多路由協議融合與網絡服務配置實驗文檔

一、實驗用途和意義

（一）用途

本實驗模擬企業復雜網絡環境，整合 OSPF、RIPv2 動態路由協議，結合 DHCP、FTP、Telnet 服務配置及訪問控制策略，實現多區域網絡互聯、服務部署與安全管控。通過路由引入技術打通不同協議域，驗證跨協議路由傳遞機制，同時部署基礎網絡服務并配置精細化訪問控制，為企業網絡規劃、服務部署及安全防護提供全面實踐參考。

（二）意義

1. 技術整合實踐：掌握 OSPF 與 RIPv2 協議配置、路由雙向引入技術，解決異構路由協議網絡的互聯互通問題，理解不同路由協議的特性與協同機制。

2. 服務部署能力：通過配置 DHCP、FTP、Telnet 服務，熟悉企業網絡中基礎服務的搭建流程，掌握網絡終端 IP 自動分配及遠程管理、文件傳輸服務的實現方法。

3. 安全管控強化：通過路由協議端口驗證、靜默接口配置及訪問控制策略，強化網絡邊界安全與內部訪問管控意識，掌握網絡安全配置的基本思路與方法。

4. 綜合排障提升：在復雜網絡環境中，通過驗證全網互通性、服務可用性及策略有效性，提升對路由收斂、服務依賴、訪問控制等問題的排查與解決能力。

二、實驗拓撲

三、實驗需求

1. IP 地址配置：按照圖示為各設備接口及環回口配置 IP 地址。

2. 動態路由協議配置：按圖示區域劃分配置對應的動態路由協議（OSPF1 area0、OSPF2 area0、RIPv2）。

3. DHCP 服務配置：在 R7 上配置 DHCP 服務器，使 PC_10 能夠通過 DHCP 獲取 IP 地址（網段為 10.1.1.0/24）。

4. 路由宣告與引入：

• • 將所有環回口宣告進 OSPF 中，將環回口 7（lo0:7.7.7.7/32）宣告進 RIP 中。
• • 實現路由雙向引入：將 RIP 路由引入 OSPF 中，將 OSPF 路由引入 RIP 中。

1. 全網互通：要求實現所有設備及 PC 之間的網絡互通。

2. RIP 端口驗證：在 R3 和 R6 上開啟 RIP 的端口驗證，密碼為 hyzy。

3. RIP 靜默接口：在 R7 上開啟 RIP 靜默接口，要求業務網段不允許接收協議報文。

4. OSPF 端口驗證：在 R5 和 R4 上開啟 OSPF 的端口驗證，密碼為 hyzy。

5. FTP 服務配置：在 R4 上配置 FTP 服務，允許所有設備登錄訪問。

6. Telnet 服務配置：在 R1 上配置 Telnet 服務，允許所有設備登錄訪問管理。

7. 訪問控制 1：拒絕 R5 訪問 R1 的 Telnet 服務，不影響其他設備。

8. 訪問控制 2：拒絕 R2 訪問 R4 的 FTP 服務，不影響其他設備。

9. 訪問控制 3：拒絕 10.1.1.0/24 網段 ping 通 R1 地址。

10. 訪問控制 4：拒絕 10.1.1.0/24 地址訪問 R4 地址。

11. 訪問控制 5：拒絕 10.1.1.2/24 地址訪問 R3 地址。

四、實驗步驟（代碼以華為設備 CLI 為例，其他廠商適配調整）

步驟 1：設備命名與 IP 地址配置（以R1為例）

<H3C>sys
System View: return to User View with Ctrl+Z.
[H3C]hostname r1
[r1]int g0/0
[r1-GigabitEthernet0/0]ip add 192.168.1.1 24
[r1-GigabitEthernet0/0]int g0/1
[r1-GigabitEthernet0/1]ip add 192.168.2.1 24
[r1-GigabitEthernet0/1]int g0/2
[r1-GigabitEthernet0/2]ip add 100.3.3.1 24
[r1-GigabitEthernet0/2]int lo0#環回ip配置
[r1-LoopBack0]ip add 1.1.1.1 32
[r1-LoopBack0]exit

（其他路由按拓撲圖自行配置）

步驟 2：動態路由協議配置

（1）OSPF 1 配置（以 R1 為例，其他 OSPF 1 設備類似）

[r1]ospf 1 router-id 1.1.1.1
[r1-ospf-1]area 0
[r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
[r1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[r1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[r1-ospf-1-area-0.0.0.0]network 100.3.3.0 0.0.0.255
[r1-ospf-1-area-0.0.0.0]exit

OSPF 2配置（以 R4 為例，其他 OSPF 2設備類似）

[r4]ospf 2 router-id 4.4.4.4
[r4-ospf-2]area 0
[r4-ospf-2-area-0.0.0.0]network 4.4.4.4 0.0.0.0
[r4-ospf-2-area-0.0.0.0]network 172.16.3.0 0.0.0.255
[r4-ospf-2-area-0.0.0.0]network 172.16.1.0 0.0.0.255
[r4-ospf-2-area-0.0.0.0]network 100.3.3.0 0.0.0.255
[r4-ospf-2-area-0.0.0.0]exit

（2）RIPv2 配置（以 R3 為例，其他 RIP 設備類似）

[r3]rip 1
[r3-rip-1]version 2
[r3-rip-1]undo summary
[r3-rip-1]network 200.2.2.0
[r3-rip-1]network 200.1.1.0

（3）R7 的 OSPF 和 RIP 配置

OSPF:
[r7]ospf 1 router-id 7.7.7.7
[r7-ospf-1]area 0
[r7-ospf-1-area-0.0.0.0]network 100.1.1.0 0.0.0.255
[r7-ospf-1-area-0.0.0.0]exit
[r7-ospf-1]exit
[r7]ospf 2 router-id 7.7.7.7
[r7-ospf-2]area 0
[r7-ospf-2-area-0.0.0.0]network 100.2.2.0 0.0.0.255
[r7-ospf-2-area-0.0.0.0]exitRIP:
[r7]rip 1
[r7-rip-1]version 2
[r7-rip-1]undo summary 
[r7-rip-1]network 200.2.2.0
[r7-rip-1]network 200.3.3.0
[r7-rip-1]network 7.7.7.7

步驟 3：R7 上 DHCP 服務器配置

[r7]dhcp server ip-pool 1
[r7-dhcp-pool-1]network 10.1.1.0 24
[r7-dhcp-pool-1]gateway-list 10.1.1.7
[r7-dhcp-pool-1]exit

步驟 4：路由引入配置

（1）在 OSPF 中引入 RIP 路由（以 R3為例）

[r3]ospf 1
[r3-ospf-1]import-route rip 1
[r3-ospf-1]import-route direct

（2）在 RIP 中引入 OSPF 路由（以 R3為例）

[r3]rip 1
[r3-rip-1]import-route ospf 1
[r3-rip-1]import-route direct

查看是否全網互通

用pc9 ping 路由器的環回端口ip（如未ping通則檢查是否配置錯誤）

步驟 5：RIP 端口驗證配置（在 R3 和 R6 上配置）

R3：
[r3]int g5/0
[r3-GigabitEthernet5/0]rip authentication-mode simple plain hyzy
[r3-GigabitEthernet5/0]exitR6：
[r6]int g0/1
[r6-GigabitEthernet0/1]rip authentication-mode simple plain hyzy

步驟 6：R7 上 RIP 靜默接口配置

[r7]rip 1
[r7-rip-1]silent-interface g0/0
[r7-rip-1]silent-interface g0/1
[r7-rip-1]exit

步驟 7：OSPF 端口驗證配置（在 R5 和 R4 上配置）

R4:
[r4]int g0/1
[r4-GigabitEthernet0/1]ospf authentication-mode simple plain hyzy
[r4-GigabitEthernet0/1]exitR5:
[r5]int g0/0
[r5-GigabitEthernet0/0]ospf authentication-mode simple plain hyzy
[r5-GigabitEthernet0/0]exit

步驟 8：R4 上 FTP 服務配置

[r4]ftp server enable
[r4]local-user luoqi class manage
New local user added.
[r4-luser-manage-luoqi]password simple 123456.com
[r4-luser-manage-luoqi]service-type ftp
[r4-luser-manage-luoqi]exit
[r4]line vty 0 4
[r4-line-vty0-4]authentication-mode scheme
[r4-line-vty0-4]user-role level-15
[r4-line-vty0-4]exit

步驟 9：R1 上 Telnet 服務配置

[r1]telnet server enable
[r1]local-user luoqi class manage
New local user added.
[r1-luser-manage-luoqi]password simple 123456.com
[r1-luser-manage-luoqi]service-type telnet
[r1-luser-manage-luoqi]exit
[r1]line vty 0 4
[r1-line-vty0-4]authentication-mode scheme
[r1-line-vty0-4]user-role level-15
[r1-line-vty0-4]exit

步驟 10：訪問控制策略配置

（1）拒絕 R5 訪問 R1 的 Telnet 服務（R4,R6,R7上配置ACL）

R4:
[r4]acl advanced 3000
[r4-acl-ipv4-adv-3000]rule deny tcp source 172.16.1.5 0 destination any destinat
ion-port eq 23
[r4-acl-ipv4-adv-3000]exit
[r4]int g0/1
[r4-GigabitEthernet0/1]packet-filter 3000 inboundR6:
[r6]acl advanced 3000
[r6-acl-ipv4-adv-3000]rule deny tcp source 172.16.2.5 0 destination any destinat
ion-port eq 23
[r6-acl-ipv4-adv-3000]exit
[r6]int g5/0
[r6-GigabitEthernet5/0]packet-filter 3000 inbound
[r6-GigabitEthernet5/0]exitR7:    
[r7]acl advanced 3000
[r7-acl-ipv4-adv-3000]rule deny tcp source 100.2.2.5 0 destination any destinati
on-port eq 23
[r7-acl-ipv4-adv-3000]exit
[r7]int g5/0
[r7-GigabitEthernet5/0]packet-filter 3000 inbound
[r7-GigabitEthernet5/0]exit    

（2）拒絕 R2 訪問 R4 的 FTP 服務（R1,R3,R7上配置ACL）

R1:
[r1]acl advanced 3000
[r1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.2 0 destination any destina
tion-port range 20 21
[r1-acl-ipv4-adv-3000]exit
[r1]int g0/0
[r1-GigabitEthernet0/0]packet-filter 3000 inbound
[r1-GigabitEthernet0/0]exitR3:
[r3]acl advanced 3000
[r3-acl-ipv4-adv-3000]rule deny tcp source 192.168.3.2 0 destination any destina
tion-port range 20 21
[r3-acl-ipv4-adv-3000]exit
[r3]int g0/1
[r3-GigabitEthernet0/1]packet-filter 3000 inbound
[r3-GigabitEthernet0/1]exitR7:
[r7]acl advanced 3000
[r7-acl-ipv4-adv-3000]rule deny tcp source 100.1.1.2 0 destination any destinati
on-port range 20 21
[r7-acl-ipv4-adv-3000]exit
[r7]int g0/2
[r7-GigabitEthernet0/2]packet-filter 3000 inbound
[r7-GigabitEthernet0/2]exit

（3）拒絕 10.1.1.0/24 網段 ping 通 R1 地址(R7上配置ACL)

[r7]acl advanced 3000
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 192.1
68.1.1 0
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 192.1
68.2.1 0
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 100.3
.3.1 0
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 1.1.1
.1 0
[r7-acl-ipv4-adv-3000]exit
[r7]int range g0/0 to g0/2 g5/0
[r7-if-range]packet-filter 3000 outbound
[r7-if-range]exit

（4）拒絕 10.1.1.0/24 地址訪問 R4 地址

[r7]acl advanced 3000
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 100.3
.3.4 0
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 172.1
6.3.4 0
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 172.1
6.1.4 0
[r7-acl-ipv4-adv-3000]exit
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 4.4.4
.4 0

（5）拒絕 10.1.1.2/24 地址訪問 R3 地址

[r7-acl-ipv4-adv-3000]rule deny icmp source rule deny icmp source 10.1.1.0 0.0.0.255 destination 192.168.2.3 0
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 192.168.3.3 0
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 200.2.2.3 0
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 200.1.1.3 0
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 3.3.3.3 0

（3）（4）（5）都是設置的ACL從int range g0/0 to g0/2 g5/0 這幾個端口的出方向

五、總結

1. 核心技術整合：本實驗通過融合 OSPF 與 RIPv2 兩種動態路由協議，實現了多區域網絡的互聯互通，其中路由雙向引入技術是打通不同協議域的關鍵，需注意路由優先級和引入方向，避免路由環路和信息冗余。同時，DHCP、FTP、Telnet 等基礎網絡服務的部署，為企業網絡終端管理和數據傳輸提供了實用方案。

2. 安全配置要點：路由協議的端口驗證（RIP 和 OSPF 的密碼配置）增強了協議交互的安全性，防止未授權設備接入路由域；RIP 靜默接口的設置則避免了業務網段受到路由協議報文的干擾，保障了終端設備的穩定運行。訪問控制策略通過 ACL 精確匹配源、目的地址及服務類型，實現了精細化的安全管控，在配置時需注意規則順序和接口應用方向，確保策略生效且不影響正常業務。

3. 實驗排障思路：在實驗過程中，若出現網絡不通的情況，可先檢查設備接口 IP 配置是否正確、路由協議是否正常運行及鄰居關系是否建立；對于服務不可用的問題，需驗證服務是否啟用、用戶配置是否正確及訪問控制策略是否存在誤攔截；針對策略不生效的情況，應檢查 ACL 規則是否準確、是否正確應用到相應接口及方向是否合適。

4. 實際應用擴展：該實驗模擬的網絡場景與企業實際網絡架構高度相似，實驗中涉及的路由融合、服務部署和安全管控技術可直接應用于實際網絡規劃。在復雜網絡環境中，還可進一步結合 QoS（服務質量）保障關鍵業務流量，通過路由匯總減小路由表規模，以及部署防火墻增強網絡邊界防護等，提升網絡的整體性能和安全性。