网络工程综合实训报告新编

网络工程综合实训报告新编systemoffice【GEIHUA16H-GEIHUAGEIHUA8Q8-

项目名称

网络程综组网实训告中小企业网络改班组

级长

网络王坤成

员

申中文

崔文生指导教师日

朱文龙期12月22日中小企业网络改建一、项目内容与目标本项目模拟一个真实的网络工程，加强对网络技术的理解，提高网络技术的实际应用能力。（宋体小四）通过本实训，应达到以下目标：了解网络建设流程掌握中小企业组网相关技术独立部署中小企业网络二、项目背景

现有网络存在的问题（宋体小四）该公司是一个高新技术企业，以研发，销售汽车零件为主，公司总部设在北京，在深圳设有一个办事处，在上海设有研究所。总部负责公司运营管理，深圳办事处负责销售，上海负责公司产品市场调研，产品研发等工作。但随着公司发展，还存在以下网络问题。）网络故障断，时常出现网络瘫痪现象。）病毒泛滥攻击不断‘）总部同办处发送信息不安全。）员工使用工具，不能监管。）公司的一服务器只能托管，不能放在公司内部。三、网络规划与设计网络建目（黑体小四加粗）正文（宋体小四）该公司决定对当前的总部及办事处的办公网络进行升级改造，解决当前网络存在的问题，提高公司效益，降低公司的运营成本。为此公司提出了以下建设目标。）网络带宽级，达到千兆骨干，百兆到桌面。）增强网络可靠性及可用性。

）网络要易管理，升级和扩展。）确保内网全级同办事处之间交互数据的安全。）服务器管及访问权限控制，并能监管网络中的P2P应用网络规

拓扑规划规划的网络拓扑结构如实验图所示。为了方便统一管理，需要对所有设备进行统一命名。AA—BB—CC其中，AA表示备所处的地点，如北京简为，上海简写为SH；BB示设备的型号，如MSR30-20表为MSR3020，S3100-52P-SI表示为SW1；CC表同型号设备的数量，如第一台设备表示为0，第二胎设备标识为1。根据上述规则，总部的第一台路由器MSR30-20名问为RT1其余以此类推。所有设备的命名明细如实验表所示。表1设备命名明细表办事处

设备型号

设备名称

北京总部MSR30-20RT1S56-26CBJ-5626C-0S5100-16P-SIBJ-S5116P-0S3100-52TP-SISW1S3100-52TP-SISW2S3100-52TP-SISW3深圳办事处H3CMSR20-20RT2S3100-52TP-SISW4上海研究所H3CMSR20-20RT3S3100-52TP-SISW5WAN规划

根据需求分析，在总部及分支机构之间使用专线连接，并选用中国电信公司提供的基于传输网络的E1路。由于上海研究所的业务数据相对较多，对带宽需求较高，总部与上海研究所之间采用条E1路，总部与深圳办事处之间采用条E1线路.如下图所示。所以在选用设备的广域网接口模块模块时,部选用4E1-F,圳办事处选用1E1-F,而上海研究所选用2E1-F模块如果办事处继续增加，可以将E1模块换块。因为一个155Mbps的CPOS块可以通过传输设备行时隙划分，分为个E1接口。LAN规划（互联VLAN这不要直接使用ip址即可）局域网规划包含VLAN规划，端口聚合规划以及端口隔离，地址捆绑规划几个部分。对于深圳和上海员工数量较少的不划分VLAN而北京部员工数量多，部门之间需要访问控制，所以要进行VLAN分。人事行政部，财务商务部人数相对较少，而且业务比较密切，划分在1VLAN内即可。产品研发部和技术支持部在业务上相对独立，而且产品研发部还有访问控制要求，因此将两个部门各自划分一个VLAN。为便管理，也将服务区划分为一个VLAN部门、、交换机端口之间的关系如实验表示

表２VLAN规划明细表部门VLAN号

所在设备

端口明细人事行政部VLAN10BJ-S3152TP-0E1/0/1~E1/0/10财务商务部VLAN10BJ-S3152TP-0E1/0/11~E1/0/30管理VLANVLAN1

交换机的管理，用于Telnet及SNMP另外，在研发部的服务器区使用端口隔离技术，严格控制外部的访问，并针对内网中出现的病毒现象，在核心交换机上进行端口捆绑。为了便于IP地址分配和管理，采用DHCP地分配方式。使用核心换机26C为DHCP服务器。IP地址划在该公司具体规划如下。

①地址：根据实际需要，并结合未来的需求数量，规划业务地段如验表3所。②连地址：互连地址主要用于设备的互连，在XX公司网络中设备的互连地址主要有总部核心交换机与路由器互连、总部路由器与分支路由器互连等。共需要对互连地址，如实验表4所示。③管理地址：用于设备的管理，各设备管理地址如试验表5所示。表3

业务地址分配表地点VLAN号

网络好IP地址范围

网关地址北极总部VLAN10VLAN20VLAN30VLAN40深圳办事处—

上海研究所—表4本端设备

设备的互联地址本端IP址

对端设备

对端IP地址BJ-S5626C-0BJ-MSR3020-0BJ-MSR3020-0SZ-MSR2020-0BJ-MSR3020-0SH-MSR2020-0表5办事处

设备的管理地址设备名称

管

理VLAN-管理地址Loopback北京总部RT1LoopbackBJ-S5626C-0VLAN25/29

SW1VLAN126/29SW2VLAN127/29SW3VLAN128/29深圳办事处RT2Loopback18/32SW4VLAN150/24上海研究所RT3Loopback19/32SW5VLAN150/24

路由规划该公司的网络结构比较简单，只有一个总部和两个异地分支机构。如果只考虑现状，在这样的网络里，只需要部署静态路由就可使全网互通。但该公司的网络并不会止于现状，随着业务的发展，公司的规模也会逐渐壮大，发展更多的办事处。当公司扩大达一定规模的时候，就必须将静态路由转换为动态路由，需要对网络重新进行规划，不利于发展。而如果现在采用动态路由协议，在网络规模扩展时就不会出现这种现象，所以应该使用动态路由协议。

在动态路由协议中，用得最多的是OSPF协议。所以该公司考虑到以后网络的扩展，需要对OSPF行规划。将总部路由器的下行接口和分支路由器的上行接口规划为总部的局域网规划为Area1深圳办事处规划为，上海研究所规划为Area3。在网络的出口配置默认路由，以便访问外网，该路由下一跳为运营商路由器的接口地址。

安全规划安全规划主要包含有访问控制，攻击防范和P2P监控3快内。访问控制可以在路由器上通过ACL实现。攻击防范可以通过在出口路由器上启动攻击防范功能来实现，这样就可以有效地阻止外部对内网的各种攻击。P2P监控可以通过启动路由器上的功能来实现，发现问题可以及时阻止。通过在出口路由器上部署NAT，可允许总部及分支机构访问。通过部署NATSever，可以允许总部的服务器对外提供服务。四、网络配置实施总体内部（黑体小四加粗）步骤一总内网部署（述相关设备及每设备详细配置）

总部网络的拓扑结构及端口的连接主要涉及设备的命名，端口连接描述，核心交换机与服务器交换机的链路聚合，VLAN配置，VLAN由以及交换机管理地址的配置。总部拓扑结构如下图。第1：按照前期的命名规划及端口描述给每台设备命名并添加端口描述，下面是添加端口描述的命令。<RT1>sys[RT1]interfaceGigabitEthernet0/0/0[RT1-GigabitEthernet0/0/0]descriptionlink-to-G0/0/0第2：配置核心交换机与服务区交换机的端口聚合，参与聚合的端口，使用基于手动方式的链路聚合。[SW1]interfaceBridge-Aggregation[SW1-Bridge-Aggregation1]interfaceEthernet0/4/0[SW1-Ethernet0/4/0]portlink-aggregationgroup1%Dec2214:50:32:4042015SW1LAGG/5/LAGG_ACTIVE:MemberEthernet0/4/0aggregationBAGG1becomesACTIVE.[SW1-Ethernet0/4/0]

%Dec2214:50:32:4352015SW1IFNET/3/LINK_UPDOWN:Bridge-Aggregation1linkstatusis[SW1-Bridge-Aggregation1]interfaceEthernet0/4/1[SW1-Ethernet0/4/1]portlink-aggregationgroup1[SW2]interfaceBridge-Aggregation[SW2-Bridge-Aggregation1]interfaceEthernet0/4/0[SW2-Ethernet0/4/0]portlink-aggregationgroup1[SW2-Ethernet0/4/0]interfaceEthernet0/4/1[SW2-Ethernet0/4/1]portlink-aggregationgroup1第3：根据前期的及端口分配规划，在各接入交换机上配置，并将上行接口配置为Trunk路，允许相关VLAN通。[SW3]vlan[SW3-vlan10]portE0/4/0[SW3]vlan[SW3-vlan20]portE0/4/1[SW3-Ethernet0/4/2]portlink-type

[SW3-Ethernet0/4/2]porttrunkpermitvlan10第4：为了让VLAN之间能够通信，在核心交换机上为每个VLAN配置地址，启动间路由功能，具体IP址前期规划。[SW3]interface10[SW3-Vlan-interface10]interface20第5：根据前期的规划，要在核心交换机上配置DHCP议，为配IP址。[SW3]dhcpenable[SW3]dhcpserverip-pool[SW3]dhcpserverip-pool第6：配置交换机的管理地址。[SW2]interfaceVlan1[SW2-Vlan-interface1]%Dec2216:03:50:4802015SW2IFNET/3/LINK_UPDOWN:Vlan-interface1linkstatusis%Dec2216:03:50:4802015SW2IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheVlan-interface1isUP.

[SW2-Vlan-interface1]quit步骤二深内网部署（述相关设备及每设备详细配置）深圳办事处的网络结构的内网部署主要由设备命名，配置管地址配置3部分组成。网络结构如下图。第1：按照前期的规划，添加端口描述的详细命令。[RT2]interfaceGigabitEthernet0/0/0[RT2-GigabitEthernet0/0/0]descriptionlink-to-G0/0/1[SW4]interfaceGigabitEthernet0/0/1[SW4-GigabitEthernet0/0/1]descriptionlink-to-G0/0/0第2：DHCP配置。在深圳办事处，使用方式为接入PC分IP址[RT2]interfaceGigabitEthernet0/0/0[RT2-GigabitEthernet0/0/0]quit[RT2]dhcpenable[RT2]dhcpserverip-pool1[RT2-dhcp-pool-1]quit

第3：为了方便交换机的管理，需要为交换机配置管理地址，写出为交换机配置管理地址的具体命令以及此地址发布的路由。[SW4]interfacevlan1[SW4-Vlan-interface1]quit步骤三上内网部署（述相关设备及每设备详细配置）上海研究所的网络结构的内网部署主要由设备命名，配置管地址配置3部分组成。网络结构如下图。第1：按照前期的规划，添加端口描述的详细命令。[RT3]interfaceGigabitEthernet0/0/1[RT3-GigabitEthernet0/0/1]descriptionlink-to-G0/0/2[SW5]interfaceGigabitEthernet0/0/2[SW5-GigabitEthernet0/0/2]descriptionlink-to-G0/0/1第2：DHCP配置。在上海研究所，使用方式为接入PC分IP址[RT3-GigabitEthernet0/0/1]quit[RT3]dhcpenable

DHCPisenabledsuccessfully![RT3]dhcpserverip-pool1[RT3-dhcp-pool-1]quit第3：为了方便交换机的管理，需要为交换机配置管理地址，写出为交换机配置管理地址的具体命令以及此地址发布的路由。[SW5]interfacevlan1[SW5-Vlan-interface1]%Dec2216:59:43:7682015SW5IFNET/3/LINK_UPDOWN:Vlan-interface1linkstatusis%Dec2216:59:43:7682015SW5IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheVlan-interface1isUP.[SW5-Vlan-interface1]quit广域网署（描述相关设备及每个设备详细配置）为了保障总部与分支机构之间传输数据的安全，在总部与分支机构采用专线连接，因为专线是一种与其他网络物理隔离的网络，在数据传输上有很高的安全性。考虑到上海研究所生产数据量较大，因此在上海研究所与北京总部之间采用两条E1线路；深圳办事处与北京总部之间采用1条线路。

在线路上，采用点到点的PPP协议作为广域网协议；北京总部和上海研究所之间采用MP-group的方式将两条E1线路绑起来使用。第1：写出有关PPP的配置。[RT1]interfaceSerial0/1/0[RT1-Serial0/1/0]descriptionlink-to-S0/1/1[RT1]interfaceSerial0/1/1[RT1-Serial0/1/1]descriptionlink-to-S0/1/0[RT1]interfaceSerial0/1/2[RT1-Serial0/1/2]descriptionlink-to-S0/1/3[RT1]interfaceMp-group[RT1-Mp-group0]ints0/1/1[RT1-Serial0/1/1]pppMp-group0[RT1-Serial0/1/1]%Dec2217:49:29:5872015RT1IFNET/3/LINK_UPDOWN:linkstatusisDOWN.%Dec2217:49:29:5872015RT1IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheSerial0/1/1isDOWN.

%Dec2217:49:29:5872015RT1IFNET/3/LINK_UPDOWN:linkstatusisUP.%Dec2217:49:29:6182015RT1IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheSerial0/1/1isUP.[RT1-Serial0/1/1]ints0/1/2[RT1-Serial0/1/2]pppMp-group0[RT1-Serial0/1/2]%Dec2217:51:01:3002015RT1IFNET/3/LINK_UPDOWN:linkstatusisDOWN.%Dec2217:51:01:3002015RT1IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheSerial0/1/2isDOWN.%Dec2217:51:01:3002015RT1IFNET/3/LINK_UPDOWN:linkstatusisUP.%Dec2217:51:01:3162015RT1IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheSerial0/1/2isUP.第2：配置[RT2]interfaceSerial0/1/1

[RT2-Serial0/1/1]descriptionlink-to-s0/1/0[RT2-Serial0/1/1]%Dec2217:53:04:4772015RT2IFNET/5/PROTOCOL_UPDOWN:IPCPontheSerial0/1/1isUP.第3：配置[RT3]interfaceSerial0/1/3[RT3-Serial0/1/3]descriptionlink-to-s0/1/2[RT3-Serial0/1/3]ints0/1/0[RT3-Serial0/1/0]descriptionlink-to-s0/1/1[RT3-Serial0/1/0]quit[RT3]interfaceMp-group[RT3-Mp-group0]int[RT3-Mp-group0]ints0/1/3[RT3-Serial0/1/3]pppMp-group0[RT3-Serial0/1/3]

%Dec2217:56:03:6072015RT3IFNET/3/LINK_UPDOWN:linkstatusisDOWN.%Dec2217:56:03:6072015RT3IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheSerial0/1/3isDOWN.%Dec2217:56:03:7322015RT3IFNET/3/LINK_UPDOWN:linkstatusisUP.%Dec2217:56:03:7482015RT3IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheSerial0/1/3isUP.%Dec2217:56:03:7482015RT3IFNET/3/LINK_UPDOWN:linkstatusisUP.%Dec2217:56:03:7482015RT3IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheMp-group0isUP.%Dec2217:56:03:7482015RT3IFNET/5/PROTOCOL_UPDOWN:IPCPontheMp-group0is[RT3-Serial0/1/3]ints0/1/0[RT3-Serial0/1/0]pppMp-group0[RT3-Serial0/1/0]

%Dec2217:56:24:3562015RT3IFNET/3/LINK_UPDOWN:linkstatusisDOWN.%Dec2217:56:24:3562015RT3IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheSerial0/1/0isDOWN.%Dec2217:56:24:3562015RT3IFNET/3/LINK_UPDOWN:linkstatusisUP.%Dec2217:56:24:3712015RT3IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheSerial0/1/0isUP.路由部（述相关设备及每个设备详细配置）考虑到该公司未来的发展战略规划，在部署路由时，全网采用动态的OSPF协议，并规划每个办事处为一个Area，这样如果以后网络规模扩大，也不需要对整个网络重新规划，而只需增加Area可为了方便对各个办事处访外网的控制，规划这个网络的公司出口设在总部，由总部统一出口访问外网，在总部与外网之间使用默认路由。第1：SW1交机路由配置手工指定router为VLAN1的接口地址[SW1[SW1]ospf

[SW1-ospf-1]area在区域里发布网段,后面跟的是反掩码,但有些址我们很难口算出它的反掩码CMW供了这样一个特性,可以将掩码自动转化为反掩码,为此我们演示一下,发布网段时使用掩码,并验证是否能自动转换。[SW1验证是否能自动将掩码转换成反掩码[SW1##return#发布同路由互连接口地址[SW1#发布交换机管理VLAN地址段[SW1-第2：RT1路器路由配置创建并进入loopback0接

[RT1]int0为loopback接口配置IP地,意掩码为32位[RT1手工指定routerid[RT1[RT1]ospf创建并进入area1[RT1-ospf-1]area发布同BJ-S5626C-0的连网段[RT1为了便于管理发布loopback接口地址,作为管地址[RT1创建并进入area0[RT1-ospf-1]area#发布同及RT3的互连网段[RT1

[RT1-第3：RT2路由器路由配置创建并进入loopback0接[RT2]int0为loopback接口配置IP地，注意掩码为32位[RT2手工指定routerid[RT2[RT2]ospf[RT2-ospf-1]area发布同的互连网段[RT2[RT2-ospf-1]area发布深圳办事处内网网段地址[RT2发布loopback地址，作为网管地址。

[RT2第4：RT3路由器路由配置[RT3]int0为loopback接口配置IP地,意掩码为32位[RT3[RT3[RT3]ospf[RT3-ospf-1]area发布同的互连网段[RT3[RT3-ospf-1]area发布上海研究所内网网段地址[RT3发布loopback地址作为网管地址[RT3第5：配置访问Internet的路

[RT1-Serial0/1/3配置一条缺省路由，下一跳指向ISP的网关地址[RT1将缺省路由发布到OSPF中[RT1-ospf-1]default-route-advertise网络安部（描述相关设备及每个备详细配置）第1：内网全部使用的是私有地址，如需访问Internet还需要进行地址转换，同时可以将内网中的服务器发布到Internet创建ACL[RT1]aclnumber2000match-order[RT1-acl-basic-2000]rulepermit进入连接Internet的接口[RT1]interfaceS0/1/3使用EasyIP方式使N[RT1-Serial0/1/3]natoutbound2000发布WWW及A服器

[RT1-Serial0/1/3[RT1-Serial0/1/3第2：攻击防范配置。常见的病毒及攻击端口?如ACL3001aclberre0tcppor3127re1tcppor1025re2tcppor5554re3tcppor9996re4tcppor1068re5tcppor135re6source-poreqre7tcppor137re8source-poreqos-re9tcppor138redenyudpsource-tnetbios-dgm

redenytsource-porteq139redenyudpsource-tnetbios-ssnredenytsource-porteq593redenytsource-porteq4444redenytsource-porteq5800re