目录一、实训目的································二、实训环境································三、用户需求································四、知识点说明······························1、VLAN··························································2、访问控制列表····················································3、路由器的基本配置················································4、地址转换协议NAT················································五、实训内容································1、网络拓朴结构····················································2、网络互联技术目标················································3、设备的选型及网络的连接··········································4、IP地址分配······················································5、路由器的配置····················································6、交换机配置······················································7、各计算机配置····················································六、运行结果································七、心得体会································八、参考文献································中小企业网络规划与设计一、实训目的1、了解中小企业网建设的过程2、利用实验室设备模拟组建一个中小企业网3、对中小企业网各种互联设备进行综合配置二、实训环境BOSON软件,YS软件,计算机三、用户需求1、实现公司WEB和FTP,数据库互访,服务器和网络设备有一定的冗余。2、要求实现一定的安全策略,采用ACL或AAA认证服务实现:(1)、WEB服务器任意用户都能自由访问,但只有OFFICE用户有权限访问FTP服务器;(2)、DORM的PC之间不可互访;(3)、不要求考虑FireWall设置;(4)、S1、S2、S3可网管,S4、S5不可网管(底端产品);(5)、DORM内有100台计算机,OFFICE有100台计算机。(分配内网地址)3、总部采用专线接入WAN:(1)、不要求考虑外线配置,不要求考虑总公司与子公司之间的VPN安全设置;(2)、R1上实现NAT转换(四个公网地址20.1.1.1~20.1.1.4,其中两个地址给WEB和FTP服务器);(3)、OFFICE和DORM都能上网(不考虑限速问题),但不能互访;四、知识点说明1、VLANVLAN简称为虚拟局域网。他不是特殊的局域网,只是局域网为用户提供的一种服务。虚拟局域网是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的数据交换技术。这一技术主要应用于交换机和路由器中,并在交换机中使用较多。VLAN的配置过程其实非常简单,只需两步:(1)为各VLAN组命名;(2)把相应的VLAN对应到相应的交换机端口。另外交换机的VLAN号从“2”号开始,因为交换机有一个默认的VLAN,即VLAN1,它包括所有连在该交换机上的用户。2、访问控制列表ACL访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器那些数据包可以收、那些数据包需要拒绝。访问控制列表主要有3种,标准访问控制列表、梯形基本访问控制列表、扩展访问控制列表。目前的路由器一般都支持两种类型的访问表:基本访问表和扩展访问表。(1)、基本访问表控制基于网络地址的信息流,且只允许过滤源地址。(2)、扩展访问表通过网络地址和传输中的数据类型进行信息流控制,允许过滤源地址、目的地址和上层应用数据。3、路由器的基本配置一般来说,可以用5种方式来设置路由器:a.Console口接终端或运行终端仿真软件的微机;b.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连;c.通过Ethernet上的TFTP服务器;d.通过Ethernet上的TELNET程序;e.通过Ethernet上的SNMP网管工作站。4、地址转换协议NATNAT(NetworkAddressTranslation)的功能,就是指在一个网络内部,根据需要可以随意自定义IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通信。而当内部的计算机要与外部Internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。因此它有两个优点:多个内部地址可以共享一个全局地址上网,从而节约了全局地址的使用。另外,采用NAT的内部主机不直接使用全局地址,所以,在Internet上不直接可见,可以在一定程度上减少被攻击的风险,增强网络的安全性。缺点是增加了网络延时。地址转换协议NAT分为静态地址转换和动态地址转换及复用动态地址转换。静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。其基本配置步骤如下:(1)、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入:(config)#ipnatinsidesourcestatic[内部本地地址][内部合法地址](2)、指定连接网络的内部端口在端口设置状态下输入:(config)#int[端口号](config-if)#ipnatinside(3)、指定连接外部网络的外部端口,在端口设置状态下输入:(config)#int[端口号](config-if)#ipnatoutside动态地址转换也是将内部本地地址与内部合法地址一对一的转换,但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。其基本配置步骤如下:(1)、在全局设置模式下,定义内部合法地址池输入:(config)#ipnatpool[地址池名称][起始IP地址][终止IP地址][子网掩码]其中地址池名称可以任意设定。(2)、在全局设置模式下,定义一个标准的access-list规则,以允许哪些内部地址可以进行动态地址转换输入:(config)#access-list[标号]permit[源地址][通配符]其中标号为1-99之间的整数。(3)、在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址池进行动态地址转换输入:(config)#ipnatinsidesourcelist[访问列表号]pool[内部合法地址池名字](4)、指定与内部网络相连的内部端口输入:(config)#int[端口号](config-if)#ipnatinside(5)、指定与外部网络相连的外部端口输入:(config)#int[端口号](config-if)#ipnatoutside复用动态地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。其基本配置步骤如下:(1)、在全局设置模式下,定义内部合法地址池输入:(config)#ipnatpool[地址池名称][起始IP地址][终止IP地址][子网掩码]其中地址池名称可以任意设定。(2)、在全局设置模式下,定义一个标准的access-list规则,以允许哪些内部地址可以进行复用动态地址转换输入:(config)#access-list[标号]permit[源地址][通配符]其中标号为1-99之间的整数。(3)、在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址池进行复用动态地址转换输入:(config)#ipnatinsidesourcelist[访问列表号]pool[内部合法地址池名字]overload(4)、指定与内部网络相连的内部端口输入:(config)#int[端口号](config-if)#ipnatinside(5)、指定与外部网络相连的外部端口输入:(config)#int[端口号](config-if)#ipnatoutside五、实训内容1、网络拓朴结构2、网络互联技术目标1、实现公司WEB和FTP,数据库互访,服务器和网络设备有一定的冗余。2、要求实现一定的安全策略,采用ACL或AAA认证服务实现:(1)、WEB服务器任意用户都能自由访问,但只有OFFICE用户有权限访问FTP服务器;(2)、DORM的PC之间不可互访;(3)、不要求考虑FireWall设置;(4)、S1、S2、S3可网管,S4、S5不可网管(底端产品);(5)、DORM内有100台计算机,OFFICE有100台计算机。(分配内网地址)3、总部采用专线接入WAN:(1)、不要求考虑外线配置,不要求考虑总公司与子公司之间的VPN安全设置;(2)、R1上实现NAT转换(四个公网地址20.1.1.1~20.1.1.4,其中两个地址给WEB和FTP服务器);(3)、OFFICE和DORM都能上网(不考虑限速问题),但不能互访;3、设备的选型及网络的连接选取的路由器(2621)两台,二层交换机(2950)六台。具体的连接如下:①路由器R1(2621)的F0/1口接Internet,F0/0口接交换机S4(2950)的F0/1端口,S0口接路由器R2(2621)的S0口②路由器R2(2621)的S0口接路由器R1(2621)的S0口,F0/0口接交换机S5(2950)的F0/1端口,F0/1口接交换机S6(2950)的F0/1端口③交换机S1的F0/1口接交换机S4(2950)的F0/2端口,F0/2口接交换机S3(2950)的F0/1端口,F0/3口接交换机S2(2950)的F0/3端口④交换机S2的F0/1口接交换机S4(2950)的F0/3端口,F0/2口接交换机S3(2950)的F0/2端口,F0/3口接交换机S1(2950)的F0/3端口⑤交换机S3的F0/1口接交换机S1(2950)的F0/2端口,F0/2口接交换机S2(2950)的F0/2端口,F0/3口接服务器WEB的E0端口,F0/4口接服务器FTP的E0端口⑥交换机S4的F0/1口接路由器R1(2621)的F0/0端口,F0/2口接交换机S1(2950)的F0/1端口,F0/3口接交换机S2(2950)的F0/1端口⑦交换机S5的F0/1口接路由器R2(2621)的F0/0端口,F0/2等端口接OFFICE主机⑧交换机S6的F0/1口接路由器R2(2621)的F0/1端口,F0/2等端口接DORM主机4、IP地址分配名称IP地址子网掩码网关WEB10.65.1.2255.255.0.010.65.1.1FTP10.65.1.3255.255.0.010.65.1.1交换机S110.65.1.4255.255.0.010.65.1.1交换机S210.65.1.5255.255.0.010.65.1.1交换机S310.65.1.6255.255.0.010.65.1.1交换机S410.65.1.7255.255.0.010.65.1.1交换机S510.70.1.2255.255.0.010.70.1.1交换机S610.171.1.2255.255.0.010.171.1.1路由器