最佳校園工程設計帖某大學校園網(wǎng)設計方案(組圖)

1、最佳校園工程設計帖-某大學校園網(wǎng)設計方案(組圖)概述- 總設計師：XXX講師- 機構：XX國家重點大學院校- 校園占地面積： 146.57萬平方米- 校舍建筑面積： 1070875.64平方米- 教職工人數(shù)： 2000- 學生總數(shù):：1.7萬余人- 網(wǎng)絡面臨的挑戰(zhàn)： 建立一個可擴展的、高速的、充分冗余的、基于標準的網(wǎng)絡，該網(wǎng)絡能夠支持融合了話音、視頻、圖像和數(shù)據(jù)的應用程序。- 關鍵網(wǎng)絡系統(tǒng)：Cisco 3640路由器、Cisco Catalyst 2950 24口交換機（WS-C2950-24）、Cisco Catalyst 3550交換機、Cisco Catalyst 4006交換機- 網(wǎng)絡

2、解決辦法：對校園網(wǎng)系統(tǒng)整體方案設計對訪問層交換機進行配置對分布層交換機進行配置對核心層交換機進行配置對廣域網(wǎng)接入路由器進行配置對遠程訪問服務器進行配置對整個校園網(wǎng)系統(tǒng)進行診斷分析：路由、交換與遠程訪問技術不僅僅是思科的CCNP課程及考試的重點。更是現(xiàn)代計算機網(wǎng)絡領域中三大支撐技術體系。它們幾乎涵蓋了一個完整園區(qū)網(wǎng)實現(xiàn)的方方面面。常常有學員說無法學以致用，其實，CCNP課程中的每個章節(jié)都對應著實際工程中的每個小的案例。只不過，實際工程是各個小案例的綜合。在遇到一個實際工程的時候，我們不防采用自頂向下、模塊化的方法、參考3層模型來進行工程的設計和實施。路由技術：路由協(xié)議工作在OSI參考模型的第3層

3、，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡中傳遞數(shù)據(jù)時選擇最佳路徑的能力。除了可以完成主要的路由任務，利用訪問控制列表（Access Control List，ACL），路由器還可以用來完成以路由器為中心的流量控制和過濾功能。在本工程案例設計中，內(nèi)網(wǎng)用戶不僅通過路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過3層交換機上的路由功能進行數(shù)據(jù)包交換。交換技術：傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層。現(xiàn)代交換技術還實現(xiàn)了第3層交換和多層交換。高層交換技術的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強了園區(qū)網(wǎng)數(shù)據(jù)交換服務質(zhì)量，滿足了不同類型網(wǎng)絡應用程序的需要?，F(xiàn)代交換網(wǎng)絡還引入了虛擬局域

4、網(wǎng)（Virtual LAN，VLAN）的概念。VLAN將廣播域限制在單個VLAN內(nèi)部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術來實現(xiàn)。當網(wǎng)絡管理人員需要管理的交換機數(shù)量眾多時，可以使用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）簡化管理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網(wǎng)絡管理人員的工作負擔和工作強度。為了簡化交換網(wǎng)絡設計、提高交換網(wǎng)絡的可擴展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進行的。園區(qū)網(wǎng)數(shù)據(jù)交換設備可以劃

5、分為三個層次：訪問層、分布層、核心層。訪問層為所有的終端用戶提供一個接入點；分布層除了負責將訪問層交換機進行匯集外，還為整個交換網(wǎng)絡提供VLAN間的路由選擇功能；核心層將各分布層交換機互連起來進行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。在本工程案例設計中，也將采用這三層進行分開設計、配置。遠程訪問技術：遠程訪問也是園區(qū)網(wǎng)絡必須提供的服務之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務。遠程訪問有三種可選的服務類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務質(zhì)量不同，花費也不相同。企業(yè)用戶可以根據(jù)所需帶寬、本地服務可用性、花費等因素綜合考慮，選擇一種適合企業(yè)自身需要的廣域網(wǎng)接入方

6、案。）在本工程案例設計中，分別采用專線連接（到因特網(wǎng)）和電路交換（到校園網(wǎng)）兩種方式實現(xiàn)遠程訪問需求。作為一個較為完整的園區(qū)網(wǎng)實現(xiàn)，路由、交換與遠程訪問技術缺一不可。在后面的內(nèi)容中，我們將就每一技術領域的常用技術的實現(xiàn)進行詳細的討論。通過本書后面章節(jié)的學習，相信讀者能夠系統(tǒng)地掌握園區(qū)網(wǎng)的設計、實施以及維護技巧。一系統(tǒng)總體設計方案概述為了闡明主要問題，在本設計方案中對實際校園網(wǎng)的設計進行了適當和必要的簡化。同時，將重點放在網(wǎng)絡主干的設計上，對于服務器的架設只作簡單介紹。1.1系統(tǒng)組成與拓撲結(jié)構為了實現(xiàn)網(wǎng)絡設備的統(tǒng)一，本設計方案中完全采用同一廠家的網(wǎng)絡產(chǎn)品，即Cisco公司的網(wǎng)絡設備構建。全網(wǎng)使用

7、同一廠商設備的好處是可以實現(xiàn)各種不同網(wǎng)絡設備功能的互相配合和補充。本校園網(wǎng)設計方案主要由以下四大部分構成：交換模塊、廣域網(wǎng)接入模塊、遠程訪問模塊、服務器群。整個網(wǎng)絡系統(tǒng)的拓撲結(jié)構圖如圖1-1所示。在后面的幾節(jié)中我們將根據(jù)此圖分塊進行介紹。 attach1174/attach圖1-1校園網(wǎng)整體拓撲結(jié)構圖1.2VLAN及IP地址規(guī)劃整個校園網(wǎng)中VLAN及IP編址方案如表所示。 表1-1VLAN及IP編址方案除了表中的內(nèi)容外，撥號用戶從192.168.200.0/27中動態(tài)取得IP地址。為了簡化起見，這里我們只規(guī)劃了8個VLAN，同時為每個VLAN定義了一個由拼音縮寫組成的VLAN名稱。 二交換模塊

8、設計為了簡化交換網(wǎng)絡設計、提高交換網(wǎng)絡的可擴展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進行的。園區(qū)網(wǎng)數(shù)據(jù)交換設備可以劃分為三個層次：訪問層、分布層、核心層。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層。現(xiàn)代交換技術還實現(xiàn)了第3層交換和多層交換。高層交換技術的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強了園區(qū)網(wǎng)數(shù)據(jù)交換服務質(zhì)量，滿足了不同類型網(wǎng)絡應用程序的需要?，F(xiàn)代交換網(wǎng)絡還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的概念。VLAN將廣播域限制在單個VLAN內(nèi)部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術來實現(xiàn)。當網(wǎng)絡管理

9、人員需要管理的交換機數(shù)量眾多時，可以使用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）簡化管理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網(wǎng)絡管理人員的工作負擔和工作強度。當園區(qū)網(wǎng)絡的交換機數(shù)量增多、交換機間鏈路增加時，交換網(wǎng)絡的復雜性可能會造成交換環(huán)路問題，這需要通過在各交換機上運行生成樹協(xié)議（Spanning Tree Protocol，STP）來解決。一個好的校園網(wǎng)設計應該是一個分層的設計。一般分為三層設計模型。2.1訪問層交換服務的實現(xiàn)配置訪問層交換機訪問層為所有的終端用戶提供一個

10、接入點。這里的訪問層交換機采用的是Cisco Catalyst 2950 24口交換機（WS-C2950-24）。交換機擁有24個10/100Mbps自適應快速以太網(wǎng)端口，運行的是Cisco的IOS操作系統(tǒng)。我們以圖1-1中的訪問層交換機AccessSwitch1為例進行介紹。如圖2-1所示， 圖2-1訪問層交換機AccessSwitch11配置訪問層交換機AccessSwitch1的基本參數(shù)（1）設置交換機名稱設置交換機名稱，也就是出現(xiàn)在交換機CLI提示符中的名字。一般我們會以地理位置或行政劃分來為交換機命名。當我們需要Telnet登錄到若干臺交換機以維護一個大型網(wǎng)絡時，通過交換機名稱提示符

11、提示自己當前配置交換機的位置是很有必要的。如圖2-2所示，為訪問層交換機AccessSwitch1命名。 圖2-2為訪問層交換機AccessSwitch1命名（2）設置交換機的加密使能口令當用戶在普通用戶模式而想要進入特權用戶模式時，需要提供此口令。此口令會以MD5的形式加密，因此，當用戶查看配置文件時，無法看到明文形式的口令。如圖2-2所示，將交換機的加密使能口令設置為secretpasswd。 圖2-3為交換機設置加密使能口令（3）設置登錄虛擬終端線時的口令對于一個已經(jīng)運行著的交換網(wǎng)絡來說，交換機的帶內(nèi)遠程管理為網(wǎng)絡管理人員提供了很多的方便。但是，處于安全考慮，在能夠遠程管理交換機之前網(wǎng)絡

12、管理人員必須設置遠程登錄交換機的口令。如圖2-2所示，設置登錄交換機時需要驗證用戶身份，同時設置口令為youguess。 圖2-2為訪問層交換機AccessSwitch1命名（4）設置終端線超時時間為了安全考慮，可以設置終端線超時時間。在設置的時間內(nèi)，如果沒有檢測到鍵盤輸入，IOS將斷開用戶和交換機之間的連接。如圖2-2所示，設置登錄交換機的控制臺終端線路及虛擬終端線的超時時間為5分30秒鐘。 圖2-2設置控制臺終端線路和虛擬終端線路的超時時間（5）設置禁用IP地址解析特性在交換機默認配置的情況下，當我們輸入一條錯誤的交換機命令時，交換機會嘗試將其廣播給網(wǎng)絡上的DNS服務器并將其解析成對應的I

13、P地址。利用命令no ip domain-lookup?？梢越眠@個特性如圖2-2所示，設置禁用IP地址解析特性。 圖2-3設置禁用IP地址解析特性（6）設置啟用消息同步特性有時，用戶輸入的交換機配置命令會被交換機產(chǎn)生的消息打亂。可以使用命令logging synchronous設置交換機在下一行CLI提示符后復制用戶的輸入。如圖2-2所示，設置啟用消息同步特性。 圖2-3設置啟用消息同步特性2配置訪問層交換機AccessSwitch1的管理IP、默認網(wǎng)關訪問層交換機是OSI參考模型的第2層設備，即數(shù)據(jù)鏈路層的設備。因此，給訪問層交換機的每個端口設置IP地址是沒意義的。但是，為了使網(wǎng)絡管理人員

14、可以從遠程登錄到訪問層交換機上進行管理，必要給訪問層交換機設置一個管理用IP地址。這種情況下，實際上是將交換機看成和PC機一樣的主機。給交換機設置管理用IP地址只能在VLAN1，即本征VLAN中進行。按照表1-1，管理VLAN所在的子網(wǎng)是：192.168.0.0/24，這里將訪問層交換機AccessSwitch1的管理IP地址設為：192.168.0.5/24如圖2-3所示，顯示了為訪問層交換機AccessSwitch1設置管理IP并激活本征VLAN。 圖2-2設置訪問層交換機AccessSwitch1的管理IP為了使網(wǎng)絡管理人員可以在不同的子網(wǎng)管理此交換機，還應設置默認網(wǎng)關地址192.168

15、.0.254。如圖所示。 圖2-2設置訪問層交換機AccessSwitch1的默認網(wǎng)關地址3配置訪問層交換機AccessSwitch1的VLAN及VTP從提高效率的角度出發(fā)，在本校園網(wǎng)實現(xiàn)實例中使用了VTP技術。同時，將分布層交換機DistributeSwitch1設置成為VTP服務器，其他交換機設置成為VTP客戶機。這里訪問層交換機AccessSwitch1將通過VTP獲得在分布層交換機DistributeSwitch1中定義的所有VLAN的信息。如圖所示，設置訪問層交換機AccessSwitch1成為VTP客戶機。 圖2-2設置訪問層交換機AccessSwitch1成為VTP客戶機4配置訪

16、問層交換機AccessSwitch1端口基本參數(shù)（1）端口雙工配置可以設定某端口根據(jù)對端設備雙工類型自動調(diào)整本端口雙工模式，也可以強制將端口雙工模式設為半雙工或全雙工模式。在了解對端設備類型的情況下，建議手動設置端口雙工模式。如圖所示，設置訪問層交換機AccessSwitch1的所有端口均工作在全雙工模式。 圖2-2設置訪問層交換機AccessSwitch1的端口工作模式（2）端口速度可以設定某端口根據(jù)對端設備速度自動調(diào)整本端口速度，也可以強制將端口速度設為10Mpbs或100Mbps。在了解對端設備速度的情況下，建議手動設置端口速度。如圖所示，設置訪問層交換機AccessSwitch1的所有

17、端口的速度均為100Mbps。 圖2-4 設置訪問層交換機AccessSwitch1的端口速度5配置訪問層交換機AccessSwitch1的訪問端口訪問層交換機AccessSwitch1為終端用戶提供接入服務。在圖中，訪問層交換機AccessSwitch1為VLAN10、VLAN20提供接入服務。（1）設置訪問層交換機AccessSwitch1的端口110如圖所示，設置訪問層交換機AccessSwitch1的端口1端口10工作在訪問（接入）模式。同時，設置端口1端口10為VLAN 10的成員。 圖2-2設置訪問層交換機AccessSwitch1的端口110（2）設置訪問層交換機AccessSw

18、itch1的端口1120如圖所示，設置訪問層交換機AccessSwitch1的端口11端口20工作在訪問（接入）模式。同時，設置端口1端口10為VLAN 20的成員。 圖2-2設置訪問層交換機AccessSwitch1的端口1120（3）設置快速端口默認情況下，交換機在剛加電啟動時，每個端口都要經(jīng)歷生成樹的四個階段：阻塞、偵聽、學習、轉(zhuǎn)發(fā)。在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前，某個端口可能最多要等50秒鐘的時間（20秒的阻塞時間15秒的偵聽延遲時間15秒的學習延遲時間）。對于直接接入終端工作站的端口來說，用于阻塞和偵聽的時間是不必要的。為了加速交換機端口狀態(tài)轉(zhuǎn)化時間，可以設置將某端口設置成為快速端口（P

19、ortfast）。設置為快速端口的端口當交換機啟動或端口有工作站接入時，將會直接進入轉(zhuǎn)發(fā)狀態(tài)，而不會經(jīng)歷阻塞、偵聽、學習狀態(tài)（假設橋接表已經(jīng)建立）。如圖所示，設置訪問層交換機AccessSwitch1的端口1端口20為快速端口。 圖2-2設置快速端口6配置訪問層交換機AccessSwitch1的主干道端口如圖所示，訪問層交換機AccessSwitch1通過端口FastEthernet 0/23上連到分布層交換機DistributeSwitch1的端口FastEthernet 0/23。同時，訪問層交換機AccessSwitch1還通過端口FastEthernet 0/24上連到分布層交換機Di

20、stributeSwitch2的端口FastEthernet 0/23。這兩條上連鏈路將成為主干道鏈路，在這兩條上連鏈路上將運輸多個VLAN的數(shù)據(jù)。如圖所示，設置訪問層交換機AccessSwitch1的端口FastEthernet 0/23、FastEthernet 0/24為主干道端口。 圖2-2設置主干道端口Switch(config)#spanning-tree uplinkfast7配置訪問層交換機AccessSwitch2訪問層交換機AccessSwitch2為VLAN 30和VLAN 40的用戶提供接入服務。同時，分別通過自己的FastEthernet 0/23 、FastEthe

21、rnet 0/24上連到分布層交換機DistributeSwitch1、DistributeSwitch2的端口FastEthernet 0/24。如圖所示，是訪問層交換機AccessSwitch2的連接示意圖。 圖2-2訪問層交換機AccessSwitch2的連接示意圖對訪問層交換機AccessSwitch2的配置步驟、命令和對訪問層交換機AccessSwitch1的配置類似。這里，不再詳細分析，只給出最后的配置文件內(nèi)容（只留下了必要的命令）。需要指出的是，為了提供主干道的吞吐量，可以采用鏈路捆綁（快速以太網(wǎng)信道）技術增加可用帶寬。例如，可以將訪問層交換機AccessSwitch1的端口Fa

22、stEthernet 0/21 和FastEthernet 0/22捆綁在一起實現(xiàn)200Mbps的快速以太網(wǎng)信道，然后再上連到分布層交換機DistributeSwitch1。同樣，也可以將訪問層交換機AccessSwitch1的端口FastEthernet 0/23 和FastEthernet 0/24捆綁在一起實現(xiàn)200Mbps的快速以太網(wǎng)信道，然后再上連到分布層交換機DistributeSwitch2。具體的配置步驟和命令我們將在核心層交換機的配置一節(jié)中進行介紹。8訪問層交換機的其它可選配置（1）Uplinkfast訪問層交換機AccessSwitch1通過兩條冗余上行鏈路分別接入分布層交

23、換機DistributeSwitch1和、DistributeSwitch2。在生成樹的作用下，其中一條上行鏈路處于轉(zhuǎn)發(fā)狀態(tài)，而另一條上行鏈路處于阻塞狀態(tài)。當處于轉(zhuǎn)發(fā)狀態(tài)的鏈路因故障斷開后，經(jīng)過大約50秒鐘的時間，處于阻塞狀態(tài)的鏈路才能替代故障鏈路工作。Uplinkfast特性可以使得當主上行鏈路失敗后，處于阻塞狀態(tài)的上行鏈路（備份上行鏈路）可以立即啟用。如圖所示，是在訪問層交換機AccessSwitch1上啟用Uplinkfast特性。同樣的步驟也可以在訪問層交換機AccessSwitch2上進行配置。 圖2-2啟用Uplinkfast特性注意，Uplinkfast特性只能在訪問層交換機上啟

24、用。（2）BackbonefastBackbonefast的作用與Uplinkfast類似，也用于加快生成樹的收斂。所不同的是，Backbonefast可以檢測到間接鏈路（非直連鏈路）故障并立即使得相應阻塞端口的最大壽命計時器到時，從而縮短該端口可以開始轉(zhuǎn)發(fā)數(shù)據(jù)包的時間。如圖所示，是在訪問層交換機AccessSwitch1上啟用Backbonefast特性。同樣的步驟需要在網(wǎng)絡中的所有交換機上進行配置。 圖2-2啟用Backbonefast特性注意，Backbonefast特性需要在網(wǎng)絡中所有交換機上進行配置。2.2分布層交換服務的實現(xiàn)配置分布層交換機分布層除了負責將訪問層交換機進行匯集外，還

25、為整個交換網(wǎng)絡提供VLAN間的路由選擇功能。這里的分布層交換機采用的是Cisco Catalyst 3550交換機。作為3層交換機，Cisco Catalyst 3550交換機擁有24個10/100Mbps自適應快速以太網(wǎng)端口，同時還有2個1000Mbps的GBIC端口供上連使用，運行的是Cisco的Integrated IOS操作系統(tǒng)。我們以圖1-1中的分布層交換機DistributeSwitch1為例進行介紹。如圖2-1所示： 圖2-1分布層交換機DistributeSwitch11配置分布層交換機DistributeSwitch1的基本參數(shù)對分布層交換機DistributeSwitch1

26、的基本參數(shù)的配置步驟與對訪問層交換機AccessSwitch1的基本參數(shù)的配置類似。這里，只給出實際的配置步驟，不再給出解釋。 圖2-1配置分布層交換機DistributeSwitch1的基本參數(shù)2配置分布層交換機DistributeSwitch1的管理IP、默認網(wǎng)關如圖2-3所示，顯示了為分布層交換機DistributeSwitch1設置管理IP并激活本征VLAN。同時，還設置了默認網(wǎng)關的地址。 圖2-2分布層交換機DistributeSwitch1的管理IP、默認網(wǎng)關3配置分布層交換機DistributeSwitch1的VTP當網(wǎng)絡中交換機數(shù)量很多時，需要分別在每臺交換機上創(chuàng)建很多重復的V

27、LAN。工作量很大、過程很繁瑣，并且容易出錯。我們常采用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）來解決這個問題。VTP允許我們在一臺交換機上創(chuàng)建所有的VLAN。然后，利用交換機之間的互相學習功能，將創(chuàng)建好的VLAN定義傳播到整個網(wǎng)絡中需要此VLAN定義的所有交換機上。同時，有關VLAN的刪除、參數(shù)更改操作均可傳播到其他交換機。從而大大減輕了網(wǎng)絡管理人員配置交換機負擔。在本校園網(wǎng)實現(xiàn)實例中使用了VTP技術。同時，將分布層交換機DistributeSwitch1設置成為VTP服務器，其他交換機設置成為VTP客戶機。（1）配置VTP管理域共享相同VLAN定義數(shù)據(jù)庫的交

28、換機構成一個VTP管理域。每一個VTP管理域都有一個共同的VTP管理域域名。不同VTP管理域的交換機之間不交換VTP通告信息。如圖9-4-2所示，將VTP管理域的域名定義為nciae。 圖2-2設置VTP管理域的域名（2）設置VTP服務器工作在VTP服務器模式下的交換機可以創(chuàng)建、刪除VLAN、修改VLAN參數(shù)。同時，還有責任發(fā)送和轉(zhuǎn)發(fā)VLAN更新消息。如圖所示，設置分布層交換機DistributeSwitch1成為VTP服務器。 圖2-2設置分布層交換機DistributeSwitch1成為VTP服務器（3）激活VTP剪裁功能默認情況下主干道傳輸所有VLAN的用戶數(shù)據(jù)。有時，交換網(wǎng)絡中某臺交換

29、機的所有端口都屬于同一VLAN的成員，沒有必要接收其他VLAN的用戶數(shù)據(jù)。這時，可以激活主干道上的VTP剪裁功能。當激活了VTP剪裁功能以后，交換機將自動剪裁本交換機沒有定義的VLAN數(shù)據(jù)。在一個VTP域下，只需要在VTP服務器上激活VTP剪裁功能。同一VTP域下的所有其他交換機也將自動激活VTP剪裁功能。如圖所示，設置激活VTP剪裁功能。 圖2-2激活VTP剪裁功能4在分布層交換機DistributeSwitch1上定義VLAN在本校園網(wǎng)實現(xiàn)實例中，除了默認的本征VLAN外，又定義了8個VLAN，如表1-1所示。由于使用了VTP技術，所以所有VLAN的定義只需要在VTP服務器，即分布層交換機

30、DistributeSwitch1上進行。如圖所示，定義了8個VLAN，同時為每個VLAN命名。 圖2-1定義VLAN5配置分布層交換機DistributeSwitch1的端口基本參數(shù)分布層交換機DistributeSwitch1的端口FastEthernet 0/1FastEthernet 0/10為服務器群提供接入服務，而端口FastEthernet 0/23、FastEthernet 0/24分別下連到訪問層交換機AccessSwitch1的端口FastEthernet 0/23以及訪問層交換機AccessSwitch2的端口FastEthernet 0/23。此外，分布層交換機Dist

31、ributeSwitch1還通過自己的千兆端口GigabitEthernet 0/1上連到核心交換機CoreSwitch1的GigabitEthernet 3/1。為了實現(xiàn)冗余設計，分布層交換機DistributeSwitch1還通過自己的千兆端口GigabitEthernet 0/2連接另一臺到分布層交換機DistributeSwitch2的GigabitEthernet 0/2。如圖所示，給出了對所有訪問端口、主干道端口的配置步驟和命令。 圖2-2設置分布層交換機DistributeSwitch1的各端口參數(shù)6配置分布層交換機DistributeSwitch1的3層交換功能分布層交換機Di

32、stributeSwitch1需要為網(wǎng)絡中的各個VLAN提供路由功能。這需要首先啟用分布層交換機的路由功能。如圖所示。 圖2-2啟用路由功能接下來，需要為每個VLAN定義自己的默認網(wǎng)關地址，如圖所示。 圖2-2定義各VLAN的默認網(wǎng)關地址此外，還需要定義通往Internet的路由。這里使用了一條缺省路由命令，如圖所示。其中，下一跳地址是Internet接入路由器的快速以太網(wǎng)接口FastEthernet 0/0的IP地址。 圖2-2定義到Internet的缺省路由7配置分布層交換機DistributeSwitch2分布層交換機DistributeSwitch2的端口FastEthernet 0/

33、23、FastEthernet 0/24分別下連到訪問層交換機AccessSwitch1的端口FastEthernet 0/24以及訪問層交換機AccessSwitch2的端口FastEthernet 0/24。此外，分布層交換機DistributeSwitch2還通過自己的千兆端口GigabitEthernet 0/1上連到核心交換機CoreSwitch1的GigabitEthernet 3/2。為了實現(xiàn)冗余設計，分布層交換機DistributeSwitch2還通過自己的千兆端口GigabitEthernet 0/2連接到分布層交換機DistributeSwitch1的GigabitEthe

34、rnet 0/2。如圖所示。 圖2-1分布層交換機DistributeSwitch2對分布層交換機DistributeSwitch2的配置步驟、命令和對分布層交換機DistributeSwitch1的配置類似。這里，不再詳細分析。8其它配置為了實現(xiàn)對無類別網(wǎng)絡（Classless Network）以及全零子網(wǎng)（Subnet-zero）的支持，在充當3層交換機的分布層交換機DistributeSwitch1，還需要進行適當?shù)呐渲茫鐖D所示。 圖2-2定義對無類別網(wǎng)絡以及全零子網(wǎng)的支持9.1.2 系統(tǒng)硬件、軟件選型及版本#4使用道具發(fā)表于 2007-4-26 23:56 資料 個人空間 短消息 加

35、為好友 2.3核心層交換服務的實現(xiàn)配置核心層交換機核心層將各分布層交換機互連起來進行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。本實例中的核心層交換機采用的是Cisco Catalyst 4006交換機，采用了Catalyst 4500 Supervisor II Plus（WS-X4013+）作為交換機引擎。運行的是Cisco的Integrated IOS操作系統(tǒng)，操作系統(tǒng)版本號是，。在作為核心層交換機的Cisco Catalyst 4006交換機中，安裝了WS-X4306-GB（Catalyst 4000 Gigabit Ethernet Module, 6-Ports (GBIC)）模塊，該模塊提供了

36、5個千兆光纖上連接口，可以用來接入WS-G5484（1000BASE-SXShort WavelengthGBIC (Multimode only)）。我們以圖1-1中的核心層交換機CoreSwitch1為例進行介紹。如圖2-1所示 1配置核心層交換機CoreSwitch1的基本參數(shù)對核心層交換機CoreSwitch1的基本參數(shù)的配置步驟與對訪問層交換機AccessSwitch1的基本參數(shù)的配置類似。這里，只給出實際的配置步驟，不再給出解釋。 圖2-1配置核心層交換機CoreSwitch1的基本參數(shù)2配置核心層交換機CoreSwitch1的管理IP、默認網(wǎng)關如圖2-3所示，顯示了為核心層交換機

37、CoreSwitch1設置管理IP并激活本征VLAN。同時，還設置了默認網(wǎng)關的地址。 圖2-2核心層交換機CoreSwitch1的管理IP、默認網(wǎng)關3配置核心層交換機CoreSwitch1的的VLAN及VTP在本實例中，核心層交換機CoreSwitch1也將作為VTP客戶機。這里核心層交換機CoreSwitch1將通過VTP獲得在分布層交換機DistributeSwitch1中定義的所有VLAN的信息。如圖所示，設置核心層交換機CoreSwitch1成為VTP客戶機。 圖2-2設置核心層交換機CoreSwitch1成為VTP客戶機4配置核心層交換機CoreSwitch1的端口參數(shù)核心層交換機C

38、oreSwitch1通過自己的端口FastEthernet 4/3同廣域網(wǎng)接入模塊（Internet路由器）相連。同時，核心層交換機CoreSwitch1的端口GigabitEthernet 3/1GigabitEthernet 3/2分別下連到分布層交換機DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 0/1。如圖所示，給出了對上述端口的配置命令。 圖2-2設置核心層交換機CoreSwitch1的各端口參數(shù)此外，為了提供主干道的吞吐量以及實現(xiàn)冗余設計，在本設計中，將核心層交換機CoreSwitch1的千兆端口GigabitEther

39、net 2/1、GigabitEthernet 2/2捆綁在一起實現(xiàn)2000Mbps的千兆以太網(wǎng)信道，然后再連接到另一臺核心層交換機CoreSwitch2。如圖所示，是設置核心層交換機CoreSwitch1的千兆以太網(wǎng)信道的步驟。 圖2-2設置核心層交換機CoreSwitch1的千兆以太網(wǎng)信道5配置核心層交換機CoreSwitch1的路由功能核心層交換機CoreSwitch1通過端口FastEthernet 4/3同廣域網(wǎng)接入模塊（Internet路由器）相連。因此，需要啟用核心層交換機的路由功能。同時，還需要定義通往Internet的路由。這里使用了一條缺省路由命令，如圖所示。其中，下一跳地

40、址是Internet接入路由器的快速以太網(wǎng)接口FastEthernet 0/0的IP地址。 圖2-2定義到Internet的缺省路由如圖所示。6其它配置為了實現(xiàn)對無類別網(wǎng)絡（Classless Network）以及全零子網(wǎng)（Subnet-zero）的支持，在充當3層交換機的核心層交換機CoreSwitch1，還需要進行適當?shù)呐渲?，如圖所示。 圖2-2定義對無類別網(wǎng)絡以及全零子網(wǎng)的支持7核心層交換機CoreSwitch2的配置對于圖1-1-中的核心層交換機CoreSwitch2的配置步驟、命令和對核心層交換機CoreSwitch1的配置類似。這里，不再詳細分析。同時，對于配置核心層交換機Core

41、Switch2下連的一系列交換機，其連接方法以及配置步驟和命令同圖1-1-中核心層交換機CoreSwitch1下連的一系列交換機的連接方法以及配置步驟和命令類似。這里，也不再贅述。廣告 #5使用道具發(fā)表于 2007-4-26 23:57 資料 個人空間 短消息 加為好友 三廣域網(wǎng)接入模塊設計在本設計中，廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器InternetRouter來完成的。采用的是Cisco的3640路由器。它通過自己的串行接口serial 0/0使用DDN（128K）技術接入Internet。它的作用主要是在Internet和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務外，利用訪問控

42、制列表（Access Control List，ACL），廣域網(wǎng)接入路由器InternetRouter還可以用來完成以自身為中心的流量控制和過濾功能并實現(xiàn)一定的安全功能。 圖3-13.1配置接入路由器InternetRouter的基本參數(shù)對接入路由器InternetRouter的基本參數(shù)的配置步驟與對訪問層交換機AccessSwitch1的基本參數(shù)的配置類似。這里，只給出實際的配置步驟，不再給出解釋。 圖2-1配置接入路由器InternetRouter的基本參數(shù)3.2配置接入路由器InternetRouter的各接口參數(shù)對接入路由器InternetRouter的各接口參數(shù)的配置主要是對接口Fa

43、stEthernet 0/0以及接口Serial 0/0的IP地址、子網(wǎng)掩碼的配置。如圖2-3所示，顯示了為接入路由器InternetRouter的各接口設置IP地址、子網(wǎng)掩碼。 圖2-2接入路由器InternetRouter的管理IP、默認網(wǎng)關3.3配置接入路由器InternetRouter的路由功能在接入路由器InternetRouter上需要定義兩個方向上的路由：到校園網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由。到Internet上的路由需要定義一條缺省路由，如圖所示。其中，下一跳指定從本路由器的接口serial 0/0送出。 圖2-2定義到Internet的缺省路由到校園網(wǎng)內(nèi)部

44、的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。如圖所示。 圖2-2定義到校園網(wǎng)內(nèi)部的路由3.4配置接入路由器InternetRouter上的NAT由于目前IP地址資源非常稀缺，對不可能給校園網(wǎng)內(nèi)部的所有工作站都分配一個公有IP（Internet可路由的）地址。為了解決所有工作站訪問Internet的需要，必須使用NAT（網(wǎng)絡地址轉(zhuǎn)換）技術。為了接入Internet，本校園網(wǎng)向當?shù)豂SP申請了9個IP地址。其中一個IP地址：193.1.1.1被分配給了Internet接入路由器的串行接口，另外8個IP地址：202.206.222.1202.206.222.8用作NAT。NAT的配置可以分為以下幾

45、個步驟。（1）定義NAT內(nèi)部、外部接口圖3-3顯示了如何定義NAT內(nèi)部、外部接口。 圖2-1定義NAT內(nèi)部、外部接口（2）定義允許進行NAT的內(nèi)部局部IP地址范圍圖3-3顯示了如何定義允許進行NAT的內(nèi)部局部IP地址范圍。 圖2-2定義內(nèi)部局部IP地址范圍（3）為服務器定義靜態(tài)地址轉(zhuǎn)換圖3-3顯示了如何為服務器定義靜態(tài)地址轉(zhuǎn)換。 圖2-1為服務器定義靜態(tài)地址轉(zhuǎn)換（4）為其他工作站定義復用地址轉(zhuǎn)換圖3-3顯示了如何為其他工作站定義復用地址轉(zhuǎn)換。 圖2-1為工作站定義復用地址轉(zhuǎn)換3.5配置接入路由器InternetRouter上的ACL路由器是外網(wǎng)進入校園網(wǎng)內(nèi)網(wǎng)的第一道關卡，是網(wǎng)絡防御的前沿陣地。

46、路由器上的訪問控制列表（Access Control List，ACL）是保護內(nèi)網(wǎng)安全的有效手段。一個設計良好的訪問控制列表不僅可以起到控制網(wǎng)絡流量、流向的作用，還可以在不增加網(wǎng)絡系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的第一道屏障，所以即使在網(wǎng)絡系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進行縝密的設計，來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實施保護。這里，在本實例中，我們將針對服務器以及內(nèi)網(wǎng)工作站的安全給出廣域網(wǎng)接入路由器InternetRouter上ACL的配置方案。在網(wǎng)絡環(huán)境中還普遍存在著一些非常重要的、影響服務

47、器群安全的隱患。在絕大多數(shù)網(wǎng)絡環(huán)境的實現(xiàn)中它們都是應該對外加以屏蔽的。主要應該做以下的ACL設計：（1）對外屏蔽簡單網(wǎng)管協(xié)議，即SNMP。利用這個協(xié)議，遠程主機可以監(jiān)視、控制網(wǎng)絡上的其它網(wǎng)絡設備。它有兩種服務類型：SNMP和SNMPTRAP。如圖所示，顯示了如何設置對外屏蔽簡單網(wǎng)管協(xié)議SNMP。 圖2-1對外屏蔽簡單網(wǎng)管協(xié)議SNMP（2）對外屏蔽遠程登錄協(xié)議telnet首先，telnet是一種不安全的協(xié)議類型。用戶在使用telnet登錄網(wǎng)絡設備或服務器時所使用的用戶名和口令在網(wǎng)絡中是以明文傳輸?shù)?，很容易被網(wǎng)絡上的非法協(xié)議分析設備截獲。其次，telnet可以登錄到大多數(shù)網(wǎng)絡設備和UNIX服務器，

48、并可以使用相關命令完全操縱它們。這是極其危險的，因此必須加以屏蔽。如圖所示，顯示了如何對外屏蔽遠程登錄協(xié)議telnet 圖2-1對外屏蔽遠程登錄協(xié)議telnet（3）對外屏蔽其它不安全的協(xié)議或服務這樣的協(xié)議主要有SUN OS的文件共享協(xié)議端口2049，遠程執(zhí)行（rsh）、遠程登錄（rlogin）和遠程命令（rcmd）端口512、513、514，遠程過程調(diào)用（SUNRPC）端口111?？梢詫⑨槍σ陨蠀f(xié)議綜合進行設計，如圖所示。 圖2-1對外屏蔽其它不安全的協(xié)議或服務（4）針對DoS攻擊的設計DoS攻擊（Denial of Service Attack，拒絕服務攻擊）是一種非常常見而且極具破壞力的

49、攻擊手段，它可以導致服務器、網(wǎng)絡設備的正常服務進程停止，嚴重時會導致服務器操作系統(tǒng)崩潰。圖顯示了如何設計針對常見DoS攻擊的ACL 圖2-1針對DoS攻擊的設計（5）保護路由器自身安全作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器，必須對路由器的訪問位置加以限制。應只允許來自服務器群的IP地址訪問并配置路由器。這時，可以使用ACCESS-CLASS命令進行VTY訪問控制。如圖所示。 圖2-1保護路由器自身安全3.6其它配置為了實現(xiàn)對無類別網(wǎng)絡（Classless Network）以及全零子網(wǎng)（Subnet-zero）的支持，在充當3層交換機的核心層交換

50、機CoreSwitch1，還需要進行適當?shù)呐渲?，如圖所示。 圖2-2定義對無類別網(wǎng)絡以及全零子網(wǎng)的支持廣告 #6使用道具發(fā)表于 2007-4-26 23:58 資料 個人空間 短消息 加為好友 四遠程訪問模塊設計遠程訪問也是園區(qū)網(wǎng)絡必須提供的服務之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務。如圖4-1所示。 圖4-1遠程訪問服務遠程訪問有三種可選的服務類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務質(zhì)量不同，花費也不相同。在本設計中，由于面對的用戶群規(guī)模、業(yè)務量較小，所以采用了異步撥號連接作為遠程訪問的技術手段。異步撥號連接屬于電路交換類型的廣域網(wǎng)連接，它是在傳統(tǒng)公共交換 網(wǎng)（Public Switched Telephone Network，PSTN）上提供服務的。傳統(tǒng)PSTN提供的服務也被稱為簡易老式 業(yè)務（Plan Old Telephone System，POTS）。因為目前存在著大量安裝好的 線，所以這樣的環(huán)境是最容易滿足的。因此，異步撥號連接也就成為最為方便和普遍的遠程訪問類型。廣域網(wǎng)連接可以采用不同類型的封裝協(xié)議，如HDLC、PPP等。其中，PPP除了提供身份認證功能外，還可以提供其他很多可選項配置，包括鏈路壓縮、多鏈路捆綁、回叫等，因此更具優(yōu)勢。也是本設計所采用的異步連接封裝協(xié)議。在本設計中采用了可以集成在廣域網(wǎng)接入路由器Inter