網(wǎng)絡(luò)工程綜合實訓報告

網(wǎng)絡(luò)工程綜合實訓報告網(wǎng)絡(luò)工程綜合實訓報告全文共1頁，當前為第1頁。網(wǎng)絡(luò)工程綜合實訓報告全文共1頁，當前為第1頁。網(wǎng)絡(luò)工程綜合實訓報告PAGE網(wǎng)絡(luò)工程綜合組網(wǎng)實訓報告項目名稱中小企業(yè)網(wǎng)絡(luò)改建班級網(wǎng)絡(luò)131組長王坤成員申中文崔文生指導教師朱文龍日期2015年12月22日中小企業(yè)網(wǎng)絡(luò)改建一、項目內(nèi)容與目標本項目模擬一個真實的網(wǎng)絡(luò)工程，加強對網(wǎng)絡(luò)技術(shù)的理解，提高網(wǎng)絡(luò)技術(shù)的實際應(yīng)用能力。（宋體小四）通過本實訓，應(yīng)達到以下目標：了解網(wǎng)絡(luò)建設(shè)流程掌握中小企業(yè)組網(wǎng)相關(guān)技術(shù)獨立部署中小企業(yè)網(wǎng)絡(luò)二、項目背景現(xiàn)有網(wǎng)絡(luò)存在的問題（宋體小四）該公司是一個高新技術(shù)企業(yè)，以研發(fā)，銷售汽車零件為主，公司總部設(shè)在北京，在深圳設(shè)有一個辦事處，在上海設(shè)有研究所?？偛控撠煿具\營管理，深圳辦事處負責銷售，上海負責公司產(chǎn)品市場調(diào)研，產(chǎn)品研發(fā)等工作。但隨著公司發(fā)展，還存在以下網(wǎng)絡(luò)問題。（1）網(wǎng)絡(luò)故障不斷，時常出現(xiàn)網(wǎng)絡(luò)癱瘓現(xiàn)象。（2）病毒泛濫，攻擊不斷‘網(wǎng)絡(luò)工程綜合實訓報告全文共2頁，當前為第2頁。網(wǎng)絡(luò)工程綜合實訓報告全文共2頁，當前為第2頁。（4）員工使用P2P工具，不能監(jiān)管。（5）公司的一些服務(wù)器只能托管，不能放在公司內(nèi)部。三、網(wǎng)絡(luò)規(guī)劃與設(shè)計3.1網(wǎng)絡(luò)建設(shè)目標（黑體小四加粗）正文（宋體小四）該公司決定對當前的總部及辦事處的辦公網(wǎng)絡(luò)進行升級改造，解決當前網(wǎng)絡(luò)存在的問題，提高公司效益，降低公司的運營成本。為此公司提出了以下建設(shè)目標。（1）網(wǎng)絡(luò)帶寬升級，達到千兆骨干，百兆到桌面。（2）增強網(wǎng)絡(luò)的可靠性及可用性。（3）網(wǎng)絡(luò)要易于管理，升級和擴展。（4）確保內(nèi)網(wǎng)安全級同辦事處之間交互數(shù)據(jù)的安全。（5）服務(wù)器管理及訪問權(quán)限控制，并能監(jiān)管網(wǎng)絡(luò)中的P2P應(yīng)用。3.2網(wǎng)絡(luò)規(guī)劃3.2.1拓撲規(guī)劃規(guī)劃的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如實驗圖所示。為了方便統(tǒng)一管理，需要對所有設(shè)備進行統(tǒng)一命名。AA—BB—CC其中，AA表示設(shè)備所處的地點，如北京簡寫為BJ，上海簡寫為SH；BB表示設(shè)備的型號，如MSR30-20表示為MSR3020，S3100-52P-SI表示為SW1；CC表示同型號設(shè)備的數(shù)量，如第一臺設(shè)備表示為0，第二胎設(shè)備標識為1。根據(jù)上述規(guī)則，總部的第一臺路由器MSR30-20命名問為RT1，其余以此類推。所有設(shè)備的命名明細如實驗表1所示。網(wǎng)絡(luò)工程綜合實訓報告全文共3頁，當前為第3頁。網(wǎng)絡(luò)工程綜合實訓報告全文共3頁，當前為第3頁。辦事處設(shè)備型號設(shè)備名稱北京總部MSR30-20RT1S56-26CBJ-5626C-0S5100-16P-SIBJ-S5116P-0S3100-52TP-SISW1S3100-52TP-SISW2S3100-52TP-SISW3深圳辦事處H3CMSR20-20RT2S3100-52TP-SISW4上海研究所H3CMSR20-20RT3S3100-52TP-SISW53.2.3WAN規(guī)劃根據(jù)需求分析，在總部及分支機構(gòu)之間使用專線連接，并選用中國電信公司提供的基于SDH傳輸網(wǎng)絡(luò)的E1線路。由于上海研究所的業(yè)務(wù)數(shù)據(jù)相對較多，對帶寬需求較高，總部與上海研究所之間采用2條E1線路，總部與深圳辦事處之間采用1條E1線路.如下圖所示。所以在選用設(shè)備的廣域網(wǎng)接口模塊模塊時,總部選用4E1-F,深圳辦事處選用1E1-F,而上海研究所選用2E1-F模塊.如果辦事處繼續(xù)增加，可以將E1模塊換為CPOS模塊。因為一個155Mbps的CPOS模塊可以通過傳輸設(shè)備進行時隙劃分，分為63個E1接口。3.2.4LAN規(guī)劃（互聯(lián)VLAN50這個不需要直接使用ip地址即可）局域網(wǎng)規(guī)劃包含VLAN規(guī)劃，端口聚合規(guī)劃以及端口隔離，地址捆綁規(guī)劃幾個部分。網(wǎng)絡(luò)工程綜合實訓報告全文共4頁，當前為第4頁。對于網(wǎng)絡(luò)工程綜合實訓報告全文共4頁，當前為第4頁。人事行政部，財務(wù)商務(wù)部人數(shù)相對較少，而且業(yè)務(wù)比較密切，劃分在1個VLAN內(nèi)即可。產(chǎn)品研發(fā)部和技術(shù)支持部在業(yè)務(wù)上相對獨立，而且產(chǎn)品研發(fā)部還有訪問控制要求，因此將兩個部門各自劃分一個VLAN。為了便于管理，也將服務(wù)區(qū)劃分為一個VLAN。部門、VLAN號、交換機端口之間的關(guān)系如實驗表2所示。表２VLAN規(guī)劃明細表部門VLAN號所在設(shè)備端口明細人事行政部VLAN10BJ-S3152TP-0E1/0/1~E1/0/10財務(wù)商務(wù)部VLAN10BJ-S3152TP-0E1/0/11~E1/0/30管理VLANVLAN1交換機的管理VLAN，用于Telnet及SNMP另外，在研發(fā)部的服務(wù)器區(qū)使用端口隔離技術(shù)，嚴格控制外部的訪問，并針對內(nèi)網(wǎng)中出現(xiàn)的ARP病毒現(xiàn)象，在核心交換機上進行端口捆綁。為了便于IP地址分配和管理，采用DHCP地址分配方式。使用核心交換機S5600-26C作為DHCP服務(wù)器。3.2.5IP地址規(guī)劃在該公司的所有網(wǎng)絡(luò)中，每個地方都使用的是/24網(wǎng)段，在新的網(wǎng)絡(luò)中需要對IP地址重新進行規(guī)劃。根據(jù)因特網(wǎng)的相關(guān)規(guī)定，決定使用C類私有地址，在總部和分支機構(gòu)使用多個C類地址段。其中總部每個VLAN使用一個C網(wǎng)段，深圳辦事處使用/24，上海研究所使用/24網(wǎng)段，設(shè)備的互連地址及管理地址用/24網(wǎng)段。具體規(guī)劃如下。地址：根據(jù)實際需要，并結(jié)合未來的需求數(shù)量，規(guī)劃業(yè)務(wù)地段如試驗表3所示。連地址：互連地址主要用于設(shè)備的互連，在XX公司網(wǎng)絡(luò)中設(shè)備的互連地址主要有總部核心交換機與路由器互連、總部路由器與分支路由器互連等。共需要3對互連地址，如實驗表4所示。③管理地址：用于設(shè)備的管理，各設(shè)備管理地址如試驗表5所示。網(wǎng)絡(luò)工程綜合實訓報告全文共5頁，當前為第5頁。網(wǎng)絡(luò)工程綜合實訓報告全文共5頁，當前為第5頁。網(wǎng)絡(luò)工程綜合實訓報告全文共6頁，當前為第6頁。網(wǎng)絡(luò)工程綜合實訓報告全文共6頁，當前為第6頁。網(wǎng)絡(luò)工程綜合實訓報告全文共7頁，當前為第7頁。網(wǎng)絡(luò)工程綜合實訓報告全文共7頁，當前為第7頁。在動態(tài)路由協(xié)議中，用得最多的是OSPF協(xié)議。所以該公司考慮到以后網(wǎng)絡(luò)的擴展，需要對OSPF進行規(guī)劃。將總部路由器的下行接口和分支路由器的上行接口規(guī)劃為Area0，總部的局域網(wǎng)規(guī)劃為Area1。深圳辦事處規(guī)劃為Area2，上海研究所規(guī)劃為Area3。在網(wǎng)絡(luò)的出口配置默認路由，以便訪問外網(wǎng)，該路由下一跳為運營商路由器的接口地址。3.2.7安全規(guī)劃安全規(guī)劃主要包含有訪問控制，攻擊防范和P2P監(jiān)控3快內(nèi)容。訪問控制可以在路由器上通過ACL來實現(xiàn)。攻擊防范可以通過在出口路由器上啟動攻擊防范功能來實現(xiàn)，這樣就可以有效地阻止外部對內(nèi)網(wǎng)的各種攻擊。P2P監(jiān)控可以通過啟動路由器上的ASPF功能來實現(xiàn)，發(fā)現(xiàn)問題可以及時阻止。通過在出口路由器上部署NAT，可以允許總部及分支機構(gòu)訪問Internet。通過部署NATSever，可以允許總部的服務(wù)器對外提供服務(wù)。四、網(wǎng)絡(luò)配置實施4.1總體內(nèi)網(wǎng)部署（黑體小四加粗）步驟一總部內(nèi)網(wǎng)部署（描述相關(guān)設(shè)備及每個設(shè)備詳細配置）總部網(wǎng)絡(luò)的拓撲結(jié)構(gòu)及端口的連接主要涉及設(shè)備的命名，端口連接描述，核心交換機與服務(wù)器交換機的鏈路聚合，VLAN配置，VLAN路由以及交換機管理地址的配置?？偛客負浣Y(jié)構(gòu)如下圖。第1步：按照前期的命名規(guī)劃及端口描述給每臺設(shè)備命名并添加端口描述，下面是添加端口描述的命令。<RT1>sys[RT1]interfaceGigabitEthernet0/0/0[RT1-GigabitEthernet0/0/0]descriptionlink-to-G0/0/0第2步：配置核心交換機與服務(wù)區(qū)交換機的端口聚合，參與聚合的端口，使用基于手動方式的鏈路聚合。[SW1]interfaceBridge-Aggregation1[SW1-Bridge-Aggregation1]interfaceEthernet0/4/0網(wǎng)絡(luò)工程綜合實訓報告全文共8頁，當前為第8頁。網(wǎng)絡(luò)工程綜合實訓報告全文共8頁，當前為第8頁。%Dec2214:50:32:4042015SW1LAGG/5/LAGG_ACTIVE:MemberportEthernet0/4/0ofaggregationgroupBAGG1becomesACTIVE.[SW1-Ethernet0/4/0]%Dec2214:50:32:4352015SW1IFNET/3/LINK_UPDOWN:Bridge-Aggregation1linkstatusisUP.[SW1-Bridge-Aggregation1]interfaceEthernet0/4/1[SW1-Ethernet0/4/1]portlink-aggregationgroup1[SW2]interfaceBridge-Aggregation1[SW2-Bridge-Aggregation1]interfaceEthernet0/4/0[SW2-Ethernet0/4/0]portlink-aggregationgroup1[SW2-Ethernet0/4/0]interfaceEthernet0/4/1[SW2-Ethernet0/4/1]portlink-aggregationgroup1第3步：根據(jù)前期的VLAN及端口分配規(guī)劃，在各接入交換機上配置VLAN，并將上行接口配置為Trunk鏈路，允許相關(guān)VLAN通過。[SW3]vlan10[SW3-vlan10]portE0/4/0[SW3]vlan20[SW3-vlan20]portE0/4/1[SW3-Ethernet0/4/2]portlink-typetrunk[SW3-Ethernet0/4/2]porttrunkpermitvlan1020第4步：為了讓VLAN之間能夠通信，在核心交換機上為每個VLAN配置IP地址，啟動VLAN間路由功能，具體IP地址見前期規(guī)劃。[SW3]interfacevlan10[SW3-Vlan-interface10]ipaddress024[SW3-Vlan-interface10]interfacevlan20[SW3-Vlan-interface20]ipaddress024第5步：根據(jù)前期的規(guī)劃，要在核心交換機上配置DHCP協(xié)議，為各PC分配IP地址。網(wǎng)絡(luò)工程綜合實訓報告全文共9頁，當前為第9頁。網(wǎng)絡(luò)工程綜合實訓報告全文共9頁，當前為第9頁。[SW3]dhcpserverip-poolvlan10[SW3]dhcpserverip-poolvlan20[SW3-dhcp-pool-vlan20]gateway-list54第6步：配置交換機的管理地址。[SW2]interfaceVlan1[SW2-Vlan-interface1]%Dec2216:03:50:4802015SW2IFNET/3/LINK_UPDOWN:Vlan-interface1linkstatusisUP.%Dec2216:03:50:4802015SW2IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheinterfaceVlan-interface1isUP.[SW2-Vlan-interface1]ipaddress3024[SW2-Vlan-interface1]quit步驟二深圳內(nèi)網(wǎng)部署（描述相關(guān)設(shè)備及每個設(shè)備詳細配置）深圳辦事處的網(wǎng)絡(luò)結(jié)構(gòu)的內(nèi)網(wǎng)部署主要由設(shè)備命名，DHCP配置，管理地址配置3部分組成。網(wǎng)絡(luò)結(jié)構(gòu)如下圖。第1步：按照前期的規(guī)劃，添加端口描述的詳細命令。[RT2]interfaceGigabitEthernet0/0/0[RT2-GigabitEthernet0/0/0]descriptionlink-to-G0/0/1[SW4]interfaceGigabitEthernet0/0/1[SW4-GigabitEthernet0/0/1]descriptionlink-to-G0/0/0第2步：DHCP配置。在深圳辦事處，使用DHCP方式為接入PC分配IP地址。[RT2]interfaceGigabitEthernet0/0/0[RT2-GigabitEthernet0/0/0]ipaddress5424[RT2-GigabitEthernet0/0/0]quit[RT2]dhcpenable[RT2]dhcpserverip-pool1[RT2-dhcp-pool-1]quit網(wǎng)絡(luò)工程綜合實訓報告全文共10頁，當前為第10頁。第3步：網(wǎng)絡(luò)工程綜合實訓報告全文共10頁，當前為第10頁。[SW4]interfacevlan1[SW4-Vlan-interface1]ipaddress5024[SW4-Vlan-interface1]quit步驟三上海內(nèi)網(wǎng)部署（描述相關(guān)設(shè)備及每個設(shè)備詳細配置）上海研究所的網(wǎng)絡(luò)結(jié)構(gòu)的內(nèi)網(wǎng)部署主要由設(shè)備命名，DHCP配置，管理地址配置3部分組成。網(wǎng)絡(luò)結(jié)構(gòu)如下圖。第1步：按照前期的規(guī)劃，添加端口描述的詳細命令。[RT3]interfaceGigabitEthernet0/0/1[RT3-GigabitEthernet0/0/1]descriptionlink-to-G0/0/2[SW5]interfaceGigabitEthernet0/0/2[SW5-GigabitEthernet0/0/2]descriptionlink-to-G0/0/1第2步：DHCP配置。在上海研究所，使用DHCP方式為接入PC分配IP地址。[RT3-GigabitEthernet0/0/1]ipaddress5424[RT3-GigabitEthernet0/0/1]quit[RT3]dhcpenableDHCPisenabledsuccessfully![RT3]dhcpserverip-pool1[RT3-dhcp-pool-1]quit第3步：為了方便交換機的管理，需要為交換機配置管理地址，寫出為交換機配置管理地址的具體命令以及此地址發(fā)布的路由。[SW5]interfacevlan1[SW5-Vlan-interface1]%Dec2216:59:43:7682015SW5IFNET/3/LINK_UPDOWN:Vlan-interface1linkstatusisUP.%Dec2216:59:43:7682015SW5IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheinterfaceVlan-interface1isUP.網(wǎng)絡(luò)工程綜合實訓報告全文共11頁，當前為第11頁。網(wǎng)絡(luò)工程綜合實訓報告全文共11頁，當前為第11頁。[SW5-Vlan-interface1]quit4.2廣域網(wǎng)部署（描述相關(guān)設(shè)備及每個設(shè)備詳細配置）為了保障總部與分支機構(gòu)之間傳輸數(shù)據(jù)的安全，在總部與分支機構(gòu)采用專線連接，因為專線是一種與其他網(wǎng)絡(luò)物理隔離的網(wǎng)絡(luò)，在數(shù)據(jù)傳輸上有很高的安全性?？紤]到上海研究所生產(chǎn)數(shù)據(jù)量較大，因此在上海研究所與北京總部之間采用兩條E1線路；深圳辦事處與北京總部之間采用1條E1線路。在SDH線路上，采用點到點的PPP協(xié)議作為廣域網(wǎng)協(xié)議；北京總部和上海研究所之間采用MP-group的方式將兩條E1線路捆綁起來使用。第1步：寫出有關(guān)PPP的配置。[RT1]interfaceSerial0/1/0[RT1-Serial0/1/0]descriptionlink-to-S0/1/1[RT1-Serial0/1/0]ipaddress30[RT1]interfaceSerial0/1/1[RT1-Serial0/1/1]descriptionlink-to-S0/1/0[RT1]interfaceSerial0/1/2[RT1-Serial0/1/2]descriptionlink-to-S0/1/3[RT1]interfaceMp-group0[RT1-Mp-group0]ipaddress30[RT1-Mp-group0]ints0/1/1[RT1-Serial0/1/1]pppmpMp-group0[RT1-Serial0/1/1]%Dec2217:49:29:5872015RT1IFNET/3/LINK_UPDOWN:Serial0/1/1linkstatusisDOWN.%Dec2217:49:29:5872015RT1IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheinterfaceSerial0/1/1isDOWN.%Dec2217:49:29:5872015RT1IFNET/3/LINK_UPDOWN:Serial0/1/1linkstatusisUP.網(wǎng)絡(luò)工程綜合實訓報告全文共12頁，當前為第12頁。網(wǎng)絡(luò)工程綜合實訓報告全文共12頁，當前為第12頁。[RT1-Serial0/1/1]ints0/1/2[RT1-Serial0/1/2]pppmpMp-group0[RT1-Serial0/1/2]%Dec2217:51:01:3002015RT1IFNET/3/LINK_UPDOWN:Serial0/1/2linkstatusisDOWN.%Dec2217:51:01:3002015RT1IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheinterfaceSerial0/1/2isDOWN.%Dec2217:51:01:3002015RT1IFNET/3/LINK_UPDOWN:Serial0/1/2linkstatusisUP.%Dec2217:51:01:3162015RT1IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheinterfaceSerial0/1/2isUP.第2步：配置SZ[RT2]interfaceSerial0/1/1[RT2-Serial0/1/1]descriptionlink-to-s0/1/0[RT2-Serial0/1/1]ipaddress30[RT2-Serial0/1/1]%Dec2217:53:04:4772015RT2IFNET/5/PROTOCOL_UPDOWN:ProtocolPPPIPCPontheinterfaceSerial0/1/1isUP.第3步：配置SH[RT3]interfaceSerial0/1/3[RT3-Serial0/1/3]descriptionlink-to-s0/1/2[RT3-Serial0/1/3]ints0/1/0[RT3-Serial0/1/0]descriptionlink-to-s0/1/1[RT3-Serial0/1/0]quit[RT3]interfaceMp-group0[RT3-Mp-group0]ipaddress030[RT3-Mp-group0]int網(wǎng)絡(luò)工程綜合實訓報告全文共13頁，當前為第13頁。網(wǎng)絡(luò)工程綜合實訓報告全文共13頁，當前為第13頁。[RT3-Serial0/1/3]pppmpMp-group0[RT3-Serial0/1/3]%Dec2217:56:03:6072015RT3IFNET/3/LINK_UPDOWN:Serial0/1/3linkstatusisDOWN.%Dec2217:56:03:6072015RT3IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheinterfaceSerial0/1/3isDOWN.%Dec2217:56:03:7322015RT3IFNET/3/LINK_UPDOWN:Serial0/1/3linkstatusisUP.%Dec2217:56:03:7482015RT3IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheinterfaceSerial0/1/3isUP.%Dec2217:56:03:7482015RT3IFNET/3/LINK_UPDOWN:Mp-group0linkstatusisUP.%Dec2217:56:03:7482015RT3IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheinterfaceMp-group0isUP.%Dec2217:56:03:7482015RT3IFNET/5/PROTOCOL_UPDOWN:ProtocolPPPIPCPontheinterfaceMp-group0isUP.[RT3-Serial0/1/3]ints0/1/0[RT3-Serial0/1/0]pppmpMp-group0[RT3-Serial0/1/0]%Dec2217:56:24:3562015RT3IFNET/3/LINK_UPDOWN:Serial0/1/0linkstatusisDOWN.%Dec2217:56:24:3562015RT3IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheinterfaceSerial0/1/0isDOWN.%Dec2217:56:24:3562015RT3IFNET/3/LINK_UPDOWN:Serial0/1/0linkstatusisUP.%Dec2217:56:24:3712015RT3IFNET/5/LINEPROTO_UPDOWN:LineprotocolontheinterfaceSerial0/1/0isUP.4.3路由部署（描述相關(guān)設(shè)備及每個設(shè)備詳細配置）網(wǎng)絡(luò)工程綜合實訓報告全文共14頁，當前為第14頁。考慮到該公司未來的發(fā)展戰(zhàn)略規(guī)劃，在部署路由時，全網(wǎng)采用動態(tài)的OSPF協(xié)議，并規(guī)劃每個辦事處為一個Area，這樣如果以后網(wǎng)絡(luò)規(guī)模擴大，也不需要對整個網(wǎng)絡(luò)重新規(guī)劃，而只需增加Area即可。網(wǎng)絡(luò)工程綜合實訓報告全文共14頁，當前為第14頁。第1步：SW1交換機路由配置手工指定routerid,為VLAN1的接口地址[SW1[SW1]ospf[SW1-ospf-1]area1在區(qū)域里發(fā)布網(wǎng)段,后面跟的是反掩碼,但有些地址我們很難口算出它的反掩碼,CMW提供了這樣一個特性,可以將掩碼自動轉(zhuǎn)化為反掩碼,為此我們演示一下,發(fā)布網(wǎng)段時使用掩碼,并驗證是否能自動轉(zhuǎn)換。[SW1驗證是否能自動將掩碼轉(zhuǎn)換成反掩碼[SW1-ospf-1-area-]disthis##return#發(fā)布同RT1路由器互連接口地址[SW1#發(fā)布交換機管理VLAN地址網(wǎng)段[SW1-第2步：RT1路由器路由配置創(chuàng)建并進入loopback0接口[RT1]intloop0為loopback0接口配置IP地址,注意掩碼為32位[RT1-LoopBack0]ipadd732手工指定routerid網(wǎng)絡(luò)工程綜合實訓報告全文共15頁，當前為第15頁。[網(wǎng)絡(luò)工程綜合實訓報告全文共15頁，當前為第15頁。[RT1]ospf創(chuàng)建并進入area1[RT1-ospf-1]area1發(fā)布同BJ-S5626C-0的互連網(wǎng)段[RT1為了便于管理,發(fā)布loopback接口地址,作為網(wǎng)管地址.[RT1創(chuàng)建并進入area0[RT1-ospf-1]area0#發(fā)布同RT2及RT3的互連網(wǎng)段[RT1[RT1-第3步：RT2路由器路由配置創(chuàng)建并進入loopback0接口[RT2]intloop0為loopback0接口配置IP地址，注意掩碼為32位[RT2-LoopBack0]ipadd832手工指定routerid[RT2[RT2]ospf[RT2-ospf-1]area0發(fā)布同RT1的互連網(wǎng)段[RT2[RT2-ospf-1]area2發(fā)布深圳辦事處內(nèi)網(wǎng)網(wǎng)段地址[RT2發(fā)布loopback地址，作為網(wǎng)管地址。[RT2網(wǎng)絡(luò)工程綜合實訓報告全文共16頁，當前為第16頁。第4步：RT3網(wǎng)絡(luò)工程綜合實訓報告全文共16頁，當前為第16頁。[RT3]intloop0為loopback0接口配置IP地址,注意掩碼為32位[RT3-LoopBack0]ipadd932[RT3[RT3]ospf[RT3-ospf-1]area0發(fā)布同RT1的互連網(wǎng)段[RT3[RT3-ospf-1]area3發(fā)布上海研究所內(nèi)網(wǎng)網(wǎng)段地址[RT3發(fā)布loopback地址,作為網(wǎng)管地址.[RT3第5步：配置訪問Internet的路由[RT1-Serial0/1/3]ipadd30配置一條缺省路由，下一跳指向ISP給的網(wǎng)關(guān)地址[RT1將缺省路由發(fā)布到OSPF中[RT1-ospf-1]default-route-advertise4.4網(wǎng)絡(luò)安全部署（描述相關(guān)設(shè)備及每個設(shè)備詳細配置）第1步：內(nèi)網(wǎng)全部使用的是私有地址，如需訪問Internet還需要進行地址轉(zhuǎn)換，同時可以將內(nèi)網(wǎng)中的服務(wù)器發(fā)布到Internet。創(chuàng)建ACL2000[RT1]aclnumber2000match-orderauto[RT1-acl-basic-2000]rule0permit進入連接Internet的接口[RT1]interfaceS0/1/3使用EasyIP方式使能NAT[RT1-Serial0/1/3]natoutbound2000發(fā)布WWW及OA服務(wù)器[RT1-Serial0/1/3]natserverprotocoltcpglobalwwwinside31www網(wǎng)絡(luò)工程綜合實訓報告全文共17頁，當前為第17頁。[RT1-Serial0/1/3網(wǎng)絡(luò)工程綜合實訓報告全文共17頁，當前為第17頁。inside308080第2步：攻擊防范配置。常見的病毒及攻擊端口如ACL3001aclnumber3001rule0denytcpsource-porteq3127rule1denytcpsource-porteq1025rule2denytcpsource-porteq5554rule3denytcpsource-porteq9996rule4denytcpsource-porteq1068rule5denytcpsource-porteq135rule6denyudpsource-porteq135rule7denytcpsource-porteq137rule8denyudpsource-porteqnetbios-nsrule9denytcpsource-porteq138rule10denyudpsource-porteqnetbios-dgmrule11denytcpsource-porteq139rule12denyudpsource-porteqnetbios-ssnrule13denytcpsource-porteq593rule14denytcpsource-porteq4444rule15denytcpsource-porteq5800rule16denytcpsource-porteq5900rule18denytcpsource-porteq8998rule19denytcpsource-porteq445rule20denyudpsource-porteq445rule21denyudpsource-porteq143