Switch(config)#service dhcp 启用DHCP服务
Switch(config)#ip helper-address X.X.X.X X.X.X.X为DHCP服务器IP地址
3.5.3项目技术方案
(1)根据项目描述,选取三层交换机两台(S3760E)、二层交换机两台(S2628G)、以及五台PC机;
(2)在两台PC机上搭建4个服务器,在与服务器相连的三层交换机上设置ACL、SVI;ip地址为:VLAN10:192.168.10.254/24, VLAN20:192.168.20.254/24,VLAN30:192.168.30.254/24,VLAN40:192.168.40.254/24;
(3)其余交换机划分VLAN。 3.5.4网络拓扑设计
S3760E (S1) f0/4 f0/1 f0/2 S2628G (S3) f0/3 f0/3 S2628G (S4) web ftp pc3 pc4 vlan40 vlan40 dns dhcp S3760E (S2) f0/2 f0/1 f0/4 f0/1 f0/2 f0/2 f0/4 办公区 教学区 机房 pc1 pc2 pc5 vlan10 vlan20 vlan30
说明:pc1,pc2,pc3的ip地址与dns服务器地址由dhcp服务器分配; pc3使用ip地址:192.168.40.1/24,pc4使用ip地址:192.168.40.2/24。 3.5.5设备配置
- 19 -
S2:
s2(config)#vlan 10 s2(config)#vlan 20 s2(config)#vlan 30 s2(config)#vlan 40
s2(config)#interface fastethernet 0/1 s2(config-if)#switchport access vlan 40 s2(config)#interface fastethernet 0/4 s2(config-if)#switchport access vlan 40 s2(config)#interface fastethernet 0/2 s2(config-if)#switchport mode trunk s2(config)#interface vlan 10
s2(config-if)#ip address 192.168.10.254 255.255.255.0 s2(config-if)#no shutdown s2(config)#interface vlan 20
s2(config-if)#ip address 192.168.20.254 255.255.255.0 s2(config-if)#no shutdown s2(config)#interface vlan 30
s2(config-if)#ip address 192.168.30.254 255.255.255.0 s2(config-if)#no shutdown s2(config)#interface vlan 40
s2(config-if)#ip address 192.168.40.254 255.255.255.0 s2(config-if)#no shutdown s2(config)#ip routing
s2(config)#access-list 101 deny tcp 192.168.30.0 192.168.40.1 eq 80
s2(config)#access-list 101 permit ip any any s2(config)#interface fastethernet 0/1 s2(config-if)#ip access-group 101 out
0.0.0.255 host - 20 -
s2(config)#service dhcp s2(config)#interface vlan 10
s2(config-if)#ip helper-address 192.168.40.1 s2(config)#interface vlan 20
s2(config-if)#ip helper-address 192.168.40.1 s2(config)#interface vlan 30
s2(config-if)#ip helper-address 192.168.40.1
其余交换机只需划分VLAN,把相应接口的接口模式改为trunk即可。 在pc3上搭建web与ftp服务器,在pc4上搭建dns与dhcp服务器,并在dhcp服务器中创建四个作用域。 3.5.6项目测试
DHCP:把pc1,pc2,pc3的ip地址与dns服务器地址设置为自动获取,发现三台pc均能分配到地址;
实现vlan间通信:这三台处于不同的vlan的主机可以相互ping通; DNS,FTP,WEB,ACL:在三台pc上打开浏览器,通过域名访问ftp与web服务器是,发现除了pc5(机房)不能访问web外,其余都能访问。 3.5.7小结
这是第五个实验项目,这个项目主要解决的问题就是跨交换机不同VLAN之间的通信,以及在此基础上各种服务器的构建与应用。在做之前,应该规划好网络拓扑,因为题目中的只用到了交换机,且各主机,服务器要求相连的交换机不同。教学区之所以连在两台交换机上,是因为考虑到教学区的重要性,做了备用线路。在进行VLAN划分的时候,在两台交换机上并没有分配SVI,所有的SVI都是在同一台三层交换机上配置,这样可使让整个网络拓扑简单,合理。做完这些后,开启交换
- 21 -
机的路由功能,就能实现全网路由。与第二个实验不同的是,实验室中并没有多余的PC机来做DHCP的中继,而且在实际生活中,不可能为了一台主机或一个网段特地配置一台中继服务器,所以,我们把中继服务放在一台交换机中进行,实际操作只需开启DHCP服务,然后简单的几句命令就能达成,这样,全网的PC就能获得DHCP分配的网址了。在设置教学区的访问限制时,使用的是ACL的扩展列表,这样控制的是整个WEB的TCP服务,而不会阻止FTP服务的访问。
整个拓扑中,交换机之间的连接均是TRUNK。做完整个实验,让我们对于交换机之间不同VLAN通信了解得更深刻,有了很大的收获。
3 .6 项目6小型网络安全设计
3.6.1 项目描述
某公司总部设有销售部、市场推广部、财务部和后勤保障部,分部同样设有销售部和财务部。公司内部网络使用二层交换机为接入用户的交换机,三层交换机为公司网络的核心设备,总部和分部各1台,用于汇聚公司网络中的所有接入层设备,使网络互通;公司内部均使用私有地址,且已从ISP申请到4个注册地址;总部建有一个用于内部技术交流的FTP服务器和用于介绍公司情况的WEB服务器。公司通过路由器接入互联网,可以和处于外省的子公司通信,子公司能访问总部内网。为了保证公司网络安全性,要求如下:
1. 业务相同的部门,实行相同的子网管理;
2. 公司员工都可以浏览网页和下载文件,218.47.38.20为不良网站,
- 22 -
禁止访问。
3. WEB服务器面向整个外网服务,而FTP服务器只允许公司内部使用(含处于外省的子公司)。
4.公司总部电脑要求动态获取主机参数。 3.6.2 项目背景知识 VPN中PPTP服务端配置: 1. 配置本地地址池
R(config)#ip local pool poolname first-ip [last-ip]
2. 配置用户信息
R(config)#username user-name password password
3. 配置vpdn全局参数
R(config)#vpdn enable 启用vpdn功能
4. 配置virtual-template接口
R(config)#interface virtual-template number
创建指定virtual -template接口
R(config-if)#ip address ip-address ip-mask
配置virtual -template接口IP地址
R(config-if)#peer default ip address pool poolname R(config-if)#ppp authentication pap
5. 配置vpdn-group
R(config)# vpdn-group name 创建指定vpdn-group单元 R(config-vpdn)#accept-dialin 允许接受远程客户端拨入R(config-vpdn-acc-in)#protocol {any|l2tp|pptp} 设置隧道协议 R(config-vpdn-acc-in)# virtual-template number设置使用的虚模板3.6.3项目技术方案
- 23 -