思科网络技术 - 课设

某公司计划建设一个安全、可靠、可扩展和高效的网络环境,将总部和分支机构(站点A和站点B)互联,使公司内部能够方便共享网络资源,全网接入Internet,同时实现公司内部的信息保密隔离,以及对Internet的安全访问。
公司环境:
1.部门:行政部、财务部、人事部、科研部、后勤部、临时部,每个部门使用不同VLAN。
2.数据中心提供DNS, DHCP, WWW,FTP等网络服务。
3.站点A与站点B相距较远,站点B提供Internet接入,公司的外网地址池为209.165.202.0/26,公司内部使用私有地址。
4.在公司网络内部使用RIPV2进行路由选择,并控制广播域的范围。
5.网络设备统一实现远程可管理。

设计要求:

  1. 采用冗余的三层架构设计网络拓扑,使用NAT技术使内部网络能够访问Internet。(部门之间用三层交换机连接来提高效率,并设置冗余链路提高网络鲁棒性)
  2. 数据中心:网段 192.168.7.0/24;管理网段:192.168.99.0/24 外网能够访问公司www服务
  3. 部门IP地址:172.16..0/24 ——172.16.+5.0/24,(*为学号后两位)每个部门规划250台主机地址范围,临时部允许无线接入访问。其余链路上的IP地址可自行规划。
    4.安全要求:
    禁止临时部对ftp server的访问。
    禁止临时部和销售部对财务部的访问
    在网络设备上部署ssh访问,使用ACL对设备进行保护
    在边界路由器上关闭内部网icmp;限制外网发起的TCP连接; 拒绝财务部访问外网(使用扩展ACL实现)

网络拓扑图

接入层:

image-20220613095324618

如图,六台交换机分别代表接入层接入的6个部门,JR XZ 代表行政部,JR CW代表财务部,以此类推,共有六个部门

1、设计VLAN,六个部门从左至右,从上到下,分属于六个VLAN 10 20 30 40 50 60。

先启用VTP协议,两个汇聚层三层交换机将作为VTP服务器:

HJ Switch1

hostname HJ_S1
//设置vtp协议
vtp mode server
vtp domain CCNA
vtp password cisco
//配置接口模式
interface range g1/0/1-9
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 99

//创建vlan
vlan 10
name XZB
vlan 20
name CWB
vlan 30
name RSB
vlan 40
name KYB
vlan 50
name HQB
vlan 60
name LSB
vlan 99
name management

HJ Switch2

hostname HJ_S2
//设置vtp协议
vtp mode server
vtp domain CCNA
vtp password cisco

//配置接口模式
interface range g1/0/1-9
switchport mode trunk
switchport trunk native vlan 99

JR XZ 行政部 VLAN10

vtp mode client
vtp domain CCNA
vtp password cisco

//配置接口
interface range f0/1-3
switchport access vlan 10
interface range f0/4-5
switchport mode trunk
switchport trunk native vlan 99

JR CW 财务部 VLAN20:

vtp mode client
vtp domain CCNA
vtp password cisco

//配置接口
interface range f0/1-3
switchport access vlan 20
interface range f0/4-5
switchport mode trunk
switchport trunk native vlan 99

JR RS 人事部 VLAN30

vtp mode client
vtp domain CCNA
vtp password cisco

//配置接口
interface range f0/1-3
switchport access vlan 30
interface range f0/4-5
switchport mode trunk
switchport trunk native vlan 99

JR KY 科研部 VLAN 40:

vtp mode client
vtp domain CCNA
vtp password cisco

//配置接口
interface range f0/1-3
switchport access vlan 40
interface range f0/4-5
switchport mode trunk
switchport trunk native vlan 99

JR HQ 后勤部 VLAN50:

vtp mode client
vtp domain CCNA
vtp password cisco

//配置接口
interface range f0/1-3
switchport access vlan 50
interface range f0/4-5
switchport mode trunk
switchport trunk native vlan 99

JR LS 临时部 VLAN 60

vtp mode client
vtp domain CCNA
vtp password cisco

//配置接口
interface range f0/1-3
switchport access vlan 60
interface range f0/4-5
switchport mode trunk
switchport trunk native vlan 99

2、设置管理VLAN的IP

HJ Switch1

interface vlan 99
ip address 192.168.99.1 255.255.255.0

HJ Switch2

interface vlan 99
ip address 192.168.99.1 255.255.255.0

3、配置生成树STVP+协议

HJ Switch1

//配置为VLAN 10 20 30 的主根网桥
spanning-tree vlan 1,10,20,30,40,50,60,99 root primary
spanning-tree mode rapid-pvst

HJ Switch2

//配置为VLAN 10 20 30 40 50 60 的次根网桥
spanning-tree vlan 1,10,20,30,40,50,60,99 root secondary
spanning-tree mode rapid-pvst

接入层交换机1-6

//配置portFast与BPDU防护
interface range f0/1-3
spanning-tree portfast
spanning-tree bpduguard enable

spanning-tree mode rapid-pvst

数据中心

如图所示的四个服务器

image-20220613160255035

配置IP地址及其服务

网关:192.168.7.1

DHCP:192.168.7.2

DNS : 192.168.7.3

FTP: 192.168.7.4

WWW : 192.168.7.5

switch0

将f0/3-4配置为trunk
f0/1-2 f0/5-6配置为access

DHCP服务

1、将DHCP的IP设置为192.168.7.3

2、配置DHCP池

六个部门的IP从172.16.17.0/24 - 172.16.22.0/24

每个部门250台主机的地址范围

第一个部门的配置信息 其他部门类似

image-20220613160907528

创建好六个DHCP池

image-20220613161321151

汇聚层

1、配置RIPv2

HJ Switch1

ip routing
router rip
version 2
network 192.168.7.0
network 172.16.0.0
network 192.168.99.0
no auto-summary

HJ Switch2

ip routing
router rip
version 2
network 192.168.7.0
network 172.16.0.0
network 192.168.99.0
no auto-summary

2、配置三层交换机的接口IP及其DHCP中继服务

HJ Switch1|HJ Switch2

//设置端口为三层模式
int g1/0/9
no switchport
ip address 192.168.7.1 255.255.255.0
no shutdown

//开启三层交换机路由功能
ip routing

//配置对应的vlanip及dhcp中继服务
int vlan 10
ip address 172.16.17.1 255.255.255.0
no shutdown
ip helper-address 192.168.7.2

int vlan 20
ip address 172.16.18.1 255.255.255.0
no shutdown
ip helper-address 192.168.7.2

int vlan 30
ip address 172.16.19.1 255.255.255.0
no shutdown
ip helper-address 192.168.7.2

int vlan 40
ip address 172.16.20.1 255.255.255.0
no shutdown
ip helper-address 192.168.7.2

int vlan 50
ip address 172.16.21.1 255.255.255.0
no shutdown
ip helper-address 192.168.7.2

int vlan 60
ip address 172.16.22.1 255.255.255.0
no shutdown
ip helper-address 192.168.7.2

3、至此,所有主机都能通过各自的VLAN来动态获取到所属部门的IP段

例如属于VLAN10的行政部的两个PC:

image-20220613213252008

image-20220613213303901

属于VLAN20的财务部的PC

image-20220613213344796

核心层

1、配置ip等设置完善RIP动态路由

HJ Switch1

interface g1/0/10
no switchport 
ip address 192.168.8.1 255.255.255.252
no shutdown 

router rip
network 192.168.8.0

ip route 0.0.0.0 0.0.0.0 192.168.8.2

HJ Switch2

interface g1/0/10
no switchport 
ip address 192.168.9.1 255.255.255.252
no shutdown 

router rip
network 192.168.9.0

ip route 0.0.0.0 0.0.0.0 192.168.9.2

HX Router

router rip
version 2
network 192.168.7.0
network 172.16.0.0
network 192.168.99.0
network 192.168.8.0
network 192.168.9.0
network 192.168.1.0
no auto-summary

interface g0/0
ip address 192.168.8.2 255.255.255.252
no shutdown
interface g0/1
ip address 192.168.9.2 255.255.255.252
no shutdown

2、配置默认路由

interface s0/0/0
ip address 192.168.1.2 255.255.255.252
no shutdown 
exit
ip route 0.0.0.0 0.0.0.0 192.168.1.1

配置边缘路由器

1、配置边界路由及IP

router rip
version 2
network 192.168.7.0
network 172.16.0.0
network 192.168.99.0
network 192.168.8.0
network 192.168.9.0
network 192.168.1.0
no auto-summary

interface s0/0/0
ip address 192.168.1.1 255.255.255.252
clock rate 128000
no shutdown
interface s0/0/1
ip address 209.1.1.2 255.255.255.252
no shutdwon
//默认路由
ip route 0.0.0.0 0.0.0.0 209.1.1.1

2、配置PAT

//访问控制列表
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.7.0 0.0.7.255
access-list 1 permit 172.16.17.0 0.0.15.255
access-list 1 permit 192.168.99.0 0.0.0.255

//定义IP地址池
ip nat pool public_access 209.165.202.1  209.165.202.62 netmask 255.255.255.192
ip nat inside source list 1 pool public_access overload

interface s0/0/0
ip nat inside
interface s0/0/1
ip nat outside

3、ISP

//ISP
interface s0/0/1
ip address 209.1.1.1 255.255.255.252
no shutdown
interface g0/0
ip address 209.3.3.1 255.255.255.252
no shutdown

//到边界路由的静态路由
ip route 209.165.202.0 255.255.255.192 209.1.1.2

自此整个内外网之间都能连通

用属于vlan10的PC0 ping 站点B

image-20220614004315474

如图 站点B的IP为209.3.3.2

image-20220614004300554

用属于VLAN60的临时部的接入无线的 笔记本 ping站点B

image-20220614013222709

实现统一远程管理

每一个需要远程连接的设备配置ssh

ip domain-name CCNA-lab.com
username admin privilege 15 secret adminpass1
line vty 0 4
transport input ssh
login local
exit
crypto key generate rsa general-keys modulus 1024

安全性实现

1、禁止临时部对ftp server的访问。

临时部的IP是172.16.22.0/24网段

FTP服务的地址是192.168.7.4

使用拓展ACL命令过滤从临时部到达FTP的FTP请求

将ACL的方向定到部门与汇聚层交换机的接口g1/0/8的入口方向

先测试FTP连接

image-20220614093321167

测试成功!

接下来配置拓展ACL

HJ Switch1|HJ Switch2

access-list 100 deny tcp 172.16.22.0 0.0.0.255 host 192.168.7.4 eq ftp
access-list 100 permit ip any any 

interface g1/0/9
ip access-group 100 out

再次测试

image-20220614095228924

image-20220614095258171

通过ICMP能够PING成功,说明ACL过滤生效

2、 禁止临时部和销售部对财务部的访问

因为没有销售部,这里尝试禁止临时部和后勤部对财务部的访问

后勤部的IP是172.16.21.0/24网段

临时部的IP是172.16.22.0/24网段

财务部属于vlan20

先进行测试ping财务部的一台主机

image-20220614101009626

配置acl

access-list 101 deny ip 172.16.21.0 0.0.0.255  172.16.18.0 0.0.0.255
access-list 101 deny ip 172.16.22.0 0.0.0.255  172.16.18.0 0.0.0.255
access-list 101 permit ip any any 

interface vlan20
ip access-group 100 out

image-20220614101056032

再次测试 ping不通 acl拦截成功

image-20220614101148423

临时部上的主机也ping不通

用行政部上的主机测试

image-20220614101239503

能够 ping通 , 说明成功只对临时部和销售部进行限制对财务部的访问

3、在网络设备上部署ssh访问,使用ACL对设备进行保护

前面的命令已经在设备上配置了SSH,现在则根据情况,用acl对外部的不安全访问进行过滤

一个是禁止临时部使用发起ssh连接 一个是禁止外网对公司内网进行ssh连接

在两个汇聚层交换机上配置禁止临时部的ssh访问

ssh端口号为22

access-list 102 deny tcp 172.16.22.0 0.0.0.255  any eq 22
access-list 102 permit ip any any 

interface vlan60
ip access-group 102 in

在边界路由器上

access-list 102 deny tcp any any eq 22
access-list 102 permit ip any any

interface s0/0/1
ip access-group 102 in

测试:

行政部能够ssh连接汇聚层交换机:

image-20220614102858188

临时部无法ssh连接汇聚层交互机:

image-20220614103045786

4、在边界路由器上关闭内部网icmp;限制外网发起的TCP连接; 拒绝财务部访问外网

边界路由器关闭内网对外网的icmp

测试内网ping外网

image-20220614103603461

设置acl

access-list 103 deny  icmp any any
access-list 103 permit ip any any 

interface s0/0/0
ip access-group 103 in

再次测试

image-20220614103626126

限制外网发起的TCP连接

不让外网对内网进行FTP访问

因为刚才对边界路由器的接口的入口方向已经配置过,因此先找到前面的acl,然后在其基础上添加

这里多条限制服务

no ip access-list extended 102
access-list 102 deny tcp any any eq 22
access-list 102 deny tcp any any eq ftp
access-list 102 permit ip any any

interface s0/0/1
ip access-group 102 in

拒绝财务部访问外网

在边界路由器的 s0/0/0 in 的接口上配置对财务部的访问进行过滤

找到前面配置的信息 然后增加

no ip access-list extended 103
access-list 103 deny icmp any any
access-list 103 deny ip 172.16.18.0 any
access-list 103 permit ip any any 

interface s0/0/0
ip access-group 103 in

自此全部配置完成

 posted on 2023-02-25 22:56    阅读(979)  评论(1编辑  收藏  举报