中小型校园网设计方案实例

（中小型）校园网设计方案实例目录.............1系统总体设计方案概述...........................................................................11.1 系统构成与拓扑构造..................................................................................21.2 VLAN及IP地址规划...................................................................................32 互换模块设计.......................................................................................42.1 访问层互换服务的实现－配置访问层互换机............................................52.1.1 配置访问层互换机AccessSwitch1的基本参数.....................................52.1.2 配置访问层互换机AccessSwitch1的管理IP、默认网关......................72.1.3 配置访问层互换机AccessSwitch1的VLAN及VTP...............................82.1.4 配置访问层互换机AccessSwitch1端口基本参数.................................92.1.5 配置访问层互换机AccessSwitch1的访问端口.....................................92.1.6 配置访问层互换机AccessSwitch1的主干道端口...............................112.1.7 配置访问层互换机AccessSwitch2......................................................112.1.8 访问层互换机的其他可选配置...........................................................122.2 分布层互换服务的实现－配置分布层互换机..........................................132.2.1 配置分布层互换机DistributeSwitch1的基本参数..............................142.2.2 配置分布层互换机DistributeSwitch1的管理IP、默认网关................142.2.3 配置分布层互换机DistributeSwitch1的VTP......................................152.2.4 在分布层互换机DistributeSwitch1上定义VLAN...............................162.2.5 配置分布层互换机DistributeSwitch1的端口基本参数.......................172.2.6 配置分布层互换机DistributeSwitch1的3层互换功能.......................182.2.7 配置分布层互换机DistributeSwitch2..................................................192.2.8 其他配置............................................................................................202.3 关键层互换服务的实现－配置关键层互换机..........................................202.3.1 配置关键层互换机CoreSwitch1的基本参数......................................212.3.2 配置关键层互换机CoreSwitch1的管理IP、默认网关........................212.3.3 配置关键层互换机CoreSwitch1的的VLAN及VTP............................222.3.4 配置关键层互换机CoreSwitch1的端口参数......................................222.3.5 配置关键层互换机CoreSwitch1的路由功能......................................232.3.6 其他配置............................................................................................242.3.7 关键层互换机CoreSwitch2的配置.....................................................243 广域网接入模块设计..........................................................................243.1 配置接入路由器InternetRouter的基本参数...............................................253.2 配置接入路由器InternetRouter的各接口参数...........................................253.3 配置接入路由器InternetRouter的路由功能...............................................263.4 配置接入路由器InternetRouter上的NAT..................................................263.5 配置接入路由器InternetRouter上的ACL..................................................283.6 其他配置...................................................................................................314 远程访问模块设计..............................................................................314.1 配置物理线路的基本参数........................................................................324.2 配置接口基本参数....................................................................................324.3 配置身份认证...........................................................................................335 服务器模块设计.................................................................................346 系统测试...........................................................................................366.1 系统测试...................................................................................................366.2 有关测试、诊断命令................................................................................366.2.1 通用测试、诊断命令..........................................................................366.2.2 CDP测试、诊断命令..........................................................................396.2.3 路由和路由协议测试、诊断命令.......................................................416.2.4 VLAN、VTP测试、诊断命令............................................................416.2.5 生成树测试、诊断命令......................................................................426.2.6 NAT测试、诊断命令..........................................................................436.2.7 ACL测试、诊断命令..........................................................................436.2.8远程访问测试、诊断命令..................................................................44总结......................................................................................................44附录:资源..............................................................................................45（中小型）校园网设计方案实例本文以实例的形式对校园网络的设计方案进行分析并给出校园网络关键设备的配置环节、配置命令以及诊断命令和措施。通过本文，相信读者可以系统地掌握中小型园区网的设计、实行以及维护措施及技巧。1 系统总体设计方案概述校园网络（COMPUSNETWORK，下文中也称为园区网络）是非常经典的综合网络实例。为了阐明重要问题，在本设计方案中对实际校园网的设计进行了合适的和必要的简化。同步，将重点放在网络主干的设计上，对于服务器的架设只作简单简介，详细内容参照有关参照书。如图1-1所示，是该校园网网络的总体拓扑构造图。图1-1 ××校园网网络的总体拓扑构造在上面的拓扑图中，学校的6个重要集中接入点（计算机系、管理系、建筑系、财务处、教务处、学生宿舍）通过冗余的光纤链路上连到信息中心的核心层互换机上。关键层互换机通过Cisco3640路由器接入因特网。此外，教工宿舍及移动办公顾客通过拨号方式接入路由器3640来访问校园网内网及因特网。图中，以计算机系为例展示了每个建筑物内部的网络设备拓扑构造，并给出了信息中心内部的网络设备拓扑构造。在接下来的讨论中，我们将展开并详细讨论每个模块的设计内容。1.1系统构成与拓扑构造为了实现网络设备的统一，本设计方案中完全采用同一厂家的网络产品，即Cisco企业的网络设备构建。全网使用同一厂商设备的重要好处在于可以实现多种不一样网络设备功能的互相配合和补充。本校园网设计方案重要由如下四大部分构成互换模块广域网接入模块、远程访问模块、服务器模块。整个网络系统的拓扑构造图如图1-2所示。图1-2 校园网整体拓扑构造图1.2 VLAN及IP地址规划在一种大、中型网络里，VLAN的划分是必不可少的环节之一。在本校园网设计实例中，整个校园网中VLAN及IP编址方案如表1所示。表1 N及P除了表1中的内容外，拨号顾客从/27中动态获得IP地址。为了简化起见，除了管理VLAN外，这里只规划了8个VLAN，同步为每个VLAN定义了一种由拼音缩写构成的VLAN名称。2 互换模块设计一种好的校园网设计应当是一种分层的设计。一般分为三层设计模型。为了简化互换网络设计、提高互换网络的可扩展性，在园区网内部数据互换模块的布署是分层进行的。园区网数据互换设备可以划分为三个层次：访问层、分布层、关键层。老式意义上的数据互换发生在OSI模型的第2层。现代互换技术还实现了第3层互换和多层互换。高层互换技术的引入不仅提高了园区网数据互换的效率，更大大增强了园区网数据互换服务质量，满足了不一样类型网络应用程序的需要。现代互换网络还引入了虚拟局域网（VirtualLAN，VLAN）的概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响在VLAN间需要通信的时候可以运用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（VlanTrunkingProtocol，VTP）简化管理，它只需在单独一台互换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有互换机上。这样，大大减轻了网络管理人员的工作承担和工作强度。当园区网络的互换机数量增多、互换机间链路增长时，互换网络的复杂性也许会导致互换环路问题这需要通过在各互换机上运行生成树协（SpanningTreeProtocol，STP）来处理。2.1 访问层互换服务的实现－配置访问层互换机访问层为所有的终端顾客提供一种接入点。这里的访问层互换机采用的是CiscoCatalyst295024口互换机（WS-C2950-24）。该互换机拥有24个10/100Mbps自适应迅速以太网端口，运行的是Cisco的IOS操作系统。这里，以图2-1中的访问层互换机AccessSwitch1为例进行简介。如图2-1所示：图2-1 访问层互换机AccessSwitch12.1.1 配置访问层交换机AccessSwitch1的基本1、设置互换机名称设置互换机名称，也就是出目前互换机CLI提醒符中的名字。一般以地理位置或行政划分来为互换机命名当需要Telnet登录到若干台互换机以维护一个大型网络时，通过互换机名称提醒符提醒自己目前配置互换机的位置是很有必要的。如图2-2所示，为访问层互换机AccessSwitc1命名。图2-2 为访问层互换机AccessSwitch1命名2、设置互换机的加密使能口令当顾客在一般顾客模式而想要进入特权顾客模式时，需要提供此口令。此口令会以MD5的形式加密，因此，当顾客查看配置文献时，无法看到明文形式的口令。如图2-3所示，将互换机的加密使能口令设置为secretpaswd。图2-3 为互换机设置加密使能口令3、设置登录虚拟终端线时的口令对于一种已经运行着的互换网络来说，互换机的带内远程管理为网络管理人员提供了诸多的以便。不过，出于安全考虑，在可以远程管理互换机之前网络管理人员必须设置远程登录互换机的口令。如图2-4所示，设置登录互换机时需要验证顾客身份，同步设置口令为youguess。图2-4 为访问层互换机AccessSwitch1命名4、设置终端线超时时间为了安全考虑，可以设置终端线超时时间。在设置的时间内，假如没有检测到键盘输入，IOS将断开顾客和互换机之间的连接。如图2-5所示，设置登录互换机的控制台终端线路及虚拟终端线的超时时间为5分30秒钟。图2-5 设置控制台终端线路和虚拟终端线路的超时时间5、设置禁用IP地址解析特性在互换机默认配置的状况下，当输入一条错误的互换机命令时，互换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。运用命令noipdomain-lookup。可以禁用这个特性。如图2-6所示，设置禁用IP地址解析特性。图2-6 设置禁用IP地址解析特性6、设置启用消息同步特性有时，顾客输入的互换机配置命令会被互换机产生的消息打乱。可以使用命令loggingsynchronous设置互换机在下一行CLI提醒符后复制顾客的输入。如图2-7所示，设置启用消息同步特性。图2-7 设置启用消息同步特性2.1.2 配置访问层交换机AccessSwitch1的管理IP、默认访问层互换机是OSI参照模型的第2层设备即数据链路层的设备因此，给访问层互换机的每个端口设置IP地址是没意义的不过为了使网络管理人员可以从远程登录到访问层互换机上进行管理，必须给访问层互换机设置一个管理用IP地址。这种状况下，实际上是将互换机当作和PC机同样的主机。给互换机设置管理用IP地址只能在VLAN1，即本征VLAN中进行。按照表2-1，管理VLAN所在的子网是：/24，这里将访问层互换机AccessSwitch1的管理IP地址设为：/24。如图2-8所示，显示了为访问层互换机AccessSwitch1设置管理IP并激活本征VLAN。图2-8 设置访问层互换机AccesSwitch1的管理IP为了使网络管理人员可以在不一样的子网管理此互换机，还应设置默认网关地址54。如图2-9所示。图2-9 设置访问层互换机AccesSwitch1的默认网关地址2.1.3配置访问层交换机AccessSwitch1的VLAN及从提高效率的角度出发，在本校园网实现实例中使用了VTP技术。同步，将分布层互换机DistributeSwitch1设置成为VTP服务器其他互换机设置成为VTP客户机。这里访问层互换机AccessSwitch1将通过VTP获得在分布层互换机DistributeSwitch1中定义的所有VLAN的信息。如图2-10所示，设置访问层互换机AccessSwitch1成为VTP客户机。图2-10 设置访问层互换机AccesSwitch1成为VTP客户机2.1.4 配置访问层交换机AccessSwitch1端口基本参数1、端口双工配置可以设定某端口根据对端设备双工类型自动调整本端口双工模式，也可以强制将端口双工模式设为半双工或全双工模式。在理解对端设备类型的状况下，提议手动设置端口双工模式。如图2-11所示，设置访问层互换机AccessSwitch1的所有端口均工作在全双工模式。图2-1 设置访问层互换机AccesSwitch1的端口工作模式2、端口速度可以设定某端口根据对端设备速度自动调整本端口速度，也可以强制将端口速度设为10Mpbs或100Mbps。在理解对端设备速度的状况下，提议手动设置端口速度。如图2-12所示，设置访问层互换机AccessSwitch1的所有端口的速度均为100Mbps。图2-12 设置访问层互换机AccessSwitch1的端口速度2.1.5 配置访问层交换机AccessSwitch1的访问访问层互换机AccessSwitch1为终端顾客提供接入服务。在图2-1中，访问层互换机AccessSwitch1为VLAN10、VLAN20提供接入服务。如图2-13所示，设置访问层互换机AccessSwitch1的端口1～端口10工作在访问（接入）模式。同步，设置端口1～端口10为VLAN10的组员。图2-13 设置访问层互换机AccesSwitch1的端口1～102、设置访问层互换机AccessSwitch1的端口11～20如图2-14所示设置访问层互换机AccessSwitch1的端口11～端口20工作在访问（接入）模式。同步，设置端口1～端口10为VLAN20的组员。图2-14 设置访问层互换机AccesSwitch1的端口1～203、设置迅速端口默认状况下，互换机在刚加电启动时，每个端口都要经历生成树的四个阶段：阻塞、侦听、学习、转发。在可以转发顾客的数据包之前，某个端口也许最多要等50秒钟的时（20秒的阻塞时间＋15秒的侦听延迟时间＋15秒的学习延迟时间）。对于直接接入终端工作站的端口来说用于阻塞和侦听的时间是不必要的。为了加速互换机端口状态转化时间，可以设置将某端口设置成为迅速端口（Portfast）。设置为迅速端口的端口当互换机启动或端口有工作站接入时将会直接进入转发状态，而不会经历阻塞、侦听、学习状态（假设桥接表已经建立）。如图2-15所示，设置访问层互换机AccessSwitch1的端口1～端口20为快速端口。图2-15 设置迅速端口2.1.6 配置访问层交换机AccessSwitch1的主干道端口如图2-1所示，访问层互换机AccessSwitch1通过端口FastEthernet0/23上连到分布层互换机DistributeSwitch1的端口FastEthernet0/23同步访问层交换机AccessSwitch1还通过端口FastEthernet0/24上连到分布层互换机DistributeSwitch2的端口FastEthernet0/23。这两条上连链路将成为主干道链路，在这两条上连链路上将运送多种VLAN的数据。如图2-16所示设置访问层互换机AccessSwitch1的端口FastEthernet0/23、FastEthernet0/24为主干道端口。图2-16 设置主干道端口2.1.7 配置访问层交换访问层互换机AccessSwitch2为VLAN30和VLAN40的顾客提供接入服务。同步分别通过自己的FastEthernet0/23FastEthernet0/24上连到分布层互换机DistributeSwitch1、DistributeSwitch2的端口FastEthernet0/24。如图2-17所示，是访问层互换机AccessSwitch2的连接示意图。图2-17 访问层互换机AccessSwitch2的连接示意图对访问层互换机AccessSwitch2的配置环节、命令和对访问层互换机AccessSwitch1的配置类似这里不再详细分析只给出最终的配置文献内容（只留下了必要的命令）。需要指出的是，为了提供主干道的吞吐量，可以采用链路捆绑（迅速以太网信道）技术增长可用带宽。例如，可以将访问层互换机AccessSwitch1的端口FastEthernet0/21和FastEthernet0/22捆绑在一起实现200Mbps的迅速以太网信道，然后再上连到分布层互换机DistributeSwitch1。同样，也可以将访问层互换机AccessSwitch1的端口FastEthernet0/23和FastEthernet0/24捆绑在一起实现200Mbps的快速以太网信道，然后再上连到分布层交换机DistributeSwitch2详细的配置环节和命令将在关键层互换机的配置一节中进行简介。2.1.8 访问层交换机的其它可选1、Uplinkfast访问层互换机AccessSwitch1通过两条冗余上行链路分别接入分布层互换机DistributeSwitch1和DistributeSwitch2在生成树的作用下其中一条上行链路处在转发状态，而另一条上行链路处在阻塞状态。当处在转发状态的链路因故障断开后，通过最多大概50秒钟的时间，处在阻塞状态的链路才能替代故障链路工作。Uplinkfast特性可以使得当主上行链路失败后，处在阻塞状态的上行链路（备份上行链路）可以立即启用。如图2-18所示，是在访问层互换机AccessSwitch1上启用Uplinkfast特性。同样的环节也可以在访问层互换机AccessSwitch2上进行配置。图2-18 启用Uplinkfast特性注意，Uplinkfast特性只能在访问层互换机上启用。2、BackbonefastBackbonefast的作用与Uplinkfast类似也用于加紧生成树的收敛所不一样的是，Backbonefast可以检测到间接链路（非直连链路）故障并立虽然得对应阻塞端口的最大寿命计时器届时，从而缩短该端口可以开始转发数据包的时间。如图2-19所示，是在访问层互换机AccessSwitch1上启用Backbonefast特性。同样的环节需要在网络中的所有互换机上进行配置。图2-19 启用Backbonefast特性注意，Backbonefast特性需要在网络中所有互换机上进行配置。2.2 分布层互换服务的实现－配置分布层互换机分布层除了负责将访问层互换机进行汇集外，还为整个互换网络提供VLAN间的路由选择功能。这里的分布层互换机采用的是CiscoCatalyst3550互换机作为3层互换机，CiscoCatalyst3550互换机拥有24个10/100Mbps自适应迅速以太网端口，同时尚有2个1000Mbps的GBIC端口供上连使用，运行的是Cisco的IntegratedIOS操作系统。这里，以图2-1中的分布层互换机DistributeSwitch1为例进行简介。如图2-20所示：图2-20 分布层互换机DistributeSwitch12.2.1 配置分布层交换机DistributeSwitch1的基本对分布层互换机DistributeSwitch1的基本参数的配置环节与对访问层互换机AccessSwitch1的基本参数的配置类似。这里，只给出实际的配置环节，不再给出详细解释，如图2-21所示。图2-21 配置分布层互换机DistriuteSwitch1的基本参数2.2.2 配置分布层交换机DistributeSwitch1的管理IP、默认如图2-22所示显示了为分布层互换机DistributeSwitch1设置管理IP并激活本征VLAN。同步，还设置了默认网关的地址。图2-22 分布层互换机DistributeSwitch1理IP、默认网关2.2.3 配置分布层交换机DistributeSwitch1当网络中互换机数量诸多时，需要分别在每台互换机上创立诸多反复的VLAN工作量很大过程很繁琐并且轻易出错在实际工作中常采用VLAN中继协议（VlanTrunkingProtocol，VTP）来处理这个问题。VTP容许在一台互换机上创立所有的VLAN。然后，运用互换机之间的互相学习功能将创立好的VLAN定义传播到整个网络中需要此VLAN定义的所有互换机上同步有关VLAN的删除参数更改操作均可传播到其他互换机。从而大大减轻了网络管理人员配置互换机的承担。在本校园网实现实例中使用了VTP技术。同步，将分布层互换机DistributeSwitch1设置成为VTP服务器，其他互换机设置成为VTP客户机。1、配置VTP管理域共享相似VLAN定义数据库的互换机构成一种VTP管理域。每一种VTP管理域均有一种共同的VTP管理域域名。不一样VTP管理域的互换机之间不交换VTP通告信息。如图2-23所示，将VTP管理域的域名定义为“chinaitlab”。图2-23 设置VTP管理域的域名2、设置VTP服务器工作在VTP服务器模式下的互换机可以创立删除VLAN修改VLAN参数。同步，尚有责任发送和转发VLAN更新消息。如图2-24所示，设置分布层互换机DistributeSwitch1成为VTP服务器。图2-24 设置分布层互换机DistriuteSwitch1成为VTP服务器3、激活VTP剪裁功能默认状况下主干道传播所有VLAN的顾客数据。有时，互换网络中某台交换机的所有端口都属于同一VLAN的组员没有必要接受其他VLAN的顾客数据这时可以激活主干道上的VTP剪裁功能当激活了VTP剪裁功能后来，互换机将自动剪裁本互换机没有定义的VLAN数据。在一种VTP域下，只需要在VTP服务器上激活VTP剪裁功能。同一VTP域下的所有其他互换机也将自动激活VTP剪裁功能。如图2-25所示，设置激活VTP剪裁功能。图2-25 激活VTP剪裁功能2.2.4 在分布层交换机DistributeSwitch1上定在本校园网实现实例中，除了默认的本征VLAN外，又额外定义了8个VLAN，如表2-1所示。由于使用了VTP技术，因此，所有VLAN的定义都只需要在VTP服务器，即分布层互换机DistributeSwitch1上进行。如图2-26所示，定义了8个VLAN，同步为每个VLAN命名。2.2.5 配置分布层交换机DistributeSwitch1的端口基本分布层互换机DistributeSwitch1的端口FastEthernet0/1～FastEthernet0/10为服务器群提供接入服务，而端口FastEthernet0/23、FastEthernet0/24分别下连到访问层互换机AccessSwitch1的端口FastEthernet0/23以及访问层互换机AccessSwitch2的端口FastEthernet0/23。此外，分布层交换机 DistributeSwitch1 还通过自己的千兆端口GigabitEthernet0/1上连到关键互换机CoreSwitch1的GigabitEthernet3/1。为了实现冗余设计，分布层互换机DistributeSwitch1还通过自己的千兆端口GigabitEthernet0/2连接另一台到分布层交换机DistributeSwitch2的GigabitEthernet0/2。如图2-27所示，给出了对所有访问端口、主干道端口的配置环节和命令。图2-26 定义VLAN图2-27 设置分布层互换机DistriuteSwitch1的各端口参数2.2.6 配置分布层交换机DistributeSwitch1的3层交换分布层互换机DistributeSwitch1需要为网络中的各个VLAN提供路由功能。这需要首先启用分布层互换机的路由功能。如图2-28所示。图2-28 启用路由功能接下来，需要为每个VLAN定义自己的默认网关地址，如图2-29所示。图2-29 定义各VLAN的默认网关地址此外还需要定义通往Internet的路由这里使用了一条缺省路由命令如图2-30所示。其中，下一跳地址是Internet接入路由器的迅速以太网接口FastEthernet0/0的IP地址。图2-30 定义到Intert的缺省路由2.2.7 配置分布层交换分布层互换机DistributeSwitch2的端口FastEthernet0/23FastEthernet0/24分别下连到访问层互换机AccessSwitch1的端口FastEthernet0/24以及访问层交换机AccessSwitch2的端口FastEthernet0/24。此外，分布层交换机 DistributeSwitch2 还通过自己的千兆端口GigabitEthernet0/1上连到关键互换机CoreSwitch1的GigabitEthernet3/2。为了实现冗余设计，分布层互换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet0/2连接到分布层互换机DistributeSwitch1的GigabitEthernet0/2。如图2-31所示。图2-31 分布层互换机DistributeSwitch2对分布层互换机DistributeSwitch2的配置环节、命令和对分布层互换机DistributeSwitch1的配置类似。这里，不再详细分析。2.2.8 其它配置为了实现对无类别网络（ClasslessNetwork）以及全零子网（Subnet-zero）的支持，在充当3层互换机的分布层互换机DistributeSwitch1上，还需要进行对应的配置，如图2-32所示。图2-32 定义对无类别网络以及全零子网的支持2.3 关键层互换服务的实现－配置关键层互换机关键层将各分布层互换机互连起来进行穿越园区网骨干的高速数据互换。本实例中的关键层互换机采用的是CiscoCatalyst4006互换机，采用了Catalyst4500SupervisorIIPlu（WS-X4013+作为互换机引擎运行的是Cisco的IntegratedIOS操作系统，其镜像文献是CAT400.6-3-5.BI在作为关键层互换机的CiscoCatalyst4006互换机中安装了WS-X4306-GB（Catalyst4000GigabitEthernetModule,6-Ports（GBIC））模块，该模块提供了5个千兆光纤上连接口，可以用来接入WS-G5484（1000BASE-SX ShortWavelength GBIC（Multimodeonly））。这里，以图2-1中的关键层互换机CoreSwitch1为例进行简介。如图2-33所示：图2-33 关键层互换机CoreSwitch12.3.1 配置核心层交换机CoreSwitch1的基本对关键层互换机CoreSwitch1的基本参数的配置环节与对访问层互换机AccessSwitch1的基本参数的配置类似这里只给出实际的配置环节不再给出详细解释，如图2-34所示。图2-34 配置关键层互换机CoreSwitch1的基本参数2.3.2 配置核心层交换机CoreSwitch1的管理IP、默认如图2-35所示显示了为关键层互换机CoreSwitch1设置管理IP并激活本征VLAN。同步，还设置了默认网关的地址。图2-35 关键层互换机CoreSwitch1的管理IP、默认网关2.3.3 配置核心层交换机CoreSwitch1的的VLAN在本实例中，关键层互换机CoreSwitch1也将作为VTP客户机。这里核心层交换机 CoreSwitch1 将通过 VTP 获得在分布层交换机DistributeSwitch1中定义的所有VLAN的信息。如图2-36所示，设置关键层互换机CoreSwitch1成为VTP客户机。图2-36 设置关键层互换机CoreSwitch1为VTP客户机2.3.4 配置核心层交换机CoreSwitch1的端口关键层互换机CoreSwitch1通过自己的端口FastEthernet4/3同广域网接入模块（Internet路由器）相连。同步，关键层互换机CoreSwitch1的端口GigabitEthernet3/1～GigabitEthernet3/2分别下连到分布层交换机DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet0/1。如图2-37所示，给出了对上述端口的配置命令。图2-37 设置关键层互换机CoreSwitch1的各端口参数此外，为了提供主干道的吞吐量以及实现冗余设计，在本设计中，将关键层互换机CoreSwitch1的千兆端口GigabitEthernet2/1GigabitEthernet2/2捆绑在一起实现Mbps的千兆以太网信道，然后再连接到另一台关键层互换机CoreSwitch2。如图2-38所示，是设置关键层互换机CoreSwitch1的千兆以太网信道的步骤。图2-38 设置关键层互换机CoreSwitch1的千兆以太网信道2.3.5 配置核心层交换机CoreSwitch1的路由关键层互换机CoreSwitch1通过端口FastEthernet4/3同广域网接入模块（Internet路由器相连因此需要启用关键层互换机的路由功能同步还需要定义通往Internet的路由这里使用了一条缺省路由命令如图2-39所示。其中，下一跳地址是Internet接入路由器的迅速以太网接口FastEthernet0/0的IP地址。图2-39 定义到Intert的缺省路由如图所示。2.3.6 其它配置为了实现对无类别网络（ClasslessNetwork）以及全零子网（Subnet-zero）的支持，在充当3层互换机的关键层互换机CoreSwitch1，也需要进行对应的配置，如图2-40所示。图2-40 定义对无类别网络以及全零子网的支持2.3.7 核心层交换机CoreSwitch2的对于图2-1-中的关键层互换机CoreSwitch2的配置环节命令和对关键层交换机CoreSwitch1的配置类似。这里，不再详细分析。同步，对于配置关键层互换机CoreSwitch2下连的一系列互换机，其连接措施以及配置环节和命令同图2-1-中关键层互换机CoreSwitch1下连的一系列互换机的连接措施以及配置环节和命令类似。这里也不再赘述。3 广域网接入模块设计在本实例设计中，广域网接入模块的功能是由广域网接入路由器InternetRouter来完毕的。采用的是Cisco的3640路由器。它通过自己的串行接口serial0/0使用DDN（128K）技术接入Internet。其作用重要是在Internet和校园网内网间路由数据包。除了完毕重要的路由任务外，利用访问控制列表（AccessControlListACL广域网接入路由器InternetRouter还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能如图3-1所示。图3-1 广域网接入路由器IntertRouter3.1 配置接入路由器InternetRouter的基本参数对接入路由器InternetRouter的基本参数的配置环节与对访问层互换机AccessSwitch1的基本参数的配置类似这里只给出实际的配置环节不再给出详细的解释，如图3-2所示。图3-2 配置接入路由器Interetouter的基本参数3.2 配置接入路由器InternetRouter的各接口参数对接入路由器 InternetRouter的各接口参数的配置主要是对接口FastEthernet0/0以及接口Serial0/0的IP地址、子网掩码的配置。如图3-3所示，显示了为接入路由器InternetRouter的各接口设置IP地址、子网掩码。图3-3 设置接入路由器Interetouter的各接口参数3.3 配置接入路由器InternetRouter的路由功能在接入路由器InternetRouter上需要定义两个方向上的路由到校园网内部的静态路由以及到Internet上的缺省路由。到Internet上的路由需要定义一条缺省路由，如图3-4所示。其中，下一跳指定从本路由器的接口serial0/0送出。图3-4 定义到Intert的缺省路由到校园网内部的路由条目可以通过路由汇总后形成两条路由条目如图3-5所示。图3-5 定义到校园网内部的路由3.4 配置接入路由器InternetRouter上的NAT由于目前IP地址资源非常稀缺，不也许给校园网内部的所有工作站都分派一种公有I（Internet可路由的地址为了处理所有工作站访问Internet的需要，必须使用NAT（网络地址转换）技术。为了接入Internet，本校园网向当地ISP申请了9个IP地址。其中一种IP地址被分派给了Internet接入路由器的串行接口此外8个IP地址：～用作NAT。NAT的配置可以分为如下几种环节：1、定义NAT内部、外部接口图3-6显示了怎样定义NAT内部、外部接口。图3-6 定义T内部、外部接口2、定义容许进行NAT的工作站的内部局部IP地址范围图3-7显示了怎样定义容许进行NAT的内部局部IP地址范围。图3-7 定义工作站的内部局部IP地址范围3、为服务器定义静态地址转换图3-8显示了怎样为服务器定义静态地址转换。图3-8 为服务器定义静态地址转换4、为其他工作站定义复用地址转换图3-9显示了怎样为其他工作站定义复用地址转换。图3-9 为工作站定义复用地址转换3.5 配置接入路由器InternetRouter上的ACL路由器是外网进入校园网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表（AccessControlList，ACL）是保护内网安全的有效手段。一种设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增长网络系统软、硬件投资的状况下完毕一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，因此虽然在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙自身实行保护。在本实例设计中，将针对服务器以及内网工作站的安全给出广域网接入路由器InternetRouter上ACL的配置方案。在网络环境中普遍存在着某些非常重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应当对外加以屏蔽的。重要应当做如下的ACL设计：1、对外屏蔽简朴网管协议，即SNMP。运用这个协议，远程主机可以监视、控制网络上的其他网络设备。它有两种服务类型：SNMP和SNMPTRAP。如图3-10所示，显示了怎样设置对外屏蔽简朴网管协议SNMP。图3-10 对外屏蔽简朴网管协议SNMP2、对外屏蔽远程登录协议telnet首先telnet可以登录到大多数网络设备和UNIX服务器并可以使用有关命令完全操纵它们。另一方面，telnet是一种不安全的协议类型。顾客在使用telnet登录网络设备或服务器时所使用的顾客名和口令在网络中是以明文传播的，很轻易被网络上的非法协议分析设备截获这是极其危险的因此必须加以屏蔽。如图3-11所示，显示了怎样对外屏蔽远程登录协议telnet。图3-1 对外屏蔽远程登录协议tlnet3、对外屏蔽其他不安全的协议或服务这样的协议重要有SUNOS的文献共享协议端口2049，远程执行（rsh）、远程登录（rlogin）和远程命令（rcmd）端口512、513、514，远程过程调用（SUNRPC）端口111。可以将针对以上协议综合进行设计，如图3-12所示。图3-12 对外屏蔽其他不安全的协议或服务4、针对DoS袭击的设计DoS袭击（DenialofServiceAttack，拒绝服务袭击）是一种非常常见并且极具破坏力的袭击手段，它可以导致服务器、网络设备的正常服务进程停止，严重时会导致服务器操作系统瓦解。图3-13显示了怎样设计针对常见DoS攻击的ACL。图3-13 针对DoS袭击的设计5、保护路由器自身安全作为内网外网间屏障的路由器保护自身安全的重要性也是不言而喻的。为了制止黑客入侵路由器，必须对路由器的访问位置加以限制。应只容许来自服务器群的IP地址访问并配置路由器。这时，可以使用ACCESS-CLASS命令进行VTY访问控制。如图3-14所示。图3-14 保护路由器自身安全3.6 其他配置为了实现对无类别网络（ClasslessNetwork）以及全零子网（Subnet-zero）的支持，在接入路由器InternetRouter上还需要进行合适的配置，如图3-15所示。图3-15 定义对无类别网络以及全零子网的支持4 远程访问模块设计远程访问也是园区网络必须提供的服务之一。它可认为家庭办公顾客和出差在外的员工提供远程、移动接入服务。如图4-1所示。图4-1 远程访问服务远程访问有三种可选的服务类型：专线连接、电路互换和包互换。不一样的广域网连接类型提供的服务质量不一样，花费也不相似。在本设计中，由于面对的顾客群规模、业务量较小，因此采用了异步拨号连接作为远程访问的技术手段。异步拨号连接属于电路互换类型的广域网连接，它是在老式公共互换电话网（PublicSwitchedTelephoneNetwork，PSTN）上提供服务的。老式PSTN提供的服务也被称为简易老式电话业务（PlanOldTelephoneSystem，POTS）。由于目前存在着大量安装好的电话线所以这样的环境是最轻易满足的因此，异步拨号连接也就成为最为方便和普遍的远程访问类型。广域网连接可以采用不一样类型的封装协议，如HDLC、PPP等。其中，PPP除了提供身份认证功能外，还可以提供其他诸多可选项配置，包括链路压缩、多链路捆绑回叫等因此更具优势本设计所采用的异步连接封装协议是PPP。在本设计中采用了可以集成在广域网接入路由器InternetRotuer中的异步Modem模块NM-16AM（16PortAnalogModemNetworkModule）提供远程访问服务。它可以同步对最多16路拨号顾客提供远程接入服务。如下简介一下配置异步拨号模块NM-16AM的环节。4.1 配置物理线路的基本参数对物理线路的配置包括配置线路速度（DTE、DCE之间的速率）、停止位位数、流控方式、容许呼入连接的协议类型、容许流量的方向等。如图4-2所示。图4-2 配置物理线路的基本参数4.2 配置接口基本参数对接口基本参数的配置包括接口封装协议类型接口异步模式IP地址、为远程客户分派IP地址的方式等，如图4-3所示。这里，设置远程客户从IP地址池rasclients中获得IP地址。图4-3 配置接口基本参数接下来，需要建立一种当地的IP地址池。如图4-4所示，建立了一种名为rasclients的IP地址池。其IP地址范围是：～6。图4-4 指定IP地址池4.3 配置身份认证PPP提供了两种可选的身份认证措施：口令验证协议PAP（PasswordAuthenticationProtocol，PAP）和质询握手协议（ChallengeHandshakeAuthenticationProtocol，CHAP）。PAP是一种简朴的、实用的身份验证协议。PAP认证进程只在双方的通信链路建立初期进行。假如认证成功，在通信过程中不再进行认证。假如认证失败，则直接释放链路。CHAP认证比PAP认证更安全，由于CHAP不在线路上发送明文密码，而是发送通过摘要算法加工过的随机序列，也被称为“挑战字符串”。同时，身份认证可以随时进行，包括在双方正常通信过程中。因此，非法顾客就算截获并成功破解了一次密码，此密码也将在一段时间内失效。CHAP对端系统规定很高，由于需要多次进行身份质询、响应。这需要耗费较多的CPU资源，因此只用在对安全规定很高的场所。PAP虽然有着顾客名和密码是明文发送的弱点，不过认证只在链路建立初期进行，因此节省了宝贵的链路带宽。本设计中将采用PAP身份认证措施。1、建立当地口令数据库如图4-5所示建立当地口令数据库。图4-5 建立当地口令数据库2、设置进行PAP认证如图4-6所示设置进行PAP认证。图4-6 设置进行P认证5 服务器模块设计服务器模块用来对校园网的接入顾客提供多种服务。在本设计实例中，所有的服务器被集中到VLAN100，构成服务器群并通过度布层互换机DistributeSwitch1的端口fastethernet1～20接入校园网。如图5-1所示。图5-1 服务器群校园网网络提供的常用服务（服务器）包括：z WEB服务器：提供WEB网站服务。z DNS、目录服务器：提供域名解析以及目录服务。z FTP、文献服务器：提供文献传播、共享服务。z 邮件服务器：提供邮件收发服务。z 数据库服务器：提供多种数据库服务。z 打印服务器：提供打印机共享服务。z 实时通信服务器：提供实时通信服务。z 流媒体服务器：提供多种流媒体播放、点播服务。z 网管服务器：对校园网网络设备进行综合管理。如图5-2所示。显示了各服务器IP地址配置状况。图5-2 各服务器IP地址配置表2给出了所有的服务器硬件平台、操作系统以及服务软件的选型表。表2 限于篇幅，对于多种服务器的安装、配置环节以及运行维护措施，这里不再赘述。感爱好的读者可以参看有关参照书。6 系统测试6.1 系统测试前面几节对怎样设计一种较为完整的校园网网络进行了详细的简介。当校园网初具规模后，还应当对校园网的整体运行状况做一下细致的测试和评估。重要的测试内容应当包括：z 对管理IP地址的测试。z 对相似VLAN内的通信进行测试。z 对不一样VLAN内的通信进行测试。z 对冗余链路的工作状态进行测试。z 对广域网接入路由器上的NAT进行测试。z 对广域网接入路由器上的ACL进行测试。z 对远程访问服务进行测试。z 对多种服务器提供的服务进行测试。至于详细的测试环节，限于篇幅，不再赘述。这里，只给出有关测试、诊断命令。6.2 有关测试、诊断命令本文的最终，按不一样的功能按每种技术分类，给出路由器或互换机上常用的有关测试、诊断命令。同步，还给出了每一命令的作用。6.2.1 通用测试、诊断1、pingx.x.x.x原则ping命令。用于测试设备间的物理连通性。2、ping扩展ping命令也用于测试设备间的物理连通性扩展ping命令还支持灵活定义ping参数，如ping数据包的大小，发送包的个数，等待响应数据包的超时时间等。3、traceroutex.x.x.x命令traceroute用于跟踪、显示路由信息。4、showrunning-config命令showrunning-config用于显示路由器、互换机运行配置文献的内容。5、showstartup-config命令showstartup-config用于显示路由器、互换机启动配置文献的内容。6、showsessions命令showsessions用于显示从目前设备发出的所有呼出Telnet会话。7、disconnect命令disconnect用于断开与远程目的主机的Telnet会话。8、showusers命令showusers用于查看呼入Telnet会话状况。命令clearline用于断开远程主机的呼入Telnet连接。10、shutdown命令shutdown用于临时将某个接口关闭。11、noshutdown命令noshutdown用于手动启动（激活）处在管理性关闭的接口。12、showarp命令showarp用于显示ARP缓存（ARP表）的内容。13、showiparp命令showiparp用于显示IPARP缓存（ARP表）的内容。14、showinterfaces命令showinterface用于显示各接口的状态及参数信息。15、showipinterface命令showipinterface用于显示IP接口的状态及配置信息。命令showversion用于显示路由器硬件配置、软件版本等信息。17、Ctrl+Shift