多路由协议融合与网络服务配置实验文档

一、实验用途和意义

（一）用途

本实验模拟企业复杂网络环境，整合 OSPF、RIPv2 动态路由协议，结合 DHCP、FTP、Telnet 服务配置及访问控制策略，实现多区域网络互联、服务部署与安全管控。通过路由引入技术打通不同协议域，验证跨协议路由传递机制，同时部署基础网络服务并配置精细化访问控制，为企业网络规划、服务部署及安全防护提供全面实践参考。

（二）意义

1. 技术整合实践：掌握 OSPF 与 RIPv2 协议配置、路由双向引入技术，解决异构路由协议网络的互联互通问题，理解不同路由协议的特性与协同机制。

2. 服务部署能力：通过配置 DHCP、FTP、Telnet 服务，熟悉企业网络中基础服务的搭建流程，掌握网络终端 IP 自动分配及远程管理、文件传输服务的实现方法。

3. 安全管控强化：通过路由协议端口验证、静默接口配置及访问控制策略，强化网络边界安全与内部访问管控意识，掌握网络安全配置的基本思路与方法。

4. 综合排障提升：在复杂网络环境中，通过验证全网互通性、服务可用性及策略有效性，提升对路由收敛、服务依赖、访问控制等问题的排查与解决能力。

二、实验拓扑

三、实验需求

1. IP 地址配置：按照图示为各设备接口及环回口配置 IP 地址。

2. 动态路由协议配置：按图示区域划分配置对应的动态路由协议（OSPF1 area0、OSPF2 area0、RIPv2）。

3. DHCP 服务配置：在 R7 上配置 DHCP 服务器，使 PC_10 能够通过 DHCP 获取 IP 地址（网段为 10.1.1.0/24）。

4. 路由宣告与引入：

• • 将所有环回口宣告进 OSPF 中，将环回口 7（lo0:7.7.7.7/32）宣告进 RIP 中。
• • 实现路由双向引入：将 RIP 路由引入 OSPF 中，将 OSPF 路由引入 RIP 中。

1. 全网互通：要求实现所有设备及 PC 之间的网络互通。

2. RIP 端口验证：在 R3 和 R6 上开启 RIP 的端口验证，密码为 hyzy。

3. RIP 静默接口：在 R7 上开启 RIP 静默接口，要求业务网段不允许接收协议报文。

4. OSPF 端口验证：在 R5 和 R4 上开启 OSPF 的端口验证，密码为 hyzy。

5. FTP 服务配置：在 R4 上配置 FTP 服务，允许所有设备登录访问。

6. Telnet 服务配置：在 R1 上配置 Telnet 服务，允许所有设备登录访问管理。

7. 访问控制 1：拒绝 R5 访问 R1 的 Telnet 服务，不影响其他设备。

8. 访问控制 2：拒绝 R2 访问 R4 的 FTP 服务，不影响其他设备。

9. 访问控制 3：拒绝 10.1.1.0/24 网段 ping 通 R1 地址。

10. 访问控制 4：拒绝 10.1.1.0/24 地址访问 R4 地址。

11. 访问控制 5：拒绝 10.1.1.2/24 地址访问 R3 地址。

四、实验步骤（代码以华为设备 CLI 为例，其他厂商适配调整）

步骤 1：设备命名与 IP 地址配置（以R1为例）

<H3C>sys
System View: return to User View with Ctrl+Z.
[H3C]hostname r1
[r1]int g0/0
[r1-GigabitEthernet0/0]ip add 192.168.1.1 24
[r1-GigabitEthernet0/0]int g0/1
[r1-GigabitEthernet0/1]ip add 192.168.2.1 24
[r1-GigabitEthernet0/1]int g0/2
[r1-GigabitEthernet0/2]ip add 100.3.3.1 24
[r1-GigabitEthernet0/2]int lo0#环回ip配置
[r1-LoopBack0]ip add 1.1.1.1 32
[r1-LoopBack0]exit

（其他路由按拓扑图自行配置）

步骤 2：动态路由协议配置

（1）OSPF 1 配置（以 R1 为例，其他 OSPF 1 设备类似）

[r1]ospf 1 router-id 1.1.1.1
[r1-ospf-1]area 0
[r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
[r1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[r1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[r1-ospf-1-area-0.0.0.0]network 100.3.3.0 0.0.0.255
[r1-ospf-1-area-0.0.0.0]exit

OSPF 2配置（以 R4 为例，其他 OSPF 2设备类似）

[r4]ospf 2 router-id 4.4.4.4
[r4-ospf-2]area 0
[r4-ospf-2-area-0.0.0.0]network 4.4.4.4 0.0.0.0
[r4-ospf-2-area-0.0.0.0]network 172.16.3.0 0.0.0.255
[r4-ospf-2-area-0.0.0.0]network 172.16.1.0 0.0.0.255
[r4-ospf-2-area-0.0.0.0]network 100.3.3.0 0.0.0.255
[r4-ospf-2-area-0.0.0.0]exit

（2）RIPv2 配置（以 R3 为例，其他 RIP 设备类似）

[r3]rip 1
[r3-rip-1]version 2
[r3-rip-1]undo summary
[r3-rip-1]network 200.2.2.0
[r3-rip-1]network 200.1.1.0

（3）R7 的 OSPF 和 RIP 配置

OSPF:
[r7]ospf 1 router-id 7.7.7.7
[r7-ospf-1]area 0
[r7-ospf-1-area-0.0.0.0]network 100.1.1.0 0.0.0.255
[r7-ospf-1-area-0.0.0.0]exit
[r7-ospf-1]exit
[r7]ospf 2 router-id 7.7.7.7
[r7-ospf-2]area 0
[r7-ospf-2-area-0.0.0.0]network 100.2.2.0 0.0.0.255
[r7-ospf-2-area-0.0.0.0]exitRIP:
[r7]rip 1
[r7-rip-1]version 2
[r7-rip-1]undo summary 
[r7-rip-1]network 200.2.2.0
[r7-rip-1]network 200.3.3.0
[r7-rip-1]network 7.7.7.7

步骤 3：R7 上 DHCP 服务器配置

[r7]dhcp server ip-pool 1
[r7-dhcp-pool-1]network 10.1.1.0 24
[r7-dhcp-pool-1]gateway-list 10.1.1.7
[r7-dhcp-pool-1]exit

步骤 4：路由引入配置

（1）在 OSPF 中引入 RIP 路由（以 R3为例）

[r3]ospf 1
[r3-ospf-1]import-route rip 1
[r3-ospf-1]import-route direct

（2）在 RIP 中引入 OSPF 路由（以 R3为例）

[r3]rip 1
[r3-rip-1]import-route ospf 1
[r3-rip-1]import-route direct

查看是否全网互通

用pc9 ping 路由器的环回端口ip（如未ping通则检查是否配置错误）

步骤 5：RIP 端口验证配置（在 R3 和 R6 上配置）

R3：
[r3]int g5/0
[r3-GigabitEthernet5/0]rip authentication-mode simple plain hyzy
[r3-GigabitEthernet5/0]exitR6：
[r6]int g0/1
[r6-GigabitEthernet0/1]rip authentication-mode simple plain hyzy

步骤 6：R7 上 RIP 静默接口配置

[r7]rip 1
[r7-rip-1]silent-interface g0/0
[r7-rip-1]silent-interface g0/1
[r7-rip-1]exit

步骤 7：OSPF 端口验证配置（在 R5 和 R4 上配置）

R4:
[r4]int g0/1
[r4-GigabitEthernet0/1]ospf authentication-mode simple plain hyzy
[r4-GigabitEthernet0/1]exitR5:
[r5]int g0/0
[r5-GigabitEthernet0/0]ospf authentication-mode simple plain hyzy
[r5-GigabitEthernet0/0]exit

步骤 8：R4 上 FTP 服务配置

[r4]ftp server enable
[r4]local-user luoqi class manage
New local user added.
[r4-luser-manage-luoqi]password simple 123456.com
[r4-luser-manage-luoqi]service-type ftp
[r4-luser-manage-luoqi]exit
[r4]line vty 0 4
[r4-line-vty0-4]authentication-mode scheme
[r4-line-vty0-4]user-role level-15
[r4-line-vty0-4]exit

步骤 9：R1 上 Telnet 服务配置

[r1]telnet server enable
[r1]local-user luoqi class manage
New local user added.
[r1-luser-manage-luoqi]password simple 123456.com
[r1-luser-manage-luoqi]service-type telnet
[r1-luser-manage-luoqi]exit
[r1]line vty 0 4
[r1-line-vty0-4]authentication-mode scheme
[r1-line-vty0-4]user-role level-15
[r1-line-vty0-4]exit

步骤 10：访问控制策略配置

（1）拒绝 R5 访问 R1 的 Telnet 服务（R4,R6,R7上配置ACL）

R4:
[r4]acl advanced 3000
[r4-acl-ipv4-adv-3000]rule deny tcp source 172.16.1.5 0 destination any destinat
ion-port eq 23
[r4-acl-ipv4-adv-3000]exit
[r4]int g0/1
[r4-GigabitEthernet0/1]packet-filter 3000 inboundR6:
[r6]acl advanced 3000
[r6-acl-ipv4-adv-3000]rule deny tcp source 172.16.2.5 0 destination any destinat
ion-port eq 23
[r6-acl-ipv4-adv-3000]exit
[r6]int g5/0
[r6-GigabitEthernet5/0]packet-filter 3000 inbound
[r6-GigabitEthernet5/0]exitR7:    
[r7]acl advanced 3000
[r7-acl-ipv4-adv-3000]rule deny tcp source 100.2.2.5 0 destination any destinati
on-port eq 23
[r7-acl-ipv4-adv-3000]exit
[r7]int g5/0
[r7-GigabitEthernet5/0]packet-filter 3000 inbound
[r7-GigabitEthernet5/0]exit    

（2）拒绝 R2 访问 R4 的 FTP 服务（R1,R3,R7上配置ACL）

R1:
[r1]acl advanced 3000
[r1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.2 0 destination any destina
tion-port range 20 21
[r1-acl-ipv4-adv-3000]exit
[r1]int g0/0
[r1-GigabitEthernet0/0]packet-filter 3000 inbound
[r1-GigabitEthernet0/0]exitR3:
[r3]acl advanced 3000
[r3-acl-ipv4-adv-3000]rule deny tcp source 192.168.3.2 0 destination any destina
tion-port range 20 21
[r3-acl-ipv4-adv-3000]exit
[r3]int g0/1
[r3-GigabitEthernet0/1]packet-filter 3000 inbound
[r3-GigabitEthernet0/1]exitR7:
[r7]acl advanced 3000
[r7-acl-ipv4-adv-3000]rule deny tcp source 100.1.1.2 0 destination any destinati
on-port range 20 21
[r7-acl-ipv4-adv-3000]exit
[r7]int g0/2
[r7-GigabitEthernet0/2]packet-filter 3000 inbound
[r7-GigabitEthernet0/2]exit

（3）拒绝 10.1.1.0/24 网段 ping 通 R1 地址(R7上配置ACL)

[r7]acl advanced 3000
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 192.1
68.1.1 0
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 192.1
68.2.1 0
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 100.3
.3.1 0
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 1.1.1
.1 0
[r7-acl-ipv4-adv-3000]exit
[r7]int range g0/0 to g0/2 g5/0
[r7-if-range]packet-filter 3000 outbound
[r7-if-range]exit

（4）拒绝 10.1.1.0/24 地址访问 R4 地址

[r7]acl advanced 3000
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 100.3
.3.4 0
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 172.1
6.3.4 0
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 172.1
6.1.4 0
[r7-acl-ipv4-adv-3000]exit
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 4.4.4
.4 0

（5）拒绝 10.1.1.2/24 地址访问 R3 地址

[r7-acl-ipv4-adv-3000]rule deny icmp source rule deny icmp source 10.1.1.0 0.0.0.255 destination 192.168.2.3 0
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 192.168.3.3 0
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 200.2.2.3 0
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 200.1.1.3 0
[r7-acl-ipv4-adv-3000]rule deny icmp source 10.1.1.0 0.0.0.255 destination 3.3.3.3 0

（3）（4）（5）都是设置的ACL从int range g0/0 to g0/2 g5/0 这几个端口的出方向

五、总结

1. 核心技术整合：本实验通过融合 OSPF 与 RIPv2 两种动态路由协议，实现了多区域网络的互联互通，其中路由双向引入技术是打通不同协议域的关键，需注意路由优先级和引入方向，避免路由环路和信息冗余。同时，DHCP、FTP、Telnet 等基础网络服务的部署，为企业网络终端管理和数据传输提供了实用方案。

2. 安全配置要点：路由协议的端口验证（RIP 和 OSPF 的密码配置）增强了协议交互的安全性，防止未授权设备接入路由域；RIP 静默接口的设置则避免了业务网段受到路由协议报文的干扰，保障了终端设备的稳定运行。访问控制策略通过 ACL 精确匹配源、目的地址及服务类型，实现了精细化的安全管控，在配置时需注意规则顺序和接口应用方向，确保策略生效且不影响正常业务。

3. 实验排障思路：在实验过程中，若出现网络不通的情况，可先检查设备接口 IP 配置是否正确、路由协议是否正常运行及邻居关系是否建立；对于服务不可用的问题，需验证服务是否启用、用户配置是否正确及访问控制策略是否存在误拦截；针对策略不生效的情况，应检查 ACL 规则是否准确、是否正确应用到相应接口及方向是否合适。

4. 实际应用扩展：该实验模拟的网络场景与企业实际网络架构高度相似，实验中涉及的路由融合、服务部署和安全管控技术可直接应用于实际网络规划。在复杂网络环境中，还可进一步结合 QoS（服务质量）保障关键业务流量，通过路由汇总减小路由表规模，以及部署防火墙增强网络边界防护等，提升网络的整体性能和安全性。