资源描述
网络互联技术课程设计方案指导书
32
2020年4月19日
文档仅供参考
安徽工业职业技术学院
《网络互联技术课程设计》
指导书
编制系部: 信息工程系
适用专业: 网络技术
安徽工业职业技术学院二00九年编制
目 录
一、 课程目的和任务
培养学生利用所学的理论知识去规划、设计和维护基于路由和交换的网络,能根据企业实际需求进行VLAN的划分及安全设计,及广域网中的静态、动态路由的配置,NAT转换和访问控制列表的设计。本课程经过实际的网络案例帮助学生掌握安装、配置和运营LAN、WAN和中小型企业网络的实践技能。学习本课程后学生应达到或高于CCNA的实际动手能力。达到能设计、架设和维护中小型网络的能力。
二、课程的要求
本课程经过典型的网络案例,分析从设备的选择、安装、配置、调试、管理的网络工程实施步骤。经过本课程的学习,学生需要掌握CCNA所具有的规划、设计、安装、配置和管理中小行企业网络的动手能力。熟练的把课堂所学的内容,包括VLAN的划分及安全设计,及广域网中的静态、动态路由的配置,NAT转换和访问控制列表的设计,广域网协议的配置等运用到实际当中。从而成为一名合格的毕业生和一名合格的网络工程师。
三、实训设备、工具、材料
CISCO路由器、CISCO交换机、电脑、网线、CONSLE电缆、串型线缆、网络设备仿真软件等.
四、课程的内容
课题一:中小型企业网解决方案----小型园区网
1、模拟小型校园网,根据客户实际情况,选择合适的CISCO网络设备,规划基本网络拓扑图。提出网络的需求,将网络进行规划、设计、及配置
2、企业网概要情况:
接入:申请四个公网IP,一个供WEB服务器使用,一个供企业上网用户使用,其余备用。要求以光纤接入,内网服务器3个。
范围:企业网络节点数在200-800左右,位于不同建筑物,有不同部门。
VLAN:部门划分在不同的VLAN中:
为增加内部网广播域数量和关键部门网络安全性,按照部门和不同终端群体分类划分VLAN。部分VLAN之间允许通信。
安全:WEB服务器配置私有地址,外网访问WEB的公用地址时,在接入路由器中转换成WEB服务器的私有地址,
部分部门在上班时间段不允许上外网,
防黑客入侵。
WLAN:对于网络布线高密度覆盖无法实施环境,如会议室、图书电子阅览室大厅采用无线接入方式部署WLAN。
根据企业实际情况需求,设计网络,拓扑图如下:
图1 网络拓扑规划图
图2 模拟软件拓扑规划图
任务一:网络需求分析与规划
<一).客户介绍与需求分析:
1.客户网络简介
某大学新建校区,节点数约200-800,终端用户需要连接因特网,内网划分VLAN隔离广播域,有WEB服务器,要求建设DNS、DHCP服务器,采用帧中继或广域网专线连接到其它校区,允许移动出差员工采用VPN连接到内网。
2.连通性需求和产品选型
1).设备选型概述
使用电信的租用线路<即电路)连接内部网络,而且经过电信连接INTERNET。通信设备采用CISCO品牌,接入路由器选用2811ROUTER,实现NAT转换功能和VPN连接,接入安全设备采用防火墙使用ACL实现数据过滤,内网核心层采用三层交换实现内网数据交换,分布层和桌面层根据实际终端数大部分采用2900级别交换机,本案例安全使用2960交换机。
2)产品列表
序号
产品型号
产品描述
数量
1
Cisco2811
接入路由器
2
2
防火墙
1
3
CISCO WS-C6506
核心交换机
1
4
CISCO WS-C2960
接入层交换机
8
5
CISCO WRT300N
无线AP
2
6
网管软件等
其它
若干
3).线缆选择与连接
a.校区间广域网连接采用专线点到点连接
b.移动出差用户采用VPN连接到内网
c.核心交换机到出口路由器才用千兆光/电连接
d.核心交换机到接入层层采用千兆/百兆光纤连接
e.WLAN范围使用802.11a/b/g协议。
f.其它未说明根据实际情况规划
任务二. IP规划与VLAN规划
1. IP规划与VLAN规划分析
1). VLAN规划原则:
按照各部门工作性质进行划分,主要分为服务器、行政办公、教师教案、图书中心、财务中心、家属区、学生宿舍等VLAN。
2>.IP规划分析
内网采用私有地址172.16.0.0/12这个私有地址网段,按VLAN对这个网段进行子网划分,考虑到以后的网络扩展,每个划分后的网段保持主机位10位,每个VLAN网段可支持主机1022个,能充分满足要求。规划后的地址如下所示:
2.各部门IP地址和vlan的划分
1>.VLAN规划
Vlan ID
Vlan name
IP地址
网关
备注
1
guanli
172.16.0.0/24
管理VLAN
10
xingzheng
172.16.4.0/22
172.16.4.1
行政办公
20
jiaoxue
172.16.8.0/22
172.16.8.1
教案教师
30
tushuguan
172.16.12.0/22
172.16.12.1
图书中心
40
caiwu
172.16.16.0/22
172.16.16.1
财务中心
50
jiashuqu
172.16.20.0/22
172.16.20.1
家属区
60
xuesheng
172.16.24.0/22
172.16.24.1
学生宿舍
70
Server-vlan
172.16.28.0/22
172.16.28.1
服务器群
2).地址规划与实施
服务器地址按静态IP方式进行设置,管理VLAN中的相关地址也手工设置。如下:
服务器名
IP地址
网关
说明
DHCP
172.16.28.10/22
172.16.28.1
DNS
172.16.28.20/22
172.16.28.1
WEB
172.16.28.30/22
172.16.28.1
外网地址222.153.2.2/24
出口路由器外网口
222.153.2.1/24
222.153.2.254
电信指定
出口路由器内网口
172.16.32.2/30
核心交换机连接到出口接口
172.16.32.1/30
核心交换机连接到校区接口
172.16.32.5/30
3).客户端地址设置
客户终端数量较大,使用DHCP统一分发地址,DHCP对不同VLAN的客户端地址创立不同的地址池。 如下:
地址池名
开始地址
结束地址
子网掩码
默认网关
DNS地址
Pool 10
172.16.4.2
172.16.7.254
255.255.252.0
172.16.4.1
172.16.28.20
Pool 20
172.16.8.2
172.16.11.254
255.255.252.0
172.16.8.1
172.16.28.20
pool 30
172.16.12.2
172.16.15.254
255.255.252.0
172.16.12.1
172.16.28.20
pool 40
172.16.16.2
172.16.19.254
255.255.252.0
172.16.16.1
172.16.28.20
pool 50
172.16.20.2
172.16.23.254
255.255.252.0
172.16.20.1
172.16.28.20
pool 60
172.16.24.2
172.16.27.254
255.255.252.0
172.16.24.1
172.16.28.20
pool 70
172.16.28.2
172.16.31.254
255.255.252.0
172.16.28.1
172.16.28.20
注:备用DNS地址采用当地电信的DNS地址,租约期限按默认设置
任务三:校区间广域网协议与路由协议
1).拓扑分析
校区间广域网协议采用PPP协议。
2).拓扑、原理图
F0/0
F0/0
S0/0/0
S0/0/0
S0/0/1
S0/0/0
F0/0
3).地址规划
新建校区路由器
接口
地址
备注
S0/0/0
172.30.100.100/24
S0/0/1
172.30.200.100/24
F0/0
172.16.32.6/30
校区1路由器
接口
地址
备注
s0/0/0
172.30.100.200/24
F0/0
172.30.111.1
校区2路由器
接口
地址
备注
s0/0/0
172.30.200.200/24
F0/0
172.30.222.1
4).广域网连接设置
本部与两个校区间的路由器使用广域网接口serial口连接,链路层封装PPP协议,并启用PPP认证机制,要求如下:
a. 本部路由器与校区1之间启用PAP单向认证,本部路由器为认证方,认证用户名与密码为“姓名+学号”
b. 本部路由器与校区2之间启用CHAP双向认证,本部路由器为认证方,认证用户名与密码为“学号”
5).路由协议设置
上述三个路由器用于校区间的连接,本部路由器与内网全部使用OSPF区域0,本部路由器与分区1使用路由协议OSPF区域10,本部路由器与分区2使用路由协议RIPv2,并使用路由重发布学习所有小区的路由信息。
6).各路由器配置列表:
a.校区本部路由器相关基本参数配置
Router(config>#host benbu
benbu (config>#int s0/0/0
benbu (config-if>#ip add 172.30.100.100 255.255.255.0
benbu(config-if>#clock rate 128000
benbu(config-if>#no shut
benbu(config-if>#int s0/0/1
benbu(config-if>#ip add 172.30.200.100 255.255.255.0
benbu(config-if>#clock rate 128000
benbu(config-if>#no shut
benbu(config-if>#int f0/0
benbu(config-if>#ip add 172.16.32.6 255.255.255.252
benbu(config-if>#no shut
benbu(config-if>#end
benbu#write
校区1路由器相关配置:
Router(config>#host fenxiaoqu1
fenxiaoqu1(config>#int s0/0/0
fenxiaoqu1(config-if>#ip add 172.30.100.200 255.255.255.0
fenxiaoqu1(config-if>#no shut
fenxiaoqu1(config-if>#ip add 172.30.111.1 255.255.255.0
fenxiaoqu1(config-if>#no shut
fenxiaoqu1(config-if>#router ospf 100 此处的进程号为自己的学号
fenxiaoqu1(config-router>#network 172.30.100.0 0.0.0.255 a 0
fenxiaoqu1(config-router>#network 172.30.111.0 0.0.0.255 a 0
fenxiaoqu1(config-router>#end
fenxiaoqu1#write
校区2路由器相关配置:
Router(config>#host fenxiaoqu2
Fenxiaoqu2(config>#int s0/0/0
Fenxiaoqu2(config-if>#ip add 172.30.200.200 255.255.255.0
Fenxiaoqu2(config-if>#no shut
Fenxiaoqu2(config-if>#ip add 172.30.222.1 255.255.255.0
Fenxiaoqu2(config-if>#no shut
Fenxiaoqu2(config-if>#router ospf 100
Fenxiaoqu2(config-router>#network 172.30.200.0 0.0.0.255 a 0
Fenxiaoqu2(config-router>#network 172.30.222.0 0.0.0.255 a 0
Fenxiaoqu2(config-router>#end
Fenxiaoqu2#write
b.PPP及认证设备
PAP单向认证:
benbu(config>#int s0/0/0
benbu(config-if>#encapsulation ppp
benbu(config-if>#ppp authentication pap
fenqu1(config>#int s0/0/0
fenqu1(config-if># encapsulation ppp
fenqu1(config-if>#ppp pap sent-username zhangsan password 01
CHAP双向认证:
benbu(config>#username fenqu2 password 01
benbu(config>#int s0/0/1
benbu(config-if>#encapsulation ppp
benbu(config-if>#ppp authentication chap
fenqu2(config>#username benbu password 01
fenqu2(config>#int s0/0/0
fenqu2(config-if>#encapsulation ppp
fenqu2(config-if>#ppp authentication chap
c. 路由协议设置
本部路由器:
benbu#conf t
benbu(config>#router ospf 100
benbu(config-router>#network 172.16.32.4 0.0.0.3 area 0
benbu(config-router>#network 172.30.100.0 0.0.0.255 area 10
benbu(config-router># redistribute connected
benbu(config-router># redistribute rip
benbu(config-router>#exit
benbu(config>#router rip
benbu(config-router>#version 2
benbu(config-router>#network 172.30.200.0
benbu(config-router>#redistribute connected
benbu(config-router># redistribute ospf 100
benbu(config-router>#no auto-summary
校区1路由器:
fenqu1(config>#router ospf 100
fenqu1(config-router>#network 172.30.100.0 0.0.0.255 area 10
fenqu1(config-router>#network 172.30.111.0 0.0.0.255 area 10
校区2路由器:
Fenqu2(config>#router rip
Fenqu2(config-router>#version 2
Fenqu2(config-router>#network 172.30.200.0
Fenqu2(config-router>#network 172.30.222.0
d.校区2现在由于网络更改,需要在校区2后接入交换机,并划分两个VLAN,vlan222:172.30.222.0/24和vlan233:172.30.233.0/24,
要求经过单臂路由实现VLAN间互通,并修改原本的路由协议,使其它校区的路由器能正常学习更改后的子网路由信息
单臂路由配置:
fenqu2(config>#int f0/0
fenqu2(config-if>#no ip add
fenqu2(config-if>#int f0/0.222
fenqu2(config-subif># encapsulation dot1Q 222
fenqu2(config-subif>#ip address 172.30.222.1 255.255.255.0
fenqu2(config-subif>#no shut
fenqu2(config-if>#int f0/0.233
fenqu2(config-subif># encapsulation dot1Q 222
fenqu2(config-subif>#ip address 172.30.233.1 255.255.255.0
fenqu2(config-subif>#no shut
修改路由协议:
Fenqu2(config>#router rip
Fenqu2(config-router>#network 172.30.233.0
注:校区2路由器连接的交换机自行配置,此处省略
任务四:以太网交换机相关设置
1).在核心交换机Multilayer Switch0上创立VLAN,指定个VLAN SVI地址,并作为VTP SERVER端:
相关配置命令如下:
a.创立VLAN
Switch>
Switch>en
Switch#vlan database
Switch(vlan>#vlan 10 name xingzheng
Switch(vlan>#vlan 20 name jiaoxue
Switch(vlan>#vlan 30 name tushuguan
Switch(vlan>#vlan 40 name caiwu
Switch(vlan>#vlan 50 name jiashuqu
Switch(vlan>#vlan 60 name xuesheng
Switch(vlan>#vlan 70 name server-vlan
Switch(vlan>#exit
b.设置VTP,启动VTP SERVER
Switch#conf t
Switch(config>#hostn hexinjiaohuan0
hexinjiaohuan0(config>#vtp mode server
hexinjiaohuan0(config>#vtp domain ahip
hexinjiaohuan0(config>#vtp password ccna
c.设置VLAN地址
hexinjiaohuan0(config>#int vlan 1
hexinjiaohuan0(config-if>#ip address 172.16.0.1 255.255.252.0
hexinjiaohuan0(config-if>#no shutdown
hexinjiaohuan0(config-if>#exit
hexinjiaohuan0(config>#int vlan 10
hexinjiaohuan0(config-if>#ip address 172.16.4.1 255.255.252.0
hexinjiaohuan0(config-if>#no shut
hexinjiaohuan0(config-if>#exit
hexinjiaohuan0(config>#int vlan 20
hexinjiaohuan0(config-if>#ip address 172.16.8.1 255.255.252.0
hexinjiaohuan0(config-if>#no shut
hexinjiaohuan0(config-if>#exit
hexinjiaohuan0(config>#int vlan 30
hexinjiaohuan0(config-if>#ip address 172.16.12.1 255.255.252.0
hexinjiaohuan0(config-if>#no shut
hexinjiaohuan0(config-if>#exit
hexinjiaohuan0(config>#int vlan 40
hexinjiaohuan0(config-if>#ip address 172.16.16.1 255.255.252.0
hexinjiaohuan0(config-if>#no shut
hexinjiaohuan0(config-if>#exit
hexinjiaohuan0(config>#int vlan 50
hexinjiaohuan0(config-if>#ip address 172.16.20.1 255.255.252.0
hexinjiaohuan0(config-if>#no shut
hexinjiaohuan0(config-if>#exit
hexinjiaohuan0(config>#int vlan 60
hexinjiaohuan0(config-if>#ip address 172.16.24.1 255.255.252.0
hexinjiaohuan0(config-if>#no shut
hexinjiaohuan0(config-if>#exit
hexinjiaohuan0(config>#int vlan 70
hexinjiaohuan0(config-if>#ip address 172.16.28.1 255.255.252.0
hexinjiaohuan0(config-if>#no shut
d.定义三层交换的默认路由
hexinjiaohuan0(config># ip route 0.0.0.0 0.0.0.0 172.16.32.2
e.其它TRUNK端口设置
hexinjiaohuan0(config>#int f0/1
hexinjiaohuan0(config-if>#switchport mode
hexinjiaohuan0(config-if>#switchport mode trunk
hexinjiaohuan0(config-if>#switchport trunk allowed vlan all
hexinjiaohuan0(config-if>#int f0/2
hexinjiaohuan0(config-if>#switchport mode trunk
hexinjiaohuan0(config-if>#switchport trunk allowed vlan all
hexinjiaohuan0(config-if>#int f0/3
hexinjiaohuan0(config-if>#switchport mode trunk
hexinjiaohuan0(config-if>#switchport trunk allowed vlan all
hexinjiaohuan0(config-if>#int f0/4
hexinjiaohuan0(config-if>#switchport mode trunk
hexinjiaohuan0(config-if>#switchport trunk allowed vlan all
hexinjiaohuan0(config>#int f0/5
hexinjiaohuan0(config-if>#switchport mode
hexinjiaohuan0(config-if>#switchport mode trunk
hexinjiaohuan0(config-if>#switchport trunk allowed vlan all
hexinjiaohuan0(config-if>#int f0/6
hexinjiaohuan0(config-if>#switchport mode trunk
hexinjiaohuan0(config-if>#switchport trunk allowed vlan all
hexinjiaohuan0(config-if>#int f0/7
hexinjiaohuan0(config-if>#switchport mode trunk
hexinjiaohuan0(config-if>#switchport trunk allowed vlan all
hexinjiaohuan0(config-if>#int f0/8
hexinjiaohuan0(config-if>#switchport mode trunk
hexinjiaohuan0(config-if>#switchport trunk allowed vlan all
2)接入层交换全部创立VTP CLIENT端,上行连接到核心交换机的接口启动TRUNK模式。以下以一台交换机为例介绍配置方法,如下:
a.创立VTP CLIENT端
Switch>en
Switch#conf t
Switch(config>#hostn suhe1qu
suhe1qu(config>#vtp mode client
suhe1qu(config>#vtp domain ahip
suhe1qu(config>#vtp password ccna
b.启动接口TRUNK模式
suhe1qu(config>#int f0/1
suhe1qu(config-if>#switchport mode trunk
suhe1qu(config-if>#switchport trunk allowed vlan all
c.接入层的交换机接口直接连接到终端PC或非网管交换机上,那么此接口将设置为ACCESS模式,并加入相应VLAN,如:
Switch(config-if>#int f0/24
Switch(config-if>#switchport mode access
Switch(config-if>#switchport access vlan 60
Switch(config-if>#no shut
Switch(config-if>#int f0/23
Switch(config-if>#switchport mode access
Switch(config-if>#switchport access vlan 10
Switch(config-if>#no shut
Switch(config-if>#end
4). 具体VLAN规划如下:
任务五:WLAN、ACL、NAT和VPN设计
1).无线AP相关设置<以一个AP设置为例,其它AP省略)
a.无线AP的IP地址设置,建议从DHCP SERVER得到相应的IP地址,也能够静态设置,静态设置时注意要是AP所属的VLAN规划的网段内的IP,切不能重复。此处以静态设置地址为例,本AP属于VLAN30,设置如下图:
b.设置AP的内网地址及开启DHCP作为AP的LAN口连接终端和无线接入终端分发IP地址.如下图:
c.测试AP连接的终端是否能够正确获得IP等相关配置信息
2).ACL相关配置
a.三层交换机上要求VLAN的互通满足以下要求:
财务VLAN不允许其它VLAN访问;
hexinjiaohuan0#conf t
hexinjiaohuan0(config>#access-list 100 deny ip 172.16.16.0 0.0.3.255 172.16.4.0 0.0.3.255
hexinjiaohuan0(config>#access-list 100 deny ip 172.16.16.0 0.0.3.255 172.16.8.0 0.0.3.255
hexinjiaohuan0(config>#access-list 100 deny ip 172.16.16.0 0.0.3.255 172.16.12.0 0.0.3.255
hexinjiaohuan0(config>#access-list 100 deny ip 172.16.16.0 0.0.3.255 172.16.20.0 0.0.3.255
hexinjiaohuan0(config>#access-list 100 deny ip 172.16.16.0 0.0.3.255 172.16.24.0 0.0.3.255
hexinjiaohuan0(config>#access-list 100 permit ip any any.
hexinjiaohuan0(config>#int vlan 40
hexinjiaohuan0(config-if>#ip access-group 100 in
hexinjiaohuan0(config-if>#end
行政办公VLAN能够访问教案及其它VLAN,但其它VLAN不能访问办公VLAN;<此部分内容在模拟软件上无法实现)
方法一:使用反向ACL实现:
hexinjiaohuan0(config>#ip access-list extended invlan
hexinjiaohuan0(config-ext-invlan>#permit ip any any reflect kk
hexinjiaohuan0(config>#ip access-list extended outvlan
hexinjiaohuan0(config-ext-invlan>#evaluate kk
hexinjiaohuan0(config-ext-invlan>#deny ip any any
hexinjiaohuan0(config># int vlan 10
hexinjiaohuan0(config-if># ip access-group invlan in
hexinjiaohuan0(config-if>#ip access-group outvlan out
注:ip access-list extended invlan
permit ip any any reflect kk
这一段就是取了流量记录到kk里面,这其实就是缓存,动态更新,和防火墙的原理样
ip access-list extended outvlan
evaluate kk
deny ip any any
然后在这个acl里面只放行kk那个缓存所记录的流量
方法二:
hexinjiaohuan0(config># ip access-list extended vlan10toanothervlan
hexinjiaohuan0(config-ext-vlan10toanothervlan>#permit ip 172.16.8.0 0.0.3.255 172.16.4.0 0.0.3.255 established
hexinjiaohuan0(config-ext-vlan10toanothervlan>#permit ip 172.16.12.0 0.0.3.255 172.16.4.0 0.0.3.255 established
hexinjiaohuan0(config-ext-vlan10toanothervlan>#permit ip 172.16.16.0 0.0.3.255 172.16.4.0 0.0.3.255 established
hexinjiaohuan0(config-ext-vlan10toanothervlan>#permit ip 172.16.20.0 0.0.3.255 172.16.4.0 0.0.3.255 established
hexinjiaohuan0(config-ext-vlan10toanothervlan>#permit ip 172.16.24.0 0.0.3.255 172.16.4.0 0.0.3.255 established
hexinjiaohuan0(config-ext-vlan10toanothervlan>#permit ip 172.16.28.0 0.0.3.255 172.16.4.0 0.0.3.255 established
hexinjiaohuan0(config># int vlan 10
hexinjiaohuan0(config># ip access-group vlan10toanothervlan out
注:假如主机A在其它VLAN中,主机B在VLAN10,当B访问A时<经过IP协议),在端口VLAN10的入方向上都没有应用ACL,因此流量能够经过;然后从A需要返回给B一个流量,“permit ip 172.16.24.0 0.0.3.255 172.16.4.0 0.0.3.255 established”这条命令就是用来识别这个返回的流量的,因为是允许,因此能够经过,也就是说B能够连接A。但如果是A主动发起一个连接请求,这个流量需要从VLAN10端口进入,而在VLAN10端口应用了访问控制列表,而且没有建立连接的缓存允许条目,因此这个流量不被允许经过,也就是说B不能够访问A。
其它VLAN间都可互通。
hexinjiaohuan0(config>#ip routing
b.工作日每天8:00-17:00不允许学生VLAN访问外网,其它VLAN3无限制。<此部分模拟软件无法实现)
jieru(config># time-range denytime
jieru (config-time-range># periodic weekdays 8:00 to
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
