收藏
下载资源

中小型企业网络规划及实施计划方案.pdf

上传人:w**** 文档编号:80680234 上传时间:2023-03-23 格式:PDF 页数:78 大小:3.71MB
返回 下载 相关 举报
中小型企业网络规划及实施计划方案.pdf_第1页
第1页 / 共78页
中小型企业网络规划及实施计划方案.pdf_第2页
第2页 / 共78页
点击查看更多>>
资源描述

《中小型企业网络规划及实施计划方案.pdf》由会员分享,可在线阅读,更多相关《中小型企业网络规划及实施计划方案.pdf(78页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、.1/78 信息工程学院 2011 年 12 月 11 日.2/78 目 录 第一章项目概述 1 1.1 项目背景 1 1.2 项目目标 1 1.2.1 本期目标 1 1.2.2 本期项目环境要求 1 1.2.3 本期项目所需设备 2 第二章 技术介绍 2 2.1 SVI2 2.2 端口安全 2 2.3 端口聚合 2 2.4 快速生成树协议(RSTP)3 2.5 VRRP3 2.6 ACL3 2.7 RIP3 2.8 NAT3 2.9 CHAP3 2.10 VPN4 第三章解决方案 4 3.1 规划场景 4 3.2 网络实施拓扑 4 3.3 网络实施分析 5 3.4 项目实施流程 6 3.6

2、设备命名规则 6 3.7 接口描述规则 7 3.8 IP 地址规划 7 3.9 VLAN 规划 8 第四章 设备配置 9 4.1 设备配置命令文档 9 4.2 交换机配置 20 4.2.1 划分 VLAN20 4.2.2 端口安全配置与测试 27 4.2.3 VRRP 配置 31 4.2.4 端口聚合和快速生成树配置与测试 33 4.2.5 扩展访问控制列表的配置 38 4.3 路由器配置 43 4.3.1 路由协议的配置与 chap 的配置 43 4.3.2 配置 NAT 转换 49 4.4 VPN 配置与测试 52 4.5 整体测试 58 第五章服务器配置与测试 66 5.1 FTP 服务

3、器的配置与测试 66.3/78 5.2 WEB 服务器的搭建与测试 70 第六章系统优化方案 74 6.1 当前网络目前存在的问题 75 6.2 网络优化目标 75 第七章工程总结 75.1/78 第一章 项目概述 1.1 项目背景“功欲善其事,必先利其器”,华夏企业深刻认识到业务要发展、必须提高企业部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统,已迫在眉睫,计划建设新的企业园区网络,希望通过这个新建的网络,提供一个安全、可靠、可扩展、高效的网络环境,将自己的分公司与总公司两个办公地点连接到一起,使公司部能够方便快捷地实现网络资源共享、全网接入Internet 等目标,同时实现

4、公司部的消息隔离,以与对于公网的安全访问。1.2 项目目标 1.2.1 本期目标 为了确保关键应用的正常运行,安全实施,企业网络必须具备如下特性:(1)采用先进通信技术完成公司网络建设,连接两个距离较远的公司网络办公地点。(2)为了提高数据的传输速率,在整个公司部网络控制广播域的围。(3)在整个公司网络实现资源共享,并保证骨干网络的高可靠性。(4)公司部网络中实现高效的路由选择。(5)构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网;(6)选用技术先进、具有容错能力的网络产品,在投资和条件允许的情况下也可采用结构容错的方法;(7)完全符合开放性规,将业界优秀的产品集

5、成于该综合网络平台之中;(8)具有较好的可扩展性,为今后的网络扩容作好准备;(9)整个公司计划采用 10M 光纤接入到运营商提供的 Internet。集团统一一个出口,便于控制网络安全;(10)设备选型上必须在技术上具有先进性,通用性,且必须便于管理,维护。应具备未来良好的可扩展性,可升级性,保护公司的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品。1.2.2 本期项目环境要求(1)该公司具有两个公司网络,且相距较远。(2)公司 A 为总公司,办公点具有的部门较多,如业务部,综合部等,为主要的办公场所,因此这部分的交换网络对可用性和可

6、靠性要求较高。(3)B 办公地点只有较少办公人员,但是 Internet 的接入点在这里。.2/78 (4)该公司网络已经申请到了若干公司 IP 地址,供公司网接入使用。(5)公司网使用私有地址。(6)本公司移动办公人员较多 1.2.3 本期项目所需设备 设备名称:设备型号:设备数量:备注:路由器 RG-1700 4 台 用在核心层使得能够在网络的不同部分之间高效、快速地传输数据 三层交换机 RG-S3750-24 2 台 用在汇聚层,根据处理结果将用户流量转发到核心交换层或在本地进行路由处理等等 二层交换机 RG-S226G 2 台 用在接入层,允许终端用户连接到网络 第二章 技术介绍 2.

7、1 SVI SVI 是交换机虚拟接口。用于三层交换机跨 vlan 间路由。具体可以用 interface vlan 接口配置命令来创建 svi,然后为其配置 ip 地址即可实现路由功能。2.2 端口安全 最常用的对端口安全的理解就是可根据 MAC 地址来做对网络流量的控制和管理,比如 MAC 地址与具体的端口绑定,限制具体端口通过的 MAC 地址的数量,或者在具体的端口不允许某些 MAC 地址的帧流量通过。2.3 端口聚合 端口聚合主要用于交换机之间连接。由于两个交换机之间有多条冗余链路的时候,STP 会将其中的几条链路关闭,只保留一条,这样可以避免二层的环路产生。但是,失去了路径冗余的优点,

8、因为 STP 的链路切换会很慢,在 50s 左右。使用以太通道的话,交换机会把一组物理端口联合起来,做为一个逻辑的通道,也就是 channelgroup,这样交换机会认为这个逻辑通道为一个端口。.3/78 2.4 快速生成树协议(RSTP)RSTP:快速生成树协议(rapid spanning Tree Protocol):802.1w 由 802.1d 发展而成,这种协议在网络结构发生变化时,能更快的收敛网络。它比 802.1d 多了两种端口类型:预备端口类型(alternate port)和备份端口类型。STP(Spanning Tree Protocol)是生成树协议的英文缩写。该协议可

9、应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。2.5 VRRP 虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。VRRP

10、包封装在 IP 包中发送。2.6 ACL 访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL 适用于所有的被路由协议,如 IP、IPX、AppleTalk 等。这表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。2.7 RIP 路由信息协议(RIP)是一种在网关与主机之间交换路由选择信息的标准。RIP 是一种部网关协议。在国家性网络中如当前的因特网,拥有很多用于整个网络的路由选择协议。作为形成网络的每一个自治系统,都有属于自己的路由选择技术,不同的 AS 系统,路由选择技术也不同。

11、2.8 NAT 网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法 IP 地址的转换技术,它被广泛应用于各种类型 Internet 接入方式和各种类型的网络中。原因很简单,NAT 不仅完美地解决了 lP 地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络部的计算机。2.9 CHAP CHAP 全称是 PPP(点对点协议)询问握手认证协议(Challenge Handshake Authentication.4/78 Protocol)。该协议可通过三次握手周期性的校验对端的身份,可在初

12、始链路建立时完成时,在链路建立之后重复进行。通过递增改变的标识符和可变的询问值,可防止来自端点的重放攻击,限制暴露于单个攻击的时间。2.10 VPN 虚拟专用网络(Virtual Private Network,简称 VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个 VPN 网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如 Internet、ATM(异步传输模式、Frame Relay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证的专用网络的扩

13、展。VPN 主要采用了彩隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。第三章 解决方案 3.1 规划场景 规划场景如以下图所示:FTP服务器WEB 服务器出差用户Internet工程部人事部策划部分公司财务部业务部技术部办公地点A办公地点B 3.2 网络实施拓扑.5/78 网络实施拓扑如以下图所示:3.3 网络实施分析 1.在接入层使用二层交换机,在接入层交换机上划分 vlan,则可以实现对广播域的隔离,财务部 vlan10,人事部 vlan20,业务部 vlan30,策划部 vlan40,技术部 vlan50,工程部 vlan60.2.建设双核心的高可靠性网络,核心交换互为备

14、份。为充分发挥设备的性能,两台核心交换承当不同用户数据负载。交换机之间的链路配置为 Trunk 链路,三层交换机上采用 SVI 方式实现vlan 之间的路由。3.两台核心交换机之间采用双链路连接,在两台三层交换机之间配置端口聚合,以提高带宽。4.接入交换机的 Access 端口上采用端口安全的方式实现对允许的连接数量的控制,以提高网络的安全性。5.为了提高网络的可靠性,整个交换网络配置 RSTP,以避免环路带来的影响 6.两台三层交换上配置路由接口,连接 A 办公地点的路由器 R1,并在 R1 和 R2 分别配置接口.6/78 IP 地址。并启用 RIP 路由协议,实现全网互通。7.R1 和

15、R2 办公地点的路由器 R2 之间通过广域网链路连接,在 R1 和 R2 的广域网接口上配置chap 协议提供一定的安全性。8.两台三层交换机上配置默认路由,指向 R1;R1 上配置配置默认路由指向 R2;R2 上配置默认路由指向连接到因特网的下一条地址。9.在 R2 上配置 NAT 方式实现企业网仅用少量公网 IP 地址到因特网的访问。10.在 S2 上,用 ACL 实现财务部可以访问 WEB 服务器和 FTP 服务器,其他部门都能访问 WWW服务但不能访问 FTP 服务器。11.通过 VPN 实现移动办公人员,分公司与总公司的通信。3.4 项目实施流程 1.在核心交换机(型号 RG-S37

16、50-24)与接入交换机(型号 RG-S2261G)上分别创建相应的 VLAN;2.核心交换机与接入交换机之间建立 TRUNK 链路;3.两台核心交换机直接通过双链路相连,实现端口聚合;4.在全部交换机上配置 RSTP,指定两台三层交换机分别为根网桥和备份根网桥;5.在接入交换机的 access 链路上实现端口安全;6.配置三层交换机的 VLAN 间路由功能;7.在三层交换机的路由端口、R1 和 R2 上配置接口 IP 地址;8.R1 和 R2 配置广域网链路,启用 PPP 协议和配置 CHAP 认证;9.运用 RIPV2 路由协议配置企业网的路由,用静态路由实现企业网到互联网的访问;10.在

17、路由器 R1 上做 NAT 实现网对外网的访问;11.建立 WEB、FTP 服务器,使企业网实现资源共享;12.为了控制网对互联网的访问,在路由器上作访问控制列表;13.在总公司与分公司之间建立 VPN 连接。3.6 设备命名规则 为了标识网络设备、便于管理网络设备,应该为网络中每一台设备赋予名称标识,设备命名的基本原则为:1.能表示出网络设备的类型;2.能表示出网络设备的物理位置;3.能表示出网络设备所属的网络层次;.7/78 4.相同物理位置和网络层次的网络设备由不同序号区分;5.能反映出该设备的业务属性和网元功能。本次工程的设备命名规如下:交换机命名以 SW 开头,路由器命名以 R 开头

18、,服务器命名以 Server 开头。举例说明:比如说二层交换机 SW1,SW2,路由器 R1,R2。3.7 接口描述规则 为了标识设备端口,便于后期维护,应为没一个接口设置接口描述,接口描述的基本规则为:1.能表示出端口的对端网元设备 2.能表示出端口的类型 3.能反映出对端端口所在板卡的物理槽位 本次工程的接口描述规如下:快速以太网口用 f 开头,串口用 S 开头。举例说明:例如交换机 SW1 的快速以太网口 f0/10 端口,路由器 R1 的串口 S0/1/0 端口。3.8 IP 地址规划 IP 地址规划的结果直接影响到网络运行的质量,以下是几点 IP 地址规划的基本原则:1.唯一性:一个

19、 IP 网络中不能有两个主机采用相同的 IP 地址。即使使用了支持地址重叠的 MPLS/VPN技术,也尽量不要规划为相同的地址。2.连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率。3.扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性。4.实义性:“望址生义”,好的 IP 地址规划使每个地址具有实际含义,看到一个地址就可以大至判断出该地址所属的设备。这是 IP 地址规划中最具技巧型和艺术性的部分。最完美的方式是得出一个 IP 地址公式,以与一些参数与系数,通过计算得出每一个需要用到的 IP 地址。各部门地址分配如下所示:.

20、8/78 部门名称:IP 地址(子网掩码均为 24 位):财务部 172.16.10.1-172.16.10.5 人事部 172.16.20.1-172.16.20.5 业务部 172.16.30.1-172.16.30.5 工程部 172.16.40.1-172.16.40.5 策划部 172.16.50.1-172.16.50.5 技术部 172.16.60.1-172.16.60.5 网络设备接口地址如下所示:设备名称:端口号:IP 地址:三层交换机 1 Fa0/24 10.1.1.2/24 三层交换机 2 Fa0/24 20.1.1.2/24 Fa0/6 172.16.70.1/24

21、R1 Fa1/0 10.1.1.1/24 Fa1/1 20.1.1.1/24 Se0/1/0 172.16.1.1/24 R2 Se0/0/0 172.16.1.2/24 Se0/1/0 100.1.1.1/24 R3(ISP 路由器)Se0/0/0 100.1.1.2/24 Se0/0/1 200.1.1.1/24 R4 Se0/0/0 200.1.1.2/24 Fa0/0 202.100.10.1/24 分公司其中一台 PC FastEthernet 202.100.10.2/24 FTP 服务器 FastEthernet 172.16.70.2/24 WEB 服务器 FastEthern

22、et 172.16.70.2/24 3.9 VLAN 规划 部门 VLAN 财务部 10 人事部 20.9/78 业务部 30 工程部 40 策划部 50 技术部 60 第四章 设备配置 4.1 设备配置命令文档 设备 配置命令 财务部代 表 PC 机 1 IP:172.16.10.2 子网掩码:255.255.255.0 网关:172.16.10.1 人事部代 表 PC 机 1 IP:172.16.20.2 子网掩码:255.255.255.0 网关:172.16.20.1 业务部代 表 PC 机 1 IP:172.16.30.2 子网掩码:255.255.255.0 网关:172.16.3

23、0.1 工程部代 表 PC 机 1 IP:172.16.40.2 子网掩码:255.255.255.0 网关:172.16.40.1 策划部代 表 PC 机 1 IP:172.16.50.2 子网掩码:255.255.255.0 网关:172.16.50.1 技术部代 表 PC 机 1 IP:172.16.60.2 子网掩码:255.255.255.0 网关:172.16.60.1 SW1(注:此代码在特权模式下输入)config t Hostname sw1 vlan 10 vlan 20 vlan 30 exit interface fa 0/3 switchport mode acces

24、s switchport access vlan 10 /将财务部划入 vlan 10.10/78 exit interface fa 0/4 switchport mode access switchport access vlan 20 /将人事部划入 vlan 20 exit interface fa 0/5 switchport mode access switchport access vlan 30 /将业务部划入 vlan30 exit interface range fa 0/1-2 switchport mode access switchport mode trunk no

25、 shutdown Exit confi t inter range fa 0/6-24 /进入一组端口的配置模式 switchport mode access switchport port-security /配置交换机的端口安全功能 switchport port-security maximum 4/设置最大允许连接数量为 4 switchport port-security violation shutdown end SW2(注:此代码在特权模式下输入)config t Hostname sw2 vlan 40 vlan 50 vlan 60 exit interface fa 0

26、/3.11/78 switchport mode access switchport access vlan 40 /将工程部划入 vlan40 exit interface fa 0/4 switchport mode access switchport access vlan 50 /将策划部划入 vlan50 exit interface fa 0/5 switchport mode access switchport access vlan 60 /将技术部划入 vlan60 exit interface range fa 0/1-2 switchport mode access sw

27、itchport mode trunk no shutdown exit inter range fa 0/6-24 /进入一组端口的配置模式 switchport mode access switchport port-security /配置交换机的端口安全功能 switchport port-security maximum 4/设置最大允许连接数量为 4 switchport port-security violation shutdown /配置安全违例的处理方式为shutdown end SW3(注:此代码在特权模式下输入)config t Hostnme sw3 vlan 10

28、vlan 20 vlan 30 exit.12/78 interface range fa 0/3-4 /交换机之间配置 TRUNK 链路 switchport mode access switchport mode trunk no shutdown exit interface aggregateport 1 /创建聚合接口 AGI switchport mode access switchport mode trunk /配置 AG 模式为 trunk exit interface range fa 0/1-2 /进入接口 0/1 和 0/2 port-group 1 /配置接口 0/1

29、 和 0/2 属于 AGI exit spanning-tree/开启生成树协议 spanning-tree mode rstp /指定生成树协议的类型为 RSTP interface vlan 10 /配置 SVI ip address 172.16.10.1 255.255.255.0 no shutdown exit interface vlan 20 ip address 172.16.20.1 255.255.255.0 no shutdown exit interface vlan 30 ip address 172.16.30.1 255.255.255.0 no shutdow

30、n exit interface fa 0/24 no switchport ip address 10.1.1.2 255.255.255.0.13/78 no shutdown exit ip route 0.0.0.0 0.0.0.0 10.1.1.1 /配置默认路由 inter range fa 0/5-23 /进入一组端口的配置模式 switchport mode access switchport port-security /配置交换机的端口安全功能 switchport port-security maximum 4/设置最大允许连接数量为 4 switchport port-

31、security violation shutdown /配置安全违例的处理方式为 shutdown exit inter vlan 10 standby 2 priority 200 /配置优先级 standby 2 ip 172.16.10.254 /配置 vrrp 组和虚拟路由器的 IP 地址 inter vlan 20 standby 2 priority 160 /配置优先级 standby 2 ip 172.16.20.254 /配置 vrrp 组和虚拟路由器的 IP 地址 inter vlan 30 standby 2 priority 120 /配置优先级 standby 2

32、ip 172.16.30.254 /配置 vrrp 组和虚拟路由器的 IP 地址 exit SW4(注:此代码在特权模式下输入)config t Hostname sw4 vlan 40 vlan 50 vlan 60 exit interface range fa 0/3-4 switchport mode access switchport mode trunk no shutdown.14/78 exit interface aggregateport 1 /创建聚合接口 AGI switchport mode access switchport mode trunk /配置 AG 模式

33、为 trunk exit interface range fa 0/1-2 /进入接口 0/1 和 0/2 port-group 1 /配置接口 0/1 和 0/2 属于 AGI exit spanning-tree/开启生成树协议 spanning-tree mode rstp /指定生成树协议的类型为 RSTP interface vlan 40 /配置 SVI ip address 172.16.40.1 255.255.255.0 no shutdown exit interface vlan 50 ip address 172.16.50.1 255.255.255.0 no shu

34、tdown exit interface vlan 60 ip address 172.16.60.1 255.255.255.0 no shutdown exit interface fa 0/24 no switchport ip address 20.2.2.2 255.255.255.0 no shutdown exit interface fa 0/6 no switchport.15/78 ip address 192.168.1.1 255.255.255.0 no shutdown exit ip route 0.0.0.0 0.0.0.0 20.2.2.1 inter ran

35、ge fa 0/5-23 /进入一组端口的配置模式 switchport mode access switchport port-security /配置交换机的端口安全功能 switchport port-security maximum 4/设置最大允许连接数量为 4 switchport port-security violation shutdown/配置安全违例的处理方式为 shutdown exit inter vlan 10 standby 2 priority 200 /配置优先级 standby 2 ip 172.16.10.254 /配置 vrrp 组和虚拟路由器的 IP

36、地址 inter vlan 20 standby 2 priority 160 /配置优先级 standby 2 ip 172.16.20.254 /配置 vrrp 组和虚拟路由器的 IP 地址 inter vlan 30 standby 2 priority 120 /配置优先级 standby 2 ip 172.16.30.254 /配置 vrrp 组和虚拟路由器的 IP 地址 Exit access-list 101 permit tcp 172.16.10.0 0.0.0.255 172.16.70.0 0.0.0.255 eq ftp /允许 172.16.10.0 网段访问 172

37、.16.70.0 网段上 TCP 协议的 FTP 服务器 access-list 101 deny tcp any 172.16.70.0 0.0.0.255 eq ftp /拒绝任何主机访问 172.16.70.0 网段上 TCP 协议的 FTP 服务器 access-list 101 permit tcp any 172.16.70.0 0.0.0.255 eq /允许任何主机访问 172.16.70.0 网段上 TCP 协议的 FTP 服务器 access-list 101 permit ip any any interface fa0/6 /把编号为 101 的扩展访问控制列表应用到

38、fa0/6 端口.16/78 ip access-group 101 out exit R1(注:此代码在特权模式下输入)config t Hostname r1 interface fa 0/0 /在特权模式下进入 F0/0 口 ip address 10.1.1.1 255.255.255.0 /给 F0/0 配置 IP 地址 no shutdown exit interface fa 0/1 ip address 20.2.2.1 255.255.255.0 no shutdown exit interface se 0/1/0 /在特权模式下进入 S0/1/0 口 ip address

39、 172.16.1.1 255.255.255.0 /给 S0/1/0 配置 IP 地址 clock rate 64000 /设置时钟同步 no shutdown exit router rip /创建 RIP 路由进程 version 2 /启动 RIP 版本 2 进程 network 10.0.0.0 /发布自己所关联的网络 network 20.0.0.0 /发布自己所关联的网络 network 172.16.1.0 /发布自己所关联的网络 ip route 0.0.0.0 0.0.0.0 10.1.1.2 /配置一条到达 IP 为 10.1.1.2 的认路由 ip route 0.0.

40、0.0 0.0.0.0 20.2.2.2 /配置一条到达 IP 为 20.2.2.2 的默认路由 ip route 0.0.0.0 0.0.0.0 172.16.1.2 username R2 password 0 123 /以对方的主机名作为用户名,密码为 123 interface s0/1/0 encapsulation ppp /把该接口封装为 PPP 协议 ppp authentication pap /PPP 启用 PAP 方式认证.17/78 R2(注:此代码在特权模式下输入)config t Hostname r2 interface se 0/1/0 /在特权模式下进入 S0

41、/1/0 口 ip address 100.1.1.1 255.255.255.0 /给 S0/1/0 配置 IP 地址 clock rate 64000 no shutdown exit interface se 0/0/0 ip address 172.16.1.2 255.255.255.0 no shutdown exit crypto isakmp policy 10 /ipsec 第一阶段,定义 ISAKMP 策略 encryption 3des /加密方法使用 3des hash md5 /散列算法使用 md5 authentication pre-share /认证方法使用预共

42、享密钥 crypto isakmp key hx address 200.1.1.2 /将 ISAKMP 预共享密钥和对等体关联,预共享密钥为“hx”。crypto ipsec transform-set tim esp-3des esp-md5-hmac/设置 ipsec 转换(交换)集。access-list 101 permit ip 172.16.1.0 0.0.0.255 202.100.10.0 0.0.0.255 /创建感兴趣数据流 crypto map tom 10 ipsec-isakmp /ipsec 第二阶段,设置加密图 match address 101 set pee

43、r 200.1.1.2 /加载感兴趣流 set transform-set tim /设置对等体地址 interface se 0/1/0 crypto map tom /在接口上应用加密图 router rip /创建 RIP 路由进程 version 2 /启动 RIP 版本 2 进程 network 172.16.1.0 /发布自己所关联的网络.18/78 network 100.1.1.0 /发布自己所关联的网络 ip route 0.0.0.0 0.0.0.0 172.16.1.1 /配置默认路由 ip route 0.0.0.0 0.0.0.0 100.1.1.2 username

44、 R1 password 0 123 /以对方的主机名作为用户名,密码为 123 interface s0/0/0 encapsulation ppp /把该接口封装为 PPP 协议 ppp authentication pap /PPP 启用 PAP 方式认证 Exit interface se 0/1/0 ip nat outside /配置为外部接口 exit interface se 0/0/0 ip nat inside /配置为部接口 access-list 1 permit 172.16.10.0 0.0.0.255 /配置允许地址转换的部本地地址围 access-list 1

45、permit 172.16.20.0 0.0.0.255 access-list 1 permit 172.16.30.0 0.0.0.255 access-list 1 permit 172.16.40.0 0.0.0.255 access-list 1 permit 172.16.50.0 0.0.0.255 access-list 1 permit 172.16.60.0 0.0.0.255 ip nat pool hx 100.1.1.1 100.1.1.1 netmask 255.255.255.0 /定义部网络全局地址池 ip nat inside source list 1 po

46、ol hx /配置部本地地址与部全局地址的映射关系 exit R3 即 ISP 路 由 器(注:此代码在特权模式下输入)config t Hostname r3 interface se 0/0/1 ip address 200.1.1.1 255.255.255.0 no shutdown.19/78 exit interface se 0/0/0 ip address 100.1.1.2 255.255.255.0 no shutdown exit router rip /创建 RIP 路由进程 version 2 /启动 RIP 版本 2 进程 network 100.1.1.0 /发布

47、自己所关联的网络 network 200.1.1.0 /发布自己所关联的网络 ip route 200.100.10.0 255.255.255.0 200.1.1.2 /配置到达非直连 200.100.10.0网络的下一跳地址为 200.1.1.2 ip route 172.16.1.0 255.255.255.0 100.1.1.1 R4(注:此代码在特权模式下输入)config t Hostname r4 crypto isakmp policy 10/ipsec 第一阶段,定义 ISAKMP 策略 encr 3des/加密方法使用 3des hash md5 /散列算法使用 md5 a

48、uthentication pre-share/认证方法使用预共享密钥 crypto isakmp key hx address 100.1.1.1/将 ISAKMP 预共享密钥和对等体关联,预共享密钥为“hx”。crypto ipsec transform-set tim esp-3des esp-md5-hmac/设置 ipsec 转换(交换)集 crypto map tom 10 ipsec-isakmp /ipsec 第二阶段,设置加密图 set peer 100.1.1.1/加载感兴趣流 set transform-set tim /设置对等体地址 match address 101

49、 access-list 101 permit ip 192.168.1.0 0.0.0.255 202.100.10.0 0.0.0.255/创建感兴趣数据流 interface se 0/0/0 ip address 200.1.1.2 255.255.255.0 clock rate 64000.20/78 no shutdown crypto map tom /在接口上应用加密图 interface FastEthernet0/0 ip address 202.100.10.1 255.255.255.0 no shutdown router rip /创建 RIP 路由进程 vers

50、ion 2 /启动 RIP 版本 2 进程 network 200.1.1.0 /发布自己所关联的网络 network 202.100.10.0 /发布自己所关联的网络 ip route 0.0.0.0 0.0.0.0 200.1.1.1 /配置默认路由 4.2 交换机配置 4.2.1 划分 VLAN 1.在二层交换机 1,2,三层交换机 3,4 上创建 vlan10、20、30、40、50、60,输入设备如以下图所示:二层交换机 2,代码如下:.21/78 用户模式下,三层交换机 1,输入设备如以下图所示:用户模式下,三层交换机 2,输入设备如以下图所示:.22/78 2.在二层交换机 1

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 应用文书 > 解决方案

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁