第3章校园网设计方法和实现过程

在校园网设计和实施过程中,需要解决如何通过无线局域网接入移动终端的问题,如何
通过以太网安全机制防御ARP 欺骗攻击和源IP 地址欺骗攻击的问题,以及如何通过安全
路由防御路由项欺骗攻击的问题。

3.校园布局和设计要求
1 

我们需要根据校园布局设计校园网的分层结构。对应分层结构,将建筑物分为教室、办
公楼和主楼三个层次。

3.1 
校园布局
1.
校园布局如图3.1所示,楼与楼之间的距离为1~2km,要求通过校园网实现各个楼之
间互联。为简化起见,只要求将每一栋教室中的若干终端和数据中心中的若干服务器连接
到校园网上,不考虑主楼和办公楼中的终端和服务器。教室中的终端包括固定终端和移动
终端。


图3.

1 校园布局

3.2 
需求分析
1.
每一个教室存在三种类型的终端:一是上课用的固定终端,二是学生携带的移动终端, 
三是教师携带的移动终端。每一个教室设置AP,由AC 统一完成对AP 的配置过程。移动
终端通过AP 接入校园网。数据中心设置Web服务器、DHCP 服务器、域名系统(Domain 
NameSystem,DNS)服务器、文件传输协议(FileTransferProtocol,FTP)服务器、E-mail服
务器、RADIUS(RemoteAuthenticationDialInUserService,远程鉴别拨入用户服务)服务
器等。如果对移动终端接入过程实施统一鉴别,由RADIUS 服务器完成统一鉴别过程。教


第3 章 校园网设计方法和实现过程 
63 
师和学生的移动终端以及固定终端都通过DHCP获取网络信息。教师移动终端、学生移动
终端和固定终端属于不同的VLAN,有着不同的资源访问权限。固定终端不能访问E-mail 
服务器,学生移动终端不能访问FTP服务器。
3.2 逻辑设计
逻辑设计阶段需要根据校园布局完成拓扑结构设计,根据需求分析结果导出数据通信
系统和安全系统的功能和设计原则,完成设备选型。
3.2.1 网络拓扑结构
网络拓扑结构设计一是需要考虑布线系统的实施难度和成本,二是需要考虑放置和管
理网络设备的方便性,三是需要考虑数据通信网络的设计要求。根据如图3.1所示的校园
布局,设计出如图3.2所示的校园网拓扑结构。接入层设备放置在各个教室和数据中心,教
室中接入层设备的功能是连接教室中的固定终端和AP,数据中心中接入层设备的功能是
连接数据中心中的服务器。汇聚层设备放置在两个办公楼中,汇聚层设备的功能一是连接
核心层设备,二是连接分布在教室中的接入层设备。办公楼1中的汇聚层设备连接教室1、
教室2和教室3中的接入层设备。办公楼2中的汇聚层设备连接教室4和教室5中的接入
层设备。核心层设备放置在主楼中,核心层设备的功能是连接放置在办公楼1和办公楼2 
中的汇聚层设备和AC以及连接数据中心中服务器的接入层交换机。
图3.2 校园网拓扑结构

计算机网络工程(第2 版) 
64 
3.2.2 数据通信网络性能指标和设计原则
1. 数据通信网络性能指标
. 全双工、100Mb/s链路连接终端。
. 全双工、1000Mb/s链路连接FAP。
. 全双工、1000Mb/s链路连接服务器。
. 教室与办公楼之间提供全双工、1000Mb/s链路。
. 办公楼1与主楼之间通过链路聚合技术提供全双工、2000Mb/s物理连接。
. 办公楼2与主楼之间通过链路聚合技术提供全双工、2000Mb/s物理连接。
. 数据中心与主楼之间通过链路聚合技术提供全双工、2000Mb/s物理连接。
. 允许跨教室划分VLAN。
. 允许按照应用和安全等级为服务器分配VLAN。
. 完成各个VLAN 的IP地址分配。
. 选择OSPF作为路由协议,将校园网作为单个OSPF区域。
. 按照安全系统要求建立端到端传输路径。
. 所有终端通过DHCP自动获取网络信息。
2. 数据通信网络设计原则
. 由于允许多个终端同时通过瘦AP接入校园网,因此接入层交换机通过1000Mb/s 
链路连接瘦AP。
. 由于每一个接入层交换机连接1个固定终端和多个移动终端,因此接入层交换机通
过1000Mb/s链路连接汇聚层交换机。
. 由于每一个汇聚层交换机连接多个接入层交换机,因此汇聚层交换机通过2000Mb/s 
链路连接核心层交换机。
. 为提高服务器访问速率,每一台服务器通过1000Mb/s链路连接数据中心交换机。
由于数据中心交换机连接多台服务器,因此数据中心交换机通过2000Mb/s链路连
接核心层交换机。
3.2.3 AC+瘦AP结构和设计原则
1. AC+瘦AP结构
分布在各个教室的AP是瘦AP,瘦AP不需要通过人工逐一配置,而是由无线控制器
图3.3 AC+瘦AP结构
(AC)统一配置。AC+瘦AP的一种典型结构如图3.3所
示,AC和瘦AP连接在同一个VLAN 上,该VLAN 通常是
本地VLAN,通过本地VLAN 传输的MAC 帧无须携带
VLANID。默认情况下,VLAN1是本地VLAN。图3.3 
中的各个瘦AP首先需要通过广播发现AC,获取自己的网
络信息,建立与AC之间的隧道,然后由AC推送配置信息。
每一个AP可以绑定多个WLAN,每一个WLAN 有着独立
的服务集标识符(ServiceSetIdentifier,SSID)和加密及鉴
别方式。不同的WLAN 可以绑定不同的VLAN。这里,每

第3 章 校园网设计方法和实现过程 
65 
一个AP绑定两个WLAN,分别是连接学生移动终端的WLAN 和连接教师移动终端的
WLAN。为平衡负载,将教室1、教室2和教室3中瘦AP绑定的这两个WLAN 分别关联
VLAN2和VLAN4,将教室4和教室5中瘦AP绑定的这两个WLAN 分别关联VLAN3 
和VLAN5。
2. 设计原则
. 将瘦AP和AC连接在同一个本地VLAN。瘦AP加电后通过广播无线接入点控制
和配置协议(Control And Provisioning of Wireless Access Points Protocol, 
CAPWAP)报文发现AC,且封装CAPWAP报文的MAC帧不携带VLANID。因
此,为保证瘦AP广播的不带VLANID的MAC帧到达AC,瘦AP和AC必须连接
在同一个本地VLAN 上。
. AC自动为瘦AP分配网络信息。瘦AP分配IP地址后才能建立与AC之间的隧
道。因此,在瘦AP发现AC后,由AC通过DHCP为瘦AP分配网络信息。
3.2.4 安全系统功能和设计原则
1. 安全系统功能
. 将交换机端口与IP地址和MAC地址对绑定,以防止源IP地址欺骗攻击和ARP欺
骗攻击。
. 通过将教师移动终端、学生移动终端和固定终端接入不同的VLAN 和将不同的服
务器接入不同的VLAN,建立如下访问控制策略。
. 不允许学生移动终端访问FTP服务器,但允许访问其他服务器。
. 允许教师移动终端访问所有服务器。
. 不允许固定终端访问E-mail服务器,但允许访问其他服务器。
. 启动OSPF的安全路由功能,防止路由项欺骗攻击。
. 通过限制终端与服务器之间未完成的TCP连接数量,防止对服务器的DoS攻击。
2. 安全系统设计原则
. 由二层交换机通过DHCP侦听建立DHCP侦听库,通过DHCP侦听库建立交换机
端口、IP地址和MAC地址之间的关联。
. 将AC与瘦AP之间通信的网络与VLAN1绑定,且VLAN1是本地VLAN。为平
衡负载,将教室1、教室2和教室3中连接学生移动终端的WLAN 与VLAN2绑
定,连接教师移动终端的WLAN 与VLAN4绑定,将这三个教室的固定终端连接
到VLAN6上。同时,将教室4和教室5中连接学生移动终端的WLAN与VLAN3 
绑定,连接教师移动终端的WLAN 与VLAN5绑定,将这两个教室的固定终端连
接到VLAN7上。
. 在三层交换机中启动防OSPF路由项欺骗攻击功能。
. 在三层交换机中设置无状态分组过滤器,实施不允许学生移动终端访问FTP服务
器和不允许固定终端访问E-mail服务器的安全策略。
3.2.5 设备选型和配置
1. 设备选型依据 
接入层设备选择二层交换机,汇聚层和核心层设备选择三层交换机。接入层设备选择

计算机网络工程(第2 版) 
66 
二层交换机的依据如下。
. 接入层需要具有VLAN 划分功能。
. 接入层需要具有接入控制和防御ARP欺骗攻击、源IP地址欺骗攻击及伪造DHCP 
服务器攻击等功能。
. 终端和服务器需要提供全双工通信方式。
. 接入层一般不需要提供VLAN 间路由功能。
. 由于接入层设备的量比较大,因此采用相对比较便宜的设备。
汇聚层设备选择三层交换机的依据如下。
. 需要汇聚层设备支持跨接入层设备的VLAN 划分。
. 需要汇聚层设备实现VLAN 间路由功能。
. 需要汇聚层设备实现资源访问控制功能。
. 需要汇聚层设备灵活分配连接核心层设备和接入层设备的链路的带宽。
. 需要汇聚层设备生成端到端IP传输路径。
核心层设备选择三层交换机的依据如下。
. 需要核心层设备具有高速转发IP分组的功能。
. 需要核心层设备灵活分配连接汇聚层设备的链路的带宽。
选择AC+瘦AP结构的依据如下。
. 瘦AP分布在各个教室,人工逐一配置的工作量太大,而且容易发生配置不一致
问题。
. 选择AC+瘦AP结构使得瘦AP 可以即插即用,降低了维护和更换瘦AP 的工
作量。
. 便于对瘦AP进行集中管理。
2. 设备配置
各个交换机的端口配置如表3.1所示,表中的交换机编号与图3.4中一致。假设每一个
教室中的接入层交换机连接一个固定终端和一台瘦AP,根据数据通信网络设计要求,每一
台接入层交换机需要提供一个用于连接固定终端的100Base-TX端口、一个用于连接瘦AP 
的1000Base-TX端口和一个用于连接与办公楼之间的1000Mb/s的光纤链路的1000Base- 
LX端口。数据中心中的接入层交换机需要提供6个用于连接6台服务器的1000Base-TX 
端口。此外,需要提供2个1000Base-LX 端口,这两个1000Base-LX 端口通过端口聚合技
术聚合为一个2000Mb/s的端口通道,用于实现与主楼核心层交换机之间的2000Mb/s的
物理连接。
办公楼1中的汇聚层交换机需要提供5个1000Base-LX端口,其中3个1000Base-LX 
端口分别用于连接与教室1、教室2和教室3中接入层交换机之间的1000Mb/s的光纤链
路。2个1000Base-LX端口通过端口聚合技术聚合为一个2000Mb/s的端口通道,用于实
现与主楼核心层交换机之间的2000Mb/s的物理连接。
办公楼2中的汇聚层交换机需要提供4个1000Base-LX端口,其中2个1000Base-LX 
端口分别用于连接与教室4和教室5中接入层交换机之间的1000Mb/s的光纤链路。2个
1000Base-LX端口通过端口聚合技术聚合为一个2000Mb/s的端口通道,用于实现与主楼
核心层交换机之间的2000Mb/s的物理连接。

第3 章 校园网设计方法和实现过程 
67 
主楼中的核心层交换机需要提供6个1000Base-LX端口和一个1000Base-TX端口。6 
个1000Base-LX 端口分成三组,每一组包含2 个1000Base-LX 端口。每一组的2 个
1000Base-LX端口通过端口聚合技术聚合为一个2000Mb/s的端口通道,三组共构成3个
2000Mb/s的端口通道,分别用于实现与办公楼1中汇聚层交换机之间、与办公楼2中汇聚
层交换机之间和数据中心中接入层交换机之间的2000Mb/s的物理连接。一个1000Base- 
TX端口用于连接AC。
表3.1 设备类型和配置
设备名称类型100Base-TX端口1000Base-TX端口1000Base-LX端口
S1 二层交换机1 1 1 
S2 二层交换机1 1 1 
S3 二层交换机1 1 1 
S4 二层交换机1 1 1 
S5 二层交换机1 1 1 
S6 二层交换机6 2 
S7 三层交换机5 
S8 三层交换机4 
S9 三层交换机1 6 
图3.4 交换机端口分配方式

计算机网络工程(第2 版) 
68 
3.3 数据通信网络实现过程
数据通信网络实现过程涉及链路聚合、AC+瘦AP 无线局域网结构、VLAN 划分、
OSPF配置及路由表生成过程等。
3.3.1 链路聚合
交换机S6、S7、S8和S9通过链路聚合技术建立端口通道,各个交换机建立的端口通道
及该端口通道包含的交换机端口如表3.2所示。
表3.2 各个交换机建立的端口通道及各个端口通道包含的交换机端口
交换机端口通道端口交换机端口通道端口
S6 PortChannel1 端口7和端口8 
S7 PortChannel1 端口4和端口5 
S8 PortChannel1 端口3和端口4 
S9 
PortChannel1 端口1和端口2 
PortChannel2 端口3和端口4 
PortChannel3 端口5和端口6 
3.3.2 AC配置
AC需要创建4个WLAN,如表3.3所示。WLAN1用于连接教室1、教室2和教室3 
中的学生移动终端,WLAN2用于连接教室1、教室2和教室3中的教师移动终端,WLAN 
3用于连接教室4和教室5中的学生移动终端,WLAN4用于连接教室4和教室5中的教
师移动终端。WLAN1与VLAN2建立关联,WLAN2与VLAN4建立关联,这两个
WLAN 需要绑定教室1、教室2和教室3中的瘦AP1、瘦AP2和瘦AP3。WLAN3与
VLAN3建立关联,WLAN4与VLAN5建立关联,这两个WLAN 需要绑定教室4和教室
5中的瘦AP4和瘦AP5。
表3.3 AC需要创建的4个WLAN 及相关参数
WLAN 绑定的VLAN SSID 鉴别机制RADIUS服务器密钥绑定的瘦AP 
WLAN1 VLAN2 1234561 WPA2 192.1.8.21 12345678 瘦AP1、瘦AP2、瘦AP3 
WLAN2 VLAN4 1234562 WPA2-PSK 1234567890 瘦AP1、瘦AP2、瘦AP3 
WLAN3 VLAN3 1234563 WPA2 192.1.8.21 12345678 瘦AP4、瘦AP5 
WLAN4 VLAN5 1234564 WPA2-PSK 1234567890 瘦AP4、瘦AP5 
AC为了能够与瘦AP通信,需要与所有瘦AP位于同一个VLAN 中,且该VLAN 是
本地VLAN,这里将VLAN1作为互联AC和瘦AP的VLAN。由AC为该VLAN 定义
IP接口和配置IP地址,同时由AC创建本地VLAN 对应的DHCP地址池,为所有瘦AP自
动分配网络信息。AC配置的IP地址和DHCP地址池如表3.4所示。

第3 章 校园网设计方法和实现过程 
69 
表3.4 AC配置的IP地址和DHCP地址池
AC配置的IP地址AC配置的子网掩码DHCP地址池
192.168.1.1 255.255.255.0 192.168.1.100~192.168.1.150 
3.3.3 VLAN 划分
1. 需要创建的VLAN 及其功能
在如图3.4所示的校园网拓扑结构中创建15个VLAN(VLAN1是默认VLAN),这
15个VLAN 的功能如表3.5所示。
表3.5 需要创建的VLAN 及其功能
VLAN 功 能
VLAN1 用于所有瘦AP与AC之间交换CAPWAP消息
VLAN2 用于连接瘦AP1、瘦AP2和瘦AP3连接的学生移动终端
VLAN3 用于连接瘦AP4和瘦AP5连接的学生移动终端
VLAN4 用于连接瘦AP1、瘦AP2和瘦AP3连接的教师移动终端
VLAN5 用于连接瘦AP4和瘦AP5连接的教师移动终端
VLAN6 用于连接交换机S1、S2和S3连接的固定终端
VLAN7 用于连接交换机S4和S5连接的固定终端
VLAN8 用于连接Web服务器
VLAN9 用于连接FTP服务器
VLAN10 用于连接DNS服务器
VLAN11 用于连接E-mail服务器
VLAN12 用于连接DHCP服务器
VLAN13 用于连接RADIUS服务器
VLAN14 用于实现三层交换机S7与S9互联
VLAN15 用于实现三层交换机S8与S9互联
2. 各个交换机VLAN 与交换机端口的映射
根据图3.4所示的交换机端口分配方式,得出表3.6~表3.11 所示的各个交换机
VLAN与交换机端口之间的映射。交换机S2和S3的VLAN 与交换机端口之间的映射与
交换机S1相同,如表3.6所示。交换机S5的VLAN 与交换机端口之间的映射与交换机S4 
相同,如表3.7所示。建立VLAN 与交换机端口之间映射的原则如下:如果端口X被属于
VLANY的交换路径经过,需要将端口X 配置给VLAN Y。如果端口X 仅被单条属于
VLANY的交换路径经过,端口X作为接入端口分配给VLAN Y。如果端口X 既被属于
VLANY的交换路径经过,又被属于VLANZ的交换路径经过,端口X 作为主干端口被
VLANY和VLANZ共享。

计算机网络工程(第2 版) 
70 
属于同一VLAN 的终端和设备之间需要建立交换路径,属于同一VLAN 的终端和设
备与创建该VLAN 对应的IP接口的三层交换机之间也需要建立交换路径。由于所有瘦
AP和AC属于VLAN1,需要建立所有瘦AP与AC之间的交换路径,因此属于VLAN1 
的交换路径经过的交换机端口和端口通道如下:交换机S1、S2、S3、S4和S5的端口1和端
口3;交换机S7的端口1、端口2、端口3和端口通道PortChannel1;交换机S8的端口1、端
口2和端口通道PortChannel1;交换机S9的端口7、端口通道PortChannel1和端口通道
PortChannel2。
对于VLAN2,需要建立瘦AP1(交换机S1连接的瘦AP)、瘦AP2(交换机S2连接的
瘦AP)、瘦AP3(交换机S3连接的瘦AP)和创建VLAN2对应的IP接口的三层交换机S7 
之间的交换路径。为允许由AC转发数据帧,还需要建立瘦AP1、瘦AP2、瘦AP3与AC之
间的交换路径,因此属于VLAN2的交换路径经过的交换机端口和端口通道如下:交换机
S1、S2和S3 的端口1 和端口3;交换机S7 的端口1、端口2、端口3 和端口通道Port 
Channel1;交换机S9的端口7和端口通道PortChannel1。属于VLAN4的交换路径经过
的交换机端口和端口通道与VLAN2相同。
对于VLAN6,需要建立属于VLAN6的固定终端和创建VLAN6对应的IP接口的
三层交换机S7之间的交换路径,因此属于VLAN6的交换路径经过的交换机端口如下:交
换机S1、S2和S3的端口2和端口3;交换机S7的端口1、端口2和端口3。各个交换机其
他VLAN 与交换机端口之间的映射可以通过同样的分析方式导出。
表3.6 交换机S1的VLAN 与交换机端口映射表
VLAN 接入端口主干端口VLAN 接入端口主干端口
VLAN1 端口1、端口3 VLAN4 端口1、端口3 
VLAN2 端口1、端口3 VLAN6 端口2 端口3 
表3.7 交换机S4的VLAN 与交换机端口映射表
VLAN 接入端口主干端口VLAN 接入端口主干端口
VLAN1 端口1、端口3 VLAN5 端口1、端口3 
VLAN3 端口1、端口3 VLAN7 端口2 端口3 
表3.8 交换机S6的VLAN 与交换机端口映射表
VLAN 接入端口主干端口VLAN 接入端口主干端口
VLAN8 端口1 PortChannel1 VLAN11 端口4 PortChannel1 
VLAN9 端口2 PortChannel1 VLAN12 端口5 PortChannel1 
VLAN10 端口3 PortChannel1 VLAN13 端口6 PortChannel1 
表3.9 交换机S7的VLAN 与交换机端口映射表
VLAN 接入端口主干端口
VLAN1 端口1、端口2、端口3、PortChannel1

第3 章 校园网设计方法和实现过程 
71 
续表
VLAN 接入端口主干端口
VLAN2 端口1、端口2、端口3、PortChannel1 
VLAN4 端口1、端口2、端口3、PortChannel1 
VLAN6 端口1、端口2、端口3 
VLAN14 PortChannel1 
表3.10 交换机S8的VLAN 与交换机端口映射表
VLAN 接入端口主干端口VLAN 接入端口主干端口
VLAN1 端口1、端口2、PortChannel1 VLAN7 端口1、端口2 
VLAN3 端口1、端口2、PortChannel1 VLAN15 PortChannel1 
VLAN5 端口1、端口2、PortChannel1 
表3.11 交换机S9的VLAN 与交换机端口映射表
VLAN 接入端口主干端口VLAN 接入端口主干端口
VLAN1 PortChannel1、PortChannel2、
端口7 VLAN10 PortChannel3 
VLAN2 PortChannel1、端口7 VLAN11 PortChannel3 
VLAN3 PortChannel2、端口7 VLAN12 PortChannel3 
VLAN4 PortChannel1、端口7 VLAN13 PortChannel3 
VLAN5 PortChannel2、端口7 VLAN14 PortChannel1 
VLAN8 PortChannel3 VLAN15 PortChannel2 
VLAN9 PortChannel3 
3. VLAN 内的MAC帧传输过程
属于相同VLAN 的两个终端之间能够通过VLAN 内的交换路径实现以这两个终端的
MAC地址为源和目的MAC地址的MAC帧的传输过程。
在图3.5中,每一个VLAN 有单独的网桥转发属于该VLAN 的MAC帧,每一个网桥
有独立的转发表。假定各个与VLAN4绑定的转发表已经通过地址学习过程建立了如
图3.5所示的转发表,终端B发送给终端H 的MAC帧的传输过程如下。
终端B发送给终端H 的MAC帧以终端B的MAC地址MACB为源MAC地址,以终
端H 的MAC地址MAC H 为目的MAC地址。这里假定终端B已经加入与VLAN4绑
定的WLAN,且瘦AP1的转发表中已经建立MAC地址为MACH。转发端口为瘦AP1以
太网端口的转发项。因此,当瘦AP1通过无线局域网接收到该无线局域网MAC帧,确定
将其通过以太网端口转发出去后,将该无线局域网MAC帧转换成以太网MAC帧并为该
以太网MAC帧添加VLANID=4。该以太网MAC帧经过交换机端口S1.1进入交换机
S1,由于交换机端口S1.1是被VLAN1、VLAN2和VLAN4共享的主干端口,且该以太网

计算机网络工程(第2 版) 
72 
图3.5 交换路径示意图
MAC帧携带VLANID=4,因此将其提交给与VLAN4绑定的网桥(图3.5中用V4表示
与VLAN4绑定的网桥)。与VLAN4绑定的网桥在自己的转发表中检索到MAC地址为
MACH 的转发项,确定输出端口是端口S1.3。由于端口S1.3是主干端口(也称为标记端
口),因此从该端口输出的MAC帧携带VLANID=4。
从端口S1.3输出的MAC帧经过端口S7.1进入交换机S7,由于端口S7.1是被VLAN 
1、VLAN2、VLAN4和VLAN6共享的主干端口且MAC帧携带VLANID=4,因此该
MAC帧被提交给与VLAN4绑定的网桥(图3.5中用V4表示与VLAN4绑定的网桥)。
与VLAN4绑定的网桥在自己的转发表中检索到MAC地址为MACH 的转发项,确定输
出端口是端口S7.3。由于端口S7.3是主干端口(标记端口),因此从该端口输出的MAC帧
携带VLANID=4。
从端口S7.3输出的MAC帧经过端口S3.3进入交换机S3,由于端口S3.3是VLAN1、
VLAN2、VLAN4和VLAN6共享的主干端口且MAC 帧携带VLANID=4,因此该
MAC帧被提交给与VLAN4绑定的网桥(图3.5中用V4表示与VLAN4绑定的网桥)。
与VLAN4绑定的网桥在自己的转发表中检索到MAC地址为MACH 的转发项,确定输
出端口是端口S3.1。由于端口S3.1是主干端口(标记端口),因此从该端口输出的MAC帧
携带VLANID=4。
瘦AP3通过以太网端口接收到该以太网MAC 帧,由于该以太网MAC 帧携带的
VLANID=4,确定转发给与VLAN4绑定的WLAN,因此将该以太网MAC帧转换成无
线局域网MAC帧后,发送给与VLAN4绑定的WLAN。
3.3.4 VLANIP地址分配
1.IP地址分配过程 
IP地址包括两种分配。

第3 章 校园网设计方法和实现过程 
73 
一是需要为每一个VLAN 分配一个网络地址,网络地址包含的有效IP 地址数随
VLAN 不同而不同。例如与接入学生移动终端的WLAN 绑定的VLAN2、与接入教师移
动终端的WLAN 绑定的VLAN4和连接固定终端的VLAN6,由于需要接入较大量的终
端,因此网络前缀位数取值24,有效IP地址数=28-2=254。划分数据中心中的服务器所
产生的VLAN,由于每一个VLAN 只连接一台服务器,因此只需要两个有效IP地址,一个
用于分配给服务器,一个用于分配给该VLAN 对应的IP接口。因此,网络前缀位数取值
30,有效IP地址数=22-2=2。互联三层交换机的VLAN 由于只需要分别为在两个三层
交换机上创建的IP接口分配IP地址,因此网络前缀位数取值30。图3.6给出了为每一个
VLAN 分配的网络地址。
二是需要为每一个IP接口分配IP地址。对于连接移动终端、固定终端和服务器所产
生VLAN,该VLAN 对应的IP接口就是连接在该VLAN 上的移动终端、固定终端或服务
器的默认网关地址。为某个VLAN 对应的IP 接口分配的IP 地址和子网掩码确定该
VLAN 的网络地址。如表3.12所示,一旦为VLAN2对应的IP接口分配IP地址和子网掩
码192.1.2.254/24,则VLAN2对应的网络地址为192.1.2.0/24,连接在VLAN2上的终端
的默认网关地址为192.1.2.254。各个VLAN 对应的IP 接口的IP 地址和子网掩码如
表3.12所示。在三层交换机S7中创建VLAN2、VLAN4、VLAN6和VLAN14对应的
IP接口并为IP接口分配IP地址和子网掩码后,三层交换机S7建立如表3.13所示的直连
路由项。三层交换机创建某个VLAN 对应的IP接口的前提是,在该三层交换机中创建了
该VLAN 且至少有一个端口(或端口通道)被配置给该VLAN。当然,该端口既可作为接
入端口(非标记端口)也可作为主干端口(标记端口)配置给该VLAN。
2. VLAN 间的数据传输过程
VLAN 间的数据传输过程是指两个连接在不同VLAN 上的终端之间的数据传输过
程,如图3.5中终端A 和终端B之间的数据传输过程。
(1)源和目的终端配置网络信息。每一个连接在VLAN 上的终端和服务器需要配置
IP地址、子网掩码和默认网关地址,IP地址和子网掩码确定的网络地址必须与分配给该
VLAN 的网络地址相同,且该IP地址没有分配给连接在同一VLAN 中的其他终端和服务
器。默认网关地址是分配给该VLAN 对应的IP接口的IP地址,如图3.5中终端A 分配的
IP地址、子网掩码和默认网关地址分别是192.1.2.1/24和192.1.2.254。
(2)发送终端获取接收终端的IP地址。发送终端向接收终端传输数据前,必须获取接
收终端的IP地址。例如终端A 向终端B传输数据前,终端A 必须获取终端B的IP地址
192.1.4.1。
(3)发送终端确定与接收终端不在同一个VLAN 上。发送终端通过用自己的子网掩
码与接收终端的IP地址进行“与”操作求出接收终端的网络地址,如果接收终端的网络地址
与自己的网络地址不同,则确定接收终端与自己不在同一个VLAN 上。终端A 的网络地
址为192.1.2.0/24,用子网掩码255.255.255.0与终端B的IP地址192.1.4.1进行“与”操作, 
得到结果192.1.4.0。由于192.1.4.0/24不等于192.1.2.0/24,因此确定终端A 和终端B不
在同一个VLAN 上。
(4)发送终端解析出IP接口的MAC地址。对于VLAN 间的数据传输过程,发送终端
首先把IP分组发送给自己的默认网关。由于默认网关是发送终端所连接的VLAN 所对应

计算机网络工程(第2 版) 
74 
的IP接口,因此发送给默认网关的IP分组必须封装成以发送终端的MAC地址为源MAC 
地址、以默认网关的MAC地址为目的MAC地址的MAC帧,发送终端连接的VLAN 必须
将这样的MAC帧传输给该VLAN 对应的IP接口。在图3.5中,终端A 发送给三层交换
机S7VLAN2对应的IP接口的MAC帧必须转发给S7中的路由模块。每一个三层交换
机用一个(或若干个)特殊的MAC地址表示接收端是三层交换机中的路由模块。因此,如
果三层交换机接收到解析IP接口地址的ARP请求帧,则用该特殊MAC地址作为该IP接
口的MAC地址,在图3.5中,统一用MAC地址MACR 作为三层交换机S7的特殊MAC 
地址。因此,终端A 解析IP地址192.1.2.254得到的MAC地址是MACR。
(5)发送终端向IP接口传输IP分组。发送终端构建以自己的IP地址为源IP地址、以
接收终端的IP地址为目的IP地址的IP分组,并且将IP分组封装成以发送终端的MAC地
址为源MAC地址、以IP接口的MAC地址为目的MAC地址的MAC帧,通过连接IP接口
的VLAN 将MAC帧发送给IP接口。对于终端A 至终端B的数据传输过程,终端A 构建
以192.1.2.1为源IP地址、以192.1.4.1为目的IP地址的IP分组,并且将IP分组封装成以
MACA 为源MAC地址、以MACR为目的MAC地址、以瘦AP1的MAC地址为接收端
MAC地址的无线局域网MAC帧,通过WLAN1将无线局域网MAC 帧发送给瘦AP1。
瘦AP1将该无线局域网MAC帧转换成以太网MAC帧,携带VLANID=2,并且发送给交
换机S1。交换机S1通过端口S1.1接收到该MAC帧,将其提交给与VLAN2绑定的网
桥。与VLAN2绑定的网桥在自己的转发表中检索到MAC地址为MACR 的转发项,确
定输出端口是端口S1.3。由于端口S1.3是主干端口(标记端口),因此从该端口输出的
MAC帧携带VLANID=2。从端口S1.3输出的MAC帧经过端口S7.1进入交换机S7,由
于该MAC帧的目的地址是三层交换机S7用于标识路由模块的特殊MAC地址,因此S7 
将其提交给路由模块。
(6)路由模块转发IP分组。三层交换机S7中的路由模块从MAC帧中分离出IP分
组,用IP分组的目的IP地址192.1.4.1检索路由表,找到匹配的路由项<192.1.4.0/24, 
VLAN4,直接>,确定通过VLAN4将该IP分组发送给终端B。路由模块通过ARP地址
解析过程获取终端B的MAC地址MACB,重新将IP分组封装成以IP接口的MAC地址
MACR为源MAC地址、以终端B的MAC地址MACB为目的MAC地址的MAC帧,并
且将该MAC帧提交给与VLAN4绑定的网桥。
(7)IP接口向目的终端发送IP分组。三层交换机S7中与VLAN4绑定的网桥在自
己的转发表中检索到MAC地址为MACB的转发项,确定输出端口是端口S7.1。由于端
口S7.1是主干端口(标记端口),因此从该端口输出的MAC帧携带VLANID=4。从端口
S7.1输出的MAC帧经过端口S1.3进入交换机S1,由于端口S1.3是被VLAN1、VLAN 
2、VLAN4和VLAN6共享的主干端口且MAC帧携带VLANID=4,因此该MAC帧被
提交给与VLAN4绑定的网桥。与VLAN4绑定的网桥在自己的转发表中检索到MAC 
地址为MACB的转发项,确定输出端口是端口S1.1。由于端口S1.1是主干端口,因此从
该端口输出的MAC帧携带VLANID=4。从端口S1.1输出的MAC 帧到达瘦AP1,瘦
AP1将其转换成无线局域网MAC帧,通过WLAN2发送给终端B。终端B从MAC帧中
分离出IP分组,实现IP分组从终端A 至终端B的传输过程。

第3 章 校园网设计方法和实现过程 
75 
值得强调的是三层交换机S7的作用。在终端B至终端H 的MAC帧传输过程中,三
层交换机S7完全等同于二层交换机,根据MAC 帧携带的VLANID 和MAC 帧的目的
MAC地址完成MAC帧从端口1至端口3的交换过程。在终端A 至终端B的IP分组传输
过程中,三层交换机S7既实现IP分组路由功能,又实现MAC帧转发功能。当S7通过端
口1接收到MAC帧时,由于MAC帧的目的MAC地址是用于表明接收端是路由模块的特
殊MAC地址,因此S7直接将MAC帧提交给路由模块。由路由模块从以表明接收端是路
由模块的特殊MAC地址为目的MAC地址、VLANID=2的MAC帧中分离出IP分组,并
且重新将IP分组封装成以MACB为目的MAC地址、VLANID=4的MAC帧。由S7二
层交换功能完成根据MAC帧携带的VLANID和MAC帧的目的MAC地址确定MAC帧
输出端口并将MAC帧通过端口1转发出去的过程。
3.3.5 OSPF建立路由表的过程
1. 直连路由项
根据表3.12所示的内容为各个IP接口分配IP地址和子网掩码后,分配给各个VLAN 
的网络地址如图3.6所示。三个三层交换机S7、S8和S9中自动生成的直连路由项如
表3.13~表3.15所示。三层交换机自动生成直连路由项后,可以实现直接连接的VLAN 
之间的通信过程,如三层交换机S7实现的VLAN2和VLAN4之间的通信过程。如果需
要实现两个连接在不同三层交换机上的VLAN 之间的通信过程,各个三层交换机需要通过
路由协议建立用于指明通往没有与其直接连接的VLAN 的传输路径的路由项。
图3.6 VLANIP地址分配结果

计算机网络工程(第2 版) 
76 
表3.12 IP接口分配的IP地址
设备名称IP接口IP地址设备名称IP接口IP地址
S7 VLAN2 192.1.2.254/24 
S7 VLAN4 192.1.4.254/24 
S7 VLAN6 192.1.6.254/24 
S7 VLAN14 192.1.8.25/30 
S8 VLAN3 192.1.3.254/24 
S8 VLAN5 192.1.5.254/24 
S8 VLAN7 192.1.7.254/24 
S8 VLAN15 192.1.8.29/30 
S9 VLAN8 192.1.8.2/30 
S9 VLAN9 192.1.8.6/30 
S9 VLAN10 192.1.8.10/30 
S9 VLAN11 192.1.8.14/30 
S9 VLAN12 192.1.8.18/30 
S9 VLAN13 192.1.8.22/30 
S9 VLAN14 192.1.8.26/30 
S9 VLAN15 192.1.8.30/30 
表3.13 三层交换机S7的直连路由项
目的网络输出接口下一跳目的网络输出接口下一跳
192.1.2.0/24 VLAN2 直接
192.1.4.0/24 VLAN4 直接
192.1.6.0/24 VLAN6 直接
192.1.8.24/30 VLAN14 直接
表3.14 三层交换机S8的直连路由项
目的网络输出接口下一跳目的网络输出接口下一跳
192.1.3.0/24 VLAN3 直接
192.1.5.0/24 VLAN5 直接
192.1.7.0/24 VLAN7 直接
192.1.8.28/30 VLAN15 直接
表3.15 三层交换机S9的直连路由项
目的网络输出接口下一跳目的网络输出接口下一跳
192.1.8.0/30 VLAN8 直接
192.1.8.4/30 VLAN9 直接
192.1.8.8/30 VLAN10 直接
192.1.8.12/30 VLAN11 直接
192.1.8.16/30 VLAN12 直接
192.1.8.20/30 VLAN13 直接
192.1.8.24/30 VLAN14 直接
192.1.8.28/30 VLAN15 直接
2. OSPF配置
OSPF配置的内容:一是在各个三层交换机的IP接口上启动OSPF路由进程;二是为
各个三层交换机的IP接口分配相同的区域标识符,表明所有三层交换机的IP接口属于同
一个OSPF区域;三层交换机完成上述配置后,通过发现与其直接连接的网络(VLAN)和其
他三层交换机的IP接口,建立自身链路状态。表3.16所示的三层交换机S7的链路状态, 
其内容包括直接连接的网络192.1.2.0/24、192.1.4.0/24、192.1.6.0/24和IP地址为192.1.8. 
25的IP接口。一般情况下,传输速率小于或等于100Mb/s的链路的链路代价采用默认值, 
端口通道及传输速率大于100Mb/s的链路的链路代价通过手动配置确定。
各个三层交换机建立自身链路状态后,通过泛洪链路状态通告(LSA)向其他三层交换

第3 章 校园网设计方法和实现过程 
77 
机发送自身链路状态,使得每一个三层交换机建立如表3.16所示的链路状态数据库,链路
状态数据库给出同一OSPF区域内所有IP接口连接的网络和相邻的其他IP接口。
表3.16 链路状态数据库
S7链路状态
邻居邻居接口IP地址链路代价邻居邻居接口IP地址链路代价
S9 192.1.8.26 1 192.1.4.0/24 1 
192.1.2.0/24 1 192.1.6.0/24 1 
S8链路状态
S9 192.1.8.30 1 192.1.5.0/24 1 
192.1.3.0/24 1 192.1.7.0/24 1 
S9链路状态
S7 192.1.8.25 1 
S8 192.1.8.29 1 
192.1.8.0/30 1 
192.1.8.4/30 1 
192.1.8.8/30 1 
192.1.8.12/30 1 
192.1.8.16/30 1 
192.1.8.20/30 1 
3. 最终路由表
每一个三层交换机根据表3.16所示的链路状态数据库,构建用于指明通往没有与其直
接连接的网络的传输路径的路由项,生成最终路由表。三层交换机S7、S7和S9的最终路
由表如表3.17~表3.19所示。
表3.17 三层交换机S7的路由表
目的网络输出接口下一跳链路代价目的网络输出接口下一跳链路代价
192.1.2.0/24 VLAN2 直接0 
192.1.4.0/24 VLAN4 直接0 
192.1.6.0/24 VLAN6 直接0 
192.1.8.24/30 VLAN14 直接0 
192.1.3.0/24 VLAN14 192.1.8.26 3 
192.1.5.0/24 VLAN14 192.1.8.26 3 
192.1.7.0/24 VLAN14 192.1.8.26 3 
192.1.8.0/30 VLAN14 192.1.8.26 2 
192.1.8.4/30 VLAN14 192.1.8.26 2 
192.1.8.8/30 VLAN14 192.1.8.26 2 
192.1.8.12/30 VLAN14 192.1.8.26 2 
192.1.8.16/30 VLAN14 192.1.8.26 2 
192.1.8.20/30 VLAN14 192.1.8.26 2 
192.1.8.28/30 VLAN14 192.1.8.26 2 
4. 端到端传输过程
终端A 分配如图3.5所示的IP地址、子网掩码和默认网关地址。如果各个IP接口分
配了表3.12所示的IP地址,Web服务器只能分配IP地址、子网掩码和默认网关地址192. 
1.8.1/30和192.1.8.2。终端A 如果向Web服务器发送数据,则它构建以192.1.2.1为源IP

计算机网络工程(第2 版) 
78 
表3.18 三层交换机S8的路由表
目的网络输出接口下一跳链路代价目的网络输出接口下一跳链路代价
192.1.3.0/24 VLAN3 直接0 
192.1.5.0/24 VLAN5 直接0 
192.1.7.0/24 VLAN7 直接0 
192.1.8.28/30 VLAN15 直接0 
192.1.2.0/24 VLAN15 192.1.8.30 3 
192.1.4.0/24 VLAN15 192.1.8.30 3 
192.1.6.0/24 VLAN15 192.1.8.30 3 
192.1.8.0/30 VLAN15 192.1.8.30 2 
192.1.8.4/30 VLAN15 192.1.8.30 2 
192.1.8.8/30 VLAN15 192.1.8.30 2 
192.1.8.12/30 VLAN15 192.1.8.30 2 
192.1.8.16/30 VLAN15 192.1.8.30 2 
192.1.8.20/30 VLAN15 192.1.8.30 2 
表3.19 三层交换机S9的路由表
目的网络输出接口下一跳链路代价目的网络输出接口下一跳链路代价
192.1.8.0/30 VLAN8 直接0 
192.1.8.4/30 VLAN9 直接0 
192.1.8.8/30 VLAN10 直接0 
192.1.8.12/30 VLAN11 直接0 
192.1.8.16/30 VLAN12 直接0 
192.1.8.20/30 VLAN13 直接0 
192.1.8.24/30 VLAN14 直接0 
192.1.8.28/30 VLAN15 直接0 
192.1.2.0/24 VLAN14 192.1.8.25 2 
192.1.4.0/24 VLAN14 192.1.8.25 2 
192.1.6.0/24 VLAN14 192.1.8.25 2 
192.1.3.0/24 VLAN15 192.1.8.29 2 
192.1.5.0/24 VLAN15 192.1.8.29 2 
192.1.7.0/24 VLAN15 192.1.8.29 2 
地址、以192.1.8.1为目的IP地址的IP分组,并且将该IP分组封装成以终端A 的MAC地
址为源MAC地址、以表明接收端是S7路由模块的特殊MAC 地址为目的MAC 地址的
MAC帧,通过VLAN2内交换路径将该MAC帧发送给VLAN2对应的IP接口。S7路由
模块根据该IP分组的目的IP地址检索路由表,确定与路由项<192.1.8.0/30,VLAN14, 
192.1.8.26>匹配,将该IP分组重新封装成以表明发送端是S7路由模块的特殊MAC地址
为源MAC地址、以表明接收端是S9路由模块的特殊MAC地址为目的MAC地址的MAC 
帧,通过VLAN14内的交换路径将该MAC帧发送给交换机S9中VLAN14对应的IP接
口。S9路由模块根据该IP分组的目的IP地址检索路由表,确定与路由项<192.1.8.0/30, 
VLAN8,直接>匹配,将该IP分组重新封装成以表明发送端是S9路由模块的特殊MAC 
地址为源MAC 地址、以Web服务器的MAC 地址为目的MAC 地址的MAC 帧,通过
VLAN8内的交换路径将MAC帧发送给Web服务器。
3.4 安全系统实现过程
安全系统实现过程涉及DHCP侦听信息库建立过程、安全路由实现过程和分组过滤器
配置过程等。

第3 章 校园网设计方法和实现过程 
79 
3.4.1 启动接入交换机的DHCP侦听功能
1. 建立DHCP侦听信息库
校园网中所有移动终端和固定终端通过DHCP自动从DHCP服务器中获取网络信
息,终端获取的网络信息如图3.7所示。为防御源IP地址欺骗攻击和ARP欺骗攻击,在接
入交换机S1、S2、S3、S4和S5中启动DHCP侦听功能。启动DHCP侦听功能后,一旦终端
通过DHCP自动获取如图3.7所示的网络信息,则接入交换机S1、S2、S3、S4和S5中建立
分别如表3.20~表3.24所示的DHCP侦听信息库。侦听信息库中为每一个连接到接入交
换机的终端创建一项终端信息绑定项。
图3.7 端口安全机制
表3.20 交换机S1的DHCP侦听信息库
交换机端口MAC地址IP地址VLAN 
端口1 MACA 192.1.2.1 VLAN2 
端口1 MACB 192.1.4.1 VLAN4 
端口2 MACC 192.1.6.1 VLAN6 
表3.21 交换机S2的DHCP侦听信息库
交换机端口MAC地址IP地址VLAN 
端口1 MACD 192.1.2.2 VLAN2 
端口1 MACE 192.1.4.2 VLAN4 
端口2 MACF 192.1.6.2 VLAN6 
2. 防御ARP欺骗攻击
图3.7中终端G实施ARP欺骗攻击的过程如下:终端G故意发送将IP地址192.1.2.1 
与MAC地址MACG绑定的ARP请求报文,使得在VLAN2中的其他终端的ARP缓冲

计算机网络工程(第2 版) 
80 
表3.22 交换机S3的DHCP侦听信息库
交换机端口MAC地址IP地址VLAN 
端口1 MACG 192.1.2.3 VLAN2 
端口1 MACH 192.1.4.3 VLAN4 
端口2 MACI 192.1.6.3 VLAN6 
表3.23 交换机S4的DHCP侦听信息库
交换机端口MAC地址IP地址VLAN 
端口1 MACJ 192.1.3.1 VLAN3 
端口1 MACK 192.1.5.1 VLAN5 
端口2 MACL 192.1.7.1 VLAN7 
表3.24 交换机S5的DHCP侦听信息库
交换机端口MAC地址IP地址VLAN 交换机端口MAC地址IP地址VLAN 
端口1 MAC M 192.1.3.2 VLAN3 端口2 MACO 192.1.7.2 VLAN7 
端口1 MACN 192.1.5.2 VLAN5 
区中建立IP地址192.1.2.1与MAC地址MACG 的绑定项。一旦这些终端向IP地址为
192.1.2.1的终端A 发送MAC 帧,MAC 帧的目的MAC 地址错误地设置为MACG,该
MAC帧就被交换式以太网转发给终端G。
在接入交换机通过DHCP侦听建立如表3.20~表3.24所示的DHCP侦听信息库后, 
如果接入交换机S3通过端口1接收到终端G 发送的将IP地址192.1.2.1与MAC 地址
MACG绑定的ARP请求报文,它便在如表3.22所示的DHCP侦听信息库中检索交换机
端口为端口1、IP地址为192.1.2.1、MAC地址为MACG 的终端信息绑定项。由于接入交
换机S3在DHCP侦听信息库中检索不到对应项,因此终端G发送的用于实施ARP欺骗攻
击的ARP请求报文将被接入交换机S3丢弃,无法到达VLAN2中的其他终端。
3. 防御源IP地址欺骗攻击
图3.7中终端G实施源IP地址欺骗攻击的过程如下:终端G将发送的IP分组的源IP 
地址设置成终端H 的IP地址,以此获得终端H 的访问权限。但在接入交换机通过DHCP 
侦听建立如表3.20~表3.24所示的DHCP侦听信息库后,如果接入交换机S3通过端口1 
接收源MAC地址为终端G的MAC地址MACG的MAC帧,且该MAC帧封装的IP分组
的源IP地址为192.1.4.3,则它将在如表3.22所示的DHCP侦听信息库中检索MAC地址
为MACG、IP地址为192.1.4.3的终端信息绑定项。由于接入交换机S3在DHCP侦听信
息库中检索不到对应项,它将丢弃该MAC帧,因此终端G 发送的用于实施源IP地址欺骗
攻击的IP分组将被接入交换机S3丢弃。
3.4.2 启动安全路由功能
OSPF安全路由功能包括三部分:一是指定区域内使用的鉴别机制,这里采用HMACMD5
作为计算消息鉴别码(MessageAuthenticationCode,MAC)的算法;二是要求属于该
区域的接口发送的路由消息必须携带HMAC;三是在连接两个相邻三层交换机的IP接口
上配置相同的密钥。这里连接相邻三层交换机S7和S9的IP接口分别是三层交换机S7中
VLAN14对应的IP接口和三层交换机S9中VLAN14对应的IP接口,这两个IP接口配
置相同密钥1234567890。连接相邻三层交换机S8和S9的IP接口分别是三层交换机S8 
中VLAN15对应的IP接口和三层交换机S9中VLAN15对应的IP接口,这两个IP接口

第3 章 校园网设计方法和实现过程 
81 
配置相同密钥0987654321。
3.4.3 分组过滤器
1. 无状态分组过滤器的工作原理
无状态分组过滤器通过规则从IP分组流中鉴别出一组IP分组,然后对其实施规定的
操作。规
则由一组属性值组成,如果某个IP分组携带的信息和构成规则的一组属性值匹配, 
则意味着该IP分组和该规则匹配。可对该IP分组实施相关操作,相关操作有正常转发和
丢弃。构
成规则的属性值通常由下述字段组成。
. 源IP地址,用于匹配IP分组IP首部中的源IP地址字段值。
. 目的IP地址,用于匹配IP分组IP首部中的目的IP地址字段值。
. 源和目的端口号,用于匹配作为IP分组净荷的传输层报文首部中源和目的端口号
字段值。
. 协议类型,用于匹配IP分组首部中的协议字段值。
一个过滤器可以由多个规则构成,IP分组只有和当前规则不匹配时,才继续与后续规
则进行匹配操作。如果与过滤器中的所有规则都不匹配,则对IP分组进行默认操作。IP 
分组一旦和某个规则匹配,则对其实施相关操作,不再和其他规则进行匹配操作。因此,IP 
分组和规则的匹配操作顺序直接影响该IP分组所匹配的规则,也因此确定了对该IP分组
实施的操作。
无状态分组过滤器可以作用于端口的输入或输出方向,从外部进入无状态分组过滤器
称为输入,离开无状态分组过滤器称为输出。如果作用于输入方向,每一个输入IP分组都
和过滤器中的规则进行匹配操作,如果和某个规则匹配,则对其实施相关操作,如果实施的
操作是丢弃,则不再对该IP分组进行后续的转发处理。如果过滤器作用于输出方向,则只
有当该IP分组确定从该端口输出时,才将该IP分组和过滤器中的规则进行匹配操作。
2. 分组过滤器配置
校园网安全策略如下。
① 不允许学生移动终端访问FTP服务器,但允许访问其他服务器。
② 允许教师移动终端访问所有服务器。
③ 不允许固定终端访问E-mail服务器,但允许访问其他服务器。
根据校园网安全策略,在三层交换机S7VLAN2对应的IP接口的输入方向上配置以
下分组过滤器。
① 协议=IP,源IP地址=192.1.2.0/24,目的IP地址=192.1.8.5/32;丢弃。
② 协议=IP,源IP地址=192.1.2.0/24,目的IP地址=0.0.0.0/0;正常转发。
在三层交换机S8VLAN3对应的IP接口的输入方向上配置以下分组过滤器。
① 协议=IP,源IP地址=192.1.3.0/24,目的IP地址=192.1.8.5/32;丢弃。
② 协议=IP,源IP地址=192.1.3.0/24,目的IP地址=0.0.0.0/0;正常转发。
在三层交换机S7VLAN6对应的IP接口的输入方向上配置以下分组过滤器。
① 协议=IP,源IP地址=192.1.6.0/24,目的IP地址=192.1.8.13/32;丢弃。