网络管理综合项目报告模板.doc

'项目名称：中小企业园区网建设项目策划：第一组人员：XXXXXXXXXXXXXXX年XXX月XXX日 目录实验分工2项目目的2背景描述2需求分析3项目拓扑4编址规划4实验设备5实施步骤5经验总结13实验分工小组成员共同讨论形成拓扑结构和综合测试，其它环节分工如下：XXXX：防火墙配置，VPN配置，最后PPT汇报XXXX：项目报告文档编写XXX：接入层和核心层交换机配置及连线XXX：路由器设备配置及连线项目目的通过实施项目，掌握如何对中小型企业建设网络的需求进行分析，给出解决方案，并进行实施，进一步巩固培训课程所含知识点（交换机、路由器、防火墙、VPN）背景描述某企业计划建设自己的企业园区网络，希望通过这个新建的网络，提供一个安全、可靠、可扩展、高效的网络环境，将两个办公地点连接到一起，使企业内能够方便快捷的实现网络资源共享、全网接入Internet等目标，同时实现公司内部的信息保密隔离，以及对于公网的安全访问。为了确保这些关键应用系统的正常运行、安全和发展，网络必须具备如下的特性：1.采用先进的网络通信技术完成企业网络的建设，连接2个相距较远的办公地点2.为了提高数据的传输效率，在整个企业网络内控制广播域的范围3.在整个企业集团内实现资源共享，并保证骨干网络的高可靠性4.企业内部网络中实现高效的路由选择5.能够使用少量的公网IP安全访问Internet6.移动办公人员需要接入到企业内部网络获取信息需求分析1.需求：提高数据的传输效率，控制企业网内广播域的范围分析：在接入层交换机上划分VLAN可以实现对广播域的分隔，划分公共区域1VLAN10、财务部VLAN40、行政部VLAN30、公共区域2VLAN10，并分配接口2.需求：实现企业网内部资源共享，全网互通分析：交换机之间的链路配置为Trunk链路，三层交换机上采用SVI方式（switchvirtualinterface）实现VLAN之间的路由，两台三层交换机上配置路由接口，RA和RB分别配置接口IP地址， 在三层交换机的路由接口和RA、RB、防火墙FW以及VPN上启用RIP路由协议，实现全网互通1.需求：带宽得到有效保证，网络性能可靠分析：在2台三层交换机之间采用双链路连接并配置端口聚合，以提高核心交换机之间的链路带宽，整个交换网络内实现RSTP，以避免环路可能造成的广播风暴等2.需求：所有主机能连接到Internet分析：配置静态路由连接到Internet，两台三层交换上配置缺省路由指向RA，RA上配置缺省路由指向RB，RB上配置缺省路由指向防火墙FW的LAN接口，防火墙FW（透明网桥）上配置缺省路由，VPN上配置缺省路由，防火墙FW上配置NAT（网络地址转换）规则实现企业内网公网IP地址到互联网的访问3.需求：公司领导能访问财务部，其他部门都不能访问财务部，行政部的所有员工能访问internet上的WWW资源，但不能做WWW之外的其他资源，其他部门的机器全部设定不能访问因特网分析：通过ACL（访问控制列表）实现内网之间的访问控制，通过防火墙FW上配置安全规则实现内网对互联网的访问控制4.需求：移动办公人员需要接入到企业内部网络获取信息分析：移动办公网络接入到Internet后，可以使用远程接入IPsec技术通过IPsec隧道接入到企业内部网络项目拓扑编址规划设备/接口IP地址 PC1192.168.1.8PC2192.168.2.8PC3192.168.3.8PC4192.168.4.8PC5200.5.56.88公共区域1：VLAN10192.168.1.1公共区域2：VLAN20192.168.2.1行政部：VLAN30192.168.3.1财务部：VLAN40192.168.4.1SWAF0/2410.1.3.2SWBF0/2410.1.4.2RAF1/010.1.3.1RAF1/110.1.4.1RAS1/210.1.8.1RBF1/010.1.2.1RBF1/110.1.7.1RBS1/210.1.8.2FWLAN10.1.7.2FWWAN1200.5.56.8VPNLAN192.168.2.2VPNWAN200.5.56.10实验设备防火墙1台：RG-WALL60VPN1台路由器2台：RG-R2632、RG-R1762三层交换机2台：RG-S3750-24二层交换机2台：RG-S2126SPC机4台：清华同方winxp系统双网卡 验证前期配置验证RSTP验证路由表学习验证访问外网验证内网访问控制及远程VPN拨号开始Step1:在交换机上创建VLANStep2:在二层交换机VLAN内添加端口Step3:在接入层和核心层交换机之间VLAN设置TrunkStep4:在核心交换机之间设置聚合端口Step6:配置VLAN间路由Step7:配置三层交换机路由接口和路由器的各个接口IP地址Step8:在RA和RB之间PPP和PAP认证Step9:配置RIP2路由协议Step10:配置静态路由Step11:配置防火墙地址及NAT规则Step5:在交换机上配置RSTP，指定网桥和备份根网桥Step12:配置ACLStep13:配置VPN地址及IPsec远程接入VPN综合测试正确直至结束实验流程 实施步骤第一步:在四台二层交换机上分别创建相应Vlan,并分别命名SW1(config)#vlan10SW1(config-vlan)#nameuserpart1SW1(config-vlan)#exitSW1(config)#SW2(config)#vlan40SW2(config-vlan)#namecwbSW2(config-vlan)#exitSW2(config)#SW3(config)#vlan30SW3(config-vlan)#namexzbSW3(config-vlan)#exitSW3(config)#SW4(config)#vlan20SW4(config-vlan)#nameuserpart2SW4(config-vlan)#exitSW4(config)#第二步:在两台三层交换机上分别创建相应Vlan,并分别命名SWA(config)#vlan10SWA(config-vlan)#nameuserpart1SWA(config-vlan)#vlan30SWA(config-vlan)#namexzbSWA(config-vlan)#vlan40SWA(config-vlan)#namecwbSWA(config-vlan)#exitSWA(config)#SWB(config)#vlan10SWB(config-vlan)#nameuserpart1SWB(config-vlan)#vlan30SWB(config-vlan)#namexzbSWB(config-vlan)#vlan40SWB(config-vlan)#namecwbSWB(config-vlan)#exit SWB(config)#第三步:在交换机SW1、SW2、SW3和SW4上分别将1-24端口划分到VLAN10、40、30、20中SW1(config)#interfacerangefastEthernet0/1-24SW1(config-if-range)#switchportmodeaccessSW1(config-if-range)#switchportaccessvlan10SW1(config-if-range)#exitSW1(config)#SW2(config)#interfacerangefastEthernet0/1-24SW2(config-if-range)#switchportmodeaccessSW2(config-if-range)#switchportaccessvlan40SW2(config-if-range)#exitSW2(config)#SW3(config)#interfacerangefastEthernet0/1-24SW3(config-if-range)#switchportmodeaccessSW3(config-if-range)#switchportaccessvlan30SW3(config-if-range)#exitSW3(config)#SW4(config)#interfacerangefastEthernet0/1-24SW4(config-if-range)#switchportmodeaccessSW4(config-if-range)#switchportaccessvlan20SW4(config-if-range)#exitSW4(config)#第四步：将交换机SW1、SW2和SW3上联SWA与SWB的端口设置为Trunk模式，将交换机SW4上联端口设置为Trunk模式SWA(config)#interfacerangefastEthernet0/1-3SWA(config-if-range)#switchportmodetrunkSWA(config-if-range)#exitSWB(config)#interfacerangefastEthernet0/1-3SWB(config-if-range)#switchportmodetrunkSWB(config-if-range)#exitSW1(config)#interfacerangefastEthernet0/1-2SW1(config-if-range)#switchportmodetrunkSW1(config-if-range)#exit SW2(config)#interfacerangefastEthernet0/1-2SW2(config-if-range)#switchportmodetrunkSW2(config-if-range)#exitSW3(config)#interfacerangefastEthernet0/1-2SW3(config-if-range)#switchportmodetrunkSW3(config-if-range)#exitSW4(config)#interfacerangefastEthernet0/1-2SW4(config-if-range)#switchportmodetrunkSW4(config-if)#exit第五步：将两台三层交换机之间的F0/8和F0/9端口配置为聚合端口SWA(config)#interfacerangefastEthernet0/8-9SWA(config-if-range)#port-group1SWA(config-if-range)#exitSWA(config)#interfaceaggregateport1SWA(config-if)#switchportmodetrunkSWA(config-if)#exitSWB(config)#interfacerangefastEthernet0/8-9SWB(config-if-range)#port-group1SWB(config-if-range)#exitSWB(config)#interfaceaggregateport1SWB(config-if)#switchportmodetrunkSWB(config-if)#exit此时建议对前期的VLAN、Trunk、聚合端口等配置进行验证SWA#showaggregateport1summarySWB#showaggregateport1summarySW1#showvlanSW2#showvlanSW3#showvlanSW4#showvlan第六步：在交换机SWA、SWB、SW1、SW2和SW3上配置RSTP，指定SWA和SWB分别为跟网桥和备份根网桥SWA(config)#spanning-treeEnablespanning-treeSWA(config)#spanning-treemoderstpSWA(config)#spanning-treepriority0SWA(config)#exit SWB(config)#spanning-treeEnablespanning-treeSWB(config)#spanning-treemoderstpSWB(config)#spanning-treepriority4096SWB(config)#exitSW1(config)#spanning-treeEnablespanning-treeSW1(config)#spanning-treemoderstpSW2(config)#spanning-treeEnablespanning-treeSW2(config)#spanning-treemoderstpSW3(config)#spanning-treeEnablespanning-treeSW3(config)#spanning-treemoderstp对RSTP的配置进行验证，确定SWA为根网桥，SWB为备份根网桥。SWA#showspanning-treeSWB#showspanning-treeSW1#showspanning-treeSW2#showspanning-treeSW3#showspanning-tree第七步：在三层交换机SWA、SWB上配置SVI实现VLAN间的路由SWA(config)#interfacevlan10SWA(config-if)#ipaddress192.168.1.1255.255.255.0SWA(config-if)#noshutdownSWA(config-if)#exitSWA(config)#interfacevlan40SWA(config-if)#ipaddress192.168.2.1255.255.255.0SWA(config-if)#noshutdownSWA(config-if)#exitSWA(config)#interfacevlan30SWA(config-if)#ipaddress192.168.3.1255.255.255.0SWA(config-if)#noshutdownSWA(config-if)#exitSWB(config)#interfacevlan10SWB(config-if)#ipaddress192.168.1.1255.255.255.0SWB(config-if)#noshutdownSWB(config-if)#exitSWB(config)#interfacevlan40SWB(config-if)#ipaddress192.168.2.1255.255.255.0SWB(config-if)#noshutdown SWB(config-if)#exitSWB(config)#interfacevlan30SWB(config-if)#ipaddress192.168.3.1255.255.255.0SWB(config-if)#noshutdownSWB(config-if)#exit第八步：在三层交换机的路由端口、RA和RB上配置接口IP地址SWA(config)#interfacefastEthernet0/24SWA(config-if)#noswitchportSWA(config-if)#ipaddress10.1.3.2255.255.255.0SWA(config-if)#noshutdownSWA(config-if)#exitSWB(config)#interfacefastEthernet0/24SWB(config-if)#noswitchportSWB(config-if)#ipaddress10.1.4.2255.255.255.0SWB(config-if)#noshutdownSWB(config-if)#exitRA(config)#interfacefastEthernet1/0RA(config-if)#ipaddress10.1.3.1255.255.255.0RA(config-if)#noshutdownRA(config-if)#exitRA(config)#interfacefastEthernet1/1RA(config-if)#ipaddress10.1.4.1255.255.255.0RA(config-if)#noshutdownRA(config-if)#exitRA(config)#interfaceserial1/2RA(config-if)#ipaddress10.1.8.1255.255.255.0RA(config-if)#clockrate64000!DCE接口：时钟频率RA(config-if)#noshutdownRA(config-if)#exitRB(config)#interfacefastEthernet1/0RB(config-if)#ipaddress10.1.2.1255.255.255.0RB(config-if)#noshutdownRB(config-if)#exitRB(config)#interfacefastEthernet1/1RB(config-if)#ipaddress200.5.56.9255.255.255.0RB(config-if)#noshutdownRB(config-if)#exitRB(config)#interfaceserial1/2RB(config-if)#ipaddress10.1.8.2255.255.255.0RB(config-if)#noshutdownRB(config-if)#exit 第九步：在三层交换机SWA、SWB、路由器RA和RB上配置RIPV2路由协议SWA(config)#routeripSWA(config-router)#network10.1.3.0SWA(config-router)#network192.168.1.0SWA(config-router)#network192.168.2.0SWA(config-router)#network192.168.3.0SWA(config-router)#version2SWB(config)#routeripSWB(config-router)#network10.1.4.0SWB(config-router)#network192.168.1.0SWB(config-router)#network192.168.2.0SWB(config-router)#network192.168.3.0SWB(config-router)#version2RA(config)#routeripRA(config-router)#network10.1.3.0RA(config-router)#network10.1.4.0RA(config-router)#network10.1.8.0RA(config-router)#version2RA(config-router)#noauto-summaryRB(config)#routeripRB(config-router)#network10.1.8.0RB(config-router)#network10.1.7.0RB(config-router)#network10.1.2.0RB(config-router)#version2RB(config-router)#noauto-summary第十步：在路由器RA和RB上启用PPP协议和配置PAP认证RA(config)#interfaceserial1/2RA(config-if)#encapsulationpppRA(config-if)#ppppapsent-usernameRApassword0123RA(config-if)#exitRA(config)#interfaceserial1/2RB(config)#usernameRApassword0123RB(config)#interfaceserial1/2RB(config-if)#encapsulationpppRB(config-if)#pppauthenticationpapRB(config-if)#exit 第十一步：控制内部网之间的访问，配置访问控制列表并应用行政部的公司领导机器设置端口绑定：192.168.3.8（SW3的F0/8）,为了实现公司领导能访问财务部，其他部门都不能访问财务部，在SW2的VLAN40设置出栈访问规则SW2(config)#ipaccess-list1permithost192.168.2.80.0.0.255SW2(config)#ipaccess-list1deny192.168.2.00.0.0.255SW2(config)#ipaccess-list1deny192.168.1.00.0.0.255SW2(config)#ipaccess-list1deny192.168.3.00.0.0.255SW2(config)#interfacerangefastEthernet0/1-24SW2(config-if-range)#ipaccess-group1out第十二步：配置防火墙FW接口的IP地址和RIPV2路由协议在防火墙的配置页面：网络配置——接口IP，为防火墙的LAN接口配置IP地址（10.1.7.2）及子网掩码（255.255.255.0），为防火墙的WAN1接口配置IP地址（200.5.56.8）及子网掩码（255.255.255.0）第十三步：配置VPN接口的IP地址和RIPV2路由协议在VPN的配置页面：为VPN的LAN接口(eth0)配置IP地址（192.168.2.10）及子网掩码（255.255.255.0），为VPN的WAN接口(eth1)配置IP地址（200.5.56.10）及子网掩码（255.255.255.0）第十四步：用静态路由实现企业内部网到互联网的访问配置三层交换机静态路由SWA(config)#iproute0.0.0.0.0.0.0.010.1.3.1SWB(config)#iproute0.0.0.0.0.0.0.010.1.4.1配置路由器静态路由RA(config)#iproute0.0.0.0.0.0.0.010.1.8.2RB(config)#iproute0.0.0.0.0.0.0.010.1.8.1配置防火墙FW（透明网桥）静态路由配置VPN静态路由第十五步：在防火墙FW上做NAT实现内部网到互联网的访问在防火墙的配置页面，安全策略——安全规则，添加行政部的主机能访问internet上的WWW资源，但不能做WWW之外的其他资源NAT规则：规则名为xzb_http，手工输入源地址为192.168.3.0，目的地址为any，服务为http；规则名为xzb_dns，手工输入源地址为192.168.3.0，目的地址为any，服务为dns； 第十六步：配置IPSecVPN隧道及远程拨号1.安装VPN管理软件，通过管理软件在VPN上进行IPSecVPN隧道（在“远程用户管理”中，首先配置“允许访问子网”：192.168.2.0255.255.255.0；配置“本地用户数据库”：user1/user1和user2/user2，并“用户生效”；配置“虚IP地址池”：172.16.1.0255.255.255.0）2.在远程PC机上运行RG-SRA程序，开始建立VPN隧道：建立通过本地网关认证方式连接VPN的连接；运行连接，user1/user1和user2/user2身份认证第十七步：配置各个PC机IP地址及网关，进行综合测试配置各个PC机IP地址及网关，进行综合测试经验总结1.拓扑结构对一个项目是至关重要的环节，要集体考虑充分；2.实验应该从接入层、汇聚层、核心层到防火墙顺序配置；3.综合项目要求做到分工明确，及时沟通，本次我们组分工协作，每人负责自己的一块，合作得非常愉快；4.具有路由器功能设备的内部网互通建议第一次采用静态配置巩固理论知识点，但以后项目配置可采用RIP路由协议'