精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)網(wǎng)絡(luò)通信課程設(shè)計報告專業(yè):信息安全班級:09-3小組成員：xxxxxxxxx指導(dǎo)教師：xxxxxxx中國礦業(yè)大學(xué)計算機科學(xué)與技術(shù)學(xué)院2011年7月徐州案例：某集團公司共六個分公司，其中四個在集團工業(yè)園內(nèi)各個建筑物內(nèi)，總部為工業(yè)園內(nèi)30層的主樓，第一分公司與主樓相距50米，第二分公司與主樓相距50米，第三分公司與主樓相距5公里，第四分公司與主樓相距8公里，另外兩個分公司在另外的兩個城市有各自的辦公樓。各公司及總部都有自己的計算機室，財務(wù)部(caiwu)，行政部(xingzheng)，生產(chǎn)部(shengchan)，研發(fā)部(yanfa)，后勤部(houqin)，業(yè)務(wù)部(yewu)及人力資源部(renli)?？傮w設(shè)計技術(shù)要求：1、路由器和交換機的基本配置2、服務(wù)器的基本配置(Mail,FTP,Web)3、VLAN的劃分、VTP4、動/靜態(tài)路由協(xié)議的配置5、DHCP、DNS6、NAT、ACL7、遠程訪問VPN8、AAA中的WebPortal認證總體設(shè)計內(nèi)容：1.網(wǎng)絡(luò)總體設(shè)計拓撲：設(shè)備基本選型：1．核心層設(shè)備選型：核心層是整個內(nèi)部網(wǎng)絡(luò)高速交換中樞，對整個網(wǎng)絡(luò)的連通性和網(wǎng)絡(luò)的性能起到至關(guān)重要的作用。核心網(wǎng)絡(luò)層網(wǎng)絡(luò)設(shè)備的選擇上需要保證未來的網(wǎng)絡(luò)應(yīng)該具有如下特性：可靠性，高效性，冗余性，容錯性，可管理型，適應(yīng)性和低延時性等。故可用萬兆核心交換機作為整個校園網(wǎng)核心層的交換機。2．匯聚層設(shè)備選型：匯聚層應(yīng)具有實施策略，安全，工作組計入，虛擬局域網(wǎng)之間的路由，源地址或目的地址過濾等多種功能?？紤]到園區(qū)網(wǎng)內(nèi)本地應(yīng)用復(fù)雜，流量大，可采用全千兆三層交換機，可支持多個千兆端口，具有48Gb/s以上的背板帶寬，二，三層包轉(zhuǎn)發(fā)率達到18Mpps以上，支持冗余電源接口。3..接入層設(shè)備選型：接入層向本地網(wǎng)段提供工作站接入，是桌面設(shè)備的匯聚點。由于園區(qū)需求量大，可選用多個級連的hub或堆疊的二層LAN交換機，構(gòu)成一個獨立的局域子網(wǎng)，在分布層為各個子網(wǎng)間建立路由。服務(wù)器設(shè)備選型：1．主域服務(wù)器：主域服務(wù)器是整個網(wǎng)絡(luò)域控制器，作為網(wǎng)絡(luò)用戶登錄服務(wù)器，保存有部門網(wǎng)絡(luò)用戶信息。2．web和ftp服務(wù)器：該服務(wù)器為網(wǎng)絡(luò)用戶提供信息瀏覽和文件下載。該服務(wù)器需要有較大的硬盤和內(nèi)存空間，要有較快的網(wǎng)絡(luò)響應(yīng)。這兩個邏輯服務(wù)器各異設(shè)置在一太物理服務(wù)器上。3.DNS和DHCP服務(wù)器：由于網(wǎng)絡(luò)用戶過多，可設(shè)置DHCP服務(wù)器，以減少地址維護工作和防止地址沖突的發(fā)生。這兩個服務(wù)器可設(shè)置在一臺物理服務(wù)器中。設(shè)備位置:設(shè)備應(yīng)放在一個通風(fēng)良好，防外界電磁干擾條件的環(huán)境中。如圖所示，本次模擬實驗要用到：設(shè)備類型數(shù)量3560交換機7臺2620XM路由器若干臺2950交換機若干臺PC若干臺直連線若干交叉線若干光纜2根服務(wù)器若干說明：由需求得，分公司3和分公司4相隔較遠，在此處用光纜（圖中沒有標出來）。由于此圖的局限性，并沒有完全地展示這一個工程的具體拓撲，只能大概的說明一下，所有有些地方并不是很完整。3.配置方案:此需求中要求這個公司有一個總部，6個分部，用7臺三層交換機表示其核心的交換機。VTP和VLAN的配置：此處以sw1為例，分公司1是由一個核心交換機、N個2950-24交換機和N臺PC等組成，這里只是表示其中2臺設(shè)備（由于配置都大致相同，就不一一舉例了）。該公司都有自己的計算機室，財務(wù)部，行政部，生產(chǎn)部，研發(fā)部，后勤部，業(yè)務(wù)部及人力資源部。這里將這七個部門分為7個vlan，分別叫caiwu，xingzheng，shengchan，yanfa，houqing，yewu，和renli。此圖中只有caiwu和xingzheng兩個部門。則VTP的配置：sw1(config)#vtpdomainCCIEsw1(config)#vtppasswordciscosw1(config)#vtpmodeserver在caiwu和xingzheng上：vtpdomainCCIEvtppass wordciscovtpmodeclient他們只需要客戶端就行了，只從服務(wù)端接收關(guān)于vlan等的信息，達到同步。VLAN的劃分：Sw1(config)#vlan10Sw1(config-vlan)#namecaiwuSw1(config-vlan)#exiSw1(config)#vlan20Sw1(config-vlan)#namexingzhengSw1(config-vlan)#exiSw1(config)#vlan30Sw1(config-vlan)#nameshengchanSw1(config-vlan)#exiSw1(config)#vlan40Sw1(config-vlan)#nameyanfaSw1(config-vlan)#exiSw1(config)#vlan50Sw1(config-vlan)#namehouqingSw1(config-vlan)#exiSw1(config)#vlan60Sw1(config-vlan)#nameyewuSw1(config-vlan)#exiSw1(config)#vlan70Sw1(config-vlan)#namerenliSw1(config-vlan)#exi此時，不要忘了將交換機連接PC的接口劃入到相應(yīng)的vlan中，不然不生效。在caiwu上：Sw10(config)interfacef0/1Sw10(config-if)switchportmodeaccessSw10(config-if)switchportaccessvlan10在其他部門和其他分公司上的配置和以上類似，就不一一舉例了。千萬不要忘了在公司主交換機和部門子交換機之間運行trunk封裝協(xié)議：Switchporttrunkencapsulationdot1qSwitchportmodetrunkIP地址規(guī)劃：該企業(yè)有一個主公司，6個分公司，每個公司下又有7個部門，每個部門下又可有有N個主機。所以，IP分配如下：主公司：/24分公司1：/24分公司2：/24分公司3：/24分公司4：/24分公司5：/24分公司6：/24而每個公司下又有7個部門：（每個公司的X值跟上面對應(yīng)）財務(wù)：192.168.x.0/27行政：192.168.x.32/27生產(chǎn)：192.168.x.64/27研發(fā)：192.168.x.96/27后勤：192.168.x.128/27業(yè)務(wù)：192.168.x.160/27人力：192.168.x.192/27接入層地址用DHCP：每個分公司（包括主公司）如果需要用DHCP分配IP的話，就用這種方式，但是相對比較麻煩。DHCP服務(wù)器地址池配置上圖是分公司1的財務(wù)部的DHCP地址池，分配了/27這個網(wǎng)段。DNS服務(wù)器在此處順便運用了DNS服務(wù)器。然后在路由器上做配置，interfaceFastEthernet0/1

ipaddress

iphelper-address

在DHCP的Client端做配置：此時，可以發(fā)現(xiàn)，在PC1上運用DHCP自動獲取地址的話，會有地址產(chǎn)生。三層動態(tài)路由協(xié)議配置：因為ciscopackettracer的局限性，只支持Rip協(xié)議，所以用Rip協(xié)議來支持整個公司的路由通信。以分公司1為例，他的IP地址為/24，則分公司1所需的主要配置命令為：Interfacef0/1IpaddressNoshutdownExiRouterripVer2Noauto-summaryNetworkExiACL和NAT的結(jié)合運用：在主公司需要與外部網(wǎng)絡(luò)進行通信的時候，需要用到NAT技術(shù)，而在NAT技術(shù)中，往往會伴隨著ACL技術(shù)，ACL技術(shù)其實是一門比較實用的技術(shù)，用起來很方便，此處用到了標準訪問控制列表（ACL的一種）。如圖，這是主公司連接外網(wǎng)的區(qū)域：路由器連接內(nèi)網(wǎng)的接口要打ipnatinside，而連接外網(wǎng)的接口則打ipnatoutside。主要在R3上做配置：access-list1permit55（ACL）ipnatinsidesourcelist1interfaceSerial0/3/0overload\\啟用NAT私有IP地址的來源來自于ACL1，使用serial0/3/0上的公共IP地址進行轉(zhuǎn)換，overload表示使用端口號進行轉(zhuǎn)換此時，在R3上showipnattranslations則會有表象如下（類似的）：ProInsideglobal

Insidelocal

Outsidelocal

Outsideglobal

icmp:23

:23

:23

:23

icmp:24

:24

:24

:24

icmp:25

:25

:25

:25

icmp:26

:26

:26

:26

icmp:27

:27

:27

:27

VPN：要實現(xiàn)主公司和分公司的通信，（通信內(nèi)容一般包含一些公司內(nèi)部的秘密信息）不能實用公網(wǎng)，直接跨過ISP進行通信，必須使用VPN。此處我們使用的是當前工程中用到比較多也比較好用的MPLSVPN，而且這門技術(shù)在加密、安全方面都不錯。但是運用這么技術(shù)的話，配置太過復(fù)雜了，實驗過程中，主要不知道ciscopackettracer這個軟件支持不支持，（感覺功能不是很強大），就說一下具體的設(shè)計過程吧。如下拓撲圖：R1、R2、R3分別代表兩個分公司和主公司，中間的Internet表示ISP，比如電信。要實現(xiàn)主公司和分公司的互相通信，必須要用到MPLSVPN。在電信內(nèi)部的配置說個大概吧，這主要是電信的事情（如果你的公司想配置VPN，跟電信一說，他會幫你把中間的東西配置完全，你只需要交一定的錢就行了）。在中間的Internet網(wǎng)絡(luò)中，需要先起一個三層的協(xié)議，例如OSPF，然后配置BGP，用作長距離傳輸數(shù)據(jù)，BGP作為MP-BGP，起MPLS，用標簽分發(fā)來通信。中間的邊界路由器和公司的路由器之間進行Rip和MP-BGP的雙向重分布路由。在R1、R2、R3上做一些簡單的配置，例如R1上;IpcefIpvrfZHURd10:1Router-target100:1 //RT值兩端一定要一樣，RD值沒有具體要求ExiMplslabelrange300399 //分配標簽Mplsldprouter-idlo0Interfaces1/0MplsipExi 剛才用了Rip協(xié)議保證公司內(nèi)部的通信，此處要進行Rip協(xié)議和外部網(wǎng)絡(luò)的雙向重分布才能完成。（客戶端的配置相對來說比較簡單）/r/