网络系统集成

 背景描述：

        某公司计划建设自己的网络，希望通过这个新建的网络，提供一个安全、可靠、可扩展、高效的网络环境。使公司内能够方便快捷的实现网络资源共享、全网接入Internet等目标。

 

公司环境和要求： 

1、公司有2个部门，财务部、市场部，还有经理办公室；

2、为了确保财务部电脑的安全，不允许市场部访问财务部主机；

3、财务部不能访问外网；

4、公司只申请到了两个公网IP地址（202.100.100.2/29、202.100.100.3/29），供企业内网接入使用，其中一个公网地址分配给公司服务器使用，另一个公网地址分给公司员工上网使用。

5、公司内部使用私网地址172.16.0.0/16，其中三层交换机SW1为财务部、市场部的DHCP服务器，自动为两部门电脑分配IP地址。

6、公司路由器R4和三层交换机SW1上运行RIP路由协议，并SW1上做默认路由指向R4，在R4上做默认路由指向外网；

7、允许外网用户访问公司www服务器，但不允许访问内网和FTP服务器；

8、确保网络防***能力，最大限度的保证内网和服务器的安全。

 

公司网络设计图：

  

 

 公司网络地址规划如下：

设备
 接口
 IP地址
 
R4
 F0/0
 172.16.1.1/30
 
S3/0
 202.100.100.2/29
 
F0/1
 172.16.50.1/24
 
SW1
 F0/22
 172.16.1.2/30
 
Vlan 10
 vlan 10
 172.16.10.1/24
 
Vlan 20
 vlan 20
 172.16.20.1/24
 
Vlan 30
 vlan 30
 172.16.30.1/24
 
Vlan 40
 vlan 40
 172.16.40.1/24
 
服务器
 网卡接口
 172.16.50.2/24
 

 

 

广域网如下：

R1
 S3/0
 202.100.100.1/29
 
F0/0
 19.1.1.1/30
 
R2
 F0/0
 19.1.1.2/30
 
F0/1
 19.1.1.5/30
 
R3
 F0/0
 19.1.1.6/30
 
F0/1
 202.200.200.1/24
 
外网用户
 网卡接口
 202.200.200.2/24
 

 

工程建设详细设置：

 

 

 

1.1、         公司接入交换机SW2实施调试

（1）       创建vlan，把接口划入到相应的vlan；

（2）       与核心交换机实现聚合；

（3）       配置端口安全，实现除F0/16接口外的所有接口只允许1台主机访问，违规关闭接口；

1.2、        公司核心交换机SW1实施调试

（1）       与接入层交换机实现聚合；

（2）       划分vlan，根据IP划分情况配置网关地址；

（3）       配置DHCP服务，实现vlan 20、vlan 30自动获取IP地址，并指定各自网关及DNS服务器地址(202.96.128.143)，每个子网前10个可用IP地址为预留地址，不可动态分配；

（4）       配置RIP路由协议，与路由器R4实现动态路由学习，并做默认路由指向R4；

（5）       在SVI接口上做ACL，限制部门间的互访；不允许市场部访问财务部主机

 

1.3、        公司路由器R4的实施调试

（1）       配置RIP路由协议，并做默认路由指向外网；

（2）       配置广域网链路PPP协议，并与广域网路由器R1实现CHAP验证；

（3）       做动态NAT地址转换，实现内网访问外网；配置静态NAT，把www服务器的内网地址转换成外网202.100.100.3/29，实现允许外网用户访问公司www服务器，但不允许访问内网和FTP服务器

（4）       配置ACL，限制有关部门访问外网；财务部不能访问外网；

 

1.4、        公司无线控制器实施调试

（1）       配置无线AP的SSID为vlan40；

（2）       配置DHCP功能，地址范围为（172.16.40.10—172.16.40.200）；

（3）       采用WEP加密方式，加密口令为：123456

 

1.5、   公司服务器搭建：

（1）       服务器用windows server 2003搭建；

（2）       配置www服务器： 配置一个站点www.kegan2010.com。站点的根目录下放置一个first.html的简单网页（自己编写），需要在页面显示“网络系统集成实训—第XX组”和“有XXX进行维护”（XXX为组成员姓名）字样即可。要求公司内部、外网用户都可以通过浏览器访问次站点；

（3）       FTP服务器搭建：配置一个ftp服务器，域名是ftp.kegan2010.com 。并创建用户 upload 和 download，要求在其他pc上能用upload账户上传，而不能下载。使用download用户能下载而不能上传，密码与用户名相同。要求公司内部所有pc都能访问ftp服务器，而外部用户不能访问；

 

1.6、 广域网的实施：

（1）       配置OSPF路由协议；

（2）       配置OSPF基于MD5的密码区域认证,密码为：123456；

 

二、下面详细配置：

 

R1的配置：
en
conf t
host R1
enable password test
no ip domain-lookup
line con 0
pass test
login
logg syn
no exec
exit
line vty 0 4
pass test
login
logg syn
no exec
exit
username R4 password test
int s0/0/0
ip add 202.100.100.1 255.255.255.248
clock rate 64000
encapsulation ppp
ppp  authentication chap
no sh
exit
int fa0/0
ip add 192.168.1.1 255.255.255.252
ip ospf message-digest-key 1 md5 123456
no sh
exit
router ospf 100
network 202.100.100.1 0.0.0.0 area 0
network 192.168.1.1 0.0.0.0 area 0
area 0 authentication message-digest

 

R2的配置：
en
conf t
host R2
enable password test
no ip domain-lookup
line con 0
pass test
login
logg syn
no exec
exit
line vty 0 4
pass test
login
logg syn
no exec
exit
int fa0/0
ip add 192.168.1.2 255.255.255.252
ip ospf message-digest-key 1 md5 123456
no sh
int fa0/1
ip add 192.168.1.5 255.255.255.252
ip ospf message-digest-key 1 md5 123456
no sh
exit
router ospf 100
network 192.168.1.2 0.0.0.0 area 0
network 192.168.1.5 0.0.0.0 area 0
area 0 authentication message-digest

 

R3的配置：
en
conf t
host R3
enable password test
no ip domain-lookup
line con 0
pass test
login
logg syn
no exec
exit
line vty 0 4
pass test
login
logg syn
no exec
exit
int fa0/0
ip add 192.168.1.6 255.255.255.252
ip ospf message-digest-key 1 md5 123456
no sh
int fa0/1
ip add 202.200.200.1 255.255.255.0
ip ospf message-digest-key 1 md5 123456
no sh
exit
router ospf 100
network 192.168.1.6  0.0.0.0 area 0
network 202.200.200.1 0.0.0.0 area 0
area 0 authentication message-digest

 

R4的配置：
en
conf t
host R4
enable password test
no ip domain-lookup
line con 0
pass test
login
logg syn
no exec
exit
line vty 0 4
pass test
login
logg syn
no exec
exit
username R1 pass test
int s0/0/0
ip add 202.100.100.2 255.255.255.248
ip nat outside
encapsulation ppp
ppp authentication chap
no sh
int fa0/1
ip add 172.16.50.1 255.255.255.0
ip nat inside
no sh
int fa0/0
ip add 172.16.1.1 255.255.255.252
ip nat inside
no sh
exit
ip route  0.0.0.0 0.0.0.0 202.100.100.1
ip default-network 202.100.100.0
router rip
version 2
no auto-summary
network 202.100.100.0
network 172.16.50.0
network 172.16.1.0
exit
access-list 1 deny 172.16.20.0 0.0.0.255
access-list 1 permit any
int s0/0/0
ip access-group 1 out
exit
ip nat inside source static tcp 172.16.50.2 80 202.100.100.3 80
ip nat inside source list 1 interface s0/0/0 overload

 

SW1的配置：
en
conf t
host SW1
enable password test
no ip domain-lookup
line con 0
pass test
login
logg syn
no exec
exit
line vty 0 4
pass test
login
logg syn
no exec
exit
vlan 10
name manager
exit
vlan 20
name finance
exit
vlan 30
name market
exit
vlan 40
name wireless
exit
ip routing
int fa0/22
no switchport
ip add 172.16.1.2 255.255.255.252
no sh
int range fa0/1 -10
switchport mode acc
switchport access vlan 30
exit
int range fa0/11 - 12
Sswitchport mode acc
switchport access vlan 10
exit
int port-channel 1
switchport trunk encapsulation dot1q
switchport mode trunk
exit
port-channel load-balance src-dst-ip
int range fa0/23 -24
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode on
exit
ip access-list extended financeIn
permit ip any 172.16.30.0 0.0.0.255 reflect reflectIn
permit ip any any
exit
ip access-list extended Tofinance
evaluate reflectIn
deny ip 172.16.30.0 0.0.0.255 172.16.20.0 0.0.0.255
permit ip any any
exit
int vlan 10
ip add 172.16.10.1 255.255.255.0
no sh
int vlan 20
ip add 172.16.20.1 255.255.255.0
ip helper-address 172.16.1.2
ip access-group financeIn in
ip access-group Tofinance out
no sh
int vlan 30
ip add 172.16.30.1 255.255.255.0
ip helper-address 172.16.1.2
no sh
int vlan 40
ip add 172.16.40.1 255.255.255.0
no sh
exit
ip dhcp excluded-address 172.16.20.1 172.16.20.10
ip dhcp pool finance-dhcp
network 172.16.20.0 255.255.255.0
default-router 172.16.20.1
dns-server 202.96.128.143
lease 2 0 0
exit
ip dhcp excluded-address 172.16.30.1 172.16.30.10
ip dhcp pool market-dhcp
network 172.16.30.0 255.255.255.0
default-router 172.16.30.1
dns-server 202.96.128.143
lease 2 0 0
exit
router rip
version 2
no auto-summary
network 172.16.10.0
network 172.16.20.0
network 172.16.30.0
network 172.16.40.0
network 172.16.1.0
exit

 

配置SW2：
en
conf t
host SW2
enable password test
line con 0
pass test
login
logg syn
no exec
exit
line vty 0 4
pass test
login
logg syn
no exec
exit
no ip routing
vlan 20
name finance
vlan 30
name market
vlan 40
name wireless
exit
int range fa0/1 - 10
switchport mode access
switchport access vlan 30
int range fa0/11 - 15
switchport mode access
switchport access vlan 20
int fa0/16
switchport mode access
switchport access vlan 40
exit
int port-channel 1
switchport trunk encapsulation dot1q
switchport mode trunk
exit
port-channel load-balance src-dst-ip
int range fa0/23 -24
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode on
exit
int range fa0/1 - 15
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky
switchport port-security violation shutdown
exit

 

 

至此完成配置，然后到测试，图就不上了。