路由交換技術課程設計

1、<p>　　計算機科學與技術學院</p><p><b>　　課程設計</b></p><p><b>　　路由交換技術</b></p><p>　　（2013-2014學年度第二學期）</p><p>　　課程名稱： 路由交換技術

2、 </p><p>　　實驗名稱： 校園網(wǎng)拓撲建設和網(wǎng)絡設備配置 </p><p>　　指導教師： </p><p>　　實驗地點

3、： </p><p>　　姓 名： </p><p>　　學 號：

4、 </p><p>　　班 級： </p><p><b>　　目錄</b></p><p><b>　　目的：2</b></p><p><b>　　要求和說明：2</

5、b></p><p><b>　　課程設計內容：2</b></p><p><b>　　總體概述2</b></p><p><b>　　需求分析3</b></p><p><b>　　設計原則3</b></p><p>

6、;<b>　　繪制拓撲結構圖4</b></p><p><b>　　具體工作4</b></p><p><b>　　設備選型4</b></p><p>　　網(wǎng)絡布局規(guī)劃與設計5</p><p>　　IP地址規(guī)劃（子網(wǎng)劃分和CIDR技術）5</p><

7、;p>　　路由器和交換機的配置7</p><p>　?。ㄒ唬┡渲寐酚蒊P7</p><p>　　（二）南華大學主校區(qū)和分校區(qū)之間，實現(xiàn)幀中繼數(shù)據(jù)傳輸11</p><p>　　（三）南華大學接入INERNET14</p><p>　?。ǘ┚钟蚓W(wǎng)建設27</p><p><b>　　課程設計心得

8、44</b></p><p>　　課程設計的目的及要求</p><p><b>　　目的：</b></p><p>　　通過本次課程設計，目的是能夠對課上所學的零散的知識有更加實際的了解，通過小型的拓撲建設，將我們課上所學的知識點都用在上面，讓我們對網(wǎng)絡設備配置和路由交換技術有一個整體的把握。</p><p&g

9、t;<b>　　要求和說明：</b></p><p><b>　　基本要求：</b></p><p>　?。?）南華大學校園拓撲建設</p><p>　　（2）和分校區(qū)建立虛擬鏈路，采用幀中繼的方式連接</p><p>　　（3）與南華大學附屬醫(yī)院的通信要采用IPSEC封裝</p>&

10、lt;p>　　課程設計的內容（分析和設計）</p><p><b>　　課程設計內容：</b></p><p><b>　　總體概述</b></p><p>　　本拓撲是基于校園網(wǎng)絡通信設計的，在南華大學的網(wǎng)絡中心有一個總的路由，負責INTERNET 的接入，并作為校園網(wǎng)連接外網(wǎng)的路由轉發(fā)設備。我們這里假設南華大學有

11、兩個分校區(qū)，和一個主校區(qū)。分校區(qū)離主校區(qū)較遠，我們采用幀中繼技術，來實現(xiàn)分校區(qū)和主校區(qū)互聯(lián)。幀中繼采用虛電路技術，對分組交換技術進行簡化，可以在一對一或者一對多的應用中快速而低廉的傳輸數(shù)位信息。幀中繼是廣域網(wǎng)的技術，為保證傳輸過程中的數(shù)據(jù)安全，在分校區(qū)和主校區(qū)之間使用IPSec傳輸模式對數(shù)據(jù)進行加密。南華大學訪問南華附屬第一醫(yī)院的網(wǎng)絡時，我們做一個GRE封裝，讓它通過隧道通信。以下是我們在構建網(wǎng)絡時的一些要點：</p>&

12、lt;p>　　1.此專用網(wǎng)設計方案要求是跨局域網(wǎng)之間的連接，所以需要選擇接入技術，實現(xiàn)廣域技術的連接；</p><p>　　2.設計出詳細的拓撲圖，將各個局域網(wǎng)之間相連，設計專用網(wǎng)時按照分層模型進行規(guī)劃，指定核心區(qū)，接入?yún)^(qū)等；</p><p>　　3. 實現(xiàn)廣域網(wǎng)上的幀中繼技術等；</p><p>　　4.選擇合適的路由協(xié)議，并對路由器的安全進行配置；<

13、/p><p>　　5.對中間設備進行統(tǒng)一管理，并實現(xiàn)遠程登陸管理；</p><p><b>　　需求分析</b></p><p>　　隨著計算機及局域網(wǎng)絡應用的不斷深入，特別是各種計算機應用系統(tǒng)被相繼應用在實際工作中，各企業(yè)、各單位同外界信息媒體之間的相互交換和共享的要求日益增加。</p><p><b>　　1．

14、網(wǎng)絡設備配置</b></p><p>　　配備網(wǎng)絡交換設備，實現(xiàn)樓宇間的千兆光纖連接，保證未來各應用系統(tǒng)的實施以及滿足辦公需求。</p><p><b>　　2．網(wǎng)管系統(tǒng)設計</b></p><p>　　提供可以對整個網(wǎng)絡系統(tǒng)進行管理的中文圖形界面工具，使系統(tǒng)維護人員可以集中控制網(wǎng)絡的所有設備。</p><p&g

15、t;<b>　　設計原則</b></p><p>　　基于以上特點，應遵循下列設計原則：</p><p>　　1.把握好技術先進性與應用簡易性之間的平衡。 </p><p>　　2.具有良好的升級擴展能力。</p><p>　　3.具有較高的可靠性和安全性。</p><p>　　4.產(chǎn)品功能與實際

16、應用需求相匹配。 </p><p>　　6.經(jīng)濟性：要求價格適中，設備及耗材要求采用質量過硬，物美價廉。</p><p>　　7.開放性：采用國際標準通信協(xié)議、標準操作系統(tǒng)、標準網(wǎng)管軟件、采用符合標準的設備，保證整個系統(tǒng)具有開放特點，增強與不同類型的網(wǎng)絡之間的互聯(lián)能力</p><p><b>　　繪制拓撲結構圖</b></p>&

17、lt;p><b>　　具體工作</b></p><p><b>　　設備選型</b></p><p>　　型號2950-24交換機3臺，</p><p>　　型號2960-24交換機3臺</p><p>　　型號3560-24ps三層交換機1臺</p><p>　　型號

18、2811路由器5臺</p><p><b>　　WEB服務器1臺</b></p><p><b>　　DNS服務器1臺</b></p><p><b>　　網(wǎng)絡布局規(guī)劃與設計</b></p><p>　　本次課程設計是針對南華大學校園網(wǎng)規(guī)劃設計的，由于時間較短，所以設計很簡單。

19、南華大學主校區(qū)的網(wǎng)絡中心屬于核心區(qū)，兩個分校區(qū)包括醫(yī)學院屬于接入?yún)^(qū)。南華大學負責接入INTERNET，我們這里只需南華大學通過INTERNET與南華附屬醫(yī)院通信，并建立VPN。在南華大學內部，由于分校區(qū)距離主校區(qū)較遠，所以采用幀中繼廣域網(wǎng)技術，實現(xiàn)分校區(qū)與校園網(wǎng)的連接。南華醫(yī)學院，由于人數(shù)眾多，接入量大，我們采用三層交換機技術，并對局域網(wǎng)下的用戶進行VLAN劃分。</p><p>　　IP地址規(guī)劃（子網(wǎng)劃分和CI

20、DR技術）</p><p><b>　　南華大學內部：</b></p><p>　　路由器和交換機的配置</p><p><b>　?。ㄒ唬┡渲寐酚蒊P</b></p><p>　　南華大學網(wǎng)絡中心路由IP設置</p><p>　　interface Loopback0<

21、;/p><p>　　ip address 172.0.1.1 255.255.255.255</p><p><b>　　!</b></p><p>　　interface Tunnel0</p><p>　　ip address 192.168.100.1 255.255.255.0</p><p>

22、;　　tunnel source Serial1/0</p><p>　　tunnel destination 172.1.17.2</p><p><b>　　!</b></p><p><b>　　!</b></p><p>　　interface FastEthernet0/0</p&g

23、t;<p>　　ip address 192.168.1.1 255.255.255.128</p><p>　　duplex auto</p><p>　　speed auto</p><p><b>　　!</b></p><p>　　interface Serial0/3/0</p>&

24、lt;p>　　no ip address</p><p>　　encapsulation frame-relay</p><p><b>　　!</b></p><p>　　interface Serial0/3/0.101 point-to-point</p><p>　　ip address 10.0.0.1

25、255.255.255.0</p><p>　　frame-relay interface-dlci 101</p><p><b>　　!</b></p><p>　　interface Serial0/3/0.102 point-to-point</p><p>　　ip address 12.0.0.1 255.2

26、55.255.0</p><p>　　frame-relay interface-dlci 102</p><p><b>　　!</b></p><p>　　interface Serial1/0</p><p>　　ip address 172.1.16.2 255.255.255.252</p>&l

27、t;p>　　crypto map VPNmap</p><p><b>　　!</b></p><p>　　主校區(qū)醫(yī)學院三層交換機配置設置</p><p>　　interface FastEthernet0/1</p><p>　　no switchport</p><p>　　ip add

28、ress 192.168.1.2 255.255.255.128</p><p>　　duplex auto</p><p>　　speed auto</p><p>　　interface Vlan2</p><p>　　ip address 211.1.1.1 255.255.255.128</p><p><

29、;b>　　!</b></p><p>　　interface Vlan3</p><p>　　ip address 211.1.2.1 255.255.255.128</p><p><b>　　!</b></p><p>　　interface Vlan4</p><p>　　

30、ip address 211.1.3.1 255.255.255.128</p><p><b>　　!</b></p><p>　　interface Vlan5</p><p>　　ip address 211.1.4.1 255.255.255.128</p><p><b>　　!</b>&

31、lt;/p><p>　　分校區(qū)計算機學院路由IP設置</p><p>　　interface FastEthernet0/0</p><p>　　ip address 192.168.3.1 255.255.255.0</p><p>　　duplex auto</p><p>　　speed auto</p>

32、<p><b>　　!</b></p><p>　　interface FastEthernet0/1</p><p>　　ip address 192.168.2.1 255.255.255.0</p><p>　　duplex auto</p><p>　　speed auto</p>&

33、lt;p><b>　　!</b></p><p>　　interface Serial0/3/0</p><p>　　no ip address</p><p>　　encapsulation frame-relay</p><p><b>　　!</b></p><p&g

34、t;　　interface Serial0/3/0.201 point-to-point</p><p>　　ip address 10.0.0.2 255.255.255.0</p><p>　　frame-relay interface-dlci 201</p><p>　　分校區(qū)電氣電工學院路由IP設置</p><p>　　interf

35、ace FastEthernet0/0</p><p>　　ip address 192.168.4.1 255.255.255.0</p><p>　　duplex auto</p><p>　　speed auto</p><p><b>　　!</b></p><p>　　interface

36、 FastEthernet0/1</p><p>　　ip address 192.168.5.1 255.255.255.0</p><p>　　duplex auto</p><p>　　speed auto</p><p><b>　　!</b></p><p>　　interface Se

37、rial0/3/0</p><p>　　no ip address</p><p>　　encapsulation frame-relay</p><p><b>　　!</b></p><p>　　interface Serial0/3/0.301 point-to-point</p><p>

38、　　ip address 12.0.0.2 255.255.255.0</p><p>　　frame-relay interface-dlci 301</p><p><b>　　DNS配置</b></p><p><b>　　WEB</b></p><p>　　（二）南華大學主校區(qū)和分校區(qū)之間，

39、實現(xiàn)幀中繼數(shù)據(jù)傳輸</p><p><b>　　局部拓撲：</b></p><p><b>　　配置如下：</b></p><p><b>　　云設置：</b></p><p><b>　　網(wǎng)絡中心路由：</b></p><p>　

40、　分校區(qū)計算機學院路由：</p><p><b>　　!</b></p><p>　　interface Serial0/3/0</p><p>　　no ip address</p><p>　　encapsulation frame-relay</p><p><b>　　!<

41、/b></p><p>　　interface Serial0/3/0.201 point-to-point</p><p>　　ip address 10.0.0.2 255.255.255.0</p><p>　　frame-relay interface-dlci 201</p><p>　　分校區(qū)電氣電工學院路由：</p&

42、gt;<p>　　interface Serial0/3/0</p><p>　　no ip address</p><p>　　encapsulation frame-relay</p><p><b>　　!</b></p><p>　　interface Serial0/3/0.301 point-t

43、o-point</p><p>　　ip address 12.0.0.2 255.255.255.0</p><p>　　frame-relay interface-dlci 301</p><p><b>　　測試：</b></p><p>　　分校區(qū)計算機學院ping 分校區(qū)電氣電工學院</p>&l

44、t;p>　　分校區(qū)電氣電工學院ping分校區(qū)計算機學院</p><p>　　（三）南華大學接入INERNET</p><p>　　通過INERNET，可以訪問南華附屬第一醫(yī)院的服務器，這之間我們采用VPN技術，對ospf數(shù)據(jù)傳輸用GRE封裝，用IPSEC協(xié)議對數(shù)據(jù)加密，最終實現(xiàn)加密傳輸。</p><p>　　IPsec（IP security）協(xié)議族是IETF

45、制定的一系列協(xié)議，它為IP數(shù)據(jù)報提供了高質量的、可互操作的、基于密碼學的安全性。特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗證等方式，來保證數(shù)據(jù)報在網(wǎng)絡上傳輸時的私有性、完整性、真實性和防重放。</p><p>　　GRE協(xié)議是對某些網(wǎng)絡層協(xié)議的數(shù)據(jù)報進行封裝，使這些被封裝的數(shù)據(jù)報能夠在另一個網(wǎng)絡層協(xié)議中傳輸。GRE是VPN的第三層隧道協(xié)議，在協(xié)議層之間采用了一種被稱之為Tunnel的技術。Tunnel是一個虛擬的

46、點對點的連接，在實際中可以看成僅支持點對點連接的虛擬接口，這個接口提供了一條通路使封裝的數(shù)據(jù)報能夠在這個通路上傳輸，并且在一個Tunnel的兩端分別對數(shù)據(jù)報進行封裝及解封裝。</p><p>　　通常情況下，IPsec不能傳輸路由協(xié)議，例如RIP和OSPF；或者非IP數(shù)據(jù)流，例如IPX（Internetwork Packet Exchange）和AppleTalk。這樣，如果要在IPsec構建的VPN網(wǎng)絡上傳輸這

47、些數(shù)據(jù)就必須借助于GRE協(xié)議，對路由協(xié)議報文等進行封裝，使其成為IPsec可以處理的IP報文，這樣就可以在IPsec VPN網(wǎng)絡中實現(xiàn)不同的網(wǎng)絡的路由。</p><p><b>　　1）建立GRE隧道</b></p><p>　　建立GRE隧道，以便后面對OSPF組播路由協(xié)議進行封裝，配置如下：</p><p><b>　　南華網(wǎng)絡中

48、心：</b></p><p>　　interface Tunnel0</p><p>　　ip address 192.168.100.1 255.255.255.0</p><p>　　tunnel source Serial1/0</p><p>　　tunnel destination 172.1.17.2</p>

49、;<p><b>　　南華附屬第一醫(yī)院：</b></p><p>　　interface Tunnel0</p><p>　　ip address 192.168.100.2 255.255.255.0</p><p>　　tunnel source Serial1/1</p><p>　　tunnel d

50、estination 172.1.16.2</p><p><b>　　2）配置動態(tài)路由</b></p><p>　　在南華大學內部我們使用RIP2路由協(xié)議，而公用網(wǎng)上使用的是OSPF協(xié)議，所以我們這里還需要配置路由重分布。</p><p><b>　　配置如下：</b></p><p><b

51、>　　分校區(qū)計算機學院</b></p><p>　　router rip</p><p><b>　　version 2</b></p><p>　　network 10.0.0.0</p><p>　　network 192.168.2.0</p><p>　　network

52、192.168.3.0</p><p><b>　　分校區(qū)電氣電工學院</b></p><p>　　router rip</p><p><b>　　version 2</b></p><p>　　network 12.0.0.0</p><p>　　network 192.

53、168.4.0</p><p>　　network 192.168.5.0</p><p><b>　　主校區(qū)網(wǎng)絡中心</b></p><p>　　這里會有兩個協(xié)議：RIPV2和OSPF，并需配置路由重分布</p><p><b>　　配置如下：</b></p><p>&l

54、t;b>　　OSPF</b></p><p>　　router ospf 10</p><p>　　log-adjacency-changes</p><p>　　redistribute rip subnets </p><p>　　network 192.168.100.0 0.0.0.255 area 0</p&

55、gt;<p>　　network 172.0.1.1 0.0.0.0 area 0</p><p><b>　　RIPV2</b></p><p>　　router rip</p><p><b>　　version 2</b></p><p>　　redistribute ospf

56、10 metric 1 </p><p>　　network 10.0.0.0</p><p>　　network 12.0.0.0</p><p>　　network 192.168.1.0</p><p><b>　　南華附屬第一醫(yī)院</b></p><p>　　router ospf 10&

57、lt;/p><p>　　log-adjacency-changes</p><p>　　network 192.168.100.0 0.0.0.255 area 0</p><p>　　network 172.0.2.1 0.0.0.0 area 0</p><p>　　network 172.1.20.0 0.0.0.3 area 0</

58、p><p>　　network 192.168.9.0 0.0.0.255 area 0</p><p>　　此時我們來查看各路由器的路由表：</p><p><b>　　南華大學網(wǎng)絡中心</b></p><p>　　發(fā)現(xiàn)附屬醫(yī)院的地址已經(jīng)通過GRE隧道通告到了南華大學網(wǎng)絡中心</p><p><

59、;b>　　衡陽附屬醫(yī)院</b></p><p>　　發(fā)現(xiàn)在附屬醫(yī)院這一端南華大學的地址也已經(jīng)通告完成，并在附屬醫(yī)院這一端有了記錄。</p><p>　　現(xiàn)在我們來檢查兩個分校區(qū)路由的路由表：</p><p>　　這是大家會發(fā)現(xiàn)一個問題，路由表里并沒有192.168.9.0這個網(wǎng)段，這是為什么呢？原因是這樣的：</p><p>

60、;　　CISCO的路由協(xié)議都有自己缺省的的管理距離（AD），RIP的為120，OSPF的為110，對于兩種不同的協(xié)議，管理距離越小，它的優(yōu)先級也就越高，也就是可信度越高。</p><p>　　所以，OSPF的優(yōu)先級就高于RIP，且度量值為1，那么192.168.9.0就不會下發(fā)到分校區(qū)。</p><p>　　解決辦法，在網(wǎng)絡中心將默認路由通過RIP通告出去</p><p

61、>　　這時我們來查看分校區(qū)的路由表</p><p>　　此時互聯(lián)網(wǎng)已經(jīng)聯(lián)通，我們做個測試</p><p>　　南華大學網(wǎng)絡中心——南華附屬醫(yī)院</p><p>　　Router#ping 192.168.9.1</p><p>　　Type escape sequence to abort.</p><p>　　

62、Sending 5, 100-byte ICMP Echos to 192.168.9.1, timeout is 2 seconds:</p><p><b>　　!!!!!</b></p><p>　　Success rate is 100 percent (5/5), round-trip min/avg/max = 6/7/9</p><p

63、>　　分校區(qū)計算機學院——南華附屬醫(yī)院</p><p>　　Router#ping 192.168.9.1</p><p>　　Type escape sequence to abort.</p><p>　　Sending 5, 100-byte ICMP Echos to 192.168.9.1, timeout is 2 seconds:</p&g

64、t;<p><b>　　!!!!!</b></p><p>　　Success rate is 100 percent (5/5), round-trip min/avg/max = 9/13/1</p><p><b>　　現(xiàn)在我們抓包測試：</b></p><p>　　我們從分校區(qū)計算機學院給附屬醫(yī)院發(fā)一

65、個PING包</p><p><b>　　從云到網(wǎng)絡中心</b></p><p><b>　　進入：</b></p><p><b>　　出去：</b></p><p>　　這是抓取的ICMP包，我們可以分析得到：</p><p>　　數(shù)據(jù)從網(wǎng)絡中心出

66、來時，對IP傳輸進行了GRE封裝，真正的源地址和目的地址，已經(jīng)轉變?yōu)槲锢砩系脑春湍康摹?lt;/p><p>　　接下我們檢測一下，GRE是否對OSPF進行了封裝：</p><p>　　從上面抓取的報文大家可以明顯的看到OSPF已經(jīng)成功被GRE封裝</p><p>　　此時我們就可以建立南華大學到附屬醫(yī)院的VPN通道</p><p><b&g

67、t;　　3）VPN技術應用</b></p><p>　　我們配置的范圍為分別從192.168.1.0/25、10.0.0.0/25 、12.0.0.0/25到192.168.9.0/24這三條鏈路加密</p><p><b>　　配置過程：</b></p><p><b>　　南華大學網(wǎng)絡中心</b></

68、p><p>　　crypto isakmp policy 1</p><p><b>　　encr 3des</b></p><p><b>　　hash md5</b></p><p>　　authentication pre-share</p><p><b>　　

69、group 2</b></p><p><b>　　!</b></p><p>　　crypto isakmp key 123 address 172.1.17.2</p><p><b>　　!</b></p><p>　　crypto ipsec transform-set set1

70、 ah-sha-hmac esp-3des</p><p><b>　　!</b></p><p>　　crypto map VPNmap 10 ipsec-isakmp </p><p>　　set peer 172.1.17.2</p><p>　　set transform-set set1 </p>

71、<p>　　match address 110</p><p><b>　　!</b></p><p>　　access-list 110 permit ip 192.168.1.0 0.0.0.127 192.168.9.0 0.0.0.255</p><p>　　access-list 110 permit ip 10.0.0.

72、0 0.0.0.255 192.168.9.0 0.0.0.255</p><p>　　access-list 110 permit ip 12.0.0.0 0.0.0.255 192.168.9.0 0.0.0.255</p><p>　　access-list 110 deny ip any any</p><p>　　interface Serial1/0&l

73、t;/p><p>　　ip address 172.1.16.2 255.255.255.252</p><p>　　crypto map VPNmap</p><p><b>　　南華附屬醫(yī)院：</b></p><p>　　crypto isakmp policy 1</p><p><b&g

74、t;　　encr 3des</b></p><p><b>　　hash md5</b></p><p>　　authentication pre-share</p><p><b>　　group 2</b></p><p><b>　　!</b></p&g

75、t;<p>　　crypto isakmp key 123 address 172.1.16.2</p><p><b>　　!</b></p><p>　　crypto ipsec transform-set set1 ah-sha-hmac esp-3des</p><p><b>　　!</b><

76、/p><p>　　crypto map VPNmap 10 ipsec-isakmp </p><p>　　set peer 172.1.16.2</p><p>　　set transform-set set1 </p><p>　　match address 110</p><p><b>　　!</b

77、></p><p>　　access-list 110 permit ip 192.168.9.0 0.0.0.255 any</p><p>　　interface Serial1/1</p><p>　　ip address 172.1.17.2 255.255.255.252</p><p>　　crypto map VPNmap

78、</p><p><b>　　抓包測試：</b></p><p>　　我們從分學院計算機學院發(fā)送一個ping包到附屬醫(yī)院，發(fā)現(xiàn)是可以到達的，在抓取過程中我們發(fā)現(xiàn)沒有ISAKMP包，那是因為已經(jīng)認證完畢了，我們抓個ICMP包來看看。抓取的數(shù)據(jù)包如下：</p><p>　　計算機學院發(fā)出的包：</p><p>　　經(jīng)由網(wǎng)絡信

79、息中心發(fā)出的包</p><p>　　這里因為認證時間很短，所以我們沒有看到ISAKMP包</p><p>　　至此，連接INTERNET部分已經(jīng)全部暢通</p><p><b>　?。ǘ┚钟蚓W(wǎng)建設</b></p><p>　　讓局域網(wǎng)下的客戶機可以通過交換設備連接校園網(wǎng)，并訪問INTERNET</p>&

80、lt;p>　　有時，當一個局域網(wǎng)下要劃分出不同小區(qū)域，讓不同的小區(qū)域之間不發(fā)生廣播轉發(fā)，這時就要劃分VLAN。VLAN即虛擬局域網(wǎng)，是一種通過局域網(wǎng)內的設備邏輯的劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組技術。</p><p>　　VLAN優(yōu)點：1. 限制廣播域。廣播域被限制在一個VLAN內，節(jié)省了帶寬，提高了網(wǎng)絡處理能力。2. 增強局域網(wǎng)的安全性。不同VLAN內的報文在傳輸時是相互隔離的，即一個VLAN內的

81、用戶不能和其它VLAN內的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設備。</p><p>　　3. 靈活構建虛擬工作組。用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡構建和維護更方便靈活。</p><p>　　以下分別是我們主校區(qū)和分校區(qū)局域網(wǎng)建設的具體規(guī)劃與配置。</p><p>

82、;<b>　　1）主校區(qū)</b></p><p>　　主校區(qū)的學院較多，這里主要以醫(yī)學院為主來介紹。醫(yī)學院作為人數(shù)最多的一個學院，所需要的網(wǎng)絡接入量相對較大。如果采用傳統(tǒng)的局域網(wǎng)接入技術，則會出現(xiàn)極大的廣播域，很容易產(chǎn)生廣播風暴。同時，由于無劃分的局域網(wǎng)內部之間是以廣播形式通信，大大降低了安全性，所以我們需要劃分多個VLAN。而VLAN間通信需要有路由或三層交換機來實現(xiàn)。綜合考慮，我們使用三

83、層交換機。</p><p>　　三層交換機：出于安全和管理方便的考慮，主要是為了減小廣播風暴的危害，必須把大型局域網(wǎng)按功能或地域等因素劃成一個個小的局域網(wǎng)，這就使VLAN技術在網(wǎng)絡中得以大量應用，而各個不同VLAN間的通信都要經(jīng)過路由器來完成轉發(fā)，隨著網(wǎng)間互訪的不斷增加。單純使用路由器來實現(xiàn)網(wǎng)間訪問，不但由于端口數(shù)量有限，而且路由速度較慢，從而限制了網(wǎng)絡的規(guī)模和訪問速度?；谶@種情況三層交換機便應運而生，三層交換

84、機是為IP設計的，接口類型簡單，擁有很強二層包處理能力，非常適用于大型局域網(wǎng)內的數(shù)據(jù)路由與交換，它既可以工作在協(xié)議第三層替代或部分完成傳統(tǒng)路由器的功能，同時又具有幾乎第二層交換的速度，且價格相對便宜些。</p><p>　　在企業(yè)網(wǎng)和教學網(wǎng)中，一般會將三層交換機用在網(wǎng)絡的核心層，用三層交換機上的千兆端口或百兆端口連接不同的子網(wǎng)或VLAN。不過應清醒認識到三層交換機出現(xiàn)最重要的目的是加快大型局域網(wǎng)內部的數(shù)據(jù)交換，所

85、具備的路由功能也多是圍繞這一目的而展開的，所以它的路由功能沒有同一檔次的專業(yè)路由器強。畢竟在安全、協(xié)議支持等方面還有許多欠缺，并不能完全取代路由器工作。</p><p>　　在實際應用過程中，典型的做法是：處于同一個局域網(wǎng)中的各個子網(wǎng)的互聯(lián)以及局域網(wǎng)中VLAN間的路由，用三層交換機來代替路由器，而只有局域網(wǎng)與公網(wǎng)互聯(lián)之間要實現(xiàn)跨地域的網(wǎng)絡訪問時，才通過專業(yè)路由器。</p><p>　　我們

86、的思路如下： 在醫(yī)學院使用一個三層交換機，負責局域網(wǎng)下的通信。下分兩個交換機，負責局域網(wǎng)下不同區(qū)域的通信。在SWITCH0上我們劃分了VLAN2和VLAN3，在SWITCH1上我們劃分了VLAN4和VLAN5。</p><p><b>　　IP設置如下：</b></p><p><b>　　配置如下：</b></p><

87、;p>　　分別在交換機1和交換機2上創(chuàng)建兩個VLAN，并且設置VLAN劃分的接口范圍，并配置接口模式。</p><p><b>　　這里使用的命令：</b></p><p><b>　　交換機1:</b></p><p><b>　　特權模式下：</b></p><p>

88、　　#vlan database </p><p><b>　　#vlan 2</b></p><p><b>　　#vlan 3</b></p><p><b>　　全局模式下：</b></p><p>　　Int range f0/4-9</p><p&

89、gt;　　Switchport mode access</p><p>　　Switchport access vlan 2</p><p><b>　　exit</b></p><p>　　Int range f0/10-15</p><p>　　Switchport mode access</p>&l

90、t;p>　　Switchport access vlan 3</p><p>　　交換機2同理，這里不再贅述。</p><p><b>　　以下是結果：</b></p><p>　　設置與三層交換機相連的接口為TRUNK口</p><p>　　Switch(config)#int f0/2</p>&

91、lt;p>　　Switch(config-if)#switchport mode trunk </p><p>　　%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to down</p><p>　　%LINEPROTO-5-UPDOWN: Line protocol on

92、Interface FastEthernet0/2, changed state to up</p><p>　　Switch(config)#int f0/3</p><p>　　Switch(config-if)#switchport mode trunk </p><p>　　%LINEPROTO-5-UPDOWN: Line protocol on Inte

93、rface FastEthernet0/3, changed state to dow</p><p>　　%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up</p><p>　　設置兩個二層交換機為VTP服務器模式，域名hh，讓在同一個域里的交換機實現(xiàn)VLAN信息。<

94、;/p><p>　　在VTP域里操作的三種模式：</p><p>　　服務器模式（Server）</p><p>　　提供VTP消息：包括VLAN ID和名字信息</p><p>　　學習相同域名的VTP消息</p><p>　　轉發(fā)相同域名的VTP消息</p><p>　　可以添加、刪除和更改VL

95、AN VLAN信息寫入NVRAM</p><p>　　該模式下不能使用擴展</p><p>　　客戶機模式（Client）</p><p><b>　　請求VTP消息</b></p><p>　　學習相同域名的VTP消息</p><p>　　轉發(fā)相同域名的VTP消息</p><

96、p>　　不可以添加、刪除和更改VLAN VLAN信息不會寫入NVRAM</p><p>　　該模式下不能使用增強型軟件映像提供的VID，即只能使用2-1001這一段的值。1，1002-1005均為系統(tǒng)默認VID。要使用1006-4096作VID的值，只能關閉VTP或采用透明模式。</p><p>　　透明模式（Transparent）</p><p><

97、b>　　不提供VTP消息</b></p><p><b>　　不學習VTP消息</b></p><p><b>　　轉發(fā)VTP消息</b></p><p>　　可以添加、刪除和更改VLAN，只在本地有效 VLAN信息寫入NVRAM</p><p>　　所以我們在兩個二層交換機上使用

98、VTP服務器模式，方便添加、刪除、修改并通告VLAN信息。在三層交換機上上實現(xiàn)VTP客戶端模式，主要為學習和轉發(fā)。</p><p><b>　　二層交換機</b></p><p>　　Switch(config)#vtp domain hh</p><p>　　Changing VTP domain name from NULL to hh&l

99、t;/p><p>　　Switch(config)#vtp mode s</p><p>　　Switch(config)#vtp mode server </p><p>　　Device mode already VTP SERVER.</p><p><b>　　三層交換機：</b></p><p&

100、gt;　　Switch(config)#vtp domain hh</p><p>　　Domain name already set to hh.</p><p>　　Switch(config)#vtp mode c</p><p>　　Switch(config)#vtp mode client </p><p>　　Setting d

101、evice to VTP CLIENT mode.</p><p>　　查看醫(yī)院學交換機的VLAN表</p><p>　　可以看到已經(jīng)學到下面兩層的VLAN信息，注意這里沒有學習端口劃分</p><p>　　在三層交換機上為各個VLAN設置IP，并配置端口模式</p><p>　　interface Vlan1</p><

102、p>　　ip address 192.168.1.2 255.255.255.128</p><p><b>　　!</b></p><p>　　interface Vlan2</p><p>　　ip address 211.1.1.1 255.255.255.128</p><p><b>　　!&l

103、t;/b></p><p>　　interface Vlan3</p><p>　　ip address 211.1.2.1 255.255.255.128</p><p><b>　　!</b></p><p>　　interface Vlan4</p><p>　　ip address

104、211.1.3.1 255.255.255.128</p><p><b>　　!</b></p><p>　　interface Vlan5</p><p>　　ip address 211.1.4.1 255.255.255.128</p><p><b>　　!</b></p>

105、<p>　　配置端口模式，將與二層交換機相連的端口都改為中繼端口，并指定干道封裝類型為802.1Q </p><p>　　這里一定要先指定封裝類型，不然無法開啟中繼端口模式</p><p>　　Switch(config-if)#switchport trunk encapsulation dot1q </p><p>　　Switch(config-if

106、)#switchp</p><p>　　Switch(config-if)#switchport mode tru</p><p>　　Switch(config-if)#switchport mode trunk</p><p>　　兩個端口配置過程一樣，不一一列舉</p><p>　　接下來我們見三層交換機與路由相連的端口的三層端口開啟&

107、lt;/p><p>　　Switch(config-if)#no switchport </p><p>　　%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down</p><p>　　%LINEPROTO-5-UPDOWN: Line protocol

108、 on Interface FastEthernet0/1, changed state to up</p><p>　　Switch(config-if)#ip ad</p><p>　　Switch(config-if)#ip address 192.168.1.2 255.255.255.128</p><p>　　PC機根據(jù)自己所屬的VLAN，來設定自己的I

109、P和網(wǎng)關，此處省略</p><p><b>　　測試：</b></p><p>　　測試不同VLAN間通信</p><p>　　現(xiàn)在我們來測試一下主機到網(wǎng)絡中心</p><p>　　發(fā)現(xiàn)請求超時，那是怎么回事呢，我們通過抓包發(fā)現(xiàn)，發(fā)出去的包找不到回來的路，所以我查看了一下網(wǎng)絡中心的路由表，果然沒有到達醫(yī)學院這一局域網(wǎng)的網(wǎng)

110、段，此時我們需要在三層交換機上開啟路由功能，并且配置路由協(xié)議。</p><p>　　可是配完之后，發(fā)現(xiàn)路由條目通告不出去</p><p>　　現(xiàn)在我們只有在網(wǎng)絡中心配置一條靜態(tài)路由告訴網(wǎng)絡中心，回來的路該怎么走，之后再將我們配置的靜態(tài)路由通告出去。</p><p>　　Router(config)#ip route 211.1.1.0 255.255.255.128

111、 192.168.1.2</p><p>　　Router(config)#ip route 211.1.2.0 255.255.255.128 192.168.1.2</p><p>　　Router(config)#ip route 211.1.3.0 255.255.255.128 192.168.1.2</p><p>　　Router(config)#ip

112、 route 211.1.4.0 255.255.255.128 192.168.1.2</p><p>　　Router(config)#</p><p><b>　　這時我們做個測試</b></p><p><b>　　發(fā)現(xiàn)通了</b></p><p>　　接下來我們在網(wǎng)絡中心將這幾條靜態(tài)路由通

113、告出去</p><p><b>　　RIP重分布：</b></p><p>　　Router(config)#router rip</p><p>　　Router(config-router)#version w</p><p>　　Router(config-router)#version 2</p>

114、<p>　　Router(config-router)#redistribute static </p><p>　　Router(config-router)#ex</p><p><b>　　OSPF重分布：</b></p><p>　　Router(config)#router ospf 10</p><p&

115、gt;　　Router(config-router)#re</p><p>　　Router(config-router)#redistribute static ?</p><p>　　metric Metric for redistributed routes</p><p>　　metric-type OSPF/IS-IS exterior me

116、tric type for redistributed routes</p><p>　　subnets Consider subnets for redistribution into OSPF</p><p>　　tag Set tag for routes redistributed into OSPF</p><p><b&

117、gt;　　<cr></b></p><p>　　Router(config-router)#redistribute static sub</p><p>　　Router(config-router)#redistribute static subnets </p><p>　　Router(config-router)#ex</p&

118、gt;<p>　　現(xiàn)在我們來查看一下分校區(qū)計算機學院的路由表：</p><p>　　再查看一下附屬醫(yī)院的路由表</p><p>　　可以看到都已經(jīng)有了到達醫(yī)學院局域網(wǎng)下的路由條目，靜態(tài)路由已經(jīng)重分布成功</p><p>　　可是還有問題，發(fā)現(xiàn)我們只能連接到網(wǎng)絡中心，其他網(wǎng)段我們根本找不到，因為外面的路由條目也沒有通告進來，在三層交換機里，沒有到達其他網(wǎng)

119、段的路由信息。我們來看看三層交換機的路由表：</p><p><b>　　發(fā)現(xiàn)只有直連條目。</b></p><p>　　這時，查資料也只找到了配置靜態(tài)路由的方法，現(xiàn)在我們就在三層交換機上配置靜態(tài)路由，想讓他到哪，就配置到哪的路由。</p><p>　　Enter configuration commands, one per line. E

120、nd with CNTL/Z.</p><p>　　Switch(config)#ip route 172.1.20.0 255.255.255.252 192.168.1.1</p><p>　　Switch(config)#ip route 192.168.9.0 255.255.255.0 192.168.1.1</p><p>　　Switch(config

121、)#ip route 192.168.2.0 255.255.255.0 192.168.1.1</p><p>　　Switch(config)#ip route 192.168.3.0 255.255.255.0 192.168.1.1</p><p>　　Switch(config)#ip route 192.168.4.0 255.255.255.0 192.168.1.1<

122、/p><p>　　Switch(config)#ip route 192.168.5.0 255.255.255.0 192.168.1.1</p><p>　　Switch(config)#ex</p><p>　　這是我們在做個ping 測試</p><p>　　再訪問附屬醫(yī)院的主頁</p><p><b>

123、　　發(fā)現(xiàn)已經(jīng)全部連通</b></p><p><b>　　2）分校區(qū)</b></p><p>　　每一個校區(qū)會有很多學院，我們只以一個學院為例。兩個分校區(qū)都距離主校區(qū)較遠，所以我們使用了幀中繼技術，實現(xiàn)廣域互聯(lián)。在分校區(qū)的每一個學院假設都有一個路由設備，負責與主校區(qū)相連?，F(xiàn)在我們學院里面的客戶家就可以通過樓層交換機，來連接路由，實現(xiàn)上網(wǎng)。</p>

124、;<p>　　以下通過一臺主機的瀏覽器來訪問南華附屬第一醫(yī)院的網(wǎng)頁</p><p>　　在這里主要是有一個DNS服務器地址的設置，網(wǎng)關使用自己對應的網(wǎng)關</p><p>　　經(jīng)檢驗，兩個分學院，都可以成功訪問南華大學附屬第一醫(yī)院的主頁，這里就不一一列舉。</p><p><b>　　課程設計心得</b></p>&l

125、t;p>　　在此次課程設計中，更多的體會到的是當我們組件一個大型的網(wǎng)絡的時候，需要考慮的就不是局部了，而是全局。在配置過程中，出現(xiàn)了好多問題。反復的重新配置過很多次。最主要的問題出現(xiàn)在兩個地方：VPN的配置和VLAN的劃分。</p><p><b>　　關于VPN配置：</b></p><p>　　VPN的隧道協(xié)議主要有三種，PPTP、L2TP和IPSec，其中

126、PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議。我們在實驗當中使用的便是IPSEC隧道協(xié)議。</p><p>　　IPSEC有兩個限制：IPsec不能傳輸路由協(xié)議，例如RIP和OSPF</p><p>　　Ipsec不能成功認證經(jīng)過NAT轉換后的地址</p><p>　　在實踐過程中，對這兩種方案，都找到了解決辦法。

127、對于第一種情況，我們的解決辦法是采用三層的GRE隧道封裝，前面已經(jīng)做了詳細的介紹。</p><p>　　對于后一種方案，解決方法是NAT地址穿越。NAT－T的基本思路是IPSec封裝好的數(shù)據(jù)包外再進行一次UDP數(shù)據(jù)封裝。這樣，當此數(shù)據(jù)包穿過NAT網(wǎng)關時，被修改的只是最外層的IP／udp數(shù)據(jù)報。</p><p>　　但這一方法涉及到IKE，所以就沒在研究下去，時間有限</p>