网络工程的实验：中小企业园区网建设

一、实验目的：通过实施项目，了解如何对中小企业建设网络的需求进行分析，给出解决方案，并进行实施。

二、实验背景：以企业为计划建设自己的企业园区网络，希望对通过新建的网络提供一个安全可靠可扩展性以及高效的网络环境，将两个办公地点连接在一起，使企业内能够实现方便快捷的网络资源共享，全网接入Internet等目标，同时要想实现公司内部的信息隔离以及对公网的安全访问，为了确保这些关键应用的正常运行和安全和可持续性发展。

三、网络环境：

1. 企业有两个办公地点A和B，且相距较远。

2. A办公地点具有较多的部门，综合部（16台PC）、财务部（14台PC）、业务部（14台PC），为主要的办公场所，因此这部分的交换网络对可用性和可靠性要求较高。

3. A办公楼一层设有业务部（7台PC）、财务部（7台PC）和综合部（8台PC），二楼同样设有业务部（7台PC）、财务部（7台PC）和综合部（8台PC）。

4. B办公地点具有较少的办公人员，Internet接入点在B办公地点。

5. 企业已经申请到了若干个公网IP地址供企业内网接入Internet使用：201.10.8.1/24----201.10.8.6/24.

6. 公司内部使用私有地址。

四、网络需具备的特性：

1.采用先进的网络通信技术完成企业网络的建设，连接两个距离较远的办公地点。

2.为了提高数据的传输效率，在整个企业网络内控制广播域的范围。

3.在整个企业集团内实现资源共享并保证主干网的高网络高可靠性。

4.企业内部网络中实现高效的路由选择。

5.在企业网络出口处对数据流量实现一定的控制。

6.使用较少的公网IP连接Inernet，申请到得公网IP：201.10.8.1/24—201.10.8.6/24.

7. 不允许财务网访问互联网，业务部只能访问www服务和ftp的服务，综合部只能访问www服务，其余访问不受限制。

五.拓扑图

六.需求分析

1. RA和RB使用广域网链路链接。配置ppp的pap认证

2. 在接入层采用二层交换机，并且使用一定的方式分割广播域。在接入层交换机上划分vlan，业务部划分到vlan10，财务部划分到vlan20，业务部划分到vlan30.

3.1 三层交换机实现vlan间的路由。

3.2 核心层采用三层交换机，且采用双核心互为备份的，接入层交换机分别通过两条上行链路连接到两台核心层交换机上，为了提高网络的可靠性，网络中存在大量的冗余链路，在交换机上配置生成树协议避免广播风暴的产生。

4.1三层交换机与路由器之间配置路由接口实现全网互通。

4.2RB配置静态路由链接公网Internet，在三层交换机上配置缺省路由链接到RA，RA再配置缺省路由指向RB路由器，RB再配置一条缺省路由指向RInernet路由器。

5.在RB上少量的公网IP地址实现企业内部到公网的访问，在RB上进行NAT的配置，来实现企业网内部所有用户都能通过这些少量的公网IP地址来访问公网。

7.在RB上对内网到外网的访问进行一定的控制，不允许财务网访问互联网，业务部只能访问www服务和ftp的服务，综合部只能访问www服务，其余访问不受限制。在路由器上配置安全访问控制列表来实现对访问公网流量的控制。

七.各路由器，交换机的配置

SW-1：

1.建立vlan10,vlan20,vlan30,分别对应业务部，财务部，综合部:

Switch(config)#vlan 10 

Switch(config-vlan)#name yewu

同理配置vlan20,vlan30

2.把vlan绑定到端口：

Switch(config)#interface range f0/3-9

Switch(config-if-range)#switchport access vlan 10

同理把另外两个vlan绑定到端口

3.为SW-1配Trunk:

Switch(config)#interface range f0/1-2

Switch(config-if-range)#switchport mode trunk

SW-2 : 配置跟SW-1同理

三层交换机Switch A:

1.配置Switch A与SW-1之间的Trunk：

Switch(config)#interface range f0/3-4

Switch(config-if-range)#switchport trunk encapsulation dot1q

Switch(config-if-range)#switchport mode trunk

2.配置vlan10,vlan20和vlan30的ip地址：

Switch(config)#ip routing

Switch(config)#interface vlan 10

Switch(config-if)#no shut

Switch(config-if)#ip add 192.168.10.254 255.255.255.0

Switch(config-if)#interface vlan 20

Switch(config-if)#no shut

Switch(config-if)#ip add 192.168.20.254 255.255.255.0

Switch(config-if)#interface vlan 30

Switch(config-if)#no shut

Switch(config-if)#ip add 192.168.30.254 255.255.255.0

3.配置Switch A与Switch B之间的Trunk：

Switch(config)#interface range f0/1-2

Switch(config-if-range)#switchport trunk encapsulation dot1q

Switch(config-if-range)#switchport mode trunk

4.配置VTP：

Switch(config)#vtp mode server

Switch(config)#vtp domain chenfeibiao

Switch(config)#vtp password star

5.设置Switch A的f0/24端口的ip：

Switch(config)#interface f0/24

Switch(config-if)#no switchport

Switch(config-if)#ip address 10.1.1.2 255.255.0.0

6.设置Switch A的默认路由：

Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1

三层交换机Switch B: 配置跟Switch  A同理

对Switch A，Switch B，SW-1和SW-2配置STP：

1.设置Switch A的优先级:

Switch(config)#spanning-tree vlan 10 priority 0

Switch(config)#spanning-tree vlan 20 priority 0

Switch(config)#spanning-tree vlan 30 priority 0

2.设置Switch A与Switch B之间的链路带宽：

Switch(config)#interface range f0/1-2

Switch(config-if-range)#speed 100

3.设置Switch B的优先级:

Switch(config)#spanning-tree vlan 10 priority 4096

Switch(config)#spanning-tree vlan 20 priority 4096

Switch(config)#spanning-tree vlan 30 priority 4096

4.设置SW-1的优先级:

Switch(config)#spanning-tree vlan 10 priority 8192

Switch(config)#spanning-tree vlan 20 priority 8192

Switch(config)#spanning-tree vlan 30 priority 8192

5.设置SW-1与Switch A，Switch B之间的链路带宽：

Switch(config)#interface range f0/1-2

Switch(config-if-range)#speed 10

6.设置SW-2的优先级:

Switch(config)#spanning-tree vlan 10 priority 12288

Switch(config)#spanning-tree vlan 20 priority 12288

Switch(config)#spanning-tree vlan 30 priority 12288

7.设置SW-2与Switch A，Switch B之间的链路带宽：

Switch(config)#interface range f0/1-2

Switch(config-if-range)#speed 10

Router A：

1.Router A的各个端口ip设置：

Router(config)#interface f0/0

Router(config-if)#ip address 10.1.1.1 255.255.255.0

Router(config-if)#interface f1/0

Router(config-if)#ip address 10.2.2.1 255.255.255.0

Router(config-if)#interface Serial2/0

Router(config-if)#clock rate 64000

Router(config-if)#ip address 192.168.1.1 255.255.255.0

2.设置Router A的静态路由，目的网络是3个vlan所在的网段：

Router(config)#ip route 192.168.10.0 255.255.255.0 10.1.1.2

Router(config)#ip route 192.168.20.0 255.255.255.0 10.1.1.2

Router(config)#ip route 192.168.30.0 255.255.255.0 10.1.1.2

3.设置Router A的默认路由：

Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2

Router B：

1.Router B的端口ip设置：

S2/0:192.168.1.2/24

S3/0:201.10.8.1/24

命令与Router A类似

2.设置Router B的静态路由，目的网络是3个vlan所在的网段：

Router(config)#ip route 192.168.10.0 255.255.255.0 192.168.1.1

Router(config)#ip route 192.168.20.0 255.255.255.0 192.168.1.1

Router(config)#ip route 192.168.30.0 255.255.255.0 192.168.1.1

3.设置Router B的默认路由：

Router(config)#ip route 0.0.0.0 0.0.0.0 201.10.8.7

4.在Router B配置动态NAT：

Router(config)#ip nat pool yewu 201.10.8.2 201.10.8.3 netmask 255.255.255.0

Router(config)#ip nat inside source list 1 pool yewu

Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255

Router(config)#ip nat pool zonghe 201.10.8.4 201.10.8.6 netmask 255.255.255.0

Router(config)#ip nat inside soure list 2 pool zonghe

Router(config)#access-list 2 permit 192.168.30.0 0.0.0.255

Router(config)#interface s2/0

Router(config-if)#ip nat inside

Router(config-if)#interface f0/0

Router(config-if)#ip nat outside

5.在Router B配置扩展ACL：

(1)控制业务部只能访问www服务和ftp的服务：

Router(config)#access-list 100 permit tcp host 201.10.8.2 2.0.0.0 0.255.255.255 eq 80

Router(config)#access-list 100 permit tcp host 201.10.8.2 2.0.0.0 0.255.255.255 eq 21

Router(config)#access-list 100 permit tcp host 201.10.8.2 2.0.0.0 0.255.255.255 eq 20

Router(config)#access-list 100 permit tcp host 201.10.8.3 2.0.0.0 0.255.255.255 eq 80

Router(config)#access-list 100 permit tcp host 201.10.8.3 2.0.0.0 0.255.255.255 eq 21

Router(config)#access-list 100 permit tcp host 201.10.8.3 2.0.0.0 0.255.255.255 eq 20

(2)控制综合部只能访问www服务：

Router(config)#access-list 100 permit tcp 201.10.8.4 0.0.0.3 2.0.0.0 0.255.255.255 eq 80

(3)将ACL应用到端口：

Router(config)#interface f0/0

Router(config-if)#ip access-group 100 out

配置Router A与Router B之间的PAP认证：

（1）改变Router串行口的封装为PPP 封装

Router(config)#interface s2/0

Router(config-if)#encapsulation ppp

Router B的串行口的封装也改为PPP 封装，同理。

（2）在路由器Router A上，配置在路由器Router B上登录的用户名和密码

Router(config)#interface s2/0

Router(config-if)#ppp pap sent-username CFB password 123

（3）在路由器Router B上为路由器Router A设置用户名和密码

Router(config)#username CFB password 123

（4）在路由器Router B上，配置PAP 验证

Router(config)#interface s2/0

Router(config-if)#ppp authentication pap

（5）在路由器Router B上，配置在路由器Router A上登录的用户名和密码

Router(config)#interface s2/0

Router(config-if)#ppp pap sent-username cisco password 456

（6）在路由器Router A上为路由器Router B设置用户名和密码

Router(config)#username cisco password 456

（7）在路由器Router A上，配置PAP 验证

Router(config)#interface s2/0

Router(config-if)#ppp authentication pap

Router Internet(模拟Internet)：

1.Router Internet的端口ip设置：

Router(config)#interface f0/0

Router(config)#ip address 201.10.8.7 255.255.255.0

Router(config)#interface f1/0

Router(config)#ip address 2.2.2.2 255.0.0.0

2.设置Router Internet的默认路由：

Router(config)#ip route 0.0.0.0 0.0.0.0 2.2.2.1 

Router Internet启用RIP：

Router(config)#irouter rip

Router(config-router)#inetwork 2.0.0.0

Router(config-router)#inetwork 201.10.8.0

Server 0的设置：

ip:2.2.2.1/8

网关：2.2.2.2

还有启动HTTP，FTP服务

八.运行结果截图

业务部能访问www,ftp服务，如下所示：

财务部不能访问Internet，如下所示：

综合部能访问www服务，但不能访问ftp服务，如下所示：

九.附件

http://download.csdn.net/detail/cfeibiao/3924363