园区网络—中小型企业网络工程项目实践(思科模拟器)

园区网络(思科模拟器实现)

  • 一、背景概述
  • 二、需求分析
  • 三、网络实践
    • 网络拓扑图:
    • 代码行:
    • 验证测试
  • 四、总结与分析
  • 五、附言

一、背景概述

某企业计划建设自己的企业园区网络,希望通过这个新建的 网络提供一个安全、可靠、可扩展、高效的网络环境,将两个 办公地点连接到一起,使企业内能够方便快捷地实现网络资源 共享、全网接入Internet等目标,同时实现公司内部的信息保 密隔离,以及对于公网的安全访问。为了确保这些关键应用系 统的正常运行、安全发展,网络必须具备以下特性:

(1)采用先进的网络通信技术完成企业内部网络的建设,连 接两个相距较远的办公地点。

(2)为了提高数据的传输效率,在整个企业网络内控制广播 域的范围。

(3)在整个企业集团内实现资源共享,并保证骨干网络的高 可靠性。

(4)企业内部网络中实现高效的路由选择。

(5)在企业网络出口对数据流量进行一定的控制。

(6)能够使用较少的公网IP接入Internet。

二、需求分析

需求1: 在接入层采用二层交换机,并且要采取一定方式分离广播域。

分析1: 在接入层交换机上划分VLAN可以实现对广播域的分离。 划分业务部VLAN 10、财务部VLAN 20、综合部VLAN 30,并 分配接口。

需求2:核心交换机采用高性能的三层交换机,且采用双核心 互为备份的形式,接入层交换机分别通过2条上行链 路连接到2台核心交换机,由三层交换机实现VLAN之 间的路由。

分析2:交换机之间的链路配置为Trunk链路。 三层交换机上采用SVI(Switch Virtual Interface)方 式实现VLAN之间的路由。

需求3:2台核心交换机之间也采用双链路连接,并提高核 心交换机之间的链路带宽。

分析3:在2台三层交换机之间采用端口聚合技术,以提高 带宽。

需求4:在接入交换机的Access端口上实现对允许的连接 数量的控制,以提高网络的安全性。

分析4:采用端口安全的方式实现。

需求5:为了提高网络的可靠性,整个网络中存在大量环 路,要避免环路可能造成的广播风暴等。

分析5:整个交换网络内实现RSTP(Rapid Spanning Tree Protocol,快速生成树协议),以避免环路带来 的影响。

需求6:三层交换机配置路由接口,与Ra、Rb之间实现全 网互通。

分析6:2台三层交换机上配置路由接口,在Ra和Rb上分别配 置接口IP地址。在三层交换机的路由接口和Ra以及Rb 的内部网络上启用RIP路由协议,实现全网互通。

需求7:Ra和B办公地点的路由器Rb之间通过广域网链路连 接,并提供一定的安全性。

分析7:Ra和Rb的广域网接口上配置PPP(点到点)协议, 并用PAP认证提高安全性。

需求8:Rb配置静态路由连接到Internet。

分析8:2台三层交换机上配置默认路由,指向Ra。 Ra上配置默认路由指向Rb。 Rb上配置默认路由指向连接到互联网的下一跳地 址。

需求9:在Rb上用少量的公网IP地址实现企业内网到互联网 的访问。

分析9:用NAT(网络地址转换)方式实现企业内网仅用少 量的公网IP地址到互联网的访问。

需求10:在Rb上对内网到外网的访问进行一定的控制,要 求财务部不允许访问互联网,业务部只允许访问 WWW和FTP服务,而综合部只能访问WWW服务,其余 访问不受控制。

分析10:通过ACL(Access Control List,访问控制列表 )实现。

三、网络实践

网络拓扑图:

		![拓扑图](https://img-blog.csdnimg.cn/16b1ffc4c2854521936b4b2baf1fdb23.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAZXhlbXBsaWZ5,size_20,color_FFFFFF,t_70,g_se,x_16#pic_center)

代码行:

步骤1:在4台交换机上创建vlan10/20/30,分别命名为yewubu,caiwubu,zonghebu
四台交换机:
en
conf t
vlan 10
name yewubu
vlan 20
name caiwubu
vlan 30
name zonghebu
exit(中间创建多个vlan可以不用退出)
步骤2:在交换机s2_01,s2_02(二层交换机)上分别将6-10端口,11-15端口,16-20端口分别划分到vlan10,20,30中
两台二层交换机(下面)//这里可以只将连接主机的端口分配给相应的vlan即可【可以使用2960(有24个端口)】
en
conf t
int range fa0/6-10(进入端口6-10)//int range fa0/1
switchport mode access(设置为access模式)
switchport access vlan 10(把此端口划分到vlan10)
exit
int range fa0/11-15	//int range fa1/1
switchport mode access
switchport access vlan 20
exit
int range fa0/16-20	//int range fa2/1
switchport mode access
switchport  access vlan 30
exit
步骤3:把s2_01,s2_02连s3_01,s3_02的端口设置都为Trunk模式(8个端口)
四台交换机
en
conf t
int range fa0/1-2(注意端口名称)
//switchport trunk encapsulation dot1q(三层交换机要先封装)
switchport mode trunk
exit
步骤4:将两台三层交换机之间的fa0/3,fa0/4端口配置为聚合端口
两台三层交换机(上面)
int range fa0/1-2(进入到端口1-2)
channel-group 1 mode on(把这两个端口配置为聚合端口)
exit(退出)
int port-channel 1(进入到聚合端口)【在交换机上面悬浮鼠标查看聚合端口名称】
//switchport trunk encapsulation dot1q(三层交换机要先封装)
switchport mode trunk(把端口设置成Trunk模式)
exit(退出)
查看配置后的端口和vlan的基本情况:show aggregateport 1 summary	;show vlan
步骤5:在四台交换机上配置RSTP,指定s3_01和s3-02分别为根网桥和备份网桥(生成树协议)
四台交换机
其中两台二层交换机:
//spanning-tree(启用生成树协议)
spanning-tree mode pvst(配置生成树协议为RSTP)
剩余的两台三层交换机:
s3_01(根网桥)
//spanning-tree(启用生成树协议)【默认启动,不用输入】
spanning-tree mode pvst(配置生成树协议为pvst)
spanning-tree vlan 10,20,30 priority 8192(配置优先级为8192(是4096倍数))
s3_02(备份网桥)
//spanning-tree(启用生成树协议)【默认启动】
spanning-tree mode pvst(配置生成树协议为pvst)
spanning-tree vlan 10,20,30 priority 16384(配置优先级为16384(是4096倍数))
查看交换机上的生成树选举结果:show spanning-tree
步骤6:在接入交换机的access链路上实现端口安全,最大连接数量为4个,当违例产生时,将关闭端口并发送一个Trap通知
两台二层交换机(下面)
int range fa0/6-20(进入端口6-20)【分配给vlan的端口】//int range fa0/1(两个交换机下六个端口都要设置)
switchport mode access(配置成access模式)
switchport port-security(配置端口为安全模式)
switchport port-security maximum 4(配置最大连接数)
switchport port-security violation shutdown(配置违例产生处理规则)
步骤7:在三层交换机上配置SVI实现vlan间的路由
两台三层交换机(上面)
s3_01交换机(左边)
int vlan 10(进入到vlan 10中)
ip address 192.168.10.1 255.255.255.0(配置SVI IP 地址)
no shutdown(激活该端口)
exit(退出)
int vlan 20
ip address 192.168.20.1 255.255.255.0
no shutdown
exit
int vlan 30
ip address 192.168.30.1 255.255.255.0
no shutdown
exit
s3_02交换机(右边三层交换机)【左右交换机vlan配置的地址不同】
int vlan 10
ip address 192.168.10.2 255.255.255.0
no shutdown
int vlan 20
ip address 192.168.20.2 255.255.255.0
no shutdown
int vlan 30
ip address 192.168.30.2 255.255.255.0
no shutdown
exit
(三层交换机命令一样(ip address也一样))
步骤8:在三层交换机的路由端口,Ra和Rb及模拟Internet的路由上配置接口IP地址
两台三层交换机(上面)和路由器
其中两台三层交换机
s3_01交换机
int fa0/24(进入到端口5)【与路由器相连的端口】
no switchport (将交换端口配置为路由端口)
ip address 10.1.1.2 255.255.255.0(在此端口上配置IP地址)
no shutdown(启用此端口)
s3_02交换机
int fa0/24
no switchport
ip address 20.2.2.2 255.255.255.0
no shutdown
其中的路由器
Ra路由器
hostname Ra(给此路由器命名)
int fa0/0(进入到0端口)【与交换机(左边)相连的端口】
ip address 10.1.1.1 255.255.255.0(在此端口上配置IP地址)
clock rate 64000(配置时钟频率)
no shutdown(启用此端口)
int fa1/0(进入到端口)【与交换(右边)相连的端口】
ip address 20.2.2.1 255.255.255.0
no shutdown
int se2/0(进入到2号串口)
ip address 192.168.1.1 255.255.255.0(在此端口上配置IP地址)
no shutdown(启用此端口)
Rb路由器
hostname Rb
int se2/0
ip address 192.168.1.2 255.255.255.0
clock rate 64000(配置时钟频率)
no shutdown
int fa0/0
ip address 201.10.8.1 255.255.255.0
no shutdown
RS路由器
hostname Internet
int fa0/0
ip address 201.10.8.2 255.255.255.0
no shutdown
interface loopback 0(配置一个回环端口)
ip address 201.1.1.1 255.255.255.0(在此端口上配置IP地址)
no shutdown(启用此端口)
步骤9:在Ra和Rb上配置广域网链路,启用PPP协议和配置PAP认证
两台路由器
Ra路由器
int se2/0(进入到2号串口)
encapsulation ppp(配置PPP协议)
ppp pap sent-username Ra password 0 123(PAP认证的用户名和密码)
exit(退出)
Rb路由器
username Ra password 0 123(验证方配置被验证的用户名和密码)
int se2/0(进入到2号串口)
encapsulation ppp(配置ppp协议)
ppp authentication pap(PPP启用PAP认证方式)
exit(退出)
步骤10:运用RIPv2路由协议,在企业内网实现全网路由互通,用静态路由实现企业内网到互联网的访问
两台三层交换机(上面)和两台路由器
s3_01交换机
route rip(配置RIP路由协议)
version 2(使用版本2)
network 10.1.1.0(发布相应的网段)
network 192.168.10.0(发布相应的网段)
network 192.168.20.0(发布相应的网段)
network 192.168.30.0(发布相应的网段)
exit(退出)
ip route 0.0.0.0 0.0.0.0 10.1.1.1(配置静态路由)
s3_02交换机
route rip 
version 2
network 20.2.2.0
network 192.168.10.0
network 192.168.20.0
network 192.168.30.0
exit
ip route 0.0.0.0 0.0.0.0 20.2.2.1
Ra
route rip(配置RIP路由协议)
version 2(使用版本2)
no auto-summary(关闭自动汇总)
network 192.168.1.0(发布相应的网段)
network 10.1.1.0(发布相应的网段)
network 20.2.2.0(发布相应的网段)
exit(退出)
ip route 0.0.0.0 0.0.0.0 192.168.1.2(配置静态路由)
Rb交换机
router rip
version 2
no auto-summary
network 192.168.1.0
exit
ip route 0.0.0.0 0.0.0.0 201.10.8.2
查看各设备的路由信息及验证网路的互通性:
s3_01:show ip route
s3_02:show ip route	ping 201.10.8.1
Ra:show ip route		ping 192.168.10.1	ping 192.168.10.2	ping 192.168.20.1	ping 192.168.20.2	ping 192.68.30.1	ping 192.168.30.2
Rb:show ip route		【不通的时候可以Rb给个反方向的ip route 0.0.0.0 0.0.0.0 192.168.1.1】
步骤11:在路由器Rb上做NAT实现内网对外网的访问,可用的公网地址包括201.10.8.3/24—201.10.8.10/24
一台路由器Rb
Rb:
int se2/0(进入到2号串口)
ip nat inside(定义该端口为内部端口)
exit(退出)
int fa0/0(进入到0端口)
ip nat outside(定义该端口为外部端口)
exit(退出)
access-list 1 permit 192.168.10.0 0.0.0.255(定义访问控制列表)
access-list 1 permit 192.168.20.0 0.0.0.255(定义访问控制列表)
access-list 1 permit 192.168.30.0 0.0.0.255(定义访问控制列表)
ip nat pool internet 201.10.8.3 201.10.8.10 netmask 255.255.255.0(定义公网IP地址池)
ip nat inside source list 1 pool internet(将内网地址转为公网地址)
exit(退出)
查看路由的地址转换:show ip nat translations
步骤12:为了控制内网对互联网的访问,在路由器Rb上做访问控制列表
一台路由器Rb
1)access-list 101 deny ip 192.168.20.0 0.0.0.255 any(拒绝20网段到任何外网网段)
2)access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq 80【下面一行改成这一行】
	//access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq www(允许10网段到外网访问WWW服务)
3)access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80【下面一行改成这一行】
	//access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq www(允许30网段到外网访问WWW服务)
4)access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq 21【下面一行改成这一行】
	//access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq ftp(允许10网段到外网访问FTP服务,控制连接)
5)access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq 20【下面一行改成这一行】
	//access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq ftp-data(允许10网段到外网访问FTP服务,数据连接;仅用于主动模式)
6)access-list 101 deny tcp 192.168.10.0 0.0.0.255 any(拒绝10网段除了上面允许之外的任何外网服务)
7)access-list 101 deny tcp 192.168.30.0 0.0.0.255 any(拒绝30网段除了上面允许之外的任何外网服务)
8)access-list 101 permit ip any any(除了上面网段规定之外网段允许所有网段的所有服务
9)int se2/0(进入串口即入口)
10)ip access-group 101 in(在入口上,应用扩展ACL 101)
查看访问控制列表:show access-lists
【主机pc网关应该是vlan的地址】

验证测试

园区网络—中小型企业网络工程项目实践(思科模拟器)_第1张图片
园区网络—中小型企业网络工程项目实践(思科模拟器)_第2张图片
园区网络—中小型企业网络工程项目实践(思科模拟器)_第3张图片
园区网络—中小型企业网络工程项目实践(思科模拟器)_第4张图片

	![在这里插入图片描述](https://img-blog.csdnimg.cn/2aa9bcde8cc846ab8d2443d765b5a77a.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAZXhlbXBsaWZ5,size_20,color_FFFFFF,t_70,g_se,x_16#pic_center)

【注释:www服务直接去主机网页搜索外网服务器IP即可,ftp服务需要在主机终端输入ftp 200.1.1.3(即ftp 外网IP地址)】

四、总结与分析

综上所述,在本实验中需要以下预备知识:交换机转发原 理、交换机基本原理、VLAN工作原理、VLAN配置、Trunk的 配置、三层交换机的基本原理、SVI方式的配置、聚合端口的 工作原理和配置、端口安全的工作原理和配置、STP的工作 原理、RSTP的配置、路由器的工作原理、静态路由和动态路 由的概念、静态路由的配置、RIP的工作原理和配置、PPP的 概念和配置、NAT的工作原理和配置、基于IP的访问控制列表 的工作原理和配置、标准和扩展IP ACL的配置。

五、附言

下载连接:

参考软件:思科模拟器5.3

参考文档: 中小型企业网络工程项目实践【密码:bjxp】

你可能感兴趣的:(网络)