路由交换技术课程设计.docx
- 文档编号:4432883
- 上传时间:2022-12-01
- 格式:DOCX
- 页数:35
- 大小:766.81KB
路由交换技术课程设计.docx
《路由交换技术课程设计.docx》由会员分享,可在线阅读,更多相关《路由交换技术课程设计.docx(35页珍藏版)》请在冰豆网上搜索。
路由交换技术课程设计
计算机科学与技术学院
课程设计
路由交换技术
(2013-2014学年度第二学期)
课程名称:
路由交换技术
实验名称:
校园网拓扑建设和网络设备配置
指导教师:
实验地点:
姓名:
学号:
班级:
目录
目的:
2
要求和说明:
2
课程设计内容:
2
总体概述2
需求分析3
设计原则3
绘制拓扑结构图4
具体工作4
设备选型4
网络布局规划与设计5
IP地址规划(子网划分和CIDR技术)5
路由器和交换机的配置7
(一)配置路由IP7
(二)南华大学主校区和分校区之间,实现帧中继数据传输11
(三)南华大学接入INERNET14
(二)局域网建设27
课程设计心得44
课程设计的目的及要求
目的:
通过本次课程设计,目的是能够对课上所学的零散的知识有更加实际的了解,通过小型的拓扑建设,将我们课上所学的知识点都用在上面,让我们对网络设备配置和路由交换技术有一个整体的把握。
要求和说明:
基本要求:
(1)南华大学校园拓扑建设
(2)和分校区建立虚拟链路,采用帧中继的方式连接
(3)与南华大学附属医院的通信要采用IPSEC封装
课程设计的内容(分析和设计)
课程设计内容:
总体概述
本拓扑是基于校园网络通信设计的,在南华大学的网络中心有一个总的路由,负责INTERNET的接入,并作为校园网连接外网的路由转发设备。
我们这里假设南华大学有两个分校区,和一个主校区。
分校区离主校区较远,我们采用帧中继技术,来实现分校区和主校区互联。
帧中继采用虚电路技术,对分组交换技术进行简化,可以在一对一或者一对多的应用中快速而低廉的传输数位信息。
帧中继是广域网的技术,为保证传输过程中的数据安全,在分校区和主校区之间使用IPSec传输模式对数据进行加密。
南华大学访问南华附属第一医院的网络时,我们做一个GRE封装,让它通过隧道通信。
以下是我们在构建网络时的一些要点:
1.此专用网设计方案要求是跨局域网之间的连接,所以需要选择接入技术,实现广域技术的连接;
2.设计出详细的拓扑图,将各个局域网之间相连,设计专用网时按照分层模型进行规划,指定核心区,接入区等;
3.实现广域网上的帧中继技术等;
4.选择合适的路由协议,并对路由器的安全进行配置;
5.对中间设备进行统一管理,并实现远程登陆管理;
需求分析
随着计算机及局域网络应用的不断深入,特别是各种计算机应用系统被相继应用在实际工作中,各企业、各单位同外界信息媒体之间的相互交换和共享的要求日益增加。
1.网络设备配置
配备网络交换设备,实现楼宇间的千兆光纤连接,保证未来各应用系统的实施以及满足办公需求。
2.网管系统设计
提供可以对整个网络系统进行管理的中文图形界面工具,使系统维护人员可以集中控制网络的所有设备。
设计原则
基于以上特点,应遵循下列设计原则:
1.把握好技术先进性与应用简易性之间的平衡。
2.具有良好的升级扩展能力。
3.具有较高的可靠性和安全性。
4.产品功能与实际应用需求相匹配。
6.经济性:
要求价格适中,设备及耗材要求采用质量过硬,物美价廉。
7.开放性:
采用国际标准通信协议、标准操作系统、标准网管软件、采用符合标准的设备,保证整个系统具有开放特点,增强与不同类型的网络之间的互联能力
绘制拓扑结构图
具体工作
设备选型
型号2950-24交换机3台,
型号2960-24交换机3台
型号3560-24ps三层交换机1台
型号2811路由器5台
WEB服务器1台
DNS服务器1台
网络布局规划与设计
本次课程设计是针对南华大学校园网规划设计的,由于时间较短,所以设计很简单。
南华大学主校区的网络中心属于核心区,两个分校区包括医学院属于接入区。
南华大学负责接入INTERNET,我们这里只需南华大学通过INTERNET与南华附属医院通信,并建立VPN。
在南华大学内部,由于分校区距离主校区较远,所以采用帧中继广域网技术,实现分校区与校园网的连接。
南华医学院,由于人数众多,接入量大,我们采用三层交换机技术,并对局域网下的用户进行VLAN划分。
IP地址规划(子网划分和CIDR技术)
南华大学内部:
设备/地点
接口/vlan
IP
南华大学网络中心
f0/0
192.168.1.1/24
s1/0
172.1.16.2/30
loop0
172.0.1.1/32
s0/3/0.1
10.0.0.1/24——101
s0/3/0.2
12.0.0.1/24——102
分校区计算机学院
f0/0
192.168.3.1/24
f0/1
192.168.2.1/24
s0/3/0.201
10.0.0.2/24
分校区电气电工学院
f0/0
192.168.3.1/24
f0/1
192.168.2.1/24
s0/3/0.301
12.0.0.2/24
Internet
s1/0
172.1.17.2/30
f0/0
192.168.1.1/27
loop0
172.0.0.1/32
南华大学附属第一医院
s1/1
172.1.17.2/30
f0/0
192.168.9.1/27
F0/1
172.1.20.1/30
loop0
172.0.2.1/32
DNS
__
172.1.20.2/30
WEB
__
192.168.9.2/24
医学院
Vlan1
192.168.1.2
Vlan2
211.1.1.1
Vlan3
211.1.2.1
Vlan4
211.1.3.1
Swich0
F0/4-9VLAN2
F0/10-15VLAN3
Swich1
F0/4-9VLAN4
F0/10-15VLAN5
路由器和交换机的配置
(一)配置路由IP
南华大学网络中心路由IP设置
interfaceLoopback0
ipaddress172.0.1.1255.255.255.255
!
interfaceTunnel0
ipaddress192.168.100.1255.255.255.0
tunnelsourceSerial1/0
tunneldestination172.1.17.2
!
!
interfaceFastEthernet0/0
ipaddress192.168.1.1255.255.255.128
duplexauto
speedauto
!
interfaceSerial0/3/0
noipaddress
encapsulationframe-relay
!
interfaceSerial0/3/0.101point-to-point
ipaddress10.0.0.1255.255.255.0
frame-relayinterface-dlci101
!
interfaceSerial0/3/0.102point-to-point
ipaddress12.0.0.1255.255.255.0
frame-relayinterface-dlci102
!
interfaceSerial1/0
ipaddress172.1.16.2255.255.255.252
cryptomapVPNmap
!
主校区医学院三层交换机配置设置
interfaceFastEthernet0/1
noswitchport
ipaddress192.168.1.2255.255.255.128
duplexauto
speedauto
interfaceVlan2
ipaddress211.1.1.1255.255.255.128
!
interfaceVlan3
ipaddress211.1.2.1255.255.255.128
!
interfaceVlan4
ipaddress211.1.3.1255.255.255.128
!
interfaceVlan5
ipaddress211.1.4.1255.255.255.128
!
分校区计算机学院路由IP设置
interfaceFastEthernet0/0
ipaddress192.168.3.1255.255.255.0
duplexauto
speedauto
!
interfaceFastEthernet0/1
ipaddress192.168.2.1255.255.255.0
duplexauto
speedauto
!
interfaceSerial0/3/0
noipaddress
encapsulationframe-relay
!
interfaceSerial0/3/0.201point-to-point
ipaddress10.0.0.2255.255.255.0
frame-relayinterface-dlci201
分校区电气电工学院路由IP设置
interfaceFastEthernet0/0
ipaddress192.168.4.1255.255.255.0
duplexauto
speedauto
!
interfaceFastEthernet0/1
ipaddress192.168.5.1255.255.255.0
duplexauto
speedauto
!
interfaceSerial0/3/0
noipaddress
encapsulationframe-relay
!
interfaceSerial0/3/0.301point-to-point
ipaddress12.0.0.2255.255.255.0
frame-relayinterface-dlci301
DNS配置
WEB
(二)南华大学主校区和分校区之间,实现帧中继数据传输
局部拓扑:
配置如下:
云设置:
网络中心路由:
分校区计算机学院路由:
!
interfaceSerial0/3/0
noipaddress
encapsulationframe-relay
!
interfaceSerial0/3/0.201point-to-point
ipaddress10.0.0.2255.255.255.0
frame-relayinterface-dlci201
分校区电气电工学院路由:
interfaceSerial0/3/0
noipaddress
encapsulationframe-relay
!
interfaceSerial0/3/0.301point-to-point
ipaddress12.0.0.2255.255.255.0
frame-relayinterface-dlci301
测试:
分校区计算机学院ping分校区电气电工学院
分校区电气电工学院ping分校区计算机学院
(三)南华大学接入INERNET
通过INERNET,可以访问南华附属第一医院的服务器,这之间我们采用VPN技术,对ospf数据传输用GRE封装,用IPSEC协议对数据加密,最终实现加密传输。
IPsec(IPsecurity)协议族是IETF制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。
特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
GRE协议是对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议中传输。
GRE是VPN的第三层隧道协议,在协议层之间采用了一种被称之为Tunnel的技术。
Tunnel是一个虚拟的点对点的连接,在实际中可以看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路使封装的数据报能够在这个通路上传输,并且在一个Tunnel的两端分别对数据报进行封装及解封装。
通常情况下,IPsec不能传输路由协议,例如RIP和OSPF;或者非IP数据流,例如IPX(InternetworkPacketExchange)和AppleTalk。
这样,如果要在IPsec构建的VPN网络上传输这些数据就必须借助于GRE协议,对路由协议报文等进行封装,使其成为IPsec可以处理的IP报文,这样就可以在IPsecVPN网络中实现不同的网络的路由。
1)建立GRE隧道
建立GRE隧道,以便后面对OSPF组播路由协议进行封装,配置如下:
南华网络中心:
interfaceTunnel0
ipaddress192.168.100.1255.255.255.0
tunnelsourceSerial1/0
tunneldestination172.1.17.2
南华附属第一医院:
interfaceTunnel0
ipaddress192.168.100.2255.255.255.0
tunnelsourceSerial1/1
tunneldestination172.1.16.2
2)配置动态路由
在南华大学内部我们使用RIP2路由协议,而公用网上使用的是OSPF协议,所以我们这里还需要配置路由重分布。
配置如下:
分校区计算机学院
routerrip
version2
network10.0.0.0
network192.168.2.0
network192.168.3.0
分校区电气电工学院
routerrip
version2
network12.0.0.0
network192.168.4.0
network192.168.5.0
主校区网络中心
这里会有两个协议:
RIPV2和OSPF,并需配置路由重分布
配置如下:
OSPF
routerospf10
log-adjacency-changes
redistributeripsubnets
network192.168.100.00.0.0.255area0
network172.0.1.10.0.0.0area0
RIPV2
routerrip
version2
redistributeospf10metric1
network10.0.0.0
network12.0.0.0
network192.168.1.0
南华附属第一医院
routerospf10
log-adjacency-changes
network192.168.100.00.0.0.255area0
network172.0.2.10.0.0.0area0
network172.1.20.00.0.0.3area0
network192.168.9.00.0.0.255area0
此时我们来查看各路由器的路由表:
南华大学网络中心
发现附属医院的地址已经通过GRE隧道通告到了南华大学网络中心
衡阳附属医院
发现在附属医院这一端南华大学的地址也已经通告完成,并在附属医院这一端有了记录。
现在我们来检查两个分校区路由的路由表:
这是大家会发现一个问题,路由表里并没有192.168.9.0这个网段,这是为什么呢?
原因是这样的:
CISCO的路由协议都有自己缺省的的管理距离(AD),RIP的为120,OSPF的为110,对于两种不同的协议,管理距离越小,它的优先级也就越高,也就是可信度越高。
所以,OSPF的优先级就高于RIP,且度量值为1,那么192.168.9.0就不会下发到分校区。
解决办法,在网络中心将默认路由通过RIP通告出去
这时我们来查看分校区的路由表
此时互联网已经联通,我们做个测试
南华大学网络中心——南华附属医院
Router#ping192.168.9.1
Typeescapesequencetoabort.
Sending5,100-byteICMPEchosto192.168.9.1,timeoutis2seconds:
!
!
!
!
!
Successrateis100percent(5/5),round-tripmin/avg/max=6/7/9
分校区计算机学院——南华附属医院
Router#ping192.168.9.1
Typeescapesequencetoabort.
Sending5,100-byteICMPEchosto192.168.9.1,timeoutis2seconds:
!
!
!
!
!
Successrateis100percent(5/5),round-tripmin/avg/max=9/13/1
现在我们抓包测试:
我们从分校区计算机学院给附属医院发一个PING包
从云到网络中心
进入:
出去:
这是抓取的ICMP包,我们可以分析得到:
数据从网络中心出来时,对IP传输进行了GRE封装,真正的源地址和目的地址,已经转变为物理上的源和目的。
接下我们检测一下,GRE是否对OSPF进行了封装:
从上面抓取的报文大家可以明显的看到OSPF已经成功被GRE封装
此时我们就可以建立南华大学到附属医院的VPN通道
3)VPN技术应用
我们配置的范围为分别从192.168.1.0/25、10.0.0.0/25、12.0.0.0/25到192.168.9.0/24这三条链路加密
配置过程:
南华大学网络中心
cryptoisakmppolicy1
encr3des
hashmd5
authenticationpre-share
group2
!
cryptoisakmpkey123address172.1.17.2
!
cryptoipsectransform-setset1ah-sha-hmacesp-3des
!
cryptomapVPNmap10ipsec-isakmp
setpeer172.1.17.2
settransform-setset1
matchaddress110
!
access-list110permitip192.168.1.00.0.0.127192.168.9.00.0.0.255
access-list110permitip10.0.0.00.0.0.255192.168.9.00.0.0.255
access-list110permitip12.0.0.00.0.0.255192.168.9.00.0.0.255
access-list110denyipanyany
interfaceSerial1/0
ipaddress172.1.16.2255.255.255.252
cryptomapVPNmap
南华附属医院:
cryptoisakmppolicy1
encr3des
hashmd5
authenticationpre-share
group2
!
cryptoisakmpkey123address172.1.16.2
!
cryptoipsectransform-setset1ah-sha-hmacesp-3des
!
cryptomapVPNmap10ipsec-isakmp
setpeer172.1.16.2
settransform-setset1
matchaddress110
!
access-list110permitip192.168.9.00.0.0.255any
interfaceSerial1/1
ipaddress172.1.17.2255.255.255.252
cryptomapVPNmap
抓包测试:
我们从分学院计算机学院发送一个ping包到附属医院,发现是可以到达的,在抓取过程中我们发现没有ISAKMP包,那是因为已经认证完毕了,我们抓个ICMP包来看看。
抓取的数据包如下:
计算机学院发出的包:
经由网络信息中心发出的包
这里因为认证时间很短,所以我们没有看到ISAKMP包
至此,连接INTERNET部分已经全部畅通
(二)局域网建设
让局域网下的客户机可以通过交换设备连接校园网,并访问INTERNET
有时,当一个局域网下要划分出不同小区域,让不同的小区域之间不发生广播转发,这时就要划分VLAN。
VLAN即虚拟局域网,是一种通过局域网内的设备逻辑的划分成一个个网段,从而实现虚拟工作组技术。
VLAN优点:
1.限制广播域。
广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力。
2.增强局域网的安全性。
不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。
3.灵活构建虚拟工作组。
用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
以下分别是我们主校区和分校区局域网建设的具体规划与配置。
1)主校区
主校区的学院较多,这里主要以医学院为主来介绍。
医学院作为人数最多的一个学院,所需要的网络接入量相对较大。
如果采用传统的局域网接入技术,则会出现极大的广播域,很容易产生广播风暴。
同时,由于无划分的局域网内部之间是以广播形式通信,大大降低了安全性,所以我们需要划分多个VLAN。
而VLAN间通信需要有路由或三层交换机来实现。
综合考虑,我们使用三层交换机。
三层交换机:
出于安全和管理方便的考虑,主要是为了减小广播风暴的危害,必须把大型局域网按功能或地域等因素划成一个个小的局域网,这就使VLAN技术在网络中得以大量应用,而各个不同VLAN间的通信都要经过路由器来完成转发,随着网间互访的不断增加。
单纯使用路由器来实现网间访问,不但由于端口数量有限,而且路由速度较慢,从而限制了网络的规模和访问速度。
基于这种情况三层交换机便应运而生,三层交换机是为IP设计的,接口类型简单,拥有很强二层包处理能力,非常适用于大型局域网内的数据路由与交换,它既可以工作在协议第三层替代或部分完成传统路由器的功能,同时又具有几乎第二层交换的速度,且价格相对便宜些。
在企业网和教学网中,一般会将三层交换机用在网络的核心层,用三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN。
不过应清醒认识到三层交换机出现最重要的目的是加快大型局域网内部的数据交换,所具备的路由功能也多是围绕这一目的而展开的,所以它的路由功能没有同一档次的专业路由器强。
毕竟
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 路由 交换 技术 课程设计