四、实训拓扑图
五、实训内容
⑴制作跳线
制作直通线与交叉线。
⑵公司局域网部分
1、公司内部根据部门划分三个VLAN,管理部为VLAN2,财务部为VLAN3,普通部门为VLAN4。
2、禁止财务部与普通部门PING通管理部。
3、允许管理部PING通财务部,禁止普通部门PING通财务部。
4、为管理部、财务部、普通部门配置自动分配IP地址,网关,域名服务器。
5、允许所有部门访问DNS服务器。
6、允许管理部访问任何网站,FTP。
7、禁止财务部访问互联网WWW服务器(10.10.1 .1),可访问FTP服务器(10.10.1.1)。
8、禁止普通部门访问互联网FTP服务器(10.10.1 .1),可访问WWW服务器(10.10.1.1)。
9、配置R1为DCE。
10、配置默认路由。
11、动态NAT。
12、VLAN间路由。
⑶互联网部分
1、 配置静态路由。
2、 WINDOWS 2003 SERVER安装DNS、WWW、FTP。
六、实训过程
⑴制作跳线
直连线顾名思义两个端口的连线是一一对应的,两个水晶头的线色按照从左到右的顺序是:橙白、橙、绿白、蓝、蓝白、绿、棕白、棕。而交叉线只有一头是按照橙白、橙、绿白、蓝、蓝白、绿、棕白、棕的方式连接的,而另外一头是按照绿白、绿、橙白、蓝、蓝白、橙、棕白、棕的方式连接的,就是说1和3的线对调,2和6的线对调了,所以称为交叉网线。
⑵公司局域网部分
1、配置好各网络设备接口IP地址。
2、公司内部根据部门划分三个VLAN,管理部为VLAN2,财务部为VLAN3,普通部门为VLAN4。
在3350交换机上分别创建VLAN2、3、4,并分别配置IP地址为192.168.1.254、192.168.2.254、192.168.3.254。
以下以创建VLAN2为例,其他以此类推。
#vlan database
//以上进入VLAN配置模式
(vlan)# vlan 2
//以上创建vlan2
分别将f0/1、f0/5、f0/10加入到vlan2、vlan3、vlan4
以下以f0/1加入vlan2为例,其他以此类推。
(config)#int f0/1
(config-if)#switch mode access
//以上将交换机端口改为access模式,说明该端口用于连接计算机,而不是用于Trunk.
(config-if)#switch access vlan 2
//以上将端口f0/1加入到vlan2中
(config-if)#no shut
//以上重启端口
(config)#int vlan2
//进入vlan2端口
(config-if)#ip address 192.168.1.254 255.255.255.0
//为vlan2端口配置IP地址
(config-if)#no shut
3550交换机上创建完VLAN后,还需在下一层各2950交换机上创建与之相对应的VLAN,因不匹配将无法通信。
三台交换机均用端口f0/1分别与3550上的f0/1、f0/5、f0/10连接,且用各自的f0/8与PC机连接。
以下以switch1为例,创建与之相对应的vlan2,并把f0/1与f0/8加入到vlan2中,其他以此类推。
#vlan database
(vlan)#vlan 2
//创建vlan2
(config)#int f0/1
(config-if)#switch mode access
(config-if)#switch access vlan 2
(config-if)#no shut
//以上f0/1加入到vlan2
(config)#int f0/8
(config-if)#switch mode access
(config-if)#switch access vlan 2
(config-if)#no shut
//以上f0/8加入到vlan2
2、禁止财务部与普通部门PING通管理部。
创建ACL规则
(config)#access-list 108 deny icmp 192.168.1.0 0.0.0 .255 192.168.2.0 0.0.0.255 echo-reply
(config)#access-list 108 deny icmp 192.168.1.0 0.0.0 .255 192.168.3.0 0.0.0.255 echo-reply
//以上当192.168.2.0与192.168.3.0向192.168.1.0发PING包时,将拒绝响应PING包。
(config)#access-list 108 permit ip any any
//以上为允许响应其他PING包。
应用ACL规则
(config)#int f0/1
//以上进入vlan2所在端口
(config-if)#ip access-group 108 in
//以上为些端口应用ACL规则
(config-if)#no shut
3、 允许管理部PING通财务部,禁止普通部门PING通财务部。
创建ACL规则
(config)#access-list 109 deny icmp 192.168.2.0 0.0.0 .255 192.168.3.0 0.0.0.255 echo-reply
(config)#access-list 109 permit ip any any
应用ACL规则
(config)#int f0/5
(config-if)#ip access-group 109 in
(config-if)#no shut
4、为管理部、财务部、普通部门配置自动分配IP地址,网关,域名服务器。
3550交换上设置DHCP
以下以创建vlan2(192.168.1.0)DHCP为例,其他vlan以此类推。
(config)#servie dhcp
//开启DHCP
(config)#ip dhcp pool vlan2-dhcp-pool
//定义地址池,名称为vlan2-dhcp-pool
(dhcp-config)#network 192.168.1.0/24
//DHCP分配的网络和掩码
(dhcp-config)#default-router 192.168.1.254
//分配默认网关
(dhcp-config)#dns-server 10.10.1 .1
//分配DNS服务器, 10.10.1 .1为互联网上的DNS服务器.
(dhcp-config)#ip dhcp excluded-address 192.168.1.1 192.168.1.5
//排除地址段
(dhcp-config)#exit
4、 允许所有部门访问DNS服务器。允许管理部访问任何网站,FTP。禁止财务部访问互联网WWW服务器(10.10.1 .1),可访问FTP服务器(10.10.1.1)。禁止普通部门访问互联网FTP服务器(10.10.1 .1),访问指定WWW服务器(10.10.1.1)。
创建ACL规则
(config)#access-lit 110 permit udp any any eq 23
//所有部门均可访问DNS
(config)#access-lit 110 permit tcp 192.168.1.0 any eq ftp
//允许192.168.1.0网段计算机访问任何FTP服务器
(config)#access-lit 110 permit tcp 192.168.1.0 any eq www
//允许192.168.2.0网段计算机访问任何WWW服务器
(config)#access-lit 110 permit tcp 192.168.2.0 any eq ftp
//允许192.168.2.0网段计算机访问任何FTP服务器
(config)#access-lit 110 permit tcp 192.168.3.0 host 10.10.1 .1 eq www
//允许192.168.2.0网段计算机只能访问指定WWW服务器(10.10.1 .1)。
//以上设置除了列出的允许外,其他行为将会被拒绝。
R1上f0/1上应用ACL规则
(config)#int f0/1
(config-if)#ip access-group 110 in
(config-if)#no shut
6、配置R1为DCE。
(config)#int s0/1
(config-if)#clock rate 125000
(config-if)#no shut
10、3550交换机配置默认路由。
(config)#ip route 0.0.0 .0 0.0.0.0 192.168.0.1
11、动态NAT。
R1上配置动态NAT
(config)#ip nat pool NAT 172.16.1.10 172.16.1.100 netmask 255.255.255.0
//配置动态NAT转换地址池
(config)#ip nat inside source list 1 pool NAT
//配置动态NAT映射
(config)#access-list 1 permit 192.168.1.0 0.0.0 .255
(config)#access-list 1 permit 192.168.2.0 0.0.0 .255
(config)#access-list 1 permit 192.168.3.0 0.0.0 .255
//允许动态NAT转换的内部地址范围
(config)# int f0/1
(config-if)#ip nat inside
//配置NAT内部接口
(config)# int s0/1
(config-if)#ip nat outside
//配置NAT外部接口
12、VLAN间路由
3550交换机上配置VLAN间路由。
(config)# ip routing
⑶互联网部分
1、R2配置静态路由。
(config)#ip route 192.168.0.0 0.0.0 .255 172.16.1.1
(config)#ip route 192.168.1.0 0.0.0 .255 172.16.1.1
(config)#ip route 192.168.2.0 0.0.0 .255 172.16.1.1
(config)#ip route 192.168.3.0 0.0.0 .255 172.16.1.1
//以上路由下一跳为172.16.1.1
2、WINDOWS 2003 SERVER安装DNS、WWW、FTP。
在10.10.1 .1这台计算机上安装DNS,WWW,FTP作为测试用。
总结:
此次实训可谓是劳师动众,从一天制作网线,整整花了两个钟做了一条直通线和一条交叉线,且质量有待商榷,接触不良,多为出现。做出以上需求,也算是花了不少了时间,只能说功夫不到家。组出来的网,还有很多地方有待完善的地方,例如添加动态路由,ACL的安全还未能做到最完善,仍有许多安全问题,有待去解决。VLAN的划分,不够细,考虑的还不够周全。VLAN跨交换机时,如何保证在同一VLAN中。
总得来说,此次实训,收获许多,学到了当书本上讲的许多知识结合在一起时,所碰到的许多问题,这些问题,都是要靠自己去解决的。例如,为什么网络一切正常,却PING不通,WINDOWS XP 防火墙做的好事,晕,这东西真害人。做其他实验,经常忘记关防火墙所碰到的问题。交换机不够用时,怎么办,可以插在其中一台交换机上,仍处于默认VLAN1的端口中,来假设一台交换机的存在。此次实训最为深该的,可算是交换机与交换机连接时,两端口相连接时,须为同一VLAN,晕。公司内部VLAN的建立花了时间最长。本人知识不足,才花这么多时间。总归这次实训遇到了蛮多的问题,ACL禁止PING,这学问挺大的,从中要考虑到路由,它的工作原理,TCP/IP协议等等。
尽管我的爱好不是网络设备,这次还是学到了不少网络设备的实际应用,对以后从事网络方面的工作提供了不少的水平的积累,在次感谢老师,这几天不停的给我加问题,刚开头,还蛮头痛的,因为好多都不太记得了,慢慢还是想起来了,这次实训不错,既可以动脑又可以动起来——抬网络设备,做网线。
大学最后一次实训结束咯。
