金盆岭6号7号教学楼的网络规划与配置要点

1、 金盆岭6号7号教学楼的网络规划与配置 长沙理工大学城南学院计算机网络课程设计报告 院 系 城南学院 专 业 通信工程 班 级 1104班 学 号 201185250429 学生姓名 李秉坤 指导教师 李萍 课程成绩 完成日期 2014年6月18日课程设计任务书城南学院 通信工程专业课程名称计算机网络课程设计时间2013/2014学年第2学期1617周学生姓名李秉坤指导老师李萍题 目金盆岭6号7号教学楼的网络规划与配置主要内容：(1) 了解网络规划和设计的基本原理(2) 了解教学楼网络规划和设计原理及步骤(3) 对于6号7号教学楼的网络规划和设计(4) 对于所规划出的网络与配置进行系统的分析要

2、求：(1)综合运用计算机网络基本理论和网络工程设计的方法设计本实验。(2)学会文献检索的基本方法和综合运用文献的能力。(3)通过课程设计培养严谨的科学态度，认真的工作作风和团队协作精神。应当提交的文件：(1)课程设计学年论文。(2)课程设计附件（相关图纸、设备配置清单、报告等）。课程设计成绩评定院 系 城南学院 专 业 通信工程 班 级 通信1104 学 号 201185250429 学生姓名 李秉坤 指导教师 李萍 指导教师对学生在课程设计中的评价评分项目优良中及格不及格学习态度与遵守纪律情况课程设计完成情况课程设计报告的质量指导教师成绩 指导教师签字 年 月 日课程设计答辩组对学生在课程设

3、计中的评价评分项目优良中及格不及格课程设计完成情况课程设计报告的质量课程设计答辩答辩组成绩 答辩组长签字 年 月 日课程设计综合成绩 金盆岭6号7号教学楼的网络规划与配置 学生姓名：李秉坤 指导老师：李萍摘 要：该课程设计利用软件，对金盆岭6号7号教学楼进行网络的规划和配置，即对金盆岭6号7号教学楼之间建立一个虚拟局域网（VLAN），进行Vlan划分，并且根据各个教学楼之间的不同相应的规划适合各自的网络。1对于6号7号教学楼进行观察，给出相应的规划2在软件中将规划的内容进行连线3对于相关的路由器交换机进行配置4检查配置是否正确经测试，结果正确，实现设计目标。关键词：虚拟局域网（VLAN）,规划

4、，配置，Cisco Packet Tracer 1 引 言金盆岭6号7号教学楼的网络规划与配置，实验主要内容为对于6号7号教学楼进行相应的网络规划，并且构建一个虚拟局域网（VLAN），对于虚拟局域网内的各个设备采取相应的配置。1.1本文主要内容 本文第二节介绍了金盆岭6号7号教学楼的网络规划与配置的基本原理，第三节详细描述了设计方案与各个元件的配置，第四节本次课程设计的讨论与心得，第五节主要摘要等。1.2设计平台（1）Cisco Packet Tracer：Cisco Packet Tracer 是由Cisco公司发布的一个辅助学习工具，为学习思科网络课程的初学者去设计、配置、排除网络故障提供

5、了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑，并可提供数据包在网络中行进的详细处理过程，观察网络实时运行情况。可以学习IOS的配置、锻炼故障排查能力。Packet Tracer是一个功能强大的网络仿真程序，允许学生实验与网络行为，问“如果”的问题。随着网络技术学院的全面的学习经验的一个组成部分，包示踪提供的仿真，可视化，编辑，评估，和协作能力，有利于教学和复杂的技术概念的学习。Packet Tracer补充物理设备在课堂上允许学生用的设备，一个几乎无限数量的创建网络鼓励实践，发现，和故障排除。基于仿真的学习环境，帮助学生发展如决策第二十一世纪技能，创造性和批判性思

6、维，解决问题。Packet Tracer补充的网络学院的课程，使教师易教，表现出复杂的技术概念和网络系统的设计。 （2）Windows XP：Windows XP是微软公司推出供个人电脑使用的操作系统，包括商用及家用的台式电脑、心等。其RTM版于2001年8月24日发布；零售版于2001年10月25日上市。其名字“XP”的意思是英文中的“体验”，是继Windows 200及Windows ME之后的下一代Windows操作系统，也是微软首个面向消费者且使用Windows NT架构的操作系统。2011年9月底前，Windows XP是世界上使用人数最多的操作系统，全球市场占有率达42%。在200

7、7年1月，Windows XP的全球市场占有率达历史最高水平，超过76%。2012年8月份，统治操作系统市场长达11年之久的Windows XP最终被Windows 7超越。2009年4月，微软宣布取消Windows XP主流技术支持，2011年7月初，微软表示将于2014年4月8日起彻底取消对Windows XP的所有技术支持。微软宣布，2014年4月8日，走过4548个日子的Windows XP已正式光荣退役。2014年1月16日，微软宣布将会为Windows XP的用户提供Security Essentials防病毒方面的支持，直到2015年7月14日。 2 设计原理2.1设计原理（1）

8、VLAN的基本原理交换机的端口可以运行在接入方式(Access Mode)或干道模式(Trunk Mode)，对应端口所连接的链路分别被叫做接入链路和Trunk链路。接入模式的端口(接入端口Access Port)用于连接终端设备，如客户机和服务器等，这种端口仅属于一个VLAN。接入链路上传输的是普通的以太帧。干道(Trunks)是一条点到点链路，用于连接两台交换机，一台交换机和路由器或者服务器(需要特殊的适配卡)，负责在同一个Trunk链路上传输多个VLAN的通信(采用复用方式)。连接Trunk链路的交换机端口通常是交换机上具有最大带宽的端口。Trunk链路是多个VLAN的公用通道，采用Tr

9、unk链路可以把VLAN扩展到整个网络的范围。要在Trunk链路中传输多个VLAN的通信，就需要能区分帧所属的VLAN，这可以通过专门的协议对帧进行封装，或者在帧中加入标记(Tag)来实现。ISL是一种专用协议，支持Cisco设备之间的Trunk链路。而IEEE 802.1Q是一种标准协议，可以支持不同厂商设备的Trunk链路。（2）VLAN的工作原理端口A和端口B是接入端口，同属于一个VLAN，它们不能接收来自其它VLAN的帧。交换机Y接收到端口A发往端口B的帧时，不会对帧进行Trunking协议封装，而直接把其转发到端口B。端口C是VLAN的一个成员。端口A发往端口C的帧是按下列方式处理的

10、：交换机Y接收端口A的帧，通过端口号与VLAN的关联识别出是发往VLAN 200的通信；交换机Y用标识为VLAN 200的ISL对帧进行封装，然后通过Trunk链路把此帧发送到中间交换机；中间交换机重复上述步骤，直到帧最后抵达交换机Z；交换机Z对Trunking协议帧进行拆封，去除ISL头，并转发到端口C。2.2设计原则网上资源丰富，包含各种教学和科研内容信息，学生可以方便地浏览和查询网上资源实现远程学习，通过网上学习学会信息处理能力。学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理，实现网上信息采集和处理的自动化，实现信息和设备资源的共享，因此，教学楼虚拟局域网的建

11、设必须有明确的建设目标。校园网的总体设计原则是： （1） 实用性         应当从实际情况出发，使之达到使用方便且能发挥效益的目的。采用成熟的技术和产品来建设该系统。要能将新系统与已有的系统兼容，保持资源的连续性和可用性。系统是安全的，可靠的。使用相当方便，不需要太多的培训即可容易的使用和维护。  （2）先进性          采用当前国际先进成熟的主流技术，采用业界相关国际标准。设备选型

12、要是先进和系列化的，系统应是可扩充的。便于进行升级换代。建立Intranet/Internet模式的总体结构，符合当今信息化发展的趋势。通过Intranet/Internet的建立，加速国内外院校之间的信息交流。 （3）安全性          采用各种有效的安全措施，保证网络系统和应用系统安全运行。安全包括4个层面-网络安全，操作系统安全，数据库安全，应用  系统安全。由于Internet的开放性，世界各地的Internet用户也可访问校园网，校园网将采用防火墙、数据加密等

13、技术防止非法侵入、防止窃听和篡改数据、路由信息的安全保护来保证安全。同时要建立系统和数据库的磁带备份系统。  （4）可扩充性        采用符合国际和国内工业标准的协议和接口，从而使校园网具有良好的开放性，实现与其他网络和信息资源的容易互联互通。并可以在网络的不同层次上增加节点和子网。一般包括开放标准、技术、结构、系统组件和用户接口等原则。在实用的基础上必须采用先进的成熟的技术，选购具有先进水平的计算机网络系统和设备，并保留向ATM过渡的自然性。由于计算机技术的飞速发展和计算机网络技术的日新月异，网络

14、系统扩充能力的大小已变得非常重要，因此考虑网络系统的可扩充性是相当重要的。 （5） 可管理性        设计网络时充分考虑网络日后的管理和维护工作，并选用易于操作和维护的网络操作系统，大大减轻网络运营时的管理和维护负担。采用智能化网络管理，最大程度地降低网络的运行成本和维护。 （6）高性能价格比      结合日益进步的科技新技术和校园的具体情况，制定合乎经济效益的解决方案，在满足需求的基础上，充分保障学校的经济效益。坚持经济性原则，力争用最

15、少的钱办更多的事，以获得最大的效益。 3设计步骤3.1 金盆岭6号7号教学楼设计规划(1)绘制网络结构拓扑图 图3.1 网络结构拓扑图(2)VLAN及IP的规划Vlan号教学楼IP网段IP地址范围默认网关Vlan107号192.168.10.0/2410.1-10.253192.168.10.1Vlan206号192.168.20.0/2420.1-20.49192.168.20.1(3)交换机管理Vlan及IP地址Vlan号IP地址接口Vlan1192.168.0.2Fasterther0/24(4)路由器连接的外部网段 200.10.10.0/24210.1.1.0/24(5)接入层终端设

16、备6号教学楼与7号教学楼（除7号教学楼五楼机房外）都使用静态分配IP地址，7号教学楼五楼由于是机房所以在此加了一台DHCP服务器，是各个机房的计算机从该服务器获取IP地址。(6)对于DHCP服务器的配置图3.2 DHCP服务器的配置(7)分布层交换机分布层由两台交换机组成即DistributeSwitch1及DistributeSwitch2，其中DistributeSwitch1与7号教学楼交换机相连，而DistributeSwitch2与6号教学楼交换机相连。 设置交换机名称。也就是出现在交换机CLI提示符中的名字。一般以地理位置或行政划分来为交换机命名。当需要 Tel

17、net 登录到若干台交换机以维护一个大型网络时，通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。因此将两个交换机分别命名为：  DistributeSwitch1和DistributeSwitch2。 设置加密使能口令。当用户在普通用户模式而想要进入特权用户模式时，需要提供此口令。此口令会以 MD5 的形式加密，因此，当用户查看配置文件时，无法看到明文形式的口令。 设置远程登录虚拟终端口令。对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理人员提供了很多的方便。但是，出于安全考虑，在能够远程管理交

18、换机之前网络管理人员必须设置远程登录交换机的口令。 在DistributeSwitch1中添加管理Vlan，即Vlan1，并为其配置管理IP，以便网络管理人员可以进行远程登录访问管理交换机。 配置中继链路。中继链路是只承载标记数据（即具有VLANID标签的数据包）的干线链路，只能支持那些理解VLAN帧格式和VLAN成员资格的VLAN设备。中继链路最通常的实现就是连接两个VLAN交换机的链路。 在DistributeSwitch1与DistributeSwitch2间设置Vlan中继，使同一Vlan的设备可以相互通信。 在DistributeSwitch1

19、与DistributeSwitch2中均添加Vlan10与Vlan20。 配置VTP。当网络中交换机数量很多时，需要分别在每台交换机上创建很多重复VLAN。工作量很大、过程很繁琐，并且容易出错。在实际工作中常采用VLAN中继协议（ Vlan Trunking Protocol， VTP）来解决这个问题。VTP允许在一台交换机上创建所有的VLAN。然后，利用交换机之间的互相学习功能，将创建好的VLAN 定义传播到整个网络中需要此 VLAN 定义的所有交换机上。同时，有关 VLAN 的删除、参数更改

20、操作均可传播到其他交换机。从而大大减轻了网络管理人员配置交换机的负担。 因此，将DistributeSwitch1设置为VTP server，并将DistributeSwitch2设置为VTP client。(8)设置一台路由器，用于连接校园网与外部网，实现校园局域网与Internet间的通信。 将路由器与内部网的分布与两台交换机相连。 对路由器进行命名，即CoreRouter。 配置加密使能口令，远程访问虚拟终端口令等。 对路由器的两个Fastethernet接口设置IP地址及子网掩码，即Vlan10与Vlan20的各终端

21、设备的网关地址。即：  Fastethernet0/0：192.168.10.1   255.255.255.0   Fastethernet0/1：192.168.20.1   255.255.255.0  在路由器连接外网的接口上配置IP地址及子网掩码。即：   Serial0/1/0：200.10.10.1   255.255.255.0  配置NAT。NAT不仅完美地解决了lP地址不足的问题，而且还

22、能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。 因此，在本课程设计中使用动态NAT配置来实现内部网对外部网的访问。  配置ACL。路由器是外网进入校园网内网的第一道关卡，是网络防御

23、的前沿阵地。路由器上的访问控制列表（Access Control List，ACL）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护。 具体可以有以下几项：  在Fastethernet0/1上添加ACL，阻止Vlan10与Vlan20之间相

24、互通信 对外屏蔽远程登录协议 telnet，telnet 是一种不安全的协议类型。用户在使用 telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。这是极其危险的，因此必须加以屏蔽。 对外屏蔽其它不安全的协议或服务这样的协议主要有 SUN OS 的文件共享协议端口 2049，远程执行（rsh）、远程登录（rlogin）和远程命令（rcmd）端口512、513、514，远程过程调用（SUNRPC）端口111。 针对DoS攻击的设计。Do

25、S 攻击是一种非常常见而且极具破坏力的攻击手段，它可以导致服务器、网络设备的正常服务进程停止，严重时会导致服务器操作系统崩溃。 保护路由器自身安全。作为内网、外网间屏障的路由器，保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器，必须对路由器的访问位置加以限制。应只允许来自服务器群的IP地址访问并配置路由器。 3.2 6号7号教学楼配置步骤（1） 路由器配置代码    （1）路由器命名： Router(config)#hostname CoreRouter   

26、60;（2）设置路由器加密使能口令： CoreRouter(config)#enable secret 123    （3）设置远程访问虚拟终端口令：       CoreRouter(config)#line vty 0 4 CoreRouter(config-line)#password abc       CoreRouter(co

27、nfig-line)#login      CoreRouter(config-line)#exit    （4）配置： 对Vlan10中的地址： CoreRouter(config)#ip nat pool aa 200.10.10.3 200.10.10.12 netmask 255.255.255.240 CoreRouter(config)#access-list 11 

28、;permit 192.168.10.0 0.0.0.255 CoreRouter(config)#ip nat inside source list 11 pool aa CoreRouter(config)#interface fastEthernet 0/0 CoreRouter(config-if)#ip nat inside  CoreRouter(config-if)#exit CoreRout

29、er(config)#interface serial 0/1/0 CoreRouter(config-if)#ip nat outside  CoreRouter(config-if)#exit 2）对Vlan20中的地址： CoreRouter(config)#ip nat pool bb 200.10.10.17 200.10.10.30 netmask 255.255.255.240 CoreRouter(config

30、)#access-list 12 permit 192.168.20.0 0.0.0.255 CoreRouter(config)#ip nat inside source list 12 pool bb CoreRouter(config)#interface fastEthernet 0/1 CoreRouter(config-if)#ip nat inside  CoreRouter(con

31、fig-if)#exit CoreRouter(config)#interface serial 0/1/0 CoreRouter(config-if)#ip nat outside  CoreRouter(config-if)#exit   （5）配置ACL： 阻止Vlan10与Vlan20间的通信，在fastethernet0/1上使用： CoreRouter(config)#access-list 102 deny icmp

32、60;192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 CoreRouter(config)#access-list 102 permit icmp any any CoreRouter(config)#int fa0/1 CoreRouter(config-if)#ip access-group 102 in CoreRouter(config-if)#exit 对外屏蔽远程登录协议

33、telnet： CoreRouter(config)#access-list 101 deny tcp any any eq telnet CoreRouter(config)#access-list 101 permit ip any any CoreRouter(config)#int serial0/1/0 CoreRouter(config-if)#ip access-group 101 

34、in CoreRouter(config-if)#exit 对外屏蔽其它不安全的协议或服务： CoreRouter(config)#access-list 103 deny tcp any any range 512 514 CoreRouter(config)#access-list 103 deny tcp any any eq 111     Core

35、Router(config)#access-list 103 deny udp any any eq 111    CoreRouter(config)#access-list 103 deny tcp any any range 2049 CoreRouter(config)#access-list 103 permit ip any any C

36、oreRouter(config)#int serial0/1/0 CoreRouter(config-if)#ip access-group 103 in CoreRouter(config-if)#exit 4）针对 DoS 攻击的设计： CoreRouter(config)#access-list 104 deny icmp any any eq echo-requestCoreRouter(config)#access

37、-list 104 deny udp any any eq echo CoreRouter(config)#int serial0/1/0 CoreRouter(config-if)#ip access-group 104 in 保护路由器自身安全： CoreRouter(config)# access-list 2 permit 192.168.100.0 0.0.0.255 Core

38、Router(config)#line vty 0 4 CoreRouter(config-line)#access-class 2 in CoreRouter(config-line)#exit  图3.3 路由器配置 图3.4 路由器端口1设置 图3.5路由器端口2设置 图3.6 路由器与外网相接端口设置图3.7 对路由器进行命名和加密口令并且设置远程访问终端口令图3.8 对VLAN1、2中的地址配置NAT图3.9 配置ACL（二）交换机配置代码 （1）交换机DistributeSwitch

39、1     命名交换机： Switch(config)#hostname DistributeSwitch1     设置加密使能口令： DistributeSwitch1(config)#enable secret cisco123 设置远程登录口令： DistributeSwitch1(config)#line vty 0 4 DistributeSwitch1(config-lin

40、e)#password cisco      DistributeSwitch1(config-line)#login      DistributeSwitch1(config-line)#exit   为交换机添加管理Vlan： DistributeSwitch1(config)#interface vlan 1 DistributeSwitch1(config-if)#ip add

41、ress 192.168.0.1 255.255.255.0      DistributeSwitch1(config-if)#no shutdown      DistributeSwitch1(config-if)#exit 为交换机添加Vlan：Vlan10和Vlan20      DistributeSwitch1#vlan database Di

42、stributeSwitch1(vlan)#vlan 10 DistributeSwitch1 (vlan)#vlan 20 将Vlan作用于对应接口：     DistributeSwitch1 (config)#int fa0/3 DistributeSwitch1 (config-if)#switchport mode access  DistributeSwitch1 (config-if)#swi

43、tchport access vlan 10 DistributeSwitch1 (config-if)#exit DistributeSwitch1h(config)#int fa0/4 DistributeSwitch1 (config-if)#switchport mode access  DistributeSwitch1 (config-if)#switchport access vlan 20 Distr

44、ibuteSwitch1 (config-if)#exit DistributeSwitch1 (config)#int fa0/1 DistributeSwitch1 (config-if)#switchport mode access  DistributeSwitch1 (config-if)#switchport access vlan 20 DistributeSwitch1 (config-if)#exit 在两交

45、换机间配置Vlan中继链路：      DistributeSwitch1(config)#int fa0/2 DistributeSwitch1 (config-if)#switchport mode trunk  DistributeSwitch1 (config-if)#switchport trunk allowed vlan add 10 DistributeSwitch1 (config-if)#switchport trunk allowed vlan add 20 DistributeSwit