LAN TO WAN

LAN TO WAN

一．项目背景

某中学校园网网络初步规划如下：

学生机房使用网段：192.168.10.0/24；

办公主机使用网段：192.168.20.64/29；

FTP服务器地址网段：192.168.30.2/24；

外网家属区使用网段：211.10.10.0/24。

采用路由器或防火墙连接Internet，其出口地址为202.69.10.9，下一跳地址为202.69.10.10。

二．需求分析

（1）接入互联网需求

互联网信息服务可以是校内的每一台计算机都能实现网上浏览、查询信息的功能，能让学生和教师拓宽视野，充分利用互联网上的资源辅助教学，提高自身能力。

（2）方便运营管理的需求

校园网的投资较大，加上每年的维护成本，对于学校并不是 一笔可以忽视的开支，根据各高校的实际情况，高校需要对各高 校进行合理的运营，设置管理域，使校园网的作用最大化。

（3）网络可靠性的需求

数据对于任何一个高校而言都是非常敏感的事情，数据的 重要性不言而喻，随着应用的不断丰富，访问量的增加，办公、 教学、科研对网络的依赖，服务器的性能受到强烈的考验。最终可 能成为性能的瓶颈。随着信息化数字校园建设的，对关键的业务 数据进行备份保护刻不容缓，也正是基于对存在问题的认识和目前各种应用带来的数据存储的实际需求。

（4）网络安全需求

学生和家属网可以访问FTP服务器，办公室网络不能访问FTP服务器。

三．拓扑设计：

 

四．方案设计

(1) FTP，PAT，DHCP，VTP，LACP，HSRP等命令配置一个校内网。

(2) 掌握局域网与互连网的连接技术。

(3) 掌握访问控制规则的设置方法。

(4) 实施思路：

   1.提出技术方案，结合实验环境设计网络拓扑。

在校园大网关上配置NAT。

在FTP服务器接口设置访问控制规则。

2.设备配置

校园大网关：配置静态NAT，动态NAT或NAPT。

内网交换机：创建VLAN，并开启VLAN的SVI接口。

内网路由交换使用OSPF实现路由动态学习。

3.实验测试

按规划的网络地址配置好各个计算机。

按网络拓扑图要求连接好各个设备。

用Ping命令测试网络连通性以及验证访问控制规则。

（5）方案概述：

      1.选取路由器School，接入ISP。

2.在路由器School上配置NAT。

3.在FTP服务器上设置控制规则。

五．人员组织

    组长：郑玮臻  攻城师鼓励师

成员：吴雅玲  PPT制作，讲解，制作文档说明

庄荣鑫  命令配置

熊扬    制作拓扑图，制作文档说明

林凯    资料收集

林惠琴  制作文档说明，协助制作拓扑图和资料收集

六．实施测试

   1.建议顺序：起trunk ==> 配置VTP ==> 划分vlan

   2. interface 接口

switchport trunk encapsulation dot1q

switchport mode trunk

 

3. 配置vtp

    vtp mode server/client

vtp domain cisco

vtp password 123

 

4. 检查vtp

  通过show vtp status

查看md5摘要是否一致

一致则视为在同一VTP

 

5. VTP服务端创建vlan

   vlan 10  vlan 20  vlan 30

6.划分vlan

interface 接口

switchport mode access

switchport access vlan 序号

 

7.LACP配置

channel-protocol lacp

channel-group 序号 mode active

interface Port-channel 序号

switchport trunk encapsulation dot1q

switchport nonegotiate

switchport mode trunk

 

8. 查看聚合端口的接口信息

show interface 接口

 

 

9.HSRP配置

DSW1（vlan 1）：

    int vlan 1

    no shutdown

    ip add 192.168.1.252 255.255.255.0

standby 1 ip 192.168.1.254

    standby 1 priority 110 (默认100)

    standby 1 preempt

其他vlan和DSW2的配置类似，此处省略。

10.HSRP检查

通过show ip intface brief

查看各接口简要信息

通过show standby brief

查看HSRP简要信息，关注主备信息

 

 

11. 关于办公主机网段的计算

192.168.20.64/29    

11000000.10101000.00010100.01000000与11111111.11111111.11111111.11111000

得11000000.10101000.00010100.01000000

主机位全0为网段，全1为广播地址，

剩余6位可用地址，其中HSRP需要3个地址，

于是/29的网络前缀现在只能提供3个ip给办公主机使用。

12.DHCP

    DHCP服务器设备：DSW1

 

DHCP服务器配置：

vlan 10：

  ip dhcp pool vlan10

  network 192.168.10.0 /24

  default-router 192.168.10.254

其他vlan类似，此处省略。

主机配置：intface 接口

ip add dhcp

no shutdown

13.DHCP检查

    通过show ip intface brief

查看ip地址获取情况

 

虚拟网关通信检查：

 

14.FTP服务器地址

  地址配置为书上指定的ip：

 

测试与网关的连通性：

 

15.OSPF协议

   内部跑OSPF协议：router ospf 1 network 0.0.0.0 255.255.255.255 area 0

 

默认路由下发：router ospf 1   default-information originate always

 

16.查看路由表信息

    show ip route

DSW1   SCHOOL

 

17.PAT配置

  access-list 1 permit 192.168.0.0 0.0.255.255

ip nat inside source list 1 interface s1/0 overload

int e0/0

ip nat inside

int s1/0

ip nat out

 

缺省路由：

ip route 0.0.0.0 0.0.0.0 s1/0

18.通信测试

stu1访问ISP

 

 19.外网家属区配置

   PAT

默认路由

主机手动配置ip

 

20.开启FTP服务

 

21.配置应用程序池

 

22.更改应用程序池的标识

 

23.创建FTP站点

 

24.配置站点信息

 

25.配置站点权限

 

26.配置文件夹权限

 

27.绑定应用程序池

 

28.查看授权情况

 

29.配置FTP认证，并尝试上传当前配置

 

30.防火墙配置

  入站规则允许学生和

家长访问UTP21端口

 

31.在途中的设备上配置

  ASW:

    access-list 101 permit tcp 192.168.10.0 0.0.0.255 host 192.168.30.2 eq 21

access-list 101 permit tcp 211.10.10.0 0.0.0.255 host 192.168.30.2 eq 21

access-list 101 deny ip any any

int vlan 30

ip access-group 101 out

32.内网服务器端口映射到学校外网

    ip nat insidae source static tcp 192.168.30.2 21 202.69.10.9 21 extendable

33.家属访问FTP服务器

    

34.办公区域访问FTP服务器

  

35.查看上传情况