2010校园网规划与设计毕业论文

1、毕业论文课 题：校园网规划与设计班 级：网络101姓 名：龙会松指导教师：薛志良完成日期：2012年12月30日摘要校园计算机网络的建设已成为学校建设中，上档次、上规模的一个重要标志。目 前在各高等院校甚至在很多中学都已建立了自己的校园网，一些学校已开始将网络节 点延伸至学生寝室，即将校园网面向学生全面开放，使得学校校园网真正在教学科研 及管理等各方面起到重要的作用。近年来中国大步跨入了信息化社会，校园网是 Intranet/lnterner技术在教育机构的一个应用。它是指在学校范围内，在一定的教育思 想和理论指导下，为学校教学，科研和管理等教育提供资源共享，信息交流和协同工 作的计算机网络。

2、校园网是基于Intranet/lnterner技术发展起来的，在功能应用上和In ternet大体上相同，都能够实现以下的功能：Wed信息发布和获取、目录服务、电子邮件、安全性管理、广域网络互联、文件、打印共享和网络管理等。因此每个校园网 的设计、建设都要经过周密的论证、谨慎的决策和紧张的施工。现在就某学院重新进 行网络设计，涉及主要有以下方面到综 合布线、无线网辅助有线网的设计、网络设备 的选型、vlan的划分、交换机的配置等等。从实用的角度出发，依拓网络拓扑结构，对学园网络规划与设计进行了深入的分 析，本文主要对校园网的网格 设备的选型、vlan的划分和交换机的配置以及 综合布线 等四个方

3、面展开分析。关键词：校园网；vlan划分；交换机的配置；网络设备选型目录第1章校园网概述 1第2章校园网的需求分析 32.1需求分析 32.2网络层次分析 3第3章校园网设计方案 53.1总体设计方案 53.2网络设备选型 53.3信息点的分析 73.4校园网拓扑结构设计 83.5 IP地址分配与VLAN的划分 8第4章交换机模块设计 104.1接入层交换机的配置 104.2汇聚层交换机的配置 124.3核心层交换机的配置 14第5章 广域网接入模块配置 175.1配置边界路由器的基本参数 175.2配置边界路由器的各接口参数 175.3配置边界路由器的路由功能 185.4配置边界路由器上的

4、NAT 185.5配置边界路由器上的访问控制列表 195.6配置身份认证 205.7防火墙的介绍 21第6章服务器群设计 236.1 DNS服务器 236.2 WE曲艮务器 246.3文件传输服务（FTP 256.4 DHCP服务器 26第7章系统测试 277.1 WE曲艮务器测试 277.2 FTP服务器测试 277.3 DHCF服务器测试 27课程设计总结 29参考文献 30第1章校园网概述In ternet技术的发展，推动人们从各个角度去研究计算机网络，以使之在各个领域 得到广泛、成功的应用。校园网的概念是指大、中、小学教育单位的网络，它以应用 为目的，基于Internet/lntran

5、et技术的计算机网络和它的使用者以及相关规章制度的集 合。校园网是利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软 件和应用软件，将校园内计算机、计算机教室和各种终端设备有机地集成在一起，并 用于教学、教科研、学校管理、信息资源共享和远程教学等方面工作的计算机局域网 络系统。校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。校园网建设的必要性：在我国，学校是处于影响整个社会深刻变革的中心地位，所以是否在学校采用最 先进的信息和传播技术是一个有决定性意义的问题。随着计算机多媒体和网络技术的 不断发展与普及，校园网信息系统的建设，是非常必要的，也是可行的。主要表现在:1

6、、当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、 动态信息发布、远程教学和协作工作的阶段，发展对学校教育现代化的建设提出了越 来越高的要求。2、教育信息量的不断增多，使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。个人是否具有获得信息和处理信息的能 力对于能否成功进入职业界和融入社会都是个决定性的因素，因此学校应该培养所有学生具有驾驭和掌握这种技术的能力。另一方面，信息技术在作为青少年教育工具的同 时也向青少年提供了前所未有的机会。新技术提供的机会以及它们在教学方面具有的优势都是很多的，特别是计算机和多媒体系统的使用有助于个人化的道路，

7、每个学生在个人的学习道路上都可以按照自己的速度发展。3、我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开 发提供了各种在网络上运。行的软件及多媒体系统，并且越来越形象化、实用化，迫切需要网络环境。4、现代教育改革的需要。在校园网中将计算机引入教学各个环节，从而引起了 教学方法、教学手段、教学工具的重大革新。对提高教学质量，推动我国教育现代化 的发展起着不可估量的作用。网络又为学校的管理者和老师提供了获取资源、协同工 作的有效途径。毫无疑问，校园网是学校提高管理水平、工作效率、改善教学质量的有力手段,是解决信息时代教育问题的基本工具5、我们认为，随着时代的进步、科技的发展，在现

8、代化信息技术管理上，学校 将面临新的挑战。为了提高学校自身的现代化管理水平，丰富教学方法和手段，提高 工作效率，及时掌握各种相关信息，提高处理各种业务及突发事件的能力， 加强管理, 拥有现代化信息技术手段，利用计算机网络与通信技术，全面、迅速、准确地掌握信 息，已成为学校内部管理和教学业务处理的迫切需要。第2章校园网的需求分析2.1需求分析作为校园网建设，不但要满足现有的校园网需求，而且要考虑到将来的整体需求， 因而要从下面几个方面来考虑校园网建设的整体需求：1、网上数据流特点：大学校园网具有网络互联的广泛性和使用多样性等特点， 广播包将对数据流产生较大的影响，校园网的数据并发性，一般是呈现波

9、峰波谷的， 绝大多数情况下，存在高并发性访问的因素，除了周末或者夜间学生晚自修之后的时间，某些特殊的应用也有可能对负荷有突发要求， 如使用空间数据，大范围数据搜索, 视频方面的应用等，这些突发的负荷有相当一部分转移到应用设备上。这些流量的转 移对于网络设备提出了较高的要求，必须要求核心（汇聚）设备均支持万兆技术。2、校园网主干需要的数据流量：网络主干流量的是基于业务工作在网上展开的 情况分析，实际上对网络流量的需求是逐步提升的，特别是要协同体系出现后，干道 的流量会大量的增加。考虑到信息点同时在线的收敛比，本网络已经具备极高的伸缩 能力，以满足其很强的扩展性要求。3、网络流量分析：根据的业务，

10、每位学生主要需求占用的带宽为：视频流、数据、语音、图形、等。考虑应用上某些并发的排斥特点，以及网络应用环境对通畅性 的要求，一般每位学生占用的平均实际网络带宽约为1M左右即可以完全满足以上需求，在满足网络在有收敛比的情况下的带宽要求；这就要求汇聚、核心设备均具备万 兆智能能力。2.2网络层次分析1、核心层需求分析在校园网核心层设备担负着连接各个汇聚设备的工作，同时通过设备的互联，将 分布在各物理位置的区域网络连接在一起形成一套完整的网络。核心层设备担负着整 个网络的流量。骨干设备和链路的稳定性将直接影响整个网络的可靠运行。由于骨干设备在网络核心层中，需要高性能、冗余备份，所以采用链路聚合技术。

11、 完成网络骨干层高速数据交换、转发以及稳定性的要求。骨干网络性能是整个网络良 好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种业务的高质量传 输，才能使网络不成为业务开展的瓶颈。2、汇聚层分析(1) 高速运送区域流量，主要工作是交换区域数据包。(2) 高可靠性及冗余性。(3) 提供故障隔离。(4) 较少的时延和好的可管理性。(5) 良好的路由交换能力。(6) 良好的区域汇聚能力。(7) 良好的万兆能力。要求汇聚设备必须是纯千兆的高性能交换机；在校园网中汇聚设备担负着网络接 入层和骨干设备的连接，网络汇聚层有着承上启下的重要任务。汇聚设备不但要完成接入层的链路汇聚和流量汇聚还要完成本

12、地数据的交换以 及接入和骨干之间的数据转发。作为骨干层的入口和接入层的出口，汇聚层的身份如同关卡。为保证整个网络良 好运行在汇聚层同样需要高性能、关键部件冗余等特性。3、接入层分析接入层在整个网络的边缘，学生通过接入设备接入网络。为保证整个网络安全高 效的运行，作为网络的入口接入设备的智能识别是一项重要的功能第3章校园网设计方案3.1总体设计方案1、设计目标建成一个具有高可靠性和开放性的校园网络， 它应支持流行的SNMP等网络管理 协议；采用In ternet上的标准协议-TCP/IP协议，提供校园内部及面向全球的 WWW 服务、FTP服务、电子邮件服务，实现与国际互联网的完全接轨；同时它还应

13、具有支 持通用大型数据库的功能，支持多种协议，具有良好的软件支持；采用模块化结构设 计，容易升级；还应针对学校的教学特点，具有一些基本的教学功能，以完成学校的 基本教学任务。2、设置原则（1）度身定制：对用户的需求进行了定量分析。站在用户的立场上，为用户“度 身定制”出网络方案。本着实用的原则，尽量使用成熟先进的平台软件，以缩短教学 课件的开发周期。（2）素质教育与先进技术的完美结合：采用先进成熟的技术和分布式的结构， 以便于开发和维护；采用集群解决方案，以保证连续工作；为保证网络速度而采用高 的带宽等，真正实现了 “现代化素质教育与 In tel先进技术的完美结合”。（3）校园网对网络设备的

14、要求：采用In tel全线产品，高性能、高可靠性和高可 用性、可管理性、采用国际统一的标准。（4 ）可扩展性：考虑现有网络的平滑过度，使学校现有陈旧设备尽量保持较好 的利用价值；选用产品应具有最佳性价比，又要应充分考虑未来可能的应用，具有高 扩展性。3.2网络设备选型网络设备的选型是网络运行性能和售后服务的关键，对于设备选型基于以下几点 考虑：首先，网络中心的中心设备，承担着整个网络性能好坏的关键，我建议选用比较 高档的中心设备，既能保证满足服务的需要，不会出现广播风暴或通信瓶颈问题；又 能保证几年之内设备不会过时。其次，选择品牌时考虑比较多的是：生产厂商的可靠性和稳定性、技术领先性和 成熟性

15、、设备的完整系列性、设备的可升级性、是否具备完善的售后服务体系来支持用户的应用、是否为主流产品(这将决定用户接收产品熟悉产品的成本和产品的通用 性)、在国内是否有比较完备的备件库和维护维修能力、其安全性是否适合用户的要 求。在本方案中，使用的是锐捷的网络产品作为网络的中心交换、路由和分支交换设 备，下面介绍产品：1、锐捷RG-R3642路由器：采用模块化设计，提供了多个网络/语音模块插槽, 支持种类丰富、功能齐全、高密度的网络 /语音模块，可实现更多的组合应用。支持 IPv4/IPv6，VoIP特性等，提供丰富的备份方案及 QoS特性；硬件采用模块化结构，具有更高的处理能力和更大的接入密度。远

16、远高于业界同等档次的产品如表 3-1所示 表3-1路由器选型设备名称路由器类型商家报价局域网接口网络认证标准锐捷 RG-R3642模块化路由器21890 至 22606元2 个 10/100M 快速以太网口PAP,CHAP,AAA, Radius2、锐捷RG-S3760-24核心层交换机：为大型网络汇聚和中型网络核心提供了IPv4/IPv6的多层交换、端到端的服务 RG-S3760系列交换机硬件支持IPv4/IPv6双协 议栈多层线速交换和功能特性，为IPv6网络之间的通信提供了丰富的Tunnel技术，并提供了丰富而完善的路由协议，以适合大型网络多种路由和多业务的需要如表3-2所示。表3-2核

17、心层交换机选型设备名称应用类型商家报价背板带宽(Gbps)传输速率(Mbps)固定端口数锐捷RG-S3760-24工作组交换机25000 元至27000 元37.610/100/1000283、锐捷STAR-S2126G汇聚层交换机以极高的性价比为各类型网络提供完善的 端到端的QoS服务质量、灵活丰富的安全策略管理和基于策略的网管，最大化满足高速、安全、智能的企业网新需求如表3-3所示表3-3汇聚层交换机选型设备名称应用类型报价背板带宽接口数量插槽数锐捷STAR-S2126G汇聚层交换机4000 元12.8Gbps24个2个4、锐捷RG-S1824GT接入层交换机服务于大中型企业网络、校园网络

18、、网吧和宽带社区等多种高速数据传输应用场合RG-S1824GT具有24个10/100/1000Mbps自适应RJ45的交换端口，所有端口可以 根据连接的设备，自动将连接速度和工作模式调整到需要的方式，而无须更改网络结 构如表3-4所示。表3-4接入层交换机选型设备名称应用类型传输速率接口数量锐捷 RG-S1824GT接入层交换机10/100/1000Mbps245、在防火墙方面则使用 CISCO ASA5505-SEC-BUN-K9防火墙Cisco ASA 5500系列在一个平台中有力地提供了多种已经获得市场验证的技术， 无论从运营角度还是从经济角度看，都能够为多个地点部署各种安全服务。经过市

19、场 验证的安全与VPN功能-全特性、高性能的防火墙，入侵防御系统（IPS）, Anti-X和IPSec/SSL VPN技术提供了强大的应用安全性、基于用户和应用的访问控制、蠕虫与 病毒防御、恶意软件防护、内容过滤以及远程用户/站点连接如表3-5所示。表3-5防火墙选型设备名称商家报价并发连接数网络吞叶量内存容量过滤带宽Cisco ASA 55008000兀左右25000150Mbps256MB100Mbps3.3信息点的分析1、信息点分布经过调查我们学校拥有办公楼2栋，实验楼2栋，图书馆1处，教学楼5栋, 学生宿舍楼9栋，网络中心1处如表3-6所示。表3-6信息点分布大楼楼栋数科室信息点（个）

20、信息点合计（个）办公楼2教务处2075财务处15后勤部22招生就业18实验楼2软件机房415网络机房6计算机应用机房5图书楼1图书室510阅览室5教学楼5教室6060多媒体教室8080宿舍楼9男生公寓8001200女生公寓400网络中心1DMZ区1010总计14503.4校园网拓扑结构设计3-7所示。1、拓扑结构设计根据校园网需求和信息点调查结果绘制出拓扑结构图，如图In ter netCoreSwitch ACoreSwitch B核心层教务处后勤部实训楼 i图书室多媒体教室i号公寓2号公寓财务处招生就业实训楼2阅览室会议室8号公寓9号公寓J5接入层1000Mb/s100Mb/s图3-7拓扑

21、结构图3.5 IP地址分配与VLAN的划分1、IP地址的分布根据信息点调研得出IP地址的分布表如表3-8所示表3-8 IP地址的分布项目子网范围IP地址范围子网掩码内部IP地址--54外部IP地址--0DNS （首选）（备选）服务器IP-

22、办公楼IP-54-54实验楼IP-54-54图书楼IP-54-54教学楼IP-54宿舍楼IP-172.16.12.

23、254-542、VLAN的划分与描述根据学校的应用类型，每个网段都划分了 VLAN。分VLAN在一定程度上可以提高网络的安全性，防止网段上无效的广播包的传播，还可以增加网络弹性，并降低成本易于管理VLAN分布如表3-9所示。表3-9 VLAN的划分设备管理IPVLAN 号VLAN名称RG-S1824G教 务处/24via n2JWCRG-S1824G财务处/24via n 3CWCRG-S1824G后 勤部/24via n 4HQBRG-S1824G招 生就业/24

24、via n 5ZSJYRG-S1824G软件机房/24via n 6RJJFRG-S1824G网络机房/24via n 7WLJFRG-S1824G普 通机房/24via n 8PTJFRG-S1824G阅览室/24via n 10YLXRG-S1824G阅览室/24via n 10YLXRG-S1824G多媒体教室/24via n 11DMTJSRG-S1824G学 生宿舍via n 12- vian 200第4章交换机模块设计4.1接入层交换机的配置接入层为所有的终

25、端用户提供一个接入点。这里的接入层交换机采用的是RG-S1824GT 24口交换机。交换机拥有 24个10/100Mbps自适应快速以太网端口。我们以图4-1中的接入层交换机Switchl为例进行介绍如图4-1所示。图4-1接入层1、设计交换机的名称也就是出现在交换机CLI提示符中的名字。一般我们会以地理位置或行政划分来 为交换机命名。当我们需要Telnet登录到若干台交换机以维护一个大型网络时，通过 交换机名称提示符提示自己当前配置交换机的位置是很有必要的。这里是用Switch1作为名称。命令如下：Switch(co nfig)#host name switch12、设置登录虚拟终端线时的口

26、令对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理人员提 供了很多的方便。但是，出于安全的考虑，在能够远程管理交换机之前网络管理人员 必须设置远程登录交换的口令。下面我将口令设置为 mima命令如下：Switch1(co nfig)#li nc vty 0 15Switch1(co nfig-li nc)#logi nSwitch1(config-linc)#password mima3、 设置接入层交换机Switch1的管理IP、默认网关给交换机设置管理用 IP地址只能在 VLAN1 ，即本征 VLAN中进行。管理 VLAN所在的子网是：172.1620/24，这里将接入层交

27、换机Switch1的管理IP地址 设为：如下命令所示，显示了为接入层交换机 Switch1设置管理IP并 激活本征VLAN。为了使网络管理人员可以在不同的子网管理此交换机， 还应设置默 认网关地址 172.162254命令如下：Switch1(config)#interface vlan 1进入 vlan 1划分 IP 地址Switch1(config-if)#no shutdownSwitch1(co nfig-if)#exit默认路由4、配置接入层交换机 Switch1的VLANVLAN (Virtual Local Area Network，虚拟局域网)技术的出现，主要为了解决交换机在进

28、行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LANVLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和 在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN 内。Switch1(config)#int vlan 2Switch1(config-vlan)#name JWC 给 vlan 命名Switch1(c on fig-vla n) #exitSwitch1(co nfig)#i nterface ran ge fastethernet 0/1-20 / 进入接口Switch1(config-range-if)#swit

29、chport mode access /把端口加入至U vlanSwitch1(config-range-if)#switchprot access vlan 25、配置接入层交换机Switch1端口基本参数及访问的端口(1) 设置接入层交换机 Switch1的所有端口均工作在全双工模式及所有端口的 速度均为100Mbps。命令如下：Switch1(co nfig)#i nterface range fastethernet 0/1-24Switch1(co nfig-if-ra nge)#duplcx fullSwitch1(config-if-range)# speed 100 设置端口速

30、度(2) 配置接入层交换机Switch1的访问端口接入层交换机 Switch1为终端用户提供接入服务。接入层交换机Switch1为VLAN 2提供接入服务。设置接入层交换机Switch1的端口 120为VLAN 2的成员及将其设为快速端口命令如下:Switch1(config)#l nterface range fastethernet 0/1-20 进入端口 1-20Switch1(config-if-range)#switchport mode access /将交换机端口转换为 ACCESSSwitch1(config-if-range)#switchport access vian 2

31、 /将端口戈U分至U vian 2Switch1(con fig-if-ra nge)#spa nnin g-tree portfast(3) 配置接入层交换机Switchl的主干道端口如图所示，接入层交换机 Switchl通过端口 FastEthernet 0/24上连到汇聚层交换 机。将该端口设为trunk模式Switch1(co nfig)# In terface fastethernet 0/24 /进入端口 24Switch1(config-if)switchport mode trunk/设置 trunk接入层剩下的交换机除了对应的 VLAN、端口、管理IP不同，其它配都是一样的。

32、4.2汇聚层交换机的配置汇聚层是为整个交换网络提供VLAN间的路由选择功能。这里的汇聚层交换机采用的是RG STAR-S2126G交换机。作为 3层交换机，RG STAR-S2126G交换机拥 有24个10/100Mbps自适应快速以太网端口，同时还有2个1000Mbps的GBIC端口供上连使用，我们以图4-2汇聚层交换机Switch100为例进行介绍。图4-2汇聚层交换机Switch1001、配置汇聚层交换机Switch100的基本参数配置命令如下：Switch(config)#hostname Switch100/给交换机命名为 Switch100Switch100(config)#ena

33、ble secret mima /设置 enable密码Switch100 (con fig)#l ine con 0Switch100 (config-line)#line vty 0 15/设置 vtySwitch100 (config-line)#password abc 远程登录密码Switch100 (con fig-li ne)#loginSwitch100 (con fig-li ne)#exit2、配置汇聚层交换机Switch100的管理IP、默认网关如下命令所示，显示了为汇聚层交换机SwitchlOO设置管理IP并激活本征VLAN。同时，还设置了默认网关的地址。Switch1

34、00(config)#interface vlan 1/进入 vian1分配地址Switch100(config-if)#no shutdownSwitch100(co nfig-if)#exit设置静态路由3、在汇聚层交换机Switch100上定义VLAN及VLAN IP地址这本校园网中，由于宿舍楼 VLAN定义过多，这在里就不一一划分了。下面将其 它各个科室部门VLAN划分出来。Switch100(config)#vlan 2划分 vianSwitch100(config-vlan)#name JWC /给 vlan 命名划分 IP 地址和 子网掩码Switch100(co nfig-vl

35、a n)#no shutdow nSwitch100(config)#vlan 3划分 vianSwitch100(config-vlan)#name CWC 给 vlan 命名划分 IP 地址和 子网掩码Switch100(co nfig-vla n)#no shutdow nSwitch100(config)#vlan4 划分 vianSwitch100(config-vlan)#name HCB /给 vlan 命名划分 IP 地址Switch100(co nfig-vla n)#no shutdow n其他交换机配置命令相同。4、配置汇聚层交换机Switch100的端口参数汇聚层交换机

36、Switch100端口参数如下命令所示Switch100(co nfig)#i nterface range fastethernet 0/1-4Switch100(config-if-range)#switchportmode trunk /端口 trunkSwitch100(co nfig-if-ra nge)#exitSwitch100(co nfig)#i nterface range fastethernet 0/10-11SwitchlOO(config-range-if)#switchport mode trunk 端口 trunkSwitchlOO(config-range-i

37、f)#witchport trunk allowed vian all5、配置汇聚层交换机SwitchlOO的STP协议Switch100(c on fig)#spa nnin g-tree mode rstpSwitch2OO- Switch6OO的配置步骤、命令。Switch(co nfig)#host name Switch6OOSwitch1OO(config)#enable secret mima /设置 enable密码SwitchlOO (con fig)#li ne con OSwitchlOO (config-line)#line vty O 15/设置 vtySwitchl

38、OO (config-line)#password abc 远程登录密码SwitchlOO (con fig-li ne)#loginSwitchlOO (con fig-li ne)#exit4.3核心层交换机的配置核心层是将汇聚层交换机互连起来进行穿越园区网骨干的高速数据交换。这里我们以图4-3中的核心层交换机CoreSwitchA为例进行介绍。如图4-3所示：1*0 / I4.A图4-3核心层交换机1、配置核心层交换机 CoreSwitchA的基本参数及管理IP和默认网关CoreSwitchA (con fig)#li ne con OCoreSwitchA (config-line)#

39、logging synchronousCoreSwitchA (con fig-l in e)#exec-timeout 5 3OCoreSwitchA (config-line)#password abc /线路密码以及交换机登录密码CoreSwitchA (con fig-li ne)#logi nCoreSwitchA (con fig-l in e)#exec-timeout 5 3OCoreSwitchA (con fig-l in e)#exitCoreSwitchA(c on fig)#i nterface vla n 1给 vlan1 分配 IP 地 址和子网掩码CoreSwi

40、tchA(config-if)#no shutdownCoreSwitchA(c on fig-if)#exit设置网关2、配置核心层交换机CoreSwitchA的VLAN在本实例中，核心层交换机CoreSwitchA前面的VLAN配置就跟汇聚层交换机Switch100类似，这里就再不重复了。核心层交换机是与路由器相连的设备，因为没 有路由器接口，所以要划分一个特定的VLAN跟路由器通信，这里用 VLAN 199。如下命令所：CoreSwitchA(co nfig)#vla n 199CoreSwitchA(co nfig)#i nterface vlan 199进入 vian199 分配 I

41、P地址和子网掩码CoreSwitchA(config-if)#no shutdownCoreSwitchA(c on fig-if)#exit3、配置核心层交换机 CoreSwitchA的端口参数在这里端口 F0/3-8因为有多个VLAN信息的交换，所以将其设为trunk模式。F0/1 则是与路由器的相连的端口，将其设为Access 口划分到VLAN 199。F0/2连接的是服务器群，设为Access即可。F0/23-24是跟另一台核心层交换机相连的，为了提供主干 道的吞吐量以及实现冗余而设计的，在本设计中，我们采用的是链中聚合技术，将核心层交换机CoreSwitch的千兆端口 F0/23、F

42、0/24聚合在一起实现 2000Mbps的千兆 以太网信道。CoreSwitchA(config)#interface range fastethernet 0/3-8 /选择多个端口CoreSwitchA(config-rang-if)#switchport mode trunk 设置 trunkCoreSwitchA(config-rang-if)#switchport trunk allowed vian all /trunk 全部 vianCoreSwitchA(c on fig-ra ng-if)#exitCoreSwitchA(c on fig)#i nterface fastet

43、hernet 0/1 / 进入端口CoreSwitchA(c on fig-if)#switchport mode accessCoreSwitchA(config-if)#switchport access vlan 199 把端口划分到 vlan199CoreSwitchA(c on fig-if)#exitCoreSwitchA(c on fig)#i nterface aggrete port 1CoreSwitchA(config-if)#switchport mode trunk /设置 trunkCoreSwitchA(c on fig-if)#exitCoreSwitchA(c

44、onfig)#interface range fastethernet 0/23-24 进入端口 23 24CoreSwitchA(c on fig-ra ng-if)#port-group 1/ 端口聚合CoreSwitchA(c on fig-if)#exit4、配置核心层交换机CoreSwitchA的路由功能核心层交换机 CoreSwitchA通过端 口 FastEthernet 0/1同广域网接入模块(In ternet路由器)相连。因此，需要启用核心层交换机的路由功能。同时，还需要 定义通往In ternet的路由。这里使用了一条缺省路由命令。其中，下一跳地址是In ternet接入

45、路由器的快速以太网接口FastEthernet 1/0的IP地址。CoreSwitchAon fig)#ip rout ing为了使内部的的Vlan信息进行通信，配置RIP路由协议，这在里就不将所有的 Vlan都配置出来了，只是典型的配几个。CoreSwitchA(co nfig)#router rip / 设置默认理由CoreSwitchA(c on fig-router)#versio n 25、配置核心层交换机CoreSwitchA的STP协议CoreSwitchA (con fig)#spa nnin g-tree mode rstp对于核心层交换机 CoreSwitchB的配置步骤、

46、命令和对核心层交换机CoreSwitchA的配置类似。这里，不再详细分析。第5章广域网接入模块配5.1配置边界路由器的基本参数路由器基本参数的配置跟交换机也有点类似。这里，只给出实际的配置步骤, 不再出给出具体的解释。首先看图 5-1所示。配置命令如下:Router(config)#enable secret mima /设置 enable 密码Router(c on fig)#li ne con 0Router(c on fig-li ne)#logg ing synchronousRouter(config-line)#exec-timeout 5 30Router(config-line

47、)#line vty 0 15 /设置 vtyRouter(config-line)#password abc /设置远程登录密码Router(c on fig-li ne)#loginRouter(config-line)#exec-timeout 5 30Router(c on fig-li ne)#exit5.2配置边界路由器的各接口参数1、对接入路由器 Router的各接口参数的配置主要是对接F08、F1/0以及接口Serial 2/0的IP地址、子网掩码的配置。配置命令如下:Router#。on figure termi nalRouter(c on fig)# in terface

48、 fastether net 0/0 进入端口划分 IP 地址和子网掩码Router(c on fig-if)# no shutdow nRouter(c on fig-if)#exitRouter(c on fig)# in terface fastethernet 1/0 /进入端口给端口划分 IP 地址和 子网掩码Router(c on fig-if)# no shutdow nRouter(c on fig-if)#exitRouter(co nfig)#i nterface Serial 2/0 /进入端口给端口划分 IP 地址和 子网掩码Router(c on fig-if)# n

49、o shutdow nRouter(co nfig-if)#clock rate 64000 给路由器设置时钟Router(c on fig-if)#e nd5.3配置边界路由器的路由功能在接入路由器 Router上需要定义两个方向上的路由：到校园网内部的静态路由 以及到In ternet上的缺省路由。至U In ternet上的路由需要定义一条缺省路由，如下命令所示。其中，下一跳指定从本路由器的接口serial 0/0送出。设置默认路由5.4配置边界路由器上的NAT由于目前IP地址资源非常稀缺，对不可能给校园网内部的所有工作站都分配一个 公有IP (In ternet可路由的)地址。为了解决

50、所有工作站访问In ternet的需要，必须使 用NAT (网络地址转换)技术。为了接入In ternet,本校园网向当地ISP申请了 10个 IP地址。其中一个IP地址：被分配给了 In ternet接入路由器的串行接 口，另夕卜 9 个 IP 地址：用作 NAT。定义NAT内部、外部接口Router(c on fig)#i nterface fastethernet 1/0Router(co nfig-if)#ip nat in side / 设置内部接口Router(c on fig)# in terface fastether net 0/0Router(co nfig-if)#ip

51、nat in side / 设置内部接口Router(c on fig-if)#i nterface serial 2/0Router(config-if)#ip nat outside /设置外部接口/定义ISP提供的外部IP地址池/定义允许进行NAT转换的内部IP地址范围Router(c on fig)#ip nat in side source list 10 pool pan overload/为内部本地调用转换地址池5.5配置边界路由器上的访问控制列表路由器是外网进入校园网内网的第一道关卡，是网络防御的前沿阵地。路由器上 的访问控制列表(Access Control List ，AC

52、L )是保护内网安全的有效手段。一个设 计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网 络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于 企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统 安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企 业内网包括防火墙本身实施保护。这里，在本实例中，我们将针对服务器以及内网工作站的安全给出广域网接入路 由器Router上ACL的配置方案。在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。在绝大 多数网络环境的实现中它们都是应该对外加以屏蔽的

53、。主要应该做以下的ACL设计：1、对外屏蔽远程登录协议telnet首先，telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所 使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议 分析设备截获。其次，telnet可以登录到大多数网络设备和UNIX服务器，并可以使用相关命令完全操纵它们。这是极其危险的，因此必须加以屏蔽，如图所示，显示了如何对外屏蔽远程登录协议telnet。Router(c on fig)#access-list 101 deny tcp any any eq tele ntRouter(c on fig)# access-list 1

54、01 permit tcp any any2、对外屏蔽其它不安全的协议或服务这样的协议主要有 SUN OS的文件共享协议端口 2049，远程执行(rsh )、远 程登录 (rlogin )和远程命令(rcmd )端口 512、513、514，远程过程调用(SUNRPC )端口 111。可以将针对以上协议综合进行设计，如下命令所示Router(c on fig)#access-list 101 deny tcp any any range 512 514Router(c on fig)#access-list 101 deny tcp any any eq 111Router(c on fig)

55、#access-list 101 deny tcp any eq 111Router(c on fig)#access-list 101 deny tcp any rang 2049Router(c on fig)#access-list 101 permit ip any any3、针对DoS攻击的设计DoS攻击(Denial of Service Attack，拒绝服务攻击)是一种非常常见而且极具 破坏力的攻击手段，它可以导致服务器、网络设备的正常服务进程停止，严重时会导 致服务器操作系统崩溃。如下命令所示如何设计针对常见DoS攻击的ACLRouter(c on fig)#access-lisl 101 deny icmp any any e