理论才是实验的关键,学好理论再看实验,才知所以然。实验有步骤顺序性,愿意学能看懂的。
有错误请批评指正。
拓扑
要求
1:企业内网共有3个业务vlan,分别是Group1 Gropu2 和Guest,使用Vlan10 20 30。
网关路由器和5700之间运行动态路由协议。
1.1:Guest,使用Vlan30 , 可以访问互联网,但不能访问内网服务器(Server-1),该网段自动分配IP地址,地址范围:192.168.1.100 ~ 192.168.1.199 网关192.168.1.1 DNS 8.8.8.8 租期4小时。该地址分配在5700上完成。
1.2:Group1可以访问公网也可以访问内部服务器(Server-1),使用Vlan 10 。
1.3:Group2可以访问内部服务器,但是不能访问公网。
1.4:内部服务器(Server-1)对内部提供FTP服务,不提供HTTP服务。对公网用户提供HTTP服务,但不提供FTP服务。公网用户访问Server-1
时,使用IP地址为200.1.1.3。
2:Internet用户可以访问企业内部服务器的HTTP业务,不能访问FTP。Internet Server对所有人提供FTP和HTTP服务。
3:分支机构,使用PPPOE拨号上网,得到某个自动分配的公网IP。分支内的用户Part user可以访问公网和企业内网服务器(HTTP),公网用户可以访问分支内的Part-Server的HTTP业务。
实验步骤
①配置所有PC以及设备接口的IP地址。
②配置企业内网的Vlan以及相关配置。相关配置生成树,根交换机定为5700
③内网的网关和vlan间互访(5700配置)。
④开启DHCP,为Guest分配ip地址(5700配置)。
⑤连接内网和路由器,让内网设备可以访问内网服务器(Server-1)。
在5700和网关路由器之间运行RIP路由协议。
配置RIP。网关路由和公网之间不能跑路由协议。
此时企业内网已经可以互通。
⑥按照需求,确认访问内部服务器Server-1的流量。配置ACL 3001 应用到G0/0/1的out方向。(正确的应用应该在G0/0/2的in方向)
deny ip source 192.168.1.0 0.0.0.255 destination 192.168.200.200 0.0.0.0
deny tcp source any destination 192.168.200.200 0.0.0.0 destination-port eq 80
rule permit ip
⑦按照需求,配置NAT连接互联网。
guest和Group1 使用EasyIP方式,访问互联网。ACL 2001
rule permit source 192.168.1.0 0.0.0.255 (guest)
rule permit source 192.168.10.0 0.0.0.255 (group 1)
int g0/0/0
nat outbound 2001
注意:5700和网关设备上,需要有正确的缺省路由,才可以实现。
配置NAT服务器,让互联网用户可以访问内部服务器(Server-1)的HTTP。
缺少了默认路由
让gateway向下游发送一条默认路由
如果是ospf,那么下发路由可以是default-route-advertise always
配置默认路由到公网。
此时内网guest和group-1可以访问互联网
配置NAT服务器,让互联网用户可以访问内部服务器(Server-1)的HTTP。
为什么tcp会访问不通呢?因为之前在网关路由做了acl。而icmp本来就不能通的。
将前面的acl应用改为在0/2上的in方向。经测试不影响原效果。
internet用户可以通过http访问企业内部服务器了。
⑧配置ISP路由器作为PPPOE拨号服务器
[ISP]ip pool pppoe
Info: It's successful to create an IP address pool.
[ISP-ip-pool-pppoe]network 200.2.2.0 mask 24
[ISP-ip-pool-pppoe]gateway-list 200.2.2.1
[ISP-ip-pool-pppoe]qu
[ISP]int virtual-template 1
[ISP-Virtual-Template1]ppp authentication-mode pap
[ISP-Virtual-Template1]ip add 200.2.2.1 24
[ISP-Virtual-Template1]remote address pool pppoe
[ISP-Virtual-Template1]qu
[ISP]int g 0/0/0
[ISP-GigabitEthernet0/0/0]int g 0/0/1
[ISP-GigabitEthernet0/0/1]pppoe-server bind virtual-template 1
[ISP-GigabitEthernet0/0/1]qu
[ISP]aaa
[ISP-aaa]local-user part password cipher 123456
Info: Add a new user.
[ISP-aaa]local-user part service-type ppp
⑨配置分支机构网关的PPPOE拨号
[Part-1]dialer-rule
[Part-1-dialer-rule]dialer-rule 1 ip permit
[Part-1-dialer-rule]qu
[Part-1]int dialer 0
[Part-1-Dialer0]dialer user user1
[Part-1-Dialer0]dialer-group 1
[Part-1-Dialer0]dialer bundle 1
[Part-1-Dialer0]ppp pap local-user part password cipher 123456
[Part-1-Dialer0]ip add ppp-negotiate
[Part-1-Dialer0]qu
[Part-1]int g 0/0/0
[Part-1-GigabitEthernet0/0/0]pppoe-client dial-bundle-number 1
⑩Part user要访问公网,做nat和缺省路由,
缺省路由可以使用静态完成,或者让Dialer接口自动生成。
int dialer 0
ppp ipcp default-route
由于只有接口上的一个公网IP地址,所以只能用EasyIP完成NAT转换。
公网用户可以访问分支内的Part-Server的HTTP业务。这里要用当前配置获得的接口。
