某企业IPv6网络的构建毕业设计.doc

《某企业IPv6网络的构建毕业设计.doc》由会员分享，可在线阅读，更多相关《某企业IPv6网络的构建毕业设计.doc（36页珍藏版）》请在沃文网上搜索。

1、网络设备配置目录1.网络综合分析31.1企业项目背景31.2需求分析32.网络设计32.1设计原则32.2设计思路42.3网络拓扑结构42.4 VLAN及地址规划63.网络设备配置73.1 IPv4广域网83.2 企业IPv6网络103.2.1 VLAN与IP地址基本配置103.2.2 DNS和WEB服务器的搭建163.2.3 企业内部IPv6网络的通信183.2.4 内部IPv6网络到Internet的访问193.3 企业IPv4网络203.3.1 VLAN与IP地址基本配置213.3.2 DHCP服务器233.3.3 无线接入点配置243.3.4 企业内部IPv4网络的通信253.3.5

2、内部Ipv4网络到Internet的访问273.4 Internet到内网服务器的访问283.5 访问控制284.通信测试294.1网络连通性测试294.2访问控制测试355.项目总结36参考文献：36- 33 -某企业IPv6网络的构建摘要：随着信息时代的快速发展，网络已与生活密不可分，电子商务、视频会议等在网络上得到了广泛应用。对企业来说，建设一个“安全可靠、性能卓越、管理方便”的网络已经成为现代竞争不可缺失的一部分。IPv4协议是目前因特网网络互联主要采用的协议，在互联网的发展历史上起着举足轻重的作用。随着时代的发展，基于IPv4的网络发展受到了其自身设计的限制，这种限制最主要体现在现在

3、可被分配给用户的IP地址的数量急剧减少。同时，全球拥有计算机用户的人数呈线性增长，新增加的计算机连入互联网的需求不断扩大，极大地消耗了IP地址资源。这种矛盾的出现已经严重的影响了互联网的进一步发展，因此，IETF（互联网工程任务组）设计了地址空间容量更大、部署更加灵活、安全性更高的新版本IP协议IPv6。中国作为一个拥有过亿计算机的国家，IP地址资源短缺的现象越发凸显。而对于企业来说，建设一个合理的IPv6网络，不仅能够在不久的将来快速接入到骨干网，还能为企业节约成本。建设一个合理的IPv6网络能够高瞻远瞩，还可以提高企业的核心竞争力。本论文以某企业IPv6网络的构建为背景，运用计算机网络工作

4、原理和计算机网络技术等，进行合理的规划，以达到安全、实用、可靠的目标。本论文对该企业的需求进行分析，运用双栈、NAT-PT等IPv6技术，实现企业网络对IPv4网络和IPv6网络的兼容性，从而实现与骨干网的快速融接。运用访问控制等技术，实现企业网络的安全和网络限制。本文参照了当前诸多企业局域网和校园网络方面的相关组网形式和成熟的网络技术，该方案基本达到了预期的目标.关键词：IPv6 双栈 企业网络 IPv4 IP地址 1.网络综合分析1.1企业项目背景随着信息技术在现代社会应用的逐步加深，某企业需要搭建一个IP网络，来实现企业内部对网络的需求，并搭建一个企业网门户网站，用来推销自己，提高知名度

5、。考虑到现在的互联网形式，该企业希望能在不久的将来，即IPv6网络到来时，不用做大的改动就能实现与互联网的联通。该网络也能实现与目前的互联网连接，实现Internet访问。同时该企业考虑到无线设备的普及，需要搭建一个无线接入点来满足需求。该企业要求搭建的网络安全、可靠、快速，其中财务部门不提供互联网服务，其他部门也不能访问财务部，但财务部能访问其他部门。该企业有三个部门，财务部、管理部和市场部。该企业申请了一段2001:/64的IPv6地址和一个202.101.1.2/24的IPv4公网地址。1.2需求分析搭建一个IPv6网络，兼容IPv4；实现企业网络与IPv4骨干网的连接；公网PC对企业服

6、务器的访问；财务部和其它部门进行访问控制；网络存在链路冗余，安全、可靠、快速。网络设计2.网络设计2.1设计原则*实用性*先进性*易维护性 *易管理性*安全性*高带宽，高效率*可扩展性*开放性与标准化原则*可靠性原则2.2设计思路采用标准化的设计规范，合理的进行网络设计，达到节约成本和高效网络的目的。 考虑到该企业需要不久的将来要接入IPv6网络，目前也要使用IPv4网络，所以采用双栈技术，实现企业内部IPv4网络与IPv6网络的共存。搭建一个无线接入点，解决如今快速增长的无线设备的网络访问，同时方便、快捷。在出口路由器上使用PAT技术使企业IPv4网络与互联网进行通信，同时使用动态NAT-P

7、T技术实现企业IPv6网络实现与互联网的联通。为了提高安全性，把财务部和服务器所在区域接入到核心层交换机上，把管理部、市场部、以及无线接入点所在区域接入到汇聚层交换机上。把汇聚层交换和核心层交换之间进行链路聚合，来提高网络带宽。服务器所在的接入层交换机进行MAC绑定，来提高服务器的安全性。用动态OSPF协议和静态路由相结合，来实现外网访问服务器和内网访问服务器、以及内网访问外网所走的不同路径，提高网络效率，同时做到一个链路冗余的作用。采用访问控制等技术，提高了企业内部网络的安全性，同时对财务部进行访问控制。2.3网络拓扑结构根据设计原则和设计思路可以得到，某企业IPv6网络的拓扑图如图1：图1

8、 某企业IPv6网络的拓扑图由于思科模拟器的三层交换机对Ipv6部分协议的支持性不足(如RIPng、OSPF等)，所以三层交换机采用一台路由器和一台二层交换代替。如图2、图3所示，二层交换实现三层交换的链路层功能，路由器实现三层交换的网络层功能，效果等同于一台三层交换机。 图2 三层交换图 图3 交换路由替代三层交换图所以，某企业Ipv6网络的拓扑图等同于下图4：图4 某企业Ipv6网络拓扑图22.4 VLAN及地址规划IP地址规划如下表1：表1：IP地址规划表设备接口IP-V4地址IP-V6地址财务部PCvlan10192.168.1.0/242001:1000:0:0:0/68管理部PCv

9、lan20192.168.2.0/242001:2000:0:0:0/68市场部PCvlan30192.168.3.0/242001:3000:0:0:0/68服务器PCvlan40192.168.4.0/242001:4000:0:0:0/68Internet DNS202.101.2.3/24Internet PC202.101.2.2/24忽略此处202.101.2.4/24RV4f0/0202.101.2.1/24RV4s0/1/1202.101.1.1/24RV6001s0/1/1202.101.1.2/24RV6001s0/1/0192.168.7.1/242001:D000:0:

10、0:1/68RV6001f0/0192.168.6.2/242001:6000:0:0:2/68RV6002s0/1/0192.168.7.2/242001:D000:0:0:2/68RV6002f0/0192.168.4.2/242001:4000:0:0:2/68DHCPv4192.168.4.3/24Web/Dns192.168.4.4/242001:4000:0:0:4/68RSW001f0/0192.168.8.1/242001:7000:0:0:1/68RSW001f0/0.10192.168.1.1/242001:1000:0:0:1/68RSW001f0/0.40192.168

11、.4.1/242001:4000:0:0:1/68RSW001f0/0.60192.168.6.1/242001:6000:0:0:1/68RSW002f0/0192.168.8.2/242001:7000:0:0:1/68RSW002f0/0.20192.168.2.1/242001:2000:0:0:1/68RSW002f0/0.30192.168.3.1/242001:3000:0:0:1/68RSW002f0/0.50192.168.5.1/24V4-APInterent192.168.5.2/24V4-APLAN192.168.100.0/24 交换机接口与对应Vlan的划分如下表2

12、:表2：交换机接口与对应Vlan划分表设备VLAN接口SWV6006vlan40f0/1-/2、f0/23-24SWV6001vlan40f0/2SWV6001vlan60f0/1SWV6001vlan10f0/3SWV6001Trunkf0/4、f0/23-24SWV6002vlan50f0/1SWV6002vlan20f0/2SWV6002vlan30f0/3SWV6002Trunkf0/4、f0/23-24SWV6003vlan20f0/1-24SWV6004vlan30f0/1-24SWV6005vlan10f0/1-24网络设备配置3.网络设备配置目前网络设备主要有交换机、路由器等，

13、本方案对构建的网络进行分离，配置，分离成Ipv4广域网、企业Ipv6网络和企业Ipv4网络，再进行配置，然后进行融合，最后测试通信。3.1 IPv4广域网图5 Ipv4广域网在当今的互联网络，Ipv4网络仍占据着主导地位，骨干网依然采用Ipv4网络，目前在搭建Ipv6网络的同时，依然要考虑到与Ipv4骨干网络的融合。Internet PC的配置IP Address :202.101.2.2Subnet Mask :255.255.255.0Default Gateway :202.101.2.1DNS Server :202.101.2.3Internet Dns服务器的配置与搭建1）IP A

14、ddress :202.101.2.3Subnet Mask :255.255.255.0Default Gateway :202.101.2.12）DNS服务搭建图6 DNS服务搭建忽略此处 HTTP服务器的配置1）IP地址的配置IP Address :202.101.2.4Subnet Mask :255.255.255.0Default Gateway :202.101.2.1 DNS Server :202.101.2.32）HTTP服务搭建图7 HTTP服务搭建RV4路由器的配置配置各接口的IP地址，同时开启OSPF协议来实现网络的联通（默认网络设备在配置时均为(config)#模式

15、下）。RV4配置命令：hostname RV4int f0/0ip address 202.101.2.1 255.255.255.0no shutint s0/1/1ip address 202.101.1.1 255.255.255.0clock rate 64000no shutexitroute ospf 1network 202.101.2.0 0.0.0.255 area 0network 202.101.1.0 0.0.0.255 area 0exit3.2 企业IPv6网络3.2.1 VLAN与IP地址基本配置在局域网中划分vlan的作用：1）限制广播域。广播域被限制在一个va

16、ln内，节省了带宽，提高了网络处理能力。2）增强局域网的安全性。不同vlan内的报文在传输时时相互隔离的，即一个vlan内的用户不能和其他vlan内的用户直接通信，通信需要通过路由器或三层交换机等三层设备才能实现。3）灵活构建虚拟工作组。用vlan可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。4）在企业网中实行vlan的划分，能有助于各个部门的分工，方便管理，同时便于各种针对不同部门的策略的应用。vlan10-PC手动配置vlan10为财务部的PC，IP地址为静态制定vlan10-v6IP Address :2001:1000:0:

17、0:2/68Default Gateway :2001:1000:0:0:1DNS Server :2001:4000:0:0:4SWV6001核心交换(SWV6001二层交换和RSW001路由器)的配置SWV6001为核心层交换机(SWV6001二层交换和RSW001路由器)，此交换机的f0/1口连接到RV6001出口路由器，划入vlan60，f0/2口接入vlan40的接入层交换机，f0/3口接入vlan10的接入层交换机，f0/23-24链路聚合到接入到汇聚层交换机。图8 核心交换1）SWV6001配置命令hostname SWV6001vlan 10exitvlan 40exitvla

18、n 60exitint f0/1swi access vlan 60int f0/2swi access vlan 40int f0/3swi access vlan 10int r f0/23 - 24swi mode trunkchannel-group 1 mode onint f0/4swi mode trunkexit2）RSW001配置命令hostname RSW001int f0/0no shutint f0/0.10encap dot1q 10ipv6 address 2001:1000:0000:0000:1/68no shutint f0/0.40encap dot1q 4

19、0ipv6 address 2001:4000:0000:0000:1/68no shutint f0/0.60encap dot1q 60ipv6 address 2001:6000:0000:0000:1/68no shutexitvlan20-PC和vlan30-PC的配置vlan20为管理部的PC，vlan30为市场部的PC，vlan20与vlan30的Ipv6地址为无状态自动配置地址。注：实际设备中一张网卡可以同时拥有IPv6和IPv4地址,同时为了测试数据测试的便捷，vlan20和vlan30的Ipv6地址暂时设置为手动配置下测试，效果等同于自动配置。1)vlan20-v6IP A

20、ddress :2001:2000:0:0:2/68Default Gateway :2001:2000:0:0:1DNS Server :2001:4000:0:0:42)vlan30-v6IP Address :2001:3000:0:0:2/68Default Gateway :2001:3000:0:0:1DNS Server :2001:4000:0:0:4SWV6002汇聚层层交换(SWV6002二层交换和RSW002路由器)的配置SWV6002为汇聚层交换机(SWV6002二层交换和RSW002路由器)， f0/2口和f0/3口分别连接着vlan20与vlan30的接入层交换机，

21、同时f0/1口连接着无线接入点的V4-AP设备，f0/23-24链路聚合到上层的核心交换机。图9 汇聚层交换机1）SWV6002配置命令hostname SWV6002vlan 20exitvlan 30exitvlan 50exitint f0/1swi access vlan 50int f0/2swi access vlan 20int f0/3swi access vlan 30int r f0/23 - 24swi mode trunkchannel-group 1 mode onint f0/4swi mode trunkexit 2）RSW002配置命令hostname RSW0

22、02int f0/0no shutint f0/0.20encap dot1q 20ipv6 address 2001:2000:0000:0000:1/68no shutint f0/0.30encap dot1q 30ipv6 address 2001:3000:0000:0000:1/68no shutexit 接入层交换机的配置SWV6006为接入层交换机，连接着服务器、核心层交换机和一台路由器，把规划好的接口加入到相应的vlan40中，能提高服务器的安全性。SWV6006配置命令:hostname SWV6006vlan 40exitint r f0/23 - 24swi acces

23、s vlan 40int r f0/1 - 2swi access vlan 40ExitSWV6003、SWV6004、SWV6005分别为相应vlan的接入层交换机，所有接口均对应着相应vlan。SWV6003配置命令：vlan 20exitint r f0/1 - 24swi access vlan 20exitSWV6004配置命令：vlan 30exitInt r f0/1 - 24swi access vlan 30exitSWV6005配置命令：vlan 10exitInt r f0/1 - 24swi access vlan 10exitRV6001出口路由器和路由器RV600

24、2的配置图10 出口路由器和RV6002路由器RV6001出口路由器作为企业网络的出口路由器，f0/0接口连接到核心交换机。RV6002提供了外网到服务器的访问路径，同时作为一条冗余链路，RV6002的f0/0口接入到服务器所在的vlan40中。1）RV6001出口路由的配置hostname RV6001int s0/1/0ipv6 address 2001:D000:0:0:1/68clock rate 64000no shutint f0/0ipv6 address 2001:6000:0:0:2/68no shutexit2）RV6002的配置命令hostname RV6002int s

25、0/1/0ipv6 address 2001:D000:0:0:2/68no shutint f0/0ipv6 address 2001:4000:0:0:1/68no shutexit3.2.2 DNS和WEB服务器的搭建为满足企业的网站搭建，在vlan40中搭建一台含Ipv6地址的Web/Dns服务器，设置网站URL为；忽略此处和忽略此处 。注：由于思科模拟器在进行域名解析时，不能对请求地址为Ipv4地址或Ipv6地址进行自动判断，所以采用2个域名，实际设备支持自动判断，使用一个域名即可。Ip地址配置图11 企业DNS/WEB服务器IP地址配置Dns配置DNS服务器为企业内部DNS服务器，

26、在请求解析的域名未能识别到时，能与Internet DNS建立连接，自动请求广域网上的DNS服务器进行域名解析，以此来实现对互联网上的资源访问。图12 企业DNS/WEB服务器DNS配置Web配置图13 企业DNS/WEB服务器WEB配置3.2.3 企业内部IPv6网络的通信实现企业Ipv6网络的全网通信，由于SWV6002汇聚层交换(RSW002路由器)属于企业内部网络的边界，所以采用默认路由的方式指向核心交换SWV6001(RSW001路由器)。根据规划，企业内部网络对Internet的访问，使用 SWV6001(RSW001)-RV6001的路径，用静态路由的方式进行指定。外网对企业服务

27、器的访问，使用RV6001-RV6002的路径，采用静态路由方式实现。SW06001核心交换(RSW001路由器)的配置int f0/0ipv6 address 2001:7000:0:0:1/68no shutexitipv6 route 2001:2000:0:0:1/68 2001:7000:0:0:2ipv6 route 2001:3000:0:0:1/68 2001:7000:0:0:2ipv6 route :/0 2001:6000:0:0:2SWV6002汇聚层交换（RSW002路由器）的配置int f0/0ipv6 address 2001:7000:0:0:2/68no sh

28、utexitipv6 route :/0 2001:7000:0:0:1RV6001出口路由器的配置ipv6 route 2001:1000:0:0:1/68 2001:6000:0:0:1ipv6 route 2001:2000:0:0:1/68 2001:6000:0:0:1ipv6 route 2001:3000:0:0:1/68 2001:6000:0:0:1ipv6 route 2001:4000:0:0:1/68 2001:D000:0:0:2RV6002路由器的配置ipv6 route :/0 2001:D000:0:0:13.2.4 内部IPv6网络到Internet的访问NA

29、T-PT(Network Address Translation-Protocol)附带协议转换器的网络地址转换器。是一种纯IPv6节点和IPv4节点间的互通方式，所有包括地址、协议在内的转换工作都由网络设备来完成。支持NAT-PT的网关路由器具有IPv4地址池，在从IPv6向IPv4域中转发包时使用,地址池中的地址是用来转换IPv6报文中的源地址的。此外网关路由器需要DNS-ALG和FTP-ALG这两种常用的应用层网关的支持，在IPv6节点访问IPv4节点时发挥作用。图14 出口路由器通过NAT-PT技术中的端口地址重载，实现Ipv6网络到Ipv4网络的出口做地址映射，实现Ipv6网络到Ip

30、v4网络的访问。RV6001出口路由的配置：NAT-PT配置命令：int s0/1/1ipv6 natint s0/1/0Ipv6 natint f0/0ipv6 natexitipv6 access-list acl6permit ipv6 any any sequen 2002 exitipv6 v6v4 source list ipv6 int s0/0/1ipv6 nat prefix 2002:/963.3 企业IPv4网络双栈协议：实现IPv6结点与IPv4结点互通的最直接的方式是在IPv6结点中加入IPv4协议栈。具有双协议栈的结点称作“IPv6/v4结点”，这些结点既可以收发I

31、Pv4分组，也可以收发IPv6分组。它们可以使用IPv4与IPv4结点互通，也可以直接使用IPv6与IPv6结点互通。双栈技术不需要构造隧道，隧道技术中要用到双栈。 IPv6/v4结点可以只支持手工配置隧道，也可以既支持手工配置也支持自动隧道。3.3.1 VLAN与IP地址基本配置vlan10-PC手动配置vlan10为财务部的PC，IP地址为静态制定。vlan10-v4的配置如下：IP Address :192.168.1.2Subnet Mask :255.255.255.0Default Gateway :192.168.1.1DNS Server :192.168.4.4RV6001出

32、口路由的配置图15 出口路由器RV6001为企业网络的出口路由器，公司申请的Ipv4公网地址202.101.1.2在此作为出口接点Ipv4地址。RV6001配置命令：int s0/1/1ip address 202.101.1.2 255.255.255.0no shutint f0/0ip address 192.168.6.2 255.255.255.0no shutint s0/1/0ip address 192.168.7.1 255.255.255.0clock rate 64000no shutexitRV6002路由器的配置int s0/1/0ip address 192.168

33、.7.2 255.255.255.0no shutint f0/0ip address 192.168.4.2 255.255.255.0no shutexitSWV6001核心交换(RSW001路由器)的配置RSW001路由器为vlan10与vlan40提供网关，使用单臂路由实现端口的虚拟分离。int f0/0.10encap dot1q 10ip address 192.168.1.1 255.255.255.0no shutint f0/0.40encap dot1q 40ip address 192.168.4.1 255.255.255.0no shutint f0/0.60enca

34、p dot1q 60ip address 192.168.6.1 255.255.255.0no shutint f0/0ip address 192.168.8.1 255.255.255.0no shutexitvlan20-PC与vlan30-PC的配置vlan20与vlan30的PC机Ipv4地址为DHCP服务器自动分配的IP地址。SWV6002汇聚层交换机（RSW002路由器）的配置RSW002路由器为vlan20、vlan30与vlan50提供网关，使用单臂路由实现端口的虚拟分离。int f0/0ip address 192.168.8.2 255.255.255.0no shut

35、int f0/0.20encap dot1q 20ip address 192.168.2.1 255.255.255.0no shutint f0/0.30encap dot1q 30ip address 192.168.3.1 255.255.255.0no shutint f0/0.50encap dot1q 50ip address 192.168.5.1 255.255.255.0no shutexit3.3.2 DHCP服务器DHCP动态主机设置协议是一个局域网的网络协议。是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。采用DHCP方

36、式对上网的用户进行临时的地址分配，这样就可以有效节约IP地址，既保证了你的通信，又提高IP地址的使用率。DHCPv4本机IP地址配置IP Address ：192.168.4.3Subnet Mask: ：255.255.255.0Default Gateway ：92.168.4.1DHCP服务的配置DHCPv4为vlan20和vlan30提供Ipv4地址的自动分配，DNS设为公网DN服务器202.101.2.3。图16 DHCPv4服务配置DHCP中继代理在RSW002路由器上启用DHCP中继代理实现vlan20与vlan30德Ipv4地址的自动分配。int f0/0.20ip help

37、192.168.4.3int f0/0.30ip help 192.168.4.3exit3.3.3 无线接入点配置无线接入点的Internet口接入到汇聚层交换机的vlan50中，为无线设备提供互联网的接入服务。 图17 无线接入设备V4-AP的配置如下图18和图19：图18 V4-AP Internet接口配置图19 V4-AP LAN接口配置3.3.4 企业内部IPv4网络的通信OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议(IGP)，用于在单一自治系统(AS)内决策路由。OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口

38、的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。 启用OSPF协议来实现内部网络的互通，同时考虑到外部网络到服务器的访问通过路由器RV6002，启用静态路由和默认路由相结合来实现访问路径的控制。SWV6002汇聚层交换(RSW002路由器)配置SWV6002汇聚层交换（RSW002路由器）为公司内部网络的一个边界的三层设备,启用OSPF协议和默认路由。RSW002路由器配置命令：ip route 0.0.0.0 0.0.0.0 192.168.8.1route ospf 1network 192.168.5.0 0.0.0.255 area 0netw

39、ork 192.168.3.0 0.0.0.255 area 0network 192.168.2.0 0.0.0.255 area 0network 192.168.8.0 0.0.0.255 area 0exitSWV6001核心交换(RSW001路由器)配置SWV6001核心交换（RSW001路由器）处于公司内部网络的核心层。RSW001路由器配置命令：ip route 0.0.0.0 0.0.0.0 192.168.6.2route ospf 1network 192.168.1.0 0.0.0.255 area 0network 192.168.6.0 0.0.0.255 area

40、0exitRV6001出口路由器配置route ospf 1network 192.168.6.0 0.0.0.255 area 0network 192.168.7.0 0.0.0.255 area 0exitRV6002路由器配置route ospf 1network 192.168.4.0 0.0.0.255 area 0network 192.168.7.0 0.0.0.255 area 0exit3.3.5 内部Ipv4网络到Internet的访问网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合

41、法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。在Ipv4网络中，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。 图20 RV6001出口路由器RV6001出口路由器采用端口复用（PAT）的方式实现内部Ipv4网络到Internet的访问。RV6001出口路由器配置命令：int f0/0ip nat insideint s0/1/0ip nat insideint s0/1/1ip nat outsideexitaccess-list 1 permit 192.168.0.0 0.0.255

42、.255ip nat inside source list 1 int s0/1/1 overloadip route 0.0.0.0 0.0.0.0 202.101.1.13.4 Internet到内网服务器的访问公司内部搭建一个WEB服务器，若在Internet中能访问到，需要在RV6001出口路由器进行静态端口映射。RV6001出口路由配置命令：ip nat inside source static tcp 192.168.4.4 80 202.101.1.2 803.5 访问控制财务部访问控制根据企业要求，财务部和其它部门进行访问控制，只允许财务部到管理部和市场部的单向访问，同时不允许

43、财务部访问外网，能访问内网服务器RSW001配置命令：IPV4访问控制ip access-list ex ipv4permit icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 echopermit icmp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 echopermit icmp 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255 echodeny ip 192.168.1.0 anyexitint f0/0.10ip access ipv4 inexitIPV6

44、访问控制ipv6 access-list ipv6permit ipv6 2001:1000:0:0:1/68 2001:2000:0:0:1/68permit ipv6 2001:1000:0:0:1/68 2001:3000:0:0:1/68permit ipv6 2001:1000:0:0:1/68 2001:4000:0:0:1/68deny ipv6 any anyexitint f0/0.10ipv6 access ipv6 inexit服务器安全考虑到服务器的安全性，在交换机SWV6006进行服务器MAC地址的绑定，可以拒绝其他设备的接入。SWV6006配置命令：mac-address-table static