給公司部署網路,肯定公司會有固定的要求,所以我們一切的部署和規劃都要按著公司的意思來,首先看一下該公司提出的要求,
根據該公司的要求簡單的先部署了一個網路結構,用來演示整個部署的程序,
一
看到第一條要求,全網互通,不要慌,按自己的想法一點一點來,首先我們先看來看看一下北京總部,需要實作什么功能,看到三層交換機了,那就先把北京的內網全通了吧,開淦,說一下思路,實作內網互通,就是vlan+trunk+vtp+網關+三層交換機的routing.
首先我們先將 三層交換機 和 二層交換機 的鏈路變成 trunk 模式,
在三層交換機的埠上起trunk記得首先打標簽,
在二層交換機埠上上開啟trunk,這里用市場部和銷售部的交換機演示,其余的同理,
建立VTP,通過VTP來建立域環境,
然后將除三層交換機之外的交換機,調成client模式,
然后在三層交換機上,創建五個vlan,分別配置到各個部門,并且給各個vlan加上網關,然后將相應的埠加入對應的vlan,拿第一個交換機舉例,其余同理,
1.創建vlan
2.將對應的埠加入對應的vlan
3.在三層交換機上,進入vlan,配置網關,
4.在三層交換機上,開啟ip routing,
5.嘗試ping一下不同vlan的設備,看看能不能內網互通,
從vlan10 ping vlan20的機器,通了,證明我們的內網可以進行互通了,
二.
接下來看到我們北京總部的要求自動獲取IP地址,所以我們要在三層交換機上配置我們的DHCP,接下來我們先在三層交換機上開啟dhcp,然后配置4個地址池,分別為不同的網段分發不同的ip地址,因為最后一個是服務器,所以不需要DHCP自動獲取,我們手動為它寫一個 192.168.5.1 的靜態地址,這里的DNS之所以要指向140.1.1.1是因為我們后面還要配置DNS服務器,所以就先指向它,
諸如此類,配置四個地址池,然后我們點開看看是否可以自動獲取ip地址,
發現我們的PC端可以進行自動獲取IP地址了,
三
北京總部的內網搭建的差不多了,接下來我們就需要開始配置外網了,根據要求,可以看出,我們要做熱備份,所以我們需要新創建一個vlan60來將連接外網的埠添加進去,
然后為vlan60配置一個IP地址,
這里之所以vlan60沒有用 192.168.6.254 是因為我們后面做熱備份的時候需要用到這個IP地址,所以我們隨便配置一個其它的IP地址,這下我們交換機上的配置先放一放,然后來配置我們的路由器,
如圖所示,我們先為路由器和外網的設備配置IP地址,此處程序簡單但是繁瑣,就不寫了,大家參考配置即可,
配置好各個介面的IP地址后,我們需要讓各個路由能夠相互通信,所以我們這里采用rip,這個動態路由協議,將網段進行宣告,
宣告完成以后,外部的路由已經互相學習,然后可以通信了,但是內外網還沒法通信,所以接下來我們就要將內網的IP地址通過路由器映射出去,我們就直接映射到我們的路由埠100.1.1.1,另一個路由器同理映射到110.1.1.1.
這里我們首先要進入路由的不同埠,給埠配置 nat 的 inside 和 outside,然后定義一個將所有網段映射到埠的表,然后將表應用,并且映射到剛剛定義的out口上,
映射完成后我們接下來做熱備份,讓100網段的這個路由做active路由,另一個做備份,
這里是備份路由器的配置,這里的優先級為195,只要100 網段的路由器配置的優先級大于195,則會成為active路由,接下來我們在三層交換機上配置靜態的路由協議,讓內網的地址可以訪問這個虛擬的192.168.6.254 網關,并且為兩個路由配置一個回來的靜態的路由協議,
然后用我們的PC1 ping 我們的140.1.1.1 看看能否連接,
接下來我們在140.1.1.1上部署DNS服務器
然后將ip決議進去,接下來我們用財務部的電腦進行網頁域名訪問,看是否可以瀏覽成功,
發現可以訪問了,證明我們已經可以成功的上外網了,接下來我們對分部進行配置,
四.
分部的部署就很簡單了,首先給各個分部在路由上布置一個網關,然后把路由全部弄通就好了,這里我們就還是用RIP協議就好,到三層交換機上F 0/1 埠,需要將它先變為三層埠,然后再進行rip,它要將它連接的網段全部宣告,
然后我們測驗一下,看看能不能訪問140.1.1.1
.
可以訪問沒問題,然后再嘗試訪問一下北京總部的服務器,
是可以訪問的,這下我們的內網和外網就全都通了,
五
接下來看第二個要求,我們需要將內網的服務器映射到外網上,這樣別人訪問這個外網的IP就可以訪問我們的服務器上的網站了,這就要配置靜態映射了,當然因為是熱備份,所以兩個路由都要進行靜態映射,這里拿active路由舉例子,
然后用外網的PC6訪問 100.1.1.1 發現可以訪問,證明我們內網的服務器已經映射到外網了,
六
查看下一個要求是:市場部門禁止上網,我們分析一下,這里的禁止上網,應該是禁止訪問外網,所以我們在出內網的路由上做ACL即可,這里還是拿active路由舉例,實則兩個路由都需要做,
說一下acl的思路,就是拒絕192.168.1.0網段的所有 IP 協議的對外訪問,然后允許所有的網段的訪問,因為acl自上而下的匹配,所以先匹配的第一條,可以完成這個要求,我們ping一下來測驗一下,
很明顯的可以看到市場部ping的時候顯示不可達,而在相鄰網段的銷售部則可以上外網,證明我們的配置就完成了,注:記得兩個路由器都要配置ACL,
七
下一個要求:
任何部門無法訪問財務部,想了想如果在路由上實作這一功能是比較困難的,因為外部的網段很冗雜,雖然通過ACL可以實作,但是較為繁瑣,這里我們想到之前劃分的vlan,正好財務部在一個單獨的vlan40里面,而vlan是有ip的,所以我們對vlan的入口做限制就好了,
ACL表:
由圖可以看出,財務部ping140.1.1.1是可以ping通的,證明是可以正常上網的,但是其它部門來訪問財務部是不可達的,證明我們的配置成功了,
八
最后一個要求,所有分部只能訪問總部的服務器和訪問外網,很明顯,也是利用ACL進行限制,但是具體在哪個路由上做ACL,我們來看一眼圖,
左面是兩個分部,而最好做控制的當然是在三層交換機的 F0/1 口上,所以我們在這里給它配置ACL,
我們用pc0來ping 192.168.5.1 發現ping不通,ping 192.168.1.1 發現也不通,而通過瀏覽器訪問我們的服務器可以,訪問外網也可以,證明我們做的ACL成功了,
以上就完成了我們這次配置的全部要求,如有遺漏和錯誤或者大家有更好的配置的方式,希望大家可以留言說明,大家一起學習,可能有些配置程序不是很詳細,希望大家可以理解,畢竟不是入門教程,
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/248129.html
標籤:其他