小型企业交换机-路由器配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第六组实验报告
田熠蒋凌峰张哲皓张勇周祥【组网环境】
某小型IT企业现有员工50余人,总经理1名,部门4个,分别是研发部,技术支持部,财务部和人事部。研发部分为研发1部和研发2部,共有员工30人,分别位于不同的办公区域;技术支持部共有员工15人;财务部共有员工2名;人事部共有员工3名。另有3层交换机2台,不可配置2层交换机数台。
【组网要求】
1.所有部门独立工作,相互之间不能互访,且都不能访问总经理的主机;(20分)
2.每个部门的员工实现动态地址分配;(20分)
3.实现研发部员工内部的互访;(20分)
4.实现研发部员工和技术支持部员工的互访;(20分)
5.禁止所有部门对财务部的访问,但允许总经理访问财务部。(20分)
网络拓扑图
路由器0/1接交换机1/0/1
1.所有部门独立工作,相互之间不能互访,且都不能访问总经理的主机
实现这项要求可以在交换机上划分vlan实现,因为研发部分为两个部分,所以划分成两个vlan。
交换机配置
System View: return to User View with Ctrl+Z.
[H3C]vlan 2
[H3C-vlan2]port e1/0/2
[H3C-vlan2]quit
[H3C]vlan 3
[H3C-vlan3]port e1/0/3
[H3C-vlan3]quit
[H3C]vlan 4
[H3C-vlan4]port e1/0/4
[H3C-vlan4]quit
[H3C]vlan 5
[H3C-vlan5]port e1/0/5
[H3C-vlan5]quit
[H3C]vlan 6
[H3C-vlan6]port e1/0/6
[H3C-vlan6]quit
2.实现所有部门的动态地址分配
对路由器进行DHCP配置,为每个vlan分配相应的子接口,指向地址池
路由器配置
System View: return to User View with Ctrl+Z.
[H3C]dhcp enable
DHCP task has already been started!
[H3C]dhcp server ip-pool 2
[H3C-dhcp-pool-2]network 192.168.2.0 mask 255.255.255.0
[H3C-dhcp-pool-2]gateway-list 192.168.2.1
[H3C-dhcp-pool-2]dns-list 192.168.2.2
[H3C-dhcp-pool-2]domain-name
[H3C-dhcp-pool-2]quit
[H3C]int eth0/1
[H3C-Ethernet0/1]int eth0/1.2
[H3C-Ethernet0/1.2]ip address 192.168.2.1 255.255.255.0
[H3C-Ethernet0/1.2]vlan-type dot1q vid 2//设置子接口封装与vlan2关联[H3C-Ethernet0/1.2]
%Dec 26 16:20:39:518 2013 H3C IFNET/5/UPDOWN:Line protocol on the interface Ethe
rnet0/0.2 is UP
[H3C-Ethernet0/1.2]quit
[H3C]dhcp server forbidden-ip 192.168.2.1 192.168.2.2//保存默认网关以及DNS地址不被分配
(以下四个vlan配置类似)
[H3C]quit
交换机配置
[H3C]int eth1/0/1
[H3C-Ethernet1/0/1]port link-type trunk
[H3C-Ethernet1/0/1]port trunk permit vlan all
3.实现研发部员工内部的互访
DHCP配置完毕后,已可以实现研发部vlan2与vlan3互访
4.实现研发部员工和技术支持部员工的互访
DHCP配置完毕后,已可以实现研发部与技术支持部互访
5.禁止所有部门对财务部的访问,但允许总经理访问财务部
设置高级ACL,在其余部门端口上应用。给总经理单独设置端口1/0/10,设定固定ip地址192.168.20.1 子网掩码255.255.255.0
对交换机设置
System View: return to User View with Ctrl+Z.
[H3C]acl number 3002
[H3C-acl-adv-3002]rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.6.0 0.0.0.255
[H3C-acl-adv-3002]quit
[H3C]int eth1/0/2
[H3C-Ethernet1/0/2]packet-filter inbound ip-group 3002
[H3C-Ethernet1/0/2]quit
(3003,3004,3005设置ACL过程类似)
[H3C]acl number 3001//设置总经理ACL
[H3C-acl-adv-3001]rule permit ip source 192.168.20.1 0.0.0.255 destination 192.168.6.0 0.0.0.255
[H3C-acl-adv-3001]quit
[H3C]int eth1/0/10
[H3C-Ethernet1/0/10]packet-filter inbound ip-group 3001
[H3C-Ethernet1/0/10]quit