中小型企业网络建设及访问限制
- 设计内容及要求:
2.1实验拓扑图:
2.2设计背景:
拟为某地的H分公司部署局域网络,并连接到公司总部的网络。总部网络如下图所示:
H分公司获得了总部统一分配的24位子网掩码的B类私网地址。现还需采购1台路由器、2台三层交换机、4台24口的二层交换机和1台FTP服务器,设备及相关材料由施工方采购。请设计并实施H分公司的网络建设。
2.3 网络要求
1、H网络接入到R2路由器上,使用OSPF动态路由协议,并配置为完全末梢区域;
2、H有三个部门,分别是行政部20台左右的主机(实际验收用2台主机作验证,下同),技术部20台左右的主机,工程部40台左右主机,它们必须分属3个不同的VLAN;
3、H所有主机均能通过NAT访问总部网络(以能ping通总部PC为准);
4、H的技术部允许访问H的FTP服务器(FTP服务器需部署FTP服务,其他PC部署FTP客户端,以能实现FTP上传下载为准),其他部门不能访问;
5、H网络在核心交换机处部署冗余保护,FTP服务器部署冗余保护;
6、所有主机自动获取IPv4地址。
2.4基本功能
1、 H所有主机均能通过NAT访问总部网络(以能ping通总部PC为准);
2、 H的技术部允许访问H的FTP服务器(FTP服务器需部署FTP服务,其他PC部署FTP客户端,以能实现FTP上传下载为准),其他部门不能访问;
3、 所有主机自动获取IPv4地址;
4、 使用STP协议处理了网络之间形成的环路,不会产生广播风暴;
3.1 VLAN划分
部门 | Vlan号 | 主机数 | 网络地址 | 广播地址 | 可用范围/子网掩码 | 可用主机数 |
工程部 | 10 | 40 | 10.31.1.0 | 10.31.1.63 | 10.31.1.1-10.31.1.62/26 | 62 |
技术部 | 20 | 22 | 10.31.1.64 | 10.31.1.95 | 10.31.1.65-10.1.1.94/27 | 30 |
行政部 | 30 | 22 | 10.31.1.96 | 10.31.1.127 | 10.12.1.97-10.31.1.126/27 | 30 |
图3.1 VLAN划分图
3.2端口划分
部门 | 主机数 | 接口 | Vlan 号 | 备注 |
工程部 | 40 10.31.1.0 | SW2-1(1-22)+SW2-2(1-18) | 10 | |
技术部 | 20 10.31.1.64 | SW2-3(1-20) | 20 | |
行政部 | 20 22 10.21.1.96 | SW-(1-20) | 30 |
3.3二层交换机VLAN划分
按照规划好图4.2 VLAN划分图,及图4.3 端口划分图,将二层交换上的端口添加的VLAN里,将与三层交换机相连的链路设置为trunk端口。
3.4 三层交换机端口链路聚合及与二层交换机的连通配置
主要实现的三层交换机之间的冗余备份,将其中二层交换机与三层交换机之间用trunk线连起来。
3.5 三层交换机Vlan间通信配置
三层交换机可以实现不同vlan之间的互通,只需要打开三层交换机的路由功能(ip routing),然后二层交换机与三层交换机之间用trunk链路连接,将每个vlan封装进去即可实现不同vlan之间的通信。
3.6 路由器配置
用ospf动态路由实现网络层的通信,给三层交换机与路由器相通的端口也配置IP地址,实现传输层到网络层的通信。
3.7 特殊区域配置
H网络接入到R2路由器上,使用OSPF动态路由协议,并配置为完全末梢区域,所以将area 1 区域设置为total stub(完全末梢区域)。
3.9 DHCP地址池配置
DHCP服务可以实现动态获取IP地址的功能,可以在三层交换机上搭建一个无中继DHCP服务,从而使三个部门动态获取IP地址。在R1上搭建一个无中继DHCP服务,从而使H主网的PC机实现动态获取IP地址。
3.10 NAT配置
将公司主网与Area1区域连接的端口配置NAT设置,将与主网连接的端口设置为内网,与分公司相连的网络配置为外网。
3.12 ACL控制列表配置
完整文档和pkt文件可在资源处下载