第七章網絡技術綜合應用網絡設備配置與調試案例教程CONTENTS教學目標

本章通過綜合實訓項目的實施，進一步加深讀者對網絡組建方案和網絡設備的了解,提高配置能力。使讀者從最初的了解網絡項目需求分析、設備選型、現場勘查等基本的入門工作到網絡設備配置、調試等全過程的網絡技術工作中來。

通過完成本項目，使讀者進一步掌握網絡技術的選擇、網絡接入的方式、組網模式的選擇、網絡設備的選擇和網絡設備的配置，進一步提高局域網布線和組建的能力，以及相互交流、團隊協作和分析問題的能力。【知識目標】

?了解校園網建設的需求。

?掌握構建安全網絡的策略。

?理解防火墻的作用?！炯寄苣繕恕?/p>

?熟悉防火墻的配置內容。

?能夠進行OSPF配置。

?能夠進行VRRP配置。

CONTENTS7.1校園網升級改造項目7.27.3企業網絡組建項目政府上網工程7.1校園網升級改造項目網絡設備配置與調試案例教程7.1.1項目需求分析校園網的建設目的是給老師和學生提供相應的網絡服務。在網絡搭建的過程中需要對網絡進行VLAN的劃分，從而減小廣播風暴的影響，保證教室、辦公室的網絡安全性。為方便IP地址配置，在整個網絡中實現IP的自動分配等基本功能。一個基本的校園網應具有高速的局域網連接、信息結構多樣化、安全可靠和經濟實用的特點。校園網應以寬帶IP網為目標，具有數據、語音、圖形、圖像等多種信息媒體傳遞功能，具備性能優越的資源共享功能。校園網主干傳輸帶寬應達到1000Mb/s要求，樓宇之間千兆連接。建設校園網的同時必須考慮網絡安全、資源共享和帶寬的要求。校園網建設的具體需求如下：①支持全?，F有的計算機，連接校園內實驗大樓、行政大樓、電教大樓、圖書館和成教大樓等，將本?，F有的及將來要配置的各種PC、工作站和終端通過高性能的網絡設備連接起來，組成分布式、開放性的網絡環境，以提高教育科研水平。②充分利用原有的主干光纜和樓內布線系統，將目前的百兆主干以太網升級到千兆主干以太網、百兆以太網接入到桌面的。同時，保護原有網絡設備投資，將目前運行的網絡產品有效地集成到升級系統中。③在Internet互連網絡系統平臺上，以數據庫系統、Web平臺、電子郵件平臺為基礎，構建內部Intranet系統，與已有系統實現互聯。④網絡與數據安全是目前計算機信息技術所面臨的重要挑戰，解決安全問題的技術與方案有很多，通過防火墻、WebCache服務器確定完整統一的安全策略（Security

Policy）也是校園網可靠運行的保證。⑤考慮與其它學校、科學教育網絡相連，可通過CERNET與國內外其它網絡相連接、實現遠程教學。7.1校園網升級改造項目網絡設備配置與調試案例教程7.1.2項目設計1．拓撲結構

目前的校園網大多數是純三層的交換網絡。由于交換機都具有三層功能，匯聚層一般已經可以與接入層歸納為一個層次。各樓層和各樓之間的交換設備都直接上連到核心設備上。

校園網的簡明拓撲圖如圖所示。

其中校園局域網以三層交換機為交換核心，即網絡中心，下設二層交換機若干，如圖中所示兩臺交換機進行模擬，形成匯聚層。匯聚層交換機用作模擬校園中各個樓宇的網絡節點，在同一個樓宇，如教學樓、學生宿舍樓中依據需求劃分VLAN,隔離網絡風暴，提升網絡安全性和效率。7.1校園網升級改造項目網絡設備配置與調試案例教程2．IP地址設計本項目中IP地址規劃如表所示。樓幢機構端口分配VLANIDVLAN命名網關行政樓黨政辦領導1?18VLAN10DangZheng54人事處19?24VLAN11RenShi54教務處25?27VLAN12JiaoWu54科研財務28?32VLAN13Xz_l_west54研究所33?36VLAN14YanjiuSheng54組織、宣傳、綜合37?42VLAN15XuanChuan54離休等

54紀監、后勤、高教等43?46VLAN17Xz_2_west54電教CAD1?2VLAN18Cad54電教3?4VLAN19DianJiao54計算中心5?10VLAN20ComputerCenter54408自備房11?14VLAN21Student547.1校園網升級改造項目網絡設備配置與調試案例教程樓幢機構端口分配VLANIDVLAN命名網關實驗樓文理學院1?2VLAN22WenLi54機電分院3?4VLAN23JiDian54自動化分院5?6VLAN24ZiDongHua54財經分院7?8VLAN25Caijing54管理分院9?10VLAN26GuanLi54計算機分院11?12VLAN27JiSuanJi54電子分院13?14VLAN28DianZi54通信分院15?16VLAN29Tongxin54信息分院17?18VLAN30XinXi54CAE所19?20VLAN31CAE54設備處21?22VLAN32SB_other54網管23?35VLAN37NIC_1（服務器）5437?42VLAN33NIC_2（備用）5443?48VLAN46NIC_3（學生）54圖書館服務器

VLAN45LIBserver54客戶端1?24VLAN36Lib_l547.1校園網升級改造項目網絡設備配置與調試案例教程7.1.3項目實施1.HUAWEIS5700HUAWEIS5700由工廠根據用戶需求直接安裝好標準配置的模塊，但電源、路由等尚未安裝，所以應先將待安裝的各模塊拆開，裝入S5700的電源插槽。上電檢查S5700的各個模塊的工作狀態是否正常：接入S5700電源，由于S5700有兩個電源作為冗余，所以最好兩個電源分別接入兩路UPS電源上，這樣即使當UPS其中一路電源故障時，不會影響整個S5700交換機的正常遠行，當S5700交換機上電初始化結束后，從面板上的LED燈的狀態可以判斷各個模塊的工作狀態是否正常。2.配置

HUAWEIS5700的系統參數當HUAWEIS5700交換機初始化結束后，就進入系統單機配置階段，包括機器名、口令和遠程登錄等部分的配置。具體配置過程如下：<Huawei>system-view[Huawei]sysnameS5700[S5700]vlan1[S5700-vlan1]descriptionadmin_vlan[S5700]interfaceVlanif1[S5700-Vlanif1]ipaddress247.1校園網升級改造項目網絡設備配置與調試案例教程3.配置Telnet服務。在S5700上配置Telnet服務的具體要求如下：①配置認證方式為AAA認證，認證用戶名為huawei，密碼為huawei。②配置服務類型為Telnet，用戶命令級別為15級。③在vty0到vty4視圖下配置用戶采用AAA的認證方式。具體配置過程如下：[S5700-aaa]local-userhuaweipasswordsimplehuawei[S5700-aaa]local-userhuaweiservice-typetelnet[S5700-aaa]local-userhuaweiprivilegelevel15[S5700]user-interfacevty04[S5700-ui-vty0-4]authentication-modeaaa4.配置HUAWEIS2700HUAWEIS2700系列是華為公司的提供100M上行端口的桌面交換機。具體配置過程如下：[Huawei]sysnameS2700[S2700]vlan1[S2700-vlan1]descriptionadmin_vlan[S2700]interfaceVlanif1[S2700-Vlanif1]ipaddress247.1校園網升級改造項目網絡設備配置與調試案例教程5.配置Telnet服務。在S2700上配置Telnet服務的具體要求如下：①配置認證方式為AAA認證，認證用戶名為huawei，密碼huawei。②配置服務類型為Telnet，用戶命令級別為15級。③在vty0到vty4視圖下配置用戶采用AAA的認證方式。[S2700]aaa[S2700-aaa]local-userhuaweipasswordsimplehuawei[S2700-aaa]local-userhuaweiservice-typetelnet[S2700-aaa]local-userhuaweiprivilegelevel15[S2700-aaa]quit[S2700]user-interfacevty04[S2700-ui-vty0-4]authentication-modeaaa6.配置HUAWEI防火墻USG6000配置USG6000的基本屬性，將USG6000安放至機架，經檢測電源系統正常后，接上電源，對主機進行送電。將Console口連接到PC的串口上，運行”超級終端”，從Console口進入

USG6000系統配置接口IP地址和安全區域，完成網絡基本參數配置。7.1校園網升級改造項目網絡設備配置與調試案例教程①配置接口IP地址。具體配置如下：<NGFW>system-view[NGFW]interfaceGigabitEthernet1/0/1[NGFW-GigabitEthernet1/0/1]ipaddress24[NGFW-GigabitEthernet1/0/1]quit[NGFW]interfaceGigabitEthernet1/0/2[NGFW-GigabitEthernet1/0/2]ipaddress24[NGFW-GigabitEthernet1/0/2]quit②配置接口加入相應安全區域。具體配置如下：[NGFW]firewallzonetrust[NGFW-zone-trust]addinterfaceGigabitEthernet1/0/1[NGFW-zone-trust]quit[NGFW]firewallzoneuntrust[NGFW-zone-untrust]addinterfaceGigabitEthernet1/0/2[NGFW-zone-untrust]quit7.1校園網升級改造項目網絡設備配置與調試案例教程③配置安全策略，允許私網指定網段的指定服務與Internet進行報文交互。具體配置如下：[NGFW]security-policy[NGFW-policy-security]rulenamepolicy_sec_1[NGFW-policy-security-rule-policy_sec_1]source-zonetrust[NGFW-policy-security-rule-policy_sec_1]destination-zoneuntrust[NGFW-policy-security-rule-policy_sec_1]source-address24[NGFW-policy-security-rule-policy_sec_1]servicednsdns-tcppop3smtphttp[NGFW-policy-security-rule-policy_sec_1]actionpermit[NGFW-policy-security-rule-policy_sec_1]quit[NGFW-policy-security]quit④配置NAT地址池，并允許端口轉換，實現公網地址復用。具體配置如下：[NGFW]nataddress-groupaddressgroup1[NGFW-nat-address-group-addressgroup1]section004[NGFW-nat-address-group-addressgroup1]nat-modepat[NGFW-nat-address-group-addressgroup1]quit7.1校園網升級改造項目網絡設備配置與調試案例教程⑤配置源NAT策略，實現私網指定網段訪問Internet時自動進行源地址轉換。具體配置如下：[NGFW]nat-policy[NGFW-policy-nat]rulenamepolicy_nat_1[NGFW-policy-nat-rule-policy_nat_1]source-address24[NGFW-policy-nat-rule-policy_nat_1]source-zonetrust[NGFW-policy-nat-rule-policy_nat_1]destination-zoneuntrust[NGFW-policy-nat-rule-policy_nat_1]actionnataddress-groupaddressgroup1[NGFW-policy-nat-rule-policy_nat_1]quit[NGFW-policy-nat]quit⑥在NGFW上配置缺省路由，使私網流量可以正常轉發至ISP的路由器。具體配置如下：[NGFW]iproute-static54⑦在NGFW上配置黑洞路由，避免NGFW與Router之間產生路由環路。具體配置如下：[NGFW]iproute-static055Null0[NGFW]iproute-static155Null0[NGFW]iproute-static255Null0[NGFW]iproute-static355Null0[NGFW]iproute-static455Null0[NGFW]iproute-static555Null0⑧配置服務器映射功能，創建靜態映射，映射內網的Web服務器。具體配置如下：[NGFW]natserverprotocoltcpglobal5wwwinside54www7.1校園網升級改造項目網絡設備配置與調試案例教程⑤配置源NAT策略，實現私網指定網段訪問Internet時自動進行源地址轉換。具體配置如下：[NGFW]nat-policy[NGFW-policy-nat]rulenamepolicy_nat_1[NGFW-policy-nat-rule-policy_nat_1]source-address24[NGFW-policy-nat-rule-policy_nat_1]source-zonetrust[NGFW-policy-nat-rule-policy_nat_1]destination-zoneuntrust[NGFW-policy-nat-rule-policy_nat_1]actionnataddress-groupaddressgroup1[NGFW-policy-nat-rule-policy_nat_1]quit[NGFW-policy-nat]quit⑥在NGFW上配置缺省路由，使私網流量可以正常轉發至ISP的路由器。具體配置如下：[NGFW]iproute-static54⑦在NGFW上配置黑洞路由，避免NGFW與Router之間產生路由環路。具體配置如下：[NGFW]iproute-static055Null0[NGFW]iproute-static155Null0[NGFW]iproute-static255Null0[NGFW]iproute-static355Null0[NGFW]iproute-static455Null0[NGFW]iproute-static555Null0⑧配置服務器映射功能，創建靜態映射，映射內網的Web服務器。具體配置如下：[NGFW]natserverprotocoltcpglobal5wwwinside54www7.1校園網升級改造項目網絡設備配置與調試案例教程7.1.4項目總結在將整個系統遷移到10M專線的同時，我們將USG6000防火墻放在系統與外部連接處，以提供網絡的安全保障。在進入內部系統后，連接到USG6000內部網段的PC機通過上網計費服務器進入統一管理。對處于Internet服務的WEB、DNS、SMTP和POP3服務器接入USG6000的DMZ段，用于保護應有服務器的安全和對內外提供服務。需要注意的幾點：①防火墻上做了地址轉換，將內部的私有地址轉換成公有地址訪問Internet。②防火墻上開放了用于Internet信息發布所需要的幾個端口，包括TCP的53，23，25，110，80和UDP的53端口，分別用于DNS，SMTP，POP3和WEB等服務。③在防火墻上做了靜態的地址映射將內部地址54映射為5的外部地址。④保護應用服務器的安全，當Internet上的用戶訪問這個公有地址時，防火墻將自動將訪問請求轉給這個公網地址映射的內部私有地址。7.2企業網絡組建項目網絡設備配置與調試案例教程7.2.1項目需求分析

某企業現有300個點，需要建設一個網絡以實現該企業內部的相互通信和與外部的聯系，通過該網絡提高企業的發展和企業內部辦公的信息化、辦公自動化。該企業有15個部門,則需要讓這15個部門能夠通過該網絡訪問Internet,并能實現部門之間信息化的合作。該網絡必須體現辦公的方便性、迅速性、高效性、可靠性、科技性、資源共享、相互通信、信息發布及查詢等功能，以作為支持企業內部辦公自動化、供應鏈管理以及各應用系統運行的基礎設施。

該網絡是一個單核心的網絡結構，采用典型的三層結構，包括核心層、匯聚層和接入層。各部門獨立成區域，防止個別區域發生問題后影響整個網的穩定運行，若某匯聚交換機發生問題只會影響到某幾個部門，該網絡使用VLAN進行隔離，方便員工調換部門。

核心交換機連接3臺匯聚交換機，該核心交換機不但對所有數據進行接收還能進行分流，因此核心交換機必須是高質量的、功能具全的，責任重大的；通過高速轉發，提高優化的、可靠的傳輸結構。通常核心交換機不會承擔訪問列表檢査、數據加密、地址翻譯或者其他影響的最快速率分組的任務。

匯聚層交換機位于接入層和核心層之間，該網絡有3臺匯聚層交換機分擔15個部門的數據交換任務，能幫助定義和分離核心交換機的負載。該層的交換機主要提供一個邊界的定義，并在其內進行分組處理；該層將網絡分段為多個廣播域。匯聚層是將網絡問題限制在發生問題的工作組內，防止這些問題影響到核心層。

接入層為網絡提供通信，并且實現網絡入口控制。最終用戶通過接入層訪問網絡的。作為網絡的“前門”，接入層交換機使用訪問列表以阻止非授權的用戶進入網絡。7.2企業網絡組建項目網絡設備配置與調試案例教程7.2.2項目設計1.拓撲設計企業網絡拓撲結構圖如圖所示。7.2企業網絡組建項目網絡設備配置與調試案例教程2.IP地址設計各設備的IP地址規劃列表。設

備接

口IP地址S5700-SVLAN1005/29VLAN2005/29VLAN3005/29VLAN4007/28AR2220-AE00/28El8/30S5700-AVLAN11/24VLAN12/24VLAN13/24VLAN14/24VLAN15/24VLAN1004/29S5700-BVLAN16/24VLAN17/24VLAN18/24VLAN19/24VLAN20/24VLAN2004/29S5700-CVLAN21/24VLAN22/24VLAN23/24VLAN24/24VLAN25/24VLAN3004/297.2企業網絡組建項目網絡設備配置與調試案例教程7.2.3項目實施1.S2700-A1交換機基本配置給交換機命名的配置命令如下：<Huawei>system-view[Huawei]sysnameS2700-A1創建VLAN配置命令如下:[S2700-A1]vlanbatch11to15配置遠程登錄密碼如下：[S2700-A1]aaa[S2700-A1-aaa]local-userhuaweipasswordsimplehuawei[S2700-A1-aaa]local-userhuaweiservice-typetelnet[S2700-A1-aaa]local-userhuaweiprivilegelevel15[S2700-A1-aaa]quit[S2700-A1]user-interfacevty04[S2700-A1-ui-vty0-4]authentication-modeaaa設置管理IP地址如下：[S2700-A1]interfaceVlanif1[S2700-A1-Vlanif1]ipaddress247.2企業網絡組建項目網絡設備配置與調試案例教程2.S2700-B1交換機基本配置、S2700-C1交換機基本配置與S2700-A1交換機基本配置相同，此處不再贅述。3.S5700-A的基本配置更改S5700-A設備名稱的配置命令如下：<Huawei>system-view[Huawei]sysnameS5700-A創建VLAN,vlan11?vlan15、vlan100的配置命令如下：[S5700-A]vlanbatch11to15100按照地址分配表為VLAN1、VLAN11?VLAN15、VLAN100分配IP地址，以VLAN1為例，具體如下：[S5700-A]interfaceVlanif1[S5700-A-Vlanif1]ipaddress6244.S3550-24-B的基本配置、S3550-24-C的基本配置同S5700-A的基本配置。7.2企業網絡組建項目網絡設備配置與調試案例教程5.S5700-S的基本配置更改S5700-S設備名稱的配置命令如下:<Huawei>system-view[Huawei]sysnameS5700-S配置遠程登錄密碼如下：[S5700-S]aaa[S5700-S-aaa]local-userhuaweipasswordsimplehuawei[S5700-S-aaa]local-userhuaweiservice-typetelnet[S5700-S-aaa]local-userhuaweiprivilegelevel15[S5700-S-aaa]quit[S5700-S]user-interfacevty04[S5700-S-ui-vty0-4]authentication-modeaaa按照地址分配表為VLAN1、VLAN100、VLAN200、VLAN300、VLAN400分配IP地址,以VLAN1為例，具體如下：[S5700-S]interfaceVlanif1[S5700-S-Vlanif1]ipaddress54246.AR2220-A的基本配置更改AR2220-A設備名稱的配置命令如下：<Huawei>system-view[Huawei]sysnameAR2220-A7.2企業網絡組建項目網絡設備配置與調試案例教程配置遠程登錄密[AR2220-A]aaa的命令如下：[AR2220-A-aaa]local-userhuaweipasswordsimplehuawei[AR2220-A-aaa]local-userhuaweiservice-typetelnet[AR2220-A-aaa]local-userhuaweiprivilegelevel15[AR2220-A-aaa]quit[AR2220-A]user-interfacevty04[AR2220-A-ui-vty0-4]authentication-modeaaa：配置以太口的IP地址以及NAT轉換的命令如下：[AR2200-A]ACL2000[AR2200-A-acl-basic-2000]rulepermitsource

55[AR2200-A]interfaceGigabitEthernet0/0/1[AR2200-A-GigabitEthernet0/0/1]ipaddress552[AR2200-A-GigabitEthernet0/0/1]natoutbound2000

7.2.4項目總結本項目的實施是為了提升讀者對企業級網絡組建方案中網絡設備的配置能力。通過完成本項目，使讀者對企業網絡中的核心交換、匯聚交換、接入交換的組網模式有了進一步的認識，還能提高對企業及網絡布線、組網能力，以及團隊協作和分析問題的能力。7.3政府上網工程網絡設備配置與調試案例教程7.3.1項目需求分析

某政府機關總部在市中心某區域，分部在另一區域，分部和總部之間有一條線路連接，在總部和分部間運行OSPF（OpenShortestPathFirst）路由。在使用網絡過程中經常出現由于線路故障導致網絡中斷的情況，為了實現分部與總部之間的高可用性，在分部的網絡中通過配置VRRP（VirtualRouterRedundancyProtocol）路由協議來實現兩條線連接到總部，且兩條線路互為備份。

設計要求：①建立總部和分部之間網絡高效穩定。②鏈路可實現遇到故障自動切換。③具有完善的網絡安全機制。7.3政府上網工程網絡設備配置與調試案例教程7.3.2項目設計1.拓撲設計該政府機關的網絡拓撲結構圖如圖所示。2.IP地址設計本項目中IP地址規劃方案如表所示。區

域鏈路1鏈路2設

備總部Sl：Fal/0:Fal/1:華為路由器分部Sl:Fal/0：Fal/1:Fal/0：華為路由器2臺7.3政府上網工程網絡設備配置與調試案例教程7.3.3項目實施1.

在路由器上配置IP地址在路由器上配置IP地址的命令如下:[RA]ints0/0/0[RA-Serial0/0/0]ipad30[RA]inte0/0/0[RA-Ethernet0/0/0]ipad24

[RB]inte0/0/1[RB-Ethernet0/0/1]ipad30[RB]inte0/0/0[RB-Ethernet0/0/0]ipad24

[RC]ints0/0/0[RC-Serial0/0/0]ipad30[RC]inte0/0/0[RC-Ethernet0/0/0]ipad30[RC]intg0/0/0[RC-GigabitEthernet0/0/0]ipad242.

配置OSPF創建OSPF的配置命令如下:[RA]ospf[RA-ospf-1]a0[RA-ospf-1-area-]net[RA-ospf-1-area-]net

[RB]ospf[RB-ospf-1]a0[RB-ospf-1-area-]net[RB-ospf-1-area-]net

[RC]ospf[RC-ospf-1]a0[RC-ospf-1-area-]net[RC-ospf-1-area-]net[RC-ospf-1-area-]net7.3政府上網工程網絡設備配置與調試案例教程3.

配置VRRP配置VRRP的命令如下:[RA]inte0/0/0[RA-Ethernet0/0/0]vrrpvrid1virtual-ip54[RA-Ethernet0/0/0]vrrpvrid1priority120上述配置信息是將RA在VRRP組1中的優先級配置為較高的的120,從而能夠成為Master路由器。另外，將RA在VRRP組1中