PAGE1PAGE13單元任務書29_睿智網絡公司網絡建設與割接綜合項目任務目標：能夠綜合應用網絡組建的NAT、OSPF、ACL技術會進行網絡工程的割接學習形式小組協作，分別完成英語詞匯：Networkmanagement：網絡管理OSPF（OpenShortestPathFirstInteriorGatewayProtocol）開放式最短路徑優先Backbonearea：骨干區域Stubarea：末梢區域VLSM（Variable-LengthSubnetMasks）：變長子網掩碼ABR(AreaBorderRouters)：區域邊界路由器ASBR(AutonomousSystemBorderRouter)：自治系統邊界路由器SNMP(SimpleNetworkManagementProtocol)：簡單網絡管理協議SolarWinds：一款網管軟件NetworkCutover：網絡割接實踐任務：任務：睿智網絡公司網絡建設與割接綜合項目子任務1：網絡建設網絡現狀：隨著公司的發展，Benet公司立足于北京面向全國已經發展成為一個全國性的大型汽車公司，在大部分省市設立了銷售和維修網點，并建立了多家分公司。隨著公司規模的擴大，公司對網絡有了越來越大的依賴性，最初的網絡結構已經不能滿足現有企業的需要，對網絡的整改勢在必行。在公司發展的過程中，Benet公司已經建成了一個完善的網絡結構，如下圖所示。Benet總公司已經建成了有兩臺6500系列交換機做核心熱備份的網絡，并且各個分公司和各省總銷售網點的網關路由器（Cisco7206）均使用E1專線接入到總公司的R0路由器（Cisco7206）。Benet公司的網絡使用OSPF路由協議來實現內部網絡的互通，區域的分化如下圖所示，總公司為骨干區域，各個分公司或各省的總銷售網點為一個標準區域。建設目標：Benet公司已經建成了一個多節點、橫跨全國的大型通訊網絡。總體的網絡情況如下：路由情況，Benet公司使用OSPF協議，按照OSPF分層路由的設計將Benet公司分為骨干區域和所有其他區域的兩層結構。總公司及各分公司內部的網絡規劃。內部局域網使用接入交換機分別和兩臺核心三層交換機相連，并且所有局域網vlan都在核心交換機上進行vlan間路由。兩臺核心交換機使用熱備份技術（HSRP），并且使用負載均衡技術。OSPF區域規劃和IP地址規劃。總公司為骨干區域Area0，其他區域號可以根據分配的IP地址或分公司所在的市的區號而定，這樣既便于識別也好記。IP地址規劃，考慮到網絡的擴展性和靈活性，同時充分考慮路由匯總以減少路由表的規模，特使用VLSM技術，基于以上考慮，Benet公司內部網絡采用10.0.0.0/8網段，并給每個區域分配一個B類的地址。實驗過程中，為了降低難度，簡化拓撲圖如下：網絡規劃如下：公司從ISP處獲得的公網合法地址段為61.59.10.0/26，互聯地址為192.168.0.0/30，在公網地址61.59.10.0/27中為NAT地址池做PAT轉換，61.59.10.32/27留給內部服務器使用，61.59.10.62為內部Web服務器的IP地址公司內部設備的互聯地址為：R0和R1中之間互聯地址為10.100.0.0/30，R0和SW1之間的互聯地址為10.0.0.0/30Loopback地址：R0的Loopback地址為10.0.1.1，R1的Loopback地址為10.1.1.1，SW1的Loopback地址為10.0.1.2財務部屬于vlan2，IP地址為10.0.2.0/24；服務器區屬于vlan3，IP地址為10.0.3.0/24，網絡監控區屬于vlan10，IP地址為10.0.10.0/24公司內部啟用OSPF協議，區域如圖中所示，并使用Loopback地址作為RouterID為SW1、SW2、SW3、SW4配置interfacevlan1的接口，IP地址分別是10.0.100.1/24、10.0.100.2/24、10.0.100.3/24、10.0.100.10/24配置網絡監控軟件SolarWinds并監控個別的Loopback地址、二層交換機的vlan1虛接口地址（此步實驗中可不做）財務服務器的IP地址為10.0.3.2/24，Web服務器的IP地址為10.0.3.3/24使用Loopback地址模擬上海分公司的內網地址及公網用戶，路由器ISP的Loopback1的IP地址為61.59.12.2/24，R1的Loopback1的IP地址為10.1.2.1/24需求描述：總公司和分公司之間使用OSPF路由協議實現公司內網互通，區域劃分如上圖所示財務信息屬于保密信息，所以Benet公司要求除財務人員外，其他人員都不得訪問財務服務器所有分公司和銷售總網點通過總公司訪問Internet公司內部有一臺Web服務器并在網關設備處設置了靜態NAT，以保證外網能夠訪問Web服務器網絡建設推薦步驟：（需要packettracer6.1來完成）配置計算機IP地址、配置Benet內部網絡二層交換機，包括：創建vlan、設置中繼口、將連接客戶機的接口加入相應vlan、配置網管地址、配置默認網關地址配置三層交換機，包括：創建vlan、trunk，上聯接口、Loopback地址，vlan2、vlan3、vlan10虛接口地址，ospf協議配置路由器及OSPF協議實現網絡互通：ISP路由器配置接口及靜態路由；R0配置接口地址、默認路由，OSPF及地址匯總、默認路由重分發；R1配置接口地址、OSPF配置NAT和ACL實現公司要求，并實現公司內網訪問Internet：R0配置動態NAT和靜態NAT；SW1配置ACL，限制訪問財務處服務器對網絡設備配置SNMP，配置網絡管理軟件，并通過網絡管理軟件監控網絡（對各網絡設備配置SNMP，否則網絡管理軟件SolarWinds監控不了）子任務2：網絡割接：前面是Benet公司的現網情況，通過網絡拓撲和規范分析，該網絡構架存在一個問題，就是總公司的網關路由器在內網的OSPF網絡中既是ABR又是ASBR，而且所有的區域路由匯總均配置在此路由器上。這樣會導致總公司網關路由器的路由表過大，而且LSDB過大，LSA報文過多，而占用的路由器資源較大對網絡的穩定是一個較大的隱患。基于以上原因，Benet公司決定進行一次割接，讓各分公司或總銷售網點的路由器成為各區域的ABR，并在此路由器上進行路由匯總。如下圖所示：這樣OSPF協議將網絡分為兩層，一個骨干區域和若干個相互獨立的邊緣區域。這樣每個路由器的LSDB可以保持合理的大小，報文的數量也不會過大，路由匯總的配置可以分散到各個分公司的網關路由器，減少總公司網關路由器的壓力。簡化后的網絡割接拓撲圖如下：割接配置步驟：（需要packettracer6.1來完成）進行割接準備工作進行割接觀察網絡管理軟件，并查看告警信息驗證割接結果課外拓展練習：IBGP和EBGP基本配置（參看教材“高級路由交換技術”任務25）項目目的:通過本項目掌握：（1）啟動BGP路由進程（2）BGP進程中通告網絡（3）IBGP鄰居配置（4）EBGP鄰居配置（5）BGP路由更新源配置（6）next-hop-self配置（7）BGP路由匯總配置（8）BGP路由調試拓撲結構圖因為本項目中IBGP的路由器（R1,R2和R3）形成全互聯（FULLMESH）的鄰居關系，所以路由器R1、R2和R3均關閉同步。IBGP路由器之間運行的IGP是EIGRP,為了提供BGP建立鄰居關系的TCP連接和BGP下一跳可達。實驗步驟（用PT6.1完成）（1）步驟1：配置路由器R1R1(config)#routereigrp1R1(config-router)#network1.1.1.0255.255.255.0R1(config-router)#network12.12.12.0255.255.255.0R1(config-router)#noauto-summaryR1(config)#routerbgp100R1(config-router)#nosynchronizationR1(config-router)#bgprouter-id1.1.1.1R1(config-router)#neighbor2.2.2.2remote-as100R1(config-router)#neighbor2.2.2.2update-sourceLoopback0R1(config-router)#neighbor3.3.3.3remote-as100R1(config-router)#neighbor3.3.3.3update-sourceLoopback0R1(config-router)#network1.1.1.0mask255.255.255.0R1(config-router)#noauto-summary（2）步驟2：配置路由器R2R2(config)#routereigrp1R2(config-router)#network2.2.2.0255.255.255.0R2(config-router)#network12.12.12.0255.255.255.0R2(config-router)#network23.23.23.0255.255.255.0R2(config-router)#noauto-summaryR2(config)#routerbgp100R2(config-router)#nosynchronizationR2(config-router)#bgprouter-id2.2.2.2R2(config-router)#neighbor1.1.1.1remote-as100R2(config-router)#neighbor1.1.1.1update-sourceLoopback0R2(config-router)#neighbor3.3.3.3remote-as100R2(config-router)#neighbor3.3.3.3update-sourceLoopback0R2(config-router)#noauto-summary（3）步驟1：配置路由器R3R3(config)#routereigrp1R3(config-router)#network3.3.3.0255.255.255.0R3(config-router)#network23.23.23.0255.255.255.0R3(config-router)#noauto-summaryR3(config)#routerbgp100R3(config-router)#nosynchronizationR3(config-router)#bgprouter-id3.3.3.3R3(config-router)#neighbor1.1.1.1remote-as100R3(config-router)#neighbor1.1.1.1update-sourceLoopback0R3(config-router)#neighbor1.1.1.1next-hop-selfR3(config-router)#neighbor2.2.2.2remote-as100R3(config-router)#neighbor2.2.2.2update-sourceLoopback0R3(config-router)#neighbor2.2.2.2next-hop-selfR3(config-router)#neighbor34.34.34.4remote-as200R3(config-router)#noauto-summary（4）步驟1：配置路由器R4R4(config)#routerbgp200R4(config-router)#nosynchronizationR4(config-router)#bgprouter-id4.4.4.4R4(config-router)#neighbor34.34.34.3remote-as100R4(config-router)#noauto-summaryR4(config-router)#network4.4.0.0mask255.255.255.0R4(config-router)#network4.4.1.0mask255.255.255.0R4(config-router)#network4.4.2.0mask255.255.255.0R4(config-router)#network4.4.3.0mask255.255.255.0R4(config-router)#network4.4.0.0mask255.255.252.0R4(config)#iproute4.4.0.0255.255.252.0null0

綜合項目的答案：*網絡建設推薦步驟：（需要packettracer6.1來完成）配置計算機IP地址、配置Benet內部網絡二層交換機，包括：創建vlan、設置中繼口、將連接客戶機的接口加入相應vlan、配置網管地址、配置默認網關地址SW2的配置如下：Switch(config)#hostSW2//主機命名SW2(config)#vlan2SW2(config-vlan)#exitSW2(config)#intf0/24//設置中繼模式SW2(config-if)#switchportmodetrunkSW2(config-if)#exitSW2(config)#intf0/1//端口加入相應vlanSW2(config-if)#switchportaccessvlan2SW2(config-if)#exitSW2(config)#intvlan1//配置管理地址SW2(config-if)#ipadd10.0.100.2255.255.255.0SW2(config-if)#noshutSW2(config-if)#exitSW2(config)#ipdefault-gateway10.0.100.1//配置默認網關SW3的配置如下：Switch(config)#hostSW3SW3(config)#vlan3SW3(config-vlan)#exitSW3(config)#intf0/24SW3(config-if)#swmodetrunkSW3(config-if)#exitSW3(config)#intrangef0/1-2//端口加入相應vlanSW3(config-if-range)#swaccessvlan3SW3(config-if-range)#exitSW3(config)#intvlan1SW3(config-if)#ipadd10.0.100.3255.255.255.0SW3(config-if)#noshutSW3(config-if)#exitSW3(config)#ipdefault-gateway10.0.100.1SW4的配置如下：Switch(config)#hostSW4SW4(config)#vlan10SW4(config-vlan)#exitSW4(config)#intf0/24SW4(config-if)#swmotrunkSW4(config-if)#exitSW4(config)#intf0/1SW4(config-if)#swaccessvlan10SW4(config-if)#exitSW4(config)#intvlan1SW4(config-if)#ipadd10.0.100.10255.255.255.0SW4(config-if)#noshutSW4(config-if)#exitSW4(config)#ipdefault-gateway10.0.100.1配置三層交換機，包括：創建vlan、trunk，上聯接口、Loopback地址，vlan2、vlan3、vlan10虛接口地址，ospf協議Switch(config)#hostnameSW1SW1(config)#vlan2SW1(config-vlan)#exitSW1(config)#vlan3SW1(config-vlan)#exitSW1(config)#vlan10SW1(config-vlan)#exitSW1(config)#intrangef0/1-3//設置下聯二層交換機的端口為trunkSW1(config-if-range)#switchporttrunkencapsulationdot1qSW1(config-if-range)#swmodetrunkSW1(config-if-range)#exitSW1(config)#intf0/24//上聯口改為三層口SW1(config-if)#noswitchportSW1(config-if)#ipadd10.0.0.2255.255.255.252SW1(config-if)#noshutSW1(config-if)#exitSW1(config)#intloop0SW1(config-if)#ipadd10.0.1.2255.255.255.255SW1(config-if)#noshutSW1(config-if)#exitSW1(config)#intvlan2//設置各vlan虛接口地址，實現各vlan互通SW1(config-if)#ipadd10.0.2.1255.255.255.0SW1(config-if)#noshutSW1(config-if)#exitSW1(config)#intvlan3SW1(config-if)#ipadd10.0.3.1255.255.255.0SW1(config-if)#noshutSW1(config-if)#exitSW1(config)#intvlan10SW1(config-if)#ipadd10.0.10.1255.255.255.0SW1(config-if)#noshutSW1(config-if)#exitSW1(config)#intvlan1//設置管理地址SW1(config-if)#ipadd10.0.100.254255.255.255.0SW1(config-if)#noshutSW1(config-if)#exitSW1(config)#iprouting//啟用路由SW1(config)#routerospf1//配置OSPF，宣告所連網絡SW1(config-router)#router-id10.0.1.2SW1(config-router)#network10.0.1.20.0.0.0area0SW1(config-router)#network10.0.0.00.0.0.3area0SW1(config-router)#network10.0.2.00.0.0.255area0SW1(config-router)#network10.0.3.00.0.0.255area0SW1(config-router)#network10.0.10.00.0.0.255area0SW1(config-router)#network10.0.100.00.0.0.255area0SW1(config-router)#exit配置路由器及OSPF協議實現網絡互通：ISP路由器配置接口及靜態路由；R0配置接口地址、默認路由，OSPF及地址匯總、默認路由重分發；R1配置接口地址、OSPF配置ISP路由器：Router(config)#hostISPISP(config)#intf0/0ISP(config-if)#ipadd192.168.0.1255.255.255.252ISP(config-if)#noshutISP(config-if)#exitISP(config)#intloopback0ISP(config-if)#ipadd61.59.12.2255.255.255.0ISP(config-if)#noshutISP(config-if)#exitISP(config)#iproute61.59.10.0255.255.255.192192.168.0.2//配置靜態路由，訪問內部網絡nat轉換后的地址則發往192.168.0.2端口ISP(config)#配置R0Router(config)#hostR0R0(config)#intf0/0R0(config-if)#ipadd192.168.0.2255.255.255.252R0(config-if)#noshutR0(config-if)#exitR0(config)#intf0/1R0(config-if)#ipadd10.0.0.1255.255.255.252R0(config-if)#noshutR0(config-if)#exitR0(config)#intf1/0R0(config-if)#ipadd10.100.0.1255.255.255.252R0(config-if)#noshutR0(config-if)#exitR0(config)#intloopback0R0(config-if)#ipadd10.0.1.1255.255.255.0R0(config-if)#noshutR0(config-if)#exitR0(config)#routerospf1//配置OSPF，宣告所連網絡R0(config-router)#router-id10.0.1.1R0(config-router)#network10.0.1.10.0.0.0area0R0(config-router)#network10.100.0.00.0.0.3area1R0(config-router)#network10.0.0.00.0.0.3area0R0(config-router)#area0range10.0.0.0255.255.0.0//區域0地址匯總R0(config-router)#area1range10.1.0.0255.255.0.0//區域1地址匯總R0(config-router)#default-informationoriginate//默認路由重分發到ospfR0(config-router)#exitR0(config)#iproute0.0.0.00.0.0.0192.168.0.1//配置默認路由配置R1：Router(config)#hostR1R1(config)#intf0/0R1(config-if)#ipadd10.100.0.2255.255.255.252R1(config-if)#noshutR1(config-if)#exitR1(config)#intloop0R1(config-if)#ipadd10.1.1.1255.255.255.255R1(config-if)#noshutR1(config-if)#exitR1(config)#intloop1R1(config-if)#ipadd10.1.2.1255.255.255.0R1(config-if)#noshutR1(config-if)#exitR1(config)#routerospf1//配置OSPF，宣告所連網絡R1(config-router)#router-id10.1.1.1R1(config-router)#network10.1.1.10.0.0.0area1R1(config-router)#network10.100.0.00.0.0.3area1R1(config-router)#network10.1.2.00.0.0.255area1R1(config-router)#exit配置NAT和ACL實現公司要求，并實現公司內網訪問Internet：R0配置動態NAT和靜態NAT；SW1配置ACL，限制訪問財務處服務器配置R0：R0(config)#access-list100denyipany10.0.0.00.255.255.255//配置ACL，此處指定外網地址不能訪問10.0.0.0/8內部網絡R0(config)#access-list100permitipanyany//允許其他網絡互訪R0(config)#ipnatpooltest61.59.10.161.59.10.30netmask255.255.255.224//配置可用于轉換的地址池R0(config)#ipnatinsidesourcelist100pooltestoverload//配置動態NATR0(config)#ipnatinsidesourcestatic10.0.2.361.59.10.62//配置靜態NATR0(config)#intf0/0R0(config-if)#ipnatoutside//指定NAT外部接口R0(config-if)#exitR0(config)#intf0/1R0(config-if)#ipnatinside//指定NAT內部接口R0(config-if)#exitR0(config)#intf1/0R0(config-if)#ipnatinside//指定NAT內部接口R0(config-if)#exit在配置SW1的ACL之前可以先檢測一下全網互通及是否能夠通過NAT訪問外網，可以使用財務部pc進行ping測試R0#showipnattranslations配置SW1：SW1(config)#access-list100permitip10.0.2.00.0.0.25510.0.3.20.0.0.0//配置ACL，此處指定10.0.2.0/24允許