项目十 网络工程项目案例
一、背景介绍
某科技公司是股份制公司，总公司设在北京，在天津 新收购了一家公司设为天津分公司。总公司使用专用链 路与分公司相连组成城域网，主来用来传输公司业务数 据。当专用链路中断后，公司业务数据通过互联网采用 VPN加密的方式，安全传输业务数据。在总公司的骨 干网、城域网及天津分公司使用动态路由OSPF路由协 议。在总公司的无线办公网采用RIPv2路由协议，如 果你是这个网络项目的网络工程师，可根据下面的需求 构建一个安全、稳定的网络。
4.2 天津分公司 1．网络底层配置 根据网络拓扑图，对设备的各端口、VLAN 等相关信息进行配置，使其能够正常通信。 2．路由协议配置 根据网络拓扑图所示，配置动态路由协议 OSPF，并需要指定RID。由于区域20并 非与骨干区域直接连接，所以需要使用虚链 路技术与区域0连接。
15
项目十 网络工程项目案例
使用IPSec VPN对数据加密，当分公司 VLAN60和VLAN70的用户访问总公司 的VLAN80服务器群的业务时，专用链路 宕掉之后，VPN链路启动，并加密数据。 （2）当专用链路宕掉、VPN链路启用后， OSPF路由也需要通过互联网进行传输， 所以需要使用GRE隧道传递OSPF协议更 新，将GRE隧道的端口也划入到骨干区域 0中。
11
项目十 网络工程项目案例
6．网络安全配置 （1）为保障资源合理利用，需要内网用 户只能在工作日的上班时间才能访问互联 网，即周一至周五的9:00～18:00。 （2）为了网络安全的需求，禁止 VLAN10的用户与VLAN40的用户进行 互相访问。
12
项目十 网络工程项目案例
在服务器群中，部署了DHCP服务器，为 内网用户动态分配IP地址，网络中会存在 无赖设备和DOS攻击，为了保障DHCP 服务器的正常工作，需要配置DHCP监听 功能和中继功能，并要求每隔5秒自动写 入绑定信息。 （3）使用动态ARP检测来防止网络中的 ARP攻击，并限制Untrust端口的ARP 速率阈值为10pps。
4．数据链路配置 （1）根据网络拓扑图所示，由于总公司与 分公司（VLAN60和VLAN70）之间需 要传输服务器群中的业务数据 （VLAN80），为了保障业务数据的安全， 总公司与分公司之间使用专用线路来传输 业务数据。
8
பைடு நூலகம்
项目十 网络工程项目案例
（2）为了实现业务数据传输的高可用性， 需要使用互联网作为业务数据传输的备份 链路，为了保障业务数据在互联网传输的 安全性，使用IPSec VPN技术对数据进 行加密，当分公司VLAN60和VLAN70 的用户访问总公司的VLAN80服务器群的 业务时，专用链路宕掉之后，VPN链路启 动，并加密传输业务数据。
17
项目十 网络工程项目案例
5．路由控制 为了隐藏总公司网络的路由信息，使用分 发列表技术，只允许分公司路由器学习总 公司服务器群的路由条目。 6．DHCP服务 在路由器配置DHCP服务，为内部用户动 态分配IP地址、DNS服务器地址、网关等 参数。
3．网络出口配置 根据网络拓扑图所示，使用网络地址转换 （NAT）技术，实现内部VLAN60、 VLAN70用户使用外部端口的IP地址访 问互联网资源。 4．备份链路 （1）为了实现数据传输的高可用性，需 要使用互联网作为业务数据传输的备份链 路，为了保障数据在互联网传输的安全性，
16
项目十 网络工程项目案例
1
项目十 网络工程项目案例
2
项目十 网络工程项目案例
二、设备配备
设备类型 路由器 三层交换机 无线AP 计算机
设 备 型 号 设备数量（台）
RG-RSR20-18
4
RG-S3760E-24
2
RG-AP220E
1
——
4
3
项目十 网络工程项目案例
四、具体要求
4.1 总公司网络 1．网络底层配置
根据网络拓扑图所示，对网络设备（路 由设备、交换设备、无线设备）的各端口 、VLAN等相关信息进行配置，使其能 够正常通信。
6
项目十 网络工程项目案例
（2）根据网络拓扑图所示，将总部的服 务器FTP发布到互联网，其合法的全局 地址为169.1.1.2；服务器群中有两台 Web服务器组成Web服务组，为了提 高服务器的高可用性，要求使用TCP负 载分担功能来实现，并使用全局地址 169.1.1.3发布给互联网用户。
7
项目十 网络工程项目案例
13
项目十 网络工程项目案例
（4）根据网络拓扑图所示，对所有的接 入端口配置端口安全，如果有违规者则关 闭端口，并要求端口配置为速端口。 7．无线网络配置 根据网络拓扑图所示，配置无线AP，无 线客户端采用PSK 预共享密钥认证方式 接入网络，其共享密钥为 “12345678”。
14
项目十 网络工程项目案例
10
项目十 网络工程项目案例
（5）为了增加两台核心交换机的传输速 率，需要使用链路聚合技术增加带宽，并 需要基于源IP地进行负载均衡。 5．路由协议安全 为保障路由协议更新数据的安全，需要在 RIP协议中配置MD5方式的安全验证， 其口令为ruijie。在OSPF协议中使用 MD5方式并基于端口的安全验证。
4
项目十 网络工程项目案例
2．路由协议配置 根据网络拓扑图所示，在网络中配置 OSPF动态路由协议、RIPv2路由协议 、静态路由，并需要指定OSPF路由器 的RID；为保障网络畅通需要配置路由 重分布，实现全网互通。
5
项目十 网络工程项目案例
3．网络出口配置 （1）根据网络拓扑图所示，使用网络地址 转换（NAT）技术，实现内部用户可以访问 互联网资源，要求内部VLAN10、 VLAN20用户使用外部端口的IP地址做为 全局地址访问互联网资源；内部VLAN30、 VLAN40用户使用169.1.1.7～ 169.1.1.8地址段作为全局地址访问互联资 源。
9
项目十 网络工程项目案例
（3）当专用链路宕掉、VPN链路启用后， OSPF路由也需要通过互联网进行传输，所以需 要使用GRE隧道传递OSPF路由协议更新，将 GRE隧道的端口也划入到骨干区域0中。
（4）为了保障总公司骨干网与总公司无线办公 链路安全，需要在总公司与无线办公网连接的 链路上配置PPP协议，并采用先CHAP后PAP 的验证方式，并将总公司路由器设置为验证方 ，其口令为ruijie。