校園網(wǎng)網(wǎng)絡(luò)工程實(shí)施方案.doc

目 錄第一章、總體設(shè)計(jì)21.1 用戶需求21.2 實(shí)施的目的31.3 系統(tǒng)設(shè)計(jì)原則31.4 設(shè)計(jì)依據(jù)和規(guī)范41.5 網(wǎng)絡(luò)設(shè)備服務(wù)卡41.6 系統(tǒng)軟件登記表4第二章、杭電網(wǎng)絡(luò)工程施工計(jì)劃52.1 主要設(shè)備清單52.2 施工計(jì)劃表6第三章、杭電網(wǎng)絡(luò)工程施工過(guò)程73.1 網(wǎng)絡(luò)設(shè)備詳細(xì)信息和IP地址分配表73.2 VLAN間訪問規(guī)則83.3 施工流程83.4 施工過(guò)程93.4.1 Catalyst 6506的安裝過(guò)程93.4.2 配置Catalyst 6506的系統(tǒng)參數(shù)93.4.3 配置Catalyst 6506的VLAN103.4.4 配置配置6509交換機(jī)的三層交換模塊153.4.5 配置6506交換機(jī)VLAN間的訪問規(guī)則153.4.6 配置6506交換機(jī)的CDP和SNMP153.4.7 配置6506交換機(jī)的STP163.4.8 配置Catalyst 3500的安裝過(guò)程163.4.9 配置Cisco 防火墻PIX 520的安裝過(guò)程183.4.10 配置CACHE ENGINE 550的安裝過(guò)程193.4.11 配置Cisco3640的安裝過(guò)程223.4.12 配置Cisco Works網(wǎng)管軟件243.5 設(shè)備模擬連接調(diào)試階段263.6 設(shè)備安裝階段263.7 系統(tǒng)連調(diào)階段273.8 INTERNET連接27第四章、具體設(shè)備配置實(shí)例294.1 Catalyst 6506294.2 session 15344.3 二級(jí)交換機(jī)Catalyst 3500384.4 防火墻PIX520414.5 CACHE ENGINE 550444.6 Cisco3640路由器45第五章、工程總結(jié)47第一章、總體設(shè)計(jì) 1.1 用戶需求 此網(wǎng)絡(luò)工程所要達(dá)到的主要目標(biāo)如下： (1)支持全?，F(xiàn)有的計(jì)算機(jī)，連接校園內(nèi)實(shí)驗(yàn)大樓、行政大樓、電教大樓、圖書館和成教大樓等，將本?，F(xiàn)有的及將來(lái)要配置的各種PC、工作站和終端通過(guò)高性能的網(wǎng)絡(luò)設(shè)備連接起來(lái)，組成分布式、開放性的網(wǎng)絡(luò)環(huán)境，以提高教育科研水平。(2)充分利用原有的主干光纜和樓內(nèi)布線系統(tǒng)，將目前的百兆主干快速以太網(wǎng)升級(jí)到千兆主干、百兆交換到桌面的高速交換式以太網(wǎng)。同時(shí)，保護(hù)原有網(wǎng)絡(luò)設(shè)備投資，將目前運(yùn)行的IBM公司系列網(wǎng)絡(luò)產(chǎn)品有效地集成到升級(jí)系統(tǒng)中。(3)在Internet互連網(wǎng)絡(luò)系統(tǒng)平臺(tái)上，以數(shù)據(jù)庫(kù)、Web、電子郵件、為基礎(chǔ)的系統(tǒng)；并構(gòu)建內(nèi)部Intranet系統(tǒng)，與已有系統(tǒng)實(shí)現(xiàn)互聯(lián)。(4)網(wǎng)絡(luò)與數(shù)據(jù)安全是目前計(jì)算機(jī)信息技術(shù)所面臨的重要挑戰(zhàn)，解決安全問題的技術(shù)與方案有很多，通過(guò)防火墻、web cache服務(wù)器建設(shè)確定完整統(tǒng)一的安全策略（Security Policy）也是校園網(wǎng)可靠運(yùn)行的保證。(5)考慮與其它學(xué)校、科學(xué)教育網(wǎng)絡(luò)相連，可通過(guò)CERNET與國(guó)內(nèi)外其它網(wǎng)絡(luò)相連接、實(shí)現(xiàn)遠(yuǎn)程教學(xué)。(6)網(wǎng)絡(luò)具有友好、一致的用戶界面和豐富的管理應(yīng)用系統(tǒng)。(7) 在網(wǎng)絡(luò)升級(jí)基礎(chǔ)上規(guī)劃相應(yīng)的應(yīng)用系統(tǒng)，具體包括：學(xué)校網(wǎng)站的建設(shè)OA（辦公管理）系統(tǒng)建設(shè)：電子郵件、公文處理、檔案管理、會(huì)議管理、電子公告、電子論壇、備忘信息等多媒體輔助教學(xué)系統(tǒng)連接原有圖書管理系統(tǒng) VOD視頻點(diǎn)播及視頻會(huì)議系統(tǒng) 1.2 實(shí)施的目的 分析用戶需求，可知該網(wǎng)絡(luò)工程所含的內(nèi)容包括： (1) 運(yùn)用虛擬網(wǎng)技術(shù)，建設(shè)杭電校園千兆主干網(wǎng),使其覆蓋全校各主要建筑物，將學(xué)校內(nèi)各種PC、LAN連接為一個(gè)結(jié)構(gòu)合理、內(nèi)外連通，并支持多種協(xié)議和異種機(jī)的園區(qū)網(wǎng)。 (2) 通過(guò)在信息中心代理服務(wù)器的設(shè)立與科教網(wǎng)相連并可與Internet互連。 (3) 新校區(qū)的由于其與科教網(wǎng)相連的特殊性，因此可分別設(shè)立獨(dú)立的三個(gè)代理服務(wù)器與Internet互連。 (4) 根據(jù)科學(xué)的安全策略，通過(guò)Cisco PIX520防火墻配置，從而有效的隔絕內(nèi)網(wǎng)和外網(wǎng)，但同時(shí)又能實(shí)現(xiàn)公網(wǎng)對(duì)杭電校內(nèi)網(wǎng)站和對(duì)外開放資源的訪問。(5) 通過(guò)Cache Egeine 505與Cisco 6506之間WCCP配置建立高速的Internet訪問通道。(6) 通過(guò)CiscoWorks網(wǎng)管軟件實(shí)施有效的網(wǎng)絡(luò)管理。 1.3 系統(tǒng)設(shè)計(jì)原則連續(xù)性原則：充分利用現(xiàn)有資源（包括現(xiàn)有的網(wǎng)絡(luò)、計(jì)算機(jī)和應(yīng)用資源），使系統(tǒng)既能與前期系統(tǒng)相銜接，同時(shí)具有一定的可擴(kuò)充性，為后期工作打下基礎(chǔ)。實(shí)用性原則：在保證使用要求和技術(shù)可行性的前提下，要選擇易于操作、管理、見效的設(shè)計(jì)和設(shè)備。安全保密原則：設(shè)計(jì)中應(yīng)注意各個(gè)環(huán)節(jié)的安全保密，統(tǒng)籌規(guī)劃，不可偏廢。信息共享原則：設(shè)計(jì)必須考慮信息在一定的條件下、一定范圍內(nèi)的共享。先進(jìn)性原則：系統(tǒng)建設(shè)要與當(dāng)今先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展技術(shù)相適應(yīng)，保證系統(tǒng)的先進(jìn)性、開放性、高可靠性和可擴(kuò)展性的有機(jī)結(jié)合。 1.4 設(shè)計(jì)依據(jù)和規(guī)范主機(jī)和網(wǎng)絡(luò)設(shè)備的選型符合下列國(guó)家和組織的技術(shù)標(biāo)準(zhǔn)和規(guī)范：GB：中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)ISO：國(guó)際標(biāo)準(zhǔn)組織ITU-T：國(guó)際電信聯(lián)盟IEEE：國(guó)際電氣與電子工程師協(xié)會(huì)EIA：電氣工業(yè)協(xié)會(huì)IEC：國(guó)際電工協(xié)會(huì) 1.5 網(wǎng)絡(luò)設(shè)備服務(wù)卡（見附件） 1.6 系統(tǒng)軟件登記表（見附件）第二章、杭電網(wǎng)絡(luò)工程施工計(jì)劃 2.1 主要設(shè)備清單杭電校園網(wǎng)升級(jí)改造工程網(wǎng)絡(luò)主干設(shè)備清單：No.Product No.DescriptionQty1Ws-c6506Catalyst 6506 chassis12WS-CAC-1300Catalyst 6506 Chassis w/ 1300W AC Power Supply13WS-X6K-S2-MSFC2Catalyst 6000 Supervisor Engine2-A, 2GE, plus MSFC-2 & PFC14WS-X6408-GBICCatalyst 6000 8-port Gigabit Ethernet Module (Req. GBICs)15WS-G54841000BASE-SX Short Wavelength GBIC (Multimode only)66WS-X6348-RJ-45Catalyst 6000 48-port 10/100 RJ-45 Module17WS-C6500-SFMCatalyst 6500 Switch Fabric Model18WS-C3524-XL-ENCatalyst 3524 XL Enterprise Edition39WS-C3548-XL-ENCatalyst 3548 XL Enterprise Edition210WS-G54841000BASE-SX Short Wavelength GBIC (Multimode only)711CISCO3640Cisco 3600 4-slot Modular Router-AC with IP Software112NM-2FE2W2 10/100 Ethernet 2 WAN Card Slot Network Module113PIX-520-1K-CHMidrange PIX Firewall 520, two 10/100 Enet NICs114CE-550Cache Engine 550115CWW-5.0Cisco works for windows 6.0116JSX-FM-2WIBM8274 2 Port Gigabit Ethernet Module1Total 2.2 施工計(jì)劃表系統(tǒng)設(shè)備列表 Cisco 6506主交換機(jī) Cisco 3524二級(jí)換機(jī) Cisco 3548二級(jí)換機(jī) Cisco PIX520防火墻 Cache Engine 550 Cisco 3640路由器環(huán)境檢查（10分鐘） UPS 電源質(zhì)量 溫度和濕度 接地系統(tǒng)電阻要求設(shè)備開包（60分鐘）主交換設(shè)備二級(jí)交換設(shè)路由器防火墻電源線纜系統(tǒng)上電（20分鐘）cisco6506主機(jī)系統(tǒng)（10分鐘）各CISCO3500系列主機(jī)（60分鐘）系統(tǒng)上電正常以及上電失敗的相應(yīng)動(dòng)作對(duì)照系統(tǒng)訂單檢查系統(tǒng)的功能部件（30分鐘）中央處理器內(nèi)存磁盤（內(nèi)置以及外置）設(shè)備/適配器操作系統(tǒng)安裝（150分鐘*2）升級(jí)Cisco3640 IOS操作系統(tǒng)的（150分鐘）安裝在線幫助，包括Info，電子書籍，配置書籍搜索程序第三章、杭電網(wǎng)絡(luò)工程施工過(guò)程 3.1 網(wǎng)絡(luò)設(shè)備詳細(xì)信息和IP地址分配表(見附表)3.2 VLAN間訪問規(guī)則注： 默認(rèn)情況下VLAN間的IP包訪問不受限制3.3 施工流程以下是本次工程中網(wǎng)絡(luò)設(shè)備的施工流程圖 開始配置6506安裝模塊、配置名字、口令、遠(yuǎn)端控制 配置 VLAN 配置 MSFC 配置 SNMP配置3500安裝模塊、名字、口令、遠(yuǎn)端控制 配置 VLAN 配置 SNMP 配置 網(wǎng)關(guān)配置CE-505名字、口令、遠(yuǎn)端控制 配置 WCCP 配置 網(wǎng)關(guān)、DNS配置PIX安裝網(wǎng)卡、名字、口令、端口狀態(tài) 配置 端口地址 配置 路由 配置 安全規(guī)則配置3640路由器安裝模塊、名字、口令、端口狀態(tài) 配置 端口地址 配置 路由 配置 安全規(guī)則設(shè)備到位 整體聯(lián)調(diào) 測(cè)試與故障解決 3.4 施工過(guò)程 3.4.1 Catalyst 6506的安裝過(guò)程模塊安裝安裝6506的電源模塊； WS-X6K-S1A-MSFC2； WS-X6408-GBIC； WS-G5484； WS-X6248-RJ-45； WS-C6500-SFMCisco Catalyst 6506 由工廠根據(jù)定貨單直接安裝好標(biāo)準(zhǔn)配置的模塊，但電源、路由等尚未安裝，所以首先將待安裝的各模塊拆開，裝入6506的電源插槽。上電檢查6506的各個(gè)模塊的工作狀態(tài)是否正常：接入6506電源，由于6506有兩個(gè)電源作為冗余，所以最好兩個(gè)電源分別接入兩路UPS電源上，這樣即使當(dāng)UPS其中一路電源故障時(shí)，不會(huì)影響整個(gè)6506交換機(jī)的正常遠(yuǎn)行，當(dāng)6506交換機(jī)上電初始化結(jié)束后，從各個(gè)模塊面板上的LED燈的狀態(tài)可以判斷各個(gè)模塊的工作狀態(tài)是否正常。 3.4.2 配置Catalyst 6506的系統(tǒng)參數(shù) 當(dāng)6506交換機(jī)初始化結(jié)束后，就進(jìn)入系統(tǒng)單機(jī)配置階段。對(duì)于6506來(lái)說(shuō)，首先需要配置系統(tǒng)參數(shù)，其中包括以下幾個(gè)部分：機(jī)器名、口令和遠(yuǎn)程登陸等。以下是具體配置過(guò)程：cisco6506 enable cisco6506（enable）set system name cisco6506說(shuō)明：配置6506的名字為CISCO6506cisco6506 enable cisco6506（enable）set enable password cisco說(shuō)明：配置6506的enable 口令為ciscocisco6506 enable cisco6506（enable）set interface sc0 1 / cisco6506（enable）set ip route / 54 說(shuō)明：配置6506的CPU模塊上的以太網(wǎng)IP地址為：，且只允許本網(wǎng)段任何地址存取 3.4.3 配置Catalyst 6506的VLAN 網(wǎng)絡(luò)IP地址分配策略杭電校園網(wǎng)是覆蓋全院的廣域網(wǎng)絡(luò)，其網(wǎng)絡(luò)主干連接的節(jié)點(diǎn)多，因此，要保證網(wǎng)絡(luò)的有效性和可管理性，網(wǎng)絡(luò)地址的規(guī)劃與分配是十分重要的問題。網(wǎng)絡(luò)地址是一種資源，必須經(jīng)過(guò)優(yōu)化的規(guī)劃和設(shè)計(jì)，因?yàn)楹茈y預(yù)測(cè)網(wǎng)絡(luò)將來(lái)的規(guī)模和應(yīng)用情況的發(fā)展，如果規(guī)劃不當(dāng)，將導(dǎo)致地址資源不夠用，網(wǎng)絡(luò)的擴(kuò)展將受到極大的限制；如果規(guī)劃過(guò)于龐大，則在現(xiàn)行運(yùn)行過(guò)程中，網(wǎng)絡(luò)的路由將會(huì)復(fù)雜，影響網(wǎng)絡(luò)的效率。網(wǎng)絡(luò)地址的分配應(yīng)遵循以下的原則：唯一性：在同一個(gè)互聯(lián)網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)地址應(yīng)該保持其唯一性；簡(jiǎn)單性：地址的分配應(yīng)該簡(jiǎn)單，避免在主干上采用復(fù)雜的掩碼方式；連續(xù)性：為同一個(gè)網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于縮減路由表的表項(xiàng)，提高路由器的處理效率，這種技術(shù)稱為地址疊合（Summarization）；可擴(kuò)充性：為一個(gè)網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機(jī)數(shù)量增加時(shí)仍然能夠保持地址的連續(xù)性；靈活性：地址分配不應(yīng)該基于某個(gè)網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多數(shù)路由策略在該地址分配方案上實(shí)現(xiàn)優(yōu)化；可管理性：地址的分配應(yīng)該有層次，某個(gè)局部的變動(dòng)不要影響上層、全局。在對(duì)一個(gè)具體部門擁有的某個(gè)或幾個(gè)子區(qū)劃分子網(wǎng)時(shí)，要根據(jù)本部門的具體應(yīng)用需求來(lái)合理分配子網(wǎng)資源，并且要留有一定的余地，這要從子網(wǎng)數(shù)和某一個(gè)子網(wǎng)所擁有的最大主機(jī)數(shù)兩個(gè)方面來(lái)考慮。根據(jù)我們對(duì)杭電校園網(wǎng)的網(wǎng)絡(luò)地址規(guī)劃和分配的了解，我們采用以C類地址為主B類地址為輔的地址分配原則。前二位（192.168）作為公共網(wǎng)絡(luò)地址，第三位作為各VLAN的地址，并第四位的（254）作為各VLAN的網(wǎng)關(guān)（地址分配表見附表） 杭電計(jì)算機(jī)網(wǎng)絡(luò)根據(jù)業(yè)務(wù)功能的不同，可以分為51個(gè)VLAN，51個(gè)VLAN各自獨(dú)立，分別屬于不同的廣播域，默認(rèn)情況下不同VLAN間可互相訪問，根據(jù)不同安全策略，access-list表可作訪問控制樓幢機(jī)構(gòu)端口分配VLAN IDVLAN命名網(wǎng)關(guān)行政樓黨政辦領(lǐng)導(dǎo)1-18VLAN 10DangZheng54人事處19-24VLAN 11RenShi54教務(wù)處25-27VLAN 12JiaoWu54科研財(cái)務(wù)28-32VLAN 13Xz_1_west54研究所33-36VLAN 14YanjiuSheng54組織、宣傳、綜合37-42VLAN 15XuanChuan54離休等54紀(jì)監(jiān)、后勤、高教等43-46VLAN 17Xz_2_west54電教CAD1-2VLAN 18Cad54電教3-4VLAN 19DianJiao 54計(jì)算中心5-10VLAN 20Computer_Center54408自備房11-14VLAN 21Student54 樓幢機(jī)構(gòu)端口分配VLAN IDVLAN命名網(wǎng)關(guān)實(shí)驗(yàn)樓文理學(xué)院1-2VLAN 22WenLi54機(jī)電分院3-4VLAN 23JiDian54自動(dòng)化分院5-6VLAN 24ZiDongHua54財(cái)經(jīng)分院7-8VLAN 25Caijing54管理分院9-10VLAN 26GuanLi54計(jì)算機(jī)分院11-12VLAN 27JiSuanJi54電子分院13-14VLAN 28DianZi54通信分院15-16VLAN 29Tongxin54信息分院17-18VLAN 30XinXi54CAE所19-20VLAN 31CAE54設(shè)備處21-22VLAN 32SB_other54網(wǎng)管23-35VLAN 37NIC_1(服務(wù)器)5437-42VLAN 33NIC_2（備用）5443-48VLAN 46NIC_3 （學(xué)生）54計(jì)算機(jī)分院1-2VLAN 38proxy543-4VLAN 39computer_1545-6VLAN 40computer_2547-8VLAN 41computer_3549-10VLAN 42computer_45411-12VLAN 43computer_55413-14VLAN 44computer_654 樓幢機(jī)構(gòu)端口分配VLAN IDVLAN命名網(wǎng)關(guān)圖書館服務(wù)器VLAN 45LIB_server54客戶端1-24VLAN 36Lib_154 具體配置過(guò)程如下：cisco6506（enable）set vtp domain hzdzgxycisco6506（enable）set vtp passwd ciscocisco6506（enable）set vlan 10 name dangzheng cisco6506（enable）set vlan 11 name renshi cisco6506（enable）set vlan 12 name jiaowu cisco6506（enable）set vlan 13 name xz_1_west cisco6506（enable）set vlan 14 name yanjiusheng cisco6506（enable）set vlan 15 name xuanchuan cisco6506（enable）set vlan 16 name xz_other1 cisco6506（enable）set vlan 17 name xz_other cisco6506（enable）set vlan 18 name cad cisco6506（enable）set vlan 19 name dianjiao cisco6506（enable）set vlan 20 name computer_center cisco6506（enable）set vlan 21 name shudent cisco6506（enable）set vlan 22 name wenli cisco6506（enable）set vlan 23 name jidian cisco6506（enable）set vlan 24 name zidonghua cisco6506（enable）set vlan 25 name caijing cisco6506（enable）set vlan 26 name guanli cisco6506（enable）set vlan 27 name jisuanji cisco6506（enable）set vlan 28 name dianzi cisco6506（enable）set vlan 29 name tongxin cisco6506（enable）set vlan 30 name xinxi cisco6506（enable）set vlan 31 name cae cisco6506（enable）set vlan 32 name sb_other cisco6506（enable）set vlan 33 name nic_2 cisco6506（enable）set vlan 34 name chengjiao cisco6506（enable）set vlan 35 name lib cisco6506（enable）set vlan 36 name lib_1 cisco6506（enable）set vlan 37 name nic_1 cisco6506（enable）set vlan 38 name proxy cisco6506（enable）set vlan 39 name computer_1 cisco6506（enable）set vlan 40 name computer_2 cisco6506（enable）set vlan 41 name computer_3 cisco6506（enable）set vlan 42 name computer_4 cisco6506（enable）set vlan 43 name computer_5 cisco6506（enable）set vlan 44 name computer_6 cisco6506（enable）set vlan 45 name lib_server cisco6506（enable）set vlan 46 name nic_3 cisco6506（enable）set vlan 48 name dialup cisco6506（enable）set vlan 50 name 408 cisco6506（enable）set vlan 51 name wy type cisco6506（enable）set vlan 999 name cache ! 說(shuō)明：設(shè)置6506的VLAN名字和VTP模式cisco6506（enable）set trunk 2/1 nonegotiate isl 1-1005,1025-4094cisco6506（enable）set trunk 2/2 nonegotiate isl 1-1005,1025-4094cisco6506（enable）set trunk 2/3 nonegotiate isl 1-1005,1025-4094cisco6506（enable）set trunk 2/4 nonegotiate isl 1-1005,1025-4094cisco6506（enable）set trunk 2/5 nonegotiate isl 1-1005,1025-4094cisco6506（enable）set trunk 2/6 nonegotiate isl 1-1005,1025-4094cisco6506（enable）set trunk 2/7 nonegotiate isl 1-1005,1025-4094cisco6506（enable）set trunk 2/8 nonegotiate isl 1-1005,1025-4094說(shuō)明：設(shè)置6506的第二模塊1-8口為主干模式，并采用ISL協(xié)議并不可磋商。 3.4.4 配置配置6509交換機(jī)的三層交換模塊 當(dāng)在6506上劃分了VLAN以后，桌面工作站就可以根據(jù)不同的需求分別加入到對(duì)應(yīng)的VLAN中去，不同的VLAN的客戶機(jī)就分別屬于不同的廣播域，有各自不同的IP地址段，當(dāng)需要跨網(wǎng)段互相訪問時(shí)，就必須通過(guò)路由。6506可以帶三層交換MSFC模塊，本系統(tǒng)中由于在6506上有一個(gè)超級(jí)引擎上配置了一塊MSFC模塊，隨著杭電計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，系統(tǒng)可能的情況下，就可以利用CISCO的HSRP協(xié)議作熱備份，再配置一臺(tái)或者多臺(tái)支持HSRP協(xié)議的三層交換機(jī)，即當(dāng)其中任何一塊MSFC模塊故障時(shí)，另外一塊可以立即接替原來(lái)的模塊繼續(xù)工作，切換時(shí)間很短。我們可實(shí)現(xiàn)51個(gè)VLAN分別優(yōu)先運(yùn)行在多個(gè)三層路由模塊上，這樣在系統(tǒng)無(wú)故障時(shí)，能到達(dá)路由數(shù)據(jù)負(fù)載分擔(dān)的目的。 3.4.5 配置6506交換機(jī)VLAN間的訪問規(guī)則 當(dāng)數(shù)據(jù)在VLAN間路由時(shí)，出于對(duì)各獨(dú)立系統(tǒng)的安全考慮，在各VLAN路由端口上應(yīng)用訪問列表，使VLAN之間的數(shù)據(jù)按規(guī)則通過(guò)。針對(duì)每個(gè)VLAN的所屬機(jī)構(gòu)將安全規(guī)則量化，再依次應(yīng)用在端口上。Access-list 1 permit any any 其他VLAN的訪問規(guī)則見最后的具體配置。 3.4.6 配置6506交換機(jī)的CDP和SNMP 當(dāng)交換機(jī)需要被網(wǎng)管時(shí)，必須配置交換機(jī)的CDP和SNMP參數(shù)，其中CDP協(xié)議是CISCO公司特有的一種協(xié)議，而SNMP是標(biāo)準(zhǔn)的簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議。其中SNMP協(xié)議需要有一個(gè)COMMUNITY NAME控制對(duì)交換機(jī)的讀寫，在本次工程中，我們定義了以下的COMMUNITY NAME：READWRITE：PRIVATEREADONLY：PUBLIC以下是具體配置命令：cisco6506enablecisco6506(enable)set cdp enable說(shuō)明：?jiǎn)⒂?506交換機(jī)的CDP協(xié)議。Cisco6506(enable)set snmp enable all說(shuō)明：?jiǎn)⒂?506交換機(jī)的SNMP功能，并啟用默認(rèn)的關(guān)鍵字PUBLIC為只讀，PRIVATE為讀寫。 3.4.7 配置6506交換機(jī)的STP 由于在設(shè)計(jì)的過(guò)程中，為了增加網(wǎng)絡(luò)的可靠性，在核心層交換機(jī)與匯接層交換機(jī)之間、以及核心應(yīng)用中均設(shè)計(jì)了雙冗余鏈路。為了避免這些冗余鏈路所形成的透明橋接問題，必須使生成樹協(xié)議（STP）有效工作。啟動(dòng)生成樹cisco6506(enable)set spantree enable all 3.4.8 配置Catalyst 3500的安裝過(guò)程 Catalyst 3500系列是CISCO公司的提供1000兆上行端口的桌面交換機(jī)，本次工程中包括3臺(tái)catalyst3524交換機(jī)和2臺(tái)catalyst3548交換機(jī)，配置過(guò)程完全一樣。以下是具體配置過(guò)程：3524的配置：Current configuration:!version 12.0no service padservice timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname lib說(shuō)明：配置3524的NAME 為lib。enable secret 5 $1$G3SM$DbzVKE3l/fkYHpoi0XUug/enable password cisco說(shuō)明：配置3524的口令interface FastEthernet0/1switchport access vlan 35說(shuō)明：配置端口1屬于VLAN135interface GigabitEthernet0/1switchport mode trunkswitchport trunk encapsulation dot1q 說(shuō)明：兩個(gè)千兆的上行口配置為TRUNK方式。interface VLAN1ip address no ip directed-broadcastno ip route-cache說(shuō)明：配置VLAN1的IP地址vtp client說(shuō)明：配置VTP為CLIENT方式vtp domain hzdzgxy 說(shuō)明：配置VTP域名為hzdzgxyline vty 0 4password ciscologinline vty 5 15password ciscologin說(shuō)明：配置遠(yuǎn)程登陸的口令為cisco 3.4.9 配置Cisco 防火墻PIX 520的安裝過(guò)程配置PIX的基本屬性 將PIX 安放至機(jī)架，經(jīng)檢測(cè)電源系統(tǒng)后接上電源，并加電主機(jī)。將CONSOLE 口連接到PC的串口上，運(yùn)行Hyper Terminal 程序從CONSOLE口進(jìn)入PIX系統(tǒng)；此時(shí)系統(tǒng)提示pixfirewall。輸入命令：enable，進(jìn)入特權(quán)模式，此時(shí)系統(tǒng)提示為pixfirewall#。輸入命令：configure terminal，對(duì)系統(tǒng)進(jìn)行初始化設(shè)置。配置以太口參數(shù)： interface ethernet0 auto (auto選項(xiàng)表明系統(tǒng)自適應(yīng)網(wǎng)卡類型) interface ethernet1 auto interface ethernet2 auto配置各功能段的安全級(jí)別： nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50配置各網(wǎng)卡的IP地址： ip address outside 53 ip address inside 54 ip address dmz 54 指定外部地址范圍： global (outside) 1 54 global (dmz) 1 -53 global (dmz) 1 54指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址： nat (inside) 1 0 0 nat (dmz) 0 0 0設(shè)置靜態(tài)的地址轉(zhuǎn)換，將真實(shí)地址與提供服務(wù)的私有地址綁定static (dmz,outside) netmask 55 0 0static (dmz,outside) 1 1 netmask 55 0static (dmz,outside) 8 8 netmask 55 0static (dmz,outside) 0 0 netmask 55 0static (dmz,outside) 2 2 netmask 55 0static (dmz,outside) 3 3 netmask 55 0static (dmz,outside) 50 50 netmask 55 0 static (dmz,outside) 0 0 netmask 55 0static (dmz,outside) 29 29 netmask 55 0 0static (dmz,outside) 0 0 netmask 55 0 0指定要進(jìn)行靜態(tài)轉(zhuǎn)換的IP地址能夠通過(guò)的協(xié)議conduit permit icmp any any 允許所有ICMP通信conduit permit tcp host 1 range ftp www anyconduit permit tcp host 0 range ftp www anyconduit permit udp host eq domain anyconduit permit tcp host 50 eq www anyconduit permit tcp host 8 range smtp pop3 anyconduit permit tcp host 0 eq www anyconduit permit tcp host 29 anyconduit permit tcp host 0 eq telnet anyconduit permit tcp host 3 eq www any設(shè)置指向內(nèi)、外部網(wǎng)的缺省路由route outside 54 1route inside 53 1系統(tǒng)允許的主機(jī)對(duì)防火墻端口的TELNET訪問telnet telnet telnet 55 3.4.10 配置CACHE ENGINE 550的安裝過(guò)程指定登陸的用戶名和口令user add admin uid 0 password 1 b9ccbQcQe9 capability admin-accessuser add wy uid 5019 password 1 eeQQeRRSS capability admin-access指定主機(jī)名hostname cisco_ce_505指定以太網(wǎng)的IP地址interface ethernet 0 ip address ip broadcast-address 55!interface ethernet 1exit定義網(wǎng)關(guān)!ip default-gateway 54定義DNS名ip name-server 定義域名ip domain-name 定義路由ip route 54cron file /local/etc/crontab!bypass auth-traffic allhttp cache-cookieshttp max-ttl days text 4 binary 3http cache-authenticatedhttp object max-size 6144http persistent-connections timeout 8 max-idle 1000定義WCCP訪問協(xié)議的路由器地址wccp router-list 1 54wccp port-list 1 80wccp web-cache router-list-num 1 weight 20 password *定義主路由器地址（在有多路由器情況下）wccp home-router 54wccp version 2wccp shutdown max-wait 1!snmp-server community summerno radius-server host auth-port 1812radius-server key *authentication login local enableauthentication configuration local enabletransaction-logs archive files 1transaction-logs enabletransaction-logs export interval every-day at 00:00transaction-logs export enabletransaction-logs sanitizerule block dst-port 33定義代理服務(wù)器的地址和能夠通過(guò)的地址rule use-proxy 41 3128 dst-ip 5 rule use-proxy 41 3128 domain .*rule use-proxy 41 3128 domain .*rule no-cache url-regex .*cgi-bin.*rule no-cache url-regex .*aw-cgi.*!end 3.4.11 配置Cisco3640的安裝過(guò)程version 12.0service timestamps debug uptimeservice timestamps log uptimeno service password-encryption定義主機(jī)名hostname cisco3640!定義訪問的口令enable secret 5 $1$sWZw$EdlT9Yphojj6nJVo06bne0enable password cisco3640!ip subnet-zero定義域名ip domain-name 定義DNS名ip name-server 8!定義外地接口的IP地址interface FastEthernet2/0ip address 6 no ip directed-broadcastduplex autospeed auto定義內(nèi)部接口的IP地址interface FastEthernet2/1 ip address 54 no ip directed-broadcast no ip route-cache no ip mroute-cache duplex auto speed auto定義網(wǎng)關(guān)ip default-gateway 5ip classless定義內(nèi)外路由ip route 5ip route 53no ip http server!snmp-server engineID local 000000090200000628AC87A1snmp-server community summer RO!line con 0 transport input noneline aux 0定義遠(yuǎn)程登陸的口令line vty 0 4 password cisco login!end 3.4.12 配置Cisco Works網(wǎng)管軟件CiscoWorks的設(shè)計(jì)層次為基于國(guó)際通用網(wǎng)絡(luò)管理軟件之上的應(yīng)用系統(tǒng)，其結(jié)構(gòu)如下圖： 通過(guò)CiscoWorks和CWSI可以很好地實(shí)現(xiàn)對(duì)含有Cisco軟件與硬件產(chǎn)品的企業(yè)網(wǎng)絡(luò)進(jìn)行基于 SNMP的監(jiān)視、控制與管理。一、CiscoWorks的安裝1、選取INSTALL二、選用integrate ciscoworks 5.0 with whatsup gold三、選取需要管理的網(wǎng)絡(luò)設(shè)備四、完成3.5 設(shè)備模擬連接調(diào)試階段 設(shè)備安裝階當(dāng)單機(jī)調(diào)試完畢后，就進(jìn)入系統(tǒng)連調(diào)階段。由于有多個(gè)單位是多模光纖通路，且不在本地。所