七层网络协议下的实践与认知.docx

1、七层网络协议下的实践与认知 七层网络协议下的实践与认知 专业: 网络工程 班级: 10-2 小组成员： 不知道 指导教师： 不明了中国矿业大学计算机科学与技术学院 2013年 7月 案例：某集团公司共六个分公司，其中四个在集团工业园内各个建筑物内，总部为工业园内30层的主楼，第一分公司与主楼相距50米，第二分公司与主楼相距50米，第三分公司与主楼相距5公里，第四分公司与主楼相距8公里，另外两个分公司在另外的两个城市有各自的办公楼。各公司及总部都有自己的计算机室，财务部(caiwu)，行政部(xingzheng)，生产部(shengchan)，研发部(yanfa)，后勤部(houqin)，业务部

2、(yewu)及人力资源部(renli)。总体设计技术要求：1、路由器和交换机的基本配置2、服务器的基本配置(Mail,FTP,Web)3、VLAN的划分、VTP4、动/静态路由协议的配置5、DHCP、DNS6、NAT、ACL7、远程访问VPN8、AAA中的Web Portal认证总体设计内容： 1.网络总体设计拓扑： 2.设备基本选型：1核心层设备选型：核心层是整个内部网络高速交换中枢，对整个网络的连通性和网络的性能起到至关重要的作用。核心网络层网络设备的选择上需要保证未来的网络应该具有如下特性：可靠性，高效性，冗余性，容错性，可管理型，适应性和低延时性等。故可用万兆核心交换机作为整个校园网核

3、心层的交换机。2汇聚层设备选型：汇聚层应具有实施策略，安全，工作组计入，虚拟局域网之间的路由，源地址或目的地址过滤等多种功能。考虑到园区网内本地应用复杂，流量大，可采用全千兆三层交换机，可支持多个千兆端口，具有48Gb/s以上的背板带宽，二，三层包转发率达到18Mpps以上，支持冗余电源接口。3.接入层设备选型：接入层向本地网段提供工作站接入，是桌面设备的汇聚点。由于园区需求量大，可选用多个级连的hub或堆叠的二层LAN交换机，构成一个独立的局域子网，在分布层为各个子网间建立路由。服务器设备选型：1主域服务器：主域服务器是整个网络域控制器，作为网络用户登录服务器，保存有部门网络用户信息。2we

4、b和ftp服务器：该服务器为网络用户提供信息浏览和文件下载。该服务器需要有较大的硬盘和内存空间，要有较快的网络响应。这两个逻辑服务器各异设置在一太物理服务器上。3.DNS和DHCP服务器：由于网络用户过多，可设置DHCP服务器，以减少地址维护工作和防止地址冲突的发生。这两个服务器可设置在一台物理服务器中。设备位置:设备应放在一个通风良好，防外界电磁干扰条件的环境中。如图所示，本次模拟实验要用到：设备类型数量3560交换机7台2620XM路由器若干台2950交换机若干台PC若干台直连线若干交叉线若干光缆2根服务器若干说明：由需求得，分公司3和分公司4相隔较远，在此处用光缆（图中没有标出来）。由于

5、此图的局限性，并没有完全地展示这一个工程的具体拓扑，只能大概的说明一下，所有有些地方并不是很完整。3.配置方案:此需求中要求这个公司有一个总部，6个分部，用7台三层交换机表示其核心的交换机。VTP和VLAN的配置：此处以sw1为例，分公司1是由一个核心交换机、N个2950-24交换机和N台PC等组成，这里只是表示其中2台设备（由于配置都大致相同，就不一一举例了）。该公司都有自己的计算机室，财务部，行政部，生产部，研发部，后勤部，业务部及人力资源部。这里将这七个部门分为7个vlan，分别叫caiwu，xingzheng，shengchan，yanfa，houqing，yewu，和renli。此图

6、中只有caiwu和xingzheng两个部门。则VTP的配置：sw1(config)#vtp domain CCIEsw1(config)#vtp password ciscosw1(config)#vtp mode server在caiwu和xingzheng上：vtp domain CCIEvtp pass word ciscovtp mode client他们只需要客户端就行了，只从服务端接收关于vlan等的信息，达到同步。VLAN的划分：Sw1(config)#vlan 10Sw1(config-vlan)#name caiwuSw1(config-vlan)#exiSw1(confi

7、g)#vlan 20Sw1(config-vlan)#name xingzhengSw1(config-vlan)#exiSw1(config)#vlan 30Sw1(config-vlan)#name shengchanSw1(config-vlan)#exiSw1(config)#vlan 40Sw1(config-vlan)#name yanfaSw1(config-vlan)#exiSw1(config)#vlan 50Sw1(config-vlan)#name houqingSw1(config-vlan)#exiSw1(config)#vlan 60Sw1(config-vlan)

8、#name yewuSw1(config-vlan)#exiSw1(config)#vlan 70Sw1(config-vlan)#name renliSw1(config-vlan)#exi此时，不要忘了将交换机连接PC的接口划入到相应的vlan中，不然不生效。在caiwu上：Sw10(config)interface f0/1Sw10(config-if)switchport mode accessSw10(config-if)switchport access vlan 10在其他部门和其他分公司上的配置和以上类似，就不一一举例了。千万不要忘了在公司主交换机和部门子交换机之间运行trun

9、k封装协议：Switchport trunk encapsulation dot1qSwitchport mode trunkIP地址规划：该企业有一个主公司，6个分公司，每个公司下又有7个部门，每个部门下又可有有N个主机。所以，IP分配如下：主公司：192.168.2.0/24分公司1：192.168.3.0/24分公司2：192.168.4.0/24分公司3：192.168.5.0/24分公司4：192.168.6.0/24分公司5：192.168.7.0/24分公司6：192.168.8.0/24而每个公司下又有7个部门：（每个公司的X值跟上面对应）财务：192.168.x.0/27行政

10、：192.168.x.32/27生产：192.168.x.64/27研发：192.168.x.96/27后勤：192.168.x.128/27业务：192.168.x.160/27人力：192.168.x.192/27接入层地址用DHCP：每个分公司（包括主公司）如果需要用DHCP分配IP的话，就用这种方式，但是相对比较麻烦。DHCP服务器地址池配置上图是分公司1 的财务部的DHCP地址池，分配了192.168.3.0/27这个网段。DNS服务器在此处顺便运用了DNS服务器。然后在路由器上做配置，interface FastEthernet0/1 ip address 192.168.3.1

11、255.255.255.0 ip helper-address 192.168.1.2 配置DHCP中继代理，DHCP服务器是192.168.1.2在DHCP的Client端做配置：此时，可以发现，在PC1上运用DHCP自动获取地址的话，会有地址产生。三层动态路由协议配置：因为cisco packet tracer的局限性，只支持Rip协议，所以用Rip协议来支持整个公司的路由通信。以分公司1为例，他的IP地址为192.168.3.1/24，则分公司1所需的主要配置命令为：Interface f0/1Ip address 192.168.3.1 255.255.255.0No shutdown

12、ExiRouter ripVer 2No auto-summaryNetwork 192.168.3.0 ExiACL和NAT的结合运用：在主公司需要与外部网络进行通信的时候，需要用到NAT技术，而在NAT技术中，往往会伴随着ACL技术，ACL技术其实是一门比较实用的技术，用起来很方便，此处用到了标准访问控制列表（ACL的一种）。如图，这是主公司连接外网的区域：路由器连接内网的接口要打ip nat inside，而连接外网的接口则打ip nat outside。主要在R3上做配置：access-list 1 permit 192.168.2.0 0.0.0.255配置一个标准访问控制列表，允许

13、主公司的路由通过。（ACL）ip nat inside source list 1 interface Serial0/3/0 overload启用NAT私有IP地址的来源来自于ACL 1，使用serial0/3/0上的公共IP地址进行转换，overload表示使用端口号进行转换此时，在R3上show ip nat translations则会有表象如下（类似的）：Pro Inside global Inside local Outside local Outside globalicmp 221.1.1.2:23 192.168.1.3:23 223.1.1.2:23 223.1.1.2:2

14、3icmp 221.1.1.2:24 192.168.1.3:24 223.1.1.2:24 223.1.1.2:24icmp 221.1.1.2:25 192.168.1.3:25 223.1.1.2:25 223.1.1.2:25icmp 221.1.1.2:26 192.168.1.3:26 223.1.1.2:26 223.1.1.2:26icmp 221.1.1.2:27 192.168.1.3:27 223.1.1.2:27 223.1.1.2:27VPN：要实现主公司和分公司的通信，（通信内容一般包含一些公司内部的秘密信息）不能实用公网，直接跨过ISP进行通信，必须使用VPN。此

15、处我们使用的是当前工程中用到比较多也比较好用的MPLS VPN，而且这门技术在加密、安全方面都不错。但是运用这么技术的话，配置太过复杂了，实验过程中，主要不知道cisco packet tracer这个软件支持不支持，（感觉功能不是很强大），就说一下具体的设计过程吧。如下拓扑图：R1、R2、R3分别代表两个分公司和主公司，中间的Internet表示ISP，比如电信。要实现主公司和分公司的互相通信，必须要用到MPLS VPN。在电信内部的配置说个大概吧，这主要是电信的事情（如果你的公司想配置VPN，跟电信一说，他会帮你把中间的东西配置完全，你只需要交一定的钱就行了）。在中间的Internet网络

16、中，需要先起一个三层的协议，例如OSPF，然后配置BGP，用作长距离传输数据，BGP作为MP-BGP，起MPLS，用标签分发来通信。中间的边界路由器和公司的路由器之间进行Rip和MP-BGP的双向重分布路由。在R1、R2、R3上做一些简单的配置，例如R1上;Ip cefIp vrf ZHURd 10:1Router-target 100:1 /RT值两端一定要一样，RD值没有具体要求ExiMpls label range 300 399 /分配标签Mpls ldp router-id lo0Interface s1/0Mpls ipExi 刚才用了Rip协议保证公司内部的通信，此处要进行Rip

17、协议和外部网络的双向重分布才能完成。（客户端的配置相对来说比较简单）现象：在主公司这端能看到对端分公司的路由，然后ping对端路由，如果两端都能通的话，表示这个VPN建立成功。AAA：AAA：Authentication Authorization Accounting 认证授权与审计，这是AAA的距离内容。它目前一般用来计费的，此处要用作Web门户的认证。在R3上做AAA：Aaa new-modelAaa authenication login AAA line none /这句话一定要记得敲，是防止线程锁死的，不敲要悲剧。Aaa authenitication login HTTP local-caseAaa authorization exec HTTP localUser cisco privilege 15 password ciscoIp http authentication aaa login-authentication HTTPIp http authentication aaa exec-authorization HTTPLine con 0Login authenication AAAExiLine vty 0 181Login authentication AAAExi实验总结：