首页 > 其他分享 >​跨部门网络搭建,核心在这30行里

​跨部门网络搭建,核心在这30行里

时间:2023-06-12 16:04:10浏览次数:35  
标签:ip 行里 30 192.168 access subif Router 跨部门 config

大家好,我的网工朋友。

在企业网络中,想要实现跨部门的VLAN互联互通,其实有很多方式。

你可以通过子接口实现,也可以通过VLAN-Interface实现。但在实际工作中,很多网工朋友,遇到这种情况,很容易会回不过神来,一下子卡壳宕机。

​跨部门网络搭建,核心在这30行里_HCIE

今天我们不聊理论,就整点实际的,看完就能用到你的实战工作之中。

在部门里,你是否遇到过三个部门之间不能相互访问的需求?

如果有,今天这篇文章,就很适合你的阅读。


今日文章阅读福利:《图解网络系列(全套书籍) 》

​跨部门网络搭建,核心在这30行里_CCIE_02

想要入门网络的小友,这份图解系列全套都很适合你,配图丰富,理论和图片结合,很受小白追捧。

需要的朋友,可以私信我,发送暗号“图解”,即可获取此份全套书籍电子资源。


01 需求

某公司有三个部门,要使三个部门可以访问互联网,但各个部门之间不能相互访问。

内网有一台服务器,所有人都要能访问到,而且要对内外提供HTTP、DNS服务。

三个部门的机器均使用动态IP上网,服务器使用静态IP上网。

ISP提供静态IP接入,只提供一个外网IP,IP地址1.1.1.1,子网掩码255.255.255.0,网关:1.1.1.254(瞎编的)。


02方案设计

1841作为网关,提供路由、NAT、DHCP等服务,设置ACL限制VLAN间互访。

2960作为二层交换机,划分VLAN。


03 网络拓扑图

​跨部门网络搭建,核心在这30行里_CCIE_03


04 交换机端口、VLAN划分

部门一 FE0/1-8: 绑定VLAN10

部门二 FE0/9-16:绑定VLAN20

部门三 FE0/17-24:绑定VLAN30

干路 GE0/1: 连接路由器的FE0/1口,TRUNK 允许 VLAN10 20 30 100通过

服务器 GE0/1: 绑定VLAN100


05 路由器端口、网段、IP划分

FE0/0:WAN接口、IP为1.1.1.1

FE0/1:连接交换机的GE0/1口,下面划分多个子接口,自身不设置IP地址,

FE0/1.1:绑定VLAN10,IP为192.168.1.1/24

FE0/1.2:绑定VLAN20,IP为192.168.2.1/24

FE0/1.3:绑定VLAN30,IP为192.168.3.1/24

FE0/1.4:绑定VLAN100,IP为192.168.100.1/24

以下为完整设置命令,有详细注释,设备均已恢复出厂设置。


06 交换机配置

进入特权模式

Switch>enable


进入配置模式

Switch#configure terminal


设置部门一VLAN10

Switch(config)#interface range FastEthernet 0/1-8    %端口组FE0/1-8

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 10 %设置端口为access模式,绑定vlan10

Switch(config-if-range)#exit


设置部门二VLAN20

Switch(config)#interface range FastEthernet 0/9-16    %端口组FE0/9-16
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 20    %设置端口为access模式,绑定vlan20

Switch(config-if-range)#exit


设置部门三VLAN30

Switch(config)#interface range FastEthernet 0/17-24    %端口组FE0/17-24
Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 30    %设置端口为access模式,绑定vlan30
Switch(config-if-range)#exit


设置服务器VLAN100

Switch(config)#interface range GigabitEthernet 0/2
Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 100    %设置端口为access模式,绑定vlan100

Switch(config-if-range)#exit


设置汇聚口

Switch(config)#interface GigabitEthernet 0/1
Switch(config-if)#switchport mode trunk

Switch(config-if)#switchport trunk allowed vlan 10,20,30,100    %设置端口为trunk模式,允许 VLAN10 20 30 100通过

Switch(config-if)#exit


设置生成树快速转发

Switch(config)#spanning-tree portfast default %珍惜宝贵的时间


退出&保存设置

Switch(config)#exit
Switch#write


07 路由器配置


进入特权模式

Router>enable


进入配置模式

Router#configure terminal


设置部门一VLAN10 ACL规则1,仅禁止访问其他两个网段

Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255

Router(config)#access-list 1 deny 192.168.3.0 0.0.0.255

Router(config)#access-list 1 permit any


设置部门二VLAN20 ACL规则2,仅禁止访问其他两个网段

Router(config)#access-list 2 deny 192.168.1.0 0.0.0.255

Router(config)#access-list 2 deny 192.168.3.0 0.0.0.255

Router(config)#access-list 2 permit any


设置部门三VLAN30 ACL规则3,仅禁止访问其他两个网段

Router(config)#access-list 3 deny 192.168.1.0 0.0.0.255

Router(config)#access-list 3 deny 192.168.2.0 0.0.0.255

Router(config)#access-list 3 permit any


设置服务器VLAN100 ACL规则4,允许访问任何网络

Router(config)#access-list 4 permit any


设置NAT ACL规则5,仅允许四个内网网段进行NAT

Router(config)#access-list 5 permit 192.168.1.0 0.0.0.255

Router(config)#access-list 5 permit 192.168.2.0 0.0.0.255

Router(config)#access-list 5 permit 192.168.3.0 0.0.0.255

Router(config)#access-list 5 permit 192.168.100.0 0.0.0.255

Router(config)#access-list 5 deny any


设置WAN接口

Router(config)#interface FastEthernet 0/0

Router(config-if)#no shutdown

Router(config-if)#ip address 1.1.1.1 255.255.255.0

Router(config-if)#ip nat outside    %设置为NAT外部接口

Router(config-if)#exit


设置LAN接口

Router(config)#interface FastEthernet 0/1

Router(config-if)#no shutdown    %物理接口只需开启即可,不用设置IP地址

Router(config-if)#exit


设置部门一VLAN10子接口

Router(config)#interface FastEthernet 0/1.1
Router(config-subif)#encapsulation dot1Q 10    %用802.1Q封装数据帧,以便兼容交换机

Router(config-subif)#ip address 192.168.1.1 255.255.255.0

Router(config-subif)#ip access-group 1 in    %入口流量应用ACL规则1

Router(config-subif)#ip access-group 1 out    %出口流量应用ACL规则1

Router(config-subif)#ip nat inside %设置为NAT内部接口

Router(config-subif)#exit


设置部门二VLAN20子接口

Router(config)#interface FastEthernet 0/1.2

Router(config-subif)#encapsulation dot1Q 20    %用802.1Q封装数据帧,以便兼容交换机

Router(config-subif)#ip address 192.168.2.1 255.255.255.0

Router(config-subif)#ip access-group 2 in    %入口流量应用ACL规则2

Router(config-subif)#ip access-group 2 out    %出口流量应用ACL规则2

Router(config-subif)#ip nat inside

Router(config-subif)#exit


设置部门三VLAN30子接口

Router(config)#interface FastEthernet 0/1.3
Router(config-subif)#encapsulation dot1Q 30    %用802.1Q封装数据帧,以便兼容交换机

Router(config-subif)#ip address 192.168.3.1 255.255.255.0

Router(config-subif)#ip access-group 3 in    %入口流量应用ACL规则3

Router(config-subif)#ip access-group 3 out    %出口流量应用ACL规则3

Router(config-subif)#ip nat inside %设置为NAT内部接口

Router(config-subif)#exit


设置服务器VLAN100子接口

Router(config)#interface FastEthernet 0/1.4
Router(config-subif)#encapsulation dot1Q 100    %用802.1Q封装数据帧,以便兼容交换机

Router(config-subif)#ip address 192.168.100.1 255.255.255.0

Router(config-subif)#ip access-group 4 in    %入口流量应用ACL规则4

Router(config-subif)#ip access-group 4 out    %出口流量应用ACL规则4

Router(config-subif)#ip nat inside %设置为NAT内部接口

Router(config-subif)#exit


设置DHCP排除地址(这里只设置路由器本身IP)

Router(config)#ip dhcp excluded-address 192.168.1.1
Router(config)#ip dhcp excluded-address 192.168.2.1
Router(config)#ip dhcp excluded-address 192.168.3.1


设置VLAN10 DHCP服务器

Router(config)#ip dhcp pool vlan10

Router(dhcp-config)#default-router 192.168.1.1

Router(dhcp-config)#dns-server 192.168.100.254

Router(dhcp-config)#network 192.168.1.0 255.255.255.0

Router(dhcp-config)#exit


设置VLAN20 DHCP服务器

Router(config)#ip dhcp pool vlan20
Router(dhcp-config)#default-router 192.168.2.1

Router(dhcp-config)#dns-server 192.168.100.254

Router(dhcp-config)#network 192.168.2.0 255.255.255.0

Router(dhcp-config)#exit


设置VLAN30 DHCP服务器

Router(config)#ip dhcp pool vlan30

Router(dhcp-config)#default-router 192.168.3.1

Router(dhcp-config)#dns-server 192.168.100.254

Router(dhcp-config)#network 192.168.3.0 255.255.255.0

Router(dhcp-config)#exit


设置路由

Router(config)#ip routing %开启路由转发

Router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.254    %设置默认网关


设置NAT

Router(config)#ip nat inside source list 5 interface FastEthernet0/0 overload  %允许四个网段进行NAT,出接口为WAN口,开启端口地址复用

Router(config)#ip nat inside source static tcp 192.168.100.254 80 1.1.1.1 80    %将内部服务器的80端口映射到公网IP上

Router(config)#ip nat inside source static udp 192.168.100.254 53 1.1.1.1 53 %将内部服务器的53端口映射到公网IP上


退出&保存设置

Router(config)#exit
Router#write


整理:老杨丨10年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

标签:ip,行里,30,192.168,access,subif,Router,跨部门,config
From: https://blog.51cto.com/u_15281548/6463127

相关文章

  • 网工内推 | 运维专场,最高30k,CCIE认证优先
    01思禾招聘岗位:IT运维经理职责描述:1.负责公司的局域网、Wifi、多地组网的规划和建设;2.保障网络设备的网络正常稳定运行,提供网络技术支持;3.负责公司办公环境的软件、硬件和桌面系统的日常维护负责,确保工作正常开展。任职要求:能力要求:1.熟悉Windows、WindowsServer的配置架构,能......
  • AtCoder Beginner Contest 302
    A-Attack题目大意给定两个数a和b,问我们需要进行多少次a-b,才能让a小于等于0解题思路签到题不多嗦了神秘代码#include<bits/stdc++.h>#defineintlonglongusingnamespacestd;constintN=1e6+10;signedmain(){inta,b,c;cin>>a>>b;if(a%b......
  • HDU 3081 Marriage Match II(二分+并查集+最大流)
    题意:有N个女孩要与N个男孩玩配对游戏.每个女孩有一个可选男孩的集合(即该女孩可以选自己集合中的任意一个男孩作为该轮的搭档).然后从第一轮开始,每个女孩都要和一个不同的男孩配对.如果第一轮N个女孩都配对成功,那么就开始第二轮配对,女孩依然从自己的备选男孩集合中选择,但是不能......
  • 代理IP出现错误代码300是什么意思
    HTTP代理是我们在使用网络时常用的工具之一,它可以帮助我们隐藏IP地址、加快请求响应速度等,但在使用HTTP代理时有时候会遇到各种错误码。其中,错误码300也是比较常见的一种。那么,这个错误码代表什么情况呢?本文将为您介绍相关内容。首先,HTTP错误码300属于重定向响应状态码。它......
  • [ABC303G] Bags Game 解题分析
    1题目大意1.1题目翻译有两个人轮流取物品。总共有\(n\)个物品,第\(i\)个物品的价值为\(w_i\)。他们按照下面的其中一种方式取物品:取出这一排物品最前面的或者最后面的。这一步没有代价。设还剩下\(m\)个物品,那么重复取出\(\min(B,m)\)个物品,每次取出最前面的......
  • BYC30W-600P-ASEMI代理NXP快恢复二极管BYC30W-600P
    编辑:llBYC30W-600P-ASEMI代理NXP快恢复二极管BYC30W-600P型号:BYC30W-600P品牌:NXP/恩智浦封装:TO-247-2L最大漏源电流:30A漏源击穿电压:600V引脚数量:2恢复时间:22ns正向压降:1.8V类型:快恢复二极管特性:超快恢复二极管、功率二极管工作温度:-65°C~175°CBYC30W-600P优势:低热......
  • C#.NET Framework RSA 私钥签名 公钥验签(验证签名) ver:20230612
    C#.NETFrameworkRSA私钥签名公钥验签(验证签名)ver:20230612 环境说明:.NETFramework4.6的控制台程序 。 .NETFramework 对于RSA的支持:NETFramework内置只支持XML格式的私钥/公钥。如果要用PKCS1,PKCS8格式的,要用到三方库BouncyCastle。 核心重点是拿到.NET......
  • ABC305
    T1:WaterStation模拟代码实现//C++实现#include<bits/stdc++.h>usingnamespacestd;intmain(){ intn; cin>>n; intans=round(n/5.)*5; cout<<ans<<'\n'; return0;}//Python实现n=int(input())ans=int(......
  • 【230611-1】已知Sin(α-β)=1/3,CosαSinβ=1/6,则Cos(2α+2β)=?(23年高考1卷第8题)
    【题目】已知Sin(α-β)=1/3,CosαSinβ=1/6,则Cos(2α+2β)=?(23年高考1卷第8题)......
  • 【230611-2】已知:集合M={-2,-1,0,1,2},N={x|x^2-x-6>=0} 求:M∩N=?
    【题目】已知:集合M={-2,-1,0,1,2},N={x|x^2-x-6>=0}求:M∩N=?......