摘 要
伴随着Internet的日益遍及,网络应用的蓬勃发展,网络信息资源的安全备受关注。校园网网络中的主机可能会受到非法入侵者的攻击,网络中的敏感数据有可能泄露或被修改,包管网络体系的保密性、完整性、可用性、可控性、可审查性方面具有其重要意义。通过网络拓扑结构和网组技术对校园网网络举行搭建,通过物理、数据等方面的设计对网络安全举行美满是办理上述问题的有效步调。
究其原因,一是目前互联网病毒的扩散、黑客技术的日益遍及,二是传统网络体系结构随着网络技术的根本已经渐渐无法跟上时代。尤其是在我国高校的扩展速率快,网络利用人数多、网络利用者的素质参差不齐,网络性能升级要求频仍。传统的网络拓扑机构、网络模式下升级成本很高。 进而,本论文关于设计目前防火墙的网络体系结构的原理和实现功能。通过在基于防火墙和的基础上,本论文对于校园网络,就着重在安全性和功能性举行了详
关键词:Internet;保密性;防火墙;校园网络;
Abstract
With the increasing popularity of the Internet and the vigorous development of network applications, the security of network information resources has attracted much attention. The host in the campus network may be attacked by illegal intruders, and the sensitive data in the network may be leaked or modified, so it is of great significance to ensure the confidentiality, integrity, availability, controllability, and auditability of the network system. It is an effective measure to solve the above problems to build the campus network through network topology and network group technology, and to improve the network security through the design of physics and data.
The reasons for this are, first, the spread of Internet viruses and the increasing popularity of hacker technology, and second, the traditional network architecture has gradually been unable to keep up with the times with the basic network technology. Especially in China's colleges and universities, the expansion speed is fast, the number of network users is large, the quality of network users is uneven, and the network performance upgrade requirements are frequent. Traditional network topologies and network modes are expensive to upgrade. Furthermore, this paper discusses the principles and implementation functions of designing the network architecture of the current firewall. Based on firewalls, this paper focuses on security and functionality of campus networks
Keywords: Internet; Confidentiality; Firewall; campus network;
目录
摘 要
Abstract
第一章 绪论
1.1 配景及意义
1.2国内外在该方向上的研究近况
1.3网络设计原则
第二章 企业网络的需求分析
2.1网络组网的需求
2.2网络功能需求
第三章 中小型企业的网络设计
3.1网络拓扑的设计
3.2核心层的设计
3.3汇聚层的设计
3.4接入层的设计
3.5 IP地址和VLAN划分
第4章 中小型企业网络的实施
4.1VLAN Trunk设置
4.2VLAN 底层设置
4.3MSTP设置
4.4VRRP网关冗余
4.5DHCP中继
4.6核心层路由器地址设置
4.7防火墙根本设置
4.8OSPF设置
第五章 中小型企业网络的测试
5.1 DHCP自动获取地址测试
5.1测试PC是否通网关
5.2测试PC可否自动获取地址
5.3测试OSPF可否学到相应网段
5.4检测内网互通
5.5MSTP检测
5.6VRRP网关冗余检测
5.7用户自动获取地址检测
5.8出口NAT检测
结 论
参考文献
致 谢
第一章 绪论
基于华为eNSP的安全校园网综合仿真设计,如下图配景为安全校园网综合仿真设计拓扑图,分别有讲授楼,宿舍,食堂,办公室,体育馆,分别为其划分vlan10 20 30 40 50。
由于学校人数比较多,数据庞大,交换机网络层我分为了二层接入层交换机和三层核心层交换机。
在二层交换机之上规划vlan,设置接口类型,核心层交换机做三层交换做VRRP假造网关协议组起到网关冗余的作用,还有MSTP多生成树协议起到路由冗余的作用,因为数据比较大为了防止链路堵塞核心交换机之间做链路聚合,提高带宽。核心交换机还是DHCP的中继设备,向DHCP服务器发送单播报文申请获取地址池。
防火墙是出口防火墙划分安全地区DMZ,Trust,Untrust三个安全地区,防火墙做了双出口运营商分别为联通电信,因为学校人数多单运营商负载压力大,所以做多出口多运营商负载分担。DMZ为学校服务器区在此地区。
外网还有一个分部为校外培训分校,lsw13为二层交换机,lsw12为三层交换,出口做nat连通外网,与内网的通信接纳gre vpn来实现,安全又稳固。
1.2国内外在该方向上的研究近况
现在互联网不断推动着社会信息化的进程,并渐渐对我们的生活、工作和娱乐产生着影响。据统计全球有 200 多个国家接入了互联网。截至客岁底,中国网民就已经达 6.18 亿,互联网遍及率为 45.8%.互联网应用还扩展到教诲、文化、医疗、都会管理与对外交往各个方面。在未来,信息化是社会人文、科学技术与经济建立发展的必然走向,毫无疑问,在信息化的未来社会生活中,互联网将成为重要的社会资源,随着网络在现今生活的遍及,网络已成为人们生活的必须,从国家到个人,都在利用着互联网。由于网络的复杂性,网络发展的同时,也带来突出的安全问题,可以说在互联网诞生之日起,网络安全问题就与其跬步不离。在国外,以 2010 年一年内举行的统计,美国一半以上的学校网络受到了攻击,经过美国政府对国内学校网络安全指数的分析,发现总结出这些攻击中职员构成主要为门生,还有部门学校职员;攻击的目的多数是要举行非授权访问以及物理粉碎。从而看出,学校虽然提升网络安全性能,但攻击仍在,所以校园网络安全不能停留在一刻,要根据情况随时做出调整。
自 1994 年我国首次接入国际互联网,被国际上正式承认为真正拥有全功能Internet 的第 77 个国家。当年我国便启动了中国教诲科研计算机网-CERNET.到 2000年我国已有 1000 多所高校通过 CERNET 实现了互联,使得资源共享、信息交流、科学计算和科研合作成为可能,其中中国两个学府-清华大学与北京大学,其校园网络的规模已到达“千兆到楼,百兆到桌面”现在,随着网络技术的发展变革,我国 70%高校的校园主干网的带宽都到达了千兆,部门高校以致到达了万兆。无线网络技术的飞速发展与遍及,使得校园网络不再范围于讲授楼与宿舍,现今体育馆与图书馆等地方都有网络覆盖,整个校园都处于了网络之中。但是我国校园网络的基础建立、安全架构与网络规范等方面与国外的先进发达国家仍具有相当的差距,又加之我国校园网的发展快速,而且部门高校对校园网建立不够器重,忽略校园网的网络安全,致使部门学校经常发生被黑客入侵或者病毒干扰的问题,以至于出现时常断网、数据被偷取、被粉碎等现象,这些问题对我国当前校园网网络安全是极大的挑战
1.3网络设计原则
1.3.1开放性和标准化原则
首先接纳国家标准和国际标准,其次接纳广为流行的、实用的工业标准,只有这样,网络体系内部才能方便地从外部网络快速获取信息。同时还要求在授权后网络内部的部门信息可以对外开放,包管网络体系适度的开放性。
这是非常重要,而且非常必要的,同时又是许多网络工程设计职员经常忽视的。我们在举行网络体系设计时,在有标准可实行的情况下,一定要严酷按照相应的标准举行设计,而不要我行我素,特别是在像网线制作、结构化布线和网络设备协议支持等方面。接纳开放的标准后就可以充分保障网络体系设计的连续性,纵然未来当前设计职员不在公司,厥后职员也可以通过标准轻松地了解整个网络体系的设计标准。包管互连简朴易行。
1.3.2 实用性与先进性兼顾原则
在网络体系设计时首先应该以注重实用为原则,紧密联合详细应用的实际需求。在选择详细的网络技术时一定要同时考虑当前及未来一段时间内主流应用的技术,不要一味地追求新技术和新产物,一方面新的技术和产物还有一个成熟的过程,立刻选用时则可能会出现各种意想不到的问题;另一方面,最新技术的产物代价肯定非常昂贵,会造成不必要的资金浪费。
如在以太局域网技术中,目前千兆位以下的以太网技术都已非常成熟,产物代价也已降到了合理的水平,但万兆位以太网技术还没有得到遍及应用,相应的产物代价仍相当昂贵,所以假如没有十分的必要,则不要选择万兆位以太网技术的产物。
1.3.3无瓶颈原则
这一点非常重要,否则会造成花了高的成本购买了主档次设备却得不到相应的高性能。网络性能与网络安全一样,终极取决于网络通信链路中性能最低的那部门。这就要求在举行网络体系设计时一定要全局综合考虑各部门的性能,而不能只注重局部的性能设置。特别是交换机端口、网卡和服务器组件设置等方面。
1.3.4可用性原则
我们知道服务器的“四性”中有一个“可用性",网络体系也一样。它决定了所设计的网络体系是否能满意用户应用和稳固运行的需求。网络的“可用性"其实就是表现在网络的“可靠性”、“稳固性”,要求网络体系能长时间稳固运行,而不要经常出现这样或那样的问题。
网络体系的“可用性”通常是由网络设备(软件体系其实也有“可用性”要求)的“可用性”决定的,主要表现在服务器、交换机、路由器、防火墙等重负荷设备上。这就要求在选购这些设备时一定不要一味地企图廉价,而要选择一些国内、外主流品牌、应用主流技术和成熟型号产物。对于这些关键设备千万不要选择那些杂牌,一方面性能和稳固性无法保障,另一方面售后服务更将是无法弥补的恒久的痛。
1.3.5安全第一原则
网络安全涉及到许多方面,最明显、最重要的就是对外界入侵、攻击的检测与防护。现在的网络几乎时候受到外界的安全威胁,稍有不慎就会被那些病毒、黑客入侵,致使整个网络陷入瘫痪。在一个安全步调美满的计算机网络中,不仅要部署病毒防护体系、防火墙隔离体系,还可能要部署入侵检测、木马查杀体系和物理隔离体系等。固然所选用体系的详细等级要根据相应网络规模大小和安全需求而定,并不一定要求每个网络体系都全面部署这些防护体系。
第二章 企业网络的需求分析
2.1网络组网的需求
| 1
| 网络环境
| 了解网络的建立、部署和利用情况;明确是现有网络的改造升级场景,还是新建网络场景?
| 开端确定网络架构和设计方案。
| 开端确定网络架构和组网方案,是新建网络架构,还是沿用现有网络架构,对应的设计内容组网架构设计。
| | 2
| 网络痛点
| 了解客户现有网络的痛点(针对网络改造升级场景),或者对网络的盼望。
| 确定网络的建立要求和目的,开端确定网络需支持的特性。
| -
| | 3
| 网络业务
| 了解网络中必要部署的业务及其特性,明确网络业务和流量模型。
| 确定网络带宽和业务特性。
| 假如有可靠性要求,则必要举行组网可靠性设计,对应设计内容组网可靠性设计。
| | 4
| 业务安全
| 了解行业的安全合规要求,了解网络业务是否必要隔离以及隔离要求(如有),了解网络安全建立要求。
| 确定业务隔离和网络安全防护、安全合规建立方案。
| -
| | 5
| 网络规模
| 了解网络用户/终端规模以及3~5年之间的增长态势。
| 终极确定网络架构与设计方案。
| 确定接入层设计方案,明确有线接入的端口数量以及无线接入终端的数量,从而明确无线接入交换机和无线接入AP的数量,对应设计内容接入层组网设计、WLAN设计;
同时,也有助于终极确定网络架构,是否必要汇聚层或核心层,对应设计内容组网架构设计。
| | 6
| 终端类型
| 了解终端类型及接入要求。
| 确定网络接入方案。
| 确定接入层设计方案,接纳有线接入和或无线接入方案,对应设计内容接入层组网设计;假如有无线终端接入,则必要设计WLAN,即WLAN设计
| | 7
| 管理运维
| 了解网络管理模式(存量网络)或盼望的管理模式(新建网络)以及运维模式
| 确定网络管理运维方案
|
|
2.2网络功能需求
01.完成服务器、防火墙、路由器等接口地址的设置
02、设置Eth-Trunk 链路捆绑实现链路冗余
03、企业内部划分多个vlan,减小广播域大小,提高网络的可靠性
04、设置MSTP+VRRP实现流量负载分担,同时实现冗余,并设置相应的stp优化技术stp收敛,淘汰stp震荡
05、全部用户均为自动获取IP地址
06、设置相应的DHCP snooping隔绝非法DHCP server
07、设置OSPF和静态路由实现三层路由互通
08、防火墙设置安全策略,放行内网地区到dmz区的流量
09、防火墙设置NAT策略和安全策略,使得用户可以访问外网百度
10、防火墙设置服务器映射和安全策略,允许外网用户Client通过公网地址100.100.100.100访问web服务器
11、防火墙设置相应策略,允许外网用户Client通过公网http://100.100.100.100访问登录web服务器
12、用户能够通过域名(www.baidu.com)访问外网百度
13、无线WLAN设置,且业务vlan 101 102也可以通过域名(www.baidu.com)访问外网百度 无线内网互通,无线与有线内部互通
第三章 中小型企业的网络设计
3.1网络拓扑的设计
三层网络架构接纳条理化模型设计,即将复杂的网络设计分成几个条理,每个条理着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简朴的小问题。三层网络架构设计的网络有三个条理:核心层(网络的高速交换主干)、汇聚层(提供基于策略的连接)、接入层(将工作站接入网络)。
图3-1 企业网络拓扑图
3.2核心层的设计
核心层:核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中,应该接纳高带宽的千兆以上交换机。因为核心层是网络的枢纽中央,重要性突出。核心层设备接纳双机冗余热备份是非常必要的,也可以利用负载平衡功能,来改善网络性能。
核心层是校园网互联网络的高速交换主干,用于实现远程站点之间的优化传输,对协调学校之间的通信非常重要。核心层负责完成网络各会聚节点之间的互联及高效的数据传输,交换,转发以及路由分发。
根据校园网的需求分析,核心层要具有以下特点:
- 提供高可靠性和冗余性;
- 提供故障隔离,能够快速的隔离有故障的地方,包管可用性;
- 能够适应未来的升级;
根据以上特点,选择千兆多层以太网交换机来作为网络的核心层设备,用它来构成网络中的骨干部门。千兆交换机下面可以连上许多的百兆以致是千兆交换机作为汇聚层的交换机,汇聚层的交换机在连上接入层的交换机或者直接连接用户,核心交换机之间接纳链路聚合来提高带宽到达100M到桌面的带宽,支持多媒体技术的通信。核心层设备做VRRP假造网关冗余实现DHCP主备。
3.3汇聚层的设计
汇聚层:汇聚层是网络接入层和核心层的“中介”,就是在工作站接入核心层前先做汇聚,以减轻核心层设备的负荷。汇聚层具有实施策略、安全、工作组接入、假造局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。在汇聚层中,应该选用支持三层交换技术和VLAN的交换机,以到达网络隔离和分段的目的。它主要是负责将各种接入业务集中起来,除了举行小范围局部数据交换,转发以外,还能通过高速接口把数据传输到核心层,起到了承上启下的作用。
校园网的汇聚层必要具备以下根本特点和功能:
汇聚层的设备要具有承上启下的作用,因此把接入层的数据通过高速端口向上传输给核心层,以包管接入层的带宽要求,对上的接口还要具有多样性,如1Gbps的多模光口,1Gbps的单模光口等,包管在实际运用中的多样性。
汇聚层的交换机一般都要接纳模块化的结构,支持多个插槽,可插入丰富的端口模块,以适应良好的实际组网能力和强大的可扩展性,这都是在数据中央组建网络中不可缺少的功能。
汇聚层正因为它重要的承上启下的作用,所以它应该具有支持丰富的二层协议的能力,比如:VLAN,端口镜像,生成树,流量控制等。有利于管理和控制好网络的运行,包管正常的业务。
正因为的安全的重要性,所以在汇聚层上要有各种的策略的访问控制。以提高访问的安全性。特别是对重要的服务器的安全隔离是很重要的。
这也是在数据中央网络中最为重要的部门,是要接纳同一的网络管理平台。支持SNMP协议和 C/S体系结构,可提供方便的WEB网络管理模式,这样就能方便的管理起具有一定规模的网络。
3.4接入层的设计
接入层:接入层向当地网段提供工作站接入。在接入层中,淘汰同一网段的工作站数量,能够向工作组提供高速带宽。接入层可以选择不支持VLAN和三层交换技术的平凡交换机。接入层是为用户直接提供接入服务的,把工作组和汇聚层的设备连接起来。
接入层位于网络中的末了,对下面提供工作组的接入,对上连接到汇聚层。接入层提供各种标准的接口将数据传输到网络中,完成根本业务体系之间的隔离和安全性控制,认证管理等功能。应该具有以下的特点:
- 提供各种数量不等的100Mbps端口到用户,在需求分析中我们就已经谈到,要包管用户有100M 的带宽接入,以满意多媒体服务的必要,可见那是一个十分重要的特点。
- 高性能,低成本,全部的交换端口支持全线速的二层交换。可见,在网络中对于在包管传输质量的同时,最成本的控制也是个重要的因数,要选择高性价比的设备才是上上策。
- 支持标准的以太网的协议支持丰富的业界标准,充分考虑兼容现有的网络办法,这样可以在提高网络性能的同时、充分利用起以有的办法,到达节约成本的作用。
- 支持丰富的业务性能,能提供更好的网络服务。
3.5 IP地址和VLAN划分
利用vlan和子网划分对每个部门举行规划,每一个部门单独一个24位的子网断,包管一连性
表3-1 vlan ip选型表
第4章 中小型企业网络的实施
4.1VLAN Trunk设置
HX_SW1:
<Huawei>sy
[Huawei]un in en
[Huawei]sysname HX_SW1
[HX_SW1]int Eth-Trunk 1
[HX_SW1-Eth-Trunk1]mode lacp-static
[HX_SW1-Eth-Trunk1]trunkport g0/0/7
[HX_SW1-Eth-Trunk1]trunkport g0/0/8
[HX_SW1-Eth-Trunk1]q
------------------------------------
4.2VLAN 底层设置
JR_SW6:
<Huawei>SY
[Huawei]un in en
[Huawei]sysname JR_SW6
[JR_SW6]vlan batch 20 30 40 50 60 70 80 200 900
[JR_SW6]int g0/0/1
[JR_SW6-GigabitEthernet0/0/1]port link-type trunk
[JR_SW6-GigabitEthernet0/0/1]port trunk allow-pass vlan 20 30 900
[JR_SW6-GigabitEthernet0/0/1]int g0/0/2
[JR_SW6-GigabitEthernet0/0/2]port link-type access
[JR_SW6-GigabitEthernet0/0/2]port default vlan 20
[JR_SW6-GigabitEthernet0/0/2]int g0/0/3
[JR_SW6-GigabitEthernet0/0/3]port link-type access
[JR_SW6-GigabitEthernet0/0/3]port default vlan 30
[JR_SW6-GigabitEthernet0/0/3]
4.3MSTP设置
HX_SW1:
<HX_SW1>sy
[HX_SW1]stp region-configuration
[HX_SW1-mst-region]instance 1 vlan 20 30 40 200
[HX_SW1-mst-region]region-name aa
[HX_SW1-mst-region]revision-level 1
[HX_SW1-mst-region]instance 2 vlan 50 60 70 80
[HX_SW1-mst-region]active region-configuration
[HX_SW1-mst-region]dis this
/*#全部汇聚层交换机和服务器组交换机都必要设置以下命令
stp region-configuration
region-name aa
revision-level 1
instance 1 vlan 20 30 40 50 60 200
instance 2 vlan 70 80
active region-configuration
4.4VRRP网关冗余
HX_SW1:
[HX_SW1]int vlan 20
[HX_SW1-Vlanif20]ip add 192.168.20.254 24
[HX_SW1-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.1
[HX_SW1-Vlanif20]vrrp vrid 20 priority 105
[HX_SW1-Vlanif20]dis this
[HX_SW1-Vlanif20]qui
[HX_SW1]int vlan 30
[HX_SW1-Vlanif30]ip add 192.168.30.254 24
[HX_SW1-Vlanif30]vrrp vrid 30 virtual-ip 192.168.30.1
[HX_SW1-Vlanif30]vrrp vrid 30 priority 105
[HX_SW1-Vlanif30]qui
4.5DHCP中继
DHCP:
<Huawei>sys
[Huawei]un in en
[Huawei]sysname DHCP
[DHCP]dhcp enable
[DHCP]ip pool vlan20
Info: It's successful to create an IP address pool.
[DHCP-ip-pool-vlan20]network 192.168.20.0 mask 24
[DHCP-ip-pool-vlan20]gateway-list 192.168.20.1
[DHCP-ip-pool-vlan20]dns-list 192.168.111.3 8.8.8.8
[DHCP-ip-pool-vlan20]excluded-ip-address 192.168.20.250 192.168.20.254
[DHCP-ip-pool-vlan20]q
4.6核心层路由器地址设置
R1:
<Huawei>sys
[Huawei]un in en
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.6.1 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.10.1 24
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 192.168.2.1 24
[R1-GigabitEthernet0/0/2]int g4/0/0
[R1-GigabitEthernet4/0/0]ip add 192.168.3.1 24
4.7防火墙根本设置
IP地址设置和地区划分
<USG6000V1>sys
[USG6000V1]un in en
[USG6000V1]sysname FW
[FW]int g1/0/0
[FW-GigabitEthernet1/0/0]ip add 192.168.8.1 30
[FW-GigabitEthernet1/0/0]service-manage all permit
[FW-GigabitEthernet1/0/0]int g1/0/1
[FW-GigabitEthernet1/0/1]ip add 192.168.6.2 24
[FW-GigabitEthernet1/0/1]service-manage all permit
[FW-GigabitEthernet1/0/1]int g1/0/2
[FW-GigabitEthernet1/0/2]ip add 192.168.7.2 24
[FW-GigabitEthernet1/0/2]service-manage all permit
[FW]firewall zone untrust
[FW-zone-untrust]add int g1/0/0
[FW-zone-untrust]qui
[FW]firewall zone dmz
[FW-zone-dmz]add int g1/0/3
[FW-zone-dmz]quit
[FW]firewall zone trust
[FW-zone-trust]add int g1/0/1
[FW-zone-trust]add int g1/0/2
[FW-zone-trust]qui
4.8OSPF设置
HX_SW1:
[HX_SW1]ospf 1
[HX_SW1-ospf-1]silent-interface vlan 20
[HX_SW1-ospf-1]silent-interface vlan 30
[HX_SW1-ospf-1]silent-interface vlan 40
[HX_SW1-ospf-1]silent-interface vlan 50
[HX_SW1-ospf-1]area 0
[HX_SW1-ospf-1-area-0.0.0.0]net 192.168.4.0 0.0.0.255
[HX_SW1-ospf-1-area-0.0.0.0]net 192.168.10.0 0.0.0.255
[HX_SW1-ospf-1-area-0.0.0.0]net 192.168.20.0 0.0.0.255
[HX_SW1-ospf-1-area-0.0.0.0]net 192.168.30.0 0.0.0.255
[HX_SW1-ospf-1-area-0.0.0.0]qui
[HX_SW1-ospf-1]qui
[HX_SW1]
4.9防火墙策略设置
//放行trust->dmz流量
[FW]security-policy
[FW-policy-security]rule name trust_to_dmz
[FW-policy-security-rule-trust_to_dmz]source-zone trust
[FW-policy-security-rule-trust_to_dmz]destination-zone dmz
[FW-policy-security-rule-trust_to_dmz]action permit
[FW-policy-security-rule-trust_to_dmz]qui
[FW-policy-security]qui
//防火墙可以访问任何地区
[FW]security-policy
[FW-policy-security]rule name local_to_any
[FW-policy-security-rule-local_to_any]source-zone local
[FW-policy-security-rule-local_to_any]destination-zone any
[FW-policy-security-rule-local_to_any]action permit
[FW-policy-security-rule-local_to_any]qui
[FW-policy-security]qui
4.10外网路由器根本设置
ISP_R:
<Huawei>sys
[Huawei]un in en
[Huawei]sysname ISP_R
[ISP_R]int g0/0/1
[ISP_R-GigabitEthernet0/0/1]ip add 192.168.8.2 30
[ISP_R-GigabitEthernet0/0/1]int g0/0/0
[ISP_R-GigabitEthernet0/0/0]ip add 10.10.10.1 24
[ISP_R-GigabitEthernet0/0/0]qui
4.11无线WLAN设置
HX_SW2:
<HX_SW2>sy
[HX_SW2]vlan batch 100 101 102
[HX_SW2]int g0/0/9
[HX_SW2-GigabitEthernet0/0/9]port link-type trunk
[HX_SW2-GigabitEthernet0/0/9]port trunk allow-pass vlan all
[HX_SW2-GigabitEthernet0/0/9]int g0/0/3
[HX_SW2-GigabitEthernet0/0/3]port trunk allow-pass vlan 100 101 102
[HX_SW2-GigabitEthernet0/0/3]int g0/0/5
[HX_SW2-GigabitEthernet0/0/5]port trunk allow-pass vlan 100 101 102
[HX_SW2]dhcp enable
[HX_SW2]ip pool ap_pool
Info:It's successful to create an IP address pool.
[HX_SW2-ip-pool-ap_pool]gateway-list 192.168.100.1
[HX_SW2-ip-pool-ap_pool]network 192.168.100.0 mask 24
[HX_SW2-ip-pool-ap_pool]excluded-ip-address 192.168.100.100
[HX_SW2-ip-pool-ap_pool]dns-list 192.168.111.3
第五章 中小型企业网络的测试
5.1 DHCP自动获取地址测试
以客户部、产物部为例,验证DHCP地址获取情况:可以获取到ip地址
5.1测试PC是否通网关
我们设置完相应的vlan划分、mstp、vrrp这是我们就可以给PC先手动设置一个地址来验证
/*手动给PC设置IP地址访问网关,如给vlan30下的PC设置
IP:192.168.30.3
GW:192.168.30.1 测试访问网关,ping 192.168.30.1通了即可*/
/*手动给PC设置IP地址访问网关,如给vlan3下的PC设置
IP:192.168.70.7
GW:192.168.70.1 测试访问网关,ping 192.168.70.1通了即可*/
这里以PC1为例,别的vlan的PC同理可得:
5.2测试PC可否自动获取地址
当我们设置好了相应的DHCP我们就让我们在的PC处于差别的vlan中自动获取差别的地址(这里我们专门用了一台DHCP server来充当我们的DHCP服务器)
5.3测试OSPF可否学到相应网段
输入检察路由表的命令dis ip rou即可检察相应的相应的路由表,是否在我们的Proto栏中会出现OSPF
5.4检测内网互通
此时内部地区通过ospf宣告了相应的网段后,是可以实现内部互通,如PC1和PC3的通信,在PC3中去ping PC1可否互通,能通即可
5.5MSTP检测
不难发现在我们的核心、汇聚交换机上设置了mstp后我们在HJ_SW3和HJ_SW4上我们不难发现上行口总有一个是堵塞的,SW3堵塞的是G0/0/2口,SW4堵塞的是我们的G0/0/1口(DISCARDING:堵塞的意思),
5.6VRRP网关冗余检测
我们在设置好VRRP后在核心交换机1和2上输入dis vrrp br就会发现,相应的vlan在HX_SW1上是master,那么在HX_SW2上就是backup即可(怎么理解呢:就是VLAN 20 30 40 200 255我们优先走HX_SW1,别的VLAN我们优先走HX_SW2)
5.7用户自动获取地址检测
当我们设置好了相应的DHCP我们就让我们在的PC处于差别的vlan中自动获取差别的地址(这里我们专门用了一台DHCP server来充当我们的DHCP服务器)
5.8出口NAT检测
验证是否在出口做了NAT,且验证是否成功,可以用内网的用户去ping外网用户,能通即可,如图所示:
参考文献
[1]谢希仁 .计算机网络 (第七版 )[M]. 北京:电子工业出版社 ,2017
[2]褚创建 .网络综合布线实用技术 [M]. 清华大学出版社 ,2002
[3]蔡建新 .网络工程概论 [M]. 清华大学出版社 ,2002
[4]程庆梅 .计算机网络实训教程 [M]. 高等教诲出版社 ,2003
[5]罗皇.网路组建与管理教程 [M]. 清华大学出版社 ,2004
[6]迪波斯,奥克斯著.李展等译.防火墙与VPN:原理与实践[M].清华大学出版社,2022.
[7]扈新波.局域网组建与管理技术详解[M].电子工业出版社,2021.
[8]文洋.网管员利用大全—局域网组建、管理、升级与维护[M].电子工业出版社.,2021.
[9]倪伟.局域网组建、管理及维护基础与实例教程[M].电子工:业出版社,2021.
[10]卢卡斯等编著.谢琳等译.防火墙策略与VPN设置[M].水利水电出版社,2021.
[11] Tim Szigeti,Christina Hattingh著.田敏,宋辉译.端到端QOS网络设计[M].人民邮电出版社,2021.
[12]王振宇;吴萍;Cisco路由器VPN设置常见问题及办理方法[J].硅谷,2020.
[13]周立.计算机防火墙技术原理分析及应用猜测[J].硅谷,2020.
[14]刘荣林;刘卿;Cisco路出器设置及利用技巧探讨[J].煤炭技术,2020.
[15]周雪.安全服务器十年磨剑终出鞘[J].信息安全与通信保密,2020.
[16]严雪林.试论国家秘密的特征[J].信息安全与通信保密,2020.
获取文章资料/定制全套设计
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
