中小企业网络解决方案

信息学院2010届本科毕业生课程报告学生姓名：所属班级：所在系部：信息学院实训项目：网络技术综合实训实训时间：年月日至年月日计算机网络技术综合实训-----中小企业网络解决方案一、实训目的1、根据中小企业的特点，进行网络构建的需求分析设计合理的网络拓扑结构。2、利用网络硬件组建中小型企业网，对网络安全进行管理和维护。二、实训背景随着网络技术的普及，以计算机网络为基础的信息化建设成为许多中小企业提升企业运作效率，增强市场竞争力的重要手段。本方案按照“安全性；可管理性；稳定性”的原则建设中等企业网络。要求核心设备支持DDos攻击、防恶意的IP扫描。核心和接入网络设备能支持VLAN的划分，降低网络内广播数据包的传输，提高带宽资源利用率。最后能对网络设备支持灵活多样的管理方式，减轻管理、维护的难度。三、实训任务1、需求分析；2、根据需求，确定网络的拓扑结构；3、为网络分配IP地址；4、配置与调试交换机、路由器；5、网络服务配置；6、网络安全配置。四、实训环境1、PC机若干台；2、Catalyst2950交换机若干台（利用仿真软件）；3、Catalyst3350核心交换机一台（利用仿真软件）；4、Cisco2610模块化路由器一台（利用仿真软件）；5、CiscoPIX515防火墙（可选做）。五、需求分析根据中小企业的特点，网络内各部门用户应能使用企业业务应用系统共享数据库，其信息流主要是整个库存数据的共享、进销存管理、材料管理等。网络数据采用10M/100M共享式到桌面，这样节省了资金，并使各站点都能达到自己要求，同时满足未来扩展需求。六、方案设计（1）建设目标公司内部根据部门划分三个VLAN，管理部为VLAN2，财务部为VLAN3，普通部门为VLAN4。禁止财务部与普通部门PING通管理部。允许管理部PING通财务部，禁止普通部门PING通财务部。为管理部、财务部、普通部门配置自动分配IP地址，网关，域名服务器。允许所有部门访问DNS服务器。允许管理部访问任何网站，FTP。禁止财务部访问互联网服务器（10.10.1.1），可访问FTP服务器(10.10.1.1)。禁止普通部门访问互联网FTP服务器（10.10.1.1），可访问服务器（10.10.1.1）。（2）网络总体结构，如下所示：（3）网络出口连接设计企业网络出口采用Cisco2610模块化路由器，为保护企业内部网络的安全，在网络出口设置防火墙，防火墙采用CiscoPIX515，对外连接因特网接入线路，对内连接Cisco2610模块化路由器，提供VPN接入。（4）网络安全设计网络安全设计遵循全方位实现安全、主动式安全和被动式安全相结合、安全但不影响性能、易于实施、易于管理与维护的原则。利用OSPF路由更新认证确保全网络路由表的安全，过滤非法数据包。利用ACL认证等手段确保网络设备不会出现非授权访问。在网络设备上进行相应设置，防范DOS和其他资源掠夺式攻击。（5）网络管理七、实训内容及步骤（一）制作跳线（二）公司局域网设计步骤1配置好各网络设备接口IP地址步骤2公司部门虚拟网划分公司内部根据部门划分三个VLAN，管理部为VLAN2，财务部为VLAN3，普通部门为VLAN4。在3350交换机上分别创建VLAN2、3、4，并分别配置IP地址为192.168.1.254、192.168.2.254、192.168.3.254。以下以创建VLAN2为例，其他以此类推。步骤2.1创建vlan2#vlandatabase//以上进入VLAN配置模式(vlan)#vlan2步骤2.2分别将f0/1、f0/5、f0/10加入到vlan2、vlan3、vlan4以下以f0/1加入vlan2为例，其他以此类推。(config)#intf0/1(config-if)#switchmodeaccess//以上将交换机端口改为access模式，说明该端口用于连接计算机，而不是用于Trunk.(config-if)#switchaccessvlan2//以上将端口f0/1加入到vlan2中(config-if)#noshut//以上重启端口步骤2.3配置交换机管理IP地址以下以vlan2为例，其他以此类推。(config)#intvlan2//进入vlan2端口(config-if)#ipaddress192.168.1.254255.255.255.0//为vlan2端口配置IP地址(config-if)#noshut3550交换机上创建完VLAN后，还需在下一层各2950交换机上创建与之相对应的VLAN，因不匹配将无法通信。三台交换机均用端口f0/1分别与3550上的f0/1、f0/5、f0/10连接，且用各自的f0/8与PC机连接。以下以switch1为例，创建与之相对应的vlan2，并把f0/1与f0/8加入到vlan2中，其他以此类推。步骤2.4创建vlan2#vlandatabase(vlan)#vlan2步骤2.5将f0/1加入到vlan2(config)#intf0/1(config-if)#switchmodeaccess(config-if)#switchaccessvlan2(config-if)#noshut步骤2.6将f0/8加入到vlan2(config)#intf0/8(config-if)#switchmodeaccess(config-if)#switchaccessvlan2(config-if)#noshut（三）网络安全性设计步骤1禁止财务部与普通部门PING通管理部步骤1.1创建ACL规则(config)#access-list108denyicmp192.168.1.00.0.0.255192.168.2.00.0.0.255echo-reply(config)#access-list108denyicmp192.168.1.00.0.0.255192.168.3.00.0.0.255echo-reply//以上当192.168.2.0与192.168.3.0向192.168.1.0发PING包时，将拒绝响应PING包。(config)#access-list108permitipanyany//以上为允许响应其他PING包。步骤1.2应用ACL规则(config)#intf0/1//以上进入vlan2所在端口(config-if)#ipaccess-group108in//以上为些端口应用ACL规则(config-if)#noshut步骤2允许管理部PING通财务部，禁止普通部门PING通财务部。步骤2.1创建ACL规则(config)#access-list109denyicmp192.168.2.00.0.0.255192.168.3.00.0.0.255echo-reply(config)#access-list109permitipanyany步骤2.2应用ACL规则(config)#intf0/5(config-if)#ipaccess-group109in(config-if)#noshut步骤3为管理部、财务部、普通部门配置自动分配IP地址，网关，域名服务器。步骤3.13550交换上设置DHCP以下以创建vlan2(192.168.1.0)DHCP为例，其他vlan以此类推。(config)#serviedhcp//开启DHCP(config)#ipdhcppoolvlan2-dhcp-pool//定义地址池，名称为vlan2-dhcp-pool(dhcp-config)#network192.168.1.0/24//DHCP分配的网络和掩码(dhcp-config)#default-router192.168.1.254//分配默认网关(dhcp-config)#dns-server10.10.1.1//分配DNS服务器,10.10.1.1为互联网上的DNS服务器.(dhcp-config)#ipdhcpexcluded-address192.168.1.1192.168.1.5//排除地址段(dhcp-config)#exit步骤4允许所有部门访问DNS服务器。允许管理部访问任何网站，FTP。禁止财务部访问互联网服务器（10.10.1.1），可访问FTP服务器(10.10.1.1)。禁止普通部门访问互联网FTP服务器（10.10.1.1），访问指定服务器（10.10.1.1）。步骤4.1创建ACL规则(config)#access-lit110permitudpanyanyeq23//所有部门均可访问DNS(config)#access-lit110permittcp192.168.1.0anyeqftp//允许192.168.1.0网段计算机访问任何FTP服务器(config)#access-lit110permittcp192.168.1.0anyeq允许192.168.2.0网段计算机访问任何服务器(config)#access-lit110permittcp192.168.2.0anyeqftp//允许192.168.2.0网段计算机访问任何FTP服务器(config)#access-lit110permittcp192.168.3.0host10.10.1.1eq允许192.168.2.0网段计算机只能访问指定服务器(10.10.1.1)。//以上设置除了列出的允许外，其他行为将会被拒绝。步骤4.2R1上f0/1上应用ACL规则(config)#intf0/1(config-if)#ipaccess-group110in(config-if)#noshut步骤5路由配置步骤5.1配置R1为DCE(config)#ints0/1(config-if)#clockrate125000(config-if)#noshut步骤5.23550交换机配置默认路由(config)#iproute0.0.0.00.0.0.0192.168.0.1步骤5.3动态NATR1上配置动态NAT(config)#ipnatpoolNAT172.16.1.10172.16.1.100netmask255.255.255.0//配置动态NAT转换地址池(config)#ipnatinsidesourcelist1poolNAT//配置动态NAT映射(config)#access-list1permit192.168.1.00.0.0.255(config)#access-list1permit192.168.2.00.0.0.255(config)#access-list1permit192.168.3.00.0.0.255//允许动态NAT转换的内部地址范围(config)#intf0/1(config-if)#ipnatinside//配置NAT内部接口(config)#ints0/1(config-if)#ipnatoutside//配置NAT外部接口步骤5.4VLAN间路由3550交换机上配置VLAN间路由。(config)#iprouting（四）互联网设计步骤1R2配置静态路由。(config)#iproute192.168.0.00.0.0.255172.16.1.1(config)#iproute192.168.1.00.0.0.255172.16.1.1(config)#iproute192.168.2.00.0.0.255172.16.1.1(config)#iproute192.168.3.00.0.0.255172.16.1.1//以上路由下一跳为172.16.1.1步骤2WINDOWS2003SERVER安装DNS、、FTP。在10.10.1.1这台计算机上安装DNS，，FTP作为测试用。步骤2.1配置DNS服务器（1）为服务器配置一个静态IP地址、指定网关、将自己的IP地址作为首选DNS，并将计算机的后缀名设为预备搭建的域名ciscote