攀枝花学院本科毕业论文
DistributeSwitch1(config)#interface vlan 100
DistributeSwitch1(config-if)#ip address 192.168.100.1 255.255.255.0 DistributeSwitch1(config-if)#no shutdown
7.配置汇聚层交换机DistributeSwitch2
汇聚层交换机DistributeSwitch2的端口FastEthernet 0/23、FastEthernet 0/24分别下连到接入层交换机AccessSwitch1的端口FastEthernet 0/24以及接入层交换机AccessSwitch2的端口FastEthernet 0/24。
此外,汇聚层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet 0/1上连到核心交换机CoreSwitch1的GigabitEthernet 3/2。 为了实现冗余设计,汇聚层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet 0/2连接到汇聚层交换机DistributeSwitch1的GigabitEthernet 0/2.
DistributeSwitch1(config)#ip route 0.0.0.0.0.0.0.0 192.168.0.254 另外. 为了实现对无类别网络(Classless Network)以及全零子网(Subnet-zero)的支持,在充当3层交换机的汇聚层交换机DistributeSwitch1,还需要进行适当的配置.
DistributeSwitch1(config)#ip classless DistributeSwitch1(config)#ip subnet-zero /定义对无类别网络以及全零子网的支持.
4.3.3 核心层交换服务的实现——配置核心层交换机
核心层将各汇聚层交换机互连起来进行穿越园区网骨干的高速数据交换 本设计中的核心层交换机采用的是Cisco Catalyst 4006交换机,采用了Catalyst 4500 Supervisor II Plus(WS-X4013+)作为交换机引擎。运行的是Cisco的Integrated IOS操作系统。
在作为核心层交换机的Cisco Catalyst 4006交换机中,安装了WS-X4306-GB(Catalyst 4000 Gigabit Ethernet Module, 6-Ports (GBIC))模块,该模块提供了5个千兆光纤上连接口,可以用来接入WS-G5484(1000BASE-SX Short Wavelength GBIC (Multimode only))。以下图中的核心层交换机为例进行配置
17
攀枝花学院本科毕业论文
4.5核心层图
1.配置核心层交换机CoreSwitch1的基本参数 Switch#configure terminal
Enter configuration commands,one per line.End with CNTL/Z Switch(config)#hostname PDistributeSwitch1 CoreSwitch1 (config)#enable secret 123 CoreSwitch1 (config)#line con 0
CoreSwitch1 (config-line)#logging synchronous CoreSwitch1 (config-line)#exec-timeout 10 0 CoreSwitch1 (config-line)#line vty 0 15 CoreSwitch1 (config-line)#password 456 CoreSwitch1 (config-line)#login
CoreSwitch1 (config-line)# exec-timeout 5 30 CoreSwitch1 (config-line)#exit
2.配置核心层交换机CoreSwitch1的管理IP、默认网关 CoreSwitch1(config)#interface vlan 1
CoreSwitch1(config-if)#ip address 192.168.0.2 255.255.255.0 CoreSwitch1(config-if)#no shutdown CoreSwitch1(config-if)#exit
CoreSwitch1(config-if)#ip default-gateway 192.168.0.254
3.配置核心层交换机CoreSwitch1的VLAN及VTP,与汇聚层配置类似。
4.配置核心层交换机CoreSwitch1的端口参数
核心层交换机CoreSwitch1通过自己的端口FastEthernet 4/3同广域网接入模块(Internet路由器)相连。同时,核心层交换机CoreSwitch1的端口GigabitEthernet 3/1~GigabitEthernet 3/2分别下连到汇聚层交换机DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 0/1。 DistributeSwitch1(config)#interface range fastethernet 0/1 – 24 DistributeSwitch1(config-if-range)#dupex full DistributeSwitch1(config-if-range)#speed 100
DistributeSwitch1(config-if-range)#switchport mode access
18
攀枝花学院本科毕业论文
DistributeSwitch1(config-if-range)#switchport access vlan 1 DistributeSwitch1(config-if-range)#spanning-tree portfast
DistributeSwitch1(config-if-range)#interface range gigabitEthernet 3/1– 2 DistributeSwitch1(config-if-range)#switchport mode trunk
此外,为了提供主干道的吞吐量以及实现冗余设计,将核心层交换机CoreSwitch1的千兆端口GigabitEthernet 2/1、GigabitEthernet 2/2捆绑在一起实现2000Mbps的千兆以太网信道,然后再连接到另一台核心层交换机CoreSwitch2。
CoreSwitch1 (config)#interface port-channel /绑定带宽 CoreSwitch1 (config-if)#switchport CoreSwitch1 (config-if)# interface G 2/1– 2
CoreSwitch1 (config-if)#channel-group 1 mode description non-silent CoreSwitch1 (config-if)#no shutdown
5.配置核心层交换机CoreSwitch1的路由功能
核心层交换机CoreSwitch1通过端口FastEthernet 4/3同广域网接入模块(Internet路由器)相连。因此,需要启用核心层交换机的路由功能。同时,还需要定义通往Internet的路由。这里使用一条缺省路由命令。其中,下一跳地址是Internet接入路由器的快速以太网接口FastEthernet 0/0的IP地址。 CoreSwitch1(config)#ip routing
CoreSwitch1(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.10
6.其它配置
定义对无类别网络以及全零子网的支持 CoreSwith1(config)#ip classless CoreSwith1(config)#ip subnet-zero
CoreSwitch2的配置步骤、命令和CoreSwitch1的配置类似.
4.3.4 配置接入路由器InternetRouter
1. 配置接入路由器InternetRouter的基本参数 Router#configure terminal
Enter configuration commands,one per line.End with CNTL/Z Switch(config)#hostname InternetRouter InternetRouter (config)#enable secret 123 InternetRouter (config)#line con 0
19
攀枝花学院本科毕业论文
InternetRouter (config-line)#logging synchronous /同步日志
InternetRouter (config-line)#exec-timeout 6 30 /关闭控制台的空闲会话超时InternetRouter (config-line)#line vty 0 15 InternetRouter (config-line)#password 456 InternetRouter (config-line)#login
InternetRouter (config-line)# exec-timeout 6 30 InternetRouter (config-line)#exit
2. 配置接入路由器InternetRouter的各接口参数 InternetRouter (config)#interface fastethernet 0/0
InternetRouter (config-if)#ip address 192.168.0.254 255.255.255.0 InternetRouter (config-if)#no shutdown InternetRouter (config-if)# interface serial 0/0
InternetRouter (config-if)#ip address 193.1.1.1 255.255.255.252 InternetRouter (config-if)#no shutdown
3. 配置接入路由器InternetRouter的路由功能
InternetRouter (config)#ip route 0.0.0.0 0.0.0.0 193.1.1.1
InternetRouter (config)#ip route 192.168.0.0 255.255. 248.0 192.168.0.3 InternetRouter (config)#ip route 192.168.100.0 255.255. 255.0 192.168.0.3 /定义到校园网内部的路由
4. 配置接入路由器InternetRouter上的NAT
为了接入Internet,向当地ISP申请9个IP地址。其中一个IP地址:193.1.1.1分配给Internet接入路由器的串行接口,另外8个IP地址:202.206.221.1~202.206.221.8用作NAT。
InternetRouter (config)#interface fastethernet 0/0 InternetRouter (config-if)#ip nat inside InternetRouter (config-if)#interface serial 0/0
InternetRouter (config-if)#ip nat outside /定义NAT内部、外部接口 InternetRouter (config)#ip access-list 1 permit 192.168.0.0 0.0.7.255 InternetRouter (config)#ip access-list 1 permit 192.168.100.0 0.0.0.255 InternetRouter (config)#ip nat inside source static 192.168.100.1 202.206.222.1 InternetRouter (config)#ip nat inside source static 192.168.100.2 202.206.222.2
20
攀枝花学院本科毕业论文
InternetRouter (config)#ip nat inside source static 192.168.100.3 202.206.222.3 …… / 为服务器定义静态地址转换
4.3.5配置接入路由器上的ACL
1. 路由器是外网进入校园网内网的第一道关卡,是网络防御的前沿阵地。路由器上的接入控制列表(Access Control List,ACL)是保护内网安全的有效手段。一个设计良好的接入控制列表不仅可以起到控制网络流量、流向的作用,而且还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于校园网内网和外网之间,是外网与内网进行通信时的第一道屏障,所以即使在网络系统安装了防火墙,仍然有必要对路由器的接入控制列表进行缜密的设计,来对校园网内网和防火墙本身实施保护。
在网络环境中还普遍存在着一些影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都应该对外加以屏蔽的。主要应该做以下的ACL设计: 对外屏蔽简单网管协议,即SNMP. 利用这个协议,远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型:SNMP和SNMPTRAP。
1.设置对外屏蔽简单网管协议SNMP:
InternetRouter (config) #access-list 101 permit snmp 192.168.0.0 0.0.0.255 any InternetRouter (config)# access-list 101 deny snmp any any InternetRouter (config)# access-list 101 permit ip any any InternetRouter (config)#interface S0/0 InternetRouter (config)#ip access-group 101 in InternetRouter (config)# ip access-group 101 out
2. 对外屏蔽远程登录协议telnet. 首先,telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的,很容易被网络上的非法协议分析设备截获。其次,telnet可以登录到大多数网络设备和UNIX服务器,并可以使用相关命令完全操纵它们。这是极其危险的,因此必须加以屏蔽。 屏蔽远程登录协议telnet
InternetRouter (config)#ip access-list 102 deny tcp any eq telnet InternetRouter (config)#ip access-list 102 permit ip any any
3. 对外屏蔽其它不安全的协议或服务. 这样的协议主要有SUN OS的文件共享协议端口2049,远程执行(rsh)、远程登录(rlogin)和远程命令(rcmd)端口512、513、514,远程过程调用(SUNRPC)端口111。可以将针对以上协议综合进行设计
21