相关学习文章:
【中小型企业网络实战案例 一】规划、需求和基本配置
【中小型企业网络实战案例 二】配置网络互连互通
【中小型企业网络实战案例 三】配置DHCP动态分配地址
【中小型企业网络实战案例 四】配置OSPF动态路由协议
【中小型企业网络实战案例 五】配置可靠性和负载分担
【中小型企业网络实战案例 六】配置链路聚合
【中小型企业网络实战案例 七】配置限速
配置映射内网服务器
随着业务的发展,内网的WWW服务器和FTP文件服务器不能仅限于内网用户访问,对外也要提供服务,公网和内网用户都要通过公网地址来访问服务器提供的服务。
1.配置内部服务器,使公网用户通过公网地址访问内网服务器。
[Router] interface GigabitEthernet 0/0/0
[Router-GigabitEthernet0/0/0] nat server protocol tcp global current-interface www inside 192.168.50.20 www
Warning:The port 80 is well-known port. If you continue it may cause function failure.
Are you sure to continue?[Y/N]:y
[Router-GigabitEthernet0/0/0] nat server protocol tcp global current-interface ftp inside 192.168.50.10 ftp
[Router-GigabitEthernet0/0/0] quit
2.由于FTP是一个多通道协议,需要在出口路由器使能ALG功能。
[Router] nat alg ftp enable
3.配置内网用户使用公网地址访问内网服务器。
[Router] acl 3333
[Router-acl-adv-3333] rule permit ip source 192.168.10.0 0.0.0.255 destination 203.0.113.0 0.0.0.0
[Router-acl-adv-3333] rule permit ip source 192.168.20.0 0.0.0.255 destination 203.0.113.0 0.0.0.0
[Router-acl-adv-3333] quit
4.在内网接口做NAT转换。
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] nat outbound 3333
[Router] interface GigabitEthernet 0/0/2
[Router-GigabitEthernet0/0/2] nat outbound 3333
[Router-GigabitEthernet0/0/2] quit
5.分别在内网接口下面做内部服务器映射。
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] nat server protocol tcp global interface GigabitEthernet 0/0/0 www inside 192.168.50.20 www
[Router-GigabitEthernet0/0/1] nat server protocol tcp global interface GigabitEthernet 0/0/0 ftp inside 192.168.50.10 ftp
[Router-GigabitEthernet0/0/1] quit
内网接口GigabitEthernet0/0/2的配置同上。
配置公网多出口
刚开始企业在运营商只申请了一条链路,随着业务的发展,一条链路不能满足企业的网络带宽,需要在原有链路的基础上再申请一条链路,由原来的单出口改为双出口,对内网不同的网段进行控制让其走指定的链路上网。
配置GigabitEthernet0/0/10通过PPPoE拨号上网。
配置策略路由实现不同网段通过不同运营商上网。
1.配置需要进行NAT的ACL。
[Router] acl 2015
[Router-acl-basic-2015] rule permit source 192.168.10.0 0.0.0.255
[Router-acl-basic-2015] rule permit source 192.168.20.0 0.0.0.255
[Router-acl-basic-2015] quit
2.配置拨号访问控制列表。
[Router] dialer-rule
[Router-dialer-rule] dialer-rule 1 ip permit
[Router-dialer-rule] quit
3.配置拨号接口。
[Router] interface Dialer 0
[Router-Dialer0] ip address ppp-negotiate
[Router-Dialer0] ppp chap user Router
[Router-Dialer0] ppp chap password cipher Router@123
[Router-Dialer0] dialer user user
[Router-Dialer0] dialer bundle 1
[Router-Dialer0] dialer-group 1
[Router-Dialer0] ppp ipcp dns request
[Router-Dialer0] ppp ipcp dns admit-any
[Router-Dialer0] quit
4.配置使用接口IP地址进行NAT转换。
[Router] interface Dialer 0
[Router-Dialer0] nat outbound 2015
[Router-Dialer0] quit
5.配置TCP最大报文段长度为1200,如果使用默认的1460可能会出现访问网站慢的情况。
[Router] interface Dialer 0
[Router-Dialer0] tcp adjust-mss 1200
[Router-Dialer0] quit
6.在连接运营商线路的物理接口启用PPPoE功能。
[Router] interface GigabitEthernet 0/0/10
[Router-GigabitEthernet0/0/10] pppoe-client dial-bundle-number 1
[Router-GigabitEthernet0/0/10] quit
7.配置到公网的缺省静态路由,指定出接口为Dialer 0。
[Router] ip route-static 0.0.0.0 0 Dialer 0
8.配置ACL匹配数据流,需要把内网互访的数据流不要做重定向。
[Router] acl 3000
[Router-acl-adv-3000] rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
[Router-acl-adv-3000] rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
[Router-acl-adv-3000] quit
[Router] acl 3001
[Router-acl-adv-3001] rule permit ip source 192.168.10.0 0.0.0.255
[Router-acl-adv-3001] quit
[Router] acl 3002
[Router-acl-adv-3002] rule permit ip source 192.168.20.0 0.0.0.255
[Router-acl-adv-3002] quit
9.配置流分类c0、c1和c2,分别匹配ACL3000、ACL3001和ACL3002。
[Router] traffic classifier c0
[Router-classifier-c0] if-match acl 3000
[Router-classifier-c0] quit
[Router] traffic classifier c1
[Router-classifier-c1] if-match acl 3001
[Router-classifier-c1] quit
[Router] traffic classifier c2
[Router-classifier-c2] if-match acl 3002
[Router-classifier-c2] quit
10.配置流行为,对内网互访的数据流不做重定向操作,对内网192.168.10.0网段的数据重定向到下一跳1.1.1.1,对内网192.168.20.0网段的数据重定向到出接口Dialer0。
[Router] traffic behavior b0
[Router-behavior-b0] permit
[Router-behavior-b0] quit
[Router] traffic behavior b1
[Router-behavior-b1] redirect ip-nexthop 1.1.1.1
[Router-behavior-b1] quit
[Router] traffic behavior b2
[Router-behavior-b2] redirect interface Dialer 0
[Router-behavior-b2] quit
11.配置流策略,分别将流分类和流行为组合起来。
[Router] traffic policy test
[Router-trafficpolicy-test] classifier c0 behavior b0
[Router-trafficpolicy-test] classifier c1 behavior b1
[Router-trafficpolicy-test] classifier c2 behavior b2
[Router-trafficpolicy-test] quit
12.将流策略应用到出口路由器互联内网交换机的接口。
[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] traffic-policy test inbound
[Router-GigabitEthernet0/0/1] quit
[Router] interface GigabitEthernet 0/0/2
[Router-GigabitEthernet0/0/2] traffic-policy test inbound
[Router-GigabitEthernet0/0/2] quit
配置完策略路由之后,内网192.168.10.0网段的数据访问互联网走的是GigabitEthernet0/0/0接口,而192.168.20.0网段的数据访问互联网走的是GigabitEthernet0/0/10接口,通过PPPoE拨号上网。
业务验证和保存配置
业务验证
1.从两个部门内各选一台PC进行ping测试,验证部门之间通过VLANIF实现三层互通是否正常。以部门A和部门B为例, PC1和PC2是通过CORE1(或CORE2)实现三层互通的。如果PC1和PC2之间互ping测试正常则说明三层互通正常。
<PC1> ping 192.168.20.254 //假设PC2通过DHCP自动获取的IP地址为192.168.20.254
PING 192.168.20.254 data bytes, press CTRL_C to break
Reply from 192.168.20.254 : bytes=56 Sequence=1 ttl=253 time=62 ms
Reply from 192.168.20.254 : bytes=56 Sequence=2 ttl=253 time=16 ms
Reply from 192.168.20.254 : bytes=56 Sequence=3 ttl=253 time=62 ms
Reply from 192.168.20.254 : bytes=56 Sequence=4 ttl=253 time=94 ms
Reply from 192.168.20.254 : bytes=56 Sequence=5 ttl=253 time=63 ms
--- 192.168.20.254 ping statistics ---
5 packet(s) transmitted
5 packet(s) received //能Ping通,说明PC1与PC2之间三层互通正常
2.部门内部选两台PC进行ping测试,验证部门内部二层互通是否正常。部门A的用户是通过ACC1实现二层互通的。如果部门A的用户之间互ping测试正常则说明部门A内二层互通正常。ping测试命令与步骤1类似。
3.每个部门各选一台PC进行ping公网地址测试,验证公司内网用户访问Internet是否正常。以部门A为例,一般可以通过在PC1上ping公网网关地址(即与出口路由器对接的运营商设备的IP地址)来验证是否可以访问Internet,如果ping测试正常则说明内网用户访问Internet正常。ping测试命令与步骤1类似。
保存配置
通过命令行配置的数据是临时性的。如果不保存,交换机重启后这些配置都会丢失。
如果要使当前配置在交换机重启后仍然有效,需要将当前配置保存为配置文件。
以CORE1为例:
<CORE1> save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Now saving the current configuration to