《基于cisco的校园局域网课程设计报告.doc》由会员分享,可在线阅读,更多相关《基于cisco的校园局域网课程设计报告.doc(20页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、- -一目的:本课程设计是网络工程专业的一门核心骨干课,是本专业学生必须学习和掌握的根本专业课程。通过一周的课程设计,加深对网络组网技术的理解和掌握,提高实践能力,为今后的实际工作打下根底,被实践课的主要目的:1熟练掌握子网划分方法;2了解并熟练运用各路由协议,静态路由及动态路由协议;3了解Vlan划分的目的及方法;4掌握交换机与路由器的根本配置二要求:校园网的建立是现代教育开展的必然趋势,建立校园网不仅能够更加合理有效地利用学校现有的各种资源,而且为学校未来的不断开展奠定了根底,使之能够适合信息时代的要求。校园网络的建立及其与Internet的互联,已经成为教育领域信息化建立的当务之急。假设
2、学校有100台计算机,请规划各个部门,便于管理。二、课程设计的容一建立校园网的必要性校园网特点就是把分布在校园不同地点的多台电脑连接,按照网络协议相互通信,以共享软件、硬件和数据资源为目标的网络系统。提供丰富的教育教学信息和资源是校园网的生命力。校园网络具有距离短、延时少、相对本钱低和传输速率高等优点;它的低层协议较简单,控制选择等问题大大简化,因而又具有组网简单、易于实现的特点。校园网的功能作用主要表达在以下四个方面:1信息传递。 这是校园网络最根本的功能之一,用来实现电脑与电脑之间传递各种信息,使分散在校园不同地点的电脑用户可以进展集中的控制管理。在校务部门建立网络效劳器,可以为整个校园网
3、络提供各类教学资源,并对这些资源进展综合管理。 2资源共享。 信息资源共享。通过接入ddn或isdn,很容易将校园网连接到internet,这样,网络的各电脑终端不但可以互通信息资源,而且可以享受网络效劳器上的相关数据及internet网上取之不尽,用之不竭的巨大信息资源,校园网在教学活动中的作用也将成倍地增强。 硬件资源共享。网络中各台电脑可以彼此互为后备机,一旦某台电脑出现故障,它的任务就由网络中其他电脑代而为之,当网络中的某台电脑负担过重时,网络又可将新的任务转交给网络中较空闲的电脑完成。 3方便教学。 网络可以进展图、文、声并茂的多媒体教学,可以取代语言实验室进展更生动的语言教学,也可
4、以利用大量现成的教学软件,提供一个良好的教学环境,这些都是以往任何教学手段所不能到达的。校园网络不但可以在校进展网络教学,还很容易同外界大型网络连结,形成更大围的网络交互学习环境。二校园网系统设计原那么网上资源丰富,包含各种教学和科研容信息,学生可以方便地浏览和查询网上资源实现远程学习,通过网上学习学会信息处理能力。学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进展综合管理,同时可以实现各级管理层之间的信息数据交换,实现网上信息采集和处理的自动化,实现信息和设备资源的共享,因此,校园网的建立必须有明确的建立目标。校园网的总体设计原那么是:实用性 应当从实际情况出发,使之到达使用
5、方便且能发挥效益的目的。采用成熟的技术和产品来建立该系统。要能将新系统与已有的系统兼容,保持资源的连续性和可用性。系统是平安的,可靠的。使用相当方便,不需要太多的培训即可容易的使用和维护。 先进性 采用当前国际先进成熟的主流技术,采用业界相关国际标准。设备选型要是先进和系列化的,系统应是可扩大的。便于进展升级换代。建立Intranet/Internet模式的总体构造,符合当今信息化开展的趋势。通过Intranet/Internet的建立,加速国外院校之间的信息交流。平安性 采用各种有效的平安措施,保证网络系统和应用系统平安运行。平安包括4个层面-网络平安,操作系统平安,数据库平安,应用系统平安
6、。由于Internet的开放性,世界各地的Internet用户也可访问校园网,校园网将采用防火墙、数据加密等技术防止非法侵入、防止窃听和篡改数据、路由信息的平安保护来保证平安。同时要建立系统和数据库的磁带备份系统。 可扩大性 采用符合国际和国工业标准的协议和接口,从而使校园网具有良好的开放性,实现与其他网络和信息资源的容易互联互通。并可以在网络的不同层次上增加节点和子网。一般包括开放标准、技术、构造、系统组件和用户接口等原那么。在实用的根底上必须采用先进的成熟的技术,选购具有先进水平的计算机网络系统和设备,并保存向ATM过渡的自然性。由于计算机技术的飞速开展和计算机网络技术的日新月异,网络系统
7、扩大能力的大小已变得非常重要,因此考虑网络系统的可扩大性是相当重要的。 可管理性 设计网络时充分考虑网络日后的管理和维护工作,并选用易于操作和维护的网络操作系统,大大减轻网络运营时的管理和维护负担。采用智能化网络管理,最大程度地降低网络的运行本钱和维护。高性能价格比 结合日益进步的科技新技术和校园的具体情况,制定符合经济效益的解决方案,在满足需求的根底上,充分保障学校的经济效益。坚持经济性原那么,力争用最少的钱办更多的事,以获得最大的效益。 三网络系统设计1系统构成 校园信息系统网络应是为办公、科研和管理效劳的综合性网络系统。一个典型的信息系统网络通常由以下几局部组成: 1. 网络主干,用于连
8、接各个主要建筑物,为主要的部门提供上网条件,主干的选型和设计是信息系统网络的主要工作之一。 2. Vlan划分虚拟局域网系统,以各个职能部门为单位而建立、独立的计算环境和实验环境。3. 主机系统,网络中心的效劳器和分布在各个LAN上的效劳器是网络资源的载体,它的投资和建立也是信息系统网络建立的重要工作。 4. 应用软件系统,包括网上Web公共信息发布系统、办公自动化系统、管理信息系统、电子系统、行政办公系统、人事管理系统和财务系统等专用的系统。我们认为更主要的是建立部的Intranet系统。 5. 出口通讯系统,是指将信息系统网络与Internet等广域网络相连接的系统。2网络技术选型 在局域
9、和园区网络中有多种可选的主流网络技术,以下我们将针对不同技术类型,简单说明其特点,为我们的技术选型提供科学的依据。主要选用以下三种网络技术方案:以太网络技术、FDDI网络、ATM网络。结合校园网系统设计原那么和用户的具体需求,我们可以得出一个最正确的主干设计方案。所推荐的方案采用交换式千兆以太网作为校园网围的全网主干。主干网选用千兆以太网,其第三层以太网路由器交换机大都满足IEEE802.3标准,技术成熟,具有流量优先机制能有效的保证多媒体传输时的QOS。3网络根本构造设计 1.网络采用树形拓扑构造,树形构造是总线形的延伸,它是一个分层分支的构造。一个分支和节点故障不影响其他分支和节点的工作。
10、像总线构造一样,它也是一种播送式网络。任何一个节点发送的信息,其它节点都能接收。此种构造的优点是在原网上易于扩大。2.校园网主干设备采用两台100/1000M自适应全双工交换机,连接各部门局域网及用于连接外网的路由器。3.为了便于网络管理,抑制网络风暴,提高网络平安性能,校园网划分为两个虚拟子网VLAN,通过路由交换机本身线速的路由能力建立起VLAN之间的高速连接。 4.选用一台Cisco路由器将校园网连入Internet。5.在需进展动态获取地址的部门设置一台DHCP效劳器用于动态获取IP地址。6.网络中心配置两台网络效劳器: 1台效劳器用作Web Server、DNS Server;1台用
11、作备用DNS Server、 Server、 FTP等。 4网络实现功能 本网络除了能够实现文件打印效劳、网络数据通信、校园网络管理系统等一般网络的根本功能外,外部网络还可实现基于Intranet/Internet的信息效劳。提供Internet的访问、电子效劳等功能,如果需要还可提供远程访问的功能,同时可以在Internet上发布信息。1.DHCP功能 对于某些地点配置静态IP过于麻烦,浪费时间,因此利用DHCP功能,为每台PC机动态获取IP地址,节省人力,时间。2.Vlan划分 对于办公楼等地方,都存有重要的部信息等,不能允许学生或外部人员随意访问,因此通过划分Vlan,制止双方互相通信。
12、3.VTP设置 在本课程设计中虽然只划分了两个Vlan,但在实际运行过程中,可能会随时添加或修改Vlan信息,因此将其中一交换机设置成server模式,其他交换机设置成client模式,通过动态获取Vlan信息使Vlan的维护和修改更加方便省力。4.动态NAT 在本课程设计中,校园部网均使用了私有IP地址,而实际生活中,私有IP地址不能在Internet信,因此需通过配置NAT,将私有地址转化成公有地址。由于需转化的用户很多,并且不能允许外部网进入到部网中,因此应配置动态NAT 5.扩展ACL 在端口中添加访问控制列表,以添加约束,组织Vlan间相互通信,保证一些数据信息的性和平安性。三、绘制
13、拓扑构造图四、详细步骤一Vlan及IP规划 1、各部门的Vlan及IP规划Vlan号部门IP网段IP地址围默认网关Vlan10宿舍楼192.168.10.0/2410.2-10.99192.168.10.1Vlan10教学楼192.168.10.0/2410.100-10.253192.168.10.1Vlan20办公楼192.168.20.0/2420.2-20.49192.168.20.1Vlan20图书馆192.168.20.0/2420.50-20.254192.168.20.12、交换机管理Vlan及IP地址Vlan号IP地址接口Vlan1192.168.0.2Fastether0/
14、24 3、与路由器连接的外部网段200.10.10.0/24210.1.1.0/24二接入层终端设备 1、宿舍楼 对于宿舍楼的IP管理,采用动态分配IP地址,在该部门加了一台DHCP效劳器,使各宿舍的计算机从该效劳器获取IP地址。 对于DHCP效劳器的配置: 1display name:DHCP server 2IP Configuration: IP address :192.168.10.254 Subnet Mask:255.255.255.0 Default Gateway:192.168.10.1 3DHCP:Service:onDefault Gateway:192.168.10.
15、1DNS server:192.168.10.254Start IP address:192.168.10.2Maximum number of Users:98 2、教学楼、图书馆、办公楼这些部门均需静态配置IP地址。 3、四个部门每个部门均有一单独交换机与之相连即四台交换机,从而便于管理。三分布层交换机分布层由两台交换机组成即DistributeSwitch1及DistributeSwitch2,其中DistributeSwitch1与宿舍楼和图书馆的两台交换机相连,而DistributeSwitch2与教学楼和办公楼的两台交换机相连。1设置交换机名称。也就是出现在交换机CLI提示符中的名
16、字。一般以地理位置或行政划分来为交换机命名。当需要 Telnet 登录到假设干台交换机以维护一个大型网络时,通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。因此将两个交换机分别命名为:DistributeSwitch1和DistributeSwitch2。2设置加密使能口令。当用户在普通用户模式而想要进入特权用户模式时,需要提供此口令。此口令会以MD5的形式加密,因此,当用户查看配置文件时,无法看到明文形式的口令。3设置远程登录虚拟终端口令。对于一个已经运行着的交换网络来说,交换机的带远程管理为网络管理人员提供了很多的方便。但是,出于平安考虑,在能够远程管理交换机之前网络管理人员
17、必须设置远程登录交换机的口令。4在DistributeSwitch1中添加管理Vlan,即Vlan1,并为其配置管理IP,以便网络管理人员可以进展远程登录访问管理交换机。5配置中继链路。中继链路是只承载标记数据即具有VLANID标签的数据包的干线链路,只能支持那些理解VLAN帧格式和VLAN成员资格的VLAN设备。中继链路最通常的实现就是连接两个VLAN交换机的链路。在DistributeSwitch1与DistributeSwitch2间设置Vlan中继,使同一Vlan的设备可以相互通信。6在DistributeSwitch1与DistributeSwitch2中均添加Vlan10与Vlan
18、20。7配置VTP。当网络换机数量很多时,需要分别在每台交换机上创立很多重复VLAN。工作量很大、过程很繁琐,并且容易出错。在实际工作中常采用VLAN中继协议 Vlan Trunking Protocol, VTP来解决这个问题。VTP允许在一台交换机上创立所有的VLAN。然后,利用交换机之间的互相学习功能,将创立好的VLAN 定义传播到整个网络中需要此 VLAN 定义的所有交换机上。同时,有关 VLAN 的删除、参数更改操作均可传播到其他交换机。从而大大减轻了网络管理人员配置交换机的负担。因此,将DistributeSwitch1设置为VTP server,并将DistributeSwitc
19、h2设置为VTP client。四核心层路由器 设置一台路由器,用于连接校园网与外部网,实现校园局域网与Internet间的通信。 将路由器与部网的分布与两台交换机相连。1对路由器进展命名,即CoreRouter。2配置加密使能口令,远程访问虚拟终端口令等。3对路由器的两个Fastethernet接口设置IP地址及子网掩码,即Vlan10与Vlan20的各终端设备的网关地址。即: Fastethernet0/0:192.168.10.1 255.255.255.0 Fastethernet0/1:192.168.20.1 255.255.255.04在路由器连接外网的接口上配置IP地址及子网掩
20、码。即: Serial0/1/0:200.10.10.1 255.255.255.05配置NAT。NAT不仅完美地解决了lP地址缺乏的问题,而且还能够有效地防止来自网络外部的攻击,隐藏并保护网络部的计算机。动态转换是指将部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些部地址可以进展转换,以及用哪些合法地址作为外部地址时,就可以进展动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络部的计算机数量时。可以采用动态转换的方式。因此,在本课程设
21、计中使用动态NAT配置来实现部网对外部网的访问。6配置ACL。路由器是外网进入校园网网的第一道关卡,是网络防御的前沿阵地。路由器上的访问控制列表Access Control List,ACL是保护网平安的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业网和外网之间,是外网与网进展通信时的第一道屏障,所以即使在网络系统安装了防火墙产品后,仍然有必要对路由器的访问控制列表进展缜密的设计,来对企业网包括防火墙本身实施保护。具体可以有以下几项:a) 在Fastethernet0/1上
22、添加ACL,阻止Vlan10与Vlan20之间相互通信b对外屏蔽远程登录协议 telnet,telnet 是一种不平安的协议类型。用户在使用 telnet登录网络设备或效劳器时所使用的用户名和口令在网络中是以明文传输的,很容易被网络上的非法协议分析设备截获。这是极其危险的,因此必须加以屏蔽。c对外屏蔽其它不平安的协议或效劳这样的协议主要有 SUN OS 的文件共享协议端口 2049,远程执行rsh、远程登录rlogin和远程命令rcmd端口512、513、514,远程过程调用SUNRPC端口111。d针对DoS攻击的设计。DoS 攻击是一种非常常见而且极具破坏力的攻击手段,它可以导致效劳器、网
23、络设备的正常效劳进程停顿,严重时会导致效劳器操作系统崩溃。e保护路由器自身平安。作为网、外网间屏障的路由器,保护自身平安的重要性也是不言而喻的。为了阻止黑客入侵路由器,必须对路由器的访问位置加以限制。应只允许来自效劳器群的IP地址访问并配置路由器。五、路由器及交换机的配置代码一路由器配置代码 1、路由器命名: Router(config)#hostname CoreRouter 2、设置路由器加密使能口令: CoreRouter(config)#enable secret 123 3、设置远程访问虚拟终端口令: CoreRouter(config)#line vty 0 4 CoreRoute
24、r(config-line)#password abc CoreRouter(config-line)#login CoreRouter(config-line)#exit 4、配置: 1对Vlan10中的地址: CoreRouter(config)#ipnat pool aa 200.10.10.3 200.10.10.12 netmask 255.255.255.240CoreRouter(config)#access-list 11 permit 192.168.10.0 0.0.0.255CoreRouter(config)#ip nat inside source list 11 p
25、ool aaCoreRouter(config)#interface fastEthernet 0/0CoreRouter(config-if)#ip nat inside CoreRouter(config-if)#exitCoreRouter(config)#interface serial 0/1/0CoreRouter(config-if)#ip nat outside CoreRouter(config-if)#exit2对Vlan20中的地址:CoreRouter(config)#ip nat pool bb 200.10.10.17 200.10.10.30 netmask 25
26、5.255.255.240CoreRouter(config)#access-list 12 permit 192.168.20.0 0.0.0.255CoreRouter(config)#ip nat inside source list 12 pool bbCoreRouter(config)#interface fastEthernet 0/1CoreRouter(config-if)#ip nat inside CoreRouter(config-if)#exitCoreRouter(config)#interface serial 0/1/0CoreRouter(config-if)
27、#ip nat outside CoreRouter(config-if)#exit 5、配置ACL: 1阻止Vlan10与Vlan20间的通信,在fastethernet0/1上使用: CoreRouter(config)#access-list 102 deny icmp 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255CoreRouter(config)#access-list 102 permit icmp any anyCoreRouter(config)#int fa0/1CoreRouter(config-if)#ip access-gr
28、oup 102 inCoreRouter(config-if)#exit2对外屏蔽远程登录协议telnet:CoreRouter(config)#access-list 101 deny tcp any any eq telnetCoreRouter(config)#access-list 101 permit ip any anyCoreRouter(config)#int serial0/1/0CoreRouter(config-if)#ip access-group 101 inCoreRouter(config-if)#exit3对外屏蔽其它不平安的协议或效劳:CoreRouter(c
29、onfig)#access-list 103 deny tcp any any range 512 514CoreRouter(config)#access-list 103 deny tcp any any eq 111 CoreRouter(config)#access-list 103 deny udp any any eq 111 CoreRouter(config)#access-list 103 deny tcp any any range 2049 CoreRouter(config)#access-list 103 permit ip any anyCoreRouter(con
30、fig)#int serial0/1/0CoreRouter(config-if)#ip access-group 103 inCoreRouter(config-if)#exit4针对 DoS攻击的设计:CoreRouter(config)#access-list 104 deny icmp any any eq echo-request CoreRouter(config)#access-list 104 deny udp any any eq echoCoreRouter(config)#int serial0/1/0CoreRouter(config-if)#ip access-gro
31、up 104 in5保护路由器自身平安:CoreRouter(config)# access-list 2 permit 192.168.100.0 0.0.0.255CoreRouter(config)#line vty 0 4CoreRouter(config-line)#access-class 2 inCoreRouter(config-line)#exit二交换机配置代码 1、交换机DistributeSwitch1 1命名交换机:Switch(config)#hostname DistributeSwitch1 2设置加密使能口令: DistributeSwitch1(config
32、)#enable secret cisco123 3设置远程登录口令: DistributeSwitch1(config)#line vty 0 4 DistributeSwitch1(config-line)#password cisco DistributeSwitch1(config-line)#login DistributeSwitch1(config-line)#exit 4为交换机添加管理Vlan: DistributeSwitch1(config)#interface vlan 1 DistributeSwitch1(config-if)#ip address 192.168.
33、0.1 255.255.255.0 DistributeSwitch1(config-if)#no shutdown DistributeSwitch1(config-if)#exit 5为交换机添加Vlan:Vlan10和Vlan20 DistributeSwitch1#vlan databaseDistributeSwitch1(vlan)#vlan 10DistributeSwitch1 (vlan)#vlan 206将Vlan作用于对应接口: DistributeSwitch1 (config)#int fa0/3DistributeSwitch1 (config-if)#switch
34、port mode access DistributeSwitch1 (config-if)#switchport access vlan 10DistributeSwitch1 (config-if)#exitDistributeSwitch1h(config)#int fa0/4DistributeSwitch1 (config-if)#switchport mode access DistributeSwitch1 (config-if)#switchport access vlan 20DistributeSwitch1 (config-if)#exitDistributeSwitch
35、1 (config)#int fa0/1DistributeSwitch1 (config-if)#switchport mode access DistributeSwitch1 (config-if)#switchport access vlan 20DistributeSwitch1 (config-if)#exit 7在两交换机间配置Vlan中继链路: DistributeSwitch1(config)#int fa0/2DistributeSwitch1 (config-if)#switchport mode trunk DistributeSwitch1 (config-if)#s
36、witchport trunk allowed vlan add 10DistributeSwitch1 (config-if)#switchport trunk allowed vlan add 20DistributeSwitch1 (config)#exit 8将该交换机设置成VTP server模式: DistributeSwitch1 (config)#vtp mode serverDistributeSwitch1 (config)#vtp domain cisco2、DistributeSwitch2 该交换机与DistributeSwitch1配置根本一样, 设置该交换机VTP
37、模式为VTP client: DistributeSwitch2(config)#vtp mode client六、显示最终的结果 1、同一Vlan可通信:2、不同Vlan间制止通信: 3、宿舍区IP地址通过DHCP动态获取:4、部网通过NAT地址转换与外部网通信: PC9为外部网某终端 NAT表: 七、课程设计总结在本次课程设计的设计过程中,由于是初次组建较完整的局域网,在知识、经历方面都存在着许多缺乏,另外,在整个设计的过程中,时间也比拟仓促。因此,该局域网必然会存在一些缺陷和缺乏。因为对校园网的整个网络体系不够熟悉,在分析时未能做到完全满足各种网络需求。虽然在虚拟环境中可以根本实现,但与
38、实际情况还是有一定差异。尽管该局域网存在着很多缺乏,但根本功能均能实现,在设计过程中,考虑到了Vlan划分的问题,为了节省地址而选择用私有地址,并通过访问外部网。在本校园网中还考虑到地址的分配问题,为了方便,在宿舍区设置效劳器来动态分配地址,而在办公楼都区域均使用静态。本课程设计还有许多需要改善的地方,例如设备间链路的冗余问题,并且还需增加许多网络功能以便满足校园网各种需求,如DNS、Email、HTTP等。通过一周的课程设计,对课本中所学的理论知识有了更深的理解,并能够将前后所学相联系,在考虑问题的全面性与成熟度方面有了进步,并提高了动手实践能力,对今后的实际操作有很大帮助。- - word.zl-