某大學(xué)校園網(wǎng)設(shè)計方案(組圖)

1、最正確校園工程設(shè)計帖-某大學(xué)校園網(wǎng)設(shè)計方案(組圖)概述- 總設(shè)計師：XXX講師- 機(jī)構(gòu)：XX國家重點(diǎn)大學(xué)院校- 校園占地面積： 146.57萬平方米- 校舍建筑面積： - 教職工人數(shù)： 2000- 學(xué)生總數(shù):：1.7萬余人- 網(wǎng)絡(luò)面臨的挑戰(zhàn)： 建立一個可擴(kuò)展的、高速的、充分冗余的、基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)，該網(wǎng)絡(luò)能夠支持融合了話音、視頻、圖像和數(shù)據(jù)的應(yīng)用程序。- 關(guān)鍵網(wǎng)絡(luò)系統(tǒng)：Cisco 3640路由器、Cisco Catalyst 2950 24口交換機(jī)WS-C2950-24、Cisco Catalyst 3550交換機(jī)、Cisco Catalyst 4006交換機(jī)- 網(wǎng)絡(luò)解決方法：對校園網(wǎng)系統(tǒng)整體方

2、案設(shè)計對訪問層交換機(jī)進(jìn)展配置對分布層交換機(jī)進(jìn)展配置對核心層交換機(jī)進(jìn)展配置對廣域網(wǎng)接入路由器進(jìn)展配置對遠(yuǎn)程訪問效勞器進(jìn)展配置對整個校園網(wǎng)系統(tǒng)進(jìn)展診斷分析：路由、交換與遠(yuǎn)程訪問技術(shù)不僅僅是思科的CCNP課程及考試的重點(diǎn)。更是現(xiàn)代計算機(jī)網(wǎng)絡(luò)領(lǐng)域中三大支撐技術(shù)體系。它們幾乎涵蓋了一個完整園區(qū)網(wǎng)實現(xiàn)的方方面面。常常有學(xué)員說無法學(xué)以致用，其實，CCNP課程中的每個章節(jié)都對應(yīng)著實際工程中的每個小的案例。只不過，實際工程是各個小案例的綜合。在遇到一個實際工程的時候，我們不防采用自頂向下、模塊化的方法、參考3層模型來進(jìn)展工程的設(shè)計和實施。路由技術(shù)：路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子

3、網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時選擇最正確路徑的能力。除了可以完成主要的路由任務(wù)，利用訪問控制列表Access Control List，ACL，路由器還可以用來完成以路由器為中心的流量控制和過濾功能。在本工程案例設(shè)計中，內(nèi)網(wǎng)用戶不僅通過路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過3層交換機(jī)上的路由功能進(jìn)展數(shù)據(jù)包交換。交換技術(shù)：傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層。現(xiàn)代交換技術(shù)還實現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了園區(qū)網(wǎng)數(shù)據(jù)交換效勞質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要?，F(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)Virtual LAN，VL

4、AN的概念。VLAN將播送域限制在單個VLAN內(nèi)部，減小了各VLAN間主機(jī)的播送通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術(shù)來實現(xiàn)。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時，可以使用VLAN中繼協(xié)議Vlan Trunking Protocol，VTP簡化管理，它只需在單獨(dú)一臺交換機(jī)上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)展的。園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次：訪問層、分布層、核心層。

5、訪問層為所有的終端用戶提供一個接入點(diǎn)；分布層除了負(fù)責(zé)將訪問層交換機(jī)進(jìn)展聚集外，還為整個交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能；核心層將各分布層交換機(jī)互連起來進(jìn)展穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。在本工程案例設(shè)計中，也將采用這三層進(jìn)展分開設(shè)計、配置。遠(yuǎn)程訪問技術(shù)：遠(yuǎn)程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的效勞之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入效勞。遠(yuǎn)程訪問有三種可選的效勞類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的效勞質(zhì)量不同，花費(fèi)也不一樣。企業(yè)用戶可以根據(jù)所需帶寬、本地效勞可用性、花費(fèi)等因素綜合考慮，選擇一種適合企業(yè)自身需要的廣域網(wǎng)接入方案。在本工程案例設(shè)計中，分別采用專線連

6、接到因特網(wǎng)和電路交換到校園網(wǎng)兩種方式實現(xiàn)遠(yuǎn)程訪問需求。作為一個較為完整的園區(qū)網(wǎng)實現(xiàn)，路由、交換與遠(yuǎn)程訪問技術(shù)缺一不可。在后面的內(nèi)容中，我們將就每一技術(shù)領(lǐng)域的常用技術(shù)的實現(xiàn)進(jìn)展詳細(xì)的討論。通過本書后面章節(jié)的學(xué)習(xí)，相信讀者能夠系統(tǒng)地掌握園區(qū)網(wǎng)的設(shè)計、實施以及維護(hù)技巧。一系統(tǒng)總體設(shè)計方案概述為了說明主要問題，在本設(shè)計方案中對實際校園網(wǎng)的設(shè)計進(jìn)展了適當(dāng)和必要的簡化。同時，將重點(diǎn)放在網(wǎng)絡(luò)主干的設(shè)計上，對于效勞器的架設(shè)只作簡單介紹。1.1系統(tǒng)組成與拓?fù)錁?gòu)造為了實現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即Cisco公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的好處是可以實現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能

7、的互相配合和補(bǔ)充。本校園網(wǎng)設(shè)計方案主要由以下四大局部構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問模塊、效勞器群。整個網(wǎng)絡(luò)系統(tǒng)的拓?fù)錁?gòu)造圖如圖1-1所示。在后面的幾節(jié)中我們將根據(jù)此圖分塊進(jìn)展介紹。 HYPERLINK t _blank (57.88 KB)2007-5-7 03:19圖1-1校園網(wǎng)整體拓?fù)錁?gòu)造圖1.2VLAN及IP地址規(guī)劃整個校園網(wǎng)中VLAN及IP編址方案如表所示。 表1-1VLAN及IP編址方案除了表中的內(nèi)容外，撥號用戶從/27中動態(tài)取得IP地址。為了簡化起見，這里我們只規(guī)劃了8個VLAN，同時為每個VLAN定義了一個由拼音縮寫組成的VLAN名稱。 二交換模塊設(shè)計為了簡化交換網(wǎng)絡(luò)設(shè)

8、計、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)展的。園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次：訪問層、分布層、核心層。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層?，F(xiàn)代交換技術(shù)還實現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了園區(qū)網(wǎng)數(shù)據(jù)交換效勞質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要?，F(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)Virtual LAN，VLAN的概念。VLAN將播送域限制在單個VLAN內(nèi)部，減小了各VLAN間主機(jī)的播送通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術(shù)來實現(xiàn)。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾

9、多時，可以使用VLAN中繼協(xié)議Vlan Trunking Protocol，VTP簡化管理，它只需在單獨(dú)一臺交換機(jī)上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。當(dāng)園區(qū)網(wǎng)絡(luò)的交換機(jī)數(shù)量增多、交換機(jī)間鏈路增加時，交換網(wǎng)絡(luò)的復(fù)雜性可能會造成交換環(huán)路問題，這需要通過在各交換機(jī)上運(yùn)行生成樹協(xié)議Spanning Tree Protocol，STP來解決。一個好的校園網(wǎng)設(shè)計應(yīng)該是一個分層的設(shè)計。一般分為三層設(shè)計模型。2.1訪問層交換效勞的實現(xiàn)配置訪問層交換機(jī)訪問層為所有的終端用戶提供一個接入點(diǎn)。這里的訪問層交換機(jī)采用的是

10、Cisco Catalyst 2950 24口交換機(jī)WS-C2950-24。交換機(jī)擁有24個10/100Mbps自適應(yīng)快速以太網(wǎng)端口，運(yùn)行的是Cisco的IOS操作系統(tǒng)。我們以圖1-1中的訪問層交換機(jī)AccessSwitch1為例進(jìn)展介紹。如圖2-1所示， 圖2-1訪問層交換機(jī)AccessSwitch11配置訪問層交換機(jī)AccessSwitch1的根本參數(shù)1設(shè)置交換機(jī)名稱設(shè)置交換機(jī)名稱，也就是出現(xiàn)在交換機(jī)CLI提示符中的名字。一般我們會以地理位置或行政劃分來為交換機(jī)命名。當(dāng)我們需要Telnet登錄到假設(shè)干臺交換機(jī)以維護(hù)一個大型網(wǎng)絡(luò)時，通過交換機(jī)名稱提示符提示自己當(dāng)前配置交換機(jī)的位置是很有必要的

11、。如圖2-2所示，為訪問層交換機(jī)AccessSwitch1命名。 圖2-2為訪問層交換機(jī)AccessSwitch1命名2設(shè)置交換機(jī)的加密使能口令當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時，需要提供此口令。此口令會以MD5的形式加密，因此，當(dāng)用戶查看配置文件時，無法看到明文形式的口令。如圖2-2所示，將交換機(jī)的加密使能口令設(shè)置為secretpasswd。 圖2-3為交換機(jī)設(shè)置加密使能口令3設(shè)置登錄虛擬終端線時的口令對于一個已經(jīng)運(yùn)行著的交換網(wǎng)絡(luò)來說，交換機(jī)的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理人員提供了很多的方便。但是，處于平安考慮，在能夠遠(yuǎn)程管理交換機(jī)之前網(wǎng)絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機(jī)的口令。如圖2-2

12、所示，設(shè)置登錄交換機(jī)時需要驗證用戶身份，同時設(shè)置口令為youguess。 圖2-2為訪問層交換機(jī)AccessSwitch1命名4設(shè)置終端線超時時間為了平安考慮，可以設(shè)置終端線超時時間。在設(shè)置的時間內(nèi)，如果沒有檢測到鍵盤輸入，IOS將斷開用戶和交換機(jī)之間的連接。如圖2-2所示，設(shè)置登錄交換機(jī)的控制臺終端線路及虛擬終端線的超時時間為5分30秒鐘。 圖2-2設(shè)置控制臺終端線路和虛擬終端線路的超時時間5設(shè)置禁用IP地址解析特性在交換機(jī)默認(rèn)配置的情況下，當(dāng)我們輸入一條錯誤的交換機(jī)命令時，交換時機(jī)嘗試將其播送給網(wǎng)絡(luò)上的DNS效勞器并將其解析成對應(yīng)的IP地址。利用命令no ip domain-lookup。

13、可以禁用這個特性如圖2-2所示，設(shè)置禁用IP地址解析特性。 圖2-3設(shè)置禁用IP地址解析特性6設(shè)置啟用消息同步特性有時，用戶輸入的交換機(jī)配置命令會被交換機(jī)產(chǎn)生的消息打亂?？梢允褂妹頻ogging synchronous設(shè)置交換機(jī)在下一行CLI提示符后復(fù)制用戶的輸入。如圖2-2所示，設(shè)置啟用消息同步特性。 圖2-3設(shè)置啟用消息同步特性2配置訪問層交換機(jī)AccessSwitch1的管理IP、默認(rèn)網(wǎng)關(guān)訪問層交換機(jī)是OSI參考模型的第2層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備。因此，給訪問層交換機(jī)的每個端口設(shè)置IP地址是沒意義的。但是，為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到訪問層交換機(jī)上進(jìn)展管理，必要給訪問層交換機(jī)設(shè)

14、置一個管理用IP地址。這種情況下，實際上是將交換機(jī)看成和PC機(jī)一樣的主機(jī)。給交換機(jī)設(shè)置管理用IP地址只能在VLAN1，即本征VLAN中進(jìn)展。按照表1-1，管理VLAN所在的子網(wǎng)是：/24，這里將訪問層交換機(jī)AccessSwitch1的管理IP地址設(shè)為：/24如圖2-3所示，顯示了為訪問層交換機(jī)AccessSwitch1設(shè)置管理IP并激活本征VLAN。 圖2-2設(shè)置訪問層交換機(jī)AccessSwitch1的管理IP為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī)，還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān)地址54。如下圖。 圖2-2設(shè)置訪問層交換機(jī)AccessSwitch1的默認(rèn)網(wǎng)關(guān)地址3配置訪問層交換機(jī)AccessSwit

15、ch1的VLAN及VTP從提高效率的角度出發(fā)，在本校園網(wǎng)實現(xiàn)實例中使用了VTP技術(shù)。同時，將分布層交換機(jī)DistributeSwitch1設(shè)置成為VTP效勞器，其他交換機(jī)設(shè)置成為VTP客戶機(jī)。這里訪問層交換機(jī)AccessSwitch1將通過VTP獲得在分布層交換機(jī)DistributeSwitch1中定義的所有VLAN的信息。如下圖，設(shè)置訪問層交換機(jī)AccessSwitch1成為VTP客戶機(jī)。 圖2-2設(shè)置訪問層交換機(jī)AccessSwitch1成為VTP客戶機(jī)4配置訪問層交換機(jī)AccessSwitch1端口根本參數(shù)1端口雙工配置可以設(shè)定某端口根據(jù)對端設(shè)備雙工類型自動調(diào)整本端口雙工模式，也可以強(qiáng)制

16、將端口雙工模式設(shè)為半雙工或全雙工模式。在了解對端設(shè)備類型的情況下，建議手動設(shè)置端口雙工模式。如下圖，設(shè)置訪問層交換機(jī)AccessSwitch1的所有端口均工作在全雙工模式。 圖2-2設(shè)置訪問層交換機(jī)AccessSwitch1的端口工作模式2端口速度可以設(shè)定某端口根據(jù)對端設(shè)備速度自動調(diào)整本端口速度，也可以強(qiáng)制將端口速度設(shè)為10Mpbs或100Mbps。在了解對端設(shè)備速度的情況下，建議手動設(shè)置端口速度。如下圖，設(shè)置訪問層交換機(jī)AccessSwitch1的所有端口的速度均為100Mbps。 圖2-4 設(shè)置訪問層交換機(jī)AccessSwitch1的端口速度5配置訪問層交換機(jī)AccessSwitch1的訪

17、問端口訪問層交換機(jī)AccessSwitch1為終端用戶提供接入效勞。在圖中，訪問層交換機(jī)AccessSwitch1為VLAN10、VLAN20提供接入效勞。1設(shè)置訪問層交換機(jī)AccessSwitch1的端口110如下圖，設(shè)置訪問層交換機(jī)AccessSwitch1的端口1端口10工作在訪問接入模式。同時，設(shè)置端口1端口10為VLAN 10的成員。 圖2-2設(shè)置訪問層交換機(jī)AccessSwitch1的端口1102設(shè)置訪問層交換機(jī)AccessSwitch1的端口1120如下圖，設(shè)置訪問層交換機(jī)AccessSwitch1的端口11端口20工作在訪問接入模式。同時，設(shè)置端口1端口10為VLAN 20的成

18、員。 圖2-2設(shè)置訪問層交換機(jī)AccessSwitch1的端口11203設(shè)置快速端口默認(rèn)情況下，交換機(jī)在剛加電啟動時，每個端口都要經(jīng)歷生成樹的四個階段：阻塞、偵聽、學(xué)習(xí)、轉(zhuǎn)發(fā)。在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前，某個端口可能最多要等50秒鐘的時間20秒的阻塞時間15秒的偵聽延遲時間15秒的學(xué)習(xí)延遲時間。對于直接接入終端工作站的端口來說，用于阻塞和偵聽的時間是不必要的。為了加速交換機(jī)端口狀態(tài)轉(zhuǎn)化時間，可以設(shè)置將某端口設(shè)置成為快速端口Portfast。設(shè)置為快速端口的端口當(dāng)交換機(jī)啟動或端口有工作站接入時，將會直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，而不會經(jīng)歷阻塞、偵聽、學(xué)習(xí)狀態(tài)假設(shè)橋接表已經(jīng)建立。如下圖，設(shè)置訪問層交換機(jī)Acc

19、essSwitch1的端口1端口20為快速端口。 圖2-2設(shè)置快速端口6配置訪問層交換機(jī)AccessSwitch1的主干道端口如下圖，訪問層交換機(jī)AccessSwitch1通過端口FastEthernet 0/23上連到分布層交換機(jī)DistributeSwitch1的端口FastEthernet 0/23。同時，訪問層交換機(jī)AccessSwitch1還通過端口FastEthernet 0/24上連到分布層交換機(jī)DistributeSwitch2的端口FastEthernet 0/23。這兩條上連鏈路將成為主干道鏈路，在這兩條上連鏈路上將運(yùn)輸多個VLAN的數(shù)據(jù)。如下圖，設(shè)置訪問層交換機(jī)Acces

20、sSwitch1的端口FastEthernet 0/23、FastEthernet 0/24為主干道端口。 圖2-2設(shè)置主干道端口Switch(config)#spanning-tree uplinkfast7配置訪問層交換機(jī)AccessSwitch2訪問層交換機(jī)AccessSwitch2為VLAN 30和VLAN 40的用戶提供接入效勞。同時，分別通過自己的FastEthernet 0/23 、FastEthernet 0/24上連到分布層交換機(jī)DistributeSwitch1、DistributeSwitch2的端口FastEthernet 0/24。如下圖，是訪問層交換機(jī)AccessS

21、witch2的連接示意圖。 圖2-2訪問層交換機(jī)AccessSwitch2的連接示意圖對訪問層交換機(jī)AccessSwitch2的配置步驟、命令和對訪問層交換機(jī)AccessSwitch1的配置類似。這里，不再詳細(xì)分析，只給出最后的配置文件內(nèi)容只留下了必要的命令。需要指出的是，為了提供主干道的吞吐量，可以采用鏈路捆綁快速以太網(wǎng)信道技術(shù)增加可用帶寬。例如，可以將訪問層交換機(jī)AccessSwitch1的端口FastEthernet 0/21 和FastEthernet 0/22捆綁在一起實現(xiàn)200Mbps的快速以太網(wǎng)信道，然后再上連到分布層交換機(jī)DistributeSwitch1。同樣，也可以將訪問層

22、交換機(jī)AccessSwitch1的端口FastEthernet 0/23 和FastEthernet 0/24捆綁在一起實現(xiàn)200Mbps的快速以太網(wǎng)信道，然后再上連到分布層交換機(jī)DistributeSwitch2。具體的配置步驟和命令我們將在核心層交換機(jī)的配置一節(jié)中進(jìn)展介紹。8訪問層交換機(jī)的其它可選配置1Uplinkfast訪問層交換機(jī)AccessSwitch1通過兩條冗余上行鏈路分別接入分布層交換機(jī)DistributeSwitch1和、DistributeSwitch2。在生成樹的作用下，其中一條上行鏈路處于轉(zhuǎn)發(fā)狀態(tài)，而另一條上行鏈路處于阻塞狀態(tài)。當(dāng)處于轉(zhuǎn)發(fā)狀態(tài)的鏈路因故障斷開后，經(jīng)過大約

23、50秒鐘的時間，處于阻塞狀態(tài)的鏈路才能替代故障鏈路工作。Uplinkfast特性可以使得當(dāng)主上行鏈路失敗后，處于阻塞狀態(tài)的上行鏈路備份上行鏈路可以立即啟用。如下圖，是在訪問層交換機(jī)AccessSwitch1上啟用Uplinkfast特性。同樣的步驟也可以在訪問層交換機(jī)AccessSwitch2上進(jìn)展配置。 圖2-2啟用Uplinkfast特性注意，Uplinkfast特性只能在訪問層交換機(jī)上啟用。2BackbonefastBackbonefast的作用與Uplinkfast類似，也用于加快生成樹的收斂。所不同的是，Backbonefast可以檢測到間接鏈路非直連鏈路故障并立即使得相應(yīng)阻塞端口的

24、最大壽命計時器到時，從而縮短該端口可以開場轉(zhuǎn)發(fā)數(shù)據(jù)包的時間。如下圖，是在訪問層交換機(jī)AccessSwitch1上啟用Backbonefast特性。同樣的步驟需要在網(wǎng)絡(luò)中的所有交換機(jī)上進(jìn)展配置。 圖2-2啟用Backbonefast特性注意，Backbonefast特性需要在網(wǎng)絡(luò)中所有交換機(jī)上進(jìn)展配置。2.2分布層交換效勞的實現(xiàn)配置分布層交換機(jī)分布層除了負(fù)責(zé)將訪問層交換機(jī)進(jìn)展聚集外，還為整個交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能。這里的分布層交換機(jī)采用的是Cisco Catalyst 3550交換機(jī)。作為3層交換機(jī)，Cisco Catalyst 3550交換機(jī)擁有24個10/100Mbps自適應(yīng)快

25、速以太網(wǎng)端口，同時還有2個1000Mbps的GBIC端口供上連使用，運(yùn)行的是Cisco的Integrated IOS操作系統(tǒng)。我們以圖1-1中的分布層交換機(jī)DistributeSwitch1為例進(jìn)展介紹。如圖2-1所示： 圖2-1分布層交換機(jī)DistributeSwitch11配置分布層交換機(jī)DistributeSwitch1的根本參數(shù)對分布層交換機(jī)DistributeSwitch1的根本參數(shù)的配置步驟與對訪問層交換機(jī)AccessSwitch1的根本參數(shù)的配置類似。這里，只給出實際的配置步驟，不再給出解釋。 圖2-1配置分布層交換機(jī)DistributeSwitch1的根本參數(shù)2配置分布層交換機(jī)

26、DistributeSwitch1的管理IP、默認(rèn)網(wǎng)關(guān)如圖2-3所示，顯示了為分布層交換機(jī)DistributeSwitch1設(shè)置管理IP并激活本征VLAN。同時，還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。 圖2-2分布層交換機(jī)DistributeSwitch1的管理IP、默認(rèn)網(wǎng)關(guān)3配置分布層交換機(jī)DistributeSwitch1的VTP當(dāng)網(wǎng)絡(luò)中交換機(jī)數(shù)量很多時，需要分別在每臺交換機(jī)上創(chuàng)立很多重復(fù)的VLAN。工作量很大、過程很繁瑣，并且容易出錯。我們常采用VLAN中繼協(xié)議Vlan Trunking Protocol，VTP來解決這個問題。VTP允許我們在一臺交換機(jī)上創(chuàng)立所有的VLAN。然后，利用交換機(jī)之間的互相

27、學(xué)習(xí)功能，將創(chuàng)立好的VLAN定義傳播到整個網(wǎng)絡(luò)中需要此VLAN定義的所有交換機(jī)上。同時，有關(guān)VLAN的刪除、參數(shù)更改操作均可傳播到其他交換機(jī)。從而大大減輕了網(wǎng)絡(luò)管理人員配置交換機(jī)負(fù)擔(dān)。在本校園網(wǎng)實現(xiàn)實例中使用了VTP技術(shù)。同時，將分布層交換機(jī)DistributeSwitch1設(shè)置成為VTP效勞器，其他交換機(jī)設(shè)置成為VTP客戶機(jī)。1配置VTP管理域共享一樣VLAN定義數(shù)據(jù)庫的交換機(jī)構(gòu)成一個VTP管理域。每一個VTP管理域都有一個共同的VTP管理域域名。不同VTP管理域的交換機(jī)之間不交換VTP通告信息。如下圖9-4-2，將VTP管理域的域名定義為nciae。 圖2-2設(shè)置VTP管理域的域名2設(shè)置V

28、TP效勞器工作在VTP效勞器模式下的交換機(jī)可以創(chuàng)立、刪除VLAN、修改VLAN參數(shù)。同時，還有責(zé)任發(fā)送和轉(zhuǎn)發(fā)VLAN更新消息。如下圖，設(shè)置分布層交換機(jī)DistributeSwitch1成為VTP效勞器。 圖2-2設(shè)置分布層交換機(jī)DistributeSwitch1成為VTP效勞器3激活VTP剪裁功能默認(rèn)情況下主干道傳輸所有VLAN的用戶數(shù)據(jù)。有時，交換網(wǎng)絡(luò)中某臺交換機(jī)的所有端口都屬于同一VLAN的成員，沒有必要接收其他VLAN的用戶數(shù)據(jù)。這時，可以激活主干道上的VTP剪裁功能。當(dāng)激活了VTP剪裁功能以后，交換機(jī)將自動剪裁本交換機(jī)沒有定義的VLAN數(shù)據(jù)。在一個VTP域下，只需要在VTP效勞器上激活

29、VTP剪裁功能。同一VTP域下的所有其他交換機(jī)也將自動激活VTP剪裁功能。如下圖，設(shè)置激活VTP剪裁功能。 圖2-2激活VTP剪裁功能4在分布層交換機(jī)DistributeSwitch1上定義VLAN在本校園網(wǎng)實現(xiàn)實例中，除了默認(rèn)的本征VLAN外，又定義了8個VLAN，如表1-1所示。由于使用了VTP技術(shù)，所以所有VLAN的定義只需要在VTP效勞器，即分布層交換機(jī)DistributeSwitch1上進(jìn)展。如下圖，定義了8個VLAN，同時為每個VLAN命名。 圖2-1定義VLAN5配置分布層交換機(jī)DistributeSwitch1的端口根本參數(shù)分布層交換機(jī)DistributeSwitch1的端口F

30、astEthernet 0/1FastEthernet 0/10為效勞器群提供接入效勞，而端口FastEthernet 0/23、FastEthernet 0/24分別下連到訪問層交換機(jī)AccessSwitch1的端口FastEthernet 0/23以及訪問層交換機(jī)AccessSwitch2的端口FastEthernet 0/23。此外，分布層交換機(jī)DistributeSwitch1還通過自己的千兆端口GigabitEthernet 0/1上連到核心交換機(jī)CoreSwitch1的GigabitEthernet 3/1。為了實現(xiàn)冗余設(shè)計，分布層交換機(jī)DistributeSwitch1還通過自己

31、的千兆端口GigabitEthernet 0/2連接另一臺到分布層交換機(jī)DistributeSwitch2的GigabitEthernet 0/2。如下圖，給出了對所有訪問端口、主干道端口的配置步驟和命令。 圖2-2設(shè)置分布層交換機(jī)DistributeSwitch1的各端口參數(shù)6配置分布層交換機(jī)DistributeSwitch1的3層交換功能分布層交換機(jī)DistributeSwitch1需要為網(wǎng)絡(luò)中的各個VLAN提供路由功能。這需要首先啟用分布層交換機(jī)的路由功能。如下圖。 圖2-2啟用路由功能接下來，需要為每個VLAN定義自己的默認(rèn)網(wǎng)關(guān)地址，如下圖。 圖2-2定義各VLAN的默認(rèn)網(wǎng)關(guān)地址此外，

32、還需要定義通往Internet的路由。這里使用了一條缺省路由命令，如下圖。其中，下一跳地址是Internet接入路由器的快速以太網(wǎng)接口FastEthernet 0/0的IP地址。 圖2-2定義到Internet的缺省路由7配置分布層交換機(jī)DistributeSwitch2分布層交換機(jī)DistributeSwitch2的端口FastEthernet 0/23、FastEthernet 0/24分別下連到訪問層交換機(jī)AccessSwitch1的端口FastEthernet 0/24以及訪問層交換機(jī)AccessSwitch2的端口FastEthernet 0/24。此外，分布層交換機(jī)Distribu

33、teSwitch2還通過自己的千兆端口GigabitEthernet 0/1上連到核心交換機(jī)CoreSwitch1的GigabitEthernet 3/2。為了實現(xiàn)冗余設(shè)計，分布層交換機(jī)DistributeSwitch2還通過自己的千兆端口GigabitEthernet 0/2連接到分布層交換機(jī)DistributeSwitch1的GigabitEthernet 0/2。如下圖。 圖2-1分布層交換機(jī)DistributeSwitch2對分布層交換機(jī)DistributeSwitch2的配置步驟、命令和對分布層交換機(jī)DistributeSwitch1的配置類似。這里，不再詳細(xì)分析。8其它配置為了實現(xiàn)

34、對無類別網(wǎng)絡(luò)Classless Network以及全零子網(wǎng)Subnet-zero的支持，在充當(dāng)3層交換機(jī)的分布層交換機(jī)DistributeSwitch1，還需要進(jìn)展適當(dāng)?shù)呐渲茫缦聢D。 圖2-2定義對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持 系統(tǒng)硬件、軟件選型及版本2.3核心層交換效勞的實現(xiàn)配置核心層交換機(jī)核心層將各分布層交換機(jī)互連起來進(jìn)展穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。本實例中的核心層交換機(jī)采用的是Cisco Catalyst 4006交換機(jī)，采用了Catalyst 4500 Supervisor II PlusWS-X4013+作為交換機(jī)引擎。運(yùn)行的是Cisco的Integrated IOS操作系統(tǒng)，操

35、作系統(tǒng)版本號是，。在作為核心層交換機(jī)的Cisco Catalyst 4006交換機(jī)中，安裝了WS-X4306-GBCatalyst 4000 Gigabit Ethernet Module, 6-Ports (GBIC)模塊，該模塊提供了5個千兆光纖上連接口，可以用來接入WS-G54841000BASE-SXShort WavelengthGBIC (Multimode only)。我們以圖1-1中的核心層交換機(jī)CoreSwitch1為例進(jìn)展介紹。如圖2-1所示 1配置核心層交換機(jī)CoreSwitch1的根本參數(shù)對核心層交換機(jī)CoreSwitch1的根本參數(shù)的配置步驟與對訪問層交換機(jī)Acces

36、sSwitch1的根本參數(shù)的配置類似。這里，只給出實際的配置步驟，不再給出解釋。 圖2-1配置核心層交換機(jī)CoreSwitch1的根本參數(shù)2配置核心層交換機(jī)CoreSwitch1的管理IP、默認(rèn)網(wǎng)關(guān)如圖2-3所示，顯示了為核心層交換機(jī)CoreSwitch1設(shè)置管理IP并激活本征VLAN。同時，還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。 圖2-2核心層交換機(jī)CoreSwitch1的管理IP、默認(rèn)網(wǎng)關(guān)3配置核心層交換機(jī)CoreSwitch1的的VLAN及VTP在本實例中，核心層交換機(jī)CoreSwitch1也將作為VTP客戶機(jī)。這里核心層交換機(jī)CoreSwitch1將通過VTP獲得在分布層交換機(jī)DistributeS

37、witch1中定義的所有VLAN的信息。如下圖，設(shè)置核心層交換機(jī)CoreSwitch1成為VTP客戶機(jī)。 圖2-2設(shè)置核心層交換機(jī)CoreSwitch1成為VTP客戶機(jī)4配置核心層交換機(jī)CoreSwitch1的端口參數(shù)核心層交換機(jī)CoreSwitch1通過自己的端口FastEthernet 4/3同廣域網(wǎng)接入模塊Internet路由器相連。同時，核心層交換機(jī)CoreSwitch1的端口GigabitEthernet 3/1GigabitEthernet 3/2分別下連到分布層交換機(jī)DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 0/1

38、。如下圖，給出了對上述端口的配置命令。 圖2-2設(shè)置核心層交換機(jī)CoreSwitch1的各端口參數(shù)此外，為了提供主干道的吞吐量以及實現(xiàn)冗余設(shè)計，在本設(shè)計中，將核心層交換機(jī)CoreSwitch1的千兆端口GigabitEthernet 2/1、GigabitEthernet 2/2捆綁在一起實現(xiàn)2000Mbps的千兆以太網(wǎng)信道，然后再連接到另一臺核心層交換機(jī)CoreSwitch2。如下圖，是設(shè)置核心層交換機(jī)CoreSwitch1的千兆以太網(wǎng)信道的步驟。 圖2-2設(shè)置核心層交換機(jī)CoreSwitch1的千兆以太網(wǎng)信道5配置核心層交換機(jī)CoreSwitch1的路由功能核心層交換機(jī)CoreSwitch

39、1通過端口FastEthernet 4/3同廣域網(wǎng)接入模塊Internet路由器相連。因此，需要啟用核心層交換機(jī)的路由功能。同時，還需要定義通往Internet的路由。這里使用了一條缺省路由命令，如下圖。其中，下一跳地址是Internet接入路由器的快速以太網(wǎng)接口FastEthernet 0/0的IP地址。 圖2-2定義到Internet的缺省路由如下圖。6其它配置為了實現(xiàn)對無類別網(wǎng)絡(luò)Classless Network以及全零子網(wǎng)Subnet-zero的支持，在充當(dāng)3層交換機(jī)的核心層交換機(jī)CoreSwitch1，還需要進(jìn)展適當(dāng)?shù)呐渲?，如下圖。 圖2-2定義對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持7核心層

40、交換機(jī)CoreSwitch2的配置對于圖1-1-中的核心層交換機(jī)CoreSwitch2的配置步驟、命令和對核心層交換機(jī)CoreSwitch1的配置類似。這里，不再詳細(xì)分析。同時，對于配置核心層交換機(jī)CoreSwitch2下連的一系列交換機(jī)，其連接方法以及配置步驟和命令同圖1-1-中核心層交換機(jī)CoreSwitch1下連的一系列交換機(jī)的連接方法以及配置步驟和命令類似。這里，也不再贅述。三廣域網(wǎng)接入模塊設(shè)計在本設(shè)計中，廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器InternetRouter來完成的。采用的是Cisco的3640路由器。它通過自己的串行接口serial 0/0使用DDN128K技術(shù)接入I

41、nternet。它的作用主要是在Internet和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務(wù)外，利用訪問控制列表Access Control List，ACL，廣域網(wǎng)接入路由器InternetRouter還可以用來完成以自身為中心的流量控制和過濾功能并實現(xiàn)一定的平安功能。 圖3-13.1配置接入路由器InternetRouter的根本參數(shù)對接入路由器InternetRouter的根本參數(shù)的配置步驟與對訪問層交換機(jī)AccessSwitch1的根本參數(shù)的配置類似。這里，只給出實際的配置步驟，不再給出解釋。 圖2-1配置接入路由器InternetRouter的根本參數(shù)3.2配置接入路由器Inte

42、rnetRouter的各接口參數(shù)對接入路由器InternetRouter的各接口參數(shù)的配置主要是對接口FastEthernet 0/0以及接口Serial 0/0的IP地址、子網(wǎng)掩碼的配置。如圖2-3所示，顯示了為接入路由器InternetRouter的各接口設(shè)置IP地址、子網(wǎng)掩碼。 圖2-2接入路由器InternetRouter的管理IP、默認(rèn)網(wǎng)關(guān)3.3配置接入路由器InternetRouter的路由功能在接入路由器InternetRouter上需要定義兩個方向上的路由：到校園網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由。到Internet上的路由需要定義一條缺省路由，如下圖。其中，下

43、一跳指定從本路由器的接口serial 0/0送出。 圖2-2定義到Internet的缺省路由到校園網(wǎng)內(nèi)部的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。如下圖。 圖2-2定義到校園網(wǎng)內(nèi)部的路由3.4配置接入路由器InternetRouter上的NAT由于目前IP地址資源非常稀缺，對不可能給校園網(wǎng)內(nèi)部的所有工作站都分配一個公有IPInternet可路由的地址。為了解決所有工作站訪問Internet的需要，必須使用NAT網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。為了接入Internet，本校園網(wǎng)向當(dāng)?shù)豂SP申請了9個IP地址。其中一個IP地址：被分配給了Internet接入路由器的串行接口，另外8個IP地址：用作NAT。N

44、AT的配置可以分為以下幾個步驟。1定義NAT內(nèi)部、外部接口圖3-3顯示了如何定義NAT內(nèi)部、外部接口。 圖2-1定義NAT內(nèi)部、外部接口2定義允許進(jìn)展NAT的內(nèi)部局部IP地址范圍圖3-3顯示了如何定義允許進(jìn)展NAT的內(nèi)部局部IP地址范圍。 圖2-2定義內(nèi)部局部IP地址范圍3為效勞器定義靜態(tài)地址轉(zhuǎn)換圖3-3顯示了如何為效勞器定義靜態(tài)地址轉(zhuǎn)換。 圖2-1為效勞器定義靜態(tài)地址轉(zhuǎn)換4為其他工作站定義復(fù)用地址轉(zhuǎn)換圖3-3顯示了如何為其他工作站定義復(fù)用地址轉(zhuǎn)換。 圖2-1為工作站定義復(fù)用地址轉(zhuǎn)換3.5配置接入路由器InternetRouter上的ACL路由器是外網(wǎng)進(jìn)入校園網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前

45、沿陣地。路由器上的訪問控制列表Access Control List，ACL是保護(hù)內(nèi)網(wǎng)平安的有效手段。一個設(shè)計良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)展通信時的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進(jìn)展縝密的設(shè)計，來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實施保護(hù)。這里，在本實例中，我們將針對效勞器以及內(nèi)網(wǎng)工作站的平安給出廣域網(wǎng)接入路由器InternetRouter上ACL的配置方案。在網(wǎng)絡(luò)環(huán)境中還普遍存在著一些非常重要的、影響

46、效勞器群平安的隱患。在絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實現(xiàn)中它們都是應(yīng)該對外加以屏蔽的。主要應(yīng)該做以下的ACL設(shè)計：1對外屏蔽簡單網(wǎng)管協(xié)議，即SNMP。利用這個協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩種效勞類型：SNMP和SNMPTRAP。如下圖，顯示了如何設(shè)置對外屏蔽簡單網(wǎng)管協(xié)議SNMP。 圖2-1對外屏蔽簡單網(wǎng)管協(xié)議SNMP2對外屏蔽遠(yuǎn)程登錄協(xié)議telnet首先，telnet是一種不平安的協(xié)議類型。用戶在使用telnet登錄網(wǎng)絡(luò)設(shè)備或效勞器時所使用的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)模苋菀妆痪W(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。其次，telnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和UNIX效勞器，并可以

47、使用相關(guān)命令完全操縱它們。這是極其危險的，因此必須加以屏蔽。如下圖，顯示了如何對外屏蔽遠(yuǎn)程登錄協(xié)議telnet 圖2-1對外屏蔽遠(yuǎn)程登錄協(xié)議telnet3對外屏蔽其它不平安的協(xié)議或效勞這樣的協(xié)議主要有SUN OS的文件共享協(xié)議端口2049，遠(yuǎn)程執(zhí)行rsh、遠(yuǎn)程登錄rlogin和遠(yuǎn)程命令rcmd端口512、513、514，遠(yuǎn)程過程調(diào)用SUNRPC端口111?？梢詫⑨槍σ陨蠀f(xié)議綜合進(jìn)展設(shè)計，如下圖。 圖2-1對外屏蔽其它不平安的協(xié)議或效勞4針對DoS攻擊的設(shè)計DoS攻擊Denial of Service Attack，拒絕效勞攻擊是一種非常常見而且極具破壞力的攻擊手段，它可以導(dǎo)致效勞器、網(wǎng)絡(luò)設(shè)備的

48、正常效勞進(jìn)程停頓，嚴(yán)重時會導(dǎo)致效勞器操作系統(tǒng)崩潰。圖顯示了如何設(shè)計針對常見DoS攻擊的ACL 圖2-1針對DoS攻擊的設(shè)計5保護(hù)路由器自身平安作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護(hù)自身平安的重要性也是不言而喻的。為了阻止黑客入侵路由器，必須對路由器的訪問位置加以限制。應(yīng)只允許來自效勞器群的IP地址訪問并配置路由器。這時，可以使用ACCESS-CLASS命令進(jìn)展VTY訪問控制。如下圖。 圖2-1保護(hù)路由器自身平安3.6其它配置為了實現(xiàn)對無類別網(wǎng)絡(luò)Classless Network以及全零子網(wǎng)Subnet-zero的支持，在充當(dāng)3層交換機(jī)的核心層交換機(jī)CoreSwitch1，還需要進(jìn)展適當(dāng)?shù)呐渲?，如?/p>

49、圖。 圖2-2定義對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持四遠(yuǎn)程訪問模塊設(shè)計遠(yuǎn)程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的效勞之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入效勞。如圖4-1所示。 圖4-1遠(yuǎn)程訪問效勞遠(yuǎn)程訪問有三種可選的效勞類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的效勞質(zhì)量不同，花費(fèi)也不一樣。在本設(shè)計中，由于面對的用戶群規(guī)模、業(yè)務(wù)量較小，所以采用了異步撥號連接作為遠(yuǎn)程訪問的技術(shù)手段。異步撥號連接屬于電路交換類型的廣域網(wǎng)連接，它是在傳統(tǒng)公共交換 網(wǎng)Public Switched Telephone Network，PSTN上提供效勞的。傳統(tǒng)PSTN提供的效勞也被稱為簡易老式 業(yè)務(wù)

50、Plan Old Telephone System，POTS。因為目前存在著大量安裝好的 線，所以這樣的環(huán)境是最容易滿足的。因此，異步撥號連接也就成為最為方便和普遍的遠(yuǎn)程訪問類型。廣域網(wǎng)連接可以采用不同類型的封裝協(xié)議，如HDLC、PPP等。其中，PPP除了提供身份認(rèn)證功能外，還可以提供其他很多可選項配置，包括鏈路壓縮、多鏈路捆綁、回叫等，因此更具優(yōu)勢。也是本設(shè)計所采用的異步連接封裝協(xié)議。在本設(shè)計中采用了可以集成在廣域網(wǎng)接入路由器InternetRotuer中的異步Modem模塊NM-16AM8Port Analog Modem Network Module提供遠(yuǎn)程訪問效勞。它可以同時對最多16

51、路撥號用戶提供遠(yuǎn)程接入效勞。以下介紹一下配置異步撥號模塊NM-16AM的步驟。1配置物理線路的根本參數(shù)對物理線路的配置包括配置線路速度DTE、DCE之間的速率、停頓位位數(shù)、流控方式、允許呼入連接的協(xié)議類型、允許流量的方向等。如下圖，是對以上參數(shù)進(jìn)展配置。 圖2-1保護(hù)路由器自身平安2配置接口根本參數(shù)對接口根本參數(shù)的配置包括：接口封裝協(xié)議類型、接口異步模式、IP地址、為遠(yuǎn)程客戶分配IP地址的方式等。這里，設(shè)置遠(yuǎn)程客戶從IP地址池rasclients中獲得IP地址。 圖2-1配置接口根本參數(shù)接下來，需要建立一個本地的IP地址池。如下所示，建立了一個名為rasclients的IP地址池。其IP地址范

52、圍是：6。 圖2-1指定IP地址池3配置身份認(rèn)證PPP提供了兩種可選的身份認(rèn)證方法：口令驗證協(xié)議PAPPassword Authentication Protocol，PAP和質(zhì)詢握手協(xié)議Challenge Handshake Authentication Protocol，CHAP。PAP是一個簡單的、實用的身份驗證協(xié)議。PAP認(rèn)證進(jìn)程只在雙方的通信鏈路建立初期進(jìn)展。如果認(rèn)證成功，在通信過程中不再進(jìn)展認(rèn)證。如果認(rèn)證失敗，那么直接釋放鏈路。CHAP認(rèn)證比PAP認(rèn)證更平安，因為CHAP不在線路上發(fā)送明文密碼，而是發(fā)送經(jīng)過摘要算法加工過的隨機(jī)序列，也被稱為挑戰(zhàn)字符串。如下圖14-1-5。同時，身份

53、認(rèn)證可以隨時進(jìn)展，包括在雙方正常通信過程中。因此，非法用戶就算截獲并成功破解了一次密碼，此密碼也將在一段時間內(nèi)失效。CHAP對端系統(tǒng)要求很高，因為需要屢次進(jìn)展身份質(zhì)詢、響應(yīng)。這需要消耗較多的CPU資源，因此只用在對平安要求很高的場合。PAP雖然有著用戶名和密碼是明文發(fā)送的弱點(diǎn)，但是認(rèn)證只在鏈路建立初期進(jìn)展，因此節(jié)省了珍貴的鏈路帶寬。本設(shè)計中將采用PAP身份認(rèn)證方法。1建立本地口令數(shù)據(jù)庫如下圖建立本地口令數(shù)據(jù)庫。 圖2-2建立本地口令數(shù)據(jù)庫2設(shè)置進(jìn)展PAP認(rèn)證 圖2-2建立本地口令數(shù)據(jù)庫五效勞器模塊設(shè)計效勞器模塊用來對校園網(wǎng)的接入用戶提供各種效勞。在本設(shè)計方案中，所有的效勞器被集中到VLAN 1

54、00構(gòu)成效勞器群并通過分別層交換機(jī)DistributeSwitch1的端口fastethernet 120接入校園網(wǎng)。如下圖。 圖5-1效勞器群校園網(wǎng)提供的常見的效勞效勞器包括：WEB效勞器：提供WEB網(wǎng)站效勞。DNS、目錄效勞器：提供域名解析以及目錄效勞。FTP、文件效勞器：提供文件傳輸、共享效勞。郵件效勞器：提供郵件收發(fā)效勞。數(shù)據(jù)庫效勞器：提供各種數(shù)據(jù)庫效勞。打印效勞器：提供打印機(jī)共享效勞。實時通信效勞器：提供實時通信效勞。流媒體效勞器：提供各種流媒體播放、點(diǎn)播效勞。網(wǎng)管效勞器：對校園網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)展綜合管理。如下圖。顯示了各效勞器IP地址配置情況。 圖4-5-1標(biāo)準(zhǔn)ACL實驗環(huán)境表給出了所

55、有的效勞器硬件平臺、操作系統(tǒng)以及效勞軟件的選型表。表1-1VLAN及IP編址方案 限于篇幅，對于各種效勞器的安裝、配置步驟以及運(yùn)行維護(hù)方法，這里不再贅述，感興趣的讀者可以參看有關(guān)參考書。六總結(jié)其他、測試6.1系統(tǒng)測試前面幾節(jié)中，我們對如何設(shè)計一個較為完整的校園網(wǎng)網(wǎng)絡(luò)進(jìn)展了詳細(xì)的介紹。當(dāng)校園網(wǎng)初具規(guī)模后，還應(yīng)該對校園網(wǎng)的整體運(yùn)行情況做一下細(xì)致的測試和評估。主要的測試內(nèi)容應(yīng)該包括：對管理IP地址的測試。對一樣VLAN內(nèi)的通信進(jìn)展測試。對不同VLAN內(nèi)的通信進(jìn)展測試。對冗余鏈路的工作狀態(tài)進(jìn)展測試。對廣域網(wǎng)接入路由器上的NAT進(jìn)展測試。對廣域網(wǎng)接入路由器上的ACL進(jìn)展測試。對遠(yuǎn)程訪問效勞進(jìn)展測試。對各

56、種效勞器提供的效勞進(jìn)展測試。至于具體的測試步驟，限于篇幅這里不再贅述。需要說明的是，一個完整的校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)設(shè)計不僅包含上述設(shè)備，還應(yīng)該有計費(fèi)系統(tǒng)、防火墻系統(tǒng)、入侵檢測系統(tǒng)等組成局部。限于篇幅，在此不做介紹，感興趣的讀者可以參看有關(guān)的參考書。6.2相關(guān)測試、診斷命令在本章的最后，我們按不同的功能按每種技術(shù)分類，給出相關(guān)的測試、診斷命令列表同時還給出了命令的作用。1通用測試、診斷命令1ping x.x.x.x標(biāo)準(zhǔn)ping命令。用于測試設(shè)備間的物理連通性。2ping x.x.x.x擴(kuò)展ping命令。用于測試設(shè)備間的物理連通性。擴(kuò)展ping命令還支持靈活定義ping參數(shù)，如ping數(shù)據(jù)包的大小，發(fā)送

57、包的個數(shù)，等待響應(yīng)數(shù)據(jù)包的超時時間等。3traceroute x.x.x.x命令traceroute用于跟蹤、顯示路由信息。4show running-config命令show running-config用于顯示路由器、交換機(jī)運(yùn)行配置文件的內(nèi)容。5show startup-config命令show startup-config用于顯示路由器、交換機(jī)啟動配置文件的內(nèi)容。6show sessions命令show sessions用于顯示從當(dāng)前設(shè)備發(fā)出的所有呼出Telnet會話。7disconnect命令disconnect用于斷開與遠(yuǎn)程目標(biāo)主機(jī)的Telnet會話。8show users命令sho

58、w users用于查看呼入Telnet會話情況。9clear line命令clear line用于斷開遠(yuǎn)程主機(jī)的呼入Telnet連接。10shutdown命令shutdown用于臨時將某個接口關(guān)閉。11no shutdown命令no shutdown用于手動啟動激活處于管理性關(guān)閉的接口。12show arp命令show arp用于顯示ARP緩存ARP表的內(nèi)容。13show ip arp命令show ip arp用于顯示IP ARP緩存ARP表的內(nèi)容。14show interfaces命令show interface用于顯示各接口的狀態(tài)及參數(shù)信息。15show ip interface命令sho

59、w ip interface用于顯示IP接口的狀態(tài)及配置信息。16show version命令show version用于顯示路由器硬件配置、軟件版本等信息。17Ctrl+Shift+6+x該命令也被稱為退出序列，用于終止正在執(zhí)行的某條命令或操作，也用于從呼出Telnet會話中暫時切換到本地連接。18dir flash:命令dir flash:用于顯示閃存中的文件清單。19dir nvram:命令dir nvram:用于顯示非易失性內(nèi)存中的文件清單。20show debugging命令show debugging用于顯示正在進(jìn)展的診斷過程清單。21undebug all命令undebug all用于停頓所有診斷過程。2CDP測試、診斷命令1show cdp命令show cdp用于顯示CDP全局參數(shù)信息。2show cdp neighbors命令show cdp neighbors用于顯示CDP鄰居設(shè)備的摘要信息。3show cdp nei