CCNA课程设计.docx

1、CCNA课程设计摘 要在当今社会中，信息已成为一种关键的战略资源。为了使信息能准确、高速地在各种型号的计算机、终端机、电话机、传真机等通讯设备之间传递，世界上有不少发达国家正在兴建信息高速公路。21世纪将是Inter-Networking(联网机器)、Client/Server和多媒体整合的年代。现在“联网机器”的概念代替了“机器联网”的传统概念。也就是说，当一个企业或一个政府部门在规划电脑系统时，先从建网开始，在根据具体需求将各种型号的大、中、小型计算机以及微机挂在网上，从根本上避免了“机器联网”造成的开放性不良的被动局面。因此，在新建大楼或旧楼改造的工程中迫切需要一种先进的布线系统来铺设信

2、息高速公路。互联网各种级别的网络中随处都可见到路由器。接入网使得家庭和小型企业可以连接某个互联网服务提供商；企业网中的路由器连接一个校园或企业内成千上万的计算机；骨干网上的路由器终端系统通常是不能直接访问的，它们连接长距离骨干网上的ISP和企业网络。互联网的快速发展无论是对骨干网、企业网还是接入网都带来了快速的发展。 关键词：路由器；交换机；服务器；防火墙；目 录1.项目概述 11.1 概括 11.2 建设目标 12. 可行性分析报告 13. 需求分析 13.1需求概述 13.2网络需求 23.3 网络安全体系要求 24.系统配置与实施 34.1网络拓扑结构图 34.2 IP地址规划 34.3

3、 IP划分一览表 44.4 vlan划分表 44.5 服务器规划表 54.6网络配置命令 54.7网络和应用服务 64.8网络安全设计模型 64.8.1外部网络安全 64.8.2内部网络安全 74.8.3广域网通信安全 74.9网络调试 75.工程预算 86.总结 106.1 设计中遇到的问题以及解决办法 106.2 设计心得 11参考文献 121.项目概述1.1 概括为了推进教育学信息化和现代化，某高校计划在校内建立校园内部网。根据要求，我们按照“统一规划、讲究实效、安全可靠”的原则，进行校园网综合系统设计，以满足校园内计算机网络系统的需要。对于某高校来说，由于将有越来越多的资料信息和管理平

4、台放到校园网上，越来越多的用户使用校园网，校园网的可扩展性和可靠性成为选择合作伙伴的重要标准。1.2 建设目标通过建设一个高速、安全、可靠、可扩充的网络系统，实现校内信息的高度共享、传递，教学及管理信息化，并通过与广域网的互联，实现校际间的信息共享及与州TER 的连接，实现远程教育，为学校的教学、管理、日常办公、内外交流等各方而提供全面、切实的支持。2. 可行性分析报告校园网建设，要为教育教学服务，为促进学校教育现代化服务。本着少花钱办大事的原则，充分利用有限的投资，在保证网络先进性的前提下，选用性能价格比最好的设备的原则，有计划、有重点，分层次，积极稳妥地推迸校园网建设。要严格规范校园网建设

5、及相应的软件开发标准，确保信息化校园的整体建设规划和管理要求的落实。3. 需求分析3.1需求概述随着信息时代的到来，校园网己经成为现代教育背景下的必要基础设施，成为学校提高水平的重要途径。校园网络的主干所承担的信息流量很大，校园网络的建设的目标是在校园内实现多媒体教学、教务管理、通信、双向视频点播（VOD ）等信息共享功能，能实现办公的自动化、无纸化。能通过与Internet 的互联，为全校师生提供国际互联网上的各种服务。教师可以制作多媒体课件以及在网上保存和查询教学资源，能对学生进行多媒体教学和通过网络对学生进行指导与考查等。学生也可以通过在网上浏览和查询网上学习资源，从而可以更好地进行学习

6、，校园网能为学校的信息化建设打下基础。3.2网络需求3.2.1布线结构需求图3.1 布线结构3.3 网络安全体系要求1、全性和数据完整性：能够防止对网络的非法访问，保护关键的数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性;提供了网络数据安全传输功能，消除了通信时的明码传输漏洞;通过对物理地址或有效授权用户的控制确保了主机接入的唯一性。2、攻击性：所采用的防火墙技术提高了网络抗攻击能力。3、时性：通过网络监控，能及时对受到的攻击做出反应，产生报警信息，并能够对出现的网络安全问题提供调查的依据和手段。4、管理性：使用AAA的认证、授权和记账方式，对用户进行统一授权、认证，便于网络管理员对各种

7、网络设备进行集中管理。5、定性：具有良好的备份功能，网络设备在出现故障时能及时得以恢复，确保企业业务可靠稳定的运行。4.系统配置与实施4.1网络拓扑结构图图4.1 网络拓扑结构图4.2 IP地址规划根据互联网络技术发展的趋势，结合学校网络目前真实IP地址的现实情沉，我们建议IP地址规划遵循如下原则来设计:1服务器区采用私IP地址，NAT后供人员远程访问；2与Internet互联设备IP地址采用真实IP地址；3部分内部互连采用私有IP地址；4而向用户的私有IP地址，由统一出口的边缘设备(路由器、防火墙)进行地址翻译。 即出口路由器(防火墙)互联采用合法IP地址；公共服务器如WWW/FTP/DNS

8、资源服务器等均采用合法地址（或从安全角度考虑采用私有IP)；部分接入用户采用私有保留IP地址相连。这样设计，既可以充分利用己有的公网IP地址，解决了IP地址空间不足的，既可以方便的实现互通互连，而且将地址翻译( NAT)这种耗费设备资源的工作由网络边缘设备分担，提高网络数据传输整体性能。4.3 IP划分一览表表4.1 IP划分一览表ip划分表区域 起始 ip子网掩码设备安放带防火墙功能的路由器210.28.36.1255.255.255.0校园主设备间核心交换机210.28.36.1255.255.255.0校园主设备间ftp服务器210.28.36.2255.255.255.0校园主设备间w

9、eb服务器210.28.36.3255.255.255.0校园主设备间教务管理系统服务器192.168.0.100255.255.255.0校园主设备间图书馆理服务器192.168.3.100255.255.255.0图书馆设备间教务处192.168.0.1255.255.255.0教务处附近设备间党政办公楼192.168.2.1255.255.255.0党政办公楼设备间图书馆192.168.3.1255.255.255.0图书馆设备间教学区主交换机210.28.36.1255.255.255.0校园主设备间化工系交换机210.28.37.1255.255.255.0化工系设备间外语系交换机2

10、10.28.38.1255.255.255.0外语系设备间计算机系交换机210.28.39.1255.255.255.0计算机系设备间大楼1 主交换机210.28.40.1255.255.255.0大楼1， 3楼设备间大楼2 主交换机210.28.41.1255.255.255.0大楼2， 3楼设备间各楼层交换机255.255.255.0各楼层设备间4.4 vlan划分表表4.2 vlan划分表vlan划分表vlan名称起始ip子网掩码说明教学区主交换机vlan1210.28.37.2255.255.255.0缺省vlanvlan2210.28.38.1255.255.255.0化工系vlan

11、vlan3210.28.39.1255.255.255.0外语系vlanvlan4210.28.40.1255.255.255.0计算机系vlan生活区大楼1主交换机vlan1210.28.37.100255.255.255.0缺省vlanvlan2210.28.41.1255.255.255.0大楼1vlanvlan3210.28.42.1255.255.255.0大楼2vlanvlan4210.28.43.1255.255.255.0大楼3vlanvlan5210.28.44.1255.255.255.0大楼4vlanvlan6210.28.45.1255.255.255.0大楼5vlan

12、生活区大楼2主交换机vlan1210.28.37.200255.255.255.0缺省vlanvlan2210.28.46.1255.255.255.0大楼1vlanvlan3210.28.47.1255.255.255.0大楼2vlanvlan4210.28.48.1255.255.255.0大楼3vlanvlan5210.28.49.1255.255.255.0大楼4vlanvlan6210.28.50.1255.255.255.0大楼5vlan4.5 服务器规划表表4.3服务器规划表校园网及相关服务器的设置服务器IP地址子网掩码说明DHCP服务器210.28.36.2255.255.25

13、5.0动态主机设置服务器DNS服务器210.28.36.2255.255.255.0域名解析服务器FTP服务器210.28.36.2255.255.255.0文件传输服务器Web服务器210.28.36.3255.255.255.0网址：教务管理服务器192.168.0.100255.255.255.0网址：图书管理服务器192.168.3.100255.255.255.0网址：4.6网络配置命令Switchen 进入特权视图Switch#conf t 进入全局配置视图Switch(config)#hostname S2960 设置交换机名称为S3560S2960(config)#vlan 1

14、 创建vlan 1S2960(config-vlan)#exit 退出vlan 1S2960(config)#vlan 2 创建vlan 2S2960(config-vlan)#exit 退出vlan 2S2960(config)#int fa 0/10 进入交换机fa 0/10 端口 S2960(config-if)#switchport access vlan 1将fa 0/10划分到vlan1中 S2960(config-if)#exit 退出交换机fa 0/10 端口S2960(config)#int fa 0/20 进入交换机fa 0/20 端口S2960(config-if)#sw

15、itchport access vlan 2将fa 0/20划分到vlan2中S2960(config-if)#exit 退出到特权视图S2960(config)#interface vlan 1 进入vlan 1S2960(config-if)#ip address 210.28.37.1 255.255.255.0 配置vlan 1的虚接口地址S2960(config-if)#no shut 开启S2960(config-if)#exit 退出 S2960(config)#interface vlan 2 进入vlan 2S2960(config-if)#ip address 210.28

16、.39.1 255.255.255.0 配置vlan2的虚接口地址S2960(config-if)#no shut 开启S2960(config-if)end 退出到特权视图4.7网络和应用服务1、Web服务系统:选用Windows XP的IIS6.0信息服务系统。另外也有许多免费的BBS电子公告、中文论坛、网络聊大软件可以在NT下安全运行。2、TP服务软件:Server-U是一种被广泛运用的FTP服务器端软件，支持9x/ME/NT/2K等全Window、系列，设置简单，功能强大，性能稳定。Server -U不仅100%遵从通用FTP标准，也包括众多的独特功能可为每个用户提供文件共享完美解决方

17、案。可以设定多个FTP服务器、限定登录用户的权限、登录主目录及空间大小等，功能非常完备，具有非常完备的安全特性，支持SSL FTP传输，支持在多个Server-U和FTP客户端通过SSL加密连接保护您的数据交全等。 3、E-mail服务系统:MuseMail Serer邮件系统完全自主开发，不依赖其他软件，支持POP3/ESMTP/IMAP/FTP/SSL等协议和标准，提供Webmail、证书服务、基本HTTP、FTP协议的网络硬盘、邮件数字水印和加密、远程管理、多域、反垃圾邮件、邮件防病毒、智能屏蔽动态攻击、多级地址簿、邮件过滤、自动回复、邮件监控和自定义签名，收取外部邮件等众多功能。 4、

18、代理服务软件:SuperProxy:提供了账号管理方式，可有效管理上网用户。经多年发展和完善，SuperProxy可以说是众多代理软件中最稳定的，全中文操作界面，功能强人，速度快，稳定性和安全性较高的成熟产品，设置简单，界面直观，各不同层次的用户都较容易掌握，几乎不用任何设置可以正常工作，支持各种Windows、平台运行，支持Ftp、Smtp、Dns、Pop3、Socks、Http等协议的代理。5、工作站其它应用软件:文字处理、数据表格、图形处理、浏览器、电子邮件等都有许多人家熟悉并经常使用的软件。4.8网络安全设计模型4.8.1外部网络安全1在外部网络中，包括Internet、外单位等和本企

19、业业务网络的互连以及移动用户与办公自动化网络的连接。业务网和办公自动化网分别通过路由器提供外部用户的接入，利用防火墙(如Cisco PIX Firewall、 CheckPoint Firewall等)保证内部网络不被外界探测的同时又不影响业务数据的传输。2利用CiscoSecure ACS for NT进行AAA的认证、授权和记帐功能，中心对用户进行统一的授权、认证。3在用户认证方面，则采用RSA公司的ACE进行一次性密码认证，确保用户密码的安全性。4.8.2内部网络安全1在内部网络中，分业务网和办公自动化网。业务网和办公自动化网均采用两台三层中心交换机，他们互为备份;网内所有核心服务器直接

20、接入中心交换机中。采用虚拟网络(VLAN)和三层交换技术，保证了物理端口、IP地址与MAC地址的一一对应。2在业务网络中所有的业务服务器都使用ACE进行动态密码保护。对于登录网络设备(包括路由器、交换机和PIX)都需要经过ACS进行授权与记帐，并且在ACS中限制只有授权的主机可以登录到中心网络设备。3使用入侵检测系统(如Cisco IDS、CA Intrusion Detection和iS-One RealSecure等)对业务网中的数据进行实时监控，一旦发现有非法入侵，立即切断该TCP连接并记录。4定期使用安全扫描软件(如Cisco Secure Scanner、iS-One System

21、Scanner、iS-One Internet Scanner、NAI CyberCop Scanner等)对整个网络、主机进行扫描，一旦发现网络安全漏洞，立即进行补救。5利用网络级防病毒软件(如Symentic、熊猫卫士等)定期更新病毒库、定期扫描企业网的病毒。6业务网和办公自动化网之间通过PIX防火墙进行隔离，进一步保护了业务网络的安全性。4.8.3广域网通信安全企业广域网一般是由租用中国电信、广电公司的光纤、DDN线路组建的DDN或帧中继专网。考虑到广域网通信有可能被窃听、数据被篡改和非法设备的接入等安全隐患，我们采用VPN(如Cisco VPN、SVPN等)提供网络数据安全传输功能，消

22、除了通信时的明码传输漏洞，同时保证了网络设备之间的互为认证，保证了网络设备接入的唯一性。4.9网络调试 网络调试过程就是测试网络设备、网络系统以及网络对应的支持进行检测，以展开和证明网络系统是否满足用户性能、安全性、易用性、可管理性等方而需求的测试。可以通过调试软件完成对网络的调试、测试工作，如:网络调试工具网络调试助手，此工具是在实际工程应用中，根据实际的普遍的需求而开发的网络调试工具。界面精致美观，实用性也强。支持DUP,TCP协议、单播/广播、集成TCP服务器和客户端，支持ASCII、Hex发送，发送和接收的数据可以在16进制和ASCII码之间进行任意转换，可以自动发送校验位，支持多种校

23、验格式。支持间隔发送，循环发送，批处理发送，输入数据可以从外部文件导入。 网络测试工具ToolKit套件中包括:Ping、Finger、TraceRoute、switchport等基本的网络测试命令。5.工程预算表5.1设备外观参数采购数量单价合计CISCO 1841-HSEC/K9端口结构：模块化局域网接口：2个传输速率：10/100Mbps网络管理：SNMP/telnet防火墙：内置防火墙网络协议：TCP/IPQos支持：支持VPN支持：支持产品内存：最大DRAM内存：384MB 最大FLASH其它端口：1个板载USB端口扩展模块：2个模块化插槽+2个WAN接入的模块2750015000C

24、ISCO WS-C3560V2-24PS-S产品类型：快速以太网交换机应用层级：三层传输速率：10/100Mbps端口数量：26个网络标准：IIEEE 802.3，IEEE 802.3u，IEEE 802.3ab，IEEE 802.1p，IEEE 802.3af，IEEE 802.1Q，IEEE 802.1D，IEEE 802.1p，IEEE802.3，adIEEE 802.1x，IEEE 802.1w，IEEE 802.1z传输模式：支持全双工11350013500CISCO WS-C2960S-48TS-S产品类型：智能交换机应用层级：二层传输速率：10/100/1000Mbps产品内存：

25、DRAM内存：128MBMAC地址表：8K端口数量：50个传输模式：全双工/半双工自适应317400229400CISCO WS-C2960-24PC-L产品类型：智能交换机应用层级：二层传输速率：10/100/1000Mbps产品内存：DRAM内存：64MBFLASH内存：32MB交换方式：存储-转发 纠错背板带宽：16Gbps包转发率：6.5MppsMAC地址表：8K端口结构：非模块化端口数量：26个端口描述：24个以太网10/100Mbps PoE端口，2个两用上行端口传输模式：支持全双工8720057600IBM System x3650 M4(7915I51)(服务器)CPU类型：I

26、ntel 至强E5-2600CPU频率：2GHz 智能加速主频：2.8GHz扩展槽：2PCI-E 3.01PCI-X（可选）内存类型：ECC DDR3内存容量：8GB内存插槽数量：24 最大内存容量：768GB硬盘接口类型：SATA/SAS最大硬盘容量：9TB12600026000戴尔PowerEdge 12G R720(Xeon E5-2609/2GB/300GB)产品类别：机架式 CPU类型：Intel 至强E5-2600CPU型号：Xeon E5-2609主板芯片组：Intel C600扩展槽：1全高全长PCI-E x16插槽内存插槽数量：24 最大内存容量：768GB标配硬盘容量：30

27、0GB 最大硬盘容量：24TB内部硬盘架数：最大支持8块3.5英寸硬盘/16块2.5英寸硬盘 纠错磁盘控制器：PERC H310网络控制器：Intel四端口千兆网卡/双端口万兆网卡系统管理：符合IPMI 2.0标准21200024000大唐保镖工程超五类非屏蔽电缆产品类型：超五类双绞线产品特性：高性能的超5类非屏蔽电缆，性能成熟稳定，满足用户的多方面性能要求，安普布线高品质的最佳代表。性能超过TIA/EIA 568B和ISO超五类标准；经独立机构ETL/SEMKO测试和认证；获UL认证依情况而定480元*100米0总计3655006.总结6.1 设计中遇到的问题以及解决办法在课程设计过程中，遇

28、到问题时在组员的共同努力下，以及老师的指导下，我们解决了这些问题。1、在IP地址规划方面，我们通过划分VLAN的方法解决了多设备连接情况下的IP问题。2、后期设备维护以及管理方面，本组采用核心交换机，下设各个区域的主交换机，主交换机又下设分交换机，在主交换机上划分VLAN解决了日后方便维护等等问题，同时VLAN络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋予某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VL

29、AN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广 播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。3、考虑到缺省VLAN；在所有的网络中比如校园网或者是企业网中，用户在通过802.1x 认证之前属于一个缺省VLAN，用户访问该VLAN 内的资源不需要认证，只能访问有限的网络资源，但此时不能够访问其他网络资源。这个VLAN就是缺省VLAN。没有通过认证的客户端计算机处于这个 VLAN中，它们只能访问到缺省 VLAN服务器的资源，用户从处于缺省VLAN的服务器上可以获取802.1x客户端软件，升级客户端，或执行其他一些应用升级程序，这是因为如果没有专用的

30、认证客户端或者客户端版本过低等原因，导致在一定的时间内端口上无客户端认证成功，接入设备会把该端口加入到缺省VLAN。认证成功后，端口离开缺省 VLAN，用户可以访问其特定的网络资源。需要注意的是：缺省 vlan 仅支持基于端口的802.1X协议，不支持基于MAC地址的802.16.2 设计心得 通过此次课程设计，使我更加扎实的掌握了有关计算机网络方面的知识，在设计过程中虽然遇到了一些问题，但经过一次又一次的思考，一遍又一遍的检查终于找出了原因所在，也暴露出了前期我在这方面的知识欠缺和经验不足。实践出真知，通过亲自动手制作，使我们掌握的知识不再是纸上谈兵。我不仅仅学到了专业知识，更使我懂得如何做事。其实每一次的课程设计都是在教会我怎么样做事情，它告诉我完成一件事情，光靠团队的人数是没有任何优势的，关键在