分享大型企业网络组网R&S配置

这几个月学理论，回过头来想写个R&S总结，发现自己有点眼高手低，找了几个综合的cisco pt来练练，感觉实操性的忘的挺快，配置两次一次tab从头到尾  一次手动补全全部命令。mark一下。

PT及需求分析非本人创作，为自己大学老师的经验所在。

 

典型企业网络

需求分析

1、采用先进的网络通信技术完成集团企业网的建设，实现各分公司及异地子公司的信息化； 
2、在整个企业集团内实现所有部门的办公自动化，提高工作效率和管理服务水平； 
3、在整个企业集团内实现资源共享、产品信息共享、实时新闻发布，允许员工接入互联网访问相应资源； 
4、在整个企业集团内实现财务电算化，集中式的供应链管理系统和客户服务关系管理系统； 
5、为了满足企业电商及宣传，需将相应服务器发布到互联网； 
6、在整个企业集团内实现一定的安全控制，保障网络的合理应用 

 

分析1：全网采用光纤连接，并使用合理的三层设计结构，各分公司独立成区域，防止个别区域发生问题影响整个网络的稳定运行。 

分析2：既要实现部门内部的办公自动化，又要提高工作效率，建议整个网络用VLAN隔离，需要各个部门通信的使用VLAN间路由解决。 

分析3，4：由于要实现企业集团公司与各分公司的信息化，异地子公司采用帧中继网络与总公司连接，同时采用动态路由协议，降低网管的维护成本，使用PAT技术接入互联网。

分析5：将服务器发布到互联网需要使用NAT技术。

分析6：实现安全控制主要包括对于应用服务器的访问控制，对于网络设备的统一安全管理，同时为了保障网络的合理应用，员工接入互联网时应避免员工浪费网络带宽，只允许访问指定资源。

具体技术要求

全网互通

VLAN隔离网段，VLAN间路由

frame-relay ospf point to point  实现总分公司互联

公网使用PAT转换

扩展ACL实现内网接入安全

禁止两地分公司员工访问集团总公司的FTP服务器。 

 

R&S配置

接入层 
创建启用vlan 接入层指定vlan接入端口  switchport access vlan {ID} 

上联链路 trunk模式  switch mode trunk (2950)

 

汇聚层

开启 ip routing

创建vlan 设置下联vlan 地址

互联交换链路全部 switchport trunk encapsulation dot1q 

                                switchport mode trunk

上联链路接入交互vlan switchport access vlan ID

一条默认路由交给上联链路    ip route 0.0.0.0 0.0.0.0 {next hop}

 

核心层

开启 ip routing

创建vlan

设置互联链路vlan id  switchport access vlan ID

统一封装模式

接入路由接口要求vlan （这里不太懂，忘记当时要求，或许是做单臂路由) switchport access vlan ID

两条默认路由来回

开启ospf 路由  宣告路由

记录邻接路由协议日志 log-adjacency-changes

 

集团总公司出口路由

osfp 宣告互联路由

按要求开启serial 端口 no shutdown

frame-relay 封装  encapsulation frame-relay    指定模式 ip ospf network point-to-point 

接入serial子接口   interface Serial0/2/0.1 point-to-point

配置ip  地址

指定dlci号 frame-relay interface-dlci {ID}

 

Nat Acl配置

PAT 为PC上网做转换  ip nat pool nat {global start IP –end IP }  netmask ….  ip nat inside source list {word} pool nat overload

按需求服务器做NAT 静态转换   

ip nat inside source static 172.16.200.1 202.104.101.18 
ip nat inside source static 172.16.200.2 202.104.101.19

默认路由接入公网地址 

ACL配置

access-list 1 permit 172.16.0.0 0.0.255.255 
access-list 101 permit tcp any any eq www 
access-list 101 permit tcp any any eq smtp 
access-list 101 permit tcp any any eq pop3 
access-list 101 permit tcp any any eq 443 
access-list 101 deny tcp any any 
access-list 102 deny tcp any any eq ftp 
access-list 102 permit tcp any any

 

公网接入口

做access-group 101 的out 出口

做ip nat outside 转换

 

集团内部路由接口

做access-group 102 的out 出口

做ip nat intside 转换

 

帧中继配置

 

两家分公司配置类似  vlan 号 与宣告网络不同而已

 

总公司出口路由表