网络设备配置与调试案例教程 课件 第七章网络技术综合应用

第七章网络技术综合应用网络设备配置与调试案例教程CONTENTS教学目标

本章通过综合实训项目的实施，进一步加深读者对网络组建方案和网络设备的了解,提高配置能力。使读者从最初的了解网络项目需求分析、设备选型、现场勘查等基本的入门工作到网络设备配置、调试等全过程的网络技术工作中来。

通过完成本项目，使读者进一步掌握网络技术的选择、网络接入的方式、组网模式的选择、网络设备的选择和网络设备的配置，进一步提高局域网布线和组建的能力，以及相互交流、团队协作和分析问题的能力。【知识目标】

Ø了解校园网建设的需求。

Ø掌握构建安全网络的策略。

Ø理解防火墙的作用。【技能目标】

Ø熟悉防火墙的配置内容。

Ø能够进行OSPF配置。

Ø能够进行VRRP配置。

CONTENTS7.1校园网升级改造项目7.27.3企业网络组建项目政府上网工程7.1校园网升级改造项目网络设备配置与调试案例教程7.1.1项目需求分析校园网的建设目的是给老师和学生提供相应的网络服务。在网络搭建的过程中需要对网络进行VLAN的划分，从而减小广播风暴的影响，保证教室、办公室的网络安全性。为方便IP地址配置，在整个网络中实现IP的自动分配等基本功能。一个基本的校园网应具有高速的局域网连接、信息结构多样化、安全可靠和经济实用的特点。校园网应以宽带IP网为目标，具有数据、语音、图形、图像等多种信息媒体传递功能，具备性能优越的资源共享功能。校园网主干传输带宽应达到1000Mb/s要求，楼宇之间千兆连接。建设校园网的同时必须考虑网络安全、资源共享和带宽的要求。校园网建设的具体需求如下：①支持全校现有的计算机，连接校园内实验大楼、行政大楼、电教大楼、图书馆和成教大楼等，将本校现有的及将来要配置的各种PC、工作站和终端通过高性能的网络设备连接起来，组成分布式、开放性的网络环境，以提高教育科研水平。②充分利用原有的主干光缆和楼内布线系统，将目前的百兆主干以太网升级到千兆主干以太网、百兆以太网接入到桌面的。同时，保护原有网络设备投资，将目前运行的网络产品有效地集成到升级系统中。③在Internet互连网络系统平台上，以数据库系统、Web平台、电子邮件平台为基础，构建内部Intranet系统，与已有系统实现互联。④网络与数据安全是目前计算机信息技术所面临的重要挑战，解决安全问题的技术与方案有很多，通过防火墙、WebCache服务器确定完整统一的安全策略（Security

Policy）也是校园网可靠运行的保证。⑤考虑与其它学校、科学教育网络相连，可通过CERNET与国内外其它网络相连接、实现远程教学。7.1校园网升级改造项目网络设备配置与调试案例教程7.1.2项目设计1．拓扑结构

目前的校园网大多数是纯三层的交换网络。由于交换机都具有三层功能，汇聚层一般已经可以与接入层归纳为一个层次。各楼层和各楼之间的交换设备都直接上连到核心设备上。

校园网的简明拓扑图如图所示。

其中校园局域网以三层交换机为交换核心，即网络中心，下设二层交换机若干，如图中所示两台交换机进行模拟，形成汇聚层。汇聚层交换机用作模拟校园中各个楼宇的网络节点，在同一个楼宇，如教学楼、学生宿舍楼中依据需求划分VLAN,隔离网络风暴，提升网络安全性和效率。7.1校园网升级改造项目网络设备配置与调试案例教程2．IP地址设计本项目中IP地址规划如表所示。楼幢机构端口分配VLANIDVLAN命名网关行政楼党政办领导1〜18VLAN10DangZheng54人事处19〜24VLAN11RenShi54教务处25〜27VLAN12JiaoWu54科研财务28〜32VLAN13Xz_l_west54研究所33〜36VLAN14YanjiuSheng54组织、宣传、综合37〜42VLAN15XuanChuan54离休等

54纪监、后勤、高教等43〜46VLAN17Xz_2_west54电教CAD1〜2VLAN18Cad54电教3〜4VLAN19DianJiao54计算中心5〜10VLAN20ComputerCenter54408自备房11〜14VLAN21Student547.1校园网升级改造项目网络设备配置与调试案例教程楼幢机构端口分配VLANIDVLAN命名网关实验楼文理学院1〜2VLAN22WenLi54机电分院3〜4VLAN23JiDian54自动化分院5〜6VLAN24ZiDongHua54财经分院7〜8VLAN25Caijing54管理分院9〜10VLAN26GuanLi54计算机分院11〜12VLAN27JiSuanJi54电子分院13〜14VLAN28DianZi54通信分院15〜16VLAN29Tongxin54信息分院17〜18VLAN30XinXi54CAE所19〜20VLAN31CAE54设备处21〜22VLAN32SB_other54网管23〜35VLAN37NIC_1（服务器）5437〜42VLAN33NIC_2（备用）5443〜48VLAN46NIC_3（学生）54图书馆服务器

VLAN45LIBserver54客户端1〜24VLAN36Lib_l547.1校园网升级改造项目网络设备配置与调试案例教程7.1.3项目实施1.HUAWEIS5700HUAWEIS5700由工厂根据用户需求直接安装好标准配置的模块，但电源、路由等尚未安装，所以应先将待安装的各模块拆开，装入S5700的电源插槽。上电检查S5700的各个模块的工作状态是否正常：接入S5700电源，由于S5700有两个电源作为冗余，所以最好两个电源分别接入两路UPS电源上，这样即使当UPS其中一路电源故障时，不会影响整个S5700交换机的正常远行，当S5700交换机上电初始化结束后，从面板上的LED灯的状态可以判断各个模块的工作状态是否正常。2.配置

HUAWEIS5700的系统参数当HUAWEIS5700交换机初始化结束后，就进入系统单机配置阶段，包括机器名、口令和远程登录等部分的配置。具体配置过程如下：<Huawei>system-view[Huawei]sysnameS5700[S5700]vlan1[S5700-vlan1]descriptionadmin_vlan[S5700]interfaceVlanif1[S5700-Vlanif1]ipaddress247.1校园网升级改造项目网络设备配置与调试案例教程3.配置Telnet服务。在S5700上配置Telnet服务的具体要求如下：①配置认证方式为AAA认证，认证用户名为huawei，密码为huawei。②配置服务类型为Telnet，用户命令级别为15级。③在vty0到vty4视图下配置用户采用AAA的认证方式。具体配置过程如下：[S5700-aaa]local-userhuaweipasswordsimplehuawei[S5700-aaa]local-userhuaweiservice-typetelnet[S5700-aaa]local-userhuaweiprivilegelevel15[S5700]user-interfacevty04[S5700-ui-vty0-4]authentication-modeaaa4.配置HUAWEIS2700HUAWEIS2700系列是华为公司的提供100M上行端口的桌面交换机。具体配置过程如下：[Huawei]sysnameS2700[S2700]vlan1[S2700-vlan1]descriptionadmin_vlan[S2700]interfaceVlanif1[S2700-Vlanif1]ipaddress247.1校园网升级改造项目网络设备配置与调试案例教程5.配置Telnet服务。在S2700上配置Telnet服务的具体要求如下：①配置认证方式为AAA认证，认证用户名为huawei，密码huawei。②配置服务类型为Telnet，用户命令级别为15级。③在vty0到vty4视图下配置用户采用AAA的认证方式。[S2700]aaa[S2700-aaa]local-userhuaweipasswordsimplehuawei[S2700-aaa]local-userhuaweiservice-typetelnet[S2700-aaa]local-userhuaweiprivilegelevel15[S2700-aaa]quit[S2700]user-interfacevty04[S2700-ui-vty0-4]authentication-modeaaa6.配置HUAWEI防火墙USG6000配置USG6000的基本属性，将USG6000安放至机架，经检测电源系统正常后，接上电源，对主机进行送电。将Console口连接到PC的串口上，运行”超级终端”，从Console口进入

USG6000系统配置接口IP地址和安全区域，完成网络基本参数配置。7.1校园网升级改造项目网络设备配置与调试案例教程①配置接口IP地址。具体配置如下：<NGFW>system-view[NGFW]interfaceGigabitEthernet1/0/1[NGFW-GigabitEthernet1/0/1]ipaddress24[NGFW-GigabitEthernet1/0/1]quit[NGFW]interfaceGigabitEthernet1/0/2[NGFW-GigabitEthernet1/0/2]ipaddress24[NGFW-GigabitEthernet1/0/2]quit②配置接口加入相应安全区域。具体配置如下：[NGFW]firewallzonetrust[NGFW-zone-trust]addinterfaceGigabitEthernet1/0/1[NGFW-zone-trust]quit[NGFW]firewallzoneuntrust[NGFW-zone-untrust]addinterfaceGigabitEthernet1/0/2[NGFW-zone-untrust]quit7.1校园网升级改造项目网络设备配置与调试案例教程③配置安全策略，允许私网指定网段的指定服务与Internet进行报文交互。具体配置如下：[NGFW]security-policy[NGFW-policy-security]rulenamepolicy_sec_1[NGFW-policy-security-rule-policy_sec_1]source-zonetrust[NGFW-policy-security-rule-policy_sec_1]destination-zoneuntrust[NGFW-policy-security-rule-policy_sec_1]source-address24[NGFW-policy-security-rule-policy_sec_1]servicednsdns-tcppop3smtphttp[NGFW-policy-security-rule-policy_sec_1]actionpermit[NGFW-policy-security-rule-policy_sec_1]quit[NGFW-policy-security]quit④配置NAT地址池，并允许端口转换，实现公网地址复用。具体配置如下：[NGFW]nataddress-groupaddressgroup1[NGFW-nat-address-group-addressgroup1]section004[NGFW-nat-address-group-addressgroup1]nat-modepat[NGFW-nat-address-group-addressgroup1]quit7.1校园网升级改造项目网络设备配置与调试案例教程⑤配置源NAT策略，实现私网指定网段访问Internet时自动进行源地址转换。具体配置如下：[NGFW]nat-policy[NGFW-policy-nat]rulenamepolicy_nat_1[NGFW-policy-nat-rule-policy_nat_1]source-address24[NGFW-policy-nat-rule-policy_nat_1]source-zonetrust[NGFW-policy-nat-rule-policy_nat_1]destination-zoneuntrust[NGFW-policy-nat-rule-policy_nat_1]actionnataddress-groupaddressgroup1[NGFW-policy-nat-rule-policy_nat_1]quit[NGFW-policy-nat]quit⑥在NGFW上配置缺省路由，使私网流量可以正常转发至ISP的路由器。具体配置如下：[NGFW]iproute-static54⑦在NGFW上配置黑洞路由，避免NGFW与Router之间产生路由环路。具体配置如下：[NGFW]iproute-static055Null0[NGFW]iproute-static155Null0[NGFW]iproute-static255Null0[NGFW]iproute-static355Null0[NGFW]iproute-static455Null0[NGFW]iproute-static555Null0⑧配置服务器映射功能，创建静态映射，映射内网的Web服务器。具体配置如下：[NGFW]natserverprotocoltcpglobal5wwwinside54www7.1校园网升级改造项目网络设备配置与调试案例教程⑤配置源NAT策略，实现私网指定网段访问Internet时自动进行源地址转换。具体配置如下：[NGFW]nat-policy[NGFW-policy-nat]rulenamepolicy_nat_1[NGFW-policy-nat-rule-policy_nat_1]source-address24[NGFW-policy-nat-rule-policy_nat_1]source-zonetrust[NGFW-policy-nat-rule-policy_nat_1]destination-zoneuntrust[NGFW-policy-nat-rule-policy_nat_1]actionnataddress-groupaddressgroup1[NGFW-policy-nat-rule-policy_nat_1]quit[NGFW-policy-nat]quit⑥在NGFW上配置缺省路由，使私网流量可以正常转发至ISP的路由器。具体配置如下：[NGFW]iproute-static54⑦在NGFW上配置黑洞路由，避免NGFW与Router之间产生路由环路。具体配置如下：[NGFW]iproute-static055Null0[NGFW]iproute-static155Null0[NGFW]iproute-static255Null0[NGFW]iproute-static355Null0[NGFW]iproute-static455Null0[NGFW]iproute-static555Null0⑧配置服务器映射功能，创建静态映射，映射内网的Web服务器。具体配置如下：[NGFW]natserverprotocoltcpglobal5wwwinside54www7.1校园网升级改造项目网络设备配置与调试案例教程7.1.4项目总结在将整个系统迁移到10M专线的同时，我们将USG6000防火墙放在系统与外部连接处，以提供网络的安全保障。在进入内部系统后，连接到USG6000内部网段的PC机通过上网计费服务器进入统一管理。对处于Internet服务的WEB、DNS、SMTP和POP3服务器接入USG6000的DMZ段，用于保护应有服务器的安全和对内外提供服务。需要注意的几点：①防火墙上做了地址转换，将内部的私有地址转换成公有地址访问Internet。②防火墙上开放了用于Internet信息发布所需要的几个端口，包括TCP的53，23，25，110，80和UDP的53端口，分别用于DNS，SMTP，POP3和WEB等服务。③在防火墙上做了静态的地址映射将内部地址54映射为5的外部地址。④保护应用服务器的安全，当Internet上的用户访问这个公有地址时，防火墙将自动将访问请求转给这个公网地址映射的内部私有地址。7.2企业网络组建项目网络设备配置与调试案例教程7.2.1项目需求分析

某企业现有300个点，需要建设一个网络以实现该企业内部的相互通信和与外部的联系，通过该网络提高企业的发展和企业内部办公的信息化、办公自动化。该企业有15个部门,则需要让这15个部门能够通过该网络访问Internet,并能实现部门之间信息化的合作。该网络必须体现办公的方便性、迅速性、高效性、可靠性、科技性、资源共享、相互通信、信息发布及查询等功能，以作为支持企业内部办公自动化、供应链管理以及各应用系统运行的基础设施。

该网络是一个单核心的网络结构，采用典型的三层结构，包括核心层、汇聚层和接入层。各部门独立成区域，防止个别区域发生问题后影响整个网的稳定运行，若某汇聚交换机发生问题只会影响到某几个部门，该网络使用VLAN进行隔离，方便员工调换部门。

核心交换机连接3台汇聚交换机，该核心交换机不但对所有数据进行接收还能进行分流，因此核心交换机必须是高质量的、功能具全的，责任重大的；通过高速转发，提高优化的、可靠的传输结构。通常核心交换机不会承担访问列表检査、数据加密、地址翻译或者其他影响的最快速率分组的任务。

汇聚层交换机位于接入层和核心层之间，该网络有3台汇聚层交换机分担15个部门的数据交换任务，能帮助定义和分离核心交换机的负载。该层的交换机主要提供一个边界的定义，并在其内进行分组处理；该层将网络分段为多个广播域。汇聚层是将网络问题限制在发生问题的工作组内，防止这些问题影响到核心层。

接入层为网络提供通信，并且实现网络入口控制。最终用户通过接入层访问网络的。作为网络的“前门”，接入层交换机使用访问列表以阻止非授权的用户进入网络。7.2企业网络组建项目网络设备配置与调试案例教程7.2.2项目设计1.拓扑设计企业网络拓扑结构图如图所示。7.2企业网络组建项目网络设备配置与调试案例教程2.IP地址设计各设备的IP地址规划列表。设

备接

口IP地址S5700-SVLAN1005/29VLAN2005/29VLAN3005/29VLAN4007/28AR2220-AE00/28El8/30S5700-AVLAN11/24VLAN12/24VLAN13/24VLAN14/24VLAN15/24VLAN1004/29S5700-BVLAN16/24VLAN17/24VLAN18/24VLAN19/24VLAN20/24VLAN2004/29S5700-CVLAN21/24VLAN22/24VLAN23/24VLAN24/24VLAN25/24VLAN3004/297.2企业网络组建项目网络设备配置与调试案例教程7.2.3项目实施1.S2700-A1交换机基本配置给交换机命名的配置命令如下：<Huawei>system-view[Huawei]sysnameS2700-A1创建VLAN配置命令如下:[S2700-A1]vlanbatch11to15配置远程登录密码如下：[S2700-A1]aaa[S2700-A1-aaa]local-userhuaweipasswordsimplehuawei[S2700-A1-aaa]local-userhuaweiservice-typetelnet[S2700-A1-aaa]local-userhuaweiprivilegelevel15[S2700-A1-aaa]quit[S2700-A1]user-interfacevty04[S2700-A1-ui-vty0-4]authentication-modeaaa设置管理IP地址如下：[S2700-A1]interfaceVlanif1[S2700-A1-Vlanif1]ipaddress247.2企业网络组建项目网络设备配置与调试案例教程2.S2700-B1交换机基本配置、S2700-C1交换机基本配置与S2700-A1交换机基本配置相同，此处不再赘述。3.S5700-A的基本配置更改S5700-A设备名称的配置命令如下：<Huawei>system-view[Huawei]sysnameS5700-A创建VLAN,vlan11〜vlan15、vlan100的配置命令如下：[S5700-A]vlanbatch11to15100按照地址分配表为VLAN1、VLAN11〜VLAN15、VLAN100分配IP地址，以VLAN1为例，具体如下：[S5700-A]interfaceVlanif1[S5700-A-Vlanif1]ipaddress6244.S3550-24-B的基本配置、S3550-24-C的基本配置同S5700-A的基本配置。7.2企业网络组建项目网络设备配置与调试案例教程5.S5700-S的基本配置更改S5700-S设备名称的配置命令如下:<Huawei>system-view[Huawei]sysnameS5700-S配置远程登录密码如下：[S5700-S]aaa[S5700-S-aaa]local-userhuaweipasswordsimplehuawei[S5700-S-aaa]local-userhuaweiservice-typetelnet[S5700-S-aaa]local-userhuaweiprivilegelevel15[S5700-S-aaa]quit[S5700-S]user-interfacevty04[S5700-S-ui-vty0-4]authentication-modeaaa按照地址分配表为VLAN1、VLAN100、VLAN200、VLAN300、VLAN400分配IP地址,以VLAN1为例，具体如下：[S5700-S]interfaceVlanif1[S5700-S-Vlanif1]ipaddress54246.AR2220-A的基本配置更改AR2220-A设备名称的配置命令如下：<Huawei>system-view[Huawei]sysnameAR2220-A7.2企业网络组建项目网络设备配置与调试案例教程配置远程登录密[AR2220-A]aaa的命令如下：[AR2220-A-aaa]local-userhuaweipasswordsimplehuawei[AR2220-A-aaa]local-userhuaweiservice-typetelnet[AR2220-A-aaa]local-userhuaweiprivilegelevel15[AR2220-A-aaa]quit[AR2220-A]user-interfacevty04[AR2220-A-ui-vty0-4]authentication-modeaaa：配置以太口的IP地址以及NAT转换的命令如下：[AR2200-A]ACL2000[AR2200-A-acl-basic-2000]rulepermitsource

55[AR2200-A]interfaceGigabitEthernet0/0/1[AR2200-A-GigabitEthernet0/0/1]ipaddress552[AR2200-A-GigabitEthernet0/0/1]natoutbound2000

7.2.4项目总结本项目的实施是为了提升读者对企业级网络组建方案中网络设备的配置能力。通过完成本项目，使读者对企业网络中的核心交换、汇聚交换、接入交换的组网模式有了进一步的认识，还能提高对企业及网络布线、组网能力，以及团队协作和分析问题的能力。7.3政府上网工程网络设备配置与调试案例教程7.3.1项目需求分析

某政府机关总部在市中心某区域，分部在另一区域，分部和总部之间有一条线路连接，在总部和分部间运行OSPF（OpenShortestPathFirst）路由。在使用网络过程中经常出现由于线路故障导致网络中断的情况，为了实现分部与总部之间的高可用性，在分部的网络中通过配置VRRP（VirtualRouterRedundancyProtocol）路由协议来实现两条线连接到总部，且两条线路互为备份。

设计要求：①建立总部和分部之间网络高效稳定。②链路可实现遇到故障自动切换。③具有完善的网络安全机制。7.3政府上网工程网络设备配置与调试案例教程7.3.2项目设计1.拓扑设计该政府机关的网络拓扑结构图如图所示。2.IP地址设计本项目中IP地址规划方案如表所示。区

域链路1链路2设

备总部Sl：Fal/0:Fal/1:华为路由器分部Sl:Fal/0：Fal/1:Fal/0：华为路由器2台7.3政府上网工程网络设备配置与调试案例教程7.3.3项目实施1.

在路由器上配置IP地址在路由器上配置IP地址的命令如下:[RA]ints0/0/0[RA-Serial0/0/0]ipad30[RA]inte0/0/0[RA-Ethernet0/0/0]ipad24

[RB]inte0/0/1[RB-Ethernet0/0/1]ipad30[RB]inte0/0/0[RB-Ethernet0/0/0]ipad24

[RC]ints0/0/0[RC-Serial0/0/0]ipad30[RC]inte0/0/0[RC-Ethernet0/0/0]ipad30[RC]intg0/0/0[RC-GigabitEthernet0/0/0]ipad242.

配置OSPF创建OSPF的配置命令如下:[RA]ospf[RA-ospf-1]a0[RA-ospf-1-area-]net[RA-ospf-1-area-]net

[RB]ospf[RB-ospf-1]a0[RB-ospf-1-area-]net[RB-ospf-1-area-]net

[RC]ospf[RC-ospf-1]a0[RC-ospf-1-area-]net[RC-ospf-1-area-]net[RC-ospf-1-area-]net7.3政府上网工程网络设备配置与调试案例教程3.

配置VRRP配置VRRP的命令如下:[RA]inte0/0/0[RA-Ethernet0/0/0]vrrpvrid1virtual-ip54[RA-Ethernet0/0/0]vrrpvrid1priority120上述配置信息是将RA在VRRP组1中的优先级配置为较高的的120,从而能够成为Master路由器。另外，将RA在VRRP组1中