用了访问控制列表,并且没有建立连接的缓存允许条目,所以这个流量不被允许通过,也就是说B不可以访问A。
其他VLAN间都可互通。
hexinjiaohuan0(config)#ip routing
b.工作日每天8:00-17:00不允许学生VLAN访问外网,其他VLAN3无限制。(此部分模拟软件无法实现)
jieru(config)# time-range denytime
jieru (config-time-range)# periodic weekdays 8:00 to 17:00 jieru (config)# ip access-list extended xianzhishangwang
jieru(config-ext-xianzhishangwang)#deny ip 172.16.24.0 0.0.3.255 any denytime
jieru(config-ext-xianzhishangwang)#permit ip any any denytime jieru (config)#int f0/0
jieru (config-if)#ip access-group xianzhishangwang in
3.NAT转换设置,使用超载NAT实现内网终端访问因特网,使用静态NAT实现外网用户访问公有地址访问内网WEB。
jieru (config)#access-list 10 permit 172.16.0.0 0.0.255.255 jieru (config)#access-list 10 permit any
jieru config)#ip nat inside source list 10 interface Serial2/0 overload jieru (config)#interface FastEthernet0/0
jieru (config-if)#ip address 192.168.1.1 255.255.255.0 jieru (config-if)#ip nat inside jieru (config)#interface S2/0
jieru (config-if)# ip address 222.153.2.1 255.255.255.0 jieru (config-if)# ip nat outside
//使用PAT实现内网终端共有一个地址连接因特网
jieru (config)# ip nat inside source static 172.16.28.30 222.153.2.2
//使用静态NAT实现外网用户访问公有地址访问内网WEB,WEB外网地址为222.153.2.2
4.ISP端路由器相关配置 Router>en
41
Router#conf t
Router(config)#hostname ISP ISP (config)#interface S0/0/0
ISP (config-if)# ip address 222.153.2.254 255.255.255.0 ISP (config-if)# clock rate 64000 ISP (config)#interface F0/0
ISP (config-if)# ip address 1.1.1.1 255.255.255.0
5.VPN配置(此部分内容可选做)
接入路由器做VPN网关,一台ISP路由模拟Internet网(就是没私有IP路由的路由器),一台路由路模拟能上Internet网的路由器(也就是做了NAT上网)。外出移动办公的笔记本通过能上Internet网的路由器Easy VPN连接到总部,并访问总部的web服务器。
a. Internet网的远程路由器的配置 YUNCHENG(config)#interface FastEthernet0/0
YUNCHENG(config-if)#ip address 192.168.2.1 255.255.255.0 YUNCHENG(config-if)#ip nat inside YUNCHENG(config-if)#no shutdown YUNCHENG(config)#interface s0/0/0
YUNCHENG(config-if)#ip address 100.100.100.100 255.255.255.0 YUNCHENG(config-if)#ip nat outside YUNCHENG(config-if)#shutdown
YUNCHENG(config)#ip route 0.0.0.0 0.0.0.0 S0/0/0
YUNCHENG(config)#access-list 1 permit 192.168.1.0 0.0.0.255
YUNCHENG(config)#ip nat inside source list 1 interface S0/0/0 overload
b.作为VPN网关的接入路由器的配置
jieru(config)#aaa new jieru(config)#aaa new-model
jieru(config)#aaa authentication login eza local jieru(config)#aaa authorization network ezo local jieru(config)#username 07wangluo pass 07wangluo jieru(config)#crypto isakmp policy 10 jieru(config-isakmp)#hash md5
42
jieru(config-isakmp)#authentication pre-share jieru(config-isakmp)#group 2
jieru(config)#ip local pool ez 172.16.32.2 172.16.32.5 jieru(config)#crypto isakmp client configuration group ahipvpn jieru(config-isakmp-group)#key ahipvpn jieru(config-isakmp-group)#pool ez jieru(config-isakmp-group)#exit
jieru(config)#crypto ipsec transform-set tim esp-3des esp-md5-hmac jieru(config)#crypto dynamic-map ezmap 10 jieru(config-crypto-map)#set transform-set tim jieru(config-crypto-map)#reverse-route
jieru(config)#crypto map tom client authentication list eza jieru(config)#crypto map tom isakmp authorization list ezo
jieru(config)#crypto map tom client configuration address respond jieru(config)#crypto map tom 10 ipsec-isakmp dynamic ezmap jieru(config)#interface s0/0/0 jieru(config-if)#crypto map tom jieru(config)#write
任务五:网络调试、完善
按上面的各种需求和功能要求,测试网络的功能性,连通性及稳定性。如遇问题,分析错误,进行完善。
1.DHCP与DNS的功能检测,(此处DHCP在模拟软件中无法实现) 2.终端用户PC相互访问,包含各校区间的相互访问;
3.所有PC能够访问内网服务器,对于访问WEB服务器可以使用内网地址访问,或者使用WEB服务器的外网地址访问;Internet上的用户也可以访问内网的WEB服务器;
4.所有PC能访问Internet上的服务器,如访问Internet WEB; 5.WLAN的检测;
43
6.ACL配置后的检测; 7.EASY VPN的测试;
8.其他可能的相关网络连通性检测。
五、课程的注意事项
1. 实验设备和器材的爱护。
2. 实习项目需要做前期的分析,不要盲目的配置。
3. 认识分析网络的需求,按需求配置网络设备,达到能完成一个项目的目标。
4. 独立完成,总好总结。
六、课程的考核
1. 出勤率作为30%成绩,1/3课时或以上缺勤者成绩为不合格。 2. 学生提交实验配置文件,按照其配置的内容的正确率评分。并交纳实训报告。作为成绩的70%。
七、教学进度安排
序号 1 2 3 4 5
实训内容 中小型企业网解决方案(课题一) 分析规划(IP规划)与架设 中小型企业网解决方案(课题一) 路由规划与实施 中小型企业网解决方案(课题一) 交换规划设计(VLAN、STP) 中小型企业网解决方案(课题一) WLAN与VPN设计 中小型企业网解决方案(课题一) 网络完善调试 44
实训地点 404 404 404 404 404 学时 4 4 4 2 4 备注
6 7 8 9 10 合计 中小型企业网解决方案(课题二) 分析规划与架设 中小型企业网解决方案(课题二) 二层冗余设计 中小型企业网解决方案(课题二) 三层冗余设计 中小型企业网解决方案(课题二) 网络完善调试 中小型企业网解决方案(课题二) 总结 404 404 404 4 4 4 2 4 36
八、必要的说明
因为实验室设备有限,只能供两组学生使用,其他人在实训时采用模拟器进行实验,无论是使用真设备或模拟器,都必须教上最终配置文件,作为成绩评定的衡量依据。
1、本课程设计指导书根据网络工程专业教学计划和《网络互联技术课程设计》教学大纲编写。
2、本课程设计指导书的执行对象是网络工程专业学生。
3、要求学生完成的成果和实训报告内容(包括实训的内容、步骤,本次实训的心得体会与收获,对课程的认识,教学建议等。) 4、以及其它需要说明的问题。
45
46