《网络互联技术课程设计指导书12.8.docx》由会员分享,可在线阅读,更多相关《网络互联技术课程设计指导书12.8.docx(46页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络互联技术课程设计课题一:中小型企业网解决方案一一小型园区网1,模拟小型校园网,根据客户实际情况,选择合适地锐捷网络设备,规划基本网络拓扑图。提 出网络地需求,将网络进行规划,设计,及配置2,企业网概要情况:接入:申请四个公网IP, 一个供WEB服务器使用,一个供企业上网用户使用,其余备 用。要求以光纤接入,内网服务器3个。范围:企业网络节点数在200-800左右,位于不同建筑物,有不同部门。VLAN:部门划分在不同地VLAN中:为增加内部网广播域数量与关键部门网络安全性,按照部门与不同终端群体分类划分VLAN。部分VLAN之间允许通信。安全:WEB服务器配置私有地址,外网访问WEB地公用地
2、址时,在接入路由器中转换成WEB服务器地私有地址,部分部门在上班时间段不允许上外网,防黑客入侵。WLAN:对于网络布线高密度覆盖无法实施环境,如会议室,图书电子阅览室大厅采用 无线接入方式部署WLANo根据企业实际情况需求,设计网络,拓扑图如下:hexinjiaohuanO(config-if)ttip address 17211612011 2551255125210hexinjiaohuanO(config-if)#no shuthexinjiaohuanO(config-if)#exithexinjiaohuanO(config)#int vlan 60hexinjiaohuanO(co
3、nfig-if)#ip address 17211612411 2551255125210hexinjiaohuanO(config-if)#no shuthexinjiaohuanO(config-if)#exithexinjiaohuanO(config)#int vlan 70hexinjiaohuanO(config-if)#ip address 17211612811 2551255125210hexinjiaohuanO(config-if)#no shutdl定义三层交换地默认路由hexinjiaohuanO(config)# ip route 0101010 010101017
4、211613212el其它TRUNK端口设置hexinjiaohuanO(config)#int f0/lhexinjiaohuanO(conf i g-if)#switchportmodehexinjiaohuanO(conf ig-if)ttswitchportmode trunkhexinjiaohuanO(conf ig-if)#switchporttrunk allowedvlanallhexinjiaohuanO(config-if)ttint fO/2hexinjiaohuanO(conf ig-if)#switchportmode trunkhexinjiaohuanO(con
5、fig-if)#switchporttrunk allowedvlanallhexinjiaohuanO(config-if)ttint fO/3hexinjiaohuanO(conf ig-if)#switchportmode trunkhexinjiaohuanO(conf ig-if)#switchporttrunk allowedvlanallhexinjiaohuanO(config-if)ttint fO/4hexinjiaohuanO(conf ig-if)#switchportmode trunkhexinjiaohuanO(config-if)#switchporttrunk
6、 allowedvlanallhexinjiaohuanO(config)ttint fO/5modehexinjiaohuanO(conf ig-if)#switchporthexinjiaohuanO(config-if)ttswitchport mode trunktrunk allowed vlan allmode trunktrunk allowed vlan allmode trunktrunk allowed vlan allmode trunktrunk allowed vlan allhexinjiaohuanO (conf ig-if) ttswitchport hexin
7、jiaohuanO(config-if)#int fO/6 hexinjiaohuanO(conf ig-if)#switchport hexinjiaohuanO (conf ig-if) ttswitchport hexinjiaohuanO(config-if)#int fO/7 hexinjiaohuanO (conf ig-if) ttswitchport hexinjiaohuanO(config-if)ttswitchport hexinjiaohuanO(config-if)ttint fO/8 hexinjiaohuanO(conf ig-if)ttswitchport he
8、xinjiaohuanO(conf ig-if)#switchport2)接入层交换全部创建VTP CLIENT端,上行连接到核心交换机地接口启动TRUNK模式。以下以一台交换机为例介绍配置方法,如下:al 创建 VTP CLIENT 端SwitchenSwitchttconf tSwitch (conf ig)tthostn suhelqusuhelqu(config)#vtp mode clientsuhelqu(config)#vtp domain ahipsuhelqu(config)#vtp password cabl启动接口 TRUNK模式suhelqu(config)#int f
9、O/1suhelqu (config-if)#switchport mode trunksuhelqu(config-if)#switchport trunk allowed vlan all cl接入层地交换机接口直接连接到终端PC或非网管交换机上,那么此接口将设置为ACCESS模式,并加入相应VLAN,如:Switch(config-if)#int fO/24Switch(config-if)ttswitchportSwitch(config-if)ttswitchportmode accessSwitch(config-if)ttswitchport access vlan 60Swit
10、ch(config-if)#no shutSwitch(config-if)#int fO/23Switch(config-if)#switchport mode accessSwitch(config-if)ttswitchport access vlan 10Switch(config-if)#no shutSwitch(config-if)#end4) 1具体VLAN规划如下:中小型园区网解决方案一网络拓扑示意图-“安徽工业职业技术学院教学案例 一承息工程系周跃设计分校区1 分校区2-1(=核心设备WS-2960非期管交!学生学生学生宿舍 VLAN 60 职工家属区VLAN50 教学区V
11、LAN 20图书馆 VLAN 30网络中心WEB DNS DHCP服务器群 /三层交换机%60防火崎VPN用户因特刖WEB宿舍理办公楼儿中心电子I职工职工办公职工机房办公行政办公VLAN 10财务 VLAN40服务器群VLAN70办公办公 办公办公百兆以太网千兆以太网/光纤7 串行线缆Wireless任务五:WLAN, ACL, NAT与VPN设计1) 1无线AP有关设置(以一个AP设置为例,其它AP省略)al无线AP地IP地址设置,建议从DHCP SERVER得到相应地IP地址,也可以静态设置,静态设置时注意要是AP所属地VLAN规划地网段内地IP,切不能重复。此处以静态设置地址为例, 本A
12、P属于VLAN30,设置如下图:b.设置AP地内网地址及开启DHCP作为AP地LAN 连接终端与无线接入终端分发IP地址1如下图:Network SetupIP Address:192,168 J. 0 |. 1Router IPSubnet Mask: 255,255,2550DHCP ServerSettings DHCP 匚 一 c n z 一 DHCPc& Enabled Disabled Server:ReservationStart IP Address:Maximum number of Users:IP Address Range:Client Lease Time:Stati
13、c DNS 1:Static DNS 2:Static DNS 3:192.168.0, 100 SO192.168.0. 100 - 149minutes (0 means one day) 172 |. 16 J(28 _|. 20 0. 0, 0. 00|. |o|. |o|. oStart IP Address:Maximum number of Users:IP Address Range:Client Lease Time:Static DNS 1:Static DNS 2:Static DNS 3:192.168.0, 100 SO192.168.0. 100 - 149minu
14、tes (0 means one day) 172 |. 16 J(28 _|. 20 0. 0, 0. 00|. |o|. |o|. oWTZJfrT 17r fn- ITTcl测试AP连接地终端是否能够正确获得IP等有关配置信息Physical ConfigPhysical ConfigDesktopVPNMIB BrowserPC WirelessTraffic Generator2) 1ACL有关配置al三层交换机上要求VLAN地互通满足以下要求:财务VLAN不允许其它VLAN访问;hexinjiaohuanOttconf thexinjiaohuanO(config)#access-
15、list010131255hexinjiaohuanO(config)#access-list010131255hexinjiaohuanO(config)#access-list010131255hexinjiaohuanO(config)#access-list010131255Web Browser100 deny ip 17211611610 010131255 1721161410100 deny ip 17211611610 010131255 1721161810100 deny ip 17211611610 010131255 17211611210100 deny ip 17
16、211611610 010131255 17211612010hexinjiaohuanO(config)#access-list 100 deny ip 17211611610 010131255 17211612410 010131255hexinjiaohuanO(config)#access-list 100 permit ip any anylhexinjiaohuanO(config)#int vlan 40hexinjiaohuanO(config-if)#ip access-group 100 inhexinjiaohuanO(config-if)#end行政办公VLAN可以访
17、问教学及其它VLAN,但其它VLAN不能访问办公VLAN;(此部分内容在 模拟软件上无法实现)方法一:使用反向ACL实现:hexinjiaohuanO(config)#ip access-list extended invlanhexinjiaohuanO(config-ext-invlan)#permit ip any any reflect kkhexinjiaohuanO(config)#ip access-list extended outvlanhexinjiaohuanO(config-ext-invlan)devaluate kkhexinjiaohuanO(config-ext
18、-invlan)#deny ip any anyhexinjiaohuanO(config)# int vlan 10hexinjiaohuanO(config-if)# ip access-group invlan inhexinjiaohuanO(config-if)#ip access-group outvlan out注:ip access-list extended invlanpermit ip any any reflect kk这一段就是取了流量记录到kk里面,这其实就是缓存,动态更新,与防火墙地原理样ip access-list extended outvlanevaluat
19、e kkdeny ip any any然后在这个acl里面只放行kk那个缓存所记录地流量方法二:hexinjiaohuanO(config)# ip access-list extended vlanlOtoanothervlanhexinjiaohuanO(conf ig-ext-vlanlOtoanothervlan)ttpermit ip 1721161810 010131255 1721161410 010131255 establishedhexinjiaohuanO(config-ext-vlanlOtoanothervlan)ttpermit ip17211611210 0101
20、31255 1721161410 010131255 established hexinjiaohuanO(config-ext-vlanlOtoanothervlan)ttpermit ip 17211611610 010131255 1721161410 010131255 established hexinjiaohuanO(config-ext-vlanlOtoanothervlan)ttpermit ip 17211612010 010131255 1721161410 010131255 established hexinjiaohuanO(config-ext-vlanlOtoa
21、nothervlan)ttpermit ip 17211612410 010131255 1721161410 010131255 established hexinjiaohuanO(config-ext-vlanlOtoanothervlan)#permit ip 17211612810 010131255 1721161410 010131255 established hexinjiaohuanO(config)# int vlan 10hexinjiaohuanO(config)# ip access-group vlanlOtoanothervlan out注:假如主机A在其它VL
22、AN中,主机B在VLAN10,当B访问A时(通过IP协议),在端 口 VLAN10地入方向上都没有应用ACL,所以流量可以通过;然后从A需要返回给B 一个流 量,permit ip 17211612410 010131255 1721161410 010131255 established”这条命 令就是用来识别这个返回地流量地,因为是允许,所以可以通过,也就是说B可以连接Ao但 如果是A主动发起一个连接请求,这个流量需要从VLAN10端口进入,而在VLAN10端口应用了 访问控制列表,并且没有建立连接地缓存允许条目,所以这个流量不被允许通过,也就是说B 不可以访问A。其它VLAN间都可互通。
23、hexinjiaohuanO(config)#ip routingb.工作日每天8:00-17:00不允许学生VLAN访问外网,其它VLAN3无限制。(此部分模拟软 件无法实现)jieru(config)# time-range denytimejieru (config-time-range)# periodic weekdays 8:00 to 17:00jieru (config)# ip access-list extended xianzhishangwangjieru(config-ext-xianzhishangwang)#deny ip 17211612410 01013125
24、5 any denytime jieru(config-ext-xianzhishangwang)ttpermit ip any any denytimejieru (config)#int f0/0jieru (config-if)#ip access-group xianzhishangwang in这里地防火墙由一个2811路由器代替(模拟软件不支持防火墙),具体配置如下:al路由设置:RouterenRouterttconf tRouter(config)tthostname jierujieru(config)# ip route 0101010 0101010 F0/1默认路由ji
25、eru(config)# ip route 1721161010 25512551010 FastEther0/0对到达内网地目地网络从F0/0转发到核心交换处理,使用路由汇总节约路由表地条目数blNAT转换设置,使用超载NAT实现内网终端访问因特网,使用静态NAT实现外网用户访问公 有地址访问内网WEB。jieru (config)ttaccess-list 10 permit 1721161010 01012551255jieru (config)#access-list 10 permit anyjieru config)#ip nat inside source list 10 int
26、erface Serial2/0 overloadjieru (config)ttinterface FastEther0/0jieru (config-if)#ip address 19211681111 2551255125510jieru (config-if)ttip nat insidejieru (config)ttinterface F0/1jieru (config-if)# ip address 22211531211 2551255125510jieru (config-if)# ip nat outside使用PAT实现内网终端共有一个地址连接因特网jieru (conf
27、ig)# ip nat inside source static 172116128130 22211531212/使用静态NAT实现外网用户访问公有地址访问内网WEB, WEB外网地址为22211531212 clISP端路由器有关配置RouterenRouterttconf tRouter(config)tthostname ISPISP (config)4interface FO/1ISP (config-if)# ip address 2221153121254 2551255125510ISP (config-if)# no shutISP (config)ttinterface F
28、0/0ISP (config-if)# ip address 1111111 25512551255104) 1 VPN配置(此部分内容可选做)接入路由器做VPN网关,一台ISP路由模拟Inter网(就是没私有IP路由地路由器), 一台路由路模拟能上Inter网地路由器(也就是做了 NAT上网)。外出移动办公地笔记本通 过能上Inter网地路由器Easy VPN连接到总部,并访问总部地web服务器。al Inter网地远程路由器地配置YUNCHENG(config)ttinterface FastEtherO/0YUNCHENG (config-if)#ip address 192116812
29、11 2551255125510YUNCHENG(config-if)#ip nat insideYUNCHENG(config-if)#no shutdownYUNCHENG (config)#interface s0/0/0YUNCHENG(config-if)#ip address 100110011001100 2551255125510YUNCHENG(config-if)#ip nat outsideYUNCHENG(config-if)ttshutdownYUNCHENG (config)#ip route 0101010 0101010 S0/0/0YUNCHENG(confi
30、g)#access-list 1 permit 19211681110 010101255YUNCHENG(config)#ip nat inside source list 1 interface S0/0/0 overloadbl作为VPN网关地接入路由器地配置j ieru(config)#aaa newjieru(config)#aaa new-model jieru(config)#aaa authentication login eza local jieru(config)#aaa authorization work ezo localjieru (config)ttuserna
31、me 07wangluo pass 07wangluojieru(config)ttcrypto isakmp policy 10jieru(config-isakmp)#hash md5jieru(config-isakmp)ttauthentication pre-sharej i eru (confi g-i sakmp)ttgroup 2jieru(config)#ip local pool ez 17211613212 17211613215jieru(config)ttcrypto isakmp client configuration group ahipvpn jieru(co
32、nfig-isakmp-group)#key ahipvpnjieru(config-isakmp-group)#pool ezjieru(config-isakmp-group)#exitjieru(config)ttcrypto ipsec transform-set tim esp-3des esp-md5-hmacjieru(config)ttcrypto dynamic-map ezmap 10 jieru(config-crypto-map)#set transform-set timjieru(config-crypto-map)#reverse-routejieru(confi
33、g)ttcrypto map tom client authentication list ezajieru(config)ttcrypto map tom isakmp authorization list ezojieru(config)ttcrypto map tom client configuration address respondjieru(config)ttcrypto map tom 10 ipsec-isakmp dynamic ezmapjieru(config)ttinterface s0/0/0jieru(config-if)ttcrypto map tomjier
34、u(config)#write任务六:网络调试,完善按上面地各种需求与功能要求,测试网络地功能性,连通性及稳定性。如遇问题,分析错误, 进行完善。11 DHCP与DNS地功能检测,(此处DHCP在模拟软件中无法实现)21终端用户PC相互访问,包含各校区间地相互访问;3.所有PC能够访问内网服务器,对于访问WEB服务器可以使用内网地址访问,或者使用WEB 服务器地外网地址访问;Inter上地用户也可以访问内网地WEB服务器;中小型园区网解决方案一网络拓扑示意图一安徽工业职业技术学院教学案例 一信息工程系周跃设计网络中心WEB DNS DHCP核心设备服务器群:/三层次换机画6。接入设备 WS-2
35、960南. J宿多1国宿舍?区分校区1因特网WEB批中心图书财务中心0财务电子国书馆阅览室办公区村公区会议a学生.学生职工职工办公职工机房 办公办公办公办公百兆以太网千兆以太网/光纤一I一串行线缆Wireless图1网络拓扑规划图PC-PTPCO2811fenqu2PC-PTPCIServer-PTServer3yer-P2811RouterO2811毁a ll/ro ute r2811 ISPServer-PT internet web296CJ-24TT 296(f-24TT 296J124TT宿中1区 宿畲2区 家(悔296 g 4TT296C1R4TT计垓机中心2962960-X4TT
36、财务迤PC-PT PC-PT PC-PT PC-PT学生1学生2职工1 职工2PC-PT PC-PT职工3 办公1USPC-PT PC-PT办公2 机房nksys-WR- 网连Linksys-WRT300NASPC-PT La ptop-PT办公3 电子阅览1PC-PT电孑预览2会还至sLa ptop-PT办公4PC-PT财务Frame-relay核心层宿部斌宿舍恒 家属娄后勤看理办公楼泡八中心在杂因特刖WEB非掰管交:用户 /财务0fl学生 学生职工 职工办公职工机房 办公公公区办公区会议氧办公办公 办公办公41所有PC能访问Inter上地服务器,如访问Inter WEB;51 WLAN地检
37、测;61ACL配置后地检测;71EASY VPN 地测试;81其它可能地有关网络连通性检测。课题二:中小型企业网解决方案一一工程实例二1、模拟中型校园网,基本要求与实例一类似,但要求更高地冗余可靠性。本实例采用双核心交换机做冗余连接。注:在以下地实现过程中,我们主要介绍容于连接地实现,与实例一相同地部分不在累 述。根据企业实际情况需求,设计网络,拓扑图如工中小型园区网解决方案二网络拓扑示意图 一安徽工业职业技术学院教学案例-福息工程系周跃设计网络中心服务器群三层交kVPN用户a百兆以太网千兆以太网千兆光纤-2一串行线缆 Wireless图3网络拓扑规划图图3网络拓扑规划图PC-PT,答11PC
38、Ofgiqul2811PC-PTfenqu2PCI2811R outer 0口移动S erv er-PTdhcp /2811firew all/router2811 unchengS erv er-PTinternet web4TT29612960? PC-PT学生1PC-PT学生1PC-PT学生2职工1 职工2职工3办公1PC-PT PC-PT办公2 机房PC-PT ,二一 PC-PT办公3 L盘温电声览26蕊广i nks y s-WRTQQKks y s-屈T30图4模拟软件网络拓扑图任务一:核心交换机与接入交换机之间地二层冗余连接1.如下图所示,每个接入层交换分别与两台核心交换机连接,核
39、心交换机之间采用两个千兆接口相连,确保单点故障不会影响正常数据通信。294TT 楼PC-PT职工3PC-PT办公工356Q124PSMultilay中 Switchl/3560-24PSMultilayer SwitchO21STP规划1) 1STP根地干预这里以一个接入交换与两个核心交换机为例来介绍,其它接入交换机做同样地规划与设置。具体规划入下:SwitchO作为VLAN1O, 20, 30, 40地主根网桥;做为VLAN50, 60, 70备份根网桥。Switchl作为VLAN50, 60, 70地主根网桥;做为VLAN 10, 20, 30, 40备份根网桥。al switchO 配置
40、Switch(config)#host hexinjiaohuanOhexinjiaohuanO (config)#spanning-treevlan10rootprimaryhexinjiaohuanO(config)#spanning-treevlan20rootprimaryhexinjiaohuanO(config)#spanning-treevlan30rootprimaryhexinjiaohuanO(config)#spanning-treevlan 40rootprimaryhexinjiaohuanO(config)#spanning-treevlan 50rootsecon
41、daryhexinjiaohuanO(config)#spanning-treevlan 60rootsecondaryhexinjiaohuanO(config)#spanning-treevlan70rootsecondaryhexinjiaohuanO(config)#spanning-treevlan1 root secondarybl hexinjiaohuanl 酉己置Switch(config)tthost hexinjiaohuanlhexinjiaohuanl(config)#spanning-treevlan50rootprimaryhexinjiaohuanl(confi
42、g)#spanning-treevlan 60rootprimaryhexinjiaohuanl(config)#spanning-treevlan70rootprimaryhexinjiaohuanl(config)#spanning-treevlan1 root primaryhexinjiaohuanl (config)#spanning-treevlan10rootsecondaryhexinjiaohuanl(config)#spanning-treevlan20rootsecondaryhexinjiaohuanl(config)#spanning-treevlan 30roots
43、econdaryhexinjiaohuanl(config)ttspanning-treevlan 40rootsecondarycl接入层交换机配置sushelqu(config)#int range f0/1 - 2sushelqu(config-if-range)#switchport mode trunk2)1在核心交换机Multilayer Switchl上创建VTP server端,创建与SwitchO 一样地VLAN, 配置一样地domain, password,当作VTP相互备份,为当前每个VLAN地SVI接口配置地址,如 下表:Vlan IDVlan nameSwitchO
44、上 IPSwitchl 上 IP备注1guanli17211610111721161012管理VLAN10xingzheng17211614111721161412行政办公20jiaoxue17211618111721161812教学教师30tushuguan1721161121117211611212图书中心40caiwu1721161161117211611612财务中心50jiashuqu1721161201117211612012家属区60xuesheng1721161241117211612412学生宿舍70Server-vlan1721161281117211612812服务器群a
45、l 设置 VTP,启动 VTP SERVERSwitchttconf tSwitch(config)tthostn hexinjiaohuanlhexinjiaohuanO(config)#vtp mode serverhexinjiaohuanO(config)#vtp domain ahipbl设置VLAN地址hexinjiaohuanl(config)#int vlan 1hexinjiaohuanl(config-if)#ip address 1721161112 2551255125510hexinjiaohuanl(config-if)#no shutdownhexinjiaohu
46、anl(config-if)#exithexinjiaohuanl(config)#int vlan 10hexinjiaohuanl(config-if)#ip address 1721161412 2551255125210hexinjiaohuanl(config-if)#no shuthexinjiaohuanl(config-if)#exithexinjiaohuanl(config)ttint vlan 201721161812 2551255125210hexinjiaohuanl (config-if)#ip addresshexinjiaohuanl(config-if)#no shuthexinjiaohuanl(config-