北航计算机网络实验——综合组网实验,实验流程
总体介绍
- 综合组网的总体规划与设计
- 网络路由设计
- NAT地址转换与访问控制的设计
- 网络管理和网络应用的部署
应用背景
- 场景设置:北航沙河校区信息平台2号楼机房
- 网络规模:6层,30个机房,1600多台计算机
实验目的
- 了解网络设计的原则与过程
- 了解网络总体架构设计
- 了解拓扑结构和地址划分
- 了解网络安全性、可靠性、路由、可管理性
- 了解网络应用的部署和相关网络应用软件的使用
网络组建过程
- 需求分析
- 总体规划
- 系统设计
- 系统结构设计
- 拓扑结构设计
- 技术选择
- 设备选型
- 工作站、服务器、路由器、交换机/集线器、共享设备、网络适配器、加密设备、UPS电源
- 系统集成
- 逻辑结构图设计
- 项目及分包商管理
- 硬件软件采购
- 开发环境建立
- 软件开发
- 应用系统安装、测试、实施、培训
- 综合布线
总体规划
需求分析
- 能够访问互联网
- 满足多媒体、流媒体教学
- 网络连通性可控,禁用一个机房,其余机房不受影响
- 支持组播应用
- 支持抗ARP病毒攻击,广播风暴抑制、DHCP协议、IPv6协议
- 网络设备要能够被实时监控和管理
体系结构设计
- 采用TCP/IP体系结构,满足与其他网络系统的互联互通
- 分层划分网络
- 不同层次使用不同级别的千兆交换机,出口路由器采用中高端路由器
- 采用NAT技术规划网络,IP地址划分采用每个机房一个网段,NAT采用基于端口的NAT-PT技术,申请少于128个公网地址的地址池
- 采用ACL控制机房的访问
- 采用支持IPv6协议、DHCP协议、路由协议、组播协议及安全性高的设备
拓扑结构设计
网络分层设计模式
- 核心层:高速数据交换
- 汇聚层:路由汇聚及流量收敛
- 接入层:接入和本地流量控制
网络可靠性设计
- 链路备份技术
- WAN链路备份:用于为路由器的广域网接口提供背备份(也可用于局域网接口备份)
- 主接口:路由器上的任意一个物理接口和子接口,以及逻辑通道(Dialer口除外)
- 备份接口:当主接口故障时,多个备份接口可以根据配置的优先级来决定接替顺序;且备份接口具有分担负载功能。
- 配置命令:
- [Quidway] interface type number
- [Quidway interface xxx] standby interface type number
- [priority]
- LAN链路备份
- 使用二层交换机支持的STP协议、端口聚合技术等实现——实验2 数据链路层实验,用以解决广播风暴的问题
- 核心交换机S1和汇聚交换机S2之间采用链路备份技术,配置STP或端口聚合
- 配置命令:
- [Quidview] stp enable
- [quidview]link-aggregation Ethernet port_numl1 to Ethernet port_num2 {ingress|both}
- 实验步骤:
- 使用dis mac命令可以查看当前路由器的MAC地址表
- 使用undo命令可以清空MAC地址表,注意交换机自身每个端口也有MAC地址,交换机是通过原地址进行学习
- 当两台交换机链接形成环路时,会产生严重的广播风暴
- 使用 stp enable命令,开启生成树协议,使用该协议可以有效抑制广播风暴,此外当该协议启动后,断掉其中一条链接,仍然可以用另一条进行通信
- 使用inter e0/1 进入该端口
- 进入后使用dup full命令使该端口变为全双工的工作模式
- 使用speed 100,把速度设为100兆
- 之后对e0/2口做相同的操作
- 使用命令 link-aggregation e0/1 to e0/2对两个端口进行端口聚合,注意两台交换机都需要进行相同的配置
- 注意,在网上实验时,使用端口聚合将导致局域网内计算机互相ping不通,属于正常线性,实际使用时是可以联通的,此时端口其中一条链接就能使局域网内个计算机能通信
- 路由备份
- 路由协议备份
- 核心交换机和核心路由器之间采用路由备份,配置下一跳是备份组、R1和R2三条默认路由
- 主要体现在访问Internet的默认路由上,即在核心交换机上配置下一跳地址分别为虚拟路由器地址:192.168.100.2/24、核心路由器r1和r2接口地址的三条默认路由,并设置不同的优先级
- WAN链路备份:用于为路由器的广域网接口提供背备份(也可用于局域网接口备份)
- 设备本分技术
- VRRP,虚拟路由器冗余协议,一种LAN接入设备备份协议
- 将局域网的一组多台路由器组成一个虚拟路由器,称为备份组,优先级最高者为主用路由器,其余为备用。(对路由器进行设备备份后,就实现了路由备份)
- 核心层采用核心路由器双机热备份,R1为主路由器、R2为备份路由器,备份组的虚拟路由地址为192.168.100.2/24
- 配置命令:
- vrrp vrid virtual_router_id virtual-ip virtual-ip-address
- vrrp vrid virtual_router_id priority priority
- vrrp vrid virtual_router_id timer-advertise seconds
IP地址规划与子网划分
IP地址分配
每小组分配的公网地址网段是192.168.5.*/24,其中*为组号* 5 到 组号* 5 + 4
VLAN划分
- 只需为汇聚交换机S2,核心交换机S1划分Vlan
- 汇聚交换机S2上,为每个实验室建立一个Vlan,编号为实验室房间号,然后将所有链接该实验室的接入交换机的端口都划分到这个Vlan里。
- 在核心交换机S1上,为每个楼层建立一个Vlan,编号分别为Vlan30-Vlan80
- 为了交换机间能传送不同Vlan的数据帧,相应的交换机端口需要设置Trunk端口,并允许所有Vlan数据帧通过
Vlan划分
- 帧格式由802.1Q标准描述,
- Tagged和Untagged是端口的一个属性
- Untagged
- Access端口都是Untagged
- Trunk端口只有缺省Vlan才是Untagged
- Hybrid端口可以设置针对某些Vlan是Untagged
- Tagged
- Trunk端口缺省Vlan外所有Vlan都是Tagged
- Hybrid端口可以设置针对某些Vlan是Tagged
- Untagged
- 缺省Vlan ID(pvid)
- 指每个端口都有一个Vlan属性,值为pvid,可以个人设置
- 当交换机从某个端口收到一个不带Vlan标签的数据帧时,在交换机内部将该数据帧视为带pvid标签的数据帧
- H3C交换机初始缺省Vlan为Vlan1(pvid=1)
- 步骤:
- 清空重启交互机:
- reset saved-configuration
- reboot
- 使用组网软件配置Trunk信息
- system 进入系统视图
- sy S1 修改设备名称为S1
- vlan2 创建Vlan2
- port e 0/1 to e 0/5 设置0/1到0/5端口为Vlan2
- vlan3 创建vlan3
- port e 0/20 to e 0/24 指定0/20到0/24端口为Vlan3
- int e 0/13 进入E 0/13 端口(即两台交换机互联的端口)
- port link-type trunk 配置trunk类型
- port trunk permit vlan 2 3 让trunk允许Vlan2和3通过
- inter vlan 2 进入Vlan2配置
- ip add 192.168.2.1 255.255.255.0 配置Vlan2的接口IP地址(即该网段下的默认网关)
- inter vlan 3 进入Vlan3配置
- ip add 192.168.3.1 255.255.255.0 配置Vlan2的接口IP地址(即该网段下的默认网关)
- 清空所有计算机的ARP缓存,以及交换机的MAC地址表和ARP缓存
- 清空重启交互机:
Vlan 间路由
- 清空交换机MAC地址表命令:undo mac-address
- 清空交换机ARP缓存命令:undo arp+IP地址
- 清空计算机ARP缓存命令:arp -b
路由设计
为各小组配置RIP或OSPF动态路由协议。并配置适当的静态路由或默认路由,确保全网互通,并能访问Internet
PPP协议配置过程:
- sys
- sysname R1
- inter s0/0进入端口
- ip address ip_address 配置IP地址
- link-protocol ppp 配置链路协议为ppp
- 使用路由器调试协议调试ppp
- quit 退出系统视图,进入用户视图
- debugging ppp lcp all 调试ppp 链路控制协议lcp
- terminal debugg 就能看到报文
- undo terminal debugg 关闭调试功能
PAP认证配置过程:
- R1:
- sys
- inter s0/0
- local-user RTB 设置用户名
- service-type ppp
- password simple aaa 设置密钥
- inter s0/0
- ppp authentication-mode pap 授权R1为认证方
- R2:
- ppp pap local-user RTB password simple aaa 使用该用户登录
- shutdown
- undo shutdown 重启端口
ARP实验:
- 命令行中输入ARP -a可查看ARP缓存
- 使用ARP -b可以清除ARP缓存
静态路由配置:
- ip route-static IP-address mask nexthop-address
默认路由配置:
- ip route-static 0.0.0.0 0.0.0.0 nexthop-address
RIP协议配置
- rip协议调试命令:
- debugging rip packet
- terminal debugging
- rip配置命令:
- [R1] rip 启动路由器RIP
- [R1-rip] network 192.168.1.0 指定启动RIP协议的网段地址,指定在哪个接口地址启动RIP协议
- [S1] rip
- [S1-rip] network 192.168.1.0
- [S1-rip] network 192.168.2.0
- rip 2 配置命令:
- [r1-Ethernet0] rip version 2
- [r1-Ethernet0] rip authentication-mode md5 simple buaa
- 查看路由表的命令:
- [S1]display IP routing-table
OSPF协议配置
- 配置Router ID
- system-view 进入系统视图
- router id router-id 配置路由器ID
- undo router id 取消路由器ID号
- 启动OSPF
- ospf [process-id [ [ router-id router-id ] vpn-instance vpn-instance-name ] ] 启动OSPF,进入OSPF视图
- undo ospf [ process-id ] 关闭OSPF路由协议进程
- 进入OSPF区域视图
- area area-id 在OSPF视图下,进入OSPF区域视图
- undo area area-id 删除指定的OSPF区域
- 指定网段使能OSPF
- network ip-address wildcard-mask 指定网段运行OSPF协议
- undo network ip-address wildcard-mask 取消网段运行OSPF协议
- 具体参见实验指导书电子版193页
地址转换(NAT)与访问控制(ACL)
- 每个小组分配的公有地址网段为192.168.5.*/24,其中*为组号* 5 到 组号* 5 + 4
- R1地址池为:组号 * 5 - 组号 * 5 +2
- R2地址池为:组好 * 5 + 3 - 组号 * 5 + 4
- 修改R1和R2上的ACL,使得第二个房间考试,禁用Internet,第一个房间正常上网
网络管理应用部署
- 对核心路由器R1、R2,核心交换机S1,汇聚交换机S2,进行,在被管理设备上配置SNMP网络协议,4台PC机作为管理服务器
- 进行拓扑自动发现,并浏览核心交换机S1设备信息
- 将核心路由器R1,R2的E1接口断开,截获并分析Trap报文,写出报文的字段名和字段值,然后重新链接,通过网管服务器查看路由器状态
组播应用部署
- 在核心交换机S1和汇聚交换机S1上配置组播路由协议PIM DM
- 启动组播测试软件,PCA作为组播源,BCD测试是否能收到信息
网络测试
设计配置完网络设备和PC后,设计方案对网络连通性、地址转换、访问控制、组播应用等进行测试
最终配置
-
组网图
-
IP配置:
-
PCA:
- IP地址:10.3.3.2
- 默认网关:10.3.3.1
-
PCB:
-
IP地址:10.3.4.2
-
默认网关:10.3.4.1
-
-
R1:
- 0/0端口IP:192.168.100.3
- 0/1端口IP: 192.168.5.155
-
R2:
- 0/0端口IP:192.168.100.4
- 0/1端口IP: 192.168.5.157
-
-
S2 核心交换机配置
-
Vlan 划分与配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31[S2] vlan 3
[S2-vlan3] port e 1/0/1
[S2-vlan3] ip address 192.168.3.2 24
[S2-vlan3] int e 1/0/1
[S2-Ethernet1/0/1] port link-type trunk
[S2-Ethernet1/0/1] quit
[S2] vlan 303
[S2-vlan303] port e 1/0/23
[S2-vlan303] ip address 10.3.3.1 24
[S2-vlan303] quit
[S2] vlan 304
[S2-vlan304] ip address 10.3.4.1 24
[S2-vlan304] quit
[S2] int e1/0/1
[S2-Ethernet1/0/1] port trunk permit vlan 303 304 3
[S2-Ethernet1/0/1] quit -
Ospf配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17[S2] ospf
[S2-ospf-1] area 0
[S2-ospf-1-area-0.0.0.0] network 192.168.100.0 0.0.0.255
[S2-ospf-1-area-0.0.0.0] network 192.168.3.0 0.0.0.255
[S2-ospf-1-area-0.0.0.0] network 10.3.3.0 0.0.0.255
[S2-ospf-1-area-0.0.0.0] network 10.3.4.0 0.0.0.255
[S2-ospf-1-area-0.0.0.0] quit
[S2-ospf-1] default-route-advertise
[S2-ospf-1] quit -
Stp协议配置与链路聚合配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19[S2] stp enable
[S2] Interface bridge-aggregation 1
[S2-Bridge-Aggregation1] Link-aggregation mode dynamic
[S2-Bridge-Aggregation1] Int e 1/0/1
[S2-Ethernet1/0/1] Port link-aggregation group 1
[S2-Bridge-Aggregation1] Int e 1/0/3
[S2-Ethernet1/0/3] Port link-aggregation group 1
[S2-Ethernet1/0/3] Int bridge-aggregation 1
[S2-Bridge-Aggregation1] Port link-type trunk
[S2-Bridge-Aggregation1] Port trunk permit vlan all -
配置PIM-DM协议
1
2
3
4
5
6
7
8
9
10
11[S2] multicast routing-enable
[S2] int vlan 303
[S2-vlan-interface303] pim dm
[S2-vlan-interface303] quit
[S2] int vlan 304
[S2-vlan-interface304] pim dm
-
-
S1汇聚层交换机配置:
-
Vlan 划分与配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23[S1] vlan 100
[S1-vlan100] port Ethernet 1/0/23 to Ethernet 1/0/24
[S1-vlan100] quit
[S1] interface vlan 100
[S1-vlan-interface100] ip address 192.168.100.1 24
[S1-vlan-interface100] quit
[S1] vlan 3
[S1-vlan3] int vlan 3
[S1-vlan-interface3] ip address 192.168.3.1 24
[S1-vlan-interface3] int e 1/0/1
[S1-Ethernet1/0/1] port link-type trunk
[S1-Ethernet1/0/1] port trunk permit vlan 3 100 -
Ospf配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
171. 1. [S1] ospf
[S1-ospf-1] area 0
[S1-ospf-1-area-0.0.0.0] network 192.168.100.0 0.0.0.255
[S1-ospf-1-area-0.0.0.0] network 192.168.3.0 0.0.0.255
[S1-ospf-1-area-0.0.0.0] network 10.3.3.0 0.0.0.255
[S1-ospf-1-area-0.0.0.0] network 10.3.4.0 0.0.0.255
[S1-ospf-1-area-0.0.0.0] quit
[S1-ospf-1] default-route-advertise
[S1-ospf-1] quit -
Stp协议配置与链路聚合配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19[S1] stp enable
[S1] Interface bridge-aggregation 1
[S1-Bridge-Aggregation1] Link-aggregation mode dynamic
[S1-Bridge-Aggregation1] Int e 1/0/1
[S1-Ethernet1/0/1] Port link-aggregation group 1
[S1-Bridge-Aggregation1] Int e 1/0/3
[S1-Ethernet1/0/3] Port link-aggregation group 1
[S1-Ethernet1/0/3] Int bridge-aggregation 1
[S1-Bridge-Aggregation1] Port link-type trunk
[S1-Bridge-Aggregation1] Port trunk permit vlan all -
配置PIM-DM协议
1
2
3
4
5[S1] multicast routing-enable
[S1] int vlan3
[S1-vlan-interface3] pim dm -
R1 核心路由器配置
-
端口IP配置:
1
2
3
4
5
6
7
8
9[R1] int e0/1
[R1-Ethernet0/1] ip address 192.168.5.155 24
[R1-Ethernet0/1] quit
[R1] int e0/0
[R1-Ethernet0/0] ip address 192.168.100.3 24 -
Acl配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25[R1] nat address-group 1
[R1-nat-address-group-1] address 192.168.5.155 192.168.5.156
[R1-nat-address-group-1] quit
[R1] acl number 2001
[R1-acl-basic-2001] rule permit source 192.168.3.0 0.0.0.255
[R1-acl-basic-2001] rule permit source 192.168.100.0 0.0.0.255
[R1-acl-basic-2001] rule permit source 10.3.3.0 0.0.0.255
[R1-acl-basic-2001] rule permit source 10.3.4.0 0.0.0.255
[R1-acl-basic-2001] rule deny source any
[R1-acl-basic-2001] quit
[R1] int e0/1
[R1-Ethernet0/1] nat outbound 2001 address-group 1
[R1-Ethernet0/1] quit -
VRRP配置
1
[R1] vrrp vrid 11 virtual-ip 192.168.100.2
-
Ospf 配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15[R1] ospf
[R1-ospf-1] area 0
[R1-ospf-1-area-0.0.0.0] network 192.168.100.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0] network 192.168.3.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0] network 10.3.3.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0] network 10.3.4.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0] quit
[R1-ospf-1] default-route-advertise cost 100 -
Snmp配置
1
2
3
4
5
6
7[R1] snmp com write private
[R1] snmp com read public
[R1] snmp trap enable
[R1] snmp target-host trap address udp-domain 10.3.3.2 params securityname public
-
-
R2 核心路由器配置
-
端口IP配置:
1
2
3
4
5
6
7
8
9[R2] int e0/1
[R2-Ethernet0/1] ip address 192.168.5.157 24
[R2-Ethernet0/1] quit
[R2] int e0/0
[R2-Ethernet0/0] ip address 192.168.100.4 24 -
Acl配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25[R2] nat address-group 1
[R2-nat-address-group-1] address 192.168.5.157 192.168.5.159
[R2-nat-address-group-1] quit
[R2] acl number 2001
[R2-acl-basic-2001] rule permit source 192.168.3.0 0.0.0.255
[R2-acl-basic-2001] rule permit source 192.168.100.0 0.0.0.255
[R2-acl-basic-2001] rule permit source 10.3.3.0 0.0.0.255
[R2-acl-basic-2001] rule permit source 10.3.4.0 0.0.0.255
[R2-acl-basic-2001] rule deny source any
[R2-acl-basic-2001] quit
[R2] int e0/1
[R2-Ethernet0/1] nat outbound 2001 address-group 1
[R2-Ethernet0/1] quit -
VRRP配置
1
2
3[R2] vrrp vrid 11 virtual-ip 192.168.100.2
[R2] vrrp vrid 11 priority 80- Ospf 配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15[R2] ospf
[R2-ospf-1] area 0
[R2-ospf-1-area-0.0.0.0] network 192.168.100.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0] network 192.168.3.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0] network 10.3.3.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0] network 10.3.4.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0] quit
[R2-ospf-1] default-route-advertise cost 200 -
