校园网络配置方案.docx

1、校园网络配置方案 校园网配置方案目录一、网络IP地址的划分 31.1 办公行政楼 31.2 教学楼 31.3 学生宿舍区 41.4 图书馆 4二、交换机配置与调试 52.1 VLAN的规划 52.2 trunk的实现 52.3 vtp的实现 52.4 stp的实现 62.5 端口汇聚 62.6 ACL的配置 6三、路由器配置与调试 63.1 路由器上的ACL 73.2 OSPF 8四、广域网配置 84.1 NAT配置 84.2 PPP身份认证的配置 84.3 NAPT的配置 9配置方案一、网络IP地址的划分根据网络的实际需求，以图书馆所在的网络中心为铺设点，从而对全校各ip点的地址进行详细规划

2、。网络中心内部管理办公室端口划分为VLAN1，DNS为202.96.128.166、202.96.128.86,内部网关192.168.0.1，子网掩码为255.255.255.0。另外在为其他楼层设计IP地址方案之前，应考虑以下几个问题: 1）. 是否将网络用真实地址连入Internet。 2）. 是否将网络划分为若干子网以方便网络管理。 3）. 是采用静态IP地址分配还是动态IP地址分配。 4）. 每个子网现在规划多少个信息点。5）. 每个子网将来会增加多少个信息点。 1.1 办公行政楼将连到教师办公室的交换机端口划分为VLAN2，将连到行政办公室的交换机端口划分为VLAN3，每台计算机手

3、工设置静态IP地址，DNS为202.96.128.166 、202.96.128.86,网关192.168.1.1，子网掩码为255.255.255.0，在网络中心的路由器上设置动态NAT共享上网，公网的IP段为200.1.1.1-200.1.1.5。行政办公室IP范围为:192.168.1.2192.168.1.120教师办公室IP范围为:192.168.1.120192.168.1.2541.2 教学楼将VLAN4VLAN67分别划分给每一间教室，每台计算机手工设置静态IP地址，DNS为202.96.128.166 202.96.18.86,网关192.168.2.1, 子网掩码为255.

4、255.255.0，在网络中心的路由器上设置动态NAT共享上网，公网的IP段为200.1.1.6-200.1.1.101楼的IP范围为 192.168.2.1192.168.2.162楼的IP范围为 192.168.2.17192.168.2.323楼的IP范围为 192.168.2.33192.168.2.484楼的IP范围为 192.168.2.49192.168.2.64计算机室16的IP划分如下表：计算机室服务器IP教师机学生机110.1.1.1/24192.168.2.59/2410.1.1.52/2410.1.1.210.1.1.51/24210.1.2.1/24192.168.2

5、.60/2410.1.2.52/2410.1.2.210.1.1.51/24310.1.3.1/24192.168.2.61/2410.1.3.52/2410.1.3.210.1.1.51/24410.1.4.1/24192.168.2.62/2410.1.4.52/2410.1.4.210.1.1.51/24510.1.5.1/24192.168.2.63/2410.1.5.52/2410.1.5.210.1.1.51/24610.1.6.1/24192.168.2.64/2410.1.6.52/2410.1.6.210.1.1.51/24教学楼交换机拓扑图1.3 学生宿舍区将VLAN 68

6、 到 VLAN 73分别划分给学生宿舍楼A的16栋，将VLAN 74 到 VLAN 79分别加划分给学生宿舍楼B的16栋，将VLAN 80 到 VLAN 82分别划分给学生宿舍楼C的13栋，将VLAN83 到 VLAN86分别划分给学生宿舍楼D的14栋，其IP地址由网络中心的将路由器设为DHCP服务器，设其IP段为172.18.2.0172.118.255.255 子网掩码为255.255.240.0自动分配给学生宿舍区。在网络中心的路由器上设置动态NAT上网，公网的IP段为200.1.1.11-200.1.1.20。1.4 图书馆将连到电子阅览室的交换机端口划分为VLAN87，每台计算机手工

7、设置静态IP地址，DNS为202.96.128.166 202.96.18.86,网关192.168.3.1, 子网掩码为255.255.255.0。在网络中心的路由器上设置动态NAT共享上网，在网络中心的路由器上设置动态NAT共享上网，以及设置静态NAT，绑定知网公网地址。公网的IP段为200.1.1.21-200.1.1.25。电子阅览室的IP为192.168.3.3-192.168.3.63将VLAN88VLAN91分别划分给FTP、校内论坛和教学网站、学校官方网站，手动设置IP，在网络中心的路由器上设置静态NAT，绑定学校官方网站公网地址。二、交换机配置与调试交换机的配置调试主要包括网

8、络vlan的划分、不同vlan之间实现通信、vtp的实现、stp的实现、端口汇聚等。2.1 VLAN的规划对网络进行vlan划分能防止网络风暴。划分vlan的方法有基于端口划分、基于mac地址划分、基于网络层划分和根据ip组播划分。根据各种划分vlan方法优缺点的综合考虑，决定办公行政楼、教学楼、图书馆、学生宿舍采用基于网络层划分的方法。根据信息点的实际情况，具体vlan划分如下：表 1 vlan详细规划表楼层VLAN划分划分理由网络中心VLAN1网络中心管理办公室办公行政楼VLAN2VLAN3划分为行政办公和教学办公教学楼VLAN4VLAN67分别划分给每一间机房（小型局域网）学生宿舍VLA

9、N68VLAN86A、B区各6栋楼、C区3栋楼、D区4栋楼图书馆VLAN87VLAN91分别划分给电子阅览室、FTP、网站、论坛2.2 trunk的实现由于行政楼有领导办公室，领导需要了解不同部门的运作情况，所以在行政楼的接入层交换机上和核心层的交换机启动trunk接口，以便实现访问。2.3 vtp的实现学生公寓楼的上网人群较多，需要划分为很多不同vlan，但如此庞大的vlan数目，对于管理者来说是相当的痛苦，因此需要配置vtp。将各个楼层的汇聚交换机配置为vtp的服务器模式，各个接入层交换机配置为客户端模式，并启动动态修剪功能，减少中继链路上不必要的信息量。2.4 stp的实现实训楼通过双交

10、换机作为核心层，为了防止发生环路，需要在2个交换机上配置stp，根据ID号或者MAC地址寻找根端口。2.5 端口汇聚学生公寓上网人群集中，为了解决网络瓶颈，在核心层交换机上配置端口聚合，将端口4、5、6汇聚为一个端口，实现高速转发数据功能。2.6 ACL的配置不同的人群对服务器群有不同访问需求，为了满足这种需求，需要在交换机上配置不同的访问控制列表，具体的配置列表如下：表 2 交换机ACL配置信息表服务类型允许拒绝www10.100.1.0/23；172.18.84.0/22；10.100.6.0/24；192.168.10.0/24；192.168.1.0/23其他任何其他网络地址Telen

11、t10.100.1.0/23；172.18.84.0/22；10.100.6.0/24；192.168.10.0/24；192.168.1.0/23其他任何其他网络地址ftp10.100.1.0/23；172.18.84.0/22；10.100.6.0/24；192.168.10.0/24；192.168.1.0/23其他任何其他网络地址三、路由器配置与调试整个校园网络通过路由器与外面网络进行通信，为了控制网络流量与网络安全，通过在路由器上制定访问控制列表，提供想提供的服务与信息列表。3.1 路由器上的ACLACL用来规划网络中的访问层次，以期达到优化网络流量，加强网络安全的作用。ACL都是由

12、具体的一条条规则组成，ACL可以绑定在物理端口上，也能绑定在虚拟接口上,如Vlan接口。学校的ACL配置主要有以下几方面进行设置：（1） 允许内部IP地址范围(config)#ip access-list 1 permit 192.168.0.0 0.0.7.255（2） 对外屏蔽远程登录协议telnet(config)#ip access-list 101 deny tcp any any eq telnet(config)#ip access-list 101 permit ip any any(config)#interface serial 0/1(config-if)#ip acce

13、ss-group 101 in（3） 对外屏蔽其他不安全的协议或服务如远程执行、远程登录、远程命令的端口是512、513、514，远程过程调用端口111,文件共享协议端口2049。可以针对这些端口进行协议设计。(config)#ip access-list 101 deny tcp any any range 512 513 514(config)#ip access-list 101 deny tcp any any eq 111(config)#ip access-list 101 deny udp any any eq 111(config)#ip access-list 101 den

14、y tcp any any range 2049(config)#ip access-list 101 permit ip any any(config)#interface serial 0/1(config-if)#ip access-group 101 in允许拒绝61.143.146.12761.146.118.31125.217.151.155219.128.141.103全部表 3 路由上ACL详细信息表3.2 OSPF学院在高新技术区设立了继续教育学院的分校区，为了实现和分校区通信，配置链路状态路由协议-ospf。在2个路由器上配置主区域area 0，实现单区域的ospf连接。四

15、、广域网配置为了解决教师出差不能访问内部教学系统的问题，在路由上配置vpn。vpn的用户名为hzy-vpn，密码为hzy-vpn，加密算法为md5.4.1 NAT配置定义NAT内部、外部接口：(config)#interface fastethernet 0/0(config-if)#ip nat inside(config-if)#interface serial 0/0(config-if)#ip nat outside4.2 PPP身份认证的配置PPP提供两种可选的身份认证方法：口令验证协议PAP和咨询握手协议CHAP。PAP是一个简单的、实用的身份验证协议。PAP认证进程只在双方的通信

16、链路建立初期进行。如果认证成功，在通信过程中不再进行认证。如果认证失败，则直接释放链路。CHAP认证比PAP认证更安全，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过得随机序列，同时，身份认证可以随时进行，包括在双方正常通信过程中。但CHAP对端系统要求很高，因为需要多次进行身份咨询、响应。这需要耗费较多的CPU资源，因此在用在对安全要求很高的场合。(config)#username router password userpwd(config)#interface serial 0/1(config-if)#ppp authentication chap4.3 NAPT的配置

17、学校机房教学网有一个内部网络192.168.2.0由于内部用户有访问外部网络的要求，因此分配给它一个外部网络的公用地址210.34.143.2用于内网络用户访问外部网络。设置外部网络的一个地址用于NATip nat pool mypool 210.34.143.2 210.34.143.2 prefix 30设置网内部网络的要转换的地址access-list 1 permit 192.168.2.0 0.0.0.255设置内外地址转换ip nat inside source list 1 pool mypool overload设置内部网络的接口interface ethernet0ip nat inside设置外部网络的接口interface ethernet1ip nat outside通过以上配置，机房内的所有设备都能访问外部网，满足了机房学生上网的要求。