用Cisco Packet Tracer复现一个中型企业网：从VLAN划分到NAT配置的保姆级实验指南

用Cisco Packet Tracer复现一个中型企业网：从VLAN划分到NAT配置的保姆级实验指南

在当今数字化办公环境中，一个设计精良的企业网络就像城市的交通系统——需要合理的分区规划（VLAN）、高效的路线指引（路由）以及安全的出入检查（NAT）。对于网络工程学习者而言，Cisco Packet Tracer这款轻量级模拟器就像是一个虚拟的网络实验室，让我们能够无风险地搭建、测试和排错各种网络架构。本文将带您从零开始，在Packet Tracer中完整复现一个包含5个部门的中型企业网络，重点不是讲解理论概念，而是手把手演示每条关键命令的实际输入位置和常见配置错误的排查方法。

1. 实验环境准备与拓扑搭建

在开始配置之前，我们需要先规划好整个网络的骨架。打开Packet Tracer 8.2版本（建议使用较新版以避免功能缺失），按照以下步骤构建基础框架：

设备选型清单：

• 核心交换机：Cisco 3560-24PS（三层交换能力必备）
• 接入交换机：Cisco 2960-24TT（二层即可） × 4台
• 边界路由器：Cisco 4321 ISR（支持NAT和PPP）
• 终端设备：PC × 65台（按部门数量分配）
• 服务器：Generic Server × 2台（分别用作Web和FTP）

物理连接时有个容易忽略的细节：三层交换机与路由器之间建议使用交叉线（在Packet Tracer中选择"Copper Cross-over"），而交换机与终端之间使用直通线。拓扑结构可以参考这个逻辑布局：

[Internet云] ←(PPP)→ [边界路由器] ←(千兆光纤)→ [核心交换机] ↙ ↓ ↘ [财务部SW] [行政SW] [业务部SW] ↙ ↓ ↘ PC1-10 PC11-25 PC26-65

提示：在设备数量较多时，可以先用"Place Note"功能标注每个设备的角色，避免后续配置时混淆。

2. VLAN与SVI的实战配置

VLAN划分是企业网隔离的基础，我们采用基于部门的分段方案。在核心交换机上执行这些关键命令：

enable configure terminal vlan 10 name Finance exit vlan 20 name Admin exit vlan 30 name Sales exit vlan 40 name IT exit vlan 50 name Servers exit

接下来配置交换端口的VLAN归属。以财务部接入交换机为例：

interface range fastEthernet 0/1-10 switchport mode access switchport access vlan 10 no shutdown exit interface gigabitEthernet 0/1 switchport mode trunk switchport trunk allowed vlan 10,20,30,40,50 no shutdown exit

三层交换机的SVI配置是实现跨VLAN通信的核心：

interface Vlan10 ip address 172.16.1.1 255.255.255.0 no shutdown exit interface Vlan20 ip address 172.16.2.1 255.255.255.0 no shutdown exit ! 同理配置其他VLAN接口

常见错误排查：

1. VLAN间无法通信：检查ip routing命令是否启用
2. Trunk链路不通：确认两端都允许相同VLAN通过
3. IP分配冲突：用show ip interface brief核对地址

3. OSPF路由与PPP认证详解

动态路由配置是网络畅通的关键。在核心交换机和边界路由器上配置OSPF：

router ospf 1 network 172.16.0.0 0.0.255.255 area 0 network 192.168.1.0 0.0.0.255 area 0 exit

对于企业出口的PPP认证，需要特别注意CHAP配置的对称性：

! 边界路由器配置 interface Serial0/0/0 encapsulation ppp ppp authentication chap ip address negotiated exit username ISP password 0 Cisco123 ! 模拟ISP端的配置（需另建路由器） interface Serial0/0/0 encapsulation ppp ppp authentication chap ip address 203.0.113.2 255.255.255.252 clock rate 64000 ! DCE端必须配置时钟 exit username BorderRouter password 0 Cisco123

验证命令：

• show ip ospf neighbor查看OSPF邻接关系
• debug ppp authentication诊断PPP认证问题
• show interface serial0/0/0检查链路状态

4. NAT转换与安全策略实施

动态NAT配置需要特别注意ACL与地址池的关联：

ip nat pool PUBLIC_POOL 202.69.10.5 202.69.10.8 netmask 255.255.255.248 access-list 100 permit ip 172.16.0.0 0.0.255.255 any ip nat inside source list 100 pool PUBLIC_POOL overload interface GigabitEthernet0/0 ip nat inside exit interface Serial0/0/0 ip nat outside exit

服务器发布需要静态NAT映射：

ip nat inside source static 172.16.5.2 202.69.10.6

访问控制策略示例（限制销售部访问FTP）：

access-list 110 deny tcp 172.16.3.0 0.0.0.255 172.16.5.3 eq 21 access-list 110 permit ip any any interface Vlan30 ip access-group 110 in exit

关键验证点：

1. show ip nat translations查看转换条目
2. clear ip nat translation *强制清空NAT表测试新建连接
3. 测试时建议从不同VLAN发起访问，验证ACL生效情况

5. 服务部署与综合测试

Web服务器部署要点：

1. 在Generic Server上启用HTTP服务
2. 设置默认网页内容（如index.html）
3. 配置IP地址为172.16.5.2/24

FTP服务器的特殊配置：

! 在服务器配置界面 ftp-server enable ftp username admin password cisco

最终测试流程应该包括：

1. 内部连通性测试（ping各VLAN网关）
2. 跨VLAN访问测试（如财务部访问行政部共享文件夹）
3. 互联网访问验证（ping 8.8.8.8）
4. 外网访问Web服务器（通过202.69.10.6）
5. 验证销售部无法访问FTP（telnet 172.16.5.3 21）

在真实教学环境中，我会要求学生用ping和traceroute命令绘制出数据包的完整路径，这能深刻理解整个网络的数据流向。遇到故障时，建议按照"物理层→VLAN→路由→NAT"的层次逐步排查，这个方法论在实际工作中同样适用。