網絡工程課程設計報告題目：XX學校校園網絡規劃及方案設計團隊：09計算機網絡2班414寢室成員：蔣平，汪勇俊，任學有，陳鵬遠，張志郡，李冬冬，楊尹翔指導老師：應作斌2023年5月10日目錄第一章校園網概述及分析 41.1概述 41.2建設校園網的必要性 41.3應用特點： 4第二章校園網應用分析 52.1項目概述 52.2用戶需求分析 52.3系統設計指導思想 6第三章設備選購和應用說明 73.1cisco2811系列路由器 73.2ciscoCatalyst3560-24PS系列互換機 83.3CISCOCatalyst2950-24系列互換機 9第四章網絡基本拓撲圖 94.1說明 94.2A校區基本拓撲圖 104.3B校區基本拓撲圖 104.4C校區基本拓撲圖 11第五章規劃互聯接口 135.1A校區核心層互換機與各三層設備互聯的接口與接口地址規劃 135.2A校區2811路由器與防火墻和因特網互聯的接口與接口地址規劃 135.3A校區防火墻與DMZ區服務器接入互換機（3560）之間的接口與接口地址規劃 145.4B校區各匯聚層互換機與B校區核心層互換機互聯接口及接口地址規劃 145.5C校區2811接口與接口地址規劃 145.6C校區核心互換機與2811和防火墻的接口及接口地址規劃 145.7校園網網段地址規劃 15第六章公網地址使用規劃 156.1A校區ChianNet公網地址使用規范 166.2A校區Cernet公網地址使用規范 166.2-1由于模擬器限制不能執行地址池所以在模擬器上有接口轉換 166.2-2用地址池實現雙出口NAT策略的配置如下所示： 176.3C校區Chinanet公網地址使用規范 186.4C校區地址轉換配置如下所示： 19第七章校園網設備基本配置示例 197.1A區互換機及路由器配置示例 191A區核心層互換機配置命令： 192A區匯聚層互換機配置命令示例（學生宿舍5） 223A區邊界路由器配置如下： 234A區防火墻配置如下： 245A區服務器接入互換機配置如下： 25第八章防火墻的配置 268.1綜合樓匯聚層IP包過濾ACL配置 268.2教學樓匯聚層ACL配置 278.3配置校園網防火墻 288-3.1定義和應用WAN口的ACL規則 298-3.2定義和應用LAN口的ACL規則 308-3.3定義和應用DMZ口的ACL配置 30第九章校園網各設備配置和使用注意事項 319.1校園網各設備基本參數和安全性設立： 311、設立設備名稱： 312、設立設備的加密使能口令： 313、設立登錄虛擬終端線時的口令： 324、設立console口登錄時的口令： 325、設立終端線超時時間： 326、設立禁用IP地址解析特性： 327、設立啟用消息同步特性： 328、在使用匯聚層或者核心層互換機時要啟用設備的路由功能： 329、ACL 329.2通用測試、診斷命令 33第一章校園網概述及分析1.1概述校園網是計算機網絡的一個重要領域。隨著計算機網絡的日益普及，校園網已經成為各學校必備的信息設計基礎，其規模和應用水平已經成為衡量學校綜合實力的重要標志。我國從1994年開始啟動中國教育科研計算機網絡以來，現已經基本完畢了國內大部分的校園網，校園網在教育領域的應用越來越廣泛。1.2建設校園網的必要性建設校園網重要目的是為學校的教育教學提供服務。為全校教師、科研人員、管理人員、學生提供一個先進的計算機網絡環境，并將計算機引入教學、科研、管理和學習等各個領域。改善學校教學科研、管理和學習環境，提高其水平。熟悉現代化的工作環境和掌握先進的教學、科研、管理和學習手段，有助于培養面向世界、面向未來的高層次人才。1.3應用特點：概括起來，校園網重要有以下4方面的典型應用：（1）教學科研活動：校園網要為教師的教學和科研提供服務，例如通過校園網為教師提供教學資源，提供教師備課，為教學研究提供相關資料。（2）教務管理：校園網要為學校的教學管理提供服務，例如通過校園網進行學籍管理，人事管理，財務管理等。（3）為學生學習提供幫助：校園網必須為學生學習提供服務，是一種學習工具，它一方面是學生與別人的交流工具，另一方面也是學習資源的提供者，有助于學生進行探索學習和協作學習。第二章校園網應用分析2.1項目概述XX大學是一所全日制本科學校，學校占地面積為XXXX多畝，現有學生將近X萬名。學院現有綜合樓，實訓樓，教學樓，學生宿舍，教工宿舍，圖書館等。為適應信息時代的規定，提高學校教學水平，學院決定建立覆蓋全校的校園網，實現網絡化教學。2.2用戶需求分析經分析，本校園網的應用需求如下。（1）建立以網絡中心為核心，連接校園各樓的校園主干網絡。（2）按校園內不同用戶的需求，劃分相應的子網，以方便網絡管理，提高網絡性能。（3）在整個校園內實現資源共享，為教學，科研，管理提供服務。（4）建立基于網絡的教育掛歷及辦公自動化系統，實現行政，教學，教務，科研，后勤，財務等平常事務的網絡化管理。（5）網絡教學系統，提供教師電子備課，課件制作，多媒體演示，學生多媒體交互式學習，網絡考試，自動教學評估等。（6）建立電子圖書館，提供電子閱覽功能。（7）建立安全，高速的internet連接，實現內外互通。（8）提供常用的internet應用，涉及學校網站，郵件系統，文獻傳輸。（9）為學校提供一定的安全保障，防治黑客入侵和破壞，保障校園網安全。（10）為校園網提供簡樸有效的網絡管理措施，實現對整個校園網的管理和控制。（11）為校園網提供相應的容錯功能，防止在校園網出現故障時導致整個網絡癱瘓。2.3系統設計指導思想為保障校園網的建設質量，在建設過程中堅持一下建網原則：（1）實用性原則。計算機技術發展迅速，新技術，新設備層出不窮，在網絡建設過程中，沒必要盲目追求新技術，新設備，而應當堅持“實用”、“夠用”的原則，盡量選擇成熟可靠的技術和設備，取得最佳性價比。（2）開放性原則。在網絡建設過程中盡量選擇開放的標準和技術，以便和其它網絡系統兼容，有助于未來的網絡擴充。（3）高可靠性。保障網絡建成后順利運營，不會由于網絡故障而影響用戶使用網絡。（4）先進性原則。在資金允許的情況下盡量使用國際先進成熟的技術，符合網絡技術發展潮流。（5）易用性原則。網絡必須易于管理和使用。（6）安全性原則。整個網絡具有一定的安全保障，防止黑客入侵和破壞。（7）可擴展性。網絡總體設計不僅要考慮近期目的，還要為網絡進一步的發展提供擴展空間。上述原則將自始至終貫穿整個系統的設計和實現過程。第三章設備選購和應用說明3.1cisco2811系列路由器基本參數如下：模塊化局域網接：2個傳輸速率：10/100Mbps網絡管理：協議CiscoClickStart防火墻：內置防火墻網絡標準：IEEE802.3xQos支持：支持VPN支持：支持產品內存：DRAM：最大760MB，其它端口：2個固定USB1.1端口擴展模塊：2個板載AIM（內部）插電源電壓：AC100-240V，47-63Hz電源功率：160W環境標準：工作溫度：0-40℃

3.2ciscoCatalyst3560-24PS系列互換機背板帶寬32Gbps互換方式存儲互換內存/閃存32Mb端口類型10/100端口|SFP千兆位以太網端口|1RU支持速率10Mbps/100Mbps/1000Mbps模塊化插槽數０個網絡標準或規范IEEE802.310BASE-T以太網IEEE802.3u100BASE-TX快速以太網IEEE802.3ab1000BASE-T千兆以太網IEEE802.3z千兆以太網（光纖）ANSI/IEEE802.3NWay自動協商IEEE802.3x流量控制是否可網管支持是否支持全雙工支持是否支持VLAN支持電源電壓100-240V工作溫度0-45℃3.3CISCOCatalyst2950-24系列互換機互換機類型快速以太網互換機

傳輸速率10/100Mbps

網絡標準IEEE802.3u

網絡協議糾錯局域網協議端口數量24

接口介質10BASE-T/10BASE-TX3類或3類以上UTP,100BASE-TX五類。

傳輸模式支持全雙工

配置形式糾錯可級聯互換方式糾錯存儲轉發背板帶寬糾錯8.8Gbps第四章網絡基本拓撲圖4.1說明XX學校分為3個校區A,B,C每個校區分別進行規劃，規劃分三層：核心層，匯聚層，接入層，并應用相應設備進行組網4.2A校區基本拓撲圖4.3B校區基本拓撲圖4.4C校區基本拓撲圖第五章規劃互聯接口5.1A校區核心層互換機與各三層設備互聯的接口與接口地址規劃表5-15.2A校區2811路由器與防火墻和因特網互聯的接口與接口地址規劃表5-25.3A校區防火墻與DMZ區服務器接入互換機（3560）之間的接口與接口地址規劃表5-35.4B校區各匯聚層互換機與B校區核心層互換機互聯接口及接口地址規劃表5-45.5C校區2811接口與接口地址規劃表5-55.6C校區核心互換機與2811和防火墻的接口及接口地址規劃表5-65.7校園網網段地址規劃表5-7第六章公網地址使用規劃6.1A校區ChianNet公網地址使用規范表6-16.2A校區Cernet公網地址使用規范表6-2校園NAT轉換示例（以A校區示例）：6.2-1由于模擬器限制不能執行地址池所以在模擬器上有接口轉換配置命令如下Router>enablePassword:Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfacefastEthernet0/0Router(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#interfacefastEthernet1/0Router(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#interfaceethernet0/3/0Router(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#interfacefastEthernet0/1Router(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#ipnatinsidesourcestatic01Router(config)#ipnatinsidesourcestatic12Router(config)#ipnatinsidesourcestatic23Router(config)#ipnatinsidesourcestatic34Router(config)#ipnatinsidesourcestatic45Router(config)#ipnatinsidesourcestatic56Router(config)#ipnatinsidesourcestatic67Router(config)#ipnatinsidesourcestatic78Router(config)#ipnatpooljiaoyunetmask52Router(config)#ipnatpooldianxin69netmask52Router(config)#access-list101denyipany55Router(config)#access-list101permitipanyanyRouter(config)#access-list102permitipany55Router(config)#access-list102permitipananRouter(config)#ipnatinsidesourcelist101interfacefastEthernet0/1overloadRouter(config)#ipnatinsidesourcelist102interfaceethernet0/3/0overloadRouter(config)#^ZRouter#writeBuildingconfiguration...[OK]6.2-2用地址池實現雙出口NAT策略的配置如下所示：Router>enablePassword:Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfacefastEthernet0/0Router(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#interfacefastEthernet1/0Router(config-if)#ipnatinsideRouter(config-if)#ippolicyroute-mapt0Router(config-if)#exitRouter(config)#interfaceethernet0/3/0Router(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#interfacefastEthernet0/1Router(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#route-mapt0permit10

Router(config)#matchipaddress101

setinterfaceFastEthernet0/1

Router(config)#route-mapt0permit20

Router(config)#matchipaddress102

Router(config)#setinterfaceEthernet0/3/0Router(config)#ipnatinsidesourcestatic01Router(config)#ipnatinsidesourcestatic12Router(config)#ipnatinsidesourcestatic23Router(config)#ipnatinsidesourcestatic34Router(config)#ipnatinsidesourcestatic45Router(config)#ipnatinsidesourcestatic56Router(config)#ipnatinsidesourcestatic67Router(config)#ipnatinsidesourcestatic78Router(config)#ipnatpooljiaoyunetmask52Router(config)#ipnatpooldianxin69netmask52Router(config)#access-list101denyipany55Router(config)#access-list101permitipanyanyRouter(config)#access-list102permitipany55Router(config)#access-list102permitipananRouter(config)#ipnatinsidesourcelist101pooldianxinoverloadRouter(config)#ipnatinsidesourcelist102pooljiaoyuoverloadRouter(config)#^ZRouter#writeBuildingconfiguration...[OK]6.3C校區Chinanet公網地址使用規范如表6.3所示：6.4C校區地址轉換配置如下所示：Router>enableRouter#configureConfiguringfromterminal,memory,ornetwork[terminal]?Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#access-list1permitanyRouter(config)#interfacefastEthernet0/0Router(config-if)#ipnatoutsideRouter(config)#interfacefastEthernet1/0Router(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#interfacefastEthernet0/1Router(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#ipnatinsidesourcelist1interfacefastEthernet0/0overloadRouter(config)#^ZRouter#%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsolewrRouter#writeBuildingconfiguration...[OK]第七章校園網設備基本配置示例校園網分為三個校區：A、B、C，基本的路由器和互換機的使用策略是同樣的，配置命令相仿，現在以A校區的部分設備為例進行示范7.1A區互換機及路由器配置示例1A區核心層互換機配置命令：switch(config)#hostnameAhexinAhexin(config)#enablesecretjpAhexin(config)#linevty04Ahexin(config-line)#passwordjpAhexin(config-line)#loginAhexin(config-line)#exitAhexin(config)#lineconsole0Ahexin(config-line)#passwordjpAhexin(config-line)#exitAhexin(config-if)#interfacefastEthernet0/1Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress252Ahexin(config)#interfacefastEthernet0/2Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress852Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/3Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress452Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/4Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress052Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/5Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress652Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/6Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress252Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/7Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress852Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/8Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress452Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/9Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress052Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/10Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress52Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/11Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress52Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/12Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress52Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/13Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress052Ahexin(config-if)#exitAhexin(config)#interfacefastEthernet0/24Ahexin(config-if)#noswitchportAhexin(config-if)#ipaddress652Ahexin(config-if)#exitAhexin(config)#interfacerafastEthernet0/24Ahexin(config-if-range)#noshutdownAhexin(config-if-range)#exitAhexin(config)#iproutefastEthernet0/13Ahexin(config)#iproutefastEthernet0/2Ahexin(config)#iproutefastEthernet0/3Ahexin(config)#iproutefastEthernet0/3Ahexin(config)#iproutefastEthernet0/4Ahexin(config)#iproutefastEthernet0/4Ahexin(config)#iproutefastEthernet0/5Ahexin(config)#iproutefastEthernet0/5Ahexin(config)#iproutefastEthernet0/6Ahexin(config)#iproutefastEthernet0/6Ahexin(config)#iproutefastEthernet0/7Ahexin(config)#iproutefastEthernet0/8Ahexin(config)#iproutefastEthernet0/10Ahexin(config)#iproutefastEthernet0/11Ahexin(config)#iproutefastEthernet0/9Ahexin(config)#iproute224fastEthernet0/13Ahexin(config)#iproutefastEthernet0/13Ahexin(config)#iproute840fastEthernet0/12Ahexin(config)#^ZAhexin#%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsolewrBuildingconfiguration...[OK]2A區匯聚層互換機配置命令示例（學生宿舍5）Switch>enableSwitch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#enablesecretjpSwitch(config)#hostnamexueshengsushe5xueshengsushe5(config)#interfacefastEthernet0/1xueshengsushe5(config-if)#noswitchportxueshengsushe5(config-if)#ipaddress7xueshengsushe5(config)#vlan2xueshengsushe5(config-vlan)#namexueshengsushe5-1xueshengsushe5(config-vlan)#exitxueshengsushe5(config)#vlan3xueshengsushe5(config-vlan)#namexueshengsushe5-2xueshengsushe5(config-vlan)#exitxueshengsushe5(config)#interfacerangefastEthernet0/2-7xueshengsushe5(config-if-range)#SWitchportModeAccessxueshengsushe5(config-if-range)#switchportaccessvlan2xueshengsushe5(config-if-range)#exitxueshengsushe5(config)#interfacerangefastEthernet0/8-13xueshengsushe5(config-if-range)#switchportmodeaccessxueshengsushe5(config-if-range)#switchportaccessvlan3xueshengsushe5(config-if-range)#exitxueshengsushe5(config)#iproutingxueshengsushe5(config)#interfacevlan2%LINK-5-CHANGED:InterfaceVlan2,changedstatetoupxueshengsushe5(config-if)#xueshengsushe5(config-if)#ipaddress54xueshengsushe5(config-if)#exitxueshengsushe5(config)#interfacevlan3%LINK-5-CHANGED:InterfaceVlan3,changedstatetoupxueshengsushe5(config-if)#xueshengsushe5(config-if)#ipaddress54xueshengsushe5(config-if)#exitxueshengsushe5(config)#iproutefastEthernet0/1xueshengsushe5(config)#linevty04xueshengsushe5(config-line)#passwordjpxueshengsushe5(config-line)#loginxueshengsushe5(config-line)#exitxueshengsushe5(config)#lineconsole0xueshengsushe5(config-line)#passwordjpxueshengsushe5(config-line)#exitxueshengsushe5(config)#^Zxueshengsushe5#%SYS-5-CONFIG_I:Configuredfromconsolebyconsolexueshengsushe5#writeBuildingconfiguration...[OK]3A區邊界路由器配置如下：Router>enableRouter#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfacefastEthernet0/0Router(config-if)#noshutdown%LINK-5-CHANGED:InterfaceFastEthernet0/0,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/0,changedstatetoupRouter(config-if)#ipaddress52 Router(config-if)#exitRouter(config)#interfacefastEthernet1/0Router(config-if)#noshutdown%LINK-5-CHANGED:InterfaceFastEthernet1/0,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet1/0,changedstatetoupRouter(config-if)#ipaddress952Router(config)#interfacefastEthernet0/1Router(config-if)#noshutdown%LINK-5-CHANGED:InterfaceFastEthernet0/1,changedstatetoupRouter(config-if)#noshutdownRouter(config-if)#ipaddress352Router(config-if)#exitRouter(config)#interfaceethernet0/3/0Router(config-if)#noshutdown%LINK-5-CHANGED:InterfaceEthernet0/3/0,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceEthernet0/3/0,changedstatetoupRouter(config-if)#ipaddress52%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/1,changedstatetoupRouter(config-if)#exitRouter(config)#iproutefastEthernet0/1Router(config)#iproutefastEthernet1/0Router(config)#iproute840fastEthernet0/0Router(config)#iprouteethernet0/3/0Router(config)#enablesecretjpRouter(config)#linevty04Router(config-line)#passwordjpRouter(config-line)#loginRouter(config-line)#exitRouter(config)#lineconsole0Router(config-line)#passwordjpRouter(config-line)#^Z%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleRouter#wrBuildingconfiguration...[OK]4A區防火墻配置如下：Switch>enableSwitch#configuretEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#enablesecretjpSwitch(config)#linevty04Switch(config-line)#passwordjpSwitch(config-line)#loginSwitch(config-line)#exitSwitch(config)#lineconsole0Switch(config-line)#passwordjpSwitch(config-line)#exitSwitch(config)#interfacefastEthernet0/1Switch(config-if)#noshutdownSwitch(config-if)#noswitchport%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/1,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/1,changedstatetoSwitch(config-if)#ipaddress52Switch(config-if)#interfacefastEthernet0/3Switch(config-if)#noshutdownSwitch(config-if)#noswitchport%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/3,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/3,changedstatetoSwitch(config-if)#ipaddress52Switch(config-if)#interfacefastEthernet0/2Switch(config-if)#noshutdownSwitch(config-if)#noswitchportSwitch(config-if)#ipaddress52Switch(config-if)#exitSwitch(config)#iproutefastEthernet0/2Switch(config)#iproutefastEthernet0/1Switch(config)#iproute840fa0/3Switch(config)#^Z%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleSwitch#writeBuildingconfiguration...[OK5A區服務器接入互換機配置如下：Switch>enableSwitch#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#enablesecretjpSwitch(config)#linevty04Switch(config-line)#passwordjpSwitch(config-line)#loginSwitch(config-line)#exitSwitch(config)#lineconsole0Switch(config-line)#passwordjpSwitch(config-line)#exitSwitch(config)#interfacefastEthernet0/3Switch(config-if)#noswitchport%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/3,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/3,changedstatetoSwitch(config-if)#ipaddress052Switch(config-if)#exitSwitch(config)#interfacerangefa0/1-2Switch(config-if-range)#switchportmodeaccessSwitch(config-if-range)#switchportaccessvlan2Switch(config-if-range)#exitSwitch(config)#interfacevlan2%LINK-5-CHANGED:InterfaceVlan2,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan2,changedstatetoSwitch(config-if)#ipaddress940Switch(config-if)#exitSwitch(config)#iproutingSwitch(config)#iproutefastEthernet0/3Switch(config)#exit%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleSwitch#writeBuildingconfiguration...[OK]第八章防火墻的配置8.1綜合樓匯聚層IP包過濾ACL配置配置分析：綜合樓是學校的辦公樓，不需要對用戶的上網行為進行控制，因此ACL的蛀牙功能是過濾常見的病毒傳播端口，控制病毒在網絡上的傳播做法為：配置一個ACL列表，然后應用到互換機的所有端口，常見的病毒端口如表8-1所示：

表8-1配置命令如下所示：Switch>enableSwitch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#access-list101denytcpanyanyeq4444Switch(config)#access-list101denyudpanyanyeq69Switch(config)#access-list101denytcpanyanyrange135139Switch(config)#access-list101denytcpanyanyeq445Switch(config)#access-list101denytcpanyanyeq539Switch(config)#access-list101denytcpanyanyeq445Switch(config)#access-list101denytcpanyanyeq5554Switch(config)#access-list101denytcpanyanyeq9995Switch(config)#access-list101denytcpanyanyeq9996Switch(config)#access-list101denytcpanyanyeq1434Switch(config)#access-list101denyudpanyanyra135139Switch(config)#access-list101denyudpanyanyeq445Switch(config)#access-list101denyudpanyanyeq593Switch(config)#access-list101denyudpanyanyeq1434Switch(config)#access-list101permitipanyanySwitch(config)#interfacerangefastEthernet0/1-24Switch(config-if-range)#noswitchportSwitch(config-if-range)#ipaccess-group101inSwitch(config-if-range)#^ZSwitch#%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleSwitch#writeBuildingconfiguration...[OK]8.2教學樓匯聚層ACL配置配置分析：教學樓計算機的使用者眾多，重要涉及教師學生和其別人員，為了控制用戶使用網絡的流量和病毒傳播，應使用較高的安全措施，即只允許用戶進行常用網絡操作，其余操作所有嚴禁。常用網絡操作端口如表8-2所示表8-2配置如下所示：Switch>enableSwitch#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#access-list101permittcpanyanyeq80Switch(config)#access-list101permittcpanyanyeq20Switch(config)#access-list101permittcpanyanyeq21Switch(config)#access-list101permittcpanyanyeq25Switch(config)#access-list101permittcpanyanyeq53Switch(config)#access-list101permittcpanyanyeq443Switch(config)#access-list101permitudpanyanyeq53Switch(config)#access-list101permitudpanyanyeq67Switch(config)#access-list101permitudpanyanyeq68Switch(config)#access-list101denyipanyany Switch(config)#interfacerafastEthernet0/1-24Switch(config-if-range)#noswitchport%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/2,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan2,changedstatetodown%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/2,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan2,changedstatetoSwitch(config-if-range)#ipaccess-group101inSwitch(config-if-range)#^Z%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleSwitch#writeBuildingconfiguration...8.3配置校園網防火墻在本校園網拓撲結構中，防火墻僅用來保護DMZ區中的服務器群以免受到因特網和校園內網的襲擊。內網和因特網用戶，可以訪問DMZ區的WWW、HTTPS、FTP、SMTP、POP3、DNS、DHCP服務，并允許ping2服務器DMZ區中的主機可以任意訪問因特網中的WWW、HTTPS、FTP、SMTP、POP3、DNS、DHCP服務，并允許ping因特網中的任意主機DMZ服務器群提供的服務如表8-3所示：表8-3配置命令如下所示：8-3.1定義和應用WAN口的ACL規則firewall>enablePassword:firewall#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.firewall(config)#access-list101permittcpanyhost1eqwwwfirewall(config)#access-list101permittcpanyhost1eq443firewall(config)#access-list101permittcpanyhost1ra2021firewall(config)#access-list101permiticmpanyhost1firewall(config)#access-list101permittcpanyhost2ra2021firewall(config)#access-list101permittcpanyhost2eqsmtpfirewall(config)#access-list101permittcpanyhost3eqpop3firewall(config)#access-list101permittcpanyhost3eq53firewall(config)#access-list101permitudpanyhost3eq53firewall(config)#access-list101permittcpanyanyeq53firewall(config)#access-list101permitudpanyanyeq53firewall(config)#access-list101permittcpanyanyeqwwwfirewall(config)#access-list101permittcpanyanyeqftpfirewall(config)#access-list101permittcpanyanyeq20firewall(config)#access-list101permittcpanyanyeq443firewall(config)#access-list101permittcpanyanyeqsmtpfirewall(config)#access-list101permittcpanyanyeqpop3firewall(config)#access-list101denyipanyanyfirewall(config)#interfacefastEthernet0/2firewall(config-if)#ipaccess-group101infirewall(config-if)#^Z%SYS-5-CONFIG_I:Configuredfromconsolebyconsolewrfirewall#writeBuildingconfiguration...[OK]8-3.2定義和應用LAN口的ACL規則配置命令如下：firewall#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.firewall(config)#access-list102permittcpanyhost1eqwwwfirewall(config)#access-list102permittcpanyhost1eq443firewall(config)#access-list102permittcpanyhost1range2021 firewall(config)#access-list102permiticmpanyhost1firewall(config)#access-list102permittcpanyhost2range2021firewall(config)#access-list102permittcpanyhost3eqsmtpfirewall(config)#access-list102permittcpanyhost3eqpop3firewall(config)#access-list102permitudpanyhost4eq53firewall(config)#access-list102permittcpanyhost4eq53firewall(config)#access-list102permittcpanyhost5ra6768firewall(config)#access-list102denyipanyanyfirewall(config)#interfacefastEthernet0/1firewall(config-if)#ipaccess-group102infirewall(config-if)#^Zfirewall#%SYS-5-CONFIG_I:Configuredfromconsolebyconsolefirewall#writeBuildingconfiguration...[OK]8-3.3定義和應用DMZ口的ACL配置配置命令如下：firewall#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.firewall(config)#access-list103permittcpanyhost1eqwwwfirewall(config)#access-list103permittcpanyhost1eq443firewall(config)#access-list103permittcpanyhost1range2021firewall(config)#access-list103permiticmpanyhost1echo-replyfirewall(config)#access-list103permittcpanyhost2ra2021firewall(config)#access-list103permittcpanyhost2eqsmtpfirewall(config)#access-list103permittcpanyhost2eqpop3firewall(config)#access-list103permittcpanyhost3eq53firewall(config)#access-list103permitudpanyhost3eq53firewall(config)#access-list103permittcpanyhost5range6768firewall(config