校园局域网组建与配置

第1章、校园局域网组建一第一节、校园网络建的要求我校校园网工程范围主要为包括办公楼、图书室、住宿楼及实验楼在内的局域网部分。内部局域网的建设包括硬件网络平台的建设、相应软件系统的应用。根据校园的整体的网络架构，要使这复杂的网络跟高速、安全地通信，应充分保证以下几点:1、数据通信：网络的配置的一个重点是让校园能够实现内外部的信息交流，实现资源共享，使师生可以正常的访问互联网，这是网络配置最基本的要求。2、访问的可控性:对关键网络、系统和数据的访问必须得到有效的控制，这要求在配置路由器与交换机的过程中制定一些安全规则，通过这些安全规则来控制一些ip地址、数据包对校园内部的访问，并对任何访问进行跟踪记录，让校园有一个安全、稳定的网络。3、网络的安全与管理：在这复杂的网络架构中，网络的方便管理是校园进行通信的基础，只有有效、快捷的网络管理，才能实现网络中突发事件快速解决，使网络正常通信，良好的网络配置，也可以让管理员快速地熟悉管理校园整个网络。第二节、网络拓扑图与整体分析一、网络拓朴图Internet图书馆实验楼办公楼宿舍楼S1/0218.100.100.1F0/1192.168.5.2F0/1192.168.5.1服务器VLAN10:192.168.1.0VLAN20:192.168.2.0VLAN30:192.168.3.0VLAN40:192.168.4.0SW1R1F0/3F0/5S1F0/2SW2SW3F0/2F0/1S2F0/2F0/1200.1.1.1ftpVLAN20VLAN30VLAN40F0/4F0/4200.1.1.2webWebS0VLAN10二、网络整体分析统一大量采用了cisco2层和3层交换机和少量的路由器来构建网络，目前局域网普遍采用3层式结构化设计方案，即核心层、接入层和分布层。本校园网具体结构如下：1、SW1是网络的核心层交换机，SW2和SW3是网络的接入层交换机。2、在核心层配置vtp服务器，作用：在一台交换机上集中修改vlan的配置，所做的修改会被自动传播到网络中的所有其它交换机上，实现了交换机vlan的统一配置。3、在路由器上使用nat，作用：利用nat技术就可以解决了校园对外部互联网访问的问题，实现师生可以正常浏览Internet。4、IP地址规划表IP地址区域192.168.1.0/24图书馆192.168.2.0/24办公楼192.168.3.0/24实验楼192.168.4.0/24宿舍楼第二节、交换机vlan的划分与配置一、进行VLAN划分1、S1划分vlanS1#configS1(config)#vlan10S1(config-vlan)#nametushuguanS1(config-vlan)#vlan20S1(config-vlan)#namebangonglouS1(config-vlan)#vlan30S1(config-vlan)#nameshiyanlouS1(config-vlan)#vlan40S1(config-vlan)#namesushelou2、设置交换机S2的端口2～10端口VLAN10的成员:S2(config)#vlan10S2(config-vlan)#nametushuguanS2(config-vlan)#exitS2(config)#vlan20S2(config-vlan)#namebangonglouS2(config-vlan)#exitS2(config)#interrangef0/2-10S2(config-if)#switchportmodeaccessS2(config-if)#switchportaccessvlan10设置交换机S2的端口11～21端口VLAN20的成员:S2(config)#interrangef0/11-21S2(config-if)#switchportmodeaccessS2(config-if)#switchportaccessvlan20S2(config-if)#intfa0/1S2(config-if)#switchportmodetrunk3、设置交换机S3的端口2～10端口VLAN30的成员:S3(config)#vlan30S3(config-vlan)#nameshiyanlouS3(config-vlan)#exitS3(config)#vlan40S3(config-vlan)#namesushelouS3(config-vlan)#exitS3(config)#interrangef0/2-10S3(config-if)#switchportmodeaccessS3(config-if)#switchportaccessvlan10设置交换机S3的端口11～21端口VLAN40的成员:S3(config)#interrangef0/11-21S3(config-if)#switchportmodeaccessS3(config-if)#switchportaccessvlan20S3(config-if)#intfa0/1S3(config-if)#switchportmodetrunk二、利用交换机实现vlan间的通信采用单臂路由的方式实现vlan间路具有速度慢，转发速速率低的缺点，容易产生瓶颈，所以在网络中可以采用三层交换机，用三层交换的方式来实现vlan间的路由。S1(config)#interfacevlan10S1(config-if)#ipaddress192.168.1.1255.255.255.0S1(config-if)#exitS1(config)#interfacevlan20S1(config-if)#ipaddress192.168.2.1255.255.255.0S1(config-if)#exitS1(config)#interfacevlan30S1(config-if)#ipaddress192.168.3.1255.255.255.0S1(config-if)#exitS1(config)#interfacevlan40S1(config-if)#ipaddress192.168.4.1255.255.255.0S1(config-if)#exit三、交换机vtp配置为了让所有vlan统一配置管理，让汇聚层交换机sw1作为vtpserver，sw2、sw3为vtpclient。在sw1上创建所有vlan，让sw2跟sw3可以学到vlan。3.2.2vtp服务器配置S1#conftS1(config)#vtpserverS1(config)#vtpdomaincisco注：domain[dəʊ'mein]n.域名S1(config)#vtppasswordcisco3.2.3vtp客户端配置S2#conftS2(config)#vtpclientS2(config)#vtpdomainciscoS2(config)#vtppasswordciscoS3#conftS3(config)#vtpclientS3(config)#vtpdomainciscoS3(config)#vtppasswordcisco第三节、路由器的配置一、NAT配置由于目前IP地址资源非常稀缺，不可能给校园网内部的所有工作站都分配一个公有IP（Internet可路由的）地址。为了解决所有工作站访问Internet的需要，必须使用NAT（网络地址转换）技术。NAT的配置：定义NAT内部、外部接口R1(config)#interfacefastehernet0/0R1(config-if)#ipaddress192.168.5.2255.255.255.0R1(config-if)#ipnatinsideR1(config-if)#interfaceserial1/0R1(config-if)#ipaddress218.100.100.1255.255.255.0R1(config-if)#ipnatoutsideR1(config)#ipnatinsidesourcestatic192.168.60.1218.100.100.1实现内部web服务器向外网提供服务：R1(config)#ipnatpoolpool218.100.100.2218.100.100.2netmask255.255.255.0R1(config)#access-list1permithost200.1.1.2R1(config)#ipnatinsidesourcelist1poolpooloverloadR1(config)#intf0/2R1(config)#ipnatinsideR1(config)#ints0/1R1(config)#ipnatoutside二、在路由器和三层交换机上配置IPR1(config)#interfaceSerial0/1R1(config-if)#ipaddress193.1.1.1255.255.255.0R1(config-if)#noshutdownS1(config)#intf0/1S1(config)#noswitchportS1(config-if)#ipaddress192.168.5.1255.255.255.0S1(config-if)#noshutdown三、配置OSPF路由协议R1(config)#routerospf10R1(config-router)#network192.168.5.00.0.0.3area0R1(config-router)#network218.100.100.10.0.0.3area0R1(config)#iproute0.0.0.00.0.0.0S1(config)#routerospf10S1(config-router)#network192.168.0.00.0.3.255area0S1(config-router)#network200.1.1.00.0.0.3area0S1(config-router)#network192.168.5.00.0.0.3area0第四节、网络安全设置一、访问控制列表配置路由器是外网进入内网的第一道关卡，是网络防御的前沿阵地。路由器上的问控制列表（AccessControlList，ACL）是保护内网安全的有效手段。一个设计良好的访控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护。在本实例设计中，将针对服务器以及内网工作站的安全给出广域网接入路由器InternetRouter上ACL的配置方案。在网络环境中普遍存在着一些非常重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要该做以下的ACL设计：1、对外屏蔽简单网管协议利用这个协议，远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型：SNMP和SNMPTRAP。R1(config)#access-list101denyudpanyanyeqsnmpR1(config)#access-list101denyudpanyanyeqsnmptrap2、对外屏蔽远程登录协议首先，telnet可以登录到大多数网络设备和UNIX服务器，并可以使用相关命令全操纵它们。其次，telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。这是极其危险的，因此必须加以屏蔽。R1(config)#access-list101denyudpanyanyeqtelnet3、配置访问控制列表宿舍楼是学生为主，应限制宿舍楼对办公楼的访