Cisco Packet Tracer学习笔记

1 网络设备 Network Devices

1.1 路由器 Routers

1.1.1 Cisco 4331 Router

属于 ISR 4000 系列的中高端路由器,支持模块化设计,集成服务路由器功能,支持更高的数据处理性能。

接口:支持两个内置 Gigabit Ethernet 接口(千兆以太网接口),多个 NIM(Network Interface Modules)插槽,以及一个增强型服务模块插槽。

常见用途:企业网络中,适用于大规模数据处理和高级服务集成。


补充:路由器上还有接口如下:

① Console接口

功能:Console 接口是用于本地访问路由器或交换机的主要管理端口。通过 Console 接口,管理员可以直接连接到设备,进行初始配置、故障排除和日常管理操作。

连接方式:通常使用 RJ-45 (也就是水晶头)或 USB 线缆连接到 PC 上的终端仿真软件(如 PuTTY 或 Tera Term)。旧型号一般使用 RJ-45,而新型号可能带有 USB Console 接口。

用途

  • 初次启动设备时的配置。
  • 设备发生网络故障时的紧急访问。
  • 不依赖网络,直接连接到设备进行管理。
② USB Console接口

功能:USB Console 接口是 Console 接口的替代或补充,提供更便捷的连接方式。它特别适用于现代笔记本电脑上没有串口(RS-232)的情况。

连接方式:使用 USB-A 或 USB-B 数据线连接设备和计算机,配合终端仿真软件进行访问。

用途:与传统 Console 接口功能相同,通常用来代替 RJ-45 Console 接口,提供更方便的设备管理和配置方式。

③ Auxiliary(AUX)接口

功能:AUX 接口主要用于远程访问设备,通常通过调制解调器拨号连接。它允许管理员在无法通过网络访问设备时,使用电话线远程拨入以进行管理。

连接方式:连接到外部调制解调器,通过电话线拨入管理设备。

用途

  • 在网络连接失败时,作为备份管理通道。
  • 支持通过调制解调器远程拨号访问设备。
  • 较老的部署中用作异地故障恢复或紧急配置访问。

1.1.2 Cisco 4321 Router

特点:ISR 4000 系列中低端型号,提供了企业级网络功能,如网络安全和 WAN 加速。

接口:集成两个 Gigabit Ethernet 接口,支持 NIM 插槽,用于添加更多接口或功能模块。

常见用途:中小企业网络,适合集成安全服务、路由功能及广域网连接。

1.1.3 Cisco 1941 Router

特点:1941 是 ISR G2 系列的一部分,性能较强,支持丰富的模块化扩展。

接口:集成两个 Fast Ethernet 接口(百兆以太网接口),并有多个插槽可扩展串行接口、DSL、无线或其他模块。

常见用途:小型企业路由,广域网实验,静态和动态路由配置。

1.1.4 Cisco 2901 Router

特点:属于 ISR G2 系列,提供了扩展性、性能和安全性之间的平衡。

接口:提供两个 Gigabit Ethernet 接口,支持丰富的模块扩展,如语音、WAN 和安全模块。

常见用途:中型企业网络配置和服务集成实验。

1.1.5 Cisco 2911 Router

特点:相比 2901,2911 提供更高的性能,适合企业网络中的核心路由任务。

接口:支持三个 Gigabit Ethernet 接口,以及多个模块插槽用于扩展 WAN、语音和其他服务。

常见用途:企业网络中冗余和多协议实验。

1.1.6 Cisco 819IOX Router

特点:适用于物联网(IoT)环境,提供嵌入式连接和远程管理功能。

接口:集成蜂窝模块(如 4G/LTE),支持多种远程网络连接协议。

常见用途:IoT 部署、远程站点管理和移动网络应用。

1.1.7 Cisco 819HWG Router

特点:与 819IOX 类似,专为蜂窝网络环境设计,提供多种远程连接选项。

接口:支持 4G/LTE、Wi-Fi 和 Ethernet 接口,专为远程和边缘设备管理而设计。

常见用途:工业物联网、远程办公和应急网络连接。

1.1.8 Cisco 829 Router

特点:这款紧凑型路由器支持多种连接选项,包括蜂窝、Wi-Fi 和以太网,适用于移动和物联网应用。

接口:提供 4G/LTE、Wi-Fi 和多个以太网端口,设计用于工业应用和远程管理。

常见用途:移动站点连接、边缘计算和远程网络部署。

1.1.9 Cisco 1240 Router

特点:这个型号主要用于 Cisco Packet Tracer 模拟环境中的基本配置实验,功能较为基础。

接口:具有基本的 Fast Ethernet 接口,适合初学者进行简单的路由实验。

常见用途:学习和演示简单的静态路由和 ACL 配置。

1.1.10 Cisco 1841 Router

特点:这是 ISR 系列的早期型号,适用于入门级路由实验和学习。

接口:自带两个 Fast Ethernet 接口和多个模块插槽,可以添加串行接口。

常见用途:初学者实验配置和小型企业网络。

1.2 交换机 Switches

1.2.1 Cisco 2960 Switch

特点:2960 系列是入门级的企业级交换机,支持基本的二层交换功能,同时提供有限的三层功能(如静态路由)。

端口配置:通常配置有 24 或 48 个 Fast Ethernet 或 Gigabit Ethernet 端口,以及若干上行链路(uplink)端口(如 SFP)。

功能支持:VLAN、STP(生成树协议)、QoS、PoE(部分型号)等,适用于小型到中型企业的接入层。

常见用途:用于企业网络的接入层设备,支持用户终端连接和基本的网络管理功能。

同样有Console接口。

1.2.2 PT-Switch

特点:这是 Cisco Packet Tracer 中一个虚拟化的基础交换机模型,具备基本的二层交换功能,便于实验和学习。

端口配置:通常提供 24 个 Fast Ethernet 端口和多个 Gigabit Ethernet 上行链路端口。

功能支持:基础的 VLAN 配置、STP 和基本的交换操作。

常见用途:初学者学习交换原理和基础网络拓扑。

1.2.3 Cisco 3560 24PS Switch

特点:3560 系列是多层交换机,支持高级的三层路由功能,是企业级网络核心或分支网络的理想选择。24PS 型号提供 24 个支持 PoE 的端口。

端口配置:24 个 Fast Ethernet 端口,4 个 Gigabit Ethernet 上行链路端口(SFP)。

功能支持:支持 VLAN、STP、三层路由(如 OSPF 和 EIGRP)、QoS、PoE 等功能。

常见用途:企业的接入层和分支网络的分布层,支持电源供电设备(如 IP 电话)。

1.2.4 Cisco 3650 24PS Switch

特点:3650 系列是性能更高的多层交换机,支持完整的三层功能和 SDN(软件定义网络)集成,24PS 型号带有 PoE 支持。

端口配置:24 个 Gigabit Ethernet 端口和 4 个 10 Gigabit 上行链路端口(SFP+)。

功能支持:支持完整的三层路由、PoE+、VLAN、STP、QoS、高级安全功能和 SDN 集成。

常见用途:企业网络的分布层和核心层,适合高带宽需求的环境。

1.2.5 Cisco IE 2000 Switch

特点:IE 2000 系列是工业级交换机,专为恶劣环境和工业控制系统设计。

端口配置:支持多种端口配置,通常有 Fast Ethernet 和 Gigabit Ethernet 端口,并支持冗余电源输入。

功能支持:增强型的 VLAN、QoS 和工业协议支持(如 Modbus、EtherNet/IP)。

常见用途:工业自动化、物联网部署和极端环境下的网络连接。

1.2.6 Cisco 2950-24 Switch

特点:2950 系列是早期的企业级二层交换机,支持基本的网络接入功能,适合入门级网络学习。

端口配置:24 个 Fast Ethernet 端口,外加 2 个 Gigabit Ethernet 上行链路端口(GBIC 插槽)。

功能支持:基本的 VLAN、STP、基础 QoS 支持。

常见用途:小型网络接入层设备,基础网络实验和学习。

1.3 无线设备 Wireless Devices

1.3.1 3702i

功能:思科 3702i 是一款企业级的无线接入点,提供高性能和高密度无线覆盖。

特性

  • 支持 802.11ac 标准。
  • 支持 MIMO(多输入多输出)技术,增强无线网络的吞吐量。
  • 高密度环境优化:适用于高用户密度的环境,如大型办公室和公共场所。

1.3.2 WLC(Wireless LAN Controller)

功能:无线局域网控制器(WLC)用于集中管理和配置无线接入点(AP),并提供无线网络的高级功能和策略控制。

特性

  • 集中管理:集中配置、监控和管理多个无线接入点。
  • 无线网络优化:包括无线信道管理、负载均衡和安全策略。
  • 高级功能:如自动信道分配、无线漫游管理。

1.3.3 3504

功能:思科 3504 无线控制器是一款企业级无线控制器,支持较小到中型企业的无线网络需求。

特性

  • 支持 802.11ac 无线标准。
  • 提供集中的无线网络管理和配置功能。
  • 适合中等规模的企业环境,支持较高数量的接入点和客户端设备。

1.3.4 2504

功能:思科 2504 无线控制器是一款适用于小型企业的无线控制器,提供基本的无线网络管理功能。

特性

  • 支持 802.11n 无线标准。
  • 提供无线接入点集中管理和基本的网络优化功能。
  • 适合小型到中型企业环境。

1.3.5 Home Router

功能:家用路由器用于连接家庭网络和互联网,通常提供无线功能和基本的网络管理。

特性

  • 支持无线标准(如 802.11n/g/b)。
  • 提供 NAT(网络地址转换)和基本的防火墙功能。
  • 适合家庭用户的互联网连接和设备管理。

1.3.6 WRT300N

功能:WRT300N 是思科的一款家用或小型企业无线路由器,支持 802.11n 标准。

特性

  • 支持 802.11n 无线标准,提供较高的无线速度。
  • 提供 NAT、防火墙和无线网络管理功能。
  • 适合小型家庭或办公室网络环境。

1.3.7 Home Gateway

功能:家庭网关是家用设备,通常集成路由器、调制解调器和无线接入点功能,用于连接家庭网络和互联网。

特性

  • 提供互联网连接、无线网络覆盖和基本的网络管理功能。
  • 集成多种网络功能,简化家庭网络设备配置。

1.4 安全设备 Security

ASA 是 Adaptive Security Appliance 的简写。它是思科(Cisco)生产的一系列网络安全设备的名称,用于提供防火墙、VPN(虚拟专用网络)、入侵防御和其他安全功能。ASA 设备的主要作用是保护网络免受各种威胁,同时允许合法的流量通过。

1.4.1 Cisco ASA 5505

基础功能:Cisco ASA 5505 是一款企业级防火墙,适用于中小型企业的网络保护。它提供了全面的网络安全功能,包括防火墙、VPN(虚拟专用网络)和入侵防御。

接口

  • 以太网接口:通常包括 8 个 10/100/1000 Mbps 的以太网端口。
  • 模块插槽:支持多个模块扩展,如 VPN 模块或其他网络接口模块。

支持的功能

  • 防火墙功能:支持访问控制列表(ACLs)、网络地址转换(NAT)、状态检测等。
  • VPN 功能:支持 IPSec 和 SSL VPN,为远程用户提供安全的网络访问。
  • 入侵防御:集成入侵防御系统(IPS),保护网络免受攻击和恶意流量。
  • 高可用性:支持集群配置和冗余,以提高网络可靠性。

性能:适合中型企业或分支机构的使用,提供合理的性能和网络安全保护。

常见用途

  • 企业防火墙:作为企业网络的边界防火墙,保护内部网络免受外部威胁。
  • 远程访问 VPN:为远程员工提供安全的访问通道。
  • 分支机构:部署在企业分支机构,提供本地网络安全和管理功能。

1.4.2 Cisco ASA 5506

  • 基础功能:Cisco ASA 5506 是 ASA 5500-X 系列中的一款防火墙,适用于小型企业和分支机构,提供更高的性能和更多的现代安全功能。
  • 接口:
    • 以太网接口:通常包括 8 个 10/100/1000 Mbps 的以太网端口,部分型号支持 1G/10G 以太网接口。
    • 模块插槽:支持额外的模块插槽(如扩展模块)。
  • 支持的功能:
    • 防火墙功能:集成了高性能的防火墙功能,包括高级访问控制、NAT、状态检测和应用程序控制。
    • VPN 功能:支持高性能的 IPSec 和 SSL VPN,提供灵活的远程访问选项。
    • 入侵防御:集成了现代的入侵防御系统(IPS),对抗最新的威胁。
    • 高级安全功能:包括高级的应用程序控制、用户身份验证和内容过滤。
    • 高可用性:支持冗余配置和高可用性模式,增强网络可靠性。
  • 性能:提供比 ASA 5505 更高的处理能力和更丰富的安全功能,适合快速增长的小型企业和复杂的分支机构环境。

常见用途

  • 企业防火墙:作为小型企业和分支机构的主要防火墙设备,提供全面的网络安全。
  • 远程访问 VPN:为用户提供安全的远程访问,并支持更高的并发用户数。
  • 分支机构网络保护:保护分支机构网络,提供集中管理和现代化的安全功能。

1.5 广域网模拟 WAN Emulation

WAN(广域网)模拟功能用于模拟不同类型的广域网连接和设备。这些模拟器允许用户创建和测试网络拓扑,模拟广域网的实际工作环境。

1.5.1 PT-Cloud

用途:PT-Cloud 用于模拟广域网(WAN)连接中的云环境。它充当多个网络之间的中介,模拟互联网或其他广域网的连接。

特性

  • 虚拟云:PT-Cloud 可以连接多个网络设备,模拟它们通过云进行通信。
  • 网络连接:提供与不同子网和设备的连接,模拟互联网或其他公共网络。
  • 路由和交换:可以用于测试不同网络之间的路由和交换策略。

1.5.2 数字用户线调制解调器 DSL Modem

用途:DSL(Digital Subscriber Line Modem)调制解调器用于模拟通过电话线进行的宽带互联网连接。

特性

  • 网络连接:提供模拟的 DSL 连接,连接到 ISP(互联网服务提供商)或云。
  • 配置:通常具有模拟的 DSL 配置选项,如 PPPoE(点对点协议 over Ethernet)连接。
  • 带宽:模拟 DSL 连接的带宽和延迟特性。

常见用途

  • 家庭和小型办公室网络:模拟家庭或小型办公室的 DSL 互联网连接。
  • 网络测试:测试和模拟通过 DSL 连接的网络配置和性能。

1.5.3 有线电视调制解调器 Cable Modem

用途:Cable Modem 用于模拟通过有线电视网络提供的宽带互联网连接。

特性

  • 网络连接:提供模拟的有线电视网络连接,连接到 ISP 或云。
  • 配置:通常包括模拟的有线电视连接配置,如 DHCP(动态主机配置协议)。
  • 带宽:模拟有线电视连接的带宽和延迟特性。

2 连接线材 Connections

2.1 线缆 Console

用途:用于将计算机直接连接到路由器或交换机的 Console 接口,以进行初始配置和故障排除。

使用场景:通常用于本地访问设备,尤其是在网络未配置或故障时。

连接端口:一端连接设备的 Console 端口,另一端连接计算机的串口(或 USB-to-Serial 转换器)。

2.2 直通网线 Copper Straight-Through

用途:用于连接不同类型的设备,例如交换机与计算机、交换机与路由器。

使用场景:这是最常用的以太网线缆,广泛应用于标准网络连接。

连接端口:连接设备的 RJ-45 端口(有8根针脚)。

特性:线缆的线序是相同的(1 对 1,2 对 2)。

2.3 交叉网线 Copper Cross-Over

用途:用于连接相同类型的设备,例如计算机与计算机、交换机与交换机、路由器与路由器。

使用场景:通常在需要直接连接两个相同类型的设备时使用。

连接端口:连接设备的 RJ-45 端口。

特性:线缆的线序是交叉的(1 对 3,2 对 6),实现设备之间的通信。

2.4 电话线 Phone

用途:用于连接模拟电话或用于 VoIP(IP 语音)网络中的电话设备。

使用场景:在模拟电话系统或混合电话网络中连接电话和 PBX 系统。

连接端口:连接设备的 RJ-11 端口(只有4根针脚)。

2.5 同轴电缆 Coaxial

用途:用于连接一些早期的网络设备,如使用同轴电缆的以太网(如 10BASE2 或 10BASE5)。

使用场景:在旧式网络或实验环境中,用于学习早期的网络技术。

连接端口:连接设备的 BNC 接口。

2.6 光纤线缆 Fiber

用途:用于长距离、高带宽的连接,例如在核心网络或数据中心中使用。

使用场景:连接带有光纤模块(如 SFP、SFP+)的设备,用于高速网络传输。

连接端口连接设备的光纤端口(通常为 SFP 插槽)

特性:支持长距离传输,传输速度可以达到数十 Gbps。

2.7 线缆 Octal

用途:用于连接多个终端设备到一个设备上的单一接口,如在服务器或终端管理器中使用。

使用场景:用于大型网络环境中的集中管理设备。

连接端口:通常连接到多端口适配器或集线器,一端有多个串口连接。

2.8 串行DCE Serial DCE & 串行DTE Serial DTE

DCEDTE 是指在串口连接中两端设备的角色,分别是 数据通信设备Data Communications Equipment, DCE)和 数据终端设备Data Terminal Equipment, DTE)。

  • DCE:DCE设备通常是调制解调器、数据服务单元(DSU)、通道服务单元(CSU)等设备。DCE负责提供时钟信号,用于控制数据传输的速率。
  • DTE:DTE设备通常是路由器、计算机或终端等。DTE从DCE接收时钟信号,并基于此信号发送和接收数据。

3 配置

3.1 路由器

3.1.1 路由基本概念

  • 路由表:路由表是路由器用来决定数据包转发路径的表格。路由表包含多个路由条目,每个条目包括目的网络、子网掩码、下一跳地址、接口等信息。路由器通过查找路由表来确定如何转发数据包。
  • 静态路由:静态路由是由管理员手动配置的固定路由条目,适合小型网络或结构固定的网络环境。静态路由不会自动调整,需手动更新。
  • 动态路由:动态路由由路由协议自动学习并维护。路由器使用动态路由协议(如RIP、OSPF、EIGRP、BGP)交换路由信息,根据网络拓扑变化自动更新路由表。
    • RIP (Routing Information Protocol): 基于距离矢量的协议,适合小型网络。
    • OSPF (Open Shortest Path First): 基于链路状态的协议,适合大型和复杂网络。
    • EIGRP (Enhanced Interior Gateway Routing Protocol): 思科专有的高级距离矢量协议。
    • BGP (Border Gateway Protocol): 用于互联网和大型自治系统间的路由协议。
  • 默认路由:默认路由是一个特殊的路由条目,用于处理无法在路由表中找到匹配条目的数据包。通常配置成指向一个网关,使数据包能够转发到互联网或更大范围的网络。
  • 下一跳:下一跳指的是数据包从当前路由器到达目标网络的下一个路由器的地址。路由表中通常包含下一跳信息,路由器根据下一跳将数据包转发到下一个设备。

3.1.2 配置模式

路由器的配置分为四种主要模式,每个模式的作用和可执行的命令有所不同。

① 用户模式

登录路由器后默认进入该模式,提示符为 >。用户模式是最低权限级别,允许用户查看基本信息和进行一些基本诊断,但不允许进行配置更改。

可用命令:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Router> ?
Exec commands:
<1-99> Session number to resume
connect Open a terminal connection
disable Turn off privileged commands
disconnect Disconnect an existing network connection
enable Turn on privileged commands
exit Exit from the EXEC
logout Exit from the EXEC
ping Send echo messages
resume Resume an active network connection
show Show running system information
ssh Open a secure shell client connection
telnet Open a telnet connection
terminal Set terminal line parameters
traceroute Trace route to destination

示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Router> show interfaces g0/0/0
GigabitEthernet0/0/0 is administratively down, line protocol is down (disabled)
Hardware is Lance, address is 0060.700a.6301 (bia 0060.700a.6301)
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Full-duplex, 100Mb/s, media type is RJ45
ARP type: ARPA, ARP Timeout 04:00:00,
Last input 00:00:08, output 00:00:05, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0 (size/max/drops); Total output drops: 0
Queueing strategy: fifo
Output queue :0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 input packets with dribble condition detected
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
② 特权模式

在用户模式下输入 enable(简写en),提示符为 #。特权模式提供更高权限,允许查看详细信息、保存配置、重启设备等。仍然不允许直接进行设备配置更改,但可以进入配置模式。

以下是特权模式 (Privileged EXEC Mode)下的常用命令及其功能描述:

命令 功能描述
show running-config 查看当前正在运行的配置
show startup-config 查看保存到NVRAM中的启动配置
show version 查看路由器的版本信息、硬件配置等
show ip route 查看路由表,显示当前的路由信息
show interfaces 查看所有接口的状态和统计信息
show ip interface brief 简要显示所有接口的IP地址、状态
show protocols 查看接口协议的状态
show arp 显示ARP缓存表
show users 查看当前连接到路由器的用户
ping <IP address> 测试与目标IP地址的连通性
traceroute <IP address> 跟踪数据包到目标IP地址的路径
copy running-config startup-config 将当前配置保存为启动配置
reload 重启路由器
show ip nat translations 显示NAT转换表
show access-lists 查看访问控制列表(ACL)
show spanning-tree 查看生成树协议的状态
show vlan brief 显示VLAN配置信息
show processes 查看当前运行的进程及其资源使用情况
③ 全局配置模式

在特权模式下输入 configure terminalconf t 进入,提示符为 (config)#。全局配置模式是进行设备配置的核心模式,可以进行全局设置(如设置主机名、配置密码)、接口配置、路由协议配置等。

以下是全局配置模式 (Global Configuration Mode)下的常用命令及其功能描述:

命令 功能描述
hostname <name> 设置设备的主机名
enable secret <password> 设置进入特权模式的加密密码
service password-encryption 启用密码加密,使显示的密码加密
no ip domain-lookup 禁用域名查询(防止错误命令自动尝试域名解析)
interface <type> <number> 进入接口配置模式(例如 interface gigabitEthernet 0/0或者简写为interface g0/0
ip routing 启用IP路由(默认情况下已启用)
ip route <destination> <mask> <next-hop> 配置静态路由
router <protocol> 进入路由协议配置模式(例如 router ospf 1
line console 0 进入控制台线路配置模式
line vty 0 4 进入虚拟终端(VTY)线路配置模式(通常用于Telnet/SSH)
exit 退出当前配置模式,返回上一级模式
end 退出配置模式,直接返回特权模式
write memory / copy running-config startup-config 保存配置到启动配置

此外,在该模式下可以配置ACL:

问控制列表(ACL)的命令及其功能描述:

命令 功能描述
access-list <number> permit <source> <wildcard-mask> 配置标准ACL规则,允许匹配的源IP地址范围。
access-list <number> deny <source> <wildcard-mask> 配置标准ACL规则,拒绝匹配的源IP地址范围。
access-list <number> permit ip <source> <wildcard-mask> <destination> <wildcard-mask> 配置扩展ACL规则,允许匹配的源IP地址到目的IP地址的所有流量。
access-list <number> deny ip <source> <wildcard-mask> <destination> <wildcard-mask> 配置扩展ACL规则,拒绝匹配的源IP地址到目的IP地址的所有流量。
access-list <number> permit tcp <source> <wildcard-mask> <destination> <wildcard-mask> eq <port> 配置扩展ACL规则,允许指定源到目的IP地址的特定TCP端口流量。
access-list <number> deny udp <source> <wildcard-mask> <destination> <wildcard-mask> eq <port> 配置扩展ACL规则,拒绝指定源到目的IP地址的特定UDP端口流量。
ip access-list standard <name> 创建并命名标准ACL,可以使用名字而不是数字来管理规则。
ip access-list extended <name> 创建并命名扩展ACL,可以使用名字而不是数字来管理规则。
no access-list <number> 删除指定编号的ACL。

补充:

标准ACL (1-99, 1300-1999): 只能基于源IP地址进行过滤。

扩展ACL (100-199, 2000-2699): 可以基于源IP、目的IP、协议、端口等进行更精细的控制。

④ 特定配置模式

在全局配置模式下进入具体配置模式,如接口配置模式、路由协议配置模式、线路配置模式等。这里只介绍接口配置模式。

进入方式: interface <interface-type> <number> 例如:interface gigabitEthernet 0/0interface g 0/0

提示符: Router(config-if)#

常用命令:

命令 功能描述
ip address <IP> <subnet-mask> 配置接口的IP地址和子网掩码。
no shutdown 启用接口(将接口从关闭状态变为启用状态)。
shutdown 关闭接口。
description <text> 设置接口描述(方便标注接口用途)。
speed <speed> 配置接口速率(如 10, 100, 1000)。
switchport access vlan <vlan-id> 将交换机端口分配到指定的VLAN(在访问模式下使用)。
switchport trunk allowed vlan <vlan-id> 配置中继端口允许通过的VLAN。
interface range <interface-range> 批量配置多个接口,例如 interface range gigabitEthernet 0/1 - 24
ipv6 address <ipv6-address>/<prefix-length> 配置IPv6地址。
ip helper-address <ip-address> 配置DHCP中继地址,用于将DHCP请求转发到指定的服务器。
ip nat inside / ip nat outside 指定接口为NAT内部或外部接口。

3.1.3 静态路由

搭建下面的网络拓扑:

image-20240825201855077

对于Router0,配置静态路由:如果访问172.138.0.0/16网段,则下一跳路由器的ip192.168.10.2/24

1
2
3
4
5
6
7
8
9
Router(config)#ip route 172.138.0.0 255.255.0.0 192.168.10.2
Router#show ip route
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.0.0.0/8 is directly connected, GigabitEthernet0/0/0
L 10.10.10.1/32 is directly connected, GigabitEthernet0/0/0
S 172.138.0.0/16 [1/0] via 192.168.10.2
192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.10.0/24 is directly connected, GigabitEthernet0/0/1
L 192.168.10.1/32 is directly connected, GigabitEthernet0/0/1

可以看到静态路由配置S 172.138.0.0/16 [1/0] via 192.168.10.2,其中:

  • S: 表示这是一个静态路由 (S 代表 Static)。
  • 172.138.0.0/16: 表示目标网络,/16 是子网掩码,表示这个网络的范围是从 172.138.0.0172.138.255.255
  • [1/0]: 表示路由的管理距离(AD, Administrative Distance)和度量值(Metric)。

    • 1: 表示管理距离。静态路由的默认管理距离是 1,表示它的优先级很高,仅次于直接连接的路由(管理距离为 0)。
    • 0: 表示度量值(Metric),在静态路由中通常为 0,因为静态路由的路径是手动指定的,不需要通过度量来选择最佳路径。
  • via 192.168.10.2: 表示下一跳地址,数据包会通过这个地址转发到目标网络 172.138.0.0/16。在这个例子中,路由器会把发往 172.138.0.0/16 的流量转发到 192.168.10.2 这个网关。

对于Router1,配置静态路由:如果访问10.0.0.0/8网段,则下一跳路由器ip192.168.10.1/24

1
2
3
4
5
6
7
8
9
Router(config)#ip route 10.0.0.0 255.0.0.0 192.168.10.1
Router#show ip route
S 10.0.0.0/8 [1/0] via 192.168.10.1
172.138.0.0/16 is variably subnetted, 2 subnets, 2 masks
C 172.138.0.0/16 is directly connected, GigabitEthernet0/0/1
L 172.138.0.1/32 is directly connected, GigabitEthernet0/0/1
192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.10.0/24 is directly connected, GigabitEthernet0/0/0
L 192.168.10.2/32 is directly connected, GigabitEthernet0/0/0

测试:10.10.10.2ping172.138.0.2

1
2
3
4
5
6
7
8
C:\>ping 172.138.0.2

Pinging 172.138.0.2 with 32 bytes of data:

Reply from 172.138.0.2: bytes=32 time<1ms TTL=126
Reply from 172.138.0.2: bytes=32 time<1ms TTL=126
Reply from 172.138.0.2: bytes=32 time<1ms TTL=126
Reply from 172.138.0.2: bytes=32 time<1ms TTL=126

3.1.4 默认路由

默认路由(Default Route)是在网络设备(如路由器)中配置的一条特殊路由,它用于将那些没有明确匹配项的数据包转发到一个指定的下一跳地址或接口。换句话说,当路由器在路由表中找不到目标网络的具体路由条目时,它会将这些数据包转发到默认路由指示的网关。

默认路由一般用 0.0.0.0/0 表示,这意味着它匹配所有网络地址。

默认路由的子网掩码为 0.0.0.0,也就是所有位都为 0,这使得它具有最低的匹配优先级。

示例:

1
Router(config)# ip route 0.0.0.0 0.0.0.0 <next-hop-ip-address>

3.1.5 RIP

动态路由是一种路由器自动学习和更新路由表的机制。与静态路由不同,动态路由不需要手动配置每个网络的路由信息,而是依靠动态路由协议来学习和传播网络拓扑的变化。

常见的动态路由协议包括:

  • RIP (Routing Information Protocol):基于距离向量(Distance Vector)的协议,使用跳数(Hop Count)作为度量标准。
  • OSPF (Open Shortest Path First):基于链路状态(Link State)的协议,使用带宽和其他因素作为度量标准,适用于较大的网络。
  • EIGRP (Enhanced Interior Gateway Routing Protocol):思科的高级距离向量协议,结合了距离向量和链路状态的优点。

下面基于RIP来构建网络拓扑:

image-20240825204847427

对于router0

1
2
3
4
5
6
7
# 启用 RIP 路由协议
Router(config)#router rip
# 选择version2,RIP v2 是改进后的版本,支持有类别路由(Classless Routing),并且支持发送子网掩码信息、VLSM(可变长子网掩码)和 CIDR(无类别域间路由)。
Router(config-router)#version 2
# 指定参与 RIP 路由的网络,也就是告诉路由器在哪些网络上运行 RIP 协议。172.138.0.0是这个网络的地址,这意味着在这个网络范围内的所有接口都将启用 RIP,并且这些接口将通过 RIP 协议与相邻路由器共享路由信息。下同
Router(config-router)#network 172.138.0.0
Router(config-router)#network 192.168.0.0

对于router1

1
2
3
4
Router(config)#router rip
Router(config-router)#version 2
Router(config-router)#network 10.0.0.0
Router(config-router)#network 192.168.0.0

现在路由表未更新,当使用PC0去pingPC1后:

1
2
3
4
5
6
7
8
C:\>ping 10.0.0.2

Pinging 10.0.0.2 with 32 bytes of data:

Reply from 10.0.0.2: bytes=32 time<1ms TTL=126
Reply from 10.0.0.2: bytes=32 time<1ms TTL=126
Reply from 10.0.0.2: bytes=32 time<1ms TTL=126
Reply from 10.0.0.2: bytes=32 time<1ms TTL=126

对于router1的路由表:

1
2
3
4
5
6
7
R    10.0.0.0/8 [120/1] via 192.168.0.2, 00:00:10, GigabitEthernet0/0/1
172.138.0.0/16 is variably subnetted, 2 subnets, 2 masks
C 172.138.0.0/16 is directly connected, GigabitEthernet0/0/0
L 172.138.0.1/32 is directly connected, GigabitEthernet0/0/0
192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.0.0/24 is directly connected, GigabitEthernet0/0/1
L 192.168.0.1/32 is directly connected, GigabitEthernet0/0/1

第一条路由即为通过RIP协议学习到的路由,其中:

  • R 表示这是一条通过 RIP 路由协议学习到的路由。此外OSPF 用 O 表示,EIGRP 用 D 表示。
  • 120 是这条路由的 管理距离(Administrative Distance, AD)。管理距离表示路由的可信度,值越小越可信。RIP 的默认管理距离是 120。
  • 1 是这条路由的 度量值(Metric),在 RIP 中度量值是跳数(Hop Count)。这里的 1 表示这条路由经过 1 跳即可到达目标网络 10.0.0.0/8。RIP 最大允许 15 跳,超过 15 跳的路由会被认为是不可达的。

其他说明略

3.1.6 DHCP

构建下面的网络拓扑:

image-20240825210803939

对于router0配置如下:接口配置ip192.168.0.1,此外:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# 配置一个dhcp池,命名为LAN_POOL
Router(config)# ip dhcp pool LAN_POOL
# 指定 DHCP 池的网络地址和子网掩码
Router(dhcp-config)# network 192.168.0.0 255.255.255.0
# 指定客户端的默认网关(通常是路由器的 LAN 接口 IP 地址)
Router(dhcp-config)# default-router 192.168.0.1
# 如果保留一些 IP 地址用于静态分配,例如给路由器、服务器等,可以排除这些ip(范围)
Router(config)# ip dhcp excluded-address 192.168.0.1 192.168.0.10
# 查看DHCP配置
Router#show running-config | section dhcp
ip dhcp excluded-address 192.168.0.1 192.168.0.10
ip dhcp pool LAN_POOL
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1

pc0pc1设置为自动获取ip:

image-20240825211842649

再次查看路由器检查 DHCP 分配的地址:

1
2
3
4
5
Router#show ip dhcp binding 
IP address Client-ID/ Lease expiration Type
Hardware address
192.168.0.11 0001.9629.E641 -- Automatic
192.168.0.12 0001.C91A.9525 -- Automatic

如果dhcp配置失败,操作系统会自动为网络接口分配一个 169.254.x.x 范围内的地址,称为自动私有 IP 地址(Automatic Private IP Addressing,APIPA)。

3.1.7 NAT

这里演示PAT的配置,构建下面的网络拓扑:

image-20240825213614968

对于router0,配置如下:

  • 配置 NAT 内部和外部接口:标识哪些接口是内部(连接到私有网络)和外部(连接到公共网络)的
1
2
3
4
5
6
7
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip nat inside
Router(config-if)# exit

Router(config)# interface GigabitEthernet0/1
Router(config-if)# ip nat outside
Router(config-if)# exit

ip nat inside 命令将内部接口标识为 NAT 内部。

ip nat outside 命令将外部接口标识为 NAT 外部。

  • 配置 NAT 池和访问控制列表(ACL):创建一个 ACL,用来匹配需要进行 NAT 的内部流量
1
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255

这条 ACL 匹配 192.168.1.0/24 的所有流量。

  • 配置 PAT(使用 Overload 关键字):配置 NAT 规则,指定将流量源自 192.168.1.0/24 的地址转换为外部接口的 IP 地址
1
Router(config)# ip nat inside source list 1 interface GigabitEthernet0/1 overload

source list 1 表示使用 ACL 1 中定义的流量。

interface GigabitEthernet0/1 表示将流量转换为这个接口的 IP 地址,即 200.0.0.1

overload 关键字实现 PAT(端口复用),使多个内部地址共享同一个外部 IP 地址。


使用内网pc1去ping外网的200.0.0.2,然后查看当前的 NAT 配置:

1
2
3
4
Router#show ip nat translations 
Pro Inside global Inside local Outside local Outside global
icmp 200.0.0.1:1024 192.168.1.2:1 200.0.0.2:1 200.0.0.2:1024
icmp 200.0.0.1:1025 192.168.1.2:2 200.0.0.2:2 200.0.0.2:1025

输出字段含义:

  • Pro: 显示使用的协议类型。icmp 表示 ICMP 协议,即 Internet 控制消息协议。
  • Inside global: 内部设备在外部网络上使用的 IP 地址和端口号。这是 NAT 外部可见的地址。
  • Inside local: 内部设备在内部网络上使用的 IP 地址和端口号。这是 NAT 内部网络中的地址。
  • Outside local: 外部网络设备在内部网络上的 IP 地址和端口号。这通常是用于回应的外部地址和端口(在某些情况下,可能显示为与 Outside global 相同的值)。
  • Outside global: 外部网络设备在外部网络上使用的 IP 地址和端口号。这是 NAT 外部网络中的地址。

3.1.8 ACL

  • 创建标准 ACL

标准 ACL 只基于源 IP 地址进行过滤。

1
Router(config)# access-list <ACL编号> {permit|deny} <源IP地址> <反掩码>

<ACL编号>:标准 ACL 的编号为 1-99 或 1300-1999。

<源IP地址>:指定需要匹配的源 IP 地址。

<反掩码>:指定需要匹配的网络范围,0 表示必须完全匹配,255 表示无关。

示例:

1
Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
  • 创建扩展ACL

扩展 ACL 可以基于源和目的 IP 地址、协议、端口号等条件进行过滤。

1
Router(config)# access-list <ACL编号> {permit|deny} <协议> <源IP地址> <源反掩码> <目的IP地址> <目的反掩码> [eq <端口号>]

<ACL编号>:扩展 ACL 的编号为 100-199 或 2000-2699。

<协议>:可以是 iptcpudpicmp 等。

<源IP地址>:指定源 IP 地址及其反掩码。

<目的IP地址>:指定目的 IP 地址及其反掩码。

[eq <端口号>]:可选参数,指定协议的端口号(如 HTTP 的 80)。

示例:

1
2
3
4
# 拒绝192.168.1.0的80 tcp连接
Router(config)# access-list 110 deny tcp 192.168.1.0 255.255.255.0 any eq 80
# 允许所有的ip访问任意地址
Router(config)# access-list 110 permit ip any any
  • 应用ACL到接口

将 ACL 应用到路由器的接口,可以选择入口或出口方向。

1
Router(config-if)# ip access-group <ACL编号> {in|out}

in:表示在数据进入接口时过滤。

out:表示在数据离开接口时过滤。

  • 删除和查看
1
2
3
Router(config)# no access-list <ACL编号>
Router# show access-lists
Router# show access-lists <ACL编号>
  • 命名

除了使用编号,还可以创建命名的 ACL,命名的 ACL 更加灵活,尤其在需要修改时。

1
Router(config)# ip access-list {standard|extended} <名称>

示例:

1
2
Router(config)# ip access-list extended MY_ACL
Router(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 any eq 80
  • 移除接口上的ACL
1
Router(config-if)# no ip access-group <ACL编号> {in|out}

3.1.9 SSH

  • 配置路由器的基本信息
1
2
3
4
Router> enable
Router# configure terminal
Router(config)# hostname router // 设置设备的主机名
router(config)# ip domain-name example.com // 设置域名
  • 生成 RSA 密钥对,这对 SSH 连接是必须的。通常推荐使用 1024 或 2048 位的密钥长度。
1
2
3
4
5
6
7
8
router(config)#crypto key generate rsa
The name for the keys will be: router.example.com
Choose the size of the key modulus in the range of 360 to 4096 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
# 系统会提示输入密钥长度:
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
  • 配置用户账户
1
2
router(config)#username admin privilege 15 secret cisco123
*Mar 1 0:37:7.236: %SSH-5-ENABLED: SSH 1.99 has been enabled
  • 启用 SSH 及其他必要的设置

设置 SSH 版本、启用 VTY 线路,并限制为 SSH 访问。

1
2
3
4
router(config)#ip ssh version 2 // 启用 SSH 版本 2
router(config)#line vty 0 4 // 进入 VTY 线路配置模式
router(config-line)#login local // 使用本地用户账户进行登录验证
router(config-line)#transport input ssh // 限制为 SSH 访问
  • 查看ssh的状态
1
2
3
router#show ip ssh 
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3

使用PC连接路由器的ssh:

image-20240828202943772

输入密码后即可连接:

image-20240828203019137

3.1.10 VPN

构建下面的网络拓扑:

image-20240829154227970

以上ip地址均为静态地址,配置略。

对于Router2Router3,配置默认路由,代表出公网的路由:

1
2
Router2(config)# ip route 0.0.0.0 0.0.0.0 58.1.1.2			#配置静态路由
Router3(config)# ip route 0.0.0.0 0.0.0.0 210.28.144.1

此时使用总公司的PC是无法ping通分公司的PC和服务器的,也无法ping通外网主机。

  • Router2配置IPsec VPN

(1) 配置 IKE(ISAKMP)策略:策略序号为1,加密算法为aes,Hash 算法为MD5,密钥算法(Diffie-Hellman)为group 2,认证方式(Authentication)为pre-share。

1
2
3
4
5
Router2(config)# crypto isakmp policy 1				#建立IKE策略,优先级为1
Router2(config-isakmp)# encryption aes #使用AES加密方式
Router2(config-isakmp)# hash md5 #指定Hash算法为MD5
Router2(config-isakmp)# authentication pre-share #使用预共享的密码进行身份验证
Router0(config-isakmp)# group 2 #指定秘钥位数,group2安全性更高

(2)定义认证标识:预共享密码为cisco

1
Router2(config)# crypto isakmp key cisco address 210.28.144.2		#设置要使用的预共享秘钥和指定VPN对端路由器的IP地址。

(3)配置 IPsec transform:定义transform-set命名为TRANSFORM_SET,加密算法为esp-3des, HMAC 算法为esp-MD5-HMAC

1
2
#配置IPSec交换集,名称为TRANSFORM_SET,两端的名字可以不一样,但其它参数必须一致。
Router2(config)# crypto ipsec transform-set TRANSFORM_SET esp-3des esp-md5-hmac

(4)定义感兴趣流量:用扩展acl 180来定义通过 VPN 传输的流量

1
2
#定义感兴趣数据,IPSec VPN地址为双方内网地址。
Router2(config)# access-list 180 permit ip 192.168.123.0 0.0.0.255 192.168.100.0 0.0.0.255

(5)创建 crypto map:

1
2
3
4
Router2(config)# crypto map MAP 1 ipsec-isakmp 		#创建加密图	
Router2(config-crypto-map)# set peer 210.28.144.2 #标识对方路由器IP地址
Router2(config-crypto-map)# set transform-set TRANSFORM_SET #指定加密图使用的IPSec交换集
Router2(config-crypto-map)# match address 180 #用ACL 180定义加密的通信

(6)将 crypto map 应用于外网接口

1
Router2(config-if)# crypto map MAP		#应用加密图到接口
  • Router3配置IPsec VPN:略

  • 测试1:使用总公司PC0ping分公司PC3

数据包到达边界路由器Router2时:可以看到输出层的数据包的源ip被替换为了边界路由器的公网地址,目的ip被替换为了VPN对端的公网地址,即Router3的公网接口。

image-20240829155418374

其中,输入数据包的构成:

image-20240829161441493

输出数据包的构成:

image-20240829161507141

观察第二张图可知:封装后在原始IP头之前增加了新的IP头和ESP头,在新的IP头中源IP地址为58.1.1.1,目的地址为210.28.144.2,IPSec封装已经完成。其中ESP头的信息如下:

安全参数索引(Security Parameters Index, SPI):唯一标识接收方的安全关联(Security Association, SA)。SA 包含加密和认证的相关信息,通过 SPI 来确定使用哪种算法和密钥对数据进行处理。

序列号(Sequence Number):用于防止重放攻击,每发送一个数据包序列号递增。接收方通过检测序列号是否重复来识别重放的数据包。

ESP DATA ENCRYPTED WITH:6 :是一种用于描述 ESP 协议加密数据的方式,其中的 6 代表封装的上层协议类型(TCP)。

ESP DATA AUTHENTICATED WITH:1 :是指 ESP协议的数据部分使用协议号为 1 的协议(icmp)进行了认证。

加密的数据(Encrypted Data):实际传输的数据在这个字段中。数据被加密后放置在此位置,包括上层协议的数据(如 TCP、UDP 报文)和填充(Padding)字段。

  • 测试2:总公司PC0访问分公司服务器和FTP

1
2
3
4
5
6
7
8
9
10
C:\>ftp 192.168.100.2
Trying to connect...192.168.100.2
Connected to 192.168.100.2
220- Welcome to PT Ftp server
Username:cisco
331- Username ok, need password
Password:
230- Logged in
(passive mode On)
ftp>

此时内网的PC(PC0~4)还ping不通外网的主机(公网PC),需要配置NAT。

  • Router3Router2略)
1
2
# 先配置inside和outside后再配置下面的:
Router(config)#ip nat inside source list 101 interface g0/0/1 overload

配置完成后,发现还是ping不通,这是因为IPSec与NAT发生了冲突,对于NAT的流量(要到外网的流量),应该先拒绝去内网的流量进行NAT,再允许其他的流量进行NAT。

因此配置ACL 101

1
2
3
4
# 先拒绝去内网的流量
Router(config)#access-list 101 deny ip 192.168.100.0 0.0.0.255 192.168.123.0 0.0.0.255
# 放行其他流量(外网),进行NAT
Router(config)#access-list 101 permit ip 192.168.100.0 0.0.0.255 any

此时可以ping通外网的主机:

1
2
3
4
5
6
7
8
9
10
11
12
13
C:\>ping 63.1.1.2

Pinging 63.1.1.2 with 32 bytes of data:

Reply from 63.1.1.2: bytes=32 time=1ms TTL=126
Reply from 63.1.1.2: bytes=32 time<1ms TTL=126
Reply from 63.1.1.2: bytes=32 time=2ms TTL=126
Reply from 63.1.1.2: bytes=32 time<1ms TTL=126

Ping statistics for 63.1.1.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 2ms, Average = 0ms

3.1.11 OSPF

① 基本命令
  • router ospf [process-id]
    • 进入OSPF配置模式
    • process-id:OSPF进程ID,本地标识符(范围为1到65535),用于区分不同的OSPF进程。这个ID在本地唯一即可,不需要在其他路由器上相同。
  • network [network-address] [wildcard-mask] area [area-id]
    • 配置参与OSPF的网络
    • network-address:要参与OSPF的网络地址。
    • wildcard-mask:与子网掩码相反的掩码,用于指定哪些部分必须匹配。通配符掩码0.0.0.255表示网络中最后一个八位字节的任何值都可以匹配。
    • area-id:指定该网络所属的区域ID,可以是数字(如0)或IP地址格式。
  • area [area-id] stub
    • 配置区域为Stub区域
    • area-id:指定的区域ID。
    • stub:将该区域配置为Stub区域,以减少区域内的LSA类型和路由表规模。
  • area [area-id] stub no-summary
    • 配置区域为Totally Stubby区域
    • no-summary:进一步减少路由表,只允许默认路由进入Stub区域。
  • area [area-id] nssa
    • 配置区域为NSSA
    • nssa:将该区域配置为NSSA区域,允许引入外部路由。
  • area [area-id] range [summary-address] [subnet-mask]
    • 在ABR上配置区域间路由汇总
    • summary-address:汇总的网络地址。
    • subnet-mask:汇总的子网掩码。
  • default-information originate [always]
    • 在ASBR上引入默认路由
    • always:无论默认路由是否存在,都将其传播到OSPF网络中。

查看

查看OSPF路由表:

1
show ip route ospf

查看OSPF邻居关系:

1
show ip ospf neighbor

查看OSPF接口信息:

1
show ip ospf interface

查看OSPF进程信息:

1
show ip ospf
② 配置示例

详见:[[Cisco Packet Tracer学习笔记#4.4.5 配置集团总部内网OSPF]],[[Cisco Packet Tracer学习笔记#4.4.6 配置集团总部默认路由与BGP OSPF路由重分布]]

3.1.12 BGP

① 基本命令
② 配置示例

详见:[[Cisco Packet Tracer学习笔记#4.4.4 配置ISP1与ISP2的BGP路由]]

3.1.13 单臂路由

① 配置步骤
  • 首先配置交换机的VLAN
1
2
3
4
5
6
7
8
9
Switch(config)# vlan 10
Switch(config-vlan)# name Sales

Switch(config)# vlan 20
Switch(config-vlan)# name Engineering

Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20
  • 然后配置路由器:在路由器上配置子接口,每个子接口处理一个VLAN的流量。
1
2
3
4
5
6
7
8
9
10
Router(config)# interface GigabitEthernet0/0
Router(config)# interface GigabitEthernet0/0.10
# GigabitEthernet0/0.10 子接口被配置为处理VLAN 10的流量,并分配IP地址192.168.10.1
Router(config-subif)# encapsulation dot1q 10
Router(config-subif)# ip address 192.168.10.1 255.255.255.0

Router(config)# interface GigabitEthernet0/0.20
# GigabitEthernet0/0.20 子接口被配置为处理VLAN 20的流量,并分配IP地址192.168.20.1
Router(config-subif)# encapsulation dot1q 20
Router(config-subif)# ip address 192.168.20.1 255.255.255.0
② 配置示例

详见:[[Cisco Packet Tracer学习笔记#4.6.3 配置分部单臂路由]]

3.2 交换机

3.2.1 基本概念

① 基本功能
  • 数据转发:交换机通过读取数据帧中的MAC地址,将数据转发到目的端口。每个数据帧都有一个源MAC地址和目标MAC地址。
  • 学习和维护MAC地址表:交换机会学习连接到各端口的设备的MAC地址,并将这些地址存储在MAC地址表中。通过MAC地址表,交换机能够确定数据帧的目的端口。
② 类型

2层交换机(数据链路层交换机)

  • 功能:基于MAC地址在同一广播域内进行数据帧的转发。它不处理IP地址或其他网络层的协议。
  • 特点:主要用于局域网(LAN)内的设备连接,提供高效的数据转发和网络隔离。

3层交换机(多层交换机)

  • 功能:除了具有层2交换机的功能外,还能够进行路由功能。它可以根据IP地址在不同的广播域(VLAN)之间转发数据。
  • 特点:常用于需要VLAN间通信的复杂网络环境中,结合了交换机和路由器的功能。
③ 端口类型

入端口(Access Port)

  • 功能:连接到终端设备(如计算机、打印机)的端口。一个接入端口只能属于一个VLAN。
  • 配置:通常用于连接用户设备,将数据帧与一个特定的VLAN关联。

Trunk端口

  • 功能:用于连接交换机之间或交换机与路由器之间,允许多个VLAN的流量通过。
  • 配置:Trunk端口会在数据帧中加入VLAN标记,支持多VLAN的转发。
④ 上行链路(Uplink)

上行链路指的是将交换机连接到更高层次的网络设备或更广泛网络中的链路。这通常包括连接到核心交换机、路由器、或其他网络设备,提供数据传输到更大的网络范围,如广域网(WAN)或数据中心的主网络。

作用:

  • 扩展网络连接:上行链路用于将局部网络连接到更大的网络结构中。通过上行链路,局域网内的交换机可以连接到核心网络或外部网络设备,实现数据的更广泛传输。
  • 提高网络带宽:交换机之间或交换机与其他设备之间的上行链路通常使用高带宽连接(如光纤或高速以太网),以确保数据能够快速、无瓶颈地传输。
  • 减少网络拥塞:使用专门的上行链路端口,可以减少交换机内其他端口的负载,优化整体网络性能。

连接方式:

  • 物理上行链路:使用专门的上行链路端口或普通端口配置为上行链路,将交换机连接到核心交换机或路由器。这些端口通常支持更高的数据传输速率,如 1Gbps、10Gbps 或更高。
  • 逻辑上行链路:可以通过配置多个物理端口组成一个逻辑上行链路(例如 LACP 链路聚合控制协议)来增加带宽和冗余。

注意事项:

  • 避免环路:确保上行链路配置中避免形成网络环路,通常使用生成树协议(STP)来防止环路。
  • 带宽和冗余:配置多个上行链路以增加带宽和提供冗余,这样可以在一条链路故障时,网络流量可以通过其他链路继续传输。
  • VLAN 配置:确保上行链路上的 VLAN 配置与核心网络匹配,以正确传输不同 VLAN 的数据。

3.2.2 配置模式

略,和路由器相同

3.2.3 VLAN配置

① 场景描述

构建下面的网络拓扑:

image-20240830144335362

场景描述:

描述 设备和数量
核心设备 两台三层交换机(SW-Core1 和 SW-Core2)
接入设备 三台二层交换机
终端设备 多个PC分别连接到接入层交换机

目标

  1. 配置VTP以简化VLAN管理,两个三层交换机(SW-Core1 和 SW-Core2)作为VTP服务器。
  2. 配置VLAN以实现网络分段。
  3. 配置STP以避免环路,确保网络的冗余和稳定性。
  4. 配置Trunk端口以允许多VLAN通信。

网络分配:

vlan 所属部门
10 Sales
11 Marketing
12 IT

核心交换机端口分配(SW-Core1为例)

端口 连接 模式
gig1/0/23 核心互连:SW-Core2 trunk
gig1/0/1-3 接入层:SW-Sales/Marketing/IT trunk

接入层交换机端口分配(SW-Sales为例)

端口 连接 模式 vlan
fa0/1-2 核心:SW-Core1-2 trunk
fa0/3-24 终端 access 10 Sales
② 配置
  • 配置核心交换机 SW-Core1 和 SW-Core2

(1)设置VTP域名和VTP模式(服务器模式)

1
2
3
4
5
SW-Core1# configure terminal
SW-Core1(config)# vtp domain networkdomain.com
SW-Core1(config)# vtp password cisco
SW-Core1(config)# vtp mode server
SW-Core1(config)# vtp version 2

将两个三层交换机的VTP域名设置为networkdomain.com并设置为服务器模式,使它们可以管理和同步VLAN信息。

(2)创建VLAN:在SW-Core1上创建VLAN,SW-Core2将自动同步这些VLAN配置:

1
2
3
4
5
6
SW-Core1(config)# vlan 10
SW-Core1(config-vlan)# name Sales
SW-Core1(config)# vlan 11
SW-Core1(config-vlan)# name Marketing
SW-Core1(config)# vlan 12
SW-Core1(config-vlan)# name IT

(3)配置三层交换机之间和接入层交换机之间的Trunk连接

1
2
3
4
SW-Core1(config)# interface range GigabitEthernet1/0/1-3 GigabitEthernet1/0/23
SW-Core1(config-if-range)# switchport mode trunk
# 允许所有的vlan通过
SW-Core1(config-if-range)# switchport trunk allowed vlan all

将两个三层交换机的接口Gi1/0/23配置为Trunk模式,用于互连,允许所有VLAN通过。

switchport mode trunk 将交换机的接口配置为干道模式。Trunk模式允许接口通过多个VLAN的流量。它用于连接交换机与交换机或交换机与路由器之间的链路,确保不同VLAN的流量能够跨越交换机传输。通过Trunk端口的数据帧会被打上VLAN标签(802.1Q),以标识它们属于哪个VLAN。这使得交换机能够在多VLAN环境中正确地转发数据。

switchport mode access 将交换机的接口配置为访问模式。通常用于将终端设备(如PC)连接到交换机。每个设备将属于特定的VLAN,并且不会有其他VLAN的流量经过此接口。

(4)配置生成树和优先级

将SW-Core1配置为VLAN 10-12的根桥,并设置SW-Core2的STP优先级为更高值(优先级更低)以确保其作为备用根桥:

1
2
3
4
5
SW-Core1(config)# spanning-tree mode rapid-pvst
SW-Core1(config)# spanning-tree vlan 10-12 priority 0

SW-Core2(config)# spanning-tree mode rapid-pvst
SW-Core2(config)# spanning-tree vlan 10-12 priority 4096

首先,配置了快速生成树协议(Per-VLAN Spanning Tree Plus,Rapid-PVST

其次配置了VLAN的优先级,这是一个介于0到61440之间的数字,且必须是4096的倍数。优先级越低,交换机越有可能成为根桥。

  • 配置接入层交换机SW-Sales/Marketing/IT

(1)设置VTP模式(客户端模式)和VTP域名

1
2
3
4
5
SW-Sales# configure terminal
SW-Sales(config)# vtp domain networkdomain.com
SW-Sales(config)# vtp password cisco
SW-Sales(config)# vtp mode client
SW-Sales(config)# vtp version 2

(2)配置二层交换机与三层交换机的Trunk连接

1
2
3
SW-Sales(config)# interface range fastEthernet 0/1-2
SW-Sales(config-if-range)# switchport mode trunk
SW-Sales(config-if-range)# switchport trunk allowed vlan all

(3)配置生成树和优先级

1
2
SW-Sales(config)# spanning-tree mode rapid-pvst
SW-Sales(config)# spanning-tree vlan 10-12 priority 8192

(4)将接入端口分配到VLAN

1
2
3
4
SW-Sales(config)# interface range FastEthernet0/3 - 24
SW-Sales(config-if-range)# switchport mode access
# 将交换机端口分配到指定的VLAN 10
SW-Sales(config-if-range)# switchport access vlan 10

注意将模式设置为access

③ 验证
  • 查看vlan信息:show vlan brief

image-20240830144842319

image-20240830145425559

  • 查看vtp信息:show vtp status
1
2
3
4
5
6
7
8
9
10
11
12
SW-Sales# show vtp status
VTP Version : 2
Configuration Revision : 9
Maximum VLANs supported locally : 255
Number of existing VLANs : 8
VTP Operating Mode : Client
VTP Domain Name : networkdomain.com
VTP Pruning Mode : Disabled
VTP V2 Mode : Enabled
VTP Traps Generation : Disabled
MD5 digest : 0x1F 0xDE 0x8F 0x30 0xE5 0x39 0x14 0x59
Configuration last modified by 0.0.0.0 at 3-1-93 00:25:57
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
SW-Core1#show vtp status 
VTP Version capable : 1 to 2
VTP version running : 2
VTP Domain Name : networkdomain.com
VTP Pruning Mode : Disabled
VTP Traps Generation : Disabled
Device ID : 0040.0BEC.9700
Configuration last modified by 0.0.0.0 at 3-1-93 00:25:57
Local updater ID is 0.0.0.0 (no valid interface found)

Feature VLAN :
--------------
VTP Operating Mode : Server
Maximum VLANs supported locally : 1005
Number of existing VLANs : 8
Configuration Revision : 9
MD5 digest : 0x1F 0xDE 0x8F 0x30 0xE5 0x39 0x14 0x59
0x83 0x1C 0x36 0x2C 0x56 0x9E 0x27 0xCF
  • 测试:使用PC0依次ping同一vlan的PC1192.168.0.3)和不同vlan的PC2192.168.0.4
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
C:\>ping 192.168.0.3

Pinging 192.168.0.3 with 32 bytes of data:

Reply from 192.168.0.3: bytes=32 time<1ms TTL=128
Reply from 192.168.0.3: bytes=32 time<1ms TTL=128
Reply from 192.168.0.3: bytes=32 time=1ms TTL=128
Reply from 192.168.0.3: bytes=32 time<1ms TTL=128

Ping statistics for 192.168.0.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms

C:\>ping 192.168.0.4

Pinging 192.168.0.4 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 192.168.0.4:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

3.2.4 其他配置

详见:

  • SVI:[[Cisco Packet Tracer学习笔记#4.3.5 配置核心交换机SVI]]
  • HSRP:[[Cisco Packet Tracer学习笔记#4.3.6 配置核心交换机HSRP]]

3.3 防火墙

3.3.1 简介

防火墙基本概念详见:[[家庭和企业网络相关#2 防火墙]]

3.3.2 一般配置步骤

① 命名和设置安全级别
1
2
ASA(config-if)# nameif <接口名称>
ASA(config-if)# security-level <安全等级>

示例:

1
2
3
4
5
6
7
8
# 内网
ASA(config)# interface GigabitEthernet0/0
ASA(config-if)# nameif inside
ASA(config-if)# security-level 100
# 外网
ASA(config)# interface GigabitEthernet0/1
ASA(config-if)# nameif outside
ASA(config-if)# security-level 0
② 配置NAT

在防火墙上配置 NAT,以允许内部网络访问外部网络。

1
2
3
4
5
6
7
8
# 自定义的网络对象名称,例如 obj_any。此名称在后续 NAT 配置中将被引用。
ASA(config)# object network <对象名称>

# 此命令将网络对象定义为某个网段的子网。
ASA(config-network-object)# subnet <IP地址> <子网掩码>

# 配置动态NAT
ASA(config-network-object)# nat (<内部接口>,<外部接口>) dynamic interface

示例:

1
2
3
ASA(config)# object network obj_any
ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0
ASA(config-network-object)# nat (inside,outside) dynamic interface

作用:定义一个网络对象及其对应的子网。对该网络对象配置动态 NAT,使流量从内部网络(inside)转换到外部网络(outside),并使用外部接口的 IP 地址进行转换。

③ 配置ACL

配置访问控制列表(ACL)来控制进出防火墙的流量。

1
2
3
4
5
# 配置ACL规则
ASA(config)# access-list <ACL名称> extended {permit|deny} <协议> <源地址> <目的地址>

# 应用到某个接口
ASA(config)# access-group <ACL名称> {in|out} interface <接口名称>

示例:

1
2
ASA(config)# access-list outside_access_in extended deny ip any any
ASA(config)# access-group outside_access_in in interface outside

该命令会拒绝所有请求内网的外网流量。

④ 配置基本的防火墙规则

这些命令用于配置 Cisco ASA 防火墙的全局策略,启用对特定流量类型的检查。

1
2
3
4
5
6
7
8
9
10
11
# 创建或编辑策略映射
ASA(config)# policy-map <策略映射名称>

# 选择类映射
ASA(config-pmap)# class <类映射名称>

# 启用对特定协议的检查
ASA(config-pmap-c)# inspect <协议>

# 应用策略映射到全局策略
ASA(config)# service-policy <策略映射名称> global

示例:

1
2
3
4
5
6
7
ASA(config)# policy-map global_policy
ASA(config-pmap)# class inspection_default
ASA(config-pmap-c)# inspect ftp
ASA(config-pmap-c)# inspect http
ASA(config-pmap-c)# inspect icmp
ASA(config-pmap-c)# exit
ASA(config)# service-policy global_policy global
⑤ 配置静态路由

防火墙两端通常连接路由器,因此需要指定路由。

注意命令为route,而非路由器的ip route

示例:

1
2
3
4
# 去往外网201.10.0.1网段的流量下一跳为172.10.0.2
ASA(config)#route outside 201.10.0.1 255.255.255.0 172.10.0.2
# 去往内网192.168.0.0网段的流量下一跳为10.0.0.1
ASA(config)#route inside 192.168.0.0 255.255.255.0 10.0.0.1
⑥ 保存配置
1
ASA# write memory

3.3.3 场景模拟

使用路由器作为防火墙,构建下面的拓扑结构:

image-20240827201611941

对于router 1

  • 配置默认路由:
1
Router(config)# ip route 0.0.0.0 0.0.0.0 223.0.0.1

对于内网路由router 0

  • 配置内网的dhcp(除server 0
  • 配置内网的默认路由:即若访问外网,都将流量流入防火墙的接口中处理
1
Router(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.2

对于服务器server 0

  • 配置静态ip地址:192.168.0.254/24
  • 开启http服务:

image-20240827202231618


对于防火墙router 2

  • 配置内网NAT:内网流量向外转发时,使用防火墙的公网ip
1
2
3
4
5
6
# 内网接口
Router(config-if)#ip nat inside
# 外网接口
Router(config-if)#ip nat outside
Router(config)#access-list 1 permit 192.168.0.0 0.0.0.255
Router(config)#ip nat inside source list 1 interface GigabitEthernet0/1 overload
  • 配置外网流量流入规则1:禁止其他流量进入
1
2
3
Router(config)#access-list 101 deny ip any any
# 配置外网接口
Router(config-if)#ip access-group 101 in
  • 配置外网流量流入规则2:允许访问服务器的80端口的流量
1
Router(config)#access-list 101 permit tcp any host 223.0.0.1 eq 80

同时配置端口转发,将该流量转发至服务器的80端口,这样可以使用防火墙公网地址:80访问到内部的web服务器的80端口:

1
Router(config)#ip nat inside source static tcp 192.168.0.254 80 223.0.0.1 80
  • 配置两个方向的静态路由:
1
2
Router(config)#ip route 201.10.0.0 255.255.255.0 223.0.0.2
Router(config)#ip route 192.168.0.0 255.255.255.0 192.168.1.1

测试:外网访问内网服务器:

image-20240827212450013

3.4 服务器

3.4.1 配置模式

暂略

3.4.2 常见场景配置

① DNS

构建下面的网络拓扑:

image-20240828192750480

  • 对于router 1

配置dhcp,指定dns server:

1
2
3
4
5
Router(config)#ip dhcp pool LAN_POOL
Router(dhcp-config)#network 192.168.0.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.0.1
Router(dhcp-config)#dns-server 8.8.8.8
Router(config)#ip dhcp excluded-address 192.168.0.1 192.168.0.10

配置rip动态路由:

1
2
3
4
Router(config)#router rip
Router(config-router)#version 2
Router(config-router)#network 223.201.0.0
Router(config-router)#network 192.168.0.0
  • 对于router 0

配置rip动态路由:

1
2
3
4
5
Router(config)#router rip
Router(config-router)#version 2
Router(config-router)#net
Router(config-router)#network 192.168.0.0
Router(config-router)#network 223.201.0.0
  • 对于server 1(DNS服务器)

配置下面的域名解析规则:

image-20240828194338059


测试:PC0使用域名访问服务器server 0

image-20240828194556765

② FTP

使用上一节的网络拓扑,开启server 0的ftp服务:

image-20240828195653520

使用PC 0连接:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
C:\temp>ftp kisugitakumi.net
Trying to connect...kisugitakumi.net
Connected to kisugitakumi.net
220- Welcome to PT Ftp server
Username:cisco
331- Username ok, need password
Password:
230- Logged in
(passive mode On)
ftp>dir

Listing /ftp directory from kisugitakumi.net:
0 : asa842-k8.bin 5571584
1 : asa923-k8.bin 30468096
2 : c1841-advipservicesk9-mz.124-15.T1.bin 33591768

ftp>get asa842-k8.bin

Reading file asa842-k8.bin from kisugitakumi.net:
File transfer in progress...

[Transfer complete - 5571584 bytes]

5571584 bytes copied in 10.817 secs (118019 bytes/sec)

ftp>quit

221- Service closing control connection.
C:\temp>cd ..
C:>dir

Volume in drive C has no label.
Volume Serial Number is 5E12-4AF3
Directory of C:

1/1/1970 8:0 PM 5571584 asa842-k8.bin
1/1/1970 8:0 PM 26 sampleFile.txt
3/1/1993 0:28 PM <DIR> temp
5571610 bytes 3 File(s)
C:>

可以看到asa842-k8.bin 已经成功下载。

4 综合实验

本节模拟一个典型的企业总部与分支机构构建内部网络的综合案例。

4.1 业务需求

4.1.1 技术需求

  1. 主网络首先接入互联网,达到百兆随后到终端,信息管理中心选取三层交换机设备,终端选取二层交换机设备接入主网络。
  2. 在该网络中,私有IP地址与IP地址的转换可以通过网络地址转换技术完成。
  3. 建立文件传输协议服务器、Web服务器、电子邮件服务器等。
  4. 划分局域网,给不同的部门分配不同的局域网,控制广播风暴。
  5. 配置DHCP,使在同一个局域网中的主机可以自动获得IP地址。
  6. 在网络安全方面,配置访问控制列表对数据包进行控制。

4.1.2 设计需求

  1. 既能覆盖企业本地又能实现与外界通信的计算机企业网络,并且该网络不但能实现本地与本地、本地与外界的合理通信与资源共享,而且还得实现外界用户有条件地对企业内部服务器进行资源访问。
  2. 一个稳健、安全、快速的网络必须要选用先进的网络设备,和行之有效的网络技术。比如,网络核心层的交换机就可以选用CISCO系列的交换机;要保证企业网络的安全与稳定则必须在企业内网与外网之间搭设一道防火墙;要实现网络的负载均衡则需要使用到HSRP技术、实现链路冗余则需要用到RSTP技术等等。
  3. 企业网络的管理最好是以部门为单位,那么就必须给企业的网络划分VLAN;而企业要求员工在企业外部通过Internet网络来以企业内部员工的身份访问企业内部网络则必须用到IPSec-VPN技术。
  4. 电脑自动获取IP地址,则需架设DHCP服务器。
  5. 提供无线上网功能,则必须得有无线路由设备。
  6. 公司员工文件服务的贡献与相互传送,则需在企业内部架设FTP文件传输服务器(为了安全,FTP服务器需架设在防火墙的DMZ区)。
  7. 信息发布到Internet网络,并让外界用户进行访问,则需架设Web服务器(为了安全,Web服务器需架设在防火墙的DMZ区)。
  8. 公司网络需具备域名解析需求,还得架设DNS域名解析服务器。
  9. 网络数据的快速传递,需要购进100M、1000M、10000M网线若干。

4.2 整体网络拓扑

image-20240903132354419

4.3 集团总部-接入层&汇聚层网络

4.3.0 网络拓扑

image-20240901153846378

4.3.1 配置VTP

配置核心交换机与接入交换机。Core-SW配置VTP,并且配置VLAN。接入交换机上行链路(和核心交换机连接的接口)需要配置为Trunk模式,核心交换机互联链路也需要配置为Trunk模式。

  • 核心交换机
1
2
3
4
5
6
7
8
Core-SW1(config)# hostname Core-SW1
# 和核心交换机连接的接口23,以及和接入层交换机连接的端口1-4
Core-SW1(config)# int range gig0/1-4,gig0/23
Core-SW1(config-if-range)# sw mode trunk
Core-SW1(config-if-range)# sw trunk allow vlan all
Core-SW1(config-if-range)# vtp domain workspace.com
Core-SW1(config-if-range)# vtp password cisco
Core-SW1(config-if-range)# vtp mode server
  • 接入交换机
1
2
3
4
5
6
7
8
JT-SW1(config)# hostname JT-SW1
JT-SW1(config)# vtp domain workspace.com
JT-SW1(config)# vtp password cisco
JT-SW1(config)# vtp mode client
# 和核心交换机连接的接口
JT-SW1(config)# int range fa0/23-24
JT-SW1(config-if-range)# sw mo trunk
JT-SW1(config-if-range)# sw trunk allow vlan all

4.3.2 配置VLAN

配置Server区为内部Server,不能被外网访问,只能内网访问。DMZ区部署可以对外提供访问的Server,IT、CW、XZ分别为IT部、财务部、行政部员工办公网络。

VLAN的介绍详见:[[家庭和企业网络相关#5 VLAN]]

  • Core-SW1
1
2
3
4
5
6
7
8
9
10
Core-SW1(config)# vlan 15
Core-SW1(config)# name SERVER
Core-SW1(config)# vlan 16
Core-SW1(config)# name DMZ
Core-SW1(config)# vlan 12
Core-SW1(config)# name IT
Core-SW1(config)# vlan 13
Core-SW1(config)# name CW
Core-SW1(config)# vlan 14
Core-SW1(config)# name XZ

4.3.3 配置生成树

生成树的介绍详见:[[家庭和企业网络相关#5.6 生成树协议(STP)]]

  • Core-SW1:这里图方便,将vlan范围设置为所有范围
1
2
3
Core-SW1(config)# spanning-tree mode rapid-pvst
# 优先级最高
Core-SW1(config)# spanning-tree vlan 1-4096 priority 0
  • Core-SW2
1
2
3
Core-SW2(config)# spanning-tree mode rapid-pvst
# 优先级次之
Core-SW2(config)# spanning-tree vlan 1-4096 priority 4096
  • JT-SW1~4
1
2
3
JT-SW1(config)# spanning-tree mode rapid-pvst
# 优先级最低
JT-SW1(config)# spanning-tree vlan 1-4096 priority 8192

4.3.4 配置接入交换机VLAN

将下行链路(和终端设备连接的接口)的模式设置为access模式。

  • JT-SW1:1-10号接口分配给SERVER,11-22号接口分配给DMZ区
1
2
3
4
5
6
JT-SW1(config)# int range fa0/1-10
JT-SW1(config-if-range)# sw mo acc
JT-SW1(config-if-range)# sw acc vlan 15
JT-SW1(config-if-range)# int range fa0/11-22
JT-SW1(config-if-range)# sw mo acc
JT-SW1(config-if-range)# sw acc vlan 16
  • JT-SW2~4:将1-22号接口依次分配给IT(12),CW(13),XZ(14)
1
2
3
JT-SW2(config)# int range fa0/1-22
JT-SW2(config-if-range)# sw mo acc
JT-SW2(config-if-range)# sw acc vlan 12 # 其余交换机略

4.3.5 配置核心交换机SVI

  • Core-SW1
1
2
3
4
5
6
7
8
9
10
Core-SW1(config)# int vlan 12
Core-SW1(config-if)# ip add 10.1.2.2 255.255.255.0
Core-SW1(config)# int vlan 13
Core-SW1(config-if)# ip add 10.1.3.2 255.255.255.0
Core-SW1(config)# int vlan 14
Core-SW1(config-if)# ip add 10.1.4.2 255.255.255.0
Core-SW1(config)# int vlan 15
Core-SW1(config-if)# ip add 10.1.5.2 255.255.255.0
Core-SW1(config)# int vlan 16
Core-SW1(config-if)# ip add 10.1.6.2 255.255.255.0
  • Core-SW2
1
2
3
4
5
6
7
8
9
10
Core-SW2(config)# int vlan 12
Core-SW2(config-if)# ip add 10.1.2.3 255.255.255.0
Core-SW2(config)# int vlan 13
Core-SW2(config-if)# ip add 10.1.3.3 255.255.255.0
Core-SW2(config)# int vlan 14
Core-SW2(config-if)# ip add 10.1.4.3 255.255.255.0
Core-SW2(config)# int vlan 15
Core-SW2(config-if)# ip add 10.1.5.3 255.255.255.0
Core-SW2(config)# int vlan 16
Core-SW2(config-if)# ip add 10.1.6.3 255.255.255.0

命令解释:这些命令是在配置三层交换机上的虚拟局域网接口(VLAN接口),为VLAN分配IP地址。这些VLAN接口被称为Switched Virtual Interfaces (SVIs),它们使三层交换机能够在不同的VLAN之间进行路由。

ip address 10.1.2.2 255.255.255.0

  • 为VLAN 12的接口配置IP地址10.1.2.2,子网掩码为255.255.255.0
  • 三层交换机可以使用这个IP地址来路由VLAN 12中的流量到其他VLAN或网络。

4.3.6 配置核心交换机HSRP

  • Core-SW1
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
Core-SW1(config)# ip routing 
Core-SW1(config)# int vlan 12
Core-SW1(config-if)# standby 1 ip 10.1.2.1
Core-SW1(config-if)# standby 1 priority 120
Core-SW1(config-if)# standby 1 preempt
Core-SW1(config-if)# standby 1 track gigabitEthernet 1/0/2

Core-SW1(config)# int vlan 13
Core-SW1(config-if)# standby 1 ip 10.1.3.1
Core-SW1(config-if)# standby 1 priority 120
Core-SW1(config-if)# standby 1 preempt
Core-SW1(config-if)# standby 1 track gigabitEthernet 1/0/3

Core-SW1(config)# int vlan 14
Core-SW1(config-if)# standby 1 ip 10.1.4.1
Core-SW1(config-if)# standby 1 priority 120
Core-SW1(config-if)# standby 1 preempt
Core-SW1(config-if)# standby 1 track gigabitEthernet 1/0/4

Core-SW1(config)# int vlan 15
Core-SW1(config-if)# standby 1 ip 10.1.5.1
Core-SW1(config-if)# standby 1 priority 120
Core-SW1(config-if)# standby 1 preempt
Core-SW1(config-if)# standby 1 track gigabitEthernet 1/0/1

Core-SW1(config)# int vlan 16
Core-SW1(config-if)# standby 1 ip 10.1.6.1
Core-SW1(config-if)# standby 1 priority 120
Core-SW1(config-if)# standby 1 preempt
Core-SW1(config-if)# standby 1 track gigabitEthernet 1/0/1
  • Core-SW2
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
Core-SW2(config)# ip routing
Core-SW2(config)# int vlan 12
Core-SW2(config)# standby 1 ip 10.1.2.1
Core-SW2(config)# standby 1 priority 115
Core-SW2(config)# standby 1 preempt
Core-SW2(config)# standby 1 track gigabitEthernet 1/0/2

Core-SW2(config)# int vlan 13
Core-SW2(config)# standby 1 ip 10.1.3.1
Core-SW2(config)# standby 1 priority 115
Core-SW2(config)# standby 1 preempt
Core-SW2(config)# standby 1 track gigabitEthernet 1/0/3

Core-SW2(config)# int vlan 14
Core-SW2(config)# standby 1 ip 10.1.4.1
Core-SW2(config)# standby 1 priority 115
Core-SW2(config)# standby 1 preempt
Core-SW2(config)# standby 1 track gigabitEthernet 1/0/4

Core-SW2(config)# int vlan 15
Core-SW2(config)# standby 1 ip 10.1.5.1
Core-SW2(config)# standby 1 priority 115
Core-SW2(config)# standby 1 preempt
Core-SW2(config)# standby 1 track gigabitEthernet 1/0/1

Core-SW2(config)# int vlan 16
Core-SW2(config)# standby 1 ip 10.1.6.1
Core-SW2(config)# standby 1 priority 115
Core-SW2(config)# standby 1 preempt
Core-SW2(config)# standby 1 track gigabitEthernet 1/0/1

命令解释:这些命令配置了三层交换机上的IP路由功能和热备用路由协议Hot Standby Router Protocol,HSRP)。具体来说,这些命令使VLAN 12-16接口参与到HSRP中,提供高可用性网络设计,允许在主交换机故障时自动切换到备用交换机。

  • standby 1 ip 10.1.2.1

    • 含义:配置HSRP组号为1,并设置该组的虚拟IP地址为10.1.2.1
    • 作用:虚拟IP地址10.1.2.1将作为VLAN 12中设备的默认网关IP地址。无论是主交换机还是备用交换机接管,该IP地址都会保持不变,因此对网络设备是透明的。在交换机故障时,虚拟IP会在不同交换机之间切换,以提供冗余和高可用性。
  • standby 1 priority 120

    • 含义:设置HSRP组1的优先级为120
    • 作用:HSRP组中的交换机会根据优先级决定谁是主交换机。优先级越高,成为主交换机的可能性越大。默认优先级为100,配置优先级为120表明这个交换机比默认优先级高的交换机更有可能成为主交换机。
  • standby 1 preempt

    • 含义:启用抢占功能。

      作用:如果一个配置了较高优先级的交换机启动,且当前不是主交换机,它会强制接管成为主交换机。没有这个配置的话,即使有更高优先级的交换机上线,当前的主交换机也不会被替换。

  • standby 1 track gigabitEthernet 1/0/2

    • 含义:配置HSRP跟踪接口gigabitEthernet 0/2的状态。

      作用:如果gigabitEthernet 0/2接口的状态发生变化(例如接口关闭),则HSRP的优先级会自动降低。这是为了确保当某个关键链路(如连接到上游路由器或核心交换机的链路)失效时,交换机自动让位于备用交换机,以保持网络的正常运行。


查看热备用路由信息:

1
Core-SW1#show standby brief

Core-SW1

image-20240830163405941

Core-SW2

image-20240830163445918

表头解释:

  • Interface: VLAN 接口,表示哪个VLAN的接口参与了HSRP组。
  • Grp: HSRP组号,这个组号标识了不同的HSRP组。所有在同一组中的接口共享相同的虚拟IP地址,并参与同一个冗余方案。
  • Pri: 优先级(Priority),用于决定哪个交换机是主(Active)交换机。优先级数值越高,该交换机成为主交换机的可能性越大。
  • P: 表示该交换机是否配置了抢占(Preemption)。如果配置了抢占(P),当一个交换机的优先级高于当前的主交换机且该交换机启动时,它会强制接管成为主交换机。
  • State: 当前交换机在HSRP组中的状态:
    • Active: 当前交换机是主交换机,负责处理发往虚拟IP地址的流量。
    • Standby: 当前交换机是备用交换机,当主交换机发生故障时,它会接管。
  • Active: 显示当前处于Active状态的交换机的IP地址。如果显示local,表示当前查看的交换机(Core-SW1)是主交换机。
  • Standby: 显示当前处于Standby状态的交换机的IP地址。如果显示local,表示当前查看的交换机(Core-SW1)是备用交换机。
  • Virtual IP: HSRP虚拟IP地址,这是VLAN中设备使用的默认网关IP。

表内容解释:

  • Vl12(其余相同的略)

    • 组号 1,优先级 120,配置了抢占。
    • State: Active,表示 Core-SW1 是VLAN 12的主交换机。
    • Active: local,说明当前查看的交换机 (Core-SW1) 是主交换机。
    • Standby: 10.1.2.3,表示备用交换机的IP地址是10.1.2.3。这是交换机Core-SW2的VLAN 12的真实接口地址。
    • Virtual IP: 10.1.2.1,VLAN 12的虚拟IP地址。
  • Vl15

    • 组号 1,优先级 110,配置了抢占。
    • State: Standby,表示 Core-SW1 是VLAN 15的备用交换机。
    • Active: 10.1.5.3,表示VLAN 15的主交换机的IP地址是10.1.5.3。这是交换机Core-SW2的VLAN 12的真实接口地址。
    • Standby: local,表示 Core-SW1 是VLAN 15的备用交换机。
    • Virtual IP: 10.1.5.1,VLAN 15的虚拟IP地址。

测试:关闭Core-SW1Gig1/0/4接口(对应vlan 14),观察Core-SW1热备用路由信息的变化:

image-20240830164410113

可以看到命令行中出现了Vlan14的状态变化,从Speak变成了Standby,其中Speak表示交换机正在与其他交换机通信,以决定它的角色(Active或Standby)。

而对于Core-SW2

image-20240830164304684

可以看到命令行中出现了Vlan14的状态变化,从Standby变成了Active

4.3.7 配置核心交换机DHCP Relay

DHCP Relay的介绍详见:[[家庭和企业网络相关#11.1 DHCP Relay]]

DHCP服务器默认只能为与其同网段的终端通信与分配IP地址。所以要在路由器/三层交换机上面,配置DHCP Relay,才能使每个网段,规定跨网段去哪个IP地址的DHCP服务器申请自动分配IP地址。另外按照规划,DHCP服务器的IP地址是10.1.5.20

  • Core-SW1~2
1
2
3
4
5
6
Core-SW1(config)# int vlan 12  # IT
Core-SW1(config-if)# ip helper-address 10.1.5.20
Core-SW1(config)# int vlan 13 # CW
Core-SW1(config-if)# ip helper-address 10.1.5.20
Core-SW1(config)# int vlan 14 # XZ
Core-SW1(config-if)# ip helper-address 10.1.5.20

4.3.8 配置服务器

服务器网段为10.1.5.0/24,对应IT的VLAN。

① DHCP
  • 新建DHCP服务器,选Service,将除DHCP、NTP以外的其他功能关闭。

  • 设置DHCP配置,将需要DHCP的网段都加入到里面。

image-20240901135540549

这里的网关地址,是核心交换机VLAN15接口的虚拟IP地址,详见4.3.6节

  • 配置DHCP服务器的静态地址:10.1.5.20/24,默认网关地址:10.1.5.1,DNS服务器地址10.1.5.10

测试:打开其中一台PC,如JT-IT1,IP配置选择DHCP,然后在cmd窗口输入ipconfig查看是否已经能够自动获取IP地址。

image-20240901141720252

② 配置WEB服务器

除HTTP与NTP,其他服务关闭。

注意WEB服务器接入交换机的端口,按照上面的vlan划分(DMZ区的vlan接口范围为11~22),是在fa0/11,划入vlan16。

  • 配置WEB服务器的静态地址:10.1.6.10/24,默认网关地址:10.1.6.1,DNS服务器地址10.1.5.10

  • 测试:输入10.1.6.10,进行测试,是否能够正常返回页面。

image-20240901142204902

③ 配置DNS服务器

将除DNS、NTP以外的其他功能关闭。

  • 配置DNS服务器的静态地址:10.1.5.10/24,默认网关地址:10.1.5.1
  • 增加WEB服务器的域名解析记录

image-20240901142529924

  • 打开Web Browser,然后通过域名http://www.workspace.com or workspace.com访问10.1.6.10网站。正常打开网站证明DNS解析生效。

image-20240901142831857

④ 配置FTP服务器

配置FTP服务器,除FTP与NTP,其他服务关闭。注意:FTP服务器接入JT-SW1fa0/12端口(DMZ区)。

  • FTP服务器配置固定IP地址10.1.6.20,网关10.1.6.1,DNS10.1.5.10

  • JT-IT1电脑,点击FTP进行访问。用户名cisco,密码cisco

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
C:\>ftp 10.1.6.20
Trying to connect...10.1.6.20
Connected to 10.1.6.20
220- Welcome to PT Ftp server
Username:cisco
331- Username ok, need password
Password:
230- Logged in
(passive mode On)
ftp>dir

Listing /ftp directory from 10.1.6.20:
0 : asa842-k8.bin 5571584
1 : asa923-k8.bin 30468096
2 : c1841-advipservicesk9-mz.124-15.T1.bin 33591768
3 : c1841-ipbase-mz.123-14.T7.bin 13832032
4 : c1841-ipbasek9-mz.124-12.bin 16599160
5 : c1900-universalk9-mz.SPA.155-3.M4a.bin 33591768
6 : c2600-advipservicesk9-mz.124-15.T1.bin 33591768
# ....其他文件
⑤ 配置EMAIL服务器

EMAIL服务器,除EMAIL与NTP服务保留,其余关闭。(set按钮记得要按,否则域名不生效)添加EMAIL账户。同样设置在DMZ区,使用fa0/13接口。

image-20240906134803943

  • FTP服务器配置固定IP地址10.1.6.30,网关10.1.6.1,DNS10.1.5.10

  • DNS添加域名解析记录。(注意区分哪条是A记录,哪2条是CNAME记录)

image-20240906134826681

  • 选择2台PC进行测试,选用JT-IT1、JT-CW1,分别配置各自的EMAIL账户,点击SAVE保存。点击Compose尝试发件。点击Receiver进行查收。

image-20240901145324204

⑥ 配置无线WIFI
  • 配置无线路由器WRT300N

image-20240901151758387

  • 笔记本关机,将有线网卡拖动移除,然后拖动无线网卡安装,然后按电源键重新开机。

image-20240901151852979

  • 配置无线网络SSID与密码,接入无线网络。

image-20240901151944293

image-20240901151956063

  • 有信号就已经连接上。

image-20240901152056117

4.4 集团总部/分部-路由配置

先采用单出口路由器的拓扑进行实验。(对于中小型企业,可能会采用单路由器作出口,对于有一定规模的大中型企业,公司出口不可能采用单台路由器的,因为存在单点故障的风险)

4.4.0 网络拓扑

image-20240903101132656

4.4.1 配置总部出口路由器

为了后续配置IPSec VPN,路由器采用2811,并且手动添加一块4端口串口卡。这里添加两个WIC-2T2端口串口WAN接口卡。

按照图示配置即可。

4.4.2 配置ISP路由器

按照图示配置即可。

4.4.3 配置分公司出口路由器

为了后续配置IPSec VPN,路由器同样采用2811,并且手动添加一块4端口串口卡。

4.4.4 配置ISP1与ISP2的BGP路由

  • ISP1
1
2
3
4
5
6
ISP1(config)#router bgp 300
ISP1(config-router)#neighbor 14.23.114.2 remote-as 400
ISP1(config-router)#network 14.14.14.0 mask 255.255.255.0
ISP1(config-router)#network 14.23.112.0 mask 255.255.255.0
ISP1(config-router)#network 14.23.113.0 mask 255.255.255.0
ISP1(config-router)#network 14.23.114.0 mask 255.255.255.0

命令解释:

router bgp 300:这一行命令用于在路由器上启用 BGP 并将其自治系统号(ASN)设置为 300

neighbor 14.23.114.2 remote-as 400:定义了一个 BGP 邻居,并指定了邻居的 IP 地址和 ASN。路由器将尝试与 14.23.114.2 建立 BGP 会话,并将其作为不同自治系统的一个对等体(peer)。

network 14.14.14.0 mask 255.255.255.0:告诉路由器在 BGP 中宣布 14.14.14.0/24 网段。路由器会将 14.14.14.0/24 网段通告给它的 BGP 邻居,让它们知道这个网段可以通过该路由器访问。其余略


  • ISP2
1
2
3
4
5
6
ISP2(config)#router bgp 400
ISP2(config-router)#neighbor 14.23.114.1 remote-as 300
ISP2(config-router)#network 183.183.183.0 mask 255.255.255.0
ISP2(config-router)#network 183.233.112.0 mask 255.255.255.0
ISP2(config-router)#network 183.233.113.0 mask 255.255.255.0
ISP2(config-router)#network 183.233.114.0 mask 255.255.255.0

为什么R1与R2不需要与ISP建立BGP邻居呢,实验这里配置了也无所谓,因为实验里面所谓的公网,就ISP1、ISP2那么大,但是现实中,ISP1、ISP2给你接入的路由器上面的路由无法估计,如果你与其建立BGP邻居关系,就会学习大大量的公网路由,估计直接路由器就宕机了。所以一般都是默认路由指向ISP就OK了,不需要与ISP跑BGP。

4.4.5 配置集团总部内网OSPF

  • Core-SW1
1
2
3
4
5
6
7
8
9
10
Core-SW1(config)#int fa 0/24
Core-SW1(config-if)#no switchport
Core-SW1(config-if)#ip add 12.1.1.2 255.255.255.0
Core-SW1(config)#router ospf 1
Core-SW1(config)#network 10.1.2.0 0.0.0.255 area 0
Core-SW1(config)#network 10.1.3.0 0.0.0.255 area 0
Core-SW1(config)#network 10.1.4.0 0.0.0.255 area 0
Core-SW1(config)#network 10.1.5.0 0.0.0.255 area 0
Core-SW1(config)#network 10.1.6.0 0.0.0.255 area 0
Core-SW1(config)#network 12.1.1.2 0.0.0.255 area 0
  • Core-SW2
1
2
3
4
5
6
7
8
9
10
Core-SW2(config)#int fa 0/24
Core-SW2(config-if)#no switchport
Core-SW2(config-if)#ip add 13.1.1.2 255.255.255.0
Core-SW2(config)#router ospf 1
Core-SW2(config)#network 10.1.2.0 0.0.0.255 area 0
Core-SW2(config)#network 10.1.3.0 0.0.0.255 area 0
Core-SW2(config)#network 10.1.4.0 0.0.0.255 area 0
Core-SW2(config)#network 10.1.5.0 0.0.0.255 area 0
Core-SW2(config)#network 10.1.6.0 0.0.0.255 area 0
Core-SW2(config)#network 13.1.1.2 0.0.0.255 area 0
  • R1
1
2
3
R1(config)#router ospf 1
R1(config)#network 12.1.1.0 0.0.0.255 area 0
R1(config)#network 13.1.1.0 0.0.0.255 area 0

4.4.6 配置集团总部默认路由与BGP\OSPF路由重分布

1
2
3
4
5
R1(config)# ip route 0.0.0.0 0.0.0.0 14.23.112.2
# 备选默认路由,指向ISP2
R1(config)# ip route 0.0.0.0 0.0.0.0 183.233.112.2 20
R1(config)# router ospf 1
R1(config-router)# default-information originate

注:default-information originate 用于将默认路由(0.0.0.0/0)注入到OSPF域中,使得OSPF网络中的所有路由器(包括三层交换机)都能够通过这台路由器获得到达外部网络的默认路径。

使用场景:当有一个连接到外部网络的路由器(通常是自治系统边界路由器,ASBR)时,就可以使用这条命令将这条默认路由发布给OSPF网络中的其他路由器。

此时,查看核心交换机的路由表,多了一条默认路由:

1
2
Core-SW2#show ip route
O*E2 0.0.0.0/0 [110/1] via 13.1.1.1, 00:04:38, GigabitEthernet1/0/24

4.5 配置集团总部NAT映射

4.5.1 配置ISP1单边链路NAT

  • R1
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
R1(config)# interface serial 0/2/0
R1(config-if)# ip nat outside
R1(config)# interface fastEthernet 0/0
R1(config-if)# ip nat inside
R1(config)# interface fastEthernet 0/1
R1(config-if)# ip nat inside
# WEB
R1(config)# ip nat inside source static 10.1.6.10 14.23.112.3
# FTP
R1(config)# ip nat inside source static 10.1.6.20 14.23.112.4
# EMAIL
R1(config)# ip nat inside source static 10.1.6.30 14.23.112.5
# 内网映射
R1(config)# ip nat pool JTISP1POOL 14.23.112.6 14.23.112.7 netmask 255.255.255.0
R1(config)# access-list 102 permit ip 10.1.2.0 0.0.0.255 any
R1(config)# access-list 102 permit ip 10.1.3.0 0.0.0.255 any
R1(config)# access-list 102 permit ip 10.1.4.0 0.0.0.255 any
R1(config)# access-list 102 permit ip 10.1.5.0 0.0.0.255 any
R1(config)# ip nat inside source list 102 pool JTISP1POOL overload

验证:从WEB Server与JT-IT1,ping IPS上面的loopback地址14.14.14.14183.183.183.183 ,全部通达。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
C:\>ping 14.14.14.14

Pinging 14.14.14.14 with 32 bytes of data:

Reply from 14.14.14.14: bytes=32 time=1ms TTL=253
Reply from 14.14.14.14: bytes=32 time=1ms TTL=253
Reply from 14.14.14.14: bytes=32 time=1ms TTL=253
Reply from 14.14.14.14: bytes=32 time=4ms TTL=253

Ping statistics for 14.14.14.14:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 4ms, Average = 1ms

C:\>ping 183.183.183.183

Pinging 183.183.183.183 with 32 bytes of data:

Reply from 183.183.183.183: bytes=32 time=3ms TTL=252
Reply from 183.183.183.183: bytes=32 time=2ms TTL=252
Reply from 183.183.183.183: bytes=32 time=2ms TTL=252
Reply from 183.183.183.183: bytes=32 time=2ms TTL=252

Ping statistics for 183.183.183.183:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 3ms, Average = 2ms

但是此时只对ISP1的出口做了映射,如果IPS1线路中断,内网还是无法利用ISP2链路访问外网。还需要对ISP2链路进行NAT映射。

4.5.2 配置ISP2备用链路NAT

受限于Packet Tracer模拟器,无法配置route-map与IPSLA,暂略

4.6 配置分部内部网络

4.6.1 网络拓扑

image-20240902165028659

4.6.2 配置分部接入交换机VLAN

  • SZ-SW
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Switch(config)# hostname SZ-SW
SZ-SW(config)# vlan 22
SZ-SW(config-vlan)# name SZIT
SZ-SW(config)# vlan 23
SZ-SW(config-vlan)# name SZCW
SZ-SW(config-vlan)# vlan 24
SZ-SW(config-vlan)# name SZXZ

SZ-SW(config)# interface range fastEthernet 0/1-7
SZ-SW(config-if-range)# switchport mode access
SZ-SW(config-if-range)# switchport access vlan 22

SZ-SW(config)# interface range fastEthernet 0/8-14
SZ-SW(config-if-range)# switchport mode access
SZ-SW(config-if-range)# switchport access vlan 23

SZ-SW(config)# interface range fastEthernet 0/15-23
SZ-SW(config-if-range)# switchport mode access
SZ-SW(config-if-range)# switchport access vlan 24

SZ-SW(config)# interface fastEthernet 0/24
SZ-SW(config-if)# switchport mode trunk
SZ-SW(config-if)# switchport trunk allowed vlan all

4.6.3 配置分部单臂路由

  • R2
1
2
3
4
5
6
7
8
9
10
11
12
R2(config)# interface FastEthernet0/0
R2(config-if)# interface FastEthernet0/0.1
R2(config-subif)# encapsulation dot1Q 22
R2(config-subif)# ip address 10.2.2.1 255.255.255.0

R2(config-subif)# interface FastEthernet0/0.2
R2(config-subif)# encapsulation dot1Q 23
R2(config-subif)# ip address 10.2.3.1 255.255.255.0

R2(config-subif)# interface FastEthernet0/0.3
R2(config-subif)# encapsulation dot1Q 24
R2(config-subif)# ip address 10.2.4.1 255.255.255.0

验证:对SZ-IT1(10.2.2.101,网关10.2.2.1)、SZ-CW1(10.2.3.101,网关10.2.3.1)先手动配置静态IP地址,进行跨VLAN ping测试。

1
2
3
4
5
6
7
8
9
10
11
12
13
C:\>ping 10.2.2.101

Pinging 10.2.2.101 with 32 bytes of data:

Reply from 10.2.2.101: bytes=32 time<1ms TTL=127
Reply from 10.2.2.101: bytes=32 time<1ms TTL=127
Reply from 10.2.2.101: bytes=32 time<1ms TTL=127
Reply from 10.2.2.101: bytes=32 time=2ms TTL=127

Ping statistics for 10.2.2.101:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 2ms, Average = 0ms

4.6.4 配置分部默认路由与NAT

R2上的NAT:使用ACL 102控制流量

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
R2(config)# interface Serial0/2/0
R2(config-if)# ip nat outside
R2(config)# interface Serial0/2/1
R2(config-if)# ip nat outside

R2(config)# interface FastEthernet0/0
R2(config-if)# ip nat inside
R2(config-if-range)# interface range fastEthernet 0/0.1
R2(config-if-range)# ip nat inside
R2(config-if-range)# interface range fastEthernet 0/0.2
R2(config-if-range)# ip nat inside
R2(config-if-range)# interface range fastEthernet 0/0.3
R2(config-if-range)# ip nat inside

R2(config)# ip nat pool SZISP1POOL 14.23.113.3 14.23.113.4 netmask 255.255.255.0
R2(config)# access-list 102 permit ip 10.2.2.0 0.0.0.255 any
R2(config)# access-list 102 permit ip 10.2.3.0 0.0.0.255 any
R2(config)# access-list 102 permit ip 10.2.4.0 0.0.0.255 any
R2(config)# ip nat inside source list 102 pool SZISP1POOL overload

R2的默认路由:

1
2
R2(config)# ip route 0.0.0.0 0.0.0.0 14.23.113.2
R2(config)# ip route 0.0.0.0 0.0.0.0 183.233.113.2 20

验证:使用分公司的终端,然后ip输入14.14.14.14,进行测试。

4.7 配置IPSEC VPN

目的:分部能够访问总部的主机;使用ACL 101控制流量

  • R2
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
R2(config)#crypto isakmp enable 
R2(config)#crypto isakmp policy 1
R2(config-isakmp)#encryption 3des
R2(config-isakmp)#hash md5
R2(config-isakmp)#authentication pre-share
# R1的公网接口
R2(config)#crypto isakmp key cisco address 14.23.112.1
R2(config)#crypto ipsec transform-set TRANSFORM_SET1 ah-md5-hmac esp-3des
R2(config)#access-list 101 permit ip 10.2.2.0 0.0.0.255 13.1.1.0 0.0.0.255
R2(config)#crypto map MAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
# 对端接地
R2(config-crypto-map)#set peer 14.23.112.1
R2(config-crypto-map)#set transform-set TRANSFORM_SET1
# 设置ACL 101
R2(config-crypto-map)#match address 101
# 与ISP1的接口
R2(config)#interface serial 0/2/0
R2(config-if)#crypto map MAP
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
  • R1
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
R1(config)#crypto isakmp enable 
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash md5
R1(config-isakmp)#authentication pre-share
# R2的公网接口
R1(config)#crypto isakmp key cisco address 14.23.113.1
R1(config)#crypto ipsec transform-set TRANSFORM_SET1 ah-md5-hmac esp-3des
R1(config)#access-list 101 permit ip 13.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
R1(config)#crypto map MAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
# 对端接口
R1(config-crypto-map)#set peer 14.23.113.1
R1(config-crypto-map)#set transform-set TRANSFORM_SET1
# 设置ACL 101
R1(config-crypto-map)#match address 101
# 与ISP1的接口
R1(config)#interface serial 0/2/0
R1(config-if)#crypto map MAP
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

注:同时配置NAT和IPSec时,会造成混淆,详见:

解决:在NAT的ACL 102新增更高级别的规则,拒绝分部访问总部的流量(由VPN解决),放行其他流量(通往外网的流量):

1
2
3
R2(config)#access-list 102 deny ip 10.2.2.0 0.0.0.255 13.1.1.0 0.0.0.255
R2(config)#access-list 102 deny ip 10.2.3.0 0.0.0.255 13.1.1.0 0.0.0.255
R2(config)#access-list 102 deny ip 10.2.4.0 0.0.0.255 13.1.1.0 0.0.0.255

测试:在SZ-IT1的PC测试ping 13.1.1.1,私网地址,网络可达。


可以继续配置R2的VPN配置,放通分公司全部访问内网。

R2的ACL配置:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
R2#show access-lists 
Extended IP access list 101 # VPN
10 permit ip 10.2.2.0 0.0.0.255 10.1.2.0 0.0.0.255
20 permit ip 10.2.2.0 0.0.0.255 10.1.3.0 0.0.0.255
30 permit ip 10.2.2.0 0.0.0.255 10.1.4.0 0.0.0.255
40 permit ip 10.2.2.0 0.0.0.255 10.1.5.0 0.0.0.255
Extended IP access list 102 # 出口NAT
10 deny ip 10.2.2.0 0.0.0.255 13.1.1.0 0.0.0.255
20 deny ip 10.2.2.0 0.0.0.255 12.1.1.0 0.0.0.255
30 deny ip 10.2.2.0 0.0.0.255 10.1.2.0 0.0.0.255
40 deny ip 10.2.2.0 0.0.0.255 10.1.3.0 0.0.0.255
50 deny ip 10.2.2.0 0.0.0.255 10.1.4.0 0.0.0.255
60 deny ip 10.2.2.0 0.0.0.255 10.1.5.0 0.0.0.255
70 permit ip 10.2.2.0 0.0.0.255 any

R1的ACL配置:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
R1#show access-lists 
Extended IP access list 101 # VPN
10 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
20 permit ip 10.1.2.0 0.0.0.255 10.2.2.0 0.0.0.255
30 permit ip 10.1.3.0 0.0.0.255 10.2.2.0 0.0.0.255
40 permit ip 10.1.4.0 0.0.0.255 10.2.2.0 0.0.0.255
50 permit ip 10.1.5.0 0.0.0.255 10.2.2.0 0.0.0.255
Extended IP access list 102 # ISP1单边链路NAT
10 deny ip 10.1.2.0 0.0.0.255 10.2.2.0 0.0.0.255
20 deny ip 10.1.3.0 0.0.0.255 10.2.2.0 0.0.0.255
30 deny ip 10.1.4.0 0.0.0.255 10.2.2.0 0.0.0.255
40 deny ip 10.1.5.0 0.0.0.255 10.2.2.0 0.0.0.255
50 permit ip 10.1.2.0 0.0.0.255 any
60 permit ip 10.1.3.0 0.0.0.255 any
70 permit ip 10.1.4.0 0.0.0.255 any
80 permit ip 10.1.5.0 0.0.0.255 any

4.8 配置外网WEB服务器

配置1台外网服务器(1.2.3.4/24,网关1.2.3.1/24),做外网WEB,除WEB外其他服务关闭,可以参考内网的设置。

  • 对ISP1的BGP增加网络:
1
2
ISP1(config)#router bgp 300
ISP1(config-router)#network 1.2.3.0 mask 255.255.255.0
  • 内网DNS添加记录
1
2
3
Name: www.baidu.com
Type: A Record
Detail: 1.2.3.4

使用JT-IT1的终端尝试通过http://www.baidu.com域名访问外网WEB服务器:

image-20240902171803198

4.9 配置外网访问DMZ区服务器

复用原来的外网WEB服务器,添加DNS服务,添加如下的域名解析记录。

image-20240906134923418

然后配置一台外网终端,配置IP地址4.3.2.2,网关4.3.2.1,DNS指向上述外网WEB-DNS服务器1.2.3.4

最后配置ISP1的BGP:

1
2
ISP1(config)#router bgp 300
ISP1(config-router)#network 4.3.2.0 mask 255.255.255.0

测试:外网PChttp://www.workspace.com的web访问测试

image-20240903100339145

同理,可以配置EMAIL,然后对内网进行邮件发送测试。