文章目錄

• 實驗拓撲
• • 第一部分：企業總部內網
  • • 第一層：接入層
    • 第二層：匯聚層
    • 解決：`VLAN`間通信
    • 第三層：網絡層
  • 第二部分：企業分部內網
  • 第三部分：外部網絡路由
  • 第四部分：`NAT`地址轉換
  • 第五步：`VPN`

實驗拓撲

由圖我們可以看到這張拓撲由三部分組成：企業總部內網、外網、企業分部內網

第一部分：企業總部內網

內網的網絡結構分為三層：接入層、匯聚層、網絡層。由下之上我們分開解釋

第一層：接入層

這一層主要為接入層交換機（連接各個終端設備）和終端設備。我們這里的終端設備為防病毒服務器和業務部門。

兩個規劃VLAN。

部門vlan網段

業務部門	10	192.168.10.10
防病毒服務器	20	192.168.20.10

接入層交換機連接三層交換機，這樣兩邊的部門之間可以進行訪問，這就需要配置vlan

第二層：匯聚層

這是之前我們沒有添加的，但是我想了一下，這樣加一臺三層交換機有好處，方便我們的配置，其實這樣也更加符合企業內部網絡的結構。

三層交換機主要用于連接核心網絡層和就如層。

解決：VLAN間通信

**目標：**防病毒服務器可以ping通業務部門的PC0

問題：VLAN間通信

不用擔心，我已經解決了，昨天因為還少了點配置，這次一定沒問題，如果還有問題的話，那就是模擬器的問題（點頭）

配置IP地址：給防病毒服務器和PC0配置ip地址

PC0也一樣

配置Switch 0

en conf ter vlan 20 name fuwuqi exit interface FastEthernet0/1switchport access vlan 20switchport mode access exit interface GigabitEthernet0/1switchport trunk native vlan 99switchport trunk allowed vlan allswitchport mode trunk

配置Switch 1

en conf ter vlan 10 name yewubumen exit interface FastEthernet0/1switchport access vlan 10switchport mode access exit interface GigabitEthernet0/1switchport trunk native vlan 99switchport trunk allowed vlan allswitchport mode trunk

配置三層交換機

注意三層交換機上要實現路由功能，開啟路由功能ip routing。接口需要配置no switchport

vlan 10 name yeuwbumen exit vlan 20 name fuwuqi exit interface Vlan10ip address 192.168.10.1 255.255.255.0interface Vlan20ip address 192.168.20.1 255.255.255.0interface GigabitEthernet1/0/1no switchportip address 60.0.1.1 255.255.255.0interface GigabitEthernet1/0/2switchport trunk native vlan 99switchport trunk encapsulation dot1qswitchport mode trunkinterface GigabitEthernet1/0/3switchport trunk native vlan 99switchport trunk encapsulation dot1qswitchport mode trunk

完成了上面的四步，vlan之間就可以通信了。

測試：

第三層：網絡層

現在上面的配置，已經可以實現vlan間的互通了，但還是沒有辦法訪問路由器。那是因為路由器上沒有下面192.168.10.0網段和192.168.20.0網段的路由。

查看路由器的路由表：show ip route

查看三層交換機的路由：show ip route

那就覺的辦法就是在在三層交換機上配置默認路由（不管目的地址是哪里，都傳給路由器），路由器上配置去往10和20網段的靜態路由。

路由器

interface g0/0/0 ip address 60.0.1.2 255.255.255.0 (不要忘了接口配置IP地址)Router(config)#ip route 192.168.10.0 255.255.255.0 60.0.1.1 Router(config)#ip route 192.168.20.0 255.255.255.0 60.0.1.1

三層交換機

Switch(config)#ip route 0.0.0.0 0.0.0.0 60.0.1.2

測試：PC端ping路由器接口地址

現在整個內網已經全部打通了！

nice

第二部分：企業分部內網

這一部分就比較簡單了，為什么它比較簡單，因為結構比較簡單，所以它比較簡單。

其實跟總部的一樣，如下：

PC的IP地址

交換機劃分接口和配置接口模式

en conf ter vlan 30 name Caiwu exit interface FastEthernet0/1switchport access vlan 30switchport mode access interface GigabitEthernet0/1switchport trunk native vlan 99switchport mode trunkswitchport trunk allow vlan all

三層交換機上配置網關和上連接口

en conf ter vlan 30 name Caiwu exit interface vlan 30 ip address 192.168.30.1 255.255.255.0 exitip routing interface GigabitEthernet1/0/1no switchportip address 100.0.1.2 255.255.255.0 exit interface GigabitEthernet1/0/2switchport trunk encapsulation dot1qswitchport trunk native vlan 99switchport mode trunkswitchport trunk allow vlan all

做完上面PC已經可以和三層交換機ping通了，但是還不能ping通路由器。所以和上面總部一樣，需要添加路由。

路由器上配置接口IP和添加路由

interface GigabitEthernet0/0/1ip address 100.0.1.1 255.255.255.0Router(config)#ip route 192.168.30.0 255.255.255.0 100.0.1.2

三層交換機上配置默認路由

ip route 0.0.0.0 0.0.0.0 100.0.1.1

測試

這樣分部的內網也全部打通了。

第三部分：外部網絡路由

為了方便，后面的配置，我們先把IP地址全部配置好，如下圖：

具體不寫了，很簡單。

注意：接口需要no shutdown

如：

interface g0/0/1 ip address 70.0.1.1 255.255.255.0 no shutdown

路由器之間需要運行動態路由協議，讓他們相互學習到對方的路由。這里我們選擇簡單的EIGRP,宣告網絡的時候是不宣告內網路由的。

企業總部出口路由器

原本的路由表：

做完EIGRP的路由表：

學習到了兩條路由，80和90的

具體配置：

router eigrp 100network 70.0.1.0 0.0.0.255

R1路由器

router eigrp 100network 70.0.1.0 0.0.0.255network 80.0.1.0 0.0.0.255

R2路由器

router eigrp 100network 80.0.1.0 0.0.0.255network 90.0.1.0 0.0.0.255

R3路由器

router eigrp 100network 90.0.1.0 0.0.0.255

測試：總部出口路由器（R0）ping分部出口路由器（R1）

可以ping通；

現在我們來看一下，整個網絡。如圖

局域網要想和外部網絡進行通信，還要做NAT（地址轉換）。目的是為保護內部網絡和節約IP地址。

第四部分：NAT地址轉換

如果對地址轉換不理解：請看思科：NAT基礎筆記

NAT地址轉換需要在總部和分部的出口路由器上做。

確保外網沒有私網的網段通信

在R1和R2上都配置：

access-list 1 deny 10.0.0.0 0.255.255.255 access-list 1 deny 172.16.0.0 0.15.255.255 access-list 1 deny 192.168.0.0 0.0.255.255 access-list 1 permit any interface gigabitEthernet 0/0/1 ip access-group 1 in interface g0/0/0 ip access-group 1 in

總部出口路由器配置NAT

access-list 1 permit 192.168.10.0 0.0.0.255 access-list 1 permit 192.168.20.0 0.0.0.255 ip nat inside source list 1 interface GigabitEthernet0/0/1 overload interface GigabitEthernet0/0/0ip nat inside interface GigabitEthernet0/0/1ip nat outside

現在測試PC pingR1

內網可以ping通外網了。

分部出口路由器配置NAT

access-list 1 permit 192.168.30.0 0.0.0.255 ip nat inside source list 1 interface GigabitEthernet0/0/0 overload interface GigabitEthernet0/0/1ip nat inside interface GigabitEthernet0/0/0ip nat outside

同樣進行測試：

恭喜你到這里你已經完成了大部分的工作了

現在我們看一下網絡

內網可以與外網進行通信，但是兩個內網之間還是不能通信。

所以還是不能高興太早，還有最后一步沒有做。那就是VPN

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-MPQ9WJTm-1651375222121)(https://c.tenor.com/TzHS92eeI1sAAAAC/discouraged-down.gif)]

第五步：VPN

VPN是整個配置中比較復雜的，但是不用擔心，一切問題都是可以解決的，船到橋頭自然直。

參考筆記：網絡信息安全：五、GRE和IPSEC

哭死，做了一遍，正在排錯，結果程序崩潰了，我還沒保存配置，全沒了。哭泣泣。

總結

以上是生活随笔為你收集整理的思科模拟器基础实验完整流程-初级的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。