路由交換技術(shù)課程設(shè)計(jì)

1、路由交換技術(shù)課程設(shè)計(jì)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院課程設(shè)計(jì)路由交換技術(shù)（2013-2014學(xué)年度第二學(xué)期）課程名稱：路由交換技術(shù)實(shí)驗(yàn)名稱:校園網(wǎng)拓?fù)浣ㄔO(shè)和網(wǎng)絡(luò)設(shè)備配置指導(dǎo)教師：實(shí)驗(yàn)地點(diǎn)：姓 名：學(xué) 號(hào)：班 級(jí)：目錄目的：4要求和說(shuō)明：4課程設(shè)計(jì)內(nèi)容：4總體概述4繪制拓?fù)浣Y(jié)構(gòu)圖6具體工作6設(shè)備選型6網(wǎng)絡(luò)布局規(guī)劃與設(shè)計(jì)7IP地址規(guī)劃（子網(wǎng)劃分和CIDR技術(shù)）7路由器和交換機(jī)的配置9一）鼠置路由IP9（二）南華大學(xué)主校區(qū)和分校區(qū)之間，實(shí)現(xiàn)幀中繼數(shù)據(jù)傳輸13（三）南華大學(xué)接入INERNET16。局域網(wǎng)建設(shè)29課程設(shè)計(jì)心得46課程設(shè)計(jì)的目的及要求目的:通過(guò)本次課程設(shè)計(jì)，目的是能夠?qū)φn上所學(xué)的零散的知識(shí)有更加實(shí)際的

2、了解，通過(guò) 小型的拓?fù)浣ㄔO(shè)，將我們課上所學(xué)的知識(shí)點(diǎn)都用在上面，讓我們對(duì)網(wǎng)絡(luò)設(shè)備配置和路 由交換技術(shù)有一個(gè)整體的把握。要求和說(shuō)明：基本要求：(1)南華大學(xué)校園拓?fù)浣ㄔO(shè)(2)和分校區(qū)建立虛擬鏈路，采用幀中繼的方式連接(3)與南華大學(xué)附屬醫(yī)院的通信要采用IPSEC封裝課程設(shè)計(jì)的內(nèi)容(分析和設(shè)計(jì))課程設(shè)計(jì)內(nèi)容:總體概述本拓?fù)涫腔谛@網(wǎng)絡(luò)通信設(shè)計(jì)的，在南華大學(xué)的網(wǎng)絡(luò)中心有一個(gè)總的 路由，負(fù)責(zé)INTERNET的接入，并作為校園網(wǎng)連接外網(wǎng)的路由轉(zhuǎn)發(fā)設(shè)備。我們 這里假設(shè)南華大學(xué)有兩個(gè)分校區(qū)，和一個(gè)主校區(qū)。分校區(qū)離主校區(qū)較遠(yuǎn)，我 們采用幀中繼技術(shù)，來(lái)實(shí)現(xiàn)分校區(qū)和主校區(qū)互聯(lián)。幀中繼采用虛電路技術(shù)， 對(duì)分組交換技

3、術(shù)進(jìn)行簡(jiǎn)化，可以在一對(duì)一或者一對(duì)多的應(yīng)用中快速而低廉的 傳輸數(shù)位信息。幀中繼是廣域網(wǎng)的技術(shù)，為保證傳輸過(guò)程中的數(shù)據(jù)安全，在 分校區(qū)和主校區(qū)之間使用IPSec傳輸模式對(duì)數(shù)據(jù)進(jìn)行加密。南華大學(xué)訪問(wèn)南華 附屬第一醫(yī)院的網(wǎng)絡(luò)時(shí)，我們做一個(gè)GRE封裝，讓它通過(guò)隧道通信。以下是我 們?cè)跇?gòu)建網(wǎng)絡(luò)時(shí)的一些要點(diǎn)：1 .此專用網(wǎng)設(shè)計(jì)方案要求是跨局域網(wǎng)之間的連接，所以需要選擇接入技術(shù)，實(shí) 現(xiàn)廣域技術(shù)的連接；2 .設(shè)計(jì)出詳細(xì)的拓?fù)鋱D，將各個(gè)局域網(wǎng)之間相連，設(shè)計(jì)專用網(wǎng)時(shí)按照分層模型進(jìn)行規(guī)劃，指定核心區(qū)，接入?yún)^(qū)等；3 .實(shí)現(xiàn)廣域網(wǎng)上的幀中繼技術(shù)等；4 .選擇合適的路由協(xié)議，并對(duì)路由器的安全進(jìn)行配置；5 .對(duì)中間設(shè)備進(jìn)行統(tǒng)

4、一管理，并實(shí)現(xiàn)遠(yuǎn)程登陸管理；需求分析隨著計(jì)算機(jī)及局域網(wǎng)絡(luò)應(yīng)用的不斷深入，特別是各種計(jì)算機(jī)應(yīng)用系統(tǒng)被 相繼應(yīng)用在實(shí)際工作中，各企業(yè)、各單位同外界信息媒體之間的相互交換和 共享的要求日益增加。1 .網(wǎng)絡(luò)設(shè)備配置配備網(wǎng)絡(luò)交換設(shè)備，實(shí)現(xiàn)樓宇間的千兆光纖連接，保證未來(lái)各應(yīng)用系統(tǒng)的實(shí)施 以及滿足辦公需求。2 .網(wǎng)管系統(tǒng)設(shè)計(jì)提供可以對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理的中文圖形界面工具，使系統(tǒng)維護(hù)人 員可以集中控制網(wǎng)絡(luò)的所有設(shè)備。設(shè)計(jì)原則基于以上特點(diǎn)，應(yīng)遵循下列設(shè)計(jì)原則：1 .把握好技術(shù)先進(jìn)性與應(yīng)用簡(jiǎn)易性之間的平衡。2 .具有良好的升級(jí)擴(kuò)展能力。3 .具有較高的可靠性和安全性。4 .產(chǎn)品功能與實(shí)際應(yīng)用需求相匹配。6.經(jīng)濟(jì)

5、性：要求價(jià)格適中，設(shè)備及耗材要求采用質(zhì)量過(guò)硬，物美價(jià)廉。7.開放性：采用國(guó)際標(biāo)準(zhǔn)通信協(xié)議、標(biāo)準(zhǔn)操作系統(tǒng)、標(biāo)準(zhǔn)網(wǎng)管軟件、采用符合 標(biāo)準(zhǔn)的設(shè)備，保證整個(gè)系統(tǒng)具有開放特點(diǎn)，增強(qiáng)與不同類型的網(wǎng)絡(luò)之間的互聯(lián) 能力繪制拓?fù)浣Y(jié)構(gòu)圖具體工作設(shè)備選型型號(hào)2950-24交換機(jī)3臺(tái)，型號(hào)2960-24交換機(jī)3臺(tái)型號(hào)3560-24PS三層交換機(jī)1臺(tái) 型號(hào)2811路由器5臺(tái)WEB服務(wù)器1臺(tái)DNS服務(wù)器1臺(tái)網(wǎng)絡(luò)布局規(guī)劃與設(shè)計(jì)本次課程設(shè)計(jì)是針對(duì)南華大學(xué)校園網(wǎng)規(guī)劃設(shè)計(jì)的，由于時(shí)間較短，所以設(shè)計(jì)很 簡(jiǎn)單。南華大學(xué)主校區(qū)的網(wǎng)絡(luò)中心屬于核心區(qū)，兩個(gè)分校區(qū)包括醫(yī)學(xué)院屬于接入?yún)^(qū)。 南華大學(xué)負(fù)責(zé)接入INTERNET,我們這里只需南華大學(xué)

6、通過(guò)INTERNET與南華附屬醫(yī) 院通信，并建立VPN。在南華大學(xué)內(nèi)部，由于分校區(qū)距離主校區(qū)較遠(yuǎn)，所以采用幀 中繼廣域網(wǎng)技術(shù)，實(shí)現(xiàn)分校區(qū)與校園網(wǎng)的連接。南華醫(yī)學(xué)院，由于人數(shù)眾多，接入 量大，我們采用三層交換機(jī)技術(shù)，并對(duì)局域網(wǎng)下的用戶進(jìn)行VLAN劃分。IP地址規(guī)劃（子網(wǎng)劃分和CIDR技術(shù)）南華大學(xué)內(nèi)部：設(shè)備/地點(diǎn)接口/vlanIP南華大學(xué)網(wǎng)絡(luò)中心fO/O192.168. L 1/24sl/O172.1. 16. 2/30loopO172. 0.1. 1/32sO/3/O. 110. 0. 0. 1/24 101sO/3/O. 212. 0. 0. 1/24 102分校區(qū)計(jì)算機(jī)學(xué)院fO/O192.

7、168. 3.1/24fO/1192.168. 2.1/24sO/3/O. 20110. 0. 0. 2/24分校區(qū)電氣電工學(xué)院f0/0192.168. 3.1/24fO/1192.168. 2.1/24sO/3/O. 30112. 0. 0. 2/24Internetsl/0172.1. 17. 2/30f0/0192.168. 1.1/27loopO172. 0. 0. 1/32南華大學(xué)附屬第一醫(yī)院sl/1172.1. 17. 2/30f0/0192. 168. 9.1/27F0/1172.1. 20. 1/30loopO172. 0. 2. 1/32DNS172.1. 20. 2/30W

8、EB192.168. 9. 2/24醫(yī)學(xué)院Vlanl192. 168. 1. 2Vlan2211.1. 1.1Vlan3Vlan421L 1. 3.1SwichOF0/4-9VLAN2F0/10-15VLAN3SwichlF0/4-9VLAN4F0/10-15VLAN5路由器和交換機(jī)的配置（一）配置路由IP南華大學(xué)網(wǎng)絡(luò)中心路由IP設(shè)置interface LoopbackOip address 172. 0.1. 1 255. 255. 255. 255 iinterface TunnelOip address 192. 168. 100. 1 255. 255. 255. 0

9、tunnel source Seriall/0tunnel destination II interface FastEthemetO/0ip address 192. 168. 1.1 255. 255. 255. 128duplex autospeed autoIinterface SerialO/3/Ono ip addressencapsulation frame-relayinterface Serial0/3/0.101 point-to-pointip address 10. 0. 0. 1 255. 255. 255. 0frame-relay interf

10、ace-dlci 101 linterface SerialO/3/0.102 point-to-point ip address 12. 0. 0. 1 255. 255. 255. 0 frame-relay interface-dlci 102iinterface Seriall/0ip address 172. 1. 16. 2 255. 255. 255. 252crypto map VPNmap I主校區(qū)醫(yī)學(xué)院三層交換機(jī)配置設(shè)置interface FastEthemetO/1no switchportip address 192. 168. 1. 2 255. 255. 255.

11、128duplex autospeed autointerface Vlan2ip address 211. 1. 1. 1 255. 255. 255. 128interface Vlan3ip address 211. 1. 2. 1 255. 255. 255. 128 Iinterface Vlan4ip address 211. 1. 3. 1 255. 255. 255. 128 Iinterface Vlan5ip address 211. L 4. 1 255. 255. 255. 128 i分校區(qū)計(jì)算機(jī)學(xué)院路由IP設(shè)置interface FastEthernetO/0ip a

12、ddress 192. 168. 3. 1 255. 255. 255.0duplex autospeed autoIinterface FastEthernetO/1ip address 192. 168. 2.1 255. 255. 255. 0duplex autospeed autointerface SerialO/3/Ono ip addressencapsulation frame-relay linterface SerialO/3/O. 201 point-to-point ip address 10. 0. 0. 2 255. 255. 255. 0 frame-relay

13、 interface-dlci 201分校區(qū)電氣電工學(xué)院路由IP設(shè)置interface FastEthemetO/0ip address 192. 168. 4. 1 255. 255. 255.0duplex autospeed autoIinterface FastEthernetO/1ip address 192. 168. 5.1 255. 255. 255. 0duplex autospeed auto linterface Serial0/3/0no ip addressinterface Serial0/3/0. 301 point-to-pointip address 12.

14、0. 0. 2 255. 255. 255. 0frame-relay interface-dlci 301DNS配置NameTypeA Record AddressNo.NameTypeDetails1A RecordAddSaveRemoveHTTP您 On 。OffHTTPS On 。OffWEBFile Name: index.html<html><centerxfont size=,+2, colorblueCisco PacketTracer </font><ycenter><hr>welcome to n

15、anhua fushuyiyuan !<p>Quick Links:<brxa hrefhelloworld.htmlA small page</a><brxa href-copyrights.htmr>Copyrights<a><brxa hrefimage.htmlImage page<a><brxa href=,image.jpg,>Image</a>uhr'uhr'Aoou/hr、（二）南華大學(xué)主校區(qū)和分校區(qū)之間，實(shí)現(xiàn)幀中繼數(shù)據(jù)傳輸 局部拓?fù)洌簊l/O配置如下:云設(shè)置：網(wǎng)絡(luò)中

16、心路由:interface Serial。/3/0 no i.p address en.Gapsulat.lon frame-relay i interface Serial0/3/0 -101 point-to-point ip address frame-relay interface-dlci 101 i interface SerialO/3/0102 point-to-poiRt ip address frame-relay interface-dlei. 102!分校區(qū)計(jì)算機(jī)學(xué)院路由：Iin

17、terface Serial0/3/0no ip addressencapsulation frame-relaylinterface Serial0/3/0. 201 point-to-pointip address 10. 0. 0. 2 255. 255. 255. 0frame-relay interface-dlci 201分校區(qū)電氣電工學(xué)院路由：interface SerialO/3/Ono ip addressencapsulation framerelayinterface Serial0/3/0. 301 point-to-pointip address 12. 0. 0.

18、2 255. 255. 255. 0frame-relay interfacc-dlci 301測(cè)試：分校區(qū)計(jì)算機(jī)學(xué)院ping分校區(qū)電氣電工學(xué)院OB IM Router#ping Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to Z timeout is 2 seconds:! ! ! ! !Success rate is 100 percent (5/5)r round-trip min/avg/max = 13/16.Router#|-分校區(qū)電氣電工學(xué)院Ping分校區(qū)計(jì)算機(jī)學(xué)院Ro

19、uter#ping Type escape sequence to abort.Sending 5Z 100-byte ICMP Echos to z timeout is 2 seconds:i i i i iSuccess rate is 100 percent (5/5), round-trip min/avg/max = 15/17Router#(三)南華大學(xué)接入INERNET通過(guò)INERNET,可以訪問(wèn)南華附屬第一醫(yī)院的服務(wù)器，這之間我們采用VPN技 術(shù)，對(duì)ospf數(shù)據(jù)傳輸用GRE封裝，用IPSEC協(xié)議對(duì)數(shù)據(jù)加密，最終實(shí)現(xiàn)加密傳輸。IPsec (IP

20、security)協(xié)議族是IETF制定的一系列協(xié)議，它為IP數(shù)據(jù)報(bào)提供 了高質(zhì)量的、可互操作的、基于密碼學(xué)的安全性。特定的通信方之間在IP層通過(guò) 加密與數(shù)據(jù)源驗(yàn)證等方式，來(lái)保證數(shù)據(jù)報(bào)在網(wǎng)絡(luò)上傳輸時(shí)的私有性、完整性、真 實(shí)性和防重放。GRE協(xié)議是對(duì)某些網(wǎng)絡(luò)層協(xié)議的數(shù)據(jù)報(bào)進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報(bào)能夠 在另一個(gè)網(wǎng)絡(luò)層協(xié)議中傳輸。GRE是VPN的第三層隧道協(xié)議，在協(xié)議層之間采用了 一種被稱之為Tunnel的技術(shù)。Tunnel是一個(gè)虛擬的點(diǎn)對(duì)點(diǎn)的連接，在實(shí)際中可以 看成僅支持點(diǎn)對(duì)點(diǎn)連接的虛擬接口，這個(gè)接口提供了一條通路使封裝的數(shù)據(jù)報(bào)能 夠在這個(gè)通路上傳輸，并且在一個(gè)Tunnel的兩端分別對(duì)數(shù)據(jù)報(bào)進(jìn)

21、行封裝及解封 裝。通常情況下，IPsec不能傳輸路由協(xié)議，例如RIP和OSPF；或者非IP數(shù)據(jù)流， 例如 IPX (Internetwork Packet Exchange)和 AppleTalko 這樣，如果要在 IPsec 構(gòu)建的VPN網(wǎng)絡(luò)上傳輸這些數(shù)據(jù)就必須借助于GRE協(xié)議，對(duì)路由協(xié)議報(bào)文等進(jìn)行封 裝，使其成為IPsec可以處理的IP報(bào)文，這樣就可以在IPsec VPN網(wǎng)絡(luò)中實(shí)現(xiàn)不 同的網(wǎng)絡(luò)的路由。1)建立GRE隧道建立GRE隧道，以便后面對(duì)0SPF組播路由協(xié)議進(jìn)行封裝，配置如下：南華網(wǎng)絡(luò)中心：interface TunnelOip address 192. 168. 100. 1 25

22、5. 255. 255. 0tunnel source Seriall/0tunnel destination 南華附屬第一醫(yī)院：interface TunnelOip address 192. 168. 100. 2 255. 255. 255. 0tunnel source Seriall/1tunnel destination 2)配置動(dòng)態(tài)路由在南華大學(xué)內(nèi)部我們使用RIP2路由協(xié)議，而公用網(wǎng)上使用的是OSPF協(xié)議，所以我 們這里還需要配置路由重分布。配置如下：分校區(qū)計(jì)算機(jī)學(xué)院router ripversion 2network 10. 0. 0.

23、0network 192. 168.2. 0network 192.168.3. 0分校區(qū)電氣電工學(xué)院router ripversion 2network 12. 0. 0. 0network 192. 168. 4.0network 192. 168.5.0主校區(qū)網(wǎng)絡(luò)中心這里會(huì)有兩個(gè)協(xié)議：RIPV2和OSPF,并需配置路由重分布配置如下：OSPFrouter ospf 10log-adjacency-changesredistribute rip subnetsnetwork 192. 168. 100. 0 0. 0. 0. 255 area 0network 172. 0. 1. 1 0

24、. 0. 0. 0 area 0RIPV2router ripversion 2redistribute ospf 10 metric 1network 10. 0. 0. 0network 12. 0. 0. 0network 192.168.L 0南華附屬第一醫(yī)院router ospf 101og-adjacency-changesnetwork 192. 168. 100. 0 0. 0. 0. 255 area 0network 172. 0. 2. 1 0. 0. 0. 0 area 0network 172. 1. 20. 0 0. 0. 0. 3 area 0network 19

25、2. 168. 9. 0 0. 0. 0. 255 area 0此時(shí)我們來(lái)查看各路由器的路由表：南華大學(xué)網(wǎng)絡(luò)中心OCS±/24/24/32/30isisisissubnetted, 1 subnets directly connected, Serial0/3/0.101 subnetted, 1 subnetsdirectly connected Serial0/3/0.102is snbnettedz 2 subnetsis directly c

26、onnected, LoopbackO 110/1001 via , 00:04:23, TunnelO is subnettedz 2 subnets is directly connected, Seriall/0 110/1001 via , 00:04:23, Tunnel/25/24/24/24/24/24is sxibnetted, 1 s

27、ubnetsis directly120/1120/1120/1120/1via via via viaconnected, FastEthernet 0/0,,,,00:00:11, Serial0/3/0.100:00:11, Serial0/3/0.100:00:09, Serial0/3/0.100:00:09, Serial0/3/0.1110/1001 via , 00:04:23, Tunne/24 is directly connected, TunnelO 0.

28、0.0.0/0 11/01 via Copy | | Paste發(fā)現(xiàn)附屬醫(yī)院的地址已經(jīng)通過(guò)GRE隧道通告到了南華大學(xué)網(wǎng)絡(luò)中心衡陽(yáng)附屬醫(yī)院E2E21O.O.O.O/24/24/32/30is sxabnetted.1 subnets110/20 via r 00:08:58, Tunnel0is sxabnetted,1 subnets110/20 via , 00:08:58, TunnelOis sub

29、nettedr 2 subnets 110/1001 via , 00:08:58, is directly connected, LoopbackOis subnettedr 2 subnetsTunnelO is directly connected, Seriall/1 is directly connected FastEthernet0/1E2E2E2E2E2/251S/241S/241S/241S/24

30、1S/24is subnetted,110/20110/20110/20110/20110/20via via via via via1 subnets, 00:08:58r, 00:08:58,, 00:08:58,, 00:08:58z, 00:08:58,TunnelO TunnelO TunnelO TunnelO TunnelOis directly connectedr FastEthernetO/01921681000/24 is d

31、irectly connectedr TunnelO /0 1/0 via 發(fā)現(xiàn)在附屬醫(yī)院這一端南華大學(xué)的地址也已經(jīng)通告完成，并在附屬醫(yī)院這一端有了記錄O 現(xiàn)在我們來(lái)檢查兩個(gè)分校區(qū)路由的路由表:/24 is sxibnetted, 1 subnetsC is directly connected. Serial0/3/0.201R /8 (120/1 via , 00:00:02, Serial0/3/0.201/24120/1 via, 00:00:02,

32、Serial0/3/0.2/24/24/24is directly is directly 120/2 viaconnected, FastEthernetO/1 connected, FastEthernetO/O, 00:00:02, Serial0/3/0.2R /24 120/2 via , R /24 120/1 via 10.0.0. Rc1什 ardtl00:00:02 z Serial0/3/0.2 rlz 00:16:59, Ser

33、ial0/3/0 E/8 (120/1 via , 00:00:12z Serial0/3/0.30/24 is is/24/24/24/24/24sxibnettedf 1 subnets directly connected, SerialO/3/O.301120/1 via120/2 via120/2 viais directlyis directly, 00:00:12, SeriaL0/3/0.

34、3r 00:00:12, SeriaL0/3/0.3 r 00:00:12, Serial0/3/0.3 connected, FastEthernet 0/0 connected, Fas,tEther net 0/1/24 120/1 via , 00:17:35, SerialO/3/ORnntier#這是大家會(huì)發(fā)現(xiàn)一個(gè)問(wèn)題，路由表里并沒(méi)有192. 168. 9.0這個(gè)網(wǎng)段，這是為什么呢？ 原因是這樣的：CISCO的路由協(xié)議都有自己缺省的的管理距離（AD） , RIP的為120, OSPF的為 110,對(duì)于兩種不同

35、的協(xié)議，管理距離越小，它的優(yōu)先級(jí)也就越高，也就是可信度越 高。所以，OSPF的優(yōu)先級(jí)就充于RIP,且度量值為1,那么192.168. 9. 0就不會(huì)下發(fā)到 分校區(qū)。解決辦法，在網(wǎng)絡(luò)中心將默認(rèn)路由通過(guò)RIP通告出去default-in-foCTna-tion originate這時(shí)我們來(lái)查看分校區(qū)的路由表/24 is svilDnettecl, 1 subnetsC R RC C is directly connected, SerialO/3/O.20/8 120/1 via r 00:00:11, SerialO/3/0.20

36、1/24/24/24/24/24120/1 viais directlyis directly120/2 via120/2 via, 00:00:11, Serial0/3/0.2 connected/ Fas,tEthernetO/l connected, Fast:EthernetO/O, 00:00:L1Z Serial0/3/.1, 00:00:11, Serial0/3/0.2R /24 120/1

37、via , 01:19:23, Serial0/3/0RQ /0 12071 via 10.0.0.lz 00:00:11, Serial0/3/0.20i此時(shí)互聯(lián)網(wǎng)已經(jīng)聯(lián)通，我們做個(gè)測(cè)試南華大學(xué)網(wǎng)絡(luò)中心南華附屬醫(yī)院Router#ping Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds：Success rate is 100 percent (5/5), round-trip min/avg/ma

38、x = 6/7/9分校區(qū)計(jì)算機(jī)學(xué)院一南華附屬醫(yī)院Router#ping 192. 168.9.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds：Success rate is 100 percent (5/5), round-trip min/avg/max = 9/13/1現(xiàn)在我們抓包測(cè)試： 我們從分校區(qū)計(jì)算機(jī)學(xué)院給附屬醫(yī)院發(fā)一個(gè)PING包從云到網(wǎng)絡(luò)中心進(jìn)入：Fjme Relay82424+x40+x 48+x BitsFLG: 011111 i

39、rADDRESS: 0x65DATA: (VARIABLE LENGTH)FCS:0x0FLG: 011111 ir坦Address048161931 Bits4| IHLDSCP： 0x0TL： 128ID:0x2670x0 |0x0TTL： 255PRO： 0X1CHKSUMSRC IP： DST IP： OPT: 0x0|0x0DATA (VARIABLE LENGTH)ICMP081631 Bits出去:IP048161931 Bits4| IHLDSCP： 0x0TL： 20ID： 0x7020x00x0TTL： 255PRO： Ox2fCHKS

40、UMSRC IP： DST IP： OPT： 0x00x0DATA (VARIABLE LENGTH)GRE 081631 BitsFLAGS： 0PROTOCOL TYPE： 0x800IP048161931 Bits4| IHLDSCP： 0x0TL： 128ID： 0x2670x00x0TTL： 254PRO： 0X1CHKSUMSRC IP: 10,0.0.2DST IP： OPT; 0x0|0x0DATA (VARIABLE LENGTH)ICMPQ51f3； Bits這是抓取的ICMP包，我們可以分析得到：數(shù)據(jù)從網(wǎng)絡(luò)中心

41、出來(lái)時(shí)，對(duì)IP傳輸進(jìn)行了 GRE封裝，真正的源地址和目的地址, 已經(jīng)轉(zhuǎn)變?yōu)槲锢砩系脑春湍康?。接下我們檢測(cè)一下，GRE是否對(duì)0SPF進(jìn)行了封裝:IP04S：L6 19314IHLDSCP： 0x0TL： 20ID: 0x8fc0x0 |0x0TTL： 255PRO: 0x2fCHKSUMSRC IP： DSTIP： OPT： 0x00x0DATA (VARIABLE LENGTH)BitsGRE081631BirsFLAGS： 0PROTOCOL TYPE： 0x800IP048：L6 1931Bits4IHLDSCP： 0x0TL： 20ID： OxSf

42、b0x0 |0x0TTL： 255PRO： 0x59CHKSUMSRC IP： DST IP： OPT： 0x00x0DATA (VARIABLE LENGTH)OSPF Hall。o2BytesJ 1VERSIONNUM： 2TYPE： 1PACKET LEN： 48一 ROUTER ID： 192,168.100.2AREA ID： MB 1 .從上面抓取的報(bào)文大家可以明顯的看到0SPF已經(jīng)成功被GRE封裝此時(shí)我們就可以建立南華大學(xué)到附屬醫(yī)院的VPN通道3)VPN技術(shù)應(yīng)用我們配置的范圍為分別從192.168.1. 0/25、10.

43、0.0. 0/25、12. 0.0. 0/25到192. 168. 9. 0/24這三條鏈路加密配置過(guò)程：南華大學(xué)網(wǎng)絡(luò)中心crypto isakmp policy 1encr 3deshash md5authentication pre-sharegroup 2l crypto isakmp key 123 address icrypto ipsec transform-set setl absha-hmac esp-3desIcrypto map VPNmap 10 ipsec-isakmpset peer 172. 1. 17. 2set transform-set s

44、etlmatch address 110Iaccess-list 110 permit ip 192. 168. 1. 0 0. 0. 0. 127 192. 168. 9. 0 0. 0. 0. 255access-list 110 permit ip 55 192. 168. 9. 0 55access-list 110 permit ip 12. 0. 0. 0 0. 0. 0. 255 192. 168. 9. 0 0. 0. 255 access-list 110 deny ip any any interface Seriall/Oip

45、 address 172. 1. 16. 2 255. 255. 255. 252crypto map VPNmap南華附屬醫(yī)院：crypto isakmp policy 1encr 3deshash md5authentication pre-sharegroup 2Icrypto isakmp key 123 address l *crypto ipsec transform-set setl ah-sha-hmac esp-3desIcrypto map VPNinap 10 ipsec-isakmpset peer 172. 1. 16. 2set transfor

46、m-set setlmatch address 110access-list 110 permit ip 192. 168. 9. 0 55 any interface Seriall/1ip address 172. 1. 17. 2 255. 255. 255. 252crypto map VPNmap抓包測(cè)試：我們從分學(xué)院計(jì)算機(jī)學(xué)院發(fā)送一個(gè)Ping包到附屬醫(yī)院，發(fā)現(xiàn)是可以到達(dá)的，在抓 取過(guò)程中我們發(fā)現(xiàn)沒(méi)有ISAKMP包，那是因?yàn)橐呀?jīng)認(rèn)證完畢了，我們抓個(gè)ICMP包來(lái) 看看。抓取的數(shù)據(jù)包如下：計(jì)算機(jī)學(xué)院發(fā)出的包：082424+x40+x 48+x BitsFLG!01111 1

47、 UADDRESS： 0XC9DATA： (VARIABLE LENGTH)FCS： 0x0FLG： 01111 1 1 CIP048161931 BiTS4| IHLDSCP：0x0TL： 128ID: 0xb40x00x0TTL： 255PRO： 0X1CHKSUMSRC IP: DSTIP： OPT: 0x0|0x0DATA (VARIABLE LENGTH)ICMP081631 BitsTYPE： 0x8 | CODE： 0x0CHECKSUMID： 0x2SEQ NUMBER.： 1經(jīng)由網(wǎng)絡(luò)信息中心發(fā)出的包IP048161931 Bits4| I

48、HLDSCP： 0x0TL： 20ID: 0x22a0x0 |0x0TTL： 255PRO: Ox2fCHKSUMSRC IP: DST IP: OPT: 0x0|0x0DATA (VARIABLE LENGTH)GRE081631 BitsFLAGS： 0PROTOCOL TYPE: 0x800IP048161931 Bits4IHLDSCP： 0x0TL： 128ID: Oxcd0x00x0TTL： 254PRO: 0x1CHKSUMSRC IP： DST IP: OPT： 0x00x0DATA (VARIABL

49、E LENGTH)這里因?yàn)檎J(rèn)證時(shí)間很短，所以我們沒(méi)有看到ISAKMP包至此，連接INTERNET部分已經(jīng)全部暢通（二）局域網(wǎng)建設(shè)讓局域網(wǎng)下的客戶機(jī)可以通過(guò)交換設(shè)備連接校園網(wǎng)，并訪問(wèn)INTERNET有時(shí)，當(dāng)一個(gè)局域網(wǎng)下要?jiǎng)澐殖霾煌^(qū)域，讓不同的小區(qū)域之間不發(fā)生廣 播轉(zhuǎn)發(fā)，這時(shí)就要?jiǎng)澐諺LAN。VLAN即虛擬局域網(wǎng)，是一種通過(guò)局域網(wǎng)內(nèi)的設(shè)備邏 輯的劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組技術(shù)。VLAN優(yōu)點(diǎn)：1 .限制廣播域。廣播域被限制在一個(gè)VLAN內(nèi)，節(jié)省了帶寬，提高了網(wǎng)絡(luò)處理 能力。2 .增強(qiáng)局域網(wǎng)的安全性。不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用

50、戶直接通信，如果不同VLAN要進(jìn)行通 信，則需要通過(guò)路由器或三層交換機(jī)等三層設(shè)備。3 .靈活構(gòu)建虛擬工作組。用VLAN可以劃分不同的用戶到不同的工作組，同一 工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡(luò)構(gòu)建和維護(hù)更方便靈 活。以下分別是我們主校區(qū)和分校區(qū)局域網(wǎng)建設(shè)的具體規(guī)劃與配置。1）主校區(qū)主校區(qū)的學(xué)院較多，這里主要以醫(yī)學(xué)院為主來(lái)介紹。醫(yī)學(xué)院作為人數(shù)最多的 一個(gè)學(xué)院，所需要的網(wǎng)絡(luò)接入量相對(duì)較大。如果采用傳統(tǒng)的局域網(wǎng)接入技術(shù)，則 會(huì)出現(xiàn)極大的廣播域，很容易產(chǎn)生廣播風(fēng)暴。同時(shí)，由于無(wú)劃分的局域網(wǎng)內(nèi)部之 間是以廣播形式通信，大大降低了安全性，所以我們需要?jiǎng)澐侄鄠€(gè)VLAN。而VLAN 間通信需要有

51、路由或三層交換機(jī)來(lái)實(shí)現(xiàn)。綜合考慮，我們使用三層交換機(jī)。三層交換機(jī)：出于安全和管理方便的考慮，主要是為了減小廣播風(fēng)暴的危 害，必須把大型局域網(wǎng)按功能或地域等因素劃成一個(gè)個(gè)小的局域網(wǎng)，這就使VLAN 技術(shù)在網(wǎng)絡(luò)中得以大量應(yīng)用，而各個(gè)不同VLAN間的通信都要經(jīng)過(guò)路由器來(lái)完成轉(zhuǎn) 發(fā)，隨著網(wǎng)間互訪的不斷增加。單純使用路由器來(lái)實(shí)現(xiàn)網(wǎng)間訪問(wèn)，不但由于端口 數(shù)量有限，而且路由速度較慢，從而限制了網(wǎng)絡(luò)的規(guī)模和訪問(wèn)速度?；谶@種情 況三層交換機(jī)便應(yīng)運(yùn)而生，三層交換機(jī)是為IP設(shè)計(jì)的，接口類型簡(jiǎn)單，擁有很強(qiáng) 二層包處理能力，非常適用于大型局域網(wǎng)內(nèi)的數(shù)據(jù)路由與交換，它既可以工作在 協(xié)議第三層替代或部分完成傳統(tǒng)路由器的功

52、能，同時(shí)又具有幾乎第二層交換的速 度，且價(jià)格相對(duì)便宜些。在企業(yè)網(wǎng)和教學(xué)網(wǎng)中，一般會(huì)將三層交換機(jī)用在網(wǎng)絡(luò)的核心層，用三層交換 機(jī)上的千兆端口或百兆端口連接不同的子網(wǎng)或VLAN。不過(guò)應(yīng)清醒認(rèn)識(shí)到三層交換 機(jī)出現(xiàn)最重要的目的是加快大型局域網(wǎng)內(nèi)部的數(shù)據(jù)交換，所具備的路由功能也多 是圍繞這一目的而展開的，所以它的路由功能沒(méi)有同一檔次的專業(yè)路由器強(qiáng)。畢 竟在安全、協(xié)議支持等方面還有許多欠缺，并不能完全取代路由器工作。在實(shí)際應(yīng)用過(guò)程中，典型的做法是：處于同一個(gè)局域網(wǎng)中的各個(gè)子網(wǎng)的互聯(lián) 以及局域網(wǎng)中VLAN間的路由，用三層交換機(jī)來(lái)代替路由器，而只有局域網(wǎng)與公網(wǎng) 互聯(lián)之間要實(shí)現(xiàn)跨地域的網(wǎng)絡(luò)訪問(wèn)時(shí)，才通過(guò)專業(yè)路由

53、器。我們的思路如下：在醫(yī)學(xué)院使用一個(gè)三層交換機(jī)，負(fù)責(zé)局域網(wǎng)下的通信。下分兩個(gè)交換機(jī)，負(fù) 責(zé)局域網(wǎng)下不同區(qū)域的通信。在SWITCH。上我們劃分了 VLAN2和VLAN3,在SWITCH1 上我們劃分了 VLAN4和VLAN5oIP設(shè)置如下:設(shè)備名稱接口/vlanIPSwichOF0/4-9VLAN2F0/10-15VLAN3SwichlF0/4-9VLAN4F0/10-15VLAN5醫(yī)學(xué)院Vlanl192. 168. 1. 2Vlan2211. 1.1. 1VlanS211. 1.2. 1Vlan4211. 1.3. 1Vlan5211. 1.4.1配置如下：分別在交換機(jī)1和交換機(jī)2上創(chuàng)建兩個(gè)VLAN,并且設(shè)置VLAN劃分的接口范圍，并 配置接口模式。這里使用的命令：交換機(jī)1:特權(quán)模式下：#vlan datab