校园网络的搭建规划设计与实现--论文.doc

1、校园网络的搭建规划设计与实现 摘要随着信息技术的高速发展，许多学校纷纷建立属于自己的校园网,将计算机引入教学、科研、管理等各个领域，从而引起了教学方法、教学手段和教学工具的重大改革，对提高教学质量，推动我国教育现代化的快速发展起着重要的作用。本文在局域网技术和先进发展基础上，分析了建立校园网的意义，建设原则和目的，并详细阐述了其设计方案过程。文章从系统结构、网络方案、管理、布局等方面讨论了校园网络的设计方案。在网络设计中，详细介绍了网络拓扑结构、VLAN划分、IP分配、扩展访问、NAT配置。最后通过相关软件对网络进行管理以及实现网络的安全性。本课题正是以本校的校园网为例，建设一个开放的、灵活的

2、、先进的、可扩展的、易于管理的、高速网络的校园网，完全能够适应学校在相当长的一段时间里的使用要求。并且能够实现多媒体教学、网络教学、数据安全等各种网络服务，以满足现代化教学的各种需求。关键词：网络拓扑，VLAN，IP，扩展访问，NAT Design and Implementation of the Campus Network ABSTRACTWith the quick development of information technology, many campus network are constructed in which computers is adopted in tea

3、ching, scientific research, management and so on. It results in great innovation in teaching means and tools, and play an important role in implementation of modern education of our country. Based on local area network technology and advanced development, analysis of the significance of the campus n

4、etwork, construction principle and purpose, and expounds the design process in detail. The article from the system structure, network, management and layout of the campus network is discussed in aspects of design. In network design, the paper introduces the network topology structure, the VLAN divid

5、ing, the IP allocation, expand access, dynamic routing configuration, NAT configuration. Finally through the software of network management and network security.This topic is the word of the school campus network as an example, the construction of an open, flexible, advanced, scalable, manageable, h

6、igh-speed network of campus network, fully able to adapt to the school for quite a long time of use requirements. And be able to realize the multimedia teaching, network teaching, data security and other web services, to meet the diverse needs of modern teaching.Key words: network topology, VLAN, IP

7、, expanded access, NAT 目录1 前言11.1课题背景11.2 目的和意义21.3 系统设计思想32需求分析42.1 业务需求分析42.2 用户需求分析72.3 技术需求分析83 校园网络的结构设计123.1 配置核心VLAN端口地址123.2 IP扩展访问163.3 静态NAT配置194 校园网络的主体拓扑结构225 论文总结27参考文献28指导教师简介29致谢30 1 前言在这个知识爆炸的社会中，对于合格人才的要求越来越多，需要他们掌握大量的各类知识，在教育中需要提高教学效率，这就要求学校的教学和管理工作向着信息交流网络化、信息管理数据化、信息服务电子化发展。因此利用计

8、算机网络技术进行学术管理和开展互助教学已是势在必行。这就要求校园网络是一个专业性很强的局域网。多媒体教学软件开发的平台，多媒体演示教室，教师备课系统，考试资料库等，都可以通过网络运行工作。校园网应具有教学、管理和通信三大功能。对于目前的校园网建设来说，主要具有教学和通信功能，难以实现以熟悉化校园为核心的管理技术。建设校园网对每个学校来说都不是一件容易的事，都要经过周密的论证、谨慎的决策和紧张的施工。校园网建成了，各种问题也不断涌现，比如，设计目标根本无法实现，后续的维护费用不堪承受等等。我将按照“统一规划、讲究实效、安全可靠”的原则，进行校园网络的系统设计，确保系统运行可靠，经济性，投资合理，

9、有良好的性能价格比，以满足校园内计算机网络系统的需要。 1.1课题背景高校校园网一直是国内Internet发展的领头羊。1994年7月 ，中国教育和科研计算机网CERNET示范工程启动。也就是同一年，清华北大等顶尖大学建成了自己的校园网，实际上这些网络也是中国Internet的开端。高校校园网从 1994年的启动建立到现在的17年间，我国的网络技术得到了很大的提高。其中很重要的原因就是校园网络的高速发展，校园网络的现代化程度代表了国家网络整体的水平。所以建设现代化、人性化和高效的校园网络迫在眉睫。 1.2 目的和意义在做这次校园网络设计的过程中，我们学习到的不仅仅是如何设计和组建一个校园网络，

10、而且更重要的是通过这次毕业设计可以将在大学四年中所学习到的知识进行综合利用，最后达到融会贯通。学院现在正处于一个高速发展日益壮大的时期。每年都有更多的新同学进入学校学习，越来越多资源正处于学校的不同位置不同的环境中。在使用这些资源如图书馆的在线图书查阅、访问学校内部文件服务器、登陆学校内部网站等日常应用，如果无法实现的话,不但造成了大量的现有资源的闲置而且随着信息量的增大还会带来工作效率降低等诸多弊端。所以要利用好现有的网络资源组建一个现代化的校园网络。现今的网络系统包括网络交换机以及叠加其上的语音、数据、视频装置以及可变化的软、硬件应用。它的开放式设计意味着更好的整体化及高品质应用的能力。提

11、供的带宽可适合话音，图像，数据的传输，这种带宽结合设备厂商的优秀网管模式，可以向用户提供面对面的通讯。在建设校园网时，要达到以下目标：1在校园内部实现资源高度共享，为教学、科研、管理提供服务，为计划、组织、管理与决策提供基础信息和科学手段。2支持教育教学改革，提高教育技术的现代水平和教育信息化程度、为学校教师的备课、课件制作、教学演示提供网络环境。3通过互联网、录像机、扫描仪、数码相机等各种渠道获得多媒体资料，实现素材收集、电子备课功能。培养创新人才，提高学生收集处理信息的能力、获取新知识的能力、分析和解决问题的能力、语言文字表达能力以及团结协作和社会活动的能力，使学生能自主学习、协商学习、发

12、现探究式学习以及自我评价，为学生的全面发展创造相应的条件。4实现办公自动化，提供与上级教育部门、社会、家庭之间通讯的出入口，提供电子函件、公告牌和教育教学信息查询等服务，提高工作效率和管理水平。5及时、准备、可靠地收集、处理、存储、传输学校的教育教学信息完成与因特网的通讯和资源共享，实现社会教育、学校教育、家庭教育的有机整合。6实现课堂多媒体电化教学，具备适用于双向课堂语音教学及语音室功能学习。以代替手提录音机，实现音频数字化资源共享、集中管理。1.3 系统设计思想采用先进成熟的技术和设计思想，运用先进的集成技术路线，以先进、实用、开放、安全、使用方便和易于操作为原则，突出系统功能的实用性，尽

13、快投入使用，发挥较好的效能。本系统在软件配置和硬件设备，整个系统设计上依照以下原则确定。1先进性世界上计算机技术的发展十分迅速，更新换代周期越来越短。所以，选购设备要充分注意先进性，选择硬件要预测到未来发展方向，选择软件要考虑开放性，工具性和软件集成优势。2实用性系统的设计既要在相当长的时间内保证其先进性，还应本着实用的原则，在实用的基础上追求先进性，使系统便于联网，实现信息资源共享。易于维护管理，具有广泛兼容性，同时为适应我国实际情况，设备应具有使用灵活、操作方便的汉字、图形处理功能。3安全性目前，计算机网络都与外部网络互连互通日益增加，都直接或间接与国际互连网连接。因此，在系统方案设计需考

14、虑到系统的可靠性、信息安全性和保密性的要求。4易扩充性系统规模及档次要易于扩展，可以方便地进行设备扩充和适应工程的变化，以及灵活地进行软件版本的更新和升级，保护用户的投资。目前，网络向多平台、多协议、异种机、异构型网络共存方向发展，其目标是将不同机器、不同操作系统、不同的网络类型连成一个可协同工作的一个整体。所以所选网络的通迅协议要符合国际标准，为将来系统的升级、扩展打下良好的基础。5灵活性采用结构化、模块化的设计形式，满足系统及用户各种不同的应用要求，适应业务调整变化。6规范性采用的技术标准按照国际标准和国家标准与规范，保证系统的延续性和可靠性。7综合性满足系统目标与功能目标，总体方案设计合

15、理，满足用户的应用要求，便于系统维护，以及系统二次开发与移植。2需求分析2.1 业务需求分析1骨干网络高性能和高稳定可靠的需求首先是高性能。高校校园网中用户数在不断增加，并且随着网络应用技术的不断丰富，高校校园网应用也愈发复杂，例如FTP、VOD点播等大量数据的访问，尤其目前流行的P2P的应用产生了巨大的网络流量。如何进行网络传输，对网络设备的性能提出了很高的要求。实际情况中，依然使用的骨干设备是集中式表查询和集中式转发模式的。其次是稳定可靠性。一方面，未来的社会是信息的社会，当随着校内师生员工的工作、科研、学习、生活、娱乐越来越离不开网络（例如：无纸化办公、网络教学、视频会议和视频点播、网上

16、购物等业务的开展），网络的稳定可靠性就显得愈发重要网络随便断开几小时也无所谓的历史已经过去。另一方面，在应用丰富的同时，网络环境变得异常恶劣。近两年，安全攻击事件呈指数级上升而所需要的知识却越来越弱化，各种攻击工具在网络上可以随手蹑来。这也及对网络在网络攻击或者病毒泛滥情况下的稳定可靠性提出了挑战。目前，在高校使用的设备中还存在大量早期采购的设备，这些在启用了安全规则情况下性能急剧下降在受到网络攻击或者病毒泛滥的时候，CPU利用率高居不下，设备稳定性降低，很可能死机。由此分析看来，随着用户数增加、应用的复杂，导致网络流量的飞速提升，需要保证多用户、大流量情况下骨干的高带宽，骨干设备的线速转发。

17、随着师生日常对于网络的依赖性的增强，和网络环境的日趋恶化，需要保证做到骨干网络一定级别的稳定可靠性，如图2.1所示。 图2.1 高可靠性双核心示意图2方便运营管理的需求首先，校园网需要进行合理的运营。第一、校园网的投资较大，加上每年的维护成本，对于学校并不是一笔可以忽视的开支；第二，根据各校的情况，进行合理的运营收费，依靠市场化的手段能够推动校园网的运作规范化和提高假设水平。其次，有效的管理可以从用户管理和设备管理两方面来看。对于用户管理，最重要的是能够实现事前的身份认证和准确定位，事中的实时处理、事后的完善日志审计。事前的认证和定位是指可严格实现用户身份证识别，根据用户帐号、密码、MAC地址

18、、IP地址、交换机IP、交换机端口号、用户所在的VLAN的灵活组合，来识别用户身份。将网络中的虚拟用户和生活中的真实用户相对应；事中的实施处理是指对于正在使用网络的用户，如果出现私自拨号上网、使用代理、更改IP地址等，认证计费系统会强制用户下线。对于感染病毒，出现安全事件的用户，结合全局安全通过安全联动来进行隔离、阻断和修复，以保证校园网的安全。事后的日志审计时指纪律用户上网的详细信息（包括用户名、IP、MAC等）及完善的用户访问外网的记录（包括源IP、目的IP、源端口、目的端口、访问时间），一旦出现安全事件，可以进行快速完整的审计，迅速定位到人。对于设备管理，需要的是统一有效的网络管理系统。

19、能够直观全面的监控整个网络和各种设备的运行状态，记录和深入分析网络流量，及时报告各种故障和性能问题，协助管理员找到故障的起源，并且对网络的性能变化和故障发生提前预测。高校用户数和网络节点数众多，因此难以一体化管理众多的设备和用户，出现网络故障无法快速定位、IP地址盗用、IP地址冲突等问题日益严重，如何利用有限的人力物力对网络进行高效管理也成为学校考虑的着重点。3接入可控需求首先，要能实现各种方式的灵活接入。一种是大多数学校采用的有线方式，这可以在楼栋建设、装修过程中完成布线；另一种就是无线接入方式的补充或冗余。寝室区采用无线覆盖主要针对：1）某些不方便布线的楼栋或者布线成本太高的楼栋。2）方便

20、学生上网，摆脱有线束缚。其次，要能对各种接入都能进行有效的控制。随着技术的发展，网络的接入将形成有线+无线的综合环境。这就要求不仅能够对有线用户进行准入控制，还要对无线用户进行接入的认证，同样的IPv4和 IPv6两种环境下也都能要保证只有申请开通的合法用户才可以使用网络。接入可控的需求还体现在以下两个方面。能够对接入用户进行帐号与IP、MAC、端口等多元素绑定，以唯一确定用户身份，同时做到准确定位。针对目前用户沉迷于网络。以至于影响学业的实际情况，需要能够对用户的接入上网时间段做灵活的控制，如图2.2所示。 图2.2 网络接入控制示意图4计费需求首先，很重要一点就是要有一套能够符合我学校运营

21、管理特点的计费策略。提供针对不同用户的不同计费需求的灵活计费策略的支持，详细来说包括：1）对于上网时间较长的可以采取包年、包月、包学期等方式；2）对于上网时间不是特别长的，可能需要计时、或者计天的方式；3）可能有师生认为自己仅仅偶而上网看看网页，聊聊天，自己流量不大，很希望能够按流量或者计天但是是当天不用不扣费的模式；4）学生到了寒暑假，或者老师外出培训、会议一段时间，就会需要一次交费资助分段开通的计费策略，这样能够最大化的保障用户的利益。 5网络安全的需求1）高校面临着严峻网络安全形势。越来越多的报道表明高校校园网已逐渐成为黑客的聚集地。这一方面是由于网络病毒、黑客工具的泛滥，用户安全意识的

22、淡薄，而另一方面，高校学生这群精力充沛的年轻一族对于新鲜事物有着强烈的好奇心，他们有着探索的高智商和冲动。如何保障校园网络的安全成为校园网络的安全成为高校校园网络建设时不得不考虑的问题。2）网络安全一定是全方位的安全。首先，网络出口、数据中心、服务器等重点区域要做到的安全过滤；其次，不管接入设备，还是骨干设备，设备本身需要具备强的安全防护能力，并且安全策略部署不能影响网络的性能，不造成网络单点故障；最后，要充分考虑全局统一的安全部署，需要能够从准入控制，到对网络安全事件进行深度探测，到现有安全设备有机的联动，到对安全事件触发源的准确定位和根据身份进行隔离。修复措施，从而能对网络形成一个由内至外

23、的整体安全构架。所以，在对外出口等重点区域进行安全部署的同时，要更加全面的考虑安全问题，让整个网络从设备级的安全上升一个台阶，摆脱仅仅局部加强某个单点的安全强度的手段。2.2 用户需求分析1随时随地接入的需求首先，高校师生对于网络接入有着强烈的需求。随着近年来国家对高等教育的大力发展支持，高校在校生人数普及呈现上升趋势。是由于国家经济实力的增强，技术的发展带来的低成本，导致电脑的普及率也越来越高（据不完全统计，在很多的高校， PC的拥有率可以达到70%）。其次，在部分热点区域，或者难以布线的区域需要有一种行之有效的高性价比的接入方式。也就是采用无线作为补充或者备份。比如广场/操场、阅览室、阶梯

24、教室等，这些区域对于笔记本用户需要能够提供接入服务，而这是有线接入是行不通的。又比如校内的某栋较偏远的办公楼或者某几栋家属楼，上网用户有限，进行独立布线成本较高，所以，同样需求进行无线的接入方式。简言之，网络作为一个底层的平台需要师生能够随时随地的方便的接入。这就强调有线网络和无线网络的集合，适合无线网络的地方用无线网络，适合有线网络的地方用有线网络。当然，两者可以有一定的冗余，甚至部分区域会采用无线网络进行备份。如图2.3所示。图2.3 多种接入示意图2网络安全需求近年来、网络病毒泛滥、安全事件频频发生。拿2010年上半年为例，蠕虫、木马、间谍软件等恶意代码在网络上的传播和活动频繁。据CNC

25、ERT/CC统计，从2010年1月1日到2010年6月30日，全球共新增蠕虫、木马、病毒等恶意代码11851种，是前一年同期增长数量的1.2倍。安全将会越来越成为我们网络稳定可靠运营的一个保障。那么，高校寝室网络这样一个特殊的用户群环境中，如何保证网络的安全运行？这就提出了“被动式安全”和“主动式安全”的需求。首先，在发生安全事件的时候，我们要有应对措施。第一，需要设备本身具备强大的安全防护能力（如：防Dos攻击，防DHCP攻击，方扫描等）；第二，某学生在网络发布不良言论或者进行网络攻击后，我们要能够通过日志审查，精确定位到个人。由于都是事件发生后才采取的应对措施，所以称之为“被动式安全”。其

26、次，安全一定是安全局的安全，要能够对网络行为进行实时地深入的数据监测，并在局部出现病毒或者攻击后，对攻击源/病毒源采取措施，达到防治病毒扩散的效果。这些措施包括了；针对具体源头进行的警告信息发送，隔离到安全区域，并自动、手动下载升级补丁，如图2.4所示。图2.4 网络安全示意图3寝室网络高性能需求1）今年校内注册上网用户爆炸式增长。这主要是由于高校的招生人数的增加，以及电脑的日益普及。因此，需要系统认证计费效率，用户的认证和计费不会对网络性能造成瓶颈。与此同时，系统需要能支持几千级以上用户同时在线并正常运行，而用户不会感觉网络速度慢。2）寝室网的一个特点就是：上网的时间相对比较集中（主要集中在

27、晚间和节假日），所以在此时段网络访问流量较大，在一些投入数的时候可能会出现大量的网络突发流量。这对系统保持高性能，提供可靠运行提出了更高的要求。2.3 技术需求分析1多出口部署的需要对于出口，最主要有两个方面的需求：一方面、需要进行多出口的策略部署。首先，可以解决资源访问速度问题。由于CERNET与电信等运营商，以及运营商之间的互联带宽较小的原因，并且全国只在北京、上海、广州建立有互联中心，而实际上互联网上大多数的资源都在电信，这样的结果是，从教育网浏览电信资源就会很慢；其次，可以解决学校的费用问题。这是因为教育网规定了其免费访问的地址列表，在地址列表之外的都按照一定的公式计算费用。于此对应的

28、是，电信等运营商提供的线路大多数是包月不限流量。所以，也可以得出多出口部署的期望结果是：根据速度来选择访问线路走教育网还是电信还是网通等ISP；根据费用来判断访问线路走教育网还是非教育网。另一方面，对于多出口的设备本身有一定的要求。随着应用的增加，很多学校的出口流量也在不断增加，加上出口设备很多时候需要进行NAT的转换，所以对于出口设备的性能，稳定性以及可靠性提出了较高的要求，如图2.5所示。图2.5 多出口部署示意图2强大数据中心建立的需求1）众多高校仍然采用的是 直接存储在服务器硬盘上的方式，也就是我们所说的直连存储(DAS)。这种方式存在众多的问题。1、不同的数据存储在不同服务器的硬盘上

29、，造成有些服务器硬盘空间已满，而有些服务器硬盘空间却闲置。空间扩展比较困难，并且服务器之间无法进行空间共享。2、随着应用的不断丰富，访问量的增加，办公、教学、科研对网络的依赖，服务器的性能收到强烈的考验。最终可能成为性能的瓶颈，如图2.6所示。图2.6 服务器数据存储与备份意图2）对着计算机信息系统的不断发展，用户的核心业务越来越依赖于信息系统的可靠运行，信息系统中的关键业务数据已经成为用户最为重要的资产。因此，对关键的业务数据进行备份保护刻不容缓。但是当前绝大多数国内高校，对于关键数据，比如财务数据、学籍/档案、学术论文等资料还没有进行有效的备份或容灾。一旦数据毁坏/丢失，后果不堪设想，如图

30、2.7所示。图2.7 异地容灾示意图也正是基于对存在的问题的认识和目前各种应用带来的数据存储的实际需求，很多高校已经开始进行数据中心的建立，那么数据中心建设，应该到怎样的目标？数据中心的存储设备应该如何选择？都是需要重点考虑的问题。3过度的要求中国下一代互联网络示范工程CNGI是实施我国下一代互联网发展战略的起步工程，由国家发改委、科技部、信息产业部、教育部、中科院等八部委联合领导。2001年CERNET（中国教育科研网）提出建设CERNET2计划。2003年12月，国家发改委批准了中国下一代互联网示范工程CNGI建设项目。经过两年多的建设，2006年10月，CERNET2通过了10个原始领先

31、的项目鉴定委员的鉴定验收，整体平达到了世界领先水平。可以预见的是IPV6是必然的趋势。而学校积极主动的应对IPV6，有利于提升学校的应用水平和科研水平。并为IPV6真正大规模部署做好比要的技术储备。实施上，各个高校在网络改造，设备采购的时候都在考虑对IPV6的支持。并且值得关心的五难题是：在向IPV6过度的阶段，如何充分利用现有设备，保护投资，该采用何种部署策略，保证应用的平滑过渡4网络设备的选择原则1）安全、稳定、可靠作为整个校园网络系统的硬件基础，网络设备必须是具备安全性、稳定性和可靠性的特点。这是网络系统稳定运行的最基本条件。最好是经过相当长时间，在世界范围内被广泛应用的网络产品，所以在

32、选择产品时选用知名厂商的产品。2）技术先进性网络设备仅仅具有安全、稳定和可靠的特点是不够的。作为高科技的产品，还应该具有技术先进性。在选择网络设备应该采用当今较先进的技术，能够保持该设备在相当长的一段时间内不会因为技术落后而被淘汰。同时，在网络规模进一步扩大，该设备不能承担繁重的负荷时，能够降级使用。3）易于扩展性由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，应选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加的设备，而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展，现有模块不支持新技术的情况下，只需要更换相应模块，而不需要更

33、换整个设备。4）管理和维护方便先进的设备必须配合先进的管理和维护的方法，才能够发挥最大的作用。所以，在选择设备时必须支持现有的、常用的网络管理协议和多种网络管理软件，便于管理人员的维护。3 校园网络的结构设计3.1 配置核心VLAN端口地址 VLAN是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个不同的网段，从而实现虚拟工作组的技术。不同VLAN之间的数据传输是通过网络层的路由来实现的，因此，使用VLAN技术结合数据链路层和网络层的交换设备，可搭建安全可靠的网络。划分VLAN的目的一是提高网络安全性，不同VLAN的数据不能自由交流，需要接受第三层的检验。因此，在一定程度上加强了虚拟网间

34、的隔离，有效防止外部用户入侵，提高了安全性。二是隔离广播信息，划分VLAN后，广播域缩小，有利于改善网络性能，能够将广播风暴控制在一个VLAN内部，同时使网络管理趋于简单。如图3.1所示。图 3.1VLAN通信模型Pc号 IP地址 网关 Pc1192.168.1.2192.168.1.1 Pc2192.168.2.2192.168.2.1S3560SwitchenSwitch#vlan databaseSwitch(vlan)#vlan 10VLAN 10 added: Name: VLAN0010Switch(vlan)#vlan 20VLAN 20 added: Name: VLAN002

35、0Switch(vlan)#exitSwitch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#interface fa0/1Switch(config-if)#switchport access vlan 10Switch(config-if)#exitSwitch(config)#interface fa0/2Switch(config-if)#switchport access vlan 20Switch(config-if)#endSwitch#conf tSwitch(

36、config)#interface vlan 10Switch(config-if)#ip address 192.168.1.1 255.255.2555.0Switch(config-if)#no shutdown Switch(config-if)#exitSwitch(config)#interface vlan 20Switch(config-if)#ip address 192.168.3.1 255.255.255.0Switch(config-if)#no shutdown Switch(config-if)#endR1RouterenRouter#conf tRouter(c

37、onfig)#hostname R1R1(config)#interface fa0/0R1(config-if)#no shutdown R1(config-if)#ip address 192.168.3.2 255.255.255.0R1(config-if)#exitR1(config)#interface se2/0R1(config-if)#no shutdown R1(config-if)#ip address 192.168.4.1 255.255.255.0R1(config-if)#clock rate 64000R1(config-if)#endR1#R2Routeren

38、Router#conf tRouter(config)#hostname R2R2(config)#interface fa0/0R2(config-if)#no shutdown R2(config-if)#ip address 192.168.2.1 255.255.255.0R2(config-if)#exitR2(config)#interface se2/0R2(config-if)#no shutdown R2(config-if)#ip address 192.168.4.2 255.255.255.0R2(config-if)#end测试网络的连通性。(1)PC1主机ping主

39、机PC2的结果如下所示：（2）PC2主机ping主机PC1的结果如下所示：3.2 IP扩展访问访问列表中定义的典型规则主要有以下：源地址、目标地址、上层协议、时间区域；扩展IP访问列表（编号100-199、2000、2699）使用以上四种组合来进行转发或阻断分组；可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。 扩展IP访问列表的配置包括以下两步： 定义扩展IP访问列表；将扩展IP访问列表应用于特定接口上。如图3.2所示图 3.2 IP扩展访问模型PC号、服务器号IP网关PC0172.16.1.2172.16.1.1Server0172.16.4.2172

40、.16.4.1路由器R0的基本配置RouterenRouter#conf tRouter(config)#hostname R0R0(config)#interface fa0/0R0(config-if)#ip address 172.16.1.1 255.255.255.0R0(config-if)#no shutdown R0(config-if)#exitR0(config)#interface fa1/0R0(config-if)#ip address 172.16.2.1 255.255.255.0R0(config-if)#no shutdown路由器R1的基本配置Routere

41、nRouter#conf tRouter(config)#hostname R1R1(config)#interface fa1/0R1(config-if)#ip address 172.16.2.2 255.255.255.0R1(config-if)#no shutdown R1(config)#interface se2/0R1(config-if)#ip address 172.16.3.1 255.255.255.0R1(config-if)#no shutdown R1(config-if)#clock rate 64000R1(config-if)#路由器R2的基本配置Rout

42、erenRouter#conf tRouter(config)#hostname R2R2(config)#interface se2/0R2(config-if)#ip address 172.16.3.2 255.255.255.0R2(config-if)#no shutdown R2(config-if)#exitR2(config)#interface fa0/0R2(config-if)#ip address 172.16.4.1 255.255.255.0R2(config-if)#no shutdown路由器R0上配置默认路由R0(config-if)#exitR0(confi

43、g)#ip route 0.0.0.0 0.0.0.0 172.16.2.2路由器R2上配置默认路由R2(config-if)#exitR2(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1路由器R1上配置静态路由R1(config-if)#exitR1(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1R1(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2测试PC机之间的连通性PC0ping 172.16.4.2(success)Web浏览器：h

44、ttp:/172.16.4.2(success)路由器R1上配置扩展访问控制列表R1(config)#access-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq wwwR1(config)#access-list 100 deny icmp host 172.16.1.2 host 172.16.4.2 echoR1(config)#interface se2/0R1(config-if)#ip access-group 100 outR1(config-if)#end重新测试PC机之间的连通性PC0Web浏览器：http:/17

45、2.16.4.2(success)ping 172.16.4.2(Reply from 172.16.2.2: Destination host unreachable)3.3 静态NAT配置静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。静态 NAT 使用本地地址与全局地址的一对一映射，这些映射保持不变。静态 NAT 对于必须具有一致的地址、可从 Internet 访问的 Web 服务器或主机特别有用。这些内部主机可能是企业服务器或

46、网络设备。静态 NAT 为内部地址与外部地址的一对一映射。静态 NAT 允许外部设备发起与内部设备的连接。配置静态 NAT 转换很简单。首先需要定义要转换的地址，然后在适当的接口上配置 NAT。从指定的 IP 地址到达内部接口的数据包需经过转换。外部接口收到的以指定 IP 地址为目的地的数据包也需经过转换。如图3.3所示图 3.3 静态NAT配置模型主机号IP网关PC1172.16.1.10172.16.1.1PC2172.16.1.11172.16.1.1Internet192.168.20.3192.168.1.1路由器R1的基本配置。Router#configure terminal Router(config)#int f0/1 Router(config-if)#ip address 210.28.1.2 255.255.255.0Router(config-if)#no shut Router(confi