欣荣有限公司网络的设计与实现

.方案的背景与意义1.1方案的背景当今社会是21世纪信息化时代，随着信息网络技术的不断发展，各类大、中型企业的网络信息化建设的设备资金投入日趋增加，其职能运行与计算机网络的结合日趋紧密。计算机网络的建设与发展使人们在生活中更加舒适便捷。网络技术牵动了企业科技的创新和生产力的提高，也逐渐成为提高企业竞争力的重要力量。各行业、各领域通过实现网络信息化带动信息产业发展和国民经济快速增长，面对使用者数量激增、使用方法多样化，大量数据高效传输，促进企业创新发展。构造和运营一个安全、高效的网络办公环境是企业发展的重要条件。1.2方案的意义本方案为构建欣荣公司网络的方案设计，根据公司需求，预计未来会发生的变化和产生的问题，如何减少网络出现故障，网络安全得到保障，从而选择所需要运用的技术去实现方案的规划设计，促进公司高效运营，提高经济效益。根据公司需求，进行方案局域网VPN的规划设计，在采用VLAN、RIP、OSPF等实现公司网络连通性情况下，做到发生故障快速切换，使用防火墙、IRF、NAT、ACL技术防止网络攻击和提高网络带宽利用率的，从而切实保障网络环境的安全性和网络服务质量的可靠性，构建公司无线全覆盖。通过举例，构建了一个安全、稳定、可靠的企业网络设计方案，对欣荣公司网络的信息安全与业务管理有显著的提升，为公司的迅速发展带来更大的价值体现。方案的相关技术原理DHCP技术企业网络的复杂性让DHCP服务得到广泛的应用，DHCP技术解决了计算机的数量经常超过可供分配的IP地址数量，导致网络配置越来越复杂这一问题。为了方便网络管理员集中管理所有计算机，并能够提升地址的使用率，实现统一管理，解决网络管理员配置难度，通过DHCP技术即一个特定的服务器向提出申请的网络主机分配IP地址、Gateway地址、DNS服务器地址等信息得到解决。DHCP有两个部分即服务器和客户端，DHCP集中管理所有设备的IP地址，处理与响应DHCP客户端的请求，DHCP客户端则会选择并使用DHCP服务器分配下来的地址。DHCP中继收到客户端发送的广播报文后，会根据配置的服务器地址，把这个报文发送给服务器，同时将服务器返回的信息转发给客户机，可以跨广播域来实现DHCP技术。【1】DHCP服务器与客户端之间交互过程IRF技术IRF中文名是智能弹性架构，是一种网络虚拟化技术，它主要是将多台网络设备通过堆叠口连接在一起虚拟成一台设备，便于统一管理以及维护。换而言之，就是将多台物理设备虚拟为一台逻辑上统一的设备，使其能够实现统一的运行，从而达到减小网络规模的目的。IRF通过设备物理连接、信息收集、选举确定主备关系、管理与维护等过程进行工作。H3C的智能弹性技术的发展经历了三个阶段:集群，IRF1和IRF2。集群阶段的交换机只能工作在二层模式，操作系统独立运行，数据相互间独立转发。IRF1使接入层的网络结构简化和方便设备管理维护，但不能使业务得到简化。而IRF2不仅可以通过机框式设备虚拟化，实现了全网业务的简化，而且可以实现端到端的网络结构和管理简化。防火墙防火墙技术是保护内部网络安全的一道屏障,由多种硬件设备和软件组合,是一种用来保障网络安全的装置，它实际上是一种隔离技术。它是根据预设条件对计算机网络内的信息和数据进行监控,然后授权以及限制服务,再记录相关信息进行分析,明确每一次信息的交互以预防攻击。防火墙的使用控制了对系统的访问，提高了网络安全性。防火墙常用的技术为状态检测、应用型防火墙和包过滤技术。状态检测是以网络为整体进行研究,分析数据流的信息并将其与网络中的数据进行区分,以查找不稳定的因素,但是时效性差;应用型的是用来保障内外网连接时的安全,使得用户在访问外网时能够更加的安全;包过滤技术则就是将网络层作为保护的对象,按计算机网络的协议严格进行,以此来实现防护效果【6】。RIP技术RIP（routinginformationprotocol，路由信息协议）在内网的多个路由器之间自动的学习，同步路由表以计算出一个去往目标网络的最短，无环，数据转发路径。RIP是在不同的路由器之间，自动传输路由条目。因为RIP的实现较为简单，在配置和维护管理方面也较为容易，因此在实际组网中有广泛的应用。RIP的原理：路由器启用RIP以后，会将自己本地路由表的条目进行宣告，并进入RIP数据库中。在启动RIP协议的端口上发送这些更新条目，对方RIP路由器接收以后。经过路由比较，将最好的条目放入路由表，那么所有的RIP路由器都会进行周期性，全部路由表更新（RIPV2中是以组播的方式进行触发式的增量更新）。NAT地址转换技术NAT是一种能够将私有IP对外通信时转为全局IP的技术方法。即将私有IP和全局IP相互转化。总体来说，NAT进行地址转换的过程就是“本地地址”与“全局地址”之间的转换过程，无论数据包是从内部网络发往外部网络，还是从外部网络发往内部网络。差异性在于本地地址和全局地址所对应的网络不同，以及数据包重新封装的源和目的地址不同。3.方案网络规划与设计3.1项目概述欣荣有限公司是一家民办中小企业，主楼是一栋办公大楼，办公大楼后方是一栋较大的生产车间，整个办公大楼有信息点大概120个，企业中心机房设在办公大楼四楼中间。公司总部有四个部门：财政部、生产部、销售部、技术部，以及仓库一个，现所有楼层，车间全部建设完毕，则需构建公司内部网络办公，实现网络快速化、便捷化、高效化，各部门之间相互通信，保证公司网络安全性，便于管理和维护，搭建一个完善的企业网络架构。3.2项目需求为了让公司快速发展，提高工作效率，以现代网络技术为依托，实现公司无线全网覆盖，网络扩展性强，各部门之间互联互通，资源共享，只有公司总部能访问外网，保证公司业务系统全天正常运转，需要搭建出安全、可靠、合理的网络架构，并且网络具有稳定性、高扩展性、遇到故障能快速切换，并且网络随公司扩大而扩大，具有安全性，设置网络备份、防火墙，防止公司数据流失，网络黑客非法入侵，实现企业的信息化。3.3网络拓扑结构设计对该企业这种规模中等、安全性高的网络，需采用核心，汇聚交换机结构来实现链路的冗余和数据流量的均衡分布，由交换机完成同一网段内数据包转发，完成不同网段VALN之间数据转发，使整个网络数据流向合理，保证网络应用的安全稳定。为保障网络方案的可行性，项目实施前期采用模拟器的虚拟环境进行模拟，其网络拓扑图如图3.1所示。图3.1网络拓补图3.4设备互联接口,VLAN与IP地址的规划表3.1设备互联接口表源设备名称设备接口目标设备名称设备接口SW1G1/0/1PC1G0/0/1SW1G1/0/2PC2G0/0/1SW1G1/0/3SW3G1/0/1SW1G1/0/2SW4G1/0/2SW2G1/0/1PC3G0/0/1SW2G1/0/2PC4G0/0/1SW2G1/0/4SW3G1/0/2SW2G1/0/3SW4G1/0/1SW3G1/0/1SW1G1/0/3SW3G1/0/2SW2G1/0/4SW3XGE1/0/50SW4XGE1/0/50SW3XGE1/0/51SW4XGE1/0/51SW3G1/0/4FW1G1/0/4SW4G1/0/2SW1G1/0/4SW4G1/0/1SW2G1/0/3SW4XGE1/0/50SW3XGE1/0/50SW4XGE1/0/51SW3XGE1/0/51FW1G1/0/4SW3G1/0/4FW1G1/0/0RT1G0/0RT1G0/0FW1G1/0/0RT1G0/1RT2G0/1RT2G0/1RT1G0/1RT2G0/0PC5G0/0/1PC5G0/0/1RT2G0/1公司内网采用/24/24/24/24等网段，通过划分VLAN，使每个部门都处在不同的广播域，按需分配网络地址数量。详细的地址规划如表所示。表3.2VLAN规划表设备名VLAN编号端口IP地址说明SW1VLAN10G1/0/154/24财政部VLAN20G1/0/254/24生产部SW2VLAN30G1/0/154/24销售部VLAN40G1/0/254/24技术部VLAN划分好后，进行其他设备IP地址划分，汇聚层与防火墙FW1之间采用/24网段，FW1与RT1之间采用/24网段，RT1与RT2之间采用网段/24FW1配置的GRE隧道接口是，RT2配置的GRE隧道接口是。具体网络地址如表3.3所示。表3.3网络设备IP规划表设备名接口名称IP地址PC1G0/0/1DHCP获取PC2G0/0/2DHCP获取PC3G0/0/1/24PC4G0/0/2/24PC5G0/0/1/24SW3G1/0/4/24FW1G0/4/24Tunnel0/24G0/0/24RT1G0/0/24RT1G0/1/24RT2G0/1/24Tunnel0/24RT2G0/0/244.方案的具体实现4.1VLAN配置SW1、SW2VLAN配置相同，以SW1为例，如表4.1.1所示表4.1.1SW1SW2vlan配置SW1[H3C]syssw1设备改名sw1[sw1]vlan10创建vlan10[sw1-vlan10]portg1/0/1把g1/0/1加入到VLAN10[sw1-vlan10]vlan20创建vlan20[sw1-vlan20]portg1/0/2把g1/0/2加入到VLAN20[sw1-vlan20]quit退出[sw1]intg1/0/3进入接口g1/0/3[sw1-GigabitEthernet1/0/3]portlink-typetrunk将接口类型改为trunk[sw1-GigabitEthernet1/0/3]porttrunkpermitvlan11020允许vlan11020通过[sw1]intg1/0/4进入接口g1/0/4[sw1-GigabitEthernet1/0/4]portlink-typetrunk将接口类型改为trunk[sw1-GigabitEthernet1/0/4]porttrunkpermitvlan11020允许vlan11020通过SW2vlan配置与SW1vlan相似，如表4.1.2所示表4.1.2SW2vlan配置[H3C]syssw2设备改名sw2[sw2]vlan30创建vlan30[sw2-vlan30]portg1/0/1把g1/0/1加入到VLAN30[sw2-vlan30]vlan40创建vlan40[sw2-vlan40]portg1/0/2把g1/0/2加入到VLAN40[sw2-vlan40]quit退出[sw2]intg1/0/3进入接口g1/0/3[sw2-GigabitEthernet1/0/3]portlink-typetrunk将接口类型改为trunk[sw2-GigabitEthernet1/0/3]porttrunkpermitvlan13040允许vlan13040通过[sw2]intg1/0/4进入接口g1/0/4[sw2-GigabitEthernet1/0/4]portlink-typetrunk将接口类型改为trunk[sw2-GigabitEthernet1/0/4]porttrunkpermitvlan13040允许vlan13040通过因SW3与SW4采用了IRF技术所以SW3vlan配置与SW4vlan相同，配置如表4.1.3所示表4.1.3SW3SW4vlan配置[H3C]syssw3设备改名sw3[sw3]vlan10创建vlan10[sw3-vlan10]vlan20创建vlan20[sw3-vlan20]vlan30创建vlan30[sw3-vlan30]vlan40创建vlan40[sw3]intVlan-interface10进入VLAN10接口[sw3-intVlan-interface10]ipadd5424配置VLAN10的IP地址[sw3-intVlan-interface10]intVlan-interface20进入VLAN20接口[sw3-intVlan-interface20]ipadd5424配置VLAN20的IP地址[sw3]intVlan-interface30进入VLAN30接口[sw3-intVlan-interface30]ipadd5424配置VLAN30的IP地址[sw3-intVlan-interface30]intVlan-interface20进入VLAN40接口[sw3-intVlan-interface40]ipadd5424配置VLAN40的IP地址[sw3]intg1/0/4进入接口g1/0/4[sw3-GigabitEthernet1/0/4]portlink-moderoute将接口改为路由模式[sw3-GigabitEthernet1/0/4]ipaddress24配置接口IP地址[sw3-GigabitEthernet1/0/4]intg1/0/1进入接口g1/0/1[sw3-GigabitEthernet1/0/1]portlink-typetrunk将接口改为trunk[sw3-GigabitEthernet1/0/1]porttrunkpermitvlan110203040允许vlan110203040通过[sw3-GigabitEthernet1/0/1]intg1/0/2进入接口g1/0/2[sw3-GigabitEthernet1/0/2]portlink-typetrunk将接口改为trunk[sw3-GigabitEthernet1/0/2]porttrunkpermitvlan110203040允许vlan110203040通过[sw3]intg2/0/1进入接口g2/0/1[sw3-GigabitEthernet2/0/1]portlink-typetrunk将接口改为trunk[sw3-GigabitEthernet12/0/1]porttrunkpermitvlan110203040允许vlan110203040通过[sw3-GigabitEthernet2/0/1]intg2/0/2进入接口g2/0/2[sw3-GigabitEthernet2/0/2]portlink-typetrunk将接口改为trunk[sw3-GigabitEthernet2/0/2]porttrunkpermitvlan110203040允许vlan110203040通过[sw3]iproute-static0配置默认路由通过在交换机上划分VLAN，可以隔离广播干扰，使每个单独的VLAN是单独的广播域，有效地提高了网络性能，有效控制广播域，简化网络管理、增强了网络通信的安全性【2】。4.2MSTP配置表4.2.1STP配置SW1[sw1]stpregion-configuration进入mstp配置模式[sw1-mst-region]region-nameh3c配置域名为h3c[sw1-mst-region]instance1vlan1020实例1对应的VLAN为10、20[sw1-mst-region]activeregion-configuration激活以上配置SW2[sw2]stpregion-configuration进入mstp配置模式[sw2-mst-region]region-namehuawei配置域名为huawei[sw2-mst-region]instance2vlan3040实例2对应的VLAN为30、40[sw2-mst-region]activeregion-configuration激活以上配置SW3、SW4[sw3]stpinstance1priority0设置实例1优先级为0[sw3]stpinstance2rootprimary设置实例2根部[sw3-mst-region]instance2vlan3040实例2对应的VLAN为30、40[sw3-mst-region]activeregion-configuration激活以上配置SW1、SW2、SW3、SW4生成树状态MSTP能支持多区域划分功能，通过配置生成树,避免产生环路，实现负载分担，提高线路的利用率，当使用的端口坏掉或出现故障以后，它会自动联通，使网络不断网，仍能继续运转【5】。4.3IRF配置为了满足公司信息化要求，简化管理，提高公司网络带宽质量、稳定性和可靠性，以及工作效率，将SW3和SW4进行了IRF堆叠，虚拟化成一台交换机，提升设备可靠性的同时也简化了整网拓扑，更方便管理。SW3和SW4IRF详细配置如下表4.3.1和表4.3.2所示表4.3.1SW3IRF配置[sw3]syssw3设备改名sw3[sw3]irfmember1renumber1修改IRF成员1编号1[sw3]quit退出<sw3>reboot重启设备<sw3>system-view进入全局模式[sw3]irfmember1priority32配置成员优先级为32[sw3]intxge1/0/50进入端口[sw3-Ten-GigabitEthernet1/0/50]shutdown关闭端口[sw3-Ten-GigabitEthernet1/0/50]intxge1/0/51进入端口[sw3-Ten-GigabitEthernet1/0/51]shutdown关闭端口[sw3-Ten-GigabitEthernet1/0/51]quit退出[sw3]irf-port1/1创建设备虚拟化的逻辑端口1/1[sw3-irf-port1/1]portgroupinterfaceTen-GigabitEthernet1/0/50将物理端口加入到逻辑端口[sw3-irf-port1/1]portgroupinterfaceTen-GigabitEthernet1/0/51[sw3-irf-port1/1]quit退出[sw3]intxge1/0/50进入端口[sw3-Ten-GigabitEthernet1/0/50]undoshutdown开启之前关闭的端口[sw3-Ten-GigabitEthernet1/0/50]intxge1/0/51进入端口[sw3-Ten-GigabitEthernet1/0/51]undoshutdown开启之前关闭的端口[sw3-Ten-GigabitEthernet1/0/51]save保存配置[sw3]irf-port-configurationactive激活设备虚拟化的配置表4.3.2SW4IRF配置[H3C]syssw4设备改名sw3[sw4]irfmember1priority16配置成员优先级为16[sw4]irfmember1renumber2修改IRF成员1编号2[sw4]quit退出<sw4>reboot重启设备<sw4>sys进入全局模式[sw4]intxge2/0/50进入端口[sw4-Ten-GigabitEthernet2/0/50]shutdown关闭端口[sw4-Ten-GigabitEthernet2/0/50]intxge2/0/51进入端口[sw4-Ten-GigabitEthernet2/0/51]shutdown关闭端口[sw4-Ten-GigabitEthernet2/0/51]quit退出[sw4]irf-port2/2创建设备虚拟化的逻辑端口2/2[sw4-irf-port2/2]portgroupinterfaceTen-GigabitEthernet2/0/50将物理端口加入到逻辑端口[sw4-irf-port2/2]portgroupinterfaceTen-GigabitEthernet2/0/51[sw4-irf-port2/2]quit退出[sw4]intxge2/0/50进入端口[sw4-Ten-GigabitEthernet2/0/50]undoshutdown开启之前关闭的端口[sw4-Ten-GigabitEthernet2/0/50]intxge2/0/51进入端口[sw4-Ten-GigabitEthernet2/0/51]undoshutdown开启之前关闭的端口[sw4-Ten-GigabitEthernet2/0/51]save保存配置[sw4]irf-port-configurationactive激活设备虚拟化的配置根据以上详细配置，对交换机进行试验配置后，接入层交换机上IRF状态查询如下图所示。4.4DHCP配置为了提高公司工作效率，节约IP地址资源，采用DHCP技术对财政部PC1、生产部PC2自动分配IP地址，SW3做DHCP的中继，具体配置如下表4.4.1DHCP配置FW1[fw1]dhcpenable启动DHCP服务器[fw1]dhcpserverip-pool10创建地址池10[fw1-dhcp-pool-1]networkmask地址池自动分配的地址段[fw1-dhcp-pool-1]gateway-list54分配网关地址[fw1-dhcp-pool-1]quit退出[fw1]dhcpserverip-pool20创建地址池20[fw1-dhcp-pool-2]networkmask地址池自动分配的地址段[swf-dhcp-pool-2]gateway-list54分配网关地址表4.4.2DHC中继配置SW3[sw3]dhcpenable启动DHCP服务器[sw3]interfaceVlan-interface10进入VLAN10[sw3-Vlan-interface10]dhcpselectrelay选择DHCP模式为中继模式[sw3-Vlan-interface10]dhcprelayserver-address指定DHCP服务器IP地址[sw3]interfaceVlan-interface20进入VLAN10[sw3-Vlan-interface20]dhcpselectrelay选择DHCP模式为中继模式[sw3-Vlan-interface20]dhcprelayserver-address指定DHCP服务器IP地址4.5防火墙配置通过防火墙技术，可以对公司外来的信息进行检查，全方位进行保护，保障内、外网信息交流、数据传输的安全性，并有效的对公司网络上的信息进行监管，将信息的类别、安全等级进行了分类，对不良网站及恶意网站标注等信息进行拦截，阻止这类信息对公司网站的攻击。表4.5.1FW1防火墙配置<H3C>sys进入全局模式[H3C]sysFW1修改设备名称FW1[fw1]intg1/0/4进入端口[fw1-GigabitEthernet1/0/4]ipadd24配置IP地址及子网掩码[fw1-GigabitEthernet1/0/4]intg1/0/0进入端口[fw1-GigabitEthernet1/0/0]ipadd24配置IP地址及子网掩码[fw1-GigabitEthernet1/0/0]quit推出[fw1]acladvanced3000进入高级访问控制列表3000[fw1-acl-ipv4-adv-3000]rule0permitipsourceanydestinationany规则0允许所有网段通过[fw1-acl-ipv4-adv-3000]quit退出[fw1]security-zonenameTrust创建并进入信任区域[fw1-security-zone-Trust]importinterfaceg1/0/4加入端口g1/0/4[fw1]security-zonenameUntrust创建并进入不信任区域[fw1-security-zone-Untrust]importinterfaceg1/0/0加入端口g1/0/0[fw1-security-zone-Trust]importinterfaceTunnel0加入隧道口Tunne0[fw1-security-zone-Untrust]quit退出[fw1]zone-pairsecuritysourcelocaldestinationtrust配置local到trust的域间策略[fw1-zone-pair-security-Local-Trust]packet-filter3000应用访问控制列表3000[fw1-zone-pair-security-Local-Trust]quit退出[fw1]zone-pairsecuritysourcelocaldestinationuntrust配置local到untrust的域间策略[fw1-zone-pair-security-Local-Untrust]packet-filter3000应用访问控制列表3000[fw1-zone-pair-security-Local-Untrust]quit退出[fw1]zone-pairsecuritysourcetrustdestinationuntrust配置trust到untrust的域间策略[fw1-zone-pair-security-Trust-Untrust]packet-filter3000应用访问控制列表3000[fw1-zone-pair-security-Trust-Untrust]quit退出[fw1]zone-pairsecuritysourcetrustdestinationlocal配置trust到local的域间策略[fw1-zone-pair-security-Trust-Local]packet-filter3000应用访问控制列表3000[fw1-zone-pair-security-Trust-Local]quit退出[fw1]zone-pairsecuritysourceuntrustdestinationtrust配置untrust到trust的域间策略[fw1-zone-pair-security-Untrust-Trust]packet-filter3000应用访问控制列表3000[fw1-zone-pair-security-Untrust-Trust]quit退出[fw1]zone-pairsecuritysourceuntrustdestinationlocal配置untrust到local的域间策略[fw1-zone-pair-security-Untrust-Local]packet-filter3000应用访问控制列表3000[fw1-zone-pair-security-Untrust-Local]quit退出4.6RIP配置表4.6.1FW1RIP配置[FW1]rip1创建RIP进程1[FW1-rip-1]version2版本2[FW1-rip-1]undosummary关闭汇总路由[FW1-rip-1]network宣告网段[FW1]rip2创建RIP进程2[FW1-rip-2]version2版本2[FW1-rip-2]undosummary关闭汇总路由[FW1-rip-2]network宣告网段[FW1-rip-2]default-routeonly发布默认路由[FW1-rip-2]import-routerip1引入RIP1表4.6.2SW3RIP配置[sw3]rip1创建RIP进程1[sw3-rip-1]version2版本2[sw3-rip-1]undosummary关闭汇总路由[sw3-rip-1]network55宣告网段[sw3-rip-1]default-routeonly发布默认路由表4.6.3RT2RIP配置[rt2]rip2创建RIP进程2[rt2-rip-2]version2版本2[rt2-rip-2]undosummary关闭汇总路由[rt2-rip-2]network宣告网段[rt2-rip-2]import-routedirect引入直连[rt2]iproute-static0[rt2]iproute-static0Tunnel0配置默认路由[rt2]iproute-static24Tunnel0配置静态路由，下一跳为隧道端口4.7OSPF配置与RIP协议相比，在网络规模较大的情况下，OSPF协议的收敛性能比RIP协议好，它减少了路由协议的通信流量，因此使用OSPF实现公司内部公网的连通性【4】。表4.7.1FW1OSPF配置[FW1]ospf2创建OSPF2[FW1-ospf-2]area0进入区域0[FW1-ospf-2-area-]network55通告自己的直连网段[FW1-ospf-2-area-]quit退出表4.7.2RT1OSPF配置[H3C]sysrt1修改设备名rt1[rt1]intg0/0进入端口[rt1-GigabitEthernet0/0]ipadd24配置IP地址及子网掩码[rt1-GigabitEthernet0/0]intg0/1进入端口[rt1-GigabitEthernet0/1]ipadd24配置IP地址及子网掩码[rt1-GigabitEthernet0/1]quit退出[rt1]ospf2创建OSPF2[rt1-ospf-2]area0进入区域0[rt1-ospf-2-area-]network55通告自己的直连网段[rt1-ospf-2-area-]network55[rt1-ospf-2-area-]quit退出[rt1]iproute-static0发布一条默认路由表4.7.3RT1OSPF配置[H3C]sysrt2修改设备名rt1[rt2]intg0/1进入端口[rt2-GigabitEthernet0/1]ipadd24配置IP地址及子网掩码[rt2-GigabitEthernet0/1]intg0/0进入端口[rt2-GigabitEthernet0/0]ipadd24配置IP地址及子网掩码[rt2-GigabitEthernet0/0]quit退出[rt2]ospf2创建OSPF2[rt2-ospf-2]area0区域0[rt2-ospf-2-area-]network55通告自己的直连网段通过OSPF配置，实现公网的路由学习，达到网络拓扑快速收敛，无环路的效果，使该公司的公网互通，建立RT1与RT2以及FW1与RT1的邻居关系如下图所示。4.8NAT配置NAT既能有效节省网络地址资源、减少ISP账号花费，而且还能有效阻止了网络外部对内部的攻击，进而提高网络的安全性，将NAT集成到防火墙中，超越网络地址的限制，能够合理利用网络中私有IP地址和公有Internet地址【3】，具体的配置如下表4.8.1所示。表4.8.1FW1NAT配置[fw1]nataddress-group0NAT地址组0[fw1-address-group-1]address0配置地址池[fw1-address-group-1]quit退出[fw1]intg0/1进入端口[fw1-GigabitEthernet0/1]natoutbound2000address-group0绑定地址池出接口4.9VPN隧道配置由于地理原因，仓库和公司网络是隔离开的，所以需要建立VPN隧道，仓库不能访问公司公网，能访问公司私网，即在fw1与rt2中配置gre的tunnel0,并分别在总部与分部采用静态路由的方式配置到达对方私网的明细路由。表4.9.1FW1隧道配置[FW1]interfaceTunnel0modegre创建隧道接口0，模式为GRE[FW1-Tunnel0]ipadd24配置ip地址和子网掩码[FW1-Tunnel0]source配置源地址[FW1-Tunnel0]destination配置目的地址[FW1-Tunnel0]quit退出[FW1]iproute-staticTunnel0发布一条默认路由，下一跳为隧道口表4.9.1RT2隧道配置[rt2]interfaceTunnel0modegre进入GRE隧道口Tunn0[rt2-Tunnel