一 、实验说明
1.网络拓扑图说明
-
网络拓扑图如下:
-
专线网络:就是总公司直接拉一根线与分公司相连,专线中没有内外网络之分,也没有互联网,就是一根普普通通的线,连接总公司和各分公司构成一个更大的局域网。直接写静态路由即可,因为网段会比较稳定
-
上海分公司和广州分公司上网不能走本地互联网,需要经过专线从总部连接的互联网上网。好处在于可以在总部的总出口做统一的控制
-
因为有两个出口,所以公司需要买两个公网IP,假设一个是电信的,一个是移动的;但是还要发布一个网站需要外部访问,需要还需要购买一个公网供外部访问内部web服务器。且在两台路由器上配置NAT
2.难点
-
总出口设置了两个路由器,保证了容错性,如果①、②、③、④坏任意一根或者坏不同边的两根都可以正常上网。但是此时有一个难点,如果在三层交换机上做浮动路由,可以解决①和④坏其中一根也可以正常上网。但是如果是运营商那边的线②或③断了,三层交换机没法检测到,那么还是会将信息从原线路发出,此时就会出现故障。
-
解决办法:将三层交换机连接两个互联网总出口路由器的接口降为二层接口,即原理可以理解为下图所示,那么这个模型类似于当时我们学习过的HSRP协议做热备份的场景,所以此时对两个总出口的路由器做热备份,但是要满足①和④线路必须在同一个网段!这样才满足做热备份的要求。对总出口两个路由器做热备份,再在三层交换机上定义一个虚拟网关,让三层交换机路由表中上网指向此虚拟网关IP。就可以满足①、②、③、④坏任意一根或者坏不同边的两根都可以正常上网!
3.实验要求
- 要求:互联网中的路由器不允许配置去往私网地址的路由!且要求设置动态路由
- 整个内网(总部与分公司)需划分vlan且要求内部全部互通,并实现内网全部可以上网。
- 其中北京总部员工要求自动获取IP地址,验证上网方法,所有员工可以通过域名
http://www.baidu.com
来访问百度网站 - 上网过程中,要求断掉拓扑中的1、2、3、4号线中任意一根,不断网
- 将总部内网的web服务器发布出去,并成功使外网的PC访问其网站
- 要求市场部门禁止上网
- 禁止总部任何部门(服务器除外)访问财务部,但不影响财务部上网
- 要求所有分公司只能访问总部的服务器区及上网
二、实验步骤
1.北京总部配置
1)配置交换部分
-
二、三层交换机配置trunk(二层配完trunk,此软件会自动将三层配置成trunk)
-
三层交换机使用vtp创建vlan
-
二层交换机端口加入对应vlan
-
三层交换机开启三层路由功能、起虚接口(网关),配置IP
2)部署DHCP中继
-
进入HDCP服务器配好IP开启HDCP服务并添加4个网段的地址池(因为服务器需要手动配置静态IP)
-
三层交换机的各个vlan网关接口配置HDCP帮助
-
验证是否所有员工能自动获取IP
3)部署WEB服务器
-
在公司的web服务器上配置静态IP后开启80端口并发布网站
-
验证所有员工能否通过web服务器的IP地址访问网站(成功)
2.专线和分公司配置
1)开启端口并配IP
-
开启三层交换机端口将二层端口升级为三层端口并配置IP
-
开启专线涉及到的所有路由器的端口并配置IP
2)配置路由表
-
一般专线由于网段稳定,所以可以直接手动配置路由
注意:在配置beijing-gate路由表时一定不能将专线和分公司网段配置成默认路由条目!
3)验证内网全网互通
-
手动给分公司员工配置IP
-
验证总部与总部员工能否通信(市场部访问财务部)
-
验证总部和分部员工能否通信(市场部访问上海分公司员工和广州分公司员工)
-
验证分部与分部员工能否通信(上海分公司员工访问广州分公司员工)
3.互联网配置
1)开启路由器端口并配置IP
-
三层交换机二层端口升级三层端口开启并配置IP
-
开启公司总出口的两台路由器的端口并配置IP(100.1.1.1和110.1.1.1是公司买的两个公网IP)
-
开启互联网中所有路由器端口并配置IP
2)配置公司内部设备路由表
-
此时由于还没有涉及到热备份,所以先给三层交换机配置浮动路由,1号线为主,2号线为备份
-
总出口两台交换机配置路由
3)互联网路由器启用RIP
-
需要考虑子网掩码自动汇总问题:所以开启rip、选择version2版本的rip协议、禁止自动汇总、激活端口
-
查看是否学习达到收敛
-
说明:internet-r1路由器有②和④两条选择流入内网方向,但是由于此时三层交换机设置了浮动路由,①②为主、③④为备份。不用考虑回来的方向需要人工去配走②还是④,因为消息如果从①②发出去,那么NAT技术会将私网地址变为100.1.1.1公网IP,那么对方回包的时候目标IP肯定也为100.1.1.1,不会从③④走;而如果①②线路故障,那么消息会从③④出口发出去,NAT技术会将私网地址变为110.1.1.1,那么回包的目标IP也是110.1.1.1,就不会去走①②故障的线路。而如果外网的人想要和内网服务器通信,也必须用公司提供的公网IP当做目标IP,且要求公司总出口路由器上配置端口转换。所以这里给互联网中的路由器开启rip协议后不需要再手动添加任何条目
4)总出口两台路由器配置NAT
-
定义内外网端口
-
配置内部地址池并做PAT动态映射(别忘了添加分部IP到内部地址池)
-
配置静态端口转换,使外部能够通过公网访问内部web服务器(外网PC使用公司专门购买的供访问公司网页的公网IP110.1.1.6或者100.1.1.6访问)
注意点:好好思考一下
-
**必须要使用与外部地址池中公网IP(即路由器外网端口IP)网段相同的另外的公网IP,不能说运营商给我一个105.1.1.1/24IP直接使用,一定要给一个与100.1.1.1或者110.1.1.1在同一网段的不同公网IP,因为路由器一端只能存在一个网段!**所以在beijing-r1-net路由器上配置
100.1.1.6 80
的静态端口转换。在beijing-r2-net路由器上配置110.1.1.6 80
的静态端口转换!当①②线路正常时,使用100.1.1.6访问公司网站;当①②线路故障时,使用110.1.1.6访问公司网站 -
有一个问题:如果只在beijing-r2-net路由器上配置
110.1.1.6 80
的静态端口转换,那么当外网PC通过110.1.1.6访问网站时,请求访问帧会到达r2-net,通过NAT将目标IP110.1.1.6转换成192.168.1.5,最后到达web服务器;但是在服务器向外网PC回包时,由于beijing-r2-net路由器是beijing-r1-net的备份路由器,则回包会从①线路走,到达beijing-r1-net,通过NAT将源IP192.168.1.6改为100.1.1.1,那么最终外网PC会认为收到的包来自100.1.1.1,本来外网PC应该需要110.1.1.6的回包,所以就会觉得对方没有回包则会显示连接超时。则无法访问网页!所以外网PC访问公司web的帧从哪个路由器进入内网最后回包就要从哪个路由器出来。如果使用100.1.1.6来访问,且在beijing-r1-net路由器上配置100.1.1.6 80
的静态端口转换,那么进入的时候经NAT转化目标IP100.1.1.6为私网IP192.168.5.1,最终回包也经过beijing-r1-net路由器,通过NAT将源IP192.168.5.1转换为公网IP100.1.1.6,就可以实现正常的访问。
-
4.访问网站配置
1)配置外网PC和服务器
-
给外网PC配置IP地址指网关
-
百度web服务器配置静态IP,开启百度web服务器80端口并发布网页
-
再配置DNS服务器添加
www.baidu.com
的主机A记录
2)公司内部DHCP服务器的地址池中添加百度的DNS服务器IP
-
因为
www.baidu.com
的域名解析记录在百度DNS服务器上,所以需要让访问百度的员工PC的DNS指向百度服务器才能解析到域名访问百度的IP。则需要在公司内部DHCP服务器的每个网段的地址池中分配DNS服务器的IP -
重新让员工自动获取,验证已经自动分配DNS服务器IP
3)验证
-
验证分公司PC能否正常上网
-
验证公司内网能否访问外网PC,且当①线路故障时还可以正常通信
-
验证当②线路故障时,无法正常访问:因为此时①号线正常,beijing-gate依然可以和f0/0端口通信,则不会使用备份路由,依然会向beijing-r1-net转发消息,但②号线不同,没法将信息发到互联网
-
验证内网员工(市场部、财务部)能否通过百度域名访问百度web服务器
-
再验证外网PC能否通过公网IP访问公司内部web服务器(在①②线路正常时使用100.1.1.6访问,在①②线路故障时使用110.1.1.6访问)
-
当①②线路正常时使用100.1.1.6访问
-
当①②线路故障时使用110.1.1.6访问
-
4.给总出口路由器配置热备份(难点)
为了解决当②线路故障时,无法正常访问的问题,需要做热备份操作
1)三层交换机0/5,6端口降为二层
-
使①③线路的网段一致,才能做热备份(两路由器可以相互交流)
2)修改路由器端口IP
-
因为此时①号线路与③号线路网段一致了,而原来配置的beijing-r1-net的f0/0端口和beijing-r2-net的f0/0端口配置的IP是同一个网段的,所以要修改一下这两个端口的网段,可以再添加一个新的网段192.168.9.0/24
3)在三层交换机上新起虚接口
-
原理如下图所示:这样新配置路由表时,内网网段的静态路由可以指向vlan90这个虚接口IP,不然没IP可以指!!(这个地方是一个难点,好好理解一下!)这个图也可以这样理解:将总出口的两个路由器当成PC,然后连接到三层交换机上,需要起虚接口作为网关。
-
一定要先创建vlan90,再起虚接口配置IP:起虚接口vlan90,配置IP为192.168.9.254/24
4)将连接总出口路由器的端口加入vlan
-
这一步困扰了我好久,最后发现问题在这里:三层交换机的f0/5端口和f0/6端口因为降为了二层端口所以默认属于vlan1,但是当上网的帧经过三层交换机内的路由引擎时,匹配路由表从vlan90虚端口转发,但是当又经过三层交换机内的交换机时,由于这条消息添加的是vlan90的标签,那么只能从trunk端口或者加入到vlan90的能识别和封装vlan90的端口转发出去,否则一律将帧丢弃!所以一定要将f0/5和f0/6端口加入到vlan90,才能成功转发和接收!!
5)给总出口两路由器做热备份
-
配置活跃路由器beijing-r1-net热备份
-
配置备份路由器beijing-r2-net热备份
5)配置完整三层交换机和路由器的路由表(优化:路由汇总)
-
给beijing-r1-net配置路由表,内网网段下一跳指向三层交换机的虚接口vlan90
像这种一边的网段都很有规律性的比如都是192.168开头的,有10开头的,还有172.16开头的,那么这些路由条目可以进行路由汇总:可以汇总成三条,最后完整的路由表只有四条路由条目
ip route 192.168.0.0 255.255.0.0 192.168.9.254 ip route 10.0.0.0 255.0.0.0 192.168.9.254 ip route 172.16.0.0 255.255.0.0 192.168.9.254 ip route 0.0.0.0 0.0.0.0 100.1.1.2
-
给bejing-r2-net配置路由表
进行路由汇总:
ip route 192.168.0.0 255.255.0.0 192.168.9.254 ip route 10.0.0.0 255.0.0.0 192.168.9.254 ip route 172.16.0.0 255.255.0.0 192.168.9.254 ip route 0.0.0.0 0.0.0.0 110.1.1.2
-
给三层交换机配置路由表:外网网段的下一跳指向HSRP组中的虚拟路由器的虚拟IP:192.168.9.3,并查看
6)验证故障能否正常通信
-
假设①号线路故障时,市场部PC能否与外网PC通信
-
假设②号线路故障,还能否正常通信
5.配置ACL
- 要求市场部门禁止上网
- 禁止总部任何部门(服务器除外)访问财务部,但不影响财务部上网
- 要求所有分公司只能访问总部的服务器区及上网
1)确定在哪里创建ACL及种类
- 要求市场部禁止上网,即在beijing-gate的vlan90虚接口的出方向创建ACL,以命名的方式创建标准ACL
- 禁止总部任何部门(服务器除外)访问财务部,但不影响财务部上网,即在beijing-gate的vlan20虚接口的入方向创建ACL,以命名的方式创建标准ACL
- 要求所有分公司只能访问总部的服务器区及上网,即在shanghai-r1-line的f0/0端口入方向和guangzhou-r1-line的f0/0端口入方向创建ACL,以命名的方式创建扩展ACL
2)创建命名ACl添加条目并应用
-
要求一:要求市场部门禁止上网
-
在beijing-gate三层交换机上以命名的方式创建标准ACL,取名为market_net,并添加条目
-
将ACL表分别应用到vlan90虚接口的出方向(ACL表只能在路由器的接口上添加,由于f0/5和f0/6接口已经降为二层接口,所以是无法添加的,而所有发往外网的消息都要从vlan90这个端口走,所以应用在此接口的出方向)
-
验证市场部能否上网,以及其他部门能否上网
-
-
要求二:禁止总部任何部门(服务器除外)访问财务部,但不影响财务部上网
-
在beijing-gate三层交换机上以命名的方式创建标准ACL,取名为finance,并添加条目
-
将此ACL表应用到vlan40虚接口的出方向
-
验证市场部能否访问财务部;财务部能否上网;财务部能否访问服务器
-
-
要求三:要求所有分公司只能访问总部的服务器区及上网
-
在shanghai-r1-line路由器上以命名的方式创建扩展ACL,取名为shanghai_net,并添加条目
-
将此ACL表应用到shanghai-r1-line的f0/0接口入方向
-
在guangzhou-r1-line路由器上以命名的方式创建扩展ACL,取名为guangzhou_net,并添加条目
-
将此ACL表应用到guangzhou-r1-line的f0/0接口入方向
-
验证分公司能否访问总部任意员工;验证分公司能否访问服务器;验证分公司能否上网
-