【正文】 路由交換技術(shù)課程設(shè)計(jì)填充式實(shí)訓(xùn)報(bào)告實(shí)訓(xùn)項(xiàng)目內(nèi)容與目標(biāo) 本實(shí)訓(xùn)通過模擬一個真實(shí)的網(wǎng)絡(luò)系統(tǒng)集成工程，使學(xué)員加強(qiáng)對網(wǎng)絡(luò)技術(shù)、服務(wù)器技術(shù)和信息安全技術(shù)的理解，提高對網(wǎng)絡(luò)技術(shù)的實(shí)際應(yīng)用能力，建立對網(wǎng)絡(luò)系統(tǒng)集成工程的初步認(rèn)識。 完成本綜合實(shí)訓(xùn)，學(xué)員應(yīng)該能夠：1)熟練掌握路由器、交換機(jī)的各種應(yīng)用配置命令和使用環(huán)境2)掌握網(wǎng)絡(luò)管理協(xié)議，監(jiān)控網(wǎng)絡(luò)流量的各種技術(shù)3)了解企業(yè)網(wǎng)絡(luò)設(shè)計(jì)、建設(shè)流程4)掌握大、中、小企業(yè)網(wǎng)絡(luò)的各種技術(shù)5)獨(dú)立部署中小企業(yè)網(wǎng)絡(luò)項(xiàng)目背景及網(wǎng)絡(luò)拓?fù)?．項(xiàng)目描述某大型企業(yè)，企業(yè)總部和企業(yè)分支通過ISP互連，隨著業(yè)務(wù)的發(fā)展，公司原有網(wǎng)絡(luò)已經(jīng)不能滿足高效企業(yè)管理的需要，現(xiàn)對企業(yè)網(wǎng)絡(luò)進(jìn)行整體的重新規(guī)劃與配置，確保網(wǎng)絡(luò)安全更加安全，同時增加無線WLAN、語音等功能。2．網(wǎng)絡(luò)拓?fù)湟?guī)劃網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)規(guī)劃如圖1所示。 實(shí)訓(xùn)項(xiàng)目工程建設(shè)需求及內(nèi)容描述本次公司的網(wǎng)絡(luò)構(gòu)建包括企業(yè)總部和企業(yè)分支兩個部分，中間部分為互聯(lián)網(wǎng)ISP部分，即三個模塊13都要進(jìn)行設(shè)計(jì)與配置?？偣镜木W(wǎng)絡(luò)出口使用防火墻、路由器連接到ISP，通過配置防火墻來實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問Internet以及保護(hù)內(nèi)網(wǎng)的安全。總公司和分公司之間的辦公用戶通過VPN建立的隧道相互通信，有效的保證了數(shù)據(jù)傳輸?shù)陌踩?。本工程?xiàng)目主要建設(shè)需求及主要內(nèi)容描述如下（此處僅為功能性描述，具體見后面的要求）：1. 模塊3：互聯(lián)網(wǎng)ISP需求利用提供的R3路由器及Server3服務(wù)器模擬ISP互聯(lián)網(wǎng)部分設(shè)備。（1） R3：R3路由器要進(jìn)行基本連接配置，其模擬的是公網(wǎng)上的路由器，要遵循公網(wǎng)上路由器的原則配置路由，進(jìn)行最小化的連通性配置。（2） Server3：需要保證全部網(wǎng)絡(luò)中的主機(jī)可以訪問Server3。2. 模塊2：企業(yè)總部局域網(wǎng)安裝及企業(yè)總部互聯(lián)網(wǎng)接入的配置需求（3） R1：通過對R1的配置實(shí)現(xiàn)企業(yè)總部網(wǎng)絡(luò)可以接入互聯(lián)網(wǎng)，并與企業(yè)分支的路由器R2建立VPN連接。保證企業(yè)總部內(nèi)網(wǎng)的PC可以訪問互聯(lián)網(wǎng)、企業(yè)總部與分支能撥打VOIP電話，并且要求企業(yè)總部與企業(yè)分支內(nèi)部之間的語音與數(shù)據(jù)流都通過VPN在公網(wǎng)上傳輸。在R1上配置回環(huán)接口、靜態(tài)路由、NAT、VPN、VOIP等功能。（4） Telephone1：通過以上配置可以實(shí)現(xiàn)企業(yè)總部與分支之間的VOIP通信，即Telephone1與Telephone2可以互相拔打語音電話。（5） UTM：配置UTM防火墻保護(hù)企業(yè)總部內(nèi)部網(wǎng)絡(luò)安全，包括流量控制、訪問策略等功能。并保護(hù)Server2的安全。（6） Server2：Server2是企業(yè)WEB、FTP服務(wù)器（7） S1：S1是企業(yè)總部內(nèi)部交換網(wǎng)絡(luò)的三層交換機(jī)，起到核心與匯聚層作用，在其上要配置相應(yīng)功能，為內(nèi)網(wǎng)中的PC動態(tài)分配IP地址等信息；同時對各部門劃分VLAN，且VLAN間經(jīng)三層交換可互相通信，并且要求把S1與UTM之間的企業(yè)內(nèi)部網(wǎng)絡(luò)主干流量復(fù)制發(fā)送到PC2上，以便于PC2能夠監(jiān)測主干流量中的全部協(xié)議數(shù)據(jù)；同時S1中要配置與SS3之間的聚合連接，以保證網(wǎng)絡(luò)的高速上聯(lián)與可靠性。為了讓所連接的PC能夠訪問外部網(wǎng)絡(luò)要配置相應(yīng)的靜態(tài)路由條目。（8） Server1：Server1為企業(yè)總部內(nèi)網(wǎng)的WEB、FTP、DNS、DHCP、Telnet與AD服務(wù)器。（9） SS3：企業(yè)總部內(nèi)的S2和S3交換機(jī)中配置VLAN、TRUNK、鏈路聚合等功能。（10） AP1：企業(yè)總部內(nèi)無線AP1安裝于會議室內(nèi)，AP1需要注冊到AC上，然后通過AC向其下發(fā)配置，最終實(shí)現(xiàn)無線客戶端通過AP1接入網(wǎng)時需通過無線加密認(rèn)證以保證非企業(yè)內(nèi)部或非授權(quán)的員工不能連接到企業(yè)網(wǎng)絡(luò)。（11） AC: AC作為企業(yè)總無線接入網(wǎng)的無線控制器，需對AP1完成注冊接入工作，同時完成針對AP1的SSID、無線加密認(rèn)證等配置下發(fā)，以及對無線AP和無線接入PC的IP地址分配（作為無線AP和無線PC的DHCP SERVER）工作。（12） PCPC2：PC2可以作為網(wǎng)絡(luò)配置與管理工作站，遠(yuǎn)程配置管理全部網(wǎng)絡(luò)設(shè)備及服務(wù)器。3. 模塊1：企業(yè)分支（分公司）內(nèi)部網(wǎng)絡(luò)及企業(yè)分支（分公司）互聯(lián)網(wǎng)接入的配置需求分公司網(wǎng)絡(luò)構(gòu)建（有線網(wǎng)絡(luò)）、安全規(guī)則部署：（13） R2：配置R2的NAT功能、回環(huán)接口。同時配置與企業(yè)總部的R1之間的VPN安全連接，并能為PC3動態(tài)分配地址。并且與企業(yè)總部內(nèi)部的語音與數(shù)據(jù)流都通過VPN在公網(wǎng)上傳輸（14） FAT無線AP2: 將FAT無線AP2設(shè)置為FAT模式，并連接到R2上，并要對其配置安全加密認(rèn)證以保證非企業(yè)內(nèi)部或非授權(quán)的員工不能連接到企業(yè)網(wǎng)絡(luò)。（15） PC3：在PC3上按要求完成測試任務(wù)。（16） Telephone2：通過以上配置可以實(shí)現(xiàn)企業(yè)分支與總部之間的VOIP通信，即Telephone2與Telephone1可以互相拔打語音電話。4. 其它說明：（17） 所有需要配置的路由項(xiàng)都用靜態(tài)路由，回指路由都要指明確的網(wǎng)段，向外部網(wǎng)絡(luò)指的路由使用默認(rèn)路由，下一跳為具體地址，不要指定為接口。公網(wǎng)R3根據(jù)公網(wǎng)實(shí)際原則指明相應(yīng)靜態(tài)路由。（18） 所有ACL定義中也要分條指明具體網(wǎng)段，不要進(jìn)行匯總。（19） 。（20） 總體設(shè)計(jì)上要便于企業(yè)總部網(wǎng)絡(luò)管理員對企業(yè)總部網(wǎng)絡(luò)的遠(yuǎn)程管理。相關(guān)設(shè)備及材料清單網(wǎng)絡(luò)相關(guān)設(shè)備采用H3C、華為等網(wǎng)絡(luò)公司相關(guān)產(chǎn)品，設(shè)備清單如表12所示。序號設(shè)備名稱設(shè)備數(shù)量廠商及參考型號1網(wǎng)絡(luò)配線端接裝置1套西安開元電子實(shí)業(yè)有限公司：KYPXZ01082路由器3臺H3C ICG3000或MSR3020（相同命令行）3路由器語音模塊2塊H3C RTSIC2FXSV2H34普通電話機(jī)2臺普通電話機(jī)5二層交換機(jī)2臺H3C S3100或H3C 3100 V2（相同命令行）6三層交換機(jī)1臺H3C S3610或H3C 3600 V2（相同命令行）7UTM防火墻1臺H3C SecPath U200SAC8無線控制器1臺H3C EWPWX3008POEPH39FIT/FAT AP2個H3C EWPWA2612AGN10無線網(wǎng)卡2個NETGEAR WG11111計(jì)算機(jī)6臺聯(lián)想品牌機(jī)12打印機(jī)1臺聯(lián)想LJ2600D13網(wǎng)絡(luò)水晶頭35個RJ45超五類、六類水晶頭14網(wǎng)絡(luò)雙絞線80米超五類、六類雙絞線15網(wǎng)絡(luò)模塊4個超五類RJ45非屏蔽網(wǎng)絡(luò)模塊，六類RJ45非屏蔽網(wǎng)絡(luò)模塊16透明網(wǎng)絡(luò)信息插座2套透明網(wǎng)絡(luò)信息插座底盒、面板、安裝螺絲17輔助材料若干線槽、線管、管卡、扎帶、螺絲等18打印紙100頁A419工具1套測線器、壓線鉗、打線鉗、十字螺絲刀等常用布線及測線工具實(shí)訓(xùn)過程 一 注意事項(xiàng)l 設(shè)備配置完畢后，保存最新的設(shè)備配置。路由器、交換機(jī)ap、ac等終端配置設(shè)備請按實(shí)訓(xùn)過程要求填寫實(shí)訓(xùn)報(bào)告，并將各設(shè)備配置文件導(dǎo)出上交；防火墻等通過web或是客戶端配置的設(shè)備請按題目要求提交相關(guān)截圖形成文檔，并將這些結(jié)果按要求打印上交打印稿和電子版。二 網(wǎng)絡(luò)設(shè)備初始化信息表21 網(wǎng)絡(luò)設(shè)備初始化信息表設(shè)備管理方式用戶名密碼管理接口出廠管理地址UTM防火墻webadminadming0/0口IP：console空空console無無線ACconsole空空console無AP1和AP2console空空console無路由器console空空console無交換機(jī)console空空console無 上述通過console進(jìn)行管理的設(shè)備，按默認(rèn)值進(jìn)行設(shè)置，把“超級終端”的連接速率“每秒位數(shù)”設(shè)置為“9600”，其它安默認(rèn)值進(jìn)行設(shè)置。三 網(wǎng)絡(luò)設(shè)備配置要求1．根據(jù)網(wǎng)絡(luò)中的實(shí)際需求，自制網(wǎng)絡(luò)中的設(shè)備及主機(jī)互相連接的雙絞線，保證網(wǎng)線在配線裝置上走線美觀并符合技術(shù)要求。2．根據(jù)下表對網(wǎng)絡(luò)設(shè)備進(jìn)行命名以及配置各接口IP地址。表22 網(wǎng)絡(luò)設(shè)備IP地址表設(shè)備設(shè)備名稱設(shè)備接口IP地址路由器R1G0/0G0/1Loopback 0R2G0/1G0/0Loopback 0R3E0/0E0/1E2/0UTM防火墻UTMG0/1G0/2G0/3三層交換機(jī)S1VLAN100VLAN3VLAN8VLAN9VLAN10VLAN20二層交換機(jī)S2VLAN100S3VLAN100PCPC1主機(jī)XP系統(tǒng)（主機(jī)名PC1）VLAN10：DHCPPC2主機(jī)XP系統(tǒng)無線網(wǎng)卡（主機(jī)名PC2）VLAN20：DHCP主機(jī)XP系統(tǒng)有線網(wǎng)卡（主機(jī)名PC2）VLAN3：PC3主機(jī)XP系統(tǒng)（主機(jī)名PC3）R2：DHCP服務(wù)器Server1主機(jī)XP系統(tǒng)（主機(jī)名PC4）虛擬機(jī)WIN2003（主機(jī)名Server1）. 虛擬機(jī)Linux（主機(jī)名RHlinux）. Server2主機(jī)XP系統(tǒng)（主機(jī)名PC5）虛擬機(jī)WIN2003（主機(jī)名Server2）Server3主機(jī)XP系統(tǒng)（主機(jī)名PC6）不設(shè)置IP地址虛擬機(jī)WIN2003（主機(jī)名Server3）無線ACACE1/0/1FIT APAP1FIT模式（無線業(yè)務(wù)VLAN）DHCPFAT APAP2FAT模式DHCP3．按照下表中的信息拓?fù)渲械亩丝谔?，在交換機(jī)SSS3上創(chuàng)建VLAN，并將端口加入到相應(yīng)的VLAN中。表23 交換機(jī)VLAN分配表設(shè)備VLANID端口S1VLAN10VLAN20VLAN3E1/0/E1/0/7VLAN8E1/0/8VLAN9VLAN100管理VLAN、接口E1/0/5屬于此VLANVLAN1E1/0/1E1/0/34為Trunk，并分別配置聚合S2VLAN10E1/0/15VLAN20E1/0/610VLAN100管理VLANVLAN1E1/0/1516為Trunk，并配置聚合S3VLAN10E1/0/610VLAN20E1/0/15VLAN8E1/0/11VLAN100管理VLANVLAN1E1/0/1516為Trunk，并配置聚合ACVLAN8AC及AP1管理VLANVLAN9無線業(yè)務(wù)VLAN，無線ESS接口為04．在S1交換機(jī)上配置DHCP功能為VLAN10和20分別分配IP地址，VLAN10的網(wǎng)絡(luò)IP地址是：，；VLAN20的網(wǎng)絡(luò)IP地址是：，、。5．總公司的園區(qū)內(nèi)對原有無線網(wǎng)絡(luò)進(jìn)行了改造，引入無線控制器AC與FIT AP方式設(shè)計(jì)無線網(wǎng)絡(luò)。其中PC2通過無線網(wǎng)卡接入到公司網(wǎng)絡(luò)中，要求使用的無線的SSID名稱為XXSXAP1（XX為學(xué)號），無線用戶通過AC上的DHCP SERVER獲得IP地址，用戶接入到無線網(wǎng)絡(luò)時數(shù)據(jù)加密方式為WEP，加密口令為0123456789。6．為了保證企業(yè)總部與分支之間的所有網(wǎng)段路由可達(dá)，配置相應(yīng)設(shè)備上的路由條目。所有需要配置的路由項(xiàng)的網(wǎng)絡(luò)都用靜態(tài)路由，回指路由都要指明確的網(wǎng)段，向外部網(wǎng)絡(luò)指的路由使用默認(rèn)路由，下一跳為具體地址，不要指定為接口。公網(wǎng)R3根據(jù)公網(wǎng)實(shí)際原則指明相應(yīng)靜態(tài)路由。7．在R2上配置DHCP功能為PC3動態(tài)分配IP、網(wǎng)關(guān)和DNS（；）地址。8．在R1和R2上配置NAT功能，保證其各自內(nèi)部網(wǎng)段訪問公網(wǎng)時通過NAT進(jìn)行訪問，而公司總部與分支之間私有地址通信時不進(jìn)行NAT轉(zhuǎn)換。并在R1上配置DNAT功能，讓內(nèi)外網(wǎng)中的PC可以訪問Server2上的Web頁面和FTP軟件資源。相關(guān)ACL（Number 3000,Name nat）定義中也要分條指明具體網(wǎng)段，不要進(jìn)行匯總。9．在R1與R2之間配置VPN（站點(diǎn)到站點(diǎn)的IPSec）功能，保證公司總部與分支之間其各自內(nèi)部所有私有網(wǎng)段互相訪問的數(shù)據(jù)流量與語音通過IPSec的VPN進(jìn)行加密，以保證其在公網(wǎng)部分的安全性。相關(guān)ACL（Number 3001，Name IPSec）定義中也要分條指明具體網(wǎng)段，不要進(jìn)行匯總。10．配置UTM各接口處于不同級別的信任區(qū)域，保證企業(yè)總部內(nèi)部網(wǎng)絡(luò)中的所有網(wǎng)段可以訪問外部網(wǎng)絡(luò)，外部網(wǎng)絡(luò)僅可以訪問Server2上的WEB、FTP資源及PING，不能發(fā)起對內(nèi)網(wǎng)的訪問。11. 安裝語音模塊，并將R1的PHONE0接口和R2 的PHONE0接口作為Telephone1和Telephone2的信號源，Telephone1電話號碼為81234567，Telephone2電話