校园网局域网的搭建.doc
《校园网局域网的搭建.doc》由会员分享,可在线阅读,更多相关《校园网局域网的搭建.doc(14页珍藏版)》请在冰点文库上搜索。
河南理工大学
计算机科学与技术学院
课程设计报告
2014—2015学年第一学期
课程名称路由协议与交换技术
设计题目校园网局域网的搭建
姓名
学号
专业班级
指导教师
2015年1月14日
12
目录
一、设计分析......................................3
1.1目的与要求................................3
1.2思科模拟器简介............................3
二、校园网简介....................................3
2.1校园网现状................................3
2.2校园网基本功能............................3
三、校园网模拟与设计..............................4
3.1交换机模块设计............................4
3.1.1交换机的选择...........................5
3.1.2.核心层交换机的说明配置................5
3.1.3汇聚层交换机的说明配置.................7
3.1.4接入层交换机的说明配置.................9
3.2路由器模块设计............................9
3.2.1路由协议的概念和种类..................9
3.2.2管理路由器的访问方式.................11
四、防火墙的配置.................................12
五、总结..........................................13
六、参考文献......................................13
附录:
网络拓扑图..................................14
一、设计分析
1.1目的与要求
利用所学过的路由协议与交换技术完成校园网局域网的配置,需要用到一下技术:
1、三层交换技术实现VLAN连通性2、链路聚合3、生成树协议迪杰特拉斯算法VLAN4、局域网要加上防火墙。
1.2思科模拟器简介
PacketTracer是由Cisco公司发布的一个辅助学习工具,为学习CCNA课程的网络初学者去设计、配置、排除网络故障提供了网络模拟环境。
学生可在软件的图形用户界面上直接使用拖曳方法建立网络拓扑,软件中实现的IOS子集允许学生配置设备;并可提供数据包在网络中行进的详细处理过程,观察网络实时运行情况。
经测试,以前版本下搭建的模拟应用文件,在该版本中可能出现网络通讯不正常,而且发现建立在不同版本中的模拟文件,不能正常通用,尤其是网络情况复杂的情况下,如遇此类问题,并非软件故障,请按照模拟环境在使用的版本软件环境下重新搭建一番就可以了。
二、校园网简介
2.1校园网现状
随着经济的发展和国家科教兴国战略的实施,校园网络建设已逐步成为学校的基础建设项目,更成为衡量一个学校教育信息化、现代化的重要标志。
目前,大多数有条件的学校已完成了校园网硬件工程建设。
然后,多年来都对校园网的认识不够全面,甚至存在很大的误区。
例如:
认为网络建设越高档越好,在建设中盲目追求高投入,对校园网络建设的建设缺乏综合规划及开发应用;认为建好了校园网络,连接了Internet,就等于实现了教学和办公的自动化和信息化,而缺乏对校园网络的综合管理、技术人员和教师的应用培训,缺乏对教学资源的开发与积累等等。
所有这些,都极大地阻碍了校园网络在学校管理、教育教学中所应发挥的实际效益。
校园网是一个基于校园学习、生活、娱乐、游戏、创业为主题的SNS网络平台,是整合基于博客、空间、社区论坛、校友录、群组、话题、相册、音乐、WEB游戏、网络教学、P2P、流媒体、威客等众多web2.0应用于一体的开放WEB操作系统,并采用最先进的WEB桌面操作系统技术实现。
校园网致力于打造中国最大的校园互动网络平台。
为校园提供全方位的网络信息化服务,同时整合社会上其他优势资源,让校园网络服务包罗万象,应有尽有,也带动其他产业快速发展,形成一条完整而巨大的校园产业服务链。
2.2校园网功能
校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。
首先,校园网应为学校教学、科研提供先进的信息化教学环境。
这就要求:
校园网是一个宽带、具有交互功能和专业性很强的局域网络。
多媒体教学软件开发平台、多媒体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等,都可以在该网络上运行。
如果一所学校包括多个专业学科(或多个系),也可以
形成多个局域网络,并通过有线或无线方式连接起来。
其次,校园网应具有教务、行政和总务管理功能。
其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、Intranet/Internet的应用、网络安全,网络系统的维护等内容。
三、校园网模拟与设计
本次的课题设计是在模拟软件的基础上实现的,因此此次的网络设备选择主要是依据该软件中具有的设备。
PacketTracer5.3是思科公司专门为CCNA考试人员设计的一块软件,通过这个软件能够让我们模拟出各种路由、交换协议,而且,能够测试各种设备的工作情况。
3.1交换机模块设计
l使用双核心网络的主要目的是实现冗余的连接防止单点失效,从逻辑上,大型网络可分为核心层、分布层和接入层,每层都有其特点。
3.1.1交换机的选择
交换机分为二层交换机和三层交换机两种类型,其中二层交换机的工作原理是:
(1)当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样它就知道源MAC地址的机器是连在哪个端口上的;
(2)再去读取包头中的目的MAC地址,并在地址表中查找相应的端口;
(3)如表中有与这目的MAC地址对应的端口,把数据包直接复制到这端口上;
(4)如表中找不到相应的端口则把数据包广播到所有端口上,当目的机器对源机器回应时,交换机又可以学习一目的MAC地址与哪个端口对应,在下次传送数据时就不再需要对所有端口进行广播了。
不断的循环这个过程,对于全网的MAC地址信息都可以学习到,二层交换机就是这样建立和维护它自己的地址表。
可以看出二层交换机没有路由功能,当不同的子网进行通信是要借助路由器实现数据包的转发,所以当子网数量较多时,路由器的接口数量就成了一个瓶颈,而三层交换机就能解决这一缺点。
三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发,加入路由功能也是为这个目的服务的。
因此具有路由功能的快速转发的三层交换机就成为首选。
我们选择CISCO3560-24PS作为核心层交换机,这个设备有26个端口,其中有两个端口支持1Gbps的带宽,选择CISCO2950-24二层交换机作为接入层交换机,这个设备有24个接口,能够实现10M/100M自适应到桌面的功能,而且,这两款交换机都支持vlan功能。
3.1.2核心层交换机的说明配置
核心层的功能主要是实现骨干网络之间的优化传输,核心层设计任务的重点通常是冗余能力、可靠性和高速的传输。
核心交换机采用三层交换机,该校园网分为3个vlan,vlan2、vlan3、vlan4分别接在核心交换机一的f0/1、f0/2、f0/3接口.
(1)基于端口vlan的划分这是最常应用的一种VLAN划分方法,应用也最为广泛、最有效,目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。
在核心交换机上的配置如下:
sw0(config)#intf0/1
sw0(config-if)#switchportmodetrunk
sw0(config-if)#switchportaccessvlan2
sw0(config)#intf0/2
sw0(config-if)#switchportmodetrunk
sw0(config-if)#switchportaccessvlan3
sw0(config)#intf0/3
sw0(config-if)#switchportmodetrunk
sw0(config-if)#switchportaccessvlan4
sw1(config)#intf0/1
sw1(config-if)#switchportmodetrunk
sw1(config-if)#switchportaccessvlan5
(2)配置VLAN的各个接口的地址
sw0(config)#intvlan2
sw0(config-if)#ipadd172.16.2.1255.255.0.0
sw0(config-if)#noshutdown
sw0(config-if)#exit
sw0(config)#intvlan3
sw0(config-if)#ipadd172.17.3.1255.255.0.0
sw0(config-if)#noshutdown
sw0(config-if)#exit
sw0(config)#intvlan4
sw0(config-if)#ipadd192.168.4.1255.255.255.0
sw0(config-if)#noshutdown
sw1(config)#intvlan5
sw1(config-if)#ipadd192.168.5.1255.255.255.0
sw1(config-if)#noshutdown
sw1(config-if)#exit
(3)端口聚合提供冗余备份链路,端口聚合又称链路聚合,是指两台交换机之间在物理上将多个端口连接起来,将多条链路聚合成一条逻辑链路,从而增大链路带宽,解决交换网络中因带宽引起的网络瓶颈问题。
多条物理链路之间能够相互冗余备份,其中任意一条链路断开,不会影响其他链路的正常转发数据。
该核心交换机采用的是两条,具体配置如下:
Switch(config)#interport-channel1
Switch(config-if)#noswitchport
Switch(config-if)#noshutdown
Switch(config-if)#ipaddress172.19.0.1255.255.0.0
Switch(config)#intergig0/1
Switch(config-if)#channel-g
Switch(config-if)#channel-group1mon
Switch(config)#intergig0/2
Switch(config-if)#channel-group1mon
3.1.3汇聚层交换机的说明配置
分布层提供基于统一策略的互连性,它是核心层和访问层的分界点,定义了网络的边界,对数据包进行复杂的运算。
在园区网络环境中,分布层主要提供如下功能:
1.地址的聚集2.部门和工作组的接入3.广播域/多目传输域的定义4.InterVLAN路由5.介质的转换6.安全控制
当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(VlanTrunkingProtocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。
然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。
这样,大大减轻了网络管理人员的工作负担和工作强度。
将分布层交换机学生公寓区的交换机设置成为VTP服务器,其他交换机设置成为VTP客户机。
(1)访问层交换机学生公寓区的交换机作为服务器的配置如下:
s4#vlandatabase
s4(vlan)#vtpdomaindong
s4(vlan)#vlan2
s4(vlan)#vlan3
s4(vlan)#vlan4
s4(vlan)#vlan5
s4(vlan)#vtpserver
(2)trunk端口
在最普遍的路由与交换领域,VLAN的端口聚合也有的叫TRUNK,不过大多数都叫TRUNKING,如CISCO公司。
所谓的TRUNKING是用来在不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。
其中交换机之间互联用的端口就称为TRUNK端口。
与一般的交换机的级联不同,TRUNKING是基于OSI第二层数据链路层(DataLinkLayer)RUNKING技术,如果你在2个交换机上分别划分了多个VLAN(VLAN也是基于Layer2的),那么分别在两个交换机上的VLAN10和VLAN20的各自的成员如果要互通,就需要在A交换机上设为VLAN10的端口中取一个和交换机B上设为VLAN10的某个端口作级联连接。
VLAN20也是这样。
那么如果交换机上划了10个VLAN就需要分别连10条线作级联,端口效率就太低了。
当交换机支持TRUNKING的时候,事情就简单了,只需要2个交换机之间有一条级联线,并将对应的端口设置为Trunk,这条线路就可以承载交换机上所有VLAN的信息。
这样的话,就算交换机上设了上百个个VLAN也只用1个端口就解决了。
如果是不同台的交换机上相同id的vlan要相互通信,那么可以通过共享的trunk端口就可以实现,如果是同一台上不同id的vlan/不同台不同id的vlan它们之间要相互通信,需要通过第三方的路由来实现。
该层对学生公寓区交换机trunk配置如下:
s4(config)#intf0/1
s4(config-if)#switchportmodetrunk
s4(config)#intf0/2
s4(config-if)#switchportmodetrunk
3.1.4接入层交换机的说明配置
接入层是最终用户(教师、学生)与网络的接口,它应该提供即插即用的特性,同时应该非常易于使用和维护。
另外,通过VTP的设置,我们可以更好的将汇聚层的vlan信息导入到接入层,只需要将不同的端口加入不同的vlan,就能够是机器之间通信。
在该层的一个交换机上的配置如下:
!
进入vtp数据库
Switch#vlandatadase
!
设置vtp域名
Switch(vlan)#vtpdomaindong
!
设置vtp模式
Switch(vlan)#vtpclient
Switch(vlan)#exit
Switch#configgureterminal
!
配置接口F0/1为中继接口
Switch(config-if)#intf0/1
!
设置为trun模式
Switch(config-if)#switchportmodetrunk
3.2路由器模块设计
路由器是内部局域网和广域网的分界点,主要是能够进行数据包的转发和路径的选择。
另外,路由器要能够支持不同网络提供商的接入,实现线路的冗余,我在次课设中我选择Cisco1841路由器。
3.2.1路由协议的概念和种类
1.RIP协议
RIP(RoutinginformationProtocol)是应用较早、使用较普遍的内部网关协议(InteriorGatewayProtocol,简称IGP),适用于小型同类网络,是典型的距离向量(distance-vector)协议。
RIP通过广播UDP报文来交换路由信息,每30秒发送一次路由信息更新。
RIP提供跳跃计数(hopcount)作为尺度来衡量路由距离,跳跃计数是一个包到达目标所必须经过的路由器的数目。
如果到相同目标有二个不等速或不同带宽的路由器,但跳跃计数相同,则RIP认为两个路由是等距离的。
RIP最多支持的跳数为15,即在源和目的网间所要经过的最多路由器的数目为15,跳数16表示不可达。
2.EIGRP加强型内部网关路由协议
EIGRP路由协议是Cisco的私有路由协议,它综合了距离矢量和链路状态2者的优点,其中包括:
(1)快速收敛:
链路状态包(Link-StatePacket,LSP)的转发是不依靠路由计算的,所以大型网络可以较为快速的进行收敛.它只宣告链路和链路状态,而不宣告路由,所以即使链路发生了变化,不会引起该链路的路由被宣告.但是链路状态路由协议使用的是Dijkstra算法,该算法比较复杂,并且较占CPU和内存资源和其他路由协议单独计算路由相比,链路状态路由协议采用扩散计算通过多个路由器并行的记性路由计算,这样就可以在无环路产生的情况下快速的收敛.
(2) 减少带宽占用:
EIGRP不作周期性的更新,它只在路由的路径和度发生变化以后做部分更新.当路径信息改变以后,DUAL只发送那条路由信息改变了的更新,而不是发送整个路由表.和更新传输到一个区域内的所有路由器上的链路状态路由协议相比,DUAL只发送更新给需要该更新信息的路由器。
在WAN低速链路上,EIGRP可能会占用大量带宽,默认只占用链路带宽50%,之后发布的IOS允许使用命令ipbandwidth-percenteigrp来修改这一默认值.
(3)支持多种网络层协议:
EIGRP通过使用“协议相关模块”(即protocol-dependentmodule),可以支持IPX,ApplleTalk,IP,IPv6和NovellNetware等协议.
(4)无缝连接数据链路层协议和拓扑结构:
EIGRP不要求对OSI参考模型的层2协议做特别是配置.不像OSPF,OSPF对不同的层2协议要做不同配置,比如以太网和帧中继总之,EIGRP能够有效的工作在LAN和WAN中,而且EIGRP保证网络不会产生环路(loop-free);而且配置起来很简单;支持VLSM;它使用多播和单播,不使用广播,这样做节约了带宽。
3.OSPF开放最短路径优先路由协议
OSPF(OpenShortestPathFirst开放式最短路径优先)是一个内部网关协议(InteriorGatewayProtocol,简称IGP),用于在单一自治系统(autonomoussystem,AS)内决策路由。
与RIP相对,OSPF是链路状态路由协议,而RIP是距离向量路由协议。
链路是路由器接口的另一种说法,因此OSPF也称为接口状态路由协议。
OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短路径构造路由表。
OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。
在这里,路由域是指一个自治系统(AutonomousSystem),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。
在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。
作为一种链路状态的路由协议,OSPF将链路状态广播数据包LSA(LinkStateAdvertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。
运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。
在一个OSPF区域中只能有一个骨干区域,可以有多个非骨干区域,骨干区域的区域号为0。
各非骨干区域间是不可以交换信息的,他们只有与骨干区域相连,通过骨干区域相互交换信息。
非骨干区域和骨干区域之间相连的路由叫边界路由(ABRs-AreaBorderRouters),只有ABRs记载了各区域的所有路由表。
各非骨干区域内的非ABRs只记载了本区域内的路由表,若要与外部区域中的路由相连,只能通过本区域的ABRs,由ABRs连到骨干区域的BR,再由骨干区域的BR连到要到达的区域。
骨干区域和非骨干区域的划分,大大降低了区域内工作路由的负担。
其中,RIP和OSPF路由协议是通用的路由协议,而EIGRP是cisco公司的专用协议,只有cisco公司的设备支持,因此这个协议具有局限性,在大部分局域网内,因此OSPF是首选的路由协议。
3.2.2管理路由器的访问方式
路由器的管理方式可分为两种:
带内管理和带外管理。
通过路由器的Console口管理交换机属于带外管理,不占用交换机的网络接口,特点是线缆特殊,需要近距离配置。
telnet指路由器的网络接口,连接到网络中的某台主机。
利用这台主机进行远程管理和配置,特点是网管可以进行远程控制。
配置路由器远程登录密码,代码如下:
Router(config)#linevty04
Router(config-line)#passworddong
Router(config-line)#login
配置路由器特权模式密码:
Router(config)#enablepassworddong
无线局域网的配置代码如下:
ipdhcppoolwireless
network192.168.0.0255.255.255.0
default-router192.168.0.1
dns-server192.168.8.11
四、防火墙的配置
cisco防火墙配置。
硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,从结构上讲,简单地说是一种PC式的电脑主机加上闪存(Flash)和防火墙操作系统。
它的硬件跟共控机差不多,都是属于能适合24小时工作的,外观造型也是相类似。
主要的技术有数据包过滤技术、应用网关和代理服务等;防火墙体系结构在网络中的设置应用。
例如屏蔽子网型防火墙。
它是由两个包过滤路由器和两个堡垒机组成。
堡垒主机和服务器放置在一个处于内外网的小型网络(Dmz安全区)中。
连接外网的包过滤路由器主要用来防止外网的攻击。
并管理外网对dmz的访问。
第二给个包过滤路由器是它置接受源于堡垒主机的数据,负责管理Dmz和内网之间的访问。
这样对外网,内部网是不可见的。
同理对于内网外网是不可见的,内网眼通过代理服务才能访问外网。
对于入侵者必须通过外部路由器和堡垒主机,内部路由器才能入侵到内网中。
到目前可以认为是最安全的。
1.访问控制列表(AccessControlList,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
具体配置如下:
interfaceVlan4
ipaddress192.168.4.1255.255.255.0
ipaccess-group100out
access-list100denyip172.16.0.00.0.255.255192.168.4.00.0.0.255
access-list100permitipanyany
2.网络地址转换(NAT)
Router(config)#intf0/1
Router(config-if)#ipnatinside
Router(config-if)#exi
升级会员 