gh0s7/NE_YuR
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
11f2d26fce2ae8557e7288d01ad72a9e6eb3a532
NE_YuR/experiment/kimi-advice.md
CGH0S7 727655890f big expr fixed again
2025-10-21 20:36:20 +08:00

443 lines
12 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
以下是基于你提供的小型网络拓扑图和评分标准结合华为设备交换机、路由器、防火墙和Windows 10 PC、树莓派作为Web服务器环境设计的一份**详细实验内容与配置步骤文档**。该文档兼顾了**得分点覆盖**、**配置简洁性**(特别是防火墙部分尽量简化),并明确区分了**Web配置仅防火墙**与**命令行配置(其余设备)**。
---
## 🧪 实验名称:小型企业网络综合设计与实现(华为设备)
---
### ✅ 一、实验目标(对应评分项)
| 目标 | 得分点 |
|------|--------|
| 设计完整拓扑实现多服务Web、DHCP、邮件 | 拓扑图+5需求设计10IP编址+2数据规划+2配置流程+1 |
| 实现内网用户访问网页、邮件通信、DHCP中继 | 网络应用服务10分Web+3邮件+3DHCP中继+4 |
| 实现VLAN划分、内网互通、服务器访问 | 网络连通性10分VLAN+2互通+5访问服务器+3 |
| 实现环路防护、VRRP主备、外网多路径 | 网络可靠性10分环路+3VRRP/冗余+3外网多路径+4 |
| 实现端口安全、非法服务器屏蔽、时间控制、NAT发布Web | 安全保护10分端口安全+2屏蔽非法+3时间控制+3NAT发布+2 |
| 拓展功能可选无线接入、BFD、MPLS、网页美化等 | 拓展功能20分每功能+5~10封顶20 |
---
### 🧱 二、设备清单与角色分配
| 设备 | 型号(建议) | 角色 | 管理方式 |
|------|---------------|------|----------|
| R1, R2 | AR2220 | 出口路由器VRRP主备 | Telnet CLI |
| R3 | AR2220 | ISP模拟 | Telnet CLI |
| FW1 | USG6000V华为防火墙 | NAT、安全策略、区域划分 | Web界面简化配置 |
| R_NEW | AR2220 | 核心路由转发 | Telnet CLI |
| CORE (S1+S2) | S5700堆叠 | 核心三层交换机VLAN网关 | Telnet CLI |
| S3, S4 | S3700 | 接入交换机 | Telnet CLI |
| PC1, PC3 | Windows 10 | 员工/访客终端 | 图形界面 |
| Server | 树莓派Pi | 内网Web服务器192.168.20.10 | 手动配置 |
| InternetServer | 树莓派Pi | 外网Web服务8.8.8.8 | 手动配置 |
| PC4 | Windows 10 | 外网用户 | 图形界面 |
---
### 🌍 三、IP地址规划评分+2
| 区域 | VLAN | 子网 | 网关 | 说明 |
|------|------|--------|--------|--------|
| 员工区 | 10 | 192.168.10.0/24 | 192.168.10.254 | 网关CORE |
| 服务器区 | 20 | 192.168.20.0/24 | 192.168.20.254 | 网关CORE |
| 访客区 | 30 | 192.168.30.0/24 | 192.168.30.254 | 网关CORE |
| DMZ逻辑 | 20 | 同上 | 同上 | 实际在S4但网关仍在CORE |
| 外网模拟 | — | 8.8.8.0/24 | 8.8.8.1 | 树莓派模拟 |
| 外网用户 | — | 172.16.1.0/24 | 172.16.1.1 | PC4 |
| R3-R1 | — | 203.0.113.0/30 | — | 链路A |
| R3-R2 | — | 203.0.113.4/30 | — | 链路B |
| R1-FW1 | — | 10.0.2.0/30 | — | 主路径 |
| R2-FW1 | — | 10.0.3.0/30 | — | 备路径 |
| FW1-R_NEW | — | 10.0.1.0/30 | — | 核心上行 |
| R_NEW-CORE | — | 10.0.4.0/30 | — | 核心互联 |
> ✅ 所有三层接口使用静态路由或OSPF推荐OSPF简化
---
### 🔧 四、实验步骤(按模块划分)
---
#### 🔹 步骤 1基础连接与IP配置所有设备互通
> ✅ 目标实现直连ping通为后续服务打基础
##### 1.1 配置 R1出口1
```bash
system-view
sysname R1
interface GigabitEthernet0/0/0
ip address 203.0.113.2 255.255.255.252
quit
interface GigabitEthernet0/0/1
ip address 10.0.2.1 255.255.255.252
quit
```
##### 1.2 配置 R2出口2
```bash
interface GigabitEthernet0/0/0
ip address 203.0.113.6 255.255.255.252
interface GigabitEthernet0/0/1
ip address 10.0.3.1 255.255.255.252
```
##### 1.3 配置 R3ISP
```bash
interface GigabitEthernet0/0/0
ip address 203.0.113.1 255.255.255.252
interface GigabitEthernet0/0/1
ip address 203.0.113.5 255.255.255.252
interface GigabitEthernet0/0/2
ip address 8.8.8.1 255.255.255.0 # 模拟公网网关
```
---
#### 🔹 步骤 2配置 VRRP评分+3
> ✅ 在 R1 与 R2 上配置 VRRP虚拟IP为 `10.0.2.254`(主)和 `10.0.3.254`(备),统一对外为 `10.0.2.254`
##### R1
```bash
interface GigabitEthernet0/0/1
vrrp vrid 1 virtual-ip 10.0.2.254
vrrp vrid 1 priority 120
vrrp vrid 1 preempt-mode
```
##### R2
```bash
interface GigabitEthernet0/0/1
vrrp vrid 1 virtual-ip 10.0.2.254
vrrp vrid 1 priority 100
```
> ✅ 验证:`display vrrp`
---
#### 🔹 步骤 3配置静态路由或OSPF实现全网互通
> ✅ 推荐:在 R1、R2、R_NEW、CORE 上启用 OSPFArea 0
##### R1
```bash
ospf 1
area 0
network 10.0.2.0 0.0.0.3
network 203.0.113.0 0.0.0.3
```
##### R2
```bash
ospf 1
area 0
network 10.0.3.0 0.0.0.3
network 203.0.113.4 0.0.0.3
```
##### R_NEW
```bash
ospf 1
area 0
network 10.0.1.0 0.0.0.3
network 10.0.4.0 0.0.0.3
```
##### CORE
```bash
ospf 1
area 0
network 10.0.4.0 0.0.0.3
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
network 192.168.30.0 0.0.0.255
```
---
#### 🔹 步骤 4配置 VLAN 与 Eth-Trunk评分+2
##### CORE堆叠作为三层网关
```bash
vlan batch 10 20 30
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
interface Vlanif20
ip address 192.168.20.254 255.255.255.0
interface Vlanif30
ip address 192.168.30.254 255.255.255.0
# Eth-Trunk 到 S3员工
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 10
interface GigabitEthernet0/0/1
eth-trunk 1
interface GigabitEthernet0/0/2
eth-trunk 1
# Eth-Trunk 到 S4服务器+访客)
interface Eth-Trunk2
port link-type trunk
port trunk allow-pass vlan 20 30
interface GigabitEthernet0/0/3
eth-trunk 2
interface GigabitEthernet0/0/4
eth-trunk 2
```
##### S3接入员工
```bash
vlan 10
interface Ethernet0/0/1
port link-type access
port default vlan 10
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10
```
##### S4接入服务器+访客)
```bash
vlan batch 20 30
interface Ethernet0/0/1
port link-type access
port default vlan 20
interface Ethernet0/0/2
port link-type access
port default vlan 30
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 20 30
```
---
#### 🔹 步骤 5配置 DHCP 中继(评分+4
> ✅ 在 CORE 上启用 DHCP 中继,指向外部 DHCP 服务器(如 Windows Server 或路由器)
##### 假设 DHCP 服务器在 192.168.20.10(树莓派或路由器)
```bash
dhcp enable
interface Vlanif10
dhcp select relay
dhcp relay server-ip 192.168.20.10
interface Vlanif30
dhcp select relay
dhcp relay server-ip 192.168.20.10
```
> ✅ 树莓派上安装 `isc-dhcp-server`,配置作用域为 192.168.10.0 和 192.168.30.0
---
#### 🔹 步骤 6配置防火墙 FW1Web配置简化
> ✅ 仅使用 Web 界面,配置以下内容:
##### 6.1 登录 FW1 Web 控制台(默认 https://192.168.0.1
##### 6.2 配置接口
| 接口 | IP | 区域 |
|------|----|------|
| GigabitEthernet0/0/0 | 10.0.2.2/30 | Untrust |
| GigabitEthernet0/0/1 | 10.0.3.2/30 | Untrust |
| GigabitEthernet0/0/2 | 10.0.1.1/30 | Trust |
> ✅ 注意:不要配置 Vlanif20删除任何 VLAN 20 网关(得分点:简化防火墙)
##### 6.3 配置安全策略(允许内网访问外网)
- 源区域Trust
- 目的区域Untrust
- 源地址192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24
- 动作:允许
##### 6.4 配置 NATEasy IP
- 出接口G0/0/0 和 G0/0/1主备
- 源地址:同上私网段
- 类型源NAT使用出接口地址
> ✅ 验证PC1 能 ping 8.8.8.8
##### 6.5 配置 NAT Server发布 Web 服务器)
- 公网地址203.0.113.100(可绑定到 R1/R2 环回)
- 私网地址192.168.20.10
- 端口TCP 80
- 区域Untrust -> Trust
> ✅ 外网 PC4 访问 `http://203.0.113.100` 可看到树莓派网页
---
#### 🔹 步骤 7配置邮件服务评分+3
> ✅ 使用树莓派作为内网邮件服务器Postfix + Dovecot
##### 7.1 安装邮件服务
```bash
sudo apt update
sudo apt install postfix dovecot-core dovecot-imapd
```
##### 7.2 配置 Postfix
```bash
sudo nano /etc/postfix/main.cf
```
添加:
```ini
myhostname = mail.company.local
mydomain = company.local
myorigin = $mydomain
inet_interfaces = all
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
home_mailbox = Maildir/
```
##### 7.3 创建用户
```bash
sudo adduser user1
sudo adduser user2
```
##### 7.4 测试
- 在 PC1 上使用 Outlook 或 Thunderbird
- 配置 IMAP 服务器192.168.20.10
- 发送邮件给 user2@company.local
- user2 登录接收 → 成功即得分
---
#### 🔹 步骤 8安全配置评分+10
##### 8.1 交换机端口安全S3, S4
```bash
interface Ethernet0/0/1
port-security enable
port-security max-mac-num 1
port-security mac-address sticky
```
> ✅ 防止非法设备接入
##### 8.2 屏蔽非法 DHCP 服务器(评分+3
```bash
dhcp snooping enable
interface GigabitEthernet0/0/1
dhcp snooping trusted
```
> ✅ 仅信任上行口,屏蔽用户侧非法 DHCP
##### 8.3 内网用户分时段访问外网(评分+3
> ✅ 在 FW1 Web 配置:
- 创建时间段:工作日 18:0022:00
- 创建策略:源为 192.168.10.0/24时间为上述动作拒绝
- 放在允许策略之前
> ✅ 实现“上班不能上网,下班可以”
---
#### 🔹 步骤 9网络可靠性评分+10
| 功能 | 实现 | 得分 |
|------|------|------|
| 环路防护 | 启用 STP默认开启 | +3 |
| VRRP 主备 | 已配置 | +3 |
| 外网多路径 | R1/R2 双上行OSPF 自动选路 | +4 |
> ✅ 验证:断开 R1流量走 R2网络不中断
---
#### 🔹 步骤 10拓展功能选做+20 封顶)
| 功能 | 实现方式 | 得分 |
|------|----------|------|
| 无线接入 | 添加华为 AP配置 WLAN 服务AC 或胖 AP | +10 |
| BFD 快速检测 | 在 R1/R2 与 R3 之间配置 BFD | +5 |
| 网页美化 | 树莓派 Web 页面使用 Bootstrap 设计 | +5 |
| MPLS VPN | 在核心启用 MPLS划分 VPN 实例(员工/访客隔离) | +10 |
---
### ✅ 五、验证清单(实验完成标准)
| 验证项 | 命令/方法 | 是否完成 |
|--------|------------|----------|
| PC1 能访问外网 Web | ping 8.8.8.8 + 浏览器访问 | ✅ |
| PC1 与 PC3 互通 | ping 192.168.30.x | ✅ |
| PC1 能访问服务器 | ping 192.168.20.10 | ✅ |
| 外网 PC4 能访问内网 Web | http://203.0.113.100 | ✅ |
| 邮件发送接收 | Outlook 测试 | ✅ |
| DHCP 获取 | PC1/PC3 自动获取 IP | ✅ |
| VRRP 主备切换 | shutdown R1 接口,测试连通性 | ✅ |
| 端口安全 | 插入新设备,是否被阻止 | ✅ |
| 时间控制 | 非允许时间无法上网 | ✅ |
---
### 📎 六、提交材料建议
1. **拓扑图**(已提供,+5
2. **IP 地址规划表**(见上文,+2
3. **设备配置文件**CLI 命令汇总,+2
4. **服务测试截图**Web访问、邮件、DHCP、VRRP切换等
5. **拓展功能演示**如无线接入、BFD、网页美化
---
### 🏁 七、总结
本实验设计:
-**完全覆盖评分标准**
-**防火墙配置极简**(仅用 Web无复杂 CLI
-**其余设备全命令行**(符合要求)
-**使用真实设备(华为)与树莓派**
-**可拓展性强**无线、BFD、MPLS 等)
---
如需我为你生成:
- 完整的 **CLI 配置脚本打包**(按设备分类)
- **防火墙 Web 配置截图指南**
- **树莓派 Web/邮件服务搭建脚本**
- **测试用 PC 配置指南**
请告诉我,我可以继续为你补充!祝你实验顺利完成,冲击满分!💯
Reference in New Issue View Git Blame Copy Permalink