《校园网的搭建与安全防护毕业论文.docx》由会员分享,可在线阅读,更多相关《校园网的搭建与安全防护毕业论文.docx(35页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、天津电子信息职业技术学院毕业论文题目 校园网的搭建与安全防护姓 名专业级指导师完成时间天津电子信息职业技术学院 制2017.1摘要:当今世界,各种先进的技术飞速发展,给人们的生活带来了深远的影响,它极大的改善我们的生活方式。在以计算机为代表的信息科技的发展更是日新月异,从各方面影响和改变着我们的生活,而其中的计算机网络技术发展更为迅速,已经渗透了我们生活的各个方面,人们已经离不开计算机网络,并且随着因特网的迅速普及,给我们的学习与工作生活条件带来更大的方便,我们与外部世界的联系将更加的紧密和快速。随着网络技术、Internet的发展和CERNET(中国教育科研网)的迅速壮大,很多学校建成校园网
2、并接入到CERNET。校园网的建设已成为学校实力与发展水平的标志。建设一个先进实用的校园网,实现校内外信息的快速传递,使教学、科研、管理步入信息化,网络化,从而提高办学水平和办学效益已成为必然之选。校园网主要用于学校内部网络通信,也会利用因特网进行外部上网活动,但是,网络流量主要集中于校园网内部,因此对网络交换能力要求较高,校园网上网会有多媒体教学,视频点播等多种带宽应用。信息交流功能主要有两个方面的服务功能:互联网信息服务和校内信息服务。互联网信息服务可以使任何一个办公室的计算机都能实现网上浏览、查询信息的功能,使教师能够拓宽视野,充分利用互联网上的资源辅助教学,提升教学理念,提高教师的教学
3、能力、教学水平和科研能力。可以充分利用互联网资源来宣传学校,展示学校的办学能力与办学水平,展示教师的教学能力与科研能力,提升学校的办学形象。校内信息服务能为教育教学和管理决策提供各项信息服务,能为全校师生提供相互交流、相互学习的平台。关键词:校园网 互联网 信息交流 目录一、需求分析1(一)校园网建网需求1(二)部门机构应用需求1(三)网络系统性能需求2二、网络系统总体设计3(一)网络设计原则3(二)网络拓扑结构4(三)IP地址规划和VLAN的划分4(四)网络设备选型6(五)汇聚层交换服务7(六)接入层交换服务7(七)广域网接入模块设计8三、综合布线设计9(一)综合布线9(二)综合布线模块划分
4、9(三)综合布线的特点9(四)设计规范的确定9(五)工作区子系统的设计10(六)水平子系统的设计10(七)管理子系统的设计11(八)干线子系统的设计11(九)设备间子系统的设计12(十)施工进度控制12(十一)综合布线系统的预算设计方式13四、网络系统设计的实现14(一)配置核心层15(二)配置汇聚层16(三)配置广域网接入模块-路由器18五、Server服务器20(一)提供 IP 租用地址20(二)接受 IP 租约20(三)租约确认20(四)DHCP服务的安装和配置21(五)DNS概述23(六)DNS服务器的安装23(七)Web服务25六、网络安全与防护技术27(一)计算机网络安全27(二)
5、计算机网络安全的目的和功能27(三)网络安全的潜在威胁27(四)网络安全的策略28(五)防火墙技术28(六)实现防火墙的主要技术29(七)防火墙的体系结构29(八)上网行为原理30七、结束语31八、参考文献31一、 需求分析校园网的建设是合乎目的性和规律性的统一体,要想在网络建设的过程中始终把握设计尺度,必须事先做好充分的需求分析。需求分析的过程是网络设计的起点,跨出这一步,后面得工作才能开展。(一) 校园网建网需求在知识经济和数字化生存时代,校园网在资源共享、知识传播、育人管理等方面发挥越来越重要的作用,校园网网络系统的建设,是非常必要的,也是可行的。主要表现在:第一,当前校园网信息系统已经
6、发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段,发展对学校教育现代化的建设提出了越来越高的要求。第二,教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。个人是否具有获得信息和处理信息的能力对于能否成功进入职业界和融入社会及文化环境都是个决定性的因素,因此学校应该培养所有学生具有驾驭和掌握这种技术的能力。第三,我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络上运行的软件及多媒体系统,并且越来越形象化、实用化,迫切需要网络环境。第四,现代教育改革的需要。在校园网中将计算
7、机引入教学各个环节,从而引起了教学方法,教学手段,教学工具的重大革新。对提高教学质量,推动我国教育现代化的发展起着不可估量的作用。第五,随着经济发展,我国各级学校对教育的投入不断加大;计算机技术的飞速发展,使相应产品价格不断下降;同时人们的认识水平和经济实力不断提高,大量计算机进入学校和家庭,使得计算机用于教育信息管理和信息服务是完全可行的。(二) 部门机构应用需求公共试验楼:节点密集,上课时间对网络带宽的需求较大,其它时间基本上对网络有要求。公共教学楼:方便教师进行多媒体教学和远程视频教育。网络中心:管理校园网整个网络,必须确保网络中心的正常运行。图书馆:电子阅览室,方便同学从校内或者校外查
8、阅各种网上的书籍和资料。允许校校之间的互联,实现教育图书的资源共享。行政楼:办公网络、特别是行政办公网络的数据传输量不大,但非常注重安全性。而在网络中传输的是大量数据文件,视频会议系统大多采用组播方式实现,因此,对带宽的要求不高。学生宿舍:节点密集,课余时间网络流量较大,且多数为多媒体数据流,对网络带宽的需求较大。(三) 网络系统性能需求接入速率需求:接入速率最基本的是由端口速率决定的。对于骨干层、核心层的端口速率需要支持双绞线、光纤的千兆位,甚至万兆位速率,接入层需要百兆位到桌面。响应时间:指从用户发出指令到网络响应并开始执行用户指令所需的时间,响应时间越短,性能就越好,效率越高。局域网的响
9、应时间通常为1ms2ms,要求越高,所对应的网络设备配置就越高档,成本也就越高。对于一般的文字工作,通常的响应标准是可以满足的,但对于大容量的多媒体文件传输,如视频点播、远程视频教学等,响应时间就不能按正常标准要求那么高了,因为这样会对整个网络硬件,特别是服务器配置要求相当高,会大大增加成本。并发用户数支持:并发用户数支持是指某一系统可以承载的同时访问的用户数,支持的并发用户数越多,系统性能越好,当然所需的配置就越高档。并发用户数是指对相应应用服务器的性能要求,通常是由服务器的整体硬件配置决定的。二、 网络系统总体设计网络系统总体设计是一项复杂的创作,要严格遵循网络设计原则。网络设计策略是采取
10、自上而下的方法。采用这种方法时,首先确定网络应用程序和服务的需求,然后设计能够支持它们的网络。使用这种分层结构设计思想,这在层次结构分明的以太网中,具有高度的灵活性和可扩展性。(一) 网络设计原则校园网连接了包括教学楼、办公楼、实验楼、图书馆、学生宿舍楼、教职工生活区等大量的信息点,学校管理、教育科研、电子教学、远程教育和互联网的引入以及对外技术交流与合作服务等大量的业务,要求校园网必须是一个实用的、高可靠、高效率、高扩展性、高安全性系统。为实现校园网络高质、高效互联的目标要求,在网络设计构建中,应始终坚持以下建网原则:高可靠性:网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用
11、高可靠性网络产品,设备充分考虑冗余、容错能力和备份,同时合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的正常运行。主干网络设备的主要部件必须支持带电热插拔,在万一出现局部故障时应不影响网络其他部分的运行,并且故障便于诊断和排除。充分体现计算机网络的高可靠性。技术先进性和实用性:保证满足校园业务应用系统业务的同时,又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑网络应用的现状和未来发展趋势。灵活性及可扩展性:根据未来业务的增长和变化,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和现有设备的调整。可管
12、理性:对网络实行集中监测、分权管理,并统一分配带宽资源。选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。安全性:制订统一的网络安全策略,整体考虑网络平台的安全性。(二) 网络拓扑结构图2-1是学校综合楼网络拓扑图:图2-1(三) IP地址规划和VLAN的划分使用子网划分技术,大部分网络能够获得较好的地址规划。但在校园网中,由于网络的数量与主机的数量比例不平衡,这里就需要可变长的子网掩码(VLSM)技术作为规划的依据。VLAN用于将数据流分类和分离以及控制单个配线间和大楼内的广播数据流。综合楼各部门及楼层间vlan的划分:网络中心网络中心192.168.1.
13、0255.255.255.0Vlan100综合楼(2楼)子网号子网掩码Vlan总务处192.168.2.0255.255.255.0Vlan2学生处192.168.3.0255.255.255.0Vlan3教务处192.168.4.0255.255.255.0Vlan4财务处192.168.5.0255.255.255.0Vlan5综合楼(5楼)子网号子网掩码Vlan计算机实训室1192.168.6.0255.255.255.0Vlan6计算机实训室2192.168.7.0255.255.255.0Vlan7计算机实训室3192.168.8.0255.255.255.0Vlan8计算机实训室4
14、192.168.9.0255.255.255.0Vlan9综合楼(6楼)子网号子网掩码Vlan计算机实训室1192.168.10.0255.255.255.0Vlan10计算机实训室2192.168.11.0255.255.255.0Vlan11计算机实训室3192.168.12.0255.255.255.0Vlan12计算机实训室4192.168.13.0255.255.255.0Vlan13综合楼(7楼)实训室子网号子网掩码Vlan计算机实训室1192.168.14.0255.255.255.0Vlan14计算机实训室2192.168.15.0255.255.255.0Vlan15计算机实
15、训室3192.168.160255.255.255.0Vlan16计算机实训室4192.168.17.0255.255.255.0Vlan17综合楼(4楼)图书管192.168.18.0255.255.255.0Vlan18综合楼(8楼、9楼)子网号子网掩码Vlan计算机工程系办公室192.168.19.0255.255.255.0Vlan19校长室192.168.20.0255.255.255.0Vlan20(四) 网络设备选型(1)核心层交换机选择核心交换机采用模块化三层交换机,配置1或2块交换路由板,1个双绞线业务板和若干块光接口模块业务板。对于模块化三层交换机,用户可任意选择不同数量、
16、不同速率和不同接口类型的模块,以适应千变万化的网络需求。而且模块化交换机大都有很强的容错能力,支持交换模块的冗余备份,并且往往拥有可热插拔的双电源,以保证交换机的电力供应。(2)汇聚层交换机选择区域汇聚层交换机选择具有安全控制能力和QoS保障能力,拥有较多GBIC或SFP端口的三层固定配置交换机。(3)接入层交换机选择接入层交换机采用可网管的交换机,实现对每台接入计算机的控制,实现VLAN、PVLAN的划分,确保最大限度的网络访问安全。根据接入计算机的数量,可以灵活的选择24口或48口的交换机。(4)核心层交换服务路由冗余:核心交换机是整个网络的核心和心脏,如果发生致命性的故障,将导致本地网络
17、的瘫痪,所造成的损失也是难以估计的。因此,对三层路由采用热备份是提高网络可靠性的必然选择。在一个三层路由完全不能工作的情况下,它的全部功能便被系统中的另一个备份路由完全接管,直至出现问题的路由器恢复正常,这就是热备份路由协议(Hot Stand by Router Protocol)。冗余链路:通过在核心层部署冗余链路,可确保发生故障时网络设备能找到替代路径来发送数据。核心层使用了第三层设备,则除备用外,这些冗余链路还可用于负载均衡。对于一个网络的负载均衡,可以从网络的不同层次入手,由于核心层的业务量分布比较高,所以在核心层可以采用传输链路聚合。链路聚合技术为消除传输链路上的瓶颈与不安全因素提
18、供了成本低廉的解决方案。互联拓扑:网络中的大多数核心层都采用全互联或部分互联拓扑。在全互联拓扑中,任何两台设备都直接相连。虽然全互联拓扑具有全面冗余的优点,但难以布线和管理且成本高昂。对于大型网络,通常采用部分互联拓扑。在部分互联拓扑中,每台设备至少与其他两台设备相连,这提供了足够的冗余,同时比全互联拓扑简单。安全机制:在控制平面,防止非法路由更新报文导致的网络瘫痪;在管理平面,利用SNMPv3网管协议,提供基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;在转发平面,支持IP、VLAN 、MAC和端口等多种组合精细绑定。(五) 汇聚层交换服务汇
19、聚层是接入层和核心层之间的路由选择边界,也是远程站点和核心层之间的连接点。主要提供了用户的汇聚功能和服务质量保证的功能。在汇聚层能够真正做到通过识别用户及应用提供不同的服务质量保证。汇聚层的多层交换机提供了众多功能,有助于实现网络设计目标,同时减轻核心层设备的压力。这些功能包括有:过滤和管理数据流;实施访问控制策略;向核心层通告路由前对路由进行汇总;防止接入层故障或中断影响核心层;在接入层VLAN之间进行路由选择。汇聚层设备还用于在数据进入园区核心层前管理队列和确定数据流的优先顺序。(1)汇聚层的路由选择:汇聚层设备提供的三层路由功能,可以为二层上不同VLAN之间进行路由选择;另一个重要功能是
20、路由汇总,也叫路由聚合。路由汇总给网络带来了很多好处,其中包括:路由选择表中的一条路由可代表众多其他路由,这缩小了路由选择表;减少了网络中的路由选择更新数据流;降低了核心设备的开销。(2)汇聚层的交换:成对地部署多层交换机,并在它们之间平均地分配接入层交换机。这种配置称为大楼交换块。每个交换块独立运行,这样,单台设备发生故障便不会导致整个网络瘫痪,甚至整个交换块出现故障也不会影响太多终端用户。(六) 接入层交换服务(1)接入层堆叠设计:接入层网络是纯二层交换网络,提供用户的网络接入。由于接入层设备需要部署在楼层,因此要求这些设备容易管理并且投资成本少。对于计算机机房、电子阅览室、学生公寓等接入
21、计算机数量很大的接入场所,应当采用可堆叠交换机,以提供大量的100 Mbps端口。接入交换机之间以高速堆叠模块相互连接在一起,并借助1000Mbps链路实现与汇聚层交换机之间的连接。为了提高网络稳定性和网络带宽,可以将24条千兆位链路绑定在一起借助链路汇聚技术实现链路冗余、负载均衡和带宽倍增,以确保所有计算机都能够无阻塞地实现与校园网络的连接。(2)接入层链路汇聚设计:如果接入层所连接的计算机数量较多,除了使用上面所说的堆叠技术之外,还可以使用链路汇聚的方式实现接入层交换机之间的高速连接,既增加了接入层交换机之间的互联带宽,又提高了连接的稳定性。(3)接入层级联设计:如果接入网络的计算机数量较
22、多,需要由多台交换机才能满足用户需求时,也可以采用最简单的级联方式。当然,如果接入层交换机拥有1000Mbps端口,那么采用级联方式也可以实现接入层交换机之间的高速连接。(七) 广域网接入模块设计(1)静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 (2)动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对是不确定的,而是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是
23、说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。 三、 综合布线设计(一) 综合布线综合布线是一个能支持多种应用系统的模块化、灵活性极高的建筑物内或建筑物之间的信息高速传输通道,其组成部件包括不同系列和规格的通信介质、连接硬件(如配线架、连接器、适配器、插座和插头)以及电气保护设备等。一个设计良好的综合布线对其服务的设备应具有一定的独立性,能互连多种不同应用系统的设备,如模拟或数字式的公共系统设备,也能支持语音、数据、图形图像和视频设备
24、。(二) 综合布线模块划分综合布线一般采用星形拓扑结构。该结构下的每个分支子系统都是相对独立的单元,对每个分支系统的改动都不影响其他子系统,只要改变节点连接方式就可使综合布线在星形、总线形、环形、树形等结构之间进行转换。综合布线采用模块化的结构。按每个模块的作用,可把它分成六个部分:工作区子系统、配线(水平)子系统、干线(垂直)子系统、管理子系统、设备间子系统、建筑群子系统。(三) 综合布线的特点与传统的布线相比,综合布线具有许多的优越性。其特点主要表现为它的兼容性、开放性、灵活性、可靠性、先进性和经济性,而且在设计、施工和维护方面会带来许多方便。(四) 设计规范的确定我们为本校的校园网设计的
25、综合布线系统将基于以下目标:(1)符合当前和长远的信息传输要求。(2)布线系统设计遵从国际(ISO/CEI11801)标准。(3)布线系统采用国际标准建议的星形拓扑结构。(4)基于100Mbps应用需要。(5)布线系统的信息出口采用国际标准的RJ45插座。(6)布线系统符合综合业务数据网的要求。(7)布线系统要立足开放原则。(五) 工作区子系统的设计工作区系统又称为服务区子系统,它是由RJ-45插座和所连接的设备组成,对于校园网的用户,基本上需求不是很大,故基本型即可。基本型,用铜芯电缆组网,每个工作区的配线电缆为一条4对双绞线,引至楼层配线架。系统支持语音、数据、图像等功能,能随应用的需要转
26、向更高功能的布线系统。(六) 水平子系统的设计水平子系统也称为水平布线系统。水平布线子系统是从RJ-45插座开始到布线主干的子系统。由4对5类UTP组成,能支持大多数现代化通信设备。用线采用UTP双绞线。长度不超过90米。UTP双绞线布线方式采用线槽管道布线方式。图3-1 综合楼一楼施工平面图(七) 管理子系统的设计为了管理方便,各层的交换机统一安放在设备间的配线架,故各层交换机只需一条光缆连接即可。管理间的设计及建设应考虑一下因素:(1)管理间位置:各楼层管理间一般设置在弱电竖井内。(2)管理间环境要求:管理配线间要尽量保持无尘,注意防火,散热良好,每个电源插座容量不小于300W,并根据设备
27、的要求及有关规定保证一定的温度和湿度。建议的最佳温度和湿度:温度 1626,湿度 45%65%。(3)配线架排列:管理间的配线间排列应遵守原则:进出线方便,跳线方便、尽量短,墙面布局合理、占用空间小。(4)跳线管理:采用EIA/TIA 568B 接线方式,级联时若交换机无级联口,可用交叉线连接。(5)系统接地:确保穿线金属管、金属线槽与桥梁之间及各配线架的金属外壳具有良好的电气连接特性,所有设备间ingredients提供接地端接子。(八) 干线子系统的设计干线子系统是结构化布线系统的骨干,包括:(1)供干线走缆走线用的垂直通道;(2)设备间与网络接口之间的连接电缆;(3)设备间与建筑群子系统
28、之间的连接电缆;(4)主设备间与计算机中心间的电缆。干线子系统的设计必须能满足当前的需求,同时又能适应今后的发展。图3-2 综合楼垂直布线图(九) 设备间子系统的设计设备间子系统中的电话、数据、计算机主机设备及其保安配线设备宜设在一个房间内。设备间的位置及大小应根据设备的数量、规模、最佳网络中心等内容综合考虑确定。在设备间子系统的设计和安装过程中还需要考虑配备不间断电源UPS和安全因素。同时,建筑群的线缆进入建筑物时应有过流、过压保护设施,设备间室温保持在1027,相对湿度保持在30%80%。(十) 施工进度控制施工进度控制关键就是编制施工进度计划,合作安排好前后序作业的工序,综合布线工程具体
29、的作业安排如下:(1)对于与土建工程同时进行的布线工程,首先检查垂井、水平线槽、信息插座底盒是否已安装到位,布线路由是否全线贯通,设备间、配线间是否符合要求,对于需求安装布线槽道的布线工程来说,首先需要安装垂井、水平线槽和插座底盒等。(2)敷设主干布线主要是敷设光缆或大对数电缆。(3)敷设水平布线主要是敷设双绞线。(4)线缆敷设的同时,开始为各设备间设立跳线架,跳线面板光纤盒的安装。(5)当水平布线工程完成后,开始为各设备间的光纤及UTP/STP安装跳线板,为端口及各设备间的跳线设备做端接。 (6)安排好所有的跳线板及用户端口,做全面性的测试,包括光纤及UTP/STP,并提供报告交给用户。 图
30、3-3 综合布线系统工程施工组织进度(十一) 综合布线系统的预算设计方式预算设计方式取费的主要内容一般由材料费、施工费、设计费、测试费、税金等组成。下表是一种典型的综合布线系统工程预算标价设计表。 布线工程报价名称型号单价数量总价/元配线架安普6类24口配线架1120元/个11个12,320六类非屏蔽线安普9-1427200-6920元/箱10箱9,200双口面板MX-BFP-S-02-025元/只247个1,2356类模块安普(0-1375055-6)48元/个247个11,856光缆62.5/125室内6芯多模光缆32元/米2000米64,000机柜图腾TE6621.9001280元/个2
31、5个32,000设备总价(不含测试费)130,611设计费(5%)6,530.55测试费(5%)6,530.55督导费(5%)6,530.55施工费(15%)19,591.65税金(3.41%)4,453.84总计174,248网络设备报价名称设备型号单价(元)数量(个)总价(元)交换机Cisco 3560G25700377,100交换机Cisco 296041001977,900无线路由Cisco Wireless-N160058,000防火墙Cisco ASA5510-K8 14500114,500服务器惠普ML110 G66800320,400上网行为管理深信服 AC1100247501
32、24,750合计222,650总报价布线工程报价(RMB元)174,248元网络设备报价(RMB元)222,650元工程总费用(RMB元)396,898元四、 网络系统设计的实现在给出的设备上配置一系列相应的命令参数,完成已规划好的具体方案,实现校园校的需求。图4.1 网络配置拓扑图(一) 配置核心层核心层交换机通过自己的端口同广域网接入模块相连,并负责整个校园网的VLAN间的路由选择。设置交换机名称。当需要telnet登录到多台交换机时,通过交换机的名字,方便的确认其所在的位置。(1)配置核心层交换机的基本参数,包括核心交换机本地密码、管理IP和telnet密码配置。设置交换机名称。当需要t
33、elnet登录到多台交换机时,通过交换机的名字,方便的确认其所在的位置。SwitchSwitch enSwitch #conf tEnter configuration commands, one per line. End with CNTL/Z.Switch (config)#hostname SW-A 更改主机名称SW-A(config)#interface vlan 1SW-A(config-if)#ip address 172.16.1.1 255.255.255.0 配置telnet的IPSW-A(config-if)#no shutdown SW-A(config-if)#exi
34、t(2)配置核心层交换机的服务器群vlan及vlan IPSW-A(config)#vlan 100SW-A(config-vlan)#exitSW-A(config)#interface range f0/1-3SW-A(config-if-range)#SW-1port access vlan 100SW-A(config-if-range)#exitSW-A(config-if)#no shutdown (二) 配置汇聚层汇聚层交换机除了负责将交换机进行汇聚之外,还为整个交换网络提供VLAN间的路由选择。汇聚层共有两个三层交换机组成,分别是SW-1和SW-2.(1) 配置汇聚层交换机的基
35、本参数,包括核心交换机本地密码、管理IP和telnet密码配置。设置交换机名称。当需要telnet登录到多台交换机时,通过交换机的名字,方便的确认其所在的位置。(1)交换机SW-1上的配置Switch(config)#hostname SW-1SW-1(config)#interface vlan1SW-1(config-if)#ip address 172.16.1.2 255.255.255.0SW-1(config-if)#no shutdown SW-1(config-if)#exitSW-1(config)#enable password 123SW-1(config)#line v
36、ty 0 4SW-1(config-line)#password 123SW-1(config-line)#loginSW-1(config-line)#exit交换机SW-2上的配置Switch(config)#hostname SW-2SW-2(config)#interface vlan1SW-2(config-if)#ip address 172.16.1.3 255.255.255.0SW-2(config-if)#no shutdown SW-2(config-if)#exit(2)配置汇聚层交换机的vlan及端口的分配交换机SW-2上的vlanSW-1enSW-1#conf tS
37、W-1(config)#vlan 2SW-1(config-vlan)#exitSW-1(config)#interface f 0/2SW-1(config-if)#Switchport access vlan 2SW-1(config-if)#exitSW-1(config)#vlan 3SW-1(config-vlan)#exitSW-1(config)#interface f0/3SW-1(config-if)#switchport access vlan 3SW-1(config-if)#exitSW-1(config)#vlan 4SW-1(config-vlan)#exitSW-
38、1(config)#interface f0/4SW-1(config-if)#Switchport Access vlan 4SW-1(config-if)#exitSW-1(config)#vlan 5SW-1(config-vlan)#exitSW-1(config)#interface f0/5SW-1(config-if)#Switchport access vlan 5SW-1(config-if)#exit交换机SW-2上的vlanSW-2(config)#vlan 17SW-2(config-vlan)#exitSW-2(config)#interface f0/17SW-2(
39、config-if)#switchport access vlan 17SW-2(config-if)#exitSW-2(config)#SW-2(config)#vlan 18SW-2(config-vlan)#exitSW-2(config)#interface f0/18SW-2(config-if)#switchport access vlan 18SW-2(config-if)#exitSW-2(config)#SW-2(config)#vlan 19SW-2(config-vlan)#exitSW-2(config)#interface f0/19SW-2(config-if)#s
40、witchport access vlan 19SW-2(config-if)#exitSW-2(config)#SW-2(config)#vlan 20SW-2(config-vlan)#exitSW-2(config)#interface f0/20SW-2(config-if)#switchport access vlan 20SW-2(config-if)#exit(三) 配置广域网接入模块-路由器广域网接入模块采用的是路由器,通过完成在Internet和校园网内网间路由数据包。此外还要在该设备上配置相应的ACL,实现数据包的过滤功能。(1)配置路由器的基本参数,本地密码和TELNET
41、的配置Router(config)#enable password 123Router(config)#line vty 0 4Router(config-line)#password 123Router(config-line)#loginRouter(config-line)#exitRouter(config)#(2)配置路由器的接口IPRouter(config)#interface f0/0Router(config-if)#ip address 10.10.10.2 255.255.255.0Router(config-if)#no shutdown Router(config)#
42、interface serial 1/0Router(config-if)#ip address 28.28.28.1 255.255.255.0Router(config-if)#no shutdown Router(config-if)#exit(3)配置静态路由功能Router(config)#ip route 192.168.1.0 255.255.255.0 10.10.10.1Router(config)#ip route 192.168.2.0 255.255.255.0 10.10.10.1Router(config)#ip route 192.168.3.0 255.255.
43、255.0 10.10.10.1Router(config)#ip route 192.168.4.0 255.255.255.0 10.10.10.1Router(config)#ip route 192.168.5.0 255.255.255.0 10.10.10.1Router(config)#ip route 192.168.18.0 255.255.255.0 10.10.10.1Router(config)#ip route 192.168.19.0 255.255.255.0 10.10.10.1Router(config)#ip route 192.168.20.0 255.2
44、55.255.0 10.10.10.1(4)配置路由器的NATRouter(config)#ip nat pool internet 28.28.28.1 28.28.28.1 netmask 255.255.255.0 配置NAT公网IP 范围Router(config)#access-list 10 permit 192.168.0.0 0.0.255.255Router(config)#ip nat inside source list 10 pool internet overload 五、 Server服务器(一) 提供 IP 租用地址DHCP 服务器监听到客户端发出的 DHCP d
45、iscover 广播后,它会从那些还没有租出的地址范围内,选择最前面的空置 IP ,连同其它 TCP/IP 设定,响应给客户端一个 DHCP OFFER 封包。 由于客户端在开始的时候还没有 IP 地址,所以在其 DHCP discover 封包内会带有其 MAC 地址信息,并且有一个 XID 编号来辨别该封包,DHCP 服务器响应的 DHCP offer 封包则会根据这些资料传递给要求租约的客户。根据服务器端的设定,DHCP offer 封包会包含一个租约期限的信息。 (二) 接受 IP 租约如果客户端收到网络上多台 DHCP 服务器的响应,只会挑选其中一个 DHCP offer 而已(通常是最先抵达的那个),并且会向网络发送一个DHCP request广播封包,告诉所有 DHCP 服务器它将指定接受哪一台服务器提供的 IP 地址。 同时,客户端还会向网络发送一个 ARP 封包,查询网络上面有没有其它机器使用该 IP 地址;如果发现该 IP 已经被占用,客户端则会送出一个 DHCPDECLIENT 封包给 DHCP 服务器,拒绝接受其 DHCP offer ,并重新发送 DHCP discover 信息。 事实上,并不是所有 DHC