大型企业网络配置实验报告完整版

网络配置实验报告

一实验名称... 3

二网络实验功能：... 3

三网络实验设备：... 3

四网络实验环境：... 3

4.1 功能设备使用类型：... 3

4.2 实验网络拓扑示意图：... 4

五网络配置：... 4

5.1 IP统筹规划... 4

5.2 VLAN配置... 4

5.3 NAT转换以及路由配置... 6

5.5 VPN配置... 8

5.6 安全配置... 8

六配置验证：... 8

6.1 基本路由测试... 8

6.2 VLAN验证... 9

6.3 NAT验证... 10

6.4 ACL访问控制验证... 10

6.5 VPN验证... 11

七心得体会：... 11

一实验名称：

大型企业网络设计模拟实验

二网络实验功能：

面对日益突出的信息安全问题，要求系统集成的安全特性已经相当高。对此，我们在保留企业的现有投资的基础上，我们提供了一个全新的三层架构的网络，将原来的二层网络纳入汇聚层。

新网络功能以及设计注意的问题应该如下：

1 新网络能与现有网络兼容；实现三层架构的网络；

2 统筹IP规划；

3 实现按职能划分VLAN；

4 实现访问控制，以保护内部安全；

5 实现NAT转换，以及WEB,FTP的固定IP地址映射；

6 远程网络VPN的接入设计；

7 网络安全防护，如蠕虫的防护，DOS攻击的防护。

三网络实验设备：

锐捷 S-S2126S 两台

锐捷 RG-S3550-24 一台

锐捷 RG-S3760-24 一台

锐捷 RG-R1700 Server 一台

四网络实验环境：

4.1 功能设备使用类型：

核心层：锐捷 RG-S3760-24

汇聚层：锐捷 RG-S3550-24

接入层：锐捷 S-S2126S

出口路由：锐捷 RG-R1700 Server

4.2 实验网络拓扑示意图：

五网络配置：

5.1 IP统筹规划

在本实验中，我们内部网络使用了NAT转换。对外我们使用一个210.10.18.1（255.255.255.0）出口地址。

汇聚层到核心层，使用192.168.5.2/24；

接入层到会聚层，以及用户到接入层，按需使用；实验中我们一共使用四个网络（分别属于不同的VLAN）192.168.4.1/24，192.168.3.1/24，192.168.2.1/24，192.168.1.1/24；

5.2 VLAN配置

第一台 s2126s 上的vlan配置

hostname A //交换机命名

vlan 1 //创建VLAN

name vlan1

vlan 2

name vlan2

int range fastethernet 0/13-24 //进入VLAN配置端口

switchport access vlan 2 switchport access vlan 2 //设计端口的VLAN

interface vlan 1

ip address 192.168.1.1 //设计网络段

interface vlan 2

ip address 192.168.2.1

end

第二台s2126s 上的vlan配置

hostname B //同上

vlan 3 //同上

name vlan3

vlan 4

name vlan3

int range fastethernet 0/2-12 //同上

switchport access vlan 3 switchport access vlan 3 //同上

int range fastethernet 0/13-24 //同上

switchport access vlan 4 switchport access vlan 4 //同上

interface vlan 3

ip address 192.168.3.1

interface vlan 4

ip address 192.168.4.1

end

3550上的VLAN配置

l3switch(config)#int f0/1 //进入端口

20##-12-16 08:31:11 @5-CONFIG:Configured from outband

l3switch(config-if)#switchport mode trunk //设置trunk模式

20##-12-16 08:31:32 @5-CONFIG:Configured from outband

l3switch(config-if)#switchport trunk allowed vlan all //设置允许VLAN

20##-12-16 08:31:46 @5-CONFIG:Configured from outband

l3switch(config-if)#exit

20##-12-16 08:31:50 @5-CONFIG:Configured from outband

l3switch(config)#int f0/2 //进入端口

20##-12-16 08:31:54 @5-CONFIG:Configured from outband

l3switch(config-if)#switchport mode trunk //设置trunk模式

20##-12-16 08:32:02 @5-CONFIG:Configured from outband

l3switch(config-if)#switchport trunk allowed vlan all //设置允许VLAN

20##-12-16 08:32:09 @5-CONFIG:Configured from outband

l3switch(config-if)#end

20##-12-16 08:32:14 @5-CONFIG:Configured from outband

l3switch#show vlan

hostname S3550

vlan 1

name vlan1

vlan 2

name vlan2

vlan 3

name vlan3

vlan 4

name vlan4

interface FastEthernet 0/1

switchport mode trunk

interface FastEthernet 0/2

switchport mode trunk

interface FastEthernet 0/3

no switchport //起用三层路由端口

ip address 192.168.5.2 255.255.255.0

interface Vlan 1 //设置网关

ip address 192.168.1.1 255.255.255.0

interface Vlan 2

ip address 192.168.2.1 255.255.255.0

interface Vlan 3

ip address 192.168.3.1 255.255.255.0

interface Vlan 4

ip address 192.168.4.1 255.255.255.0

router ospf //起用OSPF路由协议

area 0.0.0.4

network 192.168.1.0 255.255.255.0 area 0.0.0.4

network 192.168.2.0 255.255.255.0 area 0.0.0.4

network 192.168.3.0 255.255.255.0 area 0.0.0.4

network 192.168.4.0 255.255.255.0 area 0.0.0.4

network 192.168.5.0 255.255.255.0 area 0.0.0.4

end

5.3 NAT转换以及路由配置

1700A的基本配置：

hostname R1700A

interface fa1/0

ip address 192.168.6.1 255.255.255.0 //设置端口IP

ip nat inside //起用NAT

no shutdown

interface fa1/1

ip address 210.10.18.1 255.255.255.0 //同上

ip nat outside

no shutdown

路由协议配置

ip routing //起用路由

router ospf

network 192.168.6.0 0.0.0.255 area 4

network 210.10.18.0 0.0.0.255 area 0

NAT转换配置

ip nat pool net20 210.10.18.1 210.10.18.1 netmask 255.255.255.0 type rotary

ip nat pool net30 210.10.18.2 210.10.18.2 netmask 255.255.255.0 type rotary

ip nat inside source list 1 pool net20

ip nat inside source list 2 pool net30

access-list 1 permit 192.168.5.0 0.0.0.255

access-list 2 permit 192.168.6.0 0.0.0.255

策略路由配置

access-list 101 permit any gt 1024 any eq www //访问控制列表控制

access-list 101 permit any gt 1024 any eq ftp

route-map pmap permit

match ip address 101

set default interface fa1/0

interface fa1/1

ip policy route-map pmap

5.4 ACL访问控制配置

acl实施：

192.168.4.0网络为财务部

192.168.1.0网络为股东

实施规则：

禁止其他网段访问财务部

允许股东网段访问财务部

实施命令：

在S3550上

##制定访问控制列表

ip access-list standard deny-4

deny 192.168.4.0 0.0.0.255

permit any

##在SVI接口上实施

int vlan 2

ip access-group deny-4 in

int vlan 3

ip access-group deny-4 in

5.5 VPN配置

由于实验不作要求，暂且先不配置。

5.6 安全配置

在3550实施

安全控制：

int f0/3

防止广播风暴

storm-control broadcast

防止未知名地址风暴

storm-control unicast

防止多播

storm-control multicast

指定级数

storm-control level 20

六配置验证：

6.1 基本路由测试

名称测试

version 8.4 (building 15)

hostname R1700A

IP地址配置测试

interface FastEthernet 1/0

ip nat inside

ip address 192.168.5.1 255.255.255.0

duplex auto

speed auto

interface FastEthernet 1/1

ip nat outside

ip address 210.10.18.1 255.255.255.0

duplex auto

speed auto

OSPF协议测试

router ospf

network 210.10.18.0 0.0.0.255 area 0.0.0.0

network 192.168.5.0 0.0.0.255 area 0.0.0.4

access-list测试

access-list 1 permit 192.168.5.0 0.0.0.255

access-list 2 permit 192.168.6.0 0.0.0.255

access-list 101 permit tcp any gt 1024 any eq www

access-list 101 permit tcp any gt 1024 any eq ftp

策略路由测试

R1700A(config)#show route-map pmap

route-map pmap, permit, sequence 10

Match clauses:

ip address 101

Set clauses:

default interface FastEthernet 1/0

Policy routing matches: 0 packets, 0 bytes

内网到外网的测试：

C:\Documents and Settings\Administrator>ping 210.10.18.1

Pinging 210.10.18.1 with 32 bytes of data:

Reply from 210.10.18.1: bytes=32 time<1ms TTL=62

6.2 VLAN验证

第一台 s2126s 上的vlan验证

1 vlan1 active Fa0/1 ,Fa0/2 ,Fa0/3

Fa0/4 ,Fa0/5 ,Fa0/6

Fa0/7 ,Fa0/8 ,Fa0/9

Fa0/10,Fa0/11,Fa0/12

2 vlan2 active Fa0/1 ,Fa0/13,Fa0/14

Fa0/15,Fa0/16,Fa0/17

Fa0/18,Fa0/19,Fa0/20

Fa0/21,Fa0/22,Fa0/23

Fa0/24

第二台 s2126s 上的vlan验证

1 vlan3 active Fa0/1 ,Fa0/2 ,Fa0/3

Fa0/4 ,Fa0/5 ,Fa0/6

Fa0/7 ,Fa0/8 ,Fa0/9

Fa0/10,Fa0/11,Fa0/12

2 vlan4 active Fa0/1 ,Fa0/13,Fa0/14

Fa0/15,Fa0/16,Fa0/17

Fa0/18,Fa0/19,Fa0/20

Fa0/21,Fa0/22,Fa0/23

Fa0/24

3350的vlan验证

S3550#show vlan

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------

1 vlan1 active Fa0/1 ,Fa0/2 ,Fa0/4 ,Fa0/5

Fa0/6 ,Fa0/7 ,Fa0/8 ,Fa0/9

Fa0/10,Fa0/11,Fa0/12,Fa0/13

Fa0/14,Fa0/15,Fa0/16,Fa0/17

Fa0/18,Fa0/19,Fa0/20,Fa0/21

Fa0/22,Fa0/23,Fa0/24

2 vlan2 active Fa0/1 ,Fa0/2

3 vlan3 active Fa0/1 ,Fa0/2

4 vlan4 active Fa0/1 ,Fa0/2

6.3 NAT验证

NAT转换结果显示

ip nat pool net20 210.10.18.1 210.10.18.1 netmask 255.255.255.0 type rotary

ip nat pool net30 210.10.18.2 210.10.18.2 netmask 255.255.255.0 type rotary

ip nat inside source list 1 pool net20

ip nat inside source list 2 pool net30

access-list 1 permit 192.168.5.0 0.0.0.255

access-list 2 permit 192.168.6.0 0.0.0.255

6.4 ACL访问控制验证

ACL验证：

在ip为192.168.1.2主机上测试

C:\Documents and Settings\Administrator>ping 192.168.4.2

Pinging 192.168.4.2 with 32 bytes of data:

Reply from 192.168.4.2: bytes=32 time=1ms TTL=127

Reply from 192.168.4.2: bytes=32 time<1ms TTL=127

Ping statistics for 192.168.4.2:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 1ms, Average = 0ms

在ip为192.168.2.3主机上测试

C:\Documents and Settings\Administrator>ping 192.168.4.2

Pinging 192.168.4.2 with 32 bytes of data:

Request timed out.

Ping statistics for 192.168.4.2:

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

6.5 VPN验证

由于现场的条件限制，以及实验不作要求，我们验证就先不谈！

6.7

七心得体会：

1 本次实验让我们体验了高速实验的配置的速度要求，更加提升了我们的团结合作能力。

2 本次实验我们对设备的配置以及现场演示的能力有了极大的提升。

相关推荐

大型企业网络配置实验报告完整版

二 网络实验功能：

三 网络实验设备：

四 网络实验环境：

4.1 功能设备使用类型：

4.2 实验网络拓扑示意图：

五 网络配置：

5.1 IP统筹规划

5.2 VLAN配置

5.3 NAT转换以及路由配置

5.5 VPN配置

5.6 安全配置

六 配置验证：

6.1 基本路由测试

6.2 VLAN验证

6.3 NAT验证

6.4 ACL访问控制验证

6.5 VPN验证

七 心得体会：

专栏推荐

二网络实验功能：

三网络实验设备：

四网络实验环境：

五网络配置：

六配置验证：

七心得体会：