中小型校园网设计方案实例.docx

1、中小型校园网设计方案实例（中小型）校园网设计方案实例 目录 .1 系统总体设计方案概述 . 11.1 系统组成与拓扑结构 .21.2 VLAN及 IP地址规划 .32 交换模块设计 . 42.1 访问层交换服务的实现配置访问层交换机 .52.1.1 配置访问层交换机 AccessSwitch1 的基本参数 .52.1.2 配置访问层交换机 AccessSwitch1 的管理 IP、默认网关 .72.1.3 配置访问层交换机 AccessSwitch1 的 VLAN及 VTP .82.1.4 配置访问层交换机 AccessSwitch1 端口基本参数 .92.1.5 配置访问层交换机 Acces

2、sSwitch1 的访问端口 .92.1.6 配置访问层交换机 AccessSwitch1 的主干道端口 . 112.1.7 配置访问层交换机 AccessSwitch2 . 112.1.8 访问层交换机的其它可选配置 . 122.2 分布层交换服务的实现配置分布层交换机 . 132.2.1 配置分布层交换机 DistributeSwitch1 的基本参数 . 142.2.2 配置分布层交换机 DistributeSwitch1 的管理 IP、默认网关 . 142.2.3 配置分布层交换机 DistributeSwitch1 的 VTP . 152.2.4 在分布层交换机 Distribute

3、Switch1 上定义 VLAN . 162.2.5 配置分布层交换机 DistributeSwitch1 的端口基本参数 . 172.2.6 配置分布层交换机 DistributeSwitch1 的 3 层交换功能 . 182.2.7 配置分布层交换机 DistributeSwitch2 . 192.2.8 其它配置 . 202.3 核心层交换服务的实现配置核心层交换机 . 202.3.1 配置核心层交换机 CoreSwitch1 的基本参数 . 212.3.2 配置核心层交换机 CoreSwitch1 的管理 IP、默认网关 . 212.3.3 配置核心层交换机 CoreSwitch1 的

4、的 VLAN及 VTP . 222.3.4 配置核心层交换机 CoreSwitch1 的端口参数 . 222.3.5 配置核心层交换机 CoreSwitch1 的路由功能 . 232.3.6 其它配置 . 242.3.7 核心层交换机 CoreSwitch2 的配置 . 243 广域网接入模块设计 . 243.1 配置接入路由器 InternetRouter的基本参数 . 253.2 配置接入路由器 InternetRouter的各接口参数 . 253.3 配置接入路由器 InternetRouter的路由功能 . 263.4 配置接入路由器 InternetRouter上的 NAT . 26

5、3.5 配置接入路由器 InternetRouter上的 ACL . 283.6 其它配置 . 314 远程访问模块设计 . 314.1 配置物理线路的基本参数 . 324.2 配置接口基本参数 . 324.3 配置身份认证 . 335 服务器模块设计 . 346 系统测试 . 366.1 系统测试 . 366.2 相关测试、诊断命令 . 366.2.1 通用测试、诊断命令 . 366.2.2 CDP测试、诊断命令 . 396.2.3 路由和路由协议测试、诊断命令 . 416.2.4 VLAN、 VTP测试、诊断命令 . 416.2.5 生成树测试、诊断命令 . 426.2.6 NAT测试、诊

6、断命令 . 436.2.7 ACL测试、诊断命令 . 436.2.8 远程访问测试、诊断命令 . 44 总 结 . 44 附录 : 资源 . 45（中小型）校园网设计方案实例本文以实例的形式对校园网络的设计方案进行分析并给出校园网络关键设 备的配置步骤、 配置命令以及诊断命令 和方法。 通过本文，相信读者能够系统 地掌握中小型园区网的设计、 实施以及维护方法及技巧。 1 系统总体设计方案概述校园网络（ COMPUS NETWORK，下文中也称为园区网络）是非常典型的 综合网络实例。 为了阐明主要问题，在本设计方案中对实际校园网的设计进行了适当的和 必要的简化。同时， 将重点放在网络主 干的设计

7、上， 对于服务器的架设只作简 单介绍，具体内容参考有关参考书。 如图 1-1 所示，是该校园网网络的总体拓扑结构图。 图 1-1 校园网网络的总体拓扑结构在上面的拓扑图中，学校的 6 个主要集中接入点（计算机系、管理系、建 筑系、 财 务处、 教 务处、 学 生宿舍） 通过冗余的光纤链路上连到信息中心的核 心层交换机上。核心层交换机通过 Cisco 3640 路由器接入因特网。此外，教 工 宿舍及移动办公用户通过拨号方式接入路由器 3640 来访问校园网内网及因特 网。 图中，以计算机系为例展示了每个建筑物内部的网络设备拓扑结构，并给 出了信息中心内部的网络设备拓扑结构。 在接下来的讨论中，我

8、们将展 开并详细讨论每个模块的设计内容。 1.1 系统组成与拓扑结构为了实现网络设备的统一，本设计方案中完全采用同一厂家的网络产品， 即 Cisco 公司的网络设备构建。全网使用同一厂 商设备的主要好处在于可以 实 现各种不同网络设备功能的互相配合和补充。 本校园网设计方案主要由以下四大部分构成 ：交换模块 、广域网接入模块 、 远程访问模块、服务器模块。 整个网络系统的拓扑结构图如图 1-2 所示。 图 1-2 校园网整体拓扑结构图1.2 VLAN 及 IP 地址规划在一个大、中型网络里， VLAN 的划分是必不可少的步骤 之一。在本校园 网设计实例中，整个校园网中 VLAN 及 IP 编址

9、方案如表 1 所示。 表 1 VLAN 及 IP 编址方案除了表 1 中的内容外，拨号用户从 192.168.200.0/27 中动态取得 IP 地址。 为了简化起见，除了管理 VLAN 外，这里只规划了 8 个 VLAN，同时为每个 VLAN 定义了一个由拼音缩写组成的 VLAN 名称。 2 交换模块设计一个好的校园网设计应该是一个分层的 设计。一般分为三层设计模型。 为了简化交换网络设计、提高交换网络 的可扩展性，在园区网内部数据交换模 块的部署是分层进行的。 园区网数据交换设备可以划分为三个层 次：访问层、分布层、核心层。 传统意义上的数据交换发生在 OSI 模型的第 2 层。现代交换技

10、术还实现了第 3 层交换和多层交换。高层交换技术的引 入不但提高了园区网数据交换的效率 ， 更大大增强了园区网数据交换服务质量，满足了不同类型网络应用程序的需 要。 现代交换网络还引入了虚拟局域网（ Virtual LAN，VLAN）的 概 念 。VLAN 将广播域限制在单个 VLAN 内部，减小了各 VLAN 间主机的广播通信对其他 VLAN 的影响 。在 VLAN 间需要通信的时候 ，可以利用 VLAN 间路由技术来 实 现。 当网络管理人员需要管理的交 换机数量众多时，可以使用 VLAN 中继协议 （ Vlan Trunking Protocol， VTP）简化管理，它只需在单独一台交换

11、机上定义 所有 VLAN。然后通过 VTP 协议将 VLAN 定义传播到本管理域中的所有交换 机上。这样，大大减轻了网络 管理人员的工作负担和工作强度。 当园区网络的交换机数量增多、交换机间链路增加时，交换网络的复杂性 可能会造成交换环路问题 ，这需要通过在各交换机上运行生成树协 议（ Spanning Tree Protocol， STP）来解决。 2.1 访问层交换服务的实现配置访问层交换机访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的是 Cisco Catalyst 2950 24 口交换机（ WS-C2950-24 ）。该交换机拥有 24 个10/100Mbps 自适应

12、快速以太网端口，运行的是 Cisco 的 IOS 操作系统。这里， 以图 2-1 中的访问层交换机 AccessSwitch1 为例进行介绍。如图 2-1 所示： 图 2-1 访问层交换机 AccessSwitch12.1.1 配 置 访 问 层 交 换 机 AccessSwitch1 的 基 本 参 数1、设置交换机名称 设置交换机名称，也就是出现在交换机 CLI 提示符中的名字。一般以地理 位置或行政划分来为交换机命名 。当需要 Telnet 登录到若干台交换机以维护一 个大型网络时，通过交换机名称提示符 提示自己当前配置交换机的位置是很 有 必要的。 如图 2-2 所示，为访问层交换机

13、AccessSwitch1 命名。图 2-2 为访问层交换机 AccessSwitch1 命名2、设置交换机的加密使能口令 当用户在普通用户模式而想要进入特权用户模式时，需要提供此口令。此 口令会以 MD5 的形式加密，因此，当用户查看配置文件时，无法看到明文形 式的口令。 如图 2-3 所示，将交换机的加密使能口令设置为 secretpasswd。图 2-3 为交换机设置加密使能口令3、设置登录虚拟终端线时的口令 对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理 人员提供了很多的方便。 但是，出于安 全考虑， 在能够远程管理交换机之前网 络管理人员必须设置远程登录交换机的口令

14、。 如图 2-4 所示，设置登录交换机时需要验证用户身份，同时设置口令为 youguess。图 2-4 为访问层交换机 AccessSwitch1 命名4、设置终端线超时时间 为了安全考虑，可以设置终端线超时时间。在设置的时间内，如果没有检 测到键盘输入， IOS 将断开用户和交换机之间的连接。 如图 2-5 所示，设置登录交换机的控制台终端线 路及虚拟终端线的超时时 间为 5 分 30 秒钟。 图 2-5 设置控制台终端线路和虚拟终端线路的超时时间5、设置禁用 IP 地址解析特性 在交换机默认配置的情况下，当输入一条错误的交换机命令时，交换机会 尝试将其广播给网络上的 DNS 服务器并将其解

15、析成对应的 IP 地址。利用命令 no ip domain-lookup。可以禁用这个特性。如图 2-6 所示，设置禁用 IP 地址解 析特性。 图 2-6 设置禁用 IP 地址解析特性6、设置启用消息同步特性 有时，用户输入的交换机配置命令会被交换机产生的消息打乱。可以使用 命令 logging synchronous 设置交换机在下一行 CLI 提示符后复制用户的输入。 如图 2-7 所示，设置启用消息同步特性。 图 2-7 设置启用消息同步特性2.1.2 配 置 访 问 层 交 换 机 AccessSwitch1 的 管 理 IP、 默 认 网 关访问层交换机是 OSI 参考模型的第 2

16、 层设备 ，即数据链路层的设备 。因此， 给访问层交换机的每个端口设置 IP 地址是没意义的 。但是 ，为了使网络管理人 员可以从远程登录到访问层交换机上进 行管理，必须给访问层交换机设置一 个 管理用 IP 地址。这种情况下，实际上是将交换机看成和 PC 机一样的主机。 给交换机设置管理用 IP 地址只能在 VLAN1，即本征 VLAN 中进行。按照 表 2-1 ，管理 VLAN 所在的子网是： 192.168.0.0/24 ，这里将访问层交换机 AccessSwitch1 的管理 IP 地址设为： 192.168.0.5/24。如图 2-8 所示，显示了为 访问层交换机 AccessSwi

17、tch1 设置管理 IP 并激活本征 VLAN。图 2-8 设置访问层交换机 AccessSwitch1 的管理 IP为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关 地址 192.168.0.254。如图 2-9 所示。 图 2-9 设置访问层交换机 AccessSwitch1 的默认网关地址2.1.3 配 置 访 问 层 交 换 机 AccessSwitch1 的 VLAN 及 VTP从提高效率的角度出发，在本 校园网实现实例中使用了 VTP 技术。同时， 将分布层交换机 DistributeSwitch1 设置成为 VTP 服务器 ，其他交换机设置成为 VTP 客户机。

18、这里访问层交换机 AccessSwitch1 将通过 VTP 获得在分布层交换机 DistributeSwitch1 中定义的所有 VLAN 的信息。 如图 2-10 所示，设置访问层交换机 AccessSwitch1 成为 VTP 客户机。 图 2-10 设置访问层交换机 AccessSwitch1 成为 VTP 客户机2.1.4 配 置 访 问 层 交 换 机 AccessSwitch1 端 口 基 本参数 1、端口双工配置 可以设定某端口根据对端设备双工类型自动调整本端口双工模式，也可以 强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情况 下，建议手动设置端口双工模式。

19、如图 2-11 所示，设置访问层交换机 AccessSwitch1 的所有端口均工作在全 双工模式。 图 2-11 设置访问层交换机 AccessSwitch1 的端口工作模式2、端口速度 可以设定某端口根据对端设备速度自动调整本端口速度，也可以强制将端 口速度设为 10Mpbs 或 100Mbps。在了解对端设备速度的情况下，建议手动设 置端口速度。 如图 2-12 所示，设置访问层交换机 AccessSwitch1 的所有端口的速度均为 100Mbps。图 2-12 设置访问层交换机 AccessSwitch1 的端口速度2.1.5 配 置 访 问 层 交 换 机 AccessSwitch

20、1 的 访 问 端 口访问层交换机 AccessSwitch1 为终端用户提供接入服务。在 图 2-1 中，访问 层交换机 AccessSwitch1 为 VLAN10、 VLAN20 提供接入服务。 如图 2-13 所示，设置访问层交换机 AccessSwitch1 的端口 1端口 10 工作 在访问（接入）模式。同时，设置端口 1端口 10 为 VLAN 10 的成员。 图 2-13 设置访问层交换机 AccessSwitch1 的端口 1102、设置访问层交换机 AccessSwitch1 的端口 11 20如图 2-14 所示 ，设置访问层交换机 AccessSwitch1 的端口 1

21、1端口 20 工作 在访问（接入）模式。同时，设置端口 1端口 10 为 VLAN 20 的成员。 图 2-14 设置访问层交换机 AccessSwitch1 的端口 11203、设置快速端口 默认情况下，交换机在刚加电启动时，每个端口都要经历生成树的四个阶 段： 阻塞、 侦听、 学 习、 转发。 在能够转发用户的数据包之前， 某个端口可能 最多要等 50 秒钟的时 间（ 20 秒的阻塞时间 15 秒的侦听延迟时间 15 秒的学 习延迟时间）。 对于直接接入终端工作站的端口来说 ，用于阻塞和侦听的时间是不必要的 。 为了加速交换机端口状态转化时间，可以设置 将某端口设置成为快速端口 （ Portfast）。设置为快速端口的端口当交换机启 动或端口有工作站接入时 ，将 会直接进入转发状态， 而不会经历阻塞