企业项目需求描述:
某公司租用了某写字楼的两层,需要新建一个企业局域网。该公司共有五个部门,工程部和技术支持部在4层,每个部门有40个信息点;市场部、总务部、财务部及各部门的部门经理办公室及公司的总经理办公室在5层,其中市场部和总务部各有22个信息点,财务部有5个信息点,各部门经理和总经理办公室各有一个信息点。4层和5层分别有一个会议室,每个会议室有一个信息点(会议室的电脑采用无线上网,自动获取ip地址)。除了会议室外,其它办公室中电脑都直接连在信息点上。一个路由器连接外网,企业网络内部做nat技术。
网络组建的基本要求如下:
1、网络中要求配置FTP服务器和内部网站服务器,两个服务器的功能配置在一台物理服务器上。
2、网络中的每个部门在一个独立的广播域中,各部门经理和总经理分别在独立的广播域中,两个会议室分别在独立的广播域中。
3、总经理、各部门经理及财务部间可以互访,但其他部门员工都不能访问总经理、各部门经理和财务部的电脑。
4、广域网的外部用户可以通过IP地址来访问位于企业内网的网站服务器。
网络拓扑图:
主要配置步骤:
在交换
1
上面创建
vtp
Switch>en
Switch#vlan data
Switch(vlan)#vtp server
Switch(vlan)#vtp domain xcw
Switch(vlan)#vtp password 123456
创建
vlan
Switch(vlan)#vlan 11 name gongcheng
Switch(vlan)#vlan 12 name jishu
Switch(vlan)#vlan 13 name zongwu
Switch(vlan)#vlan 14 name caiwu
Switch(vlan)#vlan 15 name shichang
Switch(vlan)#vlan 16 name jingli
Switch(vlan)#vlan 17 name FTP
Switch(vlan)#vlan 18 name zongjingli
Switch(vlan)#vlan 19 name 5huiyishi
Switch(vlan)#vlan 10 name 4huiyishi
在交换机
2
上面
Switch>en
Switch#vlan data
Switch(vlan)#vtp client
Switch(vlan)#vtp domain xcw
Switch(vlan)#vtp password 123456
在交换机
3
上
Switch>en
Switch#vlan data
Switch(vlan)#vtp client
Switch(vlan)#vtp domain xcw
Switch(vlan)#vtp password 123456
在交换机
4
上
Switch>en
Switch#vlan data
Switch(vlan)#vtp client
Switch(vlan)#vtp domain xcw
Switch(vlan)#vtp password 123456
这样所有的交换机都有了
vlan
,现在就把所有的端口都加入到对应的
vlan
中。
S1(config)#interface FastEthernet0/1
S1(config-if)#switchport access vlan 11
S1(config)#interface FastEthernet0/7
S1(config-if)#switchport access vlan 17
S1(config)#interface FastEthernet0/2
S1(config-if)#switchport access vlan 10
S2(config)#interface FastEthernet0/2
S2(config-if)#switchport access vlan 12
S3(config)#interface FastEthernet0/3
S3(config-if)#switchport access vlan 13
S3(config)#interface FastEthernet0/4
S3(config-if)#switchport access vlan 14
S3(config)#interface FastEthernet0/5
S3(config-if)#switchport access vlan 15
S4(config)#interface FastEthernet0/6
S4(config-if)#switchport access vlan 16
S4(config)#interface FastEthernet0/8
S4(config-if)#switchport access vlan 18
S4(config)#interface FastEthernet0/9
S4(config-if)#switchport access vlan 19
所有端口都加入到了
vlan
,现在我们需要在路由上面创建子接口,封装不同vlan配置虚拟网关实现
内网的不同网段互通,在每个子接口下我们还需要设置
NAT
。
<
在企业接入路由器
0
上
>
R0(config)#int f0/0.11
R0(config-if)#encapsulation dot1Q 11
R0(config-if)#ip add 192.168.1.1 255.255.255.0
R0(config-if)#ip nat inside
R0(config-if)#int f0/0.12
R0(config-if)#encapsulation dot1Q 12
R0(config-if)#ip add 192.168.2.1 255.255.255.0
R0(config-if)#ip nat inside
R0(config-if)#int f0/0.13
R0(config-if)#encapsulation dot1Q 13
R0(config-if)#ip add 192.168.3.1 255.255.255.0
R0(config-if)#ip nat inside
R0(config-if)#int f0/0.14
R0(config-if)#encapsulation dot1Q 14
R0(config-if)#ip add 192.168.4.1 255.255.255.0
R0(config-if)#ip nat inside
R0(config-if)#int f0/0.15
R0(config-if)#encapsulation dot1Q 15
R0(config-if)#ip add 192.168.5.1 255.255.255.0
R0(config-if)#ip nat inside
R0(config-if)#int f0/0.16
R0(config-if)#encapsulation dot1Q 16
R0(config-if)#ip add 192.168.6.1 255.255.255.0
R0(config-if)#ip nat inside
R0(config-if)#int f0/0.17
R0(config-if)#encapsulation dot1Q 17
R0(config-if)#ip add 192.168.7.1 255.255.255.0
R0(config-if)#ip nat inside
R0(config-if)#int f0/0.18
R0(config-if)#encapsulation dot1Q 18
R0(config-if)#ip add 192.168.8.1 255.255.255.0
R0(config-if)#ip nat inside
R0(config-if)#int f0/0.19
R0(config-if)#encapsulation dot1Q 19
R0(config-if)#ip add 192.168.9.1 255.255.255.0
R0(config-if)#ip nat inside
R0(config-if)#int f0/0.10
R0(config-if)#encapsulation dot1Q 10
R0(config-if)#ip add 192.168.10.1 255.255.255.0
R0(config-if)#ip nat inside
R0(config-if)#exit
设置DHCP池,实现会议室的电脑
IP地址
自动获取
R0(config)#ip dhcp excluded-address 192.168.9.1
R0(config)#ip dhcp pool xcw1
R0(dhcp-config)#network 192.168.9.0 255.255.255.0
R0(dhcp-config)#default-router 192.168.9.1
R0(config)#ip dhcp excluded-address 192.168.10.1
R0(config)#ip dhcp pool xcw2
R0(dhcp-config)#network 192.168.10.0 255.255.255.0
R0(dhcp-config)#default-router 192.168.10.1
上面的指令输入完毕之后,我们就基本实现内网互通了。现在我们对财务部,各部门经理和总经理设置互访而不能让其他内网来访问!
R0(config)#access-list 100 permit ip host 192.168.8.2 host 192.168.6.2
R0(config)#access-list 100 permit ip host 192.168.8.2 host 192.168.5.2
R0(config)#access-list 100 permit ip host 192.168.6.2 host 192.168.5.2
R0(config)#access-list 100 permit ip host 192.168.6.2 host 192.168.8.2
R0(config)#access-list 100 permit ip host 192.168.5.2 host 192.168.6.2
R0(config)#access-list 100 permit ip host 192.168.5.2 host 192.168.8.2
R0(config)#access-list 100 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
R0(config)#access-list 100 permit ip any any
这样内网的其他部门就不能访问我们的财务部,各部门经理和总经理了。
现在我们来连接外网。
R0(config)#int s0/0/0
R0(config-if)#ip nat outside
R0(config)# access-list 1 permit 192.168.1.0 0.0.0.255
R0(config)#access-list 1 permit 192.168.2.0 0.0.0.255
R0(config)#access-list 1 permit 192.168.3.0 0.0.0.255
R0(config)#access-list 1 permit 192.168.4.0 0.0.0.255
R0(config)#access-list 1 permit 192.168.5.0 0.0.0.255
R0(config)#access-list 1 permit 192.168.6.0 0.0.0.255
R0(config)#access-list 1 permit 192.168.7.0 0.0.0.255
R0(config)#access-list 1 permit 192.168.8.0 0.0.0.255
R0(config)#access-list 1 permit 192.168.9.0 0.0.0.255
R0(config)#access-list 1 permit 192.168.10.0 0.0.0.255
R0(config)#ip nat pool xcw 202.11.1.2 202.11.1.2 netmask 255.255.255.0
R0(config)#ip nat inside source list 1 pool xcw overload
R0(config)#ip nat inside source static tcp 192.168.7.2 80 202.11.1.2 80
上面这些语句,就实现了把内网的web服务器映射到了公网地址202.11.1.2上面,这时外网就可以访问到我们内网的服务器web页面上了。
另一个外网路由器上的配置:
R1(config)#int s/0/0/0
R1(config-if)#ip nat outside
R1(config-if)#ip add 202.11.1.1 255.255.255.0
R1(config-if)#exit
R1(config)#int f0/0
R1(config-if)#ip add 172.16.1.1 255.255.255.0
R1(config-if)#ip nat inside
R1(config-if)#exit
R1(config)# ip nat inside source static 172.16.1.2 202.11.1.1
现在外网可以访问服务器了,只不过是通过202.11.1.2这个公网地址访问到内网web服务器上的网页。