1. 企业多分支网络场景概述想象一下一个拥有总部和多个分支机构的企业网络。总部需要与各分公司保持高效通信同时还要确保各部门之间的数据隔离和安全访问。这正是CCNA认证考试中常考的企业级多分支网络场景。在这个实验中我们将从零开始搭建这样一个网络涵盖VLAN划分、OSPF和RIP路由协议配置、DHCP服务部署、ACL访问控制以及NAT/PAT转换等核心技能点。我刚开始学习网络时最头疼的就是如何把这些零散的知识点串联起来。直到后来在实际项目中搭建了一个类似的多分支网络才真正理解各个技术模块之间的关联。这个实验就是基于这样的实战经验设计的希望能帮助大家少走弯路。2. 实验环境准备2.1 网络拓扑设计我们的实验网络由以下几部分组成总部局域网包含两个部门VLANVLAN10和VLAN20两个分公司局域网各划分两个VLAN互联网模拟部分用于测试公网访问边界路由器连接内网和公网建议使用Cisco Packet Tracer 7.3以上版本进行实验。这个版本对DHCP和NAT的支持比较完善我在8.0版本上测试时发现有些命令行为会有细微差异这点需要注意。2.2 设备初始化配置首先给所有设备设置主机名。这里有个小技巧按照设备类型编号的规则命名比如R0、R1代表路由器SW1、SW2代表交换机。我在实际项目中发现规范的命名能大大减少后期排错的难度。Routerenable Router#configure terminal Router(config)#hostname R1接口IP地址配置要特别注意子网划分。建议先在纸上规划好各网段的IP分配避免地址冲突。我刚开始做实验时就因为IP规划混乱导致后面路由协议出现问题排查了很久。3. VLAN与三层交换配置3.1 总部VLAN划分总部网络需要划分两个VLANVLAN10财务部VLAN20市场部在核心交换机上配置Switch(config)#vlan 10 Switch(config-vlan)#name Finance Switch(config-vlan)#vlan 20 Switch(config-vlan)#name Marketing这里有个常见问题新手容易忘记配置trunk端口。我建议在交换机互联的端口上都明确指定trunk模式和允许的VLAN而不是直接用switchport trunk allowed vlan all。这样更符合企业网络的安全规范。3.2 分公司VLAN配置两个分公司也采用相同的VLAN规划但IP网段不同。配置时要注意每个分公司的VLAN10使用不同子网确保VLAN ID在整个网络内唯一配置trunk端口时要检查两端设置是否匹配# 分公司1交换机配置示例 Switch(config)#interface fastEthernet 0/24 Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk allowed vlan 10,204. 路由协议部署4.1 OSPF内部路由在企业内网使用OSPF协议配置时要注意所有内网路由器使用area 0包含所有直连网段确保邻居关系正常建立Router(config)#router ospf 1 Router(config-router)#network 192.168.1.0 0.0.0.3 area 0 Router(config-router)#network 10.1.1.0 0.0.0.255 area 0调试技巧使用show ip ospf neighbor查看邻居状态。如果看不到邻居检查以下几点接口是否启用网络声明是否正确认证配置是否一致4.2 RIP外部路由在连接互联网的部分使用RIPv2配置要点只在外网接口启用RIP关闭自动汇总配置默认路由重分发Router(config)#router rip Router(config-router)#version 2 Router(config-router)#network 1.1.1.0 Router(config-router)#no auto-summary5. DHCP服务配置5.1 分公司DHCP部署在R3路由器上配置DHCP服务为分公司PC动态分配IPR3(config)#ip dhcp pool Branch1_VLAN10 R3(dhcp-config)#network 10.2.1.0 255.255.255.0 R3(dhcp-config)#default-router 10.2.1.254 R3(dhcp-config)#dns-server 8.8.8.8常见问题排查PC获取不到IP检查DHCP中继配置获取到错误网段检查地址池配置租约问题可以尝试清除DHCP绑定5.2 DHCP中继配置因为DHCP服务器不在同一网段需要在三层交换机上配置中继Switch(config)#interface vlan 10 Switch(config-if)#ip helper-address 10.2.3.2546. 访问控制与安全6.1 ACL配置在总部路由器上配置ACL实现分公司VLAN10只能访问总部服务器S0分公司VLAN20只能通过WEB访问S1R1(config)#access-list 101 permit tcp 10.2.1.0 0.0.0.255 host 10.1.2.1 eq 80 R1(config)#access-list 101 deny ip any any R1(config)#interface fastEthernet 0/0 R1(config-if)#ip access-group 101 inACL调试技巧按从具体到一般的顺序编写规则最后一定要有deny any使用show access-list查看匹配情况6.2 远程管理安全配置VTY线路限制和认证R3(config)#line vty 0 4 R3(config-line)#transport input telnet R3(config-line)#login local R3(config-line)#exit R3(config)#username admin password Cisco123安全建议使用SSH代替Telnet设置复杂密码限制管理访问源IP7. NAT与互联网访问7.1 PAT配置在边界路由器配置PAT实现内网访问互联网R0(config)#access-list 1 permit 10.1.1.0 0.0.0.255 R0(config)#ip nat inside source list 1 interface serial 0/0 overload R0(config)#interface serial 0/0 R0(config-if)#ip nat outside R0(config)#interface fastEthernet 0/0 R0(config-if)#ip nat inside常见问题处理NAT不生效检查ACL是否匹配流量只能部分上网检查路由是否正确性能问题考虑使用地址池代替overload7.2 互联网访问控制限制只有总部和分公司VLAN10可以上网R0(config)#access-list 1 deny 10.2.2.0 0.0.0.255 R0(config)#access-list 1 permit any8. 测试与验证完成所有配置后建议按以下顺序测试同一VLAN内通信跨VLAN通信分公司访问总部资源互联网访问远程管理功能使用ping、traceroute、telnet等工具测试连通性。记录测试结果与预期行为对比。我在实际项目中发现建立完整的测试用例能节省大量后期维护时间。这个实验完整涵盖了CCNA考试要求的各项技能点。建议大家在实验过程中多使用show命令查看设备状态理解每个配置背后的工作原理。遇到问题时先检查基础配置接口状态、IP地址再排查高级功能路由协议、ACL等。
思科CCNA认证——从零到一构建企业级多分支网络综合实验
发布时间:2026/6/11 18:32:02
1. 企业多分支网络场景概述想象一下一个拥有总部和多个分支机构的企业网络。总部需要与各分公司保持高效通信同时还要确保各部门之间的数据隔离和安全访问。这正是CCNA认证考试中常考的企业级多分支网络场景。在这个实验中我们将从零开始搭建这样一个网络涵盖VLAN划分、OSPF和RIP路由协议配置、DHCP服务部署、ACL访问控制以及NAT/PAT转换等核心技能点。我刚开始学习网络时最头疼的就是如何把这些零散的知识点串联起来。直到后来在实际项目中搭建了一个类似的多分支网络才真正理解各个技术模块之间的关联。这个实验就是基于这样的实战经验设计的希望能帮助大家少走弯路。2. 实验环境准备2.1 网络拓扑设计我们的实验网络由以下几部分组成总部局域网包含两个部门VLANVLAN10和VLAN20两个分公司局域网各划分两个VLAN互联网模拟部分用于测试公网访问边界路由器连接内网和公网建议使用Cisco Packet Tracer 7.3以上版本进行实验。这个版本对DHCP和NAT的支持比较完善我在8.0版本上测试时发现有些命令行为会有细微差异这点需要注意。2.2 设备初始化配置首先给所有设备设置主机名。这里有个小技巧按照设备类型编号的规则命名比如R0、R1代表路由器SW1、SW2代表交换机。我在实际项目中发现规范的命名能大大减少后期排错的难度。Routerenable Router#configure terminal Router(config)#hostname R1接口IP地址配置要特别注意子网划分。建议先在纸上规划好各网段的IP分配避免地址冲突。我刚开始做实验时就因为IP规划混乱导致后面路由协议出现问题排查了很久。3. VLAN与三层交换配置3.1 总部VLAN划分总部网络需要划分两个VLANVLAN10财务部VLAN20市场部在核心交换机上配置Switch(config)#vlan 10 Switch(config-vlan)#name Finance Switch(config-vlan)#vlan 20 Switch(config-vlan)#name Marketing这里有个常见问题新手容易忘记配置trunk端口。我建议在交换机互联的端口上都明确指定trunk模式和允许的VLAN而不是直接用switchport trunk allowed vlan all。这样更符合企业网络的安全规范。3.2 分公司VLAN配置两个分公司也采用相同的VLAN规划但IP网段不同。配置时要注意每个分公司的VLAN10使用不同子网确保VLAN ID在整个网络内唯一配置trunk端口时要检查两端设置是否匹配# 分公司1交换机配置示例 Switch(config)#interface fastEthernet 0/24 Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk allowed vlan 10,204. 路由协议部署4.1 OSPF内部路由在企业内网使用OSPF协议配置时要注意所有内网路由器使用area 0包含所有直连网段确保邻居关系正常建立Router(config)#router ospf 1 Router(config-router)#network 192.168.1.0 0.0.0.3 area 0 Router(config-router)#network 10.1.1.0 0.0.0.255 area 0调试技巧使用show ip ospf neighbor查看邻居状态。如果看不到邻居检查以下几点接口是否启用网络声明是否正确认证配置是否一致4.2 RIP外部路由在连接互联网的部分使用RIPv2配置要点只在外网接口启用RIP关闭自动汇总配置默认路由重分发Router(config)#router rip Router(config-router)#version 2 Router(config-router)#network 1.1.1.0 Router(config-router)#no auto-summary5. DHCP服务配置5.1 分公司DHCP部署在R3路由器上配置DHCP服务为分公司PC动态分配IPR3(config)#ip dhcp pool Branch1_VLAN10 R3(dhcp-config)#network 10.2.1.0 255.255.255.0 R3(dhcp-config)#default-router 10.2.1.254 R3(dhcp-config)#dns-server 8.8.8.8常见问题排查PC获取不到IP检查DHCP中继配置获取到错误网段检查地址池配置租约问题可以尝试清除DHCP绑定5.2 DHCP中继配置因为DHCP服务器不在同一网段需要在三层交换机上配置中继Switch(config)#interface vlan 10 Switch(config-if)#ip helper-address 10.2.3.2546. 访问控制与安全6.1 ACL配置在总部路由器上配置ACL实现分公司VLAN10只能访问总部服务器S0分公司VLAN20只能通过WEB访问S1R1(config)#access-list 101 permit tcp 10.2.1.0 0.0.0.255 host 10.1.2.1 eq 80 R1(config)#access-list 101 deny ip any any R1(config)#interface fastEthernet 0/0 R1(config-if)#ip access-group 101 inACL调试技巧按从具体到一般的顺序编写规则最后一定要有deny any使用show access-list查看匹配情况6.2 远程管理安全配置VTY线路限制和认证R3(config)#line vty 0 4 R3(config-line)#transport input telnet R3(config-line)#login local R3(config-line)#exit R3(config)#username admin password Cisco123安全建议使用SSH代替Telnet设置复杂密码限制管理访问源IP7. NAT与互联网访问7.1 PAT配置在边界路由器配置PAT实现内网访问互联网R0(config)#access-list 1 permit 10.1.1.0 0.0.0.255 R0(config)#ip nat inside source list 1 interface serial 0/0 overload R0(config)#interface serial 0/0 R0(config-if)#ip nat outside R0(config)#interface fastEthernet 0/0 R0(config-if)#ip nat inside常见问题处理NAT不生效检查ACL是否匹配流量只能部分上网检查路由是否正确性能问题考虑使用地址池代替overload7.2 互联网访问控制限制只有总部和分公司VLAN10可以上网R0(config)#access-list 1 deny 10.2.2.0 0.0.0.255 R0(config)#access-list 1 permit any8. 测试与验证完成所有配置后建议按以下顺序测试同一VLAN内通信跨VLAN通信分公司访问总部资源互联网访问远程管理功能使用ping、traceroute、telnet等工具测试连通性。记录测试结果与预期行为对比。我在实际项目中发现建立完整的测试用例能节省大量后期维护时间。这个实验完整涵盖了CCNA考试要求的各项技能点。建议大家在实验过程中多使用show命令查看设备状态理解每个配置背后的工作原理。遇到问题时先检查基础配置接口状态、IP地址再排查高级功能路由协议、ACL等。
)
:Compose 中的动画 —— 从简单过渡到复杂交互引言:动画让应用活起来在之前的教程中,我们零散地使用过动画:点击按钮的缩放效果、列表项进入的淡入淡出)
