校园网络课程设计方案.doc-淘文阁

资源描述

《校园网络课程设计方案.doc》由会员分享，可在线阅读，更多相关《校园网络课程设计方案.doc（24页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、校园网络课程设计方案姓名：xxx班级：xxx学号：xxx指导老师：xxx目录一、课程设计目的2二、设计任务及要求2三、需求分析23.1、调研情况33.2、园区网达到的目标33.3、需求功能3四、网络设计34.1、设计思想44.2、网络设计原则44.3、总体规划44.4、拓扑设计44.5、物理设计54.5.1、路由器和防火墙选择原则54.5.2、物理设备清单：64.6、IP设计64.6.1、IP地址分配64.6.2、IP汇聚74.7、路由设计8五、设备安装调试含代码85.1、防火墙的具体配置步骤85.2、路由器的配置代码95.3、交换机的配置代码15一、设计目的网络工程综合实验是网络工程及计算

2、机相关专业的重要实践环节之一，该内容可以培养学生理论联系实际的设计思想，训练综合运用所学的计算机网络基础理论知识，结合实际网络设备，解决在设计、安装、调试网络中所遇到的问题，从而使基础理论知识得到巩固和加深。学生通过综合实验学习掌握网络设计中的一般设计过程和方法，熟悉并掌握运用二层交换机、三层交换机、路由器和防火墙的配置技术。另外通过实验，可以掌握组建计算机网络工程的基本技术，特别是网络规划、交换机路由器等网络设备的基本功能与选型以及网络应用服务器的基本配置，同时提高学生的应用能力和动手实践能力。确立校园网建设的目标，不仅要考虑技术方面，而且还要考虑环境、应用和管理等方面，必须与学校各方面改革

3、、建设长远发展相结合，科学论证和决策。根据这一要求：建设一个技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络，将学校的各种PC机、工作站、终端设备和局域网连接起来，并与有关广域网相连，形成结构合理、内外沟通的校园计算机网络系统二、设计任务及要求用一组实验设备（4个路由器、二台交换机、二台三层交换机、一台防火墙）构建一个园区网，通过防火墙与校园网相联，实现到Internet的访问。具体要求如下：a) 在一台两层交换机SW1上划分2个VLAN（Vlan 100和Vlan 200）。要求实现：两个Vlan均能通过路由器访问外网，但两个Vlan之间不能通信。b) 在一台三层交换机SW3上划分2个V

4、LAN（Vlan 300和Vlan 400），两个Vlan之间能够通信。要求：两个Vlan均只能通过路由器访问校园网（10.X.X.X），而不能访问Internet。c) 另外一台两层交换机SW2和一台三层交换机SW4之间使用冗余连接，在两台交换机上均划分两个Vlan（Vlan 500和Vlan 600），要求Vlan500可以访问内网所有VLAN，Vlan600既可以访问内网，又可以访问Internet。d) 园区网路由器内采用静态路由（或OSPF路由协议），使全网联通。e) 采用路由器将此园区网再与外网（校园网）相联，配置NAT协议。f) 画出网络拓扑图，并给各VLAN划分IP地址、掩码、

5、网关，以及各网络设备接口的IP地址。g) 需要在SW1中的VLAN100里面安装WWW、FTP、电子邮件等基本服务。用访问控制列表使VLAN300和VLAN500中的用户在上班时间（9:0017:00）不允许访问 FTP服务器和 WWW服务器，但可以访问 EMail 服务器。h) IP分配规则：D区： IP范围： 192.168.24.0 192.168.31.255 192.168.254.48192.168.254.63 ( 路由器Serial口用)10.106.207.14 (防火墙用IP)三、需求分析3.1、调研情况园区网共有一个总部，分成三个子部，每个子部门划分成两个VLAN，使其隔

6、离及管理方便。根据网络设计要求，总的信息点将达到 3000个左右，信息节点的分布比较分散，使用分层设计网络的思想。3.2、园区网达到的目标1、在园区网中建成一个适合于信息采集、共享的内部网络，在此基础上建立起供用户培训使用的内部网络以及内部办公网络。2、使用防火墙、访问控制列表、地址转换安全的实现到Internet的接入与访问，及实现信息在Internet的发布。3.3、需求功能园区网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台，并能够有效促进现有的管理体制和管理方法，提高用户办公质量和效率。园区网的总体设计原则是：开放性：采用开放性的网络体系，

7、以方便网络的升级、扩展和互联；同时在选择服务器、网络产品时，强调产品支持的网络协议的国际标准化；可扩充性：从主干网络设备的选型及其模块、插槽个数、管理软件和网络整体结构，以及技术的开放性和对相关协议的支持等方面，来保证网络系统的可扩充性；可管理性：利用图形化的管理界面和简洁的操作方式，合理地网络规划策略，提供强大的网络管理功能；使日常的维护和操作变得直观，便捷和高效；安全性：内部网络之间、内部网络与外部公共网之间的互联，利用VLAN/ELAN、防火墙等对访问进行控制，确保网络的安全；投资保护：选用性能价格比高的网络设备和服务器；采用的网络架构和设备充分考虑到易升级换代，并且在升级时可以最大限度

8、地保护原有的硬件设备和软件投资；易用性：应用软件系统必须强调易用性，用户界友好，带有帮助和查询功能，用户可以通过Web查询。园区网网络建成以后，要实现以下这些功能：1、WWW服务，作为信息服务的平台。2、Email服务，作为信息传递和与外界交流的主要手段。3、FTP服务，作为信息的上传和下载。4、VLAN技术，使物理设备在逻辑上隔离，便于用户使用和管理。在今后，本网络还要实现基于ATM的宽带多媒体的校园网，并通过ATM和省宽带多媒体网相连接，实现实时的远程访问。综上所述，本网络的网络建设必须采用当前最新的网络技术。四、网络设计4.1、设计思想园区网计算机网络系统应便于将来网络系统的扩充，网络的

9、硬件和软件应具有相对的独立性；充分考虑网络系统的开放性；充分考虑硬件的适应性，硬件应具有高度的可连接性和兼容性；网络系统应具有高度的开放性，能与不同的计算机系统，通讯系统，自动控制系统连接，能连接不同协议的网络系统；实现多种操作系统平台，多种网络操作系统，多种网络协议互操作。4.2、网络设计原则1、网络的先进性和实用性的原则采用的硬软件系统既有技术的先进性，又有很高的性能价格比。2、网络的开放性和兼容性的原则选择符合国际标准的网络硬软件产品，有很好的互换、扩展和升级能力。3、网络的灵活性和可靠性的原则网络系统能够适应各种网络应用系统，易于今后向更先进的技术迁移，并且要有很好的容错能力。4、网络

10、的可管理性和易维护性原则配置网管软件，采用具有可管理的网络设备，以便合理规划网络资源和控制网络运行。整个网络应结构合理，层次划分清楚且具有相对独立性，便于管理和维护。5、网络系统的保密性和强有力的防病毒性。4.3、总体规划网络设计采用分层设计的思想，由一台主路由器作为核心层，分别接三台普通路由器作为汇聚层，每台辅助路由器又接交换机作为接入层。主路由器另一端和防火墙相连接，在防火墙里配置策略隔离内网和外网及提供内网访问外网的配置。4.4、拓扑设计4.5、物理设计4.5.1、路由器和防火墙选择原则根据园区网的拓扑结构特点、应用及面临的安全隐患，我们将通过路由器、防火墙、杀毒软件，实现网络安全隔离、

11、网络监控措施、网络病毒的防范等安全需求，为园区构建统一、安全的网络。A：通过一台路由器隔开外网（Internet）与园区网，路由器中我们设置了防御外部的第一道屏障。屏蔽路由器对进出内部网络的所有信息进行分析，并按照一定的安全策略（信息过滤规则）对进出内部网络的信息进行限制。它能根据IP地址、UDP和TCP端口来筛选数据。如可以在路由器中实现对内部网络在9.00-17.00不允许访问 FTP服务器和 WWW服务器，但可以访问 EMail 服务器。B：通过防火墙隔离，在园区网络与外界连接处实施网络访问控制，地址转换。在Internet与园区网内网之间部署了一台防火墙，可以让管理员了解外部网络用

12、户的身份和工作性质，提供访问规则，并针对存取要求授予不同的权限，保证只有经授权许可的信息才能在客户机和服务器间流通。其中WWW、E-mail、FTP服务器连接在防火墙的DMZ区，与内、外网间进行隔离，内网口连接园区网内网路由器，外网口通过路由器与 Internet 连接。这样，通过 Internet 进来的外网用户只能访问到对外公开的一些服务（如WWW、E-mail、FTP、DNS等），既保护内网资源不被非法访问或破坏，也阻止了内部用户对外部不良资源的使用，并能够对发生的安全事件进行跟踪和审计。具体配制规则如下：第一，根据园区网安全策略和安全目标，规划设置正确的安全过滤规则，如审核IP数据包的

13、内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自外网对园区内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。第二，将防火墙配置成过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。第三，在防火墙上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。第四，定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。第五，允许通过配置网卡对防火墙设置，提高防火墙管理安全性。第六，通过在防火墙内设置NAT转换，把内网IP地址转换为外网IP地址，是内部I

14、P透明化，进一步提高内部网络的安全性。C、汇聚层的三台路由器中设置扩展访问控制列表，对内网中的VLAN访问进行设置，使某些VLAN能访问哪些资源，某些VLAN不能访问哪些资源。4.5.2、物理设备清单：设备名称设备型号telnet登录防火墙DCFW-1800S-S10.106.201.254 10011路由器DCR-261110.106.201.254 10001路由器DCR-170210.106.201.254 10004路由器DCR-170210.106.201.254 10005路由器DCR-170210.106.201.254 10006三层路由交换机DCRS-5526S10.106.

15、201.254 10007三层路由交换机DCRS-5526S10.106.201.254 10008二层交换机DCS-3926S10.106.201.254 10009二层交换机DCS-3926S10.106.201.254 100104.6、IP设计4.6.1、IP地址分配端口IP子网掩码路由器40001S0/2192.168.254.49255.255.255.252S0/3192.168.254.57255.255.255.252S1/0192.168.254.53255.255.255.252路由器40004S0/2192.168.254.50255.255.255.252F0/0.1

16、192.168.24.1255.255.255.0F0/0.2192.168.25.1255.255.255.0路由器40005S0/2192.168.254.58255.255.255.252F0/0192.168.28.2255.255.255.0路由器40006S0/2192.168.254.54255.255.255.252F0/0192.168.26.2255.255.255.0防火墙WAN（if0）172.1.1.1255.255.0.0LAN（if1）192.168.254.62255.255.255.252DMA（if2）10.106.207.14255.0.0.0交换机400

17、09VlanPCIP1000192.168.24.142001192.168.25.15交换机400073002192.168.26.14003192.168.27.1交换机400085004192.168.28.16005192.168.29.1交换机400105006192.168.28.36007192.168.29.34.6.2、IP汇聚192.168.254.48/30：192.168.254.49和192.168.254.50192.168.254.52/30：192.168.254.53和192.168.254.54192.168.254.56/30：192.168.254.57

18、和192.168.254.58192.168.254.60/30：192.168.254.61和192.168.254.62192.168.24.0/23：192.168.24.0和192.168.25.0192.168.26.0/23：192.168.26.0和192.168.27.0192.168.28.0/23：192.168.28.0和192.168.29.04.7、路由设计在路由器上使用OSPF动态路由协议，宣告直连网段，以及配置静态路由到达三层交换机上的非直连网段和配置到外网和校园网的静态路由。路由表如各设备配置代码。防火墙上路由使用静态路由配置方法。五、设备安装调试含代码5.1、

19、防火墙的具体配置步骤 1. 将防火墙的Console端口用一条防火墙自带的串行电缆连接到电脑的一个空余串口上。 2. 打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。 3. 运行电脑Windows系统telnet到防火墙上程序。 4. 当防火墙进入系统后输入用户名和密码，进入的是防火墙特权用户模式。可以进行进一步的配置了。 5. 配置防火墙LAN口地址（主路由器与防火墙LAN接口在同一网段）：#ifconfig if1 192.168.254.62/30#apply #save6、配置管理主机#adminhost add 192.168.24.15#apply #save7、

20、防火墙与管理主机ping测试连通8、打开PC机的IE浏览器，在URL栏中写入：https:/192.168.254.62:1211,得到防火墙界面，可在图形化界面对防火墙进行配置，如下：a) 配置到达内网的路由1. Route add 192.168.0.0/16 192.168.254.61b) 设置网络对象1. 内网：pc_trust:192.168.0.0/162. 外网：pc_untrust:172.1.0.0/163. DMZ:dmz:10.0.0.0/8c) 配置策略1. pc_trustpc_untrust:any2. pc_trustdmz:any3. pc_untrustpc

21、_trust:ping(用于回应测试)4. dmzpc_trust:ping(用于回应测试)d) 配置NAT动态NAT的配置192.168.0.0/16 172.1.0.0/16 172.1.1.3-172.1.1.255 if0192.168.0.0/16 10.0.0.0/8 10.106.207.16-10.106.207.26 if2 9、防火墙命令行界面配置：hostname Digitalchinaifconfig media if0 autoifconfig if0 172.1.1.1/16ifconfig service if0 pingifconfig media if1 a

22、utoifconfig if1 192.168.254.62/30ifconfig service if1 pingifconfig media if2 autoifconfig if2 10.106.207.14/8ifconfig service if2 pingifconfig media if3 autoifconfig if3 0.0.0.0/0ifconfig keepalive-interval 0lcdpasswdp bKvPXE0wH/olOadminhost add 192.168.0.1adminhost add 10.0.0.1adminhost add 192.168

23、.24.15adminhost add 192.168.26.15adminhost add 192.168.29.15route add default 192.168.254.61route add 192.168.24.0/24 192.168.254.61route add 192.168.0.0/16 192.168.254.61routex add 10.0.0.0/8 192.168.0.0/16 10.106.207.14ddns domain ddns server ddns authp zone attach untrust if0zone attach trust if1

24、zone attach dmz if2sntp period 1800sntp timeout 10sntp retries 3sntp retryinterval 10vpn pptp disable vpn ipsecoption set 500 86400 43200 5 120 off 0netobj addstd pc1_turst if1 192.168.0.0/16 内部安全主机netobj addstd pc0_unturst if0 172.1.0.0/16 外部不安全主机netobj addstd dmz if2 10.0.0.0/8 次安全网络nat addp 192.1

25、68.0.0/16 172.1.0.0/16 172.1.1.3-172.1.1.255 if0nat addp 192.168.0.0/16 10.0.0.0/8 10.106.207.16-10.106.207.26 if25.2、路由器的配置代码a) 路由器40001是在核心层，配置了serial口IP及速率和以太口IP，使用OSPF宣告直连网段，配置静态路由外网和到三层交换机的非直连网段，配置ACL使VLAN300和VLAN500中的用户在上班时间（9:0017:00）不允许访问 FTP服务器和 WWW服务器，但可以访问 EMail 服务器。r40001#show run!versio

26、n 1.3.3Cservice timestamps log dateservice timestamps debug dateno service password-encryption!hostname r40001!interface FastEthernet0/0 ip address 192.168.254.61 255.255.255.252 no ip directed-broadcast!interface FastEthernet0/1 no ip address no ip directed-broadcast!interface Serial0/2 ip address

27、192.168.254.49 255.255.255.252 no ip directed-broadcast physical-layer speed 64000!interface Serial0/3 ip address 192.168.254.57 255.255.255.252 no ip directed-broadcast ip access-group aaa in physical-layer speed 64000!interface Serial1/0 ip address 192.168.254.53 255.255.255.252 no ip directed-bro

28、adcast ip access-group aaa in physical-layer speed 64000!interface Async0/0 no ip address no ip directed-broadcast!router ospf 1 network 192.168.254.60 255.255.255.252 area 0 network 192.168.254.56 255.255.255.252 area 0 network 192.168.254.52 255.255.255.252 area 0 network 192.168.254.48 255.255.25

29、5.252 area 0 area 0 range 192.168.24.0 255.255.254.0 area 0 range 192.168.254.48 255.255.255.240!ip route 10.0.0.0 255.0.0.0 192.168.254.62ip route 172.1.0.0 255.255.0.0 192.168.254.62ip route 192.168.27.0 255.255.255.0 192.168.254.54ip route 192.168.29.0 255.255.255.0 192.168.254.58!ip access-list

30、extended aaa deny tcp 192.168.26.0 255.255.255.0 192.168.24.0 255.255.255.0 eq www time-range on_work deny tcp 192.168.28.0 255.255.255.0 192.168.24.0 255.255.255.0 eq ftp time-range on_work deny tcp 192.168.28.0 255.255.255.0 192.168.24.0 255.255.255.0 eq www time-range on_work permit tcp 192.168.2

31、6.0 255.255.255.0 192.168.24.0 255.255.255.0 eq smtp time-range on_work permit tcp 192.168.28.0 255.255.255.0 192.168.24.0 255.255.255.0 eq smtp time-range on_work deny tcp 192.168.26.0 255.255.255.0 192.168.24.0 255.255.255.0 eq ftp time-range on_work permit ip any any!ip http set-wan-count 1!time-

32、range on_work periodic weekdays 09:00 to17:00! b) 路由器40004是在汇聚层，配置了serial口IP及速率和以太口IP，使用OSPF宣告直连网段，配置静态路由外网和到三层交换机的非直连网段，使用单臂路由配置二层交换机VLAN的网关，配置ACL使VLAN100和VLAN200不能互相访问。r40004#show runBuilding configuration.Current configuration:!version 1.3.3Cservice timestamps log dateservice timestamps debug dat

33、eno service password-encryption!hostname r40004!interface FastEthernet0/0 no ip address no ip directed-broadcast!interface FastEthernet0/0.1 ip address 192.168.24.1 255.255.255.0 no ip directed-broadcast ip access-group 101 in encapsulation dot1Q 100 delay 1!interface FastEthernet0/0.2 ip address 19

34、2.168.25.1 255.255.255.0 no ip directed-broadcast ip access-group 102 in encapsulation dot1Q 200 delay 1!interface Ethernet0/1 no ip addressno ip directed-broadcast duplex half!interface Serial0/2 ip address 192.168.254.50 255.255.255.252 no ip directed-broadcast physical-layer speed 64000!router os

35、pf 1 network 192.168.254.48 255.255.255.252 area 0 network 192.168.24.0 255.255.255.0 area 0 network 192.168.25.0 255.255.255.0 area 0!ip route 10.0.0.0 255.0.0.0 192.168.254.49ip route 172.1.0.0 255.255.0.0 192.168.254.49ip route 192.168.27.0 255.255.255.0 192.168.254.49ip route 192.168.29.0 255.25

36、5.255.0 192.168.254.49!ip access-list extended 101 deny ip 192.168.24.0 255.255.255.0 192.168.25.0 255.255.255.0 permit ip any any!ip access-list extended 102 deny ip 192.168.25.0 255.255.255.0 192.168.24.0 255.255.255.0 permit ip any any!ip http set-wan-count 1! c) 路由器40005是在汇聚层，配置了serial口IP及速率和以太口

37、IP，使用OSPF宣告直连网段，配置静态路由外网和到三层交换机的非直连网段，配置ACL使Vlan500可以访问内网所有VLAN，Vlan600既可以访问内网，又可以访问Internet。r40005#show runBuilding configuration.Current configuration:!version 1.3.3Cservice timestamps log dateservice timestamps debug dateno service password-encryption!hostname r40005!interface FastEthernet0/0 ip

38、address 192.168.28.2 255.255.255.0 no ip directed-broadcast ip access-group 104 in!interface Ethernet0/1 no ip address no ip directed-broadcast duplex half!interface Serial0/2 ip address 192.168.254.58 255.255.255.252 no ip directed-broadcast physical-layer speed 64000!router ospf 1 network 192.168.

39、254.56 255.255.255.252 area 0 network 192.168.28.0 255.255.255.0 area 0!ip route 10.0.0.0 255.0.0.0 192.168.254.57ip route 172.1.0.0 255.255.0.0 192.168.254.57ip route 192.168.27.0 255.255.255.0 192.168.254.57ip route 192.168.29.0 255.255.255.0 192.168.28.1!ip access-list extended 104 permit ip 192.

40、168.28.0 255.255.255.0 192.168.0.0 255.255.0.0 permit ip 192.168.29.0 255.255.255.0 any deny ip any any!ip http set-wan-count 1! d) 路由器40006是在汇聚层，配置了serial口IP及速率和以太口IP，使用OSPF宣告直连网段，配置静态路由外网和到三层交换机的非直连网段，配置ACL使Vlan 300和Vlan 400之间能够通信，均只能通过路由器访问校园网（10.X.X.X），而不能访问Internet。r40006#show runBuilding confi

41、guration.Current configuration:!version 1.3.3Cservice timestamps log dateservice timestamps debug dateno service password-encryption!hostname r40006!interface FastEthernet0/0 ip address 192.168.26.2 255.255.255.0 no ip directed-broadcast ip access-group 103 in!interface Ethernet0/1 no ip address no

42、ip directed-broadcast duplex half!interface Serial0/2 ip address 192.168.254.54 255.255.255.252 no ip directed-broadcast!router ospf 1 network 192.168.254.52 255.255.255.252 area 0 network 192.168.26.0 255.255.255.0 area 0!ip route 10.0.0.0 255.0.0.0 192.168.254.53ip route 192.168.27.0 255.255.255.0

43、 192.168.26.1ip route 192.168.29.0 255.255.255.0 192.168.254.53!ip access-list extended 103 permit ip any 10.0.0.0 255.0.0.0 permit ip any 192.168.0.0 255.255.0.0 deny ip any any!ip http set-wan-count 1 5.3、交换机的配置代码a) 三层交换机40007是接入层，划分了VLAN300和VLAN400，分别配置了管理VLAN300和400的IP，配置了一条通过网关192.168.26.2的默认路由

44、。s40007#show runCurrent configuration: hostname s40007!Vlan 1 vlan 1!Vlan 300 vlan 300!Vlan 400 vlan 400!Interface Ethernet0/0/1 switchport access vlan 300!Interface Ethernet0/0/2 switchport access vlan 300!Interface Ethernet0/0/3 switchport access vlan 300!Interface Ethernet0/0/4 switchport access

45、vlan 300!Interface Ethernet0/0/5 switchport access vlan 300!Interface Ethernet0/0/6 switchport access vlan 300!Interface Ethernet0/0/7 switchport access vlan 300!Interface Ethernet0/0/8 switchport access vlan 300!Interface Ethernet0/0/9 switchport access vlan 400！Interface Ethernet0/0/10 switchport access vlan

展开阅读全文