网络项目工程综合实训报告.doc

#+ 网络工程综合组网 实训报告 项目名称 中小企业网络改建 班 级 网络131 组 长 王坤 成 员 申中文 崔文生 指导教师 朱文龙 日 期 2015年12月22日 中小企业网络改建 一、项目内容与目标 本项目模拟一个真实的网络工程，加强对网络技术的理解，提高网络技术的实际应用能力。（宋体小四） l 通过本实训，应达到以下目标：了解网络建设流程 l 掌握中小企业组网相关技术 l 独立部署中小企业网络 二、项目背景 现有网络存在的问题（宋体小四） 该公司是一个高新技术企业，以研发，销售汽车零件为主，公司总部设在北京，在深圳设有一个办事处，在上海设有研究所。总部负责公司运营管理，深圳办事处负责销售，上海负责公司产品市场调研，产品研发等工作。但随着公司发展，还存在以下网络问题。 （1）网络故障不断，时常出现网络瘫痪现象。 （2）病毒泛滥，攻击不断‘ （3）总部同办事处发送信息不安全。 （4）员工使用P2P工具，不能监管。 （5）公司的一些服务器只能托管，不能放在公司内部。 三、网络规划与设计 3.1网络建设目标（黑体小四 加粗） 正文（宋体小四） 该公司决定对当前的总部及办事处的办公网络进行升级改造，解决当前网络存在的问题，提高公司效益，降低公司的运营成本。为此公司提出了以下建设目标。 （1）网络带宽升级，达到千兆骨干，百兆到桌面。 （2）增强网络的可靠性及可用性。 （3）网络要易于管理，升级和扩展。 （4）确保内网安全级同办事处之间交互数据的安全。 （5）服务器管理及访问权限控制，并能监管网络中的P2P应用。 3.2网络规划 3.2.1 拓扑规划 规划的网络拓扑结构如实验图所示。 为了方便统一管理，需要对所有设备进行统一命名。 AA—BB—CC 其中，AA表示设备所处的地点，如北京简写为BJ，上海简写为SH；BB表示设备的型号，如MSR 30-20表示为MSR3020，S3100-52P-SI表示为SW1；CC表示同型号设备的数量，如第一台设备表示为0，第二胎设备标识为1。 根据上述规则，总部的第一台路由器MSR30-20命名问为RT1，其余以此类推。所有设备的命名明细如实验表1所示。 表1 设备命名明细表 办事处 设备型号 设备名称 北京总部 MSR30-20 RT1 S56-26C BJ-5626C-0 S5100-16P-SI BJ-S5116P-0 S3100-52TP-SI SW1 S3100-52TP-SI SW2 S3100-52TP-SI SW3 深圳办事处 H3C MSR20-20 RT2 S3100-52TP-SI SW4 上海研究所 H3C MSR20-20 RT3 S3100-52TP-SI SW5 3.2.3 WAN规划 根据需求分析，在总部及分支机构之间使用专线连接，并选用中国电信公司提供的基于SDH传输网络的E1线路。 由于上海研究所的业务数据相对较多，对带宽需求较高，总部与上海研究所之间采用2条E1线路，总部与深圳办事处之间采用1条E1线路.如下图所示。 所以在选用设备的广域网接口模块模块时,总部选用4E1-F,深圳办事处选用1E1-F,而上海研究所选用2E1-F模块. 如果办事处继续增加，可以将E1模块换为CPOS模块。因为一个155Mbps的CPOS模块可以通过传输设备进行时隙划分，分为63个E1接口。 3.2.4 LAN规划 （互联VLAN 50 这个不需要 直接使用ip地址即可） 局域网规划包含VLAN规划，端口聚合规划以及端口隔离，地址捆绑规划几个部分。 对于深圳和上海员工数量较少的不划分VLAN，而北京总部员工数量多，部门之间需要访问控制，所以要进行VLAN划分。 人事行政部，财务商务部人数相对较少，而且业务比较密切，划分在1个VLAN内即可。产品研发部和技术支持部在业务上相对独立，而且产品研发部还有访问控制要求，因此将两个部门各自划分一个VLAN。为了便于管理，也将服务区划分为一个VLAN。部门、VLAN号、交换机端口之间的关系如实验表2所示。 表２ VLAN规划明细表 部门 VLAN号 所在设备 端口明细 人事行政部 VLAN10 BJ-S3152TP-0 E1/0/1~ E1/0/10 财务商务部 VLAN10 BJ-S3152TP-0 E1/0/11~ E1/0/30 管理VLAN VLAN1 交换机的管理VLAN，用于Telnet及SNMP 另外，在研发部的服务器区使用端口隔离技术，严格控制外部的访问，并针对内网中出现的ARP病毒现象，在核心交换机上进行端口捆绑。 为了便于IP地址分配和管理，采用DHCP地址分配方式。使用核心交换机S5600-26C作为DHCP服务器。 3.2.5 IP地址规划 在该公司的所有网络中，每个地方都使用的是192.168.0.0/24网段，在新的网络中需要对IP地址重新进行规划。 根据因特网的相关规定，决定使用C类私有地址，在总部和分支机构使用多个C类地址段。其中总部每个VLAN使用一个C网段，深圳办事处使用192.168.5.0/24，上海研究所使用192.168.6.0/24网段，设备的互连地址及管理地址用192.168.0.0/24网段。具体规划如下。 ① 地址：根据实际需要，并结合未来的需求数量，规划业务地段如试验表3所示。 ② 连地址：互连地址主要用于设备的互连，在XX公司网络中设备的互连地址主要有总部核心交换机与路由器互连、总部路由器与分支路由器互连等。共需要3对互连地址，如实验表4所示。 ③管理地址：用于设备的管理，各设备管理地址如试验表5所示。 表3 业务地址分配表 地点 VLAN号 网络好 IP地址范围 网关地址 北极总部 VLAN10 192.168.1.0/24 192.168.1.1~192.168.1.254 192.168.1.254 VLAN20 192.168.2.0/24 192.168.2.1~192.168.2.254 190.168.2.254 VLAN30 192.168.3.0/24 192.168.3.1~192.168.3.254 192.168.3.254 VLAN40 192.168.4.0/24 192.168.4.1~192.168.4.254 192.168.4.254 深圳办事处 — 192.168.5.0/24 192.168.5.1~192.168.5.254 192.168.5.254 上海研究所 — 192.168.6.0/24 192.168.6.1~192.168.6.254 192.168.6.254 表4 设备的互联地址 本端设备 本端IP地址 对端设备 对端IP地址 BJ-S5626C-0 192.168.0.1/30 BJ-MSR3020-0 192.168.0.2/30 BJ-MSR3020-0 192.168.0.5/30 SZ-MSR2020-0 192.168.0.6/30 BJ-MSR3020-0 192.168.0.9/30 SH-MSR2020-0 192.168.0.10/30 表5 设备的管理地址 办事处 设备名称 管理VLAN-Loopback 管理地址 北京总部 RT1 Loopback 0 192.168.0.17/32 BJ-S5626C-0 VLAN 1 192.168.0.25/29 SW1 VLAN 1 192.168.0.26/29 SW2 VLAN 1 192.168.0.27/29 SW3 VLAN 1 192.168.0.28/29 深圳办事处 RT2 Loopback 0 192.168.0.18/32 SW4 VLAN 1 192.168.5.250/24 上海研究所 RT3 Loopback 0 192.168.0.19/32 SW5 VLAN 1 192.168.6.250/24 3.2.6 路由规划 该公司的网络结构比较简单，只有一个总部和两个异地分支机构。如果只考虑现状，在这样的网络里，只需要部署静态路由就可使全网互通。但该公司的网络并不会止于现状，随着业务的发展，公司的规模也会逐渐壮大，发展更多的办事处。当公司扩大达一定规模的时候，就必须将静态路由转换为动态路由，需要对网络重新进行规划，不利于发展。而如果现在采用动态路由协议，在网络规模扩展时就不会出现这种现象，所以应该使用动态路由协议。 在动态路由协议中，用得最多的是OSPF协议。所以该公司考虑到以后网络的扩展，需要对OSPF进行规划。 将总部路由器的下行接口和分支路由器的上行接口规划为Area0，总部的局域网规划为Area1。深圳办事处规划为Area2，上海研究所规划为Area3。 在网络的出口配置默认路由，以便访问外网，该路由下一跳为运营商路由器的接口地址。 3.2.7 安全规划 安全规划主要包含有访问控制，攻击防范和P2P监控3快内容。访问控制可以在路由器上通过ACL来实现。攻击防范可以通过在出口路由器上启动攻击防范功能来实现，这样就可以有效地阻止外部对内网的各种攻击。P2P监控可以通过启动路由器上的ASPF功能来实现，发现问题可以及时阻止。 通过在出口路由器上部署NAT，可以允许总部及分支机构访问Internet。通过部署NAT Sever，可以允许总部的服务器对外提供服务。 四、网络配置实施 4.1总体内网部署（黑体小四 加粗） 步骤一 总部内网部署 （描述相关设备及每个设备详细配置） 总部网络的拓扑结构及端口的连接主要涉及设备的命名，端口连接描述，核心交换机与服务器交换机的链路聚合，VLAN配置，VLAN路由以及交换机管理地址的配置。总部拓扑结构如下图。 第1步：按照前期的命名规划及端口描述给每台设备命名并添加端口描述，下面是添加端口描述的命令。 sys [RT1]interface GigabitEthernet 0/0/0 [RT1-GigabitEthernet0/0/0]description link-to-G0/0/0 第2步：配置核心交换机与服务区交换机的端口聚合，参与聚合的端口，使用基于手动方式的链路聚合。 [SW1]interface Bridge-Aggregation 1 [SW1-Bridge-Aggregation1]interface Ethernet0/4/0 [SW1-Ethernet0/4/0]port link-aggregation group 1 %Dec 22 14:50:32:404 2015 SW1 LAGG/5/LAGG_ACTIVE: Member port Ethernet0/4/0 of aggregation group BAGG1 becomes ACTIVE. [SW1-Ethernet0/4/0] %Dec2214:50:32:4352015SW1 IFNET/3/LINK_UPDOWN: Bridge-Aggregation1 link status is UP. [SW1-Bridge-Aggregation1]interface Ethernet0/4/1 [SW1-Ethernet0/4/1]port link-aggregation group 1 [SW2]interface Bridge-Aggregation 1 [SW2-Bridge-Aggregation1]interface Ethernet0/4/0 [SW2-Ethernet0/4/0]port link-aggregation group 1 [SW2-Ethernet0/4/0]interface Ethernet0/4/1 [SW2-Ethernet0/4/1]port link-aggregation group 1 第3步：根据前期的VLAN及端口分配规划，在各接入交换机上配置VLAN，并将上行接口配置为Trunk链路，允许相关VLAN通过。 [SW3]vlan 10 [SW3-vlan10]port E0/4/0 [SW3]vlan 20 [SW3-vlan20]port E0/4/1 [SW3-Ethernet0/4/2]port link-type trunk [SW3-Ethernet0/4/2]port trunk permit vlan 10 20 第4步：为了让VLAN之间能够通信，在核心交换机上为每个VLAN配置IP地址，启动VLAN间路由功能，具体IP地址见前期规划。 [SW3]interface vlan 10 [SW3-Vlan-interface10]ip address 192.168.1.20 24 [SW3-Vlan-interface10]interface vlan 20 [SW3-Vlan-interface20]ip address 192.168.2.20 24 第5步：根据前期的规划，要在核心交换机上配置DHCP协议，为各PC分配IP地址。 [SW3]dhcp enable [SW3]dhcp server ip-pool vlan10 [SW3-dhcp-pool-vlan10]network 192.168.1.0 mask 255.255.255.0 [SW3-dhcp-pool-vlan10]gateway-list 192.168.1.254 [SW3-dhcp-pool-vlan10]dns-list 202.102.99.68 [SW3]dhcp server ip-pool vlan20 [SW3-dhcp-pool-vlan20]network 192.168.2.0 mask 255.255.255.0 [SW3-dhcp-pool-vlan20]gateway-list 192.168.2.254 [SW3-dhcp-pool-vlan20]dns-list 202.102.99.68 第6步：配置交换机的管理地址。 [SW2]interface Vlan1 [SW2-Vlan-interface1] %Dec 22 16:03:50:480 2015 SW2 IFNET/3/LINK_UPDOWN: Vlan-interface1 link status is UP. %Dec 22 16:03:50:480 2015 SW2 IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Vlan-interface1 is UP. [SW2-Vlan-interface1]ip address 192.168.4.130 24 [SW2-Vlan-interface1]quit [SW2]ip route-static 0.0.0.0 0.0.0.0 192.168.4.129 步骤二 深圳内网部署 （描述相关设备及每个设备详细配置） 深圳办事处的网络结构的内网部署主要由设备命名，DHCP配置，管理地址配置3部分组成。网络结构如下图。 第1步：按照前期的规划，添加端口描述的详细命令。 [RT2]interface GigabitEthernet 0/0/0 [RT2-GigabitEthernet0/0/0]descriptionlink-to-G0/0/1 [SW4]interface GigabitEthernet 0/0/1 [SW4-GigabitEthernet0/0/1]description link-to-G0/0/0 第2步：DHCP配置。 在深圳办事处，使用DHCP方式为接入PC分配IP地址。 [RT2]interface GigabitEthernet 0/0/0 [RT2-GigabitEthernet0/0/0]ip address 192.168.5.254 24 [RT2-GigabitEthernet0/0/0]quit [RT2]dhcp enable [RT2]dhcp server ip-pool 1 [RT2-dhcp-pool-1]network 192.168.5.0 mask 255.255.255.0 [RT2-dhcp-pool-1]gateway-list 192.168.5.254 [RT2-dhcp-pool-1]dns-list 202.102.99.68 [RT2-dhcp-pool-1]quit [RT2]dhcp server forbidden-ip 192.168.5.254 [RT2]dhcp server forbidden-ip 192.168.5.250 第3步：为了方便交换机的管理，需要为交换机配置管理地址，写出为交换机配置管理地址的具体命令以及此地址发布的路由。 [SW4]interface vlan1 [SW4-Vlan-interface1]ip address 192.168.5.250 24 [SW4-Vlan-interface1]quit [SW4]ip route 0.0.0.0 0.0.0.0 192.168.5.254 步骤三 上海内网部署 （描述相关设备及每个设备详细配置） 上海研究所的网络结构的内网部署主要由设备命名，DHCP配置，管理地址配置3部分组成。网络结构如下图。 第1步：按照前期的规划，添加端口描述的详细命令。 [RT3]interface GigabitEthernet 0/0/1 [RT3-GigabitEthernet0/0/1]description link-to-G0/0/2 [SW5]interface GigabitEthernet 0/0/2 [SW5-GigabitEthernet0/0/2]description link-to-G0/0/1 第2步：DHCP配置。 在上海研究所，使用DHCP方式为接入PC分配IP地址。 [RT3-GigabitEthernet0/0/1]ip address 192.168.6.254 24 [RT3-GigabitEthernet0/0/1]quit [RT3]dhcp enable DHCP is enabled successfully! [RT3]dhcp server ip-pool 1 [RT3-dhcp-pool-1]network 192.168.5.0 mask 255.255.255.0 [RT3-dhcp-pool-1]gateway-list 192.158.5.254 [RT3-dhcp-pool-1]dns-list 202.102.99.68 [RT3-dhcp-pool-1]quit [RT3]dhcp server forbidden-ip 192.168.5.254 [RT3]dhcp server forbidden-ip 192.168.5.250 第3步：为了方便交换机的管理，需要为交换机配置管理地址，写出为交换机配置管理地址的具体命令以及此地址发布的路由。 [SW5]interface vlan1 [SW5-Vlan-interface1] %Dec 22 16:59:43:768 2015 SW5 IFNET/3/LINK_UPDOWN: Vlan-interface1 link status is UP. %Dec 22 16:59:43:768 2015 SW5 IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Vlan-interface1 is UP. [SW5-Vlan-interface1]ip address 192.168.5.250 24 [SW5-Vlan-interface1]quit [SW5]ip route 0.0.0.0 0.0.0.0 192.168.5.254 4.2广域网部署 （描述相关设备及每个设备详细配置） 为了保障总部与分支机构之间传输数据的安全，在总部与分支机构采用专线连接，因为专线是一种与其他网络物理隔离的网络，在数据传输上有很高的安全性。 考虑到上海研究所生产数据量较大，因此在上海研究所与北京总部之间采用两条E1线路；深圳办事处与北京总部之间采用1条E1线路。 在SDH线路上，采用点到点的PPP协议作为广域网协议；北京总部和上海研究所之间采用MP-group的方式将两条E1线路捆绑起来使用。 第1步：写出有关PPP的配置。 [RT1]interface Serial 0/1/0 [RT1-Serial0/1/0]description link-to-S0/1/1 [RT1-Serial0/1/0]ip address 192.168.0.5 30 [RT1]interface Serial 0/1/1 [RT1-Serial0/1/1]description link-to-S0/1/0 [RT1]interface Serial 0/1/2 [RT1-Serial0/1/2]description link-to-S0/1/3 [RT1]interface Mp-group 0 [RT1-Mp-group0]ip address 192.168.0.9 30 [RT1-Mp-group0]int s0/1/1 [RT1-Serial0/1/1]ppp mp Mp-group 0 [RT1-Serial0/1/1] %Dec 22 17:49:29:587 2015 RT1 IFNET/3/LINK_UPDOWN: Serial0/1/1 link status is DOWN. %Dec 22 17:49:29:587 2015 RT1 IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Serial0/1/1 is DOWN. %Dec 22 17:49:29:587 2015 RT1 IFNET/3/LINK_UPDOWN: Serial0/1/1 link status is UP. %Dec 22 17:49:29:618 2015 RT1 IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Serial0/1/1 is UP. [RT1-Serial0/1/1]int s0/1/2 [RT1-Serial0/1/2]ppp mp Mp-group 0 [RT1-Serial0/1/2] %Dec 22 17:51:01:300 2015 RT1 IFNET/3/LINK_UPDOWN: Serial0/1/2 link status is DOWN. %Dec 22 17:51:01:300 2015 RT1 IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Serial0/1/2 is DOWN. %Dec 22 17:51:01:300 2015 RT1 IFNET/3/LINK_UPDOWN: Serial0/1/2 link status is UP. %Dec 22 17:51:01:316 2015 RT1 IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Serial0/1/2 is UP. 第2步：配置SZ [RT2]interface Serial 0/1/1 [RT2-Serial0/1/1]description link-to-s0/1/0 [RT2-Serial0/1/1]ip address 192.168.0.6 30 [RT2-Serial0/1/1] %Dec 22 17:53:04:477 2015 RT2 IFNET/5/PROTOCOL_UPDOWN: Protocol PPP IPCP on the interface Serial0/1/1 is UP. 第3步：配置SH [RT3]interface Serial 0/1/3 [RT3-Serial0/1/3]description link-to-s0/1/2 [RT3-Serial0/1/3]int s0/1/0 [RT3-Serial0/1/0]description link-to-s0/1/1 [RT3-Serial0/1/0]quit [RT3]interface Mp-group 0 [RT3-Mp-group0]ip address 192.168.0.10 30 [RT3-Mp-group0]int [RT3-Mp-group0]int s0/1/3 [RT3-Serial0/1/3]ppp mp Mp-group 0 [RT3-Serial0/1/3] %Dec 22 17:56:03:607 2015 RT3 IFNET/3/LINK_UPDOWN: Serial0/1/3 link status is DOWN. %Dec 22 17:56:03:607 2015 RT3 IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Serial0/1/3 is DOWN. %Dec 22 17:56:03:732 2015 RT3 IFNET/3/LINK_UPDOWN: Serial0/1/3 link status is UP. %Dec 22 17:56:03:748 2015 RT3 IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Serial0/1/3 is UP. %Dec 22 17:56:03:748 2015 RT3 IFNET/3/LINK_UPDOWN: Mp-group0 link status is UP. %Dec 22 17:56:03:748 2015 RT3 IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Mp-group0 is UP. %Dec 22 17:56:03:748 2015 RT3 IFNET/5/PROTOCOL_UPDOWN: Protocol PPP IPCP on the interface Mp-group0 is UP. [RT3-Serial0/1/3]int s0/1/0 [RT3-Serial0/1/0]ppp mp Mp-group 0 [RT3-Serial0/1/0] %Dec 22 17:56:24:356 2015 RT3 IFNET/3/LINK_UPDOWN: Serial0/1/0 link status is DOWN. %Dec 22 17:56:24:356 2015 RT3 IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Serial0/1/0 is DOWN. %Dec 22 17:56:24:356 2015 RT3 IFNET/3/LINK_UPDOWN: Serial0/1/0 link status is UP. %Dec 22 17:56:24:371 2015 RT3 IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Serial0/1/0 is UP. 4.3路由部署 （描述相关设备及每个设备详细配置） 考虑到该公司未来的发展战略规划，在部署路由时，全网采用动态的OSPF协议，并规划每个办事处为一个Area，这样如果以后网络规模扩大，也不需要对整个网络重新规划，而只需增加Area即可。为了方便对各个办事处访问外网的控制，规划这个网络的公司出口设在总部，由总部统一出口访问外网，在总部与外网之间使用默认路由。 第1步：SW1交换机路由配置 手工指定 router id,为 VLAN 1 的接口地址 [SW1]router id 192.168.0.25 [SW1]ospf [SW1-ospf-1]area 1 在区域里发布网段,后面跟的是反掩码,但有些地址我们很难口算出它的反掩码,CMW提供了这样一个特性,可以将掩码自动转化为反掩码,为此我们演示一下,发布网段时使用掩码,并验证是否能自动转换。 [SW1-ospf-1-area-0.0.0.1]net 192.168.1.0 255.255.255.0 验证是否能自动将掩码转换成反掩码 [SW1-ospf-1-area-0.0.0.1]dis this # area 0.0.0.1 network 192.168.1.0 0.0.0.255 # return #发布同 RT1路由器互连接口地址 [SW1-ospf-1-area-0.0.0.1]net 192.168.0.1 0.0.0.3 #发布交换机管理 VLAN 地址网段 [SW1-ospf-1-area-0.0.0.1]net 192.168.0.24 0.0.0.7 第2步：RT1路由器路由配置 创建并进入 loopback 0 接口 [RT1]int loop 0 为 loopback 0 接口配置 IP 地址,注意掩码为 32 位 [RT1-LoopBack0]ip add 192.168.0.17 32 手工指定 router id [RT1]router id 192.168.0.17 [RT1]ospf 创建并进入 area 1 [RT1-ospf-1]area 1 发布同 BJ-S5626C-0 的互连网段 [RT1-ospf-1-area-0.0.0.1]net 192.168.0.0 0.0.0.3 为了便于管理,发布 loopback 接口地址,作为网管地址. [RT1-ospf-1-area-0.0.0.1]net 192.168.0.17 0.0.0.0 创建并进入 area 0 [RT1-ospf-1]area 0 #发布同 RT2 及RT3 的互连网段 [RT1-ospf-1-area-0.0.0.0]net 192.168.0.4 0.0.0.3 [RT1-ospf-1-area-0.0.0.0]net 192.168.0.8 0.0.0.3 第3步：RT2 路由器路由配置 创建并进入 loopback 0 接口 [RT2]int loop 0 为 loopback 0 接口配置 IP 地址，注意掩码为 32 位 [RT2-LoopBack0]ip add 192.168.0.18 32 手工指定 router id [RT2]router id 192.168.0.18 [RT2]ospf [RT2-ospf-1]area 0 发布同 RT1 的互连网段 [RT2-ospf-1-area-0.0.0.0]net 192.168.0.4 0.0.0.3 [RT2-ospf-1]area 2 发布深圳办事处内网网段地址 [RT2-ospf-1-area-0.0.0.2]net 192.168.5.0 0.0.0.255 发布 loopback 地址，作为网管地址。 [RT2-ospf-1-area-0.0.0.2]net 192.168.0.18 0.0.0.0 第4步：RT3 路由器路由配置 [RT3]int loop 0 为 loopback 0 接口配置 IP 地址,注意掩码为 32 位 [RT3-LoopBack0]ip add 192.168.0.19 32 [RT3]router id 192.168.0.19 [RT3]ospf [RT3-ospf-1]area 0 发布同RT1 的互连网段 [RT3-ospf-1-area-0.0.0.0]net 192.168.0.8 0.0.0.3 [RT3-ospf-1]area 3 发布上海研究所内网网段地址 [RT3-ospf-1-area-0.0.0.3]net 192.168.6.0 0.0.0.255 发布 loopback 地址,作为网管地址. [RT3-ospf-1-area-0.0.0.3]net 192.168.0.19 0.0.0.0 第5步：配置访问 Internet 的路由 [RT1-Serial0/1/3]ip add 202.38.160.2 30 配置一条缺省路由，下一跳指向 ISP 给的网关地址 [RT1] ip route-static 0.0.0.0 0.0.0.0 202.38.160.1 将缺省路由发布到 OSPF 中 [RT1-ospf-1]default-route-advertise 4.4网络安全部署 （描述相关设备及每个设备详细配置） 第1步：内网全部使用的是私有地址，如需访问Internet还需要进行地址转换，同时可以将内网中的服务器发布到Internet。 创建ACL 2000 [RT1]acl number 2000 match-order auto [RT1- acl-basic-2000]rule 0 permit 进入连接Internet 的接口 [RT1]interface S0/1/3 使用Easy IP 方式使能NAT [RT1-Serial0/1/3]nat outbound 2000 发布WWW 及OA 服务器 [RT1-Serial0/1/3]nat server protocol tcp global 202.38.160.2 www inside 192.168.4.131 www [RT1-Serial0/1/3]nat server protocol tcp global 202.38.160.2 8080 inside 192.168.4.130 8080 第2步：攻击防范配置。 常见的病毒及攻击端口􀄇如ACL3001 acl num ber 3001 r ul e 0 deny t cp sour ce- por t eq 3127 r ul e 1 deny t cp sour ce- por t eq 1025 r ul e 2 deny t cp so