智能化小区组网实验报告

组网实验周设计说明书组网实验周设计说明书页4.4.7网络拓扑结构； / 曲b月艮勞翩机图4-4； / 曲b月艮勞翩机图4-4网络拓扑Ls-annn-2fji户-瞬吹换机有』口台Tl讣R1cu柜RG-NfiF?nnw>IS-3&0U??吕|盒亜材TP-4.4.8技术介绍采用模块化星型拓扑结构，主干段相互独立，便于网络维护和扩充 。光纤主干采用单模光缆，有利于千兆网及今后更高速率的网络应用。而且通过跳线的不同跳接，组网方式也十分灵活。可以实现：点对点。在两台计算机之间建立起高速通道。逻辑星型网络。通过光纤网络设备，建立起星型网络拓扑结构的快速以太网。住户楼内线缆采用超五类双绞线，性价比高，施工方便，且可以达到较高的数据传输速率。4.5上海浦东翠华庭智能小区建网原则4.5.1智能小区建网总原则建网要遵循“依据需求、统筹规划、分步实施、成熟可靠的原则。 智能小区的建设要考虑小区的需要与可能，首先要满足用户需要，要把服务作为智能小区网建设的出发点；智能小区网建设的方案要符合社区长远发展规划，应将基础设施建设、物业管理建设和人员培训统筹规划；建设智能小区网时，根据经费情况，可一步到位，也可统筹规划、分步实施、逐步到位；智能小区网建设方案的制订要采用经过实践证明是成熟的、先进的，同时又能满足智能小区网要求的技术。

4.5.2实用性智能小区网必须是具备物业管理系统、 医疗事务所、社区小学和通讯等功能。用户可以方便地浏览和查询网上资源，调用网上资源，娱乐等。4.5.3技术性系统设计要考虑到10年内的技术发展。选择网络设备要通用性高，兼容性强，能支持网段和节点的扩充；支持新出现的网络协议和多媒体网络应用软件；支持不同存储格式的教学软件（包括网上的VCDDVD教学软件等）4.5.4安全性防止系统数据的窃取、篡改（系统日志）和丢失；具有防病毒措施。4.5.5经济性预算合理；投资合理；使用周期长。4.6上海浦东翠华庭智能小区综合布线施工图4.6.1工作区子系统布线施工图大厅fee■7来一一佶息播口I ii I■;■■图4-5工作区施工图462水平子系统布线施工图图4-6水平干线施工图463垂直干线子系统布线施工图強根..111z8和根1£a』根图4-7垂直干线施工图 tensrP 3■■ A£mrni*；EJT_ = 12mtuc1464拓扑结构图LJ.frfi-JHTV/ft1C4?+LJ.frfi-JHTV/ft1C4?+几柜TFRG'hJDRGOK图4-8网络拓扑4.7工程预算清单4.7.1工作区子系统预算清单RJ45头的需求量用下述公式计算：m=nx4+nx4x15%m表示RJ45的总需求量；n：表示信息点的总量；nx4x15%表示留有的富余量。经计算，共需水晶头6085个。每栋楼3个单元20层，每个单元每层4户，每户2个信息点，所以一共480个信息点,经计算，共需水晶头2208个，共23盒。信息模块的需求量一般计算为：m=n+nx3%m表示信息模块的总需求量；n：表示信息点的总量；nx3%表示富余量。经计算供需信息模块624个。工作区子系统共打624个孔。4.7.2水平子系统预算清单总长度=(A+B)/2*n*3.3*1.2A——最短信息点长度；B――最长信息点长度；N——楼内信息点数；3.3—系数，将米（m换成英尺（ft）；1.2 余量参数用线箱数=总长度/ 1000+1（双绞线一般以箱为单位订购，每箱双绞线长度为 305m（1000ft）。）最短信息点长度为5米，最长信息点长度为 67米，经计算，整栋楼的用线量为：68429英尺，一箱线1000英尺，则需要69箱。4.7.3垂直干线子系统预算清单一栋楼共20层，垂直干线要打20个孔。4.7.4设备间和管理间子系统预算清单1、为了设备的搬运方便，每个单元的第三层正对电梯间作为设备间，一层 4个用户，所选二层交换机为24口（一个口连汇聚层的三层交换机预留三个口备用，以防接口坏掉获留给无线设备），每五层用一个二层交换机，一个单元要 4台交换机，一栋楼要12个交换机。由于本系统是二层通信，用户接入这选择路由器，由于用户数量巨大，路由器和二层交换机间选20台三层交换机连接，每栋楼用一个三层交换机，所以一栋楼 12个交换机连到一台三层交换机上。2、一栋楼三个单元有三个设备间，每个设备间选一个神州 TW.61042机柜，放4台二层交换机，4个配线架，6个理线器3、 配线架在机柜下部，交换机在机柜上部，每个配线架之间有一个理线器，每个交换机之间也有一个理线器，正面的跳线从配线架出来全部放入理线器，再从机柜侧面绕到上部交换机间的理线器中再进入交换机。如下图所示：

4、为了方便管理线缆使用标签标识，接到用户和接到交换机的两头都标识相同，如接到01101用户的线缆两头都标识01101，而交换机则标识C2960-1、C2960-2、C2960-3C2960-4，C2960-1接到1到5层用户,C2960-2接到6到10层用户,C2960-3接到11到15层用户,C2960-4接到16到20层用户。4.7.5PVC槽与PVC曹附件预算清单图4-10线缆走向示意图1、设备间在三层，从设备间出来共有 80根超五类双绞线，去2层有8根双绞线，一层有4根双绞线，去4层有70根，去5层有66根，依次递减，单元楼内水平走向 2根，共计需PVC(20*10mm)12006米，PVC(40*25mm)9米，PVC(50*25mm)6米，PVC(80*50mm)9米，PVC(1000*50mm)12米，金属槽(50*100mn)9米，金属槽(500*100mm)9米2、 每层需4个阳角，4个阴角，1个平三通，共需80个阳角，80个阴角，20个平三通，其他具体附件在这里就没有叙述了。4.7.6编制综合布线用料清单表4-2编制综合布线用料清单骨口.序号名称型号单位数量单价总计(元)(元)

1路由器RG-NBR80台1199819982三层交换机LS-3600-28TP-SI台1490049003二层交换机CISCOWS-C2960-24TT-L台123600432004超五类双绞线AMP箱69750517505RG-45水晶头AMP盒23358056单口信息模块AMP个624849927超五类48口配线架AMP48口非屏蔽个121505180608理线器Amp个618010809网络标识CRITCHLEY个42409601019寸标准机柜神州TW.61042台324807440总计：202173元5外网接入核心部分项目的设计方案（负责人：姜来）5.1外网接入核心部分网络设计方案5.1.1核心层，外网接入网络拓扑网络拓扑设计图5-1核心层，外网接入网络拓扑图核心层使用三层网络通讯，在各个网段应用 ospf协议，自动学习相应路由。在入户楼和汇聚层路由器上，启动 aaa认证服务对用户进行认证计费授权监控，使用 RSR30-44路由器，大约覆盖2400接入点，为用户提供4兆带宽，提供良好的上网环境，同时应用其 qos功能解决保证当网络过载或拥塞时，网络的高效运行。使用 acl对用户数据包进行过滤，过滤掉3899，,1433等常用端口，保证核心层网络安全。小区网络系统在提供住户正常上网的同时，将物业管理等统一结合起来，使用网络进行同步，小区内部系统只要包括，自控系统，水表系统，电表系统等内容，各个系统统一使用路由器与核心层连接，并应用 acl控制访问列表对信息进行过滤，以保证安全，各系统统一管理，方便物业管理。小区提供一个电影服务器小区内住户可自由访问，对于外网人员拒绝提供该服务。本小区采用natp方式与公网进行连接，双出口，使用 RSR50-20提供最佳的上网环境。

5.1.2网络设备选型表5-1网络设备选型序号设备型号接口单位单价（元）数量（台）总价1三层交换机RG-S7604M7600-24GT24台10000022000002汇聚层路由器RSR30-441个主控板模块插槽,4个NMX模块插槽，4个SIC模块插槽台3000051500003出口路由器RSR50-203个GE口（光电复用），2个USB1控制台口,1AUX口台4210031300004服务系统RG-NBR80WAN口：2个10/100M自适应RJ45端口(AutoMDI/MDIX)台30001030000总计：400000元以上设备出自：中关村在线5.1.3应用技术说明1、OSPF路由协议是一种典型的链路状态（ Link-state）的路由协议，一般用于同一个路由域内。在这里，路由域是指一个自治系统（ AutonomousSystem），即AS，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个 AS中，所有的OSPF路由器都维护一个相同的描述这个 AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其 OSPF路由表的。 作为一种链路状态的路由协议，OSPF将链路状态广播数据LSA(LinkStateAdvertisement)传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。 OSPF路由IP数据包基于建立在IP报头内的目标IP地址。IP报文本身就是一个可路由协议，它们不用封装在另外的协议报头内穿过一个自治系统。OSPF是一个动态路由协议， 它可以快速发现AS内部拓补的变化(例如一台路由器接口故障)并在一段时间的收敛之后计算新的无环路由。收敛时间是短暂的，同时所包含的路由信息的通信量是最小化的。在一个链路状态(Link-State)路由协议，每一台路由器维护一个数据库描述所在自治系统的拓补。这个数据库称为链路状态数据库 (Link-StateDataBase)。数据库里每一个单独的部分是一个详细的路由器本地状态 (例如，这台路由器可用的接口和可到达的邻居 )。路由器通过泛洪(Flooding)在整个自治系统内部分发它的本地状态。所有路由器使用相同的算法。通过链路状态数据库，每个路由器创建一棵最短路径树(Shortest-PathTree)以自己为根。路由器通过最短路径树可以到达自治系统内的每一个目标。来自外部的路由信息将出现在这棵树的叶上。当到达一个目标存在几个等价的路由时，信息将在几条路径上公平的分发。一条路径的开销(Cost)通过一个唯一的Dimensionless度量值(Metric)描述。OSPF允许将网络集合起来，每一个集合被称为一个区域 (Area)。一个区域的拓补是隐藏的它来自一个静止的自治系统。这些信息的隐藏是很有意义的，它能够减少路由通信量。同样，在区域内部的路由通过这个区域自己的拓补决定，对区域提供保护避免有害的路由数据。一个区域是一个广义的 IP子网。OSPF能够灵活配置IP子网。每一条路由的分发通过 OSPF目标和掩码。相同IP网络号的两个不同子网可以有不同的 Size(也就是掩码)。这就是通常提到的可变长子网 (Variablelengthsubnetting)。一个数据包的路径是最佳 (也就是最长或最详细的)匹配的。主机路由所考虑的子网掩码“allones”(Oxffffffff)所有OSPF协议的交换需要验证。这意味着，只有受信任的路由器可以参与自治系统的路由。可以使用多种验证方案；在实际情况下，可以为每一个 IP子网配置不同的验证方案。在自治系统内部通告来自外部的路由数据 (例如，路由是通过外部网关协议(如BGP)学习)。这些来自外部的数据维护和 OSPF协议的链路状态数据是分开。每一个外部路由可以通过通告路由器进行标记，使自治系统边界上的不同路由器之间能够传输额外信息。2、访问控制列表(AccessControlList，ACL)是路由器和交换机接口的指令列表，用来控制端口进出的数据包。 ACL适用于所有的被路由协议，如 IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。 ACL提供对通信流量的控制手段。例如， ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络， 而拒绝主机B访问。ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许 E-mail通信流量被路由，拒绝所有的Telnet通信流量。3、 NAPT（NetworkAddressPortTranslation），即网络端口地址转换，就是将多个内部地址映射为一个合法公网地址，但以不同的协议端口号与不同的内部地址相对应。也就是 ＜内部地址+内部端口＞与＜外部地址+外部端口＞之间的转换。NAPT普遍用于接入设备中，它可以将中小型的网络隐藏在一个合法的 IP地址后面。NAPT也称"多对一”的NAT,PAT,NPAT地址超载。4、点对点协议（PPP）为在点对点连接上传输多协议数据包提供了一个标准方法。 PPP最初设计是为两个对等节点之间的 IP流量传输提供一种封装协议。 在TCP-IP协议集中它是一种用来同步调制连接的数据链路层协议（OSI模式中的第二层），替代了原来非标准的第二层协议，即SLIP。除了IP以外PPP还可以携带其它协议，包括DECnet和Novell的Internet网包交换（IPX）帧中继（FrameRelay）是一种用于连接计算机系统的面向分组的通信方法。它主要用在公共或专用网上的局域网互联以及广域网连接。大多数公共电信局都提供帧中继服务，把它作为建立高性能的虚拟广域连接的一种途径。 帧中继是进入带宽范围从 56Kbps到1.544Mbps的广域分组交换网的用户接口。因为帧中继本身并不支持认证，所以为了加强链路的可靠性，可以使用 virtual-template接口在帧中继链路上运行 PPP协议，当配置了virtual-template接口时，如果这个接口 UP,会自动克隆出一个 virtual-access接口，而virtual-template接口本身则一直为down/down状5.2核心区项目论证521核心区项目论证实验说明图5-2核心层拓扑图中心采用ospf三层通信，在汇聚层与接入层之间采用多条线路，分流备份。在汇聚层上定义控制，保证安全。5.2.2核心层实验调试结果用户1.、Router#shiprouteCodes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGPi-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea*-candidatedefault,U-per-userstaticroute,o-ODRP-periodicdownloadedstaticrouteGatewayoflastresortisnotset/24issubnetted,18subnetsO [110/3]via , 00:00:16, FastEthernetO/OO [110/2]via , 00:00:16, FastEthernet0/0C isdirectlyconnected,FastEthernet2/0O [110/3]via , 00:00:16, FastEthernet0/0O [110/3]via , 00:00:16, FastEthernet0/0O [110/3]via , 00:00:16, FastEthernet0/0O [110/3]via , 00:00:16, FastEthernet0/0C isdirectlyconnected,FastEthernet1/0O [110/3]via , 00:00:16, FastEthernet0/0O [110/3]via , 00:00:16, FastEthernet0/0O [110/3]via , 00:00:16, FastEthernet0/0O [110/3]via , 00:00:16, FastEthernet0/0O [110/2]via , 00:00:16, FastEthernet0/0O [110/2]via , 00:00:16, FastEthernet0/0O [110/2]via , 00:00:16, FastEthernet0/0C isdirectlyconnected,FastEthernet0/0O [110/2]via , 00:00:16, FastEthernet0/0O [110/2]via , 00:00:16, FastEthernet0/0O /24[110/784]via,00:00:16,FastEthernet0/0O /24[110/785]via,00:00:16,FastEthernet0/02、Router#shipaccess-listsExtendedIPaccesslist110denytcp5555eq443denytcp5555eq137denytcp5555eq138denytcp5555eq139denytcp5555eq115denytcp5555eq3389denytcp5555eqtelnetdenytcp5555eq22permittcpanyanyeqwww3、Pcping内网电影服务器POping172.16■232.3Pinging172-16.232-SwlTili32bytesofdata：Reques七七djnedout_Reques~t^±medoru.^„Requesttimed口1u匸.Request,tintedout.Pingstatisticsfor172,16.232_3:Paeketi:Sent=4』UsMivsd=0rL*ft=4(100^Lass)rPC>图5-3用户ping电影服务器无法ping通但可以访问4.、Pc访问内网服务器成功如下图物理西瘟桌面图5-4用户访问电影服务器Pc访问外网服务器成功图5-5用户访问外网服务器5、Router#shipospfRoutingProcess"ospf1"withIDSupportsonlysingleTOS(TOS0)routesSupportsopaqueLSASPFscheduledelay5secs,HoldtimebetweentwoSPFs10secsMinimumLSAinterval5secs.MinimumLSAarrival1secsNumberofexternalLSA0.ChecksumSum0x000000NumberofopaqueASLSA0.ChecksumSum0x000000NumberofDCbitlessexternalandopaqueASLSA0NumberofDoNotAgeexternalandopaqueASLSA0Numberofareasinthisrouteris1.1normal0stub0nssaExternalfloodlistlength0Area1Numberofinterfacesinthisareais3AreahasnoauthenticationSPFalgorithmexecuted3timesArearangesare

NumberofLSA22.ChecksumSum0x0c6951NumberofopaquelinkLSA0.ChecksumSum0x000000NumberofDCbitlessLSA0NumberofindicationLSA0NumberofDoNotAgeLSA0Floodlistlength0出口natp一台pc访问外网nei#shipnattranslationsOutsidelocalOutsideglobal:80:80OutsidelocalOutsideglobal:80:80:80:80RIP,M-RIP,M-mobile,B-BGPtcp:1026 :1026两台pc访问外网ProInsideglobalInsidelocalProInsideglobalInsidelocaltcp:1026:1026tcp:1024:10266、nei#shiprouteCodes:C-connected,S-static,I-IGRP,RD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGPi-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea*-candidatedefault,U-per-userstaticroute,o-ODRP-periodicdownloadedstaticrouteGatewayoflastresortisnotset/24issubnetted,18subnetsO [110/3]via ,00:14:31, FastEthernet0/0O [110/3]via ,00:14:31, FastEthernet0/0O [110/4]via ,00:14:31, FastEthernet0/0O [110/4]via ,00:14:31, FastEthernet0/0O [110/4] via , 00:14:31, FastEthernetO/OO [110/4] via , 00:14:31, FastEthernet0/0C isdirectlyconnected,FastEthernet0/0O [110/2] via , 00:14:31, FastEthernet0/0O [110/2] via , 00:14:31, FastEthernet0/0O [110/2] via , 00:14:31, FastEthernet0/0O [110/2] via , 00:14:31, FastEthernet0/0O [110/2] via , 00:14:31, FastEthernet0/0O [110/3] via , 00:14:31, FastEthernet0/0O [110/3] via , 00:14:31, FastEthernet0/0O [110/3] via , 00:14:31, FastEthernet0/0O [110/3] via , 00:14:31, FastEthernet0/0O [110/3] via , 00:14:31, FastEthernet0/0O [110/2] via , 00:14:31, FastEthernet0/0C/24isdirectlyconnected,Serial2/0S/24[1/0]viaO/24[110/782]via,00:15:07,Serial2/0IF172.IF172.6小区医疗服务站和小区小学项目的设计方案（负责人：王立强）6.1小区医疗服务站和小区小学网络设计方案6.1.1小区医疗服务站网络拓扑设计TPlTSlJP1711ft3M.B17^JC.30L11711(12104ipJTLI&21D.1IF172,tram图6-1小区医疗服务站网络拓扑在小学的网路中使用路由器保证小学教员的正常通信， 在教师签到和材料室应用 pvlan使其不能相互访问。在医疗服务站网路中在内部路由和医疗服务中心应用 ppp协议进行通信,内部路由器端口上应用acl技术保证只有管理室和医疗服务中心可以访问本地服务器其他网络不可以访问。在值班室和药房应用 pvlan保证相互不能通信。应用组播技术，通过管理室发出理疗服务，通过内部路由和中心路由转发到骨干网络和小学，使人们及时有效地接受医疗知识和防疫通告。6.1.2网络设备选型

表6-1设备选型序号设备型号单位单价（元）数量（台）总价1二层交换机RG-S2352G台340002680002核心路由RSR50-20台7000021400003接入路由RG-NBR1100台7800323400总计：105400元6.1.3应用技术说明1、ppp是公共基础设施项目的一个资助模式。 PPP具有处理错误检测、支持多个协议、允许在连接时刻协商IP地址、允许身份认证等功能。适合于调制解调器、 HDLC位序列线路、SONET和其它的物理层上使用。它支持错误检测、选项协商、头部压缩以及使用 HDLC类型帧格式（可选）的可靠传输。一个标准IP访问控制列表匹配 IP包中的源地址或源地址中的一部分， 可对匹配的包采取拒绝或允许两个操作。 编号范围是从1到99的访问控制列表是标准 IP访问控制列表。它是一种基于包过滤的流控制技术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素， 并可以规定符合条件的数据包是否允许通过。 ACL通常应用在企业的出口控制上，可以通过实施 ACL,可以有效的部署企业网络出网策略2、PVLAN:采用两层VLAN隔离技术，只有上层 VLAN全局可见，下层VLAN相互隔离。如果将交换机或 IPDSLAM设备的每个端口化为一个（下层） VLAN,则实现了所有端口的隔离。 用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。尽管各设备处于不同的 pVLAN中，它们可以使用相同的IP子网。3、 组播：单个发送者对应多个接收者的一种网络通信。组播技术中，通过向多个接收方传送单信息流方式， 可以减少具有多个接收方同时收听或查看相同资源情况下的网络通信流量。6.2小区医疗服务站项目论证6.2.1小区医疗服务站项目论证实验说明1.论证标准acl

配置完之后，先验证不同网段的连通性，然后配置 acl再次验证连通性实验室中的设备.论证pvlan对配置后的设备在不同的 vlan中的主机进行 ping操作验证连通性实验室第七组的设备.论证ppp初步配置后验证连通性，然后确认 chap双向认证通过思科模拟器6.2.2小区医疗服务站论证实验调试结果.aclC:\DocumentsandSettings\Administrator>pingPingingwith32bytesofdata:Replyfrom:bytes=32time=1msTTL=61Replyfrom:bytes=32time<1msTTL=62Replyfrom:bytes=32time<1msTTL=62Replyfrom:bytes=32time<1msTTL=62Pingstatisticsfor:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=1ms,Average=0msC:\DocumentsandSettings\Administrator>pingPingingwith32bytesofdata:Replyfrom:bytes=32time<1msTTL=62Replyfrom:bytes=32time<1msTTL=62Replyfrom:bytes=32time<1msTTL=62Replyfrom:bytes=32time<1msTTL=62Pingstatisticsfor:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=0ms,Average=0msC:\DocumentsandSettings\Administrator>pingPingingwith32bytesofdata:Replyfrom:bytes=32time<1msTTL=62Replyfrom:bytes=32time<1msTTL=62Replyfrom:bytes=32time<1msTTL=62Replyfrom:bytes=32time<1msTTL=62Pingstatisticsfor:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=0ms,Average=0msC:\DocumentsandSettings\Administrator>pingPingingwith32bytesofdata:Requesttimedout.Requesttimedout.Requesttimedout.Requesttimedout.Pingstatisticsfor:Packets:Sent=4,Received=0,Lost=4(100%loss),R2(config-if)#endR2#showaccess-listsStandardIPaccesslist1includes3items(total92matches):permit,wildcardbits55permit,wildcardbits55denyany(92matches)R2#showipaccess-listsStandardIPaccesslist1includes3items(total97matches):permit,wildcardbits55permit,wildcardbits55denyany(97matches)R2#showipintf1/0FastEthernet1/0IPinterfacestateis:UPIPinterfacetypeis:BROADCASTIPinterfaceMTUis:1500IPaddressis:/24(primary)IPaddressnegotiateis:OFFForwarddirect-boardcastis:ONICMPmaskreplyis:ONSendICMPredirectis:ONSendICMPunreachabledis:ONDHCPrelayis:OFFFastswitchis:ONRoutehorizontal-splitis:ONHelpaddressis:ProxyARPis:ONOutgoingaccesslistis1.Inboundaccesslistisnotset.Pvlan同一个团体vlan中的主机和不同团体 vlan中主机ping的情况PinSTin9172.16.205•孑with32bijtesofd.ata=ReplsifrotnReplsifrotn172-16-20S-3：Replyfpom172-16-205-3：KfiplyfI'om1：Replpfpom172-16-205.3：bytes=32tine<lnsTTL-128bi/tes=32tine<lin£：TTL=L28bytes=32tine<1ms：TTL=128bytes=32t rTL=L28Ruijie#showvlanVLANNameRuijie#showvlanVLANName1VLAN000110VLAN001020VLAN002030VLAN00303.ppp(1)、R2#Pingf5tatistiesfoi^172-16 .3:Packets:Sent=4,Received=4,Lo?t=0C0^loss>flpppo址irwteroundtriptimesinnilli-eecands:Mlnlmuin=0msNaximixm=0ns,Ave =0nsC：MlociinentsandSettings^Adfiinistrator>pin^172.16・205■日pin^lra^lr/2_lb_3 22b^tesofda.taRequesttinedOLitRe^ue^ttlinedout-RequesttInedDLit.RecpiE打tincdout.Ping-&tatIsticsfot^1?2.16・2酉石・3：|Packets:Sent=4^Received=0,Lost=4C100Kloss?.图6-2说明：没有配置pvlan之前时用ip为对其ping命令，显示连通。配置之后在执行ping命令，显示两个网段不可互相访问，实现了安全性。StatusPortsSTATICFa0/6,Fa0/7,Fa0/8,Fa0/9Fa0/10,Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15,Fa0/16,Fa0/17Fa0/18,Fa0/19,Fa0/20,Fa0/21Fa0/22,Fa0/23,Fa0/24,Gi0/25Gi0/26,Gi0/27,Gi0/28PrivateFa0/1Private Fa0/4,Fa0/5Private Fa0/2,Fa0/3%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial2/0,changedstatetoupR2#pingTypeescapesequeneetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=17/35/66msR2#showintSerial2/0isup,lineprotocolisup(connected)HardwareisHD64570Internetaddressis/24MTU1500bytes,BW128Kbit,DLY20000usec,reliability255/255,txload1/255,rxload1/255EncapsulationHDLC,loopbacknotset,keepaliveset(10sec)Lastinputnever,outputnever,outputhangneverLastclearingof"showinterface"countersneverInputqueue:0/75/0(size/max/drops);Totaloutputdrops:0Queueingstrategy:weightedfairOutputqueue:0/1000/64/0(size/maxtotal/threshold/drops)Conversations0/0/256(active/maxactive/maxtotal)ReservedConversations0/0(allocated/maxallocated)AvailableBandwidth96kilobits/sec5minuteinputrate5bits/sec,0packets/sec5minuteoutputrate5bits/sec,0packets/sec5packetsinput,640bytes,0nobufferReceived0broadcasts,0runts,0giants,0throttles0inputerrors,0CRC,0frame,0overrun,0ignored,0abort5packetsoutput,640bytes,0underruns0outputerrors,0collisions,1interfaceresets0outputbufferfailures,0outputbuffersswappedout0carriertransitionsDCD=upDSR=upDTR=upRTS=upCTS=up、R2#pingTypeescapesequeneetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=17/35/66ms、R2#showintSerial2/0isup,lineprotocolisup(connected)HardwareisHD64570Internetaddressis/24MTU1500bytes,BW128Kbit,DLY20000usec,reliability255/255,txload1/255,rxload1/255EncapsulationHDLC,loopbacknotset,keepaliveset(10sec)Lastinputnever,outputnever,outputhangneverLastclearingof"showinterface"countersneverInputqueue:0/75/0(size/max/drops);Totaloutputdrops:0Queueingstrategy:weightedfairOutputqueue:0/1000/64/0(size/maxtotal/threshold/drops)Conversations0/0/256(active/maxactive/maxtotal)ReservedConversations0/0(allocated/maxallocated)AvailableBandwidth96kilobits/sec5minuteinputrate5bits/sec,0packets/sec5minuteoutputrate5bits/sec,0packets/sec5packetsinput,640bytes,0nobufferReceived0broadcasts,0runts,0giants,0throttles0inputerrors,0CRC,0frame,0overrun,0ignored,0abort5packetsoutput,640bytes,0underruns0outputerrors,0collisions,1interfaceresets0outputbufferfailures,0outputbuffersswappedout0carriertransitionsDCD=upDSR=upDTR=upRTS=upCTS=uplnt&rfacsserials/0ipaddress255-255.255-0encapsulationppppppauthenticatxonchapclockrate64000i图6-2实验验证截图、R2#debugpppauthenticationPPPauthenticationdebuggingisonR2#showrunning-configinterfaceSerial2/0ipaddressencapsulationppppppauthenticationchap(另一部分删掉)7小区服务系统设计方案（负责人：李世友）7.1小区服务系统网络设计方案7.1.1小区服务系统网络拓扑设计图7-1服务系统拓扑图服务端和客户端通过核心层进行通讯，在相应端口进行 acl和pvlan配置对信息进行过滤，保证信息安全。小区内部系统只要包括，自控系统，水表系统，电表系统等内容，各系统统一管理，方便物业管理。小区提供的电影服务器供用户自由访问，外网人员禁止访问。7.1.2网络设备选型表7-1网络设备选型序号设备型号单位单价（元）数量（台）总价1服务系统路由器RG-NBR80台2000120002三层交换机RG-S3750台2750051375003出口路由器RSR50-20台4210031300004服务系统RG-NBR80台30001030000续表7-1网络设备选型总计：175750元7.1.3应用技术说明1、PVLANPVLAN即私有VLAN(PrivateVLAN)，PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。如果将交换机或IPDSLAM设备的每个端口化为一个(下层)VLAN，则实现了所有端口的隔离。pVLAN通常用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。尽管各设备处于不同的 pVLAN中，它们可以使用相同的 IP子网。每个PVLAN包含2种VLAN:主VLAN(primaryVLAN)和辅助VLAN(SecondaryVLAN)。辅助VLAN(SecondaryVLAN)包含两种类型：隔离VLAN(isolatedVLAN)和团体VLAN(communityVLAN)。pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。 ①混杂端口(PromiscuousPort)②主机端口(HostPort)其中混杂端口”是隶属于“PrimaryVLAN的；主机端口”是隶属于“SecondaryVLAN的。因为“SecondaryVLAN'是具有两种属性的，那么，处于 “SecondaryVLAN"当中的主机端口"依“SecondaryVLAN属性的不同而不同，也就是说主机端口"会继承“SecondaryVLAN的属性。那么由此可知， 主机端口"也分为两类 aisolated端口"和“community端口"。 处于pVLAN中交换机上的一个物理端口要么是 混杂端口"要么是“isolated端口，要么就是“community端口。pVLAN通信范围：primaryVLAN:可以和所有他所关联的 isolatedVLAN，communityVLAN通信。communityVLAN:可以同那些处于相同communityVLAN内的communityport通信，也可以与pVLAN中的promiscuous端口通信。每pVLAN可以有多个communityVLAN)isolatedVLAN:不可以和处于相同 isolatedVLAN内的其它isolatedport通信，只可以与promisuous端口通信。 (每个pVLAN中只能有一个isolatedVLAN)2、ACL(访问控制列表)：访问控制列表(AccessControlList，ACL)是路由器和交换机接口的指令列表，用来控制端口进出的数据包。 ACL适用于所有的被路由协议，如 IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。

7.2小区服务系统项目论证721小区服务系统项目论证实验说明电斛JK老雄图7-2小区服务系统ACL保证安全。在客户端应用PVLANACL保证安全。7.2.2小区服务系统论证实验调试结果图7-3PVLAN图7-3PVLAN截图隔离VLAN内ping不通其他主机■i-&|HXl'nUI'l—VJl'ta-TIIPI.A.XIFIUFI—丄.HlVC£-C|<jK7 Ul'I-ZkC；xDocunentsandSettIngsM)dninistratoir^ping172.16B1.30Pingrins172.16*1&30with32bytesofdata：RequesttimedoutBequesttimedout・Requesttimiedout-Jlequiesttiniedout-Pingstatisticsfor172^16.1,30：Packets=Sent=4*Recerlued=13鼻Lost=4C100X1q站s〉.图7-4验证截图隔离VLAN内能ping通网关C：\DocunentsandSettingsxAdmini£ti*atop>ping172.1&.1.1U?inging172.丄6-1.1.wilt1132Jb</teSofdata:BeplyfyonHftplyfrQnBeplyfronBeplyfrom172.16-1-1=：BeplyfyonHftplyfrQnBeplyfronBeplyfrom172.16-1-1=：：：bytes=32tinje=1nsTTL=64bytes=32tin&<lfisTTL=64bytes=32tifie<lmsTTL=64bytes-32tine-1msTTL=64Pingstat1sticsfol*172_16_1_1：Paclcets:Sent=4,neceiued=4,Lost=0{0>closs^,Apppoximater'oundtriptinesinnilli—seconds:Nlninkum=0nks,Naximun=Ins,Auei*a^e=Qms图7-5验证截图团体VLAN内能ping通其他主机Pingstatisticsfor172,16_1,40：Pacltets:Sent=4,Peceiued-Lo&t=4<10G>:loss>,C:^Docunentsand.Settings\Adninistrator^ping172-1&.1.40Pinning172.16-1.40tilth32bi?tesofdataReplyFronReplyfronReplyfronReplyfron172,16,1,40：1?2・丄石0：ReplyFronReplyfronReplyfronReplyfron172,16,1,40：1?2・丄石0：172.16.1*40：bytes=32bytes=32bytes=32bytes=32ti(ike<lRsti(nE<litstine<lnstine<lnsTTL=12STTL=128TTL=128TTL=128Pingstatisticsfor172.16.1,40：Packets:Sent■Received■4,Lost■0<0xlossApproximateroundtriptimesinnilll-seconds:Minimurn■0ns,Haxinum■0ns,Aoei*age■图7-6验证截图团体VLAN内能ping通网关\DocunentsandSettingsxAdmini£ti^atap>ping172..1.1[Pinging172.丄6-1.:1with32Jbi/tesofdata：BeplyfvamBeplyfronBeplyfronHeplyfromBeplyfvamBeplyfronBeplyfronHeplyfrom172.16-1-1：：：：bytes=32tinje=1nsTTL=64bytes=32tin&<lfisTTL=64bytes=32tifie<lmsTTL=64hytes»32t：ine■!msTTL=64Pingstatisticsfor172_1^_1_1：Paclcets:Sent=4,Received-4,Lost=0 lossi,Apppoximater'oundtriptinesinnilli—seconds:Nlninum=0nk&,Naximum=Ins, =Qms图7-7验证截图Ruijie(config)#showvlanpri10primaryactiveEnabledFa0/1720,3020communityactiveEnabledFa0/1,Fa0/21030isolatedactiveEnabledFa0/3,Fa0/410Ruijie(config)#showintf0/17switchportong5 activeFInterfaceSwitchportModeFastEthernet0/17enabledPROMIS10 1DisabledALLInterfaceSwitchportModeAccessNativeProtectedVLANInterfacelistsFastEthernet0/1 enabledHOST20 1DisabledALLRuijie(config)#showintf0/2switchportInterface SwitchportModeAccessNativeProtectedVLANlistsFastEthernet0/2 enabledHOST20 1DisabledALLRuijie(config)#showintf0/3switchportInterface SwitchportModeAccessNativeProtectedVLANlistsFastEthernet0/3 enabledHOST30 1DisabledALLRuijie(config)#showintf0/4switchportInterface SwitchportModeAccessNativeProtectedVLANlistsFastEthernet0/4 enabledHOST30 1DisabledALL8小区无线覆盖的设计方案（负责人：李世友）8.1小区无线覆盖网络设计方案8.1.1小区无线覆盖网络拓扑设计\1~L> fJJ — /jgr ml jit图8-1小区无线覆盖网络拓扑图系统设计原则：标准性和开放性原则系统的设计应符合国际标准和工业标准，采用开放式系统体系结构实用性原则，采用成熟的、经实践证明其实用性的技术。能满足现行业务的管理，并适应将来业务发展的要求。可靠性原则设计详尽的故障处理方案，保证系统运行的稳定性和可靠性。先进性原则采用先进的技术，选用的技术和软硬件产品应具备持续性发展的能力以维持系统的先进性安全性原则系统应具有多层次的安全保护措施，以满足用户身份鉴别、访问控制和保密性等要求。扩展性原则在网络规模不断发展的情况下，系统应可不断升级和扩充，保证系统可用。经济性原则系统在保证性能强大、先进的同时应考虑经济性，选用具有最佳性价比的产品。紧迫性的原则需要有成熟的产品和解决方案保障实施的这些需求。兼容性原则兼容小区的有线宽带，使得无线、有线宽带成为一体，保护投资，并为未来的应用做好准备。系统目标：1.以无线的方式覆盖整个小区。充分考虑网络的安全性，满足用户身份鉴别、访问控制等要求。在网络规模不断发展的情况下，系统应可不断升级和扩充，保证系统可用。地址规划：五栋楼一组表8-1IP地址规划楼号地址规划1、2、3、4、5-546、7、8、9、10-5411、12、13、14、15-5416、17、18、19、20-54备用-548.1.2网络设备选型表8-2网络设备选型序号设备型号单位单价（元）数量（台）总价1室外APRG-P-780台28125205625002定向天线XPTX2412-90SQ台3002060003POE供电设备BUFFALOWLE-POE-R33台60020120004二层交换机RG-S1826T台2000480005避雷器旭普6G台320206400续表8-2网络设备选型总计：649000元以上设备出自：中关村在线8.1.3应用技术说明TOC\o"1-5"\h\z1、 SSIDSSID(ServiceSetIdentifier)，用来区分不同的网络，最多可以有 32个字符，无线网卡设置了不同的SSID就可以进入不同网络， SSID通常由AP广播出来，通过XP自带的扫描功能可以查看当前区域内的 SSID。出于安全考虑可以不广播 SSID，此时用户就要手工设置 SSID才能进入相应的网络。简单说， SSID就是一个局域网的名称，只有设置为名称相同 SSID的值的电脑才能互相通信。2、 802.1X802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户 /设备通过接入端口(accessport)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1X对连接到交换机端口上的用户 /设备进行认证。在认证通过之前， 802.1X只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。3、 信道IEEE802.11b/g工作在2.4〜2.4835GHz频段，这些频段被分为11或13个信道。当在无线AP无线信号覆盖范围内有两个以上的 AP时，需要为每个AP设定不同的频段，以免共用信道发生冲突。为了防止干扰，设计采用 1、6、11三个相互不重叠的信道对全网进行覆盖。8.2小区无线覆盖项目论证8.2.小区无线覆盖项目论证实验说明>图8-2小区无线覆盖网络拓扑图图8-3小区无线覆盖AP位置图1.AP设计无线接入点采用RG-P-780,结合XPTX2412-90SQ定向天线对每栋楼进行无线覆盖。图8-4小区无线覆盖AP位置图详解如图8-3所示第一排楼每栋楼前安装抱杆，然后实现对这排楼的无线覆盖，在第一排每栋楼面对第二排楼的方向上分别安装一个无线 AP结合定向天线对第二排楼进行无线覆盖， 以此类推2、 安全(1)、服务区标示符(SSID):无线工作站必需出示正确的 SSID才能访问AP，因此可以认为SSID是一个简单的口令，从而提供一定的安全。如果配置 AP向外广播其SSID，那末安全程度将下降；由于一般情况下，用户自己配置客户端系统，所以很多人都知道该 SSID，很容易共享给非法用户。目前有的厂家支持任何”SSID方式，只要无线工作站在任何 AP范围内，客户端都会自动连接到AP,这将跳过SSID安全功能。设计对所有AP设置统一SSID。(2)、802.1X认证该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站 STA与无线访问点AP关联后，是否可以使用 AP的服务要取决于802.1X的认证结果。如果认证通过，则AP为STA打开这个逻辑端口，否则不允许用户上网。 802.1X要求无线工作站安装802.1X客户端软件，无线访问点要内嵌 802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。802.1X除提供端口访问控制能力之外， 还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方案。、当用户有上网需求时打开 802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。2）、交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。3） 、客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。4） 、认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。5） 、客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的） ，并通过交换机传给认证服务器。6） 、认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证时的消息，并保持交换机端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。3、信道分配AP型号RG-P-780支持协议TCP/IP协议无线标准IEEE802.11a,IEEE802.11b,IEEE802.11g接口类型RJ-45工作频段2.4GHz/5.8GHz频段天线型号XPTX2412-90SQ工作频段2.40GHz-2.48GHz增益12dBi如图8-3所示对每栋楼进行编号，对不同的楼设定不同的信道，防止冲突。AP信道选择如下：对1、4、8、12、15、16、19号楼覆盖的AP选择11信道；对2、5、6、9、13、17、20号楼覆盖的AP选择6信道；对3、7、10、11、14、18号楼覆盖的AP选择1信道。

822小区无线覆盖论证实验调试结果PCO PCI PC2图8-5模拟实现1.在模拟器上模拟无线覆盖，如图 8-4所示，路由上配置DHCP无限用户随机分配IP地址。所有AP设置统一的SSIDPert12.汇聚层路由器随机分配无线终端的 IP地址。图8-7随机分配的IP地址3.连通性测试

图8-8访问内网服务器PC>tracert17Z.JLS-Z3Z.3Tracingrouteto172-16_Z3Z.3overamaxiiaLuiiof:30hop1109ms1Z5ss125ms J.7Z,16r1.1z156Ills156血琴156us 17Z-16.232.3图8-9追踪路由9住宅区项目设计的汇总说明9.1住宅区网络设计指标的偏差说明此次试验中本想使用DHCPsnoopingDAI技术避免非法DHCP服务器的冒冲，避免用户修改IP地址或者MAC地址的问题；避免用户私自指定静态的 IP地址；避免中间人攻击。但由于思科模拟器不支持 DHCPsnoopingDAI，在实验室也没有实现出来，所以就放弃做 DHCPsnoopingDAI，改做DHCP。在这块没有达到对用户的安全要求，不能满足要求，对自己也不是很满意。9.2住宅区网络设计设备采购汇总表9-1住宅区采购汇总序号设备数量单位型号单价（元）总价（元）1路由器4台RG-NBR80199879922三层交换机20台LS-3600-28TP-SI4900980003二层交换机240台CISCOWS-C2960-24TT-L3600864000总共：963998元10核心外网接入网络设计项目设计的汇总说明10.1核心外网接入网络设计指标的偏差说明通过核心层的服务系统信息，原本打算采用 ipsec与gre相结合，但条件不允许，因此采用acl在服务器客户端，服务端进行 acl信息过滤。基本满意。中心区域采用ospf实施，基本满意对外路由与isp连接处原计划采用 pppoverframe-relay同样条件不允许采用 ppp连接验证时用ppp代替pppoverframe-relay验证时使用单区域的 ospf实际应用中要使用多区域比较合理11小区医疗服务站和小区小学项目设计的汇总说明11.1小区医疗服务站和小区小学网络设计指标的偏差说明完全满足小学的上网的基本功能有路由器和 pvlan保证小学的基本上网安全基本满足：医疗服务的功能应用 acl保证本地服务器的安全，应用 pvlan实现各个部门的安全，应用ppp技术保证与医疗服务中心的安全正常连接。不能满足要求：没有实现的主要技术：组播技术。借鉴实验书上的实例配置不能保证连通性也抓不到包。12.2小区医疗服务站和小区小学网络设计设备采购汇总•12上海浦东翠华庭智能小区项目设计的总结12.1小组总结报告此次毕业设计是我们从大学毕业