给公司部署网络,肯定公司会有固定的要求,所以我们一切的部署和规划都要按着公司的意思来。首先看一下该公司提出的要求。
根据该公司的要求简单的先部署了一个网络结构,用来演示整个部署的过程。
看到第一条要求,全网互通,不要慌,按自己的想法一点一点来,首先我们先看来看看一下北京总部,需要实现什么功能。看到三层交换机了,那就先把北京的内网全通了吧,开淦。说一下思路,实现内网互通,就是vlan+trunk+vtp+网关+三层交换机的routing.
首先我们先将 三层交换机 和 二层交换机 的链路变成 trunk 模式。
在三层交换机的端口上起trunk记得首先打标签。
在二层交换机端口上上开启trunk,这里用市场部和销售部的交换机演示,其余的同理。
建立VTP,通过VTP来建立域环境。
然后将除三层交换机之外的交换机,调成client模式。
然后在三层交换机上,创建五个vlan,分别配置到各个部门,并且给各个vlan加上网关,然后将相应的端口加入对应的vlan。拿第一个交换机举例,其余同理。
1.创建vlan
2.将对应的端口加入对应的vlan
3.在三层交换机上,进入vlan,配置网关。
4.在三层交换机上,开启ip routing。
5.尝试ping一下不同vlan的设备,看看能不能内网互通。
从vlan10 ping vlan20的机器,通了,证明我们的内网可以进行互通了。
接下来看到我们北京总部的要求自动获取IP地址,所以我们要在三层交换机上配置我们的DHCP。接下来我们先在三层交换机上开启dhcp,然后配置4个地址池,分别为不同的网段分发不同的ip地址。因为最后一个是服务器,所以不需要DHCP自动获取,我们手动为它写一个 192.168.5.1 的静态地址。这里的DNS之所以要指向140.1.1.1是因为我们后面还要配置DNS服务器,所以就先指向它。
诸如此类,配置四个地址池,然后我们点开看看是否可以自动获取ip地址。
发现我们的PC端可以进行自动获取IP地址了。
北京总部的内网搭建的差不多了,接下来我们就需要开始配置外网了,根据要求,可以看出,我们要做热备份,所以我们需要新创建一个vlan60来将连接外网的端口添加进去。
然后为vlan60配置一个IP地址。
这里之所以vlan60没有用 192.168.6.254 是因为我们后面做热备份的时候需要用到这个IP地址,所以我们随便配置一个其它的IP地址。这下我们交换机上的配置先放一放,然后来配置我们的路由器。
如图所示,我们先为路由器和外网的设备配置IP地址。此处过程简单但是繁琐,就不写了,大家参考配置即可。
配置好各个接口的IP地址后,我们需要让各个路由能够相互通信,所以我们这里采用rip,这个动态路由协议。将网段进行宣告。
宣告完成以后,外部的路由已经互相学习,然后可以通信了,但是内外网还没法通信,所以接下来我们就要将内网的IP地址通过路由器映射出去,我们就直接映射到我们的路由端口100.1.1.1,另一个路由器同理映射到110.1.1.1.
这里我们首先要进入路由的不同端口,给端口配置 nat 的 inside 和 outside,然后定义一个将所有网段映射到端口的表,然后将表应用,并且映射到刚刚定义的out口上。
映射完成后我们接下来做热备份,让100网段的这个路由做active路由,另一个做备份。
这里是备份路由器的配置,这里的优先级为195,只要100 网段的路由器配置的优先级大于195,则会成为active路由。接下来我们在三层交换机上配置静态的路由协议,让内网的地址可以访问这个虚拟的192.168.6.254 网关。并且为两个路由配置一个回来的静态的路由协议。
然后用我们的PC1 ping 我们的140.1.1.1 看看能否连接。
接下来我们在140.1.1.1上部署DNS服务器
然后将ip解析进去,接下来我们用财务部的电脑进行网页域名访问,看是否可以浏览成功。
发现可以访问了,证明我们已经可以成功的上外网了,接下来我们对分部进行配置。
四.
分部的部署就很简单了,首先给各个分部在路由上布置一个网关,然后把路由全部弄通就好了,这里我们就还是用RIP协议就好,到三层交换机上F 0/1 端口,需要将它先变为三层端口,然后再进行rip,它要将它连接的网段全部宣告。
然后我们测试一下,看看能不能访问140.1.1.1
.
可以访问没问题,然后再尝试访问一下北京总部的服务器。
是可以访问的,这下我们的内网和外网就全都通了。
五
接下来看第二个要求,我们需要将内网的服务器映射到外网上,这样别人访问这个外网的IP就可以访问我们的服务器上的网站了,这就要配置静态映射了,当然因为是热备份,所以两个路由都要进行静态映射。这里拿active路由举例子。
然后用外网的PC6访问 100.1.1.1 发现可以访问,证明我们内网的服务器已经映射到外网了。
查看下一个要求是:市场部门禁止上网,我们分析一下,这里的禁止上网,应该是禁止访问外网,所以我们在出内网的路由上做ACL即可。这里还是拿active路由举例,实则两个路由都需要做。
说一下acl的思路,就是拒绝192.168.1.0网段的所有 IP 协议的对外访问,然后允许所有的网段的访问,因为acl自上而下的匹配,所以先匹配的第一条,可以完成这个要求,我们ping一下来测试一下。
很明显的可以看到市场部ping的时候显示不可达,而在相邻网段的销售部则可以上外网,证明我们的配置就完成了。注:记得两个路由器都要配置ACL。
下一个要求:
任何部门无法访问财务部,想了想如果在路由上实现这一功能是比较困难的,因为外部的网段很冗杂,虽然通过ACL可以实现,但是较为繁琐,这里我们想到之前划分的vlan,正好财务部在一个单独的vlan40里面,而vlan是有ip的,所以我们对vlan的入口做限制就好了。
ACL表:
由图可以看出,财务部ping140.1.1.1是可以ping通的,证明是可以正常上网的,但是其它部门来访问财务部是不可达的,证明我们的配置成功了。
八
最后一个要求,所有分部只能访问总部的服务器和访问外网,很明显,也是利用ACL进行限制,但是具体在哪个路由上做ACL,我们来看一眼图。
左面是两个分部,而最好做控制的当然是在三层交换机的 F0/1 口上,所以我们在这里给它配置ACL。
我们用pc0来ping 192.168.5.1 发现ping不通,ping 192.168.1.1 发现也不通,而通过浏览器访问我们的服务器可以,访问外网也可以,证明我们做的ACL成功了。
以上就完成了我们这次配置的全部要求,如有遗漏和错误或者大家有更好的配置的方式,希望大家可以留言说明,大家一起学习,可能有些配置过程不是很详细,希望大家可以理解,毕竟不是入门教程。