【正文】 一個好的校園網(wǎng)設(shè)計應(yīng)該是一個分層的 設(shè)計。一般分為三層設(shè)計模型。 為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò) 的可擴展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換模 塊的部署是分層進(jìn)行的。 園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層 次：訪問層、分布層、核心層。 傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在 OSI 模型的第 2 層?，F(xiàn)代交換技術(shù)還實現(xiàn)了第 3 層交換和多層交換。高層交換技術(shù)的引 入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率 ， 更大大增強了園區(qū)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需 要。 現(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（ Virtual LAN，VLAN）的 概 念 。VLAN 將廣播域限制在單個 VLAN 內(nèi)部，減小了各 VLAN 間主機的廣播通信對其他 VLAN 的影響 。在 VLAN 間需要通信的時候 ，可以利用 VLAN 間路由技術(shù)來 實 現(xiàn)。 當(dāng)網(wǎng)絡(luò)管理人員需要管理的交 換機數(shù)量眾多時，可以使用 VLAN 中繼協(xié)議 （ Vlan Trunking Protocol， VTP）簡化管理，它只需在單獨一臺交換機上定義 所有 VLAN。然后通過 VTP 協(xié)議將 VLAN 定義傳播到本管理域中的所有交換 機上。這樣，大大減輕了網(wǎng)絡(luò) 管理人員的工作負(fù)擔(dān)和工作強度。 當(dāng)園區(qū)網(wǎng)絡(luò)的交換機數(shù)量增多、交換機間鏈路增加時，交換網(wǎng)絡(luò)的復(fù)雜性 可能會造成交換環(huán)路問題 ，這需要通過在各交換機上運行生成樹協(xié) 議（ Spanning Tree Protocol， STP）來解決。 訪問層交換服務(wù)的實現(xiàn)－配置訪問層交換機訪問層為所有的終端用戶提供一個接入點。這里的訪問層交換機采用的是 Cisco Catalyst 2950 24 口交換機（ WSC295024 ）。該交換機擁有 24 個10/100Mbps 自適應(yīng)快速以太網(wǎng)端口，運行的是 Cisco 的 IOS 操作系統(tǒng)。這里， 以圖 21 中的訪問層交換機 AccessSwitch1 為例進(jìn)行介紹。如圖 21 所示： 圖 21 訪問層交換機 AccessSwitch1 配 置 訪 問 層 交 換 機 AccessSwitch1 的 基 本 參 數(shù)設(shè)置交換機名稱 設(shè)置交換機名稱，也就是出現(xiàn)在交換機 CLI 提示符中的名字。一般以地理 位置或行政劃分來為交換機命名 。當(dāng)需要 Telnet 登錄到若干臺交換機以維護(hù)一 個大型網(wǎng)絡(luò)時，通過交換機名稱提示符 提示自己當(dāng)前配置交換機的位置是很 有 必要的。 如圖 22 所示，為訪問層交換機 AccessSwitch1 命名。圖 22 為訪問層交換機 AccessSwitch1 命名設(shè)置交換機的加密使能口令 當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時，需要提供此口令。此 口令會以 MD5 的形式加密，因此，當(dāng)用戶查看配置文件時，無法看到明文形 式的口令。 如圖 23 所示，將交換機的加密使能口令設(shè)置為 secretpasswd。圖 23 為交換機設(shè)置加密使能口令設(shè)置登錄虛擬終端線時的口令 對于一個已經(jīng)運行著的交換網(wǎng)絡(luò)來說，交換機的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理 人員提供了很多的方便。 但是，出于安 全考慮， 在能夠遠(yuǎn)程管理交換機之前網(wǎng) 絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機的口令。 如圖 24 所示，設(shè)置登錄交換機時需要驗證用戶身份，同時設(shè)置口令為 youguess。圖 24 為訪問層交換機 AccessSwitch1 命名設(shè)置終端線超時時間 為了安全考慮，可以設(shè)置終端線超時時間。在設(shè)置的時間內(nèi)，如果沒有檢 測到鍵盤輸入， IOS 將斷開用戶和交換機之間的連接。 如圖 25 所示，設(shè)置登錄交換機的控制臺終端線 路及虛擬終端線的超時時 間為 5 分 30 秒鐘。 圖 25 設(shè)置控制臺終端線路和虛擬終端線路的超時時間設(shè)置禁用 IP 地址解析特性 在交換機默認(rèn)配置的情況下，當(dāng)輸入一條錯誤的交換機命令時，交換機會 嘗試將其廣播給網(wǎng)絡(luò)上的 DNS 服務(wù)器并將其解析成對應(yīng)的 IP 地址。利用命令 no ip domainlookup。可以禁用這個特性。如圖 26 所示，設(shè)置禁用 IP 地址解 析特性。 圖 26 設(shè)置禁用 IP 地址解析特性設(shè)置啟用消息同步特性 有時，用戶輸入的交換機配置命令會被交換機產(chǎn)生的消息打亂。可以使用 命令 logging synchronous 設(shè)置交換機在下一行 CLI 提示符后復(fù)制用戶的輸入。 如圖 27 所示，設(shè)置啟用消息同步特性。 圖 27 設(shè)置啟用消息同步特性 配 置 訪 問 層 交 換 機 AccessSwitch1 的 管 理 IP、 默 認(rèn) 網(wǎng) 關(guān)訪問層交換機是 OSI 參考模型的第 2 層設(shè)備 ，即數(shù)據(jù)鏈路層的設(shè)備 。因此， 給訪問層交換機的每個端口設(shè)置 IP 地址是沒意義的 。但是 ，為了使網(wǎng)絡(luò)管理人 員可以從遠(yuǎn)程登錄到訪問層交換機上進(jìn) 行管理，必須給訪問層交換機設(shè)置一 個 管理用 IP 地址。這種情況下，實際上是將交換機看成和 PC 機一樣的主機。 給交換機設(shè)置管理用 IP 地址只能在 VLAN1，即本征 VLAN 中進(jìn)行。按照 表 21 ，管理 VLAN 所在的子網(wǎng)是： ，這里將訪問層交換機 AccessSwitch1 的管理 IP 地址設(shè)為： 。如圖 28 所示，顯示了為 訪問層交換機 AccessSwitch1 設(shè)置管理 IP 并激活本征 VLAN。圖 28 設(shè)置訪問層交換機 AccessSwitch1 的管理 IP為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機，還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān) 地址 。如圖 29 所示。 圖 29 設(shè)置訪問層交換機 AccessSwitch1 的默認(rèn)網(wǎng)關(guān)地址 配 置 訪 問 層 交 換 機 AccessSwitch1 的 VLAN 及 VTP從提高效率的角度出發(fā)，在本 校園網(wǎng)實現(xiàn)實例中使用了 VTP 技術(shù)。同時， 將分布層交換機 DistributeSwitch1 設(shè)置成為 VTP 服務(wù)器 ，其他交換機設(shè)置成為 VTP 客戶機。 這里訪問層交換機 AccessSwitch1 將通過 VTP 獲得在分布層交換機 DistributeSwitch1 中定義的所有 VLAN 的信息。 如圖 210 所示，設(shè)置訪問層交換機 AccessSwitch1 成為 VTP 客戶機。 圖 210 設(shè)置訪問層交換機 AccessSwitch1 成為 VTP 客戶機 配 置 訪 問 層 交 換 機 AccessSwitch1 端 口 基 本參數(shù) 端口雙工配置 可以設(shè)定某端口根據(jù)對端設(shè)備雙工類型自動調(diào)整本端口雙工模式，也可以 強制將端口雙工模式設(shè)為半雙工或全雙工模式。在了解對端設(shè)備類型的情況 下，建議手動設(shè)置端口雙工模式。 如圖 211 所示，設(shè)置訪問層交換機 AccessSwitch1 的所有端口均工作在全 雙工模式。 圖 211 設(shè)置訪問層交換機 AccessSwitch1 的端口工作模式端口速度 可以設(shè)定某端口根據(jù)對端設(shè)備速度自動調(diào)整本端口速度，也可以強制將端 口速度設(shè)為 10Mpbs 或 100Mbps。在了解對端設(shè)備速度的情況下，建議手動設(shè) 置端口速度。 如圖 212 所示，設(shè)置訪問層交換機 AccessSwitch1 的所有端口的速度均為 100Mbps。圖 212 設(shè)置訪問層交換機 AccessSwitch1 的端口速度 配 置 訪 問 層 交 換 機 AccessSwitch1 的 訪 問 端 口訪問層交換機 AccessSwitch1 為終端用戶提供接入服務(wù)。在 圖 21 中，訪問 層交換機 AccessSwitch1 為 VLAN VLAN20 提供接入服務(wù)。 如圖 213 所示，設(shè)置訪問層交換機 AccessSwitch1 的端口 1～端口 10 工作 在訪問（接入）模式。同時，設(shè)置端口 1～端口 10 為 VLAN 10 的成員。 圖 213 設(shè)置訪問層交換機 AccessSwitch1 的端口 1～10設(shè)置訪問層交換機 AccessSwitch1 的端口 11～ 20如圖 214 所示 ，設(shè)置訪問層交換機 AccessSwitch1 的端口 11～端口 20 工作 在訪問（接入）模式。同時，設(shè)置端口 1～端口 10 為 VLAN 20 的成員。 圖 214 設(shè)置訪問層交換機 AccessSwitch1 的端口 11～20設(shè)置快速端口 默認(rèn)情況下，交換機在剛加電啟動時，每個端口都要經(jīng)歷生成樹的四個階 段： 阻塞、 偵聽、 學(xué) 習(xí)、 轉(zhuǎn)發(fā)。 在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前， 某個端口可能 最多要等 50 秒鐘的時 間（ 20 秒的阻塞時間＋ 15 秒的偵聽延遲時間＋ 15 秒的學(xué) 習(xí)延遲時間）。 對于直接接入終端工作站的端口來說 ，用于阻塞和偵聽的時間是不必要的 。 為了加速交換機端口狀態(tài)轉(zhuǎn)化時間，可以設(shè)置 將某端口設(shè)置成為快速端口 （ Portfast）。設(shè)置為快速端口的端口當(dāng)交換機啟 動或端口有工作站接入時 ，將 會直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)， 而不會經(jīng)歷阻塞、 偵聽、 學(xué)習(xí)狀態(tài) （假設(shè)橋接表已經(jīng)建 立）。 如圖 215 所示，設(shè)置訪問層交換機 AccessSwitch1 的端口 1～端口 20 為快 速端口。 圖 215 設(shè)置快速端口 配 置 訪 問 層 交 換 機 AccessSwitch1 的 主 干 道端口 如圖 21 所示，訪問層交換機 AccessSwitch1 通過端口 FastEthernet 0/23 上 連到分布層交換機 DistributeSwitch1 的端口 FastEthernet 0/23。同時 ，訪問層交 換機 AccessSwitch1 還通過端口 FastEthernet 0/24 上連到分布層交換機 DistributeSwitch2 的端口 FastEthernet 0/23。這兩條上連鏈路將成為主干道鏈路，在這兩條上連鏈路上將運輸多個 VLAN 的數(shù)據(jù)。 如圖 216 所示 ，設(shè)置訪問層交換機 AccessSwitch1 的端口 FastEthernet 0/2FastEthernet 0/24 為主干道端口。 圖 216 設(shè)置主干道端口 配 置 訪 問 層 交 換 機 AccessSwitch2訪問層交換機 AccessSwitch2 為 VLAN 30 和 VLAN 40 的用戶提供接入服務(wù)。 同時 ，分 別通過自己的 FastEthernet 0/23 、FastEthernet 0/24 上連到分布層交換 機 DistributeSwitch DistributeSwitch2 的端口 FastEthernet 0/24。如圖 217 所示，是訪問層交換機 AccessSwitch2 的連接示意圖。 圖 217 訪問層交換機 AccessSwitch2 的連接示意圖對訪問層交換機 AccessSwitch2 的配置步驟、命令和對訪問層交換機 AccessSwitch1 的配置類似 。這里 ，不再詳 細(xì)分析 ，只給出最后的配置文件內(nèi)容 （只留下了必要的命令）。 需要指出的是，為了提供主干道的吞吐量，可以采用鏈路捆綁（快速以太 網(wǎng)信道）技術(shù)增加可用帶寬。 例如，可以將訪問層交換機 AccessSwitch1 的端 口 FastEthernet 0/21 和 FastEthernet 0/22 捆綁在一起實現(xiàn) 200Mbps 的快速以太 網(wǎng)信道，然后再上連到分布層交換機 DistributeSwitch1。同樣，也可以將訪問 層交換機 AccessSwitch1 的端口 FastEthernet 0/23 和 FastEthernet 0/24 捆綁在一 起 實 現(xiàn) 200Mbps 的 快 速 以 太 網(wǎng) 信 道 ， 然 后 再 上 連 到 分 布 層 交 換 機 DistributeSwitch2。具體的配置步驟和命令將在核心 層交換機的配置一節(jié)中進(jìn)行 介紹。 訪 問 層 交 換 機 的 其 它 可 選 配 置 Uplinkfast訪問層交換機 AccessSwitch1 通過兩條冗余上行鏈路分別接入分布層交換 機 DistributeSwitch1 和 、DistributeSwitch2。在生成樹的作用下 ，其 中一條上行 鏈路處于轉(zhuǎn)發(fā)狀態(tài)，而另一條上行鏈路 處于阻塞狀態(tài)。當(dāng) 處于轉(zhuǎn)發(fā)狀態(tài)的鏈路 因故障斷開后，經(jīng)過最多大約 50 秒鐘的時間，處于阻塞狀態(tài)的鏈路才能替 代 故障鏈路工作。 Uplinkfast 特性可以使得當(dāng)主上行鏈路失敗后，處于阻塞狀態(tài)的上行鏈路 （備份上行