计算机网络与局域网组建

1. 计算机网络与局域网组建 项目十、网络访问 《计算机网络与局域网组建》课程组

2. 情景引入 办公楼进行网络改造，要求将楼中所有办公室联网，并满足如下要求： 1）能对网络设备进行相关配置，提供方便高效的网络服务。 2）院长办公室电脑（3台）不可被内网用户访问且不能互访。 3）财务处电脑（1台）只连接内网而不能访问互联网。 4）档案室电脑（1台）只可访问ftp服务器。 5）其他电脑内外网均能正常访问。 6）设置有关安全策略，保障网络正常运行，如防ARP攻击等。

3. 内容概要 用户需求分析 网络方案设计 网络方案实施 效果评价

4. 任务一、IP地址及VLAN划分

5. 任务一、IP地址及VLAN划分

6. 任务二、路由器选型及配置 1.本例选择CISCO 2811模块化路由器 参数如下： 局域网接口：2个 传输速率：10/100Mbps 产品内存：DRAM：最大760MB，缺省256MB 闪存：最大128MB，缺省64MB

7. 任务二、路由器选型及配置 2.路由器的配置 步骤1：登录路由器。 利用console电缆连接路由器Console口，起动超级终端，实现pc与路由器的连接。 步骤2：设置路由器名。 命令行如下： Router> enable Router#configure terminal Router（config）#hostname Router2811 Router 2811（config）# 步骤3：设置路由器接口，沟通VLAN间的通讯。 仅使用1个以太口，实现为多个VLAN服务，命令行如下。 Router2811（config）#interfaces s0∕0 Router2811（config-if）#IP address 218.62.56.214 255.255.255.0 Router2811（config-if）#no shutdown Router2811（config-if）#exit Router2811（config）#interfaces e0∕0 Router2811（config-if）#no shutdown

8. 任务二、路由器选型及配置 Router2811（config）#interfaces e0∕0.1；创建子接口 Router2811（config-subif）#encapsulation dot 1q1native； Router2811（config-subif）#IP address 192.168.1.254 255.255.255.0 Router2811（config-if）#interfaces e0∕0.2 Routec2811（config-subif）#encapsulation dot 1q 2 Router2811（config-subif）#IP address 192.168.2.254 255.255.255.0 Router2811（config-if）#interfaces e0∕0.3 Router2811（config-subif）#encapsulation dot 1q 3 Router2811（config-subif）#IP address 192.168.3.254 255.255.255.0 Router2811（config-if）#interfaces e0∕0.4 Router2811（config-subif）#encapsulation dot 1q 4 Router2811（config-subif）#IP address 192.168.4.254 255.255.255.0 Router2811（config-if）#interfaces e0∕0.5 Router2811（config-subif）#encapsulation dot 1q 5 Router2811（config-subif）#IP address 192.168.5.254 255.255.255.0

9. 任务二、路由器选型及配置 步骤4：配置默认路由，使内网计算机可以访问外网。 默认路由是当路由表不包含目的地址的路径时，制订一个网关以供使用，由于其目标网络地址和子网掩码都为0，因此又叫全零路由，命令行如下： Router 2811（conig）#IP route 0.0.0.0.0.0.0.0 218.62.56.215 步骤5：保存配置信息。 命令行：Router2811#copy running-config startup-config

10. 任务三、安全策略 1.路由器的安全策略 阻止查看路由器的诊断信息。 命令：no service tcp-small-servers no service udp-small-servers。 阻止查看路由器的当前用户列表。 命令：no servicefinger。 关闭CDP服务。 命令：no cdp running。 阻止路由器接收带源路由标记的包，将带路由选项的数据流丢弃。 命令：no IP source-route。 关闭路由器广播包的转发。 在每个端口命令：no IP directed-broadcast。

11. 任务三、安全策略 2.配置交换机预防ARP欺骗 利用CISCO的DAI(Dynamic ARP Inspection)，在交换机地上提供IP地址和MAC地址的绑定，并动态简历绑定关系。 IOS全局命令： IP DHCP snooping VLAN 100,200 no IP DHCP snooping information option IP DHCP snooping IP arp inspection VLAN 100,200 IP arp inspection log-buffer entries 1024 IP arp inspection log-buffer logs 1024 interval 10 IOS接口命令： no IP DHCP snooping trust IP arp inspection trust IP arp inspection limit rate 15

12. 任务四、网络访问控制 1.实现财务处电脑连接内网而不能访问互联网。 Router2811(config)#access-list 101 deny IP host 192.168.3.1 host 218.62.56.214 Router2811(config)#access-list 101 permit IP any any Router2811(config)#interface e0/0.3 Router2811(config-subif)#IP access-group 101 in

13. 任务四、网络访问控制 2.设置经理办公室不可被内网用户访问，且不能相互访问。 Router2811(config)#access-list 102 deny IP 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255 Router2811(config)#access-list 102 deny IP 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 Router2811(config)#access-list 102 deny IP 192.168.5.0 0.0.0.255 192.168.4.0 0.0.0.255 Router2811(config)#access-list 102 permit IP any any Router2811(config)#access-list 103 permit IP any host 192.168.4.254 Router2811(config)#access-list 103 permit IP any any Router2811(config)#interface e0/0.4 Router2811(config-subif)#IP access-group 102 in Router2811(config-subif)#IP access-group 103 out

14. 任务四、网络访问控制 3．设置档案室电脑只可访问特定的ftp服务器。 Router2811(config)#access-list 103 permit tcp host 192.168.5.1 host 220.110.18.117 eq 21 Router2811(config)#interface s0 Router2811(config-if)# IP access-group 103 in

15. 任务五、效果评价 • 个人评价 • 小组评价 • 教师评价

16. Thank You !