關鍵詞：無線網絡，網絡設計，網絡安全目錄 目前，校園中已遍布了有線網絡，但是受電纜布置等諸多限制，一些地區存在著網絡盲區或不能布線的問題。移動、靈活是無線網絡最大的特征，利用無線網絡技術可以很好地解決上述問題，而無線網絡則是目前有線網絡的一種有效補充，并將其加以擴充。在學生公寓無線網絡的設計中要充分考慮網絡的覆蓋面，同時要考慮到將來的網絡空間的擴展，做一定的預留。在無線網絡系統的設計過中，主要考慮了無線網絡的覆蓋范圍，盡量避免出現盲點，并為無線網絡提供有效且快速的無線網絡環境。本課題主要是對學生公寓無線網絡規劃設計進行研究并以cisco模擬器為基礎，研究學生公寓無線網絡的設計和網絡安全策略，CiscoPacketTracer是思科的跨平臺網絡模擬器軟件REF_Ref100927561\r\h[1]，主要針對CCNA與CCNP認證課程，其目的是在各種模型和平臺上構建不同規模的網絡拓撲結構，支持各種安全協議、應用協議，并能對思科路由器，交換機，無線設備，應用服務器進行仿真，而且不需要購買物理設備來支持建立任何類型的網絡。同時，CiscoPacketTracer在具體應用中也存在一定的局限性，路由器、交換機、防火墻等設備都是采用CiscoIOS命令級別的仿真，而非CiscoIOS的層級，僅支持WEB和圖形處理。所以，CiscoPacketTracer只能仿真真實設備的某些功能而非所有功能。該系統采用了開放源碼技術架構，易于移植。由于沒有專門提供配置服務，用戶只能根據自己的需要進行相應配置；另外,CISCO在安裝過程中也存在一些問題。另外，因為CiscoPacketTracer是一個單一的電腦環境，所以無法與其他物理設備、模擬器和虛擬機進行虛擬和真實的互動。無線局域網(WLAN)是一種計算機與無線通訊技術的有機結合，在技術上，電腦間的通訊是一種利用多種無線接入渠道的無線局域網，結合傳統的移動通訊技術，為客戶提供多元化、個性化的無線訪問服務，但同時也有優點，即不需要傳統的有線和以太網。傳統的網絡傳送方法多是銅線或光纖線。由這種傳輸媒介組成的網絡通常被稱為局域網，因為傳輸媒介的特性，在有些情形下，網絡會受到限制，尤其是在距離較遠的地方，而需要連接時，這些專有通訊線路難以連結且成本高昂，嚴重妨礙了網絡的發展。如果有了無線網絡，現在有線網絡的現有問題就會一一得到解決。國家局域網的歷史可以回溯到50年以前，當時的美國部隊用無線電信號傳送資料，他們利用了一種很厲害的密碼技術來保證資料的安全，這種無線傳輸技術激發了很多研究者，在1971年，第一個無線通訊網絡是由一個夏威夷大學的研究人員創建的名為ALOHNET的網絡。無線電網絡正式誕生于無線電網絡的例子中，它包括四座樓宇，當時還沒有一個標準來支持無線網絡技術。在接下來的幾年里，第一個標準化的無線網絡文件，即IEEE802.11標準，將為無線網絡建立起一個統一的標準體系架構，無線網絡已經為技術的快速發展提供了強大的推動力。隨著信息技術的飛速發展，海量的信息涌入，人們迫切的需要手中的終端可以在網絡中隨意的移動和漫游，以滿足自身對數據、語音、圖像、視頻等實時信息的需求。由于使用者的要求越來越高，網路通訊技術持續發展，相對于有線網路，WLAN無需有線媒體，能直接透過電磁波進行數據傳送，其優點顯而易見。在海外，卡內基梅隆大學在匹茲堡校區建立了全球首個校園無線網絡，而德雷克塞爾大學則開創了美國首所擁有完整校園無線網絡服務的學校。目前，美國大部分大學都已經開通了校園無線網絡REF_Ref100928004\r\h[2]。現在，許多發達國家的高校也已建立起了自己的無線校園網絡并運用到課堂及教學之中，同時也將互聯網的資源拓展到了線下，提升了學校各類教學資源的利用率，同時也為師生之間的日常生活提供了正常的網絡環境，在教育和社會服務、科學研究等方面越來越多地依靠無線校園網。自上個世紀末，隨著互聯網的普及，網絡建設進入了一個新的高峰。網絡技術與信息技術對高校教學、科研模式、深刻地影響著學生的學習和生活。當前，因特網已成為大學教學和科研的重要信息平臺，但此時的網絡訪問仍以有線方式進行。科技的發展，永遠都是在尋求更好的工作和居住條件。通過無線上網，大學的信息化建設將達到一個新的高度。比如，在校園里，學生可以帶著筆記本電腦，在校園里，他們可以在同一時間內通過計算機連接網絡，真正地走上了網絡教育的道路。近幾年，由于人們看到了無線網絡在提高教育質量方面的巨大作用，國內許多大學都積極參與到無線局域網的建設中。目前，復旦、北京大學等高校已建成或部分建成了大型校園無線網絡。與家庭WLAN相比，校園無線網絡在網絡規模、覆蓋范圍、用戶規模上都有很大的提高，因此在這種情況下，必須采用集中式的網絡管理和網絡漫游的方式。本課題主要通過使用ciscopackettracer(思科仿真實驗模擬器)來進行學生公寓無線網絡方案的設計和實現，并且在后續會基于校園里主要的用戶進行需求分析，工作的主要內容包括如下：對學生公寓無線網絡進行規劃以及設計，通過詳盡的資料查詢和對組建校園網的相關技術進行研究和學習在ciscopackettracer中對學生公寓無線網絡的拓撲結構進行詳細的規劃和設計并查閱相關的cisco路由交換技術對其進行完善和修改在已搭建好的學生公寓無線網絡拓撲上配置防火墻用于網絡安全防護通過ping、WEB、NAT等多種技術對整個網絡連通性及運行情況進行測試電氣和電子工程協會（InstituteofElectricalandElectronicsEngineers，IEEE）是全球最大的非營利專業技術組織，其范圍涵蓋了幾乎所有的電子和電氣技術，包括36個技術組織，涵蓋范圍很廣，特別是一些特定的問題。該委員會及工作小組由專業人士組成，主要負責有關領域的開發、研究或制造，并定期舉行數次研討會，探討本產業的發展方向，或改進現行的標準，以建立可運作的模式或規格，以供各廠家開發及銷售。802.11系列WLAN標準也是IEEE802工作組開發的。在802.11標準實施以前，各無線通信公司所生產的設備都是以其獨有的技術為基礎，雖然無線通信不斷發展，但是沒有一個統一的通信標準。因為擔心與某個特定的供應商捆綁在一起，所以潛在的無線用戶轉向了有線技術，這些有線技術擁有更多的通用標準。這就使無線網路無法大規模部署，反而成了大企業的一種奢侈。因此，在一九九七年六月二十六日，IEEE正式通過了802.11無線LAN的標準，從此，802.11的部署費用就大大降低了，不久，WLAN就進入了學校、企業和家庭，并逐漸走向成熟。802.11標準規定了WLAN物理層和MAC(MediaAccessControl,MAC）協議。在802.11協議的物理層中，采用了IR、FHSS、DSSS三種通信模式。802.11協議MAC層采用DCF與PCF的連接模式REF_Ref102069052\r\h[4]。總的數據傳送率設計為2Mbit/s。在1999年，IEEE802.11b通過了802.11協議，這是對802.11協議物理層DSSS的一種改進，它通過了HR/DSSS模式來增加物理層的傳輸速率。標準規定的HR/DSSS模式，也是2.4GHzISM頻段，使用的是IEEE802.11協議，在國內和美國共有13個交迭通道，各有22MHz的帶寬，2412-2472兆赫，間隔5MHz。此外，為了提高DSSS的通訊能力，HR/DSSS還使用了補碼鍵控（CCK）技術來支持5.5Mb/s和11Mb/s傳送方式。802.11所帶來的速率提高使得802.11b無線LAN技術比原來的標準（1-2Mb/s）更為家庭和企業用戶所接受。同一年，IEEE802.11a協議是在802.11b標準中更新的，因為它需要更大的帶寬。802.11a協議是由IEEE802.11工作組定義的5GHzISM波段的OFDM協議。支持20MHz、10MHz、5MHz的信道寬帶。因為2.4GHz越來越多，而5GHz現在基本上處于閑置狀態，因此802.11a的吞吐量一般都比較高。在2003年，802.11g被加入到802.11標準中，以進一步改善2.4GHz波段物理層的傳送速度。802.11g改進了2.4GHz無線網絡的802.11b無線網絡技術，將發送速率提升至54Mb/s。802.11g和802.11b都是在同一個2.4GHz頻率下工作，但是它們采用了OFDM技術，提高了傳輸速度。與此同時，802.11g的硬件也可以向后兼容802.11b，從而實現了這兩個技術的互連。但是，很多不同的設備都在爭奪2.4GHz的頻段，而2.4GHz的頻段已經被過度利用。IEEE802.11e協議加強了802.11中MAC的功能，從而為多媒體業務提供QoS（服務質量）。該協議與802.11b/g、802.11a兼容，提高了網絡視頻點播、點播、高速網絡接入、IP電話等業務。服務質量是802.11e增加了一個重要的特性，它可以對數據通信進行優先處理。比如，一般的數據通訊并不具有時間敏感性，所以其優先次序比流視頻的傳送要低。這些功能的加強，使無線網絡可以逐步適應當前的使用要求。IEEE802.11n是對802.11a/g協議的一種改進，它支持2.4GHz、5GHz的ISM頻段，并通過MIMO-OFDM技術來提高網絡的傳輸速度，并在20MHz/40MHz的基礎上，支持600Mb/s的最大傳輸速率。802.11n由于采用了多個天線技術，可以實現從發送到接收的多條信道，從而實現多路傳輸，從而增強了無線網絡的使用體驗。通過對多個天線信號的處理，可以顯著地提高接收機信噪比，從而間接提高了信號的質量和覆蓋范圍。802.11n技術在保證了網絡傳輸速率和覆蓋率的同時，也可以保證用戶的原有開銷，并與802.11a/b/g標準相適應。802.11ac是802.11無線計算機網絡通訊標準，它可以讓企業和家庭的用戶進行無縫的漫游，并且可以在漫游時提供相應的安全管理和管理診斷等管理策略。該系統基于802.11n的核心技術，采用5GHz頻段進行WLAN通訊，提高了帶寬、空間流、高階次的調制方式，與MIMO技術、RTS/CTS等技術相結合，使數據傳輸信道得到了極大的擴展。802.11ac標準還與以前的所有標準兼容，可以繼續之前的工作，從而可以提供更高的速度。同時，802.11ac標準還采用了波束成形技術，可以有效地減少冗余的干擾，確保各種不同的客戶機在最佳狀態下運行，并具有最高的傳輸速度。IEEE802.11系列標準經過十多年的發展，由IEEE802.11、IEEE802.11a、IEEE802.11b、IEEE802.11z等28種（包括正在開發的）。802.11標準正在不斷改進WLAN技術，使其性能得到改進，安全性和互用性得到了加強。在WLAN中，主要將網絡單位劃分為站點（Station,STA）和接入點（AP）。在這些基礎設施中，站點是基礎設施，可以看作是網絡中的通訊設備；而接入點，則是一個具有聚集和訪問能力的站點，它與分布式系統（DS）連接在一起。AP和STA可以按照不同的應用情況和需要構成不同的網絡。WLAN的拓撲結構大體一致，可以歸納為無中心和有中心兩種類型。根據AP功能的不同，WLAN的網絡模式可以分成六類：一是點對點的網絡結構，也就是自組織網絡的拓撲結構。這種模式是一種采用點對點結構的無線網路，它是一種自發的單一區域網路，無需AP轉接，亦不能與有線網絡連接，只有若干位置相同的STA，可在一臺或多臺無線工作站之間進行直接通信，并可自行維持系統的網路安全性。二是基礎結構，它包括無線接入點（AP）、無線工作站（STA）和分布系統（DS)，這是最常用的無線網絡配置方法，它所覆蓋的地區被稱作BSS(BSS)，是一種集中式網絡。在網絡中，以AP為核心節點，將通訊傳輸給每個工作站，而無線客戶機也是通過AP來訪問網絡。通過接入點和連接到其上的分布系統（例如，有線局域網)，可以使網絡中的通訊數據與有線網絡進行連接。最簡單的基本架構可能僅包含一個AP，而AP的覆蓋半徑可以達到數百米，為數十至數百名用戶提供無線網絡服務。三是多點接入方式，也被稱作“多蜂窩結構”，它是由多個點組成的。這種模式是一種基本的結構類型的網絡，它包括多個接入點（AP）和一個分布系統（DS）。每一個AP都是一組獨立的無線網絡基本服務集（BSS)，其基礎業務集合一般被視為一個核心，由多個基礎業務集合（BSS）構成一個擴展服務集（ESS）。在擴展服務集合（ESS）中，可以為該地區的所有AP提供擴展服務標識（ESSID)，以便用戶能夠在具有同一ESSID的無線網絡之間漫游，在不間斷的情況下，從一處移動到另一處。一般情況下，各中心的覆蓋面將會被設定為15%的重疊區間，以方便無線工作站實現“蜂窩”間的無縫漫游。同時，ESSID能夠在不同的無線網絡之間構成一個邏輯子網，因此，多AP的基礎架構可以實現大面積無線網絡覆蓋，甚至是整個城市的無線網絡。四是無線網橋方式，即利用一對網橋將兩個有線或WLAN的網絡部分連接起來，以達到資源共享的目的。在實踐中，通常采用一對AP將兩個有線或WLAN網絡互相連接。五是無線中繼器模式。一般采用無線轉發器進行數據傳輸，使多條通信通路相互連通，擴大了無線局域網的覆蓋面。六是AP客戶機模式。中心的無線客戶機一般被設定為AP模式，以提供中央有線本地網的連接，而在其無線覆蓋范圍內提供訪問業務REF_Ref102069294\r\h[5]。即動態主機設置協議(DynamicHostConfigurationProtocol,DHCP)REF_Ref102069330\r\h[6]，是一個LAN的網絡協議，通過UDP協議運行，主要作用是給網絡中各計算機自動化分配子網掩碼、IP地址、DNS等相關參數。當網絡中存在多臺終端設備時，手動給設備配置地址就會帶來巨大的工作量，準確率(通常指地址沖突)也不會很高。DHCP在無線網絡中的應用越來越廣泛。特別是在無線網絡中，由于受無線資源的制約，采用DHCP技術對IP地址進行動態分配與管理，可以有效地抑制大量的無效廣播報文，并對有限的網絡資源進行有效的利用。當前，針對DHCP協議的研究，主要集中于改進協議的功能、解決DHCP服務器的失效、加入協議校驗、檢測網絡中的異常地址等。在網絡中，一些主機訪問網絡時，不支持動態的主機組態協議，也不會啟用DHCP客戶機。比如，以靜態地址組態訪問網絡，設定l6為IP地址，DHCP服務器找不到未接入DHCP客戶端使用的IP地址，而DHCP服務器在DHCP客戶端存取網路時，傳送DHCPACK訊息，判斷所指定的IP地址恰好是6。DHCP客戶端會向本網區段廣播一個ARP資料包，以確認所提供的IP位址是否有效，若DHCP服務器所提供的IP位址與其它電腦不發生沖突，DHCP處理就會終止。若指定的IP位址6已被使用，則此客戶機需要重新向DHCP服務器傳送DHCPDISCOVER訊息，然后重啟DHCP處理，以取得新的IP地址，從而導致DHCP客戶端二次或多次DHCP協定處理。DHCP客戶端多次啟動DHCP流程的弊端是顯而易見的，DHCP流程是將DHCPDISCOVER報文、DHCPREQUEST報文進行廣播，但其網絡開銷較大。尤其是在大規模的網絡中，由于大量的用戶使用人工配置，會增加DHCP服務器分配沖突地址的幾率，從而使DHCP客戶端反復啟動DHCP進程，從而使網絡負荷增加，造成網絡性能降低，造成網絡擁塞。當非DHCP客戶端離開網路時，無法再進行再分配，造成IP地址資源的浪費。DHCP的另外一個缺點是，服務器無法管理未接入的DHCP客戶端。在非DHCP客戶端退出網絡后，其原有的地址無法及時回收、重新分配給新的接入網的主機，造成無法有效、充分的分配。DHCP服務的基礎架構是client/server模式，客戶機發送一個請求，以獲得IP地址。而且，如果客戶端和服務器不在同一2層網絡（也就是，廣播可以訪問的網絡范圍），那么必須有一臺可以傳輸消息的轉播設備，或一臺可以將該廣播報文轉換為單一播報的設備。DHCP是一種以UDP為基礎的C/S模式協議，它可以自動地配置主機。主要有DHCP服務器，DHCP客戶端，DHCP中繼代理三大模塊。(1)發現階段。DHCP客戶端在初始化的狀態下，通過DHCP客戶端發送DHCPDISCOVER的消息，它將會啟動DHCP進程，并且所有的DHCP服務器都能接收到這個包，并且對這個包做出反應。DHCP客戶機應當有一個超時機制，在DHCP處理失敗后，會自動啟動新的DHCP處理。(2)提供階段。也就是在DHCP服務器中為客戶端提供IP地址的步驟。DHCP服務器在收到客戶DHCPDISCOVER數據包之后，從IP地址池中選取一個還沒有被指定的IP，并指定給客戶機，將指定IP地址記錄存儲在DHCPOFFER包中。(3)選擇階段。若有多個DHCP服務器將DHCPOFFER包傳送至此用戶端，客戶機僅對最先收到的DHCPOFFER報文作出反應，并以廣播方式作出反應。聲明DHCP選定的DHCP服務器.并且將正式的地址請求發送給DHCP服務器。當DHCP服務器收到DHCPOFFER報文時，將會釋放預先為客戶機指定的IP地址。(4)確認階段。在DHCP被選中的DHCP服務器在接收到DHCPREQUEST消息后，向客戶端發送包含IP地址及其他配置信息的DHCPACK響應消息。DHCP給終端設備分發地址的方式主要有三種，分別如下：(1)自動分配方式（AutomaticAllocation）：當DHCP客戶機從DHCP服務器上首次獲得IP地址后，它將被永久的使用。一般是給打印機之類設備使用。(2)動態分配（DynamicAllocation）：通常的網絡設備都是采用這樣的分配模式，向服務器請求地址時，服務器會提供給客戶端一個IP地址，這個IP地址是有時限的，只能臨時指定一個可用的地址，當這個地址過期或者被客戶端明確放棄時，這個地址可以重新被其他主機使用。(3)手動分配：網路管理員將指定一個IP地址并將其發送到客戶端，而DHCP服務器僅向客戶端主機發送特定IP地址。NAT（NetworkAddressTranslation）是一種非常普遍的網絡地址轉換技術，在思科11.2IOS中首先使用，它被界定為RFC1631和RFC3022，其主要的功能是將內網的私有地址轉化成公有地址，緩解IPV4地址空間的不足，并且還具有一定的安全性REF_Ref100928416\r\h[7]，有效的保護了內網主機地址直接被外網用戶知曉而帶來的危險。但它也存在著很多問題，由于每一封包到達路由器后都要進行包頭的變換，因此造成了一定的延時，DNS區域傳輸、BOOTP/DHCP等協議無法通過NAT路由器，但在學生公寓無線網絡建設的過程中遇到的讓學生正常上網和某種程度上的解決IP地址的安全問題中仍然需要用到NAT技術。NAT的配置一共有三種，分別如下：靜態地址轉換（StaticTranslation）：即把一個私人地址與一個公共網絡地址進行一對一的映射，這樣做既不會節約IP，也不會為內部網絡服務器提供服務。一般僅針對內部網絡服務器進行配置，這些內部網絡服務器需要服務于外部網絡。動態地址轉換（DynamicTranslation）：動態NAT指的是把一個局域網中的一個私有地址轉化成一個公有位址，這個地址是一個不確定的、隨機的，而所有被授權存取的私有地址可以被隨機地轉化成任何一個特定的合法IP位址。端口多路復用（PortAddressTranslation,PAT）：是指通過改變輸出報文的源端，實現端口的變換。內網的所有主機共用一個可用的外部IP地址以訪問因特網。在進行設計時，應遵循實用性、先進性、安全性、可靠性、開放性等基本原則。保證無線網絡在五年內不會出現重大的結構和設備升級，并能自動識別和隔離各種故障，防止無線網絡內外的攻擊。應該是基于商業驅動的兼容無線網絡標準，同時也應該易于安裝、維護和管理。經濟性與可擴充性原則在網絡設備、網絡架構、設備等方面都要考慮到更新的問題，在更新的同時還可以保留原來的數據。通過對學生公寓網絡環境的分析，校園網絡主要分為3層結構，即核心層、接入層和邊界路由，拓撲結構一般為星型結構REF_Ref100928504\r\h[14]，主流技術是千兆以太網。主要在路由邊界對各層進行策略性設計部署。網絡核心層：核心層是整個網絡的骨干，它需要使用高性能的網絡處理芯片以及交換芯片，它對千兆端口的要求很高，系統的吞吐量也很大。在實際網絡拓撲結構中需要鏈路聚合來確保下發數據不會發生帶寬不足造成的網絡擁塞，也確保拓撲結構在發生變化時不會造成網絡中斷。網絡接入層：接入層是利用光纖、雙絞線、同軸電纜、無線接入技術來實現與用戶的互聯，為用戶提供多種接入方式、帶寬控制、服務和帶寬分配，并提供即插即用的特性，是最易使用和維護的環節。邊界路由：作為校園訪問互聯網的唯一通道，它要求在不同的辦公大樓間進行信息交換，并將路由的復雜度轉移到路由的管理中心，從而簡化了路由器的管理，并在不同的地方進行了最優的傳送。因此，在選擇邊界路由器時要考慮是否具有足夠強大的數據處理能力，模塊化的結構，高效、安全、易于使用等REF_Ref100928528\r\h[15]。以某校園網絡工程項目的應用需求為背景，規劃一個校園網絡，要求將每一個部分創建成一個相對獨立的局域網，保證網絡相互連通，同時網絡的連通性可控，如學生公寓的用戶無法訪問行政部的設備，網絡結構為典型的星型結構。經過詳細的分析調研，可設定如下網絡需求：（1）合理分配IP和劃分VLAN，保證網絡的互聯互通；（2）采用NAT技術實現眾多用戶同時使用網絡的需求；（3）允許網絡管理PC訪問外網但不允許外網訪問網絡管理PC；（4）在學生公寓采用無線網絡構造；如圖3.1為學生公寓無線網絡的初步拓撲結構圖圖3.1學生公寓無線網絡拓撲圖通過對核心交換機的合理配置，使其硬件性能得到最大程度的提高，并對其帶寬、網絡流量處理能力進行了調整，并對VLAN進行分區從而達到抑制廣播風暴的目的,廣播風暴(broadcaststorm)故障，即將一個數據包或幀傳輸至局部網段（由廣播領域限定）中的每一個節點為廣播；由于轉發，該網絡中的廣播幀數目迅速增長，因此出現了一種異常的網絡通訊REF_Ref100928568\r\h[16]；通過對路由器的合理選取和配置，具備包括配置管理，性能管理，容錯管理，流量管理等功能。一般用于互連局域網和廣域網網絡環境，以達到多個網絡間的互聯互通，從而提高系統的完整性和安全性。IP（Internetprotocol）網絡之間互連的協議，即計算機網絡間的連接通信協議。IP地址由一串數字以及字符組成，它可以唯一地識別一臺物理主機設備。每一個網絡的終端設備想要上網都需要有IP地址來支持，而IP地址的數量是有限的，因此IP地址很快就會被消耗掉，而事實上，IP地址分為私有IP地址和公網IP地址，在網絡建設時私有地址與公網地址結合，這樣就只需租用少量的公網地址就可以組成一個完整的網絡REF_Ref102070861\r\h[19]。在公網IP地址的選取上，盡量租借更多的公網IP地址，多余公網IP可作為后備。如表4.1所示：所屬部門所屬VLANIP網段網絡管理VLAN1/24行政部門VLAN2/24辦公樓VLAN3/24教學樓1VLAN4/24教學樓2VLAN5/24學生公寓VLAN6/24DHCPVLAN10/24DNSVLAN10/24WWWVLAN10/24核心到路由器三層接口/24邊界路由出口運營商指定/30外網服務器運營商指定/24表4.1VLAN及所屬網段劃分

Telnet協議是TCP/IP的一個分支，是一種國際標準的網絡協議，在互聯網中也是一種重要的通訊方式。用戶可以通過本地計算機進行遠程通訊。在用戶的電腦中，通過telnet與服務器相連，最終用戶可以在telnet程序中鍵入指令，然后在該服務器上執行，可以在本地控制遠程服務器開始Telnet會話REF_Ref100929716\r\h[20]。TRUNK指的是端口聚集，將兩個以上的物理端口通過配置軟件的設定連接到一個邏輯通路上，這樣可以在交換機和網絡節點之間增加帶寬，兩者結合就能使端口的帶寬超過單個端口。Switch>enable//進入特權模式Switch#configt//進入全局配置模式Switch(config)#hostnamexingzhengbu//修改設備名稱xingzhengbu(config)#enablesecretcisco//設置使能密碼xingzhengbu(config)#linevty04//進入telnet接口開放五個端口并最多允許五個用戶接入xingzhengbu(config-line)#passwordcisco//設置接口密碼xingzhengbu(config-line)#privilegelevel15//設置用戶權限等級15xingzhengbu(config-line)#login//開啟telnet登錄xingzhengbu(config)#interfaceFastEthernet0/2//進入物理接口xingzhengbu(config-if)#swithportmodetrunk//設置接口模式為trunk模式xingzhengbu(config-if)#switchporttrunkallowedvlanall//配置接口屬性xingzhengbu#write//保存配置Buildingconfiguration...[OK]Switch>enable//進入特權模式Switch#configt//進入全局配置模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#hostnamehexinluyou//修改設備名稱hexinluyou(config)#enablesecretcisco//修改使能密碼hexinluyou(config)#linevty04//進入telnet接口 hexinluyou(config-line)#passwordcisco//設置接口密碼hexinluyou(config-line)#privilegelevel15//設置優先級hexinluyou(config-line)#login//開啟telnet登錄hexinluyou(config-line)#exit//退出當前模式hexinluyou(config)#iprouting//啟動三層交換機路由功能hexinluyou(config)#interfacerangefastEthernet0/2-7//進入物理接口hexinluyou(config-if-range)#switchporttrunkencapsulationdot1q//對物理接口進行封裝hexinluyou(config-if-range)#switchportmodetrunk//將接口設置為trunk模式hexinluyou(config-if-range)#switchporttrunkallowedvlanall//配置接口屬性Router>enable//進入特權模式Router#configt//進入全局配置模式Enterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#enablesecretcisco//設置使能密碼Router(config)#linevty04//進入telnet接口 Router(config-line)#passwordcisco設置接口密碼Router(config-line)#privilegelevel15//設置優先級Router(config-line)#login//開啟telnet登錄Router(config-line)#exitRouter(config)#（1）接入層行政部：xingzhengbu(config)#vlan2//創建vlanxingzhengbu(config-vlan)#vlan1//創建網絡管理vlanxingzhengbu(config-vlan)#interfacerangefastEthernet0/3-21//批量配置物理接口xingzhengbu(config-if-range)#switchportmodeaccess//將接口設置為接入模式xingzhengbu(config-if-range)#switchportaccessvlan2//將接口劃入vlan中xingzhengbu(config-if-range)#interfacevlan1//進入網絡管理vlan1xingzhengbu(config-if)#ipaddressxingzhengbu(config-if)#noshut//啟動接口（2）核心層交換機配置：hexinluyou(config)#vlan1//創建管理vlan hexinluyou(config-vlan)#vlan2//創建vlanhexinluyou(config-vlan)#vlan3hexinluyou(config-vlan)#vlan4hexinluyou(config-vlan)#vlan5hexinluyou(config-vlan)#vlan6hexinluyou(config-vlan)#vlan10hexinluyou(config-vlan)#interfacevlan1//進入網絡管理vlanhexinluyou(config-if)#ipaddress53hexinluyou(config-if)#noshut//啟動接口hexinluyou(config-if)#exithexinluyou(config)#interfacevlan2//進入行政部所屬vlanhexinluyou(config-if)#ipaddress54hexinluyou(config-if)#noshuthexinluyou(config-if)#exithexinluyou(config)#interfacevlan3hexinluyou(config-if)#ipaddress54hexinluyou(config-if)#noshuthexinluyou(config-if)#exithexinluyou(config)#interfacevlan4hexinluyou(config-if)#ipaddress54hexinluyou(config-if)#noshuthexinluyou(config-if)#exithexinluyou(config)#interfacevlan5hexinluyou(config-if)#ipaddress54hexinluyou(config-if)#noshuthexinluyou(config-if)#exithexinluyou(config)#interfacevlan6hexinluyou(config-if)#ipaddress54hexinluyou(config-if)#noshuthexinluyou(config-if)#interfacefastEthernet0/24hexinluyou(config-if)#exithexinluyou(config)#interfacefastEthernet0/24//進入接口hexinluyou(config-if)#switchportmodeaccess//調整接口的屬性為接入模式hexinluyou(config-if)#switchportaccessvlan1//將接口劃進vlanhexinluyou(config-if)#exithexinluyou(config)#interfacefastEthernet0/23hexinluyou(config-if)#noswitchport//設置為三層接口hexinluyou(config-if)#ipadd54//設置三層接口地址hexinluyou(config-if)#noshut//啟動三層接口hexinluyou(config-if)#exithexinluyou(config)#interfacefastEthernet0/1hexinluyou(config-if)#noswitchporthexinluyou(config-if)#ipaddhexinluyou(config-if)#exithexinluyou(config)#iproute//靜態路由配置（3）邊界路由器配置：Router(config)#interfacefastEthernet0/0//進入接口Router(config-if)#ipaddRouter(config)#interfaceSerial2/0Router(config-if)#ipadd48Router(config-if)#interfaceloopback0//創建管理回環接口Router(config-if)#ipadd//配置回環地址Router(config-if)#noshutRouter(config)#iproute//配置靜態路由，內網所有用戶可訪問InternetRouter(config)#iproute//訪問內網（4）服務器IP配置如圖4.1所示：圖4.1（5）在服務器選項中，將web服務器中DNS解析地址配置如圖4.2為：圖4.2

（6）在服務器圖形化界面中，將web服務器的顯示配置為：MyNameisZhangpeng如圖4.3所示：圖4.3（7）在服務器界面中開啟DHCP并根據VLAN及IP劃分表配置相應的地址池。如圖4.4所示：圖4.4（1）DHCP自動獲取IP地址在DHCP服務器與用戶端DHCP服務器位于同一網段時，可以使用過DHCP配置一次合適的IP地址，但是DHCP中繼并不會在同一個物理網段下再次將DHCP請求發送至DHCP服務器上,DHCP服務器在相同的物理網段上進行傳輸，并且可以在不同的物理網段上進行傳輸REF_Ref102070900\r\h[21]。核心層交換機：配置DHCP中繼hexinluyou(config)#servicedhcp//啟動DHCP服務hexinluyou(config)#ipdhcprelayinformationtrust-all//配置DHCP的所有信任端口hexinluyou(config)#interfacevlan2//在vlan2上啟用DHCP中繼hexinluyou(config-if)#iphelper-address//指定DHCP服務器的地址，表示通過該端口向服務器發送DHCP請求包，以下各vlan配置同此hexinluyou(config-if)#exithexinluyou(config)#interfacevlan3hexinluyou(config-if)#iphelper-addresshexinluyou(config-if)#exithexinluyou(config)#interfacevlan4hexinluyou(config-if)#iphelper-addresshexinluyou(config-if)#exithexinluyou(config)#interfacevlan5hexinluyou(config-if)#iphelper-addresshexinluyou(config-if)#exithexinluyou(config)#interfacevlan6hexinluyou(config-if)#iphelper-addresshexinluyou(config-if)#exit

客戶端成功通過DHCP獲取IP地址結果如圖4.5所示:圖4.5

(2)NAT相關配置隨著公網IP不斷被使用，實際的校園網中只有幾個真實的公有IP地址，因此需要使用NAT技術REF_Ref102070915\r\h[22]來解決IP地址不足的問題。邊界路由配置：Router(config)#interfacefastEthernet0/0Router(config-if)#ipnatinside//定義內聯接口Router(config)#interfaceserial2/0Router(config-if)#ipnatoutside//定義外聯接口Router(config-if)#access-list11permit55//允許基于源IP地址的訪問Router(config)#ipnatpoolzhangnetmask48//建立名為ZHANG的轉換地址池Router(config)#ipnatinsidesourcelist11poolzhangoverload//允許列表11里的主機到地址池中獲取公網地址，當前地址用完后可返回地址池再次被使用Router(config)#ipnatinsidesourcestatic//將配置服務器的地址與Internet的地址進行靜態轉換（3）ACL配置從核心交換機開始配置，作Telnet限制條件，只允許網絡管理PC（IP：/24）的數據流量作Telnet業務并且限制教學樓1、教學樓2及學生公寓訪問行政樓，以及拒絕學生公寓訪問網絡管理PC的權限hexinluyou(config)#access-list100permittcp55eqtelnet//允許網絡管理PC通過telnet訪問hexinluyou(config)#linevty04//進入Telnet業務接口hexinluyou(config-line)#access-class100in//應用限制規則100hexinluyou(config-line)#exithexinluyou(config)#access-list102denyip5555//拒絕教學樓1向行政樓的數據流hexinluyou(config)#access-list102denyip5555//拒絕教學樓2向行政樓的數據流hexinluyou(config)#access-list102denyip5555//拒絕學生公寓向行政樓的數據流hexinluyou(config)#access-list102permitipanyany//允許其他所有訪問權限hexinluyou(config)#intvlan2//進入vlanhexinluyou(config-if)#ipaccess-group102out//應用ACL規則102hexinluyou(config-if)#exithexinluyou(config)#access-list103denyip5555//拒絕學生公寓向網絡管理PC的數據流hexinluyou(config)#access-list103permitipanyany//允許其他所有hexinluyou(config)#intvlan1//進入網絡管理所在vlan1hexinluyou(config-if)#ipaccess-group103out//在vlan1上應用ACL規則103在核心交換機上查看ACL限制規則，如圖4.6所示：圖4.6

邊界路由配置：在邊界路由上作Telnet限制條件，即只允許網絡管理PC的數據流量作Telnet業務Router(config)#access-list101permittcp55eqtelnet//允許網絡管理PC通過telnet訪問Router(config)#linevty04//進入telnet業務接口Router(config-line)#access-class101in//應用限制規則101與網絡中其他設備選擇不同，學生公寓采用型號為WRT300N的無線路由器來實現無線WLAN的搭建。無線路由配置如下圖所示：無線WLAN的IP地址以及最大用戶數設置如下圖：圖4.7無線路由器的密碼和安全模式設置如下圖：圖4.8

無線名稱以設置如下圖所示：圖4.9

初步配置完成后，最終拓撲圖如圖4.10所示：圖4.10根據整體用戶的需求，所有校園網的內網均要實現外網的訪問，所以，內網于外網都要ping通，但出于安全性的需要，不允許外網訪問校園網：選擇教學樓1和辦公樓進行相互ping測試，測試結果如下圖5.1、5.2、5.3、5.4所示：圖5.1辦公樓PC與外網服務器之間可以通信圖5.2教學樓1PC與外網服務器之間可以進行通信結果分析：從圖5.1、5.2可以看到校園網內網PC發往外網的ICMP協議報文得到接收和響應：表示校園網內網和外網可以進行通信，實現了校園網的開放性，保障了內網用戶對互聯網的訪問需求。

圖5.3外網服務器與辦公樓之間無法通信圖5.4外網服務器與教學樓1之間無法通信Ping測試分析：從圖5.3、5.4可以看到外網服務器發往校園網內部PC的ICMP協議報文不可達：表示外網無法訪問校園網內部，說明校園網內部與外網服務器的通信不是相互的，有效的保障了內網的安全性。校園網服務器是校園網的基本信息、業務宣傳的載體；需要對校園的各個部門開放，所以校園內的所有部門以及互聯網用戶均能通過網頁或者IP地址對服務器進行訪問：web測試如下圖5.5、圖5.6、圖5.7、圖5.8所示：圖5.5行政部通過網址訪問服務器圖5.6辦公樓1PC通過網址訪問服務器圖5.7辦公樓1PC通過IP地址訪問服務器圖5.8學生公寓PC通過IP地址訪問服務器Web測試結果分析：根據圖5.5、5.6所示校園網內部所有部門都能通過網頁訪問校園服務器；根據圖5.7、5.8所示，校園網內部所有部門都能通過訪問校園服務器；實現內網通過網頁或者IP地址訪問服務器的效果。ACL控制規則（103規則：學生公寓無法訪問網絡管理PC，其他部門均可訪問）測試如下圖5.9、5.10、5.11、5.12、5.13、5.14所示：圖5.9學生公寓PC與網絡管理PC之間無法通信圖5.10教學樓可以與網絡管理PC進行通信ACL規則（103）測試結果分析：如圖5.9所示，學生公寓到網絡管理PC的數據流顯示不可達，表明彼此無法通信；如圖5.10所示，教學樓到網絡管理PC的數據流可以通過，它們之間可以通信，表示ACL規則（103）正確配置并可行。ACL規則（102規則：教學樓1、教學樓2和學生公寓無法訪問行政部，其他部門均可訪問）測試如下圖5.11、圖5.12、圖5.13、圖5.14所示：

圖5.11學生公寓與行政部之間無法通信圖5.12教學樓1PC與行政部之間無法通信圖5.13教學樓2與行政部之間無法通信圖5.14辦公樓PC與行政部之間可以通信ACL規則（102）測試結果分析：如圖5.11、5.12、5.13所示，學生公寓、教學樓1和教學樓2到行政部的數據流顯示不可達，表明無法進行通信；如圖5.14所示，辦公樓PC可以訪問行政部，證明ACL規則（102）成功配置并可行。

該方案主要是從分析設計、網絡知識、網絡系統設計、網絡拓撲設計等幾個方面進行的。根據校園網的需求，本文首先進行了對組網方案的相關理論基礎進行詳細闡述，對中小型校園網進行規劃與設計，了解校園網的有關路由交換技術，熟悉CiscoPacketTrac