中小型网吧局域网设计网络工程课程设计小学期论文综合报告

WORD 转换失败发不上来，需要 WORD 版请下载转换器或联系我目录一、目标与要求11.1 课程目标与意义11.2 课程内容与要求11.3 设计与实验方式1二、选题需求分析22.1 选题来源与意义22.2 用户现状分析22.3 网络需求分析22.4 软件硬件需求3三、网络总体规划43.1 网络总体规划43.2 网络模块关系43.3 网络布线规划5四、网络硬件设计64.1 服务器设计64.2 交换机设计74.3 路由器设计7五、实验调试85.1 实验调试环境85.2 网络连接测试85.3 路由交换测试85.4 网络管理测试34六、总结体会34七、参考资料34一、目标与要求1.1 课程目标与意义通过完成中小型网吧网络设计，熟练掌握路由器、交换机、计算机、服务器等设 备之间相互连接及不同硬件间的配置，成功建立一个确实可行的局域网。其意义在于锻炼了自己的动手能力以及理论与实践相结合的能力，通过解决实验 中遇到的问题使自己解决问题的能力得到提高。最后为自己在未来的实际工作中建立 局域网打下良好基础，积累经验。同时，将书本与课程实验所操作的内容应用到实际的问题当中，更好的理解知识， 学会应用知识。1.2 课程内容与要求通过对计算机、路由器、交换机、服务器等设备的配置以及掌握 DHCP 协议、DNS、 TCP/IP 协议、FTP 协议的作用实现计算机、路由器、交换机、服务器等设备的连通， 构成一个小型网吧局域网。该小型网吧局域网具有最基本的局域网的要求，并且具有一定的安全性、稳定性、 可维护性等。撰写实验报告，记录课题制作的相关问题及步骤等。1.3 设计与实验方式课程设计采用自选题目的方式，根据对现实生活中实际情况的分析，设计出较为 合理以及现实的局域网结构，选择合理地网络拓扑结构。在实验室内利用现有设备（计 算机、路由器、交换机和网线等）完成实验。此课程设计的题目为小型网吧局域网的设计，这个课题将完成网线制作、设备选 择（路由器、交换机、服务器等）、设备的连接、基本的布线等，从而来完成小型局域 网的搭建。除了搭建局域网外，还可以搭建服务器，如：网吧电影服务器。此外，还 需要安装网管软件，保证网吧的安全和稳定。33二、选题需求分析2.1 选题来源与意义计算机网络已经成为我们生活中一个不可或缺的组成部分。网络可以带给我们信 息、帮助、娱乐等。网吧是许多人使用网络的一种途径，也是一种休闲娱乐的场所。 此次选题为中小型网吧局域网的建立，希望能够亲自动手组建一个网吧局域 网，从而熟练掌握路由器、交换机、计算机、服务器等设备之间的相互连接和不同硬 件间的配置。完成此课题的意义在于锻炼了自己的动手能力以及理论与实践相结合的能力，通过解决实验中遇到的问题使自己解决问题的能力得到提高。 同时，也希望这个课题能为自己在未来的实际工作中建立局域网打下良好基础，积累经验。也希望今后有机会能将此局域网应用于网吧中，实现这个课题的价值。2.2 用户现状分析现在，越来越多的网吧可以供人们选择了。而网络是网吧质量的最重要部分之一。 网吧局域网不仅要满足消费者的要求，为各类应用系统提供方便、快捷的信息通路还 要有具有良好的性能，能够支持大容量和实时性的各类应用；能够可靠运行，具有较 低的故障率和维护要求。同时还要提供网络安全机制，满足信息安全的要求，具有较 高的性价比，未来升级扩展容易，用户使用简单。2.3 网络需求分析网吧是网络应用中一个比较特殊的环境，需要满足日益增长的网络应用需求和网 络的稳定运行，有以下几个方面的需求和特点：需要给用户提供网页浏览、收发邮件、QQ 聊天、网络游戏、网络教育、网上电 影、网上其它各类服务及点击 INTERNET 上的各类网站，并且同一用户有可能同时进行 多种活动，所有这些访问 INTERNET 的流量都通过路由器出口，这就对路由器的出口带 宽及其可建立连接数提出了要求。网吧内配置内部游戏服务器、电影服务器、VOD 点播服务器等，用户通过局域 网玩游戏、看电影等，这部分流量不用出口上 INTERNET，内部局域网的设计就要考虑 对内部服务器的访问瓶颈问题。随着网民要求的提高，对网络稳定性、网络速度提出了越来越高的要求，要求 上网高速畅通，大数据流量下不掉线、不停顿。这就对网络设备稳定性和可靠性提出 了要求，保证能长时间不间断稳定工作。针对高档服务需求，现在很多网吧提供贵宾区，不但提供类似酒吧、咖啡屋的 优雅环境，且提供无线上网服务。针对外地出差人员高安全性地访问其公司内部服务器的需求，可提供 VPN 终端 接入服务。2.4 软件硬件需求网吧的网络硬件主要是网线、水晶头、网卡、交换机和路由器。 网线和水晶头真品安普或一舟的普通网线和水晶头即可。 对于网卡的选择，一般计算机主板都会集成一个百兆网卡，如果没有集成网卡，可以选择一款稳定性比较好的 PCI 总线接口类型的独立网卡，最好是百兆或百兆以上 传输速度的，如：TP-LINK 的 TF-3239DL 网卡。交换机作为网吧的核心设备，对于网吧的正常运营至关重要。选择交换机时，首 先应该考虑稳定性，稳定应当是网吧所有设备的选购基础。其次速度要协调，交换机 与交换机之间应当协调、匹配和兼容，端口速率应当一致。最后还要选用高性价比的 交换机，物美价廉是产品选购的最终目标。应当选择最合适、口碑最好的产品，比如 网吧专用交换机 SpeedNetworks(时速科技)和 TP-LINK。关于路由器的选择，小型网吧通常机器都在 60 台左右，这样可以选择一款能够带 60 台左右计算机的百兆路由器，如 TP-LINK TL-R478 路由器，具备较高的数据吞吐量 和出众的带机具有无瓶颈制约的强劲负载力；内置电源，采用高可靠性 1U 钢壳结构， 外壳坚固；采用工业级高稳定性设计，可以安装机架。如果是 200 台计算机的网吧， 可以选择华为 3Com 双 WAN 口路由器，两条 100Mb 光纤接入，一条电信一条网通，可 以提供更加高速优质的网络服务。服务器应该具备速度高、存储量大、吞吐能力强、性能可靠、扩展性强、连网和 管理功能强等特点。www 服务器：是网络运行的核心服务器，通常兼作 FTP 服务器。 访问量大，根据企业规模大小，对于 800 个信息点以下的企业，通常可采用支持多 cpu 的顶级 pc 服务器和低端专业服务器。数据服务器：应根据数量多少、数据的重要程度 和访问的频繁程度，采用带 raid 功能的双硬盘服务器或专门的数据存储设备。三、网络总体规划3.1 网络总体规划在进行网吧网络设计时，首先要保证快速的网络传输速度，这是当今组建网吧的 基本要求，同时这一点也是决定网吧生存能力的一个重要因素。除此之外，我们还要 考虑到日后网络的升级，更重要的是方便日后的网络维护。有一些网吧在日常经营中 可能需要扩大规模，那么我们在设计网络时就必须考虑到日后的网络扩展与升级。综合现今大多数的网吧网络结构，大致可以把网吧的网络结构分为 3 层：一是用 来连接 Internet 的接入层；二是提供核心数据交换能力的网络汇聚层；三是连接每一 个网络节点的交换层。无论网吧规模大小，网吧的网络要求如何，应该都采用这个设 计理念，方便日后的升级，还可以降低日后维护的成本。这 3 个层次的总体结构如图3.1.1 所示：交 换 层 汇 聚 层 接 入 层 Internet图 3.1.1 总体结构图3.2 网络模块关系在小型局域网中常采用总线型拓扑结构和星型拓扑结构。在这里，我们采用星型 拓扑结构进行连接。星型拓扑结构网络中有一个唯一的转发节点（中央节点），每一计算机都通过单 独的通信线路连接到中央节点。信息传送方式、访问协议十分简单。星型拓扑结构的小型局域网工作站和服务器常采用 RJ-45 接口网卡，以交换机中 央节点，用双绞线连交换机器与工作站和服务器。在星型拓扑结构中，单个连接点的 故障只影响一个设备，不会影响全网，容易检测和隔离故障，且网络便于维护。网络架构可以按照下图所示设计：图 3.2.1 网络架构图3.3 网络布线规划布线规划设计布线是连接网络接入层、汇聚层、交换层和网络节点的重要环节。 在布线时，最好使用专门的通道，而且不要与电源线，空调线等具有辐射的线路混合 布线。网络设备的放置，最好放在节点的中央位置，这样做，不是为了节约综合布线的 成本，而是为了提高网络的整体性能，提高网络传输质量。由于双绞线的传输距离是 100 米，在 95 米才能获得最佳的网络传输质量。在做网 络布线时，最好能够设计一个设备间，放置网络设备。 接入层与汇聚层之间的双绞线， 可以选择超五类屏蔽双绞线，以使网络性能得到最大的提升。汇聚层与交换层之间的双绞线，由于是网络数据传输量最大的一个层次，同样采 用超五类屏蔽双绞线。交换层与网络节点之间，我们就可以采用普通的超五类非屏蔽 双绞线。在布线的时候，要注意以下几点：一是在布线时，每条线一定要做好相应的编号， 方便日后的维护；二是每层之间最好保留两条至三条的备用线，防止我们网线损坏时 做备用；三是制作网线的时候，一定要按照标准的接线方法，以获得最高的传输速度。四、网络硬件设计4.1 服务器设计服务器就是网络环境中的高性能计算机，它侦听网络上的其他计算机（客户机） 提交的服务请求，并提供相应的服务。因此服务器具备不一样的功能，服务器必须具 有承担服务并且保障服务的能力。现代信息技术发展快速，人们在享受信息的便捷与娱乐的时候，通常难以注意到 技术发展是起着重要作用的，但是对于网吧或者企业来讲，关注作为信息传输的核心 后端平台服务器，才是重点。对于网吧来讲，服务器再也不是简单的硬件设备， 可以说它的稳定与高效与网吧的日常经营息息相关，云计算的发展更是让服务器的作 用越来越被重视，网吧作为技术应用的先锋，当然不能错过。服务器对网吧来说就是心脏，如果服务器出现故障将会影响整个网吧计算机的正 常运作。因此在选购或者维护服务器这一块要特别关注，对目前市场上的服务器种类 以及类型要及时了解。企业的服务器种类繁多，从不同方面来介绍，日常接触的一般是 X86 服务器，就 是我们知道的 PC 服务器，这种服务器是根据 PC 机体系结构，使用 Intel 或其它兼容 X86 指令集的处理芯片和 Windows 操作系统的服务器。从架构上来说，可以分为 X86 服务器和非 X86 服务器。事实上，服务器与个人电脑的功能相类似，只不过这个功能适用于多个计算机， 满足众多用户同时在其上处理数据的设备，当然必须通过互联网达到这个效果。服务 器一直在革新，按照市场需求设计改良，用户希望服务器具备占面积小、制作精良、 运营稳定，服务器提供商设计了多种服务器类型，有机架式、塔式、刀片式。CPU 数 量来说，可选择 1 颗、2 颗、4 颗、8 颗，那么品牌也是非常多，戴尔、联想、华硕等 都是服务器较有名的品牌。在选购的同时有一点要非常注意，那就是 CPU 类型，一般分为 xeon5600，xeonE3， xeon6500，xeon7500 等，可以根据不同的需要，选择服务器类型。4.2 交换机设计对于 50 台机器的网吧来讲，如果架设有电影服务器或 CS 服务器的话，在汇聚层 可以选择一款 16 口的傻瓜千兆交换机，在交换层使用两个 24 口和一个 16 口普通 100M 交换机即可。如果网吧没有架设任何服务器，那么局域网内部的数据交换就可以转移 到路由器上进行。即在交换层使用两个普通 24 口和一个 16 口百兆交换机，然后将这 三台交换机同时级联到路由器上的 LAN 口。这里我们可以选择：TP-LINK24 口 100M 以太网交换，型号：TL-SF1024，参考价格：650 元 锐捷（原实达）24 口机架式快速以太网交换机，型号为 S1824+对于 200 台计算机的网吧，就要相对复杂一些，在构建时首要的问题就是要设计 好网吧网络的管理功能，在网络硬件的选择上一定要慎重，整个网络应该由核心交换 机进行控制。整个主干网络的带宽要保持在千兆，因此工作组交换机要使用 24 口傻瓜 型带千兆口的交换机。这里我们可以选择：华为可网管全千兆交换机，型号：S5024P-LI-AC，参考价格：4500 元华为 SOHO 系列可网管智能千兆以太网交换机，型号：S5012P，参考价格：4000元在网络交换层交换机要选择带千兆口的 24 口 100M/100m 自适应交换机。选择带千兆口的目的是为了是整个主干网络保持在千兆和提升整个网络的性能。可以选择锐捷 带 2 个千兆口的 24 口 10/100M 自适应以太网交换机 RG-S1826T 或 D-LINK 带 2 个千兆 口的 24 口 10/100M 自适应以太网交换机 1226G。4.3 路由器设计50 台机器的网吧，在选择路由器时，要选择一款能够带 60 台左右计算机的百兆 路由器，这样在上网高峰时段才不至于出现网络卡滞的现象，保证优质的网络速度。 这里我们可以选择 TP-LINK TL-R478 路由器。而对于 200 台机器的网吧来说，网络接入方式一定是光纤，选择两条 100Mb 光纤 接入，一条电信的，一条网通的，它们可以同时工作，也可以在出现故障时应急使用。 在路由器的选择方面，我们应该选择大品牌的优质路由器，如华为 3Com 双 WAN 口 路由器 AR18-22-8 或华为 3Com 双 WAN 口路由器 AR18-22。五、实验调试5.1 实验调试环境教学楼机房，主要实验设备如下：PC 机（Win 2003 系统）、网线、路由器、交换机等5.2 网络连接测试首先要根据需求制作网线。材料为双绞线和水晶头。网线分为直通线和交叉线两 种，其中直通线是连接不同设备的，制作线序为：白橙，橙，白绿，蓝，白蓝，绿， 白棕，棕。交叉线是连接相同设备的，制作线序为：白绿，绿，白橙，蓝，白蓝，橙， 白棕，棕。网线制作好后，根据网络架构图将路由器、交换机以及计算机用网线连接起来， 并且进行配置。连接、配置完成后，可以运行 cmd，进入 DOS 窗口，然后使用 ping 命令来测试连 通性。5.3 路由交换测试1、交换机恢复出厂设置及其基本配置： 通过交换机恢复出厂设置，我们可以清空交换的配置等，并且将其重新进行配置。基本配置我们可以给交换机修改名称便于分辨，还可以更改时间等。 拓扑图如下所示：图 5.3.1 拓扑 1相关命令的使用：命令：clock set 功能：设置系统日期和时钟。参数：为当前时钟，HH 取值范围为 023，MM 和 SS 取值范围为 059；为当前年、月和日，YYYY 取值范围为 20002100，MM 取值范围为 112， DD 取值范围为 131。命令：hostname 功能：设置交换机命令行界面的提示符。 参数：为提示符的字符串。 命令：language chinese|english 功能：设置显示的帮助信息的语言类型。 参数：chinese 为中文显示；english 为英文显示。 命令：reload功能：热启动交换机。 命令：set default 功能：恢复交换机的出厂设置。 命令：show flash功能：显示保存在 flash 中的文件及大小。 命令：show running-config 功能：显示当前运行状态下生效的交换机参数配置。 命令：show startup-config功能：显示当前运行状态下写在 Flash Memory 中的交换机参数配置，通常也是交 换机下次上电启动时所用的配置文件。具体操作步骤如下： 第一步：交换机恢复出厂设置。如下图：图 5.3.2 恢复出厂设置第二步：为交换机上设置 enable 密码。如下图：图 5.3.3 设置 enable 密码 第三步：为交换机改名、设置正确的时间和语言类型。如下图：图 5.3.4 修改名称时间及语言 2、使用 telnet 方式管理交换机作为网络管理员需要对不同位置的交换机做管理，我们可以通过带外管理的方式 也就是通过 console 口去管理，那么管理员需要捧着自己的笔记本电脑，并且带着 console 线去不同位置调试每台交换机，十分麻烦。局域网既然是互联互通的，在网 络的任何一个信息点都应该能访问其他的信息点，我们可以通过网络的方式来调试交 换机呢。通过 telnet 方式，管理员就可以坐在办公室中不动地方地调试所有的交换机。 telnet 方式和 web 方式都是交换机的带内管理方式。提供带内管理方式可以使连接在 交换机中的某些设备具备管理交换机的功能。当交换机的配置出现变更，导致带内管 理失效时，必须使用带外管理对交换机进行配置管理。拓扑图如下：图 5.3.5 拓扑 2命令：ip address secondaryno ip address secondary 功能：设置交换机的 IP 地址及掩码；本命令的 no 操作为删除该 IP 地址配置。 参数：为 IP 地址，点分十进制格式；为子网掩码，点分十进制格式; secondary为表示配置的 IP 地址为从 IP 地址。 命令：interface vlan no interface vlan 功能：创建一个 VLAN 接口，即创建一个交换机的三层接口；本命令的 no 操作为 删除交换机的三层接口。参数： 是已建立的 VLAN 的 VLAN ID。 命令：ping功能：交换机向远端设备发 ICMP 请求包，检测交换机与远端设备之间是否可达。 参数：为要 ping 的目的主机的 IP 地址，点分十进制格式。 命令：shutdownno shutdown功能：关闭指定的以太网端口；本命令的 no 操作为打开端口。 命令：telnet 功能：以 Telnet 方式登录到 IP 地址为的远程主机。参数：为远端主机的 IP 地址，点分十进制格式；为端口号，取 值范围 065535。命令：telnet-server enable no telnet-server enable功能：打开交换机的 Telet 服务器功能；本命令的 no 操作为关闭交换机的 Telnet 服务器功能。命令：telnet-server securityip no telnet-server securityip 功能：配置交换机作为 Telnet 服务器允许登录的 Telnet 客户端的安全 IP 地址； 本命令的 no 操作为删除指定的 Telnet 客户端的安全 IP 地址。参数： 可以访问本交换机的安全 IP 地址，点分十进制格式。 命令：telnet-user password 0|7 no telnet-user 功能：设置 Telnet 客户端的用户名及口令；本命令的 no 操作为删除该 Telnet 用户。参数：为 Telnet 客户端用户名，最长不超过 16 个字符； 为登录口令，最长不超过 8 个字符；0|7 分别表示口令不加密显示和加密显示。具体操作步骤如下：第一步：给交换机设置 IP 地址即管理 IP。如下图：图 5.3.6 配置管理 IP第二步：为交换机设置授权 Telnet 用户。如下图：图 5.3.7 授权 telnet 用户第三步：配置主机的 IP 地址，在本实验中要与交换机的 IP 地址在一个网段。如 下图：第四步：使用 Telnet 登录。图 5.3.8 配置主机地址打开微软视窗系统，点击“开始”“运行”，运行 Windows 自带的 Telnet 客户端程序，并且指定 Telnet 的目的地址。如下图：图 5.3.9 使用 telnet 登录 需要输入正确的登录名和口令，如下图：图 5.3.10 登录3、交换机 VLAN 划分为了保证两个区域的相对独立，就需要划分对应的 VLAN，使交换机某些端口属于 特定的一个区域，某些端口属于另一个特定的区域，这样就能保证它们之间的数据互 不干扰，也不影响各自的通信效率。拓扑结构如下图：相关命令如下： 命令：vlan no vlan 图 5.3.11 拓扑 3功能：创建 VLAN 并且进入 VLAN 配置模式，在 VLAN 模式中，用户可以配置 VLAN 名称和为该 VLAN 分配交换机端口；本命令的 no 操作为删除指定的 VLAN。参数：为要创建/删除的 VLAN 的 VID，取值范围为 14094。 命令：name no name功能：为 VLAN 指定名称，VLAN 的名称是对该 VLAN 一个描述性字符串；本命令的 no 操作为删除 VLAN 的名称。参数：为指定的 vlan 名称字符串。 命令：switchport interface no switchport interface 功能：给 VLAN 分配以太网端口的命令；本命令的 no 操作为删除指定 VLAN 内的一 个或一组端口。参数： 要添加或者删除的端口的列表，支持”;” ”-” ，如： ethernet 0/0/1;2;5 或 ethernet 0/0/1-6;8。命令：switchport mode trunk|access 功能：设置交换机的端口为 access 模式或者 trunk 模式。参数：trunk 表示端口允许通过多个 VLAN 的流量；access 为端口只能属于一个 VLAN。具体操作步骤如下：第一步：刚刚已经给交换机配置了管理 IP，现在可以直接创建 vlan100 和 vlan200。 通过 show vlan 命令可以查看配置。如下图：图 5.3.12 vlan 创建第二步: 给 vlan100 和 vlan200 添加端口。将 1-8 端口划分给 vlan100,9-16 端口 划分给 vlan200，如下图：图 5.3.13 vlan 端口添加第三步：使用 show vlan 命令查看配置。如下图：图 5.3.14 show vlan第四步：验证实验。验证内容如下表所示：表 5.3.1 验证 VLANPC1 位置PC2 位置动作结果1-8 端口9-16 端口PC1 ping 9不通1-8 端口1-8 端口PC1 ping PC2通1-8 端口9-16 端口PC1 ping PC2不通1-8 端口17-24 端口PC1 ping PC2不通其中不通的情况如下图显示：图 5.3.15 不通结果 其中能 PING 通的情况如下图显示：图 5.3.16 ping 通结果 4、跨交换机相同 VLAN 间通讯网吧有两层，分别是普通区域和 VIP 区域，每个楼层都有交换机客户上网需求。 两层的普通区域可以互相自由访问，VIP 区域可以互相自由访问。普通区域和 VIP 区 域之间不可以自由访问。通过划分 VLAN 使得普通区域和 VIP 区域之间不可以自由访问，使用 802.1Q 进行 跨交换机的 VLAN。拓扑结构如下图所示：图 5.3.17 拓扑 4相关命令如下： switchport access vlan命令：switchport access vlan no switchport access vlan功能：将当前 Access 端口加入到指定 VLAN；本命令 no 操作为将当前端口从 VLAN 里删除。参数：为当前端口要加入的 vlan VID，取值范围为 14094。 命令：switchport mode trunk|access功能：设置交换机的端口为 access 模式或者 trunk 模式。参数：trunk 表示端口允许通过多个 VLAN 的流量；access 为端口只能属于一个 VLAN。命令：switchport trunk allowed vlan |all no switchport trunk allowed vlan功能：设置 Trunk 端口允许通过 VLAN；本命令的 no 操作为恢复缺省情况。 参数：为允许在该 Trunk 端口上通过的 VLAN 列表；all 关键字表示允许该 Trunk 端口通过所有 VLAN 的流量。 命令：switchport trunk native vlan no switchport trunk native vlan功能：设置 Trunk 端口的 PVID；本命令的 no 操作为恢复缺省值。 参数：为 Trunk 端口的 PVID。具体操作步骤如下：第一步：分别给交换机设置标示符和管理 IP。在交换机中创建 vlan100 和 vlan200， 并添加端口。例如，交换机 A 如下图：图 5.3.18 交换机配置交换机 B 的配置与 A 相同，IP 地址为 0 第二步：分别设置交换机 trunk 端口，如下图：图 5.3.19 Trunk 端口配置 第三步：用交叉线将交换机的 24 端口连接起来，并且测试，按下表验证，PC1 插在交换机 A 上，PC2 插在交换机 B 上：表 5.3.2 测试PC1 位置PC2 位置动作结果1-8 端口PC1 ping 交换机 B不通9-16 端口PC1 ping 交换机 B不通17-24 端口PC1 ping 交换机 B通1-8 端口1-8 端口PC1 ping PC2通1-8 端口9-16 端口PC1 ping PC2不通5、交换机端口与 MAC 绑定 当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时，网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。当网络的布置很 随意时，任何用户只要插上网线，在任何位置都能够上网，这虽然使正常情况下的大 多数用户很满意，但一旦发生网络故障，网管人员却很难快速准确定位根源主机，就 更谈不上将它隔离了。端口与地址绑定技术使主机必须与某一端口进行绑定，也就是 说，特定主机只有在某个特定端口下发出数据帧，才能被交换机接收并传输到网络上， 如果这台主机移动到其他位置，则无法实现正常的连网。这样做看起来似乎对用户苛 刻了一些，而且对于有大量使用便携机的员工的园区网并不适用，但基于安全管理的 角度考虑，它却起到了至关重要的作用。为了安全和便于管理，需要将 MAC 地址与端口进行绑定，即，MAC 地址与端口绑 定后，该 MAC 地址的数据流只能从绑定端口进入，不能从其他端口进入。该端口可以 允许其他 MAC 地址的数据流通过。但是如果绑定方式采用动态 lock 的方式会使该端口 的地址学习功能关闭，因此在取消 lock 之前，其他 MAC 的主机也不能从这个端口进入。拓扑结构如下所示：相关命令如下：图 5.3.20 拓扑 5命令：switchport port-security no switchport port-security功能：使能端口 MAC 地址绑定功能；本命令的 no 操作为关闭端口 MAC 地址绑定功 能。命令：switchport port-security convert 功能：将端口学习到的动态 MAC 地址转化为静态安全 MAC 地址。 命令：switchport port-security lockno switchport port-security lock 功能：锁定端口。端口被锁定之后，端口的 MAC 地址学习功能将被关闭；本命令的 no 操作为恢复端口的 MAC 地址学习功能。 命令：switchport port-security timeout no switchport port-security timeout功能：设置端口锁定的定时器；本命令的 no 操作为恢复缺省值。 参数： 锁定时器时间间隔，取值范围为 0300s。 命令：switchport port-security mac-address no switchport port-security mac-address 功能：添加静态安全 MAC 地址；本命令的 no 操作为删除静态安全 MAC 地址。 参数：为添加/删除的 MAC 地址。命令：clear port-security dynamic address | interface 功能：清除指定端口的动态 MAC 地址。命令模式：特权配置模式参数：为 MAC 地址；为指定的端口号。 命令：switchport port-security maximum no switchport port-security maximum功能：设置端口最大安全 MAC 地址数；本命令的 no 操作为恢复最大安全地址数为1。命令模式：端口配置模式参数： 端口静态安全 MAC 地址上限，取值范围 1128。 命令：switchport port-security violation protect | shutdown no switchport port-security violation功能：设置端口违背模式；本命令的 no 操作为恢复违背模式为 protect。 命令模式：端口配置模式参数：protect 为保护模式；shutdown 为关闭模式。 命令：show port-security 功能：显示全局安全端口配置情况。命令：show port-security interface 功能：显示安全端口配置情况。 命令模式：特权配置模式参数： 指定的显示端口。命令：show port-security address interface 功能：显示端口安全 MAC 地址。命令模式：特权配置模式 参数： 指定的显示端口。 具体操作步骤如下：第一步：得到 PC1 主机的 mac 地址，如下图：图 5.3.21 主机 MAC 地址 第二步：使用端口的 MAC 地址绑定功能，如下图：图 5.3.22 绑定功能第三步：添加端口静态安全 MAC 地址，缺省端口最大安全 MAC 地址数为 1，如下 图：图 5.3.23 绑定 MAC 地址 第四步：验证配置，如下图：图 5.3.24 查看配置 第五步：使用 ping 命令验证，验证方法如下表：表 5.3.3 测试表PC端口Ping结果PC10/0/10通PC10/0/70不通PC20/0/10通PC20/0/70通第六步：在一个以太口上静态捆绑多个 MAC，设置最大值为 4，如下图：图 5.3.25 多个 MAC第七步：上面使用的都是静态捆绑 MAC 的方法，下面介绍动态 mac 地址绑定的基 本方法，首先清空刚才做过的捆绑。清空端口与 MAC 绑定，如下图：图 5.3.26 清空绑定第八步：使能端口的 MAC 地址绑定功能，动态学习 MAC 并转换，如下图：6、交换机链路集合图 5.3.27 动态绑定网吧的两个区域分别使用一台交换机提供 20 多个信息点，两个区域的互通通过一 根级联网线。每个区域的信息点都是百兆到桌面。两个区域之间的带宽也是 100M，如 果区域之间需要大量传输数据，就会明显感觉带宽资源紧张。当楼层之间大量用户都 希望以 100M 传输数据的时候，楼层间的链路就呈现出了独木桥的状态，必然造成网络 传输效率下降等后果。解决这个问题的办法就是提高楼层主交换机之间的连接带宽，实现的办法可以是 采用千兆端口替换原来的 100M 端口进行互联，但这样无疑会增加组网的成本，需要更 新端口模块，并且线缆也需要作进一步的升级。另一种相对经济的升级办法就是链路 聚合技术。顾名思义，链路聚合，是将几个链路作聚合处理，这几个链路必须是同时连接两 个相同的设备的，这样，当作了链路聚合之后就可以实现几个链路相加的带宽了。比 如，我们可以将 4 个 100M 链路使用链路聚合作成一个逻辑链路，这样在全双工条件下 就可以达到 800M 的带宽，即将近 1000M 的带宽。这种方式比较经济，实现也相对容易。拓扑图如下所示：相关命令如下：图 5.3.28 拓扑 6命令：port-group load-balance src-mac|dst-mac | dst-src-mac | src-ip| dst-ip|dst-src-ipno port-group load-balance功能： 新建一个 port group，并且设置该组的流量分担方式。如果没有指定流 量分担方式则为设置默认的流量分担方式。该命令的 no 操作为删除该 group 或者恢复 该组流量分担的默认值，敲入 load-balance 表示恢复默认流量分担，否则为删除该组。参数： 为 Port Channel 的组号，范围为 116，如果已经 存在该组号则会报错。dst-mac 根据目的 MAC 进行流量分担；src-mac 根据源 MAC 地 址进行流量分担；dst-src-mac 根据目的 MAC 和源 MAC 进行流量分担；dst-ip 根据目 的 IP 地址进行流量分担；src-ip 根据源 IP 地址进行流量分担；dst-src-ip 根据目 的 IP 和源 IP 进行流量分担。如果是修改流量分担方式，并且该 port-group 已经形成 一个 port-channel，则这次修改的流量分担方式只有在下次再次汇聚时才会生效。命令：port-group mode active|passive|on no port-group 功能：将物理端口加入 Port Channel，该命令的 no 操作为将端口从 Port Channel 中去除参数： 为 Port Channel 的组号，范围为 116；active（0） 启动端口的 LACP 协议，并设置为 Active 模式；passive（1） 启动端口的 LACP 协议， 并且设置为 Passive 模式；on（2） 强制端口加入 Port Channel，不启动 LACP 协议。命令：interface port-channel 功能：进入汇聚端口配置模式命令：show port-group brief | detail | load-balance| port | port-channel参数： 要显示的 Port Channel 的组号，范围为 116；brief 显示摘要信息；detail 显示详细信息；load-balance 显示流量分担信息；port 显示 成员端口信息；port-channel 显示汇聚端口信息命令：debug lacpno debug lacp功能：打开交换机的 lacp 的调试开关；本命令的 no 操作为关闭该调试开关。 具体操作步骤如下： 第一步：正确连接网线，交换机全部恢复出厂设置，做初始配置，避免广播风暴出现，下图为路由器 B 的设置，A 的设置除了 IP 地址外都同 B 一样：图 5.3.29 路由配置第二步：创建 port group。下图为路由器 B 的设置，A 的设置为 port-group 1：图 5.3.30 创建 port group第三步：手工生成链路聚合组 交换机 A：switchA(Config)#interface ethernet 0/0/1-2 switchA(Config-Port-Range)#port-group 1 mode on switchA(Config-Port-Range)#exitswitchA(Config)#interface port-channel 1 switchA(Config-If-Port-Channel1)#交换机 B 如下图：图 5.3.31 链路聚合组 7、路由器广域网 PPP 封装配置企业环境中异地的互连通常要经过第三方的网络，比如网通、电信等等，所以与 局域网的配置不同。广域网通常需要付费、带宽比较有限、可靠性相比局域网要低。 PPP 是一种比 HDLC 功能丰富的广域网封装协议，支持身份认证、多链路捆绑等。拓扑结构如下所示：相关命令如下： 命令：encapsulation图 5.3.32 拓扑 7encapsulation encapsulation-type使用 encapsulation 接口配置命令设置接口使用的封装协议。使用这个命令的 no 形式恢复缺省封装具体操作步骤如下：第一步：Router-A 的配置如下图所示：图 5.3.33 路由 A 配置 第二步：Router-B 的配置如下图：8、静态路由配置图 5.3.34 路由 B 配置在路由器较少而且网络比较问题的环境里，为了减少路由器的开销和带宽的占用， 通常手工配置静态路。该网络的每个路由器都必须有所有目的网络的路由。需要配置 所有非直连的路由。拓扑图如下所示：具体操作步骤如下：图 5.3.35 拓扑 8第一步：配置路由器 A、B、C，配置所有接口的 IP 地址，保证所有接口全部是 up 状态，测试连通性，路由器 B 的配置如下：图 5.3.36 配置路由第二步：查看 ROUTER-A、B、C 的路由表，路由器 B 的路由表如下：图 5.3.37 查看路由表第三步：分别配置路由器 A、B、C 的路由表并查看，路由器 B 的路由表配置方法 如下：图 5.3.38 配置路由表9、动态路由的配置方法 在路由器较多的环境里，手工配置静态路由给管理员带来大的工作负担。在不太稳定的网络环境里，手工修改表不现实。所以我们可以选择动态路由配置。 拓扑结构如下所示：相关命令如下： 命令：router riprouter ripno router rip图 5.3.39 拓扑 9使用 router rip 全局命令来配置 RIP 路由进程，no router rip 则关闭 RIP 路 由进程。使用说明：必须先启动 RIP，才能进入路由配置态，才能配置 RIP 的各种全局性 参数，而配置与接口相关的参数则不受是否已经启动 RIP 的限制。具体操作步骤如下：第一步：配置路由器 A、B、C，配置所有接口的 IP 地址，保证所有接口全部是 up 状态，测试连通性。路由器 B 的配置如下：图 5.3.40 路由配置 第二步：分别查看路由器 A、B、C 的路由表。如路由器 B 的路由表：图 5.3.41 查看路由表第三步：分别在路由器 A、B、C 上配置 RIP 协议，并查看路由表。路由器 C 的配 置及路由表如下图 5.3.42 配置 RIP 协议 10、标准访问控制列表的配置 网吧的局域网要求很高的稳定性和安全性。某些安全性要求比较高的主机或网络需要进行访问控制，其他的很多