关于网络:多vlan实现互访使用NATDHCPACL等技术实现公司组网

12次阅读

共计 5558 个字符,预计需要花费 14 分钟才能阅读完成。

需要

  1. 某公司有三个部门,要使三个部门能够拜访互联网,但各个部门之间不能互相拜访。
  2. 内网有一台服务器,所有人都要能拜访到,而且要对内外提供 HTTP、DNS 服务。
  3. 三个部门的机器均应用动静 IP 上网,服务器应用动态 IP 上网。
  4. ISP 提供动态 IP 接入,只提供一个外网 IP,IP 地址 1.1.1.1,子网掩码 255.255.255.0,网关:1.1.1.254(瞎编的)。

方案设计

  1. 1841 作为网关,提供路由、NAT、DHCP 等服务,设置 ACL 限度 VLAN 间互访。
  2. 2960 作为二层交换机,划分 VLAN。

网络拓扑图

交换机端口、VLAN 划分

  • 部门一 FE0/1-8: 绑定 VLAN10
  • 部门二 FE0/9-16: 绑定 VLAN20
  • 部门三 FE0/17-24: 绑定 VLAN30
  • 干路 GE0/1: 连贯路由器的 FE0/ 1 口,TRUNK 容许 VLAN10 20 30 100 通过
  • 服务器 GE0/1: 绑定 VLAN100
  • 路由器端口、网段、IP 划分
  • FE0/0:WAN 接口、IP 为 1.1.1.1
  • FE0/1:连贯交换机的 GE0/ 1 口,上面划分多个子接口,本身不设置 IP 地址,
  • FE0/1.1: 绑定 VLAN10,IP 为 192.168.1.1/24
  • FE0/1.2: 绑定 VLAN20,IP 为 192.168.2.1/24
  • FE0/1.3: 绑定 VLAN30,IP 为 192.168.3.1/24
  • FE0/1.4: 绑定 VLAN100,IP 为 192.168.100.1/24

以下为残缺设置命令,有具体正文,设施均已复原出厂设置

交换机配置

进入特权模式

Switch>enable

进入配置模式

Switch#configure terminal

设置部门一 VLAN10

Switch(config)#interface range FastEthernet 0/1-8    % 端口组 FE0/1-8

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 10 % 设置端口为 access 模式,绑定 vlan10

Switch(config-if-range)#exit

设置部门二 VLAN20

Switch(config)#interface range FastEthernet 0/9-16    % 端口组 FE0/9-16

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 20    % 设置端口为 access 模式,绑定 vlan20

Switch(config-if-range)#exit

设置部门三 VLAN30

Switch(config)#interface range FastEthernet 0/17-24    % 端口组 FE0/17-24

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 30    % 设置端口为 access 模式,绑定 vlan30

Switch(config-if-range)#exit

设置服务器 VLAN100

Switch(config)#interface range GigabitEthernet 0/2

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 100    % 设置端口为 access 模式,绑定 vlan100

Switch(config-if-range)#exit

设置汇聚口

Switch(config)#interface GigabitEthernet 0/1

Switch(config-if)#switchport mode trunk

Switch(config-if)#switchport trunk allowed vlan 10,20,30,100    % 设置端口为 trunk 模式,容许 VLAN10 20 30 100 通过

Switch(config-if)#exit

设置生成树疾速转发

Switch(config)#spanning-tree portfast default % 珍惜贵重的工夫

退出 & 保留设置

Switch(config)#exit

Switch#write

路由器配置
进入特权模式

Router>enable

进入配置模式

Router#configure terminal

设置部门一 VLAN10 ACL 规定 1,仅禁止拜访其余两个网段

Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255

Router(config)#access-list 1 deny 192.168.3.0 0.0.0.255

** Router(config)#access-list 1 permit any
设置部门二 VLAN20 ACL 规定 2,仅禁止拜访其余两个网段 **

Router(config)#access-list 2 deny 192.168.1.0 0.0.0.255

Router(config)#access-list 2 deny 192.168.3.0 0.0.0.255

Router(config)#access-list 2 permit any

设置部门三 VLAN30 ACL 规定 3,仅禁止拜访其余两个网段

Router(config)#access-list 3 deny 192.168.1.0 0.0.0.255

Router(config)#access-list 3 deny 192.168.2.0 0.0.0.255

Router(config)#access-list 3 permit any

设置服务器 VLAN100 ACL 规定 4,容许拜访任何网络

Router(config)#access-list 4 permit any

设置 NAT ACL 规定 5,仅容许四个内网网段进行 NAT

Router(config)#access-list 5 permit 192.168.1.0 0.0.0.255

Router(config)#access-list 5 permit 192.168.2.0 0.0.0.255

Router(config)#access-list 5 permit 192.168.3.0 0.0.0.255

Router(config)#access-list 5 permit 192.168.100.0 0.0.0.255

Router(config)#access-list 5 deny any

设置 WAN 接口

Router(config)#interface FastEthernet 0/0

Router(config-if)#no shutdown

Router(config-if)#ip address 1.1.1.1 255.255.255.0

Router(config-if)#ip nat outside    % 设置为 NAT 内部接口

Router(config-if)#exit

设置 LAN 接口

Router(config)#interface FastEthernet 0/1

Router(config-if)#no shutdown    % 物理接口只需开启即可,不必设置 IP 地址

Router(config-if)#exit

设置部门一 VLAN10 子接口

Router(config)#interface FastEthernet 0/1.1

Router(config-subif)#encapsulation dot1Q 10    % 用 802.1Q 封装数据帧,以便兼容交换机

Router(config-subif)#ip address 192.168.1.1 255.255.255.0

Router(config-subif)#ip access-group 1 in    % 入口流量利用 ACL 规定 1

Router(config-subif)#ip access-group 1 out    % 进口流量利用 ACL 规定 1

Router(config-subif)#ip nat inside % 设置为 NAT 外部接口

Router(config-subif)#exit

设置部门二 VLAN20 子接口

Router(config)#interface FastEthernet 0/1.2

Router(config-subif)#encapsulation dot1Q 20    % 用 802.1Q 封装数据帧,以便兼容交换机

Router(config-subif)#ip address 192.168.2.1 255.255.255.0

Router(config-subif)#ip access-group 2 in    % 入口流量利用 ACL 规定 2

Router(config-subif)#ip access-group 2 out    % 进口流量利用 ACL 规定 2

Router(config-subif)#ip nat inside

Router(config-subif)#exit

设置部门三 VLAN30 子接口

Router(config)#interface FastEthernet 0/1.3

Router(config-subif)#encapsulation dot1Q 30    % 用 802.1Q 封装数据帧,以便兼容交换机

Router(config-subif)#ip address 192.168.3.1 255.255.255.0

Router(config-subif)#ip access-group 3 in    % 入口流量利用 ACL 规定 3

Router(config-subif)#ip access-group 3 out    % 进口流量利用 ACL 规定 3

Router(config-subif)#ip nat inside % 设置为 NAT 外部接口

Router(config-subif)#exit

设置服务器 VLAN100 子接口

Router(config)#interface FastEthernet 0/1.4

Router(config-subif)#encapsulation dot1Q 100    % 用 802.1Q 封装数据帧,以便兼容交换机

Router(config-subif)#ip address 192.168.100.1 255.255.255.0

Router(config-subif)#ip access-group 4 in    % 入口流量利用 ACL 规定 4

Router(config-subif)#ip access-group 4 out    % 进口流量利用 ACL 规定 4

Router(config-subif)#ip nat inside % 设置为 NAT 外部接口

Router(config-subif)#exit

设置 DHCP 排除地址(这里只设置路由器自身 IP)

Router(config)#ip dhcp excluded-address 192.168.1.1

Router(config)#ip dhcp excluded-address 192.168.2.1

Router(config)#ip dhcp excluded-address 192.168.3.1

设置 VLAN10 DHCP 服务器

Router(config)#ip dhcp pool vlan10

Router(dhcp-config)#default-router 192.168.1.1

Router(dhcp-config)#dns-server 192.168.100.254

Router(dhcp-config)#network 192.168.1.0 255.255.255.0

Router(dhcp-config)#exit

设置 VLAN20 DHCP 服务器

Router(config)#ip dhcp pool vlan20

Router(dhcp-config)#default-router 192.168.2.1

Router(dhcp-config)#dns-server 192.168.100.254

Router(dhcp-config)#network 192.168.2.0 255.255.255.0

Router(dhcp-config)#exit

设置 VLAN30 DHCP 服务器

Router(config)#ip dhcp pool vlan30

Router(dhcp-config)#default-router 192.168.3.1

Router(dhcp-config)#dns-server 192.168.100.254

Router(dhcp-config)#network 192.168.3.0 255.255.255.0

Router(dhcp-config)#exit

设置路由

Router(config)#ip routing % 开启路由转发

Router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.254    % 设置默认网关

设置 NAT

Router(config)#ip nat inside source list 5 interface FastEthernet0/0 overload  % 容许四个网段进行 NAT,出接口为 WAN 口,开启端口地址复用

Router(config)#ip nat inside source static tcp 192.168.100.254 80 1.1.1.1 80    % 将外部服务器的 80 端口映射到公网 IP 上

Router(config)#ip nat inside source static udp 192.168.100.254 53 1.1.1.1 53 % 将外部服务器的 53 端口映射到公网 IP 上

退出 & 保留设置

Router(config)#exit

Router#write
正文完
网络
发表至: 网络
2022-09-02
 0
关于网络:转基础交换机堆叠模式
关于网络:古有诸葛亮八卦阵阻敌今有iptables护网安
关于网络:有钱任性90-岁老爷爷因网速太慢刊登-10000-美元报纸广告投诉
关于网络:必须收藏华为配置命令手册大全

站内搜索

-「