XX中小型校园网设计方案Word下载.docx

1、3.4.4 ：为其他工作站定义复用地址转换 63.5 ：配置路由器 internetrouter 上的 acl 63.5.1 ：对外屏蔽单网管协议，即 snmp 63.5.2 ：对外屏蔽远程登录协议 telnet 63.5.3 ：对外屏蔽其他不安全的协议或服务 7第四章：远程访问方案 . 74.1 ：物理线路的基本配置 . 74.2 ：接口基本参数 . 74.3 ：身份认证 . 7第五章：总体建设 . 85.1 ：网络拓扑 . 85.2 ： vlan 及 ip 规划 85.3 ：设备清单 . 10需求分析1.1. 项目背景学校共有 6 个集中接入点（计算机系、管理系、财务系、教务系、建筑系、学

2、生宿舍）1.2. 建设目标. 通过冗 余的光纤 链路上 连到信息 中心的核 心层 交换机上 。核心层 交换 机通过 cisco3640 路由器接入 Internet 。除此， 教工宿舍以及办公室用户通过拨号方式接入路由器 3640 来访问校园网内网以及 Internet 。实现访问层交换机服务实现分层交换机服务广域网接入的功能是广域网接入路由器 Internetrouter 来完成，采用 cisco 的 3640 路由器通过自己串行接口使用 ddn 技术接入 Internet 。用 Internet 和校园网内网间路由数 据包。利用访问控制列表，广域网接入路由器 interestrouter

3、还可用来完成以自身为中心 的流量控制和过滤功能实现一定的安全。广域网采用不同的类型的封装协议，如： ppp、 hdlc 等。其中， ppp 除了提供身份认证功能外，还要能提供其他很多配置，包括链路压缩、多链路捆绑、回叫等。可以集成在广域网接入路由器interestrouter 中的异步modemNM16A提供远程访问服务， 并同时对最多16路拨号用户提供远程接入服务。交换机配置方案访问层交换机1 ：设置交换机名称Switch （config ） #hostname accessswitch1Accessswitch1 （config ） #2：设置交换机的加密使用口令Accessswitch1

4、 （config ）#enable secret secretpasswd3：设置登录虚拟终端线时的口令Acessswitch1 （ config ）#line vty 0 15Accessswitch1 （ config ） #loginAccessswitch1 （ config line ） #password youguess 4：设置终端线超时时时间Accessswitch1config ） #line vty 0 15） #exec-timeout 5 30config-line config-line config-line） #line con 05：设置禁止 ip 地址解析特

5、性config ） #no ip domain-lookup6：设置启用用户消息同步特性Accessswitch1 （ config ） #logging synchronous2.1.1 ：访问层交换机 accessswitch1 的管理 ip 、默认网关访问层交换机时 osi 参考模型第 2 层设备， 既数据链路层的设备。 因此给访问层交换机的每个端口设置 ip 地址的时没有意义的。但是，为了使网络管理人员可以远程登录到访问层交 换上进行管理，必须给访问层交换机设置一个原理 ip 地址。这种情况下，实际上使将交换 机看成和 pc 机一样的主机Accessswitch1 （ config ）

6、 interface vlan1Accessswitch1 （ config-if ）#ip address Accessswitch1 （ config-if ）#no shutdown2.1.2 ：从提高效率的角度出发，在本销往实现实力中使用了 vtp 技术，同时，将分布层交 换机 distributeswitch1 设置成 vtp 服务器，其他交换机设置成 vtp 客户机。 1：端口双工配置端口速度config ） #interface range config-if-range ） #duplex fullconfig-if-range ） #speed 100分布层交换机核心层交换机

7、略广域网接入方案接入路由器 internetrouter 的基本配置对接入路由器 internetrouter 的基本参数的配置步骤与对访问层交换机 Access Switch 的。4基本配置参数的配置类似。Router#configure terminal Router（config）#hostname internetrouter Internetrouter（config）#enable secret youguess Internetrouter（config）#line con 0 Internetrouter（config-line）#logging synchronous Int

8、ernetrouter（config-line）#exec-timeout 5 30 Internetrouter（config-line）#line vty 0 4 Internetrouter（config-line）#password abc Internetrouter（config-line）#longin Internetrouter（config-line）#exec-timeout 5 30 Internetrouter（config-line）#exit Internetrouter（config-line）#no ip domain-lookup 接入路由器 interne

9、trouter 的个接口ip 地址、子网掩码的配置对接口路由器的个接口参数的主要是对接口以的Internetrouter（config）#interface Internetrouter（config-if）#ip address Internetrouter（config-if）#no shutdownInternetrouter（config-if）#interface Internetrouter（config-if）#ip address 接入路由器 internetrouter 的路由功能Internetrouter（config）#ip route 到校园网内部的路由条目可以经过路

10、由汇总后形成两条路由条目Internetrouter （ config ） #ip route上的 nat 接入路由器 internetrouter由于目前 ip 地址资源非常紧张，不可能给校园网内部的所有工作站都分配一个公有地址。 为了解决所有工作站访问 internet 的需要，必须使用 nat 技术定义 nat 内部、外部接口Internetrouter（config-if）#ip nat insideInternetrouter（config-if）#ip nat outside定义允许进行 nat 的工作站的内部局部 ip 地址范围Internetrouter （ config ）

11、#access-ist permit 为服务器定义静态地址转换Internetrouter （ config ） #ip nat inside source static 为其他工作站定义复用地址转换Internetrouter （ config ） #ip nat inside source list1 interface配置路由器 internetrouter 上的 acl路由器是外网进入校园网的第一道关卡， 是网络防御的前沿阵地。 路由器上的访问控制列表 是保护内网安全带饿有效手段。对外屏蔽单网管协议，即 snmp利用这个协议， 远程主机可以监视、 控制网络上的其他网络设备。 它有两种服

12、务类型： snmp 和 snmptrapInternetrouter （ config ） #access-list 101 deny udp any eq snmpInternetrouter（config）#access-list 101 deny udp any andy eq snmptrapInternetrouter （ config ） #access-list 101 permint ip any anyInternetrouter （ config ） #interface-Interfacerouter （ config ）ip access-group 101 in对外屏

13、蔽远程登录协议 telnettelnet 可以登录到大多数网络设备 unix 服务器，并可以使用相关命令完全操作他们。其次 telnet 是一种不安全的协议，用户在登录时说用户的口令是以明文传输的，很容易被网络 上的非法协议分析设备截获。所以必须屏蔽。Internetrouterconfig ） #access-list 101 deny tcp any any eq telnetconfig ） #access-list 101 permint ip any anyconfig ） #interface config ） #ip access-group 101 in对外屏蔽其他不安全的协议

14、或服务这样的协议主要有 sun os 的文件共享协议端口 2049，远程执行、远程登录和远程命令端口512、 513、514，远程过程条用端口 111，可以将针对以上协议综合进行设计Interetrouterconfig ） #access-list 101 deny tcp any any range 512 514config ） #access-list 101 deny tcp any any eq 111config ） #access-list 101 deny udp any any eq 111config ） #access-list 101 deny tcp any any

15、 range 2049config ） #interfaceconfig-if ） #ip access-group 101 in远程访问方案物理线路的基本配置对物理线路的配置过括配置先例速度（ DTE DCE之间的速率）、停止未位数、流控方式、允许呼入连接协议类型、允许流量的方向。Internetrouter Internetrouter Internetrouter Internetrouter Internetrouter Internetrouter（ config ） #line 97（ config-line ） #mode inout（ config-line ） #transp

16、ort input all（ config-line ） #stopbits 1（ config-line ） #speed 115200（ config-line ） #flowcontrol hardware接口基本参数对接口的配置： 接口封装协议类型、 接口异步模式、 ip 地址、 远程客户分配 ip 地址的方式。（ config ） #interface async 97（ config-if） #ip address ） #encapsulation ppp） #async mode dedicated） #peer defult ip address pool rasclieats

17、身份认证PPP提供两种可选的身份认证：口令验证协议 PAP （Password Authentication Protocol ）和咨询握手协议（ Challenge Handshake Authenticntion Protocol ）PAP认证方法:In tern etrouterIn ternetrouter（config ） #interface async 97（config-if ） #ppp authentication cation pap总体建设5.1 PSTN:：DID： :匚二匸学生宿舍财务系计算机系* Internet教务处口 =1 匚迦nt ox建筑系C：D管理系:网

18、络拓扑校园网络的总体拓扑结构图5.2 : vlan 及 ip 规划VLAN 号VLAN名称IP网段默认网关说明VLAN1Default192.168.0.0/24192.168.0.254管理VLANVLAN10JWC192.168.1.0/24192.168.1.254教务处VLANVLAN20XSSS192.168.2.0/24192.168.2.254学生宿舍VLANVLAN30CWC192.168.3.0/24192.168.3.254财务处VLANVLAN40JGSS192.168.4.0/24192.168.4.254教工宿舍VLANVLAN50JZX192.168.5.0/241

19、92.168.5.254建筑系VLANVLAN60GLX192.168.6.0/24192.168.6.254管理系VLANVLAN70JSJX192.168.7.0/24192.168.7.254计算机系VLANVLAN80FWQQ192.168.100.0/24192.168.100.254服务器群VLANPPPRASPAP192.168.200.0/27NASO/O 1923.1.1.1/30CLF0/0:192.168.0.254/24InternetVLAN100Server Farm1F4/3G3/1F0/1-20CereLayerG0/2F0/24F0/230/24ISOAcce

20、ssLayerLayer 2 SwitchCoreswitch1 In tegrated ISOCoreswitch2In tegrated ISOG2/1G2/2G0/1In tegrated IOSDistributeSwitch2Distribute LayerLayer 3 switchIn tegrated IOS DistributeSwitch1AccessSwitch1G2/1 耳AccessSwitch2Vian 10:f0/1-10Vian 20:f0/10-20Vian 30:Vian 40:f0/11-20校园网络整体拓扑结构图5.3 :设备清单接口数型号台数单价总价核心交换机接入层交换机路由器