网络工程实训报告Word格式.docx

1、任务7配置交换机的安全任务实施1 配置链路聚合任务实施2 配置MSTP任务实施3 配置VRRP协议任务实施4 配置交换机的端口安全任务实施5 配置路由器和交换机的密码与SSH登录设置任务实施6 配置交换机的访问控制任务8配置路由器的安全任务实施1 配置网络地址转换任务实施2 配置路由器R1的访问控制任务实施3 配置IPSEC VPN任务实施4 配置路由器R4的访问控制教师评分小组成员组长评分杨 涛徐川沁周建文秦鹏权付宏涛总分实训体会（不少于800字） 学校的校园网已经成为重要的信息传递设施，其规模和应用水平已成为衡量学校教学与科研综合实力的一个重要标志。在实训校园网目前的实际情况和在充分调研的

2、基础上，结合目前技术的发展方向和用户的实际需求，制订了学院校园校园网建设的整体设计方案。通过校园网的设计与建设，通过各种协议的链接与设备的选购，从而实现真正意义上的宽带多媒体网络，为师生提供教学、科研和综合信息服务。成为现代化办公的首要工具。我们进行了为期两周的整周实训，在这两周的整周实训中我学期到了很多的东西，也认识到了自己的很多的不足，在与同学和老师的交流中我认真学习，仔细的做实验，并在实验中成长学习知识。有时候我会有一些不懂的地方，在老师和同学的指导下，我克服了， 很多的困难，在老师和同学的帮助下我顺利的完成了整周实训的课程。 但是由于时间仓卒，不能做到尽善尽美，疏漏之处在所难免，如在整

3、个系统的节能上并不能令人满意；同时由于在整体规划设计上的一些限制，从而使得整个实验的水平并没有达到很高的水平。并在某些方面的设计不当会增大整体的设计开销。又如：受开发条件和时间的限制，本方案布线方式操作简单。对未来升级方向以及新的需求描述仍不够具体，考虑不是十分慎密。这些都是需要完善的地方，该组网设计离实际还是有一定的距离，需要进行不断地补充和完善。总之我们都从中间学习到了很多计算机网络知识，加深了对OSI七层模型、TCP/IP模型的各层功能和设计思想的理解，掌握了一定的校园网规划组网的基本技术知识，在以后的学习或工作中会继续努力的。这回又重新学一下网络知识不仅可以加深和巩固以前的知识，还可以

4、加强动手能力，真的很好。每次实习都让我们有所得，有所感悟，这次也一样，学到了以上的那些技术外，还是有几点心得体会的 （1）要学会去查找资料，一般老师给的资料都是很概括的，只是看那些资料还不能让我们完全学会，就像这次实习，老师给的指导书都只是相当于题目而已，只是起到了提示作用，如果只看那些，我根本就不会做。这时候就需要我们自己去查找资料，老师也强调我们自己去查资料。我们可以网上查或者去图书馆查有关方面的书，这时候我们就会觉得电脑和图书馆很有用了。平时我们不能总是用电脑玩游戏或者聊天之类的，应该把它用到真正需要的地方去，比如查找资料。 （2）要学会自学，老师不可能什么东西都告诉我们，这已经不是高中

5、了，在大学里面最重要的就是会自学，没有自学能力的人或者自学能力不强的人，是很难学好大学的课程的，而且以后出去工作了，也需要我们有很强的自学能力，不断地学习才能跟得上时代的步伐。这次发现自己的自学能力还是很弱的，今后还得加强，要不然就很难学会了。 （3）知识点要深入学习，我们不能总是知道大概的就行了，没有深入地学习就不能真正理解，不能真正理解当然就不能完全把握和运用了。这次实习，虽然基本的操作步骤都懂了，但是更深入的使用和操作就不太懂了。而且我们只是知道如何操作，但为什么要这样操作有时候我们就不懂了，当老师考核的时候，问为什么我们要这样做，而不那么做，我们经常不知道如何回答，而问到一些深入的问题

6、就更加不懂了。这不得不反省我们的学习了，我们如果真的想学习就应该努力地深入地去学习，不能总是一知半解啊。 （4）要重视我们所做的学习或工作。学习没有重视就能学好的，虽然每次实习都去，但是我们很多人并不重视，只是随便做做就得了，最终当然不能做好了，也不能真正的学会。对学习工作能引起足够的重视，才让我们努力去做、去学习，才能不断去克服遇到的困难，最终才能做好工作和真正的学好知识。这次短暂的实习真的让我学到了很多网络知识，增强了动手操作能力，同时也看到自己的不足，今后我会努力改正不足，要学会去学习，学会主动去查资料，充分利用图书馆，增强自己的动手能力和自学能力，为以后出去工作打好基础。实训目标（1）

7、 掌握交换机和路由器的基本配置（2） 掌握路由器的PPP和帧中继配置（3） 掌握服务器的基本服务（DNS、DHCP、WWW、FTP、EMAIL）配置（4） 掌握交换机的聚合、VRRP和MSTP技术（5） 掌握路由器的动态路由、路由重分布和VPN技术（6） 掌握VLAN划分技术（7） 掌握路由器和交换机的DHCP服务和DHCP中继配置（8） 掌握标准和扩展访问控制列表的定义和使用项目背景某企业是一家从事高科技产品研发、生产和销售的大型企业，总公司在北京，分公司在重庆，总公司和分公司通过网络互连，随着业务的发展，公司原有网络已经不能满足高效企业管理的需要，公司经常遭到来自互联网络的攻击或入侵，网络

8、安全对生产和经营的影响也越来越明显。为了满足业务的需要，公司决定构建一个高速、稳定、安全的适应企业现代化办公需求的高性能网络。企业的网络构建包括总公司和分公司的两个部分。总公司局域网核心采用双交换机的构架，通过 VRRP结合MSTP技术实现负载均衡和链路备份。两台核心交换机分别连接到核心路由器，核心路由器连通过专线连接到分公司的出口路由器。总公司的网络出口连接到Internet，通过配置路由器来实现内网用户访问Internet以及保护内网的安全。总公司和分公司之间的办公用户通过 VPN建立的隧道相互通信，有效的保证了数据传输的安全性。服务器集中放置在网络中心机房，直接连接到核心交换机。项目设备

9、表1项目设备表设备类型设备型号设备数量路由器RG-RSR20-184台二层交换机RG-S2328G2台三层交换机RG-S3760-246台串行线3根双绞线14根配置线1根注：为了便于测试，要求每个VLAN连接一台计算机，每台计算机的名称如图1所示。实训拓扑图1 组网工程综合项目拓扑图实训要求1 项目分组本项目采用分组方式进行，每5-8人为一组，每组学生通过相互讨论来共同完成项目任务，小组组长要对组内每个成员进行评价。每个小组完成实项目任务后，该组学生要对整个项目进行演讲，并回答相关问题，然后由其余各组组长和教师进行评价，得到该组学生整体成绩。最后老师根据学生的项目报告、组内评价和小组整体评价给

10、每个学生评定整个项目成绩，学生分组名单如表2所示。表2学生分组名单组 号第 6 组组长姓名成员姓名2 小组IP地址分配方案为了避免不同组的学生相互抄袭，教师可为每组学生分配不同的IP地址或修改不同部门的计算机数量，表3提供了不同部门计算机数量分配方案，供任课老师参考，本实验按照第8组计算机数量进行配置。表3 IP地址分配方案方案编号123部门名称计算机数量北京总公司网络管理中心1881040科研办公室3050业务办公室60100管理办公室20重庆分公司科研分支办公室业务分支办公室6728801203 小组配置计算机数量每个小组根据老师的要求，将计算机的数量填入表4。表4不同部门的计算机数量科研

11、分支办公室业务分支4 路由器配置要求按照表5的要求配置路由器R1、R2、R3和R4。表5路由器配置要求设备名称实现功能详细说明R1OSPF路由功能（1） 配置互联网上区域0的OSPF路由协议（2） 指定route-id为0.0.0.1（3） 配置基于端口的验证，采用MD5验证方式（4） 将区域设置成stub区域RIP路由功能（1） 配置到总公司的RIP路由（2） 版本为第二版（3） 关闭自动汇总链路功能（1） 配置PPP协议（2） 与路由器R2实现验证，此路由器作为服务端，需要实现CHAP认证方式。（3） 认证时需要使用AAA方式，认证采用本地认证。地址转换（1） 配置NAT，实现总公司内部网

12、络访问互联网,其使用的合法公网地址为13.1.1.4-13.1.1.6（2） 实现将内网服务器SERVER的资源发布到互联网上，其合法的公网地址是13.1.1.3。安全功能（1） 管理员可以对外网进行任意访问（1） 普通用户在上班时只能浏览外网的网页和收发邮件（2） 外部用户只能访问内部服务器的WEB网站VPN功能（1） 配置IPSEC VPN，实现重庆分公司的各个子网能够安全访问总公司的服务器群（VLAN 100）（2） 采用隧道模式（3） 采用预共享密钥，密码为CISCO123456R3路由功能（1） 配置OSPF路由协议，指定route-id为0.0.0.3（2） 配置基于端口的验证，采

13、用MD5验证方式（1） 与路由器R1实现验证，此路由器作为服务端，需要实现先CHAP后PPP认证方式。（2） 认证时需要使用AAA方式，认证采用本地认证。（3） 配置帧中继协议，其DLCI号为204。R2（1） 配置帧中继交换机（2） 根据拓扑图所示指定DLCI号R4（1） 配置OSPF路由协议，指定route-id为0.0.0.4（3） 将区域设置成stub区域（4） 配置单臂路由DHCP服务为VLAN210和VLAN220分配IP地址（2） 与路由器R2实现验证，此路由器作为客户端，需要实现先CHAP后PAP认证方式。（4） 配置帧中继协议，其DLCI号为402实现内部网络对互联网的访问，

14、其使用的合法地址是路由器R4的S2/0端口的IP地址（1） 用户在上班时只能浏览外网的网页和收发邮件（2） 分公司的用户可以对总公司的服务器进行任意访问服务质量（1） 在 PPP协议上配置报文压缩，实现RTP和TCP报文压缩（2） 对出端口s2/0的流量限制在300kbps,没有超额的流量允许发送，超额的流量丢弃。（3） 对入端口fa0/0的流量限制在2Mbps,没有超额的流量允许发送，超额的流量丢弃5 交换机配置要求按照表6的要求配置路交换机SW1、SW2、SW3和SW4。表6交换机配置要求表SW1（1） 配置RIP路由协议（2） RIP路由协议是第二版（3） 取消RIP的自动汇总功能（4）

15、 配置到互联网的默认路由优化功能（1） 划分VLAN（2） 配置MSTP，创建实例10和实例20，将VLAN100和VLAN110加入到实例10、VLAN120和VLAN130加入到实例20，将此交换设置为实例10的根，是实例20的生成树备份根。DHCP功能（1） 配置DHCP服务，为VLAN110动态分配IP地址（2） 配置DHCP中继，使VLAN120从SW2获取IP地址（3） 配置DHCP中继，使VLAN130从SERVER1获取IP地址可靠性能（1） 配置VRRP协议：创建2个VRRP组，分别为group10和group20，实现SW1为VLAN100和VLAN110活跃路由器，VLA

16、N130的备份路由器。（2） 配置链路聚合：将Fa0/3-4两端口配置为链路聚合，并实现基于源和目标MAC地址的负载均衡方式。（1） 只允许VLAN110和VLAN120的用户在工作日（周一周五）的上班时间（9:0018:00）访问内部WEBSERVER服务器，其它时间不允许访问。（2） 不允许VLAN110和VLAN120的用户相互访问，其它不受限制。（3） 在所有的接入端口上配置portfast。网络管理配置SSH Server，允许通过SSH远程管理设备，并使用AAA本地验证。SW2（2） 配置MSTP，创建实例10和实例20，将VLAN100和VLAN110加入到实例10、VLAN12

17、0和VLAN130加入到实例20，将此交换设置为实例20的根，是实例10的生成树备份根。（1） 配置DHCP服务，为VLAN120动态分配IP地址（2） 配置DHCP中继，使VLAN110从SW1获取IP地址（1） （1）配置VRRP协议：创建2个VRRP组，分别为group10和group20，实现SW2为VLAN130的活跃路由器， VLAN110和VLAN120的备份路由器。将Fa0/1-2两端口配置为链路聚合，并实现基于源和目标MAC地址的负载均衡方式。（1） 不允许VLAN120和VLAN130的用户在工作日（周一周五）的上班时间（9:00）访问互联网，其它时间允许访问。SW3基本功

18、能（1） 配置VLAN。（2） 将端口Fa0/1-5加入到VLAN110（3） 将端口F0/6-10加入到VLAN120 （4） 将端口Fa0/8-20加入到VLAN130。（1） 配置MSTP，创建实例10和实例20，将VLAN110和VLAN120加入到实例10、VLAN130加入到实例20。（2） 配置BPDU Filter、BPDU Guard（1） 在Fa0/1-5上配置端口安全，将IP地址和MAC地址进行绑定。（2） 配置端口安全，实现第5个端口只允许1个主机访问，违规关闭端口。（4） 关闭未用端口SW4（1） 将端口f0/1-10划分到VLAN210（2） 将端口f0/2-20划

19、分到VLAN220（3） 关闭未用端口6 服务器配置要求按照表7的要求配置服务器SERVER1和SERVER2。表7服务器配置要求表设备名称实现功能详细说明SERVER1DNS服务提供内网服务器的域名解析和对无法解析的外网域名转发给SERVER2解析为VLAN130动态分配IP地址FTP服务提供公司的文件下载WWW服务提供公司内部网站SERVER2EMAIL服务提供邮件服务功能提供外网的域名（服务器本身和邮件域名）解析将域名委派给服务器SERVER1解析提供外网文件下载提供外网网站项目分析综合项目涉及的知识和要求比较复杂，需要对实验要求进行认真分析，按照先后顺序对实验设备进行配置和测试，具体分

20、析如下。（1）根据实验拓扑连接网络，对北京总公司和重庆分公司按照由多到少的原则进行子网划分，然后配置交换机，将不同部门的计算机接入到不同的VLAN。（2）配置计算机、交换机和路由器的IP地址，并配置路由器R1、R2和R3相连的链路，保证设备直接相连的线路能够正常通信。（3）配置路由器和三层交换机的RIP或OSPF 路由协议，让设备相互学习路由，保证北京总公司、重庆分公司和互联网三个网络内部能够相互访问。（4）配置服务器SERVER1和SERVER2的DNS、DHCP、EMAIL、FTP、WWW和邮件服务。（5）配置交换机的的链路聚合、MSTP、VRRP，实现交换机的负载均衡，让不同VLAN的信

21、息通过不同交换机进行转发。（6）配置交换机的端口安全功能，关闭交换机未用端口，让交换机的端口与MAC地址、IP地址绑定，防止用户非法接入，设置交换机或路由器的密码和SSH功能。（7）配置交换机的访问控制功能，使不同VLAN（管理VLAN除外）之间相互隔离，普通VLAN只能访问服务器SERVER1的DNS、FTP和WEB服务。（8）配置路由器的地址转换和访问控制实现公司内部的计算机能够访问互联网的WWW、DNS和EMAIL服务，互联网用户能够访问服务器SERVER1；配置路由器的IPSEC VPN功能实现重庆分公司能够访问北京总公司服务器SERVER1。 实训实施1 重庆分公司子网划分1重庆子公

22、司网络地址为192.168.2.0/24，主机部分有8位。2重庆子公司的两个子网分别为VLAN210和VLAN220，VLAN210需要 60 个IP地址，VLAN220需要 10 个IP地址。3根据子网划分公式2k-2n（其中K为主机位数，n为子网最大IP数量），计算得出VLAN210子网主机位数为 6 ，VLAN220子网主机位数也为 6 。将192.168.2.0/24用 2 位来划分子网，划分的两个子网分别为 192.168.2.0/26 和 192.168.2.64/26 。划分结果如表1所示。表 1分公司子网划分表编号网络地址主机范围分配部门或VLAN192.168.2.0/261

23、92.168.2.1/26-192.168.2.62/26Vlan 210192.168.2.64/26192.168.2.65/26-192.168.2.126/26Vlan 2204按照由大到小分配原则，应将子网 192.168.2.0/26分配给vlan210，将192.168.2.64/26分配给vlan2205根据项目要求R4的IP地址分配如表9所示。表 9路由器R4的子接口IP表端口IPF0/1.210192.168.2.62/26F0/1.220192.168.2.126/262 北京总公司子网划分按照重庆分公司的子网划分方法对北京总部进行划分，写出详细划分步骤1. 首先满足需要

24、IP地址最多的网络2. 确定需要用多少位来划分子网3. 根据需要IP地址的数量需要用到变长子网掩码4. 确定每一个网络的可用IP地址5. 排除网络地址和广播地址网络管理中心10台计算机IP为：192.168.1.144/28-192.168.1.158/28科研办公室50台计算机IP为 ：192.168.1. 64/26-192.168.1.126/26业务办公室60台计算机IP为 ：192.168.1. 0/26-192.168.1. 62/26管理办公室8台计算机IP为 ：192.168.1.176/28192.168.1.190/281北京总公司的IP地址分配，如表10所示。表 10北京

25、总公司路由交换设备的IP地址分配表VLAN 100192.168.1.238/28VLAN 110192.168.1.222/27VLAN 120192.168.1.192/26VLAN 130192.168.1.126/25F0/4192.168.1.241/30192.168.1.221/27192.168.1.189/26192.168.1.125/25192.168.1.245/30F0/0192.168.1.242/30F0/1192.168.1.246/303 计算机的IP地址分配根据项目要求，连接各VLAN的计算机的IP地址是子网的最后一个IP地址，其子网掩码是子网的第一个IP地址，计算机的IP地址分配如表11所示。表 11北京总公司计算机的IP地址分配表IP地址子网掩码默认网关192.168.1.225255.255.255.240192.1681.238PC1