计算机网络与安全实践 实验报告

计算机网络与安全实践设计报告

中国矿业大学南湖校区校园网建设方案

专业: 计算机科学与技术班级: 小组成员：

指导教师：职称：

中国矿业大学计算机科学与技术学院

2012 年04月徐州

1

目录

1引言 (4)

2网络设计的目标与要求： (4)

3方案设计与实现 (4)

3.1网络设计原则 (4)

3.2 主流组网技术分析与选择 (4)

3.3 网络拓扑结构设计 (5)

3.4 IP地址划分：包括VLAN、NA T、访问列表等实践内容的实现。 (5)

3.5设备选型与配置：各种路由交换设备、服务器等。 (5)

3.6 路由选择与配置 (8)

3.7 网络安全设计与管理 (8)

3.8 未来升级与扩展 (9)

4结束语 (9)

5.致谢 (9)

6、参考文献 (10)

3

中国矿业大学南湖校区校园网建设方案

1引言

计算机网络是计算机技术和通信技术相结合的产物，在信息技术的带动下，计算机网络发展的非常迅速，特别是internet的日益普及，“校园网“就随着各高校计算机网络的建设而引起广泛关注。建设和使用校园网络已成为一种普遍的趋势，学校对网络的依赖性越来越强，痛死我那个罗应用也是日新月异。从类型来看，校园网大都属于中小型系统，但它的网络结构和性能要求却又一定的特殊性，因此相应的网络设计和网络维护应有一些特别的考虑。

2网络设计的目标与要求：

构建南湖校区校园网，我们一组3个人，分别完成各自不同的项目。

XXX主要负责网络设计和各种配置问题和网络拓扑部分

XXX主要负责网络安全部分

XXX主要负责网络施工和网线布局

3方案设计与实现

3.1网络设计原则

校园网络设计方案应满足的要求：

采用成熟的技术方案

最大限度的采用同一厂家的产品

合理地划分vlan，能够实现vlan连接。

考虑网络的安全性。

3.2 主流组网技术分析与选择

中间核心层是一台核心三层交换机，分别连接属于分布层的学生宿舍楼，图书馆，行政楼，公教区。分布层除了行政楼是三层交换机外，其它的都是二层交换机。图中所示只说明了核心层和分布层，接入层还有很多二层交换机。其中宿舍楼还连有一台DHCP服务器，以为学生上网

分配IP地址。核心交换机连接一台内部路由器，该路由器充当NAT作用，连接这电信服务提供商，负责把内网地址转换为外网地址，以实现校园内网络可以访问因特网。

3.3 网络拓扑结构设计

3.4 IP地址划分：包括VLAN、NAT、访问列表等实践内容的实现。

内网全部使用私有地址，在核心交换机上划分vlan：

学生宿舍楼：vlan 2，所用网段192.168.1.0/24，网关地址为192.168.1.1/24

图书馆：vlan 3，所用网段192.168.2.0/24，网关地址为192.168.2.1/24.

教学楼：vlan 4，所用网段192.168.3.0/24，网关地址为192.168.3.1/24.

行政楼：vlan 5，所用网段192.168.4.0/24，网关地址为192.168.4.1/24.

核心交换机与NAT路由器相连网段为172.16.1.0/24

3.5设备选型与配置：各种路由交换设备、服务器等。

分布层的三层设备采用Cisco Catalyst 3560系列交换机。Cisco Catalyst 3560系列交换机一个固定配置、企业级、IEEE 802.3af和思科预标准以太网供电（PoE）交换机系列，工作在快速以太网和千兆位以太网配置下。Catalyst 3560是一款理想的接入层交换机。核心交换机为最主要部分，因此需要高端设备。Catalyst 6500系列为企业园区网和电信运营商网络

5

设立了新的IP通信和应用支持标准，它不但能提高用户的生产率，增强操作控制，还能提供无与伦比的投资保护。所有二层交换机考虑到价格因素选用锐捷RG-S6806E系列交换机。

关于DHCP服务器

DHCP指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。两台连接到互联网上的电脑相互之间通信，必须有各自的IP地址，但由于现在的IP地址资源有限，宽带接入运营商不能做到给每个报装宽带的用户都能分配一个固定的IP地址（所谓固定IP就是即使在你不上网的时候，别人也不能用这个IP地址，这个资源一直被你所独占），所以要采用DHCP方式对上网的用户进行临时的地址分配。也就是你的电脑连上网，DHCP服务器才从地址池里临时分配一个IP地址给你，每次上网分配的IP地址可能会不一样，这跟当时IP地址资源有关。当你下线的时候，DHCP服务器可能就会把这个地址分配给之后上线的其他电脑。这样就可以有效节约IP地址，既保证了你的通信，又提高IP地址的使用率。因为之前划分vlan时，学生宿舍楼属于vlan 2，可用地址空间为192.168.1.0/24，所以在DHCP服务器的地址池中只能宣告这个范围的地址供同学们使用。

通过更改三层交换机的优先级，使其成为生成树协议（STP）中的根交换机。为了交换机与交换机之间能够传递不同vlan，需要在交换机相连接口之间配成802.1Q trunk模式。还需要在每台交换机上配置VTP，用于传递和同步vlan信息，其中把三层交换机配置成VTP的server 端。在内部接入主机的交换机接口都配成portfast接口，此功能可以使该接口跳过生成树的监听和学习状态，直接进入转发状态，实现生成树的快速收敛。为了不让在配置了portfast接口上错误地连接交换机导致STP重新计算，配置了portfast的同时要配置bpduguard，此功能可以让配置了portfast的接口在接收BPDU的时候进入err-disable状态，从而解决不小心把交换机错误地接入。

配置DHCP：

Router(config)#service dhcp

Router(config)#ip dhcp pool STUDENT

Router(dhcp-config)#network 192.168.1.0 255.255.255.0

Router(dhcp-config)#exit

Router(config)#ip dhcp excluded-address 192.168.1.1

配置vlan：

SW(config)#vlan 2

SW(config-vlan)#name stu

SW(config-vlan)#exit

SW(config)#vlan 3

SW(config-vlan)#name lib