【文章內(nèi)容簡介】 方案主要由以下四大部分構成：交換模塊、廣域網(wǎng)接入模塊、遠程訪問模塊、服務器群。整個網(wǎng)絡系統(tǒng)的拓撲結構圖如圖21所示?；窗残畔⒙殬I(yè)技術學院畢業(yè)設計論文圖21 校園網(wǎng)整體拓撲結構圖 VLAN及IP地址規(guī)劃整個校園網(wǎng)中VLAN及IP編址方案如下表所示： VLAN及IP編址方案除了表中的內(nèi)容外。丹陽珥陵中學網(wǎng)絡建設的實施方案為了簡化起見，這里我們只規(guī)劃了8個VLAN，同時為每個VLAN定義了一個由拼音縮寫組成的VLAN名稱?；窗残畔⒙殬I(yè)技術學院畢業(yè)設計論文第三章 交換模塊的設計為了簡化交換網(wǎng)絡設計、提高交換網(wǎng)絡的可擴展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進行的。園區(qū)網(wǎng)數(shù)據(jù)交換設備可以劃分為三個層次：訪問層、分布層、核心層。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層?，F(xiàn)代交換技術還實現(xiàn)了第3層交換和多層交換。高層交換技術的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強了園區(qū)網(wǎng)數(shù)據(jù)交換服務質量，滿足了不同類型網(wǎng)絡應用程序的需要?，F(xiàn)代交換網(wǎng)絡還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的概念。VLAN將廣播域限制在單個VLAN內(nèi)部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術來實現(xiàn)。 訪問層交換服務的實現(xiàn)－配置訪問層交換機訪問層為所有的終端用戶提供一個接入點。這里的訪問層交換機采用的是Cisco Catalyst 2950 24口交換機（WSC295024）。交換機擁有24個10/100Mbps自適應快速以太網(wǎng)端口，運行的是Cisco的IOS操作系統(tǒng)。我們以圖11中的訪問層交換機AccessSwitch1為例進行介紹。如圖31所示，圖31 訪問層交換機AccessSwitch11）設置交換機名稱設置交換機名稱，也就是出現(xiàn)在交換機CLI提示符中的名字。一般我們會以地理位置或行政劃分來為交換機命名。當我們需要Telnet登錄到若干臺交換機以維護一個大型網(wǎng)絡時，通過交換機名稱提示符提示自己當前配置交換機的位置是很有必要的。如圖32所示，為訪問層交換機AccessSwitch1命名。交換模塊設計圖32 為訪問層交換機AccessSwitch1命名2）設置交換機的加密使能口令當用戶在普通用戶模式而想要進入特權用戶模式時，需要提供此口令。此口令會以MD5的形式加密，因此，當用戶查看配置文件時，無法看到明文形式的口令。如圖33所示，將交換機的加密使能口令設置為secretpasswd。圖33 為交換機設置加密使能口令 配置訪問層交換機的管理IP、默認網(wǎng)關訪問層交換機是OSI參考模型的第2層設備，即數(shù)據(jù)鏈路層的設備。因此，給訪問層交換機的每個端口設置IP地址是沒意義的。但是，為了使網(wǎng)絡管理人員可以從遠程登錄到訪問層交換機上進行管理，必要給訪問層交換機設置一個管理用IP地址。這種情況下，實際上是將交換機看成和PC機一樣的主機。給交換機設置管理用IP地址只能在VLAN1，即本征VLAN中進行。，管理VLAN所在的子網(wǎng)是：，這里將訪問層交換機AccessSwitch1的管理IP地址設為：如圖25所示，顯示了為訪問層交換機AccessSwitch1設置管理IP并激活本征VLAN。圖34 設置訪問層交換機AccessSwitch1的管理IP為了使網(wǎng)絡管理人員可以在不同的子網(wǎng)管理此交換機。如圖所示。圖35 設置訪問層交換機AccessSwitch1的默認網(wǎng)關地址淮安信息職業(yè)技術學院畢業(yè)設計論文 配置訪問層交換機的端口基本參數(shù)1）端口雙工配置可以設定某端口根據(jù)對端設備雙工類型自動調整本端口雙工模式，也可以強制將端口雙工模式設為半雙工或全雙工模式。在了解對端設備類型的情況下，建議手動設置端口雙工模式。如圖所示，設置訪問層交換機AccessSwitch1的所有端口均工作在全雙工模式。圖36 設置訪問層交換機AccessSwitch1的端口工作模式2）端口速度可以設定某端口根據(jù)對端設備速度自動調整本端口速度，也可以強制將端口速度10Mpbs或100Mbps。在了解對端設備速度的情況下，建議手動設置端口速度。如圖所示，設置訪問層交換機AccessSwitch1的所有端口的速度均為100Mbps。圖37 設置訪問層交換機AccessSwitch1的端口速度 配置訪問層交換機的訪問端口訪問層交換機AccessSwitch1為終端用戶提供接入服務。在圖中，訪問層交換機AccessSwitch1為VLANVLAN20提供接入服務。 配置訪問層交換機AccessSwitch2訪問層交換機AccessSwitch2為VLAN 30和VLAN 40的用戶提供接入服務。同時，分別通過自己的FastEthernet 0/2FastEthernet 0/24上連到分布層交換機DistributeSwitchDistributeSwitch2的端口FastEthernet 0/24。對訪問層交換機AccessSwitch2的配置步驟、命令和對訪問層交換機AccessSwitch1的配置類似。交換模塊設計 分布層交換服務的實現(xiàn)－配置分布層交換機分布層除了負責將訪問層交換機進行匯集外，還為整個交換網(wǎng)絡提供VLAN間的路由選擇功能。這里的分布層交換機采用的是Cisco Catalyst 3550交換機。作為3層交換機，Cisco Catalyst 3550交換機擁有24個10/100Mbps自適應快速以太網(wǎng)端口。 配置分布層交換機的管理IP、默認網(wǎng)關如圖所示，顯示了為分布層交換機DistributeSwitch1設置管理IP并激活本征VLAN。同時，還設置了默認網(wǎng)關的地址。圖38 分布層交換機DistributeSwitch1配置 在分布層交換機上定義VLAN 在本校園網(wǎng)實現(xiàn)實例中，除了默認的本征VLAN外，又定義了8個VLAN，如表11所示。如圖所示，定義了8個VLAN，同時為每個VLAN命名?；窗残畔⒙殬I(yè)技術學院畢業(yè)設計論文圖39 定義VLAN 配置分布層交換機的端口基本參數(shù)分布層交換機DistributeSwitch1的端口FastEthernet 0/1～FastEthernet 0/10為服務器群提供接入服務，而端口FastEthernet 0/2FastEthernet 0/24分別下連到訪問層交換機AccessSwitch1的端口FastEthernet 0/23以及訪問層交換機AccessSwitch2的端口FastEthernet 0/23。此外，分布層交換機DistributeSwitch1還通過自己的千兆端口GigabitEthernet 0/1上連到核心交換機CoreSwitch1的GigabitEthernet 3/1。分布層交換機DistributeSwitch1需要為網(wǎng)絡中的各個VLAN提供路由功能。這需要首先啟用分布層交換機的路由功能。如圖所示。交換模塊設計圖310 啟用路由功能接下來，需要為每個VLAN定義自己的默認網(wǎng)關地址，如圖所示。圖311 定義各VLAN的默認網(wǎng)關地址此外，還需要定義通往Internet的路由。這里使用了一條缺省路由命令，如圖所示。其中，下一跳地址是Internet接入路由器的快速以太網(wǎng)接口FastEthernet 0/0的IP地址?；窗残畔⒙殬I(yè)技術學院畢業(yè)設計論文圖312 定義到Internet的缺省路由 核心層交換服務的實現(xiàn)－配置核心層交換機核心層將各分布層交換機互連起來進行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。對核心層交換機CoreSwitch1的基本參數(shù)的配置步驟與對訪問層交換機AccessSwitch1的基本參數(shù)的配置類似。配置核心層交換機CoreSwitch1的端口參數(shù)核心層交換機CoreSwitch1通過自己的端口FastEthernet 4/3同廣域網(wǎng)接入模塊（Internet路由器）相連。同時，核心層交換機CoreSwitch1的端口GigabitEthernet 3/1～GigabitEthernet 3/2分別下連到分布層交換機DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 0/1。如圖所示，給出了對上述端口的配置命令。交換模塊設計圖313 設置核心層交換機CoreSwitch1的各端口參數(shù)淮安信息職業(yè)技術學院畢業(yè)設計論文第四章 廣域網(wǎng)接入模塊設計在本設計中，廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器InternetRouter來完成的。采用的是Cisco的3640路由器。它通過自己的串行接口serial 0/0使用DDN（128K）技術接入Internet。它的作用主要是在Internet和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務外，利用訪問控制列表（Access Control List，ACL），廣域網(wǎng)接入路由器InternetRouter還可以用來完成以自身為中心的流量控制和過濾功能并實現(xiàn)一定的安全功能。圖41廣域網(wǎng)模塊 配置接入路由器InternetRouter的基本參數(shù)對接入路由器InternetRouter的基本參數(shù)的配置步驟與對AccessSwitch1的基本參數(shù)的配置類似。圖42 配置接入路由器InternetRouter的基本參數(shù)廣域網(wǎng)接入模塊設計對接入路由器InternetRouter的各接口參數(shù)的配置主要是對接口FastEthernet 0/0以及接口Serial 0/0的IP地址、子網(wǎng)掩碼的配置。如圖43所示，顯示了為接入路由器InternetRouter的各接口設置IP地址、子網(wǎng)掩碼。圖43 接入路由器InternetRouter的管理IP、默認網(wǎng)關 配置接入路由器的路由功能在接入路由器InternetRouter上需要定義兩個方向上的路由：到校園網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由。到Internet上的路由需要定義一條缺省路由，如圖所示。其中，下一跳指定從本路由器的接口serial 0/0送出。圖44 定義到Internet的缺省路由到校園網(wǎng)內(nèi)部的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。如圖所示。圖45 定義到校園網(wǎng)內(nèi)部的路由 配置接入路由器上的ACL 路由器是外網(wǎng)進入校園網(wǎng)內(nèi)網(wǎng)的第一道關卡，是網(wǎng)絡防御的前沿陣地。路由器上的訪問控制列表（Access Control List，ACL）是保護內(nèi)網(wǎng)安全的有效手段。一個設計良好的訪問控制列表不僅可以起到控制網(wǎng)絡流量、流向的作用，還可以在不增加網(wǎng)絡系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。淮安信息職業(yè)技術學院畢業(yè)設計論文由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的第一道屏障，所以即使在網(wǎng)絡系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進行縝密的設計，來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實施保護。這里，在本實例中，我們將針對服務器以及內(nèi)網(wǎng)工作站的安全給出廣域網(wǎng)接入路由器InternetRouter上ACL的配置方案。在網(wǎng)絡環(huán)境中還普遍存在著一些非常重要的、影響服務器群安全的隱患。在絕大多數(shù)網(wǎng)絡環(huán)境的實現(xiàn)中它們都是應該對外加以屏蔽的。主要應該做以下的ACL設計：（1）對外屏蔽簡單網(wǎng)管協(xié)議，即SNMP。利用這個協(xié)議，遠程主機可以監(jiān)視、控制網(wǎng)絡上的其它網(wǎng)絡設備。它有兩種服務類型：SNMP和SNMPTRAP。如圖所示，顯示了如何設置對外屏蔽簡單網(wǎng)管協(xié)議SNMP。圖46 對外屏蔽簡單網(wǎng)管協(xié)議SNMP（2）對外屏蔽遠程登錄協(xié)議telnet首先，telnet是一種不安全的協(xié)議類型。用戶在使用telnet登錄網(wǎng)絡設備或服務器時所使用的用戶名和口令在網(wǎng)絡中是以明文傳輸?shù)?，很容易被網(wǎng)絡上的非法協(xié)議分析設備截獲。其次，telnet可以登錄到大多數(shù)網(wǎng)絡設備和UNIX服務器，并可以使用相關命令完全操縱它們。這是極其危險的，因此必須加以屏蔽。如圖所示，顯示了如何對外屏蔽遠程登錄協(xié)議telnet圖47 對外屏蔽遠程登錄協(xié)議telnet（3）對外屏蔽其它不安全的協(xié)議或服務這樣的協(xié)議主要有SUN OS的文件共享協(xié)議端口2049，遠程執(zhí)行（rsh）、遠程登錄（rlogin）和遠程命令（rcmd）端口5151514，遠程過程調用（SUNRPC）端口111。可以將針對以上協(xié)議綜合進行設計，如圖所示。廣域網(wǎng)接入模塊設計圖48對外屏蔽其它不安全的協(xié)議或服務淮安信息職業(yè)技術學院畢業(yè)設計論文第五章 遠程訪問模塊和服務器模塊設計 遠程訪問模塊設計遠程訪問也是園區(qū)網(wǎng)絡必須提供的服務之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務。圖51 遠程訪問服務遠程訪問有三種可選的服務類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務質量不同，花費也不相同。在本設計中，由于面對的用戶群規(guī)模、業(yè)務量較小，所以采用了異步撥號連接作為遠程訪問的技術手段。異步撥號連接屬于電路交換類型的廣域網(wǎng)連接，它是在傳統(tǒng)公共交換電話網(wǎng)（Public Switched Telephone Network，PSTN）上提供服務的。傳統(tǒng)PSTN提供的服務也被稱為簡易老式電話業(yè)務（Plan Old Telephone System，POTS）。因為目前存在著大量安裝好的電話線，所以這樣的環(huán)境是最容易滿足的。因此，異步撥號連接也就成為最為方便和普遍的遠程訪問類型。廣域網(wǎng)連接可以采用不同類型的封裝協(xié)議，如HDLC、PPP等。其中，PPP除了提供身份認證功能外，還可以提供其他很多可選項配置，包括鏈路壓縮、多鏈路捆綁、回叫等，因此更具優(yōu)勢。也是本設計所采用的異步連接封裝協(xié)議。 服務器模塊設計服務器模塊用來對校園網(wǎng)的接入用戶提供各種服務。在本設計方案中，所有的服務器被集中到VLAN 100構成服務器群并通過分別層交換機DistributeSwitch1的端口fastethernet 1～20接入校園網(wǎng)。如圖所示。遠程訪問模塊和