某中学校园网设计方案.doc

《某中学校园网设计方案.doc》由会员分享，可在线阅读，更多相关《某中学校园网设计方案.doc（33页珍藏版）》请在三一办公上搜索。

1、2011年中国矿业大学计算机学院网络系统实践成果报告网络系统实践课程设计报告某中学校园网设计方案班 级 : 信息安全08-1班 指导教师： 李锡渝 小组成员： 学号： 08083643 小组成员： 学号： 08083627 小组成员： 学号： 08083640 小组成员： 学号： 08083629 中国矿业大学计算机科学与技术学院2011年 4 月 徐州目录一、概述11、引言 12、校园网络设计的目标与要求 23、校园网络设计的原则 4二、校园网整体方案设计51、校园网涉及主要网络技术介绍 52、网络拓扑设计 73、主要网络设备选定 94、VLAN划分及IP编址方案 115、核心配置116、系

2、统平台设计21三、校园网安全控制与防护 21 1、校园网络安全威胁分析222、校园网络管理策略设计233、校园网络安全策略设计24四、方案分析与总结 26五、结束语 29附件 30一、概述1、引言在信息产业蓬勃发展的今天，信息成为社会经济发展的核心因素，信息化已经成为当今世界的潮流。根据中国互联网络信息中心（CNNIC）的最新调查结果，截至2010年12月底，我国网民规模突破4.5亿大关，达到4.57亿。调查结果表明，人们对互联网的使用越来越频繁，网民平均每周上网16.5个小时，达到新的历史高度，这一数据已经超过了许多互联网发达国家的网民平均上网时间。与此同时，近年来国家加快改革教育体系，以教

3、育为立国之本，建设一个高度发达的国家教育体系。为提高我国教育的现代化、建立先进高效的教育体系提供更为先进的教育手段，学校很有必要建设一个校园网络管理应用系统，这样可以达到校园资源共享、建立完备的数据交换体系、快速的传递信息等目的。因此，近年来，所有教育结构都加快了校园网络的建设。校园网是Intranet/Interner技术在教育机构的一个应用。它是指在学校范围内，在一定的教育思想和理论指导下，为学校教学，科研和管理等教育提供资源共享，信息交流和协同工作的计算机网络。校园网是基于Intranet/Interner技术发展起来的，在功能应用上和Internet大体上相同，都能够实现以下的功能：W

4、ed信息发布和获取、目录服务、电子邮件、安全性管理、广域网络互联、文件、打印共享和网络管理等。通过校园网络的建设，不仅可以改变整个学校信息管理的面貌，使信息管理从以单个计算机为中心发展到以网络为中心，还可以为计算机技术在教学、科研、管理等领域中的应用提供一个全新的网络通信环境，也从根本上加强并促进了群体组织或师生之间的信息交流、资源共享、科学计算、技术合作及有效管理等，进而推动管理、科研及教学事业的发展。近年来，我国高等院校的校园网建设已经取得很大进展，根据中国教育和科研计算机网（CERNET）的统计，自从1997年国家启动“CERNET主干网升级工程”，特别是国家211工程“中国教育和科研计

5、算机网地区主干网和重点学科信息服务体系”项目的实施，CERNET已经建成连接分布在36个城市的38个CERNET主干网节点，与CERNET联网的教育和科研单位达1000多家（其中高等学校800所以上），联网主机120万台，用户超过 2000 万人。但与国家对高等院校校园网的统一规划和建设相比，我国中学，特别是高中学校的校园网建设还十分落后，发展非常不平衡。高中作为国家义务教育和高等教育之间重要的衔接过程，其信息化的程度对我国教育现代化进程有重大影响。因此，在网络系统实践课程学习的过程中，我们小组通过考察，认为随着当前计算机网络技术的快速发展，以及网络设备的价格下降，为一所重点中学组建出优质的校

6、园网络是完全可行和非常有意义的。本报告以一所3000人左右的重点中学为分析对象，在对其进行详细需求分析的基础上，结合学校校园网建设招标书要求，从网络拓扑结构、主要网络设备选定、VLAN划分及IP编址方案、核心配置和校园网安全控制与防护等方面描述了我们小组的设计方案。2、校园网络设计的目标与要求校园网络建设的重点在于加强教学科研的管理、辅助教师生动的教学、激发学生自主学习。从长远来看，校园网的建设，其主要意义是有利于学校教学、科研的快速发展，它能使广大教师利用计算机网络环境进行教学，开展科研活动，进而提高学校的教学质量和科研水平，为培养面向世界，面向未来的高素质人才提供有力的保障。在此次的校园网

7、规划设计中，我们通过学习、参考一些经典的网络规划方案，提出了我们小组的设计流程，即：（1）进行对象研究和需求调查，明确学校的性质、任务和改革发展的主系统建设的需求和条件，对学校的信息化环境进行准确的描述。（2）在应用需求分析的基础上，确定系统建设的目标，包括网络设施、站点设置、开发应用和管理等的目标。（3）确定网络拓扑结构和功能，根据应用需求建设目标和学校的主要建筑分布特点，进行系统分析和设计。（4）确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求。（5）结合前述分析，绘制网络拓扑图、选定主要网络设备、进行VLAN划分及IP编址方案以及核心配置。（6）针对学

8、校特殊的应用环境提出有针对性的校园网安全控制与防护方案，并编写较为详细的操作文档。通过查阅徐州市各大中学的资料，我们选择了一所比较典型的重点中学作为设计对象，该学校的基本信息如下：学校规模一般，其中在校生2000人，在校教职工300人。据统计，大概一半的学生会选择留校住宿。整个校园有两栋教学楼，两栋学生公寓，一栋较大的图书馆，一栋实验楼，一栋行政楼。其中：宿舍楼每个楼层20个寝室，共6层；教学楼每个楼层5个教室，共6层；实验楼每个楼层3个实验室，共6层；行政楼每个楼层6个办公室，共6层；图书馆每个楼层10个接入点，共6层。在学校提供的一份校园网建设招标书中，校方提出在建设校园网时，要达到以下目

9、的： 在校园内部实现资源高度共享，为教学、科研、管理提供服务，为计划、组织、管理与决策提供基础信息和科学手段； 支持教育教学改革，提高教育技术的现代水平和教育信息化程度、为学校教师的备课、课件制作、教学演示提供网络环境； 通过互联网、录像机、扫描仪、数码相机等各种渠道获得多媒体资料，实现素材收集、电子备课功能。 实现办公自动化，提供与上级教育部门、社会、家庭之间通讯的出入口，提供电子函件、公告牌和教育教学信息查询等服务，提高工作效率和管理水平； 及时、准备、可靠地收集、处理、存储、传输学校的教育教学信息完成与因特网的通讯和资源共享，实现社会教育、学校教育、家庭教育的有机整合。 实现课堂多媒体电

10、化教学，具备适用于双向课堂语音教学及语音室功能学习。另外，此处还摘录了该校校园网对主机系统的要求： 主机系统应采用国际上较新的主流技术，并具有良好的向后扩展能力； 主机系统应具有高的可靠性，能长时间连续工作，并有容错措施； 支持通用大型数据库，如SQL、Oracle等； 具有广泛的软件支持，软件兼容性好，并支持多种传输协议； 能与Internet互联，可提供互联网的应用，如WWW浏览服务、FTP文件传输服务、E-mail电子邮件服务、NEWS新闻组讨论等服务； 支持SNMP网络管理协议，具有良好的可管理性和可维护性；以及该校校园网对网络设备的要求： 高性能；所有网络设备都应足够的吞吐量； 高可

11、靠性和高可用性；应考虑多种容错技术； 可管理性；所有网络设备均可用适当的网管软件进行监控、管理和设置； 采用国际统一的标准；在了解该校校园网的大体要求后，我们小组还通过网络、电话等方式与该校负责人和相关同学进行了一些非常简单的咨询。通过这些方式，我们明确该校主要是希望建立高速的校园内部网，使其在保障内部流畅通讯以外，还要保障其他学校的接入畅通无阻。同时由于学校内部的专业网络管理人员较少，因此校方还要求网络要有一定的扩展性能，安全性，和方便管理性。还有几个比较具体的需求如下：1. 教学区、宿舍区用户对校园网、教育网的访问有相应的路由策略；2. 校区内的各个行政门的教务部门要实现稳定、安全、快速的

12、通信；3. 满足现有要求，并且要满足日后学校规模不断扩大，用户数量增加后的需求，具有良好的扩展性能；4. 工程费用经济周到，考虑到可扩展、安全性、可靠性与性价比的问题。3、校园网络设计的原则经过分析，我们发现，该校校园网的需求都是一些较为基本和简单的网络应用，且对安全性和系统可靠性要求比较高。在结合网络系统管理课程中所介绍的方法基础上，我们明确了此次网络设计中的一些基本原则： 网络方案应采用成熟的技术，并尽可能采用先进的技术； 采用国际统一标准，以拥有广泛的支持厂商，最大限度的采用同一厂家的产品； 方案应合理分配带宽，使用户不受网上“塞车”的影响； 应充分考虑未来可能的应用，如桌面将承受大型应

13、用软件和多媒体传输需求的压力； 网络方案要具有高扩展性。能为用户未来数目的扩展具有调整、扩充的手段和方法； 该网络应是面向连接的，能够实现虚拟网（VLAN）连接； 考虑对用户现有网络的平滑过度，使学校现有陈旧设备尽量保持较好的利用价值； 本着实用的原则，尽量使用成熟先进的平台软件，以缩短教学课件的开发周期； 采用分布式的结构，以便于开发和维护； 采用集群解决方案，以保证连续工作； 为保证网络速度而采用高的带宽； 追求最高的性能价格比。在这些设计原则的指导下，我们决定采用Internet上的标准协议-TCP/IP协议，来提供校园内部即互联网上的WWW服务、FTP服务、NEWS服务和电子邮件服务，

14、同时它还有支持通用大型数据库的功能，支持多种协议，具有良好的软件支持，对网络管理员而言，还包括支持流行的SNMP等网络管理协议，已将其建成一个具有高可靠性和开放性的校园网络。在整个网络规划中我们都采用模块化结构设计，这样不仅容易升级，而且方便管理，非常适合一所中学的应用需求。二、校园网整体方案设计1、校园网涉及主要网络技术介绍在该校园网设计方案中，我们综合应用了以太网技术、路由技术、交换及VLN技术、远程访问技术、网络冗余技术等。下面对这些技术依次进行介绍： 以太网技术：以太网(Ethernet)作为一种原理简单，技术成熟、成本较低、互操作性强、易于使用和管理、可扩充性强的局域网技术已经成为业

15、界的主流。它由Xerox公司创建并由Xerox、Intel和DEC公司联合开发，是当今现有局域网采用的最通用的通信协议标准。以太网使用CSMA/CD(载波监听多路访问及冲突检测)技术，并以10M/S的速率运行在多种类型的电缆上。本方案的核心设计均采用以太网的结构设计。 路由技术路由协议工作在OSI参考模型的第3层，它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表（Access Control List，ACL），路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本方案中，内网用户不仅通过路由器接入因特网、

16、内网用户之间也通过3层交换机上的路由功能进行数据包交换。 交换及VLAN技术传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了园区网数据交换服务质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网（Virtual Local Area Network，VLAN）的概念。VLAN技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LANVLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLA

17、N间则不能直接互通，这样，广播报文被限制在一个VLAN内。使用VLAN可以控制广播风暴、提高网络整体安全性、网络管理简单、提高性能等。但是在不同VLAN间不通过路由是无法通信的。在LAN内的通信，必须在数据帧头中指定通信目标的MAC地址。而为了获取MAC地址，TCP/IP协议下使用的是ARP。ARP解析MAC地址的方法，则是通过广播。也就是说，如果广播报文无法到达，那么就无从解析MAC地址，亦即无法直接通信。 计算机分属不同的VLAN，也就意味着分属不同的广播域，自然收不到彼此的广播报文。因此，属于不同VLAN的计算机之间无法直接互相通信。为了能够在VLAN间通信，需要利用OSI参照模型中更高

18、一层网络层的信息（IP地址）来进行路由。因此，在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。从技术角度讲，VLAN的划分可依据不同原则，一般有以下三种划分方法： 基于端口的VLAN划分这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。 基于MAC地址的VLAN划分MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示，前6位为网卡的厂商标识（OUI），后6位为网卡标识（NIC）。网络管理员可按MAC

19、地址把一些站点划分为一个逻辑子网。基于路由的VLAN划分路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。就目前来说，对于VLAN的划分主要采取上述第1、3种方式，第2种方式为辅助性的方案。使用第三层交换技术一方面支持VLAN之间通信，另一方面交换技术还减少了数据包的碰撞问题。因此支持VLAN的交换机配合第三层功能不但具有很高的性能，而且具有充分的弹性，是我们此次设计方案的选择。 远程访问技术远程访问也是校园网络必须提供的服务之一。它可以为家庭办公职员和出差在外的老师提供移动接入服务。下面对各种远程接入

20、方式进行比较：a、远程拨号采用远程拨号方式，必须申请电话线，用户多时，需申请中继电话线，而且需要Modem Pool 将模拟信号转换成数字信号，拨号访问服务器将串行数据转换为网络上传输的IP 数据包。同时多数学校较难为接入设备提供理想的工作环境，不能确保信息传输的质量和安全。b、租用专用线路在过去的数十年间，许多学校或科研就够花费大量资金租用专用线路，将其主要分支机构连接起来组成该校的私有通信网络，以达到信息在学校内部的快速沟通和共享，这样学校在获得高效率和方便性的同时，也为租用专用线路付出了较高的成本。c、VPN 远程接入VPN(Virtual Private Network) 即虚拟专用网

21、是在公共网络上建立的专用网络，但其任意2个结点间的连接并没有传统专用网络所需的点到点的物理链路，而是架构在公共网络( Internet) 服务商( ISP) 所提供网络平台上的逻辑网络。用户数据通过ISP 在公共网络中建立的逻辑隧道( Tunnel ) ，即点到点的虚拟专线进行传输。通过加密和认证技术，确保校园内部网络数据在公共网络上安全传输，真正实现网络数据的专有性。VPN 是对企业内部网络的扩展，通过它可以实现远程用户与内部网络的安全连接。VPN 远程接入方式最适用于学校经常有教师出差，需实现远程办公的情况。出差教师利用当地ISP 提供的VPN服务，即可与企业VPN 网关建立私有的隧道连接

22、。VPN 远程接入方式有以下主要优势：简化网络。只需要投入1 台VPN 网关设备，即可解决几十到几千人的远程接入问题。节省费用。利用本地拨号接入取代远距离接入或800 电话接入，显著降低长途通信费用，减少了用于购置调制解调器和终端服务设备的费用。支持多种标准认证机制如LDAP、RADIUS 等。多样接入方式。无论用户采用哪种方式访问互联网，均可建立VPN 连接。自由选择规模。无论学校大小，VPN 都有相对应的产品，用户数可为55 000 个。 网络的冗余技术网络冗余，一般指的是网络通路或网络系统中信息内容的冗余，也就是说，当网络中一条通路（物理链路）发生故障断掉了，还可以通过其他通路（物理链路

23、）传递信息；当网络系统中的一个结点信息丢失时，还可以通过访问其他备份结点来恢复数据。通过网络冗余技术可以提高网络的可靠性，链路冗余既可提高可靠性，又能均衡负载；2、网络拓扑设计该方案的网络拓扑图如下：该方案采用两层结构，接入层交换机直接连接到核心交换机。每栋建筑物通过交换机的级联汇聚流量，再通过一条千兆光纤连接到核心交换机上。从拓扑中可以看成，共有六条上行链路，行政楼一条，教学楼两条，宿舍楼两条，他们分别通过千兆光纤连接到核心交换机上；中心机房布置在图书馆内，图书馆的流量通过一条千兆以太网直接连接到核心交换机上；在中心机房搭建三个服务器，提供学校日常使用，服务器通过千兆以太网直接连接到核心交换

24、机上。学校网络出口使用防火墙兼做出口路由器，同时做相应的安全机制，保证学校内网安全。通过一条百兆以太网连接到核心交换机上，再通过串行线接入到教育网。考虑到学校的规模以及成本的问题，仅做的是单出口。鉴于学校网络的规模，本方案采用两层结构设计思想，核心层接入层。核心层作为核心层，要满足2000个接点上网的任务，不同用户的各种需求，保证流量的畅通，和不同网络的交互，为整个网络的枢纽。接入层接入层作为各模块到交换骨干的连接，根据不同模块进行逻辑子网划分，并通过VLAN技术实现子网之间的隔离。访问层主要功能在于隔离模块见的广播流量，避免不同模块间相互影响，访问层主要通过二层交换机组成。使用层次化网络设计

25、模型，主要有如下优点： 高可扩展性：遵循层次化模型网络比扁平式网络更具有伸缩性和可管理性，因为各功能网络通过模块化实现，潜在问题更易于识别。 易于实施：每一层的功能性清晰划分，简化每一层的实现。 易于故障排除：每一层的功能经过良好定义，网络更为简单，有助于故障的隔离。模块化设计也有效限制故障影响范围。 易于规划和管理：层次化的功能划分，整个网络规划和管理更为简单。3、主要网络设备选定在考虑网络设备时，由于我们课程学习和实验都是基于锐捷设备，所以在该设计方案中，选取的全部是锐捷的设备。而且锐捷以其良好设备的性能以及售后服务得到了学校园区网络建设的一致好评，其设备的性价比也是相当出众的，依照实用的

26、原则全部选取了锐捷的网络产品。具体选型参加下表：设备选型设备种类型号数量/件备注核心交换机RG-S5750S-24GT/12SFP1选型设备中不包含电子阅览室和公共机房，没有出口路由器，有防火墙兼做出口路由器接入交换机STAR-S2150G15防火墙RG-WALL1601核心交换机设备选型核心交换机选取的是锐捷的RG-S5750S-24GT/12SFP。RG-S5750系列是锐捷网络推出的融合了高性能、高安全、多智能、易用性的新一代万兆机架式多层交换机。该系列交换机提供的接口形式和组合非常灵活，即可以提供24个或48个10/100/1000M自适应的千兆电口，又可以提供有24个SFP千兆光口，

27、又能提供PoE远程供电的接口。每种产品型号都配合提供了灵活的复用千兆口，满足网络建设中不同传输介质的连接需要。同时为满足网络的弹性扩展，和高带宽传输需要，可灵活弹性扩展多种类型的万兆模块和万兆堆叠模块。特别适合高带宽、高性能和灵活扩展的大型网络汇聚层，中型网络核心，以及数据中心服务器群的接入使用。该系列交换机硬件支持多层线速交换，并提供了丰富而完善的路由协议，以适合大型网络多种路由和高性能的需要。RG-S5750系列交换机提供二到七层的智能的业务流分类、完善的服务质量（QoS）保证和组播应用管理特性。在提供高性能、多智能的同时，其内在的安全防御机制和用户接入管理能力，更可有效防止和控制病毒传播

28、和网络攻击，控制非法用户接入网络，保证合法用户合理地使用网络资源，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，充分保障了网络安全、网络合理化使用和运营。RG-S5750系列交换机以极高的性价比为大型网络汇聚、中型网络核心、数据中心服务器接入提供了高性能、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、安全、智能的企业网需求。接入交换机设备选型在该方案中，选取STAR-S2150G作为接入层交换机。该交换机端口密度大，采用大端口的交换机以便以后管理方便。同时该交换机支持堆叠，通过添加堆叠模块，使用堆叠线，就可以将多个设备堆叠起来，逻辑上成为一个设备。此次方

29、案中，采用的是级联，并没使用堆叠，但是可以备用，以便以后网络升级。STAR-S2150G是两款全线速可堆叠的安全智能交换机，在提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性同时，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，可有效防止和控制病毒传播和网络攻击，控制非法用户使用网络，保证合法用户合理使用网络资源，充分保障网络安全和网络合理化使用和运营。STAR-S2150G可通过SNMP、Telnet、Web和Console口等多种配置方式提供丰富的管理。S2126G/S2150G以极高的性价比为各类型网络提供完善的端到端的QoS服务质量、灵活丰富的安全策略管理和基于策略

30、的网管，最大化满足高速、安全、智能的企业网新需求。防火墙设备选型该方案中选取RG-WALL160作为防火墙。RG-WALL系列采用锐捷网络独创的分类算法（Classification Algorithm）设计的新一代安全产品第三类防火墙，支持扩展的状态检测（Stateful Inspection）技术，具备高性能的网络传输功能；同时在启用动态端口应用程序(如VoIP、 H.323等)时，可提供强有力的安全信道。采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响，产品安装前后丝毫不会影响网络速度；同时，RG-WALL在内核层处理所有数据包的接收、分类、转发工作，因

31、此不会成为网络流量的瓶颈。另外，RG-WALL具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。RG-WALL的主要功能包括：扩展的状态检测功能、防范入侵及其它（如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等）附加功能。4、VLAN划分及IP编址方案使用私有地址实现网络内部主机互联，服务器使用公有地址。私有地址使用172.16.0.0/16网段地址。在运营商申请到了16个公有地址作为学校服务器的地址，地址为200.200.200.32/28。划分给用户的IP地址为172.16.10.0172.16.18.0/24网段范围。设备

32、互联地址使用172.16.9.0/24网段。二层设备管理地址使用172.16.8.0/24网段。下表是IP地址以及Vlan规划的具体设计：IP地址以及Vlan规划建筑物网络号/24默认网关Vlan号实验楼172.16.10.0172.16.10.110图书馆172.16.11.0172.16.11.111行政楼172.16.12.0172.16.12.112教学楼172.16.13.0172.16.13.113172.16.14.0172.16.14.114宿舍楼172.16.15.0172.16.15.115172.16.16.0172.16.16.116172.16.17.0172.16.

33、15.117172.16.18.0172.16.18.1185、核心配置5.1 核心交换机配置vlan databasevlan 10 name labvlan 11 name libvlan 12 name adminvlan 13 name tech-1vlan 14 name tech-2vlan 15 name dom-1vlan 16 name dom-2vlan 17 name dom-3vlan 18 name dom-4exitshow vlan-switch-核心交换机配置vlan-config terminal interface vlan 10ip add 172.16.

34、10.1 255.255.255.0interface vlan 11ip add 172.16.11.1 255.255.255.0interface vlan 12ip add 172.16.12.1 255.255.255.0interface vlan 13ip add 172.16.13.1 255.255.255.0interface vlan 14ip add 172.16.14.1 255.255.255.0interface vlan 15ip add 172.16.15.1 255.255.255.0interface vlan 16ip add 172.16.16.1 2

35、55.255.255.0interface vlan 17ip add 172.16.17.1 255.255.255.0interface vlan 17ip add 172.16.17.1 255.255.255.0interface vlan 18ip add 172.16.18.1 255.255.255.0endshow ip int b-核心交换机配置vlan默认网关-conf tint range fastethernet 0/1 - 7switchport modetrunkint f0/1description connect_to_libraryint f0/2descri

36、ption connect_to_labint f0/3description connect_to_tech_1int f0/4description connect_to_tech_2int f0/5description connect_to_dom_1int f0/6description connect_to_dom_2int f0/7description connect_to_administrator_buildingendshow interface status-配置接口0/0到0/7接口成为trunk口-conf tinterface f0/13no switchport

37、 ip add 200.200.200.33 255.255.255.252description connect_to_www_serverno shutinterface f0/14no switchportip add 200.200.200.37 255.255.255.252description connect_to_teching_serverno shutinterface f0/15 no switchportip add 200.200.200.41 255.255.255.252description connect_to_other_serverno shutinter

38、face f0/0description connect_to_firewallno switchportip add 172.16.9.1 255.255.255.252no shutendping 172.16.9.2-配置三层口-conf trouter ospf 100network 172.16.10.0 0.0.0.255 a 0network 172.16.11.0 0.0.0.255 a 0network 172.16.12.0 0.0.0.255 a 0network 172.16.13.0 0.0.0.255 a 0network 172.16.14.0 0.0.0.255

39、 a 0network 172.16.15.0 0.0.0.255 a 0network 172.16.16.0 0.0.0.255 a 0network 172.16.17.0 0.0.0.255 a 0network 172.16.18.0 0.0.0.255 a 0network 172.16.9.2 0.0.0.0 a 0network 200.200.200.32 0.0.0.3 a 0network 200.200.200.36 0.0.0.3 a 0network 200.200.200.40 0.0.0.3 a 0-配置路由协议OSPF-conf tenable passwor

40、d 321line vty 0 4 passord abcloginexitline console 0passord 123loginexit-设置设备密码-conf taccess-list 110 deny ip 172.16.15.0 0.0.0.255 172.16.12.0 0.0.0.255access-list 110 deny ip 172.16.16.0 0.0.0.255 172.16.12.0 0.0.0.255access-list 110 deny ip 172.16.17.0 0.0.0.255 172.16.12.0 0.0.0.255access-list 1

41、10 deny ip 172.16.18.0 0.0.0.255 172.16.12.0 0.0.0.255access-list 110 permit ip any any int f0/5ip access-group 110 inint f0/6ip access-group 110 inconf taccess-list 120 deny ip 172.16.10.0 0.0.0.255 172.16.12.0 0.0.0.255permit ip any anyint f0/2ip access-group 120 in-设置ACL禁止学生宿舍楼和实验楼访问行政楼-验证：core#s

42、h vlan-switch VLAN Name Status Ports- - - -1 default active Fa0/3, Fa0/4, Fa0/5, Fa0/6 Fa0/7, Fa0/8, Fa0/9, Fa0/10 Fa0/11, Fa0/1210 lab active 11 lib active 12 admin active 13 tech-1 active 14 tech-2 active 15 dom-1 active 16 dom-2 active 17 dom-3 active 18 dom-4 active 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2- - - - - - - - - - -1 enet 100001 1500 - - - - - 1002 1003 VLAN Type SAID MTU