中小型园区网的设计与实现
设置VLAN801的IP地址为192.168.101.1/30 设置VLAN802的IP地址为192.168.102.1/30 设置VLAN803的IP地址为192.168.103.1/30 设置VLAN804的IP地址为192.168.104.1/30 设置VLAN805的IP地址为192.168.105.1/30
3.5配置静态路由
根据2.2.2网络规划的要求,在交换机上进行静态路由的必要配置,详细如下:
3.5.1要求财务部的电脑不允许上INTERNET
1在接入层交换机FLOOR5_1上将上行的端口GigabitEthernet1/1○口关闭
Switch#configure terminal
Switch(config)#interface GigabitEthernet1/1
Switch(config-if)#shutdown
2在汇聚层交换机FLOOR5_HJ上将GigabitEthernet0/1口关闭 ○
Switch#configure terminal
Switch(config)#interface GigabitEthernet0/1
Switch(config-if)#shutdown
3.5.2要求生产部和三个生产车间相互之间能够访问 1在生产车间连接的汇聚层交换机FLOOR1_HJ上 ○
第25 页 共 32 页 25
中小型园区网的设计与实现
ip route 192.168.2.0 255.255.255.0 192.168.101.1 2在生产部连接的汇聚层交换机FLOOR2_HJ上 ○
ip route 192.168.6.0 255.255.255.0 192.168.102.1 3在核心层交换机CORE上 ○
ip route 192.168.6.0 255.255.255.0 192.168.101.2 ip route 192.168.2.0 255.255.255.0 192.168.102.2
3.5.3办公大楼3、4层研发部之间跨子网的互相访问 1在汇聚层交换机FLOOR3_HJ上 ○
ip route 192.168.4.0 255.255.255.0 192.168.103.1 2在汇聚层交换机FLOOR4_HJ上 ○
ip route 192.168.3.0 255.255.255.0 192.168.104.1 3在核心层交换机CORE上 ○
ip route 192.168.3.0 255.255.255.0 192.168.103.2 ip route 192.168.4.0 255.255.255.0 192.168.104.2
3.5.4行政部和总经理室可以跟除财务部外其他任何部门的电脑互访,除此之外其他部门只有部门内的电脑相互间可以访问,部门之间不可以访问;
1在汇聚层交换机FLOOR1_HJ上 ○
ip route 192.168.5.0 255.255.255.0 192.168.101.1 2在汇聚层交换机FLOOR2_HJ上 ○
ip route 192.168.5.0 255.255.255.0 192.168.102.1 3在汇聚层交换机FLOOR3_HJ上 ○
第26 页 共 32 页 26
中小型园区网的设计与实现
ip route 192.168.5.0 255.255.255.0 192.168.103.1 4在汇聚层交换机FLOOR4_HJ上 ○
ip route 192.168.5.0 255.255.255.0 192.168.104.1 5在汇聚层交换机FLOOR5_HJ上 ○
ip route 192.168.1.0 255.255.255.0 192.168.101.1 ip route 192.168.2.0 255.255.255.0 192.168.102.1 ip route 192.168.3.0 255.255.255.0 192.168.103.1 ip route 192.168.4.0 255.255.255.0 192.168.104.1 ip route 192.168.6.0 255.255.255.0 192.168.101.1 6在核心层交换机CORE上 ○
ip route 192.168.1.0 255.255.255.0 192.168.101.2 ip route 192.168.2.0 255.255.255.0 192.168.102.2 ip route 192.168.3.0 255.255.255.0 192.168.103.2 ip route 192.168.4.0 255.255.255.0 192.168.104.2 ip route 192.168.5.0 255.255.255.0 192.168.105.2 ip route 192.168.6.0 255.255.255.0 192.168.101.2
到这里静态路由就配置完了,并且使用CISCO软件Packet Tracer 5.0搭建模拟网络测试通过。
3.6连接广域网
应用路由设备对广域网进行连接,路由器选用Cisco公司的CISCO3825,带内置防火墙,用于对外来的数据进行过滤,限制本地用户登陆非法网站等等。支持VPN支持,可以通过帧中继、电话拨
第27 页 共 32 页 27
中小型园区网的设计与实现
号、ISDN等方式进行联网。路由协议考虑使用OSPF、RIP等路由协议。路由设备可通过广域网远程配置及管理。
VLAN划分解决了企业各个部门的网络划分,限制了广播域,充分的利用了网络资源,对企业网络做进一步配制,如对于路由器的访问控制列表的简单配置,可以控制流经路由器的数据包,通过访问控制列表的简单配置可以简单的实现防火墙的功能,对网络中的数据包进行阻挡,对于从端口进入的数据包,路由器先对其进行访问控制列表检查,如符合拒绝条件的,则将数据包丢弃;如符合允许条件,在进行路由进程,在网络中查找目的网络地址,以决定如何处理该数据包。
对路由器进行访问控制列表的配置: Router(config)#access-list conditions} 应用于某个端口:
Router(config-if)#{protocl}access-group access-list-number{in|out} 在路由器上进行如下配置,对网络端口进行限制: 关闭一些流行病毒后门常用的端口 access-list 101 permit tcp any any eq telnet access-list 101 deny tcp any any eq 135 access-list 101 deny udp any any eq 135 access-list 101 deny tcp any any eq 136 access-list 101 deny udp any any eq 136 access-list 101 deny tcp any any eq 137 access-list 101 deny udp any any eq 137 access-list 101 deny tcp any any eq 138
access-list-number{permint|deny}{test
第28 页 共 32 页 28
