要求:
sw1交换机下有三个vlan,技术部(tec)属于vlan10,市场部(mkt)属于vlan20,服务器属于vlan30,sw2交换机下有两个vlan,技术部(tec)属于vlan10,市场部(mkt)属于vlan20。
dhcp服务器通过dhcp中继可以为vlan10、vlan20的主机提供ip,并实现各个vlan间通信,内网用户可以访问internet,并且通过dnat使内网的web服务器发布到外网上。
详细设置及ip规划:
硬件设置:路由器一个R2621,交换机二个,服务器一个,主机若干
在交换机sw1上配置vlan10,vlan20,vlan30
在交换机sw2上配置vlan10,vlan20
划分ip网段:Vlan10分配网段192.168.10.0
Vlan20分配网段192.168.20.0
Vlan30划分网段192.168.30.0
服务器在vlan 30中,ip地址为192.168.30.1
为方便管理,分别为交换机分配管理ip,sw1:192.168.1.1;sw2:192.168.1.2;并创建管理用户;
在服务器上配置dhcp服务,并在路由上做dhcp中继为sw1和sw2下的10.x和20.x网段提供ip地址;
在路由器上做snat地址转换,使内网用户可以使用外网
在路由器上做dnat地址转换,使外网用户可以访问www服务器
实验拓扑图:
一、dhcp及web服务器配置
1.安装配置dhcp服务,修改/etc/dhcpd.conf文件
subnet 192.168.10.0 netmask 255.255.255.0 {
# --- default gateway
option routers 192.168.10.254;
option subnet-mask 255.255.255.0;
option domain-name "tec.org";
option domain-name-servers 222.85.85.85;
option time-offset -18000; # Eastern Standard Time
range dynamic-bootp 192.168.10.1 192.168.10.253;
default-lease-time 21600;
max-lease-time 43200;
}
subnet 192.168.20.0 netmask 255.255.255.0 {
# --- default gateway
option routers 192.168.20.254;
option subnet-mask 255.255.255.0;
option domain-name "mkt.org";
option domain-name-servers 222.85.85.85;
option time-offset -18000; # Eastern Standard Time
range dynamic-bootp 192.168.20.1 192.168.20.253;
default-lease-time 21600;
max-lease-time 43200;
}
subnet 192.168.30.0 netmask 255.255.255.0 {
}
启动dhcp服务,并设置开机自动启动。
[root@host ~]# service dhcpd start
[root@host ~]# chkconfig dhcpd on
2.安装httpd,添加主页为index.html
[root@host ~]# echo "this is my test web" > /var/www/html/index.html
启动httpd服务,并设置开机启动。
[root@host ~]# service httpd start
[root@host ~]# chkconfig httpd on
二、交换机的配置
1.sw1配置
e1/0/1、e1/0/24 trunk
vlan 1 10 20 30
vlan 10 中为e1/0/10,
vlan 20 中为e1/0/20,
vlan 30 中为e1/0/3
管理ip: vlan 1 192.168.1.1
#vlan配置
[sw1]vlan 10
# 创建 vlan10[sw1-vlan10]port e1/0/10
# 将接口 E1/0/1---10 加入 vlan10[sw1-vlan10]vlan 20
[sw1-vlan20]port e1/0/20
[sw1-vlan20]vlan 30
[sw1-vlan30]port e1/0/3
#trunk配置
[sw1-Ethernet1/0/24]inter e1/0/1
[sw1-Ethernet1/0/1]port link-type trunk
[sw1-Ethernet1/0/1]port trunk permit v
[sw1-Ethernet1/0/1]port trunk permit vlan all
Please wait........................................... Done.
[sw1-Ethernet1/0/1]inter e1/0/24
[sw1-Ethernet1/0/24]port link-type trunk
[sw1-Ethernet1/0/24]port trunk permit v
[sw1-Ethernet1/0/24]port trunk permit vlan all
Please wait........................................... Done.
#为方便管理,基于vlan1配置管理192.168.1.1/24;
[sw1]inter vlan 1
[sw1-Vlan-interface1]ip address 192.168.1.1 24
[sw1]ip rout 0.0.0.0 0 192.168.1.10
#配置管理帐号
[sw1]local-user user1
[sw1]pass simple 123
[sw1]service-type telnet level 3
[sw1]user-interface vty 0 4
[sw1-ui-vty0-4]authentication-mode scheme
2.sw2配置
e1/0/24 trunk
vlan 1 10 20 30
vlan 10 中为e1/0/10,
vlan 20 中为e1/0/20,
vlan 30 中为e1/0/3
管理ip: vlan 1 192.168.1.1
#vlan配置
[sw2]vlan 10
[sw2-vlan10]port e1/0/10
[sw2-vlan10]vlan 20
[sw2-vlan20]port e1/0/20
[sw2-vlan20]vlan 30
[sw2-vlan30]port e1/0/3
#trunk配置
[sw2-Ethernet1/0/1]inter e1/0/24
[sw2-Ethernet1/0/24]port link-type trunk #
设置接口类型为 Trunk 类型[sw2-Ethernet1/0/24]port trunk permit v
[sw2-Ethernet1/0/24]port trunk permit vlan all
Please wait........................................... Done.
#为方便管理,基于vlan1配置管理192.168.1.2/24;
[sw2]inter vlan 1 #
进入 vlan1 接口[sw2-Vlan-interface1]ip address 192.168.1.2 24
[sw2]ip rout 0.0.0.0 0 192.168.1.10
#配置管理帐号
[sw2]local-user user1 #
配置一个 usewr1 的用户名[sw2]pass simple 123 #
密码为 123[sw2]service-type telnet level 3 #
管理员级别[sw2]user-interface vty 0 4 #
进入虚拟终端[sw2-ui-vty0-4]authentication-mode scheme #
RADIUS 方案进行认证
三、路由器配置
路由器eth0: 192.168.1.10
划分子接口:eth0.1 192.168.10.254
eht0.2 192.168.20.254
eht0.3 192.168.30.254
eth1:192.168.101.16
#vlan配置
[R1]inter eth0
[R1-Ethernet0]ip address 192.168.1.10 24
[R1-Ethernet0]inter e0.1
[R1-Ethernet0.1]vlan dot1q vid 10 #vlan封装为vlan 10
[R1-Ethernet0.1]ip address 192.168.10.254
[R1-Ethernet0.1]inter e0.2
[R1-Ethernet0.2]vlan dot1q vid 20 #vlan封装为vlan 20
[R1-Ethernet0.2]ip address 192.168.20.254
[R1-Ethernet0.2]inter e0.3
[R1-Ethernet0.3]vlan dot1q vid 30 #vlan封装为vlan 30
[R1-Ethernet0.3]ip address 192.168.30.254
[Router]inter e1 #进入外网接口E1
[Router-Ethernet1]ip add 192.168.101.16 24 #配置ip地址
#配置默认路由
[R1]ip rout 0.0.0.0 0 192.168.101.254
#配置dhcp中继e0.1,e0.2
[R1]inter e0.1
[R1-Ethernet0.1]ip relay-address 192.168.30.1 #
配置 vlan10 下的中继 ip
[R1]inter e0.2
[R1-Ethernet0.2]ip relay-address 192.168.30.1
配置 vlan20 下的中继 ip
#正确配置ip及路由后,测试下
1)将测试机插在sw1或sw2的20端口上,
可以正确获得ip,如下图:
2)用192.168.30.1的dhcp服务器主机ping刚获得ip的192.168.20.253测试机,发现如下图可以通过:
#SNAT配置及测试
[R1]acl 2000
[R1]rule permit source 192.168.0.0 0.0.255.255
[R1]rule deny source any
[R1]quit
[R1]inter e1
[R1]nat outbound 2000 inter
用刚才获得的192.168.20.253的测试机,通过SNAT可以正常访问外网;
#DNAT配置及测试
[R1]inter e1
[R1-Ethernet1]nat server global 192.168.101.16 www inside 192.168.30.1 www tcp
路由器整体配置如下图:
用外网测试机访问192.168.101.16,可以正常访问内网的web服务器;