Conf t
Int f0/3
Switchport access vlan 3
no sh
exit
exit
Conf t
Int f0/4
Switchport access vlan 4
no sh
exit
exit
Conf t
Int f0/5
Switchport mode trunk
no sh
exit
exit
Полная настройка филиальных маршрутизаторов
R4
Conf t
Int f0/0\\указываем номер интерфейса
Ip address 10.0.1.1 255.255.255.0 \\ присваиваем данному интерфейсу ip address с указанием прямой маски
No sh \\ включаем используемый интерфейс
exit
exit\\ выход из режима конфигурации
Conf t
Int f0/0.1 \\ указываем номер виртуального интерфейса (где *.1 – это номер VLANа)
Enc dot1q 1 \\ инкапсулируем VLAN1 в dot1q в систему двойного тегирования вланов (внутрь одного влана на входе упаковываются вланы, а на выходе транспорта распаковываются)
Ip address 10.0.11.1 255.255.255.0 \\ присваиваем данному виртуальному интерфейсу ip address с указанием прямой маски
No sh
exit
exit
Conf t
Int f0/0.2
Enc dot1q 2
Ip address 10.0.12.1 255.255.255.0
No sh
exit
exit
Conf t
Int f0/0.3
Enc dot1q 3
Ip address 10.0.13.1 255.255.255.0
No sh
exit
exit
Conf t
Int f0/0.4
Enc dot1q 4
Ip address 10.0.14.1 255.255.255.0
No sh
exit
exit
Conf t
Int f1/0
Ip address 10.0.15.1 255.255.255.0
No sh
exit
exit
Conf t
Int f0/1
Ip address 192.168.10.1 255.255.255.0
No sh
exit
exit
Conf t
Router eigrp 3 \\ позволяет запустить протокол динамической маршрутизации EIGRP с номером «3»
Network 10.0.0.0 0.0.255.255 \\ указываем сети, на которых будет работать данный протокол с указанием обратной маски
no auto-summary \\ нужно для того, что бы маршрутизатор принял информацию о подсетях сети 10.0.0.0
exit
exit
Conf t
ip route 192.168.1.0 255.255.255.0 192.168.10.2 настройка статической маршрутизации с интерфейса роутера с адресом 192.168.10.2 в сеть 192.168.1.0 с маской 255.255.255.0
exit
conf t
int tun 1 \\ создание туннеля1
ip add 10.70.1.1 255.255.255.0 \\ виртуальный адрес туннеля1 и его прямая маска
tun source f 0/1 \\ физический интерфейс, из которого выходит туннель на данном роутере
tun dest 192.168.1.1 \\ ip адрес интерфейса, где заканчивается туннель
exit
exit
conf t
crypto isakmp enable \\ команда включает работу протокола IPsec
crypto isakmp policy 1 \\ Задание новой политики с приоритетом 1
authentication pre-share \\ Использование pre-share аутентификации
encryption aes \\ Задание шифрование AES
hash sha \\ Использование метода хеширования sha
group 2 \\ Применение алгоритма Деффи-Хелмана группы №2
ex
crypto isakmp key 0 address 192.168.1.1 0.0.0.0 \\ Установление ключа «0» и передача его на адрес 192.168.1.1
crypto ipsec transform-set 101 esp-aes esp-sha-hmac \\ Набор преобразований с именем «1» с протоколом шифрования AES для IPsec и инкапсуляцией ESP, а также алгоритм хеширования sha
crypto ipsec security-association lifetime seconds 3600
ip access-list extended 101
permit gre host 192.168.10.1 host 192.168.1.1 \\ Разрешение передачи GRE пакетов от 172.16.0.1 на 192.168.1.1
ex
crypto map tun_1 100 ipsec-isakmp \\ Задание криптокарты tun_1
match address 101 \\ Добавление ранее созданного списка доступа 101
set peer 192.168.1.1 \\ Задание адреса входа
set pfs group2
set transform-set 101 \\ Наложение набора преобразований «101»
ex
int f 0/1
crypto map tun_1 \\ Присвоение криптокарты tun_1 физическому интерфейсу f0/1
exit
exit
R8
Conf t
Int f0/0
Ip address 192.168.1.2 255.255.255.0
No sh
exit
exit
Conf t
Int f0/1
Ip address 192.168.10.2 255.255.255.0
No sh
exit
exit
conf t
router ospf 3
network 192.168.0.0 0.0.255.255 area 3
exit
exit
Списки доступа
По таблица 6.1 распределяем сетевые службы по отделам
1 филиал
access-list 151 permit tcp 10.0.11.0 0.0.0.255 host 10.0.15.2 eq www задаю список доступа с названием access-list 151, в которой прописано, что разрешается доступ к службе HTTP c сервера с адресом 10.0.15.2
access-list 151 deny udp any any eq domain Запрет на доступ к службе dns
access-list 151 permit ip any any \\ разрешаем ip
int f0/0.1\\ ПРИСВАИВАЕМ НА ИНТЕРФЕЙС ,кот является шлюзом для этого отдела
ip access-group 151 in\\ присваиваем на вход
ex
access-list 152 permit udp 10.0.12.0 0.0.0.255 host 10.0.15.2 eq domain задаю список доступа с названием access-list 151, в которой прописано, что разрешается доступ к службе DNS c сервера с адресом 10.0.15.2
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.