中小企业组网实例
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
案例描述
典型中小企业组网实例,申请一个公网IP和10M带宽,一台CISCO路由器,WEB服务器,文件服务器,FTP服务器等,客户端办公电脑,300台左右,多部门划分VLAN,用ACL控制各部门访问权限,配置网络打印机。
解决方案
1,配置Router
a).配置接口
Interface fastethernet0/1
Ip address 172.27.0.1 255.255.255.252
Duplex auto
Speed auto
Ip nat inside
No shutdown
Interface fastethernet0/2
Ip address 202.103.0.117 255.255.255.248
Duplex auto
Speed auto
Ip nat outside
No shutdown
b)配置路由
ip route 0.0.0.0 0.0.0.0 202.103.0.117
c).配置过载
ip nat inside source list 110 interface FastEthernet0/2 overload
access-list 110 permit ip 172.27.0.0 0.0.255.255 any
d).配置端口映射
Ip nat inside source static tcp 172.27.2.1 80 202.103.0.117 80 映射WEB服务器
Ip nat inside source static tcp 172.27.2.2 21 202.102.0.117 21 映射FTP 服务器
文件服务器 172.27.2.3 只提供企业内网使用,不配置端口映射
2,配置Core switch CISCO 4503
a)配置VTP
VTP Version : 2
Configuration Revision : 7
Maximum VLANs supported locally : 1005
Number of existing VLANs : 9
VTP Operating Mode : Server
VTP Domain Name : OA
VTP Pruning Mode : Disabled
VTP V2 Mode : Enabled
VTP Traps Generation : Enabled
b) 配置VLAN
core-sw#vlan database 进入vlan配置模式
core-sw (vlan)#vtp domain OA 设置vtp管理域名称OA
core-sw (vlan)#vtp server 设置交换机为服务器模式
core-sw (vlan)#vlan 2 name guanli 创建VLAN2,命名为管理
core-sw (vlan)#vlan 10 name shichang 创建VLAN 10,命名为市场core-sw (vlan)#vlan 11 name caiwu
core-sw (vlan)#vlan 12 name sheji
core-sw (vlan)#vlan 13 name netprinter
core-sw (vlan)#vlan 20 name server
配置CORE-SW管理IP
core-sw(config)#interface vlan 2
core-sw(config-if)#ip address 172.27.254.254 255.255.255.0 配置各个VLAN 网关IP
core-sw(config)#interface vlan 10
core-sw(config-if)#ip address 172.27.47.254 255.255.255.0
core-sw(config)#interface vlan 11
core-sw(config-if)#ip address 172.27.45.254 255.255.255.0
core-sw(config)#interface vlan 12
core-sw(config-if)#ip address 172.27.46.254 255.255.255.0
core-sw(config)#interface vlan 13
core-sw(config-if)#ip address 172.27.31.254 255.255.255.0
core-sw(config)#interface vlan 20
core-sw(config-if)#ip address 172.27.2.254 255.255.255.0 将CORE-SW上的端口根据需要划分至各个VLAN
c) 配置ACL 应用在各个部门VLAN接口上,控制各部门互访
access-list 10 permit 172.27.2.0 0.0.0.255
access-list 10 permit 172.27.31.0 0.0.0.255
access-list 10 deny 172.27.0.0 0.0.255.255
access-list 10 permit any
access-list 10 应用于VLAN 10 OUT方向上,市场部内部可以互访,可以访问服务器网段和网络打印机网段,但不能访问财务部和设计部所在网段
access-list 11 permit 172.27.2.0 0.0.0.255
access-list 11 permit 172.27.31.0 0.0.0.255
access-list 11 permit 172.27.47.0 0.0.0.255
access-list 11 deny 172.27.0.0 0.0.255.255
access-list 11 permit any
access-list 11应用在VLAN 11 OUT方向上,财务部内部可以互访问,可以访问服务器网段和网络打印机网络,可以访问市场部网段,但不能访问设计部网段
设计部VLAN 12 ,网络打印机 VLAN 13,服务器 VLAN 20 可以访问任意网段,应用访问列表access-list 101 在in的方向上,封掉常见病毒端口,(可以根据实际需要将此ACL应用于任一接口)
access-list 101 deny tcp any any eq 1068
access-list 101 deny tcp any any eq 2046
access-list 101 deny udp any any eq 2046
access-list 101 deny tcp any any eq 4444
access-list 101 deny udp any any eq 4444
access-list 101 deny tcp any any eq 1434
access-list 101 deny udp any any eq 1434
access-list 101 deny tcp any any eq 5554
access-list 101 deny tcp any any eq 9996
access-list 101 deny tcp any any eq 6881
access-list 101 deny tcp any any eq 6882
access-list 101 deny tcp any any eq 16881