⽹络⼯程的实验:中⼩企业园区⽹建设
⼀、实验⽬的:通过实施项⽬,了解如何对中⼩企业建设⽹络的需求进⾏分析,给出解决⽅案,并进⾏实施。
⼆、实验背景:以企业为计划建设⾃⼰的企业园区⽹络,希望对通过新建的⽹络提供⼀个安全可靠可扩展性以及⾼效的⽹络环境,将两个办公地点连接在⼀起,使企业内能够实现⽅便快捷的⽹络资源共享,全⽹接⼊Internet等⽬标,同时要想实现公司内部的信息隔离以及对公⽹的安全访问,为了确保这些关键应⽤的正常运⾏和安全和可持续性发展。
三、⽹络环境:
1. 企业有两个办公地点A和B,且相距较远。
2. A办公地点具有较多的部门,综合部(16台PC)、财务部(14台PC)、业务部(14台PC),为主要的办公场所,因此这部分的交换⽹络对可⽤性和可靠性要求较⾼。
3. A办公楼⼀层设有业务部(7台PC)、财务部(7台PC)和综合部(8台PC),⼆楼同样设有业务部(7台PC)、财务部(7台PC)和综合部(8台PC)。
4. B办公地点具有较少的办公⼈员,Internet接⼊点在B办公地点。
5. 企业已经申请到了若⼲个公⽹IP地址供企业内⽹接⼊Internet使⽤:201.10.8.1/24----201.10.8.6/24.
6. 公司内部使⽤私有地址。
四、⽹络需具备的特性:
1.采⽤先进的⽹络通信技术完成企业⽹络的建设,连接两个距离较远的办公地点。
2.为了提⾼数据的传输效率,在整个企业⽹络内控制⼴播域的范围。交换机 路由器
3.在整个企业集团内实现资源共享并保证主⼲⽹的⾼⽹络⾼可靠性。
4.企业内部⽹络中实现⾼效的路由选择。
5.在企业⽹络出⼝处对数据流量实现⼀定的控制。
6.使⽤较少的公⽹IP连接Inernet,申请到得公⽹IP:201.10.8.1/24—201.10.8.6/24.
7. 不允许财务⽹访问互联⽹,业务部只能访问www服务和ftp的服务,综合部只能访问www服务,其余访问不受限制。
五.拓扑图
六.需求分析
1. RA和RB使⽤⼴域⽹链路链接。配置ppp的pap认证
2. 在接⼊层采⽤⼆层交换机,并且使⽤⼀定的⽅式分割⼴播域。在接⼊层交换机上划分vlan,业务部划分到vlan10,财务部划分到vlan20,业务部划分到vlan30.
3.1 三层交换机实现vlan间的路由。
3.2 核⼼层采⽤三层交换机,且采⽤双核⼼互为备份的,接⼊层交换机分别通过两条上⾏链路连接到两台核⼼层交换机上,为了提⾼⽹络的可靠性,⽹络中存在⼤量的冗余链路,在交换机上配置⽣成树协议避免⼴播风暴的产⽣。
4.1三层交换机与路由器之间配置路由接⼝实现全⽹互通。
4.2RB配置静态路由链接公⽹Internet,在三层交换机上配置缺省路由链接到RA,RA再配置缺省路由指向RB路由器,RB再配置⼀条缺省路由指向RInernet路由器。
5.在RB上少量的公⽹IP地址实现企业内部到公⽹的访问,在RB上进⾏NAT的配置,来实现企业⽹内部所有⽤户都能通过这些少量的公
⽹IP地址来访问公⽹。
7.在RB上对内⽹到外⽹的访问进⾏⼀定的控制,不允许财务⽹访问互联⽹,业务部只能访问www服务和ftp的服务,综合部只能访问www服务,其余访问不受限制。在路由器上配置安全访问控制列表来实现对访问公⽹流量的控制。
七.各路由器,交换机的配置
SW-1:
1.建⽴vlan10,vlan20,vlan30,分别对应业务部,财务部,综合部:
Switch(config)#vlan 10
Switch(config-vlan)#name yewu
同理配置vlan20,vlan30
2.把vlan绑定到端⼝:
Switch(config)#interface range f0/3-9
Switch(config-if-range)#switchport access vlan 10
同理把另外两个vlan绑定到端⼝
3.为SW-1配Trunk:
Switch(config)#interface range f0/1-2
Switch(config-if-range)#switchport mode trunk
SW-2 : 配置跟SW-1同理
三层交换机Switch A:
1.配置Switch A与SW-1之间的Trunk:
Switch(config)#interface range f0/3-4
Switch(config-if-range)#switchport trunk encapsulation dot1q
Switch(config-if-range)#switchport mode trunk
2.配置vlan10,vlan20和vlan30的ip地址:
Switch(config)#ip routing
Switch(config)#interface vlan 10
Switch(config-if)#no shut
Switch(config-if)#ip add 192.168.10.254 255.255.255.0
Switch(config-if)#interface vlan 20
Switch(config-if)#no shut
Switch(config-if)#ip add 192.168.20.254 255.255.255.0
Switch(config-if)#interface vlan 30
Switch(config-if)#no shut
Switch(config-if)#ip add 192.168.30.254 255.255.255.0
3.配置Switch A与Switch B之间的Trunk:
Switch(config)#interface range f0/1-2
Switch(config-if-range)#switchport trunk encapsulation dot1q Switch(config-if-range)#switchport mode trunk
4.配置VTP:
Switch(config)#vtp mode server
Switch(config)#vtp domain chenfeibiao
Switch(config)#vtp password star
5.设置Switch A的f0/24端⼝的ip:
Switch(config)#interface f0/24
Switch(config-if)#no switchport
Switch(config-if)#ip address 10.1.1.2 255.255.0.0
6.设置Switch A的默认路由:
Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1
三层交换机Switch B:配置跟Switch A同理
对Switch A,Switch B,SW-1和SW-2配置STP:
1.设置Switch A的优先级:
Switch(config)#spanning-tree vlan 10 priority 0
Switch(config)#spanning-tree vlan 20 priority 0
Switch(config)#spanning-tree vlan 30 priority 0
2.设置Switch A与Switch B之间的链路带宽:
Switch(config)#interface range f0/1-2
Switch(config-if-range)#speed 100
3.设置Switch B的优先级:
Switch(config)#spanning-tree vlan 10 priority 4096
Switch(config)#spanning-tree vlan 20 priority 4096
Switch(config)#spanning-tree vlan 30 priority 4096
4.设置SW-1的优先级:
Switch(config)#spanning-tree vlan 10 priority 8192
Switch(config)#spanning-tree vlan 20 priority 8192
Switch(config)#spanning-tree vlan 30 priority 8192
5.设置SW-1与Switch A,Switch B之间的链路带宽:
Switch(config)#interface range f0/1-2
Switch(config-if-range)#speed 10
6.设置SW-2的优先级:
Switch(config)#spanning-tree vlan 10 priority 12288
Switch(config)#spanning-tree vlan 20 priority 12288
Switch(config)#spanning-tree vlan 30 priority 12288
7.设置SW-2与Switch A,Switch B之间的链路带宽:
Switch(config)#interface range f0/1-2
Switch(config-if-range)#speed 10
Router A:
1.Router A的各个端⼝ip设置:
Router(config)#interface f0/0
Router(config-if)#ip address 10.1.1.1 255.255.255.0
Router(config-if)#interface f1/0
Router(config-if)#ip address 10.2.2.1 255.255.255.0
Router(config-if)#interface Serial2/0
Router(config-if)#clock rate 64000
Router(config-if)#ip address 192.168.1.1 255.255.255.0
2.设置Router A的静态路由,⽬的⽹络是3个vlan所在的⽹段:
Router(config)#ip route 192.168.10.0 255.255.255.0 10.1.1.2 Router(config)#ip route 192.168.20.0 255.255.255.0 10.1.1.2 Router(config)#ip route 192.168.30.0 255.255.255.0 10.1.1.2
3.设置Router A的默认路由:
Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
Router B:
1.Router B的端⼝ip设置:
S2/0:192.168.1.2/24
S3/0:201.10.8.1/24
命令与Router A类似
2.设置Router B的静态路由,⽬的⽹络是3个vlan所在的⽹段:
Router(config)#ip route 192.168.10.0 255.255.255.0 192.168.1.1 Router(config)#ip route 192.168.20.0 255.255.255.0 192.168.1.1
Router(config)#ip route 192.168.30.0 255.255.255.0 192.168.1.1
3.设置Router B的默认路由:
Router(config)#ip route 0.0.0.0 0.0.0.0 201.10.8.7
4.在Router B配置动态NAT:
Router(config)#ip nat pool yewu 201.10.8.2 201.10.8.3 netmask 255.255.255.0
Router(config)#ip nat inside source list 1 pool yewu
Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255
Router(config)#ip nat pool zonghe 201.10.8.4 201.10.8.6 netmask 255.255.255.0
Router(config)#ip nat inside soure list 2 pool zonghe
Router(config)#access-list 2 permit 192.168.30.0 0.0.0.255
Router(config)#interface s2/0
Router(config-if)#ip nat inside
Router(config-if)#interface f0/0
Router(config-if)#ip nat outside
5.在Router B配置扩展ACL:
(1)控制业务部只能访问www服务和ftp的服务:
Router(config)#access-list 100 permit tcp host 201.10.8.2 2.0.0.0 0.255.255.255 eq 80 Router(config)
#access-list 100 permit tcp host 201.10.8.2 2.0.0.0 0.255.255.255 eq 21 Router(config)#access-list 100 permit tcp host 201.10.8.2 2.0.0.0 0.255.255.255 eq 20 Router(config)#access-list 100 permit tcp host 201.10.8.3 2.0.0.0 0.255.255.255 eq 80 Router(config)#access-list 100 permit tcp host 201.10.8.3 2.0.0.0 0.255.255.255 eq 21 Router(config)#access-list 100 permit tcp host 201.10.8.3 2.0.0.0 0.255.255.255 eq 20 (2)控制综合部只能访问www服务:
Router(config)#access-list 100 permit tcp 201.10.8.4 0.0.0.3 2.0.0.0 0.255.255.255 eq 80 (3)将ACL应⽤到端⼝:
Router(config)#interface f0/0
Router(config-if)#ip access-group 100 out
配置Router A与Router B之间的PAP认证:
(1)改变Router串⾏⼝的封装为PPP 封装
Router(config)#interface s2/0
Router(config-if)#encapsulation ppp
Router B的串⾏⼝的封装也改为PPP 封装,同理。
(2)在路由器Router A上,配置在路由器Router B上登录的⽤户名和密码
发布评论