某网络公司规划与设计

成绩评定表学生姓名班级学号专业计算机科学与技术课程设计题目某网络公司网络规划与设计评语组长签字：成绩日期2014年11月20日课程设计任务书学院信息科学与工程学院专业计算机科学与技术学生姓名姚婷婷班级学号1103050409课程设计题目(1)某网络公司网络规划与设计(2)路由器RIP与OSPF协议配置实践教学要求与任务:〔一〕根据实训题目要求，完成以下几个方面的实训内容：(1)用户需求分析；(2)设备、传输介质的选型及经费预算；(3)设计网络拓扑图；(4)VLAN划分及配置；(5)IP地址规划及子网划分；(6)交换机与路由器的详细配置命令；(7)接入网组网方案、VPN及NAT配置；(8)Web、FTP的配置；(9)网络系统测试分析；(10)网络故障分析；路由器RIP与OSPF协议配置(1)路由器根本配置命令；(2)路由器模拟软件使用；(3)RIP、OSPF协议配置。工作方案与进度安排:第11周星期一：设计任务分析、组网规划、设备根本配置命令星期三：交换机与路由器配置星期日：路由器RIP与OSFP协议配置第12周周一：组网详细设计周三：网络故障分析、系统测试周日：辩论、验收程序、书写课程设计报告，提交指导教师：2014年10月29日专业负责人：2014年10月30日学院教学副院长：2014年10月31日摘要在网络技术不断开展的今天，某网络公司网络建设面临多种网络技术的选择。选择怎样的网络技术来满足企业未来开展的需要，是摆在各大企业面前的一个课题。虽然网络技术在飞速开展，但公司网络建设有其内在规律，把握这些内在的规律，将有助于指导公司的网络建设。某网络公司信息系统主要建设一个企业信息系统，它以管理信息为主体，连接生产、销售、维护、运营子系统，是一个面向集团的日常业务、立足生产、面向社会，辅助领导决策的计算机信息网络系统。某网络公司的网络建设的总体思路和工程蓝图，是搞好本公司网络建设的核心任务。进行公司网络总体设计，首先是进行对象研究和需求调查，弄清办公的性质、任务和改革开展的特点，对办公的信息化环境进行准确的描述，明确系统建设的需求和条件；其次，在应用需求分析的根底上，确定办公Intranet效劳类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三是确定网络拓扑结构和功能，根据应用需求、建设目标和办公主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原那么要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划安排某网络公司网络建设的实施步骤。目录第1章 某网络公司网络规划与设计..........................................11.1实训目的及题目要求....................................................11.2用户需求分析..........................................................11.3设备、传输介质的选型及经费预算........................................11.4设计网络拓扑图........................................................31.5VLAN划分及配置........................................................31.6IP地址规划及子网划分..................................................41.7交换机与路由器的详细配置命令..........................................51.8接入网组网方案、VPN及NAT配置.........................................71.9Web、FTP的配置........................................................71.10网络系统测试分析.....................................................111.11网络故障分析..........................................................13第2章 路由器RIP与OSPF协议配置..........................................132.1RIP协议配置............................................................132.2OSPF协议配置...........................................................18实训总结....................................................................21参考文献....................................................................22某网络公司网络规划与设计1.1 实训目的及题目要求〔一〕根据实训题目要求，完成以下几个方面的实训内容：(1)用户需求分析；(2)设备、传输介质的选型及经费预算；(3)设计网络拓扑图；(4)VLAN划分及配置；(5)IP地址规划及子网划分；(6)交换机与路由器的详细配置命令；(7)接入网组网方案、VPN及NAT配置；(8)Web、FTP的配置；(9)网络系统测试分析；(10)网络故障分析；〔二〕路由器RIP与OSPF协议配置(1)路由器根本配置命令；(2)路由器模拟软件使用；(3)RIP、OSPF协议配置。1.2 用户需求分析通常类似网络公司这样的企业在网络建设中已有局部的网络环境，这些网络环境能满足当时网络应用的需要。但网络可能是一个个孤立的小岛，只能在局部范围内实现网络应用及资源共享，企业网络没有形成一个整体。企业网络规划时，要考虑网络建设的整体性，既要保护原有的投资，又要在网络技术的选型上有前瞻性。网络需求分析主要是根据公司业务开展需求和公司信息技术应用需求，提出公司建设的总体目标和关键技术指标。本期某网络公司网络建设任务可以归纳为以下几点：〔1〕某网络公司网络布线工程完成办公楼内部的结构化布线工程和信息系统集成。〔2〕网络设备配置配备网络交换设备，实现楼宇间的千兆光纤连接，保证未来各应用系统的实施。〔3〕网管系统设计提供可以对整个网络系统进行管理的中文图形界面工具，使系统维护人员可以集中控制网络的所有设备。〔可选〕〔4〕内、外网隔离通过硬盘隔离卡及双布线系统、双网络设备实现办公内网与外网隔离。1.3设备、传输介质的选型及经费预算〔1〕设备：DCRS-5526S三层交换机〔3台〕DCR-2626路由器〔2台〕直连双绞线〔4根〕交叉双绞线〔3根〕Console电缆〔1根〕[注：该线本实验没用到]PC机〔3台〕〔2〕传输介质的选型：综合布线系统所选用的线缆、信息插座、跳线、连接线等部件，必须与选择的类型一致，如选用超5类标准，那么线缆、信息插座、跳线、连接线等部件必须为超5类；如系统采用屏蔽措施，那么系统选用的所有部件均为屏蔽部件，只有这样才能保证系统屏蔽效果，到达整个系统的设计性能指标。〔3〕经费预算：本网络公司网络系统投资本钱表如下所示：费用类型网络产品和效劳工程费用费用说明效劳器主机效劳器主机、磁盘阵列卡、硬盘、冗余电源等主要设备一次性投入交换机L2交换机、L3交换机、光钎模块、冗余电源、堆叠模块主要设备一次性投入路由器路由器、广域网接入模块、光钎模块主要设备一次性投入其他设备光电收发器、USP电源、网络线路延长器主要设备一次性投入平安设备下一代防火墙、上网行为管理、IPsec_VPNSSL_VPN主要设备一次性投入布线设备双绞线、室内光钎、室外光缆、机柜、配线架、桥架等主要设备一次性投入系统软件网络操作系统、数据库系统、网络管理软件、防病毒软件、效劳器软件、虚拟化软件、各类信息系统主要费用一次性投入周期性升级费用系统建设网络工程设计、综合布线施工、设备安装调试网络工程监管和检测等费用主要费用一次性投入网络维护系统升级、机房托管、委托维护、网络工具和仪器周期性费用投入线路接入宽带接入、专线租用、主机效劳器托管、域名续费、公网IP地址、等费用每月反复投入人员培训网络管理人员培训、最终用户培训、新员工培训等周期性投入网络管理网管人员、电力消耗、系统维护等每月反复投入表1-1某网络公司经费预算本钱1.4设计网络拓扑图本网络由一个广域网，两个局域网组成。选用2个805路由器，其包含一个以太网接口，一个Serial口连接广域网。选用3个2950交换机，其有12个快速以太网接口，所以这连个局域网采用的是快速以太网技术。接下来分别将每个交换机下连接了3个PC机，共同构成此网络。图1.1静态路由构成网络拓扑图1.5VLAN划分及配置本网络由一个2950有12个快速以太网口的交换机和5个PC机构成。将5台PC机划分成2个VLAN，分别有3个PC机和2个PC机。图1.2vlan设计拓扑图IP地址划分vlan的配置Switch>enableSwitch#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#hostSWSW#vlandatabaseSW(vlan)#vlan20namesyVLAN10added:Name:VLAN1SW(vlan)#vlan21nameshVLAN20added:Name:VLAN2SW(vlan)#intfe0/1SW(config-if)#switchportaccessvlan20SW(vlan)#intfe0/2SW(config-if)#switchportaccessvlan20SW(vlan)#intfe0/3SW(config-if)#switchportaccessvlan20SW(vlan)#intfe0/4SW(config-if)#switchportaccessvlan21SW(vlan)#intfe0/5SW(config-if)#switchportaccessvlan21SW(config-if)#endSW#copyrunstart1.6IP地址规划及子网划分〔1〕划分网段〔2〕划分IP地址1.7交换机与路由器的详细配置命令〔1〕路由器Route1的配置：Router>enableRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR1R1(config-line)#inteth0R1(config-if)#noshut%LINK-3-UPDOWN:InterfaceEthernet0,changedstatetoupR1(config-if)#intse0R1(config-if)#noshut%LINK-3-UPDOWN:InterfaceSerial0,changedstatetoupR1(config-if)#end%LINK-3-UPDOWN:InterfaceSerial0,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0,changedstatetodownR1#copyrunstart在Route1中设置静态路由R1#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.R1(config)#endR1#copyrunstart〔2〕路由器Route2的配置：Router>enableRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR2R2(config-line)#inteth0R2(config-if)#noshut%LINK-3-UPDOWN:InterfaceEthernet0,changedstatetoupR2(config-if)#intse0R2(config-if)#clockrate64000R2(config-if)#noshut%LINK-3-UPDOWN:InterfaceSerial0,changedstatetoupR2(config-if)#endR2#copyrunstart〔3〕在Route2中设置静态路由R2#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.R2(config)#endR2#copyrunstartPC机参数配置依次选择PC机用win命令调出下列图所示的地址表，根据自己给PC分配的IP号来进行更改。图1.3PC机参数配置图1.8接入网组网方案、VPN及NAT配置VPN

即虚拟专用网络。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。一句话，VPN的核心就是在利用公共网络建立虚拟私有网，以到达网络私有的目的。NAT网络地址转换〔NAT，NetworkAddressTranslation〕属接入广域网〔WAN〕技术，是一种将私有〔保存〕地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址缺乏的问题，而且还能够有效地防止来自网络外部的攻击，隐藏并保护网络内部的计算机。NAT的实现方式有三种，即静态转换StaticNat、动态转换DynamicNat和端口多路复用OverLoad。1.9Web、FTP的配置安装WEB效劳器选择“开始”/“设置”/“控制面板”/“添加或删除程序”，选择“添加/删除Windows组件”；从列表中选择“Internet信息效劳〔IIS〕”/“详细信息”；选择“万维网效劳”，假设同时安装FTP效劳，选择“文件传输协议〔FTP〕效劳”；点击“确定”/“下一步”，系统自动复制相应文件。安装完成后会在“管理工具”程序组中多一个“Internet信息效劳〔IIS〕管理器”应用程序选项。注意：要确定系统安装盘的存在，并且确保安装文件路径的正确性，如果安装文件路径不正确要进行更改。也可以去网上下载IIS5.0的安装包，并采用与上面所述相同的安装方式，只是在安装过程中，指定安装文件的正确路径即可。(2)设置默认WEB站点A、将制作好的主页文件放到默认WEB站点预设的发布目录“C:\Inetpub\wwwroot”。B、将主页文件的名称改为Default.htm。C、使用本机或客户机的浏览器进行访问验证。(3)WEB站点属性设置网站，主目录，文档属性页的设置。当修改了相应网站的TCP端口号后，就要使用该端口号访问该网站，如://0:8080表示访问IP地址为0所在主机端口号为8080的网站。如果在Windows2003环境下，可以搭建多个不同端口号的WEB站点，那么不同的端口号可以对应不同WEB站点的主目录。(4)添加虚拟目录右击“站点”，选择“新建”/“虚拟目录”，输入“别名”，设置“路径”，设置“访问允许权限”后完成虚拟目录的设置。(5)虚拟目录属性设置(6)隐藏站点的创立在某站点对应的根目录中创立文件夹，如me。将自己的网页文件拷贝到效劳器中。在IIS管理器中的me文件下创立虚拟目录，如aa。在客户端使用://IP地址/me/aa进行访问。也可使用://IP地址/me/aa/网页文件名进行访问。在Windows资源管理器中删除me文件夹即可实现站点的隐藏。FTP效劳器的配置(1)安装FTP效劳器(2)设置默认FTP站点A、将将要共享的文件放到默认FTP站点预设的发布目录“C:\Inetpub\FTProot”。B、使用本机或客户机的浏览器进行访问验证。(3)FTP站点的管理：FTP站点，消息，主目录等属性页的设置。注意：端口号修改后的访问与WEB站点相似，也要使用相应的端口号进行访问；而消息选项卡的设置可以结合WindowsXP集成的命令行模式访问FTP站点进行相应的验证。(4)添加虚拟目录：右击“站点”，选择“新建”/“虚拟目录”，输入“别名”，设置“路径”，设置“访问权限”后完成虚拟目录的设置。此时，FTP虚拟目录的访问也要结合相应的别名进行。FTP效劳器软件SERU的安装和配置Serv-U是目前建立FTP的众多软件中功能比拟强大的一款，其配置比IIS中的FTP配置功能更加强大，尤其是访问权限的设置，现在绝大多数的FTP均由Serv-U搭建。(一)创立FTP站点想使用Serv-U搭建FTP效劳器，可以按照向导快速创立FTP站点。其具体步骤如下：(1)软件的安装。软件的安装按照向导提示即可完成。(2)IP设定。安装完成后启动Serv-U设置IP地址，如果你有固定IP的话可以填上你的IP地址，那么指能用该IP地址访问FTP站点；你的IP地址是动态IP那么可以不填；如果系统拥有多个IP地址，也可以不填，此时使用系统的任意一个IP地址都可以访问FTP站点。IP地址设置页面如图1.4所示。图1.4IP地址设置(3)域名设定。这一步就是给你的这个效劳器起一个名字，可以任意，用于识别由Serv-U建立的作用域，如图1.5所示。图1.5域名设置(4)设置系统效劳。如果你想FTP效劳设置为系统效劳就选择“是”，这样FTP效劳器就会随系统启动而启动，如图1.6所示。图1.6设置系统效劳(5)是否创立匿名帐号。通过匿名方式可以允许用户访问资源时，不被要求输入口令。(6)创立命名帐号。通过创立一个指定用户帐号，输入相应的用户名、密码后点击“Next”按钮。(7)选择帐号主目录。选择指定帐号授权访问路径，指定用户可以访问资源的位置，如选择D盘。并且会询问是否将帐号锁定于主目录选项，可选择“是”。(8)赋予帐号管理权限。这一步就是赋予帐号权限是否允许用户远程控制效劳器，如图1.7所示。进行相应选择后，点击“Next”，在弹出的新窗口中点击“Finish”按钮完成FTP站点的创立。图1.7设置帐号管理权限(二)设置Serv-U软件(1)设置系统效劳。点击Serv-U软件界面左侧的“《LocalServer》”，在右侧窗口中勾选“Startautomatically(systemservice)”前的复选框，那么软件将作为系统效劳启动，每次开机后将自动运行启动Serv-U效劳，如图1.8所示。(2)软件注册。点击窗口左侧的“License”，将会翻开软件注册窗口，Serv-U作为一款破解软件，随安装软件附带破解补丁、汉化补丁或注册码，用户可以对软件进行注册和汉化。(3)软件设置。点击窗口左侧的“Settings”，翻开软件设置界面，在该界面中可以设置上传和下载速率限制。图1.8设置系统效劳(三)设置域(1)创立新域。右击“Domains”，在弹出菜单中点击“NewDomain”进行域的创立。在创立新域过程中可以设定IP地址，域名和端口号。(2)删除域。右击某个域，在弹出菜单中点击“DeleteDomain”即可删除域。(3)修改域属性。鼠标左击某个域后，在右侧窗口中可以修改该域的域名、IP地址和端口等。(四)设置用户账号(1)新建用户帐号。右击“Users”，在弹出的菜单中点击“NewUser”。如果要创立匿名帐号，那么输入用户名为“anonymous”，该帐号不用输入密码，直接选择对应的目录即可。如果创立其他用户名帐号，要输入相应的用户名、密码，并指定目录后即可。(2)删除用户帐号。右击某用户帐号，在弹出的菜单中点击“DeleteUser”即可删除用户帐号。(3)修改用户帐号属性。鼠标左击某用户帐号，在右侧窗口中点击“Account”选项卡，在此选项页中可以修改用户目录。点击“General”选项卡，在相应的选项页中可以进行上传下载速度的设置。点击“IPAccess”选项卡，可以进行访问控制策略设置。点击“DirAccess”选项卡，弹出如图1.9所示的选项页。在该页中，可以对用户帐号的访问权限进行严格的限制。如可以只赋予用户上传文件和列出访问列表两个权限，那么该用户将不能读取和下载该目录中的资料，更不能删除和执行了。图1.9设置用户访问权限1.10网络系统测试分析通过抓包和测试分析，可以对网络的平安情况进行全面体验，让管理人员知道网络的当前平安状况，以及网络中是否存在潜在的平安隐患，从而有效确保网络的平安。所以，使用网络分析系统，从宏观上对网络的平安性进行测试，是网络平安整体防御体系中必不可少的一局部，是当前网络平安防护状态的必要补充。1.攻击行为分析从科来网络分析系统2010的多个与平安相关的视图，查看网络中是否存在攻击行为。

ARP攻击如果网络中存在ARP攻击，“疑似ARP攻击分析“视图会自动分析出ARP攻击的源地址，同时下面有详细的物理会话信息，双击物理会话的下面的条目，系统会继续分析具体的攻击数据包。同时，ARP攻击分析，也可以直接在诊断视图中查看。蠕虫病毒当网络中存在蠕虫病毒泛滥的情况时，系统会自动对其进行分析，并准确定位已经被感染蠕虫病毒的主机。DOS攻击针对网络中的DOS攻击分析，系统可以检测出正在进行的主动DOS攻击行为，以及正在遭受DOS攻击的情况.TCP端口扫描TCP端口扫描一般情况是后续攻击的前奏，系统的TCP端口扫描视图，可以对网络中的TCP端口扫描行为，进行准确检测和定位。2.平安隐患分析此处的平安隐患，包括设备管理平安隐患、电子邮件平安隐患、FTP文件传输平安隐患。

设备管理平安隐患通常情况下，管理人员对已经投入使用的网络设备〔交换机、路由器等〕、平安设备〔防火墙、UTM、IDS/IPS等〕的管理，一般使用的方式有Web〔，S〕和命令行〔Telnet，SSH〕。这其中，S和SSH是加密协议，通过这两种方式的管理相对平安，但和Telnet那么是明文传输协议，如果使用这两种方式进行设备管理，那么存在巨大的平安隐患。明文传输隐患查找：节点浏览器中选择协议，右边选择TCP会话视图，查看与网络中设备进行通讯的TCP会话信息。如网络中设备地址是，那么查看与通讯的会话，并查看的数据流信息。Telnet明文传输隐患查找：节点浏览器中选择Telnet协议，右边选择TCP会话视图，查看与网络中设备进行通讯的TCP会话信息。与明文传输方法一致，即可找到网络中使用Telnet的明文传输。3.电子邮件平安隐患现在，使用Outlook和Foxmail进行电子邮件收发的用户较多，默认情况下，这两种协议都是明文传输，存在电子邮件平安隐患。查找明文邮件密码：节点浏览器中选择SMTP和POP3协议〔一次只能选择一个〕，右边选择TCP会话视图，查看下面的电子邮件会话信息以及数据流，可以查找明文传输的用户名和密码。查找明文邮件内容：节点浏览器中选择SMTP和POP3协议〔一次只能选择一个〕，右边选择日志->Email信息，查看邮件的通讯情况，可以查找明文传输的邮件通讯情况.4.FTP文件传输平安隐患默认情况下，通过CMD窗口、浏览器窗口、局部FTP客户端等方式的FTP访问，都是明文传输，存在巨大的平安隐患。查找FTP明文密码：节点浏览器中选择FTP协议，右边选择TCP会话视图，查看下面的FTP会话信息以及数据流，可以查找明文传输的FTP用户名和密码.查找FTP明文内容：节点浏览器中选择根节点，右边选择日志->FTP传输，可以查看到网络中使用明文进行的FTP文件传输情况。1.11网络故障分析通过网管软件发现两台核心网络交换机CPU利用率异常，如下：1.

“核心交换机6509_A”的CPU利用率高达90%以上。2.

“核心交换机6509_B”的CPU利用率高达90%以上。以上问题造成网络延时很高，导致访问内网应用、互联网等速度较慢。我们分别在两台〔A、B〕Cisco6509交换机上执行showprocesscpu命令，查看各进程CPU占用情况，两台设备占用CPU利用率最高的进程为ARP进程，统计结果如下：设备名称6509_A6509_BARP进程占CPU利用率58.658.4因此，我们推断设备CPU利用率较高是由ARP流量异常导致的，对于分析ARP流量异常，我们需要借助专业的流量分析工具科来网络回溯分析系统由于已经找到ARP报文中含有的IP地址，我们通过IP登记记录找到该IP15为一台IBM效劳器〔Server2003〕，我们登陆该效劳器查看网卡Mac为00:09:6B:A5:19:C4，并且系统不停地提示IP地址冲突。我们将该效劳器网卡禁用之后，核心交换机设备利用率立即回复正常，并且ARP流量也回复正常〔通过这个现象可以判断非恶意破坏〕。至此，我们确定ARP流量异常原因为某台设备配置IP地址与一台IBM效劳器地址冲突，而此设备在IP冲突的时候为了抢占该IP地址，大量发送免费ARP请求，造成网络产生了ARP播送风暴，最终导致核心设备CPU利用率升高。1.11网络故障分析1.“主机掩码”问题：在做路由器的动态NAT配置中，当要定义内部网络中允许访问Internet的访问列表时，即有关命令如下：access-listl标号permit源地址通配符〔其中，标号为1~99之间的整数〕据此，本实验中应该这样配置：55 ！定义允许转换的源地址范围但是在实验系统所给出的一些帮助文档时，是这样配置的：permit ！定义允许转换的源地址范围而刚开始时，我们就是这样配置的。后来经上网查阅[3]，得知这后面的一个掩码是一种主机掩码，而不是子网掩码。具体描述如下：“需要注意的是，在这里采用的是主机掩码，而非子网掩码。子网掩码与主机掩码的关系为：主机掩码+子网掩码=55。例如，子网掩码为，那么主机掩码为55；子网掩码为,那么主机掩码为55;子网掩码为,那么主机掩码为55;子网掩码为92，刚主机掩码为3。”2.路由器接入时出现的问题：不仅在实验中，还是在课程设计中，但凡有用到路由器接入时通常会出现PC与PC之间Ping不通，而各PC只能Ping通到对方PC所接的交换机端口或路由器端口。然而这从理论上说既然一台PC能Ping通到对方PC所接的交换机端口或路由器端口，那么就应该可以Ping通对方PC的。但好几次实验都出现这种情况，可能由于机器设备的缘故，该问题还有待于解决。3.不同VLAN要进行通信：不同VLAN要进行通信，那么需要通过路由器或三层交换机等三层设备。所以本次实验中，两个子网里的学生机器和教师机器由于利用了三层交换机从而导致了在一定条件下是可以Ping通的。第2章路由器RIP与OSPF协议配置2.1RIP协议配置通过三台路由器互联的网络中，每个路由器的局域网段通过一台交换机连接两台计算机，通过配置路由器RTA、RTB和RTC的动态路由协议RIP使全网可以通讯。配置步骤如下：配置每台设备的网络接口卡〔NIC〕的IP地址、子网掩码和网关。配置每台路由器的接口的时钟速率、IP地址和子网掩码。配置每台路由器的RIP路由。使用copyrunning-configstartup-config保存路由器配置。RTA路由器的配置配置Router-A路由器上两个接口的IP地址：Router-A配置表F0/0/24F0/1/24Router-A路由器回址路由和默认路由的配置：配置类型配置命令回址路由iproute192.168.2iproute192.168.3默认路由iproute配置成功以后执行shiproute所显示的正确结果如下：图2.1配置成功以后执行shiproute所显示的正确结果Router-A路由器动态NAT配置：〔配置Router-A的NAT〕(a).定义合法IP地址池命令的语法如下：ipnatpool地址池名称起始IP地址终止IP地址子网掩码(b).定义内部访问列表命令的语法如下：access-list标号permit源地址通配符〔其中，标号为1~99之间的整数〕本实验实际对Router-A配置动态NAT过程如下：Router-A#confRouter-A_config#ipaccess-liststandard1 ！定义访问控制列表55 ！定义允许转换的源地址范围Router-A_config_std_nacl#exitRouter-A_config#ipnatpoolnetA！定义名为netA的转换地址池【注：为了简便本次实验暂时只用了两个C类网络~，而真实当中应该利用以下配置来添加IP池里面的IP：ipnatpoolcernet】Router-A_config#ipnatinsidesourcelist1poolnetAoverload！配置将ACL允许的源地址转换成netA中的地址，并且做PAT的地址复用Router-A_config#intf0/0Router-A_config_f0/0#ipnatinside ！定义F0/0为内部接口Router-A_config_f0/0#intf0/1Router-A_config_f0/1#ipnatoutside ！定义F0/1为外部接口Router-A_config_f0/1#exitRouter-A_config#iproute ！配置路由器A的缺省路由Router-A#shipnattranslatiosPro.DirInsidelocalInsideglobalOutsidelocalOutsideglobalICMPOUT:512:12512:12512:12512RTB路由器的配置配置Router-B路由器上两个接口的IP地址：Router-B配置表F0/0/24F0/1/24Router-B路由器默认路由的配置：配置类型配置命令默认路由iproute配置成功以后执行shiproute所显示的正确结果如下：图2.2配置成功以后执行shiproute所显示的正确结果Router-B路由器动态NAT配置：本实验实际对Router-B配置动态NAT过程如下：Router-B#confRouter-B_config#ipaccess-liststandard2！定义访问控制列表Router-B55 ！定义允许转换的源地址范围Router-B_config_std_nacl#exitRouter-B_config#ipnatpoolnetB！定义名为netB的转换地址池【注：为了简便本次实验暂时只用了两个C类网络~，而真实当中应该利用以下配置来添加IP池里面的IP：ipnatpoolcernet】Router-B_config#ipnatinsidesourcelist2poolnetBoverload！配置将ACL允许的源地址转换成netB中的地址，并且做PAT的地址复用Router-B_config#intf0/0Router-B_config_f0/0#ipnatinside ！定义F0/0为内部接口Router-B_config_f0/0#intf0/1Router-B_config_f0/1#ipnatoutside ！定义F0/1为外部接口Router-B_config_f0/1#exitRouter-B0.2 ！配置路由器B的缺省路由Router-B#shipnattranslatiosPro.DirInsidelocalInsideglobalOutsidelocalOutsideglobalICMPOUT:512:1251200.2:12512RTC路由器的配置配置Router-C路由器上两个接口的IP地址：Router-B配置表F0/0/24F0/1/24Router-C路由器默认路由的配置：配置类型配置命令默认路由iproute配置成功以后执行shiproute所显示的正确结果如下：图2.3配置成功以后执行shiproute所显示的正确结果Router-C路由器动态NAT配置：本实验实际对Router-B配置动态NAT过程如下：Router-B#confRouter-B_config#ipaccess-liststandard2！定义访问控制列表Router-B55 ！定义允许转换的源地址范围Router-B_config_std_nacl#exitRouter-B_config#ipnatpoolnetB！定义名为netB的转换地址池【注：为了简便本次实验暂时只用了两个C类网络~，而真实当中应该利用以下配置来添加IP池里面的IP：ipnatpoolcernet】Router-C_config#ipnatinsidesourcelist2poolnetBoverload！配置将ACL允许的源地址转换成netB中的地址，并且做PAT的地址复用Router-C_config#intf0/0Router-C_config_f0/0#ipnatinside ！定义F0/0为内部接口Router-C_config_f0/0#intf0/1Router-C_config_f0/1#ipnatoutside ！定义F0/1为外部接口Router-C_config_f0/1#exitRouter-C0.2 ！配置路由器B的缺省路由Router-C#shipnattranslatiosPro.DirInsidelocalInsideglobalOutsidelocalOutsideglobalICMPOUT:512:1251200.2:12512Router-C路由器动态NAT配置：本实验实际对Router-B配置动态NAT过程如下：Router-C#confRouter-C_config#ipaccess-liststandard2！定义访问控制列表Router-C55 ！定义允许转换的源地址范围Router-C_config_std_nacl#exitRouter-C_config#ipnatpoolnetB！定义名为netB的转换地址池【注：为了简便本次实验暂时只用了两个C类网络~，而真实当中应该利用以下配置来添加IP池里面的IP：ipnatpoolcernet】Router-B_config#ipnatinsidesourcelist2poolnetBoverload！配置将ACL允许的源地址转换成netB中的地址，并且做PAT的地址复用Router-C_config#intf0/0Router-C_config_f0/0#ipnatinside ！定义F0/0为内部接口Router-C_config_f0/0#intf0/1Router-C_config_f0/1#ipnatoutside ！定义F0/1为外部接口Router-C_config_f0/1#exitRouter-C0.2 ！配置路由器B的缺省路由Router-C#shipnattranslatiosPro.DirInsidelocalInsideglobalOutsidelocalOutsideglobalICMPOUT:512:1251200.2:125122.2OSPF协议配置某网络公司OSPF多区域局部配置如下所示：Router-A数据中心路由器配置：routerospf1log-adjacency-changesnetwork