1
、
Vlan
信息
Vlan ID
|
网络地址
|
名
称
|
描
述
|
1
|
192.168.10.0/24
|
无
|
本地
vlan
|
2
|
192.168.20.0/24
|
yfzx
|
研发中心
|
3
|
192.168.30.0/24
|
zbb
|
质保部
|
4
|
192.168.40.0/24
|
zzb
|
制造部
|
5
|
192.168.50.0/24
|
sbb
|
设备部
|
6
|
192.168.60.0/24
|
cgb
|
采购部
|
7
|
192.168.70.0/24
|
xsb
|
销售部
|
8
|
192.168.80.0/24
|
cwb
|
财务部
|
9
|
192.168.90.0/24
|
glb
|
管理部
|
100
|
192.168.100.0/24
|
zjb
|
总经办
|
2
、
VTP
信息
设备名称
|
Domain
|
Prunning
|
Password
|
Mode
|
3550-S-1
|
benet
|
Enable
|
123
|
Server
|
2950-S-1
|
benet
|
Enable
|
123
|
Client
|
2950-S-2
|
benet
|
Enable
|
123
|
Client
|
2950-S-3
|
benet
|
Enable
|
123
|
Client
|
2950-S-4
|
benet
|
Enable
|
123
|
Client
|
3
、设备
IP
地址分配
设备名称
|
接口
|
IP
地址
|
描述
|
2600-R-1
|
F0/0
|
221.215.31.129/29
|
WAN
|
F0/1
|
192.168.1.1/24
|
-
|
|
3550-S-1
|
F0/1
|
192.168.1.2/24
|
3L
-Switch
|
交换机、路由器详细配置
1.
IP
地址设置
2600-R-1
(
config
)
# int F0/0
2600-R-1 (config-if) #ip add 221.215.31.129 255.255.255.0
2600-R-1 (config-if) #no shutdown
----------------------------------
2600-R-1
(
config-if
)
# int F0/1
2600-R-1 (config-if) #ip add 192.168.1.1 255.255.255.0
2600-R-1 (config-if) #no shutdown
3550-S-1 (config) # int F0/1
3550-S-1 (config-if) # no switchport……….
路由端口
3550-S-1 (config-if) # ip add 192.168.1.2 255.255.255.0
3550-S-1 (config) # int vlan 1 ……………..
管理
vlan
3550-S-1 (config-if) # ip add 192.168.10.1 255.255.255.0
3550-S-1 (config-if) # int vlan 2……………
研发中心
3550-S-1 (config-if) # ip add 192.168.20.1 255.255.255.0
3550-S-1 (config-if) # int vlan 3……………
质保部
3550-S-1 (config-if) # ip add 192.168.30.1 255.255.255.0
3550-S-1 (config-if) # int vlan 4……………
制造部
3550-S-1 (config-if) # ip add 192.168.40.1 255.255.255.0
3550-S-1 (config-if) # int vlan 5……………
设备部
3550-S-1 (config-if) # ip add 192.168.50.1 255.255.255.0
3550-S-1 (config-if) # int vlan 6……………
采购部
3550-S-1 (config-if) # ip add 192.168.60.1 255.255.255.0
3550-S-1 (config-if) # int vlan 7……………
销售部
3550-S-1 (config-if) # ip add 192.168.70.1 255.255.255.0
3550-S-1 (config-if) # int vlan 8……………
财务部
3550-S-1 (config-if) # ip add 192.168.80.1 255.255.255.0
3550-S-1 (config-if) # int vlan 9……………
管理部
3550-S-1 (config-if) # ip add 192.168.90.1 255.255.255.0
3550-S-1 (config-if) # int vlan 100…………
总经办
3550-S-1 (config-if) # ip add 192.168.100.1 255.255.255.0
2.
VTP
配置
3550-S-1
(
config
)
# vlan database
3550-S-1 (vlan) # vtp domain benet
3550-S-1 (vlan) # vtp server
3550-S-1 (vlan) # vtp password 123
3550-S-1 (vlan) # vtp pruning……………………………..
修剪
3550-S-1 (vlan) # vlan 2 name yfzx………………………..
研发中心
3550-S-1 (vlan) # vlan 3 name zbb………………………....
质保部
3550-S-1 (vlan) # vlan 4 name zzb…………………………
制造部
3550-S-1 (vlan) # vlan 5 name sbb…………………………
设备部
3550-S-1 (vlan) # vlan 6 name cgb…………………………
采购部
3550-S-1 (vlan) # vlan 7 name xsb……………………… …
销售部
3550-S-1 (vlan) # vlan 8 name xsb……………………….....
财务部
3550-S-1 (vlan) # vlan 9 name xsb……………………… …
管理部
-----------------------------------------------------------
2950-S-1 (vlan) #vtp domain benet
2950-S-1 (vlan) #vtp tran…………………
透明模式
(
配置修改编号清零
)
2950-S-1 (vlan) #vtp client
客户模式
2950-S-1 (vlan) #vtp password 123
2950-S-2 (vlan) #vtp domain benet
2950-S-2 (vlan) #vtp tran…………………
透明模式
(
配置修改编号清零
)
2950-S-2 (vlan) #vtp client
客户模式
2950-S-2 (vlan) #vtp password 123
2950-S-3 (vlan) #vtp domain benet
2950-S-3 (vlan) #vtp tran…………………
透明模式
(
配置修改编号清零
)
2950-S-3 (vlan) #vtp client
客户模式
2950-S-3 (vlan) #vtp password 123
2950-S-4 (vlan) #vtp domain benet
2950-S-4 (vlan) #vtp tran…………………
透明模式
(
配置修改编号清零
)
2950-S-4 (vlan) #vtp client
客户模式
2950-S-4 (vlan) #vtp password 123
3.
路由配置
2600-R-1
(
config
)
# ip route 0.0.0 .0 0.0. 0.0 f 0/2……………...
缺省路由
2600-R-1
(
config
)
# ip route 192.168.0.0 255.255.0.0 192.168.1.2
3550- R -1 (config) # ip route 0.0.0 .0 0.0.0.0 192.168.1.1
4.
NAT
2600-R-1
(
config
)
# access-list 101 permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255……………………………...
内部局部地址
2600-R-1
(
config
)
# ip nat pool WAN 221.215.31.131 221.215.31.134 prefix-len 29
………………………………
定义合法
IP
地址池
2600-R-1
(
config
)
# ip nat inside sour list 101 pool WAN ……….
实现地址转换
2600-R-1
(
config
)
# int f0/1
2600-R-1
(
config-if
)
# ip nat inside………………………….
定义
NAT inside
2600-R-1
(
config
)
# int f0/0
2600-R-1
(
config-if
)
# ip nat outside………………………..
定义
NAT outside
端口
5.
Vlan
流量控制
l
制造部、设备部
vlan
实现互访,禁止访问其它部门
vlan
l
制造部、设备部上班时间禁止访问
internet(8:00-12:00 2:00-6:00)
l
研发中心、质保部
vlan
实现互访,禁止访问其它部门
vlan
l
财务部
vlan
实现与采购部、销售部
vlan
的单向访问
l
总经办
vlan
实现与财务部、管理部
vlan
的单向访问
l
管理部
vlan
禁止访问其它部门
vlan
l
各部门
vlan
都能访问服务器区
3550-S-1(config) # time-range restrict
3550-S-1(config-time-range) # periodic daily start 12:00 to 2:00
……….
设置时间范围
3550-S-1 (config) # ip access-list extend yfzx ……….
研发中心
ACL
3550-S-1 (config-ext-nacl) # permit ip any 192.168.20.0 0.0.0.255
…...….
访问质保部
3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255
………
访问服务器区
3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255
……….
禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
3550-S-1 (config) # ip access-list extend zbb……….
质保部
ACL
3550-S-1 (config-ext-nacl) # permit ip any 192.168.10.0 0.0.0.255
…...….
访问研发中心
3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255
………
访问服务器区
3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255
……….
禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
-------------------------------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend zzb……….
制造部
ACL
3550-S-1 (config-ext-nacl) # permit ip any 192.168.40.0 0.0.0.255
…...….
访问设备部
3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255
………
访问服务器区
3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255
……….
禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any time-range restrict
……….
上班时间禁止上网
3550-S-1 (config) # ip access-list extend sbb……….
设备部
ACL
3550-S-1 (config-ext-nacl) # permit ip any 192.168.30.0 0.0.0.255
…...….
访问制造部
3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255
………
访问服务器区
3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255
……….
禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
-----------------------------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend cgb……….
采购部
ACL
3550-S-1 (config-ext-nacl) # evaluate cwb-cgb …..
计算匹配自反
ACL
3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255
………
访问服务器区
3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.255.255
3550-S-1 (config-ext-nacl) #permit ip any any
----------------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend xsb……….
销售部
ACL
3550-S-1 (config-ext-nacl) # evaluate cwb-xsb …..
计算匹配自反
ACL
3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255
………
访问服务器区
3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.255.255
3550-S-1 (config-ext-nacl) #permit ip any any
---------------------------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend cwb……….
财务部
ACL
3550-S-1 (config-ext-nacl) # permint ip any 192.168.60.0 0.0.0.255 reflect cwb-cgb ………...
创建自反
ACL cwb-cgb
3550-S-1 (config-ext-nacl) # permint ip any 192.168.70.0 0.0.0.255 reflect cwb-xsb ………...
创建自反
ACL cwb-xsb
3550-S-1 (config-ext-nacl) # evaluate zjb-cwb …..
计算匹配自反
ACL
3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255
………
访问服务器区
3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255
……….
禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
--------------------------------------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend cwb……….
管理部
ACL
3550-S-1 (config-ext-nacl) # evaluate zjb-glb …..
计算匹配自反
ACL
3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255
………
访问服务器区
3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255
……….
禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
----------------------------------------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend zjb……….
总经办
ACL
3550-S-1 (config-ext-nacl) # permint ip any 192.168.80.0 0.0.0.255 reflect zjb-cwb ………...
创建自反
ACL zjb-cwb
3550-S-1 (config-ext-nacl) # permint ip any 192.168.90.0 0.0.0.255 reflect zjb-glb ………...
创建自反
ACL zjb-glb
3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255
………
访问服务器区
3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255
……….
禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
ACL
应用:
3550-S-1 (config) # int vlan 2 …………..
研发中心
3550-S-1 (config-if) #ip access-group yfzx in
3550-S-1 (config) # int vlan 3 …………..
质保部
3550-S-1 (config-if) #ip access-group zbb in
3550-S-1 (config) # int vlan 4 ……………
制造部
3550-S-1 (config-if) #ip access-group zzb in
…(
略
)
附:关键字
established
的
ACL
应用
(
单向访问
)
3550-S-1 (config) # ip access-list extend cgb……….
采购部
ACL
3550-S-1 (config-ext-nacl) # permit ip any 192.168.80.0 0.0.0.0.255 estab
3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255
………
访问服务器区
3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.255.255
3550-S-1 (config-ext-nacl) #permit ip any any
3550-S-1 (config) # ip access-list extend xsb……….
销售部
ACL
3550-S-1 (config-ext-nacl) # permit ip any 192.168.80.0 0.0.0.0.255 estab
3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255
………
访问服务器区
3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.255.255
3550-S-1 (config-ext-nacl) #permit ip any any