HCIA

[toc]

子网计算

习题

4个部门 4个子网
每个部门最多到50台主机 每个子网至少容纳50个主机地址
借两位  主机数=62台
192.168.100.0/24->26

0        1~62        63
64       65~126      127
128      129~190     192
192      193~254     255

块（Block） = 2^主机数位=256-感兴趣掩码数

如果生产部主机100台，销售部有50台，财务部有25台，客服部有12台，应该如何划分子网呢？

生产部100台，至少保留7位主机位，最多借1位

块=128
生产部可以在下面两个子网二选一，假设选了子网1，那么子网1就不能参与下面其他部门的分割，只能使用子网2去分割。

子网1：192.168.100.0/25
子网2：192.168.100.128/25

销售部50台，至少保留6位主机位，最多借两位
块=64

子网3：192.168.100.128/26
子网4：192.168.100.192/26

销售部25台，客服部有12台，至少保留5位主机位，最多借三位
块=32

子网5：192.168.100.192/27   销售部
子网6：192.168.100.224/27   客服部

第1问：61.179.150.39/28 子网号为多少，广播号为多少，可用IP地址范围是多少？

块=16

？ X 块 = B < 39
? = 2 B = 32
子网号32
广播号47
可用ip地址范围33 ~ 46

第2问:19.224.17.0/17 可不可以配置在路由器的接口上?如果可以，是为什么，不可以又是为什么?

块=128

子网地址19.224.0.0/17
19.2240.0~19.224.127.255
可以

第3问:37.95.221.16/5 和 41.222.221.16/5 两个地址在不在同一个网段，能不能ping通?为什么?

1 2	块=8 32.0.0.0/5 40.0.0.0/5 很明显不是同一个网段，ping不通

第4问:给出第3问的IP地址 37.95.221.16的子网号和广播号

块=128

子网号32.0.0.0/5
广播号39.255.255.255/5
可以

回环网卡设置过程

一.安装过程

1.找到”开始”选项，鼠标右击找到”设备管理器”,然后随便在空白处单击鼠标一下。

2.鼠标单击菜单栏选项的”操作”选项，然后单击”添加过时硬件”，然后在”弹窗”选项单击”下一步”;在”你想向导做什么”选项里面选择”安装我手动从列表选择的硬件(高级)”，然后单击”下一步”;在”常见硬件类型”选择中选择”网络适配器”,然后单击”下一步”;然后在”厂商”选项中选择”Microsoft”,然后在”型号”选项中选择”Microsoft KM-TEST 环回适配器”，然后单击”下一步“，然后在单击一次”下一步”，系统就会按照选项按照网卡，等待”完成”选项出来后，单击”完成”选项即可完成配置。

二.检查过程

1.然后可以在”更改适配器选项中”找到”以太网”这张回环网卡

1.当然你也可以给这张网卡”重命名”,比如左上角那张”loop”网卡就是我上一次实验的回环网卡，接下来我会用”loop”网卡做实验（顺带说一句，回环网卡安装好后是必须要重启才能生效）

三.ensp配置回环实验

1.接下来我用这个拓扑来做一次

2.首先，我们单拖一个云”Cloud”出来。然后”右击”鼠标选择”设置”。没开始配置前的设置是这样的，如下图:

3.我们首先在端口创建那里找到绑定信息”UDP”，然后单击右边的”增加”选项。然后，配置表就出现一行配置，如下图:

4.然后我们在端口创建那里找到绑定信息”loop”（我们创建的回环网卡，这里的回环网卡我更改了设备名，所以叫loop），然后单击右边的”增加”选项。然后，配置表就出现第二行配置，如下图:

5.然后我们看下方的”端口映射设置”，在”出”或者”入”端口设置里面选择一方的端口编号设置成为”2”,然后再勾选下方的”双向通道”，然后单击”增加”即可完成配置。

6.设置回环网卡ip为”1.0.0.2”,打开”网络设配器选项”找到目标网卡改就行了

7.给路由器刷入命令(记得开启路由器)

8.xshell测试路由器ip”1.0.0.1”是否可以ping通

9.把服务命令刷入路由器，然后用xshell连接上去。

sys
sys AR1
int g0/0/0
ip add 1.0.0.1 24
q
telnet server enable
user-interface vty 0 4
authentication-mode aaa
q
aaa
local-user julintongxue password cipher 123.com
local-user julintongxue privilege level 15
local-user julintongxue service-type telnet
display this

认证模式	描述
AAA	登录时需要用户名和密码
Password	登录时只需要密码

1 2	dis telnet server status dis telnet server enable

命令	备注
user-interface vty 0 4	进入vty配置模式
+ authentication-mode password/aaa	配置认证模式
+ set authentication password cipher huawei	配置认证密码huawei
+ user privilege level 15	配置用户级别为15
user-interface maximum-vty 15	配置最大vty会话数量
aaa	进入aaa配置模式
+ local-user julintongxue password cipher huawei	创建julintongxue用户和huawei密码
+ local-user julintongxue privilege level 15	创建用户级别
+ local-user julintongxue service-type telnet	创建用户可用服务

学习

ospf综合实验

sys 
sys AR1
int g0/0/0
ip add 192.168.0.1 24
ospf 1 router-id 1.1.1.1
area 0
net 192.168.0.0 0.0.0.255
int g0/0/0
ospf dr-pri 200



sys 
sys AR2
int g0/0/0
ip add 192.168.0.2 24
ospf 1 router-id 2.2.2.2
area 0
net 192.168.0.0 0.0.0.255
int g0/0/0
ospf dr-pri 100



sys 
sys AR3
int g0/0/0
ip add 192.168.0.3 24
int s4/0/0
ip add 34.0.0.3 8
ospf authentication-mode md5 1 cipher julintongxue@gmail.com
ospf 1 router-id 3.3.3.3
area 0
net 192.168.0.0 0.0.0.255
net 34.0.0.0 0.255.255.255



sys 
sys AR6
int g0/0/0
ip add 192.168.0.6 24
ospf 1 router-id 6.6.6.6
area 0
net 192.168.0.0 0.0.0.255



sys 
sys AR4
int g0/0/1
ip add 48.0.0.4 8
ip route-static 0.0.0.0 0 48.0.0.8
int s4/0/0
ip add 34.0.0.4 8
ospf authentication-mode md5 1 cipher julintongxue@gmail.com
int lo 4
ip add 4.4.4.4 32
ospf 1 router-id 4.4.4.4
default-route-advertise
area 0
net 4.4.4.4 0.0.0.0
net 34.0.0.0 0.255.255.255



sys 
sys AR5
int g0/0/0
ip add 48.0.0.8 8
ip route-static 0.0.0.0 0 48.0.0.4
int lo 5
ip add 8.8.8.8 32

VLAN“基础实验”

sys
sys SW1
vlan batch 10 20 100 200
int g0/0/3
p l t
p t a v 10 20 100 200
int g0/0/1
p l h
p h un v 10 100
p h p v 10
int g0/0/2
p l h
p h un v 20 200
p h p v 20



sys
sys SW2
vlan batch 10 20 100 200
int g0/0/1
p l t
p t a v 10 20 100 200
int g0/0/2
p l t
p t a v 10 20 100 200
int g0/0/3
p l h
p h un v 10 100
p h p v 100
int g0/0/4
p l h
p h un v 20 200
p h p v 200



sys
sys SW3
vlan batch 10 20 100 200
int g0/0/4
p l t
p t a v 10 20 100 200
int g0/0/1
p l h
p h un v 10 100
p h p v 10
int g0/0/2
p l h
p h un v 20 200
p h p v 20

网络安全与管理综合实训

ACl

实验1：ACl

完成基础配置，让X园区的所有主机都可以访问ISP，完成NAT的配置
要求是AR1和AR2都可以远程R3(SSHv2)，但是R1的SSH网管流量在进入ISP是要求被过滤掉
要求X园区的PC1不能访问PC2
要求X园区的HTTP Client1不能访问ISP的HTTP Server1
要求X园区的PC1不能访问ISP的PC3，但是可以访问PC4

sys 
sys SW1
acl 2000
rule 5 deny source 192.168.1.0 0.0.0.255
int e0/0/2
traffic-filter outbound acl 2000


sys
sys AR1
int g0/0/0
ip add 192.168.1.254 24
int g0/0/1
ip add 100.1.12.1 24
acl 2000
rule permit source 192.168.1.0 0.0.0.255
int g0/0/1
nat outbound 2000
ospf 1
area 1
network 100.1.12.0 0.0.0.255
ssh client first-time enable
acl 3000
rule deny tcp source 192.168.1.3 0 destination 10.10.10.10 0 destination-port eq 80
rule deny icmp source 192.168.1.1 0 destination 8.8.8.8 0
int g0/0/0
traffic-filter inbound acl 3000




sys
sys AR2
int g0/0/0
ip add 100.1.12.254 24
int g0/0/1
ip add 100.1.23.1 24
ospf 1
area 1
network 100.1.23.0 0.0.0.255
network 100.1.12.0 0.0.0.255
ssh client first-time enable
acl 3000
rule deny tcp source 100.1.12.1 0 destination 100.1.23.254 0 destination-port eq 22
int g0/0/0
traffic-filter inbound acl 3000




sys
sys AR3
int g0/0/0
ip add 100.1.23.254 24
int g0/0/1
ip add 8.8.8.254 24
int g0/0/2
ip add 9.9.9.254 24
int g1/0/0
ip add 10.10.10.254 24
ospf 1
area 1
network 8.8.8.0 0.0.0.255
network 9.9.9.0 0.0.0.255
network 10.10.10.0 0.0.0.255
network 100.1.23.0 0.0.0.255
stelnet server enable
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh
aaa
local-user orange password cipher huawei@123 privilege level 3
local-user orange service-type ssh
rsa local-key-pair create
ssh user orange authentication-type password

Basic NAT

实验2：Basic_NAT

完成Basic NAT的配置(Easy IP、地址池 NAT、NAT Server 、静态 NAT/NAPT)

PC2访问ISP的8.8.8.8采用G0/0/2 通过静态NAT实现
PC3访问ISP的9.9.9.9采用G2/0/0 通过NAPT实现
HTTP Client2访问ISP HTTP Server1采用EASYIP实现
ISP HTTP Client1访问内网Server2的HTTP服务，通过NAT Server实现

NAPT地址池：
101.1.1.11-101.1.1.22



sys
sys AR1
int g0/0/0
ip add 192.168.2.254 24
int g0/0/1
ip add 192.168.1.254 24
int g2/0/1
ip add 102.1.1.1 24
int g0/0/2
ip add 100.1.1.1 24
nat static enable
nat static global 100.1.1.2 inside 192.168.1.1
int g2/0/0
ip add 101.1.1.1 24
ip route-static 0.0.0.0 0 100.1.1.254
ip route-static 9.9.9.9 32 101.1.1.254
ip route-static 10.10.10.10 32 102.1.1.254
nat address-group 1 101.1.1.11 101.1.1.22
acl 2000
rule permit source 192.168.1.2 0.0.0.255 
int g2/0/0
nat outbound 2000 address-group 1
acl 2001
rule permit source 192.168.1.3 0
int g2/0/1
nat outbound 2001
int g2/0/1
nat server protocol tcp global current-interface www inside 192.168.2.100 www



sys
sys AR2
int g2/0/0
ip add 8.8.8.254 24
int g2/0/1
ip add 9.9.9.254 24
int g2/0/2
ip add 10.10.10.254 24
int g0/0/2
ip add 102.1.1.254 24
int g0/0/0
ip add 100.1.1.254 24
int g0/0/1
ip add 101.1.1.254 24
ip route-static 100.1.1.2 32 100.1.1.1



sys
sys SW1

NGFW Basic Configuration

实验3：NGFW_Basic_Configuration

防火墙web管理方式实现
防火墙安全区域的规划配置
默认的情况下，Trust的PC1是否能和PC2通讯？可以通讯
如果Trust的PC1能够PING DMZ的Server1，安全策略如何实现？
如果DMZ的Server1能够PING Trust的PC1，安全策略如何实现？

小云朵连接了回环网卡

这是回环网卡的ip设置

sys
sys FW1
int g0/0/0
ip add 192.168.2.1 24
service-manage all permit
firewall zone dmz 
add int g1/0/1
int g1/0/1
ip add 172.16.1.254 24
service-manage all permit
firewall zone untrust
add int g1/0/3
int g1/0/3
ip add 100.1.1.1 24
service-manage all permit
firewall zone trust
add int g1/0/2
add int g1/0/0
int g1/0/2
ip add 192.168.2.254 24
service-manage all permit
int g1/0/0
ip add 192.168.1.254 24
service-manage all permit
q
security-policy
rule name PC1-to-200-trust-to-dmz-icmp
source-zone trust
destination-zone dmz
source-address 192.168.1.1 32
destination-address 172.16.1.100 32
service icmp
action permit
q
rule name 200-to-PC1-dmz-to-trust-icmp
source-zone dmz
destination-zone trust
source-address 172.16.1.100 32
destination-address 192.168.1.1 32
service icmp
action permit
q
rule name PC1-to-200-trust-to-dmz-icmp
source-zone trust 
destination-zone dmz
source-address 192.168.1.1 32
destination-address 172.16.1.200 32
service icmp
action permit 
nat address-group 1
section 130.1.1.1
mode pat
nat-policy
rule name snat-01
source-zone trust 
destination-zone dmz
source-address 192.168.1.1 32
destination-address 172.16.1.200 32
service icmp
action source-nat address-group 1




sys
sys AR1
int g0/0/0
ip add 100.1.1.254 24
int g0/0/1
ip add 8.8.8.254 24
int g0/0/2
ip add 9.9.9.254 24
int g4/0/0
ip add 10.10.10.254 24

NGFW NAT Configuration

实验4：NGFW_NAT_Configuration

Server2 又当dnsServer也当httpServer

Server2配置

Client2当客户端

sys
sys FW1
firewall zone dmz 
add int g1/0/1
int g1/0/1
ip add 172.16.1.254 24
service-manage all permit
firewall zone untrust
add int g1/0/3
int g1/0/3
ip add 100.1.1.1 24
service-manage all permit
firewall zone trust
add int g1/0/2
add int g1/0/0
int g1/0/2
ip add 192.168.2.254 24
service-manage all permit
int g1/0/0
ip add 192.168.1.254 24
service-manage all permit
q
security-policy
rule name PC1-PC3-to-PC2-trust-to-untrust
source-zone trust
destination-zone untrust
source-address 192.168.1.1 32
source-address 192.168.2.1 32
destination-address 8.8.8.8 32
service icmp
action permit
nat-policy
rule name EASYIP
source-zone trust 
egress-interface g1/0/3
source-address 192.168.0.0 16
destination-address 8.8.8.8 32
service icmp
action source-nat easy-ip
q
q
ip route-static 0.0.0.0 0 100.1.1.254
security-policy
rule name C2-to-S2-to-PC2-untrust-to-trust
source-zone untrust
destination-zone dmz
source-address 9.9.9.9 32
destination-address 172.16.1.200 32
service dns http
action permit
q
q
nat server HTTP1 protocol tcp global 100.1.1.1 8080 inside 172.16.1.200 80
nat server DNS1 protocol udp global 100.1.1.1 53 inside 172.16.1.200 53
dns resolve
dns server 172.16.1.200



sys
sys AR1
int g0/0/0
ip add 100.1.1.254 24
int g0/0/1
ip add 8.8.8.254 24
int g0/0/2
ip add 9.9.9.254 24
int g4/0/0
ip add 10.10.10.254 24

NGFW NAT Server 内网服务器多台映射

实验5：NGFW_NAT_Server内网服务器多台映射

实现将两台服务器都映射到公网上，提供HTTP服务
如果NAT SERVER不同服务器映射到相同的端口，可以实现吗？如果可以是什么现象？

Client1

sys
sys AR1
int g0/0/1
ip add 8.8.8.254 24
int g0/0/0
ip add 100.1.1.254 24
ip route-static 0.0.0.0 0 100.1.1.1




sys
sys FW1
firewall zone dmz 
add int g1/0/0
int g1/0/0
ip add 172.16.1.254 24
service-manage all permit
firewall zone untrust
add int g1/0/1
int g1/0/1
ip add 100.1.1.1 24
service-manage all permit
q
ip route-static 0.0.0.0 0 100.1.1.254
security-policy
rule name untrust-to-dmz
source-zone untrust
destination-zone dmz
source-address 8.8.8.8 mask 255.255.255.255
destination-address 172.16.1.100 mask 255.255.255.255
destination-address 172.16.1.200 mask 255.255.255.255
service http
service icmp
action permit
q
nat server HTTP1 zone untrust protocol tcp global interface g1/0/1 8081 inside 172.16.1.100 80
nat server HTTP2 zone untrust protocol tcp global interface g1/0/1 8082 inside 172.16.1.200 80

NGFW NAT ALG

实验6：NGFW_NAT_ALG

需求：使用SmartNAT实现FTP应用，分析NAT-ALG在FTP Port模式下的工作过程。

sys
sys FW1
int g1/0/0
ip add 172.168.1.254 24
service-manage all permit
firewall zone dmz
add int g1/0/0
int g1/0/1
ip add 100.1.1.1 24
service-manage all permit
firewall zone untrust
add int g1/0/1
ip route-static 0.0.0.0 0 100.1.1.254
security-policy
rule name dmz-to-untrust-ftp01
source-zone dmz
destination-zone untrust
service ftp icmp
action permit
nat address-group 1
mode no-pat global
section 100.1.1.10 100.1.1.20
smart-nopat 100.1.1.21
route enable
nat-policy
rule name smartnat01
source-zone dmz
destination-zone untrust
source-address 172.168.1.100 32
destination-address 8.8.8.8 32
service ftp icmp
action source-nat address-group 1



sys
sys AR1
int g0/0/0
ip add 100.1.1.254 24
int g0/0/1
ip add 8.8.8.254 24

NGFW NAT双出口设计

实验7：NGFW_NAT双出口设计.rar

sys
sys FW1
int g1/0/0
ip add 10.3.0.254 24
service-manage all permit
firewall zone trust
add int g1/0/0
int g1/0/2
ip add 1.1.1.1 24
service-manage all permit
firewall zone name isp1
set priority 10
add int g1/0/2
int g1/0/3
ip add 2.2.2.1 24
service-manage all permit
firewall zone name isp2
set priority 11
add int g1/0/3
int g1/0/1
ip add 10.2.0.254 24
service-manage all permit
firewall zone dmz
add int g1/0/1
ip route-static 0.0.0.0 0 1.1.1.2 pre 59
ip route-static 0.0.0.0 0 2.2.2.2
security-policy
rule name trust-to-isp-icmp01
source-zone trust
destination-zone isp1
destination-zone isp2
service icmp
action permit
nat address-group 1
route enable 
section 1.1.1.10 1.1.1.20
mode pat
nat address-group 2
route enable 
section 2.2.2.10 2.2.2.20
mode pat
nat-policy
rule name sourcenat01
source-zone trust
destination-zone isp1
source-address 10.3.0.0 mask 255.255.255.0
destination-address 8.8.8.0 mask 255.255.255.0
service icmp
action source-nat address-group 1
rule name sourcenat02
source-zone trust
destination-zone isp2
source-address 10.3.0.0 mask 255.255.255.0
destination-address 8.8.8.0 mask 255.255.255.0
service icmp
action source-nat address-group 2
nat server HTTP1 zone isp1 protocol tcp global interface GigabitEthernet1/0/2 www inside 10.2.0.1 www
nat server HTTP2 zone isp2 protocol tcp global interface GigabitEthernet1/0/3 www inside 10.2.0.1 www
security-policy
rule name isp-to-dmz-http01
source-zone isp1
source-zone isp2
destination-zone dmz
service http
action permit


sys
sys AR1
int g0/0/0
ip add 1.1.1.2 24
int g0/0/1
ip add 8.8.8.252 24
vrrp vrid 1 virtual-ip 8.8.8.254
vrrp vrid 1 priority 120
vrrp vrid 1 track interface g0/0/0 reduced 30
dis vrrp brief


sys
sys AR2
int g0/0/0
ip add 2.2.2.2 24
int g0/0/1
ip add 8.8.8.253 24
vrrp vrid 1 virtual-ip 8.8.8.254
dis vrrp brief

NGFW NAT场景规避环路风险的方法

实验8：NGFW_NAT场景规避环路风险的方法

需求：分析上述NAT环境中存在环路风险是什么原因导致，并且提供解决方案？

1	# PC1 tracert 202.1.1.20会环路

sys
sys AR1
int g0/0/0
ip add 202.1.1.2 30
int g0/0/1
ip add 210.1.1.1 24
int g0/0/2
ip add 220.1.1.1 24
ip route-static 202.1.1.20 32 202.1.1.1



sys
sys FW1
int g1/0/0
ip add 192.168.0.1 24
service-manage all permit
int g1/0/1
ip add 202.1.1.1 30
service-manage all permit
q
firewall zone trust
add int g1/0/0
q
firewall zone untrust
add int g1/0/1
q
ip route-static 0.0.0.0 0 202.1.1.2
security-policy
rule name trust-to-untrust
source-zone trust
destination-zone untrust
service icmp http
action permit
nat address-group 1
section 202.1.1.10 202.1.1.20
route enable                     #这个去了就环路
mode pat
nat-policy
rule name sourcenat01
source-zone trust
destination-zone untrust
source-address 192.168.0.0 24
service icmp http
action source-nat address-group 1

#上述环路是因为在AR1里面设置了一条静态路由(ip route-static)，该路由的目的是让数据包有回去的方向，但是在Client1 ping 202.1.1.20 的时候，由于FW1本地没有该路由所以交给了缺省路由解决，缺省路由则会把数据交给AR1，而AR1在前面说到有了静态路由，又会把数据丢给FW1，彼此往复就形成环路。
#解决办法则是：在防火墙内设置黑洞路由，把这个会环路的路由丢黑洞里,或者route enable
#dis nat-policy rule all
#dis f s t v

B2B VPN 建设

实验9：B2B_VPN建设.rar

sys
sys AR1
int g0/0/0
ip add 192.168.1.254 24
int g0/0/1
ip add 100.1.1.1 24
ip route-static 0.0.0.0 0 100.1.1.2
acl 3000
rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule permit ip source 192.168.1.0 0.0.0.255
int g0/0/1
nat outbound 3000
acl 3001
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
ipsec proposal 1
transform ah-esp
ah authentication-algorithm sha2-256
esp authentication-algorithm sha2-256 
esp encryption-algorithm 3des
encapsulation-mode tunnel
ipsec policy 1 1 manual
security acl 3001
proposal 1
tunnel local 100.1.1.1
tunnel remote 200.1.1.2
sa spi inbound ah 123456
sa spi inbound esp 123456
sa string-key inbound ah simple 123456
sa string-key inbound esp simple 123456
sa spi outbound ah 654321
sa spi outbound esp 654321
sa string-key outbound ah simple 654321
sa string-key outbound esp simple 654321
q
int g0/0/1
ipsec policy 1




sys
sys AR2-ISP
int g0/0/0
ip add 100.1.1.2 24
int g0/0/1
ip add 200.1.1.1 24
int g0/0/2
ip add 8.8.8.254 24



sys
sys AR3
int g0/0/0
ip add 200.1.1.2 24
int g0/0/1
ip add 192.168.2.254 24
ip route-static 0.0.0.0 0 200.1.1.1
acl 3000
rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule permit ip source 192.168.2.0 0.0.0.255
int g0/0/0
nat outbound 3000
acl 3001
rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
ipsec proposal 1
transform ah-esp
ah authentication-algorithm sha2-256
esp authentication-algorithm sha2-256 
esp encryption-algorithm 3des
encapsulation-mode tunnel
ipsec policy 1 1 manual
security acl 3001
proposal 1
tunnel local 200.1.1.2
tunnel remote 100.1.1.1
sa spi inbound ah 654321
sa spi inbound esp 654321
sa string-key inbound ah simple 654321
sa string-key inbound esp simple 654321
sa spi outbound ah 123456
sa spi outbound esp 123456
sa string-key outbound ah simple 123456
sa string-key outbound esp simple 123456
q
int g0/0/0
ipsec policy 1

NGFW GRE TUNNEL Basic Configuration

实验10：NGFW_GRE_TUNNEL_Basic_Configuration.rar

sys
sys AR1
int g0/0/0
ip add 100.1.1.254 24
int g0/0/1
ip add 200.1.1.254 24
int g0/0/2
ip add 8.8.8.254 24


sys
sys FW1
firewall zone trust
add int g1/0/0
int g1/0/0
ip add 192.168.1.254 24
service-manage all permit
firewall zone untrust
add int g1/0/1
int g1/0/1
ip add 100.1.1.1 24
service-manage all permit
ip route-static 0.0.0.0 0.0.0.0 100.1.1.254
security-policy
rule name ISP-icmp01
source-zone local
destination-zone untrust
service icmp
action permit
rule name sourcenat01
source-zone trust
destination-zone untrust
service icmp
action permit
nat-policy
rule name sourcenat01
source-zone trust
egress-interface GigabitEthernet1/0/1
source-address 192.168.1.0 mask 255.255.255.0
service icmp
action source-nat easy-ip
int tunnel0
ip add 172.16.1.1 24
tunnel-protocol gre
source 100.1.1.1
destination 200.1.1.1
firewall zone name gre
set priority 10
add interface Tunnel0
security-policy
default action permit 
ospf 1
area 0
network 172.16.1.0 0.0.0.255
network 192.168.1.0 0.0.0.255


sys
sys FW2
firewall zone trust
add int g1/0/0
int g1/0/0
ip add 192.168.2.254 24
service-manage all permit
firewall zone untrust
add int g1/0/1
int g1/0/1
ip add 200.1.1.1 24
service-manage all permit
ip route-static 0.0.0.0 0.0.0.0 200.1.1.254
security-policy
rule name ISP-icmp01
source-zone local
destination-zone untrust
service icmp
action permit
rule name sourcenat01
source-zone trust
destination-zone untrust
service icmp
action permit
nat-policy
rule name sourcenat01
source-zone trust
egress-interface GigabitEthernet1/0/1
source-address 192.168.2.0 mask 255.255.255.0
service icmp
action source-nat easy-ip
int tunnel0
ip add 172.16.2.1 24
tunnel-protocol gre
source 200.1.1.1
destination 100.1.1.1
firewall zone name gre
set priority 11
add interface Tunnel0
security-policy
default action permit
ospf 1
area 0
network 172.16.2.0 0.0.0.255
network 192.168.2.0 0.0.0.255

NGFW用户管理和认证部署配置

DHCP中继

PC1开dhcp自动获取AR1下发的ip
下面是抓到的报文：

AR1_g0_0_1_DHCP_Unicast.pcapng

AR2_g0_0_0_DHCP_broadcast.pcapng

sys
sys AR1
dhcp enable
int g0/0/0
ip add 192.168.12.1 24
ip pool 1
network 192.168.1.0 mask 24
gateway-list 192.168.1.254
int g0/0/0
dhcp select global 
ip route-static 192.168.1.0 24 192.168.12.2

sys
sys AR2
dhcp enable
int g0/0/1
ip add 192.168.12.2 24
int g0/0/0
ip add 192.168.1.254 24
dhcp select relay
dhcp relay server-ip 192.168.12.1

sys
sys SW1

实验

交换机划分VLAN配置

一、实验目标

1、理解虚拟LAN(VLAN)基本配置；

2、掌握一般交换机按端口划分VLAN的配置方法；

3、掌握Tag VLAN配置方法。

二、实验背景

某一公司内财务部、销售部的PC通过2台交换机实现通信；要求财务部和销售部的PC可以互通，但为了数据安全起见，销售部和财务部需要进行互相隔离，现要在交换机上做适当配置来实现这一目标。

三、技术原理

VLAN是指在一个物理网段内。进行逻辑的划分，划分成若干个虚拟局域网，VLAN做大的特性是不受物理位置的限制，可以进行灵活的划分。VLAN具备了一个物理网段所具备的特性。相同VLAN内的主机可以相互直接通信，不同VLAN间的主机之间互相访问必须经路由设备进行转发，广播数据包只可以在本VLAN内进行广播，不能传输到其他VLAN中。

Port VLAN是实现VLAN的方式之一，它利用交换机的端口进行VALN的划分，一个端口只能属于一个VLAN。
Tag VLAN是基于交换机端口的另一种类型，主要用于是交换机的相同Vlan内的主机之间可以直接访问，同时对不同Vlan的主机进行隔离。Tag VLAN遵循IEEE802.1Q协议的标准，在使用配置了Tag VLAN的端口进行数据传输时，需要在数据帧内添加4个字节的802.1Q标签信息，用于标示该数据帧属于哪个VLAN,便于对端交换机接收到数据帧后进行准确的过滤。

四、实验设备

PC1,PC2,PC3,PC4

两台S5700交换机

五、实验的步骤和结果

结果就是PC1ping通PC3，PC2ping通PC4，PC1和PC3都不能访问PC2和PC4

# LSW1配置：
sys
sys LSW1
vlan b 10 20
int g0/0/2
p l a
p d v 10
q
int g0/0/3
p l a
p d v 20
q
int g0/0/1
p l t
p t a v 10 20

# LSW2配置：
sys
sys LSW2
vlan b 10 20
int g0/0/2
p l a
p d v 10
q
int g0/0/3
p l a
p d v 20
q
int g0/0/1
p l t
p t a v 10 20

PC1配置（所有的PC只需配ip和子网掩码即可）

三层交换机基本配置

一、实验目标

1、理解三层交换机的基本原理；

2、掌握三层交换机物理端口开启路由功能的配置方法。

二、实验背景

公司现有1台三层交换机，要求你进行测试，该交换机的三层功能是否工作正常。

三、技术原理

三层交换机是带有三层路由功能的交换机，也就是这台交换机的端口既有三层路由功能，也具有二层交换功能。三层交换机端口默认为二层口，如果需要启用三层功能就需要在此端口输入undo portswitch命令。如果切换二层交换机可以用portswitch命令。

四、实验设备

PC1,PC2

一台S5700交换机

五、实验的步骤和结果

讲一下我的设想，PC1和PC2处于不同网段，想要互访必须要经过路由，但是实验只有一个交换机，我们可以使用交换机的三层功能（即套一个路由器，这个路由器是虚拟的，这就是三层路由功能）

交换机配置

sys
sys LSW1
vlan batch 10 20
int g0/0/1
 p l a
 p d v 10
int vlanif10
 ip add 192.168.1.254 24
int g0/0/2
 p l a
 p d v 20
int vlanif20
 ip add 192.168.2.254 24

PC配置

利用三层交换机实现VLAN间路由（有问题。。。）

一、实验目标

1、掌握交换机Tag VLAN的配置；
2、掌握三层交换机基本配置方法；
3、掌握三层交换机VLAN路由的配置方法；
4、通过三层交换机实现VLAN间相互通信。

二、实验背景

某企业有两个主要部门，技术部和销售部，分处于不同的办公室，为了安全和便于管理对两个部门的主机进行了VLAN的划分，技术部和销售部分处于不同的VLAN，先由于业务的需求需要销售部和技术部的主机能够相互访问，获得相应的资源，两个部门的交换机通过一台三层交换机进行了连接。

三、技术原理

三层交换机具备网络层的功能，实现VLAN相互访问的原理是：利用三层交换机的路由功能，通过识别数据包的IP地址，查找路由表进行选路转发，三层交换机利用直连路由可以实现不同VLAN之间的相互访问。三层交换机给接口配置IP地址。采用SVI（交换虚拟接口）的方式实现VLAN间互连。SVI是指为交换机中的VLAN创建虚拟接口，并且配置IP地址。

四、实验设备

PC1,PC2,PC3,PC4

两台S5700交换机

五、实验的步骤和结果

交换机LSW1配置

sys
sys LSW1
vlan batch 10 20
int g0/0/1
 p l a
 p d v 10
int g0/0/2
 p l a
 p d v 20
int g0/0/3
 p l t
 p t a v 10 20

交换机LSW2配置

sys
sys LSW2
vlan batch 10 20
int g0/0/1
 p l t
 p t a v 10 20
int g0/0/2
 p l a
 p d v 10
int g0/0/3
 p l a
 p d v 20

PC1配置

PC2配置

PC3配置

PC4配置

我发现这实验有问题的。。。可能是我技术不好，这个更改后的配置，更改前的配置如下：

交换机LSW2配置（其他配置不变）

sys
sys LSW2
vlan batch 10 20
int g0/0/1
 p l t
 p t a v 10 20
int g0/0/2
 p l a
 p d v 10
int g0/0/3
 p l a
 p d v 20
int vlanif 10 
 ip add 192.168.1.254 24
int vlanif 20
 ip add 192.168.2.254 24

我开启了三层功能会发现vlan全部失效，vlan10可以访问vlan20了。。。无奈之下我只能把vlanif的配置去掉，所以上面的配置ping网关全部都是失联的。。。

路由器综合路由配置

一、实验目标

1.掌握中和路由器的配置方法；

2.掌握查看通过路由重分布学习产生的路由；

3.熟悉广域网线缆的链接方式。

二、实验背景

假设某公司通过一台三层交换机连到公司出口路由器 R1上，路由器 R1再和公司外的另一台路由器 R2 连接。三层交换机与 R1 间运行 RIPV2 路由协议，R1与 R2 间运行 OSPF 路由协议。现要做适当配置，实现公司内部主机与公司外部主机之间的相互通信。

三、技术原理

为了支持本设备能够运行多个路由协议进程，系统软件提供了路由信息从一个路由进程重分布到另一个路由进程的功能。比如你可以将 OSPF 路由域的路由重新分布后通高 RIP 路由域中，也可以将 RIP 路由域的路由重新分布后通告到OSPE 路由域中。路由的相互重分布可以在所有的 IP路由协议之间进行。要把路由从一个路由域分布到另一个路由域，并且进行控制路由重分布。

四、实验设备

S5700交换机一台，AR2220路由器两台，PC两台

五、实验的步骤和结果

交换机LSW1配置

sys
sys LSW1
v b 10 20
int g0/0/2
p l a
p d v 10
int vlan 10
ip add 192.168.1.1 24
int g0/0/1
p l a
p d v 20
int vlan 20
ip add 192.168.2.1 24
rip
version 2
undo summary 
network 192.168.1.0
network 192.168.2.0

AR1配置

sys
sys AR1
int g0/0/1
ip add 192.168.2.2 24
int g0/0/0
ip add 192.168.3.1 24
rip
version 2
undo summary 
network 192.168.2.0
ospf 1 router-id 1.1.1.1
area 0
network 192.168.3.0 0.0.0.255

AR1路由重分布配置

rip
import-route ospf
q
ospf 1
import-route rip

AR2配置

sys
sys AR2
int g0/0/1
ip add 192.168.3.2 24
int g0/0/0
ip add 192.168.4.1 24
ospf 1 router-id 2.2.2.2
area 0
network 192.168.3.0 0.0.0.255
network 192.168.4.0 0.0.0.255

PC配置

单臂路由

一、实验设备

PC1,PC2

一台S5700交换机和一台AR2220交换机

二、实验的步骤和结果

交换机配置

sys
sys LSW1
vlan batch 10 20
int g0/0/1
 p l a
 p d v 10
int g0/0/2
 p l a
 p d v 20
int g0/0/3
 p l t
 p t a v 10 20

路由器配置

sys
sys AR1
int g0/0/0.10                  #创建子接口
 ip add 192.168.10.254 24      
 dot1q termination vid 10      #配置子接口终结的VLAN ID 
 arp broadcast enable          #开启子接口的arp广播功能
int g0/0/0.20
 ip add 192.168.20.254 24
 dot1q termination vid 20
 arp broadcast enable

PC配置

单臂路由转三层交换

一、实验设备

PC1,PC2

一台S5700交换机

二、实验的步骤和结果

交换机配置

sys
sys LSW1
vlan batch 10 20
int g0/0/1
 p l a
 p d v 10
int g0/0/2
 p l a
 p d v 20
int g0/0/3
 p l t
 p t a v 10 20
int vlanif 10 
 ip add 192.168.10.254 24
int vlanif 20
 ip add 192.168.20.254 24

PC配置