中小型网络构建与管理-第5单元(实践案例)

第5单元多园区网络的互联提纲案例背景案例拓扑结构技术需求分析技术实验报告总结案例背景三江公司最近要建设一个内部网，在网络核心使用一台多层交换机，所有的二层交换机为可管理的接入交换机。在公司内部使用了vlan技术，按照功能的不同分为了4个vlan。分别是总经理办公室（vlan3）、财务部（vlan4）、市场部(vlan5)、技术支持部（vlan6）。出口路由器上FRA1/0接公司内部服务器，专门为总经理及财务部人员所用。案例背景(续)公司老总提出以下需求1、接入交换机每个端口不能同时接入员工及其他的非法主机2、接入的主机能够保证唯一性3、对于服务器的访问，只有总经理办公室内的员工和财务人员能够有权限，其他人无此权限。4、在保证以上情况下，公司内部员工可以互相通过网络互相交流。提纲案例背景案例拓扑结构技术需求分析技术实验报告总结案例拓扑结构F1/0F1/1RAvlan1vlan5S21shichangSwitch-L3server市场部S21caiwu财务部技术支持部总经理办公室S21jingliS21jishuvlan3vlan4vlan6提纲案例背景案例拓扑结构技术需求分析技术实验报告总结技术需求分析需求1：接入交换机每个端口不能同时接入员工及其他的非法主机分析1：用户需要保证交换机接口下接入主机的单一性，每个接入端口只能接入一台主机，可以通过S2126交换机的安全端口属性规定每个接入端口下的接入主机数量。需求2：接入的主机能够保证唯一性分析2：接入主机必须能够确认身份唯一性，可以采用主机IP地址＋MRAC地址在交换机端口下的绑定解决。技术需求分析(续)需求3：对于服务器的访问，只有总经理办公室内的员工和财务人员能够有权限，其他人无此权限。分析3：只允许vlan3与vlan4内部主机访问服务器，可以采用扩展访问控制列表实现。需求4：在保证以上情况下，公司内部员工可以互相通过网络互相交流。分析4：能够保障vlan间路由的实现及核心交换机与路由器之间路由信息的正常交互。提纲案例背景案例拓扑结构技术需求分析技术实验报告总结技术实验报告-地址表设备名称设备地址接口连接RAF1/0:192.168.1.1/24F1/0连接Switch-L3F0/1端口F1/1:192.168.100.1/24F1/1连接服务器网卡接口Switch-L3vlan3:192.168.3.1/24F0/3(vlan3)连接S21jingliF0/24vlan4:192.168.4.1/24F0/4(vlan4)连接S21caiwuF0/24vlan5:192.168.5.1/24F0/5(vlan5)连接S21shichangF0/24vlan6:192.168.6.1/24F0/6(vlan6)连接S21jishuF0/24vlan1:192.168.1.2/24F0/1(vlan1)连接RAF1/1S21jinglivlan3:192.168.3.2/24F0/24(vlan3)连接Switch-L3F0/3S21caiwuvlan4:192.168.4.2/24F0/24(vlan4)连接Switch-L3F0/4S21shichangvlan5:192.168.5.2/24F0/24(vlan5)连接Switch-L3F0/5S21jishuvlan6:192.168.6.2/24F0/24(vlan6)连接Switch-L3F0/6服务器192.168.100.100/24网卡接口连接RAF1/1技术实验报告-需求1需求1:接入交换机每个端口不能同时接入员工及其他的非法主机以S21jishu为例:S21jishu#configureterminalS21jishu(config)#interfacerangefastethernet0/1-23S21jishu(config-if-range)#switchportport-securityS21jishu(config-if-range)#switchportport-secruitymaximum1S21jishu(config-if-range)#switchportport-secruityviolationshutdown技术实验报告-需求2需求2:接入的主机能够保证唯一性以S21jishuF0/3接口为例S21jishu#configureterminalS21jishu(config)#interfacefastethernet0/3S21jishu(config-if)#switchportport-securityS21jishuconfig-if)#switchportport-securitymac-address0006.1bde.13b4ip-address192.168.6.55技术实验报告-需求3需求3:对于服务器的访问，只有总经理办公室内的员工和财务人员能够有权限，其他人无此权限。RA上采用扩展访问控制列表禁止vlan5与vlan6的主机访问服务器RA(config)#access-list100denyip192.168.5.00.0.0.255host192.168.100.100RA(config)#access-list100denyip192.168.6.00.0.0.255host192.168.100.100RA(config)#access-list100permitipanyanyRA(config)#interfacefastethernet1/0RA(config-if)#ipaccess-group100in技术实验报告-需求4需求4:在保证前三点需求满足的情况下，公司内部员工可以互相通过网络互相交流。核心交换机上启用vlan间路由，同时与RA启用RIP协议发布路由信息，各接入交换机配置地址，以备远程管理使用。Switch-L3(config)#enablesecretlevel10ruijieSwitch-L3(config)#enablesecretlevel150ruijieSwitch-L3(config)#vlan3Switch-L3(config-vlan)#exitSwitch-L3(config)#vlan4Switch-L3(config-vlan)#exitSwitch-L3(config)#vlan5Switch-L3(config-vlan)#exitSwitch-L3(config)#vlan6Switch-L3(config-vlan)#exit技术实验报告-需求4(续)为每一个接入的vlan定义网关地址Switch-L3(config)#interfacevlan1Switch-L3(config-if)#ipaddress192.168.1.2255.255.255.0Switch-L3(config-if)#noshutdownSwitch-L3(config-if)#exitSwitch-L3(config)#interfacefastethernet0/1Switch-L3(config-if)#switchportaccessvlan1Switch-L3(config)#interfacevlan3Switch-L3(config-if)#ipaddress192.168.3.1255.255.255.0Switch-L3(config-if)#noshutdownSwitch-L3(config-if)#exitSwitch-L3(config)#interfacefastethernet0/3Switch-L3(config-if)#switchportaccessvlan3其他vlan配置同上(为vlan4、vlan5、vlan6设置地址并将相关接口加入到相关vlan内)。技术实验报告-需求4(续)核心交换机与路由器之间运行RIP协议Switch-L3声明直连网段Switch-L3(config)#routerripSwitch-L3(config-router)#network192.168.1.0Switch-L3(config-router)#network192.168.3.0Switch-L3(config-router)#network192.168.4.0Switch-L3(config-router)#network192.168.5.0Switch-L3(config-router)#network192.168.6.0Switch-L3(config-router)#version2RA声明直连网段RA(config)#routerripRA(config-router)#network192.168.1.0RA(config-router)#network192.168.100.0RA(config-router)#version2技术实验报告-需求4(续)以S21jingli为例，设置管理地址并能对其远程管理，其他交换机配置略S21jingli(config)#enablesecretlevel10ruijieS21jingli(config)#enablesecretlevel150ruijieS21jingli(config)#interfacefastethernet0/24S21jingli(config-if)#switchportmodetrunkS21jingli(config-if)#exitS21jingli(config)#interfacevlan3S21jingli(config-if)#ipaddress192.168.3.2255.255.255.0S21jingli(config-if)#noshutdownS21jingli(config-if)#exitS21jingli(config)#ipdefault-gateway192.168.3.1技术实验报告-需求4(续)RA相关地址配置RA(config)#interfacefastethernet1/0RA(config-if)#ipaddress192.168.1.1255.255.255.0RA(config-if)#noshutdwonRA(config-if)#exitRA(config)#interfacefastethernet1/1RA(config-if)#ipaddress192.168.100.1255.255.255.0RA(config-if)#noshutdwonRA(config-if)#exit技术实验报告-相关结果查看核心交换机及路由器上查看路由信息#showiproute路由器上查看访问控制列表#showaccess-lists接入交换机上查看安全端口信息#showport-security#showport-securityaddress提纲案例背景案例拓扑结构技术需求分析技术实验报告总结总结网络安全应从接入层防御开始，固定接入主机的数量及接入主机的身份，能够防止网络受害于非法主机接入。对于访问权限的控制，可以通过访问控制列表来实现，访问控制列表规则的制定要清晰，隐含拒绝所有的条件要牢记。一切规则的制定不应忽略整个网络能够在相关协议下实现互通这个前提。