XX中小型校园网设计方案Word下载.docx
《XX中小型校园网设计方案Word下载.docx》由会员分享,可在线阅读,更多相关《XX中小型校园网设计方案Word下载.docx(14页珍藏版)》请在冰点文库上搜索。
3.4.4:
为其他工作站定义复用地址转换6
3.5:
配置路由器internetrouter上的acl6
3.5.1:
对外屏蔽单网管协议,即snmp6
3.5.2:
对外屏蔽远程登录协议telnet6
3.5.3:
对外屏蔽其他不安全的协议或服务7
第四章:
远程访问方案.7
4.1:
物理线路的基本配置.7
4.2:
接口基本参数.7
4.3:
身份认证.7
第五章:
总体建设.8
5.1:
网络拓扑.8
5.2:
vlan及ip规划8
5.3:
设备清单.10
需求分析
1.1.项目背景
学校共有6个集中接入点(计算机系、管理系、财务系、教务系、建筑系、学生宿舍)
1.2.建设目标
.通过冗余的光纤链路上连到信息中心的核心层交换机上。
核心层交换机通过cisco3640路由器接入Internet。
除此,教工宿舍以及办公室用户通过拨号方式接入路由器3640来访问校园网内网以及Internet。
实现访问层交换机服务
实现分层交换机服务
广域网接入的功能是广域网接入路由器Internetrouter来完成,采用cisco的3640路由器通过自己串行接口使用ddn技术接入Internet。
用Internet和校园网内网间路由数据包。
利用访问控制列表,广域网接入路由器interestrouter还可用来完成以自身为中心的流量控制和过滤功能实现一定的安全。
广域网采用不同的类型的封装协议,如:
ppp、hdlc等。
其中,ppp除了提供身份认证
功能外,还要能提供其他很多配置,包括链路压缩、多链路捆绑、回叫等。
可以集成在广域
网接入路由器interestrouter中的异步modemNM16A提供远程访问服务,并同时对最多16
路拨号用户提供远程接入服务。
交换机配置方案
访问层交换机
1:
设置交换机名称
Switch(config)#hostnameaccessswitch1
Accessswitch1(config)#
2:
设置交换机的加密使用口令
Accessswitch1(config)#enablesecretsecretpasswd
3:
设置登录虚拟终端线时的口令
Acessswitch1(config)#linevty015
Accessswitch1(config)#login
Accessswitch1(config—line)#passwordyouguess4:
设置终端线超时时时间
Accessswitch1
config)#linevty015
)#exec-timeout530
config-lineconfig-lineconfig-line
)#linecon0
5:
设置禁止ip地址解析特性
config)#noipdomain-lookup
6:
设置启用用户消息同步特性
Accessswitch1(config)#loggingsynchronous
2.1.1:
访问层交换机accessswitch1的管理ip、默认网关
访问层交换机时osi参考模型第2层设备,既数据链路层的设备。
因此给访问层交换机的每
个端口设置ip地址的时没有意义的。
但是,为了使网络管理人员可以远程登录到访问层交换上进行管理,必须给访问层交换机设置一个原理ip地址。
这种情况下,实际上使将交换机看成和pc机一样的主机
Accessswitch1(config)interfacevlan1
Accessswitch1(config-if)#ipaddress
Accessswitch1(config-if)#noshutdown
2.1.2:
从提高效率的角度出发,在本销往实现实力中使用了vtp技术,同时,将分布层交换机distributeswitch1设置成vtp服务器,其他交换机设置成vtp客户机。
1:
端口双工配置
端口速度
config)#interfacerange
config-if-range)#duplexfull
config-if-range)#speed100
分布层交换机
核心层交换机
略
广域网接入方案
接入路由器internetrouter的基本配置
对接入路由器internetrouter的基本参数的配置步骤与对访问层交换机AccessSwitch的
。
4
基本配置参数的配置类似。
Router#configureterminalRouter(config)#hostnameinternetrouterInternetrouter(config)#enablesecretyouguessInternetrouter(config)#linecon0Internetrouter(config-line)#loggingsynchronousInternetrouter(config-line)#exec-timeout530Internetrouter(config-line)#linevty04Internetrouter(config-line)#passwordabcInternetrouter(config-line)#longinInternetrouter(config-line)#exec-timeout530Internetrouter(config-line)#exitInternetrouter(config-line)#noipdomain-lookup
接入路由器internetrouter的个接口
ip地址、子网掩码的配置
对接口路由器的个接口参数的主要是对接口以的
Internetrouter(config)#interface
Internetrouter(config-if)#ipaddress
Internetrouter(config-if)#noshutdown
Internetrouter(config-if)#interface
Internetrouter(config-if)#ipaddress
接入路由器internetrouter的路由功能
Internetrouter(config)#iproute
到校园网内部的路由条目可以经过路由汇总后形成两条路由条目
Internetrouter(config)#iproute
上的nat
接入路由器internetrouter
由于目前ip地址资源非常紧张,不可能给校园网内部的所有工作站都分配一个公有地址。
为了解决所有工作站访问internet的需要,必须使用nat技术
定义nat内部、外部接口
Internetrouter(config-if)#ipnatinside
Internetrouter(config-if)#ipnatoutside
定义允许进行nat的工作站的内部局部ip地址范围
Internetrouter(config)#access-istpermit
为服务器定义静态地址转换
Internetrouter(config)#ipnatinsidesourcestatic
为其他工作站定义复用地址转换
Internetrouter(config)#ipnatinsidesourcelist1interface
配置路由器internetrouter上的acl
路由器是外网进入校园网的第一道关卡,是网络防御的前沿阵地。
路由器上的访问控制列表是保护内网安全带饿有效手段。
对外屏蔽单网管协议,即snmp
利用这个协议,远程主机可以监视、控制网络上的其他网络设备。
它有两种服务类型:
snmp和snmptrap
Internetrouter(config)#access-list101denyudpanyeqsnmp
Internetrouter(config)#access-list101denyudpanyandyeqsnmptrap
Internetrouter(config)#access-list101permintipanyany
Internetrouter(config)#interface---
Interfacerouter(config)ipaccess-group101in
对外屏蔽远程登录协议telnet
telnet可以登录到大多数网络设备unix服务器,并可以使用相关命令完全操作他们。
其次telnet是一种不安全的协议,用户在登录时说用户的口令是以明文传输的,很容易被网络上的非法协议分析设备截获。
所以必须屏蔽。
Internetrouter
config)#access-list101denytcpanyanyeqtelnet
config)#access-list101permintipanyany
config)#interface
config)#ipaccess-group101in
对外屏蔽其他不安全的协议或服务
这样的协议主要有sunos的文件共享协议端口2049,远程执行、远程登录和远程命令端口
512、513、514,远程过程条用端口111,可以将针对以上协议综合进行设计
Interetrouter
config)#access-list101denytcpanyanyrange512514
config)#access-list101denytcpanyanyeq111
config)#access-list101denyudpanyanyeq111
config)#access-list101denytcpanyanyrange2049
config)#interface
config-if)#ipaccess-group101in
远程访问方案
物理线路的基本配置
对物理线路的配置过括配置先例速度(DTEDCE之间的速率)、停止未位数、流控方式、允
许呼入连接协议类型、允许流量的方向。
InternetrouterInternetrouterInternetrouterInternetrouterInternetrouterInternetrouter
(config)#line97
(config-line)#modeinout
(config-line)#transportinputall
(config-line)#stopbits1
(config-line)#speed115200
(config-line)#flowcontrolhardware
接口基本参数
对接口的配置:
接口封装协议类型、接口异步模式、ip地址、远程客户分配ip地址的方式。
(config)#interfaceasync97
(config-if
)#ipaddress
)#encapsulationppp
)#asyncmodededicated
)#peerdefultipaddresspoolrasclieats
身份认证
PPP提供两种可选的身份认证:
口令验证协议PAP(PasswordAuthenticationProtocol)
和咨询握手协议(ChallengeHandshakeAuthenticntionProtocol)
PAP认证方法:
Internetrouter
Internetrouter
(config)#interfaceasync97
(config-if)#pppauthenticationcationpap
总体建设
5.1
PSTN
□:
:
DID:
:
匚二匸
学生宿舍
财务系
计算机系
*Internet
教务处
口=1□□匚
迦nt□□ox
建筑系
C:
D
管理系
:
网络拓扑
校园网络的总体拓扑结构图
5.2:
vlan及ip规划
VLAN号
VLAN名称
IP网段
默认网关
说明
VLAN1
Default
192.168.0.0/24
192.168.0.254
管理VLAN
VLAN10
JWC
192.168.1.0/24
192.168.1.254
教务处VLAN
VLAN20
XSSS
192.168.2.0/24
192.168.2.254
学生宿舍VLAN
VLAN30
CWC
192.168.3.0/24
192.168.3.254
财务处VLAN
VLAN40
JGSS
192.168.4.0/24
192.168.4.254
教工宿舍VLAN
VLAN50
JZX
192.168.5.0/24
192.168.5.254
建筑系VLAN
VLAN60
GLX
192.168.6.0/24
192.168.6.254
管理系VLAN
VLAN70
JSJX
192.168.7.0/24
192.168.7.254
计算机系VLAN
VLAN80
FWQQ
192.168.100.0/24
192.168.100.254
服务器群VLAN
PPP
RAS
PAP
192.168.200.0/27
NA
SO/O1923.1.1.1/30
CL
F0/0:
192.168.0.254/24
Internet
VLAN100
ServerFarm
1
F4/3
G3/1
F0/1-20
CereLayer
G0/2
F0/24
F0/23
0/24
ISO
AccessLayer
Layer2Switch
Coreswitch1IntegratedISO
Coreswitch2
IntegratedISO
G2/1
G2/2
G0/1
IntegratedIOS
DistributeSwitch2
DistributeLayer
Layer3switch
IntegratedIOSDistributeSwitch1
AccessSwitch1
G2/1耳
AccessSwitch2
Vian10:
f0/1-10
Vian20:
f0/10-20
Vian30:
Vian40:
f0/11-20
校园网络整体拓扑结构图
5.3:
设备清单
接口数
型号
台数
单价
总价
核心交换机
接入层交换机
路由器
升级会员 