中小企业网络简单组建

四、实训拓扑图

 

五、实训内容

⑴制作跳线

制作直通线与交叉线。

⑵公司局域网部分

1 、公司内部根据部门划分三个 VLAN ，管理部为 VLAN2 ，财务部为 VLAN3 ，普通部门为 VLAN4 。

2 、禁止财务部与普通部门 PING 通管理部。

3 、允许管理部 PING 通财务部，禁止普通部门 PING 通财务部。

4 、为管理部、财务部、普通部门配置自动分配 IP 地址，网关，域名服务器。

5 、允许所有部门访问 DNS 服务器。

6 、允许管理部访问任何网站， FTP 。

7 、禁止财务部访问互联网 WWW 服务器（ 10.10.1 .1 ），可访问 FTP 服务器 (10.10.1.1) 。

8 、禁止普通部门访问互联网 FTP 服务器（ 10.10.1 .1 ），可访问 WWW 服务器（ 10.10.1.1 ）。

9 、配置 R1 为 DCE 。

10 、配置默认路由。

11 、动态 NAT 。

12 、 VLAN 间路由。

 

⑶互联网部分

1、  配置静态路由。

2、  WINDOWS 2003 SERVER 安装 DNS 、 WWW 、 FTP 。

 

六、实训过程

⑴制作跳线

直连线顾名思义两个端口的连线是一一对应的，两个水晶头的线色按照从左到右的顺序是：橙白、橙、绿白、蓝、蓝白、绿、棕白、棕。而交叉线只有一头是按照橙白、橙、绿白、蓝、蓝白、绿、棕白、棕的方式连接的，而另外一头是按照绿白、绿、橙白、蓝、蓝白、橙、棕白、棕的方式连接的，就是说 1 和 3 的线对调， 2 和 6 的线对调了，所以称为交叉网线。

 

 

⑵公司局域网部分

1 、配置好各网络设备接口 IP 地址。

2 、公司内部根据部门划分三个 VLAN ，管理部为 VLAN2 ，财务部为 VLAN3 ，普通部门为 VLAN4 。

在 3350 交换机上分别创建 VLAN2 、 3 、 4, 并分别配置 IP 地址为 192.168.1.254 、 192.168.2.254 、 192.168.3.254 。

以下以创建 VLAN2 为例，其他以此类推。

#vlan database

// 以上进入 VLAN 配置模式

(vlan)# vlan 2

 // 以上创建 vlan2

 

分别将 f0/1 、 f0/5 、 f0/10 加入到 vlan2 、 vlan3 、 vlan4

以下以 f0/1 加入 vlan2 为例，其他以此类推。

(config)#int f0/1

(config-if)#switch mode access

// 以上将交换机端口改为 access 模式，说明该端口用于连接计算机，而不是用于 Trunk.

(config-if)#switch access vlan 2

// 以上将端口 f0/1 加入到 vlan2 中

(config-if)#no shut

// 以上重启端口

 

(config)#int vlan2

// 进入 vlan2 端口

(config-if)#ip address 192.168.1.254 255.255.255.0

// 为 vlan2 端口配置 IP 地址

(config-if)#no shut

 

3550 交换机上创建完 VLAN 后，还需在下一层各 2950 交换机上创建与之相对应的 VLAN ，因不匹配将无法通信。

三台交换机均用端口 f0/1 分别与 3550 上的 f0/1 、 f0/5 、 f0/10 连接，且用各自的 f0/8 与 PC 机连接。

以下以 switch1 为例，创建与之相对应的 vlan2 ，并把 f0/1 与 f0/8 加入到 vlan2 中，其他以此类推。

#vlan database

(vlan)#vlan 2

// 创建 vlan2

 

(config)#int f0/1

(config-if)#switch mode access

(config-if)#switch access vlan 2

(config-if)#no shut

// 以上 f0/1 加入到 vlan2

 

(config)#int f0/8

(config-if)#switch mode access

(config-if)#switch access vlan 2

(config-if)#no shut

// 以上 f0/8 加入到 vlan2

 

2 、禁止财务部与普通部门 PING 通管理部。

创建 ACL 规则

(config)#access-list 108 deny icmp 192.168.1.0 0.0.0 .255 192.168.2.0 0.0.0.255 echo-reply

(config)#access-list 108 deny icmp 192.168.1.0 0.0.0 .255 192.168.3.0 0.0.0.255 echo-reply

// 以上当 192.168.2.0 与 192.168.3.0 向 192.168.1.0 发 PING 包时，将拒绝响应 PING 包。

(config)#access-list 108 permit ip any any

// 以上为允许响应其他 PING 包。

 

应用 ACL 规则

(config)#int f0/1

// 以上进入 vlan2 所在端口

(config-if)#ip access-group 108 in

// 以上为些端口应用 ACL 规则

(config-if)#no shut

3、  允许管理部 PING 通财务部，禁止普通部门 PING 通财务部。

创建 ACL 规则

(config)#access-list 109 deny icmp 192.168.2.0 0.0.0 .255 192.168.3.0 0.0.0.255 echo-reply

(config)#access-list 109 permit ip any any

 

应用 ACL 规则

(config)#int f0/5

(config-if)#ip access-group 109 in

(config-if)#no shut

 

4 、为管理部、财务部、普通部门配置自动分配 IP 地址，网关，域名服务器。

3550 交换上设置 DHCP

以下以创建 vlan2(192.168.1.0)DHCP 为例，其他 vlan 以此类推。

(config)#servie dhcp

// 开启 DHCP

(config)#ip dhcp pool vlan2-dhcp-pool

// 定义地址池，名称为 vlan2-dhcp-pool

(dhcp-config)#network 192.168.1.0/24

//DHCP 分配的网络和掩码

(dhcp-config)#default-router 192.168.1.254

// 分配默认网关

(dhcp-config)#dns-server 10.10.1 .1

// 分配 DNS 服务器 , 10.10.1 .1 为互联网上的 DNS 服务器 .

(dhcp-config)#ip dhcp excluded-address 192.168.1.1 192.168.1.5

// 排除地址段

(dhcp-config)#exit

 

4、  允许所有部门访问 DNS 服务器。允许管理部访问任何网站， FTP 。禁止财务部访问互联网 WWW 服务器（ 10.10.1 .1 ），可访问 FTP 服务器 (10.10.1.1) 。禁止普通部门访问互联网 FTP 服务器（ 10.10.1 .1 ），访问指定 WWW 服务器（ 10.10.1.1 ）。

创建 ACL 规则

(config)#access-lit 110 permit udp any any eq 23

// 所有部门均可访问 DNS

(config)#access-lit 110 permit tcp 192.168.1.0 any eq ftp

// 允许 192.168.1.0 网段计算机访问任何 FTP 服务器

(config)#access-lit 110 permit tcp 192.168.1.0 any eq www

// 允许 192.168.2.0 网段计算机访问任何 WWW 服务器

(config)#access-lit 110 permit tcp 192.168.2.0 any eq ftp

// 允许 192.168.2.0 网段计算机访问任何 FTP 服务器

(config)#access-lit 110 permit tcp 192.168.3.0 host 10.10.1 .1 eq www

// 允许 192.168.2.0 网段计算机只能访问指定 WWW 服务器 ( 10.10.1 .1) 。

// 以上设置除了列出的允许外，其他行为将会被拒绝。

 

 

R1 上 f0/1 上应用 ACL 规则

(config)#int f0/1

(config-if)#ip access-group 110 in

(config-if)#no shut

 

6 、配置 R1 为 DCE 。

(config)#int s0/1

(config-if)#clock rate 125000

(config-if)#no shut

 

10 、 3550 交换机配置默认路由。

(config)#ip route 0.0.0 .0 0.0.0.0 192.168.0.1

 

11 、动态 NAT 。

R1 上配置动态 NAT

(config)#ip nat pool NAT 172.16.1.10 172.16.1.100 netmask 255.255.255.0

// 配置动态 NAT 转换地址池

(config)#ip nat inside source list 1 pool NAT

// 配置动态 NAT 映射

(config)#access-list 1 permit 192.168.1.0 0.0.0 .255

(config)#access-list 1 permit 192.168.2.0 0.0.0 .255

(config)#access-list 1 permit 192.168.3.0 0.0.0 .255

// 允许动态 NAT 转换的内部地址范围

 

(config)# int f0/1

(config-if)#ip nat inside

// 配置 NAT 内部接口

(config)# int s0/1

(config-if)#ip nat outside

// 配置 NAT 外部接口

 

12 、 VLAN 间路由

3550 交换机上配置 VLAN 间路由。

(config)# ip routing

 

⑶互联网部分

1 、 R2 配置静态路由。

(config)#ip route 192.168.0.0 0.0.0 .255 172.16.1.1

(config)#ip route 192.168.1.0 0.0.0 .255 172.16.1.1

(config)#ip route 192.168.2.0 0.0.0 .255 172.16.1.1

(config)#ip route 192.168.3.0 0.0.0 .255 172.16.1.1

// 以上路由下一跳为 172.16.1.1

 

2 、 WINDOWS 2003 SERVER 安装 DNS 、 WWW 、 FTP 。

在 10.10.1 .1 这台计算机上安装 DNS ， WWW ， FTP 作为测试用。

 

 

 

总结 :

此次实训可谓是劳师动众，从一天制作网线，整整花了两个钟做了一条直通线和一条交叉线，且质量有待商榷，接触不良，多为出现。做出以上需求，也算是花了不少了时间，只能说功夫不到家。组出来的网，还有很多地方有待完善的地方，例如添加动态路由， ACL 的安全还未能做到最完善，仍有许多安全问题，有待去解决。 VLAN 的划分，不够细，考虑的还不够周全。 VLAN 跨交换机时，如何保证在同一 VLAN 中。

总得来说，此次实训，收获许多，学到了当书本上讲的许多知识结合在一起时，所碰到的许多问题，这些问题，都是要靠自己去解决的。例如，为什么网络一切正常，却 PING 不通， WINDOWS XP 防火墙做的好事，晕，这东西真害人。做其他实验，经常忘记关防火墙所碰到的问题。交换机不够用时，怎么办，可以插在其中一台交换机上，仍处于默认 VLAN1 的端口中，来假设一台交换机的存在。此次实训最为深该的，可算是交换机与交换机连接时，两端口相连接时，须为同一 VLAN ，晕。公司内部 VLAN 的建立花了时间最长。本人知识不足，才花这么多时间。总归这次实训遇到了蛮多的问题， ACL 禁止 PING ，这学问挺大的，从中要考虑到路由，它的工作原理， TCP/IP 协议等等。

尽管我的爱好不是网络设备，这次还是学到了不少网络设备的实际应用，对以后从事网络方面的工作提供了不少的水平的积累，在次感谢老师，这几天不停的给我加问题，刚开头，还蛮头痛的，因为好多都不太记得了，慢慢还是想起来了，这次实训不错，既可以动脑又可以动起来――抬网络设备，做网线。

大学最后一次实训结束咯。

 

 

本人为初学者,请多多指教.