中小型网络项目建设案例

1、 中小型网络项目建设案例2010-12-0616:56:48标签:交换 核心交换机配置 思科组网 路由 转眼间已经混入 IT 这行 3年了,感觉没啥意思,但是要 真是不干这行了, 还没想好自己要做什么。 为什么会没啥意思, 从我 的个人经历来说, 我工作过私营企业、 国有企业, 加薪受重视的部门 我们排在最后,没有哪家公司愿意培养 IT 网络管理人员。我们也不 怎么受到用人单位的重视, 网络正常的时候, 没人会想到你; 出了问 题,有人说你工作没做到位,工资、福利也不是很好! !虽然有几家公司的工作经历,但是还是很少一进另外一 家公司就让你搞网络工程的,很多思科的知识都忘记的差不多了, 抽 了

2、几天时间把我的思考知识和一些资料进行了整理, 写了一个网络案 例。 其中可能会有不足的地方, 也可能有错误的地方, 欢迎大家批评 指正。VLAN 及 IP 地址规划vlan1无 (vlan 名 称 192.168.0.0/24(ip 网 段 192.168.0.254(默认网关 管理 VLANvlan10JWC 192.168.1.0/24 192.168.1.254vlan20XSSS 192.168.2.0/24 192.168.2.254vlan30CWC 192.168.3.0/24 192.168.3.254vlan40JGSS 192.168.4.0/24 192.168.4.25

3、4vlan50JZX 192.168.5.0/24 192.168.5.254vlan60GLX 192.168.6.0/24 192.168.6.254vlan70JSJX 192.168.7.0/24 192.168.7.254vlan100FWQQ 192.168.100.0/24 192.168.100.254服务器群 VLAN一、接入层交换机配置,本次实验中接入层只有 2台,本文只配置 AWS1,像 AWS2、 AWS3、 AWS4等就不写成操作命令。1. 为访问层交换机命名为 ASW1Switch>enableSwitch#configterminalSwitch(confi

4、g#hostnameASW12. 将交换机设置加密口令 123ASW1(config#enablesecret 1233. 设置登录交换机时的口令 ciscoASW1(config#linevty 015ASW1(config-line#loginASW1(config-line#passwordcisco4. 设置终端线超时时间ASW1(config-line#linevty 015ASW1(config-line#exec-timeout530ASW1(config-line#linecon 0ASW1(config-line#exec-timeout5305. 设置禁用 IP 地址解析特

5、性ASW1(config-line#noip domain-lookup6. 设置启用消息同步特性ASW1(config#linecon 0ASW1(config-line#loggingsynchronousASW1(config-line#exit7. 配置访问层交换机 ASW1的管理 IP 和默认网关 ASW1(config#interfacevlan 1ASW1(config-if#ipaddress 192.168.0.5255.255.255.0 ASW1(config-if#noshutdownASW1(config#ipdefault-gateway 192.168.0.254

6、8. 配置访问层 ASW1的 VLAN 及 VTPASW1(config#vtpmode clientASW1(config#interfacerange fastethernet0/1-24ASW1(config-if-range#duplexfullASW1(config-if-range#speed1009. 配置访问层交换机 ASW1的访问端口 1-10ASW1(config-if-range#interfacerange fastethernet0/1-10 ASW1(config-if-range#switchportmode accessASW1(config-if-range#

7、switchportaccess vlan 10ASW1(config-if-range#exit10. 配置访问层交换机 ASW1的访问端口 11-20ASW1(config#interfacerange fastethernet0/11-20ASW1(config-if-range#switchportmode accessASW1(config-if-range#switchportaccess vlan 20ASW1(config-if-range#exit11. 设置快速端口ASW1(config#interfacerange fastethernet0/1-20ASW1(confi

8、g-if-range#spanning-treeportfast12. 设置主干道端口ASW1(config-if-range#interfacerange fastethernet 0/23-24 ASW1(config-if-range#switchportmode trunk13. 访问层交换机 ASW2为 VLAN30和 VLAN40的用户提供接入服 务。分别通过 F0/23、 F0/24上连到分布层交换机 DSW1、 DSW2的端口 F0/24二、配置分布层交换机 DSW1的基本参数。 (直接写出命令,不再写 出说明1.DSW1的基本参数。 (直接写出命令,不再写出说明Switch&

9、gt;enSwitch#configterminalSwitch(config#hostnameDSW1DSW1(config#enablesecret 456DSW1(config#lineconDSW1(config#lineconsole 0DSW1(config-line#loggingsynchronousDSW1(config-line#exec-timeout530DSW1(config-line#linevty 015DSW1(config-line#passwordciscoDSW1(config-line#loginDSW1(config-line#exec-timeout

10、530DSW1(config-line#exitDSW1(config#noip domain-lookup2. 配置分布层交换机 DSW1的管理 IP 、默认网关DSW1(config#interfacevlan 1DSW1(config-if#ipaddress 192.168.0.3255.255.255.0 DSW1(config-if#noshutdownDSW1(config-if#exitDSW1(config#ipdefault-gateway 192.168.0.2543. 配置分布层交换机 DSW1的 VTP(当网络中交换机数量很多时, 需要分别在每台交换机上创建很多重 复

11、的 VLAN 。在实际工作中为了避免出错,采用 VLAN 中继协议。在本次实验中,将分布层交换机 DSW1设置为 VTP 服务器,其他交换机为 VTP 客户端每一个 vtp 管理域都有个共同的 VTP 管理域域名,不同 VTP 管理域 的交换机之间不交换 VTP 通告信息。DSW1#configtDSW1(config#vtpdomain 51cto-将 vtp 管理域名定义为 “ 51cto ” DSW1(config#vtpmode server在一个 vtp 域下,只需要在 VTP 服务器上激活 vtp 裁剪功能。域下 的所有其他交换机也将自动激活 VTP 裁剪功能。DSW1(confi

12、g#vtppruning4. 在分布层交换机 DSW1上定义 VLAN(除了默认 VLAN 外又加了 8个 VLAN, 使用 VTP 技术,所有 VLAN 信 息都只需要在 VTP 服务器 -DSW1上进行,分布层交换机 DSW1的端 口 F0/1-F0/10为服务器提供接入服务。而 F0/23、 F0/24分别下连 到访问层交换机ASW1的端口 F0/23以及 ASW2的端口 F0/23。 分布层交换机 DSW1还通过自己的千兆端口 G0/1上连到核心交换机 CSW1的 G3/1。为了实现冗余设计,分布层交换机 DSW1还通过自己的千兆端口 G0/2连接另一台到分布层交换机 DSW2的 G0

13、/2。DSW1(config#vlan10DSW1(config-vlan#nameJWCDSW1(config-vlan#EXITDSW1(config#vlan20DSW1(config-vlan#nameXSSSDSW1(config-vlan#exitDSW1(config#vlan30DSW1(config-vlan#nameCWCDSW1(config-vlan#EXITDSW1(config#vlan40DSW1(config-vlan#nameJGSSDSW1(config-vlan#exitDSW1(config#vlan50DSW1(config-vlan#nameJZXD

14、SW1(config-vlan#EXITDSW1(config#vlan60DSW1(config-vlan#nameGLXDSW1(config-vlan#EXITDSW1(config#VLAN70DSW1(config-vlan#nameJSJXDSW1(config-vlan#EXITDSW1(config#VLAN100DSW1(config-vlan#NAMEFWQQDSW1(config#interfacerange fastethernet 0/1-24 DSW1(config-if-range#duplexfullDSW1(config-if-range#speed100DS

15、W1(config-if-range#interfacerange fastethernet 0/1-10 DSW1(config-if-range#switchportmode accessDSW1(config-if-range#switchportaccess vlan 100 DSW1(config-if-range#spanning-treeportfastDSW1(config-if-range#interfacerange fastethernet 0/23-24 DSW1(config-if-range#switchportmode trunkDSW1(config-if-ra

16、nge#interfacerange gigaoEthernet 0/1-2 DSW1(config-if-range#switchportmode trunk4. 配置分布层 DSW1的三层交换功能。为网络中的各个 VLAN 提供路由功能DSW1(config#iprouting5. 配置每个 VLAN 中的网关地址DSW1#configtDSW1(config#interfacevlan 10DSW1(config-if#ipaddress 192.168.1.254255.255.255.0 DSW1(config-if#noshutdownDSW1(config-if#interfac

17、evlan 20DSW1(config-if#ipaddress 192.168.2.254255.255.255.0 DSW1(config-if#noshutdownDSW1(config-if#interfacevlan 30DSW1(config-if#ipaddress 192.168.3.254255.255.255.0 DSW1(config-if#noshutdownDSW1(config-if#interfacevlan 40DSW1(config-if#ipaddress 192.168.4.254255.255.255.0 DSW1(config-if#noshutdow

18、nDSW1(config-if#interfacevlan 50DSW1(config-if#ipaddress 192.168.5.254255.255.255.0 DSW1(config-if#noshutdownDSW1(config-if#interfacevlan 60DSW1(config-if#ipaddress 192.168.6.254255.255.255.0 DSW1(config-if#noshutdownDSW1(config-if#interfacevlan 70DSW1(config-if#ipaddress 192.168.7.254255.255.255.0

19、DSW1(config-if#noshutdownDSW1(config-if#interfacevlan 100DSW1(config-if#ipaddress 192.168.100.254255.255.255.0DSW1(config-if#noshutdown6. 定义通往 INTERNET 路由器,这里使用一条缺省路由命令。 DSW1(config#iproute 0.0.0.00.0.0.0192.168.0.2547. 配置分布层交换机 DSW2交换机 DSW2的端口 F0/23、 F0/24分别下连到访问层交换机 ASW1的端口 F0/24以及访问层交换机 ASW2的端口 F

20、0/24。分布层交换机 DSW2还通过自己的千兆端口 G0/1上连接到核心 交换机 CSW1的 G3/2。为了实现冗余设计,分布层交换机 DSW2还通过自己的千兆端口 G0/2连接到分布层 DSW1的 G0/2三、配置核心层交换机1. 基本参数配置Switch>enSwitch#configtSwitch(config#hostnameCSW1CSW1(config#enablesecret 789CSW1(config#linecon 0CSW1(config-line#loggingsynchronousCSW1(config-line#exec-timeout015CSW1(con

21、fig-line#passwordabcCSW1(config-line#loginCSW1(config-line#exec-timeout530CSW1(config-line#exitCSW1(config#noip domain-lookup2. 管理 IP 和默认网关CSW1(config#interfacevlan 1CSW1(config-if#ipaddress 192.168.0.1255.255.255.0 CSW1(config-if#noshutdownCSW1(config#ipdefault-gateway 192.168.0.2543. 配置核心层交换机 CSW1

22、的 vlan 及 vtp设置核心层交换机 CSW1为 VTP 客户机CSW1(config#vtpmode client4. 配置核心层交换机 CSW1的端口参数核心层交换机 CSW1通过自己的端口 F4/3同广域网接入模块(路由 器相连。同时, CSW1的端口 G3/1-G3/2分别下连到分布层交换机 DSW1和 DSW2的端口 GigbitEthernet 0/1CSW1(config#interfacerange fastethernet4/1-32CSW1(config-if-range#duplexfullCSW1(config-if-range#speed100CSW1(confi

23、g-if-range#switchportmode accessCSW1(config-if-range#switchportaccess vlan 1CSW1(config-if-range#spanning-treeportfastCSW1(config-if-range#interfacerange fastethernet4/1-2 CSW1(config-if-range#switchportmode trunk5将核心交换机 CSW1的千兆端口 G2/1、 G2/2捆绑在一起实现 2000Mbps 的千兆以太网信道,然后再连接到另一台核心层交换机 CSW2CSW1(config#i

24、nterfaceport-channel 1CSW1(config-if#switchportCSW1(config-if#interfacerange gigabitethernet 2/1-2 CSW1(config-if#channel-group1mode desirable non-silent CSW1(config-if#noshutdowni6. 配置核心层交换机 CSW1的路由功能核心层交换机 CSW1通过端口 F4/3同广域网接入模块相连。需要启 用核心层交换机的路由功能。还要定义通往 Internet 的路由, 这里使用了一条缺省路由命令。 下一 跳地址是 interne

25、t 接入路由器的快速以太网接口 F0/0的 IP 地址。CSW1(config#iproutingCSW1(config#iproute 0.0.0.00.0.0.0192.168.0.2547. 核心交换机 CSW2的配置核心交换机 CSW2的配置命令和 CSW1的命令类似,不再做相关配 置。四、广域网接入模块设计1. 配置路由器基本参数采用思科 3640路由器,基本参数的配置步骤如下 Router>enableRouter#configtRouter(config#hostnameRR(config#enablesecret ciscoR(config#linecon 0R(conf

26、ig-line#loggingsysR(config-line#loggingsynR(config-line#loggingsynchronousR(config-line#exec-timeout530R(config-line#linevty 04R(config-line#passwordciscoR(config-line#loginR(config-line#execR(config-line#exec-timeout530R(config-line#exitR(config#noip domain-lookup2. 配置接入路由器 R 的各接口参数主要针对接口 F0/0以及接口

27、S0/0的 IP 地址、子网掩码配置。 R(config#interfacefastEthernet 0/0R(config-if#ipaddress 192.168.0.254255.255.255.0R(config-if#noshutdownR(config-if#interfaceserial 0/0R(config-if#ipaddress 193.1.1.1255.255.255.252R(config-if#noshutdown3. 配置接入路由 R 的路由功能对 R 路由器要定义两个方向上的路由:到校园网内部静态路由以及 到外网上的缺省路由。到外网的缺省路由,下一跳从 R 路由

28、器接口 S0/0送出。R(config#iproute 0.0.0.00.0.0.0serial 0/0到校园网内部的路由条目可以经过路由汇总形成 2条路由条目。 R(config#iproute 192.168.0.0255.255.248.0192.168.0.3 R(config#iproute 192.168.100.0255.255.255.0192.168.0.3 4. 配置接入路由器 R 上的 NAT本校园网向当地 ISP 申请了 9个 IP , 其中一个 IP 为 193.1.1.1分配给 外网口接入路由器的串行接口。另外 8个 202.205.222.1-202.206.22

29、2.8做 NAT 。4.1定义 NAT 内部、外部接口R(config#interfacefastEthernet 0/0R(config-if#ipnat insideR(config#interfaceserial 0/0R(config-if#ipnat outside4.2定义允许进行 NAT 的工作站的内部局部 IP 地址范围。R(config#ipaccess-list 1permit 192.168.0.00.0.7.2554.3为服务器定义静态地址转换R(config#ipnat inside source static 192.168.100.1 202.206.222.1R

30、(config#ipnat inside source static 192.168.100.2 202.206.222.2R(config#ipnat inside source static 192.168.100.3 202.206.222.3R(config#ipnat inside source static 192.168.100.4 202.206.222.4R(config#ipnat inside source static 192.168.100.5 202.206.222.5R(config#ipnat inside source static 192.168.100.6

31、 202.206.222.6R(config#ipnat inside source static 192.168.100.7 202.206.222.7R(config#ipnat inside source static 192.168.100.8 202.206.222.84.4为其他工作站定义复用地址转换R(config#ipnat inside source list 1interface serial 0/0overload 5. 配置接入路由器 R 上的 ACL5.1对外屏蔽简单网管协议,即 SNMP(利用这个协议,远程主机可以 监视、控制网络上的其他网络设备,其服务类型:SNM

32、P,SNMPTRAPR(config#access-list101deny udp any any eq snmpR(config#access-list101deny udp any any eq snmptrapR(config#access-list101permit ip any anyR(config#interfaceserial 0/0R(config-if#ipaccess-group 101in5.2对外屏蔽远程登录协议 telnetR(config#access-list101deny tcp any any eq telnetR(config#access-list101

33、permit ip any anyR(config#interfaceserial 0/0R(config-if#ipaccess-group 101in5.3对外屏蔽其他不安全协议主要有 SUN OS 的文件共享协议端口 2049,远程执行(rsh 、远程 登录(rlogin 和远程命令(rcmd 端口 512、 513、 514,远程过程调用 (SUNRPC端口 111。R(config#access-list101deny tcp any any range 512514 R(config#access-list101deny tcp any any eq 111R(config#access-list101deny udp any any eq 111R(config#access-list101deny tcp any any range 2049R(config#access-list101permit ip any anyR(config#ipaccess-group 101in5.4针对 DOS 攻击的设计。R(config#access-list101deny icmp any any eq echo-request R(config#access-list101deny udp any any eq echoR(