网络设备管理实训.docx

1、网络设备管理实训实训目的A、B、C、D五家公司，分别位于五个不同的地域，各个公司彼此独立，切都连接到Internet。F公司是A公司的下属子公司。A公司是某规模较大的公司，为迎合网络时代的发展，公司为每位职工配备电脑一台，并都可以访问Internet。该公司共计有9个部门：董事会、人力资源部、财务部、市场部、外联部、公关部、研发部、车间、后勤。其中，车间员工数量最多，共计124人，其余部门最多只有27人。B公司是一家网吧，内有120台电脑。C公司是一家网络服务提供公司，对外提供web及FTP服务D公司有6部门，通过三层交换机连接E公司采用硬件防火墙。该公司内部服务器禁止外部任何人员访问，只允许

2、内部员工访问。并且对内部员上网有严格的限制：禁止聊QQ，禁止使用web，ftp以外的各项服务，并规定每个员工每天只能享用10M流量数据，并且每台PC的带宽只有1M。F公司与A公司经常有业务来往，并通过网络传输财务数据，要求数据传输过程安全可靠。实训目标1） 建成一个具有高可靠性和开放性的网络，它应支持流行的SNMP等网络管理协议；2） 采用Internet上的标准协议-TCP/IP协议，提供校园内部及面向全球的WWW服务、FTP服务、NEWS服务、电子邮件服务，实现与国际互联网的完全接轨；3） 同时它还应具有支持通用大型数据库的功能，支持多种协议，具有良好的软件支持；4） 采用模块化结构设计，

3、容易升级；5） 最后，它还应针对学校的教学特点，具有一些基本的教学功能，以完成学校的基本教学任务。网络设备.交换机H3C系列交换机是H3C公司基于IToIP理念设计和开发的智能弹性以太网交换机。系统采用创新的IRF技术，在安全可靠、多业务融合、易管理和维护等方面为用户提供全新的技术特性和解决方案，是理想的办公网、业务网和驻地网的汇聚、接入交换机以及中小企业、分支机构的核心交换机。H3C S3600系列交换机采用H3C公司创新的IRF（ Intelligent Resilient Framework）智能弹性技术，与传统组网技术相比，在扩展性、可靠性、整体架构的性能方面具有强大的优势H3C S3

4、600系列交换机还支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”，对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击。.路由器路由器处于网络层，一方面他屏蔽了下层网络的技术细节，能够跨越不同的物理网络类型，使各类网络都统一为IP网络，这种一致性使全球范围用户之间的通信成为可能；另一方面将整个互联网络分割成逻辑上独立的网络单位，使网络具有一定的逻辑结构。同时

5、路由器还负责对IP包进行灵活的路由选择，把数据逐段向目的地转发，使全球范围用户之间的通信成为现实。路由器是用来连接不同网段或网络的。除了实现不同网络的连接外，路由器还拥有地址转换功能，借助单一IP地址实现整个企业网络的Internet连接共享，并将网络内的计算机隐藏起来，从而提高了网络的安全性，避免受到外部用户的恶意攻击。实训内容.网络设备的初始配置1） 交换机（）右击“开始”，依次点击“程序”，“附件”，“通讯”，“超级终端”打开对话框（）输入名称后点击确定，出现对话框（）点击“确定”后出现对话框（）填写完相应的文本文框，对交换机进行初始配置2） 路由器其初始配置过程类似于交换机，在此不做详

6、细叙述。.实训设计A公司 （）实训目的A公司是某规模较大的公司，为迎合网络时代的发展，公司为每位职工配备电脑一台，并都可以访问Internet。该公司共计有9个部门：董事会、人力资源部、财务部、市场部、外联部、公关部、研发部、车间、后勤。其中，车间员工数量最多，共计124人，其余部门最多只有27人。本项目要求在公司内部建立稳定，高效的办公自动化网络，通过项目的实施，使所有员工能够通过总部网络进入internet，从而提高所有员工的工作效率和加快企业内部信息的传递。同时需要建立WEB服务器，用于在互联网上发布企业信息。在总部和子公司均设立专用服务器，使集团内所有员工能够利用服务器方便的访问公共文

7、件资源，并能够完成企业内部邮件的收发。系统建立完成后，要求能满足企业个方面的应用需求，包括办公自动化，邮件收发，信息共享和发布，员工帐户管理，系统安全管理等。并能够实现网上视频会议,出差员工远程连接。（）实训背景解常规的基于物理连接的局域网由于结构简单，构建方便而成为形成小型简单网络的首选。局域网通常限于单个建筑或楼群内，他将距离相对较近的用户通过交换设备与已连接，形成简单的资源共享。局域网中的每台单独的PC或其他主机都是一个网络节点，这意味着许多用户可以共享昂贵的设备。局域网通常有某个组织拥有，如企业或学校，并且他们处于一个广播域中。但是在现在的形势下，网络结构越来越复杂也越来越大，不仅用户

8、数量多，分布范围广，地理位置复杂，应用内容也更加多样化。因此纯粹通过传统物理连接实现的局域网已经不能满足需要，VLAN即虚拟局域网的概念已经成为企业网络十分常用的一种结构。VLAN是一种将局域网设备从逻辑上划分而不是物理上划分成更小的局域网，每一个小局域网成为一个网段，从而实现虚拟工作组的数据交换技术。VLAN与物理划分局域网相比有许多优势，主要包括以下3个方面：（1） 接口通过逻辑划分分别属于不同的广播域。（2） 提高了网络的安全性。不同的VLAN之间不经过路由就不能直接通信，从而将安全隐患限制在VLAN的广播域中，降低了广播信息的不安全性。（3） 灵活的管理。更改用户所属的网络不必更换接口

9、和连线，只更改软件配置就可以了。）解决方法（）公司内的网络拓扑表如下：DepartermentVlan 端口Ip地址子网掩码DongshiuVlan2Fa0/2172.16.2.027ZiyuanbuVlan 3Fa0/3172.16.2.3227WailianbuVlan 4Fa0/4172.16.2.6427CaiwubuVlan 5Fa0/5172.16.2.96.27HouqinbuVlan 6Fa0/6172.16.2.12827GongguanbuVlan 7Fa0/7172.16.2.160 27YanfabuVlan 8 Fa0/8172.16.2.19227Shichangb

10、uVlan 9Fa0/9172.16.2.22427ChejianVlan 10Fa0/10172.16.3.124（）a公司的网络拓扑图如下图：.分公司的网络拓扑图如下：（）网络设备的配置配置Router A(A公司出口路由器)# 配置串口Serial 0 的IP 地址，封装为帧中继，并配置帧中继映射表。RouterA interface serial 0RouterA-Serial0 ip address 172.16.1.18 255.255.255.252RouterA-Serial0 link-protocol frRouterA-Serial0 fr map IP 172.16.1

11、.16dlci 101 broadcastRouterA-Serial0 fr map IP 172.16.2.1dlci 102 broadcastRouterA-Serial0 fr map IP 172.16，1.24dlci 103 broadcast# 启动OSPF 协议RouterA-Serial0 quitRouterA router id 1.1.1.1RouterA ospf enableRouterA-ospf quit# 配置该接口所属区域号及该接口类型RouterA interface serial 0RouterA-Serial0 ospf enable area 0

12、RouterA-Serial0 ospf network-type p2mpRouterA-Serial0 ospf peer 172.16.1.16RouterA-Serial0 ospf peer 172.16.2.1RouterA-Serial0 ospf peer 172.16，1.24交换机a的配置在公司的两个汇聚层交换机上分别设置VTP域，其中一个配置如下：S5500vtp domain abcS5500vtp mode serverS5500vtp password okS5500vtp domain abcS5500vtp mode clientS5500vtp passwor

13、d okS5500#disp vlan将各交换机之间的连线分别设置为trunk，其中一个接入层交换机的配置命令如下：S3600interface ethernet0/1S3600-Ethernet0/1port link-type trunkS3600-Ethernet0/1port trunk permit vlan all其中一个汇聚层交换机的配置命令如下：system-viewS5500 vlan vlan1 to vlan9把相应的端口分别加入不同的VLANS3600vlan 2S3600-vlan2port e0/2S3600vlan 3S3600-vlan3port e0/3S36

14、00vlan 4S3600-vlan4port e0/4S3600vlan 5S3600-vlan5port e0/5S3600vlan 6S3600-vlan6port e0/6S3600vlan 7S3600-vlan7port e0/7S3600vlan 8S3600-vlan8port e0/8S3600vlan 9S3600-vlan9port e0/9S3600vlan 10S3600-vlan10port e0/10Quidwayint e0Switch-Ethernet0int e0.1Switch-Ethernet0.1encapsulation dot1q 2Switch-

15、Ethernet0.1ip addr 172.16.2.3 255.255.255.224Switch-Ethernet0.1nudo shutSwitch-Ethernet0.1int e0.2Switch-Ethernet0.2encapsulation dot1q 3Switch-Ethernet0.2ip addr 172.16.2.1 255.255.255.224Switch-Ethernet0.2nudo shutSwitch-Ethernet0.2int e0.3Switch-Ethernet0.3encapsulation dot1q 4Switch-Ethernet0.3i

16、p addr 172.16.2.33 255.255.255.224Switch-Ethernet0.3nudo shutSwitch-Ethernet0.3int e0.4Switch-Ethernet0.4encapsulation dot1q 5Switch-Ethernet0.4ip addr 172.16.2.65 255.255.255.224Switch-Ethernet0.4nudo shutSwitch-Ethernet0.4int e0.5Switch-Ethernet0.5encapsulation dot1q 6Switch-Ethernet0.6ip addr 172

17、.16.2.97 255.255.255.224Switch-Ethernet0.6nudo shutSwitch-Ethernet0.6int e0.7Switch-Ethernet0.7encapsulation dot1q 7Switch-Ethernet0.7ip addr 172.16.2.129 255.255.255.224Switch-Ethernet0.7nudo shutSwitch-Ethernet0.7int e0.8Switch-Ethernet0.8encapsulation dot1q 8Switch-Ethernet0.8ip addr 172.16.2.161

18、 255.255.255.224Switch-Ethernet0.8nudo shutSwitch-Ethernet0.8int e0.9Switch-Ethernet0.9encapsulation dot1q 9Switch-Ethernet0.9ip addr 172.16.3.1 255.255.255.224Switch-Ethernet0.9nudo shut公司）实训目的B公司是一家网吧，内有120台电脑。网络是网吧运营的基石，网络品质的优劣直接影响到网吧经营状况。随着网络游戏、视频点播、在线娱乐等网络应用的层出不穷，网吧的网络流量与日俱增，庞大的数据流量以及较长的运营时间给网吧

19、网络带来了巨大压力。网络测试数据表明：千兆网络的性能远远优于百兆，允许接入更多的用户终端，能够全面满足更多带宽密集型的网络应用需求。由此可见，强大的千兆网络将担当起为网吧提速的重任，并逐步取代百兆成为网吧应用的主流。）实训背景大型网吧网络系统建设是一项大型网络工程，各网吧需要根据自身的实际情况来制定网络设计原则。在大型网吧的网络建设过程中，其遵循以下网络设计原则： （）实用性和经济性 由于网吧一次性资金投入大，设备折旧快，目前外部经营环境差。另一方面，网吧应用环境比较恶劣，顾客应用水平较参差不齐，因此，在网络的建设过程中，系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则。 （）

20、先进性和成熟性 当前计算机网络技术发展很快，设备更新淘汰也很快。这就要求网络建设在系统设计时既要采用先入的概念、技术和方法，又要注意结构、设备、工具的相对成熟。只有采用当前符合国际标准的成熟先入的技术和设备，才能确保网络络能够适应将来网络技术发展的需要，保证在未来几年内占主导地位。 （）可靠性和稳定性 在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性。达到最大的平均无故障时间。 （）安全性和保密性 在系统设计中既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通

21、信环境，采取不同的措施。包括系统安全机制、数据存取的权限控制等。 （）可扩展性和易维护性 为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护。把当前先入性、未来可扩展性和经济可行性结合起来，保护以往投资，实现较高的总体性能价格比）解决方法（）B公司所划分到的网段为：172.16.10.0/24（）网吧拓扑图如下（）网络设备的配置配置类似公司A公司）实训目的C公司是一家网络服务提供公司，对外提供WEB及FTP服务。WEB服务是建立可互操作的分布式应用程序的新平台，通过HTTP，人们使用各自的浏览器便可以轻松地访问和浏览五彩缤纷的因特网世界。企业员工可以在最短的时

22、间了解到最新新闻、最新技术，最新产品等一切新鲜的事物，有助于视野的开拓，激发灵感与创新。服务器的性能是由网站内容来决定的。如果Web站点是静态的，系统瓶颈依次是:网络子系统和内存。如果Web服务器主要进行密集计算(例如动态产生Web页)，系统瓶颈依次是:内存、CPU、磁盘子系统和网络子系统。FTP是由文件传送协议支持的，用于在Internet上的两台计算机之间文件的互传。FTP几乎可以传送任何类型文件。目前网络中公共的FTP站点都支持匿名访问。随着网络适用范围的扩大，通过网络获得信息已成为人们的一个主要渠道，包括政府、高校、企事业单位等各行各业都建立了相应的web服务器、ftp服务器。在把信息

23、提供给用户广泛浏览的同时，同样也存在着安全问题和控制问题。比如对于一个企业内部的web服务器，可能只提供给内部用户访问，而外部用户是不可以访问的。所以在建立一个服务器的同时，还存在如何把服务提供给相应的访问者，并保证访问者合法访问的问题。对于ftp服务，由于它简单易用，并与Windows系统本身结合紧密。在实际应用中，ftp的默认设置其实存在很多安全隐患，很容易成为黑客们的攻击目标。）解决方法（）C公司所划分到的网段为：172.16.20.0/24（）公司的网络拓扑图如下（）网络设备的配置配置类似公司A公司）实训目的D公司有6部门，通过三层交换机连接）实训背景第三层交换机是对应与OSI/RM开

24、放体系模型的第三层（网络层）来定义的，也就是说这类交换机可以工作在网络层，它比第二层交换机更加高档，功能更强。第三层交换机因为工作在网络层，所以它具有路由功能，将IP地址信息提供给网络路径选择，并实现不同网段间数据的线速交换。当网络规模较大时，可以根据特殊应用需求划分为校地独立的vlan网段，以减小广播所造成的影响。说它是路由器，因为它可操作在网络协议的第三层，是一种路由理解设备并可起到路由决定的作用；说它是交换机，因为他的速度极快，几乎达到第二层交换机的速度。一个具有第三层交换功能的设备是一个带有第三层路由功能的第二层交换机，但他是二者的有机结合，并不是简单地把路由器设备的硬件及软件叠加在局

25、域网交换机上。三层交换机是为IP设计的，接口类型简单，拥有很强的二层包处理能力，所以适用于大型局域网。为了减少广播风暴的危害，必须把大型局域网按功能或地域等因素换分为一个一个的小局域网，也就是一个一个的小网段。第三层交换具有以下特点：（）有机的硬件结合使得数据交换加速。（）优化的路由软件使得路由过程效率提高。（）除了必须的路由决定过程外，大部分数据转发过程由第二层交换处理。（）多个子网互联只是与第三层交换模块逻辑连接，不像传统的外接路由器那样增加端口，节省了用户的投资。）解决方法（） 网络设备 网络设备分析（1） 高性能；所有网络设备都应足够的吞吐量；（2） 高可靠性和高可用性；应考虑多种容错

26、技术；（3） 可管理性；所有网络设备均可用适当的网管软件进行监控、管理和设置；（4） 采用国际统一的标准；（）根据所画的网络拓扑图，及项目要求，对网络进行ip设置交换机连接的设备端口连接网络子网掩码DDFa0/1172.16.9.324D1Fa0/2172.16.9.027D2Fa0/3172.16.9.3227D3Fa0/4172.16.9.6427D4Fa0/5172.16.9.9627D5Fa0/6172.16.9.12827D6Fa0/7172.16.9.16027（）网络设备的配置配置类似公司A公司）实训目的E公司采用硬件防火墙。该公司内部服务器禁止外部任何人员访问，只允许内部员工访

27、问。并且对内部员上网有严格的限制：禁止聊QQ，禁止使用web，ftp以外的各项服务，并规定每个员工每天只能享用10M流量数据，并且每台PC的带宽只有1M。）实训背景提供丰富的网络服务，实现广泛的软件，硬件资源共享，包括：1）提供基本的Internet网络服务功能：如电子邮件、文件传输、远程登录、新闻组讨论、电子公告牌、域名服务等。2）提供校内各个管理机构的办公自动化：（1） 提供财务查询，报账服务。（2） 提供受存取权控制的文件、档案查询服务。（3） 提供贵重设备仪器及其它设备信息的管理服务防火墙是指设置在不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间的一系列部件的组合。它

28、是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、检测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上。防火墙是一个分离器、一个限制器、也是一个分析器，有效地监控内部网和Internet之间的任何活动，保证内部网络的安全。防火墙的基本功能：（）防火墙是网络安全的屏障。一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务降低风险。由于只有允许的应用协议才能通过防火墙，所以网络环境变得更安全。（）防火墙可以强化网络安全策略。通过一防火墙为中心的安全方案配置，可以将所有安全

29、软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将安全问题分散到各个主机上相比，防火墙的集中管理更经济。（）对网络存取和访问进行监控审计。如果访问经过防火墙，那么防火墙就能记录下这些访问并进行日志记录，同时也能提供网络使用情况的统计数据。（）防止内部信息的外泄。通过利用防火墙对内部网络的划分，可实现内部网络重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN，通过VPN。可将企事业单位在地域上分布在全世界各地的vlan或专用子网有机地连成一个整体，不仅省去了专用通信线路，而且为信息共

30、享提供了技术保障。）解决方法（）E公司所划分到的网段为:172.16.30.0/24（）网络拓扑图如下：（）网络设备配置# 打开防火墙功能。Quidway firewall enable# 设置防火墙缺省过滤方式为允许包通过。Quidway firewall default permit# 配置访问规则禁止所有包通过。Quidway acl 101# 配置访问规则允许WEB，FTP端口号访问网络Quidway-acl-101 rule permit tcp source any destinationany destination-port eq 80 Quidway-acl-101 rule permit tcp source any destinationany destination-port eq 23 # 禁止QQ端口号访问网络Quidway-acl-101 rule deny tcp source