河北科技師范學院系統集成課程設計論文 院（系、部）名 稱 ： 數信學院 專 業 名 稱： 網絡工程 學 生 姓 名： 學 生 學 號： 2011年 12 月 20日目 錄摘要- 1 -1需求分析- 1 -1.1學校概況- 1 -1.2網絡環境分析- 1 -1.2.1各校區分布- 1 -1.2.2秦皇島校區建筑物布局- 2 -1.2.3信息點的分布- 3 -1.3功能需求- 3 -1.4技術需求分析- 4 -1.4.1路由技術：- 4 -1.4.2交換技術：- 4 -1.4.3Vlan技術：- 4 -1.4.4防火墻技術與DMZ ：- 4 -1.4.5鏈路聚合（PortTrunking）技術：- 5 -2校園網總體設計- 5 -2.1主干網設計- 5 -2.2層次化網絡設計- 5 -2.3網絡冗余設計- 6 -2.4出口設計- 7 -2.5網絡拓撲設計圖- 7 -2.6設備選型- 8 -3校園網詳細設計及實現- 10 -3.1VLAN及IP地址規劃- 10 -3.2交換模塊設計- 11 -3.2.1接入層- 11 -3.2.2匯聚層- 13 -3.3核心模塊設計- 15 -3.3.1核心層- 15 -3.4廣域網接入模塊設計- 18 -3.5各校區核心路由設計與配置- 20 -3.5.1主校區核心配置- 20 -3.5.2昌黎校區核心配置- 20 -3.5.3開發區校區核心配置- 20 -3.5.4歐美校區核心配置- 21 -4模擬調試- 21 -4.1GNS3介紹- 21 -4.2模擬環境介紹- 21 -4.3配置實現- 22 -4.4驗證- 26 -5反思- 27 -參考文獻- 27 - 26 -河北科技師范學院系統集成課程設計論文秦皇島校區校園網設計摘要校園網是各種類型網絡中一大分支，有著非常廣泛的應用。作為新技術的發祥地，學校、尤其是高等學校和網絡的關系十分密切，網絡最初是在校園里進行實驗并獲得成功的，許多網絡新技術也是首先在校園網中獲得成功，進而才推向社會的。我國自1993年與Internet連通以來，已建成了四大主干信息網：中國公眾信息網ChinaNET，中國金橋網ChinaGBN，中國教育科研網CERNET和中科院網CASNET。全國各大中城市的網絡節點相繼開通。Internet的發展帶動了全世界的信息產業的發展，也為現代學校應用程序結構提供了一個新的計算模式，這種計算模式能真正適應學校發展的需要，使學校的計算機應用提高到一個新的水平。將Internet技術應用到學校內部，并建立基于這種開放技術的學校應用程序，使學校本身具有了Internet的特性，這種應用體系結構就是Intranet 學校內部網。Internet和Intranet代表著全新的信息時代的到來。Intranet使實現學校內部的信息化成為可能。學校工作人員和在校學生面對的信息資源已不僅僅來自于一個部門、一個學校或者是一個行業，而是所有Internet世界上的資源，使得學校教學、科研、管理和決策更為有效。本次設計就從學校的需求分析入手，以我校為例設計出一個本校區的校園網，并闡述了校園網的網絡拓撲、地址規劃、設備選型以及配置等。關鍵詞：網絡工程 校園網 網絡設計1 需求分析1.1 學校概況河北科技師范學院是一所具有碩士學位授予權的省屬本科院校。 現有秦皇島、昌黎、開發區、歐美學院四個校區，校園占地面積1800畝，建筑面積57萬平方米。 學校設有16個二級學院和3個教學系（部）。現秦皇島本部校區有數信學院、財經學院、工商管理學院、體育學院、理化學院、城市建設學院、繼續教育學院、思想政治理論教學部、網絡與教育技術中心。1.2 網絡環境分析1.2.1 各校區分布河北科技師范學院包括四個校區，其中昌黎校區位于昌黎縣，歐美學院及開發區校區離秦皇島主校區不遠，四個校區物理上隔離。為了最大程度上對學校各校區資源實現資源共享，結合考慮學校實際情況，建議各分校區與秦皇島主校區實現專線相連，同時昌黎校區和秦皇島校區分別接入互聯網和Cernet。本設計方案涉及四個校區的網絡整體規劃，其中以秦皇島校區為主，實現了秦皇島校區的具體實施方案，同時實現四個校區網絡互聯互通。四個校區網絡核心區域拓撲如下：圖 111.2.2 秦皇島校區建筑物布局經實地調查，現秦皇島校區有逸夫樓、老樓、B區、實驗樓、圖書館、校醫院、后勤、招待所共8處地方需要布設網絡。建筑物布局如下：圖 12建筑物布局（以網絡中心所在逸夫樓為軸）建筑物名稱位置距離逸夫樓學校中心0B樓靠近網絡中心200老樓位于逸夫樓南對面100圖書館位于逸夫樓東南方向150實驗樓位于逸夫樓東面50-100后勤位于學校澡房東側800校醫院位于一食堂東南側700招待所位于學校東門附近800表格 1-1網絡中心所在位置：按照實地分析，應該把網絡中心安置在逸夫樓大樓內。1.2.3 信息點的分布信息點的分布：目前建筑物布局中所列出的所有建筑均需信息點的分布，考慮未來可預測范圍內的網絡擴展，信息點的分布如下：名稱樓層信息點/樓層 (個)信息點總數（臺）所需CISCO WS-C2960-48TT-L數量逸夫樓1110+10+28+22+20+20+10+27+290+70507 11B樓54+6+3+1+1151老樓521+23+28+14+9952圖書館916+64+5+250+250+1+2+6265014實驗樓7319+310+317+30（辦公室信息點）97621后勤130301校醫院220201招待所7200200 5表格 1-21.3 功能需求通過實地調查分析，校園網絡應滿足如下功能需求：1、將全校所有計算機連接到網絡中，滿足計算機教學科研、行政辦公需要，具有完善的辦公事務處理能力。在網絡上傳輸多種應用信息，用于教學、教務管理、通知通告、對外網站等應用。2、網絡管理系統功能完善，操作簡便，能管理到桌面臺式機。網絡設立區域性安全防范措施，加載安全過濾。禁止如P2P等占用高帶寬的技術。3、結構合理，技術先進，確保3-5年內不會更新換代，所設計網絡應該具有高可靠性和可擴展性，具有一定的冗余，容錯能力強，確保信息處理安全保密。4、實現VLAN間的互通，方便不同行政部門或教學部門的互訪以及網絡管理。5、連接至Internet。1.4 技術需求分析1.4.1 路由技術：路由協議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網間路由數據包。路由器具有在網絡中傳遞數據時選擇最佳路徑的能力。除了可以完成主要的路由任務，利用訪問控制列表（Access Control List，ACL），路由器還可以用來完成以路由器為中心的流量控制和過濾功能。在本工程設計中，內網用戶不僅通過路由器接入因特網、內網用戶之間也通過3層交換機上的路由功能進行數據包交換。1.4.2 交換技術：現代交換技術還實現了第3層交換和多層交換。高層交換技術的引入不但提高了校園網數據交換的效率，更大大增強了校園網數據交換服務質量，滿足了不同類型網絡應用程序的需要。1.4.3 Vlan技術： 虛擬局域網（Virtual LAN，VLAN），VLAN將廣播域限制在單個VLAN內部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術來實現。當網絡管理人員需要管理的交換機數量眾多時，可以使用VLAN中繼協議（Vlan Trunking Protocol，VTP）簡化管理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網絡管理人員的工作負擔和工作強度。1.4.4 防火墻技術與DMZ ： 針對不同資源提供不同安全級別的保護, 還應構建一個“Demilitarized Zone”(DMZ)的區域，放置一些不含機密信息的公用服務器，比如Web、 Mail、FTP等。這樣來自外網的訪問者可以訪問DMZ中的服務，但不可能接觸到存放在內網中的公司機密或私人信息等。即使DMZ中服務器受到破壞，也不會對內網中的機密信息造成影響。圖 131.4.5 鏈路聚合（PortTrunking）技術：鏈路聚合（Port Trunking）技術，支持IEEE802.3協議，是一種用在交換機與交換機之間擴大通信吞吐量、提高可靠性的技術，也稱為骨干連接。當兩臺核心層交換機采用聚合鏈路Port Trunking技術后，該技術可以使交換機之間連接最多4條負載均衡的冗余連接。當某一臺核心交換機出現故障或核心交換機與接入層/匯聚層交換機的某一條互聯線路出現故障時，系統將通信業務快速自動切換到另一臺正常工作的核心層交換機上，以使整個網絡具備高容量、無阻塞、高可靠的能力。2 校園網總體設計2.1 主干網設計隨著校園網用戶數目與新的應用需求不斷增加，特別是網上多媒體及遠程教育應用的展開，對校園網主干帶寬提出了新的更高的要求，因此校園網的主干（即核心層交換機與匯聚層交換機之間或核心層交換機與服務器之間的連接）采用千兆以太網技術，在距離允許的范圍內，還應當盡量采用當前性價比最好的千兆銅纜以太網技術（ 1000Base-T ）。1000Mbps以太網交換技術為主干，可以做到1000Mbps全光纜到二級交換機，100Mbps到桌面。2.2 層次化網絡設計根據本校網絡的實際情況，網絡層次應包括核心層、匯聚層和接入層三個層次。接入層位于連接到網絡的最終用戶處，通常在用戶之間提供第2層連接性，該層的設備必須具備具備下述功能：低交換機端口成本；高端口密度；連接到高層的可擴展上行鏈路；用戶接入功能，如VLAN成員資格、數據流和協議過濾以及服務質量（QoS）。匯聚層將校園網的接入層和核心層連接起來，該層的設備必須具備下述的功能：聚集多臺接入層設備；較高的第3層分組處理吞吐量；使用訪問列表和分組過濾器提供安全和基于策略的連接；連接到核心層和接入層的高速連接具有可擴展性和彈性。校園網的核心層連接所有的匯聚層設備，該層必須能夠盡可能高效地交換數據流。該層應具有下述功能：第2層和第3層的吞吐量非常高；不執行高成本或不必要的分組處理（訪問列表、分組過濾）；支持高可用性的冗余和彈性；高級Qos功能。秦皇島校區網絡設計的層次如下圖所示：圖 212.3 網絡冗余設計 由于大學網絡規模巨大、涉及到的用戶很多，如果網絡特別是骨干網絡出現任何的問題將導致很大的不良影響，因此對網絡的可靠性和可用性要求很高。網絡的冗余設計除了選擇具有冗余設計的網絡設備外，網絡的冗余設計也十分重要，因此，分校區與主校區之間采用雙鏈路相連，秦皇島校區和昌黎校區核心層可采用兩臺核心交換機，匯聚層交換機分別用兩條線路接到這兩臺核心交換機上，即可實現線路的冗余。冗余設計如圖：圖 22圖 232.4 出口設計為了給校園網用戶提供一個快速穩定訪問外部網絡的通道，本方案設計采用雙出口設計，一條通過本地ISP接入Chinanet，另一條接入Cernet，以滿足學校辦公的需求。設計如圖所示：圖 242.5 網絡拓撲設計圖四個校區網絡拓撲：圖 25秦皇島校區網絡拓撲：圖 262.6 設備選型校園網絡主干為千兆網絡，百兆交換到桌面，保障所有用戶同時調用服務資源時都能快速、流暢，充分發揮多媒體課室教學的作用；同時保證所有用戶同時上網順暢，使校園網絡的功能發揮得淋漓盡致。為了實現網絡設備的統一，本設計方案中完全采用同一廠家的網絡產品，即Cisco公司的網絡設備構建。全網使用同一廠商設備的好處是可以實現各種不同網絡設備功能的互相配合和補充。下面就介紹本案例中的設備型號及具體參數、報價等信息：核心層設備：CISCO WS-C6509-NEB-A(CISCO WS-C6509-NEB-A)類別：交換機品牌：CISCO（思科）參考價格：￥5.87萬北京交換機類：企業級交換機應用層級：四層傳輸速率：10Mbps/100Mbps/1000M背板帶寬：720GbpsVLAN支持：支持網管功能：CiscoWorks2000, RMON包轉發率：387Mpps網絡標準：IEEE 802.3, IEEE 802端口結構：模塊化交換方式：存儲-轉發產品內存：512MB傳輸模式：支持全雙工QOS支持：支持網管支持：支持模塊化插：9電源電壓：DC, 6000; AC, 4000W產品尺寸：846437460匯聚層設備：CISCO WS-C3560G-24TS-S(CISCO WS-C3560G-24TS-S)類別：交換機品牌：CISCO（思科）參考價格：￥1.5萬北京交換機類：企業級交換機應用層級：三層接口介質：10/100/1000BASE-T/10傳輸速率：10Mbps/100Mbps/1000M端口數量：24背板帶寬：32GbpsVLAN支持：支持網管功能：網管功能 SNMP, CLI,包轉發率：38.7MppsMAC地址：12k網絡標準：IEEE 802.3、IEEE 802端口結構：非模塊化交換方式：存儲-轉發產品內存：128 MB DRAM和32 MB閃傳輸模式：支持全雙工配置形式：可堆疊QOS支持：支持網管支持：支持模塊化插：2電源電壓：100-240 VAC(自動適應 接入層設備：CISCO WS-C2960-48TT-L(CISCO WS-C2960-48TT-L)類別：交換機品牌：CISCO（思科）參考價格：￥7000北京交換機類：智能交換機應用層級：二層接口介質：10/100Base-T、10/100傳輸速率：10Mbps/100Mbps/1000M端口數量：48背板帶寬：6.8GbpsVLAN支持：支持網管功能：Web瀏覽器,SNMP,CLI包轉發率：10.1MppsMAC地址：8K網絡標準：IEEE 802.3、IEEE 802端口結構：非模塊化交換方式：存儲-轉發產品內存：64MB傳輸模式：全雙工/半雙工自適應QOS支持：支持3 校園網詳細設計及實現3.1 VLAN及IP地址規劃本工程采用/8的私有IP地址段，為校園網絡提供充裕的主機地址并采用基于端口的vlan劃分方法。單個vlan可以使用多個地址段。Vlan的劃分基于各部門職能或機房數量。其中秦皇島校區IP地址段為/16，昌黎校區IP地址段為/16，開發區校區IP地址段為/16，歐美學院IP地址段為/16，秦皇島校區IP地址與VLAN詳細劃分如下：VLAN號VLAN名稱IP網段默認網關說明/2454主校區管理vlan2duomeiti/24多媒體3erjixueyuanbangong/23 二級學院辦公4xingzhenbangong/23行政辦公5jiulou/23九樓機房16jiulou/24九樓機房27zhaodaisuo/24招待所8fuwuqiqun/24服務器9shiyan/23實驗樓機房五樓10shiyan/23實驗樓機房六樓211shiyan3/23實驗樓機房七樓12tushuguan/23圖書館電子閱覽室113tushuguan/23圖書館電子閱覽室214xiaoyiyuan/24校醫院15houqin/24后勤255Guanli/24管理vlan表格 3-13.2 交換模塊設計為了簡化交換網絡設計、提高交換網絡的可擴展性，在園區網內部數據交換的部署是分層進行的。園區網數據交換設備可劃分為三個層次：訪問層、分布層、核心層。 注：交換模塊設計以秦皇島校區為例做出實施方案，其他校區與此類似，不做冗述。3.2.1 接入層以duomeiti交換機配置為例：1配置訪問層交換機duomeiti的基本參數（1）設置交換機名稱如圖所示，為訪問層交換機duomeiti命名。圖 31（2）設置交換機的加密使能口令 當用戶在普通用戶模式而想要進入特權用戶模式時，需要提供此口令。此口令會以MD5的形式加密，因此，當用戶查看配置文件時，無法看到明文形式的口令。 如圖所示，將交換機的加密使能口令設置為wangbao圖 32（3）設置登錄虛擬終端線時的口令 如圖所示，設置登錄交換機時需要驗證用戶身份，同時設置口令為wangbao圖 33（4）設置終端線超時時間 為了安全考慮，可以設置終端線超時時間。在設置的時間內，如果沒有檢測到鍵盤輸入，IOS將斷開用戶和交換機之間的連接。 如圖所示，設置登錄交換機的控制臺終端線路及虛擬終端線的超時時間為5分10秒鐘。圖 34（5）設置禁用IP地址解析特性交換機默認配置的情況下，當我們輸入一條錯誤的交換機命令時，交換機會嘗試將其廣播給網絡上的DNS服務器并將其解析成對應的IP地址。利用命令no ip domain-lookup。可以禁用這個特性圖 352配置訪問層交換機duomeiti的管理IP、默認網關 訪問層交換機是OSI參考模型的第2層設備，即數據鏈路層的設備。因此，給訪問層交換機的每個端口設置IP地址是沒意義的。但是，為了使網絡管理人員可以從遠程登錄到訪問層交換機上進行管理，必要給訪問層交換機設置一個管理用IP地址。這種情況下，實際上是將交換機看成和PC機一樣的主機。給交換機設置管理用IP地址只能在VLAN1，即本征VLAN中進行。按照表4-1，管理VLAN所在的子網是：/24，這里將訪問層交換機duomeiti的管理IP地址設為：/24圖 36為了使網絡管理人員可以在不同的子網管理此交換機，還應設置默認網關地址54，如圖所示。圖 373配置訪問層交換機duomeiti的VLAN及VTP 從提高效率的角度出發，在本校園網實現實例中使用了VTP技術。同時，將分布層交換機設置成為VTP服務器，其他交換機設置成為VTP客戶機。這里訪問層交換機duomeiti將通過VTP獲得在分布層交換機中定義的所有VLAN的信息。圖 384配置訪問層交換機duomeiti端口基本參數（1）端口雙工和速度配置設置訪問層交換機duomeiti的所有端口均工作在全雙工模式。圖 395配置訪問層交換機duomeiti的訪問端口 訪問層交換機duomeiti為終端用戶提供接入服務。圖 310（2）設置快速端口默認情況下，交換機在剛加電啟動時，每個端口都要經歷生成樹的四個階段：阻塞、偵聽、學習、轉發。在能夠轉發用戶的數據包之前，某個端口可能最多要等50秒鐘的時間（20秒的阻塞時間15秒的偵聽延遲時間15秒的學習延遲時間）。對于直接接入終端工作站的端口來說，用于阻塞和偵聽的時間是不必要的。為了加速交換機端口狀態轉化時間，可以設置將某端口設置成為快速端口（Portfast）。設置為快速端口的端口當交換機啟動或端口有工作站接入時，將會直接進入轉發狀態，而不會經歷阻塞、偵聽、學習狀態（假設橋接表已經建立）。圖 3116配置訪問層交換機duomeiti的trunk端口 設置訪問層交換機duomeiti的端口FastEthernet 0/0為trunk端口。圖 3127配置其它訪問層交換機 其它訪問層交換機分別為剩余VLAN的用戶提供接入服務。同時，它們也通過自己的fa0/0連到分布層交換機的端口上。這些剩余的訪問層交換機其配置步驟、命令與訪問層交換機duomeiti的配置相似。這里就不再詳細分析了。3.2.2 匯聚層分布層除了負責將訪問層交換機進行匯集外，還為整個交換網絡提供VLAN間的路由選擇功能。1配置分布層交換機fenbu1的基本參數 對分布層交換機fenbu1的基本參數的配置步驟與對訪問層交換機duomeiti的基本參數的配置類似。這里，只給出實際的配置步驟，不再給出解釋。 圖 313配置分布層交換機fenbu1的管理IP、默認網關如圖所示，顯示了為分布層交換機fenbu1設置管理IP并激活本征VLAN。同時，還設置了默認網關的地址。圖 314圖 3152配置分布層交換機fenbu1的VTP 當網絡中交換機數量很多時，需要分別在每臺交換機上創建很多重復的VLAN。工作量很大、過程很繁瑣，并且容易出錯。因此我們常采用VLAN中繼協議（Vlan Trunking Protocol，VTP）來解決這個問題。VTP允許我們在一臺交換機上創建所有的VLAN。然后，利用交換機之間的互相學習功能，將創建好的VLAN定義傳播到整個網絡中需要此VLAN定義的所有交換機上。同時，有關VLAN的刪除、參數更改操作均可傳播到其他交換機。從而大大減輕了網絡管理人員配置交換機負擔。在本校園網實現實例中使用了VTP技術。同時，將分布層交換機fenbu1設置成為VTP服務器，其他交換機設置成為VTP客戶機。（1）配置VTP管理域 共享相同VLAN定義數據庫的交換機構成一個VTP管理域。每一個VTP管理域都有一個共同的VTP管理域域名。不同VTP管理域的交換機之間不交換VTP通告信息。將VTP管理域的域名定義為campus。圖 316（2）設置VTP服務器 工作在VTP服務器模式下的交換機可以創建、刪除VLAN、修改VLAN參數。同時，還有責任發送和轉發VLAN更新消息。如圖所示，設置分布層交換機fenbu1成為VTP服務器。 圖 317 4在分布層交換機fenbu1上定義VLAN 在本校園網實現實例中，除了默認的本地VLAN外，又定義了14個VLAN，如表4-1所示。由于使用了VTP技術，所以所有VLAN的定義只需要在VTP服務器，即分布層交換機fenbu1上進行。如圖所示，定義了3個VLAN，同時為每個VLAN命名。圖 3185配置分布層交換機fenbu1的端口基本參數 圖 3196配置其他分布層交換機對其他匯聚層交換機的配置步驟、命令和對匯聚層交換機fenbu1的配置類似。這里，不再詳細分析。3.3 核心模塊設計注：核心模塊設計以秦皇島校區為例做出實施方案，其他校區與此類似，不做冗述。3.3.1 核心層1配置核心層交換機core1的基本參數 對核心層交換機core1的基本參數的配置步驟與對訪問層交換機duomeiti的基本參數的配置類似。基本配置如下：圖 3202配置核心層交換機core1的管理IP、默認網關 如圖所示，顯示了為核心層交換機core1設置管理IP并激活本征VLAN。同時，還設置了默認網關的地址。圖 3213.配置核心層交換機core1的的VLAN及VTP在本實例中，核心層交換機core1也將作為VTP客戶機。這里核心層交換機core1將通過VTP獲得在分布層交換機fenbu1中定義的所有VLAN的信息。圖 3224配置核心層交換機core1的端口參數核心層交換機core1通過自己的端口f0/4同廣域網接入模塊（Internet路由器）相連。同時，核心層交換機core1的端口fa/0- 6分別連到分布層交換機fenbu1和fenbu2的端口。圖 3235.配置核心層交換機core1的路由功能 核心層交換機core1通過端口FastEthernet 0/4同廣域網接入模塊（Internet路由器）相連。因此，需要啟用核心層交換機的路由功能。同時，還需要定義通往Internet的路由。這里使用了一條缺省路由命令：圖 3246.配置以太信道.etherchannel特性在switch到switch、switch到router之間提供冗余的、高速的連接方式，簡單說就是將兩個設備間多條FE或GE物理鏈路捆在一起組成一條設備間邏輯鏈路，從而達到增加帶寬，提供冗余的目的。 圖 3257.配置GLBP：GLBP全稱Gateway Load Balancing Protocol(網關負載均衡協議)，是思科的專有協議。和HSRP、VRRP不同的是，GLBP不僅提供冗余網關，還在各網關之間提供負載均衡， 配置如下：圖 3263.4 廣域網接入模塊設計1配置接入路由器router的基本參數 對接入路由器router的基本參數的配置步驟與對訪問層交換機duomeiti的基本參數的配置類似。這里，如圖所示，只給出實際的配置步驟，不再給出解釋。圖 3272配置接入路由器router的各接口參數對接入路由器router的各接口參數的配置主要是對接口FastEthernet 0/0 - 1以及接口Serial 1/0 - 1的IP地址、子網掩碼的配置。 如圖所示，顯示了為接入路由器router的各接口設置IP地址、子網掩碼。圖 3283配置接入路由器router的路由功能 在接入路由器router上需要定義兩個方向上的路由：到校園網內部的靜態路由以及到Internet上的缺省路由。到Internet上的路由需要定義一條缺省路由，如圖所示。其中，下一跳指定從本路由器的接口serial 1/0送出。圖 3294配置接入路由器router上的NAT由于目前IP地址資源非常稀缺，對不可能給校園網內部的所有工作站都分配一個公有IP（Internet可路由的）地址。為了解決所有工作站訪問Internet的需要，必須使用NAT（網絡地址轉換）技術。為了接入Internet，假設本校園網向ISP申請了2個IP地址。(假設）IP地址為：00/24和00/24被分配給了Internet接入路由器的串行接口NAT的配置可以分為以下幾個步驟。（1) 定義NAT內部、外部接口 下圖顯示了如何定義NAT內部、外部接口。圖 330（2) 定義允許進行PAT的內部局部IP地址范圍 下圖顯示了如何定義允許進行NAT的內部局部IP地址范圍。圖 331（3） 定義本地外部地址池圖 332（4） 定義PAT地址轉換圖 3333.5 各校區核心路由設計與配置3.5.1 主校區核心配置core1(conifg)#interface vlan 255 core1(conifg-if)#ip add core1(conifg-if)#no shcore1(conifg-if)#exitcore1(conifg)#ip route core1(conifg)#ip route core1(conifg)#ip route 3.5.2 昌黎校區核心配置core3(conifg)#interface vlan 255 core3(conifg-if)#ip add core3(conifg-if)#no shcore3(conifg-if)#exitcore3(conifg)#ip route core3(conifg)#ip route core3(conifg)#ip route 3.5.3 開發區校區核心配置core5(conifg)#interface vlan 255 core5(conifg-if)#ip add core5(conifg-if)#no shcore5(conifg-if)#exitcore5(conifg)#ip route core5(conifg)#ip route core5(conifg)#ip route 3.5.4 歐美校區核心配置core6(conifg)#interface vlan 255 core6(conifg-if)#ip add core6(conifg-if)#no shcore6(conifg-if)#exitcore6(conifg)#ip route core6(conifg)#ip route core6(conifg)#ip route 4 模擬調試此模擬調試以秦皇島校區為例，主要測試該校區內網絡的互聯互通。4.1 GNS3介紹GNS3是一款優秀的具有圖形化界面可以運行在多平臺（包括Windows, Linux, and MacOS等）的網絡虛擬軟件。它通過調用Cisco真實的IOS完成實驗的模擬。4.2 模擬環境介紹由于交換機一般與硬件有關，模擬器只能模擬交換機基本的功能，因此在這里使用cisco 3640 的IOS搭建實驗環境。該版本IOS由于無法開啟第三層接口，故不做NAT的模擬。對應于所規劃的網絡拓撲，在此次模擬環境中對拓撲做出如下的簡化處理：圖 414.3 配置實現所有交換機上：enconf tno ip domain lookupline console 0logging synchronousexec-timeout 00exithostname RR7、R8、R14：enconf tinterface fa0/0speed 100duplex fullswitchport mode trunk no shendvlan databasevtp clientexitR7：conf tinterface fa0/1speed 100duplex fullswitchport mode accessswitchport access vlan 2exitR8上：conf tinterface fa0/1speed 100duplex fullswitchport mode accessswitchport access vlan 9exitR14上：conf tinterface fa0/1speed 100duplex fullswitchport mode accessswitchport access vlan 3exitR4、R5上：enconf tinterface range fa0/0 - 3speed 100duplex fullswitchport mode trunk no shR4上：endvlan databasevtp servervtp domain campusvlan 2 name duomeitivlan 3 name erjixueyuanbangongvlan 9 name shiyan1exitR5上：endvlan databasevtp clientexitR1、R2上：enconf tinterface range f0/0 - 6speed 100duplex fullswitchport mode trunkno shexitinterface range fa0/0 , fa0/6channel-group 1 mode onexitR1上：interface vlan 2ip add glbp 1 priority 200glbp 1 ip exitinterface vlan 3ip add glbp 1 priority 200glbp 1 ip exitinterface vlan 9ip ad