项目说明:
某公司随业务发展需要,迫切对目前网络进行以下方面改革:
1、针对于不同的部门划分不同的区域进行网络管理,确保每处区域都可以正常访问公网。
a)销售部 b)财务部 c)信息安全部 d)高层管理办公室 e)市场部 f)服务器区 g)2间主讲教室
2、针对目前公司的整体规划管理,需要进行以下网络限制
a)禁止除高层管理办公室以外的所有部门在办公时间上QQ,中午休息时间为12:00-13:30
b)对服务器区域所有限制及设定
1)金和OA协同办公系统服务器:允许所有部门人员访问,但只允许信息安全部人员进行远程管理。金和OA系统采用windows2003系统,web方式访问,开放3389端口进行远程管理
2)用友U8财务系统,只允许财务部以及高层管理部门以web方式进行访问。
3)公司网站服务器。允许市场部进行管理,并可以通过FTP方式进行上传数据或下载数据。其他部门只有WEB访问权限。
4)公司远程教育服务器,只允许主讲教室的教师机以及远程端教室的教师机进行访问。
3、配置DHCP服务器,2间主讲教室中分别有两台教师机使用静态IP地址
4、建立远程教学系统,三家分中心与公司相连,其中一家分中心还另外连接一处本地大学教室。
5、路由器只允许2位管理员访问。
针对以上的要求以及只能用公司目前所拥有的设备(cisco4000两台、cisco2621一台、其他为cisco2500),我绘制了下列拓扑图
下边的是我cisco 2621 上的配置
line vty 0 4
password vfast
access-class 2 in
password vfast
access-class 2 in
line con 0
password vfast
password vfast
interface ethernet 0/0.2
no shut
ip address 218.247.2.2 255.255.255.224
encapsulation dot1Q 2
ip nat outside
interface ethernet 0/0.3
no shut
ip address 192.168.1.1 255.255.255.0
encapsulation dot1Q 3
ip nat inside
ip access-group fuwuqi in
no shut
ip address 218.247.2.2 255.255.255.224
encapsulation dot1Q 2
ip nat outside
interface ethernet 0/0.3
no shut
ip address 192.168.1.1 255.255.255.0
encapsulation dot1Q 3
ip nat inside
ip access-group fuwuqi in
interface ethernet 0/0.4
no shut
ip address 192.168.2.1 255.255.255.0
encapsulation dot1Q 4
ip nat inside
ip access-group jiaoshi in
no shut
ip address 192.168.2.1 255.255.255.0
encapsulation dot1Q 4
ip nat inside
ip access-group jiaoshi in
interface ethernet 0/0.5
no shut
ip address 192.168.3.1 255.255.255.0
encapsulation dot1Q 5
ip nat inside
ip access-group shichang in
no shut
ip address 192.168.3.1 255.255.255.0
encapsulation dot1Q 5
ip nat inside
ip access-group shichang in
interface ethernet 0/0.6
no shut
ip address 192.168.4.1 255.255.255.0
encapsulation dot1Q 6
ip nat inside
ip access-group guanli in
no shut
ip address 192.168.4.1 255.255.255.0
encapsulation dot1Q 6
ip nat inside
ip access-group guanli in
interface ethernet 0/0.7
no shut
ip address 192.168.5.1 255.255.255.0
encapsulation dot1Q 7
ip nat inside
ip access-group xinxi in
no shut
ip address 192.168.5.1 255.255.255.0
encapsulation dot1Q 7
ip nat inside
ip access-group xinxi in
interface ethernet 0/0.8
no shut
ip address 192.168.6.1 255.255.255.0
encapsulation dot1Q 8
ip nat inside
ip access-group caiwu in
no shut
ip address 192.168.6.1 255.255.255.0
encapsulation dot1Q 8
ip nat inside
ip access-group caiwu in
interface ethernet 0/0.9
no shut
ip address 192.168.7.1 255.255.255.0
encapsulation dot1Q 9
ip nat inside
ip access-group xiaoshou in
no shut
ip address 192.168.7.1 255.255.255.0
encapsulation dot1Q 9
ip nat inside
ip access-group xiaoshou in
access-list 2 permit host 192.168.5.2
access-list 2 permit host 192.168.5.3
access-list 2 permit host 192.168.5.3
time-range xiuxi
periodic daily 12:00 to 13:30
periodic daily 12:00 to 13:30
ip access-list extended fuwuqi
permit tcp 192.168.0.0 0.0.255.255 host 192.168.1.2 eq 80
permit tcp 192.168.5.0 0.0.0.255 host 192.168.1.2 eq 3389
permit tcp 192.168.4.0 0.0.0.255 host 192.168.1.3 eq 80
permit tcp 192.168.6.0 0.0.0.255 host 192.168.1.3 eq 80
permit tcp any host 192.168.1.4 eq 80
permit tcp 192.168.3.0 0.0.0.255 host 192.168.1.3 eq 21
permit tcp host 192.168.2.3 host 192.168.1.4 eq 80
permit tcp host 192.168.2.4 host 192.168.1.4 eq 80
permit tcp host 192.168.2.5 host 192.168.1.4 eq 80
permit tcp host 192.168.2.6 host 192.168.1.4 eq 80
permit tcp host 192.168.12.2 host 192.168.1.4 eq 80
permit tcp host 192.168.13.2 host 192.168.1.4 eq 80
permit tcp host 192.168.14.2 host 192.168.1.4 eq 80
permit tcp host 192.168.15.2 host 192.168.1.4 eq 80
permit tcp 192.168.1.0 0.0.0.255 any eq 80
deny tcp any any
deny udp any any
permit tcp 192.168.0.0 0.0.255.255 host 192.168.1.2 eq 80
permit tcp 192.168.5.0 0.0.0.255 host 192.168.1.2 eq 3389
permit tcp 192.168.4.0 0.0.0.255 host 192.168.1.3 eq 80
permit tcp 192.168.6.0 0.0.0.255 host 192.168.1.3 eq 80
permit tcp any host 192.168.1.4 eq 80
permit tcp 192.168.3.0 0.0.0.255 host 192.168.1.3 eq 21
permit tcp host 192.168.2.3 host 192.168.1.4 eq 80
permit tcp host 192.168.2.4 host 192.168.1.4 eq 80
permit tcp host 192.168.2.5 host 192.168.1.4 eq 80
permit tcp host 192.168.2.6 host 192.168.1.4 eq 80
permit tcp host 192.168.12.2 host 192.168.1.4 eq 80
permit tcp host 192.168.13.2 host 192.168.1.4 eq 80
permit tcp host 192.168.14.2 host 192.168.1.4 eq 80
permit tcp host 192.168.15.2 host 192.168.1.4 eq 80
permit tcp 192.168.1.0 0.0.0.255 any eq 80
deny tcp any any
deny udp any any
ip access-list extended jiaoshi
permit tcp any any eq 80
permit tcp any any eq 8000 time-range xiuxi
permit udp any any eq 8000 time-range xiuxi
deny tcp any any
deny udp any any
permit tcp any any eq 80
permit tcp any any eq 8000 time-range xiuxi
permit udp any any eq 8000 time-range xiuxi
deny tcp any any
deny udp any any
ip access-list extended shichang
deny tcp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny tcp any any eq 11023
deny tcp any any eq 1024
deny tcp any any eq 1025
deny tcp any any eq 2475
deny tcp any any eq 3127
deny tcp any any eq 6129
deny tcp any any eq 593
deny tcp any any eq 2745
deny tcp any any eq 3127
deny tcp any any eq 6129
deny udp any any eq 135
deny udp any any eq 137
deny udp any any eq 138
deny udp any any eq 445
permit tcp any any eq 8000 time-range xiuxi
permit udp any any eq 8000 time-range xiuxi
permit tcp any any
permit udp any any
ip access-list extended guanli
permit tcp any any
permit udp any any
deny tcp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny tcp any any eq 11023
deny tcp any any eq 1024
deny tcp any any eq 1025
deny tcp any any eq 2475
deny tcp any any eq 3127
deny tcp any any eq 6129
deny tcp any any eq 593
deny tcp any any eq 2745
deny tcp any any eq 3127
deny tcp any any eq 6129
deny udp any any eq 135
deny udp any any eq 137
deny udp any any eq 138
deny udp any any eq 445
permit tcp any any eq 8000 time-range xiuxi
permit udp any any eq 8000 time-range xiuxi
permit tcp any any
permit udp any any
ip access-list extended guanli
permit tcp any any
permit udp any any
ip access-list extended xinxi
deny tcp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny tcp any any eq 11023
deny tcp any any eq 1024
deny tcp any any eq 1025
deny tcp any any eq 2475
deny tcp any any eq 3127
deny tcp any any eq 6129
deny tcp any any eq 593
deny tcp any any eq 2745
deny tcp any any eq 3127
deny tcp any any eq 6129
deny udp any any eq 135
deny udp any any eq 137
deny udp any any eq 138
deny udp any any eq 445
permit tcp any any eq 8000 time-range xiuxi
permit udp any any eq 8000 time-range xiuxi
permit tcp any any
permit udp any any
deny tcp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny tcp any any eq 11023
deny tcp any any eq 1024
deny tcp any any eq 1025
deny tcp any any eq 2475
deny tcp any any eq 3127
deny tcp any any eq 6129
deny tcp any any eq 593
deny tcp any any eq 2745
deny tcp any any eq 3127
deny tcp any any eq 6129
deny udp any any eq 135
deny udp any any eq 137
deny udp any any eq 138
deny udp any any eq 445
permit tcp any any eq 8000 time-range xiuxi
permit udp any any eq 8000 time-range xiuxi
permit tcp any any
permit udp any any
ip access-list extended caiwu
deny tcp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny tcp any any eq 11023
deny tcp any any eq 1024
deny tcp any any eq 1025
deny tcp any any eq 2475
deny tcp any any eq 3127
deny tcp any any eq 6129
deny tcp any any eq 593
deny tcp any any eq 2745
deny tcp any any eq 3127
deny tcp any any eq 6129
deny udp any any eq 135
deny udp any any eq 137
deny udp any any eq 138
deny udp any any eq 445
permit tcp any any eq 8000 time-range xiuxi
permit udp any any eq 8000 time-range xiuxi
permit tcp any any
permit udp any any
deny tcp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny tcp any any eq 11023
deny tcp any any eq 1024
deny tcp any any eq 1025
deny tcp any any eq 2475
deny tcp any any eq 3127
deny tcp any any eq 6129
deny tcp any any eq 593
deny tcp any any eq 2745
deny tcp any any eq 3127
deny tcp any any eq 6129
deny udp any any eq 135
deny udp any any eq 137
deny udp any any eq 138
deny udp any any eq 445
permit tcp any any eq 8000 time-range xiuxi
permit udp any any eq 8000 time-range xiuxi
permit tcp any any
permit udp any any
ip access-list extended xiaoshou
deny tcp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny tcp any any eq 11023
deny tcp any any eq 1024
deny tcp any any eq 1025
deny tcp any any eq 2475
deny tcp any any eq 3127
deny tcp any any eq 6129
deny tcp any any eq 593
deny tcp any any eq 2745
deny tcp any any eq 3127
deny tcp any any eq 6129
deny udp any any eq 135
deny udp any any eq 137
deny udp any any eq 138
deny udp any any eq 445
permit tcp any any eq 8000 time-range xiuxi
permit udp any any eq 8000 time-range xiuxi
permit tcp any any
permit udp any any
deny tcp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny tcp any any eq 11023
deny tcp any any eq 1024
deny tcp any any eq 1025
deny tcp any any eq 2475
deny tcp any any eq 3127
deny tcp any any eq 6129
deny tcp any any eq 593
deny tcp any any eq 2745
deny tcp any any eq 3127
deny tcp any any eq 6129
deny udp any any eq 135
deny udp any any eq 137
deny udp any any eq 138
deny udp any any eq 445
permit tcp any any eq 8000 time-range xiuxi
permit udp any any eq 8000 time-range xiuxi
permit tcp any any
permit udp any any
access-list 1 permit 192.168.0.0 0.0.255.255
ip nat pool rongxin
ip nat inside source static tcp 218.247.2.3 218.247.2.20 netmask
ip nat pool rongxin
ip nat inside source static tcp 218.247.2.3 218.247.2.20 netmask
255.255.255.224
ip nat inside source list 1 pool rongxin
ip nat inside source static tcp 192.168.1.2 80 218.247.21 80
ip nat inside source static tcp 192.168.1.3 80 218.247.22 80
ip nat inside source static tcp 192.168.1.4 80 218.247.23 80
ip nat inside source static tcp 192.168.1.5 80 218.247.24 80
ip nat inside source list 1 pool rongxin
ip nat inside source static tcp 192.168.1.2 80 218.247.21 80
ip nat inside source static tcp 192.168.1.3 80 218.247.22 80
ip nat inside source static tcp 192.168.1.4 80 218.247.23 80
ip nat inside source static tcp 192.168.1.5 80 218.247.24 80
ip dhcp pool jiaoshi
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server 202.106.192.115
lease 2
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server 202.106.192.115
lease 2
ip dhcp pool shichang
network 192.168.3.0 255.255.255.0
default-router 192.168.3.1
dns-server 202.106.192.115
lease 2
network 192.168.3.0 255.255.255.0
default-router 192.168.3.1
dns-server 202.106.192.115
lease 2
ip dhcp pool guanli
network 192.168.4.0 255.255.255.0
default-router 192.168.4.1
dns-server 202.106.192.115
lease 2
network 192.168.4.0 255.255.255.0
default-router 192.168.4.1
dns-server 202.106.192.115
lease 2
ip dhcp pool xinxi
network 192.168.5.0 255.255.255.0
default-router 192.168.5.1
dns-server 202.106.192.115
lease 2
network 192.168.5.0 255.255.255.0
default-router 192.168.5.1
dns-server 202.106.192.115
lease 2
ip dhcp pool caiwu
network 192.168.6.0 255.255.255.0
default-router 192.168.6.1
dns-server 202.106.192.115
lease 2
network 192.168.6.0 255.255.255.0
default-router 192.168.6.1
dns-server 202.106.192.115
lease 2
ip dhcp pool xiaoshou
network 192.168.7.0 255.255.255.0
default-router 192.168.7.1
dns-server 202.106.192.115
lease 2
network 192.168.7.0 255.255.255.0
default-router 192.168.7.1
dns-server 202.106.192.115
lease 2
ip dhcp extended-address 192.168.2.3 192.168.2.6
ip dhcp extended-address 192.168.5.2 192.168.5.3
ip dhcp extended-address 192.168.5.2 192.168.5.3
ip route 0.0.0.0 0.0.0.0 218.247.2.1
interface loopback 0
no shut
ip address 1.1.1.1 255.255.255.255
no shut
ip address 1.1.1.1 255.255.255.255
router ospf 0
network 192.168.1.0 255.255.255.0 area 0
network 192.168.2.0 255.255.255.0 area 0
network 192.168.3.0 255.255.255.0 area 0
network 192.168.4.0 255.255.255.0 area 0
network 192.168.5.0 255.255.255.0 area 0
network 192.168.6.0 255.255.255.0 area 0
network 192.168.7.0 255.255.255.0 area 0
network 192.168.1.0 255.255.255.0 area 0
network 192.168.2.0 255.255.255.0 area 0
network 192.168.3.0 255.255.255.0 area 0
network 192.168.4.0 255.255.255.0 area 0
network 192.168.5.0 255.255.255.0 area 0
network 192.168.6.0 255.255.255.0 area 0
network 192.168.7.0 255.255.255.0 area 0
转载于:https://blog.51cto.com/tencent/91303
扫一扫
3013
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
