Cisco PT模擬實驗(21) 兩層架構網絡搭建的綜合配置
實驗目的:
熟悉網絡的二層結構模型及原理
掌握路由交換的基本配置方法
掌握搭建兩層架構網絡的常用技術
實驗背景:
情景:A公司企業網計劃接入互聯網,向 ISP申請了一條專線並擁有足夠的公有IP地址,現要求搭建一個簡易兩層架構的企業內部網,具體構建需求如下:
①企業內網劃分多個vlan ,減少廣播域大小,提高網絡穩定性
②將用戶網關配置在核心交換機上
③搭建DHCP服務器,實現終端用戶自動獲取IP地址
④在出口路由器上配置NAPT映射
⑤將內網服務器的80端口映射,允許外網用戶訪問
⑥利用ACL技術增強網絡安全性
技術原理:
VLAN劃分的實際作用並非隔離通信,而是通過縮小廣播域從而減少廣播流量、提高帶寬利用率,使得網絡運行更加穩定;
Trunk鏈路上默認允許所有VLAN通過,當過多不同VLAN轉發經過時會占用不必要的帶寬,可手動配置特定VLAN通過或利用VLAN修剪功能,從而提高網絡穩定性;
在互聯網中,公有地址用於不同外網之間通信,全球唯一並且能在公網上被路由;而私有地址用於網絡內部,對於不同內網,私有地址可重用,但私有地址無法實現不同”外網-內網“或"內網-內網"之間通信,因為私有地址不能被路由。它要與外網通信,必須經過NAT設備(如網關,路由器)。
vlan 1 默認作為交換機的管理vlan,本例中統一配置管理網段:192.168.255.0/24,將管理流量與業務流量區分開,避免混亂;
三層交換機基於OSI網絡層,常應用於網絡的核心層,作為用戶VLAN的網關,實現路由功能(默認關閉)。
DHCP服務器上存在多個地址池時,會與VLAN所在網段相匹配,選擇相應的地址池內進行IP分配;
DHCP服務器默認是假設在IP地址池中的所有地址都是可以分配給DHCP客戶端的,但實際上總有一些IP地址靜態分配給某個主機,因此須配置地址池分配排除列表,否則就會造成網絡中的IP地址沖突;
ACL是一種基於接口的指令控制列表,Cisco ACL的匹配順序為"自上而下,依次匹配",默認為拒絕所有,其ACL
控制方向有:入站In:已經到達路由器接口的數據包,但是還沒有被路由器處理;
出站Out:已經經過路由器的處理,正要離開路由器接口的數據包;
實驗設備:Router-PT 3臺;Switch_3560 1臺 ;Switch_2960 2臺;PC 3臺,Server 2臺;直通線,交叉線,串口線。
實驗拓撲:
實驗步驟:
新建Cisco PT 拓撲圖
如圖示,為各PC及Server設置靜態或動態IP地址
對各網段劃分VLAN,配置Access、Trunk鏈路 —— Switch.Part1
開啟各個網絡設備的telnet遠程管理 —— Switch.Part2、Router0.Part2
對內網各個網段配置SVI網關及默認路由 —— Switch0.Part3
配置DHCP服務器,使終端能自動獲取IP地址 —— Switch0.Part4
對各Router進行相關配置(接口IP、時鐘頻率、默認路由等) —— Router.Part1
測試內網設備連通性
配置出口路由器的NAT動態轉換及端口映射 —— Router0.Part3
映射內網服務器80端口,允許外網用戶訪問
測試網絡出口連通性
在核心交換機上配置ACL —— Switch0.Part5
禁止通過業務VLAN登陸網絡設備
禁止192.168.10.x 網段用戶訪問Web服務器
在出口路由器上配置ACL —— Router0.Part4
禁止外網遠程登陸到企業出口路由
# Server0和Server1 設置 192.168.200.100 192.168.200.101 //子網掩碼和網關 255.255.255.0 192.168.200.1 # 企業內PC終端網關及IP地址設置為DHCP自動獲取
/*=Part1 Swtch1 vlan、trunk配置 */ Switch>enable Switch#conf t Switch(config)#hostname Sw1 Sw1(config)#vlan 10 Sw1(config-vlan)#vlan 30 Sw1(config-vlan)#inter f0/1 Sw1(config-if)#sw mode trunk Sw1(config-if)#inter f0/2 Sw1(config-if)#sw acc vlan 10 Sw1(config-if)#inter f0/3 Sw1(config-if)#sw acc vlan 30 /*=Part2 遠程管理Telnet配置 */ Sw1#conf t Sw1(config)#inter vlan 1 Sw1(config-vlan)#ip add 192.168.255.11 255.255.255.0 Sw1(config-vlan)#no shutdown Sw1(config-vlan)#exit Sw1(config)#line vty 0 4 Sw1(config-line)#password cisco-Sw1 Sw1(config-line)#exit Sw1(config)#service password-encryption Sw1(config)#ip default-gateway 192.168.255.10 //確保回包順利轉發 Sw1#sh run
/*=Part1 Swtch2 vlan、trunk配置 */ Switch>enable Switch#conf t Switch(config)#hostname Sw2 Sw2(config)#vlan 200 Sw2(config-vlan)#inter f0/1 Sw2(config-if)#sw mode trunk Sw2(config-if)#inter f0/2 Sw2(config-if)#sw acc vlan 200 Sw2(config-if)#inter f0/3 Sw2(config-if)#sw acc vlan 200 /*=Part2 遠程管理Telnet配置 */ Sw2#conf t Sw2(config)#inter vlan 1 Sw2(config-vlan)#ip add 192.168.255.12 255.255.255.0 Sw2(config-vlan)#no shutdown Sw2(config-vlan)#exit Sw2(config)#line vty 0 4 Sw2(config-line)#password cisco-Sw2 Sw2(config-line)#exit Sw2(config)#service password-encryption Sw2(config)#ip default-gateway 192.168.255.10 //確保回包順利轉發 Sw2#sh run
/*=Part1 Switch0 vlan、trunk配置 */ Switch>enable Switch#conf t Switch(config)#hostname Sw0 Sw0(config)#vlan 10 Sw0(config-vlan)#vlan 30 Sw0(config-vlan)#vlan 200 Sw0(config-vlan)#vlan 654 Sw0(config-vlan)#inter f0/1 //配置接口f0/1 Sw0(config-if)switchport trunk encapsulation dot1q Sw0(config-if)#sw mode trunk Sw0(config-if)#inter f0/2 //配置接口f0/2 Sw0(config-if)switchport trunk encapsulation dot1q Sw0(config-if)#sw mode trunk Sw0(config-if)#inter f0/3 //配置接口f0/3 Sw0(config-if)#sw acc vlan 645 Sw0(config-if)#exit /*=Part2 遠程管理Telnet配置 */ Sw0(config)#inter vlan 1 Sw0(config-vlan)#ip add 192.168.255.10 255.255.255.0 Sw0(config-vlan)#no shutdown Sw0(config-vlan)#exit Sw0(config)#line vty 0 4 Sw0(config-line)#password cisco-Sw0 Sw0(config-line)#exit Sw0(config)#service password-encryption Sw0(config)# /*=Part3 SVI網關配置 */ Sw0(config)#ip routing //開啟路由轉發功能 Sw0(config-if)#inter vlan 10 Sw0(config-if)#ip address 192.168.10.1 255.255.255.0 Sw0(config-if)#inter vlan 30 Sw0(config-if)#ip address 192.168.30.1 255.255.255.0 Sw0(config-if)#inter vlan 200 Sw0(config-if)#ip address 192.168.200.1 255.255.255.0 Sw0(config-if)#inter vlan 654 Sw0(config-if)#ip address 192.168.254.1 255.255.255.0 Sw0(config-if)#exit Sw0(config)#ip route 0.0.0.0 0.0.0.0 192.168.254.2 //確保數據包順利發往出口 Sw0(config-if)#^Z Sw0#show ip route /*=Part4 DHCP服務器配置 */ Sw0(config)#service dhcp //啟用DHCP功能 Sw0(config)#ip dhcp pool vlan10 //配置DHCP地址池vlan10 Sw0(dhcp-config)#network 192.168.10.0 255.255.255.0 Sw0(dhcp-config)#default-router 192.168.10.1 Sw0(dhcp-config)#dns-server 114.114.114.114 Sw0(dhcp-config)#exit Sw0(config)#ip dhcp excluded-address 192.168.10.1 Sw0(config)#ip dhcp pool vlan30 //配置DHCP地址池vlan30 Sw0(dhcp-config)#network 192.168.30.0 255.255.255.0 Sw0(dhcp-config)#default-router 192.168.30.1 Sw0(dhcp-config)#dns-server 114.114.114.114 Sw0(dhcp-config)#exit Sw0(config)#ip dhcp excluded-address 192.168.30.1 Sw0(config-if)#^Z Sw0#show ip dhcp pool Sw0#show ip dhcp binding /*=Part5 訪問控制ACL配置 */ Sw0#config t Sw0(config)#ip access-list standard telnet //Telnet訪問限制 Sw0(config-std-nacl)#permit 192.168.255.0 0.0.0.255 Sw0(config-std-nacl)#permit any Sw0(config-std-nacl)#line vty 0 4 Sw0(config-line)#access-class telnet in Sw0(config-line)#exit //Web服務器訪問限制 Sw0(config)#access-list 100 deny tcp 192.168.10.0 0.0.0.255 host 192.168.200.101 eq www Sw0(config)#access-list 100 permit ip any any Sw0(config)#inter vlan 200 Sw0(config-if)#ip access-group 100 out Sw0(config-if)#^Z Sw0#sh run
/*=Part1 Router0 基本配置 */ Router>enable Router#conf t Router(config)#hostname R0 R0(config)#inter f0/0 R0(config-if)#ip address 192.168.254.2 255.255.255.0 //配置f0/0接口 R0(config-if)#no shutdown R0(config-if)#exit R0(config)#interface serial 2/0 R0(config-if)#ip address 12.1.1.1 255.255.255.0 //配置s2/0接口 R0(config-if)#no shutdown R0(config-if)#exit R0(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.6 //默認向出口下一跳轉發 R0(config)#ip route-s 192.168.0.0 16 192.168.254.1 //確保出口數據包順利發回內網 /*=Part2 遠程管理Telnet配置 */ R0(config)#line vty 0 4 R0(config-line)#password cisco-R0 R0(config-line)#exit R0(config)#service password-encryption /*=Part3 NAT映射配置 */ R0(config)#inter f0/0 R0(config-if)#ip nat inside //定義內部接口 R0(config)#inter s2/0 R0(config-if)#ip nat outside //定義外部接口 R0(config-if)#exit //配置企業出口的NAT映射 R0(config)#access-list 5 permit 192.168.0.0 0.0.255.255 R0(config)#ip nat pool napt 12.1.1.2 12.1.1.5 netmask 255.255.255.0 //註意:出口IP與公網IP並不一致 R0(config)#ip nat inside source list 5 pool napt overload //配置Web服務器的端口映射 R0(config)#ip nat inside source static tcp 192.168.200.100 80 12.1.1.2 80 R0(config)#^Z R0#show ip nat translations /*=Part4 訪問列表ACL配置 */ R0#conf t R0(config)#access-list 110 deny tcp any any eq telnet R0(config)#access-list 110 permit ip any any R0(config)#inter s2/0 R0(config-if)#ip access-group 110 in R0(config)#^Z R0#show run
/*=Part1 Router1 基本配置 */ Router>enable Router#conf t Router(config)#hostname R1 R1(config)#inter f0/0 R1(config-if)#ip address 8.8.8.1 255.255.255.0 //配置f0/0接口IP R1(config-if)#no shutdown R1(config-if)#exit R1(config)#inter s2/0 R1(config-if)#ip address 12.1.1.6 255.255.255.0 //配置s2/0接口IP R1(config-if)#clock rate 64000 //必須配置時鐘才可通信 R1(config-if)#no shutdown R1(config-if)#exit ... //運營商路由器不做外部本地地址的路由轉發,故此處不做其他相關配置。
# PC3 設置(用於外網測試) 8.8.8.8 //子網掩碼和網關 255.255.255.0 8.8.8.1
# 企業網測試略
實驗環境: Windows 10,Cisco PT 7.0
參考資料:CCNA學習指南(第7版)
Cisco PT模擬實驗(21) 兩層架構網絡搭建的綜合配置