第一篇
教学项目准备



合抱之木，生于毫末；九层之台，起于累土；千里之行，始于足下。
——《老子》
网络设备配置项目教程(微课版)(第2版)第一篇教学项目准备
项目0
项目0〓项目准备




01教学项目导入011教学项目描述某知名外企AAA公司步入中国，在上海成立了总部。为满足公司经营及管理的需要，现在准备建立公司信息化网络。总部办公区设有市场部、财务部、人力资源部、信息技术部、总经理及董事会办公室等5个部门，各部门办公地点并不集中。为了业务的开展需要，又在浦东新区设立了一个分部。
各部门信息点具体需求数目如表01所示，AAA公司网络拓扑结构如图01所示。表01各部门信息点具体需求数目
部门信息点市场部100财务部40人力资源部17总经理及董事会办公室10信息技术部13公司分部30图01AAA公司网络拓扑结构
012教学项目要求
请根据上面的公司网络拓扑结构及下面的具体要求搭建网络，并将所有设备上的最终配置结果保存到各自启动配置中。具体要求如下。
1 网络物理连接
网络物理连接需要的设备及接口情况见表02。网络设备配置项目教程(微课版)(第2版)项目0项目准备表02网络物理连接需要的设备及接口情况
源设备名称设备接口目标设备名称设备接口SW1F0/1SW3F0/1SW1F0/3SW2F0/3SW2F0/2SW3F0/2SW2F0/3SW1F0/3SW3F0/1SW1F0/1SW3F0/2SW2F0/2SW3F0/3RT1F0/0RT1F1/0RT2F0/0RT1F0/1ServerRT2S1/0RT4S1/0RT2F0/1RT3F0/1RT3F0/0PC4RT4S1/1RT5S1/1RT5F0/0PC52网络设备配置
（1）  网络设备基本配置
根据表03为网络设备配置主机名。表03网络设备配置主机名
设备名称配置主机名（Sysname名）说明SW1SW1总部接入层交换机SW2SW2总部接入层交换机SW3SW3总部核心层交换机RT1RT1公司总部路由器RT2RT2公司出口路由器RT3RT3分部路由器RT4RT4公网路由器RT5RT5合作伙伴路由器（2）  VLAN配置
为了做到各部门二层隔离，需要在交换机上进行VLAN划分与端口分配。根据表04完成VLAN配置和端口分配。表04VLAN配置和端口分配
VLAN编号VLAN名称说明端 口 映 射VLAN 10Marketing市场部SW1与SW2上的F0/5～F0/10VLAN 20Finance财务部SW1与SW2上的F0/11～F0/13VLAN 30HR人力资源部SW1与SW2上的F0/14～F0/16VLAN 40CEO总经理及董事会办公室SW1与SW2上的 F0/17～F0/19VLAN 50IT信息技术部SW1与SW2上的F0/20～F0/22VLAN 1manage交换机管理VLAN（3） 网络可靠性实现
在交换机上配置RSTP防止二层环路。
（4） IP地址的规划与配置
由于公网地址紧张，所以只能在公司的总部和分部使用私网地址。计划使用10000/23地址段。IP地址的规划与配置见表05。表05IP地址的规划与配置
区域IP地址段网关市场部10000/251000126财务部1000128/261000190人力资源部1000192/271000222总经理及董事会办公室1000224/281000238信息技术部1000240/281000254公司分部10010/27100130合作伙伴10020/27100230交换机管理VLAN1921681000/29—设备的IP地址如表06所示。表06设备的IP地址
设备IP地址RT4—RT5202010/29RT2—RT4202000/30其余设备间互连地址使用1721600/24网段，并使用30位掩码，如表07所示。表07其余设备间互连地址
设备IP地址SW3—RT11721600/30RT1—Server017216100/30RT1—RT21721610/30RT2—RT31721620/30（5） 路由配置
公司总部配置为OSPF的骨干区域。公司分部使用静态路由，将公司分部的静态路由引入OSPF中。
（6） 广域网链路配置
RT2与RT4使用广域网串口线连接，使用PPP 协议的CHAP验证；为RT4和RT5之间添加PPP 协议的PAP验证。
3网络安全配置
（1） 控制子网间的访问
在总部路由器RT1上配置扩展的ACL以禁止分部访问公司总部的财务部；在分部路由器RT3上配置标准的ACL以禁止公司总部的市场部访问分部。
（2） 转换网络间的地址
在接入路由器RT2上配置PAT，使总部、分部所有主机（服务器除外）能通过申请到的一组公网地址（202000/29）中的地址池202002/29～202004/29访问Internet，并在RT2上配置静态NAT，使用公网地址202005/29将公司总部的WWW、FTP服务器Server0发布到Internet，允许公网用户访问；在合作伙伴路由器RT5上配置PAT，以使用其申请到的唯一公网地址（202012/30）接入Internet。
（3） 建立安全隧道
为了传输机要信息，分部与总部总经理及董事会办公室之间采用安全隧道的方式通信。在总部路由器RT1上及分部路由器RT3上配置IPSec VPN，使用ESP加3DES加密并使用ESP结合SHA做HASH计算，以隧道模式封装，设置密钥加密方式为3DES, 并使用预共享的密码进行身份验证。
（4） 设备安全访问设置
为网络设备开启远程登录（Telnet）功能，按照表08为网络设备配置相应密码，并且只允许信息技术部的工作人员可以通过Telnet访问设备。表08设备安全访问设置
设备名称（主机名）远程登录密码RT1000000（明文）RT3000000（明文）SW3000000（明文）SW2000000（明文）SW1000000（明文）4无线网络配置
合作伙伴计算机设备分散，其中的计算机数目也在逐步增加。在这种情况下，全部用有线网连接终端设施，从布线到使用都会极不方便；有的房间是大开间布局，地面和墙壁已经施工完毕，若进行网络应用改造，埋设缆线工作量巨大，而且位置无法十分固定，导致信息点的放置也不能确定，这样构建一个无线局域网络就会很方便。若整个WLAN完全暴露在一个没有安全设置的环境下，是非常危险的。因此需要在无线接入点或无线路由器上进行安全设置。
（1） 本项目的网络架构为WLAN和有线局域网混合的非独立WLAN。
（2） 在无线路由器上进行安全设置。
① SSID为rjxy。
② 无线路由器Wireless Router0设置WPAPSK密钥验证，密钥为87654321。
02教学项目分析
网络规划设计
实例讲解
本项目是一个有关企业网搭建的网络工程项目。作为一个完整的网络工程项目，从网络系统集成技术角度看，一般工作流程为： 网络的规划与设计→网络综合布线→交换机与路由器配置→服务器配置→网络安全配置→无线路由配置→网络故障的分析与排除→网络的测试与验收8个步骤。
因本项目中指定了具体的网络规划，未涉及综合布线与服务器配置问题，从而也不再涉及网络验收问题，只保留了网络设备配置相关部分。按工作过程先后顺序，为方便读者学习，将本企业网搭建项目设计成如下11个独立的项目： 
项目1登录与管理交换机
项目2实现VLAN间通信
项目3防止二层环路
项目4内外网连接
项目5添加静态路由
项目6配置动态路由
项目7接入广域网
项目8控制子网间的访问
项目9转换网络地址
项目10建立安全隧道
项目11无线局域网搭建
第一篇用于教学项目的准备。第二篇中11个独立的项目是教学项目的主体。第三篇是一个综合教学项目，是对第二篇知识和技能的提升。第四篇是综合实训。通过这样的设计，读者可以由浅入深、由简单到复杂、由易到难地掌握网络设备的基本配置技能，积累一定的项目经验。