网络生产性实训报告.doc

网络生产性实训报告 29 2020年5月29日 文档仅供参考 网 络 生 产 性 实训报告 网络技术091班 梁健照 一．实训时间: 第一阶段:综合布线与智能楼宇工程项目实施,教学时间4周; 第二阶段:企业网络配置与管理项目实施,教学时间10周; 第三阶段:网站开发与管理项目实施,教学时间5周。 二．实训目的(第二阶段): 1.了解中小企业网络规划与设计的过程。 2.利用实验室设备模拟组建中大型企业网,完成满足中大型企业网功能需求 3．对中大型企业网各种互联设备进行配置,为满足企业网功能需求提供相应配置 三．实训环境 综合实训楼B410 H3C E126A 两台 H3C E328 一台 H3C 路由器 三至五台 PC机 数台 GNS3模拟器 可满足中大型企业网配置的软硬件 四．实训需求分析 随着经济的飞速发展和社会信息化建设的大力推进,网络平台已经成为企业进行业务拓展,经营管理和进行形像宣传的一个独特的窗口。建立企业网络,早已不再是为了赶潮流或是博取好听的名声,而是把网络技术同企业管理体系、工作流程和商务运作等紧密地联系在了一起,充分利用网络优势不受地理位置限制,从而提高工作效率。企业网络成为了现代企业必不可少的一部分,企业网络在现代企业中充当着一个地位显赫的角色,因此企业网络必须具备高效率性、高安全性、高稳定性。 五．实训内容: 交换机:端口聚合、端口镜像、端口安全、端口绑定、多生成树协议、VLAN配置,VLAN间路由等; 路由器:VRRP配置、DHCP中继配置、端口借用IP地址配置、多区域的ospf配置、acl自反、nat配置等 六．实训知识点简要说明: 1．Vlan: 虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,能够根据功能、部门及应用等因素将它们组织起来,相互之间的通信就仿佛它们在同一个网段中一样,由此得名虚拟局域网。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是经过第3层的路由器来完成的。与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点: 网络设备的移动、添加和修改的管理开销减少; 能够控制广播活动; 可提高网络的安全性。 2.端口安全:Port Security特性记住的是连接到交换机端口的以太网MAC地址即网卡号,并只答应某个MAC地址经过本端口通信。假如任何其它MAC地址试图经过此端口通信,端口安全特性会阻止它。使用端口安全特性能够防止某些设备访问网络,并增强安全性。端口镜像,和绑定,也为端口安全的一种实现方式 3.端口汇聚:TRUNK(端口汇聚)是在交换机和网络设备之间比较经济的增加带宽的方法,如服务器、路由器、工作站或其它交换机。这中增加带宽的方法在当单一交换机和节点之间连接不能满足负荷时是比较有效的。TRUNK 的主要功能就是将多个物理端口(一般为2－8个)绑定为一个逻辑的通道,使其工作起来就像一个通道一样。 4.ACL:访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包能够收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,能够由类似于源地址、目的地址、端口号等的特定指示条件来决定。 访问控制列表不但能够起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。 5.路由协议:路由协议经过在路由器之间共享路由信息来支持可路由协议。路由信息在相邻路由器之间传递,确保所有路由器知道到其它路由器的路径。总之,路由协议创立了路由表,描述了网络拓扑结构;路由协议与路由器协同工作,执行路由选择和数据包转发功能。路由协议主要运行于路由器上,路由协议是用来确定到达路径的,它包括RIP,IGRP,EIGRP,OSPF。 6.VRRP:虚拟路由器冗余协议(VRRP)是一种选择协议,它能够把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址能够作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 七．实训举例 (一) 【实训目的】 掌握交换机本地端口镜像配置和远程端口镜像配置的方法。 学会简单地分析抓包过程。 【实训设备】 两台H3C E126A,三台pc机,抓包工具 【实训拓扑】 本地 远程 【实训步骤】 本地 配置交换机: # 创立本地镜像组。 # 为本地镜像组配置源端口和目的端口。 远程 (1) 配置源交换机(Switch A) # 创立远程源镜像组并配置远程镜像VLAN。 # 为远程源镜像组配置源端口、反射口和远程镜像VLAN,再配置端口为Trunk口,允许VLAN 10 报文经过。 (2) 配置中间交换机(Switch B)(注:由于实验室的三层交换不能正常启用远程功能,故本实验没有用到中间交换机) # 创立远程镜像VLAN,配置端口Ethernet 1/0/1 的链路类型为Trunk 端口,允许VLAN 10 的报文经过。 # 配置端口Ethernet 1/0/2 的链路类型为Trunk 端口,允许VLAN 10 的报文经过。 (3) 配置目的交换机(Switch C) # 创立远程镜像组,配置远程镜像VLAN。 # 为远程镜像组配置目的端口、远程镜像VLAN并配置Ethernet 1/0/1 的链路类型为Trunk 端口,允许VLAN 10 的报文经过。 在配置本地端口镜像时,有如下注意事项: (1)交换机CPU 发出的报文不能被镜像。 (2)本地镜像组需要配置源端口、目的端口才能生效。 (3)源端口和目的端口不能是现有镜像组的成员端口、Fabric 端口( 仅S3600/S5600 系列以太网交换机有此限制),目的端口不能为汇聚组成员端口、开启了LACP 的端口或者开启了STP 功能的端口。 在配置源交换机(远程)时,有如下注意事项: 远程源镜像组的所有端口都属于同一台设备,一个远程源镜像组只能配置一个反射端口。 将某个端口配置为反射端口后,不能再修改端口双工模式、端口速率、MDI属性的取值。 配置远程镜像VLAN 时,要求该VLAN 为静态VLAN 并预先创立。被配置成远程镜像VLAN 后,该VLAN 不能直接删除,必须先删除远程镜像VLAN 的配置. 才能够删除这个VLAN。如果镜像组生效后,远程镜像VLAN 被取消,那么该镜像组将失效。 用户不能将缺省VLAN、管理VLAN 或者动态VLAN 配置为远程镜像VLAN。建议用户将远程镜像VLAN 中的设备互连端口都配置为Trunk 端口,而且经过其它协议报文,承载其它的业务报文,不要将远程镜像VLAN 作为Voice. VLAN、协议VLAN 使用,否则可能会影响远程端口镜像功能。 在配置目的交换机时,有如下注意事项: (1)交换机CPU 发出的报文不能被镜像。 (2)目的端口接收到的报文是经过交换机转发处理后的报文。 (3)远程镜像目的端口不能是现有镜像组的成员端口、Fabric 端口( 仅S3600/S5600 系列以太网交换机有此限制)、汇聚组成员端口、开启了LACP的端口或者开启了STP 功能的端口。 【参考配置】 本地 测试 远程 测试 (二) 【实训名称】:端口邦定和端口安全 【实训目的】:认识端口安全的重要性,掌握端口绑定和端口安全的基本步骤和方法 【实现功能】 端口绑定: 经过端口绑定特性,网络管理员能够将用户的MAC 地址和IP 地址绑定到指定的端口上。绑定后,交换机只对从该端口收到的指定MAC 地址和IP 地址的用户发出的报文进行转发,提高了系统的安全性,增强了对网络安全的监控。 端口安全: 在autolearn 安全模式下,端口学习到的MAC 地址会转变为Security MAC 地址。 当端口下的MAC 地址数超过port-security max-mac-count 命令配置的数目后,端口模式会转变为secure 模式。之后,该端口不会再添加新的Security,MAC,只有源MAC 为Security MAC 或已配置的动态MAC 的报文,才能经过该端口。 【实训设备】H3C E126A交换机,pc机 【实训步骤】 端口绑定: 配置Switch A # 进入系统视图。 # 进入Ethernet1/0/1 端口视图。 # 将Host 1 的MAC 地址和IP 地址绑定到Ethernet1/0/1 端口 端口安全: # 进入系统视图,启动端口安全功能。 # 进入以太网Ethernet1/0/1 端口视图。 # 设置端口允许接入最大MAC 数为1,配置安模为autolearn。 # 将Host 的MAC 地址0001-0002-0003 作为Security MAC 添加到VLAN 1 中。 # 设置Intrusion Protection 特性被触发后,暂时关闭该端口,关闭时间为30 秒 【注意事项】 在启动端口安全功能之前,需要关闭全局的802.1x 和MAC 地址认证功能。在已经配置了安全模式的端口下,将不能再进行最大MAC 地址学习个数、镜像反射端口、Fabric 端口和端口汇聚的配置。 【参考配置】 端口绑定: 测试:Ping 192.168.1.1 Ping 192.168.1.3 端口安全 查看端口安全 (三) 【实训名称】端口汇聚 、VLAN间路由 【实训目的】划分vlan 实现端口聚合 【背景描述】 H3 C交换机实训 【技术原理】VLAN间路由:使2层交换和3层交换与TRUNK模式相连,3层交换上加上需要路由的VLAN,给需要路由的VLAN分配好IP,充当各VLAN的网关。PC机的网关指向各VLAN-INTERFACES 的IP地址。如些就能实现VLAN间通信 【实现功能】划分vlan,,端口聚合,VLAN间路由 【实训设备】H3c E126A 、H3C E328 、pc 【实训拓扑】 【实训步骤】 划分vlan,将端口加入到vlan中,测试 端口聚合:创立汇聚组,选定模式; 将端口加入汇聚组 测试 VLAN间路由:使2层交换和3层交换与TRUNK模式相连,3层交换上加上需要路由的VLAN,给需要路由的VLAN分配好IP,充当各VLAN的网关。PC机的网关指向各VLAN-INTERFACES 的IP地址。如些就能实现VLAN间通信 Vlan划分 测试 聚合 (四) 【实训名称】 H3c路由器的ospf的配置 【实训目的】 经过学习,掌握ospf的基本配置(路由应用) 【实现功能】 （一） 配置OSPF基本功能 所有的路由器都运行OSPF,并将整个自治系统划分为3个区域。 其中Router A和Router B作为ABR来转发区域之间的路由。 配置完成后,每台路由器都应学到AS内的到所有网段的路由。 (二)配置OSPF发布聚合路由 Router A和Router B位于AS200内,AS200内使用OSPF做为IGP协议; Router C、Router D和Router E位于AS100内,AS100内使用OSPF做为IGP协议; Router B和Router C之间建立EBGP连接,在Router C上配置BGP引入OSPF路由; 在Router B上配置OSPF进程引入BGP路由,为了减小Router A的路由表规模,在Router B上配置路由聚合,只发布聚合后的路由10.0.0.0/8 【实训设备】 H3c路由器五台,pc机 【实训拓扑】 (一)(注:我们小组负责RA和RC的配置) (二)(注:我们小组负责RD,RC和RE的配置) 【实训步骤】 （一） 配置OSPF基本功能 配置各接口的IP地址 配置OSPF基本功能 # 配置Router A。 # 配置Router B。 [RouterB-ospf-1] quit # 配置Router C。 # 配置Router D。 检验配置结果 # 查看Router A的OSPF邻居。 # 显示Router A的LSDB。 # 查看Router D的路由表。 # 在Router D上使用Ping测试连通性。 （二） 配置OSPF发布聚合路由 (1)配置接口的IP地址(略) (2)配置OSPF # 配置Router A。 # 配置Router B。 # 配置Router C。 # 配置Router D。 # 配置Router E。 (3)配置BGP # 配置Router B。 # 配置Router C。 (4)在Router B上配置路由引入 # 在Router B上配置OSPF引入BGP路由 # 查看Router A的路由表信息。 (5)在Router B上配置路由聚合,只发布聚合路由10.0.0.0/8。 # 查看Router A的路由表信息。 【参考配置】 （一） 配置OSPF基本功能 (二)配置OSPF发布聚合路由 八．实训总结 经过两个月的网络生产性实训,使我认识到网络生产性建设是一项技术复杂,要求规范要系统程。由综合布线开始,到设备调试,到网站搭建,整个流程,都对我所学过的知识再进一步的了解。再知识更加熟练与巩固,再专业技能更进一步得到提升。