中小型校园网设计方案实例

（中小型）校园网设计方案实例目录TOC\o"1-5"\h\z1系统总体设计方案概述1系统组成与拓扑结构2VLAN及IP地址规划3交换模块设计4访问层交换服务的实现—配置访问层交换机5配置访问层交换机AccessSwitch1的基本参数5配置访问层交换机AccessSwitch1的管理IP、默认网关7配置访问层交换机AccessSwitch1的VLAN及VTP8配置访问层交换机AccessSwitch1端口基本参数9配置访问层交换机AccessSwitch1的访问端口9配置访问层交换机AccessSwitch1的主干道端口11配置访问层交换机AccessSwitch211访问层交换机的其它可选配置12分布层交换服务的实现—配置分布层交换机13配置分布层交换机DistributeSwitch1的基本参数14配置分布层交换机DistributeSwitch1的管理IP、默认网关14配置分布层交换机DistributeSwitch1的VTP15在分布层交换机DistributeSwitch1上定义VLAN16配置分布层交换机DistributeSwitch1的端口基本参数17配置分布层交换机DistributeSwitch1的3层交换功能18配置分布层交换机DistributeSwitch219其它配置20核心层交换服务的实现—配置核心层交换机20配置核心层交换机CoreSwitch1的基本参数21配置核心层交换机CoreSwitch1的管理IP、默认网关21配置核心层交换机CoreSwitch1的的VLAN及VTP22配置核心层交换机CoreSwitch1的端口参数22配置核心层交换机CoreSwitch1的路由功能23其它配置24核心层交换机CoreSwitch2的配置24广域网接入模块设计24配置接入路由器InternetRouter的基本参数25配置接入路由器InternetRouter的各接口参数25配置接入路由器InternetRouter的路由功能26配置接入路由器InternetRouter上的NAT26配置接入路由器InternetRouter上的ACL28其它配置31远程访问模块设计31配置物理线路的基本参数32配置接口基本参数32配置身份认证33服务器模块设计34系统测试36系统测试36相关测试、诊断命令36通用测试、诊断命令36CDP测试、诊断命令39路由和路由协议测试、诊断命令41VLAN、VTP测试、诊断命令41生成树测试、诊断命令42NAT测试、诊断命令43ACL测试、诊断命令43远程访问测试、诊断命令44总结44附录：资源45（中小型）校园网设计方案实例本文以实例的形式对校园网络的设计方案进行分析并给出校园网络关键设备的配置步骤、配置命令以及诊断命令和方法。通过本文，相信读者能够系统地掌握中小型园区网的设计、实施以及维护方法及技巧。1系统总体设计方案概述校园网络（COMPUSNETWORK,下文中也称为园区网络）是非常典型的综合网络实例。为了阐明主要问题，在本设计方案中对实际校园网的设计进行了适当的和必要的简化。同时，将重点放在网络主干的设计上，对于服务器的架设只作简单介绍，具体内容参考有关参考书。如图1-1所示，是该校园网网络的总体拓扑结构图图1-1X戏园网网络的总体拓扑结构在上面的拓扑图中，学校的6个主要集中接入点（计算机系、管理系、建筑系、财务处、教务处、学生宿舍）通过冗余的光纤链路上连到信息中心的核心层交换机上。核心层交换机通过Cisco3640路由器接入因特网。此外，教工宿舍及移动办公用户通过拨号方式接入路由器3640来访问校园网内网及因特网。图中，以计算机系为例展示了每个建筑物内部的网络设备拓扑结构，并给出了信息中心内部的网络设备拓扑结构。在接下来的讨论中，我们将展开并详细讨论每个模块的设计内容。系统组成与拓扑结构为了实现网络设备的统一，本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。全网使用同一厂商设备的主要好处在于可以实现各种不同网络设备功能的互相配合和补充。本校园网设计方案主要由以下四大部分构成：交换模块、广域网接

R4S.1皿(ntrrnrtNnulcrL^10tUW.Q27等而加年।隗曲1424CrncSwKclil♦LE1R4S.1皿(ntrrnrtNnulcrL^10tUW.Q27等而加年।隗曲1424CrncSwKclil♦LE1WiJIServerFarmr'qn^wftdilInf^qr*redIOR0⑶C|K■喻EtbciwtChanMl*Dhtributes<RitchIFO24Man1D:FO1-10VLhal-WVlmi^FO1-10|9LI6K,|(IZ4Dhtributes<RitchIFO24Man1D:FO1-10VLhal-WVlmi^FO1-10|9LI6K,|(IZ4IMIJ6OJL14|9M6Kr4.(l24tijireLjalntrflnt«d144DtsiribuirSv*iilcbSDhtril^utcLii>crjLa^orXSMirrliFQ®/F4>；34Acce'fsMiiichI图1-2校园网整体拓扑结

构图VLAN及IP地址规划在一个大、中型网络里，VLAN的划分是必不可少的步骤之一。在本校园网设计实例中，整个校园网中VLAN及IP编址方案如表1所示。表1VLAN及IP编址万案

VLAN号VLAN名称IP网段默认阚走_1说提.」VLAN1—.24192.168.0.I置理VlA?JVLAN10JWC19工160fM192.16254教务处VLANVLAN20xsss192.1620/24192,162254学生宿舍VLANVLAN30cwc192468.3.0/2419216&3.254财务处VLANIVLAN40JGSS192.168.4,0/24192.168,4.254教工宿舍VLAN|"二三.甘1"7Y■髓鼻Ua-*一1遗*除了表1中的内容外，拨号用户从/27中动态取得IP地址。为了简化起见，除了管理VLAN外，这里只规划了8个VLAN,同时为每个VLAN定义了一个由拼音缩写组成的VLAN名称。2交换模块设

计一个好的校园网设计应该是一个分层的设计。一般分为三层设计模型。为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换模块的部署是分层进行的。园区网数据交换设备可以划分为三个层次：访问层、分布层、核心层。传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了园区网数据交换服务质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网(VirtualLAN,VLAN)的概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN问路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议(VlanTrunkingProtocol,VTP)简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。当园区网络的交换机数量增多、交换机间链路增加时，交换网络的复杂性可能会造成交换环路问题这需要通过在各交换机上运行生成树协议SpanningTreeProtocol,STP)来解决。访问层交换服务的实现-配置访问层交换机访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的是CiscoCatalyst295024口交换机(WS-C2950-24)。该交换机拥有24个10/100Mbps自适应快速以太网端口，运行的是Cisco的IOS操作系统。这里，以图2-1中的访问层交换机AccessSwitch1为例进行介绍。如图2-1所示：VInnICrAkl-lllVltnMtrWIl-M图2-1访问层交换机AccessSwitch1配置访问层交换机AccessSwitch1的基本参数1、设置交换机名称设置交换机名称，也就是出现在交换机CLI提示符中的名字。一般以地理位置或行政划分来为交换机命名。当需要Telnet登录到若干台交换机以维护一个大型网络时，通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。如图2-2所示，为访问层交换机AccessSwitch1命名。Switch(con11g)^hos(nuineA^cessSw：reh]AccessSwitch1(config)#图2-2为访问层交换机AccessSwitchl

命名2、设置交换机的加密使能口令当用户在普通用户模式而想要进入特权用户模式时，需要提供此口令。此口令会以MD5的形式加密，因此，当用户查看配置文件时，无法看到明文形式的口令。如图2-3所示，将交换机的加密使能口令设置为secretpasswdAtccssSwitchI(config)^enubl<?secretsctjr^tpds：<Ard图2-3为交换机设置加密使能

口令3、设置登录虚拟终端线时的口令对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理人员提供了很多的方便。但是，出于安全考虑，在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。如图2-4所示，设置登录交换机时需要验证用户身份，同时设置口令为youguess。Access比hl(config隅incvry015AccessSwitch1(conitchl(contig-lordyoucssI图2-4为访问层交换机AccessSwitchl

命名4、设置终端线超时时间为了安全考虑，可以设置终端线超时时间。在设置的时间内，如果没有检测到键盘输入，IOS将断开用户和交换机之间的连接。如图2-5所示，设置登录交换机的控制台终端线路及虚拟终端线的超时时间为5分30秒钟。Acccs$Switch1(config)#linevtyr[5AcccssSwitchI(config-linc)#cxcc-titneout530AucCbsS^iith](eonfig-linecon0AccessSwiich1(config-1incmcout530图2-5设置控制台终端线路和虚拟终端线路的超时

时间5、设置禁用IP地址解析特性在交换机默认配置的情况下，当输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用命令noipdomain-lookup。可以禁用这个特性。如图2-6所示，设置禁用IP地址解析特性。AccessStsitch](conJlg)#nuipdu“iairi」uokup图2-6设置禁用IP地址解

析特性6、设置启用消息同步特性有时，用户输入的交换机配置命令会被交换机产生的消息打乱。可以使用命令loggingsynchronous设置交换机在下一行CLI提示符后复制用户的输入。如图2-7所示，设置启用消息同步特性。AcccssSwitch](conft%hgmgnchromvus图2-7设置启用消息同步

特性配置访问层交换机AccessSwitch1的管理IP、默认网关访问层交换机是OSI参考模型的第2层设备，即数据链路层的设备。因此，给访问层交换机的每个端口设置IP地址是没意义的。但是，为了使网络管理人员可以从远程登录到访问层交换机上进行管理，必

须给访问层交换机设置一个管理用IP地址。这种情况下，实际上是将交换机看成和PC机一样的主机。给交换机设置管理用IP地址只能在VLAN1，即本征VLAN中进行。按照表2-1，管理VLAN所在的子网是：192,168.0.0/24,这里将访问层交换机AccessSwitch1的管理IP地址设为：/24。如图2-8所示，显示了为访问层交换机AccessSwitch1设置管理IP并激活本征VLAN。AccessSwitch1(conflg)#intcrl>cevlan1AccessSwitchI(config'if)#ipaddress192J68255.25525?0阴noshutdown—一图2-8设置访问层交换机AccessSwitch1的管理IP为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关地址54。如图2-9所示。AcccssSwitchI(config)#jpdefault-gateway192.168,0.254图2-9设置访问层交换机AccessSwitch1的默认网关

地址配置访问层交换机AccessSwitch1的VLAN及VTP从提高效率的角度出发，在本校园网实现实例中使用了VTP技术。同时，将分布层交换机DistributeSwitch1设置成为VTP服务器，其他交换机设置成为VTP客户机。这里访问层交换机AccessSwitch1将通过VTP获得在分布层交换机DistributeSwitch1中定义的所有VLAN的信息。2-10所示，设置访问AccessSwitchl(config)#vtpmodeclient,2-10所示，设置访问如图层交换机AccessSwitch1成为VTP客户机。图2-10

设置访问层交换机AccessSwitchl成为VTP客户机配置访问层交换机AccessSwitchl端口基本参数1、端口双工配置可以设定某端口根据对端设备双工类型自动调整本端口双工模式，也可以强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情况下，建议手动设置端口双工模式。如图2-11所示，设置访问层交换机AccessSwitchl的所有端口均工作在全双工模式。AccessSwirch1(config)^inrertacerangefyr]-24AccessSwitcht(contlg-it-ran^epdiiplexfill*图2-11设置访问层交换机AccessSwitch1的端口工作

模式2、端口速度可以设定某端口根据对端设备速度自动调整本端口速度，也可以强制将端口速度设为10Mpbs或100Mbps。在了解对端设备速度的情况下，建议手动设置端口速度。如图2-12所示，设置访问层交换机AccessSwitch1的所有端口的速度均为24100Mbps。24AccessSwitchl(config)^interfacerangeA01AccessSwitch)(config-if-range)#speed100图2-12设置访问层交换机AccessSwitch1的端口

速度配置访问层交换机AccessSwitch1的访问端口访问层交换机AccessSwitchl为终端用户提供接入服务。在图2-1中，访问层交换机AccessSwitchl为VLAN10、VLAN20提供接入服务。如图2-13所示，设置访问层交换机AccessSwitchl的端口1〜端口10工作在访问(接入)模式。同时，设置端口1〜端口10为VLAN10的成AcccssSwitchI(contig)^1ntcrfaccrangetastcthcrnct0.110AccessSwitchUconfig-rf-rangc^switcliporAcxxs5s巧itch口rangewitchportaccessvlau10图2-13设置访问层交换机AccessSwitch1的端口

1〜102、设置访问层交换机AccessSwitch1的端口11〜20如图2-14所示，设置访问层交换机AccessSwitch1的端口11〜端口20工作在访问(接入)模式。同时，设置端口1〜端口10为VLAN20的成员。AccessSwitchl(config)#Interfaccrangefastet1.^mct0/1120AccessSwireh3(contlg*if*range)#swirchponm.JeaccessAcccssSwitch](ccnfig-if^raiigcl^swirchportaccessvhn2。图2-14设置访问层交换机AccessSwitch1的端口11〜203、设置快速端口默认情况下，交换机在刚加电启动时，每个端口都要经历生成树的四个阶段：阻塞、侦听、学习、转发。在能够转发用户的数据包之前，某个端口可能最多要等50秒钟的时间(20秒的阻塞时间+15秒的侦听延迟时间+15秒的学习延迟时间)。对于直接接入终端工作站的端口来说，用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间，可以设置将某端口设置成为快速端口(Portfast)。设置为快速端口的端口当交换机启动或端口有工作站接入时，将会直接进入转发状态，而不会经历阻塞、侦听、学习状态(假设桥接表已经建)o如图2-15所示，设置访问层交换机AccessSwitchl的端口1〜端口20为快速端口。AccessSwitchl(config)#lnterfacerangefastethemet0"2。AccessSwitch1(config-if-range)#spanning4rce图2-15设置快速

端口配置访问层交换机AccessSwitchl的主干道端口如图2-1所示，访问层交换机AccessSwitch1通过端口FastEthernet0/23上连到分布层交换机DistributeSwitch1的端口FastEthernet0/23。同时，访问层交换机AccessSwitch1还通过端口FastEthernet0/24上连到分布层交换机DistributeSwitch2的端口FastEthernet0/23。这两条上连链路将成为主干道链路，在这两条上连链路上将运输多个VLAN的数据。如图2-16所示设置访问层交换机AccessSwitch1的端口FastEthernet0/23、FastEthernet0/24为主干道端口。AcccssSwitch](config)^lrncrfacerangetaste?'二rn&t(V2?-24AccessSwitch1(config-if-range)^switchportmodetrunk图2-16设置主干道

端口配置访问层交换机AccessSwitch2访问层交换机AccessSwitch2为VLAN30和VLAN40的用户提供接入服务。同时，分别通过自己的FastEthernet0/23、FastEthernet0/24上连到分布层交换机DistributeSwitch1、DistributeSwitch2的端口FastEthernet0/24。如图2-17所示，是访问层交换机AccessSwitch2的连接示意图。\hnMilFIk'l-HiVbn4lkF'l），Il-21l图2-17访问层交换机AccessSwitch2的连接

示意图对访问层交换机AccessSwitch2的配置步骤、命令和对访问层交换机AccessSwitch1的配置类似。这里，不再详细分析，只给出最后的配置文件内容（只留下了必要的命令）。需要指出的是，为了提供主干道的吞吐量，可以采用链路捆绑（快速以太网信道）技术增加可用带宽。例如，可以将访问层交换机AccessSwitch1的端口FastEthernet0/21和FastEthernet0/22捆绑在一起实现200Mbps的快速以太网信道，然后再上连到分布层交换机DistributeSwitch1。同样，也可以将访问层交换机AccessSwitch1的端口FastEthernet0/23和FastEthernet0/24捆绑在一起实现200Mbps的快速以太网信道，然后再上连到分布层交换机DistributeSwitch2具体的配置步骤和命令将在核心层交换机的配置一节中进行介绍。访问层交换机的其它可选配置1、Uplinkfast访问层交换机AccessSwitch1通过两条冗余上行链路分别接入分布层交换机DistributeSwitch1和、DistributeSwitch2。在生成树的作用下，其中一条上行链路处于转发状态，而另一条上行链路处于阻塞状态。当处于转发状态的链路因故障断开后，经过最多大约50秒钟的时间，处于阻塞状态的链路才能替代故障链路工作。Uplinkfast特性可以使得当主上行链路失败后，处于阻塞状态的上行链路（备份上行链路）可以立即启用。如图2-18所示，是在访问层交换机AccessSwitchl上启用Uplinkfast特性。同样的步骤也可以在访问层交换机AccessSwitch2上进行配置。AcccssSwitchI(coiirtg)^spaniiing-trccuplinkRist图2-18启用Uplinkfast特性注意，Uplinkfast特性只能在访问层交换机上启用2、BackbonefastBackbonefast的作用与Uplinkfast类似，也用于加快生成树的收敛。所不同的是，Backbonefast可以检测到间接链路（非直连链路）故障并立即使得相应阻塞端口的最大寿命计时器到时，从而缩短该端口可以开始转发数据包的时间。如图2-19所示，是在访问层交换机AccessSwitch1上启用Backbonefast特性。同样的步骤需要在网络中的所有交换机上进行配置。图2-19启用Backbonefast

特性注意，Backbonefast特性需要在网络中所有交换机上进行配置。分布层交换服务的实现-配置分布层交换机分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能

这里的分布层交换机采用的是CiscoCatalyst3550交换机作为3层交换机，CiscoCatalyst3550交换机拥有24个10/100Mbps自适应快速以太网端口，同时还有2个1000Mbps的GBIC端口供上连使用，运行的是Cisco时还有2个1000Mbps的GBIC端口供上连使用，运行的是Cisco的IntegratedIOS操作系统为例进行介绍这里，以图2-1如图2-20所示：中的分布层交换机DistributeSwitch1图2-20分布层交换机DistributeSwitch1配置分布层交换机DistributeSwitch1的基本参数对分布层交换机DistributeSwitch1的基本参数的配置步骤与对访问层交换机AccessSwitch1的基本参数的配置类似。这里，只给出实际的配置步骤，不再给出具体解释，如图2-21所示。Switch^configureterminalInterconfigurationcommands,oneperline.EndwithCN'l'LZ,Switch(coiitlg)^liostnanter7isiribureSwireh1Dis(ribuieSvvitchl(coiitlg^etiiiblesecretyouguessDisiributeSwiich1(configinlinecun0Di^tribiucSwitchhcoiitig-Jinc^lo^gingsynchroiiLUJsDis(nbuicSwitthI(coiifig-Hnc)rk?(^c-tHncoLit530Di^tributeSwitchJ(config-line)^linevtyD15DistributoSwitchI(confiine)#passwordabcDiytribiHeSwitchI(cuntlg-line^logniDistributcSwitchI(config-line)#exe-time3H530DisiribuicSwiicl]I(cunfig-lineKkiDisiribuivSwjtchI(conflg^nuip<io“i口JjoM中图2-21配置分布层交换机DistributeSwitch1的基本

参数

如图2-22所示，显示了为分布层交换机DistributeSwitchl设置管理IP并激活本征VLAN。同时，还设置了默认网关的地址。DistributeSwitch1(config)#interfacevlan1DistributeSwitch1(ccnfig-if)#ipaddress255.255255.0DistributeSwitch1(ccnfig-if)#norhntdownDistributeSwitch1(config-DistributeSwitch1(ccnfig)#ipdefkuit-g&ievvay192153G:5，图2-22分布层交换机DistributeSwitchl的管理IP、默

认网关配置分布层交换机DistributeSwitchl的VTP当网络中交换机数量很多时，需要分别在每台交换机上创建很多重复的VLAN。工作量很大、过程很繁琐，并且容易出错。在实际工作中常采用VLAN中继协议(VlanTrunkingProtocol,VTP)来解决这个问题。VTP允许在一台交换机上创建所有的VLAN。然后，利用交换机之间的互相学习功能将创建好的VLAN定义传播到整个网络中需要此VLAN定义的所有交换机上。同时，有关VLAN的删除、参数更改操作均可传播到其他交换机。从而大大减轻了网络管理人员配置交换机的负担。在本校园网实现实例中使用了VTP技术。同时，将分布层交换机DistributeSwitchl设置成为VTP服务器，其他交换机设置成为VTP客户机。1、配置VTP管理域共享相同VLAN定义数据库的交换机构成一个VTP管理域。每一个VTP管理域都有一个共同的VTP管理域域名。不同VTP管理域的交换机之间不交换VTP通告信息。如图2-23DistributeSudtch1如图2-23所示，将VTP管理域的域名定义为chinaitlab”。图2-23设置VTP管理域的域名2、设置VTP服务器工作在VTP服务器模式下的交换机可以创建、删除VLAN、修改VLAN参数。同时，还有责任发送和转发VLAN更新消息。如图2-24所示，设置分布层交换机DistributeSwitchl成为VTP服务器。DistribuccSwitch1(configmodeserver图2-24设置分布层交换机DistributeSwitch1成为VTP服务器3、激活VTP剪裁功能默认情况下主干道传输所有VLAN的用户数据。有时，交换网络中某台交换机的所有端口都属于同一VLAN的成员没有必要接收其他VLAN的用户数据。这时，可以激活主干道上的VTP剪裁功能。当激活了VTP剪裁功能以后，交换机将自动剪裁本交换机没有定义的VLAN数据。在一个VTP域下，只需要在VTP服务器上激活VTP剪裁功能。同一VTP域下的所有其他交换机也将自动激活VTP剪裁功能。如图2-25所示，设置激活VTP剪裁功能。DistrihiitcSi-vitchl(c0npaining图2-25激活VTP剪裁功能在分布层交换机DistributeSw让chi上定义VLAN在本校园网实现实例中，除了默认的本征VLAN外，又额外定义了8个VLAN,如表2-1所示。由于使用了VTP技术，所以，所有VLAN的定义都只需要在VTP服务器，即分布层交换机DistributeSwitchl上进行。如图2-26所示，定义了8个VLAN,同时为每个VLAN命名。配置分布层交换机DistributeSwitchl的端口基本参数分布层交换机DistributeSwitchl的端口FastEthernet0/1〜FastEthernet0/10为服务器群提供接入服务，而端口FastEthernet0/23、FastEthernet0/24分别下连到访问层交换机AccessSwitchl的端口FastEthernet0/23以及访问层交换机AccessSwitch2的端口FastEthernet0/23。此外，分布层交换机DistributeSwitchl还通过自己的千兆端口GigabitEthernet0/1上连到核心交换机CoreSwitchl的GigabitEthernet3/1。为了实现冗余设计，分布层交换机DistributeSwitch1还通过自己的千兆端口GigabitEthernet0/2连接另一台到分布层交换机DistributeSwitch2的GigabitEthernet0/2。如图2-27所示，给出了对所有访问端口、主干道端口的配置步骤和命令。SwiicliSconfiguicterminalb：nicrcuniiguraiioneoniTnanth,1w1rlire,IndCNTL.Z.DisrributcSuitchHtonhy(DisrributcSuitchUcontlg-vhnV-iieJVCDisirihuteSuitchUconfiL!)^vlan20Dis(nhu(cS^itchl(e()nf[g-\huOPnamcXSSSI)istributcSwitchI件v】；in311DisrrtbutcSwitchl(config-\lannameCMCDixirihu出S*iLcii“config怦vliin40DisiribiEtcSwittlHfcnnilgAhinJZMiamcKiSSDisrributeSwitch1(config)#v1an50DistribureSwitch1(config-vlan)#nameJZXDistrihiLLcSxvitchl(cun^L!Jovian60DistributcSwitchL(conHg-vianV?iunncGIXDisTribufcSwitchI(fonflg)#v1an70DisrnbutcSuitch1(config-vlan)#nameJSJXDistributes^itch[(CiJnfLuJ-vlan100D)$tnbutcSwitch1(config-vlan)^namcFWQQ图2-26定义VLANDistnbuteSwitchl(config)#interfacerangefastethemet0/1-24DistnbuteSwitchl(config-if-range)#dup1fullDistnbuteSwitchl(config-if-range)#speed100DistnbuteSwiteki1(config-if-range)#interfacerangefasbethemet0/1-10DistnbuteSwitchl(config-if-range)#switchportmodeaccessDistnbuteSwibchl(config-if-range)#switchportaccessvlan100DistnbuteSwitchl(config-if-range)#spanning-treeportfastDistnbuteSwitchl(config-if-range)#interfacerangefasbethemet0/23-24DistnbuteSwitchl(config-if-range^switchp^^mod?trunkDistnbuteSwitchl(config-if-range)#interfac?：jngegi^aoiLEtkic/iidL0/1-2DistnbuteSwitchl(config-if-range)#switchpO4vmoaeL-dnk图2-27设置分布层交换机DistributeSw让chi的各端

口参数配置分布层交换机DistributeSwitchi的3层交换功能分布层交换机DistributeSwitchi需要为网络中的各个VLAN提供路由功能。这需要首先启用分布层交换机的路由功能。如图2-28所示DistnburcSuitchl(config)#iprouting图2-28启用路由功能接下来，需要为每个VLAN定义自己的默认网关地址，如图2-29所示。DisinbuLcSwilchi(eonfigj'''mtcrlueevIllti10DisLribdtcSwitciil(cunipjdJtc^W2.E68J.2542552552550DistributcSwitch((ciHilig-iOvno71uid讣wnI>isrnbuxSwitchI(contig-if}#nitcrta€cvlan2。DistfibutcSuitchl(cotifig-]f}#ipaddress192168.2,254255.255.255.(1DislribuLeSwiLchiteotillg-irPriiojihukk>wnDistributcSwitchHconilg-in^iniertiiec3Hti30DistributeswitchI(config-iO^ipaddress192,1683,254255.255.255.QDiscributcSwiichlfcotifig-ifi^iK1shmdownDislributeSwitchI(config-iff?interlatevlan40DjstributcSwitch1(corfig-if^jp192.16&4,254255255255.0[)ismhurcSwitchUcontlg*in^noshuidownDistributeSwitch1(config-iimerfacevlan5QEHsinbiitcSuitch1(c<mfig-i(>ipuddre^192.1685254255355-2510DisLribuicSwiLchnconllg-iO^noshukk^-nDistributeswitchI(coniinterHkcvlan价仆DisrnbutcSwitchMconfig-it>ipaddress192.168.6,254255,255,255.0DisiribuicSwitchl(config'iD?FiioshutdownDistribnteSwilchI(con11g-if}winicrIateIan7。DisrnbutcSwitchl(conilg-iO，vipjuklres^142.(6?<,7,254255,255,255J)DistributeSwhcbt(config-if)#noshntdownDisLributcS\\itchI(confii?'il)#inicrfaci1而DisLnbiitc$witch1(conng-if>#ipaddiv9二r3T5.2i3.2S5A>r>is(ribuicSwitchl(contlg-)frrno^huidc,*图2-29定义各VLAN的默认网

关地址此外，还需要定义通往Internet的路由。这里使用了一条缺省路由命令，如图2-30所示。其中，下一跳地址是Internet接入路由器的快速以太网接口FastEthernet0/0的IP地址。DistriburcSwitthI(config)#iproute。疝U,。ODO。102,16X.0254图2-30定义到Internet的缺

省路由分布层交换机DistributeSwitch2的端口FastEthernet0/23、FastEthernet0/24分别下连到访问层交换机AccessSwitch1的端口FastEthernet0/24以及访问层交换机AccessSwitch2的端口FastEthernet0/24。此外，分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet0/1上连到核心交换机CoreSwitch1的GigabitEthernet3/2。为了实现冗余设计，分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet0/2连接到分布层交换机DistributeSwitch1的GigabitEthernet0/2。如图2-31所示。图2-31分布层交换机对分布层交换机层交换机DistributeSwitch2对分布层交换机层交换机DistributeSwitch2的配置步骤、命令和对分布DistributeSwitch1的配置类似。这里，不再详细分析其它配置为了实现对无类别网络(ClasslessNetwork)以及全零子网(Subnet-zero)的支持，在充当3层交换机的分布层交换机DistributeSwitch1上，还需要进行相应的配置，如图2-32所示。Distributeswitch1(config)#ipclasslessDistributeswitchI(config^ipsubnet-zero图2-32定义对无类别网络以及全零子网的

支持核心层交换服务的实现-配置核心层交换机核心层将各分布层交换机互连起来进g穿越园区网骨干的高速数据交换。本实例中的核心层交换机采用的是CiscoCatalyst4006交换机，采用了Catalyst4500SupervisorIIPlus(WS-X4013+)作为交换机引擎。运行的是Cisco的IntegratedIOS操作系统，具镜像文件是CAT400.6-3-5.BIN。在作为核心层交换机的CiscoCatalyst4006交换机中安装了WS-X4306-GB(Catalyst4000GigabitEthernetModule,6-Ports(GBIC))模块，该模块提供了5个千兆光纤上连接口，可以用来接入WS-G5484(1000BASE-SXShortWavelengthGBIC(Multimodeonly))。这里，以图2-1中的核心层交换机CoreSwitch1为例进行介绍。如图2-33所示：Irm图2-33核心层交换机CoreSwitch1配置核心层交换机CoreSwitch1的基本参数对核心层交换机CoreSwitch1的基本参数的配置步骤与对访问层交换机AccessSwitch1的基本参数的配置类似。这里，只给出实际的配置步骤，不再给出具体解释，如图2-34所示。Switch^configureterminalHnterconfigurationcommands,oneperline.IndwithCNTUZ*Switch(contlg)^hostnameCoreSwitch1Coreswitch1(coiitlg)r?enablesecretyouguessCurcSwitchHeuii11g)#linecon0CuruSwtrch11eonfig-lincpluggingsynchronousCorcSwitch11config-line^xcu-tinic<mt530<nreSwitch1(config-lincInlinevxy015<OreSwitch11coiifig-line^passwordabeCureswitchKcontlg-hne^loginCorcSwitchI(coiifig-hne)F-ex*'tTmewt530CurcSwitchI(coiiflg-hnc)^CA\CurcSwctthIiwi才也用n口ipds.NnTu。b、⑷图2-34配置核心层交换机CoreSwitchl的基

本参数配置核心层交换机CoreSwitchl的管理IP、默认网关如图2-35所示，显示了为核心层交换机CoreSwitchl设置管理IP并激活本征VLAN。同时，还设置了默认网关的地址CoreSwitchl(config)#int€rfacevlan1CoreSwitch1(configaddress192.163.0,1CoreSwitchl(configshutdownCor«Switdi1(config-iD檎瓦itCoreSwitch1(config)#ipdt-^Lilt-gatewayiS2.IcSX',254图2-35核心层交换机CoreSwitch1的管理IP、默认网关配置核心层交换机CoreSwitch1的的VLAN及VTP在本实例中，核心层交换机CoreSwitch1也将作为VTP客户机。这里核心层交换机CoreSwitch1将通过VTP获得在分布层交换机DistributeSwitch1中定义的所有VLAN的信息。如图2-36所示，设置核心层交换机CoreSwitch1成为VTP客户Con=Switch1,(config)#vtpmodeclient图2-36设置核心层交换机CoreSwitchl成为VTP客户机配置核心层交换机CoreSwitchl的端口参数核心层交换机CoreSwitchl通过自己的端口FastEthernet4/3同广域网接入模块（Internet路由器）相连。同时，核心层交换机CoreSwitch1的端口GigabitEthernet3/1〜GigabitEthernet3/2分别下连到分布层交换机DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet0/1。如图2-37所示，给出了对上述端口的配置命令。DistnbuteSwitch1(config)#interfacerangefastethemet4/l-32DistnbuteSwitchl(config-if-range)#duplexfu11DistributeSwitch1(config-if-range)#speed100DistributeSwitch1(oonfig-if-range)#switchportmodeaccessDistnbuteSwitch1(config-if-range)#switchportaccessvlan1DistributeSwitch1(config-if-range)#spanning>.r?epof+fastDistributeSwitch1(config-if-range)#interfac^彳.p?£1-2DistnbuteSwitch1(config-if-range)#swibchport」iod巳trunk图2-37设置核心层交换机CoreSwitch1的各端

口参数此外，为了提供主干道的吞吐量以及实现冗余设计，在本设计中，将核心层交换机CoreSwitch1的千兆端口GigabitEthernet2/1、GigabitEthernet2/2捆绑在一起实现2000Mbps的千兆以太网信道，然后再连接到另一台核心层交换机CoreSwitch2。如图2-38所示，是设置核心层交换机CoreSwitch1的千兆以太网信道的步骤。CoreSwitch1(conHgJrrinierliiceport-channel1CoreSwitch1(Ck>reSwitch1(config-inJritHerfiicegigubitetherrtet2/12CoreSwitch1(config^in^uhanncl-gro11电小谭,上:bltfnun-silentCoreSwitchl(config^in#nushutdown图2-38设置核心层交换机CoreSwitchl的千兆以太网信道配置核心层交换机CoreSwitchl的路由功能核心层交换机CoreSwitchl通过端口FastEthernet4/3同广域网接入模块(Internet路由器)相连。因此，需要启用核心层交换机的路由功能。同时，还需要定义通往Internet的路由。这里使用了一条缺省路由命令，如图2-39所示。其中，下一跳地址是Internet接入路由器的快速以太网接口FastEthernet0/0的IP地址。CoreSwilchItconllg^ipn^uiingCorcSwitch1(config)rtiprouteO.C.J.OIJ6o.G154图2-39定义到Internet的缺省路由如图

所示。其它配置为了实现对无类别网络(ClasslessNetwork)以及全零子网(Subnet-zero)的支持，在充当3层交换机的核心层交换机CoreSwitch1,也需要进行相应的配置，如图2-40所示。CorcSwttch1(config)#ipclasslessCorcSuilchHconfig^ipsubnei-zero图2-40定义对无类别网络以及全零子网的

支持核心层交换机CoreSwitch2的配置

的一系列交换机的连接方法以及配置步骤和命令类似。这里也不再赘述。3广域网接入模块

设计在本实例设计中，广域网接入模块的功能是由广域网接入路由器InternetRouter来完成的。采用的是Cisco的3640路由器。它通过自己的串行接口serial0/0使用DDN(128K)技术接入Internet0其作用主要是在Internet和校园网内网间路由数据包。除了完成主要的路由任务外，利用访问控制列表(AccessControlList,ACL)，广域网接入路由器InternetRouter还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能，如图3-1所示。NATIHVO：192IntcrnitRuutcrNATIHVO：192工丁二Internet图3-1广域网接入路由器InternetRouter的基本参数配置接入路由器InternetRouter的基本参数对接入路由器InternetRouter的基本参数的配置步骤与对访问层交换机AccessSwitch1的基本参数的配置类似。这里，只给出实际的配置步骤，不再给出具体的解释，如图3-2所示。Ruut/cunfigurelurminalEnterconfigureioncommands.011cperhne.EndwithCNTLZ.Rowtijr^oiil'igpJhosLiiajncInturiKiRuutcrIntcrnctRoutcr(contig^enablesecretyouguessIntcmclRoulcrtconfigInlinecon0IiHcrnctRouterfconh^-lincins;synchronoLislntenictRoiitcr(config-Hnc)^cxcc>umcoui530Intcr]ietRouicr(config-line)#lincviy04IntcnictRouEcr(cvntig-liiK^passwordabcImcmctRoutcr(conf!g-1inc)#loginIntcmetRuutcrtconfig-line叶什"anInierrictRouLcitcohny-lincHp^\ImcnKtRouEcrtconfig^noipd.mairi^ockLip图3-2配置接入路由器InternetRouter的基

本参数配置接入路由器InternetRouter的各接口参数对接入路由器InternetRouter的各接口参数的配置主要是对接口FastEthernet0/0以及接口Serial0/0的IP地址、子网掩码的配置。如图3-3所示，显示了为接入路由器InternetRouter的各接口设置IP地址、子网掩码。ntcrnt11Rouleilconfig)^interfacef[isleI]iernet0/0Int^rnctRcuitertconfig-iO^ipduress168,0254255.755.255.OinternetRouter(config-if^noshutdo^dIntcrnetRoine^config-ifyiintcrldce^0iternetRou(er(con6g-iipaddress193.!+IJ52InternetRoulerfconfig-ify/noshutdown图3-3设置接入路由器InternetRouter的各接

口参数配置接入路由器InternetRouter的路由功能在接入路由器InternetRouter上需要定义两个方向上的路由：到校园网内部的静态路由以及到Internet上的缺省路由。到Internet上的路由需要定义一条缺省路由，如图3-4所示。其中，下一跳指定从本路由器的接口serial0/0送出。IntemccRoutcr(confi^>^iprcuCcU.(10I>serialO-O图3-4定义到Internet的缺省路由到校园网内部的路由条目可以经过路由汇总后形成两条路由条目如图3-5所示。InteHKtRouter(€onfig}#iproute192J俄0.0I92J6S.0.3InternetKouterfconfig^iprunt巳192J68.100.0255255.255.0192J6&0.3图3-5定义到校园网内部的

路由配置接入路由器InternetRouter上的NAT由于目前IP地址资源非常稀缺，不可能给校园网内部的所有工作站都分配一个公有IP（Internet可路由的）地址。为了解决所有工作站访问Internet的需要，必须使用NAT（网络地址转换）技术。为了接入Internet,本校园网向当地ISP申请了9个IP地址。其中一个IP地址：被分配给了Internet接入路由器的串行接口，另外8个IP地址：〜用作NAT。NAT的配置可以分为以下几个步骤：1、定义NAT内部、外部接口图3-6显示了如何定义NAT内部、外部接口In(emetR.outer(configinicrfjtcefastethemet0/0lntemctRoutcr(ni'rins:l;InternetRoutc^conKg-if^interfaceserial00[ntemetRoutedconHg-ifyiipn;itoutside图3-6定义NAT内部、外部

接口2、定义允许进行NAT的工作站的内部局部IP地址范围图3-7显示了如何定义允许进行NAT的内部局部IP地址范围IntcrnctRoiifcdconfig)#ipaccess*!ist1permir192J68,0.00,07.255图3-7定义工作站的内部局部IP地址

范围3、为服务器定义静态地址转换图3-8显示了如何为服务器定义静态地址转换。InternetRouter(confi^)^ipnatinsidesourcestatic192.168J00.1202.206.222J]nternetRouier(config)4ipnutinsidesourcestuiic]92.16S.100.2InternetRourer(conflgipnatinsidesourcestatic392J6S.Tu.32^C.2P^.??2.3*«■♦*■图3-8为服务器定义静态地址

转换4、为其他工作站定义复用地址转换图3-9显示了如何为其他工作站定义复用地址转换。11nternctRou<cr(config)#ipnatinsidesourcelistIinterfaceserial<l,;0overload图3-9为工作站定义复用地址转换3.5配置接入路由器InternetRouter上的ACL路由器是外网进入校园网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表(AccessControlList,ACL)是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护。在本实例设计中，将针对服务器以及内网工作站的安全给出广域网接入路由器InternetRouter上ACL的配置方案。在网络环境中普遍存在着一些非常重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该做以下的ACL设计：1、对外屏蔽简单网管协议，即SNMP。利用这个协议，远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型：SNMP和SNMPTRAP。如图3-10所示，显示了如何设置对外屏蔽简单网管协议SNMP。InternetRoutc11configaccess-1isrdenyudpanyattyeqmimpInternetRoutertconfig)#access-list101denyudpanyanyeqsntnptrapInternetRoutcrtconfig)#access-list101「mitipanyanyIntcrnetRouteiXconfig)#imerbceseria*j；Inreme(Rourer{conftg-if)^ipaccess-grouri0]ji图3-10对外屏蔽简单网管协议SNMP2、对外屏蔽远程登录协议telnet首先，telnet可以登录到大多数网络设备和UNIX服务器，并可以使用相关命令完全操纵它们。其次，telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。这是极其危险的，因此必须加以屏蔽。如图3-11所示，显示了如何对外屏蔽远程登录协议telnet。JnicmciRimicrjc0iilig)w；iUL'css-lisi101denylepi!nynnylulnui]nrcmciRourcricontlg)^ncccss*lisi101r^nitipanyanyIntcnieIRoukilcontlcinterfaceserial、1InreneiRoutcr|conng-if)^ipacccss-group101i?j图3-11对外屏蔽远程登录协议

telnet3、对外屏蔽其它不安全的协议或服务这样的协议主要有SUNOS的文件共享协议端口2049,远程执行（rsh）、远程登录（rlogin）和远程命令（rcmd）端口512、513、514,远程过程调用（SUNRPC）端口111。可以将针对以上协议综合进行设计，如图3-12所示。InternetRoinr(con-figAccess-lisi101denyicp?nysnyrange512514InteiTictRouierfconfigJ^ccss-lisr101denylepanysnyeq111hiLBwiRuuicjuH501denyudpanyanycqHIIntcrticiKomcr(co-nfigHr^cccss-Ilsl1U1denyicpanyanyrange2049InterrmiRouierfconttg)^a£ccss-11st101pr”ipsnvanvIiuernutRuuicr(cunti^jNiiiieiliiccm日川I，JIntcnicLRsulcrfcon行g”HlAip匚c*£・HRJLip.Iir图3-12对外屏蔽其它不安全的协议或

服务4、针对DoS攻击的设计DoS攻击（DenialofServiceAttack,拒绝服务攻击）是一种非常常见而且极具破坏力的攻击手段，它可以导致服务器、网络设备的正常服务进程停止，严重时会导致服务器操作系统崩溃。图3-13显示了如何设计针对常见DoS攻击的ACL。IIIternelRouter(configjiraccess-list101denyiempanyanyeqecho-requesTlinenieil<0uter(<onflgK*accc>s-h>i101加电udpanyany叫edi。IniurnelRoutcriconllg^inlcrlaccserialUMInLumciK.outedcontlg-it^Mipdcccsx-^rour1in】rncrnctRnutEconfigTl)vinEcTRcSfiist'*a-iit「鹏inicmeiRpuicr(ci»nI-ig-iip由rcTcdbjcs：:图3-13针对DoS攻击

的设计5、保护路由器自身安全作为内网、外网间屏障的路由器，保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器，必须对路由器的访问位置加以限制。应只允许来自服务器群的IP地址访问并配置路由器。这时，可以使用ACCESS-CLASS命令进行VTY访问控制。如图3-14所示。lnternetRouter(config}^liiieviy041nternetRouter(contlg-1inegateclass2inInternetRou(er(cotifig-line)^cxj]ntenietRouterfcontigik-peijiltI)2,i*屈；Cu,C”.3,9.255图3-14保护路由器自身安全3.6其它配置为了实现对无类别网络(ClasslessNetwork)以及全零子网(Subnet-zero)的支持，在接入路由器InternetRouter上还需要进行适当的配置，如图3-15所示。\ntemerRoutertcantig用ipclassless图3-15定义对无类别网络以及全零子网的

支持4远程访问模块设

计远程访问也是园区网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供远程、移动接入服务。如图4-1所示。RAS图4-1远程访问服务远程访问有三种可选的服务类型：专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同，花费也不相同。在本设计中，由于面对的用户群规模、业务量较小，所以采用了异步拨号连接作为远程访问的技术手段。异步拨号连接属于电路交换类型的广域网连接，它是在传统公共交换电话网(PublicSwitchedTelephoneNetwork,PSTN)上提供服务的。传统PSTN提供的服务也被称为简易老式电话业务(PlanOldTelephoneSystem,POTS)o因为目前存在着大量安装好的电话线，所以这样的环境是最容易满足的。因此，异步拨号连接也就成为最为方便和普遍的远程访问类型。广域网连接可以采用不同类型的封装协议，如HDLC、PPP等。其中，PPP除了提供身份认证功能外，还可以提供其他很多可选项配置，包括链路压缩、多链路捆绑回叫等因此更具优势本设计所采用的异步连接封装协议是PPP。在本设计中采用了可以集成在广域网接入路由器InternetRotuer中的异步Modem模块NM-16AM(16PortAnalogModemNetworkModule)提供远程访问服务。它可以同时对最多16路拨号用户提供远程接入服务。以下介绍一下配置异步拨号模块NM-16AM的步骤。4.1配置物理线路的基本参数对物理线路的配置包括配置线路速度(DTE、DCE之间的速率)、停止位位数、流控方式、允许呼入连接的协议类型、允许流量的方向等。如图4-2所示。1ntcrnctRouier(config)#linec7InternetRoutertconfig-linejstoioo.;*h】OutlntcniclRouter(config-line}#trwisponinputallIntelneiRoiHertcontlg-line^stopbiis1InterneiRuuteilconfig-linel^speedII52OOInternetRonter(config-line)#flowcontrolhardware图4-2配置物理线路的基本参数配置接口基本参数对接口基本参数的配置包括：接口封装协议类型、接口异步模式、IP地址、为远程客户分配IP地址的方式等，如图4-3所示。这里,设置远程客户从IP地址池rasclients中获得IP地址。InlernetRuuttrtconfig^interfaceasyncOThitcmctl<outcr(conf]g-if)#ipaddress102/1HM)hiternetRLHiter(corttig-ifj^encapsularipntcnictRuutcr(con11g-in#;isyncniudvJ：吕4Jlritcmc(Routcr(contlg-in^pcerdetaullirpool*d^hcii；s图4-3配置接口基本参数接下来，需要建立一个本地的IP地址池。如图4-4所示，建立了一个名为rasclients的IP地址池。其IP地址范围是：〜6。]nternetR(iuter{tunfigJ^ipltx.a[pool侬斓ientti192168,200d192.168^200J6图4-4指定IP地

址池配置身份认证PPP提供了两种可选的身份认证方法：口令验证协议PAP(PasswordAuthenticationProtocol,PAP)和质询握手协议(ChallengeHandshakeAuthenticationProtocol,CHAP)。PAP是一个简单的、实用的身份验证协议。PAP认证进程只在双方的通信链路建立初期进行。如果认证成功，在通信过程中不再进行认证。如果认证失败，则直接释放链路。CHAP认证比PAP认证更安全，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，也被称为挑战字符用”。同时，身份认证可以随时进行，包括在双方正常通信过程中。因此，非法用户就算截获并成功破解了一次密码，此密码也将在一段时间内失效。CHAP对端系统要求很高，因为需要多次进行身份质询、响应。这需要耗费较多的CPU资源，因此只用在对安全要求很高的场合。PAP虽然有着用户名和密码是明文发送的弱点，但是认证只在链路建立初期进行，因此节省了宝贵的链路带宽。本设计中将采用PAP身份认证方法。1、建立本地口令数据库如图4-5所示建立本地口令数据库。]nterneTRou(er<coiiflg}^usernninerernoteuserpassworduserpwd图4-5建立本地口令数

据库2、设置进行PAP认证如图4-6所示设置进行PAP认证。[n(ernc!Router(e0iitlg}^interta..口internetRouterl<onflg-iO^pppaLinenucatinjipap,图4-6设置进行PAP认证5服务器模块设计服务器模块用来对校园网的接入用户提供各种服务。在本设计实例中，所有的服务器被集中到VLAN100,构成服务器群并通过分布层交换机DistributeSw让chi的端口fastethernet1〜20接入校园网。如图5-1所示。图5-1服务

器群校园网网络提供的常用服务（服务器）包括：zWEB服务器：提供WEB网站服务。zDNS、目录服务器：提供域名解析以及目录服务zFTP、文件服务器：提供文件传输、共享服务。z邮件服务器：提供邮件收发服务。z数据库服务器：提供各种数据库服务。z打印服务器：提供打印机共享服务。z实时通信服务器：提供实时通信服务。z流媒体服务器：提供各种流媒体播放、点播服务z网管服务器：对校园网网络设备进行综合管理。如图5-2所示。显示了各服务器IP地址配置情况。SdivcrJ—WFB眼篝鼻5crt«2-FTP.—灯3—/件服舞器配rvcH—甘妮唯柔乾器S«w5-DNS.U录震得罂[P4«2.16A.IOO.L24IPJ42.16»,L002^4的：I照一I魏1001^24加I赞IP"蟆I瓯100星人方GW：H2.]6N.](M)2$4(JWrL*Z.lWIJ«l25«6UM92.L6H.LW.2M图5-2各服务器IP地址配置表2给出了所有的服务器硬件平台、操作系统以及服务软件的选型表。表2服务器硬件平台、操作系统以及服务软件的选型

表服务苜鼻号服招辖名掰硬件芈告操作系境阳瑞敦件Server1WEB厢务器hpuboooWiiidnwMZOOOServern”。Server2FTP，文件圈务器HP1LH3000Windows2000ServerSERV-U5.0Sender3㈱件服务ItSUNE250Solaris8』EYOUMailSenderStiver4数据库服务看HPTC4100WindowsZOOOServerSQLStiver20003DNS