公司局域网络组建设计与方案(三)

  radio 1

   vap-profile wifi02 wlan 1

  radio 2

   vap-profile wifi02 wlan 1

 ap-group name ap-group3

  radio 0

   vap-profile wifi03 wlan 1

  radio 1

   vap-profile wifi03 wlan 1

  radio 2

   vap-profile wifi03 wlan 1

\\绑定AP

ap-id 0 type-id 60 ap-mac 00e0-fcfa-2350 ap-sn 2102354483104D31B92A

  ap-name ap-0

  ap-group ap-group1

 ap-id 1 type-id 60 ap-mac 00e0-fcc3-2490 ap-sn 2102354483104B62F72F

  ap-name ap-1

  ap-group ap-group2

 ap-id 2 type-id 60 ap-mac 00e0-fc06-3c10 ap-sn 210235448310754D7730

  ap-name ap-2

  ap-group ap-group3

4.3外网配置

4.3.1外网需求

针对某些需要外网的以及对其他部门的网络限制：

允许办公人员规定上班时间能上网研发部门不允许上网，可以访问分部资料。

4.3.2外网IP配置

外网两条专线接入

总部

位置 IP网段

公网地址电信 2.2.2.0/29

公网地址联通 3.3.3.0/29

模拟公网 4.4.4.0/24

分部

公网地址 5.5.5.0/29

4.3.3外网路由器配置

AR1

\\创建上班时间

time-range sbxw 14:00 to 17:30 working-day            

 time-range sbsw 08:00 to 12:00 working-day

\\创建nat转换ACL匹配上班时间

acl number 2000  

 rule 5 permit source 192.168.10.0 0.0.0.255  time-range sbsw

 rule 10 permit source 192.168.151.0 0.0.0.255

interface GigabitEthernet0/0/0

 ip address 2.2.2.2 255.255.255.248 

 nat outbound 2000

AR2

\\创建上班时间

time-range sbxw 14:00 to 17:30 working-day            

 time-range sbsw 08:00 to 12:00 working-day

\\创建nat转换ACL匹配上班时间

acl number 2000  

 rule 5 permit source 192.168.10.0 0.0.0.255 time-range sbsw

 rule 10 permit source 192.168.151.0 0.0.0.255 

\\创建IPsec匹配流

acl number 3000  

 rule 5 permit ip source 192.168.88.0 0.0.0.255 destination 172.16.101.0 0.0.0.2

55 

rule 10 permit ip source 192.168.20.0 0.0.0.255 destination 172.16.103.0 0.0.0.2

55  

\\配置IPsecVPN

ipsec proposal aa

#

ipsec policy bb 10 manual

 security acl 3000

 proposal aa

 tunnel local 3.3.3.2

 tunnel remote 5.5.5.2

 sa spi inbound esp 123456

 sa string-key inbound esp simple 234567

 sa spi outbound esp 123456

 sa string-key outbound esp simple 234567

interface GigabitEthernet0/0/1

 ip address 3.3.3.2 255.255.255.248 

 ipsec policy bb

 nat outbound 2000

AR3

#

\\创建IPsec匹配流

acl number 3000  

 rule 5 permit ip source 172.16.101.0 0.0.0.255 destination 192.168.88.0 0.0.0.2

55 

rule 10 permit ip source 172.16.103.0 0.0.0.255 destination 192.168.20.0 0.0.0.2

55

\\配置IPsecVPN

ipsec proposal aa

#

ipsec policy bb 10 manual

 security acl 3000

 proposal aa

 tunnel local 5.5.5.2

 tunnel remote 3.3.3.2

 sa spi inbound esp 123456

 sa string-key inbound esp simple 234567

 sa spi outbound esp 123456

 sa string-key outbound esp simple 234567 

interface GigabitEthernet0/0/0

 ip address 5.5.5.2 255.255.255.248 

 ipsec policy bb

至此全部配置完成。

参考献文

[1]  华为技术有限公司 HCNA网络技术实验指南

[2]  华为技术有限公司 HCNP网络技术实验指南

[3]  网络工程师教程第4版

致谢

    毕业设计已接近尾声，由于我经验的缺乏，导致出现不完善方面，在此向所有在我设计过程中给予过我帮助与关怀的朋友表示深深的感谢！

总结

    在这次论文撰写，把平时学习中学到的知识运用了到其中。同时也加深了我对平时学习中所没有接触过的知识的一个了解。从而提升了自己各方面的能力使我收益非浅，能够初步的从网络的组建进行设计与规划，把学到的网络技术运用在企业网络中，其中包括IP地址的编制、VLAN划分、OSPF、NAT、VRRP、MSTP等技术。虽然我开始时遇到了很大困难，但是通过平时的学习和老师知到，最终都能够解决。 

由于自身水平的原因以及时间的关系，对企业网技术的研究还有不尽完善的地方，以后的工作中将对存在的问题及有待完善的地方进行更深入的研究和分析。