大型企业网络配置实验报告完整版Word格式.docx
《大型企业网络配置实验报告完整版Word格式.docx》由会员分享,可在线阅读,更多相关《大型企业网络配置实验报告完整版Word格式.docx(12页珍藏版)》请在冰豆网上搜索。
大型企业网络设计模拟实验
面对日益突出的信息安全问题,要求系统集成的安全特性已经相当高。
对此,我们在保留企业的现有投资的基础上,我们提供了一个全新的三层架构的网络,将原来的二层网络纳入汇聚层。
新网络功能以及设计注意的问题应该如下:
1新网络能与现有网络兼容;
实现三层架构的网络;
2统筹IP规划;
3实现按职能划分VLAN;
4实现访问控制,以保护内部安全;
5实现NAT转换,以及WEB,FTP的固定IP地址映射;
6远程网络VPN的接入设计;
7网络安全防护,如蠕虫的防护,DOS攻击的防护。
锐捷S-S2126S两台
锐捷RG-S3550-24一台
锐捷RG-S3760-24一台
锐捷RG-R1700Server一台
核心层:
锐捷RG-S3760-24
汇聚层:
锐捷RG-S3550-24
接入层:
锐捷S-S2126S
出口路由:
锐捷RG-R1700Server
5.1IP统筹规划
在本实验中,我们内部网络使用了NAT转换。
对外我们使用一个210.10.18.1(255.255.255.0)出口地址。
汇聚层到核心层,使用192.168.5.2/24;
接入层到会聚层,以及用户到接入层,按需使用;
实验中我们一共使用四个网络(分别属于不同的VLAN)192.168.4.1/24,192.168.3.1/24,192.168.2.1/24,192.168.1.1/24;
5.2VLAN配置
第一台s2126s上的vlan配置
hostnameA//交换机命名
vlan1//创建VLAN
namevlan1
vlan2
namevlan2
intrangefastethernet0/13-24//进入VLAN配置端口
switchportaccessvlan2switchportaccessvlan2//设计端口的VLAN
interfacevlan1
ipaddress192.168.1.1//设计网络段
interfacevlan2
ipaddress192.168.2.1
end
第二台s2126s上的vlan配置
hostnameB//同上
vlan3//同上
namevlan3
vlan4
intrangefastethernet0/2-12//同上
switchportaccessvlan3switchportaccessvlan3//同上
intrangefastethernet0/13-24//同上
switchportaccessvlan4switchportaccessvlan4//同上
interfacevlan3
ipaddress192.168.3.1
interfacevlan4
ipaddress192.168.4.1
3550上的VLAN配置
l3switch(config)#intf0/1//进入端口
2006-12-1608:
31:
11@5-CONFIG:
Configuredfromoutband
l3switch(config-if)#switchportmodetrunk//设置trunk模式
32@5-CONFIG:
l3switch(config-if)#switchporttrunkallowedvlanall//设置允许VLAN
46@5-CONFIG:
l3switch(config-if)#exit
50@5-CONFIG:
l3switch(config)#intf0/2//进入端口
54@5-CONFIG:
32:
02@5-CONFIG:
09@5-CONFIG:
l3switch(config-if)#end
14@5-CONFIG:
l3switch#showvlan
hostnameS3550
vlan1
vlan3
namevlan4
interfaceFastEthernet0/1
switchportmodetrunk
interfaceFastEthernet0/2
interfaceFastEthernet0/3
noswitchport//起用三层路由端口
ipaddress192.168.5.2255.255.255.0
interfaceVlan1//设置网关
ipaddress192.168.1.1255.255.255.0
interfaceVlan2
ipaddress192.168.2.1255.255.255.0
interfaceVlan3
ipaddress192.168.3.1255.255.255.0
interfaceVlan4
ipaddress192.168.4.1255.255.255.0
routerospf//起用OSPF路由协议
area0.0.0.4
network192.168.1.0255.255.255.0area0.0.0.4
network192.168.2.0255.255.255.0area0.0.0.4
network192.168.3.0255.255.255.0area0.0.0.4
network192.168.4.0255.255.255.0area0.0.0.4
network192.168.5.0255.255.255.0area0.0.0.4
5.3NAT转换以及路由配置
1700A的基本配置:
hostnameR1700A
interfacefa1/0
ipaddress192.168.6.1255.255.255.0//设置端口IP
ipnatinside//起用NAT
noshutdown
interfacefa1/1
ipaddress210.10.18.1255.255.255.0//同上
ipnatoutside
路由协议配置
iprouting//起用路由
routerospf
network192.168.6.00.0.0.255area4
network210.10.18.00.0.0.255area0
NAT转换配置
ipnatpoolnet20210.10.18.1210.10.18.1netmask255.255.255.0typerotary
ipnatpoolnet30210.10.18.2210.10.18.2netmask255.255.255.0typerotary
ipnatinsidesourcelist1poolnet20
ipnatinsidesourcelist2poolnet30
access-list1permit192.168.5.00.0.0.255
access-list2permit192.168.6.00.0.0.255
策略路由配置
access-list101permitanygt1024anyeqwww//访问控制列表控制
access-list101permitanygt1024anyeqftp
route-mappmappermit
matchipaddress101
setdefaultinterfacefa1/0
ippolicyroute-mappmap
5.4ACL访问控制配置
acl实施:
192.168.4.0网络为财务部
192.168.1.0网络为股东
实施规则:
禁止其他网段访问财务部
允许股东网段访问财务部
实施命令:
在S3550上
##制定访问控制列表
ipaccess-liststandarddeny-4
deny192.168.4.00.0.0.255
permitany
##在SVI接口上实施
intvlan2
ipaccess-groupdeny-4in
intvlan3
5.5VPN配置
由于实验不作要求,暂且先不配置。
5.6安全配置
在3550实施
安全控制:
intf0/3
防止广播风暴
storm-controlbroadcast
防止未知名地址风暴
storm-controlunicast
防止多播
storm-controlmulticast
指定级数
storm-controllevel20
6.1基本路由测试
名称测试
version8.4(building15)
!
IP地址配置测试
interfaceFastEthernet1/0
ipnatinside
ipaddress192.168.5.1255.255.255.0
duplexauto
speedauto
interfaceFastEthernet1/1
ipnatoutside
ipaddress210.10.18.1255.255.255.0
OSPF协议测试
network210.10.18.00.0.0.255area0.0.0.0
network192.168.5.00.0.0.255area0.0.0.4
access-list测试
access-list101permittcpanygt1024anyeqwww
access-list101permittcpanygt1024anyeqftp
策略路由测试
R1700A(config)#showroute-mappmap
route-mappmap,permit,sequence10
Matchclauses:
ipaddress101
Setclauses:
defaultinterfaceFastEthernet1/0
Policyroutingmatches:
0packets,0bytes
内网到外网的测试:
C:
\DocumentsandSettings\Administrator>
ping210.10.18.1
Pinging210.10.18.1with32bytesofdata:
Replyfrom210.10.18.1:
bytes=32time<
1msTTL=62
6.2VLAN验证
第一台s2126s上的vlan验证
1vlan1activeFa0/1,Fa0/2,Fa0/3
Fa0/4,Fa0/5,Fa0/6
Fa0/7,Fa0/8,Fa0/9
Fa0/10,Fa0/11,Fa0/12
2vlan2activeFa0/1,Fa0/13,Fa0/14
Fa0/15,Fa0/16,Fa0/17
Fa0/18,Fa0/19,Fa0/20
Fa0/21,Fa0/22,Fa0/23
Fa0/24
第二台s2126s上的vlan验证
1vlan3activeFa0/1,Fa0/2,Fa0/3
2vlan4activeFa0/1,Fa0/13,Fa0/14
3350的vlan验证
S3550#showvlan
VLANNameStatusPorts
----------------------------------------------------------------------------
1vlan1activeFa0/1,Fa0/2,Fa0/4,Fa0/5
Fa0/6,Fa0/7,Fa0/8,Fa0/9
Fa0/10,Fa0/11,Fa0/12,Fa0/13
Fa0/14,Fa0/15,Fa0/16,Fa0/17
Fa0/18,Fa0/19,Fa0/20,Fa0/21
Fa0/22,Fa0/23,Fa0/24
2vlan2activeFa0/1,Fa0/2
3vlan3activeFa0/1,Fa0/2
4vlan4activeFa0/1,Fa0/2
6.3NAT验证
NAT转换结果显示
ipnatinsidesourcelist1poolnet20
6.4ACL访问控制验证
ACL验证:
在ip为192.168.1.2主机上测试
ping192.168.4.2
Pinging192.168.4.2with32bytesofdata:
Replyfrom192.168.4.2:
bytes=32time=1msTTL=127
1msTTL=127
Pingstatisticsfor192.168.4.2:
Packets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=0ms,Maximum=1ms,Average=0ms
在ip为192.168.2.3主机上测试
Requesttimedout.
Sent=4,Received=0,Lost=4(100%loss),
6.5VPN验证
由于现场的条件限制,以及实验不作要求,我们验证就先不谈!
6.7
1本次实验让我们体验了高速实验的配置的速度要求,更加提升了我们的团结合作能力。
2本次实验我们对设备的配置以及现场演示的能力有了极大的提升。
升级会员 