网络规划实例(二)

标签: 路由与交换技术

一、需求分析

模拟器:Cisco Packet Tracer 版本 5.3.3.0019
某公司的网络拓扑结构如下图所示,每个部门属于一个VLAN。我们需要在二层交换机上配置端口安全,并且在三层交换机上配置安全策略和流量控制,只允许高管部可以访问财务部。另外外网也可以访问公司的web服务器和FTP服务器,最后不允许外网用户ping出口路由器

二、网络拓扑结构

在这里插入图片描述

三、 ip地址规划设计

部门 ip地址 网关 VLAN
财务部 172.16.10.0/24网段 172.16.10.1 10
研发部 172.16.20.0./24网段 172.16.20.1 20
高管部 172.16.30.0/24网段 172.16.30.1 30
信息中心 172.16.127.0/24网段 172.16.172.1 127

四、主要设备配置方案

1.三层交换机

①开启路由功能,创建相应的SVI接口

vlan间通信可以使用单臂路由或者SVI虚拟交换接口, 因为单臂路由有带宽限制和单点故障问题,所以用的更多的是SVI虚拟交换接口,来让不同VLAN间通信。SVI要用三层交换机。每个VLAN都有且仅有一个SVI口,在SVI口上配置IP,终端的的网关指向三层交换机上本VLAN的IP地址。

Switch(config)#ip routing   //开启路由功能
    
Switch(config)#vlan 10
%LINK-5-CHANGED: Interface Vlan10, changed state to up
Switch(config-vlan)#exit
Switch(config)#int vlan 10
Switch(config-if)#ip add 172.16.10.1 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#exit
    
Switch(config)#vlan 20
Switch(config-vlan)#exit
Switch(config)#int vlan 20 
%LINK-5-CHANGED: Interface Vlan20, changed state to up
Switch(config-if)#ip add 172.16.20.1 255.255.255.0
Switch(config-if)#no shut 
Switch(config-if)#exit
    
Switch(config)#vlan 30
Switch(config-vlan)#exit
Switch(config)#int vlan 30 
Switch(config-if)#
%LINK-5-CHANGED: Interface Vlan30, changed state to up
Switch(config-if)#ip add 172.16.30.1 255.255.255.0 
Switch(config-if)#no shut     
Switch(config-if)#exit
    
Switch(config)#vlan 127
Switch(config-vlan)#exit
Switch(config)#int vlan 127
Switch(config-if)#
%LINK-5-CHANGED: Interface Vlan127, changed state to up
Switch(config-if)#ip add 172.16.127.1 255.255.255.0 
Switch(config-if)#no shut
Switch(config-if)#exit
Switch(config)#

②设置连接路由器的Fa0/5接口为三层接口

Switch>enable
Switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#interface FastEthernet0/5
Switch(config-if)#no switchport 
Switch(config-if)#ip add 172.16.40.1 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#exit
Switch(config)#
Switch#

③ 与二层交换机直接相连的接口封装dot1q协议,设为trunk链路 ,允许多个vlan通过

Switch(config)#int range fa 0/1-4
Switch(config-if-range)#switchport mode trunk
Switch(config-if-range)#switchport trunk encapsulation dot1q
Switch(config-if-range)#exit
Switch(config)#

④设置访问控制列表ACL,并应用到vlan 10

此处设置的是扩展访问列表,其实用标准访问控制列表也可以,用以限制财务部和高管部之外的部门通信。

switch(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 172.16.30.0 0.0.0.255
switch(config)#access-list 100 deny ip any any
switch(config)#int vlan 10
switch(config-if)#ip acc
switch(config-if)#ip access-group 100 in
switch(config-if)#exit
switch(config)#
switch#

⑤使用OSPF协议来进行路由的更新汇总

Switch(config)#router ospf 1
Switch(config-router)#network 172.16.10.0 0.0.0.255 area 0
Switch(config-router)#network 172.16.20.0 0.0.0.255 area 0
Switch(config-router)#network 172.16.30.0 0.0.0.255 area 0
Switch(config-router)#network 172.16.127.0 0.0.0.255 area 0
Switch(config-router)#network 172.16.40.0 0.0.0.255 area 0
Switch(config-router)#exit
Switch(config)#

⑥根据MAC地址限制端口流量

//通过MAC地址来限制端口流量,此配置允许一TRUNK口最多通过100个MAC地址,超过100时,但来自新的主机的数据帧将丢失。
switch(config)#int fa 0/1
switch(config-if)#switchport port-security maximum 50  //允许此端口通过的最大MAC地址数目为50。
switch(config-if)#switchport port-security violation protect
//当主机MAC地址数目超过50时,交换机继续工作,但来自新的主机的数据帧将丢失。

switch(config)#int fa 0/2
switch(config-if)#switchport port-security maximum 50
switch(config-if)#switchport port-security violation protect

switch(config)#int fa 0/3
switch(config-if)#switchport port-security maximum 50
switch(config-if)#switchport port-security violation protect

2.路由器Router 0

① 做napt地址转换

Router(config)#ip nat pool to-internet 200.200.100.1  200.200.100.1 netmask 255.255.255.0
//定义地址池

Router0(config)#access-list 1 permit 172.16.10.0 0.0.0.255     		  //定义允许转换地址
Router0(config)#access-list 2 permit 172.16.20.0 0.0.0.255
Router0(config)#access-list 3 permit 172.16.30.0 0.0.0.255
Router0(config)#access-list 4 permit 172.16.127.0 0.0.0.255

Router0(config)#ip nat inside source list 1 pool to-internet overload  //为内部本地调用转换地址池
Router0(config)#ip nat inside source list 2 pool to-internet overload
Router0(config)#ip nat inside source list 3 pool to-internet overload
Router0(config)#ip nat inside source list 4 pool to-internet overload
//端口映射,将我们拥有的公网ip的80端口、21端口分别映射给两台服务器
Router0(config)#ip nat inside source static tcp 172.16.127.2 80 200.200.100.1 80
Router0(config)#ip nat inside source static tcp 172.16.127.3 21 200.200.100.1 21

Router0(config)#int fa 0/0						 //定义内部接口
Router0(config-if)#ip nat inside
Router0(config-if)#exit

Router0(config)#int fa 0/1						 //定义外部接口
Router0(config-if)#ip nat outside
Router0(config-if)#exit
Router0(config)#

②使用OSPF动态路由协议来进行路由的更新汇总

Router0(config)#router ospf 1
Router0(config-router)#network 172.16.40.0 0.0.0.255 area 0
Router0(config-router)#network 200.200.100.0 0.0.0.255 area 0

③设置访问控制列表,不允许外网设备ping路由器外网出口

Router0(config)#access-list 100 deny icmp any any echo
Router0(config)#access-list 100 permit ip any any
Router0(config)#int fa 0/1 
Router0(config-if)#ip access-group 100 in
Router0(config-if)#exit
Router0(config)#

3.路由器Router 1

①使用OSPF动态路由协议来进行路由的更新汇总

Router1(config)#router ospf 1
Router1(config-router)#network 200.200.100.0 0.0.0.255 area 0
Router1(config-router)#network 172.18.10.0 0.0.0.255 area 0
Router1(config-router)#exit
Router1(config)#

②NAPT转换

Router(config)#access-list 1 permit 172.18.10.0 0.0.0.255
Router(config)#ip nat pool to-internet 200.200.100.2 200.200.100.2 netmask 255.255.255.0 
Router(config)#ip nat inside source list 1 pool to-internet overload
Router(config)#int fa 0/0
Router(config-if)#ip nat inside
Router(config-if)#exit
Router(config)#int fa 0/1 
Router(config-if)#ip nat outside 
Router(config-if)#exit

4.二层交换机

在每个二层交换机上创建相应的vlan,并将端口加入到vlan中

①switch0 vlan 10

Switch0(config)#vlan 10
Switch0(config-vlan)#exit
Switch0(config)#int range fa 0/1-2
Switch0(config-if-range)#switchport mode access
Switch0(config-if-range)#switchport access  vlan 10
Switch0(config-if-range)#exit
Switch0(config)#

②switch 1 vlan 20

Switch1(config)#vlan 20
Switch1(config-vlan)#exit
Switch1(config)#int range fa 0/1-2
Switch1(config-if-range)#switchport mode access
Switch1(config-if-range)#switchport access  vlan 20
Switch1(config-if-range)#exit
Switch1(config)#

③switch 2 vlan 30

Switch2(config)#vlan 30
Switch2(config-vlan)#exit
Switch2(config)#int range fa 0/1-2
Switch2(config-if-range)#switchport mode access
Switch2(config-if-range)#switchport access vlan 30
Switch2(config-if-range)#exit
Switch2(config)#

④switch 3 vlan 127

Switch3(config)#vlan 127
Switch3(config-vlan)#exit
Switch3(config)#int range fa 0/1-2
Switch3(config-if-range)#switchport mode access
Switch3(config-if-range)#switchport access vlan 127
Switch3(config-if-range)#exit
Switch3(config)#

将端口与MAC地址绑定

//交换机switch0
Switch0(config)#int range fa 0/1-2
Switch0(config-if-range)#switchport port-security  //打开端口安全模式
Switch0(config-if-range)#switchport port-security violation restrict
//设置在检测到安全违规时要采取的措施,在端口安全进程级别丢弃来自不安全主机的所有数据包,并增加安全违规计数。
	
Switch0(config-if-range)#switchport port-security mac-address sticky
//黏性可靠的MAC地址绑定,会自动学习第一次连接设备的MAC地址,并与该端口进行绑定
Switch0(config-if-range)#exit
Switch0(config)#exit
//注意:这里可以先ping本交换机相连的另一个主机,这样才会学习到相连端口设备的MAC地址,进而才会自动绑定
//否则下表不会显示绑定有关信息
switch0# show port-security address     //查看端口绑定信息

					Secure Mac Address Table 
---------------------------------------------------------------------------------
Vlan	Mac Address 		Type			Ports 				Remaining Age
																(mins)
----	-----------			-----------		---------------		  -------------
10		0001.9753.07E6		SecureSticky	FastEthernet 0/1		   -
10		0005.5E80.674B		SecureSticky	FastEthernet0/2		       -	
---------------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)		:0
Max Addresses limit in System (excluding one mac per port)   : 1024
switch0# 


//交换机switch1

switch1(config)#int  range fa 0/1-2
switch1(config-if-range)#switchport-s
switch1(config-if-range)#switchport port
switch1(config-if-range)#switchport port-security 
switch1(config-if-range)#switchport port-security violation restrict
switch1(config-if-range)#switchport port-security mac-address sticky
switch1(config-if-range)#exit
switch1(config)#exit
//注意:这里可以先ping本交换机相连的另一个主机,这样才会学习到相连端口设备的MAC地址,进而才会自动绑定
//否则下表不会显示绑定有关信息
switch1# show port-security address     //查看端口绑定信息

					Secure Mac Address Table 
---------------------------------------------------------------------------------
Vlan	Mac Address 		Type			Ports 				Remaining Age
																(mins)
----	-----------			-----------		---------------		  -------------
20		00E0.A369.CCA9		SecureSticky	FastEthernet0/1				-
20		0007.ECC1.0B62		SecureSticky	FastEthernet0/2				-
---------------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)		:0
Max Addresses limit in System (excluding one mac per port)   : 1024
switch1# 


//交换机switch2

switch2(config)#int range fa 0/1-2
switch2(config-if-range)#switchport port-security 
switch2(config-if-range)#switchport port-security violation restrict
switch2(config-if-range)#switchport port-security mac-address sticky
switch2(config-if-range)#exit
switch2(config)#exit
//注意:这里可以先ping本交换机相连的另一个主机,这样才会学习到相连端口设备的MAC地址,进而才会自动绑定
//否则下表不会显示绑定有关信息
switch2# show port-security address     //查看端口绑定信息

					Secure Mac Address Table 
---------------------------------------------------------------------------------
Vlan	Mac Address 		Type			Ports 				Remaining Age
																(mins)
----	-----------			-----------		---------------		  -------------
30		00E0.F7EE.1A8D		SecureSticky	FastEthernet0/1				-
30		0010.11C0.E382		SecureSticky	FastEthernet0/2				-
---------------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)		:0
Max Addresses limit in System (excluding one mac per port)   : 1024
switch2# 



//交换机switch3

switch3(config)#int range fa 0/1-2
switch3(config-if-range)#switchport po
switch3(config-if-range)#switchport port-security 
switch3(config-if-range)#switchport port-security violation restrict
switch3(config-if-range)#switchport port-security mac-address sticky
switch3(config-if-range)#exit
switch3(config)#exit
//注意:这里可以先ping本交换机相连的另一个主机,这样才会学习到相连端口设备的MAC地址,进而才会自动绑定
//否则下表不会显示绑定有关信息
switch3# show port-security address     //查看端口绑定信息

					Secure Mac Address Table 
---------------------------------------------------------------------------------
Vlan	Mac Address 		Type			Ports 				Remaining Age
																(mins)
----	-----------			-----------		---------------		  -------------
127		0030.F228.3956		SecureSticky	FastEthernet0/1				-	
127		0003.E492.B354		SecureSticky	FastEthernet0/2				-
---------------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)		:0
Max Addresses limit in System (excluding one mac per port)   : 1024
switch3# 


5、网络测试

①napt转换测试

//先用内网pc 172.16.20.2  ping 外网的200.200.100.2,然后查看地址转换表
Router0#show ip nat translations 
Pro  Inside global     Inside local       Outside local      Outside global
icmp 200.200.100.1:9   172.16.20.2:9      200.200.100.2:9    200.200.100.2:9
Router0#

②外网ping路由器外网出口测试

ping不通,ACL生效

Router1#ping 200.200.100.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.200.100.1, timeout is 2 seconds:
UUUUU
Success rate is 0 percent (0/5)

Router1#

③财务部访问权限测试

//研发部ping财务部,不可以通信
PC>ping 172.16.10.2
Pinging 172.16.10.2 with 32 bytes of data:
Request timed out.
Request timed out .
Request timed out .
Request timed out .
Ping statistics for 172. 16.10.2:
Packets: Sent = 4Received = 0Lost = 4 (100 % loss) ,
PC>

//高管部ping财务部,可以通信
PC>ping 172. 16.10.2
Pinging 172.16.10.2 with 32 bytes of data:
Reply from 1 72.16.10.2: bytes=32 time=18ms TTL=127
Reply from 172.16.10.2: bytes=32 time=13ms TTL=127
Reply from 172.16.10.2: bytes=32 time=14ms TTL=127
Reply from 172.16. 10.2: bytes=32 time=18ms TTL=127
Ping statistics for 172.16.10.2:
Packets: Sent = 4Received = 4Lost = 0 (0% loss)Approximate round trip times in mill i- seconds :
Minimum = 1 3ms, Maximum = 1 8ms,Average = 1 5ms
PC>

④端口安全测试

//更改PC的MAC地址后,发现无法与其它设备进行通信,端口安全起作用,丢弃了数据包

⑤内部访问WEB、FTP服务器测试

//WEB、DNS服务测试
Web Browser
   <    >   URL  http: //www.test.com/index.html                    Go    Stop
                               Cisco Packet Tracer 
Welcome to Cisco Packet Tracer. Opening doors to new opportunities. Mind Wide Open.
Quick Links:
A sma11 paze
Copyri shts
Image page
Image

//FTP服务测试

PC>ftp 172.16.127.3
Trying to connect. . .172.16.127.3
Connected to 172.16.127 .3
220- Welcome to PT Ftp server
Username: cisco
331- Username ok,
need password
Password:
230- Logged in
(passive mode On)
ftp>dir
Listing /ftp directory from 172. 16.127.3:
0	: c1841 -advipservicesk9-mz.124-15.T1 .bin		 33591768
1	: c1841 -ipbase-mz.123-14.T7.bin				13832032
2	: c1841- ipbasek9-mz.124-12.bin					16599160
ftp>

⑥外部访问WEB、FTP服务器测试

//WEB、DNS服务测试
Web Browser
   <    >   URL  http: //www.test.com/index.html                    Go    Stop
                               Cisco Packet Tracer 
Welcome to our company 
Quick Links:
A sma11 paze
Copyri shts
Image page
Image

//FTP服务测试

PC>ftp ftp.test.com
Trying to connect. . .ftp.test.com
Connected to 172.16.127 .3
220- Welcome to PT Ftp server
Username: cisco
331- Username ok,
need password
Password:
230- Logged in
(passive mode On)
ftp>
版权声明:本文为xiaohaiguang原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaohaiguang/article/details/106943221

智能推荐

循环

与任何程序设计语言一样Java利用条件语句与循环结构确定流程控制,一下总结一下Java中的循环语句: while do while for switch 对于golang来说: switch非常灵活。从第一个expr为true的case开始执行,如果case带有fallthrough,程序会继续执行下一条case,不会再判断下一条case的expr,如果之后的case都有fallthrough,d...

1638 统计只差一个字符的子串数目(动态规划)

1. 问题描述: 给你两个字符串 s 和 t ,请你找出 s 中的非空子串的数目,这些子串满足替换一个不同字符以后,是 t 串的子串。换言之,请你找到 s 和 t 串中恰好只有一个字符不同的子字符串对的数目。比方说, "computer" 和 "computation"...

websocket基本原理

HTTP中一个request只能有一个response。而且这个response也是被动的,不能主动发起 因此过去的服务端推送信息是通过客户端不停的轮询实现的 websocket是双向通信协议,提供了服务端主动推送信息的能力 需要客户端(浏览器)和服务端同时支持 如果经过代理的话,还需要代理支持,否则有些代理在长时间无通信时会自动切断连接 因此WS为了保证连接不被断掉,会发心跳 WebSocket...

mybatis+ehcache二级缓存

导入jar包 mapper.xml文件开启二级缓存 pojo类实现序列化接口 配置ehcache.xml 测试...

python+opencv实现图像拼接

任务 拍摄两张图片去除相同部分,拼接在一起 原图 结果 步骤 读取两张图片 使用sift检测关键点及描述因子 匹配关键点 处理并保存关键点 得到变换矩阵 图像变换并拼接 代码实现 扩展 这里对右边图像进行变换,右边变得模糊,可以修改代码对左边图像变换 这里只有两张图片拼接,可以封装实现多张图片拼接 可以修改代码实现上下图片的拼接...

猜你喜欢

python_sklearn机器学习算法系列之AdaBoost------人脸识别(PCA,决策树)

          注:在读本文之前建议读一下之前的一片文章python_sklearn机器学习算法系列之PCA(主成分分析)------人脸识别(k-NearestNeighbor,KNN)         本文主要目的是通过一个简单的小...

memmove函数与memcpy函数的模拟实现

memmove函数和memcpy函数都是在内存复制任意类型的,但是它俩也有区别。当源区域和目标区域有重复的,memmove函数会复制缓冲区重叠的部分,而memcpy相反,会报出未知错误。 下面给出两个函数的实现 首先,memmove函数。 实现的基本原理如下图。 具体代码如下: memcpy函数的实现很简单,就直接给出源代码了...

SpringFramework核心 - IOC容器的实现 - 总结

1. 概述 把Spring技术内幕第一章和第二章过了一遍,也做了一些笔记, 对IOC容器的实现有了一定皮毛理解,现在跟着源码再过一遍总结一下IOC容器的初始化,Bean的初始化的过程,做一下总结 ① IOC容器和简单工厂模式 在开始之前,先想想我们平时是怎么使用IOC容器为我们管理Bean的,假设我们要把下面的User类交给IOC容器管理 我们不想关心如何创建一个User对象实例的,仅仅在需要他的...

Python和Django的安装

个人博客导航页(点击右侧链接即可打开个人博客):大牛带你入门技术栈  一、下载并安装Python Python 官方下载地址:http://www.python.org/ftp/python/ 我们这里选择的是 Python 2.7.2 。虽然目前最新版是Python 3.2.2, 但是Django目前还不支持 Python 3.2.2。 安装步骤很简单,双击安装包开...