实验34范例中小企业园区网建设项目

1、中小企业园区网建设项目【实验名称】 中小企业园区网建设项目【实验目的】 通过实施项目，了解如何对中小企业建设网络的需求进行分析，给出解决方案，并进行实施【背景描述】 某企业计划建设自己的企业园区网络，希望通过这个新建的网络，提供一个安全、可靠、可扩展、高效的网络环境，将两个办公地点连接到一起，使企业内能够方便快捷的实现网络资源共享、全网接入Internet等目标，同时实现公司内部的信息保密隔离，以及对于公网的安全访问。为了确保这些关键应用系统的正常运行、安全和发展，网络必须具备如下的特性：1、采用先进的网络通信技术完成企业网络的建设，连接2个相距较远的办公地点2、为了提高数据的传输效率，在整个

2、企业网络内控制广播域的范围3、在整个企业集团内实现资源共享，并保证骨干网络的高可靠性4、企业内部网络中实现高效的路由选择5、在企业网络出口对数据流量进行一定的控制6、能够使用一个公网IP接入Internet该企业的具体环境如下：1、企业具有2个办公地点，且相距较远，公司总共大约有200台主机。2、A办公地点具有的部门较多，例如业务部、财务部、综合部等，为主要的办公场所，因此这部分的交换网络对可用性和可靠性要求较高3、B办公地点只有较少办公人员，但是Internet的接入点在这里4、公司只申请到了一个公网IP地址，供企业内网接入使用5、公司内部使用私网地址项目任务图如上图所示，实际建设时需求确定

3、更详细的信息，端口如何分配，IP地址如何划分等等。【需求分析】§ 需求1：在接入层采用二层交换机，并且要采取一定方式分隔广播域Ø 分析1：在接入层交换机上划分VLAN可以实现对广播域的分隔划分业务部VLAN10、财务部VLAN20、综合部VLAN30，并分配接口§ 需求二：核心交换机采用高性能的三层交换机，且采用双核心互为备份的形势，接入层交换机分别通过2条上行链路连接到2台核心交换机，由三层交换机实现VLAN之间的路由§ 分析二Ø 交换机之间的链路配置为Trunk链路Ø 三层交换机上采用SVI方式（switch virtual in

4、terface）实现VLAN之间的路由 § 需求三：2台核心交换机之间也采用双链路连接，并提高核心交换机之间的链路带宽§ 分析三Ø 在2台三层交换机之间配置端口聚合，以提高带宽§ 需求四：接入交换机的access端口上实现对允许的连接数量的控制，以提高网络的安全性§ 分析四Ø 采用端口安全的方式实现§ 需求五：三层交换机配置路由接口，与RA、RB之间实现全网互通§ 分析五Ø 两台三层交换机上配置路由接口，连接A办公地点的路由器RAØ RA和RB分别配置接口IP地址Ø 在三层交换机的路由

5、接口和RA，以及RB的内网接口上启用RIP路由协议，实现全网互通§ 需求六：RA和B办公地点的路由器RB之间通过广域网链路连接，并提供一定的安全性§ 分析六Ø RA和RB的广域网接口上配置PPP（点到点）协议，并用PAP认证提高安全性§ 需求七：RB配置静态路由连接到Internet§ 分析七Ø 两台三层交换上配置缺省路由，指向RAØ RA上配置缺省路由指向RBØ RB上配置缺省路由指向连接到互联网的下一跳地址§ 需求八：在RB上用一个公网IP地址实现企业内网到互联网的访问§ 分析八Ø

6、 用PAT（网络地址转换）方式，实现企业内网仅用一个公网IP地址到互联网的访问§ 需求九：在RB上对内网到外网的访问进行一定控制，要求不允许财务部访问互联网，业务部只能访问服务，而综合部只能访问WWW服务，其余访问不受控制§ 分析九Ø 通过ACL（访问控制列表）实现【实验拓扑】【试验设备】路由器 RSR10(20) 3台三层交换机RG-S3760 2台PC机 3台直连/交叉线 若干V35线缆 1条【实验步骤】第一步：在两台交换机上配置Vlan 10、20、30，分别命名为yewubu，caiwubu，zonghebu，并把相关端口划分到相应Vlan ，SW-A：R

7、ACK4_S3760>RACK4_S3760>en 14Password:RACK4_S3760#conf tRACK4_S3760(config)#hos SW-ASW-A(config)#SW-A(config)#vlan 10SW-A(config-vlan)#nameSW-A(config-vlan)#name yewubuSW-A(config-vlan)#exitSW-A(config)#vlan 20SW-A(config-vlan)#name caiwubuSW-A(config-vlan)#exitSW-A(config)#vlan 30SW-A(config-v

8、lan)#name zonghebuSW-A(config-vlan)#exitSW-A(config)#inter f0/1SW-A(config-if)#switchport mode access SW-A(config-if)#switchport access vlan 10SW-A(config-if)#exitSW-A(config)#inter f0/2SW-A(config-if)#switchport mode access SW-A(config-if)#switchport access vlan 20SW-A(config-if)#exitSW-A(config)#i

9、nter f0/3SW-A(config-if)#switchport mode access SW-A(config-if)#switchport access vlan 30SW-A(config-if)#exitSW-A(config)#end SW-A#show vlan VLAN Name Status Ports - - - - 1 VLAN0001 STATIC Fa0/4, Fa0/5, Fa0/6, Fa0/7 Fa0/8, Fa0/9, Fa0/10, Fa0/11 Fa0/12, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18,

10、 Fa0/19 Fa0/20, Fa0/21, Fa0/22, Fa0/23 Fa0/24, Gi0/25, Gi0/26, Gi0/27 Gi0/28 10 yewubu STATIC Fa0/1 20 caiwubu STATIC Fa0/2 30 zonghebu STATIC Fa0/3 SW-A#SW-B：RACK2_S3760>en 14Password:RACK2_S3760#conf tRACK2_S3760(config)#hos SW-BSW-B(config)#vlan 10SW-B(config-vlan)#nameSW-B(config-vlan)#name y

11、ewubuSW-B(config-vlan)#exitSW-B(config)#vlan 20SW-B(config-vlan)#naemSW-B(config-vlan)#na SW-B(config-vlan)#name caiwubuSW-B(config-vlan)#exitSW-B(config)#vlan 30SW-B(config-vlan)#nameSW-B(config-vlan)#name zonghebuSW-B(config-vlan)#exitSW-B(config)#inter f0/1SW-B(config-if)#switchport mode access S

12、W-B(config-if)#switchport access vlan 10SW-B(config-if)#exitSW-B(config)#inter f0/2SW-B(config-if)#switchport mode access SW-B(config-if)#switchport access vlan 20SW-B(config-if)#inter f0/3SW-B(config-if)#switchport mode access SW-B(config-if)#switchport access vlan 30SW-B(config-if)#endSW-B#show vl

13、an VLAN Name Status Ports - - - - 1 VLAN0001 STATIC Fa0/4, Fa0/5, Fa0/6, Fa0/7 Fa0/8, Fa0/9, Fa0/10, Fa0/11 Fa0/12, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/21, Fa0/22, Gi0/25 Gi0/26, Gi0/27, Gi0/28, Ag1 10 yewubu STATIC Fa0/1, Ag1 20 caiwubu STATIC Fa0/2, Ag1 30 zonghebu ST

14、ATIC Fa0/3, Ag1 SW-B#第二步：把两台交换机SW-A、SW-B之间的F0/24、F0/23端口配置为聚合端口 AggregatePort 1，并把AggregatePort 1配置为Trunk模式。此时对前期的VLAN、Trunk、聚合端口等的配置进行验证。SW-A：SW-A(config)#interface range f0/23 - 24 SW-A(config-if-range)#port-group 1 SW-A(config-if-range)#exitSW-A(config)#inter aggregateport 1 SW-A(config-if)#switc

15、hport mode trunk SW-A(config-if)#end SW-A#SW-A#show interfaces aggregateport 1Index(dec):29 (hex):1dAggregatePort 1 is UP , line protocol is UP Hardware is Aggregate Link AggregatePortInterface address is: no ip address MTU 1500 bytes, BW 1000000 Kbit Encapsulation protocol is Bridge, loopback not s

16、et Keepalive interval is 10 sec , set Carrier delay is 2 sec RXload is 1 ,Txload is 1 Queueing strategy: WFQ Switchport attributes: interface's description:"" medium-type is copper lastchange time:326 Day:18 Hour:14 Minute:29 Second Priority is 0 admin duplex mode is AUTO, oper duplex

17、is Full admin speed is AUTO, oper speed is 100M flow control admin status is OFF,flow control oper status is ON broadcast Storm Control is OFF,multicast Storm Control is OFF,unicast Storm Control is OFFAggregate Port Informations: Aggregate Number: 1 Name: "AggregatePort 1" Refs: 2 Members

18、: (count=2) FastEthernet 0/23 Link Status: Up FastEthernet 0/24 Link Status: UpSW-A#SW-A#show aggregatePort 1 summary AggregatePort MaxPorts SwitchPort Mode Ports - - - - -Ag1 8 Enabled TRUNK Fa0/23 ,Fa0/24 SW-A#SW-A#SW-B：SW-B(config)#interface range f0/23 - 24SW-B(config-if-range)#portSW-B(config-i

19、f-range)#port-group 1SW-B(config-if-range)#exitSW-B(config)#interface aggregateport 1SW-B(config-if)#switchport mode trunk SW-B(config-if)#endSW-B#show interfaces aggregateport 1Index(dec):29 (hex):1dAggregatePort 1 is UP , line protocol is UP Hardware is Aggregate Link AggregatePortInterface addres

20、s is: no ip address MTU 1500 bytes, BW 1000000 Kbit Encapsulation protocol is Bridge, loopback not set Keepalive interval is 10 sec , set Carrier delay is 2 sec RXload is 1 ,Txload is 1 Queueing strategy: WFQ Switchport attributes: interface's description:"" medium-type is copper lastc

21、hange time:326 Day:18 Hour: 9 Minute:45 Second Priority is 0 admin duplex mode is AUTO, oper duplex is Full admin speed is AUTO, oper speed is 100M flow control admin status is OFF,flow control oper status is ON broadcast Storm Control is OFF,multicast Storm Control is OFF,unicast Storm Control is O

22、FFAggregate Port Informations: Aggregate Number: 1 Name: "AggregatePort 1" Refs: 2 Members: (count=2) FastEthernet 0/23 Link Status: Up FastEthernet 0/24 Link Status: UpSW-B#SW-B#show aggregatePort 1 summary AggregatePort MaxPorts SwitchPort Mode Ports - - - - -Ag1 8 Enabled TRUNK Fa0/23 ,

23、Fa0/24 SW-B#SW-B#show vlanVLAN Name Status Ports - - - - 1 VLAN0001 STATIC Fa0/4, Fa0/5, Fa0/6, Fa0/7 Fa0/8, Fa0/9, Fa0/10, Fa0/11 Fa0/12, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/21, Fa0/22, Gi0/25 Gi0/26, Gi0/27, Gi0/28, Ag1 10 yewubu STATIC Fa0/1, Ag1 20 caiwubu STATIC Fa

24、0/2, Ag1 30 zonghebu STATIC Fa0/3, Ag1 SW-B#第三步：在交换机的access链路上实现端口安全，最大连接数量为4个，当违例产生时，讲关闭端口炳发送一个Trap通知。SW-A：SW-A(config)#interface range f0/1 - 3SW-A(config-if-range)#switchport port-security maximum 4 SW-A(config-if-range)#SW-B：W-B(config)#SW-B(config)#interface range fastEthernet 0/1 - 3SW-B(confi

25、g-if-range)#switchport port-security maximum 4 SW-B(config-if-range)#第四步：在三层交换机上配置SVI实现VLAN间的路由。SW-A：SW-A(config)#interface vlan 10SW-A(config-if)#ip address SW-A(config-if)#no shutdown SW-A(config-if)#exit SW-A(config)#interface vlan 20SW-A(config-if)#ip address 192.168.20

26、.1 SW-A(config-if)#no shutdown SW-A(config-if)#exit SW-A(config)#interface vlan 30SW-A(config-if)#ip add SW-A(config-if)#no shutdown SW-A(config-if)#exitSW-A(config)#endSW-A#show ip interface brief Interface IP-Address(Pri) OK? Status VLAN 10 /24 YE

27、S UP VLAN 20 /24 YES UP VLAN 30 /24 YES UP SW-A#SW-B：SW-B(config)#interface vlan 10SW-B(config-if)#ip address SW-B(config-if)#no shutdown SW-B(config-if)#exitSW-B(config)#inter vlan 20SW-B(config-if)#ip address SW-B(config-i

28、f)#no shutdown SW-B(config-if)#exitSW-B(config)#inter vlan 30SW-B(config-if)#exitSW-B(config)#interface vlan 30SW-B(config-if)#ip address SW-B(config-if)#no shutdown SW-B(config-if)#exitSW-B(config)#endSW-B#show ip interface brief Interface IP-Address(Pri) OK? Status VLAN 1

29、0 /24 YES UP VLAN 20 /24 YES UP VLAN 30 /24 YES UP SW-B#第五步：在三层交换机的路由端口、R-A、R-B和模拟Internet 的路由器上配置端口IP地址。SW-A：SW-A(config)#interface f0/22SW-A(config-if)#no switchport SW-A(config-if)#ip address SW-A(config-if)#no shutdown SW-A(config-if)#SW-

30、B：SW-B(config)#interface f0/22SW-B(config-if)#ip address SW-B(config-if)#no shutdown SW-B(config-if)#R-A：RACK4_RSR20_2> RACK4_RSR20_2>enable 15Password:RACK4_RSR20_2#conf tRACK4_RSR20_2(config)#hostname R-AR-A(config)#interface f0/0 R-A(config-if)#ip address 255.

31、255.255.0R-A(config-if)#no shutdown R-A(config-if)#exitR-A(config)#interface f0/1R-A(config-if)#ip address R-A(config-if)#no shutdown R-A(config-if)#exitR-A(config)#interface s3/0R-A(config-if)#ip address R-A(config-if)#no shutdown R-A(config-if)#endR-A#sh

32、ow ip interface brief Interface IP-Address(Pri) OK? Status Serial 3/0 /24 YES UP FastEthernet 0/0 /24 YES UP FastEthernet 0/1 /24 YES UP R-A#R-B：RACK4_RSR20_1>enable 15Password:RACK4_RSR20_1#conf tRACK4_RSR20_1(config)#hosRACK4_RSR20_1(config)#hostname R-BR-B(config)#inter

33、face s3/0R-B(config-if)#ip address R-B(config-if)#no shutdown R-B(config-if)#endR-B#ping Sending 5, 100-byte ICMP Echoes to , timeout is 2 seconds: < press Ctrl+C to break >!Success rate is 100 percent (5/5), round-trip min/avg/max = 30/30/30 msR-B#Interne

34、t：Internet(config)#interface f0/0Internet(config-if)#ip address Internet(config-if)#no shutdown Internet(config-if)#exitInternet(config)#interface loopback 0Internet(config-if)#ip address Internet(config-if)#no shutdown Internet(config-if)#end Internet#s

35、how ip interface brief Interface IP-Address(Pri) OK? Status Serial 3/0 no address YES DOWN FastEthernet 0/0 /24 YES UP FastEthernet 0/1 no address YES DOWN Loopback 0 /24 YES UP Internet#第六步：R-A和R-B配置广域网链路，启用PPP协议和配置CHAP认证R-A：R-A(config)#username R-B password 123456R-A(config)#inte

36、rface s3/0R-A(config-if)#encapsulation ppp R-A(config-if)#ppp authentication chap R-A(config-if)#ppp chap hostname R-A R-A(config-if)#ppp chap password 0 123456R-B：R-B#debu ppp authenticationR-B#conf tR-B(config)#username R-A password 123456R-B(config)#interface s3/0R-B(config-if)#encapsulation ppp

37、R-B(config-if)#ppp authentication chap R-B(config-if)#ppp chap hostname R-BR-B(config-if)#ppp chap password 0 123456R-B(config-if)#*Nov 23 20:21:14: %7: PPP: ppp_clear_author(), protocol = LCP*Nov 23 20:21:14: %LINK-5-CHANGED: Interface Serial 3/0, changed state to up*Nov 23 20:21:14: %7: PPP: Seria

38、l 3/0 Using CHAP hostname R-B.*Nov 23 20:21:14: %7: PPP: Serial 3/0 O CHAP CHALLENGE id 3 len 20*Nov 23 20:21:14: %7: PPP: Serial 3/0 I CHAP CHALLENGE id 4 len 20*Nov 23 20:21:14: %7: PPP: Serial 3/0 Using CHAP hostname R-B.*Nov 23 20:21:14: %7: PPP: Serial 3/0 recv CHAP challenge from R-A*Nov 23 20

39、:21:14: %7: PPP: Serial 3/0 Using default CHAP password.*Nov 23 20:21:14: %7: PPP: Serial 3/0 I CHAP RESPONSE id 3 len 20*Nov 23 20:21:14: %7: PPP: Serial 3/0 CHAP response id=3 ,received from R-A*Nov 23 20:21:14: %7: PPP: Serial 3/0 O CHAP SUCCESS id 3 len 22 *Nov 23 20:21:14: %7: PPP: Serial 3/0 I

40、 CHAP SUCCESS id 4 len 22*Nov 23 20:21:14: %7: :PPP: Serial 3/0 authentication OK, begin networkphase!*Nov 23 20:21:14: %7: PPP: ppp_clear_author(), protocol = IPCPR-B(config-if)#第七步：运用RIP路由协议，在企业内网实现全网路由互通，用静态路由实现企业内网到互联网的访问。 此时，查看三层交换机、路由器上的路由表是否学习到了企业内外全部的路由条目，并通过ping的方式检查企业内网部分是否实现了互通。SW-A：SW-A(

41、config)#router rip SW-A(config-router)#version 2SW-A(config-router)#no auto-summary SW-A(config-router)#network SW-A(config-router)#network SW-A(config-router)#network SW-A(config-router)#network SW-A(config-router)#exitSW-A(config)#ip routeSW-A(config)#ip

42、 route SW-A(config)#SW-B：SW-B(config)#router ripSW-B(config-router)#version 2SW-B(config-router)#no auto-summary SW-B(config-router)#network SW-B(config-router)#network SW-B(config-router)#network SW-B(config-router)#network SW-B(c

43、onfig-router)#exitSW-B(config)#ip route SW-B(config)#R-A：R-A(config)#router ripR-A(config-router)#version 2R-A(config-router)#no auto-summary R-A(config-router)#network R-A(config-router)#network R-A(config-router)#network R-A(config)#R-B：R-B(config)#r

44、outer rip R-B(config-router)#version 2R-B(config-router)#no auto-summary R-B(config-router)#network R-B(config-router)#exitR-B(config)#ip route R-B(config)#endR-B#此时，查看三层交换机、路由器上的路由表是否学习到了企业内外全部的路由条目，并通过ping的方式检查企业内网部分是否实现了互通。R-A#show ip route Codes: C - connected, S

45、 - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate defaultGateway of

46、last resort is to network S* /0 1/0 via C /24 is directly connected, FastEthernet 0/0C /32 is local host. C /24 is directly connected, FastEthernet 0/1C /32 is local host. C /24 is directly connected, Serial 3/0C /32 is l

47、ocal host. C /32 is directly connected, Serial 3/0R /24 120/1 via , 00:00:13, FastEthernet 0/0 120/1 via , 00:00:24, FastEthernet 0/1R /24 120/1 via , 00:00:13, FastEthernet 0/0 120/1 via , 00:00:24, FastEthernet 0/1R /24 120/1 via , 00:00:13, FastEthernet 0/0 120/1 via , 00:00:24, FastEthernet 0/1R-A#R-B#show ip route Codes: C - conn