【文章內(nèi)容簡介】 方案主要由以下四大部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問模塊、服務(wù)器群。整個(gè)網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖如圖21所示。淮安信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)論文圖21 校園網(wǎng)整體拓?fù)浣Y(jié)構(gòu)圖 VLAN及IP地址規(guī)劃整個(gè)校園網(wǎng)中VLAN及IP編址方案如下表所示： VLAN及IP編址方案除了表中的內(nèi)容外。丹陽珥陵中學(xué)網(wǎng)絡(luò)建設(shè)的實(shí)施方案為了簡化起見，這里我們只規(guī)劃了8個(gè)VLAN，同時(shí)為每個(gè)VLAN定義了一個(gè)由拼音縮寫組成的VLAN名稱?；窗残畔⒙殬I(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)論文第三章 交換模塊的設(shè)計(jì)為了簡化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)行的。園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個(gè)層次：訪問層、分布層、核心層。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層?，F(xiàn)代交換技術(shù)還實(shí)現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了園區(qū)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。現(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的概念。VLAN將廣播域限制在單個(gè)VLAN內(nèi)部，減小了各VLAN間主機(jī)的廣播通信對其他VLAN的影響。在VLAN間需要通信的時(shí)候，可以利用VLAN間路由技術(shù)來實(shí)現(xiàn)。 訪問層交換服務(wù)的實(shí)現(xiàn)－配置訪問層交換機(jī)訪問層為所有的終端用戶提供一個(gè)接入點(diǎn)。這里的訪問層交換機(jī)采用的是Cisco Catalyst 2950 24口交換機(jī)（WSC295024）。交換機(jī)擁有24個(gè)10/100Mbps自適應(yīng)快速以太網(wǎng)端口，運(yùn)行的是Cisco的IOS操作系統(tǒng)。我們以圖11中的訪問層交換機(jī)AccessSwitch1為例進(jìn)行介紹。如圖31所示，圖31 訪問層交換機(jī)AccessSwitch11）設(shè)置交換機(jī)名稱設(shè)置交換機(jī)名稱，也就是出現(xiàn)在交換機(jī)CLI提示符中的名字。一般我們會(huì)以地理位置或行政劃分來為交換機(jī)命名。當(dāng)我們需要Telnet登錄到若干臺交換機(jī)以維護(hù)一個(gè)大型網(wǎng)絡(luò)時(shí)，通過交換機(jī)名稱提示符提示自己當(dāng)前配置交換機(jī)的位置是很有必要的。如圖32所示，為訪問層交換機(jī)AccessSwitch1命名。交換模塊設(shè)計(jì)圖32 為訪問層交換機(jī)AccessSwitch1命名2）設(shè)置交換機(jī)的加密使能口令當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時(shí)，需要提供此口令。此口令會(huì)以MD5的形式加密，因此，當(dāng)用戶查看配置文件時(shí)，無法看到明文形式的口令。如圖33所示，將交換機(jī)的加密使能口令設(shè)置為secretpasswd。圖33 為交換機(jī)設(shè)置加密使能口令 配置訪問層交換機(jī)的管理IP、默認(rèn)網(wǎng)關(guān)訪問層交換機(jī)是OSI參考模型的第2層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備。因此，給訪問層交換機(jī)的每個(gè)端口設(shè)置IP地址是沒意義的。但是，為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到訪問層交換機(jī)上進(jìn)行管理，必要給訪問層交換機(jī)設(shè)置一個(gè)管理用IP地址。這種情況下，實(shí)際上是將交換機(jī)看成和PC機(jī)一樣的主機(jī)。給交換機(jī)設(shè)置管理用IP地址只能在VLAN1，即本征VLAN中進(jìn)行。，管理VLAN所在的子網(wǎng)是：，這里將訪問層交換機(jī)AccessSwitch1的管理IP地址設(shè)為：如圖25所示，顯示了為訪問層交換機(jī)AccessSwitch1設(shè)置管理IP并激活本征VLAN。圖34 設(shè)置訪問層交換機(jī)AccessSwitch1的管理IP為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī)。如圖所示。圖35 設(shè)置訪問層交換機(jī)AccessSwitch1的默認(rèn)網(wǎng)關(guān)地址淮安信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)論文 配置訪問層交換機(jī)的端口基本參數(shù)1）端口雙工配置可以設(shè)定某端口根據(jù)對端設(shè)備雙工類型自動(dòng)調(diào)整本端口雙工模式，也可以強(qiáng)制將端口雙工模式設(shè)為半雙工或全雙工模式。在了解對端設(shè)備類型的情況下，建議手動(dòng)設(shè)置端口雙工模式。如圖所示，設(shè)置訪問層交換機(jī)AccessSwitch1的所有端口均工作在全雙工模式。圖36 設(shè)置訪問層交換機(jī)AccessSwitch1的端口工作模式2）端口速度可以設(shè)定某端口根據(jù)對端設(shè)備速度自動(dòng)調(diào)整本端口速度，也可以強(qiáng)制將端口速度10Mpbs或100Mbps。在了解對端設(shè)備速度的情況下，建議手動(dòng)設(shè)置端口速度。如圖所示，設(shè)置訪問層交換機(jī)AccessSwitch1的所有端口的速度均為100Mbps。圖37 設(shè)置訪問層交換機(jī)AccessSwitch1的端口速度 配置訪問層交換機(jī)的訪問端口訪問層交換機(jī)AccessSwitch1為終端用戶提供接入服務(wù)。在圖中，訪問層交換機(jī)AccessSwitch1為VLANVLAN20提供接入服務(wù)。 配置訪問層交換機(jī)AccessSwitch2訪問層交換機(jī)AccessSwitch2為VLAN 30和VLAN 40的用戶提供接入服務(wù)。同時(shí)，分別通過自己的FastEthernet 0/2FastEthernet 0/24上連到分布層交換機(jī)DistributeSwitchDistributeSwitch2的端口FastEthernet 0/24。對訪問層交換機(jī)AccessSwitch2的配置步驟、命令和對訪問層交換機(jī)AccessSwitch1的配置類似。交換模塊設(shè)計(jì) 分布層交換服務(wù)的實(shí)現(xiàn)－配置分布層交換機(jī)分布層除了負(fù)責(zé)將訪問層交換機(jī)進(jìn)行匯集外，還為整個(gè)交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能。這里的分布層交換機(jī)采用的是Cisco Catalyst 3550交換機(jī)。作為3層交換機(jī)，Cisco Catalyst 3550交換機(jī)擁有24個(gè)10/100Mbps自適應(yīng)快速以太網(wǎng)端口。 配置分布層交換機(jī)的管理IP、默認(rèn)網(wǎng)關(guān)如圖所示，顯示了為分布層交換機(jī)DistributeSwitch1設(shè)置管理IP并激活本征VLAN。同時(shí)，還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。圖38 分布層交換機(jī)DistributeSwitch1配置 在分布層交換機(jī)上定義VLAN 在本校園網(wǎng)實(shí)現(xiàn)實(shí)例中，除了默認(rèn)的本征VLAN外，又定義了8個(gè)VLAN，如表11所示。如圖所示，定義了8個(gè)VLAN，同時(shí)為每個(gè)VLAN命名?；窗残畔⒙殬I(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)論文圖39 定義VLAN 配置分布層交換機(jī)的端口基本參數(shù)分布層交換機(jī)DistributeSwitch1的端口FastEthernet 0/1～FastEthernet 0/10為服務(wù)器群提供接入服務(wù)，而端口FastEthernet 0/2FastEthernet 0/24分別下連到訪問層交換機(jī)AccessSwitch1的端口FastEthernet 0/23以及訪問層交換機(jī)AccessSwitch2的端口FastEthernet 0/23。此外，分布層交換機(jī)DistributeSwitch1還通過自己的千兆端口GigabitEthernet 0/1上連到核心交換機(jī)CoreSwitch1的GigabitEthernet 3/1。分布層交換機(jī)DistributeSwitch1需要為網(wǎng)絡(luò)中的各個(gè)VLAN提供路由功能。這需要首先啟用分布層交換機(jī)的路由功能。如圖所示。交換模塊設(shè)計(jì)圖310 啟用路由功能接下來，需要為每個(gè)VLAN定義自己的默認(rèn)網(wǎng)關(guān)地址，如圖所示。圖311 定義各VLAN的默認(rèn)網(wǎng)關(guān)地址此外，還需要定義通往Internet的路由。這里使用了一條缺省路由命令，如圖所示。其中，下一跳地址是Internet接入路由器的快速以太網(wǎng)接口FastEthernet 0/0的IP地址?；窗残畔⒙殬I(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)論文圖312 定義到Internet的缺省路由 核心層交換服務(wù)的實(shí)現(xiàn)－配置核心層交換機(jī)核心層將各分布層交換機(jī)互連起來進(jìn)行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。對核心層交換機(jī)CoreSwitch1的基本參數(shù)的配置步驟與對訪問層交換機(jī)AccessSwitch1的基本參數(shù)的配置類似。配置核心層交換機(jī)CoreSwitch1的端口參數(shù)核心層交換機(jī)CoreSwitch1通過自己的端口FastEthernet 4/3同廣域網(wǎng)接入模塊（Internet路由器）相連。同時(shí)，核心層交換機(jī)CoreSwitch1的端口GigabitEthernet 3/1～GigabitEthernet 3/2分別下連到分布層交換機(jī)DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 0/1。如圖所示，給出了對上述端口的配置命令。交換模塊設(shè)計(jì)圖313 設(shè)置核心層交換機(jī)CoreSwitch1的各端口參數(shù)淮安信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)論文第四章 廣域網(wǎng)接入模塊設(shè)計(jì)在本設(shè)計(jì)中，廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器InternetRouter來完成的。采用的是Cisco的3640路由器。它通過自己的串行接口serial 0/0使用DDN（128K）技術(shù)接入Internet。它的作用主要是在Internet和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務(wù)外，利用訪問控制列表（Access Control List，ACL），廣域網(wǎng)接入路由器InternetRouter還可以用來完成以自身為中心的流量控制和過濾功能并實(shí)現(xiàn)一定的安全功能。圖41廣域網(wǎng)模塊 配置接入路由器InternetRouter的基本參數(shù)對接入路由器InternetRouter的基本參數(shù)的配置步驟與對AccessSwitch1的基本參數(shù)的配置類似。圖42 配置接入路由器InternetRouter的基本參數(shù)廣域網(wǎng)接入模塊設(shè)計(jì)對接入路由器InternetRouter的各接口參數(shù)的配置主要是對接口FastEthernet 0/0以及接口Serial 0/0的IP地址、子網(wǎng)掩碼的配置。如圖43所示，顯示了為接入路由器InternetRouter的各接口設(shè)置IP地址、子網(wǎng)掩碼。圖43 接入路由器InternetRouter的管理IP、默認(rèn)網(wǎng)關(guān) 配置接入路由器的路由功能在接入路由器InternetRouter上需要定義兩個(gè)方向上的路由：到校園網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由。到Internet上的路由需要定義一條缺省路由，如圖所示。其中，下一跳指定從本路由器的接口serial 0/0送出。圖44 定義到Internet的缺省路由到校園網(wǎng)內(nèi)部的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。如圖所示。圖45 定義到校園網(wǎng)內(nèi)部的路由 配置接入路由器上的ACL 路由器是外網(wǎng)進(jìn)入校園網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問控制列表（Access Control List，ACL）是保護(hù)內(nèi)網(wǎng)安全的有效手段。一個(gè)設(shè)計(jì)良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能?；窗残畔⒙殬I(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)論文由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時(shí)的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進(jìn)行縝密的設(shè)計(jì)，來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實(shí)施保護(hù)。這里，在本實(shí)例中，我們將針對服務(wù)器以及內(nèi)網(wǎng)工作站的安全給出廣域網(wǎng)接入路由器InternetRouter上ACL的配置方案。在網(wǎng)絡(luò)環(huán)境中還普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。在絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實(shí)現(xiàn)中它們都是應(yīng)該對外加以屏蔽的。主要應(yīng)該做以下的ACL設(shè)計(jì)：（1）對外屏蔽簡單網(wǎng)管協(xié)議，即SNMP。利用這個(gè)協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型：SNMP和SNMPTRAP。如圖所示，顯示了如何設(shè)置對外屏蔽簡單網(wǎng)管協(xié)議SNMP。圖46 對外屏蔽簡單網(wǎng)管協(xié)議SNMP（2）對外屏蔽遠(yuǎn)程登錄協(xié)議telnet首先，telnet是一種不安全的協(xié)議類型。用戶在使用telnet登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時(shí)所使用的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?，很容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。其次，telnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和UNIX服務(wù)器，并可以使用相關(guān)命令完全操縱它們。這是極其危險(xiǎn)的，因此必須加以屏蔽。如圖所示，顯示了如何對外屏蔽遠(yuǎn)程登錄協(xié)議telnet圖47 對外屏蔽遠(yuǎn)程登錄協(xié)議telnet（3）對外屏蔽其它不安全的協(xié)議或服務(wù)這樣的協(xié)議主要有SUN OS的文件共享協(xié)議端口2049，遠(yuǎn)程執(zhí)行（rsh）、遠(yuǎn)程登錄（rlogin）和遠(yuǎn)程命令（rcmd）端口5151514，遠(yuǎn)程過程調(diào)用（SUNRPC）端口111。可以將針對以上協(xié)議綜合進(jìn)行設(shè)計(jì)，如圖所示。廣域網(wǎng)接入模塊設(shè)計(jì)圖48對外屏蔽其它不安全的協(xié)議或服務(wù)淮安信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)論文第五章 遠(yuǎn)程訪問模塊和服務(wù)器模塊設(shè)計(jì) 遠(yuǎn)程訪問模塊設(shè)計(jì)遠(yuǎn)程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一。它可以為家庭辦公用戶和出差在外的員工提供移動(dòng)接入服務(wù)。圖51 遠(yuǎn)程訪問服務(wù)遠(yuǎn)程訪問有三種可選的服務(wù)類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花費(fèi)也不相同。在本設(shè)計(jì)中，由于面對的用戶群規(guī)模、業(yè)務(wù)量較小，所以采用了異步撥號連接作為遠(yuǎn)程訪問的技術(shù)手段。異步撥號連接屬于電路交換類型的廣域網(wǎng)連接，它是在傳統(tǒng)公共交換電話網(wǎng)（Public Switched Telephone Network，PSTN）上提供服務(wù)的。傳統(tǒng)PSTN提供的服務(wù)也被稱為簡易老式電話業(yè)務(wù)（Plan Old Telephone System，POTS）。因?yàn)槟壳按嬖谥罅堪惭b好的電話線，所以這樣的環(huán)境是最容易滿足的。因此，異步撥號連接也就成為最為方便和普遍的遠(yuǎn)程訪問類型。廣域網(wǎng)連接可以采用不同類型的封裝協(xié)議，如HDLC、PPP等。其中，PPP除了提供身份認(rèn)證功能外，還可以提供其他很多可選項(xiàng)配置，包括鏈路壓縮、多鏈路捆綁、回叫等，因此更具優(yōu)勢。也是本設(shè)計(jì)所采用的異步連接封裝協(xié)議。 服務(wù)器模塊設(shè)計(jì)服務(wù)器模塊用來對校園網(wǎng)的接入用戶提供各種服務(wù)。在本設(shè)計(jì)方案中，所有的服務(wù)器被集中到VLAN 100構(gòu)成服務(wù)器群并通過分別層交換機(jī)DistributeSwitch1的端口fastethernet 1～20接入校園網(wǎng)。如圖所示。遠(yuǎn)程訪問模塊和