中小型企业网的实现

 

一、 概要

掌握思科交换机和路由器配置，静态路由配置，虚拟局域网VLAN 配置，路由器实现Vlan间通信，SSH技术，NAT技术，实现中小型企业网的网络配置，具体需求如下：

1.vlan 10的第一个计算机地址通过 R2的DHCP服务器获得

2.R2上做NAT

3.做静态路由，使得所有计算机可以访问服务器，但是R3上不可以写静态路由

4.不同vlan之间计算机不能访问

5.所有计算机不能ping通R2

6.只有vlan 20可以 远程SSH R2，其他不行。

 

二、网络拓扑图

 

 

 

 

三、设计思路  

如上图所示，配置各端口信息。

首先让所有设备能够互相通信，PC0要动态获取IP，而与DHCP服务器又不在同一个局域网，因而需要在R1上做DHCP中继。

R3上不能写内网的静态表，因此需要在R2上做NAT，将所有内网地址转化到R2 的 F0/1接口上200.100.100.2。

在R1 f0/1上划分虚拟接口，可以使不同VLAN相互访问，题目要求不能不同VLAN不能访问，需要做ACL。

计算机不能ping通R2，只有VLAN20能SSH访问R2，通过ACL列表扩展，禁止所有地址到R2的ICMP协议，R2的22端口只对VLAN20开放。

 

 

四、核心设计  

1.在交换机上创建VLAN，并设置接口模式，

与PC端相连的都是access，其余接口都是trunk模式，这里以S1交换机为例演示两种设置

Switch(config)#vlan 10------------------直接创建vlan 10

Switch(config)#vlan 20------------------直接创建vlan 20

 

Switch(config)#interface f0/1----------锁定接口f0/1

Switch(config-if)#switchport mode access---将接口改为接入接口

Switch(config-if)#switchport access vlan 10---将接口化为vlan10

 

 

Switch(config)#interface f0/3----------锁定接口f0/3

Switch(config-if)#switchport mode access---将接口改为接入接口

Switch(config-if)#switchport access vlan 20---将接口化为vlan20

 

 

Switch(config)#interface f0/2----------锁定接口f0/2

Switch(config-if)#switchport mode trunk------将接口改变成trunk接口

 

 

 

2.在R1上划分虚拟接口，设置接口地址

 

Router(config-if)#int f0/1.10-------------------开启虚拟接口f0/1.10

Router(config-subif)#encapsulation dot1Q 10-----封装dot1Q，划进vlan10

Router(config-subif)#ip add 192.168.1.230 255.255.255.0----配置网关地址

 

Router(config-if)#int f0/1.20-------------------开启虚拟接口f0/1.20

Router(config-subif)#encapsulation dot1Q 20-----封装dot1Q，划进vlan10

Router(config-subif)#ip add 192.168.2.230 255.255.255.0----配置网关地址

 

Router(config-if)#int f0/1.30-------------------开启虚拟接口f0/1.10

Router(config-subif)#encapsulation dot1Q 30-----封装dot1Q，划进vlan30

Router(config-subif)#ip add 192.168.3.230 255.255.255.0----配置网关地址

 

 

 

3.在R2上做NAT，将三个192网段的以及R1的172网段转化到200.100.100.2上

 

Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255

Router(config)#access-list 1 permit 192.168.2.0 0.0.0.255

Router(config)#access-list 1 permit 192.168.3.0 0.0.0.255

Router(config)#access-list 1 permit 172.16.1.0 0.0.0.255

Router(config)#ip nat inside source list 1 interface f0/1 overload

Router(config)#interface f0/0

Router(config-if)#ip nat inside------------------------定义inside接口

Router(config)#interface f0/1

Router(config-if)#ip nat outside-----------------------定义outside接口

 

 

4.简单配置R3，服务器地址，服务器网关地址为10.1.1.3

要实现ping通服务器，还需要在R1，R2上做静态路由表

 

R1：

Router(config-if)#ip route 200.100.100.0 255.255.255.0 f0/0

Router(config-if)#ip route 10.1.1.0 255.255.255.0 f0/0

 

R2：

Router(config-if)#ip route 192.168.1.0 255.255.255.0 f0/0

Router(config-if)#ip route 192.168.2.0 255.255.255.0 f0/0

Router(config-if)#ip route 192.168.3.0 255.255.255.0 f0/0

 

 

---------------这样整个网络基本ping通了，接下来写DHCP ---------------------------

 

5.在R2上写DHCP，由于R2和PC0不在一个局域网，需要在R1上做DHCP中继

 

R2:

Router(config)#ip dhcp pool 0813-------------建立一个dhcp池

Router(dhcp-config)#network 192.168.1.0 255.255.255.0-----规定地址池网段

Router(dhcp-config)#default-router 192.168.1.230----------默认路由器

Router(dhcp-config)#dns-server 8.8.8.8--------------------DNS服务器地址

Router(dhcp-config)#exit

Router(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.32

 

R1:

Router(config)#int f0/1.10

Router(config-subif)#ip helper-address 172.16.1.2--------写DHCP服务器的地址

 

6.不同VLAN不能访问，在各个虚拟接口上设置ACL，这里以VLAN10为例

Router(config)#access-list 10 deny 192.168.2.0 0.0.0.255

Router(config)#access-list 10 deny 192.168.3.0 0.0.0.255

Router(config)#access-list 10 permit any

Router(config)#int f0/1.10

Router(config-subif)#ip access-group 10 out

7.所有主机不能ping通R2，即使用ACL扩展列表禁止ICMP协议

 

R2(config)#access-list 100 deny icmp 192.168.1.0 0.0.0.0 host 172.16.1.2--

--------拒绝192.168.1.0/24  ping  172.16.1.2

R2(config)#access-list 100 deny icmp 192.168.2.0 0.0.0.0 host 172.16.1.2--

--------拒绝192.168.2.0/24  ping  172.16.1.2

R2(config)#access-list 100 deny icmp 192.168.3.0 0.0.0.0 host 172.16.1.2---

--------拒绝192.168.3.0/24  ping  172.16.1.2

 

R2(config)#int f0/0

R2(config-if)#ip access-group 100 in --------------------进方向调用

 

8.只有VLAN20能远程SSH访问R2，做法同上

 

开启SSH服务

R2(config)#username AAA password 123---------------------设置本地用户密码

R2(config)#ip domain-name xxx       ---------------------设置域名

R2(config)#crypto key generate rsa  ---------------------设置加密秘钥

The name for the keys will be: R1.xxx

Choose the size of the key modulus in the range of 360 to 2048 for your

  General Purpose Keys. Choosing a key modulus greater than 512 may take

  a few minutes.

 

How many bits in the modulus [512]: 1024------------------秘钥长度

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

 

R1(config)#line vty 0 4   --------------------------------开启telnet 0 4

*?? 1 1:29:40.893:  %SSH-5-ENABLED: SSH 1.99 has been enabled

R1(config-line)#login local-------------------------------使用本地账号密码登录

R1(config-line)#transport input ssh-----------------------开启SSH

 

 

设置ACL

R2(config)#access-list 100 permit tcp 192.168.2.0 0.0.0.255 host 172.16.1.2 eq 22----

允许VLAN20  SSH   R2

R2(config)#access-list 100 deny tcp  192.168.1.0 0.0.0.255 host 172.16.1.2 eq 22----拒绝VLAN10  SSH   R2

R2(config)#access-list 100 deny tcp  192.168.3.0 0.0.0.255 host 172.16.1.2 eq 22----拒绝VLAN30  SSH   R2

 

R2(config)#access-list 100 permit ip  any  any   

 

 

 

 

 

四、实验截图

1.Ping通服务器

 

 

2.不能Ping  R2

 

3.同一VLAN可以访问，不同VLAN不能访问。

 

 

4.DHCP

 

 

5.SSH

 

 

 

 

五、调试过程中的问题

实验中遇到的问题：一是单臂路由的设计使不同网段能够访问，而本次的需求是不能访问，第一个想到的是能不能在交换机上做ACL，上网查了资料发现有些交换机是可以的，但是本次模拟器交换机做不了，所以只能在R1路由器虚拟接口上做ACL；二是DHCP中继的问题，这里很清楚服务器是172.16.1.2，但是在哪个接口上做中继呢，开始是在int f0/1上，行不通转到int f0/0,还是不行，最后才试到int f0/1.10上面，也弄清了DHCP中继的原理；最后是做SSH的时候虽然写了ACL，但是任何主机都能SSH访问R2，排查了很久才找到原因，在做所有主机不能Ping R2的时候，因为ACL最后默认deny  any，导致不能Ping通服务器，又加了一条permit ip any  any 。而这条规则顺序先于SSH规则，所以SSH写的规则都没用，删除这一条，并重新写到最后一条规则，SSH访问控制成功，实验完成。