本科毕业设计（论文）开题报告

题    目   校园网安全方案规划与设计 

学    院     信息科学与技术学院  　 

专    业         网络工程        　 

学生姓名           * *             

学    号 ************ 年级 20**级*班

指导教师    * *      职称    * *   

2010  年  2 月  26 日

第二篇：毕业设计(校园网规划与设计)

目录

摘要 ........................................................................ I

第1章 校园网概述 .......................................................... 1

第2章 校园网的需求分析与设计方案........................................... 3

2.1需求分析 ............................................................... 3

2.2网络层次分析 ........................................................... 4

2.3总体设计方案 ........................................................... 5

2.4网络设备选型 ........................................................... 6

2.5校园网拓扑结构图 ....................................................... 8

2.6信息点的设置 ........................................................... 9

第3章 交换机模块设计 ..................................................... 10

3.1IP地址分配与VLAN的划分 ............................................... 10

3.2接入层交换机的配置 .................................................... 11

3.3汇聚层交换机的配置 .................................................... 13

3.4核心层交换机的配置 .................................................... 17

第4章 路由模块配置 ....................................................... 20

4.1配置路由器的基本参数 .................................................. 20

4.2配置路由器的各接口参数 ................................................ 21

4.3配置路由器的路由功能 .................................................. 21

4.4配置路由器上的NAT ..................................................... 22

4.5配置路由器上的访问控制列表 ............................................ 22

4.6配置身份认证 .......................................................... 24

4.7防火墙的介绍 .......................................................... 25

第5章 服务器介绍与系统测试 ............................................... 26

5.1服务器介绍 ............................................................ 26

5.2系统测试 .............................................................. 27

结论 ....................................................................... 29

致谢 ....................................................................... 30

参考文献 ................................................................... 30

摘要：本论文全面介绍了校园网建设的各种知识。重点对校园网中的交换路由配置做了详细的解释。论文由六个章节构成，分别对校园网的概述、校园网的需求分析与设计方案、交换机的模块设计、路由器的模块配置、服务器介绍与系统测试及结论、致谢及参考文献都进行了说明。校园网络建设也算是一项比较复杂的工程,本论文没有将所有的交换路由配置都写出来，只是配置了几个典型。在防火墙跟服务器方面也只是做了简单的介绍。校园网实现了教育资源的最大共享和信息的最快获取。

关键词：虚拟局域网；路由器；交换机；服务器.

Abstract: In this paper, a comprehensive introduction to the campus network of knowledge. Focus on the campus network to exchange routing configuration has done a detailed explanation. Papers of six chapters constitute, respectively, for an overview of the campus network, campus network needs analysis and design, the modular design of the switches, routers configuration of modules, servers and introduced the system testing and conclusions, with references to thank all for The description. Campus Network is also building a more complex project, the paper will not exchange all the routing configuration Duxiechulai, just a few typical configuration. With the server behind a firewall but also made a brief introduction. Campus Network has the largest share of educational resources and information access to the fastest.

Key words: Vlan；router；switch；server.

I

第1章 校园网概述

Internet技术的发展，推动人们从各个角度去研究计算机网络，以使之在各个领域得到广泛、成功的应用。校园网的概念是指大、中、小学教育单位的网络，它以应用为目的，基于Internet/Intranet技术的计算机网络和它的使用者以及相关规章制度的集合。校园网是利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件，将校园内计算机、计算机教室和各种终端设备有机地集成在一起，并用于教学、教科研、学校管理、信息资源共享和远程教学等方面工作的计算机局域网络系统。校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。

校园网建设的必要性：

在我国，学校是处于影响整个社会深刻变革的中心地位，所以是否在学校采用最先进的信息和传播技术是一个有决定性意义的问题。随着计算机多媒体和网络技术的不断发展与普及，校园网信息系统的建设，是非常必要的，也是可行的。主要表现在：

1、当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段，发展对学校教育现代化的建设提出了越来越高的要求。

2、教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。个人是否具有获得信息和处理信息的能力对于能否成功进入职业界和融入社会都是个决定性的因素,因此学校应该培养所有学生具有驾驭和掌握这种技术的能力。另一方面,信息技术在作为青少年教育工具的同时也向青少年提供了前所未有的机会。新技术提供的机会以及它们在教学方面具有的优势都是很多的,特别是计算机和多媒体系统的使用有助于个人化的道路,每个学生在个人的学习道路上都可以按照自己的速度发展。

3、我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络上运。

行的软件及多媒体系统，并且越来越形象化、实用化，迫切需要网络环境。

4、现代教育改革的需要。在校园网中将计算机引入教学各个环节，从而引起了教学方法、教学手段、教学工具的重大革新。对提高教学质量，推动我国教育现代化的发展起着不可估量的作用。网络又为学校的管理者和老师提供了获取资源、协同工作的有效

1

途径。毫无疑问,校园网是学校提高管理水平、工作效率、改善教学质量的有力手段,是解决信息时代教育问题的基本工具。

5、我们认为，随着时代的进步、科技的发展，在现代化信息技术管理上，学校将面临新的挑战。为了提高学校自身的现代化管理水平，丰富教学方法和手段，提高工作效率，及时掌握各种相关信息，提高处理各种业务及突发事件的能力，加强管理，拥有现代化信息技术手段，利用计算机网络与通信技术，全面、迅速、准确地掌握信息，已成为学校内部管理和教学业务处理的迫切需要。

2

第2章 校园网的需求分析与设计方案

2.1需求分析

作为校园网建设，不但要满足现有的校园网需求，而且要考虑到将来的整体需求，因而要从下面几个方面来考虑校园网建设的整体需求：

1、网上数据流特点：大学校园网具有网络互联的广泛性和使用多样性等特点，广播包将对数据流产生较大的影响，校园网的数据并发性，一般是呈现波峰波谷的，绝大多数情况下，存在高并发性访问的因素，除了周末或者夜间学生晚自修之后的时间，某些特殊的应用也有可能对负荷有突发要求，如使用空间数据，大范围数据搜索，视频方面的应用等，这些突发的负荷有相当一部分转移到应用设备上。这些流量的转移对于网络设备提出了较高的要求，必须要求核心（汇聚）设备均支持万兆技术。

2、校园网主干需要的数据流量：网络主干流量的是基于业务工作在网上展开的情况分析，实际上对网络流量的需求是逐步提升的，特别是要协同体系出现后，干道的流量会大量的增加。考虑到信息点同时在线的收敛比，本网络已经具备极高的伸缩能力，以满足其很强的扩展性要求。

3、网络流量分析：根据的业务，每位学生主要需求占用的带宽为：视频流、数据、语音、图形、等。考虑应用上某些并发的排斥特点，以及网络应用环境对通畅性的要求，一般每位学生占用的平均实际网络带宽约为1M左右即可以完全满足以上需求，在满足网络在有收敛比的情况下的带宽要求；这就要求汇聚、核心设备均具备万兆智能能力。

3

2.2网络层次分析

1、核心层需求分析

在校园网核心层设备担负着连接各个汇聚设备的工作，同时通过设备的互联，将分布在各物理位置的区域网络连接在一起形成一套完整的网络。核心层设备担负着整个网络的流量。骨干设备和链路的稳定性将直接影响整个网络的可靠运行。

由于骨干设备在网络核心层中，需要高性能、冗余备份，所以采用链路聚合技术。完成网络骨干层高速数据交换、转发以及稳定性的要求。骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种业务的高质量传输，才能使网络不成为业务开展的瓶颈。

2、汇聚层分析

(1) 高速运送区域流量，主要工作是交换区域数据包。

(2) 高可靠性及冗余性。

(3) 提供故障隔离。

(4) 较少的时延和好的可管理性。

(5) 良好的路由交换能力。

(6) 良好的区域汇聚能力。

(7) 良好的万兆能力。

要求汇聚设备必须是纯千兆的高性能交换机；在校园网中汇聚设备担负着网络接入层和骨干设备的连接，网络汇聚层有着承上启下的重要任务。

汇聚设备不但要完成接入层的链路汇聚和流量汇聚还要完成本地数据的交换以及接入和骨干之间的数据转发。

作为骨干层的入口和接入层的出口，汇聚层的身份如同关卡。为保证整个网络良好运行在汇聚层同样需要高性能、关键部件冗余等特性。

3、接入层分析

接入层在整个网络的边缘，学生通过接入设备接入网络。为保证整个网络安全高效的运行，作为网络的入口接入设备的智能识别是一项重要的功能。

4

2.3总体设计方案

1、设计目标

建成一个具有高可靠性和开放性的校园网络，它应支持流行的SNMP等网络管理协议；采用Internet上的标准协议--TCP/IP协议，提供校园内部及面向全球的WWW服务、FTP服务、电子邮件服务，实现与国际互联网的完全接轨；同时它还应具有支持通用大型数据库的功能，支持多种协议，具有良好的软件支持；采用模块化结构设计，容易升级；还应针对学校的教学特点，具有一些基本的教学功能，以完成学校的基本教学任务。

2、设置原则

（1）度身定制：对用户的需求进行了定量分析。站在用户的立场上，为用户“度身定制”出网络方案。本着实用的原则，尽量使用成熟先进的平台软件，以缩短教学课件的开发周期。

（2）素质教育与先进技术的完美结合：采用先进成熟的技术和分布式的结构，以便于开发和维护；采用集群解决方案，以保证连续工作；为保证网络速度而采用高的带宽等，真正实现了“现代化素质教育与Intel先进技术的完美结合”。

（3）校园网对网络设备的要求：采用Intel全线产品，高性能、高可靠性和高可用性、可管理性、采用国际统一的标准。

（4）可扩展性：考虑现有网络的平滑过度，使学校现有陈旧设备尽量保持较好的利用价值；选用产品应具有最佳性价比，又要应充分考虑未来可能的应用，具有高扩展性。

5

2.4网络设备选型

网络设备的选型是网络运行性能和售后服务的关键，对于设备选型基于以下几点考虑：

首先，网络中心的中心设备，承担着整个网络性能好坏的关键，我建议选用比较高档的中心设备，既能保证满足服务的需要，不会出现广播风暴或通信瓶颈问题；又能保证几年之内设备不会过时。

其次，选择品牌时考虑比较多的是：生产厂商的可靠性和稳定性、技术领先性和成熟性、设备的完整系列性、设备的可升级性、是否具备完善的售后服务体系来支持用户的应用、是否为主流产品（这将决定用户接收产品熟悉产品的成本和产品的通用性）、在国内是否有比较完备的备件库和维护维修能力、其安全性是否适合用户的要求。

在本方案中，使用的是锐捷的网络产品作为网络的中心交换、路由和分支交换设备，下面介绍产品：

1、锐捷RG-R3642 路由器: 采用模块化设计，提供了多个网络/语音模块插槽，支持种类丰富、功能齐全、高密度的网络/语音模块，可实现更多的组合应用。支持IPv4/IPv6，VoIP特性等，提供丰富的备份方案及QoS特性；硬件采用模块化结构，具有更高的处理能力和更大的接入密度。远远高于业界同等档次的产品。

商家报价：21890 至 22606 元

路由器类型：模块化路由器

局域网接口：2个10/100M快速以太网口

网络认证标准：PAP, CHAP, AAA, Radius

路由器网管功能：采用标准CLI界面, 操作更简单

2、锐捷 RG-S3760-24 核心层交换机：为大型网络汇聚和中型网络核心提供了IPv4/IPv6的多层交换、端到端的服务RG-S3760系列交换机硬件支持IPv4/IPv6双协议栈多层线速交换和功能特性，为IPv6网络之间的通信提供了丰富的Tunnel技术，并提供了丰富而完善的路由协议，以适合大型网络多种路由和多业务的需要。

商家报价：25000元至27000元

应用类型：工作组交换机

背板带宽(Gbps)：37.6

传输速率(Mbps)：10/100/1000

固定端口数：28

模块化插槽数：4

6

3、锐捷 STAR-S2126G 汇聚层交换机

STAR-S2126G/S2150G可通过SNMP、Telnet、Web和Console口等多种配置方式提供丰富的管理。S2126G/S2150G以极高的性价比为各类型网络提供完善的端到端的QoS服务质量、灵活丰富的安全策略管理和基于策略的网管，最大化满足高速、安全、智能的企业网新需求。

报价：4000元

背板带宽：12.8Gbps

接口数量：24个

模块化插槽数：2个

4、锐捷 RG-S1824GT 接入层交换机

服务于大中型企业网络、校园网络、网吧和宽带社区等多种高速数据传输应用场合RG-S1824GT具有24个10/100/1000Mbps自适应RJ45的交换端口，所有端口可以根据连接的设备，自动将连接速度和工作模式调整到需要的方式，而无须更改网络结构。报价：1800元

在防火墙方面则使用CISCO ASA5505-SEC-BUN-K9 防火墙

Cisco ASA 5500 系列在一个平台中有力地提供了多种已经获得市场验证的技术，无论从运营角度还是从经济角度看，都能够为多个地点部署各种安全服务。经过市场验证的安全与VPN功能 - 全特性、高性能的防火墙，入侵防御系统 (IPS), Anti-X和IPSec/SSL VPN 技术提供了强大的应用安全性、基于用户和应用的访问控制、蠕虫与病毒防御、恶意软件防护、内容过滤以及远程用户/站点连接。商家报价：8000元至9000，并发连接数：25000，网络吞吐量：150Mbps，内存容量：256MB，过滤带宽：100Mbps

7

2.5校园网拓扑结构图

图 2-4

8

2.6信息点的设置

信息点分布 表2-5

9

第3章 交换机模块设计

3.1IP地址分配与VLAN的划分

1、IP地址的分布 表3-1

2、VLAN的划分与描述

根据学校的应用类型，每个网段都划分了VLAN。分VLAN在一定程度上可以提高网络的安全性，防止网段上无效的广播包的传播，还可以增加网络弹性，并降低成本易于管理。VLAN分布表3-2

10

3.2接入层交换机的配置

接入层为所有的终端用户提供一个接入点。这里的接入层交换机采用的是RG-S1824GT 24口交换机。交换机拥有24个10/100Mbps自适应快速以太网端口。我们以图3-2中的接入层交换机Switch1为例进行介绍。

如图3-2所示

:

图3-2

1、设计交换机的名称

也就是出现在交换机CLI提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要Telnet登录到若干台交换机以维护一个大型网络时，通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。这里是用Switch1作为名称。 命令如下：

Switch(config)#hostname switch1

Switch1(config)#

2、设置登录虚拟终端线时的口令

对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理人员提供了很多的方便。但是，出于安全的考虑，在能够远程管理交换机之前网络管理人员必须设置远程登录交换的口令。下面我将口令设置为mima。

命令如下：

Switch1(config)#linc vty 0 15

Switch1(config-linc)#login

Switch1(config-linc)#password mima

3、设置接入层交换机Switch1的管理IP、默认网关

11

给交换机设置管理用 IP地址只能在 VLAN1 ，即本征VLAN 中进行。管理VLAN 所在的子网是：172.16.2.0/24 ，这里将接入层交换机Switch1 的管理 IP地址设为：172.16.2.1/24 如下命令所示，显示了为接入层交换机 Switch1 设置管理 IP并激活本征 VLAN。为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关地址 172.16.2.254。

命令如下：

Switch1(config)#interface vlan 1

Switch1(config-if)#ip address 172.16.2.1 255.255.255.0

Switch1(config-if)#no shutdown

Switch1(config-if)#exit

Switch1(config)# ip default-gateway 172.16.2.254

4、配置接入层交换机Switch1 的 VLAN

VLAN（Virtual Local Area Network，虚拟局域网）技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内。

Switch1(config)#vlan 2

Switch1(config-vlan)#name JWC

Switch1(config-vlan)#exit

Switch1(config)#interface range fastethernet 0/1-20

Switch1(config-range-if)#switchport mode access

Switch1(config-range-if)#switchprot access vlan 2

5、配置接入层交换机Switch1 端口基本参数及访问的端口

（1）设置接入层交换机 Switch1 的所有端口均工作在全双工模式及所有端口的速度均为 100Mbps。

命令如下：

Switch1(config)#interface range fastethernet 0/1-24

Switch1(config-if-range)#duplcx full

Switch1(config-if-range)# speed 100

（2） 配置接入层交换机Switch1 的访问端口

接入层交换机Switch1 为终端用户提供接入服务。接入层交换机Switch1 为 VLAN 2

12

提供接入服务。

设置接入层交换机Switch1 的端口 1～20为VLAN 2的成员及将其设为快速端口 命令如下：

Switch1(config)#Interface range fastethernet 0/1-20

Switch1(config-if-range)#switchport mode access

Switch1(config-if-range)#switchport access vlan 2

Switch1(config-if-range)#spanning-tree portfast

（3）配置接入层交换机Switch1 的主干道端口

如图所示，接入层交换机 Switch1 通过端口 FastEthernet 0/24 上连到汇聚层交换机。将该端口设为trunk模式

Switch1(config)#Interface fastethernet 0/24

Switch1(config-if)switchport mode trunk

接入层剩下的交换机除了对应的VLAN、端口、管理IP不同，其它配都是一样的。

3.3汇聚层交换机的配置

汇聚层是为整个交换网络提供 VLAN 间的路由选择功能。这里的汇聚层交换机采用的是RG STAR-S2126G 交换机。作为 3 层交换机，RG STAR-S2126G交换机拥有 24 个 10/100Mbps 自适应快速以太网端口，同时还有 2 个1000Mbps 的 GBIC 端口供上连使用，我们以 图3-3中的汇聚层交换机 Switch100 为例进行介绍。

图3-3汇聚层交换机Switch100

1、配置汇聚层交换机Switch100 的基本参数

配置命令如下：

Switch(config)#hostname Switch100

Switch100(config)#

13

Switch100(config)#enable secret mima

Switch100 (config)#line con 0

Switch100 (config-line)#line vty 0 15

Switch100 (config-line)#password abc

Switch100 (config-line)#login

Switch100 (config-line)#exit

2、配置汇聚层交换机Switch100的管理 IP、默认网关

如下命令所示，显示了为汇聚层交换机Switch100 设置管理 IP并激活本征 VLAN。同时，还设置了默认网关的地址。

Switch100(config)#interface vlan 1

Switch100(config-if)#ip address 172.16.1.100 255.255.255.0

Switch100(config-if)#no shutdown

Switch100(config-if)#exit

Switch100(config)#default-gateway 172.16.1.254

3、在汇聚层交换机Switch100上定义VLAN及VLAN IP地址

这本校园网中，由于宿舍楼VLAN定义过多，这在里就不一一划分了。下面将其它各个科室部门VLAN划分出来。

Switch100(config)#vlan 2

Switch100(config-vlan)#name JWC

Switch100(config-vlan)#ip address 172.16.2.254 255.255.255.0

Switch100(config-vlan)#no shutdown

Switch100(config)#vlan 3

Switch100(config-vlan)#name CWC

Switch100(config-vlan)#ip address 172.16.3.254 255.255.255.0

Switch100(config-vlan)#no shutdown

Switch100(config)#vlan4

Switch100(config-vlan)#name HCB

Switch100(config-vlan)#ip address 172.16.4.254 255.255.255.0

Switch100(config-vlan)#no shutdown

Switch100(config)#vlan 5

Switch100(config-vlan)#name ZSJY

14

Switch100(config-vlan)#ip address 172.16.5.254 255.255.255.0 Switch100(config-vlan)#no shutdown

Switch100(config)#vlan 6

Switch100(config-vlan)#name RJJF

Switch100(config-vlan)#ip address 172.16.6.254 255.255.255.0 Switch100(config-vlan)#no shutdown

Switch100(config)#vlan 7

Switch100(config-vlan)#name WLJF

Switch100(config-vlan)#ip address 172.16.7.254 255.255.255.0 Switch100(config-vlan)#no shutdown

Switch100(config)#vlan 8

Switch100(config-vlan)#name PTJF

Switch100(config-vlan)#ip address 172.16.8.254 255.255.255.0 Switch100(config-vlan)#no shutdown

Switch100(config)#vlan 9

Switch100(config-vlan)#name TSX

Switch100(config-vlan)#ip address 172.16.9.254 255.255.255.0 Switch100(config-vlan)#no shutdown

Switch100(config)#vlan 10

Switch100(config-vlan)#name YLX

Switch100(config-vlan)#ip address 172.16.10.254 255.255.255.0 Switch100(config-vlan)#no shutdown

Switch100(config)#vlan 11

Switch100(config-vlan)#name YJZX

Switch100(config-vlan)#ip address 172.16.11.254 255.255.255.0 Switch100(config-vlan)#no shutdown

Switch100(config)#vlan 12

Switch100(config-vlan)#name DMTJS

Switch100(config-vlan)#ip address 172.16.12.254 255.255.255.0 Switch100(config-vlan)#no shutdown

4、配置汇聚层交换机Switch100的端口参数

15

汇聚层交换机Switch100端口参数如下命令所示

Switch100(config)#interface range fastethernet 0/1-4

Switch100(config-if-range)#switchport mode trunk

Switch100(config-if-range)#exit

Switch100(config)#interface range fastethernet 0/10-11

Switch100(config-range-if)#switchport mode trunk

Switch100(config-range-if)#witchport trunk allowed vlan all

5、配置汇聚层交换机Switch100的STP协议

Switch100(config)#spanning-tree mode rstp

Switch200- Switch600的配置步骤、命令都与汇聚层交换机Switch100的配置类似。这里，不再详细分析。

16

3.4核心层交换机的配置

核心层是将汇聚层交换机互连起来进行穿越园区网骨干的高速数据交换。这里我们以图3-4中的核心层交换机CoreSwitchA 为例进行介绍。如图3-4所示：

图3-4

1、配置核心层交换机CoreSwitchA 的基本参数及管理 IP和默认网关

CoreSwitchA (config)#line con 0

CoreSwitchA (config-line)#logging synchronous

CoreSwitchA (config-line)#exec-timeout 5 30

CoreSwitchA (config-line)#password abc

CoreSwitchA (config-line)#login

CoreSwitchA (config-line)#exec-timeout 5 30

CoreSwitchA (config-line)#exit

CoreSwitchA(config)#interface vlan 1

CoreSwitchA(config-if)#ip address 172.16.1.1 255.255.255.0

CoreSwitchA(config-if)#no shutdown

CoreSwitchA(config-if)#exit

CoreSwitchA(config)#ip default-gateway 172.16.1.254

2、配置核心层交换机CoreSwitchA 的VLAN

在本实例中，核心层交换机 CoreSwitchA前面的VLAN配置就跟汇聚层交换机Switch100类似，这里就再不重复了。核心层交换机是与路由器相连的设备，因为没有路

17

由器接口，所以要划分一个特定的VLAN跟路由器通信，这里用VLAN 199 。如下命令所：

CoreSwitchA(config)#vlan 199

CoreSwitchA(config)#interface vlan 199

CoreSwitchA(config-if)#ip address 172.16.199.1 255.255.255.0

CoreSwitchA(config-if)#no shutdown

CoreSwitchA(config-if)#exit

3、配置核心层交换机CoreSwitchA 的端口参数

在这里端口F0/3-8因为有多个VLAN信息的交换，所以将其设为trunk模式。F0/1则是与路由器的相连的端口，将其设为Access口划分到VLAN 199。F0/2连接的是服务器群，设为Access即可。F0/23-24是跟另一台核心层交换机相连的，为了提供主干道的吞吐量以及实现冗余而设计的，在本设计中，我们采用的是链中聚合技术，将核心层交换机CoreSwitch 的千兆端口 F0/23、F0/24 聚合在一起实现 2000Mbps 的千兆以太网信道。

CoreSwitchA(config)#interface range fastethernet 0/3-8

CoreSwitchA(config-rang-if)#switchport mode trunk

CoreSwitchA(config-rang-if)#switchport trunk allowed vlan all

CoreSwitchA(config-rang-if)#exit

CoreSwitchA(config)#interface fastethernet 0/1

CoreSwitchA(config-if)#switchport mode access

CoreSwitchA(config-if)#switchport access vlan 199

CoreSwitchA(config-if)#exit

CoreSwitchA(config)#interface aggrete port 1

CoreSwitchA(config-if)#switchport mode trunk

CoreSwitchA(config-if)#exit

CoreSwitchA(config)#interface range fastethernet 0/23-24

CoreSwitchA(config-rang-if)#port-group 1

CoreSwitchA(config-if)#exit

4、配置核心层交换机CoreSwitchA 的路由功能

18

核心层交换机 CoreSwitchA 通过端口 FastEthernet 0/1 同广域网接入模块（Internet 路由器）相连。因此，需要启用核心层交换机的路由功能。同时，还需要定义通往 Internet 的路由。这里使用了一条缺省路由命令。其中，下一跳地址是 Internet 接入路由器的快速以太网接口 FastEthernet 1/0 的 IP地址。

CoreSwitchA(config)#ip routing

CoreSwitchA(config)#ip route 0.0.0.0 0.0.0.0 172.16.199.254

为了使内部的的Vlan信息进行通信，配置RIP路由协议，这在里就不将所有的Vlan都配置出来了，只是典型的配几个。

CoreSwitchA(config)#router rip

CoreSwitchA(config-router)#version 2

CoreSwitchA(config-router)#network 172.16.2.0

CoreSwitchA(config-router)#network 172.16.4.0

CoreSwitchA(config-router)#network 172.16.5.0

CoreSwitchA(config-router)#network 172.16.6.0

CoreSwitchA(config-router)#network 172.16.7.0

5、配置核心层交换机CoreSwitchA的STP协议

CoreSwitchA (config)#spanning-tree mode rstp

对于核心层交换机 CoreSwitchB 的配置步骤、命令和对核心层交换机

CoreSwitchA 的配置类似。这里，不再详细分析。

19

第4章 路由模块配置

4.1配置路由器的基本参数

路由器基本参数的配置跟交换机也有点类似。这里，只给出实际的配置步骤，不再出给出具体的解释。首先看图4-1

图4-1路由器RG-R3642

配置命令如下：

Router(config)#enable secret mima

Router(config)#line con 0

Router(config-line)#logging synchronous

Router(config-line)#exec-timeout 5 30

Router(config-line)#line vty 0 15

Router(config-line)#password abc

Router(config-line)#login

Router(config-line)#exec-timeout 5 30

Router(config-line)#exit

20

4.2配置路由器的各接口参数

1、对接入路由器Router的各接口参数的配置主要是对接F0/0、F1/0以及接口 Serial 2/0 的 IP地址、子网掩码的配置。

配置命令如下：

Router#configure terminal

Router(config)#interface fastethernet 0/0

Router(config-if)#ip address 172.16.198.254 255.255.255.0

Router(config-if)#no shutdown

Router(config-if)#exit

Router(config)# interface fastethernet 1/0

Router(config-if)# ip address 172.16.199.254 255.255.255.0

Router(config-if)#no shutdown

Router(config-if)#exit

Router(config)#interface Serial 2/0

Router(config-if)#ip address 202.103.100.1 255.255.255.0

Router(config-if)#no shutdown

Router(config-if)#clock rate 64000

Router(config-if)#end

4.3配置路由器的路由功能

在接入路由器Router 上需要定义两个方向上的路由：到校园网内部的静态路由 以及到 Internet 上的缺省路由。到 Internet 上的路由需要定义一条缺省路由，如下命令所示。其中，下一跳指定从本路由器的接口 serial 0/0 送出。

Router(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0

21

4.4配置路由器上的NAT

由于目前IP地址资源非常稀缺，对不可能给校园网内部的所有工作站都分配一个公有IP（Internet 可路由的）地址。为了解决所有工作站访问Internet的需要，必须使用NAT（网络地址转换）技术。为了接入Internet，本校园网向当地ISP申请了10个IP地址。其中一个IP地址：202.103.100.1 被分配给了Internet 接入路由器的串行接口，另外9个IP地址：202.103.100.2～ 202.103.100.10用作 NAT。

1、定义NAT 内部、外部接口

Router(config)#interface fastethernet 1/0

Router(config-if)#ip nat inside

Router(config)#interface fastethernet 0/0

Router(config-if)#ip nat inside

Router(config-if)#interface serial 2/0

Router(config-if)#ip nat outside

2、定义ISP提供的外部IP地址池

Router(config)#ip nat pool pan 202.103.100.2 202.103.100.10 netmask

255.255.255.0

3、定义允许进行NAT 转换的内部 IP地址范围

Router(config)#access-list 10 permit 172.16.0.0 0.0.255.255

4、为内部本地调用转换地址池

Router(config)#ip nat inside source list 10 pool pan overload

4.5配置路由器上的访问控制列表

路由器是外网进入校园网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表（Access Control List ，ACL ）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产

22

品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护。

这里，在本实例中，我们将针对服务器以及内网工作站的安全给出广域网接入路由器Router 上 ACL 的配置方案。

在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该做以下的 ACL 设计：

1、对外屏蔽远程登录协议telnet

首先，telnet 是一种不安全的协议类型。用户在使用 telnet 登录网络设备或服务器时所 使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。 其次，telnet 可以登录到大多数网络设备和 UNIX服务器，并可以使用相关命令完全操纵它 们。这是极其危险的，因此必须加以屏蔽，如图所示，显示了如何对外屏蔽远程登录协议 telnet 。

Router(config)#access-list 101 deny tcp any any eq telent Router(config)# access-list 101 permit tcp any any

2、对外屏蔽其它不安全的协议或服务

这样的协议主要有 SUN OS 的文件共享协议端口 2049 ，远程执行（rsh ）、远程登录 （rlogin ）和远程命令（rcmd ）端口512、513、514 ，远程过程调用（SUNRPC ）端口111。可以将针对以上协议综合进行设计，如下命令所示。

Router(config)#access-list 101 deny tcp any any range 512 514

Router(config)#access-list 101 deny tcp any any eq 111

Router(config)#access-list 101 deny tcp any eq 111

Router(config)#access-list 101 deny tcp any rang 2049

Router(config)#access-list 101 permit ip any any

3、针对DoS 攻击的设计

DoS 攻击（Denial of Service Attack ，拒绝服务攻击）是一种非常常见而且极具破坏力的攻击手段，它可以导致服务器、网络设备的正常服务进程停止，严重时会导致服务器操 作系统崩溃。

如下命令所示如何设计针对常见 DoS 攻击的 ACL

Router(config)#access-lisl 101 deny icmp any any eq echo-request

Router(config)#access-lisl 101 deny udp any any eq echo

Router(config)#interface serial 2/0

23

Router(config-if)#ip access-group 101 in

Router(config)#interface fastethernet 2/0

Router(config-if)#no ip directed-broadcast

4、保护路由器自身安全

作为内网、外网间屏障的路由器，保护自身安全的重要性也是不言而喻的。为了阻止黑 客入侵路由器，必须对路由器的访问位置加以限制。应只允许来自服务器群的 IP地址访问并配置路由器。这时，可以使用 ACCESS-CLASS

命令进行 VTY 访问控制。如下命令所示。

Router(config)#line vty 0 4

Router(config-line)# access-class 2 in

Router(config-line)#exit

Router(config)#access-list 2 permit 172.16.0.0 0.0.255.255

4.6配置身份认证

PPP 提供了两种可选的身份认证方法：口令验证协议 PAP （Password AuthenticationProtocol ，PAP ）和质询握手协议（Challenge Handshake Authentication Protocol ，CHAP ）。PAP 是一个简单的、实用的身份验证协议。这里我们使用PAP认证。

（1）建立本地口令数据库

如下命令所示建立本地口令数据库。

Router(config)#username abcd password 123456

（2）设置进行PAP 认证

Router(config-if)#encapsulation ppp

Router(config-if)#ppp authentication pap

24

4.7防火墙的介绍

随着internet的飞速发展和校园网的日益完善，校园网的安全问题已提到日程上来，采用防火墙技术能有效抵抗黑客及某些非法访问。在本校园网中使用的是CISCO ASA5505-SEC-BUN-K9 防火墙。这里就不做详细的设置了。只是简单的介绍一下。

1、防火墙是一个实现安全策略的系统或系统组，强制执行对intranet和internet的访问控制。它能保证只有授权的人可以访问intranet，且保护其中的资源和有价值的数据不会流出intranet。简单的说，防火墙就是介于两个网络之间的具有某些存取控制功能的软硬件集合。

2、防火墙的主要目的是控制数据组，只允许合法流通过。其特征是在网络边界上建立相应的网络通信监控系统（即防火墙）来达到保障网络安全的目的。 防火墙技术假设被保护网络具有明确的边界和服务，并且假设网络信息的威胁主要来自外部网络而不是内部网络，它通过建立一整套规则和系统策略来检测，限制，更改穿越防火墙的数据流，实现内部网络的保护。采用防火墙安全技术适合于与外部网络相对独立且网络服务类型相对有限的网络系统，而校园网正属此型，故要实现校园网的信息安全应采用防火墙技术。

3、防火墙一般主要包括五部分：安全操作系统，过滤器，网关，域名服务和E—mail处理。目前防火墙产品很多，基本上分为两类：一类基于包过滤，另一类基于代理服务器。前者直接转发报文，它工作在网络的底层—IP层，是在网络中适当的位置对数据包实施有选择的过滤 ，它可以提供廉价，有效，具有一定网络安全的环境，且它对用户是全透明的，速度较快。Cisco的防火墙就是这种，它有两种方法实现防火墙功能，一种是适用于某些接口上的流控制，用于过滤IP或指定TCP和UDP端口的IP数据包，另一种是适用于广播信息，用于过滤广播信息；而代理服务器一般工作在应用层，它可以屏蔽网络内部结构，增强网络内部的安全性，同时还可以用于实施数据流监控，过滤，记录，报告等功能。但它对用户不透明，工作量大，需要高性能服务器，通常要经代理服务器进行身份验证和注册，故速度较慢。

4、为对网络内部人员访问Internet进行一定限制，在连接内部网络的端口接收数据时进行IP地址和以太网地址检查，盗用IP地址的数据包将被丢弃，并记录有关信息；再连接Internet端接收数据时，如从外部网络收到一段假冒内部IP地址发出的报文，也应丢弃，并记录有关信息。

25

第5章 服务器介绍与系统测试

5.1服务器介绍

Internet的信息服务主要采用一种客户机/服务器的工作模式。Internet上的信息资源是非常丰富的，信息服务的种类也是多种多样的，本校园网中主要的服务有以下几种：

1、WEB服务器：是一种基于超文本的信息查询工具，它把Internet上不同地点的相关数据信息有机地组织在一起，也就是说，WWW所查询到的超文本文件的内容可能是由不同地点、不同类型的信息组成的。

2、DNS服务器：把域名转换成为网络可以识别的ip地址。首先，要知道互联网的网站都是一台一台服务器的形式存在的，但是我们怎么去到要访问的网站服务器呢？这就需要给每台服务器分配IP地址，互联网上的网站无穷多，我们不可能记住每个网站的IP地址，这就产生了方便记忆的域名管理系统DNS，他可以把我们输入的好记的域名转换为要访问的服务器的IP地址. 也就是为了方便我们浏览互联网上的网站而不用去刻意记住每个主机的IP地址，DNS服务器就应运而生，提供将域名解析为IP的服务，从而使我们上网的时候能够用简短而好记的域名来访问互联网上的静态IP的主机。

3 、E-mail服务器：电子邮件又叫电子信箱，它利用计算机的存储、转发原理，克服时间、地点上的差距，通过计算机终端和通信网络进行文字信息的传送。中国公用分组交换数据网就提供电子信箱业务。

4、文件传输服务（FTP）：FTP是Internet上使用非常广泛的一种通讯协议。它是由支持Internet文件传输的各种规则所组成的集合，这些规则使 Internet用户可以把文件从一个主机拷贝到另一个主机上，因而为用户提供了极大的方便和收益。 在当今的因特网上，文件传输是一项很重要的应用。因为它提供了一种新的网络资源的访问方式，首先，它不箱Telnet那样只允许合法用户登录，大多数FTP都支持匿名登录，即网络上的任何用户均可使用；其次，它不像WWW那样支持的文件格式有限，FTP可以使用任意格式的文件；最后，是它的操作简单方便。

26

5.2系统测试

前面几节中，我们对如何设计一个较为完整的校园网网络进行了详细的介绍。当校园网初具规模后，还应该对校园网的整体运行情况做一下细致的测试和评估。我们按不同的功能按每种技术分类，给出相关的测试、诊断命令列表同时还给出了命令的作用。

1、通用测试、诊断命令

(1) ping x.x.x.x

扩展 ping 命令。用于测试设备间的物理连通性。扩展 ping 命令还支持灵活定义 ping 参数，如 ping 数据包的大小，发送包的个数，等待响应数据包的超时时间等。

(2) traceroute x.x.x.x

命令 traceroute 用于跟踪、显示路由信息。

(3) show running-config

命令 show running-config 用于显示路由器、交换机运行配置文件的内容。

(4) shutdown

命令 shutdown 用于临时将某个接口关闭。

(5) no shutdown

命令 no shutdown 用于手动启动（激活）处于管理性关闭的接口。

(6) show arp

命令 show arp 用于显示 ARP 缓存（ARP 表）的内容。

(7) show ip arp

命令 show ip arp 用于显示 IP ARP缓存（ARP 表）的内容。

(8) show interfaces

命令 show interface 用于显示各接口的状态及参数信息。

(9) show ip interface

命令 show ip interface 用于显示 IP接口的状态及配置信息。

(10) show version

命令 show version 用于显示路由器硬件配置、软件版本等信息。

2、路由和路由协议测试、诊断命令

(1) show ip route

命令 show ip route 用于显示当前路由表内容。

(2) show ip protocols

命令 show ip protocols 用于显示动态路由协议的配置参数信息。

27

3、VLAN、VTP 测试、诊断命令

(1) show interface vlan vlan-num

命令 show interface vlan vlan-num 用于显示 VLAN 是否已激活、交换机 MAC基地址、接口参数等。

(2) show mac-address-table

命令 show mac-address-table 用于显示 CAM ，即桥接表的内容。该命令可列出学习 到的主机 MAC 地址及其所属 VLAN、所处端口、条目类型（静态 STATIC、动态 DYNAMIC 等）以及满足列表条件的 MAC 地址数目。

(3) show vlan

命令 show vlan 用于查看 VLAN 创建情况。该命令可以显示系统所有的 VLAN 信息，包 括 VLAN 编号、VLAN 名称、VLAN 状态、VLAN 成员等信息。

(4) show vtp status

命令 show vtp status 用于检查 VTP 配置情况。

4、NAT测试、诊断命令

(1) show ip nat translation

命令 show ip nat translation 用于显示并观察当前正在进行的 NAT情况。

(2) show ip nat translation verbose

命令 show ip nat translation verbose 用于显示并观察当前正在进行的 NAT更为详细的情况。

(3) show ip nat statistics

命令 show ip nat statistics 用于显示 NAT运行情况统计。

(4) debug ip nat

命令 debug ip nat 用于打开对 NAT 的诊断。

28

结论

本论文在XAA老师的指导下完成。在此期间，在网上搜集和查阅了大量的资料。一方面充实了理论基础，另一方面掌握了校园网的相关技术策略。针对校园网的交换路由技术进行了进行了分析。完成了“某校园网的路由器与交换机的配置方案”。校园网络的建设，为现代教育新型教育模式的建构提供了最理想的教学环境。网络的开放性、交互性、共享性，使教育资源能够被充分共享和利用。然而，网络仅仅是信息化的形式，丰富的共享信息资源库才是信息化的实质内容。教育教学资源库包括教育管理资源和教学资源两大部分。在校园网平台上，建立教育教学资源库，确保学校行政和教学管理的网络化，提供学校教师制作课件的环境、备课工具和资讯，确保教学内容的不断更新和充实、提高教学质量，同时让计算机进课堂，为学生的交互式、自主探索学习提供充分的学习资源。顺利如期的完成本次毕业设计给了我很大的信心，让我了解专业知识的同时也对本专业的发展前景充满信心， 网络在今后的发展过程中不再仅仅是一个工具，也不再是一个遥不可及仅供少数人使用的技术专利，它将成为一种文化、一种生活融入到社会的各个领域。

29

致谢

首先，我要感谢XAA老师的精心指导。他为人随和热情，治学严谨细心。X老师始终认真负责地给予我深刻而细致地指导。是X老师的无私帮助与热忱鼓励，我的毕业论文才能够得以顺利完成，谢谢X老师。其次感谢大学N年来所有的老师，为我们打下坚实的专业基础，指引我通向心理学殿堂之路，并让我受益匪浅。感谢我的同学，他们也给了我很大的帮助，让我有了更深层的归属感和更多的充电电源。

参考文献

[1]《计算机网络》(第四版) 谢希仁 编著 电子工业出版社 2003.6

[2]《局域网组建与管理培训教程》赵家俊 主编 清华大学出版社 2006.7

[3]《网络工程设计与系统集成》杨威 主编 人民邮电出版社 2006.9

[4]《思科网络技术学院教程》（第三、四学期） 人民邮电出版社2004.7

[5]《网络工程师教程》(第二版) 雷震甲 主编 清华大学出版社2006.6

[6]《计算机网络综合布线系统》李宏力 主编 清华大学出版社 2003.8

[7]《计算机网络系统集成与方案实例》黎连业 主编 电子工业出版社2007.5

30