补充:基于路由器、交换机、三层交换机、vlan、vtp、ARP、HSRP、ACL、NAT、DNS、DHCP的综合实验
实验拓扑图:
实验要求:
(互联网中的路由器不允许配置去往私网地址的路由!)
1、整个内网(总部与分公司)内部全部互通,并内网全部可以上网,其中北京总部
员工要求自动获取IP地址,验证上网方法,所有员工可以通过域名 http://www.baidu.com来访问百度网站!其中上网过程中,要求断掉拓扑中的1、 2、3、4号线中任意一根,不断网
2、将总部内网的web服务器发布出去,并成功在外网的PC访问其网站。
3、要求市场部禁止上网!
4、禁止总部任何部门(服务器除外)访问财务部,但不影响财务部上网
5、要求所有分公司只能访问总部的服务器区及上网
实验思路:
碰到这种复杂的,要先确定好思路配一步检查一步确保正确
通过我缜密的分析和参考,得到的思路大致如下:
1、完成对分公司的网络配置:
1)给俩pc配置IP
2)配置路由
测试下是否成功:ping
2、实现总公司内部网络连通以及与分公司的网络连通
1)配trunk
2)vtp和vlan
3)三层路由器上起vlan网关
4)配置路由
5)配置DHCP使各主机获取IP
测试内外网互通了没:ping
3、内外网互通
1)配置HSRP(热备份路由协议)
2)配置路由
3)NAT
测试:
4、网站发布:
1)搭建公司内部的网站
2)在控制公司内外网的路由器上做静态NAT,我们选择 Router4,新的公网IP为:100.1.1.3,只允许80端口
的数据通过
3)配置DNS服务器
测试:外网访问内网网站
5、通过ACL包过滤技术对网络流量进行控制
1)要求市场部禁止上网
2)禁止总部任何部门(服务器除外)访问财务部,但不影 响财务部上网
3)要求所有分公司只能访问总部的服务器区以及上网
开始啦开始啦,下面要开始配置啦:
1、完成对分公司的网络配置:
1)给pc配置IP
DNS指向外网的DNS服务器,以便以后访问外网的web服务器
2)配置路由器IP和路由
Router0:
1 en 2 conf t 3 int f0/0 4 ip add 172.16.1.254 255.255.255.0 5 no sh 6 exit 7 8 int f0/1 9 ip add 10.1.1.1 255.255.255.0 10 no sh 11 exit 12 13 #配置路由 14 ip route 0.0.0.0 0.0.0.0 10.1.1.2
Router1:
1 en 2 conf t 3 4 int f0/0 5 ip add 172.16.2.254 255.255.255.0 6 no sh 7 exit 8 9 int f0/1 10 ip add 10.2.2.1 255.255.255.0 11 no sh 12 exit 13 14 ip route 0.0.0.0 0.0.0.0 10.2.2.2
Router2:
1 en 2 conf t 3 4 int f0/0 5 ip add 10.2.2.2 255.255.255.0 6 no sh 7 exit 8 9 int f0/1 10 ip add 10.1.1.2 255.255.255.0 11 no sh 12 exit 13 14 int f1/0 15 ip add 10.3.3.1 255.255.255.0 16 no sh 17 exit 18 19 do sh ip route #查看下路由开始配 20 21 ip route 172.16.1.0 255.255.255.0 10.1.1.1 22 ip route 172.16.2.0 255.255.255.0 10.2.2.1 23 ip route 0.0.0.0 0.0.0.0 10.3.3.2
Router3:
1 en 2 conf t 3 4 int f0/0 5 ip add 10.3.3.2 255.255.255.0 6 no sh 7 exit 8 9 int f0/1 10 ip add 192.168.8.1 255.255.255.0 11 no sh 12 exit 13 14 ip route 10.1.1.0 255.255.255.0 10.3.3.1 15 ip route 10.2.2.0 255.255.255.0 10.3.3.1 16 ip route 172.16.0.0 255.255.0.0 10.3.3.1 17 ip route 0.0.0.0 0.0.0.0 192.168.8.2
测试网络连通性:
1)pc0 ping pc1
2)pc0 ping R3的F0/0端口的IP
3)pc1 ping R3的F0/0端口的IP
已验证,成功实现网络互通。
2、实现总公司内部网络连通以及与分公司的网络互通
1)trunk(打通通路)
switch2:
1 en 2 conf t 3 int f0/1 4 sw mode trunk 5 exit
switch3:
1 en 2 conf t 3 int f0/1 4 sw mode trunk 5 exit
switch4:
1 en 2 conf t 3 int f0/1 4 sw mode trunk 5 exit
三层交换机:
en conf t int range f0/1-3 sw tr en dot sw mode trunk exit
2)VTP和vlan
三层交换机:
1 en 2 conf t 3 vtp domain wencoll 4 vlan 10 5 vlan 20 6 vlan 30 7 vlan 40 8 vlan 50 9 vlan 60 10 no vlan 60 11 exit 12 13 inf range f0/5-6 14 sw ac vl 60 15 exit
Switch2:
1 int f0/2 2 sw ac vlan 10 3 exit 4 5 int f0/3 6 sw ac vlan 20 7 exit
Switch3:
1 int f0/2 2 sw ac vlan 30 3 exit 4 5 int f0/3 6 sw ac vlan 40 7 exit
Switch4:
1 int range f0/2-3 2 sw ac vlan 50 3 exit
3)三层交换机上起网关
en conf t int vlan 10 ip add 192.168.1.254 255.255.255.0 no sh exit int vlan 20 ip add 192.168.2.254 255.255.255.0 no sh exit int vlan 30 ip add 192.168.3.254 255.255.255.0 no sh exit int vlan 40 ip add 192.168.4.254 255.255.255.0 no sh exit int vlan 50 ip add 192.168.5.254 255.255.255.0 no sh exit int vlan 60 ip add 192.168.6.254 255.255.255.0 no sh exit
4)配置路由
三层交换机:
en conf t ip routing int f0/4 no sw ip add 192.168.8.2 255.255.255.0 no sh exit ip route 172.16.0.0 255.255.0.0 192.168.8.1 ip route 10.1.1.0 255.255.255.0 192.168.8.1 ip route 10.2.2.0 255.255.255.0 192.168.8.1 ip route 10.3.3.0 255.255.255.0 192.168.8.1
5)配置DHCP服务器
三层交换机
1 int vlan 10 2 ip helper 192.168.5.1 #DHCP服务器地址 3 int vlan 20 4 ip helper 192.168.5.1 5 int vlan 30 6 ip helper 192.168.5.1 7 int vlan 40 8 ip helper 192.168.5.1
Serrver0:4个van网段都配置好后,点击开启服务。
让总公司的所有pc都通过DHCP自动获取IP,最后测试全公司互联互通
3、内外网互通
1)配置HSRP(热备份路由协议)
这个地方算此次实验的难点,详细请看下图:
在本实验中路由器R4和R5连接在三层交换机的二层端口上,并划分到同一vlan,而把三层交换机中的路由部分看成一个pc,去选择要走R4或R5那条路
Router4:
配置其为活跃路由,自己的IP:192.168.6.252,指向的虚拟路由为192.168.6.250
走向内网的数据路由器的下一跳地址为192.168.6.254 (vlan60的网关)
1 en 2 conf t 3 int f0/0 4 ip add 192.168.6.252 5 no sh 6 standy 1 ip 192.168.6.250 7 standy 1 pri 200 8 standy 1 pree 9 standy 1 tra f0/1 10 exit 11 int f0/1 12 ip add 100.1.1.1 255.255.255.0 13 no sh 14 ex 15 16 17 ip route 192.168.0.0 255.255.0.0 192.168.6.254 18 ip route 172.16.0.0 255.255.0.0 192.168.6.254
Route5:
配置其为备份路由,自己的IP地址:192.168.6.253,虚拟路由指向192.168.6.250.
同样走内网的数据下一跳指向192.168.6.254
1 en 2 conf t 3 int f0/0 4 ip add 192.168.6.253 255.255.255.0 5 no sh 6 standby 1 ip 192.168.6.250 7 standby 1 pri 195 8 standby 1 pree 9 standby 1 tr f0/1 10 ex 11 int f0/1 12 ip add 110.1.1.1 255.255.255.0 13 no sh 14 ex 15 ip route 192.168.0.0 255.255.0.0 192.168.6.254 16 ip route 172.16.0.0 255.255.0.0 192.168.6.254
2)配置外网路由:
三层交换机:
1 ip route 0.0.0.0 0.0.0.0 192.168.6.250 #下一跳为虚拟路由
Router6:
en conf t int f0/0 ip add 100.1.1.2 255.255.255.0 no sh int f0/1 ip add 110.1.1.2 255.255.255.0 no sh int f01/0 ip add 130.1.1.1 255.255.255.0 no sh int f1/1 ip add 120.1.1.254 255.255.255.0 no sh ip route 140.1.1.0 255.255.255.0 130.1.1.2
Router7:
1 en 2 conf t 3 int f0/0 4 ip add 130.1.1.2 255.255.255.0 5 no sh 6 int f0/1 7 ip add 140.1.1.254 255.255.255.0 8 no sh 9 ip route 0.0.0.0 0.0.0.0 130.1.1.1
Laptop0:
3)NAT
Router4:
1 int f0/0 2 ip nat inside 3 ex 4 int f0/1 5 ip nat outside 6 ex 7 8 acc 1 permit 192.168.0.0 0.0.255.255 9 acc 1 permit 172.16.1.0 0.255.255.255 10 acc 1 permit 172.16.2.0 0.255.255.255 11 12 ip nat inside sou list 1 int f0/1 overload
Router5:
1 int f0/0 2 ip nat inside 3 ex 4 int f0/1 5 ip nat outside 6 ex 7 8 acc 1 permit 192.168.0.0 0.0.255.255 9 acc 1 permit 172.16.1.0 0.255.255.255 10 acc 1 permit 172.16.2.0 0.255.255.255 11 12 ip nat inside sou list 1 int f0/1 overload
测试:
使用分公司的pc ping 140.1.1.1
并依次断开1、2、3、4线路测试HSRP是否成功
4)网站搭建:
内网的服务器中把HTTP服务打开即可。
1)在控制公司内外网的路由器上做静态NAT(为了外网可以访问内网的服务器),我们选择Router4,新的公网IP为:100.1.1.3,只允许80端口的数据通过
Router4:
1 ip nat inside source static tcp 192.168.5.2 80 100.1.1.3 80
2)配置DNS服务器
百度的DNS服务器:
注:这里会出现一个新的问题:我们公司内部的PC访问公司的网站,我们给公司员工的DNS都指向了140.1.1.1,如果公司的员工输入域名,获取到的ip地址是100.1.1.3,而我们公司的员工又在内网,无法通过NAT转换IP。
解决方法:再申请一个域名,也就是qf.com,让他的IP指向:192.168.5.2。这样员工在公司就可以通过qf.com来访问了
以上:是在实验环境下的解决办法,在现实中,一般公司自己都会有DNS服务器,公司内部所有的员工都指向自己的DNS服务器,我们只要在这个服务器上设置转发器到外网的DNS服务器。这样就可以解决上述问题了。(自己公司服务器上有的就直接告诉你,没有的本地服务器会去外网找其他DNS服务器)
具体配置自行百度,不难
5、通过ACL包过滤技术对流量进行控制
1)要求市场部禁止上网
因为只要市场部不能上网,也就是不能与外网互通,只需要在vlan60网段编写组策略:阻止市场部的流量发出即可
1 ip acc ex kz-shb 2 deny ip 192.168.1.0 0.0.0.255 any 3 permit any any 4 ex 5 int vlan 60 6 ip access-group kz-shb ou
2)禁止总部任何部门(服务器除外)访问财务部,但不影响财务部上网
只需要在财务部所在的网段也就是vlan40,编写组策略:只允许vlan10、vlan20、vlan30网段的流量进入,最后允许即可
ip acc ex kz-cwb deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255 deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 permit any any int vlan 40 ip access-group kz-cwb in ex
3)要求所有分公司只能访问总部的服务器区即上网
浙公网安备 33010602011771号