網(wǎng)絡(luò)工程綜合實訓報告新編

網(wǎng)絡(luò)工程綜合實訓報告新編systemoffice【GEIHUA16H-GEIHUAGEIHUA8Q8-

項目名稱

網(wǎng)絡(luò)程綜組網(wǎng)實訓告中小企業(yè)網(wǎng)絡(luò)改班組

級長

網(wǎng)絡(luò)王坤成

員

申中文

崔文生指導教師日

朱文龍期12月22日中小企業(yè)網(wǎng)絡(luò)改建一、項目內(nèi)容與目標本項目模擬一個真實的網(wǎng)絡(luò)工程，加強對網(wǎng)絡(luò)技術(shù)的理解，提高網(wǎng)絡(luò)技術(shù)的實際應(yīng)用能力。（宋體小四）通過本實訓，應(yīng)達到以下目標：了解網(wǎng)絡(luò)建設(shè)流程掌握中小企業(yè)組網(wǎng)相關(guān)技術(shù)獨立部署中小企業(yè)網(wǎng)絡(luò)二、項目背景

現(xiàn)有網(wǎng)絡(luò)存在的問題（宋體小四）該公司是一個高新技術(shù)企業(yè)，以研發(fā)，銷售汽車零件為主，公司總部設(shè)在北京，在深圳設(shè)有一個辦事處，在上海設(shè)有研究所?？偛控撠煿具\營管理，深圳辦事處負責銷售，上海負責公司產(chǎn)品市場調(diào)研，產(chǎn)品研發(fā)等工作。但隨著公司發(fā)展，還存在以下網(wǎng)絡(luò)問題。）網(wǎng)絡(luò)故障斷，時常出現(xiàn)網(wǎng)絡(luò)癱瘓現(xiàn)象。）病毒泛濫攻擊不斷‘）總部同辦處發(fā)送信息不安全。）員工使用工具，不能監(jiān)管。）公司的一服務(wù)器只能托管，不能放在公司內(nèi)部。三、網(wǎng)絡(luò)規(guī)劃與設(shè)計網(wǎng)絡(luò)建目（黑體小四加粗）正文（宋體小四）該公司決定對當前的總部及辦事處的辦公網(wǎng)絡(luò)進行升級改造，解決當前網(wǎng)絡(luò)存在的問題，提高公司效益，降低公司的運營成本。為此公司提出了以下建設(shè)目標。）網(wǎng)絡(luò)帶寬級，達到千兆骨干，百兆到桌面。）增強網(wǎng)絡(luò)可靠性及可用性。

）網(wǎng)絡(luò)要易管理，升級和擴展。）確保內(nèi)網(wǎng)全級同辦事處之間交互數(shù)據(jù)的安全。）服務(wù)器管及訪問權(quán)限控制，并能監(jiān)管網(wǎng)絡(luò)中的P2P應(yīng)用網(wǎng)絡(luò)規(guī)

拓撲規(guī)劃規(guī)劃的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如實驗圖所示。為了方便統(tǒng)一管理，需要對所有設(shè)備進行統(tǒng)一命名。AA—BB—CC其中，AA表示備所處的地點，如北京簡為，上海簡寫為SH；BB示設(shè)備的型號，如MSR30-20表為MSR3020，S3100-52P-SI表示為SW1；CC表同型號設(shè)備的數(shù)量，如第一臺設(shè)備表示為0，第二胎設(shè)備標識為1。根據(jù)上述規(guī)則，總部的第一臺路由器MSR30-20名問為RT1其余以此類推。所有設(shè)備的命名明細如實驗表所示。表1設(shè)備命名明細表辦事處

設(shè)備型號

設(shè)備名稱

北京總部MSR30-20RT1S56-26CBJ-5626C-0S5100-16P-SIBJ-S5116P-0S3100-52TP-SISW1S3100-52TP-SISW2S3100-52TP-SISW3深圳辦事處H3CMSR20-20RT2S3100-52TP-SISW4上海研究所H3CMSR20-20RT3S3100-52TP-SISW5WAN規(guī)劃

根據(jù)需求分析，在總部及分支機構(gòu)之間使用專線連接，并選用中國電信公司提供的基于傳輸網(wǎng)絡(luò)的E1路。由于上海研究所的業(yè)務(wù)數(shù)據(jù)相對較多，對帶寬需求較高，總部與上海研究所之間采用條E1路，總部與深圳辦事處之間采用條E1線路.如下圖所示。所以在選用設(shè)備的廣域網(wǎng)接口模塊模塊時,部選用4E1-F,圳辦事處選用1E1-F,而上海研究所選用2E1-F模塊如果辦事處繼續(xù)增加，可以將E1模塊換塊。因為一個155Mbps的CPOS塊可以通過傳輸設(shè)備行時隙劃分，分為個E1接口。LAN規(guī)劃（互聯(lián)VLAN這不要直接使用ip址即可）局域網(wǎng)規(guī)劃包含VLAN規(guī)劃，端口聚合規(guī)劃以及端口隔離，地址捆綁規(guī)劃幾個部分。對于深圳和上海員工數(shù)量較少的不劃分VLAN而北京部員工數(shù)量多，部門之間需要訪問控制，所以要進行VLAN分。人事行政部，財務(wù)商務(wù)部人數(shù)相對較少，而且業(yè)務(wù)比較密切，劃分在1VLAN內(nèi)即可。產(chǎn)品研發(fā)部和技術(shù)支持部在業(yè)務(wù)上相對獨立，而且產(chǎn)品研發(fā)部還有訪問控制要求，因此將兩個部門各自劃分一個VLAN。為便管理，也將服務(wù)區(qū)劃分為一個VLAN部門、、交換機端口之間的關(guān)系如實驗表示

表２VLAN規(guī)劃明細表部門VLAN號

所在設(shè)備

端口明細人事行政部VLAN10BJ-S3152TP-0E1/0/1~E1/0/10財務(wù)商務(wù)部VLAN10BJ-S3152TP-0E1/0/11~E1/0/30管理VLANVLAN1

交換機的管理，用于Telnet及SNMP另外，在研發(fā)部的服務(wù)器區(qū)使用端口隔離技術(shù)，嚴格控制外部的訪問，并針對內(nèi)網(wǎng)中出現(xiàn)的病毒現(xiàn)象，在核心交換機上進行端口捆綁。為了便于IP地址分配和管理，采用DHCP地分配方式。使用核心換機26C為DHCP服務(wù)器。IP地址劃在該公司具體規(guī)劃如下。

①地址：根據(jù)實際需要，并結(jié)合未來的需求數(shù)量，規(guī)劃業(yè)務(wù)地段如驗表3所。②連地址：互連地址主要用于設(shè)備的互連，在XX公司網(wǎng)絡(luò)中設(shè)備的互連地址主要有總部核心交換機與路由器互連、總部路由器與分支路由器互連等。共需要對互連地址，如實驗表4所示。③管理地址：用于設(shè)備的管理，各設(shè)備管理地址如試驗表5所示。表3

業(yè)務(wù)地址分配表地點VLAN號

網(wǎng)絡(luò)好IP地址范圍

網(wǎng)關(guān)地址北極總部VLAN10VLAN20VLAN30VLAN40深圳辦事處—

上海研究所—表4本端設(shè)備

設(shè)備的互聯(lián)地址本端IP址

對端設(shè)備

對端IP地址BJ-S5626C-0BJ-MSR3020-0BJ-MSR3020-0SZ-MSR2020-0BJ-MSR3020-0SH-MSR2020-0表5辦事處

設(shè)備的管理地址設(shè)備名稱

管

理VLAN-管理地址Loopback北京總部RT1LoopbackBJ-S5626C-0VLAN25/29

SW1VLAN126/29SW2VLAN127/29SW3VLAN128/29深圳辦事處RT2Loopback18/32SW4VLAN150/24上海研究所RT3Loopback19/32SW5VLAN150/24

路由規(guī)劃該公司的網(wǎng)絡(luò)結(jié)構(gòu)比較簡單，只有一個總部和兩個異地分支機構(gòu)。如果只考慮現(xiàn)狀，在這樣的網(wǎng)絡(luò)里，只需要部署靜態(tài)路由就可使全網(wǎng)互通。但該公司的網(wǎng)絡(luò)并不會止于現(xiàn)狀，隨著業(yè)務(wù)的發(fā)展，公司的規(guī)模也會逐漸壯大，發(fā)展更多的辦事處。當公司擴大達一定規(guī)模的時候，就必須將靜態(tài)路由轉(zhuǎn)換為動態(tài)路由，需要對網(wǎng)絡(luò)重新進行規(guī)劃，不利于發(fā)展。而如果現(xiàn)在采用動態(tài)路由協(xié)議，在網(wǎng)絡(luò)規(guī)模擴展時就不會出現(xiàn)這種現(xiàn)象，所以應(yīng)該使用動態(tài)路由協(xié)議。

在動態(tài)路由協(xié)議中，用得最多的是OSPF協(xié)議。所以該公司考慮到以后網(wǎng)絡(luò)的擴展，需要對OSPF行規(guī)劃。將總部路由器的下行接口和分支路由器的上行接口規(guī)劃為總部的局域網(wǎng)規(guī)劃為Area1深圳辦事處規(guī)劃為，上海研究所規(guī)劃為Area3。在網(wǎng)絡(luò)的出口配置默認路由，以便訪問外網(wǎng)，該路由下一跳為運營商路由器的接口地址。

安全規(guī)劃安全規(guī)劃主要包含有訪問控制，攻擊防范和P2P監(jiān)控3快內(nèi)。訪問控制可以在路由器上通過ACL實現(xiàn)。攻擊防范可以通過在出口路由器上啟動攻擊防范功能來實現(xiàn)，這樣就可以有效地阻止外部對內(nèi)網(wǎng)的各種攻擊。P2P監(jiān)控可以通過啟動路由器上的功能來實現(xiàn)，發(fā)現(xiàn)問題可以及時阻止。通過在出口路由器上部署NAT，可允許總部及分支機構(gòu)訪問。通過部署NATSever，可以允許總部的服務(wù)器對外提供服務(wù)。四、網(wǎng)絡(luò)配置實施總體內(nèi)部（黑體小四加粗）步驟一總內(nèi)網(wǎng)部署（述相關(guān)設(shè)備及每設(shè)備詳細配置）

總部網(wǎng)絡(luò)的拓撲結(jié)構(gòu)及端口的連接主要涉及設(shè)備的命名，端口連接描述，核心交換機與服務(wù)器交換機的鏈路聚合，VLAN配置，VLAN由以及交換機管理地址的配置?？偛客負浣Y(jié)構(gòu)如下圖。第1：按照前期的命名規(guī)劃及端口描述給每臺設(shè)備命名并添加端口描述，下面是添加端口描述的命令。<RT1>sys[RT1]interfaceGigabitEthernet0/0/0[RT1-GigabitEthernet0/0/0]descriptionlink-to-G0/0/0第2：配置核心交換機與服務(wù)區(qū)交換機的端口聚合，參與聚合的端口，使用基于手動方式的鏈路聚合。[SW1]interfaceBridge-Aggregation[SW1-Bridge-Aggregation1]interfaceEthernet0/4/0[SW1-Ethernet0/4/0]portlink-aggregationgroup1%Dec2214:50:32:4042015SW1LAGG/5/LAGG_ACTIVE:MemberEthernet0/4/0aggregationBAGG1becomesACTIVE.[SW1-Ethernet0/4/0]

%Dec2214:50:32:4352015SW1IFNET/3/LINK_UPDOWN:Bridge-Aggregation1linkstatusis[SW1-Bridge-Aggregation1]interfaceEthernet0/4/1[SW1-Ethernet0/4/1]portlink-aggregationgroup1[SW2]interfaceBridge-Aggregation[SW2-Bridge-Aggregation1]interfaceEthernet0/4/0[SW2-Ethernet0/4/0]portlink-aggregationgroup1[SW2-Ethernet0/4/0]interfaceEthernet0/4/1[SW2-Ethernet0/4/1]portlink-aggregationgroup1第3：根據(jù)前期的及端口分配規(guī)劃，在各接入交換機上配置，并將上行接口配置為Trunk路，允許相關(guān)VLAN通。[SW3]vlan[SW3-vlan10]portE0/4/0[SW3]vlan[SW3-vlan20]portE0/4/1[SW3-Ethernet0/4/2]portlink-type

[SW3-Ethernet0/4/2]porttrunkpermitvlan10第4：為了讓VLAN之間能夠通信，在核心交換機上為每個VLAN配置地址，啟動間路由功能，具體IP址前期規(guī)劃。[SW3]interface10[SW3-Vlan-interface10]interface20第5：根據(jù)前期的規(guī)劃，要在核心交換機上配置DHCP議，為配IP址。[SW3]dhcpenable[SW3]dhcpserverip-pool[SW3]dhcpserverip-pool第6：配置交換機的管理地址。[SW2]interfaceVlan1[SW2-Vlan-interface1]%Dec2216:03:50:4802015SW2IFNET/3/LINK_UPDOWN:Vlan-interface1linkstatusis%Dec2216:03:50:4802015SW2IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheVlan-interface1isUP.

[SW2-Vlan-interface1]quit步驟二深內(nèi)網(wǎng)部署（述相關(guān)設(shè)備及每設(shè)備詳細配置）深圳辦事處的網(wǎng)絡(luò)結(jié)構(gòu)的內(nèi)網(wǎng)部署主要由設(shè)備命名，配置管地址配置3部分組成。網(wǎng)絡(luò)結(jié)構(gòu)如下圖。第1：按照前期的規(guī)劃，添加端口描述的詳細命令。[RT2]interfaceGigabitEthernet0/0/0[RT2-GigabitEthernet0/0/0]descriptionlink-to-G0/0/1[SW4]interfaceGigabitEthernet0/0/1[SW4-GigabitEthernet0/0/1]descriptionlink-to-G0/0/0第2：DHCP配置。在深圳辦事處，使用方式為接入PC分IP址[RT2]interfaceGigabitEthernet0/0/0[RT2-GigabitEthernet0/0/0]quit[RT2]dhcpenable[RT2]dhcpserverip-pool1[RT2-dhcp-pool-1]quit

第3：為了方便交換機的管理，需要為交換機配置管理地址，寫出為交換機配置管理地址的具體命令以及此地址發(fā)布的路由。[SW4]interfacevlan1[SW4-Vlan-interface1]quit步驟三上內(nèi)網(wǎng)部署（述相關(guān)設(shè)備及每設(shè)備詳細配置）上海研究所的網(wǎng)絡(luò)結(jié)構(gòu)的內(nèi)網(wǎng)部署主要由設(shè)備命名，配置管地址配置3部分組成。網(wǎng)絡(luò)結(jié)構(gòu)如下圖。第1：按照前期的規(guī)劃，添加端口描述的詳細命令。[RT3]interfaceGigabitEthernet0/0/1[RT3-GigabitEthernet0/0/1]descriptionlink-to-G0/0/2[SW5]interfaceGigabitEthernet0/0/2[SW5-GigabitEthernet0/0/2]descriptionlink-to-G0/0/1第2：DHCP配置。在上海研究所，使用方式為接入PC分IP址[RT3-GigabitEthernet0/0/1]quit[RT3]dhcpenable

DHCPisenabledsuccessfully![RT3]dhcpserverip-pool1[RT3-dhcp-pool-1]quit第3：為了方便交換機的管理，需要為交換機配置管理地址，寫出為交換機配置管理地址的具體命令以及此地址發(fā)布的路由。[SW5]interfacevlan1[SW5-Vlan-interface1]%Dec2216:59:43:7682015SW5IFNET/3/LINK_UPDOWN:Vlan-interface1linkstatusis%Dec2216:59:43:7682015SW5IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheVlan-interface1isUP.[SW5-Vlan-interface1]quit廣域網(wǎng)署（描述相關(guān)設(shè)備及每個設(shè)備詳細配置）為了保障總部與分支機構(gòu)之間傳輸數(shù)據(jù)的安全，在總部與分支機構(gòu)采用專線連接，因為專線是一種與其他網(wǎng)絡(luò)物理隔離的網(wǎng)絡(luò)，在數(shù)據(jù)傳輸上有很高的安全性?？紤]到上海研究所生產(chǎn)數(shù)據(jù)量較大，因此在上海研究所與北京總部之間采用兩條E1線路；深圳辦事處與北京總部之間采用1條線路。

在線路上，采用點到點的PPP協(xié)議作為廣域網(wǎng)協(xié)議；北京總部和上海研究所之間采用MP-group的方式將兩條E1線路綁起來使用。第1：寫出有關(guān)PPP的配置。[RT1]interfaceSerial0/1/0[RT1-Serial0/1/0]descriptionlink-to-S0/1/1[RT1]interfaceSerial0/1/1[RT1-Serial0/1/1]descriptionlink-to-S0/1/0[RT1]interfaceSerial0/1/2[RT1-Serial0/1/2]descriptionlink-to-S0/1/3[RT1]interfaceMp-group[RT1-Mp-group0]ints0/1/1[RT1-Serial0/1/1]pppMp-group0[RT1-Serial0/1/1]%Dec2217:49:29:5872015RT1IFNET/3/LINK_UPDOWN:linkstatusisDOWN.%Dec2217:49:29:5872015RT1IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheSerial0/1/1isDOWN.

%Dec2217:49:29:5872015RT1IFNET/3/LINK_UPDOWN:linkstatusisUP.%Dec2217:49:29:6182015RT1IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheSerial0/1/1isUP.[RT1-Serial0/1/1]ints0/1/2[RT1-Serial0/1/2]pppMp-group0[RT1-Serial0/1/2]%Dec2217:51:01:3002015RT1IFNET/3/LINK_UPDOWN:linkstatusisDOWN.%Dec2217:51:01:3002015RT1IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheSerial0/1/2isDOWN.%Dec2217:51:01:3002015RT1IFNET/3/LINK_UPDOWN:linkstatusisUP.%Dec2217:51:01:3162015RT1IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheSerial0/1/2isUP.第2：配置[RT2]interfaceSerial0/1/1

[RT2-Serial0/1/1]descriptionlink-to-s0/1/0[RT2-Serial0/1/1]%Dec2217:53:04:4772015RT2IFNET/5/PROTOCOL_UPDOWN:IPCPontheSerial0/1/1isUP.第3：配置[RT3]interfaceSerial0/1/3[RT3-Serial0/1/3]descriptionlink-to-s0/1/2[RT3-Serial0/1/3]ints0/1/0[RT3-Serial0/1/0]descriptionlink-to-s0/1/1[RT3-Serial0/1/0]quit[RT3]interfaceMp-group[RT3-Mp-group0]int[RT3-Mp-group0]ints0/1/3[RT3-Serial0/1/3]pppMp-group0[RT3-Serial0/1/3]

%Dec2217:56:03:6072015RT3IFNET/3/LINK_UPDOWN:linkstatusisDOWN.%Dec2217:56:03:6072015RT3IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheSerial0/1/3isDOWN.%Dec2217:56:03:7322015RT3IFNET/3/LINK_UPDOWN:linkstatusisUP.%Dec2217:56:03:7482015RT3IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheSerial0/1/3isUP.%Dec2217:56:03:7482015RT3IFNET/3/LINK_UPDOWN:linkstatusisUP.%Dec2217:56:03:7482015RT3IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheMp-group0isUP.%Dec2217:56:03:7482015RT3IFNET/5/PROTOCOL_UPDOWN:IPCPontheMp-group0is[RT3-Serial0/1/3]ints0/1/0[RT3-Serial0/1/0]pppMp-group0[RT3-Serial0/1/0]

%Dec2217:56:24:3562015RT3IFNET/3/LINK_UPDOWN:linkstatusisDOWN.%Dec2217:56:24:3562015RT3IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheSerial0/1/0isDOWN.%Dec2217:56:24:3562015RT3IFNET/3/LINK_UPDOWN:linkstatusisUP.%Dec2217:56:24:3712015RT3IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheSerial0/1/0isUP.路由部（述相關(guān)設(shè)備及每個設(shè)備詳細配置）考慮到該公司未來的發(fā)展戰(zhàn)略規(guī)劃，在部署路由時，全網(wǎng)采用動態(tài)的OSPF協(xié)議，并規(guī)劃每個辦事處為一個Area，這樣如果以后網(wǎng)絡(luò)規(guī)模擴大，也不需要對整個網(wǎng)絡(luò)重新規(guī)劃，而只需增加Area可為了方便對各個辦事處訪外網(wǎng)的控制，規(guī)劃這個網(wǎng)絡(luò)的公司出口設(shè)在總部，由總部統(tǒng)一出口訪問外網(wǎng)，在總部與外網(wǎng)之間使用默認路由。第1：SW1交機路由配置手工指定router為VLAN1的接口地址[SW1[SW1]ospf

[SW1-ospf-1]area在區(qū)域里發(fā)布網(wǎng)段,后面跟的是反掩碼,但有些址我們很難口算出它的反掩碼CMW供了這樣一個特性,可以將掩碼自動轉(zhuǎn)化為反掩碼,為此我們演示一下,發(fā)布網(wǎng)段時使用掩碼,并驗證是否能自動轉(zhuǎn)換。[SW1驗證是否能自動將掩碼轉(zhuǎn)換成反掩碼[SW1##return#發(fā)布同路由互連接口地址[SW1#發(fā)布交換機管理VLAN地址段[SW1-第2：RT1路器路由配置創(chuàng)建并進入loopback0接

[RT1]int0為loopback接口配置IP地,意掩碼為32位[RT1手工指定routerid[RT1[RT1]ospf創(chuàng)建并進入area1[RT1-ospf-1]area發(fā)布同BJ-S5626C-0的連網(wǎng)段[RT1為了便于管理發(fā)布loopback接口地址,作為管地址[RT1創(chuàng)建并進入area0[RT1-ospf-1]area#發(fā)布同及RT3的互連網(wǎng)段[RT1

[RT1-第3：RT2路由器路由配置創(chuàng)建并進入loopback0接[RT2]int0為loopback接口配置IP地，注意掩碼為32位[RT2手工指定routerid[RT2[RT2]ospf[RT2-ospf-1]area發(fā)布同的互連網(wǎng)段[RT2[RT2-ospf-1]area發(fā)布深圳辦事處內(nèi)網(wǎng)網(wǎng)段地址[RT2發(fā)布loopback地址，作為網(wǎng)管地址。

[RT2第4：RT3路由器路由配置[RT3]int0為loopback接口配置IP地,意掩碼為32位[RT3[RT3[RT3]ospf[RT3-ospf-1]area發(fā)布同的互連網(wǎng)段[RT3[RT3-ospf-1]area發(fā)布上海研究所內(nèi)網(wǎng)網(wǎng)段地址[RT3發(fā)布loopback地址作為網(wǎng)管地址[RT3第5：配置訪問Internet的路

[RT1-Serial0/1/3配置一條缺省路由，下一跳指向ISP的網(wǎng)關(guān)地址[RT1將缺省路由發(fā)布到OSPF中[RT1-ospf-1]default-route-advertise網(wǎng)絡(luò)安部（描述相關(guān)設(shè)備及每個備詳細配置）第1：內(nèi)網(wǎng)全部使用的是私有地址，如需訪問Internet還需要進行地址轉(zhuǎn)換，同時可以將內(nèi)網(wǎng)中的服務(wù)器發(fā)布到Internet創(chuàng)建ACL[RT1]aclnumber2000match-order[RT1-acl-basic-2000]rulepermit進入連接Internet的接口[RT1]interfaceS0/1/3使用EasyIP方式使N[RT1-Serial0/1/3]natoutbound2000發(fā)布WWW及A服器

[RT1-Serial0/1/3[RT1-Serial0/1/3第2：攻擊防范配置。常見的病毒及攻擊端口?如ACL3001aclberre0tcppor3127re1tcppor1025re2tcppor5554re3tcppor9996re4tcppor1068re5tcppor135re6source-poreqre7tcppor137re8source-poreqos-re9tcppor138redenyudpsource-tnetbios-dgm

redenytsource-porteq139redenyudpsource-tnetbios-ssnredenytsource-porteq593redenytsource-porteq4444redenytsource-porteq5800re