网络工程课程设计——某学校网络设计
Spring框架是一个开源的JavaEE的应用程序主要核心是
IOC(控制反转/依赖注入)和AOP(面向切面编程)两大技术
1. 需求分析
1.1 用户需求
用户需求就是花小钱办大事
1.2 技术需求
信息中心配置Eth-trunk实现链路冗余
企业内网划分多个vlan,减小广播域的大小,提高网络稳定性
核心交换机作为用户网关实现vlan间路由
所有用户均通过DHCP自动获得ip地址
出口配置NAT进行地址转换
在校园出口将内网服务器的80端口映射出去,允许外网用户访问
所有设备都可以被telnet远程管理
所有校区之间可以互访且出口实现冗余
学校财务服务器,只允许vlan40的员工访问
禁止vlan20的员工访问外网关键设备,并做好实时监控
2. 实现
2.1 topo搭建
上面是配置好的,但是笔者在课程答辩的时候被告知必须要使用防火墙,所以我加了一台但是没有配置。
2.2 vlan trunk配置
vlan900为管理vlan,用来配置telent
2.2.1 核心层
服务器组接入SW8
命令:
<Huawei>system //进入特权模式
[Huawei]sysname JR_sw8 //更换名称,防止设备过多名称混乱
[JR_sw8]interface Eth-Trunk 1
[JR_sw8-Eth-Trunk1]mode lacp-static //采用lacp的模式
[JR_sw8-Eth-Trunk1]trunkport gi 0/0/1 0/0/2
[JR_sw8-Eth-Trunk1]port link-type trunk
[JR_sw8-Eth-Trunk1]port trunk allow-pass vlan 200 900 //900为telnet管理vlan
详细配置:
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 200 900
mode lacp-static
#
interface Ethernet0/0/1
port link-type access
port default vlan 200
#
interface Ethernet0/0/2
port link-type access
port default vlan 200
SW1
命令:
[HX_sw1]int Eth-Trunk 1
[HX_sw1-Eth-Trunk1]mode lacp-static
[HX_sw1-Eth-Trunk1]trunkport g 0/0/2 0/0/5
[HX_sw1-Eth-Trunk1]port link-type trunk
[HX_sw1-Eth-Trunk1]port trunk allow-pass vlan 200 900
[HX_sw1-Eth-Trunk1]q//退出
[HX_sw1]vlan batch 10 20 30 40 200 900 //c
[HX-sw1-GigabitEthernet0/0/24]port link-type access
[HX-sw1-GigabitEthernet0/0/24]port default vlan 800
...略
详细配置:
#
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 200 900
mode lacp-static
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 900
#
interface GigabitEthernet0/0/2
eth-trunk 1
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 30 40 900
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 50 60 900
#
interface GigabitEthernet0/0/24
port link-type access
port default vlan 800
2.2.2 接入层
SW5
命令:
<Huawei>system //进入特权模式
[Huawei]sysname JR_sw5 //更换名称,防止设备过多名称混乱
[JR_sw5]vlan 10
[JR_sw5-vlan20]vlan 900 //创建vlan10和vlan900
[JR_sw5]port-group group-member e0/0/2 e0/0/3 //批量设置端口
[JR_sw5-port-group]port link-type access //设置trunk
[JR_sw5-port-group]port default vlan 10 //设置vlan
[JR_sw5]int gi0/0/1 //进行级联链路配置
[JR_sw5-GigabitEthernet0/0/1]port link-type trunk
[JR_sw5-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 900
配置:
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 900
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
#
interface Ethernet0/0/3
port link-type access
port default vlan 10
sw6-sw10交换机配置一样,这里笔者不在赘述
2.2.3 汇聚层
sw2
命令:
<Huawei>system //进入特权模式
[Huawei]undo in en //关闭端口回显
[Huawei]sysname HJ_sw2 //修改设备的名字
[HJ_sw2]vlan batch 10 20 900 //批量创建vlan
[HJ_sw2]int g0/0/2 //进入g0/0/2口
[HJ_sw2-GigabitEthernet0/0/2]port link-type trunk //设置端口模式为trunk
[HJ_sw2-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 900//允许vlan10 900通过
[HJ_sw2-GigabitEthernet0/0/2]int g0/0/3 //进入3口
[HJ_sw2-GigabitEthernet0/0/3]port link-type trunk
[HJ_sw2-GigabitEthernet0/0/3]port trunk allow-pass vlan 20 900
[HJ_sw2-GigabitEthernet0/0/3]int g0/0/1 //进入1口
[HJ_sw2-GigabitEthernet0/0/1]port link-type trunk
[HJ_sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 900
配置:
#
undo info-center enable
#
vlan batch 10 20 900
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 900
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 10 900
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 20 900
2.3 网关SVI配置
SVI(switch virtual interface),交换机虚拟接口。在华为模拟器中被称为vlan-if接口,其实就是给vlan兼路由的一种方式,作用在核心交换机上,给vlan配ip地址来作为用户的网关,为用户做网关,实现vlan兼路由
核心交换机sw1
命令:
<HX-sw1>system //进入如特权模式
[HX-sw1]int Vlanif 10 //进入虚拟接口
[HX-sw1-Vlanif10]ip add 192.168.10.1 24 //该ip地址作为vlan10的网关
[HX-sw1-Vlanif30]int vlanif 20
[HX-sw1-Vlanif40]ip ad 192.168.20.1 24
[HX-sw1-Vlanif30]int vlanif 30
[HX-sw1-Vlanif40]ip ad 192.168.30.1 24
[HX-sw1-Vlanif30]int vlanif 40
[HX-sw1-Vlanif40]ip ad 192.168.40.1 24
[HX_sw1]int vlanif 50
[HX_sw1-Vlanif50]ip address 192.168.50.1 24
[HX_sw1-Vlanif50]int vlanif 60
[HX_sw1-Vlanif60]ip address 192.168.60.1 24
[HX-sw1-Vlanif60]int vlanif 200
[HX-sw1-Vlanif200]ip ad 192.168.200.1 24
[HX-sw1-Vlanif200]int vlanif 800
[HX-sw1-Vlanif800]ip ad 192.168.254.2 24
配置:
Vlanif1 unassigned up down
Vlanif10 192.168.10.1/24 up up
Vlanif20 192.168.20.1/24 up up
Vlanif30 192.168.30.1/24 up up
Vlanif40 192.168.40.1/24 up up
Vlanif200 192.168.200.1/24 up up
Vlanif800 192.169.254.2/24 up up
至此可以先测试一下接入交换机到核心交换机的连通性
-
给pc1配静态地址(测试用,后期DHCP获取)
-
ping网关测试连通性
经测试连通性完好,现在进行下一步配置
2.4 DHCP配置
核心交换机sw1
命令:
<HX-sw1>system //进入特权模式
[HX-sw1]dhcp enable //启用dhcp协议
[HX-sw1]ip pool SYL_vlan10 //配置地址池并给地址池起个名字
//让地址池分配10网段的地址,分配子网掩码24位
[HX-sw1-ip-pool-syl_vlan10]network 192.168.10.0 mask 24
//分配网关
[HX-sw1-ip-pool-syl_vlan10]gateway-list 192.168.10.1
//分配dns服务器114,备用服务器8
[HX-sw1-ip-pool-syl_vlan10]dns-list 114.114.114.114 8.8.8.8
<!--同理配置地址池vlan20、30、40、50、60-->
ip pool syl_vlan20
gateway-list 192.168.20.1
network 192.168.20.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
ip pool JXL_vlan30
gateway-list 192.168.30.1
network 192.168.30.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
ip pool JXL_vlan40
gateway-list 192.168.40.1
network 192.168.40.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
ip pool TSG_vlan50
gateway-list 192.168.50.1
network 192.168.50.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
ip pool TSG_vlan60
gateway-list 192.168.60.1
network 192.168.60.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
<!--配置DHCP select global-->
[HX-sw1]int vlanif 10
[HX-sw1-Vlanif10]dhcp select global
//同理配置其余vlanif
[HX-sw1-Vlanif10]q
[HX-sw1]int vlanif 20
[HX-sw1-Vlanif20]dhcp select global
[HX-sw1-Vlanif20]q
[HX-sw1]int vlanif 30
[HX-sw1-Vlanif30]dhcp select global
[HX-sw1-Vlanif30]q
[HX-sw1]int vlan40
[HX-sw1-Vlanif40]dhcp select global
[HX-sw1-Vlanif40]q
[HX-sw1]int vlanif 50
[HX-sw1-Vlanif50]dhcp select global
[HX-sw1-Vlanif50]
[HX-sw1-Vlanif50]q
[HX-sw1]int vlanif 60
[HX-sw1-Vlanif60]dhcp select global
配置:
<!--地址池-->
#
ip pool syl_vlan10
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
#
ip pool syl_vlan20
gateway-list 192.168.20.1
network 192.168.20.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
#
ip pool jxl_vlan30
gateway-list 192.168.30.1
network 192.168.30.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
#
ip pool jxl_vlan40
gateway-list 192.168.40.1
network 192.168.40.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
#
ip pool tsg_vlan50
gateway-list 192.168.50.1
network 192.168.50.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
#
ip pool tsg_vlan60
gateway-list 192.168.60.1
network 192.168.60.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
至此可以查看DHCP是否配置成功
2.5 OSPF配置
2.5.1 接口地址配置
出口路由R1
命令:
[Huawei]sysname R1
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.254.1 24
[R1-GigabitEthernet0/0/1]q
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip ad 12.1.1.1 29
[R1-GigabitEthernet0/0/0]q
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 13.1.1.1 29
[R1-GigabitEthernet0/0/2]q
[R1]int g0/0/3
[R1-GigabitEthernet0/0/3]ip add 192.168.104.1 30
<!--新校区二仅做演示,和校区一相同,这里不在配置-->
配置:
Interface IP Address/Mask Physical Protocol
Ethernet0/0/0 192.168.105.1/30 up up
Ethernet0/0/1 unassigned down down
GigabitEthernet0/0/0 12.1.1.1/29 up up
GigabitEthernet0/0/1 192.168.254.1/24 up up
GigabitEthernet0/0/2 13.1.1.1/29 up up
GigabitEthernet0/0/3 192.168.104.1/30 up up
NULL0 unassigned up up(s)
R2
命令:
[Huawei]sysname YD_R2
[YD_R2]int e0/0/0
[YD_R2-Ethernet0/0/0]ip ad 12.1.1.6 29
//连接外网需要起一个环回口
[YD_R2]int LoopBack 0
[YD_R2-LoopBack0]description baidu //描述信息可有可无
配置:
略
R4
命令:
[XXQ1_R4-Ethernet0/0/0]int g0/0/0
[XXQ1_R4-GigabitEthernet0/0/0]ip ad 192.168.104.2 30
[XXQ1_R4-GigabitEthernet0/0/0]q
[XXQ1_R4]int e0/0/0
[XXQ1_R4-Ethernet0/0/0]ip ad 192.168.100.1 24
R5配置和R4一致,这里不再赘述
给新校区的网关配置静态ip地址
2.5.2 测试
经测试各个网段均连通
2.5.3 ospf协议配置
配置核心交换机sw1,启用ospf协议
命令:
[HX-sw1]ospf router-id 1.1.1.1 //配置route-id,就是一个标识而已
[HX-sw1-ospf-1]area 0 //划分区域
//宣告网络
[HX-sw1-ospf-1-area-0.0.0.0]network 192.168.200.0 0.0.0.255
[HX-sw1-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255
[HX-sw1-ospf-1-area-0.0.0.0]network 192.168.20.0 0.0.0.255
[HX-sw1-ospf-1-area-0.0.0.0]network 192.168.30.0 0.0.0.255
[HX-sw1-ospf-1-area-0.0.0.0]network 192.168.40.0 0.0.0.255
[HX-sw1-ospf-1-area-0.0.0.0]network 192.168.254.0 0.0.0.255
配置:
#
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 192.168.200.0 0.0.0.255
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
network 192.168.30.0 0.0.0.255
network 192.168.40.0 0.0.0.255
network 192.168.254.0 0.0.0.255
#
出口路由R1,启用ospf协议
命令:
[R1]ospf 1 router-id 2.2.2.2
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]net w
[R1-ospf-1-area-0.0.0.0]netw
[R1-ospf-1-area-0.0.0.0]network 192.168.254.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]net 192.168.104.1 0.0.0.0 //宣告具体ip地址
[R1-ospf-1-area-0.0.0.0]net 192.168.105.1 0.0.0.0 //宣告具体ip地址
配置:
#
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 192.168.254.0 0.0.0.255
network 192.168.104.1 0.0.0.0
network 192.168.105.1 0.0.0.0
同理R2,3,4,5配置ospf
[XXQ1_R4-ospf-1-area-0.0.0.0]dis this
#
area 0.0.0.0
network 192.168.104.2 0.0.0.0
network 192.168.100.1 0.0.0.0
[R1-ospf-1-area-0.0.0.0]dis this
#
area 0.0.0.0
network 192.168.254.0 0.0.0.255
network 192.168.104.2 0.0.0.0
network 192.168.105.1 0.0.0.0
[XXQ2_R4_1-ospf-1-area-0.0.0.0]dis this
#
area 0.0.0.0
network 192.168.105.2 0.0.0.0
network 192.168.150.1 0.0.0.0
2.5.4 测试
通过查看R4和sw1的路由表可以看到ospf是否配置成功
R4:
sw1:
2.5.5 配置新老校区的web服务器
2.5.6 测试新老校区的服务器的连通性
新校区ping老校区服务器:
老校区主机ping新校区服务器:
2.6 广域网出口选路
2.6.1 sw1缺省路由配置:
[HX_sw1]ip route-static 0.0.0.0 0 192.168.254.1
2.6.2 R1缺省路由配置
命令:
[R1]ip route-static 0.0.0.0 0 12.1.1.6//优先级默认60,越小越好
[R1]ip route-static 0.0.0.0 0 13.1.1.6 preference 70
配置:
#
ip route-static 0.0.0.0 0.0.0.0 12.1.1.6
ip route-static 0.0.0.0 0.0.0.0 13.1.1.6 preference 70
//由于60的优先级高,所以只显示60的路由
[R1]dis ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 16 Routes : 16
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 Static 60 0 RD 12.1.1.6 GigabitEthernet
2.7 NAT配置
2.7.1 出口路由R1配置
命令:
[R1]acl 2000 //启用acl访问控制列表
//需要转换的地址,这里转换所有的内网地址
[R1-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[R1-GigabitEthernet0/0/1]nat outbound 2000
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]nat outbound 2000
2.7.2 局域网服务器映射公网地址
命令:
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat s
[R1-GigabitEthernet0/0/1]nat server pr
[R1-GigabitEthernet0/0/1]nat server protocol tcp gl
[R1-GigabitEthernet0/0/1]nat server protocol tcp global c
[R1-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 ins
ide 192.168.200.10 80
配置:
#
interface GigabitEthernet0/0/1
ip address 12.1.1.1 255.255.255.248
nat server protocol tcp global current-interface www inside 192.168.200.10 www
nat outbound 2000
2.8 telnet远程管理配置
主要是为了让局域网内业务流量进行分离
现在互联网远程管理大多数采用的是ssh配置,这里可以进行自行替换
2.8.1 核心交换机sw1配置
[HX_sw1]aaa
//用户名 权限级别 密码
[HX_sw1-aaa]local-user Scott privilege level 3 password cipher a
//用户管理采用协议telnet
[HX_sw1-aaa]local-user Scott service-type telnet
//启用虚拟认证线路,0 4表示同时运行5个人用户进行登录
[HX_sw1]user-interface vty 0 4
//到指定的aaa中进行认证
[HX_sw1-ui-vty0-4]authentication-mode aaa
其他设备(包括出口路由以及新校区的路由器)可以快速复制这一段
aaa
local-user Scott privilege level 3 password cipher a
local-user Scott service-type telnet
user-interface vty 0 4
authentication-mode aaa
//为防止设备兼容性不好在真机中有这一条命令
[JR_sw8-ui-vty0-4]protocol inbound telnet
2.8.2 在设备上配置管理地址
[HX_sw1]int vlanif 900
[HX_sw1-Vlanif900]ip ad 192.168.255.1 24
//在核心交换机上还需要写一条回包路由,用来返回管理的流量
[HX_sw1]ip route-static 0.0.0.0 0 192.168.255.1
其他设备配置标红的地址
2.9 访问控制配置
访问控制配置
企业财务服务器,只允许(vlan 40)的员工访问
在核心交换机上
sw1
[HX_sw1]acl 3000
[HX_sw1-acl-adv-3000]rule permit ip source 192.168.40.0 0.0.0.255 destination 192.168.200.20 0
[HX_sw1-acl-adv-3000]rule deny ip source any destination 192.168.200.20 0
[HX_sw1]int Eth-Trunk 1
[HX_sw1-Eth-Trunk1]traffic-filter outbound acl 3000
2.10 SNMP运维监控
简单网络管理协议(Simple Network Management Protocol,SNMP)是由互联网工程任务组定义的一套网络管理协议。该协议是基于简单网关监视协议(Simple Gateway Monitor Protocol,SGMP)制定的。
SNMP 可以使网络管理员通过一台工作站完成对计算机、路由器和其他网络设备的远程管理和监视。利用 SNMP 协议可以更好地管理和监控网络。管理工作站可以远程管理所有支持该协议的网络设备,如监视网络状态、修改网络设备配置、接收网络事件警告等。
SNMP运维监控
禁止vlan 20 员工访问外网且关键设备做好实时监控
让出口路由器 丢弃 员工的请求外网报文就行,但要放行请求新校区的报文
要在inbound口做,即g4/0/0
· 如果outbound的话,报文是先进行NAT转换,再进行ACL匹配
[CK_Router]acl 3001
[CK_Router-acl-adv-3001]rule permit ip destination 192.168.0.0 0.0.255.255
[CK_Router-acl-adv-3001]rule deny ip source 192.168.20.0 0.0.0.255
[CK_Router-acl-adv-3001]int g 4/0/0
[CK_Router-GigabitEthernet4/0/0]traffic-filter inbound acl 3001
[CK_Router-GigabitEthernet4/0/0]
2883
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
