中小企业园区网建设项目.pdf-资料库

中小企业园区网建设项目【实验名称】中小企业园区网建设项目【实验目的】通过实施项目，了解如何对中小企业建设网络的需求进行分析，给出解决方案，并进行实施【背景描述】某企业计划建设自己的企业园区网络，希望通过这个新建的网络，提供一个安全、可靠、可扩展、高效的网络环境，将两个办公地点连接到一起，使企业内能够方便快捷的实现网络资源共享、全网接入 Internet 等目标，同时实现公司内部的信息保密隔离，以及对于公网的安全访问。为了确保这些关键应用系统的正常运行、安全和发展，网络必须具备如下的特性： 1、采用先进的网络通信技术完成企业网络的建设，连接 2 个相距较远的办公地点 2、为了提高数据的传输效率，在整个企业网络内控制广播域的范围 3、在整个企业集团内实现资源共享，并保证骨干网络的高可靠性 4、企业内部网络中实现高效的路由选择 5、在企业网络出口对数据流量进行一定的控制 6、能够使用较少的公网 IP 接入 Internet 该企业的具体环境如下： 1、企业具有 2 个办公地点，且相距较远 2、A 办公地点具有的部门较多，例如业务部、财务部、综合部等，为主要的办公场所，因此这部分的交换网络对可用性和可靠性要求较高 3、B 办公地点只有较少办公人员，但是 Internet 的接入点在这里 4、公司已经申请到了若干公网 IP 地址，供企业内网接入使用 5、公司内部使用私网地址项目任务图如上图所示，实际建设时需求确定更详细的信息，端口如何分配、IP 地址 1

如何划分等等。【需求分析】需求 1：在接入层采用二层交换机，并且要采取一定方式分隔广播域分析 1：在接入层交换机上划分 VLAN 可以实现对广播域的分隔划分业务部 VLAN10、财务部 VLAN20、综合部 VLAN30，并分配接口需求 2：核心交换机采用高性能的三层交换机，且采用双核心互为备份的形势，接入层交换机分别通过 2 条上行链路连接到 2 台核心交换机，由三层交换机实现 VLAN 之间的路由分析 2：交换机之间的链路配置为 Trunk 链路三层交换机上采用 SVI 方式（switch virtual interface）实现 VLAN 之间的路由需求 3：2 台核心交换机之间也采用双链路连接，并提高核心交换机之间的链路带宽分析 3：在 2 台三层交换机之间配置端口聚合，以提高带宽需求 4：接入交换机的 access 端口上实现对允许的连接数量的控制，以提高网络的安全性分析 4：采用端口安全的方式实现需求 5：为了提高网络的可靠性，整个网络中存在大量环路，要避免环路可能造成的广播风暴等分析 5：整个交换网络内实现 RSTP，以避免环路带来的影响需求 6：三层交换机配置路由接口，与 RA、RB 之间实现全网互通分析 6：两台三层交换机上配置路由接口，连接 A 办公地点的路由器 RA RA 和 RB 分别配置接口 IP 地址在三层交换机的路由接口和 RA，以及 RB 的内网接口上启用 RIP 路由协议，实现全网互通需求 7：RA 和 B 办公地点的路由器 RB 之间通过广域网链路连接，并提供一定的安全性分析 7：RA 和 RB 的广域网接口上配置 PPP（点到点）协议，并用 PAP 认证提高安全性需求 8：RB 配置静态路由连接到 Internet 分析 8：两台三层交换上配置缺省路由，指向 RA RA 上配置缺省路由指向 RB RB 上配置缺省路由指向连接到互联网的下一跳地址需求 9：在 RB 上用少量公网 IP 地址实现企业内网到互联网的访问分析 9：用 NAT（网络地址转换）方式，实现企业内网仅用少量公网 IP 地址到互联网的访问需求 10：在 RB 上对内网到外网的访问进行一定控制，要求不允许财务部访问互联网， 2

业务部只能访问 WWW 和 FTP 服务，而综合部只能访问 WWW 服务，其余访问不受控制分析 10：通过 ACL（访问控制列表）实现【实验拓扑】实验拓扑说明：路由器 Internet 用于模拟互联网，上面的 Loopback 端口模拟互联网上的主机，用于测试使用。【实验设备】路由器三层交换机二层交换机 PC 机直连线交叉线 V.35 线缆【预备知识】 3 台 2 台 2 台 3 台 5 条 7 条 1 条交换机转发原理、交换机基本配置、VLAN 工作原理、VLAN 的配置，Trunk 的配置三层交换的基本原理，SVI 方式的配置端口聚合的工作原理和配置，端口安全的工作原理和配置 STP 的工作原理，RSTP 的配置路由器的工作原理，静态路由和动态路由的概念，静态路由的配置 RIP 的工作原理，RIP 的配置 PPP 的概念和配置 3

NAT 的工作原理和配置基于 IP 的访问控制列表的工作原理，标准和扩展 IP ACL 的配置【实验原理】在本项目中，采用 VLAN 来隔离广播域，VLAN 是一种用于隔离广播域的技术，配置了 VLAN 的交换机内，相同 VLAN 内主机之间可以直接访问，同时对于不同 VLAN 的主机进行隔离。通过在三层交换机上为各 VLAN 配置 SVI 接口，利用三层交换机的路由功能可以实现 VLAN 间的路由。 STP 技术在采用生成树算法，在网络中通过交换机优先级等信息选举出一台根交换机，再以根交换机为根节点在网络中形成一棵没有环路的树，从而解决链路环路引发的问题。端口聚合（Aggregate-port）又称链路聚合，是指两台交换机之间在物理上将多个端口连接起来，将多条链路聚合成一条逻辑链路，从而增大链路带宽，解决交换网络中因带宽引起的网络瓶颈问题交换机的端口安全特性可以限制端口接入的设备数量，防止用户将过多的设备接入到网络中。在本项目中，到达互联网的路由通过静态路由实现，而企业内部网络中则是通过动态路由实现，采用的是 RIP 协议。静态路由在拓扑结构简单的网络中，网管员通过手工的方式配置本路由器未知网段的路由信息，从而实现不同网段之间的连接。动态路由协议学习产生的路由在大规模的网络中，或网络拓扑相对复杂的情况下，通过在路由器上运行动态路由协议，路由器之间互相自动学习产生路由信息。 RIP（Routing Information Protocols，路由信息协议）是应用较早、使用较普遍的 IGP （Interior Gateway Protocol，内部网关协议），适用于小型同类网络，是典型的距离矢量（distance-vector）协议。RIP 协议跳数做为衡量路径开销的，RIP 协议里规定最大跳数为 15。 PPP 协议位于 OSI 七层模型的数据链路层，是使用非常普遍的广域网数据链路层协议。PPP 的认证功能是指在建立 PPP 链路的过程中进行密码的验证，验证通过建立连接，验证不通过拆除链路。 NAT（网络地址转换或网络地址翻译），是指将网络地址从一个地址空间转换为另一个地址空间的行为。 NAT 将网络划分为内部网络（inside）和外部网络（outside）两部分。局域网主机利用 NAT 访问网络时，是将局域网内部的本地地址转换为了全局地址（互联网合法 IP 地址）后转发数据包。 ACL 可以对数据包的源 IP 地址、目的 IP 地址、源端口、目的端口等进行检查，并确定一系列的转发规则。当应用了 ACL 的接口接收或发送数据包时，将根据接口配置的 ACL 规则对数据进行检查，并采取相应的措施，允许通过或拒绝通过，从而达到访问控制的目的，提高网络安全性。 4

【实验流程】【实验步骤】第一步：在四台交换机上创建 Vlan 10、20、30，分别命名为 yewubu，caiwubu，zonghebu， SW-A(config)#vlan 10 SW-A (config-vlan)#name yewubu SW-A (config-vlan)#vlan 20 SW-A (config-vlan)#name caiwubu SW-A (config-vlan)#vlan 30 SW-A (config-vlan)#name zonghebu SW-A (config-vlan)#exit SW-A (config)# 5

SW-B(config)#vlan 10 SW-B(config-vlan)#name yewubu SW-B(config-vlan)#vlan 20 SW-B(config-vlan)#name caiwubu SW-B(config-vlan)#vlan 30 SW-B(config-vlan)#name zonghebu SW-B(config-vlan)#exit SW-B(config)# SW-1(config)#vlan 10 SW-1(config-vlan)#name yewubu SW-1(config-vlan)#vlan 20 SW-1(config-vlan)#name caiwubu SW-1(config-vlan)#vlan30 SW-1(config-vlan)#name zonghebu SW-1(config-vlan)#exit SW-1(config)# SW-2(config)#vlan 10 SW-2(config-vlan)#name yewubu SW-2(config-vlan)#vlan 20 SW-2(config-vlan)#name caiwubu SW-2(config-vlan)#vlan30 SW-2(config-vlan)#name zonghebu SW-2(config-vlan)#exit SW-2(config)# 第二步：在交换机 SW-1 和 Sw-2 上分别将 6~10 端口、11~15 端口、16~20 端口划分到 VLAN10、20 和 30 中 SW-1(config)#interface range fastEthernet 0/6 -10 SW-1(config-if-range)#switchport mode access SW-1(config-if-range)#switchport access vlan 10 SW-1(config-if-range)#exit SW-1(config)#interface range fastEthernet 0/11 -15 SW-1(config-if-range)#switchport mode access SW-1(config-if-range)#switchport access vlan 20 SW-1(config-if-range)#exit SW-1(config)#interface range fastEthernet 0/16 -20 SW-1(config-if-range)#switchport mode access SW-1(config-if-range)#switchport access vlan 30 SW-1(config-if-range)#exit SW-1(config)# 6

SW-2(config)#interface range fastEthernet 0/6 -10 SW-2(config-if-range)#switchport mode access SW-2(config-if-range)#switchport access vlan 10 SW-2(config-if-range)#exit SW-2(config)#interface range fastEthernet 0/11 -15 SW-2(config-if-range)#switchport mode access SW-2(config-if-range)#switchport access vlan 20 SW-2(config-if-range)#exit SW-2(config)#interface range fastEthernet 0/16 -20 SW-2(config-if-range)#switchport mode access SW-2(config-if-range)#switchport access vlan 30 SW-2(config-if-range)#exit SW-2(config)# 第三步：把交换机 SW-1 与 Sw-2 上联 SW-A 与 SW-B 的端口设置为 Trunk 模式 SW-A (config)#interface range fastEthernet 0/3 - 4 SW-A (config-if-range)#switchport mode trunk SW-A (config-if-range)#exit SW-B (config)#interface range fastEthernet 0/3 - 4 SW-B (config-if-range)#switchport mode trunk SW-B (config-if-range)#exit SW-1(config)#interface range fastEthernet 0/1 -2 SW-1(config-if-range)#switchport mode trunk SW-1(config-if-range)#exit SW-2(config)#interface range fastEthernet 0/1 -2 SW-2(config-if-range)#switchport mode trunk SW-2(config-if-range)#exit 第四步：把两台三层交换机之间的 F0/1 和 F0/1 端口配置为聚合端口 SW-A(config)#interface range fastEthernet f0/1 -2 SW-A(config-if-range)#port-group 1 SW-A(config-if-range)#exit SW-A(config)#interface aggregateport 1 SW-A(config-if)#switchport mode trunk SW-A(config-if)#exit SW-B(config)#interface range fastEthernet f0/1 -2 SW-B(config-if-range)#port-group 1 SW-B(config-if-range)#exit SW-B(config)#interface aggregateport 1 SW-B(config-if)#switchport mode trunk 7

SW-B(config-if)#exit 此时对前期的 VLAN、Trunk、聚合端口等配置进行验证： SW-A#show aggregatePort 1 summary AggregatePort MaxPorts SwitchPort Mode Ports ------------- -------- ---------- ------ ---------------------------------- Ag1 8 Enabled TRUNK Fa0/1 ,Fa0/2 SW-B#show aggregatePort 1 summary AggregatePort MaxPorts SwitchPort Mode Ports ------------- -------- ---------- ------ ---------------------------------- Ag1 8 Enabled TRUNK Fa0/1 ,Fa0/2 SW-1#show vlan VLAN Name Status Ports ---- -------------------------------- --------- ----------------------------------- 1 VLAN0001 STATIC Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/21, Fa0/22, Fa0/23 Fa0/24, Gi0/25, Gi0/26, Gi0/27 Gi0/28 10 yewubu STATIC Fa0/1, Fa0/2, Fa0/6, Fa0/7 Fa0/8, Fa0/9, Fa0/10 20 caiwubu STATIC Fa0/1, Fa0/2, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15 30 zonghebu STATIC Fa0/1, Fa0/2, Fa0/16, Fa0/17 Fa0/18, Fa0/19, Fa0/20 SW-2#show vlan VLAN Name Status Ports ---- -------------------------------- --------- ----------------------------------- 1 VLAN0001 STATIC Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/21, Fa0/22, Fa0/23 Fa0/24, Gi0/25, Gi0/26, Gi0/27 Gi0/28 10 yewubu STATIC Fa0/1, Fa0/2, Fa0/6, Fa0/7 Fa0/8, Fa0/9, Fa0/10 20 caiwubu STATIC Fa0/1, Fa0/2, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15 30 zonghebu STATIC Fa0/1, Fa0/2, Fa0/16, Fa0/17 Fa0/18, Fa0/19, Fa0/20 SW-A#show vlan VLAN Name Status Ports 8

资料库

中小企业园区网建设项目.pdf

相关推荐

网络技术

热门标签

最新资料