步骤 4:创建隧道。在“VPN”→“IKE VPN”→“隧道”中创建到防火墙 FW-B 的 VPN隧道,并定义相关参数,如图 7-2-23 所示。
步骤 5:创建隧道接口并与 IPSec 绑定。在“网络”→“接口”中新建隧道接口,指定安全域并引用 IPSec 隧道,如图 7-2-24 所示。
步骤 6:添加隧道路由。在“网络”→“路由”→“目的路由”中新建一条路由,目的地址是对端加密保护子网,网关为创建的 tunnel 接口,如图 7-2-25 所示。
步骤 7:添加安全策略。在创建安全策略前先要创建本地网段和对端网段的地址簿,如图 7-2-26 和图 7-2-27 所示。
步骤 8:成功创建两个地址簿后,在“安全”→“策略”中新建策略,允许本地 VPN 保护子网访问对端 VPN 保护子网,如图 7-2-28 所示。
步骤 9:允许对端 VPN 保护子网访问本地 VPN 保护子网,如图 7-2-29 所示。
步骤 10:FW-B 防火墙的配置步骤与 FW-A 相同,不同的只是某些步骤中的参数设置,此处略。
步骤 11:验证测试,查看防火墙 FW-A 上的 IPSec VPN 状态,如图 7-2-30 所示。
步骤 12:查看防火墙 FW-A 上的 IPSec VPN 状态,如图 7-2-31 所示。
学习小结
本学习任务介绍了防火墙的 IPSec VPN 技术,这种技术是一套具有比较完整体系的技术,它规定了一系列协议标准,在学习时要注意实现过程的步骤。
项目考核
1.防火墙 VPN 的实现。
假设你是公司的网络管理员,公司因业务扩大,建立了一个分公司,公司的业务数据很
重要,公司总部与分公司传输数据时需要加密,采用 IPSec VPN 技术对数据进行加密。总公
司要加密的子网为 10.1.1.0/24,子公司要加密的子网为 10.1.2.0/24。
2.自己动手搭建网络环境,实现如下要求。
(1)在防火墙上创建 ninternet 区域、winternet 区域。
(2)只允许总部用户在上班时间(9:00~17:30)访问外网。
(3)不允许总部用户访问 360.com,用户访问网页时过滤掉 360,只能出现在网页中三次。
(4)为了让公司员工出差方便,在防火墙中建立一个 L2TP,使出差用户可以拨号访问总部资源。
项目 8 综 合 实 战
项目学习说明
本项目重点针对网络设备的综合应用分任务进行讲述,主要为学习网络课程的初学者设计、配置、排除网络故障提供了良好的案例,让初学者更加熟悉网络设备的配置和在实际企业中的综合应用。
学习能力目标
学习任务 1 小型企业的网络工程案例
学习任务 2 企业网络综合实战
职业能力目标
能完成小型企业的网络设备配置。
能综合运用网络设备的相关技术实现企业的需求。
学习任务 1 小型企业的网络工程案例
本任务不但能将前几个项目所学的基本知识进行巩固,使学生熟练掌握前面项目所学的知识,而且能进一步学习到一些网络设备配置方面更高层次的应用,以及 VPN 等知识的应用。
学习情境
某科技型公司总部设在广州,由于业务发展的需要,准备在深圳设置分公司,为了实现快捷的信息交流和资源共享,需要构建一个跨地域的公司网络。总公司有销售部和管理部两个部门,分公司设有销售部。
总公司采用双核心交换机的网络架构,独立公共服务网络部分,确保内部网络安全。为了实现快捷的信息传递和公司业务的需求,允许分公司办公的员工能够方便、快捷、安全地访问总公司内网服务器群。外网采用 OSPF 动态路由协议,总公司内部和分公司内部采用私有地址和 RIPv2 协议,内部访问外部采用 NAT 协议。
情境分析
1.网络连接
根据需求分析的描述与下列详细要求完成网络结构的设计与设备的连接,画出完整的网络拓扑结构图。拓扑结构图中需要明确列出设备接线的端口号,以及端口相关的 IP 地址。实际接线与设置必须按照拓扑结构图进行。完成网络的规划设计后,请按以下要求进行网络的连接与配置。
(1)总公司使用一台路由器的网络出口接入互联网,总公司内部访问外部采用 NAT 协议,PC7 模拟互联网上的计算机。
(2)总公司的路由器分别下连两台三层交换机作为汇聚交换机,分别通过三层互连;两
台三层汇聚交换机之间通过两条线路进行链路汇聚通信,另外一条线路作为链路备份,两台
汇聚交换机下连两台接入交换机,并形成冗余链路,实现对客户的透明传输。
(3)总公司内部的路由器和汇聚交换机之间使用 RIPv2 路由协议,实现内部网络的互相
通信。
(4)Switch-C 位于 9 楼办公室,Switch-D 位于 10 楼办公室,分别接有不同部门的员工机器。
(5)PC1 和 PC2 接入二层交换机 Switch-C,PC3 和 PC4 接入二层交换机 Switch-D;PC1和 PC3 属于一个部门,划归 VLAN10,PC2 和 PC4 属于一个部门,划归 VLAN20。
(6)PC1~PC4 通过汇聚交换机 Switch-B 自动获取 IP 地址。
(7)分公司与公网之间使用 PPP 协议进行连接。
(8)分公司使用一台路由器的网络出口接入互联网,分公司使用一台路由器与运营商路由器通过 VPN(IPSec)技术互连。
(9)分公司的路由器下连一台二层交换机作为接入交换机,接入交换机下连两个部门的员工机器。
(10)PC5 和 PC6 接入二层交换机 Switch-E,PC5 属于一个部门,划归 VLAN70;PC6属于一个部门,划归 VLAN80。
(11)PC5 和 PC6 通过公网的 Router-B 获取 IP 地址,且 PC5 和 PC6 可以相互通信。
(12)总公司、分公司与公网的外网之间使用 OSPF 路由协议,实现内部和外部网络的互相通信。
(13)根据设计估算所需要的耗材数量,准备好领料清单。
(14)根据上述要求完成拓扑设计后,制作线缆完成设备的连接。
(15)打配的跳线使用 T568B 线序,制作的线缆必须稳固耐用。
根据设计要求,网络互连的拓扑结构如图 8-1-1 所示,请按图中要求完成相关网络设备的连接。
所需设备:
(1)DCRS-5650 交换机 2 台。
(2)DCS-3950 交换机 3 台。
(3)DCR-2626 路由器 3 台。
(4)模拟服务器的计算机 2 台。
(5)PC 7 台。
(6)直连和交叉双绞线若干条。
(7)Console 线 2 条。
(8)CR-V35MT 2 条。
(9)CR-V35FC 2 条。
网络互连的拓扑结构如图 8-1-1 所示。
2.地址规划
根据要求确定各接口的 IP 地址,见表 8-1-1。
3.任务要求
(1)根据题中给出的拓扑结构图配置设备名称。
(2)在所有网络设备上为特权用户增加密码“passworddcn”,密码以加密方式存储。
(3)在各三层交换机和路由器上设置 Telnet 登录,登录用户名为 usertest,密码为passwordtest,密码以明文方式存储,路由器中的登录验证方法名为系统默认名称,此方法使用本地数据库验证,在路由器 Router-C 上为特权用户添加密码“passenable”,用户级别为最高级,密码以明文方式存储。
(4)在三层交换机 Switch-A 上划分各 VLAN,并加入相应的端口,见表 8-1-2。
上表中未提到的端口放在 VLAN 1 中。
(5)在三层交换机 Switch-B 上划分各 VLAN,并加入相应的端口,见表 8-1-3。
上表中未提到的端口放在 VLAN 1 中。
(6)在二层交换机 Switch-C 上划分各 VLAN,并加入相应的端口,见表 8-1-4。
上表中未提到的端口放在 VLAN 1 中。
(7)在二层交换机 Switch-D 上划分各 VLAN,并加入相应的端口,见表 8-1-5。
上表中未提到的端口放在 VLAN 1 中。
(8)根据拓扑结构图在各交换机上创建各 VLAN,给虚拟接口配置 IP 地址(VLAN1 为管理VLAN)。
(9)在三层交换机 Switch-A 和 Switch-B 上配置路由冗余协议和多生成树协议,使总公司员工安全稳定地使用网络工作。
(10)在 Switch-B 上实现 DHCP 服务器,要求为 PC1、PC2、PC3 和 PC4 所在的子网提供自动分配 IP 地址服务,租期为 4 天。
(11)为 Switch-A 的端口 4 设定端口带宽限制,出入口均限速 1Mb/s。
(12)为 Switch-B 的端口 8 上配置广播风暴抑制,允许通过的广播包数为每秒 5000。
(13)根据拓扑结构图,将三台路由器的 Serial 口用背对背线缆连接,带宽为 2048000b/s,
线缆连接时注意确保 Router-C 为 DTE 端,Router-B 为 DCE 端,速率为 2048000b/s。封装需要进行 CHAP 验证的 PPP,验证方法列表名为“test”;DCE 端的路由器用户名为“userdce”,密码为“chappass”;DTE 端的路由器用户名为“userdte”,密码为“chappass”,密码用明文显示。
(14)根据拓扑结构图在各路由器上相关位置配置 IP 地址,对快速以太网口添加描述明确的连接对象。
(15)总公司内部配置动态路由协议 RIPv2,分公司内部配置动态路由 RIPv2 使得全网连通,总公司、分公司与公网的外网之间使用 OSPF 路由协议,实现内部和外部网络的互相通信。
(16)在 Router-B 上实现 DHCP 服务器,要求为 PC5 和 PC6 所在的子网提供自动分配 IP地址服务,租期为 4 天。
(17)在 Router-B 上实现单臂路由,使得 PC5 和 PC6 可以相互通信。
(18)路由器快速以太口速率为 100Mb/s,工作在全双工模式。
(19)上班时间禁止 PC1 所在网段访问 PC7 所在网段,ACL 名称为 worktime。
(20)在交换机 D 上实现 PC4 的 MAC 地址与 E0/0/2 端口的绑定,该端口的最大安全 MAC地址数为 3,锁定该端口。
(21)配置 Switch-B,使其能够通过 Web 方式访问交换机,Web 授权用户为 admin,口令为加密的 adminpass。
(22)禁止 PC2 连通 PC6,但 PC6 可以连通 PC2。
(23)完成配置后将各设备的配置文件捕获成 TXT 格式,并保存。
步骤实现
详细配置请参见本书教学资源。
学习小结
本学习任务综合应用到了本书所学的二层交换机、三层交换机和路由器配置的基本知识,主要包括了交换机配置文件清空、交换机的几种配置模式、交换机命名、基于端口的 VLAN 划分、 VLAN 接口的 IP 地址配置、特权密码、Telnet 登录交换机、链路聚合、生成树协议、虚拟网关路由协议,三层路由通信和路由器的命名、单臂路由、 RIP、 OSPF、广播风暴、 PPP、 VPN、 DHCP、ACL 和 NAT 等知识。
学习任务 2 企业网络综合实战
学习情境
某公司由于公司业务规模的扩大,现分成了东区和西区,两个厂区相隔不远。东西两厂区之间准备通过路由器的 VPN 专线技术实现互连。东厂区作为公司互联网出口,东西两个厂区均通过该接口访问互联网。公司的主要服务器放在东厂区防火墙的 DMZ 中。在西厂区中使用两台三层交换机作为双核心,交换机设置链路聚合以提高交换机之间的带宽。另外,交换机之间还提供了一条线路作为备份链路,以备聚合链路出现故障时使用。西厂区各大楼划分 VLAN 管理。两厂区之间数据通过 VPN 实现加密传输。优化网络配置,使得整个公司网络高效、稳定、安全。公司需要搭建多种网络服务,提供主页发布、文件共享、邮件收发等常用功能。公司为方便会议使用网络和来访客人使用互联网,特意架设了无线网络。
情境分析
1.网络连接
根据需求分析的描述与下列详细要求完成网络结构的设计与设备的连接,画出完整的网络拓扑结构图。拓扑结构图中需要明确列出设备接线的端口号,以及端口相关的 IP 地址。实际接线与设置必须按照拓扑结构图进行。完成网络的规划设计后,请按以下要求进行网络的连接与配置。
(1)东厂区使用一台防火墙作为网络唯一出口接入互联网,PC1 模拟互联网上的计算机;Server 也接入该防火墙的 Eth0/1 作为公司网内服务器。
(2)Server 作为服务器主机。
(3)西厂区使用一台路由器与东厂区路由器通过 VPN(IPSec)技术互连;东厂区的路由器通过 F0/0 口与防火墙相连;西厂区的路由器分别下连两台三层交换机作为汇聚交换机,分别通过三层互连;两台三层汇聚交换机之间通过两条线路进行链路汇聚通信,另外一条线路作为链路备份,汇聚交换机下连一个接入层交换机。
(4)无线 AC 接在汇聚交换机上,并下连无线 AP,通过 AP 可以实现无线上网。
(5)PC1 和 PC2 接入二层交换机,PC1 和 PC2 的 IP 地址自动获取,服务器为 Switch-A。PC1 划归 VLAN10,PC2 划归 VLAN20。
(6)根据设计估算所需要的耗材数量,准备好领料清单。
(7)根据上述要求完成拓扑设计后,制作线缆完成设备的连接。
(8)打配的跳线使用 T568B 线序,制作的线缆必须稳固耐用。
根据要求画出公司的网络拓扑结构图,如图 8-2-1 所示。
小贴士
( 1)画图时应标出各设备名称、所连端口号。
( 2) PC 和路由器相连、交换机和交换机相连必须用交叉线。
( 3)线路连接好之后应检查指示灯是否工作正常。
2.网络地址划分
(1)路由器 A 的 S0/1 端口地址为 172.16.1.1/30,路由器 B 的 S0/1 端口地址为 172.16.1.2/30,作为社区间互连地址。
(2)东厂区使用 172.16.2.0/24 作为内部网络地址段,其中以最后一个有效 IP 地址作为网关,Server 主机使用第一个有效 IP 作为地址。
(3)东厂区路由器的防火墙接入互联网地址为 10.10.10.1/30。PC4 和 PC5 作为东厂区内网中的机器。
(4)东厂区路由器 F0/0 端口地址为 172.16.1.5/30;东厂区防火墙 E0/0 端口地址为172.16.1.6/30。
(5)西厂区有两栋办公楼,每栋办公楼有 40~50 个用户。请使用 192.168.1.0/24 网段进行子网规划,划分两个 VLAN,分别为 VLAN10 和 VLAN20。VLAN10 是用 192.168.1.0/24网段子网划分后的第一个有效子网。VLAN20 是用 192.168.1.0/24 网段子网划分后的第二个有效子网,使得每栋楼都有一个独立的网段,每个网段的网关使用该网段最后一个有效的网络地址。
(6)二层交换机 A 的 1、3~10 号端口划归 VLAN10;2、11~19 号端口划归 VLAN20,根据子网规划,在网络设备中设定 VLAN。
(7)交换机的端口地址(各子网网关的端口地址根据要求设定)。
交换机 A 端口 24 指定网关路由地址为 192.168.2.1/24。
交换机 B 端口 24 指定网关路由地址为 192.168.3.1/24。
(8)路由器 A 以太网端口地址端口 0/0 地址为 192.168.2.2/24、端口 0/3 地址为192.168.3.2/24。
根据要求确定各接口 IP 地址,见表 8-2-1。
小贴士
( 1)划分子网时应看清楚要求。
( 2)数制转换应细心,转换后一定要对转换的结果进行检验。
( 3) IP 地址的使用以尽量节约为原则。
3.任务要求
所需设备:
(1)DCRS-5650 交换机 2 台。
(2)DCS-3950 交换机 1 台。
(3)DCR-2626 路由器 2 台。
(4)DCFW-1800 防火墙 1 台。
(5)DCWS-6028 无线 AC1 台。
(6)DCWL-7962AP 1 台。
(7)PC 4 台。
(8)带无线网卡的笔记本式计算机 1 台。
(9)Console 线 3 条。
(10)CR-V35MT 1 条。
(11)CR-V35FC 1 条。
具体要求如下:
(1)设定各设备的名称,格式如下:交换机命名为“Switch-A”、“Switch-B”、“Switch-C”、
“Switch-D”和“Switch-E”;路由器命名为“Router-A”和“Router-B”,防火墙命名为“FW”,无线控制器命名为“AC”,无线接入点命名为“AP”。
(2)Router-A 设置 Telnet 登录,登录用户名为 Teluser,密码为 admin。
(3)为 5 台交换机的特权用户增加密码 super123,密码以加密方式存储。
(4)手动配置三层交换机通过 22、23 端口实现链路聚合。
(5)在交换机上开启生成树协议。
(6)在 Switch-A 和 Switch-B 上实现 VRRP 协议,Switch-A 为 master。
(7)在 Switch-A 上实现 DHCP 协议,使得 PC1 和 PC2 自动获取地址等信息。
(8)为 Switch-A 的端口 4 设定端口带宽限制,出入口均限速 1Mb/s。
(9)在 Switch-B 的端口 8 上配置广播风暴抑制,允许通过的广播包数为每秒 5000。
(10)配置串口二层链路为 PPP 封装模式,采用 CHAP 认证方式实现双向认证,Router-A
上的用户名为 userB,密码为 shenzhou;Router-B 上的用户名为 userA,密码为 shenzhou。
(11)西厂区的内部网络使用 RIP 路由协议,东厂区的内部网络利用 OSPF 路由协议,最终实现东西厂区之间的网络互连。
(12)配置 Router-A,禁止 VLAN20 访问互联网。
(13)在 Router-A 和 Router-B 上分别配置建立 VPN 通道,要求使用 IPSec 协议的 ISAKMP策略算法保护数据,配置预共享密钥,建立 IPSec 隧道的报文使用 MD5 加密,IPSec 变换集合定义为“ah-md5-hmas esp-3des”。两台路由器串口互连,Router-A 作为 DCE 端。
(14)为保证内部网络安全,防止互联网的机器窥探内部网络,利用防火墙隐藏内部网络地址使得外网用户不能直接访问园区网内的机器。
(15)通过配置防火墙内部地址能通过网络地址转换方式访问互联网。
(16)在防火墙中使用合法 IP 地址 1.1.1.1 为 Server 配置 IP 映射,允许内外网用户通过外网 IP 实现对该 Server 的 Web 访问。
(17)震荡波病毒常用的协议端口为 TCP 协议 5544 和 445,请配置三层交换机以防止病毒在局域网内肆虐。
(18)PC2 中已经搭建好了 TFTP 服务。将所有网络设备的配置文件通过 TFTP 服务备份到 PC2 的 TFTP 服务器根目录中。
(19)通过对 AC 的适当配置,使得 AP 可以在公司没有有线网络的位置能使用无线上网。
步骤实现
详细配置请参见教学资源。
学习小结
本任务综合应用到了本书所学的安全知识,包括计算机的安全接入、通过访问控制列表实现访问控制、设置网络设备权限、路由器的安全连接以及网线制作等知识,所以必须熟练掌握这些知识点。通过本项目的训练,将进一步提高动手能力和综合素质。
2751
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
