SW:9,11-15
-
配置使北京公司内网用户通过总公司出口BC访问因特网,分公司内网用户通过分公司出口FW访问因特网,要求总公司核心交换机9口VLAN41业务的用户访问因特网的流量往反数据流经过防火墙在通过BC访问因特网;防火墙untrust1和trust1开启安全防护,参数采用默认参数。
注:写这道题需要用到三个机器FW,SW,BC三者之间的·路由要通,还需要做好internet路由隔离
FW:
开启安全防护
BC
SW:
策略:
应用到接口:
测试结果:
-
总公司和分公司今年进行IPv6试点,要求总公司和分公司销售部门用户能够通过IPv6相互访问,IPv6业务通过租用裸纤承载。实现分公司和总公司IPv6业务相互访问;AC与SW之间配置静态路由使VLAN50与VLAN60可以通过IPv6通信;VLAN40开启IPv6,IPv6业务地址规划如下:
| 业务 | IPv6地址 |
| 总公司VLAN50 | 2001:DA8:50::1/64 |
| 分公司VLAN60 | 2001:DA8:60::1/64 |
SW和AC:show ipv6 interface brief 看ipv6
AC(config)# ipv6 route 2001:da8:50::1/64 fe80::203:fff:fed3:b106 vlan40
SW(config)#ipv6 route 2001:da8:60::1/64 fe80::203:fff:feb9:8167 vlan40
-
在总公司核心交换机SW配置IPv6地址,开启路由公告功能,路由器公告的生存期为2小时,确保销售部门的IPv6终端可以通过DHCP SERVER 获取IPv6地址,在SW上开启IPv6 DHCP server功能,IPv6地址范围2001:da8:50::2-2001:da8:50::100。
结果:
-
在南京分公司上配置IPv6地址,使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址。
-
SW与AC,AC与FW之间配置OSPF area 0 开启基于链路的MD5认证,密钥自定义,传播访问Internet默认路由,让总公司和分公司内网用户能够相互访问包含AC上loopback1地址;总公司SW和BC之间运行静态路由协议。
SW:
AC:
FW:
-
分公司销售部门通过防火墙上的DHCP SERVER获取IP地址,server IP地址为20.0.0.254,地址池范围20.1.60.10-20.1.60.100,dns-server 8.8.8.8。
FW:
SW:
测试结果:
(网卡改为dhcp自动获取)
