Cisco三层交换机实现vlan间路由讲解与配置命令 配置过程很详细

Cisco三层交换机实现vlan间路由的配置

一.Cisco三层交换机实现vlan间路由的配置拓扑图

二、详细配置命令如下

拓扑图：

一、配置要求如下：

本次测试使用cisco Packet Tracer7.0模拟器进行，请按照实验操作文件（pka）的要求完成配置任务。pka文件中的拓扑和设备命名均不许修改，终端和网络设备接口的IP地址按要求进行分配。本次测试的时长为80分钟，系统将自动对各个配置点和连通情况进行测评。

二、设备命名和IP地址分配

请严格按下表分配IP地址

三、实验目标要求

1、PC11.2可以ping通DMZ-Srv、Intra-Srv，不可以ping通Inter-Srv

2、Laptop22.3可以ping通DMZ-Srv、Intra-Srv、Inter-Srv

3、PC-R1可以ping通DMZ-Srv、Intra-Srv、Inter-Srv以及PC22.2

4、PC-R2和PC0可以ping通Inter-Srv ，可以访问DMZ-Srv的web服务

5、1001、1002、2001三部IP电话可以互通

四、配置步骤指导

1.配置AS1和AS2两台接入层交换机

a) 创建vlanb) 把接口加入vlan

2. 配置CS核心交换机

a) 启用三层路由功能b) 设置trunk封装模式为802.1q，设置与接入层交换机相连的端口为trunk模式c) 创建vlan，把相应接口加入vland) 为vlan虚接口设置IP地址e) 设置Fa0/5端口为路由模式，设置端口IP地址f) 设置默认路由指向出口路由器firewall

3. 配置校园网的Firewall路由器，使之能够访问百度

a) 配置两条静态路由，一条默认路由指向互联网，一条路由指向校园网b) 配置nat地址转换，使得校园网PC能够访问互联网

Ø 设置转换访问控制列表（使用扩展访问控制列表）

Ø 设置地址转换规则

Ø 设定inside和outside接口c) 配置静态地址映射，使得互联网能访问DMZ-Srv服务器（启用服务器http服务）

Ø 方法1：使用端口映射

Ø 方法2：把2.0.0.3映射到校园网d) 配置控制列表禁止PC11.2访问互联网

Ø 设置扩展访问控制列表，允许PC11.2访问DMZ-Srv、禁止PC11.2访问其他地址、允许所有IP流量

Ø 把访问控制列表应用于Firewall校园网接口入方向上

4. 配置ISP1、ISP2、ISP3互联网路由器

a) 配置loopback地址作为路由器IDb) 启用ospf路由协议并宣告直连网络c) 检查每台路由器的路由表

5. 配置Div-R分公司路由器

a) 配置路由器接入链路封装格式为PPPb) 配置缺省路由指向ISP2c) 配置NAT网络地址转换（注意使用扩展访问控制列表）

6. 配置wlan无线接入

a) 在无线AP和无线路由器上设置SSID为AP1和AP2、认证方式为WAP2，AP1密码为12345678，AP2密码为87654321b) 在两台笔记本上配置无线网卡，分别接入无线AP和无线路由器

7. 配置PPPoE接入

a) 配置接入cloud的DSL映射b) 配置ISP2路由器支持PPPoE接入，使用AAA认证服务器c) 配置Inter-Srv作为AAA认证服务器d) 在pc0使用PPPoE Dialer接入网络，ipconfig查看地址并ping6.0.0.2e) 配置无线路由器使用PPPoE接入网络

8. 配置虚拟专用网，因国家规定，VPN的配置本文不提及，如有作业问题请留言

9. 配置VoIP

a) 把总部IP电话和callmanager的接入端口加入到voice vlan1b) 把分公司IP电话和Div-R向校园网的接入端口加入到voice vlan1c) 在公司总部配置callmanager ，测试总部两部电话的连通性d) 在分公司配置Div-R出口路由器作为callmanager，检查分公司IP电话e) 把总部IP电话和callmanager的接入端口加入到vlan100f) 在CS上设置VLAN100的虚接口地址为172.16.100.2g) 在总部callmanager上设置默认路由指向172.16.100.2h) 配置两台callmanager点对点连接，测试总部到分公司电话的连通性

详细配置命令如下：

1、配置AS1和AS2两台接入层交换机a)创建vlanb)把接口加入vlanAS1：AS1(config)#AS1(config)#vlan 11AS1(config)#vlan 22AS1(config-vlan)#int f0/2AS1(config-if)#switchport mode access AS1(config-if)#switchport access vlan 11AS1(config-vlan)#int f0/23AS1(config-if)#switchport mode access AS1(config-if)#switchport access vlan 22AS1(config-if)#AS2:AS2>enAS2#conf tAS2(config)#vlan 22AS2(config-vlan)#int f0/2AS2(config-if)#switchport mode access AS2(config-if)#switchport access vlan 22AS2(config-if)#2、配置CS核心交换机a)启用三层路由功能CS>enCS#conf tCS(config)#ip routing // 启用三层路由功能b)设置trunk封装模式为802.1q，设置与接入层交换机相连的端口为trunk模式CS(config)#int f0/1CS(config-if)#switchport trunk encapsulation dot1q // 设置trunk封装模式为802.1q，CS(config-if)#switchport mode trCS(config-if)#switchport mode trunk // 设置与接入层交换机相连的端口为trunk模式CS(config-if)#CS(config-if)#int f0/2CS(config-if)#switchport tr en dot1q CS(config-if)#sw mo trCS(config-if)#sw mo trunk CS(config-if)#c)创建vlan，把相应接口加入vlanCS(config-if)#vlan 11// 创建 Vlan，把相应接口加入 VlanCS(config-vlan)#vlan 22CS(config-vlan)#vlan 100CS(config-vlan)#vlan 200CS(config-vlan)#int f0/24CS(config-if)#switchport mode acCS(config-if)#switchport mode access CS(config-if)#switchport acCS(config-if)#switchport access vlan 200d)为vlan虚接口设置IP地址CS(config-if)#CS(config-if)#int vlan 11CS(config-if)#ip add 172.16.11.1 255.255.255.0CS(config-if)#int vlan 22CS(config-if)#ip add 172.16.22.1 255.255.255.0CS(config-if)#int vlan 200CS(config-if)#ip add 172.16.200.1 255.255.255.0e)设置Fa0/5端口为路由模式，设置端口IP地址CS(config-if)#CS(config)#int f0/5CS(config-if)#no swCS(config-if)#no switchport CS(config-if)#ip add 172.16.253.1 255.255.255.0CS(config-if)#f)设置默认路由指向出口路由器firewallCS(config-if)#exitCS(config)#ip route 0.0.0.0 0.0.0.0 172.16.253.2CS(config)#3、配置 Firewall 出口路由器a)配置两条静态路由，一条默认路由指向互联网，一条路由指向校园网Router>enRouter#conf tRouter(config)#ip route 0.0.0.0 0.0.0.0 2.0.0.1Router(config)#ip route 172.16.0.0 255.255.0.0 172.16.253.1Router(config)#b)配置nat地址转换，使得校园网PC能够访问互联网NAT使用扩展访问控制列表 101使用扩展访问控制列表 102禁止11.2访问互联网使用扩展访问控制列表 103Ø 设置转换访问控制列表（使用扩展访问控制列表）Router(config)#Router(config)#acRouter(config)#access-list 101 deRouter(config)#access-list 101 deny ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255Router(config)#access-list 101 per ip 172.16.0.0 0.0.255.255 anyØ 设置地址转换规则Router(config)#ip nat iRouter(config)#ip nat inside sRouter(config)#ip nat inside source lRouter(config)#ip nat inside source list 101 int f1/0 ovRouter(config)#ip nat inside source list 101 int f1/0 overload Ø 设定inside和outside接口Router(config)#int f1/0Router(config-if)#ip nat ouRouter(config-if)#ip nat outside Router(config-if)#int f0/0Router(config-if)#ip nat inRouter(config-if)#ip nat inside c)配置静态地址映射，使得互联网能访问DMZ-Srv服务器（启用服务器http服务）Router(config-if)#exitRouter(config)#ip nat inside source sRouter(config)#ip nat inside source static 172.16.254.2 2.0.0.3Router(config)#int f0/1Router(config-if)#ip nat inRouter(config-if)#ip nat inside Router(config-if)#d)配置控制列表禁止PC11.2访问互联网( ☆☆☆建议最后设置该规则☆☆☆ )Ø 设置扩展访问控制列表，允许PC11.2访问DMZ-Srv、禁止PC11.2访问其他地址、允许所有IP流量access-list 103 deny ip 172.16.11.2 255.255.255.255 anyaccess-list 103 permit ip 172.16.11.2 255.255.255.255 172.16.254.2 255.555.255.0access-list 103 permit ip anyØ 把访问控制列表应用于Firewall校园网接口入方向上int f0/0 ip access-group 103 out 4、配置ISP1、ISP2、ISP3互联网路由器a)配置loopback地址作为路由器IDb)启用ospf路由协议并宣告直连网络ISP1：Router>en Router#conf tRouter(config)#route ospRouter(config)#route ospf 1Router(config-router)#netw 2.0.0.0 0.0.0.7 area 0Router(config-router)#netw 3.0.0.0 0.255.255.255 area 0Router(config-router)#netw 5.0.0.0 0.255.255.255 area 0Router(config-router)#ISP2：Router>enRouter#conf tRouter(config)#route osRouter(config)#route ospf 1Router(config-router)#netw 4.0.0.0 0.255.255.255 area 0Router(config-router)#netw 5.0.0.0 0.255.255.255 area 0Router(config-router)#netw 8.0.0.0 0.255.255.255 area 0Router(config-router)#netw 7.0.0.0 0.0.0.3 area 0Router(config-router)#ISP3：Router>enRouter#conf tRouter(config)#route osRouter(config)#route ospf 1Router(config-router)#netw 3.0.0.0 0.255.255.255 area 0Router(config-router)#netw 4.0.0.0 0.255.255.255 area 0Router(config-router)#netw 6.0.0.0 0.255.255.255 area 0Router(config-router)#c)检查每台路由器的路由表#sh ip route 5、配置Div-R分公司路由器a)配置路由器接入链路封装格式为PPP( 两台路由器均需要配置 )ISP2(config)# interface serial 0/1/0ISP2(config-if)# clock rate 2000000// 配置接口的时钟速率// 在 ☆☆☆ 远离时钟 ☆☆☆ 一端配置时钟速率会有该提示：This command applies only to DCE interfaces// 因此，应该是在☆☆☆靠近时钟☆☆☆一端( 主认证方 )配置，ISP2(config-if)# encapsulation ppp// 配置接口的封装格式为PPPISP2(config-if)# ppp authentication pap// 认证方式为PAP加密ISP2(config)# username user1 password 0 123// 主认证方配置Div-R(config)# interface serial 0/1/0Div-R(config-if)# encapsulation ppp// 配置接口的封装格式为PPPDiv-R(config-if)# ppp authentication pap// 认证方式为PAP加密Div-R(config-if)# ppp pap sent-username user1 password 0 123// 被认证方配置b)配置缺省路由指向ISP2ip route 0.0.0.0 0.0.0.0 7.0.0.1c)配置NAT网络地址转换（注意使用扩展访问控制列表）access-list 101 deny ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255access-list 101 permit ip 192.168.1.0 0.0.0.255 anyip nat inside source list 101 int s0/1/0 overload int s0/1/0 ip nat outsideint f0/0ip nat inside6、配置wlan无线接入a)在无线AP和无线路由器上设置SSID为AP1和AP2、认证方式为WAP2，AP1密码为12345678，AP2密码为87654321AP ---> Config ---> Port 1 ---> SSID: AP1 WPA2-PSK: 12345678b)在两台笔记本上配置无线网卡，分别接入无线AP和无线路由器Laptop22.3：手动配置静态 IP 地址172.16.22.37、配置PPPoE接入a)配置接入cloud的DSL映射Cloud0 ---> DSL ---> Modem4 <-> Ethernet6Modem5 <-> Ethernet6b)配置ISP2路由器支持PPPoE接入，使用AAA认证服务器int f1/0ip address 8.0.0.1 255.0.0.0pppoe enable// 配置接口启用pppoeip local pool mypool 8.0.0.10 8.0.0.100// 配置地址池# username user1 password 0 123// 配置本地用户认证方式的用户名密码Router(config)#aaa new-model // 启用 AAA Router(config)#aaa authentication ppp default group radius // 使用 Radius 对所有 PPP 用户进行身份验证Router(config)#radius-server host 6.0.0.2 key 123// 指定外部 AAA 服务器,设置预共享密钥int virtual-template 1// 定义虚拟模板ip unnumbered f1/0 // 借用以太口地址peer default ip address pool mypool // 设定地址池ppp authentication chap// 设定认证方式vpdn enable // 全局启用虚拟拨号vpdn-group mygroup // 定义虚拟拨号组accept-dialin// 允许拨号接入protocol pppoe // 接入协议为pppoevirtual-template 1// 设定虚拟模板c)配置Inter-Srv作为AAA认证服务器Service ---> AAA ---> Network Configuration:pppoe 4.0.0.2 Radius 1238.0.0.1 Radius 123User Setup:u1 123// 用于 WireLess 认证 test 123// 用于 PC0 认证d)在pc0使用PPPoE Dialer接入网络，ipconfig查看地址并ping6.0.0.2Desktop ---> PPPoE ---> User Name: u1 Password: ciscoe)配置无线路由器使用PPPoE接入网络Setup ---> PPPoE ---> Username: test Password: 123 Save SettingsWireLess ---> Basic WireLess Settings ---> Network Name: AP2 Standard Channel: 11---> WireLess Security ---> Security Mode: WAP2 Persional AES 876543218、配置虚拟专用网，因国家规定，VPN的配置本文不提及，如有作业问题请留言9、配置VoIPa)把总部IP电话和callmanager的接入端口加入到voice vlan1AS1：vlan 100int f0/1switchport mode access switchport access vlan 100switchport voice vlan 1AS2:vlan 100int f0/1switchport mode access switchport access vlan 100switchport voice vlan 1CS:int f0/6switchport mode access switchport access vlan 100switchport voice vlan 1b)把分公司IP电话和Div-R向校园网的接入端口加入到voice vlan1Switch3:int f0/1switchport voice vlan 1switchport mode accessint f0/24switchport mode accessswitchport voice vlan 1c)在公司总部配置callmanager ，测试总部两部电话的连通性CallManager:# 配置接口# int f0/0# ip add 172.16.100.1 255.255.255.0# 配置DHCP# ip dhcp pool voice# network 172.16.100.0 255.255.255.0# default-router 172.16.100.1# option 150 ip 172.16.100.1# 配置呼叫服务# telephony-service# max-dn 10# max-ephone 10# ip source-address 172.16.100.1 port 2000# auto assign 1 to 10# 为电话配置号码# ephone-dn 1# number 1001# ephone-dn 2# number 1002 d)在分公司配置Div-R出口路由器作为callmanager，检查分公司IP电话Router:# 配置接口# int f0/0# ip add 192.168.1.1 255.255.255.0# 配置DHCP# ip dhcp pool voip# network 192.168.1.0 255.255.255.0# default-router 192.168.1.1# option 150 ip 192.168.1.1# 配置呼叫服务# telephony-service# max-dn 10# max-ephone 10# ip source-address 192.168.1.1 port 2000# auto assign 1 to 10# 为电话配置号码# ephone-dn 1# number 2001e)把总部IP电话和callmanager的接入端口加入到vlan100在 9、a) 中已经完成该步操作f)在CS上设置VLAN100的虚接口地址为172.16.100.254int vlan 100ip address 172.16.100.254 255.255.255.0g)在总部callmanager上设置默认路由指向172.16.100.254ip route 0.0.0.0 0.0.0.0 172.16.100.254h)配置两台callmanager点对点连接，测试总部到分公司电话的连通性CallManager：dial-peer voice 1 voipdestination-pattern 2...session target ipv4:192.168.1.1Router-FW：dial-peer voice 1 voipdestination-pattern 1...session target ipv4:172.16.100.1限制 11.2 上网d)配置控制列表禁止PC11.2访问互联网( ☆☆☆建议最后设置该规则☆☆☆ )Ø 设置扩展访问控制列表，允许PC11.2访问DMZ-Srv、禁止PC11.2访问其他地址、允许所有IP流量access-list 103 deny ip 172.16.11.2 255.255.255.255 anyaccess-list 103 permit ip 172.16.11.2 255.255.255.255 172.16.254.2 0.255.255.255access-list 103 permit ip anyØ 把访问控制列表应用于Firewall校园网接口入方向上int f0/0 ip access-group 103 out