绪
论


课程思政

● 
学之,审问之,慎思之,明辨之,笃行之。”培养学生的爱国情怀,具有基本的职业
道德和职业素养;在网络管理过程中遵守法律法规、道德规范,树立诚信意识,承担社
会责任。博(“) 
● 
等闲,白了少年头,空悲切。定文化自信,培养学生的工匠精神、劳动意识和创
新思维,通过项目法教学模式,让学生亲身体验项目的设计、管理和实施,培养一定的
项目管理能力。莫(“) 坚(”) 
01. 
011.
.
教学项目导入

教学项目描述

某知名外企AAA 公司步入中国,在上海浦东新区成立了自己的国内总部。为满足公
现在准备建立公司信息化网络。总部办公区设有市场部、

司经营、管理的需要, 
资源部、总经理及董事会办公室、

财务部、人力

信息技术部5个部门,各部门办公地点并不集中。为了业

务的开展需要,又在浦西设立了一个分部。
各部门信息点具体需求数目如表0-1所示。

1

表0

部门

市场部

财务部

人力资源部

总经理及董事会办公室

信息技术部

公司分部

各部门信息点具体需求数目

信息点

100 

40 

17 

10 

13 

30 

网络拓扑结构如图0-1和图0-2所示。


网络设备配置项目教程(微课版)( 第3版) 


图0-1 AAA 公司网络拓扑结构一


图0-2 AAA 公司网络拓扑结构二

教学项目要求

请根据图0-1和图0-2的公司网络拓扑结构及下面的具体要求搭建网络,并将所有设备

012.
.



4 


绪论

上的最终配置结果保存到各自启动配置中。

1. 
网络物理连接
网络物理连接如表0-2所示。

表0-
2 
网络物理连接

源设备名称设备接口目标设备名称设备接口
S1 G0/0/1 S3 G0/0/1 
S1 G0/0/2 S2 G0/0/2 
S2 G0/0/1 S3 G0/0/2 
S3 G0/0/3 R1 G0/0/0 
R1 G0/0/1 R2 G0/0/0 
R1 E0/0/0 Server1 E0/0/0 
R2 S1/0/0 R4 S1/0/0 
R2 G0/0/1 R3 G0/0/1 
R3 E0/0/0 PC4 E0/0/1 
S1 G0/0/20 S4 G0/0/1 
S1 G0/0/5 S5 G0/0/1 
S1 G0/0/11 HUB1 E0/0/0 
S4 G0/0/2 PC1 E0/0/0 
S5 G0/0/2 PC2 E0/0/0 
HUB1 E0/0/1 PC3 E0/0/1 
S2 G0/0/17 PC4 E0/0/1 
R4 S1/0/1 R5 S1/0/1 
R5 G0/0/0 S6 G0/0/1 
S6 G0/0/3 PC6 E0/0/1 
S6 G0/0/4 Client1 E0/0/0 
S6 G0/0/2 AC1 G0/0/1 
AC1 G0/0/2 AP1 G0/0/0 
AC1 G0/0/3 AP2 G0/0/0 

2. 
网络设备配置
(1)网络设备基本配置。根据表0-3为网络设备配置主机名。
表0-
3 
网络设备主机名

设备名称配置主机名说明
S1 S1 总部接入层交换机
S2 S2 总部接入层交换机
S3 S3 总部核心层交换机


5 


网络设备配置项目教程(微课版)( 第3版) 

续表

设备名称配置主机名说明
S4 S4 技术部二层交换机
S5 S5 市场部二层交换机
S6 S6 合作伙伴接入交换机
HUB1 — 财务部集线器
R1 R1 公司总部路由器
R2 R2 公司出口路由器
R3 R3 分部路由器
R4 R4 公网路由器
R5 R5 合作伙伴路由器

(2)VLAN 配置。为了做到各部门二层隔离,需要在交换机上进行VLAN 划分与端口
分配。根据表0-4完成VLAN 配置和端口分配。

表0-
4 
VLAN 
配置和端口分配

VLAN 编号VLAN 名称说明端口映射
VLAN10 Marketing 市场部S1 与S2 上的G0/0/5~G0/0/10 
VLAN20 Finance 财务部S1 与S2 上的G0/0/11~G0/0/13 
VLAN30 HR 人力资源部S1 与S2 上的G0/0/14~G0/0/16 
VLAN40 CEO 总经理及董事会办公室S1 与S2 上的G0/0/17~G0/0/19 
VLAN50 IT 信息技术部S1 与S2 上的G0/0/20~G0/0/22 
VLAN1 Manage 交换机管理VLAN — 

(3)网络可靠性实现。在交换机上配置RSTP,防止二层环路。
(4)IP 地址规划与配置。由于公网地址紧张,所以只能在公司的总部和分部使用私网
地址。计划使用10.0/23 地址段。IP 地址规划如表05所示,IP 地址配置如表0

0.-6

0.
所示。

表0-
5 
IP 
地址规划

区域IP 地址段网关
市场部10.0.0.0/25 10.0.0.126 
财务部10.0.0.128/26 10.0.0.190 
人力资源部10.0.0.192/27 10.0.0.222 
总经理及董事会办公室10.0.0.224/28 10.0.0.238 
信息技术部10.0.0.240/28 10.0.0.254 
公司分部10.0.1.0/27 10.0.1.30 
合作伙伴10.0.2.0/27 10.0.2.30 
交换机管理VLAN 192.168.100.0/29 — 


6 


绪论

表0-
6 
IP 
地址配置

设备接口IP 地址默认网关
G0/0/0 172.16.0.2/30 不适用
R1 G0/0/1 172.16.1.1/30 不适用
VLAN10(E0/0/0) 172.16.10.1/30 不适用
G0/0/0 172.16.1.2/30 
202.0.0.6R2 G0/0/1 172.16.2.1/30 
S1/0/0 202.0.0.1/28 
R3 G0/0/1 172.16.2.2/30 172.16.2.1E0/0/0 10.0.1.30/27 
R4 S1/0/0 202.0.0.6/28 不适用
S1/0/1 202.0.1.1/29 不适用
R5 G0/0/0 10.0.2.30/27 202.0.1.1S1/0/1 202.0.1.2/29 
S1 VLAN1 192.168.100.1/29 不适用
S2 VLAN1 192.168.100.2/29 不适用
VLAN1 192.168.100.3/29 不适用
VLAN2(G0/0/3) 172.16.0.1/30 不适用
VLAN10(G0/0/5~G0/0/10) 10.0.0.126/25 不适用
S3 VLAN20(G0/0/11~G0/0/13) 10.0.0.190/26 不适用
VLAN30(G0/0/14~G0/0/16) 10.0.0.222/27 不适用
VLAN40(G0/0/17~G0/0/19) 10.0.0.238/28 不适用
VLAN50(G0/0/20~G0/0/22) 10.0.0.254/28 不适用
S4 VLAN1 10.0.0.241/28 不适用
S5 VLAN1 10.0.0.1/25 不适用
PC1 E0/0/1 10.0.0.242/28 10.0.0.254 
PC2 E0/0/1 10.0.0.2/25 10.0.0.126 
PC3 E0/0/1 10.0.0.129/26 10.0.0.190 
PC4 E0/0/1 10.0.0.225/28 10.0.0.238 
PC5 E0/0/1 10.0.1.1/27 10.0.1.30 
PC6 E0/0/1 10.0.2.2/27 10.0.2.30 
Server1 E0/0/0 172.16.10.2/30 172.16.10.1 
Client1 E0/0/0 10.0.2.3/27 10.0.2.30 
AC1 VLAN1 10.0.2.10/27 10.0.2.30 VLAN10(G0/0/2~G0/0/3) 192.168.10.100/24 

(5)路由配置。公司总部配置为OSPF 的骨干区域。公司分部使用静态路由,将公司
分部的静态路由引入OSPF 中。
(6)广域网链路配置。R2 与R4 使用广域网串口线连接,使用PPP 的CHAP 验证,为
7

网络设备配置项目教程(微课版)( 第3版) 

R4 和R5 之间添加PPP 的PAP 验证。

3. 
网络安全配置
(1)控制子网间的访问。在总部路由器R1 上配置扩展的ACL,以禁止分部访问公司总
部的财务部;在分部路由器R3 上配置标准的ACL,以禁止公司总部的市场部访问分部。
(2)转换网络间的地址。在接入路由器R2 上配置PAT,使总部、分部所有主机(服务
器除外)能通过申请到的一组公网地址(0.0/29) 0.2/29202.0.
202.0.中的地址池202.0.~0.4/
29 用于总部访问外网与202.0.0.~0.8/29 用于分部访问外网,
6/29202.0.并在R2 上配置静
0.evr

态NAT,使用公网地址202.5/29 将公司总部的WWW 、FTP 服务器S1发布到
Internet,允许公网用户访问;在合作伙伴路由器R5 上配置PAT,以使用其申请到的唯一公
网地址(0.2)接入Inent。

0.re

202.1.tre

(3)建立安全隧道。为了传输机要信息,分部与总部总经理及董事会办公室之间采用
安全隧道的方式通信。在总部路由器R1 上及分部路由器R3 上配置IPSecVPN,使用ESP 
加3DES 加密并使用ESP 结合SHA 做HASH 计算,以隧道模式封装,设置密钥加密方式
为3DES,并使用预共享的密码进行身份验证。
(4)设备安全访问设置。为网络设备开启远程登录(SSH)功能以及本地密码,按照
表0-7为网络设备配置相应密码,并且只允许信息技术部的工作人员可以通过SSH 访问
设备。
表0-
7 
网络设备的密码

设备名称(主机名) 账号远程登录密码本地密码
R1 root 111111 123456 
R2 root 111111 123456 
R3 root 111111 123456 
R5 root 111111 123456 
S3 root 111111 123456 
S2 root 111111 123456 
S1 root 111111 123456 

4. 
无线网络配置
合作伙伴计算机设备分散,其中的计算机数目也在逐步增加。在这种情况下,全部用有
线网连接终端设施,从布线到使用都会极不方便;有的房间是大开间布局,地面和墙壁已经
施工完毕,若进行网络应用改造,敷设缆线工作量巨大,而且位置无法十分固定,导致信息点
的放置也不能确定,这样构建一个无线局域网络就会很方便。若整个WLAN 完全暴露在一
个没有安全设置的环境下,是非常危险的。因此需要在无线接入点或无线路由器上进行安
全设置。

(1)本项目的网络架构为WLAN 和有线局域网混合的非独立WLAN 。
(2)在无线路由器上进行安全设置
。
①SSID 为HZHB 
。
②无线路由器设置WPA-PSK 密钥验证,密钥为12345678 。
8

02.
绪论

教学项目分析

本项目是一个有关企业网搭建的网络工程项目。作为一个完整的网络工程项目,从网
络系统集成技术角度看,一般工作流程为:网络的规划与设计→网络综合布线→交换机与
路由器配置→服务器配置→网络安全配置→无线路由配置→网络故障的分析与排除→网络
的测试与验收。

因本项目中指定了具体的网络规划,未涉及综合布线与服务器配置问题,因而也不再涉
及网络验收问题,只保留了网络设备配置相关部分。按工作过程先后顺序,为方便学习,将
本企业网搭建项目设计成以下11 个独立的项目。

项目1 登录与管理交换机

项目2 实现VLAN 间通信

项目3 防止二层环路

项目4 内外网连接

项目5 添加静态路由

项目6 配置动态路由

项目7 接入广域网

项目8 控制子网间的访问

项目9 转换网络地址

项目10 建立安全隧道

项目11 无线局域网搭建

这11 个独立项目是教学项目的主体,作为本书第二篇。在完成第二篇的基础上,读者
有了初步的项目实践经验,可以进行第三篇的学习。第三篇是一个综合的教学项目,是对第
二篇知识和技能的提升。第四篇是综合实训。通过这样的设计,读者可以由浅入深、由简单
到复杂、由易到难地掌握网络设备的基本配置技能,从而积累一定的项目经验。


9