小型網(wǎng)絡(luò)規(guī)劃實(shí)驗(yàn)

小型網(wǎng)絡(luò)規(guī)劃實(shí)驗(yàn)第一頁(yè)，共十五頁(yè)，編輯于2023年，星期二一實(shí)驗(yàn)?zāi)康膶?shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的互通,以及實(shí)現(xiàn)一些特殊功能。

二實(shí)驗(yàn)要求一、給各個(gè)網(wǎng)絡(luò)設(shè)備命名接入層為：教學(xué)接入層jxjr-1jxjr-2

宿舍接入層ssjr-1

辦公接入層bgjr-1bgjr-2匯聚層為：教學(xué)匯聚層jxhj宿舍匯聚層sshj辦公匯聚層bghj核心層為：左邊核心hexin-1右邊核心hexin-2服務(wù)器區(qū)：服務(wù)器交換機(jī)server路由器：chukou第二頁(yè)，共十五頁(yè)，編輯于2023年，星期二二、分配ip地址教學(xué)區(qū)兩個(gè)vlan，vlan10地址段/24

vlan20地址段/24宿舍區(qū)一個(gè)vlan，vlan30地址段/24辦公區(qū)兩個(gè)vlan，vlan40地址段/24

vlan50地址段/24服務(wù)器一個(gè)vlan，vlan60地址段/24所有vlan的網(wǎng)關(guān)均為192.168.x.254設(shè)備管理vlan800，要求目前連接在服務(wù)器區(qū)的管理員pc（manger），可telnet管理所有設(shè)備，管理密碼為123hexin-1地址為，hexin-2地址為，掩碼24位教學(xué)匯聚，宿舍匯聚，辦公匯聚，服務(wù)器交換機(jī)地址分別為/4/5/6宿舍區(qū)接入層交換機(jī)管理地址為，其他接入層交換機(jī)看做不可網(wǎng)管型交換機(jī)路由器與hexin-1的互聯(lián)地址為/30路由器與hexin-2的互聯(lián)地址為/30hexin-1與hexin-2的互聯(lián)地址為/30路由器教育網(wǎng)出口（cernet）地址為：/30路由器聯(lián)通出口（cnc）地址為：/28外網(wǎng)ruijie的web服務(wù)器地址為，域名為內(nèi)網(wǎng)web服務(wù)器地址為0，域名為第三頁(yè)，共十五頁(yè)，編輯于2023年，星期二三、通過(guò)配置dhcp服務(wù)器，使內(nèi)部用戶可自動(dòng)獲取地址四、通過(guò)配置，使全網(wǎng)均能互聯(lián)互通，內(nèi)部用戶可上外網(wǎng)（ping通并能打開(kāi)ruijie網(wǎng)站）要求使用多區(qū)域OSPF路由協(xié)議，且教學(xué)、宿舍、辦公、服務(wù)器區(qū)等不屬于同一區(qū)域連接用戶的接口設(shè)置為被動(dòng)接口五、服務(wù)器相關(guān)1、發(fā)布內(nèi)部服務(wù)器的www服務(wù)，讓公網(wǎng)用戶（PC-EX）能通過(guò)59.69.1.3訪問(wèn)2、使教學(xué)區(qū)用戶僅能訪問(wèn)內(nèi)部服務(wù)器的web業(yè)務(wù)，而不能ping通該服務(wù)器，也不能使用該服務(wù)器的其他服務(wù)六、配置安全策略1、不允許宿舍區(qū)訪問(wèn)辦公區(qū)vlan40內(nèi)的地址2、僅網(wǎng)絡(luò)管理員的pc（manger）可以通過(guò)vlan800的管理地址管理到設(shè)備七、出口路由訪問(wèn)/24的數(shù)據(jù)從cernet線路出站，cernet線路不做nat訪問(wèn)其他地址的數(shù)據(jù)從cnc線路出站，cnc線路需要做nat第四頁(yè)，共十五頁(yè)，編輯于2023年，星期二三實(shí)驗(yàn)拓?fù)鋱D第五頁(yè)，共十五頁(yè)，編輯于2023年，星期二四實(shí)驗(yàn)步驟（1）首先將交換機(jī)的所屬接口vlan進(jìn)行配置，將不同的區(qū)域劃分到不同的vlan中。并將接入層與匯聚層，核心層相互連接的接口配置成為trunk口。將與下面相連接的接口都劃為trunk口，并在hexin1配置SVI10，SVI20,SVI30的接口并配置地址，在hexin2配置SVI40，和SVI50的地址，配置DHCP如下：在hexin1上的配置如下：interfaceVlan10ipaddress54interfaceVlan20ipaddress54interfaceVlan30ipaddress54interfaceVlan60ipaddress54

ipdhcppoolvlan10networkdefault-router54dns-server8ipdhcppoolvlan20networkdefault-router54dns-server8ipdhcppoolvlan30networkdefault-router54dns-server8第六頁(yè)，共十五頁(yè)，編輯于2023年，星期二在hexin2上的配置如下：interfaceVlan40ipaddress54interfaceVlan50ipaddress54ipdhcppoolvlan40networkdefault-router54dns-server8ipdhcppoolvlan50networkdefault-router54dns-server8配置www服務(wù)器的地址，以及DNS上的地址解析查看主機(jī)是否后去到地址第七頁(yè)，共十五頁(yè)，編輯于2023年，星期二在所有的需要被遠(yuǎn)程登錄的交換機(jī)上配置SVI800，并配置相應(yīng)的地址

hexin-1地址為，hexin-2地址為，掩碼24位教學(xué)匯聚，宿舍匯聚，辦公匯聚，服務(wù)器交換機(jī)地址分別為/4/5/6宿舍區(qū)接入層交換機(jī)管理地址為，其他接入層交換機(jī)看做不可網(wǎng)管型交換機(jī)以及配置三層交換和路由器之間的地址：路由器與hexin-1的互聯(lián)地址為/30路由器與hexin-2的互聯(lián)地址為/30hexin-1與hexin-2的互聯(lián)地址為/30路由器教育網(wǎng)出口（cernet）地址為：/30路由器聯(lián)通出口（cnc）地址為：/28核心機(jī)相互連接的接口設(shè)為trunk接口，而/30配置在SVI口上。在hexin1上配置：vlan100interfaceVlan100ipaddress52vlan800interfaceVlan800ipaddresshexin2上的配置如下：vlan100interfaceVlan100ipaddress52vlan800interfaceVlan800ipaddress還需配置路由器上的地址：其他的交換機(jī)配置如上一樣，但只需配置vlan800及地址即可。第八頁(yè)，共十五頁(yè)，編輯于2023年，星期二

（2）配置OSPF，實(shí)現(xiàn)內(nèi)網(wǎng)的互聯(lián)

在與用戶連接的接口不需要收發(fā)信息，則配置被動(dòng)的接口：在hexin1上的配置如下：routerospf10network55area1network55area1network55area2network55area4networkarea0networkarea0passive-interfaceFastEthernet0/1passive-interfaceFastEthernet0/2passive-interfaceFastEthernet0/4在hexin2上的配置如下：routerospf10networkarea0networkarea0network55area3network55area3passive-interfaceFastEthernet0/1在路由器上的配置如下：routerospf10networkarea0networkarea0根據(jù)上面的配置，他們可以相互學(xué)習(xí)到整個(gè)網(wǎng)絡(luò)的路由條目了。學(xué)習(xí)到了條目，就可實(shí)現(xiàn)全網(wǎng)的互聯(lián)。第九頁(yè)，共十五頁(yè)，編輯于2023年，星期二

查看路由信息：在hexin1上查看到路由如上所示，可以看到內(nèi)網(wǎng)的路由。在主機(jī)上查看是否能全網(wǎng)互聯(lián)。第十頁(yè)，共十五頁(yè)，編輯于2023年，星期二（3）實(shí)現(xiàn)telnet對(duì)交換機(jī)的控制配置VTY，實(shí)現(xiàn)只有00的控制。則需在VTY上配置ACL來(lái)控制，只許00在需要控制的交換機(jī)上配置如下。access-list1permithost00linevty04access-class1inpassword123login在配置時(shí)，接入層時(shí)，要有回來(lái)的路線。所以配置網(wǎng)關(guān)，使他們能夠ping通。之后在telnet在教學(xué)區(qū)和宿舍區(qū)以及服務(wù)器區(qū)需要控制的交換機(jī)配置：ipdefault-gateway在辦公區(qū)配置如下所示ipdefault-gateway在00上telnet實(shí)驗(yàn)第十一頁(yè)，共十五頁(yè)，編輯于2023年，星期二四實(shí)現(xiàn)相互通信的其他要求首先不允許宿舍區(qū)訪問(wèn)辦公區(qū)vlan40內(nèi)的地址宿舍屬于vlan30，是網(wǎng)段不能與去，則在hexin1上配置如下：access-list100denyip5555access-list100permitip55anyintvlan30ipaccess-group100in然后是實(shí)現(xiàn)使教學(xué)區(qū)用戶僅能訪問(wèn)內(nèi)部服務(wù)器的web業(yè)務(wù)，而不能ping通該服務(wù)器，也不能使用該服務(wù)器的其他服務(wù)?？梢钥闯鼋虒W(xué)區(qū)有vlan10和vlan20則需要配置如下：access-list102permittcp55host0eqwwwaccess-list102denyip55host0access-list102permitipanyanyaccess-list101permittcp55host0eqwwwaccess-list101denyip55host0access-list101permitipanyany并將他們運(yùn)用到SVI接口上，intvlan10ipaccess-group101inintvlan20ipaccess-group102in第十二頁(yè)，共十五頁(yè)，編輯于2023年，星期二五實(shí)現(xiàn)連接外網(wǎng)首先根據(jù)題目的提示，教育網(wǎng)不需作NAT，則可以根據(jù)配置明細(xì)的靜態(tài)路由來(lái)實(shí)現(xiàn)到達(dá)教育網(wǎng)的服務(wù)器.在路由上配置：1.iproute到達(dá)CNC的網(wǎng)絡(luò)需要配置NAT來(lái)實(shí)現(xiàn)，但是必須配置個(gè)默認(rèn)的路由來(lái)指引除了到教育網(wǎng)的路由以外的路由走CNC，則配置如下：2iprouteipnatpoolaanetmaskipnatinsidesourcelist1poolaaoverload

最后運(yùn)用到接口上interfaceFastEthernet0/0ipnatinsideinterfaceFastEthernet0/1ipnatinsideinterfaceEthernet1/1ipna