需求
1、在校园网内有一台web服务器,学院A、学院B和学院C,使用NAT访问访问外网
2、使用静态路由
3、校园网内部用户均可以通过校园网访问到对方。
网络规划
网络拓扑
设计与分析
1、校园网三层交换机的设置与分析
结合校园网的网络拓扑图,在三层交换机上划分了四个vlan,分别是VLAN 10、VLAN 20、VLAN 30、 VLAN 40。在虚拟局域网,将一台物理交换机在逻辑上做隔离,这样的好处是:对网络进行有效分段,划分广播域、打破物理地域限制。
三层交换机和二层交换机的区别就是三层交换机工作在网络层,二层交换机工作在数据链路层,其实三层交换机就是在二层交换技术上增加三层转发功能(ip routing 路由功能)。三层交换机工作的原理就是一次路由,多次转发。
具体的配置就是,我们现在三层交换机上创建4个vlan ,然后在4个接口下划分vlan,然后在接口下每个接口下使用 no switchport 这条命令关闭交换功能,开启路由功能,然后使用ip add+网关+子网掩码,最后等每个接口都配置好以后,使用ip routing 这个命令开启路由功能。
由于,校园网需要主机可以访问外网服务器以及让模拟互联网主机访问校园网的web服务器,所以我们需要配置静态路由,实现互联互通,考虑到实际情况,我们直接使用默认路由出去,这样就包含了所有网段。配置是ip route 0.0.0.0 0.0.0.0 12.1.1.2
由于在f0/5接口下,连接的是路由器A,所以我添加了12.1.1.0/24网络,在f0/5和路由器A的f0/0接口下,分别添加12.1.1.1和12.1.1.2 。
2、路由器A的设置与分析
路由器A作为校园网和外网的连接点,既要考虑校园网的静态路由,又要考虑外网的静态路由,同时还要考虑NAT网络地址翻译技术,这样才能在模拟互联网主机上访问校园网,校园网的学生用户才能访问外网。所以我们需要一步步考虑。
首先,我们先考虑直连问题,我先在路由器A的f0/0接口上添加12.1.1.2,然后在f0/1添加23.1.1.2,这样就实现了三层交换机和路由器A和路由器A和路由器B之间的互联互通。
其次,就是要考虑静态路由,我们在三层交换机上已经使用一跳默认路由到路由器A,所以现在,我们要使用明细路由使路由器A到三层交换机之间通信,根据IP地址划分表,我们需要添加192.168.1.65/26、192.168.2.0/24、192.168.3.0/24、192.168.4.0/24、192.168.1.128/26这五个网段,下一跳是12.1.1.1 ,具体的配置会在下面展示。然后是外网这边,首先使用一条默认路由出去,然后再添加一条10.0.0.0/8网段,下一跳是23.1.1.3 。这样静态路由的部分就完成了。
然后,就是这个实验的重难点部分了。NAT技术。NAT的作用是内部地址转换(内部本地地址转化为内部全局地址)、复用内部的全局地址(端口复用)、TCP负载均衡。NAT技术总共分为三种:
静态映射---静态NAT:将一个私有地址转换为一个共有地址
PAT端口NAT:端口复用(将多个私有地址转换为一个共有地址)
NAT池:将多个私有地址转换为多个共有地址
校园网想要访问外网,就有几个网段要同时访问,所以,这就需要我们将多个私有地址转换为一个公有地址。所以我们需要使用标准的访问控制列表,具体配置:access-list 列表号+动作+网段+通配符。意思就是允许/拒绝数据包中源IP地址为多少的流量。并且一个ACL的列表号下,允许存在多条访问控制列表。所以我们将校园网需要通行的几个网段的流量都添加到一个列表号下。然后定义转换规则,配置:ip nat inside source list 1 interface FastEthernet0/1 overload ,然后在定义端口角色。这样就可以实现校园网内的主机访问外网的web服务器。
但是,外网的模拟主机想要访问校园网的web服务器则是不同。配置如下:ip nat inside source static tcp 192.168.1.129 80 23.1.1.2 8080 ,就是将192.168.1.129的TCP 80 端口映射到23.1.1.2的TCP 8080 端口上。然后在定义端口角色。
