XX中小型校園網(wǎng)設(shè)計(jì)方案_第1頁
XX中小型校園網(wǎng)設(shè)計(jì)方案_第2頁
XX中小型校園網(wǎng)設(shè)計(jì)方案_第3頁
XX中小型校園網(wǎng)設(shè)計(jì)方案_第4頁
XX中小型校園網(wǎng)設(shè)計(jì)方案_第5頁
已閱讀5頁,還剩5頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、XX(中小型)校園網(wǎng)設(shè)計(jì)方案目錄第一章:需求分析31.1. 項(xiàng)目背景31.2. 建設(shè)目標(biāo)31.2.1:實(shí)現(xiàn)訪問層交換機(jī)服務(wù)31.2.2:實(shí)現(xiàn)分層交換機(jī)服務(wù)3第二章:交換機(jī)配置方案32.1:訪問層交換機(jī)32.2:分布層交換機(jī)42.3:核心層交換機(jī)4第三章:廣域網(wǎng)接入方案43.1:接入路由器internetrouter的基本配置43.2:接入路由器internetrouter的個(gè)接口53.3:接入路由器internetrouter的路由功能53.4:接入路由器internetrouter上的nat53.4.1:定義nat內(nèi)部、外部接口53.4.2:定義允許進(jìn)行nat的工作站的內(nèi)部局部ip地址范圍6

2、3.4.3:為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換63.4.4:為其他工作站定義復(fù)用地址轉(zhuǎn)換63.5:配置路由器internetrouter上的acl63.5.1:對(duì)外屏蔽單網(wǎng)管協(xié)議,即snmp63.5.2:對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議telnet63.5.3:對(duì)外屏蔽其他不安全的協(xié)議或服務(wù)7第四章:遠(yuǎn)程訪問方案74.1:物理線路的基本配置74.2:接口基本參數(shù)74.3:身份認(rèn)證7第五章:總體建設(shè)85.1:網(wǎng)絡(luò)拓?fù)?5.2:vlan及ip規(guī)劃85.3:設(shè)備清單10第一章:需求分析1.1. 項(xiàng)目背景學(xué)校共有6個(gè)集中接入點(diǎn)(計(jì)算機(jī)系、管理系、財(cái)務(wù)系、教務(wù)系、建筑系、學(xué)生宿舍)。1.2. 建設(shè)目標(biāo).通過冗余的光纖鏈路上連

3、到信息中心的核心層交換機(jī)上。核心層交換機(jī)通過cisco3640路由器接入Internet。除此,教工宿舍以及辦公室用戶通過撥號(hào)方式接入路由器3640來訪問校園網(wǎng)內(nèi)網(wǎng)以及Internet。1.2.1:實(shí)現(xiàn)訪問層交換機(jī)服務(wù)1.2.2:實(shí)現(xiàn)分層交換機(jī)服務(wù)廣域網(wǎng)接入的功能是廣域網(wǎng)接入路由器Internetrouter來完成,采用cisco的3640路由器通過自己串行接口使用ddn技術(shù)接入Internet。用Internet和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。利用訪問控制列表,廣域網(wǎng)接入路由器interestrouter還可用來完成以自身為中心的流量控制和過濾功能實(shí)現(xiàn)一定的安全。廣域網(wǎng)采用不同的類型的封裝協(xié)議,如

4、:ppp、hdlc等。其中,ppp除了提供身份認(rèn)證功能外,還要能提供其他很多配置,包括鏈路壓縮、多鏈路捆綁、回叫等。可以集成在廣域網(wǎng)接入路由器interestrouter中的異步modemNM16AM提供遠(yuǎn)程訪問服務(wù),并同時(shí)對(duì)最多16路撥號(hào)用戶提供遠(yuǎn)程接入服務(wù)。 第二章:交換機(jī)配置方案2.1:訪問層交換機(jī)1:設(shè)置交換機(jī)名稱Switch(config)#hostname accessswitch1Accessswitch1(config)#2:設(shè)置交換機(jī)的加密使用口令A(yù)ccessswitch1(config)#enable secret secretpasswd3:設(shè)置登錄虛擬終端線時(shí)的口令A(yù)c

5、essswitch1(config)#line vty 0 15Accessswitch1(config)#loginAccessswitch1(configline)#password youguess4:設(shè)置終端線超時(shí)時(shí)時(shí)間Accessswitch1(config)#line vty 0 15Accessswitch1(config-line)#exec-timeout 5 30Accessswitch1(config-line)#line con 0Accessswitch1(config-line)#exec-timeout 5 305:設(shè)置禁止ip 地址解析特性Accessswitc

6、h1(config)#no ip domain-lookup6:設(shè)置啟用用戶消息同步特性Accessswitch1(config)#logging synchronous2.1.1:訪問層交換機(jī)accessswitch1的管理ip、默認(rèn)網(wǎng)關(guān)訪問層交換機(jī)時(shí)osi參考模型第2層設(shè)備,既數(shù)據(jù)鏈路層的設(shè)備。因此給訪問層交換機(jī)的每個(gè)端口設(shè)置ip地址的時(shí)沒有意義的。但是,為了使網(wǎng)絡(luò)管理人員可以遠(yuǎn)程登錄到訪問層交換上進(jìn)行管理,必須給訪問層交換機(jī)設(shè)置一個(gè)原理ip 地址。這種情況下,實(shí)際上使將交換機(jī)看成和pc機(jī)一樣的主機(jī)Accessswitch1(config)interface vlan1Accessswit

7、ch1(config-if)#ip address-Accessswitch1(config-if)#no shutdown2.1.2:從提高效率的角度出發(fā),在本銷往實(shí)現(xiàn)實(shí)力中使用了vtp技術(shù),同時(shí),將分布層交換機(jī)distributeswitch1設(shè)置成vtp服務(wù)器,其他交換機(jī)設(shè)置成vtp客戶機(jī)。1:端口雙工配置Accessswitch1(config)#interface range -Accessswitch1(config-if-range)#duplex full2:端口速度Accessswitch1(config)#interface range -Accessswitch1(con

8、fig-if-range)#speed 1002.2:分布層交換機(jī)略2.3:核心層交換機(jī)略第三章:廣域網(wǎng)接入方案3.1:接入路由器internetrouter的基本配置對(duì)接入路由器internetrouter的基本參數(shù)的配置步驟與對(duì)訪問層交換機(jī)Access Switch 的基本配置參數(shù)的配置類似。Router#configure terminalRouter(config)#hostname internetrouterInternetrouter(config)#enable secret youguessInternetrouter(config)#line con 0Internetro

9、uter(config-line)#logging synchronousInternetrouter(config-line)#exec-timeout 5 30Internetrouter(config-line)#line vty 0 4Internetrouter(config-line)#password abcInternetrouter(config-line)#longinInternetrouter(config-line)#exec-timeout 5 30Internetrouter(config-line)#exitInternetrouter(config-line)

10、#no ip domain-lookup3.2:接入路由器internetrouter的個(gè)接口對(duì)接口路由器的個(gè)接口參數(shù)的主要是對(duì)接口以的ip地址、子網(wǎng)掩碼的配置Internetrouter(config)#interface _Internetrouter(config-if)#ip address_Internetrouter(config-if)#no shutdownInternetrouter(config-if)#interface _Internetrouter(config-if)#ip address _Internetrouter(config-if)#no shutdown

11、3.3:接入路由器internetrouter的路由功能Internetrouter(config)#ip route-到校園網(wǎng)內(nèi)部的路由條目可以經(jīng)過路由匯總后形成兩條路由條目Internetrouter(config)#ip route -Internetrouter(config)#ip route -3.4:接入路由器internetrouter上的nat由于目前ip地址資源非常緊張,不可能給校園網(wǎng)內(nèi)部的所有工作站都分配一個(gè)公有地址。為了解決所有工作站訪問internet的需要,必須使用nat技術(shù)3.4.1:定義nat內(nèi)部、外部接口Internetrouter(config)#inter

12、face -Internetrouter(config-if)#ip nat insideInternetrouter(config-if)#interface -Internetrouter(config-if)#ip nat outside3.4.2:定義允許進(jìn)行nat的工作站的內(nèi)部局部ip地址范圍Internetrouter(config)#access-ist permit-3.4.3:為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換Internetrouter(config)#ip nat inside source static-3.4.4:為其他工作站定義復(fù)用地址轉(zhuǎn)換Internetrouter(con

13、fig)#ip nat inside source list1 interface -3.5:配置路由器internetrouter上的acl路由器是外網(wǎng)進(jìn)入校園網(wǎng)的第一道關(guān)卡,是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問控制列表是保護(hù)內(nèi)網(wǎng)安全帶餓有效手段。3.5.1:對(duì)外屏蔽單網(wǎng)管協(xié)議,即snmp利用這個(gè)協(xié)議,遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其他網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型:snmp和snmptrapInternetrouter(config)#access-list 101 deny udp any eq snmpInternetrouter(config)#access-list 101 deny

14、udp any andy eq snmptrapInternetrouter(config)#access-list 101 permint ip any anyInternetrouter(config)#interface-Interfacerouter(config)ip access-group 101 in3.5.2:對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議telnettelnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備unix服務(wù)器,并可以使用相關(guān)命令完全操作他們。其次telnet 是一種不安全的協(xié)議,用戶在登錄時(shí)說用戶的口令是以明文傳輸?shù)?,很容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。所以必須屏蔽。Internetrout

15、er(config)#access-list 101 deny tcp any any eq telnetInternetrouter(config)#access-list 101 permint ip any anyInternetrouter(config)#interface-Internetrouter(config)#ip access-group 101 in3.5.3:對(duì)外屏蔽其他不安全的協(xié)議或服務(wù)這樣的協(xié)議主要有sun os 的文件共享協(xié)議端口2049,遠(yuǎn)程執(zhí)行、遠(yuǎn)程登錄和遠(yuǎn)程命令端口512、513、514,遠(yuǎn)程過程條用端口111,可以將針對(duì)以上協(xié)議綜合進(jìn)行設(shè)計(jì)Interet

16、router(config)#access-list 101 deny tcp any any range 512 514Interetrouter(config)#access-list 101 deny tcp any any eq 111Interetrouter(config)#access-list 101 deny udp any any eq 111Interetrouter(config)#access-list 101 deny tcp any any range 2049Interetrouter(config)#access-list 101 permint ip any

17、 anyInteretrouter(config)#interface -Interetrouter(config-if)#ip access-group 101 in第四章:遠(yuǎn)程訪問方案4.1:物理線路的基本配置對(duì)物理線路的配置過括配置先例速度(DTE、DCE之間的速率)、停止未位數(shù)、流控方式、允許呼入連接協(xié)議類型、允許流量的方向。Internetrouter(config)#line 97Internetrouter(config-line)#mode inout Internetrouter(config-line)#transport input allInternetrouter(c

18、onfig-line)#stopbits 1Internetrouter(config-line)#speed 115200Internetrouter(config-line)#flowcontrol hardware4.2:接口基本參數(shù)對(duì)接口的配置:接口封裝協(xié)議類型、接口異步模式、ip地址、遠(yuǎn)程客戶分配ip地址的方式。Internetrouter(config)#interface async 97Internetrouter(config-if)#ip address -Internetrouter(config-if)#encapsulation pppInternetrouter(config-if)#async mode dedicatedInternetrouter(config-if)#peer defult ip address pool rasclieats4.3:身份認(rèn)證PPP提供兩種可選的身份認(rèn)證:口令驗(yàn)證協(xié)議PAP(Password Authentication Protocol)和咨詢握手協(xié)議(Challenge Handshake Authenticntion

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論