校园网系统集成方案设计

2、对系统进行设计，给出拓扑结构图

如图所示：

核心交换机、防火墙、服务器、边界路由器设备放置在网络中心机房、汇聚层交换机和接入层交换机中主要放置在办公楼和教学楼中，由于图书馆和教学楼之间有一段距离，图书馆的交换机通过100BASE-FX多模光纤接入到教学楼的汇聚层交换机上，办公楼和教学楼的汇聚层交换机通过1000BASE-LX标准单模光纤接入到核心交换机上。由于服务器需要经常被访问，为了防止网络瓶颈，服务器也通过1000BASE-SX标准的多模光纤接到防火墙的DMZ区中。在用户接入方面，我们采用100BASE-TX 标准的五类双绞线。

5、采用模拟器进行测试

由于Cisco Packet Tracer V5.3 版本的限制我们采用Cisco模块化路由器来代替PIX525防火墙。如图所示：

1.根据拓扑图构建基本网络。

2.配置主机、交换机、路由器、防火墙、服务器的IP地址。

4.根据要求配置不同的VLAN，配置路由协议（这里我们采用的是OSPF协议）实现全网可以相互通信。

5.对路由器进行安全性配置，提高路由器的安全性，保护内部网络。

6.对防火墙进行NAT地址转换配置，把内网地址转换为公网地址

7.在防火墙上通过配置ACL来实现外网对内网的访问控制。

8.对园区网进行最终安全性调试，撰写课程设计报告。

6.实验结果及分析

1.全网可以实现互通从PC1 ping 园区网边界路由器接口

2.不同VLAN之间可以实现相互通信从VLAN10访问VLAN20和VLAN30的主机。

3.PC1访问校园网内部WEB服务器 (通过DNS进行域名解析)

3.在PIX防火墙处进行NAT地址转换从PC1 访问外部网络

4.通过PIX525防火墙对外网访问内网信息进行访问控制（通过ACL进行控制）要求：

外网不可以访问内网的数据库和流媒体服务器

外网地址不可以ping内网（防止Ddos攻击）其他行为可以放行

从外网访问内部数据库服务器（无法访问）

访问数据被ACL拒绝（5个数据包匹配）

5.对路由器进行安全管理

启动口令口令加密

line vty 0 4

login

password hello

exec-timeout 10 //10s钟超时退出登录

line con 0

transport input none

password hello

应用密码策略

service password-encryption

enable secret hello

利用ACL禁止ping相关端口

access-list 101 deny icmp any host 61.177.7.3 echo access-list 101 permit ip any any

ip access-group 101 in

关闭CDP协议

no cdp run 全局配置

no cdp enable 端口配置

no ip domain-lookup 关闭域名解析

no ip bootp server 关闭地址分配

no snmp-server 关闭snmp协议支持