网络配置设计说明书全解

湖南软件职业技术学院中小型园区网设计

与配置设计说明目录TOC\o"1-5"\h\z\o"CurrentDocument"一项目要求3\o"CurrentDocument"（一）:背景描述3\o"CurrentDocument"（二）:项目情况3\o"CurrentDocument"二、项目需求分析4（一）：项目需求概括4\o"CurrentDocument"（二）:项目建设拓补5\o"CurrentDocument"三、项目方案的具体设计6（一）：IP地址的规划6\o"CurrentDocument"（二）：三层交换机基础配置7（三）:路由器相关配置9\o"CurrentDocument"（四）：各部门访问权限设置11\o"CurrentDocument"（五）：各硬件的相关配置文件附录12\o"CurrentDocument"（六）：基于linux环境下的服务器配置28\o"CurrentDocument"三、项目总结30一项目要求（一）：背景描述某企业计划建设自己的企业园区网络，希望通过这个新建的网络，提供一个安全、可靠、可扩展、高效的网络环境，将两个办公地点连接到一起，使企业内能够方便快捷的实现网络资源共享、全网接入Internet等目标，同时实现公司内部的信息保密隔离，以及对于公网的安全访问。为了确保这些关键应用系统的正常运行、安全和发展，网络必须具备如下的特性:1、采用先进的网络通信技术完成企业网络的建设，连接2个相距较远的办公地点2、为了提高数据的传输效率，在整个企业网络内控制广播域的范围3、在整个企业集团内实现资源共享，并保证骨干网络的高可靠性4、企业内部网络中实现高效的路由选择5、在企业网络出口对数据流量进行一定的控制6、能够使用一个公网IP接入Internet（二）：项目情况该企业的具体环境如下：1、企业具有2个办公地点，且相距较远，公司总共大约有200台主机。2、A办公地点具有的部门较多，例如业务部、财务部、综合部等，为主要的办公场所，因此这部分的交换网络对可用性和可靠性要求较高3、B办公地点只有较少办公人员，但是Internet的接入点在这里4、公司只申请到了一个公网IP地址，供企业内网接入使用5、公司内部使用私网地址二、项目需求分析(-):项目需求概括-需求1:在接入层采用三层交换机，并且要采取一定方式分隔广播域＞分析1：在接入层交换机上划分VLAN可以实现对广播域的分隔划分业务部VLAN10、财务部VLAN20、综合部VLAN30，并分配接口-需求二：核心交换机采用高性能的三层交换机，且采用双核心互为备份的形势，接入层交换机分别通过2条上行链路连接到2台核心交换机，由三层交换机实现VLAN之间的路由・分析二＞交换机之间的链路配置为Trunk链路»三层交换机上采用SVI方式(switchvirtualinterface)实现VLAN之间的路由-需求三：2台核心交换机之间也采用双链路连接，并提高核心交换机之间的链路带宽分析三＞在2台三层交换机之间配置端口聚合，以提高带宽需求四：接入交换机的access端口上实现对允许的连接数量的控制，以提高网络的安全性・分析四＞采用端口安全的方式实现需求五：三层交换机配置路由接口，与RA、RB之间实现全网互通分析五＞两台三层交换机上配置路由接口，连接A办公地点的路由器RA＞RA和RB分别配置接口IP地址＞在三层交换机的路由接口和RA，以及RB的内网接口上启用RIP路由协议，实现全网互通需求六：RA和B办公地点的路由器RB之间通过广域网链路连接，并提供一定的安全性分析六＞RA和RB的广域网接口上配置PPP(点到点)协议，并用PAP认证提高安全性-需求七：RB配置静态路由连接到Internet・分析七＞两台三层交换上配置缺省路由，指向RA＞RA上配置缺省路由指向RB＞RB上配置缺省路由指向连接到互联网的下一跳地址需求八：在RB上用一个公网IP地址实现企业内网到互联网的访问・分析八＞用NAT（网络地址转换）方式，实现企业内网仅用一个公网IP地址到互联网的访问需求九:在S1上对内网到外网的访问进行一定控制，要求不允许财务部访问互联网，业务部只能访问WWW和FTP服务，而综合部只能访问WWW服务，其余访问不受控制分析九＞通过ACL（访问控制列表）实现需求十：在R1配置PPP拨号协议，要求通过拨号才能接入interneto需求^一：将交换机SWA设为服务器模式，SWB为客户机模式＞通过VTP实现（二）：项目建设拓补

三、项目方案的具体设计(-):IP地址的规划设置名称配置接口IP地址服务器路由器R1Fa0/054S0/0/054S0/0/54路由器RAS0/0/0F0/0F0/15454路由器RBS0/0/F0/054交换机S1F0/24Vlan1054Vlan2054Vlan3054交换机S2F0/24Vlan1054Vlan2054

Vlan3054计算机P1业务部1P2财务部1P3综合部1P4业务部2P5财务部2P6综合部2P0P7P8【试验设备】路由器28113台三层交换机3560-24PS2台PC机9台直连/交叉线若干DCE串口线2条（二）：三层交换机基础配置第一步：将S1交换机VTP模式设置为服务器，口令为123456，域为s602112,并创建vnal10vlan20vlan30，将端口1-2划分到vlan10，3-4划分到vlan205-6划分到vlan30第二步：把两台交换机SW-A、SW-B之间的F0/24、F0/23端口配置为聚合端口AggregatePort1，并把AggregatePort1配置为Trunk模式。此时对前期的VLAN、Trunk、聚合端口等的配置进行验证。第三步：在交换机的access链路上实现端口安全，最大连接数量为4个，当违例产生时，讲关闭端口炳发送一个Trap通知。SA：SA(config)#interfacerangef0/1-3SA(config-if-range)#switchportport-securitymaximum4SW-A(config-if-range)#SB：SB(config)#SB(config)#interfacerangefastEthernet0/1-3SB(config-if-range)#switchportport-securitymaximum4SB(config-if-range)#第四步：在三层交换机上开启路由功能，并对各网段进行宣告，关闭自动汇总，启用版本2S1:s1(config)#iproutings1(config)#routerrips1(config-router)#version2s1(config-router)#noauto-summarys1(config-router)#networks1(config-router)#networks1(config-router)#networkS2：S2(config)#iproutingS2(config)#routerripS2(config-router)#version2S2(config-router)#noauto-summaryS2(config-router)#networkS2(config-router)#networkS2(config-router)#network第五步：配置三层交换机上的路由器端口IP地址：路由器相关配置第一步：为三台路由器各相应端口配置IP地址。第二步：分别为路由器RA的S0/0/0及RB的S0/0/1配置时钟频率为64000RA:ra(config)#intS0/0/0ra(config-if)#clockrate64000RB:rb(config)#intS0/0/1ra(config-if)#clockrate64000第三步：根据需求配置各路由器上的静态路由或动态路由RA：ra(config)#iprouteS0/0/0ra(config)#routerripra(config-router)#version2ra(config-router)#noauto-Summaryra(config-router)#networkra(config-router)#networkRB:rb(config)#iprouteS0/0/1rb(config)#routerriprb(config-router)#version2rb(config-router)#noauto-summaryrb(config-router)#networkrb(config-router)#network第四步：在R1上创建三个上网帐户，分别为gs1、gs2、密码为2013,2014并开启R1RARB三台路由器的PPP协议PAP认证。R1：r1(config)#usernamegs1password2013r1(config)#usernamegs2password2014r1(config)#ints0/0/0r1(config-if)#encapsulationpppr1(config-if)#pppauthenticationpapr1(config-if)#exitr1(config)#ints0/0/1r1(config-if)#encapsulationpppr1(config-if)#pppauthenticationpapr1(config-if)#exitRA:ra(config)#intS0/0/0ra(config-if)#encapsulationpppra(config-if)#ppppapsent-usernamegs1password2013ra(config-if)#exitRB：rb(config)#ints0/0/1rb(config-if)#encapsulationpppra(config-if)#ppppapsent-usernamegs2password2014ra(config-if)#exit第五步：利用NAT地址转换，使内网地址转换成公网址址访问服务器。rb(config)#ints0/0/1rb(config-if)#ipnatoutsiderb(config-if)#exitrb(config)#intf0/0rb(config-if)#ipnatinside（四）：各部门访问权限设置在交换机S1上通过ACL控制不允许财务部访问互联网，业务部只能访问WWW和FTP服务，而综合部只能访问WWW服务，其余访问不受控制rb(config)#access-list100denytcphosthosteq80rb(config)#access-list100permitiphostanyrb(config)#access-list100permitipanyanyrb(config)#intf0/0rb(config-if)#ipaccess-group100inrb(config-if)#exit：各硬件的相关配置文件附录R1:r1#shrunning-configBuildingconfiguration...Currentconfiguration:875bytes!version12.4noservicetimestampslogdatetimemsecnoservicetimestampsdebugdatetimemsecnoservicepassword-encryption!hostnamer1usernamegs1password02013usernamegs2password02014spanning-treemodepvstinterfaceFastEthernet0/0ipaddress54duplexautospeedauto!interfaceFastEthernet0/1noipaddressduplexautospeedautoshutdown!interfaceSerial0/0/0ipaddress54encapsulationppppppauthenticationpap!interfaceSerial0/0/1ipaddress54encapsulationppppppauthenticationpap!interfaceVlan1noipaddressshutdown!routerripversion2networknetworknetworknoauto-summary!ipclasslessnocdprunlinecon0lineaux0!linevty04loginendRA:ra#shrunning-configBuildingconfiguration...Currentconfiguration:855bytes!version12.4noservicetimestampslogdatetimemsecnoservicetimestampsdebugdatetimemsecnoservicepassword-encryption!hostnameraspanning-treemodepvstinterfaceFastEthernet0/0ipaddress54duplexautospeedauto!interfaceFastEthernet0/1ipaddress54duplexautospeedauto!interfaceSerial0/0/0ipaddressencapsulationpppppppapsent-usernamegs1password02013clockrate64000!interfaceSerial0/0/1noipaddressshutdown!interfaceVlan1noipaddressshutdown!routerripversion2networknetworknetworknoauto-summary!ipclasslessiprouteSerial0/0/0nocdprunlinecon0lineaux0linevty04login!!!endRB:rb#shrunning-configBuildingconfiguration...Currentconfiguration:1284bytes!version12.4noservicetimestampslogdatetimemsecnoservicetimestampsdebugdatetimemsecnoservicepassword-encryption!hostnamerbspanning-treemodepvstinterfaceFastEthernet0/0ipaddress54ipaccess-group100inipnatinsideduplexautospeedauto!interfaceFastEthernet0/1noipaddressduplexautospeedauto!interfaceSerial0/0/0noipaddressipaccess-group101outshutdown!interfaceSerial0/0/1ipaddressencapsulationpppppppapsent-usernamegs2password02014ipnatoutsideclockrate64000!interfaceVlan1noipaddressshutdown!routerripversion2networknetworknetworknoauto-summary!ipnatinsidesourcelist1interfaceSerial0/0/1overloadipclasslessiprouteSerial0/0/1!!access-list1permitanyaccess-list100denytcphosthosteqwwwaccess-list100permitiphostanyaccess-list100permitipanyanyaccess-list101denytcphosthosteqftpaccess-list101permitiphostanyaccess-list101permitipanyanynocdprunlinecon0!lineaux0!linevty04login!!!endS1s1#shrunning-configBuildingconfiguration...Currentconfiguration:1829bytes!version12.2noservicetimestampslogdatetimemsecnoservicetimestampsdebugdatetimemsecnoservicepassword-encryption!hostnames1iproutingspanning-treemodepvstinterfaceFastEthernet0/1switchportaccessvlan10switchportmodeaccess!interfaceFastEthernet0/2switchportaccessvlan10switchportmodeaccess!interfaceFastEthernet0/3switchportaccessvlan20switchportmodeaccess!interfaceFastEthernet0/4switchportaccessvlan20switchportmodeaccess!interfaceFastEthernet0/5switchportaccessvlan30switchportmodeaccess!interfaceFastEthernet0/6switchportaccessvlan30switchportmodeaccess!interfaceFastEthernet0/7!interfaceFastEthernet0/8!interfaceFastEthernet0/9!interfaceFastEthernet0/10!interfaceFastEthernet0/11!interfaceFastEthernet0/12!interfaceFastEthernet0/13interfaceFastEthernet0/14interfaceFastEthernet0/15!interfaceFastEthernet0/16!interfaceFastEthernet0/17!interfaceFastEthernet0/18!interfaceFastEthernet0/19!interfaceFastEthernet0/20!interfaceFastEthernet0/21!interfaceFastEthernet0/22switchportmodetrunk!interfaceFastEthernet0/23switchportmodetrunk!interfaceFastEthernet0/24noswitchportipaddressduplexautospeedauto!interfaceGigabitEthernet0/1!interfaceGigabitEthernet0/2!interfaceVlan1noipaddressshutdown!interfaceVlan10ipaddress54!interfaceVlan20ipaddress54ipaddress54!routerripversion2networknetworknetworknetworknoauto-summary!ipclasslesslinecon0!lineaux0!linevty04loginEndS2s2#shrunning-configBuildingconfiguration...Currentconfiguration:1783bytesversion12.2noservicetimestampslogdatetimemsecnoservicetimestampsdebugdatetimemsecnoservicepassword-encryptionhostnames2iproutingspanning-treemodepvstinterfaceFastEthernet0/1switchportaccessvlan10switchportmodeaccess!interfaceFastEthernet0/2switchportaccessvlan10switchportmodeaccess!interfaceFastEthernet0/3switchportaccessvlan20switchportmodeaccess!interfaceFastEthernet0/4switchportaccessvlan20switchportmodeaccess!interfaceFastEthernet0/5switchportaccessvlan30switchportmodeaccessinterfaceFastEthernet0/6switchportaccessvlan30switchportmodeaccess!interfaceFastEthernet0/7!interfaceFastEthernet0/8!interfaceFastEthernet0/9!interfaceFastEthernet0/10!interfaceFastEthernet0/11!interfaceFastEthernet0/12!interfaceFastEthernet0/13!interfaceFastEthernet0/14!interfaceFastEthernet0/15interfaceFastEthernet0/16interfaceFastEthernet0/17!interfaceFastEthernet0/18!interfaceFastEthernet0/19!interfaceFastEthernet0/20!interfaceFastEthernet0/21!interfaceFastEthernet0/22!interfaceFastEthernet0/23!interfaceFastEthernet0/24noswitchportipaddressduplexautospeedautointerfaceGigabitEthernet0/1interfaceGigabitEthernet0/2!interfaceVlanlnoipaddressshutdown!interfaceVlan10ipaddress54!interfaceVlan20ipaddress54!interfaceVlan30ipaddress54!routerripversion2networknetworknetworknetworknoauto-summary!ipclasslesslinecon0!lineaux0!linevty04loginend（六）：基于linux环境下的服务器配置（一）Linux系统的安装（以CentOS6.4企业版为例）。VirtualBox一款开源虚拟机软件，Virtua旧ox号称是最强的免费虚拟机软件，它不仅具有丰富的特色，而且性能也很优异！它简单易用，可虚拟的系统包括Windows，MacOSX、Linux、OpenBSD、Solaris、IBMOS2甚至Android4.0系统等操作系统!使用者可以在VirtualBox上安装并且运行上述的这些操作系统！CentOS（CommunityEnterpriseOperatingSystem）是Linux发行版之一，它是来自于RedHatEnterpriseLinux依照开放源代码规定释出的源代码所编译而成。由于出自同样的源代码，因此有些要求高度稳定性的服务器以CentOS替代商业版的RedHatEnterpriseLinux使用。两者的不同，在于CentOS并不包含封闭源代码软件。（二）DNS服务器的配置与管理。在DNS服务器主配置文件named.conf中，配置方案如下:options{zone""IN{typemaster;.zone;allow-update{none;};};zone"84.20.10."IN{typemaster;file"(84.20.10).arpa";allow-update{none;};};在正向解析文件.zone中，配置方案如下:$TTL1D@INSOA@.(0;serial1D;refresh1H;retry1W;expire3H);minimum@INNS.dnsINA5cwINA36xsINA36ftpINA3在反向解析文件10.