校园局域网规划与设计(cisco仿真模拟)毕业论文(编辑修改稿)

校园局域网规划与设计(cisco仿真模拟)毕业论文(编辑修改稿)内容摘要：

， IEEE ，IEEE • VLAN：支持 • QOS：支持 • 网络管理： SNMP 管理信息库 (MIB)II， SNMP MIB 扩展，桥接 MIB(RFC 1493) 11 3. 接入层网络 接入层作为用户接入网络的终端，该层主要功能是：提供各种标准接口将数据接入到网络和确定基于端口的 VLAN 成员及数据流过滤。 接入层网络使用 Cisco Catalyst 2960 每个交换组最多提供 144 个终端的接入。 其主要功能是为园区网用户提供高性价比的 10/100 兆网络接口，实现用户的宽带接入。 并与汇聚层通过千兆链路互连，为接入用户提供高速 上连。 Cisco Catalyst 2960 主要参数 ： • CISCO WSC296024S 主要参数： • 产品类型：智能交换机 • 应用层级：二层 • 传输速率： 10/100Mbps • 产品内存： DRAM 内存： 64MB • FLASH 内存： 32MB • 交换方式：存储 转发 • 背板带宽： 16Gbps • 包转发率： • MAC 地址表： 8K 4. 路由器 选择 校园网 边界 路由器选择 CISCO 2911/K9 主要参数 ： • 路由器类型：多业务路由器 • 网络协议： IPv4， IPv6，静态路由， IGMPv3， PIM SM， DVMRP， IPSec • 传输速率： 10/100/1000Mbps • 端口结构：模块化 • 广域网接口： 3 个 • 其它端口： 2 个外部 USB 闪存插槽 • 1 个 USB 控制台端口 12 • 1 个串行控制台端口 • 1 个串行辅助端口 • 防火墙：内置防火墙 • Qos 支持：支持 • VPN 支持：支持 • 产品内存： DRAM 内存： 512MB，最大 2GB • FLASH 内存： 256MB • 其它性能：基于硬件的嵌入式密码加速（ IPSec+SSL） 5. 服务器选择 服务器群组统一使用计算机代替 ， 上面搭建 win2020 Server 企业高级版。 综上所述 ，我们的网络设备选型方案为，核心层采用 Cisco C3560X 核心交换机，汇聚层采用 Cisco4506 智能交换机，接入层采用 Cisco2960 网管交换机，内置防火墙的 CISCO 2911/K9 多业务路由器。 （四） 校园网安全策略 及安全防御措施 随着网络的快速发展，网络安全问题日益突出， 黑客攻击、网络病毒等在日常日常生活中屡见不鲜 ， 各种各样的安全问题开始困扰网络管理人员。 这些安全问题主要表现在： 不良信息的传播，病毒的危害，非法访问，恶意破坏，口令入侵等 [1]。 随着关键应用的普及和深入，网络用户的快速增加， 校园网络从早期教育、科研的试验网角色已经转变成为教育、科研和服务并重的带有运营性质的网络，如何保证网络信息安全已经成为影响 学校的 存与 发展 亟待解决的关键问题之一。 另外，一个高效、实用且安全的网络环境， 对于教师、学生、管理人员的信息传递，信息搜集，教育学习等都有着十分重要而深远的意义 [1]。 本次设计的 三层校园局域网 中采用边界路由、核心交换机在内的二层安全防御。 第一层保护有边界路由实现。 选用具有防火墙 功能的 Cisco 路由器，路由器上配置访问控制列表，通过访问规则，控制和过滤经过路由器的数据流，隔离外网和内网， 13 防止外部用户对内部网络不安全的访问，可有效防止各服务器受到来自外部的破坏。 第二层防护由核心交换机提供。 核心交换机上部署防火墙模块，可有效地防止内部攻击 [2]。 （五） 本章小结 本章通过对现有主要网 络技术的分析与比较，确定本校园网络采用千兆以太网技术路线，并设计出校园 网络 总拓扑 ，选择了硬件设备的品牌型号，同时对校园网络的安全形式和防御措施 做出描述。 14 二、 VLAN 划分及参数配置 （一） VLAN 划分 VLAN（ Virtual Local Area Network）称为虚拟局域网，是指在逻辑上将物理的LAN 分成不同小的逻辑子网，每一个逻辑子网就是一个单独的播域。 简单地说，就是将一个大的物理的局域网（ LAN）在交换机上通过软件划分成若干个小的虚拟的局域网（ VLAN）。 因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC 地址，以便在交换机内部的 MAC 数据库建立 MAC 地址表，而广播不能跨越不同网段 [3]。 VLAN 技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个 VLAN 都包含一组有着相同需求的计算机工作站，与物理 上形成的 LAN 有着相同的属性。 由于它是从逻辑上划分，而不是从物理上划分，所以同一个 VLAN 内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理 LAN 网段。 由 VLAN 的特点可知，一个 VLAN内部的广播和单播流量都不会转发到其他 VLAN 中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN 除了能将网络划 分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问 [4]。 VLAN 基本上可以看成一个广播域，在物理网络的基础上，能根据需要灵活地设置出许多逻辑网络，从而摆脱了物理地域限制，以及因为位于布线柜或者路由器附近而造成的对用户组的限制，能根据用户实际需要灵活地建立逻辑的专用网络，使网络更安全、更便于管理、更畅通和带宽更有保证。 根据学院校园网使用实际情况，提出校园网 VLAN 的建设规划，见表 21。 15 表 21 VLAN 规划表 子网名称 IP 网段 默认网关 备注 服务器群 192. 168. 1. 0/24 192. 168. 1. 2 Vlan2 学生宿舍 192. 168. 2. 0/24 192. 168. 2. 2 Vlan3 实验楼 192. 168. 3. 0/24 192. 168. 3. 2 Vlan4 教学楼 192. 168. 7. 0/24 192. 168. 7. 2 Vlan5 图书馆 192. 168. 8. 0/24 192. 168. 8. 2 Vlan6 （二） VLAN 配置 1. 交换机的选择 交换机分为二层交换机和三层交换机两种类型，其中二层交换机的工作原理是： （ 1）当交换机从某个端口收到一个数据包，它先读取包头中的源 MAC 地址，这样它就知道源 MAC 地址的机器是连在哪个端口上的 [5]； （ 2）再去读取包头中的目的 MAC 地址，并在地址表中查找相应的端口； （ 3）如表中有与这目的 MAC 地址对应的端口，把数据包直接复制到这端口上； （ 4）如表中找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机器回应时，交换机又可以学习一目的 MAC 地址与哪个端口对应，在下次传送数据时就不再需要对所有端口进行广播了。 不断的循环这个过程，对于全网的 MAC 地址信息都可以学习到，二层交换机就是这样建立和维护它自己的地址表。 可以看出二层交换机没有路由功能，当不同的子网进行通信是要借助路由器实现数据包的转发，所以当子网数量较多时，路由器的接口数量就成了一个瓶颈，而三层交换机就能解决这一缺点。 三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，加入路由功能也是为这个目的服务的。 因此具有路由功能的快速转发的三层交换机就成为首选。 16 核心层的功能主要是 实现骨干网络之间的优化传输 ,核心层 设计任务的重点通常是冗余能力、可靠性和高速的传输。 网络的控制功能最好尽量少在 核心 层上实施。 核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。 基于端口 vlan 的划分这是最常应用的一种 VLAN 划分方法，应用也最为广泛、最有效，目前绝大多数 VLAN 协议的交换机都提供这种 VLAN 配置方法。 这种划分 VLAN 的方法是根据以太网交换机的交换端口来划分的，它是将 VLAN 交换机上的物理端口和 VLAN 交换机内部的 PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的 VLAN 交换机。 从这种划分方法本身我们可以看出，这种划分的方法的优点是定义 VLAN 成员时非常简单，只要将所有的端口都定义为相应的 VLAN 组即可 [6]。 适合于任何大小的网络。 它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。 （三） 核心交换机 CoreSW 配置 1. 核 心交换机配置 VTP Server 交换机 VTP 更新信息的所有计划必须配置在同一管理域。 所有交换机都通过中继线相连，在核心交换机上设置了一个管理域，校园 网上所有的交换机都加入该域，这样同一管理域中的所有交换机就能够了解彼此的 VLAN 列表。 进入 VLAN 配置模式 CoreSWvlan database 设置 VTP 管理域名称为 xiaoyuan CoreSW (vlan)vtp xiaoyuan 设置交换机为服务器模式 CoreSW (vlan)vtp server 设置交换机为 server 模式是指允许在本交换机上创建、修改、删除 VLAN 及其它一些对整个 VTP 域的配置参数，同步本 VTP 域中其它交换机传递来的最新的 VLAN 信息； client 模式用于同步本 VTP 域中其他交换机传递来的 VLAN 信息，分支交换机设置为 client 模式。 17 2. 配置中继（ Trunk） 配置中继，使 VTP 管理域能够覆盖所有的分支交换机。 Trunk 是一个在交换机之间、交换机与路由器之间传递 VLAN 信息和 VLAN 数据流的协议，将交换机之间直接相连的端口配置为 dot1q 封装，就可跨越交换机进行整个网络的 VLAN 设置。 CoreSW (configif)switchport trunk encapsulation dot1q CoreSW (configif)switchport mode trunk CoreSW (configif)int fa 0/2 CoreSW (configif)switchport trunk encapsulation dot1q CoreSW (configif)switchport mode trunk CoreSW (configif)int fa 0/3 CoreSW (configif)switchport trunk encapsulation dot1q CoreSW (configif)switchport mode trunk CoreSW (configif)int fa 0/4 CoreSW (configif)switchport trunk encapsulation dot1q CoreSW (configif)switchport mode trunk CoreSW (configif)int fa 0/5 CoreSW (configif)switchport trunk encaps。