网络集成课程设计.doc

重庆科技学院网络系统集成实训报告重庆科技学院学生实习（实训）总结报告 院（系）: 电气与信息工程学院 专业班级:计科普1002_ _学生姓名:_ _ 学号:_ _实习(实训)地点:_ _ _ 报告题目:_ 网络系统集成实训报告_ 报告日期： 2013 年 1月 15 日 指导教师评语: _ _ 成绩（五级记分制）:_ _ 指导教师（签字）:_前言本次实训主要是关于防火墙的配置、基于IPSec的GRE实现、基于IP的数据会议网络，还有就是有关OSPF配置、ACL配置、NAT地址池转换等以前实验中学习的内容。实验中我们主要注重的一点就是有关IPSec-Over-GRE和GRE-Over-IPSec方式配置上的区别，还有就是关于IP的数据会议网络中的两个器材的使用方法了解，以及复习以前有关的实验操作。而实训的目的不仅仅是要大家能够配置，能够动手操作，而是为了让大家都了解它们配置的理论。本实训的目的是使学生了解企业网络的建设需求、建设规划、设备选择、系统集成以及设备调试等方面的知识。更进一步掌握交换机和路由器以及防火墙等设备的有关知识，并将所学的内容加以综合，提高学生的动手能力。通过查阅资料，了解所学知识的应用情况，同时也使学生通过动手规划设计网络拓扑、调试网络设备而提高解决实际问题的能力。在进行本设计之前，要先掌握的技术有：网络互连技术、TCP/IP知识、CISCO、H3C设备的工作原理和配置方法。为了能够快速高效地完成课程实训，掌握一些常用工具是必要的，这些工具包括：TFTP Server、SecureCRT、WildPackets EtherPeek、FLUKE网络协议分析仪、NT955线缆测试仪。本次实训我们主要做的事四个题目，题目一是有关于IPSec的GRE实现，主要ACL定义的是内网数据流，而Ike peer中指定的remote-address是对方GRE tunnel地址，应用端口为GRE tunnel上。题目二是有关ME5000、MG6030的相关配置。题目三是有关防火墙的操作，要求实现ip-sweep和port-scan攻击防范动态加入黑名单功能，实现分片报文攻击防范、常见flood攻击防范，添加相应的规则，进行常见病毒攻击的防护，邮件主题过滤、网页地址过滤实现。目录题目一、基于IPSec的GRE实现11.1实训任务11.1.1组网需求11.1.2组网图11.1.3配置要求11.2设备配置文档21.2.1 中心路由器的配置21.2.2分部1路由器的配置51.2.3分部3路由器的配置61.2.4 效果查看71.3 实验疑问解答121.4问题回答12题目二、基于IP的数据会议网络142.1 实训任务142.1.1 组网需求142.1.2 组网图142.1.3 配置要求142.2 实验配置152.3 问题回答18题目三、网络安全综合实验193.1 实训任务193.1.1组网需求193.1.2组网图193.2防火墙配置文档193.3 实验中疑问解答33题目四：选做题344.1 实训任务344.1.1 实验要求344.1.2 组网图344.2 IP地址划分354.3 实验配置文档354.3.1 R1配置354.3.2 R2配置364.3.3 R3配置384.3.4三层交换机配置394.3.5 二层交换机配置404.3.6 实验验证414.4 实验中的疑问解决435 总结44参考文献45致谢4647题目一、基于IPSec的GRE实现1.1实训任务1.1.1组网需求分部1和分部2通过野蛮IPSec的方式连接到中心，采用GRE -Over-IPSec的方式，在tunnel上运行OSPF协议来实现总部和分部之间的互通。1.1.2组网图图 1.1 组网图1.1.3配置要求(1) 3个 MSR20路由器的配置；(2) 中心上的ike sa 状态；(3) 中心上的IPSec sa状态；(4) 中心路由表；(5) 分部1的ike sa状态；(6) 分部1的ipsec sa状态；(7) 分部1的路由表(8) 实验组网图图 1.2 网络拓扑图1.2设备配置文档1.2.1 中心路由器的配置配置各个端口的IP地址。centerint e0/1center-Ethernet0/1ip add 24center-Ethernet0/1int s1/0center-Serial1/0ip add 30center-Serial1/0int s2/0center-Serial2/0ip add 30center-Serial2/0quit用访问控制列表实现包过滤即Acl配置。centeracl number 3001center-acl-adv-3001 rule 0 permit gre source 0 destination 0center-acl-adv-3001quitcenteracl number 3002center-acl-adv-3002 rule 0 permit gre source 0 destination 0配置总部center与分部1branch1之间的GRE tunnel0，再配置总部center与分部2branch2之间的GRE tunnel1，分别给tunnel配置IP地址，在定义通道源地址与目的地址。interface Tunnel0 ip address 52source destination interface Tunnel1ip address 52source destination 配置OSPF动态路由。实验中分为3个区域，分别是area0、area10、area20，然后将相应的路由宣告到各自的区域中去。ospf 1area network network 55area 0network area 0network Ike和ipsec的配置ike peer branch1/设置IKE对等体，名称为brance1exchange-mode aggressive /设置IPsec为野蛮模式pre-shared-key cipher J5fBBpuCrvQ= /设立预共享密钥id-type name/选择ID类型为名字remote-name branch1 /定义远端对等体名称为brance1ike peer branch2exchange-mode aggressivepre-shared-key cipher J5fBBpuCrvQ=id-type nameremote-name branch2remote-address ike peer centerremote-address 定义ipsec proposal的安全级别为1。ipsec proposal 1设置分部1与分部2的ipsec policyipsec policy center 10 isakmpsecurity acl 3001ike-peer branch1proposal 1ipsec policy center 20 isakmpsecurity acl 3002ike-peer branch2proposal 1在相应的端口上应用IPSec erface Serial1/0link-protocol pppip address 52ipsec policy centerinterface Serial2/0link-protocol pppip address 52ipsec policy center静态路由配置ip route-static 1.2.2分部1路由器的配置branch1int e0/1branch1-Ethernet0/1ip add 24branch1-Ethernet0/1branch1-Ethernet0/1int s2/0branch1-Serial2/0ip add 30#acl number 3001 rule 0 permit gre source 0 destination 0#interface Tunnel0 ip address 52 source destination #ospf 1 area 0 network network network 55#ike peer center exchange-mode aggressive pre-shared-key cipher J5fBBpuCrvQ= id-type name remote-name center remote-address #ipsec proposal 1#ipsec policy branch1 10 isakmp ike-peer center proposal 1#interface Serial2/0 link-protocol ppp ip address 52 ipsec policy branch1#ip route-static 1.2.3分部3路由器的配置branch2int e0/1branch2-Ethernet0/1ip add 24branch2-Ethernet0/1int s1/0branch2-Serial1/0ip add 30branch2-Serial1/0branch2-Serial1/0quitbranch2acl number 3002branch2-acl-adv-3002rule 0 permit gre source 0 destination 0branch2-acl-adv-3002quitbranch2int Tunnel 1branch2-Tunnel1ip add 30branch2-Tunnel1source branch2-Tunnel1destination branch2-Tunnel1quitbranch2ospf 1branch2-ospf-1-area-0network branch2-ospf-1-area-0network 55branch2-ospf-1-area-0quitbranch2-ospf-1quitbranch2ike local-name branch2branch2ike peer center /配置ike对等体peerbranch2-ike-peer-centerexchange-mode aggressive branch2-ike-peer-centerpre-shared-key abcbranch2-ike-peer-centerid-type namebranch2-ike-peer-centerremote-name centerbranch2-ike-peer-centerremote-address branch2-ike-peer-centerquitbranch2ipsec proposal 1 /创建ipsec安全提议branch2-ipsec-proposal-1quitbranch2ipsec policy branch2 20 isakmp branch2-ipsec-policy-isakmp-branch2-20quitbranch2ipsec policy branch2 20 isakmp /在分配ipsec policy时通过ike协商建立sabranch2-ipsec-policy-isakmp-branch2-20security acl 3002 /指定安全策略所引用的访问控制列表号branch2-ipsec-policy-isakmp-branch2-20ike-peer centerbranch2-ipsec-policy-isakmp-branch2-20proposal 1branch2-ipsec-policy-isakmp-branch2-20quitbranch2int s1/0branch2-Serial1/0ipsec policy branch2branch2-Serial1/0quitbranch2ip route-static preference 601.2.4 效果查看（1） 中心上的ike sa 状态；centerdis ike sa total phase-1 SAs: 2 connection-id peer flag phase doi - 106 RD|ST 1 IPSEC 107 RD|ST 2 IPSEC 10 RD 2 IPSEC 1 RD 1 IPSEC flag meaning RD-READY ST-STAYALIVE RL-REPLACED FD-FADING TOTIMEOUT（2）中心上的IPSec sa状态；centerdis ipsec sa=Interface: Serial1/0 path MTU: 1500= - IPsec policy name: center sequence number: 10 mode: isakmp - connection id: 3 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: remote address: Flow : sour addr: /55 port: 0 protocol: GRE dest addr: /55 port: 0 protocol: GRE inbound ESP SAs spi: 4140546555 (0xf6cbb9fb) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa duration (kilobytes/sec): 1843200/3600 sa remaining duration (kilobytes/sec): 1843174/915 max received sequence-number: 268 anti-replay check enable: Y anti-replay window size: 32 udp encapsulation used for nat traversal: N outbound ESP SAs spi: 3177135980 (0xbd5f3f6c) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa duration (kilobytes/sec): 1843200/3600 sa remaining duration (kilobytes/sec): 1843191/915 max sent sequence-number: 87 udp encapsulation used for nat traversal: N=Interface: Serial2/0 path MTU: 1500= - IPsec policy name: center sequence number: 20 mode: isakmp - connection id: 4 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: remote address: Flow : sour addr: /55 port: 0 protocol: GRE dest addr: /55 port: 0 protocol: GRE inbound ESP SAs spi: 284357432 (0x10f2f338) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa duration (kilobytes/sec): 1843200/3600 sa remaining duration (kilobytes/sec): 1843199/3450 max received sequence-number: 9 anti-replay check enable: Y anti-replay window size: 32 udp encapsulation used for nat traversal: N outbound ESP SAs spi: 857610838 (0x331e1a56) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa duration (kilobytes/sec): 1843200/3600 sa remaining duration (kilobytes/sec): 1843198/3450 max sent sequence-number: 16 udp encapsulation used for nat traversal: N（3） 中心路由表；Center dis ip routing-table Routing Tables: Public Destinations : 20 Routes : 20Destination/Mask Proto Pre Cost NextHop Interface/0 Static 60 0 S2/0/32 Direct 0 0 InLoop0/32 OSPF 10 1562 Tun0/32 OSPF 10 1562 Tun/30 Direct 0 0 Tun0/32 Direct 0 0 InLoop0/30 Direct 0 0 Tun/32 Direct 0 0 InLoop0/8 Direct 0 0 InLoop0/32 Direct 0 0 InLoop0/24 Direct 0 0 Eth0//32 Direct 0 0 InLoop0/24 OSPF 10 1563 Tun0/24 OSPF 10 1563 Tun/30 Direct 0 0 S2/0/32 Direct 0 0 InLoop0/32 Direct 0 0 S2/0/32 Direct 0 0 S1/0/30 Direct 0 0 S1/0/32 Direct 0 0 InLoop0（4）分部1的ike sa状态；branch1dis ike sa total phase-1 SAs: 1 connection-id peer flag phase doi - 11 RD|ST 2 IPSEC 2 RD|ST 1 IPSEC flag meaning RD-READY ST-STAYALIVE RL-REPLACED FD-FADING TOTIMEOUT（5）分部1的ipsec sa状态；branch1dis ipsec sa=Interface: Serial2/0 path MTU: 1500= - IPsec policy name: branch1 sequence number: 10 mode: isakmp - connection id: 3 encapsulation mode: tunnel perfect forward secrecy: None tunnel: local address: remote address: Flow : sour addr: /55 port: 0 protocol: GRE dest addr: /55 port: 0 protocol: GRE inbound ESP SAs spi: 3177135980 (0xbd5f3f6c) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa duration (kilobytes/sec): 1843200/3600 sa remaining duration (kilobytes/sec): 1843200/2348 max received sequence-number: 1 anti-replay check enable: Y anti-replay window size: 32 udp encapsulation used for nat traversal: N outbound ESP SAs spi: 4140546555 (0xf6cbb9fb) proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 sa duration (kilobytes/sec): 1843200/3600 sa remaining duration (kilobytes/sec): 1843188/2348 max sent sequence-number: 126 udp encapsulation used for nat traversal: N（6）分部1的路由表Branch1dis ip routing-table Routing Tables: Public Destinations : 13 Routes : 13Destination/Mask Proto Pre Cost NextHop Interface/0 Static 60 0 S1/0/32 OSPF 10 1562 Tun0/32 Direct 0 0 InLoop0/30 Direct 0 0 Tun0/32 Direct 0 0 InLoop0/8 Direct 0 0 InLoop0/32 Direct 0 0 InLoop0/24 OSPF 10 1563 Tun0/24 Direct 0 0 Eth0//32 Direct 0 0 InLoop0/32 Direct 0 0 S1/0/30 Direct 0 0 S1/0/32 Direct 0 0 InLoop0 1.3 实验疑问解答实验中的当吧配置文档敲进去后，我能够看到实验效果，就是网络拓扑中两端的PC能够ping通，但是查看不了各个路由器中的ike sa状态和ipsec sa状态。原因：实验中我配置的时候是以我的理解去配置实验，配置的时候，我将IPSec policy应用在tunnel0与tunne1上面，而不是应用在Serial1/0和 Serial2/0里，还有就是少配置了id-type name这条命令，所以实验中虽然能够通，但是确不是从虚拟链路上面的。1.4问题回答1、请阐述IPSec是通过哪些协议来实现安全服务的？这些协议分别起什么作用？。Authentication Header：AH定义在IETF RFC 2402，它支持IPsec数据验证、认证和完整性服务。它不支持数据加密。AH一般是单独实现的，但是它也可以与ESP一起实现。AH只有当我们需要保证交换数据双方安全时才会使用。Encapsulating Security Payload：ESP定义在IETF RFC 2406，它支持IPsec数据加密、验证、认证和完整性服务。ESP可以单独实现，也可以与AH一起实现。AH头是预先设置在IP数据包的数据有效内容位置的，而ESP则将IP数据包的整个数据部分封装到一个头和尾上。Internet Security Association and Key Management Protocol (ISAKMP)：这些协议提供了实现IPsec VPN服务协商的框架和过程。ISAKMP定义在IETF RFC 2408。IKE定义在IETF RFC 2409。ISAKMP定义了创建和删除认证密钥和安全关联（SA）的模式、语法和过程。IPsec节点会使用SA来跟踪不同IPsec节点之间协商的各个方面的安全性服务政策。Internet Key Exchange：IKE是 Oakley密钥判定协议和SKEME密钥交换协议的混合物。IKE协议负责管理IPsec VPN节点的ISAKMP中的IPsec安全关联。IKE协议可以被ISAKMP使用； 但是它们并不相同。IKE是建立IPsec节点之间IPsec连接的机制。2、什么叫GRE（Generic Routing Encapsulation，通用路由封装）协议，该协议有何特点？定义：IP隧道技术中使用的一种封装格式：把企业内部网的各种信息分组封装在内，可通过IP协议透明地穿过因特网，实现端点之间互连。GRE（Generic Routing Encapsulation，通用路由封装）协议是对某些网络层协议（如IP 和IPX）的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议（如IP）中传输。GRE采用了Tunnel（隧道）技术，是VPN（Virtual Private Network）的第三层隧道协议。Tunnel 是一个虚拟的点对点的连接，提供了一条通路使封装的数据报文能够在这个通路上传输，并且在一个Tunnel 的两端分别对数据报进行封装及解封装。特点：通过GRE，用户可以利用公共IP网络连接非IP网络VPN通过GRE，还可以使用保留地址进行网络互联，或者对公网隐藏企业网的IP地址。扩大了网络的工作范围，包括那些路由网关有限的协议。只封装不加密，路由器性能影响较小，设备档次要求相对较低。缺点只封装不加密，不能防止网络监听和攻击，所以在实际环境中经常与IPSec一起使用。基于隧道的VPN实现方式，所以IPSec VPN在管理、组网上的缺陷，GRE VPN也同样具有。对原有IP报文进行了重新封装，所以同样无法实施IP QoS策略。题目二、基于IP的数据会议网络2.1 实训任务2.1.1 组网需求组网如下图所示，熟悉通过ME5000服务器召集基于IP地址的多点会议以及TOPVIEW数据终端的应用。2.1.2 组网图图2.1 组网图 2.1.3 配置要求先熟悉两种新设备MG6030和ME5000，并做好地址规划。（1）配置MG6030媒体网关。（2）配置ME5000服务器。(参考4.2)（3）实现通过ME5000服务器召集基于IP地址的多点会议。（4）实现TOPVIEW数据终端的安装和配置。(参考3.2)（5）实验拓扑图。图 2.2 实验组网图2.2 实验配置（1）MCU终端添加如下图所示。图 2.3 终端添加（2）ME5000终端会议管理。图 2.4 终端管理（3）创建会议，将分屏改成三分层，文字大小是小，字幕位置是下移，字体颜色是绿色，播放形式是滚动，播放速度是中速，循环次数是9次等图 2.5 创建会议（4）会议控制图 2.6 会议控制设置图 2.7 会议控制设置（5）TOPVIEW会议召开。1）加入会议开始开会。图 2.8 加入会议2）程序共享图 2.9 程序共享3）文件传输图 2.10 文件传输2.3 问题回答1、什么叫E.164号码，如何通过E.164号码实现会议电视终端的点到点呼叫？E.164号码是MSISDN号码，它是主叫用户为呼叫移动通信网中用户所需拨号的号码。其格式为：CC+NDC+SN，也可以表示为：国家代码+N1N2N3+H0H1H2H3ABCD（CC=国家码，中国为86；NDC=国内目的码；SN=用户号码）。采用ENUM解决电话和数据业务的惟一号码问题，但是，实现ENUM机制需要分配一个新的号码，就是新的E.164号码，如图1所示是一个PSTN用户对一个SIP用户的呼叫。呼叫首先要接到ENUM网关，将E.164号码转换成URI的形式，如图1中的第三步，然后到域名服务器去查找用户相关的信息，获得该用户的域名，再到域名服务器查找SIP服务的相关的IP地址，通过SIP服务器将呼叫接到SIP的客户端。该种业务完全依赖于DNS系统，用户的个人信息也将在DNS系统中包括，因此ENUM的引入还有一个安全的问题，目前我国正在对于ENUM的引入进行研究。在实现号码个人化方面还有一个相关的业务就是号码携带业务，当一个用户需要更换运营商的时候，如果也要做到号码的惟一性，就需要解决号码的携带问题，因为这时的号码翻译不是在一个运营商的平台就能完成的，需要运营商间的合作才能提供。题目三、网络安全综合实验3.1 实训任务3.1.1组网需求1、某企业采用SecPath防火墙设备和IPS设备构建安全防范体系。2、防火墙上要求实现ip-sweep和port-scan攻击防范动态加入黑名单功能。3、防火墙上实现分片报文攻击防范、常见flood攻击防范。4、防火墙墙上添加相应的规则，进行常见病毒攻击的防护。5、防火墙邮件主题过滤、网页地址过滤实现。3.1.2组网图图 3.1 实验拓扑图3.2防火墙配置文档1、防火墙上要求实现ip-sweep和port-scan攻击防范动态加入黑名单功能。（1）配置文档给各个端口配置IP地址Finterface Ethernet 0/0F-Ethernet0/0ip add 24F-Ethernet0/0quitFinterface Ethernet0/1F-Ethernet0/1ip add 24F-Ethernet0/1quit防火墙打开Ffirewall packet-filter enable Ffirewall packet-filter default permit 全局模式启用统计功能Ffirewall statistic system enable 启用黑名单功能Ffirewall blacklist enable手工添加到黑名单条目Ffirewall blacklist 9Ffirewall zone trust F-zone-trustadd interface Ethernet 0/0F-zone-trust statistic enable ip inzone/连接发起域入方向启用IP统计功能F-zone-trustquitFfirewall zone untrust F-zone-untrustadd interface Ethernet 0/1F-zone-untruststatistic enable ip outzone/连接发起域出方向启用IP统计功能F-zone-untruststatistic enable ip inzoneF-zone-untrustquit配置ip-sweep防范属性Ffirewall defend ip-sweep max-rate 300 blacklist-timeout 15配置port-scan防范属性Ffirewall defend port-scan max-rate 3