校园网工程策划书

网络工程课程设计报告题目：XX学校校园网络规划及方案设计团队：09计算机网络2班414寝室组员：平，汪勇俊，任学有，鹏远，志郡，冬冬，翔指导老师：应作斌2011年5月10日目录第一章校园网概述及分析 . 41.1概述 41.2 建设校园网的必要性 . 41.3 应用特点：. 5第二章 校园网应用分析 . 52.1项目概述 52.2 用户需求分析 . 52.3 系统设计指导思想 . 6第三章 设备选购和应用说明 . 73.1cisco2811 系列路由器 73.2ciscoCatalyst3560-24PS 系列交换机 83.3CISCOCatalyst2950-24 系列交换机 9第四章 网络基本拓扑图 . 94.1 说明. 94.2A 校区基本拓扑图 104.3B 校区基本拓扑图 . 104.4C 校区基本拓扑图 . 11第五章 规划互联接口 . 135.1A 校区核心层交换机与各三层设备互联的接口与接口地址规划 135.2A 校区2811路由器与防火墙和因特网互联的接口与接口地址规划 135.3A 校区防火墙与 DMZ区服务器接入交换机（ 3560）之间的接口与接口地址规划 145.4B校区各汇聚层交换机与 B校区核心层交换机互联接口及接口地址规划 145.5C校区2811接口与接口地址规划 145.6C校区核心交换机与 2811和防火墙的接口及接口地址规划 145.7 校园网网段地址规划 . 15第六章 公网地址使用规划 . 156.1A 校区ChianNet公网地址使用规 166.2A 校区Cernet公网地址使用规 166.2-1 由于模拟器限制不能执行地址池所以在模拟器上有接口转换 166.2-2 用地址池实现双出口 NAT策略的配置如下所示： 176.3C 校区Chinanet 公网地址使用规 186.4C校区地址转换配置如下所示： 19第七章 校园网设备基本配置示例 . 197.1A 区交换机及路由器配置示例 201A区核心层交换机配置命令： 202A区汇聚层交换机配置命令示例（学生宿舍5）........................223A区边界路由器配置如下：.........................................234A区防火墙配置如下：.............................................245A区服务器接入交换机配置如下：..................................25第八章防火墙的配置.........................................................278.1综合楼汇聚层IP包过滤ACL配置......................................278.2教学楼汇聚层ACL配置...............................................288.3配置校园网防火墙....................................................298-3.1定义和应用WAN口的ACL规则....................................298-3.2定义和应用LAN口的ACL规则....................................308-3.3定义和应用DMZ口的ACL配置...................................31第九章校园网各设备配置和使用注意事项.......................................329.1校园网各设备基本参数和安全性设置：..................................321、设置设备名称：...................................................322、设置设备的加密使能口令：.........................................323、设置登录虚拟终端线时的口令：.....................................324、设置console口登录时的口令：.....................................325、设置终端线超时时间：.............................................326、设置禁用IP地址解析特性：........................................337、设置启用消息同步特性：...........................................338、在使用汇聚层或者核心层交换机时要启用设备的路由功能：.............339、ACL..............................................................339.2通用测试、诊断命令..................................................33第一章校园网概述及分析1.1概述校园网是计算机网络的一个重要领域。 随着计算机网络的日益普及，校园网已经成为各学校必备的信息设计基础， 其规模和应用水平已经成为衡量学校综合实力的主要标志。我国从1994年开始启动中国教育科研计算机网络以来，现已经基本完成了国大部分的校园网，校园网在教育领域的应用越来越广泛。1.2 建设校园网的必要性建设校园网主要目的是为学校的教育教学提供服务。为全校教师、科研人员、管理人员、学生提供一个先进的计算机网络环境，并将计算机引入教学、科研、管理和学习等各个领域。 改善学校教学科研、管理和学习环境，提高其水平。熟悉现代化的工作环境和掌握先进的教学、 科研、管理和学习手段，有利于培养面向世界、面向未来的高层次人才。1.3 应用特点：概括起来，校园网主要有以下 4方面的典型应用：1）教学科研活动：校园网要为教师的教学和科研提供服务，例如通过校园网为教师提供教学资源，提供教师备课，为教学研究提供相关资料。2）教务管理：校园网要为学校的教学管理提供服务，例如通过校园网进行学籍管理，人事管理，财务管理等。3）为学生学习提供帮助：校园网必须为学生学习提供服务，是一种学习工具，它一方面是学生与他人的交流工具，另一方面也是学习资源的提供者，有利于学生进行探索学习和协作学习。第二章 校园网应用分析2.1项目概述XX大学是一所全日制本科学校，学校占地面积为 XXXX多亩，现有学生将近 X万名。学院现有综合楼，实训楼，教学楼，学生宿舍，教工宿舍，图书馆等。为适应信息时代的要求，提升学校教学水平，学院决定建立覆盖全校的校园网， 实现网络化教学。2.2用户需求分析经分析，本校园网的应用需求如下。1）建立以网络中心为核心，连接校园各楼的校园主干网络。2）按校园不同用户的需求，划分相应的子网，以方便网络管理，提高网络性能。3）在整个校园实现资源共享，为教学，科研，管理提供服务。4）建立基于网络的教育挂历及办公自动化系统，实现行政，教学，教务，科研，后勤，财务等日常事务的网络化管理。5）网络教学系统，提供教师电子备课，课件制作，多媒体演示，学生多媒体交互式学习，网络考试，自动教学评估等。6）建立电子图书馆，提供电子阅览功能。7）建立安全，高速的internet连接，实现外互通。8）提供常用的internet应用，包括学校，系统，文件传输。9）为学校提供一定的安全保障，防治黑客入侵和破坏，保障校园网安全。10）为校园网提供简单有效的网络管理措施，实现对整个校园网的管理和控制。11）为校园网提供相应的容错功能，防止在校园网出现故障时导致整个网络瘫痪。2.3系统设计指导思想为保障校园网的建设质量，在建设过程中坚持一下建网原则：1）实用性原则。计算机技术发展迅速，新技术，新设备层出不穷，在网络建设过程中，没必要盲目追求新技术，新设备，而应该坚持“实用”、“够用”的原则，尽量选择成熟可靠的技术和设备，取得最佳性价比。2）开放性原则。在网络建设过程中尽量选择开放的标准和技术，以便和其它网络系统兼容，有利于未来的网络扩充。3）高可靠性。保障网络建成后顺利运行，不会因为网络故障而影响用户使用网络。4）先进性原则。在资金允许的情况下尽量使用国际先进成熟的技术，符合网络技术发展潮流。5）易用性原则。网络必须易于管理和使用。6）安全性原则。整个网络具有一定的安全保障，防止黑客入侵和破坏。7）可扩展性。网络总体设计不仅要考虑近期目标，还要为网络进一步的发展提供扩展空间。上述原则将自始至终贯穿整个系统的设计和实现过程。第三章 设备选购和应用说明3.1cisco2811 系列路由器基本参数如下：模块化局域网接：2个网络管理：协议 CiscoClickStart网络标准：IEEE802.3xQos产品存：DRAM：最大760MB，扩展模块：2个板载AIM（部）电源功率：160W

传输速率：10/100Mbps防火墙：置防火墙支持：支持 VPN支持：支持其它端口：2个固定USB1.1端口插电源电压：AC100-240V，47-63Hz环境标准：工作温度： 0-40℃3.2ciscoCatalyst3560-24PS 系列交换机背板带宽 32Gbps交换方式 存储交换存/闪存32Mb端口类型 10/100 端口|SFP千兆位以太网端口 |1RU支持速率 10Mbps/100Mbps/1000Mbps模块化插槽数 ０个网络标准或规IEEE802.310BASE-T 以太网IEEE802.3u100BASE-TX 快速以太网IEEE802.3ab1000BASE-T 千兆以太网IEEE802.3z 千兆以太网（光纤）ANSI/IEEE802.3NWay 自动协商IEEE802.3x 流量控制是否可网管 支持是否支持全双工 支持是否支持 VLAN支持电源电压 100-240V工作温度 0-45℃3.3CISCOCatalyst2950-24 系列交换机交换机类型 快速以太网交换机传输速率 10/100Mbps网络标准 IEEE802.3u网络协议 纠错局域网协议端口数量 24接口介质 10BASE-T/10BASE-TX3 类或3类以上UTP,100BASE-TX五类。传输模式 支持全双工配置形式 纠错可级联交换方式 纠错存储转发背板带宽 纠错8.8Gbps第四章 网络基本拓扑图4.1说明XX 学校分为 3个校区A,B,C每个校区分别进行规划，规划分三层：核心层， 汇聚层，接入层，并应用相应设备进行组网4.2A 校区基本拓扑图A校区internetMPLSVPN学生宿舍53560汇聚层2950接入层学生宿舍43560汇聚层2950接入层学生宿舍33560汇聚层2950接入层学生宿舍23560汇聚层2950接入层3560汇聚层3560汇聚层3560汇聚层2950接入层2950接入层2950接入层学生宿舍1教工宿舍图书馆

校区3560核心Cernetchinanet10M光纤专线100M光纤专线边界路由器WAN3560核心层LAN防火墙3560DMZ服务器群接入交换机35603560汇聚层3560汇聚层3560汇聚层2950接入层 2950接入层2950接入层⋯⋯⋯教学楼 综合楼 Dmz服务器群实训楼4.3B 校区基本拓扑图B校区教工宿舍4教工宿舍 1 教工宿舍 2 教工宿舍 32950接入层 2950接入层 2950接入层 2950接入层3560汇聚层3560汇聚层3560汇聚层 3560汇聚层3560汇聚层学生宿舍2950接入层3560汇聚层2950接入层教学楼3560核心层Cisco35004.4C 校区基本拓扑图C校区 CHINANETINTERNET100M光纤专线MPLSVPN边界路由器WAN防火墙 3560LANDMZ接入层 2950 核心层交换机 3560⋯⋯⋯⋯⋯汇聚层交换机3560汇聚层交换机3560⋯⋯⋯⋯⋯DMZ区服务器群第五章 规划互联接口5.1A 校区核心层交换机与各三层设备互联的接口与接口地址规划楼宇/设备名称汇聚层交换机型号互联接口汇聚层接口核心层接口核心层交换机互联接口综合楼cisco3560f0/11/30/30f0/1教学楼cisco3560f0/10/30/30f0/1实训楼cisco3560f0/9/300/30f0/1图书馆cisco3560f0/83/304/30f0/1A区教工宿舍cisco3560f0/77/308/30f0/1学生宿舍1cisco3560f0/61/302/30f0/1学生宿舍2cisco3560f0/55/306/30f0/1学生宿舍3cisco3560f0/49/300/30f0/1学生宿舍4cisco3560f0/33/304/30f0/1学生宿舍5cisco3560f0/27/308/30f0/1B校区核心层交换机cisco3560f0/11/302/30f0/1MPLSVPN电信端f0/245/306/30f0/0cisco2811f0/139/300/30f1/0防火墙LAN口cisco3560f0/12/30/30f0/1表5-15.2A 校区2811路由器与防火墙和因特网互联的接口与接口地址规划设备/网络名设称备型号互连接口汇聚层接口ip核地心址层接口ipcisco2811地址防火墙WAN口cisco3560f/2

接口Cernet网

ChinNet

表

5-25.3A 校区防火墙与 DMZ区服务器接入交换机（3560）之间的接口与接口地址规划设备/网设络备名型称互号连接汇口聚层接核口心ip层地接址DMZ口ip交地换址机防火墙表5-35.4B 校区各汇聚层交换机与 B校区核心层交换机互联接口及接口地址规划楼宇名称汇聚层交换机型号互联接口汇聚层接口ip地址核心层接口ip地址核心层交换机互联接口教工宿舍1cisco3560f0/1/30/30f0/3教工宿舍2cisco3560f0/1/30/30f0/4教工宿舍3cisco3560f0/1/300/30f0/5教工宿舍4cisco3560f0/13/304/30f0/6教学楼cisco3560f0/17/308/30f0/7学生宿舍cisco3560f0/11/302/30f0/2表5-45.5C校区2811接口与接口地址规划设备/网络名称设备型号互联接口汇聚层接口ip地址核心层接口ip地址2811接口防火墙WAN口Cisco3560f0/1/30/30f0/1核心层交换机Cisco3560/30/30f1/0ChinaNet29/3030/30f0/0表5-55.6C校区核心交换机与 2811和防火墙的接口及接口地址规划设备名称设备型互号联接口汇聚层接口核ip心地层址接口核ip心地层址交换机互联接口防火墙LANCisco3560F0/3口 MPLSVPN电信端

表5-65.7校园网网段地址规划楼宇/校区名称网段及地址数网段地址地址的聚合表示B校区16个C/24-/24/20综合楼2个C/24-/24/23教学楼2个C/24-/24/23实训楼8个C/24-/24/21图书馆8个C/24-/24/21A区教工宿舍2个C/24-/24/21学生宿舍12个C/24-/24/23学生宿舍22个C/24-/24/23学生宿舍32个C/24-/24/23学生宿舍42个C/24-/24/23学生宿舍52个C/24-/24/23A区电信网内部服务器1个C/24A区教育网内部服务器1个C/24A区和B区未分配地址14个C/24-/24/18C校区129个C/24-/24/17表5-7第六章 公网地址使用规划6.1A 校区ChianNet公网地址使用规公网地址使用规范公网地址使用范围边界路由器和isp互联接口2/30NAT转换地址池6/301/29-0/282/29-1/283/29-2/28内部服务器静态NAT转换4/29-3/285/29-4/286/29-5/287/29-6/288/29-7/28内部服务器使用的网段地址8/28gateway:9表6-16.2A 校区Cernet公网地址使用规公网地址使用规范公网地址使用范围边界路由器互联接口地址/30NAT地址池使用网段/30内部服务器静态NAT转换/29教育网招生录取pc6/284/26教育内部使用地址(64个ipadd)表6-2校园NAT转换示例（以 A校区示例）：6.2-1 由于模拟器限制不能执行地址池所以在模拟器上有接口转换配置命令如下Router>enablePassword:Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfacefastEthernet0/0Router(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#interfacefastEthernet1/0Router(config-if)#ipnatinsideippolicyroute-mapt0Router(config-if)#exitRouter(config)#interfaceethernet0/3/0Router(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#interfacefastEthernet0/1Router(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#ipnatpooldianxin69netmask52Router(config)#ipnatinsidesourcelist101interfacefastEthernet0/1overloadRouter(config)#ipnatinsidesourcelist102interfaceethernet0/3/0overloadRouter(config)#^ZRouter#writeBuildingconfiguration...[OK]6.2-2 用地址池实现双出口 NAT策略的配置如下所示：Router>enablePassword:Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfacefastEthernet0/0Router(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#interfacefastEthernet1/0Router(config-if)#ipnatinsideRouter(config-if)#Router(config-if)#exitroute-mapt0permit10matchipaddress101Router(config)#interfaceethernet0/3/0Router(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#interfacefastEthernet0/1Router(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#Router(config)#setinterfaceFastEthernet0/1Router(config)#route-mapt0permit20Router(config)#matchipaddress102Router(config)#setinterfaceEthernet0/3/0Router(config)#ipnatinsidesourcestatic01Router(config)#ipnatinsidesourcestatic12Router(config)#ipnatinsidesourcestatic23Router(config)#ipnatinsidesourcestatic34Router(config)#ipnatinsidesourcestatic45Router(config)#ipnatinsidesourcestatic56Router(config)#ipnatinsidesourcestatic67Router(config)#ipnatinsidesourcestatic78Router(config)#ipnatpooljiaoyunetmask52Router(config)#ipnatpooldianxin69netmask52Router(config)#access-list101permitipanyanyRouter(config)#access-list102permitipananRouter(config)#ipnatinsidesourcelist101pooldianxinoverloadRouter(config)#ipnatinsidesourcelist102pooljiaoyuoverloadRouter(config)#^ZRouter#writeBuildingconfiguration...[OK]6.3C 校区Chinanet公网地址使用规如表6.3所示：公网地址使用规范公网地址使用范围边界路由器和isp互联接口20/30NAT接口端口转换f0/0:306.4C校区地址转换配置如下所示：Router>enableRouter#configureConfiguringfromterminal,memory,ornetwork[terminal]?Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#access-list1permitanyRouter(config)#interfacefastEthernet0/0Router(config-if)#ipnatoutsideRouter(config)#interfacefastEthernet1/0Router(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#interfacefastEthernet0/1Router(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#ipnatinsidesourcelist1interfacefastEthernet0/0overloadRouter(config)#^ZRouter#%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsolewrRouter#writeBuildingconfiguration...[OK]第七章 校园网设备基本配置示例校园网分为三个校区：A、B、C，基本的路由器和交换机的使用策略是一样的，配置命令相仿，现在以A校区的部分设备为例进行示7.1A 区交换机及路由器配置示例1A区核心层交换机配置命令：switch(config)#hostnameAhexinAhexin(config)#enablesecretjpAhexin(config)#linevty04Ahexin(config-line)#passwordjpAhexin(config-line)#loginAhexin(config-line)#exitAhexin(config)#lineconsole0Ahexin(config-line)#passwordjpAhexin(config-line)#exitAhexin(config-if)#interfacefastEthernet0/1Ahexin(config-if)#noswitchportAhexin(config)#interfacefastEthernet0/2Ahexin(config-if)#noswitchportAhexin(config-if)#exitAhexin(config)#interfacefastEthernet0/3Ahexin(config-if)#noswitchportAhexin(config-if)#exitAhexin(config)#interfacefastEthernet0/4Ahexin(config-if)#noswitchportAhexin(config-if)#exitAhexin(config)#interfacefastEthernet0/5Ahexin(config-if)#noswitchportAhexin(config-if)#exitAhexin(config)#interfacefastEthernet0/6Ahexin(config-if)#noswitchportAhexin(config-if)#exitAhexin(config)#interfacefastEthernet0/7Ahexin(config-if)#noswitchportAhexin(config-if)#exitAhexin(config)#interfacefastEthernet0/8Ahexin(config-if)#noswitchportAhexin(config-if)#exitAhexin(config)#interfacefastEthernet0/9Ahexin(config-if)#noswitchportAhexin(config-if)#exitAhexin(config)#interfacefastEthernet0/10Ahexin(config-if)#noswitchportAhexin(config-if)#exitAhexin(config)#interfacefastEthernet0/11Ahexin(config-if)#noswitchportAhexin(config-if)#exitAhexin(config)#interfacefastEthernet0/12Ahexin(config-if)#noswitchportAhexin(config-if)#exitAhexin(config)#interfacefastEthernet0/13Ahexin(config-if)#noswitchportAhexin(config-if)#exitAhexin(config)#interfacefastEthernet0/24Ahexin(config-if)#noswitchportAhexin(config-if)#exitAhexin(config)#interfacerafastEthernet0/24Ahexin(config-if-range)#noshutdownAhexin(config-if-range)#exitAhexin#%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsolewrBuildingconfiguration...[OK]2A区汇聚层交换机配置命令示例（学生宿舍5）Switch>enableSwitch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#enablesecretjpSwitch(config)#hostnamexueshengsushe5xueshengsushe5(config)#interfacefastEthernet0/1xueshengsushe5(config-if)#noswitchportxueshengsushe5(config)#vlan2xueshengsushe5(config-vlan)#namexueshengsushe5-1xueshengsushe5(config-vlan)#exitxueshengsushe5(config)#vlan3xueshengsushe5(config-vlan)#namexueshengsushe5-2xueshengsushe5(config-vlan)#exitxueshengsushe5(config)#interfacerangefastEthernet0/2-7xueshengsushe5(config-if-range)#SWitchportModeAccessxueshengsushe5(config-if-range)#switchportaccessvlan2xueshengsushe5(config-if-range)#exitxueshengsushe5(config)#interfacerangefastEthernet0/8-13xueshengsushe5(config-if-range)#switchportmodeaccessxueshengsushe5(config-if-range)#switchportaccessvlan3xueshengsushe5(config-if-range)#exitxueshengsushe5(config)#iproutingxueshengsushe5(config)#interfacevlan2%LINK-5-CHANGED:InterfaceVlan2,changedstatetoupxueshengsushe5(config-if)#xueshengsushe5(config-if)#exitxueshengsushe5(config)#interfacevlan3xueshengsushe5(config-line)#loginxueshengsushe5(config-line)#exitxueshengsushe5(config)#lineconsole0xueshengsushe5(config-line)#passwordjpxueshengsushe5(config-line)#exitxueshengsushe5(config)#^Zxueshengsushe5#%SYS-5-CONFIG_I:Configuredfromconsolebyconsolexueshengsushe5#writeBuildingconfiguration...[OK]3A区边界路由器配置如下：Router>enableRouter#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfacefastEthernet0/0Router(config-if)#noshutdown%LINK-5-CHANGED:InterfaceFastEthernet0/0,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/0,changedstatetoupRouter(config-if)#exitRouter(config)#interfacefastEthernet1/0Router(config-if)#noshutdown%LINK-5-CHANGED:InterfaceFastEthernet1/0,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet1/0,changedstatetoupRouter(config)#interfacefastEthernet0/1Router(config-if)#noshutdown%LINK-5-CHANGED:InterfaceFastEthernet0/1,changedstatetoupRouter(config-if)#noshutdownRouter(config-if)#exitRouter(config)#interfaceethernet0/3/0Router(config-if)#noshutdown%LINK-5-CHANGED:InterfaceEthernet0/3/0,changedstatetoup%LINEPROTO-5-UPDOWN:Line protocol onInterface Ethernet0/3/0, changedstate toup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/1,changedstatetoupRouter(config-if)#exitRouter(config)#enablesecretjpRouter(config)#linevty04Router(config-line)#passwordjpRouter(config-line)#loginRouter(config-line)#exitRouter(config)#lineconsole0Router(config-line)#passwordjpRouter(config-line)#^Z%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleRouter#wrBuildingconfiguration...[OK]4A区防火墙配置如下：Switch>enableSwitch#configuretEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#enablesecretjpSwitch(config)#linevty04Switch(config-line)#passwordjpSwitch(config-line)#loginSwitch(config-line)#exitSwitch(config)#lineconsole0Switch(config-line)#passwordjpSwitch(config-line)#exitSwitch(config)#interfacefastEthernet0/1Switch(config-if)#noshutdownSwitch(config-if)#noswitchport%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/1,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/1,changedstatetoSwitch(config-if)#interfacefastEthernet0/3Switch(config-if)#noshutdownSwitch(config-if)#noswitchport%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/3,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/3,changedstatetoSwitch(config-if)#interfacefastEthernet0/2Switch(config-if)#noshutdownSwitch(config-if)#noswitchportSwitch(config-if)#exitSwitch(config)#^Z%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleSwitch#writeBuildingconfiguration...[OK5 A 区服务器接入交换机配置如下：Switch>enableSwitch#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#enablesecretjpSwitch(config)#linevty04Switch(config-line)#passwordjpSwitch(config-line)#loginSwitch(config-line)#exitSwitch(config)#lineconsole0Switch(config-line)#passwordjpSwitch(config-line)#exitSwitch(config)#interfacefastEthernet0/3Switch(config-if)#noswitchport%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/3,changedstatetodownSwitch(config-if)#exitSwitch(config)#interfacerangefa0/1-2Switch(config-if-range)#switchportmodeaccessSwitch(config-if-range)#switchportaccessvlan2Switch(config-if-range)#exitSwitch(config)#interfacevlan2%LINK-5-CHANGED:InterfaceVlan2,changedstatetoupSwitch(config-if)#exitSwitch(config)#iproutingSwitch(config)#exit%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleSwitch#writeBuildingconfiguration...[OK]第八章 防火墙的配置8.1综合楼汇聚层 IP包过滤ACL配置配置分析：综合楼是学校的办公楼，不需要对用户的上网行为进行控制，因此ACL的蛀牙功能是过滤常见的病毒传播端口，控制病毒在网络上的传播做法为：配置一个ACL列表，然后应用到交换机的全部端口，常见的病毒端口如表8-1所示：病毒名称TCP端口UDP端口Blaster蠕虫444469冲击波病毒135-139、445、593135-139、445、593震荡波病毒445、5554、9995、9996SQLServer病毒14341434表8-1配置命令如下所示：Switch>enableSwitch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#access-list101denytcpanyanyeq4444Switch(config)#access-list101denyudpanyanyeq69Switch(config)#access-list101denytcpanyanyrange135139Switch(config)#access-list101denytcpanyanyeq445Switch(config)#access-list101denytcpanyanyeq539Switch(config)#access-list101denytcpanyanyeq445Switch(config)#access-list101denytcpanyanyeq5554Switch(config)#access-list101denytcpanyanyeq9995Switch(config)#access-list101denytcpanyanyeq9996Switch(config)#access-list101denytcpanyanyeq1434Switch(config)#access-list101denyudpanyanyra135139Switch(config)#access-list101denyudpanyanyeq445Switch(config)#access-list101denyudpanyanyeq593Switch(config)#access-list101denyudpanyanyeq1434Switch(config)#access-list101permitipanyanySwitch(config)#interfacerangefastEthernet0/1-24Switch(config-if-range)#noswitchportSwitch(config-if-range)#ipaccess-group101inSwitch(config-if-range)#^ZSwitch#%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleSwitch#writeBuildingconfiguration...[OK]8.2 教学楼汇聚层ACL配置配置分析：教学楼计算机的使用者众多，主要包括教师学生和其他人员，为了控制用户使用网络的流量和病毒传播，应使用较高的安全措施，即只允许用户进行常用网络操作，其余操作全部禁止。常用网络操作端口如表 8-2所示功能TCP端口UDP端口功能TCP端口UDP端口HTTP上网80DNS域名解析5353FTP文件传输20、21DHCPIP地址分配67、68SMTP邮件传输25HTTPS上网443POP3邮件传输110表8-2配置如下所示：Switch>enableSwitch#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#access-list101permittcpanyanyeq80Switch(config)#access-list101permittcpanyanyeq20Switch(config)#access-list101permittcpanyanyeq21Switch(config)#access-list101permittcpanyanyeq25Switch(config)#access-list101permittcpanyanyeq53Switch(config)#access-list101permittcpanyanyeq443Switch(config)#access-list101permitudpanyanyeq53Switch(config)#access-list101permitudpanyanyeq67Switch(config)#access-list101permitudpanyanyeq68Switch(config)#access-list101denyipanyanySwitch(config)#interfacerafastEthernet0/1-24Switch(config-if-range)#noswitchport%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/2,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan2,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/2,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan2,changedstatetoSwitch(config-if-range)#ipaccess-group101inSwitch(config-if-range)#^Z%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleSwitch#writeBuildingconfiguration...8.3配置校园网防火墙在本校园网拓扑结构中，防火墙仅用来保护 DMZ区中的服务器群以免受到因特网和校园网的攻击。1、网和因特网用户，可以访问 DMZ区的WWW、HTTPS、FTP、SMTP、POP3、DNS、DHCP服务，并允许 服务器2、DMZ区中的主机可以任意访问因特网中的 WWW、HTTPS、FTP、SMTP、POP3、DNS、DHCP服务，并允许 ping因特网中的任意主机DMZ服务器群提供的服务如表 8-3所示：服务器IP地址

提供的服务

服务对应的端口TCP

UDP

WWW、HTTPS、FTP、ICMP

80、443、20、21

FTP

20、21

SMTP、POP3

25、110

DNS

53

53

DHCP

67、68表

8-3配置命令如下所示：8-3.1 定义和应用 WAN口的ACL规则firewall>enablePassword:firewall#conftfirewall(config-if)#ipaccess-group101infirewall(config-if)#^Z%SYS-5-CONFIG_I:Configuredfromconsolebyconsolewrfirewall#writeBuildingconfiguration...[OK]8-3.2 定义和应用 LAN口的ACL规则配置命令如下：firewall#configureterminalfirewall(config-if)#^Zfirewall#%SYS-5-CONFIG_I:Configuredfromconsolebyconsolefirewall#writeBuildingconfiguration...[OK]8-3.3 定义和应用 DMZ口的ACL配置配置命令如下：firewall#conftfirewall(config)#access-list 103permit echo-replyfirewall(config)#access-list 103permit tcp anyhost 6768firewall(config)#access-list103permittcpanyanyeq53firewall(config)#access-list103permitudpanyanyeq53firewall(config)#access-list103permittcpanyanyeqfirewall(config)#access-list103permittcpanyanyeq443firewall(config)#access-list103permittcpanyanyr