网络互联技术课程设计方案指导书范本.doc

1、 网络互联技术课程设计方案指导书 32 2020年4月19日 文档仅供参考 安徽工业职业技术学院 《网络互联技术课程设计》 指导书 编制系部： 信息工程系 适用专业： 网络技术 安徽工业职业技术学院二00九年编制 目 录 一、 课程目的和任务 培养学生利用所学的理论知识去规划、设计和维护基于路由和交换的网络，能根据企业实际需求进行VLAN的划分及安全设计，及广域网中的静态、动态路由的配置，NAT转换和访问控制列表的设计。本课程经过实际的网络案例帮助学

2、生掌握安装、配置和运营LAN、WAN和中小型企业网络的实践技能。学习本课程后学生应达到或高于CCNA的实际动手能力。达到能设计、架设和维护中小型网络的能力。 二、课程的要求 本课程经过典型的网络案例，分析从设备的选择、安装、配置、调试、管理的网络工程实施步骤。经过本课程的学习，学生需要掌握CCNA所具有的规划、设计、安装、配置和管理中小行企业网络的动手能力。熟练的把课堂所学的内容，包括VLAN的划分及安全设计，及广域网中的静态、动态路由的配置，NAT转换和访问控制列表的设计，广域网协议的配置等运用到实际当中。从而成为一名合格的毕业生和一名合格的网络工程师。 三、实训设备、工具、材料 C

3、ISCO路由器、CISCO交换机、电脑、网线、CONSLE电缆、串型线缆、网络设备仿真软件等. 四、课程的内容 课题一：中小型企业网解决方案----小型园区网 1、模拟小型校园网，根据客户实际情况，选择合适的CISCO网络设备，规划基本网络拓扑图。提出网络的需求，将网络进行规划、设计、及配置 2、企业网概要情况： 接入：申请四个公网IP，一个供WEB服务器使用，一个供企业上网用户使用，其余备用。要求以光纤接入，内网服务器3个。 范围：企业网络节点数在200-800左右，位于不同建筑物，有不同部门。 VLAN：部门划分在不同的VLAN中： 为增加内部网广播域数量和关键部门网络安全

4、性，按照部门和不同终端群体分类划分VLAN。部分VLAN之间允许通信。 安全：WEB服务器配置私有地址，外网访问WEB的公用地址时，在接入路由器中转换成WEB服务器的私有地址， 部分部门在上班时间段不允许上外网， 防黑客入侵。 WLAN：对于网络布线高密度覆盖无法实施环境，如会议室、图书电子阅览室大厅采用无线接入方式部署WLAN。 根据企业实际情况需求，设计网络，拓扑图如下： 图1 网络拓扑规划图 图2 模拟软件拓扑规划图 任务一：网络需求分析与规划 <一）.客户介绍与需求分析： 1．客户网络简介 某

5、大学新建校区，节点数约200-800，终端用户需要连接因特网，内网划分VLAN隔离广播域，有WEB服务器，要求建设DNS、DHCP服务器，采用帧中继或广域网专线连接到其它校区，允许移动出差员工采用VPN连接到内网。 2.连通性需求和产品选型 1）.设备选型概述 使用电信的租用线路<即电路）连接内部网络，而且经过电信连接INTERNET。通信设备采用CISCO品牌，接入路由器选用2811ROUTER，实现NAT转换功能和VPN连接，接入安全设备采用防火墙使用ACL实现数据过滤，内网核心层采用三层交换实现内网数据交换，分布层和桌面层根据实际终端数大部分采用2900级别交换机，本案例安全使

6、用2960交换机。 2）产品列表 序号 产品型号 产品描述 数量 1 Cisco2811 接入路由器 2 2 防火墙 1 3 CISCO WS-C6506 核心交换机 1 4 CISCO WS-C2960 接入层交换机 8 5 CISCO WRT300N 无线AP 2 6 网管软件等 其它 若干 3）.线缆选择与连接 a.校区间广域网连接采用专线点到点连接 b.移动出差用户采用VPN连接到内网 c.核心交换机到出口路由器才用千兆光/电连接 d.核心交换机到接入层层采用千兆/百兆光纤连接 e．WLAN范围使用802.11a/

7、b/g协议。 f.其它未说明根据实际情况规划 任务二. IP规划与VLAN规划 1. IP规划与VLAN规划分析 1）. VLAN规划原则： 按照各部门工作性质进行划分，主要分为服务器、行政办公、教师教案、图书中心、财务中心、家属区、学生宿舍等VLAN。 2>.IP规划分析 内网采用私有地址172.16.0.0/12这个私有地址网段，按VLAN对这个网段进行子网划分，考虑到以后的网络扩展，每个划分后的网段保持主机位10位，每个VLAN网段可支持主机1022个，能充分满足要求。规划后的地址如下所示： 2.各部门IP地址和vlan的划分 1>.VLA

8、N规划 Vlan ID Vlan name IP地址 网关 备注 1 guanli 172.16.0.0/24 管理VLAN 10 xingzheng 172.16.4.0/22 172.16.4.1 行政办公 20 jiaoxue 172.16.8.0/22 172.16.8.1 教案教师 30 tushuguan 172.16.12.0/22 172.16.12.1 图书中心 40 caiwu 172.16.16.0/22 172.16.16.1 财务中心 50 jiashuqu 172.16.20.0/22 172.1

9、6.20.1 家属区 60 xuesheng 172.16.24.0/22 172.16.24.1 学生宿舍 70 Server-vlan 172.16.28.0/22 172.16.28.1 服务器群 2）.地址规划与实施 服务器地址按静态IP方式进行设置，管理VLAN中的相关地址也手工设置。如下： 服务器名  IP地址  网关 说明 DHCP  172.16.28.10/22 172.16.28.1 DNS  172.16.28.20/22  172.16.28.1 WEB  172.16.28.30/22 172

10、16.28.1 外网地址222.153.2.2/24 出口路由器外网口 222.153.2.1/24 222.153.2.254 电信指定 出口路由器内网口 172.16.32.2/30 核心交换机连接到出口接口 172.16.32.1/30 核心交换机连接到校区接口 172.16.32.5/30 3）.客户端地址设置 客户终端数量较大，使用DHCP统一分发地址，DHCP对不同VLAN的客户端地址创立不同的地址池。 如下： 地址池名 开始地址 结束地址 子网掩码 默认网关 DNS地址 Pool 10 172.16.4.2

11、 172.16.7.254 255.255.252.0 172.16.4.1 172.16.28.20 Pool 20 172.16.8.2 172.16.11.254 255.255.252.0 172.16.8.1 172.16.28.20 pool 30 172.16.12.2 172.16.15.254 255.255.252.0 172.16.12.1 172.16.28.20 pool 40 172.16.16.2 172.16.19.254 255.255.252.0 172.16.16.1 172.16.28.20 pool 50

12、172.16.20.2 172.16.23.254 255.255.252.0 172.16.20.1 172.16.28.20 pool 60 172.16.24.2 172.16.27.254 255.255.252.0 172.16.24.1 172.16.28.20 pool 70 172.16.28.2 172.16.31.254 255.255.252.0 172.16.28.1 172.16.28.20 注：备用DNS地址采用当地电信的DNS地址，租约期限按默认设置 任务三：校区间广域网协议与路由协议 1）.拓扑分析 校区间广域网协议

13、采用PPP协议。 2）.拓扑、原理图 F0/0 F0/0 S0/0/0 S0/0/0 S0/0/1 S0/0/0 F0/0 3）.地址规划 新建校区路由器 接口 地址 备注 S0/0/0 172.30.100.100/24 S0/0/1 172.30.200.100/24 F0/0 172.16.32.6/30 校区1路由器 接口 地址 备注 s0/0/0 172.30.100.200/24 F0/0 172.30.111.1 校区2路由器 接口 地址 备注

14、 s0/0/0 172.30.200.200/24 F0/0 172.30.222.1 4）.广域网连接设置 本部与两个校区间的路由器使用广域网接口serial口连接，链路层封装PPP协议，并启用PPP认证机制,要求如下： a. 本部路由器与校区1之间启用PAP单向认证，本部路由器为认证方，认证用户名与密码为“姓名+学号” b. 本部路由器与校区2之间启用CHAP双向认证，本部路由器为认证方，认证用户名与密码为“学号” 5）.路由协议设置 上述三个路由器用于校区间的连接，本部路由器与内网全部使用OSPF区域

15、0，本部路由器与分区1使用路由协议OSPF区域10，本部路由器与分区2使用路由协议RIPv2，并使用路由重发布学习所有小区的路由信息。 6）.各路由器配置列表： a.校区本部路由器相关基本参数配置 Router(config>#host benbu benbu (config>#int s0/0/0 benbu (config-if>#ip add 172.30.100.100 255.255.255.0 benbu(config-if>#clock rate 128000 benbu(config-if>#no shut benbu(config-if>#int s0/0/1

16、 benbu(config-if>#ip add 172.30.200.100 255.255.255.0 benbu(config-if>#clock rate 128000 benbu(config-if>#no shut benbu(config-if>#int f0/0 benbu(config-if>#ip add 172.16.32.6 255.255.255.252 benbu(config-if>#no shut benbu(config-if>#end benbu#write 校区1路由器相关配置: Router(config>#host fenxiaoq

17、u1 fenxiaoqu1(config>#int s0/0/0 fenxiaoqu1(config-if>#ip add 172.30.100.200 255.255.255.0 fenxiaoqu1(config-if>#no shut fenxiaoqu1(config-if>#ip add 172.30.111.1 255.255.255.0 fenxiaoqu1(config-if>#no shut fenxiaoqu1(config-if>#router ospf 100 此处的进程号为自己的学号 fenxiaoqu1(config-router>#network

18、 172.30.100.0 0.0.0.255 a 0 fenxiaoqu1(config-router>#network 172.30.111.0 0.0.0.255 a 0 fenxiaoqu1(config-router>#end fenxiaoqu1#write 校区2路由器相关配置: Router(config>#host fenxiaoqu2 Fenxiaoqu2(config>#int s0/0/0 Fenxiaoqu2(config-if>#ip add 172.30.200.200 255.255.255.0 Fenxiaoqu2(config-if>#

19、no shut Fenxiaoqu2(config-if>#ip add 172.30.222.1 255.255.255.0 Fenxiaoqu2(config-if>#no shut Fenxiaoqu2(config-if>#router ospf 100 Fenxiaoqu2(config-router>#network 172.30.200.0 0.0.0.255 a 0 Fenxiaoqu2(config-router>#network 172.30.222.0 0.0.0.255 a 0 Fenxiaoqu2(config-router>#end Fenxiaoq

20、u2#write b.PPP及认证设备 PAP单向认证： benbu(config>#int s0/0/0 benbu(config-if>#encapsulation ppp benbu(config-if>#ppp authentication pap fenqu1(config>#int s0/0/0 fenqu1(config-if># encapsulation ppp fenqu1(config-if>#ppp pap sent-username zhangsan password 01 CHAP双向认证： benbu(config>#username

21、fenqu2 password 01 benbu(config>#int s0/0/1 benbu(config-if>#encapsulation ppp benbu(config-if>#ppp authentication chap fenqu2(config>#username benbu password 01 fenqu2(config>#int s0/0/0 fenqu2(config-if>#encapsulation ppp fenqu2(config-if>#ppp authentication chap c. 路由协议设置 本部路由器： ben

22、bu#conf t benbu(config>#router ospf 100 benbu(config-router>#network 172.16.32.4 0.0.0.3 area 0 benbu(config-router>#network 172.30.100.0 0.0.0.255 area 10 benbu(config-router># redistribute connected benbu(config-router># redistribute rip benbu(config-router>#exit benbu(config>#router rip b

23、enbu(config-router>#version 2 benbu(config-router>#network 172.30.200.0 benbu(config-router>#redistribute connected benbu(config-router># redistribute ospf 100 benbu(config-router>#no auto-summary 校区1路由器： fenqu1(config>#router ospf 100 fenqu1(config-router>#network 172.30.100.0 0.0.0.255 are

24、a 10 fenqu1(config-router>#network 172.30.111.0 0.0.0.255 area 10 校区2路由器： Fenqu2(config>#router rip Fenqu2(config-router>#version 2 Fenqu2(config-router>#network 172.30.200.0 Fenqu2(config-router>#network 172.30.222.0 d.校区2现在由于网络更改，需要在校区2后接入交换机，并划分两个VLAN，vlan222:172.30.222.0/24和vlan233:17

25、2.30.233.0/24， 要求经过单臂路由实现VLAN间互通，并修改原本的路由协议，使其它校区的路由器能正常学习更改后的子网路由信息 单臂路由配置： fenqu2(config>#int f0/0 fenqu2(config-if>#no ip add fenqu2(config-if>#int f0/0.222 fenqu2(config-subif># encapsulation dot1Q 222 fenqu2(config-subif>#ip address 172.30.222.1 255.255.255.0 f

26、enqu2(config-subif>#no shut fenqu2(config-if>#int f0/0.233 fenqu2(config-subif># encapsulation dot1Q 222 fenqu2(config-subif>#ip address 172.30.233.1 255.255.255.0 fenqu2(config-subif>#no shut 修改路由协议： Fenqu2(config>#router rip Fenqu2(config-router>#network 172.30.233.0 注：校区2路由器连接的交换机自行配置，

27、此处省略 任务四：以太网交换机相关设置 1）.在核心交换机Multilayer Switch0上创立VLAN，指定个VLAN SVI地址，并作为VTP SERVER端： 相关配置命令如下： a.创立VLAN Switch> Switch>en Switch#vlan database Switch(vlan>#vlan 10 name xingzheng Switch(vlan>#vlan 20 name jiaoxue Switch(vlan>#vlan 30 name tushuguan Switch(vlan>#vlan 40 name caiwu Swi

28、tch(vlan>#vlan 50 name jiashuqu Switch(vlan>#vlan 60 name xuesheng Switch(vlan>#vlan 70 name server-vlan Switch(vlan>#exit b.设置VTP，启动VTP SERVER Switch#conf t Switch(config>#hostn hexinjiaohuan0 hexinjiaohuan0(config>#vtp mode server hexinjiaohuan0(config>#vtp domain ahip hexinjiaohuan0(conf

29、ig>#vtp password ccna c.设置VLAN地址 hexinjiaohuan0(config>#int vlan 1 hexinjiaohuan0(config-if>#ip address 172.16.0.1 255.255.252.0 hexinjiaohuan0(config-if>#no shutdown hexinjiaohuan0(config-if>#exit hexinjiaohuan0(config>#int vlan 10 hexinjiaohuan0(config-if>#ip address 172.16.4.1 255.255.252

30、0 hexinjiaohuan0(config-if>#no shut hexinjiaohuan0(config-if>#exit hexinjiaohuan0(config>#int vlan 20 hexinjiaohuan0(config-if>#ip address 172.16.8.1 255.255.252.0 hexinjiaohuan0(config-if>#no shut hexinjiaohuan0(config-if>#exit hexinjiaohuan0(config>#int vlan 30 hexinjiaohuan0(config-if>#i

31、p address 172.16.12.1 255.255.252.0 hexinjiaohuan0(config-if>#no shut hexinjiaohuan0(config-if>#exit hexinjiaohuan0(config>#int vlan 40 hexinjiaohuan0(config-if>#ip address 172.16.16.1 255.255.252.0 hexinjiaohuan0(config-if>#no shut hexinjiaohuan0(config-if>#exit hexinjiaohuan0(config>#int vl

32、an 50 hexinjiaohuan0(config-if>#ip address 172.16.20.1 255.255.252.0 hexinjiaohuan0(config-if>#no shut hexinjiaohuan0(config-if>#exit hexinjiaohuan0(config>#int vlan 60 hexinjiaohuan0(config-if>#ip address 172.16.24.1 255.255.252.0 hexinjiaohuan0(config-if>#no shut hexinjiaohuan0(config-if>#e

33、xit hexinjiaohuan0(config>#int vlan 70 hexinjiaohuan0(config-if>#ip address 172.16.28.1 255.255.252.0 hexinjiaohuan0(config-if>#no shut d.定义三层交换的默认路由 hexinjiaohuan0(config># ip route 0.0.0.0 0.0.0.0 172.16.32.2 e.其它TRUNK端口设置 hexinjiaohuan0(config>#int f0/1 hexinjiaohuan0(config-if>#swit

34、chport mode hexinjiaohuan0(config-if>#switchport mode trunk hexinjiaohuan0(config-if>#switchport trunk allowed vlan all hexinjiaohuan0(config-if>#int f0/2 hexinjiaohuan0(config-if>#switchport mode trunk hexinjiaohuan0(config-if>#switchport trunk allowed vlan all hexinjiaohuan0(config-if>#int f

35、0/3 hexinjiaohuan0(config-if>#switchport mode trunk hexinjiaohuan0(config-if>#switchport trunk allowed vlan all hexinjiaohuan0(config-if>#int f0/4 hexinjiaohuan0(config-if>#switchport mode trunk hexinjiaohuan0(config-if>#switchport trunk allowed vlan all hexinjiaohuan0(config>#int f0/5 hexinj

36、iaohuan0(config-if>#switchport mode hexinjiaohuan0(config-if>#switchport mode trunk hexinjiaohuan0(config-if>#switchport trunk allowed vlan all hexinjiaohuan0(config-if>#int f0/6 hexinjiaohuan0(config-if>#switchport mode trunk hexinjiaohuan0(config-if>#switchport trunk allowed vlan all hexinji

37、aohuan0(config-if>#int f0/7 hexinjiaohuan0(config-if>#switchport mode trunk hexinjiaohuan0(config-if>#switchport trunk allowed vlan all hexinjiaohuan0(config-if>#int f0/8 hexinjiaohuan0(config-if>#switchport mode trunk hexinjiaohuan0(config-if>#switchport trunk allowed vlan all 2）接入层交换全部创立VT

38、P CLIENT端，上行连接到核心交换机的接口启动TRUNK模式。以下以一台交换机为例介绍配置方法，如下： a.创立VTP CLIENT端 Switch>en Switch#conf t Switch(config>#hostn suhe1qu suhe1qu(config>#vtp mode client suhe1qu(config>#vtp domain ahip suhe1qu(config>#vtp password ccna b.启动接口TRUNK模式 suhe1qu(config>#int f0/1 suhe1qu(config-if>#switchpo

39、rt mode trunk suhe1qu(config-if>#switchport trunk allowed vlan all c.接入层的交换机接口直接连接到终端PC或非网管交换机上，那么此接口将设置为ACCESS模式，并加入相应VLAN，如： Switch(config-if>#int f0/24 Switch(config-if>#switchport mode access Switch(config-if>#switchport access vlan 60 Switch(config-if>#no shut Switch(config-if>#int f0

40、/23 Switch(config-if>#switchport mode access Switch(config-if>#switchport access vlan 10 Switch(config-if>#no shut Switch(config-if>#end 4）. 具体VLAN规划如下： 任务五：WLAN、ACL、NAT和VPN设计 1）.无线AP相关设置<以一个AP设置为例，其它AP省略） a.无线AP的IP地址设置，建议从DHCP SERVER得到相应的IP地址，也能够静态设置

41、静态设置时注意要是AP所属的VLAN规划的网段内的IP,切不能重复。此处以静态设置地址为例，本AP属于VLAN30，设置如下图： b．设置AP的内网地址及开启DHCP作为AP的LAN口连接终端和无线接入终端分发IP地址.如下图: c.测试AP连接的终端是否能够正确获得IP等相关配置信息 2）.ACL相关配置 a.三层交换机上要求VLAN的互通满足以下要求： 财务VLAN不允许其它VLAN访

42、问； hexinjiaohuan0#conf t hexinjiaohuan0(config>#access-list 100 deny ip 172.16.16.0 0.0.3.255 172.16.4.0 0.0.3.255 hexinjiaohuan0(config>#access-list 100 deny ip 172.16.16.0 0.0.3.255 172.16.8.0 0.0.3.255 hexinjiaohuan0(config>#access-list 100 deny ip 172.16.16.0 0.0.3.255 172.16.12.0 0.0.3.255

43、 hexinjiaohuan0(config>#access-list 100 deny ip 172.16.16.0 0.0.3.255 172.16.20.0 0.0.3.255 hexinjiaohuan0(config>#access-list 100 deny ip 172.16.16.0 0.0.3.255 172.16.24.0 0.0.3.255 hexinjiaohuan0(config>#access-list 100 permit ip any any. hexinjiaohuan0(config>#int vlan 40 hexinjiaohuan0(conf

44、ig-if>#ip access-group 100 in hexinjiaohuan0(config-if>#end 行政办公VLAN能够访问教案及其它VLAN，但其它VLAN不能访问办公VLAN；<此部分内容在模拟软件上无法实现） 方法一：使用反向ACL实现： hexinjiaohuan0(config>#ip access-list extended invlan hexinjiaohuan0(config-ext-invlan>#permit ip any any reflect kk hexinjiaohuan0(config>#ip access-list exte

45、nded outvlan hexinjiaohuan0(config-ext-invlan>#evaluate kk hexinjiaohuan0(config-ext-invlan>#deny ip any any hexinjiaohuan0(config># int vlan 10 hexinjiaohuan0(config-if># ip access-group invlan in hexinjiaohuan0(config-if>#ip access-group outvlan out 注：ip access-list extended invlan permit i

46、p any any reflect kk 这一段就是取了流量记录到kk里面，这其实就是缓存，动态更新，和防火墙的原理样 ip access-list extended outvlan evaluate kk deny ip any any 然后在这个acl里面只放行kk那个缓存所记录的流量 方法二： hexinjiaohuan0(config># ip access-list extended vlan10toanothervlan hexinjiaohuan0(config-ext-vlan10toanothervlan>#permit ip 172.16.8.0 0.0.3

47、255 172.16.4.0 0.0.3.255 established hexinjiaohuan0(config-ext-vlan10toanothervlan>#permit ip 172.16.12.0 0.0.3.255 172.16.4.0 0.0.3.255 established hexinjiaohuan0(config-ext-vlan10toanothervlan>#permit ip 172.16.16.0 0.0.3.255 172.16.4.0 0.0.3.255 established hexinjiaohuan0(config-ext-vlan10toa

48、nothervlan>#permit ip 172.16.20.0 0.0.3.255 172.16.4.0 0.0.3.255 established hexinjiaohuan0(config-ext-vlan10toanothervlan>#permit ip 172.16.24.0 0.0.3.255 172.16.4.0 0.0.3.255 established hexinjiaohuan0(config-ext-vlan10toanothervlan>#permit ip 172.16.28.0 0.0.3.255 172.16.4.0 0.0.3.255 establish

49、ed hexinjiaohuan0(config># int vlan 10 hexinjiaohuan0(config># ip access-group vlan10toanothervlan out 注：假如主机A在其它VLAN中，主机B在VLAN10，当B访问A时<经过IP协议），在端口VLAN10的入方向上都没有应用ACL，因此流量能够经过；然后从A需要返回给B一个流量，“permit ip 172.16.24.0 0.0.3.255 172.16.4.0 0.0.3.255 established”这条命令就是用来识别这个返回的流量的，因为是允许，因此能够经过，也就是说B能够

50、连接A。但如果是A主动发起一个连接请求，这个流量需要从VLAN10端口进入，而在VLAN10端口应用了访问控制列表，而且没有建立连接的缓存允许条目，因此这个流量不被允许经过，也就是说B不能够访问A。 其它VLAN间都可互通。 hexinjiaohuan0(config>#ip routing b．工作日每天8：00-17：00不允许学生VLAN访问外网，其它VLAN3无限制。<此部分模拟软件无法实现） jieru(config># time-range denytime jieru (config-time-range># periodic weekdays 8:00 to