目录
1.网络拓扑图
在这里我们以其中 5 栋宿舍楼为例,内部用一个防火墙保障学院公寓网络的安全性,用一个核 心交换机连接中心机房和各公寓交换机;最后接入每个公寓的公寓楼交换机。主干线路全部采用千兆速率 进行线路铺设。学校内部网络采用三层设计,以 1 号学生宿舍楼为例,在学生公寓楼的机房内用一个二级 交换机与学院的核心交换机相连,每层采用一个三级交换机与学生公寓楼内的二级交换机相连,最后在每 层的入网接入点直接与本层的三级交换机相连。
2.网络端口以及ip规划
| 设备 | 端口 | ip | 掩码 | 默认网关 |
| DHCP | 192.168.1.1 | 255.255.255.0 | 192.168.1.254 | |
| DNS | 192.168.1.2 | 255.255.255.0 | 192.168.1.254 | |
| Web | 192.168.1.3 | 255.255.255.0 | 192.168.1.254 | |
| FTP | 192.168.1.4 | 255.255.255.0 | 192.168.1.254 | |
| 核心路由器 | fa0/0 | 192.168.1.254 | 255.255.255.0 | |
| fa0/1 | 192.168.8.1 | 255.255.255.0 | ||
| fa1/0 | 192.168.9.1 | 255.255.255.0 | ||
| 核心路由器2 | fa0/1 | 192.168.9.2 | 255.255.255.0 | |
| fa0/0 | 192.168.10.1 | 255.255.255.0 | ||
| 核心交换机 | fa0/7 | 192.168.10.2 | 255.255.255.0 | |
| fa0/1 | 192.168.2.254 | 255.255.255.0 | ||
| fa0/2 | 192.168.3.254 | 255.255.255.0 | ||
| fa0/3 | 192.168.4.254 | 255.255.255.0 | ||
| fa0/4 | 192.168.5.254 | 255.255.255.0 | ||
| fa0/5 | 192.168.6.254 | 255.255.255.0 | ||
| fa0/6 | 192.168.7.254 | 255.255.255.0 | ||
| ASA0 | Et0/0 | 192.168.8.2 | 255.255.255.0 | |
| Et0/1 | 192.168.11.1 | 255.255.255.0 | ||
| 出口路由器 | fa0/0 | 192.168.11.2 | 255.255.255.0 | |
| se0/3/0 | 200.10.10.1 | 255.255.255.0 | ||
| 外网路由器 | fa0/0 | 200.10.10.254 | 255.255.255.0 | |
| se0/3/0 | 200.10.10.2 | 255.255.255.0 | ||
| 外网服务器 | 200.10.20.2 | 255.255.255.0 | 200.10.20.254 | |
| 互联网用户 | 200.10.20.1 | 255.255.255.0 | 200.10.20.254 |
3.宿舍楼网络ip分配(使用DHCP分配ip)
| 楼号 | vlan | ip分配 | 掩码 | 默认网关 |
| 1号宿舍楼 | vlan20 | 192.168.2.0-192.168.2.255共分配253个地址 | 255.255.255.0 | 192.168.2.254 |
| 2号宿舍楼 | vlan30 | 192.168.3.0-192.168.3.255共分配253个地址 | 255.255.255.0 | 192.168.3.254 |
| 3号宿舍楼 | vlan40 | 192.168.4.0-192.168.4.255共分配253个地址 | 255.255.255.0 | 192.168.4.254 |
| 4号宿舍楼 | vlan50 | 192.168.5.0-192.168.5.255共分配253个地址 | 255.255.255.0 | 192.168.5.254 |
| 5号宿舍楼 | vlan60 | 192.168.6.0-192.168.6.255共分配253个地址 | 255.255.255.0 | 192.168.6.254 |
| 无线网 | vlan70 | 192.168.7.0/24 | 255.255.255.0 | 192.168.7.254 |
4.服务器的配置
(1)DNS服务器配置:
将Ip配置好后,我们打开DNS服务—>开启服务,并且将地址和名称添加进去。
(2)DHCP配置
将ip配置好后,点击服务,打开DHCP,将vlan添加进去并保存(需要动态分配的楼)
(3)FTP配置
将ip配置好,然后点击服务中的FTP,将服务开启后,设置好用户名和密码(注意,密码需要七位),然后点击添加。
(4)web网站
(5)无线路由器的配置
配置好后,在手机和手提电脑获取网络连接,然后输入自己设置好的密码。
5.核心路由器的配置
核心路由器和核心路由器2、外网路由器的配置相似,只需要配置端口的ip和OSPF,这里就不多说了
【端口ip设置】
【OSPF配置】
6.核心交换机的配置(完整代码)
(1)建立各个公寓的vlan
Switch>enable
Switch#conf t
Switch(config)#vlan 20
Switch(config-vlan)#vlan 30
Switch(config-vlan)#vlan 40
Switch(config-vlan)#vlan 50
Switch(config-vlan)#vlan 60
Switch(config-vlan)#vlan 70
Switch(config-vlan)#exit
(2)在交换机上配置 VLAN ,为其分配 IP 地址和掩码,并为该 VLAN 指定了 DHCP 辅助地址。
Switch(config)#int vlan 20
Switch(config-if)#ip address 192.168.2.254 255.255.255.0
Switch(config-if)#ip helper-address 192.168.1.1
Switch(config-if)#int vlan 30
Switch(config-if)#ip address 192.168.3.254 255.255.255.0
Switch(config-if)#ip helper-address 192.168.1.1
Switch(config-if)#int vlan 40
Switch(config-if)#ip address 192.168.4.254 255.255.255.0
Switch(config-if)#ip helper-address 192.168.1.1
Switch(config-if)#int vlan 50
Switch(config-if)#ip address 192.168.5.254 255.255.255.0
Switch(config-if)#ip helper-address 192.168.1.1
Switch(config-if)#int vlan 60
Switch(config-if)#ip address 192.168.6.254 255.255.255.0
Switch(config-if)#ip helper-address 192.168.1.1
Switch(config-if)#int vlan 70
Switch(config-if)#ip address 192.168.7.254 255.255.255.0
Switch(config-if)#ip helper-address 192.168.1.1
Switch(config-if)#exit(3)启用交换机的路由功能
Switch(config)#ip routing
(4)配置端口fa0/7的ip(即核心交换机和核心路由器2之间的)
Switch(config)#int fa0/7
Switch(config-if)#ip address 192.168.10.2 255.255.255.0
Switch(config-if)#no shutdown(5)将其他接口配置为相应 VLAN 的访问接口,并启用了这些接口
witch(config-if)#int fa0/1
Switch(config-if)#sw mo ac
Switch(config-if)#sw ac vlan 20
Switch(config-if)#int fa0/2
Switch(config-if)#sw mo ac
Switch(config-if)#sw ac vlan 30
Switch(config-if)#int fa0/3
Switch(config-if)#sw mo ac
Switch(config-if)#sw ac vlan 40
Switch(config-if)#int fa0/4
Switch(config-if)#sw mo ac
Switch(config-if)#sw ac vlan 50
Switch(config-if)#int fa0/5
Switch(config-if)#sw mo ac
Switch(config-if)#sw ac vlan 60
Switch(config-if)#int fa0/6
Switch(config-if)#sw mo ac
Switch(config-if)#sw ac vlan 70
Switch(config-if)#exit(6)配置交换机上的 OSPF 进程,以便实现路由功能,并将多个网络地址加入到 OSPF 进程中以进行路由信息的交换
【解释】
输入了"router ospf 30"命令,进入了 OSPF 配置模式。为每个网络配置了相应的命令,其中每个网络命 令都包括了该网络的网段和子网掩码,以及它所属的区域号(这里都是 0 区域,也就是标准区域)。
最后,输入了"exit"命令,退出了 OSPF 配置模式,这将使这些配置生效并开始使用 OSPF 动态路由协议。
在配置这些网络之前,应该确保交换机和其它路由器都正确地配置了 IP
地址,并且如果交换机接口处于 shutdown 状态,那么需要将它们置为活动状态。此外,还需要确保所有相应的网络设备都能通过物理或逻辑链路互相到达,并且没有防火墙或 ACL
等阻止数据包传输的配置。
Switch(config)#router ospf 30
Switch(config-router)#net 192.168.10.0 0.0.0.255 area 0
Switch(config-router)#net 192.168.2.0 0.0.0.255 area 0
Switch(config-router)#net 192.168.3.0 0.0.0.255 area 0
Switch(config-router)#net 192.168.4.0 0.0.0.255 area 0
Switch(config-router)#net 192.168.5.0 0.0.0.255 area 0
Switch(config-router)#net 192.168.6.0 0.0.0.255 area 0
Switch(config-router)#net 192.168.7.0 0.0.0.255 area 0
Switch(config-router)#exit7.防火墙配置 (完整代码)
网络地址转换是一种用于把 IP
地址转换成临时的、外部的、注册的
IP
地址标准。它允许具有私有
IP 地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的 IP
地址。
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射 为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了 真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而 只是通过一个开放的 IP 地址和端口来请求访问。
OLM
防火墙根据预先定义好的映射规则来判断这个访问 是否安全。
当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同 的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连 接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
(1)首先show run 查看配置
ciscoasa#show run(2)当出现下面信息
!
!
!
telnet timeout 5
ssh timeout 5
!
dhcpd auto_config outside
!
dhcpd address 192.168.1.5-192.168.1.36 inside
dhcpd enable inside
!
!
(3)我们需要将其禁用
ciscoasa#conf t
ciscoasa(config)#no dhcpd address 192.168.1.5-192.168.1.36 inside
ciscoasa(config)#no dhcpd enable inside
ciscoasa(config)#no dhcpd auto_config outside(4)其余配置
ciscoasa(config)#int vlan 1
ciscoasa(config-if)#ip address 192.168.8.2 255.255.255.0
ciscoasa(config-if)#security-level 100 //设置了接口 VLAN 1 的安全级别为 100
ciscoasa(config-if)#nameif inside //接口 VLAN 1 设置了内部标识符
ciscoasa(config-if)#no shutdown
ciscoasa(config-if)#exit
ciscoasa(config)#int e0/0 //进入了 Ethernet0/0 接口的配置模式
ciscoasa(config-if)#sw access vlan 1 //将 Ethernet0/0 接口配置为访问 VLAN 1 的接口
ciscoasa(config-if)#int vlan 2
ciscoasa(config-if)#ip address 192.168.11.1 255.255.255.0
ciscoasa(config-if)#security-level 0 //设置了接口 VLAN 2 的安全级别为 0
ciscoasa(config-if)#nameif outside //给接口 VLAN 2 设置了外部标识符
ciscoasa(config-if)#no shutdown
ciscoasa(config-if)#int e0/1 //进入了 Ethernet0/1 接口的配置模式
ciscoasa(config-if)#sw ac vlan 2 //将 Ethernet0/1 接口配置为访问 VLAN 2 的接口
ciscoasa(config-if)#ex
//创建了一个名为 “fx” 的扩展访问列表,允许任何来源地址的 ICMP 包进入防火墙
ciscoasa(config)#access-list fx extended permit icmp any any
//将 “fx” 访问列表应用于防火墙的入站数据流,并将其应用于入站流量
ciscoasa(config)#access-group fx in in in
//将 “fx” 访问列表应用于防火墙的出站数据流,并指定了不同的应用方向
ciscoasa(config)#access-group fx in in out
ciscoasa(config)#access-group fx out in out
ciscoasa(config)#access-group fx out in in
//添加了一条路由,将地址范围 192.168.0.0/16 的流量路由到内部接口(inside)的网关 192.168.8.1。
ciscoasa(config)#route inside 192.168.0.0 255.255.0.0 192.168.8.1
//将所有不匹配其他路由的流量路由到外部接口(outside)的网关 192.168.11.2。
ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 192.168.11.2
ciscoasa(config)#8.出口路由器的配置(完整代码)
配置路由器的接口、静态路由、NAT 和 OSPF 功能。
NAT是内外网IP地址互换的一种协议,作用就是可以将内部地址转换成公有地址进行访问互联网,然后再将外网IP地址转换成内网IP地址进行读取,可以多个内部地址用两个公有地址进行访问。可以很大程度的节省公有IP地址的应用、也能处理编址方案重叠的情况、网络发生变化的时候也不需要重新编址、还能隐藏真实的IP地址、因为内部网络访问公有地址是用的路由器出口处的公有地址的IP,接收信息的时候也是发送给这个公有地址的IP,而不是私有地址的IP,可以很大程度的保护用户的隐私以及安全 。
Router>en
//进入全局配置模式,可以对路由器进行全局配置。
Router#conf t
//进入 FastEthernet0/0 接口的配置模式。
Router(config)#int fa0/0
Router(config-if)#ip address 192.168.11.2 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#ip nat inside //将 FastEthernet0/0 接口配置为 NAT 内部接口,用于连接内部网络
Router(config-if)#exit
//指定 Serial0/3/0 接口的时钟速率为 64000 bps。
Router(config)#int se0/3/0
Router(config-if)#ip address 200.10.10.1 255.255.255.0
Router(config-if)#clock rate 64000
Router(config-if)#no shutdown
//将 Serial0/3/0 接口配置为 NAT 外部接口,用于连接外部网络。
Router(config-if)#ip nat outside
Router(config-if)#exit
//进入 OSPF 进程号为 50 的路由器配置模式
Router(config)#router ospf 50
//配置路由器作为默认信息的来源,将 OSPF 学习到的默认路由信息通告给其他路由器。
Router(config-router)#default-information originate
Router(config-router)#exit
//再次进入 OSPF 进程号为 50 的路由器配置模式。
Router(config)#router ospf 50
//将 192.168.11.0/24 网络配置为 OSPF 的区域 0 内的网络。
Router(config-router)#net 192.168.11.0 0.0.0.255 area 0
Router(config-router)#exit
//配置默认静态路由,所有目的地的流量将被转发到 IP 地址为 200.10.10.2 的下一跳。
Router(config)#ip route 0.0.0.0 0.0.0.0 200.10.10.2
//配置静态路由,将 192.168.0.0/16 网络的流量转发到 IP 地址为 192.168.11.1 的下一跳。
Router(config)#ip route 192.168.0.0 255.255.0.0 192.168.11.1
//创建一个 NAT 池,将内部网络的地址转换为 200.10.10.3 至 200.10.10.10 范围内的地址。
Router(config)#ip nat pool DZC 200.10.10.3 200.10.10.10 Netmask 255.255.255.0
//创建一个访问列表,允许流量源地址为 192.168.0.0/16 的流量通过 NAT。
Router(config)#access-list 1 permit 192.168.0.0 0.0.255.255
//配置 NAT,将匹配访问列表 1 的流量进行地址转换,使用 NAT 池中的地址。
Router(config)#ip nat inside source list 1 pool DZC
9.测试
(1)连通性
以PC1为例,测试PC1和互联网用户的连通性以及和2号公寓的连通,以及PC1的地址分配情况
(2)网络配置
(3)web浏览
以PC1为例,我们打开浏览器,输入http://192.168.1.3,可以访问到我们建立的web网站。
(4)FTP
2910
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
