校园局域网规划与设计cisco仿真模拟.docx

《校园局域网规划与设计cisco仿真模拟.docx》由会员分享，可在线阅读，更多相关《校园局域网规划与设计cisco仿真模拟.docx（37页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、校园局域网规划摘要 身处于注重效率信息时代，校园局域网作为高等学校提升教育实力与竞争力重要措施必须着重建设，一个技术先进、运行可靠而又经济试用校园局域网是提高高等院校教育水平一个保证。本文实例阐述了校园局域网建设必要性与重要性，研究分析了当今主流局域网技术、网络设计方法与互联方法等，对技术、设备、总体规划等提出有价值建议或意见，以实用、先进、经济为设计出发点，提出建设校园局域网可行性方案，结合校园局域网不安全因素，制定出相应安全策略。关键词路由配置服务器配置访问控制表技术目录引言4（一）研究背景4（二）课题研究研究目标4一、校园网总体规划设计6（一）校园局域网需求6（二）网络总体架构规划71.

2、网络技术选择72.校园网络拓扑7（三）网络设备选型91.核心层网络92.汇聚层网络103.接入层网络114.路由器选择115.服务器选择12（四）校园网安全策略及安全防御措施12（五）本章小结13二、VLAN 划分及参数配置14（一）VLAN划分14（二）VLAN配置151.交换机选择15（三）核心交换机Core-SW配置161.核心交换机配置VTP Server162.配置中继（Trunk）173.创建vlan及端口划分174.配置IP185.SW1开启路由19（四）Server-SW配置201.配置Server-SW中继（Trunk）202.Server-SW端口配置20（五）配置学生宿舍

3、交换机21三、路由器配置22（一）基本IP设置22（二）NAT设置22（三）校园网边界路由器配置23（四）通过NAT技术实现内网访问internet23（五）显示路由表24（六）模拟ISP环境出口路由R2配置25四、服务器配置26（一）DHCP服务器配置26（二）WWW服务器配置26（三）DNS服务器配置27（四）FTP 服务器配置27五、网络安全控制28（一）访问控制表281.防止病毒传播和黑客攻击282.对服务器群服务进行控制29（二）小结30六、验证测试31总结及展望35致谢语36参考文献37引言（一） 研究背景近年来，随着教学手段不断进步以及计算机网络技术在学校中应用日益普及，校园网络

4、化、教学智能化成为各学校竞相角逐热点，校园网已成为各学校必备重要信息基础设施，其规模与应用水平已成为衡量学校教学及科研综合实力一个重要标志。校园网建设将为“数字化校园”提供高可靠性网络基础设施与高性能服务在一个平台上，让整个学校教学、科研、管理与服务工作都实现信息化与网络化，使教师、学生、科研人员与行政管理人员等都可以最方便地实现信息交流、进行协同工作与资源共享，搞好校园网建设，有利于增强学校办学水平及社会竞争力。因此，建设高效实用高级校园网，是大势所趋。（二） 课题研究研究目标发展校园局域网应有长远规划，争取利用现有网络技术与通信技术，将校园局域网建设成经济实用现代化校园网，同时实现及其他兄

5、弟院校之间相互联系与信息资源共享，逐渐实现教育科研信息共享，各种功能齐全网络管理系统。校园局域网项目实现后，将极大提升学校在日常教学信息管理、人员办公自动化、计算机辅助教学、教学资源制作自动化、图书与情报检索等重要服务上效率。校园局域网规划设计目标：（1） 实现校园内部资源共享学校领导与教师能通过及时、准确地查询教学活动中信息，掌握当前教学情况。并通过对信息统计、汇总及分析，为教学、科研管理提供服务，同时对学校各级管理层对学校规划、组织、决策提供了便捷信息渠道与科学管理手段，及时有效指定、修改教学计划。（2） 完备数据库管理系统与资源库能够支持大量图文声像素材、多媒体课件片段，数据文件收集、管

6、理、存储提取。数据算法需要检索方便，容错性强。（3） 以教学资源库为核心教学自学环境为学校教师提供制作环境、备课工具、良好教学演播环境以及教学评估机制。为学生提供自主学习、交互式协作学习、发现探究式学习良好学习环境与提供自我评价机制。利用现代教育技术，提高学生素质，改革课堂教学模式。（4） 现代化管理方法与管理手段加强对学校人、财、物管理，提高办公效率、降低成本消耗，逐步实现办公自动化、网络化。（5） 实现校园网及互联网连接建立学校主页、教师主页、学生个人主页、电子邮箱、电子公告牌等信息发布窗口，发布有关教育教学信息，建立起学校、教师、家长、学生之间信息交流平台，并逐步发展建设成为一个面向全省

7、、全国教育教学信息网站。一、 校园网总体规划设计网络总体设计是建设校园网工程蓝图，是搭建一个安全有效校园网一个最重要任务。进行总体设计首先需要对象研究与需求调查，对学校信息化要求有个明确描述。其次在需求分析基础上进行网络总体架构规划，确定学校Internet服务类型，进而确定建设具体目标，在这基础上来设计网络拓扑结构，规划设计原则。（一） 校园局域网需求本文校园网工程假设范围主要有教学楼、图书管、学生宿舍楼及实验楼在内四个局域网部分。校园局域网主要需求是高速、安全、便捷地传送信息，且能够安全稳定运行，在某些时刻承受高强度访问，至少能满足千人以上网络应用需求。初期设计对响应时间不做特殊要求，但为

8、了存储数据与备份数据，网管中心必须建立磁盘阵列。最大限度地考虑采用符合发展趋势新技术，网络设备必须采用成熟先进技术，所采用标准要求统一，支持目前业界最新网络协议，网络标准必须符合国际/国家标准，并且拥有广泛支持厂商；网络设备要求具有高可靠性、高稳定性与高可用性；网络设备要求提供足够宽带，以适应校园网上信息结构多样化，要求支持虚拟网与第三层交换，形成分布式三层交换网；网络设备要求具有扩展性与可升级性，能够适应用户数量扩展，能够保证未来网络升级时平稳衔接，保证网络通信介质、网络基本设计核心向后兼容性；要求网络易于管理，支持网络拓扑视图、网段及端口监控；网络流量及错误统计，具备计费管理、故障定位、诊

9、断、修复与自动隔离等功能；要求网络具有高安全性。在要求网络具有开放性同时，要求保证其安全性。（二） 网络总体架构规划1. 网络技术选择目前常见局域网类型包括：光纤分布式数据接口(FDDI)、异步传输模式(ATM)、千兆以太网等，它们在拓扑结构、传输介质、传输速率、数据格式等多方面都有许多不同。三种技术比较如下表1-1所示。表 1-1 网络技术对比表项目FDDIATM千兆以太网传输速率100M155M/622M101000M访问方式Token Protocol信元交换带优先级CSMA/CD介质类型双绞线、光纤双绞线、光纤双绞线、光纤价格高中中拓扑结构双环结构星型结构星型结构从表中明显看出千兆以太

10、网技术优势明显，它支持10M、100M乃至1000M各种通信速率，并有向更高带宽(10G及以上)发展趋势。如今正在发展IP交换技术也是基于以太网，结合第三层交换机路由功能，构造几个乃至几十、几百个G带宽网络。另外，由于主要业务系统是建立在IP平台上，以太网技术是IP网络最好通信技术之一。采用标准以太网可以实现VLAN，而VLAN在很大程度上是保证网络高效与安全重要手段。2. 校园网络拓扑网络结构采用星形网络拓扑结构，以网络中心核心交换机为中心节点。整个网络结构采用两层结构：汇聚层交换机用于汇接技术接入交换机，接入层交换机用于接到桌面计算机，对信息点较多部门可采用级联下一级普通交换机进行访问。校

11、园网络工程涉及主要建筑包括教学楼、宿舍楼、图书馆、实验楼等。校园网总拓扑设计如图1-1所示。图1-1 校园网总拓扑图中心机房设置一台千兆核心交换机，负责整个校园网所有节点数据交换，在教学楼，宿舍楼，图书馆，实验楼等地方分别设置二级交换机节点，接入层交换机通过二级节点及核心交换机连接。联网技术上采用三层交换网络，主干网络采用交换式 1000M 以太网连接技术，主要用于各楼间核心设备之间以及上连到广域网设备。办公楼、教学楼、图书馆、宿舍楼之间采用光纤以全连接拓扑结构通过 1000M 交换机进行连接。接入层采用快速交换式以太网通过 5 类双绞线按照星型拓扑结构进行连接，使内网可以达到百兆。整个校园网

12、设计有一个外网出口到 Internet，带宽为 100M。（三） 网络设备选型1. 核心层网络核心层作为校园网系统心脏，实现子网之间路由，提供全线速数据交换，当网络流量较大时，对关键业务服务质量提供保证。另外，作为整个网络交换中心，在保证高性能、无阻塞交换同时，还必须保证网络稳定可靠运行。因此在核心设备选型与结构设计上必须兼顾考虑整体网络高性能与高可靠性。考虑到学校网络应用复杂性与多样性，核心层网络交换机选型必须具备高性能、高可靠性与高可扩展性，主要包括，硬件如电源、管理模块、交换模块等是否支持冗余配置，软件如是否提供路由器冗余、端口聚合（Port Trunking）、生成树协议（STP、RS

13、TP）等实现可靠性功能协议。结合以上要求，本次设计选用高性能、多协议 Cisco Catalyst 6509 模块化交换机作为园区网络核心。Cisco 6509 交换机参数配置如下： 产品类型：企业级交换机 应用层级：四层 传输速率：10/100/1000Mbps 交换方式：存储-转发 背板带宽：720Gbps 包转发率：387Mpps MAC地址表：64K 端口结构：模块化 扩展模块：9个模块化插槽 传输模式：支持全双工 网络标准：，/ad VLAN：支持 QOS：支持 网络管理：CiscoWorks2000，RMON，增强交换端口分析器（ESPAN），SNMP，Telnet，BOOTP，T

14、FTP2. 汇聚层网络汇聚层介于核心层与接入层之间，主要负责接入交换机汇聚，并及核心交换机互联，分级实现校园网 VLAN 之间路由，进行子网内部数据交换、转发，提供流量控制与用户管理。根据网络拓扑结构，该院有教学楼、实验楼、学生宿舍区、服务器群、图书馆等 5 个汇聚节点，均选用Cisco Catalyst 4506 交换机提供本区域内第三层交换与路由功能。同时把整个网络区域根据部门或功能划分到这五个汇聚节点，进行 VLAN 划分与管理，并实现 VLAN 间通信及访问控制。Catalyst 4500 系列交换机是中端、中等密度模块化交换机，它们提供了强大2/3/4 层智能服务。每台 Cisco4

15、506 交换机配置一块 4 口万兆模块，用于与核心层交换机以及部分关键汇聚层设备实现万兆互连，同时配置一块 18 口千兆光纤模块，用于及接入层交换机互联及今后发展备用插槽。Cisco4506主要参数： 产品类型：企业级交换机 应用层级：四层 传输速率：10/100/1000Mbps 交换方式：存储-转发 背板带宽：100Gbps 包转发率：75Mpps 端口结构：模块化 扩展模块：1个超级引擎插槽数+5个线路卡插槽 传输模式：支持全双工 网络标准：， VLAN：支持 QOS：支持 网络管理：SNMP管理信息库(MIB)II，SNMP MIB扩展，桥接MIB(RFC 1493)3. 接入层网络接

16、入层作为用户接入网络终端，该层主要功能是：提供各种标准接口将数据接入到网络与确定基于端口 VLAN 成员及数据流过滤。接入层网络使用Cisco Catalyst 2960每个交换组最多提供144个终端接入。其主要功能是为园区网用户提供高性价比10/100兆网络接口，实现用户宽带接入。并及汇聚层通过千兆链路互连，为接入用户提供高速上连。Cisco Catalyst 2960主要参数： CISCO WS-C2960-24-S主要参数： 产品类型：智能交换机 应用层级：二层 传输速率：10/100Mbps 产品内存：DRAM内存：64MB FLASH内存：32MB 交换方式：存储-转发 背板带宽：1

17、6Gbps 包转发率： MAC地址表：8K4. 路由器选择校园网边界路由器选择CISCO 2911/K9主要参数： 路由器类型：多业务路由器 网络协议：IPv4，IPv6，静态路由，IGMPv3，PIM SM，DVMRP，IPSec 传输速率：10/100/1000Mbps 端口结构：模块化 广域网接口：3个 其它端口：2个外部USB闪存插槽 1个USB控制台端口 1个串行控制台端口 1个串行辅助端口 防火墙：内置防火墙 Qos支持：支持 VPN支持：支持 产品内存：DRAM内存：512MB，最大2GB FLASH内存：256MB 其它性能：基于硬件嵌入式密码加速（IPSec+SSL）5. 服

18、务器选择服务器群组统一使用计算机代替，上面搭建win2003 Server企业高级版。综上所述，我们网络设备选型方案为，核心层采用 CiscoC3560X 核心交换机，汇聚层采用Cisco4506 智能交换机，接入层采用 Cisco2960 网管交换机，内置防火墙CISCO 2911/K9多业务路由器。（四） 校园网安全策略及安全防御措施随着网络快速发展，网络安全问题日益突出，黑客攻击、网络病毒等在日常日常生活中屡见不鲜，各种各样安全问题开始困扰网络管理人员。这些安全问题主要表现在：不良信息传播，病毒危害，非法访问，恶意破坏，口令入侵等1。随着关键应用普及与深入，网络用户快速增加，校园网络从早

19、期教育、科研试验网角色已经转变成为教育、科研与服务并重带有运营性质网络，如何保证网络信息安全已经成为影响学校存及发展亟待解决关键问题之一。另外，一个高效、实用且安全网络环境，对于教师、学生、管理人员信息传递，信息搜集，教育学习等都有着十分重要而深远意义1 William Stallings 著.网络安全基础.北京:清华大学出版社。本次设计三层校园局域网中采用边界路由、核心交换机在内二层安全防御。第一层保护有边界路由实现。选用具有防火墙功能 Cisco 路由器，路由器上配置访问控制列表，通过访问规则，控制与过滤经过路由器数据流，隔离外网与内网，防止外部用户对内部网络不安全访问，可有效防止各服务器

20、受到来自外部破坏。第二层防护由核心交换机提供。核心交换机上部署防火墙模块，可有效地防止内部攻击2 （美）yusuf bhaiji(著) 田果;刘丹宁(译).网络安全技术与解决方案（修订版），人民邮电出版社，。（五） 本章小结本章通过对现有主要网络技术分析及比较，确定本校园网络采用千兆以太网技术路线，并设计出校园网络总拓扑，选择了硬件设备品牌型号，同时对校园网络安全形式与防御措施做出描述。二、 VLAN 划分及参数配置（一） VLAN划分VLAN（Virtual Local Area Network）称为虚拟局域网，是指在逻辑上将物理LAN分成不同小逻辑子网，每一个逻辑子网就是一个单独播域。简单

21、地说，就是将一个大物理局域网（LAN）在交换机上通过软件划分成若干个小虚拟局域网（VLAN）。因为交换机通信原理就是要通过“广播”来发现通往目MAC地址，以便在交换机内部MAC数据库建立MAC地址表，而广播不能跨越不同网段3。3 梁广民，王隆杰编著.思科网络实验室CCNP(交换技术)实验指南.电子工业出版社，2012年5月.42-52技术出现，使得管理员根据实际应用需求，把同一物理局域网内不同用户逻辑地划分成不同广播域，每一个VLAN都包含一组有着相同需求计算机工作站，及物理上形成LAN有着相同属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个 VLAN内各个工作站没有限制在同一个物理

22、范围中，即这些工作站可以在不同物理LAN网段。由VLAN特点可知，一个VLAN内部广播与单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络安全性。 VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴发生，以及使网络拓扑结构变得非常灵活优点外，还可以用于控制网络中不同部门、不同站点之间互相访问4 （美）戴伊（Dye,M.A.），（美）麦克唐纳（McDonald,R.）,(美)鲁菲（Rufi,A.W.）著.思科网络技术学院教程.CCNA Exploration：网络基础知识.人民邮电出版社，2009年1月.46-88。VLAN 基本上可以看成一个

23、广播域，在物理网络基础上，能根据需要灵活地设置出许多逻辑网络，从而摆脱了物理地域限制，以及因为位于布线柜或者路由器附近而造成对用户组限制，能根据用户实际需要灵活地建立逻辑专用网络，使网络更安全、更便于管理、更畅通与带宽更有保证。根据学院校园网使用实际情况，提出校园网VLAN 建设规划，见表2-1。表2-1 VLAN规划表子网名称IP 网段默认网关备注服务器群192. 168. 1. 0/24192. 168. 1. 2Vlan2学生宿舍192. 168. 2. 0/24192. 168. 2. 2Vlan3实验楼192. 168. 3. 0/24192. 168. 3. 2Vlan4教学楼19

24、2. 168. 7. 0/24192. 168. 7. 2Vlan5图书馆192. 168. 8. 0/24192. 168. 8. 2Vlan6（二） VLAN配置1. 交换机选择交换机分为二层交换机与三层交换机两种类型，其中二层交换机工作原理是：（1）当交换机从某个端口收到一个数据包，它先读取包头中源MAC地址，这样它就知道源MAC地址机器是连在哪个端口上5；5 梁广民，王隆杰编著.思科网络实验室CCNP(路由技术)实验指南.电子工业出版社，2012年3月.77-822）再去读取包头中目MAC地址，并在地址表中查找相应端口；（3）如表中有及这目MAC地址对应端口，把数据包直接复制到这端口上

25、；（4）如表中找不到相应端口则把数据包广播到所有端口上，当目机器对源机器回应时，交换机又可以学习一目MAC地址及哪个端口对应，在下次传送数据时就不再需要对所有端口进行广播了。不断循环这个过程，对于全网MAC地址信息都可以学习到，二层交换机就是这样建立与维护它自己地址表。可以看出二层交换机没有路由功能，当不同子网进行通信是要借助路由器实现数据包转发，所以当子网数量较多时，路由器接口数量就成了一个瓶颈，而三层交换机就能解决这一缺点。三层交换机最重要功能是加快大型局域网络内部数据快速转发，加入路由功能也是为这个目服务。因此具有路由功能快速转发三层交换机就成为首选。核心层功能主要是实现骨干网络之间优化

26、传输,核心层设计任务重点通常是冗余能力、可靠性与高速传输。网络控制功能最好尽量少在核心层上实施。核心层一直被认为是所有流量最终承受者与汇聚者，所以对核心层设计以及网络设备要求十分严格。基于端口vlan划分这是最常应用一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议交换机都提供这种VLAN配置方法。这种划分VLAN方法是根据以太网交换机交换端口来划分，它是将VLAN交换机上物理端口与VLAN交换机内部PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立VLAN交换机。从这种划分方法本身我们可以看出，这种划分方法优点是定义VLAN成员时非常简单，只要将所

27、有端口都定义为相应VLAN组即可6。适合于任何大小网络。它缺点是如果某用户离开了原来端口，到了一个新交换机某个端口，必须重新定义。（三） 核心交换机Core-SW配置1. 核心交换机配置VTP Server交换机 VTP 更新信息所有计划必须配置在同一管理域。所有交换机都通过中继线相连，在核心交换机上设置了一个管理域，校园网上所有交换机都加入该域，这样同一管理域中所有交换机就能够了解彼此 VLAN 列表。进入 VLAN 配置模式Core-SW#vlan database设置 VTP 管理域名称为xiaoyuanCore-SW(vlan)#vtp xiaoyuan设置交换机为服务器模式Core-

28、SW (vlan)#vtp server设置交换机为 server 模式是指允许在本交换机上创建、修改、删除 VLAN 及其它一些对整个 VTP 域配置参数，同步本 VTP 域中其它交换机传递来最新 VLAN 信息；client模式用于同步本 VTP 域中其他交换机传递来 VLAN 信息，分支交换机设置为 client 模式。2. 配置中继（Trunk）配置中继，使 VTP 管理域能够覆盖所有分支交换机。Trunk 是一个在交换机之间、交换机及路由器之间传递 VLAN 信息与 VLAN 数据流协议，将交换机之间直接相连端口配置为 dot1q 封装，就可跨越交换机进行整个网络 VLAN 设置。C

29、ore-SW (config-if)#switchport trunk encapsulation dot1qCore-SW(config-if)#switchport mode trunkCore-SW(config-if)#int fa 0/2Core-SW(config-if)#switchport trunk encapsulation dot1qCore-SW(config-if)#switchport mode trunkCore-SW (config-if)#int fa 0/3Core-SW(config-if)#switchport trunk encapsulation d

30、ot1qCore-SW(config-if)#switchport mode trunkCore-SW(config-if)#int fa 0/4Core-SW(config-if)#switchport trunk encapsulation dot1qCore-SW(config-if)#switchport mode trunkCore-SW(config-if)#int fa 0/5Core-SW(config-if)#switchport trunk encapsulation dot1qCore-SW(config-if)#switchport mode trunkCore-SW(

31、config-if)#int fa 0/6Core-SW(config-if)#switchport trunk encapsulation dot1qCore-SW(config-if)#switchport mode trunk3. 创建vlan及端口划分在 VTP 属性为 server 核心交换机上建立 VLAN信息，它就会通过 VTP 通告整个管理域中所有交换机。另外，在相应交换机上配置将各自端口划入各个 VLAN。如2-1所示图2-1 vlan划分4. 配置IP为了实现 VLAN 间三层交换，再给各 VLAN 分配相应 IP 地址。采用分配静态 IP地址方法，在核心交换机上设置如下：

32、Core-SW(config-if)#int vlan 1Core-SW (config-if)#Core-SW (config-if)#no shutCore-SW (config-if)#int vlan 2Core-SW(config-if)#Core-SW (config-if)#no shutCore-SW (config-if)#int vlan 3Core-SW(config-if)#Core-SW (config-if)#no shutCore-SW (config-if)#int vlan 4Core-SW(config-if)#Core-SW (config-if)#no

33、shutCore-SW (config-if)#int vlan 5Core-SW(config-if)#Core-SW(config-if)#no shutCore-SW (config-if)#int vlan 6Core-SW(config-if)#Core-SW (config-if)#no shut5. SW1开启路由中心交换机开启路由功能Core-SW(config)#int fa 0/1/关闭二层端口，配置IP地址Core-SW(config-if)#no switchport/三层端口，配置IPCore-SW(config-if)#ip add 192.168.10.2Core

34、-SW (config-if)#no shut/开启路由功能Core-SW (config)#ip routing/运行rip协议Core-SW (config)#router ripCore-SW (config-router)#ver 2Core-SW(config-router)#no auCore-SWCore-SWCore-SWCore-SWCore-SWCore-SWCore-SW(（四） Server-SW配置1. 配置Server-SW中继（Trunk）Server-SW (config-if)#vtp xiaoyuanServer-SW (config-if)#vtp mod

35、e clientServer-SW (config-if)#int fa 0/1Server-SW(config-if)#switchport mode trunk2. Server-SW端口配置Server-SW (config-if)#int fa 0/2Server-SW(config-if)#switchport mode accessServer-SW(config-if)#switchport access vlan 2Server-SW(config-if)#int fa 0/3Server-SW(config-if)#switchport mode accessServer-S

36、W(config-if)#switchport access vlan 2Server-SW (config-if)#int fa 0/4Server-SW(config-if)#switchport mode accessServer-SW (config-if)#switchport access vlan 2Server-SW(config-if)#int fa 0/5Server-SW(config-if)#switchport mode accessServer-SW(config-if)#switchport access vlan 2Server-SW(config-if)#in

37、t fa 0/6Server-SW (config-if)#switchport mode accessServer-SW(config-if)#switchport access vlan 2（五） 配置学生宿舍交换机Student-SW(config)#vtp domain xiaoyuanStudent-SW (config)#vtp mode clientStudent-SW (config)#int fa 0/1Student-SW(config-if)#switchport trunk encapsulation dot1qStudent-SW(config-if)#switchp

38、ort mode trunkStudent-SW(config)#int fa 0/2Student-SW(config-if)#switchport mode accessStudent-SW(config-if)#switchport access vlan 3三、 路由器配置防火墙路由器在网络中实现内外网转换，即校园网内所有主机要访问外网必须要经过所有地址转换。路由器一个端口采用s端口，一个是千兆以太网链路。路由器通过动态链路及外网相连，通过千兆以太网链路及内网192.168.1相连。（一） 基本IP设置Border-R (config)#interface FastEthernet0/

39、0Border-R(config-if)#ip address 192.168.1Border-R(config)#interface Serial2/0Border-R（二） NAT设置Border-R(config-if)#int s2/0Border-R(config-if)#ip nat outsideBorder-R(config)#int fa 0/0Border-R (config-if)#ip nat insideBorder-R (config)#router ripBorder-R(config-router)#version 2Border-R(config-router

40、)#no auBorder-R(config-router)#default-information originateBorder-R(config-router)#network 192.168.1Border-RBorder-R (config)#acc 1 per Border-R(config)#ip nat ins so list 1 int s2/0 overload（三） 校园网边界路由器配置Border-R (config)#int fa 0/0Border-R Border-R (config-if)#no shutBorder-R(config)#int s2/0Bord

41、er-R Border-R (config-if)#no shutBorder-R(config)#router ripBorder-R (config-router)#ver 2Border-R(config-router)#no auBorder-RBorder-R (config-router)#default-information originate（四） 通过NAT技术实现内网访问internetBorder-R Border-R Border-R Border-R Border-R Border-R Border-R Border-R (config)#int s2/0Borde

42、r-R (config-if)#ip nat outsideBorder-R(config)#int fa 0/0Border-R (config-if)#ip nat inside Border-R(config-if)#endBorder-R (config)#ip route 0.0.0.0 0.0.0.0 s2/0 （五） 显示路由表Border-R#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O

43、 - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic d

44、ownloaded static routeR 192.168.1.0/24 120/1 via 192.168.10.2, 00:00:16, FastEthernet0/0120/1 via 192.168.10.2, 00:00:16, FastEthernet0/0R 192.168.3.0/24 120/1 via 192.168.10.2, 00:00:16, FastEthernet0/0R 192.168.7.0/24 120/1 via 192.168.10.2, 00:00:16, FastEthernet0/0R 192.168.8.0/24 120/1 via 192.

45、168.10.2, 00:00:16, FastEthernet0/0C 192.168.10.0/24 is directly connected, FastEthernet0/0C 202.1.1.0/24 is directly connected, Serial2/0S* 0.0.0.0/0 is directly connected, Serial2/0（六） 模拟ISP环境出口路由R2配置R2(config)#int s2/0R2(config-if)#ip add 202.1.1.2 255.255.255.0R2(config-if)#no shutR2(config-if)#

46、clock rate 64000R2(config-if)#exitR2(config)#int fa 0/0R2(config-if)#ip add 10.1.1.1R2(config-if)#no shutR2(config-if)#exit四、 服务器配置（一） DHCP服务器配置DHCP服务器IP配置如下图4-1所示图4-1 DHCP服务器IP配置（二） WWW服务器配置www服务器IP配置如下图4-2所示图4-2 WWW服务器配置（三） DNS服务器配置DNS服务器配置如下图4-3所示图4-3 DNS服务器配置（四） FTP 服务器配置FTP服务器配置如下图4-4所示图4-4FTP服务器配置五、 网络安全控制校园网络安全问题是网络建设重点之一，本次设计中采用边界路由、核心交换机在内二层安全防御。第一层保护有边界路由实现。选用具有防火