本次拓撲實驗需求:
1、內網地址用DHCP
2、VLAN10不能訪問外網
3、使用靜態NAT
實驗用到的技術有DHCP、劃分VLAN、IP配置、VLAN間的通信:單臂路由、VLANIF,靜態NAT、基本ACL
DHCP是一種用于自動分配IP地址和其他網絡參數的協議。
劃分VLAN可以降低廣播域,提高網絡的可管理性、安全性和效率
單臂路由可以實現不同VLAN間的路由功能,而無需為每個VLAN配置單獨的物理接口。
VLAN間的通信:路由器無法處理三層轉發,無法剝離VLAN的標簽
基本ACL能夠對網絡進行流量過濾實現網絡的訪問控制和安全管理
靜態NAT能夠使私網地址映射到公網地址,實現內網與外網的通信
一、實驗首先要將PC端的DHCP開啟并設置Server1的IP地址
二、然后進行交換機上的配置,給PC1和PC2劃分到VLAN10中,PC3和PC4劃分到VLAN20
LSW2
<Huawei>sys???//進入系統視圖
[Huawei]undo info-center enable???//關閉輸出信息
[Huawei]sysname LSW2????//更改設備名稱
[LSW2]vlan batch 10?????//創建VLAN10
[LSW2]interface e0/0/1???//進入接口
[LSW2-Ethernet0/0/1]port link-t access???//設置接口的類型為access
[LSW2-Ethernet0/0/1]port default vlan 10???//將接口劃入VLAN10
[LSW2-Ethernet0/0/1]interface e0/0/2
[LSW2-Ethernet0/0/2]port link-t access
[LSW2-Ethernet0/0/2]port default vlan 10
[LSW2-Ethernet0/0/2]interface e0/0/3
[LSW2-Ethernet0/0/3]port link-t trunk?????//設置接口的類型為trunk
[LSW2-Ethernet0/0/3]port trunk allow-pass vlan 10???//允許VLAN10通過接口
LSW3
<Huawei>sys
[Huawei]undo info-center enable
[Huawei]vlan batch 20
[Huawei]sysname LSW3
[LSW3]interface e0/0/1
[LSW3-Ethernet0/0/1]port link-t access
[LSW3-Ethernet0/0/1]port default vlan 20
[LSW3-Ethernet0/0/1]interface e0/0/2
[LSW3-Ethernet0/0/2]port link-t access
[LSW3-Ethernet0/0/2]port default vlan 20
[LSW3-Ethernet0/0/2]interface e0/0/3
[LSW3-Ethernet0/0/3]port link-t trunk
[LSW3-Ethernet0/0/3]port trunk allow-pass vlan 20
LSW1
<Huawei>sys
[Huawei]undo info-center enable
[Huawei]sysname LSW1
[LSW1]vlan batch 10 20
[LSW1]interface g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-t trunk???//設置接口的類型為trunk
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all??//允許所有的VLAN通過
[LSW1-GigabitEthernet0/0/1]interface g0/0/2
[LSW1-GigabitEthernet0/0/2]port link-t trunk
[LSW1-GigabitEthernet0/0/2]port trunk allow-pass vlan all
[LSW1-GigabitEthernet0/0/2]interface g0/0/3
[LSW1-GigabitEthernet0/0/3]port link-t trunk
[LSW1-GigabitEthernet0/0/3]port trunk allow-pass vlan all
三、劃分完VLAN和設置接口類型,就在LSW1上面設置VLANIF和DHCP
[LSW1]dhcp enable????//開啟DHCP服務
[LSW1]int vlan 10????//創建VLANIF10
[LSW1-Vlanif10]ip add 192.168.10.254 24??//配置IP
[LSW1-Vlanif10]dhcp select interface ???//配置接口地址池
[LSW1-Vlanif10]dhcp server dns-list 114.114.114.114???//配置分配的DNS服務器地址
[LSW1-Vlanif10]int vlan 20
[LSW1-Vlanif20]ip add 192.168.20.254 24
[LSW1-Vlanif20]dhcp select interface
[LSW1-Vlanif20]dhcp server dns-list 114.114.114.114
設置完DHCP后我們可以查看一下PC端是否有IP
可以看到兩邊的VLAN都有IP了
四、然后開始設置路由,給G0/0/0接口設置兩個子接口做單臂路由
<Huawei>sys
[Huawei]undo info-center enable
[Huawei]sysname R1
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]undo shutdown???//打開接口
[R1-GigabitEthernet0/0/0]quit
[R1]interface g0/0/0.10????創建子接口G0/0/0.10
[R1-GigabitEthernet0/0/0.10]dot1q termination vid 10?//配置Dot1q終結VLAN10,配置此命令后,該接口就可以剝離tag標簽為VLAN10的數據幀,在發生數據幀的時候打上VLAN10的tag標簽
[R1-GigabitEthernet0/0/0.10]ip add 192.168.10.254 24???//配置IP
[R1-GigabitEthernet0/0/0.10]arp broadcast enable??//開啟ARP廣播功能
[R1-GigabitEthernet0/0/0.10]interface g0/0/0.20
[R1-GigabitEthernet0/0/0.20]dot1q termination vid 20
[R1-GigabitEthernet0/0/0.20]ip add 192.168.20.254 24
[R1-GigabitEthernet0/0/0.20]arp broadcast enable
五、然后設置G0/0/1的IP并配置NAT
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]ip add 100.1.1.1 24
[R1-GigabitEthernet0/0/1]nat static global 100.1.1.3 inside 192.168.10.0
//將私網網段192.168.10.0轉換成公網IP地址100.1.1.3
[R1-GigabitEthernet0/0/1]nat static global 100.1.1.4 inside 192.168.20.0
進行測試看PC端是否能ping通Server
六、可以看到VLAN10和VLAN20都可以連通外網,接下來進行ACL設置,使VLAN10無法連通Server
[R1]acl 2000?????//創建ACL
[R1-acl-basic-2000]rule 10 deny source 192.168.10.0 0.0.0.255???//拒絕192.168.10.0 的網段通過
[R1-acl-basic-2000]quit
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000???在G0/0/0的入接口進行匹配,匹配到ACL2000的流量執行過濾動作
測試一下,VLAN10 無法連通Server
)
)
