小型网络规划实验

小型网络规划实验第一页，共十五页，编辑于2023年，星期二一实验目的实现内网和外网的互通,以及实现一些特殊功能。

二实验要求一、给各个网络设备命名接入层为：教学接入层jxjr-1jxjr-2

宿舍接入层ssjr-1

办公接入层bgjr-1bgjr-2汇聚层为：教学汇聚层jxhj宿舍汇聚层sshj办公汇聚层bghj核心层为：左边核心hexin-1右边核心hexin-2服务器区：服务器交换机server路由器：chukou第二页，共十五页，编辑于2023年，星期二二、分配ip地址教学区两个vlan，vlan10地址段/24

vlan20地址段/24宿舍区一个vlan，vlan30地址段/24办公区两个vlan，vlan40地址段/24

vlan50地址段/24服务器一个vlan，vlan60地址段/24所有vlan的网关均为192.168.x.254设备管理vlan800，要求目前连接在服务器区的管理员pc（manger），可telnet管理所有设备，管理密码为123hexin-1地址为，hexin-2地址为，掩码24位教学汇聚，宿舍汇聚，办公汇聚，服务器交换机地址分别为/4/5/6宿舍区接入层交换机管理地址为，其他接入层交换机看做不可网管型交换机路由器与hexin-1的互联地址为/30路由器与hexin-2的互联地址为/30hexin-1与hexin-2的互联地址为/30路由器教育网出口（cernet）地址为：/30路由器联通出口（cnc）地址为：/28外网ruijie的web服务器地址为，域名为内网web服务器地址为0，域名为第三页，共十五页，编辑于2023年，星期二三、通过配置dhcp服务器，使内部用户可自动获取地址四、通过配置，使全网均能互联互通，内部用户可上外网（ping通并能打开ruijie网站）要求使用多区域OSPF路由协议，且教学、宿舍、办公、服务器区等不属于同一区域连接用户的接口设置为被动接口五、服务器相关1、发布内部服务器的www服务，让公网用户（PC-EX）能通过59.69.1.3访问2、使教学区用户仅能访问内部服务器的web业务，而不能ping通该服务器，也不能使用该服务器的其他服务六、配置安全策略1、不允许宿舍区访问办公区vlan40内的地址2、仅网络管理员的pc（manger）可以通过vlan800的管理地址管理到设备七、出口路由访问/24的数据从cernet线路出站，cernet线路不做nat访问其他地址的数据从cnc线路出站，cnc线路需要做nat第四页，共十五页，编辑于2023年，星期二三实验拓扑图第五页，共十五页，编辑于2023年，星期二四实验步骤（1）首先将交换机的所属接口vlan进行配置，将不同的区域划分到不同的vlan中。并将接入层与汇聚层，核心层相互连接的接口配置成为trunk口。将与下面相连接的接口都划为trunk口，并在hexin1配置SVI10，SVI20,SVI30的接口并配置地址，在hexin2配置SVI40，和SVI50的地址，配置DHCP如下：在hexin1上的配置如下：interfaceVlan10ipaddress54interfaceVlan20ipaddress54interfaceVlan30ipaddress54interfaceVlan60ipaddress54

ipdhcppoolvlan10networkdefault-router54dns-server8ipdhcppoolvlan20networkdefault-router54dns-server8ipdhcppoolvlan30networkdefault-router54dns-server8第六页，共十五页，编辑于2023年，星期二在hexin2上的配置如下：interfaceVlan40ipaddress54interfaceVlan50ipaddress54ipdhcppoolvlan40networkdefault-router54dns-server8ipdhcppoolvlan50networkdefault-router54dns-server8配置www服务器的地址，以及DNS上的地址解析查看主机是否后去到地址第七页，共十五页，编辑于2023年，星期二在所有的需要被远程登录的交换机上配置SVI800，并配置相应的地址

hexin-1地址为，hexin-2地址为，掩码24位教学汇聚，宿舍汇聚，办公汇聚，服务器交换机地址分别为/4/5/6宿舍区接入层交换机管理地址为，其他接入层交换机看做不可网管型交换机以及配置三层交换和路由器之间的地址：路由器与hexin-1的互联地址为/30路由器与hexin-2的互联地址为/30hexin-1与hexin-2的互联地址为/30路由器教育网出口（cernet）地址为：/30路由器联通出口（cnc）地址为：/28核心机相互连接的接口设为trunk接口，而/30配置在SVI口上。在hexin1上配置：vlan100interfaceVlan100ipaddress52vlan800interfaceVlan800ipaddresshexin2上的配置如下：vlan100interfaceVlan100ipaddress52vlan800interfaceVlan800ipaddress还需配置路由器上的地址：其他的交换机配置如上一样，但只需配置vlan800及地址即可。第八页，共十五页，编辑于2023年，星期二

（2）配置OSPF，实现内网的互联

在与用户连接的接口不需要收发信息，则配置被动的接口：在hexin1上的配置如下：routerospf10network55area1network55area1network55area2network55area4networkarea0networkarea0passive-interfaceFastEthernet0/1passive-interfaceFastEthernet0/2passive-interfaceFastEthernet0/4在hexin2上的配置如下：routerospf10networkarea0networkarea0network55area3network55area3passive-interfaceFastEthernet0/1在路由器上的配置如下：routerospf10networkarea0networkarea0根据上面的配置，他们可以相互学习到整个网络的路由条目了。学习到了条目，就可实现全网的互联。第九页，共十五页，编辑于2023年，星期二

查看路由信息：在hexin1上查看到路由如上所示，可以看到内网的路由。在主机上查看是否能全网互联。第十页，共十五页，编辑于2023年，星期二（3）实现telnet对交换机的控制配置VTY，实现只有00的控制。则需在VTY上配置ACL来控制，只许00在需要控制的交换机上配置如下。access-list1permithost00linevty04access-class1inpassword123login在配置时，接入层时，要有回来的路线。所以配置网关，使他们能够ping通。之后在telnet在教学区和宿舍区以及服务器区需要控制的交换机配置：ipdefault-gateway在办公区配置如下所示ipdefault-gateway在00上telnet实验第十一页，共十五页，编辑于2023年，星期二四实现相互通信的其他要求首先不允许宿舍区访问办公区vlan40内的地址宿舍属于vlan30，是网段不能与去，则在hexin1上配置如下：access-list100denyip5555access-list100permitip55anyintvlan30ipaccess-group100in然后是实现使教学区用户仅能访问内部服务器的web业务，而不能ping通该服务器，也不能使用该服务器的其他服务。可以看出教学区有vlan10和vlan20则需要配置如下：access-list102permittcp55host0eqwwwaccess-list102denyip55host0access-list102permitipanyanyaccess-list101permittcp55host0eqwwwaccess-list101denyip55host0access-list101permitipanyany并将他们运用到SVI接口上，intvlan10ipaccess-group101inintvlan20ipaccess-group102in第十二页，共十五页，编辑于2023年，星期二五实现连接外网首先根据题目的提示，教育网不需作NAT，则可以根据配置明细的静态路由来实现到达教育网的服务器.在路由上配置：1.iproute到达CNC的网络需要配置NAT来实现，但是必须配置个默认的路由来指引除了到教育网的路由以外的路由走CNC，则配置如下：2iprouteipnatpoolaanetmaskipnatinsidesourcelist1poolaaoverload

最后运用到接口上interfaceFastEthernet0/0ipnatinsideinterfaceFastEthernet0/1ipnatinsideinterfaceEthernet1/1ipna