中小型校园网设计方案实例

（中型）园网计方实例目录.............1系统总体设计方案概述...........................................................................11.1系统组成与拓扑结构..................................................................................21.2VLANIP地址规划...................................................................................32交换模块设计.......................................................................................42.1访问层交换服务的实现－配置访问层交换机............................................5配置访问层交换机的基本参数.....................................5配置访问层交换机的管理、默认网关......................7配置访问层交换机的VLAN及VTP...............................8配置访问层交换机端口基本参数.................................9配置访问层交换机的访问端口.....................................9配置访问层交换机的主干道端口...............................配置访问层交换机......................................................11访问层交换机的其它可选配置...........................................................122.2分布层交换服务的实现－配置分布层交换机..........................................13配置分布层交换机DistributeSwitch1的基本参数..............................14配置分布层交换机DistributeSwitch1的管理、默认网关................14配置分布层交换机DistributeSwitch1的......................................在分布层交换机DistributeSwitch1上定义VLAN...............................配置分布层交换机DistributeSwitch1的端口基本参数.......................17配置分布层交换机DistributeSwitch1的层交换功能.......................18配置分布层交换机DistributeSwitch2..................................................其它配置............................................................................................202.3核心层交换服务的实现－配置核心层交换机..........................................20配置核心层交换机的基本参数......................................配置核心层交换机的管理IP、默认网关配置核心层交换机的的VLAN及VTP............................22配置核心层交换机的端口参数......................................配置核心层交换机的路由功能......................................其它配置............................................................................................24核心层交换机的配置.....................................................243广域网接入模块设计..........................................................................3.1配置接入路由器InternetRouter的本参数...............................................253.2配置接入路由器InternetRouter的接口参数...........................................3.3配置接入路由器InternetRouter的由功能...............................................263.4配置接入路由器InternetRouter上NAT..................................................3.5配置接入路由器InternetRouter上..................................................283.6其它配置...................................................................................................314远程访问模块设计..............................................................................4.1配置物理线路的基本参数........................................................................324.2配置接口基本参数....................................................................................4.3配置身份认证...........................................................................................服务器模块设计.................................................................................系统测试...........................................................................................366.1系统测试...................................................................................................366.2相关测试、诊断命令................................................................................通用测试、诊断命令..........................................................................CDP测试、诊断命令..........................................................................39路由和路由协议测试、诊断命令.......................................................41VLAN、VTP测试、诊断命令............................................................生成树测试、诊断命令......................................................................42测试、诊断命令..........................................................................ACL测试、诊断命令..........................................................................远程访问测试、诊断命令..................................................................总结......................................................................................................44附录:资源..............................................................................................45（中小型）校园网设计方案实例本文以实例的形对校园网的设计方案进行分析并给出校园网络关键设配、配以诊命令和。本文，能系统小计、实护及技。1系总体设计方案概述络（COMPUSNETWORK，称）常典的网。为了阐明主要问，在本设方案中对实际校园网的设计进行了适当的和的同时将网络主上，服简体考书。如图。图

园网网络的总体拓扑结构，学的建

6个点（计、管筑务处务学通光上息核换机过Cisco3640因特网。此外，教工舍及移动办公用户通过拨号方式接入路由器3640校因。中以计算机系为例展每个建筑物内部的络设备拓扑结构，并给构。开的容。1.1扑结构

系统组成与拓了实络设备的统一本设计方案中完全采用同一厂家的网络产品，即Cisco司网设构厂的以实功充。下成：块、网接入块、、服块。系如图1-2示。图

校园网整体拓扑结构图1.2VLAN及IP地址规划络VLAN骤。本校园计个网中VLAN及IP如所。表VLAN及IP编址方案除了表中户从192.168.200.0/27地址。

取得IP管理

VLAN

划了

8个

VLAN，每个VLAN了一个音缩成的VLAN名。2

交换模块设计一层的。一般模型。了简化交网络计提高交网络的可展在园区网内部数模署的。分个层：访、分层心层。上换生在模的第2层换还第层。高引区率，更大大增强了园区网数据交换服务质量，满了不类型网络应用程序的需要。局域网（VirtualLAN，VLAN）的概。VLAN个VLAN内了VLAN广播通对他VLAN的影VLAN间需的候用VLAN实。换使用VLAN议（VlanTrunking，换上定义有VLAN。后通过将VLAN本的交换样了网管工负度。当园区网络的交机数量增、交机间链路增加时，交换网络的复杂性问题要在成协TreeProtocol，）解决。2.1

访问层交换服务的实现－配置访问层交换机问层有的终端用户提供一接入点。这里的访问层交换机用是Cisco295024

口交换（WS-C2950-24该换拥有

24个自是的IOS操作系。这里图2-1中机为进。图2-1所：图访问层交换机2.1.1

配置访问层换机AccessSwitch1

的基参数1交换机名称置名称，就出现在交换CLI中字。一理行要Telnet干台交换以个型网络时，通过交机称提示符示自己当是有必的。如图所示，为访问层交换机命名。图为访问层交换机命名当用户在普通用模式而想进入特权用户模式时，需要提供此口令此口会以MD5的，文形式口令。如图所示，将交换机的加密使能口令设置为secretpasswd。图为交换机设置加密使能口令对于一个已经运着的交换络来说，交换机的带内远程管理为网络管理提的便但是出于安，够程网必远机令。如图2-4所示，设登录交换机时需要验证用户身，同时设置口令为。图为访问层交换机命名为了安全考虑，以设置终线超时时间。在设置的时间内，如果没有检IOS将户。如图2-5端线时间为5分30秒钟。图2-5设置控制台终端线路和虚拟终端线路的超时时间IP交换认配置的情况下，当入一条错误的交换机命令时，交换机会尝试将其广播给网络上的DNS服务器并将其解析成应的IP地令noipdomain-lookup如图，用IP址解析。图设置禁用IP地址解析特性时，输入的交换机配置命会被交换机产生的消息打乱。可以使用令loggingsynchronous设换一行提符。如图2-7。图设置启用消息同步特性2.1.2

配置访问交换机AccessSwitch1

的管理、认网关是OSI参的第2备，数设此，访问置IP是，人程访上进，必置个理用IP是成和PC主机。理用IP在VLAN1本VLAN进照表2-1，理VLAN所是：，这里将访问的管理IP地为。如图，显换理IP激活征VLAN。图设置访问层交换机的管理为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关址。图2-9所示。图2-9设置访问层交换机的默认网关地址2.1.3

配访问交换AccessSwitch1

的VLAN及VTP从提高效率的角度出发，在本校园网实实例中使用了VTP技时，布机DistributeSwitch1置为VTP务器，为VTP。这问层交机将过获在分交换机DistributeSwitch1信。

所有VLAN的图2-10所示访问机

成为VTP户图设置访问层交换机成为VTP客户机2.1.4

配置访问层换机AccessSwitch1

口基本数可以设定某端口根据对端设备双工类型自动调整本端口双工模式，也可以强制将端口双工模式设为半双工或双工模式。在了解对端备类型的情况。如图机所有口均全式。图设置访问层交换机的端口工作模式可以设定某端口据对端设速度自动调整本端口速度，也可以强制将端速度设为或。端情设度。如图，设机有端的为。图

设置访问层交换机的端口速度2.1.5

配置访问层换机AccessSwitch1

的访端口访问层交换机交换机

为终端用户提供接入服务。在图2-1为VLAN10提。如图2-13置访换机10作

的端口1端口接端口口10为VLAN10成。图设置访问层交换机的端口1～11如图示问交机的端口11～口20作在访入式置口～口10为VLAN20的成员。图设置访问层交换机的端口1120认情，交换机在刚加启动时，每个端口都要经历生成树的四个阶：听学转发包之，可能多等钟的2015秒＋15秒的学习）。端来和是不必的。为了加速换机端状态转时间，可以设将某端口设置成为快速端口Portfast）。设的换机工接时将进而历侦听学（假经建立。如图2-15，置问换机口20快。

的端口1端2.1.6

图设置快速端口配置访问层换机AccessSwitch1

主干道口如图所，访层交换机通过口0/23上连交换DistributeSwitch1的口0/23同时访问层交换机还通过端口0/24上连到分布层交换机DistributeSwitch2的端口。这条上连链路成为主干道链路，在这条上连链上将运输多个VLAN。如图机、

的端口

。图设置主干道端口2.1.7

配置访问交换机AccessSwitch2机为VLAN30和VLAN40的户接。别的FastEthernet0/24上交换机DistributeSwitch1DistributeSwitch2端口。如图所机的接示图。图访问层交换机的连接示意图对层换机问换机

的步骤、命令和对访

的类里不再细分析的文件容）。要指是为了提供主干道的吞吐量可以采用链路捆（快速以太信道）技。例，可将访问交换机的端口0/21和FastEthernet捆绑在一起现的快速以太网信道，然后再上连到分布层交换机DistributeSwitch1。同，也访机的端口0/23和0/24捆绑在一起实现200Mbps的快速以太网信道，然后再上连到分布层交换机DistributeSwitch2核心层节中行介绍。2.1.8

访问层交换其它选配置Uplinkfast层交换机通过两条冗余上行链路分别接入布层交换机DistributeSwitch1生成用下，条上行转态，而链阻状态当处转发状的链因障断，经过最约的能代工作。

50

秒钟Uplinkfast上行链路

特性可以使得当主上行链路失败后，处于阻塞状态的立用。如图所机用Uplinkfast以机置。

上注意，Uplinkfast

图启用Uplinkfast特性。的作用与Uplinkfast类似，也用于加快生成树的收。不的是路（直连链路）应阻塞端口的最大寿命计时器到时从而缩短该端口以开始转发数据包的时间。如图2-19所示是访问交换机上启用特配。注意，

图启用特性在置。2.2

分布层交换服务的实现－配置分布层交换机分层除了负责访问层交换机进行汇集，还为整交换网络提供VLAN。是Cisco3550，CiscoCatalyst3550交拥有24个

交换机层快太，同时有2个1000Mbps的端用运是Cisco的IntegratedIOS操图2-1中机DistributeSwitch1行如图示：2.2.1

图分布层交换机DistributeSwitch1配置分布交换机DistributeSwitch1

的基参数分换机DistributeSwitch1参配步访换机的，实不解如图2-21所。图配置分布层交换机DistributeSwitch1的基本参数2.2.2

配置分布层换机DistributeSwitch1

的理默认网关如图示机DistributeSwitch1活本征VLAN址。

设置管理图分布层交换机DistributeSwitch1的管理IP、默认网关2.2.3

配置分布层换机DistributeSwitch1

的VTP当网络中交换机数量很多时，需要分别在每台交换机上建很多重复的VLAN作很大程繁且出错实际采用VLAN议（VlanTrunkingVTP决题。VTP的VLAN机互功好的VLAN定个中要此VLAN义的所机关VLAN删数改操机。从轻人员交机。在实例中了VTP技同时分布层交换DistributeSwitch1

为为VTP客机。同VLAN一个VTP管一个域同的名同理域交换VTP。如图示将义为“chinaitlab”。图管理域的域名

设置VTP工作在服建、除VLAN、改VLAN参转发VLAN息。如图所机DistributeSwitch1为VTP服务器。图设置分布层交换机DistributeSwitch1成为VTP服务器所有VLAN络交所同一VLAN成员必其他VLAN用户数据。，以的能。了剪换动剪的VLAN据。在一个域要在VTP服激活VTP剪。同一也激活剪图所激活VTP。图激活VTP剪裁功能2.2.4

在分布层交机DistributeSwitch1

上定义VLAN例，除征了个VLAN，如表。

VLAN

，定由于使用了有VLAN要在VTP，层机DistributeSwitch1上。如图所义个VLAN每个VLAN名。2.2.5

配置分布交换机DistributeSwitch1

的端基参数分层交机DistributeSwitch1的口FastEthernet0/1～为口FastEthernet0/23、0/24分下连到访问层交换机的端口0/23层机的端口0/23。此外，分布层交换机DistributeSwitch1还通过自己的千兆端口GigabitEthernet0/1上连到核心交换机CoreSwitch1的GigabitEthernet。为了实现冗余设计，分布层交换机DistributeSwitch1还通过千兆端GigabitEthernet0/2连接另一台到分布层交换机DistributeSwitch2的GigabitEthernet。如图所道骤。图定义VLAN图设置分布层交换机DistributeSwitch1的各端口参数2.2.6

配置分布交换机DistributeSwitch1

的3交功能机DistributeSwitch1个VLAN供能要能2-28所示。图启用路由功能每个VLAN图2-29所示。图定义各VLAN的默认网关地址此外，往的路。里了由命令，如2-30所示。中，跳址是接路由器的快速以太网接口0/0的IP。图定义到的缺省路由2.2.7

配置分布层换机DistributeSwitch2分层交换机DistributeSwitch2的端FastEthernet、0/24分连到问层换机的0/24以访问层交机端口FastEthernet0/24。此外，分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet3/2。

连交换机

的GigabitEthernet实计交换机DistributeSwitch2还己的千兆端口GigabitEthernet0/2连接到分布层交换机DistributeSwitch1的GigabitEthernet如图2-31示。图分布层交换机DistributeSwitch2对分布层交换层交换机

DistributeSwitch2

的命令和DistributeSwitch1

。里析。2.2.8

其它配置为别网（）以及全子网（Subnet-zero）的支持，充当3层交换机布层交DistributeSwitch1，进置如图2-32所示。图定义对无类别网络以及全零子网的支持2.3

核心层交换服务的实现－配置核心层交换机连进行网速数实例中的核心层交换机采用的CiscoCatalyst4006交换机，采用了Catalyst4500IIPlus机引行的是Cisco的IOS操其件是。的4006Catalyst4000Ethernet6-Ports供

交换机（GBIC），块了

5

兆口接入

（1000BASE-SXWavelengthGBIC交机

））。这里，以图中层

如图2-33示：图核心层交换机2.3.1

配置核心层换机CoreSwitch1

基本数对层机的基本参配步骤对访问层交换参数的置里给出实际的骤不给出图2-34。图配置核心层交换机的基本参数2.3.2

配置核心层换机CoreSwitch1

管理IP、默关如图示换机本征VLAN，默址。

理IP图核心层交换机的管理认网关2.3.3

配置核心层换机CoreSwitch1

的的VLAN及VTP换机CoreSwitch1

也将作为客。这里核心层交换机将通过获得在分布层交换机

VTPDistributeSwitch1

所有VLAN的。如图所机

成为VTP户机。图设置核心层交换机成为客户机2.3.4

配置核心层换机CoreSwitch1

端口数核心层交换机CoreSwitch1通过自己的端4/3同接模块Internet路由心机CoreSwitch1的端口GigabitEthernet～GigabitEthernet3/2分别下连到分布层交换机DistributeSwitch1和DistributeSwitch2端口GigabitEthernet0/1。如图所。图设置核心层交换机CoreSwitch1的各端口参数此外了提供主干道的吞量以及实现冗余设计本设计中，将心层交换机的千端口GigabitEthernet2/1、GigabitEthernet捆实现2000Mbps，然层换机CoreSwitch2。图所设换机CoreSwitch1的兆以太的骤。图设置核心层交换机CoreSwitch1的千兆以太网信道2.3.5

配置核心层换机CoreSwitch1

路由能层交换机

过端口

同广域接块（Internet）。，要心能。时义通往的由了由令，图示。，一是接太网口的址。2.3.6

图定义到的缺省路由如图所示。其它配置为对无（）及全零网（Subnet-zero）的支持，在当层交换的核交换，需应的配，图2-40所示。图定义对无类别网络以及全零子网的支持2.3.7

核心层交换机CoreSwitch2

的配置对于图2-1-中交换机CoreSwitch2步和对交换机似细，心层换机CoreSwitch2连接方及配置和命令同图2-1-核心交换机CoreSwitch1下连方配类也赘。3

广域网接入模块设计在本实例设计中，广域网接入模块的功能是由广域网接入路由器InternetRouter是的3640路由器。通自己的行接口使用DDN（）术接入。其在和网据包。除了成路外，利用制表ListACL域路由器InternetRouter还以用流过能图所。3.1

图广域网接入路由器InternetRouter配置接入路由器InternetRouter的基本参数对接入路由器InternetRouter的参的置骤与对访层换机的类似这里只的骤不给出如图3-2示。3.2

图配置接入路由器InternetRouter的基本参数配置接入路由器InternetRouter的各接口参数对接入路由器InternetRouter要是对接口

的各接口参数的配置主

口Serial0/0

的IP。图示由器InternetRouter子网掩。

设IP3.3

图设置接入路由器InternetRouter的各接口参数配置接入路由器InternetRouter的路由功能器InternetRouter上：校部路及到上路由。到的路需要定一条缺路由，图。其，下一从的接口serial0/0出。图定义到的缺省路由以路由成目。如图所。3.4

图定义到校园网内部的路由配置接入路由器InternetRouter上的前IP缺网作配一个有的站问的要，用NAT网）技术。入当地ISP申了9个IP。个址被给了接接外8个址：

用作。的骤：图显义NAT部口。图定义NAT内部、外部接口址范图显行局部地围。图定义工作站的内部局部IP地址范围图显。图为服务器定义静态地址转换图显。3.5

图为工作站定义复用地址转换配置接入路由器InternetRouter上的ACL路由器是外网进校园网内的第一道关卡，是网络防御的前沿阵地。路列表ListACL护内有效手段计问不仅起制作用，还软、硬件资的情下完成一般件防火产品的功能由路由介企业内网和外之间是网与网行通信时道障，所以即网装了防后仍然对器控进对企防。在本实例设计中将针对服器以及内网工作站的安全给出广域网接入路器InternetRouter上ACL的案。在网络环境中普存在着一非常重要的、影响服务器群安全的隐患。在多境它该外蔽的。以的计：。用这，程主机可以监视、制网络的其它网络设。它两类：和。如图所协议SNMP。图对外屏蔽简单网管协议首先，telnet可大设备和服务，并可以关全们。其是型。使用telnet登备时用户口在的，很上协备获。险的以。图对议telnet。图对外屏蔽远程登录协议telnet要有SUNOS端口2049远执行rsh、程登录（rlogin）远程命令（）口512、、514，远程过程调用SUNRPC）端口111可以，如图3-12所。图对外屏蔽其它不安全的协议或服务攻DoSofServiceAttack，拒）是一常见且破段，它可服、网设常服务进停，重时会导致服务器作系统崩溃。图3-13示了见DoS攻击的ACL。图针对攻击的设计网、器，护的不言而的。，必器限。应许自服务器群的地配置路由器时以

命行VTY访图示。3.6

图保护路由器自身安全其它配置为对无类别网络（）零子）的，由器InternetRouter适如图所。图定义对无类别网络以及全零子网的支持4

远程访问模块设计远程访问也是园网络必须供的服务之一。它可以为家庭办公用户和出。如图所示。图远程访问服务程访三种可选的服务类型：线连接、路交换和包交换。不同的提质同，花同。本设中由面对的用户群规模、业小，所采用了异拨号连术。步拨接属于电路交换类型广域网连接，它是在传统公共换话SwitchedTelephoneNetworkPSTN的统PSTN提供简电PlanSystem，目话境最足，步为为方便的问类。网型议，如HDLCPPP等。其，提功，可提可，压缩、绑等优势计采步议是。在本设计中采用了可以集成在广域网接入路由器InternetRotuer中步模（16PortAnalogModemNetwork提远程多供务。以一步模块步骤。4.1

配置物理线路的基本参数线度（DTEDCE、停位、流、允连议、允向图4-2所。4.2

图配置物理线路的基本参数配置接口基本参数口的包括：口类型、口异模式、址、配IP式，图4-3。，户从IP地池中得IP地。图配置接口基本参数，需个地的IP。如图4-4所，建了为的IP地。其IP地是～192.168.200.16。4.3

图指定IP地址池配置身份认证提了两种可选的身份认证方法：口验证协议PAP（PasswordAuthentication，PAP）和质询握手协议（ChallengeHandshakeAuthenticationCHAP。PAP是、实验。PAP认进双信建行如成功，在通不行认如证失释路。认比PAP认更安全，因为不上发文，列也称“字符”。同，进，括正程中。此非用截获了，此密将时效。系统要高，需要多进行身质询响。需要耗的CPU。PAP有和的弱链初贵宽。用法。1、本数据库如图。图建立本地口令数据库2、进行PAP证如图进证。5

图设置进行认证服务器模块设计服务器模块用来对园网接入用户提供各种务。在本设计实例中，所有的服务器被集中VLAN100构成器群并通过分布层交换机DistributeSwitch1网。图5-1。

的端口1～20图服务器群（包括：zzzzzzzzz

服供WEB。务。、。供服务。提据务。供享务。：通务。提媒体点务。校设合。如图器IP。图各服务器IP地址配置表2、的型。表服务器硬件平台、操作系统以及服务软件的选型表于篇，种服务器的安装、置步骤及运行维护方，这不。考书。6

系统测试6.1

系统测试前面几节对如何计一个较完整的校园网网络进行了详细的介绍。校园网初具规模后，应该校园网整细评。内括：zzzzzzzz

对管理IP地试对相同VLAN信进。对不同VLAN试。作测试。由上的。由上的ACL进试。进试。供行试。于具测试步骤，限于篇幅不再赘述。这里，只给出相关试诊。6.2

相关测试、诊断命令本文的最后，按同的功能每种技术分类，给出路由器或交换机上常用同，还每的。6.2.1

通用测试、命令标准命性。扩展通性。扩展命令灵活义参，如ping数，发包，的等。命令t