网络工程项目设计说明书样本

目录概要分析 3核心网络系统 3网络解决办法： 3一系统总体设计方案概述 41.1系统构成与拓扑构造 51.2VLAN及IP地址规划 5二互换模块设计 62.1访问层互换服务实现－配备访问层互换机 71．配备访问层互换机AccessSwitch1基本参数 72．配备访问层互换机AccessSwitch1管理IP、默认网关 83．配备访问层互换机AccessSwitch1VLAN及VTP 94．配备访问层互换机AccessSwitch1端口基本参数 95．配备访问层互换机AccessSwitch1访问端口 106．配备访问层互换机AccessSwitch1主干道端口 107．配备访问层互换机AccessSwitch2 118．访问层互换机其他可选配备 112.2分布层互换服务实现－配备分布层互换机 121．配备分布层互换机DistributeSwitch1基本参数 122．配备分布层互换机DistributeSwitch1管理IP、默认网关 133．配备分布层互换机DistributeSwitch1VTP 134．在分布层互换机DistributeSwitch1上定义VLAN 145．配备分布层互换机DistributeSwitch1端口基本参数 156．配备分布层互换机DistributeSwitch13层互换功能 167．配备分布层互换机DistributeSwitch2 178．其他配备 182.3核心层互换服务实现－配备核心层互换机 181.配备核心层互换机CoreSwitch1基本参数 182．配备核心层互换机CoreSwitch1管理IP、默认网关 193.配备核心层互换机CoreSwitch1VLAN及VTP 194.配备核心层互换机CoreSwitch1端口参数 195．配备核心层互换机CoreSwitch1路由功能 206．其他配备 207．核心层互换机CoreSwitch2配备 21三广域网接入模块设计 213.1配备接入路由器InternetRouter基本参数 213.2配备接入路由器InternetRouter各接口参数 223.3配备接入路由器InternetRouter路由功能 223.4配备接入路由器InternetRouter上NAT 233.5配备接入路由器InternetRouter上ACL 243.6其他配备 25四远程访问模块设计 261．配备物理线路基本参数 262．配备接口基本参数 273．配备身份认证 27（1）建立本地口令数据库 28（2）设立进行PAP认证 28五服务器模块设计 28六总结（其她、测试） 296.1系统测试 296.2有关测试、诊断命令 301．通用测试、诊断命令 302．CDP测试、诊断命令 313．路由和路由合同测试、诊断命令 314．VLAN、VTP测试、诊断命令 315．生成树测试、诊断命令 316．NAT测试、诊断命令 327．ACL测试、诊断命令 328．远程访问测试、诊断命令 32概要分析建立一种可扩展、高速、充分冗余、基于原则网络，该网络可以支持融合了话音、视频、图像和数据应用程序。核心网络系统：Cisco3640路由器、CiscoCatalyst295024口互换机（WS-C2950-24）、CiscoCatalyst3550互换机、CiscoCatalyst4006互换机网络解决办法：对校园网系统整体方案设计对访问层互换机进行配备对分布层互换机进行配备对核心层互换机进行配备对广域网接入路由器进行配备对远程访问服务器进行配备对整个校园网系统进行诊断分析：路由、互换与远程访问技术不但仅是思科CCNP课程及考试重点。更是当代计算机网络领域中三大支撑技术体系。它们几乎涵盖了一种完整园区网实现方方面面。经常有学员说无法学以致用，其实，CCNP课程中每个章节都相应着实际工程中每个小案例。只但是，实际工程是各个小案例综合。在遇到一种实际工程时候，咱们不防采用自顶向下、模块化办法、参照3层模型来进行工程设计和实行。路由技术：路由合同工作在OSI参照模型第3层，因而它作用重要是在通信子网间路由数据包。路由器具备在网络中传递数据时选取最佳途径能力。除了可以完毕重要路由任务，运用访问控制列表（AccessControlList，ACL），路由器还可以用来完毕以路由器为中心流量控制和过滤功能。在本工程案例设计中，内网顾客不但通过路由器接入因特网、内网顾客之间也通过3层互换机上路由功能进行数据包互换。互换技术：老式意义上数据互换发生在OSI模型第2层。当代互换技术还实现了第3层互换和多层互换。高层互换技术引入不但提高了园区网数据互换效率，更大大增强了园区网数据互换服务质量，满足了不同类型网络应用程序需要。当代互换网络还引入了虚拟局域网（VirtualLAN，VLAN）概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机广播通信对其她VLAN影响。在VLAN间需要通信时候，可以运用VLAN间路由技术来实现。当网络工程师人员需要管理互换机数量众多时，可以使用VLAN中继合同（VlanTrunkingProtocol，VTP）简化管理，它只需在单独一台互换机上定义所有VLAN。然后通过VTP合同将VLAN定义传播到本管理域中所有互换机上。这样，大大减轻了网络工程师人员工作承担和工作强度。为了简化互换网络设计、提高互换网络可扩展性，在园区网内部数据互换布置是分层进行。园区网数据互换设备可以划分为三个层次：访问层、分布层、核心层。访问层为所有终端顾客提供一种接入点；分布层除了负责将访问层互换机进行汇集外，还为整个互换网络提供VLAN间路由选取功能；核心层将各分布层互换机互连起来进行穿越园区网骨干高速数据互换。在本工程案例设计中，也将采用这三层进行分开设计、配备。远程访问技术：远程访问也是园区网络必要提供服务之一。它可觉得家庭办公顾客和出差在外员工提供移动接入服务。远程访问有三种可选服务类型：专线连接、电路互换和包互换。不同广域网连接类型提供服务质量不同，耗费也不相似。公司顾客可以依照所需带宽、本地服务可用性、耗费等因素综合考虑，选取一种适合公司自身需要广域网接入方案。）在本工程案例设计中，分别采用专线连接（到因特网）和电路互换（到校园网）两种方式实现远程访问需求。作为一种较为完整园区网实现，路由、互换与远程访问技术缺一不可。在背面内容中，咱们将就每一技术领域惯用技术实现进行详细讨论。通过本书背面章节学习，相信读者可以系统地掌握园区网设计、实行以及维护技巧。一系统总体设计方案概述为了阐明重要问题，在本设计方案中对实际校园网设计进行了恰当和必要简化。同步，将重点放在网络主干设计上，对于服务器架设只作简朴简介。1.1系统构成与拓扑构造为了实现网络设备统一，本设计方案中完全采用同一厂家网络产品，即Cisco公司网络设备构建。全网使用同一厂商设备好处是可以实现各种不同网络设备功能互相配合和补充。本校园网设计方案重要由如下四大某些构成：互换模块、广域网接入模块、远程访问模块、服务器群。整个网络系统拓扑构造图如图1-1所示。在背面几节中咱们将依照此图分块进行简介。图1-1校园网整体拓扑构造图1.2VLAN及IP地址规划整个校园网中VLAN及IP编址方案如表所示。表1-1VLAN及IP编址方案除了表中内容外，拨号顾客从/27中动态获得IP地址。为了简化起见，这里咱们只规划了8个VLAN，同步为每个VLAN定义了一种由拼音缩写构成VLAN名称。二互换模块设计为了简化互换网络设计、提高互换网络可扩展性，在园区网内部数据互换布置是分层进行。园区网数据互换设备可以划分为三个层次：访问层、分布层、核心层。老式意义上数据互换发生在OSI模型第2层。当代互换技术还实现了第3层互换和多层互换。高层互换技术引入不但提高了园区网数据互换效率，更大大增强了园区网数据互换服务质量，满足了不同类型网络应用程序需要。当代互换网络还引入了虚拟局域网（VirtualLAN，VLAN）概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机广播通信对其她VLAN影响。在VLAN间需要通信时候，可以运用VLAN间路由技术来实现。当网络工程师人员需要管理互换机数量众多时，可以使用VLAN中继合同（VlanTrunkingProtocol，VTP）简化管理，它只需在单独一台互换机上定义所有VLAN。然后通过VTP合同将VLAN定义传播到本管理域中所有互换机上。这样，大大减轻了网络工程师人员工作承担和工作强度。当园区网络互换机数量增多、互换机间链路增长时，互换网络复杂性也许会导致互换环路问题，这需要通过在各互换机上运营生成树合同（SpanningTreeProtocol，STP）来解决。一种好校园网设计应当是一种分层设计。普通分为三层设计模型。2.1访问层互换服务实现－配备访问层互换机访问层为所有终端顾客提供一种接入点。这里访问层互换机采用是CiscoCatalyst295024口互换机（WS-C2950-24）。互换机拥有24个10/100Mbps自适应迅速以太网端口，运营是CiscoIOS操作系统。咱们以图1-1中访问层互换机AccessSwitch1为例进行简介。如图2-1所示图2-1访问层互换机AccessSwitch11．配备访问层互换机AccessSwitch1基本参数（1）设立互换机名称设立互换机名称，也就是出当前互换机CLI提示符中名字。普通咱们会以地理位置或行政划分来为互换机命名。当咱们需要Telnet登录到若干台互换机以维护一种大型网络时，通过互换机名称提示符提示自己当前配备互换机位置是很有必。如图2-2所示，为访问层互换机AccessSwitch1命名。图2-2为访问层互换机AccessSwitch1命名（2）设立互换机加密使能口令当顾客在普通顾客模式而想要进入特权顾客模式时，需要提供此口令。此口令会以MD5形式加密，因而，当顾客查看配备文献时，无法看到明文形式口令。如图2-2所示，将互换机加密使能口令设立为secretpasswd。图2-3为互换机设立加密使能口令（3）设立登录虚拟终端线时口令对于一种已经运营着互换网络来说，互换机带内远程管理为网络工程师人员提供了诸多以便。但是，处在安全考虑，在可以远程管理互换机之前网络工程师人员必要设立远程登录互换机口令。如图2-2所示，设立登录互换机时需要验证顾客身份，同步设立口令为youguess。图2-2为访问层互换机AccessSwitch1命名（4）设立终端线超时时间为了安全考虑，可以设立终端线超时时间。在设立时间内，如果没有检测到键盘输入，IOS将断开顾客和互换机之间连接。如图2-2所示，设立登录互换机控制台终端线路及虚拟终端线超时时间为5分30秒钟。图2-2设立控制台终端线路和虚拟终端线路超时时间（5）设立禁用IP地址解析特性在互换机默认配备状况下，当咱们输入一条错误互换机命令时，互换机会尝试将其广播给网络上DNS服务器并将其解析成相应IP地址。运用命令noipdomain-lookup。可以禁用这个特性如图2-2所示，设立禁用IP地址解析特性。图2-3设立禁用IP地址解析特性（6）设立启用消息同步特性有时，顾客输入互换机配备命令会被互换机产生消息打乱。可以使用命令loggingsynchronous设立互换机在下一行CLI提示符后复制顾客输入。如图2-2所示，设立启用消息同步特性。图2-3设立启用消息同步特性2．配备访问层互换机AccessSwitch1管理IP、默认网关访问层互换机是OSI参照模型第2层设备，即数据链路层设备。因而，给访问层互换机每个端口设立IP地址是没意义。但是，为了使网络工程师人员可以从远程登录到访问层互换机上进行管理，必要给访问层互换机设立一种管理用IP地址。这种状况下，事实上是将互换机当作和PC机同样主机。给互换机设立管理用IP地址只能在VLAN1，即本征VLAN中进行。按照表1-1，管理VLAN所在子网是：/24，这里将访问层互换机AccessSwitch1管理IP地址设为：/24如图2-3所示，显示了为访问层互换机AccessSwitch1设立管理IP并激活本征VLAN。图2-2设立访问层互换机AccessSwitch1管理IP为了使网络工程师人员可以在不同子网管理此互换机，还应设立默认网关地址54。如图所示。图2-2设立访问层互换机AccessSwitch1默认网关地址3．配备访问层互换机AccessSwitch1VLAN及VTP从提高效率角度出发，在本校园网实现实例中使用了VTP技术。同步，将分布层互换机DistributeSwitch1设立成为VTP服务器，其她互换机设立成为VTP客户机。这里访问层互换机AccessSwitch1将通过VTP获得在分布层互换机DistributeSwitch1中定义所有VLAN信息。如图所示，设立访问层互换机AccessSwitch1成为VTP客户机。图2-2设立访问层互换机AccessSwitch1成为VTP客户机4．配备访问层互换机AccessSwitch1端口基本参数（1）端口双工配备可以设定某端口依照对端设备双工类型自动调节本端口双工模式，也可以强制将端口双工模式设为半双工或全双工模式。在理解对端设备类型状况下，建议手动设立端口双工模式。如图所示，设立访问层互换机AccessSwitch1所有端口均工作在全双工模式。图2-2设立访问层互换机AccessSwitch1端口工作模式（2）端口速度可以设定某端口依照对端设备速度自动调节本端口速度，也可以强制将端口速度设为10Mpbs或100Mbps。在理解对端设备速度状况下，建议手动设立端口速度。如图所示，设立访问层互换机AccessSwitch1所有端口速度均为100Mbps。图2-4设立访问层互换机AccessSwitch1端口速度5．配备访问层互换机AccessSwitch1访问端口访问层互换机AccessSwitch1为终端顾客提供接入服务。在图中，访问层互换机AccessSwitch1为VLAN10、VLAN20提供接入服务。（1）设立访问层互换机AccessSwitch1端口1～10如图所示，设立访问层互换机AccessSwitch1端口1～端口10工作在访问（接入）模式。同步，设立端口1～端口10为VLAN10成员。图2-2设立访问层互换机AccessSwitch1端口1～10（2）设立访问层互换机AccessSwitch1端口11～20如图所示，设立访问层互换机AccessSwitch1端口11～端口20工作在访问（接入）模式。同步，设立端口1～端口10为VLAN20成员。图2-2设立访问层互换机AccessSwitch1端口11～20（3）设立迅速端口默认状况下，互换机在刚加电启动时，每个端口都要经历生成树四个阶段：阻塞、侦听、学习、转发。在可以转发顾客数据包之前，某个端口也许最多要等50秒钟时间（20秒阻塞时间＋15秒侦听延迟时间＋15秒学习延迟时间）。对于直接接入终端工作站端口来说，用于阻塞和侦听时间是不必要。为了加速互换机端口状态转化时间，可以设立将某端口设立成为迅速端口（Portfast）。设立为迅速端口端口当互换机启动或端口有工作站接入时，将会直接进入转发状态，而不会经历阻塞、侦听、学习状态（假设桥接表已经建立）。如图所示，设立访问层互换机AccessSwitch1端口1～端口20为迅速端口。图2-2设立迅速端口6．配备访问层互换机AccessSwitch1主干道端口如图所示，访问层互换机AccessSwitch1通过端口FastEthernet0/23上连到分布层互换机DistributeSwitch1。同步，访问层互换机AccessSwitch1还通过端口FastEthernet0/24上连到分布层互换机DistributeSwitch2。这两条上连链路将成为主干道链路，在这两条上连链路上将运送各种VLAN数据。如图所示，设立访问层互换机AccessSwitch1端口FastEthernet0/23、FastEthernet0/24为主干道端口。图2-2设立主干道端口Switch(config)#spanning-treeuplinkfast7．配备访问层互换机AccessSwitch2访问层互换机AccessSwitch2为VLAN30和VLAN40顾客提供接入服务。同步，分别通过自己FastEthernet0/23、FastEthernet0/24上连到分布层互换机DistributeSwitch1、DistributeSwitch2。如图所示，是访问层互换机AccessSwitch2连接示意图。图2-2访问层互换机AccessSwitch2连接示意图对访问层互换机AccessSwitch2配备环节、命令和对访问层互换机AccessSwitch1配备类似。这里，不再详细分析，只给出最后配备文献内容（只留下了必要命令）。需要指出是，为了提供主干道吞吐量，可以采用链路捆绑（迅速以太网信道）技术增长可用带宽。例如，可以将访问层互换机AccessSwitch1端口FastEthernet0/21和FastEthernet0/22捆绑在一起实现200Mbps迅速以太网信道，然后再上连到分布层互换机DistributeSwitch1。同样，也可以将访问层互换机AccessSwitch1端口FastEthernet0/23和FastEthernet0/24捆绑在一起实现200Mbps迅速以太网信道，然后再上连到分布层互换机DistributeSwitch2。详细配备环节和命令咱们将在核心层互换机配备一节中进行简介。8．访问层互换机其他可选配备（1）Uplinkfast访问层互换机AccessSwitch1通过两条冗余上行链路分别接入分布层互换机DistributeSwitch1和、DistributeSwitch2。在生成树作用下，其中一条上行链路处在转发状态，而另一条上行链路处在阻塞状态。当处在转发状态链路因故障断开后，通过大概50秒钟时间，处在阻塞状态链路才干代替故障链路工作。Uplinkfast特性可以使得当主上行链路失败后，处在阻塞状态上行链路（备份上行链路）可以及时启用。如图所示，是在访问层互换机AccessSwitch1上启用Uplinkfast特性。同样环节也可以在访问层互换机AccessSwitch2上进行配备。图2-2启用Uplinkfast特性注意，Uplinkfast特性只能在访问层互换机上启用。（2）BackbonefastBackbonefast作用与Uplinkfast类似，也用于加快生成树收敛。所不同是，Backbonefast可以检测到间接链路（非直连链路）故障并立虽然得相应阻塞端口最大寿命计时器届时，从而缩短该端口可以开始转发数据包时间。如图所示，是在访问层互换机AccessSwitch1上启用Backbonefast特性。同样环节需要在网络中所有互换机上进行配备。图2-2启用Backbonefast特性注意，Backbonefast特性需要在网络中所有互换机上进行配备。2.2分布层互换服务实现－配备分布层互换机分布层除了负责将访问层互换机进行汇集外，还为整个互换网络提供VLAN间路由选取功能。这里分布层互换机采用是CiscoCatalyst3550互换机。作为3层互换机，CiscoCatalyst3550互换机拥有24个10/100Mbps自适应迅速以太网端口，同步尚有2个1000MbpsGBIC端口供上连使用，运营是CiscoIntegratedIOS操作系统。咱们以图1-1中分布层互换机DistributeSwitch1为例进行简介。如图2-1所示：图2-1分布层互换机DistributeSwitch11．配备分布层互换机DistributeSwitch1基本参数对分布层互换机DistributeSwitch1基本参数配备环节与对访问层互换机AccessSwitch1基本参数配备类似。这里，只给出实际配备环节，不再给出解释。图2-1配备分布层互换机DistributeSwitch1基本参数2．配备分布层互换机DistributeSwitch1管理IP、默认网关如图2-3所示，显示了为分布层互换机DistributeSwitch1设立管理IP并激活本征VLAN。同步，还设立了默认网关地址。图2-2分布层互换机DistributeSwitch1管理IP、默认网关3．配备分布层互换机DistributeSwitch1VTP当网络中互换机数量诸多时，需要分别在每台互换机上创立诸多重复VLAN。工作量很大、过程很繁琐，并且容易出错。咱们常采用VLAN中继合同（VlanTrunkingProtocol，VTP）来解决这个问题。VTP容许咱们在一台互换机上创立所有VLAN。然后，运用互换机之间互相学习功能，将创立好VLAN定义传播到整个网络中需要此VLAN定义所有互换机上。同步，关于VLAN删除、参数更改操作均可传播到其她互换机。从而大大减轻了网络工程师人员配备互换机承担。在本校园网实现实例中使用了VTP技术。同步，将分布层互换机DistributeSwitch1设立成为VTP服务器，其她互换机设立成为VTP客户机。（1）配备VTP管理域共享相似VLAN定义数据库互换机构成一种VTP管理域。每一种VTP管理域均有一种共同VTP管理域域名。不同VTP管理域互换机之间不互换VTP告示信息。如图9-4-2所示，将VTP管理域域名定义为"nciae"。图2-2设立VTP管理域域名（2）设立VTP服务器工作在VTP服务器模式下互换机可以创立、删除VLAN、修改VLAN参数。同步，尚有责任发送和转发VLAN更新消息。如图所示，设立分布层互换机DistributeSwitch1成为VTP服务器。图2-2设立分布层互换机DistributeSwitch1成为VTP服务器（3）激活VTP剪裁功能默认状况下主干道传播所有VLAN顾客数据。有时，互换网络中某台互换机所有端口都属于同一VLAN成员，没有必要接受其她VLAN顾客数据。这时，可以激活主干道上VTP剪裁功能。当激活了VTP剪裁功能后来，互换机将自动剪裁本互换机没有定义VLAN数据。在一种VTP域下，只需要在VTP服务器上激活VTP剪裁功能。同一VTP域下所有其她互换机也将自动激活VTP剪裁功能。如图所示，设立激活VTP剪裁功能。图2-2激活VTP剪裁功能4．在分布层互换机DistributeSwitch1上定义VLAN在本校园网实现实例中，除了默认本征VLAN外，又定义了8个VLAN，如表1-1所示。由于使用了VTP技术，因此所有VLAN定义只需要在VTP服务器，即分布层互换机DistributeSwitch1上进行。如图所示，定义了8个VLAN，同步为每个VLAN命名。图2-1定义VLAN5．配备分布层互换机DistributeSwitch1端口基本参数分布层互换机DistributeSwitch1端口FastEthernet0/1～FastEthernet0/10为服务器群提供接入服务，而端口FastEthernet0/23、FastEthernet0/24分别下连到访问层互换机AccessSwitch1端口FastEthernet0/23以及访问层互换机AccessSwitch2端口FastEthernet0/23。此外，分布层互换机DistributeSwitch1还通过自己千兆端口GigabitEthernet0/1上连到核心互换机CoreSwitch1GigabitEthernet3/1。为了实现冗余设计，分布层互换机DistributeSwitch1还通过自己千兆端口GigabitEthernet0/2连接另一台到分布层互换机DistributeSwitch2GigabitEthernet0/2。如图所示，给出了对所有访问端口、主干道端口配备环节和命令。图2-2设立分布层互换机DistributeSwitch1各端口参数6．配备分布层互换机DistributeSwitch13层互换功能分布层互换机DistributeSwitch1需要为网络中各个VLAN提供路由功能。这需要一方面启用分布层互换机路由功能。如图所示。图2-2启用路由功能接下来，需要为每个VLAN定义自己默认网关地址，如图所示。图2-2定义各VLAN默认网关地址此外，还需要定义通往Internet路由。这里使用了一条缺省路由命令，如图所示。其中，下一跳地址是Internet接入路由器迅速以太网接口FastEthernet0/0IP地址。图2-2定义到Internet缺省路由7．配备分布层互换机DistributeSwitch2分布层互换机DistributeSwitch2端口FastEthernet0/23、FastEthernet0/24分别下连到访问层互换机AccessSwitch1端口FastEthernet0/24以及访问层互换机AccessSwitch2端口FastEthernet0/24。此外，分布层互换机DistributeSwitch2还通过自己千兆端口GigabitEthernet0/1上连到核心互换机CoreSwitch1GigabitEthernet3/2。为了实现冗余设计，分布层互换机DistributeSwitch2还通过自己千兆端口GigabitEthernet0/2连接到分布层互换机DistributeSwitch1GigabitEthernet0/2。如图所示。图2-1分布层互换机DistributeSwitch2对分布层互换机DistributeSwitch2配备环节、命令和对分布层互换机DistributeSwitch1配备类似。这里，不再详细分析。8．其他配备为了实现对无类别网络（ClasslessNetwork）以及全零子网（Subnet-zero）支持，在充当3层互换机分布层互换机DistributeSwitch1，还需要进行恰当配备，如图所示。图2-2定义对无类别网络以及全零子网支持9.1.2系统硬件、软件选型及版本2.3核心层互换服务实现－配备核心层互换机核心层将各分布层互换机互连起来进行穿越园区网骨干高速数据互换。本实例中核心层互换机采用是CiscoCatalyst4006互换机，采用了Catalyst4500SupervisorIIPlus（WS-X4013+）作为互换机引擎。运营是CiscoIntegratedIOS操作系统，操作系统版本号是。在作为核心层互换机CiscoCatalyst4006互换机中，安装了WS-X4306-GB（Catalyst4000GigabitEthernetModule，6-Ports(GBIC)）模块，该模块提供了5个千兆光纤上连接口，可以用来接入WS-G5484（1000BASE-SXShortWavelengthGBIC(Multimodeonly)）。咱们以图1-1中核心层互换机CoreSwitch1为例进行简介。如图2-1所示1.配备核心层互换机CoreSwitch1基本参数对核心层互换机CoreSwitch1基本参数配备环节与对访问层互换机AccessSwitch1基本参数配备类似。这里，只给出实际配备环节，不再给出解释。图2-1配备核心层互换机CoreSwitch1基本参数2．配备核心层互换机CoreSwitch1管理IP、默认网关如图2-3所示，显示了为核心层互换机CoreSwitch1设立管理IP并激活本征VLAN。同步，还设立了默认网关地址。图2-2核心层互换机CoreSwitch1管理IP、默认网关3.配备核心层互换机CoreSwitch1VLAN及VTP在本实例中，核心层互换机CoreSwitch1也将作为VTP客户机。这里核心层互换机CoreSwitch1将通过VTP获得在分布层互换机DistributeSwitch1中定义所有VLAN信息。如图所示，设立核心层互换机CoreSwitch1成为VTP客户机。图2-2设立核心层互换机CoreSwitch1成为VTP客户机4.配备核心层互换机CoreSwitch1端口参数核心层互换机CoreSwitch1通过自己端口FastEthernet4/3同广域网接入模块（Internet路由器）相连。同步，核心层互换机CoreSwitch1端口GigabitEthernet3/1～GigabitEthernet3/2分别下连到分布层互换机DistributeSwitch1和DistributeSwitch2端口GigabitEthernet0/1。如图所示，给出了对上述端口配备命令。图2-2设立核心层互换机CoreSwitch1各端口参数此外，为了提供主干道吞吐量以及实现冗余设计，在本设计中，将核心层互换机CoreSwitch1千兆端口GigabitEthernet2/1、GigabitEthernet2/2捆绑在一起实现Mbps千兆以太网信道，然后再连接到另一台核心层互换机CoreSwitch2。如图所示，是设立核心层互换机CoreSwitch1千兆以太网信道环节。图2-2设立核心层互换机CoreSwitch1千兆以太网信道5．配备核心层互换机CoreSwitch1路由功能核心层互换机CoreSwitch1通过端口FastEthernet4/3同广域网接入模块（Internet路由器）相连。因而，需要启用核心层互换机路由功能。同步，还需要定义通往Internet路由。这里使用了一条缺省路由命令，如图所示。其中，下一跳地址是Internet接入路由器迅速以太网接口FastEthernet0/0IP地址。图2-2定义到Internet缺省路由如图所示。6．其他配备为了实现对无类别网络（ClasslessNetwork）以及全零子网（Subnet-zero）支持，在充当3层互换机核心层互换机CoreSwitch1，还需要进行恰当配备，如图所示。图2-2定义对无类别网络以及全零子网支持7．核心层互换机CoreSwitch2配备对于图1-1-中核心层互换机CoreSwitch2配备环节、命令和对核心层互换机CoreSwitch1配备类似。这里，不再详细分析。同步，对于配备核心层互换机CoreSwitch2下连一系列互换机，其连接办法以及配备环节和命令同图1-1-中核心层互换机CoreSwitch1下连一系列互换机连接办法以及配备环节和命令类似。这里，也不再赘述。三广域网接入模块设计在本设计中，广域网接入模块功能是由广域网接入路由器InternetRouter来完毕。采用是Cisco3640路由器。它通过自己串行接口serial0/0使用DDN（128K）技术接入Internet。它作用重要是在Internet和校园网内网间路由数据包。除了完毕重要路由任务外，运用访问控制列表（AccessControlList，ACL），广域网接入路由器InternetRouter还可以用来完毕以自身为中心流量控制和过滤功能并实现一定安全功能。图3-13.1配备接入路由器InternetRouter基本参数对接入路由器InternetRouter基本参数配备环节与对访问层互换机AccessSwitch1基本参数配备类似。这里，只给出实际配备环节，不再给出解释。图2-1配备接入路由器InternetRouter基本参数3.2配备接入路由器InternetRouter各接口参数对接入路由器InternetRouter各接口参数配备重要是对接口FastEthernet0/0以及接口Serial0/0IP地址、子网掩码配备。如图2-3所示，显示了为接入路由器InternetRouter各接口设立IP地址、子网掩码。图2-2接入路由器InternetRouter管理IP、默认网关3.3配备接入路由器InternetRouter路由功能在接入路由器InternetRouter上需要定义两个方向上路由：到校园网内部静态路由以及到Internet上缺省路由。到Internet上路由需要定义一条缺省路由，如图所示。其中，下一跳指定从本路由器接口serial0/0送出。图2-2定义到Internet缺省路由到校园网内部路由条目可以通过路由汇总后形成两条路由条目。如图所示。图2-2定义到校园网内部路由3.4配备接入路由器InternetRouter上NAT由于当前IP地址资源非常稀缺，对不也许给校园网内部所有工作站都分派一种公有IP（Internet可路由）地址。为理解决所有工作站访问Internet需要，必要使用NAT（网络地址转换）技术。为了接入Internet，本校园网向本地ISP申请了9个IP地址。其中一种IP地址：被分派给了Internet接入路由器串行接口，此外8个IP地址：～用作NAT。NAT配备可以分为如下几种环节。（1）定义NAT内部、外部接口图3-3显示了如何定义NAT内部、外部接口。图2-1定义NAT内部、外部接口（2）定义容许进行NAT内部局部IP地址范畴图3-3显示了如何定义容许进行NAT内部局部IP地址范畴。图2-2定义内部局部IP地址范畴（3）为服务器定义静态地址转换图3-3显示了如何为服务器定义静态地址转换。图2-1为服务器定义静态地址转换（4）为其她工作站定义复用地址转换图3-3显示了如何为其她工作站定义复用地址转换。图2-1为工作站定义复用地址转换3.5配备接入路由器InternetRouter上ACL路由器是外网进入校园网内网第一道关卡，是网络防御前沿阵地。路由器上访问控制列表（AccessControlList，ACL）是保护内网安全有效手段。一种设计良好访问控制列表不但可以起到控制网络流量、流向作用，还可以在不增长网络系统软、硬件投资状况下完毕普通软、硬件防火墙产品功能。由于路由器介于公司内网和外网之间，是外网与内网进行通信时第一道屏障，因此虽然在网络系统安装了防火墙产品后，依然有必要对路由器访问控制列表进行缜密设计，来对公司内网涉及防火墙自身实行保护。这里，在本实例中，咱们将针对服务器以及内网工作站安全给出广域网接入路由器InternetRouter上ACL配备方案。在网络环境中还普遍存在着某些非常重要、影响服务器群安全隐患。在绝大多数网络环境实现中它们都是应当对外加以屏蔽。重要应当做如下ACL设计：（1）对外屏蔽简朴网管合同，即SNMP。运用这个合同，远程主机可以监视、控制网络上其他网络设备。它有两种服务类型：SNMP和SNMPTRAP。如图所示，显示了如何设立对外屏蔽简朴网管合同SNMP。图2-1对外屏蔽简朴网管合同SNMP（2）对外屏蔽远程登录合同telnet一方面，telnet是一种不安全合同类型。顾客在使用telnet登录网络设备或服务器时所使用顾客名和口令在网络中是以明文传播，很容易被网络上非法合同分析设备截获。另一方面，telnet可以登录到大多数网络设备和UNIX服务器，并可以使用有关命令完全操纵它们。这是极其危险，因而必要加以屏蔽。如图所示，显示了如何对外屏蔽远程登录合同telnet图2-1对外屏蔽远程登录合同telnet（3）对外屏蔽其他不安全合同或服务这样合同重要有SUNOS文献共享合同端口2049，远程执行（rsh）、远程登录（rlogin）和远程命令（rcmd）端口512、513、514，远程过程调用（SUNRPC）端口111。可以将针对以上合同综合进行设计，如图所示。图2-1对外屏蔽其他不安全合同或服务（4）针对DoS袭击设计DoS袭击（DenialofServiceAttack，回绝服务袭击）是一种非经常用并且极具破坏力袭击手段，它可以导致服务器、网络设备正常服务进程停止，严重时会导致服务器操作系统崩溃。图显示了如何设计针对常用DoS袭击ACL图2-1针对DoS袭击设计（5）保护路由器自身安全作为内网、外网间屏障路由器，保护自身安全重要性也是不言而喻。为了制止黑客入侵路由器，必要对路由器访问位置加以限制。应只容许来自服务器群IP地址访问并配备路由器。这时，可以使用ACCESS-CLASS命令进行VTY访问控制。如图所示。图2-1保护路由器自身安全3.6其他配备为了实现对无类别网络（ClasslessNetwork）以及全零子网（Subnet-zero）支持，在充当3层互换机核心层互换机CoreSwitch1，还需要进行恰当配备，如图所示。图2-2定义对无类别网络以及全零子网支持四远程访问模块设计远程访问也是园区网络必要提供服务之一。它可觉得家庭办公顾客和出差在外员工提供移动接入服务。如图4-1所示。图4-1远程访问服务远程访问有三种可选服务类型：专线连接、电路互换和包互换。不同广域网连接类型提供服务质量不同，耗费也不相似。在本设计中，由于面对顾客群规模、业务量较小，因此采用了异步拨号连接作为远程访问技术手段。异步拨号连接属于电路互换类型广域网连接，它是在老式公共互换电话网（PublicSwitchedTelephoneNetwork，PSTN）上提供服务。老式PSTN提供服务也被称为简易老式电话业务（PlanOldTelephoneSystem，POTS）。由于当前存在着大量安装好电话线，因此这样环境是最容易满足。因而，异步拨号连接也就成为最为以便和普遍远程访问类型。广域网连接可以采用不同类型封装合同，如HDLC、PPP等。其中，PPP除了提供身份认证功能外，还可以提供其她诸多可选项配备，涉及链路压缩、多链路捆绑、回叫等，因而更具优势。也是本设计所采用异步连接封装合同。在本设计中采用了可以集成在广域网接入路由器InternetRotuer中异步Modem模块NM-16AM（8PortAnalogModemNetworkModule）提供远程访问服务。它可以同步对最多16路拨号顾客提供远程接入服务。如下简介一下配备异步拨号模块NM-16AM环节。1．配备物理线路基本参数对物理线路配备涉及配备线路速度（DTE、DCE之间速率）、停止位位数、流控方式、容许呼入连接合同类型、容许流量方向等。如图所示，是对以上参数进行配备。图2-1保护路由器自身安全2．配备接口基本参数对接口基本参数配备涉及：接口封装合同类型、接口异步模式、IP地址、为远程客户分派IP地址方式等。这里，设立远程客户从IP地址池rasclients中获得IP地址。图2-1配备接口基本参数接下来，需要建立一种本地IP地址池。如下所示，建立了一种名为rasclientsIP地址池。其IP地址范畴是：～6。图2-1指定IP地址池3．配备身份认证PPP提供了两种可选身份认证办法：口令验证合同PAP（PasswordAuthenticationProtocol，PAP）和质询握手合同（ChallengeHandshakeAuthenticationProtocol，CHAP）。PAP是一种简朴、实用身份验证合同。PAP认证进程只在双方通信链路建立初期进行。如果认证成功，在通信过程中不再进行认证。如果认证失败，则直接释放链路。CHAP认证比PAP认证更安全，由于CHAP不在线路上发送明文密码，而是发送通过摘要算法加工过随机序列，也被称为"挑战字符串"。如图14-1-5所示。同步，身份认证可以随时进行，涉及在双方正常通信过程中。因而，非法顾客就算截获并成功破解了一次密码，此密码也将在一段时间内失效。CHAP对端系统规定很高，由于需要多次进行身份质询、响应。这需要耗费较多CPU资源，因而只用在对安全规定很高场合。PAP虽然有着顾客名和密码是明文发送弱点，但是认证只在链路建立初期进行，因而节约了宝贵链路带宽。本设计中将采用PAP身份认证办法。（1）建立本地口令数据库如图所示建立本地口令数据库。图2-2建立本地口令数据库（2）设立进行PAP认证图2-2建立本地口令数据库五服务器模块设计服务器模块用来对校园网接入顾客提供各种服务。在本设计方案中，所有服务器被集中到VLAN100构成服务器群并通过度别层互换机DistributeSwitch1端口fastethernet1～20接入校园网。如图所示。图5-1服务器群校园网提供常用服务（服务器）涉及：WEB服务器：提供WEB网站服务。DNS、目录服务器：提供域名解析以及目录服务。FTP、文献服务器：提供文献传播、共享服务。邮件服务器：提供邮件收发服务。数据库服务器：提供各种数据库服务。打印服务器：提供打印机共享服务。实时通信服务器：提供实时通信服务。流媒体服务器：提供各种流媒体播放、点播服务。网管服务器：对校园网网络设备进行综合管理。如图所示。显示了各服务器IP地址配备状况。图4-5-1"原则ACL"实验环境表给出了所有服务器硬件平台、操作系统以及服务软件选型表。表1-1VLAN及IP编址方案限于篇幅，对于各种服务器安装、配备环节以及运营维护办法，这里不再赘述，感兴趣读者可以参看关于参照书。六总结（其她、测试）6.1系统测试前面几节中，咱们对如何设计一种较为完整校园网网络进行了详细简介。当校园网初具规模后，还应当对校园网整体运营状况做一下细致测试和评估。重要测试内容应当涉及：对管理IP地址测试。对相似VLAN内通信进行测试。对不同VLAN内通信进行测试。对冗余链路工作状态进行测试。对广域网接入路由器上NAT进行测试。对广域网接入路由器上ACL进行测试。对远程访问服务进行测试。对各种服务器提供服务进行测试。至于详细测试环节，限于篇幅这里不再赘述。需要阐明是，一种完整校园网网络系统设计不但包括上述设备，还应当有计费系统、防火墙系统、入侵检测系统等构成某些。限于篇幅，在此不做简介，感兴趣读者可以参看关于参照书。6.2有关测试、诊断命令在本章最后，咱们按不同功能按每种技术分类，给出有关测试、诊断命令列表同步还给出了命令作用。1．通用测试、诊断命令（1）pingx.x.x.x原则ping命令。用于测试设备间物理连通性。（2）pingx.x.x.x扩展ping命令。用于测试设备间物理连通性。扩展ping命令还支持灵活定义ping参数，如ping数据包大小，发送包个数，等待响应数据包超时时间等。（3）traceroutex.x.x.x命令traceroute用于跟踪、显示路由信息。（4）showrunning-config命令showrunning-config用于显示路由器、互换机运营配备文献内容。（5）showstartup-config命令showstartup-config用于显示路由器、互换机启动配备文献内容。（6）showsessions命令showsessions用于显示从当前设备发出所有呼出Telnet会话（7）disconnect命令disconnect用于断开与远程目的主机Telnet会话。（8）showusers命令showusers用于查看呼入Telnet会话状况。（9）clearline命令clearline用于断开远程主机呼入Telnet连接。（10）shutdown命令shutdown用于暂时将某个接口关闭。（11）noshutdown命令noshutdown用于手动启动（激活）处在管理性关闭接口。（12）showarp命令showarp用于显示ARP缓存（ARP表）内容。（13）showiparp命令showiparp用于显示IPARP缓存（ARP表）内容。（14）showinterfaces命令showinterface用于显示各接口状态及参数信息。（15）showipinterface命令showipinterface用于显示IP接口状态及配备信息。（16）showversion命令showversion用于显示路由器硬件配备、软件版本等信息。（17）Ctrl+Shift+6+x该命令也被称为"退出序列"，用于终结正在执行某条命令或操作，也用于从呼出Telnet会话中暂时切换到本地连接。（18）dirflash：命令dirflash:用于显示闪存中文献清单。（19）dirnvram：命令dirnvram:用于显示非易失性内存中文献清单。（20）showdebugging命令showdebugging用于显示正在进行诊断过程清单。（21）undebugall命令undebugall用于停止所有诊断过程。2．CDP测试、诊断命令（1）showcdp命令showcdp用于显示CDP全局参数信息。（2）showcdpneighbors命令showcdpneighbors用于显示CDP邻居设备摘要信息。（3）showcdp