cisco局域網(wǎng)設(shè)計(jì)畢業(yè)設(shè)計(jì)

1、<p>　　基于cisco設(shè)備的校園網(wǎng)設(shè)計(jì)和安全實(shí)現(xiàn)</p><p><b>　　摘 要</b></p><p>　　校園網(wǎng)是以網(wǎng)絡(luò)技術(shù)為基礎(chǔ)，實(shí)現(xiàn)學(xué)校整體信息化的集成應(yīng)用系統(tǒng)。它以網(wǎng)絡(luò)設(shè)備的互聯(lián)、安全運(yùn)行為基礎(chǔ)，以應(yīng)用軟件和教育資源為核心，以建構(gòu)現(xiàn)代教育技術(shù)及管理模式為目的，為學(xué)校信息化建設(shè)提供了全方位的服務(wù)。</p><p>　　

2、隨著互聯(lián)網(wǎng)的普及和國內(nèi)各高校網(wǎng)絡(luò)建設(shè)的不斷發(fā)展，大多數(shù)高校都建立了自己的校園網(wǎng)，它己經(jīng)成為高校信息化的重要部分，網(wǎng)絡(luò)安全已成為不容忽視的問題，如何在開放網(wǎng)絡(luò)環(huán)境中保證數(shù)據(jù)和系統(tǒng)的安全性已經(jīng)成為眾多業(yè)內(nèi)人士關(guān)心的問題，并越來越迫切和重要，作為一個(gè)面向大眾的開放系統(tǒng)，計(jì)算機(jī)網(wǎng)絡(luò)面臨著來自各方面的威脅和攻擊。因此，網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建是一個(gè)非常重要的問題，它涉及到從系統(tǒng)硬件到軟件，從單機(jī)到網(wǎng)絡(luò)的各個(gè)方面。</p><p>

3、;　　本論文在論述校園局域網(wǎng)的規(guī)劃和建設(shè)的過程中，提出了網(wǎng)絡(luò)設(shè)計(jì)的基本目標(biāo)，在研究和分析了當(dāng)今各種局域網(wǎng)技術(shù)的基礎(chǔ)上，針對(duì)校園網(wǎng)建設(shè)需求，提出了校園網(wǎng)建網(wǎng)的原則和內(nèi)容、選擇了校園網(wǎng)系統(tǒng)的技術(shù)類型、完成了拓?fù)浣Y(jié)構(gòu)的選擇，繪出了網(wǎng)絡(luò)拓?fù)鋱D，完成了網(wǎng)絡(luò)設(shè)備的選擇，同時(shí)考慮到網(wǎng)絡(luò)安全在校園網(wǎng)建設(shè)中的重要性，完成了網(wǎng)絡(luò)安全設(shè)計(jì)。結(jié)合校園網(wǎng)的實(shí)際，根據(jù)現(xiàn)有設(shè)備條件，運(yùn)用VLAN技術(shù)、NAT技術(shù)、幀中繼交換技術(shù)、路由器訪問控制列表實(shí)現(xiàn)了對(duì)校園網(wǎng)的基本

4、安全防護(hù)。</p><p>　　關(guān)鍵詞：三層交換，網(wǎng)絡(luò)安全，虛擬局域網(wǎng)，虛擬專用網(wǎng)，網(wǎng)絡(luò)地址轉(zhuǎn)換，三層路由，幀中繼交換設(shè)備。</p><p><b>　　目錄</b></p><p><b>　　第一章 前言1</b></p><p>　　1.1課題研究的背景，目的及意義1</p>

5、<p>　　1.2主要研究內(nèi)容2</p><p>　　第二章 系統(tǒng)總體方案設(shè)計(jì)3</p><p>　　2.1應(yīng)用的主用技術(shù)及說明3</p><p>　　2.2相關(guān)設(shè)備的選擇13</p><p>　　第三章 校園網(wǎng)設(shè)計(jì)及安全方案實(shí)現(xiàn)15</p><p>　　3.1校園網(wǎng)組網(wǎng)設(shè)計(jì)15</p

6、><p>　　3.2校園網(wǎng)絡(luò)安全設(shè)計(jì)的配置實(shí)現(xiàn)19</p><p>　　第四章 總結(jié)30</p><p>　　4.1本人所完成的工作30</p><p>　　4.2不足之處及進(jìn)一步研究的方向30</p><p>　　第五章 致謝和參考文獻(xiàn)32</p><p><b>　　第一章

7、 前言</b></p><p>　　1.1課題研究的背景，目的及意義</p><p>　　計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展給人類社會(huì)帶來史無前例的沖擊，因特網(wǎng)的重要性和巨大優(yōu)勢有目共睹，在大大擴(kuò)展了信息資源共享尺度的同時(shí)也大大縮小了信息服務(wù)的時(shí)間尺度。隨著網(wǎng)絡(luò)規(guī)模的變化，以太網(wǎng)技術(shù)從一個(gè)辦公室網(wǎng)絡(luò)走向一個(gè)辦公樓的局域網(wǎng)乃至整個(gè)園區(qū)網(wǎng)，而在1998年之前，園區(qū)網(wǎng)技術(shù)往往會(huì)采用最早的FD

8、DI技術(shù)和ATM技術(shù)。這種應(yīng)用變化對(duì)三層交換機(jī)提出了更高的性能要求，對(duì)數(shù)據(jù)轉(zhuǎn)發(fā)的控制能力和廣域網(wǎng)之間的路由互聯(lián)能力的要求也更高，同時(shí)可靠性、可用性要求也大大增強(qiáng)，二、三層交換功能也發(fā)展到由一個(gè)單獨(dú)芯片完成，交換容量也從最初的5Gbps發(fā)展到百千Gaps的水平，因此出現(xiàn)了VLAN、NAT等關(guān)鍵技術(shù)。在信息流動(dòng)更加自由、可用資源更為豐富的同時(shí)，校園網(wǎng)必須為網(wǎng)絡(luò)可能面臨的全部威脅作好防御。雖然這些威脅形式多樣，但都將導(dǎo)致一定程度上的泄密以及對(duì)

9、信息或資源的惡意破壞，從而造成巨大的經(jīng)濟(jì)損失甚至學(xué)校聲譽(yù)和經(jīng)濟(jì)利益的損壞。知道網(wǎng)絡(luò)的哪個(gè)部分更容易受到入侵，以及常見的攻擊者與他們所使用的攻擊方式和其他威脅的來源都是很重要的。過去人們傾向于信任內(nèi)部的用戶而不信任來自因特網(wǎng)的用戶。對(duì)內(nèi)部和那些被授權(quán)從企業(yè)外部使用內(nèi)部網(wǎng)資源</p><p>　　近年來，網(wǎng)絡(luò)安全產(chǎn)品從簡單的防火墻到目前的具備報(bào)警、預(yù)警、分析、審計(jì)、監(jiān)測等全面功能的網(wǎng)絡(luò)安全系統(tǒng)，在技術(shù)角度已經(jīng)實(shí)現(xiàn)了巨

10、大進(jìn)步，也為企業(yè)在構(gòu)建網(wǎng)絡(luò)安全體系方面提供了更加多樣化的選擇，但是，網(wǎng)絡(luò)面臨的威脅卻并未隨著技術(shù)的進(jìn)步而有所抑制，反而使矛盾更加突出，從層出不窮的網(wǎng)絡(luò)犯罪到日益猖獗的黑客攻擊，似乎網(wǎng)絡(luò)世界正面臨著前所未有的挑戰(zhàn)，下面簡單分析網(wǎng)絡(luò)安全環(huán)境的現(xiàn)狀。</p><p>　　1．在網(wǎng)絡(luò)和應(yīng)用系統(tǒng)保護(hù)方面采取了安全措施，網(wǎng)絡(luò)／應(yīng)用系統(tǒng)分別部署防火墻、訪問控制設(shè)備等安全產(chǎn)品，采取了備份、負(fù)載均衡、硬件冗余等安全措施；</

11、p><p>　　2．實(shí)現(xiàn)了區(qū)域性的集中防病毒，實(shí)現(xiàn)了病毒庫的升級(jí)和防病毒客戶端的監(jiān)控和管理；</p><p>　　3．安全工作由各網(wǎng)絡(luò)／應(yīng)用系統(tǒng)具體的維護(hù)人員兼職負(fù)責(zé)，安全工作分散到各個(gè)維護(hù)人員；</p><p>　　4．應(yīng)用系統(tǒng)賬號(hào)管理、防病毒等方面具有一定流程，在網(wǎng)絡(luò)安全管理方面的流程相對(duì)比較薄弱，需要進(jìn)一步進(jìn)行修訂；</p><p>　　5

12、．員工安全意識(shí)有待加強(qiáng)，日常辦公中存在一定非安全操作情況，終端使用和接入情況復(fù)雜。</p><p>　　本設(shè)計(jì)是在對(duì)校園的網(wǎng)絡(luò)的結(jié)構(gòu)以及安全需求進(jìn)行嚴(yán)格的分析之后提出來的網(wǎng)絡(luò)安全設(shè)計(jì)方案，傾向于更多地保證網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全，通過對(duì)學(xué)?？赡苁艿降耐{來源進(jìn)行分析，并為之做出一一對(duì)應(yīng)的防護(hù)措施，從而保障校園網(wǎng)絡(luò)不受到來自內(nèi)部網(wǎng)用戶、外部網(wǎng)用戶威脅。</p><p><b>　　1.2

13、主要研究內(nèi)容</b></p><p>　　本課題研究的主要內(nèi)容是路由器與交換機(jī)的應(yīng)用技術(shù)，主要方向是通過對(duì)路由器和交換機(jī)的配置使一個(gè)網(wǎng)絡(luò)中不同的VLAN間可以互相訪問，VLAN中的用戶可以訪問外網(wǎng)Internet。設(shè)計(jì)中，采用了VLAN(虛擬局域網(wǎng))、VPN(虛擬專用網(wǎng))和幀中繼技術(shù)，配合訪問控制列表、以及NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)解決了內(nèi)部網(wǎng)、服務(wù)器與外網(wǎng)之間的通訊中存在的安全問題，并且為遠(yuǎn)程用戶提供了

14、通過安全VPN接入校園內(nèi)部網(wǎng)的服務(wù)。</p><p>　　第2章 系統(tǒng)總體方案設(shè)計(jì)</p><p>　　2.1應(yīng)用的主用技術(shù)及說明</p><p>　　2.1.1三層交換VLAN技術(shù)</p><p>　　交換機(jī)的每一個(gè)端口均為自己獨(dú)立的沖突域，但問時(shí)對(duì)于所有處于一個(gè)IP 網(wǎng)段的網(wǎng)絡(luò)設(shè)備來說，卻處在一個(gè)廣播域中，當(dāng)工作站的數(shù)量較多、信息流很大

15、的時(shí)候，就容易形成廣播風(fēng)暴，甚者造成網(wǎng)絡(luò)的癱瘓。</p><p>　　在采用交換技術(shù)的網(wǎng)絡(luò)模式中，對(duì)于網(wǎng)絡(luò)結(jié)構(gòu)的劃分采用的僅僅是物理網(wǎng)段的劃分。這樣的網(wǎng)絡(luò)結(jié)構(gòu)從效率和安全性的角度來考慮都是有所欠缺的，而且在很大程度上限制了網(wǎng)絡(luò)的靈活性，如果需要將一個(gè)廣播域分開，那么就需要甚另外購買交換機(jī)并且要人工重新布線。但是，進(jìn)行虛擬網(wǎng)絡(luò)(VLAN)設(shè)置后就不需要另外購買交換機(jī)了。</p><p>　　

16、一個(gè)好的校園網(wǎng)設(shè)計(jì)應(yīng)該是一個(gè)分層的設(shè)計(jì)。為了簡化交換網(wǎng)絡(luò)的設(shè)計(jì)、提高網(wǎng)絡(luò)的可擴(kuò)展性，在企業(yè)網(wǎng)內(nèi)部數(shù)據(jù)交換模塊的部署是分層進(jìn)行的。數(shù)據(jù)交換設(shè)備可以劃分為三個(gè)層次：訪問層、分布房、核心層。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第二層.隨著科技的進(jìn)一步發(fā)展，現(xiàn)代交換技術(shù)還實(shí)現(xiàn)了第二層交換和多層交換。高層交換技術(shù)的引入不但提高網(wǎng)絡(luò)數(shù)據(jù)交換的效率，更大大增加了校園網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。</p><

17、;p>　　在現(xiàn)代的校園網(wǎng)中，大部引入了虛擬局域網(wǎng)(VLAN)的概念。VLAN將廣播域限制在單個(gè)VLAN內(nèi)部，減少了單個(gè)VLAN間VLAN主機(jī)的廣播通信對(duì)其它VLAN的影響。在VLAN間需要通信的時(shí)候，可以利用VLAN間路由技術(shù)來實(shí)現(xiàn).隨著校園規(guī)模的不斷擴(kuò)大，一個(gè)校園網(wǎng)的工作站就不斷增加。這時(shí)網(wǎng)絡(luò)管理人員需要的交換機(jī)數(shù)最就增加，這時(shí)我們就可以使用VLAN中繼協(xié)議(VLAN Trunking Protocol. VTP) 簡化管理。通

18、過中繼協(xié)議，只需在單獨(dú)臺(tái)交換機(jī)上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義到本管理域中的所有交換機(jī)上。這樣就可以大大的減輕網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。</p><p>　　在一個(gè)規(guī)模較大的校園中，其下屬有多個(gè)部門，在各部門的孤立網(wǎng)絡(luò)進(jìn)行互連時(shí)，出于對(duì)不同職能部門的管理、安全和整體網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，我們進(jìn)行了VLAN 的劃分。VLAN對(duì)于網(wǎng)絡(luò)用戶來說是完全透明的，用戶感覺不到使用中與交換式網(wǎng)絡(luò)有任何的差

19、別，但對(duì)于網(wǎng)絡(luò)管理人員則有很大的不同，因?yàn)檫@主要取決于VLAN 的幾點(diǎn)優(yōu)勢：</p><p>　　對(duì)網(wǎng)絡(luò)中的廣播風(fēng)暴的控制，提高網(wǎng)絡(luò)的整體安全性，通過路由訪問列表、MAC地址分配等VLAN劃分原則，可以控制用戶的訪問權(quán)限和邏輯網(wǎng)段的大小。網(wǎng)絡(luò)管理的簡單、直觀。</p><p>　　2.1.2 NAT技術(shù)</p><p>　　在此網(wǎng)絡(luò)設(shè)計(jì)方案中還采用了NAT技術(shù)。NA

20、T(Network Address Translation)顧名思義就是網(wǎng)絡(luò)IP地址的轉(zhuǎn)換。NAT的出現(xiàn)是為了解決IP日益短缺的問題，將多個(gè)內(nèi)部地址映射為少數(shù)幾個(gè)甚至一個(gè)公網(wǎng)地址。這樣，就可以讓我們內(nèi)部網(wǎng)中的計(jì)算機(jī)通過偽IP訪問INTERNET的資源。網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)是一個(gè)Internet 工程任務(wù)組(Internet Engineering Task Force. IETF) 標(biāo)準(zhǔn)，用于允許專用網(wǎng)絡(luò)上的多臺(tái)PC(使用專用地址段，

21、例如1O.0.x.x ，192.1 68.x.x.，1 72.x.x.x) 共享單個(gè)、全局路由的IPv4地址。IPv4地址日益不足是經(jīng)常部署NAT的一個(gè)主要原因。Windows XP 中的“Internet連接共享”及許多Internet網(wǎng)關(guān)設(shè)備都使用NAT，尤其是在通過DSL或電纜調(diào)制解調(diào)器連接寬帶網(wǎng)的情況下。</p><p>　　NAT與防火墻或代現(xiàn)服務(wù)器不同，但它對(duì)網(wǎng)絡(luò)安全特別有利. 在內(nèi)部網(wǎng)絡(luò)通過安金網(wǎng)卡

22、訪問外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄.系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安余網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個(gè)開放的IP地址和端口來請求訪問。 </p><p>　　設(shè)置NAT功能的路由器至少要有一個(gè)內(nèi)部端口(Insíde)。一個(gè)外部端口(Outs

23、37;de)。內(nèi)部端口連接的網(wǎng)絡(luò)用戶使用的是內(nèi)部IP地址(私有IP)，外部端口連接的是外部的網(wǎng)絡(luò)，使用電信部門分配給我們的IP地址。NAT設(shè)置可以分為靜態(tài)地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換、復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換。</p><p><b>　　(1)靜態(tài)地址轉(zhuǎn)換</b></p><p>　　靜態(tài)地址轉(zhuǎn)換將內(nèi)部本地地址與內(nèi)部合法地址進(jìn)行一對(duì)一地轉(zhuǎn)換，且需要指定和哪個(gè)合法地址進(jìn)行轉(zhuǎn)換。如果

24、內(nèi)部網(wǎng)絡(luò)有www服務(wù)器或FTP服務(wù)器等可以為外部用戶提供服務(wù)，則這些服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務(wù)。</p><p><b>　　(2)動(dòng)態(tài)地址轉(zhuǎn)換</b></p><p>　　動(dòng)態(tài)地址轉(zhuǎn)換也是將內(nèi)部本地地址與內(nèi)部合法地址一對(duì)一地轉(zhuǎn)換，但是動(dòng)態(tài)地址轉(zhuǎn)換是從內(nèi)部合法地址池中動(dòng)態(tài)地選擇一個(gè)未使用的地址來對(duì)內(nèi)部本地地址進(jìn)行轉(zhuǎn)換的。<

25、/p><p>　　(3)復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換</p><p>　　復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換首先是一種動(dòng)態(tài)地址轉(zhuǎn)換，但是它可以允許多個(gè)內(nèi)部本地地址共用一個(gè)內(nèi)部合法地址。對(duì)只申請到少量IP地址但卻經(jīng)常同時(shí)有多個(gè)用戶上外部網(wǎng)絡(luò)的情況，這種轉(zhuǎn)換極為有用。</p><p>　　PAT(Port Address Translatíon) 也稱為NAPT，就是將多個(gè)內(nèi)部地址映射為一個(gè)公

26、網(wǎng)地址. 但以不同的協(xié)議端口號(hào)與不同的內(nèi)部地址相對(duì)應(yīng)。這種方式常用于撥號(hào)上Internet網(wǎng)。</p><p>　　總之，NAT的功能就是指將使用私有地址的網(wǎng)絡(luò)與公用網(wǎng)絡(luò)INTERNET相連，使用私有地址的內(nèi)部網(wǎng)絡(luò)通過NAT 路由器發(fā)送數(shù)據(jù)時(shí)，私有地址將被轉(zhuǎn)化為合法注冊的IP地址從而可以與INTERNET上的其他主機(jī)進(jìn)行通訊。NAT路由器被置于內(nèi)部網(wǎng)和INTERNET的邊界上并且在把數(shù)據(jù)包發(fā)送到外部網(wǎng)絡(luò)前將數(shù)據(jù)包

27、的源地址轉(zhuǎn)換為合法的IP地址。當(dāng)多個(gè)內(nèi)部主機(jī)共享一個(gè)合法IP地址時(shí)，地址轉(zhuǎn)換是通過端口多路復(fù)用即改變外出數(shù)據(jù)包的源端口并進(jìn)行端口映射。</p><p>　　2.1.3 VPN技術(shù)</p><p>　　VPN(Virtual Private Network)，即虛擬專用網(wǎng)是利用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施，通過“隧道”技術(shù)、加密技術(shù)、認(rèn)證技術(shù)和訪問控制等手段提供一種通過公用網(wǎng)絡(luò)安全地對(duì)單位內(nèi)部專用網(wǎng)絡(luò)進(jìn)

28、行遠(yuǎn)程訪問的連接方式。也就是說可以通過公共IP網(wǎng)利用VPN技術(shù)來建立私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程的分校區(qū)、移動(dòng)辦公人員和校園內(nèi)網(wǎng)連接起來，并提供安全的端到端的數(shù)據(jù)通訊。</p><p>　　隨著互聯(lián)網(wǎng)的普及、通信技術(shù)的進(jìn)步、信息化程度的提高，國內(nèi)高校也越來越重視數(shù)字化校園的開發(fā)，依托先進(jìn)的網(wǎng)絡(luò)技術(shù)開展電化教學(xué)、教學(xué)資源、信息化管理等平臺(tái)的建設(shè)。伴隨我國高校改革深入和逐年擴(kuò)招，各地高校都在擴(kuò)建或新建校區(qū)，校校之間實(shí)行合

29、并或聯(lián)合辦學(xué)，如何實(shí)現(xiàn)這些分布在各地的校區(qū)網(wǎng)</p><p>　　絡(luò)的互聯(lián)，實(shí)現(xiàn)校園內(nèi)網(wǎng)資源的共享，成為一個(gè)急需解決的問題；同時(shí)由于家庭互聯(lián)網(wǎng)絡(luò)的普及以及移動(dòng)辦公和科研的需要，師生員工也對(duì)從校外訪問校內(nèi)資源提出了新的需求。</p><p>　　通過虛擬專用網(wǎng)技術(shù)即VPN技術(shù)，設(shè)計(jì)一套可管理、可認(rèn)證、安全的遠(yuǎn)程訪問校園內(nèi)網(wǎng)的解決方案，不僅可以實(shí)現(xiàn)異地多校區(qū)間透明的互聯(lián)，同時(shí)可使校外用戶通過鑒

30、權(quán)后擁有校內(nèi)地址，進(jìn)而訪問校內(nèi)數(shù)字資源數(shù)據(jù)。例子如圖2.1—1所示： 圖2.1—1</p><p>　　r1(config)#int f0/0r1(config-if)#ip add 50.50.50.50 255.255.255.0r1(config-if)#no shur1(config-if)#int f1/0r1(config-i

31、f)#ip add 20.20.20.20 255.255.255.0r1(config-if)#no shur1(config)#ip route 0.0.0.0 0.0.0.0 20.20.20.21       做一條默認(rèn)路由使全網(wǎng)互通r1(config)#crypto isakmp policy 1r1(config-isakmp)#authentication pre-share

32、             啟用定義共享密鑰r1(config-isakmp)#encryption 3des                      加密使用3DES算法r1(config-isakmp)#hash

33、 md5                            驗(yàn)證密鑰使用MD5雜湊算法r1(config)#crypto isak</p><p>　　IPSec(Intemet Protocol Security)即因特網(wǎng)安全協(xié)

34、議是—個(gè)范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議。它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，提供透明的安全通信，主要是為IP通信提供加密和認(rèn)證，它為數(shù)據(jù)在通過公用網(wǎng)絡(luò)(一般為因特網(wǎng))在網(wǎng)絡(luò)層進(jìn)行傳輸時(shí)提供安全保障。通信雙方要建立IPSec通道，首先要采用一定的方式建立通信連接。因?yàn)镮PSec協(xié)議支持幾種操作模式，所以通信雙方先要確定所要采用的安全策略和使用模式，這包括如加密運(yùn)算法則和身份驗(yàn)證方法類型等。在IPSec協(xié)議中，一旦IPSec通道建立，所有在

35、網(wǎng)絡(luò)層之上的協(xié)議在通信雙方都經(jīng)過加密，如TCP、UDP、ICMP等，而不管這些通道構(gòu)建時(shí)所采用的安全和加密方法如何。IPSec的VPN通道是在兩個(gè)局域網(wǎng)之間通過Intemet建立的安全連接，保護(hù)的是點(diǎn)對(duì)點(diǎn)之間的通信，并且它不局限于Web等特定的應(yīng)用，還能構(gòu)建局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò)，功能和應(yīng)用的擴(kuò)展性更強(qiáng)，對(duì)于普通用戶根本無需關(guān)心局域網(wǎng)間的連接方式，就像在一個(gè)網(wǎng)內(nèi)一樣，實(shí)現(xiàn)了透明的訪問。</p><p>　　2.

36、1.4 幀中繼交換技術(shù)</p><p>　　幀中繼已成為世界上使用最廣泛的 WAN 技術(shù)。大型企業(yè)、政府、ISP 和小公司紛紛選用幀中繼，主要是因?yàn)閹欣^具有成本低、靈活性高的優(yōu)點(diǎn)。隨著組織的發(fā)展壯大，組織越來越依賴于可靠的數(shù)據(jù)傳輸，此時(shí)傳統(tǒng)租用線路解決方案的成本將變得高不可攀。技術(shù)領(lǐng)域的日新月異和網(wǎng)絡(luò)行業(yè)的合并與收購都需要更高的靈活性。</p><p>　　由于所需的設(shè)備較少，復(fù)雜性較低

37、，并且更容易實(shí)現(xiàn)，因此幀中繼可以降低網(wǎng)絡(luò)的成本。更重要的是，與私有或租用線路相比，幀中繼提供更高的帶寬、可靠性和彈性。為了順應(yīng)全球化與一對(duì)多分支機(jī)構(gòu)拓?fù)涞陌l(fā)展潮流，幀中繼提供更簡單的體系結(jié)構(gòu)和更低的擁有成本。</p><p>　　DTE 設(shè)備和 DCE 設(shè)備之間的連接由物理層組件和鏈路層組件組成：</p><p>　　物理層組件定義設(shè)備間連接的機(jī)械、電氣、功能和規(guī)程規(guī)范。最常用的一種物理層

38、接口規(guī)范是 RS-232 規(guī)范。</p><p>　　鏈路層組件定義在 DTE 設(shè)備（例如路由器）和 DCE 設(shè)備（例如交換機(jī)）之間建立連接的協(xié)議。</p><p><b>　　（1）.虛電路：</b></p><p>　　兩個(gè) DTE 之間通過幀中繼網(wǎng)絡(luò)實(shí)現(xiàn)的連接叫做虛電路 (VC)。這種電路之所以叫做虛電路是因?yàn)槎说蕉酥g并沒有直接的電路連

39、接。這種連接是邏輯連接，數(shù)據(jù)不通過任何直接電路即從一端移動(dòng)到另一端。利用虛電路，幀中繼允許多個(gè)用戶共享帶寬，而無需使用多條專用物理線路，便可在任意站點(diǎn)間實(shí)現(xiàn)通信。</p><p>　?。?）.逆向 ARP：</p><p>　　逆向地址解析協(xié)議 (ARP) 從第 2 層地址（例如幀中繼網(wǎng)絡(luò)中的 DLCI）中獲取其它站點(diǎn)的第 3 層地址。逆向地址解析協(xié)議主要用于幀中繼和 ATM 網(wǎng)絡(luò)，在這兩

40、種網(wǎng)絡(luò)中，虛電路的第 2 層地址有時(shí)從第 2 層信號(hào)中獲取，但在虛電路投入使用之前，必須解析出對(duì)應(yīng)的第 3 層地址。ARP 將第 3 層地址轉(zhuǎn)換為第 2 層地址，逆向 ARP 則反其道而行之。</p><p>　　（3）.本地管理接口 (LMI)：</p><p>　　大體而言，LMI 是一種 keepalive（保持連接）的機(jī)制，提供路由器 (DTE) 和幀中繼交換機(jī) (DCE) 之間的

41、幀中繼連接的狀態(tài)信息。終端設(shè)備每 10 秒（或大概如此）輪詢一次網(wǎng)絡(luò)，請求啞序列響應(yīng)或通道狀態(tài)信息。如果網(wǎng)絡(luò)沒有響應(yīng)請求的信息，用戶設(shè)備可能會(huì)認(rèn)為連接已關(guān)閉。網(wǎng)絡(luò)作出 FULL STATUS 響應(yīng)時(shí)，響應(yīng)中包含為該線路分配的 DLCI 的狀態(tài)信息。終端設(shè)備可以使用此信息判斷邏輯連接是否能夠傳遞數(shù)據(jù)。校園網(wǎng)設(shè)計(jì)圖配置如下：</p><p>　?。?）.南校區(qū)實(shí)訓(xùn)樓路由器配置：</p><p>

42、;<b>　　R2#conf t</b></p><p>　　R2(config)#int s1/1/1</p><p>　　R2(config-if)#encapsulation frame-relay</p><p>　　R2(config-if)#frame-relay map ip 192.168.30.2 102 broadcast

43、cisco</p><p>　　R2(config-if)#frame-relay map ip 192.168.30.3 103 broadcast cisco</p><p>　　R2(config-if)#bandwidth 256</p><p>　　R2(config-if)#frame-relay lmi-type cisco</p>&l

44、t;p>　　R2(config-if)#exit</p><p>　　R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.2</p><p>　　R2(config)#ip route 192.168.102.0 255.255.255.0 192.168.30.3</p><p>　　R2(config)#ip ro

45、ute 192.168.103.0 255.255.255.0 192.168.30.3</p><p>　　（5）.北校區(qū)路由器配置如下：</p><p><b>　　R0#conf t</b></p><p>　　R0(config)#int s0/1/0</p><p>　　R0(config-if)#encaps

46、ulation frame-relay</p><p>　　R0(config-if)#frame-relay map ip 192.168.30.1 301 broadcast cisco</p><p>　　R0(config-if)#frame-relay map ip 192.168.30.2 302 broadcast cisco</p><p>　　R0

47、(config-if)#frame-relay lmi-type cisco</p><p>　　R0(config-if)#bandwidth 256</p><p>　　R0(config-if)#exit</p><p>　　R0(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.2</p><p>

48、;　　R0(config)#ip route 192.168.0.0 255.255.224.0 192.168.30.1</p><p>　?。?）.防火墻路由器配置如下：</p><p><b>　　R1#conf t</b></p><p>　　R1(config)#int s1/1</p><p>　　R1(co

49、nfig-if)#encapsulation frame-relay</p><p>　　R1(config-if)#frame-relay map ip 192.168.30.1 201 broadcast cisco</p><p>　　R1(config-if)#frame-relay map ip 192.168.30.3 203 broadcast cisco</p>

50、<p>　　R1(config-if)#frame-relay lmi-type cisco</p><p>　　R1(config-if)#bandwidth 256</p><p>　　R1(config-if)#exit</p><p>　　R1(config)# ip route 192.168.0.0 255.255.224.0 192.16

51、8.30.1</p><p>　　R1(config)# ip route 192.168.102.0 255.255.255.0 192.168.30.3</p><p>　　R1(config)# ip route 192.168.103.0 255.255.255.0 192.168.30.3</p><p>　　（7）.幀中繼交換機(jī)的配置如下圖所示：<

52、/p><p><b>　　圖2.1-2</b></p><p>　　設(shè)置ATM交換機(jī)Serial1接口上的LMI模式和接口的DLCI標(biāo)識(shí)；</p><p><b>　　圖2.1-3</b></p><p>　　設(shè)置ATM交換機(jī)Serial1接口上的LMI模式和接口的DLCI標(biāo)識(shí)；</p>

53、<p><b>　　圖2.1-4</b></p><p>　　設(shè)置ATM交換機(jī)Serial2接口上的LMI模式和接口的DLCI標(biāo)識(shí)；</p><p><b>　　圖2.1-5</b></p><p>　　設(shè)置ATM交換機(jī)Serial1、Serial0、Serial2接口上的相互之間的DLCI映射關(guān)系。</p

54、><p>　　綜合以上技術(shù)分析，設(shè)計(jì)選用了幀中繼交換技術(shù)作為校區(qū)之間互聯(lián)的解決方案。</p><p>　　2.1.5 MAC地址綁定技術(shù)</p><p>　　在cisco交換 機(jī)中為了防止ip被盜用或員工亂改ip，可以做以下措施，既ip與mac地址的綁定，和ip與交換機(jī)端口的綁定。</p><p>　?。?）. 通過IP查端口</p>

55、<p>　?。?）. ip與mac地址的綁定，這種綁定可以簡單有效的防止ip被 盜用，別人將ip改成了你綁定了mac地址的ip后，其網(wǎng)絡(luò)不同，（tcp/udp協(xié) 議不同，但netbios網(wǎng)絡(luò)共項(xiàng)可以訪問），具體做法：</p><p>　　方案一：基于端口的MAC地址綁定</p><p>　　S1(config)# Interface fastethernet 0/1 ＃進(jìn)入具

56、體端口配置模式</p><p>　　S1(config-if)#Switchport port-secruity ＃配置端口安全模式</p><p>　　S1(config-if)# switchport port-security mac-address MAC(主機(jī)的MAC地址) ＃配置該端口要綁定的主機(jī)的MAC地址 注意： 以上命令設(shè)置交換機(jī)上某個(gè)端口綁定一個(gè)具體的M

57、AC地址，這樣只有這個(gè)主機(jī)可以使用網(wǎng)絡(luò)，如果對(duì)該主機(jī)的網(wǎng)卡進(jìn)行了更換或者其他PC機(jī)想通過這個(gè)端口使用網(wǎng)絡(luò)都不可用，除非刪除或修改該端口上綁定的MAC地址，才能正常使用。</p><p>　　方案二：基于MAC地址的擴(kuò)展訪問列表</p><p>　　S1(config)# Mac access-list extended MAC10 ＃定義一個(gè)MAC地址訪問控制列表并且命名該列表名

58、為MAC10 S1(config-ext-nacl)#permit host 0009.6bc4.d4bf any</p><p>　?。６xMAC地址為0009.6bc4.d4bf的主機(jī)可以訪問任意主機(jī) S1(config-ext-nacl)#permit any host 0009.6bc4.d4bf</p><p>　　＃定義所有主機(jī)可以訪問MAC地址為0009.

59、6bc4.d4bf的主機(jī) S1(config)# interface Fa0/20 #進(jìn)入配置具體端口的模式</p><p>　　S1(config-if)# mac access-group MAC10 in</p><p>　?。Ｔ谠摱丝谏蠎?yīng)用名為MAC10的訪問列表（即前面定義的訪問策略）</p><p>　　此功能與應(yīng)用一大體相同，但它是基于端口

60、做的MAC地址訪問控制列表限制，可以限定特定源MAC地址與目的地址范圍。</p><p>　　注意：以上功能在思科2950、3550、4500、6500系列交換機(jī)上可以實(shí)現(xiàn)，但是需要注意的是2950、3550需要交換機(jī)運(yùn)行增強(qiáng)的軟件鏡像（Enhanced Image）。 方案三：IP地址的MAC地址綁定 S1(config)# Mac access-list extended MAC10</

61、p><p>　　＃定義一個(gè)MAC地址訪問控制列表并且命名該列表名為MAC10 S1 (config-ext-nacl)# permit host 0009.6bc4.d4bf any ＃定義MAC地址為0009.6bc4.d4bf的主機(jī)可以訪問任意主機(jī) S1 (config-ext-nacl)# permit any host 0009.6bc4.d4bf</p><p>　?。６x所有

62、主機(jī)可以訪問MAC地址為0009.6bc4.d4bf的主機(jī)</p><p>　　S1(config)# Ip access-list extended IP10</p><p>　?。６x一個(gè)IP地址訪問控制列表并且命名該列表名為IP10</p><p>　　S1 (config-ext-nacl)# Permit 192.168.0.1 0.0.0.0 any&l

63、t;/p><p>　?。６xIP地址為192.168.0.1的主機(jī)可以訪問任意主機(jī)</p><p>　　S1 (config-ext-nacl)# Permit any 192.168.0.1 0.0.0.0</p><p>　　＃定義所有主機(jī)可以訪問IP地址為192.168.0.1的主機(jī)</p><p>　　S1(config)# interf

64、ace Fa0/20</p><p>　　#進(jìn)入配置具體端口的模式</p><p>　　S1(config-if)# mac access-group MAC10 in</p><p>　　＃在該端口上應(yīng)用名為MAC10的訪問列表（即前面定義的訪問策略）</p><p>　　S1(config-if)# Ip access-group IP1

65、0 in</p><p>　?。Ｔ谠摱丝谏蠎?yīng)用名為IP10的訪問列表（即前面定義的訪問策略）</p><p>　　上述所提到的應(yīng)用1是基于主機(jī)MAC地址與交換機(jī)端口的綁定，方案2是基于MAC地址的訪問控制列表，前兩種方案所能實(shí)現(xiàn)的功能大體一樣。如果要做到IP 與MAC地址的綁定只能按照方案3來實(shí)現(xiàn)，可根據(jù)需求將方案1或方案2與IP訪問控制列表結(jié)合起來使用以達(dá)到自己想要的效果。</p&

66、gt;<p>　　2.2相關(guān)設(shè)備的選擇</p><p>　　為了實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計(jì)方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即cisco公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。在校園網(wǎng)中，全網(wǎng)使用同一廠商設(shè)備。其好處在于可以實(shí)現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。</p><p>　　（1）.訪問層交換機(jī)</p><p>　　Cisco Catalyst 2950 24

67、口交換機(jī)（WS-C2950-24）。交換機(jī)擁有24個(gè)10/100Mbps自適應(yīng)快速以太網(wǎng)端口，運(yùn)行的是Cisco的IOS操作系統(tǒng)分布層交換機(jī)：這里的分布層交換機(jī)采用的是Cisco Catalyst 3550交換機(jī)。作為3層交換機(jī)，Cisco Catalyst 3550交換機(jī)擁有24個(gè)10/100Mbps自適應(yīng)快速以太網(wǎng)端口，同時(shí)還有2個(gè)1000Mbps的GBIC（Giga Bitrate Interface Converter，是將千兆

68、位電信號(hào)轉(zhuǎn)換為光信號(hào)的接口器件）端口供上連使用，運(yùn)行的是Cisco的Integrated IOS操作系統(tǒng)。</p><p>　　核心層交換機(jī)：本實(shí)例中的核心層交換機(jī)采用的是Cisco Catalyst 4006交換機(jī)，采用了Catalyst 4500 Supervisor II Plus（WS-X4013+）作為交換機(jī)引擎。運(yùn)行的是Cisco的Integrated IOS操作系統(tǒng)。在作為核心層交換機(jī)的Cisco

69、Catalyst 4006交換機(jī)中，安裝了WS-X4306-GB（Catalyst 4000 Gigabit Ethernet Module, 6-Ports (GBIC)）模塊，該模塊提供了5個(gè)千兆光纖上連接口，可以用來接入WS-G5484（1000BASE-SX　Short Wavelength　GBIC (Multimode only)）</p><p>　　路由器：Cisco 2811提供了靈活、可擴(kuò)展的

70、集成解決方案，可簡化管理分支機(jī)構(gòu)網(wǎng)絡(luò)解決方案的流程。Cisco 2811提供了全面的特性集，適用于：</p><p>　　(1).多服務(wù)語音／數(shù)據(jù)集成</p><p>　　(2).帶防火墻和加密選項(xiàng)的VPN接入</p><p>　　(3).模擬撥號(hào)接入服務(wù)</p><p>　　(4).帶寬管理的路由</p><p>　

71、　(5).VLAN問路由</p><p>　　(6).高速企業(yè)級(jí)DsL接入的提供</p><p>　　(7).經(jīng)濟(jì)有效的ATM接入</p><p>　　(8).靈活路由和低密交換的集成</p><p>　　第三章 校園網(wǎng)設(shè)計(jì)及安全方案實(shí)現(xiàn)</p><p>　　3.1校園網(wǎng)組網(wǎng)設(shè)計(jì)</p><p>

72、;　　3.1.1 建網(wǎng)需求分析</p><p>　　校園網(wǎng)工程是一項(xiàng)高科技的綜合性建設(shè)項(xiàng)目，它不僅涉及了許多方面的技術(shù)，同時(shí)也涉及到學(xué)校的各個(gè)部門。校園網(wǎng)建設(shè)的總體目標(biāo)是建成一個(gè)主干網(wǎng)，其上連接多個(gè)子網(wǎng)，使全校的教學(xué)、科研、管理等項(xiàng)目工作都能在網(wǎng)上進(jìn)行，充分利用這個(gè)速度高、功能強(qiáng)的信息傳輸和處理媒介，共享網(wǎng)上的軟、硬件資源。</p><p>　　校園網(wǎng)建設(shè)是一項(xiàng)長期的工程，除建設(shè)和實(shí)施工程

73、外，還有運(yùn)行管理、維護(hù)和發(fā)展的任務(wù)。因此，就要求所建的校園網(wǎng)即建即能使用，且好用實(shí)用。技術(shù)上采用當(dāng)前先進(jìn)的軟件、硬件技術(shù)，且具有良好的升級(jí)、擴(kuò)展功能，以滿足今后大容量、超高速、多媒體數(shù)據(jù)傳輸?shù)男枰?，提供全時(shí)的服務(wù)，此外，網(wǎng)絡(luò)還應(yīng)具有良好的兼容性，以保證有好的互連性。為建立一個(gè)適合于本學(xué)校的校園網(wǎng)，結(jié)合學(xué)校的實(shí)際情況，通過比較詳細(xì)的需求分析工作，本課題主要針對(duì)以下幾個(gè)方面：</p><p>　　(1).連接校內(nèi)所有

74、教學(xué)樓、實(shí)驗(yàn)室、辦公樓等各建筑物中的計(jì)算機(jī)。</p><p>　　(2).同時(shí)支持約2000用戶瀏覽Internet。</p><p>　　(3).提供基本的Internet網(wǎng)絡(luò)服務(wù)功能：如文件傳輸、http服務(wù)、電子公告牌等。</p><p>　　(4).提供足夠的帶寬，為教學(xué)和科研提高良好的條件。</p><p>　　(5).經(jīng)廣域網(wǎng)接口

75、，提供國內(nèi)外計(jì)算機(jī)系統(tǒng)的互連，為國際間的信息交流和科研合作， 為學(xué)?？焖佾@得最新教學(xué)成果及技術(shù)合作等創(chuàng)造良好的信息通路。</p><p>　　(6).應(yīng)用多種網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)校園網(wǎng)絡(luò)的基本安全。</p><p>　　3.1.2 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)</p><p>　　我院校園網(wǎng)總投資200多萬元，于1999年3月建成并投入使用。校園網(wǎng)由東校區(qū)和南校區(qū)兩個(gè)部分組成，骨

76、干鏈路采用千兆以太網(wǎng)交換技術(shù)，已覆蓋校園大部分范圍如辦公樓、教學(xué)樓、學(xué)生公寓等，現(xiàn)有網(wǎng)絡(luò)節(jié)點(diǎn)1400多個(gè)。校園網(wǎng)出口為電信100M光纖，實(shí)現(xiàn)東校區(qū)與南校區(qū)互聯(lián)。</p><p>　　學(xué)院的網(wǎng)絡(luò)平臺(tái)和應(yīng)用系統(tǒng)都有了一定的基礎(chǔ)，在教學(xué)、科研、實(shí)訓(xùn)、研究、辦公都已得到廣泛的應(yīng)用。校園網(wǎng)上已經(jīng)開展了辦公自動(dòng)化、信息瀏覽、電子郵件、精品課程、多媒體教學(xué)、教學(xué)管理等服務(wù)。</p><p>　　但是我院

77、校園網(wǎng)可管理性差，主干設(shè)備缺乏可拓展性，沒有冗余功能。隨著時(shí)間的推移這些問題更加突出。在過去的幾年中校園網(wǎng)經(jīng)常出現(xiàn)病毒泛濫和斷線等情況，由于設(shè)備的落后，出現(xiàn)問題后不能及時(shí)找到問題源頭，給廣大師生帶來了一定的影響。故此，在本設(shè)計(jì)中提出了對(duì)校園網(wǎng)進(jìn)行改造。</p><p>　　改造的目的在于提高網(wǎng)絡(luò)的性能，更好的為廣大師生服務(wù)。在本設(shè)計(jì)中采用cisco三層網(wǎng)絡(luò)體系，為校園網(wǎng)主干提供冗余。同時(shí)可管理的設(shè)備加強(qiáng)整個(gè)校園網(wǎng)

78、的安全性和可擴(kuò)展性。</p><p><b>　　設(shè)計(jì)拓?fù)鋱D如下：</b></p><p><b>　　圖1 校園網(wǎng)拓?fù)鋱D</b></p><p>　　3.1.3 配置說明</p><p>　　校園網(wǎng)主干：由一臺(tái)cisco catalyst 4006交換機(jī)和2臺(tái)cisco catalyst 3550

79、兩兩互聯(lián)構(gòu)成環(huán)形。</p><p>　　出口：學(xué)校到中國電信的網(wǎng)絡(luò)接口帶寬為100M。</p><p>　　域名：cisco.com</p><p>　　IP地址范圍:209.168.160.129—209.168.160.142</p><p>　　3.1.4 整個(gè)校園網(wǎng)中VLAN及IP編址方案</p><p>　　

80、表1 VLAN及IP編址方案表</p><p>　　3.2校園網(wǎng)絡(luò)安全設(shè)計(jì)的配置實(shí)現(xiàn)</p><p>　　3.2.1 網(wǎng)絡(luò)設(shè)備的基本配置</p><p>　　校園網(wǎng)采用的核心交換機(jī)是：cisco 3560，分布層采用的是若干臺(tái)cisco 3560。接入層采用的是：cisco 2960。路由器是：Cisco 2811</p><p>　　網(wǎng)絡(luò)

81、設(shè)備是網(wǎng)絡(luò)的核心，所以它的安全性影響到整個(gè)校園網(wǎng)的安全。除了應(yīng)該把它放置到專門的配線間，還應(yīng)該對(duì)其進(jìn)行基本的登錄密碼配置。下面以Cisco 2811路由器為例進(jìn)行配置說明。</p><p>　　R1 >enable /*由用戶模式進(jìn)入特權(quán)模式</p><p>　　R1 #configure terminal

82、/*由特權(quán)模式進(jìn)入全局配置模式</p><p>　　R1 (config)# enable secret cisco /*配置特權(quán)模式密碼為cisco</p><p>　　Router(config)#line console 0</p><p>　　Router(config-line)#password cisco /*配置登陸con

83、sole口的密碼為cisco</p><p>　　Router(config-line)#login /*啟用登入檢測</p><p>　　Router(config-line)#line vty 0 4</p><p>　　Router(config-line)#password cisco /*配置telnet的密碼為cisc

84、o</p><p>　　Router(config-line)#login /*啟用登入檢測</p><p>　　Router(config)#service password-encryption/*對(duì)配置的密碼進(jìn)行加密，這樣</p><p>　　用show run 看到的都是加密后的密文。</p><p>　　本實(shí)例中為

85、了方便，所以把密碼都設(shè)置成了cisco，但實(shí)際操作應(yīng)該配置強(qiáng)密碼。其他設(shè)備的密碼設(shè)置方法同上，不另加說明。</p><p>　　3.2.2 VLAN和三層交換機(jī)的配置</p><p>　　我們采用的VLAN劃分是以端口為中心的，與節(jié)點(diǎn)相連的端口將確定它駐留的VLAN。先在VTP（VLAN Trunking Protocol）sever上建立VLAN，然后將每個(gè)端口分配給相應(yīng)的VLAN。&l

86、t;/p><p>　　核心交換機(jī)命名為：S1；分布層交換機(jī)分別為：3560-1、3560-2，分別通過光纖模塊與核心交換機(jī)相連。訪問層交換機(jī)分別2960-1，2960-2，……</p><p>　　(1).設(shè)置VTP DOMAIN，VTP DOMAIN稱為管理域。交換VTP更新信息的所有交換機(jī)必須配置為相同的管理域。</p><p>　　S1 (config)#vtp

87、 domain abc /*設(shè)置vtp管理域名稱</p><p>　　S1 (config)#vtp password cisco /*設(shè)置vtp管理域密碼</p><p>　　S1 (config)#vtp mode server /*設(shè)置交換機(jī)為vtp服務(wù)器模式</p><p>　　S1 (config)#vt

88、p domain abc /*設(shè)置vtp管理域名稱</p><p>　　S1 (config)#vtp password cisco /*設(shè)置vtp管理域密碼</p><p>　　S1 (config)#vtp mode client /*設(shè)置交換機(jī)為vtp服務(wù)器模式</p><p><b>　　……</b&

89、gt;</p><p>　　這里設(shè)置交換機(jī)為Server模式是指允許在本交換機(jī)上創(chuàng)建、修改、刪除VLAN及其他一些對(duì)整個(gè)VTP域的配置參數(shù)，同步本VTP域中其他交換機(jī)傳遞來的最新的VLAN信息。Client模式是指本交換機(jī)不能創(chuàng)建、刪除、修改VLAN配置，也不能在NVRAM中存儲(chǔ)VLAN配置，但可以同步由本VTP域中其他交換機(jī)傳遞來的VLAN信息。</p><p><b>　　(

90、2).配置中繼</b></p><p>　　為了保證管理域能夠覆蓋所有的分支交換機(jī)，必須配置中繼(trunk)。中繼是一個(gè)在交換機(jī)之間、交換機(jī)與路由器之間及交換機(jī)與服務(wù)器之間傳遞多個(gè)VLAN信息及VLAN數(shù)據(jù)流的協(xié)議，通過在交換機(jī)直接相連的端口配置dotlq封裝，即可跨越交換機(jī)進(jìn)行整個(gè)網(wǎng)絡(luò)的VLAN分配和進(jìn)行配置。</p><p>　　核心交換機(jī)配置如下：</p>

91、<p>　　S1 (config)#interface range fastethernet 0/2 - 3</p><p>　　S1 (config-if)#switchport mode trunk</p><p>　　/*配置fastethernet0/2和fastethernet0/3為中繼接口</p><p>　　S1 (config-i

92、f)#switchport trunk encapsulation dot1q</p><p>　　/*配置trunk封裝dot1q，這是默認(rèn)的封裝，故可以省略</p><p>　　分支交換機(jī)端配置如下：</p><p>　　S2 (config)#interface fastethernet 0/5</p><p>　　S2 (conf

93、ig)#switchport mode trunk</p><p>　　S2 (config)#switchport trunk encapsulation dot1q</p><p><b>　　……</b></p><p>　　此時(shí)，管理域算是設(shè)置完畢了。</p><p>　　(3).創(chuàng)建VLAN</p>

94、;<p>　　一旦建立了管理域，就可以創(chuàng)建VLAN了。</p><p>　　S1 (config)#vlan 60</p><p>　　S1 (vlan)#vlan 60 name jifang1f</p><p>　　/*創(chuàng)建一個(gè)編號(hào)為60名字為jifang1f的VLAN</p><p>　　S1 (vlan)#vlan

95、 61 name jifang3f</p><p>　　/*創(chuàng)建一個(gè)編號(hào)為61名字為jifang3f的VLAN</p><p><b>　　……</b></p><p>　　這里的VLAN是在核心交換機(jī)上建立的，其實(shí)，只要是在管理域中的任何一臺(tái)VTP屬性為Server的交換機(jī)上建立VLAN，它就會(huì)通過VTP通告整個(gè)管理域中的所有的交換機(jī)。但是如

96、果要將交換機(jī)的端口劃入某個(gè)VLAN,就必須在該端口所屬的交換機(jī)上進(jìn)行設(shè)置。</p><p>　　(4).將交換機(jī)端口劃入VLAN</p><p>　　S1 (config)#ingterface fastethernet 0/6 /*配置端口6</p><p>　　S1 (config)#switchport access vlan64

97、 /*歸屬guanli VLAN</p><p>　　S1 (config)#ingterface fastethernet 0/8 /*配置端口8</p><p>　　S1 (config)#switchport access vlan65 /*歸屬fuwuqi1VLAN</p><p><b>　　……&

98、lt;/b></p><p>　　(5).配置三層交換</p><p>　　VLAN劃分完畢后，VLAN間實(shí)現(xiàn)三層（網(wǎng)絡(luò)層）交換時(shí)就要給各VLAN分配網(wǎng)絡(luò)（IP）地址了。按照表1的方案配置。</p><p>　　首先在核心層交換機(jī)上分別設(shè)置各VLAN的接口IP地址，如下所示:</p><p>　　S1 (config)#interfa

99、ce vlan 64</p><p>　　S1 (config-if)#ip address 192.168.21.54 255.255.255.248</p><p>　　/*定義VLAN64接口IP</p><p>　　S1 (config)#interface vlan 65</p><p>　　S1 (config-if)#ip

100、 address 192.168.21.57 255.255.255.252</p><p>　　/*定義VLAN65接口IP</p><p>　　S1 (config)#interface vlan 66</p><p>　　S1 (config-if)#ip address 192.168.21.61 255.255.255.252</p>&

101、lt;p>　　/*定義VLAN66接口IP</p><p><b>　　……</b></p><p>　　S1 (config)#ip routing /*啟用三層交換功能</p><p>　　S1 (config)#ip classless /*啟用無類路由</p><p>　　S1 (co

102、nfig)#ip subnet-zero /*啟用對(duì)零子網(wǎng)的支持</p><p>　　再在各接入VLAN的計(jì)算機(jī)上設(shè)置與所屬VLAN的網(wǎng)絡(luò)地址一致的IP地址，并且把默認(rèn)網(wǎng)關(guān)設(shè)置為該VLAN的接口地址。這樣，所有的VLAN也可以互訪了。VLAN的劃分可以隔離廣播，同時(shí)可以采用訪問控制列表來對(duì)每個(gè)VLAN進(jìn)行控制。</p><p>　　(6).為各VLAN配置DHCP服務(wù)</p>

103、<p>　　為了方便各個(gè)VLAN內(nèi)IP地址的配置，減少網(wǎng)絡(luò)管理員的負(fù)擔(dān)，所以為每個(gè)VLAN配置DHCP服務(wù)，這樣每個(gè)VLAN內(nèi)的用戶都將使用DHCP服務(wù)自動(dòng)獲取IP，以防止IP沖突的出現(xiàn)。在核心交換機(jī)上配置DHCP服務(wù)的命令如下：</p><p>　　S1 （config）#ip dhcp pool QWE </p><

104、;p>　　/*配置QWE的地址池 </p><p>　　S1 (dhcp-config)#network 192.168.21.48 255.255.255.248 </p><p>　　/*設(shè)定分配地址為192.168.21.48/29</p><p>　　S1 (dhcp-config)#dns-server 192.168

105、.21.58 </p><p>　　/*設(shè)置DNS為192.168.21.58</p><p>　　S1 (dhcp-config)#default-router 192.168.21.54 </p><p>　　/*設(shè)置默認(rèn)網(wǎng)關(guān)為192.168.21.54</p><p>　　S1 （config）#ip dhcp

106、 pool DASD /*配置DASD的地址池 </p><p>　　S1 (dhcp-config)#network 192.168.25.0 255.255.255.0</p><p>　　/*設(shè)定分配地址為192.168.25.0/24</p><p>　　S1 (

107、dhcp-config)#dns-server 192.168.21.58 </p><p>　　/*設(shè)置DNS為192.168.21.58</p><p>　　S1 (dhcp-config)#default-router 192.168.25.254 </p><p>　　/*設(shè)置默認(rèn)網(wǎng)關(guān)為192.168.25.254</p&g

108、t;<p><b>　　……</b></p><p>　　(7).配置ACL禁止某些部門的相互通信</p><p>　　我們常常對(duì)交換機(jī)的訪問列表進(jìn)行配置，以實(shí)現(xiàn)禁止兩個(gè)辦公室之間的相互訪問，提高內(nèi)網(wǎng)的安全性。</p><p>　　S1 (config)# access-list 103 deny icmp any 192.16

109、8.21.48 0.0.0.7 echo</p><p>　　S1 (config)# access-list 103 permit ip any any</p><p>　　/*配置號(hào)碼為102的擴(kuò)展訪問列表，禁止任何網(wǎng)段訪問192.168.21.48/29的網(wǎng)絡(luò)</p><p>　　S1 (config)#access-list 21 permit 192.

110、168.21.48 0.0.0.7</p><p>　　S1 (config)#access-list 21 deny any</p><p>　　S1 (config)#line vty 0 4</p><p>　　S1(config-line)#access-class 21 in</p><p>　　S1(config-line)#

111、exit</p><p>　　/*在所有設(shè)備上設(shè)置只允許管理員網(wǎng)段的主機(jī)能夠通過telnet登陸到設(shè)備上進(jìn)行配置。</p><p>　　S1 (config)# ip domain-name cisco.com </p><p>　　/*配置SSH加密的域名</p><p>　　S1(config)#crypto key genera