吴胜，瞿惠琴

（1.江苏康辉国际旅行社，江苏无锡，214000；2.无锡职业技术学院，江苏无锡，214121）

0 引言

网络时代，信息技术高速发展，企业组织架构更加扁平和灵活，业务种类复杂多变，大量系统迁移到云主机，同时要求原有内网服务器和二层交换机等IT资产保留利用，对网络的稳定性和安全性要求越来越高。本方案借助思科模拟器，采用三层交换机作为核心节点，利用VLAN和端口映射技术实现了内外网通信和VLAN间通信。

1 相关技术概念

1.1 思科模拟器

Cisco Packet Tracer（以下简称PT）是一款由思科公司开发的，为网络初学者提供学习的实验模拟器。使用者可以在该模拟器中搭建各种网络拓扑，实现基本网络配置，验证网络设计方案。

1.2 三层交换机

三层交换机是具有部分路由器功能的交换机，工作在网络层，它拥有很强二层包处理能力，广泛适用于大型局域网内的数据路由与交换，它既可以替代或部分完成传统路由器的功能，同时又具有第二层交换的速度，且价格相对路由器便宜。

1.3 VLAN划分

VLAN（Virtual Local Area Network）称为虚拟局域网，可以实现在二层上进行广播域的划分，它可以将网络划分成多个VLAN，有效防范广播风暴，提高网络安全性，增强网络可管理性，大大提高管理效率。如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。

1.4 端口映射

端口映射是NAT地址转换的一种，它可以把在公网的地址转翻译成私有地址，既可以保护内网中的服务器，也可以节省公网IP地址。

2 设计方案

以某中型旅游企业为例，该方案配置了两台PT服务器，两台PT路由器，一台思科3560三层交换机，三台思科2960两层交换机，六台PC。该方案利用服务器server0和路由器R1模拟外网云主机，使得内网客户机可以访问外网云主机；利用服务器server1模拟内网服务器，通过内网路由器R2端口映射，使外网客户机可以访问内网服务器；在两层交换机2960上划分三个VLAN，分别是VLAN10、VLAN20、VLAN30，通过三层交换机3560来实现三个VLAN之间通信。

2.1 网络方案

图1 网络拓扑图

2.2 实现步骤

2.2.1

表1 内网地址规划（7台）

2.2.2 外网服务器Server0和路由器R1配置

#f0/0和f1/0端口地址配置

R1(config)#int f0/0

R1(config-if)#ip addr 10.10.10.1 255.0.0.0

R1(config)#int f1/0

R1(config-if)#ip addr 20.20.20.2 255.0.0.0

#启用RIP路由

R1(config)#router rip

R1(config-router)#network 10.0.0.0

R1(config-router)#network 20.0.0.0

图2 外网服务器Server0配置参数

2.2.3 内网服务器Server1配置

2.2.4 内网路由器R2配置

#f0/0和f1/0端口地址配置

R2(config)#int f0/0

R2(config-if)#ip addr 192.168.1.10 255.255.255.0

R2(config)#int f1/0

R2(config-if)#ip addr 20.20.20.1 255.0.0.0

#启用RIP路由

R2(config)#router rip

R2(config-router)#network 192.168.1.0

R2(config-router)#network 20.0.0.0

#端口映射配置

R2(config)#ip nat inside source static tcp 192.168.1.9 80 20.20.20.20 80

R2(config)#int f0/0

R2(config-if)#ip nat inside

R2(config-if)#int f1/0

R2(config-if)#ip nat outside

图3 内网服务器Server1配置

2.2.5 三层交换机3560配置

#新建VLAN10,20,30并配置接口地址

Switch(config)#vlan 10

Switch(config)#vlan 20

Switch(config)#vlan 30

Switch(config)#int vlan 10

Switch(config-if)#ip addr 192.168.1.1 255.255.255.0

Switch(config)#int vlan 20

Switch(config-if)#ip addr 192.168.2.1 255.255.255.0

Switch(config)#int vlan 30

Switch(config-if)#ip addr 192.168.3.1 255.255.255.0

#启用交换机路由功能

Switch(config)#ip routing

#启用RIP路由

Switch(config)#router rip

Switch(config-router)#network 192.168.1.0

Switch(config-router)#network 192.168.2.0

Switch(config-router)#network 192.168.3.0

#f0/2,f0/3,f0/4端口配置trunk模式并允许通过VLAN10,20,30

Switch(config)#int f0/2

Switch(config-if)#switchport mode trunk

Switch(config-if)#switchport trunk allowed vlan 10,20,30

#f0/1,f0/5端口配置access模式并允许通过VLAN10

Switch(config)#int f0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 10

2.2.6 两层交换机2960配置

#在交换机S1,S2,S3上新建VLAN10,20,30

S1(config)#vlan 10

S1(config)#vlan 20

S1(config)#vlan 30

#配置S1,S2,S3的f0/1端口为trunk模式并允许通过VLAN10,20,30

S1(config)#int f0/1

S1(config-if)#switchport mode trunk

S1(config-if)#switchport trunk allowed vlan 10,20,30

#交换机S1,S2,S3其他端口配置连接PC所属VLAN

S1(config-if)#int f0/2

S1(config-if)#switchport mode access

S1(config-if)#switchport access vlan 20

3 测试

3.1 不同VLAN之间通信

#在PC0上ping通PC2和PC5

图4 PC0 ping PC2结果

图5 PC0 ping PC5结果

3.2 内网客户机访问外网云主机

图6 PC0 ping Server0结果

3.3 外网访问内网服务器

图7 Server0通过浏览器访问Server1结果

4 结论

本设计方案充分利用了企业原有设备，仅增加了一个三层交换机，利用VLAN和端口映射技术大大提高了企业网络的安全性和稳定性，并且在思科模拟器上得到了验证，为中小企业传统网络的改造和升级提供了一种高性价比方案。