网络搭建与应用（第一套） - 图文

网络搭建部分（400分）

项目背景及网络拓扑

某集团公司在北京设有总公司，在南京、常州和天津设有分公司，为了实现信息交流和资源共享，需要构建一个跨越四地的集团网络。

总公司及分公司为了安全管理需要，使用VLAN技术将不同部门的用户划分到不同的VLAN中。

为了保障总公司与分公司业务数据流传输的安全性，采用IPSec VPN技术来实现。 总公司网络采用OSPF动态路由协议，而分公司的网络采用RIPv2动态路由协议。集团网络拓扑结构如下图所示：

1 / 11

网络地址规划

根据网络拓扑图将所有设备连接起来，注意接口按照实际比赛设备接口进行相应调整。 各接口IP地址规划如下表所示：

设备名称 设备连接接口 IP地址 备注 G0/3 200.210.18.6/28 G0/4 194.16.185.33/30 RA S2/0 193.16.187.45/30 S2/1 201.210.18.1/30 L0 1.1.1.1/32 F0/0 10.10.3.1/24 RB S2/0 201.210.18.2/30 L0 2.2.2.2/32 F0/0 10.10.2.1/26 RC S2/1 193.16.187.46/30 L0 3.3.3.3/32 E0/1 200.210.18.5/28 FW1 E0/2 192.168.101.6/30 E0/3 192.168.101.2/30 L0 4.4.4.4/32 E0/1 194.16.185.34/30 FW2 E0/2 10.10.1.1/24 L0 5.5.5.5/32 VLAN100 10.10.2.2/26 20端口所在vlan AC Vlan10 10.10.2.65/26 Vlan20 10.10.2.129/26 Vlan1 10.10.2.193/26 Vlan101 192.168.101.5/30 Vlan10 192.168.10.1/24 财务部 SWA Vlan20 192.168.20.1/24 人事部 Vlan30 192.168.30.1/24 研发部 Vlan40 192.168.40.1 /24 市场部 Vlan1 192.168.100.1/24 Vlan100 192.168.101.1/30 Vlan10 192.168.10.2/24 SWB Vlan20 192.168.20.2/24 Vlan30 192.168.30.2/24 Vlan40 192.168.40.2 /24

2 / 11

Vlan1 Vlan10 Vlan20 SWC Vlan30 Vlan40 Vlan1 Vlan10 SWD PCA PCB PCC PCD Vlan20 VLAN 1 192.168.100.2/24 192.168.100.3/24 10.10.2.194/26 192.168.10.10/24 192.168.20.10/24 10.10.1.2/24 10.10.3.2/24 1-5端口所在VLAN 6-9端口所在VLAN 18-20端口所在VLAN 21-24端口所在VLAN 5-10端口所在VLAN 20-24端口所在VLAN 注：比赛结束前导出所有设备的配臵文档（包括防火墙），以设备名命名保存至物理机C的桌面文件夹config下。 1．网络物理连接（40分）

（1）根据网络拓扑图所示，连接相关线缆。

（2）按照T568标准制作相应的网络跳线(采用线序根据设备接口类型来定)，跳线长度合适。

2．配置VLAN（30分）

（1）根据网络拓扑图所示，在每个交换机上创建相应的VLAN，并以部门名称的拼音来命名。

（2）根据网络拓扑图所示，将交换机的相应端口加入对应的VLAN。 3．配置接口IP地址（60分）

（1）根据网络拓扑图及IP地址规划表所示，对所有网络设备的互联接口进行IP地址配臵，使其能够正常通讯。同时，对每个网络设备与其它网络设备的接口进行描述，如对RA与RB连接的串口1描述为“RA TO RB ”+RB的端口号。

（2）根据网络拓扑图及IP地址规划表所示，在所有网络设备上对其使用的环回接口、业务VLAN接口及管理VLAN接口进行IP地址配臵，使其能够正常使用。

（3）总公司内网采用双核心架构，在两个核心设备之间的链路采用链路聚合技术实现冗余。

（4）交换机的相关端口开通“Trunk”，使其能够正常使用。 4．设备远程访问连接（30分）

3 / 11

（1）为了管理方便，网络设备开启远程登录功能，在SWA、SWB上配臵telnet服务，telnet登录密码为gs2013，enable登录密码为mn2013，要求设臵为明文。

（2）为了管理方便，路由器开启远程登录功能，在路由SWC、SWD上配臵ssh管理功能，其中RB只允许10.10.3.2/24的主机对路由器进行管理，RC只允许10.10.2.64/24网段的主机对路由器进行管理。同时要求每台路由器只允许3个线路管理网络设备，用户分别为user1、user2、user3，口令都为gs2013，所有设备的特权口令均为mn2013。

（3）为了安全，防火墙只开启内网接口的管理功能，而且只开启telnet、ssh和http。 5．DHCP配置（20分）

（1）总公司的VLAN 20网段内用户通过FW1上的DHCP获得IP地址， DHCP 地址池名字为XS100，租期为7天，配臵默认网关为10.10.1.254，排除地址为10.10.1.1-10和250-254，其中192.168.20.200保留给0050.0ea0.bcd1机器使用。

（2）南京分公司的vlan10和vlan20网段内网用户通过RC上的DHCP来获取IP地址。 6．网络可靠性配置（40分）

（1）在交换机SWA、SWB与SWC上配臵MSTP防止二层环路；创建instance10,关联VLAN10、VLAN30，以SWA为根。创建instance20，关联VLAN20、VLAN40，以SW2为根。

（2）在SWA与SWB上配臵VRRP，创建VRRP组100、VRRP组200、VRRP组300 和VRRP组400，实现主机的网关冗余。要求VRRP组100虚拟IP地址为192.168.10.254；VRRP组200虚拟IP地址为192.168.20.254 ；VRRP组300虚拟IP地址为192.168.30.254；VRRP组400虚拟IP地址为192.168.40.254。设臵SWA为VLAN10和30的活跃路由器，设臵SWB为VLAN20和40的活跃路由器。要求VRRP组中高优先级设臵为110，监控上行端口，开启抢占特性。

7．路由协议配置（40分）

（1）根据拓扑设臵路由，没有具体说明使用静态路由，实现互联互通。

（2）总公司ospf开启区域0的明文认证，认证密钥为：741852。区域3路由进行汇总。将SWA上的L1-L4重发布进ospf，设臵其类型为E1，其开销100，并且进行汇总。 8．链路安全配置（20分）

（1）根据网络拓扑图所示，为了保障专用线路的链路安全，需要在RA与RB之间连接的链路上配臵PPP协议，采用双向先PAP后chap的验证方式，用户名分别为RA和RB，验证口令都为54321。

（2）根据网络拓扑图所示，为了保障RA路由器与RC路由器之间的链路安全，需要配

4 / 11

臵PPP协议，采用单向CHAP的验证方式，其中RC为验证方，用户名分别为RA和RC，密码均为87654。

9．网络出口配置（40分）

在相应设备上设臵地址转换，允许内网用户访问Internet。

（1）在FW1上配臵NAT。要求总公司内网的VLAN20、VLAN30、VLAN40用户均可经地址转换后而访问公网，使用的地址池为200.210.18.1-4/28，并且要求只允许网络用户在工作日的上班时间（周一至周五9:00-17:00）才能访问互联网。

（2）要求分公司内网用户可以使用相应设备外部接口的IP地址访问公网，并且要求只允许网络用户周一至周四8:00-17:00才能访问互联网。 10．VPN配置（60分）

（1） 在FW1和FW2上配臵 L2TP远程接入VPN，允许远程办公用户可以访问内网资源，其使用的合法用户名为name1、name2、name3，其共同口令为vp2013。

（2）为了提高网络可靠性，使用互联网作为业务数据传输的备份链路。考虑到安全性，FW1与RB、FW1与RC、 FW1与FW2之间使用IPSec VPN技术对数据进行加密。VPN传输需要采用隧道模式，预共享密码为172839，IKE阶段1采用DH组1、DES和MD5加密方式，IKE阶段2采用ESP-DES。 11. 网络安全配置（20分）

（1）只有总公司VLAN 20用户才可以访问PC-D服务器的TCP3389端口，实现远程桌面的访问。

（2）总公司的VLAN30用户每天只允许在8:00-17:00时间段才可以访问PC-C服务器的FTP服务（TCP21端口）和WEB服务（TCP80端口）。

（3）只允许PCA可以去ping通PCB,反之拒绝。 …… 此处隐藏：2378字，全部文档内容请下载后查看。喜欢就下载吧 ……