网络工程师综合网络配置练习手册.doc

1、综合练习一、阅读说明，回答问题 1、问题 2、问题 3，将解答填入答题纸的对应栏内。说明 某单位要与其下所属四个县局单位实现连网，具体设计如下：1、设计要求（1、 ）县局 B 终端用户包括： 20 个普通用户，县局 C 终端用包括： 40 个普通用户，县局D 终端用户包括：20 个普通用户，县局 E 终端用户包括：18 个普通用户，市局 A 终端用户包括 90 个普通用。（2、 ）每个县局都有 4 个特殊用户，市局有 10 个特殊用户。（3、 ）服务器提供 Web、DNS、E-mail 服务。 （所有服务器都其中在市局网络中心）（4、 ）支持远程培训，可以接入互联网，具有广域网访问的安全机制和

2、网络管理功能。（5、 ）各县局与市局之间的距离都大于 100 公里。（6、 ）每个县局与市局都分布一个网段（县局 B：10.244.90.0,县局 C：10.244.91.0,县局D：10.244.92.0,县局 E：10.244.93.0 市局 A：10.244.80.0）(7、)县局与市局通过光纤连接。说明：所谓普通用户就是只能用于生产（只能县与县，县与市局连网，不能连internet）,不能上 internet 网，而特殊用户既可以生产也可上 internet 网。2、可选设备：设备名称 数量 特性交换机 switch1 6 台 具有两个 100BaseTX 端口和 24 个 10Bas

3、eTX 端口交换机 switch2 2 台 具有两个 100BaseTX 端口和 48 个 10BaseTX 端口路由器 Router1 1 台 提供了对内的 10/100M 局域多接口，对外的 128K 的 ISDN或专线连接，同时具有防火墙功能。路由器 Router2 4 台 提供了对内的 10/100M 局域网接口，同 /异步串口模块或ISDN 模块问题 1、请为该单位设计网络方案（画出其网络拓扑结构图）问题 2、怎么实现普通用户只能用作生产用，而特殊用户既可以生产用，也可以上网？问题 3、如果该单位用于生产的数据很重要，其安全性要求很高，而对外的 internet 与其连在一起对其安全

4、造成很大威胁，在允许增加可选设备的条件下，你怎样处理？为什么那样处理？【参考答案】1、AB C D EInternet路 由 器 Router1路 由 器 Router2 路 由 器 Router2 路 由 器 Router2 路 由 器 Router2交 换 机 switch2 交 换 机 switch2交 换 机 switch1 交 换 机 switch1交 换 机 switch1交 换 机 switch1 交 换 机 switch1路 由 器路 由 器 路 由 器 路 由 器 路 由 器交 换 机 交 换 机交 换 机 交 换 机 交 换 机 交 换 机 交 换 机2、我们所选用的为 A

5、（市局）所选用的路由器为 Router1(提供了对内的 10/100M 局域多接口，对外的 128K 的 ISDN 或专线连接，同时具有防火墙功能)。我们利用该路由器所具有的防火墙功能将内网和外网隔离开来，将需要上网的 ip 地址用访问列表加以控制。3、可以利用网络技术“非军事区结构模式”（DMZ ） 。在重要的数据服务器之前再增加一道防火墙。在这个防火墙方案中，包括两个防火墙，外部防火墙抵挡外部网络的攻击，并管理所有内部网络对 DMZ 的访问。内部防火墙管理 DMZ 对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机) ，当外部防火墙失效的时候，它还可以起

6、到保护内部网络的功能。而局域网内部，对于 Internet 的访问由内部防火墙和位于 DMZ 的堡垒主机控制。在这样的结构里，一个黑客必须通过三个独立的区域( 外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强，相应内部网络的安全性也就大大加强，但投资成本也是最高的。综合练习二、阅读以下说明，回答问题 1、问题 2。说明： VPN 是通过公用网络 internet 将分布在不同地点的终端联接在成的专用网络。目前大多采用 IPSec 实现 IP 网络上端点间的认证和加密服务。 （见下图 一）VPN 的基本配置公司总部网络子网为 192.168.1.0/24路由器为 100.10

7、.15.1公司分部服务器为 192.168.10.0/24路由器为 200.20.25.1执行下列步骤：1 确定一个预先共享的密钥（保密密码） （保密密码假设为 ccidedu）2 为 SA 协商过程配置 IKE。3 配置 IPSecShelby(config)#crypto isakmp policy1 /policy1 表示策略 1，假如想多配几个 VPN，可以写成 policy2、 policy3-Shelby(config-isakmp)#group1 /使用 group1 长度的密钥， group 命令有两个参数值：1 和2。参数 1 表示密钥使用 768 位密钥，参数值 2 表示密

8、钥使用 1024 位密钥。Shelby(config-isakm)#authentication pre-share_ _(1)_Shelby(config-isakm)#ifetime 3600 /对生成新 SA 的周期进行调整。这个值以秒为单位，默认值为 86400，也就是一天。值得注意的是两端的路由器都要设置相同的 SA 周期，否则VPN 在正常初始化之后，将会在较短的一个 SA 周期到达中断。Shelby(config)#crypto isakmp key ccidedu address 200.20.25.1 /返回到全局设置模式确定要使用的预先共享密钥和指归 VPN 另一端路由器

9、IP 地址，即目的路由器 IP 地址。相应地在另一端路由器配置也和以上命令类似，只不过把 IP 地址改成 100.10.15.1。配置 IPSecShelby(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255 _(2)_Shelby(config)#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac _(3)_Shelby(config)#crypto map shortsec 60 ipsec-isakmp /

10、为定义生成新保密密钥的周期，如果攻击者破解了保密密钥，他就能够解使用同一个密钥的所有通信。基于这个原因，我们要设置一个较短的密钥更新周期。比如，每分钟生成一个新密钥。这个命令在 VPN 两端的路由器上必须匹配。参数 shortsec 是我们给这个配置定义的名称，稍后可以将它与路由器的外部接口建立关联。Shelby(config-crypto-map)#set peer 200.20.25.1 _(4)_Shelby(config-crypto-map)#set transform-set vpn1 _(5)_Shelby(config-crypto-map)#match address 130

11、 /访问列表Shelby(config)#interface s0Shelby(config-if)#crypto map shortsec /将刚才定义的密码图应用到路由器的外部接口。问题 1、请简述 IPSec 协议问题 2、解释_(n)_处标有下划线的部分含义。【参考答案】1、IPSec 提供了两种安全机制：认证和加密。认证机制使 IP 通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被窃听。IPSec 协议组包含 Authentication Header（AH ）协议、Encapsulati

12、ng Security Payload（ESP）协议和 Internet Key Exchange（IKE）协议。其中 AH 协议定义了认证的应用方法，提供数据源认证和完整性保证；ESP 协议定义了加密和可选认证的应用方法，提供可靠性保证。在实际进行 IP 通信时，可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。AH 和 ESP 都可以提供认证服务，不过，AH 提供的认证服务要强于 ESP。IKE 用于密钥交换。2、（1）采用预共享密钥认证方法（2）建立访问控制列表（3）配置名为 vpn1 的交换集，指定 ah-md5-hmac esp-des esp-md5-hmac 三种变换（

13、4）指定允许的 ipsec 对等体的 ip 地址为 200.20.25.1(5)此加密图使用交换集 综合练习：请先看下面的叙述，然后回答问题 1，问题 2，问题 3。VLAN（ Virtual Local Area Network）的中文名为“虚拟局域网” 。VLAN 是一种将局域网设备从逻辑上划分（不是从物理上划分）成一个个网段， 从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有 VLAN 协议的第三层以上交换机才具有此功能。VLAN 技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同

14、用户逻辑的划分成不同的广播域，每一个 VLAN 都包含一组有着相同需求的计算机工作站，与物理上形成的 LAN 有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个 VLAN 内的各个工作站没有限制在同一物理范围内，即这些工作站可以在不同物理 LAN 网段。某公司有 100 台计算机左右，主要使用网络的部门有：生产部（20） ，财务部（15） ，人事部（8）和信息中心（12）四大部分，如图所示。 （图中另外两台交换机未画）网络的基本结构为：整个网络中干部分采用 3 台网管型交换机（分别命名为：Switch1,Switch2 和 Switch3，各交换机根据需要下接若干个集线器，主

15、要用于非 VLAN 用户，如行政文书，临时用户等） ，一台 Cisco 路由器，整个网络都通过路由器与外部互连网进行连接。1 user(s) now active on Management Console.User Interface MenuM MenusK Command LineI IP ConfigurationEnter SelectionCLI session with the switch is open.To end the CLI session ,enterExit.#config tEnter configuration commends,one per line.En

16、d with CNTL/Z(config)#下面 Switch1 的配置代码如下：(config)#hostname Switch1Switch1(config)#enable password level 15Switch1(config)#Switch1(config)#vlan 2 name ProdSwitch2(config)#vlan 3 name EcomSwitch3(config)#vlan 4 name EmplSwitch4(config)#vlan 5 name InfoVLAN 端口号应用配置如下：（1） 名为”Switch1”的交换机的 VLAN 端口号配置如下：S

17、witch1(config)#int e0/2Switch1(config-if)#vlan-membership static 2Switch1(config-if)#int e0/3Switch1(config-if)#vlan-membership static 2Switch1(config-if)#int e0/4Switch1(config-if)#vlan-membership static 2Switch1(config-if)#int e0/20Switch1(config-if)#vlan-membership static 2Switch1(config-if)#int

18、e0/21Switch1(config-if)#vlan-membership static 2Switch1(config-if)#（2） 名为”Switch2”的交换机的 VLAN 端口号配置如下：Switch2(config)#int e0/2Switch2(config-if)#vlan-membership static 3Switch2(config-if)#int e0/3Switch2(config-if)#vlan-membership static 3Switch2(config-if)#int e0/4Switch2(config-if)#vlan-membership

19、static 3Switch2(config-if)#int e0/15Switch2(config-if)#vlan-membership static 3Switch2(config-if)#int e0/16Switch2(config-if)#vlan-membership static 3Switch2(config-if)#（3）名为”Switch3”的交换机的 VLAN 端口号配置如下（它包括两个 VLAN 组的配置），Switch3(config)#int e0/2Switch3(config-if)#vlan-membership static 4Switch3(config

20、-if)#int e0/3Switch3(config-if)#vlan-membership static 4Switch3(config-if)#int e0/4Switch3(config-if)#vlan-membership static 4Switch3(config-if)#int e0/8Switch3(config-if)#vlan-membership static 4Switch3(config-if)#int e0/9Switch3(config-if)#vlan-membership static 4Switch3(config-if)#下面是 VLAN5(Info)

21、的配置代码：Switch4(config)#int e0/10Switch2(config-if)#vlan-membership static 5Switch4(config-if)#int e0/11Switch4(config-if)#vlan-membership static 5Switch4(config-if)#int e0/12Switch4(config-if)#vlan-membership static 5Switch4(config-if)#int e0/20Switch4(config-if)#vlan-membership static 5Switch4(confi

22、g-if)#int e0/21Switch4(config-if)#vlan-membership static 5Switch4(config-if)#问题 1：VLAN 在交换机上的实现方法，可以大致划分为_(1)_、_(2)_、_(3)_ 、_(4)_、_(5)_和按用户定义、非用户授权划分 VLAN.问题 2：请把下面表填写完整，并指出 Switch1,Switch2 是哪种分配方式？VLAN 号 VLAN 名 端口号Prod Switch1 2-213 Ecom4 Switch3 2-95 Info Switch3 10-21综合练习：请先看下面的叙述，然后回答问题 1，问题 2，问

23、题 3。VLAN（ Virtual Local Area Network）的中文名为“虚拟局域网” 。VLAN 是一种将局域网设备从逻辑上划分（不是从物理上划分）成一个个网段， 从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有 VLAN 协议的第三层以上交换机才具有此功能。VLAN 技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑的划分成不同的广播域，每一个 VLAN 都包含一组有着相同需求的计算机工作站，与物理上形成的 LAN 有着相同的属性。由于它是从逻辑上划分，而不是从物

24、理上划分，所以同一个 VLAN 内的各个工作站没有限制在同一物理范围内，即这些工作站可以在不同物理 LAN 网段。某公司有 100 台计算机左右，主要使用网络的部门有：生产部（20） ，财务部（15） ，人事部（8）和信息中心（12）四大部分，如图所示。 （图中另外两台交换机未画）网络的基本结构为：整个网络中干部分采用 3 台网管型交换机（分别命名为：Switch1,Switch2 和 Switch3，各交换机根据需要下接若干个集线器，主要用于非 VLAN 用户，如行政文书，临时用户等） ，一台 Cisco 路由器，整个网络都通过路由器与外部互连网进行连接。1 user(s) now acti

25、ve on Management Console.User Interface MenuM MenusK Command LineI IP ConfigurationEnter SelectionCLI session with the switch is open.To end the CLI session ,enterExit.#config tEnter configuration commends,one per line.End with CNTL/Z(config)#下面 Switch1 的配置代码如下：(config)#hostname Switch1Switch1(confi

26、g)#enable password level 15Switch1(config)#Switch1(config)#vlan 2 name ProdSwitch2(config)#vlan 3 name EcomSwitch3(config)#vlan 4 name EmplSwitch4(config)#vlan 5 name InfoVLAN 端口号应用配置如下：（3） 名为”Switch1”的交换机的 VLAN 端口号配置如下：Switch1(config)#int e0/2Switch1(config-if)#vlan-membership static 2Switch1(confi

27、g-if)#int e0/3Switch1(config-if)#vlan-membership static 2Switch1(config-if)#int e0/4Switch1(config-if)#vlan-membership static 2Switch1(config-if)#int e0/20Switch1(config-if)#vlan-membership static 2Switch1(config-if)#int e0/21Switch1(config-if)#vlan-membership static 2Switch1(config-if)#（4） 名为”Switc

28、h2”的交换机的 VLAN 端口号配置如下：Switch2(config)#int e0/2Switch2(config-if)#vlan-membership static 3Switch2(config-if)#int e0/3Switch2(config-if)#vlan-membership static 3Switch2(config-if)#int e0/4Switch2(config-if)#vlan-membership static 3Switch2(config-if)#int e0/15Switch2(config-if)#vlan-membership static 3

29、Switch2(config-if)#int e0/16Switch2(config-if)#vlan-membership static 3Switch2(config-if)#（3）名为”Switch3”的交换机的 VLAN 端口号配置如下（它包括两个 VLAN 组的配置），Switch3(config)#int e0/2Switch3(config-if)#vlan-membership static 4Switch3(config-if)#int e0/3Switch3(config-if)#vlan-membership static 4Switch3(config-if)#int

30、e0/4Switch3(config-if)#vlan-membership static 4Switch3(config-if)#int e0/8Switch3(config-if)#vlan-membership static 4Switch3(config-if)#int e0/9Switch3(config-if)#vlan-membership static 4Switch3(config-if)#下面是 VLAN5(Info)的配置代码：Switch4(config)#int e0/10Switch2(config-if)#vlan-membership static 5Switc

31、h4(config-if)#int e0/11Switch4(config-if)#vlan-membership static 5Switch4(config-if)#int e0/12Switch4(config-if)#vlan-membership static 5Switch4(config-if)#int e0/20Switch4(config-if)#vlan-membership static 5Switch4(config-if)#int e0/21Switch4(config-if)#vlan-membership static 5Switch4(config-if)#问题

32、 1：VLAN 在交换机上的实现方法，可以大致划分为_(1)_、_(2)_、_(3)_ 、_(4)_、_(5)_和按用户定义、非用户授权划分 VLAN.问题 2：请把下面表填写完整，并指出 Switch1,Switch2 是哪种分配方式？VLAN 号 VLAN 名 端口号Prod Switch1 2-213 Ecom4 Switch3 2-95 Info Switch3 10-21【背景资料：】vlan 的介绍：英文 Virtual Local Area Network 的缩写，中文名为“虚拟局域网“.VLAN 是一种将局域网（LAN）设备从逻辑上划分（注意，不是从物理上划分）成一个个网段（或

33、者说是更小的局域网 LAN） ，从而实现虚拟工作组（单元）的数据交换技术。VLAN 的好处主要有三个：(1)端口的分隔。即便在同一个交换机上，处于不同 VLAN 的端口也是不能通信的。这样一个物理的交换机可以当作多个逻辑的交换机使用。 (2)网络的安全。不同 VLAN 不能直接通信，杜绝了广播信息的不安全性。 (3)灵活的管理。更改用户所属的网络不必换端口和连线，只更改软件配置就可以了。VLAN 在交换机上的实现方法，可以大致划分为六类:1. 基于端口的 VLAN这是最常应用的一种 VLAN 划分方法，应用也最为广泛、最有效，目前绝大多数VLAN 协议的交换机都提供这种 VLAN 配置方法。这

34、种划分 VLAN 的方法是根据以太网交换机的交换端口来划分的，它是将 VLAN 交换机上的物理端口和 VLAN 交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN 交换机。2. 基于 MAC 地址的 VLAN这种划分 VLAN 的方法是根据每个主机的 MAC 地址来划分，即对每个 MAC 地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的 MAC 地址，VLAN 交换机跟踪属于 VLAN MAC 的地址。这种方式的 VLAN 允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属 VLAN 的成员身份。3. 基于网络层协

35、议的 VLAN VLAN 按网络层协议来划分，可分为 IP、IPX、DECnet、AppleTalk、Banyan 等VLAN 网络。这种按网络层协议来组成的 VLAN，可使广播域跨越多个 VLAN 交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其 VLAN 成员身份仍然保留不变。4. 根据 IP 组播的 VLAN IP 组播实际上也是一种 VLAN 的定义，即认为一个 IP 组播组就是一个 VLAN。这种划分的方法将 VLAN 扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同

36、一地理范围的局域网用户组成一个 VLAN，不适合局域网，主要是效率不高。5. 按策略划分的 VLAN基于策略组成的 VLAN 能实现多种分配方法，包括 VLAN 交换机端口、MAC 地址、IP 地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的 VLAN 。6. 按用户定义、非用户授权划分的 VLAN基于用户定义、非用户授权来划分 VLAN，是指为了适应特别的 VLAN 网络，根据具体的网络用户的特别要求来定义和设计 VLAN，而且可以让非 VLAN 群体用户访问VLAN，但是需要提供用户密码，在得到 VLAN 管理的认证后才可以加入一个 VLAN。【参考答

37、案】问题 1：VLAN 在交换机上的实现方法，可以大致划分为基于端口的 VLAN、基于 MAC 地址的 VLAN、基于网络层协议的 VLAN、根据 IP 组播的 VLAN、按策略划分的 VLAN 和按用户定义、非用户授权划分 VLAN.问题 2：请把下面表填写完整，并指出 Switch1,Switch2 是哪种分配方式？VLAN 号 VLAN 名 端口号2 Prod Switch1 2-213 Ecom Switch2 3-4 15-164 Emp1 Switch3 2-95 Info Switch3 10-21Switch1、Swtich2 使用静态的基于端口划分 vlan 的分配方式综合练

38、习：请先看下面的叙述，然后回答问题 1，问题 2，问题 3。VLAN（ Virtual Local Area Network）的中文名为“虚拟局域网” 。VLAN 是一种将局域网设备从逻辑上划分（不是从物理上划分）成一个个网段， 从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有 VLAN 协议的第三层以上交换机才具有此功能。VLAN 技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑的划分成不同的广播域，每一个 VLAN 都包含一组有着相同需求的计算机工作站，与物理上形成的 LAN 有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个 VLAN 内的各个工作站没有限制在同一物理范围内，即这些工作站可以在不同物理 LAN 网段。某公司有 100 台计算机左右，主要使用网络的部门有：生产部（20） ，财务部（15） ，人事部（8）和信息中心（12）四大部分，如图所示。 （图中另外两台交换机未画）