IP路由与交换技术实训报告

IP路由与交换技术

实训

考 核 报 告

班级： 13网络工程

学号： 20*

姓名： 李*

1 2 3 4 姓名 柏* 葛* 陈** 李* 任务分工 路由器AR1与交换机LSW1 路由器AR2与交换机LSW2 路由器AR3与AR4 防火墙

一、需求说明

XX公司组建公司网络，公司有总部和分部两个地区。总部主要有人事部，生产部，销售部，财务部、经理办公室和公司服务器，分部主要有销售部和财务部。根据规划，公司总部和分部已经从ISP获取了公网地址，要求规划和设计公司网络，并用现有设备模拟公司环境，完成规划和设计、实施、验收和报告文档，具体要求如下：

1、给出公司网络拓扑设计，公司网络设计要求有一定稳定性和可靠性； 2、规划各部门的IP、设备IP和互联IP；

3、为了安全财务部门主机只能经理办公室可以访问，并且财务部门主机不能访问； 4、公司服务器需要被用户访问，公司总部和分部除了财务部门外其余部门均可访问；

5、利用现有设备完成公司网络拓扑搭建，并完成实施和验收； 6、写出规划和设计方案参与公司网络建设项目的投标。

二、规划设计（截图并附带文字说明） 括扑图：

规划：

IP地址空间的分配，与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性、灵活性和层次性，同时能

满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还有考虑到网络地址的可管理性。 IP地址分配尽量分配连续的IP地址空间；相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制。

总公司内：

人事部（IP：192.168.10.2~253 网关：192.168.10.254 子网掩码：24） 生产部（IP：192.168.20. .2~253网关：192.168.20.254 子网掩码：24） 销售部（IP：192.168.30. .2~253网关：192.168.30.254 子网掩码：24） 财务部（IP：192.168.40. .2~253网关：192.168.40.254 子网掩码：24） 经理办公室（IP：192.168.1. .2~253网关：192.168. 1.254子网掩码：24） 公司服务器（IP：192.168.2. .2~253网关：192.168.2.254 子网掩码：24） 分公司内：

销售部（IP：192.168.50. .2~253 网关：192.168.50.254 子网掩码：24） 财务部（IP：192.168.60. .2~253网关：192.168.60.254 子网掩码：24） 主机：（IP：200.0.0.0 网关：200.0.0.254 子网掩码：24） 客户机（IP：200.0.0.2~253 网关：200.0.0.254子网掩码：24） 路由器：

AR1（g0/0/0 10.0.0.1 24，g0/0/1 20.0.0.1 24）

AR2（g0/0/0 40.0.0.1 24，g0/0/1 20.0.0.2 24，g0/0/2 30.0.0.1 24）

AR3（g0/0/0 192.168.50.254 24 g0/0/1 192.168.60.254 24，g0/0/2 50.0.0.1 24） AR4（g0/0/0 100.0.0.2 24，g0/0/1 200.0.0.254 24， 交换机：

LSW1（vlanif 10 ip 192.168.10.254 24，vlanif 20 192.168.20.254 24，vlanif 100 ip 10.0.0.2 24）

LSW2（vlanif 30 ip 192.168.30.254 24，vlanif 40 ip 192.168.40.254 24，vlanif 100 ip 30.0.0.2 24）

采用动态路由协议rip，用于自治系统（AS）内的路由信息的传递。

使用vlan协议对逻辑上的设备和用户，这些设备和用户并不受物理位置的，可以根据功能、部门及应用等因素将它们组织起来，

相互之间的通信就好像它们在同一个网段中一样。

使用acl（访问控制列表）建立对应的安全策略，实现拒绝访问，与允许访问的控制。每种协议一个 ACL：要控制接口上的流量，必须为接口上启用的每种协议定义相应的 ACL。每个方向一个 ACL ：一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量，必须分别定义两个 ACL。每个接口一个 ACL ：一个 ACL 只能控制一个接口（例如快速以太网0/0）上的流量。

三层交换技术：第三层交换是在网络交换机中引入路由模块而取代传统路由器实现交换与路由相结合的网络技术。它根据实际应用时的情况，灵活地在网络第二层或者第三层进行网络分段。具有三层交换功能的设备是一个带有第三层路由功能的第二层交换机。 利用防火墙来控制不同主机的访问控制，这里使用包过滤防火墙：包过滤防火墙是用一个软件查看所流经的数据包的包头（header），由此决定整个包的命运。它可能会决定丢弃（DROP）这个包，可能会接受（ACCEPT）这个包（让这个包通过），也可能执行其它更复杂的动作。

三、实施（配置脚本）（截图并附带文字说明）

路由器基本配置：

----------------------------------------------------AR1-------------------------------------------------------

system-view sysname AR1

undo info-center enable

interface g0/0/0 ip add 10.0.0.1 24

interface g0/0/1 ip add 20.0.0.1 24 quit

//使用rip宣告网络，实现内网网络互通

rip

network 10.0.0.0 network 20.0.0.0 quit 配置截图：

----------------------------------------------------AR2-------------------------------------------------------

system-view sysname AR2

undo info-center enable

interface g0/0/0 ip add 40.0.0.1 24 interface g0/0/1

ip add 20.0.0.2 24 interface g0/0/2 ip add 30.0.0.1 24 quit

//使用rip宣告网络，实现内网网络互通

rip

network 20.0.0.0 network 30.0.0.0 network 40.0.0.0 quit

//设置acl实现只有经理办公室可以访问财务部，其他部门不能访问财务部，并应用于g0/0/2的出口方向，由于真实设备没有将acl直接应用于接口的命令，使用策略实现。将动作加入到策略里 acl 3000

rule 5 permit ip source 192.168.1.1 0 destination 192.168.40.1 0 rule 10 deny ip source any destination 192.168.40.1 0 rule 15 permit ip source any destination any quit

traffic classifier c1 if-match acl 3000 quit

traffic behavior b1 permit quit

traffic policy p1 classifier c1 behavior b1 quit

interface GigabitEthernet0/0/2 traffic-policy p1 outbound 配置截图：

----------------------------------------------------AR3-------------------------------------------------------

system-view sysname AR3

undo info-center enable

interface g0/0/0 ip add 192.168.50.254 24 interface g0/0/1 ip add 192.168.60.254 24 interface g0/0/2 ip add 50.0.0.1 24 quit

//使用rip宣告网络

rip

network 192.168.50.0 network 192.168.60.0 network 50.0.0.0 quit

//设置acl实现只有经理办公室可以访问财务部，其他部门不能访问财务部，并应用于g0/0/1的出口方向，由于真实设备没有将acl直接应用于接口的命令，使用策略实现。将动作加入到策略里

acl 3000

rule 5 permit ip source 192.168.1.1 0 destination 192.168.60.1 0 rule 10 deny ip source any destination 192.168.60.1 0 rule 15 permit ip source any destination any quit

traffic classifier c1 if-match acl 3000 quit

traffic behavior b1 permit

quit

traffic policy p1 classifier c1 behavior b1 quit

interface GigabitEthernet0/0/1 traffic-policy p1 outbound 配置截图：

----------------------------------------------------AR4-------------------------------------------------------

system-view

undo info-center enable

interface g0/0/0 ip add 100.0.0.2 24 interface g0/0/1 ip add 200.0.0.254 24 quit

//配置静态默认路由实现互通 ip route-static 0.0.0.0 0.0.0.0 100.0.0.1 配置截图：

交换机基本配置：

---------------------------------------------------LSW1-----------------------------------------------------

system-view sysname LSW1

info-center source DS channel 0 log state off trap state off

vlan 10 vlan 20 vlan 100 quit

//创建vlan，并将接口加入到相应的vlan中 interface Ethernet0/0/1 port link-type access port default vlan 10 quit

interface Ethernet0/0/2 port link-type access port default vlan 20 quit

interface Ethernet0/0/3 port link-type access port default vlan 100

quit

//配置三层交换机vlan的接口，充当pc的网关，因为三层交换机的接口不能直接配置IP地址

interface vlanif 10 ip add 192.168.10.254 24 interface vlanif 20 ip add 192.168.20.254 24 interface vlanif 100 ip add 10.0.0.2 24 quit

rip

network 192.168.10.0 network 192.168.20.0 network 10.0.0.0 quit 配置截图：

---------------------------------------------------LSW2-----------------------------------------------------

system-view sysname LSW2

info-center source DS channel 0 log state off trap state off vlan 30 vlan 40 vlan 100 quit

//创建vlan，并将接口加入到相应的vlan中

interface Ethernet0/0/1 port link-type access

port default vlan 30 quit

interface Ethernet0/0/3 port link-type access port default vlan 40 quit

interface Ethernet0/0/2 port link-type access port default vlan 100 quit

//配置三层交换机vlan的接口，充当pc的网关，因为三层交换机的接口不能直接配置IP地址

interface vlanif 30 ip add 192.168.30.254 24 interface vlanif 40 ip add 192.168.40.254 24 interface vlanif 100 ip add 30.0.0.2 24 quit

rip

network 192.168.30.0 network 192.168.40.0 network 30.0.0.0 quit 配置截图：

防火墙基本配置：

----------------------------------------------------FW1------------------------------------------------------

system-view sysname FW1

undo info-center enable

//将接口加入到相应的安全区域， firewall zone trust add interface g0/0/1 add interface g0/0/5 quit

firewall zone untrust add interface g0/0/3 quit

firewall zone dmz add interface g0/0/2 add interface g0/0/4 quit

interface g0/0/1 ip add 40.0.0.2 24 interface g0/0/2 ip add 50.0.0.2 24 interface g0/0/3 ip add 100.0.0.1 24 interface g0/0/4

ip add 192.168.2.254 24 interface g0/0/5 ip add 192.168.1.254 24 quit rip

network 40.0.0.0 network 50.0.0.0 network 192.168.1.0 network 192.168.2.0 quit

//配置一条回应的静态路由，实现互通 ip route-static 200.0.0.0 24 100.0.0.2

在防火墙上将静态路由与直连路由注入到rip环境 rip

import-route direct import-route static

//配置地址集，以便在防火墙上实现包过滤的访问控制 ip address-set abc type group address 0 192.168.10.0 mask 24 address 1 192.168.20.0 mask 24 address 2 192.168.30.0 mask 24 address 3 192.168.1.0 mask 24 address 4 10.0.0.0 mask 24 address 5 20.0.0.0 mask 24 address 6 30.0.0.0 mask 24 address 7 40.0.0.0 mask 24 address 8 192.168.40.0 mask 24 quit

ip address-set abcde type group address 0 192.168.10.0 mask 24 address 1 192.168.20.0 mask 24 address 2 192.168.30.0 mask 24 address 3 192.168.1.0 mask 24 address 4 10.0.0.0 mask 24 address 5 20.0.0.0 mask 24 address 6 30.0.0.0 mask 24 address 7 40.0.0.0 mask 24 quit

ip address-set abcd type group address 0 192.168.50.0 mask 24 address 1 192.168.2.0 mask 24 address 2 192.168.60.0 mask 24 quit

配置安全策略，实现区域之间的访问控制，开启trust到dmz，trust到untrust，untrust到dmz三个区域之间的允许 security-policy rule name t_to_d source-zone trust destination-zone dmz

source-address address-set abc destination-address address-set abcd action permit quit

security-policy rule name t_to_u

source-zone trust destination-zone untrust source-address address-set abcde destination-address 200.0.0.1 24 action permit quit

security-policy rule name u_to_d source-zone untrust destination-zone dmz source-address any

destination-address 192.168.2.1 24 action permit quit

设置一个静态地址转换实现访问内网的web服务器。

nat server policy_nat_web protocol global 200.0.0.100 inside 192.168.2.1 配置截图：

总公司内：

人事部（IP：192.168.10.1 网关：192.168.10.254 子网掩码：24） 生产部（IP：192.168.20.1 网关：192.168.20.254 子网掩码：24） 销售部（IP：192.168.30.1 网关：192.168.30.254 子网掩码：24） 财务部（IP：192.168.40.1 网关：192.168.40.254 子网掩码：24） 经理办公室（IP：192.168.1.1网关：192.168. 1.254子网掩码：24） 公司服务器（IP：192.168.2.1 网关：192.168.2.254 子网掩码：24） 分公司内：

销售部（IP：192.168.50.1 网关：192.168.50.254 子网掩码：24） 财务部（IP：192.168.60.1 网关：192.168.60.254 子网掩码：24） 主机：（IP：200.0.0.0 网关：200.0.0.254 子网掩码：24）

四、验收（结果验证）（截图并附带文字说明）

1.人事部（IP：192.168.10.1 网关：192.168.10.254 子网掩码：24）

人事部ping生产部，如上图

人事部ping总公司销售部，如上图

人事部ping财务部，如上图

人事部ping，如上图

人事部ping分公司WEB服务器，如上图

2．经理办公室（IP：192.168.1.1网关：192.168. 1.254子网掩码：24）

经理办公室ping分公司WEB服务器，如上图

经理办公室ping，如上图

经理办公室ping总公司财务部，如上图

经理办公室ping分公司财务部，如上图

3.财务部（IP：192.168.60.1 网关：192.168.60.254 子网掩码：24）

财务部ping，如上图

4.生产部（IP：192.168.20.1 网关：192.168.20.254 子网掩码：24）

生产部ping

5.主机：（IP：200.0.0.0 网关：200.0.0.254 子网掩码：24）

ping公司web服务器