思科綜合實驗 | 模擬器虛擬機三層交換綜合實驗,舉一反三!
- 2019 年 10 月 5 日
- 筆記
綜合實驗
實驗目的:
主要是通過dynamips(模擬路由器和交換機)和微軟virtualpc(模擬多台客戶端和服務器),以及真實電腦(通過物理網卡橋接路由器和真實網絡,虛擬網連接模擬的交換機和vpc)三者來搭建如上圖所示一個比較典型的網絡環境。
實驗內容:
- 路由器的NAT,DHCP ,ACL
- 交換機vlan,三層交換機vlan間通信。
設備連接說明:
在dynamips中模擬出一個路由器,三交換機,4個pc(最多9個,看個人需要添加)。
WAN網絡是通過路由器e0/1口和真實電腦的網卡橋接,然後配置一個和真機相同網段的ip地址(10.0.0.254/8,默認網關:10.0.0.2 DNS:10.0.0.2)來實現的(真實電腦的網絡拓撲是 ADSL+路由器(10.0.0.2/8)+交換機+真實電腦,這是一個比較常見的小型企業網組網方式)。
交換機的客戶端同一顏色的表示屬於同一vlan,實驗中有3個vlan。P0/0-3表式通過模擬器橋接的網卡,其中P0/0表示真機的物理網卡;P0/1-3表示虛擬網卡(Microsoft Loopback Adapter)。
pc1- 4是用dynamips 模擬出來虛擬機 只能進行設置ip 和進行簡單的ping等操作,Virtual pc 則是用windows virtual pc 模擬出來的,可以是xp或者是windows server 2003,可以進行和真實電腦一樣的操作
實驗第一部分:
不劃分vlan,在路由器上設置nat,dhcp,使得連接在交換機AS-1的F0/4口和AS-2的F0/3口上的virtual pc 能自動獲取ip地址並能訪問internet.
1.實現路由器的NAT
路由器配置:
Router(config)#host R-nat R-nat(config)#int e0/1 //配置外網網卡連接wan R-nat(config-if)#ip add 10.0.0.254 255.0.0.0 R-nat(config-if)#no shut R-nat(config-if)#ip nat outside //指定nat外部 R-nat(config-if)#no shut R-nat(config)#int e0/0 R-nat(config-if)#ip add 192.168.100.1 255.255.255.0 //配置內網ip R-nat(config-if)#ip nat inside //指定nat 內部 R-nat(config-if)#no shut R-nat(config)#ip nat pool shangwang 10.0.0.254 10.0.0.254 netmask 255.0.0.0 //配置nat R-nat(config)#access-list 1 permit 192.168.100.0 0.0.0.255 R-nat(config)#ip nat inside source list 1 pool shangwang overload //上面這條命令可以用 ip nat inside source list 1 interface e0/1 overload 替代,這樣對直接和端口進行PAT,方式更加靈活,適用於WAN口為動態ip R-nat(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.2 //配置靜態路由
交換機配置
沒有什麼特別的配置,就是修改名字,便於記憶
驗證配置:
此時可以將virtual pc啟動,網卡選擇「Microsoft Loopback Adapter」配置ip地址為:192.168.100.25 網關:192.168.100.1 DNS:10.0.0.2 如果配置正確應該能ping通外部網站和瀏覽網頁。
2.配置路由器的DHCP
R-nat(config)#service dhcp R-nat(config)#ip dhcp pool no-vlan //配置作用域「no-vlan」 R-nat(dhcp-config)#network 192.168.100.0 255.255.255.0 //地址範圍 R-nat(dhcp-config)#default-router 192.168.100.1 // 默認網關 R-nat(dhcp-config)#dns-server 10.0.0.2 //DNS服務器 R-nat(dhcp-config)#lease 1 //租期1天 R-nat(config)#ip dhcp excluded-address 192.168.100.1 192.168.100.15 //指定保留的ip地址
驗證配置:
此時將virtual pc設置為自動獲取ip地址,配置正確vpc將獲取到ip地址等配置信息,並能順利訪問Internet,可以在特權模式使用 debug dhcp 命令後,再停用啟動vpc上的本地連接,以觀察客戶端獲取ip地址過程
R-nat#sh ip dhcp binding //查看客戶端獲取的ip地址 Bindings from all pools not associated with VRF: IP address Client-ID/ Lease expiration Type Hardware address/ User name 192.168.100.22 0100.03ff.f8da.ff Mar 02 2002 12:05 AM Automatic //0100.03ff.f8da.ff 開頭1位為0 表示是設備MAC地址,為1 表示以太網中的廣播地址或者組播地址
第二部實驗:
1.劃分vlan
上圖中
vlan 2(sales): AS-1的f0/1(pc1) f0/2(pc2); AS-2的f0/2(pc4) ip範圍:192.168.2.1-254/24 vlan 3 (manag):AS-1的f0/3(virtual pc); AS-2的f0/1(pc3) ip範圍:192.168.3.1-254/24 vlan 4 (server) : AS-1的f0/4(virtual pc); AS-2的f0/3(virtual pc) ip範圍:192.168.4.1-254/24
交換機配置:
DL-3-S:
DL-3-S#vlan database DL-3-S(vlan)#vtp server //設置VTP服務器 DL-3-S(vlan)#vtp domain lab.com //設置VTP域 DL-3-S(vlan)#vtp pruning //設置VTP域裁剪 DL-3-S(vlan)#vtp password cisco //設置VTP密碼 DL-3-S(vlan)#vlan 2 name sales //添加VLAN DL-3-S(vlan)#vlan 3 name manage DL-3-S(vlan)#vlan 4 name server DL-3-S(vlan)#exit DL-3-S(config)#interface f0/1 //設置VLAN trunk DL-3-S(config-if)#switchport mode trunk DL-3-S(config)#interface f0/2 DL-3-S(config-if)#switchport mode trunk DL-3-S(config)#exit
AS-1: //配置接入交換機
AS-1#vlan database AS-1(vlan)#vtp client //設置VTP客戶端模式 AS-1(vlan)#vtp domain lab.com AS-1(vlan)#vtp password cisco AS-1(vlan)#exit 。。。。。。 AS-1(config)#interface range f0/1 -2 //組接口 AS-1(config-if-range)#switchport access vlan 2 //加入VLAN 2 AS-1(config)#interface f0/3 AS-1(config-if)#switchport access vlan 3 AS-1(config-if)#interface f0/4 AS-1(config-if)#switchport access vlan 4 AS-1(config-if)#interface f0/0 AS-1(config-if)#switchport mode trunk //設置VLAN trunk
AS-2:
AS-2#vlan database AS-2(vlan)#vtp client AS-2(vlan)#vtp domain lab.com AS-2(vlan)#vtp password cisco AS-1(vlan)#exit 。。。。。。 AS-2(config)#interface range f0/1 AS-2(config-if-range)#switchport access vlan 3 AS-2(config)#interface f0/2 AS-2(config-if)#switchport access vlan 2 AS-2(config-if)#interface f0/3 AS-2(config-if)#switchport access vlan 4 AS-2(config-if)#interface f0/0 AS-2(config-if)#switchport mode trunk
驗證配置:
AS-1#sh vlan-switch //顯示vlan端口 VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15 2 sales active Fa0/1, Fa0/2 3 manage active Fa0/3 4 server active Fa0/4 AS-1#sh vtp status //顯示vtp 信息 VTP Version : 2 Configuration Revision : 1 Maximum VLANs supported locally : 256 Number of existing VLANs : 8 VTP Operating Mode : Client VTP Domain Name : lab.com VTP Pruning Mode : Enabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0xA7 0x0D 0x82 0x77 0xB6 0xF6 0xB4 0x66 Configuration last modified by 0.0.0.0 at 3-1-02 00:22:00
然後給各個虛擬機設置對應vlan的ip地址,如果配置成功同一vlan的計算機能夠相互ping,不同vlan間不能通信。
2.實現vlan間相互通信
DL-3-S:
DL-3-S(config)#int vlan 1 DL-3-S(config-if)#ip address 192.168.100.2 255.255.255.0 DL-3-S(config)#int vlan 2 DL-3-S(config-if)#ip address 192.168.2.1 255.255.255.0 DL-3-S(config)#int vlan 3 DL-3-S(config-if)#ip address 192.168.3.1 255.255.255.0 DL-3-S(config)#int vlan 4 DL-3-S(config-if)#ip address 192.168.4.1 255.255.255.0
驗證配置:
此時vlan 2 3 4雖然不是同一個網段,但是屬於各自vlan的虛擬pc可以相互ping,
3.實現各個vlan通過路由器NAT訪問外網
交換機DL-3-S:
DL-3-S(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1 //添加交換機到路由器的默認路由
路由器
R-nat#conf t //在路由器上為各個vlan設置回程路由 R-nat(config)#ip route 192.168.2.0 255.255.255.0 192.168.100.2 R-nat(config)#ip route 192.168.3.0 255.255.255.0 192.168.100.2 R-nat(config)#ip route 192.168.4.0 255.255.255.0 192.168.100.2 //此時各個vlan 包括vlan1 也能和其他三個vlan相互 ping //為各個vlan所屬的網段配置PAT以便,vlan中的各個客戶端可以訪問internet R-nat(config)#access-list 1 permit 192.168.2.0 0.0.0.255 R-nat(config)#access-list 1 permit 192.168.3.0 0.0.0.255 R-nat(config)#access-list 1 permit 192.168.4.0 0.0.0.255
//192.168.100.0在試驗第一部分中已經做過了,所以不需要,現在也只在acl中允許相應vlan的通訊
驗證配置:
此時可以在vpc 1上(ip:192.168.2.4/24 默認網關:192.168.2.1)ping通公網ip地址;在virtual pc (p0/1 ip:192.168.3.4/24 默認網關:192.168.3.1 DNS:10.0.0.2)上訪問Internet.
4 .為各個vlan 配置獨立的DHCP服務
路由器上的配置:
R-nat(config)#ip dhcp pool vlan-2 //vlan2配置 DHCP R-nat(dhcp-config)# network 192.168.2.0 255.255.255.0 R-nat(dhcp-config)# dns-server 10.0.0.2 // DNS服務器 R-nat(dhcp-config)# default-router 192.168.2.1 //默認網關 R-nat(dhcp-config)#netbios-name-server 192.168.100.254 // WINS服務器 R-nat(dhcp-config)#lease 0 6 //有效期0天 6小時 。。。。。。。 R-nat(config)#ip dhcp pool vlan-3 //vlan3配置 DHCP R-nat(dhcp-config)# network 192.168.3.0 255.255.255.0 R-nat(dhcp-config)# dns-server 10.0.0.2 R-nat(dhcp-config)# default-router 192.168.3.1 R-nat(dhcp-config)#netbios-name-server 192.168.100.254 R-nat(dhcp-config)#lease 0 6 。。。。。 R-nat(config)#ip dhcp pool vlan-4 //vlan4配置 DHCP R-nat(dhcp-config)# network 192.168.4.0 255.255.255.0 R-nat(dhcp-config)# dns-server 10.0.0.2 R-nat(dhcp-config)# default-router 192.168.4.1 R-nat(dhcp-config)#netbios-name-server 192.168.100.254 R-nat(dhcp-config)#lease 0 6 .。。。。
//配置各個DHCP作用域保留的ip地址
R-nat(config)#ip dhcp excluded-address 192.168.2.1 192.168.2.5 R-nat(config)#ip dhcp excluded-address 192.168.3.1 192.168.3.5 R-nat(config)#ip dhcp excluded-address 192.168.4.1 192.168.4.5 DS-3-S上為各個vlan配置DHCP中繼代理,默認情況下vlan是隔絕廣播的 DL-3-S(config-if)#int vlan 2 DL-3-S(config-if)#ip help DL-3-S(config-if)#ip helper-address 192.168.100.1 DL-3-S(config-if)#int vlan 3 DL-3-S(config-if)#ip helper-address 192.168.100.1 DL-3-S(config-if)#int vlan 4 DL-3-S(config-if)#ip helper-address 192.168.100.1 DL-3-S(config-if)#exit DL-3-S(config)#exit
驗證配置:
啟動一台virtual pc ,讓它通過虛擬網卡和交換機AS-1的f0/3口相連,ip地址選擇自動獲取
在命令提示符下 ipconfig /all
…… Dhcp Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes IP Address. . . . . . . . . . . . : 192.168.3.6 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.3.1 DHCP Server . . . . . . . . . . . : 192.168.100.1 DNS Servers . . . . . . . . . . . : 10.0.0.2
顯示DHCP服務器為 192.168.100.1 為剛才設置的DHCP代理。
實驗第二部分配置完成後的ip說明圖
Vlan 2 (黑色 sales) ip: 192.168.2.1-192.168.2.254 Vlan 3 (紅色 manag) ip: 192.168.3.1-192.168.3.254 Vlan 4 (綠色 server) ip: 192.168.4.1-192.168.4.254
Pc1- 4是用dynamips 模擬出來虛擬機 只能進行設置ip 和進行簡單的ping等操作Virtual pc 則是用windows virtual pc 模擬出來的,可以是xp或者是windows server 2003
實驗第三部分:
該部分將實現對各個vlan通過ACL控制其訪問權限,並且在交換機的F0/3上通過p0/3連接一台virtual pc (windows server 2003, 它上面安裝了 ftp,web服務),然後通過指定端口映射,將服務器發的發佈到外網(10.0.0.0/8網段,真實電腦所在的網段),為交換機設置管理ip。
P0/1-3表示虛擬網卡(Microsoft Loopback Adapter)它使得virtual pc能和模擬出來的交換機之間可以相互通信。
連接圖和交換機端口如下圖所示:
Vlan 2 (黑色 sales 銷售) Pc1: 192.168.2.11 Pc2: 192.168.2.12 Pc4: 192.168.2.14 Vlan 3 (紅色 manag 經理) P0/1 : 192.168.3.254 Pc3: 192.168.3.13 Vlan 4 (綠色 server 服務器,p0/2上連接的是財務電腦) Server ip: 192.168.4. 2/24 財務電腦ip:192.168.4.14/24
1.ACL設置
1.1
要求:除了vlan 4中財務電腦其他電腦都能訪問Internet;客戶端只有服務器電腦能telnet到路由器。
R-nat(config)#access-list 101 permit tcp host 192.168.4.2 host 192.168.4.14 eq 23 log R-nat(config)#access-list 101 deny tcp 192.168.0.0 0.0.7.255 host 192.168.4.14 eq 23 log R-nat(config)#int e0/0 //只允許服務器telnet 路由器 R-nat(config-if)#ip access-group 101 in //到路由器內部端口
交換機
DL-3-L(config)#access-list 10 deny host 192.168.4.14 //拒絕財務電腦 DL-3-L(config)#int vlan 1 DL-3-L(config-if)#ip access-group 10 out //應用到和路由器相連端口
//本來還打算使用自反訪問控制列表的,不過研究了半天沒有弄太清楚!!等有機會在研究了
2.通過端口映射發佈簡單服務器
將virtual pc windows server 2003 (安裝www,ftp服務)通過p0/3網卡和交換機AS-2,
ip地址為:192.168.4.2 網關:192.168.2.1 dns:10.0.0.2
路由器設設置:
R-nat(config)# ip nat inside source static tcp 192.168.4.2 80 10.0.0.254 80 //發佈www R-nat(config)# ip nat inside source static tcp 192.168.4.2 21 10.0.0.254 21 //發佈ftp
備註 常用協議及其端口
Tcp: telnet 23 smtp 25 http 80 ftp 21 dns 53 https 443 pop3 110 Udp: snmp 161 tftp 69 dns 53 Icmp: ping
幾條常用的NAT命令:
clear ip nat translation * 清除NAT轉換表中的所有條目 clear ip nat translation inside local-ip global-ip 清除包含內部轉換的簡單轉換條目 clear ip nat translation outside local-ip global-ip 清除包含外部轉換的簡單轉換條目
註:大家在配置好動態NAT轉換後,如果想清除掉NAT 的配置,直接用NO命令有些時候會出現提示,說你的NAT正在使用中,這個時候,我們通常要去用clear ip nat tran *命令來清除掉NAT的轉換條目後,再回來清除掉整個NAT的配置,就可以了。
3.為交換機設置管理ip,實現跨交換機telnet
為了方便記憶,我們在三層交換機上設置一個專門的管理vlan 110 name admin(默認情況是vlan 1)
這個vlan的ip地址段式 192.168.0.0/24
三層交換機配置:
DL-3-S(vlan)#vlan 110 name admin //創建管理vlan DL-3-S(vlan)#exit …….. DL-3-S(config)#int vlan 110 DL-3-S(config-if)#ip address 192.168.0.1 255.255.255.0 //設置管理ip地址,其實這個可以不設置
客戶端可以起通過telnet其他vlan三層ip實現管理
交換機配置
AS-1(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.1 //為該交換機vlan設置默認路由,指向三 AS-1(config)#int vlan 110 層交換機對應的vlan ip,網上最流行的一AS-1(config-if)#ip address 192.168.0.2 255.255.255.0 個教材就是 為二次交換機設置默認網關, ……. 在我的實驗中是沒有成功的,有的資料上 說設置默認網關和設置默認路由是一樣的功能(可能是虛擬機的問題) AS-2(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.1 AS-2(config)#int vlan 110 AS-2(config-if)#ip address 192.168.0.3 255.255.255.0
驗證配置:
這個時候啟動AS-2交換機上的virtual pc(ip:192.168.4.2/24),就能夠成功telnet到AS-1上。
還有個比較怪異的方法,就是如果你不在2層交換機上配置默認路由,客戶端可以先telnet到三層交換機的192.168.4.1上(就是你客戶端電腦的默認網關),然後再用一次telnet到AS-1的管理ip上。因為這個時候客戶端雖然不能和二層交換機管理ip通信,但是三個交換機的管理ip是可以相互通信的。
