中小型校園網(wǎng)設(shè)計(jì)方案和對策實(shí)例

./〔中小型校園網(wǎng)設(shè)計(jì)方案實(shí)例目錄1系統(tǒng)總體設(shè)計(jì)方案概述11.1 系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu)21.2 VLAN及IP地址規(guī)劃32 交換模塊設(shè)計(jì)42.1 訪問層交換服務(wù)的實(shí)現(xiàn)－配置訪問層交換機(jī)52.1.1 配置訪問層交換機(jī)AccessSwitch1的基本參數(shù)52.1.2 配置訪問層交換機(jī)AccessSwitch1的管理IP、默認(rèn)網(wǎng)關(guān)72.1.3 配置訪問層交換機(jī)AccessSwitch1的VLAN及VTP82.1.4 配置訪問層交換機(jī)AccessSwitch1端口基本參數(shù)92.1.5 配置訪問層交換機(jī)AccessSwitch1的訪問端口92.1.6 配置訪問層交換機(jī)AccessSwitch1的主干道端口112.1.7 配置訪問層交換機(jī)AccessSwitch2112.1.8 訪問層交換機(jī)的其它可選配置122.2 分布層交換服務(wù)的實(shí)現(xiàn)－配置分布層交換機(jī)132.2.1 配置分布層交換機(jī)DistributeSwitch1的基本參數(shù)142.2.2 配置分布層交換機(jī)DistributeSwitch1的管理IP、默認(rèn)網(wǎng)關(guān)142.2.3 配置分布層交換機(jī)DistributeSwitch1的VTP152.2.4 在分布層交換機(jī)DistributeSwitch1上定義VLAN162.2.5 配置分布層交換機(jī)DistributeSwitch1的端口基本參數(shù)172.2.6 配置分布層交換機(jī)DistributeSwitch1的3層交換功能182.2.7 配置分布層交換機(jī)DistributeSwitch2192.2.8 其它配置202.3 核心層交換服務(wù)的實(shí)現(xiàn)－配置核心層交換機(jī)202.3.1 配置核心層交換機(jī)CoreSwitch1的基本參數(shù)212.3.2 配置核心層交換機(jī)CoreSwitch1的管理IP、默認(rèn)網(wǎng)關(guān)212.3.3 配置核心層交換機(jī)CoreSwitch1的的VLAN及VTP222.3.4 配置核心層交換機(jī)CoreSwitch1的端口參數(shù)222.3.5 配置核心層交換機(jī)CoreSwitch1的路由功能232.3.6 其它配置242.3.7 核心層交換機(jī)CoreSwitch2的配置243 廣域網(wǎng)接入模塊設(shè)計(jì)243.1 配置接入路由器InternetRouter的基本參數(shù)253.2 配置接入路由器InternetRouter的各接口參數(shù)253.3 配置接入路由器InternetRouter的路由功能263.4 配置接入路由器InternetRouter上的NAT263.5 配置接入路由器InternetRouter上的ACL283.6 其它配置314 遠(yuǎn)程訪問模塊設(shè)計(jì)314.1 配置物理線路的基本參數(shù)324.2 配置接口基本參數(shù)324.3 配置身份認(rèn)證335 服務(wù)器模塊設(shè)計(jì)346 系統(tǒng)測試366.1 系統(tǒng)測試366.2 相關(guān)測試、診斷命令366.2.1 通用測試、診斷命令366.2.2 CDP測試、診斷命令396.2.3 路由和路由協(xié)議測試、診斷命令416.2.4 VLAN、VTP測試、診斷命令416.2.5 生成樹測試、診斷命令426.2.6 NAT測試、診斷命令436.2.7 ACL測試、診斷命令43遠(yuǎn)程訪問測試、診斷命令44總結(jié)44附錄:資源45〔中小型校園網(wǎng)設(shè)計(jì)方案實(shí)例本文以實(shí)例的形式對校園網(wǎng)絡(luò)的設(shè)計(jì)方案進(jìn)行分析并給出校園網(wǎng)絡(luò)關(guān)鍵設(shè)備的配置步驟、配置命令以及診斷命令和方法。通過本文,相信讀者能夠系統(tǒng)地掌握中小型園區(qū)網(wǎng)的設(shè)計(jì)、實(shí)施以及維護(hù)方法及技巧。1 系統(tǒng)總體設(shè)計(jì)方案概述校園網(wǎng)絡(luò)〔COMPUSNETWORK,下文中也稱為園區(qū)網(wǎng)絡(luò)是非常典型的綜合網(wǎng)絡(luò)實(shí)例。為了闡明主要問題,在本設(shè)計(jì)方案中對實(shí)際校園網(wǎng)的設(shè)計(jì)進(jìn)行了適當(dāng)?shù)暮捅匾暮喕Ｍ瑫r(shí),將重點(diǎn)放在網(wǎng)絡(luò)主干的設(shè)計(jì)上,對于服務(wù)器的架設(shè)只作簡單介紹,具體內(nèi)容參考有關(guān)參考書。如圖1-1所示,是該校園網(wǎng)網(wǎng)絡(luò)的總體拓?fù)浣Y(jié)構(gòu)圖。圖1-1 ××校園網(wǎng)網(wǎng)絡(luò)的總體拓?fù)浣Y(jié)構(gòu)在上面的拓?fù)鋱D中,學(xué)校的6個(gè)主要集中接入點(diǎn)〔計(jì)算機(jī)系、管理系、建筑系、財(cái)務(wù)處、教務(wù)處、學(xué)生宿舍通過冗余的光纖鏈路上連到信息中心的核心層交換機(jī)上。核心層交換機(jī)通過Cisco3640路由器接入因特網(wǎng)。此外,教工宿舍及移動辦公用戶通過撥號方式接入路由器3640來訪問校園網(wǎng)內(nèi)網(wǎng)及因特網(wǎng)。圖中,以計(jì)算機(jī)系為例展示了每個(gè)建筑物內(nèi)部的網(wǎng)絡(luò)設(shè)備拓?fù)浣Y(jié)構(gòu),并給出了信息中心內(nèi)部的網(wǎng)絡(luò)設(shè)備拓?fù)浣Y(jié)構(gòu)。在接下來的討論中,我們將展開并詳細(xì)討論每個(gè)模塊的設(shè)計(jì)內(nèi)容。1.1系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu)為了實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一,本設(shè)計(jì)方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品,即Cisco公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的主要好處在于可以實(shí)現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。本校園網(wǎng)設(shè)計(jì)方案主要由以下四大部分構(gòu)成交換模塊廣域網(wǎng)接入模塊、遠(yuǎn)程訪問模塊、服務(wù)器模塊。整個(gè)網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖如圖1-2所示。圖1-2 校園網(wǎng)整體拓?fù)浣Y(jié)構(gòu)圖1.2VLAN及IP地址規(guī)劃在一個(gè)大、中型網(wǎng)絡(luò)里,VLAN的劃分是必不可少的步驟之一。在本校園網(wǎng)設(shè)計(jì)實(shí)例中,整個(gè)校園網(wǎng)中VLAN及IP編址方案如表1所示。表1 N及P除了表1中的內(nèi)容外,撥號用戶從7中動態(tài)取得IP地址。為了簡化起見,除了管理VLAN外,這里只規(guī)劃了8個(gè)VLAN,同時(shí)為每個(gè)VLAN定義了一個(gè)由拼音縮寫組成的VLAN名稱。2 交換模塊設(shè)計(jì)一個(gè)好的校園網(wǎng)設(shè)計(jì)應(yīng)該是一個(gè)分層的設(shè)計(jì)。一般分為三層設(shè)計(jì)模型。為了簡化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò)的可擴(kuò)展性,在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換模塊的部署是分層進(jìn)行的。園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個(gè)層次：訪問層、分布層、核心層。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層。現(xiàn)代交換技術(shù)還實(shí)現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率,更大大增強(qiáng)了園區(qū)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量,滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。現(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)〔VirtualLAN,VLAN的概念。VLAN將廣播域限制在單個(gè)VLAN內(nèi)部,減小了各VLAN間主機(jī)的廣播通信對其他VLAN的影響在VLAN間需要通信的時(shí)候可以利用VLAN間路由技術(shù)來實(shí)現(xiàn)。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時(shí),可以使用VLAN中繼協(xié)議〔VlanTrunkingProtocol,VTP簡化管理,它只需在單獨(dú)一臺交換機(jī)上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機(jī)上。這樣,大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。當(dāng)園區(qū)網(wǎng)絡(luò)的交換機(jī)數(shù)量增多、交換機(jī)間鏈路增加時(shí),交換網(wǎng)絡(luò)的復(fù)雜性可能會造成交換環(huán)路問題這需要通過在各交換機(jī)上運(yùn)行生成樹協(xié)〔SpanningTreeProtocol,STP來解決。2.1訪問層交換服務(wù)的實(shí)現(xiàn)－配置訪問層交換機(jī)訪問層為所有的終端用戶提供一個(gè)接入點(diǎn)。這里的訪問層交換機(jī)采用的是CiscoCatalyst295024口交換機(jī)〔WS-C2950-24。該交換機(jī)擁有24個(gè)10/100Mbps自適應(yīng)快速以太網(wǎng)端口,運(yùn)行的是Cisco的IOS操作系統(tǒng)。這里,以圖2-1中的訪問層交換機(jī)AccessSwitch1為例進(jìn)行介紹。如圖2-1所示：圖2-1 訪問層交換機(jī)AccessSwitch12.1.1配置訪問層交換機(jī)AccessSwitch11、設(shè)置交換機(jī)名稱設(shè)置交換機(jī)名稱,也就是出現(xiàn)在交換機(jī)CLI提示符中的名字。一般以地理位置或行政劃分來為交換機(jī)命名當(dāng)需要Telnet登錄到若干臺交換機(jī)以維護(hù)一個(gè)大型網(wǎng)絡(luò)時(shí),通過交換機(jī)名稱提示符提示自己當(dāng)前配置交換機(jī)的位置是很有必要的。如圖2-2所示,為訪問層交換機(jī)AccessSwitc1命名。圖2-2 為訪問層交換機(jī)AccessSwitch1命名2、設(shè)置交換機(jī)的加密使能口令當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時(shí),需要提供此口令。此口令會以MD5的形式加密,因此,當(dāng)用戶查看配置文件時(shí),無法看到明文形式的口令。如圖2-3所示,將交換機(jī)的加密使能口令設(shè)置為secretpaswd。圖2-3 為交換機(jī)設(shè)置加密使能口令3、設(shè)置登錄虛擬終端線時(shí)的口令對于一個(gè)已經(jīng)運(yùn)行著的交換網(wǎng)絡(luò)來說,交換機(jī)的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理人員提供了很多的方便。但是,出于安全考慮,在能夠遠(yuǎn)程管理交換機(jī)之前網(wǎng)絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機(jī)的口令。如圖2-4所示,設(shè)置登錄交換機(jī)時(shí)需要驗(yàn)證用戶身份,同時(shí)設(shè)置口令為youguess。圖2-4 為訪問層交換機(jī)AccessSwitch1命名4、設(shè)置終端線超時(shí)時(shí)間為了安全考慮,可以設(shè)置終端線超時(shí)時(shí)間。在設(shè)置的時(shí)間內(nèi),如果沒有檢測到鍵盤輸入,IOS將斷開用戶和交換機(jī)之間的連接。如圖2-5所示,設(shè)置登錄交換機(jī)的控制臺終端線路及虛擬終端線的超時(shí)時(shí)間為5分30秒鐘。圖2-5 設(shè)置控制臺終端線路和虛擬終端線路的超時(shí)時(shí)間5、設(shè)置禁用IP地址解析特性在交換機(jī)默認(rèn)配置的情況下,當(dāng)輸入一條錯(cuò)誤的交換機(jī)命令時(shí),交換機(jī)會嘗試將其廣播給網(wǎng)絡(luò)上的DNS服務(wù)器并將其解析成對應(yīng)的IP地址。利用命令noipdomain-lookup?？梢越眠@個(gè)特性。如圖2-6所示,設(shè)置禁用IP地址解析特性。圖2-6 設(shè)置禁用IP地址解析特性6、設(shè)置啟用消息同步特性有時(shí),用戶輸入的交換機(jī)配置命令會被交換機(jī)產(chǎn)生的消息打亂。可以使用命令loggingsynchronous設(shè)置交換機(jī)在下一行CLI提示符后復(fù)制用戶的輸入。如圖2-7所示,設(shè)置啟用消息同步特性。圖2-7 設(shè)置啟用消息同步特性2.1.2配置訪問層交換機(jī)AccessSwitch1的管理IP訪問層交換機(jī)是OSI參考模型的第2層設(shè)備即數(shù)據(jù)鏈路層的設(shè)備因此,給訪問層交換機(jī)的每個(gè)端口設(shè)置IP地址是沒意義的但是為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到訪問層交換機(jī)上進(jìn)行管理,必須給訪問層交換機(jī)設(shè)置一個(gè)管理用IP地址。這種情況下,實(shí)際上是將交換機(jī)看成和PC機(jī)一樣的主機(jī)。給交換機(jī)設(shè)置管理用IP地址只能在VLAN1,即本征VLAN中進(jìn)行。按照表2-1,管理VLAN所在的子網(wǎng)是：/24,這里將訪問層交換機(jī)AccessSwitch1的管理IP地址設(shè)為：4。如圖2-8所示,顯示了為訪問層交換機(jī)AccessSwitch1設(shè)置管理IP并激活本征VLAN。圖2-8 設(shè)置訪問層交換機(jī)AccesSwitch1的管理IP為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī),還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān)地址。如圖2-9所示。圖2-9 設(shè)置訪問層交換機(jī)AccesSwitch1的默認(rèn)網(wǎng)關(guān)地址2.1.3配置訪問層交換機(jī)AccessSwitch1的VLAN及從提高效率的角度出發(fā),在本校園網(wǎng)實(shí)現(xiàn)實(shí)例中使用了VTP技術(shù)。同時(shí),將分布層交換機(jī)DistributeSwitch1設(shè)置成為VTP服務(wù)器其他交換機(jī)設(shè)置成為VTP客戶機(jī)。這里訪問層交換機(jī)AccessSwitch1將通過VTP獲得在分布層交換機(jī)DistributeSwitch1中定義的所有VLAN的信息。如圖2-10所示,設(shè)置訪問層交換機(jī)AccessSwitch1成為VTP客戶機(jī)。圖2-10 設(shè)置訪問層交換機(jī)AccesSwitch1成為VTP客戶機(jī)2.1.4 配置訪問層交換機(jī)AccessSwitch1端口基本參1、端口雙工配置可以設(shè)定某端口根據(jù)對端設(shè)備雙工類型自動調(diào)整本端口雙工模式,也可以強(qiáng)制將端口雙工模式設(shè)為半雙工或全雙工模式。在了解對端設(shè)備類型的情況下,建議手動設(shè)置端口雙工模式。如圖2-11所示,設(shè)置訪問層交換機(jī)AccessSwitch1的所有端口均工作在全雙工模式。圖2-1 設(shè)置訪問層交換機(jī)AccesSwitch1的端口工作模式2、端口速度可以設(shè)定某端口根據(jù)對端設(shè)備速度自動調(diào)整本端口速度,也可以強(qiáng)制將端口速度設(shè)為10Mpbs或100Mbps。在了解對端設(shè)備速度的情況下,建議手動設(shè)置端口速度。如圖2-12所示,設(shè)置訪問層交換機(jī)AccessSwitch1的所有端口的速度均為100Mbps。圖2-12 設(shè)置訪問層交換機(jī)AccessSwitch1的端口速度2.1.5配置訪問層交換機(jī)AccessSwitch1訪問層交換機(jī)AccessSwitch1為終端用戶提供接入服務(wù)。在圖2-1中,訪問層交換機(jī)AccessSwitch1為VLAN10、VLAN20提供接入服務(wù)。如圖2-13所示,設(shè)置訪問層交換機(jī)AccessSwitch1的端口1～端口10工作在訪問〔接入模式。同時(shí),設(shè)置端口1～端口10為VLAN10的成員。圖2-13 設(shè)置訪問層交換機(jī)AccesSwitch1的端口1～102、設(shè)置訪問層交換機(jī)AccessSwitch1的端口11～20如圖2-14所示設(shè)置訪問層交換機(jī)AccessSwitch1的端口11～端口20工作在訪問〔接入模式。同時(shí),設(shè)置端口1～端口10為VLAN20的成員。圖2-14 設(shè)置訪問層交換機(jī)AccesSwitch1的端口1～203、設(shè)置快速端口默認(rèn)情況下,交換機(jī)在剛加電啟動時(shí),每個(gè)端口都要經(jīng)歷生成樹的四個(gè)階段：阻塞、偵聽、學(xué)習(xí)、轉(zhuǎn)發(fā)。在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前,某個(gè)端口可能最多要等50秒鐘的時(shí)〔20秒的阻塞時(shí)間＋15秒的偵聽延遲時(shí)間＋15秒的學(xué)習(xí)延遲時(shí)間。對于直接接入終端工作站的端口來說用于阻塞和偵聽的時(shí)間是不必要的。為了加速交換機(jī)端口狀態(tài)轉(zhuǎn)化時(shí)間,可以設(shè)置將某端口設(shè)置成為快速端口〔Portfast。設(shè)置為快速端口的端口當(dāng)交換機(jī)啟動或端口有工作站接入時(shí)將會直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài),而不會經(jīng)歷阻塞、偵聽、學(xué)習(xí)狀態(tài)〔假設(shè)橋接表已經(jīng)建立。如圖2-15所示,設(shè)置訪問層交換機(jī)AccessSwitch1的端口1～端口20為快速端口。圖2-15 設(shè)置快速端口2.1.6 配置訪問層交換機(jī)AccessSwitch1的主干道端如圖2-1所示,訪問層交換機(jī)AccessSwitch1通過端口FastEthernet0/23上連到分布層交換機(jī)DistributeSwitch1的端口FastEthernet0/23同時(shí)訪問層交換機(jī)AccessSwitch1還通過端口FastEthernet0/24上連到分布層交換機(jī)DistributeSwitch2的端口FastEthernet0/23。這兩條上連鏈路將成為主干道鏈路,在這兩條上連鏈路上將運(yùn)輸多個(gè)VLAN的數(shù)據(jù)。如圖2-16所示設(shè)置訪問層交換機(jī)AccessSwitch1的端口FastEthernet0/23、FastEthernet0/24為主干道端口。圖2-16 設(shè)置主干道端口2.1.7配置訪問層交換機(jī)訪問層交換機(jī)AccessSwitch2為VLAN30和VLAN40的用戶提供接入服務(wù)。同時(shí)分別通過自己的FastEthernet0/23FastEthernet0/24上連到分布層交換機(jī)DistributeSwitch1、DistributeSwitch2的端口FastEthernet0/24。如圖2-17所示,是訪問層交換機(jī)AccessSwitch2的連接示意圖。圖2-17 訪問層交換機(jī)AccessSwitch2的連接示意圖對訪問層交換機(jī)AccessSwitch2的配置步驟、命令和對訪問層交換機(jī)AccessSwitch1的配置類似這里不再詳細(xì)分析只給出最后的配置文件內(nèi)容〔只留下了必要的命令。需要指出的是,為了提供主干道的吞吐量,可以采用鏈路捆綁〔快速以太網(wǎng)信道技術(shù)增加可用帶寬。例如,可以將訪問層交換機(jī)AccessSwitch1的端口FastEthernet0/21和FastEthernet0/22捆綁在一起實(shí)現(xiàn)200Mbps的快速以太網(wǎng)信道,然后再上連到分布層交換機(jī)DistributeSwitch1。同樣,也可以將訪問層交換機(jī)AccessSwitch1的端口FastEthernet0/23和FastEthernet0/24捆綁在一起實(shí)現(xiàn)200Mbps的快速以太網(wǎng)信道,然后再上連到分布層交換機(jī)DistributeSwitch2具體的配置步驟和命令將在核心層交換機(jī)的配置一節(jié)中進(jìn)行介紹。2.1.81、Uplinkfast訪問層交換機(jī)AccessSwitch1通過兩條冗余上行鏈路分別接入分布層交換機(jī)DistributeSwitch1和DistributeSwitch2在生成樹的作用下其中一條上行鏈路處于轉(zhuǎn)發(fā)狀態(tài),而另一條上行鏈路處于阻塞狀態(tài)。當(dāng)處于轉(zhuǎn)發(fā)狀態(tài)的鏈路因故障斷開后,經(jīng)過最多大約50秒鐘的時(shí)間,處于阻塞狀態(tài)的鏈路才能替代故障鏈路工作。Uplinkfast特性可以使得當(dāng)主上行鏈路失敗后,處于阻塞狀態(tài)的上行鏈路〔備份上行鏈路可以立即啟用。如圖2-18所示,是在訪問層交換機(jī)AccessSwitch1上啟用Uplinkfast特性。同樣的步驟也可以在訪問層交換機(jī)AccessSwitch2上進(jìn)行配置。圖2-18 啟用Uplinkfast特性注意,Uplinkfast特性只能在訪問層交換機(jī)上啟用。2、BackbonefastBackbonefast的作用與Uplinkfast類似也用于加快生成樹的收斂所不同的是,Backbonefast可以檢測到間接鏈路〔非直連鏈路故障并立即使得相應(yīng)阻塞端口的最大壽命計(jì)時(shí)器到時(shí),從而縮短該端口可以開始轉(zhuǎn)發(fā)數(shù)據(jù)包的時(shí)間。如圖2-19所示,是在訪問層交換機(jī)AccessSwitch1上啟用Backbonefast特性。同樣的步驟需要在網(wǎng)絡(luò)中的所有交換機(jī)上進(jìn)行配置。圖2-19 啟用Backbonefast特性注意,Backbonefast特性需要在網(wǎng)絡(luò)中所有交換機(jī)上進(jìn)行配置。2.2分布層交換服務(wù)的實(shí)現(xiàn)－配置分布層交換機(jī)分布層除了負(fù)責(zé)將訪問層交換機(jī)進(jìn)行匯集外,還為整個(gè)交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能。這里的分布層交換機(jī)采用的是CiscoCatalyst3550交換機(jī)作為3層交換機(jī),CiscoCatalyst3550交換機(jī)擁有24個(gè)10/100Mbps自適應(yīng)快速以太網(wǎng)端口,同時(shí)還有2個(gè)1000Mbps的GBIC端口供上連使用,運(yùn)行的是Cisco的IntegratedIOS操作系統(tǒng)。這里,以圖2-1中的分布層交換機(jī)DistributeSwitch1為例進(jìn)行介紹。如圖2-20所示：圖2-20 分布層交換機(jī)DistributeSwitch12.2.1配置分布層交換機(jī)DistributeSwitch1對分布層交換機(jī)DistributeSwitch1的基本參數(shù)的配置步驟與對訪問層交換機(jī)AccessSwitch1的基本參數(shù)的配置類似。這里,只給出實(shí)際的配置步驟,不再給出具體解釋,如圖2-21所示。圖2-21 配置分布層交換機(jī)DistriuteSwitch1的基本參數(shù)2.2.2配置分布層交換機(jī)DistributeSwitch1的管理IP如圖2-22所示顯示了為分布層交換機(jī)DistributeSwitch1設(shè)置管理IP并激活本征VLAN。同時(shí),還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。圖2-22 分布層交換機(jī)DistributeSwitch1理IP、默認(rèn)網(wǎng)關(guān)2.2.3配置分布層交換機(jī)DistributeSwitch1的當(dāng)網(wǎng)絡(luò)中交換機(jī)數(shù)量很多時(shí),需要分別在每臺交換機(jī)上創(chuàng)建很多重復(fù)的VLAN工作量很大過程很繁瑣并且容易出錯(cuò)在實(shí)際工作中常采用VLAN中繼協(xié)議〔VlanTrunkingProtocol,VTP來解決這個(gè)問題。VTP允許在一臺交換機(jī)上創(chuàng)建所有的VLAN。然后,利用交換機(jī)之間的互相學(xué)習(xí)功能將創(chuàng)建好的VLAN定義傳播到整個(gè)網(wǎng)絡(luò)中需要此VLAN定義的所有交換機(jī)上同時(shí)有關(guān)VLAN的刪除參數(shù)更改操作均可傳播到其他交換機(jī)。從而大大減輕了網(wǎng)絡(luò)管理人員配置交換機(jī)的負(fù)擔(dān)。在本校園網(wǎng)實(shí)現(xiàn)實(shí)例中使用了VTP技術(shù)。同時(shí),將分布層交換機(jī)DistributeSwitch1設(shè)置成為VTP服務(wù)器,其他交換機(jī)設(shè)置成為VTP客戶機(jī)。1、配置VTP管理域共享相同VLAN定義數(shù)據(jù)庫的交換機(jī)構(gòu)成一個(gè)VTP管理域。每一個(gè)VTP管理域都有一個(gè)共同的VTP管理域域名。不同VTP管理域的交換機(jī)之間不交換VTP通告信息。如圖2-23所示,將VTP管理域的域名定義為"chinaitlab"。圖2-23 設(shè)置VTP管理域的域名2、設(shè)置VTP服務(wù)器工作在VTP服務(wù)器模式下的交換機(jī)可以創(chuàng)建刪除VLAN修改VLAN參數(shù)。同時(shí),還有責(zé)任發(fā)送和轉(zhuǎn)發(fā)VLAN更新消息。如圖2-24所示,設(shè)置分布層交換機(jī)DistributeSwitch1成為VTP服務(wù)器。圖2-24 設(shè)置分布層交換機(jī)DistriuteSwitch1成為VTP服務(wù)器3、激活VTP剪裁功能默認(rèn)情況下主干道傳輸所有VLAN的用戶數(shù)據(jù)。有時(shí),交換網(wǎng)絡(luò)中某臺交換機(jī)的所有端口都屬于同一VLAN的成員沒有必要接收其他VLAN的用戶數(shù)據(jù)這時(shí)可以激活主干道上的VTP剪裁功能當(dāng)激活了VTP剪裁功能以后,交換機(jī)將自動剪裁本交換機(jī)沒有定義的VLAN數(shù)據(jù)。在一個(gè)VTP域下,只需要在VTP服務(wù)器上激活VTP剪裁功能。同一VTP域下的所有其他交換機(jī)也將自動激活VTP剪裁功能。如圖2-25所示,設(shè)置激活VTP剪裁功能。圖2-25 激活VTP剪裁功能2.2.4在分布層交換機(jī)DistributeSwitch1上定義在本校園網(wǎng)實(shí)現(xiàn)實(shí)例中,除了默認(rèn)的本征VLAN外,又額外定義了8個(gè)VLAN,如表2-1所示。由于使用了VTP技術(shù),所以,所有VLAN的定義都只需要在VTP服務(wù)器,即分布層交換機(jī)DistributeSwitch1上進(jìn)行。如圖2-26所示,定義了8個(gè)VLAN,同時(shí)為每個(gè)VLAN命名。2.2.5配置分布層交換機(jī)DistributeSwitch1分布層交換機(jī)DistributeSwitch1的端口FastEthernet0/1～FastEthernet0/10為服務(wù)器群提供接入服務(wù),而端口FastEthernet0/23、FastEthernet0/24分別下連到訪問層交換機(jī)AccessSwitch1的端口FastEthernet0/23以及訪問層交換機(jī)AccessSwitch2的端口FastEthernet0/23。此外,分布層交換機(jī)DistributeSwitch1 還通過自己的千兆端口GigabitEthernet0/1上連到核心交換機(jī)CoreSwitch1的GigabitEthernet3/1。為了實(shí)現(xiàn)冗余設(shè)計(jì),分布層交換機(jī)DistributeSwitch1還通過自己的千兆端口GigabitEthernet0/2連接另一臺到分布層交換機(jī)DistributeSwitch2的GigabitEthernet0/2。如圖2-27所示,給出了對所有訪問端口、主干道端口的配置步驟和命令。圖2-26 定義VLAN圖2-27 設(shè)置分布層交換機(jī)DistriuteSwitch1的各端口參數(shù)2.2.6配置分布層交換機(jī)DistributeSwitch1的3分布層交換機(jī)DistributeSwitch1需要為網(wǎng)絡(luò)中的各個(gè)VLAN提供路由功能。這需要首先啟用分布層交換機(jī)的路由功能。如圖2-28所示。圖2-28 啟用路由功能接下來,需要為每個(gè)VLAN定義自己的默認(rèn)網(wǎng)關(guān)地址,如圖2-29所示。圖2-29 定義各VLAN的默認(rèn)網(wǎng)關(guān)地址此外還需要定義通往Internet的路由這里使用了一條缺省路由命令如圖2-30所示。其中,下一跳地址是Internet接入路由器的快速以太網(wǎng)接口FastEthernet0/0的IP地址。圖2-30 定義到Intert的缺省路由2.2.7配置分布層交換機(jī)分布層交換機(jī)DistributeSwitch2的端口FastEthernet0/23FastEthernet0/24分別下連到訪問層交換機(jī)AccessSwitch1的端口FastEthernet0/24以及訪問層交換機(jī)AccessSwitch2的端口FastEthernet0/24。此外,分布層交換機(jī)DistributeSwitch2 還通過自己的千兆端口GigabitEthernet0/1上連到核心交換機(jī)CoreSwitch1的GigabitEthernet3/2。為了實(shí)現(xiàn)冗余設(shè)計(jì),分布層交換機(jī)DistributeSwitch2還通過自己的千兆端口GigabitEthernet0/2連接到分布層交換機(jī)DistributeSwitch1的GigabitEthernet0/2。如圖2-31所示。圖2-31 分布層交換機(jī)DistributeSwitch2對分布層交換機(jī)DistributeSwitch2的配置步驟、命令和對分布層交換機(jī)DistributeSwitch1的配置類似。這里,不再詳細(xì)分析。2.2.8 其它配為了實(shí)現(xiàn)對無類別網(wǎng)絡(luò)〔ClasslessNetwork以及全零子網(wǎng)〔Subnet-zero的支持,在充當(dāng)3層交換機(jī)的分布層交換機(jī)DistributeSwitch1上,還需要進(jìn)行相應(yīng)的配置,如圖2-32所示。圖2-32 定義對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持2.3核心層交換服務(wù)的實(shí)現(xiàn)－配置核心層交換機(jī)核心層將各分布層交換機(jī)互連起來進(jìn)行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。本實(shí)例中的核心層交換機(jī)采用的是CiscoCatalyst4006交換機(jī),采用了Catalyst4500SupervisorIIPlu〔WS-X4013+作為交換機(jī)引擎運(yùn)行的是Cisco的IntegratedIOS操作系統(tǒng),其鏡像文件是CAT400.6-3-5.BI在作為核心層交換機(jī)的CiscoCatalyst4006交換機(jī)中安裝了WS-X4306-GB〔Catalyst4000GigabitEthernetModule,6-Ports〔GBIC模塊,該模塊提供了5個(gè)千兆光纖上連接口,可以用來接入WS-G5484〔1000BASE-SX ShortWavelength GBIC〔Multimodeonly。這里,以圖2-1中的核心層交換機(jī)CoreSwitch1為例進(jìn)行介紹。如圖2-33所示：圖2-33 核心層交換機(jī)CoreSwitch12.3.1配置核心層交換機(jī)CoreSwitch1對核心層交換機(jī)CoreSwitch1的基本參數(shù)的配置步驟與對訪問層交換機(jī)AccessSwitch1的基本參數(shù)的配置類似這里只給出實(shí)際的配置步驟不再給出具體解釋,如圖2-34所示。圖2-34 配置核心層交換機(jī)CoreSwitch1的基本參數(shù)2.3.2配置核心層交換機(jī)CoreSwitch1的管理IP如圖2-35所示顯示了為核心層交換機(jī)CoreSwitch1設(shè)置管理IP并激活本征VLAN。同時(shí),還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。圖2-35 核心層交換機(jī)CoreSwitch1的管理IP、默認(rèn)網(wǎng)關(guān)2.3.3配置核心層交換機(jī)CoreSwitch1的的VLAN及在本實(shí)例中,核心層交換機(jī)CoreSwitch1也將作為VTP客戶機(jī)。這里核心層交換機(jī)CoreSwitch1 將通過VTP 獲得在分布層交換機(jī)DistributeSwitch1中定義的所有VLAN的信息。如圖2-36所示,設(shè)置核心層交換機(jī)CoreSwitch1成為VTP客戶機(jī)。圖2-36 設(shè)置核心層交換機(jī)CoreSwitch1為VTP客戶機(jī)2.3.4配置核心層交換機(jī)CoreSwitch1核心層交換機(jī)CoreSwitch1通過自己的端口FastEthernet4/3同廣域網(wǎng)接入模塊〔Internet路由器相連。同時(shí),核心層交換機(jī)CoreSwitch1的端口GigabitEthernet3/1～GigabitEthernet3/2分別下連到分布層交換機(jī)DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet0/1。如圖2-37所示,給出了對上述端口的配置命令。圖2-37 設(shè)置核心層交換機(jī)CoreSwitch1的各端口參數(shù)此外,為了提供主干道的吞吐量以及實(shí)現(xiàn)冗余設(shè)計(jì),在本設(shè)計(jì)中,將核心層交換機(jī)CoreSwitch1的千兆端口GigabitEthernet2/1GigabitEthernet2/2捆綁在一起實(shí)現(xiàn)2000Mbps的千兆以太網(wǎng)信道,然后再連接到另一臺核心層交換機(jī)CoreSwitch2。如圖2-38所示,是設(shè)置核心層交換機(jī)CoreSwitch1的千兆以太網(wǎng)信道的步驟。圖2-38 設(shè)置核心層交換機(jī)CoreSwitch1的千兆以太網(wǎng)信道2.3.5配置核心層交換機(jī)CoreSwitch1核心層交換機(jī)CoreSwitch1通過端口FastEthernet4/3同廣域網(wǎng)接入模塊〔Internet路由器相連因此需要啟用核心層交換機(jī)的路由功能同時(shí)還需要定義通往Internet的路由這里使用了一條缺省路由命令如圖2-39所示。其中,下一跳地址是Internet接入路由器的快速以太網(wǎng)接口FastEthernet0/0的IP地址。圖2-39 定義到Intert的缺省路由如圖所示。2.3.6 其它配為了實(shí)現(xiàn)對無類別網(wǎng)絡(luò)〔ClasslessNetwork以及全零子網(wǎng)〔Subnet-zero的支持,在充當(dāng)3層交換機(jī)的核心層交換機(jī)CoreSwitch1,也需要進(jìn)行相應(yīng)的配置,如圖2-40所示。圖2-40 定義對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持2.3.7核心層交換機(jī)CoreSwitch2對于圖2-1-中的核心層交換機(jī)CoreSwitch2的配置步驟命令和對核心層交換機(jī)CoreSwitch1的配置類似。這里,不再詳細(xì)分析。同時(shí),對于配置核心層交換機(jī)CoreSwitch2下連的一系列交換機(jī),其連接方法以及配置步驟和命令同圖2-1-中核心層交換機(jī)CoreSwitch1下連的一系列交換機(jī)的連接方法以及配置步驟和命令類似。這里也不再贅述。3 廣域網(wǎng)接入模塊設(shè)計(jì)在本實(shí)例設(shè)計(jì)中,廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器InternetRouter來完成的。采用的是Cisco的3640路由器。它通過自己的串行接口serial0/0使用DDN〔128K技術(shù)接入Internet。其作用主要是在Internet和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務(wù)外,利用訪問控制列表〔AccessControlListACL廣域網(wǎng)接入路由器InternetRouter還可以用來完成以自身為中心的流量控制和過濾功能并實(shí)現(xiàn)一定的安全功能如圖3-1所示。圖3-1 廣域網(wǎng)接入路由器IntertRouter3.1配置接入路由器InternetRouter的基本參數(shù)對接入路由器InternetRouter的基本參數(shù)的配置步驟與對訪問層交換機(jī)AccessSwitch1的基本參數(shù)的配置類似這里只給出實(shí)際的配置步驟不再給出具體的解釋,如圖3-2所示。圖3-2 配置接入路由器Interetouter的基本參數(shù)3.2配置接入路由器InternetRouter的各接口參數(shù)對接入路由器InternetRouter的各接口參數(shù)的配置主要是對接口FastEthernet0/0以及接口Serial0/0的IP地址、子網(wǎng)掩碼的配置。如圖3-3所示,顯示了為接入路由器InternetRouter的各接口設(shè)置IP地址、子網(wǎng)掩碼。圖3-3 設(shè)置接入路由器Interetouter的各接口參數(shù)3.3配置接入路由器InternetRouter的路由功能在接入路由器InternetRouter上需要定義兩個(gè)方向上的路由到校園網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由。到Internet上的路由需要定義一條缺省路由,如圖3-4所示。其中,下一跳指定從本路由器的接口serial0/0送出。圖3-4 定義到Intert的缺省路由到校園網(wǎng)內(nèi)部的路由條目可以經(jīng)過路由匯總后形成兩條路由條目如圖3-5所示。圖3-5 定義到校園網(wǎng)內(nèi)部的路由3.4配置接入路由器InternetRouter上的NAT由于目前IP地址資源非常稀缺,不可能給校園網(wǎng)內(nèi)部的所有工作站都分配一個(gè)公有I〔Internet可路由的地址為了解決所有工作站訪問Internet的需要,必須使用NAT〔網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。為了接入Internet,本校園網(wǎng)向當(dāng)?shù)豂SP申請了9個(gè)IP地址。其中一個(gè)IP地址被分配給了Internet接入路由器的串行接口另外8個(gè)IP地址：～用作NAT。NAT的配置可以分為以下幾個(gè)步驟：1、定義NAT內(nèi)部、外部接口圖3-6顯示了如何定義NAT內(nèi)部、外部接口。圖3-6 定義T內(nèi)部、外部接口2、定義允許進(jìn)行NAT的工作站的內(nèi)部局部IP地址范圍圖3-7顯示了如何定義允許進(jìn)行NAT的內(nèi)部局部IP地址范圍。圖3-7 定義工作站的內(nèi)部局部IP地址范圍3、為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換圖3-8顯示了如何為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換。圖3-8 為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換4、為其他工作站定義復(fù)用地址轉(zhuǎn)換圖3-9顯示了如何為其他工作站定義復(fù)用地址轉(zhuǎn)換。圖3-9 為工作站定義復(fù)用地址轉(zhuǎn)換3.5配置接入路由器InternetRouter上的ACL路由器是外網(wǎng)進(jìn)入校園網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡,是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問控制列表〔AccessControlList,ACL是保護(hù)內(nèi)網(wǎng)安全的有效手段。一個(gè)設(shè)計(jì)良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用,還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間,是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時(shí)的第一道屏障,所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后,仍然有必要對路由器的訪問控制列表進(jìn)行縝密的設(shè)計(jì),來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實(shí)施保護(hù)。在本實(shí)例設(shè)計(jì)中,將針對服務(wù)器以及內(nèi)網(wǎng)工作站的安全給出廣域網(wǎng)接入路由器InternetRouter上ACL的配置方案。在網(wǎng)絡(luò)環(huán)境中普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。在絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實(shí)現(xiàn)中它們都是應(yīng)該對外加以屏蔽的。主要應(yīng)該做以下的ACL設(shè)計(jì)：1、對外屏蔽簡單網(wǎng)管協(xié)議,即SNMP。利用這個(gè)協(xié)議,遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型：SNMP和SNMPTRAP。如圖3-10所示,顯示了如何設(shè)置對外屏蔽簡單網(wǎng)管協(xié)議SNMP。圖3-10 對外屏蔽簡單網(wǎng)管協(xié)議SNMP2、對外屏蔽遠(yuǎn)程登錄協(xié)議telnet首先telnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和UNIX服務(wù)器并可以使用相關(guān)命令完全操縱它們。其次,telnet是一種不安全的協(xié)議類型。用戶在使用telnet登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時(shí)所使用的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?很容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲這是極其危險(xiǎn)的因此必須加以屏蔽。如圖3-11所示,顯示了如何對外屏蔽遠(yuǎn)程登錄協(xié)議telnet。圖3-1 對外屏蔽遠(yuǎn)程登錄協(xié)議tlnet3、對外屏蔽其它不安全的協(xié)議或服務(wù)這樣的協(xié)議主要有SUNOS的文件共享協(xié)議端口2049,遠(yuǎn)程執(zhí)行〔rsh、遠(yuǎn)程登錄〔rlogin和遠(yuǎn)程命令〔rcmd端口512、513、514,遠(yuǎn)程過程調(diào)用〔SUNRPC端口111。可以將針對以上協(xié)議綜合進(jìn)行設(shè)計(jì),如圖3-12所示。圖3-12 對外屏蔽其它不安全的協(xié)議或服務(wù)4、針對DoS攻擊的設(shè)計(jì)DoS攻擊〔DenialofServiceAttack,拒絕服務(wù)攻擊是一種非常常見而且極具破壞力的攻擊手段,它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止,嚴(yán)重時(shí)會導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。圖3-13顯示了如何設(shè)計(jì)針對常見DoS攻擊的ACL。圖3-13 針對DoS攻擊的設(shè)計(jì)5、保護(hù)路由器自身安全作為內(nèi)網(wǎng)外網(wǎng)間屏障的路由器保護(hù)自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器,必須對路由器的訪問位置加以限制。應(yīng)只允許來自服務(wù)器群的IP地址訪問并配置路由器。這時(shí),可以使用ACCESS-CLASS命令進(jìn)行VTY訪問控制。如圖3-14所示。圖3-14 保護(hù)路由器自身安全3.6其它配置為了實(shí)現(xiàn)對無類別網(wǎng)絡(luò)〔ClasslessNetwork以及全零子網(wǎng)〔Subnet-zero的支持,在接入路由器InternetRouter上還需要進(jìn)行適當(dāng)?shù)呐渲?如圖3-15所示。圖3-15 定義對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持4 遠(yuǎn)程訪問模塊設(shè)計(jì)遠(yuǎn)程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一。它可以為家庭辦公用戶和出差在外的員工提供遠(yuǎn)程、移動接入服務(wù)。如圖4-1所示。圖4-1 遠(yuǎn)程訪問服務(wù)遠(yuǎn)程訪問有三種可選的服務(wù)類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同,花費(fèi)也不相同。在本設(shè)計(jì)中,由于面對的用戶群規(guī)模、業(yè)務(wù)量較小,所以采用了異步撥號連接作為遠(yuǎn)程訪問的技術(shù)手段。異步撥號連接屬于電路交換類型的廣域網(wǎng)連接,它是在傳統(tǒng)公共交換電話網(wǎng)〔PublicSwitchedTelephoneNetwork,PSTN上提供服務(wù)的。傳統(tǒng)PSTN提供的服務(wù)也被稱為簡易老式電話業(yè)務(wù)〔PlanOldTelephoneSystem,POTS。因?yàn)槟壳按嬖谥罅堪惭b好的電話線所以這樣的環(huán)境是最容易滿足的因此,異步撥號連接也就成為最為方便和普遍的遠(yuǎn)程訪問類型。廣域網(wǎng)連接可以采用不同類型的封裝協(xié)議,如HDLC、PPP等。其中,PPP除了提供身份認(rèn)證功能外,還可以提供其他很多可選項(xiàng)配置,包括鏈路壓縮、多鏈路捆綁回叫等因此更具優(yōu)勢本設(shè)計(jì)所采用的異步連接封裝協(xié)議是PPP。在本設(shè)計(jì)中采用了可以集成在廣域網(wǎng)接入路由器InternetRotuer中的異步Modem模塊NM-16AM〔16PortAnalogModemNetworkModule提供遠(yuǎn)程訪問服務(wù)。它可以同時(shí)對最多16路撥號用戶提供遠(yuǎn)程接入服務(wù)。以下介紹一下配置異步撥號模塊NM-16AM的步驟。4.1配置物理線路的基本參數(shù)對物理線路的配置包括配置線路速度〔DTE、DCE之間的速率、停止位位數(shù)、流控方式、允許呼入連接的協(xié)議類型、允許流量的方向等。如圖4-2所示。圖4-2 配置物理線路的基本參數(shù)4.2配置接口基本參數(shù)對接口基本參數(shù)的配置包括接口封裝協(xié)議類型接口異步模式IP地址、為遠(yuǎn)程客戶分配IP地址的方式等,如圖4-3所示。這里,設(shè)置遠(yuǎn)程客戶從IP地址池rasclients中獲得IP地址。圖4-3 配置接口基本參數(shù)接下來,需要建立一個(gè)本地的IP地址池。如圖4-4所示,建立了一個(gè)名為rasclients的IP地址池。其IP地址范圍是：～6。圖4-4 指定IP地址池4.3配置身份認(rèn)證PPP提供了兩種可選的身份認(rèn)證方法：口令驗(yàn)證協(xié)議PAP〔PasswordAuthenticationProtocol,PAP和質(zhì)詢握手協(xié)議〔ChallengeHandshakeAuthenticationProtocol,CHAP。PAP是一個(gè)簡單的、實(shí)用的身份驗(yàn)證協(xié)議。PAP認(rèn)證進(jìn)程只在雙方的通信鏈路建立初期進(jìn)行。如果認(rèn)證成功,在通信過程中不再進(jìn)行認(rèn)證。如果認(rèn)證失敗,則直接釋放鏈路。CHAP認(rèn)證比PAP認(rèn)證更安全,因?yàn)镃HAP不在線路上發(fā)送明文密碼,而是發(fā)送經(jīng)過摘要算法加工過的隨機(jī)序列,也被稱為"挑戰(zhàn)字符串"。同時(shí),身份認(rèn)證可以隨時(shí)進(jìn)行,包括在雙方正常通信過程中。因此,非法用戶就算截獲并成功破解了一次密碼,此密碼也將在一段時(shí)間內(nèi)失效。CHAP對端系統(tǒng)要求很高,因?yàn)樾枰啻芜M(jìn)行身份質(zhì)詢、響應(yīng)。這需要耗費(fèi)較多的CPU資源,因此只用在對安全要求很高的場合。PAP雖然有著用戶名和密碼是明文發(fā)送的弱點(diǎn),但是認(rèn)證只在鏈路建立初期進(jìn)行,因此節(jié)省了寶貴的鏈路帶寬。本設(shè)計(jì)中將采用PAP身份認(rèn)證方法。1、建立本地口令數(shù)據(jù)庫如圖4-5所示建立本地口令數(shù)據(jù)庫。圖4-5 建立本地口令數(shù)據(jù)庫2、設(shè)置進(jìn)行PAP認(rèn)證如圖4-6所示設(shè)置進(jìn)行PAP認(rèn)證。圖4-6 設(shè)置進(jìn)行P認(rèn)證5 服務(wù)器模塊設(shè)計(jì)服務(wù)器模塊用來對校園網(wǎng)的接入用戶提供各種服務(wù)。在本設(shè)計(jì)實(shí)例中,所有的服務(wù)器被集中到VLAN100,構(gòu)成服務(wù)器群并通過分布層交換機(jī)DistributeSwitch1的端口fastethernet1～20接入校園網(wǎng)。如圖5-1所示。圖5-1 服務(wù)器群校園網(wǎng)網(wǎng)絡(luò)提供的常用服務(wù)〔服務(wù)器包括：z WEB服務(wù)器：提供WEB網(wǎng)站服務(wù)。z DNS、目錄服務(wù)器：提供域名解析以及目錄服務(wù)。z FTP、文件服務(wù)器：提供文件傳輸、共享服務(wù)。z 郵件服務(wù)器：提供郵件收發(fā)服務(wù)。z 數(shù)據(jù)庫服務(wù)器：提供各種數(shù)據(jù)庫服務(wù)。z 打印服務(wù)器：提供打印機(jī)共享服務(wù)。z 實(shí)時(shí)通信服務(wù)器：提供實(shí)時(shí)通信服務(wù)。z 流媒體服務(wù)器：提供各種流媒體播放、點(diǎn)播服務(wù)。z 網(wǎng)管服務(wù)器：對校園網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行綜合管理。如圖5-2所示。顯示了各服務(wù)器IP地址配置情況。圖5-2 各服務(wù)器IP地址配置表2給出了所有的服務(wù)器硬件平臺、操作系統(tǒng)以及服務(wù)軟件的選型表。表2 限于篇幅,對于各種服務(wù)器的安裝、配置步驟以及運(yùn)行維護(hù)方法,這里不再贅述。感興趣的讀者可以參看有關(guān)參考書。6 系統(tǒng)測試6.1系統(tǒng)測試前面幾節(jié)對如何設(shè)計(jì)一個(gè)較為完整的校園網(wǎng)網(wǎng)絡(luò)進(jìn)行了詳細(xì)的介紹。當(dāng)校園網(wǎng)初具規(guī)模后,還應(yīng)該對校園網(wǎng)的整體運(yùn)行情況做一下細(xì)致的測試和評估。主要的測試內(nèi)容應(yīng)該包括：z 對管理IP地址的測試。z 對相同VLAN內(nèi)的通信進(jìn)行測試。z 對不同VLAN內(nèi)的通信進(jìn)行測試。z 對冗余鏈路的工作狀態(tài)進(jìn)行測試。z 對廣域網(wǎng)接入路由器上的NAT進(jìn)行測試。z 對廣域網(wǎng)接入路由器上的ACL進(jìn)行測試。z 對遠(yuǎn)程訪問服務(wù)進(jìn)行測試。z 對各種服務(wù)器提供的服務(wù)進(jìn)行測試。至于具體的測試步驟,限于篇幅,不再贅述。這里,只給出相關(guān)測試、診斷命令。6.2相關(guān)測試、診斷命令本文的最后,按不同的功能按每種技術(shù)分類,給出路由器或交換機(jī)上常用的相關(guān)測試、診斷命令。同時(shí),還給出了每一命令的作用。6.2.11、ping標(biāo)準(zhǔn)ping命令。用于測試設(shè)備間的物理連通性。2、ping擴(kuò)展ping命令也用于測試設(shè)備間的物理連通性擴(kuò)展ping命令還支持靈活定義ping參數(shù),如ping數(shù)據(jù)包的大小,發(fā)送包的個(gè)數(shù),等待響應(yīng)數(shù)據(jù)包的超時(shí)時(shí)間等。3、traceroute命令traceroute用于跟蹤、顯示路由信息。4、showrunning-config命令showrunning-config用于顯示路由器、交換機(jī)運(yùn)行配置文件的內(nèi)容。5、showstartup-config命令showstartup-config用于顯示路由器、交換機(jī)啟動配置文件的內(nèi)容。6、showsessions命令showsessions用于顯示從當(dāng)前設(shè)備發(fā)出的所有呼出Telnet會話。7、disconnect命令disconnect用于斷開與遠(yuǎn)程目標(biāo)主機(jī)的Telnet會話。8、showusers命令showusers用于查看呼入Telnet會話情況。命令clearline用于斷開遠(yuǎn)程主機(jī)的呼入Telnet連接。10、shutdown命令shutdown用于臨時(shí)將某個(gè)接口關(guān)閉。11、noshutdown命令noshutdown用于手動啟動〔激活處于管理性關(guān)閉的接口。12、showarp命令showarp用于顯示ARP緩存〔ARP表的內(nèi)容。13、showiparp命令showiparp用于顯示IPARP緩存〔ARP表的內(nèi)容。14、showinterfaces命令showinterface用于顯示各接口的狀態(tài)及參數(shù)信息。15、showipinterface命令showipinterface用于顯示IP接口的狀態(tài)及配置信息。命令showversion用于顯示路由器硬件配置、軟件版本等信息。17、Ctrl+Shift+6+x該命令也被稱為"退出序列",用于終止正在執(zhí)行的某條命令或操作,也用于從呼出Telnet會話中暫時(shí)切換到本地連接。18、dirflash:命令dirflash:用于顯示閃存中的文件清單。19、dirnvram:命令dirnvram:用于顯示非易失性內(nèi)存中的文件清單。20、showdebugging命令showdebugging用于顯示正在進(jìn)行的診斷過程清單。21、undebugall命令undebugall用于停止所有診斷過程。6.2.2