某高校校園網(wǎng)建設(shè)方案設(shè)計(jì).docVIP

蘇州科技學(xué)院二一三 二一四學(xué)年第一學(xué)期計(jì)算機(jī)網(wǎng)絡(luò)大作業(yè)校園網(wǎng)建設(shè)方案設(shè)計(jì)班 級(jí)： 電子Z1111 學(xué) 號(hào)： 姓 名： 二一四年一月目錄201.需求分析1.1網(wǎng)絡(luò)發(fā)展與需求伴隨著計(jì)算機(jī)、通信和多媒體等技術(shù)的發(fā)展，使得網(wǎng)絡(luò)應(yīng)用更加豐富。同時(shí)在多媒體教育和管理等方面的需求，對(duì)校園網(wǎng)絡(luò)也提出進(jìn)一步的要求。因此需要一個(gè)具有先進(jìn)性的、高速的、可擴(kuò)展的校園計(jì)算機(jī)網(wǎng)絡(luò)以適應(yīng)當(dāng)前網(wǎng)絡(luò)技術(shù)發(fā)展的趨勢(shì)并滿足學(xué)校各方面應(yīng)用的需要。作為校園網(wǎng)，需要連接多少個(gè)節(jié)點(diǎn)，怎樣合理使用各種網(wǎng)絡(luò)設(shè)備使分布在不同地理位置的節(jié)點(diǎn)連接到一個(gè)統(tǒng)一的網(wǎng)絡(luò)中，怎樣使整個(gè)網(wǎng)絡(luò)上的節(jié)點(diǎn)相互連通，這些問(wèn)題僅僅是校園網(wǎng)需要解決問(wèn)題中的一部分，更重要的問(wèn)題是如何將這些資源有序地組織起來(lái)，需要實(shí)現(xiàn)什么功能，以滿足現(xiàn)在和未來(lái)在教學(xué)、科研、管理、交流等方面的需求。形成在校園內(nèi)部、校園與外部進(jìn)行信息溝通的體系，建立滿足教學(xué)、科研和管理需求的計(jì)算機(jī)環(huán)境，為學(xué)校各種人員提供充分的網(wǎng)絡(luò)信息服務(wù)，在網(wǎng)絡(luò)環(huán)境中進(jìn)行教學(xué)、研究、收集信息等工作。為了使延安大學(xué)能夠具有良好的網(wǎng)絡(luò)環(huán)境為更多的學(xué)生和老師服務(wù)，設(shè)計(jì)并實(shí)現(xiàn)了延安大學(xué)校園網(wǎng)絡(luò)。校園需要的基本功能有：計(jì)算機(jī)教學(xué)，包括多媒體教學(xué)和遠(yuǎn)程教學(xué)；網(wǎng)絡(luò)下載、網(wǎng)絡(luò)聊天等；電子郵件系統(tǒng)：主要進(jìn)行與同行交往、開展技術(shù)合作、學(xué)術(shù)交流等活動(dòng)；文件傳輸 FTP：主要利用 FTP 服務(wù)獲取重要的科技資料和技術(shù)文擋；INTERNET 服務(wù)：學(xué)?？梢越⒆约旱闹黜?yè)，利用外部網(wǎng)頁(yè)進(jìn)行學(xué)校宣傳，提供各類咨詢信息等，利用內(nèi)部網(wǎng)頁(yè)進(jìn)行管理，例如發(fā)布通知、收集學(xué)生意見和建議等。圖書館的訪問(wèn)系統(tǒng)，用于計(jì)算機(jī)查詢、計(jì)算機(jī)檢索、計(jì)算機(jī)閱讀等；對(duì)帶寬的要求：音頻信號(hào)和視頻信號(hào)對(duì)網(wǎng)絡(luò)帶寬要求最嚴(yán)的數(shù)據(jù)信號(hào)，而且突發(fā)性很大，在網(wǎng)絡(luò)中要求實(shí)時(shí)的和高質(zhì)量的傳輸。當(dāng)網(wǎng)絡(luò)規(guī)模比較大，網(wǎng)絡(luò)用戶比較多，網(wǎng)絡(luò)中的多個(gè)用戶同時(shí)發(fā)起音頻、視頻信號(hào)和其它各種數(shù)據(jù)信號(hào)的傳輸時(shí)，往往會(huì)對(duì)網(wǎng)絡(luò)帶寬帶來(lái)壓力，令網(wǎng)絡(luò)帶寬不堪負(fù)荷，造成網(wǎng)絡(luò)擁塞，嚴(yán)重時(shí)會(huì)導(dǎo)致阻塞，使網(wǎng)絡(luò)通信停頓。為了解決網(wǎng)絡(luò)擁塞問(wèn)題，必須對(duì)各種網(wǎng)絡(luò)技術(shù)進(jìn)行選擇，以符合用戶對(duì)網(wǎng)絡(luò)實(shí)際應(yīng)用所提出的各項(xiàng)要求，以最高的性價(jià)比，實(shí)現(xiàn)網(wǎng)絡(luò)功能。1.2現(xiàn)有基本狀況介紹學(xué)校內(nèi)有如下設(shè)施以及具體狀況：大部門所屬部門數(shù)計(jì)算機(jī)數(shù)備注機(jī)關(guān)部門10每個(gè)部門不超過(guò)10臺(tái)計(jì)算機(jī)所有部門之間的距離小于100米院系10每個(gè)院系不超過(guò)240臺(tái)計(jì)算機(jī)機(jī)關(guān)辦公樓與各院系建筑物之間的距離均在500-1500米范圍之內(nèi)圖書館2電子閱覽室有300臺(tái)計(jì)算機(jī)，另外還有一個(gè)主控室，50臺(tái)機(jī)計(jì)算機(jī)到設(shè)備間距離小于100米圖書館、院系部門到計(jì)算機(jī)網(wǎng)絡(luò)中心之間的距離大于500米總計(jì)3000臺(tái)，三個(gè)設(shè)備間和一個(gè)網(wǎng)絡(luò)中心2.校園網(wǎng)絡(luò)總體設(shè)計(jì)思路2.1模塊化設(shè)計(jì)所謂模塊化就是將把整個(gè)網(wǎng)絡(luò)按功能和安全需求分為若干個(gè)組件，這些組件之間有一定的安全邊界，組件內(nèi)部有完整的網(wǎng)絡(luò)設(shè)計(jì)。模塊化設(shè)計(jì)的好處在于：1. 解決各網(wǎng)絡(luò)之間的沖突問(wèn)題；2. 簡(jiǎn)化安裝和后臺(tái)設(shè)備管理；3. 易于故障檢測(cè)和分離問(wèn)題；4. 易于執(zhí)行不同類型的服務(wù)和安全方針；5. 易于擴(kuò)展或代替原來(lái)的技術(shù)。一個(gè)完整的模塊化設(shè)計(jì)如下圖所示：2.2層次化設(shè)計(jì)層次化網(wǎng)絡(luò)設(shè)計(jì)模型對(duì)于大型網(wǎng)絡(luò)，可以采用通用“核心層-匯聚層-接入層”層次化網(wǎng)絡(luò)設(shè)計(jì)模型。2.2.1核心層核心層的主要提供不同網(wǎng)絡(luò)模塊之間優(yōu)化傳輸服務(wù)，將分組盡可能快地從一個(gè)網(wǎng)絡(luò)傳到另一個(gè)網(wǎng)絡(luò)，通常要保證核心層具有很高的可靠性、最佳的網(wǎng)絡(luò)性能。匯聚層到核心層要具備冗余傳輸鏈路，任何單條鏈路斷連不影響網(wǎng)絡(luò)的可用性。作為所有網(wǎng)絡(luò)流量的傳輸中樞，核心層除了要求高性能交換設(shè)備和高帶寬傳輸鏈路外，還需考慮選用支持負(fù)載均衡或負(fù)載分擔(dān)特性的設(shè)備實(shí)現(xiàn)負(fù)荷均衡。此外，為了避免網(wǎng)元故障對(duì)網(wǎng)絡(luò)造成沖擊，需要網(wǎng)絡(luò)采用支持快速聚合的特性，一旦主用通路斷開，可以很快的切換到備用通路。2.2.2匯聚層匯聚層顧名思義就是作為訪問(wèn)層到骨干層的匯聚，通常為訪問(wèn)層與骨干層實(shí)現(xiàn)基于策略的網(wǎng)絡(luò)間連接。匯聚層主要由三層交換機(jī)組成，提供對(duì)網(wǎng)絡(luò)流量模式控制、訪問(wèn)控制服務(wù)、QoS、定義路由路徑度量（path metric）和路由協(xié)議網(wǎng)絡(luò)通告控制。2.2.3接入層接入層作為各模塊到交換骨干的連接，根據(jù)不同模塊進(jìn)行邏輯子網(wǎng)劃分，并通過(guò) VLAN技術(shù)實(shí)現(xiàn)子網(wǎng)之間的隔離。訪問(wèn)層主要功能在于隔離模塊間的廣播流量，避免不同模塊之間相互影響。訪問(wèn)層主要通過(guò)二層交換機(jī)組成。3.網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)目前校園網(wǎng)正在計(jì)劃組建階段，按照目前學(xué)校的基本情況，對(duì)學(xué)校園網(wǎng)的組建可以以如下方案進(jìn)行：（1）校園網(wǎng)將以千兆以太網(wǎng)的星型拓?fù)浣Y(jié)構(gòu)組建主干網(wǎng)絡(luò)，各個(gè)主要建筑之間以千兆光纖連接，連接到行政部門3樓網(wǎng)絡(luò)中心，傳輸速率1000Mbps。（2）各個(gè)主要建筑內(nèi)部組建子網(wǎng)，子網(wǎng)劃分并編號(hào)，以便將來(lái)的管理，另外需要預(yù)留一些網(wǎng)絡(luò)號(hào)，以便未來(lái)一段時(shí)間內(nèi)的擴(kuò)建網(wǎng)絡(luò)并便于管理未來(lái)組建的網(wǎng)絡(luò)。（3）按照各個(gè)建筑內(nèi)的設(shè)施來(lái)組建網(wǎng)絡(luò)，以便達(dá)到組建網(wǎng)絡(luò)的需求，并且能夠節(jié)省成本。（4）各個(gè)主要建筑內(nèi)部的網(wǎng)絡(luò)用快速以太網(wǎng)的標(biāo)準(zhǔn)建設(shè)，使網(wǎng)內(nèi)達(dá)到100Mbps的傳輸速率。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下：在校園網(wǎng)中，根據(jù)學(xué)校的具體情況，得出了這個(gè)設(shè)計(jì)圖。從圖中可以看到，行政部門、圖書館、院系之間以1000Mbps的速率與核心交換機(jī)相連，組成主干網(wǎng)絡(luò)，考慮到各主要建筑到網(wǎng)絡(luò)中心的距離以及傳輸介質(zhì)的實(shí)際功能，在主干網(wǎng)中，教學(xué)樓、辦公樓和圖書館選用1000Base-LX標(biāo)準(zhǔn)的單模光纖作為傳輸介質(zhì)，并且該光纖對(duì)應(yīng)于802.3z標(biāo)準(zhǔn)，既可以使用單模光纖也可以使用多模光纖。其中使用多模光纖的最大傳輸距離為550m，使用單模光纖的最大傳輸距離為70km。1000Base-LX采用8B/10B編碼方式，最大傳輸距離為5km，選用該介質(zhì)完全符合學(xué)校計(jì)算機(jī)中心與每個(gè)建筑物之間的距離超過(guò)500-1500m的實(shí)際情況。另外，每個(gè)主要建筑內(nèi)的設(shè)備間交換機(jī)需要支持光纜接口以及1000Mbps的傳輸要求。在行政部門里，每個(gè)部門里的計(jì)算機(jī)臺(tái)數(shù)不超過(guò)20臺(tái)，因此為了節(jié)約成本，只需在設(shè)備間每層安裝一個(gè)二層交換機(jī)，再將每個(gè)部門的20端口交換機(jī)連接到設(shè)備間交換機(jī)就可以了，這樣可以減少許多開銷。傳輸介質(zhì)選用100Base-TX標(biāo)準(zhǔn)的5類非屏蔽雙絞線（最大傳輸距離是100米）將部門交換機(jī)連接到設(shè)備間交換機(jī)。在院系內(nèi)，由于每個(gè)院系的計(jì)算機(jī)臺(tái)數(shù)不超過(guò)240臺(tái)，因此在每個(gè)院系放置一臺(tái)交換機(jī)，將每層的計(jì)算機(jī)連接到該層的交換機(jī)后，再連到設(shè)備間交換機(jī)，計(jì)算機(jī)連接到層交換機(jī)和層交換機(jī)連接到設(shè)備間交換機(jī)都可以選用100Base-TX標(biāo)準(zhǔn)的5類非屏蔽雙絞線連接。在圖書館內(nèi)，由于電子閱覽室300臺(tái)機(jī)子，為了使布線更合理，可以每個(gè)機(jī)房一臺(tái)交換機(jī)，再由交換機(jī)連接到設(shè)備間交換機(jī)，計(jì)算機(jī)連接到每個(gè)機(jī)房交換機(jī)，然后連接到設(shè)備間交換機(jī)都可以選用100Base-TX標(biāo)準(zhǔn)的5類非屏蔽雙絞線連接。還有圖書館借閱管理系統(tǒng)的50臺(tái)機(jī)子，通過(guò)兩臺(tái)交換機(jī)連接到設(shè)備間交換機(jī)，傳輸介質(zhì)還是選用100Base-TX標(biāo)準(zhǔn)的5類非屏蔽雙絞線。3.2子網(wǎng)規(guī)劃校園網(wǎng)中所有的主機(jī)數(shù)不超過(guò)3000臺(tái)。計(jì)算機(jī)的基本地域分配是：行政部門200臺(tái)、所有院系2400臺(tái)、圖書館350臺(tái)。而一個(gè)C類子網(wǎng)有254個(gè)可以讓用戶正常使用的IP地址，所以申請(qǐng)2個(gè)C類IP地址即可滿足這個(gè)校園網(wǎng)需求，然后再將申請(qǐng)到得2個(gè)子網(wǎng)C類IP地址再分配成若干子網(wǎng)，滿足各個(gè)網(wǎng)絡(luò)的要求。具體地址分配如下：1）行政部門（200臺(tái)），分配一個(gè)C類子網(wǎng)。對(duì)于下屬的10個(gè)部門再進(jìn)行子網(wǎng)分配，由于每個(gè)部門的計(jì)算機(jī)臺(tái)數(shù)不超過(guò)20臺(tái)，所以每個(gè)部門分配6個(gè)IP地址。2）圖書館（350臺(tái)），分配一個(gè)C類子網(wǎng)。然后將此子網(wǎng)再劃分成8個(gè)小的子網(wǎng)，提供給電子閱覽室6個(gè)，主控室1個(gè)，預(yù)留一個(gè)。3）所有院系（2400臺(tái)），分配一個(gè)完整C類IP地址。對(duì)于10個(gè)獨(dú)立的院系，每個(gè)院系先分配10個(gè)子網(wǎng)，每個(gè)子網(wǎng)有14個(gè)IP地址供自己自由分配。還有多余的IP地址提供給服務(wù)器、交換機(jī)、防火墻等。假設(shè)學(xué)校申請(qǐng)的C類子網(wǎng)的IP地址為和地理位置子網(wǎng)編號(hào)IP地址范圍備注行政部門校辦行政樓4樓 預(yù)留IP地址1126人事處行政樓4樓 4劃分之處的子網(wǎng)掩碼為48/29財(cái)務(wù)處行政樓3樓6 7 2 學(xué)生處行政樓3樓4 50教務(wù)處行政樓2樓238科技處行政樓2樓016設(shè)備處行政樓2樓894黨委行政樓1樓672團(tuán)委行政樓1樓450考務(wù)辦行政樓1樓238圖書館圖書館主控室28 29預(yù)留IP地址41254圖書館閱覽室444558劃分之處的子網(wǎng)掩碼為40/28606174 76 7790 929306080922242538下屬院系院系14劃分之處的子網(wǎng)掩碼為40/28院系2670院系3236院系4892院系5458院系6014院系76710院系8121326院系9282942院系10444558網(wǎng)絡(luò)中心行政樓3樓61206服務(wù)器、交換機(jī)、防火墻等其他設(shè)備網(wǎng)絡(luò)設(shè)備092543.3網(wǎng)絡(luò)設(shè)備通過(guò)對(duì)學(xué)?，F(xiàn)狀的具體情況本方案所作出的設(shè)備選取方案如下：1、位于行政樓中心的計(jì)算機(jī)中心與各職能部門和每個(gè)院系設(shè)備間選取支持1000Mbps光纜傳輸?shù)慕粨Q機(jī)各一臺(tái)；2、院系部門使用一臺(tái)三層交換機(jī)；圖書館使用一臺(tái)三層交換機(jī)；3、圖書館6個(gè)閱覽室，每個(gè)閱覽室2臺(tái)25口以上的交換機(jī)；控制室2臺(tái)25口以上的交換機(jī)；4、下屬院系中，每個(gè)每個(gè)院系10臺(tái)26口交換機(jī)；5、行政樓3樓放置一臺(tái)二層的企業(yè)級(jí)交換機(jī)連接各行政樓的交換機(jī)，將各個(gè)行政樓的網(wǎng)線接到該交換機(jī)上，且該交換機(jī)支持1000Mbps傳輸；6、一臺(tái)具至少三層的高性能的企業(yè)級(jí)中心交換機(jī)； 7、一臺(tái)專業(yè)防火墻；8、6臺(tái)服務(wù)器分別負(fù)責(zé)不同的服務(wù)。類型品牌型號(hào)功能及其他數(shù)量服務(wù)器IBMBladeCenter HS22刀片式 、Intel Xeon 5500 2.93GHz6防火墻JuniperSRX240H支持UTM:IPS、反病毒、反垃圾郵件、網(wǎng)頁(yè)過(guò)濾1核心交換機(jī)華為S5700-24TP-SI(DC)24口，傳輸速率10Mbps/100Mbps/1000Mbps 背板帶寬 256 Gbps地址表大小 16K1三層交換機(jī)思科WS-C3560-24TS-S24口、RJ4510/100BASE-TX端口,10/100Base-T端口,10/100/1000BASE-T端口,3二層交換機(jī)H3CS152626口端口描述：24個(gè)10/100Base-TX自適應(yīng) 以太網(wǎng)端口，2個(gè)千兆光電復(fù)用端口控制端口：1個(gè)Console接口 1243.4主要傳輸介質(zhì)介紹5類非屏蔽雙絞線該類電纜增加了繞線密度，外套一種高質(zhì)量的絕緣材料，傳輸頻率為100MHz，用于語(yǔ)音傳輸和最高傳輸速率為100Mbps的數(shù)據(jù)傳輸，主要用于100base-T和10base-T網(wǎng)絡(luò)，這是最常用的以太網(wǎng)電纜。1000Base-LX所使用的光纖主要有：62.5nm多模光纖、50nm多模光纖和9nm單模光纖。其中使用多模光纖的最大傳輸距離為550m，使用單模光纖的最大傳輸距離為3千米。1000base-LX采用8B/10B編碼方式。1000Base-LX使用長(zhǎng)波激光信號(hào)源，波長(zhǎng)為1270nm-1355nm。100BaseT4 的定義區(qū)分了物理拓?fù)浣Y(jié)構(gòu)和邏輯拓?fù)浣Y(jié)構(gòu)。使用所有四對(duì)電纜，可以實(shí)現(xiàn) 100 MBit/s 的通信速度，同時(shí)仍然保持 25 MHz 的第 3 類帶寬。使用 100BaseT4，每個(gè)數(shù)據(jù)方向始終同時(shí)使用 3 對(duì)電纜。3.5核心交換機(jī)介紹 華為S5700-24TP-SI(DC) 基本參數(shù)產(chǎn)品類型企業(yè)級(jí)交換機(jī)傳輸速率（Mbps）10Mbps/100Mbps/1000Mbps交換方式存儲(chǔ)-轉(zhuǎn)發(fā)背板帶寬256（Gbps）地址表大小16K產(chǎn)品亮點(diǎn)支持USB口網(wǎng)管支持支持堆疊，支持MFF，支持虛擬電纜檢測(cè)(Virtual Cable Test)，支持端口鏡像和RSPAN(遠(yuǎn)程端口鏡像)，支持Telnet遠(yuǎn)程配置、維護(hù)，支持SNMPv1/v2/v3，支持RMON，支持網(wǎng)管系統(tǒng)、支持WEB網(wǎng)管特性，支持集群管理HGMP，支持系統(tǒng)日志、分級(jí)告警，支持GVRP協(xié)議，支持MUX VLAN功能端口數(shù)24端口類型非模塊化電壓(V)100-240V AC，50/60Hz4.網(wǎng)絡(luò)實(shí)施配置過(guò)程及命令4.1創(chuàng)建vlansw1(config)#vlan 2 sw1(config-vlan)#name classroom1 sw1(config-vlan)#exitsw1(config)#vlan 3sw1(config-vlan)#exit4.2接口劃入vlansw1(config)#interface fastEthernet 0/1 進(jìn)入接口sw1(config-if)#switchport mode access 先定義接口模式為接入sw1(config-if)#switchport access vlan 2 再接入vlan2中同時(shí)管理多個(gè)接口sw1(config)#interface range fastEthernet 0/3 -4 , fastEthernet 0/9 -12sw1(config-if-range)#switchport mode access sw1(config-if-range)#switchport access vlan 3sw1(config-if-range)#exit 4.3 vlan創(chuàng)建子接口Router(config)#interface fastEthernet 0/0 先開啟物理接口Router(config-if)#no shutdownRouter(config)#interface fastEthernet 0/0.1Router(config-subif)#encapsulation dot1Q 2Router(config-subif)#ip address 54 Router(config-subif)#exitRouter(config)#interface fastEthernet 0/0.2Router(config-subif)#encapsulation dot1Q 3Router(config-subif)#ip address 54 4.4配置DHCP server配置：在一臺(tái)設(shè)備上可以創(chuàng)建多個(gè)dhcp池塘，但一個(gè)池塘只能對(duì)應(yīng)一個(gè)廣播域；Router(config)#ip dhcp pool weisuo 創(chuàng)建名為weisuo的dhcp池塘；Router(dhcp-config)#Router(dhcp-config)#network 關(guān)聯(lián)接口，定義地址范圍；Router(dhcp-config)#default-router 網(wǎng)關(guān)地址Router(dhcp-config)#dns-server 14 DNS 服務(wù)器地址Router(config)#ip dhcp excluded-address 53 排除不用下放的地址 -253Router#show running-config 查看設(shè)備的運(yùn)行文檔Router(config)#hostname r1 修改默認(rèn)的主機(jī)名r1(config)#Switch(config)#no ip domain-lookup 關(guān)閉域名解析 4.5 定義ACL-訪問(wèn)控制列表寫法：1、編號(hào) 199 標(biāo)準(zhǔn)列表 100-199 擴(kuò)展列表刪除一條整表消失；2、命名任意刪除，使用序號(hào)后還可以插入配置：一、標(biāo)準(zhǔn)的ACL -由于僅關(guān)注源ip地址，故在調(diào)用時(shí)盡量靠近目標(biāo)地址，避免誤刪寫法：【1】編號(hào)r2(config)#access-list 1 deny host 一個(gè)ipr2(config)#access-list 1 deny 55 一個(gè)范圍 反掩碼r2(config)#access-list 1 permit any 允許匹配r2(config)#interface fastEthernet 1/0r2(config-if)#ip access-group 1 out r2(config-if)#ip access-group 1 ?in inbound packetsout outbound packets【2】命名r2(config)#ip access-list standard wangcair2(config-std-nacl)#deny host r2(config-std-nacl)#permit anyr2(config)#interface fastEthernet 1/0r2(config-if)#ip access-group wangcai out二、擴(kuò)展ACL編號(hào)：r1(config)#access-list 100 deny ip host host r1(config)#access-list 100 deny ip 55 55r1(config)#access-list 100 deny ip host 55命名：r1(config)#ip access-list extended pc0-pc3r1(config-ext-nacl)#deny ip host host r1(config-ext-nacl)#permit ip any anyr1(config-ext-nacl)#exitr1(config)#interface fastEthernet 0/1.1r1(config-subif)#ip access-group pc0-pc3 in使用擴(kuò)展ACL，同時(shí)關(guān)注目標(biāo)端口號(hào)：r1(config-ext-nacl)#deny tcp host host eq 23r1(config-ext-nacl)#deny icmp host host telnet功能：PC可以和設(shè)備間通信，被遠(yuǎn)程登錄設(shè)備開啟登錄功能；r2(config)#username ccna privilege 15 password cisco123r2(config)#line vty 0 r2(config-line)#login local 4.6 NAT網(wǎng)絡(luò)地址轉(zhuǎn)換-私有地址和公有地址的轉(zhuǎn)換分類：靜態(tài)、動(dòng)態(tài)分類：一對(duì)一（靜態(tài)）；一對(duì)多（動(dòng)態(tài)）；多對(duì)多（及可靜態(tài)、也可動(dòng)態(tài)）一對(duì)一：固定將一個(gè)ip地址永久轉(zhuǎn)換為另一個(gè)IP地址r1(config)#ip nat inside source static 本地 全局切記：一旦配置了NAT協(xié)議后，就必須定義邊界路由器上各個(gè)接口的方向；r1(config)#interface fastEthernet 1/0r1(config-if)#ip nat outside r1(config-if)#exitr1(config)#interface fastEthernet 0/0r1(config-if)#ip nat inside r1(config-if)#exitr1(config)#interface fastEthernet 0/1r1(config-if)#ip nat inside一對(duì)多：基于端口號(hào)來(lái)區(qū)分不同的源IP地址；-PAT端口地址轉(zhuǎn)換r1(config)#access-list 1 permit 55r1(config)#access-list 1 permit 55r1(config)#ip nat inside source list 1 interface fastEthernet 1/0 本地 全局4.7網(wǎng)絡(luò)三層架構(gòu)接入層：提供端口密度；最近的用戶接入（有線、AP）；匯聚層（分布層）：數(shù)據(jù)流量的聚合；一般使用多層交換機(jī)核心層：高速轉(zhuǎn)發(fā)，NAT三層架構(gòu)的核心技術(shù)為冗余-線路、設(shè)備、電源（UPS）、網(wǎng)關(guān)使用的部分技術(shù)：VLAN/TRUNK/STP/CHNNEL/HSRP/SVI；管理vlan：switch需要被遠(yuǎn)程登錄，但二層設(shè)備無(wú)法配置IP地址；故創(chuàng)建SVI虛擬接口來(lái)配置IP地址； 二層交換機(jī)均存在一個(gè)SVI，該SVI所在VLAN被稱為管理vlan；默認(rèn)處于vlan1；Switch(config)#interface vlan 1Switch(config-if)#ip address Switch(config-if)#no shutdown將該SVI轉(zhuǎn)移到其他的vlan中，由于二層交換機(jī)僅存在一個(gè)SVI，故在開啟新的接口時(shí)，舊接口自動(dòng)被關(guān)閉；Switch(config)#interface vlan 2Switch(config-if)#ip address Switch(config-if)#no shutdownSwitch(config)#ip default-gateway 50 定義交換機(jī)的網(wǎng)關(guān)地址；STP：生成樹協(xié)議三層架構(gòu)-冗余-線路冗余-二層橋接環(huán)路導(dǎo)致問(wèn)題：1、廣播風(fēng)暴2、MAC表翻滾3、同數(shù)據(jù)幀的無(wú)限拷貝以上三個(gè)現(xiàn)象最終導(dǎo)致設(shè)備過(guò)熱斷電保護(hù)；邏輯阻塞部分接口，致使從源到目標(biāo)永遠(yuǎn)均存在一條路徑；當(dāng)最佳路徑故障時(shí)，阻塞端口自動(dòng)的活動(dòng)，來(lái)備份鏈路；工作過(guò)程：每臺(tái)設(shè)備默認(rèn)均認(rèn)為本地為root（老大），發(fā)出BPDU，每臺(tái)設(shè)備收集到全網(wǎng)所有設(shè)備的BPDU后，進(jìn)行選舉-根網(wǎng)橋、根端口、指定端口、非指定端口；之后，僅root周期2s發(fā)送BPDU；-保活802.1D 最原始的STP協(xié)議：根網(wǎng)橋、根端口、指定端口、非指定端口根網(wǎng)橋-每顆生成樹實(shí)例中有且僅有一臺(tái)；BPDU中存在BID橋ID 比較BID=優(yōu)先級(jí)+MAC地址 優(yōu)先級(jí)0-65535 默認(rèn)32768 MAC地址為SVI接口地址 先比較優(yōu)先級(jí)數(shù)值小優(yōu)；若優(yōu)先級(jí)一致，比較MAC，數(shù)值小優(yōu)；根端口-在每臺(tái)非根網(wǎng)橋上有且僅有一個(gè)；用于接收來(lái)自根網(wǎng)橋的BPDU，同時(shí)轉(zhuǎn)發(fā)用戶流量；離根網(wǎng)橋最近的端口；從根網(wǎng)橋發(fā)出BPDU后，BPDU會(huì)在每經(jīng)過(guò)一段鏈路疊加該鏈路的cost值-開銷值PID-端口ID-優(yōu)先級(jí)+接口編號(hào) 優(yōu)先級(jí)0255 默認(rèn)128 1、比較從根網(wǎng)橋發(fā)出BPUD基于該接口進(jìn)入時(shí)的cost最小最優(yōu)入方向 2、當(dāng)入向cost值相同時(shí)，比較該接口對(duì)端的交換機(jī)的BID，小優(yōu) 3、對(duì)端設(shè)備BID相同，比較該接口對(duì)端的PID 4、對(duì)端PID相同，比較本地PID小優(yōu)指定端口-在每根物理鏈路上有且僅有一個(gè)，用于轉(zhuǎn)發(fā)BPDU，同時(shí)轉(zhuǎn)發(fā)用戶流量； 根網(wǎng)橋上所有端口均為指定端口； 1、比較從根網(wǎng)橋發(fā)出BPDU，經(jīng)過(guò)該接口到達(dá)該鏈路時(shí)的cost-出方向 2、若出方向cost值相同，比較本地BID，小優(yōu) 3、本地BID相同，比較本地的PID，小優(yōu) 4、本地PID相同，直接阻塞接口非指定端口（阻塞端口）：當(dāng)以上所有角色全部選舉完成后，剩余沒有任何角色的端口為非指定端口； 邏輯阻塞，并未被關(guān)閉，可以接收到流量，只是不轉(zhuǎn)發(fā)；Cost值：10M =100100M=191000M=410000M=2端口狀態(tài)：1、down 通電后，一旦發(fā)出PBDU，進(jìn)入下一狀態(tài)2、偵聽（橙色）-固定15s；所有交換機(jī)收發(fā)BPDU，完成各種選舉； 若選舉角色為根端口、指定端口進(jìn)入下一狀態(tài)，而非指定端口直接進(jìn)入阻塞狀態(tài)；3、學(xué)習(xí)（橙色）-固定15s；根端口、指定端可以轉(zhuǎn)發(fā)用戶的流量，學(xué)習(xí)這些接口下放PC的MAC，生成MAC地址表；4、轉(zhuǎn)發(fā)（綠色）-可以轉(zhuǎn)發(fā)用戶流量5、阻塞（橙色）切記：在收斂過(guò)程中，所有的接口均不得轉(zhuǎn)發(fā)用戶流量；缺點(diǎn)：1、收斂速度慢2、鏈路利用率低PVST+：cisco私有；基于每個(gè)vlan一顆樹；可以進(jìn)行部分的加速； 在每個(gè)vlan中發(fā)出該vlan專用的BPDU，選擇各種角色；將不同vlan的根網(wǎng)橋放置于不同交換機(jī)上，可以實(shí)現(xiàn)分流，提高鏈路利用率的效果；不同vlan發(fā)出的BPDU中網(wǎng)橋優(yōu)先級(jí)為32768+VID；人為僅能修改32768部分，且必須以4096為倍數(shù)修改；sw3(config)#spanning-tree vlan 1 root secondary 本地成為該vlan的備份根sw3(config)#spanning-tree vlan 2 root primary 主根該為備份根，本地自動(dòng)下調(diào)1倍4096，主根下調(diào)2倍；sw2(config)#int f0/2sw2(config-if)#spanning-tree portfast 端口加速，用于連接PC的接口，跳過(guò)生成樹選舉；不能用于SW之間互聯(lián)的接口；Channel通道：交換機(jī)與交換機(jī)之間；-邏輯的將多個(gè)相同帶寬及相同雙工模式的多個(gè)同一交換機(jī)上接口綁定為一個(gè)通道，實(shí)現(xiàn)帶寬疊加的作用；這些物理接口必須處于相同的vlan中，或者均為trunk干道；sw1(config)#interface range gigabitEthernet 0/1 -2sw1(config-if-range)#channel-group 1 mode