SW-2(config-if)#int f0/4
SW-2(config-if)#swi mode acc
SW-2(config-if)#swi acc vlan 3
SW-2(config-if)#exit
配置单臂路由,实现VLAN1,2,3之间的互访:
SW-1-->
SW-1(config)#int f0/1
SW-1(config)#swi mode trunk --设定为主干链路
Router-1-->
Router-1(config)#int f0/0.1
Router-1(config)#encapsulation dot1q 1 --进行封装,1指VLAN1
Router-1(config)#ip add 192.168.1.1 255.255.255.0
Router-1(config)#int f0/0.2
Router-1(config)#enca dot1q 2
Router-1(config)#ip add 192.168.2.1 255.255.255.0
Router-1(config)#enca dot1q 3
Router-1(config)#ip add 192.168.3.1 255.255.255.0
配置STP协议:
SW-1(config)#spanning-tree vlan 1,2,3 priority 4096
----将SW-1配置为所有VLAN的根交换机。
配置DHCP服务器:(在Router-1上 )
Router-1(config)#ip dhcp excluded-address 192.168.2.1 --将网关地址192.168.2.1排除在地址池之外
Router-1(config)#ip dhcp pool vlan2 --配置DHCP地址池,名字为VLAN2
Router-1(dhcp-config)#network 192.168.2.0 255.255.255.0 --指定分配地址的网段
Router-1(dhcp-config)#default-router 192.168.2.1 --指定网关
Router-1(dhcp-config)#dns-server 100.1.1.2 --指定DNS
Router-1(dhcp-config)#exit
Router-1(config)#ip dhcp excluded-address 192.168.3.1
Router-1(config)#ip dhcp pool vlan3
Router-1(dhcp-config)#network 192.168.3.0 255.255.255.0
Router-1(dhcp-config)#default-router 192.168.3.1
Router-1(dhcp-config)#dns-server 100.1.1.2
Router-1(dhcp-config)#exit
查看PC机IP地址的获取情况:
OK!成功获取!
同样方法,可查看到PC-2的IP地址是:192.168.2.3 PC-3的IP地址是:192.168.3.2 PC-4的IP地址是:192.168.3.3。
在PC-1上Ping PC-3,结果如下:
不同VLAN间的PC能ping通,表明前面配置的VLAN间路由是正确的。试试其他的,都是可以ping的!
在Router-1上配置默认路由:
所有未知流量通通送给Interner
Router-1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2
R2-R3-R4运行OSPF协议,配置如下:
R2--->
Router-2(config)#router ospf 100
Router-2(config-router)#network 10.1.1.0 0.0.0.255 area 0
Router-2(config-router)#network 20.2.2.0 0.0.0.255 area 0
Router-2(config-router)#network 30.3.3.0 0.0.0.255 area 0
R3--->
Router-3(config)#router ospf 100
Router-3(config-router)#network 40.4.4.0 0.0.0.255 area 0
Router-3(config-router)#network 20.2.2.0 0.0.0.255 area 0
R4--->
Router-4(config)#router ospf 100
Router-4(config-router)#network 100.1.1.0 0.0.0.255 area 0
Router-4(config-router)#network 30.3.3.0 0.0.0.255 area 0
Router-4(config-router)#network 40.4.4.0 0.0.0.255 area 0
全网互通测试:
在R1上依次ping拓扑图中Internet部分的地址,都是可以通的。比如,R1来ping Web服务器:
还可以测试ping各处的IP,应该都是通的。
配置R1和R2之间的PPP协议:
R1---->
Router-1(config)#user Router-2 pass cisco --指定认证对象及认证密码
Router-1(config)#int s1/0
Router-1(config-if)#encapsulation ppp --采用PPP封装类型
Router-1(config-if)#ppp authentication chap ---指定认证方式
R2---->
Router-2(config)#user Router-1 pass cisco
Router-2(config)#int s1/0
Router-2(config-if)#encapsulation ppp
Router-2(config-if)#ppp authentication chap
验证PPP的CHAP认证:
Router-2(config)#int s1/0
Router-2(config-if)#shut ---关闭接口
%LINK-5-CHANGED: Interface Serial1/0, changed state to administratively down
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to down
Router-2(config-if)#no sh ---重启接口
%LINK-5-CHANGED: Interface Serial1/0, changed state to up
再次ping测试:
Router-2#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 31/31/32 ms
成功pimg通R1,PPP的CHAP认证成功!
配置NAT:
在路由器Router-1上配置动态PAT,让4台PC都能通过R1访问外网。
Router-1(config)#int f0/0.1
Router-1(config-subif)#ip nat inside --指定为入口
Router-1(config-subif)#int f0/0.2
Router-1(config-subif)#ip nat inside
Router-1(config-subif)#int f0/0.3
Router-1(config-subif)#ip nat inside
Router-1(config-subif)#int s1/0
Router-1(config-if)#ip nat outside
Router-1(config-if)#exit
Router-1(config)#access-list 1 permit 192.168.2.0 0.0.0.255
Router-1(config)#access-list 1 permit 192.168.3.0 0.0.0.255
Router-1(config)#ip nat inside source list 1 int s1/0 overload
在路由器Router-1上配置静态PAT,让Internet能通过R1的TCP 2323口访问SW-1.
Router-1(config)#int f0/0.1
Router-1(config-subif)#ip nat inside
Router-1(config-subif)#exit
Router-1(config)#ip nat inside source static tcp 192.168.1.2 23 10.1.1.1 2323 --允许外网地址通过路由的TCP 2323口Telnet到SW-1。
PC1 ping Web服务器,查看IP地址转换条目;
可以看到,PC-1的私有地址192.168.2.2,被转换成10.1.1.1,然后成功到达公网地址100.1.1.2且成功返回。动态PAT成功。
配置ACL:
成功浏览Web服务器!
开始配置ACL-->
Router-1(config)#access-list 100 deny tcp 192.168.2.0 0.0.0.255 host 100.1.1.2 eq 80 --拒绝192.168.2.0网段的地址通过TCP 80端口访问Web服务器
Router-1(config)#access-list 100 permit ip any any -其他都允许
Router-1(config)#int f0/0.2
Router-1(config-subif)#ip access-group 100 in --将ACL应用到此接口
PC-1还是可以ping通Web 服务器的,请看:
到此,实验全部完成!