网络工程课程设计报告详细版

02-武汉工业学院计算机系网络工程设计——课程设计报告课设名称：XX校园网的规划与设计班级：姓名：学号：课设时间：目录TOC\o"1-2"\p""\h\z\u一、摘要……………………-2-二、前言……………………-3-三、需求分析………………-4-1、随时随地接入的需求………………-4-2、骨干网络高性能、高稳定可靠的需求……………-4-3、出口区域对性能和功能需求………-5-4、来自网络安全的需求………………-5-5、方便运营管理的需求………………-6-6、强大数据中心建设的需求…………-7-四、网络规划………………-8-（一）拓扑设计与设计原则…………-8-（二）结构化布线系统……………………-9-（二）网络结构分析……………………-11-（三）网络架构设计与拓扑结构………-11-五、主要技术设计的具体配置过程…………-15-（一）汇聚模块交换服务的实现－配置汇聚模块交换机…………-15-（二）核心层交换服务的实现——配置核心层交换机………………-18-（三）配置接入路由器InternetRouter………………-19-（四）服务器模块设计………………-22-六、设计体会…………………-23-

一、摘要本设计方案主要完成对XX校园网络的组网规划，布线组网及解决方案。主要介绍了XX校园网中主干传输网和Internet接入网的组网，所要完成的是组网的整个过程，重点的说明了校园网的设计思想、网络拓扑图。校园网的详细设计过程主要是从校园网主干传输网方案设计，Internet接入方案设计，子网划分设计，网络设备选型方案设计及其网络管理系统方案设计这几个方面。关键词：网络拓扑图；IP划分；主干网设计。

二、前言当今的世界正从工业化社会向信息化社会转变。一方面，社会经济已由基于资源的经济逐渐转向基于知识的经济，人们对信息的需求越来越迫切，信息在经济的发展中起着越来越重要的作用，信息的交流成为发展经济最重要的因素。另一方面，随着计算机、网络和多媒体等信息技术的飞速发展，信息的传递越来越快捷，信息的处理能力越来越强，信息的表现形式也越来越丰富，对社会经济和人们的生活产生了深刻的影响。这一切促使通信网络由传统的电话网络向高速多媒体信息网发展。快速、高效的传播和利用信息资源是21世纪的基本特征。掌握丰富的计算机及网络信息知识不仅仅是素质教育的要求而且也是学生掌握现代化学习与工作手段的要求。因此，学校校园网的有无及水平的高低，也将成为评价学校及学生选择学校的新的标准之一。Internet及WWW应用的迅猛发展，极大的改变着我们的生活方式。信息通过网络，以不可逆转之势，迅速打破了地域和时间的界限，为更多的人共享。而快速、高效的传播和利用信息资源正是二十一世纪的基本特征。学校作为信息化进程中极其重要的基础环节，如何通过网络充分发挥其教育功能，已成为当今的热门话题。随着学校教育手段的现代化，很多学校已经逐渐开始将学校的管理和教学过程向电子化方向发展，校园网的有无以及水平的高低也将成为评价学校及学生选择学校的新的标准之一，此时，校园网上的应用系统就显得尤为重要。一方面，学生可以通过它在促进学习的同时掌握丰富的计算机及网络信息知识，毫无疑问，这是学生综合素质中极为重要的一部分；另一方面，基于先进的网络平台和其上的应用系统，将极大的促进学校教育的现代化进程，实现高水平的教学和管理。学校目前正加紧对信息化教育的规划和建设。开展的校园网络建设，旨在推动学校信息化建设，其最终建设目标是将建设成为一个借助信息化教育和管理手段的高水平的智能化、数字化的教学园区网络，最终完成统一软件资源平台的构建，实现统一网络管理、统一软件资源系统，并保证将来可扩展骨干网络节点互联带宽为10G，为用户提供高速接入网络，并实现网络远程教学、在线服务、教育资源共享等各种应用；利用现代信息技术从事管理、教学和科学研究等工作。最终达到在网络方面，更好的对众多网络使用及数据资源的安全控制，同时具有高性能，高效率，不间断的服务，方便的对网络中所有设备和应用进行有效的时事控制和管理。

三、需求分析根据我校的实际情况分析，扩建后网络设计应满足以下几点需求：由一个主干网和多个子网组成校园局域网（Intranet）。主干网接入湖北教育网后代理接入全球互联信息网外接（Internet），各子网再接入主干通信网。主干网接入采用光纤接入宽带网，速率可在1000M。主干为千兆线路，其它线路为超五类双绞线。每个楼中都有局域网，终端PC各应用平台的建设均可接入骨干网，构成子网应用平台。1、随时随地接入的需求首先，师生对于网络接入有着强烈的需求。原因有二：一方面，随着近年来国家对高等教育的大力发展和支持，在校生人数普遍呈现上升趋势。另一方面，是由于国家经济实力的增强，技术的发展带来的低成本，导致电脑的普及率也越来越高（据不完全统计，在很多的高校，台式/PC的拥有率可以达到70%）。其次，在部分热点区域，或者难以布线的区域需要一种切实可行的高性价比的接入方式。也就是采用无线作为补充或者备份。比如广场/操场、体育馆、阅览室、会议室、阶梯教室等，这些区域对于笔记本用户需要能够提供接入服务，而这时有线接入是行不通的。又比如校内的某栋较偏远的办公楼或者某几栋家属楼，上网用户有限，进行独立布线成本较高，所以，同样需要进行无线的接入方式。简言之，网络作为一个底层的平台，需要师生能够随时随地的方便的接入。这就强调有线网络和无线网络的结合——适合无线网络的地方用无线网络，适合有线网络的地方用有线网络。当然，两者可以有一定的冗余，甚至部分区域会采用无线网络进行备份。目前，从全国来看，众多的高校已经在考虑，甚至已经部署了无线网络。但是仍然存在了无线设备带机数不够、安全性不足、无法很好的进行用户和设备管理的问题。2、骨干网络高性能、高稳定可靠的需求首先是高性能。校园网中用户数在不断增加，并且随着网络应用技术的不断丰富，校园网应用也愈发复杂，例如FTP、VOD点播等大数据量的访问，尤其目前流行的P2P的应用产生了巨大的网络流量，如何高速进行网络传输，对网络设备的性能提出了很高的要求。实际情况中，依然有很多高校使用的骨干设备是集中式表查询和集中式转发模式的。很多时候，老师们抱怨网络很慢，而设备性能不够是其中一个很重要的原因。其次是稳定可靠。一方面，未来的社会是信息的社会，当前随着校内师生员工的工作、科研、学习、生活、娱乐越来越离不开网络（例如：无纸化办公、网络教学、视频会议和VOD点播、网上购物等业务的开展），网络的稳定可靠性就显得愈发重要——网络随便断开几小时也无所谓的历史已经过去了。另一方面，在应用丰富的同时，网络环境也变得异常恶劣。近两年，安全攻击事件呈指数级上升而所需要的知识却越来越弱化，各种攻击工具在网络上可以随手拈来。这也对网络设备在网络攻击或者病毒泛滥情况下的稳定可靠提出了挑战。目前，在校使用的设备中还存在大量早期采购的设备，这些设备在启用了安全规则情况下性能急剧下降--在受到网络攻击或病毒泛滥的时候，CPU利用率居高不下，设备稳定性降低，很可能死机/宕机。由此分析看来，随着用户数增加、应用的复杂，导致网络流量的飞速提升，需要保证多用户、大流量情况下骨干的高带宽，骨干设备的线速转发；随着师生日常对于网络的依赖性的增强，和网络环境的日趋恶劣，需要保证做到骨干网络一定级别的稳定可靠性（比如四个九-99.99%）。3、出口区域对性能和功能需求对于出口，最主要有两个方面的需求：一方面，需要进行多出口的策略部署，并且需要解决多出口部署下的性能问题。具体来说，NAT（地址转换）就是上网速度慢的一个重要原因，另外设备启用策略路由时，造成设备性能的下降，也影响整个出口的效能和稳定性。究其根本，设备的性能是一个很大的原因（对于NAT（地址转换）支持的优劣，有两个很重要的依据，那就是“并发会话数”和“新建会话数”）另一方面，对于出口设备的功能也还是需要引起注意。比如，《互联网安全保护技术措施规定》在2005年11月23日公安部部长办公会议通过，并自2006年3月1日起已经施行。（该规定简称“82号令”）规定对用户信息、用户上网记录、地址转换记录、设备状态记录等都有要求。一旦不符合日志要求，极可能面临整顿或者关闭网络的危机。关于出口区域问题的分析，请详细查看《锐捷网络高教出口解决方案》中的分析。4、来自网络安全的需求第一，学校面临着严峻的网络安全形势。越来越多的报道表明校园网已逐渐成为黑客的聚集地。这一方面是由于网络病毒、黑客工具的泛滥，用户安全意识的淡薄，而另一方面，在校学生——这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心，他们有着探索的高智商和冲劲，却缺乏全面思考的责任感。有关数字显示，目前校园网遭受的恶意攻击，90%来自学校网络内部，如何保障校园网络的安全成为校园网络建设时不得不考虑的问题。第二，网络安全一定是全方位的安全。首先，网络出口、数据中心、服务器等重点区域要做到安全过滤；其次，不管接入设备，还是骨干设备，设备本身需要具备强大的安全防护能力，并且安全策略部署不能影响到网络的性能，不造成网络单点故障；最后，要充分考虑全局统一的安全部署，需要能够从准入控制，到对网络安全事件进行深度探测，到现有安全设备有机的联动，到对安全事件触发源的准确定位和根据身份进行的隔离、修复措施，从而能对网络形成一个由内至外的整体安全构架。所以，在对出口等重点区域进行安全部署的同时，要更加全面的考虑安全问题，让整个网络从设备级的安全上升一个台阶，摆脱仅仅局部加强某个单点的安全强度的手段。5、方便运营管理的需求首先，校园网需要进行合理的运营。第一、校园网的投资较大，加上每年的维护成本，对于学校并不是一笔可以忽视的开支；第二、根据各校的情况，进行合理的运营收费，依靠市场化的手段能够推动校园网的运作规范化和提高建设水平。当然，学校不是运营商，运营的模式和业务流程并不清晰。而学校收费和学生缴费又是一对天然的矛盾，当前不少学校采用的运营模式与学校实际的情况差距太大，无法有效杜绝学生逃避收费等问题一直困扰着学校的网管人员。其次，有效的管理可以从用户管理和设备管理两方面来看。对于用户管理，最重要的是能够实现事前的身份认证和准确定位、事中的实时处理、事后的完整日志审计。事前的认证和定位是指可严格实现用户身份识别，根据用户账号、密码、MAC地址、IP地址、交换机IP、交换机端口号、用户所在VLAN的灵活组合，来识别用户身份。将网络中的虚拟用户和生活中的真实用户相对应；事中的实时处理是指对于正在是用网络的用户，如果出现私自拨号上网、使用代理、更改IP地址等，认证计费系统会强制用户下线。对于感染病毒，出现安全事件的用户，结合全局安全通过安全联动来进行隔离、阻断和修复，以保证校园网的安全。事后的日志审计是指记录用户上网的详细信息（包括用户名、IP、MAC等）及完整的用户访问外网的记录（包括源IP、目的IP、源端口、目的端口、访问时间），一旦出现安全事件，可以进行快速完整的审计，迅速定位到个人。对于设备管理，需要的是统一有效的网络管理系统。能够直观全面地监控整个网络和各种设备的运行状态，记录和深入分析网络流量，及时报告各种故障和性能问题，协助管理员找到故障的起源，并且对网络的性能变化和故障发生提前进行预测。学校用户数和网络节点数众多，因此难以一体化管理众多的设备和用户，出现网络故障无法快速定位、IP地址盗用、IP地址冲突等问题日益严重，如何利用有限的人力物力对网络进行高效管理也成为学校考虑的着重点。6、强大数据中心建设的需求第一，学校仍然采用的是直接存储在服务器硬盘上的方式，也就是我们所说的直连存储（DAS）。这种方式存在众多的问题。1、不同的数据存储在不同服务器的硬盘上，造成有些服务器硬盘空间已满，而有些服务器硬盘空间却闲置。空间扩展比较困难，并且服务器之间无法进行空间共享。2、随着应用的不断丰富，访问量的增加，办公、教学、科研对网络的依赖，服务器的性能受到强烈的考验。最终可能成为性能的瓶颈。第二、随着计算机信息系统的不断发展，用户的核心业务越来越依赖于信息系统的可靠运行，信息系统中的关键业务数据已经成为用户最为重要的资产。因此，对关键的业务数据进行备份保护刻不容缓。尤其美国911事件的发生，世界各地各行各业越发重视重要数据的备份和容灾。但是当前绝大多数国内高校，对于关键数据，比如财务资料、学籍/档案、学术论文等资料都还没有进行有效的备份或容灾。一旦数据毁坏/丢失，后果不堪设想。也正是基于对存在问题的认识和目前各种应用带来的数据存储的实际需求，很多高校已经开始进行数据中心的建设，那么数据中心建设，应该达到怎样的目标？数据中心的存储设备应该如何选择？都是需要重点考虑的问题。

四、网络规划（一）拓扑设计与设计原则局域网采用星型网络拓朴结构，星型拓朴结构为现在较为流行的一种网络结构，它是以一台中心处理机（通信设备）为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法为入网机器服务，所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理，因此，对中央节点的要求比较高。优点是网络结构简单，易于维护，便于管理（集中式）；每台入网机均需物理线路与处理机互连，线路利用率低；处理机负载重（需处理所有的服务），因为任何两台入网机之间交换信息，都必须通过中心处理机；入网主机故障不影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。办公电脑建议采用品牌的商用机，商用机运行比较稳定，而且比较耐用，运算速度较快，较适于开发使用。校园网络系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上、系统能力上要保持五年左右的先进性。并且从学校的利益出发，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据校园网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标是：高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络平台。我遵循以下的原则进行网络设计：1.实用性和经济性网络建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设的千兆骨干网络平台，保护用户的投资。2.先进性和成熟性网络建设设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证贵校网络建设的领先地位，采用千兆以太网技术来构建网络主干线路。3.可靠性和稳定性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。为了保证骨干网络平台的健壮性和链路冗余性，网络实施时在学校启用千兆备份线路。在学校启用物理链路冗余机制，保证任何一条线路出现故障后骨干网络平台的可用性。4.安全性和保密性在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等，针对的各种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定（过滤）、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。5.可扩展性和可管理性由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，我们必须选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加新的设备，而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展，现有模块不支持新技术的情况下，只需要更换相应模块，而不需要更换整个设备。为了适应网络结构变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护。为了便于扩展，对于核心设备必须采用模块化高密度端口的设备，便于将来升级和扩展。先进的设备必须配合先进的管理和维护方法，才能够发挥最大的作用。全线采用基于SNMP标准的可网管产品，达到全程网管，降低了人力资源的费用，提高网络的易用性、可管理性，同时又具有很好的可扩充性。（二）结构化布线系统⑴工作区子系统工作区子系统采用Lucent的MPS100E-262单口模块及模块面板、B-86型方盒来构建，实现五类双绞线在用户端的端接，然后，用户通过两端带RJ-45的数据线实现模块与网络设备的连接。总共需要：MPS100E-262单口模块80个；Lucent超五类模块面板80个。⑵水平子系统设计水平电缆长度按每信息点平均线长55米计算，并考虑到用户工作区跳线所需线缆用量，总共需要双绞线15箱（305米/箱）。水平线缆将干线线缆延伸到用户工作区.在本项目中设计采用的是Lucent公司8芯非屏蔽双绞线(UTP)是符合EIA/TIA568A标准的超五类线双绞线1061004CSL+。它在传输数据时，可以在150米范围内具有标准10Mbps的传输速率，在100米内保证155Mbps的传输速率。此外它也可以传输各种70V直流电压及在相应的距离下传输10MHZ及100MHZ频率以内的弱电信号.⑶管理子系统设计配线架的选型和安装:分配线间的设计，我们采用了较为集中、灵活的管理方式，充分利用配线架的容量，以达到较好的性能价格比。所有的水平及垂直UTP双绞线均选用Lucent48口和24口非屏蔽的配线架进行管理，使数据点可完全互补，且管理、维护灵活简便。⑷垂直干线子系统垂直干线子系统主要用于连接一栋大楼内部的各配线间，提供网络主干连接。由于我每栋大楼只分设一个配线间，所以本布线系统不涉及垂直干线子系统。⑸设备间子系统设计设备子系统是整个布线系统的管理中心，由设备间（主配线间）中的电缆、连接器和相关支撑硬件组成，它把公共系统设备的各种不同设备互连起来。考虑到中心机房机柜中的美观及便于管理，管理区跳线我们采用订制的两端带RJ-45数据线用于连接配线架与网络设备。需要：两端带RJ-45数据线80根⑹建筑群子系统建筑群子系统用于连接各分散的建筑物，由于部分建筑距信息中心的距离可能超过了100米（铜缆布线系统的最长距离为100米，粗缆可支持500米，但粗缆只能支持系统主干间的10M连接，五类双绞线支持100M连接），另外考虑到现代网络技术ATM、千兆以太网对网络带宽的要求（155M/622M/1000M），系统主干只能选择多模光缆（多模光缆可在260米范围内支持1000M主干）。另外考虑到光缆主干的备份以及经济原因（四芯与六芯光缆价格相当），可以选择国产长飞六芯多模光缆来构建整个网络系统主干。实施可用于数据、影像、语音和其他信息传输的部分布线工程，使学校的住处设备能够方便地连接到校园网。根据结构化布线标准和需求设计所需设备，包括线缆、配线架、模块、机柜、辅助材料等；主要设备要求选用安普、Avaya等公司产品。结构化布线共有88个信息点，机柜2个。完成信息点所在位置的电脑接入校园网，保证部门级办公电脑及课室电脑以100Mb/s的速率接通校园网布线要符合标准，讲求美观大方。（二）网络结构分析1．骨干层网络中心节点及其它核心节点作为校园网络系统的心脏，必须提供全线速的数据交换，当网络流量较大时，对关键业务的服务质量提供保障。另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。具体来说核心节点的交换机有两个基本要求：1）高密度端口情况下，还能保持各端口的线速转发；2）关键模块必须冗余，如管理引擎、电源、风扇。由于校园网建设最终必将采用千兆技术，因此需要考虑到核心设备对千兆的支持能力。2．接入层接入层网络由楼栋交换节点和楼层交换节点组成，接入层网络应该可以满足各种客户的接入需要，而且能够实现用户化的接入策略，业务QOS保证，用户接入访问控制等等。楼层交换节点采用千兆智能堆叠交换机，提供智能的流分类和完善的QoS特征。为各类型网络提供完善的端到端的服务质量、丰富的安全设置和基于策略的网管，最大化满足高速、融合、安全的园区网新需求；本方案中各接入层交换机通过千兆链路上联到各汇聚层设备，对下联的桌面设备提供全双工的百兆连接，为各类用户提供无阻塞的交换性能。3．出口因为校园网出口采用以太网，所以采用路由器+防火墙的方式，起到如下作用：防火墙提供强有力的服务器、内网安全保护、提供IDS等安全特性；路由器提供出口路由功能，数据处理能力强，具有强大的NAT功能。（三）网络架构设计与拓扑结构为了实现网络设备的统一，本设计方案中完全采用同一厂家的网络产品，即锐捷公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。本校园网设计方案主要由三个层次构成：核心层、汇聚层、接入层。由四大部分组成：交换模块、广域网接入模块、远程访问模块、服务器群。整个网络系统的拓扑结构图如下图所示。网络结构层次图金银湖网络冗余拓扑图校园网接入终端一览表：地点终端网络中心(图书馆内)网管系统、服务器群、三层交换机、IDS检测系统、防火墙、高端路由器、VPN系统图书馆无线接入设备、图书管理系统、阶梯教室大学生活动中心多媒体阶梯室体育馆管理办公室基础楼管理办公室、多媒体教室后勤集团校园刷卡机东8楼机房实验室东7楼计算机系办公室、机房实验室东6楼电气系办公室、机房实验室数理楼系办公室、机房实验室艺术楼系办公室、多媒体教室文管楼系办公室、多媒体教室宿舍楼寝室校园网接入终端VLAN及IP编址方案：VLAN号VLAN名IP网段默认网关子网掩码描述VLAN1TOP/2454网络中心VLAN2TSHG/2454图书馆VLAN3DH/2454大学生活动中心VLAN4TYG/2454体育馆VLAN5HQJT/2454后勤集团VLAN6D6/2454东6楼VLAN7D7/2454东7楼VLAN8D8/2454东8楼VLAN9JCH/2454基础喽VLAN10SHL/2454数理楼VLAN11YSH/2454艺术楼VLAN12WG/2454文管楼VLAN13S1/2154宿舍楼1VLAN14S2/2154宿舍楼2VLAN15S3/2154宿舍楼3VLAN16S4/2154宿舍楼4VLAN17S5/2154宿舍楼5VLAN18S6/2154宿舍楼6VLAN19S7/2154宿舍楼7在这里为每个VLAN定义了一个由拼音缩写组成的VLAN名称。除了表中的内容外，拨号用户从/21中动态取得IP地址。

五、主要技术设计的具体配置过程本次实验的模拟使用GNS3来完成的，由于模拟器的限制只能模拟局部的网络，但整体的各层的配置都类似。由于GNS3在接入层上无需配置，因此省略其参数的配置。模拟图如下：网络模拟图（有简化）（一）汇聚模块交换服务的实现－配置汇聚模块交换机配置分布层交换机DistributeSwitch1的基本参数Switch#configureterminalEntercongifgurationcommands,oneperlineEndwithCNTL/ZSwitch(config)#hostnameDistributeSwitch1DistributeSwitch1(config)#enablesecretyouguessDistributeSwitch1(config)#linecon0DistributeSwitch1(config-line)#loggingsynchronousDistributeSwitch1(config-line)#exec-timeout530DistributeSwitch1(config-line)#linevty015DistributeSwitch1(config-line)#passwordabcDistributeSwitch1(config-line)#loginDistributeSwitch1(config-line)#exec-timeout530DistributeSwitch1(config-line)#exitDistributeSwitch1(config)#noipdomain-lookup2．配置分布层交换机DistributeSwitch1的管理IP、默认网关DistributeSwitch1(config)#interfacevlan1DistributeSwitch1(config-if)#ipaddressDistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config-if)#exitDistributeSwitch1(config-if)#ipdefault-gateway54配置分布层交换机DistributeSwitch1的VTPDistributeSwitch1(config)#vtpdomainnciae/设置VTP管理域的域名DistributeSwitch1(config)#vtpmodeserver/设置VTP服务器DistributeSwitch1(config)#vtppruning/激活VTP剪裁功能4.在分布层交换机DistributeSwitch1上定义VLANSwitch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/ZDistributeSwitch1(config)#vlan1DistributeSwitch1(config-vlan)#nameTOPDistributeSwitch1(config)#vlan2DistributeSwitch1(config-vlan)#nameTSHGDistributeSwitch1(config)#vlan3DistributeSwitch1(config-vlan)#nameDHDistributeSwitch1(config)#vlan4DistributeSwitch1(config-vlan)#nameTYGDistributeSwitch1(config)#vlan5DistributeSwitch1(config-vlan)#nameHQJTDistributeSwitch1(config)#vlan6DistributeSwitch1(config-vlan)#nameD6DistributeSwitch1(config)#vlan7DistributeSwitch1(config-vlan)#nameD7DistributeSwitch1(config)#vlan8DistributeSwitch1(config-vlan)#nameD8DistributeSwitch1(config)#vlan9DistributeSwitch1(config-vlan)#nameJCHDistributeSwitch1(config)#vlan10DistributeSwitch1(config-vlan)#nameSHLDistributeSwitch1(config)#vlan11DistributeSwitch1(config-vlan)#nameYSHDistributeSwitch1(config)#vlan12DistributeSwitch1(config-vlan)#nameWGDistributeSwitch1(config)#vlan13DistributeSwitch1(config-vlan)#nameS1DistributeSwitch1(config)#vlan14DistributeSwitch1(config-vlan)#nameS2DistributeSwitch1(config)#vlan15DistributeSwitch1(config-vlan)#nameS3DistributeSwitch1(config)#vlan16DistributeSwitch1(config-vlan)#nameS4DistributeSwitch1(config)#vlan17DistributeSwitch1(config-vlan)#nameS5DistributeSwitch1(config)#vlan18DistributeSwitch1(config-vlan)#nameS6DistributeSwitch1(config)#vlan19DistributeSwitch1(config-vlan)#nameS75.配置汇聚模块交换机DistributeSwitch1的端口基本参数DistributeSwitch1(config)#interfacerangefastethernet0/1–24DistributeSwitch1(config-if-range)#dupexfullDistributeSwitch1(config-if-range)#speed100DistributeSwitch1(config-if-range)#interfacerangefastethernet0/1–10DistributeSwitch1(config-if-range)#switchportmodeaccessDistributeSwitch1(config-if-range)#switchportaccessvlan2DistributeSwitch1(config-if-range)#spanning-treeportfastDistributeSwitch1(config-if-range)#interfacerangefastethernet0/23–24DistributeSwitch1(config-if-range)#switchportmodetrunkDistributeSwitch1(config-if-range)#interfacerangegigabitEthernet0/1–2DistributeSwitch1(config-if-range)#switchportmodetrunk6.配置汇聚模块交换机DistributeSwitch1的3层交换功能DistributeSwitch1(config)#interfacevlan1DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan2DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan3DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan4DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan5DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan6DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan7DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan8DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan9DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan10DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdown……7．配置汇聚模块交换机DistributeSwitch2类似（二）核心层交换服务的实现——配置核心层交换机1．配置核心层交换机CoreSwitch1的基本参数Switch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/ZSwitch(config)#hostnameDistributeSwitch1CoreSwitch1(config)#enablesecretyouguessCoreSwitch1(config)#linecon0CoreSwitch1(config-line)#loggingsynchronousCoreSwitch1(config-line)#exec-timeout530CoreSwitch1(config-line)#linevty015CoreSwitch1(config-line)#passwordabcCoreSwitch1(config-line)#loginCoreSwitch1(config-line)#exec-timeout530CoreSwitch1(config-line)#exitCoreSwitch1(config)#noipdomain-lookup2．配置核心层交换机CoreSwitch1的管理IP、默认网关CoreSwitch1(config)#interfacevlan1CoreSwitch1(config-if)#ipaddress0CoreSwitch1(config-if)#noshutdownCoreSwitch1(config-if)#exitCoreSwitch1(config-if)#ipdefault-gateway543．配置核心层交换机CoreSwitch1的的VLAN及VTPCoreSwith1(config)#vtpmodeclient4．配置核心层交换机CoreSwitch1的端口参数DistributeSwitch1(config)#interfacerangefastethernet0/1–24DistributeSwitch1(config-if-range)#dupexfullDistributeSwitch1(config-if-range)#speed100DistributeSwitch1(config-if-range)#switchportmodeaccessDistributeSwitch1(config-if-range)#switchportaccessvlan1DistributeSwitch1(config-if-range)#spanning-treeportfastDistributeSwitch1(config-if-range)#interfacerangegigabitEthernet3/1–2DistributeSwitch1(config-if-range)#switchportmodetrunkCoreSwitch1(config)#interfaceport-channelCoreSwitch1(config-if)#switchportCoreSwitch1(config-if)#interfacegigabitEthernet2/1–2CoreSwitch1(config-if)#channel-group1modedesirublenon-silentCoreSwitch1(config-if)#noshutdown5．配置核心层交换机CoreSwitch1的路由功能

核心层交换机CoreSwitch1通过端口FastEthernet4/3同广域网接入模块（Internet路由器）相连。因此，需要启用核心层交换机的路由功能。同时，还需要定义通往Internet的路由。这里使用了一条缺省路由命令。其中，下一跳地址是Internet接入路由器的快速以太网接口FastEthernet0/0的IP地址。CoreSwitch1(config)#iproutingCoreSwitch1(config)#iproute546．其它配置定义对无类别网络以及全零子网的支持CoreSwith1(config)#ipclasslessCoreSwith1(config)#ipsubnet-zeroCoreSwitch2的配置步骤、命令和CoreSwitch1的配置类似.（三）配置接入路由器InternetRouter1.配置接入路由器InternetRouter的基本参数

Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/ZSwitch(config)#hostnameInternetRouterInternetRouter(config)#enablesecretyouguessInternetRouter(config)#linecon0InternetRouter(config-line)#loggingsynchronousInternetRouter(config-line)#exec-timeout530InternetRouter(config-line)#linevty015InternetRouter(config-line)#passwordabcInternetRouter(config-line)#loginInternetRouter(config-line)#exec-timeout530InternetRouter(config-line)#exitInternetRouter(config)#noipdomain-lookup2.配置接入路由器InternetRouter的各接口参数InternetRouter(config)#interfacefastethernet0/0InternetRouter(config-if)#ipaddress54InternetRouter(config-if)#noshutdownInternetRouter(config-if)#interfaceserial0/0InternetRouter(config-if)#ipaddress52InternetRouter(config-if)#noshutdown3.配置接入路由器InternetRouter的路由功能InternetRouter(config)#iprouteserial0/0InternetRouter(config)#iproute255.255.248.0/InternetRouter(config)#iproute255.255.255.0/定义到校园网内部的路由4.配置接入路由器InternetRouter上的NAT为了接入Internet，本校园网向当地ISP申请了9个IP地址。其中一个IP地址：被分配给了Internet接入路由器的串行接口，另外8个IP地址：～用作NAT。InternetRouter(config)#interfacefastethernet0/0InternetRouter(config-if)#ipnatinsideInternetRouter(config-if)#interfaceserial0/0InternetRouter(config-if)#ipnatoutside/定义NAT内部、外部接口InternetRouter(config)#ipaccess-list1permit55InternetRouter(config)#ipaccess-list1permit55InternetRouter(config)#ipnatinsidesourcestaticInternetRouter(config)#ipnatinsidesourcestaticInternetRouter(config)#ipnatinsidesourcestatic……/为服务器定义静态地址转换InternetRouter(config)#ipnatinsidesourcelist1interfaceserial0/0overload/为工作站定义复用地址转换5.配置接入路由器InternetRouter上的安全访问ACL1.路由器是外网进入校园网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表（AccessControlList，ACL）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于校园网内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对校园网内网包括防火墙本身实施保护。在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该做以下的ACL设计：

对外屏蔽简单网管协议，即SNMP.利用这个协议，远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型：SNMP和SNMPTRAP。设置对外屏蔽简单网管协议SNMP:InternetRouter(config)#iprouteInternetRouter(config)#iproute2.对外屏蔽远程登录协议telnet.首先，telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。其次，telnet可以登录到大多数网络设备和UNIX服务器，并可以使用相关命令完全操纵它们。这是极其危险的，因此必须加以屏蔽。屏蔽远程登录协议telnetInternetRouter(config)#ipaccess-list101denytcpanyeqtelnetInternetRouter(config)#ipaccess-list101permitipanyany3.对外屏蔽其它不安全的协议或服务.这样的协议主要有SUNOS的文件共享协议端口2049，远程执行（rsh）、远程登录（rlogin）和远程命令（rcmd）端口512、513、514，远程过程调用（SUNRPC）端口111。可以将针对以上协议综合进行设计InternetRouter(config)#ipaccess-list101denytcpanyanyrange512514InternetRouter(config)#ipaccess-list101denytcpanyanyeq111InternetRouter(config)#ipaccess-list101denyudpanyanyeq111InternetRouter(config)#ipaccess-list101denytcpanyanyrange2049InternetRouter(config)#ipa