網(wǎng)絡(luò)工程課程設(shè)計(jì)校園網(wǎng)絡(luò)設(shè)計(jì)

XX網(wǎng)絡(luò)綜合實(shí)訓(xùn)學(xué)校網(wǎng)絡(luò)工程綜合設(shè)計(jì)報(bào)告TOC\o"1-5"\h\z學(xué)生姓名 XX學(xué)號(hào) XX所在系 XX專業(yè)名稱 XX班級(jí) XX指導(dǎo)教師 XX四川師范大學(xué)成都學(xué)院

二○一三年十月學(xué)校網(wǎng)絡(luò)工程綜合設(shè)計(jì)報(bào)告

學(xué)生：XX指導(dǎo)老師：XX內(nèi)容摘要：校園網(wǎng)絡(luò)是非常典型的綜合網(wǎng)絡(luò).本設(shè)計(jì)是建立一個(gè)可擴(kuò)展的、高速的、充分冗余的、基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)，該網(wǎng)絡(luò)能夠支持融合了話音、視頻、圖像和數(shù)據(jù)的應(yīng)用程序.Cisco公司作為知名品牌，網(wǎng)絡(luò)領(lǐng)導(dǎo)廠商，其產(chǎn)品的可靠性和穩(wěn)定性是一流的。因此 .在關(guān)鍵網(wǎng)絡(luò)系統(tǒng)中采用了Cisco3640路由器、CiscoCatalyst295024口交換機(jī)(WS-C2950-24)、CiscoCatalyst3550交換機(jī)、CiscoCatalyst4006交換機(jī).在本設(shè)計(jì)中.將重點(diǎn)放在網(wǎng)絡(luò)主干的設(shè)計(jì)上，對(duì)于服務(wù)器的架設(shè)只作簡(jiǎn)單介紹。通過對(duì)校園網(wǎng)絡(luò)關(guān)鍵設(shè)備進(jìn)行分析 .得出配置步驟和配置命令.本設(shè)計(jì)中所采取的技術(shù)與產(chǎn)品充分考慮到了網(wǎng)絡(luò)未來(lái)的升級(jí)與發(fā)展，無(wú)論從校園網(wǎng)的擴(kuò)展到廣域網(wǎng)的建設(shè)都作了周密的考慮。再是由于系統(tǒng)選擇的是最成熟與標(biāo)準(zhǔn)的快速以太網(wǎng)技術(shù)，把網(wǎng)絡(luò)已構(gòu)筑了高速和堅(jiān)固的信息高速公路，面對(duì)未來(lái)的發(fā)展將處于非常有利的境界。關(guān)鍵字：校園網(wǎng)絡(luò)路由器網(wǎng)絡(luò)主干schoolnetworkComprehensivedesignreportschoolnetworkengineeringAbstract:Thecampusnetworkisacomprehensivenetworkisverytypical.Thisdesignistobuildascalable,fullyredundanthigh-speed,standardsbasednetwork,thenetworkcansupporttheintegrationofvoice,videoapplications,imageanddata.TheCiscocompanyasafamousbrand,networkleadingmanufacturers,theproductreliabilityandstabilityisthefirstclass.Therefore.InkeynetworksystemusingCisco3640router,CiscoCatalyst295024portswitch(WS-C2950-24),CiscoCatalyst3550switches,CiscoCatalyst4006switches.Inthisdesign.Focusonthedesignofbackbonenetwork,theserveronlybrieflyintroduced.Thekeyequipmentofcampusnetworkanalysis.Theconfigurationstepsandconfigurationcommand.Technologyandproductsinthedesigntoconsiderfullytheupgradeanddevelopmentoffuturenetwork,nomatterfromthecampusnetworkisextendedtotheconstructionofwideareanetworkhavemadecarefulconsideration.ThenisthesystemchoiceisthemostmaturefastEthernettechnologyandstandards,thenetworkhastobuildahigh-speedandrobustinformationhighway,facingthefuturedevelopmentwillbeinaverygoodstateKeywords:campusnetworkbackbonenetworkrouter目錄TOC\o"1-5"\h\z前言： 1\o"CurrentDocument"可行性方案分析 2課程介紹 2設(shè)計(jì)方案 2路由技術(shù)： 2交換技術(shù)： 3遠(yuǎn)程訪問技術(shù)： 3\o"CurrentDocument"網(wǎng)絡(luò)規(guī)劃 4拓?fù)湓O(shè)計(jì)與設(shè)計(jì)原則 4實(shí)用性和經(jīng)濟(jì)性 5先進(jìn)性和成熟性 5可靠性和穩(wěn)定性 5安全性和保密性 5可擴(kuò)展性和可管理性 6網(wǎng)絡(luò)結(jié)構(gòu)分析 6骨干層 6接入層 7出口 8網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)與拓?fù)浣Y(jié)構(gòu) 8\o"CurrentDocument"主要技術(shù)設(shè)計(jì)的具體配置過程 9技術(shù)設(shè)計(jì) 9訪問層交換機(jī)服務(wù) 10訪問層交換服務(wù)的實(shí)現(xiàn) ——配置訪問層交換機(jī) 10配置訪問層交換機(jī)ACCESSWITCH1的基本參數(shù) 11配置訪問層交換機(jī)ACCESSWITCH1的管理IP、默認(rèn)網(wǎng)關(guān) 11配置訪問層交換機(jī)ACCESSWITCH1的VLAN及VTP. 11配置訪問層交換機(jī)ACCESSWITCH1的訪問端口 12配置訪問層交換機(jī) ACCESSWITCH1的主干道端口 12配置訪問層交換機(jī)ACCESSWITCH2與ACCESSWITCH1類似，如圖3.2.7-1。 12分布層交換服務(wù)的實(shí)現(xiàn)－配置分布層交換機(jī) 13配置分布層交換機(jī) DISTRIBUTESWITCH1的基本參數(shù) 14配置分布層交換機(jī)DISTRIBUTESWITCH1的管理IP、默認(rèn)網(wǎng)關(guān)14配置分布層交換機(jī)DISTRIBUTESWITCH1的VTP 14在分布層交換機(jī)DISTRIBUTESWITCH1上定義VLAN 15配置分布層交換機(jī)DISTRIBUTESWITCH1的端口基本參數(shù). 15配置分布層交換機(jī)DISTRIBUTESWITCH1的3層交換功能 163.3.7配置分布層交換機(jī)DISTRIBUTESWITCH2 17核心層交換服務(wù)的實(shí)現(xiàn)——配置核心層交換機(jī) 18配置核心層交換機(jī)CORESWITCH1的基本參數(shù). 18配置核心層交換機(jī)CORESWITCH1的管理IP、默認(rèn)網(wǎng)關(guān) 19配置核心層交換機(jī)CORESWITCH1的的VLAN及VTP 19配置核心層交換機(jī)CORESWITCH1的端口參數(shù). 19配置核心層交換機(jī)CORESWITCH1的路由功能. 20其它配置 213.5配置接入路由器INTERNERTOUTER 21配置接入路由器INTERNERTOUTER的基本參數(shù). 21配置接入路由器INTERNERTOUTER的各接口參數(shù). 21配置接入路由器INTERNERTOUTER上的NAT 22配置接入路由器INTERNERTOUTER上的安全訪問ACL 23路由器訪問控制列表. 23對(duì)外屏蔽其它不安全的協(xié)議或服務(wù). 24針對(duì)DoS攻擊的設(shè)計(jì). 25保護(hù)路由器自身安全. 25遠(yuǎn)程訪問模塊設(shè)計(jì) 26遠(yuǎn)程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一，如圖3.6.1-1。 26遠(yuǎn)程訪問有三種可選的服務(wù)類型： 26配置異步撥號(hào)模塊NM-16AM的步驟: 27配置物理線路的基本參數(shù) 27配置接口基本參數(shù) 27配置身份認(rèn)證 28服務(wù)器模塊設(shè)計(jì) 29服務(wù)器模塊用來(lái)對(duì)校園網(wǎng)的接入用戶提供各種服務(wù)。 29校園網(wǎng)提供的常見的服務(wù) 29如圖3.7.3-1所示。顯示了各服務(wù)器IP地址配置情況. 30結(jié)束語(yǔ) 30參考文獻(xiàn)： 32學(xué)校網(wǎng)絡(luò)工程綜合設(shè)計(jì)報(bào)告前言在校園網(wǎng)絡(luò)中，視頻、音頻、數(shù)據(jù)集于一身，如果保證不了高帶寬、又多種視頻、音頻、數(shù)據(jù)流混雜在一起進(jìn)行傳輸，就沒法對(duì)流做出最高優(yōu)先級(jí)和次高優(yōu)先級(jí)及底優(yōu)先級(jí)的分類，這樣就不能保證重要業(yè)務(wù)的暢通，造成網(wǎng)絡(luò)延遲、服務(wù)不可用。所以要想真正改變網(wǎng)絡(luò)的效率，更有效的保證應(yīng)用服務(wù)的運(yùn)營(yíng)，需要通過端到端的QOS，智能到邊緣的方式來(lái)保證。通過智能到邊緣，端到端的應(yīng)用方式，可以減少對(duì)網(wǎng)絡(luò)核心設(shè)備的消耗，這樣保證了網(wǎng)絡(luò)的有效暢通?？梢詫?duì)園區(qū)網(wǎng)應(yīng)用中的，多媒體視頻點(diǎn)播服務(wù)、數(shù)據(jù)備份服務(wù)、文獻(xiàn)傳遞服務(wù)、E-mail服務(wù)、數(shù)據(jù)庫(kù)服務(wù)器等服務(wù)。對(duì)不同服務(wù)流進(jìn)行詳細(xì)的分類，劃分優(yōu)先級(jí)，以及盡可能地避免發(fā)生擁塞。同時(shí)保證網(wǎng)絡(luò)的高效運(yùn)行，充分利用現(xiàn)有的帶寬。在園區(qū)網(wǎng)絡(luò)中，存在多樣的網(wǎng)絡(luò)設(shè)備及系統(tǒng)應(yīng)用環(huán)境，并且要考慮在用戶迅速增長(zhǎng)的今天，考慮到網(wǎng)絡(luò)設(shè)備的可擴(kuò)展性。保證在多樣網(wǎng)絡(luò)設(shè)備，用戶不斷增加的環(huán)境中，仍能保證網(wǎng)絡(luò)暢通。所以萬(wàn)兆骨干網(wǎng)絡(luò)平臺(tái)就應(yīng)具有良好的兼容性和可擴(kuò)展性，能與當(dāng)前校園網(wǎng)絡(luò)無(wú)縫銜接，同時(shí)預(yù)留空間符合當(dāng)前和以后的信息建設(shè)需要和足夠的升級(jí)空間。在校園網(wǎng)絡(luò)建設(shè)中存在多用戶,多服務(wù)的現(xiàn)狀。帶來(lái)了對(duì)網(wǎng)絡(luò)系統(tǒng)要求具有高效率等，以保證大數(shù)據(jù)量訪問下有效的處理能力。針對(duì)需求設(shè)備要能對(duì)數(shù)據(jù)做到分布式處理，這樣的分布式處理可以節(jié)省主交換引擎的消耗。使數(shù)據(jù)在獨(dú)立的板卡上就能做出對(duì)數(shù)據(jù)的識(shí)別，這樣比在中央處理器識(shí)別要快的多。并在大量的數(shù)據(jù)應(yīng)用，數(shù)據(jù)傳輸?shù)倪^程中，要保證所有硬件設(shè)備都可以進(jìn)行快速的轉(zhuǎn)發(fā)，要

具備高背板帶寬(交換容量)，所有端口都能保證線速轉(zhuǎn)發(fā)。這種分布式處理可以極大地提高整體處理能力，保證了網(wǎng)絡(luò)暢通。1可行性方案分析課程介紹在校園網(wǎng)絡(luò)中，對(duì)于校園網(wǎng)的安全保障十分重要：校園網(wǎng)的信息點(diǎn)分布很廣，與一般企業(yè)網(wǎng)比較，校園網(wǎng)用戶的流動(dòng)性大，信息點(diǎn)存在隨意接入使用的問題。學(xué)生及外來(lái)不明身份的用戶，在校園網(wǎng)中找到任何一個(gè)信息點(diǎn)，就可以進(jìn)入到校園網(wǎng)，可以肆意干擾和破壞校園網(wǎng)網(wǎng)絡(luò)平臺(tái)及應(yīng)用系統(tǒng)的正常運(yùn)行。另外校園網(wǎng)的網(wǎng)絡(luò)安全，還需要考慮與外網(wǎng)及內(nèi)網(wǎng)不同應(yīng)用系統(tǒng)之間的安全訪問控制。為了發(fā)生安全事件后，能夠有效、快捷地處理事故，采用上網(wǎng)審計(jì)手段是十分有必要的。由于當(dāng)前類似“沖擊波、震蕩波病毒”的肆虐，一個(gè)健壯的網(wǎng)絡(luò)應(yīng)該提供必要的手段，禁止特定病毒的傳播以及由于病毒造成的流量擁塞。設(shè)計(jì)方案我們采用自頂向下、模塊化的方法、參考3層模型來(lái)進(jìn)行工程的設(shè)計(jì)和實(shí)施。路由技術(shù)：路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時(shí)選擇最佳路徑的能力。除了可以完成主要的路由任務(wù)，利用訪問控制列表(AccessControlList，ACL)，路由器不僅通過路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過3層交換機(jī)上的路由功能進(jìn)行數(shù)據(jù)包交換。還可以用來(lái)完成以路由器為中心的流量控制和過濾功能在本設(shè)計(jì)中，內(nèi)網(wǎng)用戶還可以用來(lái)完成以路由器為中心的流量控制和過濾功能在本設(shè)計(jì)中，內(nèi)網(wǎng)用戶交換技術(shù)：傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層?，F(xiàn)代交換技術(shù)還實(shí)現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了園區(qū)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要?，F(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)(VirtualLAN，VLAN)的概念。VLAN將廣播域限制在單個(gè)VLAN內(nèi)部，減小了各VLAN間主機(jī)的廣播通信對(duì)其他VLAN的影響。在VLAN間需要通信的時(shí)候，可以利用VLAN間路由技術(shù)來(lái)實(shí)現(xiàn)。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時(shí)，可以使用VLAN中繼協(xié)議(VlanTrunkingProtocol，VTP)簡(jiǎn)化管理，它只需在單獨(dú)一臺(tái)交換機(jī)上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。為了簡(jiǎn)化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)行的。園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個(gè)層次：訪問層、分布層、核心層。訪問層為所有的終端用戶提供一個(gè)接入點(diǎn)；分布層除了負(fù)責(zé)將訪問層交換機(jī)進(jìn)行匯集外，還為整個(gè)交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能；核心層將各分布層交換機(jī)互連起來(lái)進(jìn)行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。在本設(shè)計(jì)中，也將采用這三層進(jìn)行分開設(shè)計(jì)、配置。遠(yuǎn)程訪問技術(shù)：遠(yuǎn)程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一。遠(yuǎn)程訪問有三種可選的服務(wù)類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花費(fèi)也不相同。企業(yè)用戶可以根據(jù)所需帶寬、本地服務(wù)可用性、花費(fèi)等因素綜合考慮，選擇一種適合企業(yè)自身需要的廣域網(wǎng)接入方案。）在本設(shè)計(jì)中，分別采用專線連接（到因特網(wǎng)）和電路交換（到校園網(wǎng)）兩種方式實(shí)現(xiàn)遠(yuǎn)程訪問需求。2網(wǎng)絡(luò)規(guī)劃拓?fù)湓O(shè)計(jì)與設(shè)計(jì)原則局域網(wǎng)采用星型網(wǎng)絡(luò)拓樸結(jié)構(gòu)，星型拓樸結(jié)構(gòu)為現(xiàn)在較為流行的一種網(wǎng)絡(luò)結(jié)構(gòu)，它是以一臺(tái)中心處理機(jī)（通信設(shè)備）為主而構(gòu)成的網(wǎng)絡(luò)，其它入網(wǎng)機(jī)器僅與該中心處理機(jī)之間有直接的物理鏈路，中心處理機(jī)采用分時(shí)或輪詢的方法為入網(wǎng)機(jī)器服務(wù)，所有的數(shù)據(jù)必須經(jīng)過中心處理機(jī)。由于所有節(jié)點(diǎn)的往外傳輸都必須經(jīng)過中央節(jié)點(diǎn)來(lái)處理，因此，對(duì)中央節(jié)點(diǎn)的要求比較高。優(yōu)點(diǎn)是網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，易于維護(hù)，便于管理（集中式）；每臺(tái)入網(wǎng)機(jī)均需物理線路與處理機(jī)互連，線路利用率低；處理機(jī)負(fù)載重（需處理所有的服務(wù)），因?yàn)槿魏蝺膳_(tái)入網(wǎng)機(jī)之間交換信息，都必須通過中心處理機(jī)；入網(wǎng)主機(jī)故障不影響整個(gè)網(wǎng)絡(luò)的正常工作。對(duì)該網(wǎng)絡(luò)支持的設(shè)備生產(chǎn)廠商有較好的技術(shù)支持。局域網(wǎng)內(nèi)的所有工作節(jié)點(diǎn)通過雙絞線與交換機(jī)相連形成一個(gè)星型網(wǎng)絡(luò)。辦公電腦建議采用品牌的商用機(jī)，商用機(jī)運(yùn)行比較穩(wěn)定，而且比較耐用，運(yùn)算速度較快，較適于開發(fā)使用。校園網(wǎng)絡(luò)系統(tǒng)的建設(shè)在實(shí)用的前提下，應(yīng)當(dāng)在投資保護(hù)及長(zhǎng)遠(yuǎn)性方面做適當(dāng)考慮，在技術(shù)上、系統(tǒng)能力上要保持五年左右的先進(jìn)性。并且從學(xué)校的利益出發(fā)，從技術(shù)上講應(yīng)該采用標(biāo)準(zhǔn)、開放、可擴(kuò)充的、能與其它廠商產(chǎn)品配套使用的設(shè)計(jì)。根據(jù)校園網(wǎng)的總體需求，結(jié)合對(duì)應(yīng)用系統(tǒng)的考慮，本次網(wǎng)絡(luò)建設(shè)的設(shè)計(jì)目標(biāo)是：高性能、高可靠性、高穩(wěn)定性、高安全性、易管理的萬(wàn)兆骨干網(wǎng)絡(luò)平臺(tái)我們遵循以下的原則進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)：實(shí)用性和經(jīng)濟(jì)性網(wǎng)絡(luò)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實(shí)效的方針，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則，建設(shè)的萬(wàn)兆骨干網(wǎng)絡(luò)平臺(tái)，保護(hù)用戶的投資。先進(jìn)性和成熟性網(wǎng)絡(luò)建設(shè)設(shè)計(jì)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對(duì)成熟。不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿?，能保證在未來(lái)若干年內(nèi)占主導(dǎo)地位，保證貴校網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位，采用萬(wàn)兆以太網(wǎng)技術(shù)來(lái)構(gòu)建網(wǎng)絡(luò)主干線路?？煽啃院头€(wěn)定性在考慮技術(shù)先進(jìn)性和開放性的同時(shí)，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及保修能力等方面著手，確保系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性，達(dá)到最大的平均無(wú)故障時(shí)間，Cisco公司作為知名品牌，網(wǎng)絡(luò)領(lǐng)導(dǎo)廠商，其產(chǎn)品的可靠性和穩(wěn)定性是一流的。為了保證骨干網(wǎng)絡(luò)平臺(tái)的健壯性和鏈路冗余性，網(wǎng)絡(luò)實(shí)施時(shí)在學(xué)校啟用千兆備份線路。在學(xué)校啟用物理鏈路冗余機(jī)制，保證任何一條線路出現(xiàn)故障后骨干網(wǎng)絡(luò)平臺(tái)的可用性。安全性和保密性在網(wǎng)絡(luò)設(shè)計(jì)中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括端口隔離、路由過濾、防DDoS拒絕服務(wù)攻擊、防IP掃描、系統(tǒng)安全機(jī)制、多種數(shù)據(jù)訪問權(quán)限控制等，充分考慮Cisco公司安全性，針對(duì)的各種應(yīng)用，有多種的保護(hù)機(jī)制，如劃分VLAN、IP/MAC地址綁定（過濾）、ACL、路由過濾、防DDoS拒絕服務(wù)攻擊、防IP掃描、802.1x認(rèn)證機(jī)制、SSH加密連接等具體技術(shù)提升整個(gè)網(wǎng)絡(luò)的安全性?？蓴U(kuò)展性和可管理性由于信息技術(shù)和人們對(duì)于新技術(shù)的需求發(fā)展都非常迅速，為了避免不必要的重復(fù)投資，我們必須選擇具有一定擴(kuò)展能力的設(shè)備，能夠保證在網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大的時(shí)候，不需要增加新的設(shè)備，而只需要增加一定數(shù)量的模塊就行。最好能夠做到在網(wǎng)絡(luò)技術(shù)進(jìn)一步發(fā)展，現(xiàn)有模塊不支持新技術(shù)的情況下，只需要更換相應(yīng)模塊，而不需要更換整個(gè)設(shè)備。為了適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)變化的要求，必須充分考慮以最簡(jiǎn)便的方法、最低的投資，實(shí)現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)。為了便于擴(kuò)展，對(duì)于核心設(shè)備必須采用模塊化高密度端口的設(shè)備，便于將來(lái)升級(jí)和擴(kuò)展。先進(jìn)的設(shè)備必須配合先進(jìn)的管理和維護(hù)方法，才能夠發(fā)揮最大的作用。全線采用基于SNMP標(biāo)準(zhǔn)的可網(wǎng)管產(chǎn)品，達(dá)到全程網(wǎng)管，降低了人力資源的費(fèi)用，提高網(wǎng)絡(luò)的易用性、可管理性，同時(shí)又具有很好的可擴(kuò)充性。網(wǎng)絡(luò)結(jié)構(gòu)分析骨干層網(wǎng)絡(luò)中心節(jié)點(diǎn)及其它核心節(jié)點(diǎn)作為校園網(wǎng)絡(luò)系統(tǒng)的心臟，必須提供全線速的數(shù)據(jù)交換，當(dāng)網(wǎng)絡(luò)流量較大時(shí)，對(duì)關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量提供保障。另外作為整個(gè)網(wǎng)絡(luò)的交換中心，在保證高性能、無(wú)阻塞交換的同時(shí)，還必須保證穩(wěn)定可靠的運(yùn)因此在網(wǎng)絡(luò)中心的設(shè)備選型和結(jié)構(gòu)設(shè)計(jì)上必須考慮整體網(wǎng)絡(luò)的高性能和高可靠性。具體來(lái)說核心節(jié)點(diǎn)的交換機(jī)有兩個(gè)基本要求：1）高密度端口情況下，還能保持各端口的線速轉(zhuǎn)發(fā)；2）關(guān)鍵模塊必須冗余，如管理引擎、電源、風(fēng)扇。由于校園網(wǎng)建設(shè)最終必將采用萬(wàn)兆技術(shù)，因此需要考慮到核心設(shè)備對(duì)萬(wàn)兆的支持能力。綜上所述，主干核心交換機(jī)屬于高端系列的產(chǎn)品，所以在本方案中，核心交換機(jī)采用多業(yè)務(wù)萬(wàn)兆核心路由交換機(jī)?？梢愿鶕?jù)用戶的需求靈活配置，靈活構(gòu)建彈性可擴(kuò)展的網(wǎng)絡(luò)。多業(yè)務(wù)萬(wàn)兆核心路由交換機(jī)高背板帶寬和二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無(wú)阻塞的交換，強(qiáng)大的交換路由功能、安全智能技術(shù)可為用戶提供完整的端到端解決方案，是大型網(wǎng)絡(luò)核心骨干交換機(jī)的理想選擇。在此方案中，校區(qū)網(wǎng)絡(luò)中心采用Cisco公司路由交換機(jī)作為核心交換機(jī)。核心層交換機(jī)跟匯聚接入層交換機(jī)之間的千兆鏈路可以捆綁，從而實(shí)現(xiàn)帶寬的靈活擴(kuò)展。接入層接入層網(wǎng)絡(luò)由樓棟交換節(jié)點(diǎn)和樓層交換節(jié)點(diǎn)組成，接入層網(wǎng)絡(luò)應(yīng)該可以滿足各種客戶的接入需要，而且能夠?qū)崿F(xiàn)客戶化的接入策略，業(yè)務(wù)QOS保證，用戶接入訪問控制等等。樓層交換節(jié)點(diǎn)采用千兆智能堆疊交換機(jī)，提供智能的流分類和完善的QoS特征。為各類型網(wǎng)絡(luò)提供完善的端到端的服務(wù)質(zhì)量、豐富的安全設(shè)置和基于策略的網(wǎng)管，最大化滿足高速、融合、安全的園區(qū)網(wǎng)新需求；本方案中各接入層交換機(jī)通過千兆鏈路上聯(lián)到各匯聚層設(shè)備，對(duì)下聯(lián)的桌面設(shè)備提供全雙工的百兆連接，為各類用戶提供無(wú)阻塞的交換性能。

出口因?yàn)樾@網(wǎng)出口采用以太網(wǎng)，所以采用路由器+防火墻的方式，起到如下作用：防火墻提供強(qiáng)有力的服務(wù)器、內(nèi)網(wǎng)安全保護(hù)、提供IDS等安全特性；路由器提供出口路由功能，數(shù)據(jù)處理能力強(qiáng)，具有強(qiáng)大的NAT功能。網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)與拓?fù)浣Y(jié)構(gòu)為了實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計(jì)方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即Cisco公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的好處是可以實(shí)現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。本校園網(wǎng)設(shè)計(jì)方案主要由以下四大部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問模塊、服務(wù)器群。整個(gè)網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖如圖3-1所示。在后面將根據(jù)此圖分塊進(jìn)行分析。

圖2.3-1校園網(wǎng)整體拓?fù)浣Y(jié)構(gòu)圖表VLAN及IP編址方案VLAN號(hào)VLAN名稱IP網(wǎng)段默認(rèn)網(wǎng)關(guān)說明VLAN1--/2454管理VLANVLAN10JWC/2454教務(wù)處VLANVLAN20XSSS/2454學(xué)生宿舍VLANVLAN30CWC/2454財(cái)務(wù)處VLANVLAN40JGSS/2454教工宿舍VLANVLAN50WXY/2454文學(xué)院VLANVLAN60YYXY/2454音樂學(xué)院VLANVLAN70JSJXY/2454計(jì)算機(jī)學(xué)院VLANVLAN100FWQQ/2454服務(wù)器群VLAN除了表中的內(nèi)容外，撥號(hào)用戶從/27中動(dòng)態(tài)取得IP地址。在這里為每個(gè)VLAN定義了一個(gè)由拼音縮寫組成的VLAN名稱3主要技術(shù)設(shè)計(jì)的具體配置過程技術(shù)設(shè)計(jì)為了簡(jiǎn)化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)行的。園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個(gè)層次：訪問層、分布層、核心層。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層?，F(xiàn)代交換技術(shù)還實(shí)現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了園區(qū)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要?，F(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)(VirtualLAN，VLAN)的概念。VLAN將廣播域限制在單個(gè)VLAN內(nèi)部，減小了各VLAN間主機(jī)的廣播通信對(duì)其他VLAN的影響。在VLAN間需要通信的時(shí)候，可以利用VLAN間路由技術(shù)來(lái)實(shí)現(xiàn)。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時(shí)，可以使用VLAN中繼協(xié)議(VlanTrunkingProtocol，VTP)簡(jiǎn)化管理，它只需在單獨(dú)一臺(tái)交換機(jī)上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。當(dāng)園區(qū)網(wǎng)絡(luò)的交換機(jī)數(shù)量增多、交換機(jī)間鏈路增加時(shí)，交換網(wǎng)絡(luò)的復(fù)雜性可能會(huì)造成交換環(huán)路問題，這需要通過在各交換機(jī)上運(yùn)行生成樹協(xié)議(SpanningTreeProtocol，STP)來(lái)解決。一個(gè)好的校園網(wǎng)設(shè)計(jì)應(yīng)該是一個(gè)分層的設(shè)計(jì)。一般分為三層設(shè)計(jì)模型。訪問層交換機(jī)服務(wù)訪問層交換服務(wù)的實(shí)現(xiàn)——配置訪問層交換機(jī)訪問層為所有的終端用戶提供一個(gè)接入點(diǎn)。這里的訪問層交換機(jī)采用的是CiscoCatalyst295024口交換機(jī)(WS-C2950-24)。交換機(jī)擁有24個(gè)10/100Mbps自適應(yīng)快速以太網(wǎng)端口，運(yùn)行的是Cisco的IOS操作系統(tǒng)。如圖2-1的訪問層交換機(jī)AccessSwitch1進(jìn)行設(shè)置。圖3.2.1-1訪問層交換機(jī)AccessSwitch1設(shè)置配置訪問層交換機(jī)AccessSwitch1的基本參數(shù)Switch(config)#hostnameAccessSwitch1AcccessSwitch1(config)#enablesecret123Switch/設(shè)置交換機(jī)口令A(yù)cccessSwitch1(config)#linevty015/設(shè)置登錄虛擬終端線時(shí)的口令A(yù)cccessSwitch1(config-line)#loginAcccessSwitch1(config-line)#passwordyouguess配置訪問層交換機(jī)AccessSwitch1的管理IP、默認(rèn)網(wǎng)關(guān)AcccessSwitch1(config)#interfacevlan1AcccessSwitch1(config-if)#ipaddressAcccessSwitch1(config-if)#noshutddownAcccessSwitch1(config)#ipdrfault-gateway54配置訪問層交換機(jī)AccessSwitch1的VLAN及VTPAcccessSwitch1(config)#vtpmodeclientAcccessSwitch1(config)#interfacerangefatchernet0/1 –24AcccessSwitch1(config-if-range)#duplexfull––24AcccessSwitch1(config)#interfacerangefatchernet0/1AcccessSwitch1(config-if-range)#specd100配置訪問層交換機(jī)AccessSwitch1的訪問端口AcccessSwitch1(config)#Interfacerangefastchernet0/1-10AcccessSwitch1(config-if-range)#switchportmodeaccessAcccessSwitch1(config-if-range)#switchportaccessvlan10AcccessSwitch1(config)#Interfacerangefastchernet0/11-20AcccessSwitch1(config-if-range)#switchportmodeaccessAcccessSwitch1(config-if-range)#switchportaccessvlan20AcccessSwitch1(config)#Interfacerangefastchernet0/11-20AcccessSwitch1(config-if-range)#spanning-treeportfast冗余加快生成樹類似，如圖配置訪問層交換機(jī)AccessSwitch1的主干道端口AcccessSwitch1(config)#Interfacerangefastchernet0/23-24AcccessSwitch1(config-if-range)#switchportmodetrunkAcccessSwitch1(config)#spanning-treeuplinkfast /冗余加快生成樹類似，如圖設(shè)計(jì)AcccessSwitch1(config)#spanning-treeBackbonefast/的收斂配置訪問層交換機(jī)AccessSwitch2與AccessSwitch13.2.7-1

圖3.2.7-1訪問層交換機(jī)AccessSwitch2設(shè)置分布層交換服務(wù)的實(shí)現(xiàn)－配置分布層交換機(jī)分布層除了負(fù)責(zé)將訪問層交換機(jī)進(jìn)行匯集外，還為整個(gè)交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能這里的分布層交換機(jī)采用的是CiscoCatalyst3550交換機(jī)。作為3層交換機(jī)，CiscoCatalyst3550交換機(jī)擁有24個(gè)10/100Mbps自適應(yīng)快速以太網(wǎng)端口，同時(shí)還有2個(gè)1000Mbps的GBIC端口供上連使用，運(yùn)行的是Cisco的IntegratedIOS操作系統(tǒng)。我們以圖3-1中的分布層交換機(jī)DistributeSwitch1為例進(jìn)行設(shè)圖3.3-1分布層交換機(jī)DistributeSwitch1設(shè)置

配置分布層交換機(jī)DistributeSwitch1的基本參數(shù)Switch#configureterminalEntercongifgurationcommands,oneperlineEndwithCNTL/ZSwitch(config)#hostnameDistributeSwitch1DistributeSwitch1(config)#enablesecretyouguessDistributeSwitch1(config)#linecon0DistributeSwitch1(config-line)#loggingsynchronousDistributeSwitch1(config-line)#exec-timeout530DistributeSwitch1(config-line)#linevty015DistributeSwitch1(config-line)#passwordabcDistributeSwitch1(config-line)#loginDistributeSwitch1(config-line)#exec-timeout530DistributeSwitch1(config-line)#exitDistributeSwitch1(config)#noipdomain-lookup配置分布層交換機(jī)DistributeSwitch1的管理IP、默認(rèn)網(wǎng)關(guān)DistributeSwitch1(config)#interfacevlan1DistributeSwitch1(config-if)#ipaddressDistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config-if)#exitDistributeSwitch1(config-if)#ipdefault-gateway54配置分布層交換機(jī)DistributeSwitch1的VTPDistributeSwitch1(config)#vtpdomainnciae/設(shè)置VTP管理域的域名激活VTP剪裁功能DistributeSwitch1(config)#vtpmodeserver/ 設(shè)置激活VTP剪裁功能DistributeSwitch1(config)#vtppruning/

在分布層交換機(jī)DistributeSwitch1上定義VLANSwitch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/ZDistributeSwitch1(config)#vlan10DistributeSwitch1(config-vlan)#nameJWCDistributeSwitch1(config)#vlan20DistributeSwitch1(config-vlan)#nameXSSSDistributeSwitch1(config)#vlan30DistributeSwitch1(config-vlan)#nameCWCDistributeSwitch1(config)#vlan40DistributeSwitch1(config-vlan)#nameJGSSDistributeSwitch1(config)#vlan50DistributeSwitch1(config-vlan)#nameWXYDistributeSwitch1(config)#vlan60DistributeSwitch1(config-vlan)#nameYYXYDistributeSwitch1(config)#vlan70DistributeSwitch1(config-vlan)#nameJSJXYDistributeSwitch1(config)#vlan100DistributeSwitch1(config-vlan)#nameFWQQ–24配置分布層交換機(jī)DistributeSwitch1的端口基本參數(shù)DistributeSwitch1(config)#interfacerangefastethernet0/1–24DistributeSwitch1(config-if-range)#speed100DistributeSwitch1(config-if-range)#interfacerangefastethernet0/1–10DistributeSwitch1(config-if-range)#switchportmodeaccessDistributeSwitch1(config-if-range)#switchportaccessvlan100DistributeSwitch1(config-if-range)#spanning-treeportfastDistributeSwitch1(config-if-range)#interfacerangefastethernet0/23–24DistributeSwitch1(config-if-range)#switchportmodetrunkDistributeSwitch1(config-if-range)#interfacerangegigabitEthernet0/1–2DistributeSwitch1(config-if-range)#switchportmodetrunk配置分布層交換機(jī)DistributeSwitch1的3層交換功能DistributeSwitch1(config)#interfacevlan10DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan20DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan30DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan40DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan50DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan60DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan70DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan100DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdown配置分布層交換機(jī)DistributeSwitch2分布層交換機(jī)DistributeSwitch2的端口FastEthernet0/23、FastEthernet0/24分別下連到訪問層交換機(jī)AccessSwitch1的端口FastEthernet0/24以及訪問層交換機(jī)AccessSwitch2的端口FastEthernet0/24。此外，分布層交換機(jī)DistributeSwitch2還通過自己的千兆端口GigabitEthernet0/1上連到核心交換機(jī)CoreSwitch1的GigabitEthernet3/2。為了實(shí)現(xiàn)冗余設(shè)計(jì)，分布層交換機(jī)DistributeSwitch2還通過自己的千兆端口GigabitEthernet0/2連接到分布層交換機(jī)DistributeSwitch1的GigabitEthernet0/2.DistributeSwitch1(config)#iproute.54另外.為了實(shí)現(xiàn)對(duì)無(wú)類別網(wǎng)絡(luò)(ClasslessNetwork)以及全零子網(wǎng)Subnet-zero）的支持，在充當(dāng)3層交換機(jī)的分布層交換機(jī)DistributeSwitch1還需要進(jìn)行適當(dāng)?shù)呐渲肈istributeSwitch1(config)#ipclasslessDistributeSwitch1(config)#ipsubnet-zero/定義對(duì)無(wú)類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持核心層交換服務(wù)的實(shí)現(xiàn)——配置核心層交換機(jī)核心層將各分布層交換機(jī)互連起來(lái)進(jìn)行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換本設(shè)計(jì)中的核心層交換機(jī)采用的是CiscoCatalyst4006交換機(jī)，采用了Catalyst4500SupervisorIIPlus (WS-X4013+)作為交換機(jī)引擎。運(yùn)行的是Cisco的IntegratedIOS操作系統(tǒng)在作為核心層交換機(jī)的CiscoCatalyst4006交換機(jī)中，安裝了WS-X4306-GB(Catalyst4000GigabitEthernetModule,6-Ports(GBIC) )模塊，該模塊提供了5個(gè)千兆光纖上連接口，可以用來(lái)接入WS-G548(41000BASE-SXShortWavelengthGBIC(Multimodeonly))。以圖3.4-1中的核心層交換機(jī)CoreSwitch1為例進(jìn)行設(shè)置。圖3.4-1核心層交換機(jī)CoreSwitch1設(shè)置配置核心層交換機(jī)CoreSwitch1的基本參數(shù)Switch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/ZSwitch(config)#hostnameDistributeSwitch1CoreSwitch1(config)#enablesecretyouguessCoreSwitch1(config)#linecon0CoreSwitch1(config-line)#loggingsynchronousCoreSwitch1(config-line)#exec-timeout530CoreSwitch1(config-line)#linevty015CoreSwitch1(config-line)#passwordabcCoreSwitch1(config-line)#loginCoreSwitch1(config-line)#exec-timeout530CoreSwitch1(config-line)#exitCoreSwitch1(config)#noipdomain-lookup配置核心層交換機(jī)CoreSwitch1的管理IP、默認(rèn)網(wǎng)關(guān)CoreSwitch1(config)#interfacevlan1CoreSwitch1(config-if)#ipaddressCoreSwitch1(config-if)#noshutdownCoreSwitch1(config-if)#exitCoreSwitch1(config-if)#ipdefault-gateway54配置核心層交換機(jī)CoreSwitch1的的VLAN及VTPCoreSwith1(config)#vtpmodeclient配置核心層交換機(jī)CoreSwitch1的端口參數(shù)核心層交換機(jī)CoreSwitch1通過自己的端口FastEthernet4/3同廣域網(wǎng)接入模塊(Internet路由器)相連。同時(shí)，核心層交換機(jī)CoreSwitch1的端口GigabitEthernet3/1～GigabitEthernet3/2分別下連到分布層交換機(jī)DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet0/1DistributeSwitch1(config)#interfacerangefastethernet0/1–24DistributeSwitch1(config-if-range)#dupexfullDistributeSwitch1(config-if-range)#speed100DistributeSwitch1(config-if-range)#switchportmodeaccessDistributeSwitch1(config-if-range)#switchportaccessvlan1DistributeSwitch1(config-if-range)#spanning-treeportfastDistributeSwitch1(config-if-range)#interfacerangegigabitEthernet3/1–2DistributeSwitch1(config-if-range)#switchportmodetrunk此外，為了提供主干道的吞吐量以及實(shí)現(xiàn)冗余設(shè)計(jì)，在本設(shè)計(jì)中，將核心層交換機(jī)CoreSwitch1的千兆端口GigabitEthernet2/1、GigabitEthernet2/2捆綁在一起實(shí)現(xiàn)2000Mbps的千兆以太網(wǎng)信道，然后再連接到另一臺(tái)核心層交換機(jī)CoreSwitch2。CoreSwitch1(config)#interfaceport-channelCoreSwitch1(config-if)#switchportCoreSwitch1(config-if)#interfacegigabitEthernet2/1 –2CoreSwitch1(config-if)#channel-group1modedesirublenon-silentCoreSwitch1(config-if)#noshutdown配置核心層交換機(jī)CoreSwitch1的路由功能核心層交換機(jī)CoreSwitch1通過端口FastEthernet4/3同廣域網(wǎng)接入模塊(Internet路由器)相連。因此，需要啟用核心層交換機(jī)的路由功能。同時(shí)，還需要定義通往Internet的路由。這里使用了一條缺省路由命令。其中，下一跳地址是Internet接入路由器的快速以太網(wǎng)接口FastEthernet0/0的IP地址。CoreSwitch1(config)#iproutingCoreSwitch1(config)#iproute54其它配置定義對(duì)無(wú)類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持CoreSwith1(config)#ipclasslessCoreSwith1(config)#ipsubnet-zeroCoreSwitch2的配置步驟、命令和CoreSwitch1的配置類似.配置接入路由器InternetRouter配置接入路由器InternetRouter的基本參數(shù)Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/ZSwitch(config)#hostnameInternetRouterInternetRouter(config)#enablesecretyouguessInternetRouter(config)#linecon0InternetRouter(config-line)#loggingsynchronousInternetRouter(config-line)#exec-timeout530InternetRouter(config-line)#linevty015InternetRouter(config-line)#passwordabcInternetRouter(config-line)#loginInternetRouter(config-line)#exec-timeout530InternetRouter(config-line)#exitInternetRouter(config)#noipdomain-lookup配置接入路由器InternetRouter的各接口參數(shù)InternetRouter(config)#interfacefastethernet0/0InternetRouter(config-if)#ipaddress54InternetRouter(config-if)#noshutdownInternetRouter(config-if)#interfaceserial0/0InternetRouter(config-if)#ipaddress52InternetRouter(config-if)#noshutdown配置接入路由器InternetRouter的路由功能InternetRouter(config)#iprouteserial0/0InternetRouter(config)#iproute/InternetRouter(config)#iproute/定義到校園網(wǎng)內(nèi)部的路由配置接入路由器InternetRouter上的NAT為了接入Internet，本校園網(wǎng)向當(dāng)?shù)豂SP申請(qǐng)了9個(gè)IP地址。其中一個(gè)IP地址：被分配給了Internet接入路由器的串行接口，另外8個(gè)IP地址：～用作NAT。InternetRouter(config)#interfacefastethernet0/0InternetRouter(config-if)#ipnatinsideInternetRouter(config-if)#interfaceserial0/0InternetRouter(config-if)#ipnatoutside / 定義NAT內(nèi)部、外部接口InternetRouter(config)#ipaccess-list1permit55InternetRouter(config)#ipaccess-list1permit55InternetRouter(config)#ipnatinsidesourcestaticInternetRouter(config)#ipnatinsidesourcestaticInternetRouter(config)#ipnatinsidesourcestatic??/為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換InternetRouter(config)#ipnatinsidesourcelist1interfaceserial0/0overload/為工作站定義復(fù)用地址轉(zhuǎn)換配置接入路由器InternetRouter上的安全訪問ACL路由器訪問控制列表.路由器是外網(wǎng)進(jìn)入校園網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問控制列表(AccessControlList，ACL)是保護(hù)內(nèi)網(wǎng)安全的有效手段。一個(gè)設(shè)計(jì)良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于校園網(wǎng)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時(shí)的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對(duì)路由器的訪問控制列表進(jìn)行縝密的設(shè)計(jì)，來(lái)對(duì)校園網(wǎng)內(nèi)網(wǎng)包括防火墻本身實(shí)施保護(hù)。在網(wǎng)絡(luò)環(huán)境中還普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。在絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實(shí)現(xiàn)中它們都是應(yīng)該對(duì)外加以屏蔽的。主要應(yīng)該做以下的ACL設(shè)計(jì)：對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議，即SNMP.利用這個(gè)協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型：SNMP和SNMPTRA。P設(shè)置對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議SNMP:InternetRouter(config)#iprouteInternetRouter(config)#iproute對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議telnet.首先，telnet是一種不安全的協(xié)議類型。用戶在使用telnet登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時(shí)所使用的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?，很容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。其次，telnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和UNIX服務(wù)器，并可以使用相關(guān)命令完全操縱它們。這是極其危險(xiǎn)的，因此必須加以屏蔽。屏蔽遠(yuǎn)程登錄協(xié)議telneInternetRouter(config)#ipaccess-list101denytcpanyeqtelnetInternetRouter(config)#ipaccess-list101permitipanyany對(duì)外屏蔽其它不安全的協(xié)議或服務(wù).這樣的協(xié)議主要有SUNOS的文件共享協(xié)議端口2049，遠(yuǎn)程執(zhí)行(rsh)、遠(yuǎn)程登錄(rlogin)和遠(yuǎn)程命令(rcmd)端口512、513、514，遠(yuǎn)程過程調(diào)用(SUNRP)C端口111。可以將針對(duì)以上協(xié)議綜合進(jìn)行設(shè)計(jì)InternetRouter(config)#ipaccess-list101denytcpanyanyrange512514InternetRouter(config)#ipaccess-list101denytcpanyanyeq111InternetRouter(config)#ipaccess-list101denyudpanyanyeq111InternetRouter(config)#ipaccess-list101denytcpanyanyrange2049InternetRouter(config)#ipaccess-list101permitipanyany針對(duì)DoS攻擊的設(shè)計(jì).DoS攻擊(DenialofServiceAttack ，拒絕服務(wù)攻擊)是一種非常常見而且極具破壞力的攻擊手段，它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止，嚴(yán)重時(shí)會(huì)導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。InternetRouter(config)#ipaccess-list101denyicmpanyanyeqecho-requsetInternetRouter(config)#ipaccess-list101denyudpanyanyeqechoInternetRouter(config)#interfaceserial0/0InternetRouter(config-if)#ipaccess-group101mInternetRouter(config-if)#interfacefastethernet0/0InternetRouter(config-if)#noipdirected-broadcast保護(hù)路由器自身安全.作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護(hù)自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器，必須對(duì)路由器的訪問位置加以限制。應(yīng)只允許來(lái)自服務(wù)器群的IP地址訪問并配置路由器。這時(shí)，可以使用ACCESS-CLAS命S令進(jìn)行VTY訪問控制InternetRouter(config)#linevty04InternetRouter(config-line)#access-class2inInternetRouter(config-line)#exitInternetRouter(config-line)#access-list2permit55InternetRouter(config)#ipclassless/對(duì)無(wú)類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持InternetRouter(config)#ipsubnet-zero遠(yuǎn)程訪問模塊設(shè)計(jì)遠(yuǎn)程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一，如圖3.6.1-1圖3.6.1-1遠(yuǎn)程訪問服務(wù)遠(yuǎn)程訪問有三種可選的服務(wù)類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花費(fèi)也不相同。在本設(shè)計(jì)中，由于面對(duì)的用戶群規(guī)模、業(yè)務(wù)量較小，所以采用了異步撥號(hào)連接作為遠(yuǎn)程訪問的技術(shù)手段。異步撥號(hào)連接屬于電路交換類型的廣域網(wǎng)連接，它是在傳統(tǒng)公共交換電話網(wǎng)(PublicSwitchedTelephoneNetwork，PSTN)上提供服務(wù)的。傳統(tǒng)PSTN提供的服務(wù)也被稱為簡(jiǎn)易老式電話業(yè)務(wù)(PlanOldTelephoneSystem，POTS)。因?yàn)槟壳按嬖谥罅堪惭b好的電話線，所以這樣的環(huán)境是最容易滿足的。因此，異步撥號(hào)連接也就成為最為方便和普遍的遠(yuǎn)程訪問類型。廣域網(wǎng)連接可以采用不同類型的封裝協(xié)議，如HDLC、PPP等。其中，PPP除了提供身份認(rèn)證功能外，還可以提供其他很多可選項(xiàng)配置，包括鏈路壓縮、多鏈路捆綁、回叫等，因此更具優(yōu)勢(shì)。也是本設(shè)計(jì)所采用的異步連接封裝協(xié)議。在本設(shè)計(jì)中采用了可以集成在廣域網(wǎng)接入路由器InternetRotuer中的異步Modem模塊NM-16AM(8PortAnalogModemNetworkModule)提供遠(yuǎn)程訪問服務(wù)。它可以同時(shí)對(duì)最多16路撥號(hào)用戶提供遠(yuǎn)程接入服務(wù)。配置異步撥號(hào)模塊NM-16AM的步驟:配置物理線路的基本參數(shù)對(duì)物理線路的配置包括配置線路速度(DTE、DCE之間的速率)、停止位位數(shù)、流控方式、允許呼入連接的協(xié)議類型、允許流量的方向等.InternetRouter(config)#line97InternetRouter(config-line)#modermInOurInternetRouter(config-line)#transportinputallInternetRouter(config-line)#stopbitsInternetRouter(config-line)#speed115200InternetRouter(config-line)#flowcontrolhardware配置接口基本參數(shù)對(duì)接口基本參數(shù)的配置包括：接口封裝協(xié)議類型、接口異步模式、IP地址、為遠(yuǎn)程客戶分配IP地址的方式等。這里，設(shè)置遠(yuǎn)程客戶從IP地址池rasclients中獲得IP地址。InternetRouter(config)#interfaceasync97InternetRouter(config)#ipaddress00InternetRouter(config)#encapsulationpppInternetRouter(config)#asyncmodededicated

InternetRouter(config)#peerdefaultaddresspoolrasclientsInternetRouter(config)#iplocalpoolrasclients6/建立了一個(gè)名為rasclients的IP地址池配置身份認(rèn)證PPP提供了兩種可選的身份認(rèn)證方法：口令驗(yàn)證協(xié)議PAP(PasswordAuthenticationProtocol，PAP