网络工程课程设计校园网络设计

XX网络综合实训学校网络工程综合设计报告TOC\o"1-5"\h\z学生姓名 XX学号 XX所在系 XX专业名称 XX班级 XX指导教师 XX四川师范大学成都学院

二○一三年十月学校网络工程综合设计报告

学生：XX指导老师：XX内容摘要：校园网络是非常典型的综合网络.本设计是建立一个可扩展的、高速的、充分冗余的、基于标准的网络，该网络能够支持融合了话音、视频、图像和数据的应用程序.Cisco公司作为知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。因此 .在关键网络系统中采用了Cisco3640路由器、CiscoCatalyst295024口交换机(WS-C2950-24)、CiscoCatalyst3550交换机、CiscoCatalyst4006交换机.在本设计中.将重点放在网络主干的设计上，对于服务器的架设只作简单介绍。通过对校园网络关键设备进行分析 .得出配置步骤和配置命令.本设计中所采取的技术与产品充分考虑到了网络未来的升级与发展，无论从校园网的扩展到广域网的建设都作了周密的考虑。再是由于系统选择的是最成熟与标准的快速以太网技术，把网络已构筑了高速和坚固的信息高速公路，面对未来的发展将处于非常有利的境界。关键字：校园网络路由器网络主干schoolnetworkComprehensivedesignreportschoolnetworkengineeringAbstract:Thecampusnetworkisacomprehensivenetworkisverytypical.Thisdesignistobuildascalable,fullyredundanthigh-speed,standardsbasednetwork,thenetworkcansupporttheintegrationofvoice,videoapplications,imageanddata.TheCiscocompanyasafamousbrand,networkleadingmanufacturers,theproductreliabilityandstabilityisthefirstclass.Therefore.InkeynetworksystemusingCisco3640router,CiscoCatalyst295024portswitch(WS-C2950-24),CiscoCatalyst3550switches,CiscoCatalyst4006switches.Inthisdesign.Focusonthedesignofbackbonenetwork,theserveronlybrieflyintroduced.Thekeyequipmentofcampusnetworkanalysis.Theconfigurationstepsandconfigurationcommand.Technologyandproductsinthedesigntoconsiderfullytheupgradeanddevelopmentoffuturenetwork,nomatterfromthecampusnetworkisextendedtotheconstructionofwideareanetworkhavemadecarefulconsideration.ThenisthesystemchoiceisthemostmaturefastEthernettechnologyandstandards,thenetworkhastobuildahigh-speedandrobustinformationhighway,facingthefuturedevelopmentwillbeinaverygoodstateKeywords:campusnetworkbackbonenetworkrouter目录TOC\o"1-5"\h\z前言： 1\o"CurrentDocument"可行性方案分析 2课程介绍 2设计方案 2路由技术： 2交换技术： 3远程访问技术： 3\o"CurrentDocument"网络规划 4拓扑设计与设计原则 4实用性和经济性 5先进性和成熟性 5可靠性和稳定性 5安全性和保密性 5可扩展性和可管理性 6网络结构分析 6骨干层 6接入层 7出口 8网络架构设计与拓扑结构 8\o"CurrentDocument"主要技术设计的具体配置过程 9技术设计 9访问层交换机服务 10访问层交换服务的实现 ——配置访问层交换机 10配置访问层交换机ACCESSWITCH1的基本参数 11配置访问层交换机ACCESSWITCH1的管理IP、默认网关 11配置访问层交换机ACCESSWITCH1的VLAN及VTP. 11配置访问层交换机ACCESSWITCH1的访问端口 12配置访问层交换机 ACCESSWITCH1的主干道端口 12配置访问层交换机ACCESSWITCH2与ACCESSWITCH1类似，如图3.2.7-1。 12分布层交换服务的实现－配置分布层交换机 13配置分布层交换机 DISTRIBUTESWITCH1的基本参数 14配置分布层交换机DISTRIBUTESWITCH1的管理IP、默认网关14配置分布层交换机DISTRIBUTESWITCH1的VTP 14在分布层交换机DISTRIBUTESWITCH1上定义VLAN 15配置分布层交换机DISTRIBUTESWITCH1的端口基本参数. 15配置分布层交换机DISTRIBUTESWITCH1的3层交换功能 163.3.7配置分布层交换机DISTRIBUTESWITCH2 17核心层交换服务的实现——配置核心层交换机 18配置核心层交换机CORESWITCH1的基本参数. 18配置核心层交换机CORESWITCH1的管理IP、默认网关 19配置核心层交换机CORESWITCH1的的VLAN及VTP 19配置核心层交换机CORESWITCH1的端口参数. 19配置核心层交换机CORESWITCH1的路由功能. 20其它配置 213.5配置接入路由器INTERNERTOUTER 21配置接入路由器INTERNERTOUTER的基本参数. 21配置接入路由器INTERNERTOUTER的各接口参数. 21配置接入路由器INTERNERTOUTER上的NAT 22配置接入路由器INTERNERTOUTER上的安全访问ACL 23路由器访问控制列表. 23对外屏蔽其它不安全的协议或服务. 24针对DoS攻击的设计. 25保护路由器自身安全. 25远程访问模块设计 26远程访问也是园区网络必须提供的服务之一，如图3.6.1-1。 26远程访问有三种可选的服务类型： 26配置异步拨号模块NM-16AM的步骤: 27配置物理线路的基本参数 27配置接口基本参数 27配置身份认证 28服务器模块设计 29服务器模块用来对校园网的接入用户提供各种服务。 29校园网提供的常见的服务 29如图3.7.3-1所示。显示了各服务器IP地址配置情况. 30结束语 30参考文献： 32学校网络工程综合设计报告前言在校园网络中，视频、音频、数据集于一身，如果保证不了高带宽、又多种视频、音频、数据流混杂在一起进行传输，就没法对流做出最高优先级和次高优先级及底优先级的分类，这样就不能保证重要业务的畅通，造成网络延迟、服务不可用。所以要想真正改变网络的效率，更有效的保证应用服务的运营，需要通过端到端的QOS，智能到边缘的方式来保证。通过智能到边缘，端到端的应用方式，可以减少对网络核心设备的消耗，这样保证了网络的有效畅通。可以对园区网应用中的，多媒体视频点播服务、数据备份服务、文献传递服务、E-mail服务、数据库服务器等服务。对不同服务流进行详细的分类，划分优先级，以及尽可能地避免发生拥塞。同时保证网络的高效运行，充分利用现有的带宽。在园区网络中，存在多样的网络设备及系统应用环境，并且要考虑在用户迅速增长的今天，考虑到网络设备的可扩展性。保证在多样网络设备，用户不断增加的环境中，仍能保证网络畅通。所以万兆骨干网络平台就应具有良好的兼容性和可扩展性，能与当前校园网络无缝衔接，同时预留空间符合当前和以后的信息建设需要和足够的升级空间。在校园网络建设中存在多用户,多服务的现状。带来了对网络系统要求具有高效率等，以保证大数据量访问下有效的处理能力。针对需求设备要能对数据做到分布式处理，这样的分布式处理可以节省主交换引擎的消耗。使数据在独立的板卡上就能做出对数据的识别，这样比在中央处理器识别要快的多。并在大量的数据应用，数据传输的过程中，要保证所有硬件设备都可以进行快速的转发，要

具备高背板带宽(交换容量)，所有端口都能保证线速转发。这种分布式处理可以极大地提高整体处理能力，保证了网络畅通。1可行性方案分析课程介绍在校园网络中，对于校园网的安全保障十分重要：校园网的信息点分布很广，与一般企业网比较，校园网用户的流动性大，信息点存在随意接入使用的问题。学生及外来不明身份的用户，在校园网中找到任何一个信息点，就可以进入到校园网，可以肆意干扰和破坏校园网网络平台及应用系统的正常运行。另外校园网的网络安全，还需要考虑与外网及内网不同应用系统之间的安全访问控制。为了发生安全事件后，能够有效、快捷地处理事故，采用上网审计手段是十分有必要的。由于当前类似“冲击波、震荡波病毒”的肆虐，一个健壮的网络应该提供必要的手段，禁止特定病毒的传播以及由于病毒造成的流量拥塞。设计方案我们采用自顶向下、模块化的方法、参考3层模型来进行工程的设计和实施。路由技术：路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表(AccessControlList，ACL)，路由器不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。还可以用来完成以路由器为中心的流量控制和过滤功能在本设计中，内网用户还可以用来完成以路由器为中心的流量控制和过滤功能在本设计中，内网用户交换技术：传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了园区网数据交换服务质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网(VirtualLAN，VLAN)的概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议(VlanTrunkingProtocol，VTP)简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可以划分为三个层次：访问层、分布层、核心层。访问层为所有的终端用户提供一个接入点；分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能；核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。在本设计中，也将采用这三层进行分开设计、配置。远程访问技术：远程访问也是园区网络必须提供的服务之一。远程访问有三种可选的服务类型：专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同，花费也不相同。企业用户可以根据所需带宽、本地服务可用性、花费等因素综合考虑，选择一种适合企业自身需要的广域网接入方案。）在本设计中，分别采用专线连接（到因特网）和电路交换（到校园网）两种方式实现远程访问需求。2网络规划拓扑设计与设计原则局域网采用星型网络拓朴结构，星型拓朴结构为现在较为流行的一种网络结构，它是以一台中心处理机（通信设备）为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法为入网机器服务，所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理，因此，对中央节点的要求比较高。优点是网络结构简单，易于维护，便于管理（集中式）；每台入网机均需物理线路与处理机互连，线路利用率低；处理机负载重（需处理所有的服务），因为任何两台入网机之间交换信息，都必须通过中心处理机；入网主机故障不影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。办公电脑建议采用品牌的商用机，商用机运行比较稳定，而且比较耐用，运算速度较快，较适于开发使用。校园网络系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上、系统能力上要保持五年左右的先进性。并且从学校的利益出发，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据校园网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标是：高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络平台我们遵循以下的原则进行网络设计：实用性和经济性网络建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设的万兆骨干网络平台，保护用户的投资。先进性和成熟性网络建设设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证贵校网络建设的领先地位，采用万兆以太网技术来构建网络主干线路。可靠性和稳定性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间，Cisco公司作为知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。为了保证骨干网络平台的健壮性和链路冗余性，网络实施时在学校启用千兆备份线路。在学校启用物理链路冗余机制，保证任何一条线路出现故障后骨干网络平台的可用性。安全性和保密性在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等，充分考虑Cisco公司安全性，针对的各种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定（过滤）、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。可扩展性和可管理性由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，我们必须选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加新的设备，而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展，现有模块不支持新技术的情况下，只需要更换相应模块，而不需要更换整个设备。为了适应网络结构变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护。为了便于扩展，对于核心设备必须采用模块化高密度端口的设备，便于将来升级和扩展。先进的设备必须配合先进的管理和维护方法，才能够发挥最大的作用。全线采用基于SNMP标准的可网管产品，达到全程网管，降低了人力资源的费用，提高网络的易用性、可管理性，同时又具有很好的可扩充性。网络结构分析骨干层网络中心节点及其它核心节点作为校园网络系统的心脏，必须提供全线速的数据交换，当网络流量较大时，对关键业务的服务质量提供保障。另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。具体来说核心节点的交换机有两个基本要求：1）高密度端口情况下，还能保持各端口的线速转发；2）关键模块必须冗余，如管理引擎、电源、风扇。由于校园网建设最终必将采用万兆技术，因此需要考虑到核心设备对万兆的支持能力。综上所述，主干核心交换机属于高端系列的产品，所以在本方案中，核心交换机采用多业务万兆核心路由交换机。可以根据用户的需求灵活配置，灵活构建弹性可扩展的网络。多业务万兆核心路由交换机高背板带宽和二/三层包转发速率可为用户提供高速无阻塞的交换，强大的交换路由功能、安全智能技术可为用户提供完整的端到端解决方案，是大型网络核心骨干交换机的理想选择。在此方案中，校区网络中心采用Cisco公司路由交换机作为核心交换机。核心层交换机跟汇聚接入层交换机之间的千兆链路可以捆绑，从而实现带宽的灵活扩展。接入层接入层网络由楼栋交换节点和楼层交换节点组成，接入层网络应该可以满足各种客户的接入需要，而且能够实现客户化的接入策略，业务QOS保证，用户接入访问控制等等。楼层交换节点采用千兆智能堆叠交换机，提供智能的流分类和完善的QoS特征。为各类型网络提供完善的端到端的服务质量、丰富的安全设置和基于策略的网管，最大化满足高速、融合、安全的园区网新需求；本方案中各接入层交换机通过千兆链路上联到各汇聚层设备，对下联的桌面设备提供全双工的百兆连接，为各类用户提供无阻塞的交换性能。

出口因为校园网出口采用以太网，所以采用路由器+防火墙的方式，起到如下作用：防火墙提供强有力的服务器、内网安全保护、提供IDS等安全特性；路由器提供出口路由功能，数据处理能力强，具有强大的NAT功能。网络架构设计与拓扑结构为了实现网络设备的统一，本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。本校园网设计方案主要由以下四大部分构成：交换模块、广域网接入模块、远程访问模块、服务器群。整个网络系统的拓扑结构图如图3-1所示。在后面将根据此图分块进行分析。

图2.3-1校园网整体拓扑结构图表VLAN及IP编址方案VLAN号VLAN名称IP网段默认网关说明VLAN1--/2454管理VLANVLAN10JWC/2454教务处VLANVLAN20XSSS/2454学生宿舍VLANVLAN30CWC/2454财务处VLANVLAN40JGSS/2454教工宿舍VLANVLAN50WXY/2454文学院VLANVLAN60YYXY/2454音乐学院VLANVLAN70JSJXY/2454计算机学院VLANVLAN100FWQQ/2454服务器群VLAN除了表中的内容外，拨号用户从/27中动态取得IP地址。在这里为每个VLAN定义了一个由拼音缩写组成的VLAN名称3主要技术设计的具体配置过程技术设计为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可以划分为三个层次：访问层、分布层、核心层。传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了园区网数据交换服务质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网(VirtualLAN，VLAN)的概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议(VlanTrunkingProtocol，VTP)简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。当园区网络的交换机数量增多、交换机间链路增加时，交换网络的复杂性可能会造成交换环路问题，这需要通过在各交换机上运行生成树协议(SpanningTreeProtocol，STP)来解决。一个好的校园网设计应该是一个分层的设计。一般分为三层设计模型。访问层交换机服务访问层交换服务的实现——配置访问层交换机访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的是CiscoCatalyst295024口交换机(WS-C2950-24)。交换机拥有24个10/100Mbps自适应快速以太网端口，运行的是Cisco的IOS操作系统。如图2-1的访问层交换机AccessSwitch1进行设置。图3.2.1-1访问层交换机AccessSwitch1设置配置访问层交换机AccessSwitch1的基本参数Switch(config)#hostnameAccessSwitch1AcccessSwitch1(config)#enablesecret123Switch/设置交换机口令AcccessSwitch1(config)#linevty015/设置登录虚拟终端线时的口令AcccessSwitch1(config-line)#loginAcccessSwitch1(config-line)#passwordyouguess配置访问层交换机AccessSwitch1的管理IP、默认网关AcccessSwitch1(config)#interfacevlan1AcccessSwitch1(config-if)#ipaddressAcccessSwitch1(config-if)#noshutddownAcccessSwitch1(config)#ipdrfault-gateway54配置访问层交换机AccessSwitch1的VLAN及VTPAcccessSwitch1(config)#vtpmodeclientAcccessSwitch1(config)#interfacerangefatchernet0/1 –24AcccessSwitch1(config-if-range)#duplexfull––24AcccessSwitch1(config)#interfacerangefatchernet0/1AcccessSwitch1(config-if-range)#specd100配置访问层交换机AccessSwitch1的访问端口AcccessSwitch1(config)#Interfacerangefastchernet0/1-10AcccessSwitch1(config-if-range)#switchportmodeaccessAcccessSwitch1(config-if-range)#switchportaccessvlan10AcccessSwitch1(config)#Interfacerangefastchernet0/11-20AcccessSwitch1(config-if-range)#switchportmodeaccessAcccessSwitch1(config-if-range)#switchportaccessvlan20AcccessSwitch1(config)#Interfacerangefastchernet0/11-20AcccessSwitch1(config-if-range)#spanning-treeportfast冗余加快生成树类似，如图配置访问层交换机AccessSwitch1的主干道端口AcccessSwitch1(config)#Interfacerangefastchernet0/23-24AcccessSwitch1(config-if-range)#switchportmodetrunkAcccessSwitch1(config)#spanning-treeuplinkfast /冗余加快生成树类似，如图设计AcccessSwitch1(config)#spanning-treeBackbonefast/的收敛配置访问层交换机AccessSwitch2与AccessSwitch13.2.7-1

图3.2.7-1访问层交换机AccessSwitch2设置分布层交换服务的实现－配置分布层交换机分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能这里的分布层交换机采用的是CiscoCatalyst3550交换机。作为3层交换机，CiscoCatalyst3550交换机拥有24个10/100Mbps自适应快速以太网端口，同时还有2个1000Mbps的GBIC端口供上连使用，运行的是Cisco的IntegratedIOS操作系统。我们以图3-1中的分布层交换机DistributeSwitch1为例进行设图3.3-1分布层交换机DistributeSwitch1设置

配置分布层交换机DistributeSwitch1的基本参数Switch#configureterminalEntercongifgurationcommands,oneperlineEndwithCNTL/ZSwitch(config)#hostnameDistributeSwitch1DistributeSwitch1(config)#enablesecretyouguessDistributeSwitch1(config)#linecon0DistributeSwitch1(config-line)#loggingsynchronousDistributeSwitch1(config-line)#exec-timeout530DistributeSwitch1(config-line)#linevty015DistributeSwitch1(config-line)#passwordabcDistributeSwitch1(config-line)#loginDistributeSwitch1(config-line)#exec-timeout530DistributeSwitch1(config-line)#exitDistributeSwitch1(config)#noipdomain-lookup配置分布层交换机DistributeSwitch1的管理IP、默认网关DistributeSwitch1(config)#interfacevlan1DistributeSwitch1(config-if)#ipaddressDistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config-if)#exitDistributeSwitch1(config-if)#ipdefault-gateway54配置分布层交换机DistributeSwitch1的VTPDistributeSwitch1(config)#vtpdomainnciae/设置VTP管理域的域名激活VTP剪裁功能DistributeSwitch1(config)#vtpmodeserver/ 设置激活VTP剪裁功能DistributeSwitch1(config)#vtppruning/

在分布层交换机DistributeSwitch1上定义VLANSwitch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/ZDistributeSwitch1(config)#vlan10DistributeSwitch1(config-vlan)#nameJWCDistributeSwitch1(config)#vlan20DistributeSwitch1(config-vlan)#nameXSSSDistributeSwitch1(config)#vlan30DistributeSwitch1(config-vlan)#nameCWCDistributeSwitch1(config)#vlan40DistributeSwitch1(config-vlan)#nameJGSSDistributeSwitch1(config)#vlan50DistributeSwitch1(config-vlan)#nameWXYDistributeSwitch1(config)#vlan60DistributeSwitch1(config-vlan)#nameYYXYDistributeSwitch1(config)#vlan70DistributeSwitch1(config-vlan)#nameJSJXYDistributeSwitch1(config)#vlan100DistributeSwitch1(config-vlan)#nameFWQQ–24配置分布层交换机DistributeSwitch1的端口基本参数DistributeSwitch1(config)#interfacerangefastethernet0/1–24DistributeSwitch1(config-if-range)#speed100DistributeSwitch1(config-if-range)#interfacerangefastethernet0/1–10DistributeSwitch1(config-if-range)#switchportmodeaccessDistributeSwitch1(config-if-range)#switchportaccessvlan100DistributeSwitch1(config-if-range)#spanning-treeportfastDistributeSwitch1(config-if-range)#interfacerangefastethernet0/23–24DistributeSwitch1(config-if-range)#switchportmodetrunkDistributeSwitch1(config-if-range)#interfacerangegigabitEthernet0/1–2DistributeSwitch1(config-if-range)#switchportmodetrunk配置分布层交换机DistributeSwitch1的3层交换功能DistributeSwitch1(config)#interfacevlan10DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan20DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan30DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan40DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan50DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan60DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan70DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan100DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdown配置分布层交换机DistributeSwitch2分布层交换机DistributeSwitch2的端口FastEthernet0/23、FastEthernet0/24分别下连到访问层交换机AccessSwitch1的端口FastEthernet0/24以及访问层交换机AccessSwitch2的端口FastEthernet0/24。此外，分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet0/1上连到核心交换机CoreSwitch1的GigabitEthernet3/2。为了实现冗余设计，分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet0/2连接到分布层交换机DistributeSwitch1的GigabitEthernet0/2.DistributeSwitch1(config)#iproute.54另外.为了实现对无类别网络(ClasslessNetwork)以及全零子网Subnet-zero）的支持，在充当3层交换机的分布层交换机DistributeSwitch1还需要进行适当的配置DistributeSwitch1(config)#ipclasslessDistributeSwitch1(config)#ipsubnet-zero/定义对无类别网络以及全零子网的支持核心层交换服务的实现——配置核心层交换机核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换本设计中的核心层交换机采用的是CiscoCatalyst4006交换机，采用了Catalyst4500SupervisorIIPlus (WS-X4013+)作为交换机引擎。运行的是Cisco的IntegratedIOS操作系统在作为核心层交换机的CiscoCatalyst4006交换机中，安装了WS-X4306-GB(Catalyst4000GigabitEthernetModule,6-Ports(GBIC) )模块，该模块提供了5个千兆光纤上连接口，可以用来接入WS-G548(41000BASE-SXShortWavelengthGBIC(Multimodeonly))。以图3.4-1中的核心层交换机CoreSwitch1为例进行设置。图3.4-1核心层交换机CoreSwitch1设置配置核心层交换机CoreSwitch1的基本参数Switch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/ZSwitch(config)#hostnameDistributeSwitch1CoreSwitch1(config)#enablesecretyouguessCoreSwitch1(config)#linecon0CoreSwitch1(config-line)#loggingsynchronousCoreSwitch1(config-line)#exec-timeout530CoreSwitch1(config-line)#linevty015CoreSwitch1(config-line)#passwordabcCoreSwitch1(config-line)#loginCoreSwitch1(config-line)#exec-timeout530CoreSwitch1(config-line)#exitCoreSwitch1(config)#noipdomain-lookup配置核心层交换机CoreSwitch1的管理IP、默认网关CoreSwitch1(config)#interfacevlan1CoreSwitch1(config-if)#ipaddressCoreSwitch1(config-if)#noshutdownCoreSwitch1(config-if)#exitCoreSwitch1(config-if)#ipdefault-gateway54配置核心层交换机CoreSwitch1的的VLAN及VTPCoreSwith1(config)#vtpmodeclient配置核心层交换机CoreSwitch1的端口参数核心层交换机CoreSwitch1通过自己的端口FastEthernet4/3同广域网接入模块(Internet路由器)相连。同时，核心层交换机CoreSwitch1的端口GigabitEthernet3/1～GigabitEthernet3/2分别下连到分布层交换机DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet0/1DistributeSwitch1(config)#interfacerangefastethernet0/1–24DistributeSwitch1(config-if-range)#dupexfullDistributeSwitch1(config-if-range)#speed100DistributeSwitch1(config-if-range)#switchportmodeaccessDistributeSwitch1(config-if-range)#switchportaccessvlan1DistributeSwitch1(config-if-range)#spanning-treeportfastDistributeSwitch1(config-if-range)#interfacerangegigabitEthernet3/1–2DistributeSwitch1(config-if-range)#switchportmodetrunk此外，为了提供主干道的吞吐量以及实现冗余设计，在本设计中，将核心层交换机CoreSwitch1的千兆端口GigabitEthernet2/1、GigabitEthernet2/2捆绑在一起实现2000Mbps的千兆以太网信道，然后再连接到另一台核心层交换机CoreSwitch2。CoreSwitch1(config)#interfaceport-channelCoreSwitch1(config-if)#switchportCoreSwitch1(config-if)#interfacegigabitEthernet2/1 –2CoreSwitch1(config-if)#channel-group1modedesirublenon-silentCoreSwitch1(config-if)#noshutdown配置核心层交换机CoreSwitch1的路由功能核心层交换机CoreSwitch1通过端口FastEthernet4/3同广域网接入模块(Internet路由器)相连。因此，需要启用核心层交换机的路由功能。同时，还需要定义通往Internet的路由。这里使用了一条缺省路由命令。其中，下一跳地址是Internet接入路由器的快速以太网接口FastEthernet0/0的IP地址。CoreSwitch1(config)#iproutingCoreSwitch1(config)#iproute54其它配置定义对无类别网络以及全零子网的支持CoreSwith1(config)#ipclasslessCoreSwith1(config)#ipsubnet-zeroCoreSwitch2的配置步骤、命令和CoreSwitch1的配置类似.配置接入路由器InternetRouter配置接入路由器InternetRouter的基本参数Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/ZSwitch(config)#hostnameInternetRouterInternetRouter(config)#enablesecretyouguessInternetRouter(config)#linecon0InternetRouter(config-line)#loggingsynchronousInternetRouter(config-line)#exec-timeout530InternetRouter(config-line)#linevty015InternetRouter(config-line)#passwordabcInternetRouter(config-line)#loginInternetRouter(config-line)#exec-timeout530InternetRouter(config-line)#exitInternetRouter(config)#noipdomain-lookup配置接入路由器InternetRouter的各接口参数InternetRouter(config)#interfacefastethernet0/0InternetRouter(config-if)#ipaddress54InternetRouter(config-if)#noshutdownInternetRouter(config-if)#interfaceserial0/0InternetRouter(config-if)#ipaddress52InternetRouter(config-if)#noshutdown配置接入路由器InternetRouter的路由功能InternetRouter(config)#iprouteserial0/0InternetRouter(config)#iproute/InternetRouter(config)#iproute/定义到校园网内部的路由配置接入路由器InternetRouter上的NAT为了接入Internet，本校园网向当地ISP申请了9个IP地址。其中一个IP地址：被分配给了Internet接入路由器的串行接口，另外8个IP地址：～用作NAT。InternetRouter(config)#interfacefastethernet0/0InternetRouter(config-if)#ipnatinsideInternetRouter(config-if)#interfaceserial0/0InternetRouter(config-if)#ipnatoutside / 定义NAT内部、外部接口InternetRouter(config)#ipaccess-list1permit55InternetRouter(config)#ipaccess-list1permit55InternetRouter(config)#ipnatinsidesourcestaticInternetRouter(config)#ipnatinsidesourcestaticInternetRouter(config)#ipnatinsidesourcestatic⋯⋯/为服务器定义静态地址转换InternetRouter(config)#ipnatinsidesourcelist1interfaceserial0/0overload/为工作站定义复用地址转换配置接入路由器InternetRouter上的安全访问ACL路由器访问控制列表.路由器是外网进入校园网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表(AccessControlList，ACL)是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于校园网内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对校园网内网包括防火墙本身实施保护。在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该做以下的ACL设计：对外屏蔽简单网管协议，即SNMP.利用这个协议，远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型：SNMP和SNMPTRA。P设置对外屏蔽简单网管协议SNMP:InternetRouter(config)#iprouteInternetRouter(config)#iproute对外屏蔽远程登录协议telnet.首先，telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。其次，telnet可以登录到大多数网络设备和UNIX服务器，并可以使用相关命令完全操纵它们。这是极其危险的，因此必须加以屏蔽。屏蔽远程登录协议telneInternetRouter(config)#ipaccess-list101denytcpanyeqtelnetInternetRouter(config)#ipaccess-list101permitipanyany对外屏蔽其它不安全的协议或服务.这样的协议主要有SUNOS的文件共享协议端口2049，远程执行(rsh)、远程登录(rlogin)和远程命令(rcmd)端口512、513、514，远程过程调用(SUNRP)C端口111。可以将针对以上协议综合进行设计InternetRouter(config)#ipaccess-list101denytcpanyanyrange512514InternetRouter(config)#ipaccess-list101denytcpanyanyeq111InternetRouter(config)#ipaccess-list101denyudpanyanyeq111InternetRouter(config)#ipaccess-list101denytcpanyanyrange2049InternetRouter(config)#ipaccess-list101permitipanyany针对DoS攻击的设计.DoS攻击(DenialofServiceAttack ，拒绝服务攻击)是一种非常常见而且极具破坏力的攻击手段，它可以导致服务器、网络设备的正常服务进程停止，严重时会导致服务器操作系统崩溃。InternetRouter(config)#ipaccess-list101denyicmpanyanyeqecho-requsetInternetRouter(config)#ipaccess-list101denyudpanyanyeqechoInternetRouter(config)#interfaceserial0/0InternetRouter(config-if)#ipaccess-group101mInternetRouter(config-if)#interfacefastethernet0/0InternetRouter(config-if)#noipdirected-broadcast保护路由器自身安全.作为内网、外网间屏障的路由器，保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器，必须对路由器的访问位置加以限制。应只允许来自服务器群的IP地址访问并配置路由器。这时，可以使用ACCESS-CLAS命S令进行VTY访问控制InternetRouter(config)#linevty04InternetRouter(config-line)#access-class2inInternetRouter(config-line)#exitInternetRouter(config-line)#access-list2permit55InternetRouter(config)#ipclassless/对无类别网络以及全零子网的支持InternetRouter(config)#ipsubnet-zero远程访问模块设计远程访问也是园区网络必须提供的服务之一，如图3.6.1-1图3.6.1-1远程访问服务远程访问有三种可选的服务类型：专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同，花费也不相同。在本设计中，由于面对的用户群规模、业务量较小，所以采用了异步拨号连接作为远程访问的技术手段。异步拨号连接属于电路交换类型的广域网连接，它是在传统公共交换电话网(PublicSwitchedTelephoneNetwork，PSTN)上提供服务的。传统PSTN提供的服务也被称为简易老式电话业务(PlanOldTelephoneSystem，POTS)。因为目前存在着大量安装好的电话线，所以这样的环境是最容易满足的。因此，异步拨号连接也就成为最为方便和普遍的远程访问类型。广域网连接可以采用不同类型的封装协议，如HDLC、PPP等。其中，PPP除了提供身份认证功能外，还可以提供其他很多可选项配置，包括链路压缩、多链路捆绑、回叫等，因此更具优势。也是本设计所采用的异步连接封装协议。在本设计中采用了可以集成在广域网接入路由器InternetRotuer中的异步Modem模块NM-16AM(8PortAnalogModemNetworkModule)提供远程访问服务。它可以同时对最多16路拨号用户提供远程接入服务。配置异步拨号模块NM-16AM的步骤:配置物理线路的基本参数对物理线路的配置包括配置线路速度(DTE、DCE之间的速率)、停止位位数、流控方式、允许呼入连接的协议类型、允许流量的方向等.InternetRouter(config)#line97InternetRouter(config-line)#modermInOurInternetRouter(config-line)#transportinputallInternetRouter(config-line)#stopbitsInternetRouter(config-line)#speed115200InternetRouter(config-line)#flowcontrolhardware配置接口基本参数对接口基本参数的配置包括：接口封装协议类型、接口异步模式、IP地址、为远程客户分配IP地址的方式等。这里，设置远程客户从IP地址池rasclients中获得IP地址。InternetRouter(config)#interfaceasync97InternetRouter(config)#ipaddress00InternetRouter(config)#encapsulationpppInternetRouter(config)#asyncmodededicated

InternetRouter(config)#peerdefaultaddresspoolrasclientsInternetRouter(config)#iplocalpoolrasclients6/建立了一个名为rasclients的IP地址池配置身份认证PPP提供了两种可选的身份认证方法：口令验证协议PAP(PasswordAuthenticationProtocol，PAP