XX(中小型)校园网设计方案.doc

XX（中小型）校园网设计方案目录第一章：需求分析31.1. 项目背景31.2. 建设目标31.2.1：实现访问层交换机服务31.2.2：实现分层交换机服务3第二章：交换机配置方案32.1：访问层交换机32.2：分布层交换机42.3：核心层交换机4第三章：广域网接入方案43.1：接入路由器internetrouter的基本配置43.2:接入路由器internetrouter的个接口53.3：接入路由器internetrouter的路由功能53.4:接入路由器internetrouter上的nat53.4.1：定义nat内部、外部接口53.4.2：定义允许进行nat的工作站的内部局部ip地址范围63.4.3：为服务器定义静态地址转换63.4.4：为其他工作站定义复用地址转换63.5：配置路由器internetrouter上的acl63.5.1：对外屏蔽单网管协议，即snmp63.5.2：对外屏蔽远程登录协议telnet63.5.3：对外屏蔽其他不安全的协议或服务7第四章：远程访问方案74.1：物理线路的基本配置74.2：接口基本参数74.3：身份认证7第五章：总体建设85.1：网络拓扑85.2：vlan及ip规划85.3：设备清单10第一章：需求分析1.1. 项目背景学校共有6个集中接入点（计算机系、管理系、财务系、教务系、建筑系、学生宿舍）。1.2. 建设目标.通过冗余的光纤链路上连到信息中心的核心层交换机上。核心层交换机通过cisco3640路由器接入Internet。除此，教工宿舍以及办公室用户通过拨号方式接入路由器3640来访问校园网内网以及Internet。1.2.1：实现访问层交换机服务1.2.2：实现分层交换机服务广域网接入的功能是广域网接入路由器Internetrouter来完成，采用cisco的3640路由器通过自己串行接口使用ddn技术接入Internet。用Internet和校园网内网间路由数据包。利用访问控制列表，广域网接入路由器interestrouter还可用来完成以自身为中心的流量控制和过滤功能实现一定的安全。广域网采用不同的类型的封装协议，如：ppp、hdlc等。其中，ppp除了提供身份认证功能外，还要能提供其他很多配置，包括链路压缩、多链路捆绑、回叫等。可以集成在广域网接入路由器interestrouter中的异步modemNM16AM提供远程访问服务，并同时对最多16路拨号用户提供远程接入服务。 第二章：交换机配置方案2.1：访问层交换机1：设置交换机名称Switch（config）#hostname accessswitch1Accessswitch1（config）#2：设置交换机的加密使用口令Accessswitch1（config）#enable secret secretpasswd3：设置登录虚拟终端线时的口令Acessswitch1（config）#line vty 0 15Accessswitch1（config）#loginAccessswitch1（configline）#password youguess4：设置终端线超时时时间Accessswitch1（config）#line vty 0 15Accessswitch1（config-line）#exec-timeout 5 30Accessswitch1（config-line）#line con 0Accessswitch1（config-line）#exec-timeout 5 305：设置禁止ip 地址解析特性Accessswitch1（config）#no ip domain-lookup6：设置启用用户消息同步特性Accessswitch1（config）#logging synchronous2.1.1：访问层交换机accessswitch1的管理ip、默认网关访问层交换机时osi参考模型第2层设备，既数据链路层的设备。因此给访问层交换机的每个端口设置ip地址的时没有意义的。但是，为了使网络管理人员可以远程登录到访问层交换上进行管理，必须给访问层交换机设置一个原理ip 地址。这种情况下，实际上使将交换机看成和pc机一样的主机Accessswitch1（config）interface vlan1Accessswitch1（config-if）#ip address-Accessswitch1（config-if）#no shutdown2.1.2：从提高效率的角度出发，在本销往实现实力中使用了vtp技术，同时，将分布层交换机distributeswitch1设置成vtp服务器，其他交换机设置成vtp客户机。1：端口双工配置Accessswitch1（config）#interface range -Accessswitch1（config-if-range）#duplex full2：端口速度Accessswitch1（config）#interface range -Accessswitch1（config-if-range）#speed 1002.2：分布层交换机略2.3：核心层交换机略第三章：广域网接入方案3.1：接入路由器internetrouter的基本配置对接入路由器internetrouter的基本参数的配置步骤与对访问层交换机Access Switch 的基本配置参数的配置类似。Router#configure terminalRouter(config)#hostname internetrouterInternetrouter(config)#enable secret youguessInternetrouter(config)#line con 0Internetrouter(config-line)#logging synchronousInternetrouter(config-line)#exec-timeout 5 30Internetrouter(config-line)#line vty 0 4Internetrouter(config-line)#password abcInternetrouter(config-line)#longinInternetrouter(config-line)#exec-timeout 5 30Internetrouter(config-line)#exitInternetrouter(config-line)#no ip domain-lookup3.2:接入路由器internetrouter的个接口对接口路由器的个接口参数的主要是对接口以的ip地址、子网掩码的配置Internetrouter(config)#interface _Internetrouter(config-if)#ip address_Internetrouter(config-if)#no shutdownInternetrouter(config-if)#interface _Internetrouter(config-if)#ip address _Internetrouter(config-if)#no shutdown3.3：接入路由器internetrouter的路由功能Internetrouter(config)#ip route-到校园网内部的路由条目可以经过路由汇总后形成两条路由条目Internetrouter（config）#ip route -Internetrouter（config）#ip route -3.4:接入路由器internetrouter上的nat由于目前ip地址资源非常紧张，不可能给校园网内部的所有工作站都分配一个公有地址。为了解决所有工作站访问internet的需要，必须使用nat技术3.4.1：定义nat内部、外部接口Internetrouter(config)#interface -Internetrouter(config-if)#ip nat insideInternetrouter(config-if)#interface -Internetrouter(config-if)#ip nat outside3.4.2：定义允许进行nat的工作站的内部局部ip地址范围Internetrouter（config）#access-ist permit-3.4.3：为服务器定义静态地址转换Internetrouter（config）#ip nat inside source static-3.4.4：为其他工作站定义复用地址转换Internetrouter（config）#ip nat inside source list1 interface -3.5：配置路由器internetrouter上的acl路由器是外网进入校园网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表是保护内网安全带饿有效手段。3.5.1：对外屏蔽单网管协议，即snmp利用这个协议，远程主机可以监视、控制网络上的其他网络设备。它有两种服务类型：snmp和snmptrapInternetrouter（config）#access-list 101 deny udp any eq snmpInternetrouter(config)#access-list 101 deny udp any andy eq snmptrapInternetrouter（config）#access-list 101 permint ip any anyInternetrouter（config）#interface-Interfacerouter（config）ip access-group 101 in3.5.2：对外屏蔽远程登录协议telnettelnet可以登录到大多数网络设备unix服务器，并可以使用相关命令完全操作他们。其次telnet 是一种不安全的协议，用户在登录时说用户的口令是以明文传输的，很容易被网络上的非法协议分析设备截获。所以必须屏蔽。Internetrouter（config）#access-list 101 deny tcp any any eq telnetInternetrouter（config）#access-list 101 permint ip any anyInternetrouter（config）#interface-Internetrouter（config）#ip access-group 101 in3.5.3：对外屏蔽其他不安全的协议或服务这样的协议主要有sun os 的文件共享协议端口2049，远程执行、远程登录和远程命令端口512、513、514，远程过程条用端口111，可以将针对以上协议综合进行设计Interetrouter（config）#access-list 101 deny tcp any any range 512 514Interetrouter（config）#access-list 101 deny tcp any any eq 111Interetrouter（config）#access-list 101 deny udp any any eq 111Interetrouter（config）#access-list 101 deny tcp any any range 2049Interetrouter（config）#access-list 101 permint ip any anyInteretrouter（config）#interface -Interetrouter（config-if）#ip access-group 101 in第四章：远程访问方案4.1：物理线路的基本配置对物理线路的配置过括配置先例速度（DTE、DCE之间的速率）、停止未位数、流控方式、允许呼入连接协议类型、允许流量的方向。Internetrouter（config）#line 97Internetrouter（config-line）#mode inout Internetrouter（config-line）#transport input allInternetrouter（config-line）#stopbits 1Internetrouter（config-line）#speed 115200Internetrouter（config-line）#flowcontrol hardware4.2：接口基本参数对接口的配置：接口封装协议类型、接口异步模式、ip地址、远程客户分配ip地址的方式。Internetrouter（config）#interface async 97Internetrouter（config-if）#ip address -Internetrouter（config-if）#encapsulation pppInternetrouter（config-if）#async mode dedicatedInternetrouter（config-if）#peer defult ip address pool rasclieats4.3：身份认证PPP提供两种可选的身份认证：口令验证协议PAP（Password Authentication Protocol）和咨询握手协议（Challenge Handshake Authenticntion