网络集成课程设计.docx

资源描述

网络集成课程设计.docx

《网络集成课程设计.docx》由会员分享，可在线阅读，更多相关《网络集成课程设计.docx（53页珍藏版）》请在冰点文库上搜索。

网络集成课程设计.docx

网络集成课程设计

重庆科技学院

学生实习（实训）总结报告

院（系）:

电气与信息工程学院专业班级:

计科普1002____

学生姓名:

____学号:

______

实习（实训）地点:

_____________________

报告题目:

____《网络系统集成》实训报告___________

报告日期：

2013年1月15日

指导教师评语:

_______________________________________

_____________________________________________________________________________________________________________________________________________________________________________________________________________

成绩（五级记分制）:

_____________

指导教师（签字）:

_____________________

前言

本次实训主要是关于防火墙的配置、基于IPSec的GRE实现、基于IP的数据会议网络，还有就是有关OSPF配置、ACL配置、NAT地址池转换等以前实验中学习的内容。

实验中我们主要注重的一点就是有关IPSec-Over-GRE和GRE-Over-IPSec方式配置上的区别，还有就是关于IP的数据会议网络中的两个器材的使用方法了解，以及复习以前有关的实验操作。

而实训的目的不仅仅是要大家能够配置，能够动手操作，而是为了让大家都了解它们配置的理论。

本实训的目的是使学生了解企业网络的建设需求、建设规划、设备选择、系统集成以及设备调试等方面的知识。

更进一步掌握交换机和路由器以及防火墙等设备的有关知识，并将所学的内容加以综合，提高学生的动手能力。

通过查阅资料，了解所学知识的应用情况，同时也使学生通过动手规划设计网络拓扑、调试网络设备而提高解决实际问题的能力。

在进行本设计之前，要先掌握的技术有：

网络互连技术、TCP/IP知识、CISCO、H3C设备的工作原理和配置方法。

为了能够快速高效地完成课程实训，掌握一些常用工具是必要的，这些工具包括：

TFTPServer、SecureCRT、WildPacketsEtherPeek、FLUKE网络协议分析仪、NT955线缆测试仪。

本次实训我们主要做的事四个题目，题目一是有关于IPSec的GRE实现，主要ACL定义的是内网数据流，而Ikepeer中指定的remote-address是对方GREtunnel地址，应用端口为GREtunnel上。

题目二是有关ME5000、MG6030的相关配置。

题目三是有关防火墙的操作，要求实现ip-sweep和port-scan攻击防范动态加入黑名单功能，实现分片报文攻击防范、常见flood攻击防范，添加相应的规则，进行常见病毒攻击的防护，邮件主题过滤、网页地址过滤实现。

题目一、基于IPSec的GRE实现

1.1实训任务

1.1.1组网需求

分部1和分部2通过野蛮IPSec的方式连接到中心，采用GRE-Over-IPSec的方式，在tunnel上运行OSPF协议来实现总部和分部之间的互通。

1.1.2组网图

图1.1组网图

1.1.3配置要求

（1）3个MSR20路由器的配置；

（2）中心上的ikesa状态；

（3）中心上的IPSecsa状态；

（4）中心路由表；

（5）分部1的ikesa状态；

（6）分部1的ipsecsa状态；

（7）分部1的路由表

（8）实验组网图

图1.2网络拓扑图

1.2设备配置文档

1.2.1中心路由器的配置

配置各个端口的IP地址。

[center]inte0/1

[center-Ethernet0/1]ipadd19.168.1.124

[center-Ethernet0/1]ints1/0

[center-Serial1/0]ipadd20.10.1.230

[center-Serial1/0]ints2/0

[center-Serial2/0]ipadd20.10.4.230

[center-Serial2/0]quit

用访问控制列表实现包过滤即Acl配置。

[center]aclnumber3001

[center-acl-adv-3001]rule0permitgresource20.10.1.20destination20.10.2.20

[center-acl-adv-3001]quit

[center]aclnumber3002

[center-acl-adv-3002]rule0permitgresource20.10.4.20destination20.10.3.20

配置总部center与分部1branch1之间的GREtunnel0，再配置总部center与分部2branch2之间的GREtunnel1，分别给tunnel配置IP地址，在定义通道源地址与目的地址。

interfaceTunnel0

ipaddress10.0.0.1255.255.255.252

source20.10.1.2

destination20.10.2.2

interfaceTunnel1

ipaddress10.0.0.5255.255.255.252

source20.10.4.2

destination20.10.3.2

配置OSPF动态路由。

实验中分为3个区域，分别是area0、area10、area20，然后将相应的路由宣告到各自的区域中去。

ospf1

area0.0.0.0

network1.1.1.10.0.0.0

network19.168.1.00.0.0.255

area0.0.0.10

network10.0.0.40.0.0.3

area0.0.0.20

network10.0.0.00.0.0.3

Ike和ipsec的配置

ikepeerbranch1//设置IKE对等体，名称为brance1

exchange-modeaggressive//设置IPsec为野蛮模式

pre-shared-keycipherJ5fBBpuCrvQ=//设立预共享密钥

id-typename//选择ID类型为名字

remote-namebranch1//定义远端对等体名称为brance1

ikepeerbranch2

exchange-modeaggressive

pre-shared-keycipherJ5fBBpuCrvQ=

id-typename

remote-namebranch2

remote-address20.10.3.2

ikepeercenter

remote-address20.10.2.2

定义ipsecproposal的安全级别为1。

ipsecproposal1

设置分部1与分部2的ipsecpolicy

ipsecpolicycenter10isakmp

securityacl3001

ike-peerbranch1

proposal1

ipsecpolicycenter20isakmp

securityacl3002

ike-peerbranch2

proposal1

在相应的端口上应用IPSecpolicy。

interfaceSerial1/0

link-protocolppp

ipaddress20.10.1.2255.255.255.252

ipsecpolicycenter

interfaceSerial2/0

link-protocolppp

ipaddress20.10.4.2255.255.255.252

ipsecpolicycenter

静态路由配置

iproute-static0.0.0.00.0.0.020.10.1.1

1.2.2分部1路由器的配置

[branch1]inte0/1

[branch1-Ethernet0/1]ipadd19.168.2.124

[branch1-Ethernet0/1]

[branch1-Ethernet0/1]ints2/0

[branch1-Serial2/0]ipadd20.10.2.230

aclnumber3001

rule0permitgresource20.10.2.20destination20.10.1.20

interfaceTunnel0

ipaddress10.0.0.2255.255.255.252

source20.10.2.2

destination20.10.1.2

ospf1

area0.0.0.10

network2.2.2.20.0.0.0

network10.0.0.00.0.0.3

network19.168.2.00.0.0.255

ikepeercenter

exchange-modeaggressive

pre-shared-keycipherJ5fBBpuCrvQ=

id-typename

remote-namecenter

remote-address20.10.1.2

ipsecproposal1

ipsecpolicybranch110isakmp

ike-peercenter

proposal1

interfaceSerial2/0

link-protocolppp

ipaddress20.10.2.2255.255.255.252

ipsecpolicybranch1

iproute-static0.0.0.00.0.0.020.10.2.1

1.2.3分部3路由器的配置

[branch2]inte0/1

[branch2-Ethernet0/1]ipadd19.168.3.124

[branch2-Ethernet0/1]ints1/0

[branch2-Serial1/0]ipadd20.10.3.230

[branch2-Serial1/0]

[branch2-Serial1/0]quit

[branch2]aclnumber3002

[branch2-acl-adv-3002]rule0permitgresource20.10.3.20destination20.10.4.20

[branch2-acl-adv-3002]quit

[branch2]intTunnel1

[branch2-Tunnel1]ipadd10.0.0.630

[branch2-Tunnel1]source20.10.3.2

[branch2-Tunnel1]destination20.10.4.2

[branch2-Tunnel1]quit

[branch2]ospf1

[branch2-ospf-1-area-0.0.0.20]network10.0.0.40.0.0.3

[branch2-ospf-1-area-0.0.0.20]network19.168.3.00.0.0.255

[branch2-ospf-1-area-0.0.0.20]quit

[branch2-ospf-1]quit

[branch2]ikelocal-namebranch2

[branch2]ikepeercenter//配置ike对等体peer

[branch2-ike-peer-center]exchange-modeaggressive

[branch2-ike-peer-center]pre-shared-keyabc

[branch2-ike-peer-center]id-typename

[branch2-ike-peer-center]remote-namecenter

[branch2-ike-peer-center]remote-address20.10.4.2

[branch2-ike-peer-center]quit

[branch2]ipsecproposal1//创建ipsec安全提议

[branch2-ipsec-proposal-1]quit

[branch2]ipsecpolicybranch220isakmp

[branch2-ipsec-policy-isakmp-branch2-20]quit

[branch2]ipsecpolicybranch220isakmp//在分配ipsecpolicy时通过ike协商建立sa

[branch2-ipsec-policy-isakmp-branch2-20]securityacl3002//指定安全策略所引用的访问控制列表号

[branch2-ipsec-policy-isakmp-branch2-20]ike-peercenter

[branch2-ipsec-policy-isakmp-branch2-20]proposal1

[branch2-ipsec-policy-isakmp-branch2-20]quit

[branch2]ints1/0

[branch2-Serial1/0]ipsecpolicybranch2

[branch2-Serial1/0]quit

[branch2]iproute-static0.0.0.00.0.0.020.10.3.1preference60

1.2.4效果查看

（1）中心上的ikesa状态；

[center]disikesa

totalphase-1SAs:

connection-idpeerflagphasedoi

----------------------------------------------------------

10620.10.3.2RD|ST1IPSEC

10720.10.3.2RD|ST2IPSEC

1020.10.2.2RD2IPSEC

120.10.2.2RD1IPSEC

flagmeaning

RD--READYST--STAYALIVERL--REPLACEDFD--FADINGTO—TIMEOUT

（2）中心上的IPSecsa状态；

[center]disipsecsa

===============================

Interface:

Serial1/0

pathMTU:

1500

===============================

-----------------------------

IPsecpolicyname:

"center"

sequencenumber:

mode:

isakmp

-----------------------------

connectionid:

encapsulationmode:

tunnel

perfectforwardsecrecy:

None

tunnel:

localaddress:

20.10.1.2

remoteaddress:

20.10.2.2

Flow:

souraddr:

20.10.1.2/255.255.255.255port:

0protocol:

GRE

destaddr:

20.10.2.2/255.255.255.255port:

0protocol:

GRE

[inboundESPSAs]

spi:

4140546555（0xf6cbb9fb）

proposal:

ESP-ENCRYPT-DESESP-AUTH-MD5

saduration（kilobytes/sec）:

1843200/3600

saremainingduration（kilobytes/sec）:

1843174/915

maxreceivedsequence-number:

268

anti-replaycheckenable:

anti-replaywindowsize:

udpencapsulationusedfornattraversal:

[outboundESPSAs]

spi:

3177135980（0xbd5f3f6c）

proposal:

ESP-ENCRYPT-DESESP-AUTH-MD5

saduration（kilobytes/sec）:

1843200/3600

saremainingduration（kilobytes/sec）:

1843191/915

maxsentsequence-number:

udpencapsulationusedfornattraversal:

===============================

Interface:

Serial2/0

pathMTU:

1500

===============================

-----------------------------

IPsecpolicyname:

"center"

sequencenumber:

mode:

isakmp

-----------------------------

connectionid:

encapsulationmode:

tunnel

perfectforwardsecrecy:

None

tunnel:

localaddress:

20.10.4.2

remoteaddress:

20.10.3.2

Flow:

souraddr:

20.10.4.2/255.255.255.255port:

0protocol:

GRE

destaddr:

20.10.3.2/255.255.255.255port:

0protocol:

GRE

[inboundESPSAs]

spi:

284357432（0x10f2f338）

proposal:

ESP-ENCRYPT-DESESP-AUTH-MD5

saduration（kilobytes/sec）:

1843200/3600

saremainingduration（kilobytes/sec）:

1843199/3450

maxreceivedsequence-number:

anti-replaycheckenable:

anti-replaywindowsize:

udpencapsulationusedfornattraversal:

[outboundESPSAs]

spi:

857610838（0x331e1a56）

proposal:

ESP-ENCRYPT-DESESP-AUTH-MD5

saduration（kilobytes/sec）:

1843200/3600

saremainingduration（kilobytes/sec）:

1843198/3450

maxsentsequence-number:

udpencapsulationusedfornattraversal:

（3）中心路由表；

[Center]disiprouting-table

RoutingTables:

Public

Destinations:

20Routes:

Destination/MaskProtoPreCostNextHopInterface

0.0.0.0/0Static60020.10.1.1S2/0

1.1.1.1/32Direct00127.0.0.1InLoop0

2.2.2.2/32OSPF10156210.0.0.2Tun0

3.3.3.3/32OSPF10156210.0.0.6Tun1

10.0.0.0/30Direct0010.0.0.1Tun0

10.0.0.1/32Direct00127.0.0.1InLoop0

10.0.0.4/30Direct0010.0.0.5Tun1

10.0.0.5/32Direct00127.0.0.1InLoop0

127.0.0.0/8Direct00127.0.0.1InLoop0

127.0.0.1/32Direct00127.0.0.1InLoop0

19.168.1.0/24Direct0019.168.1.1Eth0/1

19.168.1.1/32Direct00127.0.0.1InLoop0

19.168.2.0/24OSPF10156310.0.0.2Tun0

19.168.3.0/24OSPF10156310.0.0.6Tun1

20.10.1.0/30Direct0020.10.1.2S2/0

20.10.1.2/32Direct00127.0.0.1InLoop0

20.10.2.2/32Direct0020.10.2.2S2/0

20.10.3.2/32Direct0020.10.3.2S1/0

20.10.4.0/30Direct0020.10.4.2S1/0

20.10.4.2/32Direct00127.0.0.1InLoop0

（4）分部1的ikesa状态；

[branch1]disikesa

totalphase-1SAs:

connection-idpeerflagphasedoi

----------------------------------------------------------

1120.10.1.2RD|ST2IPSEC

220.10.1.2RD|ST1IPSEC

flagmeaning

RD--READYST--STAYALIVERL--REPLACEDFD--FADINGTO—TIMEOUT

（5）分部1的ipsecsa状态；

[branch1]disipsecs

展开阅读全文