校园局域网规划设计_毕业设计.doc

目录摘 要1前 言2第1章 绪论31.1 校园局域网概述31.2 组建校园局域网的必要性3第2章 需求分析52.1需求概况52.2 层次化需求分析5第3章 校园网整体设计63.1 设备清单63.2 拓扑结构63.3 Vlan及IP地址规划8第4章 结构化综合布线系统设计94.1 结构化综合布线系统综述94.2结构化布线系统子系统划分94.3 综合布线的建设规范：104.4 布线系统设计原则114.5 布线系统的详细设计124.6 注意事项17第5章 交换机配置185.1 访问层交换服务的实现配置访问层交换机185.2 分布层交换机服务的实现配置分布层交换机225.3 核心交换机服务的实现配置核心层交换机25第6章 路由器配置286.1 配置接入路由器router基本参数286.2 配置router的路由功能286.3 对外屏蔽SNMP286.4 对外屏蔽远程登录协议telnet286.5 对外屏蔽其它不安全的协议或服务296.6 保护路由器自身安全29第7章 系统测试307.1 测试内容307.2 相关测试及诊断命令30结束语32致 谢33参考文献34校园局域网络的规划设计摘 要随着Internet技术的发展，网络技术已经广泛地运用到各个技术领域和整个社会的各个方面。校园网是学校重要的教学设施和对外宣传的窗口，是实现学校教学手段现代化、教学管理科学化、公共服务信息化的重要前提和基础，是学校提高师生素质，实现素质教育的重要手段.加强校园网络建设是高校面向二十一世纪现代化建设的迫切需要。许多学校都已建成或正在建设自己的校园网络。本设计以无锡科技职业学院（以下简称科院）的校园格局及信息化应用为参考，阐述了中小型规模局域网过程, 从局域网介质访问方式与网络拓扑结构设计、内部连接与外网连接设计角度，着重介绍企业局域网的组建过程的分析设计、规划、布线、硬件的配置、子网划分与子网掩码设置等问题。就校园网络的总体规划进行了可行性的论证，并可作为其他校园网络建设的一个方案。关键词：校园局域网网，信息系统，结构化布线，信息化前 言网络规划是为将要建立实施的网络系统提出一整套完整的设计方案，满足用户提出的建网目的。在进行网络规划时，应首先建立“系统”概念。建设网络系统需要专门的设计人员，按照系统工程的方法进行统一规划设计。在规划时，对建立一个什么形式，多大规模，具有哪些功能的网络等问题作出全面科学的论证，并对建网所需的人力、物力、财力投入等做出总体的规划。从局域网介质访问方式与网络拓扑结构设计、内部连接与外网连接设计角度，着重介绍企业局域网的组建过程的分析设计、规划、布线、硬件的配置、子网划分与子网掩码设置等问题。校园网是学校重要的教学设施和对外宣传的窗口，是实现学校教学手段现代化、教学管理科学化、公共服务信息化的重要前提和基础，是学校提高师生素质，实现素质教育的重要手段.加强校园网络建设是高校面向二十一世纪现代化建设的迫切需要。第1章 绪论1.1 校园局域网概述校园网建设是每个学校的重要部分，而且对每个学校都不是一件容易的事情，都要经过周密的论证、谨慎的决策和紧张的施工。作为校园网，需要连接多少个节点，怎样利用网络设备使得分布在不同地理位置的节点连接到一个统一的网络中来，怎样使得整个网络中的节点相互连通，这些问题仅仅是校园网需要解决问题中的一部分。从某种意义上讲，校园网的建设绝不仅仅只是涉及到技术问题，而是会引深到更深的层次，也就是说信息技术所带来的一场革命会彻底改变我们的生活方式和工作方式。所以校园网建设的原则应该是：先进性，先进的设计思想、网络结构、开发工具，采用市场覆盖率高、标准化和技术成熟的软硬件产品；实用性，建网时应考虑利用和保护现有的资源、充分发挥设备效益；开放性，系统设计应采用开放技术、开放结构、开放系统组建和开放用户接口，以利于网络的维护、扩展升级及与外界信息的沟通；灵活性，采用积木式模块组合和结构化设计，使系统配置灵活，满足学校逐步到位的建网原则，使网络具有强大的可增长性；可靠性，具有容错功能，管理、维护方便。对网络的设计、选型、安装、调试等各环节进行统一规划和分析，确保系统运行可靠，经济性，投资合理，有良好的性能价格比。1.2 组建校园局域网的必要性在当今社会里，也许没有哪一种技术能象Internet这样对我们的工作方式、生活方式和学习方式带来如此迅猛而强烈的影响。作为生产知识和人才产品的“工厂”，学校更加直接地受到了Internet的冲击。知识和人才是教育的最终产品，其原材料则是信息。我们不难理解，“信息原材料”的获取将直接影响“最终产品”的质量。在Internet时代，学校的教学将发生根本性的变革，这些变革体现在：1、教育向社会延伸：Internet将是一个“推倒围墙”的时代，学校办学将不再是招生入学、课堂授课的传统模式，网上教育将教室延伸到各种公共场所、企事业单位和家庭，求学者足不出户即可选择感兴趣的学校和专业学习。2、专业化：在网络环境里，教学面临的竞争是全球性的，学生选择课程的目的性更加明确，动因将来自于课程应用的针对性、教学内容的新颖性、教学手段的先进性、教学形式的灵活性。3、时空的非限制性：学生学习将不再象传统教学那样受到教学时间和教学地点的制约，他可以在教师讲课时到课堂上实时听讲，也可以在授课后的任何时间从网上下载课程内容。4、 信息共享：学生的学习、生活将不再如此闭塞，大量有价值的资料和信息可以及时的在全校范围内共享。第2章 需求分析2.1需求概况科院校园网应是一个以宽带IP网为目标的高速交换网络。根据各院系及宿舍、超市等分布情况，为提高网络可靠性及安全性，需要在主干网采用光纤布线。校园网应实现虚拟局域网（VLAN）的功能，以保证全网的良好性能及网络安全性。主干网交换机应具有很高的包交换速度，整个网络应具有高速的三层交换功能。主干网络应该采用成熟的、可靠的千兆位以太网技术作为校园网主干。由于网络的复杂性，为了方便管理，校园网应选用先进的网管软件，建立完善的网络管理体系。网络还应具有良好的扩展性。2.2 层次化需求分析根据校园网的实际需求和投资，做出合理的需求分析如下：1、 核心交换设备要求具有强大的处理能力和良好的安全、可靠性、可扩展性；支持各种成熟技术，未来能平滑升级到万兆。2、分布层交换设备要具备如包过滤策略等复杂的网络计算功能，具有高速的背板速率和第三层转发功能。3、接入层网络设备需要支持基于MAC地址802.1X功能和基于端口802.1X功能，以此保证账号的唯一性；同时，支持mib-II、远程telnet管理。4、整个网络采用基于端口的vlan划分，采用前端后端防火墙安全策略，在前后端防火墙中间部分为DMZ区域，用来放置对外发布的服务器。5、支持标准Radius认证计费，可连接多种接入设备。一方面要求设备支持802.1x认证方式；另一方面又要求系统支持基于时长、流量以及包月的计费模式；从而为学生上网提供完善、灵活、可定制的计费策略。第3章 校园网整体设计3.1 设备清单服务器：IBM System x3650 2台 戴尔PowerEdge R710 8台 磁盘阵列柜：Thecus N4200 2台路由器：CISCO 1841 1台防火墙：CISCO ASA5520-BUN-K9 1台交换机：CISCO WS-C4506-S2+96 2台CISCO WS-C3750G-24TS-S 9台CISCO WS-C2960-24TT-L 150台3.2 拓扑结构本网络采用双星容错结构，主干线路包括核心交换机之间，核心交换机到分布层交换机之间采用光纤布线。核心层设备放在网络中心的机房，分布层设备放置在各学院、各机构的机房。财务系统由于安全级别较高，采用与局域网物理隔离的方式构建独立网络。为了简化设计方案，省略了接入层之后的内容，并且也简化了接入层自身的内容。本方案的整体拓扑详见图3.1图3.1科院校园局域网拓扑图3.3 Vlan及IP地址规划该校园网分为11个子网和一个DMZ区域。其中网络中心、行政楼、图书馆、管理学院、尚德学院、博世学院、外语学院、软服学院使用的是C类地址，对于软服学院，由于计算机数量庞大，实验室使用的计算机并不直接接入校园网，如果需要接入，可以另外的两个子网的ip地址。由于宿舍区计算机数量较多，虽然无需严格的安全隔离，但为了防止广播风暴，现把宿舍区每一栋楼划分为一个子网，并且使用B类地址，如表2.3。组织名Vlan ID地址段网络中心10192.168.1.1192.168.1.254行政楼20192.168.2.1192.168.2.254图书馆30192.168.3.1192.168.3.254管理学院40192.168.4.1192.168.4.254尚德学院50192.168.5.1192.168.5.254博世学院60192.168.6.1192.168.6.254外语学院70192.168.7.1192.168.7.254软服学院80、90、100192.168.8.1192.168.10.254宿舍区1-8栋101-108172.16.1.1172.16.8.254宿舍区9-13栋108-113172.16.9.1172.16.13.254其它网络200192.168.200.1192.168.200.254DMZ区域192.168.18.1192.168.18.254表3.2 Vlan及IP地址规划第4章 结构化综合布线系统设计4.1 结构化综合布线系统综述现代高校的信息传输通道系统（布线系统）已不仅仅要求能支持一般的语音传输，还应能够支持多种计算机网络协议及多种厂商设备的信息互连，可适应各种灵活的、容错的组网方案；同时由于新技术、新产品不断出现，传输线路要能够在若干年里适应发展的需要。因此建立一套能够全面支持各种系统应用如通信网络中心、数据处理中心，本身又具有开放、兼容、可靠性高、实用性强、易于管理、具有先进性、面向未来的综合布线系统，对于现代化建筑是必不可少的。结构化综合布线系统是在传统布线方法上的一次重大革新，其线缆的传输能力百倍于旧的传输线缆，接口模式已成为国际通用的标准，并把旧的各种标准兼容在内。因此用户无需担心目前和日后的系统应用和升级能力。它采取了模块化结构，配置灵活，设备搬迁、扩容都非常方便，从根本上改变了以往建筑物布线的死板、混乱、复杂的状况。在电话、数据、图像通信系统，计算机网络系统等智能子系统中，结构化布线系统是作为传输的基础媒介，通过综合布线系统管理子系统完成对各个应用系统的连接和组网，进行系统的调整和分配。4.2结构化布线系统子系统划分1、 工作区子系统（Work Location） 它是由终端设备连接到信息插座之间的设备组成，包括信息插座、插座盒（或面板）、连接软线、适配器等。2、 水平子系统（Horizontal） 它的功能是将干线子系统线路延伸到用户工作区。水平系统是布置在同一楼层上的，一端接在信息插座上，另一端接在层配间的跳线架上。水平子系统主要采用4对非屏蔽双绞线，它能支持大多数现代通信设备，在某些要求宽带传输时，可采用光纤到桌面的方案。当水平区面积相当大时，在这个区间内可能有一个或多个卫星接线间，水平线除了要端接到设备间之外，还要通过卫星接线间，把终端接到信息出口处。3、垂直子系统（Backbone） 通常它是由主设备间（如计算机房、程控交换机房）至各层管理间。它采用大对数的电缆馈线或光缆，两端分别接在设备间和管理间的跳线架上。4、设备间子系统（Equipment） 它是由设备间的电缆、连续跳线架及相关支撑硬件、防雷电保护装置等构成。比较理想的设置是把计算机房、交换机房等设备间设计在同一楼层中，这样既便于管理、又节省投资。当然也可根据建筑物的具体情况设计多个设备间。5、管理子系统（Administration） 它是干线子系统和水平子系统的桥梁，同时又可为同层组网提供条件。其中包括双绞线跳线架、跳线（有快接式跳线和简易跳线之分）。在需要有光纤的布线系统中，还应有光纤跳线架和光纤跳线。当终端设备位置或局域网的结构变化时，只要改变跳线方式即可解决，而不需要重新布线。6、建筑群子系统（Campus） 它是将多个建筑物的数据通信信号连接一体的布线系统。它采用可架空安装或沿地下电缆管道（或直埋）敷设的铜缆和光缆，以及防止电缆的浪涌电压进入建筑的电气保护装置。备注：2007年10月1日，GB50311-2007综合布线系统工程设计规范正式实施。标准规定了综合布线系统由原来的6大子系统完善为7大子系统。增加了进线间子系统（又名出入口子系统）。4.3 综合布线的建设规范：电子计算机机房设计规范（GB5017493）电子计算机机房施工及验收规范（SJ/T3000393）电子计算机场地通用规范（GB/T 2887-2000）计算站场地安全要求（GB936188）计算机机房活动地板技术条件（GB665086）计算机机房用抗静电活动地板技术条件（SJ/10796-1996）建筑内部装修设计防火规范（GB50222-95）室内装饰工程质量规范（QB 1838-93）低压配电设计规范（GB 59954-95）供配电系统设计规范（GB 50052-95）线序T568A：白绿、绿、白橙、蓝、白蓝、橙、白棕、棕T568B：白橙、橙、白绿、蓝、白蓝、绿、白棕、棕4.4 布线系统设计原则4.4.1 未来的投资保护在正常使用条件下，新型网络不应该在15年建筑物整修周期内限制系统的升级。经过精心设计的布线系统可以承受超过大多数局域网传输速率1015倍的数据流量。这将允许在不改变布线系统的情况下使用新型网络技术。4.4.2 通用布线系统通用布线系统的主要优点是用户可以利用它将不同厂商的设备接入网络。同时，它也允许用户在同一个布线网络上运行几个独立的系统。比方说用户可以在一个布线系统上建立电话、计算机和环境控制等系统。4.4.3 布线的结构通用布线和海量布线是结构化布线的核心内容，朗讯科技（前身为AT&T）和它的SYSTIMAXSCS解决方案是这方面的先驱。它使用一种开放式结构平台，支持所有的主要专用网络和非专用网络的标准和协议。SYSTIMAXSCS使用UTP电缆和光缆作为传输媒介，采用星形拓扑结构，使用标准插座进行端接。SYSTIMAXSCS使用的电缆类型简单，组成的网络模块化，在不影响用户使用的情况下可以很容易地对网络进行扩展或改变。4.4.4 避免干扰每种有源电子和电气设备都可能产生电磁干扰来破坏网络通信。随着电子设备使用的增加，这个问题也变得越来越突出。在选择电缆和电缆布线的考虑中，如何防止EMI干扰以保护通信也是一个非常关键的问题。4.5 布线系统的详细设计科院校园网为园区网，楼群间子系统采用光缆连接，可提供千兆位的带宽，有充分的扩展余地。垂直子系统则位于高层建筑物的竖井内，可采用多模光缆或大对数双绞线。把管理区子系统并入设备间子系统，集中管理。其它子系统以超5类双绞线为主要传输介质，提供高速、灵活的网络传输系统。对于多幢楼宇，可采用多设备间的方法。分为中心设备间和楼栋设备间部分，中心设备间是整个局域网的控制中心，内设有对外（Internet）对内通信的各种网络设备（交换机、路由器、防火墙、服务器等），中心交换机通过光缆与楼栋设备间的交换设备相连，以保证数据的高速传输。在此设备间放置布线的线架和网络设备，端接楼内来自在各层的主干线缆，并端接连接网络中心的光纤。此布线方案只考虑数据信息点布线，不涉及语音信息点及其设备。4.5.1 布线系统的重要性布线是任何网络系统的关键部件之一，因此必须准备将网络总投资的10%用于这一领域。对高质量的布线和网络设计方面的投资绝对是物有所值。4.5.2 电缆的选择连接在网络中设备类型以及电缆上所承载的通信负载是选择电缆的关键因素。大多数电缆厂商为它们的产品规定了15年的保质期。在这段时间内，变化是不可避免的，同时也是无法准确预测的。惟一的解决方法是设计网络时为满足网络变化和增长的要求而进行相应的规划。本方案考虑到科院网络应用的实际情况，楼宇之间为局域网的主干道，并且都超过100米的距离，因此主要选择多模光纤作为传输介质，对于宿舍区、超市等距离超过5000米的建筑物则选择单模光纤。建筑物内部不同楼层之间数据传输量不是很大，选择大对数双绞线就可以满足需求，并为将来系统扩展提供空间。水平子系统和工作区子系统均采用非屏蔽超五类双绞线。4.5.3 电缆走线电缆厂商给出电缆最小弯曲半径和最大拉力等指标，他们还就诸如热源、EMI干扰源等方面的问题给出相关的参考建议。可以和其他哪些网络共用管线，特别是在有电力电缆分布的地方，EMI问题应特别加以注意。对于电磁影响较大但又无法避开的线段可采用钢管走线方式。对于室外线缆主要采用地下水泥通道走线，对于楼宇内部的布线系统应该随着大楼建设一起施工。能对线缆隐蔽的尽量隐蔽，垂直子系统走楼宇内部垂直井，水平方向走天花板或地板。对于旧楼无法隐蔽的可以走明线槽。4.5.4 走线图在布线系统进行安装以前必须准备一份完整的电缆走线图。它对安装人员有很大的帮助，同时对于今后网络的维护、扩展和故障查找也有很大的参考价值。以下为各部分详细走线图：室外走线图（详见4.1），软服学院建筑物内走线图（详见图4.2），其它大楼与软服学院类似，在此不再一一详述。图4.1室外走线图图4.2软服学院建筑物内走线图对应信息点的分布和数量根据学校要求而定。垂直干线采用大对数双绞线。由于一楼地板下比较潮湿，积水的可能性大，因此采用天花板走线方式，其它楼层则采用地板走线方式以减小工作难度和工作量。4.5.5 缆标识无论对系统的安装过程还是今后的维护，合理的电缆标识将使工作变的更加简单清晰。这里按照统一标识格式：房间号-接口号比如软服学院L225第一个信息口：rfxy-L225-14.5.6 安装和接入网络的设计应遵循易于安装和访问的原则，并应考虑给予电缆足够的支撑和保护。厂商的应用指南应设计为保证它的产品可以满足这些要求，他们还应考虑到与电缆管线的相关的国家和国际标准的要求，现场安装人员也有责任来确保满足建筑物的代码要求和标准的规定。可供选择的电缆支撑和保护方法包括：地下管线；活动地板；电缆管道；托盘和线槽；天花板布线；边界通道。根据本方案的实际情况，主要采用地下管线、活动地板、天花板布线，垂直子系统和机房需要安装线槽。4.5.7 管道和天花板布线管道和天花板布线通常应根据通用标准的要求来实施。例如，在EIA/TIA569中，规定了管道的最大长度为30m，并且在电缆拖拉点的90弯曲数量应小于两个。管道内部弯曲半径必须是管道直径的6倍，对于直径大于50mm的管线，弯曲半径应至少为其直径的10倍。4.5.8 线路通道在进行电缆安装时使用合适的设备和程序可以减少电缆上的张力和避免电缆损坏。在系统安装时，应遵循线路通道和管道生产厂商指南中给出的编码要求的电缆管道填充方式。4.5.9 电缆支撑天花板布线、管道、托盘和其他管道硬件必须在吊顶的天花板上方使用。另外，电缆在不超过1.5m高的空间内，可以使用J型钩、环或其他悬挂手段做电缆支撑。除了专门的设计以外，不要使用天花板瓷砖、支架和支撑物来固定电缆，也不能将通信电缆与电力电缆绑在一起来固定通信电缆。4.5.10 信息插座信息插座的安装应兼顾考虑电源的位置及美观。安装学校的要求来安排信息插座的位置和数量。墙面插座一般高度为0.5米。地面插座要注意防水。4.5.11 配线架在一个不会发生变化的可靠网络中，是不需要使用配线架的。而实际上，每个网络都在不断地发生改变，正是配线架可以让人们更加快速、容易地实现网络的改变。配线架还使得网络的错误查找和排除变得更加容易。在科院网络中心、各学院机房需要安装主配线架。各楼层根据需要安装楼层配线架。计算网线长度时要注意预留 10% 的余量，避免万一由于建筑物的结构原因必须的绕道和其他难以预料的情况。 第5章 交换机配置在科院校园局域网硬件系统安装完成之后需要对交换机、路由器、防火墙等网络设备作相应配置才能实现网络互通和其它相关网络应用。合理的配置将使网络运行更加高效，功能更加强大，才能充分地利用网络资源。5.1 访问层交换服务的实现配置访问层交换机访问层为终端用户提供一个接入点。本方案使用Cisco 2960系列交换机作为访问层交换机。以下以软服学院部分交换机为例作详细介绍。5.1.1 配置访问层交换机accessswitch1的基本参数1、 设置交换机名称，也就是出现在交换机CLI提示符中 的名字。一般以地理位置或行政划分来为交换机命名。当需要telnet登录到若干交换机以维护一个大型网络时，通过交换机名称提示自己当前配置交换机的位置是很有必要的。以下为相关配置：Switch(config)#hostname accessswitch1accessswitch1(config)#2、 设置交换机的加密使能口令当用户在普通用户模式而想要进入特权模式时，需要提供此口令。此口令会以MD5的形式加密，因此，当用户查看配置文件时，无法看到明文形式的口令。配置命令如下：accessswitch1(config)#enable secret secretpassword3、 对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理人员提供了很多方便。但是，出于安全考虑，在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。配置如下：accessswitch1(config)#line vty 0 15accessswitch1(config-line)#loginaccessswitch1(config-line)#password wuxistc4、 设置终端线超时时间为了安全考虑，可以设置终端线的超时时间。在设置的时间内，如果没有检测到键盘输入，IOS将断开用户和交换机之间的链接。以下设置登录交换机的控制台终端线路及虚拟终端线的超时时间为5分30秒。accessswitch1(config)#line vty 0 15accessswitch1(config-line)#exec-timeout 5 30accessswitch1(config-line)#line con 0accessswitch1(config-line)#exec-timeout 5 305、 设置禁用IP地址解析特性在交换机默认配置下，当输入一条错误交换机命令时，交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用以下命令可以禁用这个特性。accessswitch1(config)#no ip domain-lookup6、 设置启用消息同步特性有时，用户输入的交换机配置命令会被交换机产生的消息打乱。可以使用命令logging syschronous 设置交换机在下一行CLI提示符后复制用户的输入。命令如下accessswitch1(config)#logging synchronous5.1.2 配置访问层交换机accessswitch1的管理IP、默认网关访问层交换机是OSI参考模型的第2层设备，因此给每个端口设置ip是没有意义的。但是为了使网络管理员可以从远程登录到访问层交换机上进行管理，必须给访问层交换机设置一个管理用ip地址。给交换机设置管理ip只能在vlan1进行。如下：accessswitch1(config)#interface vlan 1accessswitch1(config-if)#ip address 192.168.8.8 255.255.255.0accessswitch1(config)#no shutdown为了管理员能在不同网络中管理此交换机，还应设置默认网关地址：accessswitch1(config)#ip default-gatway 192.168.0.2545.1.3 配置访问层交换机accessswitch1的vlan及vtp从提高效率的角度出发，在本校园网方案中使用的vtp技术。同时，将分布层交换机distributeswitch1设置成为vtp服务器，其它交换机设置为vtp客户机。这里访问层交换机accessswitch1将通过vtp获得在分布层交换机distributeswitch1中定义的所有vlan信息。accessswitch1(config)#vtp mode client5.1.4 配置访问层交换机accessswitch1端口基本参数1、 端口双工配置可以设定某端口根据对端设备双工类型自动调整本段端口双工模式，也可以强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情况下，建议生动设置端口双工模式。accessswitch1(config)#interface range fastethernet 0/1-24accessswitch1(config-if-range)#duplex full2、 可以设定某端口根据对端设备自动调整速度，也可以强制将端口设为10Mbps或100Mbps。在了解对端设备速度的情况下，建议手动设置端口速度。accessswitch1(config)#interface range fastethernet 0/1-24accessswitch1(config-if-range)#speed 1005.1.5 配置访问层交换机accessswitch1的访问端口1、 设置访问层交换机accessswitch的端口accessswitch1(config)#interface range fastethernet 0/1-24accessswitch1(config-if-range)#switchport mode accessaccessswitch1(config-if-range)#switchport access vlan102、 设置快速端口默认情况下，交换机在刚加电启动时，每个端口都要经历生成树四个阶段：阻塞、侦听、学习、转发。在能够转发用户的数据包之前，某个端口可能最多要等50秒钟的时间（20秒的阻塞时间+15秒的侦听延迟时间+15秒的学习延迟时间）。对于直接接入终端工作站的端口来说，用于阻塞和侦听的时间是不必要的。为了加速交换机端口站台转发时间，可以设置某端口设置成为快速端口（portfast）。设置为快速端口的端口当交换机启动或端口有工作站接入时，将会直接接入转发状态，而不会经历阻塞、侦听、学习状态（假设桥接表已经建立）。命令如下：accessswitch1(config)#interface range fastethernet 0/1-20accessswitch1(config-if-range)#spanning-tree portfast5.1.6 配置访问层交换机accessswitch1的主干道端口如图5.1所示，访问层交换机accessswitch1通过端口fastethernet 0/24上连到分布层交换机distributeswitch1的端口fastethernet 0/23这两条上连链路将成为主干道链路。在这两条上连链路上将运输多个vlan的数据。这里将fastethernet 0/23、fastethernet 0/24设为主干道端口。accessswitch1(config)#interface fastethernet 0/23-24accessswitch1(config-if-range)#switchport mode trunk图5.1accessswitch1的主干道端口5.2 分布层交换机服务的实现配置分布层交换机分布层除了负责将访问层交换机进行汇集外，还为这个交换网络提供vlan间的路由选择功能。这里的分布层交换机采用的是Cisco catalyst3750G交换机。这里以distributeswitch1为例进行介绍。5.2.1 配置分布层交换机distributeswitch1的基本参数对分布层交换机的基本参数的配置与访问层交换机accessswitch1的基本参数配置类似。这里只给出实际的配置步骤，不再作详细解释。命令如下Switch#configure terminalSwitch(config)#hostname Distributeswitch1Distributeswitch1(config)#enable secret wuxistcDistributeswitch1(config)#line con 0Distributeswitch1(config-line)#logging sysnchronousDistributeswitch1(config-line)#exec-timeout 5 30Distributeswitch1(config-line)#line vty 0 15Distributeswitch1(config-line)#password wuxiDistributeswitch1(config-line)#loginDistributeswitch1(config-line)#exec-timeout 5 30Distributeswitch1(config-line)#exitDistributeswitch1(config)#no ip domain-lookup5.2.2 配置分布层交换机Distributeswitch1的管理ip、默认网关如下，给出了分布层交换机Distributeswitch1设置管理ip并激活本征vlan。同时还设置了默认网关地址。Distributeswitch1(config)#interface vlan 1Distributeswitch1(config-if)#ip address 192.168.8.200 255.255.255.0Distributeswitch1(config-if)#no shutdownDistributeswitch1(config-if)#exitDistributeswitch1(config)#ip default-gateway 192.168.0.2545.2.3 配置分布层交换机Distributeswitch1的vtp当网络中交换机数量很多时，需要分别在每台交换机上创建很多重复的vlan。工作量很大且容易出错。在实际工作中常采用vlan中级协议（vtp）来解决这个问题。Vtp允许在一台交换机上创建所有的vlan。然后，利用交换机之间的互相学习功能，将创建好的vlan定义传播到整个网络中需要此vlan定义的所有交换机上。同时，有关vlan的删除、参数更改操作均可传播到其他交换机。从而大大减轻了网络管理员配置交换机的负担。在本校园网方案中使用了vtp技术。同时，将分布层交换机Distributeswitch1设置成vtp服务器，其他交换机设置成vtp客户机。1、 配置vtp管理域共享相同vlan定义数据库的交换机构成一个vtp管理域。每个vtp管理域都有一个共同的vtp管理域名。不同vtp管理域的交换机之间不交换vtp通告信息。Distributeswitch1(config)#vtp domain wuxistc2、 设置vtp服务器工作在vtp服务器模式下的交换机可以创建、删除vlan、修改vlan参数。同时，还有责任发送和转发vlan更新消息Distributeswitch1(config)#vtp mode server3、 激活vtp剪裁功能默认情况下主干道传输所有vlan的数据。有时交换网络中某台交换机的所有端口都属于一个vlan，没有必要接收其他vlan的用户数据。这时可以激活主干道上的vtp剪裁功能。当激活了vtp剪裁功能以后，交换机将自动剪裁本交换机没有定义的vlan数据。这里只需要在vtp服务器上激活剪裁功能，其他vtp域下交换机也自动激活。Distributeswitch1(config)#vtp pruning5.2.4 在分布层交换机Distributeswitch1上定义vlan在本校园网方案中，除了默认的本征vlan外，又额外定义了25个vlan，同时为每个vlan命名。参照表一，以网络中心为例，命令如下。其他vlan配置类似Distributeswitch1(config)#vlan 10Distributeswitch1(config-vlan)#name WLZX5.2.5 配置分布层交换机Distributeswitch1 的端口基本参数分布层交换机通过自己的千兆口GigabitEthernet 0/1上连到核心交换机coreswitch1的gigabitEthernet 0/1。其他快速以太口连接访问层交换机。Distributeswitch1(config)#interface range fastethernet 0/1-10Distributeswitch1(config-if-range)#duplex fullDistributeswitch1(config-if-range)#speed 100Distributeswitch1(config-if-range)#switchport mode trunkDistributeswitch1(config-if-range)#interface range gigabitethernet 0/1Distributeswitch1(config)#switchport mode trunk5.2.6 配置分布层交换机Distributeswitch1的3层交换功能分布层交换机Distributeswitch1需要为网络中的各个vlan提供路由功能。这需要首先启用分布层交换机的路由功能。Distributeswitch1(config)#ip routing接下来为每个vlan定义自己的默认网关地址。以vlan10为例Distributeswitch1(config)#interface vlan 10Distributeswitch1(config-if)#ip address 192.168.1.254 255.255.255.0Distributeswitch1(config-if)#no shutdown此外，还需要定义通往Internet的路由。这里使用了一条默认路由（根据连接到网络中心不同核心交换机，默认路由不同）。Distributeswitch1(config)#ip route 0.0.0.0 0.0.0.0 192.168.8.2545.3 核心交换机服务的实现配置核心层交换机核心层交换机互联起来进行穿越校园网骨干的高速数据交换。本方案核心采用Cisco C4506交换机组成双星结构。如图5.2图5.2配置核心层交换机5.3.1 配置核心层交换机coreswitch1的基本参数部分配置与分布层类似，不再一一详述。Coreswith1(config)#enable secret wuxistcCoreswith1(config)#line con 0Coreswith1(config-line)#logging sysnchronousCoreswith1(config-line)#exec-timeout 5 30Coreswith1(config-line)#password wuxiCoreswith1(config-line)#loginCoreswith1(config-line)#exec-timeout 5 30Coreswith1(config-line)#exitCoreswith1(config)#no ip domain-lookup5.3.2 配置核心层交换机Coreswith1的管理ip、默认网关Coreswith1(config)#interface vlan 1Coreswith1(config-if)#ip address 192.168.1.2 255.255.255.0Coreswith1(config-if)#no ip shutdownCoreswith1(config-if)#exitCoreswith1(config)#ip default-gateway 10.1.1.15.3.3 配置核心交换机Coreswith1的vlan及vtp在本方案中核心交换机也作为vtp客户机，这里Coreswith1也将通过软服学院的分布层交换机distributeswitch1获得所有vlan信息。Coreswith1(config)#vtp mode client5.3.4 配置核心层交换机Coreswith1的端口参数核心层交换机Coreswith1通过自己的快速端口fastethernet 1/1 同防火墙以太口Ethernet 1相连。同时核心交换机的端口gigabitEthernet 2/1-5下连到分布层交换机的光口。gigabitEthernet 3/1-2连接coreswith2的gigabitEthernet 3/1-2 形成冗余结构及提高主干吞吐量。信息配置命令如下Coreswith1(config)#interface fastethernet 1/1Coreswith1(config-if)#duplex fullCoreswith1(config-if)#speed 100Coreswith1(config-if)#interface gigabitethernet 2/1-5Coreswith1(config-if-range)#duplex fullCoreswith1(config-if-range)#speed 100Coreswith1(config-if-range)#switchport mode trunkCoreswith1(config-if-range)#interface port-channel1Coreswith1(config-if)#switchportCoreswith1(config-if)#interface gigabitethernet 3/1-2Coreswith1(config-if)#channel-group 1 mode desirable non-silentCoreswith1(config-if)#no shutdown5.3.5 配置核心交换机Coreswith1的路由功能核心交换机同防火墙以太口相连，这里需要启用核心交换机路由功能。同时还要定义通往Internet的路由。这里使用缺省路由命令，下一跳是防火墙以太口地址。Coreswith1(config)#ip routingCoreswith1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.15.3.6 其它配置为了实现局域网的更多功能，还需要大量的配置命令，这里不再详述。第6章 路由器配置6.1 配置接入路由器router基本参数对路由器的基本参数设置于交换机类似，这里不再赘述。6.2 配置router的路由功能在接入路由器router上需要定义两个方向的路由：到校园网内部的静态路由以及到Internet上的缺省路由。这里到内部的路由也使用缺省路由，更多的控制功能可以在防火墙上实现。Router(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.16.3 对外屏蔽SNMPRouter(config)#access-list 101 deny udp any any eq snmpRouter(config)#access-list 101 deny udp any any eq snmptrapRouter(config)#access-list 101 permit ip any anyRouter(config)#interface serial 0/0Router(config-if)#ip access-group 101 in6.4 对外屏蔽远程登录协议telnetTelnet为网络管理提供了很多方便，同时也是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时使用的用户名和口令在网络中是以明文传输的，很容易被非法协议截获。因此必须加以屏蔽。Router(config)#acc