校园局域网规划与设计(cisco仿真模拟)

校园局域网的规划

[摘要] 身处于注重效率的信息时代，校园局域网作为高等学校提升教育实力和竞争力的重要措施必须着重建设，一个技术先进、运行可靠而又经济试用的校园局域网是提高高等院校教育水平的一个保证。本文实例阐述了校园局域网建设的必要性和重要性，研究分析了当今主流的局域网技术、网络设计方法和互联方法等，对技术、设备、总体规划等提出有价值的建议或意见，以实用、先进、经济为设计出发点，提出建设校园局域网的可行性方案，结合校园局域网的不安全因素，制定出相应的安全策略。

[关键词]路由配置服务器配置访问控制表技术

引言 (4)

（一）研究背景 (4)

（二）课题研究研究目标 (4)

一、校园网总体规划设计 (6)

（一）校园局域网需求 (6)

（二）网络总体架构规划 (7)

1.网络技术选择 (7)

2.校园网络拓扑 (7)

（三）网络设备选型 (9)

1.核心层网络 (9)

2.汇聚层网络 (10)

3.接入层网络 (11)

4.路由器选择 (11)

5.服务器选择 (12)

（四）校园网安全策略及安全防御措施 (12)

（五）本章小结 (13)

二、VLAN 划分及参数配置 (14)

（一）VLAN划分 (14)

（二）VLAN配置 (15)

1.交换机的选择 (15)

（三）核心交换机Core-SW配置 (16)

1.核心交换机配置VTP Server (16)

2.配置中继（Trunk） (17)

3.创建vlan及端口划分 (17)

4.配置IP (18)

5.SW1开启路由 (19)

（四）Server-SW配置 (20)

1.配置Server-SW中继（Trunk） (20)

2.Server-SW端口配置 (20)

（五）配置学生宿舍交换机 (21)

三、路由器配置 (22)

（一）基本IP设置 (22)

（二）NAT设置 (22)

（三）校园网边界路由器配置 (23)

（四）通过NAT技术实现内网访问internet (23)

（五）显示路由表 (24)

（六）模拟ISP环境出口路由R2配置 (25)

四、服务器配置 (26)

（一）DHCP服务器配置 (26)

（二）WWW服务器配置 (26)

（三）DNS服务器配置 (27)

（四）FTP 服务器配置 (27)

五、网络安全控制 (28)

（一）访问控制表 (28)

1.防止病毒传播和黑客攻击 (28)

2.对服务器群的服务进行控制 (29)

（二）小结 (30)

六、验证测试 (31)

总结与展望 (35)

致谢语 (36)

参考文献 (37)

引言

（一）研究背景

近年来，随着教学手段的不断进步以及计算机网络技术在学校中应用的日益普及，校园网络化、教学智能化成为各学校竞相角逐的热点，校园网已成为各学校必备的重要信息基础设施，其规模和应用水平已成为衡量学校教学与科研综合实力的一个重要标志。

校园网的建设将为“数字化校园”提供高可靠性的网络基础设施和高性能的服务在一个平台上，让整个学校的教学、科研、管理和服务工作都实现信息化和网络化，使教师、学生、科研人员和行政管理人员等都可以最方便地实现信息的交流、进行协同工作和资源共享，搞好校园网的建设，有利于增强学校办学水平与社会竞争力。因此，建设高效实用的高级校园网，是大势所趋。

（二）课题研究研究目标

发展校园局域网应有长远的规划，争取利用现有的网络技术和通信技术，将校园局域网建设成经济实用的现代化校园网，同时实现与其他兄弟院校之间的相互联系和信息资源共享，逐渐实现教育科研信息共享，各种功能齐全的网络管理系统。

校园局域网项目实现后，将极大的提升学校在日常教学信息管理、人员办公自动化、计算机辅助教学、教学资源制作的自动化、图书和情报检索等重要服务上的效率。

校园局域网规划设计目标：

（1）实现校园内部资源共享

学校领导和教师能通过及时、准确地查询教学活动中的信息，掌握当前教学情况。并通过对信息的统计、汇总及分析，为教学、科研管理提供服务，同时对学校各级管理层对学校的规划、组织、决策提供了便捷的信息渠道和科学的管理手段，及时有效的指定、修改教学计划。

（2）完备的数据库管理系统和资源库

能够支持大量的图文声像素材、多媒体课件片段，数据文件的收集、管理、存储的提取。数据算法需要检索方便，容错性强。

（3）以教学资源库为核心的教学自学环境

为学校教师提供制作环境、备课工具、良好的教学演播环境以及教学评估机制。为学生提供自主学习、交互式协作学习、发现探究式学习的良好学习环境和提供自我评价机制。利用现代教育技术，提高学生的素质，改革课堂教学模式。

（4）现代化管理方法和管理手段

加强对学校的人、财、物的管理，提高办公效率、降低成本消耗，逐步实现办公自动化、网络化。

（5）实现校园网与互联网的连接

建立学校主页、教师主页、学生个人主页、电子邮箱、电子公告牌等信息发布窗口，发布有关教育教学信息，建立起学校、教师、家长、学生之间的信息交流平台，并逐步发展建设成为一个面向全省、全国的教育教学信息网站。

一、校园网总体规划设计

网络的总体设计是建设校园网的工程蓝图，是搭建一个安全有效校园网一个最重要的任务。进行总体设计首先需要对象研究和需求调查，对学校的信息化要求有个明确的描述。其次在需求分析的基础上进行网络总体架构的规划，确定学校Internet服务类型，进而确定建设的具体目标，在这基础上来设计网络的拓扑结构，规划设计原则。

（一）校园局域网需求

本文校园网工程假设范围主要有教学楼、图书管、学生宿舍楼及实验楼在内四个局域网部分。

校园局域网的主要需求是高速、安全、便捷地传送信息，且能够安全稳定的运行，在某些时刻承受高强度的访问，至少能满足千人以上的网络应用需求。初期设计对响应时间不做特殊要求，但为了存储数据和备份数据，网管中心必须建立磁盘阵列。

最大限度地考虑采用符合发展趋势的新技术，网络设备必须采用成熟先进的技术，所采用的标准要求统一，支持目前业界最新的网络协议，网络的标准必须符合国际/国家标准，并且拥有广泛的支持厂商；网络设备要求具有高可靠性、高稳定性和高可用性；

网络设备要求提供足够的宽带，以适应校园网上信息结构多样化，要求支持虚拟网和第三层交换，形成分布式三层交换网；

网络设备要求具有扩展性和可升级性，能够适应用户数量的扩展，能够保证未来网络升级时的平稳衔接，保证网络通信介质、网络基本设计核心的向后兼容性；要求网络易于管理，支持网络的拓扑视图、网段与端口的监控；

网络流量及错误统计，具备计费管理、故障定位、诊断、修复和自动隔离等功能；要求网络具有高的安全性。在要求网络具有开放性的同时，要求保证其安全性。

（二）网络总体架构规划

1.网络技术选择

目前常见的局域网类型包括：光纤分布式数据接口(FDDI)、异步传输模式(ATM)、千兆以太网等，它们在拓扑结构、传输介质、传输速率、数据格式等多方面都有许多不同。三种技术比较如下表1-1所示。

表 1-1 网络技术对比表

从表中明显看出千兆以太网技术优势明显，它支持10M、100M乃至1000M的各种通信速率，并有向更高带宽(10G及以上)发展的趋势。如今正在发展的IP交换技术也是基于以太网的，结合第三层交换机的路由功能，构造几个乃至几十、几百个G带宽的网络。另外，由于主要业务系统是建立在IP平台上的，以太网技术是IP网络最好的通信技术之一。采用IEEE802.1q标准以太网可以实现VLAN，而VLAN在很大程度上是保证网络高效和安全的重要手段。

2.校园网络拓扑

网络结构采用星形网络拓扑结构，以网络中心的核心交换机为中心节点。整个网络结构采用两层结构：汇聚层交换机用于汇接技术接入交换机，接入层交换机用于接到桌面的计算机，对信息点较多的部门可采用级联下一级普通交换机进行访问。

校园网络工程涉及的主要建筑包括教学楼、宿舍楼、图书馆、实验楼等。校园网总拓扑设计如图1-1所示。

图1-1 校园网总拓扑图

中心机房设置一台千兆核心交换机，负责整个校园网所有节点的数据交换，在教学楼，宿舍楼，图书馆，实验楼等地方分别设置二级交换机节点，接入层交换机通过二级节点与核心交换机连接。

联网技术上采用三层的交换网络，主干网络采用交换式1000M 以太网连接技术，主要用于各楼间核心设备之间以及上连到广域网设备。办公楼、教学楼、图书馆、宿舍楼之间采用光纤以全连接拓扑结构通过1000M 交换机进行连接。接入层采用快速交换式以太网通过 5 类双绞线按照星型拓扑结构进行连接，使内网可以达到百兆。整个校园网设计有一个外网出口到Internet，带宽为100M。

（三）网络设备选型

1.核心层网络

核心层作为校园网系统的心脏，实现子网之间的路由，提供全线速的数据交换，当网络流量较大时，对关键业务的服务质量提供保证。另外，作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证网络稳定可靠的运行。因此在核心设备的选型和结构设计上必须兼顾考虑整体网络的高性能和高可靠性。

考虑到学校网络应用的复杂性和多样性，核心层网络交换机的选型必须具备高性能、高可靠性和高可扩展性，主要包括，硬件如电源、管理模块、交换模块等是否支持冗余配置，软件如是否提供路由器冗余、端口聚合（Port Trunking）、生成树协议（STP、RSTP）等实现可靠性功能的协议。

结合以上要求，本次设计选用高性能、多协议的Cisco Catalyst 6509 模块化交换机作为园区网络的核心。Cisco 6509 交换机参数配置如下：

?产品类型：企业级交换机

?应用层级：四层

?传输速率：10/100/1000Mbps

?交换方式：存储-转发

?背板带宽：720Gbps

?包转发率：387Mpps

?MAC地址表：64K

?端口结构：模块化

?扩展模块：9个模块化插槽

?传输模式：支持全双工

?网络标准：IEEE 802.3，IEEE 802.3u，IEEE 802.1s，IEEE 802.1w/ad

?VLAN：支持

?QOS：支持

?网络管理：CiscoWorks2000，RMON，增强交换端口分析器（ESPAN），SNMP，Telnet，BOOTP，TFTP

汇聚层介于核心层和接入层之间，主要负责接入交换机的汇聚，并与核心交换机互联，分级实现校园网VLAN 之间的路由，进行子网内部数据的交换、转发，提供流量控制和用户管理。

根据网络拓扑结构，该院有教学楼、实验楼、学生宿舍区、服务器群、图书馆等 5 个汇聚节点，均选用Cisco Catalyst 4506 交换机提供本区域内的第三层交换和路由功能。同时把整个网络区域根据部门或功能划分到这五个汇聚节点，进行VLAN 划分和管理，并实现VLAN 间的通信及访问控制。

Catalyst 4500 系列交换机是中端、中等密度的模块化交换机，它们提供了强大的2/3/4 层智能服务。每台Cisco4506 交换机配置一块 4 口万兆模块，用于和核心层交换机以及部分关键汇聚层设备实现万兆互连，同时配置一块18 口千兆光纤模块，用于与接入层交换机的互联及今后发展的备用插槽。

Cisco4506主要参数：

?产品类型：企业级交换机

?应用层级：四层

?传输速率：10/100/1000Mbps

?交换方式：存储-转发

?背板带宽：100Gbps

?包转发率：75Mpps

?端口结构：模块化

?扩展模块：1个超级引擎插槽数+5个线路卡插槽

?传输模式：支持全双工

?网络标准：IEEE 802.3，IEEE 802.3u，IEEE 802.3，IEEE 802.3z，IEEE 802.3x，IEEE 802.3ab

?VLAN：支持

?QOS：支持

?网络管理：SNMP管理信息库(MIB)II，SNMP MIB扩展，桥接MIB(RFC 1493)

接入层作为用户接入网络的终端，该层主要功能是：提供各种标准接口将数据接入到网络和确定基于端口的VLAN 成员及数据流过滤。

接入层网络使用Cisco Catalyst 2960每个交换组最多提供144个终端的接入。其主要功能是为园区网用户提供高性价比的10/100兆网络接口，实现用户的宽带接入。并与汇聚层通过千兆链路互连，为接入用户提供高速上连。

Cisco Catalyst 2960主要参数：

?CISCO WS-C2960-24-S主要参数：

?产品类型：智能交换机

?应用层级：二层

?传输速率：10/100Mbps

?产品内存：DRAM内存：64MB

?FLASH内存：32MB

?交换方式：存储-转发

?背板带宽：16Gbps

?包转发率：3.6Mpps

?MAC地址表：8K

4.路由器选择

校园网边界路由器选择CISCO 2911/K9

主要参数：

?路由器类型：多业务路由器

?网络协议：IPv4，IPv6，静态路由，IGMPv3，PIM SM，DVMRP，IPSec ?传输速率：10/100/1000Mbps

?端口结构：模块化

?广域网接口：3个

?其它端口：2个外部USB闪存插槽

?1个USB控制台端口

?1个串行控制台端口

?1个串行辅助端口

?防火墙：内置防火墙

?Qos支持：支持

?VPN支持：支持

?产品内存：DRAM内存：512MB，最大2GB

?FLASH内存：256MB

?其它性能：基于硬件的嵌入式密码加速（IPSec+SSL）

5.服务器选择

服务器群组统一使用计算机代替，上面搭建win2003 Server企业高级版。

综上所述，我们的网络设备选型方案为，核心层采用 CiscoC3560X 核心交换机，汇聚层采用Cisco4506 智能交换机，接入层采用 Cisco2960 网管交换机，内置防火墙的CISCO 2911/K9多业务路由器。

（四）校园网安全策略及安全防御措施

随着网络的快速发展，网络安全问题日益突出，黑客攻击、网络病毒等在日常日常生活中屡见不鲜，各种各样的安全问题开始困扰网络管理人员。这些安全问题主要表现在：不良信息的传播，病毒的危害，非法访问，恶意破坏，口令入侵等[1]。随着关键应用的普及和深入，网络用户的快速增加，校园网络从早期教育、科研的试验网角色已经转变成为教育、科研和服务并重的带有运营性质的网络，如何保证网络信息安全已经成为影响学校的存与发展亟待解决的关键问题之一。另外，一个高效、实用且安全的网络环境，对于教师、学生、管理人员的信息传递，信息搜集，教育学习等都有着十分重要而深远的意义[1]。

本次设计的三层校园局域网中采用边界路由、核心交换机在内的二层安全防御。第一层保护有边界路由实现。选用具有防火墙功能的Cisco 路由器，路由器上配置访问控制列表，通过访问规则，控制和过滤经过路由器的数据流，隔离外网和内网，

防止外部用户对内部网络不安全的访问，可有效防止各服务器受到来自外部的破坏。第二层防护由核心交换机提供。核心交换机上部署防火墙模块，可有效地防止内部攻击[2]。

（五）本章小结

本章通过对现有主要网络技术的分析与比较，确定本校园网络采用千兆以太网技术路线，并设计出校园网络总拓扑，选择了硬件设备的品牌型号，同时对校园网络的安全形式和防御措施做出描述。

二、VLAN 划分及参数配置

（一）V LAN划分

VLAN（Virtual Local Area Network）称为虚拟局域网，是指在逻辑上将物理的LAN分成不同小的逻辑子网，每一个逻辑子网就是一个单独的播域。简单地说，就是将一个大的物理的局域网（LAN）在交换机上通过软件划分成若干个小的虚拟的局域网（VLAN）。因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址，以便在交换机内部的MAC数据库建立MAC地址表，而广播不能跨越不同网段[3]。

VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN 内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问[4]。

VLAN 基本上可以看成一个广播域，在物理网络的基础上，能根据需要灵活地设置出许多逻辑网络，从而摆脱了物理地域限制，以及因为位于布线柜或者路由器附近而造成的对用户组的限制，能根据用户实际需要灵活地建立逻辑的专用网络，使网络更安全、更便于管理、更畅通和带宽更有保证。根据学院校园网使用实际情况，提出校园网VLAN 的建设规划，见表2-1。

表2-1 VLAN规划表

（二）V LAN配置

1.交换机的选择

交换机分为二层交换机和三层交换机两种类型，其中二层交换机的工作原理是：（1）当交换机从某个端口收到一个数据包，它先读取包头中的源MAC地址，这样它就知道源MAC地址的机器是连在哪个端口上的[5]；

（2）再去读取包头中的目的MAC地址，并在地址表中查找相应的端口；

（3）如表中有与这目的MAC地址对应的端口，把数据包直接复制到这端口上；

（4）如表中找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机器回应时，交换机又可以学习一目的MAC地址与哪个端口对应，在下次传送数据时就不再需要对所有端口进行广播了。

不断的循环这个过程，对于全网的MAC地址信息都可以学习到，二层交换机就是这样建立和维护它自己的地址表。

可以看出二层交换机没有路由功能，当不同的子网进行通信是要借助路由器实现数据包的转发，所以当子网数量较多时，路由器的接口数量就成了一个瓶颈，而三层交换机就能解决这一缺点。

三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，加入路由功能也是为这个目的服务的。因此具有路由功能的快速转发的三层交换机就成为首选。

核心层的功能主要是实现骨干网络之间的优化传输,核心层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在核心层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。

基于端口vlan的划分这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可[6]。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。

（三）核心交换机Core-SW配置

1.核心交换机配置VTP Server

交换机VTP 更新信息的所有计划必须配置在同一管理域。所有交换机都通过中继线相连，在核心交换机上设置了一个管理域，校园网上所有的交换机都加入该域，这样同一管理域中的所有交换机就能够了解彼此的VLAN 列表。

进入VLAN 配置模式

Core-SW#vlan database

设置VTP 管理域名称为xiaoyuan

Core-SW(vlan)#vtp xiaoyuan

设置交换机为服务器模式

Core-SW (vlan)#vtp server

设置交换机为server 模式是指允许在本交换机上创建、修改、删除VLAN 及其它一些对整个VTP 域的配置参数，同步本VTP 域中其它交换机传递来的最新的VLAN 信息；client模式用于同步本VTP 域中其他交换机传递来的VLAN 信息，分支交换机设置为client 模式。

2.配置中继（Trunk）

配置中继，使VTP 管理域能够覆盖所有的分支交换机。Trunk 是一个在交换机之间、交换机与路由器之间传递VLAN 信息和VLAN 数据流的协议，将交换机之间直接相连的端口配置为dot1q 封装，就可跨越交换机进行整个网络的VLAN 设置。

Core-SW (config-if)#switchport trunk encapsulation dot1q