网络工程与应用课程设计范本(doc 42页)

合集下载

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

网络工程与应用课程设计范本(doc 42页)
一、项目概况
1.校园工程区建筑结构图:
2.建筑网络范围:
武汉软件工程职业学院是学院地处“国家自主创新示范区”——武汉市东湖高新技术开发区，即“武汉·中国光谷”腹地，环境优美，设施优良。

占地面积1200余亩，建筑面积40余万平方米，
3. 信息楼五楼概要设计布图
办公室8 sq m
向上
窗户
信息插座
窗户
开关
3000mm 2800m m
2850mm
800mm
1700mm
5225m m
门2600m m
500mm
450mm
900mm
二、概要设计
1. 网络拓扑结构图如下：
2.综合布线系统设计方案
信息插座到终端设备这个区域称为工作区子系统。

它包括有连接软线、适配器和其他电子器件。

由于工作区子系统的设计与用户的终端设备有关。

本设计中工作区子系统为数据的应用，暂定为N信息点，信息点分布情况暂为学校供的预计数量，施工按实际情况定，信息点数见下表：
建筑物网络综合布线信息点数量统计表—常用表格
建筑物网络和语音信息点数统计表
房间或者区域编号
注：教室信息点2个办公室信息点4个机房信息点2个实验室信息点4个
3. IP地址规划方案
(1)参照校园网拓朴图
(2)IP地址分配总则：
1：R4是internet路由器，不能对其做任何路由配置，R4上启用PPPOE拨号，外部办公人员使用PC0拨号上网，然后拨号总部EZVPN server对内部网络做网管
2：R1，R2，SW1,ASA之间运行OSPF，ASA使用默认路由指向internet，保证全网的连通性。

3：ASA防火墙连接internet，在ASA上做NAT，使得内部能够访问internet，保证DMZ的HTTP server192.168.100.80 能够正常对外提供访问，所以需要对它做静态NAT，外部地址为202.100.1.200
4：R2和SW1上做单臂路由和HSRP 的负载均衡，vlan 2 的流量走R2，网关为172.16.12.100；vlan 3 的流量走SW1，网关为172.16.13.100.并且开启链路追踪
5：SW2 和SW3 之间的链路做冗余备份并且保证负载均衡
6：R1 是DHCP 服务器，为内部用户分配IP地址。

内部WEB服务器使用固定IP172.16.12.1
7：为了防止ARP攻击，接入交换机SW2,SW3上需要做DHCP SNOOPING 和DAI1：R4是internet 路由器，不能对其做任何路由配置，R4上启用PPPOE拨号，外部办公人员使用PC0拨号上网，然后拨号总部EZVPN server对内部网络做网管
2：R1，R2，SW1,ASA之间运行OSPF，ASA使用默认路由指向internet，保证全网的连通性。

内部WEB服务器使用固定IP172.16.12.1
7：为了防止ARP攻击，接入交换机SW2,SW3上需要做DHCP SNOOPING 和DAI
8：R1作为EZVPN server，方便外部移动办公人员拨号EZVPN 对内部做网管，EZVPN 的地址池为172.16.1.1-172.16.1.100
9：.考虑到内部服务器172.16.12.1作为公司的私有WEB服务器，主要是用于对内提供服务，对于internet的访问需要通过认证以后才能提供正常访问。

10：为了防止DDOS攻击,限定外部用户对于内部的HTTP服务器的访问最大连接数不能超过1000，最大半打开连接数不能超过500，对于HTTP1服务器的最大半打开不能超过100个.当外部用户到达内部的连接时间超过10分钟的时候防火墙自动清除连接，并且在最短时间内，尽快清除死亡连接。

11：对于内部用户到taobao网的访问，必须严厉禁止。

12：公司分部可能需要对内部的WEB服务器进行访问，所以R1和R3之间建立L2L 的IPSec vpn，允许分部访问内部的WEB服务器172.16.12.1
8：R1作为EZVPN server，方便外部移动办公人员拨号EZVPN 对内部做网管，EZVPN 的地址池为172.16.1.1-172.16.1.100
9：.考虑到内部服务器172.16.12.1作为公司的私有WEB服务器，主要是用于对内提供服务，对于internet的访问需要通过认证以后才能提供正常访问。

11：对于内部用户到taobao网的访问，必须严厉禁止。

12：公司分部可能需要对内部的WEB服务器进行访问，所以R1和R3之间建立L2L 的IPSec vpn，允许分部访问内部的WEB服务器172.16.12.1
通过以上网络架构，我们可以进行以下校园网划分：
4．配置：
1：IP配置
R1(config)#int e0/0
R1(config-if)#ip add 192.168.12.1 255.255.255.0
R1(config-if)#no shu
R1(config-if)#exit
R1(config)#int e0/1
R1(config-if)#ip add 192.168.13.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#exit
R1(config)#int e0/2
R1(config-if)#ip add 10.1.1.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#exit
R2(config)#int e0/0
R2(config-if)#ip add 192.168.12.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#int e0/1
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#int e0/1.2
R2(config-subif)#encapsulation dot 2
R2(config-subif)#ip add 172.16.12.100 255.255.255.0 R2(config-subif)#no sh
R2(config-subif)#exit
R2(config)#int e0/1.3
R2(config-subif)#en dot 3
R2(config-subif)#ip add 172.16.13.100 255.255.255.0 R2(config-subif)#no shu
R2(config-subif)#exit
SW1(config)#int f0/1
SW1(config-if)#no switchport
SW1(config-if)#ip add 192.168.13.3 255.255.255.0 SW1(config-if)#no sh
SW1(config-if)#exit
SW1(config)#int f0/2
SW1(config-if)#sw tr en dot
SW1(config-if)#sw mo tr
SW1(config-if)#no sh
SW1(config-if)#exit
SW1(config)#int vlan 2
SW1(config-if)#ip add 172.16.12.100 255.255.255.0 SW1(config-if)#exit
SW1(config)#int vlan 3
SW1(config-if)#ip add 172.16.13.100 255.255.255.0 SW1(config-if)#exit
R4(config)#int e0/0
R4(config-if)#ip add 202.100.1.1 255.255.255.0
R4(config-if)#no shu
R4(config-if)#exit
R4(config)#int e0/1
R4(config-if)#ip add 202.102.1.1 255.255.255.0
R4(config-if)#no shu
R4(config-if)#exit
R4(config)#int e0/2
R4(config-if)#ip add 202.103.1.1 255.255.255.0
R4(config-if)#no shu
R4(config-if)#exit
ciscoasa(config)# int g0
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default. ciscoasa(config-if)# ip add 10.1.1.100 255.255.255.0 ciscoasa(config-if)# no shu
ciscoasa(config-if)# exit
ciscoasa(config)# int g1
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default. ciscoasa(config-if)# ip add 202.100.1.100 255.255.255.0 ciscoasa(config-if)# no shu
ciscoasa(config-if)# exit
ciscoasa(config)# int g2
ciscoasa(config-if)# nameif dmz
INFO: Security level for "dmz" set to 0 by default. ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip add 192.168.100.100 255.255.255.0 ciscoasa(config-if)# no shu
ciscoasa(config-if)# exit
2：配置OSPF
R1(config)#router ospf 1
R1(config-router)#net 192.168.12.0 0.0.0.255 area 0
R1(config-router)#net 192.168.13.0 0.0.0.255 area 0
R1(config-router)#net 10.1.1.0 0.0.0.255 area 0
R1(config-router)#exit
R2(config)#router ospf 1
R2(config-router)#net 192.168.12.0 0.0.0.255 area 0
R2(config-router)#net 172.16.12.0 0.0.0.255 area 0
R2(config-router)#net 172.16.13.0 0.0.0.255 area 0
R2(config-router)#exit
SW1(config)#ip routing
SW1(config)#router ospf 1
SW1(config-router)#net 192.168.13.0 0.0.0.255 area 0
SW1(config-router)#net 172.16.12.0 0.0.0.255 area 0
SW1(config-router)#net 172.16.13.0 0.0.0.255 area 0
SW1(config-router)#exit
ciscoasa(config)# router ospf 1
ciscoasa(config-router)# net 10.1.1.0 255.255.255.0 area 0
ciscoasa(config-router)# default-information originate always
ciscoasa(config-router)# exit
配置完成以后在R1上查看邻居关系
R1#sh ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface 202.100.1.100 1 FULL/BDR 00:00:39 10.1.1.100 Ethernet0/2 192.168.13.3 1 FULL/BDR 00:00:37 192.168.13.3 Ethernet0/1 192.168.12.2 1 FULL/BDR 00:00:33 192.168.12.2 Ethernet0/0 OSPF 邻居已经全部建立
在ASA上添加默认路由
ciscoasa(config)# route outside 0 0 202.100.1.1
3：在ASA上做NAT，让内网可以访问internet，并且使内部服务器正常对外提供访问
ciscoasa(config)# object network inside_user
ciscoasa(config-network-object)# range 172.16.12.1 172.16.13.255 ciscoasa(config-network-object)# nat (inside,outside) dynamic interface ciscoasa(config-network-object)# exit
在ASA上放行ICMP 流量方便测试
ciscoasa(config)# access-list outacl permit icmp any any
ciscoasa(config)# access-group outacl in interface outside
在R2上测试连通性
R2#ping 202.100.1.1 source 172.16.12.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.100.1.1, timeout is 2 seconds: Packet sent with a source address of 172.16.12.100
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/53/76 ms 内部已经能够正常访问internet
下面为内部HTTP做静态NAT
ciscoasa(config)# object network global_http
ciscoasa(config-network-object)# host 202.100.1.200
ciscoasa(config-network-object)# exit
ciscoasa(config)# object network http
ciscoasa(config-network-object)# host 192.168.100.80
ciscoasa(config-network-object)# nat (dmz,outside) static global_http
ciscoasa(config-network-object)# exit
做好以后在HTTP上测试连通性
4：在R1上配置DHCP server，R2和SW1启用DHCP relay，保证内部PC可以获得IP地址
R1(config)#service dhcp
R1(config)#ip dhcp pool vlan2
R1(dhcp-config)#network 172.16.12.0 255.255.255.0
R1(dhcp-config)#default-router 172.16.12.100
R1(dhcp-config)#exit
R1(config)#ip dhcp pool vlan3
R1(dhcp-config)#network 172.16.13.0 255.255.255.0
R1(dhcp-config)#default-router 172.16.13.100
R1(dhcp-config)#exit
R2(config)#int e0/1.2
R2(config-subif)#ip helper-address 192.168.12.1
R2(config-subif)#exit
R2(config)#int e0/1.3
R2(config-subif)#ip helper-address 192.168.12.1
R2(config-subif)#exit
SW1(config)#int vlan 2
SW1(config-if)#ip helper-address 192.168.13.1
SW1(config-if)#exit
SW1(config)#int vlan 3
SW1(config-if)#ip helper-address 192.168.13.1
SW1(config-if)#exit
内部服务器使用固定的IP地址
WEB_SERVER(config)#int e0/0
WEB_SERVER(config-if)#ip add 172.16.12.1 255.255.255.0
WEB_SERVER(config-if)#no shu
WEB_SERVER(config-if)#exit
WEB_SERVER(config)#no ip routing
WEB_SERVER(config)#ip de
WEB_SERVER(config)#ip default-g
WEB_SERVER(config)#ip default-gateway 172.16.12.100
PC(config)#int e0/0
PC(config-if)#ip add dhcp
PC(config-if)#no shutdown
PC(config-if)#exit
PC(config)#no ip routing
PC#sh ip itn b
*Mar 1 00:38:36.331: %SYS-5-CONFIG_I: Configured from console by console
PC#sh ip int b
Interface IP-Address OK? Method Status Protocol Ethernet0/0 172.16.13.1 YES DHCP up up
PC已经通过DHCP获得地址
5：HSRP负载均衡
R2(config)#int e0/1.2
R2(config-subif)#standby 1 preempt
R2(config-subif)#standby 1 ip 172.16.12.100
R2(config-subif)#standby 1 priority 200
R2(config-subif)#standby 1 track e0/0 120
R2(config-subif)#exit
R2(config)#int e0/1.3
R2(config-subif)#standby 2 preempt
R2(config-subif)#standby 2 ip 172.16.13.100
SW1(config)#int vlan 2
SW1(config-if)#standby 1 preempt
SW1(config-if)#standby 1 ip 172.16.12.100
SW1(config-if)#exit
SW1(config)#int vlan 3
SW1(config-if)#standby 2 preempt
SW1(config-if)#standby 2 ip 172.16.13.100
SW1(config-if)#standby 2 priority 200
SW1(config-if)#standby 2 track f0/1 120
SW1(config-if)#exit
配置完成后检查状态是否正常
R2#sh standby brief
P indicates configured to preempt.
|
Interface Grp Prio P State Active Standby Virtual IP
Et0/1.2 1 200 P Active local 172.16.12.13 172.16.12.100 Et0/1.3 2 100 P Standby 172.16.13.13 local 172.16.13.100
SW1#sh standby brief
P indicates configured to preempt.
|
Interface Grp Prio P State Active Standby Virtual IP
Vl2 1 100 P Standby 172.16.12.12 local 172.16.12.100
Vl3 2 200 P Active local 172.16.13.12 172.16.13.100
6：SW2 和SW3 之间的链路做冗余备份并且保证负载均衡
SW2(config)#spanning-tree vlan 2 root primary
SW2(config)#spanning-tree vlan 3 root secondary
SW3(config)#spanning-tree vlan 2 root secondary
SW3(config)#spanning-tree vlan 3 root primary
7：SW2,SW3上做DHCP SNOOPING 和DAI
SW2
Ip dhcp snooping
Ip dhcp snooping database werite-relay 15
Ip dhcp snooping database flash:/snoop1.db
Ip dhcp snooping vlan 2
Ip dhcp snooping vlan 3
Int r f0/1 -4
Ip dhcp snooping trust 所有trunk配置为trust，允许转发DHCP 的请求和回复
Int r f0/12 -13
Ip dhcp snooping limit rate 5 对access接口做DHCP 请求的限速，防止DHCP 的DDOS攻击由于内部WEB服务器使用的是静态IP，所以需要ARP ACL来放行服务器的流量
Arp access-list arp_acl permit ip 172.16.12.1 mac 0002.0002.0002
Ip arp inspection filter arp_acl vlan 2
Ip arp inspection vlan 2
Ip arp inspection vlan 3
Int r f0/1 - 4
Ip arp inspection trust所有trunk配置为trust
SW3
Ip dhcp snooping
Ip dhcp snooping database werite-relay 15
Ip dhcp snooping database flash:/snoop1.db
Ip dhcp snooping vlan 2
Ip dhcp snooping vlan 3
Int r f0/3 -4
Ip dhcp snooping trust 所有trunk配置为trust，允许转发DHCP 的请求和回复Int r f0/12 -13
Ip dhcp snooping limit rate 5
Ip arp inspection vlan 2
Ip arp inspection vlan 3
Int r f0/1 - 4
Ip arp inspection trust
8: R4 配置为PPPOE的server，外部移动办公人员使用PPPOE拨号上网
R4(config)#vpdn enable
R4(config)#vpdn-group ADSL
R4(config-vpdn)#accept-dialin
R4(config-vpdn-acc-in)#protocol pppoe
R4(config-vpdn-acc-in)#exi
R4(config-vpdn)#bba-group pppoe global
R4(config-bba-group)#virtual-template 1
R4(config-bba-group)#exit
R4(config)#int virtual-template 1
R4(config-if)# ip unnumbered e0/3
R4(config-if)#encapsulation ppp
R4(config-if)#ppp authentication pap
R4(config-if)#peer default ip address pool pool
R4(config-if)#exit
R4(config)#ip local pool pool 123.1.1.1 123.1.1.100 R4(config)#username cisco password cisco
R4(config)#int e0/3
R4(config-if)#pppoe enable
R4(config-if)#exit
配置完成以后在PC上测试是否能够正常拨号PPPOE
添加新的网络连接
点击连接
已经成功拨号了。

9：R1配置为EZVPN server
R1(config)#aaa new-model
R1(config)#aaa authentication login nocon none R1(config)#line console 0
R1(config-line)#login authentication nocon
R1(config)#aaa authentication login ezvon local
R1(config)#aaa authorization network ezvpn local
R1(config)#username cisco password cisco
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash sha
R1(config-isakmp)#group 2
R1(config-isakmp)#exit
R1(config)#crypto isakmp client configuration group ezvpngroup
R1(config-isakmp-group)#acl 101 定义分离隧道
R1(config-isakmp-group)#key cisco123
R1(config-isakmp-group)#pool pool
R1(config-isakmp-group)#exit
R1(config)#access-list 101 permit ip 172.16.12.0 0.0.0.255 any
R1(config)#access-list 101 permit ip 172.16.13.0 0.0.0.255 any 到总部内网的流量走VPN，其他流量正常走internet
R1(config)#ip local pool pool 172.16.1.1 172.16.1.100
R1(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac
R1(cfg-crypto-trans)#exit
R1(config)#crypto dynamic-map dmap 10
R1(config-crypto-map)#set transform-set myset
R1(config-crypto-map)#reverse-route 开启反向路由注入
R1(config-crypto-map)#exit
R1(config)#crypto map map isakmp authorization list ezvpn
R1(config)#crypto map map client configuration address respond
R1(config)#crypto map map client authentication list ezvpn
R1(config)#int e0/3
R1(config-if)#cry
R1(config-if)#crypto map map
现在EZVPN已经配置完成了，但是外部想要拨号进来的话需要在防火墙上放行UDP 500 和UDP 4500，而且还需要在ASA上对R1 的e0/3地址做静态NAT
ciscoasa(config)# object network global_ezvpn
ciscoasa(config-network-object)# host 202.100.1.101
ciscoasa(config-network-object)# exit
ciscoasa(config)# object network ezvpn
ciscoasa(config-network-object)# host 10.1.1.1
ciscoasa(config-network-object)# nat (inside,outside) static global_ezvpn
ciscoasa(config-network-object)# exit
ciscoasa(config)# access-list outacl permit udp any host 10.1.1.1 eq 500
ciscoasa(config)# access-list outacl permit udp any host 10.1.1.1 eq 4500
在PC上装好EZVPN 的client后拨号
这里提示输入用户名和密码说明已经没有问题了
已经成功拨号ezvpn，并且分离隧道也已经做好了，可以在PC上测试
可以正常访问internet
公司内网服务器也可以访问了
10：对访问公司内网的WEB 服务器的流量，ASA需要对其做截取认证
在ASA上做静态NAT映射172.16.12.1 到202.100.1.102
ciscoasa(config)# object network global_web
ciscoasa(config-network-object)# host 202.100.1.102
ciscoasa(config-network-object)# exit
ciscoasa(config)# object network web
ciscoasa(config-network-object)# host 172.16.12.1
ciscoasa(config-network-object)# nat (inside,Outside) static global_web ciscoasa(config-network-object)# exit
ciscoasa(config)# access-list auth permit tcp any host 172.16.12.1 eq 80 ciscoasa(config)# aaa authentication match auth outside LOCAL ciscoasa(config)# username cisco password cisco
对访问172.16.12.1的HTTP流量做认证，认证采用本地数据库
做完以后还要在ASA上放行访问内部WEB的流量
ciscoasa(config)# access-list outacl permit tcp any host 172.16.12.1 eq 80
11：在ASA配置策略防止DDOS攻击
ciscoasa(config)# class-map http
ciscoasa(config-cmap)# match port tcp eq 80
ciscoasa(config-cmap)# exit
ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class http
ciscoasa(config-pmap-c)# set connection conn-max 1000 ciscoasa(config-pmap-c)# set connection embryonic-conn-max 500 ciscoasa(config-pmap-c)# exit
ciscoasa(config-pmap)# exit
ciscoasa(config)# class-map web
ciscoasa(config-cmap)# match access-list auth
ciscoasa(config-cmap)# exit
ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class web
ciscoasa(config-pmap-c)# set connection embryonic-conn-max 100 ciscoasa(config-pmap-c)# exit
ciscoasa(config-pmap)# exit
ciscoasa(config)# class-map any
ciscoasa(config-cmap)# mat
ciscoasa(config-cmap)# match any
ciscoasa(config-cmap)# exit
ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class any
ciscoasa(config-pmap-c)# set connection timeout idle 0:10:00 ciscoasa(config-pmap-c)# set connection timeout dcd 0:05:00 3 12：禁止内部用户访问
在ASA上采用干掉DNS请求中有taobao关键字的流量
ciscoasa(config)# regex taobao taobao
ciscoasa(config)# class-map type inspect dns L7-dns-class ciscoasa(config-cmap)# match domain-name regex taobao ciscoasa(config-cmap)# exit
ciscoasa(config)# policy-map type inspect dns L7-dns-policy ciscoasa(config-pmap)# class L7-dns-class
ciscoasa(config-pmap-c)# drop log
ciscoasa(config-pmap-c)# exit
ciscoasa(config-pmap)# exit
ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class inspection_default
ciscoasa(config-pmap-c)# no inspect dns
ciscoasa(config-pmap-c)# inspect dns L7-dns-policy
ciscoasa(config-pmap-c)# exit
ciscoasa(config-pmap)# exit
内部PC打开DNS服务，把DNS服务器指到202.100.1.1
PC(config)#ip domain-lookup
PC(config)#ip name-server 202.100.1.1
在ASA上开启日志
ciscoasa(config)# logging on
ciscoasa(config)# logging console 7
在PC上输入
PC#
Translating ""...domain server (202.100.1.1)
在ASA上看到一下输出信息
ciscoasa(config)# %ASA-7-710005: UDP request discarded from 10.1.1.254/59030 to inside:224.0.0.252/5355
%ASA-7-710005: UDP request discarded from 10.1.1.254/59030 to inside:224.0.0.252/5355
%ASA-7-710005: UDP request discarded from 192.168.204.1/59030 to outside:224.0.0.252/5355
%ASA-7-609001: Built local-host inside:172.16.13.1
%ASA-7-609001: Built local-host outside:202.100.1.1
%ASA-6-305011: Built dynamic UDP translation from inside:172.16.13.1/57997 to outside:202.100.1.100/29128
%ASA-6-302015: Built outbound UDP connection 84 for outside:202.100.1.1/53 (202.100.1.1/53) to inside:172.16.13.1/57997 (202.100.1.100/29128)
%ASA-4-410003: DNS Classification: Dropped DNS request (id 1) from inside:172.16.13.1/57997 to outside:202.100.1.1/53; matched Class 24: L7-dns-class
%ASA-4-410003: DNS Classification: Dropped DNS request (id 1) from inside:172.16.13.1/57997 to outside:202.100.1.1/53; matched Class 24: L7-dns-class
%ASA-4-410003: DNS Classification: Dropped DNS request (id 1) from inside:172.16.13.1/57997 to outside:202.100.1.1/53; matched Class 24: L7-dns-class
%ASA-7-710005: UDP request discarded from 10.1.1.254/59966 to inside:224.0.0.252/5355
%ASA-7-710005: UDP request discarded from 10.1.1.254/59966 to inside:224.0.0.252/5355
%ASA-7-710005: UDP request discarded from 192.168.204.1/59966 to outside:224.0.0.252/5355
%ASA-7-710005: UDP request discarded from 10.1.1.254/50471 to
inside:224.0.0.252/5355
%ASA-7-710005: UDP request discarded from 10.1.1.254/50471 to inside:224.0.0.252/5355
%ASA-7-710005: UDP request discarded from 192.168.204.1/50471 to outside:224.0.0.252/5355
%ASA-6-305011: Built dynamic UDP translation from inside:172.16.13.1/52749 to outside:202.100.1.100/46069
%ASA-6-302015: Built outbound UDP connection 85 for outside:202.100.1.1/53 (202.100.1.1/53) to inside:172.16.13.1/52749 (202.100.1.100/46069)
%ASA-4-410003: DNS Classification: Dropped DNS request (id 2) from inside:172.16.13.1/52749 to outside:202.100.1.1/53; matched Class 24: L7-dns-class
%ASA-4-410003: DNS Classification: Dropped DNS request (id 2) from inside:172.16.13.1/52749 to outside:202.100.1.1/53; matched Class 24: L7-dns-class
请求已经被干掉了
12：R1 和R3之间建立L2L 的IPSec VPN ,方便公司分部访问总部
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash sha
R1(config-isakmp)#group 2
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 0 cisco add 202.102.1.3
R1(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac
R1(cfg-crypto-trans)#exit
R1(config)#access-list 199 permit ip 172.16.12.0 0.0.0.255 3.3.3.0 0.0.0.255
R1(config)#access-list 199 permit ip 172.16.13.0 0.0.0.255 3.3.3.0 0.0.0.255
R1(config)#crypto map map 20 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R1(config-crypto-map)#set transform-set myset
R1(config-crypto-map)#set peer 202.102.1.3
R1(config-crypto-map)#match add 199
这个map 在EZVPN 中已经调用了，这里就不用调用了
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#hash sha
R3(config-isakmp)#group 2
R3(config-isakmp)#exit
R3(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac
R3(cfg-crypto-trans)#exit
R3(config)#crypto isakmp key 0 cisco add 202.100.1.101
R3(config)#crypto map map 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R3(config-crypto-map)#set transform-set myset
R3(config-crypto-map)#set peer 202.100.1.101
R3(config-crypto-map)#match add 100
R3(config-crypto-map)#exit
R3(config)#access-list 100 permit ip 3.3.3.0 0.0.0.255 172.16.12.0 0.0.0.255 R3(config)#access-list 100 permit ip 3.3.3.0 0.0.0.255 172.16.13.0 0.0.0.255 R3(config)#int e0/1
R3(config-if)#cry
R3(config-if)#crypto map map
R3(config-if)#exit
三、web服务器
Windows Server 2003没有安装IIS 6.0，要通过控制面板来安装。

具体做法为:
（1）进入“控制面板”。

（2）双击“添加或删除程序”。

（3）单击“添加/删除Windows 组件”。

（4）在“组件”列表框中，双击“应用程序服务器”。

（5）双击“Internet 信息服务(IIS)”。

（6）从中选择“万维网服务”及“文件传输协议(FTP)服务”。

（7）双击“万维网服务”，从中选择“Active Server Pages”及“万维网服务”等。

安装好IIS后，接着设置Web服务器，具体做法为:
（1）“开始”菜单中选择“管理工具→Internet信息服务(IIS)管理器”。

（2）“Internet 信息服务(IIS)管理器”中双击“本地计算机”。

（3）击“网站”，在弹出菜单中选择“新建→网站”，打开“网站创建向导”。

（4）次填写“网站描述”、“IP 地址”、“端口号”、“路径”和“网站访问权限”等。

最后，为了便于访问还应设置默认文档(Index.asp、Index.htm)。

四、群集服务配置
1．创建共享磁盘
在E目录下新建一个ShareDisks文件夹，用来保存虚拟仲裁文件和数据磁盘文件。

2．在两个节点分别新建硬盘
3．进入node a 所对应的虚拟系统目录(不是虚拟机软件安装目录)，找到.vmx （VMware 配置
文件），用记事本打开，在最后添加如下记录:
disk.locking ="false"
diskLib.dataCacheMaxSize ="0"
scsi1.present ="TRUE"
scsi1.virtualDev ="lsilogic"
scsi1:5.present ="TRUE"
scsi1:5.fileName ="E:\ShareDisks\Quorum.vmdk" （注意新建的磁盘名应与两个节点在记事本上复制的内容相对应）
scsi1:6.present ="TRUE"
scsi1:6.fileName="E:\ShareDisks\ShareDisk.vmdk"
Ip划分：
B：为域控制器
Ip:192.168.1.254
网关：192.168.1.1
DNS:192.168.1.254
C
公用网卡
IP：192.168.1.2
网关：192.168.1.1
DNS:192.168.1.254
心跳网卡：
Ip：10.0.0.1
D：
公用网卡：（注意：两个节点都必需设置好两块网卡，两个网卡最好命名为公用连接和心跳连接）Ip：192.168.1.3
网关：192.168.1.1
DNS:192.168.1.254
心跳网卡：
Ip：10.0.0.2
4．设置网络服务访问优先级，优先访问公用连接
右击网上邻居属性---高级选项卡---高级设置，将公用连接至于顶上。

5．按照下图修改心跳网卡的高级TCP/IP 属性，目的是禁止心跳网卡的DNS 和NetBios查询并且DNS 后缀也不勾选。

这样能够消除可能出现的通信问题，也有利于减少不必要的网络流量。

因为服务器
群集节点间的通信对于群集的顺畅运转至关重要。

6．在域控制器中新建一个用户
(注意：test用户必须设置密码并符合密码复杂度)
7．两节点都加入域
（注意：所有的地方bbb都是是域控制器，因为所有的是三次截的图，所以后面做的我就没有截图）
8.在两个节点上都将在域里新建的用户test加入到组里去
9.用test身份登录其中一个节点时，注意另一个节点必须关闭电源，两个节点先后都要以test身份登录
10.用test身份登录后，打开计算机管理，单击磁盘管理，它会自动创建磁盘
11.右击自动创建的磁盘1和2，手动创建磁盘分区卷
12.其中一个节点新建群集，只用创建一个群集，另外一个节点直接选用现有群集即可（注意：安装时需设置仲裁为多数节点集。

）
13.另一个节点打开现有集群后，右键单击已打开的群集名，添加节点
14.对群集设置属性如下：。