一、项目准备
(一)项目实施流程
实训流程是按照网络工程项目的进程顺序进行的,如图7-1所示:
(二)角色任务分配
总计项目中需要实施人员10名,也可以根据实际情况进行人员的选定。人员分工也是按照网络工程项目的实际分工进行分配的,如下表7-1所示:
|
序号 |
岗位 |
工作内容 |
人数 |
|---|---|---|---|
|
1 |
项目经理 |
负责整个项目的实施质量与实施进度,部署人员分工,掌握施工进度。并组织撰写项目报告 |
1 |
|
2 |
网络架构工程师 |
依据企业的业务,设计网络基础设施构架,保障企业网络高效、可靠、可扩展的解决方案 |
1 |
|
3 |
系统架构工程师 |
依据企业的业务,提供基于应用的应用服务器的设计方案,保障银行的业务系统高效、可靠的运行 |
1 |
|
4 |
售前技术工程师 |
依据网络架构工程师和系统架构工程师提供的解决方案,撰写网络技术方案并提供具体的构建网络的成本预算 |
1 |
|
5 |
网络工程师 |
根据网络设计方案,对项目中的基础设备(路由器、交换机)等进行配置 |
3 |
|
6 |
服务器工程师 |
根据网络设计方案,对项目中的所有的应用服务器进行配置 |
1 |
|
7 |
无线网络工程师 |
设计与实施无线网络,完成无线网络实施报告 |
1 |
(三)项目实施进度
项目实训的施工进度与网络工程项目的施工进度相同,工期为5天,具体实训实施进度如表7-2所示:
|
ID |
任务名称 |
持续时间 |
开始时间 |
完成 |
2015年05月10日 |
|||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
9 |
10 |
11 |
12 |
13 |
14 |
15 |
16 |
|||||
|
1 |
项目准备阶段 |
1d |
2015/5/11 |
2015/5/11 |
|
|||||||
|
2 |
项目准备 |
1d |
2015/5/11 |
2015/5/11 |
|
|||||||
|
3 |
方案设计阶段 |
2d |
2015/5/12 |
2015/5/13 |
|
|||||||
|
4 |
项目启动会议 |
1d |
2015/5/12 |
2015/5/12 |
|
|||||||
|
5 |
撰写方案 |
1d |
2015/5/13 |
2015/5/13 |
|
|||||||
|
6 |
项目实施阶段 |
1d |
2015/5/14 |
2015/5/14 |
|
|||||||
|
7 |
网络系统实施 |
1d |
2015/5/14 |
2015/5/14 |
|
|||||||
|
8 |
项目测试阶段 |
1d |
2015/5/15 |
2015/5/15 |
|
|||||||
|
9 |
项目验收 |
1d |
2015/5/15 |
2015/5/15 |
|
|||||||
二、方案设计阶段
(一)需求分析
北京市XXX信息科技有限公司,是海淀科技园区重点企业之一,是一个集科研、生产、维修于一体的中型科技企业。通过建设一个高速、安全、可靠、可扩充的网络系统,实现企业内信息的高度共享、传递,交流及管理信息化,企业领导能及时、全面、准确地把握全集团的科研、管理、财务、人事等各方面情况,建立出口信道,实现与Internet互联。系统总体设计将本着总体规划、分步实施的原则,充分体现系统的技术先进性、高度的安全可靠性,同时具有良好的开放性、可扩展性。本着为企业着想,合理使用建设资金,使系统经济可行。根据北京市XXX信息科技有限公司网络的建设要求,整个网络采用星型结构的层次化设计,由两个层次组成:核心层和接入层。网络采用双核心模式,配置二台RG-S3760系列交换机作为企业的核心层交换机。接入层部分交换机配置RG-S2328 系列,为了便于网络控制,使用无线交换机进行无线用户接入控制,无线交换机采用MX-2,无线接入点采用MP422。图7-2是北京市XXX信息科技有限公司企业整网的拓扑图。
(二)网络系统设计方案
1.企业网骨干设计
企业网络是按照标准的企业网功能模块进行划分的,分为企业园区、企业边缘、服务提供商边缘三层结构。企业园分为接入、骨干、服务器群,在此网络结构中,将核心层与汇聚层合幵为骨干。在企业骨干区域使用的是单核心,通过使用链路聚合增加核心交换机之间链路带宽和冗余特性,实现高可用性。
(1)为了保障二层链路的冗余,在骨干区域中核心交换机上使用链路聚合技术,实现链路的冗余和负载均衡。
(2)在下行不接入层交换相连的时候,使用链路聚合技术,不但实现链路带宽的增大,防止拥塞,而且还可以实现负载均衡。
(3)在路由功能方面,为了节省三层交换机的资源,在核心交换机上使用静态路由。
(4)骨干区域安全方面,为了路由协议的安全性,采用风暴控制技术、ARP检测技术和系统防护措施保障骨干区域数据流设备的安全。
园区骨干区域拓扑结构,如图7-3所示:
2.企业网接入设计
在企业园区接入区域,上行到核心层交换机时,采用链路聚合技术,增加其网络带宽,接入层交换双链路上行到核心层交换机,增加了物理链路的冗余,增强高可用性。
(1)为了保障二层链路的冗余和防止环路的存在,在接入层交换机启用STP 技术,幵使用802.1s 技术实现接入层交换机接入终端时,快速转发数据。
(2)在上行不核心层交换相连的时候,使用链路聚合技术,不但实现链路带宽的增大,防止拥塞,而且还可以实现负载均衡。
(3)接入区域安全方面,为了保障生成树协议安全运行,需要使用BPDU Filter、BPDU GUARD 等技术。
(4)采用风暴控制技术、ARP检测技术和系统防护措施保障骨干区域数据流设备的安全,使用端口安全技术保障接入终端安全。使用访问控制技术实现数据流量的限制。
(5)接入层接入终端时,需要使用802.1X 技术保障终端接入的合法性。
园区接入区域拓扑结构,如图7-4所示:
3.企业边缘设计
企业网由一条链路接入,主要申请的网通的互联网链路,用于为内网提供访问互联网服务。也需要将内网的服务发布到互联网上,实现公司资源共享。
(1)使用NAT 技术保障内部用户可以正常访问互联网,并且需要使用NAT 技术将内网的资源发布到互联网,比如WEB 服务器、FTP 服务器。
(2)在网络出口路由器使用访问控制技术,防止冲击波和震荡波等病毒入侵。
企业边缘区域拓扑结构如图7-5所示:
(三)服务器群设计
为了保障网络用户的安全和统一管理网络中的用户,在服务器群中架设域服务器,为内网用户提供身份验证服务。
在服务器群中架设DHCP服务器,为内网主机提供动态的IP 地址,采用的微软服务器版本。
在服务器群中的Web服务器用来提供集团公司的门户服务,实现信息的发布。
在服务器群中的FTP服务器采用的Linux 操作系统,在Linux 操作系统上安装VSFTP服务,因为VSFPT软件安全性更高,为了保障FTP服务的安全性使用虚拟用户登录。
服务器群区域设备功能如表7-3所示:
|
序号 |
设备名称 |
系统平台 |
配置内容 |
实现功能 |
|---|---|---|---|---|
|
1 |
DHCP服务器 |
Windows server 2003 |
创建3个作用域,分别给每个部门的主机分配IP地址 |
动态分配主机地址 |
|
2 |
WEB服务器 |
Windows server 2003 |
配置IIS服务,发布WEB站点 |
WEB服务 |
|
3 |
FTP服务器 |
Linux |
使用虚拟用户访问FTP服务器 |
虚拟用户 |
|
4 |
DC服务器 |
Windows server 2003 |
对用户身份进行验证,并进行登录控制 |
域用户安全 |
服务器群区域拓扑结构,如下图7-6所示:
(四)总体规划拓扑设计
|
序号 |
设备名称 |
设备位置 |
配置内容 |
实现功能 |
|---|---|---|---|---|
|
1 |
路由器 |
接入到ISP |
NAT、静态路由器、访问控制、动态路由 |
访问互联网、安全接入 |
|
2 |
核心交换机 |
核心层 |
动态路由、VLAN策略 |
路由功能、快速转发 |
|
3 |
接入层交换层 |
接入层 |
端口安全、风暴控制 |
接入层安全、数据转发 |
|
4 |
服务器交换机 |
服务器 |
端口安全、风暴控制 |
服务器安全、数据转发 |
1.网络设备IP规划
政务内网使用VLAN 技术按不同部门的数量进行划分。其详细规划如表7-5所示。
|
区域名称 |
VLAN划分 |
子网网段 |
|---|---|---|
|
生产部 |
10 |
10.0.2.0/24 |
|
市场部 |
20 |
10.0.3.0/24 |
|
行政部 |
30 |
10.0.4.0/24 |
|
销售部 |
40 |
10.0.5.0/24 |
|
财务部 |
50 |
10.0.6.0/24 |
|
营销部 |
60 |
10.0.7.0/24 |
|
无线AP |
61 |
10.0.61.0/24 |
|
无线交换机 |
62 |
10.0.62.0/24 |
|
服务器群 |
70 |
10.0.8.0/24 |
|
设备名称 |
接口类型 |
IP地址 |
备注 |
|---|---|---|---|
|
RSR-20 |
S2/0 |
214.1.1.1/29 |
|
|
Fa0/0 |
10.0.0.2/30 |
|
|
|
Fa0/1 |
10.0.0.6/30 |
|
|
|
RG3760E-1 |
Fa0/0 |
10.0.0.1/30 |
|
|
Vlan10 |
10.0.2.254/24 |
|
|
|
Vlan20 |
10.0.3.254/24 |
|
|
|
Vlan30 |
10.0.4.254/24 |
|
|
|
Vlan40 |
10.0.5.254/24 |
|
|
|
Vlan50 |
10.0.6.254/24 |
|
|
|
Vlan60 |
10.0.7.254/24 |
|
|
|
Vlan61 |
10.0.61.1/24 |
|
|
|
Vlan62 |
10.0.61.1/24 |
|
|
|
Vlan70 |
10.0.8.254/24 |
|
|
|
RG3760E-2 |
Fa0/0 |
10.0.0.5/30 |
|
|
Vlan10 |
10.0.2.253/24 |
|
|
|
Vlan20 |
10.0.3.253/24 |
|
|
|
Vlan30 |
10.0.4.253/24 |
|
|
|
Vlan40 |
10.0.5.253/24 |
|
|
|
Vlan50 |
10.0.6.253/24 |
|
|
|
Vlan60 |
10.0.7.253/24 |
|
|
|
Vlan61 |
10.0.61.2/24 |
|
|
|
Vlan62 |
10.0.61.2/24 |
|
|
|
Vlan70 |
10.0.8.253/24 |
|
|
|
RG-WS5302 |
Vlan60 |
10.0.8.252/24 |
|
|
Vlan61 |
10.0.61.3/24 |
|
|
|
Vlan62 |
10.0.61.3/24 |
|
2.应用设备IP规划
|
设备名称 |
接口类型 |
IP地址 |
备注 |
|---|---|---|---|
|
DHCP服务器 |
NIC |
10.0.8.8/24 |
|
|
WEB服务器 |
NIC |
10.0.8.14/24 |
|
|
FTP服务器 |
NIC |
10.0.8.13/24 |
|
|
DC/DNS服务器 |
NIC |
10.0.8.12/24 |
|
三、项目实施阶段
(一)部署园区骨干网
核心交换机配置。
Switch>enable
Switch#configure terminal
Switch(config)#hostname RG3760-1
RG3760-1(config)#vlan 10
RG3760-1(config-vlan)#exit
RG3760-1(config)#vlan 20
RG3760-1(config-vlan)#exit
RG3760-1(config)#vlan 30
RG3760-1(config-vlan)#exit
RG3760-1(config)#vlan 40
RG3760-1(config-vlan)#exit
RG3760-1(config)#vlan 50
RG3760-1(config-vlan)#exit
RG3760-1(config)#vlan 60
RG3760-1(config-vlan)#exit
RG3760-1(config)#vlan 61
RG3760-1(config-vlan)#exit
RG3760-1(config)#vlan 62
RG3760-1(config-vlan)#exit
RG3760-1(config)#vlan 70
RG3760-1(config-vlan)#exit
RG3760-1(config)#interface range fastethernet 0/1-2
RG3760-1(config-if-range)#port-group 1
RG3760-1(config-if-range)#exit
RG3760-1(config)#interface aggregateport 1
RG3760-1(config-if-aggregateport 1)#switchport mode trunk
RG3760-1(config)#interface range fastethernet 0/3-7
RG3760-1(config-if-range)#switchport mode trunk
RG3760-1(config-if-range)#exit
RG3760-1(config)#interface fastethernet 0/0
RG3760-1(config-if)#no switchport
RG3760-1(config-if)#ip add 10.0.0.1 255.255.255.252
RG3760-1(config-if)#no shutdown
RG3760-1(config)#interface vlan 10
RG3760-1(config-if)#ip add 10.0.2.254 255.255.255.0
RG3760-1(config-if)#ip helper-address 10.0.8.8
RG3760-1(config-if)#no shutdown
RG3760-1(config-if)#exit
RG3760-1(config)#interface vlan 20
RG3760-1(config-if)#ip add 10.0.3.254 255.255.255.0
RG3760-1(config-if)#ip helper-address 10.0.8.8
RG3760-1(config-if)#no shutdown
RG3760-1(config-if)#exit
RG3760-1(config)#interface vlan 30
RG3760-1(config-if)#ip add 10.0.4.254 255.255.255.0
RG3760-1(config-if)#ip helper-address 10.0.8.8
RG3760-1(config-if)#no shutdown
RG3760-1(config-if)#exit
RG3760-1(config)#interface vlan 40
RG3760-1(config-if)#ip add 10.0.5.254 255.255.255.0
RG3760-1(config-if)#ip helper-address 10.0.8.8
RG3760-1(config-if)#no shutdown
RG3760-1(config-if)#exit
RG3760-1(config)#interface vlan 50
RG3760-1(config-if)#ip add 10.0.6.254 255.255.255.0
RG3760-1(config-if)#ip helper-address 10.0.8.8
RG3760-1(config-if)#no shutdown
RG3760-1(config-if)#exit
RG3760-1(config)#interface vlan 60
RG3760-1(config-if)#ip add 10.0.7.254 255.255.255.0
RG3760-1(config-if)#ip helper-address 10.0.8.8
RG3760-1(config-if)#no shutdown
RG3760-1(config-if)#exit
RG3760-1(config)#interface vlan 61
RG3760-1(config-if)#ip add 10.0.61.1 255.255.255.0
RG3760-1(config-if)#no shutdown
RG3760-1(config-if)#exit
RG3760-1(config)#interface vlan 62
RG3760-1(config-if)#ip add 10.0.62.1 255.255.255.0
RG3760-1(config-if)#no shutdown
RG3760-1(config-if)#exit
RG3760-1(config)#interface vlan 70
RG3760-1(config-if)#ip add 10.0.8.254 255.255.255.0
RG3760-1(config-if)#ip helper-address 10.0.8.8
RG3760-1(config-if)#no shutdown
RG3760-1(config-if)#exit
RG3760-1(config)#spanning-tree
RG3760-1(config)#spanning-tree mst configuration
RG3760-1(config-mst)#name ruijie
RG3760-1(config-mst)#revsion 1
RG3760-1(config-mst)#instance 10 vlan10,20,30
RG3760-1(config-mst)#instance 20 vlan40,50,60,61,62,70
RG3760-1(config)#spanning-tree mst 10 priority 4096
RG3760-1(config)#spanning-tree mst 20 priority 8192
RSR-3760-1(config)#interface vlan 10
RG3760-1(config-if-vlan 10)#vrrp 10 ip 10.0.2.252
RG3760-1(config-if-vlan 10)#vrrp 10 priority 120
RG3760-1(config)#interface vlan 20
RG3760-1(config-if-vlan 20)#vrrp 20 ip 10.0.3.252
RG3760-1(config-if-vlan 20)#vrrp 20 priority 120
RG3760-1(config)#interface vlan 30
RG3760-1(config-if-vlan 30)#vrrp 30 ip 10.0.4.252
RG3760-1(config-if-vlan 30)#vrrp 30 priority 120
RG3760-1(config)#interface vlan 40
RG3760-1(config-if-vlan 40)#vrrp 40 ip 10.0.5.252
RG3760-1(config)#interface vlan 50
RG3760-1(config-if-vlan 50)#vrrp 50 ip 10.0.6.252
RG3760-1(config)#interface vlan 60
RG3760-1(config-if-vlan 60)#vrrp 60 ip 10.0.7.252
RG3760-1(config)#interface vlan 70
RG3760-1(config-if-vlan 70)#vrrp 70 ip 10.0.8.252
RG3760-1(config)#router ospf 10
RG3760-1(config-router)#network 10.0.0.0 0.0.0.3 area 0
RG3760-1(config-router)#network 10.0.2.0 0.0.0.255 area 0
RG3760-1(config-router)#network 10.0.3.0 0.0.0.255 area 0
RG3760-1(config-router)#network 10.0.4.0 0.0.0.255 area 0
RG3760-1(config-router)#network 10.0.5.0 0.0.0.255 area 0
RG3760-1(config-router)#network 10.0.6.0 0.0.0.255 area 0
RG3760-1(config-router)#network 10.0.7.0 0.0.0.255 area 0
RG3760-1(config-router)#network 10.0.8.0 0.0.0.255 area 0
RG3760-1(config-router)#network 10.0.61.0 0.0.0.255 area 0
RG3760-1(config-router)#network 10.0.62.0 0.0.0.255 area 0
RG3760-1(config)#service dhcp
RG3760-1(config)#ip dhcp pool ap-pool
RG3760-1(dhcp-config)#option 138 ip 9.9.9.9
RG3760-1(dhcp-config)#network 10.0.61.0 255.255.255.0
RG3760-1(dhcp-config)#default-router 10.0.61.3
Switch>enable
Switch#configure terminal
Switch(config)#hostname RG3760-2
RG3760-2(config)#vlan 10
RG3760-2(config-vlan)#exit
RG3760-2(config)#vlan 20
RG3760-2(config-vlan)#exit
RG3760-2(config)#vlan 30
RG3760-2(config-vlan)#exit
RG3760-2(config)#vlan 40
RG3760-2(config-vlan)#exit
RG3760-2(config)#vlan 50
RG3760-2(config-vlan)#exit
RG3760-2(config)#vlan 60
RG3760-2(config-vlan)#exit
RG3760-2(config)#vlan 61
RG3760-2(config-vlan)#exit
RG3760-2(config)#vlan 62
RG3760-2(config-vlan)#exit
RG3760-2(config)#vlan 70
RG3760-2(config-vlan)#exit
RG3760-2(config)#interface range fastethernet 0/1-2
RG3760-2(config-if-range)#port-group 1
RG3760-2(config-if-range)#exit
RG3760-2(config)#interface aggregateport 1
RG3760-2(config-if-aggregateport 1)#switchport mode trunk
RG3760-2(config)#interface range fastethernet 0/3-7
RG3760-2(config-if-range)#switchport mode trunk
RG3760-2(config-if-range)#exit
RG3760-2(config)#interface fastethernet 0/0
RG3760-2(config-if)#no switchport
RG3760-2(config-if)#ip add 10.0.0.5 255.255.255.252
RG3760-2(config-if)#no shutdown
RG3760-2(config)#interface vlan 10
RG3760-2(config-if)#ip add 10.0.2.253 255.255.255.0
RG3760-2(config-if)#ip helper-address 10.0.8.8
RG3760-2(config-if)#no shutdown
RG3760-2(config-if)#exit
RG3760-2(config)#interface vlan 20
RG3760-2(config-if)#ip add 10.0.3.253 255.255.255.0
RG3760-2(config-if)#ip helper-address 10.0.8.8
RG3760-2(config-if)#no shutdown
RG3760-2(config-if)#exit
RG3760-2(config)#interface vlan 30
RG3760-2(config-if)#ip add 10.0.4.253 255.255.255.0
RG3760-2(config-if)#ip helper-address 10.0.8.8
RG3760-2(config-if)#no shutdown
RG3760-2(config-if)#exit
RG3760-2(config)#interface vlan 40
RG3760-2(config-if)#ip add 10.0.5.253 255.255.255.0
RG3760-2(config-if)#ip helper-address 10.0.8.8
RG3760-2(config-if)#no shutdown
RG3760-2(config-if)#exit
RG3760-2(config)#interface vlan 50
RG3760-2(config-if)#ip add 10.0.6.253 255.255.255.0
RG3760-2(config-if)#ip helper-address 10.0.8.8
RG3760-2(config-if)#no shutdown
RG3760-2(config-if)#exit
RG3760-2(config)#interface vlan 60
RG3760-2(config-if)#ip add 10.0.7.253 255.255.255.0
RG3760-2(config-if)#ip helper-address 10.0.8.8
RG3760-2(config-if)#no shutdown
RG3760-2(config-if)#exit
RG3760-2(config)#interface vlan 70
RG3760-2(config-if)#ip add 10.0.8.253 255.255.255.0
RG3760-2(config-if)#ip helper-address 10.0.8.8
RG3760-2(config-if)#no shutdown
RG3760-2(config)#interface vlan 61
RG3760-2(config-if)#ip add 10.0.61.2 255.255.255.0
RG3760-2(config-if)#no shutdown
RG3760-2(config-if)#exit
RG3760-2(config)#interface vlan 62
RG3760-2(config-if)#ip add 10.0.62.2 255.255.255.0
RG3760-2(config-if)#no shutdown
RG3760-2(config-if)#exit
RG3760-2(config)#spanning-tree
RG3760-2(config)#spanning-tree mst configuration
RG3760-2(config-mst)#name ruijie
RG3760-2(config-mst)#revsion 1
RG3760-2(config-mst)#instance 10 vlan10,20,30
RG3760-2(config-mst)#instance 20 vlan40,50,60,61,62,70
RG3760-2(config)#spanning-tree mst 20 priority 4096
RG3760-2(config)#spanning-tree mst 10 priority 8192
RG3760-2(config)#interface vlan 10
RG3760-2(config-if-vlan 10)#vrrp 10 ip 10.0.2.252
RG3760-2(config)#interface vlan 20
RG3760-2(config-if-vlan 20)#vrrp 20 ip 10.0.3.252
RG3760-2(config)#interface vlan 30
RG3760-2(config-if-vlan 30)#vrrp 30 ip 10.0.4.252
RG3760-2(config)#interface vlan 40
RG3760-2(config-if-vlan 40)#vrrp 40 ip 10.0.5.252
RG3760-2(config-if-vlan 40)#vrrp 40 priority 120
RG3760-2(config)#interface vlan 50
RG3760-2(config-if-vlan 50)#vrrp 50 ip 10.0.6.252
RG3760-2(config-if-vlan 50)#vrrp 50 priority 120
RG3760-2(config)#interface vlan 60
RG3760-2(config-if-vlan 60)#vrrp 60 ip 10.0.7.252
RG3760-2(config-if-vlan 60)#vrrp 60 priority 120
RG3760-2(config)#interface vlan 70
RG3760-2(config-if-vlan 70)#vrrp 70 ip 10.0.8.252
RG3760-2(config-if-vlan 70)#vrrp 70 priority 120
RG3760-2(config)#router ospf 10
RG3760-2(config-router)#network 10.0.0.4 0.0.0.3 area 0
RG3760-2(config-router)#network 10.0.2.0 0.0.0.255 area 0
RG3760-2(config-router)#network 10.0.3.0 0.0.0.255 area 0
RG3760-2(config-router)#network 10.0.4.0 0.0.0.255 area 0
RG3760-2(config-router)#network 10.0.5.0 0.0.0.255 area 0
RG3760-2(config-router)#network 10.0.6.0 0.0.0.255 area 0
RG3760-2(config-router)#network 10.0.7.0 0.0.0.255 area 0
RG3760-2(config-router)#network 10.0.8.0 0.0.0.255 area 0
RG3760-2(config-router)#network 10.0.61.0 0.0.0.255 area 0
RG3760-2(config-router)#network 10.0.62.0 0.0.0.255 area 0
RG3760-2(config)#service dhcp
RG3760-2(config)#ip dhcp pool ap-pool
RG3760-2(dhcp-config)#option 138 ip 9.9.9.9
RG3760-2(dhcp-config)#network 10.0.61.0 255.255.255.0
RG3760-2(dhcp-config)#default-router 10.0.61.3(二)部署园区接入
接入交换机配置。
Switch>enable
Switch#configure terminal
Switch(config)#hostname RG2126-2
RG2126-2(config)#vlan 10
RG2126-2(config)#vlan 20
RG2126-2(config)#interface range fastethernet0/1-2
RG2126-2(config-if-range)#switchport mode trunk
RG2126-2(config)#spanning-tree
RG2126-2(config)#spanning-tree mst configuration
RG2126-2(config-mst)#name ruijie
RG2126-2(config-mst)#revsion 1
RG2126-2(config-mst)#instance 10 vlan10,20,30
RG2126-2(config-mst)#instance 20 vlan40,50,60,61,62,70
RG2126-2(config)#interface range fastethernet0/3-15
RG2126-2(config-if-range)#switchport access vlan 10
RG2126-2(config-if-range)#switchport port-security maximum 1
RG2126-2(config-if-range)#switchport port-security violation shutdown
RG2126-2(config-if-range)#switchport port-security
RG2126-2(config-if-range)#spanning-tree portfast
RG2126-2(config)#interface range fastethernet0/16-24
RG2126-2(config-if-range)#switchport access vlan 20
RG2126-2(config-if-range)#switchport port-security maximum 1
RG2126-2(config-if-range)#switchport port-security violation shutdown
RG2126-2(config-if-range)#switchport port-security
RG2126-2(config-if-range)#spanning-tree portfast
Switch>enable
Switch#configure terminal
Switch(config)#hostname RG2126-3
RG2126-3(config)#vlan 30
RG2126-3(config)#vlan 40
RG2126-3(config)#interface range fastethernet0/1-2
RG2126-3(config-if-range)#switchport mode trunk
RG2126-3(config)#spanning-tree
RG2126-3(config)#spanning-tree mst configuration
RG2126-3(config-mst)#name ruijie
RG2126-3(config-mst)#revsion 1
RG2126-3(config-mst)#instance 10 vlan10,20,30
RG2126-3(config-mst)#instance 20 vlan40,50,60,61,62,70
RG2126-3(config)#interface range fastethernet0/3-15
RG2126-3(config-if-range)#switchport access vlan 30
RG2126-3(config-if-range)#switchport port-security maximum 1
RG2126-3(config-if-range)#switchport port-security violation shutdown
RG2126-3(config-if-range)#switchport port-security
RG2126-3(config-if-range)#spanning-tree portfast
RG2126-3(config)#interface range fastethernet0/16-24
RG2126-3(config-if-range)#switchport access vlan 40
RG2126-3(config-if-range)#switchport port-security maximum 1
RG2126-3(config-if-range)#switchport port-security violation shutdown
RG2126-3(config-if-range)#switchport port-security
RG2126-3(config-if-range)#spanning-tree portfast
Switch>enable
Switch#configure terminal
Switch(config)#hostname RG2126-4
RG2126-4(config)#vlan 50
RG2126-4(config)#vlan 60
RG2126-4(config)#interface range fastethernet0/1-2
RG2126-4(config-if-range)#switchport mode trunk
RG2126-4(config)#spanning-tree
RG2126-4(config)#spanning-tree mst configuration
RG2126-4(config-mst)#name ruijie
RG2126-4(config-mst)#revsion 1
RG2126-4(config-mst)#instance 10 vlan10,20,30
RG2126-4(config-mst)#instance 20 vlan40,50,60,61,62,70
RG2126-4(config)#interface range fastethernet0/4-24
RG2126-4(config-if-range)#switchport access vlan 50
RG2126-4(config-if-range)#switchport port-security maximum 1
RG2126-4(config-if-range)#switchport port-security violation shutdown
RG2126-4(config-if-range)#switchport port-security
RG2126-4(config-if-range)#spanning-tree portfast
RG2126-4(config)#interface fastethernet0/3
RG2126-4(config-if)#switchport access vlan 61
RG2126-4(config-if-range)#spanning-tree portfast
Switch>enable
Switch#configure terminal
Switch(config)#hostname RG2126-1
RG2126-1(config)#vlan 70
RG2126-1(config)#interface range fastethernet0/1-2
RG2126-1(config-if-range)#switchport mode trunk
RG2126-1(config)#spanning-tree
RG2126-1(config)#spanning-tree mst configuration
RG2126-1(config-mst)#name ruijie
RG2126-1(config-mst)#revsion 1
RG2126-1(config-mst)#instance 10 vlan10,20,30
RG2126-1(config-mst)#instance 20 vlan40,50,60,61,62,70
RG2126-1(config)#interface range fastethernet0/3-24
RG2126-1(config-if-range)#switchport access vlan 70(三)部署园区边缘
边缘路由器配置。
Router>enable
Router#configure terminal
Router(config)#hostname RSR20
RSR20(config)#interface serial 2/0
RSR20(config-if)#ip add 214.1.1.1 255.255.255.248
RSR20(config-if)#ip nat outside
RSR20(config-if)#no shutdown
RSR20(config)#interface fastethernet 0/0
RSR20(config-if)#ip add 10.0.0.2 255.255.255.252
RSR20(config-if)#no shutdown
RSR20(config)#interface fastethernet 0/1
RSR20(config-if)#ip add 10.0.0.6 255.255.255.252
RSR20(config-if)#ip nat inside
RSR20(config-if)#ip access-group 110 in
RSR20(config-if)#no shutdown
RSR20(config)#router ospf 10
RSR20(config-router)#network 10.0.0.0 0.0.0.3 area 0
RSR20(config-router)#network 10.0.0.4 0.0.0.3 area 0
RSR20(config-router)#default-information originate
RSR20(config)#ip route 0.0.0.0 0.0.0.0 214.1.1.6
RSR20(config)#access-list 10 permit 10.0.2.0 0.0.0.255
RSR20(config)#access-list 10 permit 10.0.3.0 0.0.0.255
RSR20(config)#access-list 10 permit 10.0.4.0 0.0.0.255
RSR20(config)#access-list 10 permit 10.0.5.0 0.0.0.255
RSR20(config)#access-list 10 permit 10.0.6.0 0.0.0.255
RSR20(config)#access-list 10 permit 10.0.7.0 0.0.0.255
RSR20(config)#ip nat pool internet 214.1.1.2 214.1.1.3 netmask
255.255.255.248
RSR20(config)#ip nat inside source list 10 pool internet overload
RSR20(config)#ip nat inside source static tcp 10.0.8.13 20 211.1.1.5 20
RSR20(config)#ip nat inside source static tcp 10.0.8.13 21 211.1.1.5 21
RSR20(config)#ip nat inside source static tcp 10.0.8.14 21 211.1.1.5 21
RSR20(config)#access-list 110 permit ip 10.0.2.0 0.0.0.255 any
RSR20(config)#access-list 110 permit ip 10.0.3.0 0.0.0.255 any
RSR20(config)#access-list 110 permit ip 10.0.4.0 0.0.0.255 any
RSR20(config)#access-list 110 permit ip 10.0.5.0 0.0.0.255 any
RSR20(config)#access-list 110 permit ip 10.0.6.0 0.0.0.255 any
RSR20(config)#access-list 110 permit ip 10.0.7.0 0.0.0.255 any
RSR20(config)#access-list 110 permit ip 10.0.8.0 0.0.0.255 any(四)部署无线网络
WS5302(config)#vlan 61
WS5302(config)#vlan 62
WS5302(config)#vlan 60
WS5302(config)#wlan-config 1 RUIJIE123
WS5302(config-wlan)#enable-broad-ssid
WS5302(config)#ap-group default
WS5302(config-ap-group)# interface-mapping 1 60
WS5302(config)#interface vlan 60
WS5302(config-if-vlan 60)#ip add 10.0.7.252 255.255.255.0
WS5302(config)#interface vlan 61
WS5302(config-if-vlan 61)#ip add 10.0.61.3 255.255.255.0
WS5302(config)#interface vlan 62
WS5302(config-if-vlan 61)#ip add 10.0.62.3 255.255.255.0
WS5302(config)#interface range GigabitEthernet 0/1-2
WS5302(config-if-range)#switchport mode trunk
WS5302(config)#interface Loopback 0
WS5302(config-if)#ip address 9.9.9.9 255.255.255.255
WS5302(config)#router ospf 10
WS5302(config-router)#network 9.9.9.9 0.0.0.0 area 0
WS5302(config-router)#network 10.0.7.0 0.0.0.255 area 0
WS5302(config-router)#network 10.0.61.0 0.0.0.255 area 0
WS5302(config-router)#network 10.0.62.0 0.0.0.255 area 0(五)部署应用系统
分别部署各类服务器,具体略。
四、项目测试阶段
(一)测试方案
在网络安全工程测试中,可以分为布线系统、网络系统和服务应用系统测试。在本实训项目中没有布线系统,所以测试方案只包含网络系统和服务应用系统的测试。
1.网络系统测试
主要包括功能测试、物理连通性测试、一致性测试等几个方面。
(1)物理测试。
|
测试项目 |
测试内容 |
结论 |
|
|---|---|---|---|
|
硬件设备及 |
核心交换机 |
测试加电后系统是否正常启动 |
|
|
查看交换机配置是否与订货合同相符合 |
|||
|
测试各模块的状态 |
|
||
|
测试NVRAM |
|
||
|
查看各端口状态 |
|
||
|
汇聚层及接入层交换机 |
测试加电后系统是否正常启动 |
|
|
|
测试NVRAM |
|
||
|
查看交换机配置是否与订货合同相符合 |
|
||
|
路由器 |
测试端口状态 测试几点后系统是否正常启动 |
|
|
|
测试NVRAM |
|
||
|
查看路由器配置是否与订货合同相符合 |
|||
|
测试端口状态 |
|||
|
防火墙 |
测试加电后系统是否正常启动 |
|
|
|
测试内存 |
|
||
|
查看防火墙的软硬件配置是否与订货合同相符合 |
|
||
|
|
|||
|
测试端口状态 |
|
||
(2)功能性测试。
|
测试项目 |
测试内容 |
结论 |
|
|---|---|---|---|
|
VLAN功能测试 |
核心交换机 |
查看VLAN的配置情况 |
|
|
同一VLAN及不同VLAN在线主机连通性 |
|
||
|
检查地址解析表 |
|
||
|
接入交换机 |
查看VLAN的配置情况 |
|
|
|
同一VLAN及不同VLAN在线主机连通性 |
|
||
|
检查地址解析表 |
|
||
|
路由和路由 |
路由器 |
测试路由表是否正确生成 |
|
|
查看路由的收敛性 |
|
||
|
显示配置OSPF的端口 |
|
||
|
显示OSPF状态 |
|
||
|
查看OSPF链路状态数据库 |
|
||
|
查看OSPF路由邻居相关信息 |
|
||
|
查看OSPF路由 |
|
||
|
设置完毕,待网络完全启动后,观察连接状态库和路由表 |
|
||
|
断开某一链路,观察连接状态库和路由表发生的变化 |
|
||
|
防火墙 |
测试路由表是否正确生成 |
|
|
|
查看路由的收敛性 |
|
||
|
显示配置OSPF的端口 |
|
||
|
显示OSPF状态 |
|
||
|
查看OSPF链路状态数据库 |
|
||
|
查看OSPF路由邻居相关信息 |
|
||
|
查看OSPF路由 |
|
||
|
设置完毕,待网络完全启动后,观察连接状态库和路由表 |
|
||
|
断开某一链路,观察连接状态库和路由表发生的变化 |
|
||
|
三层交换机 |
测试路由表是否正确生成 |
|
|
|
查看路由的收敛性 |
|
||
|
显示配置OSPF的端口 |
|
||
|
显示OSPF状态 |
|
||
|
查看OSPF链路状态数据库 |
|
||
|
查看OSPF路由邻居相关信息 |
|
||
|
查看OSPF路由 |
|
||
|
设置完毕,待网络完全启动后,观察连接状态库和路由表 |
|
||
|
断开某一链路,观察连接状态库和路由表发生的变化 |
|
||
|
冗余性能功能测试 |
三层交换机VRRP |
查看VRRP状态 |
|
|
状态切换,查看数据包的丢失率 |
|
||
|
断掉一根网线,查看是否正常状态 |
|
||
|
三层交换机STP |
查看STP状态 |
|
|
|
断掉一根网线,查看是否正常状态 |
|
||
|
接入环路由,查看是否产生广播风暴 |
|
||
|
防火墙性能功能测试 |
防火墙 |
测试防攻击功能 |
|
|
测试访问控制功能 |
|
||
|
测试NAT功能 |
|
||
2.应用服务系统测试
包括物理连通性、基本功能的测试;网络系统的规划验证测试、性能测试、流量测试等。具体略。
3.辅助测试
网络工程测试可以采用CommView、SolarWinds和MRTG等软件测试。对网络性能监控(可实时监控带宽、传输、带宽利用率、网络延迟、丢包等统计信息)、网络设备发现(具体戒一个范围网段的发现。如:IP地址、主机名、子网、掩码、MAC地址、路由和ARP表、VOIP表、所安装的软件、已运行的软件、系统MIB信息、IOS水平信息、UDP服务、TCP连接等)、网络监规(实现规频音频报警,也可通过mail进行报警信息的传递。幵可对监规范围设备进行任意的裁剪。 它可让你对所有的历史记录数据分别按类、时间进行方便的查询、汇总,并可以以追溯的方式形成多种历叱曲线报表)、安全检测(检查分析路由器SNMP公用字符串的脆弱性,以保护SNMP read/read-write community string 的安全性)等等。
利用“CommView”来观察网络连线、重要的IP 资料统计分析,如TCP、UDP及ICMP,幵显示内部及外部IP位址、Port位置、主机名称和通信数据流量等重要资讯;SolarWinds 网络管理工具包涵盖了从带宽及网络性能监控到网络发现、缺陷管理的方方面面。该软件强调:良好的易用性、网络収掘的快速性、信息显示的准确性。Solarwinds工具使用ICMP、SNMP协议能够快速的实施网络信息发掘,其具体信息详细至接口、端口速率、IP 地址、路由、ARP 表、内存等诸多细节信息。
MRTG(Mulit Router Traffic Grapher,多路由器通信图示器),是一个使用广泛的网络流量统计软件,可以图形方式表示通过SNMP设备的网络通信的状态。它显示从路由器和其他网络设备处获得的网络通信应用信息及其他统计信息。它产HTML格式的页面和GIF格式的图,提供了通过浏览器显示可规的网络性能信息的功能。使用该工具可以方便地查明设备和网络的性能问题。因为MRTG可以监控任意的路由器或支持SNMP的网络设备,所以它可以用于监控边缘路由器与中枢路由器及其他设备。
(二)测试实施
根据上面的测试方案需求,在项目测试完成后,由网络测试工程师和网络安全分析师提交详细的网络测试报告和信息安全测试报告。
(三)作业提交
项目完成后,需要项目组的成员提交如下作业,如表7-10所示:
|
岗位名称 |
提交内容 |
提交时间 |
|---|---|---|
|
项目经理 |
实施进度计划表 |
项目开始前 |
|
项目经理 |
人员分工表 |
项目开始前 |
|
项目经理 |
项目总结报告 |
项目结束后 |
|
项目组所有成员 |
试运行报告 |
试运行结束后 |
|
项目组所有成员 |
终验报告 |
终验结束后 |
|
网络测试工程师 |
网络测试报告 |
项目测试阶段后 |
