大中型局域网的规划与设计

软 件 学 院

三级课题实践报告

课题名称： 企业网络组建与配置 专 业： 网络软件开发

班 级： RB网络112 学生姓名： 指导教师：

2013年 09 月 20日

中原工学院软件学院

三级实践课题设计任务书

姓 名 题 目 企业网络组建与配置 1.规划设计一个企业网，包括企业一个总部网络、两个分部网络、一个sohu网络及移动用户等 设 计 任 务 2.路由技术：OSPF、默认路由等；（BGP可选）。 3.交换技术：VLAN、VTP、STP、EtherChannel、WLAN、Port-Security 4.广域网：FR 3.其他：语音VLAN、VPN、DHCP、NAT、ACL 4.服务器：WEB、DNS、E-mail等。 5.编写文档 时 间 进 度 第17周（11-12-19~11-12-23）：绘制实验拓扑和基本配置 第18周（11-12-26~11-12-30）：设备和服务的配置 第19周（12-01-02~12-01-05）：测试、文档撰写与验收 原 主 始 要 资 参 料 考 与 文 献 [01] [美]Richard Deal 著 CCNA Certified Network Associate Study Guide (Exam 0-802)[M].北京：人民邮电出版社,2010. [02]梁广民,王隆杰.思科网络实验室路由、交换实验指南[M].北京：电子工业出版社,2010. [03]吴功宜,吴英.计算机网络技术教程：自顶向下分析与设计方法[M].北京：机械工业出版社,2009. [04]苗凤君.局域网技术与组网工程[M].北京：清华大学出版社,2010. [05]百度文档 指导教师签字： 年 月 日

企业网络组建与配置

摘 要

信息技术作为新技术的核心，不仅具有高增值性、成为最具经济活力的经济增长点，而且具有高渗透性，以极强的亲和力和扩散速度向经济各部门渗透，使其结构和效益发生根本性改变。信息化已成为当代经济发展与社会进步的巨大推力，尤其是作为国民经济信息化基础的企业信息化，当前更显得尤为重要，信息化建设已成为企业发展的必由之路。信息化是企业加快实现现代化的必然选择。

网络的实用性、安全性与拓展性是中小企业实现信息化建设的主要要求，因此，成本低廉、操作简易、便于维护并能满足业务运作需要的网络办公环境是这一领域的真正需求。针对绝大多数中小型企业集中办公这一现实特点，我们设计的中小企业信息化常用解决方案，能够较好地发挥企业网的使用效果和水平，具有很强的代表性。

关键词：企业网络，拓扑结构，冗余，路由，交换

I

目录

摘 要 .............................................................................................................................................. I 第1章 需求分析 ........................................................................................................................... 1 1.1 网络应用需求 ...................................................................................................................... 1 1.2 网络安全需求 ...................................................................................................................... 1 1.3 网络技术需求 ...................................................................................................................... 1 第2章 网络拓扑 ........................................................................................................................... 2 2.1 网络设计的目标与原则 ...................................................................................................... 2 2.2 企业网络拓扑设计 .............................................................................................................. 2 2.2.1 拓扑规划设计 ............................................................................................................... 3 2.2.2 冗余设计 ....................................................................................................................... 3 第3章 设计与实现 ....................................................................................................................... 4 3.1 基本概念 .............................................................................................................................. 4 3.2 IP地址分配........................................................................................................................... 6 3.3 IP地址规划........................................................................................................................... 7 3.4 路由协议的选择与工作原理 .............................................................................................. 8 3.5 企业VPN ............................................................................................................................. 8 3.6 INTERNET接入....................................................................................................................... 8 第4章 配置 ................................................................................................................................. 10 4.1 设备的配置 ........................................................................................................................ 10 4.2 个人配置 ............................................................................................................................ 10 4.3 交换机的配置 .................................................................................................................... 11 4.4 服务器的配置 .................................................................................................................... 13 4.4.1 NAT的配置 .................................................................................................................. 13 4.4.2 VPN的配置 ................................................................................................................. 13 4.4.3 ACL的配置 .................................................................................................................. 14 第五章 验证 ................................................................................................................................. 15 5.1 通信验证 ............................................................................................................................ 15 5.2 路由器通信验证（OSPF协议） ...................................................................................... 16 第6章 结束语 ............................................................................................................................. 18 附录：主要源程序 ....................................................................................................................... 20

三级实践课题：企业网络组建

第1章 需求分析

企业网采用先进的网络通信技术完成企业网的建设，实现各分公司的信息化；在整个企业内实现所有部门的办公自动化，提高工作效率和管理服务水平；在整个企业内实现资源共享、产品信息共享、实时新闻发布；在整个企业内实现财务电算化。

1.1 网络应用需求

1. 在总公司设置DNS、FTP、E-mail、WEB等服务器； 2. 实现总公司与分公司之间的IP电话通信；

3. 应用OSPF、默认路由、BGP等路由协议进行网络通信；

4. 使用VLAN、VTP、STP、EtherChannel、WLAN等交换技术实现局域网内部数据交互；

5. 广域网线路使用帧中继通信；

6. 建设企业内网络，实现文件的传输与共享；

7. 企业网与Internet互联，是企业内部通过互联网可以获取到资源和信息； 8. sohu网络及移动用户的接入使用VPN；

9. 公司服务器采用DHCP获取有效IP地址通过NAT动态地址转换连入Internet；

1.2 网络安全需求

1、 设置用户权限，采用访问控制列表（ACL）对不同的用户进行权限。 2、 采用主机访问控制手段加强对主机的访问控制；

3、 划分安全子网，加强网络边界的访问控制，防止内外的攻击威胁，定期进行网络安全检测，建立网络病毒系统。

4、 建立身份认证系统，对各应用系统本身主机加固； 5、 做好应急设备的准备，以备紧急情况下的网络保障。

1.3 网络技术需求

1. 为了确保企业网的性能和安全需求，采用1000Mbps光纤以太网作为企业网的主干。主干网承担了整个网络包交换、子网划分、网络管理等任务采用三层路由功能，包交换性能高的交换机作为主干网的节点机，分布在分公司、总公司。

2. 在分公司的信息交换过程中采用以太通道，将设备之间的多个端口绑定在一起提供一个逻辑接口，避免冗余。

3. 企业内布线采用星形分布式拓扑结构，按照工作区子系统，水平子系统，管理间子系统，垂直干线子系统，建筑群子系统，设备间子系统；

4. 通过VPN将总公司、分公司连在同一虚拟局域网。

- 1 -

三级实践课题：企业网络组建

第2章 网络拓扑

2.1 网络设计的目标与原则

1.实用性原则

服务器设备和网络虽然在技术性能上逐步提升，但其价格却在逐年下降，所以网络系统应采用成熟可靠的技术和设备，做到实用，经济，有效。

2.开放性原则

网络系统应用开放的标准和技术，如TCP/IP协议，IEEE802系列标准，以满足未来网络系统的扩充和其他网络的互相通信需求。

3.可靠性原则

局域网无论怎样布局，最终的目的是保证我们的局域网的所有设备能可靠稳定的运行，使得网络能正常运转。确保很高的平均无故障时间和尽可能低的平均无故障率，在这些行业的网络方案设计中，高可用性和系统可靠性应优先考虑。

4.安全性原则

在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，如划分VLAN、MAC地址绑定等。

5.可扩展性原则

适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资实现系统的扩展和维护，采用可扩展产品，降低了人力资源的费用，提高网络的易用性。

2.2 企业网络拓扑设计

图2-1 实验拓扑（PT图）

- 2 -

三级实践课题：企业网络组建

2.2.1 拓扑规划设计

网络拓扑结构对整个网络的运行效率，技术性能，可靠性等各方面都有着重要的影响，确立网络的拓扑结构式整个网络方案规划设计的基础，选择拓扑结构时，考虑到几点：

（1）费用

不同的拓扑结构所配置的网络设备不同，设计安装的费用也不同，要关注费用，就需要对拓扑结构，传输介质，传输距离等到相关的因素进行分析，选择合理的方案。

（2）灵活性

在设计网络是，考虑到设备和用户需求的变化，拓扑结构必须有一定的灵活性，能够很容易地实施重新配置，此外，还要考虑节点的增减问题。

（3）可靠性

网络拓扑结构设计应避免因个别节点损坏而影响整个网络的正常运行。 2.2.2 冗余设计

链路冗余

分公司的通信设备之间都有备份链路，如果主链路出现故障，可以启用备份链路，如果路由器支持负载均衡功能，链路的带宽可以得到提到。

路由冗余

设计冗余的路由可能实现负载均衡和减少停机的时间。当采用备份路由器时可以设置路由算法，确保在主路由器不工作的前提下，才使用备份路由器，这种切换应可以自己快速进行。

- 3 -

三级实践课题：企业网络组建

第3章 设计与实现

3.1 基本概念

1）局域网

局域网：局域网是一种通信网络。连入局域网的数据通信设备是广义的，包括计算机，终端和各种外部设备。决定局域性的主要技术要素是：网络拓扑，传输介质与介质访问控制方法。局域网最重要的特点是：网络为一个单位所拥有，而且地理范围和站点数目有限。传统的局域网比广域网具有较高的数据传输率、较低的时延、较小的误码率。局域网具有高数据传输率，低误码率的高质量数据传输环局域网一般在一座办公大楼、一栋大厦、一个校园或一个企业实现。

2）VPN

虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。

3）STP

STP（生成树协议）是一个二层管理协议。在一个扩展的局域网中参与STP的所有交换机之间通过交换桥协议数据单元BPDU（bridge protocol data unit）来实现；为稳定的生成树拓扑结构选择一个根桥；为每个交换网段选择一台指定交换机；将冗余路径上的交换机置为Blocking，来消除网络中的环路。

4）VLAN

VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

5)VTP

VLAN中继协议（VTP，Vlan Trunking Protocol）是Cisco专用协议，大多数交换机都支持该协议．VTP负责在VTP域内同步VLAN信息，这样就不必在每个交换上配置相同的VLAN信息。

6）EtherChannel

端口聚合它可将多物理连接当作一个单一的逻辑连接来处理，它允许两个交换器之间通过多个端口并行连接同时传输数据以提供更高的带宽、更大的吞吐量和可恢复性的技术。

EtherChannel特性在switch到switch、switch到router之间提供冗余的、高速的连接方

- 4 -

三级实践课题：企业网络组建

式，简单说就是将两个设备间多条FE或GE物理链路捆在一起组成一条设备间逻辑链路，从而达到增加带宽，提供冗余的目的。

7）Port-Security

从基本原理上讲，Port Security特性记住的是连接到交换机端口的以太网MAC地址即网卡号，并只答应某个MAC地址通过本端口通信。假如任何其它MAC地址试图通过此端口通信，端口安全特性会阻止它。使用端口安全特性可以防止某些设备访问网络，并增强安全性。

8)语音VLAN

Voice VLAN是为用户的语音数据流划分的VLAN。用户通过创建Voice VLAN并将连接语音设备的端口加入Voice VLAN，可以使语音数据集中在Voice VLAN中进行传输，便于对语音流进行有针对性的QoS（Quality of Service，服务质量）配置，提高语音流量的传输优先级，保证通话质量。

9) DHCP

动态主机设置协议（Dynamic Host Configuration Protocol, DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作管理的手段。

10) NAT

NAT（Network Address Translation，网络地址转换）是将IP 数据报报头中的IP 地址转换为另一个IP 地址的过程。在实际应用中，NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式，将有效的解决IP地址不足的问题。

11）ACL

访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。

- 5 -

三级实践课题：企业网络组建

3.2 IP地址分配

表3.1 IP地址规划

总公司IP段：192.168.1.0/24-192.168.10.0/24 设备名称 R4 口 S0/0/0 S0/0/1 F0/0 S0/2/0 S0/3/0 F0/0 F0/1 无线R1.1 F0/0 设备接接口IP 192.168.5.1 192.168.16.1 192.168.4.1 192.168.40.1 192.168.5.2 192.168.9.1 192.168.6.1 192.168.9.2 子网掩码 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 VLAN号 1 1 1 1 1 1 R1 表3.2 分公司1 IP地址规划 分公司1 IP段：192.168.11.0/24-192.168.20.0/24 设备名称 口 S0/0/0 R2 F0/0 F0/1 F0/1 F0/2-6 F0/1 S2 F0/2-6 F0/7-8 VLAN2 VLAN3

设备接接口IP 192.168.40.2 192.168.11.1 192.168.12.1 192.168.11.2 192.168.12.2 192.168.13.0 192.168.14.0 - 6 -

子网掩码 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 VLAN号 Trunk Trunk 语言Vlan S1 三级实践课题：企业网络组建

表3.3 分公司2 IP地址规划 分公司2 IP段：192.168.21.0/24-192.168.30.0/24 设备名称 口 S0/0/0 F0/0.1 S3 F0/0/.2 F0/1 Vlan3 Vlan4 语音Vlan 3 192.168.21.1 192.168.22.1 192.168.23.1 192.168.21.0 192.168.22.0 192.168.23.0 设备接接口IP 192.168.40.子网掩码 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 VLAN号 Vlan3 Vlan4 3.3 IP地址规划

IP地址规划应该是网络整体规划的一部分，即IP地址要和网络层次规划、路由协议规划、流量规划等结合起来考虑。

a)简单性

地址的分配应该简单，避免在主干上采用复杂的掩码方式。 b)连续性

为同一个我那个落区域分配连续的网络地址，便于缩减路由表的表项，提高路由表的处理效率。

c)可扩充性

为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加仍然能够保持地址的连续性。

d)灵活性

地址分配不应该基于某个网络策略的优化方案，应该便于多数路由器策略在该地址分配方案上实现优化。

e)可管理性

地址的分配应该有层次化，某个局部的变动不影响上层，全局。 f)安全性

网络内应按工作内容划分不同网段以便进行管理。

- 7 -

三级实践课题：企业网络组建

3.4 路由协议的选择与工作原理

静态路由

对于低宽带的小型网络各网络边缘一般采用静态路由的方式来进行路由获取，小型网络采用静态路由的方式主要是减少网络的错误点，节省线路带宽和设备开销，网络边缘采用静态路由，主要是避免边缘设备将整个网络路由表吸收过来，并节省网络开销。

OSPF协议

OSPF（Open Shortest Path First，开放最短链路优先）路由协议是典型的链路状态路由协议，是一种内部网关协议（Interior Gateway Protocol，IGP），用于在同一个自治系统（AS）中的路由器之间交换路由信息。

OSPF实施两层的分层：骨干和连接到骨干的区域。该网络包括一个骨干与2个连接到骨干的区域。每个区域都给予了一个唯一的编号。Area 0表示OSPF网络层次的顶层，在正确设计的OSPF网络中，每个区域应当只包含用于自身区域的特定路由和到达其他区域的汇总路由。

OSPF采用一些技术手段(如SPF算法、邻接关系等)避免了路由自环的产生。在网络中，路由自环的产生将导致网络带宽资源的极大耗费，甚至使网络不可用。OSPF协议从根本(算法本身)上避免了自环的产生。采用距离向量协议的RIP等协议，路由自环是不可避免的。为了完善这些协议，只能采取若干措施，在自环发生前，降低其发生的概率，在自环发生后，减小其影响范围和时间。

在支持区域划分和路由分级管理上，OSPF协议能够适合在大规模的网络中使用。 在协议本身的安全性上，OSPF使用验证，在邻接路由器间进行路由信息通告时可以指定密码，从而确定邻接路由器的合法性。

与广播方式相比，用组播地址来发送协议报文可以节省网络带宽资源。

从衡量路由协议性能的角度，我们可以看出，OSPF协议确实是一个比较先进的动态路由协议，这也是它得到广泛采用的主要原因。

3.5 企业VPN

企业VPN的主要好处是节约成本，拥有小型远程办公室的机构可以以较低的成本建立连接远程办公室到站点的虚拟网络。如果企业VPN连接两个企业，则可以对内部网络和计算机系统的访问加以更严格的控制。

3.6 Internet接入

ADSL是非对称数字用户线路（Asymmetric Digital Subscriber Line）的缩写，有时也作非对称数字用户环路（Asymmetric Digital Subscriber Loop）。它是一种在电话铜缆上进行较高速率数据传输的方法，是DSL 的一种形式。它以普通电话线路作为传输介质。

实现方法是：经ADSL MODEM编码后的信号通过电话线传到数据机房后经过一个分

- 8 -

三级实践课题：企业网络组建

离器如果是语音信号就传到程控机房，是数据信号就留在数据设备上，最后接入INTERNET 。

ADSL接入类型

专线入网方式：用户拥有固定的静态IP地址，24小时在线。虚拟拨号入网方式：并非是真正的电话拨号，而是用户输入账号、密码，通过身份验证，获得一个动态的IP地址。

ADSL技术是一种不对称数字用户线实现宽带接入互连网的技术，ADSL作为一种传输层的技术，充分利用现有的铜线资源，在一对双绞线上提供上行0kbps下行8Mbps的带宽，从而克服了传统用户在\"最后一公里\"的\"瓶颈\"，实现了真正意义上的宽带接入。

- 9 -

三级实践课题：企业网络组建

第4章 配置

4.1 设备的配置

设备的配置由我组成员分工合作，分别实现了路由器之间的通信以及不同的服务，最终达到实现校园网的组建与配置的目标。我们小组是4个人在该实验中我们不仅仅巩固了所学的知识，同时加强了我们团队合作意识，这对以后的学习和工作起到了不小的帮助。

4.2 个人配置

R3 (config) # ip dhcp pool yyal

R3 (dhcp-config) # network 192.168.23.0 255.255.255.0 R3 (dhcp-config) # default-router 192.168.23.1 R3 (dhcp-config) # option 150 ip 192.168.23.1 R3 (config) # telephony-service

R3 (config-telephony) # auto assign 1 to 5 R3 (config-telephony) # max-ephones 5 R3 (config-telephony) # max-dn 5

R3 (config-telephony) # ip source-address 192.168.23.1 port 2000 R3 (config) # ephone-dn 1

R3 (config-ephone-dn) # number 5201314 R3 (config) # ephone-dn 2

R3 (config-ephone-dn) # number 5201315 R3 (config) # int fa0/0.1

R3 (config-subif) # encapsulation dot1q 2

R3 (config-subif) # ip address 192.168.21.1 255.255.255.0 R3 (config) # int fa0/0.2

R3 (config-subif) # encapsulation dot1q 3

R3 (config-subif) # ip address 192.168.22.1 255.255.255.0 R3 (config) # int fa0/1

R3 (config-if) # ip address 192.168.23.1 255.255.255.0 R3 (config) # int s0/0/0

R3 (config-if) # ip address 192.168.40.1 255.255.255.0 R3 (config-if) # encapsulation frame-relay R3 (config-if) # ip ospf network broadcast R3 (config-if) # ip ospf priority 100

R3 (config-if) # frame-relay map ip 192.168.40.2 301 broadcast R3 (config-if) # frame-relay map ip 192.168.40.1 301 broadcast R3 (config) # router ospf 1

R3 (config-router) # router-id 3.3.3.3

R3 (config-router) # network 192.168.40.0 255.255.255.0 area 0

- 10 -

三级实践课题：企业网络组建

R3 (config-router) # network 192.168.21.0 255.255.255.0 area 0 R3 (config-router) # network 192.168.22.0 255.255.255.0 area 0 R3 (config-router) # network 192.168.23.0 255.255.255.0 area 0

4.3 交换机的配置

分公司1

S1:

S1 (config) # int range fa0/5 -6

S1 (config-if) # switchport mode trunk S1 (config) # int fa0/2

S1 (config-if) # switchport mode trunk S1 (config) # int fa0/4

S1 (config -if) # switchport mode trunk S1 (config) # vtp mode server S1 (config) # vtp domain qq S1 (config) # vtp password qq S1 (config) # vlan 4

S1 (config-vlan) # name vlan4 S1 (config) # vlan 5

S1 (config-vlan) # name vlan5

S1 (config) # spanning-tree vlan 4 root primary S1 (config) # spanning-tree vlan 5 root primary S1 (config) # interface port-channel 1 S1 (config-if) # switchport mode trunk S1 (config) # int fa0/2

S1 (config-if) # channel-group 1 mode on S1 (config) # int fa0/4

S1 (config-if) # channel-group 1 mode on S1 (config) # router ospf 1

S1 (config-router) # router-id 8.8.8.8

S1 (config-router) # network 192.168.13.0 0.0.0.255 area 0 S1 (config-router) # network 192.168.12.0 0.0.0.255 area 0 S1 (config-router) # network 192.168.11.0 0.0.0.255 area 0 S1 (config-router) # network 192.168.14.0 0.0.0.255 area 0 S1 (config) # ip dhcp pool 111

S1 (dhcp-config) # network 192.168.13.0 255.255.255.0 S1 (dhcp-config) # default-router 192.168.13.1 S1 (config) # ip dhcp pool 222

S1 (dhcp-config) # network 192.168.14.0 255.255.255.0 S1 (dhcp-config) # default-router 192.168.14.1

- 11 -

三级实践课题：企业网络组建

分公司2 S1：

S1 (config) # int range fa0/2 -4

S1 (config-if) # switchport mode trunk S1 (config) # vtp domain qq S1 (config) # vtp password qq S1 (config) # vtp mode server S1 (config) # vlan 2

S1 (config-vlan) # name vlan2 S1 (config) # vlan 3

S1 (config-vlan) # name vlan3

S1 (config) # spanning-tree vlan 2 root primary S1 (config) # spanning-tree vlan 3 root primary S2:

S2 (config) # int range fa0/1 -2

S2 (config-if) # switchport mode trunk S2 (config) # int fa0/4

S2 (config-if) # switchport mode trunk S2 (config) # vtp domain qq S2 (config) # vtp password qq S2 (config) # vtp mode client

S2 (config) # spanning-tree vlan 2 root secondary S2 (config) # spanning-tree vlan 3 root secondary Switch1:

Switch1 # conf t

Switch1 (config) # interface range f0/1 – 3

Switch1 (config-if-range) # switchport voice vlan 1 S3:

S3 (config) # int range fa0/1 -2

S3 (config-if) # switchport mode trunk S3 (config) # int fa0/3

S3 (config-if) # switchport mode access S3 (config-if) # switchport access vlan 2 S3 (config) # int fa0/4

S3 (config-if) # switchport mode access S3 (config-if) # switchport access vlan 3 S3 (config) # vtp domain qq S3 (config) # vtp password qq S3 (config) # vtp mode client

- 12 -

三级实践课题：企业网络组建

4.4 服务器的配置

4.4.1 NAT的配置

R4 (config) # int s0/0/0

R4 (config-if) # ip nat inside R4 (config) # int s0/0/1

R4 (config-if) # ip nat outside

R4 (config) # ip nat inside source static 192.168.4.2 202.192.16.71 R4 (config) # ip nat inside source static 192.168.4.3 202.192.16.72 R4 (config) # ip nat inside source static 192.168.4.4 202.192.16.73 R4 (config) # ip nat inside source static 192.168.4.5 202.192.16.74

R4 (config) # ip nat pool yangyaru 202.192.16.1 202.192.16.50 netmask 255.255.255.0 R4 (config) # ip nat inside source list 1 pool yangyaru R4 (config) # access-list 1 permit 192.168.6.0 0.0.0.255 R4 (config) # access-list 1 permit 192.168.9.0 0.0.0.255 R4 (config) # access-list 1 permit 192.168.13.0 0.0.0.255 R4 (config) # access-list 1 permit 192.168.14.0 0.0.0.255 R4 (config) # access-list 1 permit 192.168.21.0 0.0.0.255 R4 (config) # access-list 1 permit 192.168.22.0 0.0.0.255

//NAT转换把pc机转换成202.192.16.1-202.192.16.50范围内的地址 4.4.2 VPN的配置

R4 (config) # aaa new-model

R4 (config) # aaa authentication login users group radius R4 (config) # aaa authorization network group group radius

R4 (config) # radius-server host 192.168.4.4 auth-port 15 key hehe R4 (config) # crypto isakmp policy 10 R4 (config-isakmp) # encr 3des R4 (config-isakmp) # hash md5

R4(config-isakmp)# authentication pre-share R4 (config-isakmp) # group 2

R4 (config) # crypto ipsec transform-set transform esp-3des esp-md5-hmac R4 (config) # ip local pool yang 192.168.4.10 192.168.4.50 R4 (config) #crypto isakmp client configuration group group R4 (config-isakmp-group) # key hehe R4 (config-isakmp-group) # pool ip

R4 (config) # crypto dynamic-map dynmap 10

R4 (config-crypto-map) # set transform-set transform R4 (config-crypto-map) # reverse-route

- 13 -

三级实践课题：企业网络组建

R4 (config) # crypto map clientmap client authentication list users R4 (config) # crypto map clientmap isakmp authorization list group R4 (config) # crypto map clientmap client configuration address respond

R4 (config) # crypto map clientmap 10 ipsec-isakmp dynamic dynmap //添加映射 R4 (config) # int s0/0/1

R4 (config-if) # crypto map clientmap 4.4.3 ACL的配置

R4 (config) # access-list 1 permit 192.168.0.0 R4 (config) # access-list 1 permit 192.168.9.0 R4 (config) # access-list 1 permit 192.168.6.0 R4 (config) # access-list 1 permit 192.168.5.0 R4 (config) # access-list 1 permit 192.168.4.0 R4 (config) # access-list 1 deny any

// ACL的配置只允许总部的网络访问R4路由器,不允许分公司网络访问R4路由器）

- 14 -

三级实践课题：企业网络组建

第五章 验证

5.1 通信验证

如图5-1 分公司1 vlan间的通信验证pc4 ping pc5 ：

图5 -1

如图5-2 验证R2 ping R1 、R3：

图5-2

如图5-3 验证R2 ping 分公司1中的vlan：

图5-3

- 15 -

三级实践课题：企业网络组建

如图5-4 验证R2ping分公司2中的vlan：

图5-4

如图5-5 验证R2 ping 总公司192.168.6.0：

图5-5

5.2 路由器通信验证（OSPF协议）

如图5-6 R1通信验证：

图5-6

- 16 -

三级实践课题：企业网络组建

如图5-7 R2通信验证：

图5-7

如图5-8 R3通信验证：

图5-8

- 17 -

三级实践课题：企业网络组建

第6章 结束语

通过对企业网的需求进行分析，我们对该企业的网络做出了基本的配置，通过企业网设计的规则，用 Visio图制作了企业网基本规划，确定了企业网的拓扑方案，完成了设备的选型，基本确定了各类软件和硬件的基本配置以及vlan的划分和地址段的分配。

本次实验查阅了很多案例，也学到了很多知识，原本很多不懂的东西，也都有了初步的了解。通常计算机网络工程包括网络需求分析、逻辑网络设计、物理网络设计、网络安全设计、以及系统的测试与验收等若干过程。

本次课题通过小组成员之间的相互讨论、对课本的翻阅、网上相关知识的查找，扩展了自己的知识面以及把知识融会贯通，5人一组，组中成员分工合作，相互学习，在规定的时间里完成课题任务。

从最初的拓扑配置，文档的需求分析到最终的方案成品，在这个过程中，如果不是有身边的伙伴陪着， 面对PT配置下不断的失败，真不知自己如何坚持。非常感谢学校为我们网络专业搭建了如此好的一个学习平台,使我有如此珍贵的机会从各方面提升自己，总的来说，通过这一次的课题，有理论上的提高，也有知识上的积淀，对于面临毕业的我们也算是一次历练。

通过此次课题,我得以寻找自己与其他同学之间的距离。通过学习我的思想有了极大的转变，因为实践出真知。我相信，孜孜以求，坚持不懈的理论沉积，一定能让我在以后更加的出色。谢谢身边的伙伴，谢谢老师。

最后要感谢潘老师和夏老师在这次课题中给予的指点和帮助，因为我们只是水平的不足，给老师也增添了很多麻烦，在此送上诚挚的谢意。由于我们知识的不足，文中的错误在所难免，也有一些未考虑到的地方，还望老师多给予指点和帮助。

- 18 -

三级实践课题：企业网络组建

指导教师评语

成绩：

指导教师签名：

年 月 日

- 19 -

三级实践课题：企业网络组建

附录：主要源程序

总公司路由器R1的配置信息： R1#show run

Building configuration...

Current configuration : 1295 bytes !

version 12.4

no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption !

hostname R1 !

interface Loopback0

ip address 1.1.1.1 255.255.255.0 !

interface FastEthernet0/0

ip address 192.168.9.1 255.255.255.0 duplex auto speed auto !

interface FastEthernet0/1

ip address 192.168.6.1 255.255.255.0 ip helper-address 192.168.4.2 duplex auto speed auto !

interface Serial0/0/0

ip address 192.168.40.1 255.255.255.0 encapsulation frame-relay ip ospf network broadcast ip ospf priority 100 !

interface Serial0/0/1

ip address 192.168.5.2 255.255.255.0 clock rate 128000 !

interface Serial0/2/0 no ip address shutdown

- 20 -

三级实践课题：企业网络组建

!

interface Serial0/2/1 no ip address shutdown !

interface Vlan1 no ip address shutdown !

router ospf 1 router-id 1.1.1.1

log-adjacency-changes

network 192.168.40.0 0.0.0.255 area 0 network 192.168.5.0 0.0.0.255 area 0 network 192.168.6.0 0.0.0.255 area 0 network 192.168.9.0 0.0.0.255 area 0 network 192.168.0.0 0.0.0.255 area 0 network 192.168.11.0 0.0.0.255 area 0 network 192.168.12.0 0.0.0.255 area 0 network 192.168.13.0 0.0.0.255 area 0 network 192.168.14.0 0.0.0.255 area 0 !

ip classless !

no cdp run !

line con 0 line vty 0 4 login ! End

分公司1路由器R2的配置信息： R2#show run

Building configuration...

Current configuration : 1517 bytes !

version 12.4

no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption !

- 21 -

三级实践课题：企业网络组建

hostname R2 !

ip dhcp pool vvv

network 192.168.12.0 255.255.255.0 default-router 192.168.12.1 option 150 ip 192.168.12.1 !

interface FastEthernet0/0

ip address 192.168.11.1 255.255.255.0 duplex auto speed auto !

interface FastEthernet0/1

ip address 192.168.12.1 255.255.255.0 duplex auto speed auto !

interface Serial0/0/0

ip address 192.168.40.2 255.255.255.0 encapsulation frame-relay ip ospf network broadcast ip ospf priority 100 !

interface Serial0/0/1 no ip address shutdown !

interface FastEthernet1/0 no ip address duplex auto speed auto !

interface Vlan1 no ip address shutdown !

router ospf 1 router-id 2.2.2.2

log-adjacency-changes

network 192.168.40.0 0.0.0.255 area 0 network 192.168.11.0 0.0.0.255 area 0

- 22 -

三级实践课题：企业网络组建

network 192.168.13.0 0.0.0.255 area 0 network 192.168.14.0 0.0.0.255 area 0 network 192.168.12.0 0.0.0.255 area 0 !

ip classless !

no cdp run !

telephony-service max-ephones 5 max-dn 5

ip source-address 192.168.11.1 port 2000 auto assign 1 to 5 !

ephone-dn 3

number 5201316 !

ephone-dn 4

number 5201317 !

ephone 1

device-security-mode none mac-address 0030.F2B4.1232 type 7960 button 1:3 !

ephone 2

device-security-mode none mac-address 000A.F398.4BAC type 7960 button 1:4 !

ephone 3

device-security-mode none mac-address 0009.7C06.DE35 !

line con 0 line vty 0 4 login ! End

- 23 -

三级实践课题：企业网络组建

分公司2路由器R3的配置信息： R3#show run

Building configuration...

Current configuration : 1656 bytes !

version 12.4

no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption !

hostname R3 !

ip dhcp pool yaru

network 192.168.21.0 255.255.255.0 default-router 192.168.21.1 ip dhcp pool yr

network 192.168.22.0 255.255.255.0 default-router 192.168.22.1 ip dhcp pool yya1

network 192.168.23.0 255.255.255.0 default-router 192.168.23.1 option 150 ip 192.168.23.1 !

interface FastEthernet0/0 no ip address duplex auto speed auto !

interface FastEthernet0/0.1 encapsulation dot1Q 3

ip address 192.168.21.1 255.255.255.0 !

interface FastEthernet0/0.2 encapsulation dot1Q 4

ip address 192.168.22.1 255.255.255.0 !

interface FastEthernet0/1

ip address 192.168.23.1 255.255.255.0 duplex auto speed auto !

- 24 -

三级实践课题：企业网络组建

interface Serial0/0/0

ip address 192.168.40.3 255.255.255.0 encapsulation frame-relay ip ospf network broadcast ip ospf priority 100 !

interface Serial0/0/1 no ip address shutdown !

interface Vlan1 no ip address shutdown !

router ospf 1 router-id 3.3.3.3

log-adjacency-changes

network 192.168.40.0 0.0.0.255 area 0 network 192.168.21.0 0.0.0.255 area 0 network 192.168.22.0 0.0.0.255 area 0 network 192.168.23.0 0.0.0.255 area 0 !

ip classless !

telephony-service max-ephones 5 max-dn 5

ip source-address 192.168.23.1 port 2000 auto assign 1 to 5 !

ephone-dn 1

number 5201314 !

ephone-dn 2

number 5201315 !

ephone 1

device-security-mode none mac-address 0010.1160.1BD1 type 7960 button 1:1

- 25 -

三级实践课题：企业网络组建

!

ephone 2

device-security-mode none mac-address 0001.BA.945E type 7960 button 1:2 !

line con 0 line vty 0 4 login ! End

总公司路由器R4的配置信息：

R4#show run

Building configuration...

Current configuration : 2794 bytes !

version 12.4

no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption !

hostname R4 !

ip dhcp pool hhh

network 192.168.4.0 255.255.255.0 default-router 192.168.4.1 !

aaa new-model !

aaa authentication login users group radius !

aaa authorization network group group radius !

crypto isakmp policy 10 encr 3des hash md5

authentication pre-share group 2 !

crypto isakmp client configuration group group

- 26 -

三级实践课题：企业网络组建

key hehe pool ip !

crypto ipsec transform-set transform esp-3des esp-md5-hmac !

crypto dynamic-map dynmap 10 set transform-set transform reverse-route !

crypto map clientmap client authentication list users crypto map clientmap isakmp authorization list group crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap !

interface FastEthernet0/0

ip address 192.168.4.1 255.255.255.0 duplex auto speed auto !

interface FastEthernet0/1 no ip address duplex auto speed auto shutdown !

interface Serial0/0/0

ip address 192.168.5.1 255.255.255.0 ip nat inside !

interface Serial0/0/1

ip address 202.192.16.1 255.255.255.0 ip helper-address 192.168.4.2 ip nat outside clock rate 128000 crypto map clientmap !

interface Vlan1 no ip address shutdown !

router ospf 1

- 27 -

三级实践课题：企业网络组建

router-id 4.4.4.4

log-adjacency-changes

network 192.168.4.0 0.0.0.255 area 0 network 192.168.5.0 0.0.0.255 area 0 network 192.168.6.0 0.0.0.255 area 0 network 192.168.9.0 0.0.0.255 area 0 network 192.168.0.0 0.0.0.255 area 0 network 202.196.16.0 0.0.0.255 area 0 default-information originate !

ip local pool ip 192.168.4.15 192.168.4.25

ip nat pool qqq 202.192.16.3 202.192.16.255 netmask 255.255.255.0 ip nat pool yangyaru 202.192.16.1 202.192.16.50 netmask 255.255.255.0 ip nat inside source list 1 pool yangyaru

ip nat inside source static 192.168.4.2 202.192.16.71 ip nat inside source static 192.168.4.3 202.192.16.72 ip nat inside source static 192.168.4.4 202.192.16.73 ip nat inside source static 192.168.4.5 202.192.16.74 ip classless

ip route 0.0.0.0 0.0.0.0 Serial0/0/1 !

access-list 1 permit 0.0.0.0 255.255.255.0 access-list 1 permit 192.168.6.0 0.0.0.255 access-list 1 permit 192.168.9.0 0.0.0.255 access-list 1 permit 192.168.13.0 0.0.0.255 access-list 1 permit 192.168.14.0 0.0.0.255 access-list 1 permit 192.168.21.0 0.0.0.255 access-list 1 permit 192.168.22.0 0.0.0.255 access-list 1 permit host 192.168.0.0 access-list 1 permit host 192.168.9.0 access-list 1 permit host 192.168.6.0 access-list 1 permit host 192.168.5.0 access-list 1 permit host 192.168.4.0 access-list 1 deny any !

no cdp run !

radius-server host 192.168.4.4 auth-port 15 key hehe !

line con 0 line vty 0 4

- 28 -

三级实践课题：企业网络组建

! End

移动用户路由器的配置信息： Router#show run

Building configuration...

Current configuration : 1 bytes !

version 12.4

no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption !

hostname Router !

interface FastEthernet0/0

ip address 172.16.1.1 255.255.255.0 duplex auto speed auto !

interface FastEthernet0/1 no ip address duplex auto speed auto shutdown !

interface Serial0/0/0

ip address 202.196.16.2 255.255.255.0 !

interface Vlan1 no ip address shutdown !

router ospf 1

router-id 15.15.15.15 log-adjacency-changes

network 172.16.1.0 0.0.0.255 area 0 network 202.196.16.0 0.0.0.255 area 0 network 192.168.5.0 0.0.0.255 area 0 network 192.168.4.0 0.0.0.255 area 0 network 192.168.9.0 0.0.0.255 area 0 network 192.168.6.0 0.0.0.255 area 0

- 29 -