基于cisco 模拟公司网络拓扑

基本功能：
1.vlan划分：将每个部门划分成一个vlan，相互隔离广播域与冲突域。
2.Dhcp分配地址：在三层交换机为每个vlan配置dhcp，每个部门可动态获取自己网段的ip。
3.三层交换机保证不同vlan之间的通信。
4.server0可当做内网服务器，内网ip为172.16.100.1，同时作为DNS域名解析服务器。将内网服务 www.123.c om 转换为172.16.100.1 。将外网服务器baidu.c om（模拟百度服务器）转换为8.8.8.8 。
5.内部用户和外部用户均可通过www.123.com访问公司web服务器
6.Route0充当边界路由，与外网连接。通过nat，将内网ip转换为外网共有ip。互联网出口地址为64.1.1.1/29，ISP网关为64.1.1.6 。
额外功能：
Acl包过滤实现权限控制：
1.除研发部门外，所有部门均可上互联网
2.禁止技术部和销售部的互访，其他部门间要互联互通
3.技术部PC可管理二层及三层交换机，且只允许技术部PC管理。

实验拓扑：

基本配置：

二层交换机：

配置比较简单，在二层交换上配置vlan20 vlan30 vlan40 分别与对应端口绑定。Fa0/24设置为trunk口。
Vlan20
Vlan30
Vlan40
!
interface FastEthernet0/1
switchport access vlan 20
!
interface FastEthernet0/2
switchport access vlan 30
!
interface FastEthernet0/3
switchport access vlan 40
!
!
interface FastEthernet0/24
switchport mode trunk
!

三层交换机：
在三层交换创建vlan10 vlan20 vlan30 vlan40 vlan100。设置相应的配置：
Vlan10
Vlan20
Vlan30
Vlan40
Vlan100
!
interface FastEthernet0/1
no switchport
ip address 192.168.1.1 255.255.255.0
!
!
interface FastEthernet0/10
no switchport
ip address 172.16.100.254 255.255.255.0
!
interface FastEthernet0/23
switchport access vlan 10
!
interface FastEthernet0/24
switchport trunk encapsulation dot1q
switchport mode trunk
!
为每个vlan配置主机的网关：
!
interface Vlan10
ip address 192.168.10.254 255.255.255.0
!
!
interface Vlan20
ip address 192.168.20.254 255.255.255.0
!
!
interface Vlan30
ip address 192.168.30.254 255.255.255.0
!
!
interface Vlan40
ip address 192.168.40.254 255.255.255.0
!

为每个vlan配置dhcp：(命令可直接复制)
!
ip dhcp pool vlan10
network 192.168.10.0 255.255.255.0
default-router 192.168.10.254
dns-server 172.16.100.1
!
!
ip dhcp pool vlan20
network 192.168.20.0 255.255.255.0
default-router 192.168.20.254
dns-server 172.16.100.1
!
!
ip dhcp pool vlan30
network 192.168.30.0 255.255.255.0
default-router 192.168.30.254
dns-server 172.16.100.1
!
!
ip dhcp pool vlan40
network 192.168.40.0 255.255.255.0
default-router 192.168.40.254
dns-server 172.16.100.1
!
最后开启路由功能：ip routing (千万不要忘记，不然无法通信)

服务器配置，这个服务器充当dns服务器也充当内部服务器。
基本的ip配置：

添加两条配置dns：
服务器的内容可在http中添加html文件。

此时每个部门的pc设置成DHCP就可以获取地址，且每个部门可以通信，也可以与内部服务器连通。

与外网连接配置

此时内网的基本配置完成，开始配置NAT与外网连接。
三层交换机：
先在三层交换机配置一条默认路由，将往外网的数据丢给边界路由。注意：默认路由一台设备只能向一个方向，不能配两个方向的默认路由，不然会丢包。
ip route 0.0.0.0 0.0.0.0 192.168.1.2

边界路由器(route0)的配置：
先配置接口的地址：
Ena
Conf t
interface FastEthernet0/0
ip address 64.1.1.1 255.255.255.248
!
interface FastEthernet0/1
ip address 192.168.1.2 255.255.255.0
!
配置nat：
先用acl配置感兴趣流：
access-list 5 permit 192.168.0.0 0.0.255.255
创建nat池：
ip nat pool ck 64.1.1.2 64.1.1.5 netmask 255.255.255.0
将nat池与acl关联：
ip nat inside source list 5 pool ck overload
配置出入接口：
interface FastEthernet0/0
Ip nat outside
interface FastEthernet0/1
Ip nat inside
再配置一条默认路由，将数据包丢给isp：
ip route 0.0.0.0 0.0.0.0 64.1.1.6
再配置回去的路由：
ip route 192.168.0.0 255.255.0.0 192.168.1.1
ip route 172.16.100.0 255.255.255.0 192.168.1.1

此时内网基础配置基本完成，外网在实际中不需我们配置，只要你买了公网地址，接入到isp就可以上网，现在是实验，对外网做个简单的配置。

Isp路由器：
!
interface FastEthernet0/0
ip address 64.1.1.6 255.255.255.248
!
interface FastEthernet0/1
ip address 8.8.8.254 255.255.255.0
!
Baidu服务器基本配置：

外部人员user pc：

基本功能已完成：
内外访问外网：

额外功能

在上面的前提添加一些功能：
①让外网pc可以通过www.123.com访问我们内网的服务器。
只需在边界路由器(route0)配置一条静态nat：
ip nat inside source static 172.16.100.1 64.1.1.2
将公网ip：64.1.1.2与172.16.100.1绑定，当别人访问64.1.1.2时，边界路由会将其目标地址转换为172.16.100.1 。

②除研发部门外，所有部门均可上互联网
只需在边界路由设置一个acl包过滤就可以了。
创建acl规则：
access-list 10 deny 192.168.10.0 0.0.0.255
access-list 10 permit any
在f0/1接口调用：
ip access-group 10 in
此时研发部上不了外网，只可以上内网。

③禁止技术部和销售部的互访，其他部门间要互联互通
需要创建一个高级acl（100以上），过滤源ip为技术部，目标ip为销售部。
创建acl：
access-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 100 permit ip any any
在vlan20中调用：
int vlan 20
ip access-group 100 in
此时技术部和销售部不能通信：

④技术部PC可管理二层及三层交换机，且只允许技术部PC管理。
创建telnet远程控制，且设置acl过滤。
控制三层交换配置：
创建acl：access-list 20 permit 192.168.20.0 0.0.0.255
创建telnet并设置登录密码123，然后调用acl：
line vty 0 4
password 123
access-class 20 in
Exit
enable password 123
然后技术部可以远程控制三层交换机，而其他部门不可以：
技术部Telnet 网关：（因为它的网关在三层交换机上）

非技术部：

二层交换机：
因为二层交换机上不能直接配置ip，所以我们在二层和三层交换机再创建一个vlan50，再二层交换机的vlan50中添加ip地址，并设置默认网关。
三层交换机创建vlan50
Ena
Conf t
Vlan 50
int vlan 50
ip add 192.168.50.254 255.255.255.0
二层交换机创建vlan50并配置ip地址和网关：
Ena
Conf t
vlan 50
int vlan 50
ip add 192.168.50.1 255.255.255.0
Exit
ip default-gateway 192.168.50.254
再配置telnet和acl：
access-list 40 permit 192.168.20.0 0.0.0.255
line vty 0 4
password 123
access-class 40 in
exit
enable password 123

此时技术部pc可以控制二层交换机：

其他部门不可以控制：