（中小型）校園網設計方案實例目錄TOC\o"1-5"\h\z1系統總體設計方案概述1系統組成與拓撲結構2VLAN及IP地址規劃3交換模塊設計4訪問層交換服務的實現—配置訪問層交換機5配置訪問層交換機AccessSwitch1的基本參數5配置訪問層交換機AccessSwitch1的管理IP、默認網關7配置訪問層交換機AccessSwitch1的VLAN及VTP8配置訪問層交換機AccessSwitch1端口基本參數9配置訪問層交換機AccessSwitch1的訪問端口9配置訪問層交換機AccessSwitch1的主干道端口11配置訪問層交換機AccessSwitch211訪問層交換機的其它可選配置12分布層交換服務的實現—配置分布層交換機13配置分布層交換機DistributeSwitch1的基本參數14配置分布層交換機DistributeSwitch1的管理IP、默認網關14配置分布層交換機DistributeSwitch1的VTP15在分布層交換機DistributeSwitch1上定義VLAN16配置分布層交換機DistributeSwitch1的端口基本參數17配置分布層交換機DistributeSwitch1的3層交換功能18配置分布層交換機DistributeSwitch219其它配置20核心層交換服務的實現—配置核心層交換機20配置核心層交換機CoreSwitch1的基本參數21配置核心層交換機CoreSwitch1的管理IP、默認網關21配置核心層交換機CoreSwitch1的的VLAN及VTP22配置核心層交換機CoreSwitch1的端口參數22配置核心層交換機CoreSwitch1的路由功能23其它配置24核心層交換機CoreSwitch2的配置24廣域網接入模塊設計24配置接入路由器InternetRouter的基本參數25配置接入路由器InternetRouter的各接口參數25配置接入路由器InternetRouter的路由功能26配置接入路由器InternetRouter上的NAT26配置接入路由器InternetRouter上的ACL28其它配置31遠程訪問模塊設計31配置物理線路的基本參數32配置接口基本參數32配置身份認證33服務器模塊設計34系統測試36系統測試36相關測試、診斷命令36通用測試、診斷命令36CDP測試、診斷命令39路由和路由協議測試、診斷命令41VLAN、VTP測試、診斷命令41生成樹測試、診斷命令42NAT測試、診斷命令43ACL測試、診斷命令43遠程訪問測試、診斷命令44總結44附錄：資源45（中小型）校園網設計方案實例本文以實例的形式對校園網絡的設計方案進行分析并給出校園網絡關鍵設備的配置步驟、配置命令以及診斷命令和方法。通過本文，相信讀者能夠系統地掌握中小型園區網的設計、實施以及維護方法及技巧。1系統總體設計方案概述校園網絡（COMPUSNETWORK,下文中也稱為園區網絡）是非常典型的綜合網絡實例。為了闡明主要問題，在本設計方案中對實際校園網的設計進行了適當的和必要的簡化。同時，將重點放在網絡主干的設計上，對于服務器的架設只作簡單介紹，具體內容參考有關參考書。如圖1-1所示，是該校園網網絡的總體拓撲結構圖圖1-1X戲園網網絡的總體拓撲結構在上面的拓撲圖中，學校的6個主要集中接入點（計算機系、管理系、建筑系、財務處、教務處、學生宿舍）通過冗余的光纖鏈路上連到信息中心的核心層交換機上。核心層交換機通過Cisco3640路由器接入因特網。此外，教工宿舍及移動辦公用戶通過撥號方式接入路由器3640來訪問校園網內網及因特網。圖中，以計算機系為例展示了每個建筑物內部的網絡設備拓撲結構，并給出了信息中心內部的網絡設備拓撲結構。在接下來的討論中，我們將展開并詳細討論每個模塊的設計內容。系統組成與拓撲結構為了實現網絡設備的統一，本設計方案中完全采用同一廠家的網絡產品，即Cisco公司的網絡設備構建。全網使用同一廠商設備的主要好處在于可以實現各種不同網絡設備功能的互相配合和補充。本校園網設計方案主要由以下四大部分構成：交換模塊、廣域網接

R4S.1皿(ntrrnrtNnulcrL^10tUW.Q27等而加年?隗曲1424CrncSwKclil?LE1R4S.1皿(ntrrnrtNnulcrL^10tUW.Q27等而加年?隗曲1424CrncSwKclil?LE1WiJIServerFarmr'qn^wftdilInf^qr*redIOR0⑶C|K■喻EtbciwtChanMl*Dhtributes<RitchIFO24Man1D:FO1-10VLhal-WVlmi^FO1-10|9LI6K,|(IZ4Dhtributes<RitchIFO24Man1D:FO1-10VLhal-WVlmi^FO1-10|9LI6K,|(IZ4IMIJ6OJL14|9M6Kr4.(l24tijireLjalntrflnt?d144DtsiribuirSv*iilcbSDhtril^utcLii>crjLa^orXSMirrliFQ?/F4>；34Acce'fsMiiichI圖1-2校園網整體拓撲結

構圖VLAN及IP地址規劃在一個大、中型網絡里，VLAN的劃分是必不可少的步驟之一。在本校園網設計實例中，整個校園網中VLAN及IP編址方案如表1所示。表1VLAN及IP編址萬案

VLAN號VLAN名稱IP網段默認闞走_1說提.」VLAN1—.24192.168.0.I置理VlA?JVLAN10JWC19工160fM192.16254教務處VLANVLAN20xsss192.1620/24192,162254學生宿舍VLANVLAN30cwc192468.3.0/2419216&3.254財務處VLANIVLAN40JGSS192.168.4,0/24192.168,4.254教工宿舍VLAN|"二三.甘1"7Y■髓鼻Ua-*一1遺*除了表1中的內容外，撥號用戶從/27中動態取得IP地址。為了簡化起見，除了管理VLAN外，這里只規劃了8個VLAN,同時為每個VLAN定義了一個由拼音縮寫組成的VLAN名稱。2交換模塊設

計一個好的校園網設計應該是一個分層的設計。一般分為三層設計模型。為了簡化交換網絡設計、提高交換網絡的可擴展性，在園區網內部數據交換模塊的部署是分層進行的。園區網數據交換設備可以劃分為三個層次：訪問層、分布層、核心層。傳統意義上的數據交換發生在OSI模型的第2層。現代交換技術還實現了第3層交換和多層交換。高層交換技術的引入不但提高了園區網數據交換的效率，更大大增強了園區網數據交換服務質量，滿足了不同類型網絡應用程序的需要。現代交換網絡還引入了虛擬局域網(VirtualLAN,VLAN)的概念。VLAN將廣播域限制在單個VLAN內部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN問路由技術來實現。當網絡管理人員需要管理的交換機數量眾多時，可以使用VLAN中繼協議(VlanTrunkingProtocol,VTP)簡化管理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網絡管理人員的工作負擔和工作強度。當園區網絡的交換機數量增多、交換機間鏈路增加時，交換網絡的復雜性可能會造成交換環路問題這需要通過在各交換機上運行生成樹協議SpanningTreeProtocol,STP)來解決。訪問層交換服務的實現-配置訪問層交換機訪問層為所有的終端用戶提供一個接入點。這里的訪問層交換機采用的是CiscoCatalyst295024口交換機(WS-C2950-24)。該交換機擁有24個10/100Mbps自適應快速以太網端口，運行的是Cisco的IOS操作系統。這里，以圖2-1中的訪問層交換機AccessSwitch1為例進行介紹。如圖2-1所示：VInnICrAkl-lllVltnMtrWIl-M圖2-1訪問層交換機AccessSwitch1配置訪問層交換機AccessSwitch1的基本參數1、設置交換機名稱設置交換機名稱，也就是出現在交換機CLI提示符中的名字。一般以地理位置或行政劃分來為交換機命名。當需要Telnet登錄到若干臺交換機以維護一個大型網絡時，通過交換機名稱提示符提示自己當前配置交換機的位置是很有必要的。如圖2-2所示，為訪問層交換機AccessSwitch1命名。Switch(con11g)^hos(nuineA^cessSw：reh]AccessSwitch1(config)#圖2-2為訪問層交換機AccessSwitchl

命名2、設置交換機的加密使能口令當用戶在普通用戶模式而想要進入特權用戶模式時，需要提供此口令。此口令會以MD5的形式加密，因此，當用戶查看配置文件時，無法看到明文形式的口令。如圖2-3所示，將交換機的加密使能口令設置為secretpasswdAtccssSwitchI(config)^enubl<?secretsctjr^tpds：<Ard圖2-3為交換機設置加密使能

口令3、設置登錄虛擬終端線時的口令對于一個已經運行著的交換網絡來說，交換機的帶內遠程管理為網絡管理人員提供了很多的方便。但是，出于安全考慮，在能夠遠程管理交換機之前網絡管理人員必須設置遠程登錄交換機的口令。如圖2-4所示，設置登錄交換機時需要驗證用戶身份，同時設置口令為youguess。Access比hl(config隅incvry015AccessSwitch1(conitchl(contig-lordyoucssI圖2-4為訪問層交換機AccessSwitchl

命名4、設置終端線超時時間為了安全考慮，可以設置終端線超時時間。在設置的時間內，如果沒有檢測到鍵盤輸入，IOS將斷開用戶和交換機之間的連接。如圖2-5所示，設置登錄交換機的控制臺終端線路及虛擬終端線的超時時間為5分30秒鐘。Acccs$Switch1(config)#linevtyr[5AcccssSwitchI(config-linc)#cxcc-titneout530AucCbsS^iith](eonfig-linecon0AccessSwiich1(config-1incmcout530圖2-5設置控制臺終端線路和虛擬終端線路的超時

時間5、設置禁用IP地址解析特性在交換機默認配置的情況下，當輸入一條錯誤的交換機命令時，交換機會嘗試將其廣播給網絡上的DNS服務器并將其解析成對應的IP地址。利用命令noipdomain-lookup。可以禁用這個特性。如圖2-6所示，設置禁用IP地址解析特性。AccessStsitch](conJlg)#nuipdu“iairi」uokup圖2-6設置禁用IP地址解

析特性6、設置啟用消息同步特性有時，用戶輸入的交換機配置命令會被交換機產生的消息打亂。可以使用命令loggingsynchronous設置交換機在下一行CLI提示符后復制用戶的輸入。如圖2-7所示，設置啟用消息同步特性。AcccssSwitch](conft%hgmgnchromvus圖2-7設置啟用消息同步

特性配置訪問層交換機AccessSwitch1的管理IP、默認網關訪問層交換機是OSI參考模型的第2層設備，即數據鏈路層的設備。因此，給訪問層交換機的每個端口設置IP地址是沒意義的。但是，為了使網絡管理人員可以從遠程登錄到訪問層交換機上進行管理，必

須給訪問層交換機設置一個管理用IP地址。這種情況下，實際上是將交換機看成和PC機一樣的主機。給交換機設置管理用IP地址只能在VLAN1，即本征VLAN中進行。按照表2-1，管理VLAN所在的子網是：192,168.0.0/24,這里將訪問層交換機AccessSwitch1的管理IP地址設為：/24。如圖2-8所示，顯示了為訪問層交換機AccessSwitch1設置管理IP并激活本征VLAN。AccessSwitch1(conflg)#intcrl>cevlan1AccessSwitchI(config'if)#ipaddress192J68255.25525?0陰noshutdown—一圖2-8設置訪問層交換機AccessSwitch1的管理IP為了使網絡管理人員可以在不同的子網管理此交換機，還應設置默認網關地址54。如圖2-9所示。AcccssSwitchI(config)#jpdefault-gateway192.168,0.254圖2-9設置訪問層交換機AccessSwitch1的默認網關

地址配置訪問層交換機AccessSwitch1的VLAN及VTP從提高效率的角度出發，在本校園網實現實例中使用了VTP技術。同時，將分布層交換機DistributeSwitch1設置成為VTP服務器，其他交換機設置成為VTP客戶機。這里訪問層交換機AccessSwitch1將通過VTP獲得在分布層交換機DistributeSwitch1中定義的所有VLAN的信息。2-10所示，設置訪問AccessSwitchl(config)#vtpmodeclient,2-10所示，設置訪問如圖層交換機AccessSwitch1成為VTP客戶機。圖2-10

設置訪問層交換機AccessSwitchl成為VTP客戶機配置訪問層交換機AccessSwitchl端口基本參數1、端口雙工配置可以設定某端口根據對端設備雙工類型自動調整本端口雙工模式，也可以強制將端口雙工模式設為半雙工或全雙工模式。在了解對端設備類型的情況下，建議手動設置端口雙工模式。如圖2-11所示，設置訪問層交換機AccessSwitchl的所有端口均工作在全雙工模式。AccessSwirch1(config)^inrertacerangefyr]-24AccessSwitcht(contlg-it-ran^epdiiplexfill*圖2-11設置訪問層交換機AccessSwitch1的端口工作

模式2、端口速度可以設定某端口根據對端設備速度自動調整本端口速度，也可以強制將端口速度設為10Mpbs或100Mbps。在了解對端設備速度的情況下，建議手動設置端口速度。如圖2-12所示，設置訪問層交換機AccessSwitch1的所有端口的速度均為24100Mbps。24AccessSwitchl(config)^interfacerangeA01AccessSwitch)(config-if-range)#speed100圖2-12設置訪問層交換機AccessSwitch1的端口

速度配置訪問層交換機AccessSwitch1的訪問端口訪問層交換機AccessSwitchl為終端用戶提供接入服務。在圖2-1中，訪問層交換機AccessSwitchl為VLAN10、VLAN20提供接入服務。如圖2-13所示，設置訪問層交換機AccessSwitchl的端口1?端口10工作在訪問(接入)模式。同時，設置端口1?端口10為VLAN10的成AcccssSwitchI(contig)^1ntcrfaccrangetastcthcrnct0.110AccessSwitchUconfig-rf-rangc^switcliporAcxxs5s巧itch口rangewitchportaccessvlau10圖2-13設置訪問層交換機AccessSwitch1的端口

1?102、設置訪問層交換機AccessSwitch1的端口11?20如圖2-14所示，設置訪問層交換機AccessSwitch1的端口11?端口20工作在訪問(接入)模式。同時，設置端口1?端口10為VLAN20的成員。AccessSwitchl(config)#Interfaccrangefastet1.^mct0/1120AccessSwireh3(contlg*if*range)#swirchponm.JeaccessAcccssSwitch](ccnfig-if^raiigcl^swirchportaccessvhn2。圖2-14設置訪問層交換機AccessSwitch1的端口11?203、設置快速端口默認情況下，交換機在剛加電啟動時，每個端口都要經歷生成樹的四個階段：阻塞、偵聽、學習、轉發。在能夠轉發用戶的數據包之前，某個端口可能最多要等50秒鐘的時間(20秒的阻塞時間+15秒的偵聽延遲時間+15秒的學習延遲時間)。對于直接接入終端工作站的端口來說，用于阻塞和偵聽的時間是不必要的。為了加速交換機端口狀態轉化時間，可以設置將某端口設置成為快速端口(Portfast)。設置為快速端口的端口當交換機啟動或端口有工作站接入時，將會直接進入轉發狀態，而不會經歷阻塞、偵聽、學習狀態(假設橋接表已經建)o如圖2-15所示，設置訪問層交換機AccessSwitchl的端口1?端口20為快速端口。AccessSwitchl(config)#lnterfacerangefastethemet0"2。AccessSwitch1(config-if-range)#spanning4rce圖2-15設置快速

端口配置訪問層交換機AccessSwitchl的主干道端口如圖2-1所示，訪問層交換機AccessSwitch1通過端口FastEthernet0/23上連到分布層交換機DistributeSwitch1的端口FastEthernet0/23。同時，訪問層交換機AccessSwitch1還通過端口FastEthernet0/24上連到分布層交換機DistributeSwitch2的端口FastEthernet0/23。這兩條上連鏈路將成為主干道鏈路，在這兩條上連鏈路上將運輸多個VLAN的數據。如圖2-16所示設置訪問層交換機AccessSwitch1的端口FastEthernet0/23、FastEthernet0/24為主干道端口。AcccssSwitch](config)^lrncrfacerangetaste?'二rn&t(V2?-24AccessSwitch1(config-if-range)^switchportmodetrunk圖2-16設置主干道

端口配置訪問層交換機AccessSwitch2訪問層交換機AccessSwitch2為VLAN30和VLAN40的用戶提供接入服務。同時，分別通過自己的FastEthernet0/23、FastEthernet0/24上連到分布層交換機DistributeSwitch1、DistributeSwitch2的端口FastEthernet0/24。如圖2-17所示，是訪問層交換機AccessSwitch2的連接示意圖。\hnMilFIk'l-HiVbn4lkF'l），Il-21l圖2-17訪問層交換機AccessSwitch2的連接

示意圖對訪問層交換機AccessSwitch2的配置步驟、命令和對訪問層交換機AccessSwitch1的配置類似。這里，不再詳細分析，只給出最后的配置文件內容（只留下了必要的命令）。需要指出的是，為了提供主干道的吞吐量，可以采用鏈路捆綁（快速以太網信道）技術增加可用帶寬。例如，可以將訪問層交換機AccessSwitch1的端口FastEthernet0/21和FastEthernet0/22捆綁在一起實現200Mbps的快速以太網信道，然后再上連到分布層交換機DistributeSwitch1。同樣，也可以將訪問層交換機AccessSwitch1的端口FastEthernet0/23和FastEthernet0/24捆綁在一起實現200Mbps的快速以太網信道，然后再上連到分布層交換機DistributeSwitch2具體的配置步驟和命令將在核心層交換機的配置一節中進行介紹。訪問層交換機的其它可選配置1、Uplinkfast訪問層交換機AccessSwitch1通過兩條冗余上行鏈路分別接入分布層交換機DistributeSwitch1和、DistributeSwitch2。在生成樹的作用下，其中一條上行鏈路處于轉發狀態，而另一條上行鏈路處于阻塞狀態。當處于轉發狀態的鏈路因故障斷開后，經過最多大約50秒鐘的時間，處于阻塞狀態的鏈路才能替代故障鏈路工作。Uplinkfast特性可以使得當主上行鏈路失敗后，處于阻塞狀態的上行鏈路（備份上行鏈路）可以立即啟用。如圖2-18所示，是在訪問層交換機AccessSwitchl上啟用Uplinkfast特性。同樣的步驟也可以在訪問層交換機AccessSwitch2上進行配置。AcccssSwitchI(coiirtg)^spaniiing-trccuplinkRist圖2-18啟用Uplinkfast特性注意，Uplinkfast特性只能在訪問層交換機上啟用2、BackbonefastBackbonefast的作用與Uplinkfast類似，也用于加快生成樹的收斂。所不同的是，Backbonefast可以檢測到間接鏈路（非直連鏈路）故障并立即使得相應阻塞端口的最大壽命計時器到時，從而縮短該端口可以開始轉發數據包的時間。如圖2-19所示，是在訪問層交換機AccessSwitch1上啟用Backbonefast特性。同樣的步驟需要在網絡中的所有交換機上進行配置。圖2-19啟用Backbonefast

特性注意，Backbonefast特性需要在網絡中所有交換機上進行配置。分布層交換服務的實現-配置分布層交換機分布層除了負責將訪問層交換機進行匯集外，還為整個交換網絡提供VLAN間的路由選擇功能

這里的分布層交換機采用的是CiscoCatalyst3550交換機作為3層交換機，CiscoCatalyst3550交換機擁有24個10/100Mbps自適應快速以太網端口，同時還有2個1000Mbps的GBIC端口供上連使用，運行的是Cisco時還有2個1000Mbps的GBIC端口供上連使用，運行的是Cisco的IntegratedIOS操作系統為例進行介紹這里，以圖2-1如圖2-20所示：中的分布層交換機DistributeSwitch1圖2-20分布層交換機DistributeSwitch1配置分布層交換機DistributeSwitch1的基本參數對分布層交換機DistributeSwitch1的基本參數的配置步驟與對訪問層交換機AccessSwitch1的基本參數的配置類似。這里，只給出實際的配置步驟，不再給出具體解釋，如圖2-21所示。Switch^configureterminalInterconfigurationcommands,oneperline.EndwithCN'l'LZ,Switch(coiitlg)^liostnanter7isiribureSwireh1Dis(ribuieSvvitchl(coiitlg^etiiiblesecretyouguessDisiributeSwiich1(configinlinecun0Di^tribiucSwitchhcoiitig-Jinc^lo^gingsynchroiiLUJsDis(nbuicSwitthI(coiifig-Hnc)rk?(^c-tHncoLit530Di^tributeSwitchJ(config-line)^linevtyD15DistributoSwitchI(confiine)#passwordabcDiytribiHeSwitchI(cuntlg-line^logniDistributcSwitchI(config-line)#exe-time3H530DisiribuicSwiicl]I(cunfig-lineKkiDisiribuivSwjtchI(conflg^nuip<io“i口JjoM中圖2-21配置分布層交換機DistributeSwitch1的基本

參數

如圖2-22所示，顯示了為分布層交換機DistributeSwitchl設置管理IP并激活本征VLAN。同時，還設置了默認網關的地址。DistributeSwitch1(config)#interfacevlan1DistributeSwitch1(ccnfig-if)#ipaddress255.255255.0DistributeSwitch1(ccnfig-if)#norhntdownDistributeSwitch1(config-DistributeSwitch1(ccnfig)#ipdefkuit-g&ievvay192153G:5，圖2-22分布層交換機DistributeSwitchl的管理IP、默

認網關配置分布層交換機DistributeSwitchl的VTP當網絡中交換機數量很多時，需要分別在每臺交換機上創建很多重復的VLAN。工作量很大、過程很繁瑣，并且容易出錯。在實際工作中常采用VLAN中繼協議(VlanTrunkingProtocol,VTP)來解決這個問題。VTP允許在一臺交換機上創建所有的VLAN。然后，利用交換機之間的互相學習功能將創建好的VLAN定義傳播到整個網絡中需要此VLAN定義的所有交換機上。同時，有關VLAN的刪除、參數更改操作均可傳播到其他交換機。從而大大減輕了網絡管理人員配置交換機的負擔。在本校園網實現實例中使用了VTP技術。同時，將分布層交換機DistributeSwitchl設置成為VTP服務器，其他交換機設置成為VTP客戶機。1、配置VTP管理域共享相同VLAN定義數據庫的交換機構成一個VTP管理域。每一個VTP管理域都有一個共同的VTP管理域域名。不同VTP管理域的交換機之間不交換VTP通告信息。如圖2-23DistributeSudtch1如圖2-23所示，將VTP管理域的域名定義為chinaitlab”。圖2-23設置VTP管理域的域名2、設置VTP服務器工作在VTP服務器模式下的交換機可以創建、刪除VLAN、修改VLAN參數。同時，還有責任發送和轉發VLAN更新消息。如圖2-24所示，設置分布層交換機DistributeSwitchl成為VTP服務器。DistribuccSwitch1(configmodeserver圖2-24設置分布層交換機DistributeSwitch1成為VTP服務器3、激活VTP剪裁功能默認情況下主干道傳輸所有VLAN的用戶數據。有時，交換網絡中某臺交換機的所有端口都屬于同一VLAN的成員沒有必要接收其他VLAN的用戶數據。這時，可以激活主干道上的VTP剪裁功能。當激活了VTP剪裁功能以后，交換機將自動剪裁本交換機沒有定義的VLAN數據。在一個VTP域下，只需要在VTP服務器上激活VTP剪裁功能。同一VTP域下的所有其他交換機也將自動激活VTP剪裁功能。如圖2-25所示，設置激活VTP剪裁功能。DistrihiitcSi-vitchl(c0npaining圖2-25激活VTP剪裁功能在分布層交換機DistributeSw讓chi上定義VLAN在本校園網實現實例中，除了默認的本征VLAN外，又額外定義了8個VLAN,如表2-1所示。由于使用了VTP技術，所以，所有VLAN的定義都只需要在VTP服務器，即分布層交換機DistributeSwitchl上進行。如圖2-26所示，定義了8個VLAN,同時為每個VLAN命名。配置分布層交換機DistributeSwitchl的端口基本參數分布層交換機DistributeSwitchl的端口FastEthernet0/1?FastEthernet0/10為服務器群提供接入服務，而端口FastEthernet0/23、FastEthernet0/24分別下連到訪問層交換機AccessSwitchl的端口FastEthernet0/23以及訪問層交換機AccessSwitch2的端口FastEthernet0/23。此外，分布層交換機DistributeSwitchl還通過自己的千兆端口GigabitEthernet0/1上連到核心交換機CoreSwitchl的GigabitEthernet3/1。為了實現冗余設計，分布層交換機DistributeSwitch1還通過自己的千兆端口GigabitEthernet0/2連接另一臺到分布層交換機DistributeSwitch2的GigabitEthernet0/2。如圖2-27所示，給出了對所有訪問端口、主干道端口的配置步驟和命令。SwiicliSconfiguicterminalb：nicrcuniiguraiioneoniTnanth,1w1rlire,IndCNTL.Z.DisrributcSuitchHtonhy(DisrributcSuitchUcontlg-vhnV-iieJVCDisirihuteSuitchUconfiL!)^vlan20Dis(nhu(cS^itchl(e()nf[g-\huOPnamcXSSSI)istributcSwitchI件v】；in311DisrrtbutcSwitchl(config-\lannameCMCDixirihu出S*iLcii“config怦vliin40DisiribiEtcSwittlHfcnnilgAhinJZMiamcKiSSDisrributeSwitch1(config)#v1an50DistribureSwitch1(config-vlan)#nameJZXDistrihiLLcSxvitchl(cun^L!Jovian60DistributcSwitchL(conHg-vianV?iunncGIXDisTribufcSwitchI(fonflg)#v1an70DisrnbutcSuitch1(config-vlan)#nameJSJXDistributes^itch[(CiJnfLuJ-vlan100D)$tnbutcSwitch1(config-vlan)^namcFWQQ圖2-26定義VLANDistnbuteSwitchl(config)#interfacerangefastethemet0/1-24DistnbuteSwitchl(config-if-range)#dup1fullDistnbuteSwitchl(config-if-range)#speed100DistnbuteSwiteki1(config-if-range)#interfacerangefasbethemet0/1-10DistnbuteSwitchl(config-if-range)#switchportmodeaccessDistnbuteSwibchl(config-if-range)#switchportaccessvlan100DistnbuteSwitchl(config-if-range)#spanning-treeportfastDistnbuteSwitchl(config-if-range)#interfacerangefasbethemet0/23-24DistnbuteSwitchl(config-if-range^switchp^^mod?trunkDistnbuteSwitchl(config-if-range)#interfac?：jngegi^aoiLEtkic/iidL0/1-2DistnbuteSwitchl(config-if-range)#switchpO4vmoaeL-dnk圖2-27設置分布層交換機DistributeSw讓chi的各端

口參數配置分布層交換機DistributeSwitchi的3層交換功能分布層交換機DistributeSwitchi需要為網絡中的各個VLAN提供路由功能。這需要首先啟用分布層交換機的路由功能。如圖2-28所示DistnburcSuitchl(config)#iprouting圖2-28啟用路由功能接下來，需要為每個VLAN定義自己的默認網關地址，如圖2-29所示。DisinbuLcSwilchi(eonfigj'''mtcrlueevIllti10DisLribdtcSwitciil(cunipjdJtc^W2.E68J.2542552552550DistributcSwitch((ciHilig-iOvno71uid訃wnI>isrnbuxSwitchI(contig-if}#nitcrta€cvlan2。DistfibutcSuitchl(cotifig-]f}#ipaddress192168.2,254255.255.255.(1DislribuLeSwiLchiteotillg-irPriiojihukk>wnDistributcSwitchHconilg-in^iniertiiec3Hti30DistributeswitchI(config-iO^ipaddress192,1683,254255.255.255.QDiscributcSwiichlfcotifig-ifi^iK1shmdownDislributeSwitchI(config-iff?interlatevlan40DjstributcSwitch1(corfig-if^jp192.16&4,254255255255.0[)ismhurcSwitchUcontlg*in^noshuidownDistributeSwitch1(config-iimerfacevlan5QEHsinbiitcSuitch1(c<mfig-i(>ipuddre^192.1685254255355-2510DisLribuicSwiLchnconllg-iO^noshukk^-nDistributeswitchI(coniinterHkcvlan價仆DisrnbutcSwitchMconfig-it>ipaddress192.168.6,254255,255,255.0DisiribuicSwitchl(config'iD?FiioshutdownDistribnteSwilchI(con11g-if}winicrIateIan7。DisrnbutcSwitchl(conilg-iO，vipjuklres^142.(6?<,7,254255,255,255J)DistributeSwhcbt(config-if)#noshntdownDisLributcS\\itchI(confii?'il)#inicrfaci1而DisLnbiitc$witch1(conng-if>#ipaddiv9二r3T5.2i3.2S5A>r>is(ribuicSwitchl(contlg-)frrno^huidc,*圖2-29定義各VLAN的默認網

關地址此外，還需要定義通往Internet的路由。這里使用了一條缺省路由命令，如圖2-30所示。其中，下一跳地址是Internet接入路由器的快速以太網接口FastEthernet0/0的IP地址。DistriburcSwitthI(config)#iproute。疝U,。ODO。102,16X.0254圖2-30定義到Internet的缺

省路由分布層交換機DistributeSwitch2的端口FastEthernet0/23、FastEthernet0/24分別下連到訪問層交換機AccessSwitch1的端口FastEthernet0/24以及訪問層交換機AccessSwitch2的端口FastEthernet0/24。此外，分布層交換機DistributeSwitch2還通過自己的千兆端口GigabitEthernet0/1上連到核心交換機CoreSwitch1的GigabitEthernet3/2。為了實現冗余設計，分布層交換機DistributeSwitch2還通過自己的千兆端口GigabitEthernet0/2連接到分布層交換機DistributeSwitch1的GigabitEthernet0/2。如圖2-31所示。圖2-31分布層交換機對分布層交換機層交換機DistributeSwitch2對分布層交換機層交換機DistributeSwitch2的配置步驟、命令和對分布DistributeSwitch1的配置類似。這里，不再詳細分析其它配置為了實現對無類別網絡(ClasslessNetwork)以及全零子網(Subnet-zero)的支持，在充當3層交換機的分布層交換機DistributeSwitch1上，還需要進行相應的配置，如圖2-32所示。Distributeswitch1(config)#ipclasslessDistributeswitchI(config^ipsubnet-zero圖2-32定義對無類別網絡以及全零子網的

支持核心層交換服務的實現-配置核心層交換機核心層將各分布層交換機互連起來進g穿越園區網骨干的高速數據交換。本實例中的核心層交換機采用的是CiscoCatalyst4006交換機，采用了Catalyst4500SupervisorIIPlus(WS-X4013+)作為交換機引擎。運行的是Cisco的IntegratedIOS操作系統，具鏡像文件是CAT400.6-3-5.BIN。在作為核心層交換機的CiscoCatalyst4006交換機中安裝了WS-X4306-GB(Catalyst4000GigabitEthernetModule,6-Ports(GBIC))模塊，該模塊提供了5個千兆光纖上連接口，可以用來接入WS-G5484(1000BASE-SXShortWavelengthGBIC(Multimodeonly))。這里，以圖2-1中的核心層交換機CoreSwitch1為例進行介紹。如圖2-33所示：Irm圖2-33核心層交換機CoreSwitch1配置核心層交換機CoreSwitch1的基本參數對核心層交換機CoreSwitch1的基本參數的配置步驟與對訪問層交換機AccessSwitch1的基本參數的配置類似。這里，只給出實際的配置步驟，不再給出具體解釋，如圖2-34所示。Switch^configureterminalHnterconfigurationcommands,oneperline.IndwithCNTUZ*Switch(contlg)^hostnameCoreSwitch1Coreswitch1(coiitlg)r?enablesecretyouguessCurcSwitchHeuii11g)#linecon0CuruSwtrch11eonfig-lincpluggingsynchronousCorcSwitch11config-line^xcu-tinic<mt530<nreSwitch1(config-lincInlinevxy015<OreSwitch11coiifig-line^passwordabeCureswitchKcontlg-hne^loginCorcSwitchI(coiifig-hne)F-ex*'tTmewt530CurcSwitchI(coiiflg-hnc)^CA\CurcSwctthIiwi才也用n口ipds.NnTu。b、⑷圖2-34配置核心層交換機CoreSwitchl的基

本參數配置核心層交換機CoreSwitchl的管理IP、默認網關如圖2-35所示，顯示了為核心層交換機CoreSwitchl設置管理IP并激活本征VLAN。同時，還設置了默認網關的地址CoreSwitchl(config)#int€rfacevlan1CoreSwitch1(configaddress192.163.0,1CoreSwitchl(configshutdownCor?Switdi1(config-iD檎瓦itCoreSwitch1(config)#ipdt-^Lilt-gatewayiS2.IcSX',254圖2-35核心層交換機CoreSwitch1的管理IP、默認網關配置核心層交換機CoreSwitch1的的VLAN及VTP在本實例中，核心層交換機CoreSwitch1也將作為VTP客戶機。這里核心層交換機CoreSwitch1將通過VTP獲得在分布層交換機DistributeSwitch1中定義的所有VLAN的信息。如圖2-36所示，設置核心層交換機CoreSwitch1成為VTP客戶Con=Switch1,(config)#vtpmodeclient圖2-36設置核心層交換機CoreSwitchl成為VTP客戶機配置核心層交換機CoreSwitchl的端口參數核心層交換機CoreSwitchl通過自己的端口FastEthernet4/3同廣域網接入模塊（Internet路由器）相連。同時，核心層交換機CoreSwitch1的端口GigabitEthernet3/1?GigabitEthernet3/2分別下連到分布層交換機DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet0/1。如圖2-37所示，給出了對上述端口的配置命令。DistnbuteSwitch1(config)#interfacerangefastethemet4/l-32DistnbuteSwitchl(config-if-range)#duplexfu11DistributeSwitch1(config-if-range)#speed100DistributeSwitch1(oonfig-if-range)#switchportmodeaccessDistnbuteSwitch1(config-if-range)#switchportaccessvlan1DistributeSwitch1(config-if-range)#spanning>.r?epof+fastDistributeSwitch1(config-if-range)#interfac^彳.p?￡1-2DistnbuteSwitch1(config-if-range)#swibchport」iod巳trunk圖2-37設置核心層交換機CoreSwitch1的各端

口參數此外，為了提供主干道的吞吐量以及實現冗余設計，在本設計中，將核心層交換機CoreSwitch1的千兆端口GigabitEthernet2/1、GigabitEthernet2/2捆綁在一起實現2000Mbps的千兆以太網信道，然后再連接到另一臺核心層交換機CoreSwitch2。如圖2-38所示，是設置核心層交換機CoreSwitch1的千兆以太網信道的步驟。CoreSwitch1(conHgJrrinierliiceport-channel1CoreSwitch1(Ck>reSwitch1(config-inJritHerfiicegigubitetherrtet2/12CoreSwitch1(config^in^uhanncl-gro11電小譚,上:bltfnun-silentCoreSwitchl(config^in#nushutdown圖2-38設置核心層交換機CoreSwitchl的千兆以太網信道配置核心層交換機CoreSwitchl的路由功能核心層交換機CoreSwitchl通過端口FastEthernet4/3同廣域網接入模塊(Internet路由器)相連。因此，需要啟用核心層交換機的路由功能。同時，還需要定義通往Internet的路由。這里使用了一條缺省路由命令，如圖2-39所示。其中，下一跳地址是Internet接入路由器的快速以太網接口FastEthernet0/0的IP地址。CoreSwilchItconllg^ipn^uiingCorcSwitch1(config)rtiprouteO.C.J.OIJ6o.G154圖2-39定義到Internet的缺省路由如圖

所示。其它配置為了實現對無類別網絡(ClasslessNetwork)以及全零子網(Subnet-zero)的支持，在充當3層交換機的核心層交換機CoreSwitch1,也需要進行相應的配置，如圖2-40所示。CorcSwttch1(config)#ipclasslessCorcSuilchHconfig^ipsubnei-zero圖2-40定義對無類別網絡以及全零子網的

支持核心層交換機CoreSwitch2的配置

的一系列交換機的連接方法以及配置步驟和命令類似。這里也不再贅述。3廣域網接入模塊

設計在本實例設計中，廣域網接入模塊的功能是由廣域網接入路由器InternetRouter來完成的。采用的是Cisco的3640路由器。它通過自己的串行接口serial0/0使用DDN(128K)技術接入Internet0其作用主要是在Internet和校園網內網間路由數據包。除了完成主要的路由任務外，利用訪問控制列表(AccessControlList,ACL)，廣域網接入路由器InternetRouter還可以用來完成以自身為中心的流量控制和過濾功能并實現一定的安全功能，如圖3-1所示。NATIHVO：192IntcrnitRuutcrNATIHVO：192工丁二Internet圖3-1廣域網接入路由器InternetRouter的基本參數配置接入路由器InternetRouter的基本參數對接入路由器InternetRouter的基本參數的配置步驟與對訪問層交換機AccessSwitch1的基本參數的配置類似。這里，只給出實際的配置步驟，不再給出具體的解釋，如圖3-2所示。Ruut/cunfigurelurminalEnterconfigureioncommands.011cperhne.EndwithCNTLZ.Rowtijr^oiil'igpJhosLiiajncInturiKiRuutcrIntcrnctRoutcr(contig^enablesecretyouguessIntcmclRoulcrtconfigInlinecon0IiHcrnctRouterfconh^-lincins;synchronoLislntenictRoiitcr(config-Hnc)^cxcc>umcoui530Intcr]ietRouicr(config-line)#lincviy04IntcnictRouEcr(cvntig-liiK^passwordabcImcmctRoutcr(conf!g-1inc)#loginIntcmetRuutcrtconfig-line葉什"anInierrictRouLcitcohny-lincHp^\ImcnKtRouEcrtconfig^noipd.mairi^ockLip圖3-2配置接入路由器InternetRouter的基

本參數配置接入路由器InternetRouter的各接口參數對接入路由器InternetRouter的各接口參數的配置主要是對接口FastEthernet0/0以及接口Serial0/0的IP地址、子網掩碼的配置。如圖3-3所示，顯示了為接入路由器InternetRouter的各接口設置IP地址、子網掩碼。ntcrnt11Rouleilconfig)^interfacef[isleI]iernet0/0Int^rnctRcuitertconfig-iO^ipduress168,0254255.755.255.OinternetRouter(config-if^noshutdo^dIntcrnetRoine^config-ifyiintcrldce^0iternetRou(er(con6g-iipaddress193.!+IJ52InternetRoulerfconfig-ify/noshutdown圖3-3設置接入路由器InternetRouter的各接

口參數配置接入路由器InternetRouter的路由功能在接入路由器InternetRouter上需要定義兩個方向上的路由：到校園網內部的靜態路由以及到Internet上的缺省路由。到Internet上的路由需要定義一條缺省路由，如圖3-4所示。其中，下一跳指定從本路由器的接口serial0/0送出。IntemccRoutcr(confi^>^iprcuCcU.(10I>serialO-O圖3-4定義到Internet的缺省路由到校園網內部的路由條目可以經過路由匯總后形成兩條路由條目如圖3-5所示。InteHKtRouter(€onfig}#iproute192J俄0.0I92J6S.0.3InternetKouterfconfig^iprunt巳192J68.100.0255255.255.0192J6&0.3圖3-5定義到校園網內部的

路由配置接入路由器InternetRouter上的NAT由于目前IP地址資源非常稀缺，不可能給校園網內部的所有工作站都分配一個公有IP（Internet可路由的）地址。為了解決所有工作站訪問Internet的需要，必須使用NAT（網絡地址轉換）技術。為了接入Internet,本校園網向當地ISP申請了9個IP地址。其中一個IP地址：被分配給了Internet接入路由器的串行接口，另外8個IP地址：?用作NAT。NAT的配置可以分為以下幾個步驟：1、定義NAT內部、外部接口圖3-6顯示了如何定義NAT內部、外部接口In(emetR.outer(configinicrfjtcefastethemet0/0lntemctRoutcr(ni'rins:l;InternetRoutc^conKg-if^interfaceserial00[ntemetRoutedconHg-ifyiipn;itoutside圖3-6定義NAT內部、外部

接口2、定義允許進行NAT的工作站的內部局部IP地址范圍圖3-7顯示了如何定義允許進行NAT的內部局部IP地址范圍IntcrnctRoiifcdconfig)#ipaccess*!ist1permir192J68,0.00,07.255圖3-7定義工作站的內部局部IP地址

范圍3、為服務器定義靜態地址轉換圖3-8顯示了如何為服務器定義靜態地址轉換。InternetRouter(confi^)^ipnatinsidesourcestatic192.168J00.1202.206.222J]nternetRouier(config)4ipnutinsidesourcestuiic]92.16S.100.2InternetRourer(conflgipnatinsidesourcestatic392J6S.Tu.32^C.2P^.??2.3*?■?*■圖3-8為服務器定義靜態地址

轉換4、為其他工作站定義復用地址轉換圖3-9顯示了如何為其他工作站定義復用地址轉換。11nternctRou<cr(config)#ipnatinsidesourcelistIinterfaceserial<l,;0overload圖3-9為工作站定義復用地址轉換3.5配置接入路由器InternetRouter上的ACL路由器是外網進入校園網內網的第一道關卡，是網絡防御的前沿陣地。路由器上的訪問控制列表(AccessControlList,ACL)是保護內網安全的有效手段。一個設計良好的訪問控制列表不僅可以起到控制網絡流量、流向的作用，還可以在不增加網絡系統軟、硬件投資的情況下完成一般軟、硬件防火墻產品的功能。由于路由器介于企業內網和外網之間，是外網與內網進行通信時的第一道屏障，所以即使在網絡系統安裝了防火墻產品后，仍然有必要對路由器的訪問控制列表進行縝密的設計，來對企業內網包括防火墻本身實施保護。在本實例設計中，將針對服務器以及內網工作站的安全給出廣域網接入路由器InternetRouter上ACL的配置方案。在網絡環境中普遍存在著一些非常重要的、影響服務器群安全的隱患。在絕大多數網絡環境的實現中它們都是應該對外加以屏蔽的。主要應該做以下的ACL設計：1、對外屏蔽簡單網管協議，即SNMP。利用這個協議，遠程主機可以監視、控制網絡上的其它網絡設備。它有兩種服務類型：SNMP和SNMPTRAP。如圖3-10所示，顯示了如何設置對外屏蔽簡單網管協議SNMP。InternetRoutc11configaccess-1isrdenyudpanyattyeqmimpInternetRoutertconfig)#access-list101denyudpanyanyeqsntnptrapInternetRoutcrtconfig)#access-list101「mitipanyanyIntcrnetRouteiXconfig)#imerbceseria*j；Inreme(Rourer{conftg-if)^ipaccess-grouri0]ji圖3-10對外屏蔽簡單網管協議SNMP2、對外屏蔽遠程登錄協議telnet首先，telnet可以登錄到大多數網絡設備和UNIX服務器，并可以使用相關命令完全操縱它們。其次，telnet是一種不安全的協議類型。用戶在使用telnet登錄網絡設備或服務器時所使用的用戶名和口令在網絡中是以明文傳輸的，很容易被網絡上的非法協議分析設備截獲。這是極其危險的，因此必須加以屏蔽。如圖3-11所示，顯示了如何對外屏蔽遠程登錄協議telnet。JnicmciRimicrjc0iilig)w；iUL'css-lisi101denylepi!nynnylulnui]nrcmciRourcricontlg)^ncccss*lisi101r^nitipanyanyIntcnieIRoukilcontlcinterfaceserial、1InreneiRoutcr|conng-if)^ipacccss-group101i?j圖3-11對外屏蔽遠程登錄協議

telnet3、對外屏蔽其它不安全的協議或服務這樣的協議主要有SUNOS的文件共享協議端口2049,遠程執行（rsh）、遠程登錄（rlogin）和遠程命令（rcmd）端口512、513、514,遠程過程調用（SUNRPC）端口111。可以將針對以上協議綜合進行設計，如圖3-12所示。InternetRoinr(con-figAccess-lisi101denyicp?nysnyrange512514InteiTictRouierfconfigJ^ccss-lisr101denylepanysnyeq111hiLBwiRuuicjuH501denyudpanyanycqHIIntcrticiKomcr(co-nfigHr^cccss-Ilsl1U1denyicpanyanyrange2049InterrmiRouierfconttg)^a￡ccss-11st101pr”ipsnvanvIiuernutRuuicr(cunti^jNiiiieiliiccm日川I，JIntcnicLRsulcrfcon行g”HlAip匚c*￡?HRJLip.Iir圖3-12對外屏蔽其它不安全的協議或

服務4、針對DoS攻擊的設計DoS攻擊（DenialofServiceAttack,拒絕服務攻擊）是一種非常常見而且極具破壞力的攻擊手段，它可以導致服務器、網絡設備的正常服務進程停止，嚴重時會導致服務器操作系統崩潰。圖3-13顯示了如何設計針對常見DoS攻擊的ACL。IIIternelRouter(configjiraccess-list101denyiempanyanyeqecho-requesTlinenieil<0uter(<onflgK*accc>s-h>i101加電udpanyany叫edi。IniurnelRoutcriconllg^inlcrlaccserialUMInLumciK.outedcontlg-it^Mipdcccsx-^rour1in】rncrnctRnutEconfigTl)vinEcTRcSfiist'*a-iit「鵬inicmeiRpuicr(ci?nI-ig-iip由rcTcdbjcs：:圖3-13針對DoS攻擊

的設計5、保護路由器自身安全作為內網、外網間屏障的路由器，保護自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器，必須對路由器的訪問位置加以限制。應只允許來自服務器群的IP地址訪問并配置路由器。這時，可以使用ACCESS-CLASS命令進行VTY訪問控制。如圖3-14所示。lnternetRouter(config}^liiieviy041nternetRouter(contlg-1inegateclass2inInternetRou(er(cotifig-line)^cxj]ntenietRouterfcontigik-peijiltI)2,i*屈；Cu,C”.3,9.255圖3-14保護路由器自身安全3.6其它配置為了實現對無類別網絡(ClasslessNetwork)以及全零子網(Subnet-zero)的支持，在接入路由器InternetRouter上還需要進行適當的配置，如圖3-15所示。\ntemerRoutertcantig用ipclassless圖3-15定義對無類別網絡以及全零子網的

支持4遠程訪問模塊設

計遠程訪問也是園區網絡必須提供的服務之一。它可以為家庭辦公用戶和出差在外的員工提供遠程、移動接入服務。如圖4-1所示。RAS圖4-1遠程訪問服務遠程訪問有三種可選的服務類型：專線連接、電路交換和包交換。不同的廣域網連接類型提供的服務質量不同，花費也不相同。在本設計中，由于面對的用戶群規模、業務量較小，所以采用了異步撥號連接作為遠程訪問的技術手段。異步撥號連接屬于電路交換類型的廣域網連接，它是在傳統公共交換電話網(PublicSwitchedTelephoneNetwork,PSTN)上提供服務的。傳統PSTN提供的服務也被稱為簡易老式電話業務(PlanOldTelephoneSystem,POTS)o因為目前存在著大量安裝好的電話線，所以這樣的環境是最容易滿足的。因此，異步撥號連接也就成為最為方便和普遍的遠程訪問類型。廣域網連接可以采用不同類型的封裝協議，如HDLC、PPP等。其中，PPP除了提供身份認證功能外，還可以提供其他很多可選項配置，包括鏈路壓縮、多鏈路捆綁回叫等因此更具優勢本設計所采用的異步連接封裝協議是PPP。在本設計中采用了可以集成在廣域網接入路由器InternetRotuer中的異步Modem模塊NM-16AM(16PortAnalogModemNetworkModule)提供遠程訪問服務。它可以同時對最多16路撥號用戶提供遠程接入服務。以下介紹一下配置異步撥號模塊NM-16AM的步驟。4.1配置物理線路的基本參數對物理線路的配置包括配置線路速度(DTE、DCE之間的速率)、停止位位數、流控方式、允許呼入連接的協議類型、允許流量的方向等。如圖4-2所示。1ntcrnctRouier(config)#linec7InternetRoutertconfig-linejstoioo.;*h】OutlntcniclRouter(config-line}#trwisponinputallIntelneiRoiHertcontlg-line^stopbiis1InterneiRuuteilconfig-linel^speedII52OOInternetRonter(config-line)#flowcontrolhardware圖4-2配置物理線路的基本參數配置接口基本參數對接口基本參數的配置包括：接口封裝協議類型、接口異步模式、IP地址、為遠程客戶分配IP地址的方式等，如圖4-3所示。這里,設置遠程客戶從IP地址池rasclients中獲得IP地址。InlernetRuuttrtconfig^interfaceasyncOThitcmctl<outcr(conf]g-if)#ipaddress102/1HM)hiternetRLHiter(corttig-ifj^encapsularipntcnictRuutcr(con11g-in#;isyncniudvJ：呂4Jlritcmc(Routcr(contlg-in^pcerdetaullirpool*d^hcii；s圖4-3配置接口基本參數接下來，需要建立一個本地的IP地址池。如圖4-4所示，建立了一個名為rasclients的IP地址池。其IP地址范圍是：?6。]nternetR(iuter{tunfigJ^ipltx.a[pool儂斕ientti192168,200d192.168^200J6圖4-4指定IP地

址池配置身份認證PPP提供了兩種可選的身份認證方法：口令驗證協議PAP(PasswordAuthenticationProtocol,PAP)和質詢握手協議(ChallengeHandshakeAuthenticationProtocol,CHAP)。PAP是一個簡單的、實用的身份驗證協議。PAP認證進程只在雙方的通信鏈路建立初期進行。如果認證成功，在通信過程中不再進行認證。如果認證失敗，則直接釋放鏈路。CHAP認證比PAP認證更安全，因為CHAP不在線路上發送明文密碼，而是發送經過摘要算法加工過的隨機序列，也被稱為挑戰字符用”。同時，身份認證可以隨時進行，包括在雙方正常通信過程中。因此，非法用戶就算截獲并成功破解了一次密碼，此密碼也將在一段時間內失效。CHAP對端系統要求很高，因為需要多次進行身份質詢、響應。這需要耗費較多的CPU資源，因此只用在對安全要求很高的場合。PAP雖然有著用戶名和密碼是明文發送的弱點，但是認證只在鏈路建立初期進行，因此節省了寶貴的鏈路帶寬。本設計中將采用PAP身份認證方法。1、建立本地口令數據庫如圖4-5所示建立本地口令數據庫。]nterneTRou(er<coiiflg}^usernninerernoteuserpassworduserpwd圖4-5建立本地口令數

據庫2、設置進行PAP認證如圖4-6所示設置進行PAP認證。[n(ernc!Router(e0iitlg}^interta..口internetRouterl<onflg-iO^pppaLinenucatinjipap,圖4-6設置進行PAP認證5服務器模塊設計服務器模塊用來對校園網的接入用戶提供各種服務。在本設計實例中，所有的服務器被集中到VLAN100,構成服務器群并通過分布層交換機DistributeSw讓chi的端口fastethernet1?20接入校園網。如圖5-1所示。圖5-1服務

器群校園網網絡提供的常用服務（服務器）包括：zWEB服務器：提供WEB網站服務。zDNS、目錄服務器：提供域名解析以及目錄服務zFTP、文件服務器：提供文件傳輸、共享服務。z郵件服務器：提供郵件收發服務。z數據庫服務器：提供各種數據庫服務。z打印服務器：提供打印機共享服務。z實時通信服務器：提供實時通信服務。z流媒體服務器：提供各種流媒體播放、點播服務z網管服務器：對校園網網絡設備進行綜合管理。如圖5-2所示。顯示了各服務器IP地址配置情況。SdivcrJ—WFB眼篝鼻5crt?2-FTP.—燈3—/件服舞器配rvcH—甘妮唯柔乾器S?w5-DNS.U錄震得罌[P4?2.16A.IOO.L24IPJ42.16?,L002^4的：I照一I魏1001^24加I贊IP"蟆I甌100星人方GW：H2.]6N.](M)2$4(JWrL*Z.lWIJ?l25?6UM92.L6H.LW.2M圖5-2各服務器IP地址配置表2給出了所有的服務器硬件平臺、操作系統以及服務軟件的選型表。表2服務器硬件平臺、操作系統以及服務軟件的選型

表服務苜鼻號服招轄名掰硬件羋告操作系境陽瑞敦件Server1WEB廂務器hpuboooWiiidnwMZOOOServern”。Server2FTP，文件圈務器HP1LH3000Windows2000ServerSERV-U5.0Sender3㈱件服務ItSUNE250Solaris8』EYOUMailSenderStiver4數據庫服務看HPTC4100WindowsZOOOServerSQLStiver20003DNS