二周-- 项目四：大型企业网组建.doc

项目四：大型企业网组建 实 训 任 务 卡 Training task card 班级： 组别： 学号： 姓名： 实训日期： 课程 信息 课程名称 教学单元 训练任务 学时 实训地点 专业技能综合实训 公司办公网络的组建 项目1 画公司网络拓扑图； 项目2公司网络设备的配置； 48节 网络综合实训室 训练 目标 能力 目标 （1）能用visio画网络拓扑图； （2）能配置web、dhcp、域控制器、dns、ftp、打印、远程登录、vpn等服务； （3）能配置对交换机配置vlan； （4）能对路由器配置nat、acl服务； （5）能配置ISA防火墙； （6）能配置网路岗。 知识目标 （1）掌握画网络拓扑图的方法； （2）掌握配置服务器的方法； （3）掌握配置交换机vlan以及远程登录的方法； （4）掌握配置路由器nat、acl的方法； （5）掌握网路岗的使用方法。 实训背景 一、注意事项 1.检查安装Packet Tracer的计算机是否正常，Packet Tracer软件是否正常。 2.检查所需的材料。 3.根据任务要求完成配置，操作完成后，需要保存Packet Tracer配置并提交该文件（文件命名为学号+姓名.pkz）。 二、项目概要 项目目标：搭建一个小型IT部门的网络 项目简介: ABCINDIA Corporation 是一家IT公司。ABCINDIA Company 在三个不同的城市都有它的分支机构。这家公司关注于提供高质量的IT服务，包括软件开发、MIS系统、安全防护等。请完成下面几项任务： · 连接设备 · 根据需求完成IP地址规划 · 在Packet Tracer文件中实现IP地址的配置 · 配置所需的动态路由协议 · 完成NAT地址翻译，以便员工可以访问互联网 · 配置VLAN和VTP · 配置VLAN间路由 · 配置安全策略 · 配置无线网 · 配置VPN服务及VPN客户端 · 配置IP语音电话 三、IP地址规划 设备 接口 IP 地址 掩码 默认网关 Bangalore HQ HQ_Admin Fa0/0 192.168.1.25 255.255.255.248 n/a Fa0/1 202.168.1.25 255.255.255.248 n/a Fa1/0 192.168.1.33 255.255.255.252 n/a S0/0/1 122.168.2.2 255.255.255.252 n/a HQ_IT Fa0/0 到 reception (software design) n/a Fa0/1 192.168.1.17 255.255.255.248 n/a Fa1/0 到 HQ_Admin n/a S0/0/0.102 192.168.1.46 255.255.255.252 n/a S0/0/0.103 192.168.1.42 255.255.255.252 n/a NIC 202.168.1.26 255.255.255.248 202.168.1.25 NIC 202.168.1.27 255.255.255.248 202.168.1.25 HQPC1 NIC 自行确定 DNS: 209.85.175.105 255.255.255.0 201.100.100.1 HQPC2 NIC DHCP assigned 255.255.255.248 192.168.1.9 IT cell server NIC 192.168.1.30 255.255.255.248 192.168.1.17 Mumbai Branch Office MBranch S0/0/0.201 192.168.1.45 255.255.255.252 S0/0/0.202 192.168.1.37 255.255.255.252 F0/0 192.168.1.49 255.255.255.240 F0/1 192.168.1.97 255.255.255.240 MBServer NIC 192.168.1.62 255.255.255.240 192.168.1.49 MPC1 NIC 192.168.1.100 255.255.255.240 192.168.1.97 MPC2 NIC 192.168.1.101 255.255.255.240 192.168.1.97 MBLaptop1 NIC 192.168.1.102 255.255.255.240 192.168.1.97 Delhi Branch Office DBranch S0/0/0.301 192.168.1.41 255.255.255.252 S0/0/0.302 192.168.1.38 255.255.255.252 F0/1.10 192.168.1.113 255.255.255.240 Vlan 10 F0/1.20 192.168.1.129 255.255.255.224 Vlan 20 F0/1.30 192.168.1.161 255.255.255.224 Vlan 30 F0/1.40 192.168.1.193 255.255.255.224 Vlan 40 DBLaptop1 Vlan 10 DHCP 分配 255.255.255.240 192.168.1.113 DBLaptop2 Vlan 10 DHCP 分配 255.255.255.240 192.168.1.113 DBPC1 Vlan 20 192.168.1.130 255.255.255.224 192.168.1.129 DBPC2 Vlan 30 192.168.1.162 255.255.255.224 192.168.1.161 DBPC3 Vlan 20 192.168.1.158 255.255.255.224 192.168.1.129 DBPC4 Vlan 30 192.168.1.190 255.255.255.224 192.168.1.161 DBPC5 Vlan 40 192.168.1.194 255.255.255.224 192.168.1.193 DBPC6 Vlan 40 192.168.1.222 255.255.255.224 192.168.1.193 任务 训练 过程 【项目1】实施步骤 任务描述：根据实训背景画出公司的网络拓扑图；（粘贴图） 【项目2】实施步骤 任务描述：网络设备配置： 任务1：连接设备 任务2：配置设备的基本管理参数 任务3：配置OSPF 路由 任务4: 在 HQ_Admin上配置静态NAT并禁用CDP 任务5: 在MBSw上配置Port Security 任务6：配置DBSw_Server和DBSw_Client交换机上的Trunk. 任务7：配置VTP 和 VLAN 任务8：配置VLAN对应的接口 任务 9: 配置无线网Configure the Wireless LAN 任务10：检查网络连接 任务11：配置远程访问VPN 任务12: 配置IP电话 （每一个配置过程截图） 任务1：连接设备 选择恰当的线缆连接下列设备： · HQ_Sw_A FastEthernet 0/3到 HQPC1 · HQ_Sw_A FastEthernet 0/4 到 HQPC2 · HQ_Sw_A GigabitEthernet 1/1 到 HQ_IT FastEthernet 0/0 · HQ_IT Interface FastEthernet 1/0 到 HQ_Admin FastEthernet 1/0 任务2：配置设备的基本管理参数 a. HQ_IT · 设备名：HQ_IT · 特权模式的加密密码：class · Telnet和console密码cisco · message-of-the-day banner显示为 Authorized access only! · 如果你无法访问console，请自己想办法解决 b. HQ_IT FastEthernet 0/0 使用的IP地址是它所在子网中的第一个 c.确保FastEthernet 0/0的状态是up/up的 d. HQ_IT FastEthernet 1/0的IP地址是它所在子网中的最后一个 e.确保 FastEthernet 1/0的状态是up/up的 f. HQPC1 和 HQPC2 通过DHCP服务器获得IP (IT cell Server)，请通过恰当配置实现 g.注意检查设备之间是否连通 任务3：配置OSPF 路由 a. 在HQ_IT上配置OSPF路由 · process ID 为1 ，区域号为0 · 分别通告HQ_IT上的子网，由于未来设备接口上的IP地址可能还会修改（同网段范围内改动），请选择恰当的wildcard mask · 在没有OSPF邻居的接口上禁用OSPF更新 b. HQ_Admin上注入默认路由 · 恰当配置HQ_Admin，使它可以发送默认路由到HQ_IT、 MBranch 和 DBranch. · 注意检查OSPF邻接关系是否正常 c. 确认OSPF正常工作 · 在HQ_Admin、 HQ_IT、 MBranch 和 DBranch 上检查是否都存在了正确的路由上 任务4: 在 HQ_Admin上配置静态NAT并禁用CDP a. 根据下列要求在HQ_Admin上配置静态NAT: · 翻译下列私有地址到公有地址(以下地址不一定有实际设备连接，仅配置即可): · Private IP 192.168.1.26 到 Public IP 122.168.2.3 和 Private IP 192.168.1.27 到 Public IP 122.168.2.4 · 在HQ_Admin S0/0/1接口上配置静态NAT · 在连接internet的接口上禁用CDP b. 检查 server和 的公有地址都可以从Home User PC上访问到 c. Home User PC可以通过域名和浏览器访问 和 d. 恰当配置，实现公司内网用户对外网的访问。 任务5: 在MBSw上配置Port Security 注意: 通常情况下你可能要在所有接入接口上设置Port Security，但是这里仅要求你设置一个接口。 a. 在MBSw上设置FastEthernet 4/1 port security · 只允许不超过2个MAC地址 · 当学到MAC地址后，该地址将自动加入到设备running configuration中 · 如果出现违规，该接口将自动被禁用 b. 通过连接 MBLaptop1到MBHub来验证配置是否生效 c. 如果配置正常工作，记得断开MBLaptop1到MBHub的连接并重新启用Fa 4/1 任务6：配置DBSw_Server和DBSw_Client交换机上的Trunk. 提示: 为了节省时间，你可以考虑用range指令来一次配置多个端口 请将FastEthernet 0/21 至 FastEthernet 0/24 都配置为静态Trunk模式 任务7：配置VTP 和 VLAN a. 要求1: DBSw_Server 作为VTP 服务器并采用下列VTP 参数: · VTP domain name: ABCINDIA · VTP password: abc123* b. 要求2: DBSw_Server上建立下列VLAN并命名： · VLAN 10: Wireless · VLAN 20: Staff · VLAN 30: Management · VLAN 40: Admin c. 要求3: DBSw_Client 作为VTP client并加入到ABCINDIA VTP domain中 d. 要求4: 测试VTP可以正常工作 任务8：配置VLAN对应的接口 按照下表将接口设置到恰当的VLAN中: 设备 接口 所在VLAN DBSw_Server, DBSw_Client Fa0/1 – 0/5 10 DBSw_Server, DBSw_Client Fa0/6 – 0/10 20 DBSw_Server, DBSw_Client Fa0/11 – 0/15 30 DBSw_Server, DBSw_Client Fa0/16 – 0/20 40 DBSw_Server, DBSw_Client Fa0/21 – 0/24 Trunk 注意分配了VLAN的接口应在恰当的且稳定的模式 任务 9: 配置无线网Configure the Wireless LAN 请参考地址表配置无线网中的IP地址 a. 在DBAP上配置无线安全： · SSID 为DBA_LAN · 启用 WPA2-PSK (AES) 安全使用  作为密钥 b. 恰当配置DBLaptop1和DBLaptop2 使它们可以访问到无线网 任务10：检查网络连接 注意，下面连接应该是通畅的： · HQPC 可以ping (125.252.208.170) · MPC1 可以ping (125.252.208.170) · MPC1 可以ping (125.252.208.170) · DBPC1 可以ping DBPC2. · DBPC1 可以ping DBPC5. · DBPC1 可以ping DBLaptop1. · DBPC1 可以ping (125.252.208.170) · DBPC1 可以ping MBPC1. · DBPC1 可以ping HQPC1. · DBPC1 可以ping . 任务11：配置远程访问VPN ABCINDIA Corporation的员工需要在出差或在家时都可以访问公司的内部资源。请在HQ_Admin上配置远程访问VPN供员工使用。 请按照下面参数配置： l VPN用户的认证和授权都通过设备本地进行 l 认证使用的list名为vpnauth l 授权使用的list名为vpnauthor l 用户名 vpnuser，密码cisco l VPN 第一阶段策略如下： n AES加密 n MD5 HASH n Pre-share方式验证 n Group 2 n 组名：vpngroup n 组密码：groupkey l VPN其他策略如下： n 静态Crypto map名cmap 序号10 n 动态Crypto map名dmap 序号10 n Transform-set名ts，使用esp-aes esp-md5-hmac n VPN用户拨入后将获得10.0.100.1 到10.0.100.100范围内的地址，地址池名ezpool l 恰当配置，使VPN用户拨入后将自动产生指向该客户的一条路由，将该路由重分布到OSPF中 l 使用home-PC测试拨入VPN，请确认拨入后可以访问内网的服务器 任务12: 配置IP电话 IP电话号码如拓扑图所示，请参考下面表格完成配置，并实现电话之间互相可以呼叫 请按照顺序为电话号码进行编号 Call Manager Express所在设备 电话类型 Ephone编号 电话号码 HQ_IT Ephone最多4 Ephone-dn最多4 软件电话(HQPC1) 1-4中的一个 自动分配 1000-1003中的一个 自动分配 HQ_IT 7960 1-4中的一个 自动分配 1000-1003中的一个 自动分配 HQ_IT 7960 1-4中的一个 自动分配 1000-1003中的一个 自动分配 HQ_IT 软件电话(HQPC2) 1-4中的一个 自动分配 1000-1003中的一个 自动分配 HQ_Admin最多一个电话和一个电话号码，由路由器完成DHCP 7960 1手工指定，禁用自动注册 5000 手工指定 在HQ_IT上设置所有到5XXX电话会通过IP方式送至HQ_Admin 在HQ_Admin上设置所有到1XXX电话会通过IP方式送到HQ_IT Dial-peer编号都是1 请确认电话可以互相呼叫成功 其他要求: 如果需要你可以更换线缆或者重新启动设备 ABCINDIA Corporation近期没有计划扩展它的网络 ABCINDIA Corporation 出于经济考虑，不能更换任何新的设备 【任务3】实施步骤 任务描述：该公司在服务群中使用3台物理服务器，每台物理服务器使用VMware Workstation安装相应的虚拟计算机，拓扑图如下所示。 请根据公司的要求，完成如下任务： 任务1：路由器配置（课后完成） 任务2：交换机配置（课后完成） 任务3：WINDOWS 2003活动目录的配置和管理 任务4：WINDOWS 2003 WEB服务器及负载均衡配置 任务5：LINUX 服务器系统管理配置 任务6：LINUX 服务器系统WEB服务器配置 任务7：LINUX 服务器系统SAMBA服务器配置 任务8：LINUX 服务器系统DHCP服务器配置 说明：路由器为H3C MSR 2630或者H3C MSR 2020，交换机为H3C S3600V2或者H3C S5800。 （每一个配置过程截图） 任务1：路由器配置（课后完成，建议使用H3C模拟器） 1）路由器命名配置 路由器上配置命名为“R1”。 2）IP地址配置 端口1上配置地址为：172.16.200.2/24； 端口2上配置地址为：100.1.1.1/24； Loopback0：20.20.20.20/32。 17 3）OSPF路由配置 在路由器上启动OSPF进程，进程号为200；配置OSPF 200的Router ID为Loopback0的IP地址；配置区域0，路由器上的端口1开启OSPF功能并属于区域0。 4）NAT配置 在路由器上配置访问控制列表2010，限制源地址属于10.1.1.0/24网段的数据才能做地址转换，地址转换方式为Esay IP的方式；在端口2的出方向上应用NAT。 任务2：交换机配置（课后完成，建议使用H3C模拟器） 1）交换机命名配置 交换机上配置命名为“S1”。 2）VLAN配置 在交换机上增加vlan 4、vlan 5、vlan 6、vlan 7、vlan 8、vlan 9、vlan 10。 3）端口配置 将端口1加入VLAN4，配置类型为Access；把端口2加入vlan 5，配置类型为Access ；把端口3加入vlan6，配置类型为Access；把端口4加入vlan7，配置类型为Access；把端口5加入vlan8，配置类型为Access；把端口6加入vlan9，配置类型为Access；把端口7加入vlan10，配置类型为Access。 4）IP 地址配置 VLAN-Interface4：192.168.10.1/24； VLAN-Interface5：172.16.1.1/24； VLAN-Interface6：172.16.10.1/24 VLAN-Interface7：172.16.0.1/24 VLAN-Interface8：10.1.1.1/24； VLAN-Interface9：172.16.200.1/24； VLAN-Interface10：10.2.2.1/24； Loopback0：10.10.10.10/32。 5）STP配置 在交换机上启用STP；通过命令行指定交换机作为主根桥；把端口1、端口2、端口3、端口4、端口5配置为边缘端口并且启用bpdu保护功能；。 6）链路聚合配置 在交换机上配置二层聚合端口1，链路聚合模式使用静态聚合；把端口8以及端口9加入到链路聚合组中；把二层聚合端口配置为Trunk，仅允许VLAN4、5、6、7、8通过。 7）VRRP配置 在交换机上，针对vlan 4配置VRRP备份组1，虚拟IP地址为192.168.10.254，交换机在该备份组的优先级为120。 8）端口镜像配置 在交换机上创建本地镜像组1，把端口1作为镜像组的源端口，其中要求对端口1的入方向流量进行镜像，把端口10作为该镜像组的目的端口。 9）802.1x配置 在交换机上配置802.1x功能，对于端口11以及端口12的接入用户需要进行802.1x认证。 10）Radius配置 在交换机上配置Radius方案，命名为“test”；在Radius方案中配置主认证服务器为20.1.1.1；在Radius方案中配置主计费服务器为20.1.1.1；在Radius方案中配置认证计费密钥都为“test”。 11）AAA配置 在交换机上配置AAA域，域名为“test”，并指定该域为设备的默认域；配置域的默认认证方案是采用命名为test的radius方案；配置域的默认计费方案是采用命名为test的radius方案；配置域的默认授权方案是采用命名为test的radius方案。 12）OSPF路由配置 在路由器上启动OSPF进程，进程号为200；配置OSPF 200的Router ID为Loopback0的IP地址；配置区域0，交换机上的VLAN-Interface8开启OSPF功能并属于区域0；通过引入直连路由的方式把192.168.10.0/24、172.16.1.0/24、172.16.10.0/24、172.16.0.0/24、10.1.1.0/24以及10.2.2.0/24六个网段的路由发布到OSPF中。 13）SNMP配置 在交换机上启动SNMP agent功能；配置SNMP运行的版本为SNMPv1；配置SNMP的读写团体字都为“test”。 14）远程Telnet配置 在交换机上开启允许telnet功能；配置telnet登录使用Password方式进行认证，密码为“test”，密码为明文显示，该用户所能访问的命令行级别为3。 任务3：WINDOWS 2003活动目录的配置和管理 1．在物理服务器1上，在VMware Workstation 9 中安装虚拟机（配置两块网卡），其操作系统为Windows 2003 Server (企业版)中文版操作系统，其内存为1G，硬盘40G，主机命名为：DC01，其第一块网卡的IP地址为192.168.10.8/24，命名为“LAN”；其第二块网卡的IP地址为172.16.1.2/24，命名为“HEART”。 2．在虚拟机DC01上创建WINDOWS 活动目录，其域名为：, 设置域和林的功能级别均为Windwos Server 2003。 3．在物理服务器上2上，在VMware Workstation 9 中安装虚拟机（配置两块网卡），其操作系统为Windows 2003 Server (企业版)中文版操作系统，其内存为1G，硬盘40G，主机命名为：DC02，其第一块网卡的IP地址为172.16.10.9/24，命名为“LAN”；其第二块网卡的IP地址为172.16.0.2/24，命名为“HEART”。 4．将虚拟机DC02安装为活动目录 的额外域控制器，并安装DNS服务，DNS服务内容与DC01一致。 5．在DC02上，启用全局编录服务。 6．调整ABC.com域的帐户策略： 密码无须符合复杂性要求 密码最小值设为6位 密码最长使用期限为36天 密码最长使用期限为2天 7．在活动目录中创建下列全局组：Group01、Group02 在活动目录中创建下列用户 用户:user01 密码：123456 隶属于：group01 用户:user02 密码：123456 隶属于：group02 上述用户的密码永不过期且用户不能自行修改密码 任务4：WINDOWS 2003 WEB服务器及负载均衡配置 1．在DC01和DC02上分别安装IIS服务，默认WEB文件夹均为C：\WEBPOOL； DC01 WEB服务器默认页面的内容显示为：web cluster 01；DC02 WEB服务器默认页面的内容显示：web cluster 02。 2．在DC01上，安装证书服务，设置为企业根，有效期为5年。 3．DC01、DC02 两台虚拟机的WEB服务只允许隶属于GROUP02组的用户通过SSL访问，不允许其他域用户或匿名用户访问，也不允许非SSL的连接访问该WEB服务器。 4．在DNS服务器中建立的主机记录，IP地址对应到10.0.5.10. 5．通过配置系统的网络负载均衡功能，将DC01和DC02的WEB服务器配置为负载均衡功能，在客户机将DNS 设为DC01或DC02的情况下，使用隶属于group02 组的用户可以到访问公共网址－，且访问流量将自动分担到DC01、DC02上，分担比例为各50％，且关闭DC01、DC02中任意一台服务器，均不影响用户对该网址的访问。 任务5：LINUX 服务器系统管理配置 1．在物理服务器3上，在VMware Workstation 9 中安装虚拟机，其操作系统为Centos 5.8，其内存为1G，硬盘20G，主机命名为：CENTOS01， IP地址为10.1.1.11/24。 2．公司实施ERP系统，该ERP系统的数据库将要安装在服务器CENTOS01上，该数据库系统的网络服务监听端口是通调用系统所定义的服务名来进行定义并实现的，现在我们将要为该数据库的部署进行操作系统层面的前期准备，请 在LINUX所默认的系统服务文件中定义以下服务内容： 服务名：erpdata 网络监听协议：tcp 3．请在CENTOS01系统中创建以下组和用户： 用户组：user01 用户名：user01，隶属于user01组 密码：123456 用户组：user02 用户名：user02，隶属于user02组 密码：123456 4．创建/u01 目录，在/u01下创建一个名为“access.list”的空文件 5．将/u01/access.list 文件的访问权限等级改为660，将/u01/access.list 文件的宿主组和用户均改为 user02 任务6：LINUX 服务器系统WEB服务器配置 请在虚拟机CENTOS01上安装apache服务器： 1、 在/u01下创建目录,名为WEB，作为apache服务器的默认文件夹。 2、 在DC01服务器上创建 的DNS记录，对应为CENTOS01的IP地址。 3、 本网站需对应的访问网址为:http:// 4、 只允许用户user01登录后才能访问网站 5、 登录网站后，默认首页显示：“欢迎参加全国职业院校技能大赛高职组广东选拔赛。” 任务7：LINUX 服务器系统SAMBA服务器配置 在虚拟机CENTOS01根目录下创建/ushare 目录，共享卷名称为“ushare”。 通过samba服务发布/ushare为共享目录，共享客户端所看到的卷名应为“2012”， 其中user01拥有读写权限，user02拥有只读权限。 任务8：LINUX 服务器系统DHCP服务器配置 1.在计算机2上，使用VMware Workstation 9 安装Centos 5.8，其内存为512M，硬盘40G，主机命名为DHCPSERVER其合法域名为，其网络服务IP地址为172.16.10.12/24。 2．安装DHCP服务，为VLAN7的用户主机动态分配IP地址，建立作用域，作用域的名称为相应VLAN的名称，为用户分配网关、DNS服务器及域名；VLAN7地址段为10.2.2.100~10.0.1.200 问题 思考 1. 为什么建立域控制器需要架设DNS服务器？ 2. 如果需要掌握设备（服务器、交换机、路由器等）的运行情况，可以考虑用什么软件实现？ 感受与建议 作业 教师评定 教师评语 成 绩 通 过 □ 暂缓通过 □