七层网络协议下的实践与认知.docx
《七层网络协议下的实践与认知.docx》由会员分享,可在线阅读,更多相关《七层网络协议下的实践与认知.docx(11页珍藏版)》请在冰豆网上搜索。
七层网络协议下的实践与认知
七层网络协议下的
实践与认知
专 业:
网络工程班级:
10-2
小组成员:
不知道
指导教师:
不明了
中国矿业大学计算机科学与技术学院
2013年7月
案例:
某集团公司共六个分公司,其中四个在集团工业园内各个建筑物内,总部为工业园内30层的主楼,第一分公司与主楼相距50米,第二分公司与主楼相距50米,第三分公司与主楼相距5公里,第四分公司与主楼相距8公里,另外两个分公司在另外的两个城市有各自的办公楼。
各公司及总部都有自己的计算机室,财务部(caiwu),行政部(xingzheng),生产部(shengchan),研发部(yanfa),后勤部(houqin),业务部(yewu)及人力资源部(renli)。
总体设计技术要求:
1、路由器和交换机的基本配置
2、服务器的基本配置(Mail,FTP,Web)
3、VLAN的划分、VTP
4、动/静态路由协议的配置
5、DHCP、DNS
6、NAT、ACL
7、远程访问VPN
8、AAA中的WebPortal认证
总体设计内容:
1.网络总体设计拓扑:
2.设备基本选型:
1.核心层设备选型:
核心层是整个内部网络高速交换中枢,对整个网络的连通性和网络的性能起到至关重要的作用。
核心网络层网络设备的选择上需要保证未来的网络应该具有如下特性:
可靠性,高效性,冗余性,容错性,可管理型,适应性和低延时性等。
故可用万兆核心交换机作为整个校园网核心层的交换机。
2.汇聚层设备选型:
汇聚层应具有实施策略,安全,工作组计入,虚拟局域网之间的路由,源地址或目的地址过滤等多种功能。
考虑到园区网内本地应用复杂,流量大,可采用全千兆三层交换机,可支持多个千兆端口,具有48Gb/s以上的背板带宽,二,三层包转发率达到18Mpps以上,支持冗余电源接口。
3..接入层设备选型:
接入层向本地网段提供工作站接入,是桌面设备的汇聚点。
由于园区需求量大,可选用多个级连的hub或堆叠的二层LAN交换机,构成一个独立的局域子网,在分布层为各个子网间建立路由。
服务器设备选型:
1.主域服务器:
主域服务器是整个网络域控制器,作为网络用户登录服务器,保存有部门网络用户信息。
2.web和ftp服务器:
该服务器为网络用户提供信息浏览和文件下载。
该服务器需要有较大的硬盘和内存空间,要有较快的网络响应。
这两个逻辑服务器各异设置在一太物理服务器上。
3.DNS和DHCP服务器:
由于网络用户过多,可设置DHCP服务器,以减少地址维护工作和防止地址冲突的发生。
这两个服务器可设置在一台物理服务器中。
设备位置:
设备应放在一个通风良好,防外界电磁干扰条件的环境中。
如图所示,本次模拟实验要用到:
设备类型
数量
3560交换机
7台
2620XM路由器
若干台
2950交换机
若干台
PC
若干台
直连线
若干
交叉线
若干
光缆
2根
服务器
若干
说明:
由需求得,分公司3和分公司4相隔较远,在此处用光缆(图中没有标出来)。
由于此图的局限性,并没有完全地展示这一个工程的具体拓扑,只能大概的说明一下,所有有些地方并不是很完整。
3.配置方案:
此需求中要求这个公司有一个总部,6个分部,用7台三层交换机表示其核心的交换机。
VTP和VLAN的配置:
此处以sw1为例,分公司1是由一个核心交换机、N个2950-24交换机和N台PC等组成,这里只是表示其中2台设备(由于配置都大致相同,就不一一举例了)。
该公司都有自己的计算机室,财务部,行政部,生产部,研发部,后勤部,业务部及人力资源部。
这里将这七个部门分为7个vlan,分别叫caiwu,xingzheng,shengchan,yanfa,houqing,yewu,和renli。
此图中只有caiwu和xingzheng两个部门。
则VTP的配置:
sw1(config)#vtpdomainCCIE
sw1(config)#vtppasswordcisco
sw1(config)#vtpmodeserver
在caiwu和xingzheng上:
vtpdomainCCIE
vtppasswordcisco
vtpmodeclient
他们只需要客户端就行了,只从服务端接收关于vlan等的信息,达到同步。
VLAN的划分:
Sw1(config)#vlan10
Sw1(config-vlan)#namecaiwu
Sw1(config-vlan)#exi
Sw1(config)#vlan20
Sw1(config-vlan)#namexingzheng
Sw1(config-vlan)#exi
Sw1(config)#vlan30
Sw1(config-vlan)#nameshengchan
Sw1(config-vlan)#exi
Sw1(config)#vlan40
Sw1(config-vlan)#nameyanfa
Sw1(config-vlan)#exi
Sw1(config)#vlan50
Sw1(config-vlan)#namehouqing
Sw1(config-vlan)#exi
Sw1(config)#vlan60
Sw1(config-vlan)#nameyewu
Sw1(config-vlan)#exi
Sw1(config)#vlan70
Sw1(config-vlan)#namerenli
Sw1(config-vlan)#exi
此时,不要忘了将交换机连接PC的接口划入到相应的vlan中,不然不生效。
在caiwu上:
Sw10(config)interfacef0/1
Sw10(config-if)switchportmodeaccess
Sw10(config-if)switchportaccessvlan10
在其他部门和其他分公司上的配置和以上类似,就不一一举例了。
千万不要忘了在公司主交换机和部门子交换机之间运行trunk封装协议:
Switchporttrunkencapsulationdot1q
Switchportmodetrunk
IP地址规划:
该企业有一个主公司,6个分公司,每个公司下又有7个部门,每个部门下又可有有N个主机。
所以,IP分配如下:
主公司:
192.168.2.0/24
分公司1:
192.168.3.0/24
分公司2:
192.168.4.0/24
分公司3:
192.168.5.0/24
分公司4:
192.168.6.0/24
分公司5:
192.168.7.0/24
分公司6:
192.168.8.0/24
而每个公司下又有7个部门:
(每个公司的X值跟上面对应)
财务:
192.168.x.0/27
行政:
192.168.x.32/27
生产:
192.168.x.64/27
研发:
192.168.x.96/27
后勤:
192.168.x.128/27
业务:
192.168.x.160/27
人力:
192.168.x.192/27
接入层地址用DHCP:
每个分公司(包括主公司)如果需要用DHCP分配IP的话,就用这种方式,但是相对比较麻烦。
DHCP服务器地址池配置
上图是分公司1的财务部的DHCP地址池,分配了192.168.3.0/27这个网段。
DNS服务器
在此处顺便运用了DNS服务器。
然后在路由器上做配置,
interfaceFastEthernet0/1
ipaddress192.168.3.1255.255.255.0
iphelper-address192.168.1.2 \\配置DHCP中继代理,DHCP服务器是192.168.1.2
在DHCP的Client端做配置:
此时,可以发现,在PC1上运用DHCP自动获取地址的话,会有地址产生。
三层动态路由协议配置:
因为ciscopackettracer的局限性,只支持Rip协议,所以用Rip协议来支持整个公司的路由通信。
以分公司1为例,他的IP地址为192.168.3.1/24,则分公司1所需的主要配置命令为:
Interfacef0/1
Ipaddress192.168.3.1255.255.255.0
Noshutdown
Exi
Routerrip
Ver2
Noauto-summary
Network192.168.3.0
Exi
ACL和NAT的结合运用:
在主公司需要与外部网络进行通信的时候,需要用到NAT技术,而在NAT技术中,往往会伴随着ACL技术,ACL技术其实是一门比较实用的技术,用起来很方便,此处用到了标准访问控制列表(ACL的一种)。
如图,这是主公司连接外网的区域:
路由器连接内网的接口要打ipnatinside,而连接外网的接口则打ipnatoutside。
主要在R3上做配置:
access-list1permit192.168.2.00.0.0.255 \\配置一个标准访问控制列表,允许主公司的路由通过。
(ACL)
ipnatinsidesourcelist1interfaceSerial0/3/0overload \\启用NAT私有IP地址的来源来自于ACL1,使用serial0/3/0上的公共IP地址进行转换,overload表示使用端口号进行转换
此时,在R3上showipnattranslations则会有表象如下(类似的):
ProInsideglobal Insidelocal Outsidelocal Outsideglobal
icmp221.1.1.2:
23 192.168.1.3:
23 223.1.1.2:
23 223.1.1.2:
23
icmp221.1.1.2:
24 192.168.1.3:
24 223.1.1.2:
24 223.1.1.2:
24
icmp221.1.1.2:
25 192.168.1.3:
25 223.1.1.2:
25 223.1.1.2:
25
icmp221.1.1.2:
26 192.168.1.3:
26 223.1.1.2:
26 223.1.1.2:
26
icmp221.1.1.2:
27 192.168.1.3:
27 223.1.1.2:
27 223.1.1.2:
27
VPN:
要实现主公司和分公司的通信,(通信内容一般包含一些公司内部的秘密信息)不能实用公网,直接跨过ISP进行通信,必须使用VPN。
此处我们使用的是当前工程中用到比较多也比较好用的MPLSVPN,而且这门技术在加密、安全方面都不错。
但是运用这么技术的话,配置太过复杂了,实验过程中,主要不知道ciscopackettracer这个软件支持不支持,(感觉功能不是很强大),就说一下具体的设计过程吧。
如下拓扑图:
R1、R2、R3分别代表两个分公司和主公司,中间的Internet表示ISP,比如电信。
要实现主公司和分公司的互相通信,必须要用到MPLSVPN。
在电信内部的配置说个大概吧,这主要是电信的事情(如果你的公司想配置VPN,跟电信一说,他会帮你把中间的东西配置完全,你只需要交一定的钱就行了)。
在中间的Internet网络中,需要先起一个三层的协议,例如OSPF,然后配置BGP,用作长距离传输数据,BGP作为MP-BGP,起MPLS,用标签分发来通信。
中间的边界路由器和公司的路由器之间进行Rip和MP-BGP的双向重分布路由。
在R1、R2、R3上做一些简单的配置,例如R1上;
Ipcef
IpvrfZHU
Rd10:
1
Router-target100:
1//RT值两端一定要一样,RD值没有具体要求
Exi
Mplslabelrange300399//分配标签
Mplsldprouter-idlo0
Interfaces1/0
Mplsip
Exi
刚才用了Rip协议保证公司内部的通信,此处要进行Rip协议和外部网络的双向重分布才能完成。
(客户端的配置相对来说比较简单)
现象:
在主公司这端能看到对端分公司的路由,然后ping对端路由,如果两端都能通的话,表示这个VPN建立成功。
AAA:
AAA:
AuthenticationAuthorizationAccounting认证授权与审计,这是AAA的距离内容。
它目前一般用来计费的,此处要用作Web门户的认证。
在R3上做AAA:
Aaanew-model
AaaauthenicationloginAAAlinenone//这句话一定要记得敲,是防止线程锁死的,不敲要悲剧。
AaaautheniticationloginHTTPlocal-case
AaaauthorizationexecHTTPlocal
Userciscoprivilege15passwordcisco
Iphttpauthenticationaaalogin-authenticationHTTP
Iphttpauthenticationaaaexec-authorizationHTTP
Linecon0
LoginauthenicationAAA
Exi
Linevty0181
LoginauthenticationAAA
Exi
实验总结:
升级会员 