某公司计划建设一个安全、可靠、可扩展和高效的网络环境,将总部和分支机构(站点A和站点B)互联,使公司内部能够方便共享网络资源,全网接入Internet,同时实现公司内部的信息保密隔离,以及对Internet的安全访问。
公司环境:
1.部门:行政部、财务部、人事部、科研部、后勤部、临时部,每个部门使用不同VLAN。
2.数据中心提供DNS, DHCP, WWW,FTP等网络服务。
3.站点A与站点B相距较远,站点B提供Internet接入,公司的外网地址池为209.165.202.0/26,公司内部使用私有地址。
4.在公司网络内部使用RIPV2进行路由选择,并控制广播域的范围。
5.网络设备统一实现远程可管理。
设计要求:
- 采用冗余的三层架构设计网络拓扑,使用NAT技术使内部网络能够访问Internet。(部门之间用三层交换机连接来提高效率,并设置冗余链路提高网络鲁棒性)
- 数据中心:网段 192.168.7.0/24;管理网段:192.168.99.0/24 外网能够访问公司www服务
- 部门IP地址:172.16..0/24 ——172.16.+5.0/24,(*为学号后两位)每个部门规划250台主机地址范围,临时部允许无线接入访问。其余链路上的IP地址可自行规划。
4.安全要求:
禁止临时部对ftp server的访问。
禁止临时部和销售部对财务部的访问
在网络设备上部署ssh访问,使用ACL对设备进行保护
在边界路由器上关闭内部网icmp;限制外网发起的TCP连接; 拒绝财务部访问外网(使用扩展ACL实现)
网络拓扑图
接入层:
如图,六台交换机分别代表接入层接入的6个部门,JR XZ 代表行政部,JR CW代表财务部,以此类推,共有六个部门
1、设计VLAN,六个部门从左至右,从上到下,分属于六个VLAN 10 20 30 40 50 60。
先启用VTP协议,两个汇聚层三层交换机将作为VTP服务器:
HJ Switch1
hostname HJ_S1 //设置vtp协议 vtp mode server vtp domain CCNA vtp password cisco //配置接口模式 interface range g1/0/1-9 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk native vlan 99 //创建vlan vlan 10 name XZB vlan 20 name CWB vlan 30 name RSB vlan 40 name KYB vlan 50 name HQB vlan 60 name LSB vlan 99 name management
HJ Switch2
hostname HJ_S2 //设置vtp协议 vtp mode server vtp domain CCNA vtp password cisco //配置接口模式 interface range g1/0/1-9 switchport mode trunk switchport trunk native vlan 99
JR XZ 行政部 VLAN10
vtp mode client vtp domain CCNA vtp password cisco //配置接口 interface range f0/1-3 switchport access vlan 10 interface range f0/4-5 switchport mode trunk switchport trunk native vlan 99
JR CW 财务部 VLAN20:
vtp mode client vtp domain CCNA vtp password cisco //配置接口 interface range f0/1-3 switchport access vlan 20 interface range f0/4-5 switchport mode trunk switchport trunk native vlan 99
JR RS 人事部 VLAN30
vtp mode client vtp domain CCNA vtp password cisco //配置接口 interface range f0/1-3 switchport access vlan 30 interface range f0/4-5 switchport mode trunk switchport trunk native vlan 99
JR KY 科研部 VLAN 40:
vtp mode client vtp domain CCNA vtp password cisco //配置接口 interface range f0/1-3 switchport access vlan 40 interface range f0/4-5 switchport mode trunk switchport trunk native vlan 99
JR HQ 后勤部 VLAN50:
vtp mode client vtp domain CCNA vtp password cisco //配置接口 interface range f0/1-3 switchport access vlan 50 interface range f0/4-5 switchport mode trunk switchport trunk native vlan 99
JR LS 临时部 VLAN 60
vtp mode client vtp domain CCNA vtp password cisco //配置接口 interface range f0/1-3 switchport access vlan 60 interface range f0/4-5 switchport mode trunk switchport trunk native vlan 99
2、设置管理VLAN的IP
HJ Switch1
interface vlan 99 ip address 192.168.99.1 255.255.255.0
HJ Switch2
interface vlan 99 ip address 192.168.99.1 255.255.255.0
3、配置生成树STVP+协议
HJ Switch1
//配置为VLAN 10 20 30 的主根网桥 spanning-tree vlan 1,10,20,30,40,50,60,99 root primary spanning-tree mode rapid-pvst
HJ Switch2
//配置为VLAN 10 20 30 40 50 60 的次根网桥 spanning-tree vlan 1,10,20,30,40,50,60,99 root secondary spanning-tree mode rapid-pvst
接入层交换机1-6
//配置portFast与BPDU防护 interface range f0/1-3 spanning-tree portfast spanning-tree bpduguard enable spanning-tree mode rapid-pvst
数据中心
如图所示的四个服务器
配置IP地址及其服务
网关:192.168.7.1
DHCP:192.168.7.2
DNS : 192.168.7.3
FTP: 192.168.7.4
WWW : 192.168.7.5
switch0
将f0/3-4配置为trunk f0/1-2 f0/5-6配置为access
DHCP服务
1、将DHCP的IP设置为192.168.7.3
2、配置DHCP池
六个部门的IP从172.16.17.0/24 - 172.16.22.0/24
每个部门250台主机的地址范围
第一个部门的配置信息 其他部门类似
创建好六个DHCP池
汇聚层
1、配置RIPv2
HJ Switch1
ip routing router rip version 2 network 192.168.7.0 network 172.16.0.0 network 192.168.99.0 no auto-summary
HJ Switch2
ip routing router rip version 2 network 192.168.7.0 network 172.16.0.0 network 192.168.99.0 no auto-summary
2、配置三层交换机的接口IP及其DHCP中继服务
HJ Switch1|HJ Switch2
//设置端口为三层模式 int g1/0/9 no switchport ip address 192.168.7.1 255.255.255.0 no shutdown //开启三层交换机路由功能 ip routing //配置对应的vlanip及dhcp中继服务 int vlan 10 ip address 172.16.17.1 255.255.255.0 no shutdown ip helper-address 192.168.7.2 int vlan 20 ip address 172.16.18.1 255.255.255.0 no shutdown ip helper-address 192.168.7.2 int vlan 30 ip address 172.16.19.1 255.255.255.0 no shutdown ip helper-address 192.168.7.2 int vlan 40 ip address 172.16.20.1 255.255.255.0 no shutdown ip helper-address 192.168.7.2 int vlan 50 ip address 172.16.21.1 255.255.255.0 no shutdown ip helper-address 192.168.7.2 int vlan 60 ip address 172.16.22.1 255.255.255.0 no shutdown ip helper-address 192.168.7.2
3、至此,所有主机都能通过各自的VLAN来动态获取到所属部门的IP段
例如属于VLAN10的行政部的两个PC:
属于VLAN20的财务部的PC
核心层
1、配置ip等设置完善RIP动态路由
HJ Switch1
interface g1/0/10 no switchport ip address 192.168.8.1 255.255.255.252 no shutdown router rip network 192.168.8.0 ip route 0.0.0.0 0.0.0.0 192.168.8.2
HJ Switch2
interface g1/0/10 no switchport ip address 192.168.9.1 255.255.255.252 no shutdown router rip network 192.168.9.0 ip route 0.0.0.0 0.0.0.0 192.168.9.2
HX Router
router rip version 2 network 192.168.7.0 network 172.16.0.0 network 192.168.99.0 network 192.168.8.0 network 192.168.9.0 network 192.168.1.0 no auto-summary interface g0/0 ip address 192.168.8.2 255.255.255.252 no shutdown interface g0/1 ip address 192.168.9.2 255.255.255.252 no shutdown
2、配置默认路由
interface s0/0/0 ip address 192.168.1.2 255.255.255.252 no shutdown exit ip route 0.0.0.0 0.0.0.0 192.168.1.1
配置边缘路由器
1、配置边界路由及IP
router rip version 2 network 192.168.7.0 network 172.16.0.0 network 192.168.99.0 network 192.168.8.0 network 192.168.9.0 network 192.168.1.0 no auto-summary interface s0/0/0 ip address 192.168.1.1 255.255.255.252 clock rate 128000 no shutdown interface s0/0/1 ip address 209.1.1.2 255.255.255.252 no shutdwon //默认路由 ip route 0.0.0.0 0.0.0.0 209.1.1.1
2、配置PAT
//访问控制列表 access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.7.0 0.0.7.255 access-list 1 permit 172.16.17.0 0.0.15.255 access-list 1 permit 192.168.99.0 0.0.0.255 //定义IP地址池 ip nat pool public_access 209.165.202.1 209.165.202.62 netmask 255.255.255.192 ip nat inside source list 1 pool public_access overload interface s0/0/0 ip nat inside interface s0/0/1 ip nat outside
3、ISP
//ISP interface s0/0/1 ip address 209.1.1.1 255.255.255.252 no shutdown interface g0/0 ip address 209.3.3.1 255.255.255.252 no shutdown //到边界路由的静态路由 ip route 209.165.202.0 255.255.255.192 209.1.1.2
自此整个内外网之间都能连通
用属于vlan10的PC0 ping 站点B
如图 站点B的IP为209.3.3.2
用属于VLAN60的临时部的接入无线的 笔记本 ping站点B
实现统一远程管理
每一个需要远程连接的设备配置ssh
ip domain-name CCNA-lab.com username admin privilege 15 secret adminpass1 line vty 0 4 transport input ssh login local exit crypto key generate rsa general-keys modulus 1024
安全性实现
1、禁止临时部对ftp server的访问。
临时部的IP是172.16.22.0/24网段
FTP服务的地址是192.168.7.4
使用拓展ACL命令过滤从临时部到达FTP的FTP请求
将ACL的方向定到部门与汇聚层交换机的接口g1/0/8的入口方向
先测试FTP连接
测试成功!
接下来配置拓展ACL
HJ Switch1|HJ Switch2
access-list 100 deny tcp 172.16.22.0 0.0.0.255 host 192.168.7.4 eq ftp access-list 100 permit ip any any interface g1/0/9 ip access-group 100 out
再次测试
通过ICMP能够PING成功,说明ACL过滤生效
2、 禁止临时部和销售部对财务部的访问
因为没有销售部,这里尝试禁止临时部和后勤部对财务部的访问
后勤部的IP是172.16.21.0/24网段
临时部的IP是172.16.22.0/24网段
财务部属于vlan20
先进行测试ping财务部的一台主机
配置acl
access-list 101 deny ip 172.16.21.0 0.0.0.255 172.16.18.0 0.0.0.255 access-list 101 deny ip 172.16.22.0 0.0.0.255 172.16.18.0 0.0.0.255 access-list 101 permit ip any any interface vlan20 ip access-group 100 out
再次测试 ping不通 acl拦截成功
临时部上的主机也ping不通
用行政部上的主机测试
能够 ping通 , 说明成功只对临时部和销售部进行限制对财务部的访问
3、在网络设备上部署ssh访问,使用ACL对设备进行保护
前面的命令已经在设备上配置了SSH,现在则根据情况,用acl对外部的不安全访问进行过滤
一个是禁止临时部使用发起ssh连接 一个是禁止外网对公司内网进行ssh连接
在两个汇聚层交换机上配置禁止临时部的ssh访问
ssh端口号为22
access-list 102 deny tcp 172.16.22.0 0.0.0.255 any eq 22 access-list 102 permit ip any any interface vlan60 ip access-group 102 in
在边界路由器上
access-list 102 deny tcp any any eq 22 access-list 102 permit ip any any interface s0/0/1 ip access-group 102 in
测试:
行政部能够ssh连接汇聚层交换机:
临时部无法ssh连接汇聚层交互机:
4、在边界路由器上关闭内部网icmp;限制外网发起的TCP连接; 拒绝财务部访问外网
边界路由器关闭内网对外网的icmp
测试内网ping外网
设置acl
access-list 103 deny icmp any any access-list 103 permit ip any any interface s0/0/0 ip access-group 103 in
再次测试
限制外网发起的TCP连接
不让外网对内网进行FTP访问
因为刚才对边界路由器的接口的入口方向已经配置过,因此先找到前面的acl,然后在其基础上添加
这里多条限制服务
no ip access-list extended 102 access-list 102 deny tcp any any eq 22 access-list 102 deny tcp any any eq ftp access-list 102 permit ip any any interface s0/0/1 ip access-group 102 in
拒绝财务部访问外网
在边界路由器的 s0/0/0 in 的接口上配置对财务部的访问进行过滤
找到前面配置的信息 然后增加
no ip access-list extended 103 access-list 103 deny icmp any any access-list 103 deny ip 172.16.18.0 any access-list 103 permit ip any any interface s0/0/0 ip access-group 103 in
自此全部配置完成
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 分享4款.NET开源、免费、实用的商城系统
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了
· 上周热点回顾(2.24-3.2)