中小型校園網(wǎng)設(shè)計(jì)方案實(shí)例

（中型）園網(wǎng)計(jì)方實(shí)例目錄.............1系統(tǒng)總體設(shè)計(jì)方案概述...........................................................................11.1系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu)..................................................................................21.2VLANIP地址規(guī)劃...................................................................................32交換模塊設(shè)計(jì).......................................................................................42.1訪問層交換服務(wù)的實(shí)現(xiàn)－配置訪問層交換機(jī)............................................5配置訪問層交換機(jī)的基本參數(shù).....................................5配置訪問層交換機(jī)的管理、默認(rèn)網(wǎng)關(guān)......................7配置訪問層交換機(jī)的VLAN及VTP...............................8配置訪問層交換機(jī)端口基本參數(shù).................................9配置訪問層交換機(jī)的訪問端口.....................................9配置訪問層交換機(jī)的主干道端口...............................配置訪問層交換機(jī)......................................................11訪問層交換機(jī)的其它可選配置...........................................................122.2分布層交換服務(wù)的實(shí)現(xiàn)－配置分布層交換機(jī)..........................................13配置分布層交換機(jī)DistributeSwitch1的基本參數(shù)..............................14配置分布層交換機(jī)DistributeSwitch1的管理、默認(rèn)網(wǎng)關(guān)................14配置分布層交換機(jī)DistributeSwitch1的......................................在分布層交換機(jī)DistributeSwitch1上定義VLAN...............................配置分布層交換機(jī)DistributeSwitch1的端口基本參數(shù).......................17配置分布層交換機(jī)DistributeSwitch1的層交換功能.......................18配置分布層交換機(jī)DistributeSwitch2..................................................其它配置............................................................................................202.3核心層交換服務(wù)的實(shí)現(xiàn)－配置核心層交換機(jī)..........................................20配置核心層交換機(jī)的基本參數(shù)......................................配置核心層交換機(jī)的管理IP、默認(rèn)網(wǎng)關(guān)配置核心層交換機(jī)的的VLAN及VTP............................22配置核心層交換機(jī)的端口參數(shù)......................................配置核心層交換機(jī)的路由功能......................................其它配置............................................................................................24核心層交換機(jī)的配置.....................................................243廣域網(wǎng)接入模塊設(shè)計(jì)..........................................................................3.1配置接入路由器InternetRouter的本參數(shù)...............................................253.2配置接入路由器InternetRouter的接口參數(shù)...........................................3.3配置接入路由器InternetRouter的由功能...............................................263.4配置接入路由器InternetRouter上NAT..................................................3.5配置接入路由器InternetRouter上..................................................283.6其它配置...................................................................................................314遠(yuǎn)程訪問模塊設(shè)計(jì)..............................................................................4.1配置物理線路的基本參數(shù)........................................................................324.2配置接口基本參數(shù)....................................................................................4.3配置身份認(rèn)證...........................................................................................服務(wù)器模塊設(shè)計(jì).................................................................................系統(tǒng)測試...........................................................................................366.1系統(tǒng)測試...................................................................................................366.2相關(guān)測試、診斷命令................................................................................通用測試、診斷命令..........................................................................CDP測試、診斷命令..........................................................................39路由和路由協(xié)議測試、診斷命令.......................................................41VLAN、VTP測試、診斷命令............................................................生成樹測試、診斷命令......................................................................42測試、診斷命令..........................................................................ACL測試、診斷命令..........................................................................遠(yuǎn)程訪問測試、診斷命令..................................................................總結(jié)......................................................................................................44附錄:資源..............................................................................................45（中小型）校園網(wǎng)設(shè)計(jì)方案實(shí)例本文以實(shí)例的形對(duì)校園網(wǎng)的設(shè)計(jì)方案進(jìn)行分析并給出校園網(wǎng)絡(luò)關(guān)鍵設(shè)配、配以診命令和。本文，能系統(tǒng)小計(jì)、實(shí)護(hù)及技。1系總體設(shè)計(jì)方案概述絡(luò)（COMPUSNETWORK，稱）常典的網(wǎng)。為了闡明主要問，在本設(shè)方案中對(duì)實(shí)際校園網(wǎng)的設(shè)計(jì)進(jìn)行了適當(dāng)?shù)暮偷耐瑫r(shí)將網(wǎng)絡(luò)主上，服簡體考書。如圖。圖

園網(wǎng)網(wǎng)絡(luò)的總體拓?fù)浣Y(jié)構(gòu)，學(xué)的建

6個(gè)點(diǎn)（計(jì)、管筑務(wù)處務(wù)學(xué)通光上息核換機(jī)過Cisco3640因特網(wǎng)。此外，教工舍及移動(dòng)辦公用戶通過撥號(hào)方式接入路由器3640校因。中以計(jì)算機(jī)系為例展每個(gè)建筑物內(nèi)部的絡(luò)設(shè)備拓?fù)浣Y(jié)構(gòu)，并給構(gòu)。開的容。1.1撲結(jié)構(gòu)

系統(tǒng)組成與拓了實(shí)絡(luò)設(shè)備的統(tǒng)一本設(shè)計(jì)方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即Cisco司網(wǎng)設(shè)構(gòu)廠的以實(shí)功充。下成：塊、網(wǎng)接入塊、、服塊。系如圖1-2示。圖

校園網(wǎng)整體拓?fù)浣Y(jié)構(gòu)圖1.2VLAN及IP地址規(guī)劃絡(luò)VLAN驟。本校園計(jì)個(gè)網(wǎng)中VLAN及IP如所。表VLAN及IP編址方案除了表中戶從192.168.200.0/27地址。

取得IP管理

VLAN

劃了

8個(gè)

VLAN，每個(gè)VLAN了一個(gè)音縮成的VLAN名。2

交換模塊設(shè)計(jì)一層的。一般模型。了簡化交網(wǎng)絡(luò)計(jì)提高交網(wǎng)絡(luò)的可展在園區(qū)網(wǎng)內(nèi)部數(shù)模署的。分個(gè)層：訪、分層心層。上換生在模的第2層換還第層。高引區(qū)率，更大大增強(qiáng)了園區(qū)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿了不類型網(wǎng)絡(luò)應(yīng)用程序的需要。局域網(wǎng)（VirtualLAN，VLAN）的概。VLAN個(gè)VLAN內(nèi)了VLAN廣播通對(duì)他VLAN的影VLAN間需的候用VLAN實(shí)。換使用VLAN議（VlanTrunking，換上定義有VLAN。后通過將VLAN本的交換樣了網(wǎng)管工負(fù)度。當(dāng)園區(qū)網(wǎng)絡(luò)的交機(jī)數(shù)量增、交機(jī)間鏈路增加時(shí)，交換網(wǎng)絡(luò)的復(fù)雜性問題要在成協(xié)TreeProtocol，）解決。2.1

訪問層交換服務(wù)的實(shí)現(xiàn)－配置訪問層交換機(jī)問層有的終端用戶提供一接入點(diǎn)。這里的訪問層交換機(jī)用是Cisco295024

口交換（WS-C2950-24該換擁有

24個(gè)自是的IOS操作系。這里圖2-1中機(jī)為進(jìn)。圖2-1所：圖訪問層交換機(jī)2.1.1

配置訪問層換機(jī)AccessSwitch1

的基參數(shù)1交換機(jī)名稱置名稱，就出現(xiàn)在交換CLI中字。一理行要Telnet干臺(tái)交換以個(gè)型網(wǎng)絡(luò)時(shí)，通過交機(jī)稱提示符示自己當(dāng)是有必的。如圖所示，為訪問層交換機(jī)命名。圖為訪問層交換機(jī)命名當(dāng)用戶在普通用模式而想進(jìn)入特權(quán)用戶模式時(shí)，需要提供此口令此口會(huì)以MD5的，文形式口令。如圖所示，將交換機(jī)的加密使能口令設(shè)置為secretpasswd。圖為交換機(jī)設(shè)置加密使能口令對(duì)于一個(gè)已經(jīng)運(yùn)著的交換絡(luò)來說，交換機(jī)的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理提的便但是出于安，夠程網(wǎng)必遠(yuǎn)機(jī)令。如圖2-4所示，設(shè)登錄交換機(jī)時(shí)需要驗(yàn)證用戶身，同時(shí)設(shè)置口令為。圖為訪問層交換機(jī)命名為了安全考慮，以設(shè)置終線超時(shí)時(shí)間。在設(shè)置的時(shí)間內(nèi)，如果沒有檢IOS將戶。如圖2-5端線時(shí)間為5分30秒鐘。圖2-5設(shè)置控制臺(tái)終端線路和虛擬終端線路的超時(shí)時(shí)間IP交換認(rèn)配置的情況下，當(dāng)入一條錯(cuò)誤的交換機(jī)命令時(shí)，交換機(jī)會(huì)嘗試將其廣播給網(wǎng)絡(luò)上的DNS服務(wù)器并將其解析成應(yīng)的IP地令noipdomain-lookup如圖，用IP址解析。圖設(shè)置禁用IP地址解析特性時(shí)，輸入的交換機(jī)配置命會(huì)被交換機(jī)產(chǎn)生的消息打亂?？梢允褂昧頻oggingsynchronous設(shè)換一行提符。如圖2-7。圖設(shè)置啟用消息同步特性2.1.2

配置訪問交換機(jī)AccessSwitch1

的管理、認(rèn)網(wǎng)關(guān)是OSI參的第2備，數(shù)設(shè)此，訪問置IP是，人程訪上進(jìn)，必置個(gè)理用IP是成和PC主機(jī)。理用IP在VLAN1本VLAN進(jìn)照表2-1，理VLAN所是：，這里將訪問的管理IP地為。如圖，顯換理IP激活征VLAN。圖設(shè)置訪問層交換機(jī)的管理為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī)，還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān)址。圖2-9所示。圖2-9設(shè)置訪問層交換機(jī)的默認(rèn)網(wǎng)關(guān)地址2.1.3

配訪問交換AccessSwitch1

的VLAN及VTP從提高效率的角度出發(fā)，在本校園網(wǎng)實(shí)實(shí)例中使用了VTP技時(shí)，布機(jī)DistributeSwitch1置為VTP務(wù)器，為VTP。這問層交機(jī)將過獲在分交換機(jī)DistributeSwitch1信。

所有VLAN的圖2-10所示訪問機(jī)

成為VTP戶圖設(shè)置訪問層交換機(jī)成為VTP客戶機(jī)2.1.4

配置訪問層換機(jī)AccessSwitch1

口基本數(shù)可以設(shè)定某端口根據(jù)對(duì)端設(shè)備雙工類型自動(dòng)調(diào)整本端口雙工模式，也可以強(qiáng)制將端口雙工模式設(shè)為半雙工或雙工模式。在了解對(duì)端備類型的情況。如圖機(jī)所有口均全式。圖設(shè)置訪問層交換機(jī)的端口工作模式可以設(shè)定某端口據(jù)對(duì)端設(shè)速度自動(dòng)調(diào)整本端口速度，也可以強(qiáng)制將端速度設(shè)為或。端情設(shè)度。如圖，設(shè)機(jī)有端的為。圖

設(shè)置訪問層交換機(jī)的端口速度2.1.5

配置訪問層換機(jī)AccessSwitch1

的訪端口訪問層交換機(jī)交換機(jī)

為終端用戶提供接入服務(wù)。在圖2-1為VLAN10提。如圖2-13置訪換機(jī)10作

的端口1端口接端口口10為VLAN10成。圖設(shè)置訪問層交換機(jī)的端口1～11如圖示問交機(jī)的端口11～口20作在訪入式置口～口10為VLAN20的成員。圖設(shè)置訪問層交換機(jī)的端口1120認(rèn)情，交換機(jī)在剛加啟動(dòng)時(shí)，每個(gè)端口都要經(jīng)歷生成樹的四個(gè)階：聽學(xué)轉(zhuǎn)發(fā)包之，可能多等鐘的2015秒＋15秒的學(xué)習(xí)）。端來和是不必的。為了加速換機(jī)端狀態(tài)轉(zhuǎn)時(shí)間，可以設(shè)將某端口設(shè)置成為快速端口Portfast）。設(shè)的換機(jī)工接時(shí)將進(jìn)而歷偵聽學(xué)（假經(jīng)建立。如圖2-15，置問換機(jī)口20快。

的端口1端2.1.6

圖設(shè)置快速端口配置訪問層換機(jī)AccessSwitch1

主干道口如圖所，訪層交換機(jī)通過口0/23上連交換DistributeSwitch1的口0/23同時(shí)訪問層交換機(jī)還通過端口0/24上連到分布層交換機(jī)DistributeSwitch2的端口。這條上連鏈路成為主干道鏈路，在這條上連鏈上將運(yùn)輸多個(gè)VLAN。如圖機(jī)、

的端口

。圖設(shè)置主干道端口2.1.7

配置訪問交換機(jī)AccessSwitch2機(jī)為VLAN30和VLAN40的戶接。別的FastEthernet0/24上交換機(jī)DistributeSwitch1DistributeSwitch2端口。如圖所機(jī)的接示圖。圖訪問層交換機(jī)的連接示意圖對(duì)層換機(jī)問換機(jī)

的步驟、命令和對(duì)訪

的類里不再細(xì)分析的文件容）。要指是為了提供主干道的吞吐量可以采用鏈路捆（快速以太信道）技。例，可將訪問交換機(jī)的端口0/21和FastEthernet捆綁在一起現(xiàn)的快速以太網(wǎng)信道，然后再上連到分布層交換機(jī)DistributeSwitch1。同，也訪機(jī)的端口0/23和0/24捆綁在一起實(shí)現(xiàn)200Mbps的快速以太網(wǎng)信道，然后再上連到分布層交換機(jī)DistributeSwitch2核心層節(jié)中行介紹。2.1.8

訪問層交換其它選配置Uplinkfast層交換機(jī)通過兩條冗余上行鏈路分別接入布層交換機(jī)DistributeSwitch1生成用下，條上行轉(zhuǎn)態(tài)，而鏈阻狀態(tài)當(dāng)處轉(zhuǎn)發(fā)狀的鏈因障斷，經(jīng)過最約的能代工作。

50

秒鐘Uplinkfast上行鏈路

特性可以使得當(dāng)主上行鏈路失敗后，處于阻塞狀態(tài)的立用。如圖所機(jī)用Uplinkfast以機(jī)置。

上注意，Uplinkfast

圖啟用Uplinkfast特性。的作用與Uplinkfast類似，也用于加快生成樹的收。不的是路（直連鏈路）應(yīng)阻塞端口的最大壽命計(jì)時(shí)器到時(shí)從而縮短該端口以開始轉(zhuǎn)發(fā)數(shù)據(jù)包的時(shí)間。如圖2-19所示是訪問交換機(jī)上啟用特配。注意，

圖啟用特性在置。2.2

分布層交換服務(wù)的實(shí)現(xiàn)－配置分布層交換機(jī)分層除了負(fù)責(zé)訪問層交換機(jī)進(jìn)行匯集，還為整交換網(wǎng)絡(luò)提供VLAN。是Cisco3550，CiscoCatalyst3550交擁有24個(gè)

交換機(jī)層快太，同時(shí)有2個(gè)1000Mbps的端用運(yùn)是Cisco的IntegratedIOS操圖2-1中機(jī)DistributeSwitch1行如圖示：2.2.1

圖分布層交換機(jī)DistributeSwitch1配置分布交換機(jī)DistributeSwitch1

的基參數(shù)分換機(jī)DistributeSwitch1參配步訪換機(jī)的，實(shí)不解如圖2-21所。圖配置分布層交換機(jī)DistributeSwitch1的基本參數(shù)2.2.2

配置分布層換機(jī)DistributeSwitch1

的理默認(rèn)網(wǎng)關(guān)如圖示機(jī)DistributeSwitch1活本征VLAN址。

設(shè)置管理圖分布層交換機(jī)DistributeSwitch1的管理IP、默認(rèn)網(wǎng)關(guān)2.2.3

配置分布層換機(jī)DistributeSwitch1

的VTP當(dāng)網(wǎng)絡(luò)中交換機(jī)數(shù)量很多時(shí)，需要分別在每臺(tái)交換機(jī)上建很多重復(fù)的VLAN作很大程繁且出錯(cuò)實(shí)際采用VLAN議（VlanTrunkingVTP決題。VTP的VLAN機(jī)互功好的VLAN定個(gè)中要此VLAN義的所機(jī)關(guān)VLAN刪數(shù)改操機(jī)。從輕人員交機(jī)。在實(shí)例中了VTP技同時(shí)分布層交換DistributeSwitch1

為為VTP客機(jī)。同VLAN一個(gè)VTP管一個(gè)域同的名同理域交換VTP。如圖示將義為“chinaitlab”。圖管理域的域名

設(shè)置VTP工作在服建、除VLAN、改VLAN參轉(zhuǎn)發(fā)VLAN息。如圖所機(jī)DistributeSwitch1為VTP服務(wù)器。圖設(shè)置分布層交換機(jī)DistributeSwitch1成為VTP服務(wù)器所有VLAN絡(luò)交所同一VLAN成員必其他VLAN用戶數(shù)據(jù)。，以的能。了剪換動(dòng)剪的VLAN據(jù)。在一個(gè)域要在VTP服激活VTP剪。同一也激活剪圖所激活VTP。圖激活VTP剪裁功能2.2.4

在分布層交機(jī)DistributeSwitch1

上定義VLAN例，除征了個(gè)VLAN，如表。

VLAN

，定由于使用了有VLAN要在VTP，層機(jī)DistributeSwitch1上。如圖所義個(gè)VLAN每個(gè)VLAN名。2.2.5

配置分布交換機(jī)DistributeSwitch1

的端基參數(shù)分層交機(jī)DistributeSwitch1的口FastEthernet0/1～為口FastEthernet0/23、0/24分下連到訪問層交換機(jī)的端口0/23層機(jī)的端口0/23。此外，分布層交換機(jī)DistributeSwitch1還通過自己的千兆端口GigabitEthernet0/1上連到核心交換機(jī)CoreSwitch1的GigabitEthernet。為了實(shí)現(xiàn)冗余設(shè)計(jì)，分布層交換機(jī)DistributeSwitch1還通過千兆端GigabitEthernet0/2連接另一臺(tái)到分布層交換機(jī)DistributeSwitch2的GigabitEthernet。如圖所道驟。圖定義VLAN圖設(shè)置分布層交換機(jī)DistributeSwitch1的各端口參數(shù)2.2.6

配置分布交換機(jī)DistributeSwitch1

的3交功能機(jī)DistributeSwitch1個(gè)VLAN供能要能2-28所示。圖啟用路由功能每個(gè)VLAN圖2-29所示。圖定義各VLAN的默認(rèn)網(wǎng)關(guān)地址此外，往的路。里了由命令，如2-30所示。中，跳址是接路由器的快速以太網(wǎng)接口0/0的IP。圖定義到的缺省路由2.2.7

配置分布層換機(jī)DistributeSwitch2分層交換機(jī)DistributeSwitch2的端FastEthernet、0/24分連到問層換機(jī)的0/24以訪問層交機(jī)端口FastEthernet0/24。此外，分布層交換機(jī)DistributeSwitch2還通過自己的千兆端口GigabitEthernet3/2。

連交換機(jī)

的GigabitEthernet實(shí)計(jì)交換機(jī)DistributeSwitch2還己的千兆端口GigabitEthernet0/2連接到分布層交換機(jī)DistributeSwitch1的GigabitEthernet如圖2-31示。圖分布層交換機(jī)DistributeSwitch2對(duì)分布層交換層交換機(jī)

DistributeSwitch2

的命令和DistributeSwitch1

。里析。2.2.8

其它配置為別網(wǎng)（）以及全子網(wǎng)（Subnet-zero）的支持，充當(dāng)3層交換機(jī)布層交DistributeSwitch1，進(jìn)置如圖2-32所示。圖定義對(duì)無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持2.3

核心層交換服務(wù)的實(shí)現(xiàn)－配置核心層交換機(jī)連進(jìn)行網(wǎng)速數(shù)實(shí)例中的核心層交換機(jī)采用的CiscoCatalyst4006交換機(jī)，采用了Catalyst4500IIPlus機(jī)引行的是Cisco的IOS操其件是。的4006Catalyst4000Ethernet6-Ports供

交換機(jī)（GBIC），塊了

5

兆口接入

（1000BASE-SXWavelengthGBIC交機(jī)

））。這里，以圖中層

如圖2-33示：圖核心層交換機(jī)2.3.1

配置核心層換機(jī)CoreSwitch1

基本數(shù)對(duì)層機(jī)的基本參配步驟對(duì)訪問層交換參數(shù)的置里給出實(shí)際的驟不給出圖2-34。圖配置核心層交換機(jī)的基本參數(shù)2.3.2

配置核心層換機(jī)CoreSwitch1

管理IP、默關(guān)如圖示換機(jī)本征VLAN，默址。

理IP圖核心層交換機(jī)的管理認(rèn)網(wǎng)關(guān)2.3.3

配置核心層換機(jī)CoreSwitch1

的的VLAN及VTP換機(jī)CoreSwitch1

也將作為客。這里核心層交換機(jī)將通過獲得在分布層交換機(jī)

VTPDistributeSwitch1

所有VLAN的。如圖所機(jī)

成為VTP戶機(jī)。圖設(shè)置核心層交換機(jī)成為客戶機(jī)2.3.4

配置核心層換機(jī)CoreSwitch1

端口數(shù)核心層交換機(jī)CoreSwitch1通過自己的端4/3同接模塊Internet路由心機(jī)CoreSwitch1的端口GigabitEthernet～GigabitEthernet3/2分別下連到分布層交換機(jī)DistributeSwitch1和DistributeSwitch2端口GigabitEthernet0/1。如圖所。圖設(shè)置核心層交換機(jī)CoreSwitch1的各端口參數(shù)此外了提供主干道的吞量以及實(shí)現(xiàn)冗余設(shè)計(jì)本設(shè)計(jì)中，將心層交換機(jī)的千端口GigabitEthernet2/1、GigabitEthernet捆實(shí)現(xiàn)2000Mbps，然層換機(jī)CoreSwitch2。圖所設(shè)換機(jī)CoreSwitch1的兆以太的驟。圖設(shè)置核心層交換機(jī)CoreSwitch1的千兆以太網(wǎng)信道2.3.5

配置核心層換機(jī)CoreSwitch1

路由能層交換機(jī)

過端口

同廣域接塊（Internet）。，要心能。時(shí)義通往的由了由令，圖示。，一是接太網(wǎng)口的址。2.3.6

圖定義到的缺省路由如圖所示。其它配置為對(duì)無（）及全零網(wǎng)（Subnet-zero）的支持，在當(dāng)層交換的核交換，需應(yīng)的配，圖2-40所示。圖定義對(duì)無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持2.3.7

核心層交換機(jī)CoreSwitch2

的配置對(duì)于圖2-1-中交換機(jī)CoreSwitch2步和對(duì)交換機(jī)似細(xì)，心層換機(jī)CoreSwitch2連接方及配置和命令同圖2-1-核心交換機(jī)CoreSwitch1下連方配類也贅。3

廣域網(wǎng)接入模塊設(shè)計(jì)在本實(shí)例設(shè)計(jì)中，廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器InternetRouter是的3640路由器。通自己的行接口使用DDN（）術(shù)接入。其在和網(wǎng)據(jù)包。除了成路外，利用制表ListACL域路由器InternetRouter還以用流過能圖所。3.1

圖廣域網(wǎng)接入路由器InternetRouter配置接入路由器InternetRouter的基本參數(shù)對(duì)接入路由器InternetRouter的參的置驟與對(duì)訪層換機(jī)的類似這里只的驟不給出如圖3-2示。3.2

圖配置接入路由器InternetRouter的基本參數(shù)配置接入路由器InternetRouter的各接口參數(shù)對(duì)接入路由器InternetRouter要是對(duì)接口

的各接口參數(shù)的配置主

口Serial0/0

的IP。圖示由器InternetRouter子網(wǎng)掩。

設(shè)IP3.3

圖設(shè)置接入路由器InternetRouter的各接口參數(shù)配置接入路由器InternetRouter的路由功能器InternetRouter上：校部路及到上路由。到的路需要定一條缺路由，圖。其，下一從的接口serial0/0出。圖定義到的缺省路由以路由成目。如圖所。3.4

圖定義到校園網(wǎng)內(nèi)部的路由配置接入路由器InternetRouter上的前IP缺網(wǎng)作配一個(gè)有的站問的要，用NAT網(wǎng)）技術(shù)。入當(dāng)?shù)豂SP申了9個(gè)IP。個(gè)址被給了接接外8個(gè)址：

用作。的驟：圖顯義NAT部口。圖定義NAT內(nèi)部、外部接口址范圖顯行局部地圍。圖定義工作站的內(nèi)部局部IP地址范圍圖顯。圖為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換圖顯。3.5

圖為工作站定義復(fù)用地址轉(zhuǎn)換配置接入路由器InternetRouter上的ACL路由器是外網(wǎng)進(jìn)校園網(wǎng)內(nèi)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路列表ListACL護(hù)內(nèi)有效手段計(jì)問不僅起制作用，還軟、硬件資的情下完成一般件防火產(chǎn)品的功能由路由介企業(yè)內(nèi)網(wǎng)和外之間是網(wǎng)與網(wǎng)行通信時(shí)道障，所以即網(wǎng)裝了防后仍然對(duì)器控進(jìn)對(duì)企防。在本實(shí)例設(shè)計(jì)中將針對(duì)服器以及內(nèi)網(wǎng)工作站的安全給出廣域網(wǎng)接入路器InternetRouter上ACL的案。在網(wǎng)絡(luò)環(huán)境中普存在著一非常重要的、影響服務(wù)器群安全的隱患。在多境它該外蔽的。以的計(jì)：。用這，程主機(jī)可以監(jiān)視、制網(wǎng)絡(luò)的其它網(wǎng)絡(luò)設(shè)。它兩類：和。如圖所協(xié)議SNMP。圖對(duì)外屏蔽簡單網(wǎng)管協(xié)議首先，telnet可大設(shè)備和服務(wù)，并可以關(guān)全們。其是型。使用telnet登備時(shí)用戶口在的，很上協(xié)備獲。險(xiǎn)的以。圖對(duì)議telnet。圖對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議telnet要有SUNOS端口2049遠(yuǎn)執(zhí)行rsh、程登錄（rlogin）遠(yuǎn)程命令（）口512、、514，遠(yuǎn)程過程調(diào)用SUNRPC）端口111可以，如圖3-12所。圖對(duì)外屏蔽其它不安全的協(xié)議或服務(wù)攻DoSofServiceAttack，拒）是一常見且破段，它可服、網(wǎng)設(shè)常服務(wù)進(jìn)停，重時(shí)會(huì)導(dǎo)致服務(wù)器作系統(tǒng)崩潰。圖3-13示了見DoS攻擊的ACL。圖針對(duì)攻擊的設(shè)計(jì)網(wǎng)、器，護(hù)的不言而的。，必器限。應(yīng)許自服務(wù)器群的地配置路由器時(shí)以

命行VTY訪圖示。3.6

圖保護(hù)路由器自身安全其它配置為對(duì)無類別網(wǎng)絡(luò)（）零子）的，由器InternetRouter適如圖所。圖定義對(duì)無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持4

遠(yuǎn)程訪問模塊設(shè)計(jì)遠(yuǎn)程訪問也是園網(wǎng)絡(luò)必須供的服務(wù)之一。它可以為家庭辦公用戶和出。如圖所示。圖遠(yuǎn)程訪問服務(wù)程訪三種可選的服務(wù)類型：線連接、路交換和包交換。不同的提質(zhì)同，花同。本設(shè)中由面對(duì)的用戶群規(guī)模、業(yè)小，所采用了異撥號(hào)連術(shù)。步撥接屬于電路交換類型廣域網(wǎng)連接，它是在傳統(tǒng)公共換話SwitchedTelephoneNetworkPSTN的統(tǒng)PSTN提供簡電PlanSystem，目話境最足，步為為方便的問類。網(wǎng)型議，如HDLCPPP等。其，提功，可提可，壓縮、綁等優(yōu)勢(shì)計(jì)采步議是。在本設(shè)計(jì)中采用了可以集成在廣域網(wǎng)接入路由器InternetRotuer中步模（16PortAnalogModemNetwork提遠(yuǎn)程多供務(wù)。以一步模塊步驟。4.1

配置物理線路的基本參數(shù)線度（DTEDCE、停位、流、允連議、允向圖4-2所。4.2

圖配置物理線路的基本參數(shù)配置接口基本參數(shù)口的包括：口類型、口異模式、址、配IP式，圖4-3。，戶從IP地池中得IP地。圖配置接口基本參數(shù)，需個(gè)地的IP。如圖4-4所，建了為的IP地。其IP地是～192.168.200.16。4.3

圖指定IP地址池配置身份認(rèn)證提了兩種可選的身份認(rèn)證方法：口驗(yàn)證協(xié)議PAP（PasswordAuthentication，PAP）和質(zhì)詢握手協(xié)議（ChallengeHandshakeAuthenticationCHAP。PAP是、實(shí)驗(yàn)。PAP認(rèn)進(jìn)雙信建行如成功，在通不行認(rèn)如證失釋路。認(rèn)比PAP認(rèn)更安全，因?yàn)椴簧习l(fā)文，列也稱“字符”。同，進(jìn)，括正程中。此非用截獲了，此密將時(shí)效。系統(tǒng)要高，需要多進(jìn)行身質(zhì)詢響。需要耗的CPU。PAP有和的弱鏈初貴寬。用法。1、本數(shù)據(jù)庫如圖。圖建立本地口令數(shù)據(jù)庫2、進(jìn)行PAP證如圖進(jìn)證。5

圖設(shè)置進(jìn)行認(rèn)證服務(wù)器模塊設(shè)計(jì)服務(wù)器模塊用來對(duì)園網(wǎng)接入用戶提供各種務(wù)。在本設(shè)計(jì)實(shí)例中，所有的服務(wù)器被集中VLAN100構(gòu)成器群并通過分布層交換機(jī)DistributeSwitch1網(wǎng)。圖5-1。

的端口1～20圖服務(wù)器群（包括：zzzzzzzzz

服供WEB。務(wù)。、。供服務(wù)。提據(jù)務(wù)。供享務(wù)。：通務(wù)。提媒體點(diǎn)務(wù)。校設(shè)合。如圖器IP。圖各服務(wù)器IP地址配置表2、的型。表服務(wù)器硬件平臺(tái)、操作系統(tǒng)以及服務(wù)軟件的選型表于篇，種服務(wù)器的安裝、置步驟及運(yùn)行維護(hù)方，這不?？紩?

系統(tǒng)測試6.1

系統(tǒng)測試前面幾節(jié)對(duì)如何計(jì)一個(gè)較完整的校園網(wǎng)網(wǎng)絡(luò)進(jìn)行了詳細(xì)的介紹。校園網(wǎng)初具規(guī)模后，應(yīng)該校園網(wǎng)整細(xì)評(píng)。內(nèi)括：zzzzzzzz

對(duì)管理IP地試對(duì)相同VLAN信進(jìn)。對(duì)不同VLAN試。作測試。由上的。由上的ACL進(jìn)試。進(jìn)試。供行試。于具測試步驟，限于篇幅不再贅述。這里，只給出相關(guān)試診。6.2

相關(guān)測試、診斷命令本文的最后，按同的功能每種技術(shù)分類，給出路由器或交換機(jī)上常用同，還每的。6.2.1

通用測試、命令標(biāo)準(zhǔn)命性。擴(kuò)展通性。擴(kuò)展命令靈活義參，如ping數(shù)，發(fā)包，的等。命令t