校园局域网组建与配置 - 图文

第1章、校园局域网组建一

第一节、校园网络建的要求

我校校园网工程范围主要为包括办公楼、图书室、住宿楼及实验楼在内的局域网部分。内部局域网的建设包括硬件网络平台的建设、相应软件系统的应用。 根据校园的整体的网络架构，要使这复杂的网络跟高速、安全地通信，应充分保证以下几点: 1、数据通信：网络的配置的一个重点是让校园能够实现内外部的信息交流，实现资源共享，使师生可以正常的访问互联网，这是网络配置最基本的要求。

2、访问的可控性:对关键网络、系统和数据的访问必须得到有效的控制，这要求在配置路由器与交换机的过程中制定一些安全规则，通过这些安全规则来控制一些ip地址、数据包对校园内部的访问，并对任何访问进行跟踪记录，让校园有一个安全、稳定的网络。

3、网络的安全与管理：在这复杂的网络架构中，网络的方便管理是校园进行通信的基础，只有有效、快捷的网络管理 ，才能实现网络中突发事件快速解决，使网络正常通信，良好的网络配置，也可以让管理员快速地熟悉管理校园整个网络。 第二节、网络拓扑图与整体分析 一、网络拓朴图

VLAN 10 :192.168.1.0 VLAN 20 :192.168.2.0 VLAN 30 :192.168.3.0 VLAN 40 :192.168.4.0

200.1.1.2web Web R1 S1/0 218.100.100.1 F0/2 Internet F0/1 F0/1 SW1 200.1.1.1ftp F0/3 S0 F0/5 服务器 S1 SW2 F0/1 F0/4 F0/4 F0/1 F0/2 S2 F0/2 SW3 图书馆办公楼实验楼宿舍楼 VLAN 10 VLAN 20 VLAN 30 VLAN 40

二、网络整体分析

统一大量采用了cisco2层和3层交换机和少量的路由器来构建网络，目前局域网普遍采用3层式结构化设计方案，即核心层、接入层和分布层。 本校园网具体结构如下：

1、SW1是网络的核心层交换机，SW2和SW3是网络的接入层交换机。

2、在核心层配置vtp服务器，作用：在一台交换机上集中修改vlan的配置，所做的修改会被自动传播到网络中的所有其它交换机上，实现了交换机vlan的统一配置。

3、在路由器上使用nat，作用：利用nat技术就可以解决了校园对外部互联网访问的问题，实现师生可以正常浏览Internet。 4、IP地址规划表

IP地址 192.168.1.0/24 192.168.2.0/24 192.168.3.0/24 192.168.4.0/24 区域 图书馆 办公楼 实验楼 宿舍楼 第二节、 交换机vlan的划分与配置 一、进行VLAN划分 1、S1划分vlan S1#config

S1(config)#vlan 10

S1(config-vlan)# name tushuguan S1(config-vlan)#vlan 20

S1(config-vlan)#name bangonglou S1(config-vlan)#vlan 30

S1(config-vlan)#name shiyanlou S1(config-vlan)#vlan 40

S1(config-vlan)#name sushelou

2、设置交换机S2的端口2～10端口VLAN10的成员: S2(config)#vlan 10

S2(config-vlan)# name tushuguan S2(config-vlan)#exit S2(config)#vlan 20

S2(config-vlan)#name bangonglou S2(config-vlan)#exit

S2(config)#inter range f 0/2-10

S2(config-if)#switchport mode access S2(config-if)#switchport access vlan 10

设置交换机S2的端口11～21端口VLAN20的成员: S2(config)#inter range f 0/11-21

S2(config-if)#switchport mode access S2(config-if)#switchport access vlan 20 S2(config-if)#int fa0/1

S2(config-if)# switchport mode trunk

3、设置交换机S3的端口2～10端口VLAN30的成员: S3(config)#vlan 30

S3(config-vlan)# name shiyanlou S3(config-vlan)#exit S3(config)#vlan 40

S3(config-vlan)# name sushelou S3(config-vlan)#exit

S3(config)#inter range f 0/2-10

S3(config-if)#switchport mode access S3(config-if)#switchport access vlan 10

设置交换机S3的端口11～21端口VLAN40的成员: S3(config)#inter range f 0/11-21 S3(config-if)#switchport mode access S3(config-if)#switchport access vlan 20 S3(config-if)#int fa0/1

S3(config-if)# switchport mode trunk 二、利用交换机实现vlan间的通信

采用单臂路由的方式实现vlan间路具有速度慢，转发速速率低的缺点，容易产生瓶颈，所以在网络中可以采用三层交换机，用三层交换的方式来实现vlan间的路由。 S1(config)#interface vlan 10

S1(config-if)# ip address 192.168.1.1 255.255.255.0 S1(config-if)#exit

S1(config)#interface vlan 20

S1(config-if)# ip address 192.168.2.1 255.255.255.0 S1(config-if)#exit

S1(config)#interface vlan 30

S1(config-if)# ip address 192.168.3.1 255.255.255.0 S1 (config-if)#exit

S1(config)#interface vlan 40

S1 (config-if)# ip address 192.168.4.1 255.255.255.0 S1 (config-if)#exit 三、交换机 vtp配置

为了让所有vlan统一配置管理，让汇聚层交换机sw1作为vtp server，sw2、sw3为vtp client。在sw1上创建所有vlan，让sw2跟sw3可以学到vlan。 3.2.2 vtp服务器配置 S1#conf t

S1(config)#vtp server

S1(config)#vtp domain cisco 注：domain [d??'mein] n.域名 S1(config)#vtp password cisco 3.2.3 vtp客户端配置 S2# conf t

S2(config)#vtp client S2(config)#vtp domain cisco S2(config)#vtp password cisco S3# conf t

S3(config)#vtp client S3(config)#vtp domain cisco S3(config)#vtp password cisco 第三节、 路由器的配置 一、NAT 配置

由于目前 IP 地址资源非常稀缺，不可能给校园网内部的所有工作站都分配 一个公有 IP

（Internet 可路由的）地址。为了解决所有工作站访问 Internet 的需 要，必须使用NAT（网络地址转换）技术。 NAT 的配置：

定义 NAT 内部、外部接口

R1(config)#interface fastehernet 0/0

R1(config-if)#ip address 192.168.5.2 255.255.255.0 R1(config-if)#ip nat inside

R1(config-if)#interface serial 1/0

R1(config-if)#ip address 218.100.100.1 255.255.255.0 R1(config-if)#ip nat outside

R1(config)#ip nat inside source static 192.168.60.1 218.100.100.1 实现内部web服务器向外网提供服务：

R1 (config)#ip nat pool pool 218.100.100.2 218.100.100.2 netmask 255.255.255.0 R1(config)# access-list 1 permit host 200.1.1.2

R1(config)# ip nat inside source list 1 pool pool overload R1(config)#int f 0/2 R1(config)#ip nat inside R1(config)#int s 0/1

R1(config)#ip nat outside

二、在路由器和三层交换机上配置IP R1(config)#interface Serial 0/1

R1(config-if)#ip address 193.1.1.1 255.255.255.0 R1(config-if)# no shutdown S1(config)#int f0/1

S1(config)#no switchport

S1(config-if)#ip address 192.168.5.1 255.255.255.0 S1(config-if)# no shutdown 三、配置OSPF路由协议 R1(config)#router ospf 10

R1(config-router)#network 192.168.5.0 0.0.0.3 area 0 R1(config-router)#network 218.100.100.1 0.0.0.3 area 0 R1(config)#ip route 0.0.0.0 0.0.0.0 S1(config)#router ospf 10

S1(config-router)#network 192.168.0.0 0.0.3.255 area 0 S1(config-router)#network 200.1.1.0 0.0.0.3 area 0 S1(config-router)#network 192.168.5.0 0.0.0.3 area 0 第四节、网络安全设置 一、访问控制列表配置

路由器是外网进入内网的第一道关卡，是网络防御的前沿阵地。路 由器上的问控制列表（Access Control List，ACL）是保护内网安全的有效手段。一个设计良好的访控制列表不仅可以起到控制网络流量、流向的作用， 还可以在不增加网络系统软、硬件投的情况下完成一般软、硬件防火墙产品 的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第 一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的 访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护。