中小型校园网设计专项方案实例.doc

《中小型校园网设计专项方案实例.doc》由会员分享，可在线阅读，更多相关《中小型校园网设计专项方案实例.doc（57页珍藏版）》请在咨信网上搜索。

1、（中小型）校园网设计方案实例 目录 .1 系统总体设计方案概述 . 11.1系统组成和拓扑结构 .21.2VLAN及 IP地址计划 .32交换模块设计 . 42.1访问层交换服务实现配置访问层交换机 .52.1.1配置访问层交换机 AccessSwitch1 基础参数 .52.1.2配置访问层交换机 AccessSwitch1 管理 IP、默认网关 .72.1.3配置访问层交换机 AccessSwitch1 VLAN及 VTP .82.1.4配置访问层交换机 AccessSwitch1 端口基础参数 .92.1.5配置访问层交换机 AccessSwitch1 访问端口 .92.1.6配置访问层

2、交换机 AccessSwitch1 主干道端口 . 112.1.7配置访问层交换机 AccessSwitch2 . 112.1.8访问层交换机其它可选配置 . 122.2分布层交换服务实现配置分布层交换机 . 132.2.1配置分布层交换机 DistributeSwitch1 基础参数 . 142.2.2配置分布层交换机 DistributeSwitch1 管理 IP、默认网关 . 142.2.3配置分布层交换机 DistributeSwitch1 VTP . 152.2.4在分布层交换机 DistributeSwitch1 上定义 VLAN . 162.2.5配置分布层交换机 Distrib

3、uteSwitch1 端口基础参数 . 172.2.6配置分布层交换机 DistributeSwitch1 3 层交换功效 . 182.2.7配置分布层交换机 DistributeSwitch2 . 192.2.8其它配置 . 202.3关键层交换服务实现配置关键层交换机 . 202.3.1配置关键层交换机 CoreSwitch1 基础参数 . 212.3.2配置关键层交换机 CoreSwitch1 管理 IP、默认网关 . 212.3.3配置关键层交换机 CoreSwitch1 VLAN及 VTP . 222.3.4配置关键层交换机 CoreSwitch1 端口参数 . 222.3.5配置关

4、键层交换机 CoreSwitch1 路由功效 . 232.3.6其它配置 . 242.3.7关键层交换机 CoreSwitch2 配置 . 243广域网接入模块设计 . 243.1配置接入路由器 InternetRouter基础参数 . 253.2配置接入路由器 InternetRouter各接口参数 . 253.3配置接入路由器 InternetRouter路由功效 . 263.4配置接入路由器 InternetRouter上 NAT . 263.5配置接入路由器 InternetRouter上 ACL . 283.6其它配置 . 314远程访问模块设计 . 314.1配置物理线路基础参数

5、. 324.2配置接口基础参数 . 324.3配置身份认证 . 335服务器模块设计 . 346系统测试 . 366.1系统测试 . 366.2相关测试、诊疗命令 . 366.2.1通用测试、诊疗命令 . 366.2.2CDP测试、诊疗命令 . 396.2.3路由和路由协议测试、诊疗命令 . 416.2.4VLAN、 VTP测试、诊疗命令 . 416.2.5生成树测试、诊疗命令 . 426.2.6NAT测试、诊疗命令 . 436.2.7ACL测试、诊疗命令 . 436.2.8 远程访问测试、诊疗命令 . 44 总 结 . 44 附录 : 资源 . 45（中小型）校园网设计方案实例本文以实例形式

6、对校园网络设计方案进行分析并给出校园网络关键设 备配置步骤、 配置命令和诊疗命令 和方法。 经过本文，相信读者能够系统 地掌握中小型园区网设计、 实施和维护方法及技巧。 1系统总体设计方案概述校园网络（ COMPUS NETWORK，下文中也称为园区网络）是很经典 综合网络实例。 为了说明关键问题，在本设计方案中对实际校园网设计进行了合适和 必需简化。同时， 将关键放在网络主 干设计上， 对于服务器架设只作简 单介绍，具体内容参考相关参考书。 图 1-1 所表示，是该校园网网络总体拓扑结构图。 图 1-1校园网网络总体拓扑结构在上面拓扑图中，学校 6 个关键集中接入点（计算机系、管理系、建 筑

7、系、 财 务处、 教 务处、 学 生宿舍） 经过冗余光纤链路上连到信息中心核 心层交换机上。关键层交换机经过 Cisco 3640 路由器接入因特网。另外，教 工 宿舍及移动办公用户经过拨号方法接入路由器 3640 来访问校园网内网及因特 网。 图中，以计算机系为例展示了每个建筑物内部网络设备拓扑结构，并给 出了信息中心内部网络设备拓扑结构。 在接下来讨论中，我们将展 开并具体讨论每个模块设计内容。 1.1 系统组成和拓扑结构为了实现网络设备统一，本设计方案中完全采取同一厂家网络产品， 即 Cisco 企业网络设备构建。全网使用同一厂 商设备关键好处于于能够 实 现多种不一样网络设备功效相互配

8、合和补充。 本校园网设计方案关键由以下四大部分组成 ：交换模块 、广域网接入模块 、 远程访问模块、服务器模块。 整个网络系统拓扑结构图图 1-2 所表示。 图 1-2校园网整体拓扑结构图1.2 VLAN 及 IP 地址计划在一个大、中型网络里， VLAN 划分是必不可少步骤 之一。在本校园 网设计实例中，整个校园网中 VLAN 及 IP 编址方案如表 1 所表示。 表 1VLAN 及 IP 编址方案除了表 1 中内容外，拨号用户从 192.168.200.0/27 中动态取得 IP 地址。 为了简化起见，除了管理 VLAN 外，这里只计划了 8 个 VLAN，同时为每个 VLAN 定义了一个

9、由拼音缩写组成 VLAN 名称。 2交换模块设计一个好校园网设计应该是一个分层 设计。通常分为三层设计模型。 为了简化交换网络设计、提升交换网络 可扩展性，在园区网内部数据交换模 块布署是分层进行。 园区网数据交换设备能够划分为三个层 次：访问层、分布层、关键层。 传统意义上数据交换发生在 OSI 模型第 2 层。现代交换技术还实现了第 3 层交换和多层交换。高层交换技术引 入不仅提升了园区网数据交换效率 ， 更大大增强了园区网数据交换服务质量，满足了不一样类型网络应用程序需 要。 现代交换网络还引入了虚拟局域网（ Virtual LAN，VLAN） 概 念 。VLAN 将广播域限制在单个 V

10、LAN 内部，减小了各 VLAN 间主机广播通信对其它 VLAN 影响 。在 VLAN 间需要通信时候 ，能够利用 VLAN 间路由技术来 实 现。 当网络管理人员需要管理交 换机数量众多时，能够使用 VLAN 中继协议 （ Vlan Trunking Protocol， VTP）简化管理，它只需在单独一台交换机上定义 全部 VLAN。然后经过 VTP 协议将 VLAN 定义传输到本管理域中全部交换 机上。这么，大大减轻了网络 管理人员工作负担和工作强度。 当园区网络交换机数量增多、交换机间链路增加时，交换网络复杂性 可能会造成交换环路问题 ，这需要经过在各交换机上运行生成树协 议（ Span

11、ning Tree Protocol， STP）来处理。 2.1 访问层交换服务实现配置访问层交换机访问层为全部终端用户提供一个接入点。这里访问层交换机采取是 Cisco Catalyst 2950 24 口交换机（ WS-C2950-24 ）。该交换机拥有 24 个10/100Mbps 自适应快速以太网端口，运行是 Cisco IOS 操作系统。这里， 以图 2-1 中访问层交换机 AccessSwitch1 为例进行介绍。图 2-1 所表示： 图 2-1访问层交换机 AccessSwitch12.1.1 配 置 访 问 层 交 换 机 AccessSwitch1 基 本 参 数1、设置交换

12、机名称 设置交换机名称，也就是出现在交换机 CLI 提醒符中名字。通常以地理 位置或行政划分来为交换机命名 。当需要 Telnet 登录到若干台交换机以维护一 个大型网络时，经过交换机名称提醒符 提醒自己目前配置交换机位置是很 有 必需。 图 2-2 所表示，为访问层交换机 AccessSwitch1 命名。图 2-2为访问层交换机 AccessSwitch1 命名2、设置交换机加密使能口令 当用户在一般用户模式而想要进入特权用户模式时，需要提供此口令。此 口令会以 MD5 形式加密，所以，当用户查看配置文件时，无法看到明文形 式口令。 图 2-3 所表示，将交换机加密使能口令设置为 secr

13、etpasswd。图 2-3为交换机设置加密使能口令3、设置登录虚拟终端线时口令 对于一个已经运行着交换网络来说，交换机带内远程管理为网络管理 人员提供了很多方便。 不过，出于安 全考虑， 在能够远程管理交换机之前网 络管理人员必需设置远程登录交换机口令。 图 2-4 所表示，设置登录交换机时需要验证用户身份，同时设置口令为 youguess。图 2-4为访问层交换机 AccessSwitch1 命名4、设置终端线超时时间 为了安全考虑，能够设置终端线超时时间。在设置时间内，假如没有检 测到键盘输入， IOS 将断开用户和交换机之间连接。 图 2-5 所表示，设置登录交换机控制台终端线 路及虚

14、拟终端线超时时 间为 5 分 30 秒钟。 图 2-5设置控制台终端线路和虚拟终端线路超时时间5、设置禁用 IP 地址解析特征 在交换机默认配置情况下，当输入一条错误交换机命令时，交换机会 尝试将其广播给网络上 DNS 服务器并将其解析成对应 IP 地址。利用命令 no ip domain-lookup。能够禁用这个特征。图 2-6 所表示，设置禁用 IP 地址解 析特征。 图 2-6设置禁用 IP 地址解析特征6、设置启用消息同时特征 有时，用户输入交换机配置命令会被交换机产生消息打乱。能够使用 命令 logging synchronous 设置交换机在下一行 CLI 提醒符后复制用户输入。

15、 图 2-7 所表示，设置启用消息同时特征。 图 2-7设置启用消息同时特征2.1.2 配 置 访 问 层 交 换 机 AccessSwitch1 管 理 IP、 默 认 网 关访问层交换机是 OSI 参考模型第 2 层设备 ，即数据链路层设备 。所以， 给访问层交换机每个端口设置 IP 地址是没意义 。不过 ，为了使网络管理人 员能够从远程登录到访问层交换机上进 行管理，必需给访问层交换机设置一 个 管理用 IP 地址。这种情况下，实际上是将交换机看成和 PC 机一样主机。 给交换机设置管理用 IP 地址只能在 VLAN1，即本征 VLAN 中进行。根据 表 2-1 ，管理 VLAN 所在子

16、网是： 192.168.0.0/24 ，这里将访问层交换机 AccessSwitch1 管理 IP 地址设为： 192.168.0.5/24。图 2-8 所表示，显示了为 访问层交换机 AccessSwitch1 设置管理 IP 并激活本征 VLAN。图 2-8设置访问层交换机 AccessSwitch1 管理 IP为了使网络管理人员能够在不一样子网管理此交换机，还应设置默认网关 地址 192.168.0.254。图 2-9 所表示。 图 2-9设置访问层交换机 AccessSwitch1 默认网关地址2.1.3 配 置 访 问 层 交 换 机 AccessSwitch1 VLAN 及 VTP

17、从提升效率角度出发，在本 校园网实现实例中使用了 VTP 技术。同时， 将分布层交换机 DistributeSwitch1 设置成为 VTP 服务器 ，其它交换机设置成为 VTP 用户机。 这里访问层交换机 AccessSwitch1 将经过 VTP 取得在分布层交换机 DistributeSwitch1 中定义全部 VLAN 信息。 图 2-10 所表示，设置访问层交换机 AccessSwitch1 成为 VTP 用户机。 图 2-10设置访问层交换机 AccessSwitch1 成为 VTP 用户机2.1.4配 置 访 问 层 交 换 机 AccessSwitch1 端 口 基 本参数 1

18、、端口双工配置 能够设定某端口依据对端设备双工类型自动调整本端口双工模式，也能够 强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型情况 下，提议手动设置端口双工模式。 图 2-11 所表示，设置访问层交换机 AccessSwitch1 全部端口均工作在全 双工模式。 图 2-11设置访问层交换机 AccessSwitch1 端口工作模式2、端口速度 能够设定某端口依据对端设备速度自动调整本端口速度，也能够强制将端 口速度设为 10Mpbs 或 100Mbps。在了解对端设备速度情况下，提议手动设 置端口速度。 图 2-12 所表示，设置访问层交换机 AccessSwitch1 全部

19、端口速度均为 100Mbps。图 2-12设置访问层交换机 AccessSwitch1 端口速度2.1.5 配 置 访 问 层 交 换 机 AccessSwitch1 访 问 端 口访问层交换机 AccessSwitch1 为终端用户提供接入服务。在 图 2-1 中，访问 层交换机 AccessSwitch1 为 VLAN10、 VLAN20 提供接入服务。 图 2-13 所表示，设置访问层交换机 AccessSwitch1 端口 1端口 10 工作 在访问（接入）模式。同时，设置端口 1端口 10 为 VLAN 10 组员。 图 2-13设置访问层交换机 AccessSwitch1 端口 1

20、102、设置访问层交换机 AccessSwitch1 端口 11 20图 2-14 所表示 ，设置访问层交换机 AccessSwitch1 端口 11端口 20 工作 在访问（接入）模式。同时，设置端口 1端口 10 为 VLAN 20 组员。 图 2-14设置访问层交换机 AccessSwitch1 端口 11203、设置快速端口 默认情况下，交换机在刚加电开启时，每个端口全部要经历生成树四个阶 段： 阻塞、 侦听、 学 习、 转发。 在能够转发用户数据包之前， 某个端口可能 最多要等 50 秒钟时 间（ 20 秒阻塞时间 15 秒侦听延迟时间 15 秒学 习延迟时间）。 对于直接接入终端工

21、作站端口来说 ，用于阻塞和侦听时间是无须要 。 为了加速交换机端口状态转化时间，能够设置 将某端口设置成为快速端口 （ Portfast）。设置为快速端口端口当交换机启 动或端口有工作站接入时 ，将 会直接进入转发状态， 而不会经历阻塞、 侦听、 学习状态 （假设桥接表已经建 立）。 图 2-15 所表示，设置访问层交换机 AccessSwitch1 端口 1端口 20 为快 速端口。 图 2-15设置快速端口2.1.6配 置 访 问 层 交 换 机 AccessSwitch1 主 干 道端口 图 2-1 所表示，访问层交换机 AccessSwitch1 经过端口 FastEthernet 0

22、/23 上 连到分布层交换机 DistributeSwitch1 端口 FastEthernet 0/23。同时 ，访问层交 换机 AccessSwitch1 还经过端口 FastEthernet 0/24 上连到分布层交换机 DistributeSwitch2 端口 FastEthernet 0/23。这两条上连链路将成为主干道链路，在这两条上连链路上将运输多个 VLAN 数据。 图 2-16 所表示 ，设置访问层交换机 AccessSwitch1 端口 FastEthernet 0/23、FastEthernet 0/24 为主干道端口。 图 2-16设置主干道端口2.1.7 配 置 访

23、问 层 交 换 机 AccessSwitch2访问层交换机 AccessSwitch2 为 VLAN 30 和 VLAN 40 用户提供接入服务。 同时 ，分 别经过自己 FastEthernet 0/23 、FastEthernet 0/24 上连到分布层交换 机 DistributeSwitch1、 DistributeSwitch2 端口 FastEthernet 0/24。图 2-17 所表示，是访问层交换机 AccessSwitch2 连接示意图。 图 2-17访问层交换机 AccessSwitch2 连接示意图对访问层交换机 AccessSwitch2 配置步骤、命令和对访问层交换

24、机 AccessSwitch1 配置类似 。这里 ，不再详 细分析 ，只给出最终配置文件内容 （只留下了必需命令）。 需要指出是，为了提供主干道吞吐量，能够采取链路捆绑（快速以太 网信道）技术增加可用带宽。 比如，能够将访问层交换机 AccessSwitch1 端 口 FastEthernet 0/21 和 FastEthernet 0/22 捆绑在一起实现 200Mbps 快速以太 网信道，然后再上连到分布层交换机 DistributeSwitch1。一样，也能够将访问 层交换机 AccessSwitch1 端口 FastEthernet 0/23 和 FastEthernet 0/24 捆

25、绑在一 起 实 现 200Mbps 快 速 以 太 网 信 道 ， 然 后 再 上 连 到 分 布 层 交 换 机 DistributeSwitch2。具体配置步骤和命令将在关键 层交换机配置一节中进行 介绍。 2.1.8 访 问 层 交 换 机 其 它 可 选 配 置1、 Uplinkfast访问层交换机 AccessSwitch1 经过两条冗余上行链路分别接入分布层交换 机 DistributeSwitch1 和 、DistributeSwitch2。在生成树作用下 ，其 中一条上行 链路处于转发状态，而另一条上行链路 处于阻塞状态。当 处于转发状态链路 因故障断开后，经过最多大约 50

26、秒钟时间，处于阻塞状态链路才能替 代 故障链路工作。 Uplinkfast 特征能够使适当主上行链路失败后，处于阻塞状态上行链路 （备份上行链路）能够立即启用。 图 2-18 所表示，是在访问层交换机 AccessSwitch1 上启用 Uplinkfast 特征。 一样步骤也能够在访问层交换机 AccessSwitch2 上进行配置。 图 2-18启用 Uplinkfast 特征注意， Uplinkfast 特征只能在访问层交换机上启用。 2、 BackbonefastBackbonefast 作用和 Uplinkfast 类似 ，也用于加紧生成树收敛 。所不一样 是， Backbonefa

27、st 能够检测到间接链路（非直连 链路）故障并立即使得对应 阻塞端口最大寿命计时器到时，从而缩短该端口能够开始转发数据包时 间。 图 2-19 所表示，是在访问层交换机 AccessSwitch1 上启用 Backbonefast 特 性。一样步骤需要在网络中 全部交换机上进行配置。 图 2-19启用 Backbonefast 特征注意， Backbonefast 特征需要在网络中全部交换机上进行配置。 2.2 分布层交换服务实现配置分布层交换机分布层除了负责将访问层交换机进行聚集外，还为整个交换网络提供 VLAN 间路由选择功效。 这里分布层交换机采取是 Cisco Catalyst 355

28、0 交换机 。作为 3 层交换机， Cisco Catalyst 3550 交换机拥有 24 个 10/100Mbps 自适应快速以太网端口，同 时还有 2 个 1000Mbps GBIC 端口供上连使用，运行是 Cisco IntegratedIOS 操作系统。这里，以图 2-1 中分布层交换机 DistributeSwitch1 为例进行 介绍。图 2-20 所表示： 图 2-20分布层交换机 DistributeSwitch12.2.1 配 置 分 布 层 交 换 机 DistributeSwitch1 基 本 参 数对分布层交换机 DistributeSwitch1 基础参数配置步骤和

29、对访问层交换 机 AccessSwitch1 基础参数配置类似。这里， 只给出实际配置步骤，不 再给出具体解释，图 2-21 所表示。 图 2-21配置分布层交换机 DistributeSwitch1 基础参数2.2.2 配 置 分 布 层 交 换 机 DistributeSwitch1 管 理 IP、 默 认 网 关图 2-22 所表示 ，显示了为分布层交换机 DistributeSwitch1 设置管理 IP 并激 活本征 VLAN。同时，还设置了默认网关地址。 图 2-22分布层交换机 DistributeSwitch1 管理 IP、默认网关2.2.3 配 置 分 布 层 交 换 机 D

30、istributeSwitch1 VTP当网络中交换机数量很多时，需要分别在每台 交换机上创建很多反复 VLAN。工 作量很大 、过程很繁琐 ，而且轻易犯错 。在实际工作中常采取 VLAN 中继协议（ Vlan Trunking Protocol， VTP）来处理这个问题。 VTP 许可在一台交换机上创建全部 VLAN。然后，利用交换机之间互 相学习功效 ，将创建好 VLAN 定义传输到整个网络中需要此 VLAN 定义所 有交换机上 。同时 ，相关 VLAN 删除 、参数更改操作均可传输到其它交换机。 从而大大减轻了网络管理人员 配置交换机负担。 在本校园网实现实例中使用了 VTP 技术。同时

31、，将分布层交换 机DistributeSwitch1 设置成为 VTP 服务器，其它交换机设置成为 VTP 用户机。 1、配置 VTP 管理域 共享相同 VLAN 定义数据库交换机组成一个 VTP 管理域。每一个 VTP 管理域全部有一个共同 VTP 管理域域名。不一样 VTP 管理域交换机之间不交 换 VTP 通告信息。 图 2-23 所表示，将 VTP 管理域域名定义为“ chinaitlab”。 图 2-23设置 VTP 管理域域名2、设置 VTP 服务器 工作在 VTP 服务器模式下交换机能够创建 、删除 VLAN、修 改 VLAN 参 数。同时，还有责任发送和转发 VLAN 更新消息

32、。 图 2-24 所表示，设置分布层交换机 DistributeSwitch1 成为 VTP 服务器。 图 2-24设置分布层交换机 DistributeSwitch1 成为 VTP 服务器3、激活 VTP 剪裁功效 默认情况下主干道传输全部 VLAN 用户数据。有时，交换网络中某台交 换机全部端口全部属于同一 VLAN 组员 ，没有必需接收其它 VLAN 用户数 据 。这时 ，可 以激活主干道上 VTP 剪裁功效 。当激活了 VTP 剪裁功效以后， 交换机将自动剪裁本交换机没有定义 VLAN 数据。 在一个 VTP 域下，只需要在 VTP 服务器上激活 VTP 剪裁功效。同一 VTP域下全部

33、其它交换机也将自动激活 VTP 剪裁功效。 图 2-25 所表示，设置激活 VTP 剪裁功效。 图 2-25激活 VTP 剪裁功效2.2.4 在 分 布 层 交 换 机 DistributeSwitch1 上 定 义 VLAN在本校园网实现实例中 ，除了默认本征 VLAN 外，又额外定义了 8 个VLAN，如表 2-1 所表示。 因为使用了 VTP 技术，所以，全部 VLAN 定义全部只需要在 VTP 服务器， 即分布层交换机 DistributeSwitch1 上进行。 图 2-26 所表示，定义了 8 个 VLAN，同时为每个 VLAN 命名。 2.2.5 配 置 分 布 层 交 换 机

34、DistributeSwitch1 端 口 基 本 参 数分布层交换机 DistributeSwitch1 端口 FastEthernet 0/1 FastEthernet 0/10 为服务器群提供接入服务，而端口 FastEthernet 0/23、 FastEthernet 0/24 分别下 连到访问层交换机 AccessSwitch1 端口 FastEthernet 0/23 和访问层交换机 AccessSwitch2 端口 FastEthernet 0/23。此 外 ， 分 布 层 交 换 机DistributeSwitch1还 通 过 自 己 千 兆 端 口 GigabitEther

35、net 0/1 上连到关键交换机 CoreSwitch1 GigabitEthernet 3/1。 为了实现冗余设计，分布层交换机 DistributeSwitch1 还经过自己千兆端口 GigabitEthernet 0/2 连 接 另 一 台 到 分 布 层 交 换 机 DistributeSwitch2 GigabitEthernet 0/2。图 2-27 所表示，给出了对全部访问端口、主干道 端口配置步骤和命令。 图 2-26定义 VLAN图 2-27设置分布层交换机 DistributeSwitch1 各端口参数2.2.6 配 置 分 布 层 交 换 机 DistributeSwitch1 3 层 交 换 功 能分布层交换机 DistributeSwitch1 需要为网络中各个 VLAN 提供路由功效。 这需要首先启用分布层交换机路由功效。图 2-28 所表示。 图 2-28启用路由功效接下来，需要为每个 VLAN 定义自己默认网关地址，图 2-29 所表示。 图 2-29定义各 VLAN 默认网关地址另外 ，还 需要定义通往 Inter