7

多vlan实现互访,使用NAT、DHCP、ACL等技术实现公司组网

 2 years ago
source link: https://blog.51cto.com/u_15628937/5644824
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client
  1. 某公司有三个部门,要使三个部门可以访问互联网,但各个部门之间不能相互访问。
  2. 内网有一台服务器,所有人都要能访问到,而且要对内外提供HTTP、DNS服务。
  3. 三个部门的机器均使用动态IP上网,服务器使用静态IP上网。
  4. ISP提供静态IP接入,只提供一个外网IP,IP地址1.1.1.1,子网掩码255.255.255.0,网关:1.1.1.254(瞎编的)。
  1. 1841作为网关,提供路由、NAT、DHCP等服务,设置ACL限制VLAN间互访。
  2. 2960作为二层交换机,划分VLAN。

网络拓扑图

交换机端口、VLAN划分

  • 部门一 FE0/1-8: 绑定VLAN10
  • 部门二 FE0/9-16:绑定VLAN20
  • 部门三 FE0/17-24:绑定VLAN30
  • 干路 GE0/1: 连接路由器的FE0/1口,TRUNK 允许 VLAN10 20 30 100通过
  • 服务器 GE0/1: 绑定VLAN100

路由器端口、网段、IP划分

  • FE0/0:WAN接口、IP为1.1.1.1
  • FE0/1:连接交换机的GE0/1口,下面划分多个子接口,自身不设置IP地址,
  • FE0/1.1:绑定VLAN10,IP为192.168.1.1/24
  • FE0/1.2:绑定VLAN20,IP为192.168.2.1/24
  • FE0/1.3:绑定VLAN30,IP为192.168.3.1/24
  • FE0/1.4:绑定VLAN100,IP为192.168.100.1/24

以下为完整设置命令,有详细注释,设备均已恢复出厂设置

交换机配置

进入特权模式

Switch>enable



进入配置模式



Switch#configure terminal



设置部门一VLAN10



Switch(config)#interface range FastEthernet 0/1-8    %端口组FE0/1-8

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 10 %设置端口为access模式,绑定vlan10

Switch(config-if-range)#exit



设置部门二VLAN20



Switch(config)#interface range FastEthernet 0/9-16    %端口组FE0/9-16

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 20    %设置端口为access模式,绑定vlan20

Switch(config-if-range)#exit



设置部门三VLAN30



Switch(config)#interface range FastEthernet 0/17-24    %端口组FE0/17-24

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 30    %设置端口为access模式,绑定vlan30

Switch(config-if-range)#exit



设置服务器VLAN100



Switch(config)#interface range GigabitEthernet 0/2

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 100    %设置端口为access模式,绑定vlan100

Switch(config-if-range)#exit



设置汇聚口



Switch(config)#interface GigabitEthernet 0/1

Switch(config-if)#switchport mode trunk

Switch(config-if)#switchport trunk allowed vlan 10,20,30,100    %设置端口为trunk模式,允许 VLAN10 20 30 100通过

Switch(config-if)#exit



设置生成树快速转发



Switch(config)#spanning-tree portfast default %珍惜宝贵的时间



退出&保存设置



Switch(config)#exit

Switch#write



路由器配置



进入特权模式



Router>enable



进入配置模式



Router#configure terminal



设置部门一VLAN10 ACL规则1,仅禁止访问其他两个网段



Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255

Router(config)#access-list 1 deny 192.168.3.0 0.0.0.255

Router(config)#access-list 1 permit any



设置部门二VLAN20 ACL规则2,仅禁止访问其他两个网段



Router(config)#access-list 2 deny 192.168.1.0 0.0.0.255

Router(config)#access-list 2 deny 192.168.3.0 0.0.0.255

Router(config)#access-list 2 permit any



设置部门三VLAN30 ACL规则3,仅禁止访问其他两个网段



Router(config)#access-list 3 deny 192.168.1.0 0.0.0.255

Router(config)#access-list 3 deny 192.168.2.0 0.0.0.255

Router(config)#access-list 3 permit any



设置服务器VLAN100 ACL规则4,允许访问任何网络



Router(config)#access-list 4 permit any



设置NAT ACL规则5,仅允许四个内网网段进行NAT



Router(config)#access-list 5 permit 192.168.1.0 0.0.0.255

Router(config)#access-list 5 permit 192.168.2.0 0.0.0.255

Router(config)#access-list 5 permit 192.168.3.0 0.0.0.255

Router(config)#access-list 5 permit 192.168.100.0 0.0.0.255

Router(config)#access-list 5 deny any



设置WAN接口



Router(config)#interface FastEthernet 0/0

Router(config-if)#no shutdown

Router(config-if)#ip address 1.1.1.1 255.255.255.0

Router(config-if)#ip nat outside    %设置为NAT外部接口

Router(config-if)#exit



设置LAN接口



Router(config)#interface FastEthernet 0/1

Router(config-if)#no shutdown    %物理接口只需开启即可,不用设置IP地址

Router(config-if)#exit



设置部门一VLAN10子接口



Router(config)#interface FastEthernet 0/1.1

Router(config-subif)#encapsulation dot1Q 10    %用802.1Q封装数据帧,以便兼容交换机

Router(config-subif)#ip address 192.168.1.1 255.255.255.0

Router(config-subif)#ip access-group 1 in    %入口流量应用ACL规则1

Router(config-subif)#ip access-group 1 out    %出口流量应用ACL规则1

Router(config-subif)#ip nat inside %设置为NAT内部接口

Router(config-subif)#exit



设置部门二VLAN20子接口



Router(config)#interface FastEthernet 0/1.2

Router(config-subif)#encapsulation dot1Q 20    %用802.1Q封装数据帧,以便兼容交换机

Router(config-subif)#ip address 192.168.2.1 255.255.255.0

Router(config-subif)#ip access-group 2 in    %入口流量应用ACL规则2

Router(config-subif)#ip access-group 2 out    %出口流量应用ACL规则2

Router(config-subif)#ip nat inside

Router(config-subif)#exit



设置部门三VLAN30子接口



Router(config)#interface FastEthernet 0/1.3

Router(config-subif)#encapsulation dot1Q 30    %用802.1Q封装数据帧,以便兼容交换机

Router(config-subif)#ip address 192.168.3.1 255.255.255.0

Router(config-subif)#ip access-group 3 in    %入口流量应用ACL规则3

Router(config-subif)#ip access-group 3 out    %出口流量应用ACL规则3

Router(config-subif)#ip nat inside %设置为NAT内部接口

Router(config-subif)#exit



设置服务器VLAN100子接口



Router(config)#interface FastEthernet 0/1.4

Router(config-subif)#encapsulation dot1Q 100    %用802.1Q封装数据帧,以便兼容交换机

Router(config-subif)#ip address 192.168.100.1 255.255.255.0

Router(config-subif)#ip access-group 4 in    %入口流量应用ACL规则4

Router(config-subif)#ip access-group 4 out    %出口流量应用ACL规则4

Router(config-subif)#ip nat inside %设置为NAT内部接口

Router(config-subif)#exit



设置DHCP排除地址(这里只设置路由器本身IP)



Router(config)#ip dhcp excluded-address 192.168.1.1

Router(config)#ip dhcp excluded-address 192.168.2.1

Router(config)#ip dhcp excluded-address 192.168.3.1



设置VLAN10 DHCP服务器



Router(config)#ip dhcp pool vlan10

Router(dhcp-config)#default-router 192.168.1.1

Router(dhcp-config)#dns-server 192.168.100.254

Router(dhcp-config)#network 192.168.1.0 255.255.255.0

Router(dhcp-config)#exit



设置VLAN20 DHCP服务器



Router(config)#ip dhcp pool vlan20

Router(dhcp-config)#default-router 192.168.2.1

Router(dhcp-config)#dns-server 192.168.100.254

Router(dhcp-config)#network 192.168.2.0 255.255.255.0

Router(dhcp-config)#exit



设置VLAN30 DHCP服务器



Router(config)#ip dhcp pool vlan30

Router(dhcp-config)#default-router 192.168.3.1

Router(dhcp-config)#dns-server 192.168.100.254

Router(dhcp-config)#network 192.168.3.0 255.255.255.0

Router(dhcp-config)#exit



Router(config)#ip routing %开启路由转发

Router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.254    %设置默认网关



设置NAT



Router(config)#ip nat inside source list 5 interface FastEthernet0/0 overload  %允许四个网段进行NAT,出接口为WAN口,开启端口地址复用

Router(config)#ip nat inside source static tcp 192.168.100.254 80 1.1.1.1 80    %将内部服务器的80端口映射到公网IP上

Router(config)#ip nat inside source static udp 192.168.100.254 53 1.1.1.1 53 %将内部服务器的53端口映射到公网IP上



退出&保存设置



Router(config)#exit

Router#write



多vlan实现互访,使用NAT、DHCP、ACL等技术实现公司组网_封装

        

        

            

                report
            

        

    







        
Recommend

        



                

    
About Joyk

    
 





Aggregate valuable and interesting links.

Joyk means Joy of geeK