某大学校园网设计方案(组图)

1、最正确校园工程设计帖-某大学校园网设计方案(组图)概述- 总设计师：XXX讲师- 机构：XX国家重点大学院校- 校园占地面积： 146.57万平方米- 校舍建筑面积： - 教职工人数： 2000- 学生总数:：1.7万余人- 网络面临的挑战： 建立一个可扩展的、高速的、充分冗余的、基于标准的网络，该网络能够支持融合了话音、视频、图像和数据的应用程序。- 关键网络系统：Cisco 3640路由器、Cisco Catalyst 2950 24口交换机WS-C2950-24、Cisco Catalyst 3550交换机、Cisco Catalyst 4006交换机- 网络解决方法：对校园网系统整体方

2、案设计对访问层交换机进展配置对分布层交换机进展配置对核心层交换机进展配置对广域网接入路由器进展配置对远程访问效劳器进展配置对整个校园网系统进展诊断分析：路由、交换与远程访问技术不仅仅是思科的CCNP课程及考试的重点。更是现代计算机网络领域中三大支撑技术体系。它们几乎涵盖了一个完整园区网实现的方方面面。常常有学员说无法学以致用，其实，CCNP课程中的每个章节都对应着实际工程中的每个小的案例。只不过，实际工程是各个小案例的综合。在遇到一个实际工程的时候，我们不防采用自顶向下、模块化的方法、参考3层模型来进展工程的设计和实施。路由技术：路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子

3、网间路由数据包。路由器具有在网络中传递数据时选择最正确路径的能力。除了可以完成主要的路由任务，利用访问控制列表Access Control List，ACL，路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本工程案例设计中，内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进展数据包交换。交换技术：传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了园区网数据交换效劳质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网Virtual LAN，VL

4、AN的概念。VLAN将播送域限制在单个VLAN内部，减小了各VLAN间主机的播送通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议Vlan Trunking Protocol，VTP简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换的部署是分层进展的。园区网数据交换设备可以划分为三个层次：访问层、分布层、核心层。

5、访问层为所有的终端用户提供一个接入点；分布层除了负责将访问层交换机进展聚集外，还为整个交换网络提供VLAN间的路由选择功能；核心层将各分布层交换机互连起来进展穿越园区网骨干的高速数据交换。在本工程案例设计中，也将采用这三层进展分开设计、配置。远程访问技术：远程访问也是园区网络必须提供的效劳之一。它可以为家庭办公用户和出差在外的员工提供移动接入效劳。远程访问有三种可选的效劳类型：专线连接、电路交换和包交换。不同的广域网连接类型提供的效劳质量不同，花费也不一样。企业用户可以根据所需带宽、本地效劳可用性、花费等因素综合考虑，选择一种适合企业自身需要的广域网接入方案。在本工程案例设计中，分别采用专线连

6、接到因特网和电路交换到校园网两种方式实现远程访问需求。作为一个较为完整的园区网实现，路由、交换与远程访问技术缺一不可。在后面的内容中，我们将就每一技术领域的常用技术的实现进展详细的讨论。通过本书后面章节的学习，相信读者能够系统地掌握园区网的设计、实施以及维护技巧。一系统总体设计方案概述为了说明主要问题，在本设计方案中对实际校园网的设计进展了适当和必要的简化。同时，将重点放在网络主干的设计上，对于效劳器的架设只作简单介绍。1.1系统组成与拓扑构造为了实现网络设备的统一，本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能

7、的互相配合和补充。本校园网设计方案主要由以下四大局部构成：交换模块、广域网接入模块、远程访问模块、效劳器群。整个网络系统的拓扑构造图如图1-1所示。在后面的几节中我们将根据此图分块进展介绍。 HYPERLINK t _blank (57.88 KB)2007-5-7 03:19图1-1校园网整体拓扑构造图1.2VLAN及IP地址规划整个校园网中VLAN及IP编址方案如表所示。 表1-1VLAN及IP编址方案除了表中的内容外，拨号用户从/27中动态取得IP地址。为了简化起见，这里我们只规划了8个VLAN，同时为每个VLAN定义了一个由拼音缩写组成的VLAN名称。 二交换模块设计为了简化交换网络设

8、计、提高交换网络的可扩展性，在园区网内部数据交换的部署是分层进展的。园区网数据交换设备可以划分为三个层次：访问层、分布层、核心层。传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了园区网数据交换效劳质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网Virtual LAN，VLAN的概念。VLAN将播送域限制在单个VLAN内部，减小了各VLAN间主机的播送通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众

9、多时，可以使用VLAN中继协议Vlan Trunking Protocol，VTP简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。当园区网络的交换机数量增多、交换机间链路增加时，交换网络的复杂性可能会造成交换环路问题，这需要通过在各交换机上运行生成树协议Spanning Tree Protocol，STP来解决。一个好的校园网设计应该是一个分层的设计。一般分为三层设计模型。2.1访问层交换效劳的实现配置访问层交换机访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的是

10、Cisco Catalyst 2950 24口交换机WS-C2950-24。交换机拥有24个10/100Mbps自适应快速以太网端口，运行的是Cisco的IOS操作系统。我们以图1-1中的访问层交换机AccessSwitch1为例进展介绍。如图2-1所示， 图2-1访问层交换机AccessSwitch11配置访问层交换机AccessSwitch1的根本参数1设置交换机名称设置交换机名称，也就是出现在交换机CLI提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要Telnet登录到假设干台交换机以维护一个大型网络时，通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的

11、。如图2-2所示，为访问层交换机AccessSwitch1命名。 图2-2为访问层交换机AccessSwitch1命名2设置交换机的加密使能口令当用户在普通用户模式而想要进入特权用户模式时，需要提供此口令。此口令会以MD5的形式加密，因此，当用户查看配置文件时，无法看到明文形式的口令。如图2-2所示，将交换机的加密使能口令设置为secretpasswd。 图2-3为交换机设置加密使能口令3设置登录虚拟终端线时的口令对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理人员提供了很多的方便。但是，处于平安考虑，在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。如图2-2

12、所示，设置登录交换机时需要验证用户身份，同时设置口令为youguess。 图2-2为访问层交换机AccessSwitch1命名4设置终端线超时时间为了平安考虑，可以设置终端线超时时间。在设置的时间内，如果没有检测到键盘输入，IOS将断开用户和交换机之间的连接。如图2-2所示，设置登录交换机的控制台终端线路及虚拟终端线的超时时间为5分30秒钟。 图2-2设置控制台终端线路和虚拟终端线路的超时时间5设置禁用IP地址解析特性在交换机默认配置的情况下，当我们输入一条错误的交换机命令时，交换时机尝试将其播送给网络上的DNS效劳器并将其解析成对应的IP地址。利用命令no ip domain-lookup。

13、可以禁用这个特性如图2-2所示，设置禁用IP地址解析特性。 图2-3设置禁用IP地址解析特性6设置启用消息同步特性有时，用户输入的交换机配置命令会被交换机产生的消息打乱。可以使用命令logging synchronous设置交换机在下一行CLI提示符后复制用户的输入。如图2-2所示，设置启用消息同步特性。 图2-3设置启用消息同步特性2配置访问层交换机AccessSwitch1的管理IP、默认网关访问层交换机是OSI参考模型的第2层设备，即数据链路层的设备。因此，给访问层交换机的每个端口设置IP地址是没意义的。但是，为了使网络管理人员可以从远程登录到访问层交换机上进展管理，必要给访问层交换机设

14、置一个管理用IP地址。这种情况下，实际上是将交换机看成和PC机一样的主机。给交换机设置管理用IP地址只能在VLAN1，即本征VLAN中进展。按照表1-1，管理VLAN所在的子网是：/24，这里将访问层交换机AccessSwitch1的管理IP地址设为：/24如图2-3所示，显示了为访问层交换机AccessSwitch1设置管理IP并激活本征VLAN。 图2-2设置访问层交换机AccessSwitch1的管理IP为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关地址54。如下图。 图2-2设置访问层交换机AccessSwitch1的默认网关地址3配置访问层交换机AccessSwit

15、ch1的VLAN及VTP从提高效率的角度出发，在本校园网实现实例中使用了VTP技术。同时，将分布层交换机DistributeSwitch1设置成为VTP效劳器，其他交换机设置成为VTP客户机。这里访问层交换机AccessSwitch1将通过VTP获得在分布层交换机DistributeSwitch1中定义的所有VLAN的信息。如下图，设置访问层交换机AccessSwitch1成为VTP客户机。 图2-2设置访问层交换机AccessSwitch1成为VTP客户机4配置访问层交换机AccessSwitch1端口根本参数1端口双工配置可以设定某端口根据对端设备双工类型自动调整本端口双工模式，也可以强制

16、将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情况下，建议手动设置端口双工模式。如下图，设置访问层交换机AccessSwitch1的所有端口均工作在全双工模式。 图2-2设置访问层交换机AccessSwitch1的端口工作模式2端口速度可以设定某端口根据对端设备速度自动调整本端口速度，也可以强制将端口速度设为10Mpbs或100Mbps。在了解对端设备速度的情况下，建议手动设置端口速度。如下图，设置访问层交换机AccessSwitch1的所有端口的速度均为100Mbps。 图2-4 设置访问层交换机AccessSwitch1的端口速度5配置访问层交换机AccessSwitch1的访

17、问端口访问层交换机AccessSwitch1为终端用户提供接入效劳。在图中，访问层交换机AccessSwitch1为VLAN10、VLAN20提供接入效劳。1设置访问层交换机AccessSwitch1的端口110如下图，设置访问层交换机AccessSwitch1的端口1端口10工作在访问接入模式。同时，设置端口1端口10为VLAN 10的成员。 图2-2设置访问层交换机AccessSwitch1的端口1102设置访问层交换机AccessSwitch1的端口1120如下图，设置访问层交换机AccessSwitch1的端口11端口20工作在访问接入模式。同时，设置端口1端口10为VLAN 20的成

18、员。 图2-2设置访问层交换机AccessSwitch1的端口11203设置快速端口默认情况下，交换机在刚加电启动时，每个端口都要经历生成树的四个阶段：阻塞、侦听、学习、转发。在能够转发用户的数据包之前，某个端口可能最多要等50秒钟的时间20秒的阻塞时间15秒的侦听延迟时间15秒的学习延迟时间。对于直接接入终端工作站的端口来说，用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间，可以设置将某端口设置成为快速端口Portfast。设置为快速端口的端口当交换机启动或端口有工作站接入时，将会直接进入转发状态，而不会经历阻塞、侦听、学习状态假设桥接表已经建立。如下图，设置访问层交换机Acc

19、essSwitch1的端口1端口20为快速端口。 图2-2设置快速端口6配置访问层交换机AccessSwitch1的主干道端口如下图，访问层交换机AccessSwitch1通过端口FastEthernet 0/23上连到分布层交换机DistributeSwitch1的端口FastEthernet 0/23。同时，访问层交换机AccessSwitch1还通过端口FastEthernet 0/24上连到分布层交换机DistributeSwitch2的端口FastEthernet 0/23。这两条上连链路将成为主干道链路，在这两条上连链路上将运输多个VLAN的数据。如下图，设置访问层交换机Acces

20、sSwitch1的端口FastEthernet 0/23、FastEthernet 0/24为主干道端口。 图2-2设置主干道端口Switch(config)#spanning-tree uplinkfast7配置访问层交换机AccessSwitch2访问层交换机AccessSwitch2为VLAN 30和VLAN 40的用户提供接入效劳。同时，分别通过自己的FastEthernet 0/23 、FastEthernet 0/24上连到分布层交换机DistributeSwitch1、DistributeSwitch2的端口FastEthernet 0/24。如下图，是访问层交换机AccessS

21、witch2的连接示意图。 图2-2访问层交换机AccessSwitch2的连接示意图对访问层交换机AccessSwitch2的配置步骤、命令和对访问层交换机AccessSwitch1的配置类似。这里，不再详细分析，只给出最后的配置文件内容只留下了必要的命令。需要指出的是，为了提供主干道的吞吐量，可以采用链路捆绑快速以太网信道技术增加可用带宽。例如，可以将访问层交换机AccessSwitch1的端口FastEthernet 0/21 和FastEthernet 0/22捆绑在一起实现200Mbps的快速以太网信道，然后再上连到分布层交换机DistributeSwitch1。同样，也可以将访问层

22、交换机AccessSwitch1的端口FastEthernet 0/23 和FastEthernet 0/24捆绑在一起实现200Mbps的快速以太网信道，然后再上连到分布层交换机DistributeSwitch2。具体的配置步骤和命令我们将在核心层交换机的配置一节中进展介绍。8访问层交换机的其它可选配置1Uplinkfast访问层交换机AccessSwitch1通过两条冗余上行链路分别接入分布层交换机DistributeSwitch1和、DistributeSwitch2。在生成树的作用下，其中一条上行链路处于转发状态，而另一条上行链路处于阻塞状态。当处于转发状态的链路因故障断开后，经过大约

23、50秒钟的时间，处于阻塞状态的链路才能替代故障链路工作。Uplinkfast特性可以使得当主上行链路失败后，处于阻塞状态的上行链路备份上行链路可以立即启用。如下图，是在访问层交换机AccessSwitch1上启用Uplinkfast特性。同样的步骤也可以在访问层交换机AccessSwitch2上进展配置。 图2-2启用Uplinkfast特性注意，Uplinkfast特性只能在访问层交换机上启用。2BackbonefastBackbonefast的作用与Uplinkfast类似，也用于加快生成树的收敛。所不同的是，Backbonefast可以检测到间接链路非直连链路故障并立即使得相应阻塞端口的

24、最大寿命计时器到时，从而缩短该端口可以开场转发数据包的时间。如下图，是在访问层交换机AccessSwitch1上启用Backbonefast特性。同样的步骤需要在网络中的所有交换机上进展配置。 图2-2启用Backbonefast特性注意，Backbonefast特性需要在网络中所有交换机上进展配置。2.2分布层交换效劳的实现配置分布层交换机分布层除了负责将访问层交换机进展聚集外，还为整个交换网络提供VLAN间的路由选择功能。这里的分布层交换机采用的是Cisco Catalyst 3550交换机。作为3层交换机，Cisco Catalyst 3550交换机拥有24个10/100Mbps自适应快

25、速以太网端口，同时还有2个1000Mbps的GBIC端口供上连使用，运行的是Cisco的Integrated IOS操作系统。我们以图1-1中的分布层交换机DistributeSwitch1为例进展介绍。如图2-1所示： 图2-1分布层交换机DistributeSwitch11配置分布层交换机DistributeSwitch1的根本参数对分布层交换机DistributeSwitch1的根本参数的配置步骤与对访问层交换机AccessSwitch1的根本参数的配置类似。这里，只给出实际的配置步骤，不再给出解释。 图2-1配置分布层交换机DistributeSwitch1的根本参数2配置分布层交换机

26、DistributeSwitch1的管理IP、默认网关如图2-3所示，显示了为分布层交换机DistributeSwitch1设置管理IP并激活本征VLAN。同时，还设置了默认网关的地址。 图2-2分布层交换机DistributeSwitch1的管理IP、默认网关3配置分布层交换机DistributeSwitch1的VTP当网络中交换机数量很多时，需要分别在每台交换机上创立很多重复的VLAN。工作量很大、过程很繁琐，并且容易出错。我们常采用VLAN中继协议Vlan Trunking Protocol，VTP来解决这个问题。VTP允许我们在一台交换机上创立所有的VLAN。然后，利用交换机之间的互相

27、学习功能，将创立好的VLAN定义传播到整个网络中需要此VLAN定义的所有交换机上。同时，有关VLAN的删除、参数更改操作均可传播到其他交换机。从而大大减轻了网络管理人员配置交换机负担。在本校园网实现实例中使用了VTP技术。同时，将分布层交换机DistributeSwitch1设置成为VTP效劳器，其他交换机设置成为VTP客户机。1配置VTP管理域共享一样VLAN定义数据库的交换机构成一个VTP管理域。每一个VTP管理域都有一个共同的VTP管理域域名。不同VTP管理域的交换机之间不交换VTP通告信息。如下图9-4-2，将VTP管理域的域名定义为nciae。 图2-2设置VTP管理域的域名2设置V

28、TP效劳器工作在VTP效劳器模式下的交换机可以创立、删除VLAN、修改VLAN参数。同时，还有责任发送和转发VLAN更新消息。如下图，设置分布层交换机DistributeSwitch1成为VTP效劳器。 图2-2设置分布层交换机DistributeSwitch1成为VTP效劳器3激活VTP剪裁功能默认情况下主干道传输所有VLAN的用户数据。有时，交换网络中某台交换机的所有端口都属于同一VLAN的成员，没有必要接收其他VLAN的用户数据。这时，可以激活主干道上的VTP剪裁功能。当激活了VTP剪裁功能以后，交换机将自动剪裁本交换机没有定义的VLAN数据。在一个VTP域下，只需要在VTP效劳器上激活

29、VTP剪裁功能。同一VTP域下的所有其他交换机也将自动激活VTP剪裁功能。如下图，设置激活VTP剪裁功能。 图2-2激活VTP剪裁功能4在分布层交换机DistributeSwitch1上定义VLAN在本校园网实现实例中，除了默认的本征VLAN外，又定义了8个VLAN，如表1-1所示。由于使用了VTP技术，所以所有VLAN的定义只需要在VTP效劳器，即分布层交换机DistributeSwitch1上进展。如下图，定义了8个VLAN，同时为每个VLAN命名。 图2-1定义VLAN5配置分布层交换机DistributeSwitch1的端口根本参数分布层交换机DistributeSwitch1的端口F

30、astEthernet 0/1FastEthernet 0/10为效劳器群提供接入效劳，而端口FastEthernet 0/23、FastEthernet 0/24分别下连到访问层交换机AccessSwitch1的端口FastEthernet 0/23以及访问层交换机AccessSwitch2的端口FastEthernet 0/23。此外，分布层交换机DistributeSwitch1还通过自己的千兆端口GigabitEthernet 0/1上连到核心交换机CoreSwitch1的GigabitEthernet 3/1。为了实现冗余设计，分布层交换机DistributeSwitch1还通过自己

31、的千兆端口GigabitEthernet 0/2连接另一台到分布层交换机DistributeSwitch2的GigabitEthernet 0/2。如下图，给出了对所有访问端口、主干道端口的配置步骤和命令。 图2-2设置分布层交换机DistributeSwitch1的各端口参数6配置分布层交换机DistributeSwitch1的3层交换功能分布层交换机DistributeSwitch1需要为网络中的各个VLAN提供路由功能。这需要首先启用分布层交换机的路由功能。如下图。 图2-2启用路由功能接下来，需要为每个VLAN定义自己的默认网关地址，如下图。 图2-2定义各VLAN的默认网关地址此外，

32、还需要定义通往Internet的路由。这里使用了一条缺省路由命令，如下图。其中，下一跳地址是Internet接入路由器的快速以太网接口FastEthernet 0/0的IP地址。 图2-2定义到Internet的缺省路由7配置分布层交换机DistributeSwitch2分布层交换机DistributeSwitch2的端口FastEthernet 0/23、FastEthernet 0/24分别下连到访问层交换机AccessSwitch1的端口FastEthernet 0/24以及访问层交换机AccessSwitch2的端口FastEthernet 0/24。此外，分布层交换机Distribu

33、teSwitch2还通过自己的千兆端口GigabitEthernet 0/1上连到核心交换机CoreSwitch1的GigabitEthernet 3/2。为了实现冗余设计，分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet 0/2连接到分布层交换机DistributeSwitch1的GigabitEthernet 0/2。如下图。 图2-1分布层交换机DistributeSwitch2对分布层交换机DistributeSwitch2的配置步骤、命令和对分布层交换机DistributeSwitch1的配置类似。这里，不再详细分析。8其它配置为了实现

34、对无类别网络Classless Network以及全零子网Subnet-zero的支持，在充当3层交换机的分布层交换机DistributeSwitch1，还需要进展适当的配置，如下图。 图2-2定义对无类别网络以及全零子网的支持 系统硬件、软件选型及版本2.3核心层交换效劳的实现配置核心层交换机核心层将各分布层交换机互连起来进展穿越园区网骨干的高速数据交换。本实例中的核心层交换机采用的是Cisco Catalyst 4006交换机，采用了Catalyst 4500 Supervisor II PlusWS-X4013+作为交换机引擎。运行的是Cisco的Integrated IOS操作系统，操

35、作系统版本号是，。在作为核心层交换机的Cisco Catalyst 4006交换机中，安装了WS-X4306-GBCatalyst 4000 Gigabit Ethernet Module, 6-Ports (GBIC)模块，该模块提供了5个千兆光纤上连接口，可以用来接入WS-G54841000BASE-SXShort WavelengthGBIC (Multimode only)。我们以图1-1中的核心层交换机CoreSwitch1为例进展介绍。如图2-1所示 1配置核心层交换机CoreSwitch1的根本参数对核心层交换机CoreSwitch1的根本参数的配置步骤与对访问层交换机Acces

36、sSwitch1的根本参数的配置类似。这里，只给出实际的配置步骤，不再给出解释。 图2-1配置核心层交换机CoreSwitch1的根本参数2配置核心层交换机CoreSwitch1的管理IP、默认网关如图2-3所示，显示了为核心层交换机CoreSwitch1设置管理IP并激活本征VLAN。同时，还设置了默认网关的地址。 图2-2核心层交换机CoreSwitch1的管理IP、默认网关3配置核心层交换机CoreSwitch1的的VLAN及VTP在本实例中，核心层交换机CoreSwitch1也将作为VTP客户机。这里核心层交换机CoreSwitch1将通过VTP获得在分布层交换机DistributeS

37、witch1中定义的所有VLAN的信息。如下图，设置核心层交换机CoreSwitch1成为VTP客户机。 图2-2设置核心层交换机CoreSwitch1成为VTP客户机4配置核心层交换机CoreSwitch1的端口参数核心层交换机CoreSwitch1通过自己的端口FastEthernet 4/3同广域网接入模块Internet路由器相连。同时，核心层交换机CoreSwitch1的端口GigabitEthernet 3/1GigabitEthernet 3/2分别下连到分布层交换机DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 0/1

38、。如下图，给出了对上述端口的配置命令。 图2-2设置核心层交换机CoreSwitch1的各端口参数此外，为了提供主干道的吞吐量以及实现冗余设计，在本设计中，将核心层交换机CoreSwitch1的千兆端口GigabitEthernet 2/1、GigabitEthernet 2/2捆绑在一起实现2000Mbps的千兆以太网信道，然后再连接到另一台核心层交换机CoreSwitch2。如下图，是设置核心层交换机CoreSwitch1的千兆以太网信道的步骤。 图2-2设置核心层交换机CoreSwitch1的千兆以太网信道5配置核心层交换机CoreSwitch1的路由功能核心层交换机CoreSwitch

39、1通过端口FastEthernet 4/3同广域网接入模块Internet路由器相连。因此，需要启用核心层交换机的路由功能。同时，还需要定义通往Internet的路由。这里使用了一条缺省路由命令，如下图。其中，下一跳地址是Internet接入路由器的快速以太网接口FastEthernet 0/0的IP地址。 图2-2定义到Internet的缺省路由如下图。6其它配置为了实现对无类别网络Classless Network以及全零子网Subnet-zero的支持，在充当3层交换机的核心层交换机CoreSwitch1，还需要进展适当的配置，如下图。 图2-2定义对无类别网络以及全零子网的支持7核心层

40、交换机CoreSwitch2的配置对于图1-1-中的核心层交换机CoreSwitch2的配置步骤、命令和对核心层交换机CoreSwitch1的配置类似。这里，不再详细分析。同时，对于配置核心层交换机CoreSwitch2下连的一系列交换机，其连接方法以及配置步骤和命令同图1-1-中核心层交换机CoreSwitch1下连的一系列交换机的连接方法以及配置步骤和命令类似。这里，也不再赘述。三广域网接入模块设计在本设计中，广域网接入模块的功能是由广域网接入路由器InternetRouter来完成的。采用的是Cisco的3640路由器。它通过自己的串行接口serial 0/0使用DDN128K技术接入I

41、nternet。它的作用主要是在Internet和校园网内网间路由数据包。除了完成主要的路由任务外，利用访问控制列表Access Control List，ACL，广域网接入路由器InternetRouter还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的平安功能。 图3-13.1配置接入路由器InternetRouter的根本参数对接入路由器InternetRouter的根本参数的配置步骤与对访问层交换机AccessSwitch1的根本参数的配置类似。这里，只给出实际的配置步骤，不再给出解释。 图2-1配置接入路由器InternetRouter的根本参数3.2配置接入路由器Inte

42、rnetRouter的各接口参数对接入路由器InternetRouter的各接口参数的配置主要是对接口FastEthernet 0/0以及接口Serial 0/0的IP地址、子网掩码的配置。如图2-3所示，显示了为接入路由器InternetRouter的各接口设置IP地址、子网掩码。 图2-2接入路由器InternetRouter的管理IP、默认网关3.3配置接入路由器InternetRouter的路由功能在接入路由器InternetRouter上需要定义两个方向上的路由：到校园网内部的静态路由以及到Internet上的缺省路由。到Internet上的路由需要定义一条缺省路由，如下图。其中，下

43、一跳指定从本路由器的接口serial 0/0送出。 图2-2定义到Internet的缺省路由到校园网内部的路由条目可以经过路由汇总后形成两条路由条目。如下图。 图2-2定义到校园网内部的路由3.4配置接入路由器InternetRouter上的NAT由于目前IP地址资源非常稀缺，对不可能给校园网内部的所有工作站都分配一个公有IPInternet可路由的地址。为了解决所有工作站访问Internet的需要，必须使用NAT网络地址转换技术。为了接入Internet，本校园网向当地ISP申请了9个IP地址。其中一个IP地址：被分配给了Internet接入路由器的串行接口，另外8个IP地址：用作NAT。N

44、AT的配置可以分为以下几个步骤。1定义NAT内部、外部接口图3-3显示了如何定义NAT内部、外部接口。 图2-1定义NAT内部、外部接口2定义允许进展NAT的内部局部IP地址范围图3-3显示了如何定义允许进展NAT的内部局部IP地址范围。 图2-2定义内部局部IP地址范围3为效劳器定义静态地址转换图3-3显示了如何为效劳器定义静态地址转换。 图2-1为效劳器定义静态地址转换4为其他工作站定义复用地址转换图3-3显示了如何为其他工作站定义复用地址转换。 图2-1为工作站定义复用地址转换3.5配置接入路由器InternetRouter上的ACL路由器是外网进入校园网内网的第一道关卡，是网络防御的前

45、沿阵地。路由器上的访问控制列表Access Control List，ACL是保护内网平安的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进展通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进展缜密的设计，来对企业内网包括防火墙本身实施保护。这里，在本实例中，我们将针对效劳器以及内网工作站的平安给出广域网接入路由器InternetRouter上ACL的配置方案。在网络环境中还普遍存在着一些非常重要的、影响

46、效劳器群平安的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该做以下的ACL设计：1对外屏蔽简单网管协议，即SNMP。利用这个协议，远程主机可以监视、控制网络上的其它网络设备。它有两种效劳类型：SNMP和SNMPTRAP。如下图，显示了如何设置对外屏蔽简单网管协议SNMP。 图2-1对外屏蔽简单网管协议SNMP2对外屏蔽远程登录协议telnet首先，telnet是一种不平安的协议类型。用户在使用telnet登录网络设备或效劳器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。其次，telnet可以登录到大多数网络设备和UNIX效劳器，并可以

47、使用相关命令完全操纵它们。这是极其危险的，因此必须加以屏蔽。如下图，显示了如何对外屏蔽远程登录协议telnet 图2-1对外屏蔽远程登录协议telnet3对外屏蔽其它不平安的协议或效劳这样的协议主要有SUN OS的文件共享协议端口2049，远程执行rsh、远程登录rlogin和远程命令rcmd端口512、513、514，远程过程调用SUNRPC端口111。可以将针对以上协议综合进展设计，如下图。 图2-1对外屏蔽其它不平安的协议或效劳4针对DoS攻击的设计DoS攻击Denial of Service Attack，拒绝效劳攻击是一种非常常见而且极具破坏力的攻击手段，它可以导致效劳器、网络设备的

48、正常效劳进程停顿，严重时会导致效劳器操作系统崩溃。图显示了如何设计针对常见DoS攻击的ACL 图2-1针对DoS攻击的设计5保护路由器自身平安作为内网、外网间屏障的路由器，保护自身平安的重要性也是不言而喻的。为了阻止黑客入侵路由器，必须对路由器的访问位置加以限制。应只允许来自效劳器群的IP地址访问并配置路由器。这时，可以使用ACCESS-CLASS命令进展VTY访问控制。如下图。 图2-1保护路由器自身平安3.6其它配置为了实现对无类别网络Classless Network以及全零子网Subnet-zero的支持，在充当3层交换机的核心层交换机CoreSwitch1，还需要进展适当的配置，如下

49、图。 图2-2定义对无类别网络以及全零子网的支持四远程访问模块设计远程访问也是园区网络必须提供的效劳之一。它可以为家庭办公用户和出差在外的员工提供移动接入效劳。如图4-1所示。 图4-1远程访问效劳远程访问有三种可选的效劳类型：专线连接、电路交换和包交换。不同的广域网连接类型提供的效劳质量不同，花费也不一样。在本设计中，由于面对的用户群规模、业务量较小，所以采用了异步拨号连接作为远程访问的技术手段。异步拨号连接属于电路交换类型的广域网连接，它是在传统公共交换 网Public Switched Telephone Network，PSTN上提供效劳的。传统PSTN提供的效劳也被称为简易老式 业务

50、Plan Old Telephone System，POTS。因为目前存在着大量安装好的 线，所以这样的环境是最容易满足的。因此，异步拨号连接也就成为最为方便和普遍的远程访问类型。广域网连接可以采用不同类型的封装协议，如HDLC、PPP等。其中，PPP除了提供身份认证功能外，还可以提供其他很多可选项配置，包括链路压缩、多链路捆绑、回叫等，因此更具优势。也是本设计所采用的异步连接封装协议。在本设计中采用了可以集成在广域网接入路由器InternetRotuer中的异步Modem模块NM-16AM8Port Analog Modem Network Module提供远程访问效劳。它可以同时对最多16

51、路拨号用户提供远程接入效劳。以下介绍一下配置异步拨号模块NM-16AM的步骤。1配置物理线路的根本参数对物理线路的配置包括配置线路速度DTE、DCE之间的速率、停顿位位数、流控方式、允许呼入连接的协议类型、允许流量的方向等。如下图，是对以上参数进展配置。 图2-1保护路由器自身平安2配置接口根本参数对接口根本参数的配置包括：接口封装协议类型、接口异步模式、IP地址、为远程客户分配IP地址的方式等。这里，设置远程客户从IP地址池rasclients中获得IP地址。 图2-1配置接口根本参数接下来，需要建立一个本地的IP地址池。如下所示，建立了一个名为rasclients的IP地址池。其IP地址范

52、围是：6。 图2-1指定IP地址池3配置身份认证PPP提供了两种可选的身份认证方法：口令验证协议PAPPassword Authentication Protocol，PAP和质询握手协议Challenge Handshake Authentication Protocol，CHAP。PAP是一个简单的、实用的身份验证协议。PAP认证进程只在双方的通信链路建立初期进展。如果认证成功，在通信过程中不再进展认证。如果认证失败，那么直接释放链路。CHAP认证比PAP认证更平安，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，也被称为挑战字符串。如下图14-1-5。同时，身份

53、认证可以随时进展，包括在双方正常通信过程中。因此，非法用户就算截获并成功破解了一次密码，此密码也将在一段时间内失效。CHAP对端系统要求很高，因为需要屡次进展身份质询、响应。这需要消耗较多的CPU资源，因此只用在对平安要求很高的场合。PAP虽然有着用户名和密码是明文发送的弱点，但是认证只在链路建立初期进展，因此节省了珍贵的链路带宽。本设计中将采用PAP身份认证方法。1建立本地口令数据库如下图建立本地口令数据库。 图2-2建立本地口令数据库2设置进展PAP认证 图2-2建立本地口令数据库五效劳器模块设计效劳器模块用来对校园网的接入用户提供各种效劳。在本设计方案中，所有的效劳器被集中到VLAN 1

54、00构成效劳器群并通过分别层交换机DistributeSwitch1的端口fastethernet 120接入校园网。如下图。 图5-1效劳器群校园网提供的常见的效劳效劳器包括：WEB效劳器：提供WEB网站效劳。DNS、目录效劳器：提供域名解析以及目录效劳。FTP、文件效劳器：提供文件传输、共享效劳。邮件效劳器：提供邮件收发效劳。数据库效劳器：提供各种数据库效劳。打印效劳器：提供打印机共享效劳。实时通信效劳器：提供实时通信效劳。流媒体效劳器：提供各种流媒体播放、点播效劳。网管效劳器：对校园网网络设备进展综合管理。如下图。显示了各效劳器IP地址配置情况。 图4-5-1标准ACL实验环境表给出了所

55、有的效劳器硬件平台、操作系统以及效劳软件的选型表。表1-1VLAN及IP编址方案 限于篇幅，对于各种效劳器的安装、配置步骤以及运行维护方法，这里不再赘述，感兴趣的读者可以参看有关参考书。六总结其他、测试6.1系统测试前面几节中，我们对如何设计一个较为完整的校园网网络进展了详细的介绍。当校园网初具规模后，还应该对校园网的整体运行情况做一下细致的测试和评估。主要的测试内容应该包括：对管理IP地址的测试。对一样VLAN内的通信进展测试。对不同VLAN内的通信进展测试。对冗余链路的工作状态进展测试。对广域网接入路由器上的NAT进展测试。对广域网接入路由器上的ACL进展测试。对远程访问效劳进展测试。对各

56、种效劳器提供的效劳进展测试。至于具体的测试步骤，限于篇幅这里不再赘述。需要说明的是，一个完整的校园网网络系统设计不仅包含上述设备，还应该有计费系统、防火墙系统、入侵检测系统等组成局部。限于篇幅，在此不做介绍，感兴趣的读者可以参看有关的参考书。6.2相关测试、诊断命令在本章的最后，我们按不同的功能按每种技术分类，给出相关的测试、诊断命令列表同时还给出了命令的作用。1通用测试、诊断命令1ping x.x.x.x标准ping命令。用于测试设备间的物理连通性。2ping x.x.x.x扩展ping命令。用于测试设备间的物理连通性。扩展ping命令还支持灵活定义ping参数，如ping数据包的大小，发送

57、包的个数，等待响应数据包的超时时间等。3traceroute x.x.x.x命令traceroute用于跟踪、显示路由信息。4show running-config命令show running-config用于显示路由器、交换机运行配置文件的内容。5show startup-config命令show startup-config用于显示路由器、交换机启动配置文件的内容。6show sessions命令show sessions用于显示从当前设备发出的所有呼出Telnet会话。7disconnect命令disconnect用于断开与远程目标主机的Telnet会话。8show users命令sho

58、w users用于查看呼入Telnet会话情况。9clear line命令clear line用于断开远程主机的呼入Telnet连接。10shutdown命令shutdown用于临时将某个接口关闭。11no shutdown命令no shutdown用于手动启动激活处于管理性关闭的接口。12show arp命令show arp用于显示ARP缓存ARP表的内容。13show ip arp命令show ip arp用于显示IP ARP缓存ARP表的内容。14show interfaces命令show interface用于显示各接口的状态及参数信息。15show ip interface命令sho

59、w ip interface用于显示IP接口的状态及配置信息。16show version命令show version用于显示路由器硬件配置、软件版本等信息。17Ctrl+Shift+6+x该命令也被称为退出序列，用于终止正在执行的某条命令或操作，也用于从呼出Telnet会话中暂时切换到本地连接。18dir flash:命令dir flash:用于显示闪存中的文件清单。19dir nvram:命令dir nvram:用于显示非易失性内存中的文件清单。20show debugging命令show debugging用于显示正在进展的诊断过程清单。21undebug all命令undebug all用于停顿所有诊断过程。2CDP测试、诊断命令1show cdp命令show cdp用于显示CDP全局参数信息。2show cdp neighbors命令show cdp neighbors用于显示CDP邻居设备的摘要信息。3show cdp nei