您的位置: 首页  >  文章  >  安全HCIP之两层架构综合实战

安全HCIP之两层架构综合实战

分类: 文章 2024-04-26 12:44:29

两层架构综合:

安全HCIP之两层架构综合实战

两层架构综合实战需求:

  • 1企业内网划分多个vlan,减少广播域大小,提高网络稳定性;
  • 2用户的网关配置在核心交换机;
  • 3所有用户均可自动获取IP地址;
  • 4出口配置NAT;
  • 5在企业出口将内网服务器的80端口映射出去,允许外网用户访问;
  • 6企业财务服务器,不允许(vlan 30)的员工访问,并禁止192.168.10.200的用户访问外网;
  • 7所有设备,在任何位置都可以telnet远程管理;
  • 8配置vlan的修剪,以减少广播发送的范围,进一步提升网络的稳定性;

注意:基础IP配置略。。。

配置从内网开始配置

首先是[SW2](接入层交换机,二层)

划分用户vlan:

[SW2]vlan batch 10 20 //创建vlan 10 和 vlan 20
[SW2]q
[SW2]interface e0/0/1
[SW2-Ethernet0/0/1]port link-type access //设置为access口
[SW2-Ethernet0/0/1]port default vlan 10 //将接口划到vlan 10

同样的步骤将e0/0/2划入vlan 20;
然后是将e0/0/3设置成trunk口:

[SW2]interface e0/0/3
[SW2-Ethernet0/0/3]interface link-type trunk //将接口设置为trunk口
[SW2-Ethernet0/0/3]port trunk allow-pass vlan all //运行所有vlan通过

至此SW2配置完成;

然后是[SW3](接入层交换机,二层)

SW3接入的是数据中心,vlan划分在100
[SW3]vlan 100 //创建vlan 100
[SW3]port-group group-member e0/0/1 to e0/0/2 //同时对多个接口做配置
[SW3-port-group]port link-type access
[SW3-port-group]port default vlan 10
同SW2,将e0/03口设为trunk口,运行所有vlan通过
至此SW3配置完成。

再来配置[SW1](核心交换机,三层)

SW1是核心交换机,当中三层设备使用,作为用户和服务器网关,对接出口路由;
[SW1]port-group group-member g0/0/1 to g0/0/2
[SW1-port-group]port link-type trunk
[SW1-port-group]port trunk allow-pass vlan all // 同样允许所有vlan通过

配置网关:

[SW1]vlan 10
[SW1-vlan10]q
[SW1]interface vlan 10
[SW1-Vlanif10]ip address 192.168.10.1 24 //配置vlan 10网关
[SW1]vlan 20
[SW1-vlan20]q
[SW1]interface vlan 20
[SW1-Vlanif20]ip address 192.168.20.1 24 //配置vlan 20网关
[SW1]vlan 100
[SW1-vlan100]q
[SW1]interface vlan 100
[SW1-Vlanif100]ip address 192.168.20.1 24 //配置vlan 100网关

至此核心交换机网关配置完成,完成了第二点需求

接下来配置用户自动获取IP地址

在[SW1]核心交换机上配置DHCP,也就是用户网关;
第一步启用DHCP协议:

[SW1]DHCP enable

首先给vlan 10配置DHCP:

[SW1]ip pool v10 //建立vlan 10网络地址池
[SW1-ip-pool-v10]network 192.168.10.0 mask 24 //确定地址池范围
[SW1-ip-pool-v10]gateway-list 192.168.10.1 //指定网关
[SW1-ip-pool-v10]dns-list 114.114.114.114 8.8.8.8 //指定DNS服务器

然后给vlan 20配置DHCP:

[SW1]ip pool v20
[SW1-ip-pool-v20]network 192.168.20.0 mask 24
[SW1-ip-pool-v20]gateway-list 192.168.20.1
[SW1-ip-pool-v20]dns-list 114.114.114.114 8.8.8.8

将vlan 10 和vlan 20分别启动DHCP服务:
vlan 10:

[SW1]interface Vlanif 10
[SW1-Vlanif10]dhcp select global

vlan 20:

[SW1]interface Vlanif 20
[SW1-Vlanif20]dhcp select global

到这里PC1和PC2已经获取到了地址,并且能够互相通信;
至此用户动态获取IP地址已经成功,完成了第三点需求

出口配置NAT:

第一点:首先核心交换机和出口路由器R2直连的接口我们划分到vlan 800,并且配置IP,再将g0/0/3口划入vlan 800:

[SW1]vlan 800
[SW1-vlan800]q
[SW1]int vlan 800
[SW1-Vlanif800]ip address 192.168.254.3 24 //vlan 800配置地址
[SW1-Vlanif800]q
[SW1]int g0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 800

第二点:配置默认路由:
核心交换机SW1:

[SW1]ip route-static 0.0.0.0 0 192.168.254.1

出口路由器R2:

[R2]ip route-static 0.0.0.0 0 12.1.1.6 //出包路由
注意:这条路由是必不可少的;
R2还需要一个回包路由:
[R2]ip route-static 192.168.0.0 16 192.168.254.3 //回包路由

到此我们的用户已经能够和出口路由器R2进行通信了,但是还不能访问外网,因为我们的NAT还没有做,接下来进入NAT的配置,使得我们的用户可以访问外网;

[R2]acl 2000
[R2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[R2-acl-basic-2000]q
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]nat outbound 2000

至此我们192.168.0.0网段的用户已经能够访问外网了,完成了需求第四点

在企业出口将内网服务器的80端口映射出去,允许外网用户访问

[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]nat server protocol tcp global 12.1.1.2 80 inside 192.168.100.100 80

至此现在外网的Client1已经成功访问我们Web服务器了,完成了需求的第五点

企业财务服务器,不允许(vlan 20)的员工访问,并禁止192.168.10.200的用户访问外网

[SW1]acl 3000
[SW1-acl-adv-3000]rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.100.200 0
[SW1-acl-adv-3000]q
[SW1]traffic-filter vlan 100 outbound acl 3000

此时vlan 20的员工已经不能访问财务服务器了;

[R2]acl 2000
[R2-acl-basic-2000]rule 1 deny source 192.168.10.200 0 //这里设置序号为1,因为之前我们设置了一个NAT服务时,那个acl默认***是5,acl是按顺序执行的,再不理解的话百度一下ACL的工作原理,这里不再赘述;
同时g0/0/0口已经设置了acl 2000了,所以设置之后就自动生效了,不用重新进入接口再设置;

至此完成vlan 20的员工已经不能访问财务服务器了,同时192.168.10.200这个用户也不能访问外网了,完成了需求的第六点;

所有设备,在任何位置都可以telnet远程管理

用vlan 666 来作为管理vlan;
管理网段:192.168.255.0/24;
SW1:

[SW1]vlan 666
[SW1-vlan666]q
[SW1]int vlan 666
[SW1-Vlanif666]ip address 192.168.255.1 24

SW2:

[SW2]vlan 666
[SW2-vlan666]q
[SW2]int vlan 666
[SW2-Vlanif666]ip address 192.168.255.2 24
[SW2]ip route-static 0.0.0.0 0 192.168.255.1 //设置回包路由

SW3:

[SW3]vlan 666
[SW3-vlan666]q
[SW3]int vlan 666
[SW3-Vlanif666]ip address 192.168.255.3 24
[SW2]ip route-static 0.0.0.0 0 192.168.255.1 //设置回包路由

最后所有设备配置Telnet认证:

[xxx]aaa
[xxx-aaa]local-user zhangsan privilege level 3 password cipher 123456
[xxx-aaa]local-user zhangsan service-type telnet
[xxx-aaa]q
[xxx]user-interface vty 0 4
[xxx-ui-vty0-4]authentication-mode aaa

在此直接所有设备复制粘贴,读者可以选择直接复制粘贴:
aaa
local-user zhangsan privilege level 3 password cipher 123456
local-user zhangsan service-type telnet
user-interface vty 0 4
authentication-mode aaa

现在所有的设备我们都可以进行Telnet进行管控了,完成了需求的第七点

配置vlan的修剪,以减少广播发送的范围,进一步提升网络的稳定性

  • 缩小广播范围,让SW2只允许vlan 10和vlan 20通过,SW100只允许vlan 100通过,这样能够有效的阻止一些广播带来的网络问题;

配置比较简单直接贴配置结果:

提示:首先拿掉之前配置的allow-pass all;

SW2:
[SW2-Ethernet0/0/3]dis this
#
interface Ethernet0/0/3
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 10 20
#

SW3:
[SW3-Ethernet0/0/3]dis this
#
interface Ethernet0/0/3
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 100
#

现在不同Trunk链路下的广播以及互不影响了,完成了需求的第八点

至此我们完成了整个架构的建立,并实现了所有需求

感谢阅读

相关推荐