毕业设计（论文）-高校网络拓扑设计与实现.doc

目录引论11 校园网路由器配置及说明21.1 网络设备IP编址21.2 路由器基本配置31.3 建立路由表41.4 路由器NAT配置42 校园网络交换模块设计42.1 接入层交换服务的实现接入层交换机配置42.1.1 接入层交换机基本配置42.1.2 VLAN划分及配置52.1.3 交换机端口安全52.2 汇聚层交换服务的实现配置汇聚层交换机52.2.1 汇聚层交换机配置52.2.2 交换网络的优化设计62.2.3 管理汇聚层交换机62.3 核心层交换服务的实现配置核心层交换机62.3.1 核心层交换机配置62.3.2 核心层交换机DHCP服务62.3.3 核心层的路由功能62.3.4 核心层交换机管理VLAN配置73 校园网络的安全73.1 访问控制列表（ACL）73.1.1 访问控制列表的构思73.1.2 路由器ACL配置及应用123.1.3 三层交换机ACL配置及应用133.2 防火墙133.2.1 防火墙的基本配置133.2.2 配置fixup协议143.2.3 设置PIX入侵检测144 校园网络的管理与维护144.1 路由器及三层交换机安全管理配置154.2 二层交换机管理配置154.3 防火墙管理配置155 网络连通性测试165.1 Ping命令测试165.2 Tracert命令测试175.3 Web访问测试185.4 远程登录测试19总结20致谢20参考文献21校园网络拓扑的设计与实现摘要本设计简要地运用了校园网络拓扑设计中涉及到的规划设计方法、网络性能、网络技术、应用分析、网络安全等技术，为校园网络整体的规划、设计与升级改造等方面在技术及应用上提供参考，以使在建设和规划中的校园网络具备较高的整体性能。通过对校园网络的整体分析，从性能和价值上满足整个校园网络的需求，然后对校园网络进行划分vlan、设置管理域、生成树协议、地址转换NAT技术、访问控制列表ACL及接入安全等配置， 不断地优化校园的网络，从而达到校园快速、安全地访问Internet。关键字路由器；防火墙；交换机；服务器；Design and implementation of campus network topologyAbstractBriefly the use of the campus network planning and design related to network technology, planning and design methods, network performance, application analysis, network security technology to provide a reference for the campus network planning, design andupgrading of technology and applicationsto the campus network with a higher overall performance in the construction and planning. Meet the needs of the campus networkthrough the analysis of the campus network, performance and value, then divided vlan setthe management domain, spanning tree protocol, NAT technology, access control list and access security configuration on a campus park network, and continuously to optimize the campus network, so as to achieve the campus fast, secure access to the Internet. KeywordsRouter ；Switch； Firewall；Server； 商丘师范学院2014届本科毕业论文(设计)引论随着信息时代的发展，科技改变着世界。我们每个人的生活，工作几乎都与计算机密切相关。在发展速度越来越快的计算机软硬件背后，网络就像中枢神经一样把我们联系在一起。也正是因为此，使互联网为主要标志的网络技术构成了我们现代文化的重要组成部分，联系数亿人的互联网将把我们带入一个新的科技时代。随着社会经济和科学技术的发展，校园网络构建已成为学校的基础建设之一，更成为衡量一个学校教育现代化、信息化的重要标志。当前，大部分有条件的学校已完成了校园网络硬件工程建设。然而，人们多年来都对校园网的总体认识不够全面，有的甚至存在很大的误区。譬如：有人认为网络建设越高档越好，从而在校园网络建设中盲目高投入，还有对校园网络构建缺乏综合规划及开发应用，认为组建了校园网络，连接了互联网，就实现了教学和办公的自动化，信息化，而缺乏对校园网络整体的综合管理、技术人员和相关教师的应用技术培训，缺乏对教学资源的开发与积累等等。这些因素，都极大地阻碍了校园网络在学校管理、教育教学中所应发挥的实际效益。总体来讲，校园网是为学校师生，提供一个教学、科研与综合信息服务为一体的多媒体网络。首先，校园网应为教师教学、科研提供先进的现代化，信息化的教学环境。从而这就要求：校园网络是一个宽带 、是一个具有专业性很强和交互功能的局域网络。如果一所学校有多个专业(或多个学院)，也可以形成多个局域网络，并通过有线或无线方式连接起来。其次，校园网应具有总务管理、教务和行政等功能。Internet本网络综合方案设计主要是针对校园网络设计的。该校园网络通过路由器使用两根网线与外界联系，一根是100M连接到Internet；一根是10M连到教育网。其主要分8个部分，即电教楼、办公楼、教学楼、图书馆、实训机房、学生公寓、教师公寓、网络管理员办公室。该校园网络的总体拓扑图如下图所示教育网服务器区办公楼B办公楼A实训机房网络管理教室公寓学生宿舍教学楼图书馆 Internet在上面的拓扑图中，展示了每个建筑物内部的网络拓扑，并给出了信息中心电教楼内部网络设备的拓扑结构。下面我将给出该校园网络具体的网络组成结构与拓扑结构。本校园网络设计方案主要由以下几个模块组成:广域网接入模块、路由模块、交换模块、无线模块以及服务器模块，整体网络拓扑结构如下图所示。 教育网 无线：VLAN15网络管理：VLAN80实训机房：VLAN20办公楼：VLAN61 校园网路由器配置及说明该校园路由器连接四个网络，其中两个内网，两个外网。外网主要有两个，一个是ISP,一个是教育网；内网也分为两个，一个是/17网段，属于教师办公网络，一个是/17网段，连接到图书馆、实训机房、教学楼。1.1 网络设备IP编址表1-1 路由器及三层交换机的IP划分网络设备接口IP地址子网掩码网关Network_RTS3/080255.255.240S4/051Fa0/052Fa1/0.554Fa1/0.654Fa1/0.754Fa2/052SW1Fa0/52Fa0/854SW2Fa0/52表1-2 服务器IP规划服务器IP地址子网掩码默认网关DNSWebServer90548Email_Server91548InsideServer548TFTPServer5481.2 路由器基本配置Router#conf tRouter(config)#host Network_RTNetwork_RT(config)#user Edu secret same /设置认证用户及密码Network_RT(config)#enable secret Cl5o0 /设置特权加密口令Network_RT(config)#banner motd & /配置当日消息Enter TEXT message. End with the character &.-Without Authorization ,Access Forbidden!-&Network_RT(config)#no ip domain-lookup /关闭域名解析Network_RT(config)#int fa 0/0 /进入接口模式Network_RT(config-if)#ip address 52 /配置接口IP地址Network_RT(config-if)#no shut /开启端口Network_RT(config)#int fa 1/0.1 /建立路由器子接口Network_RT(config-subif)#en dot 1 /封装802.1Q协议Network_RT(config-subif)#ip add 54 Network_RT(config-subif)#no shutNetwork_RT(config)#int fa 1/0.5Network_RT(config-subif)#en dot 5Network_RT(config-subif)#ip add 54 Network_RT(config-subif)#ip nat insideNetwork_RT(config-subif)#no shutNetwork_RT(config)#int fa 1/0.6Network_RT(config-subif)#en dot 6Network_RT(config-subif)#ip add 54 Network_RT(config-subif)#ip nat insideNetwork_RT(config-subif)#no shutNetwork_RT(config)#int fa 1/0.7Network_RT(config-subif)#en dot 7Network_RT(config-subif)#ip add 54 Network_RT(config-subif)#ip nat insideNetwork_RT(config-subif)#no shutNetwork_RT(config)#int fa 1/0.99Network_RT(config-subif)#en dot 99Network_RT(config-subif)#ip add Network_RT(config-subif)#ip nat insideNetwork_RT(config-subif)#no shutNetwork_RT(config)#int f 2/0Network_RT(config-if)#ip add 52Network_RT(config-subif)#ip nat insideNetwork_RT(config-if)#no shutNetwork_RT(config)#int s 3/0Network_RT(config-if)#ip address 80 Network_RT(config-if)#ip ospf authentication message-digestNetwork_RT(config-if)#ip ospf message-digest-key 1 md5 cisco /采用MD5加密Network_RT(config-subif)#ip nat outsideNetwork_RT(config-if)#no shutNetwork_RT(config)#int s 4/0Network_RT(config-if)#encapsulation ppp /封装PPP协议Network_RT(config-if)#ppp authentication chap /使用Chap身份验证 Network_RT(config-if)#ip address 51 Network_RT(config-subif)#ip nat outsideNetwork_RT(config-if)#no shutNetwork_RT(config-if)#exitNetwork_RT(config)#service password-encryption /启用加密服务Network_RT(config)#line con 0Network_RT(config-line)#pass c1A5s /设置控制台密码Network_RT(config-line)#exec 5 30 /设置虚拟终端超时时间Network_RT(config-line)#loginNetwork_RT(config)#line vty 0 4Network_RT(config-line)#pass o4Sec158% /设置远程登录密码Network_RT(config-line)#loginNetwork_RT(config-line)#exitNetwork_RT(config)#logging synchronous /启用消息同步1.3 建立路由表Network_RT(config)#router eigrp 1Network_RT(config-router)#network 55Network_RT(config-router)#no auto-summary /关闭自动汇总Network_RT(config)#router ospf 1Network_RT(config-router)#network 55 area 0Network_RT(config-router)#area 0 authentication message-digestNetwork_RT(config)#router ripNetwork_RT(config-router)#v 2Network_RT(config-router)#network Network_RT(config-router)#no auto-summary1.4 路由器NAT配置Network_RT(config)#ip nat inside source static 90 90 /配置静态NATNetwork_RT(config)#ip nat inside source static 91 91Network_RT(config)#access-list 2 permit any /设置NAT转换范围Network_RT(config)#ip nat pool NAT 82 85 /设置NAT转换地址池Network_RT(config)#ip nat inside source list 2 pool NAT overload /采用NAT过载2 校园网络交换模块设计2.1 接入层交换服务的实现接入层交换机配置2.1.1 接入层交换机基本配置Switch(config)#host S10S10(config)#enable secret Cl5o0 S10(config)#banner motd & Enter TEXT message. End with the character &.-Without Authorization ,Access Forbidden!-&S10(config)#no ip domain-lookup S10(config)#service password-encryption S10(config)#line con 0S10(config-line)#pass c1A5s S10(config-line)#exec 5 30 S10(config-line)#loginS10(config)#line vty 0 4S10(config-line)#pass o4Sec158% S10(config-line)#loginS10(config-line)#exit2.1.2 VLAN划分及配置当一个网络比较大的时候，划分VLAN是非常明智的，也是至关重要的。因为VLAN具有安全、防范广播风暴、简化管理等特点，是一种能够极大改善网络性能的技术。该校园网络的VLAN划分及IP规划如下表1-1所示。表2-1 VLAN划分及IP编制方案VLAN号VLAN名称IP网段默认网关说明VLAN5WiFi/2454WiFiVLAN6OfficeA/2454办公楼A座VLAN7OfficeB/2454办公楼B座VLAN10Library/2454图书馆VLAN15Wireless/2454无线VLAN20Computer/2454实训机房VLAN30Building/2454教学楼VLAN40Dorm/2454学生宿舍VLAN50Flat/2454教师公寓VLAN80Management/2454网络管理Switch(config)#host S1S1(config)#int r fa 0/1-4 /进入接口模式S1(config-if-range)#sw m t /设置VLAN模式为TrunkS1(config)#int fa 0/8 S1(config-if)#sw m a /设置VLAN模式为接入模式S1(config-if)#sw a v 5 /设置允许通过的VLAN2.1.3 交换机端口安全Switch(config)#host OfficeAOfficeA(config)#int fa 0/5OfficeA(config-if)#sw m aOfficeA(config-if)#sw a v 6OfficeA(config-if)#switch port-security /启用端口安全OfficeA(config-if)#switch port max 1 /允许最多一个MAC地址通过OfficeA(config-if)#sw port mac sticky /启用地址绑定OfficeA(config-if)#sw port v shut /设置违规时关闭端口OfficeA(config-if)#span portfast /启用快速端口2.2 汇聚层交换服务的实现配置汇聚层交换机2.2.1 汇聚层交换机配置Switch(config)#host SW1SW1(config)#enable secret Cl5o0 SW1(config)#banner motd & Enter TEXT message. End with the character &.-Without Authorization ,Access Forbidden!-&SW1(config)#no ip domain-lookup SW1(config)#service password-encryption SW1(config)#line con 0SW1(config-line)#pass c1A5s SW1(config-line)#exec 5 30 SW1(config-line)#loginSW1(config)#line vty 0 4SW1(config-line)#pass o4Sec158% SW1(config-line)#loginSW1(config-line)#exit2.2.2 交换网络的优化设计SW1(config)#vtp mode server /设置VTP模式为服务器模式SW1(config)#vtp domain /设置VTP域名SW1(config)#vtp pass cisco /设置VTP密码SW1(config)#vlan 15 /建立vlanSW1(config-vlan)#name Wireless /命名VLANSW1(config)#span vlan 10,20,30 r p /设置根交换机SW1(config)#int r fa 0/23-24SW1(config-if-range)#port-group 1 /将端口23、24加入聚合端口12.2.3 管理汇聚层交换机每台支持VLAN的交换机都有默认的管理VLAN，即VLAN1，但使用默认的管理VLAN1并不安全，这里我使用的是VLAN99。管理VLAN的配置如下：S80(config)#int vlan 99S80(config-if)#ip add 0 /设置管理VLAN的IP地址S80(config-if)#no shutS80(config)#ip de /设置管理VLAN的默认网关2.3 核心层交换服务的实现配置核心层交换机2.3.1 核心层交换机配置Switch(config)#host SW2SW2(config)#enable secret Cl5o0 SW2(config)#banner motd & Enter TEXT message. End with the character &.-Without Authorization ,Access Forbidden!-&SW2(config)#no ip domain-lookup SW2(config)#int fa 0/1SW2(config-if)#no switchport /将端口设置为三层模式SW2(config-if)#ip add 52SW2(config-if)#no shutSW2(config)#service password-encryption SW2(config)#line con 0SW2(config-line)#pass c1A5s SW2(config-line)#exec 5 30 SW2(config-line)#loginSW2(config)#line vty 0 4SW2(config-line)#pass o4Sec158% SW2(config-line)#loginSW2(config-line)#exit2.3.2 核心层交换机DHCP服务核心层交换机使用三层交换机，该交换机为DHCP服务器，为各VLAN动态分配IP地址、默认网关以及DNS地址。三层交换机的DHCP配置如下：SW2(config)#ip dhcp ex 54 /添加排除地址SW2(config)#ip dhcp pool VLAN10 /创建DHCP地址池 SW2(dhcp-config)#net /地址池IPSW2(dhcp-config)#default-router 54 /设置默认网关地址SW2(dhcp-config)#dns-server 8 /设置DNS服务器IP地址2.3.3 核心层的路由功能SW2(config)#ip routing /开启三层交换机的路由功能SW2(config)#ip route /建立默认静态路由2.3.4 核心层交换机管理VLAN配置SW2(config)#int vlan 98SW2(config-if)#ip add 3 校园网络的安全3.1 访问控制列表（ACL）3.1.1 访问控制列表的构思网络管理组可以访问所有服务器，可以Telnet内网路由器、所有服务器和交换机，效果如图3-1、图3-2所示;图3-1 Admin可以访问外部服务图3-2 Admin可以Telnet远程管理网络管理组可以使用公网IP和私有IP访问WebServer、E-mail-Server，其它组只能使用公网IP访问，效果如图3-3、图3-4所示；图3-3 Admin可以用公网IP和私有IP访问WebServer图3-4 PC4用户只能用公有IP访问WebServer实训机房、教学楼、办公楼A、办公楼B用户可以访问除TFTPServer之外的所有服务器，效果如图3-5、图3-6所示;图5-5 用户PC2可以访问外部服务图3-6 用户PC2不能访问TFTPServer其它组可以访问外部服务器，但不可以访问TFTPServer、InsideServer，效果如图5-7、图5-8所示;图3-7 手机用户可以访问学校图3-8 用户PC1不能访问InsideServer服务器3.1.2 路由器ACL配置及应用Network(config)#IP access-list Extended Deny_AccessNetwork_RT(config-ext-nacl)#deny tcp any host 90 eq wwwNetwork_RT(config-ext-nacl)#deny tcp any host 91 eq wwwNetwork_RT(config-ext-nacl)#deny tcp any host 90 eq telnetNetwork_RT(config-ext-nacl)#deny tcp any host 91 eq telnetNetwork_RT(config-ext-nacl)#permit ip any any Network(config)#IP access-list Extended Permit_AccessNetwork_RT(config-ext-nacl)#permit tcp 55 host 90 eq wwwNetwork_RT(config-ext-nacl)#permit tcp 55 host 91 eq wwwNetwork_RT(config-ext-nacl)#permit tcp 55 host 90 eq telnetNetwork_RT(config-ext-nacl)#permit tcp 55 host 91 eq telnetNetwork_RT(config-ext-nacl)#deny tcp any host 90 eq www Network_RT(config-ext-nacl)#deny tcp any host 91 eq wwwNetwork_RT(config-ext-nacl)#deny tcp any host 90 eq telnetNetwork_RT(config-ext-nacl)#deny tcp any host 91 eq telnetNetwork_RT(config-ext-nacl)#permit ip any anyNetwork(config)#int fa 0/0Network_RT(config-if)#ip access-group Permit_Access inNetwork(config)#int fa 1/0.1Network_RT(config-if)#ip access-group Deny_Access inNetwork(config)#int fa 1/0.5Network_RT(config-if)#ip access-group Deny_Access inNetwork(config)#int fa 1/0.6Network_RT(config-if)#ip access-group Deny_Access inNetwork(config)#int fa 1/0.7Network_RT(config-if)#ip access-group Deny_Access inNetwork(config)#int fa 1/0.99Network_RT(config-if)#ip access-group Deny_Access inNetwork(config)#int fa 2/0Network_RT(config-if)#ip access-group Permit_Access in3.1.3 三层交换机ACL配置及应用SW1(config)#IP access-list Extended ACLSW1(config-ext-nacl)#permit tcp 55 host eq wwwSW1(config-ext-nacl)#permit tcp 55 host eq wwwSW1(config-ext-nacl)#permit tcp 55 host eq wwwSW1(config-ext-nacl)#permit tcp 55 host eq wwwSW1(config-ext-nacl)#permit tcp 55 host eq wwwSW1(config-ext-nacl)#permit tcp 55 host eq wwwSW1(config-ext-nacl)#permit tcp 55 host eq telnetSW1(config-ext-nacl)#permit tcp 55 host eq telnetSW1(config-ext-nacl)#permit tcp 55 host 9 eq telnetSW1(config-ext-nacl)#permit ip 55 host SW1(config-ext-nacl)#permit ip 55 host SW1(config-ext-nacl)#permit ip 55 host SW1(config-ext-nacl)#permit ip host SW1(config-ext-nacl)#permit icmp any anySW1(config)#int fa0/8SW1(config-if)#ip access-group ACL outSW1(config-if)#exit3.2 防火墙3.2.1 防火墙的基本配置Pix525(config)#username Pix525 secret o4Sec158% /建立用户和密码Pix525(config)#enable secret c1A5sPix525(config)#nameif ethernet0 outside security 0 /设置外部安全级别为0Pix525(config)#nameif ethernet1 inside security 100 /设置内部安全级别为100Pix525(config)#nameif ethernet2 dmz security50 /设置DMZ区安全级别为50Pix525(config)#int ethernet0 autoPix525(config)#int ethernet1 100fullPix525(config)#int ethernet2 autoPix525(config)#ip address outside 80 Pix525(config)#ip address inside 52Pix525(config)#ip address dmz 54 Pix525(config)#nat (inside) 1 0 0Pix525(config)#global (outside) 1 82-85Pix525(config)#route outside 0 0 80Pix525(config)#route inside Pix525(config)#route inside 54Pix525(config)#static (dmz,outside) 90 90 Pix525(config)#static (dmz,outside) 91 91Pix525(config)#conduit permit tcp host 90 eq www anyPix525(config)#conduit permit tcp host 91 eq 25 anyPix525(config)#conduit permit tcp host 91 eq 110 any3.2.2 配置fixup协议Pix525(config)#fixup protocol http 80 /启用HTTP服务，并指定端口号为80Pix525(config)#fixup protocol https 443 /启用HTTPS服务，并指定端口号为443Pix525(config)#fixup procotol smtp 25 /启用SMTP服务，并指定端口号为25Pix525(config)#no fixup protocol snmp /禁用SNMP协议设置ACLPix525(config)#access-list 1 permit 55Pix525(config)#access-group 1 in interface inside3.2.3 设置PIX入侵检测当数据包有攻击，报告性特征码时，PIX防火墙将会采取报警动作。Pix525(c