校園網畢業(yè)設計6

1、<p><b>　　第一章 需求分析</b></p><p>　　在校園網絡中，視頻、音頻、數據集于一身，如果保證不了高帶寬、又多種視頻、音頻、數據流混雜在一起進行傳輸，就沒法對流做出最高優(yōu)先級和次高優(yōu)先級及底優(yōu)先級的分類，這樣就不能保證重要業(yè)務的暢通，造成網絡延遲、服務不可用。所以要想真正改變網絡的效率，更有效的保證應用服務的運營，需要通過端到端的QOS，智能到邊緣的方式來保證。

2、通過智能到邊緣，端到端的應用方式，可以減少對網絡核心設備的消耗，這樣保證了網絡的有效暢通?？梢詫@區(qū)網應用中的，多媒體視頻點播服務、數據備份服務、文獻傳遞服務、E-mail服務、數據庫服務器等服務。對不同服務流進行詳細的分類，劃分優(yōu)先級，以及盡可能地避免發(fā)生擁塞。同時保證網絡的高效運行，充分利用現有的帶寬。</p><p>　　在園區(qū)網絡中，存在多樣的網絡設備及系統(tǒng)應用環(huán)境，并且要考慮在用戶迅速增長的今天，考慮到

3、網絡設備的可擴展性。保證在多樣網絡設備，用戶不斷增加的環(huán)境中，仍能保證網絡暢通。所以萬兆骨干網絡平臺就應具有良好的兼容性和可擴展性，能與當前校園網絡無縫銜接，同時預留空間符合當前和以后的信息建設需要和足夠的升級空間。</p><p>　　在校園網絡建設中存在多用戶,多服務的現狀。帶來了對網絡系統(tǒng)要求具有高效率等，以保證大數據量訪問下有效的處理能力。針對需求設備要能對數據做到分布式處理，這樣的分布式處理可以節(jié)省主交

4、換引擎的消耗。使數據在獨立的板卡上就能做出對數據的識別，這樣比在中央處理器識別要快的多。并在大量的數據應用，數據傳輸的過程中，要保證所有硬件設備都可以進行快速的轉發(fā)，要具備高背板帶寬（交換容量），所有端口都能保證線速轉發(fā)。這種分布式處理可以極大地提高整體處理能力，保證了網絡暢通。</p><p>　　現在的網絡環(huán)境中穩(wěn)定可靠是爭相談論的話題，因現在在網絡中運行了眾多重要應用及服務，是要保證7*24小時不間斷的服務

5、。就要完全能保證網絡設備全天后的可用性。即使在設備出現問題時切換到備用設備的過程中，也要保證較小的延遲，以滿足網絡應用中的有效暢通的需要。在這樣的需求中利用，冗余的管理交換引擎、冗余的電源等關鍵部件的冗余，支持（802.1D、802.1W）802.1S多Vlan生成樹協(xié)議保證鏈路級的冗余和負載均衡，支持VRRP、OSPF等三層路由協(xié)議保證路由級的冗余，支持load balancing技術實現了應用級的冗余備份和負載均衡。全方位的完全保證

6、了設備、網絡、應用系統(tǒng)的可靠性。</p><p>　　在校園網絡中，對于校園網的安全保障十分重要：校園網的信息點分布很廣，與一般企業(yè)網比較，校園網用戶的流動性大，信息點存在隨意接入使用的問題。學生及外來不明身份的用戶，在校園網中找到任何一個信息點，就可以進入到校園網，可以肆意干擾和破壞校園網網絡平臺及應用系統(tǒng)的正常運行。另外校園網的網絡安全，還需要考慮與外網及內網不同應用系統(tǒng)之間的安全訪問控制。為了發(fā)生安全事件后

7、，能夠有效、快捷地處理事故，采用上網審計手段是十分有必要的。由于當前類似“沖擊波、震蕩波病毒”的肆虐，一個健壯的網絡應該提供必要的手段，禁止特定病毒的傳播以及由于病毒造成的流量擁塞。</p><p>　　我們采用自頂向下、模塊化的方法、參考3層模型來進行工程的設計和實施?！?路由技術：路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網間路由數據包。路由器具有在網絡中傳遞數據時選擇最佳路徑的能

8、力。除了可以完成主要的路由任務，利用訪問控制列表（Access Control List，ACL），路由器還可以用來完成以路由器為中心的流量控制和過濾功能。在本設計中，內網用戶不僅通過路由器接入因特網、內網用戶之間也通過3層交換機上的路由功能進行數據包交換。　　　交換技術：傳統(tǒng)意義上的數據交換發(fā)生在OSI模型的第2層?，F代交換技術還實現了第3層交換和多層交換。高層交換技術的引入不但提高了園區(qū)網數據交換的效率，更大大增強了園區(qū)網數據交換

9、服務質量，滿足了不同類型網絡應用程序的需要?，F代交換網絡還引入了虛擬局域網（Virtual LAN，VLAN）的概念。VLAN將廣播域限制在單個VLAN內部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術來實現。當網絡管理人員需要管理的交換機數量眾多時，可以使用VLAN中繼協(xié)議（Vla</p><p><b>　　第二章 網絡規(guī)劃</b

10、></p><p>　　一 拓撲設計與設計原則</p><p>　　局域網采用星型網絡拓樸結構，星型拓樸結構為現在較為流行的一種網絡結構，它是以一臺中心處理機（通信設備）為主而構成的網絡，其它入網機器僅與該中心處理機之間有直接的物理鏈路，中心處理機采用分時或輪詢的方法為入網機器服務，所有的數據必須經過中心處理機。由于所有節(jié)點的往外傳輸都必須經過中央節(jié)點來處理，因此，對中央節(jié)點的要求

11、比較高。 優(yōu)點是網絡結構簡單，易于維護，便于管理（集中式）；每臺入網機均需物理線路與處理機互連，線路利用率低；處理機負載重（需處理所有的服務），因為任何兩臺入網機之間交換信息，都必須通過中心處理機；入網主機故障不影響整個網絡的正常工作。對該網絡支持的設備生產廠商有較好的技術支持。</p><p>　　局域網內的所有工作節(jié)點通過雙絞線與交換機相連形成一個星型網絡。辦公電腦建議采用品牌的商用機，商用機運行比較穩(wěn)

12、定，而且比較耐用，運算速度較快，較適于開發(fā)使用。</p><p>　　校園網絡系統(tǒng)的建設在實用的前提下，應當在投資保護及長遠性方面做適當考慮，在技術上、系統(tǒng)能力上要保持五年左右的先進性。并且從學校的利益出發(fā)，從技術上講應該采用標準、開放、可擴充的、能與其它廠商產品配套使用的設計。</p><p>　　根據校園網的總體需求，結合對應用系統(tǒng)的考慮，本次網絡建設的設計目標是：高性能、高可靠性、高

13、穩(wěn)定性、高安全性、易管理的萬兆骨干網絡平臺。</p><p>　　我們遵循以下的原則進行網絡設計：</p><p><b>　　1.實用性和經濟性</b></p><p>　　網絡建設應始終貫徹面向應用，注重實效的方針，堅持實用、經濟的原則，建設的萬兆骨干網絡平臺，保護用戶的投資。</p><p><b>　　

14、2.先進性和成熟性</b></p><p>　　網絡建設設計既要采用先進的概念、技術和方法，又要注意結構、設備、工具的相對成熟。不但能反映當今的先進水平，而且具有發(fā)展?jié)摿Γ鼙ＷC在未來若干年內占主導地位，保證貴校網絡建設的領先地位，采用萬兆以太網技術來構建網絡主干線路。</p><p><b>　　3.可靠性和穩(wěn)定性</b></p><

15、p>　　在考慮技術先進性和開放性的同時，還應從系統(tǒng)結構、技術措施、設備性能、系統(tǒng)管理、廠商技術支持及保修能力等方面著手，確保系統(tǒng)運行的可靠性和穩(wěn)定性，達到最大的平均無故障時間，Cisco公司作為知名品牌，網絡領導廠商，其產品的可靠性和穩(wěn)定性是一流的。</p><p>　　為了保證骨干網絡平臺的健壯性和鏈路冗余性，網絡實施時在學校啟用千兆備份線路。在學校啟用物理鏈路冗余機制，保證任何一條線路出現故障后骨干網絡

16、平臺的可用性。</p><p><b>　　4.安全性和保密性</b></p><p>　　在網絡設計中，既考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統(tǒng)應分別針對不同的應用和不同的網絡通信環(huán)境，采取不同的措施，包括端口隔離、路由過濾、防DDoS拒絕服務攻擊、防IP掃描、系統(tǒng)安全機制、多種數據訪問權限控制等，充分考慮Cisco公司安全性，針對的各種應用，有

17、多種的保護機制，如劃分VLAN、IP/MAC地址綁定（過濾）、ACL、路由過濾、防DDoS拒絕服務攻擊、防IP掃描、802.1x認證機制、SSH加密連接等具體技術提升整個網絡的安全性。</p><p>　　5.可擴展性和可管理性</p><p>　　由于信息技術和人們對于新技術的需求發(fā)展都非常迅速，為了避免不必要的重復投資，我們必須選擇具有一定擴展能力的設備，能夠保證在網絡規(guī)模逐漸擴大的時

18、候，不需要增加新的設備，而只需要增加一定數量的模塊就行。最好能夠做到在網絡技術進一步發(fā)展，現有模塊不支持新技術的情況下，只需要更換相應模塊，而不需要更換整個設備。</p><p>　　為了適應網絡結構變化的要求，必須充分考慮以最簡便的方法、最低的投資，實現系統(tǒng)的擴展和維護。為了便于擴展，對于核心設備必須采用模塊化高密度端口的設備，便于將來升級和擴展。</p><p>　　先進的設備必須配合

19、先進的管理和維護方法，才能夠發(fā)揮最大的作用。全線采用基于SNMP標準的可網管產品，達到全程網管，降低了人力資源的費用，提高網絡的易用性、可管理性，同時又具有很好的可擴充性。</p><p><b>　　二 網絡結構分析</b></p><p><b>　　1．骨干層</b></p><p>　　網絡中心節(jié)點及其它核心節(jié)點作

20、為校園網絡系統(tǒng)的心臟，必須提供全線速的數據交換，當網絡流量較大時，對關鍵業(yè)務的服務質量提供保障。另外作為整個網絡的交換中心，在保證高性能、無阻塞交換的同時，還必須保證穩(wěn)定可靠的運行。</p><p>　　因此在網絡中心的設備選型和結構設計上必須考慮整體網絡的高性能和高可靠性。具體來說核心節(jié)點的交換機有兩個基本要求：1）高密度端口情況下，還能保持各端口的線速轉發(fā)；2）關鍵模塊必須冗余，如管理引擎、電源、風扇?！　?/p>

21、由于校園網建設最終必將采用萬兆技術，因此需要考慮到核心設備對萬兆的支持能力。</p><p>　　綜上所述，主干核心交換機屬于高端系列的產品，所以在本方案中，核心交換機采用多業(yè)務萬兆核心路由交換機?？梢愿鶕脩舻男枨箪`活配置，靈活構建彈性可擴展的網絡。多業(yè)務萬兆核心路由交換機高背板帶寬和二/三層包轉發(fā)速率可為用戶提供高速無阻塞的交換，強大的交換路由功能、安全智能技術可為用戶提供完整的端到端解決方案，是大型網絡核心

22、骨干交換機的理想選擇。</p><p>　　在此方案中，校區(qū)網絡中心采用Cisco公司路由交換機作為核心交換機。核心層交換機跟匯聚接入層交換機之間的千兆鏈路可以捆綁，從而實現帶寬的靈活擴展。</p><p><b>　　2．接入層</b></p><p>　　接入層網絡由樓棟交換節(jié)點和樓層交換節(jié)點組成，接入層網絡應該可以滿足各種客戶的接入需要，

23、而且能夠實現客戶化的接入策略，業(yè)務QOS保證，用戶接入訪問控制等等。</p><p>　　樓層交換節(jié)點采用千兆智能堆疊交換機，提供智能的流分類和完善的QoS特征。為各類型網絡提供完善的端到端的服務質量、豐富的安全設置和基于策略的網管，最大化滿足高速、融合、安全的園區(qū)網新需求；本方案中各接入層交換機通過千兆鏈路上聯到各匯聚層設備，對下聯的桌面設備提供全雙工的百兆連接，為各類用戶提供無阻塞的交換性能?！?lt;/p&

24、gt;<p><b>　　3．出口</b></p><p>　　因為校園網出口采用以太網，所以采用路由器 + 防火墻的方式，起到如下作用：</p><p>　　防火墻提供強有力的服務器、內網安全保護、提供IDS等安全特性；路由器提供出口路由功能，數據處理能力強，具有強大的NAT功能。</p><p>　　三　網絡架構設計與拓撲結構

25、　　　為了實現網絡設備的統(tǒng)一，本設計方案中完全采用同一廠家的網絡產品，即Cisco公司的網絡設備構建。全網使用同一廠商設備的好處是可以實現各種不同網絡設備功能的互相配合和補充。</p><p>　　本校園網設計方案主要由以下四大部分構成：交換模塊、廣域網接入模塊、遠程訪問模塊、服務器群。整個網絡系統(tǒng)的拓撲結構圖如下圖所示。在后面將根據此圖分塊進行分析。　　 </p><p>　　校園網

26、整體拓撲結構圖</p><p>　　表　VLAN及IP編址方案</p><p>　　除了表中的內容外，撥號用戶從192.168.200.0/27中動態(tài)取得IP地址。在這里為每個VLAN定義了一個由拼音縮寫組成的VLAN名稱。</p><p>　　第三章 主要技術設計的具體配置過程</p><p>　　為了簡化交換網絡設計、提高交換網絡的可擴展

27、性，在園區(qū)網內部數據交換的部署是分層進行的?！　@區(qū)網數據交換設備可以劃分為三個層次：訪問層、分布層、核心層?！　鹘y(tǒng)意義上的數據交換發(fā)生在OSI模型的第2層?，F代交換技術還實現了第3層交換和多層交換。高層交換技術的引入不但提高了園區(qū)網數據交換的效率，更大大增強了園區(qū)網數據交換服務質量，滿足了不同類型網絡應用程序的需要?！　　‖F代交換網絡還引入了虛擬局域網（Virtual LAN，VLAN）的概念。VLAN將廣播域限制在單個VLA

28、N內部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術來實現。　　當網絡管理人員需要管理的交換機數量眾多時，可以使用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）簡化管理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網絡管理人員的工作負擔和工作強度?！　‘攬@區(qū)網絡的交換

29、機數量增多、交換機間鏈路增加時，交換網絡的復雜性可能會造成交換環(huán)路問題，這需要</p><p>　　一 訪問層交換服務的實現——配置訪問層交換機</p><p>　　訪問層為所有的終端用戶提供一個接入點。這里的訪問層交換機采用的是Cisco Catalyst 2950 24口交換機（WS-C2950-24）。交換機擁有24個10/100Mbps自適應快速以太網端口，運行的是Cisco的IO

30、S操作系統(tǒng)。我們以下圖的訪問層交換機AccessSwitch1進行設置。</p><p>　　1. 配置訪問層交換機AccessSwitch1的基本參數</p><p>　　Switch(config)#hostname AccessSwitch1</p><p>　　AcccessSwitch1(config)# enable secret 123Switch

31、 /設置交換機口令</p><p>　　AcccessSwitch1(config)#line vty 0 15 /設置登錄虛擬終端線時的口令</p><p>　　AcccessSwitch1(config-line)#login</p><p>　　AcccessSwitch1(config-line)#password youguess</p

32、><p>　　2. 配置訪問層交換機AccessSwitch1的管理IP、默認網關</p><p>　　AcccessSwitch1(config)#interface vlan 1</p><p>　　AcccessSwitch1(config-if)#ip address 192.168.0.5 255.255.255.0</p><p>　

33、　AcccessSwitch1(config-if)#no shutddown</p><p>　　AcccessSwitch1(config)#ip drfault-gateway 192.168.0.254</p><p>　　3．配置訪問層交換機AccessSwitch1的VLAN及VTP</p><p>　　AcccessSwitch1(config)#vt

34、p mode client</p><p>　　AcccessSwitch1(config)#interface range fatchernet 0/1 – 24</p><p>　　AcccessSwitch1(config-if-range)#duplex full</p><p>　　AcccessSwitch1(config)#interface rang

35、e fatchernet 0/1 – 24</p><p>　　AcccessSwitch1(config-if-range)#specd 100</p><p>　　4. 配置訪問層交換機AccessSwitch1的訪問端口</p><p>　　AcccessSwitch1(config)#Interface range fastchernet 0/1 -10&l

36、t;/p><p>　　AcccessSwitch1(config-if-range)#switchport mode access</p><p>　　AcccessSwitch1(config-if-range)#switchport access vlan 10</p><p>　　AcccessSwitch1(config)#Interface range fas

37、tchernet 0/11 -20</p><p>　　AcccessSwitch1(config-if-range)#switchport mode access</p><p>　　AcccessSwitch1(config-if-range)#switchport access vlan 20</p><p>　　AcccessSwitch1(config)#

38、Interface range fastchernet 0/11 -20</p><p>　　AcccessSwitch1(config-if-range)#spanning-tree portfast</p><p>　　5. 配置訪問層交換機AccessSwitch1的主干道端口</p><p>　　AcccessSwitch1(config)#Interfac

39、e range fastchernet 0/23 -24</p><p>　　AcccessSwitch1(config-if-range)#switchport mode trunk</p><p>　　AcccessSwitch1(config)#spanning-tree uplinkfast / 冗余設計</p><p>　　Accce

40、ssSwitch1(config)#spanning-tree Backbonefast / 加快生成樹的收斂</p><p>　　7．配置訪問層交換機AccessSwitch2與AccessSwitch1類似</p><p>　　二 分布層交換服務的實現－配置分布層交換機</p><p>　　分布層除了負責將訪問層交換機進行匯集外，還為整個交換網絡提

41、供VLAN間的路由選擇功能?！?這里的分布層交換機采用的是Cisco Catalyst 3550交換機。作為3層交換機，Cisco Catalyst 3550交換機擁有24個10/100Mbps自適應快速以太網端口，同時還有2個1000Mbps的GBIC端口供上連使用，運行的是Cisco的Integrated IOS操作系統(tǒng)。我們以下圖中的分布層交換機DistributeSwitch1為例進行設置。</p><p

42、>　　配置分布層交換機DistributeSwitch1的基本參數</p><p>　　Switch#configure terminal</p><p>　　Enter congifguration commands,one per line End with CNTL/Z</p><p>　　Switch(config)#hostname Distribu

43、teSwitch1</p><p>　　DistributeSwitch1(config)#enable secret youguess</p><p>　　DistributeSwitch1(config)#line con 0</p><p>　　DistributeSwitch1(config-line)#logging synchronous</p&g

44、t;<p>　　DistributeSwitch1(config-line)#exec-timeout 5 30</p><p>　　DistributeSwitch1(config-line)#line vty 0 15</p><p>　　DistributeSwitch1(config-line)#password abc</p><p>　　D

45、istributeSwitch1(config-line)#login</p><p>　　DistributeSwitch1(config-line)# exec-timeout 5 30</p><p>　　DistributeSwitch1(config-line)#exit</p><p>　　DistributeSwitch1(config)#no ip

46、domain-lookup</p><p>　　2．配置分布層交換機DistributeSwitch1的管理IP、默認網關</p><p>　　DistributeSwitch1(config)#interface vlan 1</p><p>　　DistributeSwitch1(config-if)#ip address 192.168.0.3 255.255

47、.255.0</p><p>　　DistributeSwitch1(config-if)#no shutdown</p><p>　　DistributeSwitch1(config-if)#exit</p><p>　　DistributeSwitch1(config-if)#ip default-gateway 192.168.0.254</p>

48、<p>　　配置分布層交換機DistributeSwitch1的VTP</p><p>　　DistributeSwitch1(config)#vtp domain nciae /設置VTP管理域的域名</p><p>　　DistributeSwitch1(config)#vtp mode server /設置VTP服務器</p><p>

49、　　DistributeSwitch1(config)#vtp pruning /激活VTP剪裁功能</p><p>　　4. 在分布層交換機DistributeSwitch1上定義VLAN</p><p>　　Switch#configure terminal</p><p>　　Enter configuration commands,one per

50、 line.End with CNTL/Z</p><p>　　DistributeSwitch1(config)#vlan 10</p><p>　　DistributeSwitch1(config-vlan)#name JWC</p><p>　　DistributeSwitch1(config)#vlan 20</p><p>　　Di

51、stributeSwitch1(config-vlan)#name XSSS</p><p>　　DistributeSwitch1(config)#vlan 30</p><p>　　DistributeSwitch1(config-vlan)#name CWC</p><p>　　DistributeSwitch1(config)#vlan 40</p&g

52、t;<p>　　DistributeSwitch1(config-vlan)#name JGSS</p><p>　　DistributeSwitch1(config)#vlan 50</p><p>　　DistributeSwitch1(config-vlan)#name WXY</p><p>　　DistributeSwitch1(config

53、)#vlan 60</p><p>　　DistributeSwitch1(config-vlan)#name YYXY</p><p>　　DistributeSwitch1(config)#vlan 70</p><p>　　DistributeSwitch1(config-vlan)#name JSJXY</p><p>　　Distr

54、ibuteSwitch1(config)#vlan 100</p><p>　　DistributeSwitch1(config-vlan)#name FWQQ</p><p>　　5. 配置分布層交換機DistributeSwitch1的端口基本參數</p><p>　　DistributeSwitch1(config)#interface range faste

55、thernet 0/1 – 24</p><p>　　DistributeSwitch1(config-if-range)#dupex full</p><p>　　DistributeSwitch1(config-if-range)#speed 100</p><p>　　DistributeSwitch1(config-if-range)#interface r

56、ange fastethernet 0/1 – 10</p><p>　　DistributeSwitch1(config-if-range)#switchport mode access</p><p>　　DistributeSwitch1(config-if-range)#switchport access vlan 100</p><p>　　Distrib

57、uteSwitch1(config-if-range)#spanning-tree portfast</p><p>　　DistributeSwitch1(config-if-range)#interface range fastethernet 0/23 – 24</p><p>　　DistributeSwitch1(config-if-range)#switchport mode

58、trunk</p><p>　　DistributeSwitch1(config-if-range)#interface range gigabitEthernet 0/1– 2</p><p>　　DistributeSwitch1(config-if-range)#switchport mode trunk</p><p>　　6. 配置分布層交換機Distri

59、buteSwitch1的3層交換功能</p><p>　　DistributeSwitch1(config)#interface vlan 10</p><p>　　DistributeSwitch1(config-if)#ip address 192.168.1.254 255.255.255.0</p><p>　　DistributeSwitch1(confi

60、g-if)#no shutdown</p><p>　　DistributeSwitch1(config)#interface vlan 20</p><p>　　DistributeSwitch1(config-if)#ip address 192.168.2.254 255.255.255.0</p><p>　　DistributeSwitch1(config

61、-if)#no shutdown</p><p>　　DistributeSwitch1(config)#interface vlan 30</p><p>　　DistributeSwitch1(config-if)#ip address 192.168.3.254 255.255.255.0</p><p>　　DistributeSwitch1(config-

62、if)#no shutdown</p><p>　　DistributeSwitch1(config)#interface vlan 40</p><p>　　DistributeSwitch1(config-if)#ip address 192.168.4.254 255.255.255.0</p><p>　　DistributeSwitch1(config-i

63、f)#no shutdown</p><p>　　DistributeSwitch1(config)#interface vlan 50</p><p>　　DistributeSwitch1(config-if)#ip address 192.168.5.254 255.255.255.0</p><p>　　DistributeSwitch1(config-if

64、)#no shutdown</p><p>　　DistributeSwitch1(config)#interface vlan 60</p><p>　　DistributeSwitch1(config-if)#ip address 192.168.6.254 255.255.255.0</p><p>　　DistributeSwitch1(config-if)

65、#no shutdown</p><p>　　DistributeSwitch1(config)#interface vlan 70</p><p>　　DistributeSwitch1(config-if)#ip address 192.168.7.254 255.255.255.0</p><p>　　DistributeSwitch1(config-if)#

66、no shutdown</p><p>　　DistributeSwitch1(config)#interface vlan 100</p><p>　　DistributeSwitch1(config-if)#ip address 192.168.100.254 255.255.255.0</p><p>　　DistributeSwitch1(config-if

67、)#no shutdown</p><p>　　7．配置分布層交換機DistributeSwitch2</p><p>　　分布層交換機DistributeSwitch2的端口FastEthernet 0/23、FastEthernet 0/24分別下連到訪問層交換機AccessSwitch1的端口FastEthernet 0/24以及訪問層交換機AccessSwitch2的端口FastE

68、thernet 0/24?！　〈送?，分布層交換機DistributeSwitch2還通過自己的千兆端口GigabitEthernet 0/1上連到核心交換機CoreSwitch1的GigabitEthernet 3/2?！　榱藢崿F冗余設計，分布層交換機DistributeSwitch2還通過自己的千兆端口GigabitEthernet 0/2連接到分布層交換機DistributeSwitch1的GigabitEthernet 0/

69、2. </p><p>　　DistributeSwitch1(config)#ip route 0.0.0.0.0.0.0.0 192.168.0.254</p><p>　　另外. 為了實現對無類別網絡（Classless Network）以及全零子網（Subnet-zero）的支持，在充當3層交換機的分布層交換機DistributeSwitch1，還需要進行適當的配置.</p&

70、gt;<p>　　DistributeSwitch1(config)#ip classless</p><p>　　DistributeSwitch1(config)#ip subnet-zero</p><p>　　/定義對無類別網絡以及全零子網的支持.</p><p>　　三 核心層交換服務的實現——配置核心層交換機</p><

71、p>　　核心層將各分布層交換機互連起來進行穿越園區(qū)網骨干的高速數據交換</p><p>　　本設計中的核心層交換機采用的是Cisco Catalyst 4006交換機，采用了Catalyst 4500 Supervisor II Plus（WS-X4013+）作為交換機引擎。運行的是Cisco的Integrated IOS操作系統(tǒng)</p><p>　　在作為核心層交換機的Cisco

72、Catalyst 4006交換機中，安裝了WS-X4306-GB（Catalyst 4000 Gigabit Ethernet Module, 6-Ports (GBIC)）模塊，該模塊提供了5個千兆光纖上連接口，可以用來接入WS-G5484（1000BASE-SX　Short Wavelength　GBIC (Multimode only)）。以下圖中的核心層交換機CoreSwitch1為例進行設置</p><p&

73、gt;　　1．配置核心層交換機CoreSwitch1的基本參數</p><p>　　Switch#configure terminal</p><p>　　Enter configuration commands,one per line.End with CNTL/Z</p><p>　　Switch(config)#hostname DistributeSwit

74、ch1</p><p>　　CoreSwitch1 (config)#enable secret youguess</p><p>　　CoreSwitch1 (config)#line con 0</p><p>　　CoreSwitch1 (config-line)#logging synchronous</p><p>　　CoreSw

75、itch1 (config-line)#exec-timeout 5 30</p><p>　　CoreSwitch1 (config-line)#line vty 0 15</p><p>　　CoreSwitch1 (config-line)#password abc</p><p>　　CoreSwitch1 (config-line)#login</p

76、><p>　　CoreSwitch1 (config-line)# exec-timeout 5 30</p><p>　　CoreSwitch1 (config-line)#exit</p><p>　　CoreSwitch1 (config)#no ip domain-lookup</p><p>　　2．配置核心層交換機CoreSwitch

77、1的管理IP、默認網關</p><p>　　CoreSwitch1(config)#interface vlan 1</p><p>　　CoreSwitch1(config-if)#ip address 192.168.0.1 255.255.255.0</p><p>　　CoreSwitch1(config-if)#no shutdown</p>

78、<p>　　CoreSwitch1(config-if)#exit</p><p>　　CoreSwitch1(config-if)#ip default-gateway 192.168.0.254</p><p>　　3．配置核心層交換機CoreSwitch1的的VLAN及VTP</p><p>　　CoreSwith1(config)#vtp mod

79、e client</p><p>　　4．配置核心層交換機CoreSwitch1的端口參數</p><p>　　核心層交換機CoreSwitch1通過自己的端口FastEthernet 4/3同廣域網接入模塊（Internet路由器）相連。同時，核心層交換機CoreSwitch1的端口GigabitEthernet 3/1～GigabitEthernet 3/2分別下連到分布層交換機Dis

80、tributeSwitch1和DistributeSwitch2的端口GigabitEthernet 0/1。</p><p>　　DistributeSwitch1(config)#interface range fastethernet 0/1 – 24</p><p>　　DistributeSwitch1(config-if-range)#dupex full</p>

81、<p>　　DistributeSwitch1(config-if-range)#speed 100</p><p>　　DistributeSwitch1(config-if-range)#switchport mode access</p><p>　　DistributeSwitch1(config-if-range)#switchport access vlan 1&l

82、t;/p><p>　　DistributeSwitch1(config-if-range)#spanning-tree portfast</p><p>　　DistributeSwitch1(config-if-range)#interface range gigabitEthernet 3/1– 2</p><p>　　DistributeSwitch1(confi

83、g-if-range)#switchport mode trunk</p><p>　　此外，為了提供主干道的吞吐量以及實現冗余設計，在本設計中，將核心層交換機CoreSwitch1的千兆端口GigabitEthernet 2/1、GigabitEthernet 2/2捆綁在一起實現2000Mbps的千兆以太網信道，然后再連接到另一臺核心層交換機CoreSwitch2。</p><p>　

84、　CoreSwitch1 (config)#interface port-channel</p><p>　　CoreSwitch1 (config-if)#switchport</p><p>　　CoreSwitch1 (config-if)# interface gigabitEthernet 2/1– 2</p><p>　　CoreSwitch1 (con

85、fig-if)#channel-group 1 mode desiruble non-silent</p><p>　　CoreSwitch1 (config-if)#no shutdown</p><p>　　5．配置核心層交換機CoreSwitch1的路由功能 核心層交換機CoreSwitch1通過端口FastEthernet 4/3同廣域網接入模塊（Internet路由器）相連

86、。因此，需要啟用核心層交換機的路由功能。同時，還需要定義通往Internet的路由。這里使用了一條缺省路由命令。其中，下一跳地址是Internet接入路由器的快速以太網接口FastEthernet 0/0的IP地址。</p><p>　　CoreSwitch1(config)#ip routing</p><p>　　CoreSwitch1(config)#ip route 0.0.0.0

87、 0.0.0.0 192.168.2.254</p><p><b>　　6．其它配置</b></p><p>　　定義對無類別網絡以及全零子網的支持</p><p>　　CoreSwith1(config)#ip classless</p><p>　　CoreSwith1(config)#ip subnet-zero

88、</p><p>　　CoreSwitch2的配置步驟、命令和CoreSwitch1的配置類似.</p><p>　　四　配置接入路由器InternetRouter</p><p>　　1. 配置接入路由器InternetRouter的基本參數Router#configure terminal</p><p>　　Enter configu

89、ration commands,one per line.End with CNTL/Z</p><p>　　Switch(config)#hostname InternetRouter</p><p>　　InternetRouter (config)#enable secret youguess</p><p>　　InternetRouter (config)

90、#line con 0</p><p>　　InternetRouter (config-line)#logging synchronous</p><p>　　InternetRouter (config-line)#exec-timeout 5 30</p><p>　　InternetRouter (config-line)#line vty 0 15<

91、/p><p>　　InternetRouter (config-line)#password abc</p><p>　　InternetRouter (config-line)#login</p><p>　　InternetRouter (config-line)# exec-timeout 5 30</p><p>　　InternetRo

92、uter (config-line)#exit</p><p>　　InternetRouter (config)#no ip domain-lookup</p><p>　　2. 配置接入路由器InternetRouter的各接口參數</p><p>　　InternetRouter (config)#interface fastethernet 0/0</

93、p><p>　　InternetRouter (config-if)#ip address 192.168.0.254 255.255.255.0</p><p>　　InternetRouter (config-if)#no shutdown</p><p>　　InternetRouter (config-if)# interface serial 0/0<

94、/p><p>　　InternetRouter (config-if)#ip address 193.1.1.1 255.255.255.252</p><p>　　InternetRouter (config-if)#no shutdown</p><p>　　3. 配置接入路由器InternetRouter的路由功能</p><p>　　In

95、ternetRouter (config)#ip route 0.0.0.0 0.0.0.0 serial0/0</p><p>　　InternetRouter (config)#ip route 192.168.0.0 255.255. 248.0 192.168.0.3 /</p><p>　　InternetRouter (config)#ip route 192.168.100.

96、0 255.255. 255.0 192.168.0.3</p><p>　　/定義到校園網內部的路由</p><p>　　4. 配置接入路由器InternetRouter上的NAT</p><p>　　為了接入Internet，本校園網向當地ISP申請了9個IP地址。其中一個IP地址：193.1.1.1被分配給了Internet接入路由器的串行接口，另外8個IP地

97、址：202.206.222.1～202.206.222.8用作NAT。</p><p>　　InternetRouter (config)#interface fastethernet 0/0</p><p>　　InternetRouter (config-if)#ip nat inside</p><p>　　InternetRouter (config-if)

98、#interface serial 0/0</p><p>　　InternetRouter (config-if)#ip nat outside /定義NAT內部、外部接口</p><p>　　InternetRouter (config)#ip access-list 1 permit 192.168.0.0 0.0.7.255</p><p&g

99、t;　　InternetRouter (config)#ip access-list 1 permit 192.168.100.0 0.0.0.255</p><p>　　InternetRouter (config)#ip nat inside source static 192.168.100.1 202.206.222.1</p><p>　　InternetRouter (con

100、fig)#ip nat inside source static 192.168.100.1 202.206.222.2</p><p>　　InternetRouter (config)#ip nat inside source static 192.168.100.1 202.206.222.3</p><p>　　…… / 為服務器定義靜態(tài)地址轉換</p><p&

101、gt;　　InternetRouter (config)#ip nat inside source list 1 interface serial 0/0 overload</p><p>　　/ 為工作站定義復用地址轉換</p><p>　　5. 配置接入路由器InternetRouter上的安全訪問ACL</p><p>　　1. 路由器是外網進入校園網內網的

102、第一道關卡，是網絡防御的前沿陣地。路由器上的訪問控制列表（Access Control List，ACL）是保護內網安全的有效手段。一個設計良好的訪問控制列表不僅可以起到控制網絡流量、流向的作用，還可以在不增加網絡系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產品的功能。由于路由器介于校園網內網和外網之間，是外網與內網進行通信時的第一道屏障，所以即使在網絡系統(tǒng)安裝了防火墻產品后，仍然有必要對路由器的訪問控制列表進行縝密的設計，來對校園網

103、內網包括防火墻本身實施保護。</p><p>　　在網絡環(huán)境中還普遍存在著一些非常重要的、影響服務器群安全的隱患。在絕大多數網絡環(huán)境的實現中它們都是應該對外加以屏蔽的。主要應該做以下的ACL設計： 對外屏蔽簡單網管協(xié)議，即SNMP. 利用這個協(xié)議，遠程主機可以監(jiān)視、控制網絡上的其它網絡設備。它有兩種服務類型：SNMP和SNMPTRAP。</p><p>　　設置對外屏蔽簡單網管協(xié)議

104、SNMP:</p><p>　　InternetRouter (config) #ip route 192.168.0.0 255.255.248.0 192.168.0.3</p><p>　　InternetRouter (config)#ip route 192.168.100.0 255.255.255.0 192.168.0.3</p><p>　　2.

105、對外屏蔽遠程登錄協(xié)議telnet. 首先，telnet是一種不安全的協(xié)議類型。用戶在使用telnet登錄網絡設備或服務器時所使用的用戶名和口令在網絡中是以明文傳輸的，很容易被網絡上的非法協(xié)議分析設備截獲。其次，telnet可以登錄到大多數網絡設備和UNIX服務器，并可以使用相關命令完全操縱它們。這是極其危險的，因此必須加以屏蔽。</p><p>　　屏蔽遠程登錄協(xié)議telne</p><p&g

106、t;　　InternetRouter (config)#ip access-list 101 deny tcp any eq telnet</p><p>　　InternetRouter (config)#ip access-list 101 permit ip any any</p><p>　　3. 對外屏蔽其它不安全的協(xié)議或服務. 這樣的協(xié)議主要有SUN OS的文件共享協(xié)議端口20

107、49，遠程執(zhí)行（rsh）、遠程登錄（rlogin）和遠程命令（rcmd）端口512、513、514，遠程過程調用（SUNRPC）端口111?？梢詫⑨槍σ陨蠀f(xié)議綜合進行設計</p><p>　　InternetRouter (config)#ip access-list 101 deny tcp any any range 512 514</p><p>　　InternetRouter (

108、config)#ip access-list 101 deny tcp any any eq 111</p><p>　　InternetRouter (config)#ip access-list 101 deny udp any any eq 111</p><p>　　InternetRouter (config)#ip access-list 101 deny tcp any an

109、y range 2049</p><p>　　InternetRouter (config)#ip access-list 101 permit ip any any</p><p>　　4. 針對DoS攻擊的設計. DoS攻擊（Denial of Service Attack，拒絕服務攻擊）是一種非常常見而且極具破壞力的攻擊手段，它可以導致服務器、網絡設備的正常服務進程停止，嚴重時會導致