大型企业网络配置实验报告完整版.docx

1、大型企业网络配置实验报告完整版网络配置实验报告一 实验名称 3二 网络实验功能： 3三 网络实验设备： 3四 网络实验环境： 34.1 功能设备使用类型： 34.2 实验网络拓扑示意图： 4五 网络配置： 45.1 IP统筹规划 45.2 VLAN配置 45.3 NAT转换以及路由配置 65.5 VPN配置 85.6 安全配置 8六 配置验证： 86.1 基本路由测试 86.2 VLAN验证 96.3 NAT验证 106.4 ACL访问控制验证 106.5 VPN验证 11七 心得体会： 11一 实验名称：大型企业网络设计模拟实验二 网络实验功能：面对日益突出的信息安全问题，要求系统集成的安全

2、特性已经相当高。对此，我们在保留企业的现有投资的基础上，我们提供了一个全新的三层架构的网络，将原来的二层网络纳入汇聚层。新网络功能以及设计注意的问题应该如下：1 新网络能与现有网络兼容；实现三层架构的网络；2 统筹IP规划；3 实现按职能划分VLAN；4 实现访问控制，以保护内部安全；5 实现NAT转换，以及WEB,FTP的固定IP地址映射；6 远程网络VPN的接入设计；7 网络安全防护，如蠕虫的防护，DOS攻击的防护。三 网络实验设备：锐捷 S-S2126S 两台锐捷 RG-S3550-24 一台锐捷 RG-S3760-24 一台锐捷 RG-R1700 Server 一台四 网络实验环境：4

3、.1 功能设备使用类型：核心层： 锐捷 RG-S3760-24汇聚层： 锐捷 RG-S3550-24接入层： 锐捷 S-S2126S出口路由： 锐捷 RG-R1700 Server4.2 实验网络拓扑示意图：五 网络配置：5.1 IP统筹规划 在本实验中，我们内部网络使用了NAT转换。对外我们使用一个210.10.18.1（255.255.255.0）出口地址。汇聚层到核心层， 使用192.168.5.2/24；接入层到会聚层，以及用户到接入层，按需使用；实验中我们一共使用四个网络（分别属于不同的VLAN）192.168.4.1/24，192.168.3.1/24，192.168.2.1/24

4、，192.168.1.1/24；5.2 VLAN配置第一台 s2126s 上的vlan配置hostname A /交换机命名vlan 1 /创建VLAN name vlan1vlan 2 name vlan2int range fastethernet 0/13-24 /进入VLAN配置端口switchport access vlan 2 switchport access vlan 2 /设计端口的VLANinterface vlan 1ip address 192.168.1.1 /设计网络段interface vlan 2ip address 192.168.2.1end第二台s2126

5、s 上的vlan配置hostname B /同上vlan 3 /同上 name vlan3vlan 4 name vlan3int range fastethernet 0/2-12 /同上switchport access vlan 3 switchport access vlan 3 /同上int range fastethernet 0/13-24 /同上switchport access vlan 4 switchport access vlan 4 /同上interface vlan 3ip address 192.168.3.1interface vlan 4ip address

6、192.168.4.1end3550上的VLAN配置l3switch(config)#int f0/1 /进入端口2006-12-16 08:31:11 5-CONFIG:Configured from outbandl3switch(config-if)#switchport mode trunk /设置trunk模式2006-12-16 08:31:32 5-CONFIG:Configured from outbandl3switch(config-if)#switchport trunk allowed vlan all /设置允许VLAN2006-12-16 08:31:46 5-CO

7、NFIG:Configured from outbandl3switch(config-if)#exit2006-12-16 08:31:50 5-CONFIG:Configured from outbandl3switch(config)#int f0/2 /进入端口2006-12-16 08:31:54 5-CONFIG:Configured from outbandl3switch(config-if)#switchport mode trunk /设置trunk模式2006-12-16 08:32:02 5-CONFIG:Configured from outbandl3switch(

8、config-if)#switchport trunk allowed vlan all /设置允许VLAN2006-12-16 08:32:09 5-CONFIG:Configured from outbandl3switch(config-if)#end2006-12-16 08:32:14 5-CONFIG:Configured from outbandl3switch#show vlanhostname S3550vlan 1 name vlan1vlan 2 name vlan2vlan 3 name vlan3vlan 4 name vlan4interface FastEther

9、net 0/1 switchport mode trunkinterface FastEthernet 0/2 switchport mode trunkinterface FastEthernet 0/3 no switchport /起用三层路由端口 ip address 192.168.5.2 255.255.255.0interface Vlan 1 /设置网关 ip address 192.168.1.1 255.255.255.0interface Vlan 2 ip address 192.168.2.1 255.255.255.0interface Vlan 3 ip addr

10、ess 192.168.3.1 255.255.255.0interface Vlan 4 ip address 192.168.4.1 255.255.255.0router ospf /起用OSPF路由协议area 0.0.0.4network 192.168.1.0 255.255.255.0 area 0.0.0.4network 192.168.2.0 255.255.255.0 area 0.0.0.4network 192.168.3.0 255.255.255.0 area 0.0.0.4network 192.168.4.0 255.255.255.0 area 0.0.0.

11、4network 192.168.5.0 255.255.255.0 area 0.0.0.4end5.3 NAT转换以及路由配置1700A的基本配置：hostname R1700Ainterface fa1/0ip address 192.168.6.1 255.255.255.0 /设置端口IPip nat inside /起用NATno shutdowninterface fa1/1ip address 210.10.18.1 255.255.255.0 /同上ip nat outsideno shutdown路由协议配置ip routing /起用路由router ospfnetwor

12、k 192.168.6.0 0.0.0.255 area 4network 210.10.18.0 0.0.0.255 area 0NAT转换配置ip nat pool net20 210.10.18.1 210.10.18.1 netmask 255.255.255.0 type rotaryip nat pool net30 210.10.18.2 210.10.18.2 netmask 255.255.255.0 type rotaryip nat inside source list 1 pool net20 ip nat inside source list 2 pool net30

13、access-list 1 permit 192.168.5.0 0.0.0.255access-list 2 permit 192.168.6.0 0.0.0.255策略路由配置access-list 101 permit any gt 1024 any eq www /访问控制列表控制access-list 101 permit any gt 1024 any eq ftproute-map pmap permitmatch ip address 101set default interface fa1/0interface fa1/1ip policy route-map pmap5.4

14、 ACL访问控制配置acl实施：192.168.4.0网络为财务部192.168.1.0网络为股东实施规则：禁止其他网段访问财务部允许股东网段访问财务部实施命令：在S3550上#制定访问控制列表ip access-list standard deny-4 deny 192.168.4.0 0.0.0.255 permit any#在SVI接口上实施int vlan 2ip access-group deny-4 inint vlan 3ip access-group deny-4 in5.5 VPN配置由于实验不作要求，暂且先不配置。5.6 安全配置在3550实施安全控制：int f0/3防止

15、广播风暴 storm-control broadcast防止未知名地址风暴 storm-control unicast防止多播 storm-control multicast指定级数storm-control level 20六 配置验证：6.1 基本路由测试名称测试version 8.4 (building 15)hostname R1700A!IP地址配置测试interface FastEthernet 1/0 ip nat inside ip address 192.168.5.1 255.255.255.0 duplex auto speed auto!interface FastEt

16、hernet 1/1 ip nat outside ip address 210.10.18.1 255.255.255.0 duplex auto speed autoOSPF协议测试router ospf network 210.10.18.0 0.0.0.255 area 0.0.0.0 network 192.168.5.0 0.0.0.255 area 0.0.0.4!access-list测试access-list 1 permit 192.168.5.0 0.0.0.255access-list 2 permit 192.168.6.0 0.0.0.255access-list

17、101 permit tcp any gt 1024 any eq wwwaccess-list 101 permit tcp any gt 1024 any eq ftp!策略路由测试R1700A(config)#show route-map pmaproute-map pmap, permit, sequence 10 Match clauses: ip address 101 Set clauses: default interface FastEthernet 1/0 Policy routing matches: 0 packets, 0 bytes!内网到外网的测试：C:Docum

18、ents and SettingsAdministratorping 210.10.18.1Pinging 210.10.18.1 with 32 bytes of data:Reply from 210.10.18.1: bytes=32 time1ms TTL=62Reply from 210.10.18.1: bytes=32 time1ms TTL=62Reply from 210.10.18.1: bytes=32 time1ms TTL=62Reply from 210.10.18.1: bytes=32 timeping 192.168.4.2Pinging 192.168.4.

19、2 with 32 bytes of data:Reply from 192.168.4.2: bytes=32 time=1ms TTL=127Reply from 192.168.4.2: bytes=32 time1ms TTL=127Reply from 192.168.4.2: bytes=32 time1ms TTL=127Reply from 192.168.4.2: bytes=32 timeping 192.168.4.2Pinging 192.168.4.2 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Ping statistics for 192.168.4.2: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),6.5 VPN验证 由于现场的条件限制，以及实验不作要求，我们验证就先不谈！6.7 七 心得体会：1 本次实验让我们体验了高速实验的配置的速度要求，更加提升了我们的团结合作能力。2 本次实验我们对设备的配置以及现场演示的能力有了极大的提升。