小型办公网络环境部署

 

一.实验目的

1PC1PC2不能互相访问;

2.在5750上搭建DHCP服务器,使得PC1PC2能动态获取ip地址;

3.在firewall 1600s上做NAT使得PC1可以通过外网(办公网)访问internet

二.实验环境

二层交换机RG-2628G、三层交换机RG-5750G、防火墙FIREWALL1600S

三.实验拓扑

四.实验前技术点准备

1.VLAN

一个vlan=一个广播域=一个逻辑子网,不同的vlan之间需要经过路由才能相互访问;

划分VLAN的好处:提供网络管理的便捷性;增加网络安全性(不同的VLAN把病毒、***隔离开);缩小广播域(把大的广播域划分为小的广播域)。

2.Trunk

Trunk=串口连接=干道连接,在一条物理传输介质上能传递多个VLAN信息叫TRUNK技术,trunk链路有两种封装协议:ISLDot1qISLcisco私有,dot1q是公有标准厂商普遍支持。

3.SVI

SVI是通过3层交换机在交换机上为了实现不同vlan 间通信使用的一种技术,它是虚拟接口,不是物理存在的,可以配置ip地址,为每个vlan转发流量到其他vlan上。

在三层交换机上搭建Dhcp服务器步骤:

(1)       首先开启dhcp服务并建立一个dhcp地址池,在全局模式下命令是:

ip dhcp pool pool-name;

(2)       指定dhcp服务器网关:default-router ip-address

(3)       激活dhcp地址池的ip网段:network ip-address netmask

(4)       指定dns服务器地址:dns-server ip-address

(5)       不允许地址池里的某些特定地址分配给PC机,在全局模式下命令为:

ip dhcp excluded-address ip-address

4.NAT

解决使用私有地址,如何来访问互联网,因为互联网上没有私有地址的路由,私有地址发送请求将被丢弃,而NAT能把私有地址翻译成公有的IP地址,NAT功能:网络地址转换;解决网络地址重叠;实现TCP负载均衡(通过配置PAT技术)。

 

五.实验步骤

1.       2628上划分vlan,把f0/1-10划分到vlan10f11/20划分到vlan20

2.       5750上开启svi接口作为vlan10vlan20的网关,然后搭建dhcp服务器为vlan10vlan20分配ip

3.       firewall上做NAT地址转换,使得内部主机pc1pc2可以访问internetNAT采用的是多对一转换;

六.实验配置

1.       2628上的配置

(1)       接口f0/1-10划分到vlan10

interface range f0/1-10

switchport mode access

switchport access vlan 10

no sh

(2)       f0/11-20划分到vlan20

interface range f0/1-10

switchport mode access

switchport access vlan 10

no sh

(3)       f0/24接口与5750g0/24相连,需要起trunk链路

interface f0/24

switchport mode trunk

switchport truk encapsulation dot1q

no sh

2.       5750上的配置

PC1PC2属于不同vlan即属于不同子网,建立svi接口分别作为vlan10vlan20的网关

(1)       vlan10建立svi

interface vlan 10

ip address 10.10.1.1 255.255.255.0

no sh

(2)       vlan20建立svi

interface vlan 10

ip address 10.10.2.1 255.255.255.0

no sh

(3)       vlan10所以成员建立dhcp服务器

ip dhcp pool vlan10_dhcp

default-router 10.10.1.1

network 10.10.1.0 255.255.255.0

dns-server 8.8.8.8

(4)       vlan20所有成员建立dhcp服务器

ip dhcp pool vlan20_dhcp

default-router 10.10.2.1

network 10.10.2.0 255.255.255.0

dns-server 8.8.8.8

(5)       把网关地址在dhcp地址池里边剔除掉,在全局模式下命令如下:

ip dhcp excluded-address 10.10.1.1

ip dhcp excluded-address 10.10.2.1

(6)       g0/24上起trunk链路

interface g0/24

switchport mode trunk

switchport trunk encapsulation dot1q

no sh

(7)       g0/23口与防火墙GE3口相连,开启三层口配置ip

interface g0/23

no switchport

ip address 10.10.3.1 255.255.255.0

no sh

(8)       添加访问控制列表并在svi接口调用使得PC1PC2不能互通

access-list 100 deny ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255

access-list 100 permit ip any any

access-list 101 deny ip 10.10.2.0 0.0.0.255 10.10.1.0 0.0.0.255

access-list 101 permit ip any any

interface vlan 10

ip access-group 100 in

interface vlan 20

ip access-group 101 in

3.       1600s上的配置

ge3配置ip

 

ge2配置ip

 

 添加静态路由:

1)出外网的静态路由

 

2)进内网的静态路由

 

 

配置NAT地址池:

 

配置NAT安全规则:

 

七.实验测试

pc2上输入ipconfig/all查看是否从dhcp获取到ip

 

ping命令测试与PC2的连通性:

 

NAT通过wireshark抓包检测: