IP路由与交换技术实训考核报告班级：13网络工程学号：20*姓名：李*一、需求说明XX公司组建公司网络，公司有总部和分部两个地区。

总部主要有人事部，生产部，销售部，财务部、经理办公室和公司服务器，分部主要有销售部和财务部。

根据规划，公司总部和分部已经从ISP获取了公网地址，要求规划和设计公司网络，并用现有设备模拟公司环境，完成规划和设计、实施、验收和报告文档，具体要求如下：1、给出公司网络拓扑设计，公司网络设计要求有一定稳定性和可靠性；2、规划各部门的IP、设备IP和互联IP；3、为了安全财务部门主机只能经理办公室可以访问，并且财务部门主机不能访问外网；4、公司服务器需要被外网用户访问，公司总部和分部除了财务部门外其余部门均可访问外网；5、利用现有设备完成公司网络拓扑搭建，并完成实施和验收；6、写出规划和设计方案参与公司网络建设项目的投标。

二、规划设计（截图并附带文字说明）括扑图：规划：IP地址空间的分配，与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性、灵活性和层次性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还有考虑到网络地址的可管理性。

IP地址分配尽量分配连续的IP地址空间；相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制。

总公司内：人事部（IP：192.168.10.2~253 网关：192.168.10.254 子网掩码：24）生产部（IP：192.168.20. .2~253网关：192.168.20.254 子网掩码：24）销售部（IP：192.168.30. .2~253网关：192.168.30.254 子网掩码：24）财务部（IP：192.168.40. .2~253网关：192.168.40.254 子网掩码：24）经理办公室（IP：192.168.1. .2~253网关：192.168. 1.254子网掩码：24）公司服务器（IP：192.168.2. .2~253网关：192.168.2.254 子网掩码：24）分公司内：销售部（IP：192.168.50. .2~253 网关：192.168.50.254 子网掩码：24）财务部（IP：192.168.60. .2~253网关：192.168.60.254 子网掩码：24）外网主机：（IP：200.0.0.0 网关：200.0.0.254 子网掩码：24）外网客户机（IP：200.0.0.2~253 网关：200.0.0.254子网掩码：24）路由器：AR1（g0/0/0 10.0.0.1 24，g0/0/1 20.0.0.1 24）AR2（g0/0/0 40.0.0.1 24，g0/0/1 20.0.0.2 24，g0/0/2 30.0.0.1 24）AR3（g0/0/0 192.168.50.254 24 g0/0/1 192.168.60.254 24，g0/0/2 50.0.0.1 24）AR4（g0/0/0 100.0.0.2 24，g0/0/1 200.0.0.254 24，交换机：LSW1（vlanif 10 ip 192.168.10.254 24，vlanif 20 192.168.20.254 24，vlanif 100 ip 10.0.0.2 24）LSW2（vlanif 30 ip 192.168.30.254 24，vlanif 40 ip 192.168.40.254 24，vlanif 100 ip 30.0.0.2 24）采用动态路由协议rip，用于自治系统（AS）内的路由信息的传递。

使用vlan协议对逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样。

使用acl（访问控制列表）建立对应的安全策略，实现拒绝访问，与允许访问的控制。

每种协议一个ACL：要控制接口上的流量，必须为接口上启用的每种协议定义相应的ACL。

每个方向一个ACL ：一个ACL 只能控制接口上一个方向的流量。

要控制入站流量和出站流量，必须分别定义两个ACL。

每个接口一个ACL ：一个ACL 只能控制一个接口（例如快速以太网0/0）上的流量。

三层交换技术：第三层交换是在网络交换机中引入路由模块而取代传统路由器实现交换与路由相结合的网络技术。

它根据实际应用时的情况，灵活地在网络第二层或者第三层进行网络分段。

具有三层交换功能的设备是一个带有第三层路由功能的第二层交换机。

利用防火墙来控制不同主机的访问控制，这里使用包过滤防火墙：包过滤防火墙是用一个软件查看所流经的数据包的包头（header），由此决定整个包的命运。

它可能会决定丢弃（DROP）这个包，可能会接受（ACCEPT）这个包（让这个包通过），也可能执行其它更复杂的动作。

三、实施（配置脚本）（截图并附带文字说明）路由器基本配置：----------------------------------------------------AR1------------------------------------------------------- system-viewsysname AR1undo info-center enableinterface g0/0/0ip add 10.0.0.1 24interface g0/0/1ip add 20.0.0.1 24quit//使用rip宣告网络，实现内网网络互通ripnetwork 10.0.0.0network 20.0.0.0quit配置截图：----------------------------------------------------AR2------------------------------------------------------- system-viewsysname AR2undo info-center enableinterface g0/0/0ip add 40.0.0.1 24interface g0/0/1ip add 20.0.0.2 24interface g0/0/2ip add 30.0.0.1 24quit//使用rip宣告网络，实现内网网络互通ripnetwork 20.0.0.0network 30.0.0.0network 40.0.0.0quit//设置acl实现只有经理办公室可以访问财务部，其他部门不能访问财务部，并应用于g0/0/2的出口方向，由于真实设备没有将acl直接应用于接口的命令，使用策略实现。

将动作加入到策略里acl 3000rule 5 permit ip source 192.168.1.1 0 destination 192.168.40.1 0rule 10 deny ip source any destination 192.168.40.1 0rule 15 permit ip source any destination anyquittraffic classifier c1if-match acl 3000quittraffic behavior b1permitquittraffic policy p1classifier c1 behavior b1quitinterface GigabitEthernet0/0/2 traffic-policy p1 outbound配置截图：----------------------------------------------------AR3------------------------------------------------------- system-viewsysname AR3undo info-center enableinterface g0/0/0ip add 192.168.50.254 24interface g0/0/1ip add 192.168.60.254 24interface g0/0/2ip add 50.0.0.1 24quit//使用rip宣告网络ripnetwork 192.168.50.0network 192.168.60.0network 50.0.0.0quit//设置acl实现只有经理办公室可以访问财务部，其他部门不能访问财务部，并应用于g0/0/1的出口方向，由于真实设备没有将acl直接应用于接口的命令，使用策略实现。

将动作加入到策略里acl 3000rule 5 permit ip source 192.168.1.1 0 destination 192.168.60.1 0rule 10 deny ip source any destination 192.168.60.1 0rule 15 permit ip source any destination anyquittraffic classifier c1if-match acl 3000quittraffic behavior b1permitquittraffic policy p1classifier c1 behavior b1quitinterface GigabitEthernet0/0/1 traffic-policy p1 outbound配置截图：----------------------------------------------------AR4------------------------------------------------------- system-viewundo info-center enableinterface g0/0/0ip add 100.0.0.2 24interface g0/0/1ip add 200.0.0.254 24quit//配置静态默认路由实现外网互通ip route-static 0.0.0.0 0.0.0.0 100.0.0.1 配置截图：交换机基本配置：---------------------------------------------------LSW1----------------------------------------------------- system-viewsysname LSW1info-center source DS channel 0 log state off trap state offvlan 10vlan 20vlan 100quit//创建vlan，并将接口加入到相应的vlan中interface Ethernet0/0/1port link-type accessport default vlan 10quitinterface Ethernet0/0/2port link-type accessport default vlan 20quitinterface Ethernet0/0/3port link-type accessport default vlan 100quit//配置三层交换机vlan的接口，充当pc的网关，因为三层交换机的接口不能直接配置IP地址interface vlanif 10ip add 192.168.10.254 24interface vlanif 20ip add 192.168.20.254 24interface vlanif 100ip add 10.0.0.2 24quitripnetwork 192.168.10.0network 192.168.20.0network 10.0.0.0quit配置截图：---------------------------------------------------LSW2----------------------------------------------------- system-viewsysname LSW2info-center source DS channel 0 log state off trap state offvlan 30vlan 40vlan 100quit//创建vlan，并将接口加入到相应的vlan中interface Ethernet0/0/1port link-type accessport default vlan 30quitinterface Ethernet0/0/3port link-type accessport default vlan 40quitinterface Ethernet0/0/2port link-type accessport default vlan 100quit//配置三层交换机vlan的接口，充当pc的网关，因为三层交换机的接口不能直接配置IP地址interface vlanif 30ip add 192.168.30.254 24interface vlanif 40ip add 192.168.40.254 24interface vlanif 100ip add 30.0.0.2 24quitripnetwork 192.168.30.0network 192.168.40.0network 30.0.0.0quit配置截图：防火墙基本配置：----------------------------------------------------FW1------------------------------------------------------ system-viewsysname FW1undo info-center enable//将接口加入到相应的安全区域，firewall zone trustadd interface g0/0/1add interface g0/0/5quitfirewall zone untrustadd interface g0/0/3quitfirewall zone dmzadd interface g0/0/2add interface g0/0/4quitinterface g0/0/1ip add 40.0.0.2 24interface g0/0/2ip add 50.0.0.2 24interface g0/0/3ip add 100.0.0.1 24interface g0/0/4ip add 192.168.2.254 24interface g0/0/5ip add 192.168.1.254 24quitripnetwork 40.0.0.0network 50.0.0.0network 192.168.1.0network 192.168.2.0quit//配置一条回应的静态路由，实现外网互通ip route-static 200.0.0.0 24 100.0.0.2在防火墙上将静态路由与直连路由注入到rip环境ripimport-route directimport-route static//配置地址集，以便在防火墙上实现包过滤的访问控制ip address-set abc type groupaddress 0 192.168.10.0 mask 24address 1 192.168.20.0 mask 24address 2 192.168.30.0 mask 24address 3 192.168.1.0 mask 24address 4 10.0.0.0 mask 24address 5 20.0.0.0 mask 24address 6 30.0.0.0 mask 24address 7 40.0.0.0 mask 24address 8 192.168.40.0 mask 24quitip address-set abcde type groupaddress 0 192.168.10.0 mask 24address 1 192.168.20.0 mask 24address 2 192.168.30.0 mask 24address 3 192.168.1.0 mask 24address 4 10.0.0.0 mask 24address 5 20.0.0.0 mask 24address 6 30.0.0.0 mask 24address 7 40.0.0.0 mask 24quitip address-set abcd type groupaddress 0 192.168.50.0 mask 24address 1 192.168.2.0 mask 24address 2 192.168.60.0 mask 24quit配置安全策略，实现区域之间的访问控制，开启trust到dmz，trust到untrust，untrust到dmz三个区域之间的允许security-policyrule name t_to_dsource-zone trustdestination-zone dmzsource-address address-set abcdestination-address address-set abcdaction permitquitsecurity-policyrule name t_to_usource-zone trustdestination-zone untrustsource-address address-set abcdedestination-address 200.0.0.1 24action permitquitsecurity-policyrule name u_to_dsource-zone untrustdestination-zone dmzsource-address anydestination-address 192.168.2.1 24action permitquit设置一个静态地址转换实现外网访问内网的web服务器。