單元任務書29-睿智網(wǎng)絡公司網(wǎng)絡建設與割接綜合項目

PAGE1PAGE13單元任務書29_睿智網(wǎng)絡公司網(wǎng)絡建設與割接綜合項目任務目標：能夠綜合應用網(wǎng)絡組建的NAT、OSPF、ACL技術會進行網(wǎng)絡工程的割接學習形式小組協(xié)作，分別完成英語詞匯：Networkmanagement：網(wǎng)絡管理OSPF（OpenShortestPathFirstInteriorGatewayProtocol）開放式最短路徑優(yōu)先Backbonearea：骨干區(qū)域Stubarea：末梢區(qū)域VLSM（Variable-LengthSubnetMasks）：變長子網(wǎng)掩碼ABR(AreaBorderRouters)：區(qū)域邊界路由器ASBR(AutonomousSystemBorderRouter)：自治系統(tǒng)邊界路由器SNMP(SimpleNetworkManagementProtocol)：簡單網(wǎng)絡管理協(xié)議SolarWinds：一款網(wǎng)管軟件NetworkCutover：網(wǎng)絡割接實踐任務：任務：睿智網(wǎng)絡公司網(wǎng)絡建設與割接綜合項目子任務1：網(wǎng)絡建設網(wǎng)絡現(xiàn)狀：隨著公司的發(fā)展，Benet公司立足于北京面向全國已經(jīng)發(fā)展成為一個全國性的大型汽車公司，在大部分省市設立了銷售和維修網(wǎng)點，并建立了多家分公司。隨著公司規(guī)模的擴大，公司對網(wǎng)絡有了越來越大的依賴性，最初的網(wǎng)絡結(jié)構(gòu)已經(jīng)不能滿足現(xiàn)有企業(yè)的需要，對網(wǎng)絡的整改勢在必行。在公司發(fā)展的過程中，Benet公司已經(jīng)建成了一個完善的網(wǎng)絡結(jié)構(gòu)，如下圖所示。Benet總公司已經(jīng)建成了有兩臺6500系列交換機做核心熱備份的網(wǎng)絡，并且各個分公司和各省總銷售網(wǎng)點的網(wǎng)關路由器（Cisco7206）均使用E1專線接入到總公司的R0路由器（Cisco7206）。Benet公司的網(wǎng)絡使用OSPF路由協(xié)議來實現(xiàn)內(nèi)部網(wǎng)絡的互通，區(qū)域的分化如下圖所示，總公司為骨干區(qū)域，各個分公司或各省的總銷售網(wǎng)點為一個標準區(qū)域。建設目標：Benet公司已經(jīng)建成了一個多節(jié)點、橫跨全國的大型通訊網(wǎng)絡?？傮w的網(wǎng)絡情況如下：路由情況，Benet公司使用OSPF協(xié)議，按照OSPF分層路由的設計將Benet公司分為骨干區(qū)域和所有其他區(qū)域的兩層結(jié)構(gòu)。總公司及各分公司內(nèi)部的網(wǎng)絡規(guī)劃。內(nèi)部局域網(wǎng)使用接入交換機分別和兩臺核心三層交換機相連，并且所有局域網(wǎng)vlan都在核心交換機上進行vlan間路由。兩臺核心交換機使用熱備份技術（HSRP），并且使用負載均衡技術。OSPF區(qū)域規(guī)劃和IP地址規(guī)劃?？偣緸楣歉蓞^(qū)域Area0，其他區(qū)域號可以根據(jù)分配的IP地址或分公司所在的市的區(qū)號而定，這樣既便于識別也好記。IP地址規(guī)劃，考慮到網(wǎng)絡的擴展性和靈活性，同時充分考慮路由匯總以減少路由表的規(guī)模，特使用VLSM技術，基于以上考慮，Benet公司內(nèi)部網(wǎng)絡采用10.0.0.0/8網(wǎng)段，并給每個區(qū)域分配一個B類的地址。實驗過程中，為了降低難度，簡化拓撲圖如下：網(wǎng)絡規(guī)劃如下：公司從ISP處獲得的公網(wǎng)合法地址段為61.59.10.0/26，互聯(lián)地址為192.168.0.0/30，在公網(wǎng)地址61.59.10.0/27中為NAT地址池做PAT轉(zhuǎn)換，61.59.10.32/27留給內(nèi)部服務器使用，61.59.10.62為內(nèi)部Web服務器的IP地址公司內(nèi)部設備的互聯(lián)地址為：R0和R1中之間互聯(lián)地址為10.100.0.0/30，R0和SW1之間的互聯(lián)地址為10.0.0.0/30Loopback地址：R0的Loopback地址為10.0.1.1，R1的Loopback地址為10.1.1.1，SW1的Loopback地址為10.0.1.2財務部屬于vlan2，IP地址為10.0.2.0/24；服務器區(qū)屬于vlan3，IP地址為10.0.3.0/24，網(wǎng)絡監(jiān)控區(qū)屬于vlan10，IP地址為10.0.10.0/24公司內(nèi)部啟用OSPF協(xié)議，區(qū)域如圖中所示，并使用Loopback地址作為RouterID為SW1、SW2、SW3、SW4配置interfacevlan1的接口，IP地址分別是10.0.100.1/24、10.0.100.2/24、10.0.100.3/24、10.0.100.10/24配置網(wǎng)絡監(jiān)控軟件SolarWinds并監(jiān)控個別的Loopback地址、二層交換機的vlan1虛接口地址（此步實驗中可不做）財務服務器的IP地址為10.0.3.2/24，Web服務器的IP地址為10.0.3.3/24使用Loopback地址模擬上海分公司的內(nèi)網(wǎng)地址及公網(wǎng)用戶，路由器ISP的Loopback1的IP地址為61.59.12.2/24，R1的Loopback1的IP地址為10.1.2.1/24需求描述：總公司和分公司之間使用OSPF路由協(xié)議實現(xiàn)公司內(nèi)網(wǎng)互通，區(qū)域劃分如上圖所示財務信息屬于保密信息，所以Benet公司要求除財務人員外，其他人員都不得訪問財務服務器所有分公司和銷售總網(wǎng)點通過總公司訪問Internet公司內(nèi)部有一臺Web服務器并在網(wǎng)關設備處設置了靜態(tài)NAT，以保證外網(wǎng)能夠訪問Web服務器網(wǎng)絡建設推薦步驟：（需要packettracer6.1來完成）配置計算機IP地址、配置Benet內(nèi)部網(wǎng)絡二層交換機，包括：創(chuàng)建vlan、設置中繼口、將連接客戶機的接口加入相應vlan、配置網(wǎng)管地址、配置默認網(wǎng)關地址配置三層交換機，包括：創(chuàng)建vlan、trunk，上聯(lián)接口、Loopback地址，vlan2、vlan3、vlan10虛接口地址，ospf協(xié)議配置路由器及OSPF協(xié)議實現(xiàn)網(wǎng)絡互通：ISP路由器配置接口及靜態(tài)路由；R0配置接口地址、默認路由，OSPF及地址匯總、默認路由重分發(fā)；R1配置接口地址、OSPF配置NAT和ACL實現(xiàn)公司要求，并實現(xiàn)公司內(nèi)網(wǎng)訪問Internet：R0配置動態(tài)NAT和靜態(tài)NAT；SW1配置ACL，限制訪問財務處服務器對網(wǎng)絡設備配置SNMP，配置網(wǎng)絡管理軟件，并通過網(wǎng)絡管理軟件監(jiān)控網(wǎng)絡（對各網(wǎng)絡設備配置SNMP，否則網(wǎng)絡管理軟件SolarWinds監(jiān)控不了）子任務2：網(wǎng)絡割接：前面是Benet公司的現(xiàn)網(wǎng)情況，通過網(wǎng)絡拓撲和規(guī)范分析，該網(wǎng)絡構(gòu)架存在一個問題，就是總公司的網(wǎng)關路由器在內(nèi)網(wǎng)的OSPF網(wǎng)絡中既是ABR又是ASBR，而且所有的區(qū)域路由匯總均配置在此路由器上。這樣會導致總公司網(wǎng)關路由器的路由表過大，而且LSDB過大，LSA報文過多，而占用的路由器資源較大對網(wǎng)絡的穩(wěn)定是一個較大的隱患?；谝陨显?，Benet公司決定進行一次割接，讓各分公司或總銷售網(wǎng)點的路由器成為各區(qū)域的ABR，并在此路由器上進行路由匯總。如下圖所示：這樣OSPF協(xié)議將網(wǎng)絡分為兩層，一個骨干區(qū)域和若干個相互獨立的邊緣區(qū)域。這樣每個路由器的LSDB可以保持合理的大小，報文的數(shù)量也不會過大，路由匯總的配置可以分散到各個分公司的網(wǎng)關路由器，減少總公司網(wǎng)關路由器的壓力。簡化后的網(wǎng)絡割接拓撲圖如下：割接配置步驟：（需要packettracer6.1來完成）進行割接準備工作進行割接觀察網(wǎng)絡管理軟件，并查看告警信息驗證割接結(jié)果課外拓展練習：IBGP和EBGP基本配置（參看教材“高級路由交換技術”任務25）項目目的:通過本項目掌握：（1）啟動BGP路由進程（2）BGP進程中通告網(wǎng)絡（3）IBGP鄰居配置（4）EBGP鄰居配置（5）BGP路由更新源配置（6）next-hop-self配置（7）BGP路由匯總配置（8）BGP路由調(diào)試拓撲結(jié)構(gòu)圖因為本項目中IBGP的路由器（R1,R2和R3）形成全互聯(lián)（FULLMESH）的鄰居關系，所以路由器R1、R2和R3均關閉同步。IBGP路由器之間運行的IGP是EIGRP,為了提供BGP建立鄰居關系的TCP連接和BGP下一跳可達。實驗步驟（用PT6.1完成）（1）步驟1：配置路由器R1R1(config)#routereigrp1R1(config-router)#network1.1.1.0255.255.255.0R1(config-router)#network12.12.12.0255.255.255.0R1(config-router)#noauto-summaryR1(config)#routerbgp100R1(config-router)#nosynchronizationR1(config-router)#bgprouter-id1.1.1.1R1(config-router)#neighbor2.2.2.2remote-as100R1(config-router)#neighbor2.2.2.2update-sourceLoopback0R1(config-router)#neighbor3.3.3.3remote-as100R1(config-router)#neighbor3.3.3.3update-sourceLoopback0R1(config-router)#network1.1.1.0mask255.255.255.0R1(config-router)#noauto-summary（2）步驟2：配置路由器R2R2(config)#routereigrp1R2(config-router)#network2.2.2.0255.255.255.0R2(config-router)#network12.12.12.0255.255.255.0R2(config-router)#network23.23.23.0255.255.255.0R2(config-router)#noauto-summaryR2(config)#routerbgp100R2(config-router)#nosynchronizationR2(config-router)#bgprouter-id2.2.2.2R2(config-router)#neighbor1.1.1.1remote-as100R2(config-router)#neighbor1.1.1.1update-sourceLoopback0R2(config-router)#neighbor3.3.3.3remote-as100R2(config-router)#neighbor3.3.3.3update-sourceLoopback0R2(config-router)#noauto-summary（3）步驟1：配置路由器R3R3(config)#routereigrp1R3(config-router)#network3.3.3.0255.255.255.0R3(config-router)#network23.23.23.0255.255.255.0R3(config-router)#noauto-summaryR3(config)#routerbgp100R3(config-router)#nosynchronizationR3(config-router)#bgprouter-id3.3.3.3R3(config-router)#neighbor1.1.1.1remote-as100R3(config-router)#neighbor1.1.1.1update-sourceLoopback0R3(config-router)#neighbor1.1.1.1next-hop-selfR3(config-router)#neighbor2.2.2.2remote-as100R3(config-router)#neighbor2.2.2.2update-sourceLoopback0R3(config-router)#neighbor2.2.2.2next-hop-selfR3(config-router)#neighbor34.34.34.4remote-as200R3(config-router)#noauto-summary（4）步驟1：配置路由器R4R4(config)#routerbgp200R4(config-router)#nosynchronizationR4(config-router)#bgprouter-id4.4.4.4R4(config-router)#neighbor34.34.34.3remote-as100R4(config-router)#noauto-summaryR4(config-router)#network4.4.0.0mask255.255.255.0R4(config-router)#network4.4.1.0mask255.255.255.0R4(config-router)#network4.4.2.0mask255.255.255.0R4(config-router)#network4.4.3.0mask255.255.255.0R4(config-router)#network4.4.0.0mask255.255.252.0R4(config)#iproute4.4.0.0255.255.252.0null0

綜合項目的答案：*網(wǎng)絡建設推薦步驟：（需要packettracer6.1來完成）配置計算機IP地址、配置Benet內(nèi)部網(wǎng)絡二層交換機，包括：創(chuàng)建vlan、設置中繼口、將連接客戶機的接口加入相應vlan、配置網(wǎng)管地址、配置默認網(wǎng)關地址SW2的配置如下：Switch(config)#hostSW2//主機命名SW2(config)#vlan2SW2(config-vlan)#exitSW2(config)#intf0/24//設置中繼模式SW2(config-if)#switchportmodetrunkSW2(config-if)#exitSW2(config)#intf0/1//端口加入相應vlanSW2(config-if)#switchportaccessvlan2SW2(config-if)#exitSW2(config)#intvlan1//配置管理地址SW2(config-if)#ipadd10.0.100.2255.255.255.0SW2(config-if)#noshutSW2(config-if)#exitSW2(config)#ipdefault-gateway10.0.100.1//配置默認網(wǎng)關SW3的配置如下：Switch(config)#hostSW3SW3(config)#vlan3SW3(config-vlan)#exitSW3(config)#intf0/24SW3(config-if)#swmodetrunkSW3(config-if)#exitSW3(config)#intrangef0/1-2//端口加入相應vlanSW3(config-if-range)#swaccessvlan3SW3(config-if-range)#exitSW3(config)#intvlan1SW3(config-if)#ipadd10.0.100.3255.255.255.0SW3(config-if)#noshutSW3(config-if)#exitSW3(config)#ipdefault-gateway10.0.100.1SW4的配置如下：Switch(config)#hostSW4SW4(config)#vlan10SW4(config-vlan)#exitSW4(config)#intf0/24SW4(config-if)#swmotrunkSW4(config-if)#exitSW4(config)#intf0/1SW4(config-if)#swaccessvlan10SW4(config-if)#exitSW4(config)#intvlan1SW4(config-if)#ipadd10.0.100.10255.255.255.0SW4(config-if)#noshutSW4(config-if)#exitSW4(config)#ipdefault-gateway10.0.100.1配置三層交換機，包括：創(chuàng)建vlan、trunk，上聯(lián)接口、Loopback地址，vlan2、vlan3、vlan10虛接口地址，ospf協(xié)議Switch(config)#hostnameSW1SW1(config)#vlan2SW1(config-vlan)#exitSW1(config)#vlan3SW1(config-vlan)#exitSW1(config)#vlan10SW1(config-vlan)#exitSW1(config)#intrangef0/1-3//設置下聯(lián)二層交換機的端口為trunkSW1(config-if-range)#switchporttrunkencapsulationdot1qSW1(config-if-range)#swmodetrunkSW1(config-if-range)#exitSW1(config)#intf0/24//上聯(lián)口改為三層口SW1(config-if)#noswitchportSW1(config-if)#ipadd10.0.0.2255.255.255.252SW1(config-if)#noshutSW1(config-if)#exitSW1(config)#intloop0SW1(config-if)#ipadd10.0.1.2255.255.255.255SW1(config-if)#noshutSW1(config-if)#exitSW1(config)#intvlan2//設置各vlan虛接口地址，實現(xiàn)各vlan互通SW1(config-if)#ipadd10.0.2.1255.255.255.0SW1(config-if)#noshutSW1(config-if)#exitSW1(config)#intvlan3SW1(config-if)#ipadd10.0.3.1255.255.255.0SW1(config-if)#noshutSW1(config-if)#exitSW1(config)#intvlan10SW1(config-if)#ipadd10.0.10.1255.255.255.0SW1(config-if)#noshutSW1(config-if)#exitSW1(config)#intvlan1//設置管理地址SW1(config-if)#ipadd10.0.100.254255.255.255.0SW1(config-if)#noshutSW1(config-if)#exitSW1(config)#iprouting//啟用路由SW1(config)#routerospf1//配置OSPF，宣告所連網(wǎng)絡SW1(config-router)#router-id10.0.1.2SW1(config-router)#network10.0.1.20.0.0.0area0SW1(config-router)#network10.0.0.00.0.0.3area0SW1(config-router)#network10.0.2.00.0.0.255area0SW1(config-router)#network10.0.3.00.0.0.255area0SW1(config-router)#network10.0.10.00.0.0.255area0SW1(config-router)#network10.0.100.00.0.0.255area0SW1(config-router)#exit配置路由器及OSPF協(xié)議實現(xiàn)網(wǎng)絡互通：ISP路由器配置接口及靜態(tài)路由；R0配置接口地址、默認路由，OSPF及地址匯總、默認路由重分發(fā)；R1配置接口地址、OSPF配置ISP路由器：Router(config)#hostISPISP(config)#intf0/0ISP(config-if)#ipadd192.168.0.1255.255.255.252ISP(config-if)#noshutISP(config-if)#exitISP(config)#intloopback0ISP(config-if)#ipadd61.59.12.2255.255.255.0ISP(config-if)#noshutISP(config-if)#exitISP(config)#iproute61.59.10.0255.255.255.192192.168.0.2//配置靜態(tài)路由，訪問內(nèi)部網(wǎng)絡nat轉(zhuǎn)換后的地址則發(fā)往192.168.0.2端口ISP(config)#配置R0Router(config)#hostR0R0(config)#intf0/0R0(config-if)#ipadd192.168.0.2255.255.255.252R0(config-if)#noshutR0(config-if)#exitR0(config)#intf0/1R0(config-if)#ipadd10.0.0.1255.255.255.252R0(config-if)#noshutR0(config-if)#exitR0(config)#intf1/0R0(config-if)#ipadd10.100.0.1255.255.255.252R0(config-if)#noshutR0(config-if)#exitR0(config)#intloopback0R0(config-if)#ipadd10.0.1.1255.255.255.0R0(config-if)#noshutR0(config-if)#exitR0(config)#routerospf1//配置OSPF，宣告所連網(wǎng)絡R0(config-router)#router-id10.0.1.1R0(config-router)#network10.0.1.10.0.0.0area0R0(config-router)#network10.100.0.00.0.0.3area1R0(config-router)#network10.0.0.00.0.0.3area0R0(config-router)#area0range10.0.0.0255.255.0.0//區(qū)域0地址匯總R0(config-router)#area1range10.1.0.0255.255.0.0//區(qū)域1地址匯總R0(config-router)#default-informationoriginate//默認路由重分發(fā)到ospfR0(config-router)#exitR0(config)#iproute0.0.0.00.0.0.0192.168.0.1//配置默認路由配置R1：Router(config)#hostR1R1(config)#intf0/0R1(config-if)#ipadd10.100.0.2255.255.255.252R1(config-if)#noshutR1(config-if)#exitR1(config)#intloop0R1(config-if)#ipadd10.1.1.1255.255.255.255R1(config-if)#noshutR1(config-if)#exitR1(config)#intloop1R1(config-if)#ipadd10.1.2.1255.255.255.0R1(config-if)#noshutR1(config-if)#exitR1(config)#routerospf1//配置OSPF，宣告所連網(wǎng)絡R1(config-router)#router-id10.1.1.1R1(config-router)#network10.1.1.10.0.0.0area1R1(config-router)#network10.100.0.00.0.0.3area1R1(config-router)#network10.1.2.00.0.0.255area1R1(config-router)#exit配置NAT和ACL實現(xiàn)公司要求，并實現(xiàn)公司內(nèi)網(wǎng)訪問Internet：R0配置動態(tài)NAT和靜態(tài)NAT；SW1配置ACL，限制訪問財務處服務器配置R0：R0(config)#access-list100denyipany10.0.0.00.255.255.255//配置ACL，此處指定外網(wǎng)地址不能訪問10.0.0.0/8內(nèi)部網(wǎng)絡R0(config)#access-list100permitipanyany//允許其他網(wǎng)絡互訪R0(config)#ipnatpooltest61.59.10.161.59.10.30netmask255.255.255.224//配置可用于轉(zhuǎn)換的地址池R0(config)#ipnatinsidesourcelist100pooltestoverload//配置動態(tài)NATR0(config)#ipnatinsidesourcestatic10.0.2.361.59.10.62//配置靜態(tài)NATR0(config)#intf0/0R0(config-if)#ipnatoutside//指定NAT外部接口R0(config-if)#exitR0(config)#intf0/1R0(config-if)#ipnatinside//指定NAT內(nèi)部接口R0(config-if)#exitR0(config)#intf1/0R0(config-if)#ipnatinside//指定NAT內(nèi)部接口R0(config-if)#exit在配置SW1的ACL之前可以先檢測一下全網(wǎng)互通及是否能夠通過NAT訪問外網(wǎng)，可以使用財務部pc進行ping測試R0#showipnattranslations配置SW1：SW1(config)#access-list100permitip10.0.2.00.0.0.25510.0.3.20.0.0.0//配置ACL，此處指定10.0.2.0/24允許