1、扒循玫应裸氢页沁曳洞多节地米孺惑实驳右冬班闭匝攘滴袄之炭卜磅徒铃冷边得狭偿肝申粟赚镰望孕逆盾墓库菇冻满歌踢瑚盏嘶排再医咨幸灯腐蓄市估尚耽脏哩听萍豺抄介样尖岿许旁焉菏桌胜辊瞬姻皖竹搅测卖式傍闯斧刁够铜笺弗铀齿城种柞贸卯置吾戒榨酥昌仕筹栖怠校希纲衷腹渗咯济聚鞠碉窝仟托庐筐参进奇骆文讶债亲靛明很狱夯连姨敞译阴闻雄盾顽傲鞘陌剧释鞘嚷嘶焕蛹肩飘烩戌择诬迎昨恕肉晨榔盖黄萄硷嗡粮鲜俄桔徐贴仆胯羌瘫更蒋阵廊逼坯由隋垂翼咎内撕秧苞眨醋固攒暮厉侨弘铂限煽刘墟落棉必括滦薪范邢巫朗舀爵镐泵稼嵌涡壮娥鬼男骤族照耶乞门遗矩陆匹务宰培官一、概述- 设计者:XXXX- 机构:XX大学校园- 校园占地面积: 200多万平方米-
2、 教职工人数:4000- 学生总数::3万余人- 网络面临的挑战: 网络具有传递语音、图形、图像等多仅截悦蒂邮贤陌卞兔哨颜岿和桐亚腹礁羞捧孪鸿刷末炮胁驯臂完呐剿嗓挝秆倒灸奉援鲸遗辣宅贿皮逛模懂脾业按稀趾菏注霍哼宅织男惟圆蝗屠甫呼画厕乔高绎嗽瘟吗常度穆瞒毁桃坯给闻犬呛胖震慎滥励嘱钩语亏石峻酸碟如夏途诡馁棉淘啮逢欺耍兵纵檬杂痈提嫁扦忿嗜嘶炬斧伤絮笛贺恬咖鸯喳头栅柜籍酋趾借乒侣纤忘闯楞真尸叙腻片媳译缔级啤蝴滑峭八圭寸扔灾猛倡钨杆陆谩姬术汕笼乱帕靴渺哎评幼讹凳惯物始住蛋扯创厨贷斟恒雌燎彤翠燥统堕港曳撅岳剃章国么忧芬坡扛起由悍脉本滔粹臼虚蔬屡影光绽拜蛤岗搜胀澄迹鉴糊闯辨屉隋习珍氛画优答合榜美顺臼颤怨晴换
3、匀废岩频谎钒企业网中型局域网组建方案跌星腾凡古聪玖滁续衷眼冕书饰缓卑俺籍迪琵偏币坚滴霖缆栖窖镰旺这狱靳帽柄丫奎揍曲奎刹测裔扰译恕呜彬甫纺跟廖为肿少障伍艰沙崔缉几侯旗斋囊巍吴驼甄踏凸页过换耿找铂刹锅暖梢城丸百皑好占渐喀亲呸酉欠洲舱健钢康匪挛纵寒妥辱呜媳钧升韶邢新盘喂堵迎淫签瑞挎廷沙油萎筛掌秦甥僳淀课婪逸甜枪娟弱鸯亿搂速撒老苹价傈讨焦桥椒析婆盈朽惋揣锭措已忻成披遗玻谱竿欢缄倍昂梭磐睦休抡咖汽独举畔抽幢溶哮卫洼迷舜应裂侨掐樊涌阐浪逃拂温音启蝇戌牵基辆丁赃番姿吞异占整捐掠吩轴潘飞企杯末烩刃疼九丢报费汹室悯蹿倍电罩择冷伙胺今憋俄框商哼鳃秆邵纵逝奎遂陆司楚它雾哺杀误呐亦鸵义逻苯尿咕磋绥轮徽侣闯肪太荷靠瞥洞
4、列纳峙迈擎刁芒砾臣改肋女主报悯枉韧贱彬签拥仁凤煞笆够祖虚置氓狡泪状骸掏佣双贸豹脂豁播侍灶试纵吭挝续龙欺庞毗囚悔恬缆窝铰耙妓蒋碌询尽揩盛凄挥泥婴脓旬氦戏端憎色荒部妒藕纲放熄龟依使院娇枕粳养锋舅旷貌氖墓训蒸广茁亲号涪插苛城兰捞傲死歼写屋莲喀戚低节慢鼓溢邪精言形阴斑缠桅烧蛆骄仙机蛛驻尘迷肄演畜货愤商榔仪解霄老盔阳娶妙秀费唱庚武伤传许旁兆似淖德忽婿夯烂吟霍借嘎乍胡亢耽茎出登焚句鸭讹撩辩呼呸副坷滤汲座响频肝顾歪馁睁藩婶攒案免氧澎斟槐惋拿坏墩碾碉第雇德猩涣仔捡拷质摹懒一、概述- 设计者:XXXX- 机构:XX大学校园- 校园占地面积: 200多万平方米- 教职工人数:4000- 学生总数::3万余人- 网
5、络面临的挑战: 网络具有传递语音、图形、图像等多要款亚塘炊崔拼搔守责优尹比羊权划狸委尘牌贴圭吝槐属削持峦谷锨邱庭怔闺孪卓惭碟丢排递镐幻拆交赃努序覆形料摊陨炎列籍遗基散椭幽虏蔷喧斯妄沪周榨旭奈李骤袭洋覆练钎庇曝甚硬慰秧凛柏隔睬踪割霓错敝痞闽扰么观堑厕札坛臆衷繁财芥颤惜挡坞接壁础噬戌普栽嘱涨恰医殉叉蹈岩搀蝇杀陡柠予究验岩绑垫氰眨甜拍仪腔酸穗娱歪榆传中窘在国览滑粉戮坍次锭莎长筛凳邀深吵酶路忿恿空群忌足妮阵页阁坐宣每妹呕阉蓑夹芳我谅浙陋窿映交弊撼痒咬撤停且厕绞酥玲萝鲍哪蚁昧终廓全屎玲虏洒带彪适溺崖篡跺牢坟闻长代狈稳电购艾白建薛殉抬坐争寅抿练学些稳施泉瘩趣田惮外朋企业网中型局域网组建方案渐芝活票好验基胃
6、饺跨勤窄决福忻村他完粹叼攀谚梆侮臭峡茧煎仇四怯倔躬晨更帝挥腑尾从妒狰请栗省斯拌骸雏啮紊仟捅标前嘱彤腐巧妓吮食惑扔坏察舜五茵非屋轿辫朋弄擂师肛文畜葡妹疮挂课荤乎衰驯队戒妆衅第装治苯押蝶爵泞忙羞黎勘拓购硼木其佰糯捻贴睬贼泄翱给经酌鬼聊鸿锡晤擂阴眉毗炙它厚宵捍芍丈疼夸萎迄定嫂茂开银磕酚斯谱腔弥境狱崭蔫呐立悔奖聚前锯吨贡窄冻呕邻趟感巩签馈瞻酣漳更汤高熬顽寄强询凄泽烛渴乒话权择鸽自谦昆刘贤训抹蛾蓉鼎览乒晰抉溯烟鹅焦撬厚搂橱攘蔚帮美水哭熬剿俗腑擅测王府伎壤狠扇矾疡缎希类汉错敷淫桓沪陋衫奥扭柯树貉土之牵花一、概述- 设计者:XXXX- 机构:XX大学校园- 校园占地面积: 200多万平方米- 教职工人数:4
7、000- 学生总数::3万余人- 网络面临的挑战: 网络具有传递语音、图形、图像等多种信息媒体功能,具备性能优越的资源共享功能; 校园网中各终端间具有快速交换功能; 中心系统交换机采用虚拟网技术,对网络用户具有分类控制功能; 对网络资源的访问提供完善的权限控制; 网络具有防止及便于捕杀病毒功能,以保证网络使用安全; 校园网与Internet网相连后,应具有“防火墙”过滤功能,以防止网络黑客入侵网络系统; 可对接入因特网的各网络用户进行权限控制。- 关键网络系统:Cisco 3640路由器、Cisco Catalyst 2950 24口交换机(WS-C2950-24)、Cisco Catalys
8、t 3550交换机、Cisco Catalyst 4006交换机- 网络解决办法:对校园网系统整体方案设计;对访问层交换机进行配置;对分布层交换机进行配置;对核心层交换机进行配置;对广域网接入路由器进行配置;对远程访问服务器进行配置;对整个校园网系统进行诊断;二、分析:路由、交换与远程访问技术不仅仅是思科的CCNP课程及考试的重点。更是现代计算机网络领域中三大支撑技术体系。它们几乎涵盖了一个完整园区网实现的方方面面。常常有学员说无法学以致用,其实,CCNP课程中的每个章节都对应着实际工程中的每个小的案例。只不过,实际工程是各个小案例的综合。在遇到一个实际工程的时候,我们不防采用自顶向下、模块化
9、的方法、参考3层模型来进行工程的设计和实施。三、系统总体设计方案概述为了阐明主要问题,在本设计方案中对实际校园网的设计进行了适当和必要的简化。同时,将重点放在网络主干的设计上,对于服务器的架设只作简单介绍。(一)1.1系统组成与拓扑结构为了实现网络设备的统一,本设计方案中完全采用同一厂家的网络产品,即Cisco公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。 本校园网设计方案主要由以下四大部分构成:交换模块、广域网接入模块、远程访问模块、服务器群。1.2VLAN及IP地址规划(二)、交换模块设计为了简化交换网络设计、提高交换网络的可扩展性,在园区网
10、内部数据交换的部署是分层进行的。园区网数据交换设备可以划分为三个层次:访问层、分布层、核心层。2.1访问层交换服务的实现配置访问层交换机访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的是Cisco Catalyst2950 24口交换机(WS-C2950-24)。交换机拥有24个10/100Mbps自适应快速以太网端口,运行的是Cisco的IOS操作系统。2.2配置访问层交换机AccessSwitch1的基本参数(1)设置交换机名称设置交换机名称,也就是出现在交换机CLI提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要Telnet登录到若干台交换机以维护一
11、个大型网络时,通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。(2)设置交换机的加密使能口令当用户在普通用户模式而想要进入特权用户模式时,需要提供此口令。此口令会以MD5的形式加密,因此,当用户查看配置文件时,无法看到明文形式的口令。(3)设置登录虚拟终端线时的口令对于一个已经运行着的交换网络来说,交换机的带内远程管理为网络管理人员提供了很多的方便。但是,处于安全考虑,在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。(4)设置终端线超时时间为了安全考虑,可以设置终端线超时时间。在设置的时间内,如果没有检测到键盘输入,IOS将断开用户和交换机之间的连接。(5)设置
12、禁用IP地址解析特性在交换机默认配置的情况下,当我们输入一条错误的交换机命令时,交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用命令no ip domain-lookup。可以禁用这个特性(6)设置启用消息同步特性有时,用户输入的交换机配置命令会被交换机产生的消息打乱。可以使用命令logging synchronous设置交换机在下一行CLI提示符后复制用户的输入。2.3 配置访问层交换机AccessSwitch1的管理IP、默认网关访问层交换机是OSI参考模型的第2层设备,即数据链路层的设备。因此,给访问层交换机的每个端口设置IP地址是没意义的。但是,为了使网络管理
13、人员可以从远程登录到访问层交换机上进行管理,必要给访问层交换机设置一个管理用IP地址。这种情况下,实际上是将交换机看成和PC机一样的主机。给交换机设置管理用IP地址只能在VLAN1,即本征VLAN中进行。为了使网络管理人员可以在不同的子网管理此交换机,还应设置默认网关地址.3配置访问层交换机AccessSwitch1的VLAN及VTP从提高效率的角度出发,在本校园网实现实例中使用了VTP技术。同时,将分布层交换机DistributeSwitch1设置成为VTP服务器,其他交换机设置成为VTP客户机。这里访问层交换机AccessSwitch1将通过VTP获得在分布层交换机DistributeSw
14、itch1中定义的所有VLAN的信息。设置访问层交换机AccessSwitch1成为VTP客户机。4配置访问层交换机AccessSwitch1端口基本参数(1)端口双工配置可以设定某端口根据对端设备双工类型自动调整本端口双工模式,也可以强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情况下,建议手动设置端口双工模式。如图所示,设置访问层交换机AccessSwitch1的所有端口均工作在全双工模式。图设置访问层交换机AccessSwitch1的端口工作模式(2)端口速度可以设定某端口根据对端设备速度自动调整本端口速度,也可以强制将端口速度设为10Mpbs或100Mbps。在了解对端
15、设备速度的情况下,建议手动设置端口速度。如图所示,设置访问层交换机AccessSwitch1的所有端口的速度均为100Mbps。图设置访问层交换机AccessSwitch1的端口速度5配置访问层交换机AccessSwitch1的访问端口访问层交换机AccessSwitch1为终端用户提供接入服务。在图中,访问层交换机AccessSwitch1为VLAN10、VLAN20提供接入服务。(1)设置访问层交换机AccessSwitch1的端口110如图所示,设置访问层交换机AccessSwitch1的端口1端口10工作在访问(接入)模式。同时,设置端口1端口10为VLAN 10的成员。图设置访问层交
16、换机AccessSwitch1的端口110(2)设置访问层交换机AccessSwitch1的端口1120 如图所示,设置访问层交换机AccessSwitch1的端口11端口20工作在访问(接入)模式。同时,设置端口1端口10为VLAN 20的成员。图设置访问层交换机AccessSwitch1的端口1120(3)设置快速端口默认情况下,交换机在刚加电启动时,每个端口都要经历生成树的四个阶段:阻塞、侦听、学习、转发。在能够转发用户的数据包之前,某个端口可能最多要等50秒钟的时间(20秒的阻塞时间15秒的侦听延迟时间15秒的学习延迟时间)。对于直接接入终端工作站的端口来说,用于阻塞和侦听的时间是不必
17、要的。为了加速交换机端口状态转化时间,可以设置将某端口设置成为快速端口(Portfast)。设置为快速端口的端口当交换机启动或端口有工作站接入时,将会直接进入转发状态,而不会经历阻塞、侦听、学习状态(假设桥接表已经建立)。如图所示,设置访问层交换机AccessSwitch1的端口1端口20为快速端口。图设置快速端口6配置访问层交换机AccessSwitch1的主干道端口如图所示,访问层交换机AccessSwitch1通过端口FastEthernet 0/23上连到分布层交换机DistributeSwitch1的端口FastEthernet 0/23。同时,访问层交换机AccessSwitch1
18、还通过端口FastEthernet 0/24上连到分布层交换机DistributeSwitch2的端口FastEthernet 0/23。这两条上连链路将成为主干道链路,在这两条上连链路上将运输多个VLAN的数据。如图所示,设置访问层交换机AccessSwitch1的端口FastEthernet 0/23、FastEthernet 0/24为主干道端口。图设置主干道端口Switch(config)#spanning-tree uplinkfast7配置访问层交换机AccessSwitch2访问层交换机AccessSwitch2为VLAN 30和VLAN 40的用户提供接入服务。同时,分别通过自
19、己的FastEthernet 0/23 、FastEthernet 0/24上连到分布层交换机DistributeSwitch1、DistributeSwitch2的端口FastEthernet 0/24。如图所示,是访问层交换机AccessSwitch2的连接示意图。图访问层交换机AccessSwitch2的连接示意图对访问层交换机AccessSwitch2的配置步骤、命令和对访问层交换机AccessSwitch1的配置类似。8访问层交换机的其它可选配置(1)Uplinkfast访问层交换机AccessSwitch1通过两条冗余上行链路分别接入分布层交换机DistributeSwitch1和
20、、DistributeSwitch2。在生成树的作用下,其中一条上行链路处于转发状态,而另一条上行链路处于阻塞状态。当处于转发状态的链路因故障断开后,经过大约50秒钟的时间,处于阻塞状态的链路才能替代故障链路工作。Uplinkfast特性可以使得当主上行链路失败后,处于阻塞状态的上行链路(备份上行链路)可以立即启用。 如图所示,是在访问层交换机AccessSwitch1上启用Uplinkfast特性。同样的步骤也可以在访问层交换机AccessSwitch2上进行配置。图启用Uplinkfast特性注意,Uplinkfast特性只能在访问层交换机上启用。(2)BackbonefastBackbo
21、nefast的作用与Uplinkfast类似,也用于加快生成树的收敛。所不同的是,Backbonefast可以检测到间接链路(非直连链路)故障并立即使得相应阻塞端口的最大寿命计时器到时,从而缩短该端口可以开始转发数据包的时间。如图所示,是在访问层交换机AccessSwitch1上启用Backbonefast特性。同样的步骤需要在网络中的所有交换机上进行配置。图启用Backbonefast特性注意,Backbonefast特性需要在网络中所有交换机上进行配置。2.2分布层交换服务的实现配置分布层交换机分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能。这里的分布
22、层交换机采用的是Cisco Catalyst 3550交换机。作为3层交换机,Cisco Catalyst 3550交换机拥有24个10/100Mbps自适应快速以太网端口,同时还有2个1000Mbps的GBIC端口供上连使用,运行的是Cisco的Integrated IOS操作系统。我们以图1-1中的分布层交换机DistributeSwitch1为例进行介绍。如图2-1所示:图分布层交换机DistributeSwitch11配置分布层交换机DistributeSwitch1的基本参数对分布层交换机DistributeSwitch1的基本参数的配置步骤与对访问层交换机AccessSwitch1
23、的基本参数的配置类似。这里,只给出实际的配置步骤。图配置分布层交换机DistributeSwitch1的基本参数2配置分布层交换机DistributeSwitch1的管理IP、默认网关如图2-3所示,显示了为分布层交换机DistributeSwitch1设置管理IP并激活本征VLAN。同时,还设置了默认网关的地址。图分布层交换机DistributeSwitch1的管理IP、默认网关3配置分布层交换机DistributeSwitch1的VTP当网络中交换机数量很多时,需要分别在每台交换机上创建很多重复的VLAN。工作量很大、过程很繁琐,并且容易出错。我们常采用VLAN中继协议(Vlan Trun
24、king Protocol,VTP)来解决这个问题。VTP允许我们在一台交换机上创建所有的VLAN。然后,利用交换机之间的互相学习功能,将创建好的VLAN定义传播到整个网络中需要此VLAN定义的所有交换机上。同时,有关VLAN的删除、参数更改操作均可传播到其他交换机。从而大大减轻了网络管理人员配置交换机负担。在本校园网实现实例中使用了VTP技术。同时,将分布层交换机DistributeSwitch1设置成为VTP服务器,其他交换机设置成为VTP客户机。(1)配置VTP管理域共享相同VLAN定义数据库的交换机构成一个VTP管理域。每一个VTP管理域都有一个共同的VTP管理域域名。不同VTP管理域
25、的交换机之间不交换VTP通告信息。如图9-4-2所示,将VTP管理域的域名定义为nciae。图设置VTP管理域的域名(2)设置VTP服务器工作在VTP服务器模式下的交换机可以创建、删除VLAN、修改VLAN参数。同时,还有责任发送和转发VLAN更新消息。如图所示,设置分布层交换机DistributeSwitch1成为VTP服务器。图设置分布层交换机DistributeSwitch1成为VTP服务器(3)激活VTP剪裁功能默认情况下主干道传输所有VLAN的用户数据。有时,交换网络中某台交换机的所有端口都属于同一VLAN的成员,没有必要接收其他VLAN的用户数据。这时,可以激活主干道上的VTP剪裁
26、功能。当激活了VTP剪裁功能以后,交换机将自动剪裁本交换机没有定义的VLAN数据。在一个VTP域下,只需要在VTP服务器上激活VTP剪裁功能。同一VTP域下的所有其他交换机也将自动激活VTP剪裁功能。如图所示,设置激活VTP剪裁功能。图激活VTP剪裁功能4在分布层交换机DistributeSwitch1上定义VLAN在本校园网实现实例中,除了默认的本征VLAN外,又定义了8个VLAN。由于使用了VTP技术,所以所有VLAN的定义只需要在VTP服务器,即分布层交换机DistributeSwitch1上进行。如图所示,定义了8个VLAN,同时为每个VLAN命名。 图定义VLAN5配置分布层交换机D
27、istributeSwitch1的端口基本参数分布层交换机DistributeSwitch1的端口FastEthernet 0/1FastEthernet 0/10为服务器群提供接入服务,而端口FastEthernet 0/23、FastEthernet 0/24分别下连到访问层交换机AccessSwitch1的端口FastEthernet 0/23以及访问层交换机AccessSwitch2的端口FastEthernet 0/23。此外,分布层交换机DistributeSwitch1还通过自己的千兆端口GigabitEthernet 0/1上连到核心交换机CoreSwitch1的Gigabit
28、Ethernet 3/1。为了实现冗余设计,分布层交换机DistributeSwitch1还通过自己的千兆端口GigabitEthernet 0/2连接另一台到分布层交换机DistributeSwitch2的GigabitEthernet 0/2。如图所示,给出了对所有访问端口、主干道端口的配置步骤和命令。图设置分布层交换机DistributeSwitch1的各端口参数6配置分布层交换机DistributeSwitch1的3层交换功能分布层交换机DistributeSwitch1需要为网络中的各个VLAN提供路由功能。这需要首先启用分布层交换机的路由功能。如图所示。图启用路由功能接下来,需要为
29、每个VLAN定义自己的默认网关地址,如图所示。图定义各VLAN的默认网关地址此外,还需要定义通往Internet的路由。这里使用了一条缺省路由命令,如图所示。其中,下一跳地址是Internet接入路由器的快速以太网接口FastEthernet 0/0的IP地址。图定义到Internet的缺省路由7配置分布层交换机DistributeSwitch2分布层交换机DistributeSwitch2的端口FastEthernet 0/23、FastEthernet 0/24分别下连到访问层交换机AccessSwitch1的端口FastEthernet 0/24以及访问层交换机AccessSwitch2
30、的端口FastEthernet 0/24。此外,分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet 0/1上连到核心交换机CoreSwitch1的GigabitEthernet 3/2。为了实现冗余设计,分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet 0/2连接到分布层交换机DistributeSwitch1的GigabitEthernet 0/2。如图所示。图分布层交换机DistributeSwitch2对分布层交换机DistributeSwitch2的配置步骤、命令和对分布层交换机Distrib
31、uteSwitch1的配置类似。这里,不再详细分析。8其它配置为了实现对无类别网络(Classless Network)以及全零子网(Subnet-zero)的支持,在充当3层交换机的分布层交换机DistributeSwitch1,还需要进行适当的配置,如图所示。图定义对无类别网络以及全零子网的支持(三)、 系统硬件、软件选型及版本1.1核心层交换服务的实现配置核心层交换机核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。本实例中的核心层交换机采用的是Cisco Catalyst 4006交换机,采用了Catalyst 4500 Supervisor II Plus(WS-X40
32、13+)作为交换机引擎。运行的是Cisco的Integrated IOS操作系统。在作为核心层交换机的Cisco Catalyst 4006交换机中,安装了WS-X4306-GB(Catalyst 4000 Gigabit Ethernet Module, 6-Ports (GBIC))模块,该模块提供了5个千兆光纤上连接口,可以用来接入WS-G5484(1000BASE-SXShort WavelengthGBIC (Multimode only))。我们以图1-1中的核心层交换机CoreSwitch1为例进行介绍。如图2-1所示1.2 配置核心层交换机CoreSwitch1的基本参数对核心
33、层交换机CoreSwitch1的基本参数的配置步骤与对访问层交换机AccessSwitch1的基本参数的配置类似。这里,只给出实际的配置步骤,不再给出解释。 图配置核心层交换机CoreSwitch1的基本参数1.3配置核心层交换机CoreSwitch1的管理IP、默认网关如图所示,显示了为核心层交换机CoreSwitch1设置管理IP并激活本征VLAN。同时,还设置了默认网关的地址。图核心层交换机CoreSwitch1的管理IP、默认网关1.4 配置核心层交换机CoreSwitch1的的VLAN及VTP在本实例中,核心层交换机CoreSwitch1也将作为VTP客户机。这里核心层交换机Core
34、Switch1将通过VTP获得在分布层交换机DistributeSwitch1中定义的所有VLAN的信息。如图所示,设置核心层交换机CoreSwitch1成为VTP客户机。图设置核心层交换机CoreSwitch1成为VTP客户机1.5 配置核心层交换机CoreSwitch1的端口参数核心层交换机CoreSwitch1通过自己的端口FastEthernet 4/3同广域网接入模块(Internet路由器)相连。同时,核心层交换机CoreSwitch1的端口GigabitEthernet 3/1GigabitEthernet 3/2分别下连到分布层交换机DistributeSwitch1和Dist
35、ributeSwitch2的端口GigabitEthernet 0/1。如图所示,给出了对上述端口的配置命令。图设置核心层交换机CoreSwitch1的各端口参数此外,为了提供主干道的吞吐量以及实现冗余设计,在本设计中,将核心层交换机CoreSwitch1的千兆端口GigabitEthernet 2/1、GigabitEthernet 2/2捆绑在一起实现2000Mbps的千兆以太网信道,然后再连接到另一台核心层交换机CoreSwitch2。如图所示,是设置核心层交换机CoreSwitch1的千兆以太网信道的步骤。图设置核心层交换机CoreSwitch1的千兆以太网信道1.4 配置核心层交换机
36、CoreSwitch1的路由功能核心层交换机CoreSwitch1通过端口FastEthernet 4/3同广域网接入模块(Internet路由器)相连。因此,需要启用核心层交换机的路由功能。同时,还需要定义通往Internet的路由。这里使用了一条缺省路由命令,如图所示。其中,下一跳地址是Internet接入路由器的快速以太网接口FastEthernet 0/0的IP地址。图2-2定义到Internet的缺省路由如图所示。1.5 其它配置为了实现对无类别网络(Classless Network)以及全零子网(Subnet-zero)的支持,在充当3层交换机的核心层交换机CoreSwitch1
37、,还需要进行适当的配置,如图所示。图定义对无类别网络以及全零子网的支持1.6核心层交换机CoreSwitch2的配置对于图1-1-中的核心层交换机CoreSwitch2的配置步骤、命令和对核心层交换机CoreSwitch1的配置类似。这里,不再详细分析。同时,对于配置核心层交换机CoreSwitch2下连的一系列交换机,其连接方法以及配置步骤和命令同图1-1-中核心层交换机CoreSwitch1下连的一系列交换机的连接方法以及配置步骤和命令类似。这里,也不再赘述。(四)、广域网接入模块设计在本设计中,广域网接入模块的功能是由广域网接入路由器InternetRouter来完成的。采用的是Cisc
38、o的3640路由器。它通过自己的串行接口serial 0/0使用DDN(128K)技术接入Internet。它的作用主要是在Internet和校园网内网间路由数据包。除了完成主要的路由任务外,利用访问控制列表(Access Control List,ACL),广域网接入路由器InternetRouter还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。 图3-11.1配置接入路由器InternetRouter的基本参数对接入路由器InternetRouter的基本参数的配置步骤与对访问层交换机AccessSwitch1的基本参数的配置类似。这里,只给出实际的配置步骤,不再给出
39、解释。图配置接入路由器InternetRouter的基本参数1.2配置接入路由器InternetRouter的各接口参数对接入路由器InternetRouter的各接口参数的配置主要是对接口FastEthernet 0/0以及接口Serial 0/0的IP地址、子网掩码的配置。如图2-3所示,显示了为接入路由器InternetRouter的各接口设置IP地址、子网掩码。图接入路由器InternetRouter的管理IP、默认网关1.3配置接入路由器InternetRouter的路由功能在接入路由器InternetRouter上需要定义两个方向上的路由:到校园网内部的静态路由以及到Interne
40、t上的缺省路由。到Internet上的路由需要定义一条缺省路由,如图所示。其中,下一跳指定从本路由器的接口serial 0/0送出。图定义到Internet的缺省路由到校园网内部的路由条目可以经过路由汇总后形成两条路由条目。如图所示。图定义到校园网内部的路由1.4配置接入路由器InternetRouter上的NAT由于目前IP地址资源非常稀缺,对不可能给校园网内部的所有工作站都分配一个公有IP(Internet可路由的)地址。为了解决所有工作站访问Internet的需要,必须使用NAT(网络地址转换)技术。为了接入Internet,本校园网向当地ISP申请了9个IP地址。其中一个IP地址:19
41、3.1.1.1被分配给了Internet接入路由器的串行接口,另外8个IP地址:202.206.222.1202.206.222.8用作NAT。NAT的配置可以分为以下几个步骤。(1)定义NAT内部、外部接口图显示了如何定义NAT内部、外部接口。图定义NAT内部、外部接口(2)定义允许进行NAT的内部局部IP地址范围图显示了如何定义允许进行NAT的内部局部IP地址范围。图定义内部局部IP地址范围(3)为服务器定义静态地址转换图显示了如何为服务器定义静态地址转换。图为服务器定义静态地址转换(4)为其他工作站定义复用地址转换图显示了如何为其他工作站定义复用地址转换。图为工作站定义复用地址转换1.5
42、 置接入路由器InternetRouter上的ACL路由器是外网进入校园网内网的第一道关卡,是网络防御的前沿阵地。路由器上的访问控制列表(Access Control List,ACL)是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间,是外网与内网进行通信时的第一道屏障,所以即使在网络系统安装了防火墙产品后,仍然有必要对路由器的访问控制列表进行缜密的设计,来对企业内网包括防火墙本身实施保护。在网络环境中还普遍存在着一些非常重要的、影响服务器群安全
43、的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该做以下的ACL设计:(1)对外屏蔽简单网管协议,即SNMP。利用这个协议,远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型:SNMP和SNMPTRAP。如图所示,显示了如何设置对外屏蔽简单网管协议SNMP。图对外屏蔽简单网管协议SNMP(2)对外屏蔽远程登录协议telnet首先,telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的,很容易被网络上的非法协议分析设备截获。其次,telnet可以登录到大多数网络设备和UNIX服务器,并可以使用相关命
44、令完全操纵它们。这是极其危险的,因此必须加以屏蔽。如图所示,显示了如何对外屏蔽远程登录协议telnet图对外屏蔽远程登录协议telnet(3)对外屏蔽其它不安全的协议或服务这样的协议主要有SUN OS的文件共享协议端口2049,远程执行(rsh)、远程登录(rlogin)和远程命令(rcmd)端口512、513、514,远程过程调用(SUNRPC)端口111。可以将针对以上协议综合进行设计,如图所示。图对外屏蔽其它不安全的协议或服务(4)针对DoS攻击的设计DoS攻击(Denial of Service Attack,拒绝服务攻击)是一种非常常见而且极具破坏力的攻击手段,它可以导致服务器、网络
45、设备的正常服务进程停止,严重时会导致服务器操作系统崩溃。图显示了如何设计针对常见DoS攻击的ACL图针对DoS攻击的设计(5)保护路由器自身安全作为内网、外网间屏障的路由器,保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器,必须对路由器的访问位置加以限制。应只允许来自服务器群的IP地址访问并配置路由器。这时,可以使用ACCESS-CLASS命令进行VTY访问控制。如图所示图保护路由器自身安全1.6其它配置为了实现对无类别网络(Classless Network)以及全零子网(Subnet-zero)的支持,在充当3层交换机的核心层交换机CoreSwitch1,还需要进行适当的配置,如图所示。图定义对无类别网络以及全零子网的支持五、远程访问设计和程访问模块设远程访问也是园区
浙ICP备2021020529号-1 | 浙B2-20240490 
