小型企业网模拟搭建配置1
小型企业网模拟搭建配置again
目录
1.实验目的
内网能通,内网都能访问外部网络。外部客户能访问内部服务器下载文件
拓扑图如下
2.实验思路
小型企业组网:
1.企业网内网划分多个vlan,和三层相关配置,并设置IP地址(基础配置)
2.核心层与内部服务器和两个接入配置链路聚合,并允许相关业务vlan通过
3.出口配置Nat(Easy-IP)结合acl,能够访问外网,把企业内部web服务映射(NAT-Server)到外网,让外网用户可以访问并下载文件.这两部都配置路由静态的就可以
4.配置访问控制列表,只能从LSW2远程登录到Core
5.实验后想到的优化
3.具体代码实现及一些想法
1.企业网内网划分多个vlan,和三层相关配置,并设置IP地址(基础配置)
LSW2
先配置两个vlan并配置接口
sys
sysna LSW2
vlan batch 10 20
int e0/0/2
port link-type access
port default vlan 10
int e0/0/5
p l a
p d v 20
q
int vlanif1
ip ad 192.168.253.2 24
SW2
sys
sysna SW2
vlan 30
q
int e0/0/1
p l a
p d v 30
int e0/0/2
p l a
p d v 30
q
int vlanif1
ip ad 192.168.253.3 24
Core
sys
sysna Core
vlan batch 10 20 30 100 200
int vlan 100
ip ad 192.168.254.2 24
int vlan 10
ip ad 192.168.10.1 24
int vlan 20
ip ad 192.168.20.1 24
int vlan 30
ip ad 192.168.30.1 24
int vlan 200
ip ad 192.168.200.1 24
int vlanif1
ip ad 192.168.253.1 24
q
int g0/0/24
p l a
p d v 100
AR2220
sys
sysna AR2220
int g0/0/0
ip ad 192.168.254.1 24
int g0/0/1
ip ad 200.200.1.1 24
LSW3
sys
sysna LSW3
vlan 200
int e0/0/2
p l a
p d v 200
q
int vlanif1
ip ad 192.168.253.5 24
内部服务器IP
192.168.200.30
GW:192.168.200.1
外部服务器
IP:200.200.1.3
GW:200.200.1.1
外部客户端
IP:200.200.1.4
GW:200.200.1.1
PC1,5,2,3分别属于vlan10 20,2和3是属于vlan30
IP地址如拓扑图所示
2.核心层与内部服务器和两个接入配置动态链路聚合,并允许相关业务vlan通过
LSW2
配置链路聚合,负载分担
q
int Eth-trunk 1
p l t
p t a v 10 20
mode lacp
max active-linknumber 2
trunkport GigabitEthernet 0/0/1 to 0/0/2
q
lacp priority 30000
Core
int Eth-trunk 1
p l t
p t a v 10 20
mode lacp
max active-linknumber 2
trunkport GigabitEthernet 0/0/1
trunkport GigabitEthernet 0/0/4
q
int Eth-trunk 2
p l a
p d v 30
mode lacp
max active-linknumber 2
trunkport GigabitEthernet 0/0/6
trunkport GigabitEthernet 0/0/7
q
int Eth-trunk 3
p l a
p d v 200
mode lacp
max active-linknumber 2
trunkport GigabitEthernet 0/0/5
trunkport GigabitEthernet 0/0/2
SW2
int Eth-trunk 2
p l a
p d v 30
mode lacp
max active-linknumber 2
trunkport GigabitEthernet 0/0/2
trunkport GigabitEthernet 0/0/1
q
lacp priority 30000
LSW3
int Eth-trunk 3
p l a
p d v 200
mode lacp
max active-linknumber 2
trunkport GigabitEthernet 0/0/2
trunkport GigabitEthernet 0/0/1
q
lacp priority 30000
dis eth-trunk 3 //查看聚合信息
至此内网全通,dis port vlan :查看端口信息,包括vlan 和 pvid
3.出口配置Nat(Easy-IP)结合acl,能够访问外网,把企业内部web服务映射(NAT-Server)到外网,让外网用户可以访问并下载文件.这两部都配置路由静态的就可以
AR2220
acl 2000
rule permit source 192.168.0.0 0.0.255.255
q
int g0/0/1
nat outbound 2000
ip route-static 192.168.0.0 16 192.168.254.2
Core
ip route-static 200.200.1.0 24 192.168.254.1
配置完上面的内网全都能访问外网了,外网也可以访问内网了,还可以优化详情看第5部
接下来配置内部服务器映射因为通常外部要访问内部服务器是不会告诉外部真实的内部服务器IP地址的,所以得映射下
AR2220
int g0/0/1
nat server protocol tcp global current-interface www inside 192.168.200.30 www
这时候就可以用外面的客户获取200.200.1.1 然后下载文件了
4.配置访问控制列表,只能从LSW2远程登录到Core
Core
telnet server enable
user-interface vty 0 4
authentication-node password
set authentication password simple 123456
这时候LSW2就可以远程登录到Core操作了
接下来设置只能让它登录,其他不行
Core
acl 2001
rule permit souce 192.168.253.2 0.0.0.0
rule deny source any
q
user-interface vty 0 4
acl 2001 inbound
测试只有LSW2能远程登陆了,SW2和LSW3都不行了
至此实验全部完成
5.实验后想到的优化
配置acl控制外边的客户机不能访问内网pc机,但能访问内部服务器下载文件
思路就是配置高级acl,只允许外网的服务器访问内网的所有,这样内网就能访问外部服务器了再配置允许外网的客户机访问内部的服务器,最后再拒绝其他所有的。这样外网的客户机要访问内网的客户机就前面两条匹配不上就匹配最后一条就被拒绝了。其他的比如内网主机访问外网服务器回包的时候匹配的就是第一条规则所以等通过。然后外网其他主机也是200.200.1.0 网段的客户机也可以通过匹配第二条规则访问内部服务器
AR2220
acl 3000
rule 5 permit ip source 200.200.1.3 0 destination 192.168.0.0 0.0.255.255
rule 10 permit ip source 200.200.1.0 0.0.0.255 destination 192.168.200.30 0
rule 15 deny ip
int g0/0/0
traffic-filter outbound acl 3000
4.总结(问题、记录、解决方法)
1.数据从PC1到R2的数据vlan标签状态
PC1通R2,数据先PC1出发,因为连接它的只有LSW2,所以就发给它,
它access接收之后发现没有vlan标签,而我这个接口又是10,所以给他打上10的标签
打上之后它就找哪里有vlan10的接口所以就从g0/0/1和2的trunk口发出去,发出去因为使trunk口所以比较pvid不一样所以不管还是vlan10
会先找网关,到了核心之后,要从trunk口出去就是20.1,判断有vlan但是跟pvid还是不一样所以还是不管就发给LSW2,所以这时候数据还是vlan10
LSW2收到后还是vlan10,从access口发出就去掉标签了,就从e0/0/3出去了
2.链路聚合做一个优化用自动的lacp来做
3.LSW3和SW2远程登录不了Core,但是LSW2可以
实验如下,先划分好PC1和2属于不同vlan,也就是g0/0/1属于vlan20,g0/0/2属于vlan10,互相ping不同
然后把g0/0/2划分为vlan20,然后再ping一次,通了,所以不同vlan相同网段还是不能通。
通过以上实验得出
就是LSW3和SW2跟Core的链路聚合出现问题,应该配置为trunk,然后允许相应的vlan通过,晚上去研究下为什么
因为配置了access口并划分到vlan,比如划分到100,那这个access口的pvid就是100了。所以当两边都是access,并划分到同一个vlan的时候,一个报文是vlan1的IP地址,那从access口发出后,access不管是什么只要是发出就会把vlan标签去掉,所以1被去掉了。当到达对面的access口后,判断没有vlan标签,所以就打上pvid,也就是100,同一网段,如果是不同vlan那还是不能互通的。所以过去就找不到了,自然就ping不通了。
如果两边都是trunk,那pvid还是默认vlan1,那再发送带着vlan1的报文的时候,先比较下pvid跟vlan,都是1所以会把vlan1去掉,然后发给对端,对端接收到以后。发现没有vlan标签,打上pvid,也就是vlan1,那就找到192.168.253.1了,然后回来也是一样,发现有vlan就比较pvid发现一样就删除vlan标签,然后发送出去,对端接收到没有vlan标签的就打上pvid也就是vlan1,然后就又找到vlan1也就是192.168.253.3了
