学院宿舍楼网络组建

1、学院宿舍楼网络组建目录摘 要错误!未定义书签。Abstract错误!未定义书签。 TOC o 1-5 h z HYPERLINK l bookmark18 o Current Document 第一章绪论1 HYPERLINK l bookmark20 o Current Document 引言1 HYPERLINK l bookmark22 o Current Document 选题的背景与意义1第二章概述2 HYPERLINK l bookmark35 o Current Document 2.1宿舍网络设计的基本概述22. 1. 11P地址规划与VLAN的划分22. 1.2相应拓扑图3

2、HYPERLINK l bookmark42 o Current Document 2. 2运用的主要技术及介绍6 HYPERLINK l bookmark50 o Current Document 2. 3宿舍网络通信平安介绍8第三章设备的配置清单103.1三层交换机10 HYPERLINK l bookmark9 o Current Document 3. 2路由器123. 3防火墙14 HYPERLINK l bookmark11 o Current Document 4二层交换机15第四章 设备主要用途及说明174.1所需设备171. 1 cisco ASA 5505 防火墙171.2

3、 cisco 2801 路由器171.3 cisco 2960 交换机171.4 cisco 3560 交换机18 HYPERLINK l bookmark16 o Current Document 2信息点安置设计182.1信息点统一化18第五章遇到问题与解决方法19三层交换机I0S丧失19 HYPERLINK l bookmark29 o Current Document 2防火墙密码破解213设备只能在ROMMON模式22 HYPERLINK l bookmark31 o Current Document 结论23 HYPERLINK l bookmark33 o Current Doc

4、ument 参考文献23连接网线，对电脑进行简单的网络配置就可以上网。由于IP和MAC盗用会导致合法用户 不能上网，甚至非法入网者会以合法用户的名义从事非法勾当，对网络的平安管理造成很大 的威胁：2）操作系统和应用软件存在大量漏洞，这是造成网络平安问题的严峻的一个主要原 因。国际权威应急组织CERT / CC统计，截至2 0 0 4年以来漏洞公布总数1 6 7 2 6 个，并且利用漏洞发动攻击的速度也越来越快；3）校园网用户平安意识不强及计算机水平有限。大局部学校普遍都存在重技术、轻 平安、轻管理的倾向，常常只是在内部网与互联网之间放一个防火墙就万事大吉，甚至有些 学校直接连接互联网，严重缺乏

5、防范黑客攻击的意识。学生宿舍网络作为服务于教育、科研和行政管理的计算机网络，实现了校园内连网、 信息共享，并与I n t e r n e t互联。宿舍网络连接的校内学生机，存在许多平安险患, 主要表现有：1）宿舍网络与I n t e r n e t相连，面临着外网攻击的风险。2）来自内部的平安威胁。3 ）接入宿舍网络的节点数FIFI益增多，这些节点会面临病毒泛滥、信息丧失、数据 损坏等平安问题。通过对宿舍网络的平安设计，在不改变原有网络结构的基础上实现多种 信息平安，保障宿舍网络平安，一个整体一致的内网平安体系，应该包括身份认证、授权 管理、数据保密和监控审计四个方面，并且，这四个方面应该是紧

6、密结合、相互联动的统一 平台，才能到达构建可信、可控和可管理的平安内网的效果。身份认证是内网平安管理的基础，不确认实体的身份，进一步制定各种平安管理策略 也就无从谈起。内网的身份认证，必须全面考虑所有参与实体的身份确认，包括服务器、客 户端、用户和主要设备等。其中，客户端和用户的身份认证尤其要重点关注，因为他们具有 数量大、环境不平安和变化频繁的特点。授权管理是以身份认证为基础的，其主要对内部信息网络各种信息资源的使用进行授 权，确定谁能够在那些计算机终端或者服务器使用什么样的资源和权限。授权管理的信息资源应该尽可能全面，应该包括终端使用权、 外设资源、网络资源、文件资源、服务器资源和存储设备

7、资源等。数据保密是内网信息平安的核心，其实质是要对内网信息流和数据流进行全生命周期 的有效管理，构建信息和数据平安可控的使用、存储和交换环境，从而实现对内网的核心数 据的保密和数字知识产权的保护。由于信息和数据的应用系统和表现方式多种多样，所以要 求数据保密技术必须具有通用性和应用无关性。监控审计是宿舍网络平安不可缺少的辅助局部，可以实现对宿舍网络平安状态的实时 监控，提供宿舍网络平安状态的评估报告，并在发生宿舍网络平安事件后实现有效的取证。宿舍网络平安已经成为信息平安的新热点，其技术和标准也在成熟和演进过程中，我 们有理由相信，随着同学们对宿舍网络平安认识的加深，用户宿舍网络平安管理制度的完

8、善, 整体一致的宿舍网络平安解决方案和体系建设将成为宿舍网络平安的主要开展趋势。宿舍内部网络平安经常会发生I P盗用现象，恶意修改mac地址，严重危害了正常的 上网秩序，下面我们先从网卡开始探讨网络的平安问题。第三章设备的配置清单三层交换机Building configuration.Current configuration : 3594 bytes iversion 12.2no service padservice timestamps debug datetime msecservice timestamps log datetime msec no service password-

9、encryption ihostname MS iboot-start-markcrboot-end-marker ienable password cisco no aaa ncw-modclsystem mtu routing 1500ip routing10 spanning-tree mode pvs( spanning-tree extend system-id ivlan internal allocation policy ascendinginterface FascE(hemeiO/l switchpoil access vlan 10 ip access-group 101

10、 iniinterface FastEthemetO/2switchport access vlan 100 iinterface FastE(heme(0/3switchport access vlan 200 iinterface FastEthernetO/4switchport access vlan 10() iinterface FastEthcrnctO/5switchport access vlan 200 iinterface Vlan 1 no ip addressiinterface Vlan 10ip address iinterface Vlan 100ip addr

11、ess iinterface Vlan2()0ipaddress irouter ospf 1log-adjaccncy-changcsnetwork 55 area 0 network 55 area 0 network 55 area 011ip classlessip serverip secure-sen?eraccess-list 101 permit ip any any time-range mytimeline con 0line vty 0 4password ciscologinline vty 5 15login itime-range mytimeperiodic Mo

12、nday Friday 7:00 to 23:00 iend路由器Building configuration.Current configuration : 1161 bytes iversion 12.4service timestamps debug datetime msec service timestamps log datetime msec no service password-encryptionihostname R1iboot-start-markerboot-end-markerienable password cisco interface FastEthernet

13、O/O12ip address duplex autospeed auto interface FastEthernetO/1ip address duplex autospeed autoiinterface Scrial0/3/0no ip addressshutdownno fair-queue clock rate 125000iinterface Serial0/3/1no ip addressshutdownclock rate 125000 irouter ospf 1log-adjacency-changesnetwork 55 area 0 network 55 area 0

14、 network 55 area 0irouter ripnetwork iip route FastEthcrnctO/1 ip route 0.0,0.0 i!line con 0line aux 0line vty 0 4password ciscologiniend133. 3防火墙ASA Version 8.2(5) ihostname ASAenable password 2KFQnbNIdI.2KYOU encryptedpasswd 2KFQnbNklI.2KYOU encryptednames iinterface EthcrnctO/O switchport access

15、vlan 11iinterface EthernetO/1 switchport access vlan 12iinterface Vlanlno name ifno security-levelno ip address iinterface Vlanl 1 nameif inside security-level 100ip address iinterface Vlan 12 nameif outside security-level 0ip address 0 iftp mode passiveaccess-list in_to_out extended pennit ip anyac

16、cess-list acl_out extended permit tep any any eq www access-list acl_out extended permit tep any any eq s acccss-list acl_out extended permit iemp any any access-list 102 extended permit iemp any anyaccess-list 102 extended pennit ip any any access-list acl_drnz extended permit iemp any any pager li

17、nes 24 logging enable m(u inside 1500mtu outside 150014 icmp unreachable rate-limit 1 burst-size 1no asdm history enablearp timeout 14400access-group acl_out in interface outside irouter ospf 1network area 0network area 0log-adj-changes iroute outside 14二层交换机Building configuration.Current configurat

18、ion : 3338 bytes !version 12.2no service padservice timestamps debug datetime msecservice timestamps log datetime msec no service password-encryptionihostname S2 iboot-start-markerboot-end-marker ienable password cisco ispanning-tree inode pvstspanning-tree extend system-id ivlan internal allocation

19、 policy ascendingn ter face FastEthemetO/1 switchpoll mode trunk15 interface FastEthemetO/2switchpoi t access vlan 200interface FastEthernetO/3 switchport access vlan 200iinterface FastEthcrnetO/4 switchport access vlan 200iinterface FascE(hemei0/5 switchpoil access vlan 200iinterface FastEthernetO/

20、6 switchport access vlan 200iinterface FastEthcrnctO/7 switchport access vlan 200iinterface FastEthemetO/8 switchpoi t access vlan 200iinterface FastEthemetO/9 switchport access vlan 200iinterface FastEthcrnctO/10 switchport access vlan 200iinterface FastEthemetO/l I switchpoi t access vlan 200iinte

21、rface FastEthemet0/12 switchport access vlan 200iinterface FastEthcrnetO/13 switchport mode trunkiinterface Vlanl no ip addressiip serverip secure-sen,eriline con 016line vty 0 4 password cisco loginline vty 5 15 loginiimonitor session 1 source interface FaO/2monitor session 1 destination interface

22、FaO/12 end第四章设备主要用途及说明所需设备c i seo ASA 5505 防火墙，c i seo 2801 路由器，c i seo 2960 交换机，c i seo 2960 交换机，cisco 3560交换机。1.1 cisco ASA 5505 防火墙1）保证宿舍网络平安。2）使用NAT让流量通过防火墙，正常上网。3）采用ACL技术阻止某些非法流量及非法访问。4. 1.2 cisco 2801 路由器I）转发流量。2）用OSPF协议通告网段。4. 1.3 cisco 2960 交换机I）划分VLAN,便于管理。172）在某些端口作端口镜像，可备份流量。4.1.4 cisco 3

23、560 交换机1）路由转发，保证网络连通。2）用基于时间的ACL控制上网时间段。4. 2信息点安置设计4. 2.1信息点统一化由于我校宿舍网络只有电信、移动和联通这3个，所有计划每个寝室安置.6个信息点。 电信分配2个，联通分配2个，移动分配2个。让寝室同学可以自由选择使用。并且每个信 息点都有备用的，所有不用担忧上不到网。具体分布见下列图：.一：二二 ：二二二二二： 二宿舍区J7系统水平干线子系纥 就渊：此图为 宿舍幡左半边 的甑右半边 的酶了设备 间，都一格图中红色为增内双雄线线洛，邮潮麻 mm曜1HmM中心18配即好系堂，双谶丽第一章绪论引言科学技术的开展日新月异，在计算机技术和通信技术

24、结合下，网络技术得到 了飞速的开展。整个社会都不可能脱离网络而存在。网络技术已经成为现代信息 技术的主流，成为人们生活、工作、学习中必不可少的一局部，人们对网络的认 识也随着网络应用的逐渐普及而迅速改变。未来的网络技术将向着简单、高速快捷、多网合一、平安保密的方向开展。 未来进一步提升自身实力，很多高校都开始自己建设学院网络，而校园宿舍网络 也是其中重要的一局部。我学院宿舍网络将实现与校内各部门进行通信。我学院宿舍网络将为学校的 科研、教学、管理提供必要的技术手段，为研究开发和培养人才建立平台，借此 加快学校的开展，以此加快学校的开展，成为一个具有示范性的高校。选题的背景与意义各学院为了加快校

25、园信息化建设，需要建设一个高性能的、平安可靠的校园 网络，校园网建成后，要求能够实现校园内部各种信息服务功能，实现与教育网 的无阻碍连通，同时提供宽带接入功能，以备主连接失效情况下的被用连接要求, 能够实现校园办公自动化需求。学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行 综合管理，同时可以实现各级管理层之间的信息数据交换，实现宿舍网络智能化, 实现网上信息采集和处理的自动化，实现信息和设备资源的共享，使其为各学科 的教学和实验服务。信息点分布图第五章遇到问题与解决方法5.1三层交换机IOS丧失第一种方法:X-Modem1、用控制线连接交换机console 与计算机串口 1

26、,用带有xmodem功能的终端软件连 接（超级终端）。2、设置连接方式为市口 1 （如果连接的是其他用口就选择其他串口），速率9600,无 校验，无流控，停止位1。或者点击默认设置也可以。3、连接以后计算机回车出现交换机无ios的界面，一般的提示符是：switch:4、拔掉交换机后的电源线重新启动交换机5在超级终端输入：swilch:flash_init会出现如下提示：Initializing Flash.6 输入拷贝指令：switch:copy xmodem: flash:c3560-advipservicesk9-mz. 122-25.SEE2.bin 出现如下提示:Begin the X

27、modem or Xmodem-IK transfer now.7、系统提示不断出现C这个字母就可以开始传文件了8、点击超级终端菜单：传送一发送文件，在协议选项中选择Xmodem或者Xmodem-1K 协议，然后选择 ios 的影像文件（）,开始传 送。9、因为不能改速率，所以传送得很慢。（都以B为单位传输，如果可以改比特率， 那么会快一点）10、传送完毕后提示：File xmodem: successfully copied to switch:11、在提示符下输入switch:boot启用新的ios系统12、重新启动后就完成了。第二种方法:TFTP在一台机器上安装TFTP服务器软件，将IO

28、S文件放置在TFTP服务滞的默认根目录下，19翻开TFTP服务器，用控制线将这台机器与ROUTER连接起来，另外用交叉网线连接机器 的网卡和ROUTER的以太口。（也可以用普通的网线将ROUTER和交换机相连再连接机器） 做好以上工作后，翻开机器的超级终端工具，连接上ROUTER,按CtH+Break组合键，此 时窗口中出现的命令行提示符为:ROMMON（其中“1”代表命令行的行数）。在提示符后输入命令：ROMMON I IP_ADDRESS= ROUTER的IP地址（耍和TFTP服务器在同一网段内）ROMMON 2 IP_SUBNET_MASK= ROUTER 的子网掩码ROMMON3DEF

29、AUT_GATEWAY=默认网关地址（可以没有，也可以是TFTP服务 器）ROMMON 4 TFTP_SERVER= TFTP 服务器 IP 地址ROMMON 5 TFTP_FILE= IOS文件名（只给出文件名，不需要路径）ROMMON 6 tftpdnld 回车注意：前面的几条命令必须使用大写，而最后的Hipdnld那么要用小写。在iftpdnld命令 执行后，只要根据提示选择，就可完成文件的传输。当文件传输完后，将自动回到命令行下, 输入reset重启ROUTER,重启后就又回到了熟悉的IOS模式下甚至连以前配置的信息都不 会丧失。应注意的问题：1）在连接运行tflp server的PC

30、机至路由器时，必需使用路由器的第一个以太口，即 ElherniO（对2500系列等），ElhernetO/O （对2600系列等），其它系列略有差异，可根据使用 手册进行确定。2）在使用连接电缆时，一定要用交叉线，因这种情况属DTE与DCE之间的连接。3）在运行tftp server的PC机上，一定要有相应的路由器的IOS映象文件，可以通过 多种渠道和多种方式获得该文件。iftp server的地址可以随意定义，但必须与路由器定义的地址在同一网段上。（温馨提示：第一种方法比拟慢，但是操作简单；第二种方法相反。）205. 2防火墙密码破解：通过Console 口连接设备2：加电并启动3：显示启动

31、信息的时候，按“Esc”键，进入ROMMON模式4：选择不加载startup-config文件启动，在RONNON模式下输入ronnon #1 confreg设 备会显示当前配置注册值，并且会提示“是否要更改注册值“Current Configuration Register: 0 x()(XXK)001 Configuration Summary:boot default image from Flash5：记录当前配置的注册值，以备稍后恢复6：根据提示按Y键更改注册值7：除了“disable system configuration?”按Y键其他设置一律按照默认值(直接Enter)Do y

32、ou wish to change this configuration? y/n n: yesenable boot to ROMMON prompt? y/n n:enable TFTP nctboot? y/n nJ:enable Flash boot? y/n nJ:select specific Flash image index? y/n n:disable system configuration? y/n n: yesgo to ROMMON prompt if netboot fails? y/n n:enable passing NVRAM file specs in au

33、to-boot mode? y/n (n:disable display of BREAK or ESC key prompt during auto-boot? y/n n:8：重新启动设备，输入bool命令即可Rommon #2 bool设备会加载默认的配置并不加 载 startup-conOg 文件9：设备启动后进入特权模式Hostnameenable10：当系统提示输入密码，按Return密码就会清空：设置加载 startup-config 文件启动 Hostnamc#copy startup-config running-config12：进入全局模式下输入以下命令Hostnamc#

34、configure terminal13：配置新密码，对于平安产品来说这步是必要的Hos(name(conflg)#passvord 密码Hos(name(conflg)#enable password 密码Hostname(con fig)#usemame 名字 password 密码2114：通过以下命令更改注册值，并且在下一次重启时加载slarlup-config启动Hostname(config)#config-iegister 值15：保存新酉已置至lj stanup-config 文彳牛 Hostname(config)#copy running-config startup-co

35、nfig(注：通过以上步骤不但可以破解密码，而且不会丧失之前的配置。)3设备只能在R0MM0N模式在flash里有IOS的情况下:修改注册码，然后重新启动:rommonconfreg设备正确寄存器值rommonboot寄存器:寄存器是内存阶层中的最顶端，也是系统获得操作资料的最快速途径。寄存器通常都是 以他们可以保存的位元数量来估量，举例来说，一个“8位元寄存器”或“32位元寄存器寄 存器现在都以寄存器档案的方式来实作，但是他们也可能使用单独的正反器、高速的核心内 存、薄膜内存以及在数种机器上的其他方式来实作出来。寄存器通常都用来意指由个指令之输出或输入可以直接索引到的暂存器群组。更适当 的是

36、称他们为“架构寄存器”。例如，x86指令集定义八个32位元寄存器的集合，但一个实际x86指令集的CPU可 以包含比八个更多的寄存器。寄存器是CPU内部的元件，包括通用寄存器、专用寄存器和控制寄存器。寄存器拥有 非常高的读写速度，所以在寄存器之间的数据传送非常快。主要用途:.可将寄存器内的数据执行算术及逻辑运算.存于寄存器内的地址可用来指向内存的某个位置，即寻址.可以用来读写数据到电脑的周边设备。(注：寄存器每一个值都对应着相应的功能,在不知道的情况下不可以胡乱修改, 这样很可能会导致设备无法正常工作。)22结论本文是基于校园宿舍网络工程组个人工作所作，其中运用到了很多专业知 识。可以实现学生宿

37、舍平安、快捷、方便的上网优势，也做到了最基本的方便管 理与维护。统一了不同运营商的信息点，使同学们上网可自由选择运营商。在另一方面又管理了同学们的上网时间，也过滤了同学们上网产生的不健康 流量。并且在交换机上做了端口镜像，这样可以备份上网数据，以至于如果同学 们不合法上网那么可以追查到个人。我们校园宿舍网络既实现了必须的网络资源共享，乂限制了上网的不合法行 为，并且也保证了校园网最重要的平安与合法性。参考文献1 CCNA E1E4美Cisco Networking Academy 人民邮电出版 社.2009. 62CCNA Security美Cisco Networking Academy 人

38、民邮电版 社.2013. 13综合布线技术与工程余明辉、陈兵、何益新.高等教育出版社.2008. 6 【4】百度文库、鸿鹄论坛23第二章概述宿舍网络设计的基本概述通过对我校宿舍楼进行的实地考察，了解房间分布，从而知道所需信息点和 设备个数，以及设备放置的合理房间。考察完成以后根据实地作出所需拓扑图。 然后，规划IP地址和划分VLAN,使其便于管理与维护。通过配置路由器、交换 机与防火墙实现智能化管理与上网限制及监控。从而到达文明上网、便捷上网、 平安上网的目的。地址规划与VLAN的划分皤飘 Pilt聊192,16830,0/24锵I 口IPWVIAN骷瞩鼬1cisco 2801faOA)|细就

39、VWNcisco 2801faO/1255255255。喇M3560faO/1255255255.0103敦嬲物VLAN上罪吃耳瓯麒1陀胸f吸19216833.1255255255.0100於 W560faO/3192.16834;255255255.0200第 W560faO/4255255255。100临(3560faO/5200豳Catalyst 2960叫2糊12100谪僧Catalyst 2960faQ/2.faO/12200瞅M6co ASA 5505ETO/O192168322255255255.011微瞬到LAN上错吃髓接 0族魁co ASA 5505ETO/125525525

40、5.012IP K VLAN 规划相应拓扑图1*4普中心逆辑拓扑图物理拓扑图机柜安装图仞/2运用的主要技术及介绍动态路由(OSPF)：OSPF是Open Shortest Path First (即“开放最短路由优先协议”)的缩写。OSPF是IETF (Internet Engineering Task Force)组织开发的一个基于链路状态的自治系统内部路由协议， 是目前使用最为广泛的内部网关路由协议。在IP网络上，它通过收集和传递自治系统的链 路状态来动态地发现并传播路由。适应范围：OSPF支持各种规模的网络，最多可支持几百台路由器。快速收敛：如果网络的拓扑结构发生变化，OSPF立即发送更

41、新报文，使这一变化在 自治系统中同步。无自环：由于OSPF通过收集到的链路状态用最短路径树算法计算路由，故从算法本 身保证了不会生成自环路由。子网掩码：由于OSPF在描述路由时携带网段的掩码信息，所以OSPF协议不受自 然掩码的限制，对VLSM提供很好的支持。区域划分：OSPF协议允许自治系统的网络被划分成区域来管理，区域间传送的路由 信息被进一步抽象，从而减少了占用网络的带宽。等值路由：OSPF支持到同一目的地址的多条等值路由。路由分级：OSPF使用4类不同的路由，按优先顺序来说分别是：区域内路由、区 域间路由、第一类外部路由、第二类外部路由。支持验证：它支持基于接口的报文验证以保证路由计算

42、的平安性。组播发送：OSPF在有组播发送能力的链路层上以组播地址发送协议报文，即到达了 广播的作用，又最大程度的减少了而其他网络设备的干扰。交换机端口镜像:把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。端口镜像 (Port Mirroring)可以让用户将所有的流量从一个特定的端口复制到一个镜像端口。如果您 的交换机提供端口镜像功能，那么允许管理人员自行设置一个监视管理端口来监视被监视端口 的数据。监视到的数据可以通过PC上安装的网络分析软件来查看，通过对数据的分析就可 以实时查看被监视端口的情况。端口镜像选取的设备原那么为网络中连接重要服务器群的交换 机或路由器，或是连接到网通的出口路由器。通常为了部署流量分析、IDS等产品需要监听网络流量，但是在目前广泛采用的交换网 络中监听所有流量有相当大的困难，因此需要通过配置交换机来把一个或多个端M（VLAN） 的数据转发到某一个端口来实现对网络的监听。端口镜像通常有以下几种别名：Port Mirroring通常指允许把一个端口的流量复制到另外一个端口，同时这个端口不能再传输数据。Monitoring Port监控端口Spanning Port通常指允许把所有端口的流量复制到另外一个端口，同时这个端口不能再传输数据。SPAN port在Cisco产品中，SPAN通常指Switc