计算机网络原理实践报告--跨国公司，通过运营商网络如何实现总部公司与各分公司之间的网络互通

一、实践的实验内容

本次实践的内容为：模拟跨国公司，通过运营商网络如何实现总部公司与各分公司之间的网络互通。
实验目标：
1、运营商网络可以全网互通，并且发生故障点后，可以自动切换路由路径。
2、公司内部网络实现、接入层、汇聚层、核心层三层架构。
3、公司内部网络实现双路负载均衡。

二、实践的实验环境

1、硬件环境

本次实验采用的硬件为：lenovo ThinkPad L460 笔记本，笔记本基本参数为I7-6500U CPU，16G内存，Windows 10 64位专业版操作系统。

2、软件环境

本次实践使用的软件为：华为eNSP模拟器，抓包软件为Wireshark。

3、实践网络环境

本次实践利用华为eNSP模拟器，实践网络图如下：

4、配置方式

此次实践，配置主要分为两部分。一部分是运营商网络的配置，另一部分是总部公司及各分公司网络的配置。

1运营商网络的配置

运营商网络分为移动、联通、电信三家，通过中心机房将各运营商的网络互通形成环路。运营商之间采用BGP路由协议。每个运营商有独立的AS号，内有三台路由器。可以从相邻的AS内部获取某子网的可达性信息。向本AS内部的所有路由器传播跨AS的某子网的可达性信息。基于某子网可达性信息和AS路由策略，决定到达盖子网的最佳路由。

2总部公司及各分公司网络配置

总部公司和分公司网络为三层架构：接入层、汇聚层、核心层。汇聚层与核心层为了保障网络的可靠性，这两层设备采用双击热备机制。

接入层
接入层网络为二层交换机，特点为，接入交换机的端口数足够多，可以满足用户后续的扩增。每个交换机采用vlan技术将不同网段的主机和服务器进行逻辑隔离。开启并配置STP（成树协议）。

汇聚层
汇聚层网络为三层交换机，特点是将接入层的数据汇总、转发。每个汇聚层交换机与接入层连接，传递数据，并开启STP。汇聚层上配置DHCP服务，为每个接入层设备分配ip地址。汇聚层与核心层之间采用OSPF路由协议做路由转发。
OSPF协议具有很多优点，其中主要包括：
1、安全。所有报文都经过认证。
2、支持多条相同费用的路径。
3、支持区别化费用度量。
4、支持单播路由和多播路由。
5、分层路由。

核心层
核心层有两部分组成。一部分是与汇聚层做数据交换机路由器，另一部分是于运营商做数据交换的出口防火墙。路由器采用OSPF路由协议与汇聚层交换机相连。出口防火墙，对内采用OSPF路由协议，对外部运营商采用BGP路由协议，并在出口防火墙上做OSPF与BGP协议之间的重分布。出口防火墙上，可对内部流量做IP映射、端口映射等策略。

三、实践实验步骤

1、运营商网络的配置

1运营商网络配置：

以图中联通运营商为例：

设置路由器的名字：
sysname bjr1

设置路由id：
router id 100.1.1.1

设置ssh登录：
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %%K8m.Nt84DZ}e#<0`8bmE3Uw}%%
local-user admin service-type ssh

设置接口IP：
interface GigabitEthernet0/0/0
ip address 15.1.1.2 255.255.255.0

interface GigabitEthernet0/0/1
ip address 112.1.1.1 255.255.255.0

interface LoopBack0
ip address 100.1.1.1 255.255.255.0

配置BGP：
bgp 100
peer 15.1.1.1 as-number 50
peer 100.1.1.2 as-number 100
peer 100.1.1.2 connect-interface LoopBack0

ipv4-family unicast
undo synchronization
network 15.1.1.0 255.255.255.0
network 112.1.1.0 255.255.255.0
import-route ospf 1
peer 15.1.1.1 enable
peer 100.1.1.2 enable
peer 100.1.1.2 next-hop-local

配置ospf：
ospf 1
area 0.0.0.0
network 15.1.1.0 0.0.0.255
network 100.1.1.0 0.0.0.255
network 112.1.1.0 0.0.0.255

设置vty认证模式：
user-interface con 0
authentication-mode password
user-interface vty 0 4
user-interface vty 16 20

2网络测试

（1）查看路由表
运营商网络内设备配置完成后，可以在路由器上查到全网的路由。

（2）连通性测试
此时，可以用ping命令检测连通性，测试到图中电信SHR2的连通性。

测试153.1.1.2这个地址，可以ping通。

（3）单点故障的路由切换
此时到153.1.1.2 的路由路径为：
在联通bjr1上将15.1.1.2端口down掉。

此时再次ping 153.1.1.2这个地址，还是可以ping通。

此时到153.1.1.2 的路由路径为：
此时路由路径已变化。代表运营商网络部分的网络可以达到断点切换的目的。

2、公司及分公司内部网络配置

1接入层配置

以北京分公司为例：

在北京分公司BJFGS-SW1交换机上：
设置交换机名称：
sysname BJFGS-SW1

配置用户、密码和telnet登录：
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user lei password cipher HWJY#U!D#@"]L*/C7’P%;1!!
local-user lei privilege level 3
local-user hcnp password simple vlan
local-user hcnp service-type telnet
local-user admin password simple admin
local-user admin service-type http

添加并配置vlan：
vlan batch 10 100
interface Vlanif10
ip address 192.167.1.200 255.255.255.0

配置接口并归入vlan：
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
interface GigabitEthernet0/0/4
port link-type access
port default vlan 10
interface GigabitEthernet0/0/23
port link-type access
port default vlan 10
interface GigabitEthernet0/0/24
port link-type access
port default vlan 10

配置生成树协议：
stp region-configuration
region-name bjfgs
instance 1 vlan 10
active region-configuration

2汇聚层配置

以北京分公司为例：

在北京分公司BJFGS-XHSW1交换机上：

设置交换机名称：
sysname BJFGS-XHSW1

设置路由ID：
router id 100.10.10.1

添加VLAN：
vlan batch 10 20 30 100

配置多生成树：
stp instance 1 root primary
stp instance 2 root secondary
stp instance 3 root primary
stp region-configuration
region-name bjfgs
instance 1 vlan 10
instance 2 vlan 20
instance 3 vlan 30
active region-configuration

配置DHCP服务：
dhcp enable
ip pool vlan10
gateway-list 192.167.1.254
network 192.167.1.0 mask 255.255.255.0
dns-list 8.8.8.8

ip pool vlan20
gateway-list 192.167.2.254
network 192.167.2.0 mask 255.255.255.0
dns-list 8.8.8.8

ip pool vlan30
gateway-list 192.167.3.254
network 192.167.3.0 mask 255.255.255.0
dns-list 8.8.8.8

配置管理用户、密码和telnet：
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user lei password cipher HWJY#U!D#@"]L*/C7’P%;1!!
local-user lei privilege level 3
local-user hcnp password simple vlan
local-user hcnp service-type telnet
local-user admin password simple admin
local-user admin service-type http

在vlan接口下配置vlan接口地址、双机热备和DHCP服务：
interface Vlanif10
ip address 192.167.1.253 255.255.255.0
vrrp vrid 1 virtual-ip 192.167.1.254
vrrp vrid 1 priority 105
vrrp vrid 1 track interface GigabitEthernet0/0/3
dhcp select global

interface Vlanif20
ip address 192.167.2.253 255.255.255.0
vrrp vrid 2 virtual-ip 192.167.2.254
vrrp vrid 2 track interface GigabitEthernet0/0/5
dhcp select global

interface Vlanif30
ip address 192.167.3.253 255.255.255.0
vrrp vrid 3 virtual-ip 192.167.3.254
vrrp vrid 3 priority 105
vrrp vrid 3 track interface GigabitEthernet0/0/7
dhcp select global

interface Vlanif100
ip address 10.10.10.1 255.255.255.0

在接口下配置vlan：
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100

interface GigabitEthernet0/0/2
port link-type access
port default vlan 100

interface GigabitEthernet0/0/3
port link-type access
port default vlan 10

interface GigabitEthernet0/0/5
port link-type access
port default vlan 20

interface GigabitEthernet0/0/7
port link-type access
port default vlan 30

在接口下配置trunk：
interface GigabitEthernet0/0/10
port link-type trunk
port trunk allow-pass vlan 2 to 4094

配置loopback地址：
interface LoopBack0
ip address 100.10.10.1 255.255.255.0

配置OSPF协议：
ospf 1
area 0.0.0.0
network 100.10.10.0 0.0.0.255
network 10.10.10.0 0.0.0.255
network 192.167.1.0 0.0.0.255
network 192.167.2.0 0.0.0.255
network 192.167.3.0 0.0.0.255

3核心层配置

以北京分公司为例：

在北京分公司BJFGS-R1路由器上：

配置路由器名称：
sysname BJFGS-R1

配置路由ID：
router id 100.10.20.1

添加vlan：
vlan batch 100

配置用户、密码和管理方式：
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %%K8m.Nt84DZ}e#<0`8bmE3Uw}%%
local-user admin service-type http

在vlan接口下配置vlan接口地址、双机热备：
interface Vlanif100
ip address 10.10.10.21 255.255.255.0
vrrp vrid 1 virtual-ip 10.10.10.254
vrrp vrid 1 priority 105
vrrp vrid 1 track interface Ethernet4/0/1
vrrp vrid 1 track interface Ethernet4/0/2

在接口下配置vlan：
interface Ethernet4/0/1
port link-type access
port default vlan 100

interface Ethernet4/0/2
port link-type access
port default vlan 100

在接口下配置地址：
interface GigabitEthernet0/0/1
ip address 10.10.20.1 255.255.255.0

interface GigabitEthernet0/0/2
ip address 10.10.30.1 255.255.255.0

interface LoopBack0
ip address 100.10.20.1 255.255.255.0

配置OSPF协议：
ospf 1
area 0.0.0.0
network 10.10.10.0 0.0.0.255
network 10.10.20.0 0.0.0.255
network 100.10.20.0 0.0.0.255

在北京分公司BJFGS-FW1防火墙上：

配置管理用户、密码和管理方式：
aaa
local-user admin password cipher %%.V41Uz)qI36b)c8DWk}6@zqh%%
local-user admin service-type web terminal telnet
local-user admin level 15
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default

配置路由ID:
router id 100.10.30.1

添加并配置vlan：
vlan batch 1 100
interface Vlanif100
alias Vlanif100
ip address 10.10.20.11 255.255.255.0

在接口下配置接口地址、双机热备和DHCP服务：
interface GigabitEthernet0/0/0
alias GE0/MGMT
ip address 192.168.0.1 255.255.255.0
dhcp select interface
dhcp server gateway-list 192.168.0.1

interface GigabitEthernet0/0/1
portswitch
port link-type hybrid
port hybrid pvid 100
undo port hybrid vlan 1
port hybrid vlan 100 untagged

interface GigabitEthernet0/0/2
portswitch
port link-type hybrid
port hybrid pvid 100
undo port hybrid vlan 1
port hybrid vlan 100 untagged
interface GigabitEthernet0/0/8
ip address 222.222.222.2 255.255.255.252

interface NULL0
alias NULL0

interface LoopBack0
alias LoopBack0
ip address 100.10.30.1 255.255.255.0

配置OSPF协议：
ospf 1
import-route static
area 0.0.0.0
network 100.10.30.0 0.0.0.255
network 10.10.20.0 0.0.0.255
network 222.222.222.0 0.0.0.3

配置BGP协议：
bgp 65000
peer 222.222.222.1 as-number 100

ipv4-family unicast
undo synchronization
network 222.222.222.0 255.255.255.252
import-route ospf 1
peer 222.222.222.1 enable

配置出口静态路由：
ip route-static 0.0.0.0 0.0.0.0 222.222.222.1

配置防火墙策略：
firewall zone local
set priority 100

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface Vlanif100

firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/8

firewall zone dmz
set priority 50

firewall packet-filter default permit interzone local trust direction inbound
firewall packet-filter default permit interzone local trust direction outbound
firewall packet-filter default permit interzone local untrust direction inbound
firewall packet-filter default permit interzone local untrust direction outboun
d
firewall packet-filter default permit interzone local dmz direction inbound
firewall packet-filter default permit interzone local dmz direction outbound
firewall packet-filter default permit interzone trust untrust direction inbound
firewall packet-filter default permit interzone trust untrust direction outboun
d
firewall packet-filter default permit interzone trust dmz direction inbound
firewall packet-filter default permit interzone trust dmz direction outbound
firewall packet-filter default permit interzone dmz untrust direction inbound
firewall packet-filter default permit interzone dmz untrust direction outbound

4网络测试

（1）连通性测试
在PC1（192.167.1.1）上ping PC2（192.167.2.1）和PC3（192.167.3.1）的地址测试连通性：

如图所示，测试均成功，内部主机网络测试成功。

（2）DHCP自动获取地址

在PC4上选择DHCP自动获取地址：

由于PC4对应接入层设备的23口属于：

汇聚层交换机上VLAN 10所对应的网段为192.167.1.0/24网段：

所以PC4自动获取的地址如下：

主机可以根据不同的需求获取到不同的网段地址。DHCP测试成功。

（3）测试到外部网络的连通性
从PC4上以图中标红设备的接口地址222.222.222.1测试对外部网络的连通性。

可以ping通，说明对外网络的配置正常。

此时，到外部网络正常。

（4）测试双路负载均衡

此时从PC4上查看的路由路径为：

如下图箭头标记：

将图中标红汇聚交换机手动断电，测试主备链路是否切换。
断电后，ospf重新收敛完成，从PC4上测试到222.222.222.1的连通性。
此时从PC4上查看到的路由路径为：

如下图箭头标记：

此时主汇聚交换机故障后，路由线路切换成功，双机链路负载均衡成功。

四、实践实验总结

1、心得体会

本次实践实验模拟了跨国公司，通过运营商网络如何实现总部公司与各分公司之间的网络互通。实验环境全程用华为eNSP模拟器搭建。
实验实现了如下功能：
1、使用BGP路由协议，完成了运营商网络内部和各运营商之间的路由选择。发生设备故障时，网络可以自动切换，避免了因网络设备故障造成的大面积断网。
2、公司内部实现三层架构模式，级接入层、汇聚层、核心层。
3、汇聚层除了提供路由功能外还提供DHCP功能，接入层设备可自动获取IP地址。
4、汇聚层与核心层之间使用OSPF动态路由协议，自动选择路由。
5、汇聚层与核心层之间使用双路负载均衡，当一个设备故障时，链路自动切换，提高了公司内部网络可用性。

完成本次实践实验，心得体会如下：
1、前期的网络架构设计非常重要。一个好的架构可以降低网络的故障率并提高设备效率。
2、实验前设备规划、IP地址规划非常重要。若前期未做整体规划，常导致进度拖后。
3、前期的客户需求调研非常重要。若前期未做好需求调研，会导致需求不清等问题，影响项目进度和客户满意度。

2、尚未解决的问题

问题1：物理资源不足
由于本次实践实验的物理机为实验者笔记本电脑，此次实践实验模拟环境较大，模拟器的资源需求高，所以本次实验，无法模拟全部设备开启后，各分公司通过运营商网络和总公司的互联互通等。

问题2：未设计安全相关实验
由于本次实践实验时间紧张，未加入一些安全策略的实验环节。例如：
1、运营商网络与公司网络接口做MPLS VPN。
2、防火墙上做ip映射、端口映射等。
3、交换机上做IP/MAC绑定等。

后期对实验中的安全问题做整体规划，规划完成后逐步加入实验环境中，并测试。

问题3：未设计无线实验
本次实践实验中为安排与无线相关的实验，后期将在接入层加上无线路由，模拟公司环境下的无线接入实验。