该文详细描述了一个园区网络的设计过程,包括需求分析、VLAN规划、DHCP服务器设置、IP地址分配、路由配置、出口NAT策略、WLAN服务以及网络安全措施。在实施后进行了连通性测试,确保各部门间及对外连接的正常。特别地,对访客中心和财务部的网络访问做了特殊限制,体现了安全性和访问控制的重要性。
目录
需求分析
某公司准备创建一个全新的园区网,需求如下:
- 能满足公司当前的业务需求
- 网络拓扑简单,容易维护
- 提供有线接入供员工办公使用,提供WiFi服务供访客使用
- 做到简单的网络流量控制
- 保证一定的安全性
规划与设计
拓扑图
VLAN设计和规划
| VLAN编号 | VLAN描述 | VLAN类型 |
| 2 | 网管中心 | 业务VLAN |
| 3 | 访问WLAN的业务VLAN | |
| 4 | 研发部 | |
| 5 | 市场部 | |
| 6 | 财务部 | |
| 100 | 二层设备的管理VLAN | 管理VLAN |
| 200 | AGG和CORE之间的互联VLAN | 互联VLAN |
DHCP设计
| 区域 | DHCP服务器 | 端口 | 地址块 |
| 无线控制 | 10.20.100.254 | int vlan 100(AC01) | 10.20.100.0/24 |
| 访客中心 | 10.20.3.254 | int vlan 3(LWC_AGG) | 10.20.3.0/24 |
| 研发部 | 10.20.4.254 | int vlan 4(LWC_AGG) | 10.20.4.0/24 |
| 市场部 | 10.20.5.254 | int vlan 5(LWC_AGG) | 10.20.5.0/24 |
| 财务部 | 10.20.6.254 | int vlan 6(LWC_AGG) | 10.20.6.0/24 |
IP规划
| 区域 | DHCP服务器 | 端口 | 地址块 |
| 无线控制 | 10.20.100.254 | int vlan 100(AC01) | 10.20.100.0/24 |
| 访客中心 | 10.20.3.254 | int vlan 3(LWC_AGG) | 10.20.3.0/24 |
| 研发部 | 10.20.4.254 | int vlan 4(LWC_AGG) | 10.20.4.0/24 |
| 市场部 | 10.20.5.254 | int vlan 5(LWC_AGG) | 10.20.5.0/24 |
| 财务部 | 10.20.6.254 | int vlan 6(LWC_AGG) | 10.20.6.0/24 |
部署与实施
接口配置
| 设备 | 接口 | 配置内容 |
| LWC_SW2 | port-group 1 | group-member e0/0/2 e0/0/3 |
| eth-trunk 1 | trunkport e 0/0/1 0/0/11 | |
| LWC_SW3 | port-group 1 | group-member e0/0/2 e0/0/3 |
| eth-trunk 1 | trunkport e 0/0/1 0/0/11 | |
| LWC_SW4 | port-group 1 | group-member e0/0/2 e0/0/3 |
| eth-trunk 1 | trunkport e 0/0/1 0/0/11 | |
| LWC_AGG | eth-trunk 3 | trunkport e 4/0/3 6/0/3 |
| eth-trunk 4 | trunkport e 4/0/4 6/0/4 | |
| eth-trunk 5 | trunkport e 4/0/5 6/0/5 | |
| eth-trunk 6 | trunkport e 4/0/6 6/0/6 |
VLAN配置
| 设备 | 接口 | 配置内容 |
| LWC_SW2 | port-group 1 | port link-type access port default vlan 4 |
| eth-trunk 1 | port link-type access port default vlan 4 | |
| LWC_SW3 LWC_SW3 | port-group 1 | port link-type access port default vlan 5 |
| eth-trunk 1 | port link-type access port default vlan 5 | |
| LWC_SW4 | port-group 1 | port link-type access port default vlan 6 |
| eth-trunk 1 | port link-type access port default vlan 6 | |
| LWC_AGG | eth-trunk 3 | port link-type access port default vlan 3 |
| eth-trunk 4 | port link-type access port default vlan 4 | |
| eth-trunk 5 | port link-type access port default vlan 5 | |
| eth-trunk 6 | port link-type access port default vlan 6 | |
| int e6/0/0 | port link-type access port default vlan 200 | |
| LWC_AR_CORE_R1 | int e6/0/0 | port link-type access port default vlan 200 |
| int e6/0/2 | port link-type access port default vlan 2 | |
| LWC_ISP | int e4/0/0 | port link-type access port default vlan 1 |
| int e4/0/1 | port link-type access port default vlan 1 |
静态地址
| 设备 | 接口 | 配置内容 |
| LWC_AGG LWC_AGG | int vlan 3 | ip addr 10.20.3.254 24 |
| int vlan 4 | ip addr 10.20.4.254 24 | |
| int vlan 5 | ip addr 10.20.5.254 24 | |
| int vlan 6 | ip addr 10.20.6.254 24 | |
| int vlan 200 | ip addr 10.20.200.2 30 | |
| LWC_CORE_R1 | int vlan 200 | ip addr 10.20.200.1 30 |
| int vlan 2 | ip addr 10.20.2.254 24 | |
| int g0/0/0 | ip addr 10.20.201.2 30 | |
| LWC_AR_OUT | int g0/0/0 | ip addr 10.20.201.1 30 |
| int g0/0/1 | ip addr 182.245.65.1 24 | |
| LWC_ISP | int g0/0/1 | ip addr 182.245.65.254 24 |
| int vlan 1 | ip addr 106.60.70.254 24 |
DHCP
| 设备 | 接口 | 网段 |
| LWC_AGG | int vlan 3 | 10.20.3.0 24 |
| int vlan 4 | 10.20.4.0 24 | |
| int vlan 5 | 10.20.5.0 24 | |
| int vlan 6 | 10.20.6.0 24 | |
| AC01 | Int vlan 100 | 10.20.100.0 24 |
路由配置
| 设备 | 配置 |
| LWC_AGG | ip route-static 0.0.0.0 0 10.20.200.1 ospf 1 router-id 1.1.1.1 area 0 network 10.20.3.0 0.0.0.255 network 10.20.4.0 0.0.0.255 network 10.20.5.0 0.0.0.255 network 10.20.6.0 0.0.0.255 network 10.20.200.0 0.0.0.3 |
| LWC_CORE_R1 | ip route-static 0.0.0.0 0 10.20.201.1 ospf 1 router-id 2.2.2.2 area 0 network 10.20.200.0 0.0.0.3 network 10.20.2.0 0.0.0.255 network 10.20.201.0 0.0.0.3 |
| LWC_AR_OUT | ip route-static 0.0.0.0 0 182.245.65.254 ospf 1 router-id 3.3.3.3 area 0 network 10.20.201.0 0.0.0.3 |
出口NAT
| 设备 | 端口 | 配置 |
| LWC_AR_OUT LWC_AR_OUT | int g0/0/1 | acl 2000 rule 5 deny source 10.20.6.0 0.0.0.255 rule 50 permit nat outbound 2000 |
| int g0/0/1 | nat server protocol tcp global 182.245.65.2 80 inside 10.20.2.1 80 |
WLAN设计
wlan ac-global carrier id cmcc ac id 1
wlan
wlan ac source int vlan 100
ap-auth-mode mac-auth
ap id 1 type-id 19 mac 00e0-fc7c-0cf0
q
wmm-profile id 1 name wmm
q
radio-profile id 1 name r01
wmm-profile id 1
q
traffic-profile id 1 name t01
q
security-profile id 1 name s01
q
q
int wlan-ess 1
port hybrid pvid vlan 3
port hybrid untagged vlan 3
q
wlan
service-set id 1 name ss01
wlan-ess 1
ssid hw01
service-vlan 3
traffic-profile id 1
security-profile id 1
q
ap 1 radio 0
radio-profile id 1
y
service-set id 1网络安全配置
#LWC_AGG
firewall zone trust
priority 14
q
firewall zone untrust
priority 0
q
int vlan 3
zone untrust
q
int vlan 4
zone trust
q
int vlan 5
zone trust
q
int vlan 6
zone trust
q
acl 3000
rule 5 deny ip source 10.20.3.0 0.0.0.255
q
firewall interzone untrust trust
firewall enable
packet-filter 3000 inbound
q
#LWC_AGG
firewall zone trust
priority 14
q
firewall zone untrust
priority 0
q
int vlan 3
zone untrust
q
int vlan 4
zone trust
q
int vlan 5
zone trust
q
int vlan 6
zone trust
q
acl 3000
rule 5 deny ip source 10.20.3.0 0.0.0.255
q
firewall interzone untrust trust
firewall enable
packet-filter 3000 inbound
q
#LWC_AR_OUT
acl 2000
rule 5 deny source 10.20.6.0 0.0.0.255
rule 50 permit
quit
int g0/0/1
nat outbound 2000连通性测试
研发部ping研发部
研发部ping市场部
访客中心访问Internet
访客中心访问公司内部(ACL拦截)
财务部访问Internet(不给财务部提供NET转换服务)
总结
这次期末设计综合了之前所有的实验,而且加入了一些从来没见过或者是需要自己学习的功能和指令,在配指令之前光拓扑就改了好多遍。此外,在这次实验中还加入了课时以外的内容,比如DHCP服务的配置,OSPF协议的使用、链路聚合以及WLAN虚拟无线网的配置。比较困难的是配置无线局域网,知识点比较多,指令长,而且在仿真的时候还会遇到BUG,但是最终还是有惊无险的完成的任务。
4985
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
