大型企业网络配置实验报告完整版

　网络配置实验报告

　 TOC \o "1-3" \h \z \u 一 实验名称 3

　 二 网络实验功能： 3

　 三 网络实验设备： 3

　 四 网络实验环境： 3

　 4.1 功能设备使用类型： 3

　 4.2 实验网络拓扑示意图： 4

　 五 网络配置： 4

　 5.1 IP统筹规划 4

　 5.2 VLAN配置 4

　 5.3 NAT转换以及路由配置 6

　 5.5 VPN配置 8

　 5.6 安全配置 8

　 六 配置验证： 8

　 6.1 基本路由测试 8

　 6.2 VLAN验证 9

　 6.3 NAT验证 10

　 6.4 ACL访问控制验证 10

　 6.5 VPN验证 11

　 七 心得体会： 11

　一 实验名称：

　大型企业网络设计模拟实验

　二 网络实验功能：

　面对日益突出的信息安全问题，要求系统集成的安全特性已经相当高。对此，我们在保留企业的现有投资的基础上，我们提供了一个全新的三层架构的网络，将原来的二层网络纳入汇聚层。

　新网络功能以及设计注意的问题应该如下：

　1 新网络能与现有网络兼容；实现三层架构的网络；

　2 统筹IP规划；

　3 实现按职能划分VLAN；

　4 实现访问控制，以保护内部安全；

　5 实现NAT转换，以及WEB,FTP的固定IP地址映射；

　6 远程网络VPN的接入设计；

　7 网络安全防护，如蠕虫的防护，DOS攻击的防护。

　三 网络实验设备：

　锐捷 S-S2126S 两台

　锐捷 RG-S3550-24 一台

　锐捷 RG-S3760-24 一台

　锐捷 RG-R1700 Server 一台

　四 网络实验环境：

　4.1 功能设备使用类型：

　核心层： 锐捷 RG-S3760-24

　汇聚层： 锐捷 RG-S3550-24

　接入层： 锐捷 S-S2126S

　出口路由： 锐捷 RG-R1700 Server

　4.2 实验网络拓扑示意图：

　五 网络配置：

　5.1 IP统筹规划

　 在本实验中，我们内部网络使用了NAT转换。对外我们使用一个（）出口地址。

　汇聚层到核心层， 使用/24；

　接入层到会聚层，以及用户到接入层，按需使用；实验中我们一共使用四个网络（分别属于不同的VLAN）/24，/24，/24，/24；

　5.2 VLAN配置

　第一台 s2126s 上的vlan配置

　hostname A //交换机命名

　vlan 1 //创建VLAN

　 name vlan1

　vlan 2

　 name vlan2

　int range fastethernet 0/13-24 //进入VLAN配置端口

　switchport access vlan 2 switchport access vlan 2 //设计端口的VLAN

　interface vlan 1

　ip address //设计网络段

　interface vlan 2

　ip address

　end

　第二台s2126s 上的vlan配置

　hostname B //同上

　vlan 3 //同上

　 name vlan3

　vlan 4

　 name vlan3

　int range fastethernet 0/2-12 //同上

　switchport access vlan 3 switchport access vlan 3 //同上

　int range fastethernet 0/13-24 //同上

　switchport access vlan 4 switchport access vlan 4 //同上

　interface vlan 3

　ip address

　interface vlan 4

　ip address

　end

　3550上的VLAN配置

　l3switch(config)#int f0/1 //进入端口

　2006-12-16 08:31:11 @5-CONFIG:Configured from outband

　l3switch(config-if)#switchport mode trunk //设置trunk模式

　2006-12-16 08:31:32 @5-CONFIG:Configured from outband

　l3switch(config-if)#switchport trunk allowed vlan all //设置允许VLAN

　2006-12-16 08:31:46 @5-CONFIG:Configured from outband

　l3switch(config-if)#exit

　2006-12-16 08:31:50 @5-CONFIG:Configured from outband

　l3switch(config)#int f0/2 //进入端口

　2006-12-16 08:31:54 @5-CONFIG:Configured from outband

　l3switch(config-if)#switchport mode trunk //设置trunk模式

　2006-12-16 08:32:02 @5-CONFIG:Configured from outband

　l3switch(config-if)#switchport trunk allowed vlan all //设置允许VLAN

　2006-12-16 08:32:09 @5-CONFIG:Configured from outband

　l3switch(config-if)#end

　2006-12-16 08:32:14 @5-CONFIG:Configured from outband

　l3switch#show vlan

　hostname S3550

　vlan 1

　 name vlan1

　vlan 2

　 name vlan2

　vlan 3

　 name vlan3

　vlan 4

　 name vlan4

　interface FastEthernet 0/1

　 switchport mode trunk

　interface FastEthernet 0/2

　 switchport mode trunk

　interface FastEthernet 0/3

　 no switchport //起用三层路由端口

　 ip address

　interface Vlan 1 //设置网关

　 ip address

　interface Vlan 2

　 ip address

　interface Vlan 3

　 ip address

　interface Vlan 4

　 ip address

　router ospf //起用OSPF路由协议

　area

　network area

　network area

　network area

　network area

　network area

　end

　5.3 NAT转换以及路由配置

　1700A的基本配置：

　hostname R1700A

　interface fa1/0

　ip address //设置端口IP

　ip nat inside //起用NAT

　no shutdown

　interface fa1/1

　ip address //同上

　ip nat outside

　no shutdown

　路由协议配置

　ip routing //起用路由

　router ospf

　network 55 area 4

　network 55 area 0

　NAT转换配置

　ip nat pool net20 netmask type rotary

　ip nat pool net30 netmask type rotary

　ip nat inside source list 1 pool net20

　ip nat inside source list 2 pool net30

　access-list 1 permit 55

　access-list 2 permit 55

　策略路由配置

　access-list 101 permit any gt 1024 any eq www //访问控制列表控制

　access-list 101 permit any gt 1024 any eq ftp

　route-map pmap permit

　match ip address 101

　set default interface fa1/0

　interface fa1/1

　ip policy route-map pmap

　5.4 ACL访问控制配置

　acl实施：

　网络为财务部

　网络为股东

　实施规则：

　禁止其他网段访问财务部

　允许股东网段访问财务部

　实施命令：

　在S3550上

　##制定访问控制列表

　ip access-list standard deny-4

　 deny 55

　 permit any

　##在SVI接口上实施

　int vlan 2

　ip access-group deny-4 in

　int vlan 3

　ip access-group deny-4 in

　5.5 VPN配置

　由于实验不作要求，暂且先不配置。

　5.6 安全配置

　在3550实施

　安全控制：

　int f0/3

　防止广播风暴

　 storm-control broadcast

　防止未知名地址风暴

　 storm-control unicast

　防止多播

　 storm-control multicast

　指定级数

　storm-control level 20

　六 配置验证：

　6.1 基本路由测试

　名称测试

　version 8.4 (building 15)

　hostname R1700A

　!

　IP地址配置测试

　interface FastEthernet 1/0

　 ip nat inside

　 ip address

　 duplex auto

　 speed auto

　!

　interface FastEthernet 1/1

　 ip nat outside

　 ip address

　 duplex auto

　 speed auto

　OSPF协议测试

　router ospf

　 network 55 area

　 network 55 area

　!

　access-list测试

　access-list 1 permit 55

　access-list 2 permit 55

　access-list 101 permit tcp any gt 1024 any eq www

　access-list 101 permit tcp any gt 1024 any eq ftp

　!

　策略路由测试

　R1700A(config)#show route-map pmap

　route-map pmap, permit, sequence 10

　 Match clauses:

　 ip address 101

　 Set clauses:

　 default interface FastEthernet 1/0

　 Policy routing matches: 0 packets, 0 bytes

　!

　内网到外网的测试：

　C:\Documents and Settings\Administrator>ping

　Pinging with 32 bytes of data:

　Reply from : bytes=32 time<1ms TTL=62

　Reply from : bytes=32 time<1ms TTL=62

　Reply from : bytes=32 time<1ms TTL=62

　Reply from : bytes=32 time<1ms TTL=62

　6.2 VLAN验证

　第一台 s2126s 上的vlan验证

　1 vlan1 active Fa0/1 ,Fa0/2 ,Fa0/3

　 Fa0/4 ,Fa0/5 ,Fa0/6

　 Fa0/7 ,Fa0/8 ,Fa0/9

　 Fa0/10,Fa0/11,Fa0/12

　2 vlan2 active Fa0/1 ,Fa0/13,Fa0/14

　 Fa0/15,Fa0/16,Fa0/17

　 Fa0/18,Fa0/19,Fa0/20

　 Fa0/21,Fa0/22,Fa0/23

　 Fa0/24

　第二台 s2126s 上的vlan验证

　1 vlan3 active Fa0/1 ,Fa0/2 ,Fa0/3

　 Fa0/4 ,Fa0/5 ,Fa0/6

　 Fa0/7 ,Fa0/8 ,Fa0/9

　 Fa0/10,Fa0/11,Fa0/12

　2 vlan4 active Fa0/1 ,Fa0/13,Fa0/14

　 Fa0/15,Fa0/16,Fa0/17

　 Fa0/18,Fa0/19,Fa0/20

　 Fa0/21,Fa0/22,Fa0/23

　 Fa0/24

　3350的vlan验证

　S3550#show vlan

　VLAN Name Status Ports

　1 vlan1 active Fa0/1 ,Fa0/2 ,Fa0/4 ,Fa0/5

　 Fa0/6 ,Fa0/7 ,Fa0/8 ,Fa0/9

　 Fa0/10,Fa0/11,Fa0/12,Fa0/13

　 Fa0/14,Fa0/15,Fa0/16,Fa0/17

　 Fa0/18,Fa0/19,Fa0/20,Fa0/21

　 Fa0/22,Fa0/23,Fa0/24

　2 vlan2 active Fa0/1 ,Fa0/2

　3 vlan3 active Fa0/1 ,Fa0/2

　4 vlan4 active Fa0/1 ,Fa0/2

　6.3 NAT验证

　NAT转换结果显示

　ip nat pool net20 netmask type rotary

　ip nat pool net30 netmask type rotary

　ip nat inside source list 1 pool net20

　ip nat inside source list 2 pool net30

　access-list 1 permit 55

　access-list 2 permit 55

　!

　6.4 ACL访问控制验证

　ACL验证：

　在ip为主机上测试

　C:\Documents and Settings\Administrator>ping

　Pinging with 32 bytes of data:

　Reply from : bytes=32 time=1ms TTL=127

　Reply from : bytes=32 time<1ms TTL=127

　Reply from : bytes=32 time<1ms TTL=127

　Reply from : bytes=32 time<1ms TTL=127

　Ping statistics for :

　 Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

　Approximate round trip times in milli-seconds:

　 Minimum = 0ms, Maximum = 1ms, Average = 0ms

　在ip为主机上测试

　C:\Documents and Settings\Administrator>ping

　Pinging with 32 bytes of data:

　Request timed out.

　Request timed out.

　Request timed out.

　Request timed out.

　Ping statistics for :

　 Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

　6.5 VPN验证

　由于现场的条件限制，以及实验不作要求，我们验证就先不谈！

　6.7

　七 心得体会：

　1 本次实验让我们体验了高速实验的配置的速度要求，更加提升了我们的团结合作能力。

　2 本次实验我们对设备的配置以及现场演示的能力有了极大的提升。