背景:
某大中型企業。有多個部門,財務部、人事部、銷售部、工程部。同部門之間採用二層交換網絡相連;不同部門之間採用VLAN路由方式互訪。
企業有一臺內部web服務器,承載著內部網站,方便員工瞭解公司的即時信息。局域網路由器啟用多種路由協議(靜態路由、動態路由協議),並實施路由控制、負載均衡、訪問限制等功能。
企業有一條專線接到運營商用以連接互聯網,由於從運營商只獲取到一個公網IP地址,所以企業員工訪問互聯網需要做NAT網絡地址轉換。
需求分析:
一、基礎配置按照拓撲搭建網絡:
1、為R1/Internet/Core1/ Core2/SW1/SW2/SW3/SW4命名。
2、在Core1/ Core1上設置特權密文密碼123456。
3、配置R1 Core1/ Core1/Internet互聯接口。
4、配置PC1-PC8的IP地址,採用DHCP自動獲取方式配置。
財務部:PC1、PC3;172.16.1.0 172.16.1.254 vlan10
人事部:PC2、PC6;172.16.2.0 172.16.2.254 vlan20
銷售部:PC4、PC8;172.16.3.0 172.16.3.254 vlan30
工程部:PC5、PC7;172.16.4.0 172.16.4.254 vlan40
5、IP地址規劃,本次規劃地址:
自己規劃內網的IP地址,但必須用私網IP,可用IP外圍如下:
IP:10.0.0.0/8、172.16.0.0/12、192.168.0.0/16
R1與Internet之間用:200.1.1.0/24
PC9:200.200.200.200/24 GW:200.200.200.254/24
二、交換部分
1、Core1/ Core2/SW1/SW2/SW3/SW4的連接接口封裝為Trunk。
2、在Core1/ Core2/SW1/SW2/SW3/SW4配置VTP, 域名為Cisco。Core1作為Server;其他交換機作為Client,設置密碼。
3、按規劃好的VLAN並創建這幾個VLAN,分別給銷售部VLAN命名為sales;人事部VLAN命名為hr;財務部VLAN命名為cw;工程部VLAN命名為gcb。並把相應的接口劃分到所屬vlan中。
4、Core1/ Core2連接接口做Etherchannel捆綁(聚合)。要求使用Cisco PAGP協議中的主動協商模式。
5、在Core1上啟用DHCP服務, 並建立對應VLAN(根據規劃的VLAN及IP地址)的地址池,為財務部、人事部、銷售部、工程部電腦提供DHCP服務。其中DNS:202.103.224.68,其他默認配置。
三、路由部分
1、在R1上配置默認路由,出口指向運營商。
2、在Internet路由器上也配置默認路由。
3、[OSPF]在R1/ Core1/ Core2上配置單區域(area 0)OSPF,使得全網互通[R1與運營商Internet互聯的接口不宣告]。
4、在Core1/ Core2配置HSRP路由冗餘功能,使得財務部、人事部數據流量默認走Core1;銷售部、工程部數據流量走Core2。
路由部分必須每完成一步檢查現象!
四、安全部分
1、在Core1上做ACL訪問限制: 除PC5以外,其他用戶都可以ping通web server服務器;內網用戶都可以訪問企業網站(web server服務器),但內部服務器web server不能訪問外網。
2、在SW1/SW3上啟用端口安全功能,配置接入PC的端口,允許最大兩個不同的MAC地址通過,如果違規,則SW1採用限制(Restrict)模式;SW3採用禁用(shutdown)模式。
五、廣域網部分
1、在R1上配置PAT,使得企業內部所有PC都能訪問互聯網(ping通運營商的200.200.200.200),至此:內網PC全部互聯,都可以訪問內部網站。
2、在R1上配置靜態NAT,把web服務器映射到公網IP:200.1.1.3,使得PC9能夠訪問到企業的網站。
實施:
NAT的地址轉換:
外網能訪問內網的服務器網站:
PC1與服務器連通性:
PC1訪問內部服務器:
內網通信:
與外網通信:
PC5訪問不到服務器:
PC5與外網連通性:
服務器不能訪問外網:
外網與內網的通信:
NAT靜態地址轉換:
OSPF路由:
DHCP配置:
HSRP配置:
路由和ACL配置:
VTP配置:
端口安全配置:
PC自動獲取IP地址:
閱讀更多 SPOTO—思科華為培訓 的文章
