第5单元多园区网络的互联案例.pptVIP

提纲 案例背景 案例拓扑结构 技术需求分析 技术实验报告 总结 案例背景 三江公司最近要建设一个内部网，在网络核心使用一台多层交换机，所有的二层交换机为可管理的接入交换机。 在公司内部使用了vlan技术，按照功能的不同分为了4个vlan。分别是总经理办公室（vlan3）、财务部（vlan4）、市场部(vlan5)、技术支持部（vlan6）。 出口路由器上FRA1/0接公司内部服务器，专门为总经理及财务部人员所用。 案例背景(续) 公司老总提出以下需求 1、接入交换机每个端口不能同时接入员工及其他的非法主机 2、接入的主机能够保证唯一性 3、对于服务器的访问，只有总经理办公室内的员工和财务人员能够有权限，其他人无此权限。 4、在保证以上情况下，公司内部员工可以互相通过网络互相交流。 提纲 案例背景 案例拓扑结构 技术需求分析 技术实验报告 总结 案例拓扑结构 提纲 案例背景 案例拓扑结构 技术需求分析 技术实验报告 总结 技术需求分析 需求1：接入交换机每个端口不能同时接入员工及其他的非法主机 分析1：用户需要保证交换机接口下接入主机的单一性，每个接入端口只能接入一台主机，可以通过S2126交换机的安全端口属性规定每个接入端口下的接入主机数量。 需求2：接入的主机能够保证唯一性 分析2：接入主机必须能够确认身份唯一性，可以采 用主机IP地址＋MRAC地址在交换机端口下的绑定解决。 技术需求分析(续) 需求3：对于服务器的访问，只有总经理办公室内的员工和财务人员能够有权限，其他人无此权限。 分析3：只允许vlan3与vlan4内部主机访问服务器，可以采用扩展访问控制列表实现。 需求4：在保证以上情况下，公司内部员工可以互相通过网络互相交流。 分析4：能够保障vlan间路由的实现及核心交换机与路由器之间路由信息的正常交互。 提纲 案例背景 案例拓扑结构 技术需求分析 技术实验报告 总结 技术实验报告-地址表 技术实验报告-需求1 需求1:接入交换机每个端口不能同时接入员工及其他的非法主机 以S21jishu为例: S21jishu #configure terminal S21jishu(config)#interface range fastethernet 0/1-23 S21jishu(config-if-range)#switchport port-security S21jishu(config-if-range)#switchport port-secruity maximum 1 S21jishu(config-if-range)#switchport port-secruity violation shutdown 技术实验报告-需求2 需求2:接入的主机能够保证唯一性 以S21jishu F0/3接口为例 S21jishu #configure terminal S21jishu(config)#interface fastethernet 0/3 S21jishu(config-if)#switchport port-security S21jishu config-if)#switchport port-security mac-address 0006.1bde.13b4 ip-address 192.168.6.55 技术实验报告-需求3 需求3:对于服务器的访问，只有总经理办公室内的员工和财务人员能够有权限，其他人无此权限。 RA上采用扩展访问控制列表禁止vlan5与vlan6的主机访问服务器 RA(config)#access-list 100 deny ip 192.168.5.0 0.0.0.255 host 192.168.100.100 RA(config)#access-list 100 deny ip 192.168.6.0 0.0.0.255 host 192.168.100.100 RA(config)#access-list 100 permit ip any any RA(config)#interface fastethernet 1/0 RA(config-if)#ip access-group 100 in 技术实验报告-需求4 需求4:在保证前三点需求满足的情况下，公司内部员工可以互相通过网络互相交流。 核心交换机上启用vlan间路由，同时与RA启用RIP协议发布路由信息，各接入交换机配置地址，以备远程管理使用。 Switch-L3(config)#enable secret