(1)由于实验室设备数量限制,现选取三层交换机两台、二层交换机一台,路由器两台、pc机五台。
(2)在与出口路由器连接的三层交换机上配置SVI、RIP、默认路由; 出口路由器上配置RIP、默认路由、NAT、NAPT、VPDN;服务器搭建在一台内网pc机上。 3.6.4网络拓扑设计
NAT
Inside Outside 202.69.101.10 S4/0
192.168.6.0/24
202.69.101.9
F0/0 RSR20(F0/6
S2/0
RSR20(F0/0
192.168.5.0/24
202.169.11.2
S3760E(S2)
R1) R2)
F0/4 F0/2 F0/4 S3760E(S1) F0/1 FTP,DHCP
WEB
子公司 pc4
192.168.2.0/24 VLAN 20 财务部pc5 F0/3 F0/3 pc3 192.168.5.1/24
F0/1 vlan30
F0/2 192.168.1.0/24 VLAN 10 销售部pc1 S2628G(S3) 192.168.2.0/24 VLAN 20 财务部pc2
3.6.5设备配置 S2:
s2(config)#vlan 10
- 24 -
s2(config)#vlan 20 s2(config)#vlan 30
s2(config)#interface vlan 10
s2(config-if)#ip address 192.168.1.254 255.255.255.0 s2(config-if)#no shutdown s2(config)#interface vlan 20
s2(config-if)#ip address 192.168.2.254 255.255.255.0 s2(config-if)#no shutdown s2(config)#interface vlan 30
s2(config-if)#ip address 192.168.3.254 255.255.255.0 s2(config-if)#no shutdown
s2(config)#interface fastethernet 0/2 s2(config-if)#switchport access vlan 20 s2(config)#interface fastethernet 0/4 s2(config-if)#switchport mode trunk s2(config)#interface fastethernet 0/6 s2(config-if)#no switchport
s2(config-if)#ip address 192.168.6.1 255.255.255.0 s2(config)#router rip
s2(config-router)#network 192.168.1.0 s2(config-router)#network 192.168.2.0 s2(config-router)#network 192.168.5.0 s2(config-router)#network 192.168.6.0
s2(config)#ip route 0.0.0.0 0.0.0.0 192.168.6.2 s2(config)#service dhcp s2(config)#interface vlan 10
s2(config-if)#ip helper-address 192.168.5.1 s2(config)#interface vlan 20
s2(config-if)#ip helper-address 192.168.5.1
- 25 -
R1:
r1(config)#interface fastethernet 0/0
r1(config-if)#ip address 192.168.6.2 255.255.255.0 r1(config-if)#no shutdown r1(config)#interface serial 4/0
r1(config-if)#ip address 202.69.101.9 255.255.255.0 r1(config-if)#clock rate 64000 r1(config-if)#no shutdown r1(config)#router rip
r1(config-router)#network 192.168.6.0 r1(config-router)#network 192.168.3.0
r1(config)#ip route 0.0.0.0 0.0.0.0 202.69.101.10
r1(config)#ip nat inside source static 192.168.5.1 202.69.101.3
r1(config)#ip nat inside pool np 202.69.101.4 202.69.101.5 255.255.255.0
r1(config)#access-list 100 deny tcp any host 202.69.101.3 eq 21 r1(config)#access-list 100 permit I any any
r1(config)#access-list 1 permit 192.168.1.0 0.0.0.255 r1(config)#access-list 1 permit 192.168.2.0 0.0.0.255 r1(config)#access-list 2 deny 218.47.38.20 r1(config)#access-list 2 permit any
r1(config)#ip nat inside source list 1 pool np overload r1(config)#interface fastethernet 0/0 r1(config-if)#ip nat inside r1(config)#interface serial 4/0 r1(config-if)#ip nat outside r1(config-if)#ip access-group 2 out r1(config-if)#ip access-group 100 in r1(config)#username abc password 7 123
netmark - 26 -
r1(config)#vpdn enable
r1(config)#interface virtual-template 10 r1(config)#ip address 192.168.3.1 255.255.255.0 r1(config-if)#peer default ip address pool aa r1(config-if)#ppp authentication pap
r1(config)#ip local pool aa 192.168.3.10 192.168.3.254 r1(config)# vpdn-group 202 r1(config-vpdn)#accept-dialin r1(config-vpdn-acc-in)#protocol pptp r1(config-vpdn-acc-in)# virtual-template 10
其余交换机上只需划分vlan,把相应端口模式改为trunk即可;R2路由器只需给相应端口配置IP地址;在pc3上搭建三种服务器。 3.6.6项目测试
DHCP:把pc1,pc2以及pc5的ip地址设置为自动获取,发现三台pc均能够获取到ip地址,且可以相互ping通;
FTP,WEB: 用这三台pc访问ftp与web服务器,发现都能访问; 内网主机均可上网:用这三台pcping 外网地址(202.169.11.254),都能ping通;
WEB对内外网服务,FTP只对内网服务:用外网主机(220.169.11.2)访问服务器经过NAT转换后的地址(202.69.101.3),发现可以访问WEB,而不能访问FTP;
子公司可以访问内网:在子公司主机(pc4)上创建VPN连接,使用在R1上配置的用户名密码来连接,发现可以连接上,且可以直接ping通内网地址。 3.6.7小结
- 27 -
这是本次网络工程实习的最后一个项目,应该相对来说更复杂的一个项目,在第三天实习的时候,班上的八个组都没做出来,而且都是卡在了同一个地方。而后弄清楚了出错环节后,对整体的结构有了一定的掌握,终于是把这个实验做完了。
整个实验最为基础的就是实现内网的全网路由,只有在这个基础上,才能完成后续的实验。针对以前出现的错误,我们更为合理的分配VLAN,而不是像以前一样把VLAN,SVI,划分得很乱。做完OSPF的全网路由后,最为主要的还是默认路由的配置,只有配置了默认路由,才能真正的实现全网路由。实验中要注意的是TRUNK口的划分,各VLAN的聚合位置,只要是有VLAN的设备,都要配置 OSPF协议来宣告网段,且都要进行默认路由的配置。在进行访问控制时,针对不能访问某些服务,应该采用ACL的扩展列表,且应该配置在与该服务器最近的设备上。因为几个服务器处公用同一个IP地址,采用的标准的ACL会阻止所有访问的进入,与实验的目的不符,所以现在采用扩展的ACL,能控制具体的某种服务的访问,达到实验目的。实验中的DHCP服务器分配地址,内外网的互相访问都是根据网络拓扑来进行的,所以,实验前一定要做好网络规划,细致到每一个接口,每一个IP。
做完整个网络工程实习,感觉我们都进步了不少,虽然碰到了各种各样的问题,通过整个班的齐心协力也都解决好了。每一个命令都会对交换机起到作用,配置命令写多了,写少了,写错了,都会对达不到预期效果,每一个端口的划分,每一台PC的规划,都是非常重要的,大多调试很久都弄不好错误,可能就出现在设备的连接,IP的规划上,所
- 28 -