校園網設計

一，需求分析

• 所有主機可以訪問外網

• 主機可以通過域名訪問Web服務器

• 為網絡配置靜態或者動態路由

• 圖書館主機通過DHCP自動獲取IP參數

• 為辦公樓劃分VLAN

• 為所有設備分配合適的IP地址和子網掩碼，IP地址的第二個字節使用學號的后兩位。

二，網絡規劃

2.1基于IP子網劃分VLAN

【配置思路】

創建VLAN，確定每個樓所屬的VLAN。

關聯IP子網和VLAN，實現根據報文中的源IP地址或指定網段確定VLAN。

配置端口加入VLAN，實現基于IP子網的VLAN通過當前端口。

【規劃VLAN表】

LSW1匯聚層交換機：

端口號	端口類型	所屬VLAN	ip
GE 0/0/1	trunk	VLAN1	10.86.8.1
GE 0/0/2	trunk	VLAN7	10.86.7.1
GE 0/0/3	trunk	VLAN2	10.86.2.1
GE 0/0/4	trunk	VLAN3	10.86.3.1

LSW2匯聚層交換機

端口號	端口類型	所屬VLAN	ip
GE 0/0/1	trunk	VLAN1	10.86.9.1
GE 0/0/2	trunk	VLAN4	10.86.4.1
GE 0/0/3	trunk	VLAN5	10.86.5.1
GE 0/0/4	trunk	VLAN6	10.86.6.1

2.2IP地址規劃

地址	IP地址	網關
圖書館	10.86.7.2/24	10.86.7.1
行政樓	10.86.2.2/24	10.86.2.2
教學樓	10.86.3.2/24	10.86.3.1
科技樓	10.86.4.2/24	10.86.4.1
公寓樓	10.86.5.2/24	10.86.5.1
辦公樓	10.86.6.2/24	10.86.6.1
DNS服務器	10.86.10.2/24	10.86.10.1
Web服務器	10.86.10.3/24	10.86.10.1

2.3功能部署與網絡拓撲圖

在連接設備時，選用自動連線，最好將同一相似位置的接口設置一樣，方便后續配置VLAN，IP等。

三，具體配置

3.1配置VLAN

這里首先搭建核心網絡，拓撲圖如下：

3.1.1配置二層交換機

分別在接入層交換機上配置VLAN，設置入口類型為access，將主機默認vlan設置為配置的vlan，將出口設置為trunk類型，設置出口的vlan為默認的vlan。

注意到配置VLAN為2-7，是因為在匯聚層交換機仍然需要配置相同VLAN2-7，將匯聚層默認的VLAN1用來三層交換機與路由通信。

補充：

• Access鏈路類型端口：只允許缺省VLAN通過，僅接收和發送一個VLAN的數據幀；一般用于連接用戶設備。

• Trunk鏈路類型端口：允許多個VLAN通過，可以接收和發送多個VLAN的數據幀；缺省VLAN的以太網幀不帶標簽；一般用于交換機之間連接。

• Hybrid鏈路類型端口：允許多個VLAN通過，可以接收和發送多個VLAN的數據幀。

以接入層交換機LSW3為例：

vlan batch 7
interface Ethernet 0/0/2
port link-type access
port default vlan 7
quit
interface Ethernet 0/0/1
port link-type trunk
port trunk allow-pass vlan 7
quit

其余5個二層交換機類似。

3.2.2配置三層交換機

以三層交換機LSW1為例，

vlan batch 7 2 3 ?  #同時新建三個VLAN：VLAN7，VLAN2和VLAN3
int g0/0/2
port link-type trunk #將GigabitEthernet0/0/2端口設置為trunk類型
vlan 7
port g0/0/2 #將GigabitEthernet0/0/2端口加入VLAN7
q
?
int g0/0/3
port link-type trunk  #將GigabitEthernet0/0/3端口設置為trunk類型
vlan 2
port g0/0/3 #將GigabitEthernet0/0/3端口加入VLAN2
q
?
int g0/0/4
port link-type trunk  #將GigabitEthernet0/0/4端口設置為trunk類型
vlan 3
port g0/0/4 #將GigabitEthernet0/0/4端口加入VLAN3
q
?
int g0/0/1
port link-type trunk #將GigabitEthernet0/0/1端口設置為trunk類型
port trunk allow-pass vlan all ? ? #GigabitEthernet0/0/3端口允許所有VLAN通過
q #GigabitEthernet0/0/1端口屬于默認VLAN：VLAN1
?
int vlanif 7
ip add 10.86.7.1 24 #設置VLAN7的虛端口IP和掩碼
int vlanif 2
ip add 10.86.2.1 24 #設置VLAN2的虛端口IP和掩碼
int vlanif 3
ip add 10.86.3.1 24 #設置VLAN3的虛端口IP和掩碼
int vlanif 1
ip add 10.86.8.1 24 #設置VLAN1的虛端口IP和掩碼
q
?
ip route-static 0.0.0.0 0 10.86.8.2 #加一條默認路由，下一跳是路由器R1的Ethernet0/0/1端口

輸入命令dis current-configuration查看LSW1配置

interface Vlanif1ip address 10.86.8.1 255.255.255.0
#
interface Vlanif2ip address 10.86.2.1 255.255.255.0
#
interface Vlanif3ip address 10.86.3.1 255.255.255.0
#
interface Vlanif7ip address 10.86.7.1 255.255.255.0

3.2配置路由

這里先暫時添加靜態路由。

【R1路由表】

R1的默認路由暫時不配置，后續用于留做整個校園網的出口

ip route-static 10.86.2.0 255.255.255.0 10.86.8.1
ip route-static 10.86.3.0 255.255.255.0 10.86.8.1
ip route-static 10.86.4.0 255.255.255.0 192.168.1.2
ip route-static 10.86.5.0 255.255.255.0 192.168.1.2
ip route-static 10.86.6.0 255.255.255.0 192.168.1.2
ip route-static 10.86.7.0 255.255.255.0 10.86.8.1

【R2路由表】

ip route-static 0.0.0.0 0.0.0.0 192.168.1.1
ip route-static 10.86.4.0 255.255.255.0 10.86.9.1
ip route-static 10.86.5.0 255.255.255.0 10.86.9.1
ip route-static 10.86.6.0 255.255.255.0 10.86.9.1

以R1為例配置：

1.先配置接口IP

vlan 1 #創建VLAN1
q
int e0/0/1
ip add 10.86.8.2 24
int e0/0/0
ip add 192.168.1.1 24
q

2.制定規則

acl number 2000 ? ? ? ? ? ? ? ? ? ? ?  #添加一條ACL記錄，允許源地址在10.86.0.0/16網段的數據包通過路由器R1
rule 5 permit source 10.86.0.0 0.0.255.255
q

3.配置靜態路由

以添加一條靜態路由為例：

ip route-static 10.86.7.0 24 10.86.8.1 ? ? ?  #添加一條靜態路由，要想到達10.86.7.0/16網段，下一跳走交換機的 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?  GigabitEthernet0/0/1端口

補充：

基本ACL（序號為2000~2999）：只根據豹紋的源IP地址信息制定規則。 高級ACL（序號為3000~3999）：根據報文的源IP地址信息、目的IP地址信息、IP承載的協議類型、協議的特性等三四層信息制定規則。 二層ACL（序號為4000~4999）：根據報文的源MAC地址、目的MAC地址、VLAN優先級、二層協議類型等二層信息制定規則。 用戶自定義ACL（序號為5000~5999）：可以以報文的報文頭、IP頭等為基準，制定從第幾個字節開始與掩碼進行與操作，將從報文提取出來的字符串和用戶定義的字符串進行比較，找到匹配的報文

3.3配置主機IP地址

以PC3為例：

IP的主機號都從2開始到254，1用于做網關地址。

此時測試結果為相互ping通，有時可能剛打開機器，會暫時ping不通，無法找到主機，但是過一會兒就好了。

3.4為圖書館開啟DHCP服務

3.4.1配置DHCP服務

DHCP：動態主機配置協議，用來分配IP地址等網絡參數，在路由器，核心交換機，Linux等上面都可以配置DHCP。用戶上網條件：IP地址，網關，DNS。

配置方式有：全局建立地址池方式，基于接口的方式，以及DHCP中繼配置方式（這種完全不了解，應該是在路由上開啟dhcp服務，在核心交換機上配置dhcp中繼）

我們選用第二種基于接口方式，這種方式分配的ip地址網段，是該接口所在的網段IP地址，網關就是這個接口的IP地址。

在LSW1交換機上：

dhcp enable #在LSW1上開啟dhcp服務
interface vlan 7
dhcp select interface
dhcp server dns-list 114.114.114.114 223.5.5.5

補充：

1、騰訊 DNS：119.29.29.29、182.254.116.116

2、阿里 DNS：223.5.5.5、223.6.6.6

3、百度 DNS：180.76.76.76

4、114DNS：114.114.114.114、114.114.115.115

5、CNNIC DNS：1.2.4.8、210.2.4.8

6、OneDNS：117.50.11.11、117.50.22.22

7、清華大學 TUNA 協會 DNS 服務器：101.6.6.6

8、谷歌：8.8.8.8

測試DHCP服務

此時將圖書館IPV4配置由靜態IP改為DHCP

3.5添加Web服務器和DNS服務器

修改網絡拓撲：

新增DNS和Web服務器，通過交換機連接到R1路由器上

將原來PC2更換為一客戶機，方便測試：

3.5.1配置IP地址

將此處網段規劃為10.86.10.0

設備	IP	網關	域名服務器
DNS服務器	10.86.10.2/24	10.86.10.1	無
WEB服務器	10.86.10.3/24	10.86.10.1	無
R1路由器接口G0/0/0	10.86.10.1/24	無	無
Client客戶機	10.86.2.2/24	10.86.2.1	10.86.10.2

3.5.2搭建WEB服務

如圖，在WEB服務器上選擇HttpServer,選擇測試文件目錄，點擊啟動。

如圖，在DNS服務器上選擇DNSServer

主機域名：www.edu.com 用來放學校的公共資源

IP地址：10.86.10.3 即WEB服務器的地址

然后選擇增加，啟用。

Cilent客戶機測試：

PING測試：目的IPV4分別為web服務器ip和dns服務器ip，次數選擇5，點擊發送，測試成功。

在客戶端信息HttpClient中輸入www.edu.com,可以獲取成功。

3.6配置動態路由

3.6.1配置動態路由

更新局部拓撲如下：

R1設置為整個校園網的出口，因此g0/0/1應設置為外網網段。

RIP協議是一種內部網關協議（IGP），底層是貝爾曼福特算法，是一種動態路由選擇協議，用于自治系統（AS）內的路由信息的傳遞。

R1命令：

sys #進入全局配置模式
interface GigabitEthernet0/0/1
ip address 150.1.1.1 24interface LoopBack 0
ip address 1.1.1.1 32 #添加本地環回地址rip 
version 2  #Version 1版本只支持有類地址，輸入后還是會顯示rip-1，是正常的。
network 192.168.1.0 #添加相鄰網段
network 1.0.0.0 #添加環回網段
network 10.0.0.0 #添加相鄰網段
network 150.0.0.0 #添加相鄰網段
undo summary 關閉自動匯總，如果不關閉的話，會把子網所有的路由條目匯總成超網一條路由條目#為R1配置靜態路由
ip route-static 0.0.0.0 0 150.1.1.2

值得注意的是：輸入network 10.86.10.0會報錯，Error: The network address is invalid, and the specified address must be major-net address without any subnets.//提示這里必須是主維網絡，不能帶子網。 rip協議宣告的主維網絡，通告的是子網路由。

R2命令：

sys #進入全局配置模式
interface LoopBack 0
ip address 2.2.2.2 32 #添加本地環回地址rip 
version 2
network 192.168.1.0
network 2.0.0.0 
network 10.0.0.0
undo summary 

R3命令：

sys #進入全局配置模式
interface LoopBack 0
ip address 3.3.3.3 32 #添加本地環回地址rip 
version 2
network 150.0.0.0
network 3.0.0.0#這里還暫時沒有做端口轉換，來自R3的響應返回不過來，先暫時添加一條靜態路由。
ip route-static 10.86.0.0 16 150.1.1.1

3.6.2測試動態路由

為什么要加動態路由，是因為一旦要做出口轉換，從PC機到DNS，WEB服務器的路由實在不知道怎么辦，就偷個懶配置RIP協議，但是確實解決問題。

此時輸入dis ip ro命令查看R1的路由表

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface0.0.0.0/0   Static  60   0          RD   150.1.1.2       GigabitEthernet
0/0/11.1.1.1/32  Direct  0    0           D   127.0.0.1       LoopBack02.2.2.2/32  RIP     100  1           D   192.168.1.2     Ethernet0/0/010.86.2.0/24  Static  60   0          RD   10.86.8.1       Ethernet0/0/110.86.3.0/24  Static  60   0          RD   10.86.8.1       Ethernet0/0/110.86.4.0/24  Static  60   0          RD   192.168.1.2     Ethernet0/0/010.86.5.0/24  Static  60   0          RD   192.168.1.2     Ethernet0/0/010.86.6.0/24  Static  60   0          RD   192.168.1.2     Ethernet0/0/010.86.7.0/24  Static  60   0          RD   10.86.8.1       Ethernet0/0/110.86.8.0/24  Direct  0    0           D   10.86.8.2       Ethernet0/0/110.86.8.2/32  Direct  0    0           D   127.0.0.1       Ethernet0/0/110.86.9.0/24  RIP     100  1           D   192.168.1.2     Ethernet0/0/010.86.10.0/24  Direct  0    0           D   10.86.10.1      GigabitEthernet
0/0/010.86.10.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet
0/0/0127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0150.1.1.0/24  Direct  0    0           D   150.1.1.1       GigabitEthernet
0/0/1150.1.1.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet
0/0/1192.168.1.0/24  Direct  0    0           D   192.168.1.1     Ethernet0/0/0192.168.1.1/32  Direct  0    0           D   127.0.0.1       Ethernet0/0/0

R2路由表

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface0.0.0.0/0   Static  60   0          RD   192.168.1.1     Ethernet0/0/01.1.1.1/32  RIP     100  1           D   192.168.1.1     Ethernet0/0/02.2.2.2/32  Direct  0    0           D   127.0.0.1       LoopBack010.86.4.0/24  Static  60   0          RD   10.86.9.1       Ethernet0/0/110.86.5.0/24  Static  60   0          RD   10.86.9.1       Ethernet0/0/110.86.6.0/24  Static  60   0          RD   10.86.9.1       Ethernet0/0/110.86.8.0/24  RIP     100  1           D   192.168.1.1     Ethernet0/0/010.86.9.0/24  Direct  0    0           D   10.86.9.2       Ethernet0/0/110.86.9.2/32  Direct  0    0           D   127.0.0.1       Ethernet0/0/110.86.10.0/24  RIP     100  1           D   192.168.1.1     Ethernet0/0/0 #這里127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0192.168.1.0/24  Direct  0    0           D   192.168.1.2     Ethernet0/0/0192.168.1.2/32  Direct  0    0           D   127.0.0.1       Ethernet0/0/0

根據路由表，我們可以看出RIP協議應該是成功的。假設IP為10.86.6.2的PC向DNS發送數據，走過路徑應該是：

去方向：PC(ip:10.86.6.2)-->DNS服務器（ip：10.86.10.2）

路徑：10.86.6.2——10.86.6.1（核心交換機網關）——10.86.9.2(交換機到R2的下一跳)——192.168.1.1（R2到R1的下一跳，這里可以看到R2路由表這條路徑采用的是RIP協議)——10.86.10.2（R2到DNS服務器下一跳，在R1中為直連）

測試結果驗證推演。

此外，R3路由表，也是可以ping通150.1.1.2

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface3.3.3.3/32  Direct  0    0           D   127.0.0.1       LoopBack010.86.0.0/16  Static  60   0          RD   150.1.1.1       Ethernet0/0/0127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0150.1.1.0/24  Direct  0    0           D   150.1.1.2       Ethernet0/0/0150.1.1.2/32  Direct  0    0           D   127.0.0.1       Ethernet0/0/0

3.7訪問外網

3.7.1NAT轉換設置

更新上層拓撲如圖。

【Internet配置】

此時R5外網路由器，以及外網電腦IP的配置不再贅述。

【R1NAT轉換】

此時需為R1出口路由做NAT轉換。

配置NAT需要先配置不同的地址組，分配不同的地址。然后配置不同的acl，分配不同的acl，最后AR1的interface GigabitEthernet0/0/1上將不同的IP地址組和不同的acl相對應起來。此外。還需要在LSW7上配置一個靜態路由，這個此前已經配過。

R1：

nat address-group 7 150.1.7.100 150.1.7.200
nat address-group 2 150.1.2.100 150.1.2.200
nat address-group 3 150.1.3.100 150.1.3.200
nat address-group 4 150.1.4.100 150.1.4.200
nat address-group 5 150.1.5.100 150.1.5.200
nat address-group 6 150.1.6.100 150.1.6.200acl 2007
rule permit source 10.86.7.2 0.0.0.255
q
acl 2002
rule permit source 10.86.2.2 0.0.0.255
q
acl 2003
rule permit source 10.86.3.2 0.0.0.255
q
acl 2004
rule permit source 10.86.4.2 0.0.0.255
q
acl 2005
rule permit source 10.86.5.2 0.0.0.255
q
acl 2006
rule permit source 10.86.6.2 0.0.0.255
qinterface GigabitEthernet0/0/1
nat outbound 2007 address-group 7 no-pat
nat outbound 2002 address-group 2 no-pat
nat outbound 2003 address-group 3 no-pat
nat outbound 2004 address-group 4 no-pat
nat outbound 2005 address-group 5 no-pat
nat outbound 2006 address-group 6 no-pat
q

3.7.2測試

查看配置結果

用內網教學樓PC機訪問100.1.1.2，成功ping通

值得一提的是：此時去掉R5的靜態IP，依舊可以成功訪問外網，說明此前無法ping通R5，丟包的現象確實是無NAT轉換，內網PC無法訪問外網IP造成。

此時外網也可訪問內網。

用外網電腦ping內網IP10.86.3.2

四，問題解決

在此次實驗中，主要碰到以下問題：

1.路由器無法添加IP

原因是選擇特殊型號的路由器，但沒有進行配置，選擇普通的Router路由器即可解決問題，這個路由器即使不再維護也可以支持常見命令。

選取AR201路由器，在e0/0/0端口輸入undo portswitch，以及添加VLAN等均為解決問題，且較為復雜。

eNSP操作常見問題01：我的路由器不能輸入ip add命令 - 網絡工程師培訓、思科認證、華為認證培訓-onelab網絡實驗室 (xacisco.net)

2.AR報錯40

原因是重啟電腦，VitrualBox在第一次使用時無異常，一旦電腦重啟就會出錯，嘗試重裝依賴均為結局問題，博主說原因可能在于Win10一些bug，只需在每次電腦重啟后，使用ensp之前，執行下面腳本即可解決問題。

start_VBoxDrv .bat

3.配置云端口是無法找到虛擬網卡

這個需要修改依賴WinPcap的兼容性。

華為ensp cloud（云）中沒有網卡，缺失網卡，網卡地址錯誤解決方法_ensp云找不到虛擬網卡-CSDN博客

五，小結

5.1課程設計心得

略

5.2不足分析

在訪問外網的功能中做的比較粗糙，在配置云上可以添加環回網卡以太網2和UDP映射。這個以太網卡是VrtualBox僅主機模式的虛擬網卡，可以共享我們真實物理網卡。理論上我們可以通過此訪問外網，ping通百度。

沒有劃分科技樓的專用網，不太理解這個整個私網都需要通過NAT轉換才能訪問外網，為什么科技樓還需要再做NAT映射。外網是可以訪問內網的，這里的意思是不是科技樓為安全考慮不允許外網訪問。

最后因為設計能力有限，在設計過程中難免出現錯誤，懇請老師多多指教，學生將萬分感謝。