网络配置设计说明书全解.doc

《网络配置设计说明书全解.doc》由会员分享，可在线阅读，更多相关《网络配置设计说明书全解.doc（30页珍藏版）》请在三一办公上搜索。

1、湖南软件职业技术学院中小型园区网设计与配置设计说明 目录一项目要求3（一）：背景描述3（二）：项目情况3二、项目需求分析4（一）：项目需求概括4（二）：项目建设拓补6三、项目方案的具体设计6（一）：IP地址的规划6（二）：三层交换机基础配置8（三）：路由器相关配置9（四）：各部门访问权限设置12（五）：各硬件的相关配置文件附录12（六）：基于linux环境下的服务器配置28三、项目总结31一项目要求（一）：背景描述某企业计划建设自己的企业园区网络，希望通过这个新建的网络，提供一个安全、可靠、可扩展、高效的网络环境，将两个办公地点连接到一起，使企业内能够方便快捷的实现网络资源共享、全网接入Int

2、ernet等目标，同时实现公司内部的信息保密隔离，以及对于公网的安全访问。为了确保这些关键应用系统的正常运行、安全和发展，网络必须具备如下的特性：1、采用先进的网络通信技术完成企业网络的建设，连接2个相距较远的办公地点2、为了提高数据的传输效率，在整个企业网络内控制广播域的范围3、在整个企业集团内实现资源共享，并保证骨干网络的高可靠性4、企业内部网络中实现高效的路由选择5、在企业网络出口对数据流量进行一定的控制6、能够使用一个公网IP接入Internet（二）：项目情况该企业的具体环境如下：1、企业具有2个办公地点，且相距较远，公司总共大约有200台主机。2、A办公地点具有的部门较多，例如业务

3、部、财务部、综合部等，为主要的办公场所，因此这部分的交换网络对可用性和可靠性要求较高3、B办公地点只有较少办公人员，但是Internet的接入点在这里4、公司只申请到了一个公网IP地址，供企业内网接入使用5、公司内部使用私网地址二、项目需求分析（一）：项目需求概括 需求1：在接入层采用三层交换机，并且要采取一定方式分隔广播域 分析1：在接入层交换机上划分VLAN可以实现对广播域的分隔划分业务部VLAN10、财务部VLAN20、综合部VLAN30，并分配接口 需求二：核心交换机采用高性能的三层交换机，且采用双核心互为备份的形势，接入层交换机分别通过2条上行链路连接到2台核心交换机，由三层交换机实

4、现VLAN之间的路由 分析二 交换机之间的链路配置为Trunk链路 三层交换机上采用SVI方式（switch virtual interface）实现VLAN之间的路由 需求三：2台核心交换机之间也采用双链路连接，并提高核心交换机之间的链路带宽 分析三 在2台三层交换机之间配置端口聚合，以提高带宽 需求四：接入交换机的access端口上实现对允许的连接数量的控制，以提高网络的安全性 分析四 采用端口安全的方式实现 需求五：三层交换机配置路由接口，与RA、RB之间实现全网互通 分析五 两台三层交换机上配置路由接口，连接A办公地点的路由器RA RA和RB分别配置接口IP地址 在三层交换机的路由接口

5、和RA，以及RB的内网接口上启用RIP路由协议，实现全网互通 需求六：RA和B办公地点的路由器RB之间通过广域网链路连接，并提供一定的安全性 分析六 RA和RB的广域网接口上配置PPP（点到点）协议，并用PAP认证提高安全性 需求七：RB配置静态路由连接到Internet 分析七 两台三层交换上配置缺省路由，指向RA RA上配置缺省路由指向RB RB上配置缺省路由指向连接到互联网的下一跳地址 需求八：在RB上用一个公网IP地址实现企业内网到互联网的访问 分析八 用NAT（网络地址转换）方式，实现企业内网仅用一个公网IP地址到互联网的访问 需求九：在S1上对内网到外网的访问进行一定控制，要求不允

6、许财务部访问互联网，业务部只能访问WWW和FTP服务，而综合部只能访问WWW服务，其余访问不受控制 分析九 通过ACL（访问控制列表）实现 需求十：在R1配置PPP拨号协议，要求通过拨号才能接入internet。 需求十一：将交换机SWA设为服务器模式，SWB为客户机模式 通过VTP实现（二）：项目建设拓补三、项目方案的具体设计（一）：IP地址的规划设置名称配置接口IP地址服务器201.1.1.1路由器R1Fa0/0201.1.1.254S0/0/013.1.1.254S0/0/123.1.1.254路由器RAS0/0/013.1.1.1F0/0F0/1192.168.1.254192.168

7、.2.254路由器RBS0/0/123.1.1.1F0/0192.168.2.254交换机S1F0/24192.168.1.1Vlan 10192.168.10.254Vlan 20192.168.20.254Vlan 30192.168.30.254交换机S2F0/24192.168.2.2Vlan 10192.168.10.254Vlan 20192.168.20.254Vlan 30192.168.30.254计算机P1业务部1192.168.10.1P2财务部1192.168.20.1P3综合部1192.168.30.1P4业务部2192.168.10.2P5财务部2192.168.2

8、0.2P6P0P7P8综合部2192.168.30.2192.168.3.1192.168.3.2192.168.3.3【试验设备】路由器 2811 3台三层交换机3560-24PS 2台PC机 9台直连/交叉线 若干DCE串口线 2条（二）：三层交换机基础配置第一步：将S1交换机VTP模式设置为服务器，口令为123456，域为s602112，并创建vnal 10 vlan 20 vlan 30，将端口1-2划分到vlan 10，3-4划分到 vlan 20 5-6划分到vlan 30第二步：把两台交换机SW-A、SW-B之间的F0/24、F0/23端口配置为聚合端口 AggregatePor

9、t 1，并把AggregatePort 1配置为Trunk模式。此时对前期的VLAN、Trunk、聚合端口等的配置进行验证。第三步：在交换机的access链路上实现端口安全，最大连接数量为4个，当违例产生时，讲关闭端口炳发送一个Trap通知。SA：SA(config)#interface range f0/1 - 3SA(config-if-range)#switchport port-security maximum 4 SW-A(config-if-range)#SB：SB(config)#SB(config)#interface range fastEthernet 0/1 - 3SB(

10、config-if-range)#switchport port-security maximum 4 SB(config-if-range)#第四步：在三层交换机上开启路由功能，并对各网段进行宣告，关闭自动汇总，启用版本2S1：s1(config)#ip routings1(config)#router rips1(config-router)#version 2s1(config-router)#no auto-summarys1(config-router)#network 192.168.1.0s1(config-router)#network 192.168.20.0s1(confi

11、g-router)#network 192.168.30.0S2：S2(config)#ip routingS2(config)#router ripS2(config-router)#version 2S2(config-router)#no auto-summaryS2(config-router)#network 192.168.2.0S2(config-router)#network 192.168.20.0S2(config-router)#network 192.168.30.0第五步：配置三层交换机上的路由器端口IP地址（三）：路由器相关配置第一步：为三台路由器各相应端口配置IP

12、地址。第二步：分别为路由器RA 的 s0/0/0 及RB的 s0/0/1 配置时钟频率为 64000RA:ra(config)#int s0/0/0ra(config-if)#clock rate 64000RB:rb(config)#int s0/0/1ra(config-if)#clock rate 64000第三步：根据需求配置各路由器上的静态路由或动态路由RA：ra(config)#ip route 0.0.0.0 0.0.0.0 s0/0/0ra(config)#router ripra(config-router)#version 2ra(config-router)#no aut

13、o-summaryra(config-router)#network 13.0.0.0ra(config-router)#network 192.168.1.0RB:rb(config)#ip route 0.0.0.0 0.0.0.0 s0/0/1rb(config)#router riprb(config-router)#version 2rb(config-router)#no auto-summaryrb(config-router)#network 23.0.0.0rb(config-router)#network 192.168.2.0第四步：在R1上创建三个上网帐户，分别为gs1

14、、gs2、密码为2013，2014并开启R1 RA RB三台路由器的PPP协议PAP认证。R1：r1(config)#username gs1 password 2013r1(config)#username gs2 password 2014r1(config)#int s0/0/0r1(config-if)#encapsulation pppr1(config-if)#ppp authentication papr1(config-if)#exitr1(config)#int s0/0/1r1(config-if)#encapsulation pppr1(config-if)#ppp au

15、thentication papr1(config-if)#exitRA:ra(config)#int s0/0/0ra(config-if)#encapsulation pppra(config-if)#ppp pap sent-username gs1 password 2013ra(config-if)#exitRB：rb(config)#int s0/0/1rb(config-if)#encapsulation pppra(config-if)#ppp pap sent-username gs2 password 2014ra(config-if)#exit第五步：利用NAT地址转换，

16、使内网地址转换成公网址址访问服务器。rb(config)#int s0/0/1rb(config-if)#ip nat outsiderb(config-if)#exitrb(config)#int f0/0rb(config-if)#ip nat inside（四）：各部门访问权限设置在交换机S1上通过ACL控制不允许财务部访问互联网，业务部只能访问WWW和FTP服务，而综合部只能访问WWW服务，其余访问不受控制rb(config)#access-list 100 deny tcp host 192.168.3.2 host 201.1.1.1 eq 80rb(config)#access-

17、list 100 permit ip host 192.168.3.2 anyrb(config)#access-list 100 permit ip any anyrb(config)#int f0/0rb(config-if)#ip access-group 100 inrb(config-if)#exit（五）：各硬件的相关配置文件附录R1:r1#sh running-config Building configuration.Current configuration : 875 bytes!version 12.4no service timestamps log datetime

18、msecno service timestamps debug datetime msecno service password-encryption!hostname r1!username gs1 password 0 2013username gs2 password 0 2014!spanning-tree mode pvst!interface FastEthernet0/0 ip address 201.1.1.254 255.255.255.0 duplex auto speed auto!interface FastEthernet0/1 no ip address duple

19、x auto speed auto shutdown!interface Serial0/0/0 ip address 13.1.1.254 255.255.255.0 encapsulation ppp ppp authentication pap!interface Serial0/0/1 ip address 23.1.1.254 255.255.255.0 encapsulation ppp ppp authentication pap!interface Vlan1 no ip address shutdown!router rip version 2 network 13.0.0.

20、0 network 23.0.0.0 network 201.1.1.0 no auto-summary!ip classless!no cdp run!line con 0!line aux 0!line vty 0 4 login!endRA:ra#sh running-config Building configuration.Current configuration : 855 bytes!version 12.4no service timestamps log datetime msecno service timestamps debug datetime msecno ser

21、vice password-encryption!hostname ra!spanning-tree mode pvst!interface FastEthernet0/0 ip address 192.168.1.254 255.255.255.0 duplex auto speed auto!interface FastEthernet0/1 ip address 192.168.2.254 255.255.255.0 duplex auto speed auto!interface Serial0/0/0 ip address 13.1.1.1 255.255.255.0 encapsu

22、lation ppp ppp pap sent-username gs1 password 0 2013 clock rate 64000!interface Serial0/0/1 no ip address shutdown!interface Vlan1 no ip address shutdown!router rip version 2 network 13.0.0.0 network 192.168.1.0 network 192.168.2.0 no auto-summary!ip classlessip route 0.0.0.0 0.0.0.0 Serial0/0/0 !no

23、 cdp run!line con 0!line aux 0!line vty 0 4 login!endRB:rb#sh running-config Building configuration.Current configuration : 1284 bytes!version 12.4no service timestamps log datetime msecno service timestamps debug datetime msecno service password-encryption!hostname rb!spanning-tree mode pvst!interf

24、ace FastEthernet0/0 ip address 192.168.3.254 255.255.255.0 ip access-group 100 in ip nat inside duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto speed auto!interface Serial0/0/0 no ip address ip access-group 101 out shutdown!interface Serial0/0/1 ip address 23.1.1.1 255.255

25、.255.0 encapsulation ppp ppp pap sent-username gs2 password 0 2014 ip nat outside clock rate 64000!interface Vlan1 no ip address shutdown!router rip version 2 network 23.0.0.0 network 192.168.2.0 network 192.168.3.0 no auto-summary!ip nat inside source list 1 interface Serial0/0/1 overloadip classle

26、ssip route 0.0.0.0 0.0.0.0 Serial0/0/1 !access-list 1 permit anyaccess-list 100 deny tcp host 192.168.3.2 host 201.1.1.1 eq wwwaccess-list 100 permit ip host 192.168.3.2 anyaccess-list 100 permit ip any anyaccess-list 101 deny tcp host 192.168.3.3 host 201.1.1.1 eq ftpaccess-list 101 permit ip host

27、192.168.3.3 anyaccess-list 101 permit ip any any!no cdp run!line con 0!line aux 0!line vty 0 4 login!endS1s1#sh running-config Building configuration.Current configuration : 1829 bytes!version 12.2no service timestamps log datetime msecno service timestamps debug datetime msecno service password-enc

28、ryption!hostname s1!ip routing!spanning-tree mode pvst!interface FastEthernet0/1 switchport access vlan 10 switchport mode access!interface FastEthernet0/2 switchport access vlan 10 switchport mode access!interface FastEthernet0/3 switchport access vlan 20 switchport mode access!interface FastEthern

29、et0/4 switchport access vlan 20 switchport mode access!interface FastEthernet0/5 switchport access vlan 30 switchport mode access!interface FastEthernet0/6 switchport access vlan 30 switchport mode access!interface FastEthernet0/7!interface FastEthernet0/8!interface FastEthernet0/9!interface FastEth

30、ernet0/10!interface FastEthernet0/11!interface FastEthernet0/12!interface FastEthernet0/13!interface FastEthernet0/14!interface FastEthernet0/15!interface FastEthernet0/16!interface FastEthernet0/17!interface FastEthernet0/18!interface FastEthernet0/19!interface FastEthernet0/20!interface FastEthern

31、et0/21!interface FastEthernet0/22 switchport mode trunk!interface FastEthernet0/23 switchport mode trunk!interface FastEthernet0/24 no switchport ip address 192.168.1.1 255.255.255.0 duplex auto speed auto!interface GigabitEthernet0/1!interface GigabitEthernet0/2!interface Vlan1 no ip address shutdo

32、wn!interface Vlan10 ip address 192.168.10.254 255.255.255.0!interface Vlan20 ip address 192.168.20.254 255.255.255.0!interface Vlan30 ip address 192.168.30.254 255.255.255.0!router rip version 2 network 192.168.1.0 network 192.168.10.0 network 192.168.20.0 network 192.168.30.0 no auto-summary!ip cla

33、ssless!line con 0!line aux 0!line vty 0 4 login!EndS2s2#sh running-config Building configuration.Current configuration : 1783 bytes!version 12.2no service timestamps log datetime msecno service timestamps debug datetime msecno service password-encryption!hostname s2!ip routing!spanning-tree mode pvs

34、t!interface FastEthernet0/1 switchport access vlan 10 switchport mode access!interface FastEthernet0/2 switchport access vlan 10 switchport mode access!interface FastEthernet0/3 switchport access vlan 20 switchport mode access!interface FastEthernet0/4 switchport access vlan 20 switchport mode acces

35、s!interface FastEthernet0/5 switchport access vlan 30 switchport mode access!interface FastEthernet0/6 switchport access vlan 30 switchport mode access!interface FastEthernet0/7!interface FastEthernet0/8!interface FastEthernet0/9!interface FastEthernet0/10!interface FastEthernet0/11!interface FastEt

36、hernet0/12!interface FastEthernet0/13!interface FastEthernet0/14!interface FastEthernet0/15!interface FastEthernet0/16!interface FastEthernet0/17!interface FastEthernet0/18!interface FastEthernet0/19!interface FastEthernet0/20!interface FastEthernet0/21!interface FastEthernet0/22!interface FastEther

37、net0/23!interface FastEthernet0/24 no switchport ip address 192.168.2.2 255.255.255.0 duplex auto speed auto!interface GigabitEthernet0/1!interface GigabitEthernet0/2!interface Vlan1 no ip address shutdown!interface Vlan10 ip address 192.168.10.254 255.255.255.0!interface Vlan20 ip address 192.168.2

38、0.254 255.255.255.0!interface Vlan30 ip address 192.168.30.254 255.255.255.0!router rip version 2 network 192.168.2.0 network 192.168.10.0 network 192.168.20.0 network 192.168.30.0 no auto-summary!ip classless!line con 0!line aux 0!line vty 0 4 login!end（六）：基于linux环境下的服务器配置（一）Linux系统的安装（以CentOS6.4企业

39、版为例）。VirtualBox 一款开源虚拟机软件，VirtualBox号称是最强的免费虚拟机软件，它不仅具有丰富的特色，而且性能也很优异！它简单易用，可虚拟的系统包括Windows ，Mac OS X、Linux、OpenBSD、Solaris、IBM OS2甚至Android 4.0系统等操作系统!使用者可以在VirtualBox上安装并且运行上述的这些操作系统!CentOS（Community Enterprise Operating System）是Linux发行版之一，它是来自于Red Hat Enterprise Linux依照开放源代码规定释出的源代码所编译而成。由于出自同样的源

40、代码，因此有些要求高度稳定性的服务器以CentOS替代商业版的Red Hat Enterprise Linux使用。两者的不同，在于CentOS并不包含封闭源代码软件。（二）DNS服务器的配置与管理。在DNS服务器主配置文件named.conf中，配置方案如下：options zone IN type master;file .zone;allow-update none; ;zone 84.20.10.in-addr.arpa IN type master;file （84.20.10）.arpa;allow-update none; ;在正向解析文件.zone中，配置方案如下：$TTL 1

41、DIN SOA . (0; serial1D; refresh1H; retry1W; expire3H ); minimumIN NS .dns IN A 10.20.84.45cw IN A 10.20.84.136xs IN A 10.20.84.136ftp IN A 10.20.84.33在反向解析文件10.20.84.arpa中，配置方案如下：$TTL 1DIN SOA . (0; serial1D; refresh1H; retry1W; expire3H ); minimumIN NS .本机ip地址 IN PTR .10.20.84.136 IN PTR .10.20.84.136IN PTR .10.20.84.33IN PTR .（三）Web服务器的配置与管理。在Web服务器主配置文件httpd.conf中，配置方案如下：NameVirtualHost (10.20.84.136) ServerAdmin root DocumentRoot /var/www/html/cw DirectoryIndex index.html ServerName ErrorLog logs/dummy-error_log CustomLog logs/dummy-access_log commonVirtualHost (10