网络项目实战教材

1、键入文字键入文字 键入文字网络项目实战网络信息工程2012级第一组2014/12/241.1公司简介Thor公司是一家以房地产业务为主的大型集团公司，集团公司由3个子公司组成，分别位于北京、上海、青岛三个城市。北京Loki公司为Thor集团总公司（以下Thor集团表示三家公司总称，而Thor集团总部位于北京Loki公司处），北京Loki总公司在北京各地区建立分销点及分公司，各分公司独立执行各地区的地产收购、房屋授首改建、工程实施等业务。公司整体规模近千人，拥有房地产开发一级资源，每年承接的工程项目有几十亿。2004年以来，中国房地产业蓬勃发展，Thor地产公司不断融资扩张，发展迅猛。1.2公司

2、网络现状 公司自成立起，一直由专门的信息工程部门负责优化和扩建网络，以适应业务需求。但由于近几年房地产行业发展较快，公司很快在各地区建起房地产分销经营点、售楼处等分支机构，这些分公司之间业务信息交流愈发频繁、数据传输也变得非常庞大，而且业务本身对于网络的安全性和可靠性要求随之愈来愈高，目前的网络系统已经无法满足企业信息化建设的需求。如图1.2所示，由于公司在各地建立分公司时，业务相对独立，而且每个分公司在设立初期都在摸索阶段，应采用多样化的经营模式一边公司的发展，所以业务数据并没有和总公司同步，只是在月末定期向总公司汇报工作。但是这几年公司业务相对稳定，发展也进入成熟期，董事会决定下一步的发展

3、策略主要是同化各地的管理模式，同步整个公司的业务数据、财务数据。但是公司的网络目前无法满足这一需求，存在的问题包括。北京地区的几家分销点目前依然采用ADSL的接入方式，带宽较低，数据传输不稳定，很难实现数据同步。各公司间通过Internet传输业务关键数据、业务数据相当不安全。公司的内网完全暴露于Internet，没有安装任何网络安全设备，很容易遭受黑客攻击，给公司造成巨大财务损失及信誉损失。1.3公司网络需求由于公司的发展历程，导致公司的网络建设有些“支离破碎”、“各自为政”，所以公司若想同化管理模式、统一业务财务相关数据，首先就应该同化各分公司的网络，具体网络改造项目的需求如下。尽量节约成

4、本，最大限度的利用现有网络资源。北京总公司内网的干线路为千兆以太网，接入线路为百兆位以太网。将北京总公司和各地分公司通过内网专线互联，实现网络的高可靠性和安全性。统一管理北京各地分公司的Internet访问，使各分销点只能通过总公司的网关访问Internet，但这种方式又会导致总公司的核心设备压力倍增。因此，在核心链路上采用设备的荣誉备份，保证网络的正常运行。如果北京地区各分公司到总公司E1链路带宽不够，可以向总公司申请由本地接入Internet，总公司同意后方可实施。为了保证重要业务的数据流量，需要在设备上部署QoS，所以在选择设备时需要考虑QoS功能。为了有效抵御来自公司外部和内部的病毒和

5、攻击，需要增强北京、上海和青岛各公司内网的安全性，在网关安装防火墙。由于北京、上海和青岛三家公司之间相距较远，架设专线的费用较高，需要通过三家公司的网络实现站点到站点的VPN。1.4网络改造方案需求分析 Thor集团网络改造示意图如图1.3所示。Internet部分采用Cisco的防火墙配置IPSec VPN和SSL VPN实现Internet数据的加密、认证等，如图1.4所示。为了提高广域网环境通信的稳定性，各分公司的Internet接入应尽量选择与总共死相同的服务提供商。所有的VPN均为总公司和分公司之间站点到站点的数据加密通信，各分公司之间不建立VPN，也不允许各分公司之间传输机密数据。

6、增强总公司的邮件服务器、数据库服务器的各项性能，实现整个Thor集团公司数据库、邮件关键业务文件的统一管理。网关防火墙设备支持基于Web的SSL VPN，到外地出差的员工可以通过SSL VPN实时、安全地和总部服务器交换关键业务信息。2.总公司部分 通过核心及网关设备HSRP技术实现高可靠性，如图1.5所示。由于公司要实现Internet访问和内网服务访问的集中管理，总公司将原来的单核心网络改造成双核心网络，并且根据不同的VLAN数据访问量实现负载均衡。通过HSRP的端口跟踪技术实现核心设备下行链路以及连接服务器链路的主设备切换，而上行链路通过OSPF协议本身的特性实现即可。总公司通过双路由器

7、和公司内部专线网连接，通过OSPF的等值路由实现负载均衡。3.内网专线部分 通过OSPF路由协议实现网络互连，如图1.6所示。 北京所有分公司及销售网点都通过E1专线和总公司相连，整个北京地区相当于一个大型局域网，从而可以确保网络的安全性和稳定性。北京各分公司及销售网点与总公司之间都使用4条E1专线相连。4条E1专线分别捆绑成2条4M链路连接到不同的总公司内网路由器。网络稳定性、带宽以及通信延迟时间的保证，可以提高公司内网视频会议的通信质量。在北京所有公司及销售网点的网络通过OSPF路由协议实现网络互联，并根据网络具体结构将OSPF网络划分成3个区域。在专线网络通过QoS技术为视频流量预留一定

8、的带宽，从而优化网络带宽，提高视频会议的通信质量。1.5设备选型1.选型的基本原则可以对单各文件或者文件夹设置权限。从网络的稳定性和可靠性考虑，所有交换、路由以及安全设备统一选用Cisco品牌，采用Cisco的整体解决方案。从工程预算成本考虑，尽量使用原有设备，可以适当更换一些性能不够用或不稳定的设备，不要刻意追求高性能、功能强的高端设备。从网络的扩展性考虑，设备的接口、模块数量要预留出一定的空间，设备的背板带宽、连接数等关键性能参数也应预留一定的升级空间。2.安全设备选型 总公司的网关防火墙对于整个Thor集团网络至关重要，它不但担负这整个北京地区所有公司的Internet接入，更肩负这与上

9、海、青岛分公司的VPN通信，所以工程部决定购买Cisco，而上海和青岛俩家分公司采用Cisco设备即可。如表1-1所示，为两款防火墙的参数对比。3.交换设备选型北京总公司原先使用的核心交换设备为Cisco4530，综合考虑网络的扩展性和设备的性价比，工程部决定购买两台企业级Cisco。总公司内网要实现“千兆到骨干，百兆到桌面”，所以原先的接入的交换机如果没有千兆上行口，就必须更换到。更换后的接入交换机应为Cisco3750，或Cisco2960交换机。由于实现对业务的统一管理，所以总公司服务器的访问量将会很大，因此将所有服务器连接到Cisco2960的千兆以太网交换机上，通过交换机的4各SFP

10、千兆上行口两两绑定以太网通道并连接到双核心交换上。具体Cisco交换机参数见表1-2.表1-2 Cisco交换机参数产品系列号设备型号背板带宽转发速率最大vlan 数端口密度机架单元（RU）Cisco 3750系列Cisco 3750-48TS-S481012824-10/100/1000TX1Cisco 2960系列Cisco 2960-24TT166.525524-10/100；2-10/100/1000TX14.路由设备 北京Loki公司与各分公司和分销网点通过专线相连，相当于公司的内部网络，所以网关设备没有选用防火墙，而采用Cisco的路由器进行通信。专线网络的结构明显是一个总部网络和

11、分支网络的互联结构，因此总部的网管设备性能比分校网店的设备要高一些。工程部规划北京总公司的路由器购买Cisco 7200，而分公司和分销点网点统一购买的是Cisco 3600。如表1-3所示为Cisco7200系列和Cisco3600系列。表1-3CiSCO 路由器参数表设备型号固话LAN接口接口卡插槽网络模块插槽QoS和VPN的支持Cisco 3600两个网络插槽NM-1FE2W;NM-2FE2W;NM-1FE1R2W;NM-2W支持Cisco 7200支持2.1设计目标和原则 Thor集团有限责任公司的信息化建设已经成为整个集团发展的重要组成部分，近几年集团的发展成为整个集团网络信息化建设

12、的驱动力。虽然Thor集团网络依然可以保证房地产业务的正常进行，但在集团各分公司和分销网点间传输业务信息的可靠性和安全性方面暴露的问题很可能制约集团实体业务的发展速度。为了适应公司尸体业务的发展需求，并考虑到集团的快速发展给信息化建设带来的压力，网络工程部建议Thor集团信息化建设进入第二期网络改造阶段。2.1.1设计目标 本次Thor集团网络改造项目的设计目标如下。根据Thor集团信息化的需求，对网络系统进行总体规划，并纳入所需业务。部署网络中心节点，提升网络安全系数，加强网络的可靠性和稳定性。整改Thor集团北京地区的广域网结构，依据专线网络的部署和设计规范，确定通州、昌平、房山等分销网点

13、接入北京Loki房产公司的互联方式及部署方案。 根据Loki公司内网的实际业务访问量，并兼顾未来发展，设计出安全、可靠、稳定的公司内网结构。实现内网服务器和外网Loki-R3600-05之间的的VPN接入，并实现总公司对这些业务的统一管理。2.1.1设计原则 本着“投资保护、高可靠性、安全性扩展性”的原则，加强在网络通信及系统中的安全管理、技术和产品的全面落实，最终建设一个高校、可靠、安全的网络通信及应用系统。其中设计原则主要体现在以下几方面。系统的实用性和集成性系统的软硬件设计和集成，均应以实用为第一宗旨，在系统充分适应应用需求的基础上再考虑其它方面的功能和性能。Thor集团的网络系统所包含

14、的内容很多，系统设计时必须能将各种先进的软硬件设备有效集成，使系统的各个组成部分能充分发挥作用，协调一致地进行高效工作。标准性和开放性只有支持标准性和开放性的系统，才能支持与其他开放型系统一起协同工作，在网络中采用的硬件设备及软件产品应支持国际工业标准或是事实上的标准，以便能和不同厂家的开放型产品在一网络中同时共存。先进性和安全性系统所有的组成要素均应充分地考虑其先进性。不要一味地追求实用而忽略先进，只有将当今最先进的技术和我们的实际应用要求紧密结合，才能获得最大的系统性能和效益。另外，网络的安全至关重要的，在某些情况下，宁可牺牲系统的部分功能也必须保证系统的安全。对于网络安全方面主要需要考虑

15、以下几方面。在设备安全方面主要包括：设备的物理安全和设备的访问安全。数据保密。对于通过Internet传输的重要数据，可以使用VPN技术进行加密以保证数据的安全性。在公司内网不需要进行加密。通过防火墙等安全设备进行安全防护。通过ACL限制，来增强服务器的安全。成熟性和高可靠性作为信息系统基础的网络结构和网络设备及设备之间的贷款应能充分地满足网络通信的需求。网络硬件体系结构在实际应用中能经受较长时间的考验，在运行速度和性能呢刚上应该是稳定可靠的，并拥有完善的、使用的解决方案。硬件设备应在全球范围内有广泛的使用，并且硬件厂商要有实力雄厚的售后支持队伍。同时，应从长远的技术发展来选择具有很好前景的、

16、较为先进的技术和产品，以适应系统未来的发展需求。 可靠性也是衡量一个计算机应用系统的重要标准之一。在确保系统网络环境中单独设备稳定、可靠运行的前提下，还需要考虑网络整体的容错能力、安全性及稳定性，在系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施，如对关键应用和主干设备考虑适当的冗余。应急处理信息系统能够全天候工作，达到每周7*24小时工作的要求。网络的可靠性主要取决于两方面：设备的可靠性和网络拓扑的冗余。设备可靠性在选择设备时需要从设备的可靠性、转发能力、端口类型数量、价格等方面进行考虑。 设备的可靠性主要考虑设备模块的冗余，除此之外还需呀考虑设备的厂商，尽量选择如Cisco、H

17、uawei等知名品牌厂商的设备。网络冗余网络拓扑的冗余包括，设备冗余和线路冗余。设备冗余一般使用备份技术（HSRP、VRRP等）实现一台设备出现故障时，令一台设备可以保证网络的正常运行。线路冗余一般为全互联或多条连路连接。可维护性和可管理性整个信息网络系统中的互连设备，应是使用方便、操作简单易学，并便于维护和管理。对复杂和怕更大的网络，要求有强有力的网络管理手段，一边合理地管理网络资源，监视网络状态及控制网络的运行。因此，所选的网络设备应支持SNMP、RMON、SMON等协议，管理员通过网管工作站就能方便地进行网络管理、维护及修复。在设计和实现计算机应用系统时，必须充分考虑整个系统的便于维护性

18、，以保证一旦系统发生故障能够及时提供有效手段恢复业务，尽量减少损失。 部署网络管理一般分为两种形式：带内网管和带外网关。可扩充性和兼容性网络的拓扑结构应具有可扩展性即网络连接必须在系统结构、系统容量与处理能力、物理连接、产品支持等方面具有扩充与升级换代的可能，采用的产品要遵循通用的工业标准，一边不同类型的设备能方便灵活地接入网络并满足系统规模扩充的要求。2.2设备清单、命名及连接2.2.1设备使用统计 2.2.2设备命名及连接 由于Thor集团网络使用设备较多，为了便于管理和维护需要对设备进行统一的命名，命名规则应该规范化，并且命名规则应该便于理解。Thor公司采用三段式的命名规则，即AAAA

19、-BBBB-CC。其中AAAA为设备所属的公司，使用汉字拼音的首字母缩写；BBBB表示设备的型号；CC表示设备序号，如果前两项相同可以使用数字标号标识。具体设备命名如表2-2所示。Thor集团网络设备命名表设备命名设备型号描述Loki-R3600-01R3600Loki公司内网专线网关设备Loki-R3600-02R3600分公司网关路由设备Loki-R3600-03R7200Loki公司外网网关设备Loki-R3600-04R3600模拟外网设备Loki-R3600-05R3600外网验证IPSECVPN设备Loki-SW3750-01SW3750Loki公司核心交换冗余设备Loki-SW3

20、750-02SW3750Loki公司核心交换冗余设备Loki-SW3750-02SW2960Loki公司核心交换设备2.3VLAN及IP地址的规划 本次改造工程继续使用之前的网站地址（），但为了避免IP地址的冲突，重新对IP对峙进行规划。工程部：/24；市场部：/24；财务部：/24；外网网关：/24；2.3.1网络核心设备互相连接地址 网络核心设备互连地址，如表2-6所示。表2-6 核心网络设备互联地址表设备名称接口及地址对端设备接口及地址连接方式Loki-R7200-03S0/0;/24Loki-R3600-04S0/0;/24VPN连接的Internet链路Loki-SW2960-032

21、3Loki-SW3750-0222Trunk链路24Loki-SW3750-0122Trunk链路3Vlan10/24以太网链路5Vlan20/24以太网链路11Vlan30/24以太网链路16Vlan40/24以太网链路Loki-SW3750-0112Loki-R3600-04F0/0/24以太网链路22Loki-SW2960-0324Trunk链路23Loki-SW3750-0223以太网链路24Loki-SW3750-0224以太网链路Loki-SW3750-0212Loki-R3600-04F0/1 /24以太网链路11Loki-R3600-01F0/1/24以太网链路23Loki-S

22、W3750-0123以太网链路24Loki-SW3750-0124以太网链路22Loki-R720023Trunk链路2.3.2设备管理IP地址 具体设备管理地址，如表2-7所示。表2-7 网络设备管理地址表设备名称管理IP描述Loki-PC-011ACS代理服务器Loki-PC-020http服务器Loki-PC-030工程部Loki-PC-040市场部Loki-PC-050财务部2.3.3 集团公司用户VLAN与IP地址 要求为该公司每个部门划分单独的VLAN，以减少不必要的广播并增强网络安全性。具体划分如表2-5所示。表2-8 用户VLAN及IP所在公司功能VLAN IDIP地址网段总部

23、总部服务器VLAN 10/24工程部VLAN 20/24市场部VLAN 30/24财务部VLAN 40/242.4具体配置总公司核心交换部分的配置由于此次改造工程北京Loki公司的内网VLAN数量较多，因此采用MSTP技术将所有的vlan按照流量大小等分为两组实例（instance 1和instance 2），针对这两组实例实现生成树的负载均衡。Instance 1Instance 2Loki-SW3750-01VLAN10 VLAN20VLAN30 VLAN40Loki-SW3750-02VLAN10 VLAN20VLAN30 VLAN402.4.1Loki-SW3750-01的配置：hos

24、tname Loki-SW3750-01no aaa new-modelswitch 1 provision ws-c3750-24tssystem mtu routing 1546ip subnet-zeroip routing配置MSTPspanning-tree mode mstspanning-tree extend system-idspanning-tree mst configurationname xilinrevision 1instance 1 vlan 1, 10, 20 /将vlan10,20划分到实例1，作为SW1_3750A的主根instance 2 vlan 30

25、, 40/将vlan30,40划分到实例2，作为SW1_3750A的备根spanning-tree mst 1 priority 24576spanning-tree mst 2 priority 28672vlan internal allocation policy ascendinginterface Port-channel1switchport trunk encapsulation dot1qswitchport mode trunkinterface FastEthernet1/0/1interface FastEthernet1/0/2interface FastEtherne

26、t1/0/3interface FastEthernet1/0/4interface FastEthernet1/0/5interface FastEthernet1/0/6interface FastEthernet1/0/7interface FastEthernet1/0/8interface FastEthernet1/0/9interface FastEthernet1/0/10interface FastEthernet1/0/11interface FastEthernet1/0/12no switchportip address speed 100duplex fullinte

27、rface FastEthernet1/0/13interface FastEthernet1/0/14interface FastEthernet1/0/15interface FastEthernet1/0/16interface FastEthernet1/0/17interface FastEthernet1/0/18interface FastEthernet1/0/19interface FastEthernet1/0/20interface FastEthernet1/0/21interface FastEthernet1/0/22switchport trunk encapsu

28、lation dot1qswitchport mode trunkinterface FastEthernet1/0/23switchport trunk encapsulation dot1qswitchport mode trunkchannel-group 1 mode oninterface FastEthernet1/0/24switchport trunk encapsulation dot1qswitchport mode trunkchannel-group 1 mode oninterface GigabitEthernet1/0/1interface GigabitEthe

29、rnet1/0/2interface Vlan1no ip address24.1.2HSRP的配置interface Vlan10ip address ip ospf flood-reduction/使LSA的更新失去作用ip ospf mtu-ignore/禁用开放OSPF最大传输单元(MTU)接收数据描述符不匹配检测standby 10 ip 54standby 10 priority 150standby 10 preemptstandby 10 track FastEthernet1/0/12 70interface Vlan20ip address ip access-group

30、v10 inip ospf flood-reductionip ospf mtu-ignorestandby 20 ip 54standby 20 priority 150standby 20 preemptstandby 20 track FastEthernet1/0/12 70interface Vlan30ip address ip access-group v20 inip ospf cost 65535ip ospf flood-reductionip ospf mtu-ignorestandby 30 ip 54standby 30 preemptinterface Vlan40

31、ip address ip ospf cost 65535ip ospf flood-reductionip ospf mtu-ignorestandby 40 ip 54standby 40 preemptrouter ospf 110router-id log-adjacency-changesnetwork 55 area 0network 55 area 0network 55 area 0network 55 area 0network 55 area 0ip classlessip route FastEthernet1/0/12ip http serverip http secu

32、re-serverip access-list extended v20permit ip any 55permit ospf any anyip access-list extended v30permit ip any 55permit ospf any anyline con 0line vty 0 4password ciscologinline vty 5 15loginend2.4.2 Loki-SW3750-02的配置：hostname Loki-SW3750-02spanning-tree mode mstspanning-tree extend system-idspanni

33、ng-tree mst configuration name xilin revision 1/将vlan10，20划分到实例1，作为SW2_3750B的备根，将vlan30，40划分到实例2，作为SW2_3750B的主根 instance 1 vlan 10, 20 instance 2 vlan 30, 40 MSTP的配置spanning-tree mst 1 priority 28672spanning-tree mst 2 priority 24576vlan internal allocation policy ascendinginterface Port-channel1swi

34、tchport trunk encapsulation dot1qswitchport mode trunkinterface FastEthernet1/0/1interface FastEthernet1/0/2interface FastEthernet1/0/3interface FastEthernet1/0/4interface FastEthernet1/0/5interface FastEthernet1/0/6interface FastEthernet1/0/7interface FastEthernet1/0/8interface FastEthernet1/0/9int

35、erface FastEthernet1/0/10interface FastEthernet1/0/11interface FastEthernet1/0/12no switchportip address speed 100duplex fullinterface FastEthernet1/0/13interface FastEthernet1/0/14interface FastEthernet1/0/15interface FastEthernet1/0/16interface FastEthernet1/0/17interface FastEthernet1/0/18interfa

36、ce FastEthernet1/0/19interface FastEthernet1/0/20interface FastEthernet1/0/21interface FastEthernet1/0/22switchport trunk encapsulation dot1q /协议封装switchport mode trunkinterface FastEthernet1/0/23switchport trunk encapsulation dot1qswitchport mode trunkchannel-group 1 mode oninterface FastEthernet1/

37、0/24switchport trunk encapsulation dot1qswitchport mode trunk 以太通道绑定channel-group 1 mode oninterface GigabitEthernet1/0/1interface GigabitEthernet1/0/2interface Vlan1no ip addressinterface Vlan10ip address ip ospf cost 65535ip ospf flood-reductionip ospf mtu-ignorestandby 10 ip 54standby 10 preempti

38、nterface Vlan20ip address ip access-group v20 inip ospf cost 65535ip ospf flood-reductionip ospf mtu-ignorestandby 20 ip 54standby 20 preemptinterface Vlan30ip address ip access-group v30 inip ospf flood-reductionip ospf mtu-ignorestandby 30 ip 54standby 30 priority 150standby 30 preemptstandby 30 t

39、rack FastEthernet1/0/12 70interface Vlan40ip address ip ospf flood-reductionip ospf mtu-ignorestandby 40 ip 54standby 40 priority 150standby 40 preemptstandby 40 track FastEthernet1/0/12 702.4.2 .3 配置OSPFrouter ospf 110router-id log-adjacency-changes /激活OSPF邻接关系network 55 area 0network 55 area 0netw

40、ork 55 area 0network 55 area 0network 55 area 0ip classlessip route FastEthernet1/0/12ip http serverip http secure-serverip access-list extended v20permit ip any 55permit ospf any anyip access-list extended v30permit ip any 55permit ospf any anyline con 0line vty 0 4password ciscologinline vty 5 15l

41、oginend2.4.3. Loki-SW2960-03的配置：MSTP的配置hostname Loki-SW2960-03spanning-tree mode pvstspanning-tree extend system-idvlan internal allocation policy ascendinginterface GigabitEthernet0/1 switchport access vlan 10 switchport mode accessinterface GigabitEthernet0/2switchport access vlan 10switchport mod

42、e accessinterface GigabitEthernet0/3switchport access vlan 10switchport mode accessinterface GigabitEthernet0/4interface GigabitEthernet0/5switchport access vlan 20switchport mode accessinterface GigabitEthernet0/6interface GigabitEthernet0/7interface GigabitEthernet0/8interface GigabitEthernet0/9in

43、terface GigabitEthernet0/10interface GigabitEthernet0/11switchport access vlan 30switchport mode accessinterface GigabitEthernet0/12interface GigabitEthernet0/13interface GigabitEthernet0/14interface GigabitEthernet0/15interface GigabitEthernet0/16switchport access vlan 40switchport mode accessinter

44、face GigabitEthernet0/17interface GigabitEthernet0/18interface GigabitEthernet0/19interface GigabitEthernet0/20interface GigabitEthernet0/21interface GigabitEthernet0/22interface GigabitEthernet0/23switchport trunk encapsulation dot1qswitchport mode trunkinterface GigabitEthernet0/24switchport trunk

45、 encapsulation dot1qswitchport mode trunkinterface GigabitEthernet0/25interface GigabitEthernet0/26interface GigabitEthernet0/27interface GigabitEthernet0/28interface Vlan1no ip addressno ip route-cacheshutdowninterface Vlan10ip address no ip route-cacheip default-gateway 54ip http serverline con 0l

46、ine vty 0 4no loginline vty 515no loginEndLoki公司的专线链路配置：1.Loki-R3600-01的配置：hostname Loki-R7200-01int f0/0ip add no shutint f0/1ip add no shutrouter ospf 110router-id network 55 area 0network 55 area 12.Loki-R3600-02的配置：hostname Loki-R7200-02int f0/0ip add no shutint f0/1ip add no shutLoki公司核心路由器Loki

47、-R7200-03的配置：1.1 配置IPSec VPNhostname Loki-R7200-03crypto isakmp policy 10 /建立IKE协商策略，策略号为10Encr 3des /3des加密算法hash md5 /采用hash密钥认证算法authentication pre-share /采用预先共享的密钥group 2crypto isakmp key cisco address /密码为cisco 对端IP为crypto ipsec transform-set Trans esp-des esp-md5-hmac /传输模式的名称为Trans,后面的为其采用的验证

48、和加密参数crypto map cry-map 10 ipsec-isakmp /此IPSec链接采用IKE自动协商set peer /指定VPN链路set transform-set Trans /设置传输模式的名称为Transmatch address vpn /ACL列表名为vpninterface FastEthernet0/0ip address ip nat insideip virtual-reassemblyip ospf mtu-ignorespeed 100full-duplexinterface Serial0/0ip address ip nat outsideip v

49、irtual-reassemblyno fair-queuecrypto map cry-mapinterface FastEthernet0/1ip address ip nat insideip virtual-reassemblyip ospf mtu-ignorespeed 100full-duplexinterface Serial0/1no ip addressShutdown1. 2 OSPF的配置router ospf 110router-id log-adjacency-changesnetwork 55 area 0network 55 area 01.3 内网与外网之间的

50、RIP配置router ripversion 2network no auto-summaryip forward-protocol ndip route ip http serverno ip http secure-serverip nat inside source list pat interface Serial0/0 overloadip access-list extended patdeny ip host 0 anypermit ip host 1 anyip access-list extended vpn/允许服务器0访问permit ip host 0 55contro

51、l-planeline con 0exec-timeout 0 0line aux 0line vty 0 4password ciscologinend1.4配置SSL VPNinterface Serial0/0access sslvpn /配置接口，开启SSLVPNaccess httpsuser access cisco local cisco /创建本地认证用户usergroup cisco sslvpn mode all /创建本地认证用户组user access cisco group 2 /用户与用户组关联sslvpnresource-group 3resource-group

52、 3 group 2resource web server 0 prot 80 type web enableresource web group 3ensble(模拟外网)Loki-R3600-04的配置：hostname Loki-R3600-04username cisco password 0 ciscointerface Loopback0ip address interface Ethernet0/0no ip addressshutdownhalf-duplexinterface Serial0/0ip address clockrate 2000000interface Eth

53、ernet0/1ip address no shutdownhalf-duplexinterface Serial0/1ip address clockrate 2000000router ripversion 2network network network no auto-summaryip classlessip http serverip pim bidir-enableline con 0line aux 0line vty 0 4password ciscologinendLoki-R3600-05的配置：hostname Loki-R3600-05 no ip domain lo

54、okupcrypto isakmp policy 10encr 3deshash md5authentication pre-sharegroup 2crypto isakmp key cisco address crypto ipsec transform-set cisco esp-des esp-md5-hmac crypto map cisco 10 ipsec-isakmp set peer set transform-set cisco match address vpninterface FastEthernet0/0ip address duplex autospeed aut

55、ointerface Serial0/0no ip addressshutdownno fair-queueinterface FastEthernet0/1no ip addressshutdownduplex autospeed autointerface Serial0/1ip address crypto map ciscointerface Serial0/2no ip addressshutdowninterface Serial0/3no ip addressshutdownrouter ripversion 2network no auto-summaryip forward-

56、protocol ndip route ip http serverno ip http secure-serverip access-list extended vpnpermit ip 55 host 0control-planeline con 0exec-timeout 0 0logging synchronousline aux 0line vty 0 4password ciscologinEnd4.1测试验收测试验收的相关规范如下。 确认设备、环境等条件是否为正常运行后的情况，是否符合测试验收要求。在测试验收过程中填写测试报告，并签字或盖章。如果测试中发生问题，应及时通知相关责任

57、人，进行故障处理。测试验收问题包括相关功能没有实现、配置错误、设备缺损、环境不满足要求等。所有测试验收数据均应认真记录，最终测试报告应由测试人及确认人签字。4.1.1测试结果 总公司内网部分：工程部、市场部、财务部之间不可互相访问。总公司内网部分：VLAN 10和工程部、市场部、财务部之间可以互相访问 。4个VLAN都可以访问外网，但是工程部、市场部、财务部需要通过VLAN10中的ACS服务代理访问外网。专线和内网之间可以互相访问。5.1 Linux服务搭建部分需求分析DNS服务，对内外网提供域名解析FTP服务HTTP服务SMTP服务问题分析在搭建的DNS服务的时候，配置文件已经写好，但正向或

58、反向解析出错匿名用户可以登录，但实名用户无法登录实施步骤搭建DNS服务建立一个yum容器 vim /etc/yum.repo.d/test.repo编辑test.reponame111111name=111111baseurl=file:/mnt/dvd(检查mnt目录下有无dvd没有的话建立一个)enabled=1gpgcheck=0保存ii.挂载 mount dev/sr1 mnt/dvdiii.装包 yum install -y bind正向解析：iv.文件配置 named.conf文件配置1.vim /etc/named.cof2.listen-on port 53any;3.allo

59、w-query(any;);named.rfc1912.zones配置vim /etc/named.rfc1912.zonesZone “” INtype master;file named.swfu;Allow-updatenone;cp named.localhost named.swfu更改name.swfu的权限chgrp named /var/named/named.swfu配置named.swfu文件 vim /var/named/named.swfu$TTL1D IN SOA . root(0 ;serial1D ;refresh1H ;retry1W ;expire3H );miniumNS .dns A 28 /正向解析 域名-IPwww A 28重启服务/etc/init.d/named restartchkconfig named onvim /etc/resolv.conf search nameserver 28反向解析Vim /etc named.rfc1912.zoneszone 70.168.192. IN type master; file named.192; allow-update none;