课程设计报告
需要完成后的topo的评论区有链接课程名称:网络高级优化技术 课题名称:基于校园网络搭建
|
内容摘要
本文首先规划一个校园的网络,采用接入层、核心层、汇聚层三层网络。所有交换机运行MSTP和VRRP协议,做冗余备份,保护链路安全。运行OSPF动态路由协议,方便路由维护。使用DHCP动态分配地址,便于IP地址管理。配置SSH方便管理,出口采用LSP路由设备,配置ACL合理控制路由。同时在路由器上做EASY-IP,可以让公司内网访问外网。
关键字
OSPF动态路由协议、冗余备份、DHCP动态分配
目录
1.2.4、LSW4和LSW5交换机配置........................................................................ 8
1.2.8、LSP路由器ip地址配置........................................................................... 10
1.2.9、AR1路由器ip地址配置.......................................................................... 10
1.3.3、汇聚交换机LSW2配置........................................................................... 12
1.3.4、汇聚交换机LSW3配置........................................................................... 12
1.4.1、汇聚交换机LSW2的vrrp配置................................................................ 13
1.4.2、汇聚交换机LSW3的vrrp配置................................................................ 14
1.7、LSP出口路由器ACL配置和NAT地址地址转换配置........................................... 16
2.1.1、接入层部门(pc)互通......................................................................... 18
2.1.2、部门(pc)与服务群、ssh服务、外网均可通......................................... 19
2.2.1、acl控制测试:禁止外网访问校研究所.................................................... 20
2.2.2、acl控制测试:禁止财务部门访问外网.................................................... 20
2.2.3、配置Easy IP后部门tracert测试.............................................................. 20
模拟校园网络实例
一、网络规划与设计
1.1、公司网络设计
网络的设计原则包括三方面:
(1)可靠性原则:一是业务稳定运行,二是故障恢复时间快。
(2)实用性和可扩展性:符合实际并且便于扩展。
(3)安全性:校园设备和链路都要有冗余备份,还要保护内容的安全。
一个网络的拓扑图能够最直观的呈现这个网络的设计思想,几种经典的网络拓扑结构各有特点。我们使用最标准的核心层、汇聚层、接入层三层架构。要求任何一台设备都不能宕机,所以所有交换机必须要有双机热备冗余备份。校园的网络拓扑如下图 1‑1所示。
图 1‑1 topo图
本次设计能够满足需求如下:
1.每个部门划分一个vlan,部门内部网络互通,不同部门网络也能互通。
2.每个部门划分一段ip地址,并用dhcp技术自动分配地址,方便管理。
3.运行ospf协议,方便路由的维护。
4.接入层和汇聚层交换机做MSTP和VRRP技术,设备冗余,能够保证一台设备坏了之后,瞬间切换到另外一台设备,不影响业务。
5.保证公司内网的安全,增加路由器LSP设备,合理隔离必要的内网和互联网。
6.easy-ip:应用于内网用户访问Internet时进行的地址转换将私网地址转为公网地址。
1.2、IP地址和VLAN划分
部门 | vlan | ip地址 |
图书馆 | 100 | 192.168.100.0/24 |
校研究所 | 101 | 192.168.101.0/24 |
财务部门 | 102 | 192.168.102.0/24 |
综合楼 | 103 | 192.168.103.0/24 |
1-18宿舍楼 | 104 | 192.168.104.0/24 |
SSH远程 | 99 | 192.168.99.0/24 |
1.2.1、LSW1交换机配置
1.2.2、LSW2交换机配置
1.2.3、LSW3交换机配置
1.2.4、LSW4和LSW5交换机配置
1.2.5、LSW6交换机配置
1.2.6、LSW7交换机配置
1.2.7、LSW8交换机配置
1.2.8、LSP路由器ip地址配置
1.2.9、AR1路由器ip地址配置
1.3、OSPF规划与配置
路由协议OSPF全称为OpenShortestPathFirst,也就开放的最短路径优先协议,它的使用不受任何厂商限制,所有人都可以使用,所以称为开放的,为了方便路由的维护。
分别在核心交换机,汇聚交换机和LSP上配置ospf协议,并且在LSP上配置静态,然后ospf引入,LSP的ospf精确宣告192.168.10.254、192.168.11.2
LSW1网段宣告192.168.0.0、192.168.12.1、192.168.13.1、192.168.11.1、192.168.99.1。
LSW2网段宣告192.168.0.0、192.168.12.1、192.168.13.1、192.168.12.1
LSW3宣告192.168.0.0、192.168.12.1、192.168.13.1、192.168.13.2
1.3.1、LSP上ospf配置:
1.3.2、核心交换机配置
1.3.3、汇聚交换机LSW2配置
1.3.4、汇聚交换机LSW3配置
1.4、VRRP规划与配置
虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中的一台,
汇聚层LSW2中作为VLAN100、101、102的主网关,虚拟ip分别是192.168.100.254、192.168.101.254、192.168.102.254。作为vlan103、104的备份网关,虚拟ip分别是192.168.103.254、192.168.104.254
汇聚层LSW3中作为vlan103、104的主网关,虚拟ip分别是192.168.103.254、192.168.104.254,作为VLAN100、101、102的备份网关,虚拟ip分别是192.168.100.254、192.168.101.254、192.168.102.254。
1.4.1、汇聚交换机LSW2的vrrp配置
1.4.2、汇聚交换机LSW3的vrrp配置
1.5、MSTP规划与配置
生成树协议的作用:为了提供冗余链路,解决网络环路问题。为了消除环路带来的广播风暴和mac地址漂移问题,在交换机上运行mstp协议,SLW1作为根桥
1.6、DHCP配置
DHCP(动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作,
使用DHCP方式自动分配地址。
选择指定wlan接口分配DHCP,详细分配网段如下图,网关均为254
VLAN号 | DHCP网段 |
100 | 192.168.100.0 |
101 | 192.168.101.0 |
102 | 192.168.102.0 |
103 | 192.168.103.0 |
104 | 192.168.104.0 |
1.7、LSP出口路由器ACL配置和NAT地址地址转换配置
acl2000:用来做easy-ip
acl3000:用来拒绝外网访问校研究所,防止机密被窃取
acl3015:防止财务部门访问外网
AR1的静态路由是内外网互通的必要配置
1.8、配置SSH服务的验证
在AR2上面配置SSH服务,让AR2可以远程访问核心层,为了提高网络服务的安全性,我们在AR2上配置了密码认证,通过这些,可以 允许用户安全地登录到远程服务器,并在该服务器上执行命令, 安全地上传或下载文件,还可以通过SSH在远程服务器上执行单个命令或脚本。
二、验证测试
2.1、实现全网互通
2.1.1、接入层部门(pc)互通
2.1.2、部门(pc)与服务群、ssh服务、外网均可通
2.2、安全策略测试
2.2.1、acl控制测试:禁止外网访问校研究所
2.2.2、acl控制测试:禁止财务部门访问外网
2.2.3、配置Easy IP后部门tracert测试
三、总结
本次实验用到了的技术有:OSPF协议、ACL访问控制列表、easy-ip地址转换技术、链路聚合技术、vlan划分、VRRP技术、静态路由、SSH服务、路由引入、DHCP动态主机配置协议、MSTP。
本次实验是基于校园网络搭建,主体分为接入层、汇聚层、核心层、外网、服务器群、远程管理服务设备六部分组成,汇聚层配置VRRP以保证网络的不中断,确保正常运行,dhcp部署在核心层,搭配vlan划分技术,分配部门的IP地址,配置简单也好管理。在SSH服务路由器上配置SSH服务,以保证可以远程管理。核心交换机、两台汇聚交换机、LSP路由器四台设备运行OSPF实现互通,在LSP出口路由器上做ACL策略,控制部分流量,以保证内网必要部门的安全,利用easy-ip相对而言,比较简单,也节省ip地址。由于服务器可以装软防火墙等安全工具,所以服务器群没配置额外的安全策略。在LSP路由器中指定默认路由去外网,在OSPF中引入静态,保证全网互通。
在配置dhcp的过程中,我们遇见了以下几个问题:第一,配置DHCP时没有选择接口或者全局,导致后续命令输不上去。 第二,我们在DHCP分配地址时有一台PC(校研究所部门)没有分配到IP地址,原因是汇聚交换机LSW2忘记配置vlan101,导致LSW1与LSW2之间没有vlan101的数据帧通过,从而导致DHCP未分配。第三,在配置SSH服务时,按照教材案例配置时,在创建用户时报错,通过查找资料发现,路由器需要直接进入AAA认证视图,创建本地用户和密码,而不是跟交换机一样直接在全局视图下输入ssh user wtzzf创建。最开始规划出口路由器LSP要换成防火墙USG6000v,结果在配置OSPF过程中,LSW1与防火墙的ospf peer起不来,在将接口划分区域、且配置了trust到untrust和untrust到trust的permit规则,以及和DZM之间的permit之后,ospf peer还没有建立,最后没有办法,换成LSP路由器通过ACL做相应的安全策略。
我们选择做这个实验的原因是因为这个更为贴合实际的网络环境,在做的过程中也是如此,有很多问题也是只有做的时候才会出现,我们就从底层设备开始检查,主要进行了ping命令测试来检查网络故障出现在哪里,确保全网的网络互通之后,然后再检查其他的服务。
通过这次的实验让我们深入理解并掌握所学知识,培养了我们实际动手能力和解决问题的能力,因为理论知识需要通过实际应用来巩固和运用。