网络竞赛大型网络设计.docx

1、网络竞赛大型网络设计科研训练中心大型集团网络设计提纲第一：总拓扑和分析第二：四个部分分析和图解 第三：配置清单和解释 第四：测试和结果展示一：项目名字和拓扑一： 大型集团网络设计总拓扑截图：二：项目分析根据要求分为四个主要部分：北京这个局域网，主干网路，重庆局域网，北京和重庆的网络连接。二 四个部分分析和图解一：北京局域网拓扑和协议分析分析第一：VLAN 划分。 划分人事部门（vlan2），技术部门（vlan3），还有服务器部门（vlan10）第二：三层交换实现不同VLAN之间通信。 在三层交换机上设置，并设置trunk口，实现不同vlan之间的通信。第三：动态地址分配（DHCP）服务。 不同

2、的vlan设置不同的dhcp地址池。第四：访问控制列表。 不同的要求不同的访问控制列表。第五：地址转换，静态地址转换，pat转换。 私有地址转换为公有地址第六：访问控制列表的设置。 不同的服务不同的要求。北京拓扑和图解如下图1二：Internet拓扑和分析 分析：全网网络运行ospf协议，注意不同的area2和area0要用虚链路。图2三： 重庆分公司园区网拓扑和分析分析：第一：VLAN 划分。 划分人事部门（vlan2），技术部门（vlan3）第二：三层交换实现不同VLAN之间通信。 在子接口上设置单臂路由，实现不同vlan之间通信第三：地址转换，静态地址转换，pat转换。 私有地址转换为公

3、有地址第四：设置vpn和帧中继。重庆拓扑和图解如下图3四：北京总公司和分公司 专线连接（frame relay）和备份链路（gre over ipsec vpn）。正常情况使用帧中继，备份链路gre over ipsec vpn。三：配置清单和解释一：北京总公司配置清单# BJ-router #1.北京路由器上配置hostname BJ-routerenable password 7 0822455D0A16username a secret 5 $1$mERr$b6NogDYdSuceEP4CVbicn/username admin secret 5 $1$mERr$t/05mDbaTHe7

4、mcbXqnIKN.设置路由器名字和交换机的control控制认证，要求通过本地用户名密码的方式管理。分别在每台设备上创建两个账号（分别为用户名admin，密码administrator123；用户名a，密码firstuser123。）crypto isakmp policy 1 启动IKE策略 encr 3des 加密算法使用3des authentication pre-share 用预共享密钥crypto isakmp key cisco address 210.101.6.2 远程路由器端口202.102.1.6使用密钥ciscocrypto ipsec transform-set m

5、yset esp-3des esp-md5-hmac 设置转换集，采用AH验证报头，ESP加密，安全HASH算法SHA做为验证数据crypto map mymap 1 ipsec-isakmp 启动IKE与IPSEC协商 set peer 210.101.6.2 送到对端物理接口的地址 set transform-set myset 应用转换集 match address 100 保护ACL中的流量被保护no ip domain-lookup 关闭域名解析interface Tunnel0 配置GRE 隧道 ip address 192.168.1.1 255.255.255.0 定义隧道地址

6、 tunnel source FastEthernet0/0 隧道源地址，一般为接口物理地址 tunnel destination 210.101.6.2 定义隧道目的地址interface FastEthernet0/0 ip address 210.101.1.1 255.255.255.240 ip nat outside 地址转换出口 duplex auto speed auto crypto map mymap 将加密映射图应用到该接口interface FastEthernet0/1 ip address 172.16.10.1 255.255.255.0 ip nat insid

7、e 地址转换入口interface Serial0/0/0 ip address 192.168.0.1 255.255.255.0 encapsulation frame-relay 封装帧中继协议 frame-relay interface-dlci 100 数据链路连接标识100 router rip 启用rip协议（这里也可以写路由表实现，或者其他方式） version 2 版本2 network 172.16.0.0 宣告网络 network 192.168.0.0 宣告网络 network 192.168.1.0 宣告网络 no auto-summary 无自动汇总ip nat p

8、ool pat 210.101.1.3 210.101.1.3 netmask 255.255.255.0 做地址池，只有一个地址ip nat inside source list 1 pool pat overload pat地址转换ip nat inside source static 10.0.0.1 210.101.1.4 静态地址转换 ip nat inside source static 10.0.0.2 210.101.1.5 静态地址转换ip classlessip route 10.0.0.1 255.255.255.255 172.16.10.254 ip route 0.

9、0.0.0 0.0.0.0 FastEthernet0/0 100 设置路由并且设置优先级100access-list 1 permit 172.16.0.0 0.0.255.255access-list 100 permit gre host 210.101.1.1 host 210.101.6.22. 北京交换机配置清单：# BJ-Switch-S #hostname BJ-Switch-S 定义交换机名字enable password 7 0822455D0A16 enable密码，密文ip dhcp pool vlan2 valn2做dhcp network 172.16.2.0 25

10、5.255.255.0 定义地址池 default-router 172.16.2.254ip dhcp pool vlan3 dhcp设置在不同vlan中，给不同的地址分配 network 172.16.3.0 255.255.255.0 default-router 172.16.3.254ip dhcp pool vlan10 network 10.0.0.0 255.255.255.0ip routing 在三层交换机上打开路由功能 interface FastEthernet0/24 ip address 172.16.10.254 255.255.255.0interface Vl

11、an2 ip address 172.16.2.254 255.255.255.0 ip access-group tointer in 将访问控制列表tointer运用到vlan2中interface Vlan3 ip address 172.16.3.254 255.255.255.0 ip access-group tointer in 将访问控制列表tointer运用到vlan3中interface Vlan10 ip address 10.0.0.254 255.255.255.0 ip access-group lan out 将访问控制列表lan运用到vlan10中router

12、rip 启动rip version 2 版本2 network 10.0.0.0 宣告网络 network 172.16.0.0 宣告网络 no auto-summary 无自动汇总ip route 0.0.0.0 0.0.0.0 172.16.10.1 ip access-list extended lan 设置访问控制列表 permit tcp any host 10.0.0.1 eq www 只允许访问www服务 permit tcp any host 10.0.0.2 eq ftp 只允许访问ftp服务 permit ip 192.168.0.0 0.0.255.255 10.0.0.

13、0 0.255.255.255 下面这些网段可以访问 permit ip 172.16.0.0 0.0.255.255 10.0.0.0 0.255.255.255 可以让两局域网通信配置 permit ip 10.0.0.0 0.255.255.255 172.16.0.0 0.0.255.255 可以让两局域网通信配置 permit ip 10.0.0.0 0.255.255.255 192.168.0.0 0.0.255.255 可以让两局域网通信配置ip access-list extended tointer permit tcp 172.16.3.0 0.0.0.255 any e

14、q www 人事只可以www服务 permit ip 172.16.2.0 0.0.0.255 any 技术部没有要求 permit ip 172.16.0.0 0.0.255.255 172.16.0.0 0.0.255.255 可以让两局域网通信配置 permit tcp 172.16.0.0 0.0.255.255 10.0.0.0 0.255.255.255 可以让两局域网通信配置 permit tcp 172.16.0.0 0.0.255.255 192.168.0.0 0.0.255.255 可以让两局域网通信配置 permit udp any any eq bootps dhcp

15、流量允许通过 permit udp any any eq bootpc dhcp流量允许通过 permit ip 172.16.3.0 0.0.0.255 10.0.0.0 0.0.255.255 允许访问服务器 permit ip 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 允许访问服务器二：重庆所用到的协议和技术以及配置清单1.重庆路由器配置# #3Router #hostname Routerenable password 7 0822455D0A16username a secret 5 $1$mERr$b6NogDYdSuceEP4CVb

16、icn/username admin secret 5 $1$mERr$t/05mDbaTHe7mcbXqnIKN.同上面解释crypto isakmp policy 1 encr 3des authentication pre-sharecrypto isakmp key cisco address 210.101.1.1crypto ipsec transform-set myset esp-3des esp-md5-hmac 同上面解释crypto map mymap 1 ipsec-isakmp 同上面解释 set peer 210.101.1.1 set transform-set

17、myset match address 100no ip domain-lookupinterface Tunnel0 同上面解释 ip address 192.168.1.2 255.255.255.0 tunnel source FastEthernet0/0 tunnel destination 210.101.1.1interface FastEthernet0/0 ip address 210.101.6.2 255.255.255.252 ip nat outside 地址转换应用到接口上 crypto map mymapinterface FastEthernet0/1.1 en

18、capsulation dot1Q 2 封装 ip address 172.16.20.254 255.255.255.0 ip nat insideinterface FastEthernet0/1.2 encapsulation dot1Q 3 ip address 172.16.30.254 255.255.255.0 ip nat insideinterface Serial0/0/0 ip address 192.168.0.2 255.255.255.0 encapsulation frame-relay frame-relay interface-dlci 100interfac

19、e Serial0/0/1 no ip address Shutdownrouter rip version 2 network 172.16.0.0 network 192.168.0.0 network 192.168.1.0 no auto-summaryip nat pool pat 210.101.6.2 210.101.6.2 netmask 255.255.255.0 定义地址池ip nat inside source list 1 pool pat overload 做patip classlessip route 0.0.0.0 0.0.0.0 FastEthernet0/0

20、 100 设置路由并且设置优先级100access-list 1 permit 172.16.0.0 0.0.255.255 访问控制列表设置access-list 100 permit gre host 210.101.6.2 host 210.101.1.1三：internet所用到的协议和技术以及配置清单一：BJ-ISP路由器配置：# BJ-ISP #hostname BJ-ISPenable password 7 0822455D0A16 no ip domain-lookup同上面解释interface Loopback0 ip address 200.0.0.1 255.255.2

21、55.255interface FastEthernet0/0 ip address 210.101.1.2 255.255.255.240interface Serial0/0 ip address 210.101.2.1 255.255.255.252router ospf 100 passive-interface FastEthernet0/0 阻止ospf发布 network 210.101.1.0 0.0.0.15 area 0 宣告网络 network 210.101.2.0 0.0.0.3 area 0 宣告网络 network 200.0.0.1 0.0.0.0 area 0

22、 宣告网络R-1配置清单：hostname R-1enable password 7 0822455D0A16no ip domain-lookupinterface Loopback0 ip address 200.0.0.2 255.255.255.255interface Serial0/0/0 ip address 210.101.2.2 255.255.255.252 clock rate 64000 配置时钟interface Serial0/1/0 ip address 210.101.3.1 255.255.255.252 clock rate 64000 配置时钟router

23、 ospf 100 area 1 virtual-link 200.0.0.3 配置虚链路 network 210.101.2.0 0.0.0.3 area 0 宣告网络 network 200.0.0.2 0.0.0.0 area 0 network 210.101.3.0 0.0.0.3 area 1R-2配置清单：# R-2 #hostname R-2enable password 7 0822455D0A16no ip domain-lookupinterface Loopback0 ip address 200.0.0.3 255.255.255.255interface Seria

24、l0/1/0 ip address 210.101.3.2 255.255.255.252interface Serial0/2/0 ip address 210.101.4.1 255.255.255.252router ospf 100 area 1 virtual-link 200.0.0.2 配置虚链路 network 210.101.3.0 0.0.0.3 area 1 宣告网络 network 200.0.0.3 0.0.0.0 area 1 network 210.101.4.0 0.0.0.3 area 2R-3配置清单：# R-3 #hostname R-3enable pa

25、ssword 7 0822455D0A16no ip domain-lookup!interface Loopback0 ip address 200.0.0.4 255.255.255.255interface FastEthernet0/0 ip address 61.50.0.254 255.255.255.0interface Serial0/0/0 ip address 210.101.5.1 255.255.255.252 clock rate 64000 配置时钟interface Serial0/2/0 ip address 210.101.4.2 255.255.255.25

26、2 clock rate 64000router ospf 100 log-adjacency-changes network 210.101.4.0 0.0.0.3 area 2 network 210.101.5.0 0.0.0.3 area 2 network 200.0.0.4 0.0.0.0 area 2 network 61.50.0.0 0.0.0.255 area 2CQ-ISP配置清单：# CQ-ISP #hostname CQ-ISPenable password 7 0822455D0A16no ip domain-lookupinterface FastEthernet

27、0/0 ip address 210.101.6.1 255.255.255.252interface Serial0/0 ip address 210.101.5.2 255.255.255.252router ospf 100 log-adjacency-changes passive-interface FastEthernet0/0 network 200.0.0.5 0.0.0.0 area 2 network 210.101.5.0 0.0.0.3 area 2 network 210.101.6.0 0.0.0.3 area 2四;测试结果展示1.北京vlan之间通信（测试三层交换；DHCP地址分配）2.测试地址转换 左边是路由器上面显示，右边是pc测试，结果正常。3.isp网络测试，网络全部可通达。4单臂路由测试，不同vlan可以ping通5地址转换测试左边路由器，右边pc。正常。6.帧中继网络（正常情况走专线）7.gre over ipsec vpn测试（专线断了的情况）8.访问列表测试（人事只可以访问网络www。不可以其他服务）