计算机网络与安全实践设计报告中国矿业大学南湖校区校园网建设方案专业: 计算机科学与技术班级: 小组成员：指导教师：职称：中国矿业大学计算机科学与技术学院2012 年04月徐州1目录1引言 (4)2网络设计的目标与要求： (4)3方案设计与实现 (4)3.1网络设计原则 (4)3.2 主流组网技术分析与选择 (4)3.3 网络拓扑结构设计 (5)3.4 IP地址划分：包括VLAN、NA T、访问列表等实践内容的实现。

(5)3.5设备选型与配置：各种路由交换设备、服务器等。

(5)3.6 路由选择与配置 (8)3.7 网络安全设计与管理 (8)3.8 未来升级与扩展 (9)4结束语 (9)5.致谢 (9)6、参考文献 (10)3中国矿业大学南湖校区校园网建设方案1引言计算机网络是计算机技术和通信技术相结合的产物，在信息技术的带动下，计算机网络发展的非常迅速，特别是internet的日益普及，“校园网“就随着各高校计算机网络的建设而引起广泛关注。

建设和使用校园网络已成为一种普遍的趋势，学校对网络的依赖性越来越强，痛死我那个罗应用也是日新月异。

从类型来看，校园网大都属于中小型系统，但它的网络结构和性能要求却又一定的特殊性，因此相应的网络设计和网络维护应有一些特别的考虑。

2网络设计的目标与要求：构建南湖校区校园网，我们一组3个人，分别完成各自不同的项目。

XXX主要负责网络设计和各种配置问题和网络拓扑部分XXX主要负责网络安全部分XXX主要负责网络施工和网线布局3方案设计与实现3.1网络设计原则校园网络设计方案应满足的要求：采用成熟的技术方案最大限度的采用同一厂家的产品合理地划分vlan，能够实现vlan连接。

考虑网络的安全性。

3.2 主流组网技术分析与选择中间核心层是一台核心三层交换机，分别连接属于分布层的学生宿舍楼，图书馆，行政楼，公教区。

分布层除了行政楼是三层交换机外，其它的都是二层交换机。

图中所示只说明了核心层和分布层，接入层还有很多二层交换机。

其中宿舍楼还连有一台DHCP服务器，以为学生上网分配IP地址。

核心交换机连接一台内部路由器，该路由器充当NAT作用，连接这电信服务提供商，负责把内网地址转换为外网地址，以实现校园内网络可以访问因特网。

3.3 网络拓扑结构设计3.4 IP地址划分：包括VLAN、NAT、访问列表等实践内容的实现。

内网全部使用私有地址，在核心交换机上划分vlan：学生宿舍楼：vlan 2，所用网段192.168.1.0/24，网关地址为192.168.1.1/24图书馆：vlan 3，所用网段192.168.2.0/24，网关地址为192.168.2.1/24.教学楼：vlan 4，所用网段192.168.3.0/24，网关地址为192.168.3.1/24.行政楼：vlan 5，所用网段192.168.4.0/24，网关地址为192.168.4.1/24.核心交换机与NAT路由器相连网段为172.16.1.0/243.5设备选型与配置：各种路由交换设备、服务器等。

分布层的三层设备采用Cisco Catalyst 3560系列交换机。

Cisco Catalyst 3560系列交换机一个固定配置、企业级、IEEE 802.3af和思科预标准以太网供电（PoE）交换机系列，工作在快速以太网和千兆位以太网配置下。

Catalyst 3560是一款理想的接入层交换机。

核心交换机为最主要部分，因此需要高端设备。

Catalyst 6500系列为企业园区网和电信运营商网络5设立了新的IP通信和应用支持标准，它不但能提高用户的生产率，增强操作控制，还能提供无与伦比的投资保护。

所有二层交换机考虑到价格因素选用锐捷RG-S6806E系列交换机。

关于DHCP服务器DHCP指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。

两台连接到互联网上的电脑相互之间通信，必须有各自的IP地址，但由于现在的IP地址资源有限，宽带接入运营商不能做到给每个报装宽带的用户都能分配一个固定的IP地址（所谓固定IP就是即使在你不上网的时候，别人也不能用这个IP地址，这个资源一直被你所独占），所以要采用DHCP方式对上网的用户进行临时的地址分配。

也就是你的电脑连上网，DHCP服务器才从地址池里临时分配一个IP地址给你，每次上网分配的IP地址可能会不一样，这跟当时IP地址资源有关。

当你下线的时候，DHCP服务器可能就会把这个地址分配给之后上线的其他电脑。

这样就可以有效节约IP地址，既保证了你的通信，又提高IP地址的使用率。

因为之前划分vlan时，学生宿舍楼属于vlan 2，可用地址空间为192.168.1.0/24，所以在DHCP服务器的地址池中只能宣告这个范围的地址供同学们使用。

通过更改三层交换机的优先级，使其成为生成树协议（STP）中的根交换机。

为了交换机与交换机之间能够传递不同vlan，需要在交换机相连接口之间配成802.1Q trunk模式。

还需要在每台交换机上配置VTP，用于传递和同步vlan信息，其中把三层交换机配置成VTP的server 端。

在内部接入主机的交换机接口都配成portfast接口，此功能可以使该接口跳过生成树的监听和学习状态，直接进入转发状态，实现生成树的快速收敛。

为了不让在配置了portfast接口上错误地连接交换机导致STP重新计算，配置了portfast的同时要配置bpduguard，此功能可以让配置了portfast的接口在接收BPDU的时候进入err-disable状态，从而解决不小心把交换机错误地接入。

配置DHCP：Router(config)#service dhcpRouter(config)#ip dhcp pool STUDENTRouter(dhcp-config)#network 192.168.1.0 255.255.255.0Router(dhcp-config)#exitRouter(config)#ip dhcp excluded-address 192.168.1.1配置vlan：SW(config)#vlan 2SW(config-vlan)#name stuSW(config-vlan)#exitSW(config)#vlan 3SW(config-vlan)#name libSW(config-vlan)#exitSW(config)#vlan 4SW(config-vlan)#name techSW(config-vlan)#exitSW(config)#int f1/0 //交换机上连接主机的接口SW(config-if)#switchport mode accessSW(config-if)#switchport access vlan 2SW(config)#spanning-tree portfast defaultSW(config)#spanning-tree portfast bpduguard defaultSW(config)#interface f1/2 //交换机之间互联接口配trunkSW(config-if)#switchport trunk encapsulation dot1qSW(config-if)#switchport mode trunkSW(config)#spanning-tree vlan 1-4096 priority 0 //核心交换机上配置优先级使其成为根交换机。

SW(config)#vtp domain cisco //配置所有交换机相同域名和密码。

SW(config)#vtp password ccieSW(config)#vtp mode server //核心交换机为server端SW(config)#vtp mode client //其它交换机为client端核心交换机创建SVI接口，并且运行OSPF协议：SW(config)#interface vlan 3SW(config-if)#ip address 192.168.2.1 255.255.255.0SW(config)#interface f1/1SW(config-if)#no switchport //开启交换机三层接口SW(config-if)#ip address 172.16.1.1 255.255.255.0SW(config)#router ospf 1SW(config-router)#router-id 1.1.1.1SW(config-router)#network 192.168.1.0 0.0.0.255 area 1SW(config-router)#network 192.168.2.0 0.0.0.255 area 2SW(config-router)#network 192.168.3.0 0.0.0.255 area 3SW(config-router)#network 192.168.4.0 0.0.0.255 area 4SW(config-router)#network 172.16.1.1 0.0.0.0 area 0 //用于NAT路由建立邻居关系73.6 路由选择与配置思科cisco 2800系列路由器可以用于中小型企业的网络接入，实现NAT转换，共享公网地址，支持各种专线接入。

NAT路由器的设计网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。

NAT不仅解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

因此NAT是这个校园网络不可缺少的一部分。

NAT可以将多个地址同时映射到单个地址，该功能称为PAT。

PAT会同时转换IP地址和端口号，来自不同地址的数据包可以被转换为同一个地址，但相应的端口号不相同，这样就可以共享同一个地址了。

NAT连接核心交换机的地址采用私有地址，连接ISP的接口采用共有地址，该地址必须要向ISP申请。

配置NAT：Router(config)#interface f0/0Router(config-if)#ip address 172.16.1.2 255.255.255.0Router(config-if)#ip nat insideRouter(config-if)#no shutdownRouter(config)#interface f1/0Router(config-if)#ip address 197.168.1.2 255.255.255.0Router(config-if)#ip nat outsideRouter(config-if)#no shutdownRouter(config)#ip nat inside source list 1 interface f1/0 overloadRouter(config)#access-list 1 permit 192.168.0.0 0.0.255.255配置OSPF：Router (config)#router ospf 1Router (config-router)#router-id 2.2.2.2Router (config-router)#network 172.16.1.2 0.0.0.0 area 03.7 网络安全设计与管理安全设计：在防火墙，路由器上进行访问列表控制和隔离。