1.網(wǎng)絡(luò)拓?fù)鋱D

本次實(shí)驗(yàn)需要構(gòu)建模擬內(nèi)外網(wǎng)，其中內(nèi)網(wǎng)設(shè)置2個(gè)VLAN分別是VLAN10和VLAN20，最終連接到路由器，路由器作為內(nèi)網(wǎng)出口連接外網(wǎng)，并且設(shè)計(jì)同在一個(gè)交換機(jī)下的兩個(gè)VLAN以及增加一個(gè)擴(kuò)展交換機(jī)下的VLAN連到路由器，實(shí)現(xiàn)同個(gè)VLAN的互通以及對外網(wǎng)10.0.0.254的互通，拓?fù)鋱D如下：

網(wǎng)絡(luò)拓?fù)鋱D

配置靜態(tài)IP這里就不贅述了，拓?fù)鋱D中已經(jīng)標(biāo)識出來，當(dāng)然可以在實(shí)現(xiàn)的時(shí)候擴(kuò)展使用DHCP來實(shí)現(xiàn)自動(dòng)獲取IP和自動(dòng)配置網(wǎng)關(guān)，使用DHCP的話在路由器Router上開啟DHCP、配置相關(guān)地址池即可，當(dāng)然前提是要保證下面的主機(jī)能夠ping通路由器。

2.VLAN配置

注：HCL有一個(gè)對于新人的小坑，對于交換機(jī)，開啟了顯示接口名，明明顯示的是GE_0/1，但是在實(shí)際配置中是需要寫成 gi 1/0/1，少了一個(gè)1/，在剛開始使用的時(shí)候經(jīng)常發(fā)現(xiàn)進(jìn)去的接口不對或者根本沒有這個(gè)接口，而路由器確實(shí)就是gi 0/0沒有問題。
還有，如果在HCL中加入了PC虛擬主機(jī)，是需要在右鍵配置里邊打開"接口管理"選項(xiàng)，否則接口時(shí)打不開的，剛開始使用HCL也踩了坑。

交換機(jī)SW-center

從主機(jī)到交換機(jī)，這里用的access鏈路，使用比較簡便的配置方法，直接創(chuàng)建VLAN，在VLAN視圖里加入指定的端口即可，當(dāng)然，也可以進(jìn)各自的interface下配置_port link-type access_，直接加入指定端口的鏈路類型也是access。

[SW-center]vlan 10
[SW-center-vlan10]port GigabitEthernet 1/0/1
[SW-center-vlan10]port GigabitEthernet 1/0/2

同樣VLAN 20 也這樣配置，不再贅述。
對于交換機(jī)連到路由器，這里用的是trunk鏈路，我們需要指定鏈路類型，配置允許指定VLAN通過這個(gè)端口，配置如下

[SW-center-GigabitEthernet1/0/5]port link-type trunk
[SW-center-GigabitEthernet1/0/5]port trunk  permit vlan 10 20

在實(shí)驗(yàn)時(shí)也可以模擬需求來擴(kuò)展加入設(shè)置缺省VLAN，通過_port trunk pvid vlan vlan-id_可以實(shí)現(xiàn)。

交換機(jī)SW-ex

配置方法是一樣的，從主機(jī)到交換機(jī)也是配置的access鏈路，從交換機(jī)到路由器也是配置的trunk鏈路，并且方法一樣，讀者可以自行舉一反三。

路由器Router

配置路由器我們需要把路由器上的interface的一個(gè)大的分成小的，例如：_int gi 0/0.10_ ，根據(jù)設(shè)置的VLAN數(shù)量來決定要用幾個(gè)子接口，這里劃分了VLAN 10和 VLAN 20 ，所以使用了0/0.10和0/0.20，通過dot1q來指定映射的VLAN，這個(gè)叫做用802.1Q和子接口實(shí)現(xiàn)VLAN間路由，具體協(xié)議可以自行擴(kuò)展，這里還是著重用法和經(jīng)驗(yàn)，具體配置如下：

[R1]int gi 0/2.10
[R1-GigabitEthernet0/2.10]vlan-type dot1q vid 10
[R1-GigabitEthernet0/2.10]ip add 192.168.3.1 24

大概就是遵循配置子接口對相應(yīng)VLAN的映射，配置IP（這里作為網(wǎng)關(guān)）
VLAN 10 和VLAN 20的配置都是一樣的做法，對于擴(kuò)展的路由器SW-ex也是需要在和路由器連接的那條路的路由器端的接口的子接口配置，不再贅述

至此已經(jīng)能做到拓?fù)鋱D中小方塊之間的互通了，但是上面的VLAN10還是無法ping到下面的VLAN10，因?yàn)樯厦娴腣LAN10的主機(jī)和下面VLAN10的主機(jī)并不處在同一個(gè)網(wǎng)段（192.168.1.0/24和192.168.3.0/24），并且沒有指定網(wǎng)關(guān)，192.168.1.254主機(jī)不知道發(fā)送給192.168.3.252的包要發(fā)到哪里去，那干脆就不發(fā)了，抓包發(fā)現(xiàn)只有ARP請求，并且沒有響應(yīng)，所以沒有后續(xù)，需要我們指定網(wǎng)關(guān)，或者指定靜態(tài)路由把主機(jī)不知道發(fā)去哪里的包指一條路，這里因?yàn)檫x用的路由器充當(dāng)主機(jī)，配置靜態(tài)路由把他不認(rèn)識的目的地址扔給我們的路由器，就像網(wǎng)關(guān)一樣：

[net1]ip route-static 0.0.0.0 0 192.168.1.1

講白話就是你不認(rèn)識他，你交給上級，上級認(rèn)識，讓上級給你轉(zhuǎn)發(fā)，配置這條靜態(tài)路由就像當(dāng)于只要是我不認(rèn)識的我都給上級轉(zhuǎn)發(fā)。

至此已經(jīng)能夠?qū)崿F(xiàn)內(nèi)網(wǎng)中相應(yīng)VLAN的通信了，上面的VLAN 10 已經(jīng)可以ping到下面的VLAN 10
擴(kuò)展一下，如果要實(shí)現(xiàn)不同VLAN間的相互通信，可以通過設(shè)置ARP broadcast或者VLAN聚合，當(dāng)然這些還需要進(jìn)一步研究

3.NAT配置

在配置好內(nèi)網(wǎng)之后，開始配置NAT，此時(shí)可以通過抓包看到內(nèi)網(wǎng)主機(jī)是可以向外網(wǎng)主機(jī)發(fā)送數(shù)據(jù)包的，但是沒有回應(yīng)，因?yàn)橥饩W(wǎng)主機(jī)不知道你這個(gè)內(nèi)網(wǎng)IP是從哪里來的，此時(shí)需要地址轉(zhuǎn)換來保證通信，將私網(wǎng)IP轉(zhuǎn)換成公網(wǎng)IP，這樣才在同一個(gè)網(wǎng)段上進(jìn)行通信。
NAT配置有EASY NAT和BASIC NAT，還有NAPT，這里使用的是EAST NAT，主要是為了分享配置思路，BASIC NAT其實(shí)思路也是一樣，不過要配置地址池。
如果之前配置了其他類型的NAT，可以使用_undo nat outbound_這個(gè)命令取消之前的NAT配置，然后再使用nat outbound命令重新配置即可
大概思路就是配置acl策略，然后啟用nat是指定策略（BASIC和NAPT還要制定地址池）就可以了

[R1]acl basic 2000
[R1-acl-ipv4-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[R1-GigabitEthernet0/1]nat outbound 2000

如果做BASIC或NAPT，參考命令如：

nat address-group 1 
address 10.0.0.1 10.0.0.10 //配置地址范圍，每發(fā)送一個(gè)包都換一個(gè)，默認(rèn)遞增，會自行重置
...
nat outbound 2000 address-group 1 //指定使用group 1設(shè)置的地址范圍
nat outbound 2000 address-group 1 no-pat //如果用的BASIC NAT要加上no-pat

至此，已經(jīng)可以抓包看到地址轉(zhuǎn)換了

文章最后

本次實(shí)驗(yàn)是新手使用HCL進(jìn)行組網(wǎng)配置的上手實(shí)驗(yàn)，對于每一步都寫上了自己的理解和一些原理和思路，日后可能會發(fā)現(xiàn)錯(cuò)漏和不足，希望高手能指出錯(cuò)誤，對學(xué)習(xí)進(jìn)步有更多幫助。