一、综合实验网络拓扑图
图1-1 综合实验拓扑图
二、根据以上拓扑图进行搭建拓扑并进行实验配置
搭建完成的拓扑如下图2-1所示:
图2-1 实验作业拓扑图
总体配置思路:
①配置中间红色区域的内网部分:
1、配置IP地址
2、进入三层交换机划分五个vlan,给五个vlan配置接口地址,配置f01端口为trunk
(查看端口开放情况:SW-hexin#show ip int b)
3、进入sw1,简历vlan10,将其f01端口划入vlan10 的acc接口,f02划分到vlan10 的trunk接口
4、进入三层交换机,给余下的四个端口划分vlan
如果什么地方配错了,eg:vlan30配错了:no sw acc vlan30
0/3端口是配trunk的,因为下面还有个交换机
trunk的配置:
SW-hexin(config-if)#sw trunk encapsulation dot1q
SW-hexin(config-if)#sw mode trunk
SW-hexin(config-if)#sw tr all vlan all
5、进入sw0,建立vlan20,将其f02端口划入vlan20 的acc接口,f01划分到vlan20 的trunk接口
Switch(config)#vlan 20
Switch(config-vlan)#int f0/2
Switch(config-if)#sw mo acc
Switch(config-if)#sw acc vlan 20
Switch(config-if)#int f0/1
Switch(config-if)#sw mode trunk
Switch(config-if)#sw trunk allowed vlan all
遇到问题:pc1 ping不通server,:解决:三层交换机开ip routing
:::三层交换机的1 3口为trunk接口
②配置与外网互联的绿色区域
配置红色部分——去连接外部的12.12.12.1网段
1、进入f04口,将其划入为vlan40
2、进入route0,为g00 g01 配置IP,记得no shut
Router(config)#int g0/0
Router(config-if)#ip add 192.168.40.2 255.255.255.0
Router(config-if)#no shut
Router(config-if)#int g0/1
Router(config-if)#ip add 12.12.12.1 255.255.255.0
Router(config-if)#no shut do 平全是。就不通
3、进入route1,给三个端口配IP地址,记的 no shut
R2-waiwang(config)#int g0/0
R2-waiwang(config-if)#ip add 12.12.12.2 255.255.255.0
R2-waiwang(config-if)#no shut
R2-waiwang(config-if)#int g0/1
R2-waiwang(config-if)#ip add 76.12.96.254 255.255.255.0
R2-waiwang(config-if)#no shut
R2-waiwang(config-if)#int g0/2
R2-waiwang(config-if)#ip add 76.12.32.254 255.255.255.0
R2-waiwang(config-if)#no shut
我们要保证实验先到达内网的出口,三层交换机何以添加一条默认路由,也可以田间一条12网段的路由
4、给三层交换机配12网段的路由:
SW-hexin(config)#ip route 76.12.0.0 255.255.0.0 192.168.40.2
给route0配192段的路由:
但是192网段有5个,大拓扑需要敲明细路由,不能敲汇总路由??
如果是汇总路由,那么不能访问网段也可以访问了
Router(config)#ip route 192.168.10.0 255.255.255.0 192.168.40.254
Router(config)#ip route 192.168.20.0 255.255.255.0 192.168.40.254
Router(config)#ip route 192.168.30.0 255.255.255.0 192.168.40.254
Router(config)#ip route 192.168.40.0 255.255.255.0 192.168.40.254
Router(config)#ip route 192.168.50.0 255.255.255.0 192.168.40.254
③配置内外网互联的蓝色部分
需要进行地址转换
192.168.10.1转换为:12.12.12.3
192.168.20.1转换为:12.12.12.4
192.168.30.1的80端口转换为:12.12.12.5的8080//1314端口(服务器端口转)
在从route0外出进行地址转换的时候,但是地址转换之前,需要加一条默认路由往外指,数据包由这个默认路由返回。
1、给route0加默认路由:
Router(config)#ip route 0.0.0.0 0.0.0.0 12.12.12.2
给三层交换机加默认路由:
SW-HeXxin(config)#ip route 76.12.0.0 255.255.0.0 192.168.40.2
SW-HeXxin(config)#ip route 0.0.0.0 0.0.0.0 192.168.50.1
2、在route0进行地址转换:
Router(config)#ip nat in s static 192.168.10.1 12.12.12.3
Router(config)#ip nat in s s 192.168.20.1 12.12.12.4
Router(config)#ip nat in s s t 192.168.30.1 80 12.12.12.5 1314 //改为1314端口
定义完之后是没有生效的,相当于编程中先定义好再在条件语句中进行调用,之后我们需要在接口处进行调用,其中route0的g00是入口,01是出口,
3、定义出入口
Router(config)#int g0/0
Router(config-if)#ip nat ins
Router(config-if)#ip nat inside //r入口
Router(config-if)#int g0/1
Router(config-if)#ip nat out
Router(config-if)#ip nat outside //出口
4、在route0中开启地址转换
Router#debug ip nat
IP NAT debugging is on
添加acl
允许pc0访问server1,禁止pc1ping通server1
就需要加两条acl,那么acl需要定义在什么地方呢?
如果acl加在route0,可以去关联地址
如果在route1,得需要禁止转换后的地址进来得禁止pc1转换后12.3的地址进来
如果在三层交换机处,就需要调用源地址192.168.10.1就可以了
尝试方法一:
在三层交换机处添加扩展acl,是在数据发出的地方进行加acl:
在三层交换机中开始定义:
access-list 100 (100是扩展acl)permit ip host
SW-hexin(config)#access-list 100 permit tcp host 192.168.20.1 host 76.12.32.1
允许permit pc0
SW-hexin(config)#access-list 100 deny icmp host 192.168.10.1 host 76.12.32.1
禁止pc1访问pingserver1
SW-hexin(config)#access-list 100 permit ip any any //这是一个隐藏条件,除了pc1以外都可以访问server1
Access-list 100 permit icmp host 11.11.11.1 80 (允许的IP地址)host ip 8080(目的IP)
Access-list 100 deny tcp host ip (允许的IP地址)host ip (目的IP)
新作业要求:添加的acl(下面图片中有图示)
SW-HeXxin(config)#no access-list 100 deny tcp host 192.168.20.1 80 host 76.12.32.1 80
SW-HeXxin(config)#access-list 100 permit icmp host 192.168.20.1 host 76.12.32.1
SW-HeXxin(config)#access-list 100 deny tcp host 192.168.20.1 host 76.12.32.1
SW-HeXxin(config)#access-list 100 permit ip any any
SW-HeXxin(config)#int vlan 20
SW-HeXxin(config-if)#ip access-group 100 in
SW-HeXxin(config-if)#
SW-HeXxin(config-if)#
SW-HeXxin(config-if)#access-list 101 deny icmp host 192.168.10.1 host 76.12.32.1
SW-HeXxin(config)#access-list 101 deny icmp host 192.168.10.1 host 76.12.32.1
SW-HeXxin(config)#access-list 101 permit tcp host 192.168.10.1 host 76.12.32.1
SW-HeXxin(config)#access-list 100 permit ip any any
SW-HeXxin(config)#access-list 101 permit ip any any
SW-HeXxin(config)#int vlan 10
SW-HeXxin(config-if)#ip access-group 101 in
SW-HeXxin(config-if)#
之后在f01对应的vlan10中进行调用(三层交换机调用vlan,不是进行端口进行调用),如果有这样的数据包就将其过滤
进入对应vlan对定义的进行调用
SW-hexin(config)#int vlan 10
SW-hexin(config-if)#ip access-group 100 in
SW-hexin(config-if)#int vlan 20
SW-hexin(config-if)#ip access-group 100 in
此时pc0能ping通server1,也可在web访问server1
此时pc1不能ping通server1,也可在web访问server1(因为80端口没有被禁止)
④总公司ospf的配置
1、Route2配置IP地址
Router(config)#int g0/0
Router(config-if)#ip add 192.168.50.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#int g0/1
Router(config-if)#ip add 11.11.11.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#int g0/2
Router(config-if)#ip add 15.15.15.1 255.255.255.0
Router(config-if)#no shut
Route4配置IP地址:
Router(config)#int g0/0
Router(config-if)#ip add 11.11.11.2 255.255.255.0
Router(config-if)#no shut
Router(config-if)#int g0/1 ip add 12.12.12.1 255.255.255.0
Router(config-if)#int g0/1
Router(config-if)#ip add 12.12.12.1 255.255.255.0
Router(config-if)#no shut
Route5配置IP地址:
Router(config)#int g0/1
Router(config-if)#ip add 12.12.12.2 255.255.255.0
Router(config-if)#no shut
Router(config-if)#int g0/2
Router(config-if)#no shut
Router(config-if)#ip add 13.13.13.254 255.255.255.0
Router(config-if)#int g0/0
Router(config-if)#no shut
Router(config-if)#ip add 14.14.14.1 255.255.255.0
Route3配置IP地址
Router(config)#int g0/1
Router(config-if)#no shut
Router(config-if)#ip add 14.14.14.2 255.255.255.0
Router(config-if)#int g0/0
Router(config-if)#ip add 15.15.15.2 255.255.255.0
Router(config-if)#no shut
2、给pc3配置IP地址
3、在总公司的出口route2处启动ospf
Router(config)#route ospf 100
Router(config-router)#net 11.11.11.0 0.0.0.255 a 0
Router(config-router)#net 15.15.15.0 0.0.0.255 a 0
其中直连的192.168.50.1可以看作为直连的静态路由
在route3处设置ospf:
Router(config)#route ospf 100
Router(config-router)#net 15.15.15.0 0.0.0.255 a 0
Router(config-router)#net 14.14.14.0 0.0.0.255 a 0
在route5处设置ospf:
Router(config)#route ospf 100
Router(config-router)#net 14.14.14.0 0.0.0.255 a 0
Router(config-router)#net 13.13.13.0 0.0.0.255 a 0
Router(config-router)#net 12.12.12.0 0.0.0.255 a 0
在route4处设置ospf:
Router(config)#route ospf 100
Router(config-router)#net 12.12.12.0 0.0.0.255 a 0
Router(config-router)#net 11.11.11.0 0.0.0.255 a 0
验证:在pc3处验证 可以ping通route2的g01接口11.11.11.1
关键点:
再route2的在ospf选项下,进行路由重分发设置,添加直连路由connected和静态路由static(包含子网)
Router(config)#route ospf 100
Router(config-router)#redistribute connected subnets
Router(config-router)#redistribute static subnets
4、route2下加通往192.168.50.254的默认路由,
Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.50.254
Router(config)#ip route 192.168.10.0 255.255.255.0 192.168.50.254
Router(config)#ip route 192.168.20.0 255.255.255.0 192.168.50.254
Router(config)#ip route 192.168.30.0 255.255.255.0 192.168.50.254
Router(config)#ip route 192.168.40.0 255.255.255.0 192.168.50.254
5、在三层交换机处配置默认路由
SW-hexin(config)#ip route 0.0.0.0 0.0.0.0 192.168.50.1
SW-hexin(config)#no ip route 0.0.0.0 0.0.0.0 192.168.40.2
因为40.2网段到外网的默认全零路由被使用了,所以添加另外一条路由:
原本为192.168.40.2的到12.12.12.0
改为:
76.12.0.0到192.168.40.2
SW-hexin(config)#ip route 76.12.0.0 255.255.0.0 192.168.40.2
配了往左来的明细路由
禁止pc3去pingpc0 1
SW-HeXxin(config-if)#access-list 102 deny icmp host 13.13.13.1 host 192.168.10.1
SW-HeXxin(config)#access-list 102 deny icmp host 13.13.13.1 host 192.168.10.1
SW-HeXxin(config)#access-list 102 deny icmp host 13.13.13.1 host 192.168.20.1
SW-HeXxin(config)#access-list 102 permit ip any any
SW-HeXxin(config)#int vlan 50
SW-HeXxin(config-if)#ip access-group 102 in
- nat转换要求
- 192.168.10.1---- 12.12.12.3
- 192.168.20.1----12.12.12.4
- 192.168.30.1 80----12.12.12.5 1314
一、首先进行地址转换的定义,如下图2-2所示:
图2-2 地址转换定义
二、其次在定义之后是需要在调用之后才可以生效的,所以需要在接口处进行调用,对出入口进行调用,其中Route0的g0/0 是入口,g0/1是出口,如下图2-3所示:
图2-3接口调用
三、最后退出到特权模式下开启debug ip nat,如下图2-4所示:
图2-4 开启debug ip nat
- PC3可以Ping通内网区域Server0。
实现条件:
- 在左侧黄色区域的服务器进行IP地址和ospf的配置;
- 在Route2的ospf选项下进行路由重分发设置,添加直连路由connected和静态路由static;
- 进入三层交换机进行路由配置,即可使得PC3可以和下图红色内网部分进行通信。
PC3可以Ping通内网区域Server0的结果如下图2-5所示:
图2-5 PC3与内网server0的通信
- PC3禁止Ping通PC1与PC0
在三层交换机下直接调用原地址,进入全局配置模式之后,添加针对于PC3的扩展ACL,即可禁止PC3 ping 通PC1、PC0,命令如下图2-6-1所示:
图2-6 -1 PC3相关ACL配置语句
配置结果如下图2-6-2、图2-6-3所示:
图2-6-2 PC3与PC1通信结果
图2-6-3 PC3与PC0通信结果
- 内网区域互通
实现条件:
- 配置内网区域PC0、PC1上午IP地址;
- 进入三层交换机划分五个VLAN并对所对应端口进行access或trunk的配置;
- 之后对switch0和switch1进行VLAN的建立和划分
内网区域如下图2-7-1红色部分所示:
图2-7-1 红色的内网区域
内网区域为上图中红色部分,互通结果如下图2-7-2、图2-7-3所示:
图2-7-2 PC0与PC1通信结果
图2-7-3 PC1与Server0通信结果
- 内网PC1可以访问外网Server1 Web服务,禁止Ping
在三层交换机下直接调用原地址,进入全局配置模式之后,添加针对于PC1的扩展ACL,即可使PC1可以访问Server1 Web服务,禁止Ping,命令如下图2-8-1所示:
图2-8-1 PC1相关ACL配置语句
PC1可以访问外网Server1 Web服务,如下图2-8-2所示:
图2-8-2 PC1访问外网Server1结果
Pc1可以ping不通server1,如下图2-8-3所示:
图2-8-3 PC1 ping Server结果
- 内网PC0 不可以访问外网Server1 Web服务,允许Ping
在三层交换机下直接调用原地址,进入全局配置模式之后,添加针对于PC0的扩展ACL,即可使PC0 不可以访问外网Server1 Web服务,允许Ping,命令如下图2-9-1所示:
图2-9-1 PC0相关ACL配置语句
Pc0不可以访问server1,如下图2-9-2所示:
图2-9-2 PC0访问外网Server1结果
Pc0可以ping通server1,如下图2-9-3所示:
图2-9-3 PC0 ping Server结果