前言
必可活用于工控配交换机(
案例
某公司在A、B两地分别设有总公司和分公司。现需要为该公司建设企业网络,需要将总公司和分公司互联,以实现企业内部安全、高效的数据通信及资源共享;同时,总公司和分公司都需要接入Internet网络。目前,公司只申请到有限数量的公网IP地址,企业网络内部需要使用私有IP地址,但需全网接入Internet。
需求
- 总公司包括财务部、开发部、销售部以及服务器区,分公司包括开发部和销售部,为了提高数据传输效率、保证数据传输安全等因素,需要按照部门对公司内部网络进行广播域分割,公司所有服务器需要在一个独立的广播域内。(使用VLAN技术)
- 内部均使用私有IP地址,但需要与Internet网络通信。(使用NAT技术)
- 为了保证内部网络安全,以及内部网络各部门之间访问权限的限制,需要根据公司具体要求过滤内部网络与外部网络之间的数据包,以及内部网络各部门之间的数据包。(使用访问控制列表ACL)
- 使用路由协议或者静态/默认路由,实现内部网络的连通以及对Internet网络的访问。(OSPF协议+静态路由+ 默认路由)
- 需要实现总公司与分公司之间安全、可靠的传输内部数据。(使用VPN技术)
拓扑构建与IP地址规划
构建拓扑图
路由器这一层需要三个路由器,分别对应总公司、分公司和公网 Internet
此处选择 2811 型号的路由器,模块采用 HWIC-2T,用于通过WAN接口与互联网通信,注意关闭电源才能加模块
然后路由器之间使用串行 DCE 连接
三层交换机,总公司和分公司都需要多层交换机
这里选择 3560 24PS 型号
二层交换机,几个部门就对应几个二层交换机
这里选择 2960 型号
最底层的终端设备,两个公司除了服务器区为 Server 以外均为 PC,Internet 网络上通过交换机有 Server 和 PC
基本拓扑图:
IP划分
为总公司和分公司分别分配17位子网掩码的地址段
公司名称 IP 地址段 总公司 172.16.0.0/17 分公司 172.16.128.0/17 总公司和分公司内部可使用 24 位掩码的 IP 地址段
总公司三层设备的互联地址使用 172.16.126.0/24 的地址段;分公司三层设备的互联地址使用 172.16.254.0/24 的地址段。为了节省 IP 地址,三层设备的互联地址均使用 30 位子网掩码
公司名称 网关路由器 核心交换机1 子网掩码 总公司 172.16.126.1 172.16.126.2 255.255.255.252 分公司 172.16.254.1 172.16.254.2 255.255.255.252 为总公司和分公司的网关路由器分别配置 loopback 接口的 IP 地址,作为其管理地址
公司名称 IP 地址 总公司 192.168.0.1/32 分公司 192.168.0.2/32 为总公司的可管理交换机规划管理IP地址,这里使用的 IP 地址网段为总公司网段 172.16.0.0/17 中最小的一个 24 位子网掩码的网段 172.16.1.0/24
C段下主机标识的最高位“1”代表核心交换机,“2”代表接入交换机;最低位的数字代表该交换机在这类交换机中的编号
部门 IP 地址 核心交换机1 172.16.1.101/24 接入交换机1 172.16.1.201/24 接入交换机2 172.16.1.202/24 接入交换机3 172.16.1.203/24 接入交换机4 172.16.1.204/24 分公司如下:
交换机名称 IP 地址 核心交换机 172.16.129.101/24 接入交换机 172.16.129.201/24 配置 VLAN,为每个部门分配一个 24 位子网掩码的网络号,每个网段的网关 IP 地址统一使用 .254
总公司
部门 VLAN 名 VLAN ID IP 地址段 网关 IP 地址 服务器区 VLAN_Server 2 172.16.2.0/24 172.16.2.254 开发部 VLAN_KFB 3 172.16.3.0/24 172.16.3.254 销售部 VLAN_XSB 4 172.16.4.0/24 172.16.4.254 财务部 VLAN_CWB 5 172.16.5.0/24 172.16.5.254 分公司
部门 VLAN 名 VLAN ID IP 地址段 网关 IP 地址 开发部 VLAN_Sub_KFB 30 172.16.130.0/24 172.16.130.254 销售部 VLAN_Sub_XSB 40 172.16.131.0/24 172.16.131.254 模拟Internet网络
Internet 总公司 分公司 子网掩码 23.1.1.254 23.1.1.1 255.255.255.0 23.1.2.254 23.1.2.1 255.255.255.0 23.1.3.254 PC:23.1.3.1 255.255.255.0
结合设备,最终的IP划分:
| 分布 | 设备名称 | 接口 | Vlan | IP地址 | 子网掩码 | 所接设备及接口 |
|---|---|---|---|---|---|---|
| 总公司 | Router-2811-0 | F0/0 | 172.16.126.1 | 255.255.255.252 | Switch-3560-24PS-0 F0/1 | |
| S0/0/0 | 23.1.1.1 | 255.255.255.0 | Router-2811-2 S0/0/0 | |||
| loopback0 | 192.168.0.1 | 255.255.255.255 | ||||
| Switch-3560-24PS-0 | F0/1 | 172.16.126.2 | 255.255.255.252 | Router-2811-0 F0/0 | ||
| F0/2 | Switch-2960-24TT-0 F0/1 | |||||
| F0/3 | Switch-2960-24TT-1 F0/1 | |||||
| F0/4 | Switch-2960-24TT-2 F0/1 | |||||
| F0/5 | Switch-2960-24TT-3 F0/1 | |||||
| Vlan1 | 172.16.1.101 | 255.255.255.0 | ||||
| Vlan2 | 172.16.2.254 | 255.255.255.0 | ||||
| Vlan3 | 172.16.3.254 | 255.255.255.0 | ||||
| Vlan4 | 172.16.4.254 | 255.255.255.0 | ||||
| Vlan5 | 172.16.5.254 | 255.255.255.0 | ||||
| Switch-2960-24TT-0 | F0/1 | Switch-3560-24PS-0 F0/2 | ||||
| F0/2 | 2 | Server-PT-0 F0 | ||||
| F0/3 | 2 | Server-PT-1 F0 | ||||
| Vlan1 | 172.16.1.201 | 255.255.255.0 | ||||
| Switch-2960-24TT-1 | F0/1 | Switch-3560-24PS-0 F0/3 | ||||
| F0/2 | 3 | PC-PT-0 F0 | ||||
| Vlan1 | 172.16.1.202 | 255.255.255.0 | ||||
| Switch-2960-24TT-2 | F0/1 | Switch-3560-24PS-0 F0/4 | ||||
| F0/2 | 4 | PC-PT-1 F0 | ||||
| Vlan1 | 172.16.1.203 | 255.255.255.0 | ||||
| Switch-2960-24TT-3 | F0/1 | Switch-3560-24PS-0 F0/5 | ||||
| F0/2 | 5 | PC-PT-2 F0 | ||||
| Vlan1 | 172.16.1.204 | 255.255.255.0 | ||||
| Server-PT-0 | F0 | 172.16.2.1 | 255.255.0.0 | Switch-2960-24TT-0 F0/2 | ||
| Server-PT-1 | F0 | 172.16.2.2 | 255.255.0.0 | Switch-2960-24TT-0 F0/3 | ||
| PC-PT-0 | F0 | 172.16.3.1 | 255.255.0.0 | Switch-2960-24TT-1 F0/2 | ||
| PC-PT-1 | F0 | 172.16.4.1 | 255.255.0.0 | Switch-2960-24TT-2 F0/2 | ||
| PC-PT-2 | F0 | 172.16.5.1 | 255.255.0.0 | Switch-2960-24TT-3 F0/2 | ||
| 分公司 | Router-2811-1 | F0/0 | 172.16.254.1 | 255.255.255.252 | Switch-3560-24PS-1 F0/1 | |
| S0/0/1 | 23.1.2.1 | 255.255.255.0 | Router-2811-2 S0/0/1 | |||
| loopback0 | 192.168.0.2 | 255.255.255.255 | ||||
| Switch-3560-24PS-1 | F0/1 | 172.16.254.2 | 255.255.255.252 | Router-2811-1 F0/0 | ||
| F0/2 | Switch-2960-24TT-4 F0/1 | |||||
| F0/3 | Switch-2960-24TT-5 F0/1 | |||||
| Vlan1 | 172.16.129.101 | 255.255.255.0 | ||||
| Vlan30 | 172.16.130.254 | 255.255.255.0 | ||||
| Vlan40 | 172.16.131.254 | 255.255.255.0 | ||||
| Switch-2960-24TT-4 | F0/1 | Switch-3560-24PS-1 F0/2 | ||||
| F0/2 | 30 | PC-PT-3 F0 | ||||
| Vlan1 | 172.16.129.201 | 255.255.255.0 | ||||
| Switch-2960-24TT-5 | F0/1 | Switch-3560-24PS-1 F0/3 | ||||
| F0/2 | 40 | PC-PT-4 F0 | ||||
| Vlan1 | 172.16.129.202 | 255.255.255.0 | ||||
| PC-PT-3 | F0 | 172.16.130.1 | 255.255.0.0 | Switch-2960-24TT-4 F0/2 | ||
| PC-PT-4 | F0 | 172.16.131.1 | 255.255.0.0 | Switch-2960-24TT-5 F0/2 | ||
| 外网Internet | Router-2811-2 | S0/0/0 | 23.1.1.254 | 255.255.255.0 | Router-2811-0 S0/0/0 | |
| S0/0/1 | 23.1.2.254 | 255.255.255.0 | Router-2811-1 S0/0/1 | |||
| F0/0 | 23.1.3.254 | 255.255.255.0 | Switch-2960-24TT-6 F0/1 | |||
| Switch-2960-24TT-6 | F0/1 | Router-2811-2 F0/0 | ||||
| F0/2 | PC-PT-5 F0 | |||||
| F0/3 | Server-PT-2 F0 | |||||
| PC-PT-5 | F0 | 23.1.3.1 | 255.255.255.0 | Switch-2960-24TT-6 F0/2 | ||
| Server-PT-2 | F0 | 23.1.3.2 | 255.255.255.0 | Switch-2960-24TT-6 F0/3 |
基本配置
关闭域名查询
Router-2811-0(config)#no ip domain-lookup主机命名修改
old_hostname>enable
old_hostname#configure terminal
old_hostname(config)#hostname new_name
new_name(config)#规范示例:设备地理位置-设备类型/网络位置-设备型号-设备编号
配置特权密码
hostname>enable
hostname#configure terminal
hostname(config)#enable password 123456
Console端口密码
Router-2811-0(config)#line console 0
Router-2811-0(config-line)#password 111111
Router-2811-0(config-line)#login使用 配置线 连接电脑的 COM/RS232 接口和路由器的 Console 接口
然后在笔记本配置终端,主要是波特率,这里是默认的9600
确定即可连接上路由器
配置VTY的密码
Switch-3560-24PS-0(config-line)#line vty 0
Switch-3560-24PS-0(config-line)#password aaaaaa
Switch-3560-24PS-0(config-line)#login
保存配置文件
Router-2811-0#copy running-config startup-config路由器配置
| 设备名称 | 接口 | IP地址 | 子网掩码 |
|---|---|---|---|
| Router-2811-0 | F0/0 | 172.16.126.1 | 255.255.255.252 |
| S0/0/0 | 23.1.1.1 | 255.255.255.0 | |
| loopback0 | 192.168.0.1 | 255.255.255.255 | |
| Router-2811-1 | F0/0 | 172.16.254.1 | 255.255.255.252 |
| S0/0/1 | 23.1.2.1 | 255.255.255.0 | |
| loopback0 | 192.168.0.2 | 255.255.255.255 | |
| Router-2811-2 | S0/0/0 | 23.1.1.254 | 255.255.255.0 |
| S0/0/1 | 23.1.2.254 | 255.255.255.0 | |
| F0/0 | 23.1.3.254 | 255.255.255.0 |
Router-2811-0(config)#interface fa0/0
Router-2811-0(config-if)#ip address 172.16.126.1 255.255.255.252
Router-2811-0(config-if)#no shutdown
Router-2811-0(config)#interface Serial0/0/0
Router-2811-0(config-if)#ip address 23.1.1.1 255.255.255.0
Router-2811-0(config-if)#no shutdown
Router-2811-1(config)#interface fa0/0
Router-2811-1(config-if)#ip address 172.16.254.1 255.255.255.252
Router-2811-1(config-if)#no shutdown
Router-2811-1(config)#interface Serial0/0/1
Router-2811-1(config-if)#ip address 23.1.2.1 255.255.255.0
Router-2811-1(config-if)#no shutdown
Router-2811-2(config)#interface Serial0/0/0
Router-2811-2(config-if)#ip address 23.1.1.254 255.255.255.0
Router-2811-2(config-if)#no shutdown
Router-2811-2(config)#interface Serial0/0/1
Router-2811-2(config-if)#ip address 23.1.2.254 255.255.255.0
Router-2811-2(config-if)#no shutdown
Router-2811-2(config)#interface FastEthernet0/0
Router-2811-2(config-if)#ip address 23.1.3.254 255.255.255.0
Router-2811-2(config-if)#no shutdownloopback地址规划
Router-2811-0(config)#interface loopback 0
Router-2811-0(config-if)#ip address 192.168.0.1 255.255.255.255
Router-2811-0(config-if)#no shutdown
Router-2811-1(config)#interface loopback 0
Router-2811-1(config-if)#ip address 192.168.0.2 255.255.255.255
Router-2811-1(config-if)#no shutdown交换机VLAN配置
三层——互联地址规划
| 设备名称 | 接口 | IP地址 | 子网掩码 |
|---|---|---|---|
| Switch-3560-24PS-0 | F0/1 | 172.16.126.2 | 255.255.255.252 |
| Switch-3560-24PS-1 | F0/1 | 172.16.254.2 | 255.255.255.252 |
Switch-3560-24PS-0(config)#interface f0/1
Switch-3560-24PS-0(config-if)#no switchport
Switch-3560-24PS-0(config-if)#ip address 172.16.126.2 255.255.255.252
Switch-3560-24PS-0(config-if)#no shutdown
Switch-3560-24PS-1(config)#int f0/1
Switch-3560-24PS-1(config-if)#no switchport
Switch-3560-24PS-1(config-if)#ip address 172.16.254.2 255.255.255.252
Switch-3560-24PS-1(config-if)#no shutdown 二三层——配置trunk链接
| 设备名称 | trunk端口 | access端口 | 归属vlan |
|---|---|---|---|
| Switch-3560-24PS-0 | F0/1 | ||
| F0/2 | Vlan2 | ||
| F0/3 | Vlan3 | ||
| F0/4 | Vlan4 | ||
| F0/5 | Vlan5 | ||
| Switch-3560-24PS-1 | F0/1 | ||
| F0/2 | Vlan30 | ||
| F0/3 | Vlan40 |
Switch-3560-24PS-0(config)#int f0/2
Switch-3560-24PS-0(config-if)#switchport trunk encapsulation dot1q
Switch-3560-24PS-0(config-if)#switchport mode trunk
Switch-3560-24PS-0(config-if)#int f0/3
Switch-3560-24PS-0(config-if)#switchport trunk encapsulation dot1q
Switch-3560-24PS-0(config-if)#switchport mode trunk
Switch-3560-24PS-0(config-if)#int f0/4
Switch-3560-24PS-0(config-if)#switchport trunk encapsulation dot1q
Switch-3560-24PS-0(config-if)#switchport mode trunk
Switch-3560-24PS-0(config-if)#int f0/5
Switch-3560-24PS-0(config-if)#switchport trunk encapsulation dot1q
Switch-3560-24PS-0(config-if)#switchport mode trunk
Switch-3560-24PS-1(config)#int f0/2
Switch-3560-24PS-1(config-if)#switchport trunk encapsulation dot1q
Switch-3560-24PS-1(config-if)#switchport mode trunk
Switch-3560-24PS-1(config-if)#int f0/3
Switch-3560-24PS-1(config-if)#switchport trunk encapsulation dot1q
Switch-3560-24PS-1(config-if)#switchport mode trunk执行完三层后二层对应的端口会自动变成trunk
二三层——配置VTP域
| 设备名称 | VTP域名 | VTP模式 | VTP密码 |
|---|---|---|---|
| Switch-3560-24PS-0 | Parent_Com | Server | 123456 |
| Switch-3560-24PS-1 | Sub_Com | Server | 123456 |
| Switch-2960-24TT-0 | Parent_Com | Client | |
| Switch-2960-24TT-1 | Parent_Com | Client | |
| Switch-2960-24TT-2 | Parent_Com | Client | |
| Switch-2960-24TT-3 | Parent_Com | Client | |
| Switch-2960-24TT-4 | Sub_Com | Client | |
| Switch-2960-24TT-5 | Sub_Com | Client |
Switch-3560-24PS-0(config)#vtp domain Parent_Com
Switch-3560-24PS-0(config)#vtp mode server
Switch-3560-24PS-0(config)#vtp password 123456
Switch-2960-24TT-0(config)#vtp mod client
Switch-2960-24TT-1(config)#vtp mod client
Switch-2960-24TT-2(config)#vtp mod client
Switch-2960-24TT-3(config)#vtp mod client
Switch-3560-24PS-1(config)#vtp domain Sub_Com
Switch-3560-24PS-1(config)#vtp mode server
Switch-3560-24PS-1(config)#vtp password 123456
Switch-2960-24TT-4(config)#vtp mod client
Switch-2960-24TT-5(config)#vtp mod client二三层——业务地址规划
| 设备名称 | 接口 | IP 地址 | 子网掩码 |
|---|---|---|---|
| Switch-3560-24PS-0 | Vlan1 | 172.16.1.101 | 255.255.255.0 |
| Switch-2960-24TT-0 | Vlan1 | 172.16.1.201 | 255.255.255.0 |
| Switch-2960-24TT-1 | Vlan1 | 172.16.1.202 | 255.255.255.0 |
| Switch-2960-24TT-2 | Vlan1 | 172.16.1.203 | 255.255.255.0 |
| Switch-2960-24TT-3 | Vlan1 | 172.16.1.204 | 255.255.255.0 |
| 总公司↑ 分公司↓ |
|||
| Switch-3560-24PS-1 | Vlan1 | 172.16.129.101 | 255.255.255.0 |
| Switch-2960-24TT-4 | Vlan1 | 172.16.129.201 | 255.255.255.0 |
| Switch-2960-24TT-5 | Vlan1 | 172.16.129.202 | 255.255.255.0 |
Switch-3560-24PS-0(config)#ip routing
Switch-3560-24PS-0(config)#interface vlan1
Switch-3560-24PS-0(config-if)#ip address 172.16.1.101 255.255.255.0
Switch-3560-24PS-0(config-if)#no shutdown
Switch-3560-24PS-1(config)#ip routing
Switch-3560-24PS-1(config)#interface vlan1
Switch-3560-24PS-1(config-if)#ip address 172.16.129.101 255.255.255.0
Switch-3560-24PS-1(config-if)#no shutdown
Switch-2960-24TT-0(config)#interface vlan1
Switch-2960-24TT-0(config-if)#ip address 172.16.1.201 255.255.255.0
Switch-2960-24TT-0(config-if)#no shutdown
Switch-2960-24TT-1(config)#int vlan1
Switch-2960-24TT-1(config-if)#ip address 172.16.1.202 255.255.255.0
Switch-2960-24TT-1(config-if)#no shutdown
Switch-2960-24TT-2(config)#int vlan1
Switch-2960-24TT-2(config-if)#ip address 172.16.1.203 255.255.255.0
Switch-2960-24TT-2(config-if)#no shutdown
Switch-2960-24TT-3(config)#int vlan1
Switch-2960-24TT-3(config-if)#ip address 172.16.1.204 255.255.255.0
Switch-2960-24TT-3(config-if)#no shutdown
Switch-3560-24PS-1(config)#int vlan1
Switch-3560-24PS-1(config-if)#ip add 172.16.129.101 255.255.255.0
Switch-3560-24PS-1(config-if)#no shutdown
Switch-2960-24TT-4(config)#int vlan1
Switch-2960-24TT-4(config-if)#ip add 172.16.129.201 255.255.255.0
Switch-2960-24TT-4(config-if)#no shutdown
Switch-2960-24TT-5(config)#int vlan1
Switch-2960-24TT-5(config-if)#ip add 172.16.129.202 255.255.255.0
Switch-2960-24TT-5(config-if)#no shutdown| 部门 | VLAN 名 | VLAN ID | IP 地址段 | 网关 IP 地址 |
|---|---|---|---|---|
| 服务器区 | VLAN_Server | 2 | 172.16.2.0/24 | 172.16.2.254 |
| 开发部 | VLAN_KFB | 3 | 172.16.3.0/24 | 172.16.3.254 |
| 销售部 | VLAN_XSB | 4 | 172.16.4.0/24 | 172.16.4.254 |
| 财务部 | VLAN_CWB | 5 | 172.16.5.0/24 | 172.16.5.254 |
| 总公司↑ 分公司↓ |
||||
| 开发部 | VLAN_Sub_KFB | 30 | 172.16.130.0/24 | 172.16.130.254 |
| 销售部 | VLAN_Sub_XSB | 40 | 172.16.131.0/24 | 172.16.131.254 |
Switch-3560-24PS-0(config)#vlan 2
Switch-3560-24PS-0(config-vlan)#name VLAN_Server
Switch-3560-24PS-0(config-vlan)#vlan 3
Switch-3560-24PS-0(config-vlan)#name VLAN_KFB
Switch-3560-24PS-0(config-vlan)#vlan 4
Switch-3560-24PS-0(config-vlan)#name VLAN_XSB
Switch-3560-24PS-0(config-vlan)#vlan 5
Switch-3560-24PS-0(config-vlan)#name VLAN_CWB
Switch-3560-24PS-0(config-vlan)#ex
Switch-3560-24PS-0(config)#int vlan2
Switch-3560-24PS-0(config-if)#ip address 172.16.2.254 255.255.255.0
Switch-3560-24PS-0(config)#int vlan3
Switch-3560-24PS-0(config-if)#ip address 172.16.3.254 255.255.255.0
Switch-3560-24PS-0(config)#int vlan4
Switch-3560-24PS-0(config-if)#ip address 172.16.4.254 255.255.255.0
Switch-3560-24PS-0(config)#int vlan5
Switch-3560-24PS-0(config-if)#ip address 172.16.5.254 255.255.255.0
Switch-3560-24PS-1(config)#vlan 30
Switch-3560-24PS-1(config-vlan)#name VLAN_Sub_KFB
Switch-3560-24PS-1(config-vlan)#vlan 40
Switch-3560-24PS-1(config-vlan)#name VLAN_Sub_XSB
Switch-3560-24PS-1(config-vlan)#int vlan30
Switch-3560-24PS-1(config-if)#ip address 172.16.130.254 255.255.255.0
Switch-3560-24PS-1(config)#int vlan40
Switch-3560-24PS-1(config-if)#ip address 172.16.131.254 255.255.255.0
Switch-2960-24TT-0(config)#ip default-gateway 172.16.2.254
Switch-2960-24TT-1(config)#ip default-gateway 172.16.3.254
Switch-2960-24TT-2(config)#ip default-gateway 172.16.4.254
Switch-2960-24TT-3(config)#ip default-gateway 172.16.5.254
Switch-2960-24TT-4(config)#ip default-gateway 172.16.130.254
Switch-2960-24TT-5(config)#ip default-gateway 172.16.131.254二层——端口划分到VLAN
Switch-2960-24TT-0(config)#interface f0/2
Switch-2960-24TT-0(config-if)#switchport access vlan 2
Switch-2960-24TT-0(config-if)#interface f0/3
Switch-2960-24TT-0(config-if)#switchport access vlan 2
Switch-2960-24TT-1(config)#int f0/2
Switch-2960-24TT-1(config-if)#switchport access vlan 3
Switch-2960-24TT-2(config)#int f0/2
Switch-2960-24TT-2(config-if)#switchport access vlan 4
Switch-2960-24TT-3(config)#int f0/2
Switch-2960-24TT-3(config-if)#switchport access vlan 5
Switch-2960-24TT-4(config)#int f0/2
Switch-2960-24TT-4(config-if)#switchport access vlan 30
Switch-2960-24TT-5(config)#int f0/2
Switch-2960-24TT-5(config-if)#switchport access vlan 40终端机配置
| 设备名称 | 接口 | IP地址 | 子网掩码 | 默认网关 |
|---|---|---|---|---|
| Server-PT-0 | F0 | 172.16.2.1 | 255.255.0.0 | 172.16.2.254 |
| Server-PT-1 | F0 | 172.16.2.2 | 255.255.0.0 | 172.16.2.254 |
| PC-PT-0 | F0 | 172.16.3.1 | 255.255.0.0 | 172.16.3.254 |
| PC-PT-1 | F0 | 172.16.4.1 | 255.255.0.0 | 172.16.4.254 |
| PC-PT-2 | F0 | 172.16.5.1 | 255.255.0.0 | 172.16.5.254 |
| PC-PT-3 | F0 | 172.16.130.1 | 255.255.0.0 | 172.16.130.254 |
| PC-PT-4 | F0 | 172.16.131.1 | 255.255.0.0 | 172.16.131.254 |
| PC-PT-5 | F0 | 23.1.3.1 | 255.255.255.0 | 23.1.3.254 |
| Server-PT-2 | F0 | 23.1.3.2 | 255.255.255.0 | 23.1.3.254 |
网络路由配置
关于路由器 Internet 部分的 IP 配置已经在上面配路由器的时候配置好了,这里直接配置 OSPF 协议
内网 OSPF
具体配置需要在网关路由器和三层交换机进行,所有网段均划分到区域0,注意网关路由器连接 Internet 网络的外网接口不参与运行 OSPF 协议
Router-2811-0(config)#router ospf 10
Router-2811-0(config-router)#network 172.16.126.0 0.0.0.3 area 0
Switch-3560-24PS-0(config)#router ospf 10
Switch-3560-24PS-0(config-router)#network 172.16.2.0 0.0.0.255 area 0
Switch-3560-24PS-0(config-router)#network 172.16.3.0 0.0.0.255 area 0
Switch-3560-24PS-0(config-router)#network 172.16.4.0 0.0.0.255 area 0
Switch-3560-24PS-0(config-router)#network 172.16.5.0 0.0.0.255 area 0
Switch-3560-24PS-0(config-router)#network 172.16.126.0 0.0.0.3 area 0此时 router 的 route
成功学习到内网网段的路由
内网PC成功ping通路由器,说明实现了总公司内部网络的连通性
网络默认路由
Router-2811-0(config)#ip route 0.0.0.0 0.0.0.0 23.1.1.254
Router-2811-0(config)#router ospf 10
Router-2811-0(config-router)#default-information originate 
此时三层交换机也学习到了默认路由
然后把分公司的 OSPF 和默认路由也配置一下
Router-2811-1(config)#ip route 0.0.0.0 0.0.0.0 23.1.2.254
Router-2811-1(config)#router ospf 10
Router-2811-1(config-router)#network 172.16.254.1 0.0.0.0 area 0
Router-2811-1(config-router)#default-information originate
Switch-3560-24PS-1(config)#router ospf 10
Switch-3560-24PS-1(config-router)#network 172.16.130.254 0.0.0.0 area 0
Switch-3560-24PS-1(config-router)#network 172.16.131.254 0.0.0.0 area 0
Switch-3560-24PS-1(config-router)#network 172.16.129.101 0.0.0.0 area 0
Switch-3560-24PS-1(config-router)#network 172.16.254.2 0.0.0.0 area 0
网络地址转换
使用 ip nat 设置总公司路由器的外部接口和内部接口
Router-2811-0(config)#int s0/0/0
Router-2811-0(config-if)#ip nat outside
Router-2811-0(config-if)#int f0/0
Router-2811-0(config-if)#ip nat inside为 web 服务器 Server-PT-0 配置静态地址转换,建立内部本地地址 172.16.2.1 与内部全局地址 23.1.1.2 之间的映射
Router-2811-0(config)#ip nat inside source static 172.16.2.1 23.1.1.2为其他部门和服务器配置 PAT 转换
// 定义访问控制列表,拒绝172.16.2.1服务器使用PAT转换
Router-2811-0(config)#access-list 1 permit 172.16.4.0 0.0.0.255
Router-2811-0(config)#access-list 2 deny host 172.16.2.1
Router-2811-0(config)#access-list 2 permit 172.16.2.0 0.0.0.255
Router-2811-0(config)#access-list 2 permit 172.16.3.0 0.0.0.255
Router-2811-0(config)#access-list 2 permit 172.16.5.0 0.0.0.255
// 定义地址池
Router-2811-0(config)#ip nat pool XSB 23.1.1.3 23.1.1.100 netmask 255.255.255.0
Router-2811-0(config)#ip nat pool Other 23.1.1.101 23.1.1.200 netmask 255.255.255.0
Router-2811-0(config)#ip nat inside source list 1 pool XSB overload
Router-2811-0(config)#ip nat inside source list 2 pool XSB overload 验证网络地址转换,查看 NAT 的配置:
验证总公司内部网络与外部网络的连通性:
测试销售部的PC机的PAT转换:
分公司同样的操作:
Router-2811-1(config)#int s0/0/1
Router-2811-1(config-if)#ip nat outside
Router-2811-1(config-if)#int f0/0
Router-2811-1(config-if)#ip nat inside
Router-2811-1(config-if)#ex
Router-2811-1(config)#access-list 1 permit 172.16.131.0 0.0.0.255
Router-2811-1(config)#access-list 2 permit 172.16.130.0 0.0.0.255
Router-2811-1(config)#ip nat pool XSB 23.1.2.2 23.1.2.100 netmask 255.255.255.0
Router-2811-1(config)#ip nat pool KFB 23.1.2.101 23.1.2.200 netmask 255.255.255.0
Router-2811-1(config)#ip nat inside source list 1 pool XSB overload
Router-2811-1(config)#ip nat inside source list 2 pool KFB overload 验证连通性:
配置访问控制列表ACL
总公司部门间互访的权限设置
配置扩展访问控制列表:
设置规则:
100:允许财务部 172.16.5.0 网段访问财务服务器 172.16.2.2,禁止其他网段访问财务服务器 172.16.2.2,
101:不允许开发部和销售部访问财务部
Switch-3560-24PS-0(config)#access-list 100 remark "Only CWB can access CW_Server:172.16.2.2"
Switch-3560-24PS-0(config)#access-list 100 permit ip 172.16.5.0 0.0.0.255 host 172.16.2.2
Switch-3560-24PS-0(config)#access-list 100 deny ip any host 172.16.2.2
Switch-3560-24PS-0(config)#access-list 100 permit ip any 172.16.2.0 0.0.0.255
Switch-3560-24PS-0(config)#int vlan 2
Switch-3560-24PS-0(config-if)#ip access-group 100 out
Switch-3560-24PS-0(config)#access-list 101 remark "KFB and XSB can not access CWB"
Switch-3560-24PS-0(config)#access-list 101 deny ip 172.16.3.0 0.0.0.255 172.16.5.0 0.0.0.255
Switch-3560-24PS-0(config)#access-list 101 deny ip 172.16.4.0 0.0.0.255 172.16.5.0 0.0.0.255
Switch-3560-24PS-0(config)#access-list 101 permit ip any 172.16.5.0 0.0.0.255
Switch-3560-24PS-0(config)#int vlan 5
Switch-3560-24PS-0(config-if)#ip access-group 101 out验证部门间互访的权限设置:
在开发部PC ping 财务部服务器:
其他服务器正常:
财务部PC ping 财务部服务器:
成功 ping 通
查看 ACL100 对数据包的过滤情况:
可以看到匹配过滤了4次请求,即开发部的 ping 请求
同样方法测试 ACL101:
配置内部网络对Internet的访问权限
限制内部网络向外部网络发送数据包,所以将访问控制列表应用在路由器的 f0/0 口的 in 方向
Router-2811-0(config)#access-list 102 remark "CWB can access WWW and FTP only"
Router-2811-0(config)#access-list 102 permit tcp 172.16.5.0 0.0.0.255 any eq www
Router-2811-0(config)#access-list 102 permit tcp 172.16.5.0 0.0.0.255 any eq FTP
Router-2811-0(config)#access-list 102 deny ip 172.16.5.0 0.0.0.255 any
Router-2811-0(config)#access-list 102 permit ip any any
Router-2811-0(config)#int f0/0
Router-2811-0(config-if)#ip access-group 102 in验证:
可以看到财务部PC可以访问 Internet 中的 WWW 服务和 FTP 服务,但是无法 ping 通
查看 ACL102 对数据包的过滤情况:
内部网络安全设计的配置
对外部网络进入内部网络的数据包进行过滤,配置 ACL103 在路由器 S0/0/0 接口的 in 方向上
// 不允许网络ping内部网络任何节点
Router-2811-0(config)#access-list 103 deny icmp any any echo
// 限制端口
Router-2811-0(config)#access-list 103 deny tcp any any eq 135
Router-2811-0(config)#access-list 103 deny tcp any any eq 139
Router-2811-0(config)#access-list 103 deny tcp any any eq 445
Router-2811-0(config)#access-list 103 deny udp any any eq 445
Router-2811-0(config)#access-list 103 deny tcp any any eq 69
Router-2811-0(config)#access-list 103 deny tcp any any eq 4444
Router-2811-0(config)#access-list 103 deny udp any any eq 4444
Router-2811-0(config)#access-list 103 deny tcp any any eq 3389
Router-2811-0(config)#access-list 103 deny udp any any eq 3389
Router-2811-0(config)#access-list 103 deny tcp any any eq 1433
Router-2811-0(config)#access-list 103 deny udp any any eq 1433
Router-2811-0(config)#access-list 103 deny tcp any any eq 1434
Router-2811-0(config)#access-list 103 deny udp any any eq 1434
Router-2811-0(config)#access-list 103 permit ip any any
// 将ACL103应用到S0/0/0接口的in方向
Router-2811-0(config)#int s0/0/0
Router-2811-0(config)#ip access-group 103 in