校园局域网规划与设计cisco仿真模拟

《校园局域网规划与设计cisco仿真模拟》由会员分享，可在线阅读，更多相关《校园局域网规划与设计cisco仿真模拟（36页珍藏版）》请在装配图网上搜索。

1、校园局域网的规划摘要 身处于注重效率的信息时代，校园局域网作为高等学校提升教育实力和竞争力的重要措施必须着重建设，一个技术先进、运行可靠而又经济试用的校园局域网是提高高等院校教育水平的一个保证。本文实例阐述了校园局域网建设的必要性和重要性，研究分析了当今主流的局域网技术、网络设计方法和互联方法等，对技术、设备、总体规划等提出有价值的建议或意见，以实用、先进、经济为设计出发点，提出建设校园局域网的可行性方案，结合校园局域网的不安全因素，制定出相应的安全策略。关键词路由配置服务器配置访问控制表技术目录引言4（一）研究背景4（二）课题研究研究目标4一、校园网总体规划设计6（一）校园局域网需求6（二）

2、网络总体架构规划71.网络技术选择72.校园网络拓扑7（三）网络设备选型91.核心层网络92.汇聚层网络103.接入层网络114.路由器选择115.服务器选择12（四）校园网安全策略及安全防御措施12（五）本章小结13二、VLAN 划分及参数配置14（一）VLAN划分14（二）VLAN配置151.交换机的选择15（三）核心交换机Core-SW配置161.核心交换机配置VTP Server162.配置中继（Trunk）173.创建vlan及端口划分174.配置IP185.SW1开启路由19（四）Server-SW配置201.配置Server-SW中继（Trunk）202.Server-SW端口配

3、置20（五）配置学生宿舍交换机21三、路由器配置22（一）基本IP设置22（二）NAT设置22（三）校园网边界路由器配置23（四）通过NAT技术实现内网访问internet23（五）显示路由表24（六）模拟ISP环境出口路由R2配置25四、服务器配置26（一）DHCP服务器配置26（二）WWW服务器配置26（三）DNS服务器配置27（四）FTP 服务器配置27五、网络安全控制28（一）访问控制表281.防止病毒传播和黑客攻击282.对服务器群的服务进行控制29（二）小结30六、验证测试31总结与展望35致谢语36参考文献37引言（一） 研究背景近年来，随着教学手段的不断进步以及计算机网络技术在

4、学校中应用的日益普及，校园网络化、教学智能化成为各学校竞相角逐的热点，校园网已成为各学校必备的重要信息基础设施，其规模和应用水平已成为衡量学校教学与科研综合实力的一个重要标志。校园网的建设将为“数字化校园”提供高可靠性的网络基础设施和高性能的服务在一个平台上，让整个学校的教学、科研、管理和服务工作都实现信息化和网络化，使教师、学生、科研人员和行政管理人员等都可以最方便地实现信息的交流、进行协同工作和资源共享，搞好校园网的建设，有利于增强学校办学水平与社会竞争力。因此，建设高效实用的高级校园网，是大势所趋。（二） 课题研究研究目标发展校园局域网应有长远的规划，争取利用现有的网络技术和通信技术，将

5、校园局域网建设成经济实用的现代化校园网，同时实现与其他兄弟院校之间的相互联系和信息资源共享，逐渐实现教育科研信息共享，各种功能齐全的网络管理系统。校园局域网项目实现后，将极大的提升学校在日常教学信息管理、人员办公自动化、计算机辅助教学、教学资源制作的自动化、图书和情报检索等重要服务上的效率。校园局域网规划设计目标：（1） 实现校园内部资源共享学校领导和教师能通过及时、准确地查询教学活动中的信息，掌握当前教学情况。并通过对信息的统计、汇总及分析，为教学、科研管理提供服务，同时对学校各级管理层对学校的规划、组织、决策提供了便捷的信息渠道和科学的管理手段，及时有效的指定、修改教学计划。（2） 完备的

6、数据库管理系统和资源库能够支持大量的图文声像素材、多媒体课件片段，数据文件的收集、管理、存储的提取。数据算法需要检索方便，容错性强。（3） 以教学资源库为核心的教学自学环境为学校教师提供制作环境、备课工具、良好的教学演播环境以及教学评估机制。为学生提供自主学习、交互式协作学习、发现探究式学习的良好学习环境和提供自我评价机制。利用现代教育技术，提高学生的素质，改革课堂教学模式。（4） 现代化管理方法和管理手段加强对学校的人、财、物的管理，提高办公效率、降低成本消耗，逐步实现办公自动化、网络化。（5） 实现校园网与互联网的连接建立学校主页、教师主页、学生个人主页、电子邮箱、电子公告牌等信息发布窗口

7、，发布有关教育教学信息，建立起学校、教师、家长、学生之间的信息交流平台，并逐步发展建设成为一个面向全省、全国的教育教学信息网站。一、 校园网总体规划设计网络的总体设计是建设校园网的工程蓝图，是搭建一个安全有效校园网一个最重要的任务。进行总体设计首先需要对象研究和需求调查，对学校的信息化要求有个明确的描述。其次在需求分析的基础上进行网络总体架构的规划，确定学校Internet服务类型，进而确定建设的具体目标，在这基础上来设计网络的拓扑结构，规划设计原则。（一） 校园局域网需求本文校园网工程假设范围主要有教学楼、图书管、学生宿舍楼及实验楼在内四个局域网部分。校园局域网的主要需求是高速、安全、便捷地

8、传送信息，且能够安全稳定的运行，在某些时刻承受高强度的访问，至少能满足千人以上的网络应用需求。初期设计对响应时间不做特殊要求，但为了存储数据和备份数据，网管中心必须建立磁盘阵列。最大限度地考虑采用符合发展趋势的新技术，网络设备必须采用成熟先进的技术，所采用的标准要求统一，支持目前业界最新的网络协议，网络的标准必须符合国际/国家标准，并且拥有广泛的支持厂商；网络设备要求具有高可靠性、高稳定性和高可用性；网络设备要求提供足够的宽带，以适应校园网上信息结构多样化，要求支持虚拟网和第三层交换，形成分布式三层交换网；网络设备要求具有扩展性和可升级性，能够适应用户数量的扩展，能够保证未来网络升级时的平稳衔

9、接，保证网络通信介质、网络基本设计核心的向后兼容性；要求网络易于管理，支持网络的拓扑视图、网段与端口的监控；网络流量及错误统计，具备计费管理、故障定位、诊断、修复和自动隔离等功能；要求网络具有高的安全性。在要求网络具有开放性的同时，要求保证其安全性。（二） 网络总体架构规划1. 网络技术选择目前常见的局域网类型包括：光纤分布式数据接口(FDDI)、异步传输模式(ATM)、千兆以太网等，它们在拓扑结构、传输介质、传输速率、数据格式等多方面都有许多不同。三种技术比较如下表1-1所示。表 1-1 网络技术对比表项目FDDIATM千兆以太网传输速率100M155M/622M101000M访问方式Tok

10、en Protocol信元交换带优先级的CSMA/CD介质类型双绞线、光纤双绞线、光纤双绞线、光纤价格高中中拓扑结构双环结构星型结构星型结构从表中明显看出千兆以太网技术优势明显，它支持10M、100M乃至1000M的各种通信速率，并有向更高带宽(10G及以上)发展的趋势。如今正在发展的IP交换技术也是基于以太网的，结合第三层交换机的路由功能，构造几个乃至几十、几百个G带宽的网络。另外，由于主要业务系统是建立在IP平台上的，以太网技术是IP网络最好的通信技术之一。采用IEEE802.1q标准以太网可以实现VLAN，而VLAN在很大程度上是保证网络高效和安全的重要手段。2. 校园网络拓扑网络结构采

11、用星形网络拓扑结构，以网络中心的核心交换机为中心节点。整个网络结构采用两层结构：汇聚层交换机用于汇接技术接入交换机，接入层交换机用于接到桌面的计算机，对信息点较多的部门可采用级联下一级普通交换机进行访问。校园网络工程涉及的主要建筑包括教学楼、宿舍楼、图书馆、实验楼等。校园网总拓扑设计如图1-1所示。图1-1 校园网总拓扑图中心机房设置一台千兆核心交换机，负责整个校园网所有节点的数据交换，在教学楼，宿舍楼，图书馆，实验楼等地方分别设置二级交换机节点，接入层交换机通过二级节点与核心交换机连接。联网技术上采用三层的交换网络，主干网络采用交换式 1000M 以太网连接技术，主要用于各楼间核心设备之间以

12、及上连到广域网设备。办公楼、教学楼、图书馆、宿舍楼之间采用光纤以全连接拓扑结构通过 1000M 交换机进行连接。接入层采用快速交换式以太网通过 5 类双绞线按照星型拓扑结构进行连接，使内网可以达到百兆。整个校园网设计有一个外网出口到 Internet，带宽为 100M。（三） 网络设备选型1. 核心层网络核心层作为校园网系统的心脏，实现子网之间的路由，提供全线速的数据交换，当网络流量较大时，对关键业务的服务质量提供保证。另外，作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证网络稳定可靠的运行。因此在核心设备的选型和结构设计上必须兼顾考虑整体网络的高性能和高可靠性。考虑到学校网

13、络应用的复杂性和多样性，核心层网络交换机的选型必须具备高性能、高可靠性和高可扩展性，主要包括，硬件如电源、管理模块、交换模块等是否支持冗余配置，软件如是否提供路由器冗余、端口聚合（Port Trunking）、生成树协议（STP、RSTP）等实现可靠性功能的协议。结合以上要求，本次设计选用高性能、多协议的 Cisco Catalyst 6509 模块化交换机作为园区网络的核心。Cisco 6509 交换机参数配置如下： 产品类型：企业级交换机 应用层级：四层 传输速率：10/100/1000Mbps 交换方式：存储-转发 背板带宽：720Gbps 包转发率：387Mpps MAC地址表：64K

14、 端口结构：模块化 扩展模块：9个模块化插槽 传输模式：支持全双工 网络标准：IEEE 802.3，IEEE 802.3u，IEEE 802.1s，IEEE 802.1w/ad VLAN：支持 QOS：支持 网络管理：CiscoWorks2000，RMON，增强交换端口分析器（ESPAN），SNMP，Telnet，BOOTP，TFTP2. 汇聚层网络汇聚层介于核心层和接入层之间，主要负责接入交换机的汇聚，并与核心交换机互联，分级实现校园网 VLAN 之间的路由，进行子网内部数据的交换、转发，提供流量控制和用户管理。根据网络拓扑结构，该院有教学楼、实验楼、学生宿舍区、服务器群、图书馆等 5 个汇

15、聚节点，均选用Cisco Catalyst 4506 交换机提供本区域内的第三层交换和路由功能。同时把整个网络区域根据部门或功能划分到这五个汇聚节点，进行 VLAN 划分和管理，并实现 VLAN 间的通信及访问控制。Catalyst 4500 系列交换机是中端、中等密度的模块化交换机，它们提供了强大的2/3/4 层智能服务。每台 Cisco4506 交换机配置一块 4 口万兆模块，用于和核心层交换机以及部分关键汇聚层设备实现万兆互连，同时配置一块 18 口千兆光纤模块，用于与接入层交换机的互联及今后发展的备用插槽。Cisco4506主要参数： 产品类型：企业级交换机 应用层级：四层 传输速率：

16、10/100/1000Mbps 交换方式：存储-转发 背板带宽：100Gbps 包转发率：75Mpps 端口结构：模块化 扩展模块：1个超级引擎插槽数+5个线路卡插槽 传输模式：支持全双工 网络标准：IEEE 802.3，IEEE 802.3u，IEEE 802.3，IEEE 802.3z，IEEE 802.3x，IEEE 802.3ab VLAN：支持 QOS：支持 网络管理：SNMP管理信息库(MIB)II，SNMP MIB扩展，桥接MIB(RFC 1493)3. 接入层网络接入层作为用户接入网络的终端，该层主要功能是：提供各种标准接口将数据接入到网络和确定基于端口的 VLAN 成员及数据

17、流过滤。接入层网络使用Cisco Catalyst 2960每个交换组最多提供144个终端的接入。其主要功能是为园区网用户提供高性价比的10/100兆网络接口，实现用户的宽带接入。并与汇聚层通过千兆链路互连，为接入用户提供高速上连。Cisco Catalyst 2960主要参数： CISCO WS-C2960-24-S主要参数： 产品类型：智能交换机 应用层级：二层 传输速率：10/100Mbps 产品内存：DRAM内存：64MB FLASH内存：32MB 交换方式：存储-转发 背板带宽：16Gbps 包转发率：3.6Mpps MAC地址表：8K4. 路由器选择校园网边界路由器选择CISCO

18、2911/K9主要参数： 路由器类型：多业务路由器 网络协议：IPv4，IPv6，静态路由，IGMPv3，PIM SM，DVMRP，IPSec 传输速率：10/100/1000Mbps 端口结构：模块化 广域网接口：3个 其它端口：2个外部USB闪存插槽 1个USB控制台端口 1个串行控制台端口 1个串行辅助端口 防火墙：内置防火墙 Qos支持：支持 VPN支持：支持 产品内存：DRAM内存：512MB，最大2GB FLASH内存：256MB 其它性能：基于硬件的嵌入式密码加速（IPSec+SSL）5. 服务器选择服务器群组统一使用计算机代替，上面搭建win2003 Server企业高级版。综

19、上所述，我们的网络设备选型方案为，核心层采用 CiscoC3560X 核心交换机，汇聚层采用Cisco4506 智能交换机，接入层采用 Cisco2960 网管交换机，内置防火墙的CISCO 2911/K9多业务路由器。（四） 校园网安全策略及安全防御措施随着网络的快速发展，网络安全问题日益突出，黑客攻击、网络病毒等在日常日常生活中屡见不鲜，各种各样的安全问题开始困扰网络管理人员。这些安全问题主要表现在：不良信息的传播，病毒的危害，非法访问，恶意破坏，口令入侵等1。随着关键应用的普及和深入，网络用户的快速增加，校园网络从早期教育、科研的试验网角色已经转变成为教育、科研和服务并重的带有运营性质的

20、网络，如何保证网络信息安全已经成为影响学校的存与发展亟待解决的关键问题之一。另外，一个高效、实用且安全的网络环境，对于教师、学生、管理人员的信息传递，信息搜集，教育学习等都有着十分重要而深远的意义1 William Stallings 著.网络安全基础.北京:清华大学出版社,2010.07。本次设计的三层校园局域网中采用边界路由、核心交换机在内的二层安全防御。第一层保护有边界路由实现。选用具有防火墙功能的 Cisco 路由器，路由器上配置访问控制列表，通过访问规则，控制和过滤经过路由器的数据流，隔离外网和内网，防止外部用户对内部网络不安全的访问，可有效防止各服务器受到来自外部的破坏。第二层防护

21、由核心交换机提供。核心交换机上部署防火墙模块，可有效地防止内部攻击2 （美）yusuf bhaiji(著) 田果;刘丹宁(译).网络安全技术与解决方案（修订版），人民邮电出版社， 2010-01-01.35-57。（五） 本章小结本章通过对现有主要网络技术的分析与比较，确定本校园网络采用千兆以太网技术路线，并设计出校园网络总拓扑，选择了硬件设备的品牌型号，同时对校园网络的安全形式和防御措施做出描述。二、 VLAN 划分及参数配置（一） VLAN划分VLAN（Virtual Local Area Network）称为虚拟局域网，是指在逻辑上将物理的LAN分成不同小的逻辑子网，每一个逻辑子网就是一

22、个单独的播域。简单地说，就是将一个大的物理的局域网（LAN）在交换机上通过软件划分成若干个小的虚拟的局域网（VLAN）。因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址，以便在交换机内部的MAC数据库建立MAC地址表，而广播不能跨越不同网段3。3 梁广民，王隆杰编著.思科网络实验室CCNP(交换技术)实验指南.电子工业出版社，2012年5月.42-52技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同

23、一个 VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问4 （美）戴伊（Dye,M.A.），（美）麦克唐纳（McDonald,R.）,(美)鲁菲（Rufi,A.W.）著.思科网络技术学院教程.CCNA Exploration：网络基础知识.人民邮电出

24、版社，2009年1月.46-88。VLAN 基本上可以看成一个广播域，在物理网络的基础上，能根据需要灵活地设置出许多逻辑网络，从而摆脱了物理地域限制，以及因为位于布线柜或者路由器附近而造成的对用户组的限制，能根据用户实际需要灵活地建立逻辑的专用网络，使网络更安全、更便于管理、更畅通和带宽更有保证。根据学院校园网使用实际情况，提出校园网VLAN 的建设规划，见表2-1。表2-1 VLAN规划表子网名称IP 网段默认网关备注服务器群192. 168. 1. 0/24192. 168. 1. 2Vlan2学生宿舍192. 168. 2. 0/24192. 168. 2. 2Vlan3实验楼192.

25、168. 3. 0/24192. 168. 3. 2Vlan4教学楼192. 168. 7. 0/24192. 168. 7. 2Vlan5图书馆192. 168. 8. 0/24192. 168. 8. 2Vlan6（二） VLAN配置1. 交换机的选择交换机分为二层交换机和三层交换机两种类型，其中二层交换机的工作原理是：（1）当交换机从某个端口收到一个数据包，它先读取包头中的源MAC地址，这样它就知道源MAC地址的机器是连在哪个端口上的5；5 梁广民，王隆杰编著.思科网络实验室CCNP(路由技术)实验指南.电子工业出版社，2012年3月.77-822）再去读取包头中的目的MAC地址，并在地

26、址表中查找相应的端口；（3）如表中有与这目的MAC地址对应的端口，把数据包直接复制到这端口上；（4）如表中找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机器回应时，交换机又可以学习一目的MAC地址与哪个端口对应，在下次传送数据时就不再需要对所有端口进行广播了。不断的循环这个过程，对于全网的MAC地址信息都可以学习到，二层交换机就是这样建立和维护它自己的地址表。可以看出二层交换机没有路由功能，当不同的子网进行通信是要借助路由器实现数据包的转发，所以当子网数量较多时，路由器的接口数量就成了一个瓶颈，而三层交换机就能解决这一缺点。三层交换机的最重要的功能是加快大型局域网络内部的数据的快速

27、转发，加入路由功能也是为这个目的服务的。因此具有路由功能的快速转发的三层交换机就成为首选。核心层的功能主要是实现骨干网络之间的优化传输,核心层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在核心层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。基于端口vlan的划分这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路

28、）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可6。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。（三） 核心交换机Core-SW配置1. 核心交换机配置VTP Server交换机 VTP 更新信息的所有计划必须配置在同一管理域。所有交换机都通过中继线相连，在核心交换机上设置了一个管理域，校园网上所有的交换机都加入该域，这样同一管理域中的所有交换机就能够了解彼此的 VLAN 列表。进入

29、VLAN 配置模式Core-SW#vlan database设置 VTP 管理域名称为xiaoyuanCore-SW(vlan)#vtp xiaoyuan设置交换机为服务器模式Core-SW (vlan)#vtp server设置交换机为 server 模式是指允许在本交换机上创建、修改、删除 VLAN 及其它一些对整个 VTP 域的配置参数，同步本 VTP 域中其它交换机传递来的最新的 VLAN 信息；client模式用于同步本 VTP 域中其他交换机传递来的 VLAN 信息，分支交换机设置为 client 模式。2. 配置中继（Trunk）配置中继，使 VTP 管理域能够覆盖所有的分支交换

30、机。Trunk 是一个在交换机之间、交换机与路由器之间传递 VLAN 信息和 VLAN 数据流的协议，将交换机之间直接相连的端口配置为 dot1q 封装，就可跨越交换机进行整个网络的 VLAN 设置。Core-SW (config-if)#switchport trunk encapsulation dot1qCore-SW(config-if)#switchport mode trunkCore-SW(config-if)#int fa 0/2Core-SW(config-if)#switchport trunk encapsulation dot1qCore-SW(config-if)#s

31、witchport mode trunkCore-SW (config-if)#int fa 0/3Core-SW(config-if)#switchport trunk encapsulation dot1qCore-SW(config-if)#switchport mode trunkCore-SW(config-if)#int fa 0/4Core-SW(config-if)#switchport trunk encapsulation dot1qCore-SW(config-if)#switchport mode trunkCore-SW(config-if)#int fa 0/5Co

32、re-SW(config-if)#switchport trunk encapsulation dot1qCore-SW(config-if)#switchport mode trunkCore-SW(config-if)#int fa 0/6Core-SW(config-if)#switchport trunk encapsulation dot1qCore-SW(config-if)#switchport mode trunk3. 创建vlan及端口划分在 VTP 属性为 server 的核心交换机上建立 VLAN信息，它就会通过 VTP 通告整个管理域中的所有的交换机。另外，在相应的交换

33、机上配置将各自的端口划入各个 VLAN。如2-1所示图2-1 vlan划分4. 配置IP为了实现 VLAN 间的三层交换，再给各 VLAN 分配相应的 IP 地址。采用分配静态 IP地址的方法，在核心交换机上设置如下：Core-SW(config-if)#int vlan 1Core-SW (config-if)#ip address 192.168.0.2 255.255.255.0Core-SW (config-if)#no shutCore-SW (config-if)#int vlan 2Core-SW(config-if)#ip address 192.168.1.2 255.255

34、.255.0Core-SW (config-if)#no shutCore-SW (config-if)#int vlan 3Core-SW(config-if)#ip address 192.168.2.2 255.255.255.0Core-SW (config-if)#no shutCore-SW (config-if)#int vlan 4Core-SW(config-if)#ip address 192.168.3.2 255.255.255.0Core-SW (config-if)#no shutCore-SW (config-if)#int vlan 5Core-SW(confi

35、g-if)#ip address 192.168.7.2 255.255.255.0Core-SW(config-if)#no shutCore-SW (config-if)#int vlan 6Core-SW(config-if)#ip address 192.168.8.2 255.255.255.0Core-SW (config-if)#no shut5. SW1开启路由中心交换机开启路由功能Core-SW(config)#int fa 0/1/关闭二层端口，配置IP地址Core-SW(config-if)#no switchport/三层端口，配置IPCore-SW(config-if

36、)#ip add 192.168.10.2 255.255.255.0Core-SW (config-if)#no shut/开启路由功能Core-SW (config)#ip routing/运行rip协议Core-SW (config)#router ripCore-SW (config-router)#ver 2Core-SW(config-router)#no auCore-SW (config-router)#net 192.168.1.0Core-SW(config-router)#net 192.168.2.0Core-SW(config-router)#net 192.168.

37、3.0Core-SW (config-router)#net 192.168.4.0Core-SW (config-router)#net 192.168.7.0Core-SW(config-router)#net 192.168.8.0Core-SW(config-router)#net 192.168.10.0（四） Server-SW配置1. 配置Server-SW中继（Trunk）Server-SW (config-if)#vtp xiaoyuanServer-SW (config-if)#vtp mode clientServer-SW (config-if)#int fa 0/1S

38、erver-SW(config-if)#switchport mode trunk2. Server-SW端口配置Server-SW (config-if)#int fa 0/2Server-SW(config-if)#switchport mode accessServer-SW(config-if)#switchport access vlan 2Server-SW(config-if)#int fa 0/3Server-SW(config-if)#switchport mode accessServer-SW(config-if)#switchport access vlan 2Serv

39、er-SW (config-if)#int fa 0/4Server-SW(config-if)#switchport mode accessServer-SW (config-if)#switchport access vlan 2Server-SW(config-if)#int fa 0/5Server-SW(config-if)#switchport mode accessServer-SW(config-if)#switchport access vlan 2Server-SW(config-if)#int fa 0/6Server-SW (config-if)#switchport

40、mode accessServer-SW(config-if)#switchport access vlan 2（五） 配置学生宿舍交换机Student-SW(config)#vtp domain xiaoyuanStudent-SW (config)#vtp mode clientStudent-SW (config)#int fa 0/1Student-SW(config-if)#switchport trunk encapsulation dot1qStudent-SW(config-if)#switchport mode trunkStudent-SW(config)#int fa 0

41、/2Student-SW(config-if)#switchport mode accessStudent-SW(config-if)#switchport access vlan 3三、 路由器配置防火墙路由器在网络中实现内外网转换，即校园网内所有主机要访问外网必须要经过所有地址转换。路由器一个端口采用s端口，一个是千兆以太网链路。路由器通过动态链路与外网202.10.0.0/24相连，通过千兆以太网链路与内网192.168.10.0/16相连。（一） 基本IP设置Border-R (config)#interface FastEthernet0/0Border-R(config-if)#i

42、p address 192.168.10.1 255.255.255.0Border-R(config)#interface Serial2/0Border-R(config-if)#ip address 202.10.0.2 255.255.255.0（二） NAT设置Border-R(config-if)#int s2/0Border-R(config-if)#ip nat outsideBorder-R(config)#int fa 0/0Border-R (config-if)#ip nat insideBorder-R (config)#router ripBorder-R(conf

43、ig-router)#version 2Border-R(config-router)#no auBorder-R(config-router)#default-information originateBorder-R(config-router)#network 192.168.10.0Border-R (config-router)#network 202.10.0.0Border-R (config)#acc 1 per 192.168.0.0 0.0.0.255Border-R(config)#ip nat ins so list 1 int s2/0 overload（三） 校园网

44、边界路由器配置Border-R (config)#int fa 0/0Border-R (config-if)#ip add 192.168.10.1 255.255.255.0Border-R (config-if)#no shutBorder-R(config)#int s2/0Border-R (config-if)#ip add 202.1.1.1 255.255.255.0Border-R (config-if)#no shutBorder-R(config)#router ripBorder-R (config-router)#ver 2Border-R(config-router

45、)#no auBorder-R(config-router)#net 192.168.10.0Border-R (config-router)#default-information originate（四） 通过NAT技术实现内网访问internetBorder-R (config)#access-list 1 permit 192.168.1.0 0.0.0.255Border-R (config)#access-list 1 permit 192.168.2.0 0.0.0.255Border-R (config)#access-list 1 permit 192.168.3.0 0.0

46、.0.255Border-R (config)#access-list 1 permit 192.168.4.0 0.0.0.255Border-R (config)#access-list 1 permit 192.168.7.0 0.0.0.255Border-R (config)#access-list 1 permit 192.168.8.0 0.0.0.255Border-R (config)#access-list 1 permit 192.168.10.0 0.0.0.255Border-R (config)#int s2/0Border-R (config-if)#ip nat

47、 outsideBorder-R(config)#int fa 0/0Border-R (config-if)#ip nat inside Border-R(config-if)#endBorder-R (config)#ip route 0.0.0.0 0.0.0.0 s2/0 （五） 显示路由表Border-R#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF int

48、er area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route

49、Gateway of last resort is 0.0.0.0 to network 0.0.0.0R 192.168.1.0/24 120/1 via 192.168.10.2, 00:00:16, FastEthernet0/0R 192.168.2.0/24 120/1 via 192.168.10.2, 00:00:16, FastEthernet0/0R 192.168.3.0/24 120/1 via 192.168.10.2, 00:00:16, FastEthernet0/0R 192.168.7.0/24 120/1 via 192.168.10.2, 00:00:16,

50、 FastEthernet0/0R 192.168.8.0/24 120/1 via 192.168.10.2, 00:00:16, FastEthernet0/0C 192.168.10.0/24 is directly connected, FastEthernet0/0C 202.1.1.0/24 is directly connected, Serial2/0S* 0.0.0.0/0 is directly connected, Serial2/0（六） 模拟ISP环境出口路由R2配置R2(config)#int s2/0R2(config-if)#ip add 202.1.1.2 2

51、55.255.255.0R2(config-if)#no shutR2(config-if)#clock rate 64000R2(config-if)#exitR2(config)#int fa 0/0R2(config-if)#ip add 10.1.1.1 255.255.255.0R2(config-if)#no shutR2(config-if)#exit四、 服务器配置（一） DHCP服务器配置DHCP服务器的IP配置如下图4-1所示图4-1 DHCP服务器的IP配置（二） WWW服务器配置www服务器的IP配置如下图4-2所示图4-2 WWW服务器配置（三） DNS服务器配置DN

52、S服务器配置如下图4-3所示图4-3 DNS服务器配置（四） FTP 服务器配置FTP服务器配置如下图4-4所示图4-4FTP服务器配置五、 网络安全控制校园网络安全问题是网络建设的重点之一，本次设计中采用边界路由、核心交换机在内的二层安全防御。第一层保护有边界路由实现。选用具有防火墙功能的 Cisco 路由器，路由器上配置访问控制列表，通过访问规则，控制和过滤经过路由器的数据流，隔离外网和内网，防止外部用户对内部网络不安全的访问，可有效防止各服务器受到来自外部的破坏。第二层防护由核心交换机提供。核心交换机上部署防火墙模块，可有效地防止内部攻击。（一） 访问控制表1. 防止病毒传播和黑客攻击目

53、前，大多数园区网用户使用的是微软操作系统，一些病毒程序或漏洞扫描软件通过UDP 端口 135、137、138、1434 和 TCP 端口 135、137、139、445、593、1434、2500、4444、5554、5800、5900、6346、6667、9393、9995、9996 等进行病毒传播和攻击，可通过设置如下访问控制列表阻止病毒传播和黑客攻击。防病毒的ACL一般应用在接入层的设备上，下面以配置SW3学生宿舍交换机的ACL为例。Student-SW (config)#access-list 101 deny tcp any any eq 135Student-SW (config)

54、#access-list 101 deny tcp any any eq 137Student-SW(config)#access-list 101 deny tcp any any eq 139Student-SW(config)#access-list 101 deny tcp any any eq 445Student-SW (config)#access-list 101 deny tcp any any eq 593Student-SW(config)#access-list 101 deny tcp any any eq 1434Student-SW(config)#access-

55、list 101 deny tcp any any eq 2500Student-SW (config)#access-list 101 deny tcp any any eq 4444Student-SW(config)#access-list 101 deny tcp any any eq 5554Student-SW (config)#access-list 101 deny tcp any any eq 5800Student-SW(config)#access-list 101 deny tcp any any eq 5900Student-SW (config)#access-li

56、st 101 deny tcp any any eq 6346Student-SW(config)#access-list 101 deny tcp any any eq 9393Student-SW(config)#access-list 101 deny tcp any any eq 9995Student-SW (config)#access-list 101 deny tcp any any eq 9996Student-SW (config)#access-list 101 deny udp any any eq 135Student-SW (config)#access-list

57、101 deny udp any any eq 137Student-SW(config)#access-list 101 deny udp any any eq 138Student-SW(config)#access-list 101 deny udp any any eq 445Student-SW(config)#access-list 101 deny udp any any eq 1434Student-SW (config)#access-list 101 deny udp any any eq tftpStudent-SW (config)#access-list 101 pe

58、rmit ip any any/再将该访问列表应用到端口或 VLAN 中，在入和出双向上启动该列表Student-SW (config)#int fa0/0Student-SW(config)#ip access-group 101 outStudent-SW (config)#int s2/0Student-SW (config)#ip access-group 101 in2. 对服务器群的服务进行控制网内有各种各样的应用服务器，如 WWW 服务器、DNS 服务器、FTP服务器等，为了便于管理，这些服务器都被划分 VLAN2 中，成为服务器群。但是这些服务器正是受攻击的重点，所以必须关闭一

59、些不需要的端口，只开放和该服务器相关的端口。使数据包在没有到达服务器前已被交换设备过滤掉，使服务器群安全得到保障，服务器安全的ACL也一般应用在服务器的介入交换机上，具体配置如下：/WWW 服务器Server-SW (config)#access-list 102 permit tcp any host 192.1681.3 eq www/DNS 服务器Server-SW (config)#access-list 102 permit tcp any host 192.168.1.5 eq domain/FTP 服务器Server-SW (config)#access-list 102 per

60、mit tcp any eq ftp 192.168.1.6这些ACL控制了哪些端口的是否允许访问，当你做了应用ACL到接口后，该sw将会根据配置限制和访问。（二） 小结本章针对非授权用户、非法访问网络用户的网络入侵及网络安全通信等问题，着重说明了访问控制表的正确配置。计算机网络安全与防护实际上是入侵与反入侵的动态对抗过程，任何计算机网络安全方案都不可能达到一劳永逸的效果，因此应该在实际工作和学习中去不断更新和完善网络安全措施。六、 验证测试Packet Tracer 是由Cisco公司发布的一个辅助学习工具，为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软

61、件的图形用户界面上直接使用拖曳方法建立网络拓扑，并可提供数据包在网络中行进的详细处理过程，观察网络实时运行情况。可以学习IOS的配置、锻炼故障排查能力。图5-1 www服务器ping DHCP服务器图5-2 PC端ping FTP服务器图5-3测试WWW服务器图5-4PC3ping服务器图5-5 PC3 打开校园网图5-6 PC3测试FTP服务图5-7 PC2 ping通服务器群图5-8 PC2 ping通模拟外网服务器总结与展望本文虚拟设计一所学校的校园网工程，范围主要为包括办公楼、图书室、住宿楼及实验楼在内的局域网部分。根据校园的整体的网络架构，使这复杂的网络高速、安全地通信，对复杂网络应用的一体化解决方案。本毕业设计从校园网的建设思想、目标设备配置等多方面的论述，它的所用到的各种技术是多方面的，即有网络技术、工程技术，也有安全制度等各个方面的知识。网络技术的发展是永无止境的，在前进的过程中必将有更多的知识需要我们去学习与研究，并能将其应用到实际的网络工程建设之中。由于校园网功能齐全，技术含量高，接触面广，在网络设计、规