2010校园网规划与设计 毕业论文

《2010校园网规划与设计 毕业论文》由会员分享，可在线阅读，更多相关《2010校园网规划与设计 毕业论文（33页珍藏版）》请在装配图网上搜索。

1、毕 业 论 文课课 题题: 校园网规划与设计校园网规划与设计 班班 级级: 网络网络 101 姓姓 名名: 龙会松龙会松 指导教师：指导教师： 薛志良薛志良 完成日期：完成日期： 2012 年年 12 月月 30 日日 摘要摘要校园计算机网络的建设已成为学校建设中，上档次、上规模的一个重要标志。目前在各高等院校甚至在很多中学都已建立了自己的校园网，一些学校已开始将网络节点延伸至学生寝室，即将校园网面向学生全面开放，使得学校校园网真正在教学科研及管理等各方面起到重要的作用。近年来中国大步跨入了信息化社会，校园网是 Intranet/Interner 技术在教育机构的一个应用。它是指在学校范围内，

2、在一定的教育思想和理论指导下，为学校教学，科研和管理等教育提供资源共享，信息交流和协同工作的计算机网络。校园网是基于 Intranet/Interner 技术发展起来的，在功能应用上和 Internet 大体上相同，都能够实现以下的功能：Wed 信息发布和获取、目录服务、电子邮件、安全性管理、广域网络互联、文件、打印共享和网络管理等。因此每个校园网的设计、建设都要经过周密的论证、谨慎的决策和紧张的施工。现在就某学院重新进行网络设计，涉及主要有以下方面到综合布线、无线网辅助有线网的设计、网络设备的选型、vlan 的划分、交换机的配置等等。从实用的角度出发，依拓网络拓扑结构，对学园网络规划与设计进

3、行了深入的分析，本文主要对校园网的网格设备的选型、vlan 的划分和交换机的配置以及综合布线等四个方面展开分析。关键词：关键词：校园网；vlan 划分；交换机的配置；网络设备选型 目录目录第第 1 1 章章 校园网概述校园网概述 .1 1第第 2 2 章章 校园网的需求分析校园网的需求分析 .3 3需求分析.3网络层次分析.3第第 3 3 章章 校园网设计方案校园网设计方案 .5 5总体设计方案.53.2 网络设备选型.5信息点的分析.7校园网拓扑结构设计.83.5 IP 地址分配与 VLAN 的划分 .8第第 4 4 章章 交换机模块设计交换机模块设计 .1010接入层交换机的配置.10汇聚

4、层交换机的配置.12核心层交换机的配置.14第第 5 5 章章 广域网接入模块配置广域网接入模块配置 .1717配置边界路由器的基本参数.17配置边界路由器的各接口参数.17配置边界路由器的路由功能.18配置边界路由器上的 NAT .18配置边界路由器上的访问控制列表.19配置身份认证.20防火墙的介绍.21第第 6 6 章章 服务器群设计服务器群设计 .23236.1 DNS 服务器 .236.2 WEB 服务器 .24文件传输服务（FTP）.256.4 DHCP 服务器 .26第第 7 7 章章 系统测试系统测试 .27277.1 WEB 服务器测试 .277.2 FTP 服务器测试 .2

5、77.3 DHCP 服务器测试 .27课程设计总结课程设计总结 .2929参考文献参考文献 .3030第第 1 章章 校园网概述校园网概述Internet 技术的发展，推动人们从各个角度去研究计算机网络，以使之在各个领域得到广泛、成功的应用。校园网的概念是指大、中、小学教育单位的网络，它以应用为目的，基于 Internet/Intranet 技术的计算机网络和它的使用者以及相关规章制度的集合。校园网是利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件，将校园内计算机、计算机教室和各种终端设备有机地集成在一起，并用于教学、教科研、学校管理、信息资源共享和远程教学等方面工作

6、的计算机局域网络系统。校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。校园网建设的必要性：在我国，学校是处于影响整个社会深刻变革的中心地位，所以是否在学校采用最先进的信息和传播技术是一个有决定性意义的问题。随着计算机多媒体和网络技术的不断发展与普及，校园网信息系统的建设，是非常必要的，也是可行的。主要表现在：1、当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段，发展对学校教育现代化的建设提出了越来越高的要求。2、教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。个人

7、是否具有获得信息和处理信息的能力对于能否成功进入职业界和融入社会都是个决定性的因素,因此学校应该培养所有学生具有驾驭和掌握这种技术的能力。另一方面,信息技术在作为青少年教育工具的同时也向青少年提供了前所未有的机会。新技术提供的机会以及它们在教学方面具有的优势都是很多的,特别是计算机和多媒体系统的使用有助于个人化的道路,每个学生在个人的学习道路上都可以按照自己的速度发展。3、我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络上运。行的软件及多媒体系统，并且越来越形象化、实用化，迫切需要网络环境。4、现代教育改革的需要。在校园网中将计算机引入教学各个环节，从而引起

8、了教学方法、教学手段、教学工具的重大革新。对提高教学质量，推动我国教育现代化的发展起着不可估量的作用。网络又为学校的管理者和老师提供了获取资源、协同工作的有效途径。毫无疑问,校园网是学校提高管理水平、工作效率、改善教学质量的有力手段,是解决信息时代教育问题的基本工具。5、我们认为，随着时代的进步、科技的发展，在现代化信息技术管理上，学校将面临新的挑战。为了提高学校自身的现代化管理水平，丰富教学方法和手段，提高工作效率，及时掌握各种相关信息，提高处理各种业务及突发事件的能力，加强管理，拥有现代化信息技术手段，利用计算机网络与通信技术，全面、迅速、准确地掌握信息，已成为学校内部管理和教学业务处理的

9、迫切需要。第第 2 章章 校园网的需求分析校园网的需求分析作为校园网建设，不但要满足现有的校园网需求，而且要考虑到将来的整体需求，因而要从下面几个方面来考虑校园网建设的整体需求：1、网上数据流特点：大学校园网具有网络互联的广泛性和使用多样性等特点，广播包将对数据流产生较大的影响，校园网的数据并发性，一般是呈现波峰波谷的，绝大多数情况下，存在高并发性访问的因素，除了周末或者夜间学生晚自修之后的时间，某些特殊的应用也有可能对负荷有突发要求，如使用空间数据，大范围数据搜索，视频方面的应用等，这些突发的负荷有相当一部分转移到应用设备上。这些流量的转移对于网络设备提出了较高的要求，必须要求核心（汇聚）设

10、备均支持万兆技术。2、校园网主干需要的数据流量：网络主干流量的是基于业务工作在网上展开的情况分析，实际上对网络流量的需求是逐步提升的，特别是要协同体系出现后，干道的流量会大量的增加。考虑到信息点同时在线的收敛比，本网络已经具备极高的伸缩能力，以满足其很强的扩展性要求。3、网络流量分析：根据的业务，每位学生主要需求占用的带宽为：视频流、数据、语音、图形、等。考虑应用上某些并发的排斥特点，以及网络应用环境对通畅性的要求，一般每位学生占用的平均实际网络带宽约为 1M 左右即可以完全满足以上需求，在满足网络在有收敛比的情况下的带宽要求；这就要求汇聚、核心设备均具备万兆智能能力。1、核心层需求分析在校园

11、网核心层设备担负着连接各个汇聚设备的工作，同时通过设备的互联，将分布在各物理位置的区域网络连接在一起形成一套完整的网络。核心层设备担负着整个网络的流量。骨干设备和链路的稳定性将直接影响整个网络的可靠运行。由于骨干设备在网络核心层中，需要高性能、冗余备份，所以采用链路聚合技术。完成网络骨干层高速数据交换、转发以及稳定性的要求。骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种业务的高质量传输，才能使网络不成为业务开展的瓶颈。2、汇聚层分析(1) 高速运送区域流量，主要工作是交换区域数据包。(2) 高可靠性及冗余性。(3) 提供故障隔离。(4) 较少的时延和好的可

12、管理性。(5) 良好的路由交换能力。(6) 良好的区域汇聚能力。(7) 良好的万兆能力。要求汇聚设备必须是纯千兆的高性能交换机；在校园网中汇聚设备担负着网络接入层和骨干设备的连接，网络汇聚层有着承上启下的重要任务。汇聚设备不但要完成接入层的链路汇聚和流量汇聚还要完成本地数据的交换以及接入和骨干之间的数据转发。作为骨干层的入口和接入层的出口，汇聚层的身份如同关卡。为保证整个网络良好运行在汇聚层同样需要高性能、关键部件冗余等特性。3、接入层分析接入层在整个网络的边缘，学生通过接入设备接入网络。为保证整个网络安全高效的运行，作为网络的入口接入设备的智能识别是一项重要的功能。第第 3 章章 校园网设计

13、方案校园网设计方案1、设计目标建成一个具有高可靠性和开放性的校园网络，它应支持流行的 SNMP 等网络管理协议；采用 Internet 上的标准协议-TCP/IP 协议，提供校园内部及面向全球的WWW 服务、FTP 服务、电子邮件服务，实现与国际互联网的完全接轨；同时它还应具有支持通用大型数据库的功能，支持多种协议，具有良好的软件支持；采用模块化结构设计，容易升级；还应针对学校的教学特点，具有一些基本的教学功能，以完成学校的基本教学任务。2、设置原则（1）度身定制：对用户的需求进行了定量分析。站在用户的立场上，为用户“度身定制”出网络方案。本着实用的原则，尽量使用成熟先进的平台软件，以缩短教学

14、课件的开发周期。（2）素质教育与先进技术的完美结合：采用先进成熟的技术和分布式的结构，以便于开发和维护；采用集群解决方案，以保证连续工作；为保证网络速度而采用高的带宽等，真正实现了“现代化素质教育与 Intel 先进技术的完美结合” 。（3）校园网对网络设备的要求：采用 Intel 全线产品，高性能、高可靠性和高可用性、可管理性、采用国际统一的标准。（4）可扩展性：考虑现有网络的平滑过度，使学校现有陈旧设备尽量保持较好的利用价值；选用产品应具有最佳性价比，又要应充分考虑未来可能的应用，具有高扩展性。3.2 网络设备选型网络设备选型网络设备的选型是网络运行性能和售后服务的关键，对于设备选型基于以

15、下几点考虑：首先，网络中心的中心设备，承担着整个网络性能好坏的关键，我建议选用比较高档的中心设备，既能保证满足服务的需要，不会出现广播风暴或通信瓶颈问题；又能保证几年之内设备不会过时。其次，选择品牌时考虑比较多的是：生产厂商的可靠性和稳定性、技术领先性和成熟性、设备的完整系列性、设备的可升级性、是否具备完善的售后服务体系来支持用户的应用、是否为主流产品（这将决定用户接收产品熟悉产品的成本和产品的通用性） 、在国内是否有比较完备的备件库和维护维修能力、其安全性是否适合用户的要求。在本方案中，使用的是锐捷的网络产品作为网络的中心交换、路由和分支交换设备，下面介绍产品：1、锐捷 RG-R3642 路

16、由器: 采用模块化设计，提供了多个网络/语音模块插槽，支持种类丰富、功能齐全、高密度的网络/语音模块，可实现更多的组合应用。支持IPv4/IPv6，VoIP 特性等，提供丰富的备份方案及 QoS 特性；硬件采用模块化结构，具有更高的处理能力和更大的接入密度。远远高于业界同等档次的产品如表 3-1 所示。表表 3-1 路由器选型路由器选型设备名称路由器类型商家报价局域网接口网络认证标准锐捷 RG-R3642模块化路由器21890 至 22606 元2 个 10/100M 快速以太网口PAP, CHAP, AAA, Radius2、锐捷 RG-S3760-24 核心层交换机：为大型网络汇聚和中型网

17、络核心提供了IPv4/IPv6 的多层交换、端到端的服务 RG-S3760 系列交换机硬件支持 IPv4/IPv6 双协议栈多层线速交换和功能特性，为 IPv6 网络之间的通信提供了丰富的 Tunnel 技术，并提供了丰富而完善的路由协议，以适合大型网络多种路由和多业务的需要如表 3-2所示。表表 3-2 核心层交换机选型核心层交换机选型设备名称应用类型商家报价背板带宽(Gbps)传输速率(Mbps)固定端口数锐捷 RG-S3760-24工作组交换机25000 元至27000 元10/100/1000283、锐捷 STAR-S2126G 汇聚层交换机以极高的性价比为各类型网络提供完善的端到端的

18、 QoS 服务质量、灵活丰富的安全策略管理和基于策略的网管，最大化满足高速、安全、智能的企业网新需求如表 3-3 所示。 表表 3-3 汇聚层交换机选型汇聚层交换机选型设备名称应用类型报价背板带宽接口数量插槽数锐捷 STAR-S2126G汇聚层交换机4000 元24 个2 个4、锐捷 RG-S1824GT 接入层交换机服务于大中型企业网络、校园网络、网吧和宽带社区等多种高速数据传输应用场合 RG-S1824GT 具有 24 个 10/100/1000Mbps 自适应 RJ45 的交换端口，所有端口可以根据连接的设备，自动将连接速度和工作模式调整到需要的方式，而无须更改网络结构如表 3-4 所示

19、。表表 3-4 接入层交换机选型接入层交换机选型设备名称应用类型传输速率接口数量锐捷 RG-S1824GT接入层交换机10/100/1000Mbps245、在防火墙方面则使用 CISCO ASA5505-SEC-BUN-K9 防火墙Cisco ASA 5500 系列在一个平台中有力地提供了多种已经获得市场验证的技术，无论从运营角度还是从经济角度看，都能够为多个地点部署各种安全服务。经过市场验证的安全与 VPN 功能 - 全特性、高性能的防火墙，入侵防御系统 (IPS), Anti-X和 IPSec/SSL VPN 技术提供了强大的应用安全性、基于用户和应用的访问控制、蠕虫与病毒防御、恶意软件防

20、护、内容过滤以及远程用户/站点连接如表 3-5 所示。表表 3-5 防火墙选型防火墙选型设备名称商家报价并发连接数网络吞吐量内存容量过滤带宽Cisco ASA 55008000 元左右25000150Mbps256MB100Mbps分析分析1、信息点分布 经过调查我们学校拥有办公楼 2 栋，实验楼 2 栋，图书馆 1 处，教学楼 5 栋，学生宿舍楼 9 栋，网络中心 1 处如表 3-6 所示。表表 3-6 信息点分布信息点分布大楼楼栋数科室信息点(个)信息点合计(个)教务处20财务处15后勤部22办公楼2招生就业1875软件机房4实验楼2网络机房615校园网拓扑结构设计校园网拓扑结构设计1、拓

21、扑结构设计根据校园网需求和信息点调查结果绘制出拓扑结构图，如图 3-7 所示。SiSiSiSi办公楼实训楼图书馆教学楼宿舍楼教务处图书室财务处后勤部招生就业实训楼1实训楼2阅览室9号公寓8号公寓2号公寓1号公寓J1J5多媒体教室会议室Internet核心层汇聚层接入层1000Mb/s100Mb/sCoreSwitch ACoreSwitch BSwitch100Switch100Switch400Switch300Switch200图 3-7 拓扑结构图 IP 地址分配与地址分配与 VLAN 的划分的划分 1、IP 地址的分布根据信息点调研得出 IP 地址的分布表如表 3-8 所示。计算机应用

22、机房5图书室5图书楼1阅览室510教室6060教学楼5多媒体教室8080男生公寓800宿舍楼9女生公寓4001200网络中心1DMZ 区1010总计 1450表表 3-8 IP 地址的分布地址的分布项目子网范围IP 地址范围子网掩码内部 IP 地址-外部 IP 地址-DNS（首选）210.53.31.2（备选）服务器 IP-办公楼 IP-实验楼 IP-图书楼 IP-教学楼 IP-宿舍楼 IP-2、VLAN 的划分与描述根据学校的应用类型，每个网段都划分了 VLAN。分 VLAN 在一定程度上可以提高网络的安全性，防止网段上无效的广播包的传播，还可以增加网络弹性，并降低成本易于管理 VLAN 分

23、布如表 3-9 所示。表表 3-9 VLAN 的划分的划分设备管理 IPVLAN 号VLAN 名称RG-S1824GT教务处vlan2JWCRG-S1824GT财务处vlan 3CWCRG-S1824GT后勤部vlan 4HQBRG-S1824GT招生就业vlan 5ZSJYRG-S1824GT软件机房vlan 6RJJFRG-S1824GT网络机房vlan 7WLJFRG-S1824GT普通机房vlan 8PTJFRG-S1824GT阅览室vlan 10YLXRG-S1824GT阅览室vlan 10YLXRG-S1824GT多媒体教室1.1/24vlan 11DMTJSRG-S1824GT学

24、生宿舍vlan 12- vlan 200第第 4 章章 交换机模块设计交换机模块设计接入层为所有的终端用户提供一个接入点。这里的接入层交换机采用的是 RG-S1824GT 24 口交换机。交换机拥有 24 个 10/100Mbps 自适应快速以太网端口。我们以图 4-1 中的接入层交换机 Switch1 为例进行介绍如图 4-1 所示。图 4-1 接入层1、设计交换机的名称也就是出现在交换机 CLI 提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要 Telnet 登录到若干台交换机以维护一个大型网络时，通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。这里是

25、用Switch1 作为名称。命令如下：Switch(config)#hostname switch12、设置登录虚拟终端线时的口令对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理人员提供了很多的方便。但是，出于安全的考虑，在能够远程管理交换机之前网络管理人员必须设置远程登录交换的口令。下面我将口令设置为 mima。命令如下：Switch1(config)#linc vty 0 15Switch1(config-linc)#loginSwitch1(config-linc)#password mima3、设置接入层交换机 Switch1 的管理 IP、默认网关给交换机设置管理用

26、IP 地址只能在 VLAN1 ，即本征 VLAN 中进行。管理VLAN /24 ，这里将接入层交换机 Switch1 的管理 IP/24 如下命令所示，显示了为接入层交换机 Switch1 设置管理 IP 并激活本征 VLAN。为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关地址 172.16.2.254。命令如下：Switch1(config)#interface vlan 1 /进入 vlan 1Switch1(config-if)#ip address 172.16.2.1 255.255.255.0 /划分 IP 地址Switch1(config-if)#no shut

27、downSwitch1(config-if)#exitSwitch1(config)# ip default-gateway 172.16.2.254 /默认路由4、配置接入层交换机 Switch1 的 VLAN VLAN（Virtual Local Area Network，虚拟局域网）技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个 LAN 划分成多个逻辑的 LANVLAN，每个 VLAN 是一个广播域，VLAN 内的主机间通信就和在一个 LAN 内一样，而 VLAN 间则不能直接互通，这样，广播报文被限制在一个 VLAN 内。Switch1(conf

28、ig)#int vlan 2 Switch1(config-vlan)#name JWC /给 vlan 命名Switch1(config-vlan)#exitSwitch1(config)#interface range fastethernet 0/1-20 /进入接口Switch1(config-range-if)#switchport mode access /把端口加入到 vlanSwitch1(config-range-if)#switchprot access vlan 25、配置接入层交换机 Switch1 端口基本参数及访问的端口（1）设置接入层交换机 Switch1 的所有

29、端口均工作在全双工模式及所有端口的速度均为 100Mbps。命令如下：Switch1(config)#interface range fastethernet 0/1-24Switch1(config-if-range)#duplcx fullSwitch1(config-if-range)# speed 100 /设置端口速度（2） 配置接入层交换机 Switch1 的访问端口接入层交换机 Switch1 为终端用户提供接入服务。接入层交换机 Switch1 为 VLAN 2 提供接入服务。设置接入层交换机 Switch1 的端口 120 为 VLAN 2 的成员及将其设为快速端口命令如下：

30、Switch1(config)#Interface range fastethernet 0/1-20 /进入端口 1-20Switch1(config-if-range)#switchport mode access /将交换机端口转换为 ACCESSSwitch1(config-if-range)#switchport access vlan 2 /将端口划分到 vlan 2Switch1(config-if-range)#spanning-tree portfast（3）配置接入层交换机 Switch1 的主干道端口如图所示，接入层交换机 Switch1 通过端口 FastEtherne

31、t 0/24 上连到汇聚层交换机。将该端口设为 trunk 模式Switch1(config)#Interface fastethernet 0/24 /进入端口 24Switch1(config-if)switchport mode trunk /设置 trunk接入层剩下的交换机除了对应的 VLAN、端口、管理 IP 不同，其它配都是一样的。汇聚层是为整个交换网络提供 VLAN 间的路由选择功能。这里的汇聚层交换机采用的是 RG STAR-S2126G 交换机。作为 3 层交换机，RG STAR-S2126G 交换机拥有 24 个 10/100Mbps 自适应快速以太网端口，同时还有 2

32、个 1000Mbps 的 GBIC 端口供上连使用，我们以图 4-2 汇聚层交换机 Switch100 为例进行介绍。图 4-2 汇聚层交换机 Switch1001、配置汇聚层交换机 Switch100 的基本参数配置命令如下：Switch(config)#hostname Switch100/给交换机命名为 Switch100Switch100(config)#enable secret mima /设置 enable 密码Switch100 (config)#line con 0 Switch100 (config-line)#line vty 0 15 /设置 vtySwitch100

33、(config-line)#password abc /远程登录密码Switch100 (config-line)#loginSwitch100 (config-line)#exit2、配置汇聚层交换机 Switch100 的管理 IP、默认网关 如下命令所示，显示了为汇聚层交换机 Switch100 设置管理 IP 并激活本征 VLAN。同时，还设置了默认网关的地址。Switch100(config)#interface vlan 1 /进入 vlan1Switch100(config-if)#ip address 172.16.1.100 255.255.255.0 /分配地址Switch

34、100(config-if)#no shutdownSwitch100(config-if)#exitSwitch100(config)#default-gateway 172.16.1.254 /设置静态路由3、在汇聚层交换机 Switch100 上定义 VLAN 及 VLAN IP 地址这本校园网中，由于宿舍楼 VLAN 定义过多，这在里就不一一划分了。下面将其它各个科室部门 VLAN 划分出来。Switch100(config)#vlan 2 /划分 vlanSwitch100(config-vlan)#name JWC /给 vlan 命名Switch100(config-vlan)#

35、ip address 172.16.2.254 255.255.255.0 /划分 IP 地址和子网掩码Switch100(config-vlan)#no shutdownSwitch100(config)#vlan 3 /划分 vlanSwitch100(config-vlan)#name CWC /给 vlan 命名Switch100(config-vlan)#ip address 172.16.3.254 255.255.255.0 /划分 IP 地址和子网掩码Switch100(config-vlan)#no shutdownSwitch100(config)#vlan4 /划分 vl

36、anSwitch100(config-vlan)#name HCB /给 vlan 命名Switch100(config-vlan)#ip address 172.16.4.254 255.255.255.0 /划分 IP 地址Switch100(config-vlan)#no shutdown其他交换机配置命令相同。4、配置汇聚层交换机 Switch100 的端口参数汇聚层交换机 Switch100 端口参数如下命令所示Switch100(config)#interface range fastethernet 0/1-4Switch100(config-if-range)#switchpo

37、rt mode trunk /端口 trunkSwitch100(config-if-range)#exitSwitch100(config)#interface range fastethernet 0/10-11Switch100(config-range-if)#switchport mode trunk /端口 trunkSwitch100(config-range-if)#witchport trunk allowed vlan all5、配置汇聚层交换机 Switch100 的 STP 协议Switch100(config)#spanning-tree mode rstpSwitc

38、h200- Switch600 的配置步骤、命令。Switch(config)#hostname Switch600Switch100(config)#enable secret mima /设置 enable 密码Switch100 (config)#line con 0Switch100 (config-line)#line vty 0 15 /设置 vtySwitch100 (config-line)#password abc /远程登录密码Switch100 (config-line)#loginSwitch100 (config-line)#exit核心层是将汇聚层交换机互连起来进行

39、穿越园区网骨干的高速数据交换。这里我们以图 4-3 中的核心层交换机 CoreSwitchA 为例进行介绍。如图 4-3 所示：图 4-3 核心层交换机1、配置核心层交换机 CoreSwitchA 的基本参数及管理 IP 和默认网关CoreSwitchA (config)#line con 0CoreSwitchA (config-line)#logging synchronous CoreSwitchA (config-line)#exec-timeout 5 30CoreSwitchA (config-line)#password abc /线路密码以及交换机登录密码CoreSwitchA

40、 (config-line)#loginCoreSwitchA (config-line)#exec-timeout 5 30 CoreSwitchA (config-line)#exitCoreSwitchA(config)#interface vlan 1CoreSwitchA(config-if)#ip address 172.16.1.1 255.255.255.0 /给 vlan1 分配 IP地址和子网掩码CoreSwitchA(config-if)#no shutdownCoreSwitchA(config-if)#exitCoreSwitchA(config)#ip defaul

41、t-gateway 172.16.1.254 /设置网关2、配置核心层交换机 CoreSwitchA 的 VLAN 在本实例中，核心层交换机 CoreSwitchA 前面的 VLAN 配置就跟汇聚层交换机Switch100 类似，这里就再不重复了。核心层交换机是与路由器相连的设备，因为没有路由器接口，所以要划分一个特定的 VLAN 跟路由器通信，这里用 VLAN 199 。如下命令所：CoreSwitchA(config)#vlan 199CoreSwitchA(config)#interface vlan 199CoreSwitchA(config-if)#ip address 172.16

42、.199.1 255.255.255.0 /进入 vlan199 分配IP 地址和子网掩码CoreSwitchA(config-if)#no shutdownCoreSwitchA(config-if)#exit3、配置核心层交换机 CoreSwitchA 的端口参数在这里端口 F0/3-8 因为有多个 VLAN 信息的交换，所以将其设为 trunk 模式。F0/1 则是与路由器的相连的端口，将其设为 Access 口划分到 VLAN 199。F0/2 连接的是服务器群，设为 Access 即可。F0/23-24 是跟另一台核心层交换机相连的，为了提供主干道的吞吐量以及实现冗余而设计的，在本设

43、计中，我们采用的是链中聚合技术，将核心层交换机 CoreSwitch 的千兆端口 F0/23、F0/24 聚合在一起实现 2000Mbps 的千兆以太网信道。CoreSwitchA(config)#interface range fastethernet 0/3-8 /选择多个端口CoreSwitchA(config-rang-if)#switchport mode trunk /设置 trunkCoreSwitchA(config-rang-if)#switchport trunk allowed vlan all /trunk 全部 vlanCoreSwitchA(config-rang-

44、if)#exitCoreSwitchA(config)#interface fastethernet 0/1 /进入端口CoreSwitchA(config-if)#switchport mode access CoreSwitchA(config-if)#switchport access vlan 199 /把端口划分到 vlan199CoreSwitchA(config-if)#exitCoreSwitchA(config)#interface aggrete port 1CoreSwitchA(config-if)#switchport mode trunk /设置 trunkCore

45、SwitchA(config-if)#exitCoreSwitchA(config)#interface range fastethernet 0/23-24 /进入端口 23 24CoreSwitchA(config-rang-if)#port-group 1 /端口聚合CoreSwitchA(config-if)#exit4、配置核心层交换机 CoreSwitchA 的路由功能核心层交换机 CoreSwitchA 通过端口 FastEthernet 0/1 同广域网接入模块（Internet 路由器）相连。因此，需要启用核心层交换机的路由功能。同时，还需要定义通往 Internet 的路由

46、。这里使用了一条缺省路由命令。其中，下一跳地址是 Internet 接入路由器的快速以太网接口 FastEthernet 1/0 的 IP 地址。CoreSwitchA(config)#ip routingCoreSwitchA(config)#ip route 为了使内部的的 Vlan 信息进行通信，配置 RIP 路由协议，这在里就不将所有的Vlan 都配置出来了，只是典型的配几个。CoreSwitchA(config)#router rip /设置默认理由CoreSwitchA(config-router)#version 25、配置核心层交换机 CoreSwitchA 的 STP 协议

47、CoreSwitchA (config)#spanning-tree mode rstp对于核心层交换机 CoreSwitchB 的配置步骤、命令和对核心层交换机 CoreSwitchA 的配置类似。这里，不再详细分析。第第 5 章章 广域网接入模块配置广域网接入模块配置 路由器基本参数的配置跟交换机也有点类似。这里，只给出实际的配置步骤，不再出给出具体的解释。首先看图 5-1 所示。图 5-1 路由器 RG-R3642配置命令如下：Router(config)#enable secret mima /设置 enable 密码Router(config)#line con 0Router(co

48、nfig-line)#logging synchronousRouter(config-line)#exec-timeout 5 30Router(config-line)#line vty 0 15 /设置 vtyRouter(config-line)#password abc /设置远程登录密码Router(config-line)#loginRouter(config-line)#exec-timeout 5 30Router(config-line)#exit1、对接入路由器 Router 的各接口参数的配置主要是对接 F0/0、F1/0 以及接口 Serial 2/0 的 IP 地址

49、、子网掩码的配置。配置命令如下：Router#configure terminalRouter(config)#interface fastethernet 0/0 /进入端口Router(config-if)#ip address 172.16.198.254 255.255.255.0 /划分 IP 地址和子网掩码Router(config-if)#no shutdown Router(config-if)#exitRouter(config)# interface fastethernet 1/0 /进入端口Router(config-if)# ip address 172.16.199

50、.254 255.255.255.0 /给端口划分 IP 地址和子网掩码Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#interface Serial 2/0 /进入端口Router(config-if)#ip address 202.103.100.1 255.255.255.0 /给端口划分 IP 地址和子网掩码Router(config-if)#no shutdownRouter(config-if)#clock rate 64000 /给路由器设置时钟Router(config-if)#end在接入路

51、由器 Router 上需要定义两个方向上的路由：到校园网内部的静态路由 以及到 Internet 上的缺省路由。到 Internet 上的路由需要定义一条缺省路由，如下命令所示。其中，下一跳指定从本路由器的接口 serial 0/0 送出。 Router(config)#ip route .0 0.0.0.0 serial 0/0 /设置默认路由由于目前 IP 地址资源非常稀缺，对不可能给校园网内部的所有工作站都分配一个公有 IP（Internet 可路由的）地址。为了解决所有工作站访问 Internet 的需要，必须使用 NAT（网络地址转换）技术。为了接入 Internet，本校园网向当地

52、 ISP 申请了10 个 IP 地址。其中一个 IP 被分配给了 Internet 接入路由器的串行接口，另外 9 个IP 地址：202.103.100.2 NAT。定义 NAT 内部、外部接口Router(config)#interface fastethernet 1/0Router(config-if)#ip nat inside /设置内部接口Router(config)#interface fastethernet 0/0Router(config-if)#ip nat inside /设置内部接口Router(config-if)#interface serial 2/0Route

53、r(config-if)#ip nat outside /设置外部接口 /定义 ISP 提供的外部 IP 地址池/定义允许进行 NAT 转换的内部 IP 地址范围Router(config)#ip nat inside source list 10 pool pan overload/为内部本地调用转换地址池路由器是外网进入校园网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表（Access Control List ，ACL ）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火

54、墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护。这里，在本实例中，我们将针对服务器以及内网工作站的安全给出广域网接入路由器 Router 上 ACL 的配置方案。在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该做以下的 ACL 设计：1、对外屏蔽远程登录协议 telnet 首先，telnet 是一种不安全的协议类型。用户在使用 telnet 登录网络设备或服务器

55、时所 使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。 其次，telnet 可以登录到大多数网络设备和 UNIX 服务器，并可以使用相关命令完全操纵它 们。这是极其危险的，因此必须加以屏蔽，如图所示，显示了如何对外屏蔽远程登录协议 telnet 。 Router(config)#access-list 101 deny tcp any any eq telent Router(config)# access-list 101 permit tcp any any2、对外屏蔽其它不安全的协议或服务 这样的协议主要有 SUN OS 的文件共享协议端口 2049 ，远

56、程执行（rsh ） 、远程登录 （rlogin ）和远程命令（rcmd ）端口 512、513、514 ，远程过程调用（SUNRPC ）端口 111。可以将针对以上协议综合进行设计，如下命令所示。 Router(config)#access-list 101 deny tcp any any range 512 514 Router(config)#access-list 101 deny tcp any any eq 111Router(config)#access-list 101 deny tcp any eq 111Router(config)#access-list 101 deny

57、 tcp any rang 2049Router(config)#access-list 101 permit ip any any3、针对 DoS 攻击的设计 DoS 攻击（Denial of Service Attack ，拒绝服务攻击）是一种非常常见而且极具破坏力的攻击手段，它可以导致服务器、网络设备的正常服务进程停止，严重时会导致服务器操 作系统崩溃。 如下命令所示如何设计针对常见 DoS 攻击的 ACL Router(config)#access-lisl 101 deny icmp any any eq echo-requestRouter(config)#access-lisl

58、101 deny udp any any eq echoRouter(config)#interface serial 2/0Router(config-if)#ip access-group 101 in Router(config)#interface fastethernet 2/0Router(config-if)#no ip directed-broadcast4、保护路由器自身安全 作为内网、外网间屏障的路由器，保护自身安全的重要性也是不言而喻的。为了阻止黑 客入侵路由器，必须对路由器的访问位置加以限制。应只允许来自服务器群的 IP 地址访问并配置路由器。这时，可以使用 ACCES

59、S-CLASS 命令进行 VTY 访问控制。如下命令所示。 Router(config)#line vty 0 4Router(config-line)# access-class 2 in Router(config-line)#exitPPP 提供了两种可选的身份认证方法：口令验证协议 PAP （Password AuthenticationProtocol ，PAP ）和质询握手协议（Challenge Handshake Authentication Protocol ，CHAP ） 。PAP 是一个简单的、实用的身份验证协议。这里我们使用 PAP 认证。（1）建立本地口令数据库 如下

60、命令所示建立本地口令数据库。 Router(config)#username abcd password 123456（2）设置进行 PAP 认证 Router(config-if)#encapsulation pppRouter(config-if)#ppp authentication pap 由于设备问题只能在 cisco 模拟器完成如图 5-2 所示。图 5-2 模拟器随着 Internet 的飞速发展和校园网的日益完善，校园网的安全问题已提到日程上来，采用防火墙技术能有效抵抗黑客及某些非法访问。在本校园网中使用的是CISCO ASA5505-SEC-BUN-K9 防火墙。这里就不做详

61、细的设置了。1、防火墙是一个实现安全策略的系统或系统组，强制执行对 Intranet 和 Internet的访问控制。它能保证只有授权的人可以访问 Intranet，且保护其中的资源和有价值的数据不会流出 Intranet。简单的说，防火墙就是介于两个网络之间的具有某些存取控制功能的软硬件集合。2、防火墙的主要目的是控制数据组，只允许合法流通过。其特征是在网络边界上建立相应的网络通信监控系统（即防火墙）来达到保障网络安全的目的。 防火墙技术假设被保护网络具有明确的边界和服务，并且假设网络信息的威胁主要来自外部网络而不是内部网络，它通过建立一整套规则和系统策略来检测，限制，更改穿越防火墙的数据流

62、，实现内部网络的保护。采用防火墙安全技术适合于与外部网络相对独立且网络服务类型相对有限的网络系统，而校园网正属此型，故要实现校园网的信息安全应采用防火墙技术。3、防火墙一般主要包括五部分：安全操作系统，过滤器，网关，域名服务和Email 处理。目前防火墙产品很多，基本上分为两类：一类基于包过滤，另一类基于代理服务器。前者直接转发报文，它工作在网络的底层IP 层，是在网络中适当的位置对数据包实施有选择的过滤 ，它可以提供廉价，有效，具有一定网络安全的环境，且它对用户是全透明的，速度较快。Cisco 的防火墙就是这种，它有两种方法实现防火墙功能，一种是适用于某些接口上的流控制，用于过滤 IP 或指

63、定 TCP 和UDP 端口的 IP 数据包，另一种是适用于广播信息，用于过滤广播信息；而代理服务器一般工作在应用层，它可以屏蔽网络内部结构，增强网络内部的安全性，同时还可以用于实施数据流监控，过滤，记录，报告等功能。但它对用户不透明，工作量大，需要高性能服务器，通常要经代理服务器进行身份验证和注册，故速度较慢。4、为对网络内部人员访问 Internet 进行一定限制，在连接内部网络的端口接收数据时进行 IP 地址和以太网地址检查，盗用 IP 地址的数据包将被丢弃，并记录有关信息；再连接 Internet 端接收数据时，如从外部网络收到一段假冒内部 IP 地址发出的报文，也应丢弃，并记录有关信息

64、。第第 6 章章 服务器服务器群设计群设计6.1 DNS 服务器服务器DNS 服务器：把域名转换成为网络可以识别的 ip 地址。这就需要给每台服务器分配 IP 地址，互联网上的网站无穷多，我们不可能记住每个网站的 IP 地址，这就产生了方便记忆的域名管理系统 DNS，他可以把我们输入的好记的域名转换为要访问的服务器的 IP 地址. 也就是为了方便我们浏览互联网上的网站而不用去刻意记住每个主机的 IP 地址，DNS 服务器就应运而生，提供将域名解析为 IP 的服务，从而使我们上网的时候能够用简短而好记的域名来访问互联网上的静态 IP 的主机。1、设置 DNS 服务器的 DNS 域和区域的树状结构

65、，添加主机名如图 6-1 所示。图 6-1 DNS 服务器3、完成配置 DNS 服务器如图 6-2 所示。图 6-2 完成配置6.2 WEB 服务器服务器 WEB 服务器：是一种基于超文本的信息查询工具，它把 Internet 上不同地点的相关数据信息有机地组织在一起，也就是说，WWW 所查询到的超文本文件的内容可能是由不同地点、不同类型的信息组成的。 1、设置服务器 IP 地址为 172.16.192.1 和 TCP 端口为 80，80 端口是为 开放的，这是上网冲浪使用最多的协议如图 6-3 所示。图 6-3 网站的属性2、为网站添加主目录和次级目录，为了方便在添加类容的时候更容易分清楚如

66、图 6-4 所示。图 6-4 目录属性6.3 文件传输服务（文件传输服务（FTP）文件传输服务（FTP）：FTP 是 Internet 上使用非常广泛的一种通讯协议。它是由支持 Internet 文件传输的各种规则所组成的集合，这些规则使 Internet 用户可以把文件从一个主机拷贝到另一个主机上，因而为用户提供了极大的方便和收益。在当今的因特网上，文件传输是一项很重要的应用。因为它提供了一种新的网络资源的访问方式，首先，它不箱 Telnet 那样只允许合法用户登录，大多数 FTP 都支持匿名登录，即网络上的任何用户均可使用；其次，它不像 WWW 那样支持的文件格式有限，FTP 可以使用任意格式的文件；最后，是它的操作简单方便。1、设置服务器 IP 地址：，端口默认为 21。如图 6-5 所示图 6-5 IP 设置2、设置 FTP 服务器的安全权限如图 6-6 所示。图 6-6 权限设置6.4 DHCP 服务器服务器手动配置每一台计算机的 IP 地址是管理员最不愿意做的一件事，于是我们要自动配置 IP 地址的，方法这就是 DHCP。动态主机配置协议，可以自动为局域网中每一台计算机分配