-S-2(config)# ntp authenticate 啓用ntp認證

  BJ-R-1(config)# ntp trusted-key 1

3550-S-2(config)# ntp authentication-key 1 md5 benet

…(略)

8 路由、NAT配置

北京總部

-----------------靜態路由

BJ-R-1(config)# ip route 192.168.100.0 255.255.255.0 f0/0 青島辦事處***

BJ-R-1(config)# ip route 192.168.200.0 255.255.255.0 f0/1 廣州辦事處***

BJ-R-1(config)# ip route 0.0.0.0 0.0.0.0 f0/0 10 缺省路由(網通ISP)

BJ-R-1(config)# ip route 0.0.0.0 0.0.0.0 f0/1 20 缺省路由(電信ISP)

-----------------ospf

BJ-R-1(config)# router ospf 1

BJ-R-1(config-router)# network 192.168.1.2 0.0.0.0 area 0

BJ-R-1(config-router)# network 192.168.2.2 0.0.0.0 area 0

BJ-R-1(config-router)# area 0 authentication message-digest 啓用MD5認證

BJ-R-1(config)# interface f0/2

BJ-R-1(config-if)# ip ospf message-digest-key 1 md5 benet-md5 定義密鑰

BJ-R-1(config)# interface f0/3

BJ-R-1(config-if)# ip ospf message-digest-key 1 md5 benet-md5 定義密鑰

BJ-R-1(config-router)# default-information orig 分發缺省路由tub

3550-S-1 (config) # int f0/0

3550-S-1 (config) # no switchport 打開路由端口

3550-S-1 (config) # network 192.168.100.1 0.0.0.0 area 0

3550-S-1 (config) # area 0 authentication message-digest

3550-S-1 (config) # interface f0/0

3550-S-1 (config) # ip ospf message-digest-key 1 md5 benet-md5

3550-S-2 (config) # int f0/0

3550-S-2 (config) # no switchport

3550-S-2 (config) # router ospf 1

3550-S-2 (config) # network 192.168.200.1 0.0.0.0 area 0

使用路由策略優化網絡流量:

1).內部用戶訪問網通ISP資源,流量從f0/0出站,當訪問電信ISP資源,流量從f0/1出站

2).從不一樣ISP網絡上所來的流量,從各自的線路返回

網通CNC IP段:100.1.1.一、101.1.1.一、102.1.1.1 (假定)

電信CTC IP 段:200.1.1.一、201.1.1.一、202.1.1.1(假定)

----------------------------------------------------------關於電信ip 段ACL

BJ-R-1(config# ip access-list extended BJ-CTC-ACL

BJ-R-1(config-ext-nacl# ip access-list extended BJ-CTC-ACL

BJ-R-1(config-ext-nacl# deny ip 192.168.0.0 0.0.255.255 192.168.100.0 0.0.0.255 拒絕至青島×××流量

BJ-R-1(config-ext-nacl# deny ip 192.168.0.0 0.0.255.255 192.168.200.0 0.0.0.255 拒絕至廣州×××流量

BJ-R-1(config-ext-nacl# permit ip 192.168.0.0 0.0.255.255 200.1.1.0 0.0.0.255

BJ-R-1(config-ext-nacl# permit ip 192.168.0.0 0.0.255.255 201.1.1.0 0.0.0.255

BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 202.1.1.0 0.0.0.255

----------------------------------------------------------關於網通ip 段ACL

BJ-R-1(config)# ip access-list extended BJ-CNC-ACL

BJ-R-1(config-ext-nacl)# ip access-list extended BJ-CNC-ACL

BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 100.1.1.0 0.0.0.255

BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 101.1.1.0 0.0.0.255

BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 102.1.1.0 0.0.0.255

-----------------------------------------------------------其它可能的IP段ACL

BJ-R-1(config)# ip access-list extended other-ACL

BJ-R-1(config-ext-nacl)# ip access-list extended other-ACL

BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 100.1.1.0 0.0.0.255

BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 101.1.1.0 0.0.0.255

BJ-R-1(config-ext-nacl)# permit ip 192.168.0.0 0.0.255.255 102.1.1.0 0.0.0.255

Route-map route-policy permit 10

Math ip address BJ-CTC-ACL

Set ip next-hop int f0/1………電信CTC

Route-map route-policy permit 20

Math ip address BJ-CNC-ACL

Set ip next-hop int f0/0………網通CNC

BJ-R-1(config)# int f0/2

BJ-R-1(config)# ip policy route-map route-policy 策略調用

BJ-R-1(config)# int f0/3

BJ-R-1(config)# ip policy route-map route-policy 策略調用

定義合法地址池

BJ-R-1(config)# ip nat pool BJ-CNC-address 200.1.1.252 200.1.1.254 prefix 24

BJ-R-1(config)# ip nat pool BJ-CTC-address 100.1.1.252 100.1.1.254 prefix 24

NAT轉換

BJ-R-1(config)# ip nat inside source list BJ-CTC-ACL pool BJ-CTC-address overload

BJ-R-1(config)# ip nat inside source list BJ-CNC-ACL pool BJ-CNC-address overload

BJ-R-1(config)# ip nat inside source list Other-ACL pool BJ-CNC-address overload

端口映射,發佈FTP web服務器

BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 80 200.1.1.254 eq 80 web服務器

BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 80 100.1.1.254 eq 80

BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 21 200.1.1.254 eq 21 ftp服務器

BJ-R-1(config)# ip nat inside source static tcp 192.168.127.10 eq 21 100.1.1.254 eq 21

青島辦事處

QD-R-1(config)# access-list 101 deny ip any 192.168.0.0 0.255.255

QD-R-1(config)# access-list 101 permit ip any any

QD-R-1(config)# ip nat pool QD-CNC-address 101.1.1.252 101.1.1.254 prefix 24

BJ-R-1(config)# ip nat inside source list pool BJ-CNC-address overload

廣州辦事處

QD-R-1(config)# access-list 101 deny ip any 192.168.0.0 0.255.255

QD-R-1(config)# access-list 101 permit ip any any

QD-R-1(config)# ip nat pool GZ-CTC-address 101.1.1.252 101.1.1.254 prefix 24

BJ-R-1(config)# ip nat inside source list pool GZ-CTC-address overload

9 Ipsec ×××

*****************************************************北京總部

一、Isakmp 密鑰協商

BJ-R-1(config)# crypto isakmp enable 啓用IKE

BJ-R-1(config)# crypto isakmp policy 1 創建IKE協商策略

BJ-R-1(config-isakmp)# hash md5

BJ-R-1(config-isakmp)# encryption des

BJ-R-1(config-isakmp)# authentication pre-share

BJ-R-1(config)# crypto isakmp key QD-password address 201.1.1.1

二、Ipsec參數設置

BJ-R-1(config)# ip access-list extened BJ-QD-×××

BJ-R-1(config-ext-nacl)# permit 192.168.0.0 0.0.255.255 192.168.200.0 0.0.0.255

BJ-R-1(config)# crypto ipsec transform-set QD-set ah-md5 esp-des

三、端口應用

BJ-R-1(config)# crypto map QD-map 1 ipsec-isakmp 新建加密圖

BJ-R-1(config-crypto-map)# set peer 201.1.1.1 對端地址

BJ-R-1(config-crypto-map)# match address BJ-QD-×××

BJ-R-1(config-crypto-map)# set transform-set QD-set 指定傳輸模式

BJ-R-1(config)#int f0/0

BJ-R-1(config)#crypto map QD-map

---------------------------------------------------------------------

BJ-R-1(config)# crypto isakmp key GZ-password address 101.1.1.1

Ipsec參數設置

BJ-R-1(config)# ip access-list extened BJ-GZ-×××

BJ-R-1(config-ext-nacl)# permit 192.168.0.0 0.0.255.255 192.168.100.0 0.0.0.255

BJ-R-1(config)# crypto ipsec transform-set GZ-set ah-md5 esp-des

端口應用

BJ-R-1(config)# crypto map GZ-map 1 ipsec-isakmp 新建加密圖

BJ-R-1(config-crypto-map)# set peer 101.1.1.1 對端地址

BJ-R-1(config-crypto-map)# match address BJ-GZ-×××

BJ-R-1(config-crypto-map)# set transform-set GZ-set 指定傳輸模式

BJ-R-1(config)#int f0/1

BJ-R-1(config)#crypto map GZ-map

**************************************************************青島辦事處

一、創建IKE協商策略

BJ-R-1(config)# crypto isakmp policy 1

BJ-R-1(config-isakmp)# hash md5

BJ-R-1(config-isakmp)# encryption des

BJ-R-1(config-isakmp)# authentication pre-share

BJ-R-1(config)# crypto isakmp key QD-password address 200.1.1.1

二、Ipsec參數設置

BJ-R-1(config)# ip access-list extened QD-×××

BJ-R-1(config-ext-nacl)# permit 192.168.200.0 0.0.255.255 192.168.0.0 0.0.0.255

BJ-R-1(config)# crypto ipsec transform-set QD-set ah-md5 esp-des

三、端口應用

BJ-R-1(config)# crypto map QD-map 1 ipsec-isakmp 新建加密圖

BJ-R-1(config-crypto-map)# set peer 200.1.1.1 對端地址

BJ-R-1(config-crypto-map)# match address QD-×××

BJ-R-1(config-crypto-map)# set transform-set QD-set 指定傳輸模式

BJ-R-1(config)#int f0/0

BJ-R-1(config)#crypto map QD-map

****************************************************************廣州辦事處

一、創建IKE協商策略

BJ-R-1(config)# crypto isakmp policy 1

BJ-R-1(config-isakmp)# hash md5 md5認證

BJ-R-1(config-isakmp)# encryption des des加密

BJ-R-1(config-isakmp)# authentication pre-share

BJ-R-1(config)# crypto isakmp key GZ-password address 200.1.1.1

二、Ipsec參數設置

BJ-R-1(config)# ip access-list extened GZ-×××

BJ-R-1(config-ext-nacl)# permit 192.168.100.0 0.0.255.255 192.168.0.0 0.0.0.255

BJ-R-1(config)# crypto ipsec transform-set GZ-set ah-md5 esp-des

三、端口應用

BJ-R-1(config)# crypto map GZ-map 1 ipsec-isakmp 新建加密圖

BJ-R-1(config-crypto-map)# set peer 100.1.1.1 對端地址

BJ-R-1(config-crypto-map)# match address GZ-×××

BJ-R-1(config-crypto-map)# set transform-set QD-set 指定傳輸模式

BJ-R-1(config)#int f0/0

BJ-R-1(config)#crypto map GZ-map

10 流量控制及安全設置

1) 管理部、財務部vlan實現互訪,且容許訪問internet

2) 財務部實現與銷售部、採購部vlan單向訪問

3) 各部門vlan相對獨立,都能訪問服務器組,且容許訪問internet

4) 控制設備的telnet會話,僅容許來自信息中心vlan的會話

5) 上海、青島辦事處只能訪問總部服務器組vlan

6) 關閉cdp

7) 關閉 httpserver

8) 關閉著名端口(端口過濾)

北京總部

3550-S-1 (config) # ip access-list extended glb-ACL 管理部ACL

3550-S-1 (config-ext-nacl) #permit ip any 192.168.3.0 0.0.0.255

3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255

3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255

3550-S-1 (config-ext-nacl) #permit ip any any

******************

3550-S-1 (config) # ip access-list extended cwb-ACL 財務部ACL

3550-S-1 (config-ext-nacl) #permit ip any 192.168.4.0 0.0.0.255 reflect cwb-xsb

自反ACL

3550-S-1 (config-ext-nacl) #permit ip any 192.168.5.0 0.0.0.255 reflect cwb-cgb

自反ACL

3550-S-1 (config-ext-nacl) #permit ip any 192.168.2.0 0.0.0.255

3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255

3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255

3550-S-1 (config-ext-nacl) #permit ip any any

******************

3550-S-1 (config) # ip access-list extended xsb-ACL 銷售部ACL

3550-S-1 (config-ext-nacl) #evaluate cwb-xsb 計算匹配自反ACL

3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 訪問服務組

3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255

3550-S-1 (config-ext-nacl) #permit ip any any

*****************

3550-S-1 (config) # ip access-list extended cgb-ACL 採購部ACL

3550-S-1 (config-ext-nacl) #evaluate cwb-cgb 計算匹配自反ACL

3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 訪問服務組

3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255

3550-S-1 (config-ext-nacl) #permit ip any any

*****************

3550-S-1 (config) # ip access-list extended zzb-ACL 製造部ACL

3550-S-1 (config-ext-nacl) #permit ip any 192.168.127.0 0.0.0.255 訪問服務組

3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.0.255

3550-S-1 (config-ext-nacl) #permit ip any any

…(略)

可控VTY訪問,僅容許來自信息中心vlan的會話

3550-S-1 (config) # ip access-list extended telnet-ACL

3550-S-1 (config) # permit ip 192.168.7.0 0.0.0.255

3550-S-1 (config) # username benet password 0 benetpassword 創建本地數據庫

3550-S-1 (config) # line consol 0

3550-S-1 (config) # line vty 0 4

3550-S-1 (config) # login local 驗證本地數據庫

3550-S-1 (config) # access-class telnet-ACL in 調用

…(略)

青島辦事處

QD-R-1 (config) # access-list 101 permit ip any 192.168.127.0 0.0.0.255

QD-R-1 (config) # access-list 101 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255

QD-R-1 (config) # access-list 101 permit ip any any

QD-R-1 (config) # int f0/1

QD-R-1 (config) # ip access-group 101 in

廣州辦事處

GZ-R-1 (config) # access-list 101 permit ip any 192.168.127.0 0.0.0.255

GZ-R-1 (config) # access-list 101 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255

GZ-R-1 (config) # access-list 101 permit ip any any

GZ-R-1 (config) # int f0/1

GZ-R-1 (config) # ip access-group 101 in

關閉cdp 協議,http協議

BJ-R-1 (config) #no cdp run

BJ-R-1 (config) # no ip http server

3550-S-2 (config) # no cdp run

3550-S-1 (config) # no ip http server

3550-S-2 (config) # no cdp run

3550-S-2 (config) # no ip http server

…(略)

端口數據包過濾

BJ-R-1(config)# ip access-list extended port-in-ACL 定義入站ACL

BJ-R-1(config-ext-nacl)# permit ip host 201.1.1.1 any 信任青島辦事處

BJ-R-1(config-ext-nacl)# permit ip host 101.1.1.1 any 信任廣州辦事處

BJ-R-1(config-ext-nacl)# deny tcp any any eq 1023

BJ-R-1(config-ext-nacl)# deny tcp any any eq 3332

BJ-R-1(config-ext-nacl)# deny tcp any any eq 4444

BJ-R-1(config-ext-nacl)# deny tcp any any eq 444

BJ-R-1(config-ext-nacl)# deny tcp any any eq 4899

BJ-R-1(config-ext-nacl)# deny tcp any any eq 44

BJ-R-1(config-ext-nacl)# deny tcp any any eq 135

BJ-R-1(config-ext-nacl)# deny tcp any any eq 136

BJ-R-1(config-ext-nacl)# deny tcp any any eq 137

BJ-R-1(config-ext-nacl)# deny tcp any any eq 138

BJ-R-1(config-ext-nacl)# deny tcp any any eq netbio

BJ-R-1(config-ext-nacl)# deny tcp any any eq 3127

BJ-R-1(config-ext-nacl)# deny tcp any any eq 5554

BJ-R-1(config-ext-nacl)# deny tcp any any eq 9996

BJ-R-1(config-ext-nacl)# deny tcp any any eq 6129

BJ-R-1(config-ext-nacl)# deny tcp any any eq 2745

BJ-R-1(config-ext-nacl)# deny tcp any any eq 1025

BJ-R-1(config-ext-nacl)# deny udp any any eq tftp

BJ-R-1(config-ext-nacl)# deny udp any any eq 445

BJ-R-1(config-ext-nacl)# deny udp any any eq 135

BJ-R-1(config-ext-nacl)# deny udp any any eq 4444

BJ-R-1(config-ext-nacl)# deny tcp any any eq 1010

BJ-R-1(config-ext-nacl)# deny tcp any any eq 1011

BJ-R-1(config-ext-nacl)# deny tcp any any eq 1012

BJ-R-1(config-ext-nacl)# deny tcp any any eq 1015

BJ-R-1(config-ext-nacl)# deny tcp any any eq 4661

BJ-R-1(config-ext-nacl)# deny tcp any any eq 4662

BJ-R-1(config-ext-nacl)# deny tcp any any eq 4663

BJ-R-1(config-ext-nacl)# deny tcp any any eq 4664

BJ-R-1(config-ext-nacl)# deny tcp any any eq 4665

BJ-R-1(config-ext-nacl)# deny tcp any any eq 4666

BJ-R-1(config-ext-nacl)# deny tcp any any eq 7597

BJ-R-1(config-ext-nacl)# deny tcp any any eq 22226

BJ-R-1(config-ext-nacl)# deny tcp any any eq 1027

BJ-R-1(config-ext-nacl)# deny tcp any any eq 5168

BJ-R-1(config-ext-nacl)# permit ip any any

端口調用

BJ-R-1(config)# int f0/0 網通WAN口

BJ-R-1(config-if)# ip access-group port-in-ACL in

BJ-R-1(config)# int f0/0 電信WAN口

BJ-R-1(config-if)# ip access-group port-in-ACL in

BJ-R-1(config)# int f0/2 LAN口

BJ-R-1(config-if)# ip access-group port-in-ACL in

BJ-R-1(config)# int f0/3 LAN口

BJ-R-1(config-if)# ip access-group port-in-ACL in
相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程