高職院校技能大賽 網(wǎng)絡(luò)組建及安全應(yīng)用項(xiàng)目競(jìng)賽樣題

1、2013年吉林省高職院校技能大賽網(wǎng)絡(luò)組建及安全應(yīng)用項(xiàng)目競(jìng)賽樣題2013年3月目錄第一部分：網(wǎng)絡(luò)組建及安全配置1一、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)1二、網(wǎng)絡(luò)設(shè)備連接規(guī)劃表1三、各部分網(wǎng)絡(luò)設(shè)備的配置3（一）模擬互聯(lián)網(wǎng)部分的配置31模擬互聯(lián)網(wǎng)部分的配置說明32模擬互聯(lián)網(wǎng)部分的具體配置要點(diǎn)3（二）a企業(yè)北京辦事處部分的配置41. a企業(yè)北京辦事處部分的配置說明42. a企業(yè)北京辦事處部分的具體配置要點(diǎn)5（三）a企業(yè)上海分公司部分的配置61. a企業(yè)上海分公司部分的配置說明62. a企業(yè)上海分公司部分的配置要點(diǎn)7（四）a企業(yè)長(zhǎng)春總部部分的配置任務(wù)81. a企業(yè)長(zhǎng)春總部部分的配置說明82. a企業(yè)長(zhǎng)春總部部分的配置要點(diǎn)10

2、四、各部分網(wǎng)絡(luò)功能的測(cè)試13（一）基本連通性測(cè)試13（二）功能性測(cè)試14（三）網(wǎng)絡(luò)連接設(shè)備狀態(tài)表查看151公網(wǎng)部分設(shè)備路由表152北京辦事處網(wǎng)絡(luò)部分設(shè)備173a企業(yè)總部與上海分公司部分網(wǎng)絡(luò)設(shè)備20五、故障排錯(cuò)21第二部分：網(wǎng)絡(luò)服務(wù)器配置22第三部分：網(wǎng)絡(luò)故障排錯(cuò)22附件：第一部分網(wǎng)絡(luò)pt拓?fù)鋱D23網(wǎng)絡(luò)組建及安全應(yīng)用項(xiàng)目競(jìng)賽樣題第一部分：網(wǎng)絡(luò)組建及安全配置獨(dú)立完成此企業(yè)網(wǎng)絡(luò)互聯(lián)綜合項(xiàng)目的配置，利用pt仿真完成項(xiàng)目的配置。根據(jù)網(wǎng)絡(luò)規(guī)劃表及圖中所示配置各設(shè)備ip地址、vlan、配置模擬互聯(lián)網(wǎng)部分的ospf動(dòng)態(tài)路由協(xié)議，保證互聯(lián)網(wǎng)之間公網(wǎng)地址互相能夠連通，配置r2、r3與r1路由器的vpn連接，同時(shí)各

3、部門內(nèi)部網(wǎng)絡(luò)可以通過nat訪問公網(wǎng)上的服務(wù)器。一、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)下圖是利用pt設(shè)計(jì)的網(wǎng)絡(luò)連接拓?fù)鋱D，設(shè)備的接口連接、地址及vlan等參照本拓?fù)鋱D和網(wǎng)絡(luò)設(shè)備連接規(guī)劃表來進(jìn)行配置。也可以參照本圖利用ppt或viso自行繪制網(wǎng)絡(luò)拓?fù)鋱D。二、網(wǎng)絡(luò)設(shè)備連接規(guī)劃表下表中標(biāo)識(shí)了各設(shè)備的名稱、互相連接接口、vlan、ip地址等信息，配置過程中，要參照本表和上面的拓?fù)鋱D來進(jìn)行設(shè)置。包括設(shè)備的名稱，建議按表中所示來進(jìn)行設(shè)置：企業(yè)網(wǎng)絡(luò)互聯(lián)綜合項(xiàng)目規(guī)劃表設(shè)備接口范圍所屬vlanip地址或網(wǎng)段連接設(shè)備地址配置備注s1f0/1-f0/10vlan101pc動(dòng)態(tài)獲取s1f0/11-f0/20vlan10

4、2pc動(dòng)態(tài)獲取s1vlan1遠(yuǎn)程管理s2f0/1-f0/10vlan101pc動(dòng)態(tài)獲取s2f0/11-f0/20vlan102pc動(dòng)態(tài)獲取s2vlan1遠(yuǎn)程管理s3f0/1-f0/10vlan103pc動(dòng)態(tài)獲取s3f0/11-f0/20vlan104pc動(dòng)態(tài)獲取s3vlan1遠(yuǎn)程管理s4f0/1-f0/10vlan103pc動(dòng)態(tài)獲取s4f0/11-f0/20vlan104

5、pc動(dòng)態(tài)獲取s4vlan1遠(yuǎn)程管理s5f0/1-f0/10vlan201pc動(dòng)態(tài)獲取s5f0/11-f0/20vlan202pc動(dòng)態(tài)獲取s6f0/1-f0/10vlan201pc動(dòng)態(tài)獲取s6f0/11-f0/20vlan202pc動(dòng)態(tài)獲取s7f0/1-f0/23pc動(dòng)態(tài)獲取s7f0/24r3:f0/1s8f0/1-f0/24pc動(dòng)態(tài)獲取s8g1/1s7:g1/1s3-1g0/1192.168

6、.6.1s3-2:g0/1s3-1g0/2s3-3:g0/1s3-1f0/2354內(nèi)網(wǎng)服務(wù)器s3-1f0/24r1:f0/1s3-2f0/2054無線ap無線用戶s3-2f0/21-f0/22trunk+聚合s1：f0/23-24s3-2f0/23-f0/24trunk+聚合s2：f0/23-24s3-2vlan154遠(yuǎn)程管理s3-2vlan10154s

7、3-2vlan10254s3-3f0/21-f0/22trunk+聚合s3：f0/23-24s3-3f0/23-f0/24trunk+聚合s4：f0/23-24s3-3vlan154遠(yuǎn)程管理s3-3vlan10354s3-3vlan10454r1f0/0rs2:f0/1rs1f1/0r3:f0/0rs1f0/0rs2:f0/0rs1f0/rs4:f0/rs3f0/12

8、rs2:f0/rs3f0/0rs4:f0/0rs3f1/0公網(wǎng)dns00rs3f1/1公網(wǎng)www00rs4f1/0r2:f0/0r2f0/1s3-4:f0/24s3-4g0/1trunks5：g1/1s3-4g0/2trunks6：g1/1r3f0/1s7:f0/24三、各部分網(wǎng)絡(luò)設(shè)備的配置說明：為了便于配置與理解，所有設(shè)備的密碼都設(shè)置為“cisc

9、o123”，所有地址掩碼都為24位！命令中所有數(shù)字參數(shù)取最小數(shù)開始使用。（一）模擬互聯(lián)網(wǎng)部分的配置1模擬互聯(lián)網(wǎng)部分的配置說明（1）本部分中所有設(shè)備接口地址的掩碼都采用24位，即，設(shè)備名稱也要配置一致，具體地址參見拓?fù)鋱D或網(wǎng)絡(luò)規(guī)劃表。（2）公網(wǎng)路由器rs1、rs2、rs3、rs4配置接口地址，配置動(dòng)態(tài)路由ospf，為了便于自動(dòng)評(píng)分，需要注意的是：進(jìn)程號(hào)統(tǒng)一為1（router ospf 1），區(qū)域號(hào)統(tǒng)一為0（area 0）。（3）公網(wǎng)dns服務(wù)器要求為和進(jìn)行域名地址解析，并配置靜態(tài)的地址、網(wǎng)關(guān)、dns（dns配置為自己）

10、。（4）修改公網(wǎng)服務(wù)器中默認(rèn)主頁，將其中的兩處“cisco packet tracer”都用“baidu”替換。并為此服務(wù)器配置靜態(tài)的地址、網(wǎng)關(guān)、dns（公網(wǎng)中的00）。（5）本部分的地址規(guī)劃如下表所示：企業(yè)網(wǎng)絡(luò)互聯(lián)綜合項(xiàng)目模擬互聯(lián)網(wǎng)部分規(guī)劃表設(shè)備接口范圍ip地址或網(wǎng)段連接設(shè)備地址配置備注rs1f1/0r3:f0/0rs1f0/0rs2:f0/0rs1f0/rs4:f0/rs2f1/0r1:f0/0rs3f0/1

11、rs2:f0/rs3f0/0rs4:f0/0rs3f1/0公網(wǎng)dns00rs3f1/1公網(wǎng)www00rs4f1/0r2:f0/0公網(wǎng)dns以太網(wǎng)口ip：00；網(wǎng)關(guān)：；dns：00公網(wǎng)www以太網(wǎng)口ip：00；網(wǎng)關(guān)：；dns：002模擬互聯(lián)網(wǎng)部分的具體配置要點(diǎn)（1）rs1配置要點(diǎn)：l 配置主機(jī)名為rs1l 配置各接口地

12、址f0/0:；f0/1:；f1/0:l 配置ospf動(dòng)態(tài)路由協(xié)議，進(jìn)程號(hào)為1，區(qū)域號(hào)為0，要求發(fā)布所有接口網(wǎng)絡(luò)、、（2）rs2配置要點(diǎn)：l 配置主機(jī)名為rs2l 配置各接口地址f0/0:；f0/1:；f1/0:l 配置ospf動(dòng)態(tài)路由協(xié)議，進(jìn)程號(hào)為1，區(qū)域號(hào)為0，要求發(fā)布所有接口網(wǎng)絡(luò)、、（3）rs3配置要點(diǎn)：l 配置主機(jī)名為rs3l 配置各接口地址f0/0: ；f0/1: 23.1

13、.1.2；f1/0:；f1/1:l 配置ospf動(dòng)態(tài)路由協(xié)議，進(jìn)程號(hào)為1，區(qū)域號(hào)為0，要求發(fā)布所有接口網(wǎng)絡(luò)、、、（4）rs4配置要點(diǎn)：l 配置主機(jī)名為rs4l 配置各接口地址f0/0: ；f0/1: ；f1/0:l 配置ospf動(dòng)態(tài)路由協(xié)議，進(jìn)程號(hào)為1，區(qū)域號(hào)為0，要求發(fā)布所有接口網(wǎng)絡(luò)、、（5）公網(wǎng)www服務(wù)器配置要點(diǎn)：l 配置ip為00，網(wǎng)關(guān)為22

14、，dns為00l 修改公網(wǎng)服務(wù)器中默認(rèn)主頁，將其中的兩處“cisco packet tracer”都用“baidu”替換。（6）公網(wǎng)dns服務(wù)器配置要點(diǎn)：l 配置ip為00，網(wǎng)關(guān)為，dns為00l 設(shè)置dns解析，為（00）和（）進(jìn)行域名地址解析。注意：互聯(lián)網(wǎng)部分不能配置到a企業(yè)各部分內(nèi)網(wǎng)私有網(wǎng)絡(luò)的路由條目！（二）a企業(yè)北京辦事處部分的配置1. a企業(yè)北京辦事處部分的配置說明（1）內(nèi)部網(wǎng)絡(luò)中的所有

15、pc動(dòng)態(tài)獲取ip地址，同屬于網(wǎng)段，。這里的兩臺(tái)二層交換機(jī)只起到連接作用，不進(jìn)行功能配置。（2）交換機(jī)s7和s8通過千兆端口g1/1級(jí)聯(lián)，實(shí)現(xiàn)內(nèi)部的高速數(shù)據(jù)轉(zhuǎn)發(fā)（3）路由器r3配置dhcp，為內(nèi)網(wǎng)pc動(dòng)態(tài)分配ip、網(wǎng)關(guān)和dns地址（4）路由器r3配置nat，基于接口公網(wǎng)接口的一個(gè)地址配置超載，并配置到公網(wǎng)的默認(rèn)路由。（5）路由器r3配置vpn連接到企業(yè)總部，僅允許辦事處的內(nèi)網(wǎng)pc（）可以訪問總部?jī)?nèi)的網(wǎng)絡(luò)，即總部?jī)?nèi)網(wǎng)服務(wù)器，以便于獲取總部文檔等資源。企業(yè)網(wǎng)絡(luò)互聯(lián)綜合項(xiàng)目a企業(yè)北京辦事處網(wǎng)絡(luò)規(guī)劃表設(shè)備

16、接口范圍所屬vlanip地址或網(wǎng)段連接設(shè)備地址配置備注s7f0/1-f0/23pc動(dòng)態(tài)獲取s7f0/24r3:f0/1s8f0/1-f0/24pc動(dòng)態(tài)獲取s8g1/1s7:g1/1rs1f1/0r3:f0/0注意：配置中由于自動(dòng)評(píng)分，所以一些配置名稱及列表號(hào)等項(xiàng)目要統(tǒng)一1. r3上配置的dhcp地址池的名稱為“pool251”2. 用于nat轉(zhuǎn)換的訪問控制列表號(hào)用“101”，vpn的列表號(hào)為“102”3. 所有網(wǎng)段（路由、訪問控制列表中的網(wǎng)絡(luò)地址都采用明細(xì)網(wǎng)段）逐一列出，除默認(rèn)路由

17、外，都不要進(jìn)行匯總4. 敏感數(shù)據(jù)流為到網(wǎng)絡(luò)5. 配置ipsec的vpn時(shí)，ike過程中的策略號(hào)用1，即“crypto isakmp policy 1”；認(rèn)證方式使用預(yù)共享密鑰即“authentication pre-share”；加密算法采用3des即“encryption 3des”；摘要算法或稱消息摘要算法采用sha算法即“hash sha”（默認(rèn)值）；dh密鑰交換生成材料的長(zhǎng)度選擇組1，即768位即“group 1”（默認(rèn)值）；安全關(guān)聯(lián)sa生存時(shí)間默認(rèn)；預(yù)共享密鑰為cisco123即“crypto isakmp key cisco123 a

18、ddress ”其中地址是vpn對(duì)端即總部路由器r1的公網(wǎng)地址。6. 配置ipsec的vpn時(shí)，ipsec過程中的轉(zhuǎn)換集名為tran1、封裝采用esp、加密采用aes算法、摘要算法采用md5，即“crypto ipsec transform-set tran1 esp-aes esp-md5-hmac”；定義加密圖名為map1，序號(hào)為1即“crypto map map1 1 ipsec-isakmp”；在映射圖中指定關(guān)聯(lián)的轉(zhuǎn)換集為前面定義的tran1即“set transform-set tran1”；在映射圖中指定敏感數(shù)據(jù)流即“match address

19、102”（102為訪問控制列表，定義的是到的網(wǎng)絡(luò)流量），并設(shè)置ipsec連接的對(duì)端為總部路由器r1的公網(wǎng)地址即“set peer ”，最后要在r3的公網(wǎng)接口上應(yīng)用這個(gè)map1，這里要在r3的f0/0接口上啟用ipsec的vpn，即“crypto map map1”。注：由于vpn配置部分的內(nèi)容較為復(fù)雜，所以上面給出了vpn部分的配置2. a企業(yè)北京辦事處部分的具體配置要點(diǎn)（1）s7配置要點(diǎn)：l 配置主機(jī)名為s7（2）s8配置要點(diǎn)：l 配置主機(jī)名為s8（3）r3配置要點(diǎn)：l 配置主機(jī)名為r3l 配置各接口地址f0/0: 113.1

20、.1.2；f0/1:l 配置默認(rèn)路由，下一跳指ip地址，不指接口l 配置dhcp，地址池名為“pool251”，為內(nèi)網(wǎng)分配 網(wǎng)段的地址，網(wǎng)關(guān)，dns服務(wù)器為00l 定義兩個(gè)訪問控制列表，一個(gè)用于nat地址轉(zhuǎn)換，列表號(hào)為101；另一個(gè)用于vpn定義敏感數(shù)據(jù)流，列表號(hào)為102。在101列表中要對(duì) 到 的流量不能做nat，所以要先拒絕掉，其余的到任何其他地址的訪問都要做nat轉(zhuǎn)換。在102列表中要把192

21、.168.251.0 到 的流量定義為敏感數(shù)據(jù)流，即允許走vpn。注意：為了評(píng)分的準(zhǔn)確性，同一列表號(hào)有多個(gè)條目時(shí)，建議按原地址從小到大進(jìn)行添加各條目。l 關(guān)于ipsec的vpn配置：ike過程中的策略號(hào)用1、認(rèn)證方式使用預(yù)共享密鑰、加密算法采用3des、摘要算法sha算法即（默認(rèn)值）、dh密鑰交換生成材料的長(zhǎng)度選擇組1（默認(rèn)值）、安全關(guān)聯(lián)sa生存時(shí)間默認(rèn)；預(yù)共享密鑰為cisco123、vpn對(duì)端地址為。l 配置ipsec的vpn時(shí)，ipsec過程中的轉(zhuǎn)換集名為tran1、封裝采用esp、加密采用aes算法、摘要算法采用md5；定義加密圖名為map1，序

22、號(hào)為1；在映射圖中指定關(guān)聯(lián)的轉(zhuǎn)換集為前面定義的tran1；在映射圖中指定敏感數(shù)據(jù)流（102為訪問控制列表），并設(shè)置ipsec連接的對(duì)端為總部路由器r1的公網(wǎng)地址；在r3的公網(wǎng)接口上應(yīng)用這個(gè)map1。l 定義基于接口的nat超載轉(zhuǎn)換，并分別在接口下定義好nat內(nèi)部與外部接口（三）a企業(yè)上海分公司部分的配置1. a企業(yè)上海分公司部分的配置說明（1）內(nèi)部網(wǎng)絡(luò)中的所有pc動(dòng)態(tài)獲取ip地址，分為兩個(gè)vlan(vlan201和202)其網(wǎng)段為和，由三層交換機(jī)動(dòng)態(tài)分配地址、網(wǎng)關(guān)和dns給下面的pc。三層交換與路由器間為網(wǎng)段。這里需

23、要配置三層交換機(jī)和兩臺(tái)二層交換機(jī)的vlan、trunk接口及三層交換機(jī)相關(guān)的ip地址等。（2）交換機(jī)s5和s6通過千兆端口（trunk模式）上聯(lián)s3-4三層交換機(jī)，實(shí)現(xiàn)內(nèi)部的高速數(shù)據(jù)轉(zhuǎn)發(fā)。二層交換機(jī)s5、s6上分別劃分vlan201和vlan202。由三層交換機(jī)s3-4為下聯(lián)pc動(dòng)態(tài)分配地址、網(wǎng)關(guān)、dns。（3）路由器r2配置nat，基于公網(wǎng)接口的4個(gè)地址（-5）配置超載（4）路由器r2配置到公網(wǎng)的默認(rèn)路由和回指路由；并配置vpn連接到企業(yè)總部，僅允許分公司的內(nèi)網(wǎng)pc（ 、和）可以訪問總部?jī)?nèi)的192

24、.168.8.0網(wǎng)絡(luò)，即總部?jī)?nèi)網(wǎng)服務(wù)器，以便于獲取總部文檔等資源。企業(yè)網(wǎng)絡(luò)互聯(lián)綜合項(xiàng)目a企業(yè)上海分公司網(wǎng)絡(luò)規(guī)劃表設(shè)備接口范圍所屬vlanip地址或網(wǎng)段連接設(shè)備地址配置備注s5f0/1-f0/10vlan201pc動(dòng)態(tài)獲取s5f0/11-f0/20vlan202pc動(dòng)態(tài)獲取s6f0/1-f0/10vlan201pc動(dòng)態(tài)獲取s6f0/11-f0/20vlan202pc動(dòng)態(tài)獲取rs4f1/0r2:f0/0r2f0/1s3-4:f0/24

25、s3-4g0/1trunk s5：g1/1s3-4g0/2trunks6：g1/1s3-4vlan20154s3-4vlan20254注意：配置中由于自動(dòng)評(píng)分，所以一些配置名稱及列表號(hào)等項(xiàng)目要統(tǒng)一1. s3-4上配置的dhcp地址池的名稱為“pool201”和“pool202”2. r2用于nat轉(zhuǎn)換的訪問控制列表號(hào)用“101”，vpn的列表號(hào)為“102”3. r2所有網(wǎng)段（路由、訪問控制列表中的網(wǎng)絡(luò)地址都采用明細(xì)網(wǎng)段）逐一列出，除默認(rèn)路由外，都不要進(jìn)行匯總4. r2中敏感數(shù)據(jù)流為、192.

26、168.202.0和到網(wǎng)絡(luò)5. r2配置ipsec的vpn時(shí)，ike過程中的策略號(hào)用1，即“crypto isakmp policy 1”；認(rèn)證方式使用預(yù)共享密鑰即“authentication pre-share”；加密算法采用3des即“encryption 3des”；摘要算法或稱消息摘要算法采用sha算法即“hash sha”（默認(rèn)值）；dh密鑰交換生成材料的長(zhǎng)度選擇組1，即768位即“group 1”（默認(rèn)值）；安全關(guān)聯(lián)sa生存時(shí)間默認(rèn)；預(yù)共享密鑰為cisco123即“crypto isakmp key cisco123 address

27、 ”其中地址是vpn對(duì)端即總部路由器r1的公網(wǎng)地址。6. r2配置ipsec的vpn時(shí)，ipsec過程中的轉(zhuǎn)換集名為tran1、封裝采用esp、加密采用aes算法、摘要算法采用md5，即“crypto ipsec transform-set tran1 esp-aes esp-md5-hmac”；定義加密圖名為map1，序號(hào)為1即“crypto map map1 1 ipsec-isakmp”；在映射圖中指定關(guān)聯(lián)的轉(zhuǎn)換集為前面定義的tran1即“set transform-set tran1”；在映射圖中指定敏感數(shù)據(jù)流即“match address 102”

28、（102為訪問控制列表，定義的是、和到的網(wǎng)絡(luò)流量），并設(shè)置ipsec連接的對(duì)端為總部路由器r1的公網(wǎng)地址即“set peer ”，最后要在r2的公網(wǎng)接口上應(yīng)用這個(gè)map1，這里要在r2的f0/0接口上啟用ipsec的vpn，即“crypto map map1”。注：由于vpn配置部分的內(nèi)容較為復(fù)雜，所以上面給出了vpn部分的配置2. a企業(yè)上海分公司部分的配置要點(diǎn)（1）s5配置要點(diǎn)：l 配置主機(jī)名為s5l 將fastethernet0/1到fastethernet0/10接口加

29、入vlan201l 將fastethernet0/11到fastethernet0/20接口加入vlan202l 把gigabitethernet1/1設(shè)置為trunk模式，允許所有vlan通過（2）s6配置要點(diǎn)：l 配置主機(jī)名為s6l 將fastethernet0/1到fastethernet0/10接口加入vlan201l 將fastethernet0/11到fastethernet0/20接口加入vlan202l 把gigabitethernet1/1設(shè)置為trunk模式，允許所有vlan通過（3）s3-4配置要點(diǎn)：l 配置主機(jī)名為s3-4l 配置dhcp，兩個(gè)地址池名為“pool201

30、”，為內(nèi)網(wǎng)分配 網(wǎng)段的地址，網(wǎng)關(guān)54，dns服務(wù)器為00；“pool202” 為內(nèi)網(wǎng)分配 網(wǎng)段的地址，網(wǎng)關(guān)54，dns服務(wù)器為00l 啟用三層路由轉(zhuǎn)發(fā)功能l 配置fastethernet0/24接口啟用三層模式，配置ip地址為 l 配置gigabitethernet0/1與gigabitethernet0/2為trunk模式，封裝協(xié)議8.2.1ql 配置vlan201接中ip地址

31、為54，配置vlan202接中ip地址為54l 配置默認(rèn)路由，下一跳為對(duì)應(yīng)路由器r2的內(nèi)網(wǎng)接口f0/1地址（4）r2配置要點(diǎn)：l 配置主機(jī)名為r2l 配置各接口地址f0/0: ；f0/1:l 配置默認(rèn)路由、配置回指到和的靜態(tài)路由，下一跳都使用指定ip地址方式，即不指接口l 定義兩個(gè)訪問控制列表，一個(gè)用于nat地址轉(zhuǎn)換，列表號(hào)為101；另一個(gè)用于vpn定義敏感數(shù)據(jù)流，列表號(hào)為102。在101列表中要對(duì)、192.168.202

32、.0、 到 的流量不能做nat，所以要先拒絕掉，其余的、、到任何其他地址的訪問都做nat轉(zhuǎn)換。在102列表中要把、、到 的流量定義為敏感數(shù)據(jù)流，即允許走vpn。注意：為了評(píng)分的準(zhǔn)確性，同一列表號(hào)有多個(gè)條目時(shí)，建議按原地址從小到大進(jìn)行添加各條目。l 關(guān)于ipsec的vpn配置：ike過程中的策略號(hào)用1、認(rèn)證方式使用預(yù)共享密鑰、加密算法采用3des、摘要算法sha算法即（

33、默認(rèn)值）、dh密鑰交換生成材料的長(zhǎng)度選擇組1（默認(rèn)值）、安全關(guān)聯(lián)sa生存時(shí)間默認(rèn)；預(yù)共享密鑰為cisco123、vpn對(duì)端地址為。l 配置ipsec的vpn時(shí)，ipsec過程中的轉(zhuǎn)換集名為tran1、封裝采用esp、加密采用aes算法、摘要算法采用md5；定義加密圖名為map1，序號(hào)為1；在映射圖中指定關(guān)聯(lián)的轉(zhuǎn)換集為前面定義的tran1；在映射圖中指定敏感數(shù)據(jù)流（102為訪問控制列表），并設(shè)置ipsec連接的對(duì)端為總部路由器r1的公網(wǎng)地址；在r3的公網(wǎng)接口上應(yīng)用這個(gè)map1。l 定義基于地址池的nat超載轉(zhuǎn)換，地址池名為“pool1”，地址范圍是到114.1

34、.1.5，并分別在接口下定義好nat內(nèi)部與外部接口（四）a企業(yè)長(zhǎng)春總部部分的配置任務(wù)1. a企業(yè)長(zhǎng)春總部部分的配置說明（1）內(nèi)部網(wǎng)絡(luò)中的所有pc動(dòng)態(tài)獲取ip地址，分為4個(gè)vlan(vlan101-104)和網(wǎng)段為到，網(wǎng)段和是用于管理內(nèi)網(wǎng)交換機(jī)的管理地址，具體參見網(wǎng)絡(luò)配置規(guī)劃表。（2）交換機(jī)s1-s4通過兩條百兆線路聚合（trunk模式）分別上聯(lián)到匯聚層三層交換機(jī)s3-2和s3-3 ，實(shí)現(xiàn)內(nèi)部的高速數(shù)據(jù)轉(zhuǎn)發(fā)。二層交換機(jī)s1-s4上分別劃分vlan101和vlan104。由三層交換機(jī)s3-2和s3-3為下

35、聯(lián)pc動(dòng)態(tài)分配地址、網(wǎng)關(guān)、dns。（3）路由器r1配置nat，基于公網(wǎng)接口的4個(gè)地址（-5）配置超載（4）路由器r1配置nat服務(wù)，即靜態(tài)的把00的www對(duì)應(yīng)公網(wǎng)的www服務(wù)（5）路由器r1配置到公網(wǎng)的默認(rèn)路由和回指路由，要分條指明細(xì)；并配置vpn讓企業(yè)分支可以接入，并可以通過vpn訪問內(nèi)網(wǎng)中的服務(wù)器（網(wǎng)段為）（6）修改總部對(duì)公網(wǎng)提供www服務(wù)的服務(wù)器中默認(rèn)主頁，將其中的兩處“cisco packet tracer”都用“”替換。并為此服務(wù)器配置靜態(tài)的地址、網(wǎng)關(guān)

36、、dns（公網(wǎng)中的00）。（7）修改總部對(duì)內(nèi)網(wǎng)提供www服務(wù)的服務(wù)器中默認(rèn)主頁，將其中的兩處“cisco packet tracer”都用“”替換。并為此服務(wù)器配置靜態(tài)的地址、網(wǎng)關(guān)、dns（公網(wǎng)中的00）。（8）設(shè)置總部?jī)?nèi)的交換機(jī)s3-1、s3-2、s3-3、s1、s2、s3、s4和路由器特權(quán)密碼為“cisco123”，并配置telnet遠(yuǎn)程管理，telnet密碼也是“cisco123”。以便于進(jìn)行企業(yè)內(nèi)部的遠(yuǎn)程管理。（9）設(shè)置無線ap的ssid名為“a-ssid”，并設(shè)置加密方式為wep，密碼為“012345

37、6789”（10）根據(jù)下表所示，配置s3-2與s1和s2之間使用兩條百兆接口做聚合，同時(shí)配置為trunk模式，默認(rèn)允許所有vlan通過；配置s3-3與s3和s4之間使用兩條百兆接口做聚合，同時(shí)配置為trunk模式，默認(rèn)允許所有vlan通過。企業(yè)網(wǎng)絡(luò)互聯(lián)綜合項(xiàng)目-a企業(yè)長(zhǎng)春總部網(wǎng)絡(luò)規(guī)劃表設(shè)備接口范圍所屬vlanip地址或網(wǎng)段連接設(shè)備地址配置備注s1f0/1-f0/10vlan101pc動(dòng)態(tài)獲取s1f0/11-f0/20vlan102pc動(dòng)態(tài)獲取s1vlan1遠(yuǎn)程管理s2f0/1-f0/10vlan101pc

38、動(dòng)態(tài)獲取s2f0/11-f0/20vlan102pc動(dòng)態(tài)獲取s2vlan1遠(yuǎn)程管理s3f0/1-f0/10vlan103pc動(dòng)態(tài)獲取s3f0/11-f0/20vlan104pc動(dòng)態(tài)獲取s3vlan1遠(yuǎn)程管理s4f0/1-f0/10vlan103pc動(dòng)態(tài)獲取s4f0/11-f0/20vlan104pc動(dòng)態(tài)獲取s4vlan1遠(yuǎn)程管理s3-1g0/1s3-2:g0/1s3-1g

39、0/2s3-3:g0/1s3-1f0/2354內(nèi)網(wǎng)服務(wù)器s3-1f0/24r1:f0/1s3-2f0/2054無線ap無線用戶s3-2f0/21-f0/22trunk+聚合s1：f0/23-24s3-2f0/23-f0/24trunk+聚合s2：f0/23-24s3-2vlan154遠(yuǎn)程管理s3-2vlan10154s3-2vlan10254s3-3f0

40、/21-f0/22trunk+聚合s3：f0/23-24s3-3f0/23-f0/24trunk+聚合s4：f0/23-24s3-3vlan154遠(yuǎn)程管理s3-3vlan10354s3-3vlan10454r1f0/0rs2:f1/0注意：配置中由于自動(dòng)評(píng)分，所以一些配置名稱及列表號(hào)等項(xiàng)目要統(tǒng)一1. s3-2上配置的dhcp地址池的名稱為“pool1”、“pool2”和“pool5”（pool5用于為無線設(shè)備動(dòng)態(tài)分配地址等信息）；與s1相連接的聚合組號(hào)為1，與s2相連接的聚合組號(hào)為2。s3-

41、3上配置的dhcp地址池的名稱為“pool3”和“pool4”；與s3相連接的聚合組號(hào)為1，與s4相連接的聚合組號(hào)為2。2. r1用于nat轉(zhuǎn)換的訪問控制列表號(hào)用“101”，vpn的列表號(hào)為“102”3. r1所有相關(guān)網(wǎng)段（路由、訪問控制列表中的網(wǎng)絡(luò)地址都采用明細(xì)網(wǎng)段）逐一列出，除默認(rèn)路由外，都不要進(jìn)行匯總4. r1中敏感數(shù)據(jù)流為網(wǎng)絡(luò)到、、、四個(gè)網(wǎng)絡(luò)5. r1配置ipsec的vpn時(shí)，ike過程中的策略號(hào)用1，即“crypto isakmp policy 1”；認(rèn)證方式

42、使用預(yù)共享密鑰即“authentication pre-share”；加密算法采用3des即“encryption 3des”；摘要算法或稱消息摘要算法采用sha算法即“hash sha”（默認(rèn)值）；dh密鑰交換生成材料的長(zhǎng)度選擇組1，即768位即“group 1” （默認(rèn)值）；安全關(guān)聯(lián)sa生存時(shí)間默認(rèn)；預(yù)共享密鑰為cisco123即“crypto isakmp key cisco123 address ”。其中地址是vpn對(duì)端有兩個(gè)遠(yuǎn)程分支機(jī)構(gòu)路由器r2和r3的公網(wǎng)地址，所以不能具體指其中的某一個(gè)地址，所以用表示任意。需要注意的是，這

43、種配置方式總部不能發(fā)起vpn連接，要由分支一側(cè)發(fā)起vpn連接。6. r1配置ipsec的vpn時(shí)，ipsec過程中的轉(zhuǎn)換集名為tran1、封裝采用esp、加密采用aes算法、摘要算法采用md5，即“crypto ipsec transform-set tran1 esp-aes esp-md5-hmac”；定義加密圖名為map1，序號(hào)為1即“crypto map map1 1 ipsec-isakmp”；在映射圖中指定關(guān)聯(lián)的轉(zhuǎn)換集為前面定義的tran1即“set transform-set tran1”；在映射圖中指定敏感數(shù)據(jù)流即“match address 102”（102為訪問控制列表，定

44、義的是到、、和的網(wǎng)絡(luò)流量），并設(shè)置ipsec連接的對(duì)端分別為分公司路由器r2的公網(wǎng)地址即“set peer ”、辦事處路由器r3的公網(wǎng)地址即“set peer ”，最后要在r1的公網(wǎng)接口上應(yīng)用這個(gè)map1，這里要在r2的f0/0接口上啟用ipsec的vpn，即“crypto map map1”。注：由于vpn配置部分的內(nèi)容較為復(fù)雜，所以上面給出了vpn部分的配置2. a企業(yè)長(zhǎng)春總部部分的配置要點(diǎn)（1）s1配置要點(diǎn)：l 配置主機(jī)名為s1

45、l 配置特權(quán)管理密碼為明文方式，密碼為“cisco123”l 將fastethernet0/1到fastethernet0/10接口加入vlan101l 將fastethernet0/11到fastethernet0/20接口加入vlan102l 把fastethernet0/23到fastethernet0/24配置為聚合組1、聚合模式為on，并設(shè)置為trunk模式，允許所有vlan通過，用于高速上聯(lián)到匯聚交換機(jī)s3-2l 配置管理vlan即vlan1接口ip地址為，用于遠(yuǎn)程管理使用l 配置此交換的默認(rèn)網(wǎng)關(guān)為54，以便遠(yuǎn)程管理使用l 配置tel

46、net遠(yuǎn)程管理，telnet密碼也是“cisco123”。以便于進(jìn)行企業(yè)內(nèi)部的遠(yuǎn)程管理。（2）s2配置要點(diǎn)：l 配置主機(jī)名為s2l 配置特權(quán)管理密碼為明文方式，密碼為“cisco123”l 將fastethernet0/1到fastethernet0/10接口加入vlan101l 將fastethernet0/11到fastethernet0/20接口加入vlan102l 把fastethernet0/23到fastethernet0/24配置為聚合組1、聚合模式為on，并設(shè)置為trunk模式，允許所有vlan通過，用于高速上聯(lián)到匯聚交換機(jī)s3-2l 配置管理vlan即vlan1接口ip地址為

47、，用于遠(yuǎn)程管理使用l 配置此交換的默認(rèn)網(wǎng)關(guān)為54，以便遠(yuǎn)程管理使用l 配置telnet遠(yuǎn)程管理，telnet密碼也是“cisco123”。以便于進(jìn)行企業(yè)內(nèi)部的遠(yuǎn)程管理。（3）s3配置要點(diǎn)：l 配置主機(jī)名為s3l 配置特權(quán)管理密碼為明文方式，密碼為“cisco123”l 將fastethernet0/1到fastethernet0/10接口加入vlan103l 將fastethernet0/11到fastethernet0/20接口加入vlan104l 把fastethernet0/23到fastethernet0/24配置為聚合組1、聚合模式為o

48、n，并設(shè)置為trunk模式，允許所有vlan通過，用于高速上聯(lián)到匯聚交換機(jī)s3-3l 配置管理vlan即vlan1接口ip地址為，用于遠(yuǎn)程管理使用l 配置此交換的默認(rèn)網(wǎng)關(guān)為54，以便遠(yuǎn)程管理使用l 配置telnet遠(yuǎn)程管理，telnet密碼也是“cisco123”。以便于進(jìn)行企業(yè)內(nèi)部的遠(yuǎn)程管理。（4）s4配置要點(diǎn)：l 配置主機(jī)名為s4l 配置特權(quán)管理密碼為明文方式，密碼為“cisco123”l 將fastethernet0/1到fastethernet0/10接口加入vlan103l 將fastethernet0/11到fastethernet0

49、/20接口加入vlan104l 把fastethernet0/23到fastethernet0/24配置為聚合組1、聚合模式為on，并設(shè)置為trunk模式，允許所有vlan通過，用于高速上聯(lián)到匯聚交換機(jī)s3-3l 配置管理vlan即vlan1接口ip地址為，用于遠(yuǎn)程管理使用l 配置此交換的默認(rèn)網(wǎng)關(guān)為54，以便遠(yuǎn)程管理使用l 配置telnet遠(yuǎn)程管理，telnet密碼也是“cisco123”。以便于進(jìn)行企業(yè)內(nèi)部的遠(yuǎn)程管理。（5）s3-2配置要點(diǎn)：l 配置主機(jī)名為s3-2l 配置特權(quán)管理密碼為明文方式，密碼為“cisco123”l 配置dhcp服務(wù)，

50、建立3個(gè)地址池名為“pool1”，為內(nèi)網(wǎng)分配192.168. 1.0 網(wǎng)段的地址，網(wǎng)關(guān)54，dns服務(wù)器為00；“pool2” 為內(nèi)網(wǎng)分配192.168. 2.0 網(wǎng)段的地址，網(wǎng)關(guān)192.168. 2.254，dns服務(wù)器為00；“pool5” 為內(nèi)網(wǎng)分配192.168. 5.0 網(wǎng)段的地址，網(wǎng)關(guān)192.168. 5.254，dns服務(wù)器為00l 啟用三層路由轉(zhuǎn)發(fā)功能l 配置fastethernet0/20接口啟用三層模式，配置ip地址為19

51、54 l 把fastethernet0/21到fastethernet0/22配置為聚合組1、聚合模式為on，并設(shè)置為trunk模式，允許所有vlan通過，用于高速下聯(lián)到接入層交換機(jī)s1l 把fastethernet0/23到fastethernet0/24配置為聚合組2、聚合模式為on，并設(shè)置為trunk模式，允許所有vlan通過，用于高速上聯(lián)到接入層交換機(jī)s2l 配置gigabitethernet0/1接口啟用三層模式，配置ip地址為。上聯(lián)至s3-1的gigabitethernet0/1接口l 配置管理vlan即vlan1接口ip地址為192.168

52、.11.254，用于遠(yuǎn)程管理使用l 配置vlan即vlan101接口ip地址為54，為下聯(lián)的vlan101中的pc提供網(wǎng)關(guān)作用l 配置vlan即vlan102接口ip地址為54，為下聯(lián)的vlan102中的pc提供網(wǎng)關(guān)作用l 配置默認(rèn)路由，下一跳為對(duì)應(yīng)ip地址l 配置telnet遠(yuǎn)程管理，telnet密碼也是“cisco123”。以便于進(jìn)行企業(yè)內(nèi)部的遠(yuǎn)程管理。（6）s3-3配置要點(diǎn)：l 配置主機(jī)名為s3-3l 配置特權(quán)管理密碼為明文方式，密碼為“cisco123”l 配置dhcp服務(wù)，建立3個(gè)地址池名為“pool3”，為內(nèi)網(wǎng)分配1

53、 網(wǎng)段的地址，網(wǎng)關(guān)54，dns服務(wù)器為00；“pool4” 為內(nèi)網(wǎng)分配 網(wǎng)段的地址，網(wǎng)關(guān)54，dns服務(wù)器為00l 啟用三層路由轉(zhuǎn)發(fā)功能l 把fastethernet0/21到fastethernet0/22配置為聚合組1、聚合模式為on，并設(shè)置為trunk模式，允許所有vlan通過，用于高速下聯(lián)到接入層交換機(jī)s1l 把fastethernet0/23到fastethernet0/24配置為聚合組2、聚合模式為on，并設(shè)置為trunk模式，允許所有vlan通過，用于高速上聯(lián)到接入層交換機(jī)s2l 配置gigabitethernet0/1接口啟用三層模式，配置ip地址為。上