学生作品课程设计园区网Word文档下载推荐.docx
《学生作品课程设计园区网Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《学生作品课程设计园区网Word文档下载推荐.docx(35页珍藏版)》请在冰豆网上搜索。
a)在一台两层交换机SW1上划分2个VLAN(Vlan100和Vlan200)。
要求实现:
两个Vlan均能通过路由器访问外网,但两个Vlan之间不能通信。
b)在一台三层交换机SW3上划分2个VLAN(Vlan300和Vlan400),两个Vlan之间能够通信。
要求:
两个Vlan均只能通过路由器访问校园网(10.X.X.X),而不能访问Internet。
c)另外一台两层交换机SW2和一台三层交换机SW4之间使用冗余连接,在两台交换机上均划分两个Vlan(Vlan500和Vlan600),要求Vlan500可以访问内网所有VLAN,Vlan600既可以访问内网,又可以访问Internet。
d)园区网路由器内采用静态路由(或OSPF路由协议),使全网联通。
e)采用路由器将此园区网再与外网(校园网)相联,配置NAT协议。
f)画出网络拓扑图,并给各VLAN划分IP地址、掩码、网关,以及各网络设备接口的IP地址。
g)需要在SW1中的VLAN100里面安装WWW、FTP、电子邮件等基本服务。
用访问控制列表使VLAN300和VLAN500中的用户在上班时间(9:
00~17:
00)不允许访问FTP服务器和WWW服务器,但可以访问EMail服务器。
h)IP分配规则:
D区:
IP范围:
192.168.24.0-192.168.31.255
192.168.254.48-192.168.254.63(路由器Serial口用)
10.106.207.14(防火墙用IP)
三、需求分析
3.1、调研情况
园区网共有一个总部,分成三个子部,每个子部门划分成两个VLAN,使其隔离及管理方便。
根据网络设计要求,总的信息点将达到3000个左右,信息节点的分布比较分散,使用分层设计网络的思想。
3.2、园区网达到的目标
1、在园区网中建成一个适合于信息采集、共享的内部网络,在此基础上建立起供用户培训使用的内部网络以及内部办公网络。
2、使用防火墙、访问控制列表、地址转换安全的实现到Internet的接入与访问,及实现信息在Internet的发布。
3.3、需求功能
园区网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,并能够有效促进现有的管理体制和管理方法,提高用户办公质量和效率。
园区网的总体设计原则是:
开放性:
采用开放性的网络体系,以方便网络的升级、扩展和互联;
同时在选择服务器、网络产品时,强调产品支持的网络协议的国际标准化;
可扩充性:
从主干网络设备的选型及其模块、插槽个数、管理软件和网络整体结构,以及技术的开放性和对相关协议的支持等方面,来保证网络系统的可扩充性;
可管理性:
利用图形化的管理界面和简洁的操作方式,合理地网络规划策略,提供强大的网络管理功能;
使日常的维护和操作变得直观,便捷和高效;
安全性:
内部网络之间、内部网络与外部公共网之间的互联,利用VLAN/ELAN、防火墙等对访问进行控制,确保网络的安全;
投资保护:
选用性能价格比高的网络设备和服务器;
采用的网络架构和设备充分考虑到易升级换代,并且在升级时可以最大限度地保护原有的硬件设备和软件投资;
易用性:
应用软件系统必须强调易用性,用户界友好,带有帮助和查询功能,用户可以通过Web查询。
园区网网络建成以后,要实现以下这些功能:
1、WWW服务,作为信息服务的平台。
2、Email服务,作为信息传递和与外界交流的主要手段。
3、FTP服务,作为信息的上传和下载。
4、VLAN技术,使物理设备在逻辑上隔离,便于用户使用和管理。
在今后,本网络还要实现基于ATM的宽带多媒体的校园网,并通过ATM和省宽带多媒体网相连接,实现实时的远程访问。
综上所述,本网络的网络建设必须采用当前最新的网络技术。
四、网络设计
4.1、设计思想
园区网计算机网络系统应便于将来网络系统的扩充,网络的硬件和软件应具有相对的独立性;
充分考虑网络系统的开放性;
充分考虑硬件的适应性,硬件应具有高度的可连接性和兼容性;
网络系统应具有高度的开放性,能与不同的计算机系统,通讯系统,自动控制系统连接,能连接不同协议的网络系统;
实现多种操作系统平台,多种网络操作系统,多种网络协议互操作。
4.2、网络设计原则
1、网络的先进性和实用性的原则
采用的硬软件系统既有技术的先进性,又有很高的性能价格比。
2、网络的开放性和兼容性的原则
选择符合国际标准的网络硬软件产品,有很好的互换、扩展和升级能力。
3、网络的灵活性和可靠性的原则
网络系统能够适应各种网络应用系统,易于今后向更先进的技术迁移,并且要有很好的容错能力。
4、网络的可管理性和易维护性原则
配置网管软件,采用具有可管理的网络设备,以便合理规划网络资源和控制网络运行。
整个网络应结构合理,层次划分清楚且具有相对独立性,便于管理和维护。
5、网络系统的保密性和强有力的防病毒性。
4.3、总体规划
网络设计采用分层设计的思想,由一台主路由器作为核心层,分别接三台普通路由器作为汇聚层,每台辅助路由器又接交换机作为接入层。
主路由器另一端和防火墙相连接,在防火墙里配置策略隔离内网和外网及提供内网访问外网的配置。
4.4、拓扑设计
4.5、物理设计
4.5.1、路由器和防火墙选择原则
根据园区网的拓扑结构特点、应用及面临的安全隐患,我们将通过路由器、防火墙、杀毒软件,实现网络安全隔离、网络监控措施、网络病毒的防范等安全需求,为园区构建统一、安全的网络。
A:
通过一台路由器隔开外网(Internet)与园区网,路由器中我们设置了防御外部的第一道屏障。
屏蔽路由器对进出内部网络的所有信息进行分析,并按照一定的安全策略(信息过滤规则)对进出内部网络的信息进行限制。
它能根据IP地址、UDP和TCP端口来筛选数据。
如可以在路由器中实现对内部网络在9.00--17.00不允许访问FTP服务器和WWW服务器,但可以访问EMail服务器。
B:
通过防火墙隔离,在园区网络与外界连接处实施网络访问控制,地址转换。
在Internet与园区网内网之间部署了一台防火墙,可以让管理员了解外部网络用户的身份和工作性质,提供访问规则,并针对存取要求授予不同的权限,保证只有经授权许可的信息才能在客户机和服务器间流通。
其中WWW、E-mail、FTP服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接园区网内网路由器,外网口通过路由器与Internet连接。
这样,通过Internet进来的外网用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被非法访问或破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生的安全事件进行跟踪和审计。
具体配制规则如下:
第一,根据园区网安全策略和安全目标,规划设置正确的安全过滤规则,如审核IP数据包的内容包括:
协议、端口、源地址、目的地址、流向等项目,严格禁止来自外网对园区内部网不必要的、非法的访问。
总体上遵从“不被允许的服务就是被禁止”的原则。
第二,将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;
过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。
第三,在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
第四,定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
第五,允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
第六,通过在防火墙内设置NAT转换,把内网IP地址转换为外网IP地址,是内部IP透明化,进一步提高内部网络的安全性。
C、汇聚层的三台路由器中设置扩展访问控制列表,对内网中的VLAN访问进行设置,使某些VLAN能访问哪些资源,某些VLAN不能访问哪些资源。
设备名称
设备型号
telnet登录
防火墙
DCFW-1800S-S
10.106.201.25410011
路由器
DCR-2611
10.106.201.25410001
DCR-1702
10.106.201.25410004
10.106.201.25410005
10.106.201.25410006
三层路由交换机
DCRS-5526S
10.106.201.25410007
10.106.201.25410008
二层交换机
DCS-3926S
10.106.201.25410009
10.106.201.25410010
4.6、IP设计
4.6.1、IP地址分配
端口
IP
子网掩码
路由器40001
S0/2
192.168.254.49
255.255.255.252
S0/3
192.168.254.57
S1/0
192.168.254.53
路由器40004
192.168.254.50
F0/0.1
192.168.24.1
255.255.255.0
F0/0.2
192.168.25.1
路由器40005
192.168.254.58
F0/0
192.168.28.2
路由器40006
192.168.254.54
192.168.26.2
WAN(if0)
172.1.1.1
255.255.0.0
LAN(if1)
192.168.254.62
DMA(if2)
10.106.207.14
255.0.0.0
交换机40009
Vlan
PC
100
192.168.24.14
200
1
192.168.25.15
交换机40007
300
2
192.168.26.1
400
3
192.168.27.1
交换机40008
500
4
192.168.28.1
600
5
192.168.29.1
交换机40010
6
192.168.28.3
7
192.168.29.3
4.6.2、IP汇聚
192.168.254.48/30:
192.168.254.49和192.168.254.50
192.168.254.52/30:
192.168.254.53和192.168.254.54
192.168.254.56/30:
192.168.254.57和192.168.254.58
192.168.254.60/30:
192.168.254.61和192.168.254.62
192.168.24.0/23:
192.168.24.0和192.168.25.0
192.168.26.0/23:
192.168.26.0和192.168.27.0
192.168.28.0/23:
192.168.28.0和192.168.29.0
4.7、路由设计
在路由器上使用OSPF动态路由协议,宣告直连网段,以及配置静态路由到达三层交换机上的非直连网段和配置到外网和校园网的静态路由。
路由表如各设备配置代码。
防火墙上路由使用静态路由配置方法。
五、设备安装调试[含代码]
5.1、防火墙的具体配置步骤
1.将防火墙的Console端口用一条防火墙自带的串行电缆连接到电脑的一个空余串口上。
2.打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。
3.运行电脑Windows系统telnet到防火墙上程序。
4.当防火墙进入系统后输入用户名和密码,进入的是防火墙特权用户模式。
可以进行进一步的配置了。
5.配置防火墙LAN口地址(主路由器与防火墙LAN接口在同一网段):
#ifconfigif1192.168.254.62/30
#apply#save
6、配置管理主机
#adminhostadd192.168.24.15
7、防火墙与管理主机ping测试连通
8、打开PC机的IE浏览器,在URL栏中写入:
https:
//192.168.254.62:
1211,得到防火墙界面,可在图形化界面对防火墙进行配置,如下:
a)配置到达内网的路由
1.Routeadd192.168.0.0/16192.168.254.61
b)设置网络对象
1.内网:
pc_trust:
192.168.0.0/16
2.外网:
pc_untrust:
172.1.0.0/16
3.DMZ:
dmz:
10.0.0.0/8
c)配置策略
1.pc_trust→pc_untrust:
any
2.pc_trust→dmz:
3.pc_untrust→pc_trust:
ping(用于回应测试)
4.dmz→pc_trust:
d)配置NAT
动态NAT的配置
192.168.0.0/16172.1.0.0/16172.1.1.3-172.1.1.255if0
192.168.0.0/1610.0.0.0/810.106.207.16-10.106.207.26if2
9、防火墙命令行界面配置:
hostname"
Digitalchina"
ifconfigmediaif0auto
ifconfigif0172.1.1.1/16
ifconfigserviceif0ping
ifconfigmediaif1auto
ifconfigif1192.168.254.62/30
ifconfigserviceif1ping
ifconfigmediaif2auto
ifconfigif210.106.207.14/8
ifconfigserviceif2ping
ifconfigmediaif3auto
ifconfigif30.0.0.0/0
ifconfigkeepalive-interval0
lcdpasswdpbKvPXE0wH/olO
adminhostadd192.168.0.1
adminhostadd10.0.0.1
adminhostadd192.168.24.15
adminhostadd192.168.26.15
adminhostadd192.168.29.15
routeadddefault192.168.254.61
routeadd192.168.24.0/24192.168.254.61
routeadd192.168.0.0/16192.168.254.61
routexadd10.0.0.0/8192.168.0.0/1610.106.207.14
ddnsdomain"
"
ddnsserver"
ddnsauthp"
"
zoneattachuntrustif0
zoneattachtrustif1
zoneattachdmzif2
sntpperiod1800
sntptimeout10
sntpretries3
sntpretryinterval10
vpnpptpdisable
vpnipsecoptionset50086400432005120off0
netobjaddstdpc1_turstif1192.168.0.0/16"
内部安全主机"
netobjaddstdpc0_unturstif0172.1.0.0/16"
外部不安全主机"
netobjaddstddmzif210.0.0.0/8"
次安全网络"
nataddp192.168.0.0/16172.1.0.0/16172.1.1.3-172.1.1.255if0
nataddp192.168.0.0/1610.0.0.0/810.106.207.16-10.106.207.26if2
5.2、路由器的配置代码
a)路由器40001是在核心层,配置了serial口IP及速率和以太口IP,使用OSPF宣告直连网段,配置静态路由外网和到三层交换机的非直连网段,配置ACL使VLAN300和VLAN500中的用户在上班时间(9:
r40001#showrun
!
version1.3.3C
servicetimestampslogdate
servicetimestampsdebugdate
noservicepassword-encryption
hostnamer40001
interfaceFastEthernet0/0
ipaddress192.168.254.61255.255.255.252
noipdirected-broadcast
interfaceFastEthernet0/1
noipaddress
interfaceSerial0/2
ipaddress192.168.254.49255.255.255.252
physical-layerspeed64000
interfaceSerial0/3
ipaddress192.168.254.57255.255.255.252
ipaccess-groupaaain
interfaceSerial1/0
ipaddress192.168.254.53255.255.255.252
interfaceAsync0/0
routerospf1
network192.168.254.60255.255.255.252area0
network192.168.254.56255.255.255.252area0
network192.168.254.52255.255.255.252area0
network192.168.254.48255.255.255.252area0
area0range192.168.24.0255.255.254.0
area0range192.168.254.48255.255.255.240
iproute10.0.0.0255.0.0.0192.168.254.62
iproute172.1.0.0255.255.0.0192.168.254.62
iproute192.168.27.0255.255.255.0192.168.254.54
iproute192.168.29.0255.255.255.0192.168.254.58
ipaccess-listextendedaaa
denytcp192.168.26.0255.255.255.0192.168.24.0255.255.255.0eqwwwtime-ra
ngeon_work
denytcp192.168.28.0255.255.255.0192.168.24.0255.255.255.0eqftptime-ra
denytcp192.168.28.0255.255.255.0192.168.24.0255.255.255.0eqwwwtime-ra
permittcp192.168.26.0255.255.255.0192.168.24.0255.255.255.0eqsmtptime-r
angeon_work
permittcp192.168.28.0255.255.255.0192.168.24.0255.255.255.0eqsmtptime-r
denytcp192.168.26.0255.255.255.0192.168