本次拓扑实验需求:
1、内网地址用DHCP
2、VLAN10不能访问外网
3、使用静态NAT
实验用到的技术有DHCP、划分VLAN、IP配置、VLAN间的通信:单臂路由、VLANIF,静态NAT、基本ACL
DHCP是一种用于自动分配IP地址和其他网络参数的协议。
划分VLAN可以降低广播域,提高网络的可管理性、安全性和效率
单臂路由可以实现不同VLAN间的路由功能,而无需为每个VLAN配置单独的物理接口。
VLAN间的通信:路由器无法处理三层转发,无法剥离VLAN的标签
基本ACL能够对网络进行流量过滤实现网络的访问控制和安全管理
静态NAT能够使私网地址映射到公网地址,实现内网与外网的通信
一、实验首先要将PC端的DHCP开启并设置Server1的IP地址
二、然后进行交换机上的配置,给PC1和PC2划分到VLAN10中,PC3和PC4划分到VLAN20
LSW2
<Huawei>sys //进入系统视图
[Huawei]undo info-center enable //关闭输出信息
[Huawei]sysname LSW2 //更改设备名称
[LSW2]vlan batch 10 //创建VLAN10
[LSW2]interface e0/0/1 //进入接口
[LSW2-Ethernet0/0/1]port link-t access //设置接口的类型为access
[LSW2-Ethernet0/0/1]port default vlan 10 //将接口划入VLAN10
[LSW2-Ethernet0/0/1]interface e0/0/2
[LSW2-Ethernet0/0/2]port link-t access
[LSW2-Ethernet0/0/2]port default vlan 10
[LSW2-Ethernet0/0/2]interface e0/0/3
[LSW2-Ethernet0/0/3]port link-t trunk //设置接口的类型为trunk
[LSW2-Ethernet0/0/3]port trunk allow-pass vlan 10 //允许VLAN10通过接口
LSW3
<Huawei>sys
[Huawei]undo info-center enable
[Huawei]vlan batch 20
[Huawei]sysname LSW3
[LSW3]interface e0/0/1
[LSW3-Ethernet0/0/1]port link-t access
[LSW3-Ethernet0/0/1]port default vlan 20
[LSW3-Ethernet0/0/1]interface e0/0/2
[LSW3-Ethernet0/0/2]port link-t access
[LSW3-Ethernet0/0/2]port default vlan 20
[LSW3-Ethernet0/0/2]interface e0/0/3
[LSW3-Ethernet0/0/3]port link-t trunk
[LSW3-Ethernet0/0/3]port trunk allow-pass vlan 20
LSW1
<Huawei>sys
[Huawei]undo info-center enable
[Huawei]sysname LSW1
[LSW1]vlan batch 10 20
[LSW1]interface g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-t trunk //设置接口的类型为trunk
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all //允许所有的VLAN通过
[LSW1-GigabitEthernet0/0/1]interface g0/0/2
[LSW1-GigabitEthernet0/0/2]port link-t trunk
[LSW1-GigabitEthernet0/0/2]port trunk allow-pass vlan all
[LSW1-GigabitEthernet0/0/2]interface g0/0/3
[LSW1-GigabitEthernet0/0/3]port link-t trunk
[LSW1-GigabitEthernet0/0/3]port trunk allow-pass vlan all
三、划分完VLAN和设置接口类型,就在LSW1上面设置VLANIF和DHCP
[LSW1]dhcp enable //开启DHCP服务
[LSW1]int vlan 10 //创建VLANIF10
[LSW1-Vlanif10]ip add 192.168.10.254 24 //配置IP
[LSW1-Vlanif10]dhcp select interface //配置接口地址池
[LSW1-Vlanif10]dhcp server dns-list 114.114.114.114 //配置分配的DNS服务器地址
[LSW1-Vlanif10]int vlan 20
[LSW1-Vlanif20]ip add 192.168.20.254 24
[LSW1-Vlanif20]dhcp select interface
[LSW1-Vlanif20]dhcp server dns-list 114.114.114.114
设置完DHCP后我们可以查看一下PC端是否有IP
可以看到两边的VLAN都有IP了
四、然后开始设置路由,给G0/0/0接口设置两个子接口做单臂路由
<Huawei>sys
[Huawei]undo info-center enable
[Huawei]sysname R1
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]undo shutdown //打开接口
[R1-GigabitEthernet0/0/0]quit
[R1]interface g0/0/0.10 创建子接口G0/0/0.10
[R1-GigabitEthernet0/0/0.10]dot1q termination vid 10 //配置Dot1q终结VLAN10,配置此命令后,该接口就可以剥离tag标签为VLAN10的数据帧,在发生数据帧的时候打上VLAN10的tag标签
[R1-GigabitEthernet0/0/0.10]ip add 192.168.10.254 24 //配置IP
[R1-GigabitEthernet0/0/0.10]arp broadcast enable //开启ARP广播功能
[R1-GigabitEthernet0/0/0.10]interface g0/0/0.20
[R1-GigabitEthernet0/0/0.20]dot1q termination vid 20
[R1-GigabitEthernet0/0/0.20]ip add 192.168.20.254 24
[R1-GigabitEthernet0/0/0.20]arp broadcast enable
五、然后设置G0/0/1的IP并配置NAT
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]ip add 100.1.1.1 24
[R1-GigabitEthernet0/0/1]nat static global 100.1.1.3 inside 192.168.10.0
//将私网网段192.168.10.0转换成公网IP地址100.1.1.3
[R1-GigabitEthernet0/0/1]nat static global 100.1.1.4 inside 192.168.20.0
进行测试看PC端是否能ping通Server
六、可以看到VLAN10和VLAN20都可以连通外网,接下来进行ACL设置,使VLAN10无法连通Server
[R1]acl 2000 //创建ACL
[R1-acl-basic-2000]rule 10 deny source 192.168.10.0 0.0.0.255 //拒绝192.168.10.0 的网段通过
[R1-acl-basic-2000]quit
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 在G0/0/0的入接口进行匹配,匹配到ACL2000的流量执行过滤动作
测试一下,VLAN10 无法连通Server
