网络工程综合实践
目录
设计要求 .................................................................................................................................................. 3 1、设计案例 ....................................................................................................................................... 3 2、总体设计技术要求 ....................................................................................................................... 3 总体设计内容 .......................................................................................................................................... 4 1.网络总体设计拓扑 ......................................................................................................................... 4 2、设备基本选型: ........................................................................................................................... 4 ①核心层设备选型......................................................................................................................... 4 ②汇聚层设备选型......................................................................................................................... 4 ③接入层设备选型......................................................................................................................... 5 3、服务器设备选型 ........................................................................................................................... 5 ①主域服务器 ................................................................................................................................ 5 ②web和ftp服务器 ...................................................................................................................... 5 ③DNS和DHCP服务器 .................................................................................................................... 5 4、设备位置: ..................................................................................................................................... 5 配置方案 .................................................................................................................................................. 6 VTP和VLAN的配置 ............................................................................................................................ 7 VLAN的划分 ........................................................................................................................................ 8 IP地址规划 ........................................................................................................................................ 9 接入层地址用DHCP .......................................................................................................................... 10 DHCP服务器地址池配置 .................................................................................................................. 11 在DHCP的CLIENT端做配置 .............................................................................................................. 11 三层动态路由协议配置 ................................................................................................................... 12 ACL和NAT的结合运用 .................................................................................................................... 13 VPN: ................................................................................................................................................. 14 AAA: ................................................................................................................................................. 16 实验总结 ................................................................................................................................................ 17
设计要求
1、设计案例 某集团公司共六个分公司,其中四个在集团工业园内各个建筑物内,总部为工业园内30层的主楼,第一分公司与主楼相距50米,第二分公司与主楼相距50米,第三分公司与主楼相距5公里,第四分公司与主楼相距8公里,另外两个分公司在另外的两个城市有各自的办公楼。
各公司及总部都有自己的计算机室,财务部(caiwu),行政部(xingzheng),生产部(shengchan),研发部(yanfa),后勤部(houqin),业务部(yewu)及人力资源部(renli)。
2、总体设计技术要求 ①路由器和交换机的基本配置 ②服务器的基本配置(Mail,FTP,Web) ③VLAN的划分、VTP ④动/静态路由协议的配置 ⑤DHCP、DNS ⑥NAT、ACL ⑦远程访问VPN
⑧AAA中的Web Portal认证
总体设计内容
1.网络总体设计拓扑
2、设备基本选型: ①核心层设备选型
核心层是整个内部网络高速交换中枢,对整个网络的连通性和网络的性能起到至关重要的作用。核心网络层网络设备的选择上需要保证未来的网络应该具有如下特性:可靠性,高效性,冗余性,容错性,可管理型,适应性和低延时性等。故可用万兆核心交换机作为整个校园网核心层的交换机。 ②汇聚层设备选型
汇聚层应具有实施策略,安全,工作组计入,虚拟局域网之间的路由,源地址或目的地址过滤等多种功能。考虑到园区网内本地应用复杂,流量大,可采用全千兆三层交换机,可支持多个千兆端口,具
有48Gb/s以上的背板带宽,二,三层包转发率达到18Mpps以上,支持冗余电源接口。 ③接入层设备选型
接入层向本地网段提供工作站接入,是桌面设备的汇聚点。由于园区需求量大,可选用多个级连的hub或堆叠的二层LAN交换机,构成一个独立的局域子网,在分布层为各个子网间建立路由。 3、服务器设备选型 ①主域服务器
主域服务器是整个网络域控制器,作为网络用户登录服务器,保存有部门网络用户信息。 ②web和ftp服务器
该服务器为网络用户提供信息浏览和文件下载。该服务器需要有较大的硬盘和内存空间,要有较快的网络响应。这两个逻辑服务器各异设置在一太物理服务器上。 ③DNS和DHCP服务器
由于网络用户过多,可设置DHCP服务器,以减少地址维护工作和防止地址冲突的发生。这两个服务器可设置在一台物理服务器中。 4、设备位置:
设备应放在一个通风良好,防外界电磁干扰条件的环境中。
如图所示,本次模拟实验要用到:
设备类型 3560交换机 2620XM路由器 2950交换机 PC 直连线 交叉线 光缆 服务器
说明:由需求得,分公司3和分公司4相隔较远,在此处用光缆(图中没有标出来)。由于此图的局限性,并没有完全地展示这一个工程的具体拓扑,只能大概的说明一下,所有有些地方并不是很完整。
数量 7台 若干台 若干台 若干台 若干 若干 2根 若干 配置方案
此需求中要求这个公司有一个总部,6个分部,用7台三层交换机表示其核心的交换机。
VTP和VLAN的配置
此处以sw1为例,分公司1是由一个核心交换机、N个2950-24交换机和N台PC等组成,这里只是表示其中2台设备(由于配置都大致相同,就不一一举例了)。该公司都有自己的计算机室,财务部,行政部,生产部,研发部,后勤部,业务部及人力资源部。这里将这七个部门分为7个vlan,分别叫caiwu,xingzheng,shengchan,yanfa,houqing,yewu,和renli。此图中只有caiwu和xingzheng两个部门。 则VTP的配置:
sw1(config)#vtp domain CCIE sw1(config)#vtp password cisco sw1(config)#vtp mode server
在caiwu和xingzheng上: vtp domain CCIE vtp pass word cisco vtp mode client
他们只需要客户端就行了,只从服务端接收关于vlan等的信息,达到同步。
VLAN的划分 Sw1(config)#vlan 10 Sw1(config-vlan)#name caiwu Sw1(config-vlan)#exi Sw1(config)#vlan 20
Sw1(config-vlan)#name xingzheng Sw1(config-vlan)#exi Sw1(config)#vlan 30
Sw1(config-vlan)#name shengchan Sw1(config-vlan)#exi Sw1(config)#vlan 40 Sw1(config-vlan)#name yanfa Sw1(config-vlan)#exi Sw1(config)#vlan 50
Sw1(config-vlan)#name houqing Sw1(config-vlan)#exi Sw1(config)#vlan 60 Sw1(config-vlan)#name yewu Sw1(config-vlan)#exi Sw1(config)#vlan 70
Sw1(config-vlan)#name renli Sw1(config-vlan)#exi
此时,不要忘了将交换机连接PC的接口划入到相应的vlan中,不然不生效。 在caiwu上:
Sw10(config)interface f0/1
Sw10(config-if)switchport mode access Sw10(config-if)switchport access vlan 10
在其他部门和其他分公司上的配置和以上类似,就不一一举例了。
千万不要忘了在公司主交换机和部门子交换机之间运行trunk封装协议:
Switchport trunk encapsulation dot1q Switchport mode trunk
IP地址规划 该企业有一个主公司,6个分公司,每个公司下又有7个部门,每个部门下又可有有N个主机。所以,IP分配如下: 主公司:192.168.2.0/24 分公司1:192.168.3.0/24
分公司2:192.168.4.0/24 分公司3:192.168.5.0/24 分公司4:192.168.6.0/24 分公司5:192.168.7.0/24 分公司6:192.168.8.0/24
而每个公司下又有7个部门:(每个公司的X值跟上面对应) 财务:192.168.x.0/27 行政:192.168.x.32/27 生产:192.168.x.64/27 研发:192.168.x.96/27 后勤:192.168.x.128/27 业务:192.168.x.160/27 人力:192.168.x.192/27
接入层地址用DHCP
每个分公司(包括主公司)如果需要用DHCP分配IP的话,就用这种方式,但是相对比较麻烦。
DHCP服务器地址池配置 上图是分公司1 的财务部的DHCP地址池,分配了192.168.3.0/27这个网段。
DNS服务器(在此处顺便运用了DNS服务)器。 然后在路由器上做配置, interface FastEthernet0/1
ip address 192.168.3.1 255.255.255.0
ip helper-address 192.168.1.2 \\\\配置DHCP中继代理,DHCP服务器是192.168.1.2
在DHCP的Client端做配置 此时,可以发现,在PC1上运用DHCP自动获取地址的话,会有地址产生。
三层动态路由协议配置 因为cisco packet tracer的局限性,只支持Rip协议,所以用Rip协议来支持整个公司的路由通信。
以分公司1为例,他的IP地址为192.168.3.1/24,则分公司1所需的主要配置命令为:
Interface f0/1
Ip address 192.168.3.1 255.255.255.0 No shutdown Exi Router rip
Ver 2
No auto-summary Network 192.168.3.0 Exi
ACL和NAT的结合运用 在主公司需要与外部网络进行通信的时候,需要用到NAT技术,而在NAT技术中,往往会伴随着ACL技术,ACL技术其实是一门比较实用的技术,用起来很方便,此处用到了标准访问控制列表(ACL的一种)。
如图,这是主公司连接外网的区域:
路由器连接内网的接口要打ip nat inside,而连接外网的接口则打ip nat outside。主要在R3上做配置:
access-list 1 permit 192.168.2.0 0.0.0.255 \\\\配置一个标准访问控制列表,允许主公司的路由通过。(ACL)
ip nat inside source list 1 interface Serial0/3/0 overload \\\\启用NAT私有IP地址的来源来自于ACL 1,使用serial0/3/0上的公共IP地址进行转换,overload表示使用端口号进行转换
此时,在R3上show ip nat translations则会有表象如下(类似的):
Pro Inside global Inside local Outside local Outside global icmp
221.1.1.2:23 192.168.1.3:23 223.1.1.2:23 223.1.1.2:23 icmp
221.1.1.2:24 192.168.1.3:24 223.1.1.2:24 223.1.1.2:24 icmp
221.1.1.2:25 192.168.1.3:25 223.1.1.2:25 223.1.1.2:25 icmp
221.1.1.2:26 192.168.1.3:26 223.1.1.2:26 223.1.1.2:26 icmp
221.1.1.2:27 192.168.1.3:27 223.1.1.2:27 223.1.1.2:27
VPN: 要实现主公司和分公司的通信,(通信内容一般包含一些公司内部的秘密信息)不能实用公网,直接跨过ISP进行通信,必须使用VPN。此处我们使用的是当前工程中用到比较多也比较好用的MPLS VPN,而且这门技术在加密、安全方面都不错。
但是运用这么技术的话,配置太过复杂了,实验过程中,主要不知道cisco packet tracer这个软件支持不支持,(感觉功能不是很强大),就说一下具体的设计过程吧。
如下拓扑图:
R1、R2、R3分别代表两个分公司和主公司,中间的Internet表示ISP,比如电信。要实现主公司和分公司的互相通信,必须要用到MPLS VPN。在电信内部的配置说个大概吧,这主要是电信的事情(如果你的公司想配置VPN,跟电信一说,他会帮你把中间的东西配置完全,你只需要交一定的钱就行了)。在中间的Internet网络中,需要先起一个三层的协议,例如OSPF,然后配置BGP,用作长距离传输数据,BGP作为MP-BGP,起MPLS,用标签分发来通信。中间的边界路由器和公司的路由器之间进行Rip和MP-BGP的双向重分布路由。
在R1、R2、R3上做一些简单的配置,例如R1上; Ip cef Ip vrf ZHU Rd 10:1
Router-target 100:1 //RT值两端一定要一样,RD值没有具体要求 Exi
Mpls label range 300 399 //分配标签
Mpls ldp router-id lo0 Interface s1/0 Mpls ip Exi
刚才用了Rip协议保证公司内部的通信,此处要进行Rip协议和外部网络的双向重分布才能完成。(客户端的配置相对来说比较简单) 现象:
在主公司这端能看到对端分公司的路由,然后ping对方路由,如果两端都能通的话,表示这个VPN建立成功。
AAA: AAA:Authentication Authorization Accounting 认证授权与审计,这是AAA的距离内容。它目前一般用来计费的,此处要用作Web门户的认证。
在R3上做AAA: Aaa new-model
Aaa authenication login AAA line none //这句话一定要记得敲,是防止线程锁死的,不敲要悲剧。 Aaa authenitication login HTTP local-case
Aaa authorization exec HTTP local User cisco privilege 15 password cisco
Ip http authentication aaa login-authentication HTTP Ip http authentication aaa exec-authorization HTTP Line con 0
Login authenication AAA Exi
Line vty 0 181
Login authentication AAA Exi
实验总结
通过本次课程设计,了解了综合布线7个子系统构成,了解了网络安全机制的设计,网络体系的基本架构,对网络测试, 设计与优化有了一定的了解。
在设计过程中,会遇到一些情况,比如说地址划分,拓扑图设计一开始没有思路,在Cisco Packet Tracer软件中模拟还是挺方便的,因此对网络拓扑的设计有了进一步了解。
开始不太会使用软件的功能,还有些知识课堂上没有仔细听,在设计中遇到一些困难,通过网上找资料,百度的话人云亦云,没有自己的实践经验,根本不足道,所以还有问题没解决,这次课程我发现以前学过的东西理解的不够深刻,掌握的不够牢固,总之来说收获还是很大的。
通过这次课程设计使我懂得了理论与实际相结合的重要性,只有理论知识是远远不够的,要把所学知识与实践相结合起来,从理论中得出结论,从而提高自己的实践动手能力和独立思考能力。总之,通过这次课程设计,对网络拓扑的设计有了更好的了解,从而不断进步。
因篇幅问题不能全部显示,请点此查看更多更全内容