中小企业网络解决方案.doc

信 息 学 院 2011 届网络技术综合实训报告学生姓名： 所属班级： 所在系部： 信息学院 实训项目： 网络技术综合实训 实训时间：2014年 5月 12日 至 2014年 5月 23 日 计算机网络技术综合实训 -中小企业网络解决方案一、实训目的1、根据中小企业的特点，进行网络构建的需求分析设计合理的网络拓扑结构。2、利用网络硬件组建中小型企业网，对网络安全进行管理和维护。二、实训背景随着网络技术的普及，以计算机网络为基础的信息化建设成为许多中小企业提升企业运作效率，增强市场竞争力的重要手段。本方案按照“安全性；可管理性；稳定性”的原则建设中等企业网络。要求核心设备支持DDos 攻击、防恶意的IP 扫描。核心和接入网络设备能支持VLAN 的划分，降低网络内广播数据包的传输，提高带宽资源利用率。最后能对网络设备支持灵活多样的管理方式，减轻管理、维护的难度。三、实训任务1、需求分析；2、根据需求，确定网络的拓扑结构；3、为网络分配IP地址；4、配置与调试交换机、路由器；5、网络服务配置；6、网络安全配置。四、实训环境1、PC 机若干台；2、Catalyst2950 交换机若干台（利用仿真软件）；3、Catalyst3350 核心交换机一台（利用仿真软件）；4、Cisco2610 模块化路由器一台（利用仿真软件）；5、Cisco PIX 515 防火墙（可选做）。五、需求分析根据中小企业的特点，网络内各部门用户应能使用企业业务应用系统共享数据库，其信息流主要是整个库存数据的共享、进销存管理、材料管理等。网络数据采用10M/100M 共享式到桌面，这样节省了资金，并使各站点都能达到自己要求，同时满足未来扩展需求。六、方案设计（1）建设目标l 公司内部根据部门划分三个VLAN，管理部为VLAN2，财务部为VLAN3，普通部门为VLAN4。l 禁止财务部与普通部门PING 通管理部。l 允许管理部PING 通财务部，禁止普通部门PING 通财务部。l 为管理部、财务部、普通部门配置自动分配IP 地址，网关，域名服务器。l 允许所有部门访问DNS 服务器。l 允许管理部访问任何网站，FTP。l 禁止财务部访问互联网WWW 服务器（10.10.1.1），可访问FTP 服务器(10.10.1.1)。l 禁止普通部门访问互联网FTP 服务器（ 10.10.1.1），可访问WWW 服务器（10.10.1.1）。（2）网络总体结构，如下所示：（3）网络出口连接设计企业网络出口采用Cisco 2610 模块化路由器，为保护企业内部网络的安全，在网络出口设置防火墙，防火墙采用Cisco PIX 515，对外连接因特网接入线路，对内连接Cisco 2610模块化路由器，提供VPN 接入。（4）网络安全设计网络安全设计遵循全方位实现安全、主动式安全和被动式安全相结合、安全但不影响性能、易于实施、易于管理与维护的原则。利用OSPF 路由更新认证确保全网络路由表的安全，过滤非法数据包。利用ACL认证等手段确保网络设备不会出现非授权访问。在网络设备上进行相应设置，防范DOS 和其他资源掠夺式攻击。（5）网络管理七、实训内容及步骤（一）制作跳线（二）公司局域网设计步骤1 配置好各网络设备接口IP地址步骤2 公司部门虚拟网划分公司内部根据部门划分三个VLAN，管理部为VLAN2，财务部为VLAN3，普通部门为VLAN4。在3350 交换机上分别创建VLAN2 、3、4，并分别配置IP 地址为192.168.1.254、192.168.2.254、192.168.3.254。以下以创建VLAN2 为例，其他以此类推。步骤2.1 创建vlan2#vlan database/以上进入VLAN 配置模式(vlan)# vlan 2步骤2.2 分别将f0/1、f0/5、f0/10加入到vlan2、vlan3、vlan4以下以f0/1 加入vlan2 为例，其他以此类推。(config)#int f0/1(config-if)#switch mode access/以上将交换机端口改为access 模式，说明该端口用于连接计算机，而不是用于Trunk.(config-if)#switch access vlan 2/以上将端口f0/1 加入到vlan2 中(config-if)#no shut/以上重启端口步骤2.3 配置交换机管理IP地址以下以vlan2 为例，其他以此类推。(config)#int vlan2/进入vlan2 端口(config-if)#ip address 192.168.1.254 255.255.255.0/为vlan2 端口配置IP 地址(config-if)#no shut3550 交换机上创建完VLAN 后，还需在下一层各2950 交换机上创建与之相对应的VLAN，因不匹配将无法通信。三台交换机均用端口f0/1 分别与3550 上的f0/1、f0/5、f0/10 连接，且用各自的f0/8 与PC 机连接。以下以switch1 为例，创建与之相对应的vlan2，并把f0/1 与f0/8 加入到vlan2 中，其他以此类推。步骤2.4 创建vlan2#vlan database(vlan)#vlan 2步骤2.5 将f0/1加入到vlan2(config)#int f0/1(config-if)#switch mode access(config-if)#switch access vlan 2(config-if)#no shut步骤2.6 将f0/8加入到vlan2(config)#int f0/8(config-if)#switch mode access(config-if)#switch access vlan 2(config-if)#no shut（三）网络安全性设计步骤1 禁止财务部与普通部门PING 通管理部步骤1.1 创建ACL规则(config)#access-list 108 deny icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 echo-reply(config)#access-list 108 deny icmp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 echo-reply/以上当192.168.2.0 与192.168.3.0 向192.168.1.0 发PING 包时，将拒绝响应PING 包。(config)#access-list 108 permit ip any any/以上为允许响应其他PING 包。步骤1.2 应用ACL规则(config)#int f0/1/以上进入vlan2 所在端口(config-if)#ip access-group 108 in/以上为些端口应用ACL 规则(config-if)#no shut步骤2 允许管理部PING 通财务部，禁止普通部门PING 通财务部。步骤2.1 创建ACL规则(config)#access-list 109 deny icmp 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 echo-reply(config)#access-list 109 permit ip any any步骤2.2 应用ACL规则(config)#int f0/5(config-if)#ip access-group 109 in(config-if)#no shut步骤3 为管理部、财务部、普通部门配置自动分配IP地址，网关，域名服务器。步骤3.1 3550 交换上设置DHCP以下以创建vlan2(192.168.1.0)DHCP 为例，其他vlan 以此类推。(config)#servie dhcp/开启DHCP(config)#ip dhcp pool vlan2-dhcp-pool/定义地址池，名称为vlan2-dhcp-pool(dhcp-config)#network 192.168.1.0/24/DHCP 分配的网络和掩码(dhcp-config)#default-router 192.168.1.254/分配默认网关(dhcp-config)#dns-server 10.10.1.1/分配DNS 服务器, 10.10.1.1 为互联网上的DNS 服务器.(dhcp-config)#ip dhcp excluded-address 192.168.1.1 192.168.1.5/排除地址段(dhcp-config)#exit步骤4 允许所有部门访问DNS 服务器。允许管理部访问任何网站，FTP。禁止财务部访问互联网WWW 服务器（10.10.1.1），可访问FTP 服务器(10.10.1.1)。禁止普通部门访问互联网FTP 服务器（10.10.1.1），访问指定WWW 服务器（10.10.1.1）。步骤4.1 创建ACL规则(config)#access-lit 110 permit udp any any eq 23/所有部门均可访问DNS(config)#access-lit 110 permit tcp 192.168.1.0 any eq ftp/允许192.168.1.0 网段计算机访问任何FTP 服务器(config)#access-lit 110 permit tcp 192.168.1.0 any eq www/允许192.168.2.0 网段计算机访问任何WWW 服务器(config)#access-lit 110 permit tcp 192.168.2.0 any eq ftp/允许192.168.2.0 网段计算机访问任何FTP 服务器(config)#access-lit 110 permit tcp 192.168.3.0 host 10.10.1.1 eq www/允许192.168.2.0 网段计算机只能访问指定WWW 服务器(10.10.1.1)。/以上设置除了列出的允许外，其他行为将会被拒绝。步骤4.2 R1 上f0/1上应用ACL规则(config)#int f0/1(config-if)#ip access-group 110 in(config-if)#no shut步骤5 路由配置步骤5.1 配置R1为DCE(config)#int s0/1(config-if)#clock rate 125000(config-if)#no shut步骤5.2 3550 交换机配置默认路由(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.1步骤5.3 动态NATR1 上配置动态NAT(config)#ip nat pool NAT 172.16.1.10 172.16.1.100 netmask 255.255.255.0/配置动态NAT 转换地址池(config)#ip nat inside source list 1 pool NAT/配置动态NAT 映射(config)#access-list 1 permit 192.168.1.0 0.0.0.255(config)#access-list 1 permit 192.168.2.0 0.0.0.255(config)#access-list 1 permit 192.168.3.0 0.0.0.255/允许动态NAT 转换的内部地址范围(config)# int f0/1(config-if)#ip nat inside/配置NAT 内部接口(config)# int s0/1(config-if)#ip nat outside/配置NAT 外部接口步骤5.4 VLAN间路由3550 交换机上配置VLAN 间路由。(config)# ip routing（四）互联网设计步骤1 R2配置静态路由。(config)#ip route 192.168.0.0 0.0.0.255 172.16.1.1(config)#ip route 192.168.1.0 0.0.0.255 172.16.1.1(config)#ip route 192.168.2.0 0.0.0.255 172.16.1.1(config)#ip route 192.168.3.0 0.0.0.255 172.16.1.1/以上路由下一跳为172.16.1.1步骤2 WINDOWS 2003 SERVER安装DNS、WWW、FTP。在10.10.1.1 这台计算机上安装DNS，WWW，FTP 作为测试用。步骤2.1 配置DNS 服务器（1）为服务器配置一个静态IP 地址、指定网关、将自己的IP 地址作为首选DNS，并将计算机的后缀名设为预备搭建的域名ciscotest.com，然后重启计算机。（2）在“控制面板”打开“添加/删除程序”进入其面板，然后打开“添加/删除windows 组件”进入“windows 组件向导”面板，打开“网络服务”选项，勾选“域名系统（DNS）”，然后确定后按“下一步”开始安装“DNS 服务”。（3）安装好“DNS”后，在“开始”“管理工具”找到“DNS”并打开“DNS 服务”。（4）右击“正向查找区域”，点击“新建区域”打开“新建区域向导”；按“下一步”后选择“主要区域”，再按“下一步”；输入区域名称ciscotest.com，“下一步”；默认“下一步”，选择“允许非安全和安全更新”选项“下一步”“完成”。步骤2.2 配置Web服务器（1）在“控制面板”打开“添加/删除程序”进入其面板，然后打开“添加/删除windows 组件”进入“windows 组件向导”面板，双击“应用程序服务器”选项。（2）在“应用程序服务器”对话框的“应用程序服务器的子组件”列表框中双击“Internet 信息服务（IIS）”。（3）在“Internet 信息服务（IIS ）”对话框“Internet 信息服务（IIS ）的子组件”列表框中选中“万维网服务”复选框，单击“确定”，系统开始安装IIS 和web 服务器组件。（4）安装好“IIS”后，在“开始”“程序”“管理工具”中打开“Internet 信息服务（IIS ）管理器”窗口，右击“默认网站”选项，选择“属性”，切换到“网站”选项卡，在“IP 地址”下拉列表框中选中网站绑定的IP 地址。在“主目录”选项卡中的“本地路径”中输入路径名。切换到“文档”选项卡，选中“启用默认内容文档”复选框，为网站添加首页文件名，如index.html，单击“确定”。步骤2.3 配置文件服务器（1）选中“开始”“程序”“管理工具”“internet 信息服务（IIS）管理器”，展开“本地计算机”“FTP 站点”选项，选中“默认FTP 站点”选项，右击选择“属性”，弹出“默认FTP 站点属性”对话框。（2）在“FTP 站点标识”选项组中，可更改FTP 站点名称、IP 地址和TCP 端口号。在“IP地址”下拉列表框中选中FTP 服务器绑定的IP 地址，选用默认TCP 端口号21。（3）在“安全账户”选项卡中，默认允许匿名登录，若取消“允许匿名连接”复选框，则需使用账户密码登录方式。（4）切换到“主目录”选项卡，在“本地路径”中设置FTP 站点主目录的路径。在文件服务器的D 盘创建一个文件夹root，命名为“共享”，在“root”中分别创建名为“个人”和“部门”的文件夹。（5）创建虚拟目录，右击FTP 站点名称，选择“新建”“虚拟目录”，在“别名”中分别创建名为“个人”和“部门”的文件夹，单击“下一步”“浏览”，在本地磁盘中选中实际目录，设置虚拟目录指向的实际目录。（6）在“虚拟目录访问权限”界面中设置目录的访问权限。