1、武汉软件工程职业学院 第 1 页 共 42 页 武汉软件工程职业学院 第 2 页 共 42 页 目录 一、项目概况一、项目概况. 3 1.1.校园工程区建筑结构图校园工程区建筑结构图: : . 3 2.2.建筑网建筑网络范围络范围: : . 3 3. 3. 信息楼五楼概要设计布图信息楼五楼概要设计布图 . 4 二、二、概要设计概要设计. 4 1. 1. 网络拓扑结构图如下:网络拓扑结构图如下: . 4 2.2.综合布线系统设计方案综合布线系统设计方案 . 4 3. IP 地址规划方案 5 (1)参照校园网拓朴图 . 5 (2)IP 地址分配总则, 5 4配置: . 7 三、三、 webweb
2、服务器服务器 29 四、群集服务配置四、群集服务配置. 32 武汉软件工程职业学院 第 3 页 共 42 页 一一、项目概况项目概况 1.1.校园校园工程区建筑结构图工程区建筑结构图: : 2.2.建筑网络范围建筑网络范围: : 武汉软件工程职业学院是学院地处 “国家自主创新示范区” 武汉市东湖高新技术开发区, 即 “武 汉中国光谷”腹地,环境优美,设施优良。占地面积 1200 余亩,建筑面积 40 余万平方米, 武汉软件工程职业学院 第 4 页 共 42 页 3.3. 信息楼五楼概要设计布图信息楼五楼概要设计布图 办公室 8 sq m 向上 窗 户 信息插座 窗户 开关 3000mm 280
3、0mm 2850mm 800mm 1700mm 5225mm 门 2600mm 500mm 450mm 900mm 二、二、概要设计概要设计 1.1. 网络拓扑结构图网络拓扑结构图如下:如下: 2.2.综合布线系统设计方案综合布线系统设计方案 信息插座到终端设备这个区域称为工作区子系统。它包括有连接软线、适配器和其他电子器件。 由于工作区子系统的设计与用户的终端设备有关。 本设计中工作区子系统为数据的应用,暂定为 N 信息点,信息点分布情况暂为学校供的预计数量, 施工按实际情况定,信息点数见下表: 建筑物网络综合布线信息点数量统计表建筑物网络综合布线信息点数量统计表常用表格常用表格 建筑物网络
4、和语音信息点数统计表建筑物网络和语音信息点数统计表 房间或者区域编号房间或者区域编号 楼层 501 502 503 504 505 506 507 508 509 510 511 512 513 514 数据语音信息 武汉软件工程职业学院 第 5 页 共 42 页 编号 数 据 语 音 数 据 语 音 数 据 语 音 数 据 语 音 数 据 语 音 数 据 语 音 数 据 语 音 数 据 语 音 数 据 语 音 数 据 语 音 数 据 语 音 数 据 语 音 数 据 语 音 数 据 语 音 点数 合计 点数 合计 点数 合计 第5层 2 2 2 2 2 2 2 2 2 2 2 2 2 2 28
5、 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 合计 28 注:注:教室信息点 2 个 办公室信息点 4 个 机房信息点 2 个 实验室信息点 4 个 3.3. IPIP 地址规划方案地址规划方案 (1)参照校园网拓朴图 (2)IP 地址分配总则: 1:R4 是 internet 路由器,不能对其做任何路由配置,R4 上启用 PPPOE 拨号,外部办公人员使用 PC0 拨号上网,然后拨号总部 EZVPN server 对内部网络做网管 2:R1,R2,SW1,ASA 之间运行 OSPF,ASA 使用默认路由指向 internet,保证全网的连通性。 3:ASA 防火墙连接 int
6、ernet,在 ASA 上做 NAT,使得内部能够访问 internet,保证 DMZ 的 HTTP server192.168.100.80 能够正常对外提供访问,所以需要对它做静态 NAT,外部地址为 202.100.1.200 4:R2 和 SW1 上做单臂路由和 HSRP 的负载均衡,vlan 2 的流量走 R2,网关为 172.16.12.100;vlan 3 的流量走 SW1,网关为 172.16.13.100.并且开启链路追踪 5:SW2 和 SW3 之间的链路做冗余备份并且保证负载均衡 6:R1 是 DHCP 服务器,为内部用户分配 IP 地址。内部 WEB 服务器使用固定 I
7、P172.16.12.1 7:为了防止 ARP 攻击,接入交换机 SW2,SW3 上需要做 DHCP SNOOPING 和 DAI1:R4 是 internet 路由器, 不能对其做任何路由配置, R4 上启用 PPPOE 拨号, 外部办公人员使用 PC0 拨号上网, 然后拨号总部 EZVPN server 对内部网络做网管 2:R1,R2,SW1,ASA 之间运行 OSPF,ASA 使用默认路由指向 internet,保证全网的连通性。 武汉软件工程职业学院 第 6 页 共 42 页 3:ASA 防火墙连接 internet,在 ASA 上做 NAT,使得内部能够访问 internet,保证
8、 DMZ 的 HTTP server192.168.100.80 能够正常对外提供访问,所以需要对它做静态 NAT,外部地址为 202.100.1.200 4:R2 和 SW1 上做单臂路由和 HSRP 的负载均衡,vlan 2 的流量走 R2,网关为 172.16.12.100;vlan 3 的流量走 SW1,网关为 172.16.13.100.并且开启链路追踪 5:SW2 和 SW3 之间的链路做冗余备份并且保证负载均衡 6:R1 是 DHCP 服务器,为内部用户分配 IP 地址。内部 WEB 服务器使用固定 IP172.16.12.1 7:为了防止 ARP 攻击,接入交换机 SW2,SW
9、3 上需要做 DHCP SNOOPING 和 DAI 8:R1 作为 EZVPN server,方便外部移动办公人员拨号 EZVPN 对内部做网管,EZVPN 的地址池为 172.16.1.1-172.16.1.100 9:.考虑到内部服务器 172.16.12.1 作为公司的私有 WEB 服务器,主要是用于对内提供服务,对于 internet 的访问需要通过认证以后才能提供正常访问。 10:为了防止 DDOS 攻击,限定外部用户对于内部的 HTTP 服务器的访问最大连接数不能超过 1000,最大 半打开连接数不能超过 500, 对于 HTTP1 服务器的最大半打开不能超过 100 个.当外部
10、用户到达内部的连 接时间超过 10 分钟的时候防火墙自动清除连接,并且在最短时间内,尽快清除死亡连接。 11:对于内部用户到 taobao 网的访问,必须严厉禁止。 12:公司分部可能需要对内部的 WEB 服务器进行访问,所以 R1 和 R3 之间建立 L2L 的 IPSec vpn,允许 分部访问内部的 WEB 服务器 172.16.12.1 8:R1 作为 EZVPN server,方便外部移动办公人员拨号 EZVPN 对内部做网管,EZVPN 的地址池为 172.16.1.1-172.16.1.100 9:.考虑到内部服务器 172.16.12.1 作为公司的私有 WEB 服务器,主要是
11、用于对内提供服务,对于 internet 的访问需要通过认证以后才能提供正常访问。 10:为了防止 DDOS 攻击,限定外部用户对于内部的 HTTP 服务器的访问最大连接数不能超过 1000,最大 半打开连接数不能超过 500, 对于 HTTP1 服务器的最大半打开不能超过 100 个.当外部用户到达内部的连 接时间超过 10 分钟的时候防火墙自动清除连接,并且在最短时间内,尽快清除死亡连接。 11:对于内部用户到 taobao 网的访问,必须严厉禁止。 12:公司分部可能需要对内部的 WEB 服务器进行访问,所以 R1 和 R3 之间建立 L2L 的 IPSec vpn,允许 分部访问内部的
12、 WEB 服务器 172.16.12.1 武汉软件工程职业学院 第 7 页 共 42 页 通过以上网络架构,我们可以进行以下校园网划分: 4 4配置:配置: 1 1:IPIP 配置配置 R1(config)#int e0/0 R1(config-if)#ip add 192.168.12.1 255.255.255.0 R1(config-if)#no shu R1(config-if)#exit R1(config)#int e0/1 R1(config-if)#ip add 192.168.13.1 255.255.255.0 R1(config-if)#no sh R1(config-i
13、f)#exit R1(config)#int e0/2 R1(config-if)#ip add 10.1.1.1 255.255.255.0 R1(config-if)#no sh R1(config-if)#exit R2(config)#int e0/0 R2(config-if)#ip add 192.168.12.2 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit R2(config)#int e0/1 R2(config-if)#no shutdown R2(config-if)#exit R2(config)#
14、int e0/1.2 R2(config-subif)#encapsulation dot 2 R2(config-subif)#ip add 172.16.12.100 255.255.255.0 R2(config-subif)#no sh R2(config-subif)#exit R2(config)#int e0/1.3 武汉软件工程职业学院 第 8 页 共 42 页 R2(config-subif)#en dot 3 R2(config-subif)#ip add 172.16.13.100 255.255.255.0 R2(config-subif)#no shu R2(conf
15、ig-subif)#exit SW1(config)#int f0/1 SW1(config-if)#no switchport SW1(config-if)#ip add 192.168.13.3 255.255.255.0 SW1(config-if)#no sh SW1(config-if)#exit SW1(config)#int f0/2 SW1(config-if)#sw tr en dot SW1(config-if)#sw mo tr SW1(config-if)#no sh SW1(config-if)#exit SW1(config)#int vlan 2 SW1(conf
16、ig-if)#ip add 172.16.12.100 255.255.255.0 SW1(config-if)#exit SW1(config)#int vlan 3 SW1(config-if)#ip add 172.16.13.100 255.255.255.0 SW1(config-if)#exit R4(config)#int e0/0 R4(config-if)#ip add 202.100.1.1 255.255.255.0 R4(config-if)#no shu R4(config-if)#exit R4(config)#int e0/1 R4(config-if)#ip a
17、dd 202.102.1.1 255.255.255.0 R4(config-if)#no shu R4(config-if)#exit 武汉软件工程职业学院 第 9 页 共 42 页 R4(config)#int e0/2 R4(config-if)#ip add 202.103.1.1 255.255.255.0 R4(config-if)#no shu R4(config-if)#exit ciscoasa(config)# int g0 ciscoasa(config-if)# nameif inside INFO: Security level for “inside“ set to
18、 100 by default. ciscoasa(config-if)# ip add 10.1.1.100 255.255.255.0 ciscoasa(config-if)# no shu ciscoasa(config-if)# exit ciscoasa(config)# int g1 ciscoasa(config-if)# nameif outside INFO: Security level for “outside“ set to 0 by default. ciscoasa(config-if)# ip add 202.100.1.100 255.255.255.0 cis
19、coasa(config-if)# no shu ciscoasa(config-if)# exit ciscoasa(config)# int g2 ciscoasa(config-if)# nameif dmz INFO: Security level for “dmz“ set to 0 by default. ciscoasa(config-if)# security-level 50 ciscoasa(config-if)# ip add 192.168.100.100 255.255.255.0 ciscoasa(config-if)# no shu ciscoasa(config
20、-if)# exit 2 2:配置:配置 OSPF OSPF R1(config)#router ospf 1 R1(config-router)#net 192.168.12.0 0.0.0.255 area 0 R1(config-router)#net 192.168.13.0 0.0.0.255 area 0 R1(config-router)#net 10.1.1.0 0.0.0.255 area 0 R1(config-router)#exit 武汉软件工程职业学院 第 10 页 共 42 页 R2(config)#router ospf 1 R2(config-router)#n
21、et 192.168.12.0 0.0.0.255 area 0 R2(config-router)#net 172.16.12.0 0.0.0.255 area 0 R2(config-router)#net 172.16.13.0 0.0.0.255 area 0 R2(config-router)#exit SW1(config)#ip routing SW1(config)#router ospf 1 SW1(config-router)#net 192.168.13.0 0.0.0.255 area 0 SW1(config-router)#net 172.16.12.0 0.0.0
22、.255 area 0 SW1(config-router)#net 172.16.13.0 0.0.0.255 area 0 SW1(config-router)#exit ciscoasa(config)# router ospf 1 ciscoasa(config-router)# net 10.1.1.0 255.255.255.0 area 0 ciscoasa(config-router)# default-information originate always ciscoasa(config-router)# exit 配置完成以后在配置完成以后在 R1R1 上查看邻居关系上查
23、看邻居关系 R1#sh ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 202.100.1.100 1 FULL/BDR 00:00:39 10.1.1.100 Ethernet0/2 192.168.13.3 1 FULL/BDR 00:00:37 192.168.13.3 Ethernet0/1 192.168.12.2 1 FULL/BDR 00:00:33 192.168.12.2 Ethernet0/0 OSPF OSPF 邻居已经全部建立邻居已经全部建立 在在 ASAASA 上添加默认路由上添加默
24、认路由 ciscoasa(config)# route outside 0 0 202.100.1.1 武汉软件工程职业学院 第 11 页 共 42 页 3:在:在 ASAASA 上做上做 NATNAT,让内网可以访问,让内网可以访问 internetinternet,并且使内部服务器正常对外提供访问,并且使内部服务器正常对外提供访问 ciscoasa(config)# object network inside_user ciscoasa(config-network-object)# range 172.16.12.1 172.16.13.255 ciscoasa(config-netwo
25、rk-object)# nat (inside,outside) dynamic interface ciscoasa(config-network-object)# exit 在在 ASAASA 上放行上放行 ICMP ICMP 流量方便测试流量方便测试 ciscoasa(config)# access-list outacl permit icmp any any ciscoasa(config)# access-group outacl in interface outside 在在 R2R2 上测试连通性上测试连通性 R2#ping 202.100.1.1 source 172.16.
26、12.100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 202.100.1.1, timeout is 2 seconds: Packet sent with a source address of 172.16.12.100 ! Success rate is 100 percent (5/5), round-trip min/avg/max = 12/53/76 ms 内部已经内部已经能够正常访问能够正常访问 internetinternet 下面为内部下面为内部 HTTPHTTP 做静态做静态 NAT
27、NAT ciscoasa(config)# object network global_http ciscoasa(config-network-object)# host 202.100.1.200 ciscoasa(config-network-object)# exit ciscoasa(config)# object network http ciscoasa(config-network-object)# host 192.168.100.80 ciscoasa(config-network-object)# nat (dmz,outside) static global_http
28、武汉软件工程职业学院 第 12 页 共 42 页 ciscoasa(config-network-object)# exit 做好以后在做好以后在 HTTPHTTP 上测试连通性上测试连通性 4 4:在:在 R1R1 上配置上配置 DHCP serverDHCP server,R2R2 和和 SW1SW1 启用启用 DHCP relayDHCP relay,保证内部,保证内部 PCPC 可以获得可以获得 IPIP 地址地址 R1(config)#service dhcp R1(config)#ip dhcp pool vlan2 R1(dhcp-config)#network 172.16.1
29、2.0 255.255.255.0 R1(dhcp-config)#default-router 172.16.12.100 R1(dhcp-config)#exit R1(config)#ip dhcp pool vlan3 R1(dhcp-config)#network 172.16.13.0 255.255.255.0 R1(dhcp-config)#default-router 172.16.13.100 R1(dhcp-config)#exit R2(config)#int e0/1.2 R2(config-subif)#ip helper-address 192.168.12.1
30、R2(config-subif)#exit R2(config)#int e0/1.3 R2(config-subif)#ip helper-address 192.168.12.1 R2(config-subif)#exit 武汉软件工程职业学院 第 13 页 共 42 页 SW1(config)#int vlan 2 SW1(config-if)#ip helper-address 192.168.13.1 SW1(config-if)#exit SW1(config)#int vlan 3 SW1(config-if)#ip helper-address 192.168.13.1 SW1
31、(config-if)#exit 内部服务器使用固定的内部服务器使用固定的 IPIP 地址地址 WEB_SERVER(config)#int e0/0 WEB_SERVER(config-if)#ip add 172.16.12.1 255.255.255.0 WEB_SERVER(config-if)#no shu WEB_SERVER(config-if)#exit WEB_SERVER(config)#no ip routing WEB_SERVER(config)#ip de WEB_SERVER(config)#ip default-g WEB_SERVER(config)#ip d
32、efault-gateway 172.16.12.100 PC(config)#int e0/0 PC(config-if)#ip add dhcp PC(config-if)#no shutdown PC(config-if)#exit PC(config)#no ip routing PC#sh ip itn b *Mar 1 00:38:36.331: %SYS-5-CONFIG_I: Configured from console by console PC#sh ip int b Interface IP-Address OK? Method Status Protocol Ethe
33、rnet0/0 172.16.13.1 YES DHCP up up PCPC 已经通过已经通过 DHCPDHCP 获得地址获得地址 武汉软件工程职业学院 第 14 页 共 42 页 5 5:HSRPHSRP 负载均衡负载均衡 R2(config)#int e0/1.2 R2(config-subif)#standby 1 preempt R2(config-subif)#standby 1 ip 172.16.12.100 R2(config-subif)#standby 1 priority 200 R2(config-subif)#standby 1 track e0/0 120 R2(
34、config-subif)#exit R2(config)#int e0/1.3 R2(config-subif)#standby 2 preempt R2(config-subif)#standby 2 ip 172.16.13.100 SW1(config)#int vlan 2 SW1(config-if)#standby 1 preempt SW1(config-if)#standby 1 ip 172.16.12.100 SW1(config-if)#exit SW1(config)#int vlan 3 SW1(config-if)#standby 2 preempt SW1(co
35、nfig-if)#standby 2 ip 172.16.13.100 SW1(config-if)#standby 2 priority 200 SW1(config-if)#standby 2 track f0/1 120 SW1(config-if)#exit 配置完成后检查状态是否正常配置完成后检查状态是否正常 R2#sh standby brief P indicates configured to preempt. | Interface Grp Prio P State Active Standby Virtual IP Et0/1.2 1 200 P Active local
36、172.16.12.13 172.16.12.100 Et0/1.3 2 100 P Standby 172.16.13.13 local 172.16.13.100 武汉软件工程职业学院 第 15 页 共 42 页 SW1#sh standby brief P indicates configured to preempt. | Interface Grp Prio P State Active Standby Virtual IP Vl2 1 100 P Standby 172.16.12.12 local 172.16.12.100 Vl3 2 200 P Active local 17
37、2.16.13.12 172.16.13.100 6 6:SW2 SW2 和和 SW3 SW3 之间的链路做冗余备份并且保证负载均衡之间的链路做冗余备份并且保证负载均衡 SW2(config)#spanning-tree vlan 2 root primary SW2(config)#spanning-tree vlan 3 root secondary SW3(config)#spanning-tree vlan 2 root secondary SW3(config)#spanning-tree vlan 3 root primary 7 7:SW2,SW3SW2,SW3 上做上做 DHC
38、P SNOOPING DHCP SNOOPING 和和 DAIDAI SW2 Ip dhcp snooping Ip dhcp snooping database werite-relay 15 Ip dhcp snooping database flash:/snoop1.db Ip dhcp snooping vlan 2 Ip dhcp snooping vlan 3 Int r f0/1 -4 Ip dhcp snooping trust 所有所有 trunktrunk 配置为配置为 trusttrust,允许转发,允许转发 DHCP DHCP 的请求和回复的请求和回复 Int r f
39、0/12 -13 Ip dhcp snooping limit rate 5 对对 accessaccess 接口做接口做 DHCP DHCP 请求的限速,防止请求的限速,防止 DHCP DHCP 的的 DDOSDDOS 攻击攻击 由于内部由于内部 WEBWEB 服务器使用的是静态服务器使用的是静态 IPIP,所以需要,所以需要 ARP ACLARP ACL 来放行服务器的流量来放行服务器的流量 Arp access-list arp_acl permit ip 172.16.12.1 mac 0002.0002.0002 Ip arp inspection filter arp_acl vl
40、an 2 Ip arp inspection vlan 2 Ip arp inspection vlan 3 武汉软件工程职业学院 第 16 页 共 42 页 Int r f0/1 - 4 Ip arp inspection trust 所有所有 trunktrunk 配置为配置为 trusttrust SW3 Ip dhcp snooping Ip dhcp snooping database werite-relay 15 Ip dhcp snooping database flash:/snoop1.db Ip dhcp snooping vlan 2 Ip dhcp snooping
41、vlan 3 Int r f0/3 -4 Ip dhcp snooping trust 所有所有 trunktrunk 配置配置为为 trusttrust,允许转发,允许转发 DHCP DHCP 的请求和回复的请求和回复 Int r f0/12 -13 Ip dhcp snooping limit rate 5 Ip arp inspection vlan 2 Ip arp inspection vlan 3 Int r f0/1 - 4 Ip arp inspection trust 8: R4 8: R4 配置为配置为 PPPOEPPPOE 的的 serverserver,外部移动办公人员
42、使用,外部移动办公人员使用 PPPOEPPPOE 拨号上网拨号上网 R4(config)#vpdn enable R4(config)#vpdn-group ADSL R4(config-vpdn)#accept-dialin R4(config-vpdn-acc-in)#protocol pppoe R4(config-vpdn-acc-in)#exi R4(config-vpdn)#bba-group pppoe global R4(config-bba-group)#virtual-template 1 R4(config-bba-group)#exit 武汉软件工程职业学院 第 17
43、页 共 42 页 R4(config)#int virtual-template 1 R4(config-if)# ip unnumbered e0/3 R4(config-if)#encapsulation ppp R4(config-if)#ppp authentication pap R4(config-if)#peer default ip address pool pool R4(config-if)#exit R4(config)#ip local pool pool 123.1.1.1 123.1.1.100 R4(config)#username cisco password
44、cisco R4(config)#int e0/3 R4(config-if)#pppoe enable R4(config-if)#exit 配置完成以后在配置完成以后在 PCPC 上测试是否能够正常拨号上测试是否能够正常拨号 PPPOEPPPOE 添加新的网络连接添加新的网络连接 武汉软件工程职业学院 第 18 页 共 42 页 武汉软件工程职业学院 第 19 页 共 42 页 武汉软件工程职业学院 第 20 页 共 42 页 点击连接点击连接 已经成功拨号了。已经成功拨号了。 9 9:R1R1 配置为配置为 EZVPN serverEZVPN server R1(config)#aaa
45、new-model R1(config)#aaa authentication login nocon none R1(config)#line console 0 R1(config-line)#login authentication nocon 武汉软件工程职业学院 第 21 页 共 42 页 R1(config-line)#exit R1(config)#aaa authentication login ezvon local R1(config)#aaa authorization network ezvpn local R1(config)#username cisco passw
46、ord cisco R1(config)#crypto isakmp policy 10 R1(config-isakmp)#authentication pre-share R1(config-isakmp)#encryption 3des R1(config-isakmp)#hash sha R1(config-isakmp)#group 2 R1(config-isakmp)#exit R1(config)#crypto isakmp client configuration group ezvpngroup R1(config-isakmp-group)#acl 101 定义分离隧道定
47、义分离隧道 R1(config-isakmp-group)#key cisco123 R1(config-isakmp-group)#pool pool R1(config-isakmp-group)#exit R1(config)#access-list 101 permit ip 172.16.12.0 0.0.0.255 any R1(config)#access-list 101 permit ip 172.16.13.0 0.0.0.255 any 到总部内网的流量走到总部内网的流量走 VPNVPN, 其他流量正常其他流量正常走走 internetinternet R1(config
48、)#ip local pool pool 172.16.1.1 172.16.1.100 R1(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac R1(cfg-crypto-trans)#exit R1(config)#crypto dynamic-map dmap 10 R1(config-crypto-map)#set transform-set myset R1(config-crypto-map)#reverse-route 开启反向路由注入开启反向路由注入 R1(config-crypto-map)#exit
49、 R1(config)#crypto map map isakmp authorization list ezvpn R1(config)#crypto map map client configuration address respond R1(config)#crypto map map client authentication list ezvpn R1(config)#int e0/3 R1(config-if)#cry R1(config-if)#crypto map map 武汉软件工程职业学院 第 22 页 共 42 页 R1(config-if)#exit 现在现在 EZVPNEZVPN 已经配置完成