网络集成课程设计.docx
- 文档编号:16779052
- 上传时间:2023-07-17
- 格式:DOCX
- 页数:53
- 大小:1.18MB
网络集成课程设计.docx
《网络集成课程设计.docx》由会员分享,可在线阅读,更多相关《网络集成课程设计.docx(53页珍藏版)》请在冰点文库上搜索。
网络集成课程设计
网络集成课程设计
重庆科技学院
学生实习(实训)总结报告
院(系):
电气与信息工程学院专业班级:
计科普1002____
学生姓名:
____学号:
______
实习(实训)地点:
_____________________
报告题目:
____《网络系统集成》实训报告___________
报告日期:
2013年1月15日
指导教师评语:
_______________________________________
_____________________________________________________________________________________________________________________________________________________________________________________________________________
成绩(五级记分制):
_____________
指导教师(签字):
_____________________
前言
本次实训主要是关于防火墙的配置、基于IPSec的GRE实现、基于IP的数据会议网络,还有就是有关OSPF配置、ACL配置、NAT地址池转换等以前实验中学习的内容。
实验中我们主要注重的一点就是有关IPSec-Over-GRE和GRE-Over-IPSec方式配置上的区别,还有就是关于IP的数据会议网络中的两个器材的使用方法了解,以及复习以前有关的实验操作。
而实训的目的不仅仅是要大家能够配置,能够动手操作,而是为了让大家都了解它们配置的理论。
本实训的目的是使学生了解企业网络的建设需求、建设规划、设备选择、系统集成以及设备调试等方面的知识。
更进一步掌握交换机和路由器以及防火墙等设备的有关知识,并将所学的内容加以综合,提高学生的动手能力。
通过查阅资料,了解所学知识的应用情况,同时也使学生通过动手规划设计网络拓扑、调试网络设备而提高解决实际问题的能力。
在进行本设计之前,要先掌握的技术有:
网络互连技术、TCP/IP知识、CISCO、H3C设备的工作原理和配置方法。
为了能够快速高效地完成课程实训,掌握一些常用工具是必要的,这些工具包括:
TFTPServer、SecureCRT、WildPacketsEtherPeek、FLUKE网络协议分析仪、NT955线缆测试仪。
本次实训我们主要做的事四个题目,题目一是有关于IPSec的GRE实现,主要ACL定义的是内网数据流,而Ikepeer中指定的remote-address是对方GREtunnel地址,应用端口为GREtunnel上。
题目二是有关ME5000、MG6030的相关配置。
题目三是有关防火墙的操作,要求实现ip-sweep和port-scan攻击防范动态加入黑名单功能,实现分片报文攻击防范、常见flood攻击防范,添加相应的规则,进行常见病毒攻击的防护,邮件主题过滤、网页地址过滤实现。
题目一、基于IPSec的GRE实现
1.1实训任务
1.1.1组网需求
分部1和分部2通过野蛮IPSec的方式连接到中心,采用GRE-Over-IPSec的方式,在tunnel上运行OSPF协议来实现总部和分部之间的互通。
1.1.2组网图
图1.1组网图
1.1.3配置要求
(1)3个MSR20路由器的配置;
(2)中心上的ikesa状态;
(3)中心上的IPSecsa状态;
(4)中心路由表;
(5)分部1的ikesa状态;
(6)分部1的ipsecsa状态;
(7)分部1的路由表
(8)实验组网图
图1.2网络拓扑图
1.2设备配置文档
1.2.1中心路由器的配置
配置各个端口的IP地址。
[center]inte0/1
[center-Ethernet0/1]ipadd19.168.1.124
[center-Ethernet0/1]ints1/0
[center-Serial1/0]ipadd20.10.1.230
[center-Serial1/0]ints2/0
[center-Serial2/0]ipadd20.10.4.230
[center-Serial2/0]quit
用访问控制列表实现包过滤即Acl配置。
[center]aclnumber3001
[center-acl-adv-3001]rule0permitgresource20.10.1.20destination20.10.2.20
[center-acl-adv-3001]quit
[center]aclnumber3002
[center-acl-adv-3002]rule0permitgresource20.10.4.20destination20.10.3.20
配置总部center与分部1branch1之间的GREtunnel0,再配置总部center与分部2branch2之间的GREtunnel1,分别给tunnel配置IP地址,在定义通道源地址与目的地址。
interfaceTunnel0
ipaddress10.0.0.1255.255.255.252
source20.10.1.2
destination20.10.2.2
interfaceTunnel1
ipaddress10.0.0.5255.255.255.252
source20.10.4.2
destination20.10.3.2
配置OSPF动态路由。
实验中分为3个区域,分别是area0、area10、area20,然后将相应的路由宣告到各自的区域中去。
ospf1
area0.0.0.0
network1.1.1.10.0.0.0
network19.168.1.00.0.0.255
area0.0.0.10
network10.0.0.40.0.0.3
area0.0.0.20
network10.0.0.00.0.0.3
Ike和ipsec的配置
ikepeerbranch1//设置IKE对等体,名称为brance1
exchange-modeaggressive//设置IPsec为野蛮模式
pre-shared-keycipherJ5fBBpuCrvQ=//设立预共享密钥
id-typename//选择ID类型为名字
remote-namebranch1//定义远端对等体名称为brance1
ikepeerbranch2
exchange-modeaggressive
pre-shared-keycipherJ5fBBpuCrvQ=
id-typename
remote-namebranch2
remote-address20.10.3.2
ikepeercenter
remote-address20.10.2.2
定义ipsecproposal的安全级别为1。
ipsecproposal1
设置分部1与分部2的ipsecpolicy
ipsecpolicycenter10isakmp
securityacl3001
ike-peerbranch1
proposal1
ipsecpolicycenter20isakmp
securityacl3002
ike-peerbranch2
proposal1
在相应的端口上应用IPSecpolicy。
interfaceSerial1/0
link-protocolppp
ipaddress20.10.1.2255.255.255.252
ipsecpolicycenter
interfaceSerial2/0
link-protocolppp
ipaddress20.10.4.2255.255.255.252
ipsecpolicycenter
静态路由配置
iproute-static0.0.0.00.0.0.020.10.1.1
1.2.2分部1路由器的配置
[branch1]inte0/1
[branch1-Ethernet0/1]ipadd19.168.2.124
[branch1-Ethernet0/1]
[branch1-Ethernet0/1]ints2/0
[branch1-Serial2/0]ipadd20.10.2.230
#
aclnumber3001
rule0permitgresource20.10.2.20destination20.10.1.20
#
interfaceTunnel0
ipaddress10.0.0.2255.255.255.252
source20.10.2.2
destination20.10.1.2
#
ospf1
area0.0.0.10
network2.2.2.20.0.0.0
network10.0.0.00.0.0.3
network19.168.2.00.0.0.255
#
ikepeercenter
exchange-modeaggressive
pre-shared-keycipherJ5fBBpuCrvQ=
id-typename
remote-namecenter
remote-address20.10.1.2
#
ipsecproposal1
#
ipsecpolicybranch110isakmp
ike-peercenter
proposal1
#
interfaceSerial2/0
link-protocolppp
ipaddress20.10.2.2255.255.255.252
ipsecpolicybranch1
#
iproute-static0.0.0.00.0.0.020.10.2.1
1.2.3分部3路由器的配置
[branch2]inte0/1
[branch2-Ethernet0/1]ipadd19.168.3.124
[branch2-Ethernet0/1]ints1/0
[branch2-Serial1/0]ipadd20.10.3.230
[branch2-Serial1/0]
[branch2-Serial1/0]quit
[branch2]aclnumber3002
[branch2-acl-adv-3002]rule0permitgresource20.10.3.20destination20.10.4.20
[branch2-acl-adv-3002]quit
[branch2]intTunnel1
[branch2-Tunnel1]ipadd10.0.0.630
[branch2-Tunnel1]source20.10.3.2
[branch2-Tunnel1]destination20.10.4.2
[branch2-Tunnel1]quit
[branch2]ospf1
[branch2-ospf-1-area-0.0.0.20]network10.0.0.40.0.0.3
[branch2-ospf-1-area-0.0.0.20]network19.168.3.00.0.0.255
[branch2-ospf-1-area-0.0.0.20]quit
[branch2-ospf-1]quit
[branch2]ikelocal-namebranch2
[branch2]ikepeercenter//配置ike对等体peer
[branch2-ike-peer-center]exchange-modeaggressive
[branch2-ike-peer-center]pre-shared-keyabc
[branch2-ike-peer-center]id-typename
[branch2-ike-peer-center]remote-namecenter
[branch2-ike-peer-center]remote-address20.10.4.2
[branch2-ike-peer-center]quit
[branch2]ipsecproposal1//创建ipsec安全提议
[branch2-ipsec-proposal-1]quit
[branch2]ipsecpolicybranch220isakmp
[branch2-ipsec-policy-isakmp-branch2-20]quit
[branch2]ipsecpolicybranch220isakmp//在分配ipsecpolicy时通过ike协商建立sa
[branch2-ipsec-policy-isakmp-branch2-20]securityacl3002//指定安全策略所引用的访问控制列表号
[branch2-ipsec-policy-isakmp-branch2-20]ike-peercenter
[branch2-ipsec-policy-isakmp-branch2-20]proposal1
[branch2-ipsec-policy-isakmp-branch2-20]quit
[branch2]ints1/0
[branch2-Serial1/0]ipsecpolicybranch2
[branch2-Serial1/0]quit
[branch2]iproute-static0.0.0.00.0.0.020.10.3.1preference60
1.2.4效果查看
(1)中心上的ikesa状态;
[center]disikesa
totalphase-1SAs:
2
connection-idpeerflagphasedoi
----------------------------------------------------------
10620.10.3.2RD|ST1IPSEC
10720.10.3.2RD|ST2IPSEC
1020.10.2.2RD2IPSEC
120.10.2.2RD1IPSEC
flagmeaning
RD--READYST--STAYALIVERL--REPLACEDFD--FADINGTO—TIMEOUT
(2)中心上的IPSecsa状态;
[center]disipsecsa
===============================
Interface:
Serial1/0
pathMTU:
1500
===============================
-----------------------------
IPsecpolicyname:
"center"
sequencenumber:
10
mode:
isakmp
-----------------------------
connectionid:
3
encapsulationmode:
tunnel
perfectforwardsecrecy:
None
tunnel:
localaddress:
20.10.1.2
remoteaddress:
20.10.2.2
Flow:
souraddr:
20.10.1.2/255.255.255.255port:
0protocol:
GRE
destaddr:
20.10.2.2/255.255.255.255port:
0protocol:
GRE
[inboundESPSAs]
spi:
4140546555(0xf6cbb9fb)
proposal:
ESP-ENCRYPT-DESESP-AUTH-MD5
saduration(kilobytes/sec):
1843200/3600
saremainingduration(kilobytes/sec):
1843174/915
maxreceivedsequence-number:
268
anti-replaycheckenable:
Y
anti-replaywindowsize:
32
udpencapsulationusedfornattraversal:
N
[outboundESPSAs]
spi:
3177135980(0xbd5f3f6c)
proposal:
ESP-ENCRYPT-DESESP-AUTH-MD5
saduration(kilobytes/sec):
1843200/3600
saremainingduration(kilobytes/sec):
1843191/915
maxsentsequence-number:
87
udpencapsulationusedfornattraversal:
N
===============================
Interface:
Serial2/0
pathMTU:
1500
===============================
-----------------------------
IPsecpolicyname:
"center"
sequencenumber:
20
mode:
isakmp
-----------------------------
connectionid:
4
encapsulationmode:
tunnel
perfectforwardsecrecy:
None
tunnel:
localaddress:
20.10.4.2
remoteaddress:
20.10.3.2
Flow:
souraddr:
20.10.4.2/255.255.255.255port:
0protocol:
GRE
destaddr:
20.10.3.2/255.255.255.255port:
0protocol:
GRE
[inboundESPSAs]
spi:
284357432(0x10f2f338)
proposal:
ESP-ENCRYPT-DESESP-AUTH-MD5
saduration(kilobytes/sec):
1843200/3600
saremainingduration(kilobytes/sec):
1843199/3450
maxreceivedsequence-number:
9
anti-replaycheckenable:
Y
anti-replaywindowsize:
32
udpencapsulationusedfornattraversal:
N
[outboundESPSAs]
spi:
857610838(0x331e1a56)
proposal:
ESP-ENCRYPT-DESESP-AUTH-MD5
saduration(kilobytes/sec):
1843200/3600
saremainingduration(kilobytes/sec):
1843198/3450
maxsentsequence-number:
16
udpencapsulationusedfornattraversal:
N
(3)中心路由表;
[Center]disiprouting-table
RoutingTables:
Public
Destinations:
20Routes:
20
Destination/MaskProtoPreCostNextHopInterface
0.0.0.0/0Static60020.10.1.1S2/0
1.1.1.1/32Direct00127.0.0.1InLoop0
2.2.2.2/32OSPF10156210.0.0.2Tun0
3.3.3.3/32OSPF10156210.0.0.6Tun1
10.0.0.0/30Direct0010.0.0.1Tun0
10.0.0.1/32Direct00127.0.0.1InLoop0
10.0.0.4/30Direct0010.0.0.5Tun1
10.0.0.5/32Direct00127.0.0.1InLoop0
127.0.0.0/8Direct00127.0.0.1InLoop0
127.0.0.1/32Direct00127.0.0.1InLoop0
19.168.1.0/24Direct0019.168.1.1Eth0/1
19.168.1.1/32Direct00127.0.0.1InLoop0
19.168.2.0/24OSPF10156310.0.0.2Tun0
19.168.3.0/24OSPF10156310.0.0.6Tun1
20.10.1.0/30Direct0020.10.1.2S2/0
20.10.1.2/32Direct00127.0.0.1InLoop0
20.10.2.2/32Direct0020.10.2.2S2/0
20.10.3.2/32Direct0020.10.3.2S1/0
20.10.4.0/30Direct0020.10.4.2S1/0
20.10.4.2/32Direct00127.0.0.1InLoop0
(4)分部1的ikesa状态;
[branch1]disikesa
totalphase-1SAs:
1
connection-idpeerflagphasedoi
----------------------------------------------------------
1120.10.1.2RD|ST2IPSEC
220.10.1.2RD|ST1IPSEC
flagmeaning
RD--READYST--STAYALIVERL--REPLACEDFD--FADINGTO—TIMEOUT
(5)分部1的ipsecsa状态;
[branch1]disipsecs
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 集成 课程设计