Cisco三层交换机实现vlan间路由的配置
拓扑图:
一、配置要求如下:
本次测试使用cisco Packet Tracer7.0模拟器进行,请按照实验操作文件(pka)的要求完成配置任务。pka文件中的拓扑和设备命名均不许修改,终端和网络设备接口的IP地址按要求进行分配。本次测试的时长为80分钟,系统将自动对各个配置点和连通情况进行测评。
二、设备命名和IP地址分配
请严格按下表分配IP地址
| 设备名 | 端口/接口 | IP地址 | 掩码长度 | 网关 |
|---|---|---|---|---|
| PC11.2 | Fa0 | 172.16.11.2 | 24 | 172.16.11.1 |
| PC22.2 | Fa0 | 172.16.22.2 | 24 | 172.16.22.1 |
| PC-R1 | Fa0 | 192.168.1.3 | 24 | 192.168.1.1 |
| Laptop22.3 | Fa0 | 172.16.22.3 | 24 | 172.16.22.1 |
| manager | Fa0 | 172.16.1.2 | 24 | 172.16.1.1 |
| Intra-Srv | Fa0 | 172.16.200.2 | 24 | 172.16.200.1 |
| DMZ-Srv | Fa0 | 172.16.254.2 | 24 | 172.16.254.1 |
| Inter-Srv | Fa0 | 6.0.0.2 | 8 | 6.0.0.1 |
| CS | vlan11 | 172.16.11.1 | 24 | - |
| CS | vlan22 | 172.16.22.1 | 24 | - |
| CS | vlan1 | 172.16.1.1 | 24 | - |
| CS | vlan200 | 172.16.200.1 | 24 | - |
| CS | vlan100 | 172.16.100.254 | 24 | - |
| CS | Fa0/5 | 172.16.253.1 | 24 | - |
| CallManager | Fa0/0 | 172.16.100.1 | 24 | - |
| Firewall | Fa0/1 | 172.16.254.1 | 24 | - |
| Firewall | Fa0/0 | 172.16.253.2 | 24 | - |
| Firewall | Fa1/0 | 2.0.0.2 | 29 | - |
| ISP1 | Fa1/0 | 2.0.0.1 | 29 | - |
| ISP1 | Fa0/0 | 3.0.0.1 | 8 | - |
| ISP1 | Fa0/1 | 5.0.0.1 | 8 | - |
| ISP2 | Fa0/0 | 5.0.0.2 | 8 | - |
| ISP2 | Fa0/1 | 4.0.0.2 | 8 | - |
| ISP2 | S0/1/0 | 7.0.0.1 | 30 | - |
| ISP2 | Fa1/0 | 8.0.0.1 | 8 | - |
| ISP3 | Fa0/0 | 3.0.0.2 | 8 | - |
| ISP3 | Fa0/1 | 4.0.0.1 | 8 | - |
| ISP3 | Fa1/0 | 6.0.0.1 | 8 | - |
| Div-R | S0/1/0 | 7.0.0.2 | 30 | - |
三、实验目标要求
1、PC11.2可以ping通DMZ-Srv、Intra-Srv,不可以ping通Inter-Srv
2、Laptop22.3可以ping通DMZ-Srv、Intra-Srv、Inter-Srv
3、PC-R1可以ping通DMZ-Srv、Intra-Srv、Inter-Srv以及PC22.2
4、PC-R2和PC0可以ping通Inter-Srv ,可以访问DMZ-Srv的web服务
5、1001、1002、2001三部IP电话可以互通
四、配置步骤指导
1.配置AS1和AS2两台接入层交换机
- a) 创建vlan
- b) 把接口加入vlan
2. 配置CS核心交换机
- a) 启用三层路由功能
- b) 设置trunk封装模式为802.1q,设置与接入层交换机相连的端口为trunk模式
- c) 创建vlan,把相应接口加入vlan
- d) 为vlan虚接口设置IP地址
- e) 设置Fa0/5端口为路由模式,设置端口IP地址
- f) 设置默认路由指向出口路由器firewall
3. 配置校园网的Firewall路由器,使之能够访问百度
- a) 配置两条静态路由,一条默认路由指向互联网,一条路由指向校园网
- b) 配置nat地址转换,使得校园网PC能够访问互联网
Ø 设置转换访问控制列表(使用扩展访问控制列表)
Ø 设置地址转换规则
Ø 设定inside和outside接口 - c) 配置静态地址映射,使得互联网能访问DMZ-Srv服务器(启用服务器http服务)
Ø 方法1:使用端口映射
Ø 方法2:把2.0.0.3映射到校园网 - d) 配置控制列表禁止PC11.2访问互联网
Ø 设置扩展访问控制列表,允许PC11.2访问DMZ-Srv、禁止PC11.2访问其他地址、允许所有IP流量
Ø 把访问控制列表应用于Firewall校园网接口入方向上
4. 配置ISP1、ISP2、ISP3互联网路由器
- a) 配置loopback地址作为路由器ID
- b) 启用ospf路由协议并宣告直连网络
- c) 检查每台路由器的路由表
5. 配置Div-R分公司路由器
- a) 配置路由器接入链路封装格式为PPP
- b) 配置缺省路由指向ISP2
- c) 配置NAT网络地址转换(注意使用扩展访问控制列表)
6. 配置wlan无线接入
- a) 在无线AP和无线路由器上设置SSID为AP1和AP2、认证方式为WAP2,AP1密码为12345678,AP2密码为87654321
- b) 在两台笔记本上配置无线网卡,分别接入无线AP和无线路由器
7. 配置PPPoE接入
- a) 配置接入cloud的DSL映射
- b) 配置ISP2路由器支持PPPoE接入,使用AAA认证服务器
- c) 配置Inter-Srv作为AAA认证服务器
- d) 在pc0使用PPPoE Dialer接入网络,ipconfig查看地址并ping6.0.0.2
- e) 配置无线路由器使用PPPoE接入网络
8. 配置虚拟专用网,因国家规定,VPN的配置本文不提及,如有作业问题请留言
9. 配置VoIP
- a) 把总部IP电话和callmanager的接入端口加入到voice vlan1
- b) 把分公司IP电话和Div-R向校园网的接入端口加入到voice vlan1
- c) 在公司总部配置callmanager ,测试总部两部电话的连通性
- d) 在分公司配置Div-R出口路由器作为callmanager,检查分公司IP电话
- e) 把总部IP电话和callmanager的接入端口加入到vlan100
- f) 在CS上设置VLAN100的虚接口地址为172.16.100.2
- g) 在总部callmanager上设置默认路由指向172.16.100.2
- h) 配置两台callmanager点对点连接,测试总部到分公司电话的连通性
详细配置命令如下:
1、配置AS1和AS2两台接入层交换机
a)创建vlan
b)把接口加入vlan
AS1:
AS1(config)#
AS1(config)#vlan 11
AS1(config)#vlan 22
AS1(config-vlan)#int f0/2
AS1(config-if)#switchport mode access
AS1(config-if)#switchport access vlan 11
AS1(config-vlan)#int f0/23
AS1(config-if)#switchport mode access
AS1(config-if)#switchport access vlan 22
AS1(config-if)#
AS2:
AS2>en
AS2#conf t
AS2(config)#vlan 22
AS2(config-vlan)#int f0/2
AS2(config-if)#switchport mode access
AS2(config-if)#switchport access vlan 22
AS2(config-if)#
2、配置CS核心交换机
a)启用三层路由功能
CS>en
CS#conf t
CS(config)#ip routing // 启用三层路由功能
b)设置trunk封装模式为802.1q,设置与接入层交换机相连的端口为trunk模式
CS(config)#int f0/1
CS(config-if)#switchport trunk encapsulation dot1q // 设置trunk封装模式为802.1q,
CS(config-if)#switchport mode tr
CS(config-if)#switchport mode trunk // 设置与接入层交换机相连的端口为trunk模式
CS(config-if)#
CS(config-if)#int f0/2
CS(config-if)#switchport tr en dot1q
CS(config-if)#sw mo tr
CS(config-if)#sw mo trunk
CS(config-if)#
c)创建vlan,把相应接口加入vlan
CS(config-if)#vlan 11 // 创建 Vlan,把相应接口加入 Vlan
CS(config-vlan)#vlan 22
CS(config-vlan)#vlan 100
CS(config-vlan)#vlan 200
CS(config-vlan)#int f0/24
CS(config-if)#switchport mode ac
CS(config-if)#switchport mode access
CS(config-if)#switchport ac
CS(config-if)#switchport access vlan 200
d)为vlan虚接口设置IP地址
CS(config-if)#
CS(config-if)#int vlan 11
CS(config-if)#ip add 172.16.11.1 255.255.255.0
CS(config-if)#int vlan 22
CS(config-if)#ip add 172.16.22.1 255.255.255.0
CS(config-if)#int vlan 200
CS(config-if)#ip add 172.16.200.1 255.255.255.0
e)设置Fa0/5端口为路由模式,设置端口IP地址
CS(config-if)#
CS(config)#int f0/5
CS(config-if)#no sw
CS(config-if)#no switchport
CS(config-if)#ip add 172.16.253.1 255.255.255.0
CS(config-if)#
f)设置默认路由指向出口路由器firewall
CS(config-if)#exit
CS(config)#ip route 0.0.0.0 0.0.0.0 172.16.253.2
CS(config)#
3、配置 Firewall 出口路由器
a)配置两条静态路由,一条默认路由指向互联网,一条路由指向校园网
Router>en
Router#conf t
Router(config)#ip route 0.0.0.0 0.0.0.0 2.0.0.1
Router(config)#ip route 172.16.0.0 255.255.0.0 172.16.253.1
Router(config)#
b)配置nat地址转换,使得校园网PC能够访问互联网
NAT 使用扩展访问控制列表 101
使用扩展访问控制列表 102
禁止11.2访问互联网 使用扩展访问控制列表 103
Ø 设置转换访问控制列表(使用扩展访问控制列表)
Router(config)#
Router(config)#ac
Router(config)#access-list 101 de
Router(config)#access-list 101 deny ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255
Router(config)#access-list 101 per ip 172.16.0.0 0.0.255.255 any
Ø 设置地址转换规则
Router(config)#ip nat i
Router(config)#ip nat inside s
Router(config)#ip nat inside source l
Router(config)#ip nat inside source list 101 int f1/0 ov
Router(config)#ip nat inside source list 101 int f1/0 overload
Ø 设定inside和outside接口
Router(config)#int f1/0
Router(config-if)#ip nat ou
Router(config-if)#ip nat outside
Router(config-if)#int f0/0
Router(config-if)#ip nat in
Router(config-if)#ip nat inside
c)配置静态地址映射,使得互联网能访问DMZ-Srv服务器(启用服务器http服务)
Router(config-if)#exit
Router(config)#ip nat inside source s
Router(config)#ip nat inside source static 172.16.254.2 2.0.0.3
Router(config)#int f0/1
Router(config-if)#ip nat in
Router(config-if)#ip nat inside
Router(config-if)#
d)配置控制列表禁止PC11.2访问互联网
( ☆☆☆建议最后设置该规则☆☆☆ )
Ø 设置扩展访问控制列表,允许PC11.2访问DMZ-Srv、禁止PC11.2访问其他地址、允许所有IP流量
access-list 103 deny ip 172.16.11.2 255.255.255.255 any
access-list 103 permit ip 172.16.11.2 255.255.255.255 172.16.254.2 255.555.255.0
access-list 103 permit ip any
Ø 把访问控制列表应用于Firewall校园网接口入方向上
int f0/0
ip access-group 103 out
4、配置ISP1、ISP2、ISP3互联网路由器
a)配置loopback地址作为路由器ID
b)启用ospf路由协议并宣告直连网络
ISP1:
Router>en
Router#conf t
Router(config)#route osp
Router(config)#route ospf 1
Router(config-router)#netw 2.0.0.0 0.0.0.7 area 0
Router(config-router)#netw 3.0.0.0 0.255.255.255 area 0
Router(config-router)#netw 5.0.0.0 0.255.255.255 area 0
Router(config-router)#
ISP2:
Router>en
Router#conf t
Router(config)#route os
Router(config)#route ospf 1
Router(config-router)#netw 4.0.0.0 0.255.255.255 area 0
Router(config-router)#netw 5.0.0.0 0.255.255.255 area 0
Router(config-router)#netw 8.0.0.0 0.255.255.255 area 0
Router(config-router)#netw 7.0.0.0 0.0.0.3 area 0
Router(config-router)#
ISP3:
Router>en
Router#conf t
Router(config)#route os
Router(config)#route ospf 1
Router(config-router)#netw 3.0.0.0 0.255.255.255 area 0
Router(config-router)#netw 4.0.0.0 0.255.255.255 area 0
Router(config-router)#netw 6.0.0.0 0.255.255.255 area 0
Router(config-router)#
c)检查每台路由器的路由表
#sh ip route
5、配置Div-R分公司路由器
a)配置路由器接入链路封装格式为PPP ( 两台路由器均需要配置 )
ISP2(config)# interface serial 0/1/0
ISP2(config-if)# clock rate 2000000 // 配置接口的时钟速率
// 在 ☆☆☆ 远离时钟 ☆☆☆ 一端配置时钟速率会有该提示:This command applies only to DCE interfaces
// 因此,应该是在☆☆☆靠近时钟☆☆☆一端( 主认证方 )配置,
ISP2(config-if)# encapsulation ppp // 配置接口的封装格式为PPP
ISP2(config-if)# ppp authentication pap // 认证方式为PAP加密
ISP2(config)# username user1 password 0 123 // 主认证方配置
Div-R(config)# interface serial 0/1/0
Div-R(config-if)# encapsulation ppp // 配置接口的封装格式为PPP
Div-R(config-if)# ppp authentication pap // 认证方式为PAP加密
Div-R(config-if)# ppp pap sent-username user1 password 0 123 // 被认证方配置
b)配置缺省路由指向ISP2
ip route 0.0.0.0 0.0.0.0 7.0.0.1
c)配置NAT网络地址转换(注意使用扩展访问控制列表)
access-list 101 deny ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
ip nat inside source list 101 int s0/1/0 overload
int s0/1/0
ip nat outside
int f0/0
ip nat inside
6、配置wlan无线接入
a)在无线AP和无线路由器上设置SSID为AP1和AP2、认证方式为WAP2,AP1密码为12345678,AP2密码为87654321
AP ---> Config ---> Port 1 ---> SSID: AP1 WPA2-PSK: 12345678
b)在两台笔记本上配置无线网卡,分别接入无线AP和无线路由器
Laptop22.3:手动配置静态 IP 地址172.16.22.3
7、配置PPPoE接入
a)配置接入cloud的DSL映射
Cloud0 ---> DSL ---> Modem4 <-> Ethernet6
Modem5 <-> Ethernet6
b)配置ISP2路由器支持PPPoE接入,使用AAA认证服务器
int f1/0
ip address 8.0.0.1 255.0.0.0
pppoe enable // 配置接口启用pppoe
ip local pool mypool 8.0.0.10 8.0.0.100 // 配置地址池
# username user1 password 0 123 // 配置本地用户认证方式的用户名密码
Router(config)#aaa new-model // 启用 AAA
Router(config)#aaa authentication ppp default group radius // 使用 Radius 对所有 PPP 用户进行身份验证
Router(config)#radius-server host 6.0.0.2 key 123 // 指定外部 AAA 服务器,设置预共享密钥
int virtual-template 1 // 定义虚拟模板
ip unnumbered f1/0 // 借用以太口地址
peer default ip address pool mypool // 设定地址池
ppp authentication chap // 设定认证方式
vpdn enable // 全局启用虚拟拨号
vpdn-group mygroup // 定义虚拟拨号组
accept-dialin // 允许拨号接入
protocol pppoe // 接入协议为pppoe
virtual-template 1 // 设定虚拟模板
c)配置Inter-Srv作为AAA认证服务器
Service ---> AAA --->
Network Configuration:
pppoe 4.0.0.2 Radius 123
8.0.0.1 Radius 123
User Setup:
u1 123 // 用于 WireLess 认证
test 123 // 用于 PC0 认证
d)在pc0使用PPPoE Dialer接入网络,ipconfig查看地址并ping6.0.0.2
Desktop ---> PPPoE ---> User Name: u1 Password: cisco
e)配置无线路由器使用PPPoE接入网络
Setup ---> PPPoE ---> Username: test Password: 123 Save Settings
WireLess ---> Basic WireLess Settings ---> Network Name: AP2 Standard Channel: 11
---> WireLess Security ---> Security Mode: WAP2 Persional AES 87654321
8、配置虚拟专用网,因国家规定,VPN的配置本文不提及,如有作业问题请留言
9、配置VoIP
a)把总部IP电话和callmanager的接入端口加入到voice vlan1
AS1:
vlan 100
int f0/1
switchport mode access
switchport access vlan 100
switchport voice vlan 1
AS2:
vlan 100
int f0/1
switchport mode access
switchport access vlan 100
switchport voice vlan 1
CS:
int f0/6
switchport mode access
switchport access vlan 100
switchport voice vlan 1
b)把分公司IP电话和Div-R向校园网的接入端口加入到voice vlan1
Switch3:
int f0/1
switchport voice vlan 1
switchport mode access
int f0/24
switchport mode access
switchport voice vlan 1
c)在公司总部配置callmanager ,测试总部两部电话的连通性
CallManager:
# 配置接口
# int f0/0
# ip add 172.16.100.1 255.255.255.0
# 配置DHCP
# ip dhcp pool voice
# network 172.16.100.0 255.255.255.0
# default-router 172.16.100.1
# option 150 ip 172.16.100.1
# 配置呼叫服务
# telephony-service
# max-dn 10
# max-ephone 10
# ip source-address 172.16.100.1 port 2000
# auto assign 1 to 10
# 为电话配置号码
# ephone-dn 1
# number 1001
# ephone-dn 2
# number 1002
d)在分公司配置Div-R出口路由器作为callmanager,检查分公司IP电话
Router:
# 配置接口
# int f0/0
# ip add 192.168.1.1 255.255.255.0
# 配置DHCP
# ip dhcp pool voip
# network 192.168.1.0 255.255.255.0
# default-router 192.168.1.1
# option 150 ip 192.168.1.1
# 配置呼叫服务
# telephony-service
# max-dn 10
# max-ephone 10
# ip source-address 192.168.1.1 port 2000
# auto assign 1 to 10
# 为电话配置号码
# ephone-dn 1
# number 2001
e)把总部IP电话和callmanager的接入端口加入到vlan100
在 9、a) 中已经完成该步操作
f)在CS上设置VLAN100的虚接口地址为172.16.100.254
int vlan 100
ip address 172.16.100.254 255.255.255.0
g)在总部callmanager上设置默认路由指向172.16.100.254
ip route 0.0.0.0 0.0.0.0 172.16.100.254
h)配置两台callmanager点对点连接,测试总部到分公司电话的连通性
CallManager:
dial-peer voice 1 voip
destination-pattern 2...
session target ipv4:192.168.1.1
Router-FW:
dial-peer voice 1 voip
destination-pattern 1...
session target ipv4:172.16.100.1
限制 11.2 上网
d)配置控制列表禁止PC11.2访问互联网
( ☆☆☆建议最后设置该规则☆☆☆ )
Ø 设置扩展访问控制列表,允许PC11.2访问DMZ-Srv、禁止PC11.2访问其他地址、允许所有IP流量
access-list 103 deny ip 172.16.11.2 255.255.255.255 any
access-list 103 permit ip 172.16.11.2 255.255.255.255 172.16.254.2 0.255.255.255
access-list 103 permit ip any
Ø 把访问控制列表应用于Firewall校园网接口入方向上
int f0/0
ip access-group 103 out