目录一《网络工程实践》目的及要求二问题陈述三需求分析四设计原则和总体规划五详细设计六结果及测试七总结及展望一《网络工程实践》目的及要求网络工程是指按计划进行的网络综合性工作。

网络工程实践培养学生掌握网络工程的基本理论与方法以及计算机技术和网络技术等方面的知识，能运用所学知识与技能去分析和解决相关的实际问题。

成为可在信息产业以及其他国民经济部门从事各类网络系统和计算机通信系统研究、教学、设计、开发等工作的高级科技人才。

通过《网络工程实践》课程的学习，系统地掌握计算机网络和通信网技术领域的基本理论、基本知识；掌握各类网络系统的组网、规划、设计、评价的理论、方法与技术；获得计算机软硬件和网络与通信系统的设计、开发及应用方面良好的工程实践训练，特别是应获得较大型网络工程开发的初步训练。

二问题陈述大明集团是一家高科技股份制企业，成立于1996年，总部位于广东省广州市。

主要产品有太阳能热水器、全玻璃真空管、太阳能热水系统、温屏节能玻璃等四大系列。

大明集团以其产品的不断创新和过硬的质量，多次获得消费者信得过产品、专利创新奖等国家级奖项。

该集团共用系列信息系统：一套oa系统，一套生产管理信息系统，一套财务系统，一个对外宣传的网站。

大明集团按照地理位置，分为3块第一区域：总部，位于广州市天河区，租用某甲级写字楼3层第一层：前台接待处，行政管理经理办公室，行政管理办公室，人力资源办公室；财务部经理办公室，财务部办公室；第二层：营销管理经理办公室，内贸部办公室，外贸部办公室第三册：董事长办公室，总经理办公室，会议室第二区域：北方销售及售后中心，位于北京市朝阳区，租用某甲级写字楼3第一层：中心销售主任办公室，内贸部办公室，外贸部办公室第二层；中心售后主任办公室，售后办公室，中心财务主任办公室，财务办公室第三层：中心主任办公室，行政办公室，会议室第三区域：生产中心，位于广州市番禺区大石镇。

办公楼：第1层：生产管理部（主任室，管理1，管理2，管理3，管理4）第2层：财务部（主任室，管理会计，成本会计，出纳）第3层：销售部（主任室，内贸部，外贸部），售后部（主任室，售后1部，售后2部）第4层：质管部（主任室，质管1部，质管2部，质管3部，质管4部）第5层：生产中心（总经理室，副总经理1，副总经理2）行政管理部（主任室，行政管理1，行政管理2）科技楼：第1层：研发中心主任室，实验中心主任室，中心机房（总控室）第2层：研发1部，研发2部第3层：研发3部，研发4部第4层：实验1部，实验2部第5层：实验3部，实验4部接待楼：共6层，1-2层产品展示区，3-5层培训住宿，6层会议室第1-2层，分4个产品展示区，每层约200平米第3-5层，每层12个房间，标准双人间，用于培训、接待第6层，大会议室宿舍楼1：共6层，每层12个房间，每个房间4人宿舍楼2：共6层，每层12个房间，每个房间4人宿舍楼3：共6层，1-3层，每层12个房间，每个房间2人4-6层，每层12个房间，每个房间1人厂房1：共2层，每层面积400平米，每层约80人工作厂房2：共2层，每层面积400平米，每层约80人工作厂房3：共2层，每层面积400平米，每层约80人工作厂房4：共2层，每层面积400平米，每层约80人工作仓库1：共2层，每层面积400平米，每层约20人工作仓库2：共2层，每层面积400平米，每层约20人工作三需求分析**集团网络建设具体需求如下：1）网络应该拥有高速的Internet接入出口；2）网络必须能提供DNS、WWW、FTP、E-mail、等多项Internet服务；3）网络能实现企业范围内的自动办公和管理，以及信息资源的共享；4）只有财务处才可以访问财务系统；5）整个企业主干网络实现千兆传输，而楼内根据需要选择千兆或百兆，做到百兆到桌面；6）网络能够使企业总部园区和各分支机构的网络实现安全可靠的传输；7）网络要求达到一定级别的安全性，确保信息资源的可用性和安全性；8）网络在管理上拥有灵活的、安全的管理模式，做到分级别、分权限、分地点的管理；四设计原则和总体规划1、设计原则**集团的信息化建设是对于各项业务正常稳定进行的保证，信息化网络的设计必须充分考虑企业对使用的技术和设备的要求，要遵循功能性、实用性、兼容性、前瞻性、安全性、扩展性和经济性的原则。

1）遵循以企业功能性需求为前提坚持以**集团具体需求为网络方案设计的根本和前提，同时也要注重源于目前需求而又高于目前求的原则，注意用专业化的技术思想进行集团网络的规划与设计，确保网络的实用性、先进性和便于扩展性。

2）追求高性价比的原则选择最好的设备不一定是最佳的方案。

成本因素也是一个方案设计必须考虑的问题，选择设备时必须考虑性价比，采用性价比高的设备的方案才是一个优秀的方案。

3）设备选型兼顾原则设备选型应满足**集团对现代化管理手段的要求；满足集团信息化网络建设的要求；所选设备在国际上保持技术先进性；供应商有良好的商业信誉和优质的售后服务。

4）技术应用全面原则在技术应用方面，应全面考虑其实用性、先进性、开放性、可扩充性、可靠性、安全保密性及友好性。

5)坚持标准原则**集团网络的设计和施工，均要严格遵循国际和国家标准。

要着眼未来，要与日后技术的发展相适应5)坚持标准原则**集团网络的设计和施工，均要严格遵循国际和国家标准。

要着眼未来，要与日后技术的发展相适应。

2、总体规划**集团网络建设建议采用企业级网络模型的多层次化结构；1)整体网络规划分为集团园区、下属分支机构区、服务提供商边缘功能区。

企业园区网络采用三层结构；服务提供商边缘提供到服务提供商所实施服务的连接，通过使用不同的WAN和ISP，服务提供商边缘功能区能够促成与其他网络的通信。

2)网络平台建议采用拥有与外网连接的高速Internet接入；3)服务器及网络服务系统。

要实现DNS、WWW、FTP、E-mail、数据库等基本网络应用以及企业应用系统服务。

4)全面的系统安全。

应对企业网络进行全面的系统安全设计，包括防火墙、网络防病毒、入侵检测、数据的灾难性恢复等。

5)综合布线系统应该采用在技术上处于领导地位，产品成熟稳定，具有极佳应用效果的公司的布线系统和材料。

五详细设计1、综合布线1）总部一楼：100个信息点；二楼：100个信息点；三楼：100个信息点；2）生产中心办公楼：100个信息点；科技楼：100个信息点；接待楼：100个信息点；宿舍楼：800个信息点厂房：100个信息点；仓库：100个信息点；3）售后中心一楼：100个信息点；二楼：100个信息点；三楼：100个信息点；根据上述分析可知，企业园区共有1900个信息点，外加无线WIFI接入。

2、网络总体结构图从图中可以看到，企业两个个外部分支机构将通过VPN连接成一个统一的企业内联网，满足企业对网络统一管理的要求。

3、层次化的网络模型设计当今网络非常复杂，且对实现组织目标至关重要。

商业对网络带宽、可靠性以及功能的要求越来越高。

使用清晰的网络分层模型模式，将设计方案划分为模块化组或层。

划分为多个层后，每一层都重点提供某些功能，通过这种方式简化了设计，也简化了部署和管理。

并采用分布式交换网络设计方案，以达到可拓展、可靠性高、可用性强、响应快、效率高、适应性强以及访问容易，同时安全性高，管理容易等要求。

本次《网络工程实践》我们采用层次化的网络模型设计5、网络技术选择VLAN与TRUNK链路VTP的设计STP的设计PPP的设计DHCP的设计Ethernet Channel 设计VLAN间路由设计交换机的设置路由协议OSPF区域的划分广域网部分的设计VPN (虚拟专用网)6、网络IP地址与VLAN规划生产中心财务部172.19.0.050172.19.0.254202.202.202.2其他172.20.0.030172.20.0.254售后中心财主办172.21.0.060172.21.0.254202.202.202.3其他172.22.0.040172.22.0.2547、网络设备选型核心层交换机核心层的设备选型考虑核心层应采用两个多层交换机作为网络的核心，以提供可扩展性能、出色的智能性和广泛的特性，要求满足最为严格的中大型企业部署对于构建模块化、永续、可扩展、安全的第二层或第三层解决方案的需求。

并凭借千兆以太网或万兆以太网接口、铜线和光纤媒体传输，以及广泛的广域网和城域网接口支持，提供任意网络核心层所需的灵活性。

此方案选用思科的WS-C6506-E多层交换机作为核心层交换机。

图18 思科WS-C6506-E多层交换机Cisco Catalyst 6500和6500-E系列使用户可获得最高生产率，增强了运营控制，从而为企业园区和电信运营商网络中的IP通信及应用供应设立了新标准。

作为重要的智能、多层模块化思科交换机，Catalyst 6500系列提供了安全、融合的端到端服务，范围涵盖配线间、核心网络、数据中心和WAN边缘。

Cisco Catalyst 6500适用于希望降低总拥有成本（TCO）的大型企业和电信运营商，它提供了前所未有的投资保护，并在几种机箱配置和LAN、WAN及城域网（MAN）接口上提供了出色的可扩展性能和端口密度。

Catalyst 6500系列具有6插槽机箱，配备了范围最为广泛的集成多业务模块，包括多千兆位网络安全、内容交换、电话和网络分析模块。

Cisco Catalyst 6500系列不但能为企业和电信运营商提供市场领先的服务、性能、端口密度和可用性，还能提供无与伦比的投资保护能力，包括：最长的网络正常运行时间－－利用Cisco IOS软件模块化、平台、电源、交换管理引擎、交换矩阵和集成网络服务冗余性，提供1～3秒的状态化故障切换，提供应用和服务连续性统一在一起的融合网络环境，减少关键业务数据和服务的中断。

全面的网络安全性－－将切实可行的数千兆位级思科安全解决方案集成到现有网络中，包括入侵检测、防火墙、VPN和SSL。

可扩展性能－－利用分布式转发架构提供高达400mpps的转发性能。

能够适应未来发展并保护投资的架构－－在同一种机箱中支持三代可互换、可热插拔的模块，以提高IT基础设施利用率，增大投资回报，并降低总拥有成本；操作一致性－－3插槽、6插槽、9插槽和13插槽机箱配置使用相同的模块、Cisco IOS 软件、Cisco Catalyst操作系统软件以及可以部署在网络任意地方的网络管理工具。

卓越的服务集成和灵活性－－将安全、无线局域网服务和内容等高级服务与融合网络集成在一起，提供从10/100和10/100/1000以太网到万兆以太网，从DS0到OC-48的各种接口和密度，并能够在任何项目中部署端到端地执行。

汇聚层交换机接入层交换机服务器接入和外网接入交换机防火墙设备预算费用列表：9、核心设备配置1）划分VLANSwitch(vlan)#vlan 10 name zongbuVLAN 10 modified:Name: zongbuSwitch(vlan)#exitSwitch#conf tSwitch(config)#int vlan 10Switch(config-if)#ip add 172.18.0.254 255.255.0.02）三层交换机动态分配ip DHCPSwitch(config)#int vlan 10Switch(config-if)#ip dhcp excluded-address 172.18.0.254Switch(config)#ip dhcp pool zbSwitch(dhcp-config)#network 172.18.0.0 255.255.0.0Switch(dhcp-config)#default-router 172.18.0.254Switch(dhcp-config)#dns-server 172.16.0.13）将三层交换机端口转换层三层端口Switch#conf tSwitch(config)#interface FastEthernet0/1Switch(config-if)#no switchportSwitch(config-if)#ip address 192.168.1.2 255.255.255.04) Vlan中继协议VTP三层交换机中：Switch#vlan databaseSwitch(vlan)#vtp domain senyaSwitch(vlan)#vtp server二层交换机中：Switch>enSwitch#vlan databaseSwitch(vlan)#vtp domain senyaSwitch(vlan)#vtp client5）双链路聚三层交换机1Switch(config)#interface FastEthernet0/4Switch(config-if)#channel-group 1 mode onSwitch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunkSwitch(config)#interface FastEthernet0/5Switch(config-if)#channel-group 1 mode onSwitch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunkSwitch(config-if)#exitSwitch(config)#vtp domain HSRPSwitch(config)#vtp mode serverSwitch(config)#vtp password zheng三层交换机2Switch(config)#interface FastEthernet0/4Switch(config-if)#channel-group 1 mode onSwitch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunkSwitch(config)#interface FastEthernet0/5Switch(config-if)#channel-group 1 mode onSwitch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunkSwitch(config-if)#exitSwitch(config)#vtp domain HSRPSwitch(config)#vtp mode clientSwitch(config)#vtp password zheng6) STP生成树协议三层交换机1Switch(config)#spanning-tree vlan 10 root primarySwitch(config)#spanning-tree vlan 20 root primarySwitch(config)#spanning-tree vlan 70 root primary三层交换机2Switch(config)#spanning-tree vlan 10 root secondarySwitch(config)#spanning-tree vlan 20 root secondarySwitch(config)#spanning-tree vlan 70 root secondary7) ospf配置Switch(config)#router ospf 1Switch(config-router)#network 172.18.0.0 0.0.255.255 area 1Switch(config-router)#network 172.17.0.0 0.0.255.255 area 1Switch(config-router)#network 172.23.0.0 0.0.255.255 area 1Switch(config-router)#network 192.168.1.0 0.0.0.255 area 18) ACL配置Switch(config)#access-list 101 deny icmp 172.18.0.0 0.0.255.255 host 172.16.0.3Switch(config)#access-list 101 deny icmp 172.23.0.0 0.0.255.255 host 172.16.0.3Switch(config)#access-list 101 deny icmp 172.20.0.0 0.0.255.255 host 172.16.0.3Switch(config)#access-list 101 deny icmp 172.22.0.0 0.0.255.255 host 172.16.0.3Switch(config)#access-list 101 permit ip any anySwitch(config)#int g0/1Switch(config-if)#ip access-group 101 out9）动态NAT配置（防火墙）Router(config)#interface FastEthernet0/0Router(config-if)#ip nat insideRouter(config)#interface Serial0/1/1Router(config-if)#ip nat outsideRouter(config-if)#interface Serial0/1/0Router(config-if)#ip nat outsideRouter(config-if)#ip nat pool zong 202.202.202.1 202.202.202.1 netmask 255.255.255.0 Router(config)#ip nat inside source list 1 pool zongRouter(config)#ip nat inside source static 172.16.0.1 202.202.202.1Router(config)#ip nat inside source static 172.16.0.3 202.202.202.1Router(config)#ip nat inside source static 172.16.0.4 202.202.202.1Router(config)#ip nat inside source static 172.16.0.5 202.202.202.1静态NAT配置Router(config)#ip nat inside source static 172.16.0.2 202.202.202.410）PPP数据链路层协议配置路由器zongbuzongbu(config)#interface Serial0/1/0zongbu(config-if)#encapsulation pppzongbu(config-if)#ppp authentication chapzongbu(config-if)#exitzongbu(config)#username shengcha password zheng路由器shengchazongbu(config)#interface Serial0/1/0zongbu(config-if)#encapsulation pppzongbu(config-if)#ppp authentication chapzongbu(config-if)#no shutzongbu(config-if)#exitzongbu(config)#username zongbu password zheng11) VPN配置zongbu(config)#aaa new-modelzongbu(config)#aaa authentication login VPNAUTH group radius localzongbu(config)#aaa authorization network VPNAUTH localzongbu(config)#crypto isakmp policy 10zongbu(config-isakmp)#encr aes 256zongbu(config-isakmp)#authentication pre-sharezongbu(config-isakmp)#group 2zongbu(config-isakmp)#crypto isakmp client configuration group DAMINGzongbu(config-isakmp-group)#key DAMINGA key already exists for groupDAMINGzongbu(config-isakmp-group)#pool VPNCLIENTSzongbu(config-isakmp-group)#netmask 255.255.255.0zongbu(config-isakmp-group)#crypto ipsec transform-set mytrans esp-3des esp-sha-hmac zongbu(config)#crypto dynamic-map mymap 10zongbu(config-crypto-map)#set transform-set mytranszongbu(config-crypto-map)#reverse-routezongbu(config-crypto-map)#crypto map mymap client authentication list VPNAUTHzongbu(config)#crypto map mymap isakmp authorization list VPNAUTHzongbu(config)#crypto map mymap client configuration address respondzongbu(config)#crypto map mymap 10 ipsec-isakmp dynamic mymapzongbu(config)#ip ssh version 1Please create RSA keys (of at least 768 bits size) to enable SSH v2.zongbu(config)#int s0/1/0zongbu(config-if)#crypto map mymapzongbu(config-if)#ip local pool VPNCLIENTS 10.2.1.100 10.2.1.200%IP address range overlaps with pool: VPNCLIENTSzongbu(config)#radius-server host 172.16.0.3 auth-port 1645 key zhengzongbu(config)#int s0/1/1zongbu(config-if)#crypto map mymapzongbu(config-if)#ip local pool VPNCLIENTS 10.2.1.100 10.2.1.200zongbu(config)#radius-server host 172.16.0.3 auth-port 1645 key zhengzongbu(config-line)#login zongbu(config-line)#line vty 0 4 zongbu(config-line)#login六结果及测试1.动态获取ip2.财办的电脑可以访问财务系统，其他的不可以访问3，外网不能访问内网（防火墙）4，WLAN功能（密码设为12345678）5.VPN功能七总结及展望本次网络实训课程中，我们遇到许多不同的问题和困难，但也从中学到许多知识，和学习，交流，合作的方法。