校园网络规划之交换机路由器配置方案Word下载.docx

校园网络规划之交换机路由器配置方案Word下载.docx

《校园网络规划之交换机路由器配置方案Word下载.docx》由会员分享，可在线阅读，更多相关《校园网络规划之交换机路由器配置方案Word下载.docx（9页珍藏版）》请在冰豆网上搜索。

4）.每个子网现在规划多少个信息点。

5）.每个子网将来会增加多少个信息点。

1.1办公行政楼

将连到教师办公室的交换机端口划分为VLAN2，将连到行政办公室的交换机端口划分为VLAN3，每台计算机手工设置静态IP地址，DNS为202.96.128.166、202.96.128.86,网关192.168.1.1，子网掩码为255.255.255.0，在网络中心的路由器上设置动态NAT共享上网，公网的IP段为200.1.1.1-200.1.1.5。

行政办公室IP范围为:

192.168.1.2－192.168.1.120

教师办公室IP范围为:

192.168.1.120－192.168.1.254

1.2教学楼

将VLAN4－VLAN67分别划分给每一间教室，每台计算机手工设置静态IP地址，DNS为202.96.128.166202.96.18.86,网关192.168.2.1,子网掩码为255.255.255.0，在网络中心的路由器上设置动态NAT共享上网，公网的IP段为200.1.1.6-200.1.1.10

1楼的IP范围为192.168.2.1－192.168.2.16

2楼的IP范围为192.168.2.17－192.168.2.32

3楼的IP范围为192.168.2.33－192.168.2.48

4楼的IP范围为192.168.2.49－192.168.2.64

计算机室1－6的IP划分如下表：

计算机室

服务器IP

教师机

学生机

1

10.1.1.1/24

192.168.2.59/24

10.1.1.52/24

10.1.1.2－10.1.1.51/24

2

10.1.2.1/24

192.168.2.60/24

10.1.2.52/24

10.1.2.2－10.1.1.51/24

3

10.1.3.1/24

192.168.2.61/24

10.1.3.52/24

10.1.3.2－10.1.1.51/24

4

10.1.4.1/24

192.168.2.62/24

10.1.4.52/24

10.1.4.2－10.1.1.51/24

5

10.1.5.1/24

192.168.2.63/24

10.1.5.52/24

10.1.5.2－10.1.1.51/24

6

10.1.6.1/24

192.168.2.64/24

10.1.6.52/24

10.1.6.2－10.1.1.51/24

教学楼交换机拓扑图

1.3学生宿舍区

将VLAN68到VLAN73分别划分给学生宿舍楼A的1－6栋，将VLAN74到VLAN79分别加划分给学生宿舍楼B的1－6栋，将VLAN80到VLAN82分别划分给学生宿舍楼C的1—3栋，将VLAN83到VLAN86分别划分给学生宿舍楼D的1－4栋，其IP地址由网络中心的将路由器设为DHCP服务器，设其IP段为172.18.2.0－172.118.255.255子网掩码为255.255.240.0自动分配给学生宿舍区。

在网络中心的路由器上设置动态NAT上网，公网的IP段为200.1.1.11-200.1.1.20。

1.4图书馆

将连到电子阅览室的交换机端口划分为VLAN87，每台计算机手工设置静态IP地址，DNS为202.96.128.166202.96.18.86,网关192.168.3.1,子网掩码为255.255.255.0。

在网络中心的路由器上设置动态NAT共享上网，在网络中心的路由器上设置动态NAT共享上网，以及设置静态NAT，绑定知网公网地址。

公网的IP段为200.1.1.21-200.1.1.25。

电子阅览室的IP为192.168.3.3-192.168.3.63

将VLAN88－VLAN91分别划分给FTP、校内论坛和教学网站、学校官方网站，手动设置IP，在网络中心的路由器上设置静态NAT，绑定学校官方网站公网地址。

二、交换机配置与调试

交换机的配置调试主要包括网络vlan的划分、不同vlan之间实现通信、vtp的实现、stp的实现、端口汇聚等。

2.1VLAN的规划

对网络进行vlan划分能防止网络风暴。

划分vlan的方法有基于端口划分、基于mac地址划分、基于网络层划分和根据ip组播划分。

根据各种划分vlan方法优缺点的综合考虑，决定办公行政楼、教学楼、图书馆、学生宿舍采用基于网络层划分的方法。

根据信息点的实际情况，具体vlan划分如下：

表1vlan详细规划表

楼层

VLAN划分

划分理由

网络中心

VLAN1

网络中心管理办公室

办公行政楼

VLAN2—VLAN3

划分为行政办公和教学办公

教学楼

VLAN4—VLAN67

分别划分给每一间机房（小型局域网）

学生宿舍

VLAN68—VLAN86

A、B区各6栋楼、C区3栋楼、D区4栋楼

图书馆

VLAN87—VLAN91

分别划分给电子阅览室、FTP、网站、论坛

2.2trunk的实现

由于行政楼有领导办公室，领导需要了解不同部门的运作情况，所以在行政楼的接入层交换机上和核心层的交换机启动trunk接口，以便实现访问。

2.3vtp的实现

学生公寓楼的上网人群较多，需要划分为很多不同vlan，但如此庞大的vlan数目，对于管理者来说是相当的痛苦，因此需要配置vtp。

将各个楼层的汇聚交换机配置为vtp的服务器模式，各个接入层交换机配置为客户端模式，并启动动态修剪功能，减少中继链路上不必要的信息量。

2.4stp的实现

实训楼通过双交换机作为核心层，为了防止发生环路，需要在2个交换机上配置stp，根据ID号或者MAC地址寻找根端口。

2.5端口汇聚

学生公寓上网人群集中，为了解决网络瓶颈，在核心层交换机上配置端口聚合，将端口4、5、6汇聚为一个端口，实现高速转发数据功能。

2.6ACL的配置

不同的人群对服务器群有不同访问需求，为了满足这种需求，需要在交换机上配置不同的访问控制列表，具体的配置列表如下：

表2交换机ACL配置信息表

服务类型

允许

拒绝

www

10.100.1.0/23；

172.18.84.0/22；

10.100.6.0/24；

192.168.10.0/24；

192.168.1.0/23

其他任何其他网络地址

Telent

ftp

三、路由器配置与调试

整个校园网络通过路由器与外面网络进行通信，为了控制网络流量与网络安全，通过在路由器上制定访问控制列表，提供想提供的服务与信息列表。

3.1路由器上的ACL

ACL用来规划网络中的访问层次，以期达到优化网络流量，加强网络安全的作用。

ACL都是由具体的一条条规则组成，ACL可以绑定在物理端口上，也能绑定在虚拟接口上,如Vlan接口。

学校的ACL配置主要有以下几方面进行设置：

（1）允许内部IP地址范围

（config）#ipaccess-list1permit192.168.0.00.0.7.255

（2）对外屏蔽远程登录协议telnet

（config）#ipaccess-list101denytcpanyanyeqtelnet

（config）#ipaccess-list101permitipanyany

（config）#interfaceserial0/1

（config-if）#ipaccess-group101in

（3）对外屏蔽其他不安全的协议或服务

如远程执行、远程登录、远程命令的端口是512、513、514，远程过程调用端口111,文件共享协议端口2049。

可以针对这些端口进行协议设计。

（config）#ipaccess-list101denytcpanyanyrange512513514

（config）#ipaccess-list101denytcpanyanyeq111

（config）#ipaccess-list101denyudpanyanyeq111

（config）#ipaccess-list101denytcpanyanyrange2049

61.143.146.127

61.146.118.31

125.217.151.155

219.128.141.103

全部

表3路由上ACL详细信息表

3.2OSPF

学院在高新技术区设立了继续教育学院的分校区，为了实现和分校区通信，配置链路状态路由协议---ospf。

在2个路由器上配置主区域area0，实现单区域的ospf连接。

四、广域网配置

为了解决教师出差不能访问内部教学系统的问题，在路由上配置vpn。

vpn的用户名为hzy-vpn，密码为hzy-vpn，加密算法为md5.

4.1NAT配置

定义NAT内部、外部接口：

（config）#interfacefastethernet0/0

（config-if）#ipnatinside

（config-if）#interfaceserial0/0

（config-if）#ipnatoutside

4.2PPP身份认证的配置

PPP提供两种可选的身份认证方法：

口令验证协议PAP和咨询握手协议CHAP。

PAP是一个简单的、实用的身份验证协议。

PAP认证进程只在双方的通信链路建立初期进行。

如果认证成功，在通信过程中不再进行认证。

如果认证失败，则直接释放链路。

CHAP认证比PAP认证更安全，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过得随机序列，同时，身份认证可以随时进行，包括在双方正常通信过程中。

但CHAP对端系统要求很高，因为需要多次进行身份咨询、响应。

这需要耗费较多的CPU资源，因此在用在对安全要求很高的场合。

（config）#usernamerouterpassworduserpwd

（config-if）#pppauthenticationchap

4.3NAPT的配置

学校机房教学网有一个内部网络192.168.2.0由于内部用户有访问外部网络的要求，因此分配给它一个外部网络的公用地址210.34.143.2用于内网络用户访问外部网络。

设置外部网络的一个地址用于NAT

ipnatpoolmypool210.34.143.2210.34.143.2prefix30

设置网内部网络的要转换的地址

access-list1permit192.168.2.00.0.0.255

设置内外地址转换

ipnatinsidesourcelist1poolmypooloverload

设置内部网络的接口

interfaceethernet0

ipnatinside

设置外部网络的接口

interfaceethernet1

ipnatoutside

通过以上配置，机房内的所有设备都能访问外部网，满足了机房学生上网的要求。