第3部分 实施步骤
3.1:工程总体进度:
1:工体工程进度表,人员配置表,施工日志(甘特图)  
   工程的实施要求有工程总体进度表,人员配置表盒施工日志.
2:设备到货和验收,工程布线
(1) 工程布线
工程布线已经在土建工程中完成.
(2) 设备验收
在工程开始之前,需要对购买的设备进行验收,以保证工程能够正常实施.设备验收由已经几点要求.

<1>各分公司自行验收设备,需要记录设备类型,数量,序列号和板卡的类型,数量，序列号.
<2>公司人员和工程实施人员共同对设备进行检查,检查内容包括:设备的外包装,设备是否有损坏,设备和板卡数量,型号,配置部件是否与合同一致,设备规格型号及序列号是否一致设备附带的相关附件和说明书(光盘,手册)是否齐全. 检查完毕后公司人员和工程人员签字或盖章确认.
<3>供货商需要提供货源来源的检查方法,例如序列号查询等方式.
<4>设备安装到机架后需要进行加电测试,主要检查设备是否运行正常,IOS版本是否正确,并测试相关设备功能.
<5>验收完毕后,将设备相关信息发送到总公司邮箱.表明工程设备已经验收完成.
3.2:配置信息:
工程的实际拓扑图过于复杂,很难模拟再现出来,所以工程的实施过程将按照如图3.1所示模拟实现.图3.1保留了工程关键的配置,省略了一些冗余的客户端和接入交换机.
   

二:配置过程:
1:基础配置:
基本接口的配置,公网路由的配置.
2:交换部分配置
VTP
STP
Etherchannel
三层交换
HSRP
路由
NAT
3:广域网部分的配置
Site-to-site IPSEC VPN
SSL VPN
4:安全和管理部分的配置
ACL
SSH
SNMP
=================================================================
1:基础配置:
ASA1(config)# int e0/0
ASA1(config-if)# nameif outside
ASA1(config-if)# ip add 12.0.0.1 255.255.255.0
ASA1(config-if)# no sh

ASA1(config-if)# int e0/1
ASA1(config-if)# nameif inside
ASA1(config-if)# ip add 172.16.1.254 255.255.255.0
ASA1(config-if)# no sh

R1(config)#int f0/0
R1(config-if)#ip add 12.0.0.2 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int f1/0
R1(config-if)#ip add 23.0.0.2 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int f2/0
R1(config-if)#ip add 1.1.1.254 255.255.255.0
R1(config-if)#no sh

ASA2(config)# int e0/0
ASA2(config-if)# nameif outside
ASA2(config-if)# ip add 23.0.0.3 255.255.255.0
ASA2(config-if)# no sh

ASA2(config-if)# int e0/1
ASA2(config-if)# nameif inside1               
ASA2(config-if)# ip add 11.1.1.1 255.255.255.0
ASA2(config-if)# security-level 100
ASA2(config-if)# no sh

ASA2(config-if)# int e0/2
ASA2(config-if)# nameif inside2
ASA2(config-if)# security-level 100
ASA2(config-if)# ip add 12.1.1.1 255.255.255.0
ASA2(config-if)# no sh

做通公网路由:
ASA1(config)# route outside 0 0 12.0.0.2
ASA2(config)# route outside 0 0 23.0.0.2

(1) VTP:
SW1(config)#int f0/4
SW1(config-if)#no sw
SW1(config-if)#ip add 11.1.1.2 255.255.255.0
SW1(config)#int range f0/5 - 6 , f0/14 - 15
SW1(config-if-range)#switchport mode trunk
SW1(config-if-range)#no sh

SW2(config)#int f0/3
SW2(config-if)#no sw
SW2(config-if)#ip add 12.1.1.2 255.255.255.0
SW2(config-if)#no sh
SW2(config-if)#exit     
SW2(config)#int range f0/5 - 6 , f0/14 - 15
SW2(config-if-range)#switchport mode trunk
SW2(config-if-range)#no sh

SW3(config)#int range f0/5 - 6
SW3(config-if-range)#switchport mode trunk
SW3(config-if-range)#no sh

SW4(config)#int range f0/5 - 6
SW4(config-if-range)#switchport mode trunk
SW4(config-if-range)#no sh

SW1#vlan da
SW1(vlan)#vtp domain haha
SW1(vlan)#vtp server
SW1(vlan)#vtp pruning
SW1(vlan)#vlan 10
VLAN 10 added:
    Name: VLAN0010
SW1(vlan)#vlan 20
VLAN 20 added:
    Name: VLAN0020
SW1(vlan)#exit
APPLY completed.
Exiting....

SW3(config)#no ip routing
SW3(config)#int f0/0
SW3(config-if)#switchport access vlan 10

SW3(config)#no ip routing
SW4(config)#int range f0/1 - 2
SW4(config-if-range)#switchport access vlan 20

(2) STP
SW1(config)#spanning-tree vlan 10 priority 4096
SW1(config)#spanning-tree vlan 10 priority 4096
SW1(config)#spanning-tree vlan 20 priority 8192

SW2(config)#spanning-tree vlan 1 priority 8192
SW2(config)#spanning-tree vlan 10 priority 8192
SW2(config)#spanning-tree vlan 20 priority 4096

(3) 以太通道
SW1(config)#int range f0/14 - 15     
SW1(config-if-range)#channel-group 1 mode on

SW2(config)#int range f0/14 - 15
SW2(config-if-range)#channel-group 1 mode on
(4) 三层交换
SW1(config)#int vlan 1
SW1(config-if)#ip add 192.168.1.1 255.255.255.0
SW1(config-if)#no sh
SW1(config)#int vlan 10
SW1(config-if)#ip add 192.168.10.1 255.255.255.0
SW1(config-if)#no sh
SW1(config-if)#int vlan 20
SW1(config-if)#ip add 192.168.20.1 255.255.255.0
SW1(config-if)#no sh

SW2(config)#int vlan 1
SW2(config-if)#ip add 192.168.1.2 255.255.255.0
SW2(config-if)#no sh
SW2(config-if)#int vlan 10
SW2(config-if)#ip add 192.168.10.2 255.255.255.0
SW2(config-if)#no sh
SW2(config-if)#int vlan 20
SW2(config-if)#ip add 192.168.20.2 255.255.255.0
SW2(config-if)#no sh

(5) HSRP
SW1(config)#int vlan 1
SW1(config-if)#standby 1 ip 192.168.1.254
SW1(config-if)#standby 1 priority 120
SW1(config-if)#standby 1 preempt
SW1(config-if)#standby 1 track f0/4 50

int vlan 10
standby 10 ip 192.168.10.254
standby 10 priority 120
standby 10 preempt
standby 10 track f0/4 50

int vlan 20
standby 20 ip 192.168.20.254
standby 20 preempt

SW2(config)#int vlan 1
SW2(config-if)#standby 1 ip 192.168.1.254
SW2(config-if)#standby 1 preempt

int vlan 10
standby 10 ip 192.168.10.254
standby 10 preempt

int vlan 20
standby 20 ip 192.168.20.254
standby 20 priority 120
standby 20 preempt
standby 20 track f0/3 50
给SW3和SW4配置管理地址
SW3(config)#int vlan 1
SW3(config-if)#ip add 192.168.1.3 255.255.255.0
SW3(config-if)#no sh
SW3(config)#ip default-gateway 192.168.1.254

SW4(config)#int vlan 1
SW4(config-if)#ip add 192.168.1.4 255.255.255.0
SW4(config-if)#no sh
SW4(config-if)#exit
SW4(config)#ip default-gateway 192.168.1.254

(6)路由
   SW1(config)#ip route 0.0.0.0 0.0.0.0 11.1.1.1
   SW2(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.1
(7)NAT的配置

加入PC测试:
VPCS 1 >3
VPCS 3 >ip 192.168.10.3 192.168.10.254
PC3 : 192.168.10.3 255.255.255.0 gateway 192.168.10.254

VPCS 3 >ping 192.168.10.254
192.168.10.254 icmp_seq=1 time=39.000 ms
192.168.10.254 icmp_seq=2 time=40.000 ms
192.168.10.254 icmp_seq=3 time=52.000 ms
192.168.10.254 icmp_seq=4 time=33.000 ms
192.168.10.254 icmp_seq=5 time=37.000 ms

VPCS 3 >4
VPCS 4 >ip 192.168.20.3 192.168.20.254
PC4 : 192.168.20.3 255.255.255.0 gateway 192.168.20.254

VPCS 4 >5
VPCS 5 >ip 192.168.20.4 192.168.20.254
PC5 : 192.168.20.4 255.255.255.0 gateway 192.168.20.254

VPCS 5 >ping 192.168.20.254
192.168.20.254 icmp_seq=1 time=35.000 ms
192.168.20.254 icmp_seq=2 time=65.000 ms
192.168.20.254 icmp_seq=3 time=37.000 ms
192.168.20.254 icmp_seq=4 time=59.000 ms
192.168.20.254 icmp_seq=5 time=63.000 ms

配置防火墙上的路由:
ASA2(config)# route inside1 192.168.1.0 255.255.255.0 11.1.1.1
ASA2(config)# route inside1 192.168.1.0 255.255.255.0 11.1.1.1
ASA2(config)# route inside1 192.168.20.0 255.255.255.0 11.1.1.1 20

ASA2(config)# route inside2 192.168.1.0 255.255.255.0 12.1.1.1 20
ASA2(config)# route inside2 192.168.10.0 255.255.255.0 12.1.1.1 20
ASA2(config)# route inside2 192.168.20.0 255.255.255.0 12.1.1.1

NAT的配置:
ASA2(config)# access-list no-nat permit ip 192.168.20.0 255.255.255.0 172.16.1.0 255.255.255.0
ASA2(config)# nat (inside1) 1 0 0
ASA2(config)# nat (inside2) 1 0 0
ASA2(config)# nat (inside1) 0 access-list no-nat
ASA2(config)# nat (inside2) 0 access-list no-nat
ASA2(config)# global (outside) 1 interface
INFO: outside interface address added to PAT pool

VPCS 3 >ping 12.0.0.1
12.0.0.1 icmp_seq=1 time=82.000 ms
12.0.0.1 icmp_seq=2 time=87.000 ms
12.0.0.1 icmp_seq=3 time=171.000 ms
12.0.0.1 icmp_seq=4 time=43.000 ms
12.0.0.1 icmp_seq=5 time=67.000 ms

ASA1(config)# access-list no-nat permit ip 172.16.1.0 255.255.255.0 192.168.20.0 255.255.255.0
ASA1(config)# nat (inside) 1 0 0
ASA1(config)# nat (inside) 0 access-list no-nat
ASA1(config)# global (outside) 1 interface
INFO: outside interface address added to PAT pool

ASA1(config)# access-list haha permit icmp any any
ASA1(config)# access-group haha in interface outside

Site-to-Site IPSEC VPN的配置:

ASA1(config)# crypto isakmp enable outside
ASA1(config)# crypto isakmp policy 10
ASA1(config-isakmp-policy)# authentication pre-share
ASA1(config-isakmp-policy)# encryption des
ASA1(config-isakmp-policy)# hash md5
ASA1(config-isakmp-policy)# group 2
ASA1(config-isakmp-policy)# exit
ASA1(config)# isakmp key cisco address 23.0.0.3

ASA1(config)# crypto ipsec transform-set mytrans esp-des esp-md5-hmac

ASA1(config)# crypto map mymap 10 ipsec-isakmp    
ASA1(config)# crypto map mymap 10 set peer 23.0.0.3     
ASA1(config)# crypto map mymap 10 set transform-set mytrans
ASA1(config)# crypto map mymap 10 match address no-nat
ASA1(config)# crypto map mymap interface outside

ASA2(config)# crypto isakmp enable outside
ASA2(config)# crypto isakmp policy 10
ASA2(config-isakmp-policy)# authentication pre-share
ASA2(config-isakmp-policy)# encryption des
ASA2(config-isakmp-policy)# hash md5
ASA2(config-isakmp-policy)# group 2
ASA2(config-isakmp-policy)# exit
ASA2(config)# isakmp key cisco address 12.0.0.1

ASA2(config)# crypto ipsec transform-set mytrans esp-des esp-md5-hmac

ASA2(config)# crypto map mymap 10 ipsec-isakmp   
ASA2(config)# crypto map mymap 10 set peer 12.0.0.1      
ASA2(config)# crypto map mymap 10 set transform-set mytrans
ASA2(config)# crypto map mymap 10 match address no-nat
ASA2(config)# crypto map mymap interface outside

ASA1# sho crypto isakmp sa

   Active SA: 1
    Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1

1   IKE Peer: 23.0.0.3
    Type    : L2L             Role    : initiator
Rekey   : no              State   : MM_ACTIVE

配置SSL VPN
ASA2(config)# webvpn
ASA2(config-webvpn)# enable outside
ASA2(config-webvpn)# svc image disk0:/sslclient-win-1.1.3.173.pkg
ASA2(config-webvpn)# svc enable

ASA2(config)# username cisco password cisco
ASA2(config)# ip local pool vpn 192.168.100.1-192.168.100.200
ASA2(config)# access-list 100 permit ip 192.168.20.0 255.255.255.0 any

ASA2(config)# group-policy my10 internal    
ASA2(config)# group-policy my10 attributes
ASA2(config-group-policy)# vpn-tunnel-protocol webvpn svc
ASA2(config-group-policy)# split-tunnel-policy tunnelspecified
ASA2(config-group-policy)# split-tunnel-network-list value 100
ASA2(config-group-policy)# webvpn
ASA2(config-group-webvpn)# svc ask enable

ASA2(config)# tunnel-group jishu type webvpn
ASA2(config)# tunnel-group jishu ge
ASA2(config)# tunnel-group jishu general-attributes
ASA2(config-tunnel-general)# address-pool vpn
ASA2(config-tunnel-general)# default-group-policy my10

ASA2(config-tunnel-general)# webvpn
ASA2(config-webvpn)# tunnel-group-list enable

ASA2(config)# tunnel-group jishu webvpn-attributes
ASA2(config-tunnel-webvpn)# group-alias jishu

ASA2(config)# access-list nossl permit ip 192.168.20.0 255.255.255.0 192.168.100.0 255.255.255.0

ASA2(config)# nat (inside1) 0 access-list nossl
ASA2(config)# nat (inside2) 0 access-list nossl

安全和管理部分规划:
(1) 设备的服务安全
关闭PAD,MOP,TCP&UDP small-server,BOOTTP,HTTP,TFTP,FTP,CDP,NTP,自动加载,DNS,Finger等服务,启用TCP keepalive,nagle,timestamp.除此之外,还需要关闭没有连接设备或客户端的接口.
(2) 杜绝明文密码:
(3) 配置AAA(此次试验配置本地AAA或者不做要求)
(4) 配置远程管理(尽可能启用SSH)
ASA2(config)# domain-name my10.cn
ASA2(config)# crypto key generate rsa modulus 1024
ASA2(config)# ssh 0 0 outside
ASA2(config)# ssh timeout 30
ASA2(config)# ssh version 2

SW1(config)#ip domain-name my10.cn
SW1(config)#username cisco password cisco
SW1(config)#line vty 0 4
SW1(config-line)#transport input ssh
SW1(config-line)#transport output ssh
SW1(config-line)#login local
SW1(config-line)#exit
SW1(config)#crypto key generate rsa    
How many bits in the modulus [512]: 1024
SW1(config)#ip ssh version 1
SW1(config)#ip ssh time-out 60
SW1(config)#ip ssh authentication-retries 3
(5) 关闭常见的病毒端口,见课本.
(6) 部署网络管理:
Benet集团网络复杂,设备较多,使用集中管理可能有效地避免故障发生,缩短故障处理时间.Benet集团要求通过网络管理软件集中监控管理网络设备.

Benet集团SNMP配置只读共同体名为benetro.配置acl只允许内部服务器IP地址段(10.10.33.0/24)访问设备SNMP系统.为了快速定位故障点,缩短故障处理时间,要求在设备启用SNMP的trap陷阱,并且必须启用端口UP/DOWN陷阱,接收Trap事件的主机位10.10.33.21.其它trap事件可由网络管理员根据日后工作需要启用.

SW1(config)#access-list 1 permit 10.10.33.0 0.0.0.255
SW1(config)#snmp-server community benetro 1
SW1(config)#snmp-server enable traps snmp linkup linkdown
SW1(config)#snmp-server host 10.10.33.21 benetro

3.3:竣工和测试:
测试:
(1):连通性测试(ping):直连ping
(2):内网可否访问公网.(nat是否配置正确)
(3):公司内部各部门间可否互访.
(4):两个分公司xx互访.(site-to-site IPSEC VPN是否配置正确)
(5):公网用户能否拨入VPN服务器访问总公司内网服务器.
(6):设备管理性测试.使用ssh能够登录防火墙.
编写竣工报告:
工程施工,验收完后需要编写工程竣工报告,工程竣工报告需要包含以下几点.
(1) 编写报告的目的,编写原则和适用范围,其中编写原则应该是工程设计方案.
(2) 最终实施的各种网络规划,包括设备名称,网络拓扑图,IP地址规划,VLAN规划等.
(3) 最终实施的网络配置.
(4) 网络中的注意事项.
(5) 将设备的配置信息(show running-config)单独保存在记事本中.
售后支持及相关培训
工程竣工后,在Cisco规定的设备质保期内,如果设备出现故障给予免费的维修或更换服务.在软件方面,如果网络出现故障,公司给予24小时电话支持.对于无法远程解决的故障,保证12小时内到达现场进行故障处理.
如果有设备升级或更换设备割接等情况,需要提前与我公司联系指定相关升级或割接方案.
公司负责在工程完成后编写相关PPT对贵公司网络管理人员进行相关培训,包括工程使用设备功能,设备配置,网络管理,常见故障处理以及相关技术等.