课程设计
| 姓名: | 王立 | 学 号: | 27030801047 | |
| 系别: | 计算机工程系 | |||
| 专 业: | 网络工程 | |||
| 题 目: | XX中学校园网的设计 | |||
| 评阅者 | ||||
| 评阅时间 | ||||
| 成绩 | ||||
前 言
0.1 网络应用的发展
目前,全球已掀起一股信息高速公路规划和建设的高潮,作为其雏形,国际互联网(Internet)上相连的计算机已近达数千万台,全球有数亿人在Internet上进行信息交换和各种业务处理。Internet上积累了大量信息资源,这些资源涉及人类面对和从事的各个领域、行业及社会公用服务信息。成为信息时代全球可共享的最大信息基地。由于计算机网络技术和通信技术的飞速发展,人们对信息的要求越来越强烈,“网络就是计算机”的说法被全世界普遍接受。各国纷纷宣布建设本国的信息高速公路,全球信息一体化局面已指日可待。
我国自1993年与Internet连通以来,已建成了四大主干信息网:中国公众信息网ChinaNET,中国金桥网ChinaGBN,中国教育科研网CERNET和中科院网CASNET。全国各大中城市的网络节点相继开通。广东省已经建立了面向本地服务的公共信息网。Internet显示出诱人的商业前景,被国人称为"第二国道的建设。
随着信息技术的飞速发展,中小学校园网的建设已经逐渐提到议事日程上来。当前由于网络、数据库及与之相关的应用技术不断发展,尤其国际互联网(Internet)和内部网(Intranet)技术的广泛应用,世界正在迈入网络中心计算(NetworkCentricComputing)时代。人们传统的交互和工作模式正在改变。处在不同地理位置的人们可以共享数据,使用群件技术(GroupWare)进而能够协同工作;多媒体数据的存储、传输、应用技术的不断成熟;以上这些计算机技术的发展对学校传统的计算机业务系统产生影响,使用户能更方便、更直观的使用系统,也使系统的性能更完善、功能更强大。
Internet的发展带动了全世界的信息产业的发展,也为现代学校应用程序结构提供了一个新的计算模式,这种计算模式能真正适应学校发展的需要,使学校的计算机应用提高到一个新的水平。将Internet技术应用到学校内部,并建立基于这种开放技术的学校应用程序,使学校本身具有了Internet的特性,这种应用体系结构就是Intranet ── 学校内部网。
Internet和Intranet代表着全新的信息时代的到来。Intranet使实现学校内部的信息化成为可能。学校工作人员和在校学生面对的信息资源已不仅仅来自于一个部门、一个学校或者是一个行业,而是所有Internet世界上的资源,使得学校教学、科研、管理和决策更为有效。
0.2 建设XX中学校园网的必要性
是否在学校采用最先进的信息和传播技术是一个有决定性意义的问题,而且十分重要的是,学校应该处于影响整个社会深刻变革的中心地位。
随着计算机多媒体和网络技术的不断发展与普及,校园息系统的建设,是非常必要的,也是可行的。主要表现在:
1、当前校园息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段,发展对学校教育现代化的建设提出了越来越高的要求。
2、教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。个人是否具有获得信息和处理信息的能力对于能否成功进入职业界和融入社会及文化环境都是个决定性的因素,因此学校应该培养所有学生具有驾驭和掌握这种技术的能力。另一方面,信息技术在作为青少年教育工具的同时也向青少年提供了前所未有的机会。新技术提供的机会以及它们在教学方面具有的优势都是很多的,特别是计算机和多媒体系统的使用有助于个人化的道路,每个学生在个人的学习道路上都可以按照自己的速度发展。
3、我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络上运行的软件及多媒体系统,并且越来越形象化、实用化,迫切需要网络环境。
4、现代教育改革的需要。在校园网中将计算机引入教学各个环节,从而引起了教学方法,教学手段,教学工具的重大革新。对提高教学质量,推动我国教育现代化的发展起着不可估量的作用。网络又为学校的管理者和老师提供了获取资源、协同工作的有效途径。毫无疑问,校园网是学校提高管理水平、工作效率、改善教学质量的有力手段,是解决信息时代教育问题的基本工具。
5、随着经济发展,我国各级对教育的投入不断加大;计算机技术的飞速发展,使相应产品价格不断下降;同时人们的认识水平和经济实力不断提高。大量计算机进入学校和家庭,使得计算机用于教育信息管理和信息服务是完全可行的。
Internet在学校的应用越来越普遍,也越来越普及。据统计,美国的学校建设了校园内部信息网络并与Internet连通的比例高达90%,国内的主要大学也已经建成或正在建设自己学校的内部信息网络。广东省的绝大多数高校,包括中专学校,都建成了自己的内部网络。因此,建设学校内部网,是一个远瞩的举措,也是一个迫在眉睫的事情。随着校园网络的成功建设,必将给学校的管理部门、各级行政部门、学校的教育科研带来积极的影响,提高学校的教学科研水平、管理水平和工作效率,极大地提高学校的知名度。
第一章XX中学校园网需求分析
1.1 XX中学网络现状
目前,XX中学已有部分楼宇内部单独组建了网络,但楼宇与楼宇之间并没有相互连接。它们主要分布在办公大楼(145个信息点)、教学楼(32个信息点)、图书馆(90个信息点)、实验楼电脑室(共两间,分别62个和个点)。另外,有部分楼宇需要建立网络,它们分别是教师宿舍(70个信息点),学生宿舍(两幢楼,共约384个信息点),饭堂(5个信息点),体育馆(10个信息点),实验楼的部分实验室(15个信息点)。
上述计算机房主要是根据不同的配置情况用于办公、教学、实验之用。虽然有些已单独组网,但仍相互没有互连。图书馆资料信息未采用开放的服务方式,图书信息查询仍需到图书馆。各科室基本上都以单机方式工作,计算机上网比率仍然较低。目前配置的计算机也仅用作一般计算机教学之用。综上所述,XX中学计算机应用水平和使用效率还有待于改进和提高。
1.2 用户需求分析
设计一个网络,首先要为用户分析目前面临的主要问题,确定用户对网络的真正需求,并在结合未来可能的发展要求的基础上选择、设计合适的网络结构和网络技术,提供用户满意的高质服务。
网络在XX中学日常教学办公环境中起着至关重要的作用,校园网的运作模式会带来大量动态的www应用数据传输,会有相当一部分应用的主服务器有高速接入网络的需求(目前为100/1000Mbps,今后可会更高)。这就要求网络有足够的主干带宽和扩展能力。同时,一些新的应用类型,如网络教学、视频直播/广播等,也对网络提出了支持多点广播和宽带高速接入的要求。
除上述考虑外,还要注意到由于逻辑上业务网和管理网必须分开,所以建成后校园网应能提供多个网段的划分和隔离,并能做到灵活改变配置,以适应教学办公环境的调整和变化,及实现移动教学办公的要求。按目前通常的考虑,建议数据信息点的接入以交换10/100Mbps自适应以太网端口接入为主,以供带宽需求较高用户或应用使用。整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA应用和Internet访问等于一体的高可靠、高性能的宽带多媒体校园网。
1.3 功能需求
1、满足计算机教学科研、行政办公需要,提供各种教学、办公工具和支撑平台,并提供丰富的计算机软硬件系统资源。
2、具有完善的办公事务处理能力,包括电子公文传递、电子公文管理、电子邮件、邮件收发等无纸办公自动化功能。
3、满足信息情报交流的需要,方便学校各级领导和教学科研人员对各种信息资料、科技情报的检索和查阅。包括Web查询、电子公告、电子新闻等。
4、具有远程通信能力,借助电话网等通信手段,以最低的通信成本,方便地实现远程互联,跨越地域,满足学校要求,加强各单位之间的业务联系和信息资源共享。
5、具有收集、处理、查询、统计各类信息资源的能力,充分利用原有数据资源,为学校领导提供准确、快捷的数字信息,实现数据化管理和智能化决策。
6、学校网络系统要确保整个计算机网络系统的可靠性、安全性,具有一定的冗余。容错能力强,确保信息处理安全保密。
7、学校信息网络系统要保证实用和技术先进,便于非计算机专业人员使用,并能不断满足学校未来业务发展的需要,具有很强的扩展能力。
XX中学校园网络的功能需求可以由下图概括:
第二章网络系统设计方案
本章所谓的网络系统包括综合布线系统和网络设备。
2.1 网络的分层设计原则:
●可扩展性:因为网络可模块化增长而不会遇到问题;
●简单性:通过将网络分成许多小单元,降低了网络的整体复杂性,使故障排除更容易,能隔离广播风暴的传播、防止路由循环等潜在的问题;
●设计的灵活性:使网络容易升级到最新的技术,升级任意层次的网络不会对其他层次造成影响,无需改变整个环境;
●可管理性:层次结构使单个设备的配置的复杂性大大降低,更易管理。
2.1.1 核心层 Core Layer
核心层为下两层提供优化的数据输运功能,它是一个高速的交换骨干,其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(ACL,过滤等),否则会降低数据包的交换速度。
2.1.2 分布层 Distribution Layer
分布层提供基于统一策略的互连性,它是核心层和访问层的分界点,定义了网络的边界,对数据包进行复杂的运算。在园区网络环境中,分布层主要提供如下功能:
●地址的聚集
●部门和工作组的接入
●广播域/多目传输域的定义
●Inter VLAN路由
●介质的转换
●安全控制
2.1.3 接入层 Access Layer
接入层的主要功能是为最终用户提供对园区网络访问的途径。本层也可以提供进一步的调整,如Access-list Filtering等。在园区网络环境中,接入层主要提供如下功能:
●Shared Bandwidth
●Switched Bandwidth
●MAC Layer Filtering(possibly)
●Microsegmentation
在广域网环境中,接入层主要提供通过Frame Relay、ISDN、Leased Line连入远程节点。
2.1.4 校园网整体拓扑结构图:
图2-1 校园网整体拓扑结构图
具体配备如下:
中心机房:选择3com公司Switch 4007作为中心交换机。根据用户要求,加入两块9口千兆模块,为整个校园网提供18个1000Base-SX接口。其中7个SX接口用来下连教学楼、图书馆、教师宿舍、学生宿舍、饭堂、办公楼、体育馆;另外三个分别可用于Web服务器、数据/数据库服务器、视频服务器;剩余的8个备用。
教学楼:教学楼共有32个信息点,并且已经联网。教学楼的配线间在四楼。根据用户要求,分别选择24口和12口的SuperStack II Switch 3300两台来进行连接各信息点。
图书馆:图书馆共有90个信息点。其中二楼资料查询室共有61个信息点(其中的一个点与一台服务器相连),在一、二楼办公室各2个点。剩余的26个信息点在一楼的学生书库。图书馆采用四台24口SuperStack II Switch 3300交换机堆叠。
教师宿舍:教师宿舍共有70个信息点。采用三台SuperStack II Switch 3300交换机堆叠。
学生宿舍:学生宿舍共有两幢楼。每幢采用两组四台24口SuperStack II Switch 3300交换机堆叠。每个学生宿舍安置两个信息点,每幢楼有192个信息点。两幢楼有384个信息点。
饭堂:饭堂共有5个信息点,采用一台24口的SuperStack II Switch 3300交换机来连接。
办公楼:办公楼共有145个信息点,并且目前办公楼已经布线连网,根据用户要求,办公楼要重新布线。办公楼采用四台24口的SuperStack II Switch 3300交换机堆叠来连接。
体育馆:体育馆共有10个信息点,也是采用一台24口的SuperStack II Switch 3300交换机来连接。
实验楼:实验楼主要有两类情况。一个是对电脑室的布置,电脑室在实验楼4楼,共有两间(分别为62个和个点),均位于中心机房隔壁,并且已经连网。可以将每个电脑室的交换机直接通过UTP连往中心机房的交换机。另外一个情况是,实验楼1至4层还有一些实验室(共有15个点)需要与中心机房连接,它们可以直接通过UTP直接连往中心机房。
2.1.5 VLAN及IP编址方案:
| VLAN号 | VLAN 名称 | IP网段 | 默认网关 | 说明 |
| VLAN 1 | — | 192.168.0.0/24 | 192.168.0.254 | 管理VLAN |
| VLAN 10 | JXL | 192.168.1.0/24 | 192.168.1.254 | 数学楼VLAN |
| VLAN 20 | TSG | 192.168.2.0/24 | 192.168.2.254 | 图书馆VLAN |
| VLAN 30 | JSSS | 192.168.3.0/24 | 192.168.3.254 | 教师宿舍VLAN |
| VLAN 40 | DLS | 192.168.4.0/24 | 192.168.4.254 | 电脑室VLAN |
| VLAN 50 | SYS | 192.168.5.0/24 | 192.168.5.254 | 实验室VLAN |
| VLAN 60 | BGL | 192.168.6.0/24 | 192.168.6.254 | 办公楼VLAN |
| VLAN 70 | TYG | 192.168.7.0/24 | 192.168.7.254 | 体育馆VLAN |
| VLAN 80 | XSSS | 192.168.8.0/24 192.168.18.0/24 | 192.168.8.254 | 学生宿舍VLAN |
| VLAN 90 | FT | 192.168.9.0/24 | 192.168.9.254 | 饭堂VLAN |
| VLAN 100 | FWQQ | 192.168.100.0/24 | 192.168.100.254 | 服务器群VLAN |
2.2 设备选择模拟图
图2-2 各幢楼需要交换机类别、块模
第三章 主要技术设计的具体配置过程
3.1 服务器软件
服务器软件主要是为网络用户提供各种类型的信息服务,主要有以下一些类型。
●电子邮件:提供校园网内用户的电子邮件收发服务。可以采用的邮件服务器有Microsoft Exchange以及SUN Solaris SMTP Mail等。
●文件服务:负责存储管理全网的公用软件和网络标准的规范文件,并向下一级节点分发全息检索表和存储信息资源。
●WWW服务:用于存储管理全网超文本信息,对不同部门的信息提供授权访问。可以采用的WWW Server有Microsoft IIS(Internet Information Server)、Netscape WWW Server和APACHE WWW Server等。Client端则可用MS IE和Netscape Navigator等。
●代理服务器:Microsoft Proxy Server。
●DNS服务:提供对校园网的域名服务。
●NEWS服务:负责存储、提供和管理电子新闻信息,为全网提供基于网络环境的电子论坛、新闻服务。
●BBS服务:允许网络用户提出问题,通过BBS获得或发布消息。
数据库:在网络中心及其它主要网络节点的数据库,用于信息存储、检索等服务。
3.2 主交换机的配置
核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换
图3-1 核心层交换机CoreSwitch
1.配置核心层交换机CoreSwitch的基本参数
Switch#configure terminal
Enter configuration commands,one per line.End with CNTL/Z
Switch(config)#hostname DistributeSwitch1
CoreSwitch(config)#enable secret youguess
CoreSwitch(config)#line con 0
CoreSwitch(config-line)#logging synchronous
CoreSwitch(config-line)#exec-timeout 5 30
CoreSwitch(config-line)#line vty 0 15
CoreSwitch(config-line)#password abc
CoreSwitch(config-line)#login
CoreSwitch(config-line)# exec-timeout 5 30
CoreSwitch(config-line)#exit
CoreSwitch(config)#no ip domain-lookup
2.配置核心层交换机CoreSwitch的管理IP、默认网关
CoreSwitch(config)#interface vlan 1
CoreSwitch(config-if)#ip address 192.168.0.1 255.255.255.0
CoreSwitch(config-if)#no shutdown
CoreSwitch(config)#ip default-gateway 192.168.0.254
3.配置核心层交换机CoreSwitch的的VLAN
CoreSwitch#vlan database
CoreSwitch(vlan)#vlan 10 name JXL
CoreSwitch(vlan)#vlan 20 name TSG
CoreSwitch(vlan)#vlan 30 name JSSS
CoreSwitch(vlan)#vlan 40 name DLS
CoreSwitch(vlan)#vlan 50 name SYS
CoreSwitch(vlan)#vlan 60 name BGL
CoreSwitch(vlan)#vlan 70 name TYG
CoreSwitch(vlan)#vlan 80 name XSSS
CoreSwitch(vlan)#vlan 90 name FT
CoreSwitch(vlan)#vlan 100 name FWQQ
CoreSwitch(config)#interface vlan 10
CoreSwitch(config-if)#ip address 192.168.1.254 255.255.255.0
CoreSwitch(config)#interface vlan 20
CoreSwitch(config-if)#ip address 192.168.2.254 255.255.255.0
CoreSwitch(config)#interface vlan 30
CoreSwitch(config-if)#ip address 192.168.3.254 255.255.255.0
CoreSwitch(config)#interface vlan 40
CoreSwitch(config-if)#ip address 192.168.4.254 255.255.255.0
CoreSwitch(config)#interface vlan 50
CoreSwitch(config-if)#ip address 192.168.5.254 255.255.255.0
CoreSwitch(config)#interface vlan 60
CoreSwitch(config-if)#ip address 192.168.6.254 255.255.255.0
CoreSwitch(config)#interface vlan 70
CoreSwitch(config-if)#ip address 192.168.7.254 255.255.255.0
CoreSwitch(config)#interface vlan 80
CoreSwitch(config-if)#ip address 192.168.8.254 255.255.255.0
CoreSwitch(config)#interface vlan 90
CoreSwitch(config-if)#ip address 192.168.9.254 255.255.255.0
CoreSwitch(config)#interface vlan 100
CoreSwitch(config-if)#ip address 192.168.100.254 255.255.255.0
4.配置核心层交换机CoreSwitch的端口参数
CoreSwitch(config)#interface fastethernet 1
CoreSwitch(config-if)#switchport mode access
CoreSwitch(config-if)#switchport access vlan 10
CoreSwitch(config-if)#no shutdown
CoreSwitch(config)#interface fastethernet 2
CoreSwitch(config-if)#switchport mode access
CoreSwitch(config-if)#switchport access vlan 20
CoreSwitch(config-if)#no shutdown
CoreSwitch(config)#interface fastethernet 3
CoreSwitch(config-if)#switchport mode access
CoreSwitch(config-if)#switchport access vlan 30
CoreSwitch(config-if)#no shutdown
CoreSwitch(config)#interface fastethernet 4
CoreSwitch(config-if)#switchport mode access
CoreSwitch(config-if)#switchport access vlan 40
CoreSwitch(config-if)#no shutdown
CoreSwitch(config)#interface fastethernet 5
CoreSwitch(config-if)#switchport mode access
CoreSwitch(config-if)#switchport access vlan 50
CoreSwitch(config-if)#no shutdown
CoreSwitch(config)#interface fastethernet 6
CoreSwitch(config-if)#switchport mode access
CoreSwitch(config-if)#switchport access vlan 60
CoreSwitch(config-if)#no shutdown
CoreSwitch(config)#interface fastethernet 7
CoreSwitch(config-if)#switchport mode access
CoreSwitch(config-if)#switchport access vlan 70
CoreSwitch(config-if)#no shutdown
CoreSwitch(config)#interface fastethernet 8
CoreSwitch(config-if)#switchport mode access
CoreSwitch(config-if)#switchport access vlan 80
CoreSwitch(config-if)#no shutdown
CoreSwitch(config)#interface fastetherne 9
CoreSwitch(config-if)#switchport mode access
CoreSwitch(config-if)#switchport access vlan 90
CoreSwitch(config-if)#no shutdown
5.启动核心层交换机CoreSwitch的路由功能
CoreSwitch(config)#ip routing
6.其它配置
定义对无类别网络以及全零子网的支持
CoreSwith(config)#ip classless
CoreSwith(config)#ip subnet-zero
不允许学生宿舍VLAN访问其它VLAN(图书馆VLAN,和部分服务器除外)
CoreSwith(config)#ip access-list standard Stu_ACL
CoreSwitch(config-std-nacl)#deny 192.168.8.0
CoreSwitch(config-std-nacl)#deny 192.168.18.0
CoreSwitch(config-std-nacl)#permit any
CoreSwitch(config)#interface fastethernet 1
CoreSwitch(config-if)#ip access-group Stu_ACL out
CoreSwitch(config)#interface fastethernet 3
CoreSwitch(config-if)#ip access-group Stu_ACL out
CoreSwitch(config)#interface fastethernet 4
CoreSwitch(config-if)#ip access-group Stu_ACL out
CoreSwitch(config)#interface fastethernet 5
CoreSwitch(config-if)#ip access-group Stu_ACL out
CoreSwitch(config)#interface fastethernet 6
CoreSwitch(config-if)#ip access-group Stu_ACL out
CoreSwitch(config)#interface fastethernet 7
CoreSwitch(config-if)#ip access-group Stu_ACL out
CoreSwitch(config)#interface fastethernet 9
CoreSwitch(config-if)#ip access-group Stu_ACL out
……
3.3 配置接入路由器InternetRouter
图3-2 接入路由器InternetRouter
1. 配置接入路由器InternetRouter的基本参数
Router#configure terminal
Enter configuration commands,one per line.End with CNTL/Z
Switch(config)#hostname InternetRouter
InternetRouter (config)#enable secret youguess
InternetRouter (config)#line con 0
InternetRouter (config-line)#logging synchronous
InternetRouter (config-line)#exec-timeout 5 30
InternetRouter (config-line)#line vty 0 15
InternetRouter (config-line)#password abc
InternetRouter (config-line)#login
InternetRouter (config-line)# exec-timeout 5 30
InternetRouter (config-line)#exit
InternetRouter (config)#no ip domain-lookup
2. 配置接入路由器InternetRouter的各接口参数
InternetRouter (config)#interface fastethernet 0/0
InternetRouter (config-if)#ip address 192.168.0.254 255.255.255.0
InternetRouter (config-if)#no shutdown
InternetRouter (config-if)# interface serial 0/0
InternetRouter (config-if)#ip address 193.1.1.1 255.255.255.252
InternetRouter (config-if)#no shutdown
3. 配置接入路由器InternetRouter的路由功能
InternetRouter (config)#ip route 0.0.0.0 0.0.0.0 serial0/0
InternetRouter (config)#ip route 192.168.0.0 255.255. 248.0 192.168.0.3 /
InternetRouter (config)#ip route 192.168.100.0 255.255. 255.0 192.168.0.3
/定义到校园网内部的路由
4. 配置接入路由器InternetRouter上的NAT
为了接入Internet,本校园网向当地ISP申请了9个IP地址。其中一个IP地址:193.1.1.1被分配给了Internet接入路由器的串行接口,另外8个IP地址:202.206.222.1~202.206.222.8用作NAT。
InternetRouter (config)#interface fastethernet 0/0
InternetRouter (config-if)#ip nat inside
InternetRouter (config-if)#interface serial 0/0
InternetRouter (config-if)#ip nat outside /定义NAT内部、外部接口
InternetRouter (config)#ip access-list 1 permit 192.168.0.0 0.0.7.255
InternetRouter (config)#ip access-list 1 permit 192.168.100.0 0.0.0.255
InternetRouter (config)#ip nat inside source static 192.168.100.1 202.206.222.1
InternetRouter (config)#ip nat inside source static 192.168.100.1 202.206.222.2
InternetRouter (config)#ip nat inside source static 192.168.100.1 202.206.222.3
…… / 为服务器定义静态地址转换
InternetRouter (config)#ip nat inside source list 1 interface serial 0/0 overload
/ 为工作站定义复用地址转换
5. 配置接入路由器InternetRouter上的安全访问ACL
1. 路由器是进入校园网内网的第一道关卡,是网络防御的前沿阵地。路由器上的访问控制列表(Access Control List,ACL)是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于校园网内网和之间,是与内网进行通信时的第一道屏障,所以即使在网络系统安装了防火墙产品后,仍然有必要对路由器的访问控制列表进行缜密的设计,来对校园网内网包括防火墙本身实施保护。
在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该做以下的ACL设计:
对外屏蔽简单网管协议,即SNMP. 利用这个协议,远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型:SNMP和SNMPTRAP。
设置对外屏蔽简单网管协议SNMP:
InternetRouter (config) #ip route 192.168.0.0 255.255.248.0 192.168.0.3
InternetRouter (config)#ip route 192.168.100.0 255.255.255.0 192.168.0.3
2. 对外屏蔽远程登录协议telnet. 首先,telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的,很容易被网络上的非法协议分析设备截获。其次,telnet可以登录到大多数网络设备和UNIX服务器,并可以使用相关命令完全操纵它们。这是极其危险的,因此必须加以屏蔽。
屏蔽远程登录协议telnet
InternetRouter (config)#ip access-list 101 deny tcp any eq telnet
InternetRouter (config)#ip access-list 101 permit ip any any
3. 对外屏蔽其它不安全的协议或服务. 这样的协议主要有SUN OS的文件共享协议端口2049,远程执行(rsh)、远程登录(rlogin)和远程命令(rcmd)端口512、513、514,远程过程调用(SUNRPC)端口111。可以将针对以上协议综合进行设计
InternetRouter (config)#ip access-list 101 deny tcp any any range 512 514
InternetRouter (config)#ip access-list 101 deny tcp any any eq 111
InternetRouter (config)#ip access-list 101 deny udp any any eq 111
InternetRouter (config)#ip access-list 101 deny tcp any any range 2049
InternetRouter (config)#ip access-list 101 permit ip any any
4. 针对DoS攻击的设计. DoS攻击(Denial of Service Attack,拒绝服务攻击)是一种非常常见而且极具破坏力的攻击手段,它可以导致服务器、网络设备的正常服务进程停止,严重时会导致服务器操作系统崩溃。
InternetRouter (config)#ip access-list 101 deny icmp any any eq echo-requset
InternetRouter (config)#ip access-list 101 deny udp any any eq echo
InternetRouter (config)#interface serial 0/0
InternetRouter (config-if)#ip access-group 101 m
InternetRouter (config-if)#interface fastethernet 0/0
InternetRouter (config-if)#no ip directed-broadcast
5. 保护路由器自身安全. 作为内网、间屏障的路由器,保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器,必须对路由器的访问位置加以。应只允许来自服务器群的IP地址访问并配置路由器。这时,可以使用ACCESS-CLASS命令进行VTY访问控制
InternetRouter (config)#line vty 0 4
InternetRouter (config-line)#access-class 2 in
InternetRouter (config-line)#exit
InternetRouter (config-line)#access-list 2 permit 192.168.100.0 0.0.0.255
InternetRouter (config)#ip classless /对无类别网络以及全零子网的支持
InternetRouter (config)#ipsubnet-zero
第四章 总结
通过对校园网络关键设备进行分析.得出配置步骤和配置命令。本设计中所采取的技术与产品充分考虑到了网络未来的升级与发展,无论从校园网的扩展到广域网的建设都作了周密的考虑。再是由于系统选择的是最成熟与标准的快速以太网技术,把网络已构筑了高速和坚固的信息高速公路,面对未来的发展将处于非常有利的境界。
在设计过程中,经常会遇到这样那样的情况,就是心里想着这样的命令可以行得通,但实际接上模拟测试时,总是实现不了,因此耗费在这上面的时间用去很多。我觉得做课程设计同时也是对课本知识的巩固和加强,由于课本上的知识太多,平时课间的学习并不能很好的理解和运用各种知识点,而且考试内容有限,所以在这次课程设计过程中,我们了解了很多交换机和路由器的功能,并且对于其在网络的使用有了更多深刻的认识。
平时看课本时,有时问题老是弄不懂,做完课程设计,那些问题就迎刃而解了。而且还可以记住很多东西。比如一些交换机和路由器的命令,平时看课本,这次看了,下次就忘了,通过动手实践让我们对各种命令映象深刻。认识来源于实践,实践是认识的动力和最终目的,实践是检验真理的唯一标准。所以这次网络工程课程设计对我们的作用是非常大的。
同时这次设计是一个团队的工作,团队需要个人,个人也离不开团队,必须发扬团结协作的精神。某个人的离群都可能导致导致整项工作的失败。实践中只有一个人知道原理是远远不够的,必须让每个人都知道,否则一个人的错误,就有可能导致整个工作失败。团结协作是我们实习成功的一项非常重要的保证。而这次实践也正好锻炼我们这一点,这也是非常宝贵的。
通过这次课程设计使我懂得了理论与实际相结合是很重要的,只有理论知识是远远不够的,只有把所学的理论知识与实践相结合起来,从理论中得出结论,才能真正为社会服务,从而提高自己的实际动手能力和思考的能力。在设计的过程中遇到问题,可以说得是困难重重,这毕竟第一次做的,难免会遇到过各种各样的问题,同时在设计的过程中发现了自己的不足之处,对以前所学过的知识理解得不够深刻,掌握得不够牢固。
参考文献
张宝通,《某(中小型)校园网设计方案实例》,ChinaITLab网校教研中心,2006年3月
易建勋,《计算机网络设计》,人民邮电出版社,2007年7月
http://down.51cto.com/(校园网络系统设计方案)
http://www.cisco.com/global/CN/products/rt/index.shtml (思科产品的参数介绍)下载本文
