校園局域網(wǎng)規(guī)劃與設(shè)計(cisco仿真模擬)

..校園局域網(wǎng)的規(guī)劃[摘要]身處于注重效率的信息時代，校園局域網(wǎng)作為高等學(xué)校提升教育實力和競爭力的重要措施必須著重建立，一個技術(shù)先進、運行可靠而又經(jīng)濟試用的校園局域網(wǎng)是提高高等院校教育水平的一個保證。本文實例闡述了校園局域網(wǎng)建立的必要性和重要性，研究分析了當(dāng)今主流的局域網(wǎng)技術(shù)、網(wǎng)絡(luò)設(shè)計方法和互聯(lián)方法等，對技術(shù)、設(shè)備、總體規(guī)劃等提出有價值的建議或意見，以實用、先進、經(jīng)濟為設(shè)計出發(fā)點，提出建立校園局域網(wǎng)的可行性方案，結(jié)合校園局域網(wǎng)的不平安因素，制定出相應(yīng)的平安策略。[關(guān)鍵詞]路由配置效勞器配置訪問控制表技術(shù)目錄引言2〔一〕研究背景2〔二〕課題研究研究目標2一、校園網(wǎng)總體規(guī)劃設(shè)計2〔一〕校園局域網(wǎng)需求2〔二〕網(wǎng)絡(luò)總體架構(gòu)規(guī)劃21.網(wǎng)絡(luò)技術(shù)選擇22.校園網(wǎng)絡(luò)拓撲2〔三〕網(wǎng)絡(luò)設(shè)備選型21.核心層網(wǎng)絡(luò)22.會聚層網(wǎng)絡(luò)23.接入層網(wǎng)絡(luò)24.路由器選擇25.效勞器選擇2〔四〕校園網(wǎng)平安策略及平安防御措施2〔五〕本章小結(jié)2二、VLAN劃分及參數(shù)配置2〔一〕VLAN劃分2〔二〕VLAN配置21.交換機的選擇2〔三〕核心交換機Core-SW配置21.核心交換機配置VTPServer22.配置中繼〔Trunk〕23.創(chuàng)立vlan及端口劃分24.配置IP25.SW1開啟路由2〔四〕Server-SW配置21.配置Server-SW中繼〔Trunk〕22.Server-SW端口配置2〔五〕配置學(xué)生宿舍交換機2三、路由器配置2〔一〕根本IP設(shè)置2〔二〕NAT設(shè)置2〔三〕校園網(wǎng)邊界路由器配置2〔四〕通過NAT技術(shù)實現(xiàn)網(wǎng)訪問internet2〔五〕顯示路由表2〔六〕模擬ISP環(huán)境出口路由R2配置2四、效勞器配置2〔一〕DHCP效勞器配置2〔二〕效勞器配置2〔三〕DNS效勞器配置2〔四〕FTP效勞器配置2五、網(wǎng)絡(luò)平安控制2〔一〕訪問控制表21.防止病毒傳播和黑客攻擊22.對效勞器群的效勞進展控制2〔二〕小結(jié)2六、驗證測試2總結(jié)與展望2致語2參考文獻2引言研究背景近年來，隨著教學(xué)手段的不斷進步以及計算機網(wǎng)絡(luò)技術(shù)在學(xué)校中應(yīng)用的日益普及，校園網(wǎng)絡(luò)化、教學(xué)智能化成為各學(xué)校競相角逐的熱點，校園網(wǎng)已成為各學(xué)校必備的重要信息根底設(shè)施，其規(guī)模和應(yīng)用水平已成為衡量學(xué)校教學(xué)與科研綜合實力的一個重要標志。校園網(wǎng)的建立將為"數(shù)字化校園〞提供高可靠性的網(wǎng)絡(luò)根底設(shè)施和高性能的效勞在一個平臺上，讓整個學(xué)校的教學(xué)、科研、管理和效勞工作都實現(xiàn)信息化和網(wǎng)絡(luò)化，使教師、學(xué)生、科研人員和行政管理人員等都可以最方便地實現(xiàn)信息的交流、進展協(xié)同工作和資源共享，搞好校園網(wǎng)的建立，有利于增強學(xué)校辦學(xué)水平與社會競爭力。因此，建立高效實用的高級校園網(wǎng)，是大勢所趨。課題研究研究目標開展校園局域網(wǎng)應(yīng)有長遠的規(guī)劃，爭取利用現(xiàn)有的網(wǎng)絡(luò)技術(shù)和通信技術(shù)，將校園局域網(wǎng)建立成經(jīng)濟實用的現(xiàn)代化校園網(wǎng)，同時實現(xiàn)與其他兄弟院校之間的相互聯(lián)系和信息資源共享，逐漸實現(xiàn)教育科研信息共享，各種功能齊全的網(wǎng)絡(luò)管理系統(tǒng)。校園局域網(wǎng)工程實現(xiàn)后，將極大的提升學(xué)校在日常教學(xué)信息管理、人員辦公自動化、計算機輔助教學(xué)、教學(xué)資源制作的自動化、圖書和情報檢索等重要效勞上的效率。校園局域網(wǎng)規(guī)劃設(shè)計目標：實現(xiàn)校園部資源共享學(xué)校領(lǐng)導(dǎo)和教師能通過及時、準確地查詢教學(xué)活動中的信息，掌握當(dāng)前教學(xué)情況。并通過對信息的統(tǒng)計、匯總及分析，為教學(xué)、科研管理提供效勞，同時對學(xué)校各級管理層對學(xué)校的規(guī)劃、組織、決策提供了便捷的信息渠道和科學(xué)的管理手段，及時有效的指定、修改教學(xué)方案。完備的數(shù)據(jù)庫管理系統(tǒng)和資源庫能夠支持大量的圖文聲像素材、多媒體課件片段，數(shù)據(jù)文件的收集、管理、存儲的提取。數(shù)據(jù)算法需要檢索方便，容錯性強。以教學(xué)資源庫為核心的教學(xué)自學(xué)環(huán)境為學(xué)校教師提供制作環(huán)境、備課工具、良好的教學(xué)演播環(huán)境以及教學(xué)評估機制。為學(xué)生提供自主學(xué)習(xí)、交互式協(xié)作學(xué)習(xí)、發(fā)現(xiàn)探究式學(xué)習(xí)的良好學(xué)習(xí)環(huán)境和提供自我評價機制。利用現(xiàn)代教育技術(shù)，提高學(xué)生的素質(zhì)，改革課堂教學(xué)模式。現(xiàn)代化管理方法和管理手段加強對學(xué)校的人、財、物的管理，提高辦公效率、降低本錢消耗，逐步實現(xiàn)辦公自動化、網(wǎng)絡(luò)化。實現(xiàn)校園網(wǎng)與互聯(lián)網(wǎng)的連接建立學(xué)校主頁、教師主頁、學(xué)生個人主頁、電子、電子公告牌等信息發(fā)布窗口，發(fā)布有關(guān)教育教學(xué)信息，建立起學(xué)校、教師、家長、學(xué)生之間的信息交流平臺，并逐步開展建立成為一個面向全省、全國的教育教學(xué)信息。校園網(wǎng)總體規(guī)劃設(shè)計網(wǎng)絡(luò)的總體設(shè)計是建立校園網(wǎng)的工程藍圖，是搭建一個平安有效校園網(wǎng)一個最重要的任務(wù)。進展總體設(shè)計首先需要對象研究和需求調(diào)查，對學(xué)校的信息化要求有個明確的描述。其次在需求分析的根底上進展網(wǎng)絡(luò)總體架構(gòu)的規(guī)劃，確定學(xué)校Internet效勞類型，進而確定建立的具體目標，在這根底上來設(shè)計網(wǎng)絡(luò)的拓撲構(gòu)造，規(guī)劃設(shè)計原那么。校園局域網(wǎng)需求本文校園網(wǎng)工程假設(shè)圍主要有教學(xué)樓、圖書管、學(xué)生宿舍樓及實驗樓在四個局域網(wǎng)局部。校園局域網(wǎng)的主要需高速、平安、便捷地傳送信息，且能夠平安穩(wěn)定的運行，在某些時刻承受高強度的訪問，至少能滿足千人以上的網(wǎng)絡(luò)應(yīng)用需求。初期設(shè)計對響應(yīng)時間不做特殊要求，但為了存儲數(shù)據(jù)和備份數(shù)據(jù)，網(wǎng)管中心必須建立磁盤陣列。最大限度地考慮采用符合開展趨勢的新技術(shù)，網(wǎng)絡(luò)設(shè)備必須采用成熟先進的技術(shù)，所采用的標準要求統(tǒng)一，支持目前業(yè)界最新的網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)的標準必須符合國際/國家標準，并且擁有廣泛的支持廠商；網(wǎng)絡(luò)設(shè)備要求具有高可靠性、高穩(wěn)定性和高可用性；網(wǎng)絡(luò)設(shè)備要求提供足夠的寬帶，以適應(yīng)校園網(wǎng)上信息構(gòu)造多樣化，要求支持虛擬網(wǎng)和第三層交換，形成分布式三層交換網(wǎng)；網(wǎng)絡(luò)設(shè)備要求具有擴展性和可升級性，能夠適應(yīng)用戶數(shù)量的擴展，能夠保證未來網(wǎng)絡(luò)升級時的平穩(wěn)銜接，保證網(wǎng)絡(luò)通信介質(zhì)、網(wǎng)絡(luò)根本設(shè)計核心的向后兼容性；要求網(wǎng)絡(luò)易于管理，支持網(wǎng)絡(luò)的拓撲視圖、網(wǎng)段與端口的監(jiān)控；網(wǎng)絡(luò)流量及錯誤統(tǒng)計，具備計費管理、故障定位、診斷、修復(fù)和自動隔離等功能；要求網(wǎng)絡(luò)具有高的平安性。在要求網(wǎng)絡(luò)具有開放性的同時，要求保證其平安性。網(wǎng)絡(luò)總體架構(gòu)規(guī)劃網(wǎng)絡(luò)技術(shù)選擇目前常見的局域網(wǎng)類型包括：光纖分布式數(shù)據(jù)接口(FDDI)、異步傳輸模式(ATM)、千兆以太網(wǎng)等，它們在拓撲構(gòu)造、傳輸介質(zhì)、傳輸速率、數(shù)據(jù)格式等多方面都有許多不同。三種技術(shù)比擬如下表1-1所示。表1-1網(wǎng)絡(luò)技術(shù)比照表工程FDDIATM千兆以太網(wǎng)傳輸速率100M155M/622M10~1000M訪問方式TokenProtocol信元交換帶優(yōu)先級的CSMA/CD介質(zhì)類型雙絞線、光纖雙絞線、光纖雙絞線、光纖價格高中中拓撲構(gòu)造雙環(huán)構(gòu)造星型構(gòu)造星型構(gòu)造從表中明顯看出千兆以太網(wǎng)技術(shù)優(yōu)勢明顯，它支持10M、100M乃至1000M的各種通信速率，并有向更高帶寬(10G及以上)開展的趨勢。如今正在開展的IP交換技術(shù)也是基于以太網(wǎng)的，結(jié)合第三層交換機的路由功能，構(gòu)造幾個乃至幾十、幾百個G帶寬的網(wǎng)絡(luò)。另外，由于主要業(yè)務(wù)系統(tǒng)是建立在IP平臺上的，以太網(wǎng)技術(shù)是IP網(wǎng)絡(luò)最好的通信技術(shù)之一。采用IEEE802.1q標準以太網(wǎng)可以實現(xiàn)VLAN，而VLAN在很大程度上是保證網(wǎng)絡(luò)高效和平安的重要手段。校園網(wǎng)絡(luò)拓撲網(wǎng)絡(luò)構(gòu)造采用星形網(wǎng)絡(luò)拓撲構(gòu)造，以網(wǎng)絡(luò)中心的核心交換機為中心節(jié)點。整個網(wǎng)絡(luò)構(gòu)造采用兩層構(gòu)造：會聚層交換機用于匯接技術(shù)接入交換機，接入層交換機用于接到桌面的計算機，對信息點較多的部門可采用級聯(lián)下一級普通交換機進展訪問。校園網(wǎng)絡(luò)工程涉及的主要建筑包括教學(xué)樓、宿舍樓、圖書館、實驗樓等。校園網(wǎng)總拓撲設(shè)計如圖1-1所示。圖1-1校園網(wǎng)總拓撲圖中心機房設(shè)置一臺千兆核心交換機，負責(zé)整個校園網(wǎng)所有節(jié)點的數(shù)據(jù)交換，在教學(xué)樓，宿舍樓，圖書館，實驗樓等地方分別設(shè)置二級交換機節(jié)點，接入層交換機通過二級節(jié)點與核心交換機連接。聯(lián)網(wǎng)技術(shù)上采用三層的交換網(wǎng)絡(luò)，主干網(wǎng)絡(luò)采用交換式1000M以太網(wǎng)連接技術(shù)，主要用于各樓間核心設(shè)備之間以及上連到廣域網(wǎng)設(shè)備。辦公樓、教學(xué)樓、圖書館、宿舍樓之間采用光纖以全連接拓撲構(gòu)造通過1000M交換機進展連接。接入層采用快速交換式以太網(wǎng)通過5類雙絞線按照星型拓撲構(gòu)造進展連接，使網(wǎng)可以到達百兆。整個校園網(wǎng)設(shè)計有一個外網(wǎng)出口到Internet，帶寬為100M。網(wǎng)絡(luò)設(shè)備選型核心層網(wǎng)絡(luò)核心層作為校園網(wǎng)系統(tǒng)的心臟，實現(xiàn)子網(wǎng)之間的路由，提供全線速的數(shù)據(jù)交換，當(dāng)網(wǎng)絡(luò)流量較大時，對關(guān)鍵業(yè)務(wù)的效勞質(zhì)量提供保證。另外，作為整個網(wǎng)絡(luò)的交換中心，在保證高性能、無阻塞交換的同時，還必須保證網(wǎng)絡(luò)穩(wěn)定可靠的運行。因此在核心設(shè)備的選型和構(gòu)造設(shè)計上必須兼顧考慮整體網(wǎng)絡(luò)的高性能和高可靠性?？紤]到學(xué)校網(wǎng)絡(luò)應(yīng)用的復(fù)雜性和多樣性，核心層網(wǎng)絡(luò)交換機的選型必須具備高性能、高可靠性和高可擴展性，主要包括，硬件如電源、管理模塊、交換模塊等是否支持冗余配置，軟件如是否提供路由器冗余、端口聚合〔PortTrunking〕、生成樹協(xié)議〔STP、RSTP〕等實現(xiàn)可靠性功能的協(xié)議。結(jié)合以上要求，本次設(shè)計選用高性能、多協(xié)議的CiscoCatalyst6509模塊化交換機作為園區(qū)網(wǎng)絡(luò)的核心。Cisco6509交換機參數(shù)配置如下：產(chǎn)品類型：企業(yè)級交換機應(yīng)用層級：四層傳輸速率：10/100/1000Mbps交換方式：存儲-轉(zhuǎn)發(fā)背板帶寬：720Gbps包轉(zhuǎn)發(fā)率：387MppsMAC地址表：64K端口構(gòu)造：模塊化擴展模塊：9個模塊化插槽傳輸模式：支持全雙工網(wǎng)絡(luò)標準：IEEE802.3，IEEE802.3u，IEEE802.1s，IEEE802.1w/adVLAN：支持QOS：支持網(wǎng)絡(luò)管理：CiscoWorks2000，RMON，增強交換端口分析器〔ESPAN〕，SNMP，Telnet，BOOTP，TFTP會聚層網(wǎng)絡(luò)會聚層介于核心層和接入層之間，主要負責(zé)接入交換機的會聚，并與核心交換機互聯(lián)，分級實現(xiàn)校園網(wǎng)VLAN之間的路由，進展子網(wǎng)部數(shù)據(jù)的交換、轉(zhuǎn)發(fā)，提供流量控制和用戶管理。根據(jù)網(wǎng)絡(luò)拓撲構(gòu)造，該院有教學(xué)樓、實驗樓、學(xué)生宿舍區(qū)、效勞器群、圖書館等5個會聚節(jié)點，均選用CiscoCatalyst4506交換機提供本區(qū)域的第三層交換和路由功能。同時把整個網(wǎng)絡(luò)區(qū)域根據(jù)部門或功能劃分到這五個會聚節(jié)點，進展VLAN劃分和管理，并實現(xiàn)VLAN間的通信及訪問控制。Catalyst4500系列交換機是中端、中等密度的模塊化交換機，它們提供了強大的2/3/4層智能效勞。每臺Cisco4506交換機配置一塊4口萬兆模塊，用于和核心層交換機以及局部關(guān)鍵會聚層設(shè)備實現(xiàn)萬兆互連，同時配置一塊18口千兆光纖模塊，用于與接入層交換機的互聯(lián)及今后開展的備用插槽。Cisco4506主要參數(shù)：產(chǎn)品類型：企業(yè)級交換機應(yīng)用層級：四層傳輸速率：10/100/1000Mbps交換方式：存儲-轉(zhuǎn)發(fā)背板帶寬：100Gbps包轉(zhuǎn)發(fā)率：75Mpps端口構(gòu)造：模塊化擴展模塊：1個超級引擎插槽數(shù)+5個線路卡插槽傳輸模式：支持全雙工網(wǎng)絡(luò)標準：IEEE802.3，IEEE802.3u，IEEE802.3，IEEE802.3z，IEEE802.3x，IEEE802.3abVLAN：支持QOS：支持網(wǎng)絡(luò)管理：SNMP管理信息庫(MIB)II，SNMPMIB擴展，橋接MIB(RFC1493)接入層網(wǎng)絡(luò)接入層作為用戶接入網(wǎng)絡(luò)的終端，該層主要功能是：提供各種標準接口將數(shù)據(jù)接入到網(wǎng)絡(luò)和確定基于端口的VLAN成員及數(shù)據(jù)流過濾。接入層網(wǎng)絡(luò)使用CiscoCatalyst2960每個交換組最多提供144個終端的接入。其主要功能是為園區(qū)網(wǎng)用戶提供高性價比的10/100兆網(wǎng)絡(luò)接口，實現(xiàn)用戶的寬帶接入。并與會聚層通過千兆鏈路互連，為接入用戶提供高速上連。CiscoCatalyst2960主要參數(shù)：CISCOWS-C2960-24-S主要參數(shù)：產(chǎn)品類型：智能交換機應(yīng)用層級：二層傳輸速率：10/100Mbps產(chǎn)品存：DRAM存：64MBFLASH存：32MB交換方式：存儲-轉(zhuǎn)發(fā)背板帶寬：16Gbps包轉(zhuǎn)發(fā)率：3.6MppsMAC地址表：8K路由器選擇校園網(wǎng)邊界路由器選擇CISCO2911/K9主要參數(shù)：路由器類型：多業(yè)務(wù)路由器網(wǎng)絡(luò)協(xié)議：IPv4，IPv6，靜態(tài)路由，IGMPv3，PIMSM，DVMRP，IPSec傳輸速率：10/100/1000Mbps端口構(gòu)造：模塊化廣域網(wǎng)接口：3個其它端口：2個外部USB閃存插槽1個USB控制臺端口1個串行控制臺端口1個串行輔助端口防火墻：置防火墻Qos支持：支持VPN支持：支持產(chǎn)品存：DRAM存：512MB，最大2GBFLASH存：256MB其它性能：基于硬件的嵌入式密碼加速〔IPSec+SSL〕效勞器選擇效勞器群組統(tǒng)一使用計算機代替，上面搭建win2003Server企業(yè)高級版。綜上所述，我們的網(wǎng)絡(luò)設(shè)備選型方案為，核心層采用CiscoC3560X核心交換機，會聚層采用Cisco4506智能交換機，接入層采用Cisco2960網(wǎng)管交換機，置防火墻的CISCO2911/K9多業(yè)務(wù)路由器。\l"_Toc106361635"校園網(wǎng)平安策略及平安防御措施隨著網(wǎng)絡(luò)的快速開展，網(wǎng)絡(luò)平安問題日益突出，黑客攻擊、網(wǎng)絡(luò)病毒等在日常日常生活中屢見不鮮，各種各樣的平安問題開場困擾網(wǎng)絡(luò)管理人員。這些平安問題主要表現(xiàn)在：不良信息的傳播，病毒的危害，非法訪問，惡意破壞，口令入侵等[1]。隨著關(guān)鍵應(yīng)用的普及和深入，網(wǎng)絡(luò)用戶的快速增加，校園網(wǎng)絡(luò)從早期教育、科研的試驗網(wǎng)角色已經(jīng)轉(zhuǎn)變成為教育、科研和效勞并重的帶有運營性質(zhì)的網(wǎng)絡(luò)，如何保證網(wǎng)絡(luò)信息平安已經(jīng)成為影響學(xué)校的存與開展亟待解決的關(guān)鍵問題之一。另外，一個高效、實用且平安的網(wǎng)絡(luò)環(huán)境，對于教師、學(xué)生、管理人員的信息傳遞，信息搜集，教育學(xué)習(xí)等都有著十分重要而深遠的意義[1]WilliamStallings著[1]WilliamStallings著.網(wǎng)絡(luò)平安根底.:清華大學(xué),2010.07本次設(shè)計的三層校園局域網(wǎng)中采用邊界路由、核心交換機在的二層平安防御。第一層保護有邊界路由實現(xiàn)。選用具有防火墻功能的Cisco路由器，路由器上配置訪問控制列表，通過訪問規(guī)那么，控制和過濾經(jīng)過路由器的數(shù)據(jù)流，隔離外網(wǎng)和網(wǎng)，防止外部用戶對部網(wǎng)絡(luò)不平安的訪問，可有效防止各效勞器受到來自外部的破壞。第二層防護由核心交換機提供。核心交換機上部署防火墻模塊，可有效地防止部攻擊[2]〔美〕[2]〔美〕yusufbhaiji(著)田果;X丹寧(譯).網(wǎng)絡(luò)平安技術(shù)與解決方案〔修訂版〕，人民郵電，2010-01-01.35-57本章小結(jié)本章通過對現(xiàn)有主要網(wǎng)絡(luò)技術(shù)的分析與比擬，確定本校園網(wǎng)絡(luò)采用千兆以太網(wǎng)技術(shù)路線，并設(shè)計出校園網(wǎng)絡(luò)總拓撲，選擇了硬件設(shè)備的品牌型號，同時對校園網(wǎng)絡(luò)的平安形式和防御措施做出描述。VLAN劃分及參數(shù)配置VLAN劃分VLAN〔VirtualLocalAreaNetwork〕稱為虛擬局域網(wǎng)，是指在邏輯上將物理的LAN分成不同小的邏輯子網(wǎng)，每一個邏輯子網(wǎng)就是一個單獨的播域。簡單地說，就是將一個大的物理的局域網(wǎng)〔LAN〕在交換機上通過軟件劃分成假設(shè)干個小的虛擬的局域網(wǎng)〔VLAN〕。因為交換機通信的原理就是要通過"播送〞來發(fā)現(xiàn)通往的目的MAC地址，以便在交換機部的MAC數(shù)據(jù)庫建立MAC地址表，而播送不能跨越不同網(wǎng)段[3]。[3]梁廣民，王隆杰編著.思科網(wǎng)絡(luò)實驗室CP(交換技術(shù))實驗指南.電子工業(yè)，2012年5月.42-52技術(shù)的出現(xiàn)，使得管理員根據(jù)實際應(yīng)用需求，把同一物理局域網(wǎng)的不同用戶邏輯地劃分成不同的播送域，每一個VLAN都包含一組有著一樣需求的計算機工作站，與物理上形成的LAN有著一樣的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個[3]梁廣民，王隆杰編著.思科網(wǎng)絡(luò)實驗室CP(交換技術(shù))實驗指南.電子工業(yè)，2012年5月.42-52[4]〔美〕戴伊〔Dye,M.A.〕，〔美〕麥克唐納〔McDonald,R.〕,(美)魯菲〔Rufi,A.W.〕著.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程.CAExploration：網(wǎng)絡(luò)根底知識.人民郵電，2009年1月.46-88VLAN根本上可以看成一個播送域，在物理網(wǎng)絡(luò)的根底上，能根據(jù)需要靈活地設(shè)置出許多邏輯網(wǎng)絡(luò)，從而擺脫了物理地域限制，以及因為位于布線柜或者路由器附近而造成的對用戶組的限制，能根據(jù)用戶實際需要靈活地建立邏輯的專用網(wǎng)絡(luò)，使網(wǎng)絡(luò)更平安、更便于管理、更暢通和帶寬更有保證。根據(jù)學(xué)院校園網(wǎng)使用實際情況，提出校園網(wǎng)VLAN的建立規(guī)劃，見表2-1。表2-1VLAN規(guī)劃表子網(wǎng)名稱IP網(wǎng)段默認網(wǎng)關(guān)備注效勞器群192.168.1.0/24192.168.1.2Vlan2學(xué)生宿舍192.168.2.0/24192.168.2.2Vlan3實驗樓192.168.3.0/24192.168.3.2Vlan4教學(xué)樓192.168.7.0/24192.168.7.2Vlan5圖書館192.168.8.0/24192.168.8.2Vlan6VLAN配置交換機的選擇交換機分為二層交換機和三層交換機兩種類型，其中二層交換機的工作原理是：〔1〕當(dāng)交換機從某個端口收到一個數(shù)據(jù)包，它先讀取中的源MAC地址，這樣它就知道源MAC地址的機器是連在哪個端口上的[5]；[5]梁廣民，王隆杰編著.思科網(wǎng)絡(luò)實驗室CP([5]梁廣民，王隆杰編著.思科網(wǎng)絡(luò)實驗室CP(路由技術(shù))實驗指南.電子工業(yè)，2012年3月.77-82〔3〕如表中有與這目的MAC地址對應(yīng)的端口，把數(shù)據(jù)包直接復(fù)制到這端口上；〔4〕如表中找不到相應(yīng)的端口那么把數(shù)據(jù)包播送到所有端口上，當(dāng)目的機器對源機器回應(yīng)時，交換機又可以學(xué)習(xí)一目的MAC地址與哪個端口對應(yīng)，在下次傳送數(shù)據(jù)時就不再需要對所有端口進展播送了。不斷的循環(huán)這個過程，對于全網(wǎng)的MAC地址信息都可以學(xué)習(xí)到，二層交換機就是這樣建立和維護它自己的地址表。可以看出二層交換機沒有路由功能，當(dāng)不同的子網(wǎng)進展通信是要借助路由器實現(xiàn)數(shù)據(jù)包的轉(zhuǎn)發(fā)，所以當(dāng)子網(wǎng)數(shù)量較多時，路由器的接口數(shù)量就成了一個瓶頸，而三層交換機就能解決這一缺點。三層交換機的最重要的功能是加快大型局域網(wǎng)絡(luò)部的數(shù)據(jù)的快速轉(zhuǎn)發(fā)，參加路由功能也是為這個目的效勞的。因此具有路由功能的快速轉(zhuǎn)發(fā)的三層交換機就成為首選。核心層的功能主要是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,核心層設(shè)計任務(wù)的重點通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能最好盡量少在核心層上實施。核心層一直被認為是所有流量的最終承受者和會聚者，所以對核心層的設(shè)計以及網(wǎng)絡(luò)設(shè)備的要求十分嚴格?；诙丝趘lan的劃分這是最常應(yīng)用的一種VLAN劃分方法，應(yīng)用也最為廣泛、最有效，目前絕大多數(shù)VLAN協(xié)議的交換機都提供這種VLAN配置方法。這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機的交換端口來劃分的，它是將VLAN交換機上的物理端口和VLAN交換機部的PVC〔永久虛電路〕端口分成假設(shè)干個組，每個組構(gòu)成一個虛擬網(wǎng)，相當(dāng)于一個獨立的VLAN交換機。從這種劃分方法本身我們可以看出，這種劃分的方法的優(yōu)點是定義VLAN成員時非常簡單，只要將所有的端口都定義為相應(yīng)的VLAN組即可[6]。適合于任何大小的網(wǎng)絡(luò)。它的缺點是如果某用戶離開了原來的端口，到了一個新的交換機的某個端口，必須重新定義。核心交換機Core-SW配置核心交換機配置VTPServer交換機VTP更新信息的所有方案必須配置在同一管理域。所有交換機都通過中繼線相連，在核心交換機上設(shè)置了一個管理域，校園網(wǎng)上所有的交換機都參加該域，這樣同一管理域中的所有交換機就能夠了解彼此的VLAN列表。進入VLAN配置模式Core-SW#vlandatabase設(shè)置VTP管理域名稱為xiaoyuanCore-SW(vlan)#vtpxiaoyuan設(shè)置交換機為效勞器模式Core-SW(vlan)#vtpserver設(shè)置交換機為server模式是指允許在本交換機上創(chuàng)立、修改、刪除VLAN及其它一些對整個VTP域的配置參數(shù)，同步本VTP域中其它交換機傳遞來的最新的VLAN信息；client模式用于同步本VTP域中其他交換機傳遞來的VLAN信息，分支交換機設(shè)置為client模式。配置中繼〔Trunk〕配置中繼，使VTP管理域能夠覆蓋所有的分支交換機。Trunk是一個在交換機之間、交換機與路由器之間傳遞VLAN信息和VLAN數(shù)據(jù)流的協(xié)議，將交換機之間直接相連的端口配置為dot1q封裝，就可跨越交換機進展整個網(wǎng)絡(luò)的VLAN設(shè)置。Core-SW(config-if)#switchporttrunkencapsulationdot1qCore-SW(config-if)#switchportmodetrunkCore-SW(config-if)#intfa0/2Core-SW(config-if)#switchporttrunkencapsulationdot1qCore-SW(config-if)#switchportmodetrunkCore-SW(config-if)#intfa0/3Core-SW(config-if)#switchporttrunkencapsulationdot1qCore-SW(config-if)#switchportmodetrunkCore-SW(config-if)#intfa0/4Core-SW(config-if)#switchporttrunkencapsulationdot1qCore-SW(config-if)#switchportmodetrunkCore-SW(config-if)#intfa0/5Core-SW(config-if)#switchporttrunkencapsulationdot1qCore-SW(config-if)#switchportmodetrunkCore-SW(config-if)#intfa0/6Core-SW(config-if)#switchporttrunkencapsulationdot1qCore-SW(config-if)#switchportmodetrunk創(chuàng)立vlan及端口劃分在VTP屬性為server的核心交換機上建立VLAN信息，它就會通過VTP通告整個管理域中的所有的交換機。另外，在相應(yīng)的交換機上配置將各自的端口劃入各個VLAN。如2-1所示圖2-1vlan劃分配置IP為了實現(xiàn)VLAN間的三層交換，再給各VLAN分配相應(yīng)的IP地址。采用分配靜態(tài)IP地址的方法，在核心交換機上設(shè)置如下：Core-SW(config-if)#intvlan1Core-SW(config-if)#ipaddressCore-SW(config-if)#noshutCore-SW(config-if)#intvlan2Core-SW(config-if)#ipaddressCore-SW(config-if)#noshutCore-SW(config-if)#intvlan3Core-SW(config-if)#ipaddressCore-SW(config-if)#noshutCore-SW(config-if)#intvlan4Core-SW(config-if)#ipaddressCore-SW(config-if)#noshutCore-SW(config-if)#intvlan5Core-SW(config-if)#ipaddressCore-SW(config-if)#noshutCore-SW(config-if)#intvlan6Core-SW(config-if)#ipaddressCore-SW(config-if)#noshutSW1開啟路由中心交換機開啟路由功能Core-SW(config)#intfa0/1//關(guān)閉二層端口，配置IP地址Core-SW(config-if)#noswitchport//三層端口，配置IPCore-SW(config-if)#ipaddCore-SW(config-if)#noshut//開啟路由功能Core-SW(config)#iprouting//運行rip協(xié)議Core-SW(config)#routerripCore-SW(config-router)#ver2Core-SW(config-router)#noauCore-SW(config-router)#netCore-SW(config-router)#netCore-SW(config-router)#netCore-SW(config-router)#netCore-SW(config-router)#netCore-SW(config-router)#netCore-SW(config-router)#netServer-SW配置配置Server-SW中繼〔Trunk〕Server-SW(config-if)#vtpxiaoyuanServer-SW(config-if)#vtpmodeclientServer-SW(config-if)#intfa0/1Server-SW(config-if)#switchportmodetrunkServer-SW端口配置Server-SW(config-if)#intfa0/2Server-SW(config-if)#switchportmodeaccessServer-SW(config-if)#switchportaccessvlan2Server-SW(config-if)#intfa0/3Server-SW(config-if)#switchportmodeaccessServer-SW(config-if)#switchportaccessvlan2Server-SW(config-if)#intfa0/4Server-SW(config-if)#switchportmodeaccessServer-SW(config-if)#switchportaccessvlan2Server-SW(config-if)#intfa0/5Server-SW(config-if)#switchportmodeaccessServer-SW(config-if)#switchportaccessvlan2Server-SW(config-if)#intfa0/6Server-SW(config-if)#switchportmodeaccessServer-SW(config-if)#switchportaccessvlan2配置學(xué)生宿舍交換機Student-SW(config)#vtpdomainxiaoyuanStudent-SW(config)#vtpmodeclientStudent-SW(config)#intfa0/1Student-SW(config-if)#switchporttrunkencapsulationdot1qStudent-SW(config-if)#switchportmodetrunkStudent-SW(config)#intfa0/2Student-SW(config-if)#switchportmodeaccessStudent-SW(config-if)#switchportaccessvlan3路由器配置防火墻路由器在網(wǎng)絡(luò)中實現(xiàn)外網(wǎng)轉(zhuǎn)換，即校園網(wǎng)所有主機要訪問外網(wǎng)必須要經(jīng)過所有地址轉(zhuǎn)換。路由器一個端口采用s端口，一個是千兆以太網(wǎng)鏈路。路由器通過動態(tài)鏈路與外網(wǎng)/24相連，通過千兆以太網(wǎng)鏈路與網(wǎng)/16相連。根本IP設(shè)置Border-R(config)#interfaceFastEthernet0/0Border-R(config-if)#ipaddressBorder-R(config)#interfaceSerial2/0Border-R(config-if)#ipaddressNAT設(shè)置Border-R(config-if)#ints2/0Border-R(config-if)#ipnatoutsideBorder-R(config)#intfa0/0Border-R(config-if)#ipnatinsideBorder-R(config)#routerripBorder-R(config-router)#version2Border-R(config-router)#noauBorder-R(config-router)#default-informationoriginateBorder-R(config-router)#networkBorder-R(config-router)#networkBorder-R(config)#acc1per55Border-R(config)#ipnatinssolist1ints2/0overload校園網(wǎng)邊界路由器配置Border-R(config)#intfa0/0Border-R(config-if)#ipaddBorder-R(config-if)#noshutBorder-R(config)#ints2/0Border-R(config-if)#ipaddBorder-R(config-if)#noshutBorder-R(config)#routerripBorder-R(config-router)#ver2Border-R(config-router)#noauBorder-R(config-router)#netBorder-R(config-router)#default-informationoriginate通過NAT技術(shù)實現(xiàn)網(wǎng)訪問internetBorder-R(config)#access-list1permit55Border-R(config)#access-list1permit55Border-R(config)#access-list1permit55Border-R(config)#access-list1permit55Border-R(config)#access-list1permit55Border-R(config)#access-list1permit55Border-R(config)#access-list1permit55Border-R(config)#ints2/0Border-R(config-if)#ipnatoutsideBorder-R(config)#intfa0/0Border-R(config-if)#ipnatinsideBorder-R(config-if)#endBorder-R(config)#iproutes2/0顯示路由表Border-R#showiprouteCodes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGPi-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea*-candidatedefault,U-per-userstaticroute,o-ODRP-periodicdownloadedstaticrouteGatewayoflastresortistonetworkR/24[120/1]via,00:00:16,FastEthernet0/0R/24[120/1]via,00:00:16,FastEthernet0/0R/24[120/1]via,00:00:16,FastEthernet0/0R/24[120/1]via,00:00:16,FastEthernet0/0R/24[120/1]via,00:00:16,FastEthernet0/0C/24isdirectlyconnected,FastEthernet0/0C/24isdirectlyconnected,Serial2/0S*/0isdirectlyconnected,Serial2/0模擬ISP環(huán)境出口路由R2配置R2(config)#ints2/0R2(config-if)#ipaddR2(config-if)#noshutR2(config-if)#clockrate64000R2(config-if)#exitR2(config)#intfa0/0R2(config-if)#ipaddR2(config-if)#noshutR2(config-if)#exit效勞器配置DHCP效勞器配置DHCP效勞器的IP配置如下列圖4-1所示圖4-1DHCP效勞器的IP配置效勞器配置效勞器的IP配置如下列圖4-2所示圖4-2效勞器配置DNS效勞器配置DNS效勞器配置如下列圖4-3所示圖4-3DNS效勞器配置FTP效勞器配置FTP效勞器配置如下列圖4-4所示圖4-4FTP效勞器配置網(wǎng)絡(luò)平安控制校園網(wǎng)絡(luò)平安問題是網(wǎng)絡(luò)建立的重點之一，本次設(shè)計中采用邊界路由、核心交換機在的二層平安防御。第一層保護有邊界路由實現(xiàn)。選用具有防火墻功能的Cisco路由器，路由器上配置訪問控制列表，通過訪問規(guī)那么，控制和過濾經(jīng)過路由器的數(shù)據(jù)流，隔離外網(wǎng)和網(wǎng)，防止外部用戶對部網(wǎng)絡(luò)不平安的訪問，可有效防止各效勞器受到來自外部的破壞。第二層防護由核心交換機提供。核心交換機上部署防火墻模塊，可有效地防止部攻擊。訪問控制表防止病毒傳播和黑客攻擊目前，大多數(shù)園區(qū)網(wǎng)用戶使用的是微軟操作系統(tǒng)，一些病毒程序或漏洞掃描軟件通過UDP端口135、137、138、1434和TCP端口135、137、139、445、593、1434、2500、4444、5554、5800、5900、6346、6667、9393、9995、9996等進展病毒傳播和攻擊，可通過設(shè)置如下訪問控制列表阻止病毒傳播和黑客攻擊。防病毒的ACL一般應(yīng)用在接入層的設(shè)備上，下面以配置SW3學(xué)生宿舍交換機的ACL為例。Student-SW(config)#access-list101denytcpanyanyeq135Student-SW(config)#access-list101denytcpanyanyeq137Student-SW(config)#access-list101denytcpanyanyeq139Student-SW(config)#access-list101denytcpanyanyeq445Student-SW(config)#access-list101denytcpanyanyeq593Student-SW(config)#access-list101denytcpanyanyeq1434Student-SW(config)#access-list101denytcpanyanyeq2500Student-SW(config)#access-list101denytcpanyanyeq4444Student-SW(config)#access-list101denytcpanyanyeq5554Student-SW(config)#access-list101denytcpanyanyeq5800Student-SW(config)#access-list101denytcpanyanyeq5900Student-SW(config)#access-list101denytcpanyanyeq6346Student-SW(config)#access-list101denytcpanyanyeq9393Student-SW(config)#access-list101denytcpanyanyeq9995Student-SW(config)#access-list101denytcpanyanyeq9996Student-SW(config)#access-list101denyudpanyanyeq135Student-SW(config)#access-list101denyudpanyanyeq137Student-SW(config)#access-list101denyudpanyanyeq138Student-SW(config)#access-list101de