Cisco组建中小型企业网络实例

组建中小型网络

1、Vlan 信息

1

2、VTP 信息

3、设备 IP 地址分配交换机、路由器详细配置1．

IP 地址设置

2600-R-1（config ）# int F0/0

2600-R-1 (config-if) #ip add

2600-R-1 (config-if) #no shutdown

----------------------------------

2600-R-1（3550-S-3550-S-1 (config-if) # ip add 配置

(config-if) (config-if) (config-if)

(config-if)

(config-if)

(config-if)

(config-if)

(config-if)

(config-if)

(config-if)

(config-if)

(config-if)

(config-if)

(config-if)

(config-if)(config-if)

int vlan 3……………质保部

ip add vlan 4……………制造部

ip add vlan 5……………设备部

ip add vlan 6……………采购部

ip add vlan 7……………销售部

ip add vlan 8……………财务部

ip add vlan 9……………管理部

ip add vlan 100…………总经办

ip add # vlan database

3550-S-1 (vlan) # vtp domain vtp1

3550-S-1 (vlan) # vtp server

3550-S-1 (vlan) # vtp password 123

3550-S-1 (vlan) # vtp pruning……………………………..修剪

3550-S-1 (vlan) # vlan 2 name yfzx………………………..研发中心

3550-S-1 (vlan) # vlan 3 name zbb………………………..质保部

3550-S-1 (vlan) # vlan 4 name zzb…………………………制造部

3550-S-1 (vlan) # vlan 5 name sbb…………………………设备部

3550-S-1 (vlan) # vlan 6 name cgb…………………………采购部

3550-S-1 (vl an) # vlan 7 name xsb……………………… 销售部

3550-S-1 (vlan) # vlan 8 name xsb………………………...财务部

3550-S-1 (vlan) # vlan 9 name xsb……………………… …管理部

----------------------------------------------------------- 2950-S-1 (vlan) #vtp domain vtp1

2950-S-1 (vlan) #vtp tran…………………透明模式(配置修改编号清零) 2950-S-1 (vlan) #vtp client 客户模式

2950-S-1 (vlan) #vtp password 123

2950-S-2 (vlan) #vtp domain vtp1

2950-S-2 (vlan) #vtp tran…………………透明模式(配置修改编号清零) 2950-S-2 (vlan) #vtp client 客户模式

2950-S-2 (vlan) #vtp password 123

2950-S-3 (vlan) #vtp domain vtp1

2950-S-3 (vlan) #vtp tran…………………透明模式(配置修改编号清零) 2950-S-3 (vlan) #vtp client 客户模式3

2950-S-3 2950-S-4 2950-S-4 (vlan)

(vlan)

(vlan)

#vtp

#vtp

#vtp

password 123

domain vtp1

tran…………………透明模式(配置修改编号清零)

2950-S-4 2950-S-4 (vlan)

(vlan)

#vtp

#vtp

client

password 123

客户模式

3．路由配置

2600-R-1（config）缺省路由

2600-R-1（config）

3550-R

4．

5．NAT

2600-R-1（config）

内部局部地址

2600-R-1（config）

………………………………定义合法 IP 地址池2600-R-1（config）# ip nat inside sour list 101 pool WAN ……….实现

地址转换

2600-R-1（config）# int f0/1

2600-R-1（config-if）# ip nat inside………………………….定义 NAT inside 2600-R-1（config）# int f0/0

2600-R-1（config-if）# ip nat outside………………………..定义 NAT

outside 端口

Vlan流量控制

制造部、设备部 vlan 实现互访，禁止访问其它部门 vlan

制造部、设备部上班时间禁止访问 internet(8:00-12:00 2:00-6:00)

研发中心、质保部 vlan 实现互访，禁止访问其它部门 vlan

财务部 vlan 实现与采购部、销售部 vlan 的单向访问

总经办 vlan 实现与财务部、管理部 vlan 的单向访问

管理部 vlan 禁止访问其它部门 vlan

各部门 vlan 都能访问服务器区

3550-S-1(config) # time-range restrict

3550-S-1(config-time-range) # periodic daily start 12:00 to 2:00

……….设置时间范围

3550-S-1 (config) # ip access-list extend yfzx……….研发中心 ACL

3550-S-1 (config-ext-nacl) # permit ip any

…...….访问质保部

4

………访问服务器区

……….禁止访问其它部门

3550-S-1 (config-ext-nacl) # permit ip any any

3550-S-1 (config) # ip access-list extend zbb……….质保部 ACL

3550-S-1 (config-ext-nacl) # permit ip any

…...….访问研发中心

3550-S-1 (config-ext-nacl) # permit ip any

………访问服务器区

……….禁止访问其它部门

3550-S-1 (config-ext-nacl) # permit ip any any

---------------------------------------------------------------------------- ---------------

3550-S-1 (config) # ip access-list extend zzb……….制造部 ACL

3550-S-1 (config-ext-nacl) # permit ip any

…...….访问设备部

3550-S-1 (config-ext-nacl) # permit ip any

………访问服务器区

……….禁止访问其它部门

3550-S-1 (config-ext-nacl) # permit ip any any time-range restrict

……….上班时间禁止上网

3550-S-1 (config) # ip access-list extend sbb……….设备部 ACL

3550-S-1 (config-ext-nacl) # permit ip any

…...….访问制造部

3550-S-1 (config-ext-nacl) # permit ip any

………访问服务器区

……….禁止访问其它部门

3550-S-1 (config-ext-nacl) # permit ip any any

---------------------------------------------------------------------------- -------------

3550-S-1 (config) # ip access-list extend cgb……….采购部 ACL

3550-S-1 (config-ext-nacl) # evaluate cwb-cgb…..计算匹配自反 ACL

3550-S-1 (config-ext-nacl) # permit ip any

………访问服务器区

5

------------------------------------------------------------------------

----

3550-S-1 (config) # ip access-list extend xsb……….销售部 ACL

3550-S-1 (config-ext-nacl) # evaluate cwb-xsb…..计算匹配自反 ACL

3550-S-1 (config-ext-nacl) # permit ip any

………访问服务器区

3550-S-1 (config-ext-nacl) #permit ip any any

--------------------------------------------------------------------------

-------------

3550-S-1 (config) # ip access-list extend cwb……….财务部 ACL 3550-S-1 (config-ext-nacl) # permint ip any

………...

创建自反 ACL cwb-cgb

3550-S-1 (config-ext-nacl) # permint ip any

………...

创建自反 ACL cwb-xsb

3550-S-1 (config-ext-nacl) # evaluate zjb-cwb…..计算匹配自反 ACL

3550-S-1 (config-ext-nacl) # permit ip any

………访问服务器区

……….禁止访问其它部门

3550-S-1 (config-ext-nacl) # permit ip any any

---------------------------------------------------------------------------- ----------------------

3550-S-1 (config) # ip access-list extend cwb……….管理部 ACL

3550-S-1 (config-ext-nacl) # evaluate zjb-glb…..计算匹配自反 ACL

3550-S-1 (config-ext-nacl) # permit ip any

………访问服务器区

……….禁止访问其它部门

3550-S-1 (config-ext-nacl) # permit ip any any

---------------------------------------------------------------------------- ------------------------

3550-S-1 (config) # ip access-list extend zjb……….总经办 ACL 3550-S-1 (config-ext-nacl) # permint ip any

………...创

建自反 ACL zjb-cwb

3550-S-1 (config-ext-nacl) # permint ip any

………...创

建自反 ACL zjb-glb

3550-S-1 (config-ext-nacl) # permit ip any

6

………访问服务器区

……….禁止访问其它部门3550-S-1 (config-ext-nacl) # permit ip any any

ACL 应用：

3550-S-1

3550-S-1 3550-S-1 3550-S-1 3550-S-1 3550-S-1 (config) # int vlan 2 …………..研发中心(config-if) #ip access-group yfzx in

(config) # int vlan 3 …………..质保部(config-if) #ip access-group zbb in

(config) # int vlan 4 ……………制造部(config-if) #ip access-group zzb in

…(略)

附：关键字 established 的 ACL 应用(单向访问)

3550-S-1 (config) # ip access-list extend cgb……….采购部 ACL 3550-S-1 (config-ext-nacl) # permit ip any

estab

3550-S-1 (config-ext-nacl) # permit ip any

………访问服务器区

3550-S-1 (config-ext-nacl) #permit ip any any

3550-S-1 (config) # ip access-list extend xsb……….销售部 ACL

3550-S-1 (config-ext-nacl) # permit ip any

estab

3550-S-1 (config-ext-nacl) # permit ip any

………访问服务器区

3550-S-1 (config-ext-nacl) #permit ip any any

1、Vlan 信息

7

2、VTP 信息

3、设备 IP 地址分配 交换机、路由器详细配置

1． IP 地址设置

8

2600-R-1 (config-if) #no shutdown

----------------------------------

2600-R-1（config-if）# int F0/1

2600-R-1 (config-if) #ip add

2600-R-1 (config-if) #no shutdown

3550-S-1 (config) # int F0/1

3550-S-1 (config-if) # no switchport……….路由端口

3550-S-1 (config-if) # ip add

3550-S-1 (config) # int vlan 1 ……………..管理 vlan

3550-S-1 (config-if) # ip add

3550-S-1 (config-if) # int vlan 2……………研发中心

3550-S-1 (config-if) # ip add

3550-S-1 (config-if) # int vlan 3……………质保部

3550-S-1 (config-if) # ip add

3550-S-1 (config-if) # int vlan 4……………制造部

3550-S-1 (config-if) # ip add

3550-S-1 (config-if) # int vlan 5……………设备部

3550-S-1 (config-if) # ip add

3550-S-1 (config-if) # int vlan 6……………采购部

3550-S-1 (config-if) # ip add

3550-S-1 (config-if) # int vlan 7……………销售部

3550-S-1 (config-if) # ip add

3550-S-1 (config-if) # int vlan 8……………财务部

3550-S-1 (config-if) # ip add

3550-S-1 (config-if) # int vlan 9……………管理部

3550-S-1 (config-if) # ip add

3550-S-1 (config-if) # int vlan 100…………总经办

3550-S-1 (config-if) # ip add

2．

9 VTP 配置

3550-S-1（config）# vlan database

3550-S-1 (vlan) # vtp domain vtp1

3550-S-1 (vlan) # vtp server

3550-S-1 (vlan) # vtp password 123

3550-S-1 (vlan) # vtp pruning……………………………..修剪

3550-S-1 (vlan) # vlan 2 name yfzx………………………..研发中心

3550-S-1 (vlan) # vlan 3 name zbb………………………....质保部

3550-S-1 (vlan) # vlan 4 name zzb…………………………制造部

3550-S-1 (vlan) # vlan 5 name sbb…………………………设备部

3550-S-1 (vlan) # vlan 6 name cgb…………………………采购部

3550-S-1 (vlan) # vlan 7 name xsb……………………… …销售部

3550-S-1 (vlan) # vlan 8 name xsb……………………….....财务部

3550-S-1 (vlan) # vlan 9 name xsb……………………… …管理部

-----------------------------------------------------------

2950-S-1 (vlan) #vtp domain vtp1

2950-S-1 (vlan) #vtp tran…………………透明模式(配置修改编号清零)

2950-S-1 (vlan) #vtp client 客户模式

2950-S-1 (vlan) #vtp password 123

2950-S-2 (vlan) #vtp domain vtp1

2950-S-2 (vlan) #vtp tran…………………透明模式(配置修改编号清零)

2950-S-2 (vlan) #vtp client 客户模式

2950-S-2 (vlan) #vtp password 123

2950-S-3 (vlan) #vtp domain vtp1

2950-S-3 (vlan) #vtp tran…………………透明模式(配置修改编号清零)

2950-S-3 (vlan) #vtp client 客户模式

2950-S-3 (vlan) #vtp password 123

2950-S-4 (vlan) #vtp domain vtp1

2950-S-4 (vlan) #vtp tran…………………透明模式(配置修改编号清零)

2950-S-4 (vlan) #vtp client 客户模式

2950-S-4 (vlan) #vtp password 123

3．路由配置

2600-R-1（config）缺省路由

2600-R-1（config）

4．

5．NAT

2600-R-1（config）

内部局部地址

2600-R-1（config）

………………………………定义合法 IP 地址池2600-R-1（config）# ip nat inside sour list 101 pool WAN ……….实现

地址转换

2600-R-1（config）# int f0/1

2600-R-1（config-if）# ip nat inside………………………….定义 NAT inside 2600-R-1（config）# int f0/0

2600-R-1（config-if）# ip nat outside………………………..定义 NAT

outside 端口

Vlan流量控制

制造部、设备部 vlan 实现互访，禁止访问其它部门 vlan

制造部、设备部上班时间禁止访问 internet(8:00-12:00 2:00-6:00)

研发中心、质保部 vlan 实现互访，禁止访问其它部门 vlan

财务部 vlan 实现与采购部、销售部 vlan 的单向访问

10

总经办 vlan 实现与财务部、管理部 vlan 的单向访问

管理部 vlan 禁止访问其它部门 vlan

各部门 vlan 都能访问服务器区

3550-S-1(config) # time-range restrict

3550-S-1(config-time-range) # periodic daily start 12:00 to 2:00

……….设置时间范围

3550-S-1 (config) # ip access-list extend yfzx……….研发中心 ACL

3550-S-1 (config-ext-nacl) # permit ip any

…...….访问质保部

3550-S-1 (config-ext-nacl) # permit ip any

………访问服务器区

……….禁止访问其它部门

3550-S-1 (config-ext-nacl) # permit ip any any

3550-S-1 (config) # ip access-list extend zbb……….质保部 ACL

3550-S-1 (config-ext-nacl) # permit ip any

…...….访问研发中心

3550-S-1 (config-ext-nacl) # permit ip any

………访问服务器区

……….禁止访问其它部门

3550-S-1 (config-ext-nacl) # permit ip any any

---------------------------------------------------------------------------- ---------------

3550-S-1 (config) # ip access-list extend zzb……….制造部 ACL

3550-S-1 (config-ext-nacl) # permit ip any

…...….访问设备部

3550-S-1 (config-ext-nacl) # permit ip any

………访问服务器区

……….禁止访问其它部门

3550-S-1 (config-ext-nacl) # permit ip any any time-range restrict

……….上班时间禁止上网

3550-S-1 (config) # ip access-list extend sbb……….设备部 ACL

3550-S-1 (config-ext-nacl) # permit ip any

…...….访问制造部

3550-S-1 (config-ext-nacl) # permit ip any

………访问服务器区

11

……….禁止访问其它部门

3550-S-1 (config-ext-nacl) # permit ip any any

---------------------------------------------------------------------------- -------------

3550-S-1 (config) # ip access-list extend cgb……….采购部 ACL

3550-S-1 (config-ext-nacl) # evaluate cwb-cgb…..计算匹配自反 ACL

3550-S-1 (config-ext-nacl) # permit ip any

………访问服务器区

3550-S-1 (config-ext-nacl) #permit ip any any

------------------------------------------------------------------------

----

3550-S-1 (config) # ip access-list extend xsb……….销售部 ACL

3550-S-1 (config-ext-nacl) # evaluate cwb-xsb…..计算匹配自反 ACL

3550-S-1 (config-ext-nacl) # permit ip any

………访问服务器区

3550-S-1 (config-ext-nacl) #permit ip any any

-------------------------------------------------------------------------- -------------

3550-S-1 (config) # ip access-list extend cwb……….财务部 ACL

3550-S-1 (config-ext-nacl) # permint ip any

………...

创建自反 ACL cwb-cgb

3550-S-1 (config-ext-nacl) # permint ip any

………...

创建自反 ACL cwb-xsb

3550-S-1 (config-ext-nacl) # evaluate zjb-cwb…..计算匹配自反 ACL

3550-S-1 (config-ext-nacl) # permit ip any

………访问服务器区

……….禁止访问其它部门

3550-S-1 (config-ext-nacl) # permit ip any any

---------------------------------------------------------------------------- ----------------------

3550-S-1 (config) # ip access-list extend cwb……….管理部 ACL

3550-S-1 (config-ext-nacl) # evaluate zjb-glb…..计算匹配自反 ACL

3550-S-1 (config-ext-nacl) # permit ip any

………访问服务器区

……….禁止访问其它部门

3550-S-1 (config-ext-nacl) # permit ip any any

12

---------------------------------------------------------------------------- ------------------------

3550-S-1 (config) # ip access-list extend zjb……….总经办 ACL

3550-S-1 (config-ext-nacl) # permint ip any

………...创

建自反 ACL zjb-cwb

3550-S-1 (config-ext-nacl) # permint ip any

………...创

建自反 ACL zjb-glb

3550-S-1 (config-ext-nacl) # permit ip any

………访问服务器区

……….禁止访问其它部门

3550-S-1 (config-ext-nacl) # permit ip any any

ACL 应用：

3550-S-1

3550-S-1 3550-S-1 3550-S-1 3550-S-1 3550-S-1 (config) # int vlan 2 …………..研发中心(config-if) #ip access-group yfzx in

(config) # int vlan 3 …………..质保部(config-if) #ip access-group zbb in

(config) # int vlan 4 ……………制造部(config-if) #ip access-group zzb in

…(略)

附：关键字 established 的 ACL 应用(单向访问)

3550-S-1 (config) # ip access-list extend cgb……….采购部 ACL 3550-S-1 (config-ext-nacl) # permit ip any

estab

3550-S-1 (config-ext-nacl) # permit ip any

………访问服务器区

3550-S-1 (config-ext-nacl) #permit ip any any

3550-S-1 (config) # ip access-list extend xsb……….销售部 ACL

3550-S-1 (config-ext-nacl) # permit ip any

estab

3550-S-1 (config-ext-nacl) # permit ip any

………访问服务器区

3550-S-1 (config-ext-nacl) #permit ip any any

13