中小企业组网步骤.doc

组网步骤： 准备工作：在拓扑图上规划好IP地址和VLAN。 配置RTA（对外路由器） 根据ISP提供的IP网段配置外网接口，然后用PING命令测试外网网关是否通 配置内网NAT相关ACL（访问控制列表） 在外网接口中用NAT ACL号 OUTBOUND 命令全能NAT 配置内网接口IP地址，然后用PING –A 内网接口IP地址 外网网关来测试是否能正确连通 在内网接口用NAT SERVER命令映射内部WWW服务器到外网IP（只映射WWW服务即80号端口） 使用DNS resolve命令进行DNS解析，指向路由器的外网真实DNS 使用DNS MAP 命令为内网WEB服务器做域名解析 使用SAVE命令保存配置 配置核心交换机（S1：根据拓扑选用3900三层交换机） 根据要求划分三个VLAN，分别用作公共通道（一般应为VLAN1）、部门A和部门B通信 给三个VLAN接口（即用nterface vlan Vlan号命令进入）配置相应IP地址，注意公共通道部分使用相同IP网段，部门A自己分配一个IP网段，部门B自己也分配一个IP网段，公共通道部分使用的网段包括与路由相连的内接口） 配置静态路由IP RO 0 路由器内网接口IP地址，即配置内部网络访问外网的缺省路由。 使用DNS proxy命令进行DNS中继，指向路由器的内网接口地址 由于三层功能已经起作用，为防止三层出现两个VLAN区域互通需创建ACL在核心交换机中限制两个部门VLAN区域不通，由于涉及判断目的地址所以应配置高级访问控制列表。 把ACL分别应用在两个上行口（即从下面二层交换机来的接口）的INBOUND方向上。 继续设置两个上行口为TRUNK口，并用PORT TRUNK PERMIT VLAN 1 部门A vlan号 部门B vlan号 分别配置接入层交换机（S2和S3选用2000系列二层交换机） 分别配置S2与S3的Interface vlan 1（假设公共通道使用VLAN1）的IP地址为公共通道IP网段的地址（这样做是为了实现远程管理） 按拓扑要求划分VLAN，每个交换机留下一个接口为TRUNK口 配置保留的TRUNK口为PORT TRUNK PERMIT VLAN 1 部门A vlan号 部门B vlan号 配置部门主机： 分别设置部门的主机的IP地址到部门所在VLAN地址段，并配置网关为三层中的相应所属VLAN接口的IP地址，DNS与网关相同 由本区网关开始逐步向外PING通。 参考配置： 假定ISP分给以下数据其中一个网段：DNS:53 A:4-67 网关：5 B:8-71 网关：9 C:2-75 网关：3 D:6-79 网关：5 比如IP段：4－67 网关：5 DNS: 规划内网IP段如下： 公共网段：/24 其中RTA为/24 S1为 S2：/24 S3:/24 Web服务器IP：/24 域名为： 部门A网段:/24 网关：/24 部门B网段：/24 网关：/24 配置RTA： sysname Wang_Guan acl number 2000 rule permit source 55 rule permit source 55 acl number 3000 rule deny ip source 55 destnation 55 rule deny ip source 55 destnation 55 interface e0/0 ip address 6 52 nat outbound 2000 nat server protocol tcp global 6 www inside www interface e0/1 ip address 24 firewall packet-filter 3000 inbound ip route-static 0 5 ip route-static 24 ip route-static 24 dns server dns resolve nat dns-map 6 80 firewall enable 用PING测试对外网网关应该都能通，测试通过用SAVE进行保存。 配置S1 （用1－8号口用于部门A主机相连，不够接S2中1－8号口，9－16号接部门B主机，不够接S3中9－15号口，23、24号口分别接S2和S3的16号口，17－22号口接路由器和服务器） sysname He_Xin vlan 20 port e1/0/1 to e1/0/8 vlan 30 port e1/0/9 to e1/0/16 interface vlan 1 ip address interface vlan 20 ip address int