校园网的设计与实现毕业设计罗

毕 业 论 文课题名称 校园网的设计与实现 专 业 计算机网络专业 指导教师 学生姓名 完成时间 2009年12月28日 29毕业设计任务书毕业设计任务书指导老师： 一、毕业设计课题名称校园网的设计与实现二、毕业设计任务毕业设计任务要求学生根据校园网的需求进行分析，规划并设计一个网络，得出一个具体的拓朴结构图，并对网络设备、服务器、计算机进行选型和安装配置，实现各种网络功能，满足校园网的需求。具体需求如下（物理结构以本校的为参照）：1.要向外发布自己的网站内容，实现广域网的连接。2.为满足教学和学习的需要，在校园网内有一个FTP服务为学生和老师提供教学资源共享。3.为了数据安全和方便管理，学院各个部门分配置一个不同的VLAN。4由于我院从物理上分成了三块区域：南院、东院和校办工厂，总部在南院，由于南院与东院距离不远，架设了一根专用光纤，南院与校办工厂距离较远，请用VPN实现连接。5为了方便用户与网络管理，在校园网中实现动态地址分配，并且要满足第3点的需求。6为了方便员工（因为学院统一发了笔记本电脑）办公，在校园网中架设无线信号发送点，并进行用户与安全控制。7.统一控制学生上网的时间范围在周末。三、毕业设计要求根据培养高级技术实用人才这一目标的要求，选题从实际情况、计算机网络应用基本范畴出发，选取适合于高职学生要达到的实际能力和水平，培养学生综合运用所学的知识与技能分析与解决问题的能力，并巩固和扩大学生的课堂知识专题作为毕业设计题目。同时应能使学生在规定的时间内，经过努力可以按时完成设计，取得相应的成果。对于有些可能超出所学知识范围的题目，应该通过自学或在实践中学习进行弥补。通过毕业设计，提高学生的计算机专业技能，培养学生的文献检索能力、开发设计能力、创新思维能力、独立工作能力与协作工作能力、培养学生严谨务实的科学作风与奉献精神，使学生受到科学研究、专业设计和撰写技术报告的基本训练。四、毕业设计过程及进度计划1.校园网总体规划与设计阶段（一周）；2.校园网中网络设备的安装和配置、各个服务的实现和优化（四周）；3.局域网测试修改完备阶段（二周）；4.撰写毕业设计论文阶段（二周）；5.毕业答辩（一周）；五、毕业设计论文格式要求毕业设计论文或报告主要包括以下部分：（1）封面（2）毕业设计任务书（3）摘要与关键词（4）目录（5）引言（6）正文（7）参考文献六、毕业设计答辩程序及准备要求1、答辩程序（1）介绍毕业设计情况及本人主要完成的设计内容，时间为5分钟。（2）答辩老师提出2-3个问题，由答辩人回答，回答问题时间为10分钟。2、准备要求（1）答辩时必须提供光盘、毕业设计论文或报告。（2）准备好个人讲述提纲，制作PPT。七、毕业设计评分标准依据学院毕业设计评分表，制作如下评分标准：1、 设计过程（30分）：基本专业知识掌握情况（10分）、分析解决问题能力方面（12分）、工作态度及遵守纪律情况（8分）。2、 设计成果（40分）：固定任务完成情况（10分）、设计原理数据方面（10分）、论文质量方面（12分）、设计创新或实用方面（8分）。3、 答辩情况（30分）：对设计的阐述方面（15分）、回答问题情况（15分）。前 言如今已进入信息时代，衡量一个学校的实力和办校水平的一项重要指标，那就是看看她能否很好的利用Internet的信息资源。构造校园网可以方便学校师生之间的交流，也可以实现广大师生获取Internet信息资源。充分利用好校园网提供的功能为现代化教学、科研、学校管理和办公自动化提供平台。如此看来，校园网的建设已成为现代学校与时俱进、开创现代教育新面貌的必然选择。湖南铁道职业技术学院是一所极具现代意识、以现代化教学为特色的学校。为了更好地使用电脑这一现代化的高科技产物，使其在各系教学、各部门管理等方面发挥应有的作用，现在就对学校校园网并与国际互连网（Internet）相连作分析。我院从物理上分成了三块区域：南院、东院和校办工厂，总部在南院，由于南院与东院距离不远，架设了一根专用光纤。而南院与校办工厂距离较远，用到VPN技术来实现连接，以满足校园内计算机系统的需要。校园网设计主导：对用户的需求进行了定量分析。站在学校的立场上为用户“度身定制”出这个网络方案。采用Intel全线产品，从主交换机到服务器，从网络集线器到CPU，从多媒体教学软件到网络管理软件。真正实现了“现代化素质教育与Intel先进技术的完美结合”。 摘 要本论文主要从校园网的需求分析，总体网络的设计，网络中所需技术的详细配置，网络服务的配置，网络检测及网络安全等方面进行详细的分析与设计。根据我校的实际情况我设计出一套方案，在论文中有校园网的设计及各种技术、服务的实现以及维护方法。在组建校园网中，我采用了如下技术：1.为了方便各个部门管理，所以我在汇聚层交换机中划分VLAN，配置VTP，从而加强网络的安全性及灵活性，同时可以控制网络中的广播风暴；2.为了合理利用IP地址及节约资源，学校内网访问外网的时候通过路由器做NAT的配置来实现IP地址的转换，这样就隐藏了内网的IP地址从而提高内网的安全性；3.学校跟校办企业是一体的，我采用了VPN技术，实现安全、高速的连接；4.为了让内网中的网站发布到外网中去，我配置WEB服务器；5.为了方便老师、学生上传和下载资料，我配置了FTP服务器；6.在内网中配置了DNS服务器，以提供更快更高效地域名解析服务；在这里我只介绍了本文核心部分，详细的设计在后面的论文中具体讲述。关键词：校园网 VPN NAT 服务器配置校园网设计与实现 第二章 需求分析 目 录第一章 需求分析11.1 校园网总体需求11.2 校园网的具体需求1第二章 总体网络设计22.1 网络系统设计22.1.1 校园网内部网络设计22.1.2 校园网接入Internet设计32.1.3 大致的信息点的采集32.1.4 信息点的设计42.2 设备选型52.2.1 确定交换机数量52.2.2 核心交换机选型52.2.3 汇聚层交换机选型62.2.4 接入层交换机选型62.2.4 路由器选型72.2.5 服务器选型72.2.6 防火墙选型8第三章 详细设计93.1 VLAN设计93.1.1 VLAN划分93.1.2 VTP概述103.1.3 VTP的配置103.2 网络地址转换113.2.1 NAT的概述113.2.2 NAT的配置113.3 DNS的配置133.4 DHCP服务器143.4.1 DHCP的概述143.4.2 DHCP的配置143.5 WEB服务器143.5.1 HTTP协议概述153.5.2 Web服务器的配置153.6 FTP服务器183.6.1 FTP的概述183.6.2 FTP的配置183.7 Internet互联设计213.7.1 VPN的概述213.7.2 VPN的特点213.7.3 IPSec的概述213.7.4 IPSec VPN的特点213.7.5 IPSec VPN的配置22第四章 网络测试254.1 WEB服务器测试254.2 FTP服务器测试254.3 DHCP服务器测试264.4 VTP的测试26第五章 网络管理和安全285.1 网络管理285.1.1 IP地址的管理285.1.2 组策略和域管理285.1.3 数据管理285.1.4 Internet服务器的管理285.1.5 交换机和路由器的管理285.2 网络安全29第六章 总 结30致 谢31参考文献32第一章 需求分析1.1 校园网总体需求今天组建的校园网就是按照我们学校的实际网络来组建的，这样既能结合实际同时也能对我们学校现有网络的不足之处有个重新认识，为学校以后的网络拓展提供一定依据。下面就是我们学校现在的总体需求：1. 连接校内所有教学楼、宿舍楼、办公楼等的PC。2. 同时支持约2000用户浏览Internet。3. 提供丰富的网络服务，实现广泛的软件，硬件资源共享，包括：(1) 提供基本的Internet网络服务功能：如电子邮件、文件传输、远程登录、新闻组讨论、电子公告牌、域名服务等。(2)提供校内各个管理机构的办公自动化： 提供财务查询，报账服务。 提供受存取权控制的文件、档案查询服务。 提供贵重设备仪器及其它设备信息的管理服务。 提供各学科专业资料数据库服务。 提供学校自己的管理信息系统（MIS）。（3）提供图书，文献查询与检索服务，增强校图书馆信息自动化能力。（4）全校共享软件库服务，避免重复投资，发挥最大效益。（5）提供CAI教学和科研的便利条件。1.2 校园网的具体需求要向外发布自己的网站内容，实现广域网的连接。为满足教学和学习的需要，在校园网内有一个FTP服务为学生和老师提供教学资源共享。为了数据安全和方便管理，学院各部门配置一个不同的VLAN。为了方便用户与网络管理，在校园网中实现动态地址分配。由于我院从物理上分成了三块区域：南院、东院和校办工厂，总部在南院，由于南院与东院距离不远，架设了一根专用光纤，南院与校办工厂距离较远，请用VPN实现连接。第二章 总体网络设计第二章 总体网络设计根据校园网的需求分析，网络结构采用了三层结构设计，即核心层、汇聚层和接入层。校园网主干采用1000Mbps、100Mbps 交换的桌面。根据学校地理位置，绘出其网络结构图。如下图所示：图2- 1 校园网网络拓扑图2.1 网络系统设计2.1.1 校园网内部网络设计校园网内部网络是组建在学校校园内的计算机应用网络，可以采用Intranet方式校园网内部网络。对我们学校而言，指的是图书馆、教学楼、实验楼和办公室四栋楼宇的网络互联建设。根据学院对网络的应用需求，我做了详细的设计，如上图所示，主干可以采用以太网结构，每栋楼与网络中心用多模光纤连接，百兆交换到桌面。各楼宇的网络设计如下：图书馆，网络中心设在图书馆的第二层楼，是接入Intranet和校园网内部的地方，图书馆其余信息点于百兆到桌面。教学楼和多媒体教学楼，安VOD视频点播系统设计，以满足远程视频点播需求。教室为教师教学、学生课后上网浏览信息服务，因此，每个信息点百兆到教室。实训楼，南院实训楼有两栋楼，分别为实训楼一、实训楼二。其中共有两百个信息点，两栋楼共有6个办公室，为实验老师的办公室接入校园网的信息点，现在就可以把这几个点的Ip地址划入办公室中。各层楼的计算机实验室，每个实验室有50台计算机，以百兆接入每个实验室，供学生上网浏览信息。办公楼，由于办公楼中都是办公室，教师上网处理的数据信息主要是普通文字数据。如管理信息资源、科研学术信息、图书资料信息、上网浏览信息。电子邮件和共享软件等各种信息，此类信息对校园网带宽的要求不高，并发信息不多。所以对办公室每个信息点均以百兆到桌面，办公楼所需交换机集中在机柜中，同样的将机柜安放于二楼，楼内布线采用超5类双绞线，从二楼用6芯多模光纤连接到网络中心。2.1.2 校园网接入Internet设计湖南铁道职业技术学院南院直接接入Internet，再通过VPN技术实现与校办工厂的连接，而与东院通过架设一根专用光纤来实现连接就可以达成我们要的目的。校办工厂直接接入Internet，并申请相应域名和IP地址。南院内部网络的地址由保留地址和真实地址混合使用，保证内部网络的安全。在每栋楼设置一个无线接入点，实现室内无线局域网主要针对不方便进行大规模布线或不宜布设太多信息点的建筑的通信如：图书馆、办公大楼、教学楼、网络教室、会议室、学生宿舍和J2的报告大厅等。2.1.3 大致的信息点的采集表 2- 1 信息点采集大楼楼层信息点信息点合计图书馆电子阅览室50500学生阅览室100网络中心100借书室50办公室200行政楼院部办公小红楼100330教务楼100综合楼130实验楼第一实训楼100500第二实训楼100东院实训楼300教学楼J1100360J230J4150续前表J580其他楼层招生就业（老图书馆）100200南院食堂50东院食堂50合计18902.1.4 信息点的设计校园网的组建中VLAN的划分很重要（具体介绍在本论文后面有详细介绍），所以下面是整个校园网的VLAN划分和IP地址分配方案，具体情况如下表所示：表 2- 2 VLAN的划分和IP地址分配方案大楼楼层VLANIP地址图书馆电子阅览室Vlan2172.16.11.0/16学生阅览室Vlan3172.16.12.0/16网络中心Vlan4172.16.13.0/16借书室Vlan5172.16.14.0/16办公室Vlan6172.16.15.0/16行政楼院部办公小红楼Vlan12172.16.16.0/16教务楼Vlan13172.16.17.0/16综合楼Vlan14172.16.18.0/16实验楼第一实训楼Vlan22172.16.19.0/16第二实训楼Vlan23172.16.20.0/16东院实训楼Vlan24172.16.21.0/16教学楼J1Vlan32172.16.22.0/16J2Vlan33172.16.23.0/16J4Vlan34172.16.24.0/16J5Vlan35172.16.25.0/16其他楼层招生就业（老图书馆）Vlan40172.16.26.0/16南院食堂Vlan50172.16.27.0/16东院食堂Vlan60172.16.28.0/16表 2- 3部分网络设备的IP地址的分配设备名称IP设置图书馆 Cisco Catalyst 3550IP：172.16.2.1/24网关：172.16.2.254行政楼 Cisco Catalyst 2960IP：172.16.3.1/24网关：172.16.3.254实验楼 Cisco Catalyst 3550IP：172.16.4.1/24网关：172.16.4.254教学楼 Cisco Catalyst 2960IP：172.16.5.1/24网关：172.16.5.254招生就业楼 CiscoCatalyst 2960IP:172.16.6.1/24网关：172.16.6.254南院食堂 Cisco Catalyst 2960IP:172.16.7.1/24网关：172.16.7.254表 2- 4部分服务器的IP地址的分配名称类型IP设置WEB服务器IP：172.16.10.10网关：172.16.10.254FTP服务器IP：172.16.10.10网关：172.16.10.254DNS服务器IP：172.16.10.11备用IP:172.16.10.2网关：172.16.10.254NAT转换内网：172.16.0.1外网：202.99.10.202.2 设备选型2.2.1 确定交换机数量如图2-1所示，我采用的是分层设计，首先需要确定每一层的交换机的数量。采用三层结构设计，各层交换机数量如下：核心交换机只需要一台。汇聚层交换机，由于网络中心设在图书馆内，因此图书馆不需要汇聚层交换机，其余用到两台。若干台接入层交换机，选择24口100Base-T交换机。2.2.2 核心交换机选型根据学院的规模和应用需求，主干为千兆、百兆到桌面，在这里用到的核心交换机是Cisco Catalyst 4507R。图2- 2 Cisco Catalyst 4507RCisco Catalyst 4507R是Cisco Catalyst 4500系列中的一款产品。其特点主要有： Cisco Catalyst 4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性，因而能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。4500系列中提供的集成式弹性增强包括11超级引擎冗余（只对Cisco Catalyst 4507R）、集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间，从而提高生产率、利润率和客户成功率。 2.2.3 汇聚层交换机选型图2- 3 Cisco Catalyst 3550汇聚层交换机只需要支持第三层交换，在这里选择Cisco Catalyst 3550交换机。Cisco Catalyst 3550系列是适用于中小型企业的一系列智能多层交换机，独立或堆叠配置均可。它们提供了高可用性、安全和服务质量特性，以改进网络运营。广泛的配置选项意味着，该系列可以作为适合中型企业的功能强大的接入层交换机，或适用于小型网络的骨干网交换机。2.2.4 接入层交换机选型图2- 4 Cisco Catalyst 2950接入层交换机需要支持VLAN划分，选用Cisco Catalyst 2950交换机。Cisco Catalyst 2950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列，提供了线速快速以太网和千兆位以太网连接。这是一款最廉价的Cisco交换产品系列，为中型网络和城域接入应用提供了智能服务。作为思科最为廉价的交换产品系列，Cisco Catalyst 2950系列在网络或城域接入边缘实现了智能服务。2.2.4 路由器选型接入Internet的路由器选择美国Enterasys 公司生产的X-Pedition 2400-256产品，如右图所示：X-Pedition 2400-256 工作组级交换式路由器专为多种企业网络功能而设计，包括：LAN骨干网、服务器均衡、工作著或外地分支机构的连接。图2- 5 X-Pedition 2400-256X-Pedition 2400-256 工作组级交换式路由器特点表现： 256 MB系统内存提供了企业级的可升级性。 所有其它功能使用时保持线速性能。 第一种支持广域网接口的工作组级交换式路由器。 集成的端到端解决方案的一部分。 从桌面到 WAN 精确的应用控制。 多层安全过滤器而不影响性能。 高度的可管理性，轻松的配置。2.2.5 服务器选型联想万全 R510 5112 S2.4GX2 512/36N 服务器如下图所示。其主要性能如下：图2- 61. Internet Xeon 2.4GHz/533CPU，512KB 二级缓存。2. 512MBRegisteredECCDDR 内存。3. 36GB10000转热插拔SCSI硬盘。4. 双千兆网卡，无键盘鼠标。联想万全R520 5122 S2.4GX2 512/36NP 服务器如下图所示。其主要性能如下：图2- 71. IntelXeon2.4GHz CPU。2. 512MB R Registered ECC DDR内存。3. 36/72GB转热插拔SCSI硬盘，最多支持6块硬盘。4. 集成双100/1000Mbps自适应以太网卡。2.2.6 防火墙选型图2- 8 CISCO PIX-525-UR-BUN主要特性和优点 Cisco端到端解决方案的组成部分，允许各公司将经济高效、无缝的网络基础设施扩展到分支机构。 最低的拥有成本、安装、配置简单，网络中断时间更少。另外，允许透明地支持Internet多媒体应用，不再需要实际调整和重新配置每一台客户工作站或PC机。基于标准的虚拟专网，使管理员可以降低通过Internet或其它公共IP网络将移动用户和远程站点与企业网络相连的成本。 自适应安全算法，为所有的TCP/IP对话提供静态安全性，以保护敏感的保密资源。 静态故障切换/热备用，提供高可用性，使网络可靠性最大。支持多达28万个同时连接，部署很少的防火墙就能极大地提高代理服务器的性能。防止拒绝服务攻击，保护防火墙及其后面的服务器和客户机不受破坏性的黑客攻击。 支持各种应用及全面降低防火墙对网络用户的影响。第三章 详细设计第三章 详细设计3.1 VLAN设计 根据结构图可知网络分层为三层结构，即接入层、汇聚层和核心层，接入层中分别接到不同的部门，采用到了VLAN划分技术，汇聚层要实现路由聚合及流量收敛，核心层实现高速数据转发。下面就网络结构图分析、VLAN划分、VTP及VPN技术等方面做详细的方案设计。接入层的设计，首先要考虑到用户的类型，比如说，实训楼既有教师办公室又有学生机房，这样就要区分好办公室和普通用户的资源需求和权限需求的差别，以确保网络安全，其他楼栋也一样存在这样的问题。所以在接入层可以用划分VlAN解决这一问题。VLAN（Virtual Local Area Network）的中文名为虚拟局域网。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。VLAN不但能将网络划分为多个广播域，从而有效地控制广播风暴的发生，使网络的拓扑结构变得非常灵活，还可以用于控制网络中不同部门、不同站点之间的互相访问。解决不同楼宇的办公室之间的通信，限制不同工作组间的用户互访，方便管理。3.1.1 VLAN划分根据各部门的设备要求规划绘画出如下结构图 图 3- 1划分VLAN，Pc1、Pc4、Pc7划入VLAN 2，Pc2、Pc5、Pc8划入VLAN 3，Pc3、Pc6、Pc9划入VLAN 4。Switch(vlan)#vlan 2 name vlan2 /创建VLAN2Switch(config)#int vlan 2 /进入VLAN2Switch (config-if)# ip add 172.16.11.12 255.255.255.0 /配置VLAN2的IPSwitch(config-if)#no shutdown /激活VLAN2Switch(config-if)#int fa0/2 /进入接口0/2Switch(config-if)#switchport access vlan 2 /将接口0/2划分到VLAN2中Switch(config-if)#switchport mode access /设置为接入模式Switch(config)#show vlan /查看vlan的配置信息另外将其他的接口都划分到VLAN 2中，配置方法同上。同样的方法配置其它vlan，将相应的接口划分到相应的VLAN中。汇聚层网络设计主要是跟接入层交换机的互连，可以通过使用VTP（VLAN Trunking Protocol）来实现配置。3.1.2 VTP概述VTP（VLAN Trunking Protocol）：是VLAN中继协议，也被称为虚拟局域网干道协议。它是一个OSI参考模型第二层的通信协议，主要用于管理在同一个域的网络范围内VLANS的建立、删除和重命名。在一台VTP Server 上配置一个新的VLAN时，该VLAN的配置信息将自动传播到本域内的其他所有交换机。这些交换机会自动地接收这些配置信息，使其VLAN的配置与VTP Server保持一致，从而减少在多台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。VTP通过网络(ISL帧或cisco私有DTP帧)保持VLAN配置统一性。VTP在系统级管理增加，删除，调整的VLAN，自动地将信息向网络中其它的交换机广播。此外，VTP减小了那些可能导致安全问题的配置。便于管理,只要在vtp server做相应设置,vtp client会自动学习vtp server上的vlan信息。3.1.3 VTP的配置在SW4上配置VTP域CISCO并创建名为VLAN10和VLAN20的VLAN20。把SW4启用VTP服务器模式，SW1、SW2、SW3作为VTP客户。Sw4(config)#vtpmodeserver /设置VTP服务器Sw4(config)#vtpdomaincisco /创建VTP域名为ciscoSw4(config)#vtppasswordxxx /设置VTP密码SettingdeviceVLANdatabasepasswordtoxxx配置SW1、SW2、SW3作为VTP客户Sw1(config)#vtpmodeclient /设为VTP客户端Sw1(config)#vtpdomainciscoSw1(config)#vtppasswordxxxSw2(config)#vtpmodeclientSw2(config)#vtpdomainciscoSw2(config)#vtppasswordxxxSw3(config)#vtpmodeclientSw3(config)#vtpdomainciscoSw3(config)#vtppasswordxxx可以在服务交换机做相关的配置，创建VLAN，配置IP，然后把PC主机加入相应的VLAN中，能使各栋楼的相同属性的部门进行通信，完成交换机的VTP配置。3.2 网络地址转换本论文的校园网的网络比较大型，内部需要的私有IP地址比较多，但是每台计算机都要实现与外网的连接，可是申请到的合法IP地址就几个，出现了IP缺乏的情况。为了解决这一情况我们特意在校园网中网络中采用了动态地址转换，这样所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。3.2.1 NAT的概述该校申请的合法IP地址有限，故我们使用NAT技术来解决IP不足的问题。而在NAT的实现方式我们选择了端口多路复用(Port address Translation,PAT)，PAT改变外出数据包的源端口并进行端口转换, 校园网内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，这样可以最大限度地节约IP地址资源。同时，又可隐藏校园网络内部的主机，有效避免来自Internet的攻击。3.2.2 NAT的配置 在外网接入到内网的路由器上设置NAT技术，采用了PAT端口复用技术，配置如下： 图 3- 2 NAT拓扑图1.设置外部端口。RouterA(config)#interface serial 0/0 /进入串行端口serial 0RouterA(config-if)#ip address 202.99.10.20 255.255.255.0 /设置IP地址RouterA(config-if)#ip nat outside /将串行口serial 0设置为外网端口2.设置内部端口。 RouterA(config)#interface fa0/0RouterA(config-if)#ip address 172.16.0.1 255.255.255.0 RouterA(config-if)#ip nat inside 3.定义合法IP地址池。 RouterA(config)#in nat pool cisco 202.99.10.20 202.99.10.21 netmask 255.255.255.0 指明地址缓冲池的名称cisco,IP地址范围为202.99.10.20,子网掩码为255.255.255.0。4.定义内部网络中允许访问Internet的访问列表。 RouterA(config)#access-list 1 permit 172.16.0.0 0.0.0.255 4.设置复用动态地址转换。 在全局设置模式下，设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。 RouterA(config)#ip nat inside source list 1 pool cisco overload /以端口复用方式，将访问列表1中的私有IP地址转换为cisco IP地址池中定义的合法IP地址。 (注意:overload是复用动态地址转换的关键词)至此，端口复用动态地址转换完成。查看NAT转换信息的命令有：Router(config)#show ip nat translation 。3.3 DNS的配置DNS是域名解析服务器，主要负责为内部网络做域名解析。建立主机名为www，IP为172.16.10.10，以此类推，把要解析的主机都加进来。如图3-3所示：图 3- 3 新建主机在重新启动服务器后，打开IE浏览器，即可在浏览器的地址栏中输入“”按回车即可进入该www站点。如图3-4所示：图 3- 43.4 DHCP服务器3.4.1 DHCP的概述DHCP是Dynamic Host Configuration Protocol的缩写，它是TCPIP协议簇中的一种，主要是用来给网络客户机分配动态的IP地址。这些被分配的IP地址都是DHCP服务器预先保留的一个由多个地址组成的地址集，并且它们一般是一段连续的地址。使用DHCP的优点：DHCP使服务器能够动态地为网络中的其他服务器提供IP地址，通过使用DHCP，就可以不给Intranet网中除DHCP、DNS和WINS服务器外的任何服务器设置和维护静态IP地址。使用DHCP可以大大简化配置客户机的TCPIP的工作，尤其是当某些TCPIP参数改变时，如网络的大规模重建而引起的IP地址和子网掩码的更改。3.4.2 DHCP的配置在汇聚层的交换机做如下配置：划分vlan，设置相应的ip，把端口加到相应的vlan中；建立名为xx的地址池；Ip dhcp pool xx设置可分配子网；Network 172.16.0.0 255.255.255.0设置DNS服务器；Dns-server 222.246.129.80 设置网关；Default-router 172.16.0.1设置需要保留地址段；Ip Dhcp Excluded-address 172.16.0.1 172.16.0.10指定地址租用期限；Lease x x x3.5 WEB服务器WWW的核心HTTP协议 众所周知，Internet的基本协议是TCP/IP协议， WWW服务器使用的主要协议是HTTP协议，即超文体传输协议。由于HTTP协议支持的服务不限于WWW，还可以是其它服务，因而HTTP协议允许用户在统一的界面下，采用不同的协议访问不同的服务，如FTP、Archie、SMTP、NNTP等。另外，HTTP协议还可用于名字服务器和分布式对象管理。 3.5.1 HTTP协议概述 HTTP是一个属于应用层的面向对象的协议，由于其简捷、快速的方式，适用于分布式超媒体信息系统。它于1990年提出，经过几年的使用与发展，得到不断地完善和扩展。目前在WWW中使用的是HTTP/1.0的第六版，HTTP/1.1的规范化工作正在进行之中，而且HTTP-NG(Next Generation of HTTP)的建议已经提出。 HTTP协议的主要特点可概括如下： 1.支持客户/服务器模式。 2.简单快速：客户向服务器请求服务时，只需传送请求方法和路径。请求方法常用的有GET、HEAD、POST。每种方法规定了客户与服务器联系的类型不同。 由于HTTP协议简单，使得HTTP服务器的程序规模小，因而通信速度很快。 3.灵活：HTTP允许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记。 4.无连接：无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求，并收到客户的应答后，即断开连接。采用这种方式可以节省传输时间。 5.无状态：HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息，则它必须重传，这样可能导致每次连接传送的数据量增大。另一方面，在服务器不需要先前信息时它的应答就较快。 建立信息服务的站点是Internet信息服务的主要内容之一。随着互联网应用的深入，越来越多的组织都依靠Web站点发布信息、组织业务活动和共享资源，而建立一个高效、稳定、可扩展的Web服务器则是对一个网站强有力的支持。根据向导，创建一个Web站点。3.5.2 Web服务器的配置 选择存放网站的主目录，设置权限。如图3-5所示：图 3- 5设置服务器IP地址和TCP端口为80，端口说明：80端口是为HTTP（HyperText Transport Protocol，超文本传输协议）开放的，这是上网冲浪使用最多的协议，主要用于在WWW（World Wide Web，万维网）服务上传输信息的协议。如图3-6所示：图 3- 6设置日志属性，一般新建日志时间设置为每小时。如图3-7所示：图 3- 7设置“文档”：确保“启用默认文档”一项已选中，再增加需要的默认文档名并相应调整搜索顺序即可。此项作用是，当在浏览器中只输入域名（或IP地址）后，系统会自动在“主目录”中按“次序”（由上到下）寻找列表中指定的文件名，如能找到第一个则调用第一个；否则再寻找并调用第二个、第三个如果“主目录”中没有此列表中的任何一个文件名存在，则显示找不到文件的出错信息。如图3-8所示：图 3- 8启动Web站点。上述设置后，我们的网站就可以启动了，在站点上点击右键选择启动，然后在浏览器里输入刚才指向的网址，就可以浏览你自己制作的网页了。在路由器里配置静态映射，把内部网站地址映射一个外部地址（服务商提供的地址域名）出去即可。3.6 FTP服务器3.6.1 FTP的概述FTP（File Transfer Protocol）是文件传输协议的简称。 FTP的作用，正如其名所示：FTP的主要作用，就是让用户连接上一个远程计算机（这些计算机上运行着FTP服务器程序）察看远程计算机有哪些文件，然后把文件从远程计算机上拷到本地计算机，或把本地计算机的文件送到远程计算机去。 FTP采用的端口，一个是数据端口，一个是控制端口，控制端口一般为21，而数据端口不一定是20，这和FTP的应用模式有关，如果是主动模式，应该为20，如果为被动模式，由服务器端和客户端协商而定。3.6.2 FTP的配置设置服务器IP地址：172.16.10.10，端口默认为21。如图3-9所示：图 3- 9选择目录，为了安全设置指定目录的访问权限。如图3-10所示：图 3- 10设置允许匿名连接选项一定要填上。否则用户访问此站点时需要用户名和密码。如图3-11所示：图 3- 11定义用户访问FTP站点和退出站点时的信息以及最大连接数。如图3-12所示：图 3- 123.7 Internet互联设计3.7.1 VPN的概述根据要求，可以通过VPN技术来实现与Internet及校办工厂的互联。VPN 即虚拟专用网，是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。VPN 架构中采用了多种安全机制，如隧道技术（ Tunneling ）、加解密技术（ Encryption ）、密钥管理技术、身份认证技术（ Authentication ）等，通过上述的各项网络安全技术，确保资料在公众网络中传输时不被窃取，或是即使被窃取了，对方亦无法读取数据包内所传送的资料。3.7.2 VPN的特点降低费用：首先远程用户可以通过向当地的ISP申请账户登录到Internet，以Internet作为隧道与企业内部专用网络相连，通信费用大幅度降低；其次企业可以节省购买和维护通讯设备的费用。 增强的安全性VPN通过使用点到点协议（PPP）用户级身份验证的方法进行验证，这些验证方法包括：密码身份验证协议（PAP）、质询握手身份验证协议（CHAP）、Shiva密码身份验证协议（SPAP）、Microsoft质询握手身份验证协议（MS-CHAP）和可选的可扩展身份验证协议（EAP）；并且采用微软点对点加密算法（MPPE）和网际协议安全（IPSec）机制对数据进行加密。以上的身份验证和加密手段由远程VPN服务器强制执行。对于敏感的数据，可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔，只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接，并且可以访问敏感部门网络中受到保护的资源。 网络协议支持：VPN支持最常用的网络协议，基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。 IP地址安全：因为VPN是加密的，VPN数据包在Internet中传输时，Internet上的用户只看到公用的IP地址，看不到数据包内包含的专有网络地址。因此远程专用网络上指定的地址是受到保护的。3.7.3 IPSec的概述IPSec提供站点间（例如：分支办公室到总部）及远程访问的安全联机。这是一种成熟的标准，全球各地许多厂家提供这种解决方案。IPSec/IKE事实上指的是IETF标准（从RFCs 2401 到 241X）的集合，包括密钥管理协议（IKE）和加密封包格式协议（IPSec）。IPSec/IKE可支持各种加密算法（DES、3DES、AES与RC4）及信息完整性检验机制（MD5、SHA-1）。3.7.4 IPSec VPN的特点IPSec是与应用无关的技术，因此IPSec VPN的客户端支持所有IP层协议。IPSec技术中，客户端至站点（client-to-site）、站点对站点（site-to-site）、客户端至客户（client-to-client）连接所使用的技术是完全相同的。IPSec VPN网关一般整合了网络防火墙的功能。3.7.5 IPSec VPN的配置 图 3- 13 VPN的拓扑图R1crypto isakmp policy 1 （建立IKE协商策略）authentication pre-share (路由器使用的预先共享密钥)crypto isakmp key benet address 202.10.3.2 （设置共享密码和对端地址） crypto ipsec transform-set r1 ah-md5-hmac （设置IPSEC 传输模式）crypto map www 1 ipsec-isakmp （创建Crypto Map）set peer 202.10.3.2set transform-set r1match address 101 (配置Crypto Map)interface Tunnel1 （建立隧道）ip address 172.16.1.1 255.255.255.0tunnel source 202.10.2.2tunnel destination 202.10.3.2interface Ethernet0/0 （配置接口IP地址）ip address 202.10.2.2 255.255.255.0ip nat outsideip virtual-reassemblyhalf-duplexcrypto map wwwinterface Ethernet0/2 （配置接口IP地址）ip address 10.1.1.1 255.255.255.0ip nat insideip virtual-reassemblyhalf-duplexip route 0.0.0.0 0.0.0.0 202.10.2.1 （默认路由）ip route 192.168.1.0 255.255.255.0 172.16.1.2 （静态路由 注：可以使用RIP OSPF）ip nat inside source list 1 interface Ethernet0/0 overload! （NAT地址转换应用到接口）access-list 1 permit 10.1.1.0 0.0.0.255 （NAT地址转换的访问控制列表）access-list 101 permit ip host 202.10.2.2 host 202.10.3.2 （Crypto 访问列表）R2interface Ethernet0/0 （配置接口IP地址）ip address 202.10.2.1 255.255.255.0half-duplexinterface Ethernet0/1 （配置接口IP地址）ip address 202.10.3.1 255.255.255.0half-duplexR3crypto isakmp policy 1authentication pre-sharecrypto isakmp key benet address 202.10.2.2crypto ipsec transform-set r3 ah-md5-hmaccrypto map qqq 1 ipsec-isakmpset peer 202.10.2.2set transform-set r3match address 101interface Tunnel2ip address 172.16.1.2 255.255.255.0tunnel source 202.10.3.2tunnel destination 202.10.2.2interface Ethernet0/1ip address 202.10.3.2 255.255.255.0ip nat outsideip virtual-reassemblyhalf-duplexcrypto map qqqinterface Ethernet0/2ip address 192.168.1.1 255.255.255.0ip nat insideip virtual-reassemblyhalf-duplexip route 0.0.0.0 0.0.0.0 202.10.3.1ip route 10.1.1.0 255.255.255.0 172.16.1.1ip nat inside source list 1 interface Ethernet0/1 overloadaccess-list 1 permit 192.168.1.0 0.0.0.255access-list 101 permit ip host 202.10.3.2 host 202.10.2。第四章 网络测试第四章 网络测试4.1 WEB服务器测试用客户机访问WEB服务器，由于没有放网站到服务器，图4-1显示的是我做的一个测试网页。图 4- 14.2 FTP服务器测试用客户机访问FTP服务器，图4-2显示的是我做的一个测试文件。图 4- 24.3 DHCP服务器测试在客户机cmd里输入ipconfig /release释放IP,ipconfig /renew获取IP,ipconfig /all查看IP获取情况，如图4-3所示：图 4- 34.4 VTP的测试在交换机中用show vtp status命令 查看VTP。汇聚层交换机执行show vtp status命令查看情况，如图4-4所示：图 4- 4接入层交换机执行show vtp status命令查看情况，如图4-5所示：图 4- 5第六章 网络管理和安全第五章 网络管理和安全 5.1 网络管理在访校园网中，有核心交换机，接入层交换机，路由器，服务器，工作站等网络设备组成了庞大而复杂的系统。这就造成了各种系统分散，不能有效的利用现有资源，合理组成一个有机系统。网络管理可以使资源最大化，尽量避免网络拥塞、提高接通率。使网络最经济、维护简单。5.1.1 IP地址的管理使用子网划分技术，按照部门的性质来划分网段，使IP地址管理分散，以便简单的管理；采用DHCP服务，使IP地址的利用最大化，也可避免手工配置出错；划分VLAN，分散整个网络的流量，抑制广播风暴的产生，使网络产生拥塞。5.1.2 组策略和域管理可以设置不同的组策略，来分配不同的权利和保证网络的安全。实现用户和计算机策略：可创建安全组、安全标识符、和分配许可权；策略的叠加：一个用户或计算机对象可能受多个组策略对象，按照以下顺序的叠加，（1）本地组策略对象，（2）站点组策略对象，（3）域组策略对象。域管理可统一管理整个网络的工作站和账户，可设置不同的组长策略，较高的组策略对象比校低的组策略优生