Cisco PT模拟实验(21) 两层架构网络搭建的综合配置
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Cisco PT模拟实验(21) 两层架构网络搭建的综合配置相关的知识,希望对你有一定的参考价值。
Cisco PT模拟实验(21) 两层架构网络搭建的综合配置
实验目的:
熟悉网络的二层结构模型及原理
掌握路由交换的基本配置方法
掌握搭建两层架构网络的常用技术
实验背景:
情景:A公司企业网计划接入互联网,向 ISP申请了一条专线并拥有足够的公有IP地址,现要求搭建一个简易两层架构的企业内部网,具体构建需求如下:
①企业内网划分多个vlan ,减少广播域大小,提高网络稳定性
②将用户网关配置在核心交换机上
③搭建DHCP服务器,实现终端用户自动获取IP地址
④在出口路由器上配置NAPT映射
⑤将内网服务器的80端口映射,允许外网用户访问
⑥利用ACL技术增强网络安全性
技术原理:
VLAN划分的实际作用并非隔离通信,而是通过缩小广播域从而减少广播流量、提高带宽利用率,使得网络运行更加稳定;
Trunk链路上默认允许所有VLAN通过,当过多不同VLAN转发经过时会占用不必要的带宽,可手动配置特定VLAN通过或利用VLAN修剪功能,从而提高网络稳定性;
在互联网中,公有地址用于不同外网之间通信,全球唯一并且能在公网上被路由;而私有地址用于网络内部,对于不同内网,私有地址可重用,但私有地址无法实现不同”外网-内网“或"内网-内网"之间通信,因为私有地址不能被路由。它要与外网通信,必须经过NAT设备(如网关,路由器)。
vlan 1 默认作为交换机的管理vlan,本例中统一配置管理网段:192.168.255.0/24,将管理流量与业务流量区分开,避免混乱;
三层交换机基于OSI网络层,常应用于网络的核心层,作为用户VLAN的网关,实现路由功能(默认关闭)。
DHCP服务器上存在多个地址池时,会与VLAN所在网段相匹配,选择相应的地址池内进行IP分配;
DHCP服务器默认是假设在IP地址池中的所有地址都是可以分配给DHCP客户端的,但实际上总有一些IP地址静态分配给某个主机,因此须配置地址池分配排除列表,否则就会造成网络中的IP地址冲突;
ACL是一种基于接口的指令控制列表,Cisco ACL的匹配顺序为"自上而下,依次匹配",默认为拒绝所有,其ACL控制方向有:
入站In:已经到达路由器接口的数据包,但是还没有被路由器处理;
出站Out:已经经过路由器的处理,正要离开路由器接口的数据包;
实验设备:Router-PT 3台;Switch_3560 1台 ;Switch_2960 2台;PC 3台,Server 2台;直通线,交叉线,串口线。
实验拓扑:
实验步骤:
新建Cisco PT 拓扑图
如图示,为各PC及Server设置静态或动态IP地址
对各网段划分VLAN,配置Access、Trunk链路 —— Switch.Part1
开启各个网络设备的telnet远程管理 —— Switch.Part2、Router0.Part2
对内网各个网段配置SVI网关及默认路由 —— Switch0.Part3
配置DHCP服务器,使终端能自动获取IP地址 —— Switch0.Part4
对各Router进行相关配置(接口IP、时钟频率、默认路由等) —— Router.Part1
测试内网设备连通性
配置出口路由器的NAT动态转换及端口映射 —— Router0.Part3
映射内网服务器80端口,允许外网用户访问
测试网络出口连通性
在核心交换机上配置ACL —— Switch0.Part5
禁止通过业务VLAN登陆网络设备
禁止192.168.10.x 网段用户访问Web服务器
在出口路由器上配置ACL —— Router0.Part4
禁止外网远程登陆到企业出口路由
# Server0和Server1 设置 192.168.200.100 192.168.200.101 //子网掩码和网关 255.255.255.0 192.168.200.1 # 企业内PC终端网关及IP地址设置为DHCP自动获取
/*=Part1 Swtch1 vlan、trunk配置 */ Switch>enable Switch#conf t Switch(config)#hostname Sw1 Sw1(config)#vlan 10 Sw1(config-vlan)#vlan 30 Sw1(config-vlan)#inter f0/1 Sw1(config-if)#sw mode trunk Sw1(config-if)#inter f0/2 Sw1(config-if)#sw acc vlan 10 Sw1(config-if)#inter f0/3 Sw1(config-if)#sw acc vlan 30 /*=Part2 远程管理Telnet配置 */ Sw1#conf t Sw1(config)#inter vlan 1 Sw1(config-vlan)#ip add 192.168.255.11 255.255.255.0 Sw1(config-vlan)#no shutdown Sw1(config-vlan)#exit Sw1(config)#line vty 0 4 Sw1(config-line)#password cisco-Sw1 Sw1(config-line)#exit Sw1(config)#service password-encryption Sw1(config)#ip default-gateway 192.168.255.10 //确保回包顺利转发 Sw1#sh run
/*=Part1 Swtch2 vlan、trunk配置 */ Switch>enable Switch#conf t Switch(config)#hostname Sw2 Sw2(config)#vlan 200 Sw2(config-vlan)#inter f0/1 Sw2(config-if)#sw mode trunk Sw2(config-if)#inter f0/2 Sw2(config-if)#sw acc vlan 200 Sw2(config-if)#inter f0/3 Sw2(config-if)#sw acc vlan 200 /*=Part2 远程管理Telnet配置 */ Sw2#conf t Sw2(config)#inter vlan 1 Sw2(config-vlan)#ip add 192.168.255.12 255.255.255.0 Sw2(config-vlan)#no shutdown Sw2(config-vlan)#exit Sw2(config)#line vty 0 4 Sw2(config-line)#password cisco-Sw2 Sw2(config-line)#exit Sw2(config)#service password-encryption Sw2(config)#ip default-gateway 192.168.255.10 //确保回包顺利转发 Sw2#sh run
/*=Part1 Switch0 vlan、trunk配置 */ Switch>enable Switch#conf t Switch(config)#hostname Sw0 Sw0(config)#vlan 10 Sw0(config-vlan)#vlan 30 Sw0(config-vlan)#vlan 200 Sw0(config-vlan)#vlan 654 Sw0(config-vlan)#inter f0/1 //配置接口f0/1 Sw0(config-if)switchport trunk encapsulation dot1q Sw0(config-if)#sw mode trunk Sw0(config-if)#inter f0/2 //配置接口f0/2 Sw0(config-if)switchport trunk encapsulation dot1q Sw0(config-if)#sw mode trunk Sw0(config-if)#inter f0/3 //配置接口f0/3 Sw0(config-if)#sw acc vlan 645 Sw0(config-if)#exit /*=Part2 远程管理Telnet配置 */ Sw0(config)#inter vlan 1 Sw0(config-vlan)#ip add 192.168.255.10 255.255.255.0 Sw0(config-vlan)#no shutdown Sw0(config-vlan)#exit Sw0(config)#line vty 0 4 Sw0(config-line)#password cisco-Sw0 Sw0(config-line)#exit Sw0(config)#service password-encryption Sw0(config)# /*=Part3 SVI网关配置 */ Sw0(config)#ip routing //开启路由转发功能 Sw0(config-if)#inter vlan 10 Sw0(config-if)#ip address 192.168.10.1 255.255.255.0 Sw0(config-if)#inter vlan 30 Sw0(config-if)#ip address 192.168.30.1 255.255.255.0 Sw0(config-if)#inter vlan 200 Sw0(config-if)#ip address 192.168.200.1 255.255.255.0 Sw0(config-if)#inter vlan 654 Sw0(config-if)#ip address 192.168.254.1 255.255.255.0 Sw0(config-if)#exit Sw0(config)#ip route 0.0.0.0 0.0.0.0 192.168.254.2 //确保数据包顺利发往出口 Sw0(config-if)#^Z Sw0#show ip route /*=Part4 DHCP服务器配置 */ Sw0(config)#service dhcp //启用DHCP功能 Sw0(config)#ip dhcp pool vlan10 //配置DHCP地址池vlan10 Sw0(dhcp-config)#network 192.168.10.0 255.255.255.0 Sw0(dhcp-config)#default-router 192.168.10.1 Sw0(dhcp-config)#dns-server 114.114.114.114 Sw0(dhcp-config)#exit Sw0(config)#ip dhcp excluded-address 192.168.10.1 Sw0(config)#ip dhcp pool vlan30 //配置DHCP地址池vlan30 Sw0(dhcp-config)#network 192.168.30.0 255.255.255.0 Sw0(dhcp-config)#default-router 192.168.30.1 Sw0(dhcp-config)#dns-server 114.114.114.114 Sw0(dhcp-config)#exit Sw0(config)#ip dhcp excluded-address 192.168.30.1 Sw0(config-if)#^Z Sw0#show ip dhcp pool Sw0#show ip dhcp binding /*=Part5 访问控制ACL配置 */ Sw0#config t Sw0(config)#ip access-list standard telnet //Telnet访问限制 Sw0(config-std-nacl)#permit 192.168.255.0 0.0.0.255 Sw0(config-std-nacl)#permit any Sw0(config-std-nacl)#line vty 0 4 Sw0(config-line)#access-class telnet in Sw0(config-line)#exit //Web服务器访问限制 Sw0(config)#access-list 100 deny tcp 192.168.10.0 0.0.0.255 host 192.168.200.101 eq www Sw0(config)#access-list 100 permit ip any any Sw0(config)#inter vlan 200 Sw0(config-if)#ip access-group 100 out Sw0(config-if)#^Z Sw0#sh run
/*=Part1 Router0 基本配置 */ Router>enable Router#conf t Router(config)#hostname R0 R0(config)#inter f0/0 R0(config-if)#ip address 192.168.254.2 255.255.255.0 //配置f0/0接口 R0(config-if)#no shutdown R0(config-if)#exit R0(config)#interface serial 2/0 R0(config-if)#ip address 12.1.1.1 255.255.255.0 //配置s2/0接口 R0(config-if)#no shutdown R0(config-if)#exit R0(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.6 //默认向出口下一跳转发 R0(config)#ip route-s 192.168.0.0 16 192.168.254.1 //确保出口数据包顺利发回内网 /*=Part2 远程管理Telnet配置 */ R0(config)#line vty 0 4 R0(config-line)#password cisco-R0 R0(config-line)#exit R0(config)#service password-encryption /*=Part3 NAT映射配置 */ R0(config)#inter f0/0 R0(config-if)#ip nat inside //定义内部接口 R0(config)#inter s2/0 R0(config-if)#ip nat outside //定义外部接口 R0(config-if)#exit //配置企业出口的NAT映射 R0(config)#access-list 5 permit 192.168.0.0 0.0.255.255 R0(config)#ip nat pool napt 12.1.1.2 12.1.1.5 netmask 255.255.255.0 //注意:出口IP与公网IP并不一致 R0(config)#ip nat inside source list 5 pool napt overload //配置Web服务器的端口映射 R0(config)#ip nat inside source static tcp 192.168.200.100 80 12.1.1.2 80 R0(config)#^Z R0#show ip nat translations /*=Part4 访问列表ACL配置 */ R0#conf t R0(config)#access-list 110 deny tcp any any eq telnet R0(config)#access-list 110 permit ip any any R0(config)#inter s2/0 R0(config-if)#ip access-group 110 in R0(config)#^Z R0#show run
/*=Part1 Router1 基本配置 */ Router>enable Router#conf t Router(config)#hostname R1 R1(config)#inter f0/0 R1(config-if)#ip address 8.8.8.1 255.255.255.0 //配置f0/0接口IP R1(config-if)#no shutdown R1(config-if)#exit R1(config)#inter s2/0 R1(config-if)#ip address 12.1.1.6 255.255.255.0 //配置s2/0接口IP R1(config-if)#clock rate 64000 //必须配置时钟才可通信 R1(config-if)#no shutdown R1(config-if)#exit ... //运营商路由器不做外部本地地址的路由转发,故此处不做其他相关配置。
# PC3 设置(用于外网测试) 8.8.8.8 //子网掩码和网关 255.255.255.0 8.8.8.1
# 企业网测试略
实验环境: Windows 10,Cisco PT 7.0
参考资料:CCNA学习指南(第7版)
以上是关于Cisco PT模拟实验(21) 两层架构网络搭建的综合配置的主要内容,如果未能解决你的问题,请参考以下文章