綜合課程設(shè)計報告題目：校園網(wǎng)模擬設(shè)計與實現(xiàn)班級：組長：組員一:組員二：組員三:組員四:完成日期：XXXX年xx月xx日一、 校園網(wǎng)模擬設(shè)計需求分析本次課程設(shè)計模擬環(huán)境的設(shè)計是根據(jù)XXXX的校園網(wǎng)真實情況進行的，要求滿足學(xué)生網(wǎng)和教師網(wǎng)能夠正常上網(wǎng)，其中學(xué)生網(wǎng)采用私有地址，教師網(wǎng)用私有地址模擬公有地址，所以學(xué)生網(wǎng)訪問教師網(wǎng)時，需要進行NAT轉(zhuǎn)換；學(xué)生網(wǎng)和教師網(wǎng)設(shè)計完成并能上網(wǎng)后，附加訪問控制列表，端口安全的規(guī)則，保證校園網(wǎng)的安全，網(wǎng)絡(luò)的設(shè)計要求使用年限10年，布線實施經(jīng)濟合理。校園網(wǎng)設(shè)計時需遵照以下要求：1、 現(xiàn)在PT5.3.1上模擬實現(xiàn)，后在真實設(shè)備上實現(xiàn)。2、 現(xiàn)整體規(guī)劃，后實現(xiàn)，先局部，各族分工協(xié)作，后整體，集成調(diào)試。3、 先內(nèi)網(wǎng)正常通信，后外網(wǎng)通信。4、 正常通信后，在施加ACL、OSPF、端口安全、無線安全等安全策略和認(rèn)證(本部分在PT5.3.1上實現(xiàn)，真實布局中由于設(shè)備局限僅作了解)。二、 校園網(wǎng)模擬環(huán)境和主要設(shè)備模擬環(huán)境本次模擬環(huán)境的設(shè)計是根據(jù)XXXX的校園網(wǎng)真實情況進行的。主要設(shè)備1、 外網(wǎng)接入：從校園網(wǎng)鏈接3個VLAN過來。通過入門處，在實驗室前面的左面面板接入4個VLAN，通過跳線直接接到一臺3548交換機的Fa0/48口上2、 BR邊緣路由器：用R1841路由器。3、 廣域網(wǎng)FrameRelay：有2個分支機構(gòu)，通過幀中繼云接入校園總部，進而實現(xiàn)對校園網(wǎng)資源的訪問和共享，并通過校園網(wǎng)訪問Internet。用Cisco2811路由器做幀中繼交換機(該路由器具有4個廣域網(wǎng)串口，HWIC-4A/S)。總部和分支路由器都用Cisco1841路由器的S0/0/0口接入到2811路由器相應(yīng)的接口上。兩個分支機構(gòu)之間不需要建立映射。4、 核心3層交換：兩臺3層交換機3560-24PS，分別用于教師網(wǎng)和學(xué)生網(wǎng)的交換。5、 匯聚到接入的互聯(lián)：三臺3層交換機3560-24PS中，1臺匯聚部分教師網(wǎng)，其他的匯聚學(xué)生網(wǎng)。一臺1841路由器實現(xiàn)單臂路由，匯聚部分教師網(wǎng)。6、 接入層交換機：8臺接入交換機2960。3臺用于接入教師網(wǎng)的主機，5臺用于接入學(xué)生網(wǎng)的主機。7、 無線接入：無線AP和無線路由器。WRT160N無線路由器是三合一的設(shè)備，有兩種接入方式。為無線AP和交換機用，將AP通過LAN口上連到交換機即可，作為無線AP、交換機和路由器用，則通過INTERNET口上連到交換機即可。此時路由器要啟用內(nèi)部的NAT功能，實現(xiàn)內(nèi)網(wǎng)上網(wǎng)。8、 終端PC機。三、校園網(wǎng)模擬總體設(shè)計1、 給所有的設(shè)備進行相應(yīng)的基本配置。配置主機名，實現(xiàn)設(shè)備的基本安全口令。包括console口、特權(quán)加密口令以及Telnet遠(yuǎn)程登錄口令。2、 IP地址規(guī)劃內(nèi)網(wǎng)：網(wǎng)絡(luò)中心給教師網(wǎng)一個IP地址塊：/24，可以模擬我們的教育網(wǎng)，按照接入層交換機上的VLAN地址數(shù)量進行劃分，盡量不浪費地址。教師網(wǎng)的主機，經(jīng)過VLAN601出口時，不需要經(jīng)過NAT轉(zhuǎn)換，而經(jīng)過其他兩個出口時，要做NAT轉(zhuǎn)換。學(xué)生網(wǎng)一個地址塊，/16,相當(dāng)于私網(wǎng)，因此，學(xué)生網(wǎng)經(jīng)過三個出口時，都要做NAT轉(zhuǎn)換。外網(wǎng)：為了模擬校園網(wǎng)的多出口，校園網(wǎng)提供了3個網(wǎng)段的鏈接，只需要知道下一跳地址以及你可以使用的地址即可。設(shè)備互聯(lián)地址用/8網(wǎng)段進行分配。Fa0/48作為trunk端口接入，把校園網(wǎng)定義的4個VLAN傳遞進來。4個VLAN信息：Vlan112:對應(yīng)接口fa0/1，對應(yīng)校園網(wǎng)直接支持的/24網(wǎng)段Vlan601:對應(yīng)接口：fa0/17,接入的接口地址/30（校園網(wǎng)的/24網(wǎng)段）Vlan102:對應(yīng)接口：fa0/19,接入的接口地址22/30Vlan101:對應(yīng)接口：fa0/21,接入的接口地址2/303、 路由（1） 外網(wǎng)路由BR上要啟用多出口策略，缺省路由指向VLAN601，^叮/24網(wǎng)段可以直接到NET1。到另外的兩個網(wǎng)段，NET2和NET3，要用NAT轉(zhuǎn)換，其中NET2用端口復(fù)用，而NET3用地址池復(fù)用BR上要啟用靜態(tài)路由指向內(nèi)網(wǎng)，內(nèi)網(wǎng)使用匯聚后的網(wǎng)絡(luò)地址到另外的兩個網(wǎng)段模擬，我們可以用兩條單獨的靜態(tài)路由來指定，如，訪問，強制走NET2,訪問強制走NET3。兩個網(wǎng)站的地址，用nslookup命令解析即可得到。（2） 內(nèi)網(wǎng)路由教師網(wǎng)和學(xué)生網(wǎng)分為兩個獨立OSPF主域0單獨運行。在二者的核心之間要通過靜態(tài)路由實現(xiàn)互訪，模擬實現(xiàn)校園網(wǎng)內(nèi)教師網(wǎng)和學(xué)生網(wǎng)的私網(wǎng)、公網(wǎng)混合路由。教師內(nèi)網(wǎng)配置多域OSPF路由協(xié)議，主域為0。所有的核心和匯聚設(shè)備之間啟用OSPF。教師網(wǎng)內(nèi)配置OSPF身份驗證，在核心和匯聚的三層交換機之間配置MD5身份認(rèn)證。使用1作為密鑰值并使用cisco123作為口令，在核心和匯聚之間配置OSPFMD5身份驗證。BR上要啟用靜態(tài)路由分別指向內(nèi)網(wǎng)的教師網(wǎng)和學(xué)生網(wǎng)，內(nèi)網(wǎng)使用匯總后的網(wǎng)絡(luò)地址。Tea-Core上啟用缺省路由，同時把缺省路由通過OSPF自動傳播給域內(nèi)的其它三層交換機或路由器Stu-Core上啟用缺省路由，同時把缺省路由通過OSPF自動傳播給域內(nèi)的其它三層交換機或路由器，學(xué)生網(wǎng)不啟用OSPF身份認(rèn)證。關(guān)閉不必要的路由更新4、 交換（1） 交換機switch3直連單臂路由器，VTP模式設(shè)置為缺省的server模式，直接創(chuàng)建VLAN121、VLAN122。VLAN內(nèi)的主機數(shù)見圖示，根據(jù)圖示決定其各個子網(wǎng)的主機數(shù)。所有VLAN內(nèi)主機的網(wǎng)關(guān)地址取最后可用主機的地址。所有PC機的地址通過遠(yuǎn)端的DHCPServer自動獲得。（2） 交換機Office、Switch1和Switch2上組成一個VTP域，VTP域名為office，VTP密碼為cisco123。，Office的VTP模式為Server，Switch1和Switch2的模式為Client，VLAN信息通過Offic自動傳遞給Switch1和Switch2。（3） 同理交換機Stu-Dis1、Switch4和Switch5組成一個VTP域，VTP域名為Stu-Dist1，VTP密碼為cisco123。，Stu-Dis1的VTP模式為Server，Switch4和Switch5的模式為Client，VLAN信息通過Stu-Dis1自動傳遞給Switch4和Switch5。（4） 同理交換機Stu-Dis2、Switch6和Switch7組成一個VTP域，VTP域名為Stu-Dist2,VTP密碼為cisco123。Stu-Dis2的VTP模式為Server，Switch6和Switch7的模式為Client，VLAN信息通過Stu-Dis2自動傳遞給Switch6和Switch7。（5） 交換機端口安全將switch1交換機端口FastEthernet0/1配置為只接受1臺設(shè)備，以動態(tài)獲取這些設(shè)備的MAC地址，并且在發(fā)生違規(guī)時攔截來自無效主機的流量。5、 NAT在/24網(wǎng)段內(nèi)的主機到NET2和NET3,必須經(jīng)過NAT轉(zhuǎn)換，其中NET2用地址池復(fù)用，而NET3用地址池復(fù)用。在/16網(wǎng)段內(nèi)的主機到NET1、NET2和NET3都需要經(jīng)過NAT，三個網(wǎng)段都配置為地址池端口復(fù)用。假設(shè)學(xué)生網(wǎng)中的交換機Switch6的交換機vlan221中有一臺地址為00/24的主機，需要向教育網(wǎng)所在的NET1提供FTP等服務(wù)，需要設(shè)置成靜態(tài)NAT，啟用地址池中最后一個可用的地址作NAT靜態(tài)映射。6、 DHCP用路由器作為DHCP服務(wù)器。DPCP服務(wù)器要實現(xiàn)自動為/24及/16內(nèi)的所有VLAN自動分配IP地址、缺省網(wǎng)關(guān)和DNS服務(wù)器（6）的功能。每個網(wǎng)段內(nèi)最后4個可用的地址保留不進行自動分配。所有網(wǎng)段的網(wǎng)關(guān)使用本網(wǎng)段內(nèi)最后可用的地址。7、 ACL⑴在DR0的對應(yīng)子接口上，設(shè)置一個ACL禁止VLAN102中IP地址最后一個字節(jié)為偶數(shù)的主機對DHCPserver的TELNET訪問，其他的流量允許通過。⑵禁止vlan223中的IP地址為9、1、7、9的主機對DHCPserver的www訪問，其它的流量允許通過。要求每個ACL只能包含一條deny和一條permit命令。⑶阻止/24網(wǎng)絡(luò)訪問2/27網(wǎng)絡(luò)。允許對2/27的所有其它訪問。在office上使用ACL編號10配置ACL。⑷由于邊緣路由器是與Internet之間的連通出口，因此請按照下列順序配置名為FIREWALL的命名ACL：僅允許來自net1ISP和來自net1ISP之外任何源地址的入站ping應(yīng)答。僅允許來自net1ISP和來自net1ISP之外任何源地址的已建立TCP會話。明確阻止來自net1ISP和來自net1ISP之外任何源地址的所有其它入站訪問。8、 廣域網(wǎng)FrameRelay（因時間和設(shè)備因素僅作了解）（1） 用Cisco2811路由器做幀中繼交換機（該路由器具有4個廣域網(wǎng)串口）?？偛亢头种酚善鞫加肅isco1841路由器的S0/0/0口接入到2811路由器相應(yīng)的接口上。兩個分支機構(gòu)之間不需要建立映射。使用以下信息配置相應(yīng)的接口：?IP地址?幀中繼封裝-到相應(yīng)部門的映射?LMI類型為ANSI（2） 路由部分。分支機構(gòu)啟用缺省路由指向總部。請在缺省路由配置中使用送出接口參數(shù)?？偛啃枰ㄍ就?fù)渲袃蓚€遠(yuǎn)程LAN的兩條靜態(tài)路由。請在靜態(tài)路由配置中使用下一跳IP地址參數(shù)。9、 無線部分（因時間和設(shè)備因素僅作了解）無線AP和無線路由器。無線AP的配置較為簡單，我們重點對連接在Switch7交換機上的無線路由器配置做要求。無線路由器為WRT160N。為配置無線路由器的設(shè)置，我們使用它的WebGUI實用程序。要訪問GUI,可以用Web瀏覽器導(dǎo)航到路由器的LAN/無線IP地址。原廠默認(rèn)地址為。默認(rèn)登錄憑證使用空的用戶名和口令admin。將廣域網(wǎng)接口卡Internet的連接類型設(shè)置為動態(tài)獲得IP，該地址應(yīng)該通過校園網(wǎng)的DHCP服務(wù)器自動獲得相應(yīng)的參數(shù)。在路由器的局域網(wǎng)接口上啟用DHCP，創(chuàng)建一個地址池，/24，最后一個可用的地址分配給無線路由器的LAN口，作為無線客戶端的網(wǎng)關(guān)，最大允許分配01-10的這10個地址段給無線客戶端。DNS設(shè)置為校園網(wǎng)的DNS服務(wù)器，SSID標(biāo)識改為Cisco，大小寫敏感。無線AP的遠(yuǎn)程管理地址為Cisco123,大小寫敏感。無線客戶端的鏈接啟用WEB認(rèn)真，認(rèn)證密碼為12345abcde無線客戶端釋放重新鏈接到無線網(wǎng)絡(luò)。無線客戶端可以采用自帶筆記本，或者網(wǎng)絡(luò)實驗室的無線PCI網(wǎng)卡接入。四、校園網(wǎng)模擬詳細(xì)設(shè)計與實現(xiàn)基本配置，配置主機名，實現(xiàn)設(shè)備的基本安全口令。hostnameOfficeenablesecretclasslinecon0passwordciscologinexitlinevty015passwordciscologinexit教師網(wǎng)中的VTP域劃分vlan101,102,111,1000interfaceVlan101ipaddress024!interfaceVlan1000ipaddress10分配vlaninterfaceFastEthernet0/1switchporttrunknativevlan1000!interfacerangeFastEthernet0/1-FastEthernet0/12switchportaccessvlan101switchportmodeaccess創(chuàng)建vtp域vtpdomaindomain1officevtpmodeservervtpmodeclientvtppasswordCisco123單臂路由配置A?劃分子接口121,122,1000interfaceFastEthernet0/1.121encapsulationdot1Q121ipaddress2624!interfaceFastEthernet0/1.1000encapsulationdot1Q1000native分配接口分配vlan1000的ip地址配置ospf域劃分vlan501,502,1000配置接口interfaceFastEthernet0/1switchporttrunknativevlan1000switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceFastEthernet0/2noswitchportipaddress52啟動ospfrouterospf1networkarea0network1area1network61area2配置邊緣路由A.配置默認(rèn)路由iprouterouterospf1default-informationoriginateB.劃分vlan700,1000分配接口interfaceGigabitEthernet0/2switchporttrunkallowedvlan700,1000switchporttrunkencapsulationdot1qswitchportmodetrunk配置靜態(tài)路由iproute邊界路由器上單臂路由interfaceFastEthernet0/0.700encapsulationdot1Q700ipaddress52!interfaceFastEthernet0/0.1000encapsulationdot1Q1000給PC終端分配ip地址子網(wǎng)中第一個可用主機做ip,子網(wǎng)中最后一個可用主機做網(wǎng)關(guān)（路由器、3層交換機）配置學(xué)生網(wǎng)（方法和配置教師網(wǎng)是一樣的）五、校園網(wǎng)模擬結(jié)果分析檢驗vtp域PC1pingOffice檢驗相同vlan內(nèi)設(shè)備通信PingPC2pingOfficePingPC1pingPC2Ping3檢驗不同vlan間設(shè)備通信檢驗單臂路由ExppingPC4檢驗vlan121內(nèi)設(shè)備通信Ping7ExppingPC5檢驗vlan122內(nèi)設(shè)備通信Ping29PC4pingPC5檢驗不同vlan間設(shè)備通信Ping29檢驗ospf域在Tea-Core、Office和Exp上showiproute顯示路由表Tea-CorepingOffice檢驗核心層設(shè)備和匯聚層設(shè)備通信PingTea-CorepingExpPingOfficepingExp檢驗不同匯聚層間設(shè)備通信Ping檢驗邊界路由在BR上showiproute檢查路由表BRpingTea-Core檢驗邊界路由和核心層的通信PingPC1pingNET1檢驗PC1能否上網(wǎng)Ping在PC1上敲XXX的網(wǎng)站Tracert檢驗學(xué)生網(wǎng)同教師網(wǎng)六、校園網(wǎng)模擬心得與思考通過本次校園網(wǎng)模擬受益匪淺，簡列：學(xué)會了三層交換機的簡單配置，如交換口的虛擬svi口，路由口的配置，對交換機trunk和access端口的封裝標(biāo)示有了更深的理解：在內(nèi)網(wǎng)中建vlan1000作為管理vlan，是內(nèi)網(wǎng)通信更加方便，同時，了解了三層交換機在傳遞碎小包及需要快速轉(zhuǎn)發(fā)時所具有的優(yōu)勢，同時，三層交換機相對于路由器更加便宜，本次實驗嚴(yán)格按照組網(wǎng)的原則將網(wǎng)絡(luò)分為接入層，匯聚層，核心層，組網(wǎng)時先完成接入層，并保證接入層能夠ping通，在完成匯聚成，在進行核心層的設(shè)計，這樣是網(wǎng)絡(luò)設(shè)計更加靈活，更利于故障排除，這次實驗我們掌握了很多東西，對于網(wǎng)絡(luò)工程技術(shù)的學(xué)習(xí)，實驗室必不可少的，平時沒有網(wǎng)絡(luò)工程實習(xí)的機會，在實踐生活中動手能力是必不可少可的，通過實驗，我們能夠深刻的了解所學(xué)到的內(nèi)容，反過來，實驗會促使我們對所學(xué)到的內(nèi)容進行一個更深層次的思考，很多問題是我們理論學(xué)習(xí)中不會遇到的也更加不會想到，偏偏很多時候問題出現(xiàn)在我們么有意識的區(qū)域，而這些區(qū)域我們通過實驗?zāi)軌虮苊?，總之此次實?xí)收益很大。經(jīng)過一周的上機實習(xí)，在老師的指導(dǎo)下，順利完成了課程設(shè)計，通過該課程設(shè)計，收獲很大，掌握了路由的基本過程及其各階段的其本原理，熟悉拓?fù)鋱D，了解了路由器與交換機及其相關(guān)原理，對三層交換機的應(yīng)用也有了一定的了解，對課本上的知識有了更深的理解，課本上的知識是機械的，表面的，通過實踐上機實驗，和同學(xué)們一起探討問題，才對實驗原理有了更深的理解，知道和理解了該命令在計算機中是怎樣執(zhí)行的，對該理論在實踐中的應(yīng)用有了深刻的理解。通過該課程設(shè)計，更加能理解書本的知識，對一些功能的實現(xiàn)也有了更深層次的了解以及應(yīng)用，能夠把課堂上學(xué)到的只