实际拓扑: 实验步骤: 1、如图所示,配置IP地址,要求地址的配置严格按照图示配置,不允许出现任何篡改现象。 R1上loopback口地址100.1.1.1/24;R1和R2之间是10.1.12.0/30;R2、R3、R4的网段为10.1.24.0/29;R3、R4、R5的网段为10.1.35.0/29;R5上有loopback口10.1.5.5/32. 2、QM_R5上的终端访问公网的地址时,必须在路由器上查找路由表3次,要求不允许出现默认路由和汇总路由。(递归路由) 3、内网主机访问外网的主要路径是有QM_R3提供,所有的数据包正常情况下从QM_R3出网,为了提高网络的稳定性,QM_R4提高哦给你备份路径。 4、Q3上使用普通的静态路由实现访问外网和内网的需求,要求无论访问任何终端,本地的ARP表中都不允许出现终端IP地址和物理地址的映射条目。(限制了下一跳的IP不可以是出接口) 5、QM_R2上访问外网使用默认路由实现,并且,使用一条路由实现可以访问内网的任意终端。要求,QM_R2上的路由表同一时刻最多出现两条静态路由,并且不允许出现主类网路由。 8、QM_R1作为ISP路由设备,要求配置一条8位的汇总路由指向内网,使得出网的数据包可以回来。 R5可以ping通R1: 6、作为路由器QM_R3的备份,QM_R4的配置要求和QM_R3相同。7、全网的所有备份的路由条目的管理距离是200。 R2(config)#ip route 10.1.0.0 255.255.0.0 10.1.24.4 200 R4(config)#ip route 10.1.5.5 255.255.255.255 10.1.35.5 R4(config)#ip route 100.1.1.0 255.255.255.0 10.1.24.2 R5(config)#ip route 10.1.12.0 255.255.255.252 10.1.35.4 200 R5和R2上配置track,当R3这边链路不同时,R5会从R4去往外网: R5(config)#ip sla 101 R5(config-ip-sla)#icmp-echo 10.1.35.3 source-interface e0/0 R5(config-ip-sla-echo)#threshold 2 R5(config-ip-sla-echo)#frequency 10 R5(config-ip-sla-echo)#timeout 2000 R5(config)#ip sla schedule 101 life forever start-time now R5(config)#track 101 ip sla 101 reachability R5(config)#ip route 10.1.12.0 255.255.255.252 10.1.35.3 track 101 R2(config)#ip sla 100 R2(config-ip-sla)#icmp-echo 10.1.35.3 source-interface e0/1 R2(config-ip-sla-echo)#frequency 10 R2(config-ip-sla-echo)#threshold 2 R2(config-ip-sla-echo)#timeout 2000 R2(config)#ip sla schedule 100 life forever start-time now R2(config)#track 100 ip sla 100 reachability R2(config)#ip route 10.1.0.0 255.255.0.0 10.1.24.3 track 100 9、为了防止环路的出现,在适当的地方配置黑洞路由,降低数据包出现环路的概率,提示,只需要一条即可。 R1s上有一条10.0.0.0/8的路由条目,R2上只有10.1.0.0/16的路由,同时还有一条默认路由,所以R1和R2之间会产生环路,在R2上配置一条黑洞路由可以避免环路: R2(config)#ip route 10.0.0.0 255.0.0.0 null 0 10、网络管理员希望网络的安全级别提高,从而对数据包的源进行检测,要求在R3和R4上实现,主要是针对外网的流量。 any表示本地只要有到达源的明细路由就可以,rx则还限定了下一跳必须是接受这个数据包的接口: R3(config)#interface e0/1 R3(config-if)#ip verify unicast source reachable-via any R4(config)#interface e0/1 R4(config-if)#ip verify unicast source reachable-via any 11、内网扩大,在QM_R5上新增加一台主机,地址是10.1.5.55/32,要求,该主机的流量只能通过QM_R3出网。请用ACL控制流量,并且ACL的配置要方便后期其他流量的放行。 注意要在R3和R4上面添加路由条目: R4(config)#ip access-list extended control R4(config-ext-nacl)#permit ip host 10.1.5.5 any R4(config-ext-nacl)#interface e0/0 R4(config-if)#ip access-group control in 对R3的e0/0口关掉,R5上主机10.1.5.55不能ping通外网:
|
|