（中小型）校園網設計方案實例目錄.............1系統總體設計方案概述...........................................................................11.1 系統構成與拓撲構造..................................................................................21.2 VLAN及IP地址規劃...................................................................................32 互換模塊設計.......................................................................................42.1 訪問層互換服務的實現－配置訪問層互換機............................................52.1.1 配置訪問層互換機AccessSwitch1的基本參數.....................................52.1.2 配置訪問層互換機AccessSwitch1的管理IP、默認網關......................72.1.3 配置訪問層互換機AccessSwitch1的VLAN及VTP...............................82.1.4 配置訪問層互換機AccessSwitch1端口基本參數.................................92.1.5 配置訪問層互換機AccessSwitch1的訪問端口.....................................92.1.6 配置訪問層互換機AccessSwitch1的主干道端口...............................112.1.7 配置訪問層互換機AccessSwitch2......................................................112.1.8 訪問層互換機的其他可選配置...........................................................122.2 分布層互換服務的實現－配置分布層互換機..........................................132.2.1 配置分布層互換機DistributeSwitch1的基本參數..............................142.2.2 配置分布層互換機DistributeSwitch1的管理IP、默認網關................142.2.3 配置分布層互換機DistributeSwitch1的VTP......................................152.2.4 在分布層互換機DistributeSwitch1上定義VLAN...............................162.2.5 配置分布層互換機DistributeSwitch1的端口基本參數.......................172.2.6 配置分布層互換機DistributeSwitch1的3層互換功能.......................182.2.7 配置分布層互換機DistributeSwitch2..................................................192.2.8 其他配置............................................................................................202.3 關鍵層互換服務的實現－配置關鍵層互換機..........................................202.3.1 配置關鍵層互換機CoreSwitch1的基本參數......................................212.3.2 配置關鍵層互換機CoreSwitch1的管理IP、默認網關........................212.3.3 配置關鍵層互換機CoreSwitch1的的VLAN及VTP............................222.3.4 配置關鍵層互換機CoreSwitch1的端口參數......................................222.3.5 配置關鍵層互換機CoreSwitch1的路由功能......................................232.3.6 其他配置............................................................................................242.3.7 關鍵層互換機CoreSwitch2的配置.....................................................243 廣域網接入模塊設計..........................................................................243.1 配置接入路由器InternetRouter的基本參數...............................................253.2 配置接入路由器InternetRouter的各接口參數...........................................253.3 配置接入路由器InternetRouter的路由功能...............................................263.4 配置接入路由器InternetRouter上的NAT..................................................263.5 配置接入路由器InternetRouter上的ACL..................................................283.6 其他配置...................................................................................................314 遠程訪問模塊設計..............................................................................314.1 配置物理線路的基本參數........................................................................324.2 配置接口基本參數....................................................................................324.3 配置身份認證...........................................................................................335 服務器模塊設計.................................................................................346 系統測試...........................................................................................366.1 系統測試...................................................................................................366.2 有關測試、診斷命令................................................................................366.2.1 通用測試、診斷命令..........................................................................366.2.2 CDP測試、診斷命令..........................................................................396.2.3 路由和路由協議測試、診斷命令.......................................................416.2.4 VLAN、VTP測試、診斷命令............................................................416.2.5 生成樹測試、診斷命令......................................................................426.2.6 NAT測試、診斷命令..........................................................................436.2.7 ACL測試、診斷命令..........................................................................436.2.8遠程訪問測試、診斷命令..................................................................44總結......................................................................................................44附錄:資源..............................................................................................45（中小型）校園網設計方案實例本文以實例的形式對校園網絡的設計方案進行分析并給出校園網絡關鍵設備的配置環節、配置命令以及診斷命令和措施。通過本文，相信讀者可以系統地掌握中小型園區網的設計、實行以及維護措施及技巧。1 系統總體設計方案概述校園網絡（COMPUSNETWORK，下文中也稱為園區網絡）是非常經典的綜合網絡實例。為了闡明重要問題，在本設計方案中對實際校園網的設計進行了合適的和必要的簡化。同步，將重點放在網絡主干的設計上，對于服務器的架設只作簡單簡介，詳細內容參照有關參照書。如圖1-1所示，是該校園網網絡的總體拓撲構造圖。圖1-1 ××校園網網絡的總體拓撲構造在上面的拓撲圖中，學校的6個重要集中接入點（計算機系、管理系、建筑系、財務處、教務處、學生宿舍）通過冗余的光纖鏈路上連到信息中心的核心層互換機上。關鍵層互換機通過Cisco3640路由器接入因特網。此外，教工宿舍及移動辦公顧客通過撥號方式接入路由器3640來訪問校園網內網及因特網。圖中，以計算機系為例展示了每個建筑物內部的網絡設備拓撲構造，并給出了信息中心內部的網絡設備拓撲構造。在接下來的討論中，我們將展開并詳細討論每個模塊的設計內容。1.1系統構成與拓撲構造為了實現網絡設備的統一，本設計方案中完全采用同一廠家的網絡產品，即Cisco企業的網絡設備構建。全網使用同一廠商設備的重要好處在于可以實現多種不一樣網絡設備功能的互相配合和補充。本校園網設計方案重要由如下四大部分構成互換模塊廣域網接入模塊、遠程訪問模塊、服務器模塊。整個網絡系統的拓撲構造圖如圖1-2所示。圖1-2 校園網整體拓撲構造圖1.2 VLAN及IP地址規劃在一種大、中型網絡里，VLAN的劃分是必不可少的環節之一。在本校園網設計實例中，整個校園網中VLAN及IP編址方案如表1所示。表1 N及P除了表1中的內容外，撥號顧客從/27中動態獲得IP地址。為了簡化起見，除了管理VLAN外，這里只規劃了8個VLAN，同步為每個VLAN定義了一種由拼音縮寫構成的VLAN名稱。2 互換模塊設計一種好的校園網設計應當是一種分層的設計。一般分為三層設計模型。為了簡化互換網絡設計、提高互換網絡的可擴展性，在園區網內部數據互換模塊的布署是分層進行的。園區網數據互換設備可以劃分為三個層次：訪問層、分布層、關鍵層。老式意義上的數據互換發生在OSI模型的第2層。現代互換技術還實現了第3層互換和多層互換。高層互換技術的引入不僅提高了園區網數據互換的效率，更大大增強了園區網數據互換服務質量，滿足了不一樣類型網絡應用程序的需要。現代互換網絡還引入了虛擬局域網（VirtualLAN，VLAN）的概念。VLAN將廣播域限制在單個VLAN內部，減小了各VLAN間主機的廣播通信對其他VLAN的影響在VLAN間需要通信的時候可以運用VLAN間路由技術來實現。當網絡管理人員需要管理的交換機數量眾多時，可以使用VLAN中繼協議（VlanTrunkingProtocol，VTP）簡化管理，它只需在單獨一臺互換機上定義所有VLAN。然后通過VTP協議將VLAN定義傳播到本管理域中的所有互換機上。這樣，大大減輕了網絡管理人員的工作承擔和工作強度。當園區網絡的互換機數量增多、互換機間鏈路增長時，互換網絡的復雜性也許會導致互換環路問題這需要通過在各互換機上運行生成樹協（SpanningTreeProtocol，STP）來處理。2.1 訪問層互換服務的實現－配置訪問層互換機訪問層為所有的終端顧客提供一種接入點。這里的訪問層互換機采用的是CiscoCatalyst295024口互換機（WS-C2950-24）。該互換機擁有24個10/100Mbps自適應迅速以太網端口，運行的是Cisco的IOS操作系統。這里，以圖2-1中的訪問層互換機AccessSwitch1為例進行簡介。如圖2-1所示：圖2-1 訪問層互換機AccessSwitch12.1.1 配置訪問層交換機AccessSwitch1的基本1、設置互換機名稱設置互換機名稱，也就是出目前互換機CLI提醒符中的名字。一般以地理位置或行政劃分來為互換機命名當需要Telnet登錄到若干臺互換機以維護一個大型網絡時，通過互換機名稱提醒符提醒自己目前配置互換機的位置是很有必要的。如圖2-2所示，為訪問層互換機AccessSwitc1命名。圖2-2 為訪問層互換機AccessSwitch1命名2、設置互換機的加密使能口令當顧客在一般顧客模式而想要進入特權顧客模式時，需要提供此口令。此口令會以MD5的形式加密，因此，當顧客查看配置文獻時，無法看到明文形式的口令。如圖2-3所示，將互換機的加密使能口令設置為secretpaswd。圖2-3 為互換機設置加密使能口令3、設置登錄虛擬終端線時的口令對于一種已經運行著的互換網絡來說，互換機的帶內遠程管理為網絡管理人員提供了諸多的以便。不過，出于安全考慮，在可以遠程管理互換機之前網絡管理人員必須設置遠程登錄互換機的口令。如圖2-4所示，設置登錄互換機時需要驗證顧客身份，同步設置口令為youguess。圖2-4 為訪問層互換機AccessSwitch1命名4、設置終端線超時時間為了安全考慮，可以設置終端線超時時間。在設置的時間內，假如沒有檢測到鍵盤輸入，IOS將斷開顧客和互換機之間的連接。如圖2-5所示，設置登錄互換機的控制臺終端線路及虛擬終端線的超時時間為5分30秒鐘。圖2-5 設置控制臺終端線路和虛擬終端線路的超時時間5、設置禁用IP地址解析特性在互換機默認配置的狀況下，當輸入一條錯誤的互換機命令時，互換機會嘗試將其廣播給網絡上的DNS服務器并將其解析成對應的IP地址。運用命令noipdomain-lookup。可以禁用這個特性。如圖2-6所示，設置禁用IP地址解析特性。圖2-6 設置禁用IP地址解析特性6、設置啟用消息同步特性有時，顧客輸入的互換機配置命令會被互換機產生的消息打亂。可以使用命令loggingsynchronous設置互換機在下一行CLI提醒符后復制顧客的輸入。如圖2-7所示，設置啟用消息同步特性。圖2-7 設置啟用消息同步特性2.1.2 配置訪問層交換機AccessSwitch1的管理IP、默認訪問層互換機是OSI參照模型的第2層設備即數據鏈路層的設備因此，給訪問層互換機的每個端口設置IP地址是沒意義的不過為了使網絡管理人員可以從遠程登錄到訪問層互換機上進行管理，必須給訪問層互換機設置一個管理用IP地址。這種狀況下，實際上是將互換機當作和PC機同樣的主機。給互換機設置管理用IP地址只能在VLAN1，即本征VLAN中進行。按照表2-1，管理VLAN所在的子網是：/24，這里將訪問層互換機AccessSwitch1的管理IP地址設為：/24。如圖2-8所示，顯示了為訪問層互換機AccessSwitch1設置管理IP并激活本征VLAN。圖2-8 設置訪問層互換機AccesSwitch1的管理IP為了使網絡管理人員可以在不一樣的子網管理此互換機，還應設置默認網關地址54。如圖2-9所示。圖2-9 設置訪問層互換機AccesSwitch1的默認網關地址2.1.3配置訪問層交換機AccessSwitch1的VLAN及從提高效率的角度出發，在本校園網實現實例中使用了VTP技術。同步，將分布層互換機DistributeSwitch1設置成為VTP服務器其他互換機設置成為VTP客戶機。這里訪問層互換機AccessSwitch1將通過VTP獲得在分布層互換機DistributeSwitch1中定義的所有VLAN的信息。如圖2-10所示，設置訪問層互換機AccessSwitch1成為VTP客戶機。圖2-10 設置訪問層互換機AccesSwitch1成為VTP客戶機2.1.4 配置訪問層交換機AccessSwitch1端口基本參數1、端口雙工配置可以設定某端口根據對端設備雙工類型自動調整本端口雙工模式，也可以強制將端口雙工模式設為半雙工或全雙工模式。在理解對端設備類型的狀況下，提議手動設置端口雙工模式。如圖2-11所示，設置訪問層互換機AccessSwitch1的所有端口均工作在全雙工模式。圖2-1 設置訪問層互換機AccesSwitch1的端口工作模式2、端口速度可以設定某端口根據對端設備速度自動調整本端口速度，也可以強制將端口速度設為10Mpbs或100Mbps。在理解對端設備速度的狀況下，提議手動設置端口速度。如圖2-12所示，設置訪問層互換機AccessSwitch1的所有端口的速度均為100Mbps。圖2-12 設置訪問層互換機AccessSwitch1的端口速度2.1.5 配置訪問層交換機AccessSwitch1的訪問訪問層互換機AccessSwitch1為終端顧客提供接入服務。在圖2-1中，訪問層互換機AccessSwitch1為VLAN10、VLAN20提供接入服務。如圖2-13所示，設置訪問層互換機AccessSwitch1的端口1～端口10工作在訪問（接入）模式。同步，設置端口1～端口10為VLAN10的組員。圖2-13 設置訪問層互換機AccesSwitch1的端口1～102、設置訪問層互換機AccessSwitch1的端口11～20如圖2-14所示設置訪問層互換機AccessSwitch1的端口11～端口20工作在訪問（接入）模式。同步，設置端口1～端口10為VLAN20的組員。圖2-14 設置訪問層互換機AccesSwitch1的端口1～203、設置迅速端口默認狀況下，互換機在剛加電啟動時，每個端口都要經歷生成樹的四個階段：阻塞、偵聽、學習、轉發。在可以轉發顧客的數據包之前，某個端口也許最多要等50秒鐘的時（20秒的阻塞時間＋15秒的偵聽延遲時間＋15秒的學習延遲時間）。對于直接接入終端工作站的端口來說用于阻塞和偵聽的時間是不必要的。為了加速互換機端口狀態轉化時間，可以設置將某端口設置成為迅速端口（Portfast）。設置為迅速端口的端口當互換機啟動或端口有工作站接入時將會直接進入轉發狀態，而不會經歷阻塞、偵聽、學習狀態（假設橋接表已經建立）。如圖2-15所示，設置訪問層互換機AccessSwitch1的端口1～端口20為快速端口。圖2-15 設置迅速端口2.1.6 配置訪問層交換機AccessSwitch1的主干道端口如圖2-1所示，訪問層互換機AccessSwitch1通過端口FastEthernet0/23上連到分布層互換機DistributeSwitch1的端口FastEthernet0/23同步訪問層交換機AccessSwitch1還通過端口FastEthernet0/24上連到分布層互換機DistributeSwitch2的端口FastEthernet0/23。這兩條上連鏈路將成為主干道鏈路，在這兩條上連鏈路上將運送多種VLAN的數據。如圖2-16所示設置訪問層互換機AccessSwitch1的端口FastEthernet0/23、FastEthernet0/24為主干道端口。圖2-16 設置主干道端口2.1.7 配置訪問層交換訪問層互換機AccessSwitch2為VLAN30和VLAN40的顧客提供接入服務。同步分別通過自己的FastEthernet0/23FastEthernet0/24上連到分布層互換機DistributeSwitch1、DistributeSwitch2的端口FastEthernet0/24。如圖2-17所示，是訪問層互換機AccessSwitch2的連接示意圖。圖2-17 訪問層互換機AccessSwitch2的連接示意圖對訪問層互換機AccessSwitch2的配置環節、命令和對訪問層互換機AccessSwitch1的配置類似這里不再詳細分析只給出最終的配置文獻內容（只留下了必要的命令）。需要指出的是，為了提供主干道的吞吐量，可以采用鏈路捆綁（迅速以太網信道）技術增長可用帶寬。例如，可以將訪問層互換機AccessSwitch1的端口FastEthernet0/21和FastEthernet0/22捆綁在一起實現200Mbps的迅速以太網信道，然后再上連到分布層互換機DistributeSwitch1。同樣，也可以將訪問層互換機AccessSwitch1的端口FastEthernet0/23和FastEthernet0/24捆綁在一起實現200Mbps的快速以太網信道，然后再上連到分布層交換機DistributeSwitch2詳細的配置環節和命令將在關鍵層互換機的配置一節中進行簡介。2.1.8 訪問層交換機的其它可選1、Uplinkfast訪問層互換機AccessSwitch1通過兩條冗余上行鏈路分別接入分布層互換機DistributeSwitch1和DistributeSwitch2在生成樹的作用下其中一條上行鏈路處在轉發狀態，而另一條上行鏈路處在阻塞狀態。當處在轉發狀態的鏈路因故障斷開后，通過最多大概50秒鐘的時間，處在阻塞狀態的鏈路才能替代故障鏈路工作。Uplinkfast特性可以使得當主上行鏈路失敗后，處在阻塞狀態的上行鏈路（備份上行鏈路）可以立即啟用。如圖2-18所示，是在訪問層互換機AccessSwitch1上啟用Uplinkfast特性。同樣的環節也可以在訪問層互換機AccessSwitch2上進行配置。圖2-18 啟用Uplinkfast特性注意，Uplinkfast特性只能在訪問層互換機上啟用。2、BackbonefastBackbonefast的作用與Uplinkfast類似也用于加緊生成樹的收斂所不一樣的是，Backbonefast可以檢測到間接鏈路（非直連鏈路）故障并立雖然得對應阻塞端口的最大壽命計時器屆時，從而縮短該端口可以開始轉發數據包的時間。如圖2-19所示，是在訪問層互換機AccessSwitch1上啟用Backbonefast特性。同樣的環節需要在網絡中的所有互換機上進行配置。圖2-19 啟用Backbonefast特性注意，Backbonefast特性需要在網絡中所有互換機上進行配置。2.2 分布層互換服務的實現－配置分布層互換機分布層除了負責將訪問層互換機進行匯集外，還為整個互換網絡提供VLAN間的路由選擇功能。這里的分布層互換機采用的是CiscoCatalyst3550互換機作為3層互換機，CiscoCatalyst3550互換機擁有24個10/100Mbps自適應迅速以太網端口，同時尚有2個1000Mbps的GBIC端口供上連使用，運行的是Cisco的IntegratedIOS操作系統。這里，以圖2-1中的分布層互換機DistributeSwitch1為例進行簡介。如圖2-20所示：圖2-20 分布層互換機DistributeSwitch12.2.1 配置分布層交換機DistributeSwitch1的基本對分布層互換機DistributeSwitch1的基本參數的配置環節與對訪問層互換機AccessSwitch1的基本參數的配置類似。這里，只給出實際的配置環節，不再給出詳細解釋，如圖2-21所示。圖2-21 配置分布層互換機DistriuteSwitch1的基本參數2.2.2 配置分布層交換機DistributeSwitch1的管理IP、默認如圖2-22所示顯示了為分布層互換機DistributeSwitch1設置管理IP并激活本征VLAN。同步，還設置了默認網關的地址。圖2-22 分布層互換機DistributeSwitch1理IP、默認網關2.2.3 配置分布層交換機DistributeSwitch1當網絡中互換機數量諸多時，需要分別在每臺互換機上創立諸多反復的VLAN工作量很大過程很繁瑣并且輕易出錯在實際工作中常采用VLAN中繼協議（VlanTrunkingProtocol，VTP）來處理這個問題。VTP容許在一臺互換機上創立所有的VLAN。然后，運用互換機之間的互相學習功能將創立好的VLAN定義傳播到整個網絡中需要此VLAN定義的所有互換機上同步有關VLAN的刪除參數更改操作均可傳播到其他互換機。從而大大減輕了網絡管理人員配置互換機的承擔。在本校園網實現實例中使用了VTP技術。同步，將分布層互換機DistributeSwitch1設置成為VTP服務器，其他互換機設置成為VTP客戶機。1、配置VTP管理域共享相似VLAN定義數據庫的互換機構成一種VTP管理域。每一種VTP管理域均有一種共同的VTP管理域域名。不一樣VTP管理域的互換機之間不交換VTP通告信息。如圖2-23所示，將VTP管理域的域名定義為“chinaitlab”。圖2-23 設置VTP管理域的域名2、設置VTP服務器工作在VTP服務器模式下的互換機可以創立刪除VLAN修改VLAN參數。同步，尚有責任發送和轉發VLAN更新消息。如圖2-24所示，設置分布層互換機DistributeSwitch1成為VTP服務器。圖2-24 設置分布層互換機DistriuteSwitch1成為VTP服務器3、激活VTP剪裁功能默認狀況下主干道傳播所有VLAN的顧客數據。有時，互換網絡中某臺交換機的所有端口都屬于同一VLAN的組員沒有必要接受其他VLAN的顧客數據這時可以激活主干道上的VTP剪裁功能當激活了VTP剪裁功能后來，互換機將自動剪裁本互換機沒有定義的VLAN數據。在一種VTP域下，只需要在VTP服務器上激活VTP剪裁功能。同一VTP域下的所有其他互換機也將自動激活VTP剪裁功能。如圖2-25所示，設置激活VTP剪裁功能。圖2-25 激活VTP剪裁功能2.2.4 在分布層交換機DistributeSwitch1上定在本校園網實現實例中，除了默認的本征VLAN外，又額外定義了8個VLAN，如表2-1所示。由于使用了VTP技術，因此，所有VLAN的定義都只需要在VTP服務器，即分布層互換機DistributeSwitch1上進行。如圖2-26所示，定義了8個VLAN，同步為每個VLAN命名。2.2.5 配置分布層交換機DistributeSwitch1的端口基本分布層互換機DistributeSwitch1的端口FastEthernet0/1～FastEthernet0/10為服務器群提供接入服務，而端口FastEthernet0/23、FastEthernet0/24分別下連到訪問層互換機AccessSwitch1的端口FastEthernet0/23以及訪問層互換機AccessSwitch2的端口FastEthernet0/23。此外，分布層交換機 DistributeSwitch1 還通過自己的千兆端口GigabitEthernet0/1上連到關鍵互換機CoreSwitch1的GigabitEthernet3/1。為了實現冗余設計，分布層互換機DistributeSwitch1還通過自己的千兆端口GigabitEthernet0/2連接另一臺到分布層交換機DistributeSwitch2的GigabitEthernet0/2。如圖2-27所示，給出了對所有訪問端口、主干道端口的配置環節和命令。圖2-26 定義VLAN圖2-27 設置分布層互換機DistriuteSwitch1的各端口參數2.2.6 配置分布層交換機DistributeSwitch1的3層交換分布層互換機DistributeSwitch1需要為網絡中的各個VLAN提供路由功能。這需要首先啟用分布層互換機的路由功能。如圖2-28所示。圖2-28 啟用路由功能接下來，需要為每個VLAN定義自己的默認網關地址，如圖2-29所示。圖2-29 定義各VLAN的默認網關地址此外還需要定義通往Internet的路由這里使用了一條缺省路由命令如圖2-30所示。其中，下一跳地址是Internet接入路由器的迅速以太網接口FastEthernet0/0的IP地址。圖2-30 定義到Intert的缺省路由2.2.7 配置分布層交換分布層互換機DistributeSwitch2的端口FastEthernet0/23FastEthernet0/24分別下連到訪問層互換機AccessSwitch1的端口FastEthernet0/24以及訪問層交換機AccessSwitch2的端口FastEthernet0/24。此外，分布層交換機 DistributeSwitch2 還通過自己的千兆端口GigabitEthernet0/1上連到關鍵互換機CoreSwitch1的GigabitEthernet3/2。為了實現冗余設計，分布層互換機DistributeSwitch2還通過自己的千兆端口GigabitEthernet0/2連接到分布層互換機DistributeSwitch1的GigabitEthernet0/2。如圖2-31所示。圖2-31 分布層互換機DistributeSwitch2對分布層互換機DistributeSwitch2的配置環節、命令和對分布層互換機DistributeSwitch1的配置類似。這里，不再詳細分析。2.2.8 其它配置為了實現對無類別網絡（ClasslessNetwork）以及全零子網（Subnet-zero）的支持，在充當3層互換機的分布層互換機DistributeSwitch1上，還需要進行對應的配置，如圖2-32所示。圖2-32 定義對無類別網絡以及全零子網的支持2.3 關鍵層互換服務的實現－配置關鍵層互換機關鍵層將各分布層互換機互連起來進行穿越園區網骨干的高速數據互換。本實例中的關鍵層互換機采用的是CiscoCatalyst4006互換機，采用了Catalyst4500SupervisorIIPlu（WS-X4013+作為互換機引擎運行的是Cisco的IntegratedIOS操作系統，其鏡像文獻是CAT400.6-3-5.BI在作為關鍵層互換機的CiscoCatalyst4006互換機中安裝了WS-X4306-GB（Catalyst4000GigabitEthernetModule,6-Ports（GBIC））模塊，該模塊提供了5個千兆光纖上連接口，可以用來接入WS-G5484（1000BASE-SX ShortWavelength GBIC（Multimodeonly））。這里，以圖2-1中的關鍵層互換機CoreSwitch1為例進行簡介。如圖2-33所示：圖2-33 關鍵層互換機CoreSwitch12.3.1 配置核心層交換機CoreSwitch1的基本對關鍵層互換機CoreSwitch1的基本參數的配置環節與對訪問層互換機AccessSwitch1的基本參數的配置類似這里只給出實際的配置環節不再給出詳細解釋，如圖2-34所示。圖2-34 配置關鍵層互換機CoreSwitch1的基本參數2.3.2 配置核心層交換機CoreSwitch1的管理IP、默認如圖2-35所示顯示了為關鍵層互換機CoreSwitch1設置管理IP并激活本征VLAN。同步，還設置了默認網關的地址。圖2-35 關鍵層互換機CoreSwitch1的管理IP、默認網關2.3.3 配置核心層交換機CoreSwitch1的的VLAN在本實例中，關鍵層互換機CoreSwitch1也將作為VTP客戶機。這里核心層交換機 CoreSwitch1 將通過 VTP 獲得在分布層交換機DistributeSwitch1中定義的所有VLAN的信息。如圖2-36所示，設置關鍵層互換機CoreSwitch1成為VTP客戶機。圖2-36 設置關鍵層互換機CoreSwitch1為VTP客戶機2.3.4 配置核心層交換機CoreSwitch1的端口關鍵層互換機CoreSwitch1通過自己的端口FastEthernet4/3同廣域網接入模塊（Internet路由器）相連。同步，關鍵層互換機CoreSwitch1的端口GigabitEthernet3/1～GigabitEthernet3/2分別下連到分布層交換機DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet0/1。如圖2-37所示，給出了對上述端口的配置命令。圖2-37 設置關鍵層互換機CoreSwitch1的各端口參數此外，為了提供主干道的吞吐量以及實現冗余設計，在本設計中，將關鍵層互換機CoreSwitch1的千兆端口GigabitEthernet2/1GigabitEthernet2/2捆綁在一起實現Mbps的千兆以太網信道，然后再連接到另一臺關鍵層互換機CoreSwitch2。如圖2-38所示，是設置關鍵層互換機CoreSwitch1的千兆以太網信道的步驟。圖2-38 設置關鍵層互換機CoreSwitch1的千兆以太網信道2.3.5 配置核心層交換機CoreSwitch1的路由關鍵層互換機CoreSwitch1通過端口FastEthernet4/3同廣域網接入模塊（Internet路由器相連因此需要啟用關鍵層互換機的路由功能同步還需要定義通往Internet的路由這里使用了一條缺省路由命令如圖2-39所示。其中，下一跳地址是Internet接入路由器的迅速以太網接口FastEthernet0/0的IP地址。圖2-39 定義到Intert的缺省路由如圖所示。2.3.6 其它配置為了實現對無類別網絡（ClasslessNetwork）以及全零子網（Subnet-zero）的支持，在充當3層互換機的關鍵層互換機CoreSwitch1，也需要進行對應的配置，如圖2-40所示。圖2-40 定義對無類別網絡以及全零子網的支持2.3.7 核心層交換機CoreSwitch2的對于圖2-1-中的關鍵層互換機CoreSwitch2的配置環節命令和對關鍵層交換機CoreSwitch1的配置類似。這里，不再詳細分析。同步，對于配置關鍵層互換機CoreSwitch2下連的一系列互換機，其連接措施以及配置環節和命令同圖2-1-中關鍵層互換機CoreSwitch1下連的一系列互換機的連接措施以及配置環節和命令類似。這里也不再贅述。3 廣域網接入模塊設計在本實例設計中，廣域網接入模塊的功能是由廣域網接入路由器InternetRouter來完畢的。采用的是Cisco的3640路由器。它通過自己的串行接口serial0/0使用DDN（128K）技術接入Internet。其作用重要是在Internet和校園網內網間路由數據包。除了完畢重要的路由任務外，利用訪問控制列表（AccessControlListACL廣域網接入路由器InternetRouter還可以用來完成以自身為中心的流量控制和過濾功能并實現一定的安全功能如圖3-1所示。圖3-1 廣域網接入路由器IntertRouter3.1 配置接入路由器InternetRouter的基本參數對接入路由器InternetRouter的基本參數的配置環節與對訪問層互換機AccessSwitch1的基本參數的配置類似這里只給出實際的配置環節不再給出詳細的解釋，如圖3-2所示。圖3-2 配置接入路由器Interetouter的基本參數3.2 配置接入路由器InternetRouter的各接口參數對接入路由器 InternetRouter的各接口參數的配置主要是對接口FastEthernet0/0以及接口Serial0/0的IP地址、子網掩碼的配置。如圖3-3所示，顯示了為接入路由器InternetRouter的各接口設置IP地址、子網掩碼。圖3-3 設置接入路由器Interetouter的各接口參數3.3 配置接入路由器InternetRouter的路由功能在接入路由器InternetRouter上需要定義兩個方向上的路由到校園網內部的靜態路由以及到Internet上的缺省路由。到Internet上的路由需要定義一條缺省路由，如圖3-4所示。其中，下一跳指定從本路由器的接口serial0/0送出。圖3-4 定義到Intert的缺省路由到校園網內部的路由條目可以通過路由匯總后形成兩條路由條目如圖3-5所示。圖3-5 定義到校園網內部的路由3.4 配置接入路由器InternetRouter上的NAT由于目前IP地址資源非常稀缺，不也許給校園網內部的所有工作站都分派一種公有I（Internet可路由的地址為了處理所有工作站訪問Internet的需要，必須使用NAT（網絡地址轉換）技術。為了接入Internet，本校園網向當地ISP申請了9個IP地址。其中一種IP地址被分派給了Internet接入路由器的串行接口此外8個IP地址：～用作NAT。NAT的配置可以分為如下幾種環節：1、定義NAT內部、外部接口圖3-6顯示了怎樣定義NAT內部、外部接口。圖3-6 定義T內部、外部接口2、定義容許進行NAT的工作站的內部局部IP地址范圍圖3-7顯示了怎樣定義容許進行NAT的內部局部IP地址范圍。圖3-7 定義工作站的內部局部IP地址范圍3、為服務器定義靜態地址轉換圖3-8顯示了怎樣為服務器定義靜態地址轉換。圖3-8 為服務器定義靜態地址轉換4、為其他工作站定義復用地址轉換圖3-9顯示了怎樣為其他工作站定義復用地址轉換。圖3-9 為工作站定義復用地址轉換3.5 配置接入路由器InternetRouter上的ACL路由器是外網進入校園網內網的第一道關卡，是網絡防御的前沿陣地。路由器上的訪問控制列表（AccessControlList，ACL）是保護內網安全的有效手段。一種設計良好的訪問控制列表不僅可以起到控制網絡流量、流向的作用，還可以在不增長網絡系統軟、硬件投資的狀況下完畢一般軟、硬件防火墻產品的功能。由于路由器介于企業內網和外網之間，是外網與內網進行通信時的第一道屏障，因此雖然在網絡系統安裝了防火墻產品后，仍然有必要對路由器的訪問控制列表進行縝密的設計，來對企業內網包括防火墻自身實行保護。在本實例設計中，將針對服務器以及內網工作站的安全給出廣域網接入路由器InternetRouter上ACL的配置方案。在網絡環境中普遍存在著某些非常重要的、影響服務器群安全的隱患。在絕大多數網絡環境的實現中它們都是應當對外加以屏蔽的。重要應當做如下的ACL設計：1、對外屏蔽簡樸網管協議，即SNMP。運用這個協議，遠程主機可以監視、控制網絡上的其他網絡設備。它有兩種服務類型：SNMP和SNMPTRAP。如圖3-10所示，顯示了怎樣設置對外屏蔽簡樸網管協議SNMP。圖3-10 對外屏蔽簡樸網管協議SNMP2、對外屏蔽遠程登錄協議telnet首先telnet可以登錄到大多數網絡設備和UNIX服務器并可以使用有關命令完全操縱它們。另一方面，telnet是一種不安全的協議類型。顧客在使用telnet登錄網絡設備或服務器時所使用的顧客名和口令在網絡中是以明文傳播的，很輕易被網絡上的非法協議分析設備截獲這是極其危險的因此必須加以屏蔽。如圖3-11所示，顯示了怎樣對外屏蔽遠程登錄協議telnet。圖3-1 對外屏蔽遠程登錄協議tlnet3、對外屏蔽其他不安全的協議或服務這樣的協議重要有SUNOS的文獻共享協議端口2049，遠程執行（rsh）、遠程登錄（rlogin）和遠程命令（rcmd）端口512、513、514，遠程過程調用（SUNRPC）端口111。可以將針對以上協議綜合進行設計，如圖3-12所示。圖3-12 對外屏蔽其他不安全的協議或服務4、針對DoS襲擊的設計DoS襲擊（DenialofServiceAttack，拒絕服務襲擊）是一種非常常見并且極具破壞力的襲擊手段，它可以導致服務器、網絡設備的正常服務進程停止，嚴重時會導致服務器操作系統瓦解。圖3-13顯示了怎樣設計針對常見DoS攻擊的ACL。圖3-13 針對DoS襲擊的設計5、保護路由器自身安全作為內網外網間屏障的路由器保護自身安全的重要性也是不言而喻的。為了制止黑客入侵路由器，必須對路由器的訪問位置加以限制。應只容許來自服務器群的IP地址訪問并配置路由器。這時，可以使用ACCESS-CLASS命令進行VTY訪問控制。如圖3-14所示。圖3-14 保護路由器自身安全3.6 其他配置為了實現對無類別網絡（ClasslessNetwork）以及全零子網（Subnet-zero）的支持，在接入路由器InternetRouter上還需要進行合適的配置，如圖3-15所示。圖3-15 定義對無類別網絡以及全零子網的支持4 遠程訪問模塊設計遠程訪問也是園區網絡必須提供的服務之一。它可認為家庭辦公顧客和出差在外的員工提供遠程、移動接入服務。如圖4-1所示。圖4-1 遠程訪問服務遠程訪問有三種可選的服務類型：專線連接、電路互換和包互換。不一樣的廣域網連接類型提供的服務質量不一樣，花費也不相似。在本設計中，由于面對的顧客群規模、業務量較小，因此采用了異步撥號連接作為遠程訪問的技術手段。異步撥號連接屬于電路互換類型的廣域網連接，它是在老式公共互換電話網（PublicSwitchedTelephoneNetwork，PSTN）上提供服務的。老式PSTN提供的服務也被稱為簡易老式電話業務（PlanOldTelephoneSystem，POTS）。由于目前存在著大量安裝好的電話線所以這樣的環境是最輕易滿足的因此，異步撥號連接也就成為最為方便和普遍的遠程訪問類型。廣域網連接可以采用不一樣類型的封裝協議，如HDLC、PPP等。其中，PPP除了提供身份認證功能外，還可以提供其他諸多可選項配置，包括鏈路壓縮、多鏈路捆綁回叫等因此更具優勢本設計所采用的異步連接封裝協議是PPP。在本設計中采用了可以集成在廣域網接入路由器InternetRotuer中的異步Modem模塊NM-16AM（16PortAnalogModemNetworkModule）提供遠程訪問服務。它可以同步對最多16路撥號顧客提供遠程接入服務。如下簡介一下配置異步撥號模塊NM-16AM的環節。4.1 配置物理線路的基本參數對物理線路的配置包括配置線路速度（DTE、DCE之間的速率）、停止位位數、流控方式、容許呼入連接的協議類型、容許流量的方向等。如圖4-2所示。圖4-2 配置物理線路的基本參數4.2 配置接口基本參數對接口基本參數的配置包括接口封裝協議類型接口異步模式IP地址、為遠程客戶分派IP地址的方式等，如圖4-3所示。這里，設置遠程客戶從IP地址池rasclients中獲得IP地址。圖4-3 配置接口基本參數接下來，需要建立一種當地的IP地址池。如圖4-4所示，建立了一種名為rasclients的IP地址池。其IP地址范圍是：～6。圖4-4 指定IP地址池4.3 配置身份認證PPP提供了兩種可選的身份認證措施：口令驗證協議PAP（PasswordAuthenticationProtocol，PAP）和質詢握手協議（ChallengeHandshakeAuthenticationProtocol，CHAP）。PAP是一種簡樸的、實用的身份驗證協議。PAP認證進程只在雙方的通信鏈路建立初期進行。假如認證成功，在通信過程中不再進行認證。假如認證失敗，則直接釋放鏈路。CHAP認證比PAP認證更安全，由于CHAP不在線路上發送明文密碼，而是發送通過摘要算法加工過的隨機序列，也被稱為“挑戰字符串”。同時，身份認證可以隨時進行，包括在雙方正常通信過程中。因此，非法顧客就算截獲并成功破解了一次密碼，此密碼也將在一段時間內失效。CHAP對端系統規定很高，由于需要多次進行身份質詢、響應。這需要耗費較多的CPU資源，因此只用在對安全規定很高的場所。PAP雖然有著顧客名和密碼是明文發送的弱點，不過認證只在鏈路建立初期進行，因此節省了寶貴的鏈路帶寬。本設計中將采用PAP身份認證措施。1、建立當地口令數據庫如圖4-5所示建立當地口令數據庫。圖4-5 建立當地口令數據庫2、設置進行PAP認證如圖4-6所示設置進行PAP認證。圖4-6 設置進行P認證5 服務器模塊設計服務器模塊用來對校園網的接入顧客提供多種服務。在本設計實例中，所有的服務器被集中到VLAN100，構成服務器群并通過度布層互換機DistributeSwitch1的端口fastethernet1～20接入校園網。如圖5-1所示。圖5-1 服務器群校園網網絡提供的常用服務（服務器）包括：z WEB服務器：提供WEB網站服務。z DNS、目錄服務器：提供域名解析以及目錄服務。z FTP、文獻服務器：提供文獻傳播、共享服務。z 郵件服務器：提供郵件收發服務。z 數據庫服務器：提供多種數據庫服務。z 打印服務器：提供打印機共享服務。z 實時通信服務器：提供實時通信服務。z 流媒體服務器：提供多種流媒體播放、點播服務。z 網管服務器：對校園網網絡設備進行綜合管理。如圖5-2所示。顯示了各服務器IP地址配置狀況。圖5-2 各服務器IP地址配置表2給出了所有的服務器硬件平臺、操作系統以及服務軟件的選型表。表2 限于篇幅，對于多種服務器的安裝、配置環節以及運行維護措施，這里不再贅述。感愛好的讀者可以參看有關參照書。6 系統測試6.1 系統測試前面幾節對怎樣設計一種較為完整的校園網網絡進行了詳細的簡介。當校園網初具規模后，還應當對校園網的整體運行狀況做一下細致的測試和評估。重要的測試內容應當包括：z 對管理IP地址的測試。z 對相似VLAN內的通信進行測試。z 對不一樣VLAN內的通信進行測試。z 對冗余鏈路的工作狀態進行測試。z 對廣域網接入路由器上的NAT進行測試。z 對廣域網接入路由器上的ACL進行測試。z 對遠程訪問服務進行測試。z 對多種服務器提供的服務進行測試。至于詳細的測試環節，限于篇幅，不再贅述。這里，只給出有關測試、診斷命令。6.2 有關測試、診斷命令本文的最終，按不一樣的功能按每種技術分類，給出路由器或互換機上常用的有關測試、診斷命令。同步，還給出了每一命令的作用。6.2.1 通用測試、診斷1、pingx.x.x.x原則ping命令。用于測試設備間的物理連通性。2、ping擴展ping命令也用于測試設備間的物理連通性擴展ping命令還支持靈活定義ping參數，如ping數據包的大小，發送包的個數，等待響應數據包的超時時間等。3、traceroutex.x.x.x命令traceroute用于跟蹤、顯示路由信息。4、showrunning-config命令showrunning-config用于顯示路由器、互換機運行配置文獻的內容。5、showstartup-config命令showstartup-config用于顯示路由器、互換機啟動配置文獻的內容。6、showsessions命令showsessions用于顯示從目前設備發出的所有呼出Telnet會話。7、disconnect命令disconnect用于斷開與遠程目的主機的Telnet會話。8、showusers命令showusers用于查看呼入Telnet會話狀況。命令clearline用于斷開遠程主機的呼入Telnet連接。10、shutdown命令shutdown用于臨時將某個接口關閉。11、noshutdown命令noshutdown用于手動啟動（激活）處在管理性關閉的接口。12、showarp命令showarp用于顯示ARP緩存（ARP表）的內容。13、showiparp命令showiparp用于顯示IPARP緩存（ARP表）的內容。14、showinterfaces命令showinterface用于顯示各接口的狀態及參數信息。15、showipinterface命令showipinterface用于顯示IP接口的狀態及配置信息。命令showversion用于顯示路由器硬件配置、軟件版本等信息。17、Ctrl+Shift