校园网模拟设计与实现

综合课程设计报告题目：校园网模拟设计与实现

班级：

组长:

组员一：

组员二：

组员三：

组员四：

完成日期：XXXX年xx月xx日

一、校园网模拟设计需求分析

本次课程设计模拟环境的设计是根据XXXX的校园网真实情况进行的，要求满足学生网和教师网能够正常上网，其中学生网采用私有地址，教师网用私有地址模拟公有地址，所以学生网访问教师网时，需要进行NAT转换；学生网和教师网设计完成并能上网后，附加访问控制列表，端口安全的规则，保证校园网的安全，网络的设计要求使用年限10年，布线实施经济合理。校园网设计时需遵照以下要求：

1、现在PT5.3.1上模拟实现，后在真实设备上实现。

2、现整体规划，后实现，先局部，各族分工协作，后整体，集成调试。

3、先内网正常通信，后外网通信。

4、正常通信后，在施加ACL、OSPF、端口安全、无线安全等安全策略和认证（本部分在PT5.3.1上实现，真实布局中由于设备局限仅作了解）。

二、校园网模拟环境和主要设备

模拟环境

本次模拟环境的设计是根据XXXX的校园网真实情况进行的。

主要设备

1、外网接入：

从校园网链接3个VLAN过来。通过入门处，在实验室前面的左面面板接入4个VLAN，通过跳线直接接到一台3548交换机的Fa0/48口上

2、BR边缘路由器：用R1841路由器。

3、广域网FrameRelay：

有2个分支机构，通过帧中继云接入校园总部，进而实现对校园网资源的访问和共享，并通过校园网访问Internet。用Cisco 2811 路由器做帧中继交换机（该路由器具有4 个广域网串口，HWIC-4A/S）。总部和分支路由器都用Cisco 1841 路由器的s0/0/0 口接入到2811 路由器相应的接口上。两个分支机构之间不需要建立映射。

4、核心3层交换：

两台3层交换机3560-24PS，分别用于教师网和学生网的交换。

5、汇聚到接入的互联：

三台3层交换机3560-24PS中，1台汇聚部分教师网，其他的汇聚学生网。

一台1841路由器实现单臂路由，汇聚部分教师网。

6、接入层交换机：8台接入交换机2960。

3台用于接入教师网的主机，5台用于接入学生网的主机。

7、无线接入：无线AP和无线路由器。

WRT160N无线路由器是三合一的设备，有两种接入方式。

(1)为无线AP和交换机用，将AP通过LAN口上连到交换机即可，

(2)作为无线AP、交换机和路由器用，则通过INTERNET口上连到交换机即可。此时路由器要启用内部的NAT功能，实现内网上网。

8、终端PC机。

三、校园网模拟总体设计

1、给所有的设备进行相应的基本配置。

配置主机名，实现设备的基本安全口令。包括console口、特权加密口令以及Telnet 远程登录口令。

2、IP地址规划

内网：网络中心给教师网一个IP地址块：172.20.254.0/24，可以模拟我们的教育网，按照接入层交换机上的VLAN地址数量进行划分，尽量不浪费地址。教师网的主机，经过VLAN601出口时，不需要经过NAT转换，而经过其他两个出口时，要做NAT转换。学生网一个地址块，192.168.0.0/16,相当于私网，因此，学生网经过三个出口时，都要做NAT 转换。

外网：为了模拟校园网的多出口，校园网提供了3个网段的链接，只需要知道下一跳地址以及你可以使用的地址即可。设备互联地址用10.0.0.0/8网段进行分配。 Fa0/48 作为trunk端口接入，把校园网定义的4个VLAN传递进来。4个VLAN信息：Vlan112: 对应接口 fa0/1，对应校园网直接支持的172.20.254.0/24网段

Vlan601: 对应接口：fa0/17, 接入的接口地址 10.5.0.1/30

(校园网的172.20.254.0/24网段)

Vlan102: 对应接口：fa0/19, 接入的接口地址 121.251.254.222/30

Vlan101: 对应接口：fa0/21, 接入的接口地址 211.87.183.62/30

3、路由

（1）外网路由

①BR上要启用多出口策略，缺省路由指向VLAN601，即172.20.254.0/24网段可

以直接到NET1。

②到另外的两个网段，NET2和NET3，要用NAT转换，其中NET2用端口复用，而NET3 用地址池复用

③BR上要启用静态路由指向内网，内网使用汇聚后的网络地址

④到另外的两个网段模拟，我们可以用两条单独的静态路由来指定，如，访问，强制走NET2，访问强制走NET3。两个网站的地址，用nslookup 命令解析即可得到。

（2）内网路由

教师网和学生网分为两个独立OSPF主域0单独运行。在二者的核心之间要通过静态路由实现互访，模拟实现校园网内教师网和学生网的私网、公网混合路由。

①教师内网配置多域OSPF路由协议，主域为0。所有的核心和汇聚设备之间启

用OSPF。

②教师网内配置 OSPF 身份验证，在核心和汇聚的三层交换机之间配置MD5身份

认证。使用 1 作为密钥值并使用 cisco123 作为口令，在核心和汇聚之间配置 OSPF MD5 身份验证。

③BR上要启用静态路由分别指向内网的教师网和学生网，内网使用汇总后的网

络地址。

④Tea-Core上启用缺省路由，同时把缺省路由通过OSPF自动传播给域内的其它

三层交换机或路由器

⑤Stu-Core上启用缺省路由，同时把缺省路由通过OSPF自动传播给域内的其它

三层交换机或路由器，学生网不启用OSPF身份认证。

⑥关闭不必要的路由更新

4、交换

（1）交换机switch3直连单臂路由器，VTP模式设置为缺省的server模式，直接创

建VLAN121、VLAN122。VLAN内的主机数见图示，根据图示决定其各个子网的主机数。所有VLAN内主机的网关地址取最后可用主机的地址。所有PC机的地址通过远端的DHCP Server自动获得。

（2）交换机Office、Switch1和Switch2上组成一个VTP域， VTP域名为office，

VTP密码为cisco123。，Office的VTP模式为Server，Switch1和Switch2的模式为Client，VLAN信息通过Offic自动传递给Switch1和Switch2。

（3）同理交换机Stu-Dis1、Switch4和Switch5组成一个VTP域，VTP域名为

Stu-Dist1，VTP密码为cisco123。，Stu-Dis1的VTP模式为Server，Switch4和Switch5的模式为Client，VLAN信息通过Stu-Dis1自动传递给Switch4和Switch5。

（4）同理交换机Stu-Dis2、Switch6和Switch7组成一个VTP域，VTP域名为

Stu-Dist2，VTP密码为cisco123。Stu-Dis2的VTP模式为Server，Switch6和Switch7的模式为Client，VLAN信息通过Stu-Dis2自动传递给Switch6和Switch7。

（5）交换机端口安全将switch1 交换机端口 Fast Ethernet 0/1 配置为只接受1

台设备，以动态获取这些设备的 MAC 地址，并且在发生违规时拦截来自无效主机的流量。

5、NAT

在172.20.254.0/24网段内的主机到NET2和NET3，必须经过NAT转换，其中NET2用地址池复用，而NET3用地址池复用。

在192.168.0.0/16网段内的主机到NET1、NET2和NET3都需要经过NAT，三个网段都配置为地址池端口复用。假设学生网中的交换机Switch6的交换机vlan221中有一台地址为192.168.20.100/24的主机，需要向教育网所在的NET1提供FTP等服务，需要设置成静态NAT，启用地址池中最后一个可用的地址作NAT静态映射。

6、DHCP

用路由器作为 DHCP 服务器。DPCP 服务器要实现自动为 172.20.254.0/24 及192.168.0.0/16 内的所有VLAN自动分配IP地址、缺省网关和DNS 服务器（211.87.176.66）的功能。每个网段内最后 4 个可用的地址保留不进行自动分配。所有网段的网关使用本网段内最后可用的地址。

7、ACL

⑴在DR0 的对应子接口上，设置一个ACL 禁止VLAN102 中IP 地址最后一个字节为偶数的主机对DHCP server 的TELNET 访问，其他的流量允许通过。

⑵禁止vlan223中的IP地址为172.128.22.69、172.128.22.71、172.128.22.77、