中小企业网络规划与设计
- 格式:doc
- 大小:23.86 KB
- 文档页数:19
中小企业网络规划与设计
一、用户需求
1、实现公司WEB和FTP ,数据库互访, 服务器和网络设备有一定的冗余。
2、要求实现一定的安全策略,采用ACL或AAA认证服务实现:
(1)、WEB服务器任意用户都能自由访问,但只有OFFICE用户有权限访问FTP服务器;(2)、DORM的PC之间不可互访;
(3)、不要求考虑FireWall设置;
(4)、S1、S2、S3可网管,S4、S5不可网管(底端产品);
(5)、DORM内有100台计算机,OFFICE有100台计算机。(分配内网地址)
3、总部采用专线接入WAN:
(1)、不要求考虑外线配置,不要求考虑总公司与子公司之间的VPN安全设置;
(2)、R1上实现NAT转换(四个公网地址20.1.1.1~20.1.1.4,其中两个地址给WEB和FTP 服务器);
(3)、OFFICE和DORM都能上网(不考虑限速问题),但不能互访;
二、知识点说明
1、VLAN
简称为虚拟局域网。他不是特殊的局域网,只是局域网为用户提供的一种服VLAN
务。虚拟局域网是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的数据交换技术。这一技术主要应用于交换机和路由器中,并在交换机中使用较多。VLAN的配置过程其
实非常简单,只需两步:(1)为各VLAN组命名;(2)把相应的VLAN对应到相应的交换机端口。另外交换机的VLAN号从“2”号开始,因为交换机有一个默认的VLAN,即VLAN 1,它包括所有连在该交换机上的用户。
2、访问控制列表ACL
访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器那些数据包可以收、那些数据包需要拒绝。访问控制列表主要有3种,标准访问控制列表、梯形基本访问控制列表、扩展访问控制列表。
目前的路由器一般都支持两种类型的访问表:基本访问表和扩展访问表。
(1)、基本访问表控制基于网络地址的信息流,且只允许过滤源地址。
(2)、扩展访问表通过网络地址和传输中的数据类型进行信息流控制,允许过滤源地址、目的地址和上层应用数据。
3、路由器的基本配置
一般来说,可以用5种方式来设置路由器:
a.Console口接终端或运行终端仿真软件的微机;
b.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连;
c.通过Ethernet上的TFTP服务器;
程序;TELNET上的Ethernet通过d.
e.通过Ethernet上的SNMP网管工作站。
4、地址转换协议NAT
NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通信。
而当内部的计算机要与外部Internet网络进行通讯时,具有NAT功能的设备(比如:路由器)
负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。因此它有两个优点:多个内部地址可以共享一个全局地址上网,从而节约了全局地址的使用。另外,采用NAT的内部主机不直接使用全局地址,所以,在Internet上不直接可见,可以在一定程度上减少被攻击的风险,增强网络的安全性。缺点是增加了网络延时。
地址转换协议NAT分为静态地址转换和动态地址转换及复用动态地址转换。
静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。其基本配置步骤如下:
(1)、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入:(config)#ip nat inside source static [内部本地地址] [内部合法地址]
(2)、指定连接网络的内部端口在端口设置状态下输入:(config)#int [端口号]
(config-if)#ip nat inside
(3)、指定连接外部网络的外部端口,在端口设置状态下输入:(config)#int [端口号] (config-if)#ip nat
outside
动态地址转换也是将内部本地地址与内部合法地址一对一的转换,但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。其基本配置步骤如下:(1)、在全局设置模式下,定义内部合法地址池输入:(config)#ip nat pool [地址池名称] [起始IP地址] [终止IP地址] [子网掩码] 其中地址池名称可以任意设定。
(2)、在全局设置模式下,定义一个标准的access-list规则,以允许哪些内部地址可以进行动态地址转换输入:(config)#access-list [标号] permit [源地址] [通配符] 其中标号为1-99之间的整数。
(3)、在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址池进行动态地址转换输入:(config)#ip nat inside source list [访问列表号] pool [内部合法地址池名字]
(4)、指定与内部网络相连的内部端口输入:(config)#int [端口号]
(config-if)#ip nat inside
(5)、指定与外部网络相连的外部端口输入:(config)#int [端口号]
(config-if)#ip nat outside
复用动态地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。其基本配置步骤如下:
(1)、在全局设置模式下,定义内部合法地址池输入:(config)#ip nat pool [地址池其中地址池名称可以任意设定。] 子网掩码] [地址IP终止] [地址IP起始] [名称.
(2)、在全局设置模式下,定义一个标准的access-list规则,以允许哪些内部地址可以进行复用动态地址转换输入:(config)#access-list [标号] permit [源地址][通配符] 其中标号为1-99之间的整数。
(3)、在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址池进行复用动态地址转换输入:(config)#ip nat inside source list [访问列表号]pool [内部合法地址池名字] overload
(4)、指定与内部网络相连的内部端口输入:(config)#int [端口号]
(config-if)#ip nat inside
(5)、指定与外部网络相连的外部端口输入:(config)#int [端口号]
(config-if)#ip nat outside