2023年12月15日发(作者:)
网络工程实训报告
名称 网络系统集成实训
班 级
学 号
姓 名
一、类 型
课程实训
二、实训目的和基本要求
在学习了计算机操作系统、计算机网络等相关课程的基础上,开展网络工程技术实训。通过实训,可以让学生了解目前主流网络技术的应用;动手配置网络设备;在进行了该项实训后,可为学生进入社会,从事网络相关工作打好基础。
要求能够针对一个具体的要求,搭建一个网络。明确网络的拓扑结构、设备选型、设备连接、设备配置、IP地址分配、网络安全、网络管理等内容。如果设备条件有限,也可以使用路由器来完成网络的构建。
三、实训内容
根据自学考试计算机网络专业(独立本科段)实践环节大纲,本课程要求学生能够根据要求自己独立完成网络环境的组建和维护,共36学时。
四、实训步骤
1.项目介绍
1.1 项目概况
本项目是一个核心—汇聚—接入三层式构架,接入层和汇聚层之间是Trunk链路,汇聚与核心是路由。汇聚、核心以及防火墙跑OSPF100,汇聚层区域area 10,核心层与防火墙area0。这种网络结构应用在对安全性要求较高且服务器应用较为多的企业中。本项目三级结构,接入层和汇聚层在一个楼层,核心层和防火墙以及DMZ区域在中心机房。4个交换机2个VLAN,且每两个交换机属于一个部门。设置WEB服务器在DMZ区域,以及架设VPN服务器供公司员工出差在外地远程办公。
1.2 拓扑结构
整个网络的拓扑结构如下图1-1所示。
图1-1 拓扑图
1.3 设备型号
接入层使用的设备是CISCO 2960。主要参数如下表1-1所示。
表1-1 接入层设备主要参数
交换机类型
应用层级
内存
传输速率
企业级交换机
二层
64MB
10Mbps/100Mbps/1000Mbps
IEEE 802.3 IEEE 802.3u IEEE 802.1x IEEE
802.1Q IEEE 802.1p IEEE 802.1D IEEE
802.1s IEEE 802.1w IEEE 802.3ad IEEE
802.3z IEEE 802.3
固定端口
24
10/100Base-T 10/100/1000Base-Tx
全双工
存储-转发
16Gbps
网络标准
端口结构
端口数量
接口介质
传输模式
交换方式
背板带宽
汇聚层使用的设备是CISCO 4506。主要参数如下表1-2所示。
表1-2 汇聚层设备主要参数
交换机类型
应用层级
内存
传输速率
模块化交换机
三层
128MB
10Mbps/100Mbps/1000Mbps
IEEE 802.3、10BASE-T,IEEE 802.3u、100BASE-TX,IEEE 802.3、10BASE-FX,IEEE
802.3z、IEEE 802.3x、IEEE
802.3ab,10BASE-X(GBIC)
模块化
240
10/100/1000Base-T,1000Base-FX
支持全双工
存储-转发
100Gbps
网络标准
端口结构
端口数量
接口介质
传输模式
交换方式
背板带宽
核心层使用的设备是CISCO 3900主要参数如表1-3所示。
表1-3 核心层设备主要参数
交换机类型
应用层级
传输速率
网络标准
企业级交换机
四层
10Mbps/100Mbps/1000Mbps
IEEE 802.3、10BASE-T,IEEE 802.3u、100BASE-TX,IEEE 802.3、10BASE-FX,IEEE
802.3z、IEEE 802.3x、IEEE
802.3ab,10BASE-X(GBIC)
模块化
支持全双工
存储-转发
100Gbps
75Mbps
支持
支持
端口结构
传输模式
交换方式
背板带宽
包转发率
VLAN支持
QOS支持
防火墙使用的设备是CISCO ASA5505。主要参数如表1-4所示。
表1-4 防火墙设备主要参数如下
设备类型
并发连接数
网络吞吐量(Mbps)
安全过滤带宽
用户数限制
入侵检测
企业级防火墙
25000
150
100Mbps
无限制
DoS、IDS
安全标准
控制端口
管理
UL 60950,CSA C22.2 No.60950,EN 60950
IEC 60950,AS/NZS60950
console,RJ-45
思科安全管理器(CS-Manager),Web
2.综合布线
综合布线目前被划分为6个子系统,它们是:工作区子系统;水平干线子系统;管理间子系统;垂直干线子系统;建筑群子系统;设备间子系统。企业的综合布线系统是将各种不同组成部分构成一个有机的整体,而不是像传统的布线那样自成体系,互不相干,如图2-1所示。
水平干线子系统工作区子系统管理子系统主干线子系统建筑群子系统设备区子系统: 非屏蔽双绞线(24AWG,0.5mm): 光纤(62.5/125um)
图2-1综合布线系统的六个子系统
(1)工作区子系统
目的是实现工作区终端设备与水平子系统之间的连接,由终端设备连接到信息插座的连接线缆所组成。工作区常用设备是计算机、网络集散器(Hub或Mau)等。
工作区是企业内部员工办公定点,也是接入层交换机的终端位置区域。在工作区子系统中主要涉及到用户的信息点数以及信息点到用户桌面的连接。对于交换机和PC如何连接,我们选取超5类的UTP线缆。
制作双绞线RJ45头,并运用测线仪检测制作的网线是否成功。
用网线测试仪测试网线两头,观察指示灯闪烁的顺序,如果是直通线,则网线两端水晶头闪烁的顺序分别是1、2、3、4、5、6、7、8;如果是交叉线,则网线568B这一端水晶头闪烁的顺序是:1、2、3、4、5、6、7、8,568A这一端水晶头闪烁的顺序是:3、6、1、4、5、2、7、8。如果是这样的话,说明网线没有问题。
(2)水平子系统
目的是实现信息插座和管理子系统(跳线架)间的连接,将用户工作区引至管理子系统,并为用户提供一个符合国际标准,满足语音及高速数据传输要求的信息点出口。该子系统由一个工作区的信息插座开始,经水平布置到管理区的内侧配线架的线缆所组成。系统中常用的传输介质是4对UTP(非屏蔽双绞线),它能支持大多数现代通信设备。如果需要某些宽带应用时,可以采用光缆。信息出口采用插孔为ISDN8芯(RJ45)的标准插口,每个信息插座都可灵活地运用,并根据实际应用要求可随意更改用途。
(3)垂直干线子系统
目的是实现计算机设备、程控交换机(PBX)、控制中心与各管理子系统间的连接,是建筑物干线电缆的路由。 该子系统通常是两个单元之间,特别是在位于中央点的公共系统设备处提供多个线路设施。
(4)管理子系统
子系统由交连、互连配线架组成。管理点为连接其它子系统提供连接手段。交连和互连允许将通讯线路定位或重定位到建筑物的不同部分,以便能更容易地管理通信线路,使在移动终端设备时能方便地进行插拔。
(5)设备间子系统
本子系统主要是由设备间中的电缆、连接器和有关的支撑硬件组成,作用是将计算机、PBX、摄像头、监视器等弱电设备互连起来并连接到主配线架上。对于综合布线工程设计而言,设备间主要安装总配线设备。设备间子系统又称为设备子系统,所有楼层的通信量都由电缆或光缆汇聚于此,因此设备间子系统是综合布线系统中最主要的管理区域。
(6)建筑群(CAMPUS)子系统:
实现建筑物之间的相互连接,常用通信介质是光缆,主干线和建筑群间使用光缆。
需要指出的是,对数据通讯而言,主干线和建筑群间使用光缆,并使用FDDI或ATM技术,可使系统间的传输率达100Mbps或155Mbps。对工作区而言,如果使用CAT3 UTP电缆,则目前技术可达100Mbps (100Base-T);而对CAT5 UTP电缆,对目前设备而言,可达155Mbps。
3.网络设备的连接、IP地址配置以及VLAN规划
3.1 网络设备的连接
接入层上使用二层交换机S2960 ,汇聚层上使用S3750,三层交换连接防火墙FW,防火墙与ISP连接;服务器都放在防火墙的停火区内,工作站都放在防火墙的安全区内。
具体实现如下图3-1所示。
图3-1
3.2 IP地址配置
接入层交换层网段根据不同VLAN划分,如下:
VLAN100 IP地址:192.168.50.2/248网关:192.168.50.0
VLAN200 IP地址:192.168.100.2/248网关:192.168.100.0
VLAN300 IP地址:192.168.200.2/248网关:192.168.200.0
3.3 VLAN的划分以及IP地址规划
在此次设备的连接过程中,两台核心交换机以及内部服务两台交换机做Channel用光纤进行连接,Core与各楼层交换机也用光纤进行连接。其交换设备与PC连接用超5类或6类UTP进行连接。
具体设备互联接口如下表3-1。
表3-1
Local_device Local_port
S0/4
CISCO3900 S0/1
S0/2
Fa0/2
CISCO4506-1 Fa0/3
Fa0/4
Fa0/3
CISCO4506-2
Fa0/4
Fa0/5
Cisco2960-1
Cisco2960-2
Cisco2960-3
F0/2
F0/3
F0/3
F0/4
F0/4
F0/5
IP_add
192.168.250.1
Trunk
Trunk
Trunk
Trunk
Trunk
Trunk
Trunk
Trunk
Trunk
Trunk
Trunk
Trunk
Peer_device
CISCO3900
Cisco4506-1
Cisco4506-2
Cisco2960-1
Cisco2960-2
Cisco2960-3
Cisco2960-1
Cisco2960-2
Cisco2960-3
Peer_port IP_add
S0/4
F0/1
F0/2
Fa0/2
Fa0/3
Fa0/4
Fa0/3
Fa0/4
Fa0/5
192.169.10.2
Trunk
Trunk
Trunk
Trunk
Trunk
Trunk
Trunk
Trunk
Trunk
Trunk
Trunk
Trunk
CISCO ASA5505 E0/4
Cisco asa5505 E0/4
CISCO4506-1 F0/2
CISCO4506-2 F0/3
CISCO4506-1 F0/3
CISCO4506-2 F0/4
CISCO4506-1 F0/4
CISCO4506-2 F0/5
VLAN的划分及命名规则
接入层每个交换机划分为一个VLAN,VLAN号分别为VLAN100、VLAN200、VLAN300
Vlan划分以及Vlan址址端口规则如表3-2所示。
表3-2
交换机
C2960-1
C2960-2
C2960-3
VLAN号
VLAN100
VLAN200
VLAN300
VLAN地址
192.168.50.1
192.168.100.1
192.168.200.1
VLAN所在端口号
Fa0/2-24
Fa0/2-24
Fa0/2-24
4.交换机的配置
4.1接入层交换机的配置
(1)2960-1配置如下:
hostname C2960_1
!
vlan 100
!
interface fastEthernet0/2
description TO_4506-1
switchport mode trunk
no shutdown
interface fastEthernet0/3
description TO_4506-2
switchport mode trunk
no shutdown
!
switchport mode access
switchport access vlan 100
no shutdown
!
switchport port-security maximum 1
switchport port-security violation restrict
switchport port-security mac-address sticky
!
(2)2960-2配置如下:
hostname C2960_2
!
vlan 200
!
interface fastEthernet0/3
description TO_4506_1
switchport mode trunk
no shutdown
!
interface fastEthernet0/4
description TO_4506_2
switchport mode trunk
no shutdown
switchport mode access
switchport access vlan 200
no shutdown
!
switchport port-security maximum 1
switchport port-security violation restrict
switchport port-security mac-address sticky
!
(3)2960-3配置如下:
hostname C2960_3
!
vlan 100
!
interface fastEthernet0/4
description TO_4506_1
switchport mode trunk
no shutdown
!
interface fastEthernet0/5
description TO_4506_2
switchport mode trunk
no shutdown
switchport mode access
switchport access vlan 300
no shutdown
!
switchport port-security maximum 1
switchport port-security violation restrict
switchport port-security mac-address sticky
!
4.2核心层交换机配置
CISCO 3900配置如下:
hostname Core!
vlan 88
!
interface S0/4
description TO_FW
no switchport
ip address 192.168.10.2 255.255.255.0
no shutdown
!
interface S0/1
description TO_4506_1
no switchport
ip address 192.168.254.1 255.255.255.252
no shutdown
!
interface S0/2
description TO_4506_2
no switchport
ip address 192.168.254.5 255.255.255.252
no shutdown
!
switchport mode access
switchport access vlan 88
channel-group 1 mode desirable
no shutdown
!
int vlan 88
ip address 192.168.250.1 255.255.255.252
no shutdown
!
ip routing
!
router ospf 100
network 192.168.250.1 0.0.0.0 area 0
network 192.168.254.1 0.0.0.0 area 10
network 192.168.254.5 0.0.0.0 area 10
network 192.168.10.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
network 192.168.40.0 0.0.0.255 area 0
!
hostname Core2
!
vlan 88
!
interface fastEthernet0/0
description TO_FW
no switchport
ip address 192.168.20.2 255.255.255.0
no shutdown
!
interface fastEthernet0/3
description TO_C3750_1
no switchport
ip address 192.168.252.1 255.255.255.252
no shutdown
!
interface fastEthernet0/4
description TO_C3750_2
no switchport
ip address 192.168.252.5 255.255.255.252
no shutdown
!
interface range fastEthernet0/1 - 2
switchport mode access
switchport access vlan 88
channel-group 1 mode desirable
no shutdown
!
int vlan 88
ip address 192.168.250.2 255.255.255.252
no shutdown
!
router ospf 100
network 192.168.250.2 0.0.0.0 area 0
network 192.168.252.1 0.0.0.0 area 10
network 192.168.252.5 0.0.0.0 area 10
network 192.168.10.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
network 192.168.40.0 0.0.0.255 area 0
!
4.3汇聚层交换机配置
CISCO 4506-1配置如下:
Hostname 4506-1
VLAN 88
interface F0/2
description TO_2960-1
no switchport
ip address 192.168.10.2 255.255.255.0
no shutdown
!
interface F0/3
description TO_2960_2
no switchport
ip address 192.168.254.1 255.255.255.252
no shutdown
!
interface F0/4
description TO_2960_3
no switchport
ip address 192.168.254.1 255.255.255.252
no shutdown
switchport mode access
switchport access vlan 88
channel-group 1 mode desirable
no shutdown
!
int vlan 88
ip address 192.168.250.1 255.255.255.252
no shutdown
!
ip routing
!
router ospf 100
network 192.168.250.1 0.0.0.0 area 0
network 192.168.254.1 0.0.0.0 area 10
network 192.168.254.5 0.0.0.0 area 10
network 192.168.10.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
network 192.168.40.0 0.0.0.255 area 0
!
CISCO 4506-2配置如下:
Hostname 4506-2
VLAN 88
interface F0/3
description TO_2960-1
no switchport
ip address 192.168.10.2 255.255.255.0
no shutdown
!
interface F0/4
description TO_2960_2
no switchport
ip address 192.168.254.1 255.255.255.252
no shutdown
!
interface F0/5
description TO_2960_3
no switchport
ip address 192.168.254.1 255.255.255.252
no shutdown
switchport mode access
switchport access vlan 88
channel-group 1 mode desirable
no shutdown
!
int vlan 88
ip address 192.168.250.1 255.255.255.252
no shutdown
!
ip routing
!
router ospf 100
network 192.168.250.1 0.0.0.0 area 0
network 192.168.254.1 0.0.0.0 area 10
network 192.168.254.5 0.0.0.0 area 10
network 192.168.10.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
network 192.168.40.0 0.0.0.255 area 0
4.4防火墙配置
ASA 5505配置如下:
hostname FW
!
interface Ethernet0/0
nameif inside
security-level 100
ip add 192.168.10.1 255.255.255.0
no shutdown
!
interface Ethernet0/1
nameif inside_other
security-level 100
ip add 192.168.20.1 255.255.255.0
no shutdown
!
interface Ethernet0/2
nameif DMZ
security-level 50
ip add 192.168.30.1 255.255.255.0
no shutdown
!
interface Ethernet0/3
nameif outside
security-level 0
ip add 211.1.1.251 255.255.255.0
no shutdown
!
route outside 0.0.0.0 0.0.0.0 211.1.1.251
!
nat (inside) 1 0.0.0.0 0.0.0.0
nat (inside_other) 1 0.0.0.0 0.0.0.0
global (outside) 1 interface
!
access-list nonat permit ip 192.168.0.0 255.255.0.0 any
nat (inside) 0 access-list nonat
nat (inside_other) 0 access-list nonat
!
static (DMZ,outside) 211.1.1.251 192.168.30.2
access-list outside_to_DMZ extended permit tcp any host 211.1.1.251 eq 80
access-group outside_to_DMZ in interface outside
!
ip local pool vpn_users 192.168.40.1-192.168.40.10
!
webvpn
enable outside
svc image flash:/ 1
svc enable
tunnel-group-list enable
!
group-policy classmates internal
group-policy classmates attributes
vpn-tunnel-protocol svc webvpn
username qidi password 123456
username qidi attributes
vpn-group-policy classmates
!
tunnel-group remoteuser type remote-access
tunnel-group remoteuser general-attributes
address-pool vpn_users
default-group-policy classmates
tunnel-group remoteuser webvpn-attributes
group-alias classmates enable
!
router ospf 100
network 192.168.10.0 255.255.255.0 area 0
network 192.168.20.0 255.255.255.0 area 0
network 192.168.30.0 255.255.255.0 area 0
network 192.168.40.0 255.255.255.0 area 0
default-information originate always
!
5.服务器搭建
5.1 WEB服务器搭建
建立WEB服务和FTP服务需要安装IIS。
安装IIS过程如下:控制面板”—“添加或删除程序”—“添加或删除Windows组件”如图:
点击“下一步”,开始安装IIS,会提示“插入磁盘”:
点“确定”后出现“所需文件”对话框,点“浏览”,然后选择你下载解压后的IIS安装包,然后点“打开”。整个安装过程会弹出数次“所需文件”对话框,接下去只需点“浏览”,选中所需文件后点“打开”即可
稍等片刻,IIS的安装就完成了,打开“控制面板>管理工具”,就会看到“Internet 信息服务”,这个就是IIS控制台了。
用IIS配置WEB服务器如下:
打开“控制面板”->“管理工具”->“Internet 服务管理器”:
在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:
点击上面属性窗口里的“主目录”:
在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:inetpubwwwroot”。如果想把网站文件存放在其他地方,可修改这个路径。
点击上面属性窗口的“文档”:
这里主要是设置网页默认打开的文档时什么格式的,一般我们将用为第一默认,将其上移即可。全部确定之后服务器就架设好了。
应用2003搭建服务器虽然性能不是最好,但是其与Windows的完美的兼容性,还是使得复杂的东西简单化了,只要服务器架设好,相应的服务启动了,这样就可以了。接下来我们就可以访问网站了。
XP下测试结果如图所示:
5.2 MAIL服务器搭建
5.2.1 邮件服务器的安装
邮件服务器的安装其实就是PO3、SMTP服务相关组件的安装,本文主要为大家介绍如何利用“配置您的服务器向导”进行安装邮件服务器。
(1)执行【开始】→【管理工具】→【配置您的服务器向导】菜单操作,打开如下图所示对话框。
“欢迎使用‘配置您的服务器向导’”对话框,单击“下一步”按钮,打开对话框。这是一个预备步骤,在其中提示了在进行以下步骤前需要做好的准备工作。
(2)单击“下一步”按钮,打开如图所示对话框。在其中选择“邮件服务器(POP3,SMTP)选项。
(3)单击“下一步”按钮,打开如图所示对话框。在其中要求选择邮件服务器中所使用的用户身份验证方法,一般如果是在域网络中,选择“Active Directory集成的”这种方式,这样邮件服务器就会以用户的域帐户进行身份认证。然后在“电子邮件域名”中指定一个邮件服务器名,本示例为。
(4)单击“下一步”按钮,打开如图47所示对话框。这是一个选择总结对话框,在列表中总结了以上配置选择。单击“下一步”按钮后系统开始安装邮件服务器所需的组件,进程如图所示。不过在此过程中,系统会提示用户指定Windows Server 2003系统源程序所在位置,以便复制所需文件。
“正在配置组件”对话框
(7)完成文件复制后系统会自动打开如图49所示向导完成对话框。直接单击“完成”按钮完成邮件服务器的整个安装过程。完成后执行【开始】→【管理工具】→【管理您的服务器】菜单
操作,在打开的如图50所示“管理您的服务器”窗口即可见到刚才安装的邮件服务器了。单击“管理此邮件服务器”即可打开邮件服务器窗口,如图所示。
5.2.1 邮件服务器的配置
邮件服务器安装好后还需要进行一定的配置才能正常工作。下面是具体的配置步骤:
(1)执行【开始】→【管理工具】→【POP3服务】菜单操作,在打开如图所示邮件服务器窗口。
(2)在窗口左边单击邮件服务器名(本示例为grfwgz02),然后单击右键,在弹出菜单中选择“属性”选项,或者在右边窗格中单击“服务器属性”链接,都可打开如图54所示邮件服务器属性对话框。
在这个对话框中可以配置服务器所使用端口、日志级别、根邮件目录,是否要采取安全密码身份验证方式,以及是否为新邮箱创建关联的用户。具体配置很简单,不再赘述。
(3)在如图所示邮件服务器窗口左边窗格中选择相应的邮件服务器域名,在右边窗格中单击“添加邮箱”链接。在这里可以添加新用户邮箱。如果要同时为系统创建一个用户帐户,则要选择“为此邮箱创建相关联的用户”复选项,输入好邮箱名和密码后单击“确定”按钮,系统会弹出如图所示提示。在提示中提醒了用户在使用不同身份验证方式下的用户邮箱帐户名称。
添加了用户邮箱后的邮件服务器窗口如图所示。此时在“状态”列中显示“已解销”,表示用户可以使用邮箱了。如果要禁用某用户的邮箱,则只需在相应用户邮箱上单击右键,在弹出菜单中选择“锁定”选项即可。
(4)除了可以向已有域邮件服务器中添加用户邮箱外,还可以在邮件服务器添加多个隶属于不同域系统的邮箱系统。方法是在如图所示邮件服务器窗口中选择邮件服务器,然后在右边的窗格中单击“新域”链接,打开如图所示对话框。在其中输入新的邮件服务器域名,单击“确定”按钮即可。这样在一个邮件服务器中就可以为多个不同域系统担当邮件服务器角色。
5.2.3 邮件收发
点击【开始】菜单-管理工具-Internet信息管理服务。点击默认SMTP属性,选择常规标签,设定IP地址,我这里设置的是172.16.1.1,如图所示。
打开【OUTLOOK express】,选择【工具】-【账户】,如图所示,点击【添加】-【邮件】。
弹出如图所示对话框,要求输入账户名。
点击【下一步】,输入邮件地址配置邮件服务器,如图所示。
一直默认,直到出现完成,即创建账户完成,如图所示即可看到所创建的账户。
点击左上角的【创建邮件】,可开始邮件的收发,如图所示。
点击【发送】即可,重新打开outlook express即可在收件箱看到刚刚所发的邮件,如图所示。
5.3 FTP服务器搭建
首先点击开始菜单,选择管理工具,选择Internet信息管理器。如图所示。
进入【Internet 信息服务】窗口,依次点击【本地计算机】——>【FTP站点】,出现【默认 FTP
站点】,再右击【默认 FTP 站点】,选中【属性】。
配置阶段
进入【默认 FTP 站点 属性】窗口,展开【FTP站点】对话框,点击【IP地址】右边的下拉菜单,并选中本机IP,也可手工输入IP。其他设置为默认即可。
IP地址就是FTP服务器的地址,全部未分配就是本机所有网卡上的地址都可以访问,我不建议这样选择,我这里选择了第二块网卡的地址,也就是192.168.1.2。如图所示。
展开【主目录】窗口,点击【本地路径】右边的浏览,选中要设置的目录。其他设置默认即可。
【安全账号】和【消息】中的属性为默认即可。如有需要再做改动。
点击【应用】——>【确定】。
经过以上设置后,就可以在内网访问刚才搭建的FTP站点了。
5.4 VPN
对于VPN的配置通过防火墙来设置,配置如下:
webvpn
enable outside
svc image flash:/ 1
svc enable
tunnel-group-list enable
!
group-policy classmates internal
group-policy classmates attributes
vpn-tunnel-protocol svc webvpn
username qidi password 123456
username qidi attributes
vpn-group-policy classmates
!
tunnel-group remoteuser type remote-access
tunnel-group remoteuser general-attributes
address-pool vpn_users
default-group-policy classmates
tunnel-group remoteuser webvpn-attributes
group-alias classmates enable
!
router ospf 100
network 192.168.10.0 255.255.255.0 area 0
network 192.168.20.0 255.255.255.0 area 0
network 192.168.30.0 255.255.255.0 area 0
network 192.168.40.0 255.255.255.0 area 0
default-information originate always
!
6.防火墙与网关
防火墙就在核心层和互联网之间,定制一些访问策略,它是不设防区域,放置一些WEB服务器,具体的对与防火墙的ACL配置如下:
hostname FW
!
interface Ethernet0/4
nameif inside
security-level 100
ip add 192.168.10.1 255.255.255.0
no shutdown
!
nameif DMZ
security-level 50
ip add 192.168.30.1 255.255.255.0
no shutdown
!
interface Ethernet0/3
nameif outside
security-level 0
ip add 211.1.1.251 255.255.255.0
no shutdown
!
route outside 0.0.0.0 0.0.0.0 211.1.1.251
!
nat (inside) 1 0.0.0.0 0.0.0.0
nat (inside_other) 1 0.0.0.0 0.0.0.0
global (outside) 1 interface
!
access-list nonat permit ip 192.168.0.0 255.255.0.0 any
nat (inside) 0 access-list nonat
nat (inside_other) 0 access-list nonat
!
static (DMZ,outside) 211.1.1.251 192.168.30.2
access-list outside_to_DMZ extended permit tcp any host 211.1.1.251 eq 80
access-group outside_to_DMZ in interface outside
!
ip local pool vpn_users 192.168.40.1-192.168.40.10
7.测试整个网络
测试结果1
测试结果2
测试结果3
VPN的实现:
鼠标右击服务器状态下显示的电脑名字,在弹出菜单中选择配置并启用路由和远程访问
选中自定义配置,因为服务器只有一块网卡,所以选中第一项或第三项的话,你会得到一个“必须两块网卡”的提示。在下一步中弹出选择您想在此服务器上启动的服务,然后选中VPN访问,接着系统会问你“要不要启动服务” ,选择启动服务。
VPN服务启动成功后,会看到以下提示如图,右击鼠标 要管理的电脑(这里的[KTVSERVER(本地)]),然后在弹出菜单中选择[属性]
在弹出的控制面板中选中IP --> 静态地址池--> 添加 然后输入个起始IP 192.168.1.1 结束IP 192.168.1.254,这个IP段,是给拔入你的VPN服务器的客户端分配的虚拟IP。
然后点击“添加”按钮设置IP地址范围,这个IP范围就是VPN局域网内部的虚拟IP地址范围,每个拨入到VPN服务器都会分配到一个范围内的IP,在虚拟局域网中用这个IP相互访问。至此,VPN服务部分配置完成。
配置客户端
客户端可以是windows 2003,也可以是Windows XP,设置几乎一样,这里以2003客户端设置为例。
选择程序―附件―通讯―新建连接向导,启动连接向导
这里选择第二项“连接到我的工作场所的网络”,这个选项是用来连接VPN的。下一步
选择“虚拟专用网络连接”,下一步,在“连接名”窗口,填入连接名称VPN下一步
单击“完成”。
此时完成了客户端VPN的配置。
输入账户和密码便可以VPN的链接,使用VPN访问内网。
发布评论