36

路由配置与调试

尽可能加大RT-1与RT-2之间虚拟专线链路带宽，配置Mutlilink PPP捆绑，编号为10。路由器之间采用chap双向认证，RT-1帐号名为JTrouter，密码为2021dcn。RT-2帐号名为FBrouter，密码为2021dcn。

规划集团内，SW-Core、RT-1、FW-1、AC之间使用OSPF协议组网来实现集团业务互联互通，OSPF进程号为10，具体要求如下：

SW-Core与FW-1之间属于骨干区域、SW-Core与AC之间属于普通区域10，FW-1与RT-1之间属于普通区域20，采用各自设备Loopback地址作为Router-id。

SW-Core、FW-1、RT-1、AC分别发布自己的环回地址方便日常管理。

骨干区域启用区域MD5验证，md5密钥为：qywdj@dcn，Key ID为1。

要求集团内的研发、营销、行政、财务等部门的网络内不发送协议报文。

同时还规划集团与分公司之间使用BGP协议，进程号分别为：集团是62021，分公司是62022，具体要求如下：

RT-1与RT-2之间通过与Internet的接口互联地址建立GRE隧道，RT-1与RT-2之间分别通过GRE隧道地址和专线互联地址建立邻居关系，在RT-2上宣告分公司营销、研发、无线和无线AP管理路由到BGP中，让RT-1学习到分公司的这些路由。

RT-2与SW-3之间通过静态路由协议互联，通过相关技术实现集团除RT-1以外的设备只能学习到分公司营销、无线和无线AP管理业务路由。

广域网配置

说明：为了统一结果，要求源地址和目的地址均使用“IP/掩码”表示，禁止使用地址薄或地址条目表示，"any"和题目中说明的除外，否则按零分处理。

在FW-1上配置网络地址转换，使集团内所有业务通过FW-1访问Internet，访问公网采用轮询的方式，地址池(名称为NatAddr)为202.11.33.27-29，实现同一源IP会话被映射到同一个公网地址。在RT-2上配置网络地址转换，使分公司所有业务通过RT-2访问Internet，访问公网采用轮询的方式，地址池(名称为NatAddr)为221.11.67.27-29。运营商托管机房的应用服务都通过转换成为托管机房防火墙外网口地址进行访问Internet，内网地址薄名称为LAN。

为保证只允许集团营销业务与分公司营销业务、技术业务访问托管业务应用的安全性，通过FW-1与FW-2的Internet互联地址建立IPSEC隧道，VPN名称为ipsec，使用IKE协商自行设置IPSec安全联盟、交换IPSec密钥，通过策略实现只允许访问托管在运营商机房的10.10.60.12业务应用和本业务应用的网关地址。

为了方便维护人员在外远程维护管理托管在外的业务系统，同运营商协商后，在托管机房防火墙上配置SSL VPN，并且通过策略只开放云服务平台的web管理服务和托管下所有业务应用系统远程连接端口指定端口，指定端口如下：Windows的远程桌面和Linux的SSH服务。认证账号为：ywgl，密码：ywgl123。VPN拨入用户的地址范围:192.168.255.0/24，地址池名称为vpnpool。

稻米百科提示您：看后求收藏（同创文学网http://www.tcwxx.com），接着再看更方便。