网络工程-梅州大学校园网络规划设计方案

[10]。定义一些ACL策略来限制梅州大学校园网的一些上网行为，为全校师生以及工作人员提供一个安全、稳定的网络环境。梅州大学校园网ACL定义策略如下：1.定义校园网的全校师生在周一到周五到06：00到23:30可以访问互联网2.定义校园网学生宿舍禁止访问行政办公楼。在核心层交换机SW配置acl命令如下：[HJSW]time-rangefwenww06:00to23:30working-day//配置全校师生上网时间为周一到周五的06:00to23:30[HJSW]aclnumber2001//在acl中应用策略[HJSW-acl-basic-2001]rule10permitsource55time-rangefwenww[HJSW-GigabitEthernet0/0/5]traffic-filteroutboundacl2001//把acl应用到接口HJSW]aclnumber2003//设置acl禁止学生宿舍访问行政办公楼。[HJSW-acl-basic-2003]ruledenysource55[HJSW-GigabitEthernet0/0/1]traffic-filteroutboundacl20035.8防火墙安全区域技术防火墙它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络。梅州大学校园网络作为学校重要的基础设施，也为保障全校教职工和学生的上网安全因此在网络规划时加入了防火墙设备。在这里将外网划分为UNTRUST区（不安全区域），安全等级为5；服务器群划分到DMZ区（安全中等区域），安全等级为50；校园局域网划分到trust区（安全区域），安全等级为85，不同区域间数据流通需要配置相关的安全策略，安全区域示意图如图5-9所示。图5-9防火墙安全区域示意图1.为了防止黑客利用校园网内网地址恶意攻击服务器，配置安全策略，仅允许全校师生能访问http、ftp和DNS服务，同时禁止内部网络地址向服务器发送ICMP服务请求。配置命令如下：[FW1]policyinterzonetrustdmzoutbound[FW1-policy-interzone-trust-dmz-outbound]policy1[FW1-policy-interzone-trust-dmz-outbound-1]policydestination55[FW1-policy-interzone-trust-dmz-outbound-1]policyserviceservice-setdns[FW1-policy-interzone-trust-dmz-outbound-1]policyserviceservice-sethttp[FW1-policy-interzone-trust-dmz-outbound-1]policyserviceservice-setftp[FW1-policy-interzone-trust-dmz-outbound-1]actionpermit//允许trust区域内所有师生能够访问到DMZ区域内网段提供的http、ftp和DNS服务[FW1-policy-interzone-trust-dmz-outbound]policy2[FW1-policy-interzone-trust-dmz-outbound-2]policysource55[FW1-policy-interzone-trust-dmz-outbound-2]policyserviceservice-seticmp[FW1-policy-interzone-trust-dmz-outbound-2]actiondeny//禁止trust区域源网段向DMZ区域发起ICMP服务通过上述命令，仅允许全校师生能访问http、ftp和DNS服务，同时禁止内部网络地址向服务器发送ICMP服务请求。避免服务器集群被恶意攻击。2.学校内网用户可以访问外网，而外网用户只能允许访问学校服务器对外提供网页服务（http服务）其它的不被允许访问，因此从UNTRUST区到DMZ区的动作在inbound方向上也是允许的，仅限于http服务。[FW1]policyinterzonetrustuntrustoutbound[FW1-policy-interzone-trust-untrust-outbound]policy1[FW1-policy-interzone-trust-untrust-outbound-1]actionpermit//内网用户可以访问外网[FW1]policyinterzonedmzuntrustinbound[FW1-policy-interzone-dmz-untrust-inbound]policy1[FW1-policy-interzone-dmz-untrust-inbound-1]policyserviceservice-sethttp[FW1-policy-interzone-dmz-untrust-inbound-1]actionpermit5.9本章小结本章重点内容对梅州大学已设计的网络系统进行实施。通过创建VALN，搭建服务器集群，配置OSPF动态路由协议、网络地址转换协议、STP生成树协议、访问控制列表的运用、防火墙安全区域技术等一系列技术对校园网络系统设计中所需要实现的功能在华为ENSP模拟器进行试运行。

第6章设备连通性测试6.1验证DHCP服务所有的主机都设计成自动获取IP地址。例如VLAN22下的行政办公楼的主机，如图6-2所示。图6-1主机设为DHCP自动获取在主机的命令行使用ipconfig查看获取的DHCP服务由图6-2可以看到，PC机在发送DHCP请求后得到了分配的IP地址。图6-2获取的IP信息6.2VLAN间通信测试用教师公寓的主机访问和行政办公楼的一台设备。图6-3教师公寓的主机IP信息进行ping测试，通过三层交换机实现VLAN间的通信，如图6-4所示。图6-4测试结果信息6.3验证服务器群6.3.1验证Web服务器内网的一个客户端访问WEB服务器，如图6-5所示：访问成功图6-5访问WEB服务结果图6.3.2验证FTP服务器使用内网的任意一个客户端访问FTP服务，结果如图6-6所示：访问成功图6-6访问FTP服务器结果6.3.3验证DNS服务器内网的一个客户端访问DNS服务器，如图6-7所示：访问成功图6-7访问DNS服务器结果6.4OSPF协议配置验证通过不同子网：用行政办公楼的主机访问防火墙g0/0/0口的IP地址（/24），位置信息如图6-8所示。图6-8防火墙g0/0/0接口位置进行ping测试结果如图6-9所示。图6-9测试结果6.5NAT协议配置验证首先用校园内网行政办公楼的主机Ping测试外网地址测试结果如图6-10所示。图6-10测试结果在防火墙的命令行输入查看转换信息的命令：displayfirewallsessiontable如图6-11所示，发现端口转换了。图6-11防火墙的信息6.6生成树配置信息核心层的交换机配置生成树协议，进行部分端口堵塞，其中LSW11为主根桥，LSW13备用根桥。1.查看核心交换机LSW11端口信息：全部的端口为转发状态，所有的端口都是指定端口，如图6-12所示。图6-12核心层交换机LSW11的端口信息2.查看核心交换机LSW13端口信息：全部的端口为转发状态，有两个端口是指定端口，一个端口是根端口，如图6-13所示：图6-13核心层交换机LSW13的端口信息3.在汇聚层交换机LSW6查看端口信息：G0/0/3为ALTE端口，处于丢弃状态，无法转发数据，所以为阻塞端口，如图6-14所示。图6-14汇聚层交换机LSW6的端口信息4.核心交换机LSW11正常工作时如图6-15所示，行政办公楼主机可以访问外网如图6-16所示。图6-15LSW11正常工作图图6-16访问外网测试结果交换机LSW11出现故障时如图6-17所示，备份LSW13立即就可以使用保持数据的正常转发：行政办公楼主机仍然可以访问外网，如图6-18所示。图6-17LSW11出现故障图图6-18访问外网测试结果这样实现了链路冗余备份。6.7ACL访问验证在这里用VLAN34学生宿舍1栋的pc主机访问行政办公楼的主机发现学生宿舍的主机访问不了行政办公楼的主机如图6-19所示。图6-19学生主机访问行政办公楼测试结果另外一个ACL配置验证在ENSP模拟器模拟不出效果。6.8防火墙安全策略验证1.用行政办公楼的主机pingDMZ区域的DNS服务器:无法ping通，如图6-20所示。图6-20访问DNS的测试结果2.用行政办公楼的主机访问DMZ区域的web服务器的服务:发现可以访问，如图6-21所示。图6-21访问Web服务器测试结果3.从6.6生成树配置信息验证、6.7ACL访问验证中就已经验证了校园网内部用户可以访问外部网络。4.使用外网客户端访问梅州大学校园网服务器的http服务，结果如下图6-22所示。图6-22外网访问校园网服务器测试结果图5.使用外网客户端对梅州大学校园网服务器进行Ping测试，结果如图6-23所示。图6-23外网对服务器的Ping测试结果图从上面的4、5验证结果来看外网用户只能访问校园网的http服务而不能进行其它访问。6.9本章小结本章是针对梅州大学网络设计中涉及的网络设备所做的一个连通性测试，实验测试结果证明了梅州大学网络设计方案的可实现性，确保校园网络系统正常运行。

第7章总结本次梅州大学校园网络规划设计中，前期分析了梅州大学的地理位置、建立校园网的背景、性能各方面的需求以及校园网服务的对象等为中期的校园网的逻辑网络设计和综合布线设计做铺垫。在逻辑网络设计部分梅州大学校园网采用了层次化的网络结构，即核心层、汇聚层、接入层三级架构，将梅州大学的以楼栋为单位将网络分开，便于校园网络的管理和维护。主干网络采用千兆，可拓展万兆，百兆到桌面设计思想，根据现阶段的校园网对网络的综合需求，在设计梅州大学校园网的时候主要考虑网络的稳定性、安全性、实用性以及可拓展性。在综合布线设计的部分根据情况没有把所有楼栋的布线一一详细说明，主要是对教学楼的那部分进行设计。在教学楼的综合布线设计主要分析了工作区子系统、水平布线子系统、垂直干线子系统、管理区间子系统以及设备间子系统。在梅州大学校园网的网络中技术上主要运用了：VLAN技术、DHCP服务、OSPF动态路由协议、STP生成树协议、ACL访问控制列表、NAT技术、防火墙安全区域技术等相关知识通过这些知识的综合运用。这样既保证了校园网络的安全稳定的运行，又能为全校师生提供高效便捷的网络服务。本次对梅州大学校园网的网络设计和建设中，将所学的知识进行了整合设计。校园网络是属于中大型的网络，故在此次设计中结合目前校园网的现状，以及互联网的发展趋势，保证梅州大学的校园网具有可拓展性以便适应未来网络的发展。

参考文献何利.网络规划与设计实用教程.第一版.北京：人民邮电出版社,2018王相林.网络工程设计与应用.第一版.北京：清华大学出版社,2011段永福.计算机网络规划与设计.第二版.杭州：浙江大学出版社,2014徐慧洋.《华为防火墙技术漫谈》.人民邮电出版社，2016.02华为技术有限公司.HCNA网络技术学习指南[M].北京：人民邮电出版社，2015华为技术有限公司.HCNP路由交换学习指南[M].北京：人民邮电出版社，2014赵启升.网络综合布线与组网工程.第一版.北京:科学出版社2008王勇.网络综合布线与组网工程.第二版.北京:科学出版社,2011.01黄林国.计算机网络技术项目化教程.第2版.北京：清华大学出版社，2016雷震甲.网络工程师教程.第五版.清华大学出版社，2014JamesF.KuroseandKeithW.Ross,ComputerNetworking,ATop-DownApproach[M],FourthEdition,PearsonEducation,Inc.2009]GaryWrigh、W.RichardStevens.TCP/IP详解，机械工业出版社，2016.

致谢光阴似箭，日月如梭，一转眼间就到了毕业的时间。在毕业设计快结尾的时刻，这也意味着大学生活即将结束。在我的大学生活当中有许许多多美好的回忆，这将是我青春里最宝贵的财富，同时我在大学中收获了同学、朋友以及知识。我的毕业设计是在我们系的叶开珍老师的悉心指导下完成的，我非常感谢她能在百忙之中对我的毕业设计里存在的不足和一些问题给与审查和修正，让我的毕业设计更加的规范、严谨。在