網絡工程課程設計校園網絡設計

學校網絡工程綜合設計報告PAGEPAGEII學校網絡工程綜合設計報告XX網絡綜合實訓學校網絡工程綜合設計報告學生姓名XX學號XX所在系XX專業(yè)名稱XX班級XX指導教師XX四川師范大學成都學院二○一三年十月PAGEIIPAGEIII學校網絡工程綜合設計報告學生：XX指導老師：XX內容摘要：校園網絡是非常典型的綜合網絡.本設計是建立一個可擴展的、高速的、充分冗余的、基于標準的網絡，該網絡能夠支持融合了話音、視頻、圖像和數(shù)據(jù)的應用程序.Cisco公司作為知名品牌，網絡領導廠商，其產品的可靠性和穩(wěn)定性是一流的。因此.在關鍵網絡系統(tǒng)中采用了Cisco3640路由器、CiscoCatalyst295024口交換機（WS-C2950-24）、CiscoCatalyst3550交換機、CiscoCatalyst4006交換機.在本設計中.將重點放在網絡主干的設計上，對于服務器的架設只作簡單介紹。通過對校園網絡關鍵設備進行分析.得出配置步驟和配置命令.本設計中所采取的技術與產品充分考慮到了網絡未來的升級與發(fā)展，無論從校園網的擴展到廣域網的建設都作了周密的考慮。再是由于系統(tǒng)選擇的是最成熟與標準的快速以太網技術，把網絡已構筑了高速和堅固的信息高速公路，面對未來的發(fā)展將處于非常有利的境界。關鍵字：校園網絡路由器網絡主干Comprehensive

designreport

school

networkengineeringAbstract:Thecampusnetworkisacomprehensivenetworkisverytypical.Thisdesignistobuildascalable,fullyredundanthigh-speed,standardsbasednetwork,thenetworkcansupporttheintegrationofvoice,videoapplications,imageanddata.TheCiscocompanyasafamousbrand,networkleadingmanufacturers,theproductreliabilityandstabilityisthefirstclass.Therefore.InkeynetworksystemusingCisco3640router,CiscoCatalyst295024portswitch(WS-C2950-24),CiscoCatalyst3550switches,CiscoCatalyst4006switches.Inthisdesign.Focusonthedesignofbackbonenetwork,theserveronlybrieflyintroduced.Thekeyequipmentofcampusnetworkanalysis.Theconfigurationstepsandconfigurationcommand.Technologyandproductsinthedesigntoconsiderfullytheupgradeanddevelopmentoffuturenetwork,nomatterfromthecampusnetworkisextendedtotheconstructionofwideareanetworkhavemadecarefulconsideration.ThenisthesystemchoiceisthemostmaturefastEthernettechnologyandstandards,thenetworkhastobuildahigh-speedandrobustinformationhighway,facingthefuturedevelopmentwillbeinaverygoodstateKeywords:

campus

networkbackbone

network

router學校網絡工程綜合設計報告PAGE28目錄TOC\o"1-4"\h\z\u前言： 11可行性方案分析 21.1課程介紹 21.2設計方案 21.2.1路由技術： 21.2.2交換技術： 21.2.3遠程訪問技術： 32網絡規(guī)劃 32.1拓撲設計與設計原則 32.1.1實用性和經濟性 42.1.2先進性和成熟性 42.1.3可靠性和穩(wěn)定性 42.1.4安全性和保密性 42.1.5可擴展性和可管理性 52.2網絡結構分析 52.2.1骨干層 52.2.2接入層 62.2.3出口 62.3網絡架構設計與拓撲結構 63主要技術設計的具體配置過程 83.1技術設計 83.2訪問層交換機服務 83.2.1訪問層交換服務的實現(xiàn)——配置訪問層交換機 83.2.2配置訪問層交換機AccessSwitch1的基本參數(shù) 93.2.3配置訪問層交換機AccessSwitch1的管理IP、默認網關 93.2.4配置訪問層交換機AccessSwitch1的VLAN及VTP 93.2.5配置訪問層交換機AccessSwitch1的訪問端口 103.2.6配置訪問層交換機AccessSwitch1的主干道端口 103.2.7配置訪問層交換機AccessSwitch2與AccessSwitch1類似，如圖3.2.7-1。 103.3分布層交換服務的實現(xiàn)－配置分布層交換機 113.3.1配置分布層交換機DistributeSwitch1的基本參數(shù) 113.3.2配置分布層交換機DistributeSwitch1的管理IP、默認網關 123.3.3配置分布層交換機DistributeSwitch1的VTP 123.3.4在分布層交換機DistributeSwitch1上定義VLAN 123.3.5配置分布層交換機DistributeSwitch1的端口基本參數(shù) 133.3.6配置分布層交換機DistributeSwitch1的3層交換功能 133.3.7配置分布層交換機DistributeSwitch2 143.4核心層交換服務的實現(xiàn)——配置核心層交換機 153.4.1配置核心層交換機CoreSwitch1的基本參數(shù) 163.4.2配置核心層交換機CoreSwitch1的管理IP、默認網關 163.4.3配置核心層交換機CoreSwitch1的的VLAN及VTP 173.4.4配置核心層交換機CoreSwitch1的端口參數(shù) 173.4.5配置核心層交換機CoreSwitch1的路由功能 173.4.6其它配置 183.5配置接入路由器InternetRouter 183.5.1配置接入路由器InternetRouter的基本參數(shù) 183.5.2配置接入路由器InternetRouter的各接口參數(shù) 193.5.4配置接入路由器InternetRouter上的NAT 193.5.5配置接入路由器InternetRouter上的安全訪問ACL 20路由器訪問控制列表. 20對外屏蔽其它不安全的協(xié)議或服務. 21針對DoS攻擊的設計. 21保護路由器自身安全. 223.6遠程訪問模塊設計 223.6.1遠程訪問也是園區(qū)網絡必須提供的服務之一，如圖3.6.1-1。 223.6.2遠程訪問有三種可選的服務類型： 233.6.3配置異步撥號模塊NM-16AM的步驟: 23配置物理線路的基本參數(shù) 23配置接口基本參數(shù) 24配置身份認證 243.7服務器模塊設計 253.7.1服務器模塊用來對校園網的接入用戶提供各種服務。 253.7.2校園網提供的常見的服務 253.7.3如圖3.7.3-1所示。顯示了各服務器IP地址配置情況. 264結束語 26參考文獻： 28PAGE1學校網絡工程綜合設計報告前言在校園網絡中，視頻、音頻、數(shù)據(jù)集于一身，如果保證不了高帶寬、又多種視頻、音頻、數(shù)據(jù)流混雜在一起進行傳輸，就沒法對流做出最高優(yōu)先級和次高優(yōu)先級及底優(yōu)先級的分類，這樣就不能保證重要業(yè)務的暢通，造成網絡延遲、服務不可用。所以要想真正改變網絡的效率，更有效的保證應用服務的運營，需要通過端到端的QOS，智能到邊緣的方式來保證。通過智能到邊緣，端到端的應用方式，可以減少對網絡核心設備的消耗，這樣保證了網絡的有效暢通?？梢詫@區(qū)網應用中的，多媒體視頻點播服務、數(shù)據(jù)備份服務、文獻傳遞服務、E-mail服務、數(shù)據(jù)庫服務器等服務。對不同服務流進行詳細的分類，劃分優(yōu)先級，以及盡可能地避免發(fā)生擁塞。同時保證網絡的高效運行，充分利用現(xiàn)有的帶寬。在園區(qū)網絡中，存在多樣的網絡設備及系統(tǒng)應用環(huán)境，并且要考慮在用戶迅速增長的今天，考慮到網絡設備的可擴展性。保證在多樣網絡設備，用戶不斷增加的環(huán)境中，仍能保證網絡暢通。所以萬兆骨干網絡平臺就應具有良好的兼容性和可擴展性，能與當前校園網絡無縫銜接，同時預留空間符合當前和以后的信息建設需要和足夠的升級空間。在校園網絡建設中存在多用戶,多服務的現(xiàn)狀。帶來了對網絡系統(tǒng)要求具有高效率等，以保證大數(shù)據(jù)量訪問下有效的處理能力。針對需求設備要能對數(shù)據(jù)做到分布式處理，這樣的分布式處理可以節(jié)省主交換引擎的消耗。使數(shù)據(jù)在獨立的板卡上就能做出對數(shù)據(jù)的識別，這樣比在中央處理器識別要快的多。并在大量的數(shù)據(jù)應用，數(shù)據(jù)傳輸?shù)倪^程中，要保證所有硬件設備都可以進行快速的轉發(fā)，要具備高背板帶寬（交換容量），所有端口都能保證線速轉發(fā)。這種分布式處理可以極大地提高整體處理能力，保證了網絡暢通。1可行性方案分析1.1課程介紹在校園網絡中，對于校園網的安全保障十分重要：校園網的信息點分布很廣，與一般企業(yè)網比較，校園網用戶的流動性大，信息點存在隨意接入使用的問題。學生及外來不明身份的用戶，在校園網中找到任何一個信息點，就可以進入到校園網，可以肆意干擾和破壞校園網網絡平臺及應用系統(tǒng)的正常運行。另外校園網的網絡安全，還需要考慮與外網及內網不同應用系統(tǒng)之間的安全訪問控制。為了發(fā)生安全事件后，能夠有效、快捷地處理事故，采用上網審計手段是十分有必要的。由于當前類似“沖擊波、震蕩波病毒”的肆虐，一個健壯的網絡應該提供必要的手段，禁止特定病毒的傳播以及由于病毒造成的流量擁塞。1.2設計方案我們采用自頂向下、模塊化的方法、參考3層模型來進行工程的設計和實施。1.2.1路由技術：路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網間路由數(shù)據(jù)包。路由器具有在網絡中傳遞數(shù)據(jù)時選擇最佳路徑的能力。除了可以完成主要的路由任務，利用訪問控制列表（AccessControlList，ACL），路由器還可以用來完成以路由器為中心的流量控制和過濾功能。在本設計中，內網用戶不僅通過路由器接入因特網、內網用戶之間也通過3層交換機上的路由功能進行數(shù)據(jù)包交換。1.2.2交換技術：傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層?，F(xiàn)代交換技術還實現(xiàn)了第3層交換和多層交換。高層交換技術的引入不但提高了園區(qū)網數(shù)據(jù)交換的效率，更大大增強了園區(qū)網數(shù)據(jù)交換服務質量，滿足了不同類型網絡應用程序的需要?，F(xiàn)代交換網絡還引入了虛擬局域網（VirtualLAN，VLAN）的概念。VLAN將廣播域限制在單個VLAN內部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術來實現(xiàn)。當網絡管理人員需要管理的交換機數(shù)量眾多時，可以使用VLAN中繼協(xié)議（VlanTrunkingProtocol，VTP）簡化管理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網絡管理人員的工作負擔和工作強度。為了簡化交換網絡設計、提高交換網絡的可擴展性，在園區(qū)網內部數(shù)據(jù)交換的部署是分層進行的。園區(qū)網數(shù)據(jù)交換設備可以劃分為三個層次：訪問層、分布層、核心層。訪問層為所有的終端用戶提供一個接入點；分布層除了負責將訪問層交換機進行匯集外，還為整個交換網絡提供VLAN間的路由選擇功能；核心層將各分布層交換機互連起來進行穿越園區(qū)網骨干的高速數(shù)據(jù)交換。在本設計中，也將采用這三層進行分開設計、配置。1.2.3遠程訪問技術：遠程訪問也是園區(qū)網絡必須提供的服務之一。遠程訪問有三種可選的服務類型：專線連接、電路交換和包交換。不同的廣域網連接類型提供的服務質量不同，花費也不相同。企業(yè)用戶可以根據(jù)所需帶寬、本地服務可用性、花費等因素綜合考慮，選擇一種適合企業(yè)自身需要的廣域網接入方案。）在本設計中，分別采用專線連接（到因特網）和電路交換（到校園網）兩種方式實現(xiàn)遠程訪問需求。2網絡規(guī)劃2.1拓撲設計與設計原則局域網采用星型網絡拓樸結構，星型拓樸結構為現(xiàn)在較為流行的一種網絡結構，它是以一臺中心處理機（通信設備）為主而構成的網絡，其它入網機器僅與該中心處理機之間有直接的物理鏈路，中心處理機采用分時或輪詢的方法為入網機器服務，所有的數(shù)據(jù)必須經過中心處理機。由于所有節(jié)點的往外傳輸都必須經過中央節(jié)點來處理，因此，對中央節(jié)點的要求比較高。優(yōu)點是網絡結構簡單，易于維護，便于管理（集中式）；每臺入網機均需物理線路與處理機互連，線路利用率低；處理機負載重（需處理所有的服務），因為任何兩臺入網機之間交換信息，都必須通過中心處理機；入網主機故障不影響整個網絡的正常工作。對該網絡支持的設備生產廠商有較好的技術支持。局域網內的所有工作節(jié)點通過雙絞線與交換機相連形成一個星型網絡。辦公電腦建議采用品牌的商用機，商用機運行比較穩(wěn)定，而且比較耐用，運算速度較快，較適于開發(fā)使用。校園網絡系統(tǒng)的建設在實用的前提下，應當在投資保護及長遠性方面做適當考慮，在技術上、系統(tǒng)能力上要保持五年左右的先進性。并且從學校的利益出發(fā)，從技術上講應該采用標準、開放、可擴充的、能與其它廠商產品配套使用的設計。根據(jù)校園網的總體需求，結合對應用系統(tǒng)的考慮，本次網絡建設的設計目標是：高性能、高可靠性、高穩(wěn)定性、高安全性、易管理的萬兆骨干網絡平臺。我們遵循以下的原則進行網絡設計：2.1.1實用性和經濟性網絡建設應始終貫徹面向應用，注重實效的方針，堅持實用、經濟的原則，建設的萬兆骨干網絡平臺，保護用戶的投資。2.1.2先進性和成熟性網絡建設設計既要采用先進的概念、技術和方法，又要注意結構、設備、工具的相對成熟。不但能反映當今的先進水平，而且具有發(fā)展?jié)摿?，能保證在未來若干年內占主導地位，保證貴校網絡建設的領先地位，采用萬兆以太網技術來構建網絡主干線路。2.1.3可靠性和穩(wěn)定性在考慮技術先進性和開放性的同時，還應從系統(tǒng)結構、技術措施、設備性能、系統(tǒng)管理、廠商技術支持及保修能力等方面著手，確保系統(tǒng)運行的可靠性和穩(wěn)定性，達到最大的平均無故障時間，Cisco公司作為知名品牌，網絡領導廠商，其產品的可靠性和穩(wěn)定性是一流的。為了保證骨干網絡平臺的健壯性和鏈路冗余性，網絡實施時在學校啟用千兆備份線路。在學校啟用物理鏈路冗余機制，保證任何一條線路出現(xiàn)故障后骨干網絡平臺的可用性。2.1.4安全性和保密性在網絡設計中，既考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統(tǒng)應分別針對不同的應用和不同的網絡通信環(huán)境，采取不同的措施，包括端口隔離、路由過濾、防DDoS拒絕服務攻擊、防IP掃描、系統(tǒng)安全機制、多種數(shù)據(jù)訪問權限控制等，充分考慮Cisco公司安全性，針對的各種應用，有多種的保護機制，如劃分VLAN、IP/MAC地址綁定（過濾）、ACL、路由過濾、防DDoS拒絕服務攻擊、防IP掃描、802.1x認證機制、SSH加密連接等具體技術提升整個網絡的安全性。2.1.5可擴展性和可管理性由于信息技術和人們對于新技術的需求發(fā)展都非常迅速，為了避免不必要的重復投資，我們必須選擇具有一定擴展能力的設備，能夠保證在網絡規(guī)模逐漸擴大的時候，不需要增加新的設備，而只需要增加一定數(shù)量的模塊就行。最好能夠做到在網絡技術進一步發(fā)展，現(xiàn)有模塊不支持新技術的情況下，只需要更換相應模塊，而不需要更換整個設備。為了適應網絡結構變化的要求，必須充分考慮以最簡便的方法、最低的投資，實現(xiàn)系統(tǒng)的擴展和維護。為了便于擴展，對于核心設備必須采用模塊化高密度端口的設備，便于將來升級和擴展。先進的設備必須配合先進的管理和維護方法，才能夠發(fā)揮最大的作用。全線采用基于SNMP標準的可網管產品，達到全程網管，降低了人力資源的費用，提高網絡的易用性、可管理性，同時又具有很好的可擴充性。2.2網絡結構分析2.2.1骨干層網絡中心節(jié)點及其它核心節(jié)點作為校園網絡系統(tǒng)的心臟，必須提供全線速的數(shù)據(jù)交換，當網絡流量較大時，對關鍵業(yè)務的服務質量提供保障。另外作為整個網絡的交換中心，在保證高性能、無阻塞交換的同時，還必須保證穩(wěn)定可靠的運行。因此在網絡中心的設備選型和結構設計上必須考慮整體網絡的高性能和高可靠性。具體來說核心節(jié)點的交換機有兩個基本要求：1）高密度端口情況下，還能保持各端口的線速轉發(fā)；2）關鍵模塊必須冗余，如管理引擎、電源、風扇。

由于校園網建設最終必將采用萬兆技術，因此需要考慮到核心設備對萬兆的支持能力。綜上所述，主干核心交換機屬于高端系列的產品，所以在本方案中，核心交換機采用多業(yè)務萬兆核心路由交換機?？梢愿鶕?jù)用戶的需求靈活配置，靈活構建彈性可擴展的網絡。多業(yè)務萬兆核心路由交換機高背板帶寬和二/三層包轉發(fā)速率可為用戶提供高速無阻塞的交換，強大的交換路由功能、安全智能技術可為用戶提供完整的端到端解決方案，是大型網絡核心骨干交換機的理想選擇。在此方案中，校區(qū)網絡中心采用Cisco公司路由交換機作為核心交換機。核心層交換機跟匯聚接入層交換機之間的千兆鏈路可以捆綁，從而實現(xiàn)帶寬的靈活擴展。2.2.2接入層接入層網絡由樓棟交換節(jié)點和樓層交換節(jié)點組成，接入層網絡應該可以滿足各種客戶的接入需要，而且能夠實現(xiàn)客戶化的接入策略，業(yè)務QOS保證，用戶接入訪問控制等等。樓層交換節(jié)點采用千兆智能堆疊交換機，提供智能的流分類和完善的QoS特征。為各類型網絡提供完善的端到端的服務質量、豐富的安全設置和基于策略的網管，最大化滿足高速、融合、安全的園區(qū)網新需求；本方案中各接入層交換機通過千兆鏈路上聯(lián)到各匯聚層設備，對下聯(lián)的桌面設備提供全雙工的百兆連接，為各類用戶提供無阻塞的交換性能。2.2.3出口因為校園網出口采用以太網，所以采用路由器+防火墻的方式，起到如下作用：防火墻提供強有力的服務器、內網安全保護、提供IDS等安全特性；路由器提供出口路由功能，數(shù)據(jù)處理能力強，具有強大的NAT功能。2.3網絡架構設計與拓撲結構為了實現(xiàn)網絡設備的統(tǒng)一，本設計方案中完全采用同一廠家的網絡產品，即Cisco公司的網絡設備構建。全網使用同一廠商設備的好處是可以實現(xiàn)各種不同網絡設備功能的互相配合和補充。本校園網設計方案主要由以下四大部分構成：交換模塊、廣域網接入模塊、遠程訪問模塊、服務器群。整個網絡系統(tǒng)的拓撲結構圖如圖3-1所示。在后面將根據(jù)此圖分塊進行分析。圖2.3-1校園網整體拓撲結構圖表VLAN及IP編址方案VLAN號VLAN名稱IP網段默認網關說明VLAN1--/2454管理VLANVLAN10JWC/2454教務處VLANVLAN20XSSS/2454學生宿舍VLANVLAN30CWC/2454財務處VLANVLAN40JGSS/2454教工宿舍VLANVLAN50WXY/2454文學院VLANVLAN60YYXY/2454音樂學院VLANVLAN70JSJXY/2454計算機學院VLANVLAN100FWQQ/2454服務器群VLAN除了表中的內容外，撥號用戶從/27中動態(tài)取得IP地址。在這里為每個VLAN定義了一個由拼音縮寫組成的VLAN名稱。3主要技術設計的具體配置過程3.1技術設計為了簡化交換網絡設計、提高交換網絡的可擴展性，在園區(qū)網內部數(shù)據(jù)交換的部署是分層進行的。園區(qū)網數(shù)據(jù)交換設備可以劃分為三個層次：訪問層、分布層、核心層。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層?，F(xiàn)代交換技術還實現(xiàn)了第3層交換和多層交換。高層交換技術的引入不但提高了園區(qū)網數(shù)據(jù)交換的效率，更大大增強了園區(qū)網數(shù)據(jù)交換服務質量，滿足了不同類型網絡應用程序的需要。現(xiàn)代交換網絡還引入了虛擬局域網（VirtualLAN，VLAN）的概念。VLAN將廣播域限制在單個VLAN內部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術來實現(xiàn)。當網絡管理人員需要管理的交換機數(shù)量眾多時，可以使用VLAN中繼協(xié)議（VlanTrunkingProtocol，VTP）簡化管理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網絡管理人員的工作負擔和工作強度。

當園區(qū)網絡的交換機數(shù)量增多、交換機間鏈路增加時，交換網絡的復雜性可能會造成交換環(huán)路問題，這需要通過在各交換機上運行生成樹協(xié)議（SpanningTreeProtocol，STP）來解決。一個好的校園網設計應該是一個分層的設計。一般分為三層設計模型。3.2訪問層交換機服務3.2.1訪問層交換服務的實現(xiàn)——配置訪問層交換機訪問層為所有的終端用戶提供一個接入點。這里的訪問層交換機采用的是CiscoCatalyst295024口交換機（WS-C2950-24）。交換機擁有24個10/100Mbps自適應快速以太網端口，運行的是Cisco的IOS操作系統(tǒng)。如圖2-1的訪問層交換機AccessSwitch1進行設置。圖3.2.1-1訪問層交換機3.2.2配置訪問層交換機AccessSwitch1的基本參數(shù)Switch(config)#hostnameAccessSwitch1AcccessSwitch1(config)#enablesecret123Switch/設置交換機口令AcccessSwitch1(config)#linevty015/設置登錄虛擬終端線時的口令AcccessSwitch1(config-line)#loginAcccessSwitch1(config-line)#passwordyouguess3.2.3配置訪問層交換機AccessSwitch1的管理IP、默認網關AcccessSwitch1(config)#interfacevlan1AcccessSwitch1(config-if)#ipaddressAcccessSwitch1(config-if)#noshutddownAcccessSwitch1(config)#ipdrfault-gateway543.2.4配置訪問層交換機AccessSwitch1的VLAN及VTPAcccessSwitch1(config)#vtpmodeclientAcccessSwitch1(config)#interfacerangefatchernet0/1–24AcccessSwitch1(config-if-range)#duplexfullAcccessSwitch1(config)#interfacerangefatchernet0/1–24AcccessSwitch1(config-if-range)#specd1003.2.5配置訪問層交換機AccessSwitch1的訪問端口AcccessSwitch1(config)#Interfacerangefastchernet0/1-10AcccessSwitch1(config-if-range)#switchportmodeaccessAcccessSwitch1(config-if-range)#switchportaccessvlan10AcccessSwitch1(config)#Interfacerangefastchernet0/11-20AcccessSwitch1(config-if-range)#switchportmodeaccessAcccessSwitch1(config-if-range)#switchportaccessvlan20AcccessSwitch1(config)#Interfacerangefastchernet0/11-20AcccessSwitch1(config-if-range)#spanning-treeportfast3.2.6配置訪問層交換機AccessSwitch1的主干道端口AcccessSwitch1(config)#Interfacerangefastchernet0/23-24AcccessSwitch1(config-if-range)#switchportmodetrunkAcccessSwitch1(config)#spanning-treeuplinkfast/冗余設計AcccessSwitch1(config)#spanning-treeBackbonefast/加快生成樹的收斂3.2.7配置訪問層交換機AccessSwitch2與AccessSwitch1類似，如圖3.2.7-1。圖3.2.7-1訪問層交換機AccessSwitch3.3分布層交換服務的實現(xiàn)－配置分布層交換機分布層除了負責將訪問層交換機進行匯集外，還為整個交換網絡提供VLAN間的路由選擇功能。這里的分布層交換機采用的是CiscoCatalyst3550交換機。作為3層交換機，CiscoCatalyst3550交換機擁有24個10/100Mbps自適應快速以太網端口，同時還有2個1000Mbps的GBIC端口供上連使用，運行的是Cisco的IntegratedIOS操作系統(tǒng)。我們以圖3-1中的分布層交換機DistributeSwitch1為例進行設置。圖3.3-1分布層交換機DistributeSwitch1設置3.3.1配置分布層交換機DistributeSwitch1的基本參數(shù)Switch#configureterminalEntercongifgurationcommands,oneperlineEndwithCNTL/ZSwitch(config)#hostnameDistributeSwitch1DistributeSwitch1(config)#enablesecretyouguessDistributeSwitch1(config)#linecon0DistributeSwitch1(config-line)#loggingsynchronousDistributeSwitch1(config-line)#exec-timeout530DistributeSwitch1(config-line)#linevty015DistributeSwitch1(config-line)#passwordabcDistributeSwitch1(config-line)#loginDistributeSwitch1(config-line)#exec-timeout530DistributeSwitch1(config-line)#exitDistributeSwitch1(config)#noipdomain-lookup3.3.2配置分布層交換機DistributeSwitch1的管理IP、默認網關DistributeSwitch1(config)#interfacevlan1DistributeSwitch1(config-if)#ipaddressDistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config-if)#exitDistributeSwitch1(config-if)#ipdefault-gateway543.3.3配置分布層交換機DistributeSwitch1的VTPDistributeSwitch1(config)#vtpdomainnciae/設置VTP管理域的域名DistributeSwitch1(config)#vtpmodeserver/設置VTP服務器DistributeSwitch1(config)#vtppruning/激活VTP剪裁功能3.3.4在分布層交換機DistributeSwitch1上定義VLANSwitch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/ZDistributeSwitch1(config)#vlan10DistributeSwitch1(config-vlan)#nameJWCDistributeSwitch1(config)#vlan20DistributeSwitch1(config-vlan)#nameXSSSDistributeSwitch1(config)#vlan30DistributeSwitch1(config-vlan)#nameCWCDistributeSwitch1(config)#vlan40DistributeSwitch1(config-vlan)#nameJGSSDistributeSwitch1(config)#vlan50DistributeSwitch1(config-vlan)#nameWXYDistributeSwitch1(config)#vlan60DistributeSwitch1(config-vlan)#nameYYXYDistributeSwitch1(config)#vlan70DistributeSwitch1(config-vlan)#nameJSJXYDistributeSwitch1(config)#vlan100DistributeSwitch1(config-vlan)#nameFWQQ3.3.5配置分布層交換機DistributeSwitch1的端口基本參數(shù)DistributeSwitch1(config)#interfacerangefastethernet0/1–24DistributeSwitch1(config-if-range)#dupexfullDistributeSwitch1(config-if-range)#speed100DistributeSwitch1(config-if-range)#interfacerangefastethernet0/1–10DistributeSwitch1(config-if-range)#switchportmodeaccessDistributeSwitch1(config-if-range)#switchportaccessvlan100DistributeSwitch1(config-if-range)#spanning-treeportfastDistributeSwitch1(config-if-range)#interfacerangefastethernet0/23–24DistributeSwitch1(config-if-range)#switchportmodetrunkDistributeSwitch1(config-if-range)#interfacerangegigabitEthernet0/1–2DistributeSwitch1(config-if-range)#switchportmodetrunk3.3.6配置分布層交換機DistributeSwitch1的3層交換功能DistributeSwitch1(config)#interfacevlan10DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan20DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan30DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan40DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan50DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan60DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan70DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdownDistributeSwitch1(config)#interfacevlan100DistributeSwitch1(config-if)#ipaddress54DistributeSwitch1(config-if)#noshutdown3.3.7配置分布層交換機DistributeSwitch2分布層交換機DistributeSwitch2的端口FastEthernet0/23、FastEthernet0/24分別下連到訪問層交換機AccessSwitch1的端口FastEthernet0/24以及訪問層交換機AccessSwitch2的端口FastEthernet0/24。此外，分布層交換機DistributeSwitch2還通過自己的千兆端口GigabitEthernet0/1上連到核心交換機CoreSwitch1的GigabitEthernet3/2。

為了實現(xiàn)冗余設計，分布層交換機DistributeSwitch2還通過自己的千兆端口GigabitEthernet0/2連接到分布層交換機DistributeSwitch1的GigabitEthernet0/2.DistributeSwitch1(config)#iproute.54另外.為了實現(xiàn)對無類別網絡（ClasslessNetwork）以及全零子網（Subnet-zero）的支持，在充當3層交換機的分布層交換機DistributeSwitch1，還需要進行適當?shù)呐渲?DistributeSwitch1(config)#ipclasslessDistributeSwitch1(config)#ipsubnet-zero/定義對無類別網絡以及全零子網的支持.3.4核心層交換服務的實現(xiàn)——配置核心層交換機核心層將各分布層交換機互連起來進行穿越園區(qū)網骨干的高速數(shù)據(jù)交換本設計中的核心層交換機采用的是CiscoCatalyst4006交換機，采用了Catalyst4500SupervisorIIPlus（WS-X4013+）作為交換機引擎。運行的是Cisco的IntegratedIOS操作系統(tǒng)在作為核心層交換機的CiscoCatalyst4006交換機中，安裝了WS-X4306-GB（Catalyst4000GigabitEthernetModule,6-Ports(GBIC)）模塊，該模塊提供了5個千兆光纖上連接口，可以用來接入WS-G5484（1000BASE-SXShortWavelengthGBIC(Multimodeonly)）。以圖3.4-1中的核心層交換機CoreSwitch1為例進行設置。圖3.4-1核心層交換機CoreSwitch1設置3.4.1配置核心層交換機CoreSwitch1的基本參數(shù)Switch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/ZSwitch(config)#hostnameDistributeSwitch1CoreSwitch1(config)#enablesecretyouguessCoreSwitch1(config)#linecon0CoreSwitch1(config-line)#loggingsynchronousCoreSwitch1(config-line)#exec-timeout530CoreSwitch1(config-line)#linevty015CoreSwitch1(config-line)#passwordabcCoreSwitch1(config-line)#loginCoreSwitch1(config-line)#exec-timeout530CoreSwitch1(config-line)#exitCoreSwitch1(config)#noipdomain-lookup3.4.2配置核心層交換機CoreSwitch1的管理IP、默認網關CoreSwitch1(config)#interfacevlan1CoreSwitch1(config-if)#ipaddressCoreSwitch1(config-if)#noshutdownCoreSwitch1(config-if)#exitCoreSwitch1(config-if)#ipdefault-gateway543.4.3配置核心層交換機CoreSwitch1的的VLAN及VTPCoreSwith1(config)#vtpmodeclient3.4.4配置核心層交換機CoreSwitch1的端口參數(shù)核心層交換機CoreSwitch1通過自己的端口FastEthernet4/3同廣域網接入模塊（Internet路由器）相連。同時，核心層交換機CoreSwitch1的端口GigabitEthernet3/1～GigabitEthernet3/2分別下連到分布層交換機DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet0/1。DistributeSwitch1(config)#interfacerangefastethernet0/1–24DistributeSwitch1(config-if-range)#dupexfullDistributeSwitch1(config-if-range)#speed100DistributeSwitch1(config-if-range)#switchportmodeaccessDistributeSwitch1(config-if-range)#switchportaccessvlan1DistributeSwitch1(config-if-range)#spanning-treeportfastDistributeSwitch1(config-if-range)#interfacerangegigabitEthernet3/1–2DistributeSwitch1(config-if-range)#switchportmodetrunk此外，為了提供主干道的吞吐量以及實現(xiàn)冗余設計，在本設計中，將核心層交換機CoreSwitch1的千兆端口GigabitEthernet2/1、GigabitEthernet2/2捆綁在一起實現(xiàn)2000Mbps的千兆以太網信道，然后再連接到另一臺核心層交換機CoreSwitch2。CoreSwitch1(config)#interfaceport-channelCoreSwitch1(config-if)#switchportCoreSwitch1(config-if)#interfacegigabitEthernet2/1–2CoreSwitch1(config-if)#channel-group1modedesirublenon-silentCoreSwitch1(config-if)#noshutdown3.4.5配置核心層交換機CoreSwitch1的路由功能核心層交換機CoreSwitch1通過端口FastEthernet4/3同廣域網接入模塊（Internet路由器）相連。因此，需要啟用核心層交換機的路由功能。同時，還需要定義通往Internet的路由。這里使用了一條缺省路由命令。其中，下一跳地址是Internet接入路由器的快速以太網接口FastEthernet0/0的IP地址。CoreSwitch1(config)#iproutingCoreSwitch1(config)#iproute543.4.6其它配置定義對無類別網絡以及全零子網的支持CoreSwith1(config)#ipclasslessCoreSwith1(config)#ipsubnet-zeroCoreSwitch2的配置步驟、命令和CoreSwitch1的配置類似.3.5配置接入路由器InternetRouter3.5.1配置接入路由器InternetRouter的基本參數(shù)Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/ZSwitch(config)#hostnameInternetRouterInternetRouter(config)#enablesecretyouguessInternetRouter(config)#linecon0InternetRouter(config-line)#loggingsynchronousInternetRouter(config-line)#exec-timeout530InternetRouter(config-line)#linevty015InternetRouter(config-line)#passwordabcInternetRouter(config-line)#loginInternetRouter(config-line)#exec-timeout530InternetRouter(config-line)#exitInternetRouter(config)#noipdomain-lookup3.5.2配置接入路由器InternetRouter的各接口參數(shù)InternetRouter(config)#interfacefastethernet0/0InternetRouter(config-if)#ipaddress54InternetRouter(config-if)#noshutdownInternetRouter(config-if)#interfaceserial0/0InternetRouter(config-if)#ipaddress52InternetRouter(config-if)#noshutdown3.5.3InternetRouter(config)#iprouteserial0/0InternetRouter(config)#iproute/InternetRouter(config)#iproute/定義到校園網內部的路由3.5.4配置接入路由器InternetRouter上的NAT為了接入Internet，本校園網向當?shù)豂SP申請了9個IP地址。其中一個IP地址：被分配給了Internet接入路由器的串行接口，另外8個IP地址：～用作NAT。InternetRouter(config)#interfacefastethernet0/0InternetRouter(config-if)#ipnatinsideInternetRouter(config-if)#interfaceserial0/0InternetRouter(config-if)#ipnatoutside/定義NAT內部、外部接口InternetRouter(config)#ipaccess-list1permit55InternetRouter(config)#ipaccess-list1permit55InternetRouter(config)#ipnatinsidesourcestaticInternetRouter(config)#ipnatinsidesourcestaticInternetRouter(config)#ipnatinsidesourcestatic……/為服務器定義靜態(tài)地址轉換InternetRouter(config)#ipnatinsidesourcelist1interfaceserial0/0overload/為工作站定義復用地址轉換3.5.5配置接入路由器InternetRouter上的安全訪問ACL路由器訪問控制列表.路由器是外網進入校園網內網的第一道關卡，是網絡防御的前沿陣地。路由器上的訪問控制列表（AccessControlList，ACL）是保護內網安全的有效手段。一個設計良好的訪問控制列表不僅可以起到控制網絡流量、流向的作用，還可以在不增加網絡系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產品的功能。由于路由器介于校園網內網和外網之間，是外網與內網進行通信時的第一道屏障，所以即使在網絡系統(tǒng)安裝了防火墻產品后，仍然有必要對路由器的訪問控制列表進行縝密的設計，來對校園網內網包括防火墻本身實施保護。在網絡環(huán)境中還普遍存在著一些非常重要的、影響服務器群安全的隱患。在絕大多數(shù)網絡環(huán)境的實現(xiàn)中它們都是應該對外加以屏蔽的。主要應該做以下的ACL設計：對外屏蔽簡單網管協(xié)議，即SNMP.利用這個協(xié)議，遠程主機可以監(jiān)視、控制網絡上的其它網絡設備。它有兩種服務類型：SNMP和SNMPTRAP。設置對外屏蔽簡單網管協(xié)議SNMP:InternetRouter(config)#iprouteInternetRouter(config)#iproute對外屏蔽遠程登錄協(xié)議telnet.首先，telnet是一種不安全的協(xié)議類型。用戶在使用telnet登錄網絡設備或服務器時所使用的用戶名和口令在網絡中是以明文傳輸?shù)?，很容易被網絡上的非法協(xié)議分析設備截獲。其次，telnet可以登錄到大多數(shù)網絡設備和UNIX服務器，并可以使用相關命令完全操縱它們。這是極其危險的，因此必須加以屏蔽。屏蔽遠程登錄協(xié)議telneInternetRouter(config)#ipaccess-list101denytcpanyeqtelnetInternetRouter(config)#ipaccess-list101permitipanyany對外屏蔽其它不安全的協(xié)議或服務.這樣的協(xié)議主要有SUNOS的文件共享協(xié)議端口2049，遠程執(zhí)行（rsh）、遠程登錄（rlogin）和遠程命令（rcmd）端口512、513、514，遠程過程調用（SUNRPC）端口111。可以將針對以上協(xié)議綜合進行設計InternetRouter(config)#ipaccess-list101denytcpanyanyrange512514InternetRouter(config)#ipaccess-list101denytcpanyanyeq111InternetRouter(config)#ipaccess-list101denyudpanyanyeq111InternetRouter(config)#ipaccess-list101denytcpanyanyrange2049InternetRouter(config)#ipaccess-list101permitipanyany針對DoS攻擊的設計.DoS攻擊（DenialofServiceAttack，拒絕服務攻擊）是一種非常常見而且極具破壞力的攻擊手段，它可以導致服務器、網絡設備的正常服務進程停止，嚴重時會導致服務器操作系統(tǒng)崩潰。InternetRouter(config)#ipaccess-list101denyicmpanyanyeqecho-requsetInternetRouter(config)#ipaccess-list101denyudpanyanyeqechoInternetRouter(config)#interfaceserial0/0InternetRouter(config-if)#ipaccess-group101mInternetRouter(config-if)#interfacefastethernet0/0InternetRouter(config-if)#noipdirected-broadcast保護路由器自身安全.作為內網、外網間屏障的路由器，保護自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器，必須對路由器的訪問位置加以限制。應只允許來自服務器群的IP地址訪問并配置路由器。這時，可以使用ACCESS-CLASS命令進行VTY訪問控制InternetRouter(config)#linevty04InternetRouter(config-line)#access-class2inInternetRouter(config-line)#exitInternetRouter(config-line)#access-list2permit55InternetRouter(config)#ipclassless/對無類別網絡以及全零子網的支持InternetRouter(config)#ipsubnet-zero3.6遠程訪問模塊設計3.6.1遠程訪問也是園區(qū)網絡必須提供的服務之一，如圖3.6.1-1。圖.2遠程訪問有三種可選的服務類型：專線連接、電路交換和包交換。不同的廣域網連接類型提供的服務質量不同，花費也不相同。在本設計中，由于面對的用戶群規(guī)模、業(yè)務量較小，所以采用了異步撥號連接作為遠程訪問的技術手段。異步撥號連接屬于電路交換類型的廣域網連接，它是在傳統(tǒng)公共交換電話網（PublicSwitchedTelephoneNetwork，PSTN）上提供服務的。傳統(tǒng)PSTN提供的服務也被稱為簡易老式電話業(yè)務（PlanOldTelephoneSystem，POTS）。因為目前存在著大量安裝好的電話線，所以這樣的環(huán)境是最容易滿足的。因此，異步撥號連接也就成為最為方便和普遍的遠程訪問類型。廣域網連接可以采用不同類型的封裝協(xié)議，如HDLC、PPP等。其中，PPP除了提供身份認證功能外，還可以提供其他很多可選項配置，包括鏈路壓縮、多鏈路捆綁、回叫等，因此更具優(yōu)勢。也是本設計所采用的異步連接封裝協(xié)議。

在本設計中采用了可以集成在廣域網接入路由器InternetRotuer中的異步Modem模塊NM-16AM（8PortAnalogModemNetworkModule）提供遠程訪問服務。它可以同時對最多16路撥號用戶提供遠程接入服務。3.6.3配置異步撥號模塊NM-16AM的步驟:配置物理線路的基本參數(shù)對物理線路的配置包括配置線路速度（DTE、DCE之間的速率）、停止位位數(shù)、流控方式、允許呼入連接的協(xié)議類型、允許流量的方向等.InternetRouter(config)#line97InternetRouter(config-line)#modermInOurInternetRouter(config-line)#transportinputallInternetRouter(config-line)#stopbitsInternetRouter(config-line)#speed115200InternetRouter(config-line)#flowcontrolhardware配置接口基本參數(shù)對接口基本參數(shù)的配置包括：接口封