精华内容
下载资源
问答
  • 注:详细文档在我的下载资源中,拓扑图如不清晰则可查看pkt文件 已将本文中的拓扑图进行了替换,改善了清晰度。...Cisco Packet Tracer v7.2.2-中小型企业网络建设最终部署文件与文章中小型企业网...

    注:详细文档在我的下载资源中,拓扑图如不清晰则可查看pkt文件

    已将本文中的拓扑图进行了替换,改善了清晰度。若还有疑问,可下载pkt文件进行查看。

    用高版本打开,本实验PKT格式文件用7.2.2版本可以打开

    环境要求:

    Cisco Packet Tracer v7.2.2软件

    说明:

    Cisco Packet Tracer v7.2.2-中小型企业网络建设最终部署文件与文章中小型企业网络建设-Cisco Packet Tracer v7.2.2思科网络模拟器实验练习(https://blog.csdn.net/weixin_39329758/article/details/90709777) 相对应;

    1.下载对应Cisco Packet Tracer v7.2.2软件,在软件中打开“中小型企业网络建设.pkt”即可。

    2.等待各个设备加载完毕即可。

    文档链接:https://download.csdn.net/download/weixin_39329758/11234846

    配置结果pkt文件链接:https://download.csdn.net/download/weixin_39329758/11234813

    Cisco Packet Tracer v7.2.2软件(64位)下载:https://download.csdn.net/download/weixin_39329758/11996158

    一、系统需求及功能

    1.系统需求:

    某集团公司拟为某地的H分公司部署局域网络,并连接到公司总部的网络。总部网络如下图所示:

    H分公司获得了总部统一分配的24位子网掩码的B类私网地址。现还需采购1台路由器、2台三层交换机、4台24口的二层交换机和1台FTP服务器,设备及相关材料由施工方采购。请设计并实施H分公司的网络建设。

    2.网络要求:

    2.1、 H网络接入到R2路由器上,使用OSPF动态路由协议,并配置为完全末梢区域;

    2.2、 H有三个部门,分别是行政部20台左右的主机(实际验收用2台主机作验证,下同),技术部20台左右的主机,工程部40台左右主机,它们必须分属3个不同的VLAN;

    2.3 、H所有主机均能通过NAT访问总部网络(以能ping通总部PC为准);

    2.4、 H的技术部允许访问H的FTP服务器(FTP服务器需部署FTP服务,其他PC部署FTP客户端,以能实现FTP上传下载为准),其他部门不能访问;

    2.5 、H网络在核心交换机处部署冗余保护,FTP服务器部署冗余保护;

    2.6、 所有主机自动获取IPv4地址。

    3.基本功能:

    3.1 、H所有主机均能通过NAT访问总部网络(以能ping通总部PC为准);

    3.2、 H的技术部允许访问H的FTP服务器(FTP服务器需部署FTP服务,其他PC部署FTP客户端,以能实现FTP上传下载为准),其他部门不能访问;

    3.3 、所有主机自动获取IPv4地址;

    3.4 、使用STP协议处理了网络之间形成的环路,不会产生广播风暴;

    二、设计方案

     

    三、系统规划设计

    1.设计流程:

    2.Vlan划分:

     

    部门

     

    Vlan

    主机数

    网络地址

    广播地址

    可用范围/子网掩码

    可用主机数

    工程部

    10

    40

    10.31.1.0

    10.31.1.63

    10.31.1.1-10.31.1.62/26

    62

    技术部

    20

    22

    10.31.1.64

    10.31.1.95

    10.31.1.65-10.1.1.94/27

    30

    行政部

    30

    22

    10.31.1.96

    10.31.1.127

    10.12.1.97-10.31.1.126/27

    30

    3.端口划分:

     

    部门

     

    主机数

    接口

    Vlan

    备注

    工程部

    40

    10.31.1.0

    SW2-1(1-22)+SW2-2(1-18)

    10

     

    技术部

    20

    10.31.1.64

    SW2-3(1-20)

    20

     

    行政部

    20

    22

    10.21.1.96

    SW-(1-20)

    30

     

    4.网络拓扑:

    以下为各部分较为清晰详细的地址等分配信息:

    四、项目脚本:

    1、二层交换机VLAN划分

    SW2-1:(工程部)

    Switch>enable
    Switch#configure terminal
    Switch(config)#hostname SW2-1
    SW2-1(config)#vlan 10
    SW2-1(config-vlan)#exit
    SW2-1(config)#interface range f0/1-22
    SW2-1(config-if-range)#switchport mode access
    SW2-1(config-if-range)#switchport access vlan 10
    SW2-1(config-if-range)#exit
    SW2-1(config)#interface range f0/23-24
    SW2-1(config)#switchport mode trunk
    SW2-1(config)#exit
    

    SW2-2:(工程部)

    Switch>enable
    Switch#configure terminal
    Switch(config)#hostname SW2-2
    SW2-2(config)#vlan 10
    SW2-2(config-vlan)#exit
    SW2-2(config)#interface range f0/1-18
    SW2-2(config-if-range)#switchport mode access
    SW2-2(config-if-range)#switchport access vlan 10
    SW2-2(config-if-range)#exit
    SW2-2(config)#interface range f0/23-24
    SW2-2(config)#switchport mode trunk
    SW2-2(config)#exit
    

    SW2-3:(技术部)

    Switch>enable
    Switch#configure terminal
    Switch(config)#hostname SW2-3
    SW2-3(config)#vlan 20
    SW2-3(config-vlan)#exit
    SW2-3(config)#interface range f0/1-20
    SW2-3(config-if-range)#switchport mode access
    SW2-3(config-if-range)#switchport access vlan 20
    SW2-3(config-if-range)#exit
    SW2-3(config)#interface range f0/23-24
    SW2-3(config)#switchport mode trunk
    SW2-3(config)#exit
    

    SW2-4:(行政部)

    Switch>enable
    Switch#configure terminal
    Switch(config)#hostname SW2-4
    SW2-4(config)#vlan 30
    SW2-4(config-vlan)#exit
    SW2-4(config)#interface range f0/1-20
    SW2-4(config-if-range)#switchport mode access
    SW2-4(config-if-range)#switchport access vlan 30
    SW2-4(config-if-range)#exit
    SW2-4(config)#interface range f0/23-24
    SW2-4(config)#switchport mode trunk
    SW2-4(config)#exit
    

    2、三层交换机端口链路聚合及与二层交换机的连通配置

            主要实现的三层交换机之间的冗余备份,将其中二层交换机与三层交换机之间用trunk线连起来。

    SW3-1:

    Switch>enable
    Switch#configure terminal
    Switch(config)#hostname SW3-1
    SW3-1(config)#vlan 10
    SW3-1(config-vlan)#exit
    SW3-1(config)#vlan 20
    SW3-1(config-vlan)#exit
    SW3-1(config)#vlan 30
    SW3-1(config-vlan)#exit
    SW3-1(config)#interface range f0/5-6
    SW3-1(config-if-range)#switchport trunk encapsulation dot1q
    SW3-1(config-if-range)#switchport mode trunk
    SW3-1(config-if-range)#channel-group 1 mode on
    SW3-1(config-if-range)#switchport mode access
    SW3-1(config-if-range)#switchport access vlan 10
    SW3-1(config-if-range)#switchport access vlan 20
    SW3-1(config-if-range)#switchport access vlan 30
    SW3-1(config-if-range)#exit
    SW3-1(config)#interface range f0/1-4
    SW3-1(config-if-range)#switchport trunk encapsulation dot1q
    SW3-1(config-if-range)#switchport mode trunk
    SW3-1(config-if-range)#exit
    SW3-1(config)#
    

    SW3-2:

    Switch>enable
    Switch#configure terminal
    Switch(config)#hostname SW3-2
    SW3-2(config)#vlan 10
    SW3-2(config-vlan)#exit
    SW3-2(config)#vlan 20
    SW3-2(config-vlan)#exit
    SW3-2(config)#vlan 30
    SW3-2(config-vlan)#exit
    SW3-2(config)#interface range f0/5-6
    SW3-2(config-if-range)#switchport trunk encapsulation dot1q
    SW3-2(config-if-range)#switchport mode trunk
    SW3-2(config-if-range)#channel-group 1 mode on
    SW3-2(config-if-range)#switchport mode access
    SW3-2(config-if-range)#switchport access vlan 10
    SW3-2(config-if-range)#switchport access vlan 20
    SW3-2(config-if-range)#switchport access vlan 30
    SW3-2(config-if-range)#exit
    SW3-2(config)#interface range f0/1-4
    SW3-2(config-if-range)#switchport trunk encapsulation dot1q
    SW3-2(config-if-range)#switchport mode trunk
    SW3-2(config-if-range)#exit
    SW3-2(config)#
    

    3、三层交换机Vlan间通信配置

            三层交换机可以实现不同vlan之间的互通,只需要打开三层交换机的路由功能(ip routing),然后二层交换机与三层交换机之间用trunk链路连接,将每个vlan封装进去即可实现不同vlan之间的通信。

    SW3-1:

    SW3-1(config)#interface vlan 10
    SW3-1(config-if)#no shutdown
    SW3-1(config-if)#ip address 10.31.1.62 255.255.255.192
    SW3-1(config-if)#exit
    SW3-1(config)#
    SW3-1(config)#interface vlan 20
    SW3-1(config-if)#no shutdown
    SW3-1(config-if)#ip address 10.31.1.94 255.255.255.224
    SW3-1(config-if)#exit
    SW3-1(config)#
    SW3-1(config)#interface vlan 30
    SW3-1(config-if)#no shutdown
    SW3-1(config-if)#ip address 10.31.1.126 255.255.255.224
    SW3-1(config-if)#exit
    SW3-1(config)#
    

    SW3-2:

    SW3-2(config)#interface vlan 10
    SW3-2(config-if)#no shutdown
    SW3-2(config-if)#ip address 10.31.1.62 255.255.255.192
    SW3-2(config-if)#exit
    SW3-2(config)#
    SW3-2(config)#interface vlan 20
    SW3-2(config-if)#no shutdown
    SW3-2(config-if)#ip address 10.31.1.94 255.255.255.224
    SW3-2(config-if)#exit
    SW3-2(config)#
    SW3-2(config)#interface vlan 30
    SW3-2(config-if)#no shutdown
    SW3-2(config-if)#ip address 10.31.1.126 255.255.255.224
    SW3-2(config-if)#exit
    SW3-2(config)#
    

    4、路由器配置

    用ospf动态路由实现网络层的通信,给三层交换机与路由器相通的端口也配置IP地址,实现传输层到网络层的通信。

    R3:

    Router>enable
    Router#configure terminal
    Router(config)#hostname R3
    R3(config)#interface loopback 1
    R3(config-if)#no shutdown
    R3(config-if)#ip address 10.31.1.254 255.255.255.255
    R3(config-if)#exit
    R3(config)#interface g0/0
    R3(config-if)#no shutdown
    R3(config-if)#ip address 10.31.1.130 255.255.255.252
    R3(config-if)#exit
    R3(config)#interface g0/1
    R3(config-if)#no shutdown
    R3(config-if)#ip address 10.31.1.133 255.255.255.255
    R3(config-if)#exit
    R3(config)#interface g0/2
    R3(config-if)#no shutdown
    R3(config-if)#ip address 10.31.1.137 255.255.255.252
    R3(config-if)#exit
    R3(config)#router ospf 10	
    R3(config-router)#router-id 10.31.1.254 
    R3(config-router)#network 10.31.1.254 0.0.0.0 area 1
    R3(config-router)#network 10.31.1.128 0.0.0.3 area 1
    R3(config-router)#network 10.31.1.132 0.0.0.3 area 1
    R3(config-router)#network 10.31.1.136 0.0.0.3 area 1
    R3(config-router)#exit
    

    R2

    Router>enable
    Router#configure terminal
    Router(config)#hostname R2
    R2(config)#interface loopback 1
    R2(config-if)#no shutdown
    R2(config-if)#ip address 10.31.1.253 255.255.255.255
    R2(config-if)#exit
    R2(config)#interface g0/0
    R2(config-if)#no shutdown
    R2(config-if)#ip address 10.31.1.129 255.255.255.252
    R2(config-if)#exit
    R2(config)#interface g0/1
    R2(config-if)#no shutdown
    R2(config-if)#ip address 10.31.2.1 255.255.255.0
    R2(config-if)#exit
    R2(config)#router ospf 10	
    R2(config-router)#router-id 10.31.1.253 
    R2(config-router)#network 10.31.1.253 0.0.0.0 area 0
    R2(config-router)#network 10.31.2.0 0.0.0.255 area 0
    R2(config-router)#network 10.31.1.128 0.0.0.3 area 1
    R2(config-router)#exit
    

    R1:

    Router>enable
    Router#configure terminal
    Router(config)#hostname R1
    R1(config)#interface loopback 1
    R1(config-if)#no shutdown
    R1(config-if)#ip address 10.31.1.252 255.255.255.255
    R1(config-if)#exit
    R1(config)#interface g0/1
    R1(config-if)#no shutdown
    R1(config-if)#ip address 10.31.2.2 255.255.255.0
    R1(config-if)#exit
    R1(config)#interface g0/0
    R1(config-if)#no shutdown
    R1(config-if)#ip address 10.31.3.1 255.255.255.0
    R1(config-if)#exit
    R1(config)#router ospf 10	
    R1(config-router)#router-id 10.31.1.252 
    R1(config-router)#network 10.31.1.252 0.0.0.0 area 0
    R1(config-router)#network 10.31.2.0 0.0.0.255 area 0
    R1(config-router)#network 10.31.3.0 0.0.0.255 area 0
    R3(config-router)#exit
    

    SW3-1:

    SW3-1(config)#ip routing
    SW3-1(config)#interface f0/24
    SW3-1(config-if)#no switchport
    SW3-1(config-if)#ip address 10.31.1.134 255.255.255.252
    SW3-1(config-if)#exit
    SW3-1(config)#router ospf 10
    SW3-1(config-router)#network 10.31.1.132 0.0.0.3 area 1
    SW3-1(config-router)#network 10.31.1.0 0.0.0.63 area 1
    SW3-1(config-router)#network 10.31.1.64 0.0.0.31 area 1
    SW3-1(config-router)#network 10.31.1.96 0.0.0.31 area 1
    SW3-1(config-router)#exit
    SW3-1(config-router)#
    

    SW3-2:

    SW3-2(config)#ip routing
    SW3-2(config)#interface f0/24
    SW3-2(config-if)#no switchport
    SW3-2(config-if)#ip address 10.31.1.134 255.255.255.252
    SW3-2(config-if)#exit
    SW3-2(config)#router ospf 10
    SW3-2(config-router)#network 10.31.1.132 0.0.0.3 area 1
    SW3-2(config-router)#network 10.31.1.0 0.0.0.63 area 1
    SW3-2(config-router)#network 10.31.1.64 0.0.0.31 area 1
    SW3-2(config-router)#network 10.31.1.96 0.0.0.31 area 1
    SW3-2(config-router)#exit
    SW3-2(config-router)#
    

    5、特殊区域配置

            题目要求,H网络接入到R2路由器上,使用OSPF动态路由协议,并配置为完全末梢区域,所以将area 1 区域设置为total stub(完全末梢区域)。

    R2

    R2(config)#router ospf 10	
    R2(config-router)#area 1 stub no-summary
    R2(config-router)#exit
    

    R3:

    R3(config)#router ospf 10	
    R3(config-router)#area 1 stub no-summary
    R3(config-router)#exit
    

    SW3-1:

    SW3-1(config)#router ospf 10	
    SW3-1(config-router)#area 1 stub no-summary
    SW3-1(config-router)#exit
    

    SW3-2:

    SW3-2(config)#router ospf 10	
    SW3-2(config-router)#area 1 stub no-summary
    SW3-2(config-router)#exit
    

    6、防环处理

            开启三层交换机和二层交换机的生成树协议,实现防环处理,防止网络风暴的发生。并通过设置根交换机的优先级,使SW3-1作为主根,SW3-2作为次根。

    SW3-1

    SW3-1(config)#spanning-tree vlan 10
    SW3-1(config)#spanning-tree vlan 20
    SW3-1(config)#spanning-tree vlan 30
    SW3-1(config)#spanning-tree vlan 10 priority 4096
    SW3-1(config)#spanning-tree vlan 20 priority 4096
    SW3-1(config)#spanning-tree vlan 30 priority 4096
    

    SW3-2

    SW3-2(config)#spanning-tree vlan 10
    SW3-2(config)#spanning-tree vlan 20
    SW3-2(config)#spanning-tree vlan 30
    SW3-2(config)#spanning-tree vlan 10 priority 8192
    SW3-2(config)#spanning-tree vlan 20 priority 8192
    SW3-2(config)#spanning-tree vlan 30 priority 8192
    

    7、DHCP地址池配置

            DHCP服务可以实现动态获取IP地址的功能,可以在三层交换机上搭建一个无中继DHCP服务,从而使三个部门动态获取IP地址。在R1上搭建一个无中继DHCP服务,从而使H主网的PC机实现动态获取IP地址。

    SW3-1

    SW3-1(config)#service dhcp
    SW3-1(config)#ip dhcp pool vlan10
    SW3-1(config-pool)#network 10.31.1.0 255.255.255.192
    SW3-1(config-pool)#dns-server 4.4.4.4
    SW3-1(config-pool)#default-router 10.31.1.62
    SW3-1config-)#ip dhcp excluded-address 10.31.1.62
    SW3-1(config)#ip dhcp pool vlan20
    SW3-1(config-pool)#network 10.31.1.64 255.255.255.224
    SW3-1(config-pool)#dns-server 4.4.4.4
    SW3-1(config-pool)#default-router 10.31.1.94
    SW3-1(config)#ip dhcp excluded-address 10.31.1.94
    SW3-1(config)#ip dhcp pool vlan30
    SW3-1(config-pool)#network 10.31.1.96 255.255.255.224
    SW3-1(config-pool)#dns-server 4.4.4.4
    SW3-1(config-pool)#default-router 10.31.1.126
    SW3-1(config)#ip dhcp excluded-address 10.31.1.126
    

    SW3-2

    SW3-2(config)#service dhcp
    SW3-2(config)#ip dhcp pool vlan10
    SW3-2(config-pool)#network 10.31.1.0 255.255.255.192
    SW3-2(config-pool)#dns-server 4.4.4.4
    SW3-2(config-pool)#default-router 10.31.1.62
    SW3-1(config-)#ip dhcp excluded-address 10.31.1.62
    SW3-2(config)#ip dhcp pool vlan20
    SW3-2(config-pool)#network 10.31.1.64 255.255.255.224
    SW3-2(config-pool)#dns-server 4.4.4.4
    SW3-2(config-pool)#default-router 10.31.1.94
    SW3-2(config)#ip dhcp excluded-address 10.31.1.94
    SW3-2(config)#ip dhcp pool vlan30
    SW3-2(config-pool)#network 10.31.1.96 255.255.255.224
    SW3-2(config-pool)#dns-server 4.4.4.4
    SW3-2(config-pool)#default-router 10.31.1.126
    SW3-2(config)#ip dhcp excluded-address 10.31.1.126
    

    R1

    R1(config)#service dhcp	
    R1(config)#ip dhcp pool hostdhcp
    R1(config-pool)#network 10.31.3.0 255.255.255.0
    R1(config-pool)#dns-server 4.4.4.4
    R1(config-pool)#default-router 10.31.3.1
    R1(config-pool)#ip dhcp excluded-address 10.31.3.1
    R1(config)#
    

    8、NET配置

            将公司主网与Area1区域连接的端口配置NAT设置,将与主网连接的端口设置为内网,与分公司相连的网络配置为外网。

    R3:

    R2(config)#interface range g0/1-2
    R2(config-if)#ip nat inside 
    R2(config-if)#exit
    R2(config)#interface range g0/0
    R2(config-if)#ip nat outside 
    R2(config-if)#exit
    

    9、FTP配置
            对ftp服务器做冗余保护,所以将FTP分别连接到SW3-1和SW3-2 的fastEthernet0/23端口,给SW3-1和SW3-2 的fastEthernet0/23端口配置IP地址,给FTP服务器的fastEthernet 0和fastEthernet 1接口配置IP地址。

    SW3-1

    SW3-1(config)#interface f0/23
    SW3-1(config-if)#no switchport
    SW3-1(config-if)#ip address 10.31.1.141 255.255.255.252
    SW3-1(config-if)#no shutdown
    SW3-1(config-if)#exit
    SW3-1(config-if)#router ospf 10
    SW3-1(config-router)#network 10.31.1.140 0.0.0.3 area 1
    SW3-1(config-router)#exit
    

    SW3-2:

    SW3-2(config)#interface f0/23
    SW3-2(config-if)#no switchport
    SW3-2(config-if)#ip address 10.31.1.145 255.255.255.252
    SW3-2(config-if)#no shutdown
    SW3-2(config-if)#exit
    SW3-2(config-if)#router ospf 10
    SW3-2(config-router)#network 10.31.1.144 0.0.0.3 area 1
    SW3-2(config-router)#exit
    

    10、ACL控制列表配置配置

            访问控制列表是路由器和交换机接口的指令列表,用来控制端口进出的数据包,ACL适用于所有的路由协议。配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。通过配置访问控制列表可以实现只有技术部可以访问FTP服务的要求。且cisco模拟器中的控制列表默认拒绝访问,只需配置一条允许技术部访问的列表即可。

    SW3-1

    SW3-1(config)#access-list 1 permit 10.31.1.64 0.0.0.31
    SW3-1(config)#interface f0/23
    SW3-1(config-if)#ip access-group 1 out
    SW3-1(config-if)#exit
    

    SW3-2:

    SW3-2(config)#access-list 1 permit 10.31.1.64 0.0.0.31
    SW3-2(config)#interface f0/23
    SW3-2(config-if)#ip access-group 1 out
    SW3-2(config-if)#exit
    

    五、测试与验证:

    1、连通性验证(ping)

    (1)vlan间通信(不同部门间的通信)

     

    (2)访问总公司

    (3)链路聚合验证(show etherchannel summary)

    SW3-1:

    SW3-2:

    生成树验证(show spanning-tree)

    SW3-1: 

    vlan10:

    vlan20:

    vlan30:

    SW3-2:

    vlan10:

    vlan20:

    vlan30:

    访问控制列表验证(show ip access-list)

    SW3-1:

    FTP服务验证(ftp 10.31.1.142)

    技术部:

    其他部门:

    完全末梢区域(total stub)验证(show ip route)

    R3:

    SW3-1:

    SW3-2:

    DHCP动态获取IP地址验证

    工程部:

    技术部:

    行政部:

    六、任务分工:

            本实验所有过程为我个人独立完成。

    七、总结收获:

            通过综合实验,把数据通信中的知识点立即的更清楚了。明白了vlan划分、聚合链路、生成树、ACL、NAT等的作用,知道了vlan见通信的配置方式由单臂路由、三次交换机上的vlan通信等。

     

    展开全文
  • 企业网网络架构介绍

    千次阅读 2019-07-02 01:49:43
    企业网网络架构介绍 前言 企业的业务总是在不断地发展,对网络的需求也是在不断地变化,这就要求企业网络应该具备适应这种需求不断变化的能力。因此,我们了解企业网络的架构是如何适应业务的需求将变得十分必要。...

    企业网网络架构介绍

    • 前言

      企业的业务总是在不断地发展,对网络的需求也是在不断地变化,这就要求企业网络应该具备适应这种需求不断变化的能力。因此,我们了解企业网络的架构是如何适应业务的需求将变得十分必要。

    • 企业网络

    在这里插入图片描述

    • 企业网络远程互联

      最初,企业网络是指某个组织或机构的网络互联系统。企业使用该互联系统主要用于共享打印机、文件服务器等,使用email实现用户间的高效协同工作。现在,企业网络已经广泛应用在各行各业中,包括小型办公室、教育、政府和银行等行业或机构。
      在这里插入图片描述
      大型企业的网络往往跨越了多个物理区域,所以需要使用远程互连技术来连接企业总部和分支机构,从而使得出差的员工能随时随地接入企业网络实现移动办公,企业的合作伙伴和客户也能够及时高效的访问到企业的相应资源及工具。在实现远程互连的同时,企业还会基于对数据的私密性和安全性的考虑对远程互连技术进行选择。

    • 企业网络基本架构
      在这里插入图片描述
      1、企业网络架构很大程度上取决于企业或机构的业务需求。小型企业通常只有一个办公地点,一般采用扁平网络架构进行组网。这种扁平网络能够满足用户对资源访问的需求,并具有较强的灵活性,同时又能大大减少部署和维护成本。小型企业网络通常缺少冗余机制,可靠性不高,容易发生业务中断。

      2、大型企业网络对业务的连续性要求很高,所以通常会通过网络冗余备份来保证网络的可用性和稳定性,从而保障企业的日常业务运营。大型企业网络也会对业务资源的访问进行控制,所以通常会采用多层网络架构来优化流量分布,并应用各种策略进行流量管理和资源访问控制。多层网络设计也可以使网络易于扩展。大型企业网络采用模块化设计能够有效实现网络隔离并简化网络维护,避免某一区域产生的故障影响到整个网络。

    • 什么是计算机网络?

      计算机网络,是指将地理位置不同的具有独立自主功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。

    • 小型网络和大型网络区别?

      1、扁平化:所有的设备都在一个层次

      接入:接入终端
      网关:互联因特网
      缺点:网络扩展能力低
      优点:成本低,维护简单

      2、层次化:(小中)

      接入:接入终端
      汇聚:汇聚用户数据,进行策略分发
      核心:互联广域网,负责数据的高速转发

    大型企业网络用户较多,通常采用层次化结构以支持网络的扩展和用户的增长。(分块)

    3、数据中心组网:大二层(Vxlan),二层架构

    • 大型企业网络的基本设计思想:

      冗余性、稳定性、安全性、扩展性、可管理性

    • 持续更新

      各位观看学习交流的小伙伴们,如果还没看爽的话,点开我的头像,有更多关于计算机网络的详细资料,以及更多惊喜等着你来赏析!

      如果大家觉得有帮助的话,可以动动你们的金手指点个赞,让更多和你一样优秀的人看见欧!!!

    • 给未来自己的三行情书

      笔耕不断,夜以继日!
      生命不息,奋斗不止!!
      只有度过了一段连自己都被感动的日子,才会变成那个最好的自己!!!

    你们说呢?

    展开全文
  • 大型企业网络架构

    万次阅读 多人点赞 2018-11-24 10:57:01
    可以看到,在大型企业网络架构中,有非常多的产品:交换机、路由器、防火墙、IDS、IPS、服务器等设备。 那么有很多人会问,有了防火墙为什么还要IPS和IDS呢? 防火墙较多的应用在内保护(NAT),流控,过滤等...

    目录

    DMZ区

    办公区

    核心区

    访问限制

    堡垒机


     

    注:图中防火墙和IPS更换位置

    可以看到,在大型企业网络架构中,有非常多的产品:交换机、路由器、防火墙、IDS、IPS、服务器等设备。

    那么有很多人会问,有了防火墙为什么还要IPS和IDS呢?

    防火墙较多的应用在内网保护(NAT),流控,过滤等方面;而在对攻击方面的检测和防御方面相对较弱、所以就需要IDS和IPS。

    而IDS(Intrusion Detection Systems),只是做些攻击的检测工作,本身并不做防护,它检测到攻击的时候,可能此时攻击已经产生灾难了,所以IDS一般都需要和一些防攻击设备IPS共用;

    IPS(Intrusion Prevention System),它不光对已知的攻击种类能防御,还能检测些异常协议的攻击,比较灵活。

    • 防火墙是防御系统,属于访问控制类产品
    • IDS是入侵检测系统,属于审计类产品
    • IPS是入侵防御系统,属于访问控制类产品

    IDS虽是IPS的前身,但本质上,IPS已经发生了根本的变化,前者是审计类产品,后者属于访问控制类。

    有人说,IDS也可以和防火墙联动执行访问控制,但这并不会改变IDS审计类产品的本质,因为,执行访问控制的是防火墙,而不是IDS。

    • 防火墙是基于IP地址和端口来执行访问控制的
    • IPS是基于入侵检测来执行访问控制的

    大型企业网络架构有三层:接入层、汇聚层、核心层

    • 接入层接入不同的部门,不同的部门属于不同的VLAN,保证了不同部门之间的安全。
    • 核心层有两个核心交换机,实现负载均衡和热备份,即使有一个核心交换机宕机了,网络也不会瘫痪。
    • 对内服务器有一个IDS入侵检测系统,检测对内服务器的安全。
    • 对外服务器有一个 WAF和IDS ,用来检测外网用户对对外服务器的访问
    • 边界防火墙主要是用来进行流量控制、流量过滤和进行内外网NAT转换。
    • 在网络出口处,还有IPS入侵检测系统,实时检测是否有异常攻击行为,并及时阻断。
    • 出口路由器由两个不同的运营商提供,提供对公网路由
    • 防火墙、IPS 和 边界路由器都有两个,实现负载均衡和热备份。即使任何一个宕机了,都不会影响企业网络的正常运作。

    DMZ区

    DMZ(Demilitarized Zone)非军事化区,也就是隔离区,DMZ区是一个对外服务区,在DMZ区域中存放着一些公共服务器,比如对外的服务器、对外的邮箱等等。用户要从外网访问到的服务,理论上都可以放到DMZ区。

    内网可以单向访问DMZ区、外网也可以单向访问DMZ区,DMZ访问内网有限制策略,这样就实现了内外网分离。

    DMZ可以理解为一个不同于外网或内网的特殊网络区域,即使黑客攻陷了DMZ区,黑客也不能访问内网区域。

    办公区

    办公区就是企业员工日常办公的区域,办公区安全防护水平通常不高,基本的防护手段大多为杀毒软件或主机入侵检测产品。在实际的网络环境中,攻击者在获取办公区的权限后,会利用域信任关系来扩大攻击面。在一般情况下,攻击者很少能直接到达办公区,攻击者进入办公区的手段通常为 鱼叉攻击、水坑攻击 和其他社会工程学手段。

    办公区按照系统可分为OA系统、邮件系统、财务系统、文件共享系统、企业版杀毒系统、内部应用监控系统、运维管理系统等。按照网段可分为域管理网段、内部服务器系统网段、各部门分区网段等。

    核心区

    核心区内一般存放着企业最重要的数据、文档等资产。例如,域控、核心生产服务器等,安全设置也最为严格。根据业务的不同,相关服务器可能存放于不同的网段中。

    核心区按照系统可分为业务系统、运维监控系统、安全系统等,按照网段可分为业务网段、运维监控网段、安全管理网段等。

    访问限制

    当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。

    1.内网可以访问外网

    内网的用户显然需要自由地访问外网。在这一策略中,出口路由器需要进行源地址NAT转换。

    2.内网可以访问DMZ

    此策略是为了方便内网用户使用和管理DMZ中的服务器。

    3.外网不能访问内网

    很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。

    4.外网可以访问DMZ

    DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由出口路由器完成对外地址到服务器实际地址的转换。

    5.DMZ访问内网有限制

    很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。

    6.DMZ不能访问外网

    此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网。

    堡垒机

    堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种技术手段。

    其从功能上讲,它综合了核心系统运维安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。形象地说,终端计算机对目标的访问,均需要经过运维安全审计的翻译。打一个比方,运维安全审计扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过。因此运维安全审计能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为,并对内部人员误操作和非法操作进行审计监控,以便事后责任追踪。 

    堡垒机原理:

    堡垒机实际上是旁路在网络交换机节点上的硬件设备,实现运维人员远程访问维护服务器的跳板,即物理上并联,逻辑上串联。简单的说,就是服务器运维管理人员原先是直接通过远程访问技术进行服务器维护和操作,这期间不免有一些误操作或者越权操作,而“堡垒机”作为远程运维的跳板,使运维人员间接通过堡垒机进行对远程服务的的运维操作。如原来使用微软的远程桌面RDP进行windows服务器的远程运维,现在先访问到堡垒机,再由堡垒机访问远程windows服务器。这期间,运维人员的所有操作都被记录下来,可以以屏幕录像、字符操作日志等形式长久保存。在服务器发生故障时,就可以通过保存的记录查看到以前进行的任何操作。

    堡垒机的核心技术实际上就是微软的RDP协议,通过对RDP协议的解析,实现远程运维操作的图形审计。

    以windows远程运维操作为例,客户端通过RDP协议访问“堡垒机”,再由堡垒机内置的远程访问客户端访问远程windows服务器,即RDP+RDP。

    那么图形界面的操作是如何记录下来的呢?实际上堡垒机内部也是Windows操作系统(不一定,有时候是Windows+Linux),客户端RDP到堡垒机后,又再一次启动了新的RDP,这时堡垒机的windows桌面就是远程访问到远程服务器时的桌面,只需要把这时的桌面情况记录下来就可以了。

    由于微软的RDP协议内置了远程访问的屏幕信息,所以只需要正确的解析RDP协议的内容,并且把其中包含的视频信息抽取出来,再进行重组、压缩,就实现了图形操作的审计。

    至于字符操作的审计,如FTP,实际上堡垒机内部内置了FTP客户端程序,也是客户端主机先RDP到堡垒机,再由堡垒机启动FTP客户端程序访问远程服务器,这样还是由堡垒机作为跳板,间接地把FTP命令传送到服务器,并把服务器的响应信息反馈给客户端主机,中间的操作过程全都被记录了下来。

    堡垒机的核心功能:单点登录、账号管理、身份认证、资源授权、访问控制和操作审计

    相关文章:防火墙Firewall

                      IDS入侵检测系统

                      IPS入侵防御系统

     

    展开全文
  • ENSP实现小型企业网三层架构

    万次阅读 多人点赞 2019-11-14 19:49:09
    三层架构框架: 接入层:提供端口的密度,用于用户终端的接入。一般使用二层交换机、AP等设备。 汇聚层(分布层):流量的集合处。可以用到的技术有:DHCP / VLAN / STP / HSRP / VRRP / channel / QOS / ACL… ...

    三层架构框架:

    接入层:提供端口的密度,用于用户终端的接入。一般使用二层交换机、AP等设备。
    汇聚层(分布层):流量的集合处。可以用到的技术有:DHCP / VLAN / STP / HSRP / VRRP / channel / QOS / ACL…
    核心层:使用NAT实现内网与公网之间的访问。能够进行高速路由转发。

    三层架构的核心:

    冗余—备份。 线路备份、设备备份、网关备份、UPS(电源)备份。
    :UPS(电源)备份不属于技术。设备若存在双电源口,将两根电源查到不同的供电处即可实现电源备份。

    三层架构案例:

    拓扑图:

    在这里插入图片描述
    要求:
    1:ISP只能配置公有IP,不得再进行其他任何配置。
    2:所有PC通过DHCP获取IP地址。
    3:STP-MSTP合理分组,VLAN—混用中继和混杂模式。
    4:内网IP地址基于172.16.0.0/16合理分配。
    5:ISP Telnet 登录R1的公有IP地址,实际登录到SW1上。
    6:正常所有PC均可以访问ISP环回。当随机在SW1和SW2中关闭一台设备时,PC依然可以正常访问ISP。

    配置与思路:

    1:划分IP地址。
    R1与R2之间公有地址使用12.1.1.0/24网段,ISP(R2)环回地址为2.2.2.0/24.

    内网IP地址:

        172.16.0.0/27----R1与SW1之间
        172.16.0.32/27----R1与SW2之间
        
        172.16.0.64/27----VLAN1
        172.16.0.66/27----VLAN1的网关
        
        172.16.0.96/27----VLAN2
        172.16.0.98/27----VLAN2的网关
        
        172.16.0.128/27----VLAN3
        172.16.0.130/27----VLAN3的网关
    

    2:配置

    1>:在SW1上配置DHCP,并且作为主网关使所有PC可以通过DHCP获取IP地址

    SW1:

    <Huawei>system-view 
    Enter system view, return user view with Ctrl+Z.
    [Huawei]sy	
    [Huawei]sysname sw1
    [sw1]
    [sw1]vlan 2
    [sw1-vlan2]quit 
    [sw1]vlan 3
    [sw1-vlan3]quit 
    [sw1]interface Vlanif 1
    [sw1-Vlanif1]ip address 172.16.0.65 27
    [sw1-Vlanif1]vrrp vrid 1 virtual-ip 172.16.0.66
    [sw1-Vlanif1]vrrp vrid 1 priority 120
    [sw1-Vlanif1]vrrp vrid 1 preempt-mode timer delay 20
    [sw1-Vlanif1]vrrp vrid 1 track interface GigabitEthernet 0/0/1 reduced 30
    [sw1-Vlanif1]
    [sw1-Vlanif1]quit 
    [sw1]dhcp enable 
    [sw1]ip pool 1
    [sw1-ip-pool-1]network 172.16.0.64 mask 27
    [sw1-ip-pool-1]gateway-list  172.16.0.66
    [sw1-ip-pool-1]dns-list 8.8.8.8
    [sw1-ip-pool-1]quit 
    [sw1]interface Vlanif 1	
    [sw1-Vlanif1]dhcp select global 
    [sw1-Vlanif1]quit 
    [sw1]
    [sw1]interface Vlanif 2
    [sw1-Vlanif2]ip add	
    [sw1-Vlanif2]ip address 172.16.0.97 27
    [sw1-Vlanif2]vrrp vrid 2 virtual-ip 172.16.0.98
    [sw1-Vlanif2]vrrp vrid 2 priority 120
    [sw1-Vlanif2]vrrp vrid 2 preempt-mode timer delay 20
    [sw1-Vlanif2]vrrp vrid 2 track interface GigabitEthernet 0/0/1 reduced 30
    [sw1-Vlanif2]quit 
    [sw1]ip pool 2
    [sw1-ip-pool-2]network 172.16.0.96 mask 27
    [sw1-ip-pool-2]gateway-list  172.16.0.98
    [sw1-ip-pool-2]dns-list 8.8.8.8
    [sw1-ip-pool-2]quit 
    [sw1]
    [sw1]interface Vlanif 2
    [sw1-Vlanif2]dhcp select global 
    [sw1-Vlanif2]quit 
    [sw1]interface Vlanif 3
    [sw1-Vlanif3]ip address 172.16.0.129 27
    [sw1-Vlanif3]vrrp vrid 3 virtual-ip 172.16.0.130
    [sw1-Vlanif3]vrrp vrid 3 priority 120
    [sw1-Vlanif3]vrrp vrid 3 preempt-mode timer delay 20
    [sw1-Vlanif3]vrrp vrid 3 track interface GigabitEthernet 0/0/1 reduced 30
    [sw1-Vlanif3]quit 
    [sw1]ip pool 3
    [sw1-ip-pool-3]network 172.16.0.128 mask 27
    [sw1-ip-pool-3]gateway-list 172.16.0.130
    [sw1-ip-pool-3]dns-list 8.8.8.8
    [sw1-ip-pool-3]quit 
    [sw1]interface Vlanif 3
    [sw1-Vlanif3]dhcp select global 
    [sw1-Vlanif3]quit 
    [sw1]interface GigabitEthernet 0/0/4	
    [sw1-GigabitEthernet0/0/4]port hybrid tagged vlan 1 to 3
    [sw1-GigabitEthernet0/0/4]quit 
    [sw1]interface GigabitEthernet 0/0/5
    [sw1-GigabitEthernet0/0/5]port hybrid tagged vlan 1 to 3
    [sw1-GigabitEthernet0/0/5]quit 
    [sw1]
    
    

    SW3:

    <Huawei>system-view 
    [Huawei]sysname sw3
    [sw3]interface Eth0/0/1
    [sw3-Ethernet0/0/1]port link-type trunk 
    [sw3-Ethernet0/0/1]port trunk allow-pass vlan 1 to 3
    [sw3-Ethernet0/0/1]quit 
    [sw3]vlan 2
    [sw3-vlan2]quit 
    [sw3]vlan 3
    [sw3-vlan3]quit 
    [sw3]port-group group-member Ethernet 0/0/3 to Ethernet 0/0/5
    [sw3-port-group]port link-type access 
    [sw3-port-group]quit 
    [sw3]interface Eth0/0/4
    [sw3-Ethernet0/0/4]port default vlan 2
    [sw3-Ethernet0/0/4]quit 
    [sw3]interface Eth0/0/5
    [sw3-Ethernet0/0/5]port default vlan 3
    [sw3-Ethernet0/0/5]quit 
    [sw3]
    
    

    SW4:

    <Huawei>system-view 
    [Huawei]sysname sw4
    [sw4]interface Eth0/0/1
    [sw4-Ethernet0/0/1]port link-type trunk 
    [sw4-Ethernet0/0/1]port trunk allow-pass vlan 1 to 3
    [sw4-Ethernet0/0/1]quit 
    [sw4]vlan 2
    [sw4-vlan2]quit 
    [sw4]vlan 3
    [sw4-vlan3]quit 
    [sw4]port-group group-member Ethernet 0/0/3 to Ethernet 0/0/4
    [sw4-port-group]port link-type access 
    [sw4-port-group]quit 
    [sw4]interface Eth0/0/3
    [sw4-Ethernet0/0/3]port default vlan 2
    [sw4-Ethernet0/0/3]quit 
    [sw4]interface Eth0/0/4
    [sw4-Ethernet0/0/4]port default vlan 3
    [sw4-Ethernet0/0/4]quit 
    [sw4]
    
    

    测试:
    PC1:
    在这里插入图片描述
    PC2:
    在这里插入图片描述
    PC3:
    在这里插入图片描述
    PC4:
    在这里插入图片描述
    PC5:
    在这里插入图片描述
    测试得出所有PC将SW1作为网关通过DHCP可以正常获取IP地址。

    2>:在SW2上进行配置,使SW2作为SW2的备份网关。并且SW1与SW2之间的链路进行叠加。

    SW2:

    <Huawei>system-view 
    [Huawei]sysname sw2
    [sw2]vlan 2
    [sw2-vlan2]quit 
    [sw2]vlan 3
    [sw2-vlan3]quit 
    [sw2]interface Vlanif 1
    [sw2-Vlanif1]ip address 172.16.0.67 27
    [sw2-Vlanif1]vrrp vrid 1 virtual-ip 172.16.0.66 
    [sw2-Vlanif1]quit 
    [sw2]dhcp enable 
    [sw2]ip pool 1
    [sw2-ip-pool-1]network 172.16.0.64 mask 27
    [sw2-ip-pool-1]gateway-list 172.16.0.66
    [sw2-ip-pool-1]dns-list 8.8.8.8
    [sw2-ip-pool-1]quit 
    [sw2]interface Vlanif 1
    [sw2-Vlanif1]dhcp select global 
    [sw2-Vlanif1]quit 
    [sw2]
    [sw2]interface Vlanif 2
    [sw2-Vlanif2]ip address 172.16.0.99 27
    [sw2-Vlanif2]vrrp vrid 2 virtual-ip 172.16.0.98
    [sw2-Vlanif2]quit 
    [sw2]ip pool 2
    [sw2-ip-pool-2]network 172.16.0.96 mask 27
    [sw2-ip-pool-2]gateway-list 172.16.0.98
    [sw2-ip-pool-2]dns-list 8.8.8.8
    [sw2-ip-pool-2]quit 
    [sw2]interface Vlanif 2
    [sw2-Vlanif2]dhcp select global 
    [sw2-Vlanif2]quit 
    [sw2]
    [sw2]interface Vlanif 3
    [sw2-Vlanif3]ip address 172.16.0.131 27
    [sw2-Vlanif3]vrrp vrid 3 virtual-ip 172.16.0.130
    [sw2-Vlanif3]quit 
    [sw2]ip pool 3
    [sw2-ip-pool-3]network 172.16.0.128 mask 27
    [sw2-ip-pool-3]gateway-list  172.16.0.130
    [sw2-ip-pool-3]dns-list 8.8.8.8
    [sw2-ip-pool-3]quit 
    [sw2]interface Vlanif 3
    [sw2-Vlanif3]dhcp select global 
    [sw2-Vlanif3]quit 
    [sw2]interface GigabitEthernet 0/0/5
    [sw2-GigabitEthernet0/0/5]port hybrid tagged vlan 1 to 3
    [sw2-GigabitEthernet0/0/5]quit 
    [sw2]interface GigabitEthernet 0/0/4
    [sw2-GigabitEthernet0/0/4]port hybrid tagged vlan 1 to 3
    [sw2-GigabitEthernet0/0/4]quit 
    
    

    SW4:

    [sw4]interface Eth0/0/2
    [sw4-Ethernet0/0/2]port link-type trunk 
    [sw4-Ethernet0/0/2]port trunk allow-pass vlan 1 to 3
    [sw4-Ethernet0/0/2]quit
    

    SW3:

    [sw3]interface Eth0/0/2	
    [sw3-Ethernet0/0/2]port link-type trunk 
    [sw3-Ethernet0/0/2]port trunk allow-pass vlan 1 to 3
    [sw3-Ethernet0/0/2]quit 
    

    链路叠加:
    链路叠加的要求:
    1、通道的对端必须为同一台设备;
    2、通道的所有物理接口应该具有相同的速率、双工模式;相同的类型,相同的vlan允许列表;

    SW1:

    [sw1]interface Eth-Trunk 0
    [sw1-Eth-Trunk0]quit 
    [sw1]interface GigabitEthernet 0/0/2
    [sw1-GigabitEthernet0/0/2]eth-trunk 0
    [sw1-GigabitEthernet0/0/2]quit 
    [sw1]interface GigabitEthernet 0/0/3
    [sw1-GigabitEthernet0/0/3]eth-trunk 0
    [sw1-GigabitEthernet0/0/3]quit 
    [sw1]interface Eth-Trunk 0
    [sw1-Eth-Trunk0]port link-type hybrid 
    [sw1-Eth-Trunk0]port hybrid tagged vlan 1 to 3
    [sw1-Eth-Trunk0]quit 
    

    SW2:

    [sw2]interface Eth-Trunk 0
    [sw2-Eth-Trunk0]quit 
    [sw2]interface GigabitEthernet 0/0/2	
    [sw2-GigabitEthernet0/0/2]eth-trunk 0
    [sw2-GigabitEthernet0/0/2]quit 
    [sw2]interface GigabitEthernet 0/0/3
    [sw2-GigabitEthernet0/0/3]eth-trunk 0
    [sw2-GigabitEthernet0/0/3]quit 
    [sw2]interface Eth-Trunk 0
    [sw2-Eth-Trunk0]port link-type hybrid 
    [sw2-Eth-Trunk0]port hybrid tagged vlan 1 to 3
    [sw2-Eth-Trunk0]quit 
    
    

    3>:配置MSTP,VLAN1划入组1,VLAN2、3划入组2,且主根为SW1,备份根为SW2。

    SW1:

    [sw1]stp mode mstp 
    [sw1]stp enable 	
    [sw1]stp region-configuration 
    [sw1-mst-region]region-name a
    [sw1-mst-region]instance 1 vlan 1
    [sw1-mst-region]instance 2 vlan 2 to 3
    [sw1-mst-region]active region-configuration 
    [sw1-mst-region]quit 
    [sw1]stp instance 1 root primary 
    [sw1]stp instance 2 root  primary 
    

    SW2:

    [sw2]stp mode mstp 
    [sw2]stp enable 
    [sw2]stp region-configuration 
    [sw2-mst-region]region-name a
    [sw2-mst-region]instance 1 vlan 1
    [sw2-mst-region]instance 2 vlan 2 to 3
    [sw2-mst-region]active region-configuration 
    [sw2-mst-region]quit 
    [sw2]stp instance 1 root secondary 
    [sw2]stp instance 2 root secondary
    

    SW3:

    [sw3]stp mode mstp 
    [sw3]stp enable 
    [sw3]stp region-configuration 
    [sw3-mst-region]region-name a
    [sw3-mst-region]instance 1 vlan 1
    [sw3-mst-region]instance 2 vlan 2 to 3
    [sw3-mst-region]active region-configuration 
    [sw3-mst-region]quit 
    

    SW4:

    [sw4]stp mode mstp 
    [sw4]stp enable 
    [sw4]stp region-configuration 
    [sw4-mst-region]region-name a
    [sw4-mst-region]instance 1 vlan 1
    [sw4-mst-region]instance 2 vlan 2 to 3
    [sw4-mst-region]active region-configuration 
    [sw4-mst-region]quit 
    

    4>:在SW1和SW2上给物理接口配置IP地址来让SW1和SW2能与R1进行访问。

    注:由于ENSP上的三层交换机在模拟器上不能直接给物理接口配置IP地址(真机可以),所以需要换思路:将需要配置IP地址的接口改为access模式并且划分到一个VLAN中,然后给该VLAN配置IP地址即可达到相同的效果。

    SW1:

    [sw1]vlan 10
    [sw1-vlan10]quit 
    [sw1]interface GigabitEthernet 0/0/1
    [sw1-GigabitEthernet0/0/1]port link-type access 
    [sw1-GigabitEthernet0/0/1]port default vlan 10
    [sw1-GigabitEthernet0/0/1]quit 
    [sw1]interface Vlanif 10
    [sw1-Vlanif10]ip address 172.16.0.2 27
    [sw1-Vlanif10]quit 
    

    SW2:

    [sw2]vlan 10
    [sw2-vlan10]
    [sw2-vlan10]quit 
    [sw2]interface GigabitEthernet 0/0/1
    [sw2-GigabitEthernet0/0/1]port link-type access 
    [sw2-GigabitEthernet0/0/1]port default vlan 10
    [sw2-GigabitEthernet0/0/1]quit 
    [sw2]interface Vlanif 10
    [sw2-Vlanif10]ip address 172.16.0.34 27
    [sw2-Vlanif10]quit 
    

    R1:

    [r1]interface GigabitEthernet 0/0/1
    [r1-GigabitEthernet0/0/1]ip address 172.16.0.1 27
    [r1-GigabitEthernet0/0/1]quit 
    [r1]interface GigabitEthernet 0/0/2
    [r1-GigabitEthernet0/0/2]ip address 172.16.0.33 27
    [r1-GigabitEthernet0/0/2]quit 
    

    测试R1与SW1和SW2物理接口能否正常访问:
    在这里插入图片描述
    在这里插入图片描述

    5>:在R1上配置VLAN1、2、3的静态路由,下一跳分别为SW1和SW2连接R1的物理接口,且下一跳为SW2连接R1的接口的路由为备份路由,优先级数值较大。
    R1:

    [r1]ip route-static 172.16.0.64 27 172.16.0.2
    [r1]ip route-static 172.16.0.96 27 172.16.0.2
    [r1]ip route-static 172.16.0.128 27 172.16.0.2
    [r1]ip route-static 172.16.0.64 27 172.16.0.34 preference 61
    [r1]ip route-static 172.16.0.96 27 172.16.0.34 preference 61
    [r1]ip route-static 172.16.0.128 27 172.16.0.34 preference 61
    

    6>:在R1和R2上配置公网地址,并通过NAT实现所有PC可以访问ISP环回

    R1:

    [r1]interface GigabitEthernet 0/0/0
    [r1-GigabitEthernet0/0/0]ip address 12.1.1.1 24
    [r1-GigabitEthernet0/0/0]quit 
    [r1]acl 2000
    [r1-acl-basic-2000]rule 5 permit source 172.16.0.0 0.0.0.255
    [r1]interface GigabitEthernet 0/0/0
    [r1-GigabitEthernet0/0/0]nat outbound 2000
    [r1-GigabitEthernet0/0/0]quit 
    [r1]ip route-static 0.0.0.0 0 12.1.1.2
    

    SW1:

    [sw1]ip route-static 0.0.0.0 0 172.16.0.1
    

    SW2:

    [sw2]ip route-static 0.0.0.0 0 172.16.0.33 
    

    测试所有PC能否正常访问ISP环回:
    PC1:
    在这里插入图片描述
    PC2:
    在这里插入图片描述
    PC3:
    在这里插入图片描述
    PC4:
    在这里插入图片描述
    PC5:
    在这里插入图片描述
    7>:在SW1上开启telnet服务,并在R1上配置端口映射。
    SW1:

    [sw1]user-interface vty 0 4
    [sw1-ui-vty0-4]authentication-mode password 
    [sw1-ui-vty0-4]user privilege level 15 
    [sw1-ui-vty0-4]set authentication password simple huawei123
    [sw1-ui-vty0-4]quit 
    

    R1:

    [r1]interface GigabitEthernet 0/0/0
    [r1-GigabitEthernet0/0/0]nat server protocol tcp global current-interface telnet
     inside 172.16.0.2 telnet 
    Warning:The port 23 is well-known port. If you continue it may cause function fa
    ilure.
    Are you sure to continue?[Y/N]:y
    [r1-GigabitEthernet0/0/0]
    

    在R2上进行测试:

    <r2>telnet 12.1.1.1
      Press CTRL_] to quit telnet mode
      Trying 12.1.1.1 ...
      Connected to 12.1.1.1 ...
    
    
    Login authentication
    
    
    Password:
    Info: The max number of VTY users is 5, and the number
          of current VTY users on line is 1.
          The current login time is 2019-11-14 21:54:52.
    <sw1>sy	
    <sw1>system-view 
    Enter system view, return user view with Ctrl+Z.
    [sw1]
    [sw1]
    

    测试:将SW1设备关闭,再次测试PC能否正常访问ISP环回。
    在这里插入图片描述
    PC1:
    在这里插入图片描述
    PC2:
    在这里插入图片描述
    PC3:
    在这里插入图片描述
    PC4:
    在这里插入图片描述
    PC5:
    在这里插入图片描述

    3:MSTP测试
    在这里插入图片描述
    对于生成树而言,根网桥为SW1,则为避免环路会阻塞SW4连接3号线的端口。PC4、5获取DHCP是通过SW4连接2号线的端口进行获取的(主网关正常的情况下)。此时断开2号线,测试PC4、5能否正常访问 ISP环回。

    SW4:

    [sw4]interface Eth0/0/1
    [sw4-Ethernet0/0/1]shutdown 
    

    PC4:
    在这里插入图片描述
    PC5:
    在这里插入图片描述

    在这里插入图片描述

    对于生成树组1而言,正常情况下会阻塞SW3连接2号线的端口(主网关正常),PC1通过SW3连接3号线的端口获取IP地址。将SW3连接3号线的端口关闭,再次测试PC1能否正常访问ISP环回。

    SW3:

    [sw3]interface Eth0/0/1
    [sw3-Ethernet0/0/1]shutdown 
    

    PC1:
    在这里插入图片描述

    至此,ENSP实现企业网三层架构全部完成。但缺点是接入层的PC没有做线路冗余,没有达到高可靠性。

    展开全文
  • 中小型企业网络构建

    万次阅读 2018-05-11 23:38:36
    中小型企业网络构建一、VLAN概述1、什么是VLAN? -- Virtual LAN(虚拟局域网)是物理设备上连接的不受物理位置限制的用户的一个逻辑组。 2、为什么要引入VLAN? -- 交换机分割了冲突域,但是不能分割广播域 -- ...
  • 计算机网络设计——企业网络规划与搭建

    千次阅读 多人点赞 2020-11-29 17:03:40
    (8)AR1上配置端口映射,外pc可以通过认证的方式对LSW1和LSW2进行运维,也可以访问企业的官网(www.xpu.com) 4.3 系统实现 网络拓扑图 (1)搭建拓扑如图 (2)规划IP地址。局域网内暂定划分7个vlan,其中vlan1...
  • 网络拓扑图及企业网络设计基本流程

    千次阅读 多人点赞 2020-07-20 23:37:54
    网络拓扑图及企业网络设计基本流程认识网络常见的路由协议分类:常见路由协议类型:网络层次结构:TCP/IP协议网络拓扑图企业网络设计基本流程网络设计基本原则网络拓扑设计原则网络设计的方法和思路网络架构安全域和...
  • 小型企业网三层架构(基于CISCO设备)

    万次阅读 多人点赞 2018-11-21 22:33:28
    小型企业网的三层架构(基于CISCO设备) 1.网络拓扑图 2.实验要求 1.Router0为ISP 2.三层交换与Router1连接的接口均为3层接口,右边3层交换机与PC相连的接口也为三层接口 3.内网地址为172.16.0.0/16 4...
  • 一分钟搞懂中小型企业网络架构

    千次阅读 多人点赞 2020-03-14 11:33:02
    1. 某公司有100台电脑(其实200也行)需要访问外; 2. 只有一个外IP; 3. 公司有4个部门(10个也行,多几个VLAN的事儿); 4. 需要电脑自动能获取到IP地址,不需要手动配置; 网络拓扑: 拓扑说明: 1. 拓扑...
  • 基于eNSP的小型企业网(附ensp源文件)

    千次阅读 热门讨论 2021-02-15 22:55:29
    基于eNSP的小型企业网 提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、规划好VLAN一、规划好VLAN二、进行DHCP配置1.引入库2.读入数据三、stp和vrrp的配置四、NAT配置总结欢迎...
  • 基于Packet trace的小型企业网络设计

    千次阅读 热门讨论 2020-04-12 15:44:30
    一 网络概述 通过思科模拟器,利用PC,二层交换机,三层交换机,路由器,服务器,等设备设计小型企业网络,模拟现实场景中企业用户的上网需求。...外部分,模拟了DNS地址解析服务器,以及web...
  • 小型企业网的搭建(企业网三层架构)

    万次阅读 多人点赞 2018-12-23 23:41:07
    实验拓扑图: 实验的要求: 三层交换机与核心路由器连接的端口均为3层接口,与服务器连接的交换机也是3层接口 内网地址均为172.16.0.0/16 HSRP或VRRP丶STP丶VLAN丶DTP丶TRUNK丶VTP均使用 控制路由条目数量 ...
  • 通过 eNSP 模拟中小型企业网并在网络设备上采用 VLAN 虚拟局域网、DHCP协议自动分配地址,以及高级ACL和PPP协议,使构建的企业网能满足业务需求,部门之间的传递的安全性。 注:以下案例仅供参考。 一、需求分析 ...
  • 企业网络规划和设计方案(一)

    万次阅读 多人点赞 2018-07-04 01:01:57
    企业网络规划和设计方案 一.工程概况公司有一栋独立大楼,高4层,每层面积2000平方米。由研发技术部(成员60人,分成硬件(25)和软件(35)2大部门)、生产部(主要产品是手持电子产品,110人,管理人员10人)和...
  • 企业网三层架构的搭建--Cisco多层交换网络

    千次阅读 多人点赞 2018-12-13 02:39:13
    ----抓取感兴趣流量(所有需要访问外的网段) CORE(config)#access-list 1 permit 172.16.2.0 0.0.0.255 CORE(config)#access-list 1 permit 172.16.3.0 0.0.0.255 CORE(config)#access-list 1 permit ...
  • 中小型企业网络架构(一)

    千次阅读 2020-10-28 20:20:46
    #中小型企业网络架构拓步图(第一部分)** 注:本人是初学者,欢迎各位大佬指教。 完全体 第一部分制作要求: 需求分析: 1:需要创建6个VLAN局域网; 2:IP地址设定无误; 3:需配置DHCP服务器; 4:需配置VRRP,...
  • 在知道了这方面的知识之后(不会出现说什么什么不了解,好歹大概的情况是会知道的),对于我今后学习的方向现在有了两条路径(并行发展),一个就是对于华为出来的eNSP仿真软件,这款软件主要对企业网络路由器、...
  • 企业网络的架构

    万次阅读 2018-07-12 17:01:04
    此方案将网络在逻辑上分为不同的区域:接入、汇聚、核心区域,数据中心区域,DMZ区域,企业边缘,网络管理区域等。此网络使用了一个三层的网络架构,包括核心层,汇聚层,接入层。将网络分为三层架构有诸多优点:每...
  • 中小型企业网络架构拓扑图搭建过程

    万次阅读 多人点赞 2020-04-04 11:44:27
    单臂路由 有缺陷 三层交换机 1.创建vlan 原则:所有交换机创建一模一样的vlan 2.把接口类型做好 原则:只在交换机的接口配置,交换机之间一定是trunk,交换机与 其他设备一定是aceess(单臂路由和无线设备除外) ...
  • HCNA学习笔记(一)企业网络基本架构简述

    万次阅读 多人点赞 2017-03-29 22:56:40
    1.小型企业网:用户终端--交换机--出口路由器--WAN(wide area network)广域网; 2.一般企业网:三层精简模型,分层有利于网络的扩展和管理。 1)接入层:第1层,此层设备主要为接入层交换机,用以接入企业终端设备,...
  • 中小型企业网络IP地址规划案例-1

    千次阅读 2018-07-31 18:42:11
    在IPv6还没有普及的状况下,目前IPv4还是企业主流的IP地址。作为网络工作人员在给企业前期做网络规划的时候,IP地址规划作为网络规划的一部分虽然没有太多技术含量,但其规划的合理性和易管理性对后期的网络维护,...
  • 基于eNSP的模拟企业网络的架构

    万次阅读 多人点赞 2018-07-13 17:08:12
    总体的架构图如下所示 首先我们给每个PC机器去设置IP地址 ...然后去设置交换机LSW1,交换机要设置IP的话我们需要去划分vlan10、vlan20 ,然后再去设置每个端口的连接,下面去连接了PC机器的access端口和...
  • 一般来讲,中小型企业都缺少专职的IT网络架构和IT服务人员,很多企业都会选择把这些服务外包出去,达到公司效益的最大化。但是还是有许多中小企业是没有选择IT外包服务的,都是自己...虽然您企业显然不能像在域...
  • 1.HCNA-HNTD——企业网络架构介绍

    千次阅读 2015-02-20 21:21:59
    最初,企业网络是指某个组织或机构的网络互联系统。企业使用该互联 系统主要用于共享打印机、文件服务器等,使用email实现用户间的高效 协同工作。现在,企业网络已经广泛应用在各行各业中,包括小型办公 室、教育、政府...
  • 本季度为ThinkPHP5.0正式版系列的第二季度,相比第一季度难度上了一个档次。 涉及到了更多的知识点,更深层次的应用。 学习完成本套课程后,你可以自主独立开发一个含有auth权限的企业官网。
  • 计算机网络课程设计—组建小型企业网络

    万次阅读 多人点赞 2011-12-30 13:32:23
    企业网已经越来越多的被人们提到,利用网络技术,现在企业可以在主分公司、客户、合作伙伴、员工之间实现优化的信息沟通。这直接关系到企业能否获得关键的竞争优势。近年来,越来越多的企业都在加快构建自身的信息...
  • 小型企业网组网 同时实现高可靠性

    千次阅读 多人点赞 2021-04-10 00:14:22
    小型企业网如何组网?应具备高可靠性!
  • H3CNE V6.0 构建中小企业网络 官方培训教材PPT 点击文件名下载 X00010001 第1章 计算机网络概述.ppt X00010002 第2章 OSI参考模型与TCP IP模型.ppt X00010003 第3章 局域网基本原理.ppt X00010004 第4章 广域...
  • 以前我们听说过一般企业网会部署OSPF,而ISP会部署IS-IS,以后,在设备的控制权掌握在自己手中之后,越来越多的企业网将会自研交换协议,而不再使用标准的路由协议,迫于这种客户将脱缰的压力,设备厂商不得已而为之...
  • 企业网络设计方案

    万次阅读 2006-01-19 09:51:00
    讲述如何进行企业网络的开发背景、建设过程、维护支持、营销运作等过程,利用本网络达到提升企业形象,提高服务档次,为公司的业务与国际无缝接轨,让本网络助企业在互联网上扩展全球业务,实现真正电子商务,使...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 903,113
精华内容 361,245
关键字:

企业网