Cisco三层交换机实现vlan间路由讲解与配置命令,配置过程很详细

Cisco三层交换机实现vlan间路由的配置

  • 一.Cisco三层交换机实现vlan间路由的配置拓扑图

  • 二、详细配置命令如下

拓扑图:

Cisco三层交换机实现vlan间路由讲解与配置命令,配置过程很详细_第1张图片
一、配置要求如下:
本次测试使用cisco Packet Tracer7.0模拟器进行,请按照实验操作文件(pka)的要求完成配置任务。pka文件中的拓扑和设备命名均不许修改,终端和网络设备接口的IP地址按要求进行分配。本次测试的时长为80分钟,系统将自动对各个配置点和连通情况进行测评。
二、设备命名和IP地址分配
请严格按下表分配IP地址

设备名 端口/接口 IP地址 掩码长度 网关
PC11.2 Fa0 172.16.11.2 24 172.16.11.1
PC22.2 Fa0 172.16.22.2 24 172.16.22.1
PC-R1 Fa0 192.168.1.3 24 192.168.1.1
Laptop22.3 Fa0 172.16.22.3 24 172.16.22.1
manager Fa0 172.16.1.2 24 172.16.1.1
Intra-Srv Fa0 172.16.200.2 24 172.16.200.1
DMZ-Srv Fa0 172.16.254.2 24 172.16.254.1
Inter-Srv Fa0 6.0.0.2 8 6.0.0.1
CS vlan11 172.16.11.1 24 -
CS vlan22 172.16.22.1 24 -
CS vlan1 172.16.1.1 24 -
CS vlan200 172.16.200.1 24 -
CS vlan100 172.16.100.254 24 -
CS Fa0/5 172.16.253.1 24 -
CallManager Fa0/0 172.16.100.1 24 -
Firewall Fa0/1 172.16.254.1 24 -
Firewall Fa0/0 172.16.253.2 24 -
Firewall Fa1/0 2.0.0.2 29 -
ISP1 Fa1/0 2.0.0.1 29 -
ISP1 Fa0/0 3.0.0.1 8 -
ISP1 Fa0/1 5.0.0.1 8 -
ISP2 Fa0/0 5.0.0.2 8 -
ISP2 Fa0/1 4.0.0.2 8 -
ISP2 S0/1/0 7.0.0.1 30 -
ISP2 Fa1/0 8.0.0.1 8 -
ISP3 Fa0/0 3.0.0.2 8 -
ISP3 Fa0/1 4.0.0.1 8 -
ISP3 Fa1/0 6.0.0.1 8 -
Div-R S0/1/0 7.0.0.2 30 -

三、实验目标要求
1、PC11.2可以ping通DMZ-Srv、Intra-Srv,不可以ping通Inter-Srv
2、Laptop22.3可以ping通DMZ-Srv、Intra-Srv、Inter-Srv
3、PC-R1可以ping通DMZ-Srv、Intra-Srv、Inter-Srv以及PC22.2
4、PC-R2和PC0可以ping通Inter-Srv ,可以访问DMZ-Srv的web服务
5、1001、1002、2001三部IP电话可以互通
四、配置步骤指导
1.配置AS1和AS2两台接入层交换机

  • a) 创建vlan
  • b) 把接口加入vlan

2. 配置CS核心交换机

  • a) 启用三层路由功能
  • b) 设置trunk封装模式为802.1q,设置与接入层交换机相连的端口为trunk模式
  • c) 创建vlan,把相应接口加入vlan
  • d) 为vlan虚接口设置IP地址
  • e) 设置Fa0/5端口为路由模式,设置端口IP地址
  • f) 设置默认路由指向出口路由器firewall

3. 配置校园网的Firewall路由器,使之能够访问百度

  • a) 配置两条静态路由,一条默认路由指向互联网,一条路由指向校园网
  • b) 配置nat地址转换,使得校园网PC能够访问互联网
    Ø 设置转换访问控制列表(使用扩展访问控制列表)
    Ø 设置地址转换规则
    Ø 设定inside和outside接口
  • c) 配置静态地址映射,使得互联网能访问DMZ-Srv服务器(启用服务器http服务)
    Ø 方法1:使用端口映射
    Ø 方法2:把2.0.0.3映射到校园网
  • d) 配置控制列表禁止PC11.2访问互联网
    Ø 设置扩展访问控制列表,允许PC11.2访问DMZ-Srv、禁止PC11.2访问其他地址、允许所有IP流量
    Ø 把访问控制列表应用于Firewall校园网接口入方向上

4. 配置ISP1、ISP2、ISP3互联网路由器

  • a) 配置loopback地址作为路由器ID
  • b) 启用ospf路由协议并宣告直连网络
  • c) 检查每台路由器的路由表

5. 配置Div-R分公司路由器

  • a) 配置路由器接入链路封装格式为PPP
  • b) 配置缺省路由指向ISP2
  • c) 配置NAT网络地址转换(注意使用扩展访问控制列表)

6. 配置wlan无线接入

  • a) 在无线AP和无线路由器上设置SSID为AP1和AP2、认证方式为WAP2,AP1密码为12345678,AP2密码为87654321
  • b) 在两台笔记本上配置无线网卡,分别接入无线AP和无线路由器

7. 配置PPPoE接入

  • a) 配置接入cloud的DSL映射
  • b) 配置ISP2路由器支持PPPoE接入,使用AAA认证服务器
  • c) 配置Inter-Srv作为AAA认证服务器
  • d) 在pc0使用PPPoE Dialer接入网络,ipconfig查看地址并ping6.0.0.2
  • e) 配置无线路由器使用PPPoE接入网络

8. 配置虚拟专用网,因国家规定,VPN的配置本文不提及,如有作业问题请留言

9. 配置VoIP

  • a) 把总部IP电话和callmanager的接入端口加入到voice vlan1
  • b) 把分公司IP电话和Div-R向校园网的接入端口加入到voice vlan1
  • c) 在公司总部配置callmanager ,测试总部两部电话的连通性
  • d) 在分公司配置Div-R出口路由器作为callmanager,检查分公司IP电话
  • e) 把总部IP电话和callmanager的接入端口加入到vlan100
  • f) 在CS上设置VLAN100的虚接口地址为172.16.100.2
  • g) 在总部callmanager上设置默认路由指向172.16.100.2
  • h) 配置两台callmanager点对点连接,测试总部到分公司电话的连通性

详细配置命令如下:

1、配置AS1AS2两台接入层交换机
		a)创建vlan
		b)把接口加入vlan
	AS1AS1(config)#
		AS1(config)#vlan 11
		AS1(config)#vlan 22
		AS1(config-vlan)#int f0/2
		AS1(config-if)#switchport mode access 
		AS1(config-if)#switchport access vlan 11
		AS1(config-vlan)#int f0/23
		AS1(config-if)#switchport mode access 
		AS1(config-if)#switchport access vlan 22
		AS1(config-if)#
	AS2:
		AS2>en
		AS2#conf t
		AS2(config)#vlan 22
		AS2(config-vlan)#int f0/2
		AS2(config-if)#switchport mode access 
		AS2(config-if)#switchport access vlan 22
		AS2(config-if)#
		
2、配置CS核心交换机
	a)启用三层路由功能
		CS>en
		CS#conf t
		CS(config)#ip routing 									// 启用三层路由功能
	b)设置trunk封装模式为802.1q,设置与接入层交换机相连的端口为trunk模式
		CS(config)#int f0/1
		CS(config-if)#switchport trunk encapsulation dot1q 		// 设置trunk封装模式为802.1q,
		CS(config-if)#switchport mode tr
		CS(config-if)#switchport mode trunk 					// 设置与接入层交换机相连的端口为trunk模式
		CS(config-if)#
		CS(config-if)#int f0/2
		CS(config-if)#switchport tr en dot1q 
		CS(config-if)#sw mo tr
		CS(config-if)#sw mo trunk 
		CS(config-if)#
	c)创建vlan,把相应接口加入vlan
		CS(config-if)#vlan 11									// 创建 Vlan,把相应接口加入 Vlan
		CS(config-vlan)#vlan 22
		CS(config-vlan)#vlan 100
		CS(config-vlan)#vlan 200
		
		CS(config-vlan)#int f0/24
		CS(config-if)#switchport mode ac
		CS(config-if)#switchport mode access 
		CS(config-if)#switchport ac
		CS(config-if)#switchport access vlan 200
		
	d)为vlan虚接口设置IP地址
		CS(config-if)#
		CS(config-if)#int vlan 11
		CS(config-if)#ip add 172.16.11.1 255.255.255.0
		CS(config-if)#int vlan 22
		CS(config-if)#ip add 172.16.22.1 255.255.255.0
		CS(config-if)#int vlan 200
		CS(config-if)#ip add 172.16.200.1 255.255.255.0
	e)设置Fa0/5端口为路由模式,设置端口IP地址
		CS(config-if)#
		CS(config)#int f0/5
		CS(config-if)#no sw
		CS(config-if)#no switchport 
		CS(config-if)#ip add 172.16.253.1 255.255.255.0
		CS(config-if)#
	f)设置默认路由指向出口路由器firewall
		CS(config-if)#exit
		CS(config)#ip route 0.0.0.0 0.0.0.0 172.16.253.2
		CS(config)#

3、配置 Firewall 出口路由器
	a)配置两条静态路由,一条默认路由指向互联网,一条路由指向校园网
		Router>en
		Router#conf t
		Router(config)#ip route 0.0.0.0 0.0.0.0 2.0.0.1
		Router(config)#ip route 172.16.0.0 255.255.0.0 172.16.253.1
		Router(config)#
	
	b)配置nat地址转换,使得校园网PC能够访问互联网
		NAT					使用扩展访问控制列表 101
		  				使用扩展访问控制列表 102
		禁止11.2访问互联网	使用扩展访问控制列表 103
		Ø 设置转换访问控制列表(使用扩展访问控制列表)
			Router(config)#
			Router(config)#ac
			Router(config)#access-list 101 de
			Router(config)#access-list 101 deny ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255
			Router(config)#access-list 101 per ip 172.16.0.0 0.0.255.255 any
		Ø 设置地址转换规则
			Router(config)#ip nat i
			Router(config)#ip nat inside s
			Router(config)#ip nat inside source l
			Router(config)#ip nat inside source list 101 int f1/0 ov
			Router(config)#ip nat inside source list 101 int f1/0 overload 
		Ø 设定inside和outside接口
			Router(config)#int f1/0
			Router(config-if)#ip nat ou
			Router(config-if)#ip nat outside 
			Router(config-if)#int f0/0
			Router(config-if)#ip nat in
			Router(config-if)#ip nat inside 
	
	c)配置静态地址映射,使得互联网能访问DMZ-Srv服务器(启用服务器http服务)
		Router(config-if)#exit
		Router(config)#ip nat inside source s
		Router(config)#ip nat inside source static 172.16.254.2 2.0.0.3
		Router(config)#int f0/1
		Router(config-if)#ip nat in
		Router(config-if)#ip nat inside 
		Router(config-if)#
	
	d)配置控制列表禁止PC11.2访问互联网
		( ☆☆☆建议最后设置该规则☆☆☆ )
		Ø 设置扩展访问控制列表,允许PC11.2访问DMZ-Srv、禁止PC11.2访问其他地址、允许所有IP流量
			access-list 103 deny ip 172.16.11.2 255.255.255.255 any
			access-list 103 permit ip 172.16.11.2 255.255.255.255 172.16.254.2 255.555.255.0
			access-list 103 permit ip any
		Ø 把访问控制列表应用于Firewall校园网接口入方向上
			int f0/0 
			ip access-group 103 out 

4、配置ISP1ISP2ISP3互联网路由器
	a)配置loopback地址作为路由器ID
	
	b)启用ospf路由协议并宣告直连网络
	ISP1:
		Router>en 
		Router#conf t
		Router(config)#route osp
		Router(config)#route ospf 1
		Router(config-router)#netw 2.0.0.0 0.0.0.7 area 0
		Router(config-router)#netw 3.0.0.0 0.255.255.255 area 0
		Router(config-router)#netw 5.0.0.0 0.255.255.255 area 0
		Router(config-router)#
	ISP2:
		Router>en
		Router#conf t
		Router(config)#route os
		Router(config)#route ospf 1
		Router(config-router)#netw 4.0.0.0 0.255.255.255 area 0
		Router(config-router)#netw 5.0.0.0 0.255.255.255 area 0
		Router(config-router)#netw 8.0.0.0 0.255.255.255 area 0
		Router(config-router)#netw 7.0.0.0 0.0.0.3 area 0
		Router(config-router)#
	ISP3:
		Router>en
		Router#conf t
		Router(config)#route os
		Router(config)#route ospf 1
		Router(config-router)#netw 3.0.0.0 0.255.255.255 area 0
		Router(config-router)#netw 4.0.0.0 0.255.255.255 area 0
		Router(config-router)#netw 6.0.0.0 0.255.255.255 area 0
		Router(config-router)#
		
	c)检查每台路由器的路由表
		#sh ip route 
		
5、配置Div-R分公司路由器
	a)配置路由器接入链路封装格式为PPP	( 两台路由器均需要配置 )
		ISP2(config)# interface serial 0/1/0
		ISP2(config-if)# clock rate 2000000					// 配置接口的时钟速率
			// 在 ☆☆☆ 远离时钟 ☆☆☆ 一端配置时钟速率会有该提示:This command applies only to DCE interfaces
			// 因此,应该是在☆☆☆靠近时钟☆☆☆一端( 主认证方 )配置,
		ISP2(config-if)# encapsulation ppp				// 配置接口的封装格式为PPP
		ISP2(config-if)# ppp authentication pap			// 认证方式为PAP加密
		ISP2(config)# username user1 password 0 123		// 主认证方配置
		
		Div-R(config)# interface serial 0/1/0	
		Div-R(config-if)# encapsulation ppp				// 配置接口的封装格式为PPP
		Div-R(config-if)# ppp authentication pap			// 认证方式为PAP加密
		Div-R(config-if)# ppp pap sent-username user1 password 0 123		// 被认证方配置
		
	b)配置缺省路由指向ISP2
		ip route 0.0.0.0 0.0.0.0 7.0.0.1
	
	c)配置NAT网络地址转换(注意使用扩展访问控制列表)
		access-list 101 deny ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
		access-list 101 permit ip 192.168.1.0 0.0.0.255 any
		ip nat inside source list 101 int s0/1/0 overload 
		int s0/1/0 
		  ip nat outside
		int f0/0
		  ip nat inside

6、配置wlan无线接入
	a)在无线AP和无线路由器上设置SSIDAP1AP2、认证方式为WAP2AP1密码为12345678AP2密码为87654321
		AP ---> Config ---> Port 1 ---> SSID: AP1 WPA2-PSK: 12345678
	
	b)在两台笔记本上配置无线网卡,分别接入无线AP和无线路由器
		Laptop22.3:手动配置静态 IP 地址172.16.22.3

7、配置PPPoE接入
	a)配置接入cloud的DSL映射
		Cloud0 ---> DSL ---> Modem4 <-> Ethernet6
							 Modem5 <-> Ethernet6
	b)配置ISP2路由器支持PPPoE接入,使用AAA认证服务器
		int f1/0
		  ip address 8.0.0.1 255.0.0.0
		  pppoe enable								// 配置接口启用pppoe

		ip local pool mypool 8.0.0.10 8.0.0.100		// 配置地址池

		 # username user1 password 0 123			// 配置本地用户认证方式的用户名密码
		Router(config)#aaa new-model 				// 启用 AAA 
		Router(config)#aaa authentication ppp default group radius 	// 使用 Radius 对所有 PPP 用户进行身份验证
		Router(config)#radius-server host 6.0.0.2 key 123			// 指定外部 AAA 服务器,设置预共享密钥

		int virtual-template 1					// 定义虚拟模板
		  ip unnumbered f1/0 					// 借用以太口地址
		  peer default ip address pool mypool 	// 设定地址池
		  ppp authentication chap				// 设定认证方式

		vpdn enable 					// 全局启用虚拟拨号
		vpdn-group mygroup 				// 定义虚拟拨号组
		  accept-dialin					// 允许拨号接入
		  protocol pppoe 				// 接入协议为pppoe
		  virtual-template 1			// 设定虚拟模板
		
	c)配置Inter-Srv作为AAA认证服务器
		Service ---> AAA ---> 
			Network Configuration:
				pppoe 4.0.0.2 Radius 123
					  8.0.0.1 Radius 123
			User Setup:
				u1 		123		// 用于 WireLess 认证 
				test 	123		// 用于 PC0 认证
	
	d)在pc0使用PPPoE Dialer接入网络,ipconfig查看地址并ping6.0.0.2
		Desktop ---> PPPoE ---> User Name: u1 Password: cisco
		
	e)配置无线路由器使用PPPoE接入网络
		Setup ---> PPPoE ---> Username: test Password: 123  Save Settings
		WireLess ---> Basic WireLess Settings ---> Network Name: AP2  Standard Channel: 11
				 ---> WireLess Security ---> Security Mode: WAP2 Persional  AES  87654321
	
8、配置虚拟专用网,因国家规定,VPN的配置本文不提及,如有作业问题请留言
		
9、配置VoIP
	a)把总部IP电话和callmanager的接入端口加入到voice  vlan1
		AS1:
			vlan 100
			int f0/1
			switchport mode access 
			switchport access vlan 100
			switchport voice vlan 1
		AS2:
			vlan 100
			int f0/1
			switchport mode access 
			switchport access vlan 100
			switchport voice vlan 1
		CS:
			int f0/6
			switchport mode access 
			switchport access vlan 100
			switchport voice vlan 1
			
	b)把分公司IP电话和Div-R向校园网的接入端口加入到voice  vlan1
		Switch3:
			int f0/1
			switchport voice vlan 1
			switchport mode access
			int f0/24
			switchport mode access
			switchport voice vlan 1
			
	c)在公司总部配置callmanager ,测试总部两部电话的连通性
		CallManager:
			# 配置接口
		# int f0/0
		# ip add 172.16.100.1 255.255.255.0
			# 配置DHCP
		# ip dhcp pool voice
		# network 172.16.100.0 255.255.255.0
		# default-router 172.16.100.1
		# option 150 ip 172.16.100.1
			# 配置呼叫服务
		# telephony-service
		# max-dn 10
		# max-ephone 10
		# ip source-address 172.16.100.1 port 2000
		# auto assign 1 to 10
			# 为电话配置号码
		# ephone-dn 1
		# number 1001
		# ephone-dn 2
		# number 1002 
		
	d)在分公司配置Div-R出口路由器作为callmanager,检查分公司IP电话
		Router:
			# 配置接口
		# int f0/0
		# ip add 192.168.1.1 255.255.255.0
			# 配置DHCP
		# ip dhcp pool voip
		# network 192.168.1.0 255.255.255.0
		# default-router 192.168.1.1
		# option 150 ip 192.168.1.1
			# 配置呼叫服务
		# telephony-service
		# max-dn 10
		# max-ephone 10
		# ip source-address 192.168.1.1 port 2000
		# auto assign 1 to 10
			# 为电话配置号码
		# ephone-dn 1
		# number 2001
	e)把总部IP电话和callmanager的接入端口加入到vlan100
		在 9、a) 中已经完成该步操作
		
	f)CS上设置VLAN100的虚接口地址为172.16.100.254
		int vlan 100
		ip address 172.16.100.254 255.255.255.0
		
	g)在总部callmanager上设置默认路由指向172.16.100.254
		ip route 0.0.0.0 0.0.0.0 172.16.100.254
		
	h)配置两台callmanager点对点连接,测试总部到分公司电话的连通性
		CallManager:
		dial-peer voice 1 voip
		 destination-pattern  2...
		 session target ipv4:192.168.1.1
		
		Router-FW:
		dial-peer voice 1 voip
		 destination-pattern  1...
		 session target ipv4:172.16.100.1
	
	
	限制 11.2 上网
	d)配置控制列表禁止PC11.2访问互联网
		( ☆☆☆建议最后设置该规则☆☆☆ )
		Ø 设置扩展访问控制列表,允许PC11.2访问DMZ-Srv、禁止PC11.2访问其他地址、允许所有IP流量
			access-list 103 deny ip 172.16.11.2 255.255.255.255 any
			access-list 103 permit ip 172.16.11.2 255.255.255.255 172.16.254.2 0.255.255.255
			access-list 103 permit ip any
		Ø 把访问控制列表应用于Firewall校园网接口入方向上
			int f0/0 
			ip access-group 103 out 

你可能感兴趣的:(网络运维,计算机网络,路由器,pppoe,交换机,cisco,局域网)