Cisco组建中小型企业网络实例
组建中小型网络
1、Vlan 信息
1
2、VTP 信息
3、设备 IP 地址分配交换机、路由器详细配置1.
IP 地址设置
2600-R-1(config )# int F0/0
2600-R-1 (config-if) #ip add
2600-R-1 (config-if) #no shutdown
----------------------------------
2600-R-1(3550-S-3550-S-1 (config-if) # ip add 配置
(config-if) (config-if) (config-if)
(config-if)
(config-if)
(config-if)
(config-if)
(config-if)
(config-if)
(config-if)
(config-if)
(config-if)
(config-if)
(config-if)
(config-if)(config-if)
int vlan 3……………质保部
ip add vlan 4……………制造部
ip add vlan 5……………设备部
ip add vlan 6……………采购部
ip add vlan 7……………销售部
ip add vlan 8……………财务部
ip add vlan 9……………管理部
ip add vlan 100…………总经办
ip add # vlan database
3550-S-1 (vlan) # vtp domain vtp1
3550-S-1 (vlan) # vtp server
3550-S-1 (vlan) # vtp password 123
3550-S-1 (vlan) # vtp pruning……………………………..修剪
3550-S-1 (vlan) # vlan 2 name yfzx………………………..研发中心
3550-S-1 (vlan) # vlan 3 name zbb………………………..质保部
3550-S-1 (vlan) # vlan 4 name zzb…………………………制造部
3550-S-1 (vlan) # vlan 5 name sbb…………………………设备部
3550-S-1 (vlan) # vlan 6 name cgb…………………………采购部
3550-S-1 (vl an) # vlan 7 name xsb……………………… 销售部
3550-S-1 (vlan) # vlan 8 name xsb………………………...财务部
3550-S-1 (vlan) # vlan 9 name xsb……………………… …管理部
----------------------------------------------------------- 2950-S-1 (vlan) #vtp domain vtp1
2950-S-1 (vlan) #vtp tran…………………透明模式(配置修改编号清零) 2950-S-1 (vlan) #vtp client 客户模式
2950-S-1 (vlan) #vtp password 123
2950-S-2 (vlan) #vtp domain vtp1
2950-S-2 (vlan) #vtp tran…………………透明模式(配置修改编号清零) 2950-S-2 (vlan) #vtp client 客户模式
2950-S-2 (vlan) #vtp password 123
2950-S-3 (vlan) #vtp domain vtp1
2950-S-3 (vlan) #vtp tran…………………透明模式(配置修改编号清零) 2950-S-3 (vlan) #vtp client 客户模式3
2950-S-3 2950-S-4 2950-S-4 (vlan)
(vlan)
(vlan)
#vtp
#vtp
#vtp
password 123
domain vtp1
tran…………………透明模式(配置修改编号清零)
2950-S-4 2950-S-4 (vlan)
(vlan)
#vtp
#vtp
client
password 123
客户模式
3.路由配置
2600-R-1(config)缺省路由
2600-R-1(config)
3550-R
4.
5.NAT
2600-R-1(config)
内部局部地址
2600-R-1(config)
………………………………定义合法 IP 地址池2600-R-1(config)# ip nat inside sour list 101 pool WAN ……….实现
地址转换
2600-R-1(config)# int f0/1
2600-R-1(config-if)# ip nat inside………………………….定义 NAT inside 2600-R-1(config)# int f0/0
2600-R-1(config-if)# ip nat outside………………………..定义 NAT
outside 端口
Vlan流量控制
制造部、设备部 vlan 实现互访,禁止访问其它部门 vlan
制造部、设备部上班时间禁止访问 internet(8:00-12:00 2:00-6:00)
研发中心、质保部 vlan 实现互访,禁止访问其它部门 vlan
财务部 vlan 实现与采购部、销售部 vlan 的单向访问
总经办 vlan 实现与财务部、管理部 vlan 的单向访问
管理部 vlan 禁止访问其它部门 vlan
各部门 vlan 都能访问服务器区
3550-S-1(config) # time-range restrict
3550-S-1(config-time-range) # periodic daily start 12:00 to 2:00
……….设置时间范围
3550-S-1 (config) # ip access-list extend yfzx……….研发中心 ACL
3550-S-1 (config-ext-nacl) # permit ip any
…...….访问质保部
4
………访问服务器区
……….禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
3550-S-1 (config) # ip access-list extend zbb……….质保部 ACL
3550-S-1 (config-ext-nacl) # permit ip any
…...….访问研发中心
3550-S-1 (config-ext-nacl) # permit ip any
………访问服务器区
……….禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
---------------------------------------------------------------------------- ---------------
3550-S-1 (config) # ip access-list extend zzb……….制造部 ACL
3550-S-1 (config-ext-nacl) # permit ip any
…...….访问设备部
3550-S-1 (config-ext-nacl) # permit ip any
………访问服务器区
……….禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any time-range restrict
……….上班时间禁止上网
3550-S-1 (config) # ip access-list extend sbb……….设备部 ACL
3550-S-1 (config-ext-nacl) # permit ip any
…...….访问制造部
3550-S-1 (config-ext-nacl) # permit ip any
………访问服务器区
……….禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
---------------------------------------------------------------------------- -------------
3550-S-1 (config) # ip access-list extend cgb……….采购部 ACL
3550-S-1 (config-ext-nacl) # evaluate cwb-cgb…..计算匹配自反 ACL
3550-S-1 (config-ext-nacl) # permit ip any
………访问服务器区
5
------------------------------------------------------------------------
----
3550-S-1 (config) # ip access-list extend xsb……….销售部 ACL
3550-S-1 (config-ext-nacl) # evaluate cwb-xsb…..计算匹配自反 ACL
3550-S-1 (config-ext-nacl) # permit ip any
………访问服务器区
3550-S-1 (config-ext-nacl) #permit ip any any
--------------------------------------------------------------------------
-------------
3550-S-1 (config) # ip access-list extend cwb……….财务部 ACL 3550-S-1 (config-ext-nacl) # permint ip any
………...
创建自反 ACL cwb-cgb
3550-S-1 (config-ext-nacl) # permint ip any
………...
创建自反 ACL cwb-xsb
3550-S-1 (config-ext-nacl) # evaluate zjb-cwb…..计算匹配自反 ACL
3550-S-1 (config-ext-nacl) # permit ip any
………访问服务器区
……….禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
---------------------------------------------------------------------------- ----------------------
3550-S-1 (config) # ip access-list extend cwb……….管理部 ACL
3550-S-1 (config-ext-nacl) # evaluate zjb-glb…..计算匹配自反 ACL
3550-S-1 (config-ext-nacl) # permit ip any
………访问服务器区
……….禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
---------------------------------------------------------------------------- ------------------------
3550-S-1 (config) # ip access-list extend zjb……….总经办 ACL 3550-S-1 (config-ext-nacl) # permint ip any
………...创
建自反 ACL zjb-cwb
3550-S-1 (config-ext-nacl) # permint ip any
………...创
建自反 ACL zjb-glb
3550-S-1 (config-ext-nacl) # permit ip any
6
………访问服务器区
……….禁止访问其它部门3550-S-1 (config-ext-nacl) # permit ip any any
ACL 应用:
3550-S-1
3550-S-1 3550-S-1 3550-S-1 3550-S-1 3550-S-1 (config) # int vlan 2 …………..研发中心(config-if) #ip access-group yfzx in
(config) # int vlan 3 …………..质保部(config-if) #ip access-group zbb in
(config) # int vlan 4 ……………制造部(config-if) #ip access-group zzb in
…(略)
附:关键字 established 的 ACL 应用(单向访问)
3550-S-1 (config) # ip access-list extend cgb……….采购部 ACL 3550-S-1 (config-ext-nacl) # permit ip any
estab
3550-S-1 (config-ext-nacl) # permit ip any
………访问服务器区
3550-S-1 (config-ext-nacl) #permit ip any any
3550-S-1 (config) # ip access-list extend xsb……….销售部 ACL
3550-S-1 (config-ext-nacl) # permit ip any
estab
3550-S-1 (config-ext-nacl) # permit ip any
………访问服务器区
3550-S-1 (config-ext-nacl) #permit ip any any
1、Vlan 信息
7
2、VTP 信息
3、设备 IP 地址分配 交换机、路由器详细配置
1. IP 地址设置
8
2600-R-1 (config-if) #no shutdown
----------------------------------
2600-R-1(config-if)# int F0/1
2600-R-1 (config-if) #ip add
2600-R-1 (config-if) #no shutdown
3550-S-1 (config) # int F0/1
3550-S-1 (config-if) # no switchport……….路由端口
3550-S-1 (config-if) # ip add
3550-S-1 (config) # int vlan 1 ……………..管理 vlan
3550-S-1 (config-if) # ip add
3550-S-1 (config-if) # int vlan 2……………研发中心
3550-S-1 (config-if) # ip add
3550-S-1 (config-if) # int vlan 3……………质保部
3550-S-1 (config-if) # ip add
3550-S-1 (config-if) # int vlan 4……………制造部
3550-S-1 (config-if) # ip add
3550-S-1 (config-if) # int vlan 5……………设备部
3550-S-1 (config-if) # ip add
3550-S-1 (config-if) # int vlan 6……………采购部
3550-S-1 (config-if) # ip add
3550-S-1 (config-if) # int vlan 7……………销售部
3550-S-1 (config-if) # ip add
3550-S-1 (config-if) # int vlan 8……………财务部
3550-S-1 (config-if) # ip add
3550-S-1 (config-if) # int vlan 9……………管理部
3550-S-1 (config-if) # ip add
3550-S-1 (config-if) # int vlan 100…………总经办
3550-S-1 (config-if) # ip add
2.
9 VTP 配置
3550-S-1(config)# vlan database
3550-S-1 (vlan) # vtp domain vtp1
3550-S-1 (vlan) # vtp server
3550-S-1 (vlan) # vtp password 123
3550-S-1 (vlan) # vtp pruning……………………………..修剪
3550-S-1 (vlan) # vlan 2 name yfzx………………………..研发中心
3550-S-1 (vlan) # vlan 3 name zbb………………………....质保部
3550-S-1 (vlan) # vlan 4 name zzb…………………………制造部
3550-S-1 (vlan) # vlan 5 name sbb…………………………设备部
3550-S-1 (vlan) # vlan 6 name cgb…………………………采购部
3550-S-1 (vlan) # vlan 7 name xsb……………………… …销售部
3550-S-1 (vlan) # vlan 8 name xsb……………………….....财务部
3550-S-1 (vlan) # vlan 9 name xsb……………………… …管理部
-----------------------------------------------------------
2950-S-1 (vlan) #vtp domain vtp1
2950-S-1 (vlan) #vtp tran…………………透明模式(配置修改编号清零)
2950-S-1 (vlan) #vtp client 客户模式
2950-S-1 (vlan) #vtp password 123
2950-S-2 (vlan) #vtp domain vtp1
2950-S-2 (vlan) #vtp tran…………………透明模式(配置修改编号清零)
2950-S-2 (vlan) #vtp client 客户模式
2950-S-2 (vlan) #vtp password 123
2950-S-3 (vlan) #vtp domain vtp1
2950-S-3 (vlan) #vtp tran…………………透明模式(配置修改编号清零)
2950-S-3 (vlan) #vtp client 客户模式
2950-S-3 (vlan) #vtp password 123
2950-S-4 (vlan) #vtp domain vtp1
2950-S-4 (vlan) #vtp tran…………………透明模式(配置修改编号清零)
2950-S-4 (vlan) #vtp client 客户模式
2950-S-4 (vlan) #vtp password 123
3.路由配置
2600-R-1(config)缺省路由
2600-R-1(config)
4.
5.NAT
2600-R-1(config)
内部局部地址
2600-R-1(config)
………………………………定义合法 IP 地址池2600-R-1(config)# ip nat inside sour list 101 pool WAN ……….实现
地址转换
2600-R-1(config)# int f0/1
2600-R-1(config-if)# ip nat inside………………………….定义 NAT inside 2600-R-1(config)# int f0/0
2600-R-1(config-if)# ip nat outside………………………..定义 NAT
outside 端口
Vlan流量控制
制造部、设备部 vlan 实现互访,禁止访问其它部门 vlan
制造部、设备部上班时间禁止访问 internet(8:00-12:00 2:00-6:00)
研发中心、质保部 vlan 实现互访,禁止访问其它部门 vlan
财务部 vlan 实现与采购部、销售部 vlan 的单向访问
10
总经办 vlan 实现与财务部、管理部 vlan 的单向访问
管理部 vlan 禁止访问其它部门 vlan
各部门 vlan 都能访问服务器区
3550-S-1(config) # time-range restrict
3550-S-1(config-time-range) # periodic daily start 12:00 to 2:00
……….设置时间范围
3550-S-1 (config) # ip access-list extend yfzx……….研发中心 ACL
3550-S-1 (config-ext-nacl) # permit ip any
…...….访问质保部
3550-S-1 (config-ext-nacl) # permit ip any
………访问服务器区
……….禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
3550-S-1 (config) # ip access-list extend zbb……….质保部 ACL
3550-S-1 (config-ext-nacl) # permit ip any
…...….访问研发中心
3550-S-1 (config-ext-nacl) # permit ip any
………访问服务器区
……….禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
---------------------------------------------------------------------------- ---------------
3550-S-1 (config) # ip access-list extend zzb……….制造部 ACL
3550-S-1 (config-ext-nacl) # permit ip any
…...….访问设备部
3550-S-1 (config-ext-nacl) # permit ip any
………访问服务器区
……….禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any time-range restrict
……….上班时间禁止上网
3550-S-1 (config) # ip access-list extend sbb……….设备部 ACL
3550-S-1 (config-ext-nacl) # permit ip any
…...….访问制造部
3550-S-1 (config-ext-nacl) # permit ip any
………访问服务器区
11
……….禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
---------------------------------------------------------------------------- -------------
3550-S-1 (config) # ip access-list extend cgb……….采购部 ACL
3550-S-1 (config-ext-nacl) # evaluate cwb-cgb…..计算匹配自反 ACL
3550-S-1 (config-ext-nacl) # permit ip any
………访问服务器区
3550-S-1 (config-ext-nacl) #permit ip any any
------------------------------------------------------------------------
----
3550-S-1 (config) # ip access-list extend xsb……….销售部 ACL
3550-S-1 (config-ext-nacl) # evaluate cwb-xsb…..计算匹配自反 ACL
3550-S-1 (config-ext-nacl) # permit ip any
………访问服务器区
3550-S-1 (config-ext-nacl) #permit ip any any
-------------------------------------------------------------------------- -------------
3550-S-1 (config) # ip access-list extend cwb……….财务部 ACL
3550-S-1 (config-ext-nacl) # permint ip any
………...
创建自反 ACL cwb-cgb
3550-S-1 (config-ext-nacl) # permint ip any
………...
创建自反 ACL cwb-xsb
3550-S-1 (config-ext-nacl) # evaluate zjb-cwb…..计算匹配自反 ACL
3550-S-1 (config-ext-nacl) # permit ip any
………访问服务器区
……….禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
---------------------------------------------------------------------------- ----------------------
3550-S-1 (config) # ip access-list extend cwb……….管理部 ACL
3550-S-1 (config-ext-nacl) # evaluate zjb-glb…..计算匹配自反 ACL
3550-S-1 (config-ext-nacl) # permit ip any
………访问服务器区
……….禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
12
---------------------------------------------------------------------------- ------------------------
3550-S-1 (config) # ip access-list extend zjb……….总经办 ACL
3550-S-1 (config-ext-nacl) # permint ip any
………...创
建自反 ACL zjb-cwb
3550-S-1 (config-ext-nacl) # permint ip any
………...创
建自反 ACL zjb-glb
3550-S-1 (config-ext-nacl) # permit ip any
………访问服务器区
……….禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
ACL 应用:
3550-S-1
3550-S-1 3550-S-1 3550-S-1 3550-S-1 3550-S-1 (config) # int vlan 2 …………..研发中心(config-if) #ip access-group yfzx in
(config) # int vlan 3 …………..质保部(config-if) #ip access-group zbb in
(config) # int vlan 4 ……………制造部(config-if) #ip access-group zzb in
…(略)
附:关键字 established 的 ACL 应用(单向访问)
3550-S-1 (config) # ip access-list extend cgb……….采购部 ACL 3550-S-1 (config-ext-nacl) # permit ip any
estab
3550-S-1 (config-ext-nacl) # permit ip any
………访问服务器区
3550-S-1 (config-ext-nacl) #permit ip any any
3550-S-1 (config) # ip access-list extend xsb……….销售部 ACL
3550-S-1 (config-ext-nacl) # permit ip any
estab
3550-S-1 (config-ext-nacl) # permit ip any
………访问服务器区
3550-S-1 (config-ext-nacl) #permit ip any any
13