网络设备管理实训(共22页).doc

《网络设备管理实训(共22页).doc》由会员分享，可在线阅读，更多相关《网络设备管理实训(共22页).doc（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上目录实训目的A、B、C、D五家公司，分别位于五个不同的地域，各个公司彼此独立，切都连接到Internet。F公司是A公司的下属子公司。A公司是某规模较大的公司，为迎合网络时代的发展，公司为每位职工配备电脑一台，并都可以访问Internet。该公司共计有9个部门：董事会、人力资源部、财务部、市场部、外联部、公关部、研发部、车间、后勤。其中，车间员工数量最多，共计124人，其余部门最多只有27人。B公司是一家网吧，内有120台电脑。C公司是一家网络服务提供公司，对外提供web及FTP服务D公司有6部门，通过三层交换机连接E公司采用硬件防火墙。该公司内部服务器禁止外部任何人

2、员访问，只允许内部员工访问。并且对内部员上网有严格的限制：禁止聊QQ，禁止使用web，ftp以外的各项服务，并规定每个员工每天只能享用10M流量数据，并且每台PC的带宽只有1M。F公司与A公司经常有业务来往，并通过网络传输财务数据，要求数据传输过程安全可靠。实训目标1） 建成一个具有高可靠性和开放性的网络，它应支持流行的SNMP等网络管理协议；2） 采用Internet上的标准协议-TCP/IP协议，提供校园内部及面向全球的WWW服务、FTP服务、NEWS服务、电子邮件服务，实现与国际互联网的完全接轨；3） 同时它还应具有支持通用大型数据库的功能，支持多种协议，具有良好的软件支持；4） 采用模

3、块化结构设计，容易升级；5） 最后，它还应针对学校的教学特点，具有一些基本的教学功能，以完成学校的基本教学任务。网络设备.交换机H3C系列交换机是H3C公司基于IToIP理念设计和开发的智能弹性以太网交换机。系统采用创新的IRF技术，在安全可靠、多业务融合、易管理和维护等方面为用户提供全新的技术特性和解决方案，是理想的办公网、业务网和驻地网的汇聚、接入交换机以及中小企业、分支机构的核心交换机。H3C S3600系列交换机采用H3C公司创新的IRF（ Intelligent Resilient Framework）智能弹性技术，与传统组网技术相比，在扩展性、可靠性、整体架构的性能方面具有强大的优

4、势H3C S3600系列交换机还支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”，对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击。.路由器路由器处于网络层，一方面他屏蔽了下层网络的技术细节，能够跨越不同的物理网络类型，使各类网络都统一为IP网络，这种一致性使全球范围用户之间的通信成为可能；另一方面将整个互联网络分割成逻辑上独立的网络单位，使网络具有一定的

5、逻辑结构。同时路由器还负责对IP包进行灵活的路由选择，把数据逐段向目的地转发，使全球范围用户之间的通信成为现实。路由器是用来连接不同网段或网络的。除了实现不同网络的连接外，路由器还拥有地址转换功能，借助单一IP地址实现整个企业网络的Internet连接共享，并将网络内的计算机隐藏起来，从而提高了网络的安全性，避免受到外部用户的恶意攻击。实训内容.网络设备的初始配置） 交换机（）右击“开始”，依次点击“程序”，“附件”，“通讯”，“超级终端”打开对话框（）输入名称后点击确定，出现对话框（）点击“确定”后出现对话框（）填写完相应的文本文框，对交换机进行初始配置） 路由器其初始配置过程类似于交换机，

6、在此不做详细叙述。.实训设计A公司 （）实训目的A公司是某规模较大的公司，为迎合网络时代的发展，公司为每位职工配备电脑一台，并都可以访问Internet。该公司共计有9个部门：董事会、人力资源部、财务部、市场部、外联部、公关部、研发部、车间、后勤。其中，车间员工数量最多，共计124人，其余部门最多只有27人。本项目要求在公司内部建立稳定，高效的办公自动化网络，通过项目的实施，使所有员工能够通过总部网络进入internet，从而提高所有员工的工作效率和加快企业内部信息的传递。同时需要建立WEB服务器，用于在互联网上发布企业信息。在总部和子公司均设立专用服务器，使集团内所有员工能够利用服务器方便的

7、访问公共文件资源，并能够完成企业内部邮件的收发。系统建立完成后，要求能满足企业个方面的应用需求，包括办公自动化，邮件收发，信息共享和发布，员工帐户管理，系统安全管理等。并能够实现网上视频会议,出差员工远程连接。（）实训背景解常规的基于物理连接的局域网由于结构简单，构建方便而成为形成小型简单网络的首选。局域网通常限于单个建筑或楼群内，他将距离相对较近的用户通过交换设备与已连接，形成简单的资源共享。局域网中的每台单独的PC或其他主机都是一个网络节点，这意味着许多用户可以共享昂贵的设备。局域网通常有某个组织拥有，如企业或学校，并且他们处于一个广播域中。但是在现在的形势下，网络结构越来越复杂也越来越大

8、，不仅用户数量多，分布范围广，地理位置复杂，应用内容也更加多样化。因此纯粹通过传统物理连接实现的局域网已经不能满足需要，VLAN即虚拟局域网的概念已经成为企业网络十分常用的一种结构。VLAN是一种将局域网设备从逻辑上划分而不是物理上划分成更小的局域网，每一个小局域网成为一个网段，从而实现虚拟工作组的数据交换技术。VLAN与物理划分局域网相比有许多优势，主要包括以下3个方面：（） 接口通过逻辑划分分别属于不同的广播域。（） 提高了网络的安全性。不同的VLAN之间不经过路由就不能直接通信，从而将安全隐患限制在VLAN的广播域中，降低了广播信息的不安全性。（） 灵活的管理。更改用户所属的网络不必更换

9、接口和连线，只更改软件配置就可以了。）解决方法（）公司内的网络拓扑表如下：DepartermentVlan 端口Ip地址子网掩码DongshiuVlan2Fa0/2172.16.2.027ZiyuanbuVlan 3Fa0/3172.16.2.3227WailianbuVlan 4Fa0/4172.16.2.6427CaiwubuVlan 5Fa0/5172.16.2.96.27HouqinbuVlan 6Fa0/6172.16.2.12827GongguanbuVlan 7Fa0/7172.16.2.160 27YanfabuVlan 8 Fa0/8172.16.2.19227Shichan

10、gbuVlan 9Fa0/9172.16.2.22427ChejianVlan 10Fa0/10172.16.3.124（）a公司的网络拓扑图如下图：.分公司的网络拓扑图如下：（）网络设备的配置配置Router A(A公司出口路由器)# 配置串口Serial 0 的IP 地址，封装为帧中继，并配置帧中继映射表。RouterA interface serial 0RouterA-Serial0 ip address 172.16.1.18 255.255.255.252RouterA-Serial0 link-protocol frRouterA-Serial0 fr map IP 172.16

11、.1.16dlci 101 broadcastRouterA-Serial0 fr map IP 172.16.2.1dlci 102 broadcastRouterA-Serial0 fr map IP 172.16，1.24dlci 103 broadcast# 启动OSPF 协议RouterA-Serial0 quitRouterA router id 1.1.1.1RouterA ospf enableRouterA-ospf quit# 配置该接口所属区域号及该接口类型RouterA interface serial 0RouterA-Serial0 ospf enable area

12、 0RouterA-Serial0 ospf network-type p2mpRouterA-Serial0 ospf peer 172.16.1.16RouterA-Serial0 ospf peer 172.16.2.1RouterA-Serial0 ospf peer 172.16，1.24交换机a的配置在公司的两个汇聚层交换机上分别设置VTP域，其中一个配置如下：S5500vtp domain abcS5500vtp mode serverS5500vtp password okS5500vtp domain abcS5500vtp mode clientS5500vtp passw

13、ord okS5500#disp vlan将各交换机之间的连线分别设置为trunk，其中一个接入层交换机的配置命令如下：S3600interface ethernet0/1S3600-Ethernet0/1port link-type trunkS3600-Ethernet0/1port trunk permit vlan all其中一个汇聚层交换机的配置命令如下：system-viewS5500 vlan vlan1 to vlan9把相应的端口分别加入不同的VLANS3600vlan 2S3600-vlan2port e0/2S3600vlan 3S3600-vlan3port e0/3S

14、3600vlan 4S3600-vlan4port e0/4S3600vlan 5S3600-vlan5port e0/5S3600vlan 6S3600-vlan6port e0/6S3600vlan 7S3600-vlan7port e0/7S3600vlan 8S3600-vlan8port e0/8S3600vlan 9S3600-vlan9port e0/9S3600vlan 10S3600-vlan10port e0/10Quidwayint e0Switch-Ethernet0int e0.1Switch-Ethernet0.1encapsulation dot1q 2Switc

15、h-Ethernet0.1ip addr 172.16.2.3 255.255.255.224Switch-Ethernet0.1nudo shutSwitch-Ethernet0.1int e0.2Switch-Ethernet0.2encapsulation dot1q 3Switch-Ethernet0.2ip addr 172.16.2.1 255.255.255.224Switch-Ethernet0.2nudo shutSwitch-Ethernet0.2int e0.3Switch-Ethernet0.3encapsulation dot1q 4Switch-Ethernet0.

16、3ip addr 172.16.2.33 255.255.255.224Switch-Ethernet0.3nudo shutSwitch-Ethernet0.3int e0.4Switch-Ethernet0.4encapsulation dot1q 5Switch-Ethernet0.4ip addr 172.16.2.65 255.255.255.224Switch-Ethernet0.4nudo shutSwitch-Ethernet0.4int e0.5Switch-Ethernet0.5encapsulation dot1q 6Switch-Ethernet0.6ip addr 1

17、72.16.2.97 255.255.255.224Switch-Ethernet0.6nudo shutSwitch-Ethernet0.6int e0.7Switch-Ethernet0.7encapsulation dot1q 7Switch-Ethernet0.7ip addr 172.16.2.129 255.255.255.224Switch-Ethernet0.7nudo shutSwitch-Ethernet0.7int e0.8Switch-Ethernet0.8encapsulation dot1q 8Switch-Ethernet0.8ip addr 172.16.2.1

18、61 255.255.255.224Switch-Ethernet0.8nudo shutSwitch-Ethernet0.8int e0.9Switch-Ethernet0.9encapsulation dot1q 9Switch-Ethernet0.9ip addr 172.16.3.1 255.255.255.224Switch-Ethernet0.9nudo shut公司）实训目的B公司是一家网吧，内有120台电脑。网络是网吧运营的基石，网络品质的优劣直接影响到网吧经营状况。随着网络游戏、视频点播、在线娱乐等网络应用的层出不穷，网吧的网络流量与日俱增，庞大的数据流量以及较长的运营时间给

19、网吧网络带来了巨大压力。网络测试数据表明：千兆网络的性能远远优于百兆，允许接入更多的用户终端，能够全面满足更多带宽密集型的网络应用需求。由此可见，强大的千兆网络将担当起为网吧提速的重任，并逐步取代百兆成为网吧应用的主流。）实训背景大型网吧网络系统建设是一项大型网络工程，各网吧需要根据自身的实际情况来制定网络设计原则。在大型网吧的网络建设过程中，其遵循以下网络设计原则： （）实用性和经济性 由于网吧一次性资金投入大，设备折旧快，目前外部经营环境差。另一方面，网吧应用环境比较恶劣，顾客应用水平较参差不齐，因此，在网络的建设过程中，系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则。

20、（）先进性和成熟性 当前计算机网络技术发展很快，设备更新淘汰也很快。这就要求网络建设在系统设计时既要采用先入的概念、技术和方法，又要注意结构、设备、工具的相对成熟。只有采用当前符合国际标准的成熟先入的技术和设备，才能确保网络络能够适应将来网络技术发展的需要，保证在未来几年内占主导地位。 （）可靠性和稳定性 在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性。达到最大的平均无故障时间。 （）安全性和保密性 在系统设计中既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网

21、络通信环境，采取不同的措施。包括系统安全机制、数据存取的权限控制等。 （）可扩展性和易维护性 为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护。把当前先入性、未来可扩展性和经济可行性结合起来，保护以往投资，实现较高的总体性能价格比）解决方法（）B公司所划分到的网段为：172.16.10.0/24（）网吧拓扑图如下（）网络设备的配置配置类似公司A公司）实训目的C公司是一家网络服务提供公司，对外提供WEB及FTP服务。WEB服务是建立可互操作的分布式应用程序的新平台，通过HTTP，人们使用各自的浏览器便可以轻松地访问和浏览五彩缤纷的因特网世界。企业员工可以在最短

22、的时间了解到最新新闻、最新技术，最新产品等一切新鲜的事物，有助于视野的开拓，激发灵感与创新。服务器的性能是由网站内容来决定的。如果Web站点是静态的，系统瓶颈依次是:网络子系统和内存。如果Web服务器主要进行密集计算(例如动态产生Web页)，系统瓶颈依次是:内存、CPU、磁盘子系统和网络子系统。FTP是由文件传送协议支持的，用于在Internet上的两台计算机之间文件的互传。FTP几乎可以传送任何类型文件。目前网络中公共的FTP站点都支持匿名访问。随着网络适用范围的扩大，通过网络获得信息已成为人们的一个主要渠道，包括政府、高校、企事业单位等各行各业都建立了相应的web服务器、ftp服务器。在把

23、信息提供给用户广泛浏览的同时，同样也存在着安全问题和控制问题。比如对于一个企业内部的web服务器，可能只提供给内部用户访问，而外部用户是不可以访问的。所以在建立一个服务器的同时，还存在如何把服务提供给相应的访问者，并保证访问者合法访问的问题。对于ftp服务，由于它简单易用，并与Windows系统本身结合紧密。在实际应用中，ftp的默认设置其实存在很多安全隐患，很容易成为黑客们的攻击目标。）解决方法（）C公司所划分到的网段为：172.16.20.0/24（）公司的网络拓扑图如下（）网络设备的配置配置类似公司A公司）实训目的D公司有6部门，通过三层交换机连接）实训背景第三层交换机是对应与OSI/R

24、M开放体系模型的第三层（网络层）来定义的，也就是说这类交换机可以工作在网络层，它比第二层交换机更加高档，功能更强。第三层交换机因为工作在网络层，所以它具有路由功能，将IP地址信息提供给网络路径选择，并实现不同网段间数据的线速交换。当网络规模较大时，可以根据特殊应用需求划分为校地独立的vlan网段，以减小广播所造成的影响。说它是路由器，因为它可操作在网络协议的第三层，是一种路由理解设备并可起到路由决定的作用；说它是交换机，因为他的速度极快，几乎达到第二层交换机的速度。一个具有第三层交换功能的设备是一个带有第三层路由功能的第二层交换机，但他是二者的有机结合，并不是简单地把路由器设备的硬件及软件叠加

25、在局域网交换机上。三层交换机是为IP设计的，接口类型简单，拥有很强的二层包处理能力，所以适用于大型局域网。为了减少广播风暴的危害，必须把大型局域网按功能或地域等因素换分为一个一个的小局域网，也就是一个一个的小网段。第三层交换具有以下特点：（）有机的硬件结合使得数据交换加速。（）优化的路由软件使得路由过程效率提高。（）除了必须的路由决定过程外，大部分数据转发过程由第二层交换处理。（）多个子网互联只是与第三层交换模块逻辑连接，不像传统的外接路由器那样增加端口，节省了用户的投资。）解决方法（） 网络设备 网络设备分析（1） 高性能；所有网络设备都应足够的吞吐量；（2） 高可靠性和高可用性；应考虑多种

26、容错技术；（3） 可管理性；所有网络设备均可用适当的网管软件进行监控、管理和设置；（4） 采用国际统一的标准；（）根据所画的网络拓扑图，及项目要求，对网络进行ip设置交换机连接的设备端口连接网络子网掩码DDFa0/1172.16.9.324D1Fa0/2172.16.9.027D2Fa0/3172.16.9.3227D3Fa0/4172.16.9.6427D4Fa0/5172.16.9.9627D5Fa0/6172.16.9.12827D6Fa0/7172.16.9.16027（）网络设备的配置配置类似公司A公司）实训目的E公司采用硬件防火墙。该公司内部服务器禁止外部任何人员访问，只允许内部员

27、工访问。并且对内部员上网有严格的限制：禁止聊QQ，禁止使用web，ftp以外的各项服务，并规定每个员工每天只能享用10M流量数据，并且每台PC的带宽只有1M。）实训背景提供丰富的网络服务，实现广泛的软件，硬件资源共享，包括：1）提供基本的Internet网络服务功能：如电子邮件、文件传输、远程登录、新闻组讨论、电子公告牌、域名服务等。2）提供校内各个管理机构的办公自动化：（1） 提供财务查询，报账服务。（2） 提供受存取权控制的文件、档案查询服务。（3） 提供贵重设备仪器及其它设备信息的管理服务防火墙是指设置在不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间的一系列部件的组合

28、。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、检测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上。防火墙是一个分离器、一个限制器、也是一个分析器，有效地监控内部网和Internet之间的任何活动，保证内部网络的安全。防火墙的基本功能：（）防火墙是网络安全的屏障。一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务降低风险。由于只有允许的应用协议才能通过防火墙，所以网络环境变得更安全。（）防火墙可以强化网络安全策略。通过一防火墙为中心的安全方案配置，可以将所有

29、安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将安全问题分散到各个主机上相比，防火墙的集中管理更经济。（）对网络存取和访问进行监控审计。如果访问经过防火墙，那么防火墙就能记录下这些访问并进行日志记录，同时也能提供网络使用情况的统计数据。（）防止内部信息的外泄。通过利用防火墙对内部网络的划分，可实现内部网络重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN，通过VPN。可将企事业单位在地域上分布在全世界各地的vlan或专用子网有机地连成一个整体，不仅省去了专用通信线路，而且为信

30、息共享提供了技术保障。）解决方法（）E公司所划分到的网段为:172.16.30.0/24（）网络拓扑图如下：（）网络设备配置# 打开防火墙功能。Quidway firewall enable# 设置防火墙缺省过滤方式为允许包通过。Quidway firewall default permit# 配置访问规则禁止所有包通过。Quidway acl 101# 配置访问规则允许WEB，FTP端口号访问网络Quidway-acl-101 rule permit tcp source any destinationany destination-port eq 80 Quidway-acl-101 ru

31、le permit tcp source any destinationany destination-port eq 23 # 禁止QQ端口号访问网络Quidway-acl-101 rule deny tcp source any destination any destination-port eq 4000# 将规则101 作用于从接口Ethernet0 进入的包。Quidway-Ethernet0 firewall packet-filter 101 inbound总体设计）网络拓扑表根据所设计的拓扑图对网络进行IP设置，得拓扑表如下拓扑表路由器端口Ip地址子网掩码Router1S1/

32、0172.16.1.130Router1S1/1172.16.1.530Router2S1/0172.16.1.230Router2S1/3172.16.1.1330Router2S1/2172.16.1.3330Router3S1/0172.16.1.630Router3S1/1172.16.1.2130Router3S1/2172.16.1.1730AS1/0172.16.1.1830AS1/1172.16.1.2530BS1/0172.16.1.2230CS1/0172.16.1.1030DS1/0172.16.1.3430FS1/0172.16.1.2630AFa0/0172.16.2

33、.223BFa0/0172.16.10.124CFa0/0172.16.20.124DFa0/0172.16.9.224EFa0/0172.16.30.124FFa0/0172.16.40.124）相关网络技术路由协议OSPF在网络骨干核心层和核心层以及汇聚层上需要使用三层设备为网络内部不同的网段的数据和不同vlan间的数据转发而需要路由协议时，我们采用OSPF协议作为路由协议。OSPF(Open Shortest Path First)是一个内部网关协议(Interior Gateway Protocol,简称IGP)，用于在单一自治系统(autonomous system,AS)内决策路由

34、。与RIP相对，OSPF是链路状态路由协议，而RIP是距离向量路由协议。 链路是路由器接口的另一种说法，因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。 开放最短路径协议(OSPF)协议不仅能计算两个网络结点之间的最短路径，而且能计算通信费用。可根据网络用户的要求来平衡费用和性能，以选择相应的路由。在一个自治系统内可划分出若干个区域，每个区域根据自己的拓扑结构计算最短路径，这减少了OSPF路由实现的工作量；OSPF属动态的自适应协议，对于网络的拓扑结构变化可以迅速地做出反应，进行相应

35、调整，提供短的收敛期，使路由表尽快稳定化。每个路由器都维护一个相同的、完整的全网链路状态数据库。这个数据库很庞大，寻径时， 该路由器以自己为根，构造最短路径树，然后再根据最短路径构造路由表。路由器彼此交换，并保存整个网络的链路信息，从而掌握全网的拓扑结构，并独立计算路由。VLAN (虚拟局域网)VLAN（Virtual Local Area Network）的中文名为虚拟局域网， VLAN是一种将局域网设备从逻辑上划分（注意，不是从物理上划分）成一个个网段，从而实现虚拟工作组的新兴数据交换技术。VLAN 虚拟局域网是一种在二层设备上隔离和划分广播域的技术，通过这种划分，我们可以把物理位置上分离

36、的网络设备在逻辑上划为同一个广播域，或者把物理位置上邻近的网络设备划为不同的广播域，从而更方便我们管理和做一个逻辑层次的划分。从技术上说 VLAN 可以分为静态 VLAN 和动态 VLAN,那么静 态的 VLAN 是基于交换机端口进行划分，根据网络设备连接不同的交换机端口， 则进入相应的 VLAN。动态 VLAN 则更灵活，它可以根据接入计算机的 IP 地址， MAC地址，甚至是用户的登陆账号做出相应的处理，把计算机划分进相应的 VLAN 中，这样就为我们实际的网络管理带来了比较大的方便性和灵活性。 那么在我们的企业网方案中，我们希望通过使用VLAN技术进行划分达到以下目的：VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。） 网络设备的配置网络设备设置类似公司A实训总结通过这三个周的实训，我对网络设备交换机和路由器及三层交换机有了进一步的了解，掌握了它们的网络配置，对局域网的构建有了一定的认识和了解。专心-专注-专业