[网络安全学习篇附]:基于路由器、交换机、vlan、ARP、三层交换机、HSRP、ACL、NAT的综合实验

通过前面对路由器、交换机、vlan、ARP、三层交换机、HSRP、ACL、NAT、动态路由的学习,我对网络的搭建以及规划有了进一步的认识和学习。今天我将结合前面所学的知识进行汇总,完成这一大型网络的搭建!

5月6号 发现本篇博文存在问题,已更正,对于前面看过我这篇博文的老铁们说声抱歉了!

如对上述知识点有任何疑问,请参考我的往期博客:

[网络安全学习篇13] :数据链路层及交换机的学习(千峰网络安全视频笔记 13 day)

  [网络安全学习篇14] :ARP协议、ARP欺骗与攻击(千峰网络安全视频笔记 14 day)

  [网络安全学习篇15]:VLAN、Trunk (千峰网络安全视频笔记 15 day)

  [网络安全学习篇17]:三层交换机、HSRP、网络规划(千峰网络安全视频笔记 17 day)

  [网络安全学习篇18]:ACL及实验(千峰网络安全视频笔记 18 day)

  [网络安全学习篇19]:NAT、动态路由及实验(千峰网络安全视频笔记 19 day)

 


目录

实验拓扑图:

实验环境:

要求:

1、完成对分公司的网络的配置:

1)配置路由

2)给PC0和PC1配置IP

测试网络连通性:

2、实现总公司内部网络联通以及与分公司的网络联通

1)trunk

2) vtp 与vlan

3)配置路由

4)配置DHCP服务器

3)内外网互通

1)配置HSRP(热备份)

2)配置路由

3)NAT

测试:

4、网站发布

1)搭建公司内部的网站:

1)在控制公司内外网的路由器上做静态NAT,我们选择Router4,新的公网IP为:100.1.1.3,只允许80端口的数据通过

2)配置DNS服务器

测试:

5、通过ACL包过滤技术对网络流量进行控制

1)要求市场部禁止上网

2)禁止总部任何部门(服务器除外)访问财务部,但不影响财务部上网

3)要求所有分公司只能访问总部的服务器区及上网



实验拓扑图:

实验环境:

要求:

(互联网中的路由器不允许配置去往私网地址的路由!)

1、整个内网(总部与分公司)内部全部互通,并内网全部可以上网,其中北京总部员工要求自动获取IP

地址,验证上网方法,所有员工可以通过域名http://www.baidu.com来访问百度网站!

其中上网过程中,要求断掉拓扑中的1、2、3、4号线中任意一根,不断网

2、将总部内网的web服务器发布出去,并成功在外网的PC访问其网站。

3、要求市场部禁止上网!

4、禁止总部任何部门(服务器除外)访问财务部,但不影响财务部上网

5、要求所有分公司只能访问总部的服务器区及上网

 

好了,接下来我们就来配置这个大型的家伙!

 

1、完成对分公司的网络的配置:

   

1)配置路由

Router0:

en
conf t
int f0/0
    ip add 172.16.1.254 255.255.255.0
    no sh
    ex
int f0/1
    ip add 10.1.1.1 255.255.255.0
    no sh
    ex
ip route 0.0.0.0 0.0.0.0 10.1.1.2

Router1:

en
conf t
int f0/0
    ip add 172.16.2.254 255.255.255.0
    no sh
    ex
int f0/1
    ip add 10.2.2.1 255.255.255.0
    no sh
    ex
ip route 0.0.0.0 0.0.0.0 10.2.2.2

Router2:

en
conf t
int f0/0
    ip add 10.2.2.2 255.255.255.0
    no sh
    ex
int f0/1
    ip add 10.1.1.2 255.255.255.0
    no sh
    ex
int f1/0
    ip add 10.3.3.1 255.255.255.0
    no sh
    ex
ip route 0.0.0.0 0.0.0.0 10.3.3.2
ip route 172.16.1.0 255.255.255.0 10.1.1.1
ip route 172.16.2.0 255.255.255.0 10.2.2.1

Router3:

en
conf t
int f0/0
    ip add 10.3.3.2 255.255.255.0
    no sh
    ex
int f0/1
    ip add 192.168.8.1 255.255.255.0
    no sh
    ex
ip route 0.0.0.0 0.0.0.0 192.168.8.2
ip route 10.1.1.0 255.255.255.0 10.3.3.1
ip route 10.2.2.0 255.255.255.0 10.3.3.1
ip route 172.16.1.0 255.255.255.0 10.3.3.1
ip route 172.16.2.0 255.255.255.0 10.3.3.1

2)给PC0和PC1配置IP

DNS,指向的时外网的DNS服务器,以便将来可以通过域名访问外网的web服务器

测试网络连通性:

已实现全网联通。

2、实现总公司内部网络联通以及与分公司的网络联通

1)trunk

Switch2:

en
conf t
int f0/1
    sw m t

Switch3:

en
conf t
int f0/1
    sw m t

Switch4:

en
conf t
int f0/1
    sw m t

三层交换机:

en
conf t
int range f0/1-3
    sw tr en dot
    sw m t
    ex

2) vtp 与vlan

三层交换机

en
conf t
vtp domain test
vlan 10
vlan 20
vlan 30
vlan 40
vlan 50
    ex

int f0/5
    sw ac vlan 60
int f0/6
    sw ac vlan 60
    ex

int vlan 10
    ip add 192.168.1.254 255.255.255.0
    no sh
int vlan 20
    ip add 192.168.2.254 255.255.255.0
    no sh
int vlan 30
    ip add 192.168.3.254 255.255.255.0
    no sh
int vlan 40
    ip add 192.168.4.254 255.255.255.0
    no sh
int vlan 50
    ip add 192.168.5.254 255.255.255.0
    no sh
int vlan 60
    ip add 192.168.6.254 255.255.255.0
    no sh 
    ex

Switch2:

int f0/2
    sw ac vlan 10
    ex
int f0/3
    sw ac vlan 20
    ex

Switch3:

int f0/2
    sw ac vlan 30
    ex
int f0/3
    sw ac vlan 40
    ex

Switch4:

int f0/2
    sw ac vlan 50
    ex
int f0/3
    sw ac vlan 50
    ex

3)配置路由

三层交换机

en
conf t
ip routing
int f0/4
    no sw
    ip add 192.168.8.2 255.255.255.0
    no sh
    ex

ip route 172.16.1.0 255.255.255.0 192.168.8.1
ip route 172.16.2.0 255.255.255.0 192.168.8.1
ip route 10.1.1.0 255.255.255.0 192.168.8.1    
ip route 10.2.2.0 255.255.255.0 192.168.8.1   
ip route 10.3.3.0 255.255.255.0 192.168.8.1   

4)配置DHCP服务器

三层交换机

int vlan 10 
    ip helper 192.168.5.1
int vlan 20 
    ip helper 192.168.5.1
int vlan 30 
    ip helper 192.168.5.1
int vlan 40 
    ip helper 192.168.5.1

Serrver0:

4个van网段都配置好后,点击开启服务。

好了,现在我们打开PC,就可以自动获取IP了

获取到IP后全公司网段就可以互通了

测试:用PC2去ping上海分公司的PC,测试成功!

3)内外网互通

1)配置HSRP(热备份)

这个地方可能优点难理解,给大家画了一张图,希望能对你有所帮助:

 

 Router4:

配置其为活跃路由,自己的IP:192.168.6.252,指向的虚拟路由时192.168.6.250。

走内网的数据路由器的下一条地址:192.168.6.254

en
conf t
int f0/0
    ip add 192.168.6.252 255.255.255.0
    no sh
    standby 1 ip 192.168.6.250
    standby 1 pri 200
    standby 1 pree
    standby 1 tra f0/1
    ex
int f0/1
    ip add 100.1.1.1 255.255.255.0
    no sh
    ex

ip route 192.168.1.0 255.255.255.0 192.168.6.254
ip route 192.168.2.0 255.255.255.0 192.168.6.254
ip route 192.168.3.0 255.255.255.0 192.168.6.254
ip route 192.168.4.0 255.255.255.0 192.168.6.254
ip route 192.168.5.0 255.255.255.0 192.168.6.254
ip route 172.16.1.0 255.255.255.0 192.168.6.254
ip route 172.16.2.0 255.255.255.0 192.168.6.254


Router5:

配置其为备份路由,自己的IP:192.168.6.253,指向的虚拟路由时192.168.6.250。

同样走内网的数据路由器的下一条地址:192.168.6.254

en
conf t
int f0/0
    ip add 192.168.6.253 255.255.255.0
    no sh
    standby 1 ip 192.168.6.250
    standby 1 pri 195
    standby 1 pree
    standby 1 tr f0/1
    ex
int f0/1
    ip add 110.1.1.1 255.255.255.0
    no sh
    ex

ip route 192.168.1.0 255.255.255.0 192.168.6.254
ip route 192.168.2.0 255.255.255.0 192.168.6.254
ip route 192.168.3.0 255.255.255.0 192.168.6.254
ip route 192.168.4.0 255.255.255.0 192.168.6.254
ip route 192.168.5.0 255.255.255.0 192.168.6.254
ip route 172.16.1.0 255.255.255.0 192.168.6.254
ip route 172.16.2.0 255.255.255.0 192.168.6.254


2)配置路由

三层交换机:

ip route 0.0.0.0 0.0.0.0 192.168.6.250

Router6:

en
conf t
int f0/0
    ip add 100.1.1.2 255.255.255.0
    no sh
int f0/1
    ip add 110.1.1.2 255.255.255.0
    no sh
int f01/0
    ip add 130.1.1.1 255.255.255.0
    no sh
int f1/1
    ip add 120.1.1.254 255.255.255.0
    no sh
ip route 140.1.1.0 255.255.255.0 130.1.1.2

Router7:

en
conf t
int f0/0
    ip add 130.1.1.2 255.255.255.0
    no sh
int f0/1
    ip add 140.1.1.254 255.255.255.0
    no sh
ip route 0.0.0.0 0.0.0.0 130.1.1.1

Laptop0:

 

3)NAT

Router4:

int f0/0
    ip nat inside
    ex
int f0/1
    ip nat outside
    ex

acc 1 permit 192.168.0.0 0.0.255.255
acc 1 permit 172.16.1.0 0.255.255.255
acc 1 permit 172.16.2.0 0.255.255.255

ip nat inside sou list 1 int f0/1 overload 

Router5:

int f0/0
    ip nat inside
    ex
int f0/1
    ip nat outside
    ex

acc 1 permit 192.168.0.0 0.0.255.255
acc 1 permit 172.16.1.0 0.255.255.255
acc 1 permit 172.16.2.0 0.255.255.255

ip nat inside sou list 1 int f0/1 overload 

 

测试:

使用分公司的PC ping 140.1.1.1

ping -t 140.1.1.1

断开①,网络联通:

断开②,网络联通:

断开③,网络联通:

断开④,网络联通:

4、网站发布

百度web服务器的搭建我就不概述了,这里重点说一下公司内部的网站如何发布出去。

1)搭建公司内部的网站:

1)在控制公司内外网的路由器上做静态NAT,我们选择Router4,新的公网IP为:100.1.1.3,只允许80端口的数据通过

Route4:

ip nat inside source static tcp 192.168.5.2 80 100.1.1.3 80

 

2)配置DNS服务器

百度的DNS服务器:

注:这里会出现一个新的问题:我们公司内部的PC访问公司的网站,我们给公司员工的DNS都指向了140.1.1.1,如果公司的员工输入域名,获取到的ip地址是100.1.1.3,而我们公司的员工又在内网,无法通过NAT转换IP。

解决方法:再申请一个域名,也就是qf.com,让他的IP指向:192.168.5.2。这样员工在公司就可以通过qf.com来上网了

以上:是在实验环境下的解决方法,在现实中,一般公司自己有DNS服务器,公司内部所有的员工都指到公司自己的DNS服务器,我们只要把这个DNS服务器设置转发器到外网的DNS服务器。这样就可以解决上述问题了。(自己有的直接发给你,没有的找外网的大哥)

关于DNS的详细内容跟,读者可以去我的博客:[网络安全学习篇 5]:DHCP部署与安全、DNS部署与安全(千峰网络安全视频笔记 5 day)了解!

一个地址是百度web服务器IP地址,另外两个是公司的web服务器地址。

测试:

公司内部PC:

外网PC:

5、通过ACL包过滤技术对网络流量进行控制

1)要求市场部禁止上网

因为只要求市场部不能上网,也就是不能与外网联通,只需在vlan60网段编写策略:阻止市场部的流量发出即可

ip acc ex kz-shb
    deny ip 192.168.1.0 0.0.0.255 any
    permit any any
    ex
int vlan 60
    ip access-group kz-shb out

通过市场部的PC测试:

2)禁止总部任何部门(服务器除外)访问财务部,但不影响财务部上网

只需在财务部所在的网段也就是vlan40,编写策略:只允许组织vlan10、vlan20、vlan30网段的流量进入 ,最后允许所即可

ip acc ex kz-cwb
    deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
    deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255
    deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
    permit any any
int vlan 40
    ip access-group kz-cwb in
    ex

使用财务部的PC测试:

3)要求所有分公司只能访问总部的服务器区及上网

 

好了,我们的大实验到此终于结束了!

参考文献:

(千峰教育)网络安全视频公开课:https://www.bilibili.com/video/av88369253?p=13

评论 21
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

beglage

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值