校園網(wǎng)工程策劃書

網(wǎng)絡(luò)工程課程設(shè)計(jì)報(bào)告題目：XX學(xué)校校園網(wǎng)絡(luò)規(guī)劃及方案設(shè)計(jì)團(tuán)隊(duì)：09計(jì)算機(jī)網(wǎng)絡(luò)2班414寢室成員：蔣平，汪勇俊，任學(xué)有，陳鵬遠(yuǎn)，張志郡，李冬冬，楊尹翔指導(dǎo)老師：應(yīng)作斌2023年5月10日目錄第一章校園網(wǎng)概述及分析 41.1概述 41.2建設(shè)校園網(wǎng)的必要性 41.3應(yīng)用特點(diǎn)： 4第二章校園網(wǎng)應(yīng)用分析 52.1項(xiàng)目概述 52.2用戶需求分析 52.3系統(tǒng)設(shè)計(jì)指導(dǎo)思想 6第三章設(shè)備選購(gòu)和應(yīng)用說(shuō)明 73.1cisco2811系列路由器 73.2ciscoCatalyst3560-24PS系列互換機(jī) 83.3CISCOCatalyst2950-24系列互換機(jī) 9第四章網(wǎng)絡(luò)基本拓?fù)鋱D 94.1說(shuō)明 94.2A校區(qū)基本拓?fù)鋱D 104.3B校區(qū)基本拓?fù)鋱D 104.4C校區(qū)基本拓?fù)鋱D 11第五章規(guī)劃互聯(lián)接口 135.1A校區(qū)核心層互換機(jī)與各三層設(shè)備互聯(lián)的接口與接口地址規(guī)劃 135.2A校區(qū)2811路由器與防火墻和因特網(wǎng)互聯(lián)的接口與接口地址規(guī)劃 135.3A校區(qū)防火墻與DMZ區(qū)服務(wù)器接入互換機(jī)（3560）之間的接口與接口地址規(guī)劃 145.4B校區(qū)各匯聚層互換機(jī)與B校區(qū)核心層互換機(jī)互聯(lián)接口及接口地址規(guī)劃 145.5C校區(qū)2811接口與接口地址規(guī)劃 145.6C校區(qū)核心互換機(jī)與2811和防火墻的接口及接口地址規(guī)劃 145.7校園網(wǎng)網(wǎng)段地址規(guī)劃 15第六章公網(wǎng)地址使用規(guī)劃 156.1A校區(qū)ChianNet公網(wǎng)地址使用規(guī)范 166.2A校區(qū)Cernet公網(wǎng)地址使用規(guī)范 166.2-1由于模擬器限制不能執(zhí)行地址池所以在模擬器上有接口轉(zhuǎn)換 166.2-2用地址池實(shí)現(xiàn)雙出口NAT策略的配置如下所示： 176.3C校區(qū)Chinanet公網(wǎng)地址使用規(guī)范 186.4C校區(qū)地址轉(zhuǎn)換配置如下所示： 19第七章校園網(wǎng)設(shè)備基本配置示例 197.1A區(qū)互換機(jī)及路由器配置示例 191A區(qū)核心層互換機(jī)配置命令： 192A區(qū)匯聚層互換機(jī)配置命令示例（學(xué)生宿舍5） 223A區(qū)邊界路由器配置如下： 234A區(qū)防火墻配置如下： 245A區(qū)服務(wù)器接入互換機(jī)配置如下： 25第八章防火墻的配置 268.1綜合樓匯聚層IP包過(guò)濾ACL配置 268.2教學(xué)樓匯聚層ACL配置 278.3配置校園網(wǎng)防火墻 288-3.1定義和應(yīng)用WAN口的ACL規(guī)則 298-3.2定義和應(yīng)用LAN口的ACL規(guī)則 308-3.3定義和應(yīng)用DMZ口的ACL配置 30第九章校園網(wǎng)各設(shè)備配置和使用注意事項(xiàng) 319.1校園網(wǎng)各設(shè)備基本參數(shù)和安全性設(shè)立： 311、設(shè)立設(shè)備名稱： 312、設(shè)立設(shè)備的加密使能口令： 313、設(shè)立登錄虛擬終端線時(shí)的口令： 324、設(shè)立console口登錄時(shí)的口令： 325、設(shè)立終端線超時(shí)時(shí)間： 326、設(shè)立禁用IP地址解析特性： 327、設(shè)立啟用消息同步特性： 328、在使用匯聚層或者核心層互換機(jī)時(shí)要啟用設(shè)備的路由功能： 329、ACL 329.2通用測(cè)試、診斷命令 33第一章校園網(wǎng)概述及分析1.1概述校園網(wǎng)是計(jì)算機(jī)網(wǎng)絡(luò)的一個(gè)重要領(lǐng)域。隨著計(jì)算機(jī)網(wǎng)絡(luò)的日益普及，校園網(wǎng)已經(jīng)成為各學(xué)校必備的信息設(shè)計(jì)基礎(chǔ)，其規(guī)模和應(yīng)用水平已經(jīng)成為衡量學(xué)校綜合實(shí)力的重要標(biāo)志。我國(guó)從1994年開始啟動(dòng)中國(guó)教育科研計(jì)算機(jī)網(wǎng)絡(luò)以來(lái)，現(xiàn)已經(jīng)基本完畢了國(guó)內(nèi)大部分的校園網(wǎng)，校園網(wǎng)在教育領(lǐng)域的應(yīng)用越來(lái)越廣泛。1.2建設(shè)校園網(wǎng)的必要性建設(shè)校園網(wǎng)重要目的是為學(xué)校的教育教學(xué)提供服務(wù)。為全校教師、科研人員、管理人員、學(xué)生提供一個(gè)先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，并將計(jì)算機(jī)引入教學(xué)、科研、管理和學(xué)習(xí)等各個(gè)領(lǐng)域。改善學(xué)校教學(xué)科研、管理和學(xué)習(xí)環(huán)境，提高其水平。熟悉現(xiàn)代化的工作環(huán)境和掌握先進(jìn)的教學(xué)、科研、管理和學(xué)習(xí)手段，有助于培養(yǎng)面向世界、面向未來(lái)的高層次人才。1.3應(yīng)用特點(diǎn)：概括起來(lái)，校園網(wǎng)重要有以下4方面的典型應(yīng)用：（1）教學(xué)科研活動(dòng)：校園網(wǎng)要為教師的教學(xué)和科研提供服務(wù)，例如通過(guò)校園網(wǎng)為教師提供教學(xué)資源，提供教師備課，為教學(xué)研究提供相關(guān)資料。（2）教務(wù)管理：校園網(wǎng)要為學(xué)校的教學(xué)管理提供服務(wù)，例如通過(guò)校園網(wǎng)進(jìn)行學(xué)籍管理，人事管理，財(cái)務(wù)管理等。（3）為學(xué)生學(xué)習(xí)提供幫助：校園網(wǎng)必須為學(xué)生學(xué)習(xí)提供服務(wù)，是一種學(xué)習(xí)工具，它一方面是學(xué)生與別人的交流工具，另一方面也是學(xué)習(xí)資源的提供者，有助于學(xué)生進(jìn)行探索學(xué)習(xí)和協(xié)作學(xué)習(xí)。第二章校園網(wǎng)應(yīng)用分析2.1項(xiàng)目概述XX大學(xué)是一所全日制本科學(xué)校，學(xué)校占地面積為XXXX多畝，現(xiàn)有學(xué)生將近X萬(wàn)名。學(xué)院現(xiàn)有綜合樓，實(shí)訓(xùn)樓，教學(xué)樓，學(xué)生宿舍，教工宿舍，圖書館等。為適應(yīng)信息時(shí)代的規(guī)定，提高學(xué)校教學(xué)水平，學(xué)院決定建立覆蓋全校的校園網(wǎng)，實(shí)現(xiàn)網(wǎng)絡(luò)化教學(xué)。2.2用戶需求分析經(jīng)分析，本校園網(wǎng)的應(yīng)用需求如下。（1）建立以網(wǎng)絡(luò)中心為核心，連接校園各樓的校園主干網(wǎng)絡(luò)。（2）按校園內(nèi)不同用戶的需求，劃分相應(yīng)的子網(wǎng)，以方便網(wǎng)絡(luò)管理，提高網(wǎng)絡(luò)性能。（3）在整個(gè)校園內(nèi)實(shí)現(xiàn)資源共享，為教學(xué)，科研，管理提供服務(wù)。（4）建立基于網(wǎng)絡(luò)的教育掛歷及辦公自動(dòng)化系統(tǒng)，實(shí)現(xiàn)行政，教學(xué)，教務(wù)，科研，后勤，財(cái)務(wù)等平常事務(wù)的網(wǎng)絡(luò)化管理。（5）網(wǎng)絡(luò)教學(xué)系統(tǒng)，提供教師電子備課，課件制作，多媒體演示，學(xué)生多媒體交互式學(xué)習(xí)，網(wǎng)絡(luò)考試，自動(dòng)教學(xué)評(píng)估等。（6）建立電子圖書館，提供電子閱覽功能。（7）建立安全，高速的internet連接，實(shí)現(xiàn)內(nèi)外互通。（8）提供常用的internet應(yīng)用，涉及學(xué)校網(wǎng)站，郵件系統(tǒng)，文獻(xiàn)傳輸。（9）為學(xué)校提供一定的安全保障，防治黑客入侵和破壞，保障校園網(wǎng)安全。（10）為校園網(wǎng)提供簡(jiǎn)樸有效的網(wǎng)絡(luò)管理措施，實(shí)現(xiàn)對(duì)整個(gè)校園網(wǎng)的管理和控制。（11）為校園網(wǎng)提供相應(yīng)的容錯(cuò)功能，防止在校園網(wǎng)出現(xiàn)故障時(shí)導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。2.3系統(tǒng)設(shè)計(jì)指導(dǎo)思想為保障校園網(wǎng)的建設(shè)質(zhì)量，在建設(shè)過(guò)程中堅(jiān)持一下建網(wǎng)原則：（1）實(shí)用性原則。計(jì)算機(jī)技術(shù)發(fā)展迅速，新技術(shù)，新設(shè)備層出不窮，在網(wǎng)絡(luò)建設(shè)過(guò)程中，沒必要盲目追求新技術(shù)，新設(shè)備，而應(yīng)當(dāng)堅(jiān)持“實(shí)用”、“夠用”的原則，盡量選擇成熟可靠的技術(shù)和設(shè)備，取得最佳性價(jià)比。（2）開放性原則。在網(wǎng)絡(luò)建設(shè)過(guò)程中盡量選擇開放的標(biāo)準(zhǔn)和技術(shù)，以便和其它網(wǎng)絡(luò)系統(tǒng)兼容，有助于未來(lái)的網(wǎng)絡(luò)擴(kuò)充。（3）高可靠性。保障網(wǎng)絡(luò)建成后順利運(yùn)營(yíng)，不會(huì)由于網(wǎng)絡(luò)故障而影響用戶使用網(wǎng)絡(luò)。（4）先進(jìn)性原則。在資金允許的情況下盡量使用國(guó)際先進(jìn)成熟的技術(shù)，符合網(wǎng)絡(luò)技術(shù)發(fā)展潮流。（5）易用性原則。網(wǎng)絡(luò)必須易于管理和使用。（6）安全性原則。整個(gè)網(wǎng)絡(luò)具有一定的安全保障，防止黑客入侵和破壞。（7）可擴(kuò)展性。網(wǎng)絡(luò)總體設(shè)計(jì)不僅要考慮近期目的，還要為網(wǎng)絡(luò)進(jìn)一步的發(fā)展提供擴(kuò)展空間。上述原則將自始至終貫穿整個(gè)系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)過(guò)程。第三章設(shè)備選購(gòu)和應(yīng)用說(shuō)明3.1cisco2811系列路由器基本參數(shù)如下：模塊化局域網(wǎng)接：2個(gè)傳輸速率：10/100Mbps網(wǎng)絡(luò)管理：協(xié)議CiscoClickStart防火墻：內(nèi)置防火墻網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE802.3xQos支持：支持VPN支持：支持產(chǎn)品內(nèi)存：DRAM：最大760MB，其它端口：2個(gè)固定USB1.1端口擴(kuò)展模塊：2個(gè)板載AIM（內(nèi)部）插電源電壓：AC100-240V，47-63Hz電源功率：160W環(huán)境標(biāo)準(zhǔn)：工作溫度：0-40℃

3.2ciscoCatalyst3560-24PS系列互換機(jī)背板帶寬32Gbps互換方式存儲(chǔ)互換內(nèi)存/閃存32Mb端口類型10/100端口|SFP千兆位以太網(wǎng)端口|1RU支持速率10Mbps/100Mbps/1000Mbps模塊化插槽數(shù)０個(gè)網(wǎng)絡(luò)標(biāo)準(zhǔn)或規(guī)范IEEE802.310BASE-T以太網(wǎng)IEEE802.3u100BASE-TX快速以太網(wǎng)IEEE802.3ab1000BASE-T千兆以太網(wǎng)IEEE802.3z千兆以太網(wǎng)（光纖）ANSI/IEEE802.3NWay自動(dòng)協(xié)商IEEE802.3x流量控制是否可網(wǎng)管支持是否支持全雙工支持是否支持VLAN支持電源電壓100-240V工作溫度0-45℃3.3CISCOCatalyst2950-24系列互換機(jī)互換機(jī)類型快速以太網(wǎng)互換機(jī)

傳輸速率10/100Mbps

網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.3u

網(wǎng)絡(luò)協(xié)議糾錯(cuò)局域網(wǎng)協(xié)議端口數(shù)量24

接口介質(zhì)10BASE-T/10BASE-TX3類或3類以上UTP,100BASE-TX五類。

傳輸模式支持全雙工

配置形式糾錯(cuò)可級(jí)聯(lián)互換方式糾錯(cuò)存儲(chǔ)轉(zhuǎn)發(fā)背板帶寬糾錯(cuò)8.8Gbps第四章網(wǎng)絡(luò)基本拓?fù)鋱D4.1說(shuō)明XX學(xué)校分為3個(gè)校區(qū)A,B,C每個(gè)校區(qū)分別進(jìn)行規(guī)劃，規(guī)劃分三層：核心層，匯聚層，接入層，并應(yīng)用相應(yīng)設(shè)備進(jìn)行組網(wǎng)4.2A校區(qū)基本拓?fù)鋱D4.3B校區(qū)基本拓?fù)鋱D4.4C校區(qū)基本拓?fù)鋱D第五章規(guī)劃互聯(lián)接口5.1A校區(qū)核心層互換機(jī)與各三層設(shè)備互聯(lián)的接口與接口地址規(guī)劃表5-15.2A校區(qū)2811路由器與防火墻和因特網(wǎng)互聯(lián)的接口與接口地址規(guī)劃表5-25.3A校區(qū)防火墻與DMZ區(qū)服務(wù)器接入互換機(jī)（3560）之間的接口與接口地址規(guī)劃表5-35.4B校區(qū)各匯聚層互換機(jī)與B校區(qū)核心層互換機(jī)互聯(lián)接口及接口地址規(guī)劃表5-45.5C校區(qū)2811接口與接口地址規(guī)劃表5-55.6C校區(qū)核心互換機(jī)與2811和防火墻的接口及接口地址規(guī)劃表5-65.7校園網(wǎng)網(wǎng)段地址規(guī)劃表5-7第六章公網(wǎng)地址使用規(guī)劃6.1A校區(qū)ChianNet公網(wǎng)地址使用規(guī)范表6-16.2A校區(qū)Cernet公網(wǎng)地址使用規(guī)范表6-2校園NAT轉(zhuǎn)換示例（以A校區(qū)示例）：6.2-1由于模擬器限制不能執(zhí)行地址池所以在模擬器上有接口轉(zhuǎn)換配置命令如下Router>enablePassword:Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfacefastEthernet0/0Router(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#interfacefastEthernet1/0Router(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#interfaceethernet0/3/0Router(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#interfacefastEthernet0/1Router(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#ipnatinsidesourcestatic01Router(config)#ipnatinsidesourcestatic12Router(config)#ipnatinsidesourcestatic23Router(config)#ipnatinsidesourcestatic34Router(config)#ipnatinsidesourcestatic45Router(config)#ipnatinsidesourcestatic56Router(config)#ipnatinsidesourcestatic67Router(config)#ipnatinsidesourcestatic78Router(config)#ipnatpooljiaoyunetmask52Router(config)#ipnatpooldianxin69netmask52Router(config)#access-list101denyipany55Router(config)#access-list101permitipanyanyRouter(config)#access-list102permitipany55Router(config)#access-list102permitipananRouter(config)#ipnatinsidesourcelist101interfacefastEthernet0/1overloadRouter(config)#ipnatinsidesourcelist102interfaceethernet0/3/0overloadRouter(config)#^ZRouter#writeBuildingconfiguration...[OK]6.2-2用地址池實(shí)現(xiàn)雙出口NAT策略的配置如下所示：Router>enablePassword:Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfacefastEthernet0/0Router(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#interfacefastEthernet1/0Router(config-if)#ipnatinsideRouter(config-if)#ippolicyroute-mapt0Router(config-if)#exitRouter(config)#interfaceethernet0/3/0Router(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#interfacefastEthernet0/1Router(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#route-mapt0permit10

Router(config)#matchipaddress101

setinterfaceFastEthernet0/1

Router(config)#route-mapt0permit20

Router(config)#matchipaddress102

Router(config)#setinterfaceEthernet0/3/0Router(config)#ipnatinsidesourcestatic01Router(config)#ipnatinsidesourcestatic12Router(config)#ipnatinsidesourcestatic23Router(config)#ipnatinsidesourcestatic34Router(config)#ipnatinsidesourcestatic45Router(config)#ipnatinsidesourcestatic56Router(config)#ipnatinsidesourcestatic67Router(config)#ipnatinsidesourcestatic78Router(config)#ipnatpooljiaoyunetmask52Router(config)#ipnatpooldianxin69netmask52Router(config)#access-list101denyipany55Router(config)#access-list101permitipanyanyRouter(config)#access-list102permitipany55Router(config)#access-list102permitipananRouter(config)#ipnatinsidesourcelist101pooldianxinoverloadRouter(config)#ipnatinsidesourcelist102pooljiaoyuoverloadRouter(config)#^ZRouter#writeBuildingconfiguration...[OK]6.3C校區(qū)Chinanet公網(wǎng)地址使用規(guī)范如表6.3所示：6.4C校區(qū)地址轉(zhuǎn)換配置如下所示：Router>enableRouter#configureConfiguringfromterminal,memory,ornetwork[terminal]?Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#access-list1permitanyRouter(config)#interfacefastEthernet0/0Router(config-if)#ipnatoutsideRouter(config)#interfacefastEthernet1/0Router(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#interfacefastEthernet0/1Router(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#ipnatinsidesourcelist1interfacefastEthernet0/0overloadRouter(config)#^ZRouter#%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsolewrRouter#writeBuildingconfiguration...[OK]第七章校園網(wǎng)設(shè)備基本配置示例校園網(wǎng)分為三個(gè)校區(qū)：A、B、C，基本的路由器和互換機(jī)的使用策略是同樣的，配置命令相仿，現(xiàn)在以A校區(qū)的部分設(shè)備為例進(jìn)行示范7.1A區(qū)互換機(jī)及路由器配置示例1A區(qū)核心層互換機(jī)配置命令：switch(config)#hostnameAhexinAhexin(config)#enablesecretjpAhexin(config)#linevty04Ahexin(config-line)#passwordjpAhexin(config-line)#loginAhexin(config-line)#exitAhexin(config)#lineconsole0Ahexin(config-line)#passwordjpAhexin(config-line)#exitAhexin(config-if)#interfacefastEthernet0/1Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress252Ahexin(config)#interfacefastEthernet0/2Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress852Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/3Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress452Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/4Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress052Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/5Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress652Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/6Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress252Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/7Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress852Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/8Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress452Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/9Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress052Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/10Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress52Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/11Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress52Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/12Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress52Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/13Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress052Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/24Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress652Ahexin(config-if)#exitAhexin(config)#interfacerafastEthernet0/24Ahexin(config-if-range)#noshutdownAhexin(config-if-range)#exitAhexin(config)#iproutefastEthernet0/13Ahexin(config)#iproutefastEthernet0/2Ahexin(config)#iproutefastEthernet0/3Ahexin(config)#iproutefastEthernet0/3Ahexin(config)#iproutefastEthernet0/4Ahexin(config)#iproutefastEthernet0/4Ahexin(config)#iproutefastEthernet0/5Ahexin(config)#iproutefastEthernet0/5Ahexin(config)#iproutefastEthernet0/6Ahexin(config)#iproutefastEthernet0/6Ahexin(config)#iproutefastEthernet0/7Ahexin(config)#iproutefastEthernet0/8Ahexin(config)#iproutefastEthernet0/10Ahexin(config)#iproutefastEthernet0/11Ahexin(config)#iproutefastEthernet0/9Ahexin(config)#iproute224fastEthernet0/13Ahexin(config)#iproutefastEthernet0/13Ahexin(config)#iproute840fastEthernet0/12Ahexin(config)#^ZAhexin#%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsolewrBuildingconfiguration...[OK]2A區(qū)匯聚層互換機(jī)配置命令示例（學(xué)生宿舍5）Switch>enableSwitch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#enablesecretjpSwitch(config)#hostnamexueshengsushe5xueshengsushe5(config)#interfacefastEthernet0/1xueshengsushe5(config-if)#noswitchportxueshengsushe5(config-if)#ipaddress7xueshengsushe5(config)#vlan2xueshengsushe5(config-vlan)#namexueshengsushe5-1xueshengsushe5(config-vlan)#exitxueshengsushe5(config)#vlan3xueshengsushe5(config-vlan)#namexueshengsushe5-2xueshengsushe5(config-vlan)#exitxueshengsushe5(config)#interfacerangefastEthernet0/2-7xueshengsushe5(config-if-range)#SWitchportModeAccessxueshengsushe5(config-if-range)#switchportaccessvlan2xueshengsushe5(config-if-range)#exitxueshengsushe5(config)#interfacerangefastEthernet0/8-13xueshengsushe5(config-if-range)#switchportmodeaccessxueshengsushe5(config-if-range)#switchportaccessvlan3xueshengsushe5(config-if-range)#exitxueshengsushe5(config)#iproutingxueshengsushe5(config)#interfacevlan2%LINK-5-CHANGED:InterfaceVlan2,changedstatetoupxueshengsushe5(config-if)#xueshengsushe5(config-if)#ipaddress54xueshengsushe5(config-if)#exitxueshengsushe5(config)#interfacevlan3%LINK-5-CHANGED:InterfaceVlan3,changedstatetoupxueshengsushe5(config-if)#xueshengsushe5(config-if)#ipaddress54xueshengsushe5(config-if)#exitxueshengsushe5(config)#iproutefastEthernet0/1xueshengsushe5(config)#linevty04xueshengsushe5(config-line)#passwordjpxueshengsushe5(config-line)#loginxueshengsushe5(config-line)#exitxueshengsushe5(config)#lineconsole0xueshengsushe5(config-line)#passwordjpxueshengsushe5(config-line)#exitxueshengsushe5(config)#^Zxueshengsushe5#%SYS-5-CONFIG_I:Configuredfromconsolebyconsolexueshengsushe5#writeBuildingconfiguration...[OK]3A區(qū)邊界路由器配置如下：Router>enableRouter#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfacefastEthernet0/0Router(config-if)#noshutdown%LINK-5-CHANGED:InterfaceFastEthernet0/0,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/0,changedstatetoupRouter(config-if)#ipaddress52 Router(config-if)#exitRouter(config)#interfacefastEthernet1/0Router(config-if)#noshutdown%LINK-5-CHANGED:InterfaceFastEthernet1/0,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet1/0,changedstatetoupRouter(config-if)#ipaddress952Router(config)#interfacefastEthernet0/1Router(config-if)#noshutdown%LINK-5-CHANGED:InterfaceFastEthernet0/1,changedstatetoupRouter(config-if)#noshutdownRouter(config-if)#ipaddress352Router(config-if)#exitRouter(config)#interfaceethernet0/3/0Router(config-if)#noshutdown%LINK-5-CHANGED:InterfaceEthernet0/3/0,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceEthernet0/3/0,changedstatetoupRouter(config-if)#ipaddress52%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/1,changedstatetoupRouter(config-if)#exitRouter(config)#iproutefastEthernet0/1Router(config)#iproutefastEthernet1/0Router(config)#iproute840fastEthernet0/0Router(config)#iprouteethernet0/3/0Router(config)#enablesecretjpRouter(config)#linevty04Router(config-line)#passwordjpRouter(config-line)#loginRouter(config-line)#exitRouter(config)#lineconsole0Router(config-line)#passwordjpRouter(config-line)#^Z%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleRouter#wrBuildingconfiguration...[OK]4A區(qū)防火墻配置如下：Switch>enableSwitch#configuretEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#enablesecretjpSwitch(config)#linevty04Switch(config-line)#passwordjpSwitch(config-line)#loginSwitch(config-line)#exitSwitch(config)#lineconsole0Switch(config-line)#passwordjpSwitch(config-line)#exitSwitch(config)#interfacefastEthernet0/1Switch(config-if)#noshutdownSwitch(config-if)#noswitchport%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/1,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/1,changedstatetoSwitch(config-if)#ipaddress52Switch(config-if)#interfacefastEthernet0/3Switch(config-if)#noshutdownSwitch(config-if)#noswitchport%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/3,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/3,changedstatetoSwitch(config-if)#ipaddress52Switch(config-if)#interfacefastEthernet0/2Switch(config-if)#noshutdownSwitch(config-if)#noswitchportSwitch(config-if)#ipaddress52Switch(config-if)#exitSwitch(config)#iproutefastEthernet0/2Switch(config)#iproutefastEthernet0/1Switch(config)#iproute840fa0/3Switch(config)#^Z%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleSwitch#writeBuildingconfiguration...[OK5A區(qū)服務(wù)器接入互換機(jī)配置如下：Switch>enableSwitch#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#enablesecretjpSwitch(config)#linevty04Switch(config-line)#passwordjpSwitch(config-line)#loginSwitch(config-line)#exitSwitch(config)#lineconsole0Switch(config-line)#passwordjpSwitch(config-line)#exitSwitch(config)#interfacefastEthernet0/3Switch(config-if)#noswitchport%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/3,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/3,changedstatetoSwitch(config-if)#ipaddress052Switch(config-if)#exitSwitch(config)#interfacerangefa0/1-2Switch(config-if-range)#switchportmodeaccessSwitch(config-if-range)#switchportaccessvlan2Switch(config-if-range)#exitSwitch(config)#interfacevlan2%LINK-5-CHANGED:InterfaceVlan2,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan2,changedstatetoSwitch(config-if)#ipaddress940Switch(config-if)#exitSwitch(config)#iproutingSwitch(config)#iproutefastEthernet0/3Switch(config)#exit%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleSwitch#writeBuildingconfiguration...[OK]第八章防火墻的配置8.1綜合樓匯聚層IP包過(guò)濾ACL配置配置分析：綜合樓是學(xué)校的辦公樓，不需要對(duì)用戶的上網(wǎng)行為進(jìn)行控制，因此ACL的蛀牙功能是過(guò)濾常見的病毒傳播端口，控制病毒在網(wǎng)絡(luò)上的傳播做法為：配置一個(gè)ACL列表，然后應(yīng)用到互換機(jī)的所有端口，常見的病毒端口如表8-1所示：

表8-1配置命令如下所示：Switch>enableSwitch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#access-list101denytcpanyanyeq4444Switch(config)#access-list101denyudpanyanyeq69Switch(config)#access-list101denytcpanyanyrange135139Switch(config)#access-list101denytcpanyanyeq445Switch(config)#access-list101denytcpanyanyeq539Switch(config)#access-list101denytcpanyanyeq445Switch(config)#access-list101denytcpanyanyeq5554Switch(config)#access-list101denytcpanyanyeq9995Switch(config)#access-list101denytcpanyanyeq9996Switch(config)#access-list101denytcpanyanyeq1434Switch(config)#access-list101denyudpanyanyra135139Switch(config)#access-list101denyudpanyanyeq445Switch(config)#access-list101denyudpanyanyeq593Switch(config)#access-list101denyudpanyanyeq1434Switch(config)#access-list101permitipanyanySwitch(config)#interfacerangefastEthernet0/1-24Switch(config-if-range)#noswitchportSwitch(config-if-range)#ipaccess-group101inSwitch(config-if-range)#^ZSwitch#%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleSwitch#writeBuildingconfiguration...[OK]8.2教學(xué)樓匯聚層ACL配置配置分析：教學(xué)樓計(jì)算機(jī)的使用者眾多，重要涉及教師學(xué)生和其別人員，為了控制用戶使用網(wǎng)絡(luò)的流量和病毒傳播，應(yīng)使用較高的安全措施，即只允許用戶進(jìn)行常用網(wǎng)絡(luò)操作，其余操作所有嚴(yán)禁。常用網(wǎng)絡(luò)操作端口如表8-2所示表8-2配置如下所示：Switch>enableSwitch#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#access-list101permittcpanyanyeq80Switch(config)#access-list101permittcpanyanyeq20Switch(config)#access-list101permittcpanyanyeq21Switch(config)#access-list101permittcpanyanyeq25Switch(config)#access-list101permittcpanyanyeq53Switch(config)#access-list101permittcpanyanyeq443Switch(config)#access-list101permitudpanyanyeq53Switch(config)#access-list101permitudpanyanyeq67Switch(config)#access-list101permitudpanyanyeq68Switch(config)#access-list101denyipanyany Switch(config)#interfacerafastEthernet0/1-24Switch(config-if-range)#noswitchport%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/2,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan2,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/2,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan2,changedstatetoSwitch(config-if-range)#ipaccess-group101inSwitch(config-if-range)#^Z%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleSwitch#writeBuildingconfiguration...8.3配置校園網(wǎng)防火墻在本校園網(wǎng)拓?fù)浣Y(jié)構(gòu)中，防火墻僅用來(lái)保護(hù)DMZ區(qū)中的服務(wù)器群以免受到因特網(wǎng)和校園內(nèi)網(wǎng)的襲擊。內(nèi)網(wǎng)和因特網(wǎng)用戶，可以訪問DMZ區(qū)的WWW、HTTPS、FTP、SMTP、POP3、DNS、DHCP服務(wù)，并允許ping2服務(wù)器DMZ區(qū)中的主機(jī)可以任意訪問因特網(wǎng)中的WWW、HTTPS、FTP、SMTP、POP3、DNS、DHCP服務(wù)，并允許ping因特網(wǎng)中的任意主機(jī)DMZ服務(wù)器群提供的服務(wù)如表8-3所示：表8-3配置命令如下所示：8-3.1定義和應(yīng)用WAN口的ACL規(guī)則firewall>enablePassword:firewall#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.firewall(config)#access-list101permittcpanyhost1eqwwwfirewall(config)#access-list101permittcpanyhost1eq443firewall(config)#access-list101permittcpanyhost1ra2021firewall(config)#access-list101permiticmpanyhost1firewall(config)#access-list101permittcpanyhost2ra2021firewall(config)#access-list101permittcpanyhost2eqsmtpfirewall(config)#access-list101permittcpanyhost3eqpop3firewall(config)#access-list101permittcpanyhost3eq53firewall(config)#access-list101permitudpanyhost3eq53firewall(config)#access-list101permittcpanyanyeq53firewall(config)#access-list101permitudpanyanyeq53firewall(config)#access-list101permittcpanyanyeqwwwfirewall(config)#access-list101permittcpanyanyeqftpfirewall(config)#access-list101permittcpanyanyeq20firewall(config)#access-list101permittcpanyanyeq443firewall(config)#access-list101permittcpanyanyeqsmtpfirewall(config)#access-list101permittcpanyanyeqpop3firewall(config)#access-list101denyipanyanyfirewall(config)#interfacefastEthernet0/2firewall(config-if)#ipaccess-group101infirewall(config-if)#^Z%SYS-5-CONFIG_I:Configuredfromconsolebyconsolewrfirewall#writeBuildingconfiguration...[OK]8-3.2定義和應(yīng)用LAN口的ACL規(guī)則配置命令如下：firewall#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.firewall(config)#access-list102permittcpanyhost1eqwwwfirewall(config)#access-list102permittcpanyhost1eq443firewall(config)#access-list102permittcpanyhost1range2021 firewall(config)#access-list102permiticmpanyhost1firewall(config)#access-list102permittcpanyhost2range2021firewall(config)#access-list102permittcpanyhost3eqsmtpfirewall(config)#access-list102permittcpanyhost3eqpop3firewall(config)#access-list102permitudpanyhost4eq53firewall(config)#access-list102permittcpanyhost4eq53firewall(config)#access-list102permittcpanyhost5ra6768firewall(config)#access-list102denyipanyanyfirewall(config)#interfacefastEthernet0/1firewall(config-if)#ipaccess-group102infirewall(config-if)#^Zfirewall#%SYS-5-CONFIG_I:Configuredfromconsolebyconsolefirewall#writeBuildingconfiguration...[OK]8-3.3定義和應(yīng)用DMZ口的ACL配置配置命令如下：firewall#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.firewall(config)#access-list103permittcpanyhost1eqwwwfirewall(config)#access-list103permittcpanyhost1eq443firewall(config)#access-list103permittcpanyhost1range2021firewall(config)#access-list103permiticmpanyhost1echo-replyfirewall(config)#access-list103permittcpanyhost2ra2021firewall(config)#access-list103permittcpanyhost2eqsmtpfirewall(config)#access-list103permittcpanyhost2eqpop3firewall(config)#access-list103permittcpanyhost3eq53firewall(config)#access-list103permitudpanyhost3eq53firewall(config)#access-list103permittcpanyhost5range6768firewall(config