2011网络实习校园网模拟与实现

2011网络实习校园网模拟与实现
特别说明：本次实验模拟环境的设计是根据中国石油大学青岛校区的校园网真实情况进行的，并结合实验室的具体设备搭建拓扑，最终完成功能实现。

本次模拟考虑功能实现未必完善和合理，请同学们根据实际情况进行探索和改进。

欢迎大家积极尝试和提供好的建议和思路。

一、配置基本原则及建议
1、首先PK5.3模拟仿真，然后真实设备实现；
2、先总体规划，然后设计、实现。

先局部，后整体，各组分工协作，集成调试；
3、先内网正常通信，后外网通信；
4、内外网正常通信后，再施加ACL、OSPF、端口安全、无线安全等安全策略。

二、设备链接情况简要说明。

1、外网接入：
特别说明：（具体连接情况，待做真实的实验时会通过C3548从校园网链接3个VLAN过来，对学生而言，该设备不用配置）
通过入门处，在实验室前面的左面面板接入4个VLAN，通过跳线直接接到机柜内一台3548交换机的Fa0/48口上，具体配置情况：
Fa0/48 作为trunk端口接入，把校园网定义的4个VLAN传递进来
4个VLAN信息：
Vlan112: 对应接口 fa0/1，对应校园网直接支持的172.20.254.0/24网段 Vlan601: 对应接口：fa0/17, 接入的接口地址 10.5.0.1/30 (校园网的
172.20.254.0/24网段)
Vlan102: 对应接口：fa0/19, 接入的接口地址 121.251.254.222/30
Vlan101: 对应接口：fa0/21, 接入的接口地址 211.87.183.62/30
2、BR边缘路由器（用R1841路由器）
学生无需配置下列说明，了解即可。

如果条件不具备，则需自己完成。

配置有2层的4口以太网模块接口卡，直接将Vlan601，101，102接入。

具体对接方式
S3548 R1841
Fa0/17 ÆFa0/1/1 vlan601
Fa0/19 ÆFa0/1/2 vlan102
Fa0/21 ÆFa0/1/3 vlan101
注意路由器上的2层口比较特殊，要先创建VLAN，然后将端口划入到VLAN中，直接在VLAN上分配IP地址即可。

相当于分配给了VLAN中对应的接口。

在路由器上创建VLAN，
*创建VLAN
Vlan data
Vlan 500
*划分接口到VLAN
Int fa0/1/0
Switch mode access
Switch access vlan 500
Exit
*给接口分配IP地址
Int vlan 500
Ip add 10.5.0.2 255.255.255.252
No shut
这部分工作在BR路由器上已做好，同学们不需要再进行配置。

但BR上的路由协议和NAT需要配置。

学生在用PK5.3做模拟实验时，可以在边缘路由器上直接用三个Loopback口模拟3个出口，或者放3台PC也可。

注意：校园网所接入的3个VLAN都是可以直接上网的。

只要路由能够到达该VLAN。

3、广域网FrameRelay
有2个分支机构，通过帧中继云接入校园总部，进而实现对校园网资源的访问和共享，并通过校园网访问Internet。

在PK5.3下，通过图形界面实现帧中继交换机的配置，以及总部和分支机构接入帧中继网络相关路由器的配置。

在真实环境下，用Cisco 2811路由器做帧中继交换机（该路由器具有4个广域网串口，HWIC-4A/S）。

总部和分支路由器都用Cisco 1841路由器的s0/0/0口接入到2811路由器相应的接口上。

两个分支机构之间不需要建立直接映射。

4、核心3层交换
内网分为教师网和学生网，两个单独的OSPF区域，单独运行。

教师网的网络地址空间为172.20.254.0/24，相当于教育网的公网地址；
学生网的网络地址空间为192.168.0.0/16, 相当于私网地址。

5、汇聚到接入的互联
Exp路由器是启用单臂路由，支持VLAN之间的通信。

6、接入层交换机
PK5.3模拟环境及真实环境下，全部选用2960交换机；交换机VLAN的划分，每个交换机按照其上所有的VLAN的数量平均分配端口，如，交换机switch1上有2个VLAN，则每个VLAN有12个端口，fa0/1-12;fa0/13-23;而fa0/24用于上联到汇聚交换机。

学生也可自行决定每个VLAN的端口数量，但每个VLAN的端口数不能少于2个。

7、无线接入
在无线接入中，PK5.3中提供了两种设备的接入，无线AP和无线路由器。

实验室提供的是WRT160N无线路由器，该设备是三合一的设备，有两种接入方式。

⑴作为无线AP和交换机用，交换机端口所连接的设备将不做NAT转换。

将AP 通过LAN口上连到交换机即可，
⑵作为无线AP、交换机和路由器用，则通过INTERNET口上连到交换机即可。

此时路由器要启用内部的NAT功能，实现内网上网。

备注：AP(Access Point)指的是一个接入点，它起到有线和无线的一个桥梁作用。

透过AP可以使在此网络中的电脑实现共享。

无线路由器指的是这台AP既提供无线功能，而且还有路由的功能。

不仅如此，无线路由器还内建了PPPOE，DHPC,NAT,IP POOLING等。

实际上，无线路由器就是在现有的路由器上加入了无线的功能。

三、具体任务要求：
1、要求给所有的设备进行相应的基本配置，配置主机名，实现设备的基本安全口令。

包括console口、特权加密口令以及Telnet远程登录口令。

备注：开始为了调试方便，可不加口令限制，调试完毕后，作为网络管理员，应该给设备设置访问口令。

2、IP地址规划
内网：网络中心给教师网一个IP地址块：172.20.254.0/24，可以模拟我们的教育网，按照接入层交换机上的VLAN地址数量进行划分，要求尽量不浪费地址。

教师网的主机，经过VLAN601出口时，不需要经过NAT转换，而经过其他两个出口时，要做NAT转换。

学生网一个地址块，192.168.0.0/16,相当于私网，因此，学生网经过三个出口时，都要做NAT转换。

外网：模拟校园网的多出口，因此校园网提供了3个网段的链接，你只需要知道下一跳地址以及你可以使用的地址即可。

地址规划建议用表格的形式来展现。

设备互联地址用10.0.0.0/8网段进行分配。

3、路由
（1）外网路由
①BR上要启用多出口策略，缺省路由指向VLAN601，即172.20.254.0/24网段可以直接到NET1。

②到另外的两个网段，NET2和NET3，要用NAT转换，其中NET2用端口复用，而NET3用地址池复用
③BR上要启用静态路由指向内网，内网使用汇聚后的网络地址
④到另外的两个网段，可以模拟测试。

我们可以用两条单独的静态路由来指定，如，访问，强制走NET2，访问强制走NET3。

（2）内网路由
教师网和学生网分为两个独立OSPF主域0单独运行。

在二者的核心之间要通过静态路由实现互访，模拟实现校园网内教师网和学生网的私网、公网混合路由。

①教师内网配置多域OSPF路由协议，主域为0。

所有的核心和汇聚设备之间启用OSPF。

②教师网内配置 OSPF 身份验证，在核心和汇聚的三层交换机之间配置MD5身份认证。

使用 1 作为密钥值并使用 cisco123 作为口令，在核心和汇聚之间配置 OSPF MD5 身份验证。

③BR上要启用静态路由分别指向内网的教师网和学生网，内网使用汇总后的网络地址。

④Tea-Core上启用缺省路由，同时把缺省路由通过OSPF自动传播给域内的其它三层交换机或路由器
⑤Stu-Core上启用缺省路由，同时把缺省路由通过OSPF自动传播给域内的其它三层交换机或路由器，学生网不启用OSPF身份认证。

⑥关闭不必要的路由更新
4、交换
（1）交换机switch3直连单臂路由器，VTP模式设置为缺省的server模式，直接创建VLAN121、VLAN122。

VLAN内的主机数见图示，根据图示决定其各个子网
的主机数。

所有VLAN内主机的网关地址取最后可用主机的地址。

所有PC机的地址通过远端的DHCP Server自动获得。

（2）交换机Office、Switch1和Switch2上组成一个VTP域， VTP域名为office，VTP密码为cisco123。

，Office的VTP模式为Server，Switch1和Switch2的模式为Client，VLAN信息通过Offic自动传递给Switch1和Switch2。

（3）同理交换机Stu-Dis1、Switch4和Switch5组成一个VTP域，VTP域名为Stu-Dist1，VTP密码为cisco123。

，Stu-Dis1的VTP模式为Server，Switch4和Switch5的模式为Client，VLAN信息通过Stu-Dis1自动传递给Switch4和Switch5。

（4）同理交换机Stu-Dis2、Switch6和Switch7组成一个VTP域，VTP域名为Stu-Dist2，VTP密码为cisco123。

Stu-Dis2的VTP模式为Server，Switch6和Switch7的模式为Client，VLAN信息通过Stu-Dis2自动传递给Switch6和Switch7。

（5）交换机端口安全、
将switch1 交换机端口 Fast Ethernet 0/1 配置为只接受1台设备，以动态获取这些设备的 MAC 地址，并且在发生违规时拦截来自无效主机的流量。

5、NAT
在172.20.254.0/24网段内的主机到NET2和NET3，必须经过NAT转换，其中NET2用地址池复用，而NET3用地址池复用。

在192.168.0.0/16网段内的主机到NET1、NET2和NET3都需要经过NAT，三个网段都配置为地址池端口复用。

假设学生网中的交换机Switch6的交换机vlan221中有一台地址为192.168.20.100/24的主机，需要向教育网所在的NET1提供FTP等服务，需要设置成静态NAT，启用地址池中最后一个可用的地址作NAT 静态映射。

6、DHCP
设计一台基于Linux的服务器，提供DHCP、WWW、TELNET等服务，或者将其中的一台路由器配置成DHCP，并开启WWW、TELNET服务，该路由器直接连接到核心交换CS1上。

该DPCP要实现自动为172.20.254.0/24及192.168.0.0/16内的所有vlan自动分配IP地址、缺省网关和DNS服务器（211.87.176.66）的功能。

每个网段内最后4个可用的地址保留不进行自动分配。

所有网段的网关使用本网段内最后可用的地址。

7、ACL（需要加强调整）
⑴在DR0的对应子接口上，设置一个ACL禁止VLAN102中IP地址最后一个字节为偶数的主机对DHCP server的TELNET访问，其他的流量允许通过。

⑵禁止vlan223中的IP地址为172.128.22.69、172.128.22.71、172.128.22.77、172.128.22.79的主机对DHCP server的www访问，其它的流量允许通过。

要求每个ACL只能包含一条deny和一条permit命令。

⑶阻止 192.168.10.0/24 网络访问 172.20.254.32/27 网络。

允许对
172.20.254.32/27 的所有其它访问。

在 office上使用 ACL 编号 10配置 ACL。

⑷由于边缘路由器是与 Internet 之间的连通出口，因此请按照下列顺序配置名为 FIREWALL 的命名 ACL：
1. 仅允许来自 net1 ISP 和来自 net1 ISP 之外任何源地址的入站 ping 应答。

2. 仅允许来自 net1 ISP 和来自 net1 ISP 之外任何源地址的已建立 TCP 会话。

3. 明确阻止来自 net1 ISP 和来自 net1 ISP 之外任何源地址的所有其它入站
访问。

8、广域网FrameRelay
⑴在PK5.3下，通过图形界面实现帧中继交换机的配置，以及总部和分支机构接入帧中继网络相关路由器的配置。

⑵在真实环境下，用Cisco 2811路由器做帧中继交换机（该路由器具有4个广域网串口）。

总部和分支路由器都用Cisco 1841路由器的s0/0/0口接入到2811路由器相应的接口上。

两个分支机构之间不需要建立映射。

使用以下信息配置相应的接口：
• IP 地址
• 帧中继封装
• 到相应部门的映射
• LMI 类型为 ANSI
⑶路由部分
分支机构启用缺省路由指向总部。

请在缺省路由配置中使用送出接口参数。

总部需要通往本拓扑中两个远程 LAN 的两条静态路由。

请在静态路由配置中使用下一跳 ip 地址参数。

9、无线部分
无线AP和无线路由器。

无线AP的配置较为简单，我们重点对连接在Switch7交换机上的无线路由器配置做要求。

无线路由器，真实环境下为WRT160N。

为配置无线路由器的设置，我们使用它的 Web GUI 实用程序。

要访问 GUI，可以用 Web 浏览器导航到路由器的 LAN/无线 IP 地址。

原厂默认地址为
192.168.1.1。

默认登录凭证使用空的用户名和口令 admin。

将广域网接口卡Internet的连接类型设置为动态获得 IP，该地址应该通过校园网的DHCP服务器自动获得相应的参数。

在路由器的局域网接口上启用DHCP，创建一个地址池，10.10.0.0/24，最后一个可用的地址分配给无线路由器的LAN口，作为无线客户端的网关，最大允许分配10.10.0.101-10.10.0.110的这10个地址段给无线客户端。

DNS设置为校园网的DNS服务器，SSID标识改为Cisco，大小写敏感。

无线AP的远程管理地址为Cisco123，大小写敏感。

无线客户端的链接启用WEB认真，认证密码为12345cisco
无线客户端释放重新链接到无线网络。

无线客户端可以采用自带笔记本，或者网络实验室的无线USB网卡接入。

10、VPN（选做）
设置移动用户VPN（Easy VPN），使得远程移动用户能够接入到校园网中。

将边界路由器配置为Easy VPN server，配置VPN client，通过ISP路由器连接进入校园网，实现正常的访问。

具体请参考VPN配置示例。