1、鍵入文字鍵入文字 鍵入文字網絡項目實戰(zhàn)網絡信息工程2012級第一組2014/12/241.1公司簡介Thor公司是一家以房地產業(yè)務為主的大型集團公司，集團公司由3個子公司組成，分別位于北京、上海、青島三個城市。北京Loki公司為Thor集團總公司（以下Thor集團表示三家公司總稱，而Thor集團總部位于北京Loki公司處），北京Loki總公司在北京各地區(qū)建立分銷點及分公司，各分公司獨立執(zhí)行各地區(qū)的地產收購、房屋授首改建、工程實施等業(yè)務。公司整體規(guī)模近千人，擁有房地產開發(fā)一級資源，每年承接的工程項目有幾十億。2004年以來，中國房地產業(yè)蓬勃發(fā)展，Thor地產公司不斷融資擴張，發(fā)展迅猛。1.2公司

2、網絡現(xiàn)狀 公司自成立起，一直由專門的信息工程部門負責優(yōu)化和擴建網絡，以適應業(yè)務需求。但由于近幾年房地產行業(yè)發(fā)展較快，公司很快在各地區(qū)建起房地產分銷經營點、售樓處等分支機構，這些分公司之間業(yè)務信息交流愈發(fā)頻繁、數(shù)據傳輸也變得非常龐大，而且業(yè)務本身對于網絡的安全性和可靠性要求隨之愈來愈高，目前的網絡系統(tǒng)已經無法滿足企業(yè)信息化建設的需求。如圖1.2所示，由于公司在各地建立分公司時，業(yè)務相對獨立，而且每個分公司在設立初期都在摸索階段，應采用多樣化的經營模式一邊公司的發(fā)展，所以業(yè)務數(shù)據并沒有和總公司同步，只是在月末定期向總公司匯報工作。但是這幾年公司業(yè)務相對穩(wěn)定，發(fā)展也進入成熟期，董事會決定下一步的發(fā)展

3、策略主要是同化各地的管理模式，同步整個公司的業(yè)務數(shù)據、財務數(shù)據。但是公司的網絡目前無法滿足這一需求，存在的問題包括。北京地區(qū)的幾家分銷點目前依然采用ADSL的接入方式，帶寬較低，數(shù)據傳輸不穩(wěn)定，很難實現(xiàn)數(shù)據同步。各公司間通過Internet傳輸業(yè)務關鍵數(shù)據、業(yè)務數(shù)據相當不安全。公司的內網完全暴露于Internet，沒有安裝任何網絡安全設備，很容易遭受黑客攻擊，給公司造成巨大財務損失及信譽損失。1.3公司網絡需求由于公司的發(fā)展歷程，導致公司的網絡建設有些“支離破碎”、“各自為政”，所以公司若想同化管理模式、統(tǒng)一業(yè)務財務相關數(shù)據，首先就應該同化各分公司的網絡，具體網絡改造項目的需求如下。盡量節(jié)約成

4、本，最大限度的利用現(xiàn)有網絡資源。北京總公司內網的干線路為千兆以太網，接入線路為百兆位以太網。將北京總公司和各地分公司通過內網專線互聯(lián)，實現(xiàn)網絡的高可靠性和安全性。統(tǒng)一管理北京各地分公司的Internet訪問，使各分銷點只能通過總公司的網關訪問Internet，但這種方式又會導致總公司的核心設備壓力倍增。因此，在核心鏈路上采用設備的榮譽備份，保證網絡的正常運行。如果北京地區(qū)各分公司到總公司E1鏈路帶寬不夠，可以向總公司申請由本地接入Internet，總公司同意后方可實施。為了保證重要業(yè)務的數(shù)據流量，需要在設備上部署QoS，所以在選擇設備時需要考慮QoS功能。為了有效抵御來自公司外部和內部的病毒和

5、攻擊，需要增強北京、上海和青島各公司內網的安全性，在網關安裝防火墻。由于北京、上海和青島三家公司之間相距較遠，架設專線的費用較高，需要通過三家公司的網絡實現(xiàn)站點到站點的VPN。1.4網絡改造方案需求分析 Thor集團網絡改造示意圖如圖1.3所示。Internet部分采用Cisco的防火墻配置IPSec VPN和SSL VPN實現(xiàn)Internet數(shù)據的加密、認證等，如圖1.4所示。為了提高廣域網環(huán)境通信的穩(wěn)定性，各分公司的Internet接入應盡量選擇與總共死相同的服務提供商。所有的VPN均為總公司和分公司之間站點到站點的數(shù)據加密通信，各分公司之間不建立VPN，也不允許各分公司之間傳輸機密數(shù)據。

6、增強總公司的郵件服務器、數(shù)據庫服務器的各項性能，實現(xiàn)整個Thor集團公司數(shù)據庫、郵件關鍵業(yè)務文件的統(tǒng)一管理。網關防火墻設備支持基于Web的SSL VPN，到外地出差的員工可以通過SSL VPN實時、安全地和總部服務器交換關鍵業(yè)務信息。2.總公司部分 通過核心及網關設備HSRP技術實現(xiàn)高可靠性，如圖1.5所示。由于公司要實現(xiàn)Internet訪問和內網服務訪問的集中管理，總公司將原來的單核心網絡改造成雙核心網絡，并且根據不同的VLAN數(shù)據訪問量實現(xiàn)負載均衡。通過HSRP的端口跟蹤技術實現(xiàn)核心設備下行鏈路以及連接服務器鏈路的主設備切換，而上行鏈路通過OSPF協(xié)議本身的特性實現(xiàn)即可。總公司通過雙路由器

7、和公司內部專線網連接，通過OSPF的等值路由實現(xiàn)負載均衡。3.內網專線部分 通過OSPF路由協(xié)議實現(xiàn)網絡互連，如圖1.6所示。 北京所有分公司及銷售網點都通過E1專線和總公司相連，整個北京地區(qū)相當于一個大型局域網，從而可以確保網絡的安全性和穩(wěn)定性。北京各分公司及銷售網點與總公司之間都使用4條E1專線相連。4條E1專線分別捆綁成2條4M鏈路連接到不同的總公司內網路由器。網絡穩(wěn)定性、帶寬以及通信延遲時間的保證，可以提高公司內網視頻會議的通信質量。在北京所有公司及銷售網點的網絡通過OSPF路由協(xié)議實現(xiàn)網絡互聯(lián)，并根據網絡具體結構將OSPF網絡劃分成3個區(qū)域。在專線網絡通過QoS技術為視頻流量預留一定

8、的帶寬，從而優(yōu)化網絡帶寬，提高視頻會議的通信質量。1.5設備選型1.選型的基本原則可以對單各文件或者文件夾設置權限。從網絡的穩(wěn)定性和可靠性考慮，所有交換、路由以及安全設備統(tǒng)一選用Cisco品牌，采用Cisco的整體解決方案。從工程預算成本考慮，盡量使用原有設備，可以適當更換一些性能不夠用或不穩(wěn)定的設備，不要刻意追求高性能、功能強的高端設備。從網絡的擴展性考慮，設備的接口、模塊數(shù)量要預留出一定的空間，設備的背板帶寬、連接數(shù)等關鍵性能參數(shù)也應預留一定的升級空間。2.安全設備選型 總公司的網關防火墻對于整個Thor集團網絡至關重要，它不但擔負這整個北京地區(qū)所有公司的Internet接入，更肩負這與上

9、海、青島分公司的VPN通信，所以工程部決定購買Cisco，而上海和青島倆家分公司采用Cisco設備即可。如表1-1所示，為兩款防火墻的參數(shù)對比。3.交換設備選型北京總公司原先使用的核心交換設備為Cisco4530，綜合考慮網絡的擴展性和設備的性價比，工程部決定購買兩臺企業(yè)級Cisco?？偣緝染W要實現(xiàn)“千兆到骨干，百兆到桌面”，所以原先的接入的交換機如果沒有千兆上行口，就必須更換到。更換后的接入交換機應為Cisco3750，或Cisco2960交換機。由于實現(xiàn)對業(yè)務的統(tǒng)一管理，所以總公司服務器的訪問量將會很大，因此將所有服務器連接到Cisco2960的千兆以太網交換機上，通過交換機的4各SFP

10、千兆上行口兩兩綁定以太網通道并連接到雙核心交換上。具體Cisco交換機參數(shù)見表1-2.表1-2 Cisco交換機參數(shù)產品系列號設備型號背板帶寬轉發(fā)速率最大vlan 數(shù)端口密度機架單元（RU）Cisco 3750系列Cisco 3750-48TS-S481012824-10/100/1000TX1Cisco 2960系列Cisco 2960-24TT166.525524-10/100；2-10/100/1000TX14.路由設備 北京Loki公司與各分公司和分銷網點通過專線相連，相當于公司的內部網絡，所以網關設備沒有選用防火墻，而采用Cisco的路由器進行通信。專線網絡的結構明顯是一個總部網絡和

11、分支網絡的互聯(lián)結構，因此總部的網管設備性能比分校網店的設備要高一些。工程部規(guī)劃北京總公司的路由器購買Cisco 7200，而分公司和分銷點網點統(tǒng)一購買的是Cisco 3600。如表1-3所示為Cisco7200系列和Cisco3600系列。表1-3CiSCO 路由器參數(shù)表設備型號固話LAN接口接口卡插槽網絡模塊插槽QoS和VPN的支持Cisco 3600兩個網絡插槽NM-1FE2W;NM-2FE2W;NM-1FE1R2W;NM-2W支持Cisco 7200支持2.1設計目標和原則 Thor集團有限責任公司的信息化建設已經成為整個集團發(fā)展的重要組成部分，近幾年集團的發(fā)展成為整個集團網絡信息化建設

12、的驅動力。雖然Thor集團網絡依然可以保證房地產業(yè)務的正常進行，但在集團各分公司和分銷網點間傳輸業(yè)務信息的可靠性和安全性方面暴露的問題很可能制約集團實體業(yè)務的發(fā)展速度。為了適應公司尸體業(yè)務的發(fā)展需求，并考慮到集團的快速發(fā)展給信息化建設帶來的壓力，網絡工程部建議Thor集團信息化建設進入第二期網絡改造階段。2.1.1設計目標 本次Thor集團網絡改造項目的設計目標如下。根據Thor集團信息化的需求，對網絡系統(tǒng)進行總體規(guī)劃，并納入所需業(yè)務。部署網絡中心節(jié)點，提升網絡安全系數(shù)，加強網絡的可靠性和穩(wěn)定性。整改Thor集團北京地區(qū)的廣域網結構，依據專線網絡的部署和設計規(guī)范，確定通州、昌平、房山等分銷網點

13、接入北京Loki房產公司的互聯(lián)方式及部署方案。 根據Loki公司內網的實際業(yè)務訪問量，并兼顧未來發(fā)展，設計出安全、可靠、穩(wěn)定的公司內網結構。實現(xiàn)內網服務器和外網Loki-R3600-05之間的的VPN接入，并實現(xiàn)總公司對這些業(yè)務的統(tǒng)一管理。2.1.1設計原則 本著“投資保護、高可靠性、安全性擴展性”的原則，加強在網絡通信及系統(tǒng)中的安全管理、技術和產品的全面落實，最終建設一個高校、可靠、安全的網絡通信及應用系統(tǒng)。其中設計原則主要體現(xiàn)在以下幾方面。系統(tǒng)的實用性和集成性系統(tǒng)的軟硬件設計和集成，均應以實用為第一宗旨，在系統(tǒng)充分適應應用需求的基礎上再考慮其它方面的功能和性能。Thor集團的網絡系統(tǒng)所包含

14、的內容很多，系統(tǒng)設計時必須能將各種先進的軟硬件設備有效集成，使系統(tǒng)的各個組成部分能充分發(fā)揮作用，協(xié)調一致地進行高效工作。標準性和開放性只有支持標準性和開放性的系統(tǒng)，才能支持與其他開放型系統(tǒng)一起協(xié)同工作，在網絡中采用的硬件設備及軟件產品應支持國際工業(yè)標準或是事實上的標準，以便能和不同廠家的開放型產品在一網絡中同時共存。先進性和安全性系統(tǒng)所有的組成要素均應充分地考慮其先進性。不要一味地追求實用而忽略先進，只有將當今最先進的技術和我們的實際應用要求緊密結合，才能獲得最大的系統(tǒng)性能和效益。另外，網絡的安全至關重要的，在某些情況下，寧可犧牲系統(tǒng)的部分功能也必須保證系統(tǒng)的安全。對于網絡安全方面主要需要考慮

15、以下幾方面。在設備安全方面主要包括：設備的物理安全和設備的訪問安全。數(shù)據保密。對于通過Internet傳輸?shù)闹匾獢?shù)據，可以使用VPN技術進行加密以保證數(shù)據的安全性。在公司內網不需要進行加密。通過防火墻等安全設備進行安全防護。通過ACL限制，來增強服務器的安全。成熟性和高可靠性作為信息系統(tǒng)基礎的網絡結構和網絡設備及設備之間的貸款應能充分地滿足網絡通信的需求。網絡硬件體系結構在實際應用中能經受較長時間的考驗，在運行速度和性能呢剛上應該是穩(wěn)定可靠的，并擁有完善的、使用的解決方案。硬件設備應在全球范圍內有廣泛的使用，并且硬件廠商要有實力雄厚的售后支持隊伍。同時，應從長遠的技術發(fā)展來選擇具有很好前景的、

16、較為先進的技術和產品，以適應系統(tǒng)未來的發(fā)展需求。 可靠性也是衡量一個計算機應用系統(tǒng)的重要標準之一。在確保系統(tǒng)網絡環(huán)境中單獨設備穩(wěn)定、可靠運行的前提下，還需要考慮網絡整體的容錯能力、安全性及穩(wěn)定性，在系統(tǒng)出現(xiàn)問題和故障時能迅速地修復。因此需要采取一定的預防措施，如對關鍵應用和主干設備考慮適當?shù)娜哂?。應急處理信息系統(tǒng)能夠全天候工作，達到每周7*24小時工作的要求。網絡的可靠性主要取決于兩方面：設備的可靠性和網絡拓撲的冗余。設備可靠性在選擇設備時需要從設備的可靠性、轉發(fā)能力、端口類型數(shù)量、價格等方面進行考慮。 設備的可靠性主要考慮設備模塊的冗余，除此之外還需呀考慮設備的廠商，盡量選擇如Cisco、H

17、uawei等知名品牌廠商的設備。網絡冗余網絡拓撲的冗余包括，設備冗余和線路冗余。設備冗余一般使用備份技術（HSRP、VRRP等）實現(xiàn)一臺設備出現(xiàn)故障時，令一臺設備可以保證網絡的正常運行。線路冗余一般為全互聯(lián)或多條連路連接?？删S護性和可管理性整個信息網絡系統(tǒng)中的互連設備，應是使用方便、操作簡單易學，并便于維護和管理。對復雜和怕更大的網絡，要求有強有力的網絡管理手段，一邊合理地管理網絡資源，監(jiān)視網絡狀態(tài)及控制網絡的運行。因此，所選的網絡設備應支持SNMP、RMON、SMON等協(xié)議，管理員通過網管工作站就能方便地進行網絡管理、維護及修復。在設計和實現(xiàn)計算機應用系統(tǒng)時，必須充分考慮整個系統(tǒng)的便于維護性

18、，以保證一旦系統(tǒng)發(fā)生故障能夠及時提供有效手段恢復業(yè)務，盡量減少損失。 部署網絡管理一般分為兩種形式：帶內網管和帶外網關。可擴充性和兼容性網絡的拓撲結構應具有可擴展性即網絡連接必須在系統(tǒng)結構、系統(tǒng)容量與處理能力、物理連接、產品支持等方面具有擴充與升級換代的可能，采用的產品要遵循通用的工業(yè)標準，一邊不同類型的設備能方便靈活地接入網絡并滿足系統(tǒng)規(guī)模擴充的要求。2.2設備清單、命名及連接2.2.1設備使用統(tǒng)計 2.2.2設備命名及連接 由于Thor集團網絡使用設備較多，為了便于管理和維護需要對設備進行統(tǒng)一的命名，命名規(guī)則應該規(guī)范化，并且命名規(guī)則應該便于理解。Thor公司采用三段式的命名規(guī)則，即AAAA

19、-BBBB-CC。其中AAAA為設備所屬的公司，使用漢字拼音的首字母縮寫；BBBB表示設備的型號；CC表示設備序號，如果前兩項相同可以使用數(shù)字標號標識。具體設備命名如表2-2所示。Thor集團網絡設備命名表設備命名設備型號描述Loki-R3600-01R3600Loki公司內網專線網關設備Loki-R3600-02R3600分公司網關路由設備Loki-R3600-03R7200Loki公司外網網關設備Loki-R3600-04R3600模擬外網設備Loki-R3600-05R3600外網驗證IPSECVPN設備Loki-SW3750-01SW3750Loki公司核心交換冗余設備Loki-SW3

20、750-02SW3750Loki公司核心交換冗余設備Loki-SW3750-02SW2960Loki公司核心交換設備2.3VLAN及IP地址的規(guī)劃 本次改造工程繼續(xù)使用之前的網站地址（），但為了避免IP地址的沖突，重新對IP對峙進行規(guī)劃。工程部：/24；市場部：/24；財務部：/24；外網網關：/24；2.3.1網絡核心設備互相連接地址 網絡核心設備互連地址，如表2-6所示。表2-6 核心網絡設備互聯(lián)地址表設備名稱接口及地址對端設備接口及地址連接方式Loki-R7200-03S0/0;/24Loki-R3600-04S0/0;/24VPN連接的Internet鏈路Loki-SW2960-032

21、3Loki-SW3750-0222Trunk鏈路24Loki-SW3750-0122Trunk鏈路3Vlan10/24以太網鏈路5Vlan20/24以太網鏈路11Vlan30/24以太網鏈路16Vlan40/24以太網鏈路Loki-SW3750-0112Loki-R3600-04F0/0/24以太網鏈路22Loki-SW2960-0324Trunk鏈路23Loki-SW3750-0223以太網鏈路24Loki-SW3750-0224以太網鏈路Loki-SW3750-0212Loki-R3600-04F0/1 /24以太網鏈路11Loki-R3600-01F0/1/24以太網鏈路23Loki-S

22、W3750-0123以太網鏈路24Loki-SW3750-0124以太網鏈路22Loki-R720023Trunk鏈路2.3.2設備管理IP地址 具體設備管理地址，如表2-7所示。表2-7 網絡設備管理地址表設備名稱管理IP描述Loki-PC-011ACS代理服務器Loki-PC-020http服務器Loki-PC-030工程部Loki-PC-040市場部Loki-PC-050財務部2.3.3 集團公司用戶VLAN與IP地址 要求為該公司每個部門劃分單獨的VLAN，以減少不必要的廣播并增強網絡安全性。具體劃分如表2-5所示。表2-8 用戶VLAN及IP所在公司功能VLAN IDIP地址網段總部

23、總部服務器VLAN 10/24工程部VLAN 20/24市場部VLAN 30/24財務部VLAN 40/242.4具體配置總公司核心交換部分的配置由于此次改造工程北京Loki公司的內網VLAN數(shù)量較多，因此采用MSTP技術將所有的vlan按照流量大小等分為兩組實例（instance 1和instance 2），針對這兩組實例實現(xiàn)生成樹的負載均衡。Instance 1Instance 2Loki-SW3750-01VLAN10 VLAN20VLAN30 VLAN40Loki-SW3750-02VLAN10 VLAN20VLAN30 VLAN402.4.1Loki-SW3750-01的配置：hos

24、tname Loki-SW3750-01no aaa new-modelswitch 1 provision ws-c3750-24tssystem mtu routing 1546ip subnet-zeroip routing配置MSTPspanning-tree mode mstspanning-tree extend system-idspanning-tree mst configurationname xilinrevision 1instance 1 vlan 1, 10, 20 /將vlan10,20劃分到實例1，作為SW1_3750A的主根instance 2 vlan 30

25、, 40/將vlan30,40劃分到實例2，作為SW1_3750A的備根spanning-tree mst 1 priority 24576spanning-tree mst 2 priority 28672vlan internal allocation policy ascendinginterface Port-channel1switchport trunk encapsulation dot1qswitchport mode trunkinterface FastEthernet1/0/1interface FastEthernet1/0/2interface FastEtherne

26、t1/0/3interface FastEthernet1/0/4interface FastEthernet1/0/5interface FastEthernet1/0/6interface FastEthernet1/0/7interface FastEthernet1/0/8interface FastEthernet1/0/9interface FastEthernet1/0/10interface FastEthernet1/0/11interface FastEthernet1/0/12no switchportip address speed 100duplex fullinte

27、rface FastEthernet1/0/13interface FastEthernet1/0/14interface FastEthernet1/0/15interface FastEthernet1/0/16interface FastEthernet1/0/17interface FastEthernet1/0/18interface FastEthernet1/0/19interface FastEthernet1/0/20interface FastEthernet1/0/21interface FastEthernet1/0/22switchport trunk encapsu

28、lation dot1qswitchport mode trunkinterface FastEthernet1/0/23switchport trunk encapsulation dot1qswitchport mode trunkchannel-group 1 mode oninterface FastEthernet1/0/24switchport trunk encapsulation dot1qswitchport mode trunkchannel-group 1 mode oninterface GigabitEthernet1/0/1interface GigabitEthe

29、rnet1/0/2interface Vlan1no ip address24.1.2HSRP的配置interface Vlan10ip address ip ospf flood-reduction/使LSA的更新失去作用ip ospf mtu-ignore/禁用開放OSPF最大傳輸單元(MTU)接收數(shù)據描述符不匹配檢測standby 10 ip 54standby 10 priority 150standby 10 preemptstandby 10 track FastEthernet1/0/12 70interface Vlan20ip address ip access-group

30、v10 inip ospf flood-reductionip ospf mtu-ignorestandby 20 ip 54standby 20 priority 150standby 20 preemptstandby 20 track FastEthernet1/0/12 70interface Vlan30ip address ip access-group v20 inip ospf cost 65535ip ospf flood-reductionip ospf mtu-ignorestandby 30 ip 54standby 30 preemptinterface Vlan40

31、ip address ip ospf cost 65535ip ospf flood-reductionip ospf mtu-ignorestandby 40 ip 54standby 40 preemptrouter ospf 110router-id log-adjacency-changesnetwork 55 area 0network 55 area 0network 55 area 0network 55 area 0network 55 area 0ip classlessip route FastEthernet1/0/12ip http serverip http secu

32、re-serverip access-list extended v20permit ip any 55permit ospf any anyip access-list extended v30permit ip any 55permit ospf any anyline con 0line vty 0 4password ciscologinline vty 5 15loginend2.4.2 Loki-SW3750-02的配置：hostname Loki-SW3750-02spanning-tree mode mstspanning-tree extend system-idspanni

33、ng-tree mst configuration name xilin revision 1/將vlan10，20劃分到實例1，作為SW2_3750B的備根，將vlan30，40劃分到實例2，作為SW2_3750B的主根 instance 1 vlan 10, 20 instance 2 vlan 30, 40 MSTP的配置spanning-tree mst 1 priority 28672spanning-tree mst 2 priority 24576vlan internal allocation policy ascendinginterface Port-channel1swi

34、tchport trunk encapsulation dot1qswitchport mode trunkinterface FastEthernet1/0/1interface FastEthernet1/0/2interface FastEthernet1/0/3interface FastEthernet1/0/4interface FastEthernet1/0/5interface FastEthernet1/0/6interface FastEthernet1/0/7interface FastEthernet1/0/8interface FastEthernet1/0/9int

35、erface FastEthernet1/0/10interface FastEthernet1/0/11interface FastEthernet1/0/12no switchportip address speed 100duplex fullinterface FastEthernet1/0/13interface FastEthernet1/0/14interface FastEthernet1/0/15interface FastEthernet1/0/16interface FastEthernet1/0/17interface FastEthernet1/0/18interfa

36、ce FastEthernet1/0/19interface FastEthernet1/0/20interface FastEthernet1/0/21interface FastEthernet1/0/22switchport trunk encapsulation dot1q /協(xié)議封裝switchport mode trunkinterface FastEthernet1/0/23switchport trunk encapsulation dot1qswitchport mode trunkchannel-group 1 mode oninterface FastEthernet1/

37、0/24switchport trunk encapsulation dot1qswitchport mode trunk 以太通道綁定channel-group 1 mode oninterface GigabitEthernet1/0/1interface GigabitEthernet1/0/2interface Vlan1no ip addressinterface Vlan10ip address ip ospf cost 65535ip ospf flood-reductionip ospf mtu-ignorestandby 10 ip 54standby 10 preempti

38、nterface Vlan20ip address ip access-group v20 inip ospf cost 65535ip ospf flood-reductionip ospf mtu-ignorestandby 20 ip 54standby 20 preemptinterface Vlan30ip address ip access-group v30 inip ospf flood-reductionip ospf mtu-ignorestandby 30 ip 54standby 30 priority 150standby 30 preemptstandby 30 t

39、rack FastEthernet1/0/12 70interface Vlan40ip address ip ospf flood-reductionip ospf mtu-ignorestandby 40 ip 54standby 40 priority 150standby 40 preemptstandby 40 track FastEthernet1/0/12 702.4.2 .3 配置OSPFrouter ospf 110router-id log-adjacency-changes /激活OSPF鄰接關系network 55 area 0network 55 area 0netw

40、ork 55 area 0network 55 area 0network 55 area 0ip classlessip route FastEthernet1/0/12ip http serverip http secure-serverip access-list extended v20permit ip any 55permit ospf any anyip access-list extended v30permit ip any 55permit ospf any anyline con 0line vty 0 4password ciscologinline vty 5 15l

41、oginend2.4.3. Loki-SW2960-03的配置：MSTP的配置hostname Loki-SW2960-03spanning-tree mode pvstspanning-tree extend system-idvlan internal allocation policy ascendinginterface GigabitEthernet0/1 switchport access vlan 10 switchport mode accessinterface GigabitEthernet0/2switchport access vlan 10switchport mod

42、e accessinterface GigabitEthernet0/3switchport access vlan 10switchport mode accessinterface GigabitEthernet0/4interface GigabitEthernet0/5switchport access vlan 20switchport mode accessinterface GigabitEthernet0/6interface GigabitEthernet0/7interface GigabitEthernet0/8interface GigabitEthernet0/9in

43、terface GigabitEthernet0/10interface GigabitEthernet0/11switchport access vlan 30switchport mode accessinterface GigabitEthernet0/12interface GigabitEthernet0/13interface GigabitEthernet0/14interface GigabitEthernet0/15interface GigabitEthernet0/16switchport access vlan 40switchport mode accessinter

44、face GigabitEthernet0/17interface GigabitEthernet0/18interface GigabitEthernet0/19interface GigabitEthernet0/20interface GigabitEthernet0/21interface GigabitEthernet0/22interface GigabitEthernet0/23switchport trunk encapsulation dot1qswitchport mode trunkinterface GigabitEthernet0/24switchport trunk

45、 encapsulation dot1qswitchport mode trunkinterface GigabitEthernet0/25interface GigabitEthernet0/26interface GigabitEthernet0/27interface GigabitEthernet0/28interface Vlan1no ip addressno ip route-cacheshutdowninterface Vlan10ip address no ip route-cacheip default-gateway 54ip http serverline con 0l

46、ine vty 0 4no loginline vty 515no loginEndLoki公司的專線鏈路配置：1.Loki-R3600-01的配置：hostname Loki-R7200-01int f0/0ip add no shutint f0/1ip add no shutrouter ospf 110router-id network 55 area 0network 55 area 12.Loki-R3600-02的配置：hostname Loki-R7200-02int f0/0ip add no shutint f0/1ip add no shutLoki公司核心路由器Loki

47、-R7200-03的配置：1.1 配置IPSec VPNhostname Loki-R7200-03crypto isakmp policy 10 /建立IKE協(xié)商策略，策略號為10Encr 3des /3des加密算法hash md5 /采用hash密鑰認證算法authentication pre-share /采用預先共享的密鑰group 2crypto isakmp key cisco address /密碼為cisco 對端IP為crypto ipsec transform-set Trans esp-des esp-md5-hmac /傳輸模式的名稱為Trans,后面的為其采用的驗證

48、和加密參數(shù)crypto map cry-map 10 ipsec-isakmp /此IPSec鏈接采用IKE自動協(xié)商set peer /指定VPN鏈路set transform-set Trans /設置傳輸模式的名稱為Transmatch address vpn /ACL列表名為vpninterface FastEthernet0/0ip address ip nat insideip virtual-reassemblyip ospf mtu-ignorespeed 100full-duplexinterface Serial0/0ip address ip nat outsideip v

49、irtual-reassemblyno fair-queuecrypto map cry-mapinterface FastEthernet0/1ip address ip nat insideip virtual-reassemblyip ospf mtu-ignorespeed 100full-duplexinterface Serial0/1no ip addressShutdown1. 2 OSPF的配置router ospf 110router-id log-adjacency-changesnetwork 55 area 0network 55 area 01.3 內網與外網之間的

50、RIP配置router ripversion 2network no auto-summaryip forward-protocol ndip route ip http serverno ip http secure-serverip nat inside source list pat interface Serial0/0 overloadip access-list extended patdeny ip host 0 anypermit ip host 1 anyip access-list extended vpn/允許服務器0訪問permit ip host 0 55contro

51、l-planeline con 0exec-timeout 0 0line aux 0line vty 0 4password ciscologinend1.4配置SSL VPNinterface Serial0/0access sslvpn /配置接口，開啟SSLVPNaccess httpsuser access cisco local cisco /創(chuàng)建本地認證用戶usergroup cisco sslvpn mode all /創(chuàng)建本地認證用戶組user access cisco group 2 /用戶與用戶組關聯(lián)sslvpnresource-group 3resource-group

52、 3 group 2resource web server 0 prot 80 type web enableresource web group 3ensble(模擬外網)Loki-R3600-04的配置：hostname Loki-R3600-04username cisco password 0 ciscointerface Loopback0ip address interface Ethernet0/0no ip addressshutdownhalf-duplexinterface Serial0/0ip address clockrate 2000000interface Eth

53、ernet0/1ip address no shutdownhalf-duplexinterface Serial0/1ip address clockrate 2000000router ripversion 2network network network no auto-summaryip classlessip http serverip pim bidir-enableline con 0line aux 0line vty 0 4password ciscologinendLoki-R3600-05的配置：hostname Loki-R3600-05 no ip domain lo

54、okupcrypto isakmp policy 10encr 3deshash md5authentication pre-sharegroup 2crypto isakmp key cisco address crypto ipsec transform-set cisco esp-des esp-md5-hmac crypto map cisco 10 ipsec-isakmp set peer set transform-set cisco match address vpninterface FastEthernet0/0ip address duplex autospeed aut

55、ointerface Serial0/0no ip addressshutdownno fair-queueinterface FastEthernet0/1no ip addressshutdownduplex autospeed autointerface Serial0/1ip address crypto map ciscointerface Serial0/2no ip addressshutdowninterface Serial0/3no ip addressshutdownrouter ripversion 2network no auto-summaryip forward-

56、protocol ndip route ip http serverno ip http secure-serverip access-list extended vpnpermit ip 55 host 0control-planeline con 0exec-timeout 0 0logging synchronousline aux 0line vty 0 4password ciscologinEnd4.1測試驗收測試驗收的相關規(guī)范如下。 確認設備、環(huán)境等條件是否為正常運行后的情況，是否符合測試驗收要求。在測試驗收過程中填寫測試報告，并簽字或蓋章。如果測試中發(fā)生問題，應及時通知相關責任

57、人，進行故障處理。測試驗收問題包括相關功能沒有實現(xiàn)、配置錯誤、設備缺損、環(huán)境不滿足要求等。所有測試驗收數(shù)據均應認真記錄，最終測試報告應由測試人及確認人簽字。4.1.1測試結果 總公司內網部分：工程部、市場部、財務部之間不可互相訪問。總公司內網部分：VLAN 10和工程部、市場部、財務部之間可以互相訪問 。4個VLAN都可以訪問外網，但是工程部、市場部、財務部需要通過VLAN10中的ACS服務代理訪問外網。專線和內網之間可以互相訪問。5.1 Linux服務搭建部分需求分析DNS服務，對內外網提供域名解析FTP服務HTTP服務SMTP服務問題分析在搭建的DNS服務的時候，配置文件已經寫好，但正向或

58、反向解析出錯匿名用戶可以登錄，但實名用戶無法登錄實施步驟搭建DNS服務建立一個yum容器 vim /etc/yum.repo.d/test.repo編輯test.reponame111111name=111111baseurl=file:/mnt/dvd(檢查mnt目錄下有無dvd沒有的話建立一個)enabled=1gpgcheck=0保存ii.掛載 mount dev/sr1 mnt/dvdiii.裝包 yum install -y bind正向解析：iv.文件配置 named.conf文件配置1.vim /etc/named.cof2.listen-on port 53any;3.allo

59、w-query(any;);named.rfc1912.zones配置vim /etc/named.rfc1912.zonesZone “” INtype master;file named.swfu;Allow-updatenone;cp named.localhost named.swfu更改name.swfu的權限chgrp named /var/named/named.swfu配置named.swfu文件 vim /var/named/named.swfu$TTL1D IN SOA . root(0 ;serial1D ;refresh1H ;retry1W ;expire3H );miniumNS .dns A 28 /正向解析 域名-IPwww A 28重啟服務/etc/init.d/named restartchkconfig named onvim /etc/resolv.conf search nameserver 28反向解析Vim /etc named.rfc1912.zoneszone 70.168.192. IN type master; file named.192; allow-update none;