12 KiB
12 KiB
以下是基于你提供的小型网络拓扑图和评分标准,结合华为设备(交换机、路由器、防火墙)和Windows 10 PC、树莓派(作为Web服务器)环境,设计的一份详细实验内容与配置步骤文档。该文档兼顾了得分点覆盖、配置简洁性(特别是防火墙部分尽量简化),并明确区分了Web配置(仅防火墙)与命令行配置(其余设备)。
🧪 实验名称:小型企业网络综合设计与实现(华为设备)
✅ 一、实验目标(对应评分项)
| 目标 | 得分点 |
|---|---|
| 设计完整拓扑,实现多服务(Web、DHCP、邮件) | 拓扑图+5,需求设计10,IP编址+2,数据规划+2,配置流程+1 |
| 实现内网用户访问网页、邮件通信、DHCP中继 | 网络应用服务10分(Web+3,邮件+3,DHCP中继+4) |
| 实现VLAN划分、内网互通、服务器访问 | 网络连通性10分(VLAN+2,互通+5,访问服务器+3) |
| 实现环路防护、VRRP主备、外网多路径 | 网络可靠性10分(环路+3,VRRP/冗余+3,外网多路径+4) |
| 实现端口安全、非法服务器屏蔽、时间控制、NAT发布Web | 安全保护10分(端口安全+2,屏蔽非法+3,时间控制+3,NAT发布+2) |
| 拓展功能(可选):无线接入、BFD、MPLS、网页美化等 | 拓展功能20分(每功能+5~10,封顶20) |
🧱 二、设备清单与角色分配
| 设备 | 型号(建议) | 角色 | 管理方式 |
|---|---|---|---|
| R1, R2 | AR2220 | 出口路由器(VRRP主备) | Telnet CLI |
| R3 | AR2220 | ISP模拟 | Telnet CLI |
| FW1 | USG6000V(华为防火墙) | NAT、安全策略、区域划分 | Web界面(简化配置) |
| R_NEW | AR2220 | 核心路由转发 | Telnet CLI |
| CORE (S1+S2) | S5700(堆叠) | 核心三层交换机(VLAN网关) | Telnet CLI |
| S3, S4 | S3700 | 接入交换机 | Telnet CLI |
| PC1, PC3 | Windows 10 | 员工/访客终端 | 图形界面 |
| Server | 树莓派(Pi) | 内网Web服务器(192.168.20.10) | 手动配置 |
| InternetServer | 树莓派(Pi) | 外网Web服务(8.8.8.8) | 手动配置 |
| PC4 | Windows 10 | 外网用户 | 图形界面 |
🌍 三、IP地址规划(评分+2)
| 区域 | VLAN | 子网 | 网关 | 说明 |
|---|---|---|---|---|
| 员工区 | 10 | 192.168.10.0/24 | 192.168.10.254 | 网关:CORE |
| 服务器区 | 20 | 192.168.20.0/24 | 192.168.20.254 | 网关:CORE |
| 访客区 | 30 | 192.168.30.0/24 | 192.168.30.254 | 网关:CORE |
| DMZ(逻辑) | 20 | 同上 | 同上 | 实际在S4,但网关仍在CORE |
| 外网模拟 | — | 8.8.8.0/24 | 8.8.8.1 | 树莓派模拟 |
| 外网用户 | — | 172.16.1.0/24 | 172.16.1.1 | PC4 |
| R3-R1 | — | 203.0.113.0/30 | — | 链路A |
| R3-R2 | — | 203.0.113.4/30 | — | 链路B |
| R1-FW1 | — | 10.0.2.0/30 | — | 主路径 |
| R2-FW1 | — | 10.0.3.0/30 | — | 备路径 |
| FW1-R_NEW | — | 10.0.1.0/30 | — | 核心上行 |
| R_NEW-CORE | — | 10.0.4.0/30 | — | 核心互联 |
✅ 所有三层接口使用静态路由或OSPF(推荐OSPF简化)
🔧 四、实验步骤(按模块划分)
🔹 步骤 1:基础连接与IP配置(所有设备互通)
✅ 目标:实现直连ping通,为后续服务打基础
1.1 配置 R1(出口1)
system-view
sysname R1
interface GigabitEthernet0/0/0
ip address 203.0.113.2 255.255.255.252
quit
interface GigabitEthernet0/0/1
ip address 10.0.2.1 255.255.255.252
quit
1.2 配置 R2(出口2)
interface GigabitEthernet0/0/0
ip address 203.0.113.6 255.255.255.252
interface GigabitEthernet0/0/1
ip address 10.0.3.1 255.255.255.252
1.3 配置 R3(ISP)
interface GigabitEthernet0/0/0
ip address 203.0.113.1 255.255.255.252
interface GigabitEthernet0/0/1
ip address 203.0.113.5 255.255.255.252
interface GigabitEthernet0/0/2
ip address 8.8.8.1 255.255.255.0 # 模拟公网网关
🔹 步骤 2:配置 VRRP(评分+3)
✅ 在 R1 与 R2 上配置 VRRP,虚拟IP为
10.0.2.254(主)和10.0.3.254(备),统一对外为10.0.2.254
R1(主)
interface GigabitEthernet0/0/1
vrrp vrid 1 virtual-ip 10.0.2.254
vrrp vrid 1 priority 120
vrrp vrid 1 preempt-mode
R2(备)
interface GigabitEthernet0/0/1
vrrp vrid 1 virtual-ip 10.0.2.254
vrrp vrid 1 priority 100
✅ 验证:
display vrrp
🔹 步骤 3:配置静态路由(或OSPF)实现全网互通
✅ 推荐:在 R1、R2、R_NEW、CORE 上启用 OSPF(Area 0)
R1
ospf 1
area 0
network 10.0.2.0 0.0.0.3
network 203.0.113.0 0.0.0.3
R2
ospf 1
area 0
network 10.0.3.0 0.0.0.3
network 203.0.113.4 0.0.0.3
R_NEW
ospf 1
area 0
network 10.0.1.0 0.0.0.3
network 10.0.4.0 0.0.0.3
CORE
ospf 1
area 0
network 10.0.4.0 0.0.0.3
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
network 192.168.30.0 0.0.0.255
🔹 步骤 4:配置 VLAN 与 Eth-Trunk(评分+2)
CORE(堆叠,作为三层网关)
vlan batch 10 20 30
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
interface Vlanif20
ip address 192.168.20.254 255.255.255.0
interface Vlanif30
ip address 192.168.30.254 255.255.255.0
# Eth-Trunk 到 S3(员工)
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 10
interface GigabitEthernet0/0/1
eth-trunk 1
interface GigabitEthernet0/0/2
eth-trunk 1
# Eth-Trunk 到 S4(服务器+访客)
interface Eth-Trunk2
port link-type trunk
port trunk allow-pass vlan 20 30
interface GigabitEthernet0/0/3
eth-trunk 2
interface GigabitEthernet0/0/4
eth-trunk 2
S3(接入员工)
vlan 10
interface Ethernet0/0/1
port link-type access
port default vlan 10
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10
S4(接入服务器+访客)
vlan batch 20 30
interface Ethernet0/0/1
port link-type access
port default vlan 20
interface Ethernet0/0/2
port link-type access
port default vlan 30
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 20 30
🔹 步骤 5:配置 DHCP 中继(评分+4)
✅ 在 CORE 上启用 DHCP 中继,指向外部 DHCP 服务器(如 Windows Server 或路由器)
假设 DHCP 服务器在 192.168.20.10(树莓派或路由器)
dhcp enable
interface Vlanif10
dhcp select relay
dhcp relay server-ip 192.168.20.10
interface Vlanif30
dhcp select relay
dhcp relay server-ip 192.168.20.10
✅ 树莓派上安装
isc-dhcp-server,配置作用域为 192.168.10.0 和 192.168.30.0
🔹 步骤 6:配置防火墙 FW1(Web配置,简化)
✅ 仅使用 Web 界面,配置以下内容:
6.1 登录 FW1 Web 控制台(默认 https://192.168.0.1)
6.2 配置接口
| 接口 | IP | 区域 |
|---|---|---|
| GigabitEthernet0/0/0 | 10.0.2.2/30 | Untrust |
| GigabitEthernet0/0/1 | 10.0.3.2/30 | Untrust |
| GigabitEthernet0/0/2 | 10.0.1.1/30 | Trust |
✅ 注意:不要配置 Vlanif20!删除任何 VLAN 20 网关(得分点:简化防火墙)
6.3 配置安全策略(允许内网访问外网)
- 源区域:Trust
- 目的区域:Untrust
- 源地址:192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24
- 动作:允许
6.4 配置 NAT(Easy IP)
- 出接口:G0/0/0 和 G0/0/1(主备)
- 源地址:同上私网段
- 类型:源NAT,使用出接口地址
✅ 验证:PC1 能 ping 8.8.8.8
6.5 配置 NAT Server(发布 Web 服务器)
- 公网地址:203.0.113.100(可绑定到 R1/R2 环回)
- 私网地址:192.168.20.10
- 端口:TCP 80
- 区域:Untrust -> Trust
✅ 外网 PC4 访问
http://203.0.113.100可看到树莓派网页
🔹 步骤 7:配置邮件服务(评分+3)
✅ 使用树莓派作为内网邮件服务器(Postfix + Dovecot)
7.1 安装邮件服务
sudo apt update
sudo apt install postfix dovecot-core dovecot-imapd
7.2 配置 Postfix
sudo nano /etc/postfix/main.cf
添加:
myhostname = mail.company.local
mydomain = company.local
myorigin = $mydomain
inet_interfaces = all
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
home_mailbox = Maildir/
7.3 创建用户
sudo adduser user1
sudo adduser user2
7.4 测试
- 在 PC1 上使用 Outlook 或 Thunderbird
- 配置 IMAP 服务器:192.168.20.10
- 发送邮件给 user2@company.local
- user2 登录接收 → 成功即得分
🔹 步骤 8:安全配置(评分+10)
8.1 交换机端口安全(S3, S4)
interface Ethernet0/0/1
port-security enable
port-security max-mac-num 1
port-security mac-address sticky
✅ 防止非法设备接入
8.2 屏蔽非法 DHCP 服务器(评分+3)
dhcp snooping enable
interface GigabitEthernet0/0/1
dhcp snooping trusted
✅ 仅信任上行口,屏蔽用户侧非法 DHCP
8.3 内网用户分时段访问外网(评分+3)
✅ 在 FW1 Web 配置:
- 创建时间段:工作日 18:00–22:00
- 创建策略:源为 192.168.10.0/24,时间为上述,动作:拒绝
- 放在允许策略之前
✅ 实现“上班不能上网,下班可以”
🔹 步骤 9:网络可靠性(评分+10)
| 功能 | 实现 | 得分 |
|---|---|---|
| 环路防护 | 启用 STP(默认开启) | +3 |
| VRRP 主备 | 已配置 | +3 |
| 外网多路径 | R1/R2 双上行,OSPF 自动选路 | +4 |
✅ 验证:断开 R1,流量走 R2,网络不中断
🔹 步骤 10:拓展功能(选做,+20 封顶)
| 功能 | 实现方式 | 得分 |
|---|---|---|
| 无线接入 | 添加华为 AP,配置 WLAN 服务(AC 或胖 AP) | +10 |
| BFD 快速检测 | 在 R1/R2 与 R3 之间配置 BFD | +5 |
| 网页美化 | 树莓派 Web 页面使用 Bootstrap 设计 | +5 |
| MPLS VPN | 在核心启用 MPLS,划分 VPN 实例(员工/访客隔离) | +10 |
✅ 五、验证清单(实验完成标准)
| 验证项 | 命令/方法 | 是否完成 |
|---|---|---|
| PC1 能访问外网 Web | ping 8.8.8.8 + 浏览器访问 | ✅ |
| PC1 与 PC3 互通 | ping 192.168.30.x | ✅ |
| PC1 能访问服务器 | ping 192.168.20.10 | ✅ |
| 外网 PC4 能访问内网 Web | http://203.0.113.100 | ✅ |
| 邮件发送接收 | Outlook 测试 | ✅ |
| DHCP 获取 | PC1/PC3 自动获取 IP | ✅ |
| VRRP 主备切换 | shutdown R1 接口,测试连通性 | ✅ |
| 端口安全 | 插入新设备,是否被阻止 | ✅ |
| 时间控制 | 非允许时间无法上网 | ✅ |
📎 六、提交材料建议
- 拓扑图(已提供,+5)
- IP 地址规划表(见上文,+2)
- 设备配置文件(CLI 命令汇总,+2)
- 服务测试截图(Web访问、邮件、DHCP、VRRP切换等)
- 拓展功能演示(如无线接入、BFD、网页美化)
🏁 七、总结
本实验设计:
- ✅ 完全覆盖评分标准
- ✅ 防火墙配置极简(仅用 Web,无复杂 CLI)
- ✅ 其余设备全命令行(符合要求)
- ✅ 使用真实设备(华为)与树莓派
- ✅ 可拓展性强(无线、BFD、MPLS 等)
如需我为你生成:
- 完整的 CLI 配置脚本打包(按设备分类)
- 防火墙 Web 配置截图指南
- 树莓派 Web/邮件服务搭建脚本
- 测试用 PC 配置指南
请告诉我,我可以继续为你补充!祝你实验顺利完成,冲击满分!💯