校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)集成方案03.doc

河北科技師范學(xué)院系統(tǒng)集成課程設(shè)計(jì)論文 院（系、部）名 稱 ： 數(shù)信學(xué)院 專 業(yè) 名 稱： 網(wǎng)絡(luò)工程 學(xué) 生 姓 名： 學(xué) 生 學(xué) 號： 2011年 12 月 20日目 錄摘要- 1 -1需求分析- 1 -1.1學(xué)校概況- 1 -1.2網(wǎng)絡(luò)環(huán)境分析- 1 -1.2.1各校區(qū)分布- 1 -1.2.2秦皇島校區(qū)建筑物布局- 2 -1.2.3信息點(diǎn)的分布- 3 -1.3功能需求- 3 -1.4技術(shù)需求分析- 4 -1.4.1路由技術(shù)：- 4 -1.4.2交換技術(shù)：- 4 -1.4.3Vlan技術(shù)：- 4 -1.4.4防火墻技術(shù)與DMZ ：- 4 -1.4.5鏈路聚合（PortTrunking）技術(shù)：- 5 -2校園網(wǎng)總體設(shè)計(jì)- 5 -2.1主干網(wǎng)設(shè)計(jì)- 5 -2.2層次化網(wǎng)絡(luò)設(shè)計(jì)- 5 -2.3網(wǎng)絡(luò)冗余設(shè)計(jì)- 6 -2.4出口設(shè)計(jì)- 7 -2.5網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)圖- 7 -2.6設(shè)備選型- 8 -3校園網(wǎng)詳細(xì)設(shè)計(jì)及實(shí)現(xiàn)- 10 -3.1VLAN及IP地址規(guī)劃- 10 -3.2交換模塊設(shè)計(jì)- 11 -3.2.1接入層- 11 -3.2.2匯聚層- 13 -3.3核心模塊設(shè)計(jì)- 15 -3.3.1核心層- 15 -3.4廣域網(wǎng)接入模塊設(shè)計(jì)- 18 -3.5各校區(qū)核心路由設(shè)計(jì)與配置- 20 -3.5.1主校區(qū)核心配置- 20 -3.5.2昌黎校區(qū)核心配置- 20 -3.5.3開發(fā)區(qū)校區(qū)核心配置- 20 -3.5.4歐美校區(qū)核心配置- 21 -4模擬調(diào)試- 21 -4.1GNS3介紹- 21 -4.2模擬環(huán)境介紹- 21 -4.3配置實(shí)現(xiàn)- 22 -4.4驗(yàn)證- 26 -5反思- 27 -參考文獻(xiàn)- 27 - 26 -河北科技師范學(xué)院系統(tǒng)集成課程設(shè)計(jì)論文秦皇島校區(qū)校園網(wǎng)設(shè)計(jì)摘要校園網(wǎng)是各種類型網(wǎng)絡(luò)中一大分支，有著非常廣泛的應(yīng)用。作為新技術(shù)的發(fā)祥地，學(xué)校、尤其是高等學(xué)校和網(wǎng)絡(luò)的關(guān)系十分密切，網(wǎng)絡(luò)最初是在校園里進(jìn)行實(shí)驗(yàn)并獲得成功的，許多網(wǎng)絡(luò)新技術(shù)也是首先在校園網(wǎng)中獲得成功，進(jìn)而才推向社會的。我國自1993年與Internet連通以來，已建成了四大主干信息網(wǎng)：中國公眾信息網(wǎng)ChinaNET，中國金橋網(wǎng)ChinaGBN，中國教育科研網(wǎng)CERNET和中科院網(wǎng)CASNET。全國各大中城市的網(wǎng)絡(luò)節(jié)點(diǎn)相繼開通。Internet的發(fā)展帶動了全世界的信息產(chǎn)業(yè)的發(fā)展，也為現(xiàn)代學(xué)校應(yīng)用程序結(jié)構(gòu)提供了一個新的計(jì)算模式，這種計(jì)算模式能真正適應(yīng)學(xué)校發(fā)展的需要，使學(xué)校的計(jì)算機(jī)應(yīng)用提高到一個新的水平。將Internet技術(shù)應(yīng)用到學(xué)校內(nèi)部，并建立基于這種開放技術(shù)的學(xué)校應(yīng)用程序，使學(xué)校本身具有了Internet的特性，這種應(yīng)用體系結(jié)構(gòu)就是Intranet 學(xué)校內(nèi)部網(wǎng)。Internet和Intranet代表著全新的信息時代的到來。Intranet使實(shí)現(xiàn)學(xué)校內(nèi)部的信息化成為可能。學(xué)校工作人員和在校學(xué)生面對的信息資源已不僅僅來自于一個部門、一個學(xué)?；蛘呤且粋€行業(yè)，而是所有Internet世界上的資源，使得學(xué)校教學(xué)、科研、管理和決策更為有效。本次設(shè)計(jì)就從學(xué)校的需求分析入手，以我校為例設(shè)計(jì)出一個本校區(qū)的校園網(wǎng)，并闡述了校園網(wǎng)的網(wǎng)絡(luò)拓?fù)洹⒌刂芬?guī)劃、設(shè)備選型以及配置等。關(guān)鍵詞：網(wǎng)絡(luò)工程 校園網(wǎng) 網(wǎng)絡(luò)設(shè)計(jì)1 需求分析1.1 學(xué)校概況河北科技師范學(xué)院是一所具有碩士學(xué)位授予權(quán)的省屬本科院校。 現(xiàn)有秦皇島、昌黎、開發(fā)區(qū)、歐美學(xué)院四個校區(qū)，校園占地面積1800畝，建筑面積57萬平方米。 學(xué)校設(shè)有16個二級學(xué)院和3個教學(xué)系（部）?，F(xiàn)秦皇島本部校區(qū)有數(shù)信學(xué)院、財(cái)經(jīng)學(xué)院、工商管理學(xué)院、體育學(xué)院、理化學(xué)院、城市建設(shè)學(xué)院、繼續(xù)教育學(xué)院、思想政治理論教學(xué)部、網(wǎng)絡(luò)與教育技術(shù)中心。1.2 網(wǎng)絡(luò)環(huán)境分析1.2.1 各校區(qū)分布河北科技師范學(xué)院包括四個校區(qū)，其中昌黎校區(qū)位于昌黎縣，歐美學(xué)院及開發(fā)區(qū)校區(qū)離秦皇島主校區(qū)不遠(yuǎn)，四個校區(qū)物理上隔離。為了最大程度上對學(xué)校各校區(qū)資源實(shí)現(xiàn)資源共享，結(jié)合考慮學(xué)校實(shí)際情況，建議各分校區(qū)與秦皇島主校區(qū)實(shí)現(xiàn)專線相連，同時昌黎校區(qū)和秦皇島校區(qū)分別接入互聯(lián)網(wǎng)和Cernet。本設(shè)計(jì)方案涉及四個校區(qū)的網(wǎng)絡(luò)整體規(guī)劃，其中以秦皇島校區(qū)為主，實(shí)現(xiàn)了秦皇島校區(qū)的具體實(shí)施方案，同時實(shí)現(xiàn)四個校區(qū)網(wǎng)絡(luò)互聯(lián)互通。四個校區(qū)網(wǎng)絡(luò)核心區(qū)域拓?fù)淙缦拢簣D 111.2.2 秦皇島校區(qū)建筑物布局經(jīng)實(shí)地調(diào)查，現(xiàn)秦皇島校區(qū)有逸夫樓、老樓、B區(qū)、實(shí)驗(yàn)樓、圖書館、校醫(yī)院、后勤、招待所共8處地方需要布設(shè)網(wǎng)絡(luò)。建筑物布局如下：圖 12建筑物布局（以網(wǎng)絡(luò)中心所在逸夫樓為軸）建筑物名稱位置距離逸夫樓學(xué)校中心0B樓靠近網(wǎng)絡(luò)中心200老樓位于逸夫樓南對面100圖書館位于逸夫樓東南方向150實(shí)驗(yàn)樓位于逸夫樓東面50-100后勤位于學(xué)校澡房東側(cè)800校醫(yī)院位于一食堂東南側(cè)700招待所位于學(xué)校東門附近800表格 1-1網(wǎng)絡(luò)中心所在位置：按照實(shí)地分析，應(yīng)該把網(wǎng)絡(luò)中心安置在逸夫樓大樓內(nèi)。1.2.3 信息點(diǎn)的分布信息點(diǎn)的分布：目前建筑物布局中所列出的所有建筑均需信息點(diǎn)的分布，考慮未來可預(yù)測范圍內(nèi)的網(wǎng)絡(luò)擴(kuò)展，信息點(diǎn)的分布如下：名稱樓層信息點(diǎn)/樓層 (個)信息點(diǎn)總數(shù)（臺）所需CISCO WS-C2960-48TT-L數(shù)量逸夫樓1110+10+28+22+20+20+10+27+290+70507 11B樓54+6+3+1+1151老樓521+23+28+14+9952圖書館916+64+5+250+250+1+2+6265014實(shí)驗(yàn)樓7319+310+317+30（辦公室信息點(diǎn)）97621后勤130301校醫(yī)院220201招待所7200200 5表格 1-21.3 功能需求通過實(shí)地調(diào)查分析，校園網(wǎng)絡(luò)應(yīng)滿足如下功能需求：1、將全校所有計(jì)算機(jī)連接到網(wǎng)絡(luò)中，滿足計(jì)算機(jī)教學(xué)科研、行政辦公需要，具有完善的辦公事務(wù)處理能力。在網(wǎng)絡(luò)上傳輸多種應(yīng)用信息，用于教學(xué)、教務(wù)管理、通知通告、對外網(wǎng)站等應(yīng)用。2、網(wǎng)絡(luò)管理系統(tǒng)功能完善，操作簡便，能管理到桌面臺式機(jī)。網(wǎng)絡(luò)設(shè)立區(qū)域性安全防范措施，加載安全過濾。禁止如P2P等占用高帶寬的技術(shù)。3、結(jié)構(gòu)合理，技術(shù)先進(jìn)，確保3-5年內(nèi)不會更新?lián)Q代，所設(shè)計(jì)網(wǎng)絡(luò)應(yīng)該具有高可靠性和可擴(kuò)展性，具有一定的冗余，容錯能力強(qiáng)，確保信息處理安全保密。4、實(shí)現(xiàn)VLAN間的互通，方便不同行政部門或教學(xué)部門的互訪以及網(wǎng)絡(luò)管理。5、連接至Internet。1.4 技術(shù)需求分析1.4.1 路由技術(shù)：路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時選擇最佳路徑的能力。除了可以完成主要的路由任務(wù)，利用訪問控制列表（Access Control List，ACL），路由器還可以用來完成以路由器為中心的流量控制和過濾功能。在本工程設(shè)計(jì)中，內(nèi)網(wǎng)用戶不僅通過路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過3層交換機(jī)上的路由功能進(jìn)行數(shù)據(jù)包交換。1.4.2 交換技術(shù)：現(xiàn)代交換技術(shù)還實(shí)現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了校園網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了校園網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。1.4.3 Vlan技術(shù)： 虛擬局域網(wǎng)（Virtual LAN，VLAN），VLAN將廣播域限制在單個VLAN內(nèi)部，減小了各VLAN間主機(jī)的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術(shù)來實(shí)現(xiàn)。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時，可以使用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）簡化管理，它只需在單獨(dú)一臺交換機(jī)上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。1.4.4 防火墻技術(shù)與DMZ ： 針對不同資源提供不同安全級別的保護(hù), 還應(yīng)構(gòu)建一個“Demilitarized Zone”(DMZ)的區(qū)域，放置一些不含機(jī)密信息的公用服務(wù)器，比如Web、 Mail、FTP等。這樣來自外網(wǎng)的訪問者可以訪問DMZ中的服務(wù)，但不可能接觸到存放在內(nèi)網(wǎng)中的公司機(jī)密或私人信息等。即使DMZ中服務(wù)器受到破壞，也不會對內(nèi)網(wǎng)中的機(jī)密信息造成影響。圖 131.4.5 鏈路聚合（PortTrunking）技術(shù)：鏈路聚合（Port Trunking）技術(shù)，支持IEEE802.3協(xié)議，是一種用在交換機(jī)與交換機(jī)之間擴(kuò)大通信吞吐量、提高可靠性的技術(shù)，也稱為骨干連接。當(dāng)兩臺核心層交換機(jī)采用聚合鏈路Port Trunking技術(shù)后，該技術(shù)可以使交換機(jī)之間連接最多4條負(fù)載均衡的冗余連接。當(dāng)某一臺核心交換機(jī)出現(xiàn)故障或核心交換機(jī)與接入層/匯聚層交換機(jī)的某一條互聯(lián)線路出現(xiàn)故障時，系統(tǒng)將通信業(yè)務(wù)快速自動切換到另一臺正常工作的核心層交換機(jī)上，以使整個網(wǎng)絡(luò)具備高容量、無阻塞、高可靠的能力。2 校園網(wǎng)總體設(shè)計(jì)2.1 主干網(wǎng)設(shè)計(jì)隨著校園網(wǎng)用戶數(shù)目與新的應(yīng)用需求不斷增加，特別是網(wǎng)上多媒體及遠(yuǎn)程教育應(yīng)用的展開，對校園網(wǎng)主干帶寬提出了新的更高的要求，因此校園網(wǎng)的主干（即核心層交換機(jī)與匯聚層交換機(jī)之間或核心層交換機(jī)與服務(wù)器之間的連接）采用千兆以太網(wǎng)技術(shù)，在距離允許的范圍內(nèi)，還應(yīng)當(dāng)盡量采用當(dāng)前性價比最好的千兆銅纜以太網(wǎng)技術(shù)（ 1000Base-T ）。1000Mbps以太網(wǎng)交換技術(shù)為主干，可以做到1000Mbps全光纜到二級交換機(jī)，100Mbps到桌面。2.2 層次化網(wǎng)絡(luò)設(shè)計(jì)根據(jù)本校網(wǎng)絡(luò)的實(shí)際情況，網(wǎng)絡(luò)層次應(yīng)包括核心層、匯聚層和接入層三個層次。接入層位于連接到網(wǎng)絡(luò)的最終用戶處，通常在用戶之間提供第2層連接性，該層的設(shè)備必須具備具備下述功能：低交換機(jī)端口成本；高端口密度；連接到高層的可擴(kuò)展上行鏈路；用戶接入功能，如VLAN成員資格、數(shù)據(jù)流和協(xié)議過濾以及服務(wù)質(zhì)量（QoS）。匯聚層將校園網(wǎng)的接入層和核心層連接起來，該層的設(shè)備必須具備下述的功能：聚集多臺接入層設(shè)備；較高的第3層分組處理吞吐量；使用訪問列表和分組過濾器提供安全和基于策略的連接；連接到核心層和接入層的高速連接具有可擴(kuò)展性和彈性。校園網(wǎng)的核心層連接所有的匯聚層設(shè)備，該層必須能夠盡可能高效地交換數(shù)據(jù)流。該層應(yīng)具有下述功能：第2層和第3層的吞吐量非常高；不執(zhí)行高成本或不必要的分組處理（訪問列表、分組過濾）；支持高可用性的冗余和彈性；高級Qos功能。秦皇島校區(qū)網(wǎng)絡(luò)設(shè)計(jì)的層次如下圖所示：圖 212.3 網(wǎng)絡(luò)冗余設(shè)計(jì) 由于大學(xué)網(wǎng)絡(luò)規(guī)模巨大、涉及到的用戶很多，如果網(wǎng)絡(luò)特別是骨干網(wǎng)絡(luò)出現(xiàn)任何的問題將導(dǎo)致很大的不良影響，因此對網(wǎng)絡(luò)的可靠性和可用性要求很高。網(wǎng)絡(luò)的冗余設(shè)計(jì)除了選擇具有冗余設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備外，網(wǎng)絡(luò)的冗余設(shè)計(jì)也十分重要，因此，分校區(qū)與主校區(qū)之間采用雙鏈路相連，秦皇島校區(qū)和昌黎校區(qū)核心層可采用兩臺核心交換機(jī)，匯聚層交換機(jī)分別用兩條線路接到這兩臺核心交換機(jī)上，即可實(shí)現(xiàn)線路的冗余。冗余設(shè)計(jì)如圖：圖 22圖 232.4 出口設(shè)計(jì)為了給校園網(wǎng)用戶提供一個快速穩(wěn)定訪問外部網(wǎng)絡(luò)的通道，本方案設(shè)計(jì)采用雙出口設(shè)計(jì)，一條通過本地ISP接入Chinanet，另一條接入Cernet，以滿足學(xué)校辦公的需求。設(shè)計(jì)如圖所示：圖 242.5 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)圖四個校區(qū)網(wǎng)絡(luò)拓?fù)洌簣D 25秦皇島校區(qū)網(wǎng)絡(luò)拓?fù)洌簣D 262.6 設(shè)備選型校園網(wǎng)絡(luò)主干為千兆網(wǎng)絡(luò)，百兆交換到桌面，保障所有用戶同時調(diào)用服務(wù)資源時都能快速、流暢，充分發(fā)揮多媒體課室教學(xué)的作用；同時保證所有用戶同時上網(wǎng)順暢，使校園網(wǎng)絡(luò)的功能發(fā)揮得淋漓盡致。為了實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計(jì)方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即Cisco公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的好處是可以實(shí)現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。下面就介紹本案例中的設(shè)備型號及具體參數(shù)、報(bào)價等信息：核心層設(shè)備：CISCO WS-C6509-NEB-A(CISCO WS-C6509-NEB-A)類別：交換機(jī)品牌：CISCO（思科）參考價格：￥5.87萬北京交換機(jī)類：企業(yè)級交換機(jī)應(yīng)用層級：四層傳輸速率：10Mbps/100Mbps/1000M背板帶寬：720GbpsVLAN支持：支持網(wǎng)管功能：CiscoWorks2000, RMON包轉(zhuǎn)發(fā)率：387Mpps網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE 802.3, IEEE 802端口結(jié)構(gòu)：模塊化交換方式：存儲-轉(zhuǎn)發(fā)產(chǎn)品內(nèi)存：512MB傳輸模式：支持全雙工QOS支持：支持網(wǎng)管支持：支持模塊化插：9電源電壓：DC, 6000; AC, 4000W產(chǎn)品尺寸：846437460匯聚層設(shè)備：CISCO WS-C3560G-24TS-S(CISCO WS-C3560G-24TS-S)類別：交換機(jī)品牌：CISCO（思科）參考價格：￥1.5萬北京交換機(jī)類：企業(yè)級交換機(jī)應(yīng)用層級：三層接口介質(zhì)：10/100/1000BASE-T/10傳輸速率：10Mbps/100Mbps/1000M端口數(shù)量：24背板帶寬：32GbpsVLAN支持：支持網(wǎng)管功能：網(wǎng)管功能 SNMP, CLI,包轉(zhuǎn)發(fā)率：38.7MppsMAC地址：12k網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE 802.3、IEEE 802端口結(jié)構(gòu)：非模塊化交換方式：存儲-轉(zhuǎn)發(fā)產(chǎn)品內(nèi)存：128 MB DRAM和32 MB閃傳輸模式：支持全雙工配置形式：可堆疊QOS支持：支持網(wǎng)管支持：支持模塊化插：2電源電壓：100-240 VAC(自動適應(yīng) 接入層設(shè)備：CISCO WS-C2960-48TT-L(CISCO WS-C2960-48TT-L)類別：交換機(jī)品牌：CISCO（思科）參考價格：￥7000北京交換機(jī)類：智能交換機(jī)應(yīng)用層級：二層接口介質(zhì)：10/100Base-T、10/100傳輸速率：10Mbps/100Mbps/1000M端口數(shù)量：48背板帶寬：6.8GbpsVLAN支持：支持網(wǎng)管功能：Web瀏覽器,SNMP,CLI包轉(zhuǎn)發(fā)率：10.1MppsMAC地址：8K網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE 802.3、IEEE 802端口結(jié)構(gòu)：非模塊化交換方式：存儲-轉(zhuǎn)發(fā)產(chǎn)品內(nèi)存：64MB傳輸模式：全雙工/半雙工自適應(yīng)QOS支持：支持3 校園網(wǎng)詳細(xì)設(shè)計(jì)及實(shí)現(xiàn)3.1 VLAN及IP地址規(guī)劃本工程采用/8的私有IP地址段，為校園網(wǎng)絡(luò)提供充裕的主機(jī)地址并采用基于端口的vlan劃分方法。單個vlan可以使用多個地址段。Vlan的劃分基于各部門職能或機(jī)房數(shù)量。其中秦皇島校區(qū)IP地址段為/16，昌黎校區(qū)IP地址段為/16，開發(fā)區(qū)校區(qū)IP地址段為/16，歐美學(xué)院IP地址段為/16，秦皇島校區(qū)IP地址與VLAN詳細(xì)劃分如下：VLAN號VLAN名稱IP網(wǎng)段默認(rèn)網(wǎng)關(guān)說明/2454主校區(qū)管理vlan2duomeiti/24多媒體3erjixueyuanbangong/23 二級學(xué)院辦公4xingzhenbangong/23行政辦公5jiulou/23九樓機(jī)房16jiulou/24九樓機(jī)房27zhaodaisuo/24招待所8fuwuqiqun/24服務(wù)器9shiyan/23實(shí)驗(yàn)樓機(jī)房五樓10shiyan/23實(shí)驗(yàn)樓機(jī)房六樓211shiyan3/23實(shí)驗(yàn)樓機(jī)房七樓12tushuguan/23圖書館電子閱覽室113tushuguan/23圖書館電子閱覽室214xiaoyiyuan/24校醫(yī)院15houqin/24后勤255Guanli/24管理vlan表格 3-13.2 交換模塊設(shè)計(jì)為了簡化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)行的。園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可劃分為三個層次：訪問層、分布層、核心層。 注：交換模塊設(shè)計(jì)以秦皇島校區(qū)為例做出實(shí)施方案，其他校區(qū)與此類似，不做冗述。3.2.1 接入層以duomeiti交換機(jī)配置為例：1配置訪問層交換機(jī)duomeiti的基本參數(shù)（1）設(shè)置交換機(jī)名稱如圖所示，為訪問層交換機(jī)duomeiti命名。圖 31（2）設(shè)置交換機(jī)的加密使能口令 當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時，需要提供此口令。此口令會以MD5的形式加密，因此，當(dāng)用戶查看配置文件時，無法看到明文形式的口令。 如圖所示，將交換機(jī)的加密使能口令設(shè)置為wangbao圖 32（3）設(shè)置登錄虛擬終端線時的口令 如圖所示，設(shè)置登錄交換機(jī)時需要驗(yàn)證用戶身份，同時設(shè)置口令為wangbao圖 33（4）設(shè)置終端線超時時間 為了安全考慮，可以設(shè)置終端線超時時間。在設(shè)置的時間內(nèi)，如果沒有檢測到鍵盤輸入，IOS將斷開用戶和交換機(jī)之間的連接。 如圖所示，設(shè)置登錄交換機(jī)的控制臺終端線路及虛擬終端線的超時時間為5分10秒鐘。圖 34（5）設(shè)置禁用IP地址解析特性交換機(jī)默認(rèn)配置的情況下，當(dāng)我們輸入一條錯誤的交換機(jī)命令時，交換機(jī)會嘗試將其廣播給網(wǎng)絡(luò)上的DNS服務(wù)器并將其解析成對應(yīng)的IP地址。利用命令no ip domain-lookup?？梢越眠@個特性圖 352配置訪問層交換機(jī)duomeiti的管理IP、默認(rèn)網(wǎng)關(guān) 訪問層交換機(jī)是OSI參考模型的第2層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備。因此，給訪問層交換機(jī)的每個端口設(shè)置IP地址是沒意義的。但是，為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到訪問層交換機(jī)上進(jìn)行管理，必要給訪問層交換機(jī)設(shè)置一個管理用IP地址。這種情況下，實(shí)際上是將交換機(jī)看成和PC機(jī)一樣的主機(jī)。給交換機(jī)設(shè)置管理用IP地址只能在VLAN1，即本征VLAN中進(jìn)行。按照表4-1，管理VLAN所在的子網(wǎng)是：/24，這里將訪問層交換機(jī)duomeiti的管理IP地址設(shè)為：/24圖 36為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī)，還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān)地址54，如圖所示。圖 373配置訪問層交換機(jī)duomeiti的VLAN及VTP 從提高效率的角度出發(fā)，在本校園網(wǎng)實(shí)現(xiàn)實(shí)例中使用了VTP技術(shù)。同時，將分布層交換機(jī)設(shè)置成為VTP服務(wù)器，其他交換機(jī)設(shè)置成為VTP客戶機(jī)。這里訪問層交換機(jī)duomeiti將通過VTP獲得在分布層交換機(jī)中定義的所有VLAN的信息。圖 384配置訪問層交換機(jī)duomeiti端口基本參數(shù)（1）端口雙工和速度配置設(shè)置訪問層交換機(jī)duomeiti的所有端口均工作在全雙工模式。圖 395配置訪問層交換機(jī)duomeiti的訪問端口 訪問層交換機(jī)duomeiti為終端用戶提供接入服務(wù)。圖 310（2）設(shè)置快速端口默認(rèn)情況下，交換機(jī)在剛加電啟動時，每個端口都要經(jīng)歷生成樹的四個階段：阻塞、偵聽、學(xué)習(xí)、轉(zhuǎn)發(fā)。在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前，某個端口可能最多要等50秒鐘的時間（20秒的阻塞時間15秒的偵聽延遲時間15秒的學(xué)習(xí)延遲時間）。對于直接接入終端工作站的端口來說，用于阻塞和偵聽的時間是不必要的。為了加速交換機(jī)端口狀態(tài)轉(zhuǎn)化時間，可以設(shè)置將某端口設(shè)置成為快速端口（Portfast）。設(shè)置為快速端口的端口當(dāng)交換機(jī)啟動或端口有工作站接入時，將會直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，而不會經(jīng)歷阻塞、偵聽、學(xué)習(xí)狀態(tài)（假設(shè)橋接表已經(jīng)建立）。圖 3116配置訪問層交換機(jī)duomeiti的trunk端口 設(shè)置訪問層交換機(jī)duomeiti的端口FastEthernet 0/0為trunk端口。圖 3127配置其它訪問層交換機(jī) 其它訪問層交換機(jī)分別為剩余VLAN的用戶提供接入服務(wù)。同時，它們也通過自己的fa0/0連到分布層交換機(jī)的端口上。這些剩余的訪問層交換機(jī)其配置步驟、命令與訪問層交換機(jī)duomeiti的配置相似。這里就不再詳細(xì)分析了。3.2.2 匯聚層分布層除了負(fù)責(zé)將訪問層交換機(jī)進(jìn)行匯集外，還為整個交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能。1配置分布層交換機(jī)fenbu1的基本參數(shù) 對分布層交換機(jī)fenbu1的基本參數(shù)的配置步驟與對訪問層交換機(jī)duomeiti的基本參數(shù)的配置類似。這里，只給出實(shí)際的配置步驟，不再給出解釋。 圖 313配置分布層交換機(jī)fenbu1的管理IP、默認(rèn)網(wǎng)關(guān)如圖所示，顯示了為分布層交換機(jī)fenbu1設(shè)置管理IP并激活本征VLAN。同時，還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。圖 314圖 3152配置分布層交換機(jī)fenbu1的VTP 當(dāng)網(wǎng)絡(luò)中交換機(jī)數(shù)量很多時，需要分別在每臺交換機(jī)上創(chuàng)建很多重復(fù)的VLAN。工作量很大、過程很繁瑣，并且容易出錯。因此我們常采用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）來解決這個問題。VTP允許我們在一臺交換機(jī)上創(chuàng)建所有的VLAN。然后，利用交換機(jī)之間的互相學(xué)習(xí)功能，將創(chuàng)建好的VLAN定義傳播到整個網(wǎng)絡(luò)中需要此VLAN定義的所有交換機(jī)上。同時，有關(guān)VLAN的刪除、參數(shù)更改操作均可傳播到其他交換機(jī)。從而大大減輕了網(wǎng)絡(luò)管理人員配置交換機(jī)負(fù)擔(dān)。在本校園網(wǎng)實(shí)現(xiàn)實(shí)例中使用了VTP技術(shù)。同時，將分布層交換機(jī)fenbu1設(shè)置成為VTP服務(wù)器，其他交換機(jī)設(shè)置成為VTP客戶機(jī)。（1）配置VTP管理域 共享相同VLAN定義數(shù)據(jù)庫的交換機(jī)構(gòu)成一個VTP管理域。每一個VTP管理域都有一個共同的VTP管理域域名。不同VTP管理域的交換機(jī)之間不交換VTP通告信息。將VTP管理域的域名定義為campus。圖 316（2）設(shè)置VTP服務(wù)器 工作在VTP服務(wù)器模式下的交換機(jī)可以創(chuàng)建、刪除VLAN、修改VLAN參數(shù)。同時，還有責(zé)任發(fā)送和轉(zhuǎn)發(fā)VLAN更新消息。如圖所示，設(shè)置分布層交換機(jī)fenbu1成為VTP服務(wù)器。 圖 317 4在分布層交換機(jī)fenbu1上定義VLAN 在本校園網(wǎng)實(shí)現(xiàn)實(shí)例中，除了默認(rèn)的本地VLAN外，又定義了14個VLAN，如表4-1所示。由于使用了VTP技術(shù)，所以所有VLAN的定義只需要在VTP服務(wù)器，即分布層交換機(jī)fenbu1上進(jìn)行。如圖所示，定義了3個VLAN，同時為每個VLAN命名。圖 3185配置分布層交換機(jī)fenbu1的端口基本參數(shù) 圖 3196配置其他分布層交換機(jī)對其他匯聚層交換機(jī)的配置步驟、命令和對匯聚層交換機(jī)fenbu1的配置類似。這里，不再詳細(xì)分析。3.3 核心模塊設(shè)計(jì)注：核心模塊設(shè)計(jì)以秦皇島校區(qū)為例做出實(shí)施方案，其他校區(qū)與此類似，不做冗述。3.3.1 核心層1配置核心層交換機(jī)core1的基本參數(shù) 對核心層交換機(jī)core1的基本參數(shù)的配置步驟與對訪問層交換機(jī)duomeiti的基本參數(shù)的配置類似?；九渲萌缦拢簣D 3202配置核心層交換機(jī)core1的管理IP、默認(rèn)網(wǎng)關(guān) 如圖所示，顯示了為核心層交換機(jī)core1設(shè)置管理IP并激活本征VLAN。同時，還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。圖 3213.配置核心層交換機(jī)core1的的VLAN及VTP在本實(shí)例中，核心層交換機(jī)core1也將作為VTP客戶機(jī)。這里核心層交換機(jī)core1將通過VTP獲得在分布層交換機(jī)fenbu1中定義的所有VLAN的信息。圖 3224配置核心層交換機(jī)core1的端口參數(shù)核心層交換機(jī)core1通過自己的端口f0/4同廣域網(wǎng)接入模塊（Internet路由器）相連。同時，核心層交換機(jī)core1的端口fa/0- 6分別連到分布層交換機(jī)fenbu1和fenbu2的端口。圖 3235.配置核心層交換機(jī)core1的路由功能 核心層交換機(jī)core1通過端口FastEthernet 0/4同廣域網(wǎng)接入模塊（Internet路由器）相連。因此，需要啟用核心層交換機(jī)的路由功能。同時，還需要定義通往Internet的路由。這里使用了一條缺省路由命令：圖 3246.配置以太信道.etherchannel特性在switch到switch、switch到router之間提供冗余的、高速的連接方式，簡單說就是將兩個設(shè)備間多條FE或GE物理鏈路捆在一起組成一條設(shè)備間邏輯鏈路，從而達(dá)到增加帶寬，提供冗余的目的。 圖 3257.配置GLBP：GLBP全稱Gateway Load Balancing Protocol(網(wǎng)關(guān)負(fù)載均衡協(xié)議)，是思科的專有協(xié)議。和HSRP、VRRP不同的是，GLBP不僅提供冗余網(wǎng)關(guān)，還在各網(wǎng)關(guān)之間提供負(fù)載均衡， 配置如下：圖 3263.4 廣域網(wǎng)接入模塊設(shè)計(jì)1配置接入路由器router的基本參數(shù) 對接入路由器router的基本參數(shù)的配置步驟與對訪問層交換機(jī)duomeiti的基本參數(shù)的配置類似。這里，如圖所示，只給出實(shí)際的配置步驟，不再給出解釋。圖 3272配置接入路由器router的各接口參數(shù)對接入路由器router的各接口參數(shù)的配置主要是對接口FastEthernet 0/0 - 1以及接口Serial 1/0 - 1的IP地址、子網(wǎng)掩碼的配置。 如圖所示，顯示了為接入路由器router的各接口設(shè)置IP地址、子網(wǎng)掩碼。圖 3283配置接入路由器router的路由功能 在接入路由器router上需要定義兩個方向上的路由：到校園網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由。到Internet上的路由需要定義一條缺省路由，如圖所示。其中，下一跳指定從本路由器的接口serial 1/0送出。圖 3294配置接入路由器router上的NAT由于目前IP地址資源非常稀缺，對不可能給校園網(wǎng)內(nèi)部的所有工作站都分配一個公有IP（Internet可路由的）地址。為了解決所有工作站訪問Internet的需要，必須使用NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)。為了接入Internet，假設(shè)本校園網(wǎng)向ISP申請了2個IP地址。(假設(shè)）IP地址為：00/24和00/24被分配給了Internet接入路由器的串行接口NAT的配置可以分為以下幾個步驟。（1) 定義NAT內(nèi)部、外部接口 下圖顯示了如何定義NAT內(nèi)部、外部接口。圖 330（2) 定義允許進(jìn)行PAT的內(nèi)部局部IP地址范圍 下圖顯示了如何定義允許進(jìn)行NAT的內(nèi)部局部IP地址范圍。圖 331（3） 定義本地外部地址池圖 332（4） 定義PAT地址轉(zhuǎn)換圖 3333.5 各校區(qū)核心路由設(shè)計(jì)與配置3.5.1 主校區(qū)核心配置core1(conifg)#interface vlan 255 core1(conifg-if)#ip add core1(conifg-if)#no shcore1(conifg-if)#exitcore1(conifg)#ip route core1(conifg)#ip route core1(conifg)#ip route 3.5.2 昌黎校區(qū)核心配置core3(conifg)#interface vlan 255 core3(conifg-if)#ip add core3(conifg-if)#no shcore3(conifg-if)#exitcore3(conifg)#ip route core3(conifg)#ip route core3(conifg)#ip route 3.5.3 開發(fā)區(qū)校區(qū)核心配置core5(conifg)#interface vlan 255 core5(conifg-if)#ip add core5(conifg-if)#no shcore5(conifg-if)#exitcore5(conifg)#ip route core5(conifg)#ip route core5(conifg)#ip route 3.5.4 歐美校區(qū)核心配置core6(conifg)#interface vlan 255 core6(conifg-if)#ip add core6(conifg-if)#no shcore6(conifg-if)#exitcore6(conifg)#ip route core6(conifg)#ip route core6(conifg)#ip route 4 模擬調(diào)試此模擬調(diào)試以秦皇島校區(qū)為例，主要測試該校區(qū)內(nèi)網(wǎng)絡(luò)的互聯(lián)互通。4.1 GNS3介紹GNS3是一款優(yōu)秀的具有圖形化界面可以運(yùn)行在多平臺（包括Windows, Linux, and MacOS等）的網(wǎng)絡(luò)虛擬軟件。它通過調(diào)用Cisco真實(shí)的IOS完成實(shí)驗(yàn)的模擬。4.2 模擬環(huán)境介紹由于交換機(jī)一般與硬件有關(guān)，模擬器只能模擬交換機(jī)基本的功能，因此在這里使用cisco 3640 的IOS搭建實(shí)驗(yàn)環(huán)境。該版本IOS由于無法開啟第三層接口，故不做NAT的模擬。對應(yīng)于所規(guī)劃的網(wǎng)絡(luò)拓?fù)洌诖舜文M環(huán)境中對拓?fù)渥龀鋈缦碌暮喕幚恚簣D 414.3 配置實(shí)現(xiàn)所有交換機(jī)上：enconf tno ip domain lookupline console 0logging synchronousexec-timeout 00exithostname RR7、R8、R14：enconf tinterface fa0/0speed 100duplex fullswitchport mode trunk no shendvlan databasevtp clientexitR7：conf tinterface fa0/1speed 100duplex fullswitchport mode accessswitchport access vlan 2exitR8上：conf tinterface fa0/1speed 100duplex fullswitchport mode accessswitchport access vlan 9exitR14上：conf tinterface fa0/1speed 100duplex fullswitchport mode accessswitchport access vlan 3exitR4、R5上：enconf tinterface range fa0/0 - 3speed 100duplex fullswitchport mode trunk no shR4上：endvlan databasevtp servervtp domain campusvlan 2 name duomeitivlan 3 name erjixueyuanbangongvlan 9 name shiyan1exitR5上：endvlan databasevtp clientexitR1、R2上：enconf tinterface range f0/0 - 6speed 100duplex fullswitchport mode trunkno shexitinterface range fa0/0 , fa0/6channel-group 1 mode onexitR1上：interface vlan 2ip add glbp 1 priority 200glbp 1 ip exitinterface vlan 3ip add glbp 1 priority 200glbp 1 ip exitinterface vlan 9ip ad