实训项目一、小型校园网建设与管理（学时数：90）一、实训目的1、了解校园网建设的过程，利用实验室设备模拟组建一个小型校园网2、学习对校园网各种互联设备进行综合配置3、配置校园网服务器，对校园网实施管理二、实训环境路由器（Cisco 2621）一台，三层交换机（Cisco Catalyst 3750G）一台，二层交换机（Cisco Catalyst 2950F）九台，服务器三台，客户机十台以上，双绞线、RJ-45接头若干，压线钳一把，双绞线测试仪一台三、用户需求某大学计算机系有师生五百多人，有近400台电脑，主要分布为六个公共机房和三个专业实验室九大区域，已申请到多个全局IP地址（59.78.84.1~59.78.84.29，外部网关IP为：59.78.84.30，DNS服务器IP为：59.78.85.2），现拟建覆盖全系各机房实验室的校园网内小中心局域网，要求系内所有电脑均能接入CERNET，并与Internet相连，能支持办公自动化、信息管理、科研与教学等工作；要求网络中心能提供WWW、E-mail、FTP、BBS、DNS等Internet服务。

四、知识点说明1、虚拟局域网—VLAN（1）V LAN简介VLAN（Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。

一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。

VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。

当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备——要实现路由功能，既可采用路由器，也可采用三层交换机来完成。

使用VLAN有以下优点：控制广播风暴；提高网络整体安全性；使网络管理简单、直观。

（2）VLAN的配置全局模式下配置VLAN分两步：先配置VLAN号（即vlan ID）和VLAN名；再把端口划分到VLAN，最后配置网络端口地址c3750g(config)#vlan vlan号c3750g (config-vlan)#name vlan名c3750g (config-vlan)#exitc3750g (config)#interface端口号c3750g (config-if)#switchport access vlan名c3750g (config-if)# exitc3750g(config)#interface vlan名c3750g(config-if)#ip address ip地址子网掩码2、网络地址转换—NAT（1）NAT简介NAT(Network Address Translation，网络地址转换)是用于将一个专用地址域（局域网内部或Intranet）与另一个地址域（如Internet）建立起对应关系的技术。

NAT有两个主要的作用：首先，多个内部地址可以共享一个全局地址上网，从而节约了全局地址的使用。

另外，因为采用NAT的内部主机不直接使用全局地址，所以，在Internet上不直接可见，可以在一定程度上减少被攻击的风险，增强网络的安全性。

按转换方式的不同，NAT包括静态NAT和动态NAT两种方式，动态NAT又分为地址池转换（pool NAT）和端口地址转换(port NAT)（2）静态NAT的配置静态NAT用于在专用IP地址与全局IP地址之间进行一对一的转换。

其配置过程有三步：●指定参与转换的专用地址与全局地址Router（config）＃ip nat inside source static 本地IP地址全局IP地址●定义参与转换的局域网接口并指定为网络的内部接口Route（config）# interface 端口号Router（config－if）＃ ip address 本地IP地址子网掩码Router（config－if）# ip nat inside●定义参与转换的广域网接口并指定为网络的外部接口Router（config）# interface 端口号Router（config－if）# ip address 全局IP地址子网掩码Router（config－if）# ip nat outside（3）port NAT的配置port NAT是把专用地址映射到全局地址的不同端口上，因为一个IP地址的端口数有65535个，故从理论上说，一个全局地址可以供六万多个内部地址通过NAT连接Internet，但实际上一个IP地址最多只能支持4000路会话。

port NAT的配置过程有五步：●定义全局地址池Router（config）# ip nat pool 地址池名开始IP地址结束IP地址netmask 网络掩码例：Router（config）# ip nat pool aaa 2.2.2.1 2.2.2.100 netmask 255.255.255.0 ●定义一个标准访问列表，指定哪些专用地址被允许进行转换Router（config）# access-list 列表编号permit 源IP地址[通配符掩码（子网掩码的反码）]例：若允许202.173.96.0／24网络的全部主机进行动态地址转换Router（config）# access-list l permit 202.173.96.0 0.0.0.255●在专用地址与全局地址之间建立动态地址转换pool NATRouter（config）# ip nat inside source list 列表编号pool 地址池overload例：Router（config）# ip nat inside source list 1 pool aaa overload●定义参与转换的局域网接口并指定为网络的内部接口Route（config）# interface 端口号Router（config－if）＃ip address 本地IP地址子网掩码Router（config－if）# ip nat inside●定义参与转换的广域网接口并指定为网络的外部接口Router（config）# interface 端口号Router（config－if）# ip address 全局IP地址子网掩码Router（config－if）# ip nat outside3、访问控制列表ACL（1）ACL简介ACL通过在路由器接口处控制路由器数据包是被转发还是被阻塞来过滤网络通信流量。

路由器根据ACL中指定的条件来检测通过路由器的每个数据包，从而决定是转发还是丢弃该数据包。

ACL中的条件，既可以是数据包的源地址，也可以是目的地址，还可以是上层协议或其他因素。

●ACL的主要功能：限制网络流量，提高网络性能；提供对通信流量的控制手段；提供网络访问的基本安全手段；在路由器接口处，决定哪种类型的通信流量被转发，哪种类型的通信流量被阻塞●ACL的分类标准ACL：表号为1~99扩展ACL：表号为100~199命名ACL：表号为字符串，又分标准命名ACL和扩展命名ACL两种（2）ACL的配置●通常ACL的配制分为两步：定义访问控制列表（在全局模式）：access-list 表号{permit|deny} {测试条件} 将访问控制列表应用到某一接口上（在端口模式）：access-group 表号{in|out}●配置扩展命名ACL所用命令：c3750g (config)#ip access-list extended 列表名c3750g (config -ext-nacl)#Deny 源地址通配符掩码| any或permit 源地址通配符掩码| anyc3750g (config-if)# ip access-group name in |out五、实训内容1、网络互联部分（1）网络拓朴结构小中心局域网的网络拓扑结构：采用Cisco-3750T三层交换机作为中心交换机，各机房实验室配置多台二层交换机直接与计算机相连，每个机房实验室通过一根超5类双绞线与小中心局域网的中心交换机相连；配置一台Cisco-2621路由器作为外部路由器，连接校园网中心的核心交换机和小中心局域网的Cisco-3750T 三层交换机；在各机房和实验室配置三台Cisco-2950T二层交换机；在小中心局域网网管室，配置多台WWW、E-mail、FTP、DNS等Internet服务器，为全系师生提供相应的服务。

（2）网络互联技术目标1、内网计算机共享二十个全局IP地址（59.78.84.2~59.78.84.21）上Internet。

2、服务器1独立使用一个全局IP址59.78.84.25，使内网和Internet上的任何计算机都能访问该WWW服务和DNS服务。

3、服务器2独立使用一个全局IP址59.78.84.26，使内网和Internet上的任何计算机都能访问该E-mail、FTP、BBS服务。

4、不同机房、实验室划分不同的VLAN，以控制广播风暴。

5、办公室计算机能互相通信。

6、内网所有计算机通过内部IP或域名地址都能访问服务器。

（3）实训过程网络连接1、用直通线将路由器F1口与三层交换机F24口相连，路由器F0口与校园网网络中心相连2、三层交换机F1口与计算机房1二层交换机相连，F2口与计算机房2交换机相连，……，F6口与计算机房6二层交换机相连。

3、三层交换机F7口与实验室1二层交换机相连， F9口与实验室3二层交换机相连4、三层交换机F10口与办公室二层交换机相连5、三层交换机F15口与WWW、DNS服务器（服务器1）相连6、三层交换机F16口与E_mail、FTP服务器（服务器2）相连7、三层交换机F17口与局域网域控制器相连●Cisco2621路由器配置interface FastEthernet0/0ip address 59.78.84.1 255.255.255.0no shutdownip access-group denyvirus inip nat outsideinterface FastEthernet0/1ip address 192.168.24.253 255.255.255.0no shutdownip nat insideip routingrouter ripversion 2network 192.168.24.0ip nat pool net 59.78.84.2 59.78.84.21 netmask 255.255.255.0 ip nat inside source list 1 pool net overload ip nat inside source static tcp 192.168.15.1 80 59.78.84.25 80ip nat inside source static tcp 192.168.15.1 53 59.78.84.25 53ip nat inside source static tcp 192.168.16.1 21 59.78.84.26 21ip nat inside source static tcp 192.168.16.1 25 59.78.84.26 25ip classlessip route 0.0.0.0 0.0.0.0 59.78.84.30ip http serverip pim bidir-enableip access-list extended denyvirusdeny tcp any eq 135 any eq 135deny tcp any eq 136 any eq 136deny tcp any eq 137 any eq 137deny tcp any eq 138 any eq 138deny tcp any eq 139 any eq 139deny tcp any eq 445 any eq 445permit ip any anyaccess-list 1 permit anyCisco3750交换机配置interface GigabitEthernet1/0/1no ip addressmdix ainterface GigabitEthernet1/0/2switchport access vlan 2interface GigabitEthernet1/0/3switchport access vlan 3interface GigabitEthernet1/0/4switchport access vlan 4interface GigabitEthernet1/0/5switchport access vlan 5interface GigabitEthernet1/0/6switchport access vlan 6interface GigabitEthernet1/0/7switchport access vlan 7interface GigabitEthernet1/0/8switchport access vlan 8interface GigabitEthernet1/0/9switchport access vlan 9interface GigabitEthernet1/0/10switchport access vlan 10interface GigabitEthernet1/0/15switchport access vlan 15interface GigabitEthernet1/0/16switchport access vlan 16interface GigabitEthernet1/0/17switchport access vlan 17interface GigabitEthernet1/0/24switchport access vlan 24interface Vlan1ip address 192.168.1.254 255.255.255.0 ip access-group vlan1 ininterface Vlan2ip address 192.168.2.254 255.255.255.0 ip access-group vlan2 ininterface Vlan3ip address 192.168.3.254 255.255.255.0 ip access-group vlan3 ininterface Vlan4ip address 192.168.4.254 255.255.255.0 ip access-group vlan4 ininterface Vlan5ip address 192.168.5.254 255.255.255.0 ip access-group vlan5 ininterface Vlan6ip address 192.168.6.254 255.255.255.0 ip access-group vlan6 ininterfacip address 192.168.7.254 255.255.255.0 ip access-group vlan7 ininterface Vlan8ip address 192.168.8.254 255.255.255.0 ip access-group vlan8 ininterface Vlan9ip address 192.168.9.254 255.255.255.0 ip access-group vlan9 ininterface Vlan10ip address 192.168.10.254 255.255.255.0 ip access-group vlan10 ininterface Vlan15ip address 192.168.15.254 255.255.255.0 ip access-group vlan15 ininterface Vlan16ip address 192.168.16.254 255.255.255.0 ip access-group vlan16 ininterface Vlan17ip address 192.168.17.254 255.255.255.0ip access-group vlan17 ininterface Vlan24ip address 192.168.24.254 255.255.255.0ip routingrouter ripversion 2network 192.168.1.0network 192.168.2.0network 192.168.3.0network 192.168.4.0network 192.168.5.0network 192.168.6.0network 192.168.7.0network 192.168.8.0network 192.168.9.0network 192.168.10.0network 192.168.15.0network 192.168.16.0network 192.168.17.0network 192.168.24.0ip classlessip route 0.0.0.0 0.0.0.0 192.168.24.253ip http serverip access-list extended vlan1deny ip 192.168.1.0 0.0.0.255 192.168.6.0 0.0.0.255 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255 deny ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255 deny ip 192.168.1.0 0.0.0.255 192.168.7.0 0.0.0.255 deny ip 192.168.1.0 0.0.0.255 192.168.8.0 0.0.0.255 deny ip 192.168.1.0 0.0.0.255 192.168.9.0 0.0.0.255 permit ip any anyip access-list extended vlan2deny ip 192.168.2.0 0.0.0.255 192.168.6.0 0.0.0.255 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255 deny ip 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255 deny ip 192.168.2.0 0.0.0.255 192.168.9.0 0.0.0.255 deny ip 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255permit ip any anyip access-list extended vlan3deny ip 192.168.3.0 0.0.0.255 192.168.6.0 0.0.0.255 deny ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 deny ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255 deny ip 192.168.3.0 0.0.0.255 192.168.7.0 0.0.0.255 deny ip 192.168.3.0 0.0.0.255 192.168.8.0 0.0.0.255 deny ip 192.168.3.0 0.0.0.255 192.168.9.0 0.0.0.255 permit ip any anyip access-list extended vlandeny ip 192.168.4.0 0.0.0.255 192.168.6.0 0.0.0.255 deny ip 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255 deny ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255 deny ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255 deny ip 192.168.4.0 0.0.0.255 192.168.5.0 0.0.0.255 deny ip 192.168.4.0 0.0.0.255 192.168.9.0 0.0.0.255 deny ip 192.168.4.0 0.0.0.255 192.168.8.0 0.0.0.255 deny ip 192.168.4.0 0.0.0.255 192.168.7.0 0.0.0.255 permit ip any anyip access-list extended vlan5deny ip 192.168.5.0 0.0.0deny ip 192.168.5.0 0.0.0.255 192.168.1.0 0.0.0.255 deny ip 192.168.5.0 0.0.0.255 192.168.2.0 0.0.0.255 deny ip 192.168.5.0 0.0.0.255 192.168.3.0 0.0.0.255 deny ip 192.168.5.0 0.0.0.255 192.168.4.0 0.0.0.255 deny ip 192.168.5.0 0.0.0.255 192.168.7.0 0.0.0.255 deny ip 192.168.5.0 0.0.0.255 192.168.8.0 0.0.0.255 deny ip 192.168.5.0 0.0.0.255 192.168.9.0 0.0.0.255 permit ip any anyip access-list extended vlan6deny ip 192.168.6.0 0.0.0.255 192.168.1.0 0.0.0.255 deny ip 192.168.6.0 0.0.0deny ip 192.168.6.0 0.0.0.255 192.168.3.0 0.0.0.255 deny ip 192.168.6.0 0.0.0.255 192.168.4.0 0.0.0.255 deny ip 192.168.6.0 0.0.0.255 192.168.5.0 0.0.0.255 deny ip 192.168.6.0 0.0.0.255 192.168.9.0 0.0.0.255 deny ip 192.168.6.0 0.0.0.255 192.168.8.0 0.0.0.255 deny ip 192.168.6.0 0.0.0.255 192.168.7.0 0.0.0.255 permit ip any anyip access-list extended vlan7deny ip 192.168.7.0 0.0.0.255 192.168.2.0 0.0.0.255 deny ip 192.168.7.0 0.0.0deny ip 192.168.7.0 0.0.0.255 192.168.4.0 0.0.0.255 deny ip 192.168.7.0 0.0.0.255 192.168.5.0 0.0.0.255 deny ip 192.168.7.0 0.0.0.255 192.168.6.0 0.0.0.255 deny ip 192.168.7.0 0.0.0.255 192.168.8.0 0.0.0.255 deny ip 192.168.7.0 0.0.0.255 192.168.9.0 0.0.0.255 permit ip any anyip access-list extended vlan8deny ip 192.168.8.0 0.0.0.255 192.168.9.0 0.0.0.255 deny ip 192.168.8.0 0.0.0.255 192.168.7.0 0.0.0.255 deny ip 192.168.8.0 0.0.0.255 192.168.6.0 0.0.0.255 deny ip 192.168.8.0 0.0.0deny ip 192.168.8.0 0.0.0.255 192.168.4.0 0.0.0.255 deny ip 192.168.8.0 0.0.0.255 192.168.3.0 0.0.0.255 deny ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255deny ip 192.168.8.0 0.0.0.255 192.168.1.0 0.0.0.255permit ip any anyip access-list extended vlan9deny ip 192.168.9.0 0.0.0.255 192.168.1.0 0.0.0.255deny ip 192.168.9.0 0.0.0.255 192.168.2.0 0.0.0.255deny ip 192.168.9.0 0.0.0.255 192.168.3.0 0.0.0.255deny ip 192.168.9.0 0.0.0.255 192.168.4.0 0.0.0.255deny ip 192.168.9.0 0.0.0.255 192.168.5.0 0.0.0.255deny ip 192.168.9.0 0.0.0.255 192.168.6.0 0.0.0.255deny ip 192.168.9.0 0.0.0.255 192.168.7.0 0.0.0.255deny ip 192.168.9.0 0.0.0.255 192.168.8.0 0.0.0.255permit ip any any2、服务器配置部分（1）技术目标1、安装服务器1，配置WWW服务和DNS服务2、在服务器1上放置“上海农林职业技术学院计算机系”网站，使网内任一台计算机通过域名：能够访问计算机系主页3、在服务器1上提供安装个人网站服务4、安装服务器2，配置FTP服务、E-mail服务和BBS服务5、通过网内任一台计算机都能得到服务器2的E-mail服务6、通过网内任一台计算机都能得到服务器2的FTP服务（2）配置DNS服务如果win2000server中没有安装DNS的话，要安装一下。