路由交换技术课程设计

1、 计算机科学与技术学院课程设计路由交换技术（2013-2014学年度第二学期）课程名称： 路由交换技术 实验名称： 校园网拓扑建设和网络设备配置 指导教师： 实验地点： 姓 名： 学 号： 班 级： 目录目的：2要求和说明：2课程设计内容：2总体概述2需求分析3设计原则3绘制拓扑结构图4具体工作4设备选型4网络布局规划与设计5ip地址规划（子网划分和cidr技术）5路由器和交换机的配置7（一）配置路由ip7（二）南华大学主校区和分校区之间，实现帧中继数据传输11（三）南华大学接入inernet14（二）局域网建设27课程设计心得44课程设计的目的及要求目的： 通过本次课程设计，目的是能够对课上

2、所学的零散的知识有更加实际的了解，通过小型的拓扑建设，将我们课上所学的知识点都用在上面，让我们对网络设备配置和路由交换技术有一个整体的把握。要求和说明：基本要求：（1）南华大学校园拓扑建设（2）和分校区建立虚拟链路，采用帧中继的方式连接（3）与南华大学附属医院的通信要采用ipsec封装课程设计的内容（分析和设计）课程设计内容：总体概述 本拓扑是基于校园网络通信设计的，在南华大学的网络中心有一个总的路由，负责internet 的接入，并作为校园网连接外网的路由转发设备。我们这里假设南华大学有两个分校区，和一个主校区。分校区离主校区较远，我们采用帧中继技术，来实现分校区和主校区互联。帧中继采用虚电

3、路技术，对分组交换技术进行简化，可以在一对一或者一对多的应用中快速而低廉的传输数位信息。帧中继是广域网的技术，为保证传输过程中的数据安全，在分校区和主校区之间使用ipsec传输模式对数据进行加密。南华大学访问南华附属第一医院的网络时，我们做一个gre封装，让它通过隧道通信。以下是我们在构建网络时的一些要点：1.此专用网设计方案要求是跨局域网之间的连接，所以需要选择接入技术，实现广域技术的连接；2.设计出详细的拓扑图，将各个局域网之间相连，设计专用网时按照分层模型进行规划，指定核心区，接入区等；3. 实现广域网上的帧中继技术等；4.选择合适的路由协议，并对路由器的安全进行配置；5.对中间设备进行

4、统一管理，并实现远程登陆管理；需求分析随着计算机及局域网络应用的不断深入，特别是各种计算机应用系统被相继应用在实际工作中，各企业、各单位同外界信息媒体之间的相互交换和共享的要求日益增加。1网络设备配置 配备网络交换设备，实现楼宇间的千兆光纤连接，保证未来各应用系统的实施以及满足办公需求。2网管系统设计提供可以对整个网络系统进行管理的中文图形界面工具，使系统维护人员可以集中控制网络的所有设备。设计原则基于以上特点，应遵循下列设计原则：1.把握好技术先进性与应用简易性之间的平衡。 2.具有良好的升级扩展能力。3.具有较高的可靠性和安全性。4.产品功能与实际应用需求相匹配。 6.经济性：要求价格适中

5、，设备及耗材要求采用质量过硬，物美价廉。7.开放性：采用国际标准通信协议、标准操作系统、标准网管软件、采用符合标准的设备，保证整个系统具有开放特点，增强与不同类型的网络之间的互联能力绘制拓扑结构图具体工作设备选型型号2950-24交换机3台，型号2960-24交换机3台型号3560-24ps三层交换机1台型号2811路由器5台web服务器1台dns服务器1台网络布局规划与设计本次课程设计是针对南华大学校园网规划设计的，由于时间较短，所以设计很简单。南华大学主校区的网络中心属于核心区，两个分校区包括医学院属于接入区。南华大学负责接入internet，我们这里只需南华大学通过internet与南华

6、附属医院通信，并建立vpn。在南华大学内部，由于分校区距离主校区较远，所以采用帧中继广域网技术，实现分校区与校园网的连接。南华医学院，由于人数众多，接入量大，我们采用三层交换机技术，并对局域网下的用户进行vlan划分。ip地址规划（子网划分和cidr技术）南华大学内部：设备/地点接口/vlanip南华大学网络中心f0/0192.168.1.1/24s1/0172.1.16.2/30loop0172.0.1.1/32s0/3/0.1 10.0.0.1/24 101s0/3/0.212.0.0.1/24 102分校区计算机学院f0/0192.168.3.1/24f0/1192.168.2.1/24

7、s0/3/0.20110.0.0.2/24分校区电气电工学院f0/0192.168.3.1/24f0/1192.168.2.1/24s0/3/0.30112.0.0.2/24internets1/0172.1.17.2/30f0/0192.168.1.1/27loop0172.0.0.1/32南华大学附属第一医院s1/1172.1.17.2/30f0/0192.168.9.1/27f0/1172.1.20.1/30loop0172.0.2.1/32dns_172.1.20.2/30web_192.168.9.2/24 医学院vlan1192.168.1.2vlan2211.1.1.1vlan3

8、211.1.2.1vlan4211.1.3.1swich0f0/4-9vlan2f0/10-15vlan3swich1f0/4-9vlan4f0/10-15vlan5路由器和交换机的配置（一）配置路由ip南华大学网络中心路由ip设置interface loopback0 ip address 172.0.1.1 255.255.255.255!interface tunnel0 ip address 192.168.100.1 255.255.255.0 tunnel source serial1/0 tunnel destination 172.1.17.2!interface fastet

9、hernet0/0 ip address 192.168.1.1 255.255.255.128 duplex auto speed auto!interface serial0/3/0 no ip address encapsulation frame-relay!interface serial0/3/0.101 point-to-point ip address 10.0.0.1 255.255.255.0 frame-relay interface-dlci 101!interface serial0/3/0.102 point-to-point ip address 12.0.0.1

10、 255.255.255.0 frame-relay interface-dlci 102!interface serial1/0 ip address 172.1.16.2 255.255.255.252 crypto map vpnmap!主校区医学院三层交换机配置设置interface fastethernet0/1 no switchport ip address 192.168.1.2 255.255.255.128 duplex auto speed autointerface vlan2 ip address 211.1.1.1 255.255.255.128!interface

11、 vlan3 ip address 211.1.2.1 255.255.255.128!interface vlan4 ip address 211.1.3.1 255.255.255.128!interface vlan5 ip address 211.1.4.1 255.255.255.128!分校区计算机学院路由ip设置interface fastethernet0/0 ip address 192.168.3.1 255.255.255.0 duplex auto speed auto!interface fastethernet0/1 ip address 192.168.2.1 2

12、55.255.255.0 duplex auto speed auto!interface serial0/3/0 no ip address encapsulation frame-relay!interface serial0/3/0.201 point-to-point ip address 10.0.0.2 255.255.255.0 frame-relay interface-dlci 201分校区电气电工学院路由ip设置interface fastethernet0/0 ip address 192.168.4.1 255.255.255.0 duplex auto speed a

13、uto!interface fastethernet0/1 ip address 192.168.5.1 255.255.255.0 duplex auto speed auto!interface serial0/3/0 no ip address encapsulation frame-relay!interface serial0/3/0.301 point-to-point ip address 12.0.0.2 255.255.255.0 frame-relay interface-dlci 301dns配置web（二）南华大学主校区和分校区之间，实现帧中继数据传输局部拓扑：配置如下

14、：云设置：网络中心路由：分校区计算机学院路由：!interface serial0/3/0 no ip address encapsulation frame-relay!interface serial0/3/0.201 point-to-point ip address 10.0.0.2 255.255.255.0 frame-relay interface-dlci 201分校区电气电工学院路由：interface serial0/3/0no ip addressencapsulation frame-relay!interface serial0/3/0.301 point-to-po

15、int ip address 12.0.0.2 255.255.255.0 frame-relay interface-dlci 301测试：分校区计算机学院ping 分校区电气电工学院分校区电气电工学院ping分校区计算机学院（三）南华大学接入inernet通过inernet，可以访问南华附属第一医院的服务器，这之间我们采用vpn技术，对ospf数据传输用gre封装，用ipsec协议对数据加密，最终实现加密传输。ipsec（ip security）协议族是ietf制定的一系列协议，它为ip数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在ip层通过加密与数据源验证等方式

16、，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。gre协议是对某些网络层协议的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议中传输。gre是vpn的第三层隧道协议，在协议层之间采用了一种被称之为tunnel的技术。tunnel是一个虚拟的点对点的连接，在实际中可以看成仅支持点对点连接的虚拟接口，这个接口提供了一条通路使封装的数据报能够在这个通路上传输，并且在一个tunnel的两端分别对数据报进行封装及解封装。通常情况下，ipsec不能传输路由协议，例如rip和ospf；或者非ip数据流，例如ipx（internetwork packet exchange）和apple

17、talk。这样，如果要在ipsec构建的vpn网络上传输这些数据就必须借助于gre协议，对路由协议报文等进行封装，使其成为ipsec可以处理的ip报文，这样就可以在ipsec vpn网络中实现不同的网络的路由。1）建立gre隧道建立gre隧道，以便后面对ospf组播路由协议进行封装，配置如下：南华网络中心：interface tunnel0 ip address 192.168.100.1 255.255.255.0 tunnel source serial1/0 tunnel destination 172.1.17.2南华附属第一医院：interface tunnel0 ip addres

18、s 192.168.100.2 255.255.255.0 tunnel source serial1/1 tunnel destination 172.1.16.22）配置动态路由在南华大学内部我们使用rip2路由协议，而公用网上使用的是ospf协议，所以我们这里还需要配置路由重分布。配置如下：分校区计算机学院router rip version 2 network 10.0.0.0 network 192.168.2.0 network 192.168.3.0分校区电气电工学院router rip version 2 network 12.0.0.0 network 192.168.4.0

19、 network 192.168.5.0主校区网络中心这里会有两个协议：ripv2和ospf，并需配置路由重分布配置如下：ospfrouter ospf 10 log-adjacency-changes redistribute rip subnets network 192.168.100.0 0.0.0.255 area 0 network 172.0.1.1 0.0.0.0 area 0ripv2router rip version 2 redistribute ospf 10 metric 1 network 10.0.0.0 network 12.0.0.0 network 192.

20、168.1.0南华附属第一医院router ospf 10 log-adjacency-changes network 192.168.100.0 0.0.0.255 area 0 network 172.0.2.1 0.0.0.0 area 0 network 172.1.20.0 0.0.0.3 area 0 network 192.168.9.0 0.0.0.255 area 0此时我们来查看各路由器的路由表：南华大学网络中心发现附属医院的地址已经通过gre隧道通告到了南华大学网络中心衡阳附属医院发现在附属医院这一端南华大学的地址也已经通告完成，并在附属医院这一端有了记录。现在我们来检查

21、两个分校区路由的路由表：这是大家会发现一个问题，路由表里并没有192.168.9.0这个网段，这是为什么呢？原因是这样的：cisco的路由协议都有自己缺省的的管理距离（ad），rip的为120，ospf的为110，对于两种不同的协议，管理距离越小，它的优先级也就越高，也就是可信度越高。所以，ospf的优先级就高于rip，且度量值为1，那么192.168.9.0就不会下发到分校区。解决办法，在网络中心将默认路由通过rip通告出去这时我们来查看分校区的路由表此时互联网已经联通，我们做个测试南华大学网络中心南华附属医院router#ping 192.168.9.1type escape sequen

22、ce to abort.sending 5, 100-byte icmp echos to 192.168.9.1, timeout is 2 seconds:!success rate is 100 percent (5/5), round-trip min/avg/max = 6/7/9分校区计算机学院南华附属医院router#ping 192.168.9.1type escape sequence to abort.sending 5, 100-byte icmp echos to 192.168.9.1, timeout is 2 seconds:!success rate is 10

23、0 percent (5/5), round-trip min/avg/max = 9/13/1现在我们抓包测试：我们从分校区计算机学院给附属医院发一个ping包从云到网络中心进入：出去：这是抓取的icmp包，我们可以分析得到：数据从网络中心出来时，对ip传输进行了gre封装，真正的源地址和目的地址，已经转变为物理上的源和目的。接下我们检测一下，gre是否对ospf进行了封装：从上面抓取的报文大家可以明显的看到ospf已经成功被gre封装此时我们就可以建立南华大学到附属医院的vpn通道3）vpn技术应用我们配置的范围为分别从192.168.1.0/25、10.0.0.0/25 、12.0.0.

24、0/25到192.168.9.0/24这三条链路加密配置过程：南华大学网络中心crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2!crypto isakmp key 123 address 172.1.17.2!crypto ipsec transform-set set1 ah-sha-hmac esp-3des!crypto map vpnmap 10 ipsec-isakmp set peer 172.1.17.2 set transform-set set1 match address 1

25、10!access-list 110 permit ip 192.168.1.0 0.0.0.127 192.168.9.0 0.0.0.255access-list 110 permit ip 10.0.0.0 0.0.0.255 192.168.9.0 0.0.0.255access-list 110 permit ip 12.0.0.0 0.0.0.255 192.168.9.0 0.0.0.255access-list 110 deny ip any anyinterface serial1/0 ip address 172.1.16.2 255.255.255.252 crypto

26、map vpnmap南华附属医院：crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2!crypto isakmp key 123 address 172.1.16.2!crypto ipsec transform-set set1 ah-sha-hmac esp-3des!crypto map vpnmap 10 ipsec-isakmp set peer 172.1.16.2 set transform-set set1 match address 110!access-list 110 per

27、mit ip 192.168.9.0 0.0.0.255 anyinterface serial1/1 ip address 172.1.17.2 255.255.255.252 crypto map vpnmap抓包测试：我们从分学院计算机学院发送一个ping包到附属医院，发现是可以到达的，在抓取过程中我们发现没有isakmp包，那是因为已经认证完毕了，我们抓个icmp包来看看。抓取的数据包如下：计算机学院发出的包：经由网络信息中心发出的包这里因为认证时间很短，所以我们没有看到isakmp包至此，连接internet部分已经全部畅通（二）局域网建设让局域网下的客户机可以通过交换设备连接校园网

28、，并访问internet有时，当一个局域网下要划分出不同小区域，让不同的小区域之间不发生广播转发，这时就要划分vlan。vlan即虚拟局域网，是一种通过局域网内的设备逻辑的划分成一个个网段，从而实现虚拟工作组技术。vlan优点：1. 限制广播域。广播域被限制在一个vlan内，节省了带宽，提高了网络处理能力。2. 增强局域网的安全性。不同vlan内的报文在传输时是相互隔离的，即一个vlan内的用户不能和其它vlan内的用户直接通信，如果不同vlan要进行通信，则需要通过路由器或三层交换机等三层设备。3. 灵活构建虚拟工作组。用vlan可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于

29、某一固定的物理范围，网络构建和维护更方便灵活。以下分别是我们主校区和分校区局域网建设的具体规划与配置。 1）主校区主校区的学院较多，这里主要以医学院为主来介绍。医学院作为人数最多的一个学院，所需要的网络接入量相对较大。如果采用传统的局域网接入技术，则会出现极大的广播域，很容易产生广播风暴。同时，由于无划分的局域网内部之间是以广播形式通信，大大降低了安全性，所以我们需要划分多个vlan。而vlan间通信需要有路由或三层交换机来实现。综合考虑，我们使用三层交换机。三层交换机：出于安全和管理方便的考虑，主要是为了减小广播风暴的危害，必须把大型局域网按功能或地域等因素划成一个个小的局域网，这就使vla

30、n技术在网络中得以大量应用，而各个不同vlan间的通信都要经过路由器来完成转发，随着网间互访的不断增加。单纯使用路由器来实现网间访问，不但由于端口数量有限，而且路由速度较慢，从而限制了网络的规模和访问速度。基于这种情况三层交换机便应运而生，三层交换机是为ip设计的，接口类型简单，拥有很强二层包处理能力，非常适用于大型局域网内的数据路由与交换，它既可以工作在协议第三层替代或部分完成传统路由器的功能，同时又具有几乎第二层交换的速度，且价格相对便宜些。在企业网和教学网中，一般会将三层交换机用在网络的核心层，用三层交换机上的千兆端口或百兆端口连接不同的子网或vlan。不过应清醒认识到三层交换机出现最重

31、要的目的是加快大型局域网内部的数据交换，所具备的路由功能也多是围绕这一目的而展开的，所以它的路由功能没有同一档次的专业路由器强。毕竟在安全、协议支持等方面还有许多欠缺，并不能完全取代路由器工作。在实际应用过程中，典型的做法是：处于同一个局域网中的各个子网的互联以及局域网中vlan间的路由，用三层交换机来代替路由器，而只有局域网与公网互联之间要实现跨地域的网络访问时，才通过专业路由器。我们的思路如下： 在医学院使用一个三层交换机，负责局域网下的通信。下分两个交换机，负责局域网下不同区域的通信。在switch0上我们划分了vlan2和vlan3，在switch1上我们划分了vlan4和vlan5。

32、ip设置如下：设备名称接口/vlanipswich0f0/4-9vlan2f0/10-15vlan3swich1f0/4-9vlan4f0/10-15vlan5 医学院vlan1192.168.1.2vlan2211.1.1.1vlan3211.1.2.1vlan4211.1.3.1vlan5211.1.4.1配置如下：分别在交换机1和交换机2上创建两个vlan，并且设置vlan划分的接口范围，并配置接口模式。这里使用的命令：交换机1:特权模式下：#vlan database #vlan 2#vlan 3全局模式下：int range f0/4-9switchport mode accesss

33、witchport access vlan 2exitint range f0/10-15switchport mode accessswitchport access vlan 3交换机2同理，这里不再赘述。以下是结果：设置与三层交换机相连的接口为trunk口switch(config)#int f0/2switch(config-if)#switchport mode trunk %lineproto-5-updown: line protocol on interface fastethernet0/2, changed state to down%lineproto-5-updown:

34、 line protocol on interface fastethernet0/2, changed state to upswitch(config)#int f0/3switch(config-if)#switchport mode trunk %lineproto-5-updown: line protocol on interface fastethernet0/3, changed state to dow%lineproto-5-updown: line protocol on interface fastethernet0/3, changed state to up设置两个

35、二层交换机为vtp服务器模式，域名hh，让在同一个域里的交换机实现vlan信息。在vtp域里操作的三种模式：服务器模式（server）提供vtp消息：包括vlan id和名字信息学习相同域名的vtp消息转发相同域名的vtp消息可以添加、删除和更改vlan vlan信息写入nvram该模式下不能使用扩展客户机模式（client）请求vtp消息学习相同域名的vtp消息转发相同域名的vtp消息不可以添加、删除和更改vlan vlan信息不会写入nvram该模式下不能使用增强型软件映像提供的vid，即只能使用2-1001这一段的值。1，1002-1005均为系统默认vid。要使用1006-4096作v

36、id的值，只能关闭vtp或采用透明模式。透明模式（transparent）不提供vtp消息不学习vtp消息转发vtp消息可以添加、删除和更改vlan，只在本地有效 vlan信息写入nvram所以我们在两个二层交换机上使用vtp服务器模式，方便添加、删除、修改并通告vlan信息。在三层交换机上上实现vtp客户端模式，主要为学习和转发。二层交换机switch(config)#vtp domain hhchanging vtp domain name from null to hhswitch(config)#vtp mode sswitch(config)#vtp mode server devi

37、ce mode already vtp server.三层交换机：switch(config)#vtp domain hhdomain name already set to hh.switch(config)#vtp mode cswitch(config)#vtp mode client setting device to vtp client mode.查看医院学交换机的vlan表可以看到已经学到下面两层的vlan信息，注意这里没有学习端口划分在三层交换机上为各个vlan设置ip，并配置端口模式interface vlan1 ip address 192.168.1.2 255.255.

38、255.128!interface vlan2 ip address 211.1.1.1 255.255.255.128!interface vlan3 ip address 211.1.2.1 255.255.255.128!interface vlan4 ip address 211.1.3.1 255.255.255.128!interface vlan5 ip address 211.1.4.1 255.255.255.128!配置端口模式，将与二层交换机相连的端口都改为中继端口，并指定干道封装类型为802.1q 这里一定要先指定封装类型，不然无法开启中继端口模式switch(conf

39、ig-if)#switchport trunk encapsulation dot1q switch(config-if)#switchpswitch(config-if)#switchport mode truswitch(config-if)#switchport mode trunk两个端口配置过程一样，不一一列举接下来我们见三层交换机与路由相连的端口的三层端口开启switch(config-if)#no switchport %lineproto-5-updown: line protocol on interface fastethernet0/1, changed state to

40、 down%lineproto-5-updown: line protocol on interface fastethernet0/1, changed state to upswitch(config-if)#ip adswitch(config-if)#ip address 192.168.1.2 255.255.255.128pc机根据自己所属的vlan，来设定自己的ip和网关，此处省略测试：测试不同vlan间通信现在我们来测试一下主机到网络中心发现请求超时，那是怎么回事呢，我们通过抓包发现，发出去的包找不到回来的路，所以我查看了一下网络中心的路由表，果然没有到达医学院这一局域网的网段

41、，此时我们需要在三层交换机上开启路由功能，并且配置路由协议。可是配完之后，发现路由条目通告不出去现在我们只有在网络中心配置一条静态路由告诉网络中心，回来的路该怎么走，之后再将我们配置的静态路由通告出去。router(config)#ip route 211.1.1.0 255.255.255.128 192.168.1.2router(config)#ip route 211.1.2.0 255.255.255.128 192.168.1.2router(config)#ip route 211.1.3.0 255.255.255.128 192.168.1.2router(config)#i

42、p route 211.1.4.0 255.255.255.128 192.168.1.2router(config)#这时我们做个测试发现通了接下来我们在网络中心将这几条静态路由通告出去rip重分布：router(config)#router riprouter(config-router)#version wrouter(config-router)#version 2router(config-router)#redistribute static router(config-router)#exospf重分布：router(config)#router ospf 10router(co

43、nfig-router)#rerouter(config-router)#redistribute static ? metric metric for redistributed routes metric-type ospf/is-is exterior metric type for redistributed routes subnets consider subnets for redistribution into ospf tag set tag for routes redistributed into ospf router(config-router)#redistribute static subrouter(config-router)#redistribute static subnets router(config-router)#ex现在我们来查看一下分校区计算机学院的路由表：