Cisco PT模拟实验(21) 两层架构网络搭建的综合配置

Cisco PT模拟实验(21) 两层架构网络搭建的综合配置实验目的： 熟悉网络的二层结构模型及原理掌握路由交换的基本配置方法 掌握搭建两层架构网络的常用技术实验背景： 情景：A公司企

.

Cisco PT模拟实验(21) 两层架构网络搭建的综合配置

实验目的： 

        熟悉网络的二层结构模型及原理

        掌握路由交换的基本配置方法

        掌握搭建两层架构网络的常用技术

实验背景：

        情景：A公司企业网计划接入互联网，向 ISP申请了一条专线并拥有足够的公有IP地址，现要求搭建一个简易两层架构的企业内部网，具体构建需求如下：

        ①企业内网划分多个vlan ，减少广播域大小，提高网络稳定性

        ②将用户网关配置在核心交换机上

        ③搭建DHCP服务器，实现终端用户自动获取IP地址

        ④在出口路由器上配置NAPT映射

        ⑤将内网服务器的80端口映射，允许外网用户访问

        ⑥利用ACL技术增强网络安全性

技术原理：

• VLAN划分的实际作用并非隔离通信，而是通过缩小广播域从而减少广播流量、提高带宽利用率，使得网络运行更加稳定；

• Trunk链路上默认允许所有VLAN通过，当过多不同VLAN转发经过时会占用不必要的带宽，可手动配置特定VLAN通过或利用VLAN修剪功能，从而提高网络稳定性；

• 在互联网中，公有地址用于不同外网之间通信，全球唯一并且能在公网上被路由；而私有地址用于网络内部，对于不同内网，私有地址可重用，但私有地址无法实现不同”外网-内网“或"内网-内网"之间通信，因为私有地址不能被路由。它要与外网通信，必须经过NAT设备（如网关，路由器）。

• vlan 1 默认作为交换机的管理vlan，本例中统一配置管理网段：192.168.255.0/24，将管理流量与业务流量区分开，避免混乱；

• 三层交换机基于OSI网络层，常应用于网络的核心层，作为用户VLAN的网关，实现路由功能（默认关闭）。
  

• DHCP服务器上存在多个地址池时，会与VLAN所在网段相匹配，选择相应的地址池内进行IP分配；

• DHCP服务器默认是假设在IP地址池中的所有地址都是可以分配给DHCP客户端的，但实际上总有一些IP地址静态分配给某个主机，因此须配置地址池分配排除列表，否则就会造成网络中的IP地址冲突；

• ACL是一种基于接口的指令控制列表，Cisco ACL的匹配顺序为"自上而下，依次匹配"，默认为拒绝所有，其ACL控制方向有：

• 入站In：已经到达路由器接口的数据包，但是还没有被路由器处理；

• 出站Out：已经经过路由器的处理，正要离开路由器接口的数据包；
  

实验设备：Router-PT 3台；Switch_3560 1台 ；Switch_2960 2台；PC 3台，Server 2台；直通线，交叉线，串口线。

实验拓扑：

实验步骤：

        新建Cisco PT 拓扑图

        如图示，为各PC及Server设置静态或动态IP地址

        对各网段划分VLAN，配置Access、Trunk链路 —— Switch.Part1

        开启各个网络设备的telnet远程管理  —— Switch.Part2、Router0.Part2

        对内网各个网段配置SVI网关及默认路由 —— Switch0.Part3

        配置DHCP服务器，使终端能自动获取IP地址 —— Switch0.Part4

        对各Router进行相关配置(接口IP、时钟频率、默认路由等) —— Router.Part1

        测试内网设备连通性

        配置出口路由器的NAT动态转换及端口映射 —— Router0.Part3

               映射内网服务器80端口，允许外网用户访问

        测试网络出口连通性

        在核心交换机上配置ACL —— Switch0.Part5

               禁止通过业务VLAN登陆网络设备

               禁止192.168.10.x 网段用户访问Web服务器

        在出口路由器上配置ACL —— Router0.Part4

               禁止外网远程登陆到企业出口路由

# Server0和Server1 设置192.168.200.100192.168.200.101//子网掩码和网关255.255.255.0192.168.200.1# 企业内PC终端网关及IP地址设置为DHCP自动获取

/*=Part1  Swtch1 vlan、trunk配置  */Switch>enableSwitch#conf tSwitch(config)#hostname Sw1Sw1(config)#vlan 10Sw1(config-vlan)#vlan 30Sw1(config-vlan)#inter f0/1Sw1(config-if)#sw mode trunkSw1(config-if)#inter f0/2Sw1(config-if)#sw acc vlan 10Sw1(config-if)#inter f0/3Sw1(config-if)#sw acc vlan 30/*=Part2  远程管理Telnet配置  */Sw1#conf tSw1(config)#inter vlan 1Sw1(config-vlan)#ip add 192.168.255.11 255.255.255.0Sw1(config-vlan)#no shutdownSw1(config-vlan)#exitSw1(config)#line vty 0 4Sw1(config-line)#password cisco-Sw1Sw1(config-line)#exitSw1(config)#service password-encryption Sw1(config)#ip default-gateway 192.168.255.10    //确保回包顺利转发Sw1#sh run

/*=Part1  Swtch2 vlan、trunk配置  */Switch>enableSwitch#conf tSwitch(config)#hostname Sw2Sw2(config)#vlan 200Sw2(config-vlan)#inter f0/1Sw2(config-if)#sw mode trunkSw2(config-if)#inter f0/2Sw2(config-if)#sw acc vlan 200Sw2(config-if)#inter f0/3Sw2(config-if)#sw acc vlan 200/*=Part2  远程管理Telnet配置  */Sw2#conf tSw2(config)#inter vlan 1Sw2(config-vlan)#ip add 192.168.255.12 255.255.255.0Sw2(config-vlan)#no shutdownSw2(config-vlan)#exitSw2(config)#line vty 0 4Sw2(config-line)#password cisco-Sw2Sw2(config-line)#exitSw2(config)#service password-encryption Sw2(config)#ip default-gateway 192.168.255.10        //确保回包顺利转发Sw2#sh run

/*=Part1  Switch0 vlan、trunk配置  */Switch>enableSwitch#conf tSwitch(config)#hostname Sw0Sw0(config)#vlan 10Sw0(config-vlan)#vlan 30Sw0(config-vlan)#vlan 200Sw0(config-vlan)#vlan 654Sw0(config-vlan)#inter f0/1            //配置接口f0/1Sw0(config-if)switchport trunk encapsulation dot1q Sw0(config-if)#sw mode trunkSw0(config-if)#inter f0/2              //配置接口f0/2Sw0(config-if)switchport trunk encapsulation dot1q Sw0(config-if)#sw mode trunkSw0(config-if)#inter f0/3              //配置接口f0/3Sw0(config-if)#sw acc vlan 645Sw0(config-if)#exit/*=Part2  远程管理Telnet配置  */Sw0(config)#inter vlan 1Sw0(config-vlan)#ip add 192.168.255.10 255.255.255.0Sw0(config-vlan)#no shutdownSw0(config-vlan)#exitSw0(config)#line vty 0 4Sw0(config-line)#password cisco-Sw0Sw0(config-line)#exitSw0(config)#service password-encryptionSw0(config)#/*=Part3  SVI网关配置  */Sw0(config)#ip routing                //开启路由转发功能Sw0(config-if)#inter vlan 10Sw0(config-if)#ip address 192.168.10.1 255.255.255.0Sw0(config-if)#inter vlan 30Sw0(config-if)#ip address 192.168.30.1 255.255.255.0Sw0(config-if)#inter vlan 200Sw0(config-if)#ip address 192.168.200.1 255.255.255.0Sw0(config-if)#inter vlan 654Sw0(config-if)#ip address 192.168.254.1 255.255.255.0Sw0(config-if)#exitSw0(config)#ip route 0.0.0.0 0.0.0.0 192.168.254.2       //确保数据包顺利发往出口Sw0(config-if)#^ZSw0#show ip route/*=Part4  DHCP服务器配置  */Sw0(config)#service dhcp           //启用DHCP功能Sw0(config)#ip dhcp pool vlan10              //配置DHCP地址池vlan10Sw0(dhcp-config)#network 192.168.10.0 255.255.255.0Sw0(dhcp-config)#default-router 192.168.10.1Sw0(dhcp-config)#dns-server 114.114.114.114Sw0(dhcp-config)#exitSw0(config)#ip dhcp excluded-address 192.168.10.1Sw0(config)#ip dhcp pool vlan30              //配置DHCP地址池vlan30Sw0(dhcp-config)#network 192.168.30.0 255.255.255.0Sw0(dhcp-config)#default-router 192.168.30.1Sw0(dhcp-config)#dns-server 114.114.114.114Sw0(dhcp-config)#exitSw0(config)#ip dhcp excluded-address 192.168.30.1Sw0(config-if)#^ZSw0#show ip dhcp pool            Sw0#show ip dhcp binding/*=Part5  访问控制ACL配置  */Sw0#config tSw0(config)#ip access-list standard telnet        //Telnet访问限制Sw0(config-std-nacl)#permit 192.168.255.0 0.0.0.255Sw0(config-std-nacl)#permit anySw0(config-std-nacl)#line vty 0 4Sw0(config-line)#access-class telnet in Sw0(config-line)#exit                            //Web服务器访问限制Sw0(config)#access-list 100 deny tcp 192.168.10.0 0.0.0.255 host 192.168.200.101 eq wwwSw0(config)#access-list 100 permit ip any anySw0(config)#inter vlan 200Sw0(config-if)#ip access-group 100 outSw0(config-if)#^ZSw0#sh run

/*=Part1  Router0 基本配置  */Router>enableRouter#conf tRouter(config)#hostname R0R0(config)#inter f0/0R0(config-if)#ip address 192.168.254.2 255.255.255.0    //配置f0/0接口R0(config-if)#no shutdownR0(config-if)#exitR0(config)#interface serial 2/0R0(config-if)#ip address 12.1.1.1 255.255.255.0         //配置s2/0接口R0(config-if)#no shutdownR0(config-if)#exitR0(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.6                    //默认向出口下一跳转发R0(config)#ip route-s 192.168.0.0 16 192.168.254.1              //确保出口数据包顺利发回内网/*=Part2 远程管理Telnet配置  */R0(config)#line vty 0 4R0(config-line)#password cisco-R0R0(config-line)#exitR0(config)#service password-encryption /*=Part3  NAT映射配置  */R0(config)#inter f0/0R0(config-if)#ip nat inside         //定义内部接口R0(config)#inter s2/0              R0(config-if)#ip nat outside        //定义外部接口R0(config-if)#exit//配置企业出口的NAT映射R0(config)#access-list 5 permit 192.168.0.0 0.0.255.255R0(config)#ip nat pool napt 12.1.1.2 12.1.1.5 netmask 255.255.255.0    //注意：出口IP与公网IP并不一致R0(config)#ip nat inside source list 5 pool napt overload//配置Web服务器的端口映射R0(config)#ip nat inside source static tcp 192.168.200.100 80 12.1.1.2 80R0(config)#^ZR0#show ip nat translations/*=Part4  访问列表ACL配置  */R0#conf tR0(config)#access-list 110 deny tcp any any eq telnetR0(config)#access-list 110 permit ip any anyR0(config)#inter s2/0R0(config-if)#ip access-group 110 inR0(config)#^ZR0#show run

/*=Part1  Router1 基本配置  */Router>enableRouter#conf tRouter(config)#hostname R1R1(config)#inter f0/0R1(config-if)#ip address 8.8.8.1 255.255.255.0     //配置f0/0接口IPR1(config-if)#no shutdownR1(config-if)#exitR1(config)#inter s2/0R1(config-if)#ip address 12.1.1.6 255.255.255.0    //配置s2/0接口IPR1(config-if)#clock rate 64000                     //必须配置时钟才可通信R1(config-if)#no shutdownR1(config-if)#exit...//运营商路由器不做外部本地地址的路由转发，故此处不做其他相关配置。

# PC3 设置(用于外网测试)8.8.8.8//子网掩码和网关255.255.255.08.8.8.1

#  企业网测试略

---

实验环境： Windows 10，Cisco PT 7.0

参考资料：CCNA学习指南（第7版）

.