《網(wǎng)絡(luò)系統(tǒng)集成》課程作業(yè) 系 部：數(shù)學(xué)與信息科技學(xué)院 班 級(jí)： 學(xué) 號(hào)： 姓 名： 1.校園網(wǎng)絡(luò)現(xiàn)狀分析 目前在學(xué)校的各院系所、圖書(shū)館、許多教研室和各黨政領(lǐng)導(dǎo)部門(mén)都使用著計(jì)算機(jī)進(jìn)行大量計(jì)算、統(tǒng)計(jì)、分析、管理和文字處理等工作。為了適應(yīng)教學(xué)、科研和管理工作的需要，加強(qiáng)校內(nèi)各部門(mén)之間的信息交流和共享，提高工作效率和水平，有必要建立一個(gè)全校范圍內(nèi)、有效、實(shí)用且快速的計(jì)算與通訊環(huán)境—校園網(wǎng)絡(luò)。 2. 需求分析 根據(jù)所了解的學(xué)?？傮w目標(biāo)，利用先進(jìn)實(shí)用的計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)，把學(xué)校內(nèi)所有的局域網(wǎng)、網(wǎng)段和單機(jī)用戶(hù)都連接起來(lái)，組成—個(gè)分布式網(wǎng)絡(luò)系統(tǒng)。同時(shí)通過(guò)校園網(wǎng)向上連通省、市教委信息中心及CERNET和Internet連接，向下覆蓋全校，分享國(guó)內(nèi)外的計(jì)算機(jī)資源信息，并建立基于校園網(wǎng)的應(yīng)用系統(tǒng)。從如下幾個(gè)方面進(jìn)行需求分析。 2.1.應(yīng)用需求 1) 網(wǎng)絡(luò)辦公管理功能 2) 網(wǎng)絡(luò)多媒體教學(xué)功能 3) 電子圖書(shū)館功能 4) Interneet/Intranet信息服務(wù)功能 5) 系統(tǒng)管理和維護(hù)功能 2.2.網(wǎng)絡(luò)管理需求 1) VLAN的劃分：在內(nèi)部主干網(wǎng)上要求作到能夠劃分跨越物理子網(wǎng)的虛擬網(wǎng)，以便使各種網(wǎng)段（尤其是辦公網(wǎng)）的劃分不受地理區(qū)域的限制，并有效地限制網(wǎng)間廣播，控制網(wǎng)間訪問(wèn)； 局域網(wǎng)的VLAN配置過(guò)程 1、設(shè)置vtp domain。 vtp domain 稱(chēng)為管理域 交換vtp更新信息的所有交換機(jī)必須配置為相同的管理域。如果所有的交換機(jī)都以中繼線相連，那么只要在核心交換機(jī)上設(shè)置一個(gè)管理域，網(wǎng)絡(luò)上所有的交換機(jī)都加入該域，這樣管理域里所有的交換機(jī)就能夠了解彼此的vlan列表。 com#vlan database 進(jìn)入vlan配置模式 com(vlan)#vtp domain com 設(shè)置vtp管理域名稱(chēng) com com(vlan)#vtp server 設(shè)置交換機(jī)為服務(wù)器模式 par1#vlan database 進(jìn)入vlan配置模式 par1(vlan)#vtp domain com 設(shè)置vtp管理域名稱(chēng)com par1(vlan)#vtp client 設(shè)置交換機(jī)為客戶(hù)端模式 par2#vlan database 進(jìn)入vlan配置模式 par2(vlan)#vtp domain com 設(shè)置vtp管理域名稱(chēng)com par2(vlan)#vtp client 設(shè)置交換機(jī)為客戶(hù)端模式 par3#vlan database 進(jìn)入vlan配置模式 par3(vlan)#vtp domain com 設(shè)置vtp管理域名稱(chēng)com par3(vlan)#vtp client 設(shè)置交換機(jī)為客戶(hù)端模式 這里設(shè)置核心交換機(jī)為server模式是指允許在該交換機(jī)上創(chuàng)建、修改、刪除vlan及其他一些對(duì)整個(gè)vtp域的配置參數(shù)，同步本vtp域中其他交換機(jī)傳遞來(lái)的最新的vlan信息；client模式是指本交換機(jī)不能創(chuàng)建、刪除、修改vlan配置，也不能在nvram中存儲(chǔ)vlan配置，但可同步由本vtp域中其他交換機(jī)傳遞來(lái)的vlan信息。 2、配置中繼為了保證管理域能夠覆蓋所有的分支交換機(jī)，必須配置中繼 cisco交換機(jī)能夠支持任何介質(zhì)作為中繼線，為了實(shí)現(xiàn)中繼可使用其特有的isl標(biāo)簽。isl（inter－switchlink）是一個(gè)在交換機(jī)之間、交換機(jī)與路由器之間及交換機(jī)與服務(wù)器之間傳遞多個(gè)vlan信息及vlan數(shù)據(jù)流的協(xié)議，通過(guò)在交換機(jī)直接相連的端口配置isl封裝，即可跨越交換機(jī)進(jìn)行整個(gè)網(wǎng)絡(luò)的vlan分配和進(jìn)行配置。 在核心交換機(jī)端配置如下： com(config)#interface gigabitethernet 2/1 com(config-if)#switchport com(config-if)#switchport trunk encapsulation isl 配置中繼協(xié)議 com(config-if)#switchport mode trunk com(config)#interface gigabitethernet 2/2 com(config-if)#switchport com(config-if)#switchport trunk encapsulation isl 配置中繼協(xié)議 com(config-if)#switchport mode trunk com(config)#interface gigabitethernet 2/3 com(config-if)#switchport com(config-if)#switchport trunk encapsulation isl 配置中繼協(xié)議 com(config-if)#switchport mode trunk 在分支交換機(jī)端配置如下： par1(config)#interface gigabitethernet 0/1 par1(config-if)#switchport mode trunk par2(config)#interface gigabitethernet 0/1 par2(config-if)#switchport mode trunk par3(config)#interface gigabitethernet 0/1 par3(config-if)#switchport mode trunk 此時(shí)，管理域算是設(shè)置完畢了。 3、創(chuàng)建vlan一旦建立了管理域，就可以創(chuàng)建vlan了 com(vlan)#vlan 10 name counter 創(chuàng)建了一個(gè)編號(hào)為10 名字為counter的 vlan com(vlan)#vlan 11 name market 創(chuàng)建了一個(gè)編號(hào)為11 名字為market的 vlan com(vlan)#vlan 12 name managing 創(chuàng)建了一個(gè)編號(hào)為12 名字為managing的 vlan 這里的vlan是在核心交換機(jī)上建立的，其實(shí)，只要是在管理域中的任何一臺(tái)vtp 屬性為server的交換機(jī)上建立vlan，它就會(huì)通過(guò)vtp通告整個(gè)管理域中的所有的交換機(jī)。但如果要將具體的交換機(jī)端口劃入某個(gè)vlan，就必須在該端口所屬的交換機(jī)上進(jìn)行設(shè)置。 4、將交換機(jī)端口劃入vlan 例如，要將par1、par2、par3……分支交換機(jī)的端口1劃入counter vlan，端口2劃入market vlan，端口3劃入managing vlan…… par1(config)#interface fastethernet 0/1 配置端口1 par1(config-if)#switchport access vlan 10 歸屬counter vlan par1(config)#interface fastethernet 0/2 配置端口2 par1(config-if)#switchport access vlan 11 歸屬market vlan par1(config)#interface fastethernet 0/3 配置端口3 par1(config-if)#switchport access vlan 12 歸屬managing vlan par2(config)#interface fastethernet 0/1 配置端口1 par2(config-if)#switchport access vlan 10 歸屬counter vlan par2(config)#interface fastethernet 0/2 配置端口2 par2(config-if)#switchport access vlan 11 歸屬market vlan par2(config)#interface fastethernet 0/3 配置端口3 par2(config-if)#switchport access vlan 12 歸屬managing vlan par3(config)#interface fastethernet 0/1 配置端口1 par3(config-if)#switchport access vlan 10 歸屬counter vlan par3(config)#interface fastethernet 0/2 配置端口2 par3(config-if)#switchport access vlan 11 歸屬market vlan par3(config)#interface fastethernet 0/3 配置端口3 par3(config-if)#switchport access vlan 12 歸屬managing vlan 5、配置三層交換 到這里，vlan已經(jīng)基本劃分完畢。但是，vlan間如何實(shí)現(xiàn)三層（網(wǎng)絡(luò)層）交換呢？這時(shí)就要給各vlan分配網(wǎng)絡(luò)（ip）地址了。給vlan分配ip地址分兩種情況，其一，給vlan所有的節(jié)點(diǎn)分配靜態(tài)ip地址；其二，給vlan所有的節(jié)點(diǎn)分配動(dòng)態(tài)ip地址。下面就這兩種情況分別介紹。 假設(shè)給vlan counter分配的接口ip地址為172.16.58.1/24，網(wǎng)絡(luò)地址為：172.16.58.0， vlan market 分配的接口ip地址為172.16.59.1/24，網(wǎng)絡(luò)地址為：172.16.59.0， vlan managing分配接口ip地址為172.16.60.1/24， 網(wǎng)絡(luò)地址為172.16.60.0 如果動(dòng)態(tài)分配ip地址，則設(shè)網(wǎng)絡(luò)上的dhcp服務(wù)器ip地址為172.16.1.11。 (1) 給vlan所有的節(jié)點(diǎn)分配靜態(tài)ip地址。 首先在核心交換機(jī)上分別設(shè)置各vlan的接口ip地址。核心交換機(jī)將vlan做為一種接口對(duì)待，就象路由器上的一樣。 com(config)#interface vlan 10 com(config-if)#ip address 172.16.58.1 255.255.255.0 vlan10接口ip com(config)#interface vlan 11 com(config-if)#ip address 172.16.59.1 255.255.255.0 vlan11接口ip com(config)#interface vlan 12 com(config-if)#ip address 172.16.60.1 255.255.255.0 vlan12接口ip 再在各接入vlan的計(jì)算機(jī)上設(shè)置與所屬vlan的網(wǎng)絡(luò)地址一致的ip地址，并且把默認(rèn)網(wǎng)關(guān)設(shè)置為該vlan的接口地址。這樣，所有的vlan也可以互訪了。 (2) 給vlan所有的節(jié)點(diǎn)分配動(dòng)態(tài)ip地址。 首先在核心交換機(jī)上分別設(shè)置各vlan的接口ip地址和同樣的dhcp服務(wù)器的ip地址。 com(config)#interface vlan 10 com(config-if)#ip address 172.16.58.1 255.255.255.0 vlan10接口ip com(config-if)#ip helper-address 172.16.1.11 dhcp server ip com(config)#interface vlan 11 com(config-if)#ip address 172.16.59.1 255.255.255.0 vlan11接口ip com(config-if)#ip helper-address 172.16.1.11 dhcp server ip com(config)#interface vlan 12 com(config-if)#ip address 172.16.60.1 255.255.255.0 vlan12接口ip com(config-if)#ip helper-address 172.16.1.11 dhcp server ip。 再在dhcp服務(wù)器上設(shè)置網(wǎng)絡(luò)地址分別為172.16.58.0，172.16.59.0，172.16.60.0的作用域，并將這些作用域的“路由器”選項(xiàng)設(shè)置為對(duì)應(yīng)vlan的接口ip地址。這樣，可以保證所有的vlan也可以互訪了。 最后在各接入vlan的計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)設(shè)置，將ip地址選項(xiàng)設(shè)置為自動(dòng)獲得ip地址即可。 2）虛擬網(wǎng)管理：對(duì)虛擬網(wǎng)的配置可以進(jìn)行集中的控制管理，以便隨時(shí)進(jìn)行擴(kuò)充、遷移等調(diào)整； 3）設(shè)備及端口管理：對(duì)主干網(wǎng)上所有網(wǎng)絡(luò)設(shè)備及連接局域網(wǎng)的所有端口可以進(jìn)行集中的控制管理； 4）網(wǎng)絡(luò)檢測(cè)：對(duì)主干網(wǎng)的運(yùn)行狀態(tài)和故障進(jìn)行集中檢測(cè)、報(bào)警、統(tǒng)計(jì)。 2.3.網(wǎng)絡(luò)安全需求 1)劃分內(nèi)部網(wǎng)和外部網(wǎng)：所有向Internet提供的信息發(fā)布服務(wù)放在外部網(wǎng)上、所有校內(nèi)應(yīng)用放在內(nèi)部網(wǎng)上，內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)置防火墻以保證內(nèi)部網(wǎng)的安全. 2)內(nèi)部網(wǎng)的各個(gè)子網(wǎng)之間的互訪可以控制，杜絕非授權(quán)的訪問(wèn)。 2.4.廣域網(wǎng)連接需求分析 校園主干網(wǎng)廣域網(wǎng)的連接需求主要表現(xiàn)在： 1）能夠與國(guó)際互聯(lián)網(wǎng)連接；能夠與Cernet、Chihanet連接，與國(guó)內(nèi)各個(gè)單位交流信息。 2）校園網(wǎng)總體設(shè)計(jì) 3. 設(shè)計(jì)該方案的基本原則 1.以滿(mǎn)足校園內(nèi)目前主要的網(wǎng)絡(luò)應(yīng)用項(xiàng)目為基本設(shè)計(jì)目標(biāo)，為未來(lái)可能的應(yīng)用項(xiàng)目保留充分的擴(kuò)充余地； 2.采用目前通用的技術(shù)路線，但要充分考慮能夠適應(yīng)未來(lái)可能的技術(shù)發(fā)展； 3.布線工程一次性連通學(xué)校內(nèi)所有主要建筑物，根據(jù)應(yīng)用項(xiàng)目的實(shí)際需要分期分批配置網(wǎng)絡(luò)設(shè)備； 4.充分注意保證網(wǎng)絡(luò)的安全性，可靠性和可維護(hù)性。 4. 網(wǎng)絡(luò)系統(tǒng)關(guān)鍵技術(shù)比較與選擇 1.校園網(wǎng)拓?fù)浣Y(jié)構(gòu)的選擇 常用的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有總線型、環(huán)型和星型結(jié)構(gòu)，為了便于網(wǎng)絡(luò)管理和網(wǎng)絡(luò)擴(kuò)展，本方案采用單星型拓?fù)浣Y(jié)構(gòu)，以化學(xué)實(shí)驗(yàn)樓計(jì)算中心為主要結(jié)點(diǎn)，其它的重要大樓做為外圍主干結(jié)點(diǎn)。 2.校園網(wǎng)組網(wǎng)技術(shù)的選擇 目前常用的校園網(wǎng)主干網(wǎng)組網(wǎng)技術(shù)有100Mbps的快速以太網(wǎng)，100Mbps的FDDI， ATM網(wǎng)絡(luò)和千兆以太網(wǎng)。本校園網(wǎng)主要采用快速以太交換網(wǎng)作為主干網(wǎng)的組網(wǎng)技術(shù)，快速以太交換網(wǎng)是性能較高的組網(wǎng)方式。它具有以下優(yōu)點(diǎn)：技術(shù)成熟穩(wěn)定；對(duì)傳統(tǒng)的局域網(wǎng)及其應(yīng)用有很好的支持；有效保護(hù)用戶(hù)投資。 5、路由器與交換機(jī)的配置 5.1.1路由器的配置 路由器CISCO 2811與內(nèi)網(wǎng)的連接端口為f 0/0，此端口的IP地址為10.1.1.1。f0/1為外部端口，IP地址為207.160.130.131。通過(guò)以下對(duì)路由器CISCO 2811的配置完成了該校內(nèi)部網(wǎng)絡(luò)與外部Internet的通信，并使用NAT技術(shù)完成了外部網(wǎng)絡(luò)對(duì)內(nèi)部局域網(wǎng)訪問(wèn)的地址轉(zhuǎn)換，配置ACL訪問(wèn)控制列表實(shí)現(xiàn)老師宿舍1棟無(wú)法訪問(wèn)圖書(shū)館。同時(shí)開(kāi)啟了此路由器的遠(yuǎn)程功能。 router0> #啟動(dòng)路由器后進(jìn)入用戶(hù)模式 router0>en router0#configure terminal router0(config)# router0(config)#router ospf 100 #配置OSPF路由協(xié)議 router0(config)#network 10.1.1.0 0.0.0.3 area 0 router0(config)#redistribute rip subnets router0(config)#exit router0(config)#ip nat pool router 207.160.130.131 207.160.130.139 netmask 255.255.255.0 #定義用于轉(zhuǎn)換的外部全局地址池 router0(config)#access-list 1 permit any #定義需要轉(zhuǎn)換的地址范圍 router0(config)#ip nat inside source list 1 pool router0 overload #配置端口地址轉(zhuǎn)換 router0(config)#interface fastEthernet 0/0 #定義f0/0為內(nèi)部接口 router0(config-if)#ip address 10.1.1.1 255.255.255.252 router0(config-if)#ip nat inside router0(config-if)#no shutdown router0(config-if)#interface fastEthernet 0/1#定義F0/1外部接口 router0(config-if)#ip address 207.160.130.131 255.255.255.0 router0(config-if)#ip nat outside router0(config-if)#no shutdown router0(config-if)exit router0(config)#access-list deny 1 host 192.168.30.2 #配置ACL訪問(wèn)控制 router0(config)#access-list 1 permit any router0(config)#exit router0(config)#interface fastEthernet 0/1 #將規(guī)則定義到指定的接口 router0(config-if)#ip access-group 1 out router0(config-if)#exit router0(config)# #返回特權(quán)模式 router0#write #保存配置 5.1.2核心層交換機(jī)的配置 IP地址 端口 對(duì)端設(shè)備 對(duì)端IP地址 對(duì)端端口 OSPF區(qū)域 10.1.1.1/30 F0/0 主教學(xué)樓 10.1.1.2 F0/18 Area1 10.1.1.5/30 F0/19 學(xué)生宿舍 10.1.1.6/30 F0/19 Area2 10.1.1.9/30 F0/20 教師宿舍 10.1.1.10 F0/20 Area3 10.1.1.13/30 F0/21 辦公樓 10.1.1.14/30 F0/21 Area4 10.1.1.17/30 F0/22 圖書(shū)館 10.1.1.18/30 F0/22 Area5 10.1.1.21/30 F0/23 實(shí)訓(xùn)樓 10.1.1.22/30 F0/23 Area6 192.168.150.2/24 F0/3 Web server 192.168.150.3/24 F0/2 E-mailserver 192.168.150.4/24 F0/1 FTPserver 表5-1-2為OSPF端口及區(qū)域的劃分 為了與計(jì)算機(jī)使用的IP地址區(qū)分，因此必須劃分相應(yīng)的端口地址及網(wǎng)段，具體分配如表所示 下面為華為S5328C-EI-24S交換機(jī)的具體配置： 啟動(dòng)交換機(jī)后默認(rèn)進(jìn)入用戶(hù)模式 Switch> #進(jìn)入特權(quán)模式 Switch>enable #進(jìn)入全局模式 Switch#configure terminal Switch(config)#hostname Center #交換機(jī)名稱(chēng)配置 Center(config)#enable password 123456 #配置進(jìn)入特權(quán)模式口令Center(config)#enable secret Center Center(config)#vtp domain Center #配置VTP，設(shè)VTP域名為Center Center(config)#vtp mode server #將VTP設(shè)置為服務(wù)器模式 Center(config)# Center(config)#exit #返回到特權(quán)模式 Center#configure terminal #進(jìn)入全局模式 Center(config)#interface fastEthernet 0/18 #進(jìn)入接口0/18 并為其端口設(shè)置IP Center (config-if)#no switchport Center (config-if)#ip address 10.1.1.2 255.255.255.252 Center (config-if)no shutdown Center (config-if)interface FastEthernet0/19 Center (config-if)no switchport Center (config-if)ip address 10.1.1.5 255.255.255.252 Center (config-if)no shutdown Center (config-if)interface FastEthernet0/20 Center (config-if)no switchport Center (config-if)ip address 10.1.1.9 255.255.255.252 Center (config-if)no shutdown Center (config-if)interface FastEthernet0/21 Center (config-if)no switchport Center (config-if)ip address 10.1.1.13 255.255.255.252 Center (config-if)no shutdown Center (config-if)interface FastEthernet0/22 Center (config-if)no switchport Center (config-if)ip address 10.1.1.17 255.255.255.252 Center (config-if)no shutdown Center (config-if)interface FastEthernet0/23 Center (config-if)no switchport Center (config-if)ip address 10.1.1.21 255.255.255.252 Center (config-if)no shutdown Center (config-if)interface FastEthernet0/24 Center (config-if)no switchport Center (config-if)ip address 10.1.1.29 255.255.255.252 Center (config-if)no shutdown Center (config-if)#exit #返回全局模式 Center (config)# Center (config)#router ospf 100 #配置OSPF路由（設(shè)OSPF的區(qū)號(hào)為100） Center (config-router)#network 10.1.1.0 0.0.0.3 area 0 #配置路由區(qū)域 Center (config-router)#network 10.1.1.4 0.0.0.3 area 1 Center (config-router)#network 10.1.1.8 0.0.0.3 area 2 Center (config-router)#network 10.1.1.12 0.0.0.3 area 3 Center (config-router)#network 10.1.1.16 0.0.0.3 area 4 Center (config-router)#network 10.1.1.20 0.0.0.3 area 5 Center (config-router)#network 10.1.1.28 0.0.0.3 area 6 Center (config-router)#exit #返回全局模式 Center (config)#line vty 0 1 #設(shè)置遠(yuǎn)程登錄密碼為123456 Center (config-line)#login Center (config-line)#password 123456 Center (config-line)#exit Center (config)#exit Center #write #返回到特權(quán)模式保存配置 通過(guò)以上配置各匯聚層交換機(jī)與核心層交換機(jī)均采用OSPF路由協(xié)議，共劃分了7個(gè)區(qū)域，路由器與中心機(jī)房配置成area0，其余為area1-area6（在模擬軟件中都有標(biāo)記），各匯聚層交換機(jī)與接入層交換機(jī)之間均采用RIP路由協(xié)議，各服務(wù)器與中心機(jī)房采用靜態(tài)路由，另外在每個(gè)匯聚層交換機(jī)上都配有遠(yuǎn)程登錄。 1.1. 5.1.3匯聚層交換機(jī)的配置 匯聚層交換機(jī)以實(shí)訓(xùn)樓所在的匯聚交換機(jī)華為S5328C-EI-24S配置為詳細(xì)說(shuō)明，其它匯聚層交換華為S5328C-EI-24S交換機(jī)可參考本節(jié)的配置。下面是實(shí)驗(yàn)樓匯聚交換機(jī)的詳細(xì)配置。 Switch> Switch>enable #進(jìn)入特權(quán)模式 Switch#configure terminal #進(jìn)入全局模式 Switch(config)#hostname converge #為交換機(jī)配置名稱(chēng)converge(config)#enable password 123456 #配置進(jìn)入特權(quán)模式口令 converge(config)#enable secret test converge(config)#vtp domain perry #配置VTP，設(shè)VTP域名為perry，并設(shè) 為客戶(hù)端 模式。 converge(config)#vtp mode client converge(config)# converge# #返回到特權(quán)模式 Converge#show vlan #查看VLAN converge#configure terminal #進(jìn)入全局模式 converge(config)#interface fastEthernet 0/19 #進(jìn)入接口模式 converge(config)#no switchport converge(config-if)#ip address 10.1.1.5 255.255.255.252 converge(config-if)no shutdown converge(config-if)interface fastEthernet 0/24 #進(jìn)入24號(hào)端口，設(shè)置為 trunk口 converge(config-if)switchport mode trunk converge(config-if)no shutdown converge(config)exit #返回到全局模式 converge(config)interface Vlan 2 #進(jìn)入VLAN虛擬端口，并設(shè)其IP converge(config-if)ip address 192.168.10.254 255.255.255.0 converge(config-if)interface Vlan 3 converge(config-if)ip address 192.168.20.254 255.255.255.0 converge(config-if)#exit #返回到全局模式 converge(config)#router opsf 100 #配置OSPF及RIP路由 converge(config-router)#network 10.1.1.0 0.0.0.3 area 1 converge(config-router)#redistribute rip subnets converge(config-router)#exit converge(config)#router rip converge(config-router)#version 2 converge(config-router)#network 192.168.10.0 converge(config-router)#network 192.168.20.0 converge(config-router)#network 10.1.1.0 converge(config-router)#redistribute ospf 100 converge(config-router)#exit #返回全局模式 converge(config)#line vty 0 1 #配置遠(yuǎn)程登錄 converge(config-line)#login converge(config-line)#password 123456 converge(config-line)#exit converge#write #返回到特權(quán)模式保存配置 1.2. 5.1.4辦公室接入層交換機(jī)配置 通過(guò)以下對(duì)辦公樓所在的交換機(jī)配置命令，完成了對(duì)辦公樓不同辦公室區(qū)域網(wǎng)段的劃分，同時(shí)開(kāi)啟了此臺(tái)交換機(jī)的遠(yuǎn)程登錄功能。辦公樓接入交換機(jī)3COM(H3C)華為 S1526的24號(hào)端口與匯聚層交換機(jī)華為Quidway S3952P-SI的24號(hào)端口相連，與其它設(shè)備端口連接如下表： 端口 對(duì)端設(shè)備 端口所屬VLAN fastEthernet 0/1 后勤處 7 fastEthernet 0/2 教務(wù)處 8 fastEthernet 0/3 學(xué)工處 9 表5-1-4為各辦公室VLAN的端口劃分 下面為辦公樓接入層交換機(jī)的詳細(xì)配置。 啟動(dòng)交換機(jī)后默認(rèn)進(jìn)入用戶(hù)模式 Switch> Switch>enable Switch#configure terminal #為交換機(jī)配置名稱(chēng)（名稱(chēng)使為office） Switch(config)#hostname office office(config)#enable password 123456 #配置進(jìn)入特權(quán)模式口令 office(config)#enable secret test office(config)#vtp domain perry #配置VTP，設(shè)VTP域名為perry，并設(shè)為客 戶(hù)端模式。 office(config)#vtp mode client office(config)#exit #返回到特權(quán)模式 office#show vlan office#configure terminal #進(jìn)入全局模式 office(config-if)interface fastEthernet 0/24 #進(jìn)入接口模式（進(jìn)入24號(hào)端口，設(shè)置端口模式為trunk口） office(config-if)switchport mode trunk office(config-if)no shutdown office(config-if)interface fastEthernet 0/1 #為1號(hào)端口指定要對(duì)應(yīng)VLAN office(config-if)#switchport access vlan 7 office(config-if)no shutdown office(config-if)# interface fastEthernet 0/2 office(config-if)#switchport access vlan 8 office(config-if)no shutdown office(config-if)# interface fastEthernet 0/3 office(config-if)#switchport access vlan 9 office(config-if)no shutdown office(config-router)#exit #返回全局模式 office(config)#line vty 0 1 #配置遠(yuǎn)程登錄 office(config-line)#login office(config-line)#password 123456 office(config-line)#exit office#write #配置完成后回到特權(quán)模式保存配置 1.3. 5.1.5學(xué)生宿舍接入層交換機(jī)配置 把不同樓的宿舍學(xué)生用戶(hù)劃分為不同的網(wǎng)段，并實(shí)現(xiàn)了交換機(jī)端口與學(xué)生宿舍電腦的MAC地址的綁定，同時(shí)開(kāi)啟了此交換機(jī)遠(yuǎn)程登錄功能。對(duì)于學(xué)生宿舍的接入層交換機(jī)3COM(H3C)華為 S1526，學(xué)生宿舍的這臺(tái)交換機(jī)與其它設(shè)備相連情況如下表： 端口 對(duì)端設(shè)備 所屬vlan fastEthernet 0/1 學(xué)生宿舍1 4 fastEthernet 0/2 學(xué)生宿舍2 15 fastEthernet 0/24 學(xué)生宿舍匯聚端口 trunk 表5-1-5為學(xué)生宿舍VLAN端口的劃分 下面為學(xué)生宿舍交換機(jī)的詳細(xì)配置。 Switch> Switch>enable Switch#configure terminal Switch(config)#hostname sdormitory sdormitory (config)#enable password 123456 #啟動(dòng)交換機(jī)后為設(shè)置主機(jī)名 與配置登錄密碼 sdormitory (config)#enable secret test #設(shè)置加密密碼 sdormitory (config)# sdormitory (config)#vtp domain perry #配置VTP，設(shè)VTP域名為perry，并設(shè)為客戶(hù)端模式。 sdormitory (config)#vtp mode client sdormitory (config)#exit sdormitory #show vlan sdormitory#configure terminal #進(jìn)入全局模式 sdormitory(config)#interface fastEthernet 0/1 #進(jìn)入接口模式配置 sdormitory(config-if)#switchport access valn 4 #將1號(hào)端口添加到VLAN4 sdormitory(config-if)#no shutdown sdormitory(config)#interface fastEthernet 0/2 sdormitory(config-if)#switchport access valn 15 sdormitory(config-if)#no shutdown sdormitory(config)#interface fastEthernet 0/24 sdormitory(config-if)#switchport mode trunk sdormitory(config-if)#no shutdown sdormitory(config)#interface fastEthernet 0/1 #進(jìn)入端口對(duì)學(xué)生用戶(hù)的 MAC地址與端口地址進(jìn)行綁定 sdormitory(config-if)#switchport mode access #將端口設(shè)為access模式 sdormitory(config-if)#switchport port-security #啟動(dòng)安全端口模式 sdormitory(config-if)#switchport port-security mac-address 00D0.97B6.4996 #對(duì)MAC地址的綁定 sdormitory(config-if)#switchport port-security maximum 1#設(shè)置端口可綁定 MAC地址的最大值 sdormitory(config-if)#switchport port-security violation shutdown #設(shè)置與端口綁定的MAC地址不符時(shí)自動(dòng)關(guān)閉這些端口 sdormitory(config-if#end #配置完成，返回到特權(quán)模式然后保存 sdormitory#write 6. 校園網(wǎng)專(zhuān)項(xiàng)設(shè)計(jì) 6.1虛擬網(wǎng)絡(luò)設(shè)計(jì) VLAN端口劃分及配置 該校申請(qǐng)的IP地址為207.160.130.131，域名為，主DNS為218.76.138.66，輔助DNS為218.76.138.90。根據(jù)該學(xué)校的情況，將VLAN與IP分配如下表： 表4-1-3為該校VLAN與IP網(wǎng)段的劃分 VLAN 號(hào) 網(wǎng)段IP 網(wǎng)關(guān) 備注 2 192.168.10.0/24 192.168.10.254 多媒體1 3 192.168.20.0/24 192.168.20.254 多媒體2 4 192.168.30.0/24 192.168.30.254 學(xué)生宿舍1棟 4 192.168.40.0/24 192.168.40.254 學(xué)生宿舍2棟 5 192.168.50.0/24 192.168.50.254 教師宿舍1棟 6 192.168.60.0/24 192.168.60.254 教師宿舍2棟 7 192.168.70.0/24 192.168.70.254 后勤處辦公室 8 192.168.80.0/24 192.168.80.254 教務(wù)處辦公室 9 192.168.90.0/24 192.168.90.254 學(xué)工處辦公室 10 192.168.100.0/24 192.168.100.254 圖書(shū)館辦公室 11 192.168.110.0/24 192.168.110.254 電子閱讀室 12 192.168.120.0/24 192.168.120.254 教學(xué)樓機(jī)房1 13 192.168.130.0/24 192.168.130.254 教學(xué)樓機(jī)房2 14 192.168.140.0/24 192.168.140.254 教學(xué)樓機(jī)房3 6.2網(wǎng)絡(luò)管理設(shè)計(jì) 網(wǎng)絡(luò)管理是一個(gè)復(fù)雜網(wǎng)絡(luò)必須考慮的關(guān)鍵技術(shù)問(wèn)題，這里的網(wǎng)絡(luò)管理主要指網(wǎng)絡(luò)設(shè)備及其系統(tǒng)的管理，包括網(wǎng)絡(luò)配置管理，網(wǎng)絡(luò)性能管理，網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)故障管理。網(wǎng)絡(luò)管理設(shè)計(jì)需要在配置每個(gè)網(wǎng)絡(luò)設(shè)備時(shí)，都選擇具有網(wǎng)絡(luò)管理代理的，駐留有網(wǎng)絡(luò)管理協(xié)議的設(shè)備，網(wǎng)絡(luò)管理設(shè)計(jì)的另一方面，是配置一個(gè)網(wǎng)絡(luò)管理中心，它一般是一臺(tái)微機(jī)，配置網(wǎng)絡(luò)管理平臺(tái)，在平臺(tái)上運(yùn)行管理每個(gè)網(wǎng)絡(luò)設(shè)備的應(yīng)用軟件。 方案采用的HP OpenView ManageX網(wǎng)絡(luò)管理系統(tǒng)可以對(duì)網(wǎng)絡(luò)連通性進(jìn)行自動(dòng)檢測(cè)，對(duì)網(wǎng)絡(luò)上所連設(shè)備進(jìn)行自動(dòng)直找，自動(dòng)監(jiān)視和統(tǒng)計(jì)所有網(wǎng)絡(luò)端口和各個(gè)虛擬網(wǎng)的流量和差錯(cuò)，自動(dòng)向網(wǎng)絡(luò)管理員主控臺(tái)發(fā)出網(wǎng)絡(luò)故障的告警，或其它的告警信息。 所有Inter ES-500交換機(jī)，聯(lián)想Ls5625和LS3016交換機(jī)。 對(duì)網(wǎng)絡(luò)的管理還體現(xiàn)在對(duì)各設(shè)備間不間斷電源的管理，這是網(wǎng)絡(luò)穩(wěn)定、可靠的一個(gè)重要因素。因此應(yīng)該配置配有網(wǎng)絡(luò)監(jiān)控功能APC UPS，可以通過(guò)網(wǎng)絡(luò)遠(yuǎn)地監(jiān)視UPS工作狀態(tài)，輔助網(wǎng)絡(luò)管理人員診斷網(wǎng)絡(luò)故障。 6.3網(wǎng)絡(luò)安全性設(shè)計(jì) 計(jì)算機(jī)網(wǎng)絡(luò)的安全可以理解為計(jì)算機(jī)安全在網(wǎng)絡(luò)環(huán)境下的擴(kuò)展，以保證業(yè)主基于網(wǎng)絡(luò)的應(yīng)用安全、可靠。本方案中主要從如下幾方面來(lái)實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題： 1)校園網(wǎng)主干網(wǎng)內(nèi)部安全控制 在校園網(wǎng)內(nèi)部，各部門(mén)除了其本身已有的局域網(wǎng)外，還可通過(guò)對(duì)它們采取虛擬網(wǎng)技術(shù)，使得外面用戶(hù)無(wú)法進(jìn)入“虛擬工作組” 。 內(nèi)部訪問(wèn)采取如下步驟以確保安全： a) 身份認(rèn)證，以識(shí)別區(qū)分合法用戶(hù)和非法用戶(hù)，從而阻止非法用戶(hù)訪問(wèn)系統(tǒng)； b) 權(quán)限控制，通過(guò)系統(tǒng)對(duì)用戶(hù)的授權(quán)，決定哪些用戶(hù)有資格訪問(wèn)哪些資源； c) 審計(jì)跟蹤，它將記錄哪個(gè)用戶(hù)在何時(shí)訪問(wèn)了哪些資源，用于收費(fèi)記帳和非法事件發(fā)生時(shí)能夠有效地追蹤； d) 對(duì)一些機(jī)密文件采用加密數(shù)據(jù)存放，用戶(hù)一切合法后方可查閱。 2)主干網(wǎng)關(guān)于安全性方面的設(shè)計(jì)僅僅提供安全控制的方法，具體的安全控制方案需求根據(jù)應(yīng)用需求而定。網(wǎng)絡(luò)安全性的保證可通過(guò)網(wǎng)之間的訪問(wèn)控制功能，限定各個(gè)部門(mén)之間非授權(quán)的網(wǎng)絡(luò)訪問(wèn)。 6.4廣域網(wǎng)連接設(shè)計(jì) 學(xué)校網(wǎng)絡(luò)中心計(jì)劃通過(guò)（DDN、撥號(hào)、微波待定）作為校園網(wǎng)的出口，與CERNET和Internet相連。 6.5網(wǎng)絡(luò)擴(kuò)展性設(shè)計(jì) 根據(jù)業(yè)主的信息點(diǎn)需求情況，在網(wǎng)絡(luò)的整體設(shè)計(jì)中充分考慮到網(wǎng)絡(luò)的擴(kuò)展性，主要從如下兩個(gè)層次考慮： 1)整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)的擴(kuò)展性。整個(gè)網(wǎng)絡(luò)主干采用星型拓?fù)浣Y(jié)構(gòu)，可以很容易地?cái)U(kuò)展主干節(jié)點(diǎn)。二級(jí)以下的節(jié)點(diǎn)也采用星型拓?fù)浣Y(jié)構(gòu)，可以很靈活地接入微機(jī)和工作站。 2)網(wǎng)絡(luò)設(shè)備的擴(kuò)展性。首先在網(wǎng)絡(luò)主干允許的情況下，可以增加樓層Hub來(lái)擴(kuò)展網(wǎng)絡(luò)信息點(diǎn)。然后，可以增加二級(jí)節(jié)點(diǎn)交換機(jī)以增加交換的端口。最后，可以增加網(wǎng)絡(luò)中心交換機(jī)加強(qiáng)模塊升級(jí)到1000M帶寬。 7.工程實(shí)施計(jì)劃和服務(wù)維護(hù)承諾 1. 工程組織 工程實(shí)施單位和xxx學(xué)校聯(lián)合成立校園網(wǎng)項(xiàng)目組，負(fù)責(zé)校園網(wǎng)的實(shí)施。根據(jù)整個(gè)工程的實(shí)際情況和任務(wù)成立3個(gè)職能小組，以確保優(yōu)質(zhì)高效地完成整個(gè)項(xiàng)目。 領(lǐng)導(dǎo)小組：由雙方有關(guān)領(lǐng)導(dǎo)和技術(shù)及商務(wù)負(fù)責(zé)人組成，全面負(fù)責(zé)系統(tǒng)工程的組織、工程計(jì)劃安排以及人員的安排和協(xié)調(diào)。 技術(shù)和實(shí)施小組：由雙方有關(guān)技術(shù)人員人員組成方案設(shè)計(jì)和實(shí)施小組，其中方案設(shè)計(jì)人員主要負(fù)責(zé)整個(gè)系統(tǒng)的總體方案和具體方案的確定及調(diào)整，由工程人員(包括硬件工程師、網(wǎng)絡(luò)工程師和軟件工程師)具體負(fù)責(zé)整個(gè)項(xiàng)目的實(shí)施。在工程實(shí)施過(guò)程中，工程實(shí)施單位負(fù)責(zé)對(duì)用戶(hù)的技術(shù)人員進(jìn)行現(xiàn)場(chǎng)培訓(xùn)，同時(shí)由雙方技術(shù)人員共同整理有關(guān)文檔，系統(tǒng)通過(guò)驗(yàn)收后，全部文檔雙方各保留一份，有助于系統(tǒng)的維護(hù)和管理。 商務(wù)小組：具體負(fù)責(zé)系統(tǒng)工程進(jìn)行中與商務(wù)合同有關(guān)的各項(xiàng)事物，如辦理有關(guān)免稅手續(xù)，設(shè)備訂貨，辦理海關(guān)手續(xù)等事宜。 2. 工程實(shí)施計(jì)劃 工程實(shí)施分成工程設(shè)備采購(gòu)階段：工程設(shè)備安裝調(diào)試階段；工程的驗(yàn)收測(cè)試階段；工程的維護(hù)服務(wù)階段；網(wǎng)絡(luò)系統(tǒng)獨(dú)立運(yùn)行階段。 工程設(shè)備采購(gòu)階段，主要包括工程設(shè)備訂購(gòu)清單的確認(rèn)，向國(guó)內(nèi)外設(shè)備供應(yīng)商采購(gòu)設(shè)備，xxx學(xué)校的光纜及樓內(nèi)布線系統(tǒng)的材料采購(gòu)、實(shí)施及測(cè)試驗(yàn)收，網(wǎng)絡(luò)設(shè)備安裝現(xiàn)場(chǎng)的場(chǎng)地準(zhǔn)備，細(xì)化工程實(shí)施方案和實(shí)施計(jì)劃。 工程設(shè)備安裝調(diào)試階段，主要工作包括連接網(wǎng)絡(luò)設(shè)備，調(diào)試網(wǎng)絡(luò)系統(tǒng)尤其是調(diào)試網(wǎng)絡(luò)管理系統(tǒng)，設(shè)置虛擬網(wǎng)結(jié)構(gòu)和虛擬網(wǎng)之間的訪問(wèn)控制功能，開(kāi)通基本的Internet服務(wù)，主要校園內(nèi)撥號(hào)訪問(wèn)服務(wù)，最終對(duì)網(wǎng)絡(luò)系統(tǒng)的全面測(cè)試。 維護(hù)和服務(wù)階段，該階段的工作包括施工單位工程技術(shù)人員現(xiàn)場(chǎng)網(wǎng)絡(luò)系統(tǒng)的維護(hù)，現(xiàn)場(chǎng)網(wǎng)絡(luò)管理和維護(hù)技術(shù)培訓(xùn)、網(wǎng)絡(luò)管理和維護(hù)技術(shù)的培訓(xùn)。該階段主要的目標(biāo)是施工單位調(diào)整優(yōu)化網(wǎng)絡(luò)配置，處理突發(fā)性的網(wǎng)絡(luò)故障，盡快培訓(xùn)用戶(hù)自己的技術(shù)人員，盡量在三個(gè)月時(shí)間內(nèi)將網(wǎng)絡(luò)管理交給用戶(hù)自己技術(shù)人員負(fù)責(zé)，施工單位技術(shù)人員從負(fù)責(zé)到配合，逐步在實(shí)踐中培養(yǎng)出用戶(hù)自己的網(wǎng)絡(luò)管理員和系統(tǒng)管理員。 系統(tǒng)獨(dú)立運(yùn)行階段，該系統(tǒng)交給業(yè)主自己管理，施工單位仍提供技術(shù)服務(wù)和技術(shù)支持。 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