第一篇
教学项目准备



合抱之木,生于毫末;九层之台,起于累土;千里之行,始于足下。
——《老子》
网络设备配置项目教程(微课版)(第2版)第一篇教学项目准备
项目0
项目0〓项目准备




01教学项目导入011教学项目描述某知名外企AAA公司步入中国,在上海成立了总部。为满足公司经营及管理的需要,现在准备建立公司信息化网络。总部办公区设有市场部、财务部、人力资源部、信息技术部、总经理及董事会办公室等5个部门,各部门办公地点并不集中。为了业务的开展需要,又在浦东新区设立了一个分部。
各部门信息点具体需求数目如表01所示,AAA公司网络拓扑结构如图01所示。表01各部门信息点具体需求数目
部门信息点市场部100财务部40人力资源部17总经理及董事会办公室10信息技术部13公司分部30图01AAA公司网络拓扑结构
012教学项目要求
请根据上面的公司网络拓扑结构及下面的具体要求搭建网络,并将所有设备上的最终配置结果保存到各自启动配置中。具体要求如下。
1 网络物理连接
网络物理连接需要的设备及接口情况见表02。网络设备配置项目教程(微课版)(第2版)项目0项目准备表02网络物理连接需要的设备及接口情况
源设备名称设备接口目标设备名称设备接口SW1F0/1SW3F0/1SW1F0/3SW2F0/3SW2F0/2SW3F0/2SW2F0/3SW1F0/3SW3F0/1SW1F0/1SW3F0/2SW2F0/2SW3F0/3RT1F0/0RT1F1/0RT2F0/0RT1F0/1ServerRT2S1/0RT4S1/0RT2F0/1RT3F0/1RT3F0/0PC4RT4S1/1RT5S1/1RT5F0/0PC52网络设备配置
(1)  网络设备基本配置
根据表03为网络设备配置主机名。表03网络设备配置主机名
设备名称配置主机名(Sysname名)说明SW1SW1总部接入层交换机SW2SW2总部接入层交换机SW3SW3总部核心层交换机RT1RT1公司总部路由器RT2RT2公司出口路由器RT3RT3分部路由器RT4RT4公网路由器RT5RT5合作伙伴路由器(2)  VLAN配置
为了做到各部门二层隔离,需要在交换机上进行VLAN划分与端口分配。根据表04完成VLAN配置和端口分配。表04VLAN配置和端口分配
VLAN编号VLAN名称说明端 口 映 射VLAN 10Marketing市场部SW1与SW2上的F0/5~F0/10VLAN 20Finance财务部SW1与SW2上的F0/11~F0/13VLAN 30HR人力资源部SW1与SW2上的F0/14~F0/16VLAN 40CEO总经理及董事会办公室SW1与SW2上的 F0/17~F0/19VLAN 50IT信息技术部SW1与SW2上的F0/20~F0/22VLAN 1manage交换机管理VLAN(3) 网络可靠性实现
在交换机上配置RSTP防止二层环路。
(4) IP地址的规划与配置
由于公网地址紧张,所以只能在公司的总部和分部使用私网地址。计划使用10000/23地址段。IP地址的规划与配置见表05。表05IP地址的规划与配置
区域IP地址段网关市场部10000/251000126财务部1000128/261000190人力资源部1000192/271000222总经理及董事会办公室1000224/281000238信息技术部1000240/281000254公司分部10010/27100130合作伙伴10020/27100230交换机管理VLAN1921681000/29—设备的IP地址如表06所示。表06设备的IP地址
设备IP地址RT4—RT5202010/29RT2—RT4202000/30其余设备间互连地址使用1721600/24网段,并使用30位掩码,如表07所示。表07其余设备间互连地址
设备IP地址SW3—RT11721600/30RT1—Server017216100/30RT1—RT21721610/30RT2—RT31721620/30(5) 路由配置
公司总部配置为OSPF的骨干区域。公司分部使用静态路由,将公司分部的静态路由引入OSPF中。
(6) 广域网链路配置
RT2与RT4使用广域网串口线连接,使用PPP 协议的CHAP验证;为RT4和RT5之间添加PPP 协议的PAP验证。
3网络安全配置
(1) 控制子网间的访问
在总部路由器RT1上配置扩展的ACL以禁止分部访问公司总部的财务部;在分部路由器RT3上配置标准的ACL以禁止公司总部的市场部访问分部。
(2) 转换网络间的地址
在接入路由器RT2上配置PAT,使总部、分部所有主机(服务器除外)能通过申请到的一组公网地址(202000/29)中的地址池202002/29~202004/29访问Internet,并在RT2上配置静态NAT,使用公网地址202005/29将公司总部的WWW、FTP服务器Server0发布到Internet,允许公网用户访问;在合作伙伴路由器RT5上配置PAT,以使用其申请到的唯一公网地址(202012/30)接入Internet。
(3) 建立安全隧道
为了传输机要信息,分部与总部总经理及董事会办公室之间采用安全隧道的方式通信。在总部路由器RT1上及分部路由器RT3上配置IPSec VPN,使用ESP加3DES加密并使用ESP结合SHA做HASH计算,以隧道模式封装,设置密钥加密方式为3DES, 并使用预共享的密码进行身份验证。
(4) 设备安全访问设置
为网络设备开启远程登录(Telnet)功能,按照表08为网络设备配置相应密码,并且只允许信息技术部的工作人员可以通过Telnet访问设备。表08设备安全访问设置
设备名称(主机名)远程登录密码RT1000000(明文)RT3000000(明文)SW3000000(明文)SW2000000(明文)SW1000000(明文)4无线网络配置
合作伙伴计算机设备分散,其中的计算机数目也在逐步增加。在这种情况下,全部用有线网连接终端设施,从布线到使用都会极不方便;有的房间是大开间布局,地面和墙壁已经施工完毕,若进行网络应用改造,埋设缆线工作量巨大,而且位置无法十分固定,导致信息点的放置也不能确定,这样构建一个无线局域网络就会很方便。若整个WLAN完全暴露在一个没有安全设置的环境下,是非常危险的。因此需要在无线接入点或无线路由器上进行安全设置。
(1) 本项目的网络架构为WLAN和有线局域网混合的非独立WLAN。
(2) 在无线路由器上进行安全设置。
① SSID为rjxy。
② 无线路由器Wireless Router0设置WPAPSK密钥验证,密钥为87654321。
02教学项目分析
网络规划设计
实例讲解
本项目是一个有关企业网搭建的网络工程项目。作为一个完整的网络工程项目,从网络系统集成技术角度看,一般工作流程为: 网络的规划与设计→网络综合布线→交换机与路由器配置→服务器配置→网络安全配置→无线路由配置→网络故障的分析与排除→网络的测试与验收8个步骤。
因本项目中指定了具体的网络规划,未涉及综合布线与服务器配置问题,从而也不再涉及网络验收问题,只保留了网络设备配置相关部分。按工作过程先后顺序,为方便读者学习,将本企业网搭建项目设计成如下11个独立的项目: 
项目1登录与管理交换机
项目2实现VLAN间通信
项目3防止二层环路
项目4内外网连接
项目5添加静态路由
项目6配置动态路由
项目7接入广域网
项目8控制子网间的访问
项目9转换网络地址
项目10建立安全隧道
项目11无线局域网搭建
第一篇用于教学项目的准备。第二篇中11个独立的项目是教学项目的主体。第三篇是一个综合教学项目,是对第二篇知识和技能的提升。第四篇是综合实训。通过这样的设计,读者可以由浅入深、由简单到复杂、由易到难地掌握网络设备的基本配置技能,积累一定的项目经验。