网络规划实例 (一) |
您所在的位置:网站首页 › 公司内部网络安全管理 › 网络规划实例 (一) |
网络规划实例 (一)
|
某公司现在要组建一个内部局域网,其中公司内部有3个部门,分别是销售部40人、技术部50人、财务部10人。现在公司要求内部部门之间不能通信,部门内部实现计算机文件和打印机共享,多媒体的通信等服务;各台计算机能够与Internet互联;并且网络管理员可以在任何能连接到公司内部网络的计算机上对网络设备进行管理。请根据上述情况,进行项目需求分析,给出网络设备选型方案、网络拓扑设计、IP地址规划设计、主要设备配置方案等。 目录 1.需求分析 2.网络设备选型方案 3.网络拓扑设计 4.IP地址规划设计 5.主要设备配置方案 6.网络测试分析 1.需求分析:某公司要组建一个内部局域网,即希望自己的网络有一定的安全性,较好的管理性;另外要求内部部门之间不能通信,部门内部可以通信,那么可以划分多个VLAN。不同VLAN之间不能通信,可以设置ACL来进行限制;各台计算机能够与Internet互联,那么需要对网络地址做NAPT转换,通过路由器访问Internet,做到公有地址的复用,也增强了安全性;网络管理员可以在任何内网上的计算机管理网络设备,那么则设置Telnet登录密码,和特权模式登录密码。并且不做访问限制,否则的话可以设置ACL进行权限管理。不同VLAN里的计算机想要管理网络设备,Telnet 后的地址为自己的网关。 2.网络设备选型方案 设备型号 数量 备注 PC-PT 100 每名职工配备一台电脑 2950-24 3 二层交换机,接入不同的部门 3560-24PS 1 三层交换机接入二层交换机,负责数据转发,更快速 1841 1 作为与外网连接的路由器 Server-PT 1 充作外网服务器,用来表示外网提供的服务3. 3.网络拓扑设计
4.IP地址规划设计 销售部192.168.10.0网段技术部192.168.20.0网段财务部192.168.30.0网段路由器 连接内网的IP地址为192.168.40.2 连接外网的IP地址为200.10.1.1 www服务器 200.10.1.2SVI VLAN 10192.168.10.1SVI VLAN 20192.168.20.1SVI VLAN 30192.168.30.1SVI VLAN 40192.168.40.1三层交换机A VLAN 50192.168.50.254二层交换机B VLAN 50192.168.50.1 二层交换机C VLAN 50192.168.50.2二层交换机D VLAN 50192.168.50.3 5.主要设备配置方案(1) 三层交换机 ① 开启路由功能 Ip routing //创建vlan VLAN 10 Vlan 20 Vlan 30 Vlan 40 Vlan 50② 与二层交换机直接相连的接口封装dot1q协议,设为trunk链路 Switchport trunk encapsulation dot1q③ 设置访问控制列表ACL access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 access-list 100 permit ip any any④ 将控制列表应用到VLAN //将控制列表应用到VLAN 10 int vlan 10 ip access-group 100 in 用以限制不同 VLAN 之间的通信 access-list 101 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 Access-list 101 permit ip any any //将控制列表应用到VLAN 20 int vlan 20 ip access-group 101 in //用以限制不同 VLAN 之间的通信 access-list 102 deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 Access-list 102 permit ip any any //将控制列表应用到VLAN 30 int vlan 30 ip access-group 102 in //用以限制不同 VLAN 之间的通信⑤ 创建虚拟交换接口SVI Int vlan 10 Ip add 192.168.10.1 255.255.255.0 Int vlan 20 Ip add 192.168.20.1 255.255.255.0 Int vlan 30 Ip add 192.168.30.1 255.255.255.0 Int vlan 40 Ip add 192.168.40.1 255.255.255.0 Int vlan 50 Ip add 192.168.50.254 255.255.255.0⑥ 开启ospf动态路由协议 Router ospf 1 Network 192.168.10.0 0.0.0.255 area 0 Network 192.168.20.0 0.0.0.255 area 0 Network 192.168.30.0 0.0.0.255 area 0 Network 192.168.40.0 0.0.0.255 area 0⑦ 设置远程登录密码和进入特权模式密码 line vty 0 4 password 123 exit enable password 123
(2)路由器 ① 做napt地址转换 Ip nat pool to-internet 200.10.1.1 200.10.1.1 netmask 255.255.255.0 //定义地址池 access-list 1 permit 192.168.10.0 0.0.0.255 access-list 2 permit 192.168.20.0 0.0.0.255 access-list 3 permit 192.168.30.0 0.0.0.255 //定义允许转换地址 ip nat inside source list 1 pool to-internet overload ip nat inside source list 2 pool to-internet overload ip nat inside source list 3 pool to-internet overload //为内部本地调用转换地址池 interface fas 0/0 ip nat inside //定义内部接口 exit interface fas 0/1 ip nat outside //定义外部接口
② 开启ospf动态路由协议 Router ospf 1 Network 200.10.1.0 0.0.0.255 area 0 Network 192.168.40.0 0.0.0.255 area 0③ 设置远程登录密码和进入特权模式密码 Line vty 0 4 Password 123 Exit Enable password 123(3)二层交换机 ① 创建VLAN VLAN 50 Int vlan 50 Ip add 192.168.50.1 255.255.255.0 VLAN 50 Int vlan 50 Ip add 192.168.50.2 255.255.255.0 VLAN 50 Int vlan 50 Ip add 192.168.50.3 255.255.255.0② 设置远程登录密码和进入特权模式密码 Line vty 0 4 Password 123 Exit Enable password 123③ 设置默认网关 IP default-gateway 192.168.50.254 6.网络测试分析由于deny 语句可以实现A,B主机间访问数据流的彻底阻断,那么我们只测试一个方向就可以。 ① 销售部和技术部
第一次销售部ping 不通技术部,第二次能ping通销售部其它主机 说明销售部不能和技术部通信,内部之间可以通信。
② 销售部和财务部
销售部ping 不通财务部,说明销售部不能和财务部通信
③ 财务部和技术部
技术部不能和财务部通信,内部之间可以通信。 访问外网服务测试 ① 销售部访问外网,使用ftp服务、www服务
② 技术部访问外网,使用ftp服务、www服务
③ 财务部访问外网,使用ftp服务、www服务
在任何内部联网计算机上可以管理网络设备 测试的远程登录密码和特权模式密码均为123 ① 在技术部可以管理二层交换机和三层交换机、路由器
② 在销售部可以管理二层交换机和三层交换机、路由器
③ 在财务部可以管理二层交换机和三层交换机、路由器
|
【本文地址】
今日新闻 |
点击排行 |
|
推荐新闻 |
图片新闻 |
|
专题文章 |