基于cisco 模拟公司网络拓扑

基本功能:
1.vlan划分:将每个部门划分成一个vlan,相互隔离广播域与冲突域。
2.Dhcp分配地址:在三层交换机为每个vlan配置dhcp,每个部门可动态获取自己网段的ip。
3.三层交换机保证不同vlan之间的通信。
4.server0可当做内网服务器,内网ip为172.16.100.1,同时作为DNS域名解析服务器。将内网服务 www.123.c om 转换为172.16.100.1 。将外网服务器baidu.c om(模拟百度服务器)转换为8.8.8.8 。
5.内部用户和外部用户均可通过www.123.com访问公司web服务器
6.Route0充当边界路由,与外网连接。通过nat,将内网ip转换为外网共有ip。互联网出口地址为64.1.1.1/29,ISP网关为64.1.1.6 。
额外功能:
Acl包过滤实现权限控制:
1.除研发部门外,所有部门均可上互联网
2.禁止技术部和销售部的互访,其他部门间要互联互通
3.技术部PC可管理二层及三层交换机,且只允许技术部PC管理。

实验拓扑:
基于cisco 模拟公司网络拓扑_第1张图片

基本配置:

二层交换机

配置比较简单,在二层交换上配置vlan20 vlan30 vlan40 分别与对应端口绑定。Fa0/24设置为trunk口。
Vlan20
Vlan30
Vlan40
!
interface FastEthernet0/1
switchport access vlan 20
!
interface FastEthernet0/2
switchport access vlan 30
!
interface FastEthernet0/3
switchport access vlan 40
!
!
interface FastEthernet0/24
switchport mode trunk
!

三层交换机:
在三层交换创建vlan10 vlan20 vlan30 vlan40 vlan100。设置相应的配置:
Vlan10
Vlan20
Vlan30
Vlan40
Vlan100
!
interface FastEthernet0/1
no switchport
ip address 192.168.1.1 255.255.255.0
!
!
interface FastEthernet0/10
no switchport
ip address 172.16.100.254 255.255.255.0
!
interface FastEthernet0/23
switchport access vlan 10
!
interface FastEthernet0/24
switchport trunk encapsulation dot1q
switchport mode trunk
!
为每个vlan配置主机的网关:
!
interface Vlan10
ip address 192.168.10.254 255.255.255.0
!
!
interface Vlan20
ip address 192.168.20.254 255.255.255.0
!
!
interface Vlan30
ip address 192.168.30.254 255.255.255.0
!
!
interface Vlan40
ip address 192.168.40.254 255.255.255.0
!

为每个vlan配置dhcp:(命令可直接复制)
!
ip dhcp pool vlan10
network 192.168.10.0 255.255.255.0
default-router 192.168.10.254
dns-server 172.16.100.1
!
!
ip dhcp pool vlan20
network 192.168.20.0 255.255.255.0
default-router 192.168.20.254
dns-server 172.16.100.1
!
!
ip dhcp pool vlan30
network 192.168.30.0 255.255.255.0
default-router 192.168.30.254
dns-server 172.16.100.1
!
!
ip dhcp pool vlan40
network 192.168.40.0 255.255.255.0
default-router 192.168.40.254
dns-server 172.16.100.1
!
最后开启路由功能:ip routing (千万不要忘记,不然无法通信)

服务器配置,这个服务器充当dns服务器也充当内部服务器。
基本的ip配置:
基于cisco 模拟公司网络拓扑_第2张图片
添加两条配置dns:
基于cisco 模拟公司网络拓扑_第3张图片服务器的内容可在http中添加html文件。

此时每个部门的pc设置成DHCP就可以获取地址,且每个部门可以通信,也可以与内部服务器连通。
基于cisco 模拟公司网络拓扑_第4张图片基于cisco 模拟公司网络拓扑_第5张图片基于cisco 模拟公司网络拓扑_第6张图片

与外网连接配置

此时内网的基本配置完成,开始配置NAT与外网连接
三层交换机
先在三层交换机配置一条默认路由,将往外网的数据丢给边界路由。注意:默认路由一台设备只能向一个方向,不能配两个方向的默认路由,不然会丢包。
ip route 0.0.0.0 0.0.0.0 192.168.1.2

边界路由器(route0)的配置
先配置接口的地址:
Ena
Conf t
interface FastEthernet0/0
ip address 64.1.1.1 255.255.255.248
!
interface FastEthernet0/1
ip address 192.168.1.2 255.255.255.0
!
配置nat:
先用acl配置感兴趣流:
access-list 5 permit 192.168.0.0 0.0.255.255
创建nat池:
ip nat pool ck 64.1.1.2 64.1.1.5 netmask 255.255.255.0
将nat池与acl关联:
ip nat inside source list 5 pool ck overload
配置出入接口:
interface FastEthernet0/0
Ip nat outside
interface FastEthernet0/1
Ip nat inside
再配置一条默认路由,将数据包丢给isp:
ip route 0.0.0.0 0.0.0.0 64.1.1.6
再配置回去的路由:
ip route 192.168.0.0 255.255.0.0 192.168.1.1
ip route 172.16.100.0 255.255.255.0 192.168.1.1

此时内网基础配置基本完成,外网在实际中不需我们配置,只要你买了公网地址,接入到isp就可以上网,现在是实验,对外网做个简单的配置。

Isp路由器:
!
interface FastEthernet0/0
ip address 64.1.1.6 255.255.255.248
!
interface FastEthernet0/1
ip address 8.8.8.254 255.255.255.0
!
Baidu服务器基本配置:
基于cisco 模拟公司网络拓扑_第7张图片
基于cisco 模拟公司网络拓扑_第8张图片
外部人员user pc:
基于cisco 模拟公司网络拓扑_第9张图片
基本功能已完成:
内外访问外网:
基于cisco 模拟公司网络拓扑_第10张图片

额外功能

在上面的前提添加一些功能:
①让外网pc可以通过www.123.com访问我们内网的服务器。
只需在边界路由器(route0)配置一条静态nat:
ip nat inside source static 172.16.100.1 64.1.1.2
将公网ip:64.1.1.2与172.16.100.1绑定,当别人访问64.1.1.2时,边界路由会将其目标地址转换为172.16.100.1 。
基于cisco 模拟公司网络拓扑_第11张图片
②除研发部门外,所有部门均可上互联网
只需在边界路由设置一个acl包过滤就可以了。
创建acl规则:
access-list 10 deny 192.168.10.0 0.0.0.255
access-list 10 permit any
在f0/1接口调用:
ip access-group 10 in
此时研发部上不了外网,只可以上内网。
基于cisco 模拟公司网络拓扑_第12张图片
③禁止技术部和销售部的互访,其他部门间要互联互通
需要创建一个高级acl(100以上),过滤源ip为技术部,目标ip为销售部。
创建acl:
access-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 100 permit ip any any
在vlan20中调用:
int vlan 20
ip access-group 100 in
此时技术部和销售部不能通信:
基于cisco 模拟公司网络拓扑_第13张图片
④技术部PC可管理二层及三层交换机,且只允许技术部PC管理。
创建telnet远程控制,且设置acl过滤。
控制三层交换配置:
创建acl:access-list 20 permit 192.168.20.0 0.0.0.255
创建telnet并设置登录密码123,然后调用acl:
line vty 0 4
password 123
access-class 20 in
Exit
enable password 123
然后技术部可以远程控制三层交换机,而其他部门不可以:
技术部Telnet 网关:(因为它的网关在三层交换机上)
基于cisco 模拟公司网络拓扑_第14张图片
非技术部:
基于cisco 模拟公司网络拓扑_第15张图片
二层交换机:
因为二层交换机上不能直接配置ip,所以我们在二层和三层交换机再创建一个vlan50,再二层交换机的vlan50中添加ip地址,并设置默认网关。
三层交换机创建vlan50
Ena
Conf t
Vlan 50
int vlan 50
ip add 192.168.50.254 255.255.255.0
二层交换机创建vlan50并配置ip地址和网关:
Ena
Conf t
vlan 50
int vlan 50
ip add 192.168.50.1 255.255.255.0
Exit
ip default-gateway 192.168.50.254
再配置telnet和acl:
access-list 40 permit 192.168.20.0 0.0.0.255
line vty 0 4
password 123
access-class 40 in
exit
enable password 123

此时技术部pc可以控制二层交换机:
基于cisco 模拟公司网络拓扑_第16张图片
其他部门不可以控制:
基于cisco 模拟公司网络拓扑_第17张图片

你可能感兴趣的:(网络基本概念)