68个人公司的管理配置
一:要求
公司现在有四层楼,机房在2楼,IT在4楼工作,为了方便资料共享,在2楼机房设立了服务器。
每层楼的网络独立,不能互相进行访问,服务器和外网除外。服务器只能访问内部网络,外网禁止访问。
为了方便IT管理,开启了远程配置管理。
每层楼采用DHCP 地址分配,服务器IP设为静止。
二:设备清单
思科路由器 1841 一台
思科三层交换机 3560 一台
思科二层交换机 2960 4台
三设计思路
1楼VLAN 10,2楼VLAN 20 ,3楼VLAN 30 ,4楼 vlan 40 ,服务器设为vlan 2。
用ACL规则对这些VLAN 访问管理
开通三层交换机远程管理协议
四设置代码如下所示
三层交换机
1.修改交换机名称
Config>en
Config#hostname jifang \\修改名称为jifang
2.建立VLAN 以及VLAN 划分端口
(1)jifang#conf t
Jifang(cconfigt)#int vlan 2 //建立vlan 2
Switch(config-if)# ip add 192.168.5.1 255.255.255.0 //建立IP以及掩码,建立服务器的vlan
Switch(config-if)#no shutdown // 开启端口
Switch(config-if)#exit
Jifang(cconfigt)#int vlan 10 //建立vlan 10
Switch(config-if)# ip add 192.168.10.1 255.255.255.0 //建立IP以及掩码,1楼
Switch(config-if)#no shutdown // 开启端口
Switch(config-if)#exit
Jifang(cconfigt)#int vlan 20 //建立vlan 20
Switch(config-if)# ip add 192.168.20.1 255.255.255.0 //建立IP以及掩码,2楼
Switch(config-if)#no shutdown // 开启端口
Switch(config-if)#exit
Jifang(cconfigt)#int vlan 30 //建立vlan 30
Switch(config-if)# ip add 192.168.30.1 255.255.255.0 //建立IP以及掩码,三楼
Switch(config-if)#no shutdown // 开启端口
Switch(config-if)#exit
Jifang(cconfigt)#int vlan 40//建立vlan 40
Switch(config-if)# ip add 192.168.40.1 255.255.255.0 //建立IP以及掩码,四楼
Switch(config-if)#no shutdown // 开启端口
Switch(config-if)#exit
(2)Jifang(cconfigt)#
Jifang(cconfigt)#interface range fa0/2-3 //把这些端口
Jifang(config-if-range)#switchport mode access // 端口改为access 模 式
Jifang(config-if-range)#switchport access vlan 2 // 划分给vlan 2
Jifang(config-if-range)#exit
Jifang(cconfigt)#interface range fa0/5-6 //把这些端口
Jifang(config-if-range)#switchport mode access // 端口改为access 模 式
Jifang(config-if-range)#switchport access vlan 10 // 划分给vlan 10
Jifang(config-if-range)#exit
Jifang(cconfigt)#interface range fa0/7-8 //把这些端口
Jifang(config-if-range)#switchport mode access // 端口改为access 模 式
Jifang(config-if-range)#switchport access vlan 20 // 划分给vlan 20
Jifang(config-if-range)#exit
Jifang(cconfigt)#interface range fa0/9-10 //把这些端口
Jifang(config-if-range)#switchport mode access // 端口改为access 模 式
Jifang(config-if-range)#switchport access vlan 30 // 划分给vlan 30
Jifang(config-if-range)#exit
Jifang(cconfigt)#interface range fa0/10-11 //把这些端口
Jifang(config-if-range)#switchport mode access // 端口改为access 模 式
Jifang(config-if-range)#switchport access vlan 40 // 划分给vlan 40
Jifang(config-if-range)#exit
3.开启DHCP服务
Jifang(dhcp-config)#exit
ifang(config)#
Jifang(config)#ip dhcp pool vlan 10 // 开启vlan 10 dhcp
Jifang(dhcp-config)#network 192.168.1.0 255.255.255.0 //地址池
Jifang(dhcp-config)#dns-server 192.168.1.2 //dns 服务器
Jifang(dhcp-config)#default-router 192.168.1.1 //网关
Jifang(dhcp-config)#exit
ifang(config)#
Jifang(config)#ip dhcp pool vlan 20 // 开启vlan 20 dhcp
Jifang(dhcp-config)#network 192.168.2.0 255.255.255.0 //地址池
Jifang(dhcp-config)#dns-server 192.168.2.2 //dns 服务器
Jifang(dhcp-config)#default-router 192.168.2.1 //网关
Jifang(dhcp-config)#exit
ifang(config)#
Jifang(config)#ip dhcp pool vlan 30 // 开启vlan 30 dhcp
Jifang(dhcp-config)#network 192.168.3.0 255.255.255.0 //地址池
Jifang(dhcp-config)#dns-server 192.168.3.2 //dns 服务器
Jifang(dhcp-config)#default-router 192.168.3.1 //网关
Jifang(dhcp-config)#exit
ifang(config)#
Jifang(config)#ip dhcp pool vlan 40 // 开启vlan 40 dhcp
Jifang(dhcp-config)#network 192.168.4.0 255.255.255.0 //地址池
Jifang(dhcp-config)#dns-server 192.168.4.2 //dns 服务器
Jifang(dhcp-config)#default-router 192.168.4.1 //网关
Jifang(dhcp-config)#exit
4.除去不能分的DHCP 地址
ifang(config)#Ip Dhcp Excluded-address 192.168.1.1
ifang(config)#Ip Dhcp Excluded-address 192.168.1.2
ifang(config)#Ip Dhcp Excluded-address 192.168.2.1
ifang(config)#Ip Dhcp Excluded-address 192.168.2.2
ifang(config)#Ip Dhcp Excluded-address 192.168.3.1
ifang(config)#Ip Dhcp Excluded-address 192.168.3.2
ifang(config)#Ip Dhcp Excluded-address 192.168.4.1
ifang(config)#Ip Dhcp Excluded-address 192.168.4.2
5.开启路由功能
ifang(config)#ip rounte //各个vlan互通
6建立ACL 规则
ifang(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255//192.168.1.0 禁止访问192.168.2.0 这个网段,deny 是禁止
ifang(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
ifang(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
ifang(config)#access-list 101 permit ip any any//其他网段允许访问,permit允许
ifang(config)#access-list 103 deny ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
ifang(config)#access-list 103 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
ifang(config)#access-list 103 deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
ifang(config)#access-list 103 permit ip any any
ifang(config)#access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
ifang(config)#access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
ifang(config)#access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255
ifang(config)#access-list 102 permit ip any any
ifang(config)#access-list 104 deny ip 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255
ifang(config)#access-list 104 deny ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
ifang(config)#access-list 104 deny ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255
ifang(config)#access-list 104 permit ip any any
ifang(config)#access-list 105 deny ip 192.168.5.0 0.0.0.255 192.168.6.0 0.0.0.255
ifang(config)#access-list 105 permit ip any any
7.利用ACL规则
ifang(config)#interface Vlan 2
ifang(config-if)#ip access-group 105 in //把第105条的ACL规则划给vlan2,其余相同
ifang(config-if)#exit
ifang(config)#interface Vlan 10
ifang(config-if)#ip access-group 101 in
ifang(config-if)#exit
ifang(config)#interface Vlan 20
ifang(config-if)#ip access-group 102 in
ifang(config-if)#exit
ifang(config)#interface Vlan 30
ifang(config-if)#ip access-group 103 in
ifang(config-if)#exit
ifang(config)#interface Vlan 40
ifang(config-if)#ip access-group 104 in
ifang(config-if)#exit
8.建立远程访问密码
ifang(config)#enable password ccnapass //设置交换机使进入用户模式帐户的密码
ifang(config)#line vty 0 4 //进入VTY线路
ifang(config-line)#ogin // 进入Telnet进行登陆配置
ifang(config-line)#password ccnagood //设置Telnet的密码
ifang(config-line)#exit
为了安全对这些密码进行加密,有兴趣可以下来研究。
9.各楼层的二层交换机配置
(1)1楼2960交换机:
Switch>en
Switch#conf t
Switch(config)#int vlan 10//建立 vlan 10
Switch(config-if)#exit
Switch(cconfigt)#interface range fa0/1-20 //把这些端口,4口做备用
Switch(config-if-range)#switchport mode access // 端口改为access 模 式
Switch(config-if-range)#switchport access vlan 10// 划分给vlan 10
(2)2楼2960交换机:
Switch>en
Switch#conf t
Switch(config)#int vlan 20
Switch(config-if)#exit
Switch(cconfigt)#interface range fa0/1-20
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 20
(3)3楼2960交换机:
Switch>en
Switch#conf t
Switch(config)#int vlan 30
Switch(config-if)#exit
Switch(cconfigt)#interface range fa0/1-20
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 30
(4)4楼2960交换机:
Switch>en
Switch#conf t
Switch(config)#int vlan 40
Switch(config-if)#exit
Switch(cconfigt)#interface range fa0/1-20
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 40
(5)二层交换机与三层交换机连接端口如图所示。
(6)服务器IP:192.168.5.2 掩码:255.255.255.0 dns:192.168.5.2 默认网关:192.168.5.1,处于vlan 2 中
(7)在每个2960交换机连接各一台电脑,并开启ip地址自动获取,现在看看这些电脑能自动获取ip地址。
Vlan10 ping vlan 20不通,vlan20 pingvlan30不通,vlan30 ping vlan 2 通。
10.三层交换机把fa0/1 端口trunk,与思科路由器fa0/1通信。
ifang(config)#interface fa0/1
ifang(config-if)#switchport trunk encapsulation dot1q //802.1Q协议对数据进行封装
ifang(config-if)#switchport mode trunk
11.机房路由器配置
Router>en
Router#conf t
Router(config)#int fa0/0 //连接电信外网的端口
Router(config-if)ip address 171.2.34.34 255.255.255.0 //电信分的ip地址
Router(config-if)#exit
Router(config)#ip default-network 171.2.34.35 //电信那端口的ip地址
Router(config)#int fa0/1 //连接内部网络的端口
Router(config-if)#no ip address
Router(config-if)#no shutdown
Router(config-if)#int f0/0.1 //进入vlan 1虚拟端口
Router(config-subif)#encapsulation do
Router(config-subif)#encapsulation dot1Q 1// 对VLAN 1数据封装
Router(config-subif)#ip add 192.168.6.3 255.255.255.0
Router(config-subif)#exit
Router(config-if)#int f0/0.10 //进入vlan 10虚拟端口
Router(config-subif)#encapsulation do
Router(config-subif)#encapsulation dot1Q 10 // 对VLAN 10数据封装
Router(config-subif)#ip add 192.168.1.2 255.255.255.0
Router(config-subif)#exit
Router(config-if)#int f0/0.20//进入vlan 20虚拟端口
Router(config-subif)#encapsulation do
Router(config-subif)#encapsulation dot1Q 20 // 对VLAN 20数据封装
Router(config-subif)#ip add 192.168.2.2 255.255.255.0
Router(config-subif)#exit
Router(config-if)#int f0/0.30//进入vlan 30虚拟端口
Router(config-subif)#encapsulation do
Router(config-subif)#encapsulation dot1Q 30 // 对VLAN 30数据封装
Router(config-subif)#ip add 192.168.3.2 255.255.255.0
Router(config-subif)#exit
Router(config-if)#int f0/0.40//进入vlan 40虚拟端口
Router(config-subif)#encapsulation do
Router(config-subif)#encapsulation dot1Q 40 // 对VLAN 40数据封装
Router(config-subif)#ip add 192.168.4.2 255.255.255.0
Router(config-subif)#exit
12.电信路由器设置
Config>en
Config#hostname dianxin
dianxin#conf t
Dianxin(config)#int fa0/1
Dianxin(config-if)#ip add 171.2.34.35 255.255.255.0
Dianxin(config-if)#no show
Dianxin(config-if)#exit
Dianxin(config)#int fa0/0
Dianxin(config-if)#ip add 192.168.7.1 255.255.255.0
Dianxin(config-if)#no show
Dianxin(config-if)#exit
13在电信的fa0/0 处连接一台电脑,设置IP:192.168.7.2 255.255.255.0 默认网关:192.168.7.1
现在为了内部部分网络能够与电信路由器通信,需要设置静态路由。
(1)电信区的路由器
Dianxin(config)#ip route 192.168.6.0 255.255.255.0 171.2.34.34
Dianxin(config)#ip route 192.168.1.0 255.255.255.0 171.2.34.34
Dianxin(config)#Ip route 192.168.2.0 255.255.255.0 171.2.34.34
Dianxin(config)#ip route 192.168.3.0 255.255.255.0 171.2.34.34
Dianxin(config)#ip route 192.168.4.0 255.255.255.0 171.2.34.34
(2)内部网络的路由器
Router>en
Router#conf t
Router(config)#ip route 192.168.7.0 255.255.255.0 171.2.34.35
(3)内部三交换机
jifang#conf t
Jifang(config)#ip route 171.2.34.0 255.255.255.0 192.168.6.3//到内部路由器的IP
Jifang(config)#ip route 171.2.34.0 255.255.255.0 192.168.1.2
Jifang(config)#ip route 171.2.34.0 255.255.255.0 192.168.2.2
Jifang(config)#ip route 171.2.34.0 255.255.255.0 192.168.3.2
Jifang(config)#ip route 171.2.34.0 255.255.255.0 192.168.4.2
Jifang(config)#ip route 192.168.7.0 255.255.255.0 171.2.34.35//到电信路由的IP