Cisco PT模擬實驗(21) 兩層架構網絡搭建的綜合配置

Cisco PT模擬實驗(21) 兩層架構網絡搭建的綜合配置

實驗目的： 

        熟悉網絡的二層結構模型及原理

        掌握路由交換的基本配置方法

        掌握搭建兩層架構網絡的經常使用技術

實驗背景：

        情景：A公司企業網計劃接入互聯網，向 ISP申請了一條專線並擁有足夠的公有IP地址，現要求搭建一個簡易兩層架構的企業內部網，具體構建需求以下：

        ①企業內網劃分多個vlan ，減小廣播域大小，提升網絡穩定性

        ②將用戶網關配置在覈心交換機上

        ③搭建DHCP服務器，實現終端用戶自動獲取IP地址

        ④在出口路由器上配置NAPT映射

        ⑤將內網服務器的80端口映射，容許外網用戶訪問

        ⑥利用ACL技術加強網絡安全性

技術原理：

• VLAN劃分的實際做用並不是隔離通訊，而是經過縮小廣播域從而減小廣播流量、提升帶寬利用率，使得網絡運行更加穩定；

• Trunk鏈路上默認容許全部VLAN經過，當過多不一樣VLAN轉發通過時會佔用沒必要要的帶寬，可手動配置特定VLAN經過或利用VLAN修剪功能，從而提升網絡穩定性；

• 在互聯網中，公有地址用於不一樣外網之間通訊，全球惟一而且能在公網上被路由；而私有地址用於網絡內部，對於不一樣內網，私有地址可重用，但私有地址沒法實現不一樣」外網-內網「或"內網-內網"之間通訊，由於私有地址不能被路由。它要與外網通訊，必須通過NAT設備（如網關，路由器）。

• vlan 1 默認做爲交換機的管理vlan，本例中統一配置管理網段：192.168.255.0/24，將管理流量與業務流量區分開，避免混亂；

• 三層交換機基於OSI網絡層，常應用於網絡的核心層，做爲用戶VLAN的網關，實現路由功能（默認關閉）。
  

• DHCP服務器上存在多個地址池時，會與VLAN所在網段相匹配，選擇相應的地址池內進行IP分配；

• DHCP服務器默認是假設在IP地址池中的全部地址都是能夠分配給DHCP客戶端的，但實際上總有一些IP地址靜態分配給某個主機，所以須配置地址池分配排除列表，不然就會形成網絡中的IP地址衝突；

• ACL是一種基於接口的指令控制列表，Cisco ACL的匹配順序爲"自上而下，依次匹配"，默認爲拒絕全部，其ACL控制方向有：

• 入站In：已經到達路由器接口的數據包，可是尚未被路由器處理；

• 出站Out：已經通過路由器的處理，正要離開路由器接口的數據包；
  

實驗設備：Router-PT 3臺；Switch_3560 1臺 ；Switch_2960 2臺；PC 3臺，Server 2臺；直通線，交叉線，串口線。

實驗拓撲：

實驗步驟：

        新建Cisco PT 拓撲圖

        如圖示，爲各PC及Server設置靜態或動態IP地址

        對各網段劃分VLAN，配置Access、Trunk鏈路 —— Switch.Part1

        開啓各個網絡設備的telnet遠程管理  —— Switch.Part二、Router0.Part2

        對內網各個網段配置SVI網關及默認路由 —— Switch0.Part3

        配置DHCP服務器，使終端能自動獲取IP地址 —— Switch0.Part4

        對各Router進行相關配置(接口IP、時鐘頻率、默認路由等) —— Router.Part1

        測試內網設備連通性

        配置出口路由器的NAT動態轉換及端口映射 —— Router0.Part3

               映射內網服務器80端口，容許外網用戶訪問

        測試網絡出口連通性

        在覈心交換機上配置ACL —— Switch0.Part5

               禁止經過業務VLAN登錄網絡設備

               禁止192.168.10.x 網段用戶訪問Web服務器

        在出口路由器上配置ACL —— Router0.Part4

               禁止外網遠程登錄到企業出口路由

# Server0和Server1 設置
192.168.200.100
192.168.200.101
//子網掩碼和網關
255.255.255.0
192.168.200.1
# 企業內PC終端網關及IP地址設置爲DHCP自動獲取

/*=Part1  Swtch1 vlan、trunk配置  */
Switch>enable
Switch#conf t
Switch(config)#hostname Sw1
Sw1(config)#vlan 10
Sw1(config-vlan)#vlan 30
Sw1(config-vlan)#inter f0/1
Sw1(config-if)#sw mode trunk
Sw1(config-if)#inter f0/2
Sw1(config-if)#sw acc vlan 10
Sw1(config-if)#inter f0/3
Sw1(config-if)#sw acc vlan 30
/*=Part2  遠程管理Telnet配置  */
Sw1#conf t
Sw1(config)#inter vlan 1
Sw1(config-vlan)#ip add 192.168.255.11 255.255.255.0
Sw1(config-vlan)#no shutdown
Sw1(config-vlan)#exit
Sw1(config)#line vty 0 4
Sw1(config-line)#password cisco-Sw1
Sw1(config-line)#exit
Sw1(config)#service password-encryption 
Sw1(config)#ip default-gateway 192.168.255.10    //確保回包順利轉發
Sw1#sh run

/*=Part1  Swtch2 vlan、trunk配置  */
Switch>enable
Switch#conf t
Switch(config)#hostname Sw2
Sw2(config)#vlan 200
Sw2(config-vlan)#inter f0/1
Sw2(config-if)#sw mode trunk
Sw2(config-if)#inter f0/2
Sw2(config-if)#sw acc vlan 200
Sw2(config-if)#inter f0/3
Sw2(config-if)#sw acc vlan 200
/*=Part2  遠程管理Telnet配置  */
Sw2#conf t
Sw2(config)#inter vlan 1
Sw2(config-vlan)#ip add 192.168.255.12 255.255.255.0
Sw2(config-vlan)#no shutdown
Sw2(config-vlan)#exit
Sw2(config)#line vty 0 4
Sw2(config-line)#password cisco-Sw2
Sw2(config-line)#exit
Sw2(config)#service password-encryption 
Sw2(config)#ip default-gateway 192.168.255.10        //確保回包順利轉發
Sw2#sh run

/*=Part1  Switch0 vlan、trunk配置  */
Switch>enable
Switch#conf t
Switch(config)#hostname Sw0
Sw0(config)#vlan 10
Sw0(config-vlan)#vlan 30
Sw0(config-vlan)#vlan 200
Sw0(config-vlan)#vlan 654
Sw0(config-vlan)#inter f0/1            //配置接口f0/1
Sw0(config-if)switchport trunk encapsulation dot1q 
Sw0(config-if)#sw mode trunk
Sw0(config-if)#inter f0/2              //配置接口f0/2
Sw0(config-if)switchport trunk encapsulation dot1q 
Sw0(config-if)#sw mode trunk
Sw0(config-if)#inter f0/3              //配置接口f0/3
Sw0(config-if)#sw acc vlan 645
Sw0(config-if)#exit
/*=Part2  遠程管理Telnet配置  */
Sw0(config)#inter vlan 1
Sw0(config-vlan)#ip add 192.168.255.10 255.255.255.0
Sw0(config-vlan)#no shutdown
Sw0(config-vlan)#exit
Sw0(config)#line vty 0 4
Sw0(config-line)#password cisco-Sw0
Sw0(config-line)#exit
Sw0(config)#service password-encryption
Sw0(config)#
/*=Part3  SVI網關配置  */
Sw0(config)#ip routing                //開啓路由轉發功能
Sw0(config-if)#inter vlan 10
Sw0(config-if)#ip address 192.168.10.1 255.255.255.0
Sw0(config-if)#inter vlan 30
Sw0(config-if)#ip address 192.168.30.1 255.255.255.0
Sw0(config-if)#inter vlan 200
Sw0(config-if)#ip address 192.168.200.1 255.255.255.0
Sw0(config-if)#inter vlan 654
Sw0(config-if)#ip address 192.168.254.1 255.255.255.0
Sw0(config-if)#exit
Sw0(config)#ip route 0.0.0.0 0.0.0.0 192.168.254.2       //確保數據包順利發往出口
Sw0(config-if)#^Z
Sw0#show ip route
/*=Part4  DHCP服務器配置  */
Sw0(config)#service dhcp           //啓用DHCP功能
Sw0(config)#ip dhcp pool vlan10              //配置DHCP地址池vlan10
Sw0(dhcp-config)#network 192.168.10.0 255.255.255.0
Sw0(dhcp-config)#default-router 192.168.10.1
Sw0(dhcp-config)#dns-server 114.114.114.114
Sw0(dhcp-config)#exit
Sw0(config)#ip dhcp excluded-address 192.168.10.1
Sw0(config)#ip dhcp pool vlan30              //配置DHCP地址池vlan30
Sw0(dhcp-config)#network 192.168.30.0 255.255.255.0
Sw0(dhcp-config)#default-router 192.168.30.1
Sw0(dhcp-config)#dns-server 114.114.114.114
Sw0(dhcp-config)#exit
Sw0(config)#ip dhcp excluded-address 192.168.30.1
Sw0(config-if)#^Z
Sw0#show ip dhcp pool            
Sw0#show ip dhcp binding
/*=Part5  訪問控制ACL配置  */
Sw0#config t
Sw0(config)#ip access-list standard telnet        //Telnet訪問限制
Sw0(config-std-nacl)#permit 192.168.255.0 0.0.0.255
Sw0(config-std-nacl)#permit any
Sw0(config-std-nacl)#line vty 0 4
Sw0(config-line)#access-class telnet in 
Sw0(config-line)#exit                            //Web服務器訪問限制
Sw0(config)#access-list 100 deny tcp 192.168.10.0 0.0.0.255 host 192.168.200.101 eq www
Sw0(config)#access-list 100 permit ip any any
Sw0(config)#inter vlan 200
Sw0(config-if)#ip access-group 100 out
Sw0(config-if)#^Z
Sw0#sh run

/*=Part1  Router0 基本配置  */
Router>enable
Router#conf t
Router(config)#hostname R0
R0(config)#inter f0/0
R0(config-if)#ip address 192.168.254.2 255.255.255.0    //配置f0/0接口
R0(config-if)#no shutdown
R0(config-if)#exit
R0(config)#interface serial 2/0
R0(config-if)#ip address 12.1.1.1 255.255.255.0         //配置s2/0接口
R0(config-if)#no shutdown
R0(config-if)#exit
R0(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.6                    //默認向出口下一跳轉發
R0(config)#ip route-s 192.168.0.0 16 192.168.254.1              //確保出口數據包順利發回內網
/*=Part2 遠程管理Telnet配置  */
R0(config)#line vty 0 4
R0(config-line)#password cisco-R0
R0(config-line)#exit
R0(config)#service password-encryption 
/*=Part3  NAT映射配置  */
R0(config)#inter f0/0
R0(config-if)#ip nat inside         //定義內部接口
R0(config)#inter s2/0              
R0(config-if)#ip nat outside        //定義外部接口
R0(config-if)#exit
//配置企業出口的NAT映射
R0(config)#access-list 5 permit 192.168.0.0 0.0.255.255
R0(config)#ip nat pool napt 12.1.1.2 12.1.1.5 netmask 255.255.255.0    //注意：出口IP與公網IP並不一致
R0(config)#ip nat inside source list 5 pool napt overload
//配置Web服務器的端口映射
R0(config)#ip nat inside source static tcp 192.168.200.100 80 12.1.1.2 80
R0(config)#^Z
R0#show ip nat translations
/*=Part4  訪問列表ACL配置  */
R0#conf t
R0(config)#access-list 110 deny tcp any any eq telnet
R0(config)#access-list 110 permit ip any any
R0(config)#inter s2/0
R0(config-if)#ip access-group 110 in
R0(config)#^Z
R0#show run

/*=Part1  Router1 基本配置  */
Router>enable
Router#conf t
Router(config)#hostname R1
R1(config)#inter f0/0
R1(config-if)#ip address 8.8.8.1 255.255.255.0     //配置f0/0接口IP
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#inter s2/0
R1(config-if)#ip address 12.1.1.6 255.255.255.0    //配置s2/0接口IP
R1(config-if)#clock rate 64000                     //必須配置時鐘纔可通訊
R1(config-if)#no shutdown
R1(config-if)#exit
...
//運營商路由器不作外部本地地址的路由轉發，故此處不作其餘相關配置。

# PC3 設置(用於外網測試)
8.8.8.8
//子網掩碼和網關
255.255.255.0
8.8.8.1

#  企業網測試略

---

實驗環境： Windows 10，Cisco PT 7.0

參考資料：CCNA學習指南（第7版）