Cisco PT模拟实验(21) 两层架构网络搭建的综合配置

实验目的: 

        熟悉网络的二层结构模型及原理

        掌握路由交换的基本配置方法

        掌握搭建两层架构网络的常用技术

实验背景

        情景:A公司企业网计划接入互联网,向 ISP申请了一条专线并拥有足够的公有IP地址,现要求搭建一个简易两层架构的企业内部网,具体构建需求如下:

        ①企业内网划分多个vlan ,减少广播域大小,提高网络稳定性

        ②将用户网关配置在核心交换机上

        ③搭建DHCP服务器,实现终端用户自动获取IP地址

        ④在出口路由器上配置NAPT映射

        ⑤将内网服务器的80端口映射,允许外网用户访问

        ⑥利用ACL技术增强网络安全性

技术原理

  • VLAN划分的实际作用并非隔离通信,而是通过缩小广播域从而减少广播流量、提高带宽利用率,使得网络运行更加稳定;

  • Trunk链路上默认允许所有VLAN通过,当过多不同VLAN转发经过时会占用不必要的带宽,可手动配置特定VLAN通过或利用VLAN修剪功能,从而提高网络稳定性;

  • 在互联网中,公有地址用于不同外网之间通信,全球唯一并且能在公网上被路由;而私有地址用于网络内部,对于不同内网,私有地址可重用,但私有地址无法实现不同”外网-内网“或"内网-内网"之间通信,因为私有地址不能被路由。它要与外网通信,必须经过NAT设备(如网关,路由器)。

  • vlan 1 默认作为交换机的管理vlan,本例中统一配置管理网段:192.168.255.0/24,将管理流量与业务流量区分开,避免混乱;

  • 三层交换机基于OSI网络层,常应用于网络的核心层,作为用户VLAN的网关,实现路由功能(默认关闭)。

  • DHCP服务器上存在多个地址池时,会与VLAN所在网段相匹配,选择相应的地址池内进行IP分配;

  • DHCP服务器默认是假设在IP地址池中的所有地址都是可以分配给DHCP客户端的,但实际上总有一些IP地址静态分配给某个主机,因此须配置地址池分配排除列表,否则就会造成网络中的IP地址冲突;

  • ACL是一种基于接口的指令控制列表,Cisco ACL的匹配顺序为"自上而下,依次匹配",默认为拒绝所有,其ACL控制方向有:

    • 入站In:已经到达路由器接口的数据包,但是还没有被路由器处理;

    • 出站Out:已经经过路由器的处理,正要离开路由器接口的数据包;


实验设备:Router-PT 3台;Switch_3560 1台 ;Switch_2960 2台;PC 3台,Server 2台;直通线,交叉线,串口线。

实验拓扑

Cisco PT模拟实验(21) 两层架构网络搭建的综合配置_第1张图片

实验步骤:

        新建Cisco PT 拓扑图

        如图示,为各PC及Server设置静态或动态IP地址

        对各网段划分VLAN,配置Access、Trunk链路 —— Switch.Part1

        开启各个网络设备的telnet远程管理  —— Switch.Part2、Router0.Part2

        对内网各个网段配置SVI网关及默认路由 —— Switch0.Part3

        配置DHCP服务器,使终端能自动获取IP地址 —— Switch0.Part4

        对各Router进行相关配置(接口IP、时钟频率、默认路由等) —— Router.Part1

        测试内网设备连通性

        配置出口路由器的NAT动态转换及端口映射 —— Router0.Part3

               映射内网服务器80端口,允许外网用户访问

        测试网络出口连通性

        在核心交换机上配置ACL —— Switch0.Part5

               禁止通过业务VLAN登陆网络设备

               禁止192.168.10.x 网段用户访问Web服务器

        在出口路由器上配置ACL —— Router0.Part4

               禁止外网远程登陆到企业出口路由


# Server0和Server1 设置
192.168.200.100
192.168.200.101
//子网掩码和网关
255.255.255.0
192.168.200.1
# 企业内PC终端网关及IP地址设置为DHCP自动获取

/*=Part1  Swtch1 vlan、trunk配置  */
Switch>enable
Switch#conf t
Switch(config)#hostname Sw1
Sw1(config)#vlan 10
Sw1(config-vlan)#vlan 30
Sw1(config-vlan)#inter f0/1
Sw1(config-if)#sw mode trunk
Sw1(config-if)#inter f0/2
Sw1(config-if)#sw acc vlan 10
Sw1(config-if)#inter f0/3
Sw1(config-if)#sw acc vlan 30
/*=Part2  远程管理Telnet配置  */
Sw1#conf t
Sw1(config)#inter vlan 1
Sw1(config-vlan)#ip add 192.168.255.11 255.255.255.0
Sw1(config-vlan)#no shutdown
Sw1(config-vlan)#exit
Sw1(config)#line vty 0 4
Sw1(config-line)#password cisco-Sw1
Sw1(config-line)#exit
Sw1(config)#service password-encryption 
Sw1(config)#ip default-gateway 192.168.255.10    //确保回包顺利转发
Sw1#sh run

/*=Part1  Swtch2 vlan、trunk配置  */
Switch>enable
Switch#conf t
Switch(config)#hostname Sw2
Sw2(config)#vlan 200
Sw2(config-vlan)#inter f0/1
Sw2(config-if)#sw mode trunk
Sw2(config-if)#inter f0/2
Sw2(config-if)#sw acc vlan 200
Sw2(config-if)#inter f0/3
Sw2(config-if)#sw acc vlan 200
/*=Part2  远程管理Telnet配置  */
Sw2#conf t
Sw2(config)#inter vlan 1
Sw2(config-vlan)#ip add 192.168.255.12 255.255.255.0
Sw2(config-vlan)#no shutdown
Sw2(config-vlan)#exit
Sw2(config)#line vty 0 4
Sw2(config-line)#password cisco-Sw2
Sw2(config-line)#exit
Sw2(config)#service password-encryption 
Sw2(config)#ip default-gateway 192.168.255.10        //确保回包顺利转发
Sw2#sh run
/*=Part1  Switch0 vlan、trunk配置  */
Switch>enable
Switch#conf t
Switch(config)#hostname Sw0
Sw0(config)#vlan 10
Sw0(config-vlan)#vlan 30
Sw0(config-vlan)#vlan 200
Sw0(config-vlan)#vlan 654
Sw0(config-vlan)#inter f0/1            //配置接口f0/1
Sw0(config-if)switchport trunk encapsulation dot1q 
Sw0(config-if)#sw mode trunk
Sw0(config-if)#inter f0/2              //配置接口f0/2
Sw0(config-if)switchport trunk encapsulation dot1q 
Sw0(config-if)#sw mode trunk
Sw0(config-if)#inter f0/3              //配置接口f0/3
Sw0(config-if)#sw acc vlan 645
Sw0(config-if)#exit
/*=Part2  远程管理Telnet配置  */
Sw0(config)#inter vlan 1
Sw0(config-vlan)#ip add 192.168.255.10 255.255.255.0
Sw0(config-vlan)#no shutdown
Sw0(config-vlan)#exit
Sw0(config)#line vty 0 4
Sw0(config-line)#password cisco-Sw0
Sw0(config-line)#exit
Sw0(config)#service password-encryption
Sw0(config)#
/*=Part3  SVI网关配置  */
Sw0(config)#ip routing                //开启路由转发功能
Sw0(config-if)#inter vlan 10
Sw0(config-if)#ip address 192.168.10.1 255.255.255.0
Sw0(config-if)#inter vlan 30
Sw0(config-if)#ip address 192.168.30.1 255.255.255.0
Sw0(config-if)#inter vlan 200
Sw0(config-if)#ip address 192.168.200.1 255.255.255.0
Sw0(config-if)#inter vlan 654
Sw0(config-if)#ip address 192.168.254.1 255.255.255.0
Sw0(config-if)#exit
Sw0(config)#ip route 0.0.0.0 0.0.0.0 192.168.254.2       //确保数据包顺利发往出口
Sw0(config-if)#^Z
Sw0#show ip route
/*=Part4  DHCP服务器配置  */
Sw0(config)#service dhcp           //启用DHCP功能
Sw0(config)#ip dhcp pool vlan10              //配置DHCP地址池vlan10
Sw0(dhcp-config)#network 192.168.10.0 255.255.255.0
Sw0(dhcp-config)#default-router 192.168.10.1
Sw0(dhcp-config)#dns-server 114.114.114.114
Sw0(dhcp-config)#exit
Sw0(config)#ip dhcp excluded-address 192.168.10.1
Sw0(config)#ip dhcp pool vlan30              //配置DHCP地址池vlan30
Sw0(dhcp-config)#network 192.168.30.0 255.255.255.0
Sw0(dhcp-config)#default-router 192.168.30.1
Sw0(dhcp-config)#dns-server 114.114.114.114
Sw0(dhcp-config)#exit
Sw0(config)#ip dhcp excluded-address 192.168.30.1
Sw0(config-if)#^Z
Sw0#show ip dhcp pool            
Sw0#show ip dhcp binding
/*=Part5  访问控制ACL配置  */
Sw0#config t
Sw0(config)#ip access-list standard telnet        //Telnet访问限制
Sw0(config-std-nacl)#permit 192.168.255.0 0.0.0.255
Sw0(config-std-nacl)#permit any
Sw0(config-std-nacl)#line vty 0 4
Sw0(config-line)#access-class telnet in 
Sw0(config-line)#exit                            //Web服务器访问限制
Sw0(config)#access-list 100 deny tcp 192.168.10.0 0.0.0.255 host 192.168.200.101 eq www
Sw0(config)#access-list 100 permit ip any any
Sw0(config)#inter vlan 200
Sw0(config-if)#ip access-group 100 out
Sw0(config-if)#^Z
Sw0#sh run
/*=Part1  Router0 基本配置  */
Router>enable
Router#conf t
Router(config)#hostname R0
R0(config)#inter f0/0
R0(config-if)#ip address 192.168.254.2 255.255.255.0    //配置f0/0接口
R0(config-if)#no shutdown
R0(config-if)#exit
R0(config)#interface serial 2/0
R0(config-if)#ip address 12.1.1.1 255.255.255.0         //配置s2/0接口
R0(config-if)#no shutdown
R0(config-if)#exit
R0(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.6                    //默认向出口下一跳转发
R0(config)#ip route-s 192.168.0.0 16 192.168.254.1              //确保出口数据包顺利发回内网
/*=Part2 远程管理Telnet配置  */
R0(config)#line vty 0 4
R0(config-line)#password cisco-R0
R0(config-line)#exit
R0(config)#service password-encryption 
/*=Part3  NAT映射配置  */
R0(config)#inter f0/0
R0(config-if)#ip nat inside         //定义内部接口
R0(config)#inter s2/0              
R0(config-if)#ip nat outside        //定义外部接口
R0(config-if)#exit
//配置企业出口的NAT映射
R0(config)#access-list 5 permit 192.168.0.0 0.0.255.255
R0(config)#ip nat pool napt 12.1.1.2 12.1.1.5 netmask 255.255.255.0    //注意:出口IP与公网IP并不一致
R0(config)#ip nat inside source list 5 pool napt overload
//配置Web服务器的端口映射
R0(config)#ip nat inside source static tcp 192.168.200.100 80 12.1.1.2 80
R0(config)#^Z
R0#show ip nat translations
/*=Part4  访问列表ACL配置  */
R0#conf t
R0(config)#access-list 110 deny tcp any any eq telnet
R0(config)#access-list 110 permit ip any any
R0(config)#inter s2/0
R0(config-if)#ip access-group 110 in
R0(config)#^Z
R0#show run
/*=Part1  Router1 基本配置  */
Router>enable
Router#conf t
Router(config)#hostname R1
R1(config)#inter f0/0
R1(config-if)#ip address 8.8.8.1 255.255.255.0     //配置f0/0接口IP
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#inter s2/0
R1(config-if)#ip address 12.1.1.6 255.255.255.0    //配置s2/0接口IP
R1(config-if)#clock rate 64000                     //必须配置时钟才可通信
R1(config-if)#no shutdown
R1(config-if)#exit
...
//运营商路由器不做外部本地地址的路由转发,故此处不做其他相关配置。
# PC3 设置(用于外网测试)
8.8.8.8
//子网掩码和网关
255.255.255.0
8.8.8.1
#  企业网测试略



实验环境: Windows 10,Cisco PT 7.0

参考资料:CCNA学习指南(第7版)