共计 5558 个字符,预计需要花费 14 分钟才能阅读完成。
需要
- 某公司有三个部门,要使三个部门能够拜访互联网,但各个部门之间不能互相拜访。
- 内网有一台服务器,所有人都要能拜访到,而且要对内外提供 HTTP、DNS 服务。
- 三个部门的机器均应用动静 IP 上网,服务器应用动态 IP 上网。
- ISP 提供动态 IP 接入,只提供一个外网 IP,IP 地址 1.1.1.1,子网掩码 255.255.255.0,网关:1.1.1.254(瞎编的)。
方案设计
- 1841 作为网关,提供路由、NAT、DHCP 等服务,设置 ACL 限度 VLAN 间互访。
- 2960 作为二层交换机,划分 VLAN。
网络拓扑图
交换机端口、VLAN 划分
- 部门一 FE0/1-8: 绑定 VLAN10
- 部门二 FE0/9-16: 绑定 VLAN20
- 部门三 FE0/17-24: 绑定 VLAN30
- 干路 GE0/1: 连贯路由器的 FE0/ 1 口,TRUNK 容许 VLAN10 20 30 100 通过
- 服务器 GE0/1: 绑定 VLAN100
- 路由器端口、网段、IP 划分
- FE0/0:WAN 接口、IP 为 1.1.1.1
- FE0/1:连贯交换机的 GE0/ 1 口,上面划分多个子接口,本身不设置 IP 地址,
- FE0/1.1: 绑定 VLAN10,IP 为 192.168.1.1/24
- FE0/1.2: 绑定 VLAN20,IP 为 192.168.2.1/24
- FE0/1.3: 绑定 VLAN30,IP 为 192.168.3.1/24
- FE0/1.4: 绑定 VLAN100,IP 为 192.168.100.1/24
以下为残缺设置命令,有具体正文,设施均已复原出厂设置
交换机配置
进入特权模式
Switch>enable进入配置模式
Switch#configure terminal设置部门一 VLAN10
Switch(config)#interface range FastEthernet 0/1-8 % 端口组 FE0/1-8
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 10 % 设置端口为 access 模式,绑定 vlan10
Switch(config-if-range)#exit设置部门二 VLAN20
Switch(config)#interface range FastEthernet 0/9-16 % 端口组 FE0/9-16
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 20 % 设置端口为 access 模式,绑定 vlan20
Switch(config-if-range)#exit设置部门三 VLAN30
Switch(config)#interface range FastEthernet 0/17-24 % 端口组 FE0/17-24
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 30 % 设置端口为 access 模式,绑定 vlan30
Switch(config-if-range)#exit设置服务器 VLAN100
Switch(config)#interface range GigabitEthernet 0/2
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 100 % 设置端口为 access 模式,绑定 vlan100
Switch(config-if-range)#exit设置汇聚口
Switch(config)#interface GigabitEthernet 0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan 10,20,30,100 % 设置端口为 trunk 模式,容许 VLAN10 20 30 100 通过
Switch(config-if)#exit设置生成树疾速转发
Switch(config)#spanning-tree portfast default % 珍惜贵重的工夫退出 & 保留设置
Switch(config)#exit
Switch#write路由器配置
进入特权模式
Router>enable进入配置模式
Router#configure terminal设置部门一 VLAN10 ACL 规定 1,仅禁止拜访其余两个网段
Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255
Router(config)#access-list 1 deny 192.168.3.0 0.0.0.255
** Router(config)#access-list 1 permit any
设置部门二 VLAN20 ACL 规定 2,仅禁止拜访其余两个网段 **
Router(config)#access-list 2 deny 192.168.1.0 0.0.0.255
Router(config)#access-list 2 deny 192.168.3.0 0.0.0.255
Router(config)#access-list 2 permit any设置部门三 VLAN30 ACL 规定 3,仅禁止拜访其余两个网段
Router(config)#access-list 3 deny 192.168.1.0 0.0.0.255
Router(config)#access-list 3 deny 192.168.2.0 0.0.0.255
Router(config)#access-list 3 permit any设置服务器 VLAN100 ACL 规定 4,容许拜访任何网络
Router(config)#access-list 4 permit any设置 NAT ACL 规定 5,仅容许四个内网网段进行 NAT
Router(config)#access-list 5 permit 192.168.1.0 0.0.0.255
Router(config)#access-list 5 permit 192.168.2.0 0.0.0.255
Router(config)#access-list 5 permit 192.168.3.0 0.0.0.255
Router(config)#access-list 5 permit 192.168.100.0 0.0.0.255
Router(config)#access-list 5 deny any设置 WAN 接口
Router(config)#interface FastEthernet 0/0
Router(config-if)#no shutdown
Router(config-if)#ip address 1.1.1.1 255.255.255.0
Router(config-if)#ip nat outside % 设置为 NAT 内部接口
Router(config-if)#exit设置 LAN 接口
Router(config)#interface FastEthernet 0/1
Router(config-if)#no shutdown % 物理接口只需开启即可,不必设置 IP 地址
Router(config-if)#exit设置部门一 VLAN10 子接口
Router(config)#interface FastEthernet 0/1.1
Router(config-subif)#encapsulation dot1Q 10 % 用 802.1Q 封装数据帧,以便兼容交换机
Router(config-subif)#ip address 192.168.1.1 255.255.255.0
Router(config-subif)#ip access-group 1 in % 入口流量利用 ACL 规定 1
Router(config-subif)#ip access-group 1 out % 进口流量利用 ACL 规定 1
Router(config-subif)#ip nat inside % 设置为 NAT 外部接口
Router(config-subif)#exit设置部门二 VLAN20 子接口
Router(config)#interface FastEthernet 0/1.2
Router(config-subif)#encapsulation dot1Q 20 % 用 802.1Q 封装数据帧,以便兼容交换机
Router(config-subif)#ip address 192.168.2.1 255.255.255.0
Router(config-subif)#ip access-group 2 in % 入口流量利用 ACL 规定 2
Router(config-subif)#ip access-group 2 out % 进口流量利用 ACL 规定 2
Router(config-subif)#ip nat inside
Router(config-subif)#exit设置部门三 VLAN30 子接口
Router(config)#interface FastEthernet 0/1.3
Router(config-subif)#encapsulation dot1Q 30 % 用 802.1Q 封装数据帧,以便兼容交换机
Router(config-subif)#ip address 192.168.3.1 255.255.255.0
Router(config-subif)#ip access-group 3 in % 入口流量利用 ACL 规定 3
Router(config-subif)#ip access-group 3 out % 进口流量利用 ACL 规定 3
Router(config-subif)#ip nat inside % 设置为 NAT 外部接口
Router(config-subif)#exit设置服务器 VLAN100 子接口
Router(config)#interface FastEthernet 0/1.4
Router(config-subif)#encapsulation dot1Q 100 % 用 802.1Q 封装数据帧,以便兼容交换机
Router(config-subif)#ip address 192.168.100.1 255.255.255.0
Router(config-subif)#ip access-group 4 in % 入口流量利用 ACL 规定 4
Router(config-subif)#ip access-group 4 out % 进口流量利用 ACL 规定 4
Router(config-subif)#ip nat inside % 设置为 NAT 外部接口
Router(config-subif)#exit设置 DHCP 排除地址(这里只设置路由器自身 IP)
Router(config)#ip dhcp excluded-address 192.168.1.1
Router(config)#ip dhcp excluded-address 192.168.2.1
Router(config)#ip dhcp excluded-address 192.168.3.1设置 VLAN10 DHCP 服务器
Router(config)#ip dhcp pool vlan10
Router(dhcp-config)#default-router 192.168.1.1
Router(dhcp-config)#dns-server 192.168.100.254
Router(dhcp-config)#network 192.168.1.0 255.255.255.0
Router(dhcp-config)#exit设置 VLAN20 DHCP 服务器
Router(config)#ip dhcp pool vlan20
Router(dhcp-config)#default-router 192.168.2.1
Router(dhcp-config)#dns-server 192.168.100.254
Router(dhcp-config)#network 192.168.2.0 255.255.255.0
Router(dhcp-config)#exit设置 VLAN30 DHCP 服务器
Router(config)#ip dhcp pool vlan30
Router(dhcp-config)#default-router 192.168.3.1
Router(dhcp-config)#dns-server 192.168.100.254
Router(dhcp-config)#network 192.168.3.0 255.255.255.0
Router(dhcp-config)#exit设置路由
Router(config)#ip routing % 开启路由转发
Router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.254 % 设置默认网关设置 NAT
Router(config)#ip nat inside source list 5 interface FastEthernet0/0 overload % 容许四个网段进行 NAT,出接口为 WAN 口,开启端口地址复用
Router(config)#ip nat inside source static tcp 192.168.100.254 80 1.1.1.1 80 % 将外部服务器的 80 端口映射到公网 IP 上
Router(config)#ip nat inside source static udp 192.168.100.254 53 1.1.1.1 53 % 将外部服务器的 53 端口映射到公网 IP 上退出 & 保留设置
Router(config)#exit
Router#write
正文完
