毕业设计(校园网规划与设计)(共32页)

《毕业设计(校园网规划与设计)(共32页)》由会员分享，可在线阅读，更多相关《毕业设计(校园网规划与设计)(共32页)（32页珍藏版）》请在装配图网上搜索。

1、精选优质文档-倾情为你奉上目录专心-专注-专业摘要：本论文全面介绍了校园网建设的各种知识。重点对校园网中的交换路由配置做了详细的解释。论文由六个章节构成，分别对校园网的概述、校园网的需求分析与设计方案、交换机的模块设计、路由器的模块配置、服务器介绍与系统测试及结论、致谢及参考文献都进行了说明。校园网络建设也算是一项比较复杂的工程,本论文没有将所有的交换路由配置都写出来，只是配置了几个典型。在防火墙跟服务器方面也只是做了简单的介绍。校园网实现了教育资源的最大共享和信息的最快获取。关键词：虚拟局域网；路由器；交换机；服务器.Abstract: In this paper, a comprehens

2、ive introduction to the campus network of knowledge. Focus on the campus network to exchange routing configuration has done a detailed explanation. Papers of six chapters constitute, respectively, for an overview of the campus network, campus network needs analysis and design, the modular design of

3、the switches, routers configuration of modules, servers and introduced the system testing and conclusions, with references to thank all for The description. Campus Network is also building a more complex project, the paper will not exchange all the routing configuration Duxiechulai, just a few typic

4、al configuration. With the server behind a firewall but also made a brief introduction. Campus Network has the largest share of educational resources and information access to the fastest.Key words: Vlan；router；switch；server.第1章 校园网概述Internet技术的发展，推动人们从各个角度去研究计算机网络，以使之在各个领域得到广泛、成功的应用。校园网的概念是指大、中、小学教

5、育单位的网络，它以应用为目的，基于Internet/Intranet技术的计算机网络和它的使用者以及相关规章制度的集合。校园网是利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件，将校园内计算机、计算机教室和各种终端设备有机地集成在一起，并用于教学、教科研、学校管理、信息资源共享和远程教学等方面工作的计算机局域网络系统。校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。校园网建设的必要性：在我国，学校是处于影响整个社会深刻变革的中心地位，所以是否在学校采用最先进的信息和传播技术是一个有决定性意义的问题。随着计算机多媒体和网络技术的不断发展与普及，校园网信息

6、系统的建设，是非常必要的，也是可行的。主要表现在：1、当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段，发展对学校教育现代化的建设提出了越来越高的要求。2、教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。个人是否具有获得信息和处理信息的能力对于能否成功进入职业界和融入社会都是个决定性的因素,因此学校应该培养所有学生具有驾驭和掌握这种技术的能力。另一方面,信息技术在作为青少年教育工具的同时也向青少年提供了前所未有的机会。新技术提供的机会以及它们在教学方面具有的优势都是很多的,特别是

7、计算机和多媒体系统的使用有助于个人化的道路,每个学生在个人的学习道路上都可以按照自己的速度发展。3、我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络上运。行的软件及多媒体系统，并且越来越形象化、实用化，迫切需要网络环境。4、现代教育改革的需要。在校园网中将计算机引入教学各个环节，从而引起了教学方法、教学手段、教学工具的重大革新。对提高教学质量，推动我国教育现代化的发展起着不可估量的作用。网络又为学校的管理者和老师提供了获取资源、协同工作的有效途径。毫无疑问,校园网是学校提高管理水平、工作效率、改善教学质量的有力手段,是解决信息时代教育问题的基本工具。5、我们

8、认为，随着时代的进步、科技的发展，在现代化信息技术管理上，学校将面临新的挑战。为了提高学校自身的现代化管理水平，丰富教学方法和手段，提高工作效率，及时掌握各种相关信息，提高处理各种业务及突发事件的能力，加强管理，拥有现代化信息技术手段，利用计算机网络与通信技术，全面、迅速、准确地掌握信息，已成为学校内部管理和教学业务处理的迫切需要。第2章 校园网的需求分析与设计方案2.1需求分析作为校园网建设，不但要满足现有的校园网需求，而且要考虑到将来的整体需求，因而要从下面几个方面来考虑校园网建设的整体需求：1、网上数据流特点：大学校园网具有网络互联的广泛性和使用多样性等特点，广播包将对数据流产生较大的影

9、响，校园网的数据并发性，一般是呈现波峰波谷的，绝大多数情况下，存在高并发性访问的因素，除了周末或者夜间学生晚自修之后的时间，某些特殊的应用也有可能对负荷有突发要求，如使用空间数据，大范围数据搜索，视频方面的应用等，这些突发的负荷有相当一部分转移到应用设备上。这些流量的转移对于网络设备提出了较高的要求，必须要求核心（汇聚）设备均支持万兆技术。2、校园网主干需要的数据流量：网络主干流量的是基于业务工作在网上展开的情况分析，实际上对网络流量的需求是逐步提升的，特别是要协同体系出现后，干道的流量会大量的增加。考虑到信息点同时在线的收敛比，本网络已经具备极高的伸缩能力，以满足其很强的扩展性要求。3、网络

10、流量分析：根据的业务，每位学生主要需求占用的带宽为：视频流、数据、语音、图形、等。考虑应用上某些并发的排斥特点，以及网络应用环境对通畅性的要求，一般每位学生占用的平均实际网络带宽约为1M左右即可以完全满足以上需求，在满足网络在有收敛比的情况下的带宽要求；这就要求汇聚、核心设备均具备万兆智能能力。2.2网络层次分析1、核心层需求分析在校园网核心层设备担负着连接各个汇聚设备的工作，同时通过设备的互联，将分布在各物理位置的区域网络连接在一起形成一套完整的网络。核心层设备担负着整个网络的流量。骨干设备和链路的稳定性将直接影响整个网络的可靠运行。由于骨干设备在网络核心层中，需要高性能、冗余备份，所以采用

11、链路聚合技术。完成网络骨干层高速数据交换、转发以及稳定性的要求。骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种业务的高质量传输，才能使网络不成为业务开展的瓶颈。2、汇聚层分析(1) 高速运送区域流量，主要工作是交换区域数据包。(2) 高可靠性及冗余性。(3) 提供故障隔离。(4) 较少的时延和好的可管理性。(5) 良好的路由交换能力。(6) 良好的区域汇聚能力。(7) 良好的万兆能力。要求汇聚设备必须是纯千兆的高性能交换机；在校园网中汇聚设备担负着网络接入层和骨干设备的连接，网络汇聚层有着承上启下的重要任务。汇聚设备不但要完成接入层的链路汇聚和流量汇聚还要

12、完成本地数据的交换以及接入和骨干之间的数据转发。作为骨干层的入口和接入层的出口，汇聚层的身份如同关卡。为保证整个网络良好运行在汇聚层同样需要高性能、关键部件冗余等特性。3、接入层分析接入层在整个网络的边缘，学生通过接入设备接入网络。为保证整个网络安全高效的运行，作为网络的入口接入设备的智能识别是一项重要的功能。2.3总体设计方案1、设计目标建成一个具有高可靠性和开放性的校园网络，它应支持流行的SNMP等网络管理协议；采用Internet上的标准协议-TCP/IP协议，提供校园内部及面向全球的WWW服务、FTP服务、电子邮件服务，实现与国际互联网的完全接轨；同时它还应具有支持通用大型数据库的功能

13、，支持多种协议，具有良好的软件支持；采用模块化结构设计，容易升级；还应针对学校的教学特点，具有一些基本的教学功能，以完成学校的基本教学任务。2、设置原则（1）度身定制：对用户的需求进行了定量分析。站在用户的立场上，为用户“度身定制”出网络方案。本着实用的原则，尽量使用成熟先进的平台软件，以缩短教学课件的开发周期。（2）素质教育与先进技术的完美结合：采用先进成熟的技术和分布式的结构，以便于开发和维护；采用集群解决方案，以保证连续工作；为保证网络速度而采用高的带宽等，真正实现了“现代化素质教育与Intel先进技术的完美结合”。（3）校园网对网络设备的要求：采用Intel全线产品，高性能、高可靠性和

14、高可用性、可管理性、采用国际统一的标准。（4）可扩展性：考虑现有网络的平滑过度，使学校现有陈旧设备尽量保持较好的利用价值；选用产品应具有最佳性价比，又要应充分考虑未来可能的应用，具有高扩展性。 2.4网络设备选型网络设备的选型是网络运行性能和售后服务的关键，对于设备选型基于以下几点考虑：首先，网络中心的中心设备，承担着整个网络性能好坏的关键，我建议选用比较高档的中心设备，既能保证满足服务的需要，不会出现广播风暴或通信瓶颈问题；又能保证几年之内设备不会过时。其次，选择品牌时考虑比较多的是：生产厂商的可靠性和稳定性、技术领先性和成熟性、设备的完整系列性、设备的可升级性、是否具备完善的售后服务体系来

15、支持用户的应用、是否为主流产品（这将决定用户接收产品熟悉产品的成本和产品的通用性）、在国内是否有比较完备的备件库和维护维修能力、其安全性是否适合用户的要求。在本方案中，使用的是锐捷的网络产品作为网络的中心交换、路由和分支交换设备，下面介绍产品：1、锐捷RG-R3642 路由器: 采用模块化设计，提供了多个网络/语音模块插槽，支持种类丰富、功能齐全、高密度的网络/语音模块，可实现更多的组合应用。支持IPv4/IPv6，VoIP特性等，提供丰富的备份方案及QoS特性；硬件采用模块化结构，具有更高的处理能力和更大的接入密度。远远高于业界同等档次的产品。商家报价：21890 至 22606 元 路由器

16、类型：模块化路由器局域网接口：2个10/100M快速以太网口网络认证标准：PAP, CHAP, AAA, Radius路由器网管功能：采用标准CLI界面, 操作更简单2、锐捷 RG-S3760-24 核心层交换机：为大型网络汇聚和中型网络核心提供了IPv4/IPv6的多层交换、端到端的服务RG-S3760系列交换机硬件支持IPv4/IPv6双协议栈多层线速交换和功能特性，为IPv6网络之间的通信提供了丰富的Tunnel技术，并提供了丰富而完善的路由协议，以适合大型网络多种路由和多业务的需要。 商家报价：25000元至27000元应用类型：工作组交换机背板带宽(Gbps)：37.6传输速率(Mb

17、ps)：10/100/1000固定端口数：28模块化插槽数：43、锐捷 STAR-S2126G 汇聚层交换机STAR-S2126G/S2150G可通过SNMP、Telnet、Web和Console口等多种配置方式提供丰富的管理。S2126G/S2150G以极高的性价比为各类型网络提供完善的端到端的QoS服务质量、灵活丰富的安全策略管理和基于策略的网管，最大化满足高速、安全、智能的企业网新需求。 报价：4000元背板带宽：12.8Gbps接口数量：24个 模块化插槽数：2个4、锐捷 RG-S1824GT 接入层交换机服务于大中型企业网络、校园网络、网吧和宽带社区等多种高速数据传输应用场合RG-S

18、1824GT具有24个10/100/1000Mbps自适应RJ45的交换端口，所有端口可以根据连接的设备，自动将连接速度和工作模式调整到需要的方式，而无须更改网络结构。报价：1800元 在防火墙方面则使用CISCO ASA5505-SEC-BUN-K9 防火墙Cisco ASA 5500 系列在一个平台中有力地提供了多种已经获得市场验证的技术，无论从运营角度还是从经济角度看，都能够为多个地点部署各种安全服务。经过市场验证的安全与VPN功能 - 全特性、高性能的防火墙，入侵防御系统 (IPS), Anti-X和IPSec/SSL VPN 技术提供了强大的应用安全性、基于用户和应用的访问控制、蠕虫

19、与病毒防御、恶意软件防护、内容过滤以及远程用户/站点连接。商家报价：8000元至9000，并发连接数：25000，网络吞吐量：150Mbps，内存容量：256MB，过滤带宽：100Mbps2.5校园网拓扑结构图图 2-42.6信息点的设置信息点分布表2-5大楼楼栋数科室信息点(个)信息点合计(个)办公楼1教务处2075财务处15后勤部22招生就业18实验楼1软件机房415网络机房6计算机应用机房5图书楼1图书室510阅览室5科技楼1研究中心2020教学楼2多媒体教室8080宿舍楼6男生公寓6001200女生公寓600网络中心1DMZ区1010总计1410第3章 交换机模块设计3.1IP地址分配

20、与VLAN的划分1、IP地址的分布表3-1项目子网范围IP地址范围子网掩码内部IP地址172.16.1.0至172.16.200.0172.16.1.1至172.16.200.254255.255.255.0外部IP地址202.103.100.0202.103.100.1至202.103.100.10255.255.255.0DNS210.52.149.2（首选）210.53.31.2（备选）服务器IP172.16.196.0172.16.196.1至172.16.196.5255.255.255.0办公楼IP172.16.2.0至172.16.5.0172.16.2.254至172.16.5

21、.254255.255.255.0实验楼IP172.16.6.0至172.16.8.0172.16.6.254至172.16.8.254255.255.255.0图书楼IP172.16.9.0至172.16.10.0172.16.9.254至172.16.10.254255.255.255.0科技楼IP172.16.11.0172.16.11.1至172.16.11.254255.255.255.0教学楼IP172.16.12.0172.16.12.1至172.16.12.254255.255.255.0宿舍楼IP172.16.13.0至172.16.190.0172.16.13.254至17

22、2.16.190.254255.255.255.02、VLAN的划分与描述根据学校的应用类型，每个网段都划分了VLAN。分VLAN在一定程度上可以提高网络的安全性，防止网段上无效的广播包的传播，还可以增加网络弹性，并降低成本易于管理。VLAN分布表3-2设备管理IPVLAN 号VLAN 名称RG-S1824GT教务处172.16.2.1/24vlan2JWCRG-S1824GT财务处172.16.3.1/24vlan 3CWCRG-S1824GT后勤部172.16.4.1/24vlan 4HQBRG-S1824GT招生就业172.16.5.1/24vlan 5ZSJYRG-S1824GT软件机

23、房172.16.6.1/24vlan 6RJJFRG-S1824GT网络机房172.16.7.1/24vlan 7WLJFRG-S1824GT普通机房172.16.8.1/24vlan 8PTJFRG-S1824GT图书室172.16.9.1/24vlan 9TSXRG-S1824GT阅览室172.16.10.1/24vlan 10YLXRG-S1824GT研究中心172.16.11.1/24vlan 11YJZXRG-S1824GT多媒体教室172.16.12.1/24vlan 12DMTJSRG-S1824GT学生宿舍vlan 13- vlan 2003.2接入层交换机的配置接入层为所有的

24、终端用户提供一个接入点。这里的接入层交换机采用的是RG-S1824GT 24口交换机。交换机拥有24个10/100Mbps自适应快速以太网端口。我们以图3-2中的接入层交换机Switch1为例进行介绍。如图3-2所示:图3-21、设计交换机的名称也就是出现在交换机CLI提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要Telnet登录到若干台交换机以维护一个大型网络时，通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。这里是用Switch1作为名称。命令如下：Switch(config)#hostname switch1Switch1(config)#2、设置

25、登录虚拟终端线时的口令对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理人员提供了很多的方便。但是，出于安全的考虑，在能够远程管理交换机之前网络管理人员必须设置远程登录交换的口令。下面我将口令设置为mima。命令如下：Switch1(config)#linc vty 0 15Switch1(config-linc)#loginSwitch1(config-linc)#password mima3、设置接入层交换机Switch1的管理IP、默认网关给交换机设置管理用 IP地址只能在 VLAN1 ，即本征VLAN 中进行。管理VLAN 所在的子网是：172.16.2.0/24 ，这里

26、将接入层交换机Switch1 的管理 IP地址设为：172.16.2.1/24 如下命令所示，显示了为接入层交换机 Switch1 设置管理 IP并激活本征 VLAN。为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关地址 172.16.2.254。命令如下：Switch1(config)#interface vlan 1Switch1(config-if)#ip address 172.16.2.1 255.255.255.0Switch1(config-if)#no shutdownSwitch1(config-if)#exitSwitch1(config)# ip defa

27、ult-gateway 172.16.2.2544、配置接入层交换机Switch1 的 VLAN VLAN（Virtual Local Area Network，虚拟局域网）技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LANVLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内。Switch1(config)#vlan 2Switch1(config-vlan)#name JWCSwitch1(config-vlan)#exitSwitch

28、1(config)#interface range fastethernet 0/1-20Switch1(config-range-if)#switchport mode accessSwitch1(config-range-if)#switchprot access vlan 25、配置接入层交换机Switch1 端口基本参数及访问的端口（1）设置接入层交换机 Switch1 的所有端口均工作在全双工模式及所有端口的速度均为 100Mbps。命令如下：Switch1(config)#interface range fastethernet 0/1-24Switch1(config-if-ra

29、nge)#duplcx fullSwitch1(config-if-range)# speed 100（2） 配置接入层交换机Switch1 的访问端口接入层交换机Switch1 为终端用户提供接入服务。接入层交换机Switch1 为 VLAN 2 提供接入服务。设置接入层交换机Switch1 的端口 120为VLAN 2的成员及将其设为快速端口命令如下：Switch1(config)#Interface range fastethernet 0/1-20Switch1(config-if-range)#switchport mode accessSwitch1(config-if-range

30、)#switchport access vlan 2Switch1(config-if-range)#spanning-tree portfast（3）配置接入层交换机Switch1 的主干道端口如图所示，接入层交换机 Switch1 通过端口 FastEthernet 0/24 上连到汇聚层交换机。将该端口设为trunk模式Switch1(config)#Interface fastethernet 0/24Switch1(config-if)switchport mode trunk接入层剩下的交换机除了对应的VLAN、端口、管理IP不同，其它配都是一样的。3.3汇聚层交换机的配置汇聚层是

31、为整个交换网络提供 VLAN 间的路由选择功能。这里的汇聚层交换机采用的是RG STAR-S2126G 交换机。作为 3 层交换机，RG STAR-S2126G交换机拥有 24 个 10/100Mbps 自适应快速以太网端口，同时还有 2 个1000Mbps 的 GBIC 端口供上连使用，我们以 图3-3中的汇聚层交换机 Switch100 为例进行介绍。图3-3汇聚层交换机Switch1001、配置汇聚层交换机Switch100 的基本参数配置命令如下：Switch(config)#hostname Switch100Switch100(config)#Switch100(config)#e

32、nable secret mimaSwitch100 (config)#line con 0Switch100 (config-line)#line vty 0 15Switch100 (config-line)#password abcSwitch100 (config-line)#loginSwitch100 (config-line)#exit2、配置汇聚层交换机Switch100的管理 IP、默认网关 如下命令所示，显示了为汇聚层交换机Switch100 设置管理 IP并激活本征 VLAN。同时，还设置了默认网关的地址。Switch100(config)#interface vlan

33、1Switch100(config-if)#ip address 172.16.1.100 255.255.255.0Switch100(config-if)#no shutdownSwitch100(config-if)#exitSwitch100(config)#default-gateway 172.16.1.2543、在汇聚层交换机Switch100上定义VLAN及VLAN IP地址 这本校园网中，由于宿舍楼VLAN定义过多，这在里就不一一划分了。下面将其它各个科室部门VLAN划分出来。Switch100(config)#vlan 2Switch100(config-vlan)#nam

34、e JWCSwitch100(config-vlan)#ip address 172.16.2.254 255.255.255.0Switch100(config-vlan)#no shutdownSwitch100(config)#vlan 3Switch100(config-vlan)#name CWCSwitch100(config-vlan)#ip address 172.16.3.254 255.255.255.0Switch100(config-vlan)#no shutdownSwitch100(config)#vlan4Switch100(config-vlan)#name H

35、CBSwitch100(config-vlan)#ip address 172.16.4.254 255.255.255.0Switch100(config-vlan)#no shutdownSwitch100(config)#vlan 5Switch100(config-vlan)#name ZSJYSwitch100(config-vlan)#ip address 172.16.5.254 255.255.255.0Switch100(config-vlan)#no shutdownSwitch100(config)#vlan 6Switch100(config-vlan)#name RJ

36、JFSwitch100(config-vlan)#ip address 172.16.6.254 255.255.255.0Switch100(config-vlan)#no shutdownSwitch100(config)#vlan 7Switch100(config-vlan)#name WLJFSwitch100(config-vlan)#ip address 172.16.7.254 255.255.255.0Switch100(config-vlan)#no shutdownSwitch100(config)#vlan 8Switch100(config-vlan)#name PT

37、JFSwitch100(config-vlan)#ip address 172.16.8.254 255.255.255.0Switch100(config-vlan)#no shutdownSwitch100(config)#vlan 9Switch100(config-vlan)#name TSXSwitch100(config-vlan)#ip address 172.16.9.254 255.255.255.0Switch100(config-vlan)#no shutdownSwitch100(config)#vlan 10Switch100(config-vlan)#name YL

38、XSwitch100(config-vlan)#ip address 172.16.10.254 255.255.255.0Switch100(config-vlan)#no shutdownSwitch100(config)#vlan 11Switch100(config-vlan)#name YJZXSwitch100(config-vlan)#ip address 172.16.11.254 255.255.255.0Switch100(config-vlan)#no shutdownSwitch100(config)#vlan 12Switch100(config-vlan)#name

39、 DMTJSSwitch100(config-vlan)#ip address 172.16.12.254 255.255.255.0Switch100(config-vlan)#no shutdown4、配置汇聚层交换机Switch100的端口参数汇聚层交换机Switch100端口参数如下命令所示Switch100(config)#interface range fastethernet 0/1-4Switch100(config-if-range)#switchport mode trunkSwitch100(config-if-range)#exitSwitch100(config)#i

40、nterface range fastethernet 0/10-11Switch100(config-range-if)#switchport mode trunkSwitch100(config-range-if)#witchport trunk allowed vlan all5、配置汇聚层交换机Switch100的STP协议Switch100(config)#spanning-tree mode rstpSwitch200- Switch600的配置步骤、命令都与汇聚层交换机Switch100的配置类似。这里，不再详细分析。3.4核心层交换机的配置核心层是将汇聚层交换机互连起来进行穿越

41、园区网骨干的高速数据交换。这里我们以图3-4中的核心层交换机CoreSwitchA 为例进行介绍。如图3-4所示：图3-41、配置核心层交换机CoreSwitchA 的基本参数及管理 IP和默认网关CoreSwitchA (config)#line con 0CoreSwitchA (config-line)#logging synchronousCoreSwitchA (config-line)#exec-timeout 5 30CoreSwitchA (config-line)#password abcCoreSwitchA (config-line)#loginCoreSwitchA (

42、config-line)#exec-timeout 5 30CoreSwitchA (config-line)#exitCoreSwitchA(config)#interface vlan 1CoreSwitchA(config-if)#ip address 172.16.1.1 255.255.255.0CoreSwitchA(config-if)#no shutdownCoreSwitchA(config-if)#exitCoreSwitchA(config)#ip default-gateway 172.16.1.2542、配置核心层交换机CoreSwitchA 的VLAN 在本实例中，

43、核心层交换机 CoreSwitchA前面的VLAN配置就跟汇聚层交换机Switch100类似，这里就再不重复了。核心层交换机是与路由器相连的设备，因为没有路由器接口，所以要划分一个特定的VLAN跟路由器通信，这里用VLAN 199 。如下命令所：CoreSwitchA(config)#vlan 199CoreSwitchA(config)#interface vlan 199CoreSwitchA(config-if)#ip address 172.16.199.1 255.255.255.0CoreSwitchA(config-if)#no shutdownCoreSwitchA(confi

44、g-if)#exit3、配置核心层交换机CoreSwitchA 的端口参数在这里端口F0/3-8因为有多个VLAN信息的交换，所以将其设为trunk模式。F0/1则是与路由器的相连的端口，将其设为Access口划分到VLAN 199。F0/2连接的是服务器群，设为Access即可。F0/23-24是跟另一台核心层交换机相连的，为了提供主干道的吞吐量以及实现冗余而设计的，在本设计中，我们采用的是链中聚合技术，将核心层交换机CoreSwitch 的千兆端口 F0/23、F0/24 聚合在一起实现 2000Mbps 的千兆以太网信道。CoreSwitchA(config)#interface ran

45、ge fastethernet 0/3-8CoreSwitchA(config-rang-if)#switchport mode trunkCoreSwitchA(config-rang-if)#switchport trunk allowed vlan allCoreSwitchA(config-rang-if)#exitCoreSwitchA(config)#interface fastethernet 0/1CoreSwitchA(config-if)#switchport mode accessCoreSwitchA(config-if)#switchport access vlan

46、199CoreSwitchA(config-if)#exitCoreSwitchA(config)#interface aggrete port 1CoreSwitchA(config-if)#switchport mode trunkCoreSwitchA(config-if)#exitCoreSwitchA(config)#interface range fastethernet 0/23-24CoreSwitchA(config-rang-if)#port-group 1CoreSwitchA(config-if)#exit4、配置核心层交换机CoreSwitchA 的路由功能核心层交换

47、机 CoreSwitchA 通过端口 FastEthernet 0/1 同广域网接入模块（Internet 路由器）相连。因此，需要启用核心层交换机的路由功能。同时，还需要定义通往 Internet 的路由。这里使用了一条缺省路由命令。其中，下一跳地址是 Internet 接入路由器的快速以太网接口 FastEthernet 1/0 的 IP地址。CoreSwitchA(config)#ip routingCoreSwitchA(config)#ip route 0.0.0.0 0.0.0.0 172.16.199.254为了使内部的的Vlan信息进行通信，配置RIP路由协议，这在里就不将所有

48、的Vlan都配置出来了，只是典型的配几个。CoreSwitchA(config)#router ripCoreSwitchA(config-router)#version 2CoreSwitchA(config-router)#network 172.16.2.0CoreSwitchA(config-router)#network 172.16.4.0CoreSwitchA(config-router)#network 172.16.5.0CoreSwitchA(config-router)#network 172.16.6.0CoreSwitchA(config-router)#networ

49、k 172.16.7.05、配置核心层交换机CoreSwitchA的STP协议 CoreSwitchA (config)#spanning-tree mode rstp对于核心层交换机 CoreSwitchB 的配置步骤、命令和对核心层交换机 CoreSwitchA 的配置类似。这里，不再详细分析。第4章 路由模块配置4.1配置路由器的基本参数 路由器基本参数的配置跟交换机也有点类似。这里，只给出实际的配置步骤，不再出给出具体的解释。首先看图4-1图4-1路由器RG-R3642配置命令如下：Router(config)#enable secret mimaRouter(config)#line

50、 con 0Router(config-line)#logging synchronousRouter(config-line)#exec-timeout 5 30Router(config-line)#line vty 0 15Router(config-line)#password abcRouter(config-line)#loginRouter(config-line)#exec-timeout 5 30Router(config-line)#exit4.2配置路由器的各接口参数 1、对接入路由器Router的各接口参数的配置主要是对接F0/0、F1/0以及接口 Serial 2/0

51、 的 IP地址、子网掩码的配置。配置命令如下：Router#configure terminalRouter(config)#interface fastethernet 0/0Router(config-if)#ip address 172.16.198.254 255.255.255.0Router(config-if)#no shutdown Router(config-if)#exitRouter(config)# interface fastethernet 1/0Router(config-if)# ip address 172.16.199.254 255.255.255.0Ro

52、uter(config-if)#no shutdownRouter(config-if)#exitRouter(config)#interface Serial 2/0Router(config-if)#ip address 202.103.100.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#clock rate 64000Router(config-if)#end4.3配置路由器的路由功能在接入路由器Router 上需要定义两个方向上的路由：到校园网内部的静态路由 以及到 Internet 上的缺省路由。到 In

53、ternet 上的路由需要定义一条缺省路由，如下命令所示。其中，下一跳指定从本路由器的接口 serial 0/0 送出。 Router(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0 4.4配置路由器上的NAT 由于目前IP地址资源非常稀缺，对不可能给校园网内部的所有工作站都分配一个公有IP（Internet 可路由的）地址。为了解决所有工作站访问Internet的需要，必须使用NAT（网络地址转换）技术。为了接入Internet，本校园网向当地ISP申请了10个IP地址。其中一个IP地址：202.103.100.1 被分配给了Internet 接入路由

54、器的串行接口，另外9个IP地址：202.103.100.2 202.103.100.10用作 NAT。1、 定义NAT 内部、外部接口Router(config)#interface fastethernet 1/0Router(config-if)#ip nat insideRouter(config)#interface fastethernet 0/0Router(config-if)#ip nat insideRouter(config-if)#interface serial 2/0Router(config-if)#ip nat outside 2、 定义ISP提供的外部IP地址池

55、Router(config)#ip nat pool pan 202.103.100.2 202.103.100.10 netmask 255.255.255.03、 定义允许进行NAT 转换的内部 IP地址范围Router(config)#access-list 10 permit 172.16.0.0 0.0.255.2554、 为内部本地调用转换地址池Router(config)#ip nat inside source list 10 pool pan overload4.5配置路由器上的访问控制列表路由器是外网进入校园网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表（

56、Access Control List ，ACL ）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护。这里，在本实例中，我们将针对服务器以及内网工作站的安全给出广域网接入路由器Router 上 ACL 的配置方案。在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。在绝大多数网络

57、环境的实现中它们都是应该对外加以屏蔽的。主要应该做以下的 ACL 设计：1、对外屏蔽远程登录协议telnet 首先，telnet 是一种不安全的协议类型。用户在使用 telnet 登录网络设备或服务器时所 使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。 其次，telnet 可以登录到大多数网络设备和 UNIX服务器，并可以使用相关命令完全操纵它 们。这是极其危险的，因此必须加以屏蔽，如图所示，显示了如何对外屏蔽远程登录协议 telnet 。 Router(config)#access-list 101 deny tcp any any eq telent Ro

58、uter(config)# access-list 101 permit tcp any any2、对外屏蔽其它不安全的协议或服务 这样的协议主要有 SUN OS 的文件共享协议端口 2049 ，远程执行（rsh ）、远程登录 （rlogin ）和远程命令（rcmd ）端口512、513、514 ，远程过程调用（SUNRPC ）端口111。可以将针对以上协议综合进行设计，如下命令所示。 Router(config)#access-list 101 deny tcp any any range 512 514Router(config)#access-list 101 deny tcp any

59、any eq 111Router(config)#access-list 101 deny tcp any eq 111Router(config)#access-list 101 deny tcp any rang 2049Router(config)#access-list 101 permit ip any any3、针对DoS 攻击的设计 DoS 攻击（Denial of Service Attack ，拒绝服务攻击）是一种非常常见而且极具破坏力的攻击手段，它可以导致服务器、网络设备的正常服务进程停止，严重时会导致服务器操 作系统崩溃。 如下命令所示如何设计针对常见 DoS 攻击的 A

60、CL Router(config)#access-lisl 101 deny icmp any any eq echo-requestRouter(config)#access-lisl 101 deny udp any any eq echoRouter(config)#interface serial 2/0Router(config-if)#ip access-group 101 in Router(config)#interface fastethernet 2/0Router(config-if)#no ip directed-broadcast4、保护路由器自身安全 作为内网、外网

61、间屏障的路由器，保护自身安全的重要性也是不言而喻的。为了阻止黑 客入侵路由器，必须对路由器的访问位置加以限制。应只允许来自服务器群的 IP地址访问并配置路由器。这时，可以使用 ACCESS-CLASS 命令进行 VTY 访问控制。如下命令所示。 Router(config)#line vty 0 4Router(config-line)# access-class 2 in Router(config-line)#exitRouter(config)#access-list 2 permit 172.16.0.0 0.0.255.2554.6配置身份认证PPP 提供了两种可选的身份认证方法：口令验证协议 PAP （Password AuthenticationProtocol ，PAP ）和质询握手协议（Challenge Handshake Authentication Protocol