中小型规模局域网建设总结 - 图文(3)

防火墙性能:包括多种DoS/DdoS 攻击防范,ARP欺骗攻击的防范,TCP报文标志位不合法攻击防范/超大ICMP报文攻击防范,地址/端口扫描的防范/ICMP 重定向或不可达报文控制功能/Tracert报文控制功能/带路由记录选项IP报文控制功能/静态和动态黑名单功能/MAC和IP绑定功能/支持智能防范蠕虫病毒技术 市场报价 ￥99000元 五．系统设计文档 5.1网络结构设计文档 a) 网络拓扑结构设计图

金华ip 地址分配： 部门 董事会 人力资源部 研发部 服务器 服务器 服务器 Ip地址 子网掩码 255.255.255.0 255.255.255.0 255.255.255.0 网关 172.16.3.1 172.16.3.1 172.16.3.1 局域网 Vlan10 Vlan20 Vlan30 172.16.3.10 172.16.3.29 172.16.3.30 172.16.3.59 172.16.3.60 172.16.3.89 172.16.3.2 172.16.3.3 172.16.3.4 255.255.255.0 255.255.255.0 255.255.255.0 172.16.3.1 172.16.3.1 172.16.3.1 路由器R2 fa0/1 S0/0/1 打印机1 打印机2 打印机3 172.16.3.1 172.16.1.2 172.16.3.5 172.16.3.6 172.16.3.7 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 杭州ip划分： 服务器 路由器R1 fa0/0 S0/0/0

打印机

部门

董事会

人力资源部

研发部

财务部

工程部

172.16.2.2 172.16.2.10 172.16.2.1 172.16.1.1 172.16.2.11~ 172.16.2.16 Ip地址 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 子网掩码 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0

255.255.255.0 销售部

255.255.255.0 开发部

255.255.255.0 采购部

华为交换机与路由器的命令集 交换机命令

[Quidway]super password ；修改特权用户密码 [Quidway]sysname ；交换机命名

[Quidway]interface ethernet 0/1 ；进入接口视图 [Quidway]interface vlan x ；进入接口视图

[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ；配置VLAN的IP地址

172.16.2.20 172.16.2.30 172.16.2.31 172.16.2.50 172.16.2.51 172.16.2.60 172.16.2.61 172.16.2.81 172.16.2.82 172.16.2.100 172.16.2.101 172.16.2.130 172.16.2.131 172.16.2.145 172.16.2.146 172.16.2.200

[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ；静态路由＝网关

[Quidway]rip ；三层交换支持 [Quidway]local-user ftp

[Quidway]user-interface vty 0 4 ；进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password ；设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple 222 ；设置口令 [S3026-ui-vty0-4]user privilege level 3 ；用户级别

[Quidway]interface ethernet 0/1 ；进入端口模式 [Quidway]int e0/1 ；进入端口模式 [Quidway-Ethernet0/1]duplex {half|full|auto} ；配置端口工作状态 [Quidway-Ethernet0/1]speed {10|100|auto} ；配置端口工作速率 [Quidway-Ethernet0/1]port access vlan 3 ；当前端口加入到VLAN [Quidway-Ethernet0/2]port trunk permit vlan {ID|All} ；设trunk允许的VLAN [Quidway-Ethernet0/3]port trunk pvid vlan 3 ；设置trunk端口的PVID [Quidway-Ethernet0/1]undo shutdown ；激活端口 [Quidway-Ethernet0/1]shutdown ；关闭端口

[Quidway]vlan 3 ；创建VLAN [Quidway-vlan3]port ethernet 0/1 ；在VLAN中增加端口 [Quidway]stp {enable|disable} ；设置生成树,默认关闭 [Quidway]stp priority 4096 ；设置交换机的优先级 [Quidway]stp root {primary|secondary} ；设置为根或根的备份 [Quidway-Ethernet0/1]stp cost 200 ；设置交换机端口的花费

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 路由器命令

[Quidway]sysname aabbcc ；更改主机名 [Quidway]super passwrod 123456 ；设置口令 [Quidway]interface serial0 ；进入接口

[Quidway-serial0]ip address ；配置端口IP地址 [Quidway-serial0]undo shutdown ；激活端口 [Quidway]link-protocol hdlc ；绑定hdlc协议

静态路由：

[Quidway]ip route-static {interface number|nexthop}[value][reject|blackhole] 例如：

[Quidway]ip route-static 129.1.0.0 16 10.0.0.2

动态路由：

[Quidway]rip ；设置动态路由 [Quidway]rip work ；设置工作允许

[Quidway]rip input ；设置入口允许 [Quidway]rip output ；设置出口允许 [Quidway-rip]network 1.0.0.0 ；设置交换路由网络 [Quidway-rip]network all ；设置与所有网络交换 [Quidway-rip]peer ip-address ；

[Quidway-rip]summary ；路由聚合

[Quidway]rip version 1 ；设置工作在版本1 [Quidway]router id A.B.C.D ；配置路由器的ID [Quidway]ospf enable ；启动OSPF协议 [Quidway-Serial0]ospf enable area ；配置OSPF区域

标准访问列表命令格式如下：

acl [match-order config|auto] ；默认前者顺序匹配。 rule [normal|special]{permit|deny} [source source-addr source-wildcard|any] 例：

[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255 [Quidway-acl-10]rule normal deny source any

扩展访问控制列表配置命令

配置TCP/UDP协议的扩展访问列表：

rule {normal|special}{permit|deny}{tcp|udp}source {|any}destination |any} [operate]

配置ICMP协议的扩展访问列表：

rule {normal|special}{permit|deny}icmp source {|any]destination {|any] [icmp-code] [logging]

扩展访问控制列表举例 ftp

[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www

[Quidway]firewall enable

[Quidway]firewall default permit|deny [Quidway]int e0

[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound

地址转换配置举例

[Quidway]firewall enable

[Quidway]firewall default permit

[Quidway]acl 101 ;内部指定主机可以进入e0 [Quidway-acl-101]rule deny ip source any destination any

[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any [Quidway-acl-101]quit

[Quidway]int e0

[Quidway-Ethernet0]firewall packet-filter 101 inbound

[Quidway]acl 102 ;外部特定主机和大于1024端口的数据包允许进入S0

[Quidway-acl-102]rule deny ip source any destination any

[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0

[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0 destination-port great-than 1024

[Quidway-acl-102]quit [Quidway]int s0

[Quidway-Serial0]firewall packet-filter 102 inbound ；设202.38.160.1是路由器出口IP。

[Quidway-Serial0]nat outbound 101 interface ;是Easy ip，将acl 101允许的IP从本接口出时变换源地址。

内部服务器地址转换配置命令(静态nat)：

nat server global [port] inside port [protocol] ;global_port不写时使用inside_port

设有公网IP：202.38.160.101~202.38.160.103 可以使用。 ;对外访问(原例题) [Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1 ;建立地址池 [Quidway]acl 1

[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255 ;指定允许的内部网络 [Quidway-acl-1]rule deny source any [Quidway-acl-1]int serial 0

[Quidway-Serial0]nat outbound 1 address-group pool1 ;在s0口从地址池取出IP对外访问

[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp [Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp

[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp [Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp

PPP设置：

[Quidway-s0]link-protocol ppp ;默认的协议

PPP验证：

主验方：pap|chap

[Quidway]local-user q2 password {simple|cipher} hello ;路由器1 [Quidway]interface serial 0

[Quidway-serial0]ppp authentication-mode {pap|chap}

[Quidway-serial0]ppp chap user q1 ;pap时，没有此句

帧中继frame-relay [q1]fr switching [q1]int s1

[q1-Serial1]ip address 192.168.34.51 255.255.255.0

[q1-Serial1]link-protocol fr ;封装帧中继协议 [q1-Serial1]fr interface-type dce [q1-Serial1]fr dlci 100 [q1-Serial1]fr inarp

[q1-Serial1]fr map ip 192.168.34.52 dlci 100

启动ftp服务：

[Quidway]local-user ftp password {simple|cipher} aaa service-type ftp [Quidway]ftp server enable 六、 硬件清单 产品名称型号 华为Quidway AR28-11路由器 华为Quidway S5324TP-SI-AC三层交换机 华为Quidway S2352P-EI(AC)二层交换机 一舟超五类双绞线参数细节 660元 LC(PC)多模光纤 富士施乐3117激光打印机 戴尔PowerEdge R410(Xeon E5606/4GB/300GB/RAID1)服务器 防火墙：华为赛门铁克USG2110( USG2110) PC机：惠普 dc5750(RQ957PA) 数量 1台 2台 12台 3捆 300米 6台 9台 2个 250台 单价 ￥4100元 ￥5900元 ￥3200元 ￥660元 3.5元每米 ￥850元 ￥11000元 ￥1900元 ￥3760元 Rosenberger 12/24口机架式光纤配线架连接100个 ￥140元 面板 光纤套管 1000个 ￥0.15元 腾达（TENDA）TER850S多模光纤收发器 50个 ￥159元 胜为（shengwei）超五类高级网络水晶头8P8C 5盒 (100个/盒) RC-4100 KingSanBao 三堡 HT-224CB 简易打线工具 30个 三堡网络理线架 50个 硬件设备所需总价：￥1133445元

总价 ￥4100元 ￥11800元 ￥38400元 ￥1980元 ￥1050元 ￥5100元 ￥99000元 ￥3800元 ￥940000元 ￥14000元 ￥150元 ￥7950元 ￥295元 ￥2370元 ￥3450元 ￥59元 ￥79元 ￥69元