小型企业内部局域网的设计与实现

“小型企业内部局域网的设计与实现”实验报告“小型企业内部局域网的设计与实现”实验预习报告一、用户需求关键项*1.公司情况：公司设有管理部、人事部、财务部、生产部、销售部、工厂六个部门。六个部门的工作人员分布在相邻的两栋楼内。每栋楼房分为上下两层，上面一层为办公室及库房，下面一层为办公室及厂房。人员分布情况如下：1号楼1层：生产部：5人；销售部：6人；工厂：管理人员5人、工人若干1号楼2层：管理部：4人、财务部：3人2号楼1层：生产部：4人；销售部：4人；工厂：管理人员6人、工人若干2号楼2层：人事部：3人；财务部：3人*2.组网要求：公司准备为每位公司员工（工人除外）配备一台台式计算机在办公区域内使用，用于处理日常工作。这些计算机通过以太网相连，要求同一部门人员之间的计算机可以相互访问，不同部门之间的计算机不可以相互访问。公司的局域网通过一台路由器与外部的internet相连。请根据该公司状况及实验室可用设备情况，对公司的局域网进行规划、设计及实现，以满足其现有网络需求，同时兼顾未来发展状况下的可扩展性及便利性。注意：*①由于PC机数量有限，请通过改变PC机IP地址及与网络设备连接端口的方法模拟公司多用户使用情况进行测试；*②由于网络实验室网络设备现在没有与internet相连，而实验室内现在也没有配备Web服务器，所以请通过测试局域网与外部连接用的路由器连接成功来取代实际连接internet的测试；*③以太网双绞线最大传输距离：100米。二、设计原则首先为每个部门划分一个IP段，并划入同一个VLAN以实现同一部门人员之间的计算机可以相互访问。但因为双绞线最大传输距离的限制以及各部门人员分散的布局，在每栋楼内分别放置1台华为S3500交换机作为两栋楼的汇聚层交换机，并将其相连，用来实现分属两栋楼上的相同部门间的计算机可以相互访问。又考虑到每栋楼内各部门的人员分别位于两层楼上，所以每层楼用1台华为S2403H交换机作为该楼层的接入层交换机，用来接入相应楼层内的各部门用户。然后设置汇聚层交换机的控制访问列表ACL，以保证不同部门之间的计算机不可以相互访问。最后设置每个VLAN开启OSPF，以便每台PC都能通过路由连通到以太网。三、具体设计方案*1.设备清单：华为AR28-31路由器：1台华为S3500交换机：2台华为S2403H交换机：4台PC机：8台*2.网络拓扑结构：“小型企业内部局域网的设计与实现”实验报告鉴于以太网双绞线最大传输距离的限制及公司员工办公区域的划分，我们初步设想：*1)整个网络使用一台华为AR28-31路由器作为核心层设备，负责整个局域网与Internet的连接；*2)在两栋楼里分别放置一台华为S3500交换机作为汇聚层设备，负责汇聚每栋楼内的接入层设备；*3)在1号楼内放置2台华为S2403H交换机（每个楼层1台），在2号楼内放置2台华为S2403H交换机（每个楼层1台），作为接入层设备，负责将两栋楼内的各个部门用户接入网络；*4)在1号楼内，将F1层楼内的生产部、销售部和工厂管理人员划分为3个VLAN接入华为S2403H交换机，将F2层楼内的管理部、财务部划分为2个VLAN接入华为S2403-H交换机；*5)在2号楼内，将F1层楼内的生产部、销售部和工厂管理人员划分为3个VLAN接入华为S2403H交换机，将F2层楼内的人事部、财务部划分为2个VLAN接入华为S2403-H交换机；*3.VLAN的设计：部门VLAN号IP段“小型企业内部局域网的设计与实现”实验报告*子网掩码网关地址生产部销售部工管管理部财务部人事部101102103104105106172.17.1.0172.17.2.0172.17.3.0172.17.4.0172.17.5.0172.17.6.0*255.255.255.0172.17.1.254*255.255.255.0172.17.2.254*255.255.255.0172.17.3.254*255.255.255.0172.17.4.254*255.255.255.0172.17.5.254*255.255.255.0172.17.6.254*4.交换机端口的划分方法：华为S2403H交换机1号楼F11号楼F22号楼F12号楼F2*5.IP地址分配方法：端口e0/1-e0/5e0/6-e0/11e0/12-e0/16e0/1-e0/4e0/5-e0/7e0/1-e0/4e0/5-e0/8e0/8-e0/13e0/1-e0/3e0/4-e0/6VLAN号101102103104105101102103106105设备生产部5台PC销售部6台PC工管5台PC管理部4台PC财务部3台PC生产部4台PC销售部4台PC工管6台PC人事部3台PC财务部3台PC华为S3500交换机：192.168.1.254//1根据组号而改变华为S2403H交换机：172.16.11.3//1为组号，3为机柜最下面的二层交换机IP地址末位数各部门的PC机：在相应部门所在网段内任意分配*6.部门间互访控制方法设置三层交换机的控制访问列表ACL，设置每一部门的每台PC的IP不能向其他部门的IP发送报文，也不能接收其他部门的IP发送来的报文。*7.路由协议的选择OSPF（OpenShortestPathFirst，开放最短路由优先协议）四、网络设备相关参数设置过程及具体设置内容*1.先配置1号楼的三层交换机和二层交换机*(1)首先在三层交换机上创建VLAN，分配网段，以生产部（VLAN101）为例在系统视图下（system-view），“小型企业内部局域网的设计与实现”实验报告[S3500-1]vlan101//创建101号vlan，vlan号100[S3500-1-vlan101]quit[S3500-1]interfacevlan-interface101//进入vlan101的接口视图[S3500-1-vlan-interface101]ipaddress172.17.1.254255.255.255.0//为vlan101分配网段，如172.17.1.0/24,可以从此网段中任选一地址作为网关地址，其余作为用户地址。[S3500-1-vlan-interface101]quit*(2)然后在二层交换机上添加端口e0/1-e0/5到vlan101[S2403H-1-1]vlan101[S2403H-1-1-vlan101]quit[S2403H-1-1]interfaceethernet0/1//创建VLAN101//进入port视图[S2403H-1-1-Ethernet0/1]portlink-typeaccess//设置port为access模式[S2403H-1-1-Ethernet0/1]portaccessvlan101//将port划分到vlan101[S2403H-1-1-Ethernet0/1]quit重复上述最后4步，分别将端口e0/2、e0/3、e0/4、e0/5添加到vlan101。*(3)这样生产部1号楼的VLAN就配置好了。接着配置VLAN102至VLAN105，即1号楼上的所有VLAN，再将相应端口加入VLAN。*2.接着配置2号楼的三层交换机*(1)在二层交换机上添加端口e0/1-e0/4到vlan101[S2403H-2-1]vlan101[S2403H-2-1-vlan101]quit[S2403H-2-1]interfaceethernet0/1//创建VLAN101//进入port视图[S2403H-2-1-Ethernet0/1]portlink-typeaccess//设置port为access模式[S2403H-2-1-Ethernet0/1]portaccessvlan101//将port划分到vlan101[S2403H-2-1-Ethernet0/1]quit重复上述最后4步，分别将端口e0/2、e0/3、e0/4添加到vlan101。*(2)重复（1）（2）中的操作，注意交换机名称的变化，创建VLAN102至VLAN105。*(3)参考1中创建VLAN的方法，为人事部创建VLAN106，分配IP，然后将相应的端口加入VLAN106。*3.至此，所有VLAN都已配置好，但两栋楼还不能相互访问，将两台三层交换机的23端口设为Trunk端口并允许所有VLAN通过。例：[S3500-1]interfaceethernet0/23[S3500-1-Ethernet0/23]portlink-typetrunk[S3500-1-Ethernet0/23]porttrunkpermitvlanall两台三层交换机均要设置。“小型企业内部局域网的设计与实现”实验预习报告*4.接下来配置ACL控制访问列表，以保证不同部门之间不能相互访问。例：在系统视图下，[S3500-1]aclnumber3001//配置高级访问控制规则,number3000[S3500-1-acl-3001]rule1denyipsourceanydestination172.17.a.10.0.0.255//限制和其他部分相连，Source地址改变为本部门机器的IP[S3500-1-acl-3001]rule2permitipsource172.17.a.10.0.0.255destination172.17.a.10.0.0.255//允许自己部门的通过[S3500-1]quit[S3500-1]packet-filterip-group3001rule1//激活[S3500-1]packet-filterip-group3001rule2//激活*5.OSPF路由协议配置过程：[本实验室已配好]S3500-1:在系统视图下，[S3500-1]routerid172.16.0.11//配置routerid和loopback0地址一致，个位数为组号，本实验室已配置[S3500-1]ospf//进入ospf路由视图[S3500-1-ospf]area0//进入区域0视图[S3500-1-ospf-area-0.0.0.0]network172.16.0.110.0.0.0//接口loopback0开启OSPF，本实验室已配置[S3500-1-ospf-area-0.0.0.0]network172.17.1.00.0.0.255//VLAN101开启OSPF[S3500-1-ospf-area-0.0.0.0]quit//退出区域0视图[S3500-1-ospf]import-routedirect//向ospf中引入直连路由S3500-2配置步骤与S3500-1类似。五、网络测试方法和结果测试1：每一部门的机器ping该部门机器的其他IP，看是否能ping通。测试2：每一部门的机器ping其他部门机器的IP，看是否能ping通。测试结果1：可以ping通本部门的其他机器的IP；测试结果2：不能ping通其他部门的任何机器的IP。测试管理部和人事部的：（设置各台PC机IP如下）1号楼1号楼2号楼2号楼IP网关IP网关172.17.1.1172.17.1.254172.17.1.3172.17.1.253172.17.1.2172.17.1.254172.17.1.4172.17.1.253172.17.2.1172.17.2.254172.17.2.3172.17.2.253172.17.2.2172.17.2.254172.17.2.4172.17.2.253配置ACL前：PC(172.17.1.1)上：ping172.17.1.254OKPing172.17.1.253OKPing172.17.1.3OK（1号楼和2号楼中同组可以互访）Ping172.17.2.1OK(此时还不能阻止互访）PC(172.17.1.3)上：ping172.17.1.254OKPing172.17.1.253OKPing172.17.1.1OK（1号楼和2号楼中同组可以互访）Ping172.