biglab gramma errors fixed

2025-11-06 08:46:23 +08:00
parent edb0725375
commit 80190863d3
1 changed files with 56 additions and 25 deletions
--- a/big1/big1.typ
+++ b/big1/big1.typ
@ -38,7 +38,7 @@
 // Display inline code in a small box
 // that retains the correct baseline.
 #show raw.where(block: false): it => box(
-  text(font: ("Consolas","Noto Sans CJK SC"), it),
+  text(font: ("Maple Mono NF","Noto Sans CJK SC"), it),
  fill: luma(240),
  inset: (x: 3pt, y: 0pt),
  outset: (y: 3pt),
@ -48,7 +48,7 @@
 // Display block code in a larger block
 // with more padding.
 #show raw.where(block: true): it => block(
-  text(font: ("Consolas","Noto Sans CJK SC"), it),
+  text(font: ("Maple Mono NF","Noto Sans CJK SC"), it),
  fill: luma(240),
  inset: 6pt,
  radius: 3pt,
@ -823,7 +823,7 @@
    ```
 === 配置 AR1 和 AR2 的路由
 #para[
-  + 在 AR1 上配置 OSPF。
+  在 AR1 上配置 OSPF。
 ]
    ```plaintext
    [AR1] ospf 100 router-id 1.1.1.1
@ -832,8 +832,9 @@
    [AR1-ospf-100-area-0.0.0.0] quit
    [AR1-ospf-100] quit
    ```
-
-  + 在 AR2 上配置 OSPF。
+#para[
+  在 AR2 上配置 OSPF。
+]
    ```plaintext
    [AR2] ospf 100 router-id 2.2.2.2
    [AR2-ospf-100] area 0
@ -843,7 +844,9 @@
    ```

 === 配置防火墙的路由
-  + 在 FW1 上配置静态路由。
+#para[
+  在 FW1 上配置静态路由。
+]

    ```plaintext
    [FW1] ip route-static 0.0.0.0 0.0.0.0 192.168.20.1   // 对于上行流量，缺省路由下一跳为 CORE 的 Public 接口 VLANIF20 的 IP 地址
@ -851,8 +854,9 @@
    [FW1] ip route-static 192.168.120.0 255.255.255.0 192.168.30.1   // 对于下行流量，目的地址为 VLAN120 网络，下一跳为 CORE 的 Private 接口 VLANIF30 的 IP 地址
    [FW1] ip route-static 192.168.130.0 255.255.255.0 192.168.30.1   // 对于下行流量，目的地址为 VLAN130 网络，下一跳为 CORE 的 Private 接口 VLANIF30 的 IP 地址
    ```
-
-  + 在 FW2 上配置静态路由。
+#para[
+  在 FW2 上配置静态路由。
+]

    ```plaintext
    [FW2] ip route-static 0.0.0.0 0.0.0.0 192.168.20.1   // 对于上行流量，缺省路由下一跳为 CORE 的 Public 接口 VLANIF20 的 IP 地址
@ -1273,44 +1277,63 @@
 === 内网访问Web服务器
 #para[
  使用主机Asso，经由IP地址192.168.130.10访问Web服务器：
-  #figure(image("4.Asso访问web-通过ip.jpg",format: "jpg",width: 100%,fit:"stretch"),caption:"Asso通过IP访问Web服务器")
-  通过域名www.construction.com访问服务器：
-  #figure(image("5.Asso访问web-通过域名.jpg",format: "jpg",width: 100%,fit:"stretch"),caption:"Asso通过访问Web服务器")
 ]
+  #figure(image("4.Asso访问web-通过ip.jpg",format: "jpg",width: 100%,fit:"stretch"),caption:"Asso通过IP访问Web服务器")
+#para[
+  通过域名www.construction.com访问服务器：
+]
+  #figure(image("5.Asso访问web-通过域名.jpg",format: "jpg",width: 100%,fit:"stretch"),caption:"Asso通过访问Web服务器")
 === 外网访问Web服务器
 #para[
  使用外网主机（地址为`172.163.5.1`），通过服务器的公网IP访问服务器：
+]
  #figure(image("外网主机访问web-通过转换后地址.png",format: "png",width: 100%,fit:"stretch"),caption:"Asso通过访问Web服务器")
+#para[
  这还可以说明防火墙有关内外网之间的区域限制策略设置无误，即Untrust区域可以访问DMZ区域，DMZ区域也可以访问Untrust区域。
 ]
 === 内外网访问系列验证、NAT验证与出口网关BFD验证
 #para[
  使用内网主机PC1对外网主机进行长ping，然后再外网主机上开启抓包。途中，使用`shutdown`命令断开AR1与CORE的连接。在PC1上观察长ping是否断开，在外网主机上观察抓包结果中，源地址是否是经过NAT的转换，以及时间序列上相差多少。
-  
+]  
+#para[
  运行过程如下：
+]
  #figure(image("路由器双机热备份.jpg",format: "jpg",width: 100%,fit:"stretch"),caption:"长ping不断")<ping_s>
  从@ping_s 中可以观察到：
  - 长ping没有断开；
  - `shutdown`端口之前，`tracert`命令返回的路径经过了AR1，即`192.168.10.3`；
  - `shutdown`端口之前，`tracert`命令返回的路径变为经过AR2，即`192.168.10.2`。
+#para[
  进一步分析需要查看抓包结果。抓包结果如下：
+]
  #figure(image("长ping不断.png",format: "png",width: 100%,fit:"stretch"),caption:"长ping不断")<ping_t>
+#para[
  观察@ping_t，靠上方红框内的源地址均为`172.163.1.10`，即AR1经过NAT转换后的外网网关地址，这说明AR1上的NAT生效；在第8到9秒之间，外网主机捕获到一个ARP报文，询问它的IP地址，这可能是AR2从备份状态变为了工作状态，发出ARP询问。随后的第9.7s，内网主机的下一个ping报文到来。由于此次报文到达与上次到达间隔仅为1s，恰好是ping程序发送请求的时间间隔，由此可见PC1上的长ping丝毫没有受到影响。在这之后，ping的源地址均为`172.163.3.10`，即AR2经过NAT转换后的外网网关地址，这说明AR2上的NAT生效。
-
+]
+#para[
  凭此抓包结果即可验证数个配置项目。
 ]
 === 防火墙安全策略系列验证
 #para[
  此处主要验证几条“禁止”的防火墙策略。
+]
+
  1. 验证非工作时间段职员办公室（PC1、PC2）无法访问外网
+#para[
  以PC1为例。验证这条策略，需要查看工作时间、非工作时间下，PC1是否能ping通外网主机。
-  
+]
+#para[  
  首先，在工作时间下，查看防火墙策略的命中次数：
+]
  #figure(image("防火墙工作时段时间截图.png",format: "png",width: 100%,fit:"stretch"),caption:"防火墙工作时段")<work>
  #figure(image("防火墙工作时段策略命中次数截图（ping前）.png",format: "png",width: 100%,fit:"stretch"),caption:"防火墙工作时段策略命中次数截图（ping前）")<work_1>
+#para[
  然后用PC1 ping外网，发现能够ping通。观察策略命中次数：
+]
  #figure(image("防火墙工作时段策略命中次数截图（ping后）.png",format: "png",width: 100%,fit:"stretch"),caption:"防火墙工作时段策略命中次数截图（ping后）")<work_2>
+#para[
  注意到命中次数增加。
+]

  首先，在非工作时间下，查看防火墙策略的命中次数：
  #figure(image("防火墙非工作时段时间截图.png",format: "png",width: 100%,fit:"stretch"),caption:"防火墙非工作时段")<nwork>
@ -1323,14 +1346,16 @@
  在外网主机上ping内网PC1，发现无法ping通：
  #figure(image("外网ping不通内网.png",format: "png",width: 70%,fit:"stretch"),caption:"Untrust区域无法访问Trust区域")<unt_t>
  防火墙上的验证与上面的步骤类似，此处不再展示。
-]
 === 端口安全验证
 #para[
  将Boss电脑取下，将其网线接到外网主机上。在外网主机上配置自动获取IP地址，然后运行ipconfig /renew命令后，依然无法获取到IP地址。
+]
  #figure(image("外网主机接boss网.png",format: "png",width: 50%,fit:"stretch"),caption:"配置外网主机为自动获取IP地址")
  #figure(image("外网主机无法自动获取IP.png",format: "png",width: 70%,fit:"stretch"),caption:"外网主机无法自动获取IP地址")
+#para[
  此外，还可通过手动设置外网主机IP地址为192.168.120.25/24（即192.168.120.0/24网段中，除Vlanif 120与特殊IP地址外的任一IP地址）来构成直连网络。但即便如此，ping Vlanif 120还是会发现无法ping通。
-
+]
+#para[
  至此，所有配置验证结束。
 ]

@ -1338,31 +1363,37 @@
 == 内容总结
 #para[
  本次实验的主要目标是设计和实现一个包含局域网和广域网的中型网络，涵盖了从网络规划、方案设计、设备选型与采购、硬件安装与配置、软件安装与配置、系统测试与联调、工程验收等完整的组网工程流程。实验通过模拟第三建筑公司总部大楼的网络建设需求，详细展示了如何通过多种先进技术（如VRRP、链路聚合、堆叠技术、VLAN、防火墙旁挂等）来构建一个高效、安全、稳定的网络环境。实验首先进行了详细的需求分析，明确了网络覆盖、性能、安全、管理、扩展、服务器和存储、终端设备等方面的需求，并制定了相应的项目交付要求和预算。随后，实验采用了多种网络技术来满足需求，包括虚拟路由冗余协议（VRRP）确保出口网关的高可用性，链路聚合技术（Eth-trunk）提升网络带宽和链路可靠性，堆叠技术用于核心交换机的冗余和扩展，VLAN技术用于划分不同部门的安全区域，防火墙旁挂系统通过双机热备技术确保网络安全防护的连续性。
-
+]
+#para[
  实验设计了详细的网络拓扑图，并通过设备连接表展示了各个设备之间的连接关系。核心交换机、路由器、防火墙、接入层交换机等设备的连接和配置都严格按照拓扑图进行。实验详细配置了核心交换机的堆叠系统、Eth-Trunk功能、VLAN功能等，确保核心层的高效管理和扩展性。通过堆叠技术，两台核心交换机在逻辑上形成一个设备，提升了网络的冗余性和可靠性。接入层的配置相对简单，主要涉及VLAN的划分和接入层交换机的配置，确保终端设备能够正确接入网络并实现部门间的隔离。出口网关的VRRP功能和防火墙的双机热备功能也得到配置，确保出口网关的高可用性和网络安全防护的连续性。此外，实验还配置了防火墙的安全策略，限制非工作时间的网络访问，并通过DHCP服务器为VLAN内的终端设备自动分配IP地址，同时配置了NAT功能，确保内网用户能够通过出口网关访问外网资源。
-
+]
+#para[
  实验通过多个阶段的验证，确保网络的各项功能正常运行。包括内网主机之间的通信、内网主机访问Web服务器、外网主机访问内网服务器、防火墙安全策略的验证、出口网关的双机热备验证等。
 ]
 == 心得感悟
 === 组长的心得感悟
 #para[
  本次实验自由度较大，时间跨度长，所以我选择了比较有挑战性的设计方案，也因此实现难度较大。在配置的过程中，遇到了很多困难，但也让我对网络设备的运行机制有了更深的理解。从需求分析到方案设计，再到设备配置和测试验收，每一个环节都需要严谨的态度和细致的操作。实验中的每一步配置都充满了挑战，尤其是在核心交换机的堆叠配置、防火墙的双机热备、NAT的配置等方面，我遇到了不少困难，但也因此积累了宝贵的实践经验。
-  
+]
+#para[  
  最“磨人”的当属防火墙配置问题。由于防火墙旁挂需要第二台防火墙，所以我们启用了全新的防火墙，又由于机柜上的防火墙的MGMT网口有些许破损，我们启用了2台新的防火墙，而这给我的调试带来了灾难性后果，即无论如何，配置均不生效。最后经教员指导排查，发现是防火墙未激活的问题。遂将防火墙搬到寝室内进行联网激活：
+]
  #figure(image("激活1.jpg",format: "jpg",width: 70%,fit:"stretch"),caption:"搬运防火墙")
  #figure(image("激活2.jpg",format: "jpg",width: 70%,fit:"stretch"),caption:"激活防火墙")
-
+#para[
  在将防火墙联网激活之后，一切豁然开朗，之前的问题全数解决！这一过程虽然“磨人”，但也让我深刻体会到设备初始化与激活的重要性，以及在实际工程中细节决定成败的道理。
-
-此外，实验还让我意识到网络安全的重要性。在防火墙策略的配置和端口安全的设置上，必须严格把控，确保网络的安全性和稳定性。通过本次实验，我不仅掌握了多种网络技术的应用，还学会了如何在工程中协调各方资源，确保项目的顺利实施。总的来说，本次实验极大地提升了我的网络工程能力，为我未来的职业发展奠定了坚实的基础。
-
+]
+#para[
+  此外，实验还让我意识到网络安全的重要性。在防火墙策略的配置和端口安全的设置上，必须严格把控，确保网络的安全性和稳定性。通过本次实验，我不仅掌握了多种网络技术的应用，还学会了如何在工程中协调各方资源，确保项目的顺利实施。总的来说，本次实验极大地提升了我的网络工程能力，为我未来的职业发展奠定了坚实的基础。
 ]
 === 一把手的心得感悟
 #para[
  完成这次组网实验是一次难忘的体验，在团队的共同努力下，我们成功完成了实验的各项任务。
-
+]
+#para[
  在实验中，我负责了出口路由器AR1、AR2的NAT地址转换配置。在该配置中，我们首先为内网办公区域配置了公网的动态地址池，当内网用户访问外网时，其内网地址将会转换为地址池中第一个空闲的公网地址，从而隐藏内网用户的IP地址。然后我们为内网的Web和FTP#footnote[最初的实验设计中，还包含实现一个FTP服务器。但由于时间限制，最终没有在服务器具体配置上实现，但保留了相应的特殊NAT转换规则。]服务器配置了静态的地址转换，使得外网用户能够通过预留的公网地址172.163.1.9和172.163.3.9访问内网的Web服务。
-
+]
+#para[
  通过与其他组员的密切合作，我们不仅顺利完成了任务，还在过程中学到了许多新的知识。大家在讨论和解决问题的过程中，彼此分享经验和观点，使得整个实验过程既高效又充实。
 ]
 === 二把手的心得感悟