實驗名稱:vrry ,網關冗餘,浮動路由,pat地址轉化,web服務器映射
實驗拓撲圖:
3.實驗目的:1 .使內網可以訪問web服務器 -server4
2. 配置vrrp使網關冗餘備份,並且鏈路追蹤 ,並且配置浮動靜態路由
3 映射內網web服務器,使外網client5可以訪問
4. ip地址規劃 : 內網 : vlan 1 0 : 192.168.10.1 192.168.10.2
vlan 10的網關: 192.168.10.254
vlan 20 : 192.168.20.1
vlan 20 的網關 : 192.168.20.254
外網 :cloud5 與 AR的連接是 192.168.40.0 /24
AR2的ip地址爲 192.168.60. 1
web服務器ip地址 : 192.168.60.2
client 5 192.168.60.3
5.配置思路 : 首先配置 內網互通, 然後再配置可以訪問外網的web服務器 ,其次配置pat, 再配置vrrp ,最後我對做內網web服務器的發佈
# 操作步驟 :
# 首先給內網個終端配置ip地址
client 8 : ip address 192.168.20. 1 255.255.255.0
gateway 192.168.20.250 //虛擬的網關
pc2 : ip address : 192.168.10.1 255.255.255.0
gateway : 192.168.10.250
server 6 : ip address 192.168.10. 2 255.255.255.0
gateway 192.168.10.250
# 配置lsw7,lsw5,lsw6 ,鏈路狀態爲trunk, 創建vlan ,將相應的端口加入相應的vlan
配置lsw5
stp priority 0 //配置lsw5爲根交換機
創建 vlan bath 10 20 30
interface vlan 10
ip address 192.168.10. 254 255.255.255.0
interface vlan 20
ip address 192.168.20.254 255.255.255.0
ip address 192.168.30.1 255.255.255.0 //設置vlan 10 20 30 的 ip 地址
port-group group-member g0/0/1 g0/0/4
port link-type mode access
port default vlan 10
port-group group-member g0/0/2 g0/0/5
port link-type mode trunk
port trunk allow pass vlan all //將相應的端口加入到相應的vlan
interface g0/0/3
port link-type mode access
port default vlan 30
# 配置lsw7
創建vlan ,將相應的端口加入到相應的vlan
vlan bath 10 20 30
port-group group-member ethernet 0/0/1 ethernet 0/0/2
port link-type trunk
port trunk allow-pass vlan all
interface ethernet 0/0/3
port link-type access
port default vlan 10
#配置lsw6
創建vlan ,將相應的端口加入到相應的vlan
vlan bath 10 20 50 30
port-group group-member g0/0/3 g0/0/4
port link-type trunk
port trunk allow-pass vlan all
interface g0/0/2
port link-type access
port default vlan 50
interface g0/0/1
port link-type access
port default vlan 20
interface vlan 10
ip address 192.168.10.253 255.255.255.0
interface vlan 20
ip address 192.168.20.253 255.255.255.0
interface vlan 50
ip address 192.168.50.1 255.255.255.0
# 給防火牆asa配置ip地址
interface g0
nameif inside1
security-level 100
ip address 192.168.30.2 255.255.255.0
no shutdown
interface g 1
nameif inside2
security-level 50
ip address 192.168.50.2 255.255.255.0
interface g 1
nameif outside
security -level 0
ip address 192.168.40.1 255.255.255.0
# 接下來配置靜態路由使內網全網互通
route inside1 192.168.0.0 255.255.0.0 1
route inside2 192.168.0.0 255.255.0.0 20 //配置浮動靜態路由做備份使用 ,優先級越小越靠譜
ip route-static 192.168.40.0 255.255.255.0 192.168.30.2 //在lsw5上配置
ip route-static 192.168.40.0 255.255.255.0 192.168.50.2 //在lsw6上配置
# 配置vrrp網關冗餘
# 在lsw5上配置主網關
interface vlan 10
vrrp vrrid 10 virtual-ip 192.168.10.250
vrrp vrrid 10 priority 101 //優先級默認爲100.配置爲101使他成爲主網關
vrrp vrrid 10 track interface g0/0/3 //鏈路追蹤lsw5的g0/0/3 口
interface vlan 20
vrrp vrrid 20 virtual-ip 192.168.20.250
vrrp vrrid 20 priority 101 //優先級默認爲100.配置爲101使他成爲主網關
vrrp vrrid 20 track interface g0/0/3 //鏈路追蹤lsw5的g0/0/3 口
#在lsw6上配置副網關
interface vlan 10
vrrp vrrid 10 virtual-ip 192.168.10.250
interface vlan 20
vrrp vrrid 20 virtual-ip 192.168.20.250
驗證與測試 :
# 以上證明出去的流量都從lsw5上出去
# 接下來把lsw5的g 0/0/3 shutdown ,如下圖所示
# 從以上的圖示可以說明 lsw5已經成備份網關了,而 lsw6成主網關了流量都從lsw6上邊走
# 接下來配置去往192.168.60.0 網段的路由
ip route-static 192.168.60.0 255.255.255.0 192.168.30.2 //lsw5上配置
ip route-static 192.168.60.0 255.255.255.0 192.168.50.2 //lsw6上配置
# 在防火牆上配置ASA去往 192.168.60.0 的路由
route outside 192.168.60.0 255.255.255.0 192.168.40.2
#在AR2上配置去往內網的路由
# ip route-static 192.168.0.0 255.255.0.0 192.168.40.1
# 驗證與測試 :
以上圖示說明測試成功,已經可以訪問外網的web服務器了,也就說明路由已經可達了,
# 下面在防火牆上配置pat ,動態地址轉化
object network inside1
subnet 192.168.10.0 255.255.255.0
subnet 192.168.20.0 255.255.255.0
nat (inside1,outside )dynamic 192.168.40.3 //從inside1口轉換出去 // 192.168.40.0 裏邊的任何一個未用的ip地址
object network inside2
subnet 192.168.10.0 255.255.255.0
subnet 192.168.20.0 255.255.255.0
nat (inside2,outside )dynamic 192.168.40.3 //從inside2口轉換出去
# 驗證與測試
,
# 以上測試說明 內網地址可以轉化成外網地址訪問web服務器
# 發佈內部web服務器 // 利用靜態pat
object network ob-out
host 192.168.40.5 //一個外網沒有用的地址
object network inside1
host 192.168.10.2
nat (inside1,outside )static ob-out service tcp 80 80
access-list out-to-insdie permit tcp any object inside1 eq http //配置acl
access-group out-to-inside in interface outside //調用acl
驗證與測試 如下圖所示
# 以上實驗說明外網已經可以訪問內網web服務器了
——————————————————————————————————————————————————————————————————————————————————————————————————————————end