銳捷設(shè)備校園網(wǎng)規(guī)劃設(shè)計與設(shè)備搭建

1、項目文檔目錄一、需求分析 . 41. 用戶需求分析 . 42. 通信流量分析 . 5二、網(wǎng)絡(luò)結(jié)構(gòu)與分層 . 61. 組網(wǎng)規(guī)范 . 62. 網(wǎng)絡(luò)拓?fù)鋱D . 63. Vlan 和 ip 地址劃分 7三、網(wǎng)絡(luò)設(shè)備選型 . 81. 6 臺接入交換機(jī) 82. 2 臺匯聚層交換機(jī) 83. 路由器選型， 3 臺/ 接口 94. 防火墻 . 95. 服務(wù)器 . 96. 無線 AP 9四、網(wǎng)絡(luò)搭建 . 101. 有線網(wǎng)絡(luò)解決方案 . 101) 網(wǎng)絡(luò)基本配置 . 102) 核心層網(wǎng)絡(luò)設(shè)計(路由器) . 113) 匯聚層網(wǎng)絡(luò)設(shè)計. 154) 接入層網(wǎng)絡(luò)設(shè)計. 262. 無線網(wǎng)絡(luò)解決方案 . 281) 有線網(wǎng)絡(luò)連接

2、. 282) 無線連接配置 . 303) 管理 ip 配置 . 304) 無線安全 . 303. 數(shù)據(jù)中心解決方案(服務(wù)器搭建) . 311) DHCP服務(wù)器 312) WEB服務(wù)器 333) FTP 服務(wù)器 344) DNS服務(wù)器 355) Radius 服務(wù)器 36五、網(wǎng)絡(luò)安全設(shè)計 . 391.骨干網(wǎng)安全 . 391) 二層冗余及負(fù)載均衡 . 392) 三層冗余及負(fù)載均衡 . 393) 路由冗余( OSPF) . 404) ACL訪問控制列表 412.接入網(wǎng)安全 . 441) 802.1x . 442) DHCP snooping . 463) Spanning-tree portfast

3、 . 463. 出口安全 . 471) 防火墻基礎(chǔ)配置 . 472) 防火墻 NAT配置 . 473) 防火墻 ip 映射配置 . 484) 防火墻 IPSec 配置 . 505) 防火墻Qos配置. 54六、項目驗收 . 56七、項目總結(jié) . 58需求分析1. 用戶需求分析需求分析某集團(tuán)公司規(guī)模不斷擴(kuò)大， 需要新建一個分支機(jī)構(gòu) （計劃有 4 個部門，人數(shù)分別為 6、 20、40、10） ，小組作為該分支機(jī)構(gòu)的信息管理團(tuán)隊，要利用現(xiàn)有設(shè)備為該分支機(jī)構(gòu)搭 建局域網(wǎng)基礎(chǔ)設(shè)施，以便員工進(jìn)入后，能馬上利用網(wǎng)絡(luò)開展工作。從內(nèi)網(wǎng)安全考慮，使用 VLAN技術(shù)將各部門劃分到不同的 VLAN中； 為了提高公司的

4、業(yè)務(wù)能力和增強企業(yè)知名度，將公司的WEB網(wǎng)站以及 FTP、Mail 服務(wù)發(fā)布到互聯(lián)網(wǎng)上。設(shè)備要求 根據(jù)公司現(xiàn)有設(shè)備規(guī)模，業(yè)務(wù)需要及發(fā)展范圍使用的計算機(jī)、網(wǎng)絡(luò)設(shè)備主要以 H3C 和 CISCO產(chǎn)品為主，本次試驗采用銳捷設(shè)備搭建a）服務(wù)器需選擇中高端產(chǎn)品。b）要求服務(wù)器帶有磁盤列陣（ RIAD5）。c）路由器和交換機(jī)為 CISCO中檔產(chǎn)品。d）防火墻為硬件 +軟件結(jié)構(gòu)。e）網(wǎng)絡(luò)布線主干采用光纖，五類雙絞線到桌面（100M）。業(yè)務(wù)需求公司主頁 WEB訪問，外部人員查詢公司信息，在線聯(lián)系用戶需求web訪問，郵件，看新聞等等應(yīng)用需求郵件服務(wù)， web服務(wù)，數(shù)據(jù)庫，文件互發(fā)，查詢資料，聯(lián)系客戶計算機(jī)平臺需

5、求 部門個人計算機(jī)使用 WINDOS 7系統(tǒng) 服務(wù)器購買專用的服務(wù)設(shè)備，使用 windows的 server 系統(tǒng)提供服務(wù)網(wǎng)絡(luò)需求從 ISP 那里申請了一段公網(wǎng) IP 進(jìn)行互聯(lián)網(wǎng)訪問 搭建局域網(wǎng)方便互相訪問2. 通信流量分析網(wǎng)絡(luò)結(jié)構(gòu)與分層1. 組網(wǎng)規(guī)范快速以太網(wǎng)( Fast Ethernet )是一類新型的局域網(wǎng)，其名稱中的“快速”是指數(shù)據(jù) 速率可以達(dá)到 100Mbps，是標(biāo)準(zhǔn)以太網(wǎng)的數(shù)據(jù)速率的十倍。快速以太網(wǎng)可以滿足日益增長的網(wǎng)絡(luò)數(shù)據(jù)流量速度需求。 100Mbps 快速以太網(wǎng)標(biāo)準(zhǔn) 分為： 100BASE-TX、 100BASE-FX、100BASE-T4三個子類。快速以太網(wǎng)技術(shù)可以有效 的保

6、障用戶在布線基礎(chǔ)實施上的投資，它支持3、4、 5 類雙絞線以及光纖的連接，能有效的利用現(xiàn)有的設(shè)施。2. 網(wǎng)絡(luò)拓?fù)鋱D中心機(jī)房RCMSge0/25會議室PC5Vlan 50Web ServerVlan 60PC0Vlan 100FaL2Fa0/2Fa0/2L3-2Fa0/23L2-2Fa0/5Fa0/24Fa0/ge0/25Fa0/24Fa0/23Fa0/1Fa0/12 Fa0/1Fa0/1聚層Fa0/3無線 AP 1大開間辦公室PC1 PC2Vlan 10 Vlan 20PC3 PC4Vlan 30Vlan 40圖 2-2 企業(yè)網(wǎng)拓?fù)鋱D3. Vlan 和 ip 地址劃分規(guī)劃總表應(yīng)用類地址地址范圍

7、部門1-55/22vlan10部門2-55/22vlan20部門3-55/22vlan30部門4-55/22vlan40會議室-55/22vlan50服務(wù)器-55/22vlan60設(shè)備互聯(lián)地址R1-R2-52R1-R3-255.2

8、55.255.252R2-R3-052R1-L3-13-452R3-L3-27-852R2-friewall1-252管理地址管理地址28-55vlan100R155R255R3255

9、.255.255.255L3-155L3-255L2-10328L2-20428外網(wǎng)連接地址1-0圖 2-3 vlan/ip 地址規(guī)劃三、網(wǎng)絡(luò)設(shè)備選型1. 6 臺接入交換機(jī)2. 2 臺匯聚層交換機(jī)3. 路由器選型， 3 臺/ 接口4. 防火墻5. 服務(wù)器Windows 20086. 無線 AP基本參數(shù)產(chǎn)品型號銳捷RG-AP 220E傳輸速率300Mbps網(wǎng)絡(luò)接口1個10/100

10、/1000Mbps口、1個SFP端口、1個console口網(wǎng)絡(luò)管理支持 SNMP v1/v2C/v3、支持通過 Telnet 、SSH、TFTP、FTP管理四、網(wǎng)絡(luò)搭建1. 有線網(wǎng)絡(luò)解決方案1) 網(wǎng)絡(luò)基本配置a) 命名 hostnameRUIJIE(config)#hostname R1RUIJIE(config)#hostname R2RUIJIE(config)#hostname R3Switch(config)#hostname L3-1Switch(config)#hostname L3-2Switch(config)#hostname L2-1Switch(config)#hostn

11、ame L2-2AP(config)#hostname dwxz-apb) 遠(yuǎn)程登錄 telnet/ 進(jìn)入 VTY端口/ 設(shè)置 telnet 密碼/ 允許 telnet 登錄/ 設(shè)置特 權(quán)模式 密碼 為R1(config)#line vty 0 4 R1(config-line)#password ruijie R1(config-line)#login R1(config)#enable secret 0 ruijie ruijie圖 4-1-1-b 路由器 telnet 登陸c) Tftp圖 4-1-1-c 打開 tftp 服務(wù)器，獲取 ip 地址 R1#copy startup-conf

12、igtftpAddress of remote host ?Destination filename config.text?zhangjq.txt2) 核心層網(wǎng)絡(luò)設(shè)計(路由器)a) 端口 ipR1(config)#interface FastEthernet 0/0 / 進(jìn)入接口 0/0 R1(config-if)#ip address 3 52 / 配置 ip 地址R1(config)#interface FastEthernet 0/1R1(config-if)#ip address 255.255

13、.255.252R1(config)#interface FastEthernet 0/2R1(config-if)#ip address 52圖 4-1-2-a 路由器 R1 端口 ip 配置圖 4-1-2-a 路由器 R2 端口 ip 配置圖 4-1-2-a 路由器 R3 端口 ip 配置b) 管理 ip 配置R1(config)#interface loopback 1/ 進(jìn)入環(huán)回接口R1(config-if-Loopback 1)#ip address 55 / 配置管理 ip 地址R1(c

14、onfig)#interface loopback 1R1(config-if-Loopback 1)#ip address 55R1(config)#interface loopback 1R1(config-if-Loopback 1)#ip address 55圖 4-1-2-b R1 配置管理 ip圖 4-1-2-b R3 配置管理 ip圖 4-1-2-b R2 配置管理 ipc) Ospf 配置R1(config)#router ospf 1 / 啟動 ospf 進(jìn)程號 1 R1(conf

15、ig-router)#network area 0 / 公 布 網(wǎng)段R1(config-router)#network area 0R1(config-router)#network area 0 R1(config-router)#network 2 area 1圖 4-1-2-c 路由器 R1ospf 配置圖 4-1-2-c 路由器 R2ospf 配置圖 4-1-2-c 路由器 R3ospf 配置3) 匯聚層網(wǎng)絡(luò)設(shè)計/ 創(chuàng)建 vlana) V

16、lan 配置 L3-1(config)#vlan 10 L3-1(config-vlan)#vlan 20 L3-1(config-vlan)#vlan 30 L3-1(config-vlan)#vlan 40L3-1(config-vlan)#vlan 50L3-1(config-vlan)#vlan 60L3-1(config-vlan)#vlan 100圖 4-1-3-a L3-1 創(chuàng)建 vlanb) 端口 ip/VlanipL3-1(config)#interface GigabitEthernet 0/25/ 進(jìn)入接口L3-1(config-if)#no switchport / 關(guān)

17、閉交換功能L3-1(config-if)#ip address 4 52 / 配 置 ip 地址圖 4-1-3-b L3-1gi0/25 配置 ip圖 4-1-3-b L3-2gi0/25 配置 ipL3-1(config)#interface vlan 10 / 進(jìn)入 vlan 10L3-1(config-if)#ip address 52 / 配 置ip 地址L3-1(config)#interface vlan 20L3-1(config-if)#ip address 52

18、 L3-1(config)#interface vlan 30L3-1(config-if)#ip address 52 L3-1(config)#interface vlan 40L3-1(config-if)#ip address 52 L3-1(config)#interface vlan 50L3-1(config-if)#ip address 52 L3-1(config)#interface vlan 60L3-1

19、(config-if)#ip address 52 L3-1(config)#interface vlan 100L3-1(config-if)#ip address 01 28圖 4-1-3-b L3-2 各 vlan 配置 ipc) 管理 ip 配置L3-1(config)#interface loopback 1/ 進(jìn)入環(huán)回接口L3-1(config-if-Loopback 1)#ip address 55 / 配置管理 ip 地址圖 4-1-3-

20、c L3-2 配置管理 ip圖 4-1-3-c L3-2 配置管理 ipd) DHCP中繼L3-1(config)#service dhcp / 啟動 dhcp 服務(wù)L3-1(config)#ip helper-address / 指定 dhcp中繼轉(zhuǎn)發(fā)的目標(biāo) ip 地址圖 4-1-3-d L3-1DHCP 中繼配置圖 4-1-3-d L3-2DHCP 中繼配置e) MSTP配置L3-1(config)#spanning-treeL3-1(config)#spanning-tree mode mstp多生成樹 mstp/ 啟動生成樹L3-1(config)#spannin

21、g-tree mst configuration置模式/ 設(shè)置生成樹模式為/ 進(jìn)入生成樹配L3-1(config-mst)#instance 1 vlan 10， 20， 60， 100vlan10 ，20，60，100 添加到組 1L3-1(config-mst)#instance 2 vlan 30， 20，50L3-1(config)#spanning-tree mst 1 priority 4096 優(yōu)先級為 4096，作為主L3-1(config)#spanning-treeL3-1(config)#spanning-tree mode mstpL3-1(config)#spanni

22、ng-tree mst configurationL3-1(config-mst)#instance 1 vlan 10， 20， 60， 100L3-1(config-mst)#instance 2 vlan 30， 20，50/ 把/ 設(shè) 置 組 2圖 4-1-3-e L3-1mstp 配置圖 4-1-3-e L3-2mstp 配置圖 4-1-3-e L2-1mstp 配置圖 4-1-3-e L2-2mstp 配置f) 二層鏈路聚合L3-1(config)#interface AggregatePort1 L3-1(config-if)#switchport mode trunk 為 tr

23、unkL3-1(config-if)#interface FastEthernet0/23 機(jī)間互連接口/ 創(chuàng)建組 1/ 設(shè)置組的模式/ 進(jìn)入三層交換L3-1(config-if)#port-group 1 / 把接口添加到組中L3-1(config-if)#interface FastEthernet0/24L3-1(config-if)#port-group 1圖 4-1-3-f L3-1 配置鏈路聚合圖 4-1-3-f L3-2 配置鏈路聚合g) Vrrp 配置L3-1(config)#interface vlan 10/ 進(jìn)入 vlan 10L3-1(config-vlan)#vrrp

24、 1 ip 54/ 配置vrrp組1虛擬 ipL3-1(config-vlan)#vrrp 1 priority 101/ 配置 vrrp優(yōu)先級L3-1(config-vlan)#vrrp 1 preempt/ 配置搶占L3-1(config-vlan)#vrrp 1 track GigabitEthernet 0/25/設(shè)置跟蹤的上行口L3-1(config)#interface vlan 20L3-1(config-vlan)#vrrp 1 ip 54L3-1(config-vlan)#vrrp 1 priority 101L3-1(config

25、-vlan)#vrrp 1 preemptL3-1(config-vlan)#vrrp 1 track GigabitEthernet 0/25L3-1(config)#interface vlan 30L3-1(config-vlan)#vrrp 1 ip 54L3-1(config-vlan)#vrrp 1 preemptL3-1(config-vlan)#vrrp 1 track GigabitEthernet 0/25L3-1(config)#interface vlan 40L3-1(config-vlan)#vrrp 1 ip 54L3-

26、1(config-vlan)#vrrp 1 preemptL3-1(config-vlan)#vrrp 1 track GigabitEthernet 0/25L3-1(config)#interface vlan 50L3-1(config-vlan)#vrrp 1 ip 54L3-1(config-vlan)#vrrp 1 preemptL3-1(config-vlan)#vrrp 1 track GigabitEthernet 0/25L3-1(config)#interface vlan 60L3-1(config-vlan)#vrrp 1 ip 172.16.3

27、5.254L3-1(config-vlan)#vrrp 1 priority 101L3-1(config-vlan)#vrrp 1 preemptL3-1(config-vlan)#vrrp 1 track GigabitEthernet 0/25L3-1(config)#interface vlan 100L3-1(config-vlan)#vrrp 1 ip 54L3-1(config-vlan)#vrrp 1 priority 101L3-1(config-vlan)#vrrp 1 track GigabitEthernet 0/25h) Ospf 配置L3-1(c

28、onfig)#router ospf 1 / 啟動 ospf 進(jìn)程號 1L3-1 (config-router)#network area 1/公布網(wǎng)段 area 55 area 55 area 55 area 55 area 55 area 1L3-1(config-router)#network 28 27 area 1L3-1(config-router)#network 2L3-1(config-rou

29、ter)#network L3-1(config-router)#network L3-1(config-router)#network L3-1(config-router)#network L3-1(config-router)#network L3-1(config-router)#network 55 area 1圖 4-1-3-h L3-1 配置 ospf4) 接入層網(wǎng)絡(luò)設(shè)計/ 創(chuàng)建 vlana) Vlan 配置 L2-1(config)#

30、vlan 10 L2-1(config-vlan)#vlan 20 L2-1(config-vlan)#vlan 30 L2-1(config-vlan)#vlan 40L2-1(config-vlan)#vlan 50L2-1(config-vlan)#vlan 60L2-1(config-vlan)#vlan 100圖 4-1-4-a L2-1 創(chuàng)建 vlan圖 4-1-4-a L2-2 創(chuàng)建 vlanb) 管理 ip 配置L2-1(config)#interface vlan100L2-1(config-vlan)#ipaddress 04

31、28圖 4-1-4-b L2-1 配置管理 ip圖 4-1-4-b L2-2 配置管理 ip2. 無線網(wǎng)絡(luò)解決方案1) 有線網(wǎng)絡(luò)連接dwxz-ap(config)#interface GigabitEternet 0/1/ 進(jìn)入物理接口gi0/1dwxz-ap(config-if-GigabitEternet 0/1)#encapsulation dot1Q 50 封裝 vlan50/dwxz-ap(config-if-GigabitEternet 0/1)#interface dot11 radio 1/0 / 進(jìn)入無線設(shè)備虛擬接口 1/0dwxz-ap(config-if-Dot11rad

32、io 0/1)#encaosulation dot1Q 50 封裝 vlan50/dwxz-ap(config-if-Dot11radio 0/1)#mac-mode fat 式為胖 AP/ 設(shè)置 ap 模dwxz-ap(config-if-Dot11radio 0/1)#chanel 11/設(shè)置信道為11dwxz-ap(config-if-Dot11radio 0/1)#wlan-id 1是1/ 設(shè) 置wlan-iddwxz-ap(config-if-Dot11radio0/1)#iprouter54/ 配置默認(rèn)路由圖 4-2-1 無線網(wǎng)絡(luò)的

33、有線網(wǎng)絡(luò)連接/ 創(chuàng)建 wlan ，協(xié)議為 802.11/ 關(guān)聯(lián) vlan50/ 廣播 ssid/ssid 命名2) 無線連接配置 dwxz-ap(config)#dot11 wlan 1 dwxz-ap(dot11-wlan-config)#vlan 50 dwxz-ap(dot11-wlan-config)#broadcast-ssiddwxz-ap(dot11-wlan-config)#ssid dwxz.5圖 4-2-2 無線網(wǎng)絡(luò)的無線連接配置3) 管理 ip 配置 dwxz-ap(config)#interface BVI 50 / 進(jìn)入 BVI 配置管理 ip dwxz-ap(con

34、fig-if-BVI 50)#ip address 50 圖 4-2-3 無線網(wǎng)絡(luò)的 BVI 配置管 ip4) 無線安全圖 4-2-4 無線網(wǎng)絡(luò)的無線安全配置3. 數(shù)據(jù)中心解決方案（服務(wù)器搭建）圖 4-3-1 DHCP 地址池圖 4-3-1 DHCP 作用域rmssss ewIs-i- -旺 dOHQTcol寸 ®二電三*二la潯IJM3WSH暑 mJ a fEIB建:'-H+ at - 囂瞎*5 亠 瑞耶弄an 2H w?h 口 *£用鶯r ojl-二 n 1 肚一一*莊半 rI* §sBFit G so

35、-I ' 來inrifc沖璽Fsi- Q昭蚤口.盅二ff置.1_sf£FP4-aJI fn倉堂二« 羊理上盤=遲狀s護(hù)圧11贓II r?醫(yī)留留”|I圖 4-3-2 添加網(wǎng)站圖 4-3-2 web 瀏覽圖 4-3-3 ftp 登陸圖 4-3-3 ftp 上傳下載圖 4-4-4 正向查找區(qū)域圖 4-4-4 反向查找區(qū)域圖 4-4-4 條件轉(zhuǎn)發(fā)器5) Radius 服務(wù)器圖 4-4-5 Radius 客戶端配置圖 4-4-5 配置連接請求策略圖 4-4-5 創(chuàng)建用戶和組圖 4-4-5 添加驗證用戶組圖 4-4-5 認(rèn)證成功五、網(wǎng)絡(luò)安全設(shè)計1. 骨干網(wǎng)安全1) 二層冗余及負(fù)

36、載均衡MSTP(Multi-Service Transfer Platform)( 基于 SDH的多業(yè)務(wù)傳送平臺 ) 是指基于 SDH平臺同時實現(xiàn) TDM、 ATM、以太網(wǎng)等業(yè)務(wù)的接入、處理和傳送，提供 統(tǒng)一網(wǎng)管的多業(yè)務(wù)節(jié)點。多生成樹協(xié)議 MSTP(Multiple Spanning Tree Protocol)是 IEEE 802.1s 中定義的一種新型生成樹協(xié)議。簡單說來，STP/RSTP 是基于端口的， PVST是基于 VLAN的，而 MSTP是基于實例的。與 STP/RSTP和 PVST+相比， MSTP中引 入了“實例”( Instance )和“域” (Region) “的概念?！?/p>

37、實例” 就是多個 VLAN 的一個集合，這種通過多個 VLAN捆綁到一個實例中去的方法可以節(jié)省通信開 銷和資源占用率。2) 三層冗余及負(fù)載均衡 虛擬路由冗余協(xié)議 (Virtual Router Redundancy Protocol ，簡稱 VRRP)是由 IETF 提出的解決局域網(wǎng)中配置靜態(tài)網(wǎng)關(guān)出現(xiàn)單點失效現(xiàn)象的路由協(xié)議， 1998 年已推出正式的 RFC2338協(xié)議標(biāo)準(zhǔn)。 VRRP廣泛應(yīng)用在邊緣網(wǎng)絡(luò)中，它的設(shè)計 目標(biāo)是支持特定情況下 IP 數(shù)據(jù)流量失敗轉(zhuǎn)移不會引起混亂，允許主機(jī)使用單 路由器，以及及時在實際第一跳路由器使用失敗的情形下仍能夠維護(hù)路由器間 的連通性。監(jiān)視上行端口 ge0/25

38、 ，當(dāng)上行接口關(guān)閉，主動降低優(yōu)先級。R3ge0/25Fa0/1L2-1L2-2圖 5-1 MSTP+VRRPFa0/2Fa0/23)路由冗余（ OSPF）OSPF（Open Shortest Path First開放式最短路徑優(yōu)先） 是一個內(nèi)部網(wǎng)關(guān)協(xié)議（Interior Gateway Protocol ，簡稱 IGP），用于在單一自治系統(tǒng)（ autonomous system,AS ）內(nèi)決策路由。是對鏈路狀態(tài)路由協(xié)議的一種實現(xiàn)，隸屬內(nèi)部網(wǎng)關(guān) 協(xié)議（ IGP），故運作于自治系統(tǒng)內(nèi)部。Fa0/0核心層s3/0R2s3/0s4/0s3/0s4/0s4/0Fa0/0 R1R3 Fa0/0ge0/25

39、聚層Fa0/3Fa0/1Fa0/1Fa0/2圖 5-1-3 開放式最短路徑優(yōu)先4) ACL訪問控制列表L3-1(config)#access-list 1 deny 55/ 創(chuàng) 建 訪 問控制列表拒絕 網(wǎng)段訪問L3-1(config)#access-list 1 deny 55L3-1(config)#access-list 1 deny 55L3-1(config)#access-list 1 deny 55L3-1(

40、config)#access-list 1 permit anyL3-1(config)#interface vlan 10L3-1(config-vlan)#ip access-group 1 out/ 把 訪 問 控 制 列 表 應(yīng) 用 到vlan10L3-1(config)#access-list 2 deny 55L3-1(config)#access-list 2 deny 55L3-1(config)#access-list 2 deny 55L3-1(config)#

41、access-list 2 deny 55L3-1(config)#access-list 2 permit anyL3-1(config)#interface vlan 20L3-1(config-vlan)#ip access-group 2 outL3-1(config)#access-list 3 deny 55L3-1(config)#access-list 3 deny 55L3-1(config)#access-list 3 deny 0.0.

42、3.255L3-1(config)#access-list 3 deny 55L3-1(config)#access-list 3 permit anyL3-1(config)#interface vlan 30L3-1(config-vlan)#ip access-group 3 outL3-1(config)#access-list 4 deny 55L3-1(config)#access-list 4 deny 55L3-1(config)#access-list 4 den

43、y 55L3-1(config)#access-list 4 deny 55L3-1(config)#access-list 4 permit anyL3-1(config)#interface vlan 40L3-1(config-vlan)#ip access-group 4 outL3-1(config)#access-list 5 deny 55L3-1(config)#access-list 5 deny 55L3-1(config)

44、#access-list 5 deny 55L3-1(config)#access-list 5 deny 55L3-1(config)#access-list 5 permit anyL3-1(config)#interface vlan 50L3-1(config-vlan)#ip access-group 5 out地址L2-1(config)#radius-server key 123456 間的密碼L2-1 (config)#dot1x auth-mode chap chapL2-1 (config)#int

45、erface range fa0/1 - 22接口L2-1 (config-if)#dot1x port-control auto/ 設(shè)置交換機(jī)和服務(wù)器之/ 身 份 驗 證 的 加 密 方 式 改 為/ 進(jìn)入交換機(jī)的下行/ 在端口啟用 802.1x2. 接入網(wǎng)安全1) 802.1xL2-1(config)#aaa new-model / 啟動 aaa 服務(wù)L2-1(config)#aaa authentication dot1x default group radius/認(rèn)證 802.1x ，啟用默認(rèn)列表 default ，采用 radius 認(rèn)證方式L2-1 (config)#dot1x a

46、uthentication default / 啟用 default 列表 應(yīng)用L2-1(config)#radius-server host / 配置 radius 服務(wù)器圖 5-2-1 L2-1802.1x 配置圖 5-2-1 L2-1802.1x 配置2) DHCP snooping L3-1(config)#ipdhcp snooping L3-1(config)#iinterfacefastEternet 0/1 L3-1(config-if)#ip dhcp snooping trust L3-1(config)#iinterfacefastEternet 0/2/ 配置 dhcp 中繼/ 接口啟動 dhcp 中繼L3-1(config-if)#ip dhcp snooping trust圖 5-2-2 L3-1dhcp snooping配置圖 5-2-2 L3-2 接口 dhcp snoopi