TL-ER6520G某企业网络配置实例
第一章某企业的组网需求
TL-ER6520G是TP-LINK公司推出的双核全千兆企业VPN路由器产品,主要定位于企业、机关单位、园区、连锁酒店等需要高速互联网接入、上网行为管理和远程安全通信的网络环境。
下面我们来看以TL-ER6520G路由器为核心设备的典型组网方案。
某企业需要对其现有的网络进行重新规则和布置,组建一个安全、稳定、高效的办公网络环境,企业的详细需求方案如下:1. 企业从电信、联通各办理30M的光纤宽带,联通线路的宽带接入方式为PPPoE拨号,电信线路的宽带接入方式为静态IP地址;要求实现"电信走电信,联通走联通",内网所有电脑从电信线路访问外网的8080端口;
2. 企业内部有研发、市场、人事三个部门,研发部又分为软件、硬件、测试三个小部门;企业为信息安全考虑,要求各部门使用不同的网段,并且不允许相互访问;市场部、人事部可全天候访问外网,研发部只能在非工作时间访问外网;企业有两个服务器群,服务器群1位于广域网区(DMZ区),对广域网、市场部、人事部全天候开放;服务器群2位于工作区,仅对企业内部员工开放;企业要求需要防范来自企业内部的ARP欺骗、DOS等常见攻击,并禁止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件。
3. 为方便各地办事处、分公司安全的将业务数据实时传输到总部服务器,各地办事处、分公司需要与总部建立站点到站点的VPN隧道;为方便出差员工安全的访问总部服务器,需要建立PC到站点模式的VPN隧道;
4. 为合理利用带宽资源,要求对各个部门所使用的带宽进行限制;
5. 企业服务器群1上有两台WEB服务器(80端口),要求实现访问不同WAN口映射到不同服务器;
6. 企业需要经常性的给内部员工发布公告信息;需要对网络流量进行实时监控,监控服务器需要对企业内部访问外网的数据进行监控和备份。
需求分析
现对该组网方案需求做分析和规划:
1. 根据该组网方案需求,企业内部可划分为7个区段,分别是电信宽带区段、联通宽带区段、服务器群1区段、服务器群2区段、市场部门区段、人事部门区段、研发部门区段,对应的区段名称分别为ISP-Telecom、ISP-Unicom、DMZ、Server、Marketing、Personnel、RD;
2. 企业内部划分为7个网段,通过VLAN实现隔离,分别是DMZ区段网段为192.168.10.0/24,Server区段网段为
192.168.20.0/24,Marketing区段网段为192.168.30.0/24,Personnel区段网段为192.168.40.0/24,RD区段有3个网段:研发软件部门网段为192.168.50.0/24,研发硬件部门网段为192.168.60.0/24,研发测试部门网段为192.168.70.0/24;
3. 通过访问策略实现区段之间、区段内各网段之间的访问权限;
4. 通过流量均衡实现"电信走电信、联通走联通"以及内网所有电脑从电信线路访问外网的8080端口;
5. 通过ARP防护实现防范企业内部的ARP欺骗;通过攻击防护实现防范DOS等常见攻击;
6. 通过应用限制实现禁止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件;
7. 各地办事处、分公司与总部之间站点到站点的VPN通过建立IPSec隧道实现,出差员工使用PC到站点的VPN通过开启PPTP/L2TP服务实现;
8. 通过带宽控制实现合理利用带宽资源;
9. 通过虚拟服务器实现访问不同WAN口映射到不同服务器;
10. 通过端口电子公告实现经常性的给内部员工发布公告信息;
11. 通过开启流量统计实现对网络流量进行实时监控;
12. 通过端口监控实现监控服务器需要对企业内部访问外网的数据进行监控和备份。
第二章配置前的准备工作
在开始配置路由器之前,我们需要对整个组网方案有清晰的思路和规划。而在配置路由器的具体功能之前,我们还需要完成一些配置前的准备工作,包括VLAN配置、区段和接口配置、全局对象配置。
2.1 VLAN设置
VLAN可将网络逻辑地分割成数个不同的广播域,实现数据包只在VLAN内转发。TL-ER6520G路由器支持Access、Trunk、Hybrid三种端口的链路类型。
根据前面的需求分析,我们做如下规划:端口1用来连接电信宽带,端口2用来连接联通宽带线路,端口3用来连接服务器群2、市场部、人事部、研发部,端口4用来连接服务器群1。
端口3需要处理多个VLAN的数据,且核心层交换机需要通过数据包中的VLAN TAG来转发数据包,端口3需要设置为trunk;端口1、2、4、5只需要处理一个VLAN的数据,则端口链路类型配置为access。
2.1.1 配置物理端口链路类型
根据前面的分析配置端口链路类型
基本设置>> VLAN设置>> 端口设置
2.1.2 给物理端口创建VLAN
依次创建VLAN 2/3/4/5/6/7/8/9/10,其中VLAN 2的端口成员为端口1,对应电信宽带线路;VLAN 的端口成员为端口2,对应联通宽带线路;VLAN 4的端口成员为端口4,对应公网服务器群;VLAN 5/6/7/8/9/10的端口成员为端口3,分别对应内网服务器群、市场部门、人事部门、测试部门、软件部门、硬件部门。
基本设置>> VLAN设置>> VLAN设置
设置完成后,在基本设置>> VLAN设置>> 关联表中可查看配置结果。
2.2 区段和接口设置
企业内部划分为7个区段,分别是电信宽带区段、联通宽带区段、服务器群1区段、服务器群2区段、市场部门区段、人事部门区段、研发部门区段配置区段。
添加区段ISP-Telecom、ISP-Unicom、DMZ、Server、Marketing、Personnel、RD,分别对应电信宽带区段、联通宽带区段、服务器群1区段、服务器群2区段、市场部门区段、人事部门区段、研发部门区段。
2.2.1 给各区段配置接口
1. 配置区段ISP-Telecom
电信线路的宽带接入方式为静态IP地址,则在区段ISP-Telecom中添加接口类型eth。给接口eth配置电信提供的网络参数和上下行带宽等。
2. 配置区段ISP-Unicom
联通线路的宽带接入方式为PPPoE,则先在区段ISP-Unicom中添加eth接口,再添加pppoe接口Link到eth接口。给pppoe 接口添加宽带账号、密码,上下行带宽等。
在区段ISP-Unicom添加eth接口
添加PPPoE接口,并将eth接口Link到eth接口
3. 配置区段DMZ
区段DMZ即服务器群1区段,网段为192.168.10.0/24。添加接口类型eth,手动给该接口配置IP地址。
4. 配置区段Server
区段Server即服务器群2区段,网段为192.168.20.0/24。添加接口类型eth,手动给该接口配置IP地址。
5. 配置区段Marketing
6. 配置区段Personnel
区段Personnel即人事部门区段,网段为192.168.40.0/24。添加接口类型eth,手动给该接口配置IP地址。
7. 配置区段RD
区段RD即研发部门区段,内有3个小部门,软件部门网段为192.168.50.0/24、硬件部门网段为192.168.60.0/24、测试部门网段为192.168.70.0/24。添加3个eth接口,并分别手动配置其IP地址。
添加接口类型eth,手动给该接口配置软件部门的IP地址
添加接口类型eth,手动给该接口配置硬件部门的IP地址
添加接口类型eth,手动给该接口配置测试部门的IP地址
2.3 全局对象设置
通过对整个组网方案的规划,我们已经十分清楚在整个配置过程中需要用到的全局变量,接下来我们通过地址管理、时间管理、IP地址池、服务类型对这些变量进行配置。
2.3.1 配置地址管理
在后续的网络权限配置中,会涉及到针对市场部门、人事部门、软件部门、硬件部门、测试部门网段的规则设置。
#添加组名Marketing、Personnel、RD_Software、RD_Hardware、RD_Testing
对象管理>> 地址管理>> 地址组
#添加地址段
Marketing_ip 对应地址192.168.30.1-192.168.30.254
Personnel_ip 对应地址192.168.40.1-192.168.40.254
RD_Software_ip 对应地址192.168.50.1-192.168.50.254
RD_Hardware_ip 对应地址192.168.60.1-192.168.60.254
RD_Testing_ip 对应地址192.168.70.1-192.168.70.254
对象管理>> 地址管理>> 地址
添加完成,地址列表显示如下
#视图设置
组Marketing包含地址Marketing_ip
组Personnel包含地址Personnel_ip
组RD_Software包含地址RD_Software_ip 组RD_Hardware包含地址RD_Hardware_ip 组RD_Testing包含地址RD_Testing_ip
在后续的网络权限和电子公告功能配置中,需要使用到上班时间和元旦放假时间通知时间这两个时间配置项,下面我们就逐一配置这两个时间全局参数。
1) 添加上班时间段的时间管理
上班时间指的是每周一到周五的上午8:30—11:50和下午的13:20—18:00,先添加工作日历包含全年的每周一到周五,再添加工作时间8:30—11:50和13:20—18:00,最后将工作日历和工作时间进行组合。
#添加工作日历
#添加工作时间
#添加时间管理
2) 添加元旦放假时间通知时间管理
元旦放假时间通知时间指的是元旦放假前一周的周一到周五的8:30—11:50和13:20—18:00。#添加工作日历
# 添加时间管理
注:这里的工作时间直接引用上班时间的工作时间。
2.3.3 配置IP地址池
在后续给出差员工配置PC到站点的PPTP/L2TP VPN时,会涉及到PPTP/L2TP VPN隧道地址池的添加。对象管理>> IP地址池
2.3.4 配置服务类型
在后续配置"内网所有电脑从电信线路访问外网的8080端口"时需要使用到目的端口为8080的服务类型。添加服务器类型,目的端口为8080的TCP/UDP协议。
对象管理>> IP地址池
第三章配置成NAT路由器
通过第二章,我们已经完成配置前的准备工作,现在为保证内部网段市场部门、人事部门、软件部门、硬件部门、测试部门、服务器群1可通过电信、联通的两条宽带线路正常上网,需要将TL-ER6520G配置成具备NAPT功能的路由器。
因为对于每个网段来说都有两个出口,即电信和联通,所以对于每个网段来说,都需要配置两条NAPT规则。
传输控制>> NAT设置>> NAPT
第四章网络权限及网络安全
我们现在将需求分析中涉及企业内部网络权限和网络安全的内容进行罗列:
1. 各部门使用不同网段,不允许相互访问;
2. 市场部门、人事部门可全天候访问外网,研发部门只能在非工作时间访问外网;
3. 服务器群1对广域网、市场部门、人事部门全天候开放,对研发部门只在非工作时间开放;
4. 服务器群2对企业内部员工完全开放;
5. 需要防范来自企业内部的ARP欺骗、DOS等常见攻击;
6. 禁止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件。
4.1 配置访问规则
TL-ER6520G默认是允许所有区段的所有接口直接通信,为实现上述的需求,我们需要在访问规则中的"区段间访问规则"和"区段内访问规则"中配置相应的策略实现。
4.1.1 区段间访问规则
#实现1:研发部、市场部、人事部三个部门之间不允许相互访问
安全管理>> 访问策略>> 区段间访问规则
选择相应的显示区段,即Marketing<->Personnel、Marketing<->RD、Personnel<->RD。
在区段间规则中,我们需要配置6个方向的规则即:Marketing->Personnel、Personnel-> Marketing、Marketing->RD、RD-> Marketing、Personnel->RD、RD-> Personnel。
下面我们以市场部门区段和人事部门区段之间规则为例进行配置。
配置Marketing->Personnel规则
配置Personnel-> Marketing规则
同理我们配置Marketing->RD、RD-> Marketing、Personnel->RD、RD-> Personnel的规则,配置完成后,规则条目如下:区段Marketing与区段Personnel之间规则
区段Marketing与区段RD之间规则
区段Personnel与区段RD之间规则
#实现2:服务器群1对广域网、市场部、人事部全天候开放,对研发部只在非工作时间开放
因为路由器默认是允许所有区段的所有接口直接通信,所以不需要配置服务器群1区段与电信宽带区段、联通宽带区段、市场部门区段、人事部门区段的区段间访问规则。只需配置服务器群1区段和RD区段之间的区段间访问规则。
安全管理>> 访问策略>> 区段间访问规则
选择相应的显示区段:DMZ<->RD
设置相应规则,选择生效时间,配置结果如下:
选择相应的显示区段:ISP-Telecom<->Server、ISP-Unicom<->Server、DMZ<->Server
在相关的配置界面上配置对应规则:ISP-Telecom->Server、Server-> ISP-Telecom、ISP-Unicom->Server、Server-> ISP-Unicom、DMZ->Server、Server-> DMZ。
配置完成后,规则条目如下:
区段ISP-Telecom与区段Server之间规
则
区段ISP-Unicom与区段Server之间规则
区段DMZ与区段Server之间规则
# 实现4:市场部、人事部可全天候访问外网,研发部只能在非工作时间访问外网
因为路由器默认是允许所有区段的所有接口直接通信,所以不需要配置市场部门区段、人事部门区段和电信宽带区段、联通宽带区段之间的区段间访问规则。只需要配置研发部门区段和电信宽带区段、联通宽带区段之间的区段间访问规则。
安全管理>> 访问策略>> 区段间访问规则
选择相应的显示区段:ISP-Telecom<->RD、ISP-Unicom<->RD。
配置完成后,规则条目如下:
区段ISP-Telecom与区段RD之间规则
区段ISP-Unicom与区段RD之间规则
4.1.2 区段内访问规则
在区段内访问规则中,我们要实现:区段RD中软件部门、硬件部门、测试部门不能相互访问。
配置完成后配置条目如下:
4.2 防ARP欺骗
为有效的防止内网的ARP欺骗,我们需要对内网所有电脑做IP与MAC绑定,在路由器中添加IP与MAC绑定信息有两种方式:ARP扫描和手动添加IP/MAC。
通过ARP扫描方式添加每个网段范围的IP/MAC绑定信息
安全管理>> ARP防护>> ARP扫描
针对每个出接口添加对应的IP/MAC绑定信息
安全管理>> ARP防护>> IP MAC绑定
在添加完成对应的IP/MAC绑定信息之后,启用ARP防欺骗功能,并选择对应的生效区段。安全管理>> ARP防护>> IP MAC绑定
4.3 常见攻击防护
在路由器中启用攻击防护选项可有效的防护Flood类攻击和可疑包攻击
安全管理>> 攻击防护>> 攻击防护
企业网络搭建及应用模拟试题
2010年四川省中等职业学校技能大赛 ——企业网络搭建及应用竞赛模拟试题 第一部分:参赛说明 一、注意事项: (1)请按照以下比赛环境,检查比赛中使用硬件设备、网线和Console线等设备、材料和软件是否齐全,计算机设备是否能正常使用。 (2)禁止携带和使用移动存储设备、运算器、通信工具及参考资料。 (3)操作过程中,需要及时保存设备配置。比赛过程中,不要关闭任何设备,不要拆、动硬件连接,不要对任何设备添加密码。 (4)比赛完成后,比赛设备、比赛软件和比赛试卷请保留在座位上,禁止带出考场外。(5)仔细阅读比赛试卷,分析网络需求,按照试卷要求,进行设备配置和调试。 (6)比赛时间为180分钟。 二、比赛环境
第二部分:试题部分 一、网络搭建(30分) 下图为某企业网络组建网络拓扑图,接入层采用二层交换机S2026,汇聚和核心层使用两台三层交换机S3760A和S3760B,网络边缘采用一台路由器RSR20用于连接到外部网络,另一台RSR20路由器是其子公司的网络。为了提高网络的安全性、可靠性、可用性,需要配置MSTP、OSPF、RIP、VRRP、ACL、CHAP、NAT功能。 (注:图中设备仅供练习时参考,正式比赛采用表1中给出的设备) 根据网络拓扑结构图进行如下操作: 1、基本配置(4分) a)在所有网络设备配置IP地址; b)在交换设备上配置VLAN信息; 2、路由协议配置(6分) a)配置静态路由或默认路由; b)配置OSPF路由协议; c)配置RIPv2路由协议; d)配置路由重分发,实现全网互通;
3、MSTP协议配置(6分) a)配置MSTP协议,创建二个MSTP实例:Instance10、Instance20;其中, Instance10包括:VLAN10、VLAN20,而Instance20包括:VLAN30、VLAN40; b)设置S3750-A交换机为instance10的生成树根,是instance20的生成树 备份根; c)设置S3750-B交换机为instance20的生成树根,是instance10的生成树 备份根; 4、VRRP协议配置(6分) a)创建四个VRRP组,分别为group10、group20、group30、group40 b)配置是VLAN10、VLAN20活跃路由器,是VLAN30、VLAN40的备份路由器; c)配置S3750-B是VLAN30、VLAN40活跃路由器,是VLAN10、VLAN20的备份 路由器; 5、链路聚合配置(2分) a)将S3750-A的FA0/23-24设置为链路聚合,并将了聚合接口设置trunk; b)将S3750-B的FA0/23-24设置为链路聚合,并将了聚合接口设置trunk; 6、网络安全配置(6分) a)将路由器RSR20-A和RSR20-B之间的链路封装为PPP协议,并启用CHAP验 证,将RSR20-A设置为验证方,口令为123456; b)只允许VLAN10、VLAN20的用户在上班的时间(9:00~18:00)访问FTP、DHCP 服务器,其它时间不允许访问; c)不允许VLAN10与VLAN20互相访问,其它不受限制; d)所有用户只有上班时间(周一至周五的9:00-18:00)才可以允许访问互联 网; e)配置NAT,内网中的VLAN10、VLAN20能够通过地址池(99.1.1.3~ 99.1.1.5/28)访问互联网;内网中的VLAN30、VLAN40能够通过地址池 (99.1.1.6~99.1.1.8/28)访问互联网;只将FTP服务器的FTP服务发布 到互联网上,其公网IP地址为99.1.1.10; 二、Windows系统(40分) 1、在计算机A上正确安装VMware Server,在VM中安装Windows Server 2003 SP2操作系统,具体要求如下(15分): (1)创建名称为Windows Server 2003的虚拟机,硬盘空间为8G,分配内存为256M,网卡使用桥接模式。 (2)将硬盘划为二个分区,C盘为5G,D盘为3G,两个分区的文件系统均为NTFS,选择正确的授权模式,能够同时满足200个客户的连接。服务器的名称为ServerA,系统管理员密码为manager,根据网络要求配置服务器的IP地址。 (3)添加用户UserA,密码为123,限制该用户在D盘的磁盘使用空间大小为500M,当磁盘剩余50M的时候,提示用户磁盘空间不足。 2、在ServerA上建立DNS服务,要求如下(15分): (1)为公司内部用户提供域名解析服务,同时也负责向外部DNS服务器(61.139.2.69)
中小型公司企业网络设计与实现
网络工程实训 大 作 业 题目:中小型企业网络设计与实现班级: 组长: 小组成员: 指导老师: 2013年12月
摘要 随着社会的发展科技的进步,人类社会已进入信息时代。在信息化的社会中,企业间的竞争也不可避免地被打上了信息化的烙印。目前许多公司原有的办公和信息传递方式已不能满足现代企业的需求。该项目主要目的就是为企业组建一个高效、灵活、安全可靠的信息传输网络。 根据企业需求和当前网络主流技术的对比,在工程实施过程中局域网采用以太网技术。不同部门之间采用VLAN技术限制无用数据包在网络中的传输,提高有效资源的利用率。使用ACL技术对按照企业的要求,不同部门间的访问进行控制。在上层使用HSRP对网关备份,提高网络的安全。采用OSPF和浮动静态路由技术实现全网正常连通。采用NAT和VPN技术满足用户访问外网或总公司和子公司之间通信。此外在实现业务隔离和全网连通的基础上,需配置各类服务器,满足企业信息发布和数据共享的需求。
目录 第1章引言 0 1.1 中小型网络组建的背景和意义 0 1.2 中小型企业网络组建的基本要求 0 1.3 主要网络技术概述 (1) 1.4 总结 (3) 第2章项目需求分析 (4) 2.1 企业基本需求及分析 (4) 2.2工程总体要求 (5) 2.3 关键技术选用 (6) 2.3.1 接入层技术 (6) 2.3.2 汇聚及核心层技术 (6) 2.3.3 网络服务器的选用 (7) 2.3.4 可行性分析 (8) 第3章企业网络设计 (9) 3.1 网络拓扑选型 (9) 3.2 网络IP地址规划 (10) 第4章工程配置 (13) 4.1 总部项目配置 (13) 4.1.1 总部接入层配置 (13) 4.1.2 总部汇聚及核心层配置 (16) 4.2 分部项目配置 (22) 4.2.1 分部接入层配置 (22) 4.2.2 分部汇聚及核心层配置 (23) 第5章各类配置 (27) 5.1 DHCP服务器配置 (27) 5.1.1 DHCP服务器的安装 (27) 5.1.2 DHCP服务器的配置和调试 (28) 5.1.3 DHCP服务器的测试 (32)
公司局域网组建与配置实例
中小企业网络组建与配置 目录 案例背景 (1) 需求分析 (1) 拓扑结构 (1) 组网设备 (2) 地址规划 (3) 方案实施 (3) 配置步骤 (5) 1、网络设备基本配置 (5) (1)S2126G-A1交换机基本配置 (5) (2)S2126G-B1交换机基本配置 (7) (3)S2126G-C1交换机基本配置 (8) (4)S3550-24-A的基本配置 (9) (5)S3550-24-B的基本配置 (11) (6)S3550-24-C的基本配置 (12) (7)S6806E-A的基本配置 (14) (8)R2624-A的基本配置 (15) 2、OSPF路由选择协议配置及测试 (15) (1)S3550-24-A OSPF路由协议配置 (15) (2)S3550-24-B OSPF路由协议配置 (16) (3)S3550-24-C OSPF路由协议配置 (16) (4)S6806E OSPF路由协议配置 (17) (5)R2624-A OSPF路由协议配置 (17) 3、服务器配置 (21) DNS.DHCP.EMAIL.WEB.FTP配置 (18) 总结 (21) 参考文献 (21)
摘要:本文是基于一个课程的网络互联设计,根据实践环境设计一个小型企业内部的网络组建。从实际情况出发把这个小型企业的实际需要应用到网络中去,使这个企业的内部网络能够快速便捷。因为条件有限,本次设计的拓扑结构图是在模拟器上进行的。主要运用了所学的路由和交换技术。 关键字:小型企业;网络;设计方案 案例背景 某小型企业现有300个结点,需要建设一个小型网络以实现该企业内部的相互通信和与外部的联系,通过该网络提高企业的发展和企业内部办公的信息化、办公自动化。该企业有15个部门,则需要让这15个部门能够通过该网络访问互联网,并能实现部门之间信息化的合作。所以该网络的必须体现办公的方便性、迅速性、高效性、可靠性、科技性、资源共享、相互通信、信息发布及查询等功能,以作为支持企业内部办公自动化、供应链管理以及各应用系统运行的基础设施。 需求分析 该网络是一个单核心的网络结构(拓扑结构如图1所示),采用典型的三层结构,核心、汇聚、接入。各部门独立成区域,防止个别区域发生问题,影响整个网的稳定运行,若某汇聚交换机发生问题只会影响到某几个部门,该网络使用vlan进行隔离,方便员工调换部门。 核心交换机连接三台汇聚交换机对所有数据进行接收并分流,所以该设备必须是高质量、功能具全,责任重大,通过高速转发通信,提高优化的,可靠的传输结构。核心层应该尽快地交换分组。该设备不承担访问列表检查、数据加密、地址翻译或者其他影响的最快速率分组的任务。 汇聚层交换机位于接入层和核心层之间,该网络有三台汇聚层交换机分担15个部门,能帮助定义和分离核心。该层的设备主要目的是提供一个边界的定义,以在其内进行分组处理。该层将网络分段为多个广播域。该问控制列表可以实施策略并过滤分组。汇聚层将网络问题限制在发生问题的工作组内,防止这些问题影响到核心层。该层的交换机运行在第二层和第三层上。 接入层为网络提供通信,并且实现网络入口控制。最终用户通过接入层访问网络的。作为网络的“前门”,接入层交换机使用访问列表以阻止非授权的用户进入网络。 拓扑结构 如图1所示为企业内部的网络拓扑结构图。
某企业网络系统规划与设计
某企业网络系统规划与设计
目录 一、需求分析 (3) 1、背景 (3) 2、设计原则 (3) 二、总拓扑 (6) 三、总体设计思路 (6) 四、路由规划 (7) 五、Ip地址及vlan规划 (7) 六、关键技术分析 (8) 七、设备选型 (9) 1.选型原则 (9) 2.设备清单及报价 (9) 八、配置命令 (10) 1.在接入层交换机下端口配置端口安全 (10) 2.接入层与分布层之间相连的链路配置trunk (10) 3.接入层与分布层交换机配置vtp (10) 4.在分布层交换机创建vlan (10) 5.将接入层上端口划分vlan (10) 6.将交换机的链路进行捆绑 (11) 7.VRRP配置 (11) 8.配置ospf协议 (11) 9.防火墙上的nat及下放默认路由 (12)
一、需求分析 1、背景 某企业,考虑了将来,大约2000用户,基本均匀分布于四栋楼。每栋楼 约4层,人员均匀分布。服务器10台集中于机房。用户无大数据量应用。现需要组建局域网,要求网络保证一定稳定性,网络主干中断最多为1分钟。 2、设计原则 多业务网络系统方案以实现以上功能为基本要求,在设计上力 求做到既要采用国际上先进的技术,又要保证系统的安全可靠性和 实用性。具体来讲,其设计遵循以下原则: 可靠性:本系统是7x24小时连续运行系统,从硬件和软件两方面来保证系统的高可靠性。 硬件可靠性 系统的主要部件采用冗余结构,如:传输方式的备份,提供备份组 网结构;主要的计算机设备(如数据库服务器),配备不间断电源等。 软件可靠性 充分考虑异常情况的处理,具有强的容错能力、错误恢复能力、错 误记录及预警能力并给用户以提示;并具有进程监控管理功能,保
企业网络案例
企业网络案例Last revision on 21 December 2020
企业网络案例 ?网络生命周期: ?网络规划基本原则和目标: ◆可靠性原则: ◆可扩展性原则: ◆可运营性原则: ◆可管理性原则: ◆追求最佳性能价格比: ?网络设计规划流程: 1、需求情况分析: ◆部及分部间的广域网连接方案 ◆总部局域网建设方案 ◆WLAN网络建设 ◆信总息化应用包括邮件、OA系统、公司网站、公司共享资源库、 ◆出差的员工能够远程访问公司网络 2、选型分析: (1)交换机: 企业总节点数134点,另外还需要提供无线AP连接来支持WLAN网络,应用为内部文件共享、办公自动化系统(OA)、收发邮件和网站服务等,这些都是非时间敏感型应用,并非一刻不能停机,因此没有必要设置核心设备的冗余.可以在核心放置一台Catalyst4507R,它的背板带宽达到64Gbit/s,可支持各楼层数据的高速交换。它支持引擎的冗余,在一定程度上提高了系统的可靠性。由于大楼的主干采用光纤布线,所以可选用WS-G5484 GBIC模块用于和各楼层光纤互连。交换机可以根据各部门具体位置的信息点数分别进行选择,选用三台 catalyst2950G-48交换机,这款交换机有两个GBIC插槽,可选用WS-G5484 GBIC模块用于光纤上连核心交换机。 Catalyst4507R WS-G5484光纤模块
Catalyst2950G-48 (2)路由器: 根据需求描述: 企业的主要应用为内部文件共享、办公自动化系统(OA)、对外提供邮件和网站服务等;外地分支机构需要和总部互连;采用经济实用的ADSL接入方式接入Internet,分支机构对总部的访问可通过Frame-Relay的方式来实现。 设备的选择上,总部选用2台CiSC02621xm路由器,各配一个WIC-1T接口卡,一个路由器用于DDN的接入,另一个路由器用于Frame-Relay的接入. 分支机构选择 CISC01721加WIC-1ADSL接口卡用于ADSL的接入。再加1个WIC-1T接口卡,用于Frame-Relay的接入。无线AP采用D-Link旗下的DWL-2000AP+A 54M路由器。 Cisco2621 Cisco1721 WIC-1T WIC-1ADSL (3)服务器和防火墙的选择 ◆文件共享服务器、OA服务器、通信服务器E-mail : 快速的I/0是这类应用的关键,硬盘的I/0吞吐能力是主要瓶颈. 因为这类服务主要用来进行读/写操作,何况用户还总是在不断地修改文件。RAM对其性能的影响没有其他因素大,因为文件不可能长时间待在内存中,也存在着可以驻留在缓存中的文件大小的限制。 ◆Web应用服务器: Web服务器的典型功能有两个: (1)仅储存用于响应客户机HTTP请求静态文件 (2)用CGI程序、ASP脚本程序、Java等服务器端应用 前者的瓶颈在缓存,如果可以预计的用量很大,多配内存即可;后者则要求要有较高的CPU处理能力,如果条件允许,可采用多处理器的服务器。另外,Web应用集中在数据查询和网络交流中,需要频繁读/写硬盘,所有,这时硬盘的性能也将直接影响服务器整体的性能。 出于以上对各类服务器的分析,本方案中选择HP ProLiant ML150 G3服务器。一、服务器的选择 由于网络中,要求有文件(信息)共享服务器,而在服务器方面,考虑满足企业要求,选择:HP ProLiant ML150 G3,其主要组件配置如下: CPU主频(MHz)1600 2个CPU CPU二级缓存4MB 内存512M 最大内存容量8G 硬盘160G HP ProLiant ML150 G3 二、防火墙的选择 防火墙作为网络安全体系的基础设备,对通过控干线的任何通信进行安全处理, 所以防火墙的吞吐量就显得非常重要,否则防火墙就会成为整个网络的瓶颈。本方案中,防火墙主要用于网络的边界,置于路由器和内网交换机之间,在内网和外网之间树立一
中小型公司网络设计方案
企业网络规划和设计方案 目录 一、工程概况 (2) 1、工程详述 (2) 2、项目工期 (3) 二、需求分析 (3) 1、网络要求 (3) 2、系统要求 (4) 3、用户要求 (5) 4、设备要求 (6) 三、网络系统设计规划 (6) 1、网络设计指导原则 (6) 2、网络设计总体目标 (6) 3、网络通信联网协议 (7) 4、网络IP 地址规划 (8) 5、网络技术方案设计 (8) 6、网络应用系统选择 (12) 7、网络安全系统设计 (13) 8、网络管理维护设计 (14)
四、网络布线系统设计 (14) 1、布线系统总体结构设计 (14) 2、工作区子系统设计 (15) 3、水平子系统设计 (15) 4、管理子系统设计 (15) 5、干线子系统设计 (16) 6、设备间子系统设计 (16) 7、建筑群子系统设计 (16) 一、工程概况 1、工程详述 集团总部公司有1000 台PC;公司共有多个部门,不同部门的相互访问要有限制,公司有自己的内部网页与外部网站;公司有自己的OA 系统;公司中的台机能上互联网;核心技术采用VPN;集团包括六家子公司,包括集团总部在内共有2000多名员工;集团网内部覆盖7栋建筑物,分别是集团总部和子公司的办公和生产经营场所,每栋建筑高7层,都具有一样的内部物理结构。一层设有本建筑的机房,少量的信息点,供未来可能的需求使用,目前并不使用(不
包括集团总部所在的楼)。二层和三层,每层楼布有96个信息点。四层到七层,每层楼布有48个信息点,共3024个信息点。。每层楼有一个设备间。楼内综合布线的垂直子系统采用多模光纤,每层楼到一层机房有两条12芯室内多模光纤。每栋建筑和集团总部之间通过两条12芯的室外单模光纤连接。要求将除一层以外的全部信息点接入网络,但目前不用的信息点关闭。 2、项目工期 2009年5月28日-------2009年6月28日 二、需求分析 1、网络要求 满足集团信息化的要求,为各类应用系统提供方便、快捷的信息通路;具有良好的性能,能够支持大容量和实时性的各类应用;能够可靠运行,具有较低的故障率和维护要求。提供网络安全机制,满足集团信息安全的要求,具有较高的性价比,未来升级扩展容易,保护用户投资;用户使用简单、维护容易,为用户提供良好的售后服务。 主干网负责各个子网和应用服务的连接,为信息交换提供有效的高速通道。系统主干采用万兆以太网10000M交换,下属子网采用千兆以太网,网络协议采用TCP/IP协议,整个网络应考虑语音、视频、数据等的综合应用。交换机要求采用主流、成熟、信誉和售后服
VLAN网络的配置实例
VLAN网络的配置实例 为了给大家一个真实的配置实例学习机会,下面就以典型的中型局域网VLAN配置为例向各位介绍目前最常用的按端口划分VLAN的配置方法。 某公司有100台计算机左右,主要使用网络的部门有:生产部(20)、财务部(15)、人事部(8)和信息中心(12)四大部分,如图1所示。 网络基本结构为:整个网络中干部分采用3台Catalyst 1900网管型交换机(分别命名为:Switch1、Switch2和Switch3,各交换机根据需要下接若干个集线器,主要用于非VLAN用户,如行政文书、临时用户等)、一台Cisco 2514路由器,整个网络都通过路由器Cisco 2514与外部互联网进行连接。 所连的用户主要分布于四个部分,即:生产部、财务部、信息中心和人事部。主要对这四个部分用户单独划分VLAN,以确保相应部门网络资源不被盗用或破坏。 现为了公司相应部分网络资源的安全性需要,特别是对于像财务部、人事部这样的敏感部门,其网络上的信息不想让太多人可以随便进出,于是公司采用了VLAN的方法来解决以上问题。通过VLAN的划分,可以把公司主要网络划分为:生产部、财务部、人事部和信息中心四个主要部分,对应的VLAN组名为:Prod、Fina、Huma、Info,各VLAN组所对应的网段如下表所示。 VLAN 号 VLAN 名端口号
2 Prod Switch 1 2-21 3 Fina Switch2 2-16 4 Huma Switch3 2-9 5 Info Switch3 10-21 【注】之所以把交换机的VLAN号从"2"号开始,那是因为交换机有一个默认的VLAN,那就是"1"号VLAN,它包括所有连在该交换机上的用户。 VLAN的配置过程其实非常简单,只需两步:(1)为各VLAN组命名;(2)把相应的VLAN对应到相应的交换机端口。 下面是具体的配置过程: 第1步:设置好超级终端,连接上1900交换机,通过超级终端配置交换机的VLAN,连接成功后出现如下所示的主配置界面(交换机在此之前已完成了基本信息的配置): 1 user(s) now active on Management Console. User Interface Menu [M] Menus [K] Command Line [I] IP Configuration Enter Selection: 【注】超级终端是利用Windows系统自带的"超级终端"(Hypertrm)程序进行的,具体参见有关资料。 第2步:单击"K"按键,选择主界面菜单中"[K] Command Line"选项,进入如下命令行配置界面: CLI session with the switch is open. To end the CLI session,enter [Exit ]. >
中小型公司企业网络设计方案
企业网络规划和设计方案 一、工程概况................................................................................................................. 21、"工程详述............................................................................................................ 22、"项目工期 (2) 二、需求分析................................................................................................................. 31、"网络要求............................................................................................................ 32、"系统要求............................................................................................................ 43、"用户要求............................................................................................................ 44、"设备要求 (5) 三、网络系统设计规划................................................................................................. 61、"网络设计指导原则............................................................................................ 62、"网络设计总体目标............................................................................................ 63、"网络通信联网协议............................................................................................
HC三层交换机DHCP配置实例HC网络设备修订稿
H C三层交换机D H C P 配置实例H C网络设备集团文件发布号:(9816-UATWW-MWUB-WUNN-INNUL-DQQTY-
D H C P典型配置 【需求】 DHCP的主要用途是:通过DHCP服务器的协助来控管各个客户机(执行中的用户端)上不可缺少的网络配置参数,包括DNS(DomainNameService?域名服务),WINS (WindowsInternetNameService?Windows互联网名字服务)等。 【组网图】 在PC上执行“ipconfig”,该PC已经通过DHCP自动获取IP地址、网关、域名信息。C:\>ipconfig WindowsIPConfiguration
Ethernetadapter本地连接: Connection-specificDNSSuffix.:https://www.wendangku.net/doc/5912090638.html, SubnetMask.. 【提示】 1、只给出DHCPserver上最基本的配置,其它可选配置可以查看《操作手册》5.1.2DHCPRelay典型配置 【需求】 路由器进行DHCPRelay,将DHCP报文进行中继。 【组网图】 1、DHCPServer可以使用PCServer,也可以使用路由器充当。 2、当使用路由器作为DHCPServer的配置,和上一节的配置类似。 5.1.3DHCPClient典型配置 【需求】 路由器作为DHCPClient,获取接口的动态IP地址。 主要用在使用路由器的以太网接口通过LAN方式接入公网的组网。
【组网图】 通过dispint可以查看接口获取的IP地址 [Quidway]dispinte1/0/0 Ethernet1/0/0currentstate:UP? Lineprotocolcurrentstate:UP Description:Ethernet1/0/0Interface TheMaximumTransmitUnitis1500,Holdtimeris10(sec) IPSendingFrames'FormatisPKTFMT_ETHNT_2,Hardwareaddressis00e0-fc45-2ca7 Mediatypeistwistedpair,loopbacknotset,promiscuousmodenotset 100Mb/s,Full-duplex,linktypeisautonegotiation Outputflow-controlisdisabled,inputflow-controlisdisabled Outputqueue:(Urgentqueue:Size/Length/Discards)0/50/0 Outputqueue:(Protocolqueue:Size/Length/Discards)0/500/0 Outputqueue:(FIFOqueuing:Size/Length/Discards)0/75/0 Last300secondsinputrate0.00bytes/sec,0.00packets/sec Last300secondsoutputrate0.00bytes/sec,0.00packets/sec Input:406packets,57174bytes,406buffers 218broadcasts,0multicasts,0pauses
下图为某企业网络组建网络拓扑图
下图为某企业网络组建网络拓扑图,接入层采用二层交换机S2026,汇聚和核心层使用两台三层交换机S3760A和S3760B,网络边缘采用一台路由器RSR20用于连接到外部网络,另一台RSR20路由器是其子公司的网络。 为了提高网络的安全性、可靠性、可用性,需要配置MSTP、OSPF、RIP、VRRP、ACL、CHAP、NAT功能 1、 基本配置 a) 在所有网络设备配置IP地址; b) 在交换设备上配置VLAN信息; 2、 路由协议配置 a) 配置静态路由或默认路由; b) 配置OSPF路由协议; c) 配置RIPv2路由协议; d) 配置路由重分发,实现全网互通; 3、 MSTP协议配置 a) 配置MSTP协议,创建二个MSTP实例:Instance10、Instance20;其中,Instance10包括:VLAN10、VLAN20,而Instance20包括:VLAN30、VLAN40; b) 设置S3750-A交换机为instance10的生成树根,是instance20的生成树备份根; c) 设置S3750-B交换机为instance20的生成树根,是instance10的生成树备份根; 4、 VRRP协议配置 a) 创建四个VRRP组,分别为group10、group20、group30、group40 b) 配置是VLAN10、VLAN20活跃路由器,是VLAN30、VLAN40的备份路由器; c) 配置S3750-B是VLAN30、VLAN40活跃路由器,是VLAN10、VLAN20的备份路由器; 5、 链路聚合配置 a) 将S3750-A的FA0/23-24设置为链路聚合,并将了聚合接口设置trunk; b)
中小型企业的网络设计
四川师范大学成都学院移动通信方向课程设计中小型企业网络的设计 学生姓名X X 学号XXXXX 所在学院通信工程学院 专业名称通信工程 班级XXXXX 指导教师XXX 成绩 四川师范大学成都学院 二○一五年六月
课程设计任务书
中小型企业网络设计 内容摘要:互联网技术发展到现在已经相当成熟,当今互联网已经成为全世界最大最全的信息中心,越来越多的人利用互联网来解放他们的生活,他们利用互联网来完成几乎所有现实生活中的事物。本设计结合一家中小企业网络的实际需求,通过对网络架构组建方案的设计、基于安全的网络配置方案设计、服务器架设方案设计、企业网络高级服务设计等方面的仿真研究,详尽的探讨了对该网络进行规划设计时遇到的关键性问题,以及网络相关的服务。该设计主要包括需求分析、拓扑结构设计、IP 地址规划方案设计、服务器架设和网络安全设计等内容。 关键词:网络配置中小企业网络安全 Small and medium-sized enterprise network design Abstract:It has been quite mature Internet technology development, the Internet has become the world's largest most complete information center, more and more people use the Internet to liberate their lives, they use the Internet to finish almost all the things in real life. This design combined with the actual needs of a small and medium-sized enterprise network, by means of network architecture construction scheme of the design, program design based on the security of network configuration, server design, senior enterprise network service design simulation, detailed discusses on the network planning and design of key issues, and the network related service. The design mainly includes the needs analysis, topology design, IP address planning design, design of server and network security, etc. Keywords:The network configuration Small and medium-sized enterprises Network security
网络实例综合实验之网络配置拓扑图
网络实例综合实验 一、拓扑图: 配置: 二、三层交换机SWA配置快播,qvod,百度影音,下载: https://www.wendangku.net/doc/5912090638.html,/ SWA(config)#vlan 10 SWA(config)#vlan 20 SWA(config)#vlan 30 SWA(config)#vlan 40 SWA(config)#vlan 50 SWA(config)#vlan 60 SWA(config)#spanning-tree
SWA(config)#spanning-tree mst configuration SWA(config-mst)#name ruijie SWA(config-mst)#reversion 1 SWA(config-mst)#instance 10 vlan 10,20,30 SWA(config-mst)#instance 20 vlan 40,50,60 SWA(config)#spanning-tree mst 10 priority 4096 SWA(config)# spanning-tree mst 20 priority 8192 SWA(config)#interface range fa0/12-13 SWA(config-if-range)#portgroup 1 on SWA(config)#interface agg 1 SWA(config-if)#switchport mode trunk SWA(config)#int vlan 10 SWA(config-if)#ip add 172.16.1.1 255.255.255.0 SWA(config)#int vlan 20 SWA(config-if)#ip add 172.16.2.1 255.255.255.0 SWA(config)#int vlan 30 SWA(config-if)#ip add 172.16.3.1 255.255.255.0 SWA(config)#int vlan 40 SWA(config-if)#ip add 172.16.4.1 255.255.255.0 SWA(config)#int vlan 50 SWA(config-if)#ip add 172.16.5.1 255.255.255.0 SWA(config)#int vlan 60 SWA(config-if)#ip add 172.16.6.1 255.255.255.0 SWA(config)#int vlan 10 SWA(config-if)#vrrp 10 ip 172.16.1.254 SWA(config-if)#vrrp 10 pri 120 SWA(config)#int vlan 20 SWA(config-if)#vrrp 20 ip 172.16.2.254 SWA(config-if)#vrrp 20 pri 120 SWA(config)#int vlan 30 SWA(config-if)#vrrp 30 ip 172.16.3.254 SWA(config-if)#vrrp 30 pri 120 SWA(config)#int vlan 40 SWA(config-if)#vrrp 40 ip 172.16.4.254 SWA(config)#int vlan 50 SWA(config-if)#vrrp 50 ip 172.16.5.254
TL-ER6520G某企业网络配置实例 - TP-LINK 服务支持
TL-ER6520G某企业网络配置实例 文章下载: 目录 第一章 某企业的组网需求 (1) 第二章 配置前的准备工作 (3) 2.1 VLAN设置 (3) 2.2 区段和接口设置 (4) 2.3 全局对象设置 (10) 第三章 配置成NAT路由器 (15) 第四章 网络权限及网络安全 (16) 4.1 配置访问规则 (16) 4.2 防ARP欺骗 (20) 4.3 常见攻击防护 (21) 4.4 上网行为管理 (22) 第五章 带宽控制 (24) 第六章 流量均衡 (25) 6.1 流量智能均衡 (25) 6.2 ISP智能选路 (26) 6.3 策略选路 (26) 第七章 出差员工、办事处访问总部资源 (27) 7.1 办事处与总部之间的IPSec VPN (27) 7.2 出差员工使用的PPTP/L2TP VPN (29) 第八章 其他功能配置 (31) 8.1 开放内部服务器 (31) 8.2 企业内部公告发布 (32) 8.3 网络流量统计 (32) 8.4 配置监控服务器 (32) 第一章 某企业的组网需求 TL-ER6520G是TP-LINK公司推出的双核全千兆企业VPN路由器产品,主要定位于企业、机关单位、园区、连锁酒店等需要高速互联网接入、上网行为管理和远程安全通信的网络环境。 下面我们来看以TL-ER6520G路由器为核心设备的典型组网方案。 某企业需要对其现有的网络进行重新规则和布置,组建一个安全、稳定、高效的办公网络环境,企业的详细需求方案如下: 1. 企业从电信、联通各办理30M的光纤宽带,联通线路的宽带接入方式为PPPoE拨号,电信线路的宽带接入方式为静态IP地址;要求实现"电信走电信,联通走联通",内网所有电脑从电信线路访问外网的8080端口; 2. 企业内部有研发、市场、人事三个部门,研发部又分为软件、硬件、测试三个小部门;企业为信息安全考虑,要求各部门使用不同的网段,并且不允许相互访问;市场部、人事部可全天候访问外网,研发部只能在非工作时间访问外网;企业有两个服务器群,服务器群1位于广域网区(DMZ区),对广域网、市场部、人事部全天候开放;服务器群2位于工作区,仅对企业内部员工开放;企业要求需要防范来自企业内部的ARP欺骗、DOS等常见攻击,并禁止企业员工使用P2P类软件、金融类软件、视频类软件、游戏类软件。 3. 为方便各地办事处、分公司安全的将业务数据实时传输到总部服务器,各地办事处、分公司需要与总部建立站点到站点的VPN隧道;为方便出差员工安全的访问总部服务器,需要建立PC到站点模式的VPN隧道; 4. 为合理利用带宽资源,要求对各个部门所使用的带宽进行限制; 5. 企业服务器群1上有两台WEB服务器(80端口),要求实现访问不同WAN口映射到不同服务器;
中小型企业网络规划设计方案
湖南工业职业技术学院工程项目实践报告 项目名称:企业网络规划与设计院(系):信息工程系 专业:计算机网络 班级:s2011-2-22 学生姓名:朱佳才 指导教师:黄晗文 完成时间:2014.3.23
目录 一、工程概况 ..................................................................................... 错误!未定义书签。 二、需求分析 (2) 1、用户要求 (2) 2、稳定可靠需求 (3) 三、网络系统设计规划 (4) 1、网络设计总体目标 (4) 2、网络IP 地址规划及VLAN划分 (5) 3、网络方案设计拓扑图 (5) 4、网络平面设计图 (6) 5、网络方案设计 (6) 6、设备选择 (7) 7、网络安全系统设计 (7) 四、网络布线系统设计 (8) 1、布线系统总体结构设计 (8) 五、主要代码 (8) 六、总结 (9)
一.工程概况 公司有一栋独立大楼,高4层,每层面积2000平方米。由研发技术部(成员60人,分成硬件(25)和软件(35)2大部门)、生产部(主要产品是手持电子产品,110人,管理人员10人)和市场部(30个销售,10个工程师)组成。还有一般企业都有的后勤部门和财务部门等。公司管理层组成:董事会,1个总经理,3个副总经理。3个总监。 二.需求分析 1. 用户需求 公司网络需求主要有以下几点: (1).1层为市场部和后勤部; 2层为生产部; 3层为研发技术部; 4层为公司内部管理人员办公室和财务部。 (2). 各部门都有各自独立的文件服务器,且文件服务器通常不允许跨 部门访问。.但管理层办公室可以访问四个部门的文件服务器。 (3). 公司内部的计算机间采用公司内部的电子邮件系统和IM(即时 通讯)系统联系。 (4). 公司内部网络与Interner之间采用10M光纤接入。 (5). 公司内部架设Web服务器,对Internet提供公司的形象和电子商 务服务。
Cisco 2811企业网络配置案例
Cisco 2811企业网络配置案例 网络, Cisco, 企业 一、DHCP服务 1.全局地址池 地址池名称:global 地址段:192.168.0.0 255.255.255.0 默认网关:192.168.0.1 DNS:202.106.0.20,202.106.116.1 地址租期:3天 ip dhcp pool global network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 202.106.0.20 202.106.116.1 lease 3 2.固定地址池 为每个员工建立一个DHCP 地址池,并根据员工姓名对地址池进行命名,根据MAC地址进行IP地址分配,如: ip dhcp pool staffnameA host 192.168.0.11 255.255.255.0 client-identifier 0108.0046.0ef8.ae ip dhcp pool staffnameB host 192.168.0.12 255.255.255.0 client-identifier 0100.115b.518c.a2 注意,在MAC地址前面多了个01,然后每4位用一个点分隔。 3.未分配的IP地址 地址段:192.168.0.60 到192.168.0.254 ip dhcp excluded-address 192.168.0.60 192.168.0.254 二设置IP地址与MAC地址绑定 绑定特权IP地址与MAC地址的关系,保证特权IP不被占用。 arp 192.168.0.2 0000.e897.444c ARPA arp 192.168.0.3 0000. 00e8.9734 ARPA ………… 绑定其他IP地址与MAC地址的关系,保证IP不被盗用。 arp 192.168.0.9 ef00.abcd.4444 ARPA ………… ………… arp 192.168.0.254 ef00.abcd.4444 ARPA 三、PAT转换 访问控制列表100的策略: 允许192.168.0.2、192.168.0.3、192.168.0.4、192.168.0.5、192.168.0.6、192.168.0.7、192.168.0.8七个特权地址任意访问公网。 允许其他地址访问MSN、QQ、MAIL、SKYPE、DNS、网站:60.28.30.73、61.135.150.104、61.135.150.98等。 允许任意用户使用PING命令。 四、PPTP配置 建立用户abc,bcd,允许使用PPTP功能。打开AAA服务,实现本地认证。 username abc password abc username bcd password bcd 为VPN用户指定DNS ip name-server 202.100.0.20 ip name-server 202.106.116.1 打开AAA服务 aaa new-model aaa authentication login default local aaa authentication ppp default local