项目#
#
设
计
方
案
设计小组:项目名称:计算机网络实验系统构建
方案
二、设计环境
硬件环境
设备类型 设备型号 设备数量,台, 路由器 RG-RSR20-18 3 二层交换机 RG-S2328G 2 三层交换机 RG-S3760-24 2 防火墙 RG-WALL160M 2 VPN设备 RG-WALL-V160S 2 无线交换机 RG-MXR-2 1 无线AP RG-MP422 3 软件环境
软件名称 介质形式 软件数量
光盘 1 Windows 2003 Server企业版
光盘 1 Windows XP Professional
硬盘 1 杀毒软件金山毒霸免费版
硬盘 1 Adobe Reader免费版
硬盘 1 PGP Desktop V9.9.0 英文版(32位系统)免费软件
硬盘 1 Microsoft Office 2003
三、方案设计图
如下图所示:
具体功能的实施
一项目组建与
(1)网络拓扑连接与IP规划
根据下表和网络拓扑图,将所有互联设备连接起来。
设备 设备名称 设备接口 IP地址
Eth0/0 10.1.0.1/30
RA Eth0/1 19.1.1.1/30
Eth0/2 10.1.0.9/30
路由器 Eth0/1 19.1.1.2/30 RB Eth0/2 19.1.1.9/30
Eth0/2 19.1.1.10/30
RC Eth0/1 10.2.0.9/30
Eth0/0 10.2.0.1/30
GE1 10.1.0.2/30 FW1 GE2 10.1.0.5/30 防火墙 GE1 10.2.0.2/30 FW2 GE2 10.2.0.5/30
Fa0/1 10.1.0.6/30
VLAN110 10.1.1.1/24
SW1 VLAN120 10.1.2.1/24
VLAN130 10.1.3.1/24 三层交换机 VLAN150 10.1.5.1/24
Fa0/1 10.2.0.5/30
SW3 VLAN200 10.2.1.1/24
VLAN210 10.2.2.1/24
Eth0 211.1.1.1/28 VPN-1 Eth1 10.1.0.10/30 VPN网关 Eth0 211.1.1.3/28 VPN-2 Eth1 10.2.0.10/30
无线网络 子网 MXR 10.1.3.0/24 二:项目实施
(1)总公司局域网实施
设备 实现 详细
名称 功能 说明
,1,配置OSPF路由
,指定route-id为1.1.1.1
路由功能 ,2,配置基于接口的验证,采用MD5验证方式
,1,配置IPSec VPN,实现总公司的VLAN110与分公司的RA VLAN200实现安全通信 安全功能 ,2,采用隧道模式
,3,作为VLAN110与VLAN200通信的主链路
,1,配置PPP协议
链路功能 ,2,路由器彼此实现CHAP验证
,1,配置AAA,允许远程登录时,采用Radius和本地验证。 管理功能 ,2,配置Radius客户端,Radius服务器地址为10.1.5.8,
密钥为123abc。
,1,在接口s2/0配置WFQ,设置一个公平排队,具体配置服务质量 是拥塞丢弃门限,阈值,为128个消息、512个动态队列。
,1,配置远程访问IPSec VPN,实现移动办公用户可以通过
互联网安全访问内部服务器群VLAN150的dns、http等服务,
其分配的地址池为10.1.4.0/24,创建五个用户,并将用户绑定安全功能 到固定的IP地址。
,2,配置Site-To-Site VPN,作为作为VLAN110与VLAN200
通信的备份链路,允许承载ping服务。 VPN-1 ,1,配置NAT,实现内部网络,VLAN110、VLAN120、
VLAN130,访问互联网,其使用合法的公网地址为地址转换 211.1.1.1/28
,2,实现将内网的WEB、FTP,10.1.5.10、10.1.5.11,资源
发布的互联上,其合法公网地址为211.1.1.1.2/28 路由功能 ,1,配置OSFP路由协议,指定route-id为0.0.0.5
,1,配置安全策略最大限度的保证内网和服务器群安全。 安全功能 ,2,创建时间访问控制列表,只有工作日,周一~周五,的工FW-1 作时间,9:00~18:00,才能访问互联网。
路由功能 ,1,配置OSPF路由协议,指定route-id为0.0.0.1 路由功能 ,1,配置OSPF路由协议,指定route-id为6.6.6.6
,1,划分VLAN
,2,配置链路聚合
,3,配置DHCP服务,实现VLAN110和VLAN120自动获
取IP地址,并指定其各自的网关。排除地址范围为SW-1 优化功能 10.1.1.1~10.1.1.10和10.1.2.1~10.1.2.10。
,4,配置端口镜像
,5,并在端口fa0/6和fa0/7,设置多播风暴控制,允许通过
的多播报文最多占带宽的10%
优化功能 ,1,配置链路聚合
,1,在Fa 0/5上配置端口安全,安全MAC地址为:
00-12-F1-00-ab-01,安全IP地址为10.1.1.1.60/24,并进行SW-2 安全功能 IP和MAC地址的绑定配置。
,2,配置端口安全,实现第个接口只允许1个主机访问,违
规关闭接口。
,1,SSID为VLAN130
无线功能 ,2,配置DHCP功能,地址范围为,10.1.3.10~10.1.3.200, MXR-1
,3,采用WEP加密方式,加密口令为1234567890
设备实现功能 详细说明
名称
,1,配置OSPF路由协议,指定route-id为2.2.2.2 路由功能 ,2,配置基于接口验证功能,采用MD5方式。 RB ,1,配置PPP 链路安全 ,2,实现CHAP认证
(2)城域网实施
(3)分公司局域网实施
设备名称 实现功能 详细说明
,1,配置OSPF路由协议,指定route-id为4.4.4.4 路由功能 ,2,配置基于接口和区域的验证,采用MD5验证方式
,3,配置静态路由
,1,配置IPSec VPN,实现总公司的VLAN110与分
公司的VLAN200实现安全通信 安全功能 ,2,采用隧道模式
,3,作为VLAN110与VLAN200通信的主链路
,1,配置PPP协议 链路安全 ,2,路由器彼此实现CHAP验证 RC
,1,配置AAA,允许远程登录时,采用Radius和本
地验证。 管理功能 ,2,配置Radius客户端,Radius服务器地址为
10.2.2.8,密钥为123abc。
,1,对出接口s2/0的流量限制在300kbps,没有超额
的流量允许发送,超额的流量丢弃。 服务质量 ,2,对入接口fa0/0的流量限制在2Mbps,没有超额的
流量允许发送,超额的流量丢弃
,1,配置远程访问IPSec VPN,实现移动办公用户可
以通过互联网安全访问内部网络VLAN200的dns、ftp、
http等服务,其分配的地址池为10.2.4.0/24,创建五个安全功能 用户,并将用户绑定到固定的IP地址。
,2,配置Site-To-Site VPN,作为作为VLAN110与VPN-2 VLAN200通信的备份链路,允许承载ping服务。
,1,配置NAT,实现内部网络,VLAN110、VLAN120、地址转换 VLAN130,访问互联网,其使用合法的公网地址为
211.1.1.3/28
路由功能 ,1,配置OSFP路由协议,指定route-id为0.0.0.6
,1,配置安全策略最大限度的保证内网安全。 安全功能 ,2,创建时间访问控制列表,只有工作日,周一~周五,FW-2 的工作时间,9:00~18:00,才能访问互联网。 路由功能 ,1,配置OSPF路由协议,指定route-id为0.0.0.2 路由功能 ,1,配置OSPF路由协议,指定route-id为5.5.5.5
,1,划分VLAN SW-3 优化功能 ,2,配置MSTP,创建实例10和实例20,将两个VLAN
分别加入到实例10和实例20,将此交换设置为根。
,3,配置DHCP服务,实现VLAN200和VLAN210
自动获取IP地址,并指定其各自的网关。排除地址范
围为10.2.1.1~10.1.1.10和10.2.2.1~10.1.2.10。
,1,配置MSTP,创建实例10和实例20,将两个VLAN优化功能 分别加入到实例10和实例20。
,1,配置端口安全,实现第个接口只允许1个主机访SW-4
安全功能 问,违规关闭接口。
,2,在所有的接入接口上配置portfast。