目录

1.题目：校园组网方案设计... 3

2.需求分析... 3

3.理论介绍... 4

4.详细设计... 5

4.1设备的选择与配置... 5

4.1.1交换机与路由器的选择... 5

4.1.2出口路由器添加串口模块... 5

4.1.3核心路由器添加以太网接口模块... 6

4.2模块设计与IP规划... 6

4.2.1核心业务单元设计... 6

4.2.2冗余备份设计... 6

4.2.3拓扑连线与端口VLAN规划、IP地址规划... 7

5.网络配置... 8

5.1核心（三层）交换机配置... 8

5.1.1添加VLAN. 8

5.1.2配置vlan的IP并配置HSRP实现核心交换机的双机热备份... 9

5.1.3配置端口类型... 11

5.1.4配置快速生成树RSTP+PVST. 12

5.1.5配置链路聚合... 13

5.2普通交换机配置... 14

5.2.1添加vlan. 14

5.2.2配置端口类型... 15

5.2.3配置快速生成树协议... 16

5.3路由器配置... 16

5.3.1配置端口的IP地址并启用端口... 16

5.3.2配置RIP协议及静态默认路由... 19

5.3.3查看路由表验证路由信息... 22

5.3.4配置NAT. 23

5.4配置并启动出口路由器CK-Router的ACL访问控制列表... 24

5.5配置主机端... 25

5.5.1配置IP地址、默认网关、DNS. 25

5.5.2服务器配置... 26

6.网络功能测试及抓包解析过程... 28

6.1网络连通性测试... 28

6.1.1内网用户访问内网服务器... 28

抓包分析1：网络刚刚收敛后首次ping超时... 29

抓包分析2：内网用户访问FTP时TCP的三次握手... 36

6.1.2内网用户ping外网用户... 40

6.1.3外网用户ping内网服务器... 40

抓包分析3：分析内网ip和公网ip地址的NAT转换过程... 42

6.2验证ACL：外网用户不能访问内网的FTP服务器，但可以访问Web服务器... 43

抓包分析4：ACL端口阻止FTP服务器被外网访问的过程... 44

随机计算机以及计算机网络的不断发展，互联网中的资源已经越来越丰富，人们可以通过互联网获取各种资源，并利用互联网实现多媒体教育、交流信息以及实现信息管理等功能。

在计算机网络不断发展的同时，对于校园网络的组建也提出了更高的要求。如何组建一个高速的、可靠的、可扩展的校园计算机网络以适应和满足学校对于计算机网络通信的各种需求，已经成为每一个学校需要考虑和思索的问题。

因此，本项目将具体分析校园网络应实现的功能，结合学校、学生等多方面的需求，通过Cisco Packet Tracer软件，设计一个安全可靠的组网方案，实现整个校园系统的网络信息资源共享，并在网络服务上满足划分不同的网络区域、实现相同网络区域内的信息共享、不同网络区域的授权信息共享等等功能。

在调查、分析的基础上，在充分考虑需求与约束的前提之下，对网络系统组建于信息系统开发的可行性进行充分的验证，避免盲目性。

网络工程建设必须首先明确用户的实际需求，统一规划，分期建设，选择适合的技术，确保网络工程建设的优先性、可用性、可靠性、可扩展性与安全性。因此，网络设计的原则是实用性、开放性、高可靠性、安全性、先进性与可扩展性。

（1）开放性:

系统设计应采用开放技术、开放结构、开放系统组件和开放用户接口，以利于网络的维护、扩展升级及与外界信息的沟通。

安全性：应能在可靠性的前提下，抵挡来自内部和外部的攻击；采用的安全措施有效、可信，能够在多层次上、以多种方式实现安全的控制。

（2）可靠性：

系统及网络结构较为复杂，同时在部分子系统中存在较高的技术性，因此必须保证系统的稳定、可靠和安全运行，具有很高的MTBF(平均无故障工作时间)和极低的MTBR(平均无故障率)，提高容错设计，支持故障检测和恢复，可管理性强。网络必须是可靠的，包括网元级的可靠性，如引擎、风扇、单板、总计等；以及网络级的可靠性，如路由、交换的汇聚，链路冗余，负载均衡等。网络必须具有足够高的性能，满足业务的需要。具有容错功能，能满足企业所在地环境、气候条件，抗干扰能力强，对网络的设计、选型、安装、调试等各环节进行统一规划和分析，确保系统运行可靠。

（3）统一性：

在系统的设计过程中，坚持“三统一”，即统一规划、统一标准、统一出口。

（4）先进性：

在系统的选择与开发过程中，既能满足当前网络的应用需求，又可以在将来需要扩展的时候，能方便地扩展，保护目前的所有投资；设计的配置可以灵活变通，以便适应客户的其他要求。2.1.5经济性：

在充分满足以上要求的前提下，应充分考虑到企业的经济承受能力，尽可能地节约投资，花好每一分钱。着眼于近期目标和长期的发展，选用先进的设备进行最佳性能组合，利用有限的投资构造一个性能最佳的网络系统。

（5）实用性：

实用性设计应能满足目前对网络应用的要求，充分实现内部管理、信息化等要求，使网络的整体性能尽快得到充分的发挥，并且便于掌握.

（6）标准化：

网络系统应符合IEEE 802.3、IEEE 802.3u、IEEE 802.3z等以太网标准和IEEE 802.1p、IEEE 802.1q、WBM等网络管理标准。

虚拟局域网VLAN，指将一个或多个分布在不同物理位置中的设备编组，按照一定的规范标准采取一致的配置，使它们如同连接在同一个信道中进行通信，形成的一个逻辑广播域。VLAN的功能及特点：提高了整个网络带宽的利用率，大大提高了网络管理的便捷性和效率，实现了网络中相关数据和资源按权限访问的要求，提高了数据的安全性。

动态路由协议OSPF，开放式最短路径优先，是一种链路状态协议。每个路由器负责发现、维护与邻居的关系，并将已知的邻居列表和链路费用LSU(Link State Update)报文描述，通过可靠的泛洪与自治系统AS(Autonomous System)内的其他路由器周期性交互，学习到整个自治系统的网络拓扑结构;并通过自治系统边界的路由器注入其他AS的路由信息，从而得到整个Internet的路由信息。每隔一个特定时间或当链路状态发生变化时，重新生成LSA，路由器通过泛洪机制将新LSA通告出去，以便实现路由的实时更新。

快速生成树协议RSTP，RSTP采用与STP算法一致的快速生成树算法消除环路。不同的是，RSTP利用点对点连接，针对各种端口在拓扑结构中角色的不同，对某些端口实现了从Blocking状态到Forwarding状态的瞬间迁移或快速迁移，实现生成树快速的收敛，可以在少于1s的时间内重新配置生成树，解决了STP算法对任何端口只要从Blocking状态迁移到Forwarding状态必须经过2倍Forward Delay时长的缺点。

网络地址转换协议NAT，网络地址转换（Network Address Translation，NAT）能够实现一个单位或部门的所有主机利用一个公有IPv4地址接入Internet并进行通信，是Internet工程任务组IETF制定的把内部网络使用的私有IPv4地址映射成为全球唯一合法的公有IPv4地址的标准

访问控制列表ACL（Access Control List），路由器可以自由地将数据包转发至路由表指定的任何目的网络，无法满足对数据流进行控制的特定需求。为此，引入了访问控制列表（Access Control List，ACL）技术来实现数据包过滤。ACL是应用在路由器端口的指令列表，在路由器上读取OSI参考模型的第3层及第4层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。

静态路由是路由器计算路由表的方式之一，指通过网络工程师手工为本地路由器配置的非直连路由，是一种最简单的路由配置方法。静态路由需要手工指定路由表中的所有路由条目，对于大规模网络而言，静态路由配置的工作量非常巨大。因此，静态路由一般用于小型网络或拓扑相对固定的网络中。

网络地址规划，通过对网络地址的合理规划，提高了网络运行和维护效率，方便了路由归纳，降低了路由表规模，实现了网络的弹性扩容，减少了ACL安全策略的规则数量，设备效能更高。在规划网络地址时，要明确可用的IP地址范围，对网络出口或对外提供服务的DMZ区分配ISP提供的公有地址；内网中终端设备使用私有地址；需要对外网提供Internet访问的内网设备在分配内网私有地址的同时，还要为其绑定ISP提供的公有地址。

HSRP（热备份路由选择协议），HSRP（Hot Standby Router Protocol 热备份路由器协议）把多台路由器组成一个虚拟路由器（Virtual Router）。PC上设置网关后，如果网关down了就断网了，导致网络连接不稳定。因此需要备用网关，即冗余网关，确保网络连接正常。HSRP可以提供冗余网关的解决方案：假设有路由器A和B，PC网关设在A上，A出故障后导致断网，需要人工将PC的网关改成B，效率低且技术门槛高。HSRP将A和B捆绑在一起形成一个虚拟路由器VR，PC的网关设为VR的IP地址，这样对对PC来说并不知道真实路由器A和B的存在，即使A出故障，VR也能自动将网关切换为B，保证PC上网不受影响。

普通交换机选择2950，路由器选择2811，三层交换机选择3560：

+

出口路由器CK-Router负责连接到外网的路由器，并连接到内网的核心路由器Core-Router,之后核心路由器连接到核心三层交换机

将核心交换机与核心路由器进行备份，并设计具体的冗余拓扑和负载均衡设计。

我们组采用HRSP协议对核心交换机进行基于不同vlan的热备份，并配置快速生成树与每vlan生成树Rapid+PVST模式，使得两台交换机分别负载两部分vlan，实现对vlan处理的负载均衡及故障备份。

核心交换机之间再进行两条链路的链路聚合增强可用性，进一步实现两台核心交换机间的负载均衡。

部署设备并连线后，进行端口VLAN规划与IP地址的规划，结果如下图：

VLAN与物理区域规划：

VLAN号

校园区域

VLAN网段

子网掩码

VLAN默认网关

VLAN 10

办公室

192.168.10.0

255.255.255.0

192.168.10.252

VLAN 20

学生机房

192.168.20.0

255.255.255.0

192.168.20.252

IP规划：

（1）主机端

区域

IP地址

子网掩码

NAT转换

默认网关

PC-办公室

192.168.10.1

255.255.255.0

动态NAT

192.168.10.252

FTP服务器

192.168.20.3

255.255.255.0

100.100.0.3/28

192.168.20.252

Web服务器

192.168.20.2

255.255.255.0

100.100.0.2/28

192.168.20.252

DNS服务器

192.168.20.1

255.255.255.0

动态NAT

192.168.20.252

外网用户

100.100.0.20

255.255.255.240

100.100.0.4

100.100.0.19/28

（2）设备端口

CK-Router:

S0/1/0 – 100.100.0.1/28

f0/0: 192.168.1.1

f0/1: 192.168.2.1

Core-Router1:

f0/0: 192.168.1.2

f0/1: 192.168.4.1

f1/0: 192.168.3.1

f1/1: 192.168.5.1

Core-Router2:

f0/0: 192.168.6.1

f0/1: 192.168.2.2

f1/0: 192.168.3.2

f1/1: 192.168.7.1

Core-SW1:

Vlan 10: 192.168.10.254(active) / standby 192.168.10.252

Vlan 20: 192.168.20.254(standby) / standby 192.168.20.252

f0/1: 192.168.4.2

f0/2: 192.168.6.2

Core-SW2:

Vlan 10: 192.168.10.253(standby) / standby 192.168.10.252

Vlan 20: 192.168.20.253(active) / standby 192.168.20.252

f0/1: 192.168.7.2

f0/2: 192.168.5.2

ISP:

S0/3/0: 100.100.0.2

f0/1: 100.100.0.19

Core-SW1:添加vlan10、20

Switch(config)#hostname Core-SW1

Core-SW1(config)#vlan 10

Core-SW1(config-vlan)#vlan 20

Core-SW2:添加vlan10、20

Switch(config)#hostname Core-SW2

Core-SW2(config)#vlan 10

Core-SW2(config-vlan)#vlan 20

Core-SW1:做 VLAN 10 的活动路由（Active），做 VLAN 20 的备份路由（Standby）

Core-SW1(config)#interface vlan 10

Core-SW1(config-if)#ip address 192.168.10.254 255.255.255.0

Core-SW1(config-if)#standby 10 ip 192.168.10.252

Core-SW1(config-if)#standby 10 priority 120

Core-SW1(config-if)#standby 10 preempt

Core-SW1(config-if)#standby 10 track faste0/1

Core-SW1(config-if)#standby 10 track faste0/2

Core-SW1(config-if)#interface vlan 20

Core-SW1(config-if)#ip address 192.168.20.254 255.255.255.0

Core-SW1(config-if)#standby 20 ip 192.168.20.252

Core-SW1(config-if)#standby 20 track faste0/1

Core-SW1(config-if)#standby 20 track faste0/2

Core-SW2:做 VLAN 20 的活动路由（Active），做 VLAN 10 的备份路由（Standby）

Core-SW2(config)#interface vlan 10

Core-SW2(config-if)#ip address 192.168.10.253 255.255.255.0

Core-SW2(config-if)#standby 10 ip 192.168.10.252

Core-SW2(config-if)#standby 10 track faste0/1

Core-SW2(config-if)#standby 10 track faste0/2

Core-SW2(config-if)#interface vlan 20

Core-SW2(config-if)#ip address 192.168.20.253 255.255.255.0

Core-SW2(config-if)#standby 20 ip 192.168.20.252

Core-SW2(config-if)#standby 20 priority 120

Core-SW2(config-if)#standby 20 preempt

Core-SW2(config-if)#standby 20 track faste0/1

Core-SW2(config-if)#standby 20 track faste0/2

Core-SW1:

对端口f0/1、f0/2分别连接两个核心路由器，取消它们的端口类型，之后根据设计阶段的IP规划为该端口绑定ip地址，并启用该端口，之后配置启用其三层交换机的路由功能

Core-SW1(config)#interface faste0/1

Core-SW1(config-if)#no switchport

Core-SW1(config-if)#ip address 192.168.4.2 255.255.255.0

Core-SW1(config-if)#no shutdown

Core-SW1(config-if)#interface faste0/2

Core-SW1(config-if)#ip address 192.168.6.2 255.255.255.0

Core-SW1(config-if)#no shutdown

Core-SW1(config-if)#ip routing

Core-SW1(config)#

之后配置所有连接到普通交换机的端口为trunk端口（端口是fastethernet0/3 - 4）

Core-SW1(config)#interface range f0/3-4

Core-SW1(config-if-range)#switchport trunk encapsulation dot1q

Core-SW1(config-if-range)#switchport mode trunk

Core-SW1(config-if-range)#switchport allow vlan all

（CLI的截图太多了，后面就不放了）

Core-SW2:

对端口f0/1、f0/2分别连接两个核心路由器，取消它们的端口类型，之后根据设计阶段的IP规划为该端口绑定ip地址，并启用该端口，之后配置启用其三层交换机的路由功能

Core-SW2(config)#interface faste0/1

Core-SW2(config-if)#no switchport

Core-SW2(config-if)#ip address 192.168.7.2 255.255.255.0

Core-SW2(config-if)#no shutdown

Core-SW2(config-if)#interface faste0/2

Core-SW2(config-if)#ip address 192.168.5.2 255.255.255.0

Core-SW2(config-if)#no shutdown

Core-SW2(config-if)#exit

Core-SW2(config)# ip routing

之后配置所有连接到普通交换机的端口为trunk端口（端口是fastethernet0/3 - 4）

Core-SW2(config)#interface range f0/3-4

Core-SW2(config-if-range)#switchport trunk encapsulation dot1q

Core-SW2(config-if-range)#switchport mode trunk

Core-SW2(config-if-range)#switchport allow vlan all

Core-SW1:做 vlan 10 的主根桥，vlan 20 的备份根桥

Core-SW1(config)#spanning-tree mode rapid-pvst

Core-SW1(config)#spanning-tree vlan 10 root primary

Core-SW1(config)#spanning-tree vlan 20 root secondary

Core-SW2:做 vlan 20 的主根桥，vlan 10 的备份根桥

Core-SW2(config)#spanning-tree mode rapid-pvst

Core-SW2(config)#spanning-tree vlan 20 root primary

Core-SW2(config)#spanning-tree vlan 10 root secondary

Core-SW1:两个端口GigabitEthernet0/1-2聚合到逻辑端口1，并配置逻辑端口1为active(LACP协议协商链路聚合的主动方)

Core-SW1(config)#interface port-channel 1

Core-SW1(config-if)#switchport trunk encapsulation dot1q

Core-SW1(config-if)#switchport mode trunk

Core-SW1(config-if)#interface range gigabitethernet0/1-2

Core-SW1(config-if-range)#switchport trunk encapsulation dot1q

Core-SW1(config-if-range)#switchport mode trunk

Core-SW1(config-if-range)#channel-group 1 mode active

Core-SW2: 两个端口GigabitEthernet0/1-2聚合到逻辑端口1，并配置逻辑端口1为passive(LACP协议协商链路聚合的被动方)

Core-SW2(config)#interface port-channel 1

Core-SW2(config-if)#switchport trunk encapsulation dot1q

Core-SW2(config-if)#switchport mode trunk

Core-SW2(config-if)#interface range gigabitethernet0/1-2

Core-SW2(config-if-range)#switchport trunk encapsulation dot1q

Core-SW2(config-if-range)#switchport mode trunk

Core-SW2(config-if-range)#channel-group 1 mode passive

SW-办公室:添加vlan10、20

Switch(config)#hostname SW-bangongshi

SW-bangongshi(config)#vlan 10

SW-bangongshi(config-vlan)#vlan 20 

SW-机房: 添加vlan10、20

Switch(config)#hostname SW-jifang

SW-jifang(config)#vlan 10

SW-jifang(config-vlan)#vlan 20

SW-办公室:

交换机互联端口配置为trunk（f0/1连接Core-SW1，f0/2连接Core-SW2）

接入主机端口配置为access（f0/3连接PC-办公室）

SW-bangongshi(coinfig)#interface range faste0/1-2

SW-bangongshi(coinfig-if-range)#switchport mode trunk

SW-bangongshi(coinfig-if-range)#switchport trunk allow vlan all

SW-bangongshi(coinfig-if-range)#interface faste0/3

SW-bangongshi(coinfig-if)#switchport mode access

SW-bangongshi(coinfig-if)#switchport access vlan 10

SW-机房:

交换机互联端口配置为trunk（f0/1连接Core-SW1，f0/2连接Core-SW2）

接入主机端口配置为access（f0/3-5分别连接机房的三台服务器）

SW-jifang(coinfig)#interface range faste0/1-2

SW-jifang(coinfig-if-range)#switchport mode trunk

SW-jifang(coinfig-if-range)#switchport trunk allow vlan all

SW-jifang(coinfig-if-range)#interface range faste0/3-5

SW-jifang(coinfig-if-range)#switchport mode access

SW-jifang(coinfig-if-range)#switchport access vlan 20

SW-办公室:

SW-bangongshi(config)#spanning-tree mode rapid-pvst

SW-机房:

SW-jifang(config)#spanning-tree mode rapid-pvst

Core-Router1:

根据IP规划：Core-Router1的f0/0绑定ip:192.168.1.2，f0/1绑定ip:192.168.4.1

f1/0绑定ip:192.168.3.1，f1/1绑定ip:192.168.5.1

f0/0连接CK-Router，f0/1连接Core-SW1

f1/0连接Core-Router2，f1/1连接Core-SW2

Core-Router1(config-if)#interface fastethernet0/0

Core-Router1(config-if)#ip address 192.168.1.2 255.255.255.0

Core-Router1(config-if)#interface fastethernet0/1

Core-Router1(config-if)#ip address 192.168.4.1 255.255.255.0

Core-Router1(config-if)#interface fastethernet1/0

Core-Router1(config-if)#ip address 192.168.3.1 255.255.255.0

Core-Router1(config-if)#interface fastethernet1/1

Core-Router1(config-if)#ip address 192.168.5.1 255.255.255.0

启用这些端口

Core-Router1(config-if)#interface range fastethernet0/0-1

Core-Router1(config-if)#no shutdown

Core-Router1(config-if)#interface range fastethernet1/0-1

Core-Router1(config-if)#no shutdown

Core-Router2:

根据IP规划：Core-Router2的f0/0绑定ip:192.168.6.1，f0/1绑定ip:192.168.2.2

f1/0绑定ip:192.168.3.2，f1/1绑定ip:192.168.7.1

f0/0连接Core-SW1，f0/1连接CK-Router

f1/0连接Core-Router2，f1/1连接Core-SW2,并启用这些端口

Core-Router2(config-if)#interface fastethernet0/0

Core-Router2(config-if)#ip address 192.168.6.1 255.255.255.0

Core-Router2(config-if)#interface fastethernet0/1

Core-Router2(config-if)#ip address 192.168.2.2 255.255.255.0

Core-Router2(config-if)#interface fastethernet1/0

Core-Router2(config-if)#ip address 192.168.3.2 255.255.255.0

Core-Router2(config-if)#interface fastethernet1/1

Core-Router2(config-if)#ip address 192.168.7.1 255.255.255.0

Core-Router2(config-if)#interface range fastethernet0/0-1

Core-Router2(config-if)#no shutdown

Core-Router2(config-if)#interface range fastethernet1/0-1

Core-Router2(config-if)#no shutdown

CK-Router:

根据IP规划：CK-Router的f0/0绑定ip:192.168.1.1，f0/1绑定ip:192.168.2.1

S0/1/0绑定ip:100.100.0.1/28

f0/0连接Core-Router1，f0/1连接CK-Router

S0/1/0连接到ISP,并启用这些端口

CK(config)#interface fastethernet0/0

CK(config-if)#ip address 192.168.1.1 255.255.255.0

CK(config-if)#no shutdown

CK(config-if)#interface fastethernet0/1

CK(config-if)#ip address 192.168.2.1 255.255.255.0

CK(config-if)#no shutdown

CK(config-if)#interface serial0/1/0

CK(config-if)#ip address 100.100.0.1 255.255.255.240

CK(config-if)#clock rate 64000

CK(config-if)#no shutdown

ISP-Router:

根据IP规划：ISP-Router的f0/0绑定ip:192.168.0.1

S0/3/0绑定ip:100.100.0.2/28

f0/0连接到Core-SW1，S0/3/0连接到CK-Router，并启用这些端口

ISP(config-if)#interface serial0/3/0

ISP(config-if)#ip address 100.100.0.2 255.255.255.240

ISP(config-if)#no shutdown

ISP(config-if)#interface fastethernet0/0

ISP(config-if)#ip address 100.100.0.19 255.255.255.240

ISP(config-if)#no shutdown

Core-Router1:

网段：192.168.1/3/4/5.0，关闭路由自动汇总

Core-Router1(config)#router rip

Core-Router1(config-router)#version 2

Core-Router1(config-router)#no auto-summary

Core-Router1(config-router)#network 192.168.2.0

Core-Router1(config-router)#network 192.168.3.0

Core-Router1(config-router)#network 192.168.6.0

Core-Router1(config-router)#network 192.168.7.0

Core-Router2:

网段：192.168.2/3/6/7.0，关闭路由自动汇总

Core-Router2(config)#router rip

Core-Router2(config-router)#version 2

Core-Router2(config-router)#no auto-summary

Core-Router2(config-router)#network 192.168.2.0

Core-Router2(config-router)#network 192.168.3.0

Core-Router2(config-router)#network 192.168.6.0

Core-Router2(config-router)#network 192.168.7.0

CK-Router:

网段：192.168.1/2.0、100.100.0.0，关闭路由自动汇总

CK(config)#router rip

CK(config-router)#version 2

CK(config-router)#no auto-summary

CK(config-router)#network 192.168.1.0

CK(config-router)#network 192.168.2.0

CK(config-router)#network 100.100.0.0 

配置默认路由(除了CK和ISP的路由器都配置)

# CK:默认路由为ISP路由器（100.100.0.2）

CK(config)#ip route 0.0.0.0 0.0.0.0 100.100.0.2

CK(config)#ip route 192.168.10.0 255.255.255.0 192.168.1.2

CK(config)#ip route 192.168.10.0 255.255.255.0 192.168.2.2 50

CK(config)#ip route 192.168.20.0 255.255.255.0 192.168.2.2

CK(config)#ip route 192.168.20.0 255.255.255.0 192.168.1.2 50

CK(config)#ip route 192.168.20.0 255.255.255.0 192.168.2.2

# Core-Router1:默认路由为出口路由器（192.168.1.1）

Core-Router1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1

Core-Router1(config)#ip route 192.168.10.0 255.255.255.0 192.168.4.2

Core-Router1(config)#ip route 192.168.10.0 255.255.255.0 192.168.5.2 50

Core-Router1(config)#ip route 192.168.20.0 255.255.255.0 192.168.5.2

Core-Router1(config)#ip route 192.168.20.0 255.255.255.0 192.168.4.2 50

# Core-Router2:默认路由为出口路由器(192.168.2.1)

Core-Router2(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1

Core-Router2(config)#ip route 192.168.10.0 255.255.255.0 192.168.6.2

Core-Router2(config)#ip route 192.168.10.0 255.255.255.0 192.168.7.2 50

Core-Router2(config)#ip route 192.168.20.0 255.255.255.0 192.168.7.2

Core-Router2(config)#ip route 192.168.20.0 255.255.255.0 192.168.6.2 50

# Core-SW1: 浮动默认路由，主路由为核心路由器1，备份路由为核心路由器2

Core-SW1(config)#ip route 0.0.0.0 0.0.0.0 192.168.4.1

Core-SW1(config)#ip route 0.0.0.0 0.0.0.0 192.168.6.1 50

# Core-SW2: 浮动默认路由，主路由为核心路由器1，备份路由为核心路由器2

Core-SW2(config)#ip route 0.0.0.0 0.0.0.0 192.168.7.1

Core-SW2(config)#ip route 0.0.0.0 0.0.0.0 192.168.5.1 50

ISP-Router:

网段：192.168.0.0、100.100.0.0，关闭路由自动汇总

ISP(config)#router rip

ISP(config-router)#version 2

ISP(config-router)#no auto-summary

ISP(config-router)#network 100.100.0.0 

动态NAT:

CK-Router:

CK(config)#interface range fastethernet0/0-1

CK(config-if-range)#ip nat inside

CK(config-if-range)#interface serial0/1/0

CK(config-if)#ip nat outside

CK(config-if)#ip nat pool YIDUO 100.100.0.3 100.100.0.30 netmask 255.255.255.240

CK(config)#access-list 1 permit 192.168.0.0 0.0.255.255

CK(config)#ip nat inside source list 1 pool YIDUO

服务器的静态NAT：

CK(config)#ip nat inside source static 192.168.20.3 100.100.0.3

CK(config)#ip nat inside source static tcp 192.168.20.3 21 100.100.0.3 21

CK(config)#ip nat inside source static 192.168.20.2 100.100.0.4

CK(config)#ip nat inside source static tcp 192.168.20.2 80 100.100.0.4 80 

ISP:

ISP(config)#interface fastethernet0/0

ISP(config-if)#ip nat inside

ISP(config-if)#interface serial0/3/0

ISP(config-if)#ip nat outside

ISP(config-if)#ip nat pool YIDUO 100.100.0.5 100.100.0.6 netmask 255.255.255.240

ISP(config)#access-list 1 permit 192.168.0.0 0.0.255.255

ISP(config)#ip nat inside source list 1 pool YIDUO

要求：内网可以访问Web服务器、FTP服务器，外网只能访问Web服务器：

备注：内网用户ip地址为192.168.0.0/16

CK(config)#access-list 101 permit tcp any 192.168.0.0 0.0.255.255 eq www

CK(config)#access-list 101 permit icmp any 192.168.0.0 0.0.255.255

CK(config)#access-list 101 deny tcp any host 192.168.20.3 eq ftp

CK(config)#access-list 101 deny tcp any host 100.100.0.3 eq ftp

CK(config)#int f0/1

CK(config-if)#ip access-group 101 out

CK(config-if)#ex

CK(config)#ex

CK#show access-lists

CK#conf t

PC-办公室:

IP:192.168.10.1/24,默认网关:192.168.10.252, DNS:192.168.20.1

FTP服务器:

IP:192.168.20.3/24,默认网关:192.168.20.252, DNS:192.168.20.1

www.hrbust.edu.cn:

IP:192.168.20.2/24,默认网关:192.168.20.252, DNS:192.168.20.1

DNS服务器:

IP:192.168.20.1/24,默认网关:192.168.20.252, DNS:192.168.20.1

PC-外网用户:

IP:192.168.0.3/24,默认网关:192.168.0.1, DNS:192.168.0.2

FTP服务器:

www.hrbust.edu.cn:

DNS服务器：

结果：

1.内网互ping成功

2.DNS解析成功

3.内网用户正常访问Web服务器和ftp服务器

结果截图与抓包分析：

（1）PC-内网用户的Arp表没有192.168.20.3的mac地址，需要广播一个arp请求请求目的IP的mac地址，但是由于PC内网的网段是192.168.10.0，跟192.168.20.0是不同网段，主机的路由表只能匹配到 默认网关Core-SW1的IP：192.168.10.252 ，主机查询自己的arp表，发现没有默认网关Core-SW1的arp记录，所以要先arp请求 默认网关Core-SW1 ，获取它的mac地址

（2）继续向外洪泛对默认网关192.168.10.252的arp广播请求

（3）Core-SW1响应PC-办公室

可以看到PC获得了 默认网关192.168.10.252 的mac地址，并准备发送ping报文给默认网关Core-SW1，交给默认网关对ping进行转发

（4）发送ping报文给默认网关，但是被默认网关Core-SW1抛掉（drop）

icmp请求被Core-SW1 drop, 下面分析这次drop的原因： 

Core-SW1根据自己路由表上192.168.20.3的下一跳的ip,查询自己的arp表

发现这个目的ip没有arp记录，所以没有其mac地址，所以drop这个ping报文，并广播arp请求192.168.20.3的mac地址

（5）逐步arp到FTP服务器，FTP服务器返回arp响应，通知自己的MAC地址

  可以看到FTP服务器返回一个arp响应报文。

（6）超时两次后，第三次icmp ping请求最终成功

结论1：

第一次超时是因为，内网用户PC的默认网关 Core-SW1 没有关于FTP服务器的arp记录，抛掉第一个ping请求后，在用户第二次ping之前 Core-SW1 arp请求到FTP服务器的mac；

第二次超时是因为，FTP服务器的默认网关 Core-SW2 没有关于内网用户的arp记录，抛掉第二个ping请求后，在用户第三次ping之前 Core-SW2 arp请求到内网用户的mac。

内网用户可以访问内网Web服务器

内网用户可以访问内网FTP服务器

（1）第一次握手

-> PC-办公室的TCP-SYN请求报文：

报文解析：

192.168.10.1（内网用户）向FTP服务器发送的握手包SYN报文

目的端口为21，这个表示请求对方21号端口的文件服务

第一次握手报文里的序列号字段，是客户端随机生成的c_seq序列号，思科这里c_seq=0

不知道对方的序列号，也没有进行对对方上一个报文的确认，所以确认号为固定的0

标记位FLAGS字段0000 0010，SYN位 置1，表示这是一个连接请求（握手）TCP报文

Window字段65536，表示用户的接收缓冲区还有65536字节

->FTP服务器的TCP-SYN \ ACK报文

（2）第二次握手

报文解析：

第二次握手报文的序列号字段，是服务器随机生成的s_seq,思科这里s_seq=0

确认号是确认对方的序列号字段，每次增加，增加的大小是自己接收对方数据字节数，这里 + 1，所以这个报文的确认号字段的值是1， c_seq+1 = 0+1 = 1

标记位FLAGS字段是0001 0010，SYN和ACK位置 1 ，SYN和ACK字段都置 1 表示这个报文既ack对方的上一个报文，又进行握手请求（SYN=1）

Window字段是16384，表示当前FTP服务器的发送缓冲区还有16384字节。

（3）第三次握手

报文解析：

第三次握手报文发送方是客户端，序列号字段，客户端自己的序列号c_seq,因为收到了上一个报文SYN报文的确认，所以此时的序列号是之前的c_seq加上收到的ack报文的确认量（SYN的确认量是1），也就是0+1 = 1

确认号是确认对方的序列号字段，没有变化

标记位FLAGS字段是0001 0000， ACK位 置 1 ， 表示这个报文既ack对方的上一个报文

Window字段是65535，表示当前FTP服务器的发送缓冲区还有65535字节。

外网用户配置ISP的时候，nat了100.100.0.5-6/28的公网网段

所以内网用户ping 100.100.0.5

可以ping通。

内网服务器当时配置了静态nat

Web服务器静态nat映射的公网地址是100.100.0.4

FTP服务器静态nat映射的公网地址是100.100.0.3

（1）外网用户 ping Web服务器和FTP服务器

可以ping通。

可以看到数据包在刚发出去的时候，目的IP还是100.100.0.3

继续传输（CK-Router向ISP传输）

可以看到100.100.0.3输入后，在进入 CK-Router 的outside端口 s0/1/0 后被 NAT成了 内网IP 192.168.20.3

首先查看出口路由器的acl

接下来在外网用户的cli上登录FTP服务器，看是否能建立ftp连接：

可以看到acl限制了ftp服务器的访问

接下来外网用户访问Web服务器：

测试成功，外网可以访问内网的Web服务器。

首先，ACL列表list 101是被定义用来实现要求的访问控制列表，这个列表的内容如图所示：

这里对访问控制条件的解析是：

1.允许任何外网主机，TCP连接网段192.168.0.0/16的tcp 80端口（http）

2.拒绝任何外网主机，TCP连接主机100.100.0.3的tcp 21端口（ftp）

3.拒绝任何外网主机，TCP连接主机192.168.20.3的tcp 21端口（ftp）

4.允许任何外网主机对网段192.168.0.0/16传输icmp报文

所以这个ACL是会拒绝外网访问内网的FTP服务器的，这个ACL的准确性也经过了上面测试的验证

而这个list 101被绑定在了从CK-Router的fastethernet0/1的输出层上；

接下来对于这个ACL拒绝外网访问内网FTP服务器的过程进行抓包分析：

首先在外网用户的PC上进行FTP连接：

在数据包传输到CK-Router的时候，CK-Router将FTP连接报文drop，并返回一个报文

可以看到，这个drop的过程是发生在，从出口路由器的fastethernet0/1端口的输出过程，这个ACL运行结果跟ACL的配置内容是一致的。

在报文解析中，思科模拟器的日志记录的是：这个包匹配到了一个access-list：

deny tcp any host 192.168.20.3 eq ftp

所以被出口路由器drop

之后是CK-Router回显的一个ICMP响应：

这个ICMP报文的TYPE字段值是 0x03 ，表示主机不可达(host unreachable)

结论：

1.ACL会在绑定的具体传输过程中生效，当数据传输处于这个传输过程时，出口路由器会匹配ACL和这个数据包的内容是否匹配，并根据ACL的配置决定转发还是抛弃；

2.如果抛弃这个数据包，出口路由器将向发端回显一个icmp host unreachable报文，通知主机不可达。

感谢观看！让我们一起加油 ！