下载文档原格式
《网络工程与设计》课程设计说明书一、设计要求1、需求分析 (黑体小四)首先要选择一家中小规模的网络。
然后请学生通过实地调查、现场访谈、书面调查等形式了解该网络的组织结构、网络建设的背景,明确网络需求和网络性能的评价标准。
具体地,包括网络建设的目的与原则、投资规模、现有网络的问题与不足等;网络系统中所包含的信息点的数量、分布及信息流量、应用程序的类型及对QoS的要求、是否需要提供广域网接入和网络安全上的考虑因素等。
2、方案设计根据需求分析,以层次化的网络设计方法,选择合适的网络技术,设计一个性能价格比相对优化的网络解决方案,该网络要提供尽可能高的先进性、可靠性、有效性、可扩展性和可管理性3、方案文档的撰写以通用的网络方案编制规范撰写一个相应的书面文档,在该文档中要包括需求分析(网络建设的目标与原则)、主干技术的选择、工程总体设计(拓朴结构、功能设计、硬件与软件选择、结构化布线等)、网络管理与安全、投资预算和设备清单。
二、设计内容和基本要求1、具体题目自拟,需包括实施该网络工程的需求方案分析2、包含本课程所阐述的主要网络组网内容(包含网络设备及介质选择等,含有线和无线方案)3、体现具体的综合布线施工结构图(自拟),含信息点分布方案。
4、包含基本的服务器(Web)搭建方案如:Web、Email、FTP、VOD、网络数据库、计费服务器等。
5、包含网络存储系统设计6、设计该网络系统按部门或楼栋等子网的网络规划内容7、体现防火墙、审计等网站安全设计内容8、提供本系统的拓扑图及网络扩容预留内容9、包含设备及资金预算计划10、以通用的网络方案编制规范撰写一个相应的书面文档,在该文档中要包括需求分析(网络建设的目标与原则)、主干技术的选择、工程总体设计(拓朴结构、功能设计、硬件与软件选择、结构化布线等)、网络管理与安全、投资预算和设备清单。
三、课程设计说明书的编写规范1.写出不少于4000字的课程设计说明书。
2.课程设计说明书应包括首页、摘要、关键字、前言、正文、结束语、参考文献等几个部分。
网络工程相关课程设计一、课程目标知识目标:1. 让学生掌握网络工程的基本概念、原理和技术,理解网络体系结构及各层协议的功能;2. 使学生了解网络设备的种类、性能和配置方法,掌握网络设备的选型及组网技巧;3. 引导学生掌握网络编程的基本方法,学会利用网络协议解决实际问题。
技能目标:1. 培养学生运用所学知识进行网络规划、设计和实施的能力;2. 提高学生网络设备配置、调试及故障排除的能力;3. 培养学生利用网络编程技术解决实际问题的能力。
情感态度价值观目标:1. 培养学生对网络工程的兴趣,激发学生学习主动性和创新精神;2. 增强学生的团队合作意识,培养他们在网络工程实践中的沟通协作能力;3. 培养学生具备良好的网络道德素养,树立正确的网络安全观念。
分析课程性质、学生特点和教学要求,本课程旨在使学生通过学习,能够熟练运用网络工程知识解决实际问题,具备一定的网络规划、设计和实施能力。
课程目标分解为具体的学习成果,以便后续的教学设计和评估。
在教学过程中,注重理论与实践相结合,充分调动学生的主观能动性,培养具备创新精神和实践能力的网络工程人才。
二、教学内容1. 网络工程基本概念与原理:包括网络体系结构、OSI七层模型、TCP/IP协议、网络拓扑结构等;教材章节:第一章 网络基础知识2. 网络设备与组网技术:介绍网络设备的种类、性能、配置方法,以及常见的组网技巧;教材章节:第二章 网络设备与组网技术3. 网络规划与设计:讲解网络规划、设计的原则和方法,以及网络实施流程;教材章节:第三章 网络规划与设计4. 网络编程技术:学习网络编程的基本方法,掌握Socket编程、HTTP协议等;教材章节:第四章 网络编程技术5. 网络安全与网络管理:介绍网络安全的基本概念、技术,以及网络管理的方法和工具;教材章节:第五章 网络安全与网络管理6. 网络工程实践:结合实际案例,进行网络规划、设计、实施和调试的实践操作;教材章节:第六章 网络工程实践教学内容安排和进度:1. 基本概念与原理:2课时2. 网络设备与组网技术:3课时3. 网络规划与设计:3课时4. 网络编程技术:3课时5. 网络安全与网络管理:2课时6. 网络工程实践:4课时三、教学方法1. 讲授法:针对网络工程的基本概念、原理和技术,通过生动的语言和形象的比喻,使学生易于理解和掌握。
网络工程设计实用教程课程设计一、课程设计目的本课程设计旨在帮助学生以实践为基础,加深对网络工程设计的认识,提高网络工程设计能力,为学生今后从事相关领域的工作打下坚实的基础。
二、设计内容1. 实验环境的构建本实验采用基于 Linux 操作系统的虚拟化技术,借助虚拟机软件建立本地网络环境,实现虚拟机之间的互通和与外部网络的互通。
2. 网络拓扑设计本实验以一个企业为例,通过对其业务流程的分析,设计出适合该企业的网络拓扑结构。
拓扑结构包括: - 外网接入 - 防火墙 - 意外中断恢复 - 内网分段 - VLAN网络设计 - 无线网络部署3. 服务配置与管理根据拓扑结构的设计,对实验环境中的各种网络设备进行配置,包括路由器、交换机、防火墙等。
对于网络设备的管理,本实验将采用 SNMP 协议,实现网络设备的管理和监控。
4. 网络服务的实现将在实验环境中搭建多个服务器,实现以下网络服务: - WEB服务器 - FTP服务器 - DHCP服务器 - DNS服务器 - 邮件服务器5. 网络安全策略设计在实验环境中实现以下安全策略: - 网络地址转换(NAT) - 访问控制列表(ACL) - 防火墙策略 - VPN接入控制策略三、设计要求及评分1. 实验报告报告内容应包含以下内容: - 设计任务的分析和要求 - 实验环境的构建及设计 - 网络服务的实现和管理 - 网络安全策略的设计 - 实验结果的分析和总结报告应采用 markdown 格式书写,并输出为 pdf 文件。
实验报告成绩占总成绩的 60%。
2. 代码实现实验代码包括各种配置文件和脚本文件。
实验代码成绩占总成绩的 40%。
四、设计建议本课程设计需要考虑时间和资源的投入,建议采用团队协作的方式,按照模块分组实现。
同时,在实验环节中加强自主探究和创新意识,将实验环节作为学习的主要方式,让学生积极主动地掌握网络工程设计技能。
---课程名称:网络工程授课教师: [教师姓名]授课班级: [班级名称]授课时间: [具体日期和时间]授课课时: [课时数]教学目标:1. 理解网络工程的基本概念和重要性。
2. 掌握网络工程的设计原则和方法。
3. 熟悉网络拓扑结构、协议和设备。
4. 能够进行网络需求分析和设计。
5. 培养学生的实际操作能力和团队协作精神。
教学内容:一、绪论1. 网络工程的基本概念2. 网络工程的重要性3. 网络工程的发展趋势二、网络需求分析1. 需求分析的方法2. 需求分析的内容3. 需求分析的工具三、网络设计原则1. 设计原则概述2. 可靠性设计3. 可扩展性设计4. 性能优化设计四、网络拓扑结构1. 网络拓扑结构概述2. 常见网络拓扑结构3. 拓扑结构的选择五、网络协议与设备1. 网络协议概述2. 常见网络协议3. 网络设备介绍六、网络设计与实施1. 网络设计流程2. 网络设备配置3. 网络测试与优化七、案例分析1. 案例介绍2. 案例分析3. 案例总结教学重点:1. 网络工程的基本概念和设计原则2. 网络需求分析的方法和内容3. 网络拓扑结构的选择4. 网络协议和设备的应用教学难点:1. 网络需求分析的深度和广度2. 网络设计中的性能优化3. 网络设备的配置和调试教学方法与手段:1. 讲授法:系统讲解网络工程的基本知识和方法。
2. 案例分析法:通过实际案例加深学生对理论知识的理解。
3. 实验法:通过实验操作,让学生掌握网络设备的配置和调试。
4. 讨论法:鼓励学生积极参与课堂讨论,提高学生的思维能力和表达能力。
教学过程:一、导入- 简要介绍网络工程的概念和重要性,激发学生的学习兴趣。
二、讲授- 详细讲解网络工程的基本概念、设计原则、需求分析等内容。
三、案例分析- 选择典型案例进行分析,让学生了解实际网络工程的设计和实施过程。
四、实验操作- 安排学生进行网络设备的配置和调试实验,巩固所学知识。
五、讨论与总结- 引导学生进行课堂讨论,总结网络工程的关键点和难点。
网络工程与应用课程设计范本(doc 42页)一、项目概况1.校园工程区建筑结构图:2.建筑网络范围:武汉软件工程职业学院是学院地处“国家自主创新示范区”——武汉市东湖高新技术开发区,即“武汉·中国光谷”腹地,环境优美,设施优良。
占地面积1200余亩,建筑面积40余万平方米,3. 信息楼五楼概要设计布图办公室8 sq m向上窗 户信息插座窗户开关3000mm 2800m m2850mm800mm1700mm5225m m门2600m m500mm450mm900mm二、概要设计1. 网络拓扑结构图如下:2.综合布线系统设计方案信息插座到终端设备这个区域称为工作区子系统。
它包括有连接软线、适配器和其他电子器件。
由于工作区子系统的设计与用户的终端设备有关。
本设计中工作区子系统为数据的应用,暂定为N信息点,信息点分布情况暂为学校供的预计数量,施工按实际情况定,信息点数见下表:建筑物网络综合布线信息点数量统计表—常用表格建筑物网络和语音信息点数统计表房间或者区域编号注:教室信息点2个办公室信息点4个机房信息点2个实验室信息点4个3. IP地址规划方案(1)参照校园网拓朴图(2)IP地址分配总则:1:R4是internet路由器,不能对其做任何路由配置,R4上启用PPPOE拨号,外部办公人员使用PC0拨号上网,然后拨号总部EZVPN server对内部网络做网管2:R1,R2,SW1,ASA之间运行OSPF,ASA使用默认路由指向internet,保证全网的连通性。
3:ASA防火墙连接internet,在ASA上做NAT,使得内部能够访问internet,保证DMZ的HTTP server192.168.100.80 能够正常对外提供访问,所以需要对它做静态NAT,外部地址为202.100.1.2004:R2和SW1上做单臂路由和HSRP 的负载均衡,vlan 2 的流量走R2,网关为172.16.12.100;vlan 3 的流量走SW1,网关为172.16.13.100.并且开启链路追踪5:SW2 和SW3 之间的链路做冗余备份并且保证负载均衡6:R1 是DHCP 服务器,为内部用户分配IP地址。
网络工程专业课程设计一、课程目标知识目标:1. 理解网络工程专业基础知识,掌握网络架构、协议和设备的基本原理;2. 了解网络安全的基本概念,掌握常见网络攻击手段及其防护措施;3. 熟悉网络编程的基本方法,能够运用所学知识解决实际问题;4. 了解云计算、大数据等新兴技术在网络工程领域的应用。
技能目标:1. 能够运用网络设备配置和管理网络,具备实际操作能力;2. 掌握网络故障排除的方法,具备一定的网络维护能力;3. 能够运用编程语言实现简单的网络应用程序,具备网络编程能力;4. 能够对网络安全事件进行分析和处理,具备基本的网络安全防护能力。
情感态度价值观目标:1. 培养学生的团队合作精神,学会与他人共同解决问题;2. 激发学生对网络工程领域的兴趣,培养自主学习和持续探索的精神;3. 增强学生的网络安全意识,认识到网络空间安全的重要性;4. 培养学生具备良好的职业道德,遵守网络法律法规,为社会服务。
本课程针对网络工程专业学生,结合学生特点和教学要求,将目标分解为具体的学习成果。
通过本课程的学习,学生将能够掌握网络工程专业基础知识,具备实际操作和网络编程能力,同时培养良好的情感态度价值观,为未来从事网络工程领域工作打下坚实基础。
1. 网络基础知识:包括网络体系结构、TCP/IP协议、网络设备原理等,对应教材第一章内容;2. 网络安全:涉及常见网络攻击手段、防护措施、加密技术等,对应教材第二章内容;3. 网络编程:涵盖Socket编程、网络应用协议、编程实践等,对应教材第三章内容;4. 网络设备配置与管理:包括交换机、路由器配置,网络故障排除等,对应教材第四章内容;5. 网络安全防护:涉及防火墙、入侵检测系统、安全策略等,对应教材第五章内容;6. 新兴技术应用:云计算、大数据在网络工程领域的应用,对应教材第六章内容。
教学大纲安排如下:第一周:网络基础知识学习;第二周:网络安全基础;第三周:网络编程基础;第四周:网络设备配置与管理;第五周:网络安全防护;第六周:新兴技术应用。
一、课程名称:网络工程二、授课对象:计算机网络专业学生三、授课时间:2课时四、授课目标:1. 了解网络工程的基本概念和组成部分。
2. 掌握网络规划、设计、实施和维护的基本方法。
3. 熟悉网络设备的选择和配置。
4. 培养学生的实践能力和团队合作精神。
五、教学内容:1. 网络工程概述2. 网络规划与设计3. 网络设备选择与配置4. 网络实施与维护六、教学重点:1. 网络工程的基本概念和组成部分2. 网络规划与设计的方法3. 网络设备的选择与配置七、教学难点:1. 网络规划与设计中的需求分析2. 网络设备的选择与配置八、教学方法与手段:1. 讲授法:讲解网络工程的基本概念、组成部分、规划与设计方法等。
2. 案例分析法:通过实际案例分析,让学生了解网络工程的应用。
3. 实践操作法:指导学生进行网络设备的配置和调试。
4. 小组讨论法:培养学生的团队合作精神和沟通能力。
九、教学过程:第一课时1. 导入新课:简要介绍网络工程的基本概念和组成部分。
2. 讲解网络工程的基本概念:网络工程是指对计算机网络进行规划、设计、实施和维护的过程。
3. 讲解网络工程的组成部分:包括网络规划、设计、实施和维护等。
4. 讲解网络规划与设计的方法:需求分析、网络拓扑设计、网络设备选择等。
5. 案例分析:分析一个实际的网络工程项目,让学生了解网络工程的应用。
第二课时1. 讲解网络设备的选择与配置:交换机、路由器、防火墙等。
2. 实践操作:指导学生进行网络设备的配置和调试。
3. 小组讨论:让学生分组讨论网络规划与设计中的需求分析问题。
4. 总结:回顾本节课的重点内容,布置课后作业。
十、课后作业:1. 阅读教材相关章节,加深对网络工程概念的理解。
2. 分析一个实际的网络工程项目,撰写一份网络规划与设计报告。
注:本教案模板可根据实际教学情况进行调整。
网络工程与设计教案一、引言网络工程与设计是一门不断发展与演变的学科,它涉及到计算机网络、网络安全、网络设计等多个方面。
随着信息技术的不断进步和应用领域的不断拓宽,网络工程与设计的重要性也日益凸显。
本教案旨在通过系统的教学内容和合理的教学安排,培养学生的网络工程与设计能力,为他们未来的职业生涯奠定坚实的基础。
二、教学目标1. 理解网络工程与设计的基本概念和原理。
2. 掌握网络架构设计的方法和技巧。
3. 能够进行网络设备的选择和配置。
4. 具备网络安全意识和应对网络安全问题的能力。
5. 能够独立完成一项小规模的网络工程与设计项目。
三、教学内容1. 计算机网络基础知识1.1 网络拓扑结构及其特点1.2 网络通信协议及其应用1.3 IP地址、子网划分和路由器配置1.4 网络设备的分类和功能1.5 局域网和广域网的搭建与管理2. 网络架构设计2.1 网络需求分析和规划2.2 网络拓扑设计和优化2.3 网络设备选型和配置2.4 网络性能测试和调优3. 网络安全与防护3.1 网络安全的基本概念和原理3.2 防火墙和入侵检测系统的配置3.3 数据加密与解密技术3.4 网络攻击与防范措施四、教学方法1. 集中讲授:通过讲解教师将网络工程与设计的基本概念和原理传达给学生。
2. 实践操作:提供实际案例和实验环境,让学生进行网络设备的配置和网络安全问题的应对。
3. 小组讨论:组织学生进行小组讨论,共同研究解决实际网络工程与设计问题。
4. 项目实践:指导学生进行一项小规模的网络工程与设计项目,加强实际操作能力。
五、教学评估1. 笔试:包括理论知识和基本操作技能的考核,占教学成绩的50%。
2. 实践操作:评估学生在实际操作中的表现和解决问题的能力,占教学成绩的30%。
3. 项目报告:要求学生独立完成一项小规模的网络工程与设计项目,并撰写项目报告,占教学成绩的20%。
六、教学资源1. 教材:网络工程与设计教材,包括相关的理论知识和实践操作指导。
网络工程设计与应用方案1.引言网络工程是指设计、实现、维护企业网络基础设施的过程。
随着信息技术的发展,网络工程在企业中的重要性越来越突出,它不仅仅是一个简单的连接设备的物理结构,更是一个复杂的系统,它需要综合考虑网络性能、安全性、可扩展性、可管理性等多个方面。
本文将讨论网络工程设计与应用方案,主要包括网络规划、网络设备选型、网络安全及监控等方面。
2.网络规划网络规划是网络工程设计的重要环节,它涉及到了网络拓扑结构的设计、IP地址规划、子网划分、路由选择等内容。
在网络规划中,需要首先考虑企业的网络需求,根据不同的业务需求来确定网络的规模和结构。
其次,需要考虑网络的扩展性和可管理性,以便后续的网络设备扩展和管理。
最后,需要考虑网络的安全性和高可用性,采用冗余设计来提高网络的可靠性。
3.网络设备选型网络设备选型是网络工程设计的关键环节,它包括了交换机、路由器、防火墙、服务器、存储设备等硬件设备的选择。
在网络设备选型中,需要考虑网络的性能、可靠性、安全性、成本等方面。
例如,对于交换机的选择,需要考虑其传输速率、端口数、背板带宽、交换容量等因素。
对于防火墙的选择,则需要考虑其防护能力、吞吐量、会话数等因素。
4.网络安全网络安全是网络工程设计中一个非常重要的方面,它涉及到了网络的保护措施、安全策略、安全设备等内容。
在网络安全方面,需要采取多种措施来保护网络的安全,包括网络设备的硬件防护、网络安全设备的配置、密码策略、访问控制等。
此外,还需要建立有效的安全监控机制,及时发现和应对网络安全事件。
5.网络监控网络监控是网络工程设计中不可或缺的一个环节,它用于监控网络的性能、可用性、安全性等方面。
在网络监控方面,需要采用专业的监控工具来监控网络流量、网络设备状态、安全事件等。
同时,还需要建立有效的告警机制,及时发现和解决网络故障和安全事件。
6.网络工程应用案例为了更具体地说明网络工程设计与应用方案,以下将以某大型企业为例,介绍其网络工程应用案例。
《网络工程》方案设计任务书题目:╳╳大学第一教学楼网络设计专业:班级:学号:学生姓名:教师:年月日《网络工程方案设计》任务书一、课程设计的目的网络工程方案设计是专业实践环节之一,是学习完《网络工程》课程后进行的一次全面的综合训练。
其目的让学生掌握组建计算机网络的基本技术,特别是网络规划与设计、综合布线规划与设计、网络产品选型与报价等等,提高学生的综合应用能力。
二、课程设计任务1.课题一:以一栋或几栋楼宇(可以是教学楼、实验楼、公寓楼、图书馆、办公楼等等)为例进行计算机网络规划与设计。
内容包括需求分析,网络结构设计(含拓扑图),网络布线设计(含布线图),网络设备选型,投资概算等。
要求根据设计内容,按学校统一的课程设计规范撰写一份设计说明书。
2.课题二:以一个组织(可以是公司或企业、学校、政府部门或机关等等)为例进行计算机网络规划与设计。
内容包括需求分析,网络结构设计(含拓扑图),网络布线设计(含布线图),网络设备选型,投资概算等。
要求根据设计内容,按学校统一的课程设计规范撰写一份设计说明书。
以上两题可任选其一,每人的设计内容不能雷同。
三、时间设计总时间2周四、方案设计说明书撰写规范1、撰写设计说明书1份 (不少于6000字)。
设计说明书须每人一份,独立完成。
2、方案设计说明书应包括封面、任务书、目录、摘要、正文、参考文献(资料)等内容,以及附图或附件等材料。
正文包括需求分析、网络结构设计(含拓扑图)、网络布线设计(含布线图)、网络设备选型、投资概算、结束语或总结等。
3、题目字体用小三,黑体,正文字体用五号字,宋体,小标题用四号及小四,宋体。
五、参考资料1、参考书:[1] 夏靖波,杜华桦,段弢. 网络工程设计与实践[M].西安电子科技大学出版社,2005.7[2] 杨文安. 计算机网络工程设计与实施[M]. 科学出版社,2004.12[3] 杨威. 网络工程设计与安装[M]. 电子工业出版社,2003.8[4] 杨威,王云,刘景宜. 网络工程设计与系统集成[M].人民邮电出版社,2005.92、参考网站:(1)高端网络产品:[1] 华为./cn/products/datacomm/catalog.do?id=-2[2] 华为-3COM. /[3] 思科./global/CN/products/index.shtml[4] 北电网络./corporate/global/asia/china/index_ch.html (2)中、低端网络产品:[1] 联想网络./asp/index.asp[2] 友讯网络.[3] 智邦网络./[4] TP-LINK. (3)网络产品价格查询[1] 中关村在线. /[2] IT168 - 全原创IT主流资讯./[3] 中研广汇. (4)网络布线产品及配件参考网站:[1] /43010/price001.html[2] /mb/mb2/index.asp?nucompany=066809185716[3] /pc365shop/list-1-114.html目录摘要 (5)第一章网络建设需求分析 (6)1.1 基本需求分析 (6)1.2 性能需求分析 (6)第二章网络设计方案 (7)2.1网络设计原则 (7)2.2 网络拓扑图设计 (7)网络设计特点 (8)2.3网络布线 (8)2.3.1 网络布线要求 (8)2.3.2 网络布线注意事项 (8)2.3.3网络平面图 (9)2.3.4网络剖面图 (9)第三章网络设备选型及投资概算 (11)3.1网络设备选型 (11)3.1.1汇聚层 (11)3.1.3接入层 (12)3.2 投资概算 (13)第四章总结 (15)参考文献 (16)╳╳大学第一教学楼网络的规划与设计摘要在老师讲解了本次课程设计的主要任务和要求后,进行实地考察。
目录一、项目概况 (3)1.校园工程区建筑结构图: (3)2.建筑网络范围: (3)3. 信息楼五楼概要设计布图 (4)二、概要设计 (4)1. 网络拓扑结构图如下: (4)2.综合布线系统设计方案 (4)3. IP地址规划方案 (5)(1)参照校园网拓朴图 (5)(2)IP地址分配总则, (5)4.配置: (7)三、web服务器 (30)四、群集服务配置 (32)一、项目概况1.校园工程区建筑结构图:2.建筑网络范围:武汉软件工程职业学院是学院地处“国家自主创新示范区”——武汉市东湖高新技术开发区,即“武汉·中国光谷”腹地,环境优美,设施优良。
占地面积1200余亩,建筑面积40余万平方米,3. 信息楼五楼概要设计布图办公室8 sq m向上窗户信息插座窗户开关3000mm28mm2850mm800mm1700mm5225mm门26mm500mm450mm900mm二、概要设计1. 网络拓扑结构图如下:2.综合布线系统设计方案信息插座到终端设备这个区域称为工作区子系统。
它包括有连接软线、适配器和其他电子器件。
由于工作区子系统的设计与用户的终端设备有关。
本设计中工作区子系统为数据的应用,暂定为N信息点,信息点分布情况暂为学校供的预计数量,施工按实际情况定,信息点数见下表:建筑物网络综合布线信息点数量统计表—常用表格建筑物网络和语音信息点数统计表房间或者区域编号楼层501 502 503 504 505 506 507 508 509 510 511 512 513 514 数据语音信息编号数据语音数据语音数据语音数据语音数据语音数据语音数据语音数据语音数据语音数据语音数据语音数据语音数据语音数据语音点数合计点数合计点数合计第5层2 2 2 2 2 2 2 2 2 2 2 2 2 2 280 0 0 0 0 0 0 0 0 0 0 0 0 0 0合计28 注:教室信息点2个办公室信息点4个机房信息点2个实验室信息点4个3. IP地址规划方案(1)参照校园网拓朴图(2)IP地址分配总则:1:R4是internet路由器,不能对其做任何路由配置,R4上启用PPPOE拨号,外部办公人员使用PC0拨号上网,然后拨号总部EZVPN server对内部网络做网管2:R1,R2,SW1,ASA之间运行OSPF,ASA使用默认路由指向internet,保证全网的连通性。
3:ASA防火墙连接internet,在ASA上做NAT,使得内部能够访问internet,保证DMZ的HTTPserver192.168.100.80 能够正常对外提供访问,所以需要对它做静态NAT,外部地址为202.100.1.2004:R2和SW1上做单臂路由和HSRP 的负载均衡,vlan 2 的流量走R2,网关为172.16.12.100;vlan 3 的流量走SW1,网关为172.16.13.100.并且开启链路追踪5:SW2 和SW3 之间的链路做冗余备份并且保证负载均衡6:R1 是DHCP 服务器,为内部用户分配IP地址。
内部WEB服务器使用固定IP172.16.12.17:为了防止ARP攻击,接入交换机SW2,SW3上需要做DHCP SNOOPING 和DAI1:R4是internet路由器,不能对其做任何路由配置,R4上启用PPPOE拨号,外部办公人员使用PC0拨号上网,然后拨号总部EZVPN server对内部网络做网管2:R1,R2,SW1,ASA之间运行OSPF,ASA使用默认路由指向internet,保证全网的连通性。
3:ASA防火墙连接internet,在ASA上做NAT,使得内部能够访问internet,保证DMZ的HTTP server192.168.100.80 能够正常对外提供访问,所以需要对它做静态NAT,外部地址为202.100.1.2004:R2和SW1上做单臂路由和HSRP 的负载均衡,vlan 2 的流量走R2,网关为172.16.12.100;vlan 3 的流量走SW1,网关为172.16.13.100.并且开启链路追踪5:SW2 和SW3 之间的链路做冗余备份并且保证负载均衡6:R1 是DHCP 服务器,为内部用户分配IP地址。
内部WEB服务器使用固定IP172.16.12.17:为了防止ARP攻击,接入交换机SW2,SW3上需要做DHCP SNOOPING 和DAI8:R1作为EZVPN server,方便外部移动办公人员拨号EZVPN 对内部做网管,EZVPN 的地址池为172.16.1.1-172.16.1.1009:.考虑到内部服务器172.16.12.1作为公司的私有WEB服务器,主要是用于对内提供服务,对于internet的访问需要通过认证以后才能提供正常访问。
10:为了防止DDOS攻击,限定外部用户对于内部的HTTP服务器的访问最大连接数不能超过1000,最大半打开连接数不能超过500,对于HTTP1服务器的最大半打开不能超过100个.当外部用户到达内部的连接时间超过10分钟的时候防火墙自动清除连接,并且在最短时间内,尽快清除死亡连接。
11:对于内部用户到taobao网的访问,必须严厉禁止。
12:公司分部可能需要对内部的WEB服务器进行访问,所以R1和R3之间建立L2L 的IPSec vpn,允许分部访问内部的WEB服务器172.16.12.18:R1作为EZVPN server,方便外部移动办公人员拨号EZVPN 对内部做网管,EZVPN 的地址池为172.16.1.1-172.16.1.1009:.考虑到内部服务器172.16.12.1作为公司的私有WEB服务器,主要是用于对内提供服务,对于internet的访问需要通过认证以后才能提供正常访问。
10:为了防止DDOS攻击,限定外部用户对于内部的HTTP服务器的访问最大连接数不能超过1000,最大半打开连接数不能超过500,对于HTTP1服务器的最大半打开不能超过100个.当外部用户到达内部的连接时间超过10分钟的时候防火墙自动清除连接,并且在最短时间内,尽快清除死亡连接。
11:对于内部用户到taobao网的访问,必须严厉禁止。
12:公司分部可能需要对内部的WEB服务器进行访问,所以R1和R3之间建立L2L 的IPSec vpn,允许分部访问内部的WEB服务器172.16.12.1通过以上网络架构,我们可以进行以下校园网划分:4.配置:1:IP配置R1(config)#int e0/0R1(config-if)#ip add 192.168.12.1 255.255.255.0R1(config-if)#no shuR1(config-if)#exitR1(config)#int e0/1R1(config-if)#ip add 192.168.13.1 255.255.255.0R1(config-if)#no shR1(config-if)#exitR1(config)#int e0/2R1(config-if)#ip add 10.1.1.1 255.255.255.0R1(config-if)#no shR1(config-if)#exitR2(config)#int e0/0R2(config-if)#ip add 192.168.12.2 255.255.255.0R2(config-if)#no shutdownR2(config-if)#exitR2(config)#int e0/1R2(config-if)#no shutdownR2(config-if)#exitR2(config)#int e0/1.2R2(config-subif)#encapsulation dot 2R2(config-subif)#ip add 172.16.12.100 255.255.255.0 R2(config-subif)#no shR2(config-subif)#exitR2(config)#int e0/1.3R2(config-subif)#en dot 3R2(config-subif)#ip add 172.16.13.100 255.255.255.0 R2(config-subif)#no shuR2(config-subif)#exitSW1(config)#int f0/1SW1(config-if)#no switchportSW1(config-if)#ip add 192.168.13.3 255.255.255.0 SW1(config-if)#no shSW1(config-if)#exitSW1(config)#int f0/2SW1(config-if)#sw tr en dotSW1(config-if)#sw mo trSW1(config-if)#no shSW1(config-if)#exitSW1(config)#int vlan 2SW1(config-if)#ip add 172.16.12.100 255.255.255.0 SW1(config-if)#exitSW1(config)#int vlan 3SW1(config-if)#ip add 172.16.13.100 255.255.255.0 SW1(config-if)#exitR4(config)#int e0/0R4(config-if)#ip add 202.100.1.1 255.255.255.0R4(config-if)#no shuR4(config-if)#exitR4(config)#int e0/1R4(config-if)#ip add 202.102.1.1 255.255.255.0R4(config-if)#no shuR4(config-if)#exitR4(config)#int e0/2R4(config-if)#ip add 202.103.1.1 255.255.255.0R4(config-if)#no shuR4(config-if)#exitciscoasa(config)# int g0ciscoasa(config-if)# nameif insideINFO: Security level for "inside" set to 100 by default. ciscoasa(config-if)# ip add 10.1.1.100 255.255.255.0 ciscoasa(config-if)# no shuciscoasa(config-if)# exitciscoasa(config)# int g1ciscoasa(config-if)# nameif outsideINFO: Security level for "outside" set to 0 by default. ciscoasa(config-if)# ip add 202.100.1.100 255.255.255.0 ciscoasa(config-if)# no shuciscoasa(config-if)# exitciscoasa(config)# int g2ciscoasa(config-if)# nameif dmzINFO: Security level for "dmz" set to 0 by default. ciscoasa(config-if)# security-level 50ciscoasa(config-if)# ip add 192.168.100.100 255.255.255.0 ciscoasa(config-if)# no shuciscoasa(config-if)# exit2:配置OSPFR1(config)#router ospf 1R1(config-router)#net 192.168.12.0 0.0.0.255 area 0R1(config-router)#net 192.168.13.0 0.0.0.255 area 0R1(config-router)#net 10.1.1.0 0.0.0.255 area 0R1(config-router)#exitR2(config)#router ospf 1R2(config-router)#net 192.168.12.0 0.0.0.255 area 0R2(config-router)#net 172.16.12.0 0.0.0.255 area 0R2(config-router)#net 172.16.13.0 0.0.0.255 area 0R2(config-router)#exitSW1(config)#ip routingSW1(config)#router ospf 1SW1(config-router)#net 192.168.13.0 0.0.0.255 area 0SW1(config-router)#net 172.16.12.0 0.0.0.255 area 0SW1(config-router)#net 172.16.13.0 0.0.0.255 area 0SW1(config-router)#exitciscoasa(config)# router ospf 1ciscoasa(config-router)# net 10.1.1.0 255.255.255.0 area 0ciscoasa(config-router)# default-information originate alwaysciscoasa(config-router)# exit配置完成以后在R1上查看邻居关系R1#sh ip ospf neighborNeighbor ID Pri State Dead Time Address Interface 202.100.1.100 1 FULL/BDR 00:00:39 10.1.1.100 Ethernet0/2 192.168.13.3 1 FULL/BDR 00:00:37 192.168.13.3 Ethernet0/1 192.168.12.2 1 FULL/BDR 00:00:33 192.168.12.2 Ethernet0/0 OSPF 邻居已经全部建立在ASA上添加默认路由ciscoasa(config)# route outside 0 0 202.100.1.13:在ASA上做NAT,让内网可以访问internet,并且使内部服务器正常对外提供访问ciscoasa(config)# object network inside_userciscoasa(config-network-object)# range 172.16.12.1 172.16.13.255 ciscoasa(config-network-object)# nat (inside,outside) dynamic interface ciscoasa(config-network-object)# exit在ASA上放行ICMP 流量方便测试ciscoasa(config)# access-list outacl permit icmp any anyciscoasa(config)# access-group outacl in interface outside在R2上测试连通性R2#ping 202.100.1.1 source 172.16.12.100Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.100.1.1, timeout is 2 seconds: Packet sent with a source address of 172.16.12.100!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 12/53/76 ms 内部已经能够正常访问internet下面为内部HTTP做静态NATciscoasa(config)# object network global_httpciscoasa(config-network-object)# host 202.100.1.200ciscoasa(config-network-object)# exitciscoasa(config)# object network httpciscoasa(config-network-object)# host 192.168.100.80ciscoasa(config-network-object)# nat (dmz,outside) static global_httpciscoasa(config-network-object)# exit做好以后在HTTP上测试连通性4:在R1上配置DHCP server,R2和SW1启用DHCP relay,保证内部PC可以获得IP地址R1(config)#service dhcpR1(config)#ip dhcp pool vlan2R1(dhcp-config)#network 172.16.12.0 255.255.255.0R1(dhcp-config)#default-router 172.16.12.100R1(dhcp-config)#exitR1(config)#ip dhcp pool vlan3R1(dhcp-config)#network 172.16.13.0 255.255.255.0R1(dhcp-config)#default-router 172.16.13.100R1(dhcp-config)#exitR2(config)#int e0/1.2R2(config-subif)#ip helper-address 192.168.12.1R2(config-subif)#exitR2(config)#int e0/1.3R2(config-subif)#ip helper-address 192.168.12.1R2(config-subif)#exitSW1(config)#int vlan 2SW1(config-if)#ip helper-address 192.168.13.1SW1(config-if)#exitSW1(config)#int vlan 3SW1(config-if)#ip helper-address 192.168.13.1SW1(config-if)#exit内部服务器使用固定的IP地址WEB_SERVER(config)#int e0/0WEB_SERVER(config-if)#ip add 172.16.12.1 255.255.255.0WEB_SERVER(config-if)#no shuWEB_SERVER(config-if)#exitWEB_SERVER(config)#no ip routingWEB_SERVER(config)#ip deWEB_SERVER(config)#ip default-gWEB_SERVER(config)#ip default-gateway 172.16.12.100PC(config)#int e0/0PC(config-if)#ip add dhcpPC(config-if)#no shutdownPC(config-if)#exitPC(config)#no ip routingPC#sh ip itn b*Mar 1 00:38:36.331: %SYS-5-CONFIG_I: Configured from console by consolePC#sh ip int bInterface IP-Address OK? Method Status Protocol Ethernet0/0 172.16.13.1 YES DHCP up upPC已经通过DHCP获得地址5:HSRP负载均衡R2(config)#int e0/1.2R2(config-subif)#standby 1 preemptR2(config-subif)#standby 1 ip 172.16.12.100R2(config-subif)#standby 1 priority 200R2(config-subif)#standby 1 track e0/0 120R2(config-subif)#exitR2(config)#int e0/1.3R2(config-subif)#standby 2 preemptR2(config-subif)#standby 2 ip 172.16.13.100SW1(config)#int vlan 2SW1(config-if)#standby 1 preemptSW1(config-if)#standby 1 ip 172.16.12.100SW1(config-if)#exitSW1(config)#int vlan 3SW1(config-if)#standby 2 preemptSW1(config-if)#standby 2 ip 172.16.13.100SW1(config-if)#standby 2 priority 200SW1(config-if)#standby 2 track f0/1 120SW1(config-if)#exit配置完成后检查状态是否正常R2#sh standby briefP indicates configured to preempt.|Interface Grp Prio P State Active Standby Virtual IPEt0/1.2 1 200 P Active local 172.16.12.13 172.16.12.100 Et0/1.3 2 100 P Standby 172.16.13.13 local 172.16.13.100SW1#sh standby briefP indicates configured to preempt.|Interface Grp Prio P State Active Standby Virtual IPVl2 1 100 P Standby 172.16.12.12 local 172.16.12.100Vl3 2 200 P Active local 172.16.13.12 172.16.13.1006:SW2 和SW3 之间的链路做冗余备份并且保证负载均衡SW2(config)#spanning-tree vlan 2 root primarySW2(config)#spanning-tree vlan 3 root secondarySW3(config)#spanning-tree vlan 2 root secondarySW3(config)#spanning-tree vlan 3 root primary7:SW2,SW3上做DHCP SNOOPING 和DAISW2Ip dhcp snoopingIp dhcp snooping database werite-relay 15Ip dhcp snooping database flash:/snoop1.dbIp dhcp snooping vlan 2Ip dhcp snooping vlan 3Int r f0/1 -4Ip dhcp snooping trust 所有trunk配置为trust,允许转发DHCP 的请求和回复Int r f0/12 -13Ip dhcp snooping limit rate 5 对access接口做DHCP 请求的限速,防止DHCP 的DDOS攻击由于内部WEB服务器使用的是静态IP,所以需要ARP ACL来放行服务器的流量Arp access-list arp_acl permit ip 172.16.12.1 mac 0002.0002.0002Ip arp inspection filter arp_acl vlan 2Ip arp inspection vlan 2Ip arp inspection vlan 3Int r f0/1 - 4Ip arp inspection trust所有trunk配置为trustSW3Ip dhcp snoopingIp dhcp snooping database werite-relay 15Ip dhcp snooping database flash:/snoop1.dbIp dhcp snooping vlan 2Ip dhcp snooping vlan 3Int r f0/3 -4Ip dhcp snooping trust 所有trunk配置为trust,允许转发DHCP 的请求和回复Int r f0/12 -13Ip dhcp snooping limit rate 5Ip arp inspection vlan 2Ip arp inspection vlan 3Int r f0/1 - 4Ip arp inspection trust8: R4 配置为PPPOE的server,外部移动办公人员使用PPPOE拨号上网R4(config)#vpdn enableR4(config)#vpdn-group ADSLR4(config-vpdn)#accept-dialinR4(config-vpdn-acc-in)#protocol pppoeR4(config-vpdn-acc-in)#exiR4(config-vpdn)#bba-group pppoe globalR4(config-bba-group)#virtual-template 1R4(config-bba-group)#exitR4(config)#int virtual-template 1R4(config-if)# ip unnumbered e0/3R4(config-if)#encapsulation pppR4(config-if)#ppp authentication papR4(config-if)#peer default ip address pool poolR4(config-if)#exitR4(config)#ip local pool pool 123.1.1.1 123.1.1.100 R4(config)#username cisco password ciscoR4(config)#int e0/3R4(config-if)#pppoe enableR4(config-if)#exit配置完成以后在PC上测试是否能够正常拨号PPPOE添加新的网络连接点击连接已经成功拨号了。
