网络设备配置与调试项目实训-项目10.1-网络工程项目案例课件

1、项目十 网络工程项目案例项目十 网络工程项目案例一、背景介绍 某科技公司是股份制公司，总公司设在北京，在天津新收购了一家公司设为天津分公司。总公司使用专用链路与分公司相连组成城域网，主来用来传输公司业务数据。当专用链路中断后，公司业务数据通过互联网采用VPN加密的方式，安全传输业务数据。在总公司的骨干网、城域网及天津分公司使用动态路由OSPF路由协议。在总公司的无线办公网采用RIPv2路由协议，如果你是这个网络项目的网络工程师，可根据下面的需求构建一个安全、稳定的网络。23项目十 网络工程项目案例4项目十 网络工程项目案例设 备 类 型设 备 型 号设备数量（台）路由器RG-RSR20-184

2、三层交换机RG-S3760E-242无线APRG-AP220E1计算机4二、设备配备5四、具体要求4.1 总公司网络1网络底层配置 根据网络拓扑图所示，对网络设备（路由设备、交换设备、无线设备）的各端口、VLAN等相关信息进行配置，使其能够正常通信。项目十 网络工程项目案例2路由协议配置 根据网络拓扑图所示，在网络中配置OSPF动态路由协议、RIPv2路由协议、静态路由，并需要指定OSPF路由器的RID；为保障网络畅通需要配置路由重分布，实现全网互通。6项目十 网络工程项目案例73网络出口配置（1）根据网络拓扑图所示，使用网络地址转换（NAT）技术，实现内部用户可以访问互联网资源，要求内部VL

3、AN10、VLAN20用户使用外部端口的IP地址做为全局地址访问互联网资源；内部VLAN30、VLAN40用户使用地址段作为全局地址访问互联资源。项目十 网络工程项目案例8 （2）根据网络拓扑图所示，将总部的服务器FTP发布到互联网，其合法的全局地址为；服务器群中有两台Web服务器组成Web服务组，为了提高服务器的高可用性，要求使用TCP负载分担功能来实现，并使用全局地址发布给互联网用户。项目十 网络工程项目案例94数据链路配置（1）根据网络拓扑图所示，由于总公司与分公司（VLAN60和VLAN70）之间需要传输服务器群中的业务数据（VLAN80），为了保障业务数据的安全，总公司与分公司之间使

4、用专用线路来传输业务数据。项目十 网络工程项目案例10（2）为了实现业务数据传输的高可用性，需要使用互联网作为业务数据传输的备份链路，为了保障业务数据在互联网传输的安全性，使用IPSec VPN技术对数据进行加密，当分公司VLAN60和VLAN70的用户访问总公司的VLAN80服务器群的业务时，专用链路宕掉之后，VPN链路启动，并加密传输业务数据。项目十 网络工程项目案例 （3）当专用链路宕掉、VPN链路启用后，OSPF路由也需要通过互联网进行传输，所以需要使用GRE隧道传递OSPF路由协议更新，将GRE隧道的端口也划入到骨干区域0中。 （4）为了保障总公司骨干网与总公司无线办公链路安全，需要

5、在总公司与无线办公网连接的链路上配置PPP协议，并采用先CHAP后PAP的验证方式，并将总公司路由器设置为验证方，其口令为ruijie。11项目十 网络工程项目案例 （5）为了增加两台核心交换机的传输速率，需要使用链路聚合技术增加带宽，并需要基于源IP地进行负载均衡。5路由协议安全 为保障路由协议更新数据的安全，需要在RIP协议中配置MD5方式的安全验证，其口令为ruijie。在OSPF协议中使用MD5方式并基于端口的安全验证。12项目十 网络工程项目案例6网络安全配置 （1）为保障资源合理利用，需要内网用户只能在工作日的上班时间才能访问互联网，即周一至周五的9:0018:00。 （2）为了网

6、络安全的需求，禁止VLAN10的用户与VLAN40的用户进行互相访问。13项目十 网络工程项目案例14在服务器群中，部署了DHCP服务器，为内网用户动态分配IP地址，网络中会存在无赖设备和DOS攻击，为了保障DHCP服务器的正常工作，需要配置DHCP监听功能和中继功能，并要求每隔5秒自动写入绑定信息。（3）使用动态ARP检测来防止网络中的ARP攻击，并限制Untrust端口的ARP速率阈值为10pps。项目十 网络工程项目案例15（4）根据网络拓扑图所示，对所有的接入端口配置端口安全，如果有违规者则关闭端口，并要求端口配置为速端口。7无线网络配置根据网络拓扑图所示，配置无线AP，无线客户端采用

7、PSK 预共享密钥认证方式接入网络，其共享密钥为“12345678”。项目十 网络工程项目案例164.2 天津分公司1网络底层配置根据网络拓扑图，对设备的各端口、VLAN等相关信息进行配置，使其能够正常通信。2路由协议配置根据网络拓扑图所示，配置动态路由协议OSPF，并需要指定RID。由于区域20并非与骨干区域直接连接，所以需要使用虚链路技术与区域0连接。项目十 网络工程项目案例173网络出口配置根据网络拓扑图所示，使用网络地址转换（NAT）技术，实现内部VLAN60、VLAN70用户使用外部端口的IP地址访问互联网资源。4备份链路（1）为了实现数据传输的高可用性，需要使用互联网作为业务数据传输的备份链路，为了保障数据在互联网传输的安全性，项目十 网络工程项目案例18使用IPSec VPN对数据加密，当分公司VLAN60和VLAN70的用户访问总公司的VLAN80服务器群的业务时，专用链路宕掉之后，VPN链路启动，并加密数据。（2）当专用链路宕掉、VPN链路启用后，OSPF路由也需要通过互联网进行传输，所以需要使用GRE隧道传递OSPF协议更新，将GRE隧道的端口也划入到骨干区域0中。项目十 网络工程项目案例195路由控制为了隐