版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、<p> 基于cisco設(shè)備的校園網(wǎng)設(shè)計和安全實現(xiàn)</p><p><b> 摘 要</b></p><p> 校園網(wǎng)是以網(wǎng)絡(luò)技術(shù)為基礎(chǔ),實現(xiàn)學(xué)校整體信息化的集成應(yīng)用系統(tǒng)。它以網(wǎng)絡(luò)設(shè)備的互聯(lián)、安全運行為基礎(chǔ),以應(yīng)用軟件和教育資源為核心,以建構(gòu)現(xiàn)代教育技術(shù)及管理模式為目的,為學(xué)校信息化建設(shè)提供了全方位的服務(wù)。</p><p>
2、隨著互聯(lián)網(wǎng)的普及和國內(nèi)各高校網(wǎng)絡(luò)建設(shè)的不斷發(fā)展,大多數(shù)高校都建立了自己的校園網(wǎng),它己經(jīng)成為高校信息化的重要部分,網(wǎng)絡(luò)安全已成為不容忽視的問題,如何在開放網(wǎng)絡(luò)環(huán)境中保證數(shù)據(jù)和系統(tǒng)的安全性已經(jīng)成為眾多業(yè)內(nèi)人士關(guān)心的問題,并越來越迫切和重要,作為一個面向大眾的開放系統(tǒng),計算機網(wǎng)絡(luò)面臨著來自各方面的威脅和攻擊。因此,網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建是一個非常重要的問題,它涉及到從系統(tǒng)硬件到軟件,從單機到網(wǎng)絡(luò)的各個方面。</p><p>
3、; 本論文在論述校園局域網(wǎng)的規(guī)劃和建設(shè)的過程中,提出了網(wǎng)絡(luò)設(shè)計的基本目標(biāo),在研究和分析了當(dāng)今各種局域網(wǎng)技術(shù)的基礎(chǔ)上,針對校園網(wǎng)建設(shè)需求,提出了校園網(wǎng)建網(wǎng)的原則和內(nèi)容、選擇了校園網(wǎng)系統(tǒng)的技術(shù)類型、完成了拓撲結(jié)構(gòu)的選擇,繪出了網(wǎng)絡(luò)拓撲圖,完成了網(wǎng)絡(luò)設(shè)備的選擇,同時考慮到網(wǎng)絡(luò)安全在校園網(wǎng)建設(shè)中的重要性,完成了網(wǎng)絡(luò)安全設(shè)計。結(jié)合校園網(wǎng)的實際,根據(jù)現(xiàn)有設(shè)備條件,運用VLAN技術(shù)、NAT技術(shù)、幀中繼交換技術(shù)、路由器訪問控制列表實現(xiàn)了對校園網(wǎng)的基本
4、安全防護。</p><p> 關(guān)鍵詞:三層交換,網(wǎng)絡(luò)安全,虛擬局域網(wǎng),虛擬專用網(wǎng),網(wǎng)絡(luò)地址轉(zhuǎn)換,三層路由,幀中繼交換設(shè)備。</p><p><b> 目錄</b></p><p><b> 第一章 前言1</b></p><p> 1.1課題研究的背景,目的及意義1</p>
5、<p> 1.2主要研究內(nèi)容2</p><p> 第二章 系統(tǒng)總體方案設(shè)計3</p><p> 2.1應(yīng)用的主用技術(shù)及說明3</p><p> 2.2相關(guān)設(shè)備的選擇13</p><p> 第三章 校園網(wǎng)設(shè)計及安全方案實現(xiàn)15</p><p> 3.1校園網(wǎng)組網(wǎng)設(shè)計15</p
6、><p> 3.2校園網(wǎng)絡(luò)安全設(shè)計的配置實現(xiàn)19</p><p> 第四章 總結(jié)30</p><p> 4.1本人所完成的工作30</p><p> 4.2不足之處及進一步研究的方向30</p><p> 第五章 致謝和參考文獻32</p><p><b> 第一章
7、 前言</b></p><p> 1.1課題研究的背景,目的及意義</p><p> 計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展給人類社會帶來史無前例的沖擊,因特網(wǎng)的重要性和巨大優(yōu)勢有目共睹,在大大擴展了信息資源共享尺度的同時也大大縮小了信息服務(wù)的時間尺度。隨著網(wǎng)絡(luò)規(guī)模的變化,以太網(wǎng)技術(shù)從一個辦公室網(wǎng)絡(luò)走向一個辦公樓的局域網(wǎng)乃至整個園區(qū)網(wǎng),而在1998年之前,園區(qū)網(wǎng)技術(shù)往往會采用最早的FD
8、DI技術(shù)和ATM技術(shù)。這種應(yīng)用變化對三層交換機提出了更高的性能要求,對數(shù)據(jù)轉(zhuǎn)發(fā)的控制能力和廣域網(wǎng)之間的路由互聯(lián)能力的要求也更高,同時可靠性、可用性要求也大大增強,二、三層交換功能也發(fā)展到由一個單獨芯片完成,交換容量也從最初的5Gbps發(fā)展到百千Gaps的水平,因此出現(xiàn)了VLAN、NAT等關(guān)鍵技術(shù)。在信息流動更加自由、可用資源更為豐富的同時,校園網(wǎng)必須為網(wǎng)絡(luò)可能面臨的全部威脅作好防御。雖然這些威脅形式多樣,但都將導(dǎo)致一定程度上的泄密以及對
9、信息或資源的惡意破壞,從而造成巨大的經(jīng)濟損失甚至學(xué)校聲譽和經(jīng)濟利益的損壞。知道網(wǎng)絡(luò)的哪個部分更容易受到入侵,以及常見的攻擊者與他們所使用的攻擊方式和其他威脅的來源都是很重要的。過去人們傾向于信任內(nèi)部的用戶而不信任來自因特網(wǎng)的用戶。對內(nèi)部和那些被授權(quán)從企業(yè)外部使用內(nèi)部網(wǎng)資源</p><p> 近年來,網(wǎng)絡(luò)安全產(chǎn)品從簡單的防火墻到目前的具備報警、預(yù)警、分析、審計、監(jiān)測等全面功能的網(wǎng)絡(luò)安全系統(tǒng),在技術(shù)角度已經(jīng)實現(xiàn)了巨
10、大進步,也為企業(yè)在構(gòu)建網(wǎng)絡(luò)安全體系方面提供了更加多樣化的選擇,但是,網(wǎng)絡(luò)面臨的威脅卻并未隨著技術(shù)的進步而有所抑制,反而使矛盾更加突出,從層出不窮的網(wǎng)絡(luò)犯罪到日益猖獗的黑客攻擊,似乎網(wǎng)絡(luò)世界正面臨著前所未有的挑戰(zhàn),下面簡單分析網(wǎng)絡(luò)安全環(huán)境的現(xiàn)狀。</p><p> 1.在網(wǎng)絡(luò)和應(yīng)用系統(tǒng)保護方面采取了安全措施,網(wǎng)絡(luò)/應(yīng)用系統(tǒng)分別部署防火墻、訪問控制設(shè)備等安全產(chǎn)品,采取了備份、負載均衡、硬件冗余等安全措施;</
11、p><p> 2.實現(xiàn)了區(qū)域性的集中防病毒,實現(xiàn)了病毒庫的升級和防病毒客戶端的監(jiān)控和管理;</p><p> 3.安全工作由各網(wǎng)絡(luò)/應(yīng)用系統(tǒng)具體的維護人員兼職負責(zé),安全工作分散到各個維護人員;</p><p> 4.應(yīng)用系統(tǒng)賬號管理、防病毒等方面具有一定流程,在網(wǎng)絡(luò)安全管理方面的流程相對比較薄弱,需要進一步進行修訂;</p><p> 5
12、.員工安全意識有待加強,日常辦公中存在一定非安全操作情況,終端使用和接入情況復(fù)雜。</p><p> 本設(shè)計是在對校園的網(wǎng)絡(luò)的結(jié)構(gòu)以及安全需求進行嚴格的分析之后提出來的網(wǎng)絡(luò)安全設(shè)計方案,傾向于更多地保證網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全,通過對學(xué)??赡苁艿降耐{來源進行分析,并為之做出一一對應(yīng)的防護措施,從而保障校園網(wǎng)絡(luò)不受到來自內(nèi)部網(wǎng)用戶、外部網(wǎng)用戶威脅。</p><p><b> 1.2
13、主要研究內(nèi)容</b></p><p> 本課題研究的主要內(nèi)容是路由器與交換機的應(yīng)用技術(shù),主要方向是通過對路由器和交換機的配置使一個網(wǎng)絡(luò)中不同的VLAN間可以互相訪問,VLAN中的用戶可以訪問外網(wǎng)Internet。設(shè)計中,采用了VLAN(虛擬局域網(wǎng))、VPN(虛擬專用網(wǎng))和幀中繼技術(shù),配合訪問控制列表、以及NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)解決了內(nèi)部網(wǎng)、服務(wù)器與外網(wǎng)之間的通訊中存在的安全問題,并且為遠程用戶提供了
14、通過安全VPN接入校園內(nèi)部網(wǎng)的服務(wù)。</p><p> 第2章 系統(tǒng)總體方案設(shè)計</p><p> 2.1應(yīng)用的主用技術(shù)及說明</p><p> 2.1.1三層交換VLAN技術(shù)</p><p> 交換機的每一個端口均為自己獨立的沖突域,但問時對于所有處于一個IP 網(wǎng)段的網(wǎng)絡(luò)設(shè)備來說,卻處在一個廣播域中,當(dāng)工作站的數(shù)量較多、信息流很大
15、的時候,就容易形成廣播風(fēng)暴,甚者造成網(wǎng)絡(luò)的癱瘓。</p><p> 在采用交換技術(shù)的網(wǎng)絡(luò)模式中,對于網(wǎng)絡(luò)結(jié)構(gòu)的劃分采用的僅僅是物理網(wǎng)段的劃分。這樣的網(wǎng)絡(luò)結(jié)構(gòu)從效率和安全性的角度來考慮都是有所欠缺的,而且在很大程度上限制了網(wǎng)絡(luò)的靈活性,如果需要將一個廣播域分開,那么就需要甚另外購買交換機并且要人工重新布線。但是,進行虛擬網(wǎng)絡(luò)(VLAN)設(shè)置后就不需要另外購買交換機了。</p><p>
16、一個好的校園網(wǎng)設(shè)計應(yīng)該是一個分層的設(shè)計。為了簡化交換網(wǎng)絡(luò)的設(shè)計、提高網(wǎng)絡(luò)的可擴展性,在企業(yè)網(wǎng)內(nèi)部數(shù)據(jù)交換模塊的部署是分層進行的。數(shù)據(jù)交換設(shè)備可以劃分為三個層次:訪問層、分布房、核心層。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第二層.隨著科技的進一步發(fā)展,現(xiàn)代交換技術(shù)還實現(xiàn)了第二層交換和多層交換。高層交換技術(shù)的引入不但提高網(wǎng)絡(luò)數(shù)據(jù)交換的效率,更大大增加了校園網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量,滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。</p><
17、;p> 在現(xiàn)代的校園網(wǎng)中,大部引入了虛擬局域網(wǎng)(VLAN)的概念。VLAN將廣播域限制在單個VLAN內(nèi)部,減少了單個VLAN間VLAN主機的廣播通信對其它VLAN的影響。在VLAN間需要通信的時候,可以利用VLAN間路由技術(shù)來實現(xiàn).隨著校園規(guī)模的不斷擴大,一個校園網(wǎng)的工作站就不斷增加。這時網(wǎng)絡(luò)管理人員需要的交換機數(shù)最就增加,這時我們就可以使用VLAN中繼協(xié)議(VLAN Trunking Protocol. VTP) 簡化管理。通
18、過中繼協(xié)議,只需在單獨臺交換機上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義到本管理域中的所有交換機上。這樣就可以大大的減輕網(wǎng)絡(luò)管理人員的工作負擔(dān)和工作強度。</p><p> 在一個規(guī)模較大的校園中,其下屬有多個部門,在各部門的孤立網(wǎng)絡(luò)進行互連時,出于對不同職能部門的管理、安全和整體網(wǎng)絡(luò)的穩(wěn)定運行,我們進行了VLAN 的劃分。VLAN對于網(wǎng)絡(luò)用戶來說是完全透明的,用戶感覺不到使用中與交換式網(wǎng)絡(luò)有任何的差
19、別,但對于網(wǎng)絡(luò)管理人員則有很大的不同,因為這主要取決于VLAN 的幾點優(yōu)勢:</p><p> 對網(wǎng)絡(luò)中的廣播風(fēng)暴的控制,提高網(wǎng)絡(luò)的整體安全性,通過路由訪問列表、MAC地址分配等VLAN劃分原則,可以控制用戶的訪問權(quán)限和邏輯網(wǎng)段的大小。網(wǎng)絡(luò)管理的簡單、直觀。</p><p> 2.1.2 NAT技術(shù)</p><p> 在此網(wǎng)絡(luò)設(shè)計方案中還采用了NAT技術(shù)。NA
20、T(Network Address Translation)顧名思義就是網(wǎng)絡(luò)IP地址的轉(zhuǎn)換。NAT的出現(xiàn)是為了解決IP日益短缺的問題,將多個內(nèi)部地址映射為少數(shù)幾個甚至一個公網(wǎng)地址。這樣,就可以讓我們內(nèi)部網(wǎng)中的計算機通過偽IP訪問INTERNET的資源。網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)是一個Internet 工程任務(wù)組(Internet Engineering Task Force. IETF) 標(biāo)準,用于允許專用網(wǎng)絡(luò)上的多臺PC(使用專用地址段,
21、例如1O.0.x.x ,192.1 68.x.x.,1 72.x.x.x) 共享單個、全局路由的IPv4地址。IPv4地址日益不足是經(jīng)常部署NAT的一個主要原因。Windows XP 中的“Internet連接共享”及許多Internet網(wǎng)關(guān)設(shè)備都使用NAT,尤其是在通過DSL或電纜調(diào)制解調(diào)器連接寬帶網(wǎng)的情況下。</p><p> NAT與防火墻或代現(xiàn)服務(wù)器不同,但它對網(wǎng)絡(luò)安全特別有利. 在內(nèi)部網(wǎng)絡(luò)通過安金網(wǎng)卡
22、訪問外部網(wǎng)絡(luò)時,將產(chǎn)生一個映射記錄.系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安余網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時,它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。 </p><p> 設(shè)置NAT功能的路由器至少要有一個內(nèi)部端口(Insíde)。一個外部端口(Outs
23、37;de)。內(nèi)部端口連接的網(wǎng)絡(luò)用戶使用的是內(nèi)部IP地址(私有IP),外部端口連接的是外部的網(wǎng)絡(luò),使用電信部門分配給我們的IP地址。NAT設(shè)置可以分為靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換、復(fù)用動態(tài)地址轉(zhuǎn)換。</p><p><b> (1)靜態(tài)地址轉(zhuǎn)換</b></p><p> 靜態(tài)地址轉(zhuǎn)換將內(nèi)部本地地址與內(nèi)部合法地址進行一對一地轉(zhuǎn)換,且需要指定和哪個合法地址進行轉(zhuǎn)換。如果
24、內(nèi)部網(wǎng)絡(luò)有www服務(wù)器或FTP服務(wù)器等可以為外部用戶提供服務(wù),則這些服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換,以便外部用戶可以使用這些服務(wù)。</p><p><b> (2)動態(tài)地址轉(zhuǎn)換</b></p><p> 動態(tài)地址轉(zhuǎn)換也是將內(nèi)部本地地址與內(nèi)部合法地址一對一地轉(zhuǎn)換,但是動態(tài)地址轉(zhuǎn)換是從內(nèi)部合法地址池中動態(tài)地選擇一個未使用的地址來對內(nèi)部本地地址進行轉(zhuǎn)換的。<
25、/p><p> (3)復(fù)用動態(tài)地址轉(zhuǎn)換</p><p> 復(fù)用動態(tài)地址轉(zhuǎn)換首先是一種動態(tài)地址轉(zhuǎn)換,但是它可以允許多個內(nèi)部本地地址共用一個內(nèi)部合法地址。對只申請到少量IP地址但卻經(jīng)常同時有多個用戶上外部網(wǎng)絡(luò)的情況,這種轉(zhuǎn)換極為有用。</p><p> PAT(Port Address Translatíon) 也稱為NAPT,就是將多個內(nèi)部地址映射為一個公
26、網(wǎng)地址. 但以不同的協(xié)議端口號與不同的內(nèi)部地址相對應(yīng)。這種方式常用于撥號上Internet網(wǎng)。</p><p> 總之,NAT的功能就是指將使用私有地址的網(wǎng)絡(luò)與公用網(wǎng)絡(luò)INTERNET相連,使用私有地址的內(nèi)部網(wǎng)絡(luò)通過NAT 路由器發(fā)送數(shù)據(jù)時,私有地址將被轉(zhuǎn)化為合法注冊的IP地址從而可以與INTERNET上的其他主機進行通訊。NAT路由器被置于內(nèi)部網(wǎng)和INTERNET的邊界上并且在把數(shù)據(jù)包發(fā)送到外部網(wǎng)絡(luò)前將數(shù)據(jù)包
27、的源地址轉(zhuǎn)換為合法的IP地址。當(dāng)多個內(nèi)部主機共享一個合法IP地址時,地址轉(zhuǎn)換是通過端口多路復(fù)用即改變外出數(shù)據(jù)包的源端口并進行端口映射。</p><p> 2.1.3 VPN技術(shù)</p><p> VPN(Virtual Private Network),即虛擬專用網(wǎng)是利用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施,通過“隧道”技術(shù)、加密技術(shù)、認證技術(shù)和訪問控制等手段提供一種通過公用網(wǎng)絡(luò)安全地對單位內(nèi)部專用網(wǎng)絡(luò)進
28、行遠程訪問的連接方式。也就是說可以通過公共IP網(wǎng)利用VPN技術(shù)來建立私有數(shù)據(jù)傳輸通道,將遠程的分校區(qū)、移動辦公人員和校園內(nèi)網(wǎng)連接起來,并提供安全的端到端的數(shù)據(jù)通訊。</p><p> 隨著互聯(lián)網(wǎng)的普及、通信技術(shù)的進步、信息化程度的提高,國內(nèi)高校也越來越重視數(shù)字化校園的開發(fā),依托先進的網(wǎng)絡(luò)技術(shù)開展電化教學(xué)、教學(xué)資源、信息化管理等平臺的建設(shè)。伴隨我國高校改革深入和逐年擴招,各地高校都在擴建或新建校區(qū),校校之間實行合
29、并或聯(lián)合辦學(xué),如何實現(xiàn)這些分布在各地的校區(qū)網(wǎng)</p><p> 絡(luò)的互聯(lián),實現(xiàn)校園內(nèi)網(wǎng)資源的共享,成為一個急需解決的問題;同時由于家庭互聯(lián)網(wǎng)絡(luò)的普及以及移動辦公和科研的需要,師生員工也對從校外訪問校內(nèi)資源提出了新的需求。</p><p> 通過虛擬專用網(wǎng)技術(shù)即VPN技術(shù),設(shè)計一套可管理、可認證、安全的遠程訪問校園內(nèi)網(wǎng)的解決方案,不僅可以實現(xiàn)異地多校區(qū)間透明的互聯(lián),同時可使校外用戶通過鑒
30、權(quán)后擁有校內(nèi)地址,進而訪問校內(nèi)數(shù)字資源數(shù)據(jù)。例子如圖2.1—1所示: 圖2.1—1</p><p> r1(config)#int f0/0r1(config-if)#ip add 50.50.50.50 255.255.255.0r1(config-if)#no shur1(config-if)#int f1/0r1(config-i
31、f)#ip add 20.20.20.20 255.255.255.0r1(config-if)#no shur1(config)#ip route 0.0.0.0 0.0.0.0 20.20.20.21 做一條默認路由使全網(wǎng)互通r1(config)#crypto isakmp policy 1r1(config-isakmp)#authentication pre-share
32、 啟用定義共享密鑰r1(config-isakmp)#encryption 3des 加密使用3DES算法r1(config-isakmp)#hash
33、 md5 驗證密鑰使用MD5雜湊算法r1(config)#crypto isak</p><p> IPSec(Intemet Protocol Security)即因特網(wǎng)安全協(xié)
34、議是—個范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議。它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護,提供透明的安全通信,主要是為IP通信提供加密和認證,它為數(shù)據(jù)在通過公用網(wǎng)絡(luò)(一般為因特網(wǎng))在網(wǎng)絡(luò)層進行傳輸時提供安全保障。通信雙方要建立IPSec通道,首先要采用一定的方式建立通信連接。因為IPSec協(xié)議支持幾種操作模式,所以通信雙方先要確定所要采用的安全策略和使用模式,這包括如加密運算法則和身份驗證方法類型等。在IPSec協(xié)議中,一旦IPSec通道建立,所有在
35、網(wǎng)絡(luò)層之上的協(xié)議在通信雙方都經(jīng)過加密,如TCP、UDP、ICMP等,而不管這些通道構(gòu)建時所采用的安全和加密方法如何。IPSec的VPN通道是在兩個局域網(wǎng)之間通過Intemet建立的安全連接,保護的是點對點之間的通信,并且它不局限于Web等特定的應(yīng)用,還能構(gòu)建局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò),功能和應(yīng)用的擴展性更強,對于普通用戶根本無需關(guān)心局域網(wǎng)間的連接方式,就像在一個網(wǎng)內(nèi)一樣,實現(xiàn)了透明的訪問。</p><p> 2.
36、1.4 幀中繼交換技術(shù)</p><p> 幀中繼已成為世界上使用最廣泛的 WAN 技術(shù)。大型企業(yè)、政府、ISP 和小公司紛紛選用幀中繼,主要是因為幀中繼具有成本低、靈活性高的優(yōu)點。隨著組織的發(fā)展壯大,組織越來越依賴于可靠的數(shù)據(jù)傳輸,此時傳統(tǒng)租用線路解決方案的成本將變得高不可攀。技術(shù)領(lǐng)域的日新月異和網(wǎng)絡(luò)行業(yè)的合并與收購都需要更高的靈活性。</p><p> 由于所需的設(shè)備較少,復(fù)雜性較低
37、,并且更容易實現(xiàn),因此幀中繼可以降低網(wǎng)絡(luò)的成本。更重要的是,與私有或租用線路相比,幀中繼提供更高的帶寬、可靠性和彈性。為了順應(yīng)全球化與一對多分支機構(gòu)拓撲的發(fā)展潮流,幀中繼提供更簡單的體系結(jié)構(gòu)和更低的擁有成本。</p><p> DTE 設(shè)備和 DCE 設(shè)備之間的連接由物理層組件和鏈路層組件組成:</p><p> 物理層組件定義設(shè)備間連接的機械、電氣、功能和規(guī)程規(guī)范。最常用的一種物理層
38、接口規(guī)范是 RS-232 規(guī)范。</p><p> 鏈路層組件定義在 DTE 設(shè)備(例如路由器)和 DCE 設(shè)備(例如交換機)之間建立連接的協(xié)議。</p><p><b> ?。?).虛電路:</b></p><p> 兩個 DTE 之間通過幀中繼網(wǎng)絡(luò)實現(xiàn)的連接叫做虛電路 (VC)。這種電路之所以叫做虛電路是因為端到端之間并沒有直接的電路連
39、接。這種連接是邏輯連接,數(shù)據(jù)不通過任何直接電路即從一端移動到另一端。利用虛電路,幀中繼允許多個用戶共享帶寬,而無需使用多條專用物理線路,便可在任意站點間實現(xiàn)通信。</p><p> (2).逆向 ARP:</p><p> 逆向地址解析協(xié)議 (ARP) 從第 2 層地址(例如幀中繼網(wǎng)絡(luò)中的 DLCI)中獲取其它站點的第 3 層地址。逆向地址解析協(xié)議主要用于幀中繼和 ATM 網(wǎng)絡(luò),在這兩
40、種網(wǎng)絡(luò)中,虛電路的第 2 層地址有時從第 2 層信號中獲取,但在虛電路投入使用之前,必須解析出對應(yīng)的第 3 層地址。ARP 將第 3 層地址轉(zhuǎn)換為第 2 層地址,逆向 ARP 則反其道而行之。</p><p> ?。?).本地管理接口 (LMI):</p><p> 大體而言,LMI 是一種 keepalive(保持連接)的機制,提供路由器 (DTE) 和幀中繼交換機 (DCE) 之間的
41、幀中繼連接的狀態(tài)信息。終端設(shè)備每 10 秒(或大概如此)輪詢一次網(wǎng)絡(luò),請求啞序列響應(yīng)或通道狀態(tài)信息。如果網(wǎng)絡(luò)沒有響應(yīng)請求的信息,用戶設(shè)備可能會認為連接已關(guān)閉。網(wǎng)絡(luò)作出 FULL STATUS 響應(yīng)時,響應(yīng)中包含為該線路分配的 DLCI 的狀態(tài)信息。終端設(shè)備可以使用此信息判斷邏輯連接是否能夠傳遞數(shù)據(jù)。校園網(wǎng)設(shè)計圖配置如下:</p><p> ?。?).南校區(qū)實訓(xùn)樓路由器配置:</p><p>
42、;<b> R2#conf t</b></p><p> R2(config)#int s1/1/1</p><p> R2(config-if)#encapsulation frame-relay</p><p> R2(config-if)#frame-relay map ip 192.168.30.2 102 broadcast
43、cisco</p><p> R2(config-if)#frame-relay map ip 192.168.30.3 103 broadcast cisco</p><p> R2(config-if)#bandwidth 256</p><p> R2(config-if)#frame-relay lmi-type cisco</p>&l
44、t;p> R2(config-if)#exit</p><p> R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.2</p><p> R2(config)#ip route 192.168.102.0 255.255.255.0 192.168.30.3</p><p> R2(config)#ip ro
45、ute 192.168.103.0 255.255.255.0 192.168.30.3</p><p> ?。?).北校區(qū)路由器配置如下:</p><p><b> R0#conf t</b></p><p> R0(config)#int s0/1/0</p><p> R0(config-if)#encaps
46、ulation frame-relay</p><p> R0(config-if)#frame-relay map ip 192.168.30.1 301 broadcast cisco</p><p> R0(config-if)#frame-relay map ip 192.168.30.2 302 broadcast cisco</p><p> R0
47、(config-if)#frame-relay lmi-type cisco</p><p> R0(config-if)#bandwidth 256</p><p> R0(config-if)#exit</p><p> R0(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.2</p><p>
48、; R0(config)#ip route 192.168.0.0 255.255.224.0 192.168.30.1</p><p> ?。?).防火墻路由器配置如下:</p><p><b> R1#conf t</b></p><p> R1(config)#int s1/1</p><p> R1(co
49、nfig-if)#encapsulation frame-relay</p><p> R1(config-if)#frame-relay map ip 192.168.30.1 201 broadcast cisco</p><p> R1(config-if)#frame-relay map ip 192.168.30.3 203 broadcast cisco</p>
50、<p> R1(config-if)#frame-relay lmi-type cisco</p><p> R1(config-if)#bandwidth 256</p><p> R1(config-if)#exit</p><p> R1(config)# ip route 192.168.0.0 255.255.224.0 192.16
51、8.30.1</p><p> R1(config)# ip route 192.168.102.0 255.255.255.0 192.168.30.3</p><p> R1(config)# ip route 192.168.103.0 255.255.255.0 192.168.30.3</p><p> ?。?).幀中繼交換機的配置如下圖所示:<
52、/p><p><b> 圖2.1-2</b></p><p> 設(shè)置ATM交換機Serial1接口上的LMI模式和接口的DLCI標(biāo)識;</p><p><b> 圖2.1-3</b></p><p> 設(shè)置ATM交換機Serial1接口上的LMI模式和接口的DLCI標(biāo)識;</p>
53、<p><b> 圖2.1-4</b></p><p> 設(shè)置ATM交換機Serial2接口上的LMI模式和接口的DLCI標(biāo)識;</p><p><b> 圖2.1-5</b></p><p> 設(shè)置ATM交換機Serial1、Serial0、Serial2接口上的相互之間的DLCI映射關(guān)系。</p
54、><p> 綜合以上技術(shù)分析,設(shè)計選用了幀中繼交換技術(shù)作為校區(qū)之間互聯(lián)的解決方案。</p><p> 2.1.5 MAC地址綁定技術(shù)</p><p> 在cisco交換 機中為了防止ip被盜用或員工亂改ip,可以做以下措施,既ip與mac地址的綁定,和ip與交換機端口的綁定。</p><p> ?。?). 通過IP查端口</p>
55、<p> ?。?). ip與mac地址的綁定,這種綁定可以簡單有效的防止ip被 盜用,別人將ip改成了你綁定了mac地址的ip后,其網(wǎng)絡(luò)不同,(tcp/udp協(xié) 議不同,但netbios網(wǎng)絡(luò)共項可以訪問),具體做法:</p><p> 方案一:基于端口的MAC地址綁定</p><p> S1(config)# Interface fastethernet 0/1 #進入具
56、體端口配置模式</p><p> S1(config-if)#Switchport port-secruity #配置端口安全模式</p><p> S1(config-if)# switchport port-security mac-address MAC(主機的MAC地址) #配置該端口要綁定的主機的MAC地址 注意: 以上命令設(shè)置交換機上某個端口綁定一個具體的M
57、AC地址,這樣只有這個主機可以使用網(wǎng)絡(luò),如果對該主機的網(wǎng)卡進行了更換或者其他PC機想通過這個端口使用網(wǎng)絡(luò)都不可用,除非刪除或修改該端口上綁定的MAC地址,才能正常使用。</p><p> 方案二:基于MAC地址的擴展訪問列表</p><p> S1(config)# Mac access-list extended MAC10 #定義一個MAC地址訪問控制列表并且命名該列表名
58、為MAC10 S1(config-ext-nacl)#permit host 0009.6bc4.d4bf any</p><p> ?。6xMAC地址為0009.6bc4.d4bf的主機可以訪問任意主機 S1(config-ext-nacl)#permit any host 0009.6bc4.d4bf</p><p> ?。6x所有主機可以訪問MAC地址為0009.
59、6bc4.d4bf的主機 S1(config)# interface Fa0/20 #進入配置具體端口的模式</p><p> S1(config-if)# mac access-group MAC10 in</p><p> ?。T谠摱丝谏蠎?yīng)用名為MAC10的訪問列表(即前面定義的訪問策略)</p><p> 此功能與應(yīng)用一大體相同,但它是基于端口
60、做的MAC地址訪問控制列表限制,可以限定特定源MAC地址與目的地址范圍。</p><p> 注意:以上功能在思科2950、3550、4500、6500系列交換機上可以實現(xiàn),但是需要注意的是2950、3550需要交換機運行增強的軟件鏡像(Enhanced Image)。 方案三:IP地址的MAC地址綁定 S1(config)# Mac access-list extended MAC10</
61、p><p> #定義一個MAC地址訪問控制列表并且命名該列表名為MAC10 S1 (config-ext-nacl)# permit host 0009.6bc4.d4bf any #定義MAC地址為0009.6bc4.d4bf的主機可以訪問任意主機 S1 (config-ext-nacl)# permit any host 0009.6bc4.d4bf</p><p> ?。6x所有
62、主機可以訪問MAC地址為0009.6bc4.d4bf的主機</p><p> S1(config)# Ip access-list extended IP10</p><p> ?。6x一個IP地址訪問控制列表并且命名該列表名為IP10</p><p> S1 (config-ext-nacl)# Permit 192.168.0.1 0.0.0.0 any&l
63、t;/p><p> ?。6xIP地址為192.168.0.1的主機可以訪問任意主機</p><p> S1 (config-ext-nacl)# Permit any 192.168.0.1 0.0.0.0</p><p> ?。6x所有主機可以訪問IP地址為192.168.0.1的主機</p><p> S1(config)# interf
64、ace Fa0/20</p><p> #進入配置具體端口的模式</p><p> S1(config-if)# mac access-group MAC10 in</p><p> #在該端口上應(yīng)用名為MAC10的訪問列表(即前面定義的訪問策略)</p><p> S1(config-if)# Ip access-group IP1
65、0 in</p><p> ?。T谠摱丝谏蠎?yīng)用名為IP10的訪問列表(即前面定義的訪問策略)</p><p> 上述所提到的應(yīng)用1是基于主機MAC地址與交換機端口的綁定,方案2是基于MAC地址的訪問控制列表,前兩種方案所能實現(xiàn)的功能大體一樣。如果要做到IP 與MAC地址的綁定只能按照方案3來實現(xiàn),可根據(jù)需求將方案1或方案2與IP訪問控制列表結(jié)合起來使用以達到自己想要的效果。</p&
66、gt;<p> 2.2相關(guān)設(shè)備的選擇</p><p> 為了實現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一,本設(shè)計方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品,即cisco公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。在校園網(wǎng)中,全網(wǎng)使用同一廠商設(shè)備。其好處在于可以實現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補充。</p><p> ?。?).訪問層交換機</p><p> Cisco Catalyst 2950 24
67、口交換機(WS-C2950-24)。交換機擁有24個10/100Mbps自適應(yīng)快速以太網(wǎng)端口,運行的是Cisco的IOS操作系統(tǒng)分布層交換機:這里的分布層交換機采用的是Cisco Catalyst 3550交換機。作為3層交換機,Cisco Catalyst 3550交換機擁有24個10/100Mbps自適應(yīng)快速以太網(wǎng)端口,同時還有2個1000Mbps的GBIC(Giga Bitrate Interface Converter,是將千兆
68、位電信號轉(zhuǎn)換為光信號的接口器件)端口供上連使用,運行的是Cisco的Integrated IOS操作系統(tǒng)。</p><p> 核心層交換機:本實例中的核心層交換機采用的是Cisco Catalyst 4006交換機,采用了Catalyst 4500 Supervisor II Plus(WS-X4013+)作為交換機引擎。運行的是Cisco的Integrated IOS操作系統(tǒng)。在作為核心層交換機的Cisco
69、Catalyst 4006交換機中,安裝了WS-X4306-GB(Catalyst 4000 Gigabit Ethernet Module, 6-Ports (GBIC))模塊,該模塊提供了5個千兆光纖上連接口,可以用來接入WS-G5484(1000BASE-SX Short Wavelength GBIC (Multimode only))</p><p> 路由器:Cisco 2811提供了靈活、可擴展的
70、集成解決方案,可簡化管理分支機構(gòu)網(wǎng)絡(luò)解決方案的流程。Cisco 2811提供了全面的特性集,適用于:</p><p> (1).多服務(wù)語音/數(shù)據(jù)集成</p><p> (2).帶防火墻和加密選項的VPN接入</p><p> (3).模擬撥號接入服務(wù)</p><p> (4).帶寬管理的路由</p><p>
71、 (5).VLAN問路由</p><p> (6).高速企業(yè)級DsL接入的提供</p><p> (7).經(jīng)濟有效的ATM接入</p><p> (8).靈活路由和低密交換的集成</p><p> 第三章 校園網(wǎng)設(shè)計及安全方案實現(xiàn)</p><p> 3.1校園網(wǎng)組網(wǎng)設(shè)計</p><p>
72、; 3.1.1 建網(wǎng)需求分析</p><p> 校園網(wǎng)工程是一項高科技的綜合性建設(shè)項目,它不僅涉及了許多方面的技術(shù),同時也涉及到學(xué)校的各個部門。校園網(wǎng)建設(shè)的總體目標(biāo)是建成一個主干網(wǎng),其上連接多個子網(wǎng),使全校的教學(xué)、科研、管理等項目工作都能在網(wǎng)上進行,充分利用這個速度高、功能強的信息傳輸和處理媒介,共享網(wǎng)上的軟、硬件資源。</p><p> 校園網(wǎng)建設(shè)是一項長期的工程,除建設(shè)和實施工程
73、外,還有運行管理、維護和發(fā)展的任務(wù)。因此,就要求所建的校園網(wǎng)即建即能使用,且好用實用。技術(shù)上采用當(dāng)前先進的軟件、硬件技術(shù),且具有良好的升級、擴展功能,以滿足今后大容量、超高速、多媒體數(shù)據(jù)傳輸?shù)男枰?,提供全時的服務(wù),此外,網(wǎng)絡(luò)還應(yīng)具有良好的兼容性,以保證有好的互連性。為建立一個適合于本學(xué)校的校園網(wǎng),結(jié)合學(xué)校的實際情況,通過比較詳細的需求分析工作,本課題主要針對以下幾個方面:</p><p> (1).連接校內(nèi)所有
74、教學(xué)樓、實驗室、辦公樓等各建筑物中的計算機。</p><p> (2).同時支持約2000用戶瀏覽Internet。</p><p> (3).提供基本的Internet網(wǎng)絡(luò)服務(wù)功能:如文件傳輸、http服務(wù)、電子公告牌等。</p><p> (4).提供足夠的帶寬,為教學(xué)和科研提高良好的條件。</p><p> (5).經(jīng)廣域網(wǎng)接口
75、,提供國內(nèi)外計算機系統(tǒng)的互連,為國際間的信息交流和科研合作, 為學(xué)??焖佾@得最新教學(xué)成果及技術(shù)合作等創(chuàng)造良好的信息通路。</p><p> (6).應(yīng)用多種網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)技術(shù)實現(xiàn)校園網(wǎng)絡(luò)的基本安全。</p><p> 3.1.2 網(wǎng)絡(luò)拓撲設(shè)計</p><p> 我院校園網(wǎng)總投資200多萬元,于1999年3月建成并投入使用。校園網(wǎng)由東校區(qū)和南校區(qū)兩個部分組成,骨
76、干鏈路采用千兆以太網(wǎng)交換技術(shù),已覆蓋校園大部分范圍如辦公樓、教學(xué)樓、學(xué)生公寓等,現(xiàn)有網(wǎng)絡(luò)節(jié)點1400多個。校園網(wǎng)出口為電信100M光纖,實現(xiàn)東校區(qū)與南校區(qū)互聯(lián)。</p><p> 學(xué)院的網(wǎng)絡(luò)平臺和應(yīng)用系統(tǒng)都有了一定的基礎(chǔ),在教學(xué)、科研、實訓(xùn)、研究、辦公都已得到廣泛的應(yīng)用。校園網(wǎng)上已經(jīng)開展了辦公自動化、信息瀏覽、電子郵件、精品課程、多媒體教學(xué)、教學(xué)管理等服務(wù)。</p><p> 但是我院
77、校園網(wǎng)可管理性差,主干設(shè)備缺乏可拓展性,沒有冗余功能。隨著時間的推移這些問題更加突出。在過去的幾年中校園網(wǎng)經(jīng)常出現(xiàn)病毒泛濫和斷線等情況,由于設(shè)備的落后,出現(xiàn)問題后不能及時找到問題源頭,給廣大師生帶來了一定的影響。故此,在本設(shè)計中提出了對校園網(wǎng)進行改造。</p><p> 改造的目的在于提高網(wǎng)絡(luò)的性能,更好的為廣大師生服務(wù)。在本設(shè)計中采用cisco三層網(wǎng)絡(luò)體系,為校園網(wǎng)主干提供冗余。同時可管理的設(shè)備加強整個校園網(wǎng)
78、的安全性和可擴展性。</p><p><b> 設(shè)計拓撲圖如下:</b></p><p><b> 圖1 校園網(wǎng)拓撲圖</b></p><p> 3.1.3 配置說明</p><p> 校園網(wǎng)主干:由一臺cisco catalyst 4006交換機和2臺cisco catalyst 3550
79、兩兩互聯(lián)構(gòu)成環(huán)形。</p><p> 出口:學(xué)校到中國電信的網(wǎng)絡(luò)接口帶寬為100M。</p><p> 域名:cisco.com</p><p> IP地址范圍:209.168.160.129—209.168.160.142</p><p> 3.1.4 整個校園網(wǎng)中VLAN及IP編址方案</p><p>
80、表1 VLAN及IP編址方案表</p><p> 3.2校園網(wǎng)絡(luò)安全設(shè)計的配置實現(xiàn)</p><p> 3.2.1 網(wǎng)絡(luò)設(shè)備的基本配置</p><p> 校園網(wǎng)采用的核心交換機是:cisco 3560,分布層采用的是若干臺cisco 3560。接入層采用的是:cisco 2960。路由器是:Cisco 2811</p><p> 網(wǎng)絡(luò)
81、設(shè)備是網(wǎng)絡(luò)的核心,所以它的安全性影響到整個校園網(wǎng)的安全。除了應(yīng)該把它放置到專門的配線間,還應(yīng)該對其進行基本的登錄密碼配置。下面以Cisco 2811路由器為例進行配置說明。</p><p> R1 >enable /*由用戶模式進入特權(quán)模式</p><p> R1 #configure terminal
82、/*由特權(quán)模式進入全局配置模式</p><p> R1 (config)# enable secret cisco /*配置特權(quán)模式密碼為cisco</p><p> Router(config)#line console 0</p><p> Router(config-line)#password cisco /*配置登陸con
83、sole口的密碼為cisco</p><p> Router(config-line)#login /*啟用登入檢測</p><p> Router(config-line)#line vty 0 4</p><p> Router(config-line)#password cisco /*配置telnet的密碼為cisc
84、o</p><p> Router(config-line)#login /*啟用登入檢測</p><p> Router(config)#service password-encryption/*對配置的密碼進行加密,這樣</p><p> 用show run 看到的都是加密后的密文。</p><p> 本實例中為
85、了方便,所以把密碼都設(shè)置成了cisco,但實際操作應(yīng)該配置強密碼。其他設(shè)備的密碼設(shè)置方法同上,不另加說明。</p><p> 3.2.2 VLAN和三層交換機的配置</p><p> 我們采用的VLAN劃分是以端口為中心的,與節(jié)點相連的端口將確定它駐留的VLAN。先在VTP(VLAN Trunking Protocol)sever上建立VLAN,然后將每個端口分配給相應(yīng)的VLAN。&l
86、t;/p><p> 核心交換機命名為:S1;分布層交換機分別為:3560-1、3560-2,分別通過光纖模塊與核心交換機相連。訪問層交換機分別2960-1,2960-2,……</p><p> (1).設(shè)置VTP DOMAIN,VTP DOMAIN稱為管理域。交換VTP更新信息的所有交換機必須配置為相同的管理域。</p><p> S1 (config)#vtp
87、 domain abc /*設(shè)置vtp管理域名稱</p><p> S1 (config)#vtp password cisco /*設(shè)置vtp管理域密碼</p><p> S1 (config)#vtp mode server /*設(shè)置交換機為vtp服務(wù)器模式</p><p> S1 (config)#vt
88、p domain abc /*設(shè)置vtp管理域名稱</p><p> S1 (config)#vtp password cisco /*設(shè)置vtp管理域密碼</p><p> S1 (config)#vtp mode client /*設(shè)置交換機為vtp服務(wù)器模式</p><p><b> ……</b&
89、gt;</p><p> 這里設(shè)置交換機為Server模式是指允許在本交換機上創(chuàng)建、修改、刪除VLAN及其他一些對整個VTP域的配置參數(shù),同步本VTP域中其他交換機傳遞來的最新的VLAN信息。Client模式是指本交換機不能創(chuàng)建、刪除、修改VLAN配置,也不能在NVRAM中存儲VLAN配置,但可以同步由本VTP域中其他交換機傳遞來的VLAN信息。</p><p><b> (
90、2).配置中繼</b></p><p> 為了保證管理域能夠覆蓋所有的分支交換機,必須配置中繼(trunk)。中繼是一個在交換機之間、交換機與路由器之間及交換機與服務(wù)器之間傳遞多個VLAN信息及VLAN數(shù)據(jù)流的協(xié)議,通過在交換機直接相連的端口配置dotlq封裝,即可跨越交換機進行整個網(wǎng)絡(luò)的VLAN分配和進行配置。</p><p> 核心交換機配置如下:</p>
91、<p> S1 (config)#interface range fastethernet 0/2 - 3</p><p> S1 (config-if)#switchport mode trunk</p><p> /*配置fastethernet0/2和fastethernet0/3為中繼接口</p><p> S1 (config-i
92、f)#switchport trunk encapsulation dot1q</p><p> /*配置trunk封裝dot1q,這是默認的封裝,故可以省略</p><p> 分支交換機端配置如下:</p><p> S2 (config)#interface fastethernet 0/5</p><p> S2 (conf
93、ig)#switchport mode trunk</p><p> S2 (config)#switchport trunk encapsulation dot1q</p><p><b> ……</b></p><p> 此時,管理域算是設(shè)置完畢了。</p><p> (3).創(chuàng)建VLAN</p>
94、;<p> 一旦建立了管理域,就可以創(chuàng)建VLAN了。</p><p> S1 (config)#vlan 60</p><p> S1 (vlan)#vlan 60 name jifang1f</p><p> /*創(chuàng)建一個編號為60名字為jifang1f的VLAN</p><p> S1 (vlan)#vlan
95、 61 name jifang3f</p><p> /*創(chuàng)建一個編號為61名字為jifang3f的VLAN</p><p><b> ……</b></p><p> 這里的VLAN是在核心交換機上建立的,其實,只要是在管理域中的任何一臺VTP屬性為Server的交換機上建立VLAN,它就會通過VTP通告整個管理域中的所有的交換機。但是如
96、果要將交換機的端口劃入某個VLAN,就必須在該端口所屬的交換機上進行設(shè)置。</p><p> (4).將交換機端口劃入VLAN</p><p> S1 (config)#ingterface fastethernet 0/6 /*配置端口6</p><p> S1 (config)#switchport access vlan64
97、 /*歸屬guanli VLAN</p><p> S1 (config)#ingterface fastethernet 0/8 /*配置端口8</p><p> S1 (config)#switchport access vlan65 /*歸屬fuwuqi1VLAN</p><p><b> ……&
98、lt;/b></p><p> (5).配置三層交換</p><p> VLAN劃分完畢后,VLAN間實現(xiàn)三層(網(wǎng)絡(luò)層)交換時就要給各VLAN分配網(wǎng)絡(luò)(IP)地址了。按照表1的方案配置。</p><p> 首先在核心層交換機上分別設(shè)置各VLAN的接口IP地址,如下所示:</p><p> S1 (config)#interfa
99、ce vlan 64</p><p> S1 (config-if)#ip address 192.168.21.54 255.255.255.248</p><p> /*定義VLAN64接口IP</p><p> S1 (config)#interface vlan 65</p><p> S1 (config-if)#ip
100、 address 192.168.21.57 255.255.255.252</p><p> /*定義VLAN65接口IP</p><p> S1 (config)#interface vlan 66</p><p> S1 (config-if)#ip address 192.168.21.61 255.255.255.252</p>&
101、lt;p> /*定義VLAN66接口IP</p><p><b> ……</b></p><p> S1 (config)#ip routing /*啟用三層交換功能</p><p> S1 (config)#ip classless /*啟用無類路由</p><p> S1 (co
102、nfig)#ip subnet-zero /*啟用對零子網(wǎng)的支持</p><p> 再在各接入VLAN的計算機上設(shè)置與所屬VLAN的網(wǎng)絡(luò)地址一致的IP地址,并且把默認網(wǎng)關(guān)設(shè)置為該VLAN的接口地址。這樣,所有的VLAN也可以互訪了。VLAN的劃分可以隔離廣播,同時可以采用訪問控制列表來對每個VLAN進行控制。</p><p> (6).為各VLAN配置DHCP服務(wù)</p>
103、<p> 為了方便各個VLAN內(nèi)IP地址的配置,減少網(wǎng)絡(luò)管理員的負擔(dān),所以為每個VLAN配置DHCP服務(wù),這樣每個VLAN內(nèi)的用戶都將使用DHCP服務(wù)自動獲取IP,以防止IP沖突的出現(xiàn)。在核心交換機上配置DHCP服務(wù)的命令如下:</p><p> S1 (config)#ip dhcp pool QWE </p><
104、;p> /*配置QWE的地址池 </p><p> S1 (dhcp-config)#network 192.168.21.48 255.255.255.248 </p><p> /*設(shè)定分配地址為192.168.21.48/29</p><p> S1 (dhcp-config)#dns-server 192.168
105、.21.58 </p><p> /*設(shè)置DNS為192.168.21.58</p><p> S1 (dhcp-config)#default-router 192.168.21.54 </p><p> /*設(shè)置默認網(wǎng)關(guān)為192.168.21.54</p><p> S1 (config)#ip dhcp
106、 pool DASD /*配置DASD的地址池 </p><p> S1 (dhcp-config)#network 192.168.25.0 255.255.255.0</p><p> /*設(shè)定分配地址為192.168.25.0/24</p><p> S1 (
107、dhcp-config)#dns-server 192.168.21.58 </p><p> /*設(shè)置DNS為192.168.21.58</p><p> S1 (dhcp-config)#default-router 192.168.25.254 </p><p> /*設(shè)置默認網(wǎng)關(guān)為192.168.25.254</p&g
108、t;<p><b> ……</b></p><p> (7).配置ACL禁止某些部門的相互通信</p><p> 我們常常對交換機的訪問列表進行配置,以實現(xiàn)禁止兩個辦公室之間的相互訪問,提高內(nèi)網(wǎng)的安全性。</p><p> S1 (config)# access-list 103 deny icmp any 192.16
109、8.21.48 0.0.0.7 echo</p><p> S1 (config)# access-list 103 permit ip any any</p><p> /*配置號碼為102的擴展訪問列表,禁止任何網(wǎng)段訪問192.168.21.48/29的網(wǎng)絡(luò)</p><p> S1 (config)#access-list 21 permit 192.
110、168.21.48 0.0.0.7</p><p> S1 (config)#access-list 21 deny any</p><p> S1 (config)#line vty 0 4</p><p> S1(config-line)#access-class 21 in</p><p> S1(config-line)#
111、exit</p><p> /*在所有設(shè)備上設(shè)置只允許管理員網(wǎng)段的主機能夠通過telnet登陸到設(shè)備上進行配置。</p><p> S1 (config)# ip domain-name cisco.com </p><p> /*配置SSH加密的域名</p><p> S1(config)#crypto key genera
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 局域網(wǎng)設(shè)計畢業(yè)設(shè)計
- 局域網(wǎng)畢業(yè)設(shè)計2
- 局域網(wǎng)畢業(yè)設(shè)計論文
- 畢業(yè)設(shè)計---無線局域網(wǎng)設(shè)計
- 畢業(yè)設(shè)計---企業(yè)局域網(wǎng)設(shè)計
- 畢業(yè)設(shè)計-小型網(wǎng)吧局域網(wǎng)設(shè)計
- 畢業(yè)設(shè)計---局域網(wǎng)規(guī)劃與設(shè)計
- 校園局域網(wǎng)規(guī)劃設(shè)計_畢業(yè)設(shè)計
- 畢業(yè)設(shè)計--局域網(wǎng)監(jiān)控系統(tǒng)
- 畢業(yè)設(shè)計--- 局域網(wǎng)監(jiān)控系統(tǒng)
- 局域網(wǎng)監(jiān)控系統(tǒng)畢業(yè)設(shè)計
- 校園局域網(wǎng)規(guī)劃與設(shè)計(cisco仿真模擬)畢業(yè)論文
- 畢業(yè)設(shè)計(論文)----企業(yè)局域網(wǎng)設(shè)計
- 企業(yè)局域網(wǎng)設(shè)計畢業(yè)設(shè)計(論文)
- 畢業(yè)設(shè)計--局域網(wǎng)的設(shè)計與實現(xiàn)
- 企業(yè)局域網(wǎng)設(shè)計畢業(yè)設(shè)計(論文)
- 校園局域網(wǎng)的組建畢業(yè)設(shè)計
- 畢業(yè)設(shè)計---校園局域網(wǎng)的組建
- 畢業(yè)設(shè)計----公司局域網(wǎng)組建
- 網(wǎng)絡(luò)構(gòu)建畢業(yè)設(shè)計--局域網(wǎng)設(shè)計方案
評論
0/150
提交評論