學習情境3智能小區網絡組建與互聯任務1網絡規劃方案

學習情境3任務1網絡規劃方案

富豪家園小區一期土建工程已經完工，現需要進行智能化建設，實現物業管理、周界報警和環境監控等。富豪家園小區一期工程有十一棟建筑物。其中有十棟多層建筑，每棟多層住宅有六層，一樓是車庫，每棟實際住戶數為30戶；還有物業管理中心及小區會所用建筑一座，計算機主機房設在物業管理中心的二層。本公司負責寬帶信息網的建設。目前寬帶小區的結構化布線工程基本完成，網絡的基本架構分布情況如下：電信公司新布放了一條網絡光纖至計算機主機房，樓棟之間布放光纖到各樓棟機柜位置。樓道內的交換機之間采用雙絞線互連，在每個房間的入口適當位置統一設置一個信息接入箱，待各業主室內自行裝修后，完成室內接入。大部分業主都想擁有一個高速的網絡，能夠滿足寬帶上網、視訊點播等互聯需求。隨著人們日常生活對計算機的依賴越來越強，計算機病毒泛濫會影響用戶的使用和信息安全；內部用戶的攻擊行為，會給園區網造成不良的影響，局域網相互影響應盡可能得小。整個小區包含各種戶型，但信息點分布均按照每套房間一個網絡信息點考慮，并防止用戶自行更改IP或私自接入小區網絡。學習情境描述富豪家園小區一期土建工程已經完工，現需要進行智能化建設，項目的第一步，是通過對工程項目的需求分析，提出網絡規劃設計，繪制出網絡的拓撲圖或結構圖，最后根據需求分析完成網絡設備選型、技術文檔撰寫等工作。

工作任務描述工作任務描述項目的分析以對客戶的需求分析為主，通過對實際情況的了解和客戶提出的需求進行分析。（1）用戶通過小區網絡以認證方式訪問Internet。（2）互聯網接入采用100M/1000M光纖接入。（3）提供該小區公網IP地址，根據用戶數分配相關地址池。（4）要實現一定的安全性，通過VLAN隔離，禁止小區內部通過局域網互訪。（5）各樓道設備通過光纖與匯聚機房互聯。（6）用戶通過DHCP方式自動獲取IP等信息，以便訪問Internet。（7）采用主流的TCP/IP協議對寬帶網網絡進行規劃。（8）小區匯聚機房通過集群功能對樓道交換機進行管理。（9）小區匯聚機房啟動STP和環路抑制。（10）滿足當前主流網絡設計的原則。需求分析項目的分析以對客戶的需求分析為主，通過對實際情況的了解和VLAN規劃原則（1）VLAN1一般予以保留，不分配給業務VLAN使用。（2）VLANID的預分配應成段分配。（3）如果VLANID足夠用，盡量分配1000以下的VLANID。（4）分配VLAN時，每個用戶一個VLAN。（5）管理VLAN一般也要統一，如都用VLAN4094。VLAN規劃VLAN規劃原則VLAN規劃VLAN規劃表序號樓號VLAN號交換機位置11#2-492單元2樓22#50-973單元1樓33#98-1452單元3樓44#146-1933單元1樓55#194-2412單元2樓66#242-2891單元3樓77#290-3372單元2樓88#338-3852單元2樓99#386-4333單元1樓1010#434-4812單元2樓11物業中心4822樓合計11481VLAN規劃VLAN規劃表序號樓號VLAN號交換機位置11#2-492單

Loopback地址：管理員會使用該地址對路由器遠程登錄，該地址實際上起到了類似設備名稱一類的功能。管理地址：也稱互聯地址，是指兩臺或多臺網絡設備相互連接的接口所需要的地址，如寬帶遠程接入服務器的設備管理地址。業務地址：用戶撥號以后從寬帶遠程接入服務器設備上獲取的公網地址。IP規劃Loopback地址：管理員會使用該地

網絡設計按功能一般分為三層：核心層、匯聚層、接入層。核心層：作為網絡的核心部分，不僅要求實現高速的數據轉發，而且要求性能高，容量大，具備高可靠性和高穩定性。匯聚層：要支持豐富的功能和特性。匯聚層要隔離接入層的各種變化對核心層的沖擊。接入層：要提供大量的接入端口以及各種接入端口類型。提供強大的各類業務類型接入。拓撲圖繪制網絡設計按功能一般分為三層：核心層、匯聚層、接入層。拓撲

電信寬帶小區示意圖拓撲圖繪制電信寬帶小區示意圖拓撲圖繪制

智能化小區網絡結構示意圖拓撲圖繪制智能化小區網絡結構示意圖拓撲圖繪制對BRAS設備的選擇上應考慮如下因素：1．具備高可靠性2．具備強大的擴充性3．安全性保證4．能提供多種特色的寬帶服務及IP增值業務的能力5．支持多種接入方式及認證方式6．網絡管理和業務開通能力7．升級能力網絡設備選擇寬帶遠程接入服務器對BRAS設備的選擇上應考慮如下因素：網絡設備選擇寬帶遠程接

考慮到小區節點數為低于2000戶的寬帶認證用戶，可以選擇相應的認證BRAS設備，根據寬帶需求和性價比這里選擇華為SmartAX5200F設備。寬帶遠程接入服務器網絡設備選擇考慮到小區節點數為低于2000戶的寬帶認證用戶，可以選擇

匯聚層設備要支持豐富的功能和特性，能隔離接入層的各種變化對核心層的沖擊。

根據本項目的實際情況及未來發展，滿足主干高速要求，選擇華為S3928-EI三層交換機。網絡設備選擇匯聚交換設備匯聚層設備要支持豐富的功能和特性，能隔離接入層的各種變化

樓道交換機是接入層設備，要能提供大量的接入端口以及各種接入端口類型，提供強大的各類業務類型接入。

本項目中的樓道交換機可以選擇華為S2403二層交換機作為主交換機，從交換機可根據實際寬帶用戶數量選擇S2008、S2016或S2403。網絡設備選擇樓道交換設備樓道交換機是接入層設備，要能提供大量的接入端口以及各種接實施進度計劃3.1網絡規劃方案時間進度工程進度123456789入場，核實現場數據設備、材料入場網絡設備安裝配置設備調試工程文檔工程驗收技術培訓實施進度計劃3.1網絡規劃方案任務2小區內部網絡組建

學習情境3智能小區網絡組建與互聯任務2小區內部網絡組建 學習情境3

小區用戶需要實現住戶之間的計算機不能互訪，實現必要的VLAN隔離，并且對設備配置過一次后就不需要經常修改。對接入交換機進行VLAN配置或端口隔離配置，能實現用戶之間的隔離，保證了小區住戶的安全性。本項目中樓道交換機需要一個端口對應一個VLAN。整個工程的網絡設備較多，設備之間的連接關系需要非常清晰，尤其在工程維護期間更是如此。要在網絡設備上對端口和設備的信息進行描述。任務分析

小區用戶需要實現住戶之間的計算機不能互訪，實現必要的VL

為簡化配置管理任務，在匯聚交換機上配置集群管理功能，管理樓道交換機。這樣就不需要登錄到每個成員設備的配置口上進行配置，不受距離的限制，有助于監視和調試網絡；只需要在管理設備上配置一個公網IP地址，就可實現對多個交換機的配置和管理，節省IP地址。為保證上行網絡暢通，還可考慮生成樹配置、訪問控制列表（防病毒）等網絡相關配置。任務分析

為簡化配置管理任務，在匯聚交換機上配置集群管理功能，管理社區寬帶數據業務接入拓撲圖社區寬帶數據業務接入拓撲圖（1）建立業務VLAN[switch-A.MAN]VLAN100（2）進入業務端口，加對業務的描述[switch-A.MAN]interfaceEthernet1/0/1[switch-A.MAN-Ethernet1/0/1]descriptiontext（3）對端口的廣播風暴進行限制[switch-A.MAN-Ethernet1/0/1]broadcast-suppression5（4）配置端口的速率和雙工屬性[switch-A.MAN-Ethernet1/0/1]speed{100|10|auto}[switch-A.MAN-Ethernet1/0/1]duplex{full|half|auto}交換機業務配置（1）建立業務VLAN交換機業務配置（5）配置端口類型，并將業務VLAN封裝到端口下[switch-A.MAN-Ethernet1/0/1]portlink-typeaccess[switch-A.MAN-Ethernet1/0/1]portaccessvlan100（6）如業務VLAN的網關不在該設備上，需要將該業務VLAN向上透傳（分不帶標簽透傳/帶標簽透傳/混合模式）[switch-A.MAN-Ethernet1/0/1]portlink-type{access|trunk|hybrid}例：[switch-A.MAN-Ethernet1/0/1]portlink-typetrunk[switch-A.MAN-Ethernet1/0/1]porttrunkpermitall（7）對端口進行限速不同的交換機限速的方式也不相同，命令也不一樣，有些低端交換機也并不支持對端口進行限速功能。需要參考設備技術說明書。交換機業務配置（5）配置端口類型，并將業務VLAN封裝到端口下交換機業務配

根據需要可以對接入交換機進行相應的VLAN配置、端口隔離配置和端口和設備的信息描述，本項目中樓道交換機需要個端口對應一個vlan號。小區接入樓道交換機配置根據需要可以對接入交換機進行相應的VLAN配置、端口隔離配

小區匯聚設備需要配置遠程管理地址、默認路由和集群管理等功能。匯聚交換機S3928的管理地址為06/30，上聯設備的地址為05/30。匯聚設備小區匯聚設備需要配置遠程管理地址、默認路由和集群管理等功配置遠程管理地址[xiaoqu]VLAN4008[xiaoqu-vlan4008]intVLAN4008[xiaoqu-vlan-interface4008]ipaddress0652匯聚設備配置配置遠程管理地址匯聚設備配置配置上連MA5200F的端口[xiaoqu]interfaceGigabitEthernet1/1/1[xiaoqu-GigabitEthernet1/1/1]portlink-typetrunk[xiaoqu-GigabitEthernet1/1/1]porttrunkpermitvlanall匯聚設備配置配置上連MA5200F的端口匯聚設備配置配置默認路由[xiaoqu]iproute-static05匯聚設備配置配置默認路由匯聚設備配置

網絡管理員可以通過一個主交換機的公網IP地址，實現對多個交換機的管理。主交換機稱為管理設備，其它被管理的交換機稱為成員設備。成員設備一般不設置公網IP地址，通過管理設備重定向來實現對成員設備的管理和維護。管理設備和成員設備組成了一個“集群”。匯聚設備上的集群管理網絡管理員可以通過一個主交換機的公網IP地址，實現對多個匯聚設備上的集群管理

SwitchA作為管理設備來管理成員交換機SwitchB和SwitchC，要求使用SwitchA使用/24作為集群地址池，集群的名稱為huawei。交換機SwitchA通過ethernet1/0/1與SwitchB的ethernet1/0/1連接，SwitchA通過ethernet1/0/2與SwitchC的ethernet1/0/1連接。

匯聚設備上的集群管理SwitchA作為管理設備來管理成員管理設備：(1)啟動設備上的NDP和端口E1/0/1、E1/0/2上的NDP[Quidway]ndpenable[Quidway]interfaceethernet1/0/1[Quidway-Ethernet1/0/1]ndpenable[Quidway-Ethernet1/0/1]interfaceethernet1/0/2[Quidway-Ethernet1/0/2]ndpenable(2)啟動設備上的NTDP和端口E1/0/1、E1/0/2上的NTDP[Quidway]ntdpenable[Quidway]interfaceethernet1/0/1[Quidway-Ethernet1/0/1]ntdpenable[Quidway-Ethernet1/0/1]interfaceethernet1/0/2[Quidway-Ethernet1/0/2]ntdpenable匯聚設備上的集群管理管理設備：匯聚設備上的集群管理管理設備：(3)配置拓撲收集范圍為2跳[Quidway]ntdphop2(4)啟動集群功能[Quidway]clusterenable(5)進入集群視圖[Quidway]cluster[Quidway-cluster](6)配置集群內部使用的IP地址池，起始地址為，[Quidway-cluster]ip-pool48(7)配置集群名字，建立集群。[Quidway-cluster]buildhuawei[Quidway-cluster]auto-build匯聚設備上的集群管理管理設備：匯聚設備上的集群管理成員交換機配置：(1)啟動設備上的NDP和端口Ethernet1/0/1上的NDP[Quidway]ndpenable[Quidway]interfaceethernet1/0/1[Quidway-Ethernet1/0/1]ndpenable(2)啟動設備上的NTDP和端口Ethernet1/0/1上的NTDP[Quidway]ntdpenable[Quidway]interfaceethernet1/0/1[Quidway-Ethernet1/0/1]ntdpenable(3)啟動集群功能。[Quidway]clusterenable匯聚設備上的集群管理成員交換機配置：匯聚設備上的集群管理管理設備：查看集群成員：[huawei_0.Quidway-cluster]displayclustermembers登錄成員交換機SwitchB<huawei_0.Quidway>clusterswitch-to1登錄成員交換機SwitchC<huawei_0.Quidway>clusterswitch-to2匯聚設備上的集群管理管理設備：匯聚設備上的集群管理小區匯聚機房交換機配置環路檢測和生成樹，主要對小區內網進行環路檢測和抑制。環路檢測開啟全局的端口環回監測功能：loopback-detectionenable開啟Trunk端口和Hybrid端口的環回監測受控功能loopback-detectioncontrolenable顯示端口環回監測功能的相關信息displayloopback-detection小區匯聚機房交換機配置環路檢測和生成樹，主要對小區內網進

對匯聚交換機進行相應的VLAN透傳、管理地址、集群管理配置、STP配置、訪問控制列表（防病毒）、路由配置等，要求完成網絡相關相應配置，保證上行網絡暢通。主要配置項目如下：（1）在華為交換機S3928上配置各VLAN；（2）在華為交換機S3928上配置管理VLAN；（3）在華為交換機S3928上配置集群管理功能，管理樓道交換機；（4）配置華為交換機S3928的路由，配置一條默認路由；（5）配置廣播風暴抑制、STP生成樹；（6）其它可選的配置：端口Trunk配置、訪問控制等。小區匯聚交換機配置對匯聚交換機進行相應的VLAN透傳、管理地址、集群管理配置項目組完成內容：學生根據項目要求，閱讀相關資料，借助配置說明書，分組討論，共同完成接入樓道交換機、匯聚交換機的配置工作。工作任務—項目組完成項目組完成內容：工作任務—項目組完成交換機的信息查看(1)配置的查看(2)VLAN的查看/端口信息的查看(3)三層VLAN的查看(4)端口狀態的查看(5)MAC地址的查看(6)端口下MAC地址的查看(7)VLAN下MAC地址的查看(8)交換機LOG日志的查看(9)集群功能測試內部網絡功能檢查交換機的信息查看內部網絡功能檢查任務3城域網接入

學習情境3智能小區網絡組建與互聯任務3城域網接入 學習情境3任務分析對于智能小區寬帶服務的經營者而言，小區局域網性能越穩定，用戶越多，小區寬帶經營者的利潤就越高。由于部分業主用戶都具備局域網配置能力，有些個別用戶就可能會以自行偷接的方式，無償接入小區業主的網絡上網，而不用繳納費用，造成小區業主的損失。要能防止非法用戶自行偷接入網。小區網絡管理員可以根據用戶不同情況為用戶制定如按時間、按流量和包月等不同的計費策略。寬帶接入服務器應能提供足夠的公網IP地址，用戶通過DHCP方式自動獲取IP地址，以便訪問Internet。任務分析對于智能小區寬帶服務的經營者而言，小區局域網性任務分析本項目通過BRAS對寬帶小區用戶進行認證，主要配置內容如下：配置VT（虛模板）；綁定VT到相應的接口；配置地址池；配置認證方案；配置計費方案；配置RADIUS服務器；配置域；配置VLAN端口；配置本地用戶參數；配置上行接口以及路由。任務分析本項目通過BRAS對寬帶小區用戶進行認證，主要以太網接入以太網接入即所謂FTTX＋LAN的接入方式。以太網技術成熟，成本低，結構簡單，穩定性，擴充性好，便于網絡升級，現在水平布線使用非屏蔽五類雙絞線，它的帶寬達到100M。垂直干纜用光纖來布設。對于一個家庭來說完全可以滿足今后數十年的升級要求。由于本小區是新開發的高檔小區，本身就擁有先進的數據傳輸機房，光纜已敷設到住宅樓。通過比較，適宜采用FTTX+LAN的寬帶接入接方式。以太網接入以太網接入即所謂FTTX＋LAN的接入方式以太網接入中國電信的LAN接入業務主要采用以太網技術，以信息化小區的形式為用戶服務。在中心節點使用高速交換機，為用戶提供FTTX（光纖到小區）+LAN（網線到戶）的寬帶接入。用戶只需一臺電腦和一塊網卡，就可高速接入互聯網。LAN虛擬撥號接入業務主要適合用戶集中的新建小區、LAN專線接入業務適用于商廈、學校、大型企業等用戶高速接入互聯網。中國電信已經在全國范圍內開放了LAN接入業務，業務范圍覆蓋到縣一級城市。以太網接入中國電信的LAN接入業務主要采用以太網技術以太網接入目前以太網接入方式主要有3種：固定IP、DHCP和PPPoE。具體選擇哪一種可以從以下幾個方面考慮：（1）用戶管理和開銷（2）計費策略（3）用戶服務策略定制（4）信息安全（5）第三層廣播風暴以太網接入目前以太網接入方式主要有3種：固定IP、D以太網接入經比較可以看出，PPPoE同其它兩種接入方式相比具有較大的優勢，被各大運營商普遍采用，PPPoE+VLAN是一種比較理想的寬帶接入方式。本項目采用PPPoE認證方式。以太網接入經比較可以看出，PPPoE同其它兩種接入方用戶接入——PPPoE方式PPPoE方式是基于帳號、密碼的認證方式DHCPServer3、MA5200F與RADIUS服務器配合完成PPPoE的帳號、密碼的驗證處理，給用戶分配一個合法的IP地址MA5200FRadiusServerLanswitchCore5、RADIUS服務器完成對用戶的計費2、MA5200F終結PPPoE1、用戶發起PPPoE4、用戶獲得合法的IP地址，并可以訪問Internet用戶接入——PPPoE方式PPPoE方式是基于帳號、密碼的PPPoE接入流程PPPoE接入流程PPPoE接入認證業務配置流程圖PPPoE接入認證業務配置流程圖地址池配置MA5200F支持內置DHCP服務器功能和使用外置DHCP服務器功能。內置DHCP配置（1）創建一個名為huawei的地址池[MA5200F]ippoolhuaweilocal（2）配置地址池的網關以及掩碼[MA5200F-ip-pool-huawei]gateway（3）配置地址池的地址段[MA5200F-ip-pool-huawei]section000（4）配置DNS服務器的IP地址[MA5200F-ip-pool-huawei]dns-server地址池配置MA5200F支持內置DHCP服務器功能和使用外置地址池配置外置DHCP配置（1）建立一個名為abc的外置DHCPSERVER組[MA5200F]dhcp-servergroupabc（2）指定此DHCPSERVER組所指向的DHCPSERVER的IP地址[MA5200F-dhcp-server-group-abc]dhcp-server[MA5200F-dhcp-server-group-abc]dhcp-serverSecondary（3）創建一個遠端地址池[MA5200F]ippoolhuaweiremote（4）指定地址池的gateway以及綁定DHCPSERVER組[MA5200F-ip-pool-huawei]gateway[MA5200F-ip-pool-huawei]dhcp-servergroupabc地址池配置外置DHCP配置認證方案配置及計費方案配置配置認證方案[MA5200F]aaa（1）添加一個新的認證方案Auth1[MA5200F-aaa]authentication-schemeauth1（2）將Auth1這一個認證方案定義為了本地認證[MA5200F-aaa-authen-auth1]authentication-modelocal配置計費方案[MA5200F]aaa（1）添加一個新的計費方案Acct1[MA5200F-aaa]accounting-schemeacct1（2）將Acct1這一個計費方案定義為了本地計費[MA5200F-aaa-accounting-acct1]accounting-modelocal認證方案配置及計費方案配置配置認證方案Radius服務器配置Radius服務器配置（1）定義一個Radius服務器radius1[MA5200F]radius-servergroupradius1（2）指定radius1認證服務器的IP地址及監聽端口號[MA5200F-radius-radius1]radius-serverauthentication091812（3）指定radius1計費服務器的IP地址及監聽端口號[MA5200F-radius-radius1]radius-serveraccounting111813（4）指定radius1服務器與客戶端交互報文的密鑰[MA5200F-radius-huawei]radius-serverkeyhello（5）指定radius1服務器的類型[MA5200F-radius-huawei]radius-servertypestandardRadius服務器配置Radius服務器配置域配置域配置（1）定義一個域isp [MA5200F-aaa]domainisp（2）在域里面引用前面定義的地址池，認證方案，計費方案，radius服務器配置等 [MA5200F-aaa-domain-isp]ip-poolhuawei [MA5200F-aaa-domain-isp]authentication-schemeauth1 [MA5200F-aaa-domain-isp]accounting-schemeacct1 [MA5200F-aaa-domain-isp]radius-servergroupradius1域配置域配置本地數據庫配置本地用戶配置[MA5200F]local-aaa-server（1）添加一個用戶[MA5200F-local-aaa-server]useruser@isppassword123（2）查看用戶的屬性[MA5200F]displayuser本地數據庫配置本地用戶配置端口vlan配置端口VLAN配置

（1）進入端口VLAN的配置視圖 [MA5200F]portvlanethernet1vlan21（2）設置該端口VLAN為二層普通用戶接入類型[MA5200F-ethernet-1-vlan2-2]access-typelayer2-subscriber（3）配置用戶所使用的缺省域[MA5200F-ethernet-1-vlan2-2]default-domainauthenticationisp（4）配置端口的認證方法[MA5200F-ethernet-1-vlan2-2]authentication-methoddot1x端口vlan配置端口VLAN配置路由配置路由配置（1）進入端口VLAN的配置視圖 [MA5200F]portvlanethernet24vlan01（2）設置端口VLAN的接入類型為非管理類型[MA5200F-ethernet-24-vlan0-0]access-typeinterface（3）創建VLAN子接口 [MA5200F]interfaceEthernet24.0（4）在VLAN子接口下配置ip地址[MA5200F-Ethernet24.0]ipaddress（5）配置默認路由[MA5200F]iproute-static0路由配置路由配置富豪家園小區網絡結構簡化圖富豪家園小區網絡結構簡化圖

學生根據教師提示及配置命令手冊，小組共同完成智能寬帶接入服務器配置工作。任務實施學生根據教師提示及配置命令手冊，小組共同完成智能寬帶接入功能測試

檢查用戶計算機是否獲得公網的IP地址。檢查用戶在認證前的訪問權限。用戶終端利用PPPOE撥號器能夠正常進行撥號認證。在MA5200F上，使用displayaccess-user來查看用戶是否上線。功能測試檢查用戶計算機是否獲得公網的IP地址。任務4訪問行為控制

學習情境3智能小區網絡組建與互聯任務4訪問行為控制 學習情境3任務分析現在的病毒對網絡設備的影響越來越大了，某些病毒會導致網絡設備的CPU利用率接近100%。隨著Internet上的現成的攻擊工具越來越多，由此導致網絡攻擊行為也越來越多，而且越來越復雜。面對猖獗的病毒和網絡攻擊，交換設備有必要設置一些端口限制，否則千兆的高端交換機也會被病毒沖跨。所以在網絡設備上，尤其是交換設備上加上防病毒列表是很必要的。

任務分析現在的病毒對網絡設備的影響越來越大了，某些病毒任務分析

本項目通過在S3900交換機上設置ACL，可以在一定程度上起到提高安全，防范黑客與病毒攻擊的效果。任務分析本項目通過在S3900交換機上設置ACL，可以訪問控制列表技術

訪問控制列表使用包過濾技術，讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據預先定義好的規則對包進行過濾，從而達到訪問控制的目的。訪問控制列表技術訪問控制列表使用包過濾技術，讀取第三層及訪問控制規則（1）用于控制Slammer蠕蟲的傳播ruledenyudpsourceanydestionanydestination-porteq1434（2）用于控制windows內部的其他端口不被掃描和攻擊ruledenyudpsourceanydestionanydestination-porteq137ruledenyudpsourceanydestionanydestination-porteq138（3）用于控制Blaster蠕蟲的傳播ruledenytcpsourceanydestionanydestination-porteq4444ruledenyudpsourceanydestionanydestination-porteq69訪問控制規則（1）用于控制Slammer蠕蟲的傳播訪問控制規則（4）用于控制Blaster蠕蟲的掃描和攻擊ruledenyudpsourceanydestionanydestination-porteq135ruledenyudpsourceanydestionanydestination-porteq139ruledenyudpsourceanydestionanydestination-porteq445ruledenyudpsourceanydestionanydestination-porteq593ruledenytcpsourceanydestionanydestination-porteq135ruledenytcpsourceanydestionanydestination-porteq139ruledenytcpsourceanydestionanydestination-porteq445ruledenytcpsourceanydestionanydestination-porteq593訪問控制規則（4）用于控制Blaster蠕蟲的掃描和攻擊訪問控制規則（5）用于控制"振蕩波"蠕蟲的傳播ruledenytcpsourceanydestionanydestination-porteq5554ruledenytcpsourceanydestionanydestination-porteq9996ruledenytcpsourceanydestionanydestination-porteq9997（6）用于控制Nachi蠕蟲的掃描,需注意的是配置此條規則后，用戶就PING不通了，可根據需要選配ruledenyicmpsourceanydestionanyecho訪問控制規則（5）用于控制"振蕩波"蠕蟲的傳播訪問控制列表配置aclnumber3002rule0denytcpdestination-porteq445rule1denytcpdestination-porteq5554rule2denytcpdestination-porteq9995rule3denytcpdestination-porteq9996rule4denytcpdestination-porteq135rule5denytcpdestination-porteq139訪問控制列表配置aclnumber3002訪問控制列表配置（接上頁）

rule6denytcpdestination-porteq593rule7denytcpdestination-porteq4444rule8denyudpdestination-porteq135rule9denyudpdestination-porteqnetbios-ssnrule10denyudpdestination-porteq445rule11denyudpdestination-porteq593rule12denyudpdestination-porteq1434rule13denytcpdestination-porteq2500訪問控制列表配置（接上頁）訪問控制列表配置interfaceGigabitEthernet1/1/1packet-filterinboundip-group3002rule0packet-filterinboundip-group3002rule1packet-filterinboundip-group3002rule2packet-filterinboundip-group3002rule3packet-filterinboundip-group3002rule4packet-filterinboundip-group3002rule5packet-filterinboundip-group3002rule6packet-filterinboundip-group3002rule7packet-filterinboundip-group3002rule8packet-filterinboundip-group3002rule9packet-filterinboundip-group3002rule10packet-filterinboundip-group3002rule11packet-filterinboundip-group3002rule12packet-filterinboundip-group3002rule13訪問控制列表配置interfaceGigabitEther訪問控制列表配置（接上頁）packet-filteroutboundip-group3002rule0packet-filteroutboundip-group3002rule1packet-filteroutboundip-group3002rule2packet-filteroutboundip-group3002rule3packet-filteroutboundip-group3002rule4packet-filteroutboundip-group3002rule5packet-filteroutboundip-group3002rule6packet-filteroutboundip-group3002rule7packet-filteroutboundip-group3002rule8packet-filteroutboundip-group3002rule9packet-filteroutboundip-group3002rule10packet-filteroutboundip-group3002rule11packet-filteroutboundip-group3002rule12packet-filteroutboundip-group3002rule13訪問控制列表配置（接上頁）

學生根據教師提示及配置命令手冊，小組共同完成智能寬帶接入服務器配置工作。任務實施學生根據教師提示及配置命令手冊，小組共同完成智能寬帶接入功能測試準備好測試所需設備：匯聚交換機S3928、PC機、二層交換機，等等。準備好測試所需軟件：Ethereal、VMWare，等等。測試相關病毒、惡意網頁、腳本、攻擊工具等。PC1作為攻擊機的形式出現。PC2以被攻擊機的形式出現。控制臺用來管理S3928，也可作為被攻擊者。IP地址根據環境等因素來確定。利用PC2對S3928和PC1進行病毒傳播和網絡攻擊，檢測訪問控制列表的功能是否能夠滿足網絡安全性要求。功能測試準備好測試所需設備：匯聚交換機S3928、PC機、任務5網絡設備連接

學習情境3智能小區網絡組建與互聯任務5網絡設備連接 學習情境3工作任務

根據項目的需求分析，參考智能化小區網絡結構示意圖，根據網絡設備選購表，制作需要的雙絞線、對網絡設備連接、給出設備連接信息表。工作任務根據項目的需求分析，參考智能化小區網絡結構示意圖網絡結構示意圖網絡結構示意圖網絡設備選購表設備型號參考價格（元）數量備注寬帶遠程接入服務器MA5200F360001MA5200F寬帶IP接入設備主機(220V)匯聚交換機QuidwayS3928P-EI58001樓道交換機QuidwayS2403TP-EA180010樓道交換機QuidwayS2008TP-EA9006網絡設備選購表設備型號參考價格（元）數量備注寬帶遠程接入服介質選擇

雙絞線常用范圍：語音業務用于電話線；以太網設備與電腦之間的連線；樓內局域網綜合布線；短距離設備級聯的連線。同軸電纜常用范圍：由于雙絞線的價格低廉以及光纖的普及，局域網已經不使用同軸電纜作為傳輸介質了。但其仍然有發揮作用的地方：語音業務用于交換設備分離2M；專線業務如FR/ATM/DDN；特定設備互聯。光纖常用范圍：單模光纜常用與城域網和廣域網的設備連接中，以及大型局域網建筑群子系統中。多模光纜常用于大型局域網的室內主干子系統布線中。介質選擇雙絞線常用范圍：語音業務用于電話線；以太網設備與小區網絡設備連接

當前小區網絡設備與介質的連接主要有兩種方式：一種方式是從樓道交換機到電信機房均經過光纖模塊，對帶寬進行限速；另一種方式是樓道交換機經過光電轉換器，與多模光纖相連，在小區機房也要經過光電轉換器轉換。小區網絡設備連接當前小區網絡設備與介質的連接主要有兩種方

項目組需完成的工作任務：

1、根據項目需求分析，參考網絡圖，明確網絡設備如何連接。2、制作好所需的網絡傳輸介質——雙絞線。3、選擇好所需的網絡傳輸介質——光纖。4、小組成員根據拓撲圖，共同進行網絡設備之間的連接工作。任務實施項目組需完成的工作任務：任務實施

學習情境3智能小區網絡組建與互聯任務6網絡測試與故障診斷 學習情境3任務6網絡測試與故障診斷

打開測速網站，例如吉林電信寬帶測速(/spe/index.jsp)。為了保證測試準確，先關閉其它正在運行中的網絡應用程序（例如QQ、FTP、防火墻），同時不要下載其它網頁和軟件。網速測試打開測速網站，例如吉林電信寬帶測速(http://www處理問題的一般流程處理問題的一般流程檢查項目1、對端設備的運行情況2、光纖、網線的類型檢查3、本端設備物理層檢查Displayinterface查看接口1.接口連接狀態中斷為“down”2.接口連接狀態正常為“up”查看指示燈1.線路連接指示燈LINK2.數據轉發指示燈ACT3.工作模式指示燈STATUS檢查物理鏈路檢查項目Displayinterface查看接口查看指示檢查設備基本狀態信息檢查設備版本信息

[MA5200F]displayversion檢查環境信息

[MA5200F]displayenvironment檢查設備接口信息

[MA5200F]displayinterface檢查設備基本狀態信息檢查設備版本信息檢查數據配置信息檢查各項配置數據信息[MA5200F]displaysaved-configuration[MA5200F]displaycurrent-configuration[MA5200F]displayiproute[MA5200F]displayradius[MA5200F]displaydomain檢查數據配置信息檢查各項配置數據信息查看系統告警使用displaytrap命令查看系統告警信息在查詢到的告警記錄中，分行顯示每條告警記錄的流水號、告警ID、告警產生時間、告警級別、以及告警內容，告警內容對告警單板和告警信息的框號、槽號定位信息進行了詳細描述。告警記錄按照發生的時間倒序排列。檢查系統告警信息查看系統日志使用displayoperation-log命令查看操作日志，看是否有非法操作如果系統提示“Logtablefull,andbackupittoserver!!!”，請用backuplog-record（可以通過XMODEM或TFTP方式）命令來備份日志查看系統告警檢查系統告警信息查看系統日志1、debugging打開某個模塊調試開關的命令為:<MA5200F>debuggingmodulename2、terminalmonitor對調試信息是否輸出有開關terminalmonitor控制，當使用undoterminalmonitor命令關閉調試信息輸出開關時，所有模塊的調試信息均不送往控制臺。當使用命令terminalmonitor打開此開關時，系統各個模塊的調試信息輸出<MA5200F>terminalmonitor使用調試工具3、trace打開業務跟蹤的調試開關：<MA5200F>traceenable1、debugging2、terminalmonitor使PPPoE用戶無法上線用戶名/密碼用戶名/域

無效/未激活Porttype不匹配Portvlan

配置錯誤IP地址

分配失敗……Radius

錯誤PPPoE用戶無法上線用戶名/密碼用戶名/域

無效/未激PPPoE用戶無法上線

<MA5200F>debuggingppp/pppoe-server <MA5200F>terminalmonitor <MA5200F>terminaldebugging在debugaaa看不到明確信息時可以打開debugcm和debuglam；如果radius認證還需要打開radius相關調試開關。

<MA5200F>enabletrace <MA5200F>traceobjectusernametest@huaweioutput-filepppoe.txtdebugtracePPPoE用戶無法上線 <MA5200F>debugging典型故障【現象描述】MA5200F一個端口下的用戶運行一段時間后就會出現業務全部中斷的情況，復位MA5200或復位下行的設備后業務就可以恢復，但過一段時間后又會再次出現。【原因分析】用戶業務全部中斷的原因最常見的有：①端口down；②匯聚用戶的交換機故障或其它設備故障，如光電轉換器等；③其它匯聚線路故障，如傳輸等。典型故障【現象描述】典型故障【現象描述】某局一臺MA5200F下所有用戶反饋上網速度特別慢，用戶使用10MCAR的帶寬下載速度只通達到20～30KBps，同時只要把MA5200去掉用戶直接接在MA5200上面的三層交換機上下載速度就可以達到800-900KB。用戶測試使用的是相同的機器，都是使用固定的IP地址，用相同的軟件到相同的網站下載的。【原因分析】用戶下載速度慢最常見的原因有：①端口協商不一致；②鏈路質量問題，端口收發有大量錯包；③CAR限制，包括鏈路上其它設備CAR的限制；④客戶端問題等。典型故障【現象描述】典型故障【現象描述】①MA5200下面的用戶反饋上網異常，速度很慢；②新的用戶無法認證成功；③已經在線的用戶反饋掉線；④登陸MA5200發現cpu占有率很高，命令行操作困難；⑤有大量的計費失敗和話單池滿的告警信息。典型故障【現象描述】典型故障【原因分析】出現這樣的問題的原因主要是由于用戶在5200上面配置了本地計費導致的。MA5200上面的本地話單的保存策略是：①首先將用戶的話單保存到cache當中，當cache當中的話單滿了之后就將話單按照FIFO的原則保存到flash當中去；②當flash當中的話單滿了之后，flash是不會刪除舊話單的，這個時候只能通過tftp將flash中的話單備份到外部的計算機里面去。典型故障【原因分析】根據網絡拓撲圖，結合實訓室現有設備，進行網絡設備間的連接。按照規劃方案進行實施，完成之后要對網絡進行測試，是否滿足用戶的需求。在調試網絡過程中，可能出現的各種問題，對網絡故障進行快速判斷，找出原因并加以解決問題。工作任務根據網絡拓撲圖，結合實訓室現有設備，進行網絡設備間的連接實訓小組需完成以下工作任務：

學生在教師的指導下，查閱資料、分組討論，共同解決問題。

工作任務實訓小組需完成以下工作任務：工作任務任務7任務評價

學習情境3智能小區網絡組建與互聯任務7任務評價 學習情境3小組對組建的小區網絡進行展示，小組代表介紹方案特點與故障排除過程，師生展開討論共同進行討論，對存在的問題進行整改和優化。實訓過程評價要求對小組每名成員分別進行評價，分為小組成員自我評價、小組成員互相評價以及教師評價三部分構成。任務評價任務評價小組對智能小區網絡進行展示，主要從以下幾個方面對網絡進行介紹：1．需求分析；2．拓撲圖的繪制；3．網絡設備的選擇；4．網絡規劃方案的制定；5．網絡設備的配置；6．網絡故障排除；7．網絡測試。任務評價小組對智能小區網絡進行展示，主要從以下幾個方面對網絡進行

實訓過程評價通過觀察小組開展協作活動的情況，包括實訓小組的組織管理，全部工作過程及其各個環節之間的銜接，了解小組各成員的體會，對小組中的個體進行評價。實訓小組通過認真準備，進行討論發言，激發學生討論的熱情，利用群體的智慧，彌補個別化學習的不足。對學生評價考核分為其在整個中實踐技能的掌握和工作過程的素質形成兩類考核指標，在考核學生整個工作過程的績效外，還兼顧到學生學習態度、進步程度的評價考核。任務評價任務評價

當每一個協作小組及成員均完成任務時，就需要將所有成果匯集在一起，經有機協調、組合后，形成一個總的實訓成果，從而實現總任務的完成。成果包括網絡規劃方案、網絡設備連接與測試、網絡故障診斷、自我評價等內容。要求提交全部實訓資料，并要求每名成員寫出一份總結模擬實訓體會的實訓報告。實訓過程評價內容包括小組匯報、實訓資料、實訓報告。實訓過程評價要求對小組進行整體評價，得分由組內互相評價及教師評價構成。任務評價任務評價

學習情境3智能小區網絡組建與互聯任務1網絡規劃方案

學習情境3任務1網絡規劃方案

富豪家園小區一期土建工程已經完工，現需要進行智能化建設，實現物業管理、周界報警和環境監控等。富豪家園小區一期工程有十一棟建筑物。其中有十棟多層建筑，每棟多層住宅有六層，一樓是車庫，每棟實際住戶數為30戶；還有物業管理中心及小區會所用建筑一座，計算機主機房設在物業管理中心的二層。本公司負責寬帶信息網的建設。目前寬帶小區的結構化布線工程基本完成，網絡的基本架構分布情況如下：電信公司新布放了一條網絡光纖至計算機主機房，樓棟之間布放光纖到各樓棟機柜位置。樓道內的交換機之間采用雙絞線互連，在每個房間的入口適當位置統一設置一個信息接入箱，待各業主室內自行裝修后，完成室內接入。大部分業主都想擁有一個高速的網絡，能夠滿足寬帶上網、視訊點播等互聯需求。隨著人們日常生活對計算機的依賴越來越強，計算機病毒泛濫會影響用戶的使用和信息安全；內部用戶的攻擊行為，會給園區網造成不良的影響，局域網相互影響應盡可能得小。整個小區包含各種戶型，但信息點分布均按照每套房間一個網絡信息點考慮，并防止用戶自行更改IP或私自接入小區網絡。學習情境描述富豪家園小區一期土建工程已經完工，現需要進行智能化建設，項目的第一步，是通過對工程項目的需求分析，提出網絡規劃設計，繪制出網絡的拓撲圖或結構圖，最后根據需求分析完成網絡設備選型、技術文檔撰寫等工作。

工作任務描述工作任務描述項目的分析以對客戶的需求分析為主，通過對實際情況的了解和客戶提出的需求進行分析。（1）用戶通過小區網絡以認證方式訪問Internet。（2）互聯網接入采用100M/1000M光纖接入。（3）提供該小區公網IP地址，根據用戶數分配相關地址池。（4）要實現一定的安全性，通過VLAN隔離，禁止小區內部通過局域網互訪。（5）各樓道設備通過光纖與匯聚機房互聯。（6）用戶通過DHCP方式自動獲取IP等信息，以便訪問Internet。（7）采用主流的TCP/IP協議對寬帶網網絡進行規劃。（8）小區匯聚機房通過集群功能對樓道交換機進行管理。（9）小區匯聚機房啟動STP和環路抑制。（10）滿足當前主流網絡設計的原則。需求分析項目的分析以對客戶的需求分析為主，通過對實際情況的了解和VLAN規劃原則（1）VLAN1一般予以保留，不分配給業務VLAN使用。（2）VLANID的預分配應成段分配。（3）如果VLANID足夠用，盡量分配1000以下的VLANID。（4）分配VLAN時，每個用戶一個VLAN。（5）管理VLAN一般也要統一，如都用VLAN4094。VLAN規劃VLAN規劃原則VLAN規劃VLAN規劃表序號樓號VLAN號交換機位置11#2-492單元2樓22#50-973單元1樓33#98-1452單元3樓44#146-1933單元1樓55#194-2412單元2樓66#242-2891單元3樓77#290-3372單元2樓88#338-3852單元2樓99#386-4333單元1樓1010#434-4812單元2樓11物業中心4822樓合計11481VLAN規劃VLAN規劃表序號樓號VLAN號交換機位置11#2-492單

Loopback地址：管理員會使用該地址對路由器遠程登錄，該地址實際上起到了類似設備名稱一類的功能。管理地址：也稱互聯地址，是指兩臺或多臺網絡設備相互連接的接口所需要的地址，如寬帶遠程接入服務器的設備管理地址。業務地址：用戶撥號以后從寬帶遠程接入服務器設備上獲取的公網地址。IP規劃Loopback地址：管理員會使用該地

網絡設計按功能一般分為三層：核心層、匯聚層、接入層。核心層：作為網絡的核心部分，不僅要求實現高速的數據轉發，而且要求性能高，容量大，具備高可靠性和高穩定性。匯聚層：要支持豐富的功能和特性。匯聚層要隔離接入層的各種變化對核心層的沖擊。接入層：要提供大量的接入端口以及各種接入端口類型。提供強大的各類業務類型接入。拓撲圖繪制網絡設計按功能一般分為三層：核心層、匯聚層、接入層。拓撲

電信寬帶小區示意圖拓撲圖繪制電信寬帶小區示意圖拓撲圖繪制

智能化小區網絡結構示意圖拓撲圖繪制智能化小區網絡結構示意圖拓撲圖繪制對BRAS設備的選擇上應考慮如下因素：1．具備高可靠性2．具備強大的擴充性3．安全性保證4．能提供多種特色的寬帶服務及IP增值業務的能力5．支持多種接入方式及認證方式6．網絡管理和業務開通能力7．升級能力網絡設備選擇寬帶遠程接入服務器對BRAS設備的選擇上應考慮如下因素：網絡設備選擇寬帶遠程接

考慮到小區節點數為低于2000戶的寬帶認證用戶，可以選擇相應的認證BRAS設備，根據寬帶需求和性價比這里選擇華為SmartAX5200F設備。寬帶遠程接入服務器網絡設備選擇考慮到小區節點數為低于2000戶的寬帶認證用戶，可以選擇

匯聚層設備要支持豐富的功能和特性，能隔離接入層的各種變化對核心層的沖擊。

根據本項目的實際情況及未來發展，滿足主干高速要求，選擇華為S3928-EI三層交換機。網絡設備選擇匯聚交換設備匯聚層設備要支持豐富的功能和特性，能隔離接入層的各種變化

樓道交換機是接入層設備，要能提供大量的接入端口以及各種接入端口類型，提供強大的各類業務類型接入。

本項目中的樓道交換機可以選擇華為S2403二層交換機作為主交換機，從交換機可根據實際寬帶用戶數量選擇S2008、S2016或S2403。網絡設備選擇樓道交換設備樓道交換機是接入層設備，要能提供大量的接入端口以及各種接實施進度計劃3.1網絡規劃方案時間進度工程進度123456789入場，核實現場數據設備、材料入場網絡設備安裝配置設備調試工程文檔工程驗收技術培訓實施進度計劃3.1網絡規劃方案任務2小區內部網絡組建

學習情境3智能小區網絡組建與互聯任務2小區內部網絡組建 學習情境3

小區用戶需要實現住戶之間的計算機不能互訪，實現必要的VLAN隔離，并且對設備配置過一次后就不需要經常修改。對接入交換機進行VLAN配置或端口隔離配置，能實現用戶之間的隔離，保證了小區住戶的安全性。本項目中樓道交換機需要一個端口對應一個VLAN。整個工程的網絡設備較多，設備之間的連接關系需要非常清晰，尤其在工程維護期間更是如此。要在網絡設備上對端口和設備的信息進行描述。任務分析

小區用戶需要實現住戶之間的計算機不能互訪，實現必要的VL

為簡化配置管理任務，在匯聚交換機上配置集群管理功能，管理樓道交換機。這樣就不需要登錄到每個成員設備的配置口上進行配置，不受距離的限制，有助于監視和調試網絡；只需要在管理設備上配置一個公網IP地址，就可實現對多個交換機的配置和管理，節省IP地址。為保證上行網絡暢通，還可考慮生成樹配置、訪問控制列表（防病毒）等網絡相關配置。任務分析

為簡化配置管理任務，在匯聚交換機上配置集群管理功能，管理社區寬帶數據業務接入拓撲圖社區寬帶數據業務接入拓撲圖（1）建立業務VLAN[switch-A.MAN]VLAN100（2）進入業務端口，加對業務的描述[switch-A.MAN]interfaceEthernet1/0/1[switch-A.MAN-Ethernet1/0/1]descriptiontext（3）對端口的廣播風暴進行限制[switch-A.MAN-Ethernet1/0/1]broadcast-suppression5（4）配置端口的速率和雙工屬性[switch-A.MAN-Ethernet1/0/1]speed{100|10|auto}[switch-A.MAN-Ethernet1/0/1]duplex{full|half|auto}交換機業務配置（1）建立業務VLAN交換機業務配置（5）配置端口類型，并將業務VLAN封裝到端口下[switch-A.MAN-Ethernet1/0/1]portlink-typeaccess[switch-A.MAN-Ethernet1/0/1]portaccessvlan100（6）如業務VLAN的網關不在該設備上，需要將該業務VLAN向上透傳（分不帶標簽透傳/帶標簽透傳/混合模式）[switch-A.MAN-Ethernet1/0/1]portlink-type{access|trunk|hybrid}例：[switch-A.MAN-Ethernet1/0/1]portlink-typetrunk[switch-A.MAN-Ethernet1/0/1]porttrunkpermitall（7）對端口進行限速不同的交換機限速的方式也不相同，命令也不一樣，有些低端交換機也并不支持對端口進行限速功能。需要參考設備技術說明書。交換機業務配置（5）配置端口類型，并將業務VLAN封裝到端口下交換機業務配

根據需要可以對接入交換機進行相應的VLAN配置、端口隔離配置和端口和設備的信息描述，本項目中樓道交換機需要個端口對應一個vlan號。小區接入樓道交換機配置根據需要可以對接入交換機進行相應的VLAN配置、端口隔離配

小區匯聚設備需要配置遠程管理地址、默認路由和集群管理等功能。匯聚交換機S3928的管理地址為06/30，上聯設備的地址為05/30。匯聚設備小區匯聚設備需要配置遠程管理地址、默認路由和集群管理等功配置遠程管理地址[xiaoqu]VLAN4008[xiaoqu-vlan4008]intVLAN4008[xiaoqu-vlan-interface4008]ipaddress0652匯聚設備配置配置遠程管理地址匯聚設備配置配置上連MA5200F的端口[xiaoqu]interfaceGigabitEthernet1/1/1[xiaoqu-GigabitEthernet1/1/1]portlink-typetrunk[xiaoqu-GigabitEthernet1/1/1]porttrunkpermitvlanall匯聚設備配置配置上連MA5200F的端口匯聚設備配置配置默認路由[xiaoqu]iproute-static05匯聚設備配置配置默認路由匯聚設備配置

網絡管理員可以通過一個主交換機的公網IP地址，實現對多個交換機的管理。主交換機稱為管理設備，其它被管理的交換機稱為成員設備。成員設備一般不設置公網IP地址，通過管理設備重定向來實現對成員設備的管理和維護。管理設備和成員設備組成了一個“集群”。匯聚設備上的集群管理網絡管理員可以通過一個主交換機的公網IP地址，實現對多個匯聚設備上的集群管理

SwitchA作為管理設備來管理成員交換機SwitchB和SwitchC，要求使用SwitchA使用/24作為集群地址池，集群的名稱為huawei。交換機SwitchA通過ethernet1/0/1與SwitchB的ethernet1/0/1連接，SwitchA通過ethernet1/0/2與SwitchC的ethernet1/0/1連接。

匯聚設備上的集群管理SwitchA作為管理設備來管理成員管理設備：(1)啟動設備上的NDP和端口E1/0/1、E1/0/2上的NDP[Quidway]ndpenable[Quidway]interfaceethernet1/0/1[Quidway-Ethernet1/0/1]ndpenable[Quidway-Ethernet1/0/1]interfaceethernet1/0/2[Quidway-Ethernet1/0/2]ndpenable(2)啟動設備上的NTDP和端口E1/0/1、E1/0/2上的NTDP[Quidway]ntdpenable[Quidway]interfaceethernet1/0/1[Quidway-Ethernet1/0/1]ntdpenable[Quidway-Ethernet1/0/1]interfaceethernet1/0/2[Quidway-Ethernet1/0/2]ntdpenable匯聚設備上的集群管理管理設備：匯聚設備上的集群管理管理設備：(3)配置拓撲收集范圍為2跳[Quidway]ntdphop2(4)啟動集群功能[Quidway]clusterenable(5)進入集群視圖[Quidway]cluster[Quidway-cluster](6)配置集群內部使用的IP地址池，起始地址為，[Quidway-cluster]ip-pool48(7)配置集群名字，建立集群。[Quidway-cluster]buildhuawei[Quidway-cluster]auto-build匯聚設備上的集群管理管理設備：匯聚設備上的集群管理成員交換機配置：(1)啟動設備上的NDP和端口Ethernet1/0/1上的NDP[Quidway]ndpenable[Quidway]interfaceethernet1/0/1[Quidway-Ethernet1/0/1]ndpenable(2)啟動設備上的NTDP和端口Ethernet1/0/1上的NTDP[Quidway]ntdpenable[Quidway]interfaceethernet1/0/1[Quidway-Ethernet1/0/1]ntdpenable(3)啟動集群功能。[Quidway]clusterenable匯聚設備上的集群管理成員交換機配置：匯聚設備上的集群管理管理設備：查看集群成員：[huawei_0.Quidway-cluster]displayclustermembers登錄成員交換機SwitchB<huawei_0.Quidway>clusterswitch-to1登錄成員交換機SwitchC<huawei_0.Quidway>clusterswitch-to2匯聚設備上的集群管理管理設備：匯聚設備上的集群管理小區匯聚機房交換機配置環路檢測和生成樹，主要對小區內網進行環路檢測和抑制。環路檢測開啟全局的端口環回監測功能：loopback-detectionenable開啟Trunk端口和Hybrid端口的環回監測受控功能loopback-detectioncontrolenable顯示端口環回監測功能的相關信息displayloopback-detection小區匯聚機房交換機配置環路檢測和生成樹，主要對小區內網進

對匯聚交換機進行相應的VLAN透傳、管理地址、集群管理配置、STP配置、訪問控制列表（防病毒）、路由配置等，要求完成網絡相關相應配置，保證上行網絡暢通。主要配置項目如下：（1）在華為交換機S3928上配置各VLAN；（2）在華為交換機S3928上配置管理VLAN；（3）在華為交換機S3928上配置集群管理功能，管理樓道交換機；（4）配置華為交換機S3928的路由，配置一條默認路由；（5）配置廣播風暴抑制、STP生成樹；（6）其它可選的配置：端口Trunk配置、訪問控制等。小區匯聚交換機配置對匯聚交換機進行相應的VLAN透傳、管理地址、集群管理配置項目組完成內容：學生根據項目要求，閱讀相關資料，借助配