网络工程实训报告模板

网络工程实训报告资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。实训报告课程:网络工程实训学生:冉成学院:计算机班级:网络1301学号:指导教师:童均组长:王钞任务分值完成情况任务1IP地址规划5任务2设备基本配置任务实施1计算机的IP配置和交换机配置4任务实施2路由器基本配置4任务实施3测试配置结果4任务3配置路由器相连的链路任务实施1配置PPP4任务实施2配置帧中继4任务4配置路由功能任务实施1配置RIP路由协议4任务实施2配置SW1和SW2到互联网的默认路由4任务实施3配置OSPF路由4任务5配置服务器任务实施1配置服务器SERVER14任务实施2配置服务器SERVER24任务6配置DHCP服务5任务7配置交换机的安全任务实施1配置链路聚合5任务实施2配置MSTP5任务实施3配置VRRP协议5任务实施4配置交换机的端口安全5任务实施5配置路由器和交换机的密码与SSH登录设置5任务实施6配置交换机的访问控制5任务8配置路由器的安全任务实施1配置网络地址转换5任务实施2配置路由器R1的访问控制5任务实施3配置IPSECVPN5任务实施4配置路由器R4的访问控制5教师评分小组成员组长评分王钞杨涛徐川沁周建文秦鹏权冉成付宏涛总分实训体会(不少于800字)学校的校园网已经成为重要的信息传递设施,其规模和应用水平已成为衡量学校教学与科研综合实力的一个重要标志。在实训校园网当前的实际情况和在充分调研的基础上,结合当前技术的发展方向和用户的实际需求,制订了学院校园校园网建设的整体设计方案。经过校园网的设计与建设,经过各种协议的链接与设备的选购,从而实现真正意义上的宽带多媒体网络,为师生提供教学、科研和综合信息服务。成为现代化办公的首要工具。我们进行了为期两周的整周实训,在这两周的整周实训中我学期到了很多的东西,也认识到了自己的很多的不足,在与同学和老师的交流中我认真学习,仔细的做实验,并在实验中成长学习知识。有时候我会有一些不懂的地方,在老师和同学的指导下,我克服了,很多的困难,在老师和同学的帮助下我顺利的完成了整周实训的课程。可是由于时间仓卒,不能做到尽善尽美,疏漏之处在所难免,如在整个系统的节能上并不能令人满意;同时由于在整体规划设计上的一些限制,从而使得整个实验的水平并没有达到很高的水平。并在某些方面的设计不当会增大整体的设计开销。又如:受开发条件和时间的限制,本方案布线方式操作简单。对未来升级方向以及新的需求描述仍不够具体,考虑不是十分慎密。这些都是需要完善的地方,该组网设计离实际还是有一定的距离,需要进行不断地补充和完善。总之我们都从中间学习到了很多计算机网络知识,加深了对OSI七层模型、TCP/IP模型的各层功能和设计思想的理解,掌握了一定的校园网规划组网的基本技术知识,在以后的学习或工作中会继续努力的。这回又重新学一下网络知识不但能够加深和巩固以前的知识,还能够加强动手能力,真的很好。每次实习都让我们有所得,有所感悟,这次也一样,学到了以上的那些技术外,还是有几点心得体会的(1)要学会去查找资料,一般老师给的资料都是很概括的,只是看那些资料还不能让我们完全学会,就像这次实习,老师给的指导书都只是相当于题目而已,只是起到了提示作用,如果只看那些,我根本就不会做。这时候就需要我们自己去查找资料,老师也强调我们自己去查资料。我们能够网上查或者去图书馆查有关方面的书,这时候我们就会觉得电脑和图书馆很有用了。平时我们不能总是用电脑玩游戏或者聊天之类的,应该把它用到真正需要的地方去,比如查找资料。(2)要学会自学,老师不可能什么东西都告诉我们,这已经不是高中了,在大学里面最重要的就是会自学,没有自学能力的人或者自学能力不强的人,是很难学好大学的课程的,而且以后出去工作了,也需要我们有很强的自学能力,不断地学习才能跟得上时代的步伐。这次发现自己的自学能力还是很弱的,今后还得加强,要不然就很难学会了。(3)知识点要深入学习,我们不能总是知道大概的就行了,没有深入地学习就不能真正理解,不能真正理解当然就不能完全把握和运用了。这次实习,虽然基本的操作步骤都懂了,可是更深入的使用和操作就不太懂了。而且我们只是知道如何操作,但为什么要这样操作有时候我们就不懂了,当老师考核的时候,问为什么我们要这样做,而不那么做,我们经常不知道如何回答,而问到一些深入的问题就更加不懂了。这不得不反省我们的学习了,我们如果真的想学习就应该努力地深入地去学习,不能总是一知半解啊。(4)要重视我们所做的学习或工作。学习没有重视就能学好的,虽然每次实习都去,可是我们很多人并不重视,只是随便做做就得了,最终当然不能做好了,也不能真正的学会。对学习工作能引起足够的重视,才让我们努力去做、去学习,才能不断去克服遇到的困难,最终才能做好工作和真正的学好知识。这次短暂的实习真的让我学到了很多网络知识,增强了动手操作能力,同时也看到自己的不足,今后我会努力改正不足,要学会去学习,学会主动去查资料,充分利用图书馆,增强自己的动手能力和自学能力,为以后出去工作打好基础。实训目标掌握交换机和路由器的基本配置掌握路由器的PPP和帧中继配置掌握服务器的基本服务(DNS、DHCP、WWW、FTP、EMAIL)配置掌握交换机的聚合、VRRP和MSTP技术掌握路由器的动态路由、路由重分布和VPN技术掌握VLAN划分技术掌握路由器和交换机的DHCP服务和DHCP中继配置掌握标准和扩展访问控制列表的定义和使用项目背景某企业是一家从事高科技产品研发、生产和销售的大型企业,总公司在北京,分公司在重庆,总公司和分公司经过网络互连,随着业务的发展,公司原有网络已经不能满足高效企业管理的需要,公司经常遭到来自互联网络的攻击或入侵,网络安全对生产和经营的影响也越来越明显。为了满足业务的需要,公司决定构建一个高速、稳定、安全的适应企业现代化办公需求的高性能网络。企业的网络构建包括总公司和分公司的两个部分。总公司局域网核心采用双交换机的构架,经过VRRP结合MSTP技术实现负载均衡和链路备份。两台核心交换机分别连接到核心路由器,核心路由器连经过专线连接到分公司的出口路由器。总公司的网络出口连接到Internet,经过配置路由器来实现内网用户访问Internet以及保护内网的安全。总公司和分公司之间的办公用户经过VPN建立的隧道相互通信,有效的保证了数据传输的安全性。服务器集中放置在网络中心机房,直接连接到核心交换机。项目设备表SEQ表10-\*ARABIC1项目设备表设备类型设备型号设备数量路由器RG-RSR20-184台二层交换机RG-S2328G2台三层交换机RG-S3760-242台计算机6台串行线3根双绞线14根配置线1根注:为了便于测试,要求每个VLAN连接一台计算机,每台计算机的名称如图1所示。实训拓扑图SEQ图10-\*ARABIC1组网工程综合项目拓扑图实训要求项目分组本项目采用分组方式进行,每5-8人为一组,每组学生经过相互讨论来共同完成项目任务,小组组长要对组内每个成员进行评价。每个小组完成实项目任务后,该组学生要对整个项目进行演讲,并回答相关问题,然后由其余各组组长和教师进行评价,得到该组学生整体成绩。最后老师根据学生的项目报告、组内评价和小组整体评价给每个学生评定整个项目成绩,学生分组名单如表2所示。表SEQ表10-\*ARABIC2学生分组名单组号第6组组长姓名王钞成员姓名王钞杨涛徐川沁周建文秦鹏权冉成付宏涛小组IP地址分配方案为了避免不同组的学生相互抄袭,教师可为每组学生分配不同的IP地址或修改不同部门的计算机数量,表3提供了不同部门计算机数量分配方案,供任课老师参考,本实验按照第8组计算机数量进行配置。表SEQ表10-\*ARABIC3IP地址分配方案方案编号1234部门名称计算机数量计算机数量计算机数量计算机数量北京总公司网络管理中心1881040科研办公室30503050业务办公室6010010060管理办公室20102020重庆分公司科研分支办公室10601050业务分支办公室2010010060方案编号5678部门名称计算机数量计算机数量计算机数量计算机数量北京总公司网络管理中心2810288科研办公室50502050业务办公室606060100管理办公室2081020重庆分公司科研分支办公室20102080业务分支办公室606030120小组配置计算机数量每个小组根据老师的要求,将计算机的数量填入表4。表SEQ表10-\*ARABIC4不同部门的计算机数量部门名称计算机数量部门名称计算机数量北京总公司网络管理中心10重庆分公司科研分支办公室10科研办公室50业务办公室60业务分支办公室60管理办公室8路由器配置要求按照表5的要求配置路由器R1、R2、R3和R4。表SEQ表10-\*ARABIC5路由器配置要求设备名称实现功能详细说明R1OSPF路由功能配置互联网上区域0的OSPF路由协议指定route-id为配置基于端口的验证,采用MD5验证方式将区域设置成stub区域RIP路由功能配置到总公司的RIP路由版本为第二版关闭自动汇总链路功能配置PPP协议与路由器R2实现验证,此路由器作为服务端,需要实现CHAP认证方式。认证时需要使用AAA方式,认证采用本地认证。地址转换配置NAT,实现总公司内部网络访问互联网,其使用的合法公网地址为-实现将内网服务器SERVER的资源发布到互联网上,其合法的公网地址是。安全功能管理员能够对外网进行任意访问普通用户在上班时只能浏览外网的网页和收发邮件外部用户只能访问内部服务器的WEB网站VPN功能配置IPSECVPN,实现重庆分公司的各个子网能够安全访问总公司的服务器群(VLAN100)采用隧道模式采用预共享密钥,密码为CISCO123456R3路由功能配置OSPF路由协议,指定route-id为配置基于端口的验证,采用MD5验证方式链路功能与路由器R1实现验证,此路由器作为服务端,需要实现先CHAP后PPP认证方式。认证时需要使用AAA方式,认证采用本地认证。配置帧中继协议,其DLCI号为204。R2链路功能配置帧中继交换机根据拓扑图所示指定DLCI号R4路由功能配置OSPF路由协议,指定route-id为配置基于端口的验证,采用MD5验证方式将区域设置成stub区域配置单臂路由DHCP服务为VLAN210和VLAN220分配IP地址链路功能配置PPP协议与路由器R2实现验证,此路由器作为客户端,需要实现先CHAP后PAP认证方式。认证时需要使用AAA方式,认证采用本地认证。配置帧中继协议,其DLCI号为402地址转换实现内部网络对互联网的访问,其使用的合法地址是路由器R4的S2/0端口的IP地址安全功能用户在上班时只能浏览外网的网页和收发邮件分公司的用户能够对总公司的服务器进行任意访问VPN功能配置IPSECVPN,实现重庆分公司的各个子网能够安全访问总公司的服务器群(VLAN100)采用隧道模式采用预共享密钥,密码为CISCO123456服务质量在PPP协议上配置报文压缩,实现RTP和TCP报文压缩对出端口s2/0的流量限制在300kbps,没有超额的流量允许发送,超额的流量丢弃。对入端口fa0/0的流量限制在2Mbps,没有超额的流量允许发送,超额的流量丢弃交换机配置要求按照表6的要求配置路交换机SW1、SW2、SW3和SW4。表SEQ表10-\*ARABIC6交换机配置要求表设备名称实现功能详细说明SW1路由功能配置RIP路由协议RIP路由协议是第二版取消RIP的自动汇总功能配置到互联网的默认路由优化功能划分VLAN配置MSTP,创立实例10和实例20,将VLAN100和VLAN110加入到实例10、VLAN120和VLAN130加入到实例20,将此交换设置为实例10的根,是实例20的生成树备份根。DHCP功能配置DHCP服务,为VLAN110动态分配IP地址配置DHCP中继,使VLAN120从SW2获取IP地址配置DHCP中继,使VLAN130从SERVER1获取IP地址可靠性能配置VRRP协议:创立2个VRRP组,分别为group10和group20,实现SW1为VLAN100和VLAN110活跃路由器,VLAN130的备份路由器。配置链路聚合:将Fa0/3-4两端口配置为链路聚合,并实现基于源和目标MAC地址的负载均衡方式。安全功能只允许VLAN110和VLAN120的用户在工作日(周一~周五)的上班时间(9:00~18:00)访问内部WEBSERVER服务器,其它时间不允许访问。不允许VLAN110和VLAN120的用户相互访问,其它不受限制。在所有的接入端口上配置portfast。网络管理配置SSHServer,允许经过SSH远程管理设备,并使用AAA本地验证。SW2路由功能配置RIP路由协议RIP路由协议是第二版取消RIP的自动汇总功能配置到互联网的默认路由优化功能划分VLAN配置MSTP,创立实例10和实例20,将VLAN100和VLAN110加入到实例10、VLAN120和VLAN130加入到实例20,将此交换设置为实例20的根,是实例10的生成树备份根。DHCP功能配置DHCP服务,为VLAN120动态分配IP地址配置DHCP中继,使VLAN110从SW1获取IP地址配置DHCP中继,使VLAN130从SERVER1获取IP地址可靠性能(1)配置VRRP协议:创立2个VRRP组,分别为group10和group20,实现SW2为VLAN130的活跃路由器,VLAN110和VLAN120的备份路由器。配置链路聚合:将Fa0/1-2两端口配置为链路聚合,并实现基于源和目标MAC地址的负载均衡方式。安全功能不允许VLAN120和VLAN130的用户在工作日(周一~周五)的上班时间(9:00~18:00)访问互联网,其它时间允许访问。不允许VLAN110和VLAN120的用户相互访问,其它不受限制。SW3基本功能配置VLAN。将端口Fa0/1-5加入到VLAN110将端口F0/6-10加入到VLAN120将端口Fa0/8-20加入到VLAN130。优化功能配置MSTP,创立实例10和实例20,将VLAN110和VLAN120加入到实例10、VLAN130加入到实例20。配置BPDUFilter、BPDUGuard安全功能在Fa0/1-5上配置端口安全,将IP地址和MAC地址进行绑定。配置端口安全,实现第5个端口只允许1个主机访问,违规关闭端口。在所有的接入端口上配置portfast。关闭未用端口SW4基本功能将端口f0/1-10划分到VLAN210将端口f0/2-20划分到VLAN220关闭未用端口服务器配置要求按照表7的要求配置服务器SERVER1和SERVER2。表SEQ表10-\*ARABIC7服务器配置要求表设备名称实现功能详细说明SERVER1DNS服务提供内网服务器的域名解析和对无法解析的外网域名转发给SERVER2解析DHCP服务为VLAN130动态分配IP地址FTP服务提供公司的文件下载WWW服务提供公司内部网站SERVER2EMAIL服务提供邮件服务功能DNS服务提供外网的域名(服务器本身和邮件域名)解析将域名委派给服务器SERVER1解析FTP服务提供外网文件下载WWW服务提供外网网站项目分析综合项目涉及的知识和要求比较复杂,需要对实验要求进行认真分析,按照先后顺序对实验设备进行配置和测试,具体分析如下。根据实验拓扑连接网络,对北京总公司和重庆分公司按照由多到少的原则进行子网划分,然后配置交换机,将不同部门的计算机接入到不同的VLAN。配置计算机、交换机和路由器的IP地址,并配置路由器R1、R2和R3相连的链路,保证设备直接相连的线路能够正常通信。配置路由器和三层交换机的RIP或OSPF路由协议,让设备相互学习路由,保证北京总公司、重庆分公司和互联网三个网络内部能够相互访问。配置服务器SERVER1和SERVER2的DNS、DHCP、EMAIL、FTP、WWW和邮件服务。配置交换机的的链路聚合、MSTP、VRRP,实现交换机的负载均衡,让不同VLAN的信息经过不同交换机进行转发。配置交换机的端口安全功能,关闭交换机未用端口,让交换机的端口与MAC地址、IP地址绑定,防止用户非法接入,设置交换机或路由器的密码和SSH功能。配置交换机的访问控制功能,使不同VLAN(管理VLAN除外)之间相互隔离,普通VLAN只能访问服务器SERVER1的DNS、FTP和WEB服务。配置路由器的地址转换和访问控制实现公司内部的计算机能够访问互联网的WWW、DNS和EMAIL服务,互联网用户能够访问服务器SERVER1;配置路由器的IPSECVPN功能实现重庆分公司能够访问北京总公司服务器SERVER1。 实训实施任务1IP地址规划重庆分公司子网划分重庆子公司网络地址为/24,主机部分有8位。重庆子公司的两个子网分别为VLAN210和VLAN220,VLAN210需要60个IP地址,VLAN220需要10个IP地址。根据子网划分公式2^k-2≥n(其中K为主机位数,n为子网最大IP数量),计算得出VLAN210子网主机位数为6,VLAN220子网主机位数也为6。将/24用2位来划分子网,划分的两个子网分别为/26和4/26。划分结果如表1所示。表1分公司子网划分表编号网络地址主机范围分配部门或VLAN1/26/26--2/26Vlan21024/265/26--26/26Vlan220按照由大到小分配原则,应将子网/26分配给vlan210,将4/26分配给vlan220根据项目要求R4的IP地址分配如表9所示。表SEQ表10-\*ARABIC9路由器R4的子接口IP表设备端口IPR4F0/1.2102/26F0/1.22026/26北京总公司子网划分注:按照重庆分公司的子网划分方法对北京总部进行划分,写出详细划分步骤首先满足需要IP地址最多的网络确定需要用多少位来划分子网根据需要IP地址的数量需要用到变长子网掩码确定每一个网络的可用IP地址排除网络地址和广播地址网络管理中心10台计算机IP为:44/28--58/28科研办公室50台计算机IP为:4/26--26/26业务办公室60台计算机IP为:/26--2/26管理办公室8台计算机IP为:76/28—90/28北京总公司的IP地址分配,如表10所示。表SEQ表10-\*ARABIC10北京总公司路由交换设备的IP地址分配表设备端口IPSW1VLAN10038/28VLAN11022/27VLAN12092/26VLAN13026/25F0/441/30SW2VLAN11021/27VLAN12089/26VLAN13025/25F0/445/30R1F0/042/30F0/146/30计算机的IP地址分配根据项目要求,连接各VLAN的计算机的IP地址是子网的最后一个IP地址,其子网掩码是子网的第一个IP地址,计算机的IP地址分配如表11所示。表SEQ表10-\*ARABIC11北京总公司计算机的IP地址分配表设备名称IP地址子网掩码默认网关SERVER12540192.168．1.238PC1932422PC22992192.168.1．190PC32826PC42826PC5192.168．2.1292854任务2设备基本配置任务实施1计算机的IP配置和交换机配置按表所示对计算机的IP地址进行配置。配置交换机的名称; 配置交换机的VLAN的名称和IP地址;为端口指定VLAN; 配置交换机端口的IP地址。配置SW1为交换机命名enconfthoSW1启用生成树协议Spanning-tree创立VLAN100、VLAN110、VLAN120和VLAN130,并按拓扑图为VLAN命名。!为网络管理中心创立vlan,编号为100,名称为WLGLZXvlan100nameWLGLZXvlan110nameGLBGSvlan120nameKYBGSname130nameYWBGS将VLAN加入到相应端口。intrangef0/1switchportmodeaccessswitchportaccessvlan100配置中继线端口。intrangef0/3-5switchportmodetrunk为VLAN配置管理地址。intvlan100ipadd3840noshutdownintvlan110ipadd2124noshutdownintvlan120ipadd192.168.18992noshutdowmintvlan130ipadd2528noshutdown配置交换机F0/2端口的IP地址intf0/2noswitchportipadd4152noshutdown查看配置结果是否正确查看VLAN信息查看端口IP地址和状态配置SW2为交换机命名enconfthoSW2启用生成树协议Spanning-tree创立VLAN110、VLAN120和VLAN130,并按拓扑图为VLAN命名。vlan110nameGLBGSvlan120nameKYBGSname130nameYWBGS配置中继线端口。intrangef0/3-5switchportmodetrunk为VLAN配置管理地址。intvlan110ipadd2024noshutdownintvlan120ipadd192.168.116892noshutdownintvlan130ipadd6828noshutdown配置交换机F0/2端口的IP地址intf0/2noswitchportipadd4552noshutdown查看配置结果是否正确查看VLAN信息查看端口配置及状态配置SW3为交换机命名enconfthoSW3启用生成树协议Spanning-tree创立VLAN110、VLAN120和VLAN130,并按拓扑图为VLAN命名。vlan110nameGLBGSvlan120nameKYBGSname130nameYWBGS将VLAN加入到相应端口。intrangef0/1-5switchportmodeaccessswitchportaccessvlan110intrangef0/6-10switchportmodeaccessswitchportaccessvlan120intrangef0/8-20switchportmodeaccessswitchportaccessvlan130配置中继线端口。intrangef0/23-24switchportmodetrunk查看VLAN配置结果检查交换机SW1-SW3连线和配置是否正确观察计算机是否能够ping通交换机的IP地址配置SW4为交换机命名enconfthoSW4创立VLAN210和VLAN220,并按拓扑图为VLAN命名。vlan210nameKYFZBGSvlan220nameYWFZBGS将VLAN加入到相应端口。intrangef0/1-10switchportmodeaccessswitchportaccessvlan210intrangef0/8-20switchportmodeaccessswitchportaccessvlan220配置中继线端口。intrangef0/24switchportmodetrunk查看VLAN配置结果、任务实施2路由器基本配置配置路由器的名称;配置路由器的端口IP地址配置R1为路由器命名enconfthor1配置F0/0端口的IP地址,启动该端口intf0/0ipadd4252noshutdown配置F0/1端口的IP地址,启动该端口ints0/1ipadd4652noshut配置S4/0端口的IP地址,启动该端口ints4/0ipadd52noshut配置S3/0端口的IP地址,启动该端口ints3/0ipadd48noshut查看配置结果配置R3为路由器命名enconfthor3配置S4/0端口的IP地址,启动该端口intf4/0ipadd48noshutdown配置S3/0端口的IP地址,启动该端口ints3/0ipadd52noshut配置F0/0端口的IP地址,启动该端口ints0/0ipadd52noshut配置F0/1端口的IP地址,启动该端口ints0/1ipaddnoshut查看配置结果配置R4为路由器命名enconfthor4配置F0/0端口的IP地址,启动该端口intf0/0ipadd52noshutdown启动F0/1端口f0/1noshutdown配置F0/1.210子端口的IP地址intf0/1.210encapsulationdot1q210ipadd2628配置F0/1.220子端口的IP地址intf0/1.220encapsulationdot1q220ipadd5428查看配置结果任务实施3测试配置结果测试计算机能够PING通它所在VLAN的IP地址;测试交换机和路由器相互连接的端口能够正常通信。测试SW1SERVER1能够ping通VLAN100的管理地址PC1能够ping通VLAN110的管理地址PC2能够ping通VLAN120的管理地址PC3能够ping通VLAN130的管理地址测试SW2PC1能够ping通VLAN110的管理地址PC2能够ping通VLAN120的管理地址PC3能够ping通VLAN130的管理地址测试SW4和R4PC4能够ping通R4的F0/1.210端口的IP地址PC5能够ping通R4的F0/1.220端口的IP地址PC4能够ping通PC5测试R1和R3R1能够ping通SW1和SW2的F0/2端口地址R1能够ping通R3的S4/0端口地址测试R3和R4R3能够ping通R4的F0/0端口地址任务3配置路由器相连的链路任务实施1配置PPP将R1R3直接相连的链路采用PPP封装,并使用CHAP认证保证链路的安全性,R使R1能够PIN通与R3相连的端口IP地址。配置R1在端口S3/0启用PPP封装ints3/0encapsulationppp配置CHAP认证方式ints3/0pppauthenticationchap配置对方的用户名和密码usernameR3password123456测试R1与R3的连通性R1与R3之间无法通信配置R3在端口S4/0启用PPP封装ints4/0encapsulationppp配置CHAP认证方式pppauthenticationchap配置对方的用户名和密码,注意两端的密码要保持一致usernameR1password123456测试R1与R3的连通性R1能够ping通R3的S4/0端口IP地址查看R3的S4/0端口信息任务实施2配置帧中继将R1R2R3链路采用帧中继封装,使R1能够PIN通与R3相连的端口IP地址。配置R1在端口S4/0启用帧中继封装ints4/0encapsulationframe-relay在端口S4/0实现IP与DLCI映射frame-relaymapip103broadcastframe-relaylmi-rypecisco配置帧中继交换机R2为路由器命名enconfthor2启用帧中继交换机的功能,让路由器为帧中继交换机frame-relayswitching在端口实现DLCI之间的映射配置端口S4/0ints4/0encapsulationframe-relayframe-relayintf-typedceframe-relaylmi-typeciscoframe-relayrouter103ints3/0301配置端口S3/0ints3/0encapsulationframe-relayframe-relayintf-typedceframe-relaylmi-typeciscoframe-relayrouter301ints3/0103配置R3在端口S3/0启用帧中继封装ints3/0encapsulationframe-relay在端口S3/0实现IP与DLCI映射frame-relaymapip301broadcastframe-relaylmi-rypecisco查看R1的帧中继状态查看帧中继的映射查看端口查看R2的帧中继状态查看帧中继的路由查看帧中继的虚电路查看帧中继的本地管理接口测试R3和R1的连通性R3能否PING通任务4配置路由功能任务实施1配置RIP路由协议配置SW1、SW2和R1之间的RIP路由协议,协议版本为2,取消自动汇总,使SW1、SW2和R1相互学习到北京总公司的内部路由,使总公司的所有计算机、交换机和路由器R1直连端口之间能够相互通信。配置SW1启用路由功能iprouting配置RIP路由协议routerripversion2networknoauto-summary配置SW2启用路由功能iprouting配置RIP路由协议iproutingrouterripversion2networknoauto-summary配置R1的RIP路由协议routerripversion2networknoauto-summmary查看的路由查看R1的路由协议查看R1的路由查看SW1的路由查看SW2的路由任务实施2配置SW1和SW2到互联网的默认路由配置SW1和SW2到互联网的默认路由,使北京总公司的计算机能够访问R1连接互联网的两端口。配置SW1的默认路由iprouter42配置SW2的默认路由iprouter46查看路由查看SW1的路由查看SW2的路由任务实施3配置OSPF路由配置R1、R3和R4之间的OSPF路由,使它们能够学习到所有互联网的网络,能够进行相互通信。配置R1的OSPF路由routerospf1networkarea0networkarea0router-idexitints4/0ipospfnetworkbroadcast配置R3的OSPF路由routerospf1networkarea0networkarea0network55area1networkarea1router-idexitints3/0ipospfnetworkbroadcastend配置R4的OSPF路由routerospf1networkarea1router-idend查看配置结果查看R1的ospf路由协议查看R1的OSPF路由 查看R4的OSPF路由任务5配置服务器任务实施1配置服务器SERVER1配置DNS服务 提供内网服务器的域名解析.com和,配置如图2所示。图SEQ图10-\*ARABIC2配置公司DNS服务器在SERVER1的属性窗口,选择”转发器”标签,添加转发器””,使SERVER1无法解析的域名转发到SERVER2进行解析,如图3所示。图SEQ图10-\*ARABIC3设置DNS转发器测试DNS配置在命令窗口输入nslookup命令对域名进行解析,结果如图4所示。图SEQ图10-\*ARABIC4测试DNS配置配置WWW服务配置www服务,输入公司服务器网址,能够正常访问公司的网站,如图5所示。图SEQ图10-\*ARABIC5访问公司WEB服务配置FTP服务配置FTP服务,输入公司文件服务器地址ftp://.com,能够正常访问公司的文件服务器,如图6所示。图SEQ图10-\*ARABIC6访问公司文件服务DHCP服务配置DHCP服务,为VLAN130动态分配IP地址,其网络地址为/25,分配的IP地址如图7所示。图SEQ图10-\*ARABIC7配置公司DHCP服务器DHCP作用域包含的默认网关和DNS服务器如图8所示。图SEQ图10-\*ARABIC8DHCP服务器作用域选项配置任务实施2配置服务器SERVER2配置EMAIL服务安装POP3邮件服务器,在邮件服务器中创立域””,在域中两个邮箱,如图9所示。图SEQ图10-\*ARABIC9配置POP3邮件服务器配置DNS服务在DNS中创立域””,在域中添加主机WWW、FTP、EMAIL、POP3和SMTP,为域添加邮件交换器,如图10所示。图SEQ图10-\*ARABIC10配置互联网的DNS区域在DNS中创立域””,在域中添加主机WWW,使互联网能够访问服务器SERVER1,如图11所示。图SEQ图10-\*ARABIC11配置互联网的DNS区域测试配置结果如图12所示。图SEQ图10-\*ARABIC12测试互联网的DNS设置配置FTP服务配置www服务,输入互联网服务器SERVER2网址ftp://.com,能够正常访问互联网的网站,如图13所示。图SEQ图10-\*ARABIC13测试互联网的FTP服务配置WWW服务 配置www服务,输入服务器SERVER2网址,能够正常访问互联网的网站,如图14所示。图SEQ图10-\*ARABIC14测试互联网的WEB服务任务6配置DHCP服务让SW1作为VLAN110的DHCP服务器,为VLAN110动态分配IP地址;让SW2作为VLAN120的DHCP服务器,为VLAN120动态分配IP地址;让SERVER1作为VLAN130的DHCP服务器;让SW1同时担当DHCP中继服务器,实现VLAN120和VLAN130的中继;让SW2同时担当DHCP中继服务器,实现VLAN110和VLAN130的中继。让路由器R4作为VLAN210和VLAN220的DHCP服务器,为VLAN210和VLAN220动态分配IP地址。配置SW1的DHCP服务启用DHCP服务servicedhcp设置DHCP不包含的地址ipdhcpexclued-add2022建立DHCP地址池p110ipdhcppoolnetwork9224default-router22dns-server25让SW1作为VLAN120的DHCP中继器,从SW1为VLAN110动态分配IP地址。interfacevlan120iphelper-add88让SW1作为VLAN130的DHCP中继器,从SERVERR1为VLAN130动态分配IP地址。interfacevlan130iphelper-add25配置SW2的DHCP服务启用DHCP服务servicedhcp设置DHCP不包含的地址ipdhcpexcluded-add8890建立DHCP地址池p120ipdhcppoolp120network2892default-router90dns-server25让SW2作为VLAN110的DHCP中继器,从SW1为VLAN110动态分配IP地址。interfacevlan110iphelper-add21让SW2作为VLAN130的DHCP中继器,从SERVERR1为VLAN130动态分配IP地址。interfacevlan130iphelper-add25配置R4的DHCP服务启用DHCP服务servicedhcp建立DHCP地址池p210ipdhcppoolp210network28dns-serverdefault-router26建立DHCP地址池p210ipdhcppoolp220network2828dns-serverdefault-router54测试DHCP服务将PC1的IP地址设置为动态地址分配,如图15所示。图SEQ图10-\*ARABIC15设置PC1自动获取IP地址查看PC1获得的IP地址,如图16所示。图SEQ图10-\*ARABIC16查看PC1自动获取的IP地址查看路由器R1分配给PC1的地址SW1#showipdhcpbindingIPaddressClient-Identifier/LeaseexpirationTypeHardwareaddress0140.6186.f368.ab000days23hours58minsAutomatic将PC2的IP地址设置为动态地址分配,然后查看PC2获得的IP地址,如图`7所示。图SEQ图10-\*ARABIC17查看PC2自动获取的IP地址查看交换机SW1分配给PC2的地址SW2#showipdhcpbindingIPaddressClient-Identifier/LeaseexpirationTypeHardwareaddress290140.6186.f368.ab000days23hours59minsAutomatic任务7配置交换机的安全任务实施1配置链路聚合链路聚合是将交换机的多个低带宽端口捆绑成一条高带宽链路,能够实现链路负载平衡,避免链路出现拥塞现象。本项目将交换机SW1和SW2相连的两个端口F0/4和F0/5聚合在一起。在交换机SW1上将Fa0/3-4端口配置为链路聚合interfacerangefa0/3-4port-group1interfaceagg1Switchportmodetrunk在交换机SW2上将Fa0/3-4端口配置为链路聚合interfacerangefa0/3-4port-group1interfaceagg1Switchportmodetrunk查看SW1的VLAN信息查看聚合端口的状态查看聚合端口的汇总信息任务实施2配置MSTP负载均衡是提高网络性能的重要技术,多实例生成树协议MSTP提出了在不改变网络交换基本方式的前提下,在不同的虚拟局域网VLAN中采用不同的生成树拓扑进行通信,经过控制各VLAN使用的生成树拓扑来达到选路的目的,为利用冗余链路实现负载均衡提供了条件。配置SW1的MSTP创立实例10和实例20,将VLAN100和VLAN110加入到实例10、VLAN120和VLAN130加入到实例20,将此交换设置为实例10的根,是实例20的生成树备份根。spanning-treemodemstpspanning-treemstconfigurationinstance10vlan100,110instance20vlan120,130nameregion1revision1spanning-treemst10priority4096spanning-treemst20priority8192配置SW2的MSTP创立实例10和实例20,将VLAN100和VLAN110加入到实例10、VLAN120和VLAN130加入到实例20,将此交换设置为实例20的根,是实例10的生成树备份根。spanning-treemodemstpspanning-treemstconfigurationinstance10vlan100,110instance20vlan120,130nameregion1revision1spanning-treemst10priority8192spanning-treemst20priority4096配置SW3的MSTP创立实例10和实例20,将VLAN110和VLAN120加入到实例10、VLAN130加入到实例20。spanning-treemodemstpspanning-treemstconfigurationinstance10vlan100,110instance20vlan120,130nameregion1revision1检查配置结果,看交换机SW1和SW2的哪些端口被阻塞查看SW1的多生成树信息查看SW2的多生成树信息查看SW3的多生成树信息根据生成树的信息可得到生成树实例10和20的端口状态,如图18所示。图SEQ图10-\*ARABIC18生成树实例端口状态图验证配置观察PC1到达的路径,如图19所示。图SEQ图10-\*ARABIC19PC1到达的路径观察PC2到达的路径,如图20所示。图SEQ图10-\*ARABIC20PC2到达的路径观察有何区别,分析为什么不同。任务实施3配置VRRP协议配置VRRP,让VLAN110计算机的信息默认传送到交换机SW1,让VLAN120和VLAN130计算机的信息默认传送到交换机SW2,实现流量的负载均衡,当某一交换机或线路出现故障,另一交换机将立即接替故障交换机的工作,让信息转发到正常交换机,保证网络不会中断。配置SW1的VRRP组创立2个VRRP组,分别为group10和group20,实现SW1为VLAN110活跃路由器,VLAN120和VLAN130的备份路由器。interfacevlan110vrrp10ip22vrrp10priority200interfacevlan120vrrp20ip90vrrp20priority100interfacevlan130vrrp20ip26vrrp20priority100配置SW2的VRRP组创立2个VRRP组,分别为group10和group20,实现SW2为VLAN120和VLAN130活跃路由器,VLAN110的备份路由器。interfacevlan110vrrp10ip22vrrp10priority100interfacevlan120vrrp20ip90vrrp20priority200interfacevlan130vrrp20ip26vrrp20priority200查看配置结果查看SW1的VRRP查看SW2的VRRP让计算机PC1连续PING默认网关,然后拔掉SW3连接SW1的网线,观察PING是否会中断,PING的结果如图21所示。图SEQ图10-\*ARABIC21PC1PING默认网关任务实施4配置交换机的端口安全为了保证交换机的安全,首先应关闭没有使用的端口,防止非法用户接入到多余端口;然后对接入端口实行BPDU保护,不允许接入端口连接到交换机上;对连接服务器的端口实行IP和MAC地址绑定;对连接管理员VLAN的端口限制最大连接数量,同时进行MAC地址绑定,防止非法接入。关闭未使用的端口关闭交换机SW1未使用的端口intrangef0/6-24shutdown关闭交换机SW2未使用的端口intrangef0/6-24,1shutdown关闭交换机SW3未使用的端口intrangef0/21-22shutdown关闭交换机SW4未使用的端口intrangef0/21-23shutdown配置PortFastBPDU保护将连接终端的端口设置为postfast特性配置交换机SW1intf0/1spanningtreeportfast配置交换机SW3intf0/1-20spanningtreeportfast配置交换机SW4intf0/1-20spanningtreeportfast配置PortFastBPDU保护配置交换机SW1spanning-treeportfastBpduguarddefaultspanning-treeportfastbpdufilterdefault配置交换机SW3spanning-treeportfastBpduguarddefaultspanning-treeportfastbpdufilterdefault配置交换机SW4spanning-treeportfastBpduguarddefaultspanning-treeportfastbpdufilterdefault测试配置将SW3的f0/24端口的网线移动到端口f0/2观察交换机SW3的F0/2端口的状态灯会熄灭查看端口状态将SW3的f0/2端口的网线恢复到端口f0/24恢复端口状态查看端口状态在交换机SW1的Fa0/1上配置端口安全,将IP地址和MAC地址进行绑定。查询SERVER1的IP和MAC地址将IP地址和MAC地址进行绑定interfacefastethernet0/1switchportport-securityswitchportport-securitymac-add4061.86F3.68ABip-add55查看端口的安全地址查询端口安全测试SERVER1能否访问默认网关测试结果如图22所示。图SEQ图10-\*ARABIC22SERVER1访问默认网关修改SERVER1的IP地址,重新测试SERVER1能否访问默认网关,结果如图23所示。图SEQ图10-\*ARABIC23SERVER1访问默认网关配置SW3的端口f0/1到f0/5的安全,这里只是测试,只对端口F0/1进行配置配置每个端口只允许4个计算机访问,违规关闭端口。interfacefastethernet0/1switchportport-securityswitchportport-securitymaximumswitchportport-securityviolationshutdown将计算机的MAC地址加入到相应端口,在实验中,只将一个MAC地址加入到f0/1端口interfacefastethernet0/1switchportport-securitymac-add4061.86F3.68AB查看交换机的端口安全查看交换机的端口安全地址将交换机接MAC地址是4061.86f3.68ab的计算机,观看端口状态端口正常将交换机接MAC地址不是4061.86f3.68ab的计算机,观看端口状态端口关闭将交换机重新连接到MAC地址是4061.86f3.68ab的计算机,观看端口状态端口关闭恢复交换机的端口状态intf0/1noshutexit观看端口状态端口正常任务实施5配置路由器和交换机的密码与SSH登录设置路由器和交换机的安全非常重要,若一个恶意用户经过类似Sniffer这样的嗅探工具,很容易就能在管理员主机或者适当的接口进行本地监听获取管理员登录思科路由器的密码。其实,我们能够利用SSH加强思科路由器远程管理。SSH的英文全称为SecureShell,默认的连接端口是22,其传输的数据是经过压缩的,能够加快传输的速度;经过使用SSH,能够把所有传输的数据进行加密,也能够防止DNS和IP欺骗。SSH不但可用于路由器和交换机的安全管理。在我们进行系统的远程管理、服务器的远程维护等实际应用中都能够部署基于SSH远程管理;SSH工具不但有命令行下的,也有一些GUI图形界面下的工具。这里以SW1为例配置SSHServer,允许经过SSH远程管理设备。配置SSH开启SSH服务,并制定SSH的版本!开启SSH服务,默认关闭enableservicessh-server!默认1.99版本,设置为版本2ipsshversion2添加登陆的用户名和密码usernameruijiepassword123456生成加密密钥:!加密方式有DSA和RSA两种,这里选择rsacryptokeygenerate?cryptokeygeneratersa在VTY线程下设置linevty04!设置登陆密码为ruijiepasswordruijie!设置传输模式是SSHtransportinputssh!允许经过telnet访问login设置enable密码enablepasswordtongjun查看配置查看SSH的参数信息在客户端安装SecureCRT工具登陆验证运行SecureCRT工具,在打开的窗口中输入主机名、用户名等信息,如图24所示。图SEQ图10-\*ARABIC24快速连接配置窗口单击”连接”按钮,打开”新建主机密钥”对话框,如图25所示。图SEQ图10-\*ARABIC25新建主机密钥窗口单击”授受并保存”按钮,在弹出的对话框中输入用户名和口令,如图26所示。图SEQ图10-\*ARABIC26输入口令窗口单击”确定”按钮,进入交换机配置主窗口,在窗口中输入”enable”命令进入交换机的特权模式,然后输入命令”showssh”查看当前经过SSH在线的用户,如图27所示。图SEQ图10-\*ARABIC27进入特权模式和查询SSH任务实施6配置交换机的访问控制允许VLAN120和VLAN130的用户访问总公司服务器的DNS、FTP和WEB服务;允许所有内网计算机PING服务器;不允许VLAN110的用户访问VLAN120和VLAN130;不允许VLAN120的用户访问VLAN110和VLAN130。配置访问列表允许VLAN120的用户访问内网服务器的DNS、FTP和WEB服务access-list110permittcp283245eqdomainaccess-list110permittcp283245eqftpaccess-list110permittcp283245eq80允许VLAN130的用户访问内网服务器的DNS、FTP和WEB服务access-list110permittcp27245eqdomainaccess-list110permittcp27245eqftpaccess-list110permittcp27245eq80允许内网计算机PING服务器access-list110permiticmp55245不允许VLAN120的用户访问内网服务器的其余服务access-list110denyip283245不允许VLAN130的用户访问内网服务器的其余服务access-list110denyip27245不允许VLAN120的用户访问VLAN110和VLAN130access-list110denyip28327access-list110denyip283921不允许VLAN130的用户访问VLAN110和VLAN120access-list110denyip27243access-list110denyip27241允许其它IP访问access-list110permitipanyany在接口5的入方向设置安全列表interfacef0/5ipaccess-group110in查看配置结果查看IP访问组查看访问列表测试计算机与之间的连通性,并按表12填写表格。表SEQ表10-\*ARABIC12北京总公司计算机相互访问测试表PINGPC2PINGPC3PINGSERVER1HTTP://SERVER1FTP://SERVER1PC1PC2Pc3实验结论:任务8配置路由器的安全任务实施1配置网络地址转换在R1上配置动态网络地址转换,使北京总公司的计算机能够访问互联网,对SERVER1进行静态地址转换,使互联上的计算机能够访问SERVER1;在R4配置网络地址转换,使重庆分公司的计算机能够访问互联网。R1的网络地址转换确定R1的内部和外部端口intf0/0ipnatinsideintf0/1ipnatinsideints3/0ipnatoutsideints4/0ipnatoutside配置NAT,实现总公司内部网络访问互联网,其使用的合法公网地址为-建立要进行地址转换的访问控制列表!排除经过VPN隧道数据的地址转换access-list101denyip5555access-list101permitipanyany定义全局IP地址池ipnatpoolzgsnetmask48将地址池与访问控制列表绑定ipnatinsidesourcelist101poolzgsoverload实现将内网服务器SERVER的资源发布到互联网上,其合法的公网地址是。ipnatinsidesourcestatic25查看访问列表在服务器SERVER2上PING服务器SERVER1,查看地址转换结果在计算机PC2访问服务器SERVER2,查看地址转换结果R4的网络地址转换实现内部网络对互联网的访问,其使用的合法地址是路由器R4的F0/0端口的IP地址确定R4的内部和外部端口intf0/1.210ipnatinsideintf0/1.220ipnatinsideintf0/0ipnatoutside建立要进行地址转换的访问控制列表!排除经过VPN隧道数据的地址转换access-list101denyip5555access-list101denyipanyany定义全局IP地址池ipnatinsidepoolfgsnetmask52将地址池与访问控制列表绑定ipnatinsidesourcelist101poolfgsoverload查看访问列表在计算机PC4访问服务器SERVER2,查看地址转换结果任务实施2配置路由器R1的访问控制北京总公司的管理员能在任意时间访问互联网,所有员工均能访问DNS和ICMP服务,一般员工只能在工作时间访问互联网的WEB、EMAIL服务。允许互联网上的计算机只能访问服务器上的WEB网站和ICMP服务。定义时间范围定义时间范围work-timetime-rangework-timeperiodicweekdays9:00to18:00定义时间范围rest-timetime-rangework-timeperiodicweekdays0:00to23:59periodicweekdays0:00to9:00periodicweekdays18:00to23:59创立访问控制列表创立访问内网的访问控制列表visit_localwebipaccess-listextendedvisit_localweb!允许重庆分公司访问服务器的服务permitip55245!允许外网访问SERVER1的WEB网站permittcpanyhost25eqwww!允许内网访问外网的数据返回permittcpanyhost25eqwww!允许内外网相互PINGpermiticmpanyanyecho-replypermiticmpanyanyecho!允许RIP协议的数据包进出permitudpanyanyeqrip创立访问外网的访问控制列表visit_internetipaccess-listextendedvisit_internet!允许服务器访问重庆计算机permitip24555!允许管理员任意访问外网permitip921any!允许在工作时间访问外网的WEB网站permitip55anyeqwwwtime-rangework-time!允许在工作时间经过外网收发邮件permitip55anyeqsmtptime-rangework-time!允许在休息时间访问外网的任何服务permitip55anytime-rangerest-time!允许访问外网的域名服务器permittcpanyanyeqdomain!允许外网访问内网的WEB服务器的信息返回permittcphost25anygt1024!允许RIP协议的数据进出permitudpanyanyeqrip在R1端口F0/0和F0/1的入方向进行visit_localweb控制interfacefastethernet0/0ipaccess-groupvisit_internetininterfacefastethernet0/1ipaccess-groupvisit_internetin在R1端口F0/0和F0/1的出方向进行visit_internet控制interfacefastethernet0/0ipaccess-groupvisit_localweboutinterfacefastethernet0/1ipaccess-groupvisit_localwebout查看配置结果查看R1的时间范围查看R1的访问控制列表查看R1的访问组测试配置让北京总公司不同VLAN的计算机访问外网的服务器SERVER2和路由器R3的端口地址,将测试结果填入表13。表SEQ表10-\*ARABIC13北京总公司访问互联网测试表让外网