大楼或功能划分 | 楼层 | 所属vlan | 信息点数 | ip地址段 | 默认网关 | 交换机网管地址 |
交换机网管地址 | 所有 | 10 | 10.1.1.0/24 | 10.1.1.254 | ||
综合办公楼二 | 2楼 | 3 | 42 | 172.16.2.0/24 | 172.16.2.254 | 10.1.1.100 |
4楼 | 4 | 42 | 172.16.3.0/24 | 172.16.3.254 | 10.1.1.102 | |
5楼 | 5 | 42 | 172.16.4.0/24 | 172.16.4.254 | 10.1.1.103 | |
综合办公楼一 | 1楼 | 21 | 40 | 172.16.100.0/25 | 172.16.100.126 | 10.1.1.1 |
2楼 | 22 | 40 | 172.16.101.0/25 | 172.16.101.126 | 10.1.1.2 | |
3楼 | 23 | 40 | 172.16.102.0/25 | 172.16.102.126 | 10.1.1.3 | |
4楼 | 24 | 40 | 172.16.103.0/25 | 172.16.103.126 | 10.1.1.4 | |
5楼 | 25 | 40 | 172.16.104.0/25 | 172.16.104.126 | 10.1.1.5 | |
6楼 | 26 | 40 | 172.16.105.0/25 | 172.16.105.126 | 10.1.1.6 | |
员工宿舍楼 | 1楼 | 27 | 22 | 172.16.100.128/25 | 172.16.100.254 | 10.1.1.7 |
2楼 | 28 | 22 | 172.16.101.128/25 | 172.16.101.254 | 10.1.1.8 | |
3楼 | 29 | 22 | 172.16.102. 128/25 | 172.16.102.254 | 10.1.1.9 | |
4楼 | 30 | 22 | 172.16.103. 128/25 | 172.16.103.254 | 10.1.1.10 | |
5楼 | 31 | 22 | 172.16.104. 128/25 | 172.16.104.254 | 10.1.1.11 | |
6楼 | 32 | 22 | 172.16.105.128/25 | 172.16.105.254 | 10.1.1.12 | |
员工宿舍楼 | 1楼 | 33 | 22 | 172.16.106.128/25 | 172.16.106.254 | 10.1.1.13 |
2楼 | 34 | 22 | 172.16.107.128/25 | 172.16.107.254 | 10.1.1.14 | |
3楼 | 35 | 22 | 172.16.108. 128/25 | 172.16.108.254 | 10.1.1.15 | |
网络技术中心 | 技术部 | 36 | 172.16.109. 128/25 | 172.16.109.254 | 10.1.1.16 | |
研发部 | 37 | 172.16.110. 128/25 | 172.16.110.254 | 10.1.1.17 | ||
车间一 | 1楼 | 38 | 172.16.111. 128/25 | 172.16.111.254 | 10.1.1.18 | |
2楼 | 39 | 172.16.112.128/25 | 172.16.112.254 | 10.1.1.19 | ||
中心机房 | 4楼 | 2 | 3 | 172.16.1.0/25 | 172.16.1.126 | 10.1.1.253 |
DNS | 4楼 | 2 | 172.16.1.1/25 | 172.16.1.126 | ||
www | 4楼 | 2 | 172.16.1.2/25 | 172.16.1.126 | ||
FTP | 4楼 | 2 | 172.16.1.5/25 | 172.16.1.126 | ||
出口ip地址 | 221.5.150.0/24 |
功能需求
1.报告内容包括企业网络需求分析,企业网络拓扑图, 企业ip分配地址段:172.16.0.0/16
交换机管理ip地址段:10.1.1.0/24。给出ip与vlan规划,并绘制分配表
2.不同的区域之间采用不同的VLAN进行划分,相同部门的计算机利用二层交换机进行互联,不同部门之间的通信通过三层核心交换机进行转发
3.由于考虑到学生的人数很多,且学生常利用自己的计算机连接学校的网络,所以进行静态网络配置显得不那么合适,这里将采用DHCP动态配置,企业ip分配地址段:172.16.0.0/16
交换机管理ip地址段:10.1.1.0/24。给出ip与vlan规划。
4全网采用一台边界路由,配置NAT,互联网ip地址段:202.96.100.0/25。各楼宇用交换机实现数据交换,要求给出相应配置。
5网络安全部署ACL(FTP服务器只允许综合办公楼一、二访问 ,其他部门禁止访问,交换机配置管理ip地址,交换机实现telnet,交换机telnet访问只允许网络技术中心部门访问,其他部门禁止访问)
1路由配置
企业内网想要连到外网,就必须有一条通往外部的路由,在核心层出口路由上配置一条出外网的默认路由,下一跳为AR2的g0/0/1接口
[SW1]ip rount-static 0.0.0.0 0.0.0.0 10.1.1.254
同样,外网如果要访问企业,就要再边界路由器配置一条缺省路由
[AR2]ip route-static 0.0.0.0 0.0.0.0 10.1.1.253
2交换机配置
首先要将学校内网打通,这里用二层vlan技术来实现。
VLAN(Virtual Local Area Network)技术:通过在交换机上部署 VLAN 机制,可以将一个规模较大的广播域在逻辑上划分成若干个不同的,规划较小的广播域,由此可有效提升网络的安全性,同时减少垃圾流量,节约了网络资源。
主要配置内容如下:
六个部门PC端与接入层交换机配置access链路
<LSW6>system-view //进入系统视图
[LSW6]vlan 3 //创建vlan3
[LSW6-vlan3]quit //退出vlan3视图
[LSW6]int GigabitEthernet 0/0/2 //进入g0/0/2接口
[LSW6-GigabitEthernet0/0/2]port link-type access //将接口链路类型定为access链路类型
[LSW6-GigabitEthernet0/0/2]port default vlan 3 //把接口划分到vlan3
所有的接入层设备与终端连接的链路操作都如上
查看vlan命令:display vlan
配置接入层与汇聚层链路时,公司规模较大,员工较多,内部网络是一个大的局域网。公司放置了多台接入交换机负责员工的网络接入。公司通过划分 VLAN 来隔离广播域,由于员工较多,相同部门的员工通过不同交换机接入。为了保证在不同交换机下相同部门的员工能互相通信,需要配置交换机之间链路为干道模式,以实现相同 VLAN 跨交换机通信。
因此,接入层与汇聚层之间配置trunk链路,具体配置如下:
<LSW6>system-view //进入系统视图
[LSW6]vlan banch 3 10 //创建vlan3和vlan10
[LSW6]interface GigabitEthernet 0/0/1 //进入g0/0/1接口
[LSW6-GigabitEthernet0/0/1]port link-type trunk //将接口链路类型定为trunk链路类型
[LSW6-GigabitEthernet0/0/1]port trunk allow-pass vlan 3 10 //把接口划分到vlan3,10
在链路另一端接口配置trunk相同,所有接入层与汇聚层配置相同
3 NAT配置
网络地址转换技术也称为 NAT(Network Address Translation)技术,它的基本作用:就是实现私网 IP地址与公网 IP地址之间的转换。NAT是将 IP数据报文报头中的 IP地址转换为另一个 IP 地址的过程,主要用于实现内部网络(私有 IP 地址) 访问外部网络(公有IP地址)的功能。NAT有3 种类型:静态NAT、动态地址 NAT以及网络地址端口转换 NAPTNAT转换设备(实现 NAT功能的网络设备) 维护着地址转换表,所有经过 NAT转换设备并且需要进行地址转换的报文,都会通过该表做相应转换,NAT转换设备处于内部网络和外部网络的连接处,常见的有路由器、防火墙等。
在该企业网上,先做acl策略,将企业网内网进行汇总,做内网到外网的出口路由并调用
具体配置如下:
[AR2]acl 2000 //创建acl2000
[AR2] rule 5 permit source 172.16.0.0 0.0.255.255 //允许172.16.0.0/16访问
[AR2]interface GigabitEthernet 0/0/0 //进入g0/0/0接口
[AR2-GigabitEthernet0/0/0] ip address 202.96.100.1 255.255.255.252 添加IP地址
[AR2-GigabitEthernet0/0/0]net outbond acl 2000 //出口调用acl200
4 ACL配置
网络安全部署ACL(FTP服务器只允许综合办公楼一、二访问 ,其他部门禁止访问,所以要用acl做一个策略,这里在服务器交换机的G0/0/4接口上做,具体配置如下:
[server]acl 2001
[server]rule 5 permit source 172.16.2.0 0.0.0.255
[server]rule 10 permit source 172.16.3.0 0.0.0.255
[server]rule 15 permit source 172.16.4.0 0.0.0.255
[server] rule 16 permit source 172.16.100.0 0.0.0.255
[server]rule 17 permit source 172.16.101.0 0.0.0.255
[server]rule 18 permit source 172.16.102.0 0.0.0.255
[server]rule 19 permit source 172.16.103.0 0.0.0.255
[server]rule 20 permit source 172.16.104.0 0.0.0.255
[server]rule 21 permit source 172.16.105.126 0.0.0.129
[server]rule 30 deny source any
然后就可以在接口上调用
[server]interface GigabitEthernet 0/0/4
[server-GigabitEthernet0/0/4]traffic-filter outbound acl 2001 //在接口使用traffic-filter调用 acl 2001
5 DHCP配置
随着网络规模的扩大和网络复杂程度的提高,计算机位置变化(如便携机或无线网络)和计算机数量超过可分配的IP地址的情况将会经常出现。DHCP(Dynami ration Protocol,动态主机配置协议)就是为满足这些需求而发展起来的。DHCP 协议采用客户端/服务器(Client/Server)方式工作,DHCP Client向DHCF Server 动态地请求配置信息,DHCP Server根据策略返回相应的配置信息。
此拓扑图中,在核心层交换机上配置DHCP:
首先开启DHCP服务
[SW1]dhcp enable
然后将对应的PC打开DHCP服务
配置基于全局地址池的 DHCP服务器,从所有接口上连接的用户都可以选择该地址池中的地址,也就是说全局地址池是一个公共地址池。在 DHCP服务器上创建地址池并配置相关属性(包括地址范围、地址租期、不参与自动分配的 IP地址等),再配置接口工作在全局地址池模式。路由器支持工作在全局地址池模式的接口有三层接口及其子接口、三层 Ethernet接口及其子接口、三层 Eth-Trunk接口及其子接口和 VLANIF接口。
因此 需要在交换机上创建vlanif虚拟接口来配置DHCP
[LSW1]interface Vlanif 3 创建vlanif虚拟接口
[LSW1]ip address 172.16.2.254 255.255.255.0 //配置网关
[LSW1]dhcp select interface //开启DHCP功能,并从指定地址池分配
[LSW1]dhcp server dns-list 172.16.1.1 //配置dns
[LSW1]interface Vlanif 4 创建vlanif虚拟接口
[LSW1]ip address 172.16.3.254 255.255.255.0 //配置网关
[LSW1]dhcp select interface //开启DHCP功能,并从指定地址池分配
[LSW1]dhcp server dns-list 172.16.1.1 //配置dns
[LSW1]interface Vlanif 5 创建vlanif虚拟接口
[LSW1]ip address 172.16.4.254 255.255.255.0 //配置网关
[LSW1]dhcp select interface //开启DHCP功能,并从指定地址池分配
[LSW1]dhcp server dns-list 172.16.1.1 //配置dns
[LSW1]interface Vlanif 6 创建vlanif虚拟接口
[LSW1]ip address 172.16.5.254 255.255.255.0 //配置网关
[LSW1]dhcp select interface //开启DHCP功能,并从指定地址池分配
[LSW1]dhcp server dns-list 172.16.1.1 //配置dns
[LSW1]interface Vlanif 7 创建vlanif虚拟接口
[LSW1]ip address 172.16.6.254 255.255.255.0 //配置网关
[LSW1]dhcp select interface //开启DHCP功能,并从指定地址池分配
[LSW1]dhcp server dns-list 172.16.1.1 //配置dns
[LSW1]interface Vlanif 8 创建vlanif虚拟接口
[LSW1]ip address 172.16.7.254 255.255.255.0 //配置网关
[LSW1]dhcp select interface //开启DHCP功能,并从指定地址池分配
[LSW1]dhcp server dns-list 172.16.1.1 //配置dns
[LSW1]interface Vlanif 9 创建vlanif虚拟接口
[LSW1]ip address 172.16.8.254 255.255.255.0 //配置网关
[LSW1]dhcp select interface //开启DHCP功能,并从指定地址池分配
[LSW1]dhcp server dns-list 172.16.1.1 //配置dns
所有楼层都配置相应的vlanif虚拟接口,打开DHCP服务,配置好后,在PC上输入ipconfig即可查看自动分配的IP
6 OSPF配置
开放式最短路径优先 OSPF(Open Shortest Path First)是 IETF 组织开发的一个基于链路状态的内部网关协议(Interior Gateway Protocol)。
在此企业网中,动态路由协议ospf在路由器AR1,AR2中配置,用于连接外网服务器
[AR2]ospf 1 router-id 2.2.2.2 //配置路由器的ID号
[AR2]area 0.0.0.0 //区域0
[AR2]network 202.96.100.1 0.0.0.0 //宣告路由
[AR1]ospf 1 router-id 1.1.1.1 ///配置路由器的ID号
[AR1]area 0.0.0.0 //区域0
[AR1]network 202.96.100.2 0.0.0.0 //宣告路由
[AR1]network 202.96.100.5 0.0.0.0 //宣告路由
7 链路聚合配置
链路聚合在核心交换机与汇聚层交换机上配置:
[LSW1]int Eth-Trunk 4 //创建编号为4的聚合链路
[LSW1-Eth-Trunk4]trunkport GigabitEthernet 0/0/4 //将g0/0/4的链路化到聚合链路4中
[LSW1-Eth-Trunk4]trunkport GigabitEthernet 0/0/5 //将g0/0/5的链路化到聚合链路4中
[LSW1-Eth-Trunk4]port link-type trunk //将聚合链路4化为trunk类型
[LSW1-Eth-Trunk4]port trunk allow-pass vlan 10 21to26 //把接口划分到vlan21-26,vlan10
同样,在办公楼一楼(SW3)也需要同样的配置
[LSW3]int Eth-Trunk 4 //创建编号为4的聚合链路
[LSW3-Eth-Trunk4]trunkport GigabitEthernet 0/0/1 //将g0/0/1的链路化到聚合链路4中
[LSW3-Eth-Trunk4]trunkport GigabitEthernet 0/0/2 //将g0/0/2的链路化到聚合链路4中
[LSW3-Eth-Trunk4]port link-type trunk //将聚合链路4化为trunk类型
[LSW3-Eth-Trunk4]port trunk allow-pass vlan 10 21 to 26 //把接口划分到vlan21-26,vlan10
办公二楼也是同样操作,核心层交换机与汇聚层交换机配置:
[LSW1]int Eth-Trunk 3 //创建编号为3的聚合链路
[LSW1-Eth-Trunk3]trunkport GigabitEthernet 0/0/2 //将g0/0/2的链路化到聚合链路3中
[LSW1-Eth-Trunk3]trunkport GigabitEthernet 0/0/3 //将g0/0/3的链路化到聚合链路3中
[LSW1-Eth-Trunk3]port link-type trunk //将聚合链路3化为trunk类型
[LSW1-Eth-Trunk3]port trunk allow-pass vlan 10 3 to 5 //把接口划分到vlan3-5,vlan10
在办公楼二楼(SW2)也需要同样的配置
[LSW2]int Eth-Trunk 3 //创建编号为3的聚合链路
[LSW2-Eth-Trunk3]trunkport GigabitEthernet 0/0/1 //将g0/0/1的链路化到聚合链路3中
[LSW2-Eth-Trunk3]trunkport GigabitEthernet 0/0/2 //将g0/0/2的链路化到聚合链路3中
[LSW2-Eth-Trunk3]port link-type trunk //将聚合链路3化为trunk类型
[LSW2-Eth-Trunk3]port trunk allow-pass vlan 10 3 to 5 //把接口划分到vlan3-5,vlan10
其他链路聚合也是相同配置
8远程登陆配置
要求:交换机实现telnet,交换机telnet访问只允许网络技术中心部门访问,其他部门禁止访问)。
在接入层交换机上配置telnet,配置如下:
<LSW6>system-view //进入系统视图
[LSW6]telnet server enable //开启远程登陆服务
接下来进入 VTY 用户界面视图下,将认证模式改成 AAA。
[LSW6]user-interface vty 0 4 //最多允许5个用户
[LSW6-ui-vty0-4]authentication-mode aaa //设置认证模式为AAA
[LSW6-ui-vty0-4]quit
[LSW6]aaa
[LSW6-aaa]local-user cyq password irreversible-cipher 21060539 //创建本地用户cyq,登录密码为21060539
[LSW6-aaa] local-user cyq service-type telnet //配置本地用户cyq的接入类型为2060539
[LSW6-aaa] local-user cyq privilege level 15 //配置本地用户cyq的级别为15
这时发现,只要是路由可达的设备,并且拥有 Telnet的密码,都可以成功访问核心设
备LW6。需要通过配置标准 ACL 来实现访问过滤,禁止非网络技术中心的设备登录。
[SW6]acl 2003
[SW6-acl-basic-2003]rule 5 permit source 172.16.109.0 0.0.0.255
[SW6-acl-basic-2003]rule 10 permit source 172.16.110.0 0.0.0.255
[SW6-acl-basic-2003]rule 15 deny source any
ACL配置完成后,在 VTY中调用。使用 inbound参数,即在SW6的数据入方向上调用。
[SW6]user-interface vty 0 4
[SW6-ui-vty0-4]acl 2003 inbound
这里交换机需要配置虚拟接口并配置交换机网管地址:
[SW6]interface vlanif 10
[SW6]ip address 10.1.1.100/24