网工 综合实验1

综合实验1：问题描述：1.某公司有三个部门，财务部、销售部以及市场部。搭建网络时候的要求是：财务部能够访问另外两个部门；另外两个部门能够互访但是不能访问财务部；实现所有的内部机器上网。公司现在有一台2621路由器、一台交换机、若干集线器。拓扑图:第一步实现三个部门互访路由器的配置1.配置外网ipR1(config)#ints1/0R1(config-if)#ipadd202.88.88.88255.255.255.0R1(config-if)#noshut%LINK-3-UPDOWN:InterfaceSerial1/0,changedstatetoupR1(config-if)#exit%LINK-3-UPDOWN:InterfaceSerial1/0,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial1/0,changedstatetodown2.启用f0/0端口，启用3个子接口R1(config)#inf0/0R1(config-if)#noipaddR1(config-if)#noshut%LINK-3-UPDOWN:InterfaceFastEthernet0/0,changedstatetoupR1(config-if)#exiR1(config)#inf0/0.1R1(config-subif)#ipadd192.168.1.1255.255.255.0R1(config-subif)#encapsulationdot1q10R1(config-subif)#noshutR1(config-subif)#exiR1(config)#inf0/0.2R1(config-subif)#ipadd192.168.2.1255.255.255.0R1(config-subif)#encapsulationdot1q20R1(config-subif)#noshutR1(config-subif)#exiR1(config)#inf0/0.3R1(config-subif)#ipadd192.168.3.1255.255.255.0R1(config-subif)#encapsulationdot1q30R1(config-subif)#noshutR1(config-subif)#exi交换机的配置1.在与路由器连接的f0/12口开启trunkSwitch#Switch#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#inf0/12Switch(config-if)#switchportmodetrunkSwitch(config-if)#exiSwitch(config)#exiSwitch#shrun!interfaceFastEthernet0/12switchportmodetrunkbackupinterfacenofair-queue!2.划分vlanSwitch#vlandatabaseSwitch(vlan)#vlan10nameshichangbuVLAN10added:Name:shichangbuSwitch(vlan)#vlan20namexiaoshoubuVLAN20added:Name:xiaoshoubuSwitch(vlan)#vlan30namecaiwubuVLAN30added:Name:caiwubuSwitch(vlan)#exiAPPLYcompleted.Exiting....3.将端口加入vlanSwitch#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#inrangef0/1-3Switch(config-range)#switchportmodeaccessSwitch(config-range)#switchportaccessvlan10Switch(config-range)#exiSwitch(config)#inrangef0/4-6Switch(config-range)#switchportmodeaccessSwitch(config-range)#switchportaccessvlan20Switch(config-range)#exiSwitch(config)#inrangef0/7-9Switch(config-range)#switchportmodeaccessSwitch(config-range)#switchportaccessvlan30Switch(config-range)#exi将各部门的计算机的ip和网关设置好以后，便可以互访了。第二步做ACL拒绝市场部和销售部访问财务部R1(config)#access-list101denyip192.168.2.00.0.0.255192.168.3.00.0.0.255R1(config)#access-list101denyip192.168.1.00.0.0.255192.168.3.00.0.0.255R1(config)#access-list101permitipanyanyR1(config)#inf0/0.3R1(config-subif)#ipaccess-group101inR1(config-subif)#exiR1(config)#exi第三步利用NAT的PAT技术让内部计算机上网R1(config)#access-list1permit192.168.1.00.0.0.255R1(config)#access-list1permit192.168.2.00.0.0.255R1(config)#access-list1permit192.168.3.00.0.0.255R1(config)#ipnatinsidesourcelist1interfaces1/0overloadR1(config)#inf0/0R1(config-if)#ipnatinsideR1(config-if)#exiR1(config)#ins1/0R1(config-if)#ipnatoutsideR1(config-if)#exiR1(config)#exi.语法：ipnat{inside|outside}noipnat{inside|outside}本命令用于设置应用NAT的内网和外网的接口。使用no选项可使接口不再应用NAT。参数：inside：表示该接口连接内部网络。outside：表示该接口连接外部网络。缺省值：接口上没有应用NAT。命令模式：接口配置模式。说明：数据包只有在outside接口和inside接口之间路由时，并且符合一定规则的，才会进行NAT转换。所以实现NAT的路由器必须配置至少一个outside接口和一个inside接口，也可配置多个。范例：Ruijie(config)#interfacef0/0Ruijie(config-if)#ipaddress192.168.10.1255.255.255.0Ruijie(config-if)#ipnatinsideRuijie(config-if)#noshutdownRuijie(config-if)#interfacef0/1Ruijie(config-if)#ipaddress200.19.12.17255.255.255.0Ruijie(config-if)#ipnatoutsideRuijie(config-if)#noshutdown本例路由器的fastethernet0/0连接的是内网，被定义为inside接口，fastethernet0/1连接的是外网，被定义为outside接口。相关命令：showipnatstatistics查看NAT统计数据和规则，包括inside和outside接口ipnatinsidedestination语法：ipnatinsidedestinationlistaccess-list-numberpoolpool-namenoipnatinsidedestinationlistaccess-list-numberpoolpool-name启用NAT内部目标地址转换。使用no选项可关闭NAT内部目标地址转换。参数：access-list-number：访问控制列表的表号。它指定由哪个访问控制列表来定义目标地址的规则。pool-name：IP地址池名字。该地址池定义了用于NAT转换的内部本地地址。缺省值：没有启用NAT内部目标地址转换。命令模式：全局配置模式。说明：NAT内部目标地址转换可用于实现TCP负载均衡，你可以用一台虚拟主机代替多台实际主机接收用户的TCP请求，由NAT把这些请求轮流映射到各个实际主机上，达到负载分流的目的。配置TCP负载均衡时，访问控制列表定义的是虚拟主机的地址，IP地址池中定义的是各台实际主机的地址。范例：Ruijie(config)#ipnatpoolnp192.168.1.1192.168.1.3netmask255.255.255.0typerotaryRuijie(config)#access-list1permit60.8.1.10.0.0.0Ruijie(config)#ipnatinsidedestinationlist1poolnp本例定义了一个TCP负载均衡，虚拟主机地址为60.8.1.1，由access-list1定义，实际主机地址为192.168.1.1~192.168.1.3，由地址池np定义。相关命令：ipnatpool创建一个NAT地址池access-list定义访问控制列表ipnatinsidesourcelist语法：ipnatinsidesourcelistaccess-list-number{poolpool-name|interfaceinterface-id}[overload]noipnatinsidesourcelistaccess-list-number启用内部源地址转换的动态NAT。使用no选项可关闭该动态NAT。参数：access-list-number：访问控制列表的表号。它指定由哪个访问控制列表来定义源地址的规则。pool-name：IP地址池名字。该地址池定义了用于NAT转换的内部全局地址。interface-id：接口号。指定用该接口的IP地址作为内部全局地址。overload：启用端口复用，使每个全局地址可以和多个本地地址建立映射。缺省值：没有启用NAT。命令模式：全局配置模式。说明：在锐捷路由器中，端口复用默认是启用的，有没有overload关键字都是一样的，保留这个参数是为了和Cisco的命令兼容。配置内部源地址的动态NAT时，访问控制列表定义的是内部本地地址的规则，IP地址池中定义的是内部全局地址，它通常是注册的合法地址。范例1：Ruijie(config)#ipnatpoolnp200.10.10.1200.10.10.9netmask255.255.255.0Ruijie(config)#access-list1permit192.168.1.00.0.0.255Ruijie(config)#access-list1permit172.16.0.00.0.255.255Ruijie(config)#ipnatinsidesourcelist1poolnpoverload本例定义了一个内部源地址动态NAT，内部本地地址为192.168.1.*和172.16.*.*的格式，由access-list1定义，只有这两种地址才会进行NAT转换。内部全局地址为200.10.10.1~200.10.10.9，共9个地址，由地址池np定义。每个全局地址都可以和多个本地地址建立映射，用端口号区分各个映射。范