一、综合实验网络拓扑图

外网云平台网络拓扑图_网络

图1-1 综合实验拓扑图

 

二、根据以上拓扑图进行搭建拓扑并进行实验配置

搭建完成的拓扑如下图2-1所示:

外网云平台网络拓扑图_服务器_02

图2-1 实验作业拓扑图

 总体配置思路:

①配置中间红色区域的内网部分:
1、配置IP地址
2、进入三层交换机划分五个vlan,给五个vlan配置接口地址,配置f01端口为trunk
(查看端口开放情况:SW-hexin#show ip int b)
3、进入sw1,简历vlan10,将其f01端口划入vlan10 的acc接口,f02划分到vlan10 的trunk接口
4、进入三层交换机,给余下的四个端口划分vlan
如果什么地方配错了,eg:vlan30配错了:no sw acc vlan30
0/3端口是配trunk的,因为下面还有个交换机
trunk的配置:

SW-hexin(config-if)#sw trunk encapsulation dot1q
SW-hexin(config-if)#sw mode trunk
SW-hexin(config-if)#sw tr all vlan all

5、进入sw0,建立vlan20,将其f02端口划入vlan20 的acc接口,f01划分到vlan20 的trunk接口

Switch(config)#vlan 20
Switch(config-vlan)#int f0/2
Switch(config-if)#sw mo acc
Switch(config-if)#sw acc vlan 20
Switch(config-if)#int f0/1
Switch(config-if)#sw mode trunk
Switch(config-if)#sw trunk allowed vlan all

遇到问题:pc1 ping不通server,:解决:三层交换机开ip routing
:::三层交换机的1 3口为trunk接口

 ②配置与外网互联的绿色区域

配置红色部分——去连接外部的12.12.12.1网段
1、进入f04口,将其划入为vlan40
2、进入route0,为g00 g01 配置IP,记得no shut

Router(config)#int g0/0
Router(config-if)#ip add 192.168.40.2 255.255.255.0
Router(config-if)#no shut
Router(config-if)#int g0/1
Router(config-if)#ip add 12.12.12.1 255.255.255.0
Router(config-if)#no shut  do 平全是。就不通

3、进入route1,给三个端口配IP地址,记的 no shut

R2-waiwang(config)#int g0/0
R2-waiwang(config-if)#ip add 12.12.12.2 255.255.255.0
R2-waiwang(config-if)#no shut
R2-waiwang(config-if)#int g0/1
R2-waiwang(config-if)#ip add 76.12.96.254 255.255.255.0
R2-waiwang(config-if)#no shut
R2-waiwang(config-if)#int g0/2
R2-waiwang(config-if)#ip add 76.12.32.254 255.255.255.0
R2-waiwang(config-if)#no shut

我们要保证实验先到达内网的出口,三层交换机何以添加一条默认路由,也可以田间一条12网段的路由
4、给三层交换机配12网段的路由:
SW-hexin(config)#ip route 76.12.0.0 255.255.0.0 192.168.40.2
     给route0配192段的路由:
但是192网段有5个,大拓扑需要敲明细路由,不能敲汇总路由??
如果是汇总路由,那么不能访问网段也可以访问了
 

Router(config)#ip route 192.168.10.0 255.255.255.0 192.168.40.254
Router(config)#ip route 192.168.20.0 255.255.255.0 192.168.40.254
Router(config)#ip route 192.168.30.0 255.255.255.0 192.168.40.254
Router(config)#ip route 192.168.40.0 255.255.255.0 192.168.40.254
Router(config)#ip route 192.168.50.0 255.255.255.0 192.168.40.254

 ③配置内外网互联的蓝色部分

需要进行地址转换
192.168.10.1转换为:12.12.12.3
192.168.20.1转换为:12.12.12.4
192.168.30.1的80端口转换为:12.12.12.5的8080//1314端口(服务器端口转)
在从route0外出进行地址转换的时候,但是地址转换之前,需要加一条默认路由往外指,数据包由这个默认路由返回。

1、给route0加默认路由:

Router(config)#ip route 0.0.0.0 0.0.0.0 12.12.12.2

给三层交换机加默认路由:

SW-HeXxin(config)#ip route 76.12.0.0 255.255.0.0 192.168.40.2
SW-HeXxin(config)#ip route 0.0.0.0 0.0.0.0 192.168.50.1

2、在route0进行地址转换:

Router(config)#ip nat in s static 192.168.10.1 12.12.12.3
Router(config)#ip nat in s s 192.168.20.1 12.12.12.4
Router(config)#ip nat in s s t 192.168.30.1 80 12.12.12.5 1314 //改为1314端口

定义完之后是没有生效的,相当于编程中先定义好再在条件语句中进行调用,之后我们需要在接口处进行调用,其中route0的g00是入口,01是出口,
3、定义出入口

Router(config)#int g0/0
Router(config-if)#ip nat ins
Router(config-if)#ip nat inside //r入口
Router(config-if)#int g0/1
Router(config-if)#ip nat out
Router(config-if)#ip nat outside //出口

4、在route0中开启地址转换

Router#debug ip nat
 IP NAT debugging is on


添加acl
允许pc0访问server1,禁止pc1ping通server1
就需要加两条acl,那么acl需要定义在什么地方呢?
如果acl加在route0,可以去关联地址
如果在route1,得需要禁止转换后的地址进来得禁止pc1转换后12.3的地址进来
如果在三层交换机处,就需要调用源地址192.168.10.1就可以了
尝试方法一:
在三层交换机处添加扩展acl,是在数据发出的地方进行加acl:
在三层交换机中开始定义:

access-list 100 (100是扩展acl)permit ip host
SW-hexin(config)#access-list 100 permit tcp host 192.168.20.1 host 76.12.32.1
允许permit pc0
SW-hexin(config)#access-list 100 deny icmp host 192.168.10.1 host 76.12.32.1
禁止pc1访问pingserver1
SW-hexin(config)#access-list 100 permit ip any any //这是一个隐藏条件,除了pc1以外都可以访问server1

Access-list 100 permit icmp host 11.11.11.1 80 (允许的IP地址)host ip 8080(目的IP)
Access-list 100  deny  tcp host ip (允许的IP地址)host ip (目的IP)

新作业要求:添加的acl(下面图片中有图示)
 

SW-HeXxin(config)#no access-list 100 deny tcp host 192.168.20.1 80 host 76.12.32.1 80
SW-HeXxin(config)#access-list 100 permit icmp host 192.168.20.1 host 76.12.32.1
SW-HeXxin(config)#access-list 100 deny tcp host 192.168.20.1 host 76.12.32.1
SW-HeXxin(config)#access-list 100 permit ip any any
SW-HeXxin(config)#int vlan 20
SW-HeXxin(config-if)#ip access-group 100 in
SW-HeXxin(config-if)#
SW-HeXxin(config-if)#
SW-HeXxin(config-if)#access-list 101 deny icmp host 192.168.10.1 host 76.12.32.1
SW-HeXxin(config)#access-list 101 deny icmp host 192.168.10.1 host 76.12.32.1
SW-HeXxin(config)#access-list 101 permit tcp host 192.168.10.1 host 76.12.32.1
SW-HeXxin(config)#access-list 100 permit ip any any
SW-HeXxin(config)#access-list 101 permit ip any any
SW-HeXxin(config)#int vlan 10
SW-HeXxin(config-if)#ip access-group 101 in
SW-HeXxin(config-if)#

之后在f01对应的vlan10中进行调用(三层交换机调用vlan,不是进行端口进行调用),如果有这样的数据包就将其过滤
进入对应vlan对定义的进行调用

SW-hexin(config)#int vlan 10
SW-hexin(config-if)#ip access-group 100 in
SW-hexin(config-if)#int vlan 20
SW-hexin(config-if)#ip access-group 100 in

此时pc0能ping通server1,也可在web访问server1
此时pc1不能ping通server1,也可在web访问server1(因为80端口没有被禁止)

④总公司ospf的配置

1、Route2配置IP地址

Router(config)#int g0/0
Router(config-if)#ip add 192.168.50.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#int g0/1
Router(config-if)#ip add 11.11.11.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#int g0/2
Router(config-if)#ip add 15.15.15.1 255.255.255.0
Router(config-if)#no shut

   Route4配置IP地址:

Router(config)#int g0/0
Router(config-if)#ip add 11.11.11.2 255.255.255.0
Router(config-if)#no shut
Router(config-if)#int g0/1 ip add 12.12.12.1 255.255.255.0
Router(config-if)#int g0/1
Router(config-if)#ip add 12.12.12.1 255.255.255.0
Router(config-if)#no shut

   Route5配置IP地址:

Router(config)#int g0/1
Router(config-if)#ip add 12.12.12.2 255.255.255.0
Router(config-if)#no shut
Router(config-if)#int g0/2
Router(config-if)#no shut
Router(config-if)#ip add 13.13.13.254 255.255.255.0
Router(config-if)#int g0/0
Router(config-if)#no shut
Router(config-if)#ip add 14.14.14.1 255.255.255.0

  Route3配置IP地址

Router(config)#int g0/1
Router(config-if)#no shut
Router(config-if)#ip add 14.14.14.2 255.255.255.0
Router(config-if)#int g0/0
Router(config-if)#ip add 15.15.15.2 255.255.255.0
Router(config-if)#no shut

2、给pc3配置IP地址
3、在总公司的出口route2处启动ospf

Router(config)#route ospf 100
Router(config-router)#net 11.11.11.0 0.0.0.255 a 0
Router(config-router)#net 15.15.15.0 0.0.0.255 a 0

其中直连的192.168.50.1可以看作为直连的静态路由
    在route3处设置ospf:

Router(config)#route ospf 100
Router(config-router)#net 15.15.15.0 0.0.0.255 a 0
Router(config-router)#net 14.14.14.0 0.0.0.255 a 0

    在route5处设置ospf:

Router(config)#route ospf 100
Router(config-router)#net 14.14.14.0 0.0.0.255 a 0
Router(config-router)#net 13.13.13.0 0.0.0.255 a 0
Router(config-router)#net 12.12.12.0 0.0.0.255 a 0

    在route4处设置ospf:

Router(config)#route ospf 100
Router(config-router)#net 12.12.12.0 0.0.0.255 a 0
Router(config-router)#net 11.11.11.0 0.0.0.255 a 0

     验证:在pc3处验证  可以ping通route2的g01接口11.11.11.1
关键点:
再route2的在ospf选项下,进行路由重分发设置,添加直连路由connected和静态路由static(包含子网)

Router(config)#route ospf 100
 Router(config-router)#redistribute connected subnets
 Router(config-router)#redistribute static subnets


4、route2下加通往192.168.50.254的默认路由,

Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.50.254
Router(config)#ip route 192.168.10.0 255.255.255.0 192.168.50.254
Router(config)#ip route 192.168.20.0 255.255.255.0 192.168.50.254
Router(config)#ip route 192.168.30.0 255.255.255.0 192.168.50.254
Router(config)#ip route 192.168.40.0 255.255.255.0 192.168.50.254

5、在三层交换机处配置默认路由
SW-hexin(config)#ip route 0.0.0.0 0.0.0.0 192.168.50.1
SW-hexin(config)#no ip route 0.0.0.0 0.0.0.0 192.168.40.2
因为40.2网段到外网的默认全零路由被使用了,所以添加另外一条路由:
原本为192.168.40.2的到12.12.12.0
改为:
76.12.0.0到192.168.40.2
SW-hexin(config)#ip route 76.12.0.0 255.255.0.0 192.168.40.2
配了往左来的明细路由

禁止pc3去pingpc0 1
 

SW-HeXxin(config-if)#access-list 102 deny icmp host 13.13.13.1 host 192.168.10.1
SW-HeXxin(config)#access-list 102 deny icmp host 13.13.13.1 host 192.168.10.1
SW-HeXxin(config)#access-list 102 deny icmp host 13.13.13.1 host 192.168.20.1
SW-HeXxin(config)#access-list 102 permit ip any any
SW-HeXxin(config)#int vlan 50
SW-HeXxin(config-if)#ip access-group 102 in
  • nat转换要求
  1. 192.168.10.1---- 12.12.12.3
  2. 192.168.20.1----12.12.12.4
  3. 192.168.30.1 80----12.12.12.5 1314

一、首先进行地址转换的定义,如下图2-2所示:

外网云平台网络拓扑图_外网云平台网络拓扑图_03

图2-2 地址转换定义

二、其次在定义之后是需要在调用之后才可以生效的,所以需要在接口处进行调用,对出入口进行调用,其中Route0的g0/0 是入口,g0/1是出口,如下图2-3所示:

外网云平台网络拓扑图_网络_04

图2-3接口调用

三、最后退出到特权模式下开启debug ip nat,如下图2-4所示:

外网云平台网络拓扑图_服务器_05

图2-4 开启debug ip nat

  • PC3可以Ping通内网区域Server0。

实现条件:

  • 在左侧黄色区域的服务器进行IP地址和ospf的配置;
  • 在Route2的ospf选项下进行路由重分发设置,添加直连路由connected和静态路由static;
  • 进入三层交换机进行路由配置,即可使得PC3可以和下图红色内网部分进行通信。

PC3可以Ping通内网区域Server0的结果如下图2-5所示:

外网云平台网络拓扑图_网络_06

图2-5 PC3与内网server0的通信

  • PC3禁止Ping通PC1与PC0

在三层交换机下直接调用原地址,进入全局配置模式之后,添加针对于PC3的扩展ACL,即可禁止PC3 ping 通PC1、PC0,命令如下图2-6-1所示:

外网云平台网络拓扑图_外网云平台网络拓扑图_07

图2-6 -1 PC3相关ACL配置语句

配置结果如下图2-6-2、图2-6-3所示:

外网云平台网络拓扑图_外网云平台网络拓扑图_08

图2-6-2 PC3与PC1通信结果

外网云平台网络拓扑图_经验分享_09

图2-6-3 PC3与PC0通信结果

  • 内网区域互通

实现条件:

  • 配置内网区域PC0、PC1上午IP地址;
  • 进入三层交换机划分五个VLAN并对所对应端口进行access或trunk的配置;
  • 之后对switch0和switch1进行VLAN的建立和划分

内网区域如下图2-7-1红色部分所示:

外网云平台网络拓扑图_经验分享_10

图2-7-1 红色的内网区域

内网区域为上图中红色部分,互通结果如下图2-7-2、图2-7-3所示:

外网云平台网络拓扑图_网络_11

图2-7-2 PC0与PC1通信结果

外网云平台网络拓扑图_外网云平台网络拓扑图_12

图2-7-3 PC1与Server0通信结果

  • 内网PC1可以访问外网Server1 Web服务,禁止Ping

在三层交换机下直接调用原地址,进入全局配置模式之后,添加针对于PC1的扩展ACL,即可使PC1可以访问Server1 Web服务,禁止Ping,命令如下图2-8-1所示:

外网云平台网络拓扑图_三层交换机_13

图2-8-1 PC1相关ACL配置语句

PC1可以访问外网Server1 Web服务,如下图2-8-2所示:

外网云平台网络拓扑图_网络_14

图2-8-2 PC1访问外网Server1结果

Pc1可以ping不通server1,如下图2-8-3所示:

外网云平台网络拓扑图_服务器_15

图2-8-3 PC1 ping Server结果

  • 内网PC0 不可以访问外网Server1 Web服务,允许Ping

在三层交换机下直接调用原地址,进入全局配置模式之后,添加针对于PC0的扩展ACL,即可使PC0 不可以访问外网Server1 Web服务,允许Ping,命令如下图2-9-1所示:

外网云平台网络拓扑图_经验分享_16

图2-9-1 PC0相关ACL配置语句

Pc0不可以访问server1,如下图2-9-2所示:

外网云平台网络拓扑图_外网云平台网络拓扑图_17

图2-9-2 PC0访问外网Server1结果

Pc0可以ping通server1,如下图2-9-3所示:

外网云平台网络拓扑图_网络_18

图2-9-3 PC0 ping Server结果