中小企业组网实例
案例描述
典型中小企业组网实例,申请一个公网IP和10M 带宽,一台CISCO 路由器,WEB 服务器,文件服务器,FTP
服务器等,客户端办公电脑,300台左右,多部门划分VLAN,用 ACL 控制各部门访问权限,配置网络打
印机。
解决方案
1,
配置
Router
a).
配置接口
Interface fastethernet0/1
Ip address 172.27.0.1 255.255.255.252
Duplex auto
Speed auto
Ip nat inside
No shutdown
Interface fastethernet0/2
Ip address 202.103.0.117 255.255.255.248
Duplex auto
Speed auto
Ip nat outside
No shutdown
b)配置路由
ip route 0.0.0.0 0.0.0.0 202.103.0.117
c).配置过载
ip nat inside source list 110 interface FastEthernet0/2 overload
access-list 110 permit ip 172.27.0.0 0.0.255.255 any
d).配置端口映射
Ip nat inside source static tcp 172.27.2.1 80 202.103.0.117 80 映射WEB 服务器
Ip nat inside source static tcp 172.27.2.2 21 202.102.0.117 21 映射 FTP 服务器
文件服务器172.27.2.3 只提供企业内网使用,不配置端口映射
: 2
: 7
: 9
: Server
: OA
: Disabled
: Enabled
: Enabled
2,配置 Core switch CISCO 4503
a)配置VTP
VTP Version
Configuration Revision
Maximum VLANs supported locally : 1005
Number of existing VLANs
VTP Operating Mode
VTP Domain Name
VTP Pruning Mode
VTP V2 Mode
VTP Traps Generation
b) 配置VLAN
core-sw#vlan database 进入vlan 配置模式
core-sw (vlan)#vtp domain OA 设置vtp 管理域名称OA
core-sw (vlan)#vtp server 设置交换机为服务器模式
core-sw (vlan)#vlan 2 name guanli 创建VLAN2,命名为管理
core-sw (vlan)#vlan 10 name shichang 创建VLAN 10,命名为市场
core-sw (vlan)#vlan 11 name caiwu
core-sw (vlan)#vlan 12 name sheji
core-sw (vlan)#vlan 13 name netprinter
core-sw (vlan)#vlan 20 name server
配置 CORE-SW 管理IP
core-sw(config)#interface vlan 2
core-sw(config-if)#ip address 172.27.254.254 255.255.255.0
配置各个 VLAN 网关 IP
core-sw(config)#interface vlan 10
core-sw(config-if)#ip address 172.27.47.254 255.255.255.0
core-sw(config)#interface vlan 11
core-sw(config-if)#ip address 172.27.45.254 255.255.255.0
core-sw(config)#interface vlan 12
core-sw(config-if)#ip address 172.27.46.254 255.255.255.0
core-sw(config)#interface vlan 13
core-sw(config-if)#ip address 172.27.31.254 255.255.255.0
core-sw(config)#interface vlan 13
core-sw(config-if)#ip address 172.27.31.254 255.255.255.0
.将 CORE-SW 上的端口根据需要划分至各个 VLAN
c) 配置 ACL 应用在各个部门 VLAN 接口上,控制各部门互访
access-list 10 permit 172.27.2.0 0.0.0.255
access-list 10 permit 172.27.31.0 0.0.0.255
access-list 10 deny
172.27.0.0 0.0.255.255
access-list 10 permit any
access-list 10
应用于 VLAN 10 OUT 方向上,市场部内部可以互访,可以访问服务器网段和网络打印机网段,
但不能访问财务部和设计部所在网段
access-list 11 permit 172.27.2.0 0.0.0.255
access-list 11 permit 172.27.31.0 0.0.0.255
access-list 11 permit 172.27.47.0 0.0.0.255
access-list 11 deny
172.27.0.0 0.0.255.255
access-list 11 permit any
access-list 11 应用在 VLAN 11 OUT 方向上,财务部内部可以互访问,可以访问
服务器网段和网络打印机网络,可以访问市场部网段,但不能访问设计部网段
设计部 VLAN 12 ,网络打印机 VLAN 13,服务器 VLAN 20 可以访问任意网段,应用访问列
表 access-list 101 在 in 的方向上,封掉常见病毒端口,(可以根据实际需要将此 ACL 应
用于任一接口)
access-list 101 deny
access-list 101 deny
access-list 101 deny
access-list 101 deny
access-list 101 deny
access-list 101 deny
access-list 101 deny
access-list 101 deny
access-list 101 deny
access-list 101 deny
access-list 101 deny
access-list 101 deny
access-list 101 deny
access-list 101 deny
access-list 101 deny
access-list 101 deny
access-list 101 deny
access-list 101 permit ip any any
tcp any any eq 1068
tcp any any eq 2046
udp any any eq 2046
tcp any any eq 4444
udp any any eq 4444
tcp any any eq 1434
udp any any eq 1434
tcp any any eq 5554
tcp any any eq 9996
tcp any any eq 6881
tcp any any eq 6882
tcp any any eq 16881
udp any any eq 5554
udp any any eq 9996
udp any any eq 6881
udp any any eq 6882
udp any any eq 16881
d).配置 OSPF !
router ospf 100
log-adjacency-changes
network 172.27.0.0 0.0.255.255 area 0
default-information originate !
配置接入层交换机 CISCO 2950
a)配置 VTP
: 2
: 7
VTP Version
Configuration Revision
Maximum VLANs supported locally : 1005
Number of existing VLANs
VTP Operating Mode
VTP Domain Name
VTP Pruning Mode
打开 VTP 修剪
VTP V2 Mode
VTP Traps Generation
b) 配置 VLAN
: 9
: Client
: OA
: Enabled
: Enabled
: Enabled
sw1#vlan database
进入 vlan 配置模式
sw1 (vlan)#vtp domain OA 设置 vtp 管理域名称 OA
sw1 (vlan)#vtp server 设置交换机为服务器模式
配置接入层交换机管理 IP
Sw1(config)#interface vlan 2
Sw1(config-if)#ip address 172.27.254.1 255.255.255.0
Sw2(config)#interface vlan 2
Sw2(config-if)#ip address 172.27.254.2 255.255.255.0
将接入层交换机各端口根据需要,划入各 VLAN
例:
Sw1(config)#interface fa0/1
Sw1(config-if)#swi access vlan 12
Sw2(config)#interface range fa0/1 - 10
Sw2(config-if)# swi access vlan 13
4.配置办公电脑
市场部办公电脑
IP:172.27.47.1
子网:255.255.255.0
网关:172.27.47.254
DNS:202.10.20.30
注:配置所有地区的电信 DNS 服务器即可 202.10.22.33
为了加强对办公电脑的管理,采用固定 IP 地址的方法,对人员,电脑,IP,
MAC 地址进行登记,可以安装一台监控 PC,使用 SNIFFER 软件比外网出口进行监控,发现
IP 异常,就可以找到使用人。SNIFFER 监控,CISCO4500 系列交换机的端口镜像,这里是顺
便提一下,如果大家有兴趣,我会在以后的实例中再详细说明。
总结:
这个案例是比较典型的企业组网方案,骨架已经出来了,还可以加些血肉再丰富一下,将会
更好。实施过程中还有很多地方可以完善和创新,例如:加一台核心交换机,就可以使用双
机热备方案,启用思科 HRSP 协议,实现双机热备,如果企业园区较大,可以组建主干光纤
网,添加汇聚层交换机,体现网络的延展性,实现网络
扩容;根据端口映射的配置,可以添加邮件服务品,VPN 服务器,等等。
小弟在这里写的实例,贴在 51CTO 实在是班门弄斧,重在参与,还请大家不要见
笑,鉴于本人水平有限,里面的错误在所难免,希望大家多多指证,交流技术。最后
感谢 51cto 给大家这样的一交流的平台