背景:
某大中型企业。有多个部门,财务部、人事部、销售部、工程部。同部门之间采用二层交换网络相连;不同部门之间采用VLAN路由方式互访。
企业有一台内部web服务器,承载着内部网站,方便员工了解公司的即时信息。局域网路由器启用多种路由协议(静态路由、动态路由协议),并实施路由控制、负载均衡、访问限制等功能。
企业有一条专线接到运营商用以连接互联网,由于从运营商只获取到一个公网IP地址,所以企业员工访问互联网需要做NAT网络地址转换。
需求分析:
一、基础配置按照拓扑搭建网络:
1、为R1/Internet/Core1/ Core2/SW1/SW2/SW3/SW4命名。
2、在Core1/ Core1上设置特权密文密码123456。
3、配置R1 Core1/ Core1/Internet互联接口。
4、配置PC1-PC8的IP地址,采用DHCP自动获取方式配置。
财务部:PC1、PC3;172.16.1.0 172.16.1.254 vlan10
人事部:PC2、PC6;172.16.2.0 172.16.2.254 vlan20
销售部:PC4、PC8;172.16.3.0 172.16.3.254 vlan30
工程部:PC5、PC7;172.16.4.0 172.16.4.254 vlan40
5、IP地址规划,本次规划地址:
自己规划内网的IP地址,但必须用私网IP,可用IP外围如下:
IP:10.0.0.0/8、172.16.0.0/12、192.168.0.0/16
R1与Internet之间用:200.1.1.0/24
PC9:200.200.200.200/24 GW:200.200.200.254/24
二、交换部分
1、Core1/ Core2/SW1/SW2/SW3/SW4的连接接口封装为Trunk。
2、在Core1/ Core2/SW1/SW2/SW3/SW4配置VTP, 域名为Cisco。Core1作为Server;其他交换机作为Client,设置密码。
3、按规划好的VLAN并创建这几个VLAN,分别给销售部VLAN命名为sales;人事部VLAN命名为hr;财务部VLAN命名为cw;工程部VLAN命名为gcb。并把相应的接口划分到所属vlan中。
4、Core1/ Core2连接接口做Etherchannel捆绑(聚合)。要求使用Cisco PAGP协议中的主动协商模式。
5、在Core1上启用DHCP服务, 并建立对应VLAN(根据规划的VLAN及IP地址)的地址池,为财务部、人事部、销售部、工程部电脑提供DHCP服务。其中DNS:202.103.224.68,其他默认配置。
三、路由部分
1、在R1上配置默认路由,出口指向运营商。
2、在Internet路由器上也配置默认路由。
3、[OSPF]在R1/ Core1/ Core2上配置单区域(area 0)OSPF,使得全网互通[R1与运营商Internet互联的接口不宣告]。
4、在Core1/ Core2配置HSRP路由冗余功能,使得财务部、人事部数据流量默认走Core1;销售部、工程部数据流量走Core2。
路由部分必须每完成一步检查现象!
四、安全部分
1、在Core1上做ACL访问限制: 除PC5以外,其他用户都可以ping通web server服务器;内网用户都可以访问企业网站(web server服务器),但内部服务器web server不能访问外网。
2、在SW1/SW3上启用端口安全功能,配置接入PC的端口,允许最大两个不同的MAC地址通过,如果违规,则SW1采用限制(Restrict)模式;SW3采用禁用(shutdown)模式。
五、广域网部分
1、在R1上配置PAT,使得企业内部所有PC都能访问互联网(ping通运营商的200.200.200.200),至此:内网PC全部互联,都可以访问内部网站。
2、在R1上配置静态NAT,把web服务器映射到公网IP:200.1.1.3,使得PC9能够访问到企业的网站。
实施:
NAT的地址转换:
外网能访问内网的服务器网站:
PC1与服务器连通性:
PC1访问内部服务器:
内网通信:
与外网通信:
PC5访问不到服务器:
PC5与外网连通性:
服务器不能访问外网:
外网与内网的通信:
NAT静态地址转换:
OSPF路由:
DHCP配置:
HSRP配置:
路由和ACL配置:
VTP配置:
端口安全配置:
PC自动获取IP地址:
閱讀更多 SPOTO—思科華為培訓 的文章
