網絡系統集成

 背景描述:

        某公司計劃建設自己的網絡,希望通過這個新建的網絡,提供一個安全、可靠、可擴展、高效的網絡環境。使公司內能夠方便快捷的實現網絡資源共享、全網接入Internet等目標。

 


公司環境和要求: 

1、公司有2個部門,財務部、市場部,還有經理辦公室;

2、爲了確保財務部電腦的安全,不允許市場部訪問財務部主機;

3、財務部不能訪問外網;

4、公司只申請到了兩個公網IP地址(202.100.100.2/29、202.100.100.3/29),供企業內網接入使用,其中一個公網地址分配給公司服務器使用,另一個公網地址分給公司員工上網使用。

5、公司內部使用私網地址172.16.0.0/16,其中三層交換機SW1爲財務部、市場部的DHCP服務器,自動爲兩部門電腦分配IP地址。

6、公司路由器R4和三層交換機SW1上運行RIP路由協議,並SW1上做默認路由指向R4,在R4上做默認路由指向外網;

7、允許外網用戶訪問公司www服務器,但不允許訪問內網和FTP服務器;

8、確保網絡防***能力,最大限度的保證內網和服務器的安全。


 

公司網絡設計圖:

  

 

 公司網絡地址規劃如下:


設備
 接口
 IP地址
 
R4
 F0/0
 172.16.1.1/30
 
S3/0
 202.100.100.2/29
 
F0/1
 172.16.50.1/24
 
SW1
 F0/22
 172.16.1.2/30
 
Vlan 10
 vlan 10
 172.16.10.1/24
 
Vlan 20
 vlan 20
 172.16.20.1/24
 
Vlan 30
 vlan 30
 172.16.30.1/24
 
Vlan 40
 vlan 40
 172.16.40.1/24
 
服務器
 網卡接口
 172.16.50.2/24
 


 


 


廣域網如下:

R1
 S3/0
 202.100.100.1/29
 
F0/0
 19.1.1.1/30
 
R2
 F0/0
 19.1.1.2/30
 
F0/1
 19.1.1.5/30
 
R3
 F0/0
 19.1.1.6/30
 
F0/1
 202.200.200.1/24
 
外網用戶
 網卡接口
 202.200.200.2/24
 


 

工程建設詳細設置:

 

 

 

1.1、         公司接入交換機SW2實施調試

(1)       創建vlan,把接口劃入到相應的vlan;

(2)       與核心交換機實現聚合;

(3)       配置端口安全,實現除F0/16接口外的所有接口只允許1臺主機訪問,違規關閉接口;

1.2、        公司核心交換機SW1實施調試

(1)       與接入層交換機實現聚合;

(2)       劃分vlan,根據IP劃分情況配置網關地址;

(3)       配置DHCP服務,實現vlan 20、vlan 30自動獲取IP地址,並指定各自網關及DNS服務器地址(202.96.128.143),每個子網前10個可用IP地址爲預留地址,不可動態分配;

(4)       配置RIP路由協議,與路由器R4實現動態路由學習,並做默認路由指向R4;

(5)       在SVI接口上做ACL,限制部門間的互訪;不允許市場部訪問財務部主機

 

1.3、        公司路由器R4的實施調試

(1)       配置RIP路由協議,並做默認路由指向外網;

(2)       配置廣域網鏈路PPP協議,並與廣域網路由器R1實現CHAP驗證;

(3)       做動態NAT地址轉換,實現內網訪問外網;配置靜態NAT,把www服務器的內網地址轉換成外網202.100.100.3/29,實現允許外網用戶訪問公司www服務器,但不允許訪問內網和FTP服務器

(4)       配置ACL,限制有關部門訪問外網;財務部不能訪問外網;

 

1.4、        公司無線控制器實施調試

(1)       配置無線AP的SSID爲vlan40;

(2)       配置DHCP功能,地址範圍爲(172.16.40.10—172.16.40.200);

(3)       採用WEP加密方式,加密口令爲:123456

 

1.5、   公司服務器搭建:

(1)       服務器用windows server 2003搭建;

(2)       配置www服務器: 配置一個站點www.kegan2010.com。站點的根目錄下放置一個first.html的簡單網頁(自己編寫),需要在頁面顯示“網絡系統集成實訓—第XX組”和“有XXX進行維護”(XXX爲組成員姓名)字樣即可。要求公司內部、外網用戶都可以通過瀏覽器訪問次站點;

(3)       FTP服務器搭建:配置一個ftp服務器,域名是ftp.kegan2010.com 。並創建用戶 upload 和 download,要求在其他pc上能用upload賬戶上傳,而不能下載。使用download用戶能下載而不能上傳,密碼與用戶名相同。要求公司內部所有pc都能訪問ftp服務器,而外部用戶不能訪問;

 

1.6、 廣域網的實施:

(1)       配置OSPF路由協議;


(2)       配置OSPF基於MD5的密碼區域認證,密碼爲:123456;

 


二、下面詳細配置:

 

R1的配置:
en
conf t
host R1
enable password test
no ip domain-lookup
line con 0
pass test
login
logg syn
no exec
exit
line vty 0 4
pass test
login
logg syn
no exec
exit
username R4 password test
int s0/0/0
ip add 202.100.100.1 255.255.255.248
clock rate 64000
encapsulation ppp
ppp  authentication chap
no sh
exit
int fa0/0
ip add 192.168.1.1 255.255.255.252
ip ospf message-digest-key 1 md5 123456
no sh
exit
router ospf 100
network 202.100.100.1 0.0.0.0 area 0
network 192.168.1.1 0.0.0.0 area 0
area 0 authentication message-digest

 

R2的配置:
en
conf t
host R2
enable password test
no ip domain-lookup
line con 0
pass test
login
logg syn
no exec
exit
line vty 0 4
pass test
login
logg syn
no exec
exit
int fa0/0
ip add 192.168.1.2 255.255.255.252
ip ospf message-digest-key 1 md5 123456
no sh
int fa0/1
ip add 192.168.1.5 255.255.255.252
ip ospf message-digest-key 1 md5 123456
no sh
exit
router ospf 100
network 192.168.1.2 0.0.0.0 area 0
network 192.168.1.5 0.0.0.0 area 0
area 0 authentication message-digest

 

R3的配置:
en
conf t
host R3
enable password test
no ip domain-lookup
line con 0
pass test
login
logg syn
no exec
exit
line vty 0 4
pass test
login
logg syn
no exec
exit
int fa0/0
ip add 192.168.1.6 255.255.255.252
ip ospf message-digest-key 1 md5 123456
no sh
int fa0/1
ip add 202.200.200.1 255.255.255.0
ip ospf message-digest-key 1 md5 123456
no sh
exit
router ospf 100
network 192.168.1.6  0.0.0.0 area 0
network 202.200.200.1 0.0.0.0 area 0
area 0 authentication message-digest

 

R4的配置:
en
conf t
host R4
enable password test
no ip domain-lookup
line con 0
pass test
login
logg syn
no exec
exit
line vty 0 4
pass test
login
logg syn
no exec
exit
username R1 pass test
int s0/0/0
ip add 202.100.100.2 255.255.255.248
ip nat outside
encapsulation ppp
ppp authentication chap
no sh
int fa0/1
ip add 172.16.50.1 255.255.255.0
ip nat inside
no sh
int fa0/0
ip add 172.16.1.1 255.255.255.252
ip nat inside
no sh
exit
ip route  0.0.0.0 0.0.0.0 202.100.100.1
ip default-network 202.100.100.0
router rip
version 2
no auto-summary
network 202.100.100.0
network 172.16.50.0
network 172.16.1.0
exit
access-list 1 deny 172.16.20.0 0.0.0.255
access-list 1 permit any
int s0/0/0
ip access-group 1 out
exit
ip nat inside source static tcp 172.16.50.2 80 202.100.100.3 80
ip nat inside source list 1 interface s0/0/0 overload

 


SW1的配置:
en
conf t
host SW1
enable password test
no ip domain-lookup
line con 0
pass test
login
logg syn
no exec
exit
line vty 0 4
pass test
login
logg syn
no exec
exit
vlan 10
name manager
exit
vlan 20
name finance
exit
vlan 30
name market
exit
vlan 40
name wireless
exit
ip routing
int fa0/22
no switchport
ip add 172.16.1.2 255.255.255.252
no sh
int range fa0/1 -10
switchport mode acc
switchport access vlan 30
exit
int range fa0/11 - 12
Sswitchport mode acc
switchport access vlan 10
exit
int port-channel 1
switchport trunk encapsulation dot1q
switchport mode trunk
exit
port-channel load-balance src-dst-ip
int range fa0/23 -24
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode on
exit
ip access-list extended financeIn
permit ip any 172.16.30.0 0.0.0.255 reflect reflectIn
permit ip any any
exit
ip access-list extended Tofinance
evaluate reflectIn
deny ip 172.16.30.0 0.0.0.255 172.16.20.0 0.0.0.255
permit ip any any
exit
int vlan 10
ip add 172.16.10.1 255.255.255.0
no sh
int vlan 20
ip add 172.16.20.1 255.255.255.0
ip helper-address 172.16.1.2
ip access-group financeIn in
ip access-group Tofinance out
no sh
int vlan 30
ip add 172.16.30.1 255.255.255.0
ip helper-address 172.16.1.2
no sh
int vlan 40
ip add 172.16.40.1 255.255.255.0
no sh
exit
ip dhcp excluded-address 172.16.20.1 172.16.20.10
ip dhcp pool finance-dhcp
network 172.16.20.0 255.255.255.0
default-router 172.16.20.1
dns-server 202.96.128.143
lease 2 0 0
exit
ip dhcp excluded-address 172.16.30.1 172.16.30.10
ip dhcp pool market-dhcp
network 172.16.30.0 255.255.255.0
default-router 172.16.30.1
dns-server 202.96.128.143
lease 2 0 0
exit
router rip
version 2
no auto-summary
network 172.16.10.0
network 172.16.20.0
network 172.16.30.0
network 172.16.40.0
network 172.16.1.0
exit

 


配置SW2:
en
conf t
host SW2
enable password test
line con 0
pass test
login
logg syn
no exec
exit
line vty 0 4
pass test
login
logg syn
no exec
exit
no ip routing
vlan 20
name finance
vlan 30
name market
vlan 40
name wireless
exit
int range fa0/1 - 10
switchport mode access
switchport access vlan 30
int range fa0/11 - 15
switchport mode access
switchport access vlan 20
int fa0/16
switchport mode access
switchport access vlan 40
exit
int port-channel 1
switchport trunk encapsulation dot1q
switchport mode trunk
exit
port-channel load-balance src-dst-ip
int range fa0/23 -24
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode on
exit
int range fa0/1 - 15
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky
switchport port-security violation shutdown
exit

 

 

至此完成配置,然後到測試,圖就不上了。

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章