基于的校园局域网课程设计报告

1、本课程设计是网络工程专业的一门核心骨干课，是本专业学生必须学习和掌握的基 本专业课程。通过一周的课程设计，加深对网络组网技术的理解和掌握，提高实践能力, 为今后的实际工作打下基础，被实践课的主要目的：（1）（2）（3）（4）熟练掌握子网划分方法；了解并熟练运用各路由协议，静态路由及动态路由协议；了解Vian划分的目的及方法；掌握交换机与路由器的基本配置（二）要求：校园网的建设是现代教育发展的必然趋势，建设校园网不仅能够更加合理有效地利 用学校现有的各种资源，而且为学校未来的不断发展奠定了基础，使之能够适合信息时 代的要求。校园网络的建设及其与In ternet的互联，已经成为教育领域信息化建设

2、的当务之急。假设学校有100台计算机，请规划各个部门，便于管理。二、课程设计的内容（一）建设校园网的必要性校园网特点就是把分布在校园不同地点的多台电脑连接，按照网络协议相互通信， 以共享软件、硬件和数据资源为目标的网络系统。提供丰富的教育教学信息和资源是校 园网的生命力。校园网络具有距离短、延时少、相对成本低和传输速率高等优点；它的 低层协议较简单，控制选择等问题大大简化，因而又具有组网简单、易于实现的特点。 校园网的功能作用主要体现在以下四个方面：（1）信息传递。这是校园网络最基本的功能之一，用来实现电脑与电脑之间传递各种信息，使分散 在校园内不同地点的电脑用户可以进行集中的控制管理。在校务

3、部门建立网络服务器， 可以为整个校园网络提供各类教学资源，并对这些资源进行综合管理。（2）资源共享。 信息资源共享。通过接入 ddn或isdn，很容易将校园网连接到in ternet,这样, 网络内的各电脑终端不但可以互通信息资源，而且可以享受网络服务器上的相关数据及in ternet网上取之不尽，用之不竭的巨大信息资源，校园网在教学活动中的作用也将成 倍地增强。 硬件资源共享。网络中各台电脑可以彼此互为后备机，一旦某台电脑出现故障， 它的任务就由网络中其他电脑代而为之，当网络中的某台电脑负担过重时，网络又可将 新的任务转交给网络中较空闲的电脑完成。（3）方便教学。网络可以进行图、文、声并茂的

4、多媒体教学，可以取代语言实验室进行更生动的语 言教学，也可以利用大量现成的教学软件，提供一个良好的教学环境，这些都是以往任 何教学手段所不能达到的。校园网络不但可以在校内进行网络教学，还很容易同外界大 型网络连结，形成更大范围的网络交互学习环境。（二）校园网系统设计原则网上资源丰富，包含各种教学和科研内容信息，学生可以方便地浏览和查询网上资 源实现远程学习，通过网上学习学会信息处理能力。学校的管理人员可方便地对教务、 行政事务、学生学籍、财务、资产等进行综合管理，同时可以实现各级管理层之间的信 息数据交换，实现网上信息采集和处理的自动化，实现信息和设备资源的共享，因此， 校园网的建设必须有明确

5、的建设目标。校园网的总体设计原则是：实用性先进性应当从实际情况出发，使之达到使用方便且能发挥效益的目的。 采用成熟的技术和产品来建设该系统。要能将新系统与已有的系统兼 容，保持资源的连续性和可用性。系统是安全的，可靠的。使用相当 方便，不需要太多的培训即可容易的使用和维护。采用当前国际先进成熟的主流技术，采用业界相关国际标准。设备选型要是先进和系列化的，系统应是可扩充的。便于进行升级换代。模式的总体结构，符合当今信息化发展的趋 的建立，加速国内外院校之间的信息交安全性建立 Intranet/I nternet 势。通过 Intranet/lnternet 流。采用各种有效的安全措施, 安全包括

6、4个层面-网络安全,保证网络系统和应用系统安全运行。操作系统安全，数据库安全，应用 系统安全。由于In ternet的开放性，世界各地的In ternet用户也可访 问校园网，校园网将采用防火墙、数据加密等技术防止非法侵入、防 止窃听和篡改数据、路由信息的安全保护来保证安全。同时要建立系 统和数据库的磁带备份系统。可扩充性采用符合国际和国内工业标准的协议和接口，从而使校园网具有 良好的开放性，实现与其他网络和信息资源的容易互联互通。并可以 在网络的不同层次上增加节点和子网。一般包括开放标准、技术、结 构、系统组件和用户接口等原则。在实用的基础上必须采用先进的成 熟的技术，选购具有先进水平的计算

7、机网络系统和设备， 并保留向ATM 过渡的自然性。由于计算机技术的飞速发展和计算机网络技术的日新 月异，网络系统扩充能力的大小已变得非常重要，因此考虑网络系统 的可扩充性是相当重要的。可管理性设计网络时充分考虑网络日后的管理和维护工作，并选用易于操 作和维护的网络操作系统，大大减轻网络运营时的管理和维护负担。 采用智能化网络管理，最大程度地降低网络的运行成本和维护。高性能价格比结合日益进步的科技新技术和校园的具体情况，制定合乎经济效益的解决方案，在满足需求的基础上，充分保障学校的经济 效益。坚持经济性原则，力争用最少的钱办更多的事，以获得最 大的效益。（三）网络系统设计（1）系统构成校园信息系

8、统网络应是为办公、科研和管理服务的综合性网络系统。一个 典型的信息系统网络通常由以下几部分组成：1. 网络主干，用于连接各个主要建筑物，为主要的部门提供上网条件，主 干的选型和设计是信息系统网络的主要工作之一。2. Vian划分（虚拟局域网系统），以各个职能部门为单位而建立、独立的 计算环境和实验环境。3. 主机系统，网络中心的服务器和分布在各个 LAN上的服务器是网络资源 的载体，它的投资和建设也是信息系统网络建设的重要工作。4. 应用软件系统，包括网上 Web公共信息发布系统、办公自动化系统、管 理信息系统、电子邮件系统、行政办公系统、人事管理系统和财务系统等专用 的系统。我们认为更主要的

9、是建设内部的 Intran et系统。5. 出口（通讯）系统，是指将信息系统网络与In ternet等广域网络相连 接的系统。（2）网络技术选型在局域和园区网络中有多种可选的主流网络技术，以下我们将针对不同技 术类型，简单阐明其特点，为我们的技术选型提供科学的依据。主要选用以下 三种网络技术方案：以太网络技术、FDDI网络、ATM网络。结合校园网系统设计原则和用户的具体需求，我们可以得出一个最佳的主 干设计方案。所推荐的方案采用交换式千兆以太网作为校园网范围内的全网主 干。主干网选用千兆以太网，其第三层以太网路由器交换机大都满足 IEEE802.3 标准，技术成熟，具有流量优先机制能有效的保证

10、多媒体传输时的QOS（3）网络基本结构设计1. 网络采用树形拓扑结构，树形结构是总线形的延伸，它是一个分层分支 的结构。一个分支和节点故障不影响其他分支和节点的工作。像总线结构一样， 它也是一种广播式网络。任何一个节点发送的信息，其它节点都能接收。此种 结构的优点是在原网上易于扩充。2. 校园网主干设备采用两台100/1000M自适应全双工交换机，连接各部门 局域网及用于连接外网的路由器。3. 为了便于网络管理，抑制网络风暴，提高网络安全性能，校园网划分为两个虚拟子网（VLAN，通过路由交换机本身线速的路由能力建立起VLAN之间的高速连接。4. 选用一台Cisco路由器将校园网连入In ter

11、net。/、5. 在需进行动态获取地址的部门设置一台DHCP艮务器用于动态获取IP地址。6. 网络中心配置两台网络服务器：1台服务器用作WebServer、DNSServer ； 1 台用作备用 DNS Server、E-mail Server、FTP 等。（4）网络实现功能本网络除了能够实现文件打印服务、网络数据通信、校园网络管理系统等 一般网络的基本功能外，外部网络还可实现基于Intranet/Internet的信息服务。提供In ternet的访问、电子邮件服务等功能，如果需要还可提供远程访问的功能，同时可以在In ter net上发布信息。5.1.DHCP功能对于某些地点配置静态IP过

12、于麻烦，浪费时间，因此利用DHCF功能，为每台PC机动态获取IP地址，节省人 力，时间。对于办公楼等地方，都存有重要的内部信息等，不能允 许学生或外部人员随意访问，因此通过划分 Vlan，禁止 双方互相通信。在本课程设计中虽然只划分了两个 Vlan，但在实际运行 过程中，可能会随时添加或修改Vlan信息，因此将其中 一交换机设置成server模式，其他交换机设置成client 模式，通过动态获取Vlan信息使Vlan的维护和修改更 加方便省力。在本课程设计中，校园内部网均使用了私有IP地址，而实际生活中，私有IP地址不能在In ternet中通信， 因此需通过配置NAT将私有地址转化成公有地址

13、。由 于需转化的用户很多，并且不能允许外部网进入到内部 网中，因此应配置动态NAT在端口中添加访问控制列表，以添加约束，组织Vlan间相互 通信，保证一些机密数据信息的保密性和安全性。2.Vlan划分3.VT P设置4.动态NAT扩展ACL三、绘制拓扑结构图四、详细步骤（一）Vlan 及 IP 规划1、各 部门的 Vlan 及 IP 规划2、交换 机管理 Vlan 及 IP 地址3、与路 网段（二）接1、宿Vlan 号部门IP网段IP地址范围默认网关Vla n10宿舍楼10.2-10.99Vla n10教学楼10.100-10.253Vla n20办公楼20.2-20.49Vla n20图书馆

14、20.50-20.254由器连接的外部Vlan 号IP地址接口Vlan1Fastether0/24对于宿舍楼的IP管理，采用动态分配IP地址，在该部门加了一台 使各宿舍的计算机从该服务器获取IP地址。对于DHCP艮务器的配置：（1）dis play name : DHC P server（2）IP Configuration:（3）DHCP Service : on入层终端设备 舍楼DHCP艮务器,Maximum number of Users ： 982 、教学楼、图书馆、办公楼这些部门均需静态配置 IP 地址。3 、四个部门每个部门均有一单独交换机与之相连即四台交换机，从而便于管理。(三)

15、 分布层交换机分布层由两台交换机组成即 DistributeSwitch1 及 DistributeSwitch2 ，其中 DistributeSwitch1 与宿舍楼和图书馆的两台交换机相连， 而 DistributeSwitch2 与教学 楼和办公楼的两台交换机相连。(1) 设置交换机名称。也就是出现在交换机 CLI提示符中的名字。一般以地理位置 或行政划分来为交换机命名。当需要 Telnet 登录到若干台交换机以维护一个大型网络 时，通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。因此将两个 交换机分别命名为：DistributeSwitch1 和 DistributeSw

16、itch2 。( 2)设置加密使能口令。当用户在普通用户模式而想要进入特权用户模式时，需要 提供此口令。此口令会以 MD5的形式加密，因此，当用户查看配置文件时，无法看到 明文形式的口令。(3) 设置远程登录虚拟终端口令。对于一个已经运行着的交换网络来说，交换机的 带内远程管理为网络管理人员提供了很多的方便。但是，出于安全考虑，在能够远程管 理交换机之前网络管理人员必须设置远程登录交换机的口令。(4) 在DistributeSwitchl中添加管理Vian，即Vian1，并为其配置管理IP，以便 网络管理人员可以进行远程登录访问管理交换机。(5) 配置中继链路。中继链路是只承载标记数据 (即具

17、有VLANID标签的数据包) 的干线链路，只能支持那些理解VLA N帧格式和 VLAN成员资格的 VLAN设备。中继链路最通常的实现就是连接两个VLAN交换机的链路。在 DistributeSwitch1 与 DistributeSwitch2 间设置 Vian 中继，使同一 Vian 的设 备可以相互通信。(6) 在 DistributeSwitchl 与 DistributeSwitch2 中均添加 Vian10 与 Vian20。(7) 配置VTP当网络中交换机数量很多时，需要分别在每台交换机上创建很多重复VLAN工作量很大、过程很繁琐，并且容易出错。在实际工作中常采用VLAh中继协议(

18、Vian Trunking Protocoi ， VTP)来解决这个问题。VTP允许在一台交换机上创建所 有的VLAN然后，利用交换机之间的互相学习功能，将创建好的 VLAN定义传播到整个网 络中需要此 VLAN 定义的所有交换机上。同时，有关 VLAN 的删除、参数更改操作均可 传播到其他交换机。从而大大减轻了网络管理人员配置交换机的负担。因此，将 DistributeSwitch1 设置为 VTP server ，并将 DistributeSwitch2 设置为 VTP ciient 。(四) 核心层路由器设置一台路由器， 用于连接校园网与外部网， 实现校园局域网与 Internet 间的

19、通信。 将路由器与内部网的分布与两台交换机相连。( 1 )对路由器进行命名，即 CoreRouter。(2) 配置加密使能口令，远程访问虚拟终端口令等。(3) 对路由器的两个 Fastethernet 接口设置 IP 地址及子网掩码，即 Vian10 与 Vian20 的各终端设备的网关地址。即：（4）在路由器连接外网的接口上配置 IP 地址及子网掩码。即：（5） 配置NAT NAT不仅完美地解决了 lP地址不足的问题，而且还能够有效地 避免来自网络外部的攻击，隐藏并保护网络内部的计算机。动态转换是指将内部网 络的私有 IP 地址转换为公用 IP 地址时， IP 地址是不确定的，是随机的，所有

20、被授 权访问上 Internet 的私有 IP 地址可随机转换为任何指定的合法 IP 地址。也就是 说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时， 就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP 提供的合法 IP 地址略少于网络内部的计算机数量时。可以采用动态转换的方式。因此，在本课程设计中使用动态NAT配置来实现内部网对外部网的访问。（6）配置ACL路由器是外网进入校园网内网的第一道关卡，是网络防御的前沿阵 地。路由器上的访问控制列表（Access Control List ，ACL是保护内网安全的有效手 段。一个设计良好的访问控制列表不仅可以起到

21、控制网络流量、流向的作用，还可以在 不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由 器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络 系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对 企业内网包括防火墙本身实施保护。具体可以有以下几项：a） 在Fastethemet0/1 上添加ACL阻止Vlan10与Vlan20之间相互通信b）对外屏蔽远程登录协议tel net ，tel net 是一种不安全的协议类型。用户在 使用 telnet 登录网络设备或服务器时所使用的用户名和口令在网络中是以明 文传输的，很容易被

22、网络上的非法协议分析设备截获。这是极其危险的，因此必须加以屏蔽。c） 对外屏蔽其它不安全的协议或服务这样的协议主要有 SUNOS的文件共享协 议端口 2049，远程执行（rsh）、远程登录（riogin ）和远程命令（rcmd）端 口512、513、514,远程过程调用（SUNRF）端口 111。d）针对DoS攻击的设计。DoS攻击是一种非常常见而且极具破坏力的攻击手段， 它可以导致服务器、网络设备的正常服务进程停止，严重时会导致服务器操作 系统崩溃。e）保护路由器自身安全。作为内网、外网间屏障的路由器，保护自身安全的重 要性也是不言而喻的。为了阻止黑客入侵路由器，必须对路由器的访问位置加 以

23、限制。应只允许来自服务器群的IP地址访问并配置路由器。五、路由器及交换机的配置代码一)路由器配置代码1 、路由器命名：Router(config)#hostname CoreRouter2 、设置路由器加密使能口令：CoreRouter(config)#enable secret 1233 、设置远程访问虚拟终端口令：CoreRouter(config)#line vty 0 4CoreRouter(config-line)#password abcCoreRouter(config-line)#loginCoreRouter(config-line)#exit4、配置NAT:1 )对 Vla

24、n10 中的地址：CoreRouter(config)#ipCoreCoreRouter(config)#ip nat inside source list 11 pool aaCoreRouter(config)#interface fastEthernet 0/0CoreRouter(config-if)#ip nat insideCoreRouter(config-if)#exitCoreRouter(config)#interface serial 0/1/0CoreRouter(config-if)#ip nat outsideCoreRouter(config-if)#exit2)

25、 对 Vlan20 中的地址:CoreCoreCoreRouter(config)#ip nat inside source list 12 pool bbCoreRouter(config)#interface fastEthernet 0/1CoreRouter(config-if)#ip nat insideCoreRouter(config-if)#exitCoreRouter(config)#interface serial 0/1/0CoreRouter(config-if)#ip nat outsideCoreRouter(config-if)#exit5、配置ACL1 )阻止

26、Vlan10 与 Vlan20 间的通信，在 fastethernet0/1 上使用： CoreCoreRouter(config)#access-list 102 permit icmp any anyCoreRouter(config)#int fa0/1CoreRouter(config-if)#ip access-group 102 inCoreRouter(config-if)#exit2)对外屏蔽远程登录协议 telnet ： CoreRouter(config)#access-list 101 deny tcp any any eq telnet CoreRouter(confi

27、g)#access-list 101 permit ip any any CoreRouter(config)#int serial0/1/0CoreRouter(config-if)#ip access-group 101 inCoreRouter(config-if)#exit3) 对外屏蔽其它不安全的协议或服务：CoreRouter(config)#access-list 103 deny tcp any any range 512 514CoreRouter(config)#access-list 103 deny tcp any any eq 111CoreRouter(config

28、)#access-list 103 deny udp any any eq 111CoreRouter(config)#access-list 103 deny tcp any any range 2049CoreRouter(config)#access-list 103 permit ip any anyCoreRouter(config)#int serial0/1/0CoreRouter(config-if)#ip access-group 103 inCoreRouter(config-if)#exit4) 针对 DoS 攻击的设计：CoreRouter(config)#access

29、-list 104 deny icmp any any eq echo-request CoreRouter(config)#access-list 104 deny udp any any eq echoCoreRouter(config)#int serial0/1/0 CoreRouter(config-if)#ip access-group 104 in5) 保护路由器自身安全： CoreRouter(config)# access-list CoreRouter(config)#line vty 0 4 CoreRouter(config-line)#access-class 2 i

30、n CoreRouter(config-line)#exit 二)交换机配置代码1 、交换机 DistributeSwitch11 )命名交换机： Switch(config)#hostname DistributeSwitch12 )设置加密使能口令： DistributeSwitch1(config)#enable secret cisco1233 )设置远程登录口令： DistributeSwitch1(config)#line vty 0 4 DistributeSwitch1(config-line)#password cisco DistributeSwitch1(config-l

31、ine)#login DistributeSwitch1(config-line)#exit4 )为交换机添加管理 Vlan ： DistributeSwitch1(config)#interface vlan 1 DistributeSwitch1(config-if)#no shutdown DistributeSwitch1(config-if)#exit5 )为交换机添加 Vlan ： Vlan10 和 Vlan20 DistributeSwitch1#vlan databaseDistributeSwitch1(vlan)#vlan 10 DistributeSwitch1 (vla

32、n)#vlan 206) 将 Vlan 作用于对应接口： DistributeSwitch1 (config)#int fa0/3DistributeSwitch1 (config-if)#switchport mode access DistributeSwitch1 (config-if)#switchport access vlan 10 DistributeSwitch1 (config-if)#exit DistributeSwitch1h(config)#int fa0/4(config-if)#switchport mode access(config-if)#switchport access vlan 20 (config-if)#exit(config)#int fa0/1 (config-if)#switchport mode access (config-if)#switchport access vlan 20 (config-if)#exitDistributeSwitch1 DistributeSwitch1 DistributeSwitch1 DistributeSwitch1 DistributeSwit