第1章、校园局域网组建一第一节、校园网络建的要求我校校园网工程范围主要为包括办公楼、图书室、住宿楼及实验楼在内的局域网部分。

内部局域网的建设包括硬件网络平台的建设、相应软件系统的应用。

根据校园的整体的网络架构，要使这复杂的网络跟高速、安全地通信，应充分保证以下几点: 1、数据通信：网络的配置的一个重点是让校园能够实现内外部的信息交流，实现资源共享，使师生可以正常的访问互联网，这是网络配置最基本的要求。

2、访问的可控性:对关键网络、系统和数据的访问必须得到有效的控制，这要求在配置路由器与交换机的过程中制定一些安全规则，通过这些安全规则来控制一些ip地址、数据包对校园内部的访问，并对任何访问进行跟踪记录，让校园有一个安全、稳定的网络。

3、网络的安全与管理：在这复杂的网络架构中，网络的方便管理是校园进行通信的基础，只有有效、快捷的网络管理，才能实现网络中突发事件快速解决，使网络正常通信，良好的网络配置，也可以让管理员快速地熟悉管理校园整个网络。

第二节、网络拓扑图与整体分析一、网络拓朴图二、网络整体分析统一大量采用了cisco2层和3层交换机和少量的路由器来构建网络，目前局域网普遍采用3层式结构化设计方案，即核心层、接入层和分布层。

本校园网具体结构如下：1、SW1是网络的核心层交换机，SW2和SW3是网络的接入层交换机。

2、在核心层配置vtp服务器，作用：在一台交换机上集中修改vlan的配置，所做的修改会被自动传播到网络中的所有其它交换机上，实现了交换机vlan的统一配置。

3、在路由器上使用nat，作用：利用nat技术就可以解决了校园对外部互联网访问的问题，实现师生可以正常浏览Internet。

4、IP地址规划表第二节、交换机vlan的划分与配置一、进行VLAN划分1、S1划分vlanS1#configS1(config)#vlan 10S1(config-vlan)# name tushuguanS1(config-vlan)#vlan 20S1(config-vlan)#name bangonglouS1(config-vlan)#vlan 30S1(config-vlan)#name shiyanlouS1(config-vlan)#vlan 40S1(config-vlan)#name sushelou2、设置交换机S2的端口2～10端口VLAN10的成员: S2(config)#vlan 10S2(config-vlan)# name tushuguanS2(config-vlan)#exitS2(config)#vlan 20S2(config-vlan)#name bangonglouS2(config-vlan)#exitS2(config)#inter range f 0/2-10S2(config-if)#switchport mode accessS2(config-if)#switchport access vlan 10设置交换机S2的端口11～21端口VLAN20的成员:S2(config)#inter range f 0/11-21S2(config-if)#switchport mode accessS2(config-if)#switchport access vlan 20S2(config-if)#int fa0/1S2(config-if)# switchport mode trunk3、设置交换机S3的端口2～10端口VLAN30的成员: S3(config)#vlan 30S3(config-vlan)# name shiyanlouS3(config-vlan)#exitS3(config)#vlan 40S3(config-vlan)# name sushelouS3(config-vlan)#exitS3(config)#inter range f 0/2-10S3(config-if)#switchport mode accessS3(config-if)#switchport access vlan 10设置交换机S3的端口11～21端口VLAN40的成员:S3(config)#inter range f 0/11-21S3(config-if)#switchport mode accessS3(config-if)#switchport access vlan 20S3(config-if)#int fa0/1S3(config-if)# switchport mode trunk二、利用交换机实现vlan间的通信采用单臂路由的方式实现vlan间路具有速度慢，转发速速率低的缺点，容易产生瓶颈，所以在网络中可以采用三层交换机，用三层交换的方式来实现vlan间的路由。

S1(config)#interface vlan 10S1(config-if)# ip address 192.168.1.1 255.255.255.0S1(config-if)#exitS1(config)#interface vlan 20S1(config-if)# ip address 192.168.2.1 255.255.255.0S1(config-if)#exitS1(config)#interface vlan 30S1(config-if)# ip address 192.168.3.1 255.255.255.0S1 (config-if)#exitS1(config)#interface vlan 40S1 (config-if)# ip address 192.168.4.1 255.255.255.0S1 (config-if)#exit三、交换机vtp配置为了让所有vlan统一配置管理，让汇聚层交换机sw1作为vtp server，sw2、sw3为vtp client。

在sw1上创建所有vlan，让sw2跟sw3可以学到vlan。

3.2.2 vtp服务器配置S1#conf tS1(config)#vtp serverS1(config)#vtp domain cisco 注：domain [dəʊ'mein] n.域名S1(config)#vtp password cisco3.2.3 vtp客户端配置S2# conf tS2(config)#vtp clientS2(config)#vtp domain ciscoS2(config)#vtp password ciscoS3# conf tS3(config)#vtp clientS3(config)#vtp domain ciscoS3(config)#vtp password cisco第三节、路由器的配置一、NAT 配置由于目前IP 地址资源非常稀缺，不可能给校园网内部的所有工作站都分配一个公有IP （Internet 可路由的）地址。

为了解决所有工作站访问Internet 的需要，必须使用NAT（网络地址转换）技术。

NAT 的配置：定义NAT 内部、外部接口R1(config)#interface fastehernet 0/0R1(config-if)#ip address 192.168.5.2 255.255.255.0R1(config-if)#ip nat insideR1(config-if)#interface serial 1/0R1(config-if)#ip address 218.100.100.1 255.255.255.0R1(config-if)#ip nat outsideR1(config)#ip nat inside source static 192.168.60.1218.100.100.1实现内部web服务器向外网提供服务：R1 (config)#ip nat pool pool 218.100.100.2 218.100.100.2 netmask 255.255.255.0R1(config)# access-list 1 permit host 200.1.1.2R1(config)# ip nat inside source list 1 pool pool overloadR1(config)#int f 0/2R1(config)#ip nat insideR1(config)#int s 0/1R1(config)#ip nat outside二、在路由器和三层交换机上配置IPR1(config)#interface Serial 0/1R1(config-if)#ip address 193.1.1.1 255.255.255.0R1(config-if)#no shutdownS1(config)#int f0/1S1(config)#no switchportS1(config-if)#ip address 192.168.5.1 255.255.255.0S1(config-if)#no shutdown三、配置OSPF路由协议R1(config)#router ospf 10R1(config-router)#network 192.168.5.0 0.0.0.3 area 0R1(config-router)#network 218.100.100.1 0.0.0.3 area 0R1(config)#ip route 0.0.0.0 0.0.0.0S1(config)#router ospf 10S1(config-router)#network 192.168.0.0 0.0.3.255 area 0S1(config-router)#network 200.1.1.0 0.0.0.3 area 0S1(config-router)#network 192.168.5.0 0.0.0.3 area 0第四节、网络安全设置一、访问控制列表配置路由器是外网进入内网的第一道关卡，是网络防御的前沿阵地。

路由器上的问控制列表（Access Control List，ACL）是保护内网安全的有效手段。

一个设计良好的访控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投的情况下完成一般软、硬件防火墙产品的功能。

由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护。

在本实例设计中，将针对服务器以及内网工作站的安全给出广域网接入路由器InternetRouter 上ACL 的配置方案。