课程设计报告
2014 ~ 2015 学年 第 二 学期
教 学 单 位 南海学院 课 程 名 称 路由交换技术 课程设计题目 校园网的规划与实现 指 导 教 师 学 生 姓 名
专 业 名 称 计算机网络技术 年 级 13级
目录
课程设计报告 ..................................................................................................................... 1 1 绪论................................................................................................................................. 4
课程设计题目 ..................................................................................................... 4 课程设计目的 ..................................................................................................... 4 课程设计内容 ..................................................................................................... 4
2 需求分析 ......................................................................................................................... 5
2.1 校园网应用需求分析 .......................................................................................... 5 2.2 校园网技术分析 .................................................................................................. 8
2.2.1 校园网的结构 ........................................................................................... 8 2.2.2 校园网的联网技术 ................................................................................... 8 2.2.3 校园网的硬件选择 ................................................................................... 8
3. 网络拓扑设计方案 ........................................................................................................ 9 4.VLAN及IP地址设计方案 ........................................................................................... 11
网络VLAN设计 ............................................................................................... 11
5 网络设备选型 ............................................................................................................... 12
(1)路由器 ............................................................................................................. 12 (2)交换机 ............................................................................................................. 12 (3)服务器 ............................................................................................................. 13 (4)传输介质 ......................................................................................................... 13 (5)PC机 若干台 ................................................................................................. 13 (6)防火墙 ............................................................................................................. 13 (7)操作系统 ......................................................................................................... 13 (8)网络协议 ......................................................................................................... 13 (9)网络管理软件 ................................................................................................. 13 6 设备配置 ....................................................................................................................... 13
6.1vlan的配置 .......................................................................................................... 13
6.1.1利用交换机实现vlan间的通信 ............................................................. 15 6.2接入层的配置 ..................................................................................................... 16
6.2.1 vtp配置 .................................................................................................... 17 6.2.2 vtp服务器配置 ........................................................................................ 17 6.2.3 vtp客户端配置 ........................................................................................ 17 6.3.1路由器的配置 .................................................................................................. 18 6.3.2 OSPF的基本配置 ........................................................................................... 19
6.3.3在路由器和三层交换机上配置IP ......................................................... 19 6.3.4配置OSPF路由协议 .............................................................................. 19
6.4 网络安全设置 .................................................................................................... 20
6.4.1访问控制列表 .......................................................................................... 20 6.4.2对外屏蔽简单网管协议 .......................................................................... 20 6.4.3对外屏蔽远程登录协议 .......................................................................... 21 6.4.4配置访问控制列表 .................................................................................. 21
6.5端口聚合配置 ..................................................................................................... 21 6.6防火墙的设置 ..................................................................................................... 22
3
7.接入Internet设计 .......................................................................................................... 22
(1)拨号上网方式 ................................................................................................. 23 (2)ISDN专线接入 ............................................................................................... 23 (3)ADSL宽带入网 .............................................................................................. 23 (4)DDN专线入网 ................................................................................................ 23 (5)帧中继方式入网 ............................................................................................. 24 (6)局域网接入 ..................................................................................................... 24 8扩展性考虑 .................................................................................................................... 25
(1)首先是网络设备扩展方面: ......................................................................... 25 (2)其次是网络接入的可扩展性:...................................................................... 25 (3)IP地址的预留: ............................................................................................ 25 体会 ................................................................................................................................... 25 参考文献 ........................................................................................................................... 26
第 3 页 共 26 页
第三章 交换模块设计
1 绪论
课程设计题目
校园网的规划与实现
校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。现条件的学校必须建立完善的服务于教育教学的计算机校园网。校园网为学校的教学、管理、办公、信息交流和通信等提供综合的网络环境。校园网的使用使学校的教育、教学研究和管理工作踏上一个新台阶。我们可以充分利用现有计算机资源,实现信息交流和软硬件资源的共享,实现学校办公、管理、教学现代化。
校园网是当今信息社会发展的必然趋势。它是以现代网络技术、多媒体技术及Internet技术等为基础建立起来的局域网,一方面连接学校内部子网和分散于校园各处的计算机,另一方面作为沟通校园内外部网络的桥梁。同时,一个好的校园网,安全问题也是至关重要的。
课程设计目的
通过课程设计,学生可以熟悉大/中型局域网的设计理念,能将《路由交换技术》及《路由交换高级技术》课程中所学过的理论知识应用到实际中来,能综合运用所学的内容来规划并实现一个可实际运行的校园网,熟练掌握路由器和交换机的基本配置,提高学生的动手能力及学习兴趣。
课程设计内容
1、根据客户的具体需求,对网络进行总体规划,编制出详实可行的网络工程文档;
5
2、设计并绘制网络拓扑结构图;
3、根据该局域网的实际情况合理划分VLAN、分配IP地址;
4、根据该局域网的实际情况进行网络设备选型,这里的网络设备主要指路由器和交换机,路由器、交换机的选型限定于思科的产品; 5、造价的预算(主要指网络设备的价格); 6、完成相关的交换机及路由器的配置;
7、可根据具体情况,考虑网络安全、VoIP、无线网络、存储区域网络等几方面的设计;
8、撰写课程设计报告。
2 需求分析
2.1 校园网应用需求分析
随着信息时代的到来,校园网已经成为现代教育背景下的必要基础设施,成为学校提高水平的重要途径。校园网络的主干所承担的信息流量很大,校园网络的建设目标是在校园内实现多媒体教学、教务管理、通信、双向视频点播(VOD)等信息共享功能,能实现办公的自动化、无纸化。能通过与Internet的互联,为全校师生提供国际互联网上的各种服务。教师可以制作多媒体课件以及在网上保存和查询教学资源,能对学生进行多媒体教学和通过网络对学生进行指导与考查等。学生也可以通过在网上浏览和查询网上学习资源,从而可以更好地进行学习。校园网能为学校的信息化建设打下基础。
根据某校园实际情况主要应用需求分析如下: (1)用户的应用需求
所有用户可以方便地浏览和查询局域网和互联网上的学习资源,通过WWW服务、电子邮件服务、文件传输服务、远程登录等多种Internet服务实现远程学习。教师需要校园网提供Internet/Intranet、远程教学、多媒体教学应用等系统,提供一条可靠、健壮的“信息高速公路”。 (2)通信需求
千兆校园网的建设将使学校不在面临带宽匮乏,特别是核心网带宽匮乏的情况。尤其保证了那些不间断的FTP应用、科研活动、网上视讯等长期消耗大量网络带宽的网络服务质量。
第 5 页 共 26 页
第三章 交换模块设计
通过E-mail及网上BBS以及其他网络功能满足全院师生的通信与信息交换的要求,提供文件数据共享、电子邮箱服务等。 (3)信息点和用户需求
A大学校园网连接建筑物有作为网络信息中心的主楼和教学楼、行政楼、图书馆、实验楼、工科楼以及学生宿舍等6个主要集中接入点。按照要求校园网内信息节点总数为830个,分布如下。
教学楼:200个信息节点。 行政楼:90个信息节点。 实验楼:120个信息节点。 图书馆:100个信息节点。 工科楼:120个信息节点。 学生宿舍:200个信息节点。
A大学校园网联网各楼所在位置及信息点分布情况如表2.1所示。
表2.1 信息点分布图
名称 楼层 一层 二层 三层 教学楼 行政楼 实验楼 图书馆 工科楼 学生宿舍 总计
20 30 20 10 20 40 30 30 40 30 20 40 40 30 30 20 20 40 四层 40 30 30 20 40 五层 40 10 20 40 830 六层 15 20 七层 15 电子邮件服务器、文件服务器等为内部单位服务,WWW服务器、远程登录等实现远程学习,从外部网站获得资源。
以主楼的网络信息中心为中心,通过冗余的光纤链路上连到信息中心的核心层交换机上,构成某大学校园网光纤主干。核心层交换机通过Cisco30路由器接入教育科研网CERNET,即连入国际互联网。校园网络总体拓扑结构如图2.1所示。
7
图2.1 A大学校园网总体拓扑结构
(4)性能需求
此校园网络支持学校的日常办公和管理,包括:办公自动化、图书管理、档案管理、学生管理、教学管理、财务管理、物资管理等,支持网络多媒体学习的信息传输要求。 (5)安全与管理需求
学生基本信息档案和重要的工作文件要求对数据存储、传输的安全性的性能较高,如图书管理、档案管理、学生管理、教学管理、财务管理、物资管理等可以通过分布式、集中式相结合的方法进行管理。网络安全对于网络系统来说是十分重要的,它直接关系到网络的正常使用。由于校园网与外部网进行互联,特别是和Internet的互联。Internet是一个开放式网络系统,它的安全性是很差的。因此安全问题更加重要。应该采取一定的技术来控制网络的安全性,从内部和外部同时对网络资源的访问进行控制。当前主要的网络安全技术主要有:用户身份验证、VLAN划分、防火墙等技术。网络系统具备高度的数据安全性和保密性。 (6)实用与经济性
校园网的特点决定了网络系统必须是实用性与经济性。实用性使得网络便于管理、维护,
第 7 页 共 26 页
第三章 交换模块设计
以减少网络使用人员运用网络的难度,从而降低人为操作引起的网络故障,并使更多的人掌握网络的应用。由于学校的建设资金有限,所以根据学校的实际情况在建设校园网时一定要使用性价比高的网络技术和网络设备。
2.2 校园网技术分析
2.2.1 校园网的结构
校园网一般选择星型的拓扑结构来实现校园网的组建方案。星型结构的校园网比总线型的网络具有更高的可靠性,网络中的任何一个节点都是直接和网络中心的交换机连接,因此单个节点的故障不会影响到其他节点,因此故障比较容易检测和隔离,而且网络的扩充也十分方便,用户只需要将自己的计算机连接到这个交换机上即可。
2.2.2 校园网的联网技术
在校园网的干路上往往需要更大的宽带和更高的传输速率,所以一般选择千兆以太网技术作为校园网的联网技术。可使用光纤、同轴电缆和双绞线作为传输介质。千兆以太网技术可以满足数据1000Mb/s的传输要求,它采用了与10Mb/s和100Mb/s以太网技术中同样的数据帧格式,也采用了CSMA/CD介质访问控制机制,因此它可以在原有的以太网基础上进行平滑网络升级,从而最大限度地保护了用户投资。
2.2.3 校园网的硬件选择
(1)网络服务器 由于校园网中的用户通常比较多,对服务器的访问量也会很大,应购置专用的服务器,专用的服务器比普通的台式机具有更高的可靠性。另外,路由器本身就集成了很多服务器,但还有很多功能不能完善或处理能力不强,需要外加服务器。
①华为CAMS服务器 学校上网不是免费的,为了更好的计费,就需要计费网关了,就要求服务器具有计费功能,要让统计更精准,还要防止别人盗用IP上网,华为CAMS服务器就实现了这些功能。它主要有卡号、账号用户,一个卡号(或账号)可以申请多个业务,包月用户,可以限时包月或包月暂停,接入时段,Web配置管理,用户Web自助,在线用户监控,黑名单管理,安全日志审计、分析,目录服务。
②FTP服务器 FTP(File Transfer Protocol,文件传输协议)是由支持Internet文件传输的各种规则所组成的集合。这些规则能使网络用户把文件从一个主机拷贝到另一个主机
9
上,FTP是采用客户/服务器方式服务的。学校局域网的一个重要特点就是信息共享,因此FTP服务器是必不可少的。安装FTP服务器就是为了方便学生共享学习资料和文件的。
③Web服务器 在Internet时代,学生想要发布自己主页,首先应该把我们的机器配置成为一台强大的Web Server。IIS(Internet Information Server)作为当今流行的Web服务器之一,提供了强大的Internet和Intranet服务功能。
④DHCP服务器 DHCP服务器的主要作用是分配IP地址,用户可以自己设置IP,也可以动态IP。当DHCP服务器被授权后,还需要对它设置IP地址范围。通过给DHCP服务器设置IP地址范围后,当DHCP客户机在向DHCP服务器申请IP地址时,DHCP服务器就会从所设置的IP地址范围中选择一个还没有被使用的IP地址进行动态分配。
E-mail服务器,DNS服务器,WINS服务器等等其他服务器。
(2)传输介质 采用普通的五类非屏蔽双绞线,这种网线的可靠性较好,价钱便宜,或使用超五类双绞线,这种双绞线将普通的五类非屏蔽双绞线的性能加以改善,主要用于传输速率低于千兆位每秒的以太网。在校园网的主干线上,为了保证数据的传输,可采用光纤作为传输介质。
(3)网络互连设备
交换机 交换机通常会采用模块化的设计,它能够更快地转发大量的信息。如果校园网的规模不大,可以选择部门级的交换机。交换机主要用于局域网,首先是三层交换机的选择,三层交换机有一定的路由功能,三层交换机在局域网最顶端,它实现了各个楼层之间的通信,可以在整个楼里设置VLAN。每个楼层内部都有二层交换机。
中继器,集线器,交换器,路由器,网关等等其他互联设备。 (4)工作站
学校校园网工作站使用的计算机不同于校园网中的服务器和家庭使用的多媒体计算机,工作站只要能够满足学生或教师的学习和工作需要即可,我们可以在Intel、AMD、VIA这三个目前主流的PC CPU中进行选择。这三种CPU是三种不同的系统架构,它们各自的性能不同,价格也不同。我们可以通过它们的实用性、可靠性、经济性、应用性几方面来进行比较。
3. 网络拓扑设计方案
本方案采用千兆以太网解决方案,考虑到地理位置和服务点等因素,将网络中心设在主楼,以主楼为中心,通过光纤把整个校园连接到网络中心的CCS1型核心交换机上,构成某
第 9 页 共 26 页
第三章 交换模块设计
大学校园网光纤主干。核心交换机通过Cisco30路由器和DDN专线将整个校园网连入教育科研网CERNET,即连入国际互联网,同时接入电信网。网络结构分为三层:核心层、汇聚层、接入层。
考虑到传输高速率和扩展的需求,校园网整体采用光纤传输。网络主干采用六芯多模光纤。网络中心到主建筑物节点采用六芯多模光纤连接,在全双工条件下传输距离可达两公里。光纤布线采用星形拓扑结构,这样当过渡到ATM时,不需要重新布线可使整个网络保持原有的拓扑结构。
本校园网网络系统的设计采用层次化的设计模型,即核心层、汇聚层(分布层)、接入层(访问层)。
以上特点分层网络结构可以获得良好的扩展性。根据实际要求,整个校园网采用星型结构,并分为核心层(分布于网络中心内)和接入层(分布在教学楼、行政楼、图书馆、实验楼、工科楼以及学生宿舍各楼内,包括分布广泛的各种低端网络连接/交换设备及各种终端设备)两层。
对于整个网络的拓扑结构为混合型网络拓扑结构,以快速交换机为网络中心的星型结构,各部门以二级交换机为主节点的树形结构。
各主要楼节点的交换机分别用1000Base-SX型的多模光纤与网络中心的核心交换机相连,构成校园网千兆位以太网的主干网络,各节点交换机至桌面采用3/5型双绞线或超五类双绞线100Mbps连接。
因此本校园网络设计的拓扑结构图如图3.1所示。
11
图3.1 校园网整体拓扑结构图
4.VLAN及IP地址设计方案
网络VLAN设计
在校园网络的整个网络建设当中,VLAN的划分是十分重要的部分,很好地利用VLAN技术的功能,能起到事半功倍的效果,对整个网络的性能也是事关重要的,主要突出为以下几点。
(1)VLAN划分,可以避免广播风暴,在骨干网络中尤为突出,在播媒体、视频点播等很容易引起广播信息。划分之后,VLAN是广播只在子网中进行,不会做无意义的广播,消除了广播风暴产生的条件。
(2)VLAN划分,可以增加网络的安全性。在不同的VLAN之间不能随意通信,只限
第 11 页 共 26 页
第三章 交换模块设计
于本子网内通讯,不会对其他的子网产生干扰。要进行访问,需要通过三层交换,这样信息流就得到相当好的控制。
(3)网络管理系统采用完全的IP子网和VLAN,实现更加安全的对所有网络设备进行管理,建立VLAN和IP子网的对应关系。
(4)提高管理效率,实现虚拟的工作组,减少站点的移动和改变的开销。
(5)VLAN间的子网访问,可以在三层交换机上实现,子网间的通讯也可以在汇聚设备上实行,分流核心层交换机的三层交换,优化了组网。
在本校园网中,本地IP采用C类IP地址,子网掩码为255.255.255.0,VLAN及IP编址方案如表3.1所示。
表3.1 VLAN及IP编址方案
VLAN号 VALN名称 VLAN0 VLAN10 VLAN20 VLAN30 VLAN40 VLAN50 VLAN60 VLAN100
IP网段 202.115.0.0/24 202.115.1.0/24 202.115.2.0/24 202.115.3.0/24 202.115.4.0/24 202.115.5.0/24 202.115.6.0/24 默认网关 202.115.0.254 202.115.1.254 202.115.2.254 202.115.3.254 202.115.4.254 202.115.5.254 202.115.6.254 说明 管理VLAN 行政楼VLAN 图书馆VLAN 实验楼VLAN 教学楼VLAN 工科楼VLAN 学生宿舍VLAN — XZL TSG SYL JXL GKL XSSS FWQQ 202.115.100.0/24 202.115.100.254 服务器群VLAN
为了简化起见,除了管理VLAN外,这里只规划了7个VLAN,同时为每个VLAN定义了一个由拼音缩写组成的VLAN名称。
5 网络设备选型
(1)路由器
Cisco30型Internet接入路由器一个 (2)交换机
Cisco Catalyst 4006型核心层交换机两个:CS1,CAS1
13
Cisco Catalyst 3550型汇聚层交换机两个:DCS1,DAS1 Cisco Catalyst 2950型接入层交换机两个:ACS1,AAS1 (3)服务器
FTP服务器,WWW服务器,E-mail服务器,代理服务器,CAMS服务器,DHCP服务器,DNS服务器,VLAN100服务器群 (4)传输介质
在网络主干和各楼与楼之间采用1000Base-SX型的多模光纤,在PC与交换设备之间采用3/5型双绞线或超五类双绞线100Mbps。 (5)PC机 若干台 (6)防火墙
Cisco Secure PIX-535-R-BUN 价格:85999元 (7)操作系统
系统软件在整个软件架构中处于最底层,直接与各种类型的硬件设备交互,主要作用是
有效的支配和管理系统中的各种硬件资源。系统的选择,从理论上说,可以采用Unix、Linux、Windows或NetWare,但是系统软件的选择又是跟硬件平台的选择紧密关联的。如果硬件平台采用的是IBM公司的小型机,则操作系统就采用IBM的AIX,如果硬件平台采用的是HP的Unix服务器,则一般采用HP-UIX.。对于PC服务器,操作系统可以采用微软的WindowAS1000 Professional,Windows NT Workstation,Windows XP或Windows7。此外,与微软操作系统平台配合,选用Microsoft SQL Server2000作为数据库软件平台。 (8)网络协议
TCP/IP协议。 (9)网络管理软件
开源软件 在校园网网管领域里,开源软件正悄然流行。校园网网络管理的变化多端需要网管工具的可扩展性,可修改性良好。开源正具备这个特点,可以一直修改,直到它符合当前网络的需求。同时,开源软件的成本低。
6 设备配置
6.1vlan的配置
CS1划分vlan
第 13 页 共 26 页
第三章 交换模块设计
CS1#conf t CS1(config)#vlan 10 CS1(config-vlan)# name XZL CS1(config-vlan)#vlan 20 CS1(config-vlan)#name TSG CS1(config-vlan)#vlan 30 CS1(config-vlan)#name SYL CS1(config-vlan)#vlan 40 CS1(config-vlan)#name GKL CS1(config-vlan)#vlan 50 CS1(config-vlan)#name JXL CS1(config-vlan)#vlan 60 CS1(config-vlan)#name XSSS CS1(config-vlan)#vlan 100 CS1(config-vlan)#name FWQQ
设置交换机AS1的端口10端口VLAN10的成员: AS1(config)#vlan 10
AS1(config-vlan)# name XZL
AS1(config-vlan)#exit
AS1(config)#vlan 20 AS1(config-vlan)#name TSG
AS1(config-vlan)#exit
AS1(config)#inter f 0/10
AS1(config-if)#switchport mode access AS1(config-if)#switchport access vlan 10
设置交换机AS1的端口11/20端口VLAN20的成员: AS1(config)#inter f 11/21
15
AS1(config-if)#switchport mode access AS1(config-if)#switchport access vlan 20 AS1(config-if)#int fa0/1
AS1(config-if)# switchport mode trunk
设置交换机AS2的端口10端口VLAN30的成员: AS2(config)#vlan 30 AS2(config-vlan)# name SYL
AS2(config-vlan)#exit
AS2(config)#vlan 40 AS2(config-vlan)# name GKL
AS2(config-vlan)#exit
AS2(config)#inter f 0/10
AS2(config-if)#switchport mode access AS2(config-if)#switchport access vlan 30
设置交换机AS2的端口11/20端口VLAN40的成员: AS2(config)#inter f 11/20
AS2(config-if)#switchport mode access AS2(config-if)#switchport access vlan 40 AS2(config-if)#int fa0/1
AS2(config-if)# switchport mode trunk
6.1.1利用交换机实现vlan间的通信
采用单臂路由的方式实现vlan间路具有速度慢,转发速速率低的缺点,容易产生瓶颈,所以在网络中已不能采用三层交换机,一三层交换的方式来实现vlan间的路由。
CS1(config)#interface vlan 10
CS1(config-if)# ip address 202.115.1.1 255.255.255.0 CS1(config-if)#exit
第 15 页 共 26 页
第三章 交换模块设计
CS1(config)#interface vlan 20
CS1(config-if)# ip address 202.115.2.1 255.255.255.0 CS1(config-if)#exit
CS1(config)#interface vlan 30
CS1(config-if)# ip address 202.115.3.1 255.255.255.0 CS1 (config-if)#exit
CS1(config)#interface vlan 40
CS1(config-if)# ip address 202.115.4.1 255.255.255.0 CS1 (config-if)#exit
CS1(config)#interface vlan 50
CS1(config-if)# ip address 202.115.5.1 255.255.255.0 CS1 (config-if)#exit
CS1(config)#interface vlan 60
CS1(config-if)# ip address 202.115.6.1 255.255.255.0 CS1 (config-if)#exit
CS1(config)#interface vlan 100
CS1(config-if)# ip address 202.115.100.1 255.255.255.0 CS1 (config-if)#exit
6.2接入层的配置
我们在汇聚层采用的是核心交换机的配置,在这个二层交换机上我们对它进行创建vtp client、划分vlan端口
VTP(VLAN Trunking Protocol):是VLAN中继协议,也被称为虚拟局域网干道协议。它是思科私有协议。作用是十几台交换机在网中,配置VLAN工作量大,可以使用VTP协议,把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样他们可以自动学习到server 上的VLAN 信息。
17
VTP本质是cisco私有的vlan管理工具,它在trunk链路上传送vlan信息(vlanid,vlanname,mtu)同步vlandatabase.从而保护了二层交换网络中vlan配置的一致性
VTP的作用:vtp的主要目的是在一个交换性的环境中管理所有配置好的vlan使所有的vlan保持一致性。通常情况下,我们需要在整个园区网或者企业网中的一组的交换机中保持VLAN数据库的同步,以保证所有交换机都能从数据帧中读取相关的VLAN信息进行正确的数据转发,然而对于大型网络来说,可能有成百上千台交换机,而一台交换机上都可能存在几十乃至数百个VLAN,如果仅凭网络工程师手工配置的话是一个非常大的工作量,并且也不利于日后维护——每一次添加修改或删除VLAN都需要在所有的交换机上部署。在这种情况下,我们引入了VTP(VLAN Trunking Protocol)。
VTP模式: 服务器(server):
交换机默认的,vtp域中至少需要一台服务器,以便在整个域中传播vlan信息,可以创建、添加、删除vlan且通告整个vtp域。
客户机(client):
交换机从vtp服务器接收信息,它们也发送和接收更新,但不做任何改动。 透明(transparent):
交换机不参与vtp域,但转发vtp通告,可以创建、添加、删除vlan,但不和其他交换共享数据库。 6.2.1 vtp配置
为了让所有vlan统一配置管理,让汇聚层交换机sw1作为vtp server,sw2、sw3为vtp client。在sw1上创建所有vlan,让sw2跟sw3可以学到vlan。 6.2.2 vtp服务器配置
Switch#conf t
Switch(config)#vtp server Switch(config)#vtp domain cisco Switch(config)#vtp password cisco 6.2.3 vtp客户端配置
Switch# conf t
Switch(config)#vtp client
第 17 页 共 26 页
第三章 交换模块设计
Switch(config)#vtp domain cisco Switch(config)#vtp password cisco Switch# conf t
Switch(config)#vtp client Switch(config)#vtp domain cisco Switch(config)#vtp password cisco
6.3 路由器的配置
6.3.1路由器的配置
由于目前 IP 地址资源非常稀缺,不可能给校园网内部的所有工作站都分配 一个公有 IP(Internet 可路由的)地址。为了解决所有工作站访问 Internet 的需 要,必须使用NAT(网络地址转换)技术。
NAT 的配置:
定义 NAT 内部、外部接口 CS1(config)#interface fastehernet 0/0
CS1(config-if)#ip address 202.115.5.2 255.255.255.0 CS1(config-if)#ip nat inside CS1(config-if)#interface serial 1/0
CS1(config-if)#ip address 202.115.5.2 255.255.255.0 CS1(config-if)#ip nat outside
CS1(config)#ip nat inside source static 202.115.5.1 218.100.100.1 实现内部web服务器向提供服务:
CS1 (config)#ip nat pool pool 218.100.100.2 218.100.100.2 netmask 255.255.255.0
CS1(config)# access-list 1 permit host 202.115.5.1 CS1(config)# ip nat inside source list 1 pool pool overload CS1(config)#int f 0/2 CS1(config)#ip nat inside
19
CS1(config)#int s 0/1 CS1(config)#ip nat outside
6.3.2 OSPF的基本配置
OSPF是一个基于链路状态的内部网关协议。每个路由器维护一个相同的链路状态数据库,保存整个AS的拓扑结构。一旦每个路由器有了完整的链路状态数据库,该路由器就可以自己为根,构造最短路径树,然后再根据最短路径构造路由表。对于大型的网络,为了进一步减少路由协议通信流量,利于管理和计算,OSPF将整个AS划分为若干个区域,区域内的路由器维护一个相同的链路状态数据库,保存该区域的拓扑结构。当拓扑结构发生变化时,OSPF能迅速重新计算出路径,而只产生少量的路由协议流量。OSPF路由器相互间交换信息,但交换的信息不是路由,而是链路状态。
相对于其它协议,OSPF有许多优点:提供负载均衡功能,如果计算出到某个目的站有若干条费用相同的路由,OSPF路由器会把通信流量均匀地分配给这几条路由,沿这几条路由把该分组发送出去;在一个自治系统内可划分出若干个区域,每个区域根据自己的拓扑结构计算最短路径,这减少了OSPF路由实现的工作量;OSPF属动态的自适应协议,对于网络的拓扑结构变化可以迅速地做出反应,进行相应调整,提供短的收敛期,使路由表尽快稳定化,并且与其它路由协议相比,OSPF在对网络拓扑变化的处理过程中仅需要最少的通信流量;OSPF提供点到多点接口,支持CIDR(无类型域间路由)地址。 6.3.3在路由器和三层交换机上配置IP
CS1(config)#interface Serial 0/1
CS1(config-if)#ip address 202.115.100.254 255.255.255.0 CS1(config-if)# no shutdown CS1(config)#int f0/1 CS1(config)#no switchport
CS1(config-if)#ip address 202.115.5.254 255.255.255.0 CS1(config-if)# no shutdown 6.3.4配置OSPF路由协议
CS1(config)#router ospf 10
CS1(config-router)#network 202.115.5.0 0.0.0.3 area 0 CS1(config-router)#network 218.115.100.1 0.0.0.3 area 0
第 19 页 共 26 页
第三章 交换模块设计
CS1(config)#ip route 0.0.0.0 0.0.0.0 CS1(config)#router ospf 10
CS1(config-router)#network 192.168.0.0 0.0.3.255 area 0 CS1(config-router)#network 202.115.1.0 0.0.0.3 area 0 CS1(config-router)#network 202.115.2.0 0.0.0.3 area 0 CS1(config-router)#network 202.115.3.0 0.0.0.3 area 0 CS1(config-router)#network 202.115.4.0 0.0.0.3 area 0 CS1(config-router)#network 202.115.5.0 0.0.0.3 area 0 CS1(config-router)#network 202.115.6.0 0.0.0.3 area 0
6.4 网络安全设置
6.4.1访问控制列表
路由器是进入内网的第一道关卡,是网络防御的前沿阵地。路 由器上的问控制列表(Access Control List,ACL)是保护内网安全的有效手段。一个设计良好的访控制列表不仅可以起到控制网络流量、流向的作用, 还可以在不增加网络系统软、硬件投的情况下完成一般软、硬件防火墙产品 的功能。由于路由器介于企业内网和之间,是与内网进行通信时的第 一道屏障,所以即使在网络系统安装了防火墙产品后,仍然有必要对路由器的 访问控制列表进行缜密的设计,来对企业内网包括防火墙本身实施保护。
在本实例设计中,将针对服务器以及内网工作站的安全给出广域网接入路 由器InternetRouter 上 ACL 的配置方案。 在网络环境中普遍存在着一些非常重要的、影响服务器群安全的隐患。在 绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要该做以下的 ACL 设计: 6.4.2对外屏蔽简单网管协议
利用这个协议,远程主机可以监视、控制网络上的其它网络设备。它有两 种服务类型:SNMP 和 SNMPTRAP。
CS1 (config)#access-list 101 deny udp any any eq snmp
21
CS1(config)#access-list 101 deny udp any any eq snmptrap 6.4.3对外屏蔽远程登录协议
首先,telnet 可以登录到大多数网络设备和 UNIX 服务器,并可以使用相关 命令全操纵它们。其次,telnet 是一种不安全的协议类型。用户在使用 telnet 登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的,很 容易被网络上的非法协议分析设备截获。这是极其危险的,因此必须加以屏蔽。
CS1(config)#access-list 101 deny udp any any eq telnet 6.4.4配置访问控制列表
宿舍楼是学生为主,应宿舍楼对办公楼的访问。
CS1(config)#access-list 100 deny ip 202.115.6.0 0.0.0.255 202.115.1.0 0.0.0.255
CS1(config)#access-list 100 permit ip any any CS1(config)#int f0/5
CS1(config-if)#ip access-grop 100 in CS1(config-if)#exit
因为ftp作为学校的内部信息的流通渠道,为保证本学校的信息安全,学校不希望自己的信息被外界知道,所以要求拒绝外界网络对本学校ftp的访问,只用于内部的访问与交流,而web服务器则都可以访问。配置如下:
CS1(config)#access-list 101 permit tcp 202.115.0.0 0.0.255.255 host 200.115.1.1 eq ftp
CS1(config)#access-list 101 permit tcp any host 200.115.1.2 eq www CS1(config)#access-list 101 deny tcp any host 200.115.1.1 eq ftp CS1(config)#access-list 101 permit ip any any CS1(config)#interface CS2/1 CS1 (config-if)#ip access-group 101 in
6.5端口聚合配置
由于公司有许多的数据流量是跨交换机进行转发的,因此需要提高交换机之
间的传输带宽,并且实现链路的冗余备份,因此建立端口聚合从而增 大链路带宽,解决交换机中因带宽引起的网络瓶颈问题,多天链路之间能够相互冗余备份,其中任意一条断开,不会影响其他链路的正常转发数据。
第 21 页 共 26 页
第三章 交换模块设计
CS2(config)#interface range g2/1 CS2(config-if-range)#prot-group 1 CS2(config-if-range)#exit CS2(config)#interface g2/1
CS2(config-if)#switchport mode trunk CS2(config)#exit
CS1config)#interface range g2/2 CS1(config-if-range)#prot-group 1 CS1(config-if-range)#exit CS1(config)#interfaceg2/2
CS1(config-if)#switchport mode trunk CS1(config)#exit
6.6防火墙的设置
在现今的网络安全环境下,木马、病毒肆虐,黑客攻击频繁,而各种流氓软软件、间谍软件也行风作浪。光靠杀毒软件已不足以保证我们的系统安全,这时防火墙就能帮我们解决。
防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、网络互访用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
防火墙的功能有:
1、过滤掉不安全服务和非法用户 2、控制对特殊站点的访问
3、提供监视Internet安全和预警的方便端
7.接入Internet设计
Internet接入方式主要有以下六种:拨号上网方式,使用ISDN专线入网,使用ADSL宽带入网,使用DDN专线入网,使用帧中继方式入网,局域网接入。
23
(1)拨号上网方式
拨号上网方式又称为拨号IP方式,因为采用拨号上网方式,在上网之后会被动态地分配一个合法的IP地址。用拨号方式上网的投资不大,但是能使用的功能比拨号仿真终端方法联入要强得多。拨号上网就是通过电话拨号的方式接入Internet的,但是用户的电脑与接入设备连接时,该接入设备不是一般的主机,而是称为接入服务(Access Server)的设备,同时在用户电脑与接入设备之间的通信必须用专门的通信协议SLIP或PPP。
拨号上网的特点:投资少,适合一般家庭及个人用户使用;速度慢,因为其受电话线及相关接入设备的硬件条件,一般在56K左右。 (2)ISDN专线接入
ISDN专线接入又称为一线通、窄带综合业务数字网业务(N-ISDN)。它是在现有电话网上开发的一种集语音、数据和图像通信于一体的综合业务形式。
一线通利用一对普通电话线即可得到综合电信服务:边上网边打电话、边上网边发传真、两部计算机同时上网、两部电话同时通话等。
通过ISDN专线上网的特点:方便,速度快,最高上网速度可达到128K/S。 (3)ADSL宽带入网
ADSL即不对称数字线路技术,是一种不对称数字用户线实现宽带接入互联网的技术,其作为一种传输层的技术,利用铜线资源,在一对双绞线上提供上行0kbps、下行8Mbps的宽带,从而实现了真正意义上的宽带接入。
ADSL宽带入点:与拨号上网或ISDN相比,减轻了电话交换机的负载,不需要拨号,属于专线上网,不需另缴电话费。 (4)DDN专线入网
DDN即数字数据网,是利用数字传输通道(光纤、数字微波、卫星)和数字交叉复用节点组成的数字数据传输网。可以为用户提供各种速率的高质量数字专用电路和其它新业务,以满足用户多媒体通信和组建中高速计算机通信网的需要。 其主要特点:
传输质量高,信道利用率高;传输速率高,网络时延小;·数据信息传输透明度高,可支持任何规程,可传输语音、数据、传真、图象等多种业务;适用于数据信息流量大的校园;·网络运行管理简便,对数据终端的数据传输速率没有特殊要求。
其主要优点:
能提供高性能的点到点通信;通信保密性强,特别适合金融、保险等保密性要求高的客户需要;传输质量高,网络时延小,通信速率可根据用户需要选择;信道固定分配,充分
第 23 页 共 26 页
第三章 交换模块设计
保证了通信的可靠性,保证用户的带宽不会受其他用户的影响;用户通过这条高速的国际互联网通道,可构筑自己的Internet、E-mail等应用系统;用户网络的整体接入使局域网内的PC均可共享互联网资源;用户可免费得到多个Internet 合法IP地址及域名;用户可实现每天24小时全天候的信息发布,即用户可建立自己的Web站点,向国际互联网发布自己的信息或提供信息服务;·用户可通过防火墙等技术保护内部网络免受不良侵害;用户可通过VPN(Virtual Private Network)虚拟私用网络功能,利用首创网络综合信息平台实惠安全、可靠的企业网的国际网络互联,从而构建起企业的国际专用互 联网络。 (5)帧中继方式入网
帧中继是在OSI第二层上用简化的方法传送和交换数据单元的一种技术。通过帧中继入网需申请帧中继电路,配备支持TCP/IP协议的路由器,用户必须有LAN(局域网)或IP主机,同时需申请IP地址和域名。入网后用户网上的所有工作站均可享受Internet的所有服务。
帧中继上点:通信效率高,租费低,适用于LAN之间的远程互联,传输速率在9600bps~2048kbps之间。 (6)局域网接入
局域网连接就是把用户的电脑连接到一个与Internet直接相连的局域网LAN上,并且获得一个永久属于用户电脑的IP地址。不需要Modem和电话线,但是需要有网卡才能与LAN通信。同时要求用户电脑软件的配置要求比较高,一般需要专业人员为用户的电脑进行配置,电脑中还应配有TCP/IP软件。
局域网接入的特点:传输速率高,对电脑配置要求高,需要有网卡,需要安装配有TCP/IP的软件。
通过对比选择使用DDN专线入网,DDN专线的特点:采用数字电路,传输质量高,信道利用率高,数据信息流量大,时延小,通信速率可根据需要选择;电路可以自动迂回,可靠性高,适用于校园网络。
校园网采用DDN专线接入的方式上网,校园内上网采用NAT的方式,保证师生上网方便。
25
8扩展性考虑
(1)首先是网络设备扩展方面:
每个核心、汇聚设备都应该考虑端口的可扩展性,本方案对每个设备都有预留端口,以适应将来网络可能发生的变化; (2)其次是网络接入的可扩展性:
路由器支持VPN并且考虑到校区会更大地扩展,我们选择支持VPN的路由器; (3)IP地址的预留:
本方案在每间教室都有剩余的IP地址,以适应将来主机增多的需求,还有公有IP地址段的预留(扩展校区使用)。
体会
通过这次课程设计,我完成了以某校为背景的一个校园局域网,把《计算机网络》这一门课程的知识充分应用到了实践设计中,再次学习和掌握了这门课程的相关知识。同时还参考了许多其他有关这门课程的相关书籍和资料,对局域网的作用和组建有了更深一层的认识,基本学会了如何组建、怎样组建一个校园局域网。此外,自己学会了举一反三,将不同类型的网络进行比较,找出其中的相同点和不同点,为以后组建更加完善的网络打下基础。
这次课程设计使我受益匪浅。通过这次课程设计,我懂得了理论与实践相结合,从理论中得出结论,才能学以致用,不仅,掌握了组建计算机网络的基本技术,而且提高了应用能力和动手实践能力。
课程设计是一次自我学习的过程。一开始会遇到困难,不知道如何下手,通过认真、耐心地分析和研究,终于有了思路,做起来也就容易了。
课程设计是培养我们综合运用所学知识,发现、提出、分析和解决实际问题的能力的重要环节,是对我们实际工作能力的训练和考察。随着科学技术发展的日新月异,网络已成为当今计算机发展中空前活跃的领域,在生活中无处不在。因此作为二十一世纪的计算机专业大学生的我们掌握网络组网技术是非常重要的。
第 25 页 共 26 页
第三章 交换模块设计
参考文献
[1]《CCNA学习指南:Cisco网络设备互连(ICND2)(第三版)》,Steve McQuerry,人民邮电出版社,2008.9
[2] 思科网络技术学院教程(第一、二学期),Cisco Systems公司,人民邮电出版社,2005.2
[3] Cisco现场手册:路由器配置,David Hucaby、CCI,人民邮电出版社,2005.1 [4] 交换机/路由器及其配置,石硕、林莉等,电子工业出版社,2006.7
因篇幅问题不能全部显示,请点此查看更多更全内容