校園局域網(wǎng)規(guī)劃與設(shè)計(jì)(cisco仿真模擬)

精選優(yōu)質(zhì)文檔-----傾情為你奉上/r/n精選優(yōu)質(zhì)文檔-----傾情為你奉上/r/n專心---專注---專業(yè)/r/n專心---專注---專業(yè)/r/n精選優(yōu)質(zhì)文檔-----傾情為你奉上/r/n專心---專注---專業(yè)/r/n校園局域網(wǎng)的規(guī)劃/r/n[摘要]/r/n身處于注重效率的信息時(shí)代/r/n，/r/n校園局域網(wǎng)作為高等學(xué)校提升教育實(shí)力和競(jìng)爭(zhēng)力的重要措施必須著重建設(shè)，一個(gè)技術(shù)先進(jìn)、運(yùn)行可靠/r/n而又經(jīng)濟(jì)試用的校園局域網(wǎng)是提高高等院校教育水平的一個(gè)保證。/r/n本文實(shí)例闡述了校園局域網(wǎng)建設(shè)的必要性和重要性，研究分析了當(dāng)今主流的局域網(wǎng)技術(shù)、網(wǎng)絡(luò)設(shè)計(jì)方法和互聯(lián)方法等，對(duì)技術(shù)、設(shè)備、總體規(guī)劃等提出有價(jià)值的建議或意見(jiàn)，以實(shí)用、先進(jìn)、經(jīng)濟(jì)為設(shè)計(jì)出發(fā)點(diǎn)，提出建設(shè)校園局域網(wǎng)的可行性方案，結(jié)合校園局域網(wǎng)的不安全因素，制定出相應(yīng)的安全策略。/r/n[關(guān)鍵詞]/r/n路由配置服務(wù)器配置/r/n訪問(wèn)控制表技術(shù)/r/n目錄/r/n/r/n引言/r/n研究背景/r/n近年來(lái)，隨著教學(xué)手段的不斷進(jìn)步以及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在學(xué)校中應(yīng)用的日益普及，校園網(wǎng)絡(luò)化、教學(xué)智能化成為各學(xué)校競(jìng)相角逐的熱點(diǎn)，校園網(wǎng)已成為各學(xué)校必備的重要信息基礎(chǔ)設(shè)施，其規(guī)模和應(yīng)用水平已成為衡量學(xué)校教學(xué)與科研綜合實(shí)力的一個(gè)重要標(biāo)志。/r/n校園網(wǎng)的建設(shè)將為“數(shù)字化校園”提供高可靠性的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和高性能的服務(wù)在一個(gè)平臺(tái)上，讓整個(gè)學(xué)校的教學(xué)、科研、管理和服務(wù)工作都實(shí)現(xiàn)信息化和網(wǎng)絡(luò)化，使教師、學(xué)生、科研人員和行政管理人員等都可以最方便地實(shí)現(xiàn)信息的交流、進(jìn)行協(xié)同工作和資源共享，搞好校園網(wǎng)的建設(shè)/r/n，有利于增強(qiáng)學(xué)校辦學(xué)水平與社會(huì)競(jìng)爭(zhēng)力。因此，建設(shè)高效實(shí)用的高級(jí)/r/n校園網(wǎng)，是大勢(shì)所趨。/r/n課題研究研究目標(biāo)/r/n發(fā)展校園局域網(wǎng)應(yīng)有長(zhǎng)遠(yuǎn)的規(guī)劃，爭(zhēng)取利用現(xiàn)有的網(wǎng)絡(luò)技術(shù)和通信技術(shù)，將校園局域網(wǎng)建設(shè)成經(jīng)濟(jì)實(shí)用的現(xiàn)代化校園網(wǎng)，同時(shí)實(shí)現(xiàn)與其他兄弟院校之間的相互聯(lián)系和信息資源共享，逐漸實(shí)現(xiàn)教育科研信息共享，各種功能齊全的網(wǎng)絡(luò)管理系統(tǒng)。/r/n校園局域網(wǎng)項(xiàng)目實(shí)現(xiàn)后，將極大的提升學(xué)校在日常教學(xué)信息管理、人員辦公自動(dòng)化、計(jì)算機(jī)輔助教學(xué)、教學(xué)資源制作的自動(dòng)化、圖書和情報(bào)檢索等重要服務(wù)上的效率。/r/n校園局域網(wǎng)規(guī)劃設(shè)計(jì)目標(biāo)：/r/n實(shí)現(xiàn)校園內(nèi)部資源共享/r/n學(xué)校領(lǐng)導(dǎo)和教師能通過(guò)及時(shí)、準(zhǔn)確地查詢教學(xué)活動(dòng)中的信息，掌握當(dāng)前教學(xué)情況。并通過(guò)對(duì)信息的統(tǒng)計(jì)、匯總及分析，為教學(xué)、科研管理提供服務(wù)，/r/n同時(shí)對(duì)學(xué)校各級(jí)管理層對(duì)學(xué)校的規(guī)劃、組織、決策提供了便捷的信息渠道和科學(xué)的管理手段，及時(shí)有效的指定、修改教學(xué)計(jì)劃。/r/n完備的數(shù)據(jù)庫(kù)管理系統(tǒng)和資源庫(kù)/r/n能夠支持大量的圖文聲像素材、多媒體課件片段，數(shù)據(jù)文件的收集、管理、存儲(chǔ)的提取。數(shù)據(jù)算法需要檢索方便，容錯(cuò)性強(qiáng)。/r/n以教學(xué)資源庫(kù)為核心的教學(xué)自學(xué)環(huán)境/r/n為學(xué)校教師提供制作環(huán)境、備課工具、良好的教學(xué)演播環(huán)境以及教學(xué)評(píng)估機(jī)制。為學(xué)生提供自主學(xué)習(xí)、交互式協(xié)作學(xué)習(xí)、發(fā)現(xiàn)探究式學(xué)習(xí)的良好學(xué)習(xí)環(huán)境和提供自我評(píng)價(jià)機(jī)制。利用現(xiàn)代教育技術(shù)，提高學(xué)生的素質(zhì)，改革課堂教學(xué)模式。/r/n現(xiàn)代化管理方法和管理手段/r/n加強(qiáng)對(duì)學(xué)校的人、財(cái)、物的管理，提高辦公效率、降低成本消耗，逐步實(shí)現(xiàn)辦公自動(dòng)化、網(wǎng)絡(luò)化。/r/n實(shí)現(xiàn)校園網(wǎng)與互聯(lián)網(wǎng)的連接/r/n建立學(xué)校主頁(yè)、教師主頁(yè)、學(xué)生個(gè)人主頁(yè)、電子郵箱、電子公告牌等信息發(fā)布窗口，發(fā)布有關(guān)教育教學(xué)信息，建立起學(xué)校、教師、家長(zhǎng)、學(xué)生之間的信息交流平臺(tái)，并逐步發(fā)展建設(shè)成為一個(gè)面向全省、全國(guó)的教育教學(xué)信息網(wǎng)站。/r/n校園網(wǎng)總體規(guī)劃設(shè)計(jì)/r/n網(wǎng)絡(luò)的總體/r/n設(shè)計(jì)是建設(shè)校園網(wǎng)的工程藍(lán)圖，是搭建一個(gè)安全有效校園網(wǎng)一個(gè)最重要的任務(wù)。進(jìn)行總體設(shè)計(jì)首先需要對(duì)象研究和需求調(diào)查，對(duì)學(xué)校的信息化要求有個(gè)明確的描述。其次在需求分析的基礎(chǔ)上進(jìn)行網(wǎng)絡(luò)總體架構(gòu)的規(guī)劃，確定學(xué)校/r/nI/r/nn/r/nternet服務(wù)類型，進(jìn)而確定建設(shè)的具體目標(biāo)，在這基礎(chǔ)上來(lái)設(shè)計(jì)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，規(guī)劃設(shè)計(jì)原則。/r/n校園局域網(wǎng)需求/r/n本文校園網(wǎng)工程假設(shè)范圍主要有教學(xué)樓、圖書管、學(xué)生宿舍樓及實(shí)驗(yàn)樓在內(nèi)四個(gè)局域網(wǎng)部分。/r/n校園局域網(wǎng)的主要需求是高速、安全、便捷地傳送信息，且能夠安全穩(wěn)定的運(yùn)行，在某些時(shí)刻承受高強(qiáng)度的訪問(wèn)，至少能滿足千人以上的網(wǎng)絡(luò)應(yīng)用需求。初期設(shè)計(jì)對(duì)響應(yīng)時(shí)間不做特殊要求，但為了存儲(chǔ)數(shù)據(jù)和備份數(shù)據(jù)，網(wǎng)管中心必須建立磁盤陣列。/r/n最大限度地考慮采用符合發(fā)展趨勢(shì)的新技術(shù)，網(wǎng)絡(luò)設(shè)備必須采用成熟先進(jìn)的技術(shù)，所采用的標(biāo)準(zhǔn)要求統(tǒng)一，支持目前業(yè)界最新的網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)的標(biāo)準(zhǔn)必須符合國(guó)際/r/n//r/n國(guó)家標(biāo)準(zhǔn)，并且擁有廣泛的支持廠商；網(wǎng)絡(luò)設(shè)備要求具有高可靠性、高穩(wěn)定性和高可用性；/r/n網(wǎng)絡(luò)設(shè)備要求提供足夠的寬帶，以適應(yīng)校園網(wǎng)上信息結(jié)構(gòu)多樣化，要求支持虛擬網(wǎng)和第三層交換，形成分布式三層交換網(wǎng)；/r/n網(wǎng)絡(luò)設(shè)備要求具有擴(kuò)展性和可升級(jí)性，能夠適應(yīng)用戶數(shù)量的擴(kuò)展，能夠保證未來(lái)網(wǎng)絡(luò)升級(jí)時(shí)的平穩(wěn)銜接，保證網(wǎng)絡(luò)通信介質(zhì)、網(wǎng)絡(luò)基本設(shè)計(jì)核心的向后兼容性；要求網(wǎng)絡(luò)易于管理，支持網(wǎng)絡(luò)的拓?fù)湟晥D、網(wǎng)段與端口的監(jiān)控；/r/n網(wǎng)絡(luò)流量及錯(cuò)誤統(tǒng)計(jì)，具備計(jì)費(fèi)管理、故障定位、診斷、修復(fù)和自動(dòng)隔離等功能；要求網(wǎng)絡(luò)具有高的安全性。在要求網(wǎng)絡(luò)具有開(kāi)放性的同時(shí)，要求保證其安全性。/r/n網(wǎng)絡(luò)總體架構(gòu)規(guī)劃/r/n網(wǎng)絡(luò)技術(shù)選擇/r/n目前常見(jiàn)的局域網(wǎng)類型包括：光纖分布式數(shù)據(jù)接口/r/n(FDDI)/r/n、異步傳輸模式/r/n(ATM)/r/n、千兆以太網(wǎng)等，它們?cè)谕負(fù)浣Y(jié)構(gòu)、傳輸介質(zhì)、傳輸速率、數(shù)據(jù)格式等多方面都有許多不同。三種技術(shù)比較如下表/r/n1-1/r/n所示。/r/n表/r/n1-1網(wǎng)絡(luò)技術(shù)對(duì)比表/r/n項(xiàng)目/r/nFDDI/r/nATM/r/n千兆以太網(wǎng)/r/n傳輸速率/r/n100M/r/n155M/622M/r/n10~1000M/r/n訪問(wèn)方式/r/nTokenProtocol/r/n信元交換/r/n帶優(yōu)先級(jí)的/r/nCSMA/CD/r/n介質(zhì)類型/r/n雙絞線、光纖/r/n雙絞線、光纖/r/n雙絞線、光纖/r/n價(jià)格/r/n高/r/n中/r/n中/r/n拓?fù)浣Y(jié)構(gòu)/r/n雙環(huán)結(jié)構(gòu)/r/n星型結(jié)構(gòu)/r/n星型結(jié)構(gòu)/r/n從表中明顯看出千兆以太網(wǎng)技術(shù)優(yōu)勢(shì)明顯，/r/n它支持/r/n10M/r/n、/r/n100M/r/n乃至/r/n1000M/r/n的各種通信速率，并有向更高帶寬/r/n(10G/r/n及以上/r/n)/r/n發(fā)展的趨勢(shì)。如今正在發(fā)展的/r/nIP/r/n交換技術(shù)也是基于以太網(wǎng)的，結(jié)合第三層交換機(jī)的路由功能，構(gòu)造幾個(gè)乃至幾十、幾百個(gè)/r/nG/r/n帶寬的網(wǎng)絡(luò)。另外，由于主要業(yè)務(wù)系統(tǒng)是建立在/r/nIP/r/n平臺(tái)上的，以太網(wǎng)技術(shù)是/r/nIP/r/n網(wǎng)絡(luò)最好的通信技術(shù)之一。采用/r/nIEEE802.1q/r/n標(biāo)準(zhǔn)以太網(wǎng)可以實(shí)現(xiàn)/r/nVLAN/r/n，而/r/nVLAN/r/n在很大程度上是保證網(wǎng)絡(luò)高效和安全的重要手段。/r/n校園網(wǎng)絡(luò)拓?fù)?r/n網(wǎng)絡(luò)結(jié)構(gòu)采用星形網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以網(wǎng)絡(luò)中心的核心交換機(jī)為中心節(jié)點(diǎn)。整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)采用兩層結(jié)構(gòu)：匯聚層交換機(jī)用于匯接技術(shù)接入交換機(jī)，接入層交換機(jī)用于接到桌面的計(jì)算機(jī)，對(duì)信息點(diǎn)較多的部門可采用級(jí)聯(lián)下一級(jí)普通交換機(jī)進(jìn)行訪問(wèn)。/r/n校園網(wǎng)絡(luò)工程涉及的主要建筑包括教學(xué)樓、宿舍樓、圖書館、實(shí)驗(yàn)樓等/r/n。/r/n校園網(wǎng)總/r/n拓?fù)湓O(shè)計(jì)/r/n如圖/r/n1-1/r/n所示。/r/n圖/r/n1-/r/n1/r/n校園網(wǎng)/r/n總拓?fù)鋱D/r/n中心機(jī)房設(shè)置一臺(tái)千兆核心交換機(jī)，負(fù)責(zé)整個(gè)校園網(wǎng)所有節(jié)點(diǎn)的數(shù)據(jù)交換，在教學(xué)樓，宿舍樓，圖書館，實(shí)驗(yàn)樓等地方分別設(shè)置二級(jí)交換機(jī)節(jié)點(diǎn)，接入層交換機(jī)通過(guò)二級(jí)節(jié)點(diǎn)與核心交換機(jī)連接/r/n。/r/n聯(lián)網(wǎng)技術(shù)上采用三層的交換網(wǎng)絡(luò)，主干網(wǎng)絡(luò)采用交換式/r/n1000M/r/n以太網(wǎng)連接技術(shù)，主要用于各樓間核心設(shè)備之間以及上連到廣域網(wǎng)設(shè)備。辦公樓、教學(xué)樓、圖書館、宿舍樓之間采用光纖以全連接拓?fù)浣Y(jié)構(gòu)通過(guò)/r/n1000M/r/n交換機(jī)進(jìn)行連接。接入層采用快速交換式以太網(wǎng)通過(guò)/r/n5/r/n類雙絞線按照星型拓?fù)浣Y(jié)構(gòu)進(jìn)行連接，使內(nèi)網(wǎng)可以達(dá)到百兆。整個(gè)校園網(wǎng)設(shè)計(jì)有一個(gè)外網(wǎng)出口到/r/nInternet/r/n，帶寬為/r/n100M/r/n。/r/n網(wǎng)絡(luò)設(shè)備選型/r/n核心層網(wǎng)絡(luò)/r/n核心層作為校園網(wǎng)系統(tǒng)的心臟，實(shí)現(xiàn)子網(wǎng)之間的路由，提供全線速的數(shù)據(jù)交換，當(dāng)網(wǎng)絡(luò)流量較大時(shí)，對(duì)關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量提供保證。另外，作為整個(gè)網(wǎng)絡(luò)的交換中心，在保證高性能、無(wú)阻塞交換的同時(shí)，還必須保證網(wǎng)絡(luò)穩(wěn)定可靠的運(yùn)行。因此在核心設(shè)備的選型和結(jié)構(gòu)設(shè)計(jì)上必須兼顧考慮整體網(wǎng)絡(luò)的高性能和高可靠性。/r/n考慮到學(xué)校網(wǎng)絡(luò)應(yīng)用的復(fù)雜性和多樣性，核心層網(wǎng)絡(luò)交換機(jī)的選型必須具備高性能、高可靠性和高可擴(kuò)展性，主要包括，硬件如電源、管理模塊、交換模塊等是否支持冗余配置，軟件如是否提供路由器冗余、端口聚合（/r/nPortTrunking/r/n）、生成樹(shù)協(xié)議（/r/nSTP/r/n、/r/nRSTP/r/n）等實(shí)現(xiàn)可靠性功能的協(xié)議。/r/n結(jié)合以上要求，本次設(shè)計(jì)選用高性能、多協(xié)議的/r/nCiscoCatalyst6509/r/n模塊化交換機(jī)作為園區(qū)網(wǎng)絡(luò)的核心。/r/nCisco6509/r/n交換機(jī)參數(shù)配置如/r/n下：/r/n產(chǎn)品類型：企業(yè)級(jí)交換機(jī)/r/n應(yīng)用層級(jí)：四層/r/n傳輸速率：/r/n10/100/1000Mbps/r/n交換方式：存儲(chǔ)/r/n-/r/n轉(zhuǎn)發(fā)/r/n背板帶寬：/r/n720Gbps/r/n包轉(zhuǎn)發(fā)率：/r/n387Mpps/r/nMAC/r/n地址表：/r/n64K/r/n端口結(jié)構(gòu)：模塊化/r/n擴(kuò)展模塊：/r/n9/r/n個(gè)模塊化插槽/r/n傳輸模式：支持全雙工/r/n網(wǎng)絡(luò)標(biāo)準(zhǔn)：/r/nIEEE802.3/r/n，/r/nIEEE802.3u/r/n，/r/nIEEE802.1s/r/n，/r/nIEEE802.1w/r/n/ad/r/nVLAN/r/n：支持/r/nQOS/r/n：支持/r/n網(wǎng)絡(luò)管理：/r/nCiscoWorks2000/r/n，/r/nRMON/r/n，增強(qiáng)交換端口分析器（/r/nESPAN/r/n），/r/nSNMP/r/n，/r/nTelnet/r/n，/r/nBOOTP/r/n，/r/nTFTP/r/n匯聚層網(wǎng)絡(luò)/r/n匯聚層介于核心層和接入層之間，主要負(fù)責(zé)接入交換機(jī)的匯聚，并與核心交換機(jī)互聯(lián)，分級(jí)實(shí)現(xiàn)校園網(wǎng)/r/nVLAN/r/n之間的路由，進(jìn)行子網(wǎng)內(nèi)部數(shù)據(jù)的交換、轉(zhuǎn)發(fā)，提供流量控制和用戶管理。/r/n根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，該院有教學(xué)樓、實(shí)驗(yàn)樓、學(xué)生宿舍區(qū)、服務(wù)器群、圖書館等/r/n5/r/n個(gè)匯聚節(jié)點(diǎn)，均選用/r/nCiscoCatalyst4506/r/n交換機(jī)提供本區(qū)域內(nèi)的第三層交換和路由功能。同時(shí)把整個(gè)網(wǎng)絡(luò)區(qū)域根據(jù)部門或功能劃分到這五個(gè)匯聚節(jié)點(diǎn)，進(jìn)行/r/nVLAN/r/n劃分和管理，并實(shí)現(xiàn)/r/nVLAN/r/n間的通信及訪問(wèn)控制。/r/nCatalyst4500/r/n系列交換機(jī)是中端、中等密度的模塊化交換機(jī)，它們提供了強(qiáng)大的/r/n2/3/4/r/n層智能服務(wù)。每臺(tái)/r/nCisco4506/r/n交換機(jī)配置一塊/r/n4/r/n口萬(wàn)兆模塊，用于和核心層交換機(jī)以及部分關(guān)鍵匯聚層設(shè)備實(shí)現(xiàn)萬(wàn)兆互連，同時(shí)配置一塊/r/n18/r/n口千兆光纖模塊，用于與接入層交換機(jī)的互聯(lián)及今后發(fā)展的備用插槽。/r/nCisco4506/r/n主要參數(shù)/r/n：/r/n產(chǎn)品類型：企業(yè)級(jí)交換機(jī)/r/n應(yīng)用層級(jí)：四層/r/n傳輸速率：/r/n10/100/1000Mbps/r/n交換方式：存儲(chǔ)/r/n-/r/n轉(zhuǎn)發(fā)/r/n背板帶寬：/r/n100Gbps/r/n包轉(zhuǎn)發(fā)率：/r/n75Mpps/r/n端口結(jié)構(gòu)：模塊化/r/n擴(kuò)展模塊：/r/n1/r/n個(gè)超級(jí)引擎插槽數(shù)/r/n+5/r/n個(gè)線路卡插槽/r/n傳輸模式：支持全雙工/r/n網(wǎng)絡(luò)標(biāo)準(zhǔn)：/r/nIEEE802.3/r/n，/r/nIEEE802.3u/r/n，/r/nIEEE802.3/r/n，/r/nIEEE802.3z/r/n，/r/nIEEE802.3x/r/n，/r/nIEEE802.3ab/r/nVLAN/r/n：支持/r/nQOS/r/n：支持/r/n網(wǎng)絡(luò)管理：/r/nSNMP/r/n管理信息庫(kù)/r/n(MIB)II/r/n，/r/nSNMPMIB/r/n擴(kuò)展，橋接/r/nMIB(RFC1493)/r/n接入層網(wǎng)絡(luò)/r/n接入層作為用戶接入網(wǎng)絡(luò)的終端，該層主要功能是：提供各種標(biāo)準(zhǔn)接口將數(shù)據(jù)接入到網(wǎng)絡(luò)和確定基于端口的/r/nVLAN/r/n成員及數(shù)據(jù)流過(guò)濾。/r/n接入層網(wǎng)絡(luò)使用/r/nCiscoCatalyst2960/r/n每個(gè)交換組最多提供/r/n144/r/n個(gè)終端的接入。其主要功能是為園區(qū)網(wǎng)用戶提供高性價(jià)比的/r/n10/100/r/n兆網(wǎng)絡(luò)接口，實(shí)現(xiàn)用戶的寬帶接入。并與匯聚層通過(guò)千兆鏈路互連，為接入用戶提供高速/r/n上連/r/n。/r/nCiscoCatalyst2960/r/n主要參數(shù)/r/n：/r/nCISCOWS-C2960-24-S/r/n主要參數(shù)：/r/n產(chǎn)品類型：智能交換機(jī)/r/n應(yīng)用層級(jí)：二層/r/n傳輸速率：10/100Mbps/r/n產(chǎn)品內(nèi)存：DRAM內(nèi)存：64MB/r/nFLASH內(nèi)存：32MB/r/n交換方式：存儲(chǔ)-轉(zhuǎn)發(fā)/r/n背板帶寬：16Gbps/r/n包轉(zhuǎn)發(fā)率：3.6Mpps/r/nMAC地址表：8K/r/n路由器/r/n選擇/r/n校園網(wǎng)/r/n邊界/r/n路由器選擇/r/nCISCO2911/K9/r/n主要參數(shù)/r/n：/r/n路由器類型：多業(yè)務(wù)路由器/r/n網(wǎng)絡(luò)協(xié)議：/r/nIPv4/r/n，/r/nIPv6/r/n，靜態(tài)路由，/r/nIGMPv3/r/n，/r/nPIMSM/r/n，/r/nDVMRP/r/n，/r/nIPSec/r/n傳輸速率：/r/n10/100/1000Mbps/r/n端口結(jié)構(gòu)：模塊化/r/n廣域網(wǎng)接口：/r/n3/r/n個(gè)/r/n其它端口：/r/n2/r/n個(gè)外部/r/nUSB/r/n閃存插槽/r/n1/r/n個(gè)/r/nUSB/r/n控制臺(tái)端口/r/n1/r/n個(gè)串行控制臺(tái)端口/r/n1/r/n個(gè)串行輔助端口/r/n防火墻：內(nèi)置防火墻/r/nQos/r/n支持：支持/r/nVPN/r/n支持：支持/r/n產(chǎn)品內(nèi)存：/r/nDRAM/r/n內(nèi)存：/r/n512MB/r/n，最大/r/n2GB/r/nFLASH/r/n內(nèi)存：/r/n256MB/r/n其它性能：基于硬件的嵌入式密碼加速（/r/nIPSec+SSL/r/n）/r/n服務(wù)器選擇/r/n服務(wù)器群組統(tǒng)一使用計(jì)算機(jī)代替/r/n，/r/n上面搭建/r/nwin2003Server/r/n企業(yè)高級(jí)版/r/n。/r/n綜上所述/r/n，我們的網(wǎng)絡(luò)設(shè)備選型方案為，核心層采用Cisco/r/nC/r/n3560/r/nX/r/n核心交換機(jī)，匯聚層采用Cisco/r/n4506/r/n智能交換機(jī)，接入層采用Cisco2960/r/n網(wǎng)管交換機(jī)，內(nèi)置防火墻的/r/nCISCO2911/K9/r/n多業(yè)務(wù)路由器。/r/n及安全防御措施/r/n隨著網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益突出，/r/n黑客攻擊、網(wǎng)絡(luò)病毒等在日常日常生活中屢見(jiàn)不鮮/r/n，/r/n各種各樣的安全問(wèn)題開(kāi)始困擾網(wǎng)絡(luò)管理人員。/r/n這些安全問(wèn)題/r/n主要表現(xiàn)在：不良信息的傳播，病毒的危害，非法訪問(wèn)，惡意破壞，口令入侵等/r/n[1]/r/n。/r/n隨著關(guān)鍵應(yīng)用的普及和深入，網(wǎng)絡(luò)用戶的快速增加，/r/n校園網(wǎng)絡(luò)從早期教育、科研的試驗(yàn)網(wǎng)角色已經(jīng)轉(zhuǎn)變成為教育、科研和服務(wù)并重的帶有運(yùn)營(yíng)性質(zhì)的網(wǎng)絡(luò)，如何保證網(wǎng)絡(luò)信息安全已經(jīng)成為影響/r/n學(xué)校的/r/n存與/r/n發(fā)展/r/n亟待解決的關(guān)鍵問(wèn)題之一。另外，一個(gè)高效、實(shí)用且安全的網(wǎng)絡(luò)環(huán)境，/r/n對(duì)于教師、學(xué)生、管理人員的信息傳遞，信息搜集，教育學(xué)習(xí)等都有著十分重要而深遠(yuǎn)的意義/r/n[1]/r/nWilliamStallings著.網(wǎng)絡(luò)安全基礎(chǔ).北京:清華大學(xué)出版社,2010.07/r/n[1]/r/nWilliamStallings著.網(wǎng)絡(luò)安全基礎(chǔ).北京:清華大學(xué)出版社,2010.07/r/n本次設(shè)計(jì)的/r/n三層校園局域網(wǎng)/r/n中采用邊界路由、核心交換機(jī)在內(nèi)的二層安全防御。第一層保護(hù)有邊界路由實(shí)現(xiàn)。選用具有防火墻功能的/r/nCisco/r/n路由器，路由器上配置訪問(wèn)控制列表，通過(guò)訪問(wèn)規(guī)則，控制和過(guò)濾經(jīng)過(guò)路由器的數(shù)據(jù)流，隔離外網(wǎng)和內(nèi)網(wǎng)，/r/n防止外部用戶對(duì)內(nèi)部網(wǎng)絡(luò)不安全的訪問(wèn)，可有效防止各服務(wù)器受到來(lái)自外部的破壞。第二層防護(hù)由核心交換機(jī)提供。核心交換機(jī)上部署防火墻模塊，可有效地防止內(nèi)部攻擊/r/n[2]/r/n（美）yusufbhaiji(著)田果;劉丹寧(譯).網(wǎng)絡(luò)安全技術(shù)與解決方案（修訂版），人民郵電出版社，2010-01-01.35-57/r/n[2]/r/n（美）yusufbhaiji(著)田果;劉丹寧(譯).網(wǎng)絡(luò)安全技術(shù)與解決方案（修訂版），人民郵電出版社，2010-01-01.35-57/r/n

/r/n本章小結(jié)/r/n本章通過(guò)對(duì)現(xiàn)有主要網(wǎng)/r/n絡(luò)技術(shù)的分析與比較，確定本校園網(wǎng)絡(luò)采用千兆以太網(wǎng)技術(shù)路線，并設(shè)計(jì)出校園/r/n網(wǎng)絡(luò)/r/n總拓?fù)?r/n，選擇了硬件設(shè)備的品牌型號(hào)，同時(shí)對(duì)校園網(wǎng)絡(luò)的安全形式和防御措施/r/n做出描述/r/n。/r/nVLAN/r/n劃分及參數(shù)配置/r/nVLAN/r/n劃分/r/nVLAN/r/n（/r/nVirtualLocalAreaNetwork/r/n）稱為虛擬局域網(wǎng)，是指在邏輯上將物理的/r/nLAN/r/n分成不同小的邏輯子網(wǎng)，每一個(gè)邏輯子網(wǎng)就是一個(gè)單獨(dú)的播域。簡(jiǎn)單地說(shuō)，就是將一個(gè)大的物理的局域網(wǎng)（/r/nLAN/r/n）在交換機(jī)上通過(guò)軟件劃分成若干個(gè)小的虛擬的局域網(wǎng)（/r/nVLAN/r/n）。因?yàn)榻粨Q機(jī)通信的原理就是要通過(guò)“廣播”來(lái)發(fā)現(xiàn)通往的目的/r/nMAC/r/n地址，以便在交換機(jī)內(nèi)部的/r/nMAC/r/n數(shù)據(jù)庫(kù)建立/r/nMAC/r/n地址表，而廣播不能跨越不同網(wǎng)段/r/n[3]/r/n。/r/n[3]/r/n梁廣民，王隆杰編著.思科網(wǎng)絡(luò)實(shí)驗(yàn)室CCNP(交換技術(shù))實(shí)驗(yàn)指南.電子工業(yè)出版社，2012年5月.42-52/r/n技術(shù)的出現(xiàn)，使得管理員根據(jù)實(shí)際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域，每一個(gè)/r/nVLAN/r/n都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的/r/nLAN/r/n有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個(gè)/r/nVLAN/r/n內(nèi)的各個(gè)工作站沒(méi)有限制在同一個(gè)物理范圍中，即這些工作站可以在不同物理/r/nLAN/r/n網(wǎng)段。由/r/nVLAN/r/n的特點(diǎn)可知，一個(gè)/r/nVLAN/r/n內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他/r/nVLAN/r/n中，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。/r/nVLAN/r/n除了能將網(wǎng)絡(luò)劃分為多個(gè)廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點(diǎn)外，還可以用于控制網(wǎng)絡(luò)中不同部門、不同站點(diǎn)之間的互相訪問(wèn)/r/n[4]/r/n[3]/r/n梁廣民，王隆杰編著.思科網(wǎng)絡(luò)實(shí)驗(yàn)室CCNP(交換技術(shù))實(shí)驗(yàn)指南.電子工業(yè)出版社，2012年5月.42-52/r/n[4]/r/n（美）戴伊（Dye,M.A.），（美）麥克唐納（McDonald,R.）,(美)魯菲（Rufi,A.W.）著.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程.CCNAExploration：網(wǎng)絡(luò)基礎(chǔ)知識(shí).人民郵電出版社，2009年1月.46-88/r/nVLAN/r/n基本上可以看成一個(gè)廣播域，在物理網(wǎng)絡(luò)的基礎(chǔ)上，能根據(jù)需要靈活地設(shè)置出許多邏輯網(wǎng)絡(luò)，從而擺脫了物理地域限制，以及因?yàn)槲挥诓季€柜或者路由器附近而造成的對(duì)用戶組的限制，能根據(jù)用戶實(shí)際需要靈活地建立邏輯的專用網(wǎng)絡(luò)，使網(wǎng)絡(luò)更安全、更便于管理、更暢通和帶寬更有保證。根據(jù)學(xué)院校園網(wǎng)使用實(shí)際情況，提出校園網(wǎng)/r/nVLAN/r/n的建設(shè)規(guī)劃，見(jiàn)表/r/n2-1/r/n。/r/n表/r/n2-1VLAN/r/n規(guī)劃表/r/n子網(wǎng)名稱/r/nIP/r/n網(wǎng)段/r/n默認(rèn)網(wǎng)關(guān)/r/n備注/r/n服務(wù)器群/r/n/24/r/n/r/nVlan2/r/n學(xué)生宿舍/r/n192./r/n168.2.0/24/r/n/r/nVlan3/r/n實(shí)驗(yàn)樓/r/n/24/r/n/r/nVlan4/r/n教學(xué)樓/r/n/24/r/n/r/nV/r/nlan/r/n5/r/n圖書館/r/n/24/r/n/r/nVlan6/r/nVLAN/r/n配置/r/n交換機(jī)的選擇/r/n交換機(jī)分為二層交換機(jī)和三層交換機(jī)兩種類型，其中二層交換機(jī)的工作原理是：/r/n（/r/n1/r/n）當(dāng)交換機(jī)從某個(gè)端口收到一個(gè)數(shù)據(jù)包，它先讀取包頭中的源/r/nMAC/r/n地址，這樣它就知道源/r/nMAC/r/n地址的機(jī)器是連在哪個(gè)端口上的/r/n[5]/r/n；/r/n[5]/r/n梁廣民，王隆杰編著.思科網(wǎng)絡(luò)實(shí)驗(yàn)室CCNP(路由技術(shù))實(shí)驗(yàn)指南.電子工業(yè)出版社，2012年3月.77-82/r/n2/r/n）再去讀取包頭中的目的/r/nMAC/r/n[5]/r/n梁廣民，王隆杰編著.思科網(wǎng)絡(luò)實(shí)驗(yàn)室CCNP(路由技術(shù))實(shí)驗(yàn)指南.電子工業(yè)出版社，2012年3月.77-82/r/n（/r/n3/r/n）如表中有與這目的/r/nMAC/r/n地址對(duì)應(yīng)的端口，把數(shù)據(jù)包直接復(fù)制到這端口上；/r/n（/r/n4/r/n）如表中找不到相應(yīng)的端口則把數(shù)據(jù)包廣播到所有端口上，當(dāng)目的機(jī)器對(duì)源機(jī)器回應(yīng)時(shí)，交換機(jī)又可以學(xué)習(xí)一目的/r/nMAC/r/n地址與哪個(gè)端口對(duì)應(yīng)，在下次傳送數(shù)據(jù)時(shí)就不再需要對(duì)所有端口進(jìn)行廣播了。/r/n不斷的循環(huán)這個(gè)過(guò)程，對(duì)于全網(wǎng)的/r/nMAC/r/n地址信息都可以學(xué)習(xí)到，二層交換機(jī)就是這樣建立和維護(hù)它自己的地址表。/r/n可以看出二層交換機(jī)沒(méi)有路由功能，當(dāng)不同的子網(wǎng)進(jìn)行通信是要借助路由器實(shí)現(xiàn)數(shù)據(jù)包的轉(zhuǎn)發(fā)，所以當(dāng)子網(wǎng)數(shù)量較多時(shí)，路由器的接口數(shù)量就成了一個(gè)瓶頸，而三層交換機(jī)就能解決這一缺點(diǎn)。/r/n三層交換機(jī)的最重要的功能是加快大型局域網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)的快速轉(zhuǎn)發(fā)，加入路由功能也是為這個(gè)目的服務(wù)的。因此具有路由功能的快速轉(zhuǎn)發(fā)的三層交換機(jī)就成為首選。/r/n核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸/r/n,/r/n核心層/r/n設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能最好盡量少在/r/n核心/r/n層上實(shí)施。核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以對(duì)核心層的設(shè)計(jì)以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格。/r/n基于端口/r/nvlan/r/n的劃分這是最常應(yīng)用的一種/r/nVLAN/r/n劃分方法，應(yīng)用也最為廣泛、最有效，目前絕大多數(shù)/r/nVLAN/r/n協(xié)議的交換機(jī)都提供這種/r/nVLAN/r/n配置方法。這種劃分/r/nVLAN/r/n的方法是根據(jù)以太網(wǎng)交換機(jī)的交換端口來(lái)劃分的，它是將/r/nVLAN/r/n交換機(jī)上的物理端口和/r/nVLAN/r/n交換機(jī)內(nèi)部的/r/nPVC/r/n（永久虛電路）端口分成若干個(gè)組，每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)獨(dú)立的/r/nVLAN/r/n交換機(jī)。從這種劃分方法本身我們可以看出，這種劃分的方法的優(yōu)點(diǎn)是定義/r/nVLAN/r/n成員時(shí)非常簡(jiǎn)單，只要將所有的端口都定義為相應(yīng)的/r/nVLAN/r/n組即可/r/n[6]/r/n。適合于任何大小的網(wǎng)絡(luò)。它的缺點(diǎn)是如果某用戶離開(kāi)了原來(lái)的端口，到了一個(gè)新的交換機(jī)的某個(gè)端口，必須重新定義。/r/n核心交換機(jī)/r/nCore-SW/r/n配置/r/n核/r/n心交換機(jī)配置/r/nVTPServer/r/n交換機(jī)/r/nVTP/r/n更新信息的所有計(jì)劃必須配置在同一管理域。所有交換機(jī)都通過(guò)中繼線相連，在核心交換機(jī)上設(shè)置了一個(gè)管理域，校園網(wǎng)上所有的交換機(jī)都加入該域，這樣同一管理域中的所有交換機(jī)就能夠了解彼此的/r/nVLAN/r/n列表。/r/n進(jìn)入/r/nVLAN/r/n配置模式/r/nCore-SW/r/n#vlandatabase/r/n設(shè)置/r/nVTP/r/n管理域名稱為/r/nxiaoyuan/r/nCore-SW/r/n(vlan)#vtpxiaoyuan/r/n設(shè)置交換機(jī)為服務(wù)器模式/r/nCore-SW/r/n(vlan)#vtpserver/r/n設(shè)置交換機(jī)為/r/nserver/r/n模式是指允許在本交換機(jī)上創(chuàng)建、修改、刪除/r/nVLAN/r/n及其它一些對(duì)整個(gè)/r/nVTP/r/n域的配置參數(shù)，同步本/r/nVTP/r/n域中其它交換機(jī)傳遞來(lái)的最新的/r/nVLAN/r/n信息；/r/nclient/r/n模式用于同步本/r/nVTP/r/n域中其他交換機(jī)傳遞來(lái)的/r/nVLAN/r/n信息，分支交換機(jī)設(shè)置為/r/nclient/r/n模式。/r/n配置中繼（/r/nT/r/nrunk/r/n）/r/n配置中繼，使/r/nVTP/r/n管理域能夠覆蓋所有的分支交換機(jī)。/r/nTrunk/r/n是一個(gè)在交換機(jī)之間、交換機(jī)與路由器之間傳遞/r/nVLAN/r/n信息和/r/nVLAN/r/n數(shù)據(jù)流的協(xié)議，將交換機(jī)之間直接相連的端口配置為/r/ndot1q/r/n封裝，就可跨越交換機(jī)進(jìn)行整個(gè)網(wǎng)絡(luò)的/r/nVLAN/r/n設(shè)置。/r/nCore-SW/r/n(config-if)#switchporttrunkencapsulationdot1q/r/nCore-SW/r/n(config-if)#switchportmodetrunk/r/nCore-SW/r/n(config-if)#intfa0/2/r/nCore-SW/r/n(config-if)#switchporttrunkencapsulationdot1q/r/nCore-SW/r/n(config-if)#switchportmodetrunk/r/nCore-SW/r/n(config-if)#intfa0/3/r/nCore-SW/r/n(config-if)#switchporttrunkencapsulationdot1q/r/nCore-SW/r/n(config-if)#switchportmodetrunk/r/nCore-SW/r/n(config-if)#intfa0/4/r/nCore-SW/r/n(config-if)#switchporttrunkencapsulationdot1q/r/nCore-SW/r/n(config-if)#switchportmodetrunk/r/nCore-SW/r/n(config-if)#intfa0/5/r/nCore-SW/r/n(config-if)#switchporttrunkencapsulationdot1q/r/nCore-SW/r/n(config-if)#switchportmodetrunk/r/nCore-SW/r/n(config-if)#intfa0/6/r/nCore-SW/r/n(config-if)#switchporttrunkencapsulationdot1q/r/nCore-SW/r/n(config-if)#switchportmodetrunk/r/n創(chuàng)建/r/nvlan/r/n及端口劃分/r/n在/r/nVTP/r/n屬性為/r/nserver/r/n的核心交換機(jī)上建立/r/nVLAN/r/n信息，它就會(huì)通過(guò)/r/nVTP/r/n通告整個(gè)管理域中的所有的交換機(jī)。另外，在相應(yīng)的交換機(jī)上配置將各自的端口劃入各個(gè)/r/nVLAN/r/n。/r/n如/r/n2-/r/n1/r/n所示/r/n圖/r/n2-/r/n1vlan/r/n劃分/r/n配置/r/nIP/r/n為了實(shí)現(xiàn)/r/nVLAN/r/n間的三層交換，再給各/r/nVLAN/r/n分配相應(yīng)的/r/nIP/r/n地址。采用分配靜態(tài)/r/nIP/r/n地址的方法，在核心交換機(jī)上設(shè)置如下：/r/nCore-SW/r/n(config-if)/r/n#/r/nintvlan1/r/nCore-SW/r/n(config-if)/r/n#/r/nipaddress/r/nCore-SW/r/n(config-if)/r/n#/r/nnoshut/r/nCore-SW/r/n(config-if)/r/n#/r/nintvlan2/r/nCore-SW/r/n(config-if)/r/n#/r/nipaddress/r/nCore-SW/r/n(config-if)/r/n#/r/nnoshut/r/nCore-SW/r/n(config-if)/r/n#/r/nintvlan3/r/nCore-SW/r/n(config-if)/r/n#/r/nipaddress/r/nCore-SW/r/n(config-if)/r/n#/r/nnoshut/r/nCore-SW/r/n(config-if)/r/n#/r/nintvlan4/r/nCore-SW/r/n(config-if)/r/n#/r/nipaddress/r/nCore-SW/r/n(config-if)/r/n#/r/nnoshut/r/nCore-SW/r/n(config-if)/r/n#/r/nintvlan5/r/nCore-SW/r/n(config-if)/r/n#/r/nipaddress/r/nCore-SW/r/n(config-if)/r/n#/r/nnoshut/r/nCore-SW/r/n(config-if)/r/n#/r/nintvlan6/r/nCore-SW/r/n(config-if)/r/n#/r/nipaddress/r/nCore-SW/r/n(config-if)/r/n#/r/nnoshut/r/nSW1/r/n開(kāi)啟路由/r/n中心交換機(jī)開(kāi)啟路由功能/r/nCore-SW/r/n(config)#intfa0/1/r/n///r/n關(guān)閉二層端口，配置/r/nIP/r/n地址/r/nCore-SW/r/n(config-if)#noswitchport/r/n///r/n三層端口，配置/r/nIP/r/nCore-SW/r/n(config-if)#ipadd192.168./r/n1/r/n0./r/n2/r/n/r/nCore-SW/r/n(config-if)#noshut/r/n///r/n開(kāi)啟路由功能/r/nCore-SW/r/n(config)#iprouting/r/n///r/n運(yùn)行/r/nrip/r/n協(xié)議/r/nCore-SW/r/n(config)#routerrip/r/nCore-SW/r/n(config-router)#ver2/r/nCore-SW/r/n(config-router)#noau/r/nCore-SW/r/n(config-router)#net/r/nCore-SW/r/n(config-router)#net/r/nCore-SW/r/n(config-router)#net/r/nCore-SW/r/n(config-router)#net/r/nCore-SW/r/n(config-router)#net/r/nCore-SW/r/n(config-router)#net/r/nCore-SW/r/n(/r/nconfig-router)#net/r/nServer-SW/r/n配置/r/n配置/r/nServer-SW/r/n中繼（/r/nTrunk/r/n）/r/nServer-SW/r/n(config-if)#/r/nvtpxiaoyuan/r/nServer-SW/r/n(config-if)#/r/nvtpmodeclient/r/nServer-SW/r/n(config-if)#/r/ni/r/nntfa0/1/r/nServer-SW/r/n(config-if)#/r/nswitchportmodetrunk/r/nServer-SW/r/n端口配置/r/nServer-SW/r/n(config-if)#/r/nintfa0/2/r/nServer-SW/r/n(config-if)#/r/nswitchportmodeaccess/r/nServer-SW/r/n(config-if)#/r/nswitchportaccessvlan2/r/nServer-SW/r/n(config-if)#/r/nintfa0/3/r/nServer-SW/r/n(config-if)#/r/nswitchportmodeaccess/r/nServer-SW/r/n(config-if)#/r/nswitchportaccessvlan2/r/nServer-SW/r/n(config-if)#/r/nintfa0/4/r/nServer-SW/r/n(config-if)#switchportmodeaccess/r/nServer-SW/r/n(config-if)/r/n#switchportaccessvlan2/r/nServer-SW/r/n(config-if)#/r/nintfa0/5/r/nServer-SW/r/n(config-if)#/r/nswitchportmodeaccess/r/nServer-SW/r/n(config-if)#/r/nswitchportaccessvlan2/r/nServer-SW/r/n(config-if)#/r/nintfa0/6/r/nServer-SW/r/n(config-if)#/r/nswitchportmodeaccess/r/nServer-SW/r/n(config-if)#/r/nswitchportaccessvlan2/r/n配置學(xué)生宿舍交換機(jī)/r/nStudent-SW/r/n(config)#vtpdomainxiaoyuan/r/nStudent-SW/r/n(config)#vtpmodeclient/r/nStudent-SW/r/n(config)#intfa0/1/r/nStudent-SW/r/n(config-if)#switchporttrunkencapsulationdot1q/r/nStudent-SW/r/n(config-if)#switchportmodetrunk/r/nStudent-SW/r/n(config)#intfa0/2/r/nStudent-SW/r/n(config-if)#switchportmodeaccess/r/nStudent-SW/r/n(config-if)#switchportaccessvlan3/r/n路由器配置/r/n防火墻路由器在網(wǎng)絡(luò)中實(shí)現(xiàn)內(nèi)外網(wǎng)轉(zhuǎn)換，即校園網(wǎng)內(nèi)所有主機(jī)要訪問(wèn)外網(wǎng)必須要經(jīng)過(guò)所有地址轉(zhuǎn)換。路由器一個(gè)端口采用/r/ns/r/n端口，一個(gè)是千兆以太網(wǎng)鏈路。路由器通過(guò)動(dòng)態(tài)/r/n鏈路與外網(wǎng)/r/n/24/r/n相連，通過(guò)千兆/r/n以太網(wǎng)鏈路與內(nèi)網(wǎng)/r/n192.168./r/n1/r/n0.0/16/r/n相連。/r/n基本/r/nIP/r/n設(shè)置/r/nBorder-R/r/n(config)#interfaceFastEthernet0/0/r/nBorder-R/r/n(config-if)#ipaddress192.168./r/n1/r/n0.1/r/nBorder-R/r/n(config)#interfaceSerial2/0/r/nBorder-R/r/n(config-if)#ipaddress/r/nNAT/r/n設(shè)置/r/nBorder-R/r/n(config-if)#ints2/0/r/nBorder-R/r/n(config-if)#ipnatoutside/r/nBorder-R/r/n(config)#intfa0/0/r/nBorder-R/r/n(config-if)#ipnatinside/r/nBorder-R/r/n(config)#routerrip/r/nBorder-R/r/n(config-router)#version2/r/nBorder-R/r/n(config-router)#noau/r/nBorder-R/r/n(config-router)#default-informationoriginate/r/nBorder-R/r/n(config-router)#network192.168./r/n1/r/n0.0/r/nBorder-R/r/n(config-router)#network/r/nBorder-R/r/n(config)#acc1per/r/n55/r/nBorder-R/r/n(config)#ipnatinssolist1ints2/0overload/r/n校園網(wǎng)/r/n邊界/r/n路由器配置/r/nBorder-R/r/n(config)#intfa0/0/r/nBorder-R/r/n(config-if)#ipadd/r/nBorder-R/r/n(config-if)#noshut/r/nBorder-R/r/n(config)#ints2/0/r/nBorder-R/r/n(config-if)#ipadd/r/nBorder-R/r/n(config-if)#noshut/r/nBorder-R/r/n(config)#routerrip/r/nBorder-R/r/n(config-router)#ver2/r/nBorder-R/r/n(config-router)#noau/r/nBorder-R/r/n(config-router)#net/r/nBorder-R/r/n(config-router)#default-informationoriginate/r/n通過(guò)/r/nNAT/r/n技術(shù)實(shí)現(xiàn)內(nèi)網(wǎng)訪問(wèn)/r/ninternet/r/nBorder-R/r/n(config)#access-list1permit55/r/nBorder-R/r/n(config)#access-list1permit55/r/nBorder-R/r/n(config)#access-list1permit55/r/nBorder-R/r/n(config)#access-list1permit55/r/nBorder-R/r/n(config)#access-list1permit55/r/nBorder-R/r/n(config)#access-list1permit55/r/nBorder-R/r/n(config)#access-list1permit55/r/nBorder-R/r/n(config)#ints2/0/r/nBorder-R/r/n(config-if)#ipnatoutside/r/nBorder-R/r/n(config)#intfa0/0/r/nBorder-R/r/n(config-if)#ipnatinside/r/nBorder-R/r/n(config-if)#end/r/nBorder-R/r/n(config)#iproutes2/0/r/n顯/r/n示路由表/r/nBorder-R/r/n#showiproute/r/nCodes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGP/r/nD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea/r/nN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2/r/nE1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGP/r/ni-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea/r/n*-candidatedefault,U-per-userstaticroute,o-ODR/r/nP-periodicdownloadedstaticroute/r/nGatewayoflastresortistonetwork/r/nR/24[120/1]via,00:00:16,FastEthernet0/0/r/nR/24[120/1]via,00:00:16,FastEthernet0/0/r/nR/24[120/1]via,00:00:16,FastEthernet0/0/r/nR/24[120/1]via,00:00:16,FastEthernet0/0/r/nR/24[120/1]via,00:00:16,FastEthernet0/0/r/nC/24isdirectlyconnected,FastEthernet0/0/r/nC/24isdirectlyconnected,Serial2/0/r/nS*/0isdirectlyconnected,Serial2/0/r/n模擬/r/nISP/r/n環(huán)境/r/n出口/r/n路由/r/nR2/r/n配置/r/nR2/r/n(config)#ints2/0/r/nR2/r/n(config-if)#ipadd/r/nR2/r/n(config-if)#noshut/r/nR2/r/n(config-if)#clockrate64000/r/nR2/r/n(config-if)#exit/r/nR2/r/n(config)#intfa0/0/r/nR2/r/n(config-if)#ipadd/r/n10.1.1./r/n1/r/n/r/nR2/r/n(config-if)#noshut/r/nR2/r/n(config-if)#exit/r/n服務(wù)器配置/r/nDHCP/r/n服務(wù)器配置/r/nDHCP/r/n服務(wù)器的/r/nIP/r/n配置如下圖/r/n4-/r/n1/r/n所示/r/n圖/r/n4-/r/n1/r/nDHCP/r/n服務(wù)器的/r/nIP/r/n配置/r/nWWW/r/n服務(wù)器配置/r/nwww/r/n服務(wù)器的/r/nIP/r/n配置如下圖/r/n4-/r/n2/r/n所示/r/n圖/r/n4-2WWW/r/n服務(wù)器配置/r/nDNS/r/n服務(wù)器配置/r/nD/r/nNS/r/n服務(wù)器配置如下圖/r/n4-3/r/n所示/r/n圖/r/n4-3D/r/nNS/r/n服務(wù)器配置/r/nFTP/r/n服務(wù)器配置/r/nFTP/r/n服務(wù)器配置如下圖/r/n4-4/r/n所示/r/n圖/r/n4-4FTP/r/n服務(wù)器配置/r/n網(wǎng)絡(luò)安全控制/r/n校園網(wǎng)絡(luò)安全問(wèn)題是網(wǎng)絡(luò)建設(shè)的重點(diǎn)之一，本次設(shè)計(jì)中采用邊界路由、核心交換機(jī)在內(nèi)的二層安全防御。第一層保護(hù)有邊界路由實(shí)現(xiàn)。選用具有防火墻功能的/r/nCisco/r/n路由器，路由器上配置訪問(wèn)控制列表，通過(guò)訪問(wèn)規(guī)則，控制和過(guò)濾經(jīng)過(guò)路由器的數(shù)據(jù)流，隔離外網(wǎng)和內(nèi)網(wǎng)，防止外部用戶對(duì)內(nèi)部網(wǎng)絡(luò)不安全的訪問(wèn)，可有效防止各服務(wù)器受到來(lái)自外部的破壞。第二層防護(hù)由核心交換機(jī)提供。核心交換機(jī)上部署防火墻模塊，可有效地防止內(nèi)部攻擊。/r/n訪問(wèn)控制表/r/n防止病毒傳播和黑客攻擊/r/n目前，大多數(shù)園區(qū)網(wǎng)用戶使用的是微軟操作系統(tǒng)，一些病毒程序或漏洞掃描軟件通過(guò)/r/nUDP/r/n端口/r/n135/r/n、/r/n137/r/n、/r/n138/r/n、/r/n1434/r/n和/r/nTCP/r/n端口/r/n135/r/n、/r/n137/r/n、/r/n139/r/n、/r/n445/r/n、/r/n593/r/n、/r/n1434/r/n、/r/n2500/r/n、/r/n4444/r/n、/r/n5554/r/n、/r/n5800/r/n、/r/n5900/r/n、/r/n6346/r/n、/r/n6667/r/n、/r/n9393/r/n、/r/n9995/r/n、/r/n9996/r/n等進(jìn)行病毒傳播和攻擊，可通過(guò)設(shè)置如下訪問(wèn)控制列表阻止病毒傳播和黑客攻擊。/r/n防病毒的ACL/r/n一般應(yīng)用在接入層的設(shè)備上/r/n，/r/n下面以配置/r/nSW3學(xué)生宿舍交換機(jī)的ACL為例。/r/nStudent-SW/r/n(config)#/r/naccess-list101denytcpanyanyeq135/r/nStudent-SW/r/n(config)#/r/naccess-list101denytcpanyanyeq137/r/nStudent-SW/r/n(config)#/r/naccess-list101denytcpanyanyeq139/r/nStudent-SW/r/n(config)#/r/naccess-list101denytcpanyanyeq445/r/nStudent-SW/r/n(config)#/r/naccess-list101denytcpanyanyeq593/r/nStudent-SW/r/n(config)#/r/naccess-list101denytcpanyanyeq1434/r/nStudent-SW/r/n(config)#/r/naccess-list101denytcpanyanyeq2500/r/nStudent-SW/r/n(config)#/r/naccess-list101denytcpanyanyeq4444/r/nStudent-SW/r/n(config)#/r/naccess-list101denytcpanyanyeq5554/r/nStudent-SW/r/n(config)#/r/naccess-list101denytcpanyanyeq5800/r/nStudent-SW/r/n(config)#/r/naccess-list101denytcpanyanyeq5900/r/nStudent-SW/r/n(config)#/r/naccess-list101denytcpanyanyeq6346/r/nStudent-SW/r/n(config)#/r/naccess-list101denytcpanyanyeq9393/r/nStudent-SW/r/n(config)#/r/naccess-list101denytcpanyanyeq9995/r/nStudent-SW/r/n(config)#/r/naccess-list101denytcpanyanyeq9996/r/nStudent-SW/r/n(config)#/r/naccess-list101denyudpanyanyeq135/r/nStudent-SW/r/n(config)#/r/naccess-list101denyudpanyanyeq137/r/nStudent-SW/r/n(config)#/r/naccess-list101denyudpanyanyeq138/r/nStudent-SW/r/n(con