环境背景:模拟器Cisco Packet 5.3
该拓扑图为某中小型企业,有两个部门,销售部(vlan10)与行政部(vlan 20)
同部门之间采用二层交换网络相连:不同部门之间采用单臂路由方式互访。企业有一台内部web服务器,承载着内部网站,方便员工了解公司的即时信息。
1、 完成所有设备的基础配置
2、 所有主机都能相互互访
3、销售部可以访问内部的WEB服务器,行政部不能访问内部WEB服务器
4、所有可以访问外网200.1.1.2
以上ip就不配置了
*************************************************
首先配置路由器,所有机器基本能连接
R1 //路由器1
conf t //进入全局模式
route rip //配置路由,使用rip配置
version 2 //配置版本为2
network 172.16.1.0 //加入网络
network 10.10.10.0 //加入网络
network 192.168.1.0 //加入
network 192.168.2.0
network 10.1.1.0 // 其实这一条不用配置的,为什么去找资料
exit //返回一级
int eth1/1.1 //进入子端口,配置单臂路由
encapsulation dotlQ 10 //封装 10等于vla 10
ip address 192.168.1.254 255.255.255.0 //配置ip地址
exit
int eth1/1.2 //进入子端口
encapsulation dot1Q 20 // 20等于vlan 20
ip address 192.168.2.254 255.255.255.0
exit
************************************************
R2 //现在配置路由器2
R2# conf t
route rip
version 2
network 10.1.1.0
network 10.2.2.0 //可以省。。。
************************************
R3 //配置路由3
r3#conf t
route rip //配置路由,rip
version 2 //配置版本为2
network 172.16.2.0
network 10.2.2.0
network 192.168.1.0
network 192.168.2.0 //其实r1路由配置了,其实只配置一个就OK了
exit //返回上一级
int eth1/2.1 //进入子接口配置
encapsulation dot1Q 10 // 10等于vlan 10
ip address 192.168.1.254 255.255.255.0
exit
int eth1/2.2
encapsulation dotlQ 20 // 20等于vlan 20
ip address 192.168.2.254 255.255.255.0
*************************************
R4 //配置路由器4
r4#conf t
route rip //配置动态路由,rip
version 2
network 172.16.1.0
network 172.16.2.0
network 200.1.1.0
*************下面开始交换机vlan*****************
s1 //配置交换机1
s1#vlan database
vlan 10 //创建vlan 10
vlan 20 //创建vlan 20
exit
s1#conf t
int f0/1
switchport access vlan 10 //将f0/1端口放入vlan10中
int f0/2
switchport access vlan 20 //将f0/2端口放入vlan20中
int range f0/11-12 // 选中f0/11和f0/12
switchport mode trunk //配置为trunk
int f0/3
switchport mode trunk //配置为trunk
exit
spanning-tree vlan 10 root primary //设置优先级
spanning-tree vlan 20 root primary //设置优先级
交换机2和交换机1是一样的配置
s2 //配置交换机2
s1#vlan database
vlan 10 //创建vlan 10
vlan 20 //创建vlan 20
exit
s1#conf t
int f0/1
switchport access vlan 10 //将f0/1端口放入vlan10中
int f0/2
switchport access vlan 20 //将f0/2端口放入vlan20中
int range f0/11-12 // 选中f0/11和f0/12
switchport mode trunk //配置为trunk
int f0/3
switchport mode trunk //配置为trunk
exit
spanning-tree vlan 10 root primary //设置优先级
spanning-tree vlan 20 root primary //设置优先级
***************************************
配置到了这一步,机器之间就都可以访问了,下面开始访问控制列表(acl)
r1#conf t //配置路由器1,因为www服务器是在这个路由器的接口上
access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 10.10.10.10 eq www
// 拒绝192.168.2.0这个网段访问10.10.10.10的www服务器
access-list 101 permit ip any any //允许所有的ip访问所有地址
int f0/0 // 进入f0/0端口
ip access-group 101 out // 将101这个列表加入到f0/0的出口
exit
现在用192.168.2.0的段,访问10.10.10.10会返回超时,可以ping通
*******************************************
现在配置nat网络
r4 //配置路由器4
r4#conf t
int f0/0
ip nat inside //配置为nat内网入口
exit
int f0/1
ip nat inside //配置为nat内网入口
int s0/1/0
ip net outside //配置为nat外网入口
exit //返回上一级
access-list 1 permit any //配置列表为1,允许访问所有
ip nat pool name 200.1.1.2 200.1.1.2 netmask 255.255.255.252 //创建一个名为name的地址池,
地址范围为200.1.1.2^200.1.1.2
ip nat inside source list 1 pool name // 内网为acl列表1,外网为地址池name
ip route 0.0.0.0 0.0.0.0 200.1.1.2 //允许所有的IP通过200.1.1.2