项目设计方案

项目## 设 计 方 案 设计小组:项目名称:计算机网络实验系统构建 方案 二、设计环境 硬件环境 设备类型 设备型号 设备数量,台, 路由器 RG-RSR20-18 3 二层交换机 RG-S2328G 2 三层交换机 RG-S3760-24 2 防火墙 RG-WALL160M 2 VPN设备 RG-WALL-V160S 2 无线交换机 RG-MXR-2 1 无线AP RG-MP422 3 软件环境 软件名称 介质形式 软件数量 光盘 1 Windows 2003 Server企业版 光盘 1 Windows XP Professional 硬盘 1 杀毒软件金山毒霸免费版 硬盘 1 Adobe Reader免费版 硬盘 1 PGP Desktop V9.9.0 英文版(32位系统)免费软件 硬盘 1 Microsoft Office 2003 三、方案设计图 如下图所示: 具体功能的实施 一项目组建与 (1)网络拓扑连接与IP规划 根据下表和网络拓扑图，将所有互联设备连接起来。 设备 设备名称 设备接口 IP地址 Eth0/0 10.1.0.1/30 RA Eth0/1 19.1.1.1/30 Eth0/2 10.1.0.9/30 路由器 Eth0/1 19.1.1.2/30 RB Eth0/2 19.1.1.9/30 Eth0/2 19.1.1.10/30 RC Eth0/1 10.2.0.9/30 Eth0/0 10.2.0.1/30 GE1 10.1.0.2/30 FW1 GE2 10.1.0.5/30 防火墙 GE1 10.2.0.2/30 FW2 GE2 10.2.0.5/30 Fa0/1 10.1.0.6/30 VLAN110 10.1.1.1/24 SW1 VLAN120 10.1.2.1/24 VLAN130 10.1.3.1/24 三层交换机 VLAN150 10.1.5.1/24 Fa0/1 10.2.0.5/30 SW3 VLAN200 10.2.1.1/24 VLAN210 10.2.2.1/24 Eth0 211.1.1.1/28 VPN-1 Eth1 10.1.0.10/30 VPN网关 Eth0 211.1.1.3/28 VPN-2 Eth1 10.2.0.10/30 无线网络 子网 MXR 10.1.3.0/24 二:项目实施 (1)总公司局域网实施 设备 实现 详细 名称 功能 说明 ,1,配置OSPF路由，指定route-id为1.1.1.1 路由功能 ,2,配置基于接口的验证，采用MD5验证方式 ,1,配置IPSec VPN，实现总公司的VLAN110与分公司的RA VLAN200实现安全通信 安全功能 ,2,采用隧道模式 ,3,作为VLAN110与VLAN200通信的主链路 ,1,配置PPP协议 链路功能 ,2,路由器彼此实现CHAP验证 ,1,配置AAA，允许远程登录时，采用Radius和本地验证。 管理功能 ,2,配置Radius客户端，Radius服务器地址为10.1.5.8， 密钥为123abc。 ,1,在接口s2/0配置WFQ，设置一个公平排队，具体配置服务质量 是拥塞丢弃门限,阈值,为128个消息、512个动态队列。 ,1,配置远程访问IPSec VPN，实现移动办公用户可以通过 互联网安全访问内部服务器群VLAN150的dns、http等服务， 其分配的地址池为10.1.4.0/24，创建五个用户，并将用户绑定安全功能 到固定的IP地址。 ,2,配置Site-To-Site VPN，作为作为VLAN110与VLAN200 通信的备份链路，允许承载ping服务。 VPN-1 ,1,配置NAT，实现内部网络,VLAN110、VLAN120、 VLAN130,访问互联网，其使用合法的公网地址为地址转换 211.1.1.1/28 ,2,实现将内网的WEB、FTP,10.1.5.10、10.1.5.11,资源 发布的互联上，其合法公网地址为211.1.1.1.2/28 路由功能 ,1,配置OSFP路由协议，指定route-id为0.0.0.5 ,1,配置安全策略最大限度的保证内网和服务器群安全。 安全功能 ,2,创建时间访问控制列表，只有工作日,周一~周五,的工FW-1 作时间,9:00~18:00,才能访问互联网。 路由功能 ,1,配置OSPF路由协议，指定route-id为0.0.0.1 路由功能 ,1,配置OSPF路由协议，指定route-id为6.6.6.6 ,1,划分VLAN ,2,配置链路聚合 ,3,配置DHCP服务，实现VLAN110和VLAN120自动获 取IP地址，并指定其各自的网关。排除地址范围为SW-1 优化功能 10.1.1.1~10.1.1.10和10.1.2.1~10.1.2.10。 ,4,配置端口镜像 ,5,并在端口fa0/6和fa0/7，设置多播风暴控制，允许通过 的多播报文最多占带宽的10% 优化功能 ,1,配置链路聚合 ,1,在Fa 0/5上配置端口安全，安全MAC地址为: 00-12-F1-00-ab-01，安全IP地址为10.1.1.1.60/24，并进行SW-2 安全功能 IP和MAC地址的绑定配置。 ,2,配置端口安全，实现第个接口只允许1个主机访问，违 规关闭接口。 ,1,SSID为VLAN130 无线功能 ,2,配置DHCP功能，地址范围为,10.1.3.10~10.1.3.200, MXR-1 ,3,采用WEP加密方式，加密口令为1234567890 设备实现功能 详细说明 名称 ,1,配置OSPF路由协议，指定route-id为2.2.2.2 路由功能 ,2,配置基于接口验证功能，采用MD5方式。 RB ,1,配置PPP 链路安全 ,2,实现CHAP认证 (2)城域网实施 (3)分公司局域网实施 设备名称 实现功能 详细说明 ,1,配置OSPF路由协议，指定route-id为4.4.4.4 路由功能 ,2,配置基于接口和区域的验证，采用MD5验证方式 ,3,配置静态路由 ,1,配置IPSec VPN，实现总公司的VLAN110与分 公司的VLAN200实现安全通信 安全功能 ,2,采用隧道模式 ,3,作为VLAN110与VLAN200通信的主链路 ,1,配置PPP协议 链路安全 ,2,路由器彼此实现CHAP验证 RC ,1,配置AAA，允许远程登录时，采用Radius和本 地验证。 管理功能 ,2,配置Radius客户端，Radius服务器地址为 10.2.2.8，密钥为123abc。 ,1,对出接口s2/0的流量限制在300kbps,没有超额 的流量允许发送，超额的流量丢弃。 服务质量 ,2,对入接口fa0/0的流量限制在2Mbps,没有超额的 流量允许发送，超额的流量丢弃 ,1,配置远程访问IPSec VPN，实现移动办公用户可 以通过互联网安全访问内部网络VLAN200的dns、ftp、 http等服务，其分配的地址池为10.2.4.0/24，创建五个安全功能 用户，并将用户绑定到固定的IP地址。 ,2,配置Site-To-Site VPN，作为作为VLAN110与VPN-2 VLAN200通信的备份链路，允许承载ping服务。 ,1,配置NAT，实现内部网络,VLAN110、VLAN120、地址转换 VLAN130,访问互联网，其使用合法的公网地址为 211.1.1.3/28 路由功能 ,1,配置OSFP路由协议，指定route-id为0.0.0.6 ,1,配置安全策略最大限度的保证内网安全。 安全功能 ,2,创建时间访问控制列表，只有工作日,周一~周五,FW-2 的工作时间,9:00~18:00,才能访问互联网。 路由功能 ,1,配置OSPF路由协议，指定route-id为0.0.0.2 路由功能 ,1,配置OSPF路由协议，指定route-id为5.5.5.5 ,1,划分VLAN SW-3 优化功能 ,2,配置MSTP，创建实例10和实例20，将两个VLAN 分别加入到实例10和实例20，将此交换设置为根。 ,3,配置DHCP服务，实现VLAN200和VLAN210 自动获取IP地址，并指定其各自的网关。排除地址范 围为10.2.1.1~10.1.1.10和10.2.2.1~10.1.2.10。 ,1,配置MSTP，创建实例10和实例20，将两个VLAN优化功能 分别加入到实例10和实例20。 ,1,配置端口安全，实现第个接口只允许1个主机访SW-4 安全功能 问，违规关闭接口。 ,2,在所有的接入接口上配置portfast。