校园网设计

一，需求分析

• 所有主机可以访问外网

• 主机可以通过域名访问Web服务器

• 为网络配置静态或者动态路由

• 图书馆主机通过DHCP自动获取IP参数

• 为办公楼划分VLAN

• 为所有设备分配合适的IP地址和子网掩码，IP地址的第二个字节使用学号的后两位。

二，网络规划

2.1基于IP子网划分VLAN

【配置思路】

创建VLAN，确定每个楼所属的VLAN。

关联IP子网和VLAN，实现根据报文中的源IP地址或指定网段确定VLAN。

配置端口加入VLAN，实现基于IP子网的VLAN通过当前端口。

【规划VLAN表】

LSW1汇聚层交换机：

端口号	端口类型	所属VLAN	ip
GE 0/0/1	trunk	VLAN1	10.86.8.1
GE 0/0/2	trunk	VLAN7	10.86.7.1
GE 0/0/3	trunk	VLAN2	10.86.2.1
GE 0/0/4	trunk	VLAN3	10.86.3.1

LSW2汇聚层交换机

端口号	端口类型	所属VLAN	ip
GE 0/0/1	trunk	VLAN1	10.86.9.1
GE 0/0/2	trunk	VLAN4	10.86.4.1
GE 0/0/3	trunk	VLAN5	10.86.5.1
GE 0/0/4	trunk	VLAN6	10.86.6.1

2.2IP地址规划

地址	IP地址	网关
图书馆	10.86.7.2/24	10.86.7.1
行政楼	10.86.2.2/24	10.86.2.2
教学楼	10.86.3.2/24	10.86.3.1
科技楼	10.86.4.2/24	10.86.4.1
公寓楼	10.86.5.2/24	10.86.5.1
办公楼	10.86.6.2/24	10.86.6.1
DNS服务器	10.86.10.2/24	10.86.10.1
Web服务器	10.86.10.3/24	10.86.10.1

2.3功能部署与网络拓扑图

在连接设备时，选用自动连线，最好将同一相似位置的接口设置一样，方便后续配置VLAN，IP等。

三，具体配置

3.1配置VLAN

这里首先搭建核心网络，拓扑图如下：

3.1.1配置二层交换机

分别在接入层交换机上配置VLAN，设置入口类型为access，将主机默认vlan设置为配置的vlan，将出口设置为trunk类型，设置出口的vlan为默认的vlan。

注意到配置VLAN为2-7，是因为在汇聚层交换机仍然需要配置相同VLAN2-7，将汇聚层默认的VLAN1用来三层交换机与路由通信。

补充：

• Access链路类型端口：只允许缺省VLAN通过，仅接收和发送一个VLAN的数据帧；一般用于连接用户设备。

• Trunk链路类型端口：允许多个VLAN通过，可以接收和发送多个VLAN的数据帧；缺省VLAN的以太网帧不带标签；一般用于交换机之间连接。

• Hybrid链路类型端口：允许多个VLAN通过，可以接收和发送多个VLAN的数据帧。

以接入层交换机LSW3为例：

vlan batch 7
interface Ethernet 0/0/2
port link-type access
port default vlan 7
quit
interface Ethernet 0/0/1
port link-type trunk
port trunk allow-pass vlan 7
quit

其余5个二层交换机类似。

3.2.2配置三层交换机

以三层交换机LSW1为例，

vlan batch 7 2 3    #同时新建三个VLAN：VLAN7，VLAN2和VLAN3
int g0/0/2
port link-type trunk #将GigabitEthernet0/0/2端口设置为trunk类型
vlan 7
port g0/0/2 #将GigabitEthernet0/0/2端口加入VLAN7
q
​
int g0/0/3
port link-type trunk  #将GigabitEthernet0/0/3端口设置为trunk类型
vlan 2
port g0/0/3 #将GigabitEthernet0/0/3端口加入VLAN2
q
​
int g0/0/4
port link-type trunk  #将GigabitEthernet0/0/4端口设置为trunk类型
vlan 3
port g0/0/4 #将GigabitEthernet0/0/4端口加入VLAN3
q
​
int g0/0/1
port link-type trunk #将GigabitEthernet0/0/1端口设置为trunk类型
port trunk allow-pass vlan all     #GigabitEthernet0/0/3端口允许所有VLAN通过
q #GigabitEthernet0/0/1端口属于默认VLAN：VLAN1
​
int vlanif 7
ip add 10.86.7.1 24 #设置VLAN7的虚端口IP和掩码
int vlanif 2
ip add 10.86.2.1 24 #设置VLAN2的虚端口IP和掩码
int vlanif 3
ip add 10.86.3.1 24 #设置VLAN3的虚端口IP和掩码
int vlanif 1
ip add 10.86.8.1 24 #设置VLAN1的虚端口IP和掩码
q
​
ip route-static 0.0.0.0 0 10.86.8.2 #加一条默认路由，下一跳是路由器R1的Ethernet0/0/1端口

输入命令dis current-configuration查看LSW1配置

interface Vlanif1ip address 10.86.8.1 255.255.255.0
#
interface Vlanif2ip address 10.86.2.1 255.255.255.0
#
interface Vlanif3ip address 10.86.3.1 255.255.255.0
#
interface Vlanif7ip address 10.86.7.1 255.255.255.0

3.2配置路由

这里先暂时添加静态路由。

【R1路由表】

R1的默认路由暂时不配置，后续用于留做整个校园网的出口

ip route-static 10.86.2.0 255.255.255.0 10.86.8.1
ip route-static 10.86.3.0 255.255.255.0 10.86.8.1
ip route-static 10.86.4.0 255.255.255.0 192.168.1.2
ip route-static 10.86.5.0 255.255.255.0 192.168.1.2
ip route-static 10.86.6.0 255.255.255.0 192.168.1.2
ip route-static 10.86.7.0 255.255.255.0 10.86.8.1

【R2路由表】

ip route-static 0.0.0.0 0.0.0.0 192.168.1.1
ip route-static 10.86.4.0 255.255.255.0 10.86.9.1
ip route-static 10.86.5.0 255.255.255.0 10.86.9.1
ip route-static 10.86.6.0 255.255.255.0 10.86.9.1

以R1为例配置：

1.先配置接口IP

vlan 1 #创建VLAN1
q
int e0/0/1
ip add 10.86.8.2 24
int e0/0/0
ip add 192.168.1.1 24
q

2.制定规则

acl number 2000                        #添加一条ACL记录，允许源地址在10.86.0.0/16网段的数据包通过路由器R1
rule 5 permit source 10.86.0.0 0.0.255.255
q

3.配置静态路由

以添加一条静态路由为例：

ip route-static 10.86.7.0 24 10.86.8.1        #添加一条静态路由，要想到达10.86.7.0/16网段，下一跳走交换机的                                                      GigabitEthernet0/0/1端口

补充：

基本ACL（序号为2000~2999）：只根据豹纹的源IP地址信息制定规则。 高级ACL（序号为3000~3999）：根据报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性等三四层信息制定规则。 二层ACL（序号为4000~4999）：根据报文的源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。 用户自定义ACL（序号为5000~5999）：可以以报文的报文头、IP头等为基准，制定从第几个字节开始与掩码进行与操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文

3.3配置主机IP地址

以PC3为例：

IP的主机号都从2开始到254，1用于做网关地址。

此时测试结果为相互ping通，有时可能刚打开机器，会暂时ping不通，无法找到主机，但是过一会儿就好了。

3.4为图书馆开启DHCP服务

3.4.1配置DHCP服务

DHCP：动态主机配置协议，用来分配IP地址等网络参数，在路由器，核心交换机，Linux等上面都可以配置DHCP。用户上网条件：IP地址，网关，DNS。

配置方式有：全局建立地址池方式，基于接口的方式，以及DHCP中继配置方式（这种完全不了解，应该是在路由上开启dhcp服务，在核心交换机上配置dhcp中继）

我们选用第二种基于接口方式，这种方式分配的ip地址网段，是该接口所在的网段IP地址，网关就是这个接口的IP地址。

在LSW1交换机上：

dhcp enable #在LSW1上开启dhcp服务
interface vlan 7
dhcp select interface
dhcp server dns-list 114.114.114.114 223.5.5.5

补充：

1、腾讯 DNS：119.29.29.29、182.254.116.116

2、阿里 DNS：223.5.5.5、223.6.6.6

3、百度 DNS：180.76.76.76

4、114DNS：114.114.114.114、114.114.115.115

5、CNNIC DNS：1.2.4.8、210.2.4.8

6、OneDNS：117.50.11.11、117.50.22.22

7、清华大学 TUNA 协会 DNS 服务器：101.6.6.6

8、谷歌：8.8.8.8

测试DHCP服务

此时将图书馆IPV4配置由静态IP改为DHCP

3.5添加Web服务器和DNS服务器

修改网络拓扑：

新增DNS和Web服务器，通过交换机连接到R1路由器上

将原来PC2更换为一客户机，方便测试：

3.5.1配置IP地址

将此处网段规划为10.86.10.0

设备	IP	网关	域名服务器
DNS服务器	10.86.10.2/24	10.86.10.1	无
WEB服务器	10.86.10.3/24	10.86.10.1	无
R1路由器接口G0/0/0	10.86.10.1/24	无	无
Client客户机	10.86.2.2/24	10.86.2.1	10.86.10.2

3.5.2搭建WEB服务

如图，在WEB服务器上选择HttpServer,选择测试文件目录，点击启动。

如图，在DNS服务器上选择DNSServer

主机域名：www.edu.com 用来放学校的公共资源

IP地址：10.86.10.3 即WEB服务器的地址

然后选择增加，启用。

Cilent客户机测试：

PING测试：目的IPV4分别为web服务器ip和dns服务器ip，次数选择5，点击发送，测试成功。

在客户端信息HttpClient中输入www.edu.com,可以获取成功。

3.6配置动态路由

3.6.1配置动态路由

更新局部拓扑如下：

R1设置为整个校园网的出口，因此g0/0/1应设置为外网网段。

RIP协议是一种内部网关协议（IGP），底层是贝尔曼福特算法，是一种动态路由选择协议，用于自治系统（AS）内的路由信息的传递。

R1命令：

sys #进入全局配置模式
interface GigabitEthernet0/0/1
ip address 150.1.1.1 24interface LoopBack 0
ip address 1.1.1.1 32 #添加本地环回地址rip 
version 2  #Version 1版本只支持有类地址，输入后还是会显示rip-1，是正常的。
network 192.168.1.0 #添加相邻网段
network 1.0.0.0 #添加环回网段
network 10.0.0.0 #添加相邻网段
network 150.0.0.0 #添加相邻网段
undo summary 关闭自动汇总，如果不关闭的话，会把子网所有的路由条目汇总成超网一条路由条目#为R1配置静态路由
ip route-static 0.0.0.0 0 150.1.1.2

值得注意的是：输入network 10.86.10.0会报错，Error: The network address is invalid, and the specified address must be major-net address without any subnets.//提示这里必须是主维网络，不能带子网。 rip协议宣告的主维网络，通告的是子网路由。

R2命令：

sys #进入全局配置模式
interface LoopBack 0
ip address 2.2.2.2 32 #添加本地环回地址rip 
version 2
network 192.168.1.0
network 2.0.0.0 
network 10.0.0.0
undo summary 

R3命令：

sys #进入全局配置模式
interface LoopBack 0
ip address 3.3.3.3 32 #添加本地环回地址rip 
version 2
network 150.0.0.0
network 3.0.0.0#这里还暂时没有做端口转换，来自R3的响应返回不过来，先暂时添加一条静态路由。
ip route-static 10.86.0.0 16 150.1.1.1

3.6.2测试动态路由

为什么要加动态路由，是因为一旦要做出口转换，从PC机到DNS，WEB服务器的路由实在不知道怎么办，就偷个懒配置RIP协议，但是确实解决问题。

此时输入dis ip ro命令查看R1的路由表

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface0.0.0.0/0   Static  60   0          RD   150.1.1.2       GigabitEthernet
0/0/11.1.1.1/32  Direct  0    0           D   127.0.0.1       LoopBack02.2.2.2/32  RIP     100  1           D   192.168.1.2     Ethernet0/0/010.86.2.0/24  Static  60   0          RD   10.86.8.1       Ethernet0/0/110.86.3.0/24  Static  60   0          RD   10.86.8.1       Ethernet0/0/110.86.4.0/24  Static  60   0          RD   192.168.1.2     Ethernet0/0/010.86.5.0/24  Static  60   0          RD   192.168.1.2     Ethernet0/0/010.86.6.0/24  Static  60   0          RD   192.168.1.2     Ethernet0/0/010.86.7.0/24  Static  60   0          RD   10.86.8.1       Ethernet0/0/110.86.8.0/24  Direct  0    0           D   10.86.8.2       Ethernet0/0/110.86.8.2/32  Direct  0    0           D   127.0.0.1       Ethernet0/0/110.86.9.0/24  RIP     100  1           D   192.168.1.2     Ethernet0/0/010.86.10.0/24  Direct  0    0           D   10.86.10.1      GigabitEthernet
0/0/010.86.10.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet
0/0/0127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0150.1.1.0/24  Direct  0    0           D   150.1.1.1       GigabitEthernet
0/0/1150.1.1.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet
0/0/1192.168.1.0/24  Direct  0    0           D   192.168.1.1     Ethernet0/0/0192.168.1.1/32  Direct  0    0           D   127.0.0.1       Ethernet0/0/0

R2路由表

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface0.0.0.0/0   Static  60   0          RD   192.168.1.1     Ethernet0/0/01.1.1.1/32  RIP     100  1           D   192.168.1.1     Ethernet0/0/02.2.2.2/32  Direct  0    0           D   127.0.0.1       LoopBack010.86.4.0/24  Static  60   0          RD   10.86.9.1       Ethernet0/0/110.86.5.0/24  Static  60   0          RD   10.86.9.1       Ethernet0/0/110.86.6.0/24  Static  60   0          RD   10.86.9.1       Ethernet0/0/110.86.8.0/24  RIP     100  1           D   192.168.1.1     Ethernet0/0/010.86.9.0/24  Direct  0    0           D   10.86.9.2       Ethernet0/0/110.86.9.2/32  Direct  0    0           D   127.0.0.1       Ethernet0/0/110.86.10.0/24  RIP     100  1           D   192.168.1.1     Ethernet0/0/0 #这里127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0192.168.1.0/24  Direct  0    0           D   192.168.1.2     Ethernet0/0/0192.168.1.2/32  Direct  0    0           D   127.0.0.1       Ethernet0/0/0

根据路由表，我们可以看出RIP协议应该是成功的。假设IP为10.86.6.2的PC向DNS发送数据，走过路径应该是：

去方向：PC(ip:10.86.6.2)-->DNS服务器（ip：10.86.10.2）

路径：10.86.6.2——10.86.6.1（核心交换机网关）——10.86.9.2(交换机到R2的下一跳)——192.168.1.1（R2到R1的下一跳，这里可以看到R2路由表这条路径采用的是RIP协议)——10.86.10.2（R2到DNS服务器下一跳，在R1中为直连）

测试结果验证推演。

此外，R3路由表，也是可以ping通150.1.1.2

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface3.3.3.3/32  Direct  0    0           D   127.0.0.1       LoopBack010.86.0.0/16  Static  60   0          RD   150.1.1.1       Ethernet0/0/0127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0150.1.1.0/24  Direct  0    0           D   150.1.1.2       Ethernet0/0/0150.1.1.2/32  Direct  0    0           D   127.0.0.1       Ethernet0/0/0

3.7访问外网

3.7.1NAT转换设置

更新上层拓扑如图。

【Internet配置】

此时R5外网路由器，以及外网电脑IP的配置不再赘述。

【R1NAT转换】

此时需为R1出口路由做NAT转换。

配置NAT需要先配置不同的地址组，分配不同的地址。然后配置不同的acl，分配不同的acl，最后AR1的interface GigabitEthernet0/0/1上将不同的IP地址组和不同的acl相对应起来。此外。还需要在LSW7上配置一个静态路由，这个此前已经配过。

R1：

nat address-group 7 150.1.7.100 150.1.7.200
nat address-group 2 150.1.2.100 150.1.2.200
nat address-group 3 150.1.3.100 150.1.3.200
nat address-group 4 150.1.4.100 150.1.4.200
nat address-group 5 150.1.5.100 150.1.5.200
nat address-group 6 150.1.6.100 150.1.6.200acl 2007
rule permit source 10.86.7.2 0.0.0.255
q
acl 2002
rule permit source 10.86.2.2 0.0.0.255
q
acl 2003
rule permit source 10.86.3.2 0.0.0.255
q
acl 2004
rule permit source 10.86.4.2 0.0.0.255
q
acl 2005
rule permit source 10.86.5.2 0.0.0.255
q
acl 2006
rule permit source 10.86.6.2 0.0.0.255
qinterface GigabitEthernet0/0/1
nat outbound 2007 address-group 7 no-pat
nat outbound 2002 address-group 2 no-pat
nat outbound 2003 address-group 3 no-pat
nat outbound 2004 address-group 4 no-pat
nat outbound 2005 address-group 5 no-pat
nat outbound 2006 address-group 6 no-pat
q

3.7.2测试

查看配置结果

用内网教学楼PC机访问100.1.1.2，成功ping通

值得一提的是：此时去掉R5的静态IP，依旧可以成功访问外网，说明此前无法ping通R5，丢包的现象确实是无NAT转换，内网PC无法访问外网IP造成。

此时外网也可访问内网。

用外网电脑ping内网IP10.86.3.2

四，问题解决

在此次实验中，主要碰到以下问题：

1.路由器无法添加IP

原因是选择特殊型号的路由器，但没有进行配置，选择普通的Router路由器即可解决问题，这个路由器即使不再维护也可以支持常见命令。

选取AR201路由器，在e0/0/0端口输入undo portswitch，以及添加VLAN等均为解决问题，且较为复杂。

eNSP操作常见问题01：我的路由器不能输入ip add命令 - 网络工程师培训、思科认证、华为认证培训-onelab网络实验室 (xacisco.net)

2.AR报错40

原因是重启电脑，VitrualBox在第一次使用时无异常，一旦电脑重启就会出错，尝试重装依赖均为结局问题，博主说原因可能在于Win10一些bug，只需在每次电脑重启后，使用ensp之前，执行下面脚本即可解决问题。

start_VBoxDrv .bat

3.配置云端口是无法找到虚拟网卡

这个需要修改依赖WinPcap的兼容性。

华为ensp cloud（云）中没有网卡，缺失网卡，网卡地址错误解决方法_ensp云找不到虚拟网卡-CSDN博客

五，小结

5.1课程设计心得

略

5.2不足分析

在访问外网的功能中做的比较粗糙，在配置云上可以添加环回网卡以太网2和UDP映射。这个以太网卡是VrtualBox仅主机模式的虚拟网卡，可以共享我们真实物理网卡。理论上我们可以通过此访问外网，ping通百度。

没有划分科技楼的专用网，不太理解这个整个私网都需要通过NAT转换才能访问外网，为什么科技楼还需要再做NAT映射。外网是可以访问内网的，这里的意思是不是科技楼为安全考虑不允许外网访问。

最后因为设计能力有限，在设计过程中难免出现错误，恳请老师多多指教，学生将万分感谢。