網絡工程課程設計報告詳細版

02-武漢工業(yè)學院計算機系網絡工程設計——課程設計報告課設名稱：XX校園網的規(guī)劃與設計班級：姓名：學號：課設時間：目錄TOC\o"1-2"\p""\h\z\u一、摘要……………………-2-二、前言……………………-3-三、需求分析………………-4-1、隨時隨地接入的需求………………-4-2、骨干網絡高性能、高穩(wěn)定可靠的需求……………-4-3、出口區(qū)域對性能和功能需求………-5-4、來自網絡安全的需求………………-5-5、方便運營管理的需求………………-6-6、強大數據中心建設的需求…………-7-四、網絡規(guī)劃………………-8-（一）拓撲設計與設計原則…………-8-（二）結構化布線系統(tǒng)……………………-9-（二）網絡結構分析……………………-11-（三）網絡架構設計與拓撲結構………-11-五、主要技術設計的具體配置過程…………-15-（一）匯聚模塊交換服務的實現－配置匯聚模塊交換機…………-15-（二）核心層交換服務的實現——配置核心層交換機………………-18-（三）配置接入路由器InternetRouter………………-19-（四）服務器模塊設計………………-22-六、設計體會…………………-23-

一、摘要本設計方案主要完成對XX校園網絡的組網規(guī)劃，布線組網及解決方案。主要介紹了XX校園網中主干傳輸網和Internet接入網的組網，所要完成的是組網的整個過程，重點的說明了校園網的設計思想、網絡拓撲圖。校園網的詳細設計過程主要是從校園網主干傳輸網方案設計，Internet接入方案設計，子網劃分設計，網絡設備選型方案設計及其網絡管理系統(tǒng)方案設計這幾個方面。關鍵詞：網絡拓撲圖；IP劃分；主干網設計。

二、前言當今的世界正從工業(yè)化社會向信息化社會轉變。一方面，社會經濟已由基于資源的經濟逐漸轉向基于知識的經濟，人們對信息的需求越來越迫切，信息在經濟的發(fā)展中起著越來越重要的作用，信息的交流成為發(fā)展經濟最重要的因素。另一方面，隨著計算機、網絡和多媒體等信息技術的飛速發(fā)展，信息的傳遞越來越快捷，信息的處理能力越來越強，信息的表現形式也越來越豐富，對社會經濟和人們的生活產生了深刻的影響。這一切促使通信網絡由傳統(tǒng)的電話網絡向高速多媒體信息網發(fā)展。快速、高效的傳播和利用信息資源是21世紀的基本特征。掌握豐富的計算機及網絡信息知識不僅僅是素質教育的要求而且也是學生掌握現代化學習與工作手段的要求。因此，學校校園網的有無及水平的高低，也將成為評價學校及學生選擇學校的新的標準之一。Internet及WWW應用的迅猛發(fā)展，極大的改變著我們的生活方式。信息通過網絡，以不可逆轉之勢，迅速打破了地域和時間的界限，為更多的人共享。而快速、高效的傳播和利用信息資源正是二十一世紀的基本特征。學校作為信息化進程中極其重要的基礎環(huán)節(jié)，如何通過網絡充分發(fā)揮其教育功能，已成為當今的熱門話題。隨著學校教育手段的現代化，很多學校已經逐漸開始將學校的管理和教學過程向電子化方向發(fā)展，校園網的有無以及水平的高低也將成為評價學校及學生選擇學校的新的標準之一，此時，校園網上的應用系統(tǒng)就顯得尤為重要。一方面，學生可以通過它在促進學習的同時掌握豐富的計算機及網絡信息知識，毫無疑問，這是學生綜合素質中極為重要的一部分；另一方面，基于先進的網絡平臺和其上的應用系統(tǒng)，將極大的促進學校教育的現代化進程，實現高水平的教學和管理。學校目前正加緊對信息化教育的規(guī)劃和建設。開展的校園網絡建設，旨在推動學校信息化建設，其最終建設目標是將建設成為一個借助信息化教育和管理手段的高水平的智能化、數字化的教學園區(qū)網絡，最終完成統(tǒng)一軟件資源平臺的構建，實現統(tǒng)一網絡管理、統(tǒng)一軟件資源系統(tǒng)，并保證將來可擴展骨干網絡節(jié)點互聯(lián)帶寬為10G，為用戶提供高速接入網絡，并實現網絡遠程教學、在線服務、教育資源共享等各種應用；利用現代信息技術從事管理、教學和科學研究等工作。最終達到在網絡方面，更好的對眾多網絡使用及數據資源的安全控制，同時具有高性能，高效率，不間斷的服務，方便的對網絡中所有設備和應用進行有效的時事控制和管理。

三、需求分析根據我校的實際情況分析，擴建后網絡設計應滿足以下幾點需求：由一個主干網和多個子網組成校園局域網（Intranet）。主干網接入湖北教育網后代理接入全球互聯(lián)信息網外接（Internet），各子網再接入主干通信網。主干網接入采用光纖接入寬帶網，速率可在1000M。主干為千兆線路，其它線路為超五類雙絞線。每個樓中都有局域網，終端PC各應用平臺的建設均可接入骨干網，構成子網應用平臺。1、隨時隨地接入的需求首先，師生對于網絡接入有著強烈的需求。原因有二：一方面，隨著近年來國家對高等教育的大力發(fā)展和支持，在校生人數普遍呈現上升趨勢。另一方面，是由于國家經濟實力的增強，技術的發(fā)展帶來的低成本，導致電腦的普及率也越來越高（據不完全統(tǒng)計，在很多的高校，臺式/PC的擁有率可以達到70%）。其次，在部分熱點區(qū)域，或者難以布線的區(qū)域需要一種切實可行的高性價比的接入方式。也就是采用無線作為補充或者備份。比如廣場/操場、體育館、閱覽室、會議室、階梯教室等，這些區(qū)域對于筆記本用戶需要能夠提供接入服務，而這時有線接入是行不通的。又比如校內的某棟較偏遠的辦公樓或者某幾棟家屬樓，上網用戶有限，進行獨立布線成本較高，所以，同樣需要進行無線的接入方式。簡言之，網絡作為一個底層的平臺，需要師生能夠隨時隨地的方便的接入。這就強調有線網絡和無線網絡的結合——適合無線網絡的地方用無線網絡，適合有線網絡的地方用有線網絡。當然，兩者可以有一定的冗余，甚至部分區(qū)域會采用無線網絡進行備份。目前，從全國來看，眾多的高校已經在考慮，甚至已經部署了無線網絡。但是仍然存在了無線設備帶機數不夠、安全性不足、無法很好的進行用戶和設備管理的問題。2、骨干網絡高性能、高穩(wěn)定可靠的需求首先是高性能。校園網中用戶數在不斷增加，并且隨著網絡應用技術的不斷豐富，校園網應用也愈發(fā)復雜，例如FTP、VOD點播等大數據量的訪問，尤其目前流行的P2P的應用產生了巨大的網絡流量，如何高速進行網絡傳輸，對網絡設備的性能提出了很高的要求。實際情況中，依然有很多高校使用的骨干設備是集中式表查詢和集中式轉發(fā)模式的。很多時候，老師們抱怨網絡很慢，而設備性能不夠是其中一個很重要的原因。其次是穩(wěn)定可靠。一方面，未來的社會是信息的社會，當前隨著校內師生員工的工作、科研、學習、生活、娛樂越來越離不開網絡（例如：無紙化辦公、網絡教學、視頻會議和VOD點播、網上購物等業(yè)務的開展），網絡的穩(wěn)定可靠性就顯得愈發(fā)重要——網絡隨便斷開幾小時也無所謂的歷史已經過去了。另一方面，在應用豐富的同時，網絡環(huán)境也變得異常惡劣。近兩年，安全攻擊事件呈指數級上升而所需要的知識卻越來越弱化，各種攻擊工具在網絡上可以隨手拈來。這也對網絡設備在網絡攻擊或者病毒泛濫情況下的穩(wěn)定可靠提出了挑戰(zhàn)。目前，在校使用的設備中還存在大量早期采購的設備，這些設備在啟用了安全規(guī)則情況下性能急劇下降--在受到網絡攻擊或病毒泛濫的時候，CPU利用率居高不下，設備穩(wěn)定性降低，很可能死機/宕機。由此分析看來，隨著用戶數增加、應用的復雜，導致網絡流量的飛速提升，需要保證多用戶、大流量情況下骨干的高帶寬，骨干設備的線速轉發(fā)；隨著師生日常對于網絡的依賴性的增強，和網絡環(huán)境的日趨惡劣，需要保證做到骨干網絡一定級別的穩(wěn)定可靠性（比如四個九-99.99%）。3、出口區(qū)域對性能和功能需求對于出口，最主要有兩個方面的需求：一方面，需要進行多出口的策略部署，并且需要解決多出口部署下的性能問題。具體來說，NAT（地址轉換）就是上網速度慢的一個重要原因，另外設備啟用策略路由時，造成設備性能的下降，也影響整個出口的效能和穩(wěn)定性。究其根本，設備的性能是一個很大的原因（對于NAT（地址轉換）支持的優(yōu)劣，有兩個很重要的依據，那就是“并發(fā)會話數”和“新建會話數”）另一方面，對于出口設備的功能也還是需要引起注意。比如，《互聯(lián)網安全保護技術措施規(guī)定》在2005年11月23日公安部部長辦公會議通過，并自2006年3月1日起已經施行。（該規(guī)定簡稱“82號令”）規(guī)定對用戶信息、用戶上網記錄、地址轉換記錄、設備狀態(tài)記錄等都有要求。一旦不符合日志要求，極可能面臨整頓或者關閉網絡的危機。關于出口區(qū)域問題的分析，請詳細查看《銳捷網絡高教出口解決方案》中的分析。4、來自網絡安全的需求第一，學校面臨著嚴峻的網絡安全形勢。越來越多的報道表明校園網已逐漸成為黑客的聚集地。這一方面是由于網絡病毒、黑客工具的泛濫，用戶安全意識的淡薄，而另一方面，在校學生——這群精力充沛的年輕一族對新鮮事物有著強烈的好奇心，他們有著探索的高智商和沖勁，卻缺乏全面思考的責任感。有關數字顯示，目前校園網遭受的惡意攻擊，90%來自學校網絡內部，如何保障校園網絡的安全成為校園網絡建設時不得不考慮的問題。第二，網絡安全一定是全方位的安全。首先，網絡出口、數據中心、服務器等重點區(qū)域要做到安全過濾；其次，不管接入設備，還是骨干設備，設備本身需要具備強大的安全防護能力，并且安全策略部署不能影響到網絡的性能，不造成網絡單點故障；最后，要充分考慮全局統(tǒng)一的安全部署，需要能夠從準入控制，到對網絡安全事件進行深度探測，到現有安全設備有機的聯(lián)動，到對安全事件觸發(fā)源的準確定位和根據身份進行的隔離、修復措施，從而能對網絡形成一個由內至外的整體安全構架。所以，在對出口等重點區(qū)域進行安全部署的同時，要更加全面的考慮安全問題，讓整個網絡從設備級的安全上升一個臺階，擺脫僅僅局部加強某個單點的安全強度的手段。5、方便運營管理的需求首先，校園網需要進行合理的運營。第一、校園網的投資較大，加上每年的維護成本，對于學校并不是一筆可以忽視的開支；第二、根據各校的情況，進行合理的運營收費，依靠市場化的手段能夠推動校園網的運作規(guī)范化和提高建設水平。當然，學校不是運營商，運營的模式和業(yè)務流程并不清晰。而學校收費和學生繳費又是一對天然的矛盾，當前不少學校采用的運營模式與學校實際的情況差距太大，無法有效杜絕學生逃避收費等問題一直困擾著學校的網管人員。其次，有效的管理可以從用戶管理和設備管理兩方面來看。對于用戶管理，最重要的是能夠實現事前的身份認證和準確定位、事中的實時處理、事后的完整日志審計。事前的認證和定位是指可嚴格實現用戶身份識別，根據用戶賬號、密碼、MAC地址、IP地址、交換機IP、交換機端口號、用戶所在VLAN的靈活組合，來識別用戶身份。將網絡中的虛擬用戶和生活中的真實用戶相對應；事中的實時處理是指對于正在是用網絡的用戶，如果出現私自撥號上網、使用代理、更改IP地址等，認證計費系統(tǒng)會強制用戶下線。對于感染病毒，出現安全事件的用戶，結合全局安全通過安全聯(lián)動來進行隔離、阻斷和修復，以保證校園網的安全。事后的日志審計是指記錄用戶上網的詳細信息（包括用戶名、IP、MAC等）及完整的用戶訪問外網的記錄（包括源IP、目的IP、源端口、目的端口、訪問時間），一旦出現安全事件，可以進行快速完整的審計，迅速定位到個人。對于設備管理，需要的是統(tǒng)一有效的網絡管理系統(tǒng)。能夠直觀全面地監(jiān)控整個網絡和各種設備的運行狀態(tài)，記錄和深入分析網絡流量，及時報告各種故障和性能問題，協(xié)助管理員找到故障的起源，并且對網絡的性能變化和故障發(fā)生提前進行預測。學校用戶數和網絡節(jié)點數眾多，因此難以一體化管理眾多的設備和用戶，出現網絡故障無法快速定位、IP地址盜用、IP地址沖突等問題日益嚴重，如何利用有限的人力物力對網絡進行高效管理也成為學校考慮的著重點。6、強大數據中心建設的需求第一，學校仍然采用的是直接存儲在服務器硬盤上的方式，也就是我們所說的直連存儲（DAS）。這種方式存在眾多的問題。1、不同的數據存儲在不同服務器的硬盤上，造成有些服務器硬盤空間已滿，而有些服務器硬盤空間卻閑置。空間擴展比較困難，并且服務器之間無法進行空間共享。2、隨著應用的不斷豐富，訪問量的增加，辦公、教學、科研對網絡的依賴，服務器的性能受到強烈的考驗。最終可能成為性能的瓶頸。第二、隨著計算機信息系統(tǒng)的不斷發(fā)展，用戶的核心業(yè)務越來越依賴于信息系統(tǒng)的可靠運行，信息系統(tǒng)中的關鍵業(yè)務數據已經成為用戶最為重要的資產。因此，對關鍵的業(yè)務數據進行備份保護刻不容緩。尤其美國911事件的發(fā)生，世界各地各行各業(yè)越發(fā)重視重要數據的備份和容災。但是當前絕大多數國內高校，對于關鍵數據，比如財務資料、學籍/檔案、學術論文等資料都還沒有進行有效的備份或容災。一旦數據毀壞/丟失，后果不堪設想。也正是基于對存在問題的認識和目前各種應用帶來的數據存儲的實際需求，很多高校已經開始進行數據中心的建設，那么數據中心建設，應該達到怎樣的目標？數據中心的存儲設備應該如何選擇？都是需要重點考慮的問題。

四、網絡規(guī)劃（一）拓撲設計與設計原則局域網采用星型網絡拓樸結構，星型拓樸結構為現在較為流行的一種網絡結構，它是以一臺中心處理機（通信設備）為主而構成的網絡，其它入網機器僅與該中心處理機之間有直接的物理鏈路，中心處理機采用分時或輪詢的方法為入網機器服務，所有的數據必須經過中心處理機。由于所有節(jié)點的往外傳輸都必須經過中央節(jié)點來處理，因此，對中央節(jié)點的要求比較高。優(yōu)點是網絡結構簡單，易于維護，便于管理（集中式）；每臺入網機均需物理線路與處理機互連，線路利用率低；處理機負載重（需處理所有的服務），因為任何兩臺入網機之間交換信息，都必須通過中心處理機；入網主機故障不影響整個網絡的正常工作。對該網絡支持的設備生產廠商有較好的技術支持。局域網內的所有工作節(jié)點通過雙絞線與交換機相連形成一個星型網絡。辦公電腦建議采用品牌的商用機，商用機運行比較穩(wěn)定，而且比較耐用，運算速度較快，較適于開發(fā)使用。校園網絡系統(tǒng)的建設在實用的前提下，應當在投資保護及長遠性方面做適當考慮，在技術上、系統(tǒng)能力上要保持五年左右的先進性。并且從學校的利益出發(fā)，從技術上講應該采用標準、開放、可擴充的、能與其它廠商產品配套使用的設計。根據校園網的總體需求，結合對應用系統(tǒng)的考慮，本次網絡建設的設計目標是：高性能、高可靠性、高穩(wěn)定性、高安全性、易管理的萬兆骨干網絡平臺。我遵循以下的原則進行網絡設計：1.實用性和經濟性網絡建設應始終貫徹面向應用，注重實效的方針，堅持實用、經濟的原則，建設的千兆骨干網絡平臺，保護用戶的投資。2.先進性和成熟性網絡建設設計既要采用先進的概念、技術和方法，又要注意結構、設備、工具的相對成熟。不但能反映當今的先進水平，而且具有發(fā)展?jié)摿?，能保證在未來若干年內占主導地位，保證貴校網絡建設的領先地位，采用千兆以太網技術來構建網絡主干線路。3.可靠性和穩(wěn)定性在考慮技術先進性和開放性的同時，還應從系統(tǒng)結構、技術措施、設備性能、系統(tǒng)管理、廠商技術支持及保修能力等方面著手，確保系統(tǒng)運行的可靠性和穩(wěn)定性，達到最大的平均無故障時間。為了保證骨干網絡平臺的健壯性和鏈路冗余性，網絡實施時在學校啟用千兆備份線路。在學校啟用物理鏈路冗余機制，保證任何一條線路出現故障后骨干網絡平臺的可用性。4.安全性和保密性在網絡設計中，既考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統(tǒng)應分別針對不同的應用和不同的網絡通信環(huán)境，采取不同的措施，包括端口隔離、路由過濾、防DDoS拒絕服務攻擊、防IP掃描、系統(tǒng)安全機制、多種數據訪問權限控制等，針對的各種應用，有多種的保護機制，如劃分VLAN、IP/MAC地址綁定（過濾）、ACL、路由過濾、防DDoS拒絕服務攻擊、防IP掃描、802.1x認證機制、SSH加密連接等具體技術提升整個網絡的安全性。5.可擴展性和可管理性由于信息技術和人們對于新技術的需求發(fā)展都非常迅速，為了避免不必要的重復投資，我們必須選擇具有一定擴展能力的設備，能夠保證在網絡規(guī)模逐漸擴大的時候，不需要增加新的設備，而只需要增加一定數量的模塊就行。最好能夠做到在網絡技術進一步發(fā)展，現有模塊不支持新技術的情況下，只需要更換相應模塊，而不需要更換整個設備。為了適應網絡結構變化的要求，必須充分考慮以最簡便的方法、最低的投資，實現系統(tǒng)的擴展和維護。為了便于擴展，對于核心設備必須采用模塊化高密度端口的設備，便于將來升級和擴展。先進的設備必須配合先進的管理和維護方法，才能夠發(fā)揮最大的作用。全線采用基于SNMP標準的可網管產品，達到全程網管，降低了人力資源的費用，提高網絡的易用性、可管理性，同時又具有很好的可擴充性。（二）結構化布線系統(tǒng)⑴工作區(qū)子系統(tǒng)工作區(qū)子系統(tǒng)采用Lucent的MPS100E-262單口模塊及模塊面板、B-86型方盒來構建，實現五類雙絞線在用戶端的端接，然后，用戶通過兩端帶RJ-45的數據線實現模塊與網絡設備的連接。總共需要：MPS100E-262單口模塊80個；Lucent超五類模塊面板80個。⑵水平子系統(tǒng)設計水平電纜長度按每信息點平均線長55米計算，并考慮到用戶工作區(qū)跳線所需線纜用量，總共需要雙絞線15箱（305米/箱）。水平線纜將干線線纜延伸到用戶工作區(qū).在本項目中設計采用的是Lucent公司8芯非屏蔽雙絞線(UTP)是符合EIA/TIA568A標準的超五類線雙絞線1061004CSL+。它在傳輸數據時，可以在150米范圍內具有標準10Mbps的傳輸速率，在100米內保證155Mbps的傳輸速率。此外它也可以傳輸各種70V直流電壓及在相應的距離下傳輸10MHZ及100MHZ頻率以內的弱電信號.⑶管理子系統(tǒng)設計配線架的選型和安裝:分配線間的設計，我們采用了較為集中、靈活的管理方式，充分利用配線架的容量，以達到較好的性能價格比。所有的水平及垂直UTP雙絞線均選用Lucent48口和24口非屏蔽的配線架進行管理，使數據點可完全互補，且管理、維護靈活簡便。⑷垂直干線子系統(tǒng)垂直干線子系統(tǒng)主要用于連接一棟大樓內部的各配線間，提供網絡主干連接。由于我每棟大樓只分設一個配線間，所以本布線系統(tǒng)不涉及垂直干線子系統(tǒng)。⑸設備間子系統(tǒng)設計設備子系統(tǒng)是整個布線系統(tǒng)的管理中心，由設備間（主配線間）中的電纜、連接器和相關支撐硬件組成，它把公共系統(tǒng)設備的各種不同設備互連起來?？紤]到中心機房機柜中的美觀及便于管理，管理區(qū)跳線我們采用訂制的兩端帶RJ-45數據線用于連接配線架與網絡設備。需要：兩端帶RJ-45數據線80根⑹建筑群子系統(tǒng)建筑群子系統(tǒng)用于連接各分散的建筑物，由于部分建筑距信息中心的距離可能超過了100米（銅纜布線系統(tǒng)的最長距離為100米，粗纜可支持500米，但粗纜只能支持系統(tǒng)主干間的10M連接，五類雙絞線支持100M連接），另外考慮到現代網絡技術ATM、千兆以太網對網絡帶寬的要求（155M/622M/1000M），系統(tǒng)主干只能選擇多模光纜（多模光纜可在260米范圍內支持1000M主干）。另外考慮到光纜主干的備份以及經濟原因（四芯與六芯光纜價格相當），可以選擇國產長飛六芯多模光纜來構建整個網絡系統(tǒng)主干。實施可用于數據、影像、語音和其他信息傳輸的部分布線工程，使學校的住處設備能夠方便地連接到校園網。根據結構化布線標準和需求設計所需設備，包括線纜、配線架、模塊、機柜、輔助材料等；主要設備要求選用安普、Avaya等公司產品。結構化布線共有88個信息點，機柜2個。完成信息點所在位置的電腦接入校園網，保證部門級辦公電腦及課室電腦以100Mb/s的速率接通校園網布線要符合標準，講求美觀大方。（二）網絡結構分析1．骨干層網絡中心節(jié)點及其它核心節(jié)點作為校園網絡系統(tǒng)的心臟，必須提供全線速的數據交換，當網絡流量較大時，對關鍵業(yè)務的服務質量提供保障。另外作為整個網絡的交換中心，在保證高性能、無阻塞交換的同時，還必須保證穩(wěn)定可靠的運行。因此在網絡中心的設備選型和結構設計上必須考慮整體網絡的高性能和高可靠性。具體來說核心節(jié)點的交換機有兩個基本要求：1）高密度端口情況下，還能保持各端口的線速轉發(fā)；2）關鍵模塊必須冗余，如管理引擎、電源、風扇。由于校園網建設最終必將采用千兆技術，因此需要考慮到核心設備對千兆的支持能力。2．接入層接入層網絡由樓棟交換節(jié)點和樓層交換節(jié)點組成，接入層網絡應該可以滿足各種客戶的接入需要，而且能夠實現用戶化的接入策略，業(yè)務QOS保證，用戶接入訪問控制等等。樓層交換節(jié)點采用千兆智能堆疊交換機，提供智能的流分類和完善的QoS特征。為各類型網絡提供完善的端到端的服務質量、豐富的安全設置和基于策略的網管，最大化滿足高速、融合、安全的園區(qū)網新需求；本方案中各接入層交換機通過千兆鏈路上聯(lián)到各匯聚層設備，對下聯(lián)的桌面設備提供全雙工的百兆連接，為各類用戶提供無阻塞的交換性能。3．出口因為校園網出口采用以太網，所以采用路由器+防火墻的方式，起到如下作用：防火墻提供強有力的服務器、內網安全保護、提供IDS等安全特性；路由器提供出口路由功能，數據處理能力強，具有強大的NAT功能。（三）網絡架構設計與拓撲結構為了實現網絡設備的統(tǒng)一，本設計方案中完全采用同一廠家的網絡產品，即銳捷公司的網絡設備構建。全網使用同一廠商設備的好處是可以實現各種不同網絡設備功能的互相配合和補充。本校園網設計方案主要由三個層次構成：核心層、匯聚層、接入層。由四大部分組成：交換模塊、廣域網接入模塊、遠程訪問模塊、服務器群。整個網絡系統(tǒng)的拓撲結構圖如下圖所示。網絡結構層次圖金銀湖網絡冗余拓撲圖校園網接入終端一覽表：地點終端網絡中心(圖書館內)網管系統(tǒng)、服務器群、三層交換機、IDS檢測系統(tǒng)、防火墻、高端路由器、VPN系統(tǒng)圖書館無線接入設備、圖書管理系統(tǒng)、階梯教室大學生活動中心多媒體階梯室體育館管理辦公室基礎樓管理辦公室、多媒體教室后勤集團校園刷卡機東8樓機房實驗室東7樓計算機系辦公室、機房實驗室東6樓電氣系辦公室、機房實驗室數理樓系辦公室、機房實驗室藝術樓系辦公室、多媒體教室文管樓系辦公室、多媒體教室宿舍樓寢室校園網接入終端VLAN及IP編址方案：VLAN號VLAN名IP網段默認網關子網掩碼描述VLAN1TOP/2454網絡中心VLAN2TSHG/2454圖書館VLAN3DH/2454大學生活動中心VLAN4TYG/2454體育館VLAN5HQJT/2454后勤集團VLAN6D6/2454東6樓VLAN7D7/2454東7樓VLAN8D8/2454東8樓VLAN9JCH/2454基礎嘍VLAN10SHL/2454數理樓VLAN11YSH/2454藝術樓VLAN12WG/2454文管樓VLAN13S1/2154宿舍樓1VLAN14S2/2154宿舍樓2VLAN15S3/2154宿舍樓3VLAN16S4/2154宿舍樓4VLAN17S5/2154宿舍樓5VLAN18S6/2154宿舍樓6VLAN19S7/2154宿舍樓7在這里為每個VLAN定義了一個由拼音縮寫組成的VLAN名稱。除了表中的內容外，撥號用戶從/21中動態(tài)取得IP地址。

五、主要技術設計的具體配置過程本次實驗的模擬使用GNS3來完成的，由于模擬器的限制只能模擬局部的網絡，但整體的各層的配置都類似。由于GNS3在接入層上無需配置，因此省略其參數的配置。模擬圖如下：網絡模擬圖（有簡化）（一）匯聚模塊交換服務的實現－配置匯聚模塊交換機配置分布層交換機DistributeSwitch1的基本參數Switch#configureterminalEntercongifgurationcommands,oneperlineEndwithCNTL/ZSwitch(config)#hostnameDistributeSwitch1DistributeSwitch1(config)#enablesecretyouguessDistributeSwitch1(config)#linecon0DistributeSwitch1(config-line)#loggingsynchronousDistributeSwitch1(config-line)#exec-timeout530DistributeSwitch1(config-line)#linevty015DistributeSwitch1(config-line)#passwordabcDistributeSwitch1(config-line)#loginDistributeSwitch1(config-line)#exec-timeout530DistributeSwitch1(config-line)#exitDistributeSwitch1(config)#noipdomain-lookup2．配置分布層交換機DistributeSwitch1的管理IP、默認網關DistributeSwitch1(config)#interfacevlan1DistributeSwitch1(config-if)#ipaddressDistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config-if)#exitDistributeSwitch1(config-if)#ipdefault-gateway54配置分布層交換機DistributeSwitch1的VTPDistributeSwitch1(config)#vtpdomainnciae/設置VTP管理域的域名DistributeSwitch1(config)#vtpmodeserver/設置VTP服務器DistributeSwitch1(config)#vtppruning/激活VTP剪裁功能4.在分布層交換機DistributeSwitch1上定義VLANSwitch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/ZDistributeSwitch1(config)#vlan1DistributeSwitch1(config-vlan)#nameTOPDistributeSwitch1(config)#vlan2DistributeSwitch1(config-vlan)#nameTSHGDistributeSwitch1(config)#vlan3DistributeSwitch1(config-vlan)#nameDHDistributeSwitch1(config)#vlan4DistributeSwitch1(config-vlan)#nameTYGDistributeSwitch1(config)#vlan5DistributeSwitch1(config-vlan)#nameHQJTDistributeSwitch1(config)#vlan6DistributeSwitch1(config-vlan)#nameD6DistributeSwitch1(config)#vlan7DistributeSwitch1(config-vlan)#nameD7DistributeSwitch1(config)#vlan8DistributeSwitch1(config-vlan)#nameD8DistributeSwitch1(config)#vlan9DistributeSwitch1(config-vlan)#nameJCHDistributeSwitch1(config)#vlan10DistributeSwitch1(config-vlan)#nameSHLDistributeSwitch1(config)#vlan11DistributeSwitch1(config-vlan)#nameYSHDistributeSwitch1(config)#vlan12DistributeSwitch1(config-vlan)#nameWGDistributeSwitch1(config)#vlan13DistributeSwitch1(config-vlan)#nameS1DistributeSwitch1(config)#vlan14DistributeSwitch1(config-vlan)#nameS2DistributeSwitch1(config)#vlan15DistributeSwitch1(config-vlan)#nameS3DistributeSwitch1(config)#vlan16DistributeSwitch1(config-vlan)#nameS4DistributeSwitch1(config)#vlan17DistributeSwitch1(config-vlan)#nameS5DistributeSwitch1(config)#vlan18DistributeSwitch1(config-vlan)#nameS6DistributeSwitch1(config)#vlan19DistributeSwitch1(config-vlan)#nameS75.配置匯聚模塊交換機DistributeSwitch1的端口基本參數DistributeSwitch1(config)#interfacerangefastethernet0/1–24DistributeSwitch1(config-if-range)#dupexfullDistributeSwitch1(config-if-range)#speed100DistributeSwitch1(config-if-range)#interfacerangefastethernet0/1–10DistributeSwitch1(config-if-range)#switchportmodeaccessDistributeSwitch1(config-if-range)#switchportaccessvlan2DistributeSwitch1(config-if-range)#spanning-treeportfastDistributeSwitch1(config-if-range)#interfacerangefastethernet0/23–24DistributeSwitch1(config-if-range)#switchportmodetrunkDistributeSwitch1(config-if-range)#interfacerangegigabitEthernet0/1–2DistributeSwitch1(config-if-range)#switchportmodetrunk6.配置匯聚模塊交換機DistributeSwitch1的3層交換功能DistributeSwitch1(config)#interfacevlan1DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan2DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan3DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan4DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan5DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan6DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan7DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan8DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan9DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan10DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdown……7．配置匯聚模塊交換機DistributeSwitch2類似（二）核心層交換服務的實現——配置核心層交換機1．配置核心層交換機CoreSwitch1的基本參數Switch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/ZSwitch(config)#hostnameDistributeSwitch1CoreSwitch1(config)#enablesecretyouguessCoreSwitch1(config)#linecon0CoreSwitch1(config-line)#loggingsynchronousCoreSwitch1(config-line)#exec-timeout530CoreSwitch1(config-line)#linevty015CoreSwitch1(config-line)#passwordabcCoreSwitch1(config-line)#loginCoreSwitch1(config-line)#exec-timeout530CoreSwitch1(config-line)#exitCoreSwitch1(config)#noipdomain-lookup2．配置核心層交換機CoreSwitch1的管理IP、默認網關CoreSwitch1(config)#interfacevlan1CoreSwitch1(config-if)#ipaddress0CoreSwitch1(config-if)#noshutdownCoreSwitch1(config-if)#exitCoreSwitch1(config-if)#ipdefault-gateway543．配置核心層交換機CoreSwitch1的的VLAN及VTPCoreSwith1(config)#vtpmodeclient4．配置核心層交換機CoreSwitch1的端口參數DistributeSwitch1(config)#interfacerangefastethernet0/1–24DistributeSwitch1(config-if-range)#dupexfullDistributeSwitch1(config-if-range)#speed100DistributeSwitch1(config-if-range)#switchportmodeaccessDistributeSwitch1(config-if-range)#switchportaccessvlan1DistributeSwitch1(config-if-range)#spanning-treeportfastDistributeSwitch1(config-if-range)#interfacerangegigabitEthernet3/1–2DistributeSwitch1(config-if-range)#switchportmodetrunkCoreSwitch1(config)#interfaceport-channelCoreSwitch1(config-if)#switchportCoreSwitch1(config-if)#interfacegigabitEthernet2/1–2CoreSwitch1(config-if)#channel-group1modedesirublenon-silentCoreSwitch1(config-if)#noshutdown5．配置核心層交換機CoreSwitch1的路由功能

核心層交換機CoreSwitch1通過端口FastEthernet4/3同廣域網接入模塊（Internet路由器）相連。因此，需要啟用核心層交換機的路由功能。同時，還需要定義通往Internet的路由。這里使用了一條缺省路由命令。其中，下一跳地址是Internet接入路由器的快速以太網接口FastEthernet0/0的IP地址。CoreSwitch1(config)#iproutingCoreSwitch1(config)#iproute546．其它配置定義對無類別網絡以及全零子網的支持CoreSwith1(config)#ipclasslessCoreSwith1(config)#ipsubnet-zeroCoreSwitch2的配置步驟、命令和CoreSwitch1的配置類似.（三）配置接入路由器InternetRouter1.配置接入路由器InternetRouter的基本參數

Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/ZSwitch(config)#hostnameInternetRouterInternetRouter(config)#enablesecretyouguessInternetRouter(config)#linecon0InternetRouter(config-line)#loggingsynchronousInternetRouter(config-line)#exec-timeout530InternetRouter(config-line)#linevty015InternetRouter(config-line)#passwordabcInternetRouter(config-line)#loginInternetRouter(config-line)#exec-timeout530InternetRouter(config-line)#exitInternetRouter(config)#noipdomain-lookup2.配置接入路由器InternetRouter的各接口參數InternetRouter(config)#interfacefastethernet0/0InternetRouter(config-if)#ipaddress54InternetRouter(config-if)#noshutdownInternetRouter(config-if)#interfaceserial0/0InternetRouter(config-if)#ipaddress52InternetRouter(config-if)#noshutdown3.配置接入路由器InternetRouter的路由功能InternetRouter(config)#iprouteserial0/0InternetRouter(config)#iproute255.255.248.0/InternetRouter(config)#iproute255.255.255.0/定義到校園網內部的路由4.配置接入路由器InternetRouter上的NAT為了接入Internet，本校園網向當地ISP申請了9個IP地址。其中一個IP地址：被分配給了Internet接入路由器的串行接口，另外8個IP地址：～用作NAT。InternetRouter(config)#interfacefastethernet0/0InternetRouter(config-if)#ipnatinsideInternetRouter(config-if)#interfaceserial0/0InternetRouter(config-if)#ipnatoutside/定義NAT內部、外部接口InternetRouter(config)#ipaccess-list1permit55InternetRouter(config)#ipaccess-list1permit55InternetRouter(config)#ipnatinsidesourcestaticInternetRouter(config)#ipnatinsidesourcestaticInternetRouter(config)#ipnatinsidesourcestatic……/為服務器定義靜態(tài)地址轉換InternetRouter(config)#ipnatinsidesourcelist1interfaceserial0/0overload/為工作站定義復用地址轉換5.配置接入路由器InternetRouter上的安全訪問ACL1.路由器是外網進入校園網內網的第一道關卡，是網絡防御的前沿陣地。路由器上的訪問控制列表（AccessControlList，ACL）是保護內網安全的有效手段。一個設計良好的訪問控制列表不僅可以起到控制網絡流量、流向的作用，還可以在不增加網絡系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產品的功能。由于路由器介于校園網內網和外網之間，是外網與內網進行通信時的第一道屏障，所以即使在網絡系統(tǒng)安裝了防火墻產品后，仍然有必要對路由器的訪問控制列表進行縝密的設計，來對校園網內網包括防火墻本身實施保護。在網絡環(huán)境中還普遍存在著一些非常重要的、影響服務器群安全的隱患。在絕大多數網絡環(huán)境的實現中它們都是應該對外加以屏蔽的。主要應該做以下的ACL設計：

對外屏蔽簡單網管協(xié)議，即SNMP.利用這個協(xié)議，遠程主機可以監(jiān)視、控制網絡上的其它網絡設備。它有兩種服務類型：SNMP和SNMPTRAP。設置對外屏蔽簡單網管協(xié)議SNMP:InternetRouter(config)#iprouteInternetRouter(config)#iproute2.對外屏蔽遠程登錄協(xié)議telnet.首先，telnet是一種不安全的協(xié)議類型。用戶在使用telnet登錄網絡設備或服務器時所使用的用戶名和口令在網絡中是以明文傳輸的，很容易被網絡上的非法協(xié)議分析設備截獲。其次，telnet可以登錄到大多數網絡設備和UNIX服務器，并可以使用相關命令完全操縱它們。這是極其危險的，因此必須加以屏蔽。屏蔽遠程登錄協(xié)議telnetInternetRouter(config)#ipaccess-list101denytcpanyeqtelnetInternetRouter(config)#ipaccess-list101permitipanyany3.對外屏蔽其它不安全的協(xié)議或服務.這樣的協(xié)議主要有SUNOS的文件共享協(xié)議端口2049，遠程執(zhí)行（rsh）、遠程登錄（rlogin）和遠程命令（rcmd）端口512、513、514，遠程過程調用（SUNRPC）端口111?？梢詫⑨槍σ陨蠀f(xié)議綜合進行設計InternetRouter(config)#ipaccess-list101denytcpanyanyrange512514InternetRouter(config)#ipaccess-list101denytcpanyanyeq111InternetRouter(config)#ipaccess-list101denyudpanyanyeq111InternetRouter(config)#ipaccess-list101denytcpanyanyrange2049InternetRouter(config)#ipa