需求
-
某公司有三个部门,要使三个部门可以访问互联网,但各个部门之间不能相互访问。
-
内网有一台服务器,所有人都要能访问到,而且要对内外提供HTTP、DNS服务。
-
三个部门的机器均使用动态IP上网,服务器使用静态IP上网。
-
ISP提供静态IP接入,只提供一个外网IP,IP地址1.1.1.1,子网掩码255.255.255.0,网关:1.1.1.254(瞎编的)。
方案设计
-
1841作为网关,提供路由、NAT、DHCP等服务,设置ACL限制VLAN间互访。
-
2960作为二层交换机,划分VLAN。
网络拓扑图
交换机端口、VLAN划分
-
部门一 FE0/1-8: 绑定VLAN10
-
部门二 FE0/9-16:绑定VLAN20
-
部门三 FE0/17-24:绑定VLAN30
-
干路 GE0/1: 连接路由器的FE0/1口,TRUNK 允许 VLAN10 20 30 100通过
-
服务器 GE0/1: 绑定VLAN100
路由器端口、网段、IP划分
-
FE0/0:WAN接口、IP为1.1.1.1
-
FE0/1:连接交换机的GE0/1口,下面划分多个子接口,自身不设置IP地址,
-
FE0/1.1:绑定VLAN10,IP为192.168.1.1/24
-
FE0/1.2:绑定VLAN20,IP为192.168.2.1/24
-
FE0/1.3:绑定VLAN30,IP为192.168.3.1/24
-
FE0/1.4:绑定VLAN100,IP为192.168.100.1/24
以下为完整设置命令,有详细注释,设备均已恢复出厂设置
交换机配置
进入特权模式
Switch>enable
进入配置模式
Switch#configure terminal
设置部门一VLAN10
Switch(config)#interface range FastEthernet 0/1-8 %端口组FE0/1-8
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 10 %设置端口为access模式,绑定vlan10
Switch(config-if-range)#exit
设置部门二VLAN20
Switch(config)#interface range FastEthernet 0/9-16 %端口组FE0/9-16
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 20 %设置端口为access模式,绑定vlan20
Switch(config-if-range)#exit
设置部门三VLAN30
Switch(config)#interface range FastEthernet 0/17-24 %端口组FE0/17-24
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 30 %设置端口为access模式,绑定vlan30
Switch(config-if-range)#exit
设置服务器VLAN100
Switch(config)#interface range GigabitEthernet 0/2
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 100 %设置端口为access模式,绑定vlan100
Switch(config-if-range)#exit
设置汇聚口
Switch(config)#interface GigabitEthernet 0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan 10,20,30,100 %设置端口为trunk模式,允许 VLAN10 20 30 100通过
Switch(config-if)#exit
设置生成树快速转发
Switch(config)#spanning-tree portfast default %珍惜宝贵的时间
退出&保存设置
Switch(config)#exit
Switch#write
路由器配置
进入特权模式
Router>enable
进入配置模式
Router#configure terminal
设置部门一VLAN10 ACL规则1,仅禁止访问其他两个网段
Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255
Router(config)#access-list 1 deny 192.168.3.0 0.0.0.255
Router(config)#access-list 1 permit any
设置部门二VLAN20 ACL规则2,仅禁止访问其他两个网段
Router(config)#access-list 2 deny 192.168.1.0 0.0.0.255
Router(config)#access-list 2 deny 192.168.3.0 0.0.0.255
Router(config)#access-list 2 permit any
设置部门三VLAN30 ACL规则3,仅禁止访问其他两个网段
Router(config)#access-list 3 deny 192.168.1.0 0.0.0.255
Router(config)#access-list 3 deny 192.168.2.0 0.0.0.255
Router(config)#access-list 3 permit any
设置服务器VLAN100 ACL规则4,允许访问任何网络
Router(config)#access-list 4 permit any
设置NAT ACL规则5,仅允许四个内网网段进行NAT
Router(config)#access-list 5 permit 192.168.1.0 0.0.0.255
Router(config)#access-list 5 permit 192.168.2.0 0.0.0.255
Router(config)#access-list 5 permit 192.168.3.0 0.0.0.255
Router(config)#access-list 5 permit 192.168.100.0 0.0.0.255
Router(config)#access-list 5 deny any
设置WAN接口
Router(config)#interface FastEthernet 0/0
Router(config-if)#no shutdown
Router(config-if)#ip address 1.1.1.1 255.255.255.0
Router(config-if)#ip nat outside %设置为NAT外部接口
Router(config-if)#exit
设置LAN接口
Router(config)#interface FastEthernet 0/1
Router(config-if)#no shutdown %物理接口只需开启即可,不用设置IP地址
Router(config-if)#exit
设置部门一VLAN10子接口
Router(config)#interface FastEthernet 0/1.1
Router(config-subif)#encapsulation dot1Q 10 %用802.1Q封装数据帧,以便兼容交换机
Router(config-subif)#ip address 192.168.1.1 255.255.255.0
Router(config-subif)#ip access-group 1 in %入口流量应用ACL规则1
Router(config-subif)#ip access-group 1 out %出口流量应用ACL规则1
Router(config-subif)#ip nat inside %设置为NAT内部接口
Router(config-subif)#exit
设置部门二VLAN20子接口
Router(config)#interface FastEthernet 0/1.2
Router(config-subif)#encapsulation dot1Q 20 %用802.1Q封装数据帧,以便兼容交换机
Router(config-subif)#ip address 192.168.2.1 255.255.255.0
Router(config-subif)#ip access-group 2 in %入口流量应用ACL规则2
Router(config-subif)#ip access-group 2 out %出口流量应用ACL规则2
Router(config-subif)#ip nat inside
Router(config-subif)#exit
设置部门三VLAN30子接口
Router(config)#interface FastEthernet 0/1.3
Router(config-subif)#encapsulation dot1Q 30 %用802.1Q封装数据帧,以便兼容交换机
Router(config-subif)#ip address 192.168.3.1 255.255.255.0
Router(config-subif)#ip access-group 3 in %入口流量应用ACL规则3
Router(config-subif)#ip access-group 3 out %出口流量应用ACL规则3
Router(config-subif)#ip nat inside %设置为NAT内部接口
Router(config-subif)#exit
设置服务器VLAN100子接口
Router(config)#interface FastEthernet 0/1.4
Router(config-subif)#encapsulation dot1Q 100 %用802.1Q封装数据帧,以便兼容交换机
Router(config-subif)#ip address 192.168.100.1 255.255.255.0
Router(config-subif)#ip access-group 4 in %入口流量应用ACL规则4
Router(config-subif)#ip access-group 4 out %出口流量应用ACL规则4
Router(config-subif)#ip nat inside %设置为NAT内部接口
Router(config-subif)#exit
设置DHCP排除地址(这里只设置路由器本身IP)
Router(config)#ip dhcp excluded-address 192.168.1.1
Router(config)#ip dhcp excluded-address 192.168.2.1
Router(config)#ip dhcp excluded-address 192.168.3.1
设置VLAN10 DHCP服务器
Router(config)#ip dhcp pool vlan10
Router(dhcp-config)#default-router 192.168.1.1
Router(dhcp-config)#dns-server 192.168.100.254
Router(dhcp-config)#network 192.168.1.0 255.255.255.0
Router(dhcp-config)#exit
设置VLAN20 DHCP服务器
Router(config)#ip dhcp pool vlan20
Router(dhcp-config)#default-router 192.168.2.1
Router(dhcp-config)#dns-server 192.168.100.254
Router(dhcp-config)#network 192.168.2.0 255.255.255.0
Router(dhcp-config)#exit
设置VLAN30 DHCP服务器
Router(config)#ip dhcp pool vlan30
Router(dhcp-config)#default-router 192.168.3.1
Router(dhcp-config)#dns-server 192.168.100.254
Router(dhcp-config)#network 192.168.3.0 255.255.255.0
Router(dhcp-config)#exit
设置路由
Router(config)#ip routing %开启路由转发
Router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.254 %设置默认网关
设置NAT
Router(config)#ip nat inside source list 5 interface FastEthernet0/0 overload %允许四个网段进行NAT,出接口为WAN口,开启端口地址复用
Router(config)#ip nat inside source static tcp 192.168.100.254 80 1.1.1.1 80 %将内部服务器的80端口映射到公网IP上
Router(config)#ip nat inside source static udp 192.168.100.254 53 1.1.1.1 53 %将内部服务器的53端口映射到公网IP上
退出&保存设置
Router(config)#exit
Router#write
打开百度APP,关注作者解锁全文
举报/反馈
精彩评论打开百度APP看全部评论
还没有人评论,点击抢沙发~
