密级:
科学技术学院
NANCHANG UNIVERSITY COLLEGE OF
《高级网络服务工程训练》
(2019—2020学年第二学期)
班 级: 计算机172班
学 号: 7020817074
学生姓名: 温鑫
|
工程训练小组成员与任务安排表:
| 项目名称 | 任务简述 | 主要责任成员 |
| 路由器的 文件维护功能 | (1)工程项目基本原理描述 | 温鑫、周启帆 |
| (2)实验拓扑结构与网络规划设计 | 温鑫、黎刚 | |
| (3)实验网络组建与PC端网络配置 | 温鑫、程博 | |
| (4)网络设备的配置与功能实现 | 温鑫、周启帆 | |
| 访问控制ACL功能 | (1)工程项目基本原理描述 | 温鑫、程博 |
| (2)实验拓扑结构与网络规划设计 | 程博 | |
| (3)实验网络组建与PC端网络配置 | 涂传良、邹昊天 | |
| (4)网络设备的配置与功能实现 | 温鑫 | |
| DHCP中继功能 | (1)工程项目基本原理描述 | 温鑫、廖茂华 |
| (2)实验拓扑结构与网络规划设计 | 朱根强 | |
| (3)实验网络组建与PC端网络配置 | 邓豪、魏飞彪 | |
| (4)网络设备的配置与功能实现 | 温鑫 | |
| 虚拟专用网络 VPN功能 | (1)工程项目基本原理描述 | 温鑫、魏飞彪 |
| (2)实验拓扑结构与网络规划设计 | 温鑫、朱根强 | |
| (3)实验网络组建与PC端网络配置 | 魏飞彪、邓豪 | |
| (4)网络设备的配置与功能实现 | 温鑫、魏飞彪 |
一、项目与目标
1、路由器的文件维护功能:路由器的系统软件升级与维护,实施配置文件的备份和还原。
2、访问控制ACL功能:交换机上实现VLAN间网络访问控制ACL功能。ACL技术可以有效的在三层上控制网络用户对网络资源的访问
3、DHCP中继功能:通过DHCP中继功能实现跨三层交换的DHCP服务。使同一个DHCP服务器为位于不同网段的DHCP客户端提供网络配置参数
4、虚拟专用网络VPN功能:分别建立单个用户的VPDN和远程局域网的VPN连接。在公用网络中,按照相同的策略和安全规则,建立的私有网络连接。
二、任务要求
1、根据技术要求,提出可行性方案
2、画出各项技术要求的原理图,了解并叙述其工作原理
3、对主要设备进行选型列出网络配置清单
4、根据清单画出网络拓扑结构图并进行IP地址分配与网络规划
5、完成综合布线,实现网络连接,搭建基本实验环境
6、对PC、交换机、路由器等设备进行网络配置,实现网络相关功能
7、根据技术要求,使用有关命令进行连通性调试与检验
三、完成内容
项目1:路由器文件维护
- 工程项目基本原理描述
1.IOS
互联网操作系统(Internetwork Operating System)是大多数路由器和交换机的操作核心,负责完成系统资源定位及对低层次的硬件接口和安全的管理操作。例如加载网络协议和功能,在设备间连接高速流量;在控制访问中添加安全性防止未授权的网络使用;为简化网络的增长和冗余备份,提供可缩放性;为连接到网络中的资源,提供网络的可靠性。
该操作系统使用命令行界面,与Linux系统界面风格类似,具有用户模式、特权模式、全局配置模式等操作权限等级。
2.路由器结构
路由器基本组成中,硬件包括处理器、内存、接口等物理硬件和电路,软件包括操作系统和配置文件。
1)内存组件:
ROM:引导或启动程序(包括加电自检POST)。
NVRAM:IOS在路由器启动时读入的配置数据,即为启动配置。
FLASH RAM:保存IOS软件,相当于PC机硬盘。
RAM:提供临时信息的存储,同时保存当前路由表和配置信息,即为运行配置。
2)接口及命名规则:
高速同步端口:可连接DDN,帧中继,X.25,PSTN(模拟电话线)。
AUI端口:粗缆口,一般需要外转换器(AUI-RJ45),连接以太网。
Console端口:该端口为异步端口,主要连接终端或运行终端仿真程序的计算机,在本地配置路由器。将路由器的输入端实体化到连接到的PC机上。
同时,一个接口的全名由类型标识及数字构成,编号0开始。
- 实验拓扑结构与网络规划设计
1、拓扑结构图
2、网络设计规划表
| Router-R | PC | ||
| 接口 | 地址 | 网卡 | 地址 |
| FA0/0 | 192.168.11.10 |
| 192.168.11.11 |
(三)实验网络组建与PC端网络配置
(四)网路设备的配置与功能的实现
第一步:
在PC服务器的网络连接设置中将网络地址设置为192.168.11.11,并启动TFTP软件,将该软件根目录设置为XP系统D盘根目录。
第二步:
设置路由器DCR的FA0/0接口地址为192.168.11.10,并测试连通性,具体实现指令代码如下:
Router-R#config
Router-R_config#interface FA0/0
Router-R_config_F0/0#ip address 192.168.11.10 255.255.255.0
Router-R_config_f0/0#no shutdown
Router-R_config_f0/0#^Z
Router-R#show interface f0/0
FastEthernet0/0 is up, line protocol is up
address is 00e0.0f18. la70
Interface address is 192.168.11.10/24
MTU 1500 bytes, BW 100000 kbit, DLY 10 usec
Encapsulation ARPA, loopback not set
Keepalive not set
<......>
Router- A#ping 192.168.2.10
! PING PC的地址
PING 192.168.11.10 (192.168.11.11): 56 data bytes
!!!!
192.168.11.10 ping statistics --
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 20/22/30 ms
第三步:
查看路由器startup-config文件,并将此启动配置文件下载到TFTP服务器PC上,具体步骤如下:
Router-R#writer
Router-R#dir
Directory of/:
0 DCR.bin
1 startup-config
......
Router-A#copy flash:startup-config tftp: !上传配置文件作为备份
Remote-server ip address[]?192.168.11.11 !TFTP服务器的IP地址
Destination file name[startup-config]? !默认的文件名
#
TFTP:successfully send 2 blocks,516 bytes
第四步:
在TFTP服务器成功接收到路由器的启动配置文件startup-config后,在服务器端使用Notepad++打开此文件,修改hostname属性为JSJ172_01,再通过copy命令将此文件上传到路由器中,reboot重启路由器,发现修改已经生效。
项目2:访问控制ACL功能
(一)工程项目基本原理描述
ACL(Access Control Lists)是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,交换机可以对网络访问进行控制,有效保证网络的安全运行。用户可以基于报文中的特定信息制定一组规则(rule),每条规则都描述了对匹配信息的数据包所采取的动作:允许通过(permit)或拒绝通过(deny)。用户可以把这些规则应用到特定交换机端口的入口或出口方向,这样特定端口上特定方向的数据流就必须依照指定的ACL规则进出交换机。通过ACL,可以限制某个IP地址的PC或者某些网段的PC的上网活动。用于实现网络管理,控制外部访问。
此操作相当于服务器的安全组策略功能,限制非信任端口的不明访问操作。
(二)实验拓扑结构与网络规划设计
1、拓扑结构图
2、网络设计规划表
在交换机A和交换机B上分别划分两个基于端口的VLAN:VLAN100,VLAN200,交换机A端口23设置成Trunk***换机B端口24设置成Trunk口。具体网络配置列表如下:
| VLAN | IP | Mask |
| 100 | 192.168.100.1 | 255.255.255.0 |
| 200 | 192.168.200.1 | 255.255.255.0 |
| Trunk口 |
| 0/0/24和0/0/23 |
交换机B配置:
| VLAN | 端口成员 |
| 100 | 1~8 |
| 200 | 9~16 |
| Trunk口 | 0/0/24 |
用户机网络设置:
| 设备 | IP地址 | gateway | Mask |
| PC1 | 192.168.100.100 | 192.168.100.1 | 255.255.255.0 |
| PC2 | 192.168.200.200 | 192.168.200.1 | 255.255.255.0 |
验证:
PC1和PC2都通过交换机A连接到intermet上网。
1、不配置ACL,两台PC都可以上网;
2、配置ACL后,PC1和PC2的IP都不能上网,更改了IP地址后才可以上网。
若实验结果和理论相符,则本实验完成。
(三)实验网络组建与PC端网络配置
(四)网络设备的配置与功能实现
第一步:
分别进入两个交换机特权模式,使用set default命令恢复交换机出厂设置,write写入配置文件后show startup-config查看状态,reload重新启动交换机。
交换机B:
Switch-B(Config)#vlan 100
Switch-B(Config V1an100)#
Switch-B(Config Vlan100) #swi tchport interface ethernet 0/0/1-8
Switch-B(Config Vlan100) #exit
Switch-B(Config)#vlan 200
Switch-B(Config Vlan200) #swi tchport interface ethernet 0/0/9- 16
Switch-B(Config Vlan200) #exit
第二步:
设置交换机trunk端口:
交换机B:
Switch-B(Config)#interface ethernet 0/0/24
Switch-B(Config-Ethernet0/0/24)#switchport mode trunk
Set the port Ethernet0/0/24 mode TRUNK successfully .
Switch-B(Config-Ethernet0/0/24)#switchport trunk allowed vlan al1
set the port Ethernet0/0/24 allowed vlan successfully
Switch-B(Config-Ethernet0/0/24)#exit
Switch-B(Config)#
交换机A:
Switch-A(Config)#vlan 100
Switch-A(Config-Vlan100) #exit
Switch-A(Config)#vlan 200
Switch-A(Config-Vlan200)#exit
Switch-A (Config) #interface ethernet 1/1
Switch-A(Config-Ethernet1/1)#switchport mode trunk
Set the port Ethernet1/1 mode TRUNK successfully
Switch-A(Config -Ethernet1/1) #switchport trunk allowed vlan all
set the port Ethernet1/1 allowed vlan successfully
Switch-A(Config-Ethernet1/1)#exit
Switch-A(Config)#
第三步:
在交换机A中添加VLAN地址:
Switch-A(Config)#int v 100
Switch-A(Config -If-Vlan100)#ip ad 192. 168. 100. 1255. 255.255.0
Switch-A(Config- If-Vlan100) #no shut
Switch-A(Config- If-Vlan100)#exit
Switch-A(Config)#int v 200
Switch-A(Config- If-Vlan200)#ip address 192.168.200.1 255.255.255.0
Switch-A(Config- If-Vlan200) #no shut
Switch-A(Config If-Vlan200) #exit
第四步:
在不配置ACL访问控制列表的情况下检查两台PC机是否可以通信
第五步:
配置数字标准IP访问列表,拒绝对应IP段地址的访问请求。
Switch-A(Config)#access-list 6 deny 192.168.100.11 0.0.0.255
Switch-A(Config)#access-list 6 deny 192.168.200.11 0.0.0.0
第六步:
配置访问控制列表功能开启,默认动作为全部开启。
Switch-A(Config)#firewall enable
Switch-A(Config)#firewall default permit
Switch-A(Config)#
验证配置:
Switch-A#show firewal1
Firewall Status: Enable.
Firewall Default Rule: Permit.
Switch-A#
第七步:
绑定ACL到各端口。
Switch-A(Config)#interface ethernet 1/1
Switch-A(Config-Ethernet1/1)#ip access-group 6 in
Switch-A(Config-Ethernet1/1)#
验证配置:
SwitchA#show access-group
interface name:Ethernet1/1
Ingress access-list used is 6.
项目3:DHCP中继功能
(一)工程项目基本原理描述
DHCP(动态主机配置协议)是一个局域网的网络协议。指的是由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。
当DHCP客户机和DHCP服务器不在同一个网段时,由DHCP中继传递DHCP报文。增加DHCP中继功能的好处是不必为每个网段都设置DHCP服务器,同一个DHCP服务器可以为很多个子网的客户机提供网络配置参数,即节约了成本又方便了管理。这就是DHCP中继的功能。
(二)实验拓扑结构与网络规划设计
1、拓扑结构图
2、网络设计规划表
在交换机A上划分两个基于端口的VLAN:VLAN100、VLAN200。
| VLAN | IP | 端口成员 |
| 100 | 192.168.100.1/24 | 23 |
| 200 | 192.168.200.1/24 | 24 |
交换机A的端口24连接1台路由器作为DHCP服务器,将路由器端口F0/0的IP地址设置为192.168.100.2/24;
交换机A的端口23连接交换机B的24口;
交换机B恢复出厂设置,不作任何配置,当成HUB来用。
DHCP服务器的地址池pool1中的地址范围为:192.168.100.10/24-192.168.100.20/24,地址池pool2中的地址范围为:192.168.200.10/24-192.168.200.20/24
(三)实验网络组建与PC端网络配置
(四)网络设备的配置与功能实现
第一步:
交换机全部恢复出厂设置,创建VLAN100和VLAN200。
switch(Config)#
switch(Config)#vlan 100
switch(Config-Vlan100) #switchport interface ethernet 1/1
switch(Config-Vlan100)#exit
switch(Config) #vlan 200
switch(Config-Vlan200) #switchport interface ethernet 1/2
switch(Config-Vlan200) #exit
第二步:
给交换机设置IP地址
switch(Config) #interface vlan 100
switch(Config- If -Vlan100)#ip address 192.168.100.1 255.255.255.0
switch(Config- If-Vlan100)#no shutdown
switch(Config) #interface vlan 200
switch(Config-If-Vlan200)#ip address 192.168.200.1 255.255.255.0
switch(Config-If-Vlan200) #no shutdown
第三步:
在路由器的DHCP服务器上配置DHCP中继
switch(Config) #service dhcp
switch(Config)#ip forward-protocol udp 67
switch(Config) #interface vlan 100
switch(Config- If-Vlan100)#ip helper -address 192.168.200.1
switch(Config- If-Vlan10) #exit
switch(Config) #
第四步:
打开PC机网络连接属性,查看PC机是否正确获取到DHCP服务器自动提供的IP地址。
项目4:虚拟专用网络VPN功能
(一)工程项目基本原理描述
虚拟专用网(Virtual Private Network)指的是依靠Internet服务提供商,在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
1.VPN技术
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
2.VPN应用范围
企业的用户和分支机构分布范围广,距离远,需要扩展企业网,实现远程访问和局域网互联,最典型的是跨国企业、跨地区企业。分支机构、远程用户、合作伙伴多的企业,需要扩展企业网,实现远程访问和局域网互联。关键业务多且对通信线路保密和可用性要求高的用户,如银行、证券公司、保险公司等。
(二)实验拓扑结构与网络规划设计
1、拓扑结构图
2、网络设计规划表
| 设备 | 端口号 | IP地址 |
| Router-A | S0/3 | 192.168.12.10 |
| F0/0 | 192.168.13.10 | |
| Router-B | S0/2 | 192.168.12.11 |
| F0/0 | 192.168.31.10 | |
| PC1 |
| 192.168.31.31 |
| PC2 |
| 192.168.13.13 |
(三)实验网络组建与PC端网络配置
(四)网络设备的配置与功能实现
第一步:
使用两台路由器和两台PC机连接线路,其中路由器A作为DTE,路由器B作为DCE,将路由器A的S0/2端口与路由器B的S0/3端口相连,再将路由器A和B的F0/0端口接线至PC1和PC2上。
连接完成后,通过ping命令测试主机连通性。
第二步:
配置路由器A,设定好物理源接口与目的地址,并设定好通信密钥,具体实现命令行代码如下:
Router-A#conf
Router-A_config#interface s0/3
Router-A_config_s0/3#ip address 192.168.12.10 255.255.255.0
Router-A_config_s0/3#interface f0/0
Router-A_config_f0/0#ip address 192.168.13.10 255.255.255.0
Router-A_config_f0/0#exit
Router-A_config#interface Tunnel0 !配置TUNNEL接口
Router-A_config_t0#ip address 172.16.1.1 255.255.255.0 !配置IP地址
Router-A_config_t0#tunnel source Serial0/3 !设定物理源接口
Router-A_config# tunnel destination 192.168.12.11 !设定目的地址
Router-A_config# tunnel key 6 !设定密钥
第三步:
使用sh int tunnel0命令查看tunnel接口状态:
Router-A#sh int tunnel0
Tunnel0 is up, line protocol is up
Hardware is Tunnel
Interface address is 172.16.1.1/24
MTU1472bytes,BW9kbit,DLY50000usec
Encapsulation TUNNEL,loopback not set
Keepalive(period:0/5s,retry:0/5)
TUNNEL source192.168.12.10(Serial0/3),destination192.168.12.11
TUNNEL protocoltransport GRE/IP, key enabled, sequencing disabled
Checksumming of packets disabled,fast tunneling enabled
60second input rate 0 bits/sec,0 packets/sec!
60second output rate 0 bits/sec,0 packets/sec!
60packets input,2760 bytes input,0 error,0 discard
60packets output,3960bytes output,68 discard
第四步:
以同样方式配置路由器B:
Router-B#conf
Router-B_config#interface s0/2
Router-B_config_s0/2#ip address 192.168.12.11 255.255.255.0
Router-B_config_s0/2#interface f0/0
Router-B_config_f0/0#ip address 192.168.31.10 255.255.255.0
Router-B_config_f0/0#exit
Router-B_config#interface Tunnel0 !配置TUNNEL接口
Router-B_config_t0#ip address 172.16.1.2 255.255.255.0 !配置IP地址
Router-B_config_t0#tunnel source Serial0/2 !设定物理源接口
Router-B_config# tunnel destination 192.168.12.10 !设定目的地址
Router-B_config# tunnel key 6 !设定密钥
第五步:
同样方式查看B的配置:
Router-B#sh int tunnel0
Tunnel0 is up, line protocol is up
Hardware is Tunnel
Interface address is 172.16.1.2/24
MTU1472bytes,BW9kbit,DLY50000usec
Encapsulation TUNNEL,loopback not set
Keepalive(period:0/5s,retry:0/5)
TUNNEL source192.168.12.11(Serial0/2),destination192.168.12.10
TUNNEL protocoltransport GRE/IP, key enabled, sequencing disabled
Checksumming of packets disabled,fast tunneling enabled
60second input rate 0 bits/sec,0 packets/sec!
60second output rate 0 bits/sec,0 packets/sec!
60packets input,2760 bytes input,0 error,0 discard
60packets output,3960bytes output,68 discard
第六步:
在PC端cmd窗口中使用ping命令测试设备连通性:
四、总结与体会
在本次网络实训中,我先后接触到了路由器文件维护、虚拟专用网络VPN技术、ACL访问控制技术以及DHCP动态主机配置协议。在实训过程中有幸担任本小组组长,每一个项目都能够努力把每一个细节做好、做完整,把需要达成的功能实现。在这个过程中我认为我的动手能力得到了较大的提高。
在路由器文件维护项目中,我学习了使用Console线让个人电脑控制路由器,并在命令行界面内获取路由器配置文件,接着再到TFTP服务器上进行改写,重新下载到路由器上。这个过程我认为非常考验我的动手能力。并且我对路由器的OSPF、RIP等协议有了更深刻的理解,特别是路由器是如何实现最短路径选择,也就是路由选择这个功能有了更深刻的理解。当然,我也学习到了路由器的内部组成与硬件结构,增长了见识。
在VPN虚拟专用网络项目中,我学习到了虚拟专用网技术的相关知识,特别是在信息的加密传输这一块我印象深刻。并且在组成这一个VPN的过程中我也学习到了网关的使用与配置,对主机IP地址的配置与使用更加熟悉。同时,在建立VPN信道的过程中,无论是在接线还是在IOS中使用命令行进行端口设定与IP配置,都提升了我的实践能力。
在ACL访问控制列表项目中,我先是了解到了配置ACL访问控制的必要性,罗少彬老师使用了一个公司分隔财务部和技术部网络的案例生动的让我们认识到了ACL访问控制的重要性。在项目过程中我学会了交换机的配置,虽然有些指令路由器和交换机有些差别,但是在熟悉了路由器的系统界面后,配置交换机操作起来也并没有太大的难度。我学习到了访问控制的相关指令,学习到了trunk口配置以及vlan配置,还有两台交换机之间通过端口连接的过程,一些特殊端口的配置。
最后在DHCP项目中我则是学会了动态主机配置协议是如何运作的,使用两台交换机和一台路由器包括路由器上的DHCP服务器,搭建了一个网络,并且使入网主机自动的获取预先指定的IP地址段内的IP地址,这个过程我认为非常有趣。从这个小型项目中我还看到了一个大型分布式网络的组建原理,如何实现给大量主机自动分配网络地址的功能。
总而言之,一周的时光不短不长,但在熊婷、罗少彬老师的指导下我认为我学习到了很多以往难以接触到了网络建设项目,在此由衷的感谢两位老师的指导!同时,基于本次实训中我的体会,我认为在实训设备的建设上还存在不足,设备与实训资料还能够更加先进,实验室建设还待完善。最后,预祝南大科院计算机系能够越办越好!
京公网安备 11010502036488号