XX中小型校园网设计方案.docx
《XX中小型校园网设计方案.docx》由会员分享,可在线阅读,更多相关《XX中小型校园网设计方案.docx(9页珍藏版)》请在冰豆网上搜索。
XX中小型校园网设计方案
XX(中小型)校园网设计方案
第一章:
需求分析
1.1.项目背景
学校共有6个集中接入点(计算机系、管理系、财务系、教务系、建筑系、学生宿舍)。
1.2.建设目标
.通过冗余的光纤链路上连到信息中心的核心层交换机上。
核心层交换机通过cisco3640路由器接入Internet。
除此,教工宿舍以及办公室用户通过拨号方式接入路由器3640来访问校园网内网以及Internet。
1.2.1:
实现访问层交换机服务
1.2.2:
实现分层交换机服务
广域网接入的功能是广域网接入路由器Internetrouter来完成,采用cisco的3640路由器通过自己串行接口使用ddn技术接入Internet。
用Internet和校园网内网间路由数据包。
利用访问控制列表,广域网接入路由器interestrouter还可用来完成以自身为中心的流量控制和过滤功能实现一定的安全。
广域网采用不同的类型的封装协议,如:
ppp、hdlc等。
其中,ppp除了提供身份认证功能外,还要能提供其他很多配置,包括链路压缩、多链路捆绑、回叫等。
可以集成在广域网接入路由器interestrouter中的异步modemNM16AM提供远程访问服务,并同时对最多16路拨号用户提供远程接入服务。
第二章:
交换机配置方案
2.1:
访问层交换机
1:
设置交换机名称
Switch(config)#hostnameaccessswitch1
Accessswitch1(config)#
2:
设置交换机的加密使用口令
Accessswitch1(config)#enablesecretsecretpasswd
3:
设置登录虚拟终端线时的口令
Acessswitch1(config)#linevty015
Accessswitch1(config)#login
Accessswitch1(config—line)#passwordyouguess
4:
设置终端线超时时时间
Accessswitch1(config)#linevty015
Accessswitch1(config-line)#exec-timeout530
Accessswitch1(config-line)#linecon0
Accessswitch1(config-line)#exec-timeout530
5:
设置禁止ip地址解析特性
Accessswitch1(config)#noipdomain-lookup
6:
设置启用用户消息同步特性
Accessswitch1(config)#loggingsynchronous
2.1.1:
访问层交换机accessswitch1的管理ip、默认网关
访问层交换机时osi参考模型第2层设备,既数据链路层的设备。
因此给访问层交换机的每个端口设置ip地址的时没有意义的。
但是,为了使网络管理人员可以远程登录到访问层交换上进行管理,必须给访问层交换机设置一个原理ip地址。
这种情况下,实际上使将交换机看成和pc机一样的主机
Accessswitch1(config)interfacevlan1
Accessswitch1(config-if)#ipaddress----
Accessswitch1(config-if)#noshutdown
2.1.2:
从提高效率的角度出发,在本销往实现实力中使用了vtp技术,同时,将分布层交换机distributeswitch1设置成vtp服务器,其他交换机设置成vtp客户机。
1:
端口双工配置
Accessswitch1(config)#interfacerange-------
Accessswitch1(config-if-range)#duplexfull
2:
端口速度
Accessswitch1(config)#interfacerange------
Accessswitch1(config-if-range)#speed100
2.2:
分布层交换机
略
2.3:
核心层交换机
略
第三章:
广域网接入方案
3.1:
接入路由器internetrouter的基本配置
对接入路由器internetrouter的基本参数的配置步骤与对访问层交换机AccessSwitch的基本配置参数的配置类似。
Router#configureterminal
Router(config)#hostnameinternetrouter
Internetrouter(config)#enablesecretyouguess
Internetrouter(config)#linecon0
Internetrouter(config-line)#loggingsynchronous
Internetrouter(config-line)#exec-timeout530
Internetrouter(config-line)#linevty04
Internetrouter(config-line)#passwordabc
Internetrouter(config-line)#longin
Internetrouter(config-line)#exec-timeout530
Internetrouter(config-line)#exit
Internetrouter(config-line)#noipdomain-lookup
3.2:
接入路由器internetrouter的个接口
对接口路由器的个接口参数的主要是对接口以的ip地址、子网掩码的配置
Internetrouter(config)#interface____
Internetrouter(config-if)#ipaddress____
Internetrouter(config-if)#noshutdown
Internetrouter(config-if)#interface_____
Internetrouter(config-if)#ipaddress_____
Internetrouter(config-if)#noshutdown
3.3:
接入路由器internetrouter的路由功能
Internetrouter(config)#iproute-------
到校园网内部的路由条目可以经过路由汇总后形成两条路由条目
Internetrouter(config)#iproute---------
Internetrouter(config)#iproute---------
3.4:
接入路由器internetrouter上的nat
由于目前ip地址资源非常紧张,不可能给校园网内部的所有工作站都分配一个公有地址。
为了解决所有工作站访问internet的需要,必须使用nat技术
3.4.1:
定义nat内部、外部接口
Internetrouter(config)#interface------
Internetrouter(config-if)#ipnatinside
Internetrouter(config-if)#interface----
Internetrouter(config-if)#ipnatoutside
3.4.2:
定义允许进行nat的工作站的内部局部ip地址范围
Internetrouter(config)#access-istpermit------
3.4.3:
为服务器定义静态地址转换
Internetrouter(config)#ipnatinsidesourcestatic--------
3.4.4:
为其他工作站定义复用地址转换
Internetrouter(config)#ipnatinsidesourcelist1interface-------
3.5:
配置路由器internetrouter上的acl
路由器是外网进入校园网的第一道关卡,是网络防御的前沿阵地。
路由器上的访问控制列表是保护内网安全带饿有效手段。
3.5.1:
对外屏蔽单网管协议,即snmp
利用这个协议,远程主机可以监视、控制网络上的其他网络设备。
它有两种服务类型:
snmp和snmptrap
Internetrouter(config)#access-list101denyudpanyeqsnmp
Internetrouter(config)#access-list101denyudpanyandyeqsnmptrap
Internetrouter(config)#access-list101permintipanyany
Internetrouter(config)#interface---
Interfacerouter(config)ipaccess-group101in
3.5.2:
对外屏蔽远程登录协议telnet
telnet可以登录到大多数网络设备unix服务器,并可以使用相关命令完全操作他们。
其次telnet是一种不安全的协议,用户在登录时说用户的口令是以明文传输的,很容易被网络上的非法协议分析设备截获。
所以必须屏蔽。
Internetrouter(config)#access-list101denytcpanyanyeqtelnet
Internetrouter(config)#access-list101permintipanyany
Internetrouter(config)#interface----
Internetrouter(config)#ipaccess-group101in
3.5.3:
对外屏蔽其他不安全的协议或服务
这样的协议主要有sunos的文件共享协议端口2049,远程执行、远程登录和远程命令端口512、513、514,远程过程条用端口111,可以将针对以上协议综合进行设计
Interetrouter(config)#access-list101denytcpanyanyrange512514
Interetrouter(config)#access-list101denytcpanyanyeq111
Interetrouter(config)#access-list101denyudpanyanyeq111
Interetrouter(config)#access-list101denytcpanyanyrange2049
Interetrouter(config)#access-list101permintipanyany
Interetrouter(config)#interface-----
Interetrouter(config-if)#ipaccess-group101in
第四章:
远程访问方案
4.1:
物理线路的基本配置
对物理线路的配置过括配置先例速度(DTE、DCE之间的速率)、停止未位数、流控方式、允许呼入连接协议类型、允许流量的方向。
Internetrouter(config)#line97
Internetrouter(config-line)#modeinout
Internetrouter(config-line)#transportinputall
Internetrouter(config-line)#stopbits1
Internetrouter(config-line)#speed115200
Internetrouter(config-line)#flowcontrolhardware
4.2:
接口基本参数
对接口的配置:
接口封装协议类型、接口异步模式、ip地址、远程客户分配ip地址的方式。
Internetrouter(config)#interfaceasync97
Internetrouter(config-if)#ipaddress-------
Internetrouter(config-if)#encapsulationppp
Internetrouter(config-if)#asyncmodededicated
Internetrouter(config-if)#peerdefultipaddresspoolrasclieats
4.3:
身份认证
PPP提供两种可选的身份认证:
口令验证协议PAP(PasswordAuthenticationProtocol)和咨询握手协议(ChallengeHandshakeAuthenticntionProtocol)
PAP认证方法:
Internetrouter(config)#interfaceasync97
Internetrouter(config-if)#pppauthenticationcationpap
第五章:
总体建设
5.1:
网络拓扑
校园网络的总体拓扑结构图
5.2:
vlan及ip规划
VLAN号
VLAN名称
IP网段
默认网关
说明
VLAN1
Default
192.168.0.0/24
192.168.0.254
管理VLAN
VLAN10
JWC
192.168.1.0/24
192.168.1.254
教务处VLAN
VLAN20
XSSS
192.168.2.0/24
192.168.2.254
学生宿舍VLAN
VLAN30
CWC
192.168.3.0/24
192.168.3.254
财务处VLAN
VLAN40
JGSS
192.168.4.0/24
192.168.4.254
教工宿舍VLAN
VLAN50
JZX
192.168.5.0/24
192.168.5.254
建筑系VLAN
VLAN60
GLX
192.168.6.0/24
192.168.6.254
管理系VLAN
VLAN70
JSJX
192.168.7.0/24
192.168.7.254
计算机系VLAN
VLAN80
FWQQ
192.168.100.0/24
192.168.100.254
服务器群VLAN
校园网络整体拓扑结构图
5.3:
设备清单
接口数
型号
台数
单价
总价
核心交换机
接入层交换机
路由器
欢迎您的下载,
资料仅供参考!
致力为企业和个人提供合同协议,策划案计划书,学习资料等等
打造全网一站式需求
升级会员 