【正文】 一個(gè)好的校園網(wǎng)設(shè)計(jì)應(yīng)該是一個(gè)分層的 設(shè)計(jì)。一般分為三層設(shè)計(jì)模型。 為了簡(jiǎn)化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò) 的可擴(kuò)展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換模 塊的部署是分層進(jìn)行的。 園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個(gè)層 次：訪問(wèn)層、分布層、核心層。 傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在 OSI 模型的第 2 層?，F(xiàn)代交換技術(shù)還實(shí)現(xiàn)了第 3 層交換和多層交換。高層交換技術(shù)的引 入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率 ， 更大大增強(qiáng)了園區(qū)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類(lèi)型網(wǎng)絡(luò)應(yīng)用程序的需 要。 現(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（ Virtual LAN，VLAN）的 概 念 。VLAN 將廣播域限制在單個(gè) VLAN 內(nèi)部，減小了各 VLAN 間主機(jī)的廣播通信對(duì)其他 VLAN 的影響 。在 VLAN 間需要通信的時(shí)候 ，可以利用 VLAN 間路由技術(shù)來(lái) 實(shí) 現(xiàn)。 當(dāng)網(wǎng)絡(luò)管理人員需要管理的交 換機(jī)數(shù)量眾多時(shí)，可以使用 VLAN 中繼協(xié)議 （ Vlan Trunking Protocol， VTP）簡(jiǎn)化管理，它只需在單獨(dú)一臺(tái)交換機(jī)上定義 所有 VLAN。然后通過(guò) VTP 協(xié)議將 VLAN 定義傳播到本管理域中的所有交換 機(jī)上。這樣，大大減輕了網(wǎng)絡(luò) 管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。 當(dāng)園區(qū)網(wǎng)絡(luò)的交換機(jī)數(shù)量增多、交換機(jī)間鏈路增加時(shí)，交換網(wǎng)絡(luò)的復(fù)雜性 可能會(huì)造成交換環(huán)路問(wèn)題 ，這需要通過(guò)在各交換機(jī)上運(yùn)行生成樹(shù)協(xié) 議（ Spanning Tree Protocol， STP）來(lái)解決。 訪問(wèn)層交換服務(wù)的實(shí)現(xiàn)－配置訪問(wèn)層交換機(jī)訪問(wèn)層為所有的終端用戶提供一個(gè)接入點(diǎn)。這里的訪問(wèn)層交換機(jī)采用的是 Cisco Catalyst 2950 24 口交換機(jī)（ WSC295024 ）。該交換機(jī)擁有 24 個(gè)10/100Mbps 自適應(yīng)快速以太網(wǎng)端口，運(yùn)行的是 Cisco 的 IOS 操作系統(tǒng)。這里， 以圖 21 中的訪問(wèn)層交換機(jī) AccessSwitch1 為例進(jìn)行介紹。如圖 21 所示： 圖 21 訪問(wèn)層交換機(jī) AccessSwitch1 配 置 訪 問(wèn) 層 交 換 機(jī) AccessSwitch1 的 基 本 參 數(shù)設(shè)置交換機(jī)名稱(chēng) 設(shè)置交換機(jī)名稱(chēng)，也就是出現(xiàn)在交換機(jī) CLI 提示符中的名字。一般以地理 位置或行政劃分來(lái)為交換機(jī)命名 。當(dāng)需要 Telnet 登錄到若干臺(tái)交換機(jī)以維護(hù)一 個(gè)大型網(wǎng)絡(luò)時(shí)，通過(guò)交換機(jī)名稱(chēng)提示符 提示自己當(dāng)前配置交換機(jī)的位置是很 有 必要的。 如圖 22 所示，為訪問(wèn)層交換機(jī) AccessSwitch1 命名。圖 22 為訪問(wèn)層交換機(jī) AccessSwitch1 命名設(shè)置交換機(jī)的加密使能口令 當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時(shí)，需要提供此口令。此 口令會(huì)以 MD5 的形式加密，因此，當(dāng)用戶查看配置文件時(shí)，無(wú)法看到明文形 式的口令。 如圖 23 所示，將交換機(jī)的加密使能口令設(shè)置為 secretpasswd。圖 23 為交換機(jī)設(shè)置加密使能口令設(shè)置登錄虛擬終端線時(shí)的口令 對(duì)于一個(gè)已經(jīng)運(yùn)行著的交換網(wǎng)絡(luò)來(lái)說(shuō)，交換機(jī)的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理 人員提供了很多的方便。 但是，出于安 全考慮， 在能夠遠(yuǎn)程管理交換機(jī)之前網(wǎng) 絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機(jī)的口令。 如圖 24 所示，設(shè)置登錄交換機(jī)時(shí)需要驗(yàn)證用戶身份，同時(shí)設(shè)置口令為 youguess。圖 24 為訪問(wèn)層交換機(jī) AccessSwitch1 命名設(shè)置終端線超時(shí)時(shí)間 為了安全考慮，可以設(shè)置終端線超時(shí)時(shí)間。在設(shè)置的時(shí)間內(nèi)，如果沒(méi)有檢 測(cè)到鍵盤(pán)輸入， IOS 將斷開(kāi)用戶和交換機(jī)之間的連接。 如圖 25 所示，設(shè)置登錄交換機(jī)的控制臺(tái)終端線 路及虛擬終端線的超時(shí)時(shí) 間為 5 分 30 秒鐘。 圖 25 設(shè)置控制臺(tái)終端線路和虛擬終端線路的超時(shí)時(shí)間設(shè)置禁用 IP 地址解析特性 在交換機(jī)默認(rèn)配置的情況下，當(dāng)輸入一條錯(cuò)誤的交換機(jī)命令時(shí)，交換機(jī)會(huì) 嘗試將其廣播給網(wǎng)絡(luò)上的 DNS 服務(wù)器并將其解析成對(duì)應(yīng)的 IP 地址。利用命令 no ip domainlookup?？梢越眠@個(gè)特性。如圖 26 所示，設(shè)置禁用 IP 地址解 析特性。 圖 26 設(shè)置禁用 IP 地址解析特性設(shè)置啟用消息同步特性 有時(shí)，用戶輸入的交換機(jī)配置命令會(huì)被交換機(jī)產(chǎn)生的消息打亂?？梢允褂?命令 logging synchronous 設(shè)置交換機(jī)在下一行 CLI 提示符后復(fù)制用戶的輸入。 如圖 27 所示，設(shè)置啟用消息同步特性。 圖 27 設(shè)置啟用消息同步特性 配 置 訪 問(wèn) 層 交 換 機(jī) AccessSwitch1 的 管 理 IP、 默 認(rèn) 網(wǎng) 關(guān)訪問(wèn)層交換機(jī)是 OSI 參考模型的第 2 層設(shè)備 ，即數(shù)據(jù)鏈路層的設(shè)備 。因此， 給訪問(wèn)層交換機(jī)的每個(gè)端口設(shè)置 IP 地址是沒(méi)意義的 。但是 ，為了使網(wǎng)絡(luò)管理人 員可以從遠(yuǎn)程登錄到訪問(wèn)層交換機(jī)上進(jìn) 行管理，必須給訪問(wèn)層交換機(jī)設(shè)置一 個(gè) 管理用 IP 地址。這種情況下，實(shí)際上是將交換機(jī)看成和 PC 機(jī)一樣的主機(jī)。 給交換機(jī)設(shè)置管理用 IP 地址只能在 VLAN1，即本征 VLAN 中進(jìn)行。按照 表 21 ，管理 VLAN 所在的子網(wǎng)是： ，這里將訪問(wèn)層交換機(jī) AccessSwitch1 的管理 IP 地址設(shè)為： 。如圖 28 所示，顯示了為 訪問(wèn)層交換機(jī) AccessSwitch1 設(shè)置管理 IP 并激活本征 VLAN。圖 28 設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1 的管理 IP為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī)，還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān) 地址 。如圖 29 所示。 圖 29 設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1 的默認(rèn)網(wǎng)關(guān)地址 配 置 訪 問(wèn) 層 交 換 機(jī) AccessSwitch1 的 VLAN 及 VTP從提高效率的角度出發(fā)，在本 校園網(wǎng)實(shí)現(xiàn)實(shí)例中使用了 VTP 技術(shù)。同時(shí)， 將分布層交換機(jī) DistributeSwitch1 設(shè)置成為 VTP 服務(wù)器 ，其他交換機(jī)設(shè)置成為 VTP 客戶機(jī)。 這里訪問(wèn)層交換機(jī) AccessSwitch1 將通過(guò) VTP 獲得在分布層交換機(jī) DistributeSwitch1 中定義的所有 VLAN 的信息。 如圖 210 所示，設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1 成為 VTP 客戶機(jī)。 圖 210 設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1 成為 VTP 客戶機(jī) 配 置 訪 問(wèn) 層 交 換 機(jī) AccessSwitch1 端 口 基 本參數(shù) 端口雙工配置 可以設(shè)定某端口根據(jù)對(duì)端設(shè)備雙工類(lèi)型自動(dòng)調(diào)整本端口雙工模式，也可以 強(qiáng)制將端口雙工模式設(shè)為半雙工或全雙工模式。在了解對(duì)端設(shè)備類(lèi)型的情況 下，建議手動(dòng)設(shè)置端口雙工模式。 如圖 211 所示，設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1 的所有端口均工作在全 雙工模式。 圖 211 設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1 的端口工作模式端口速度 可以設(shè)定某端口根據(jù)對(duì)端設(shè)備速度自動(dòng)調(diào)整本端口速度，也可以強(qiáng)制將端 口速度設(shè)為 10Mpbs 或 100Mbps。在了解對(duì)端設(shè)備速度的情況下，建議手動(dòng)設(shè) 置端口速度。 如圖 212 所示，設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1 的所有端口的速度均為 100Mbps。圖 212 設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1 的端口速度 配 置 訪 問(wèn) 層 交 換 機(jī) AccessSwitch1 的 訪 問(wèn) 端 口訪問(wèn)層交換機(jī) AccessSwitch1 為終端用戶提供接入服務(wù)。在 圖 21 中，訪問(wèn) 層交換機(jī) AccessSwitch1 為 VLAN VLAN20 提供接入服務(wù)。 如圖 213 所示，設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1 的端口 1～端口 10 工作 在訪問(wèn)（接入）模式。同時(shí)，設(shè)置端口 1～端口 10 為 VLAN 10 的成員。 圖 213 設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1 的端口 1～10設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1 的端口 11～ 20如圖 214 所示 ，設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1 的端口 11～端口 20 工作 在訪問(wèn)（接入）模式。同時(shí)，設(shè)置端口 1～端口 10 為 VLAN 20 的成員。 圖 214 設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1 的端口 11～20設(shè)置快速端口 默認(rèn)情況下，交換機(jī)在剛加電啟動(dòng)時(shí)，每個(gè)端口都要經(jīng)歷生成樹(shù)的四個(gè)階 段： 阻塞、 偵聽(tīng)、 學(xué) 習(xí)、 轉(zhuǎn)發(fā)。 在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前， 某個(gè)端口可能 最多要等 50 秒鐘的時(shí) 間（ 20 秒的阻塞時(shí)間＋ 15 秒的偵聽(tīng)延遲時(shí)間＋ 15 秒的學(xué) 習(xí)延遲時(shí)間）。 對(duì)于直接接入終端工作站的端口來(lái)說(shuō) ，用于阻塞和偵聽(tīng)的時(shí)間是不必要的 。 為了加速交換機(jī)端口狀態(tài)轉(zhuǎn)化時(shí)間，可以設(shè)置 將某端口設(shè)置成為快速端口 （ Portfast）。設(shè)置為快速端口的端口當(dāng)交換機(jī)啟 動(dòng)或端口有工作站接入時(shí) ，將 會(huì)直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)， 而不會(huì)經(jīng)歷阻塞、 偵聽(tīng)、 學(xué)習(xí)狀態(tài) （假設(shè)橋接表已經(jīng)建 立）。 如圖 215 所示，設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1 的端口 1～端口 20 為快 速端口。 圖 215 設(shè)置快速端口 配 置 訪 問(wèn) 層 交 換 機(jī) AccessSwitch1 的 主 干 道端口 如圖 21 所示，訪問(wèn)層交換機(jī) AccessSwitch1 通過(guò)端口 FastEthernet 0/23 上 連到分布層交換機(jī) DistributeSwitch1 的端口 FastEthernet 0/23。同時(shí) ，訪問(wèn)層交 換機(jī) AccessSwitch1 還通過(guò)端口 FastEthernet 0/24 上連到分布層交換機(jī) DistributeSwitch2 的端口 FastEthernet 0/23。這兩條上連鏈路將成為主干道鏈路，在這兩條上連鏈路上將運(yùn)輸多個(gè) VLAN 的數(shù)據(jù)。 如圖 216 所示 ，設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1 的端口 FastEthernet 0/2FastEthernet 0/24 為主干道端口。 圖 216 設(shè)置主干道端口 配 置 訪 問(wèn) 層 交 換 機(jī) AccessSwitch2訪問(wèn)層交換機(jī) AccessSwitch2 為 VLAN 30 和 VLAN 40 的用戶提供接入服務(wù)。 同時(shí) ，分 別通過(guò)自己的 FastEthernet 0/23 、FastEthernet 0/24 上連到分布層交換 機(jī) DistributeSwitch DistributeSwitch2 的端口 FastEthernet 0/24。如圖 217 所示，是訪問(wèn)層交換機(jī) AccessSwitch2 的連接示意圖。 圖 217 訪問(wèn)層交換機(jī) AccessSwitch2 的連接示意圖對(duì)訪問(wèn)層交換機(jī) AccessSwitch2 的配置步驟、命令和對(duì)訪問(wèn)層交換機(jī) AccessSwitch1 的配置類(lèi)似 。這里 ，不再詳 細(xì)分析 ，只給出最后的配置文件內(nèi)容 （只留下了必要的命令）。 需要指出的是，為了提供主干道的吞吐量，可以采用鏈路捆綁（快速以太 網(wǎng)信道）技術(shù)增加可用帶寬。 例如，可以將訪問(wèn)層交換機(jī) AccessSwitch1 的端 口 FastEthernet 0/21 和 FastEthernet 0/22 捆綁在一起實(shí)現(xiàn) 200Mbps 的快速以太 網(wǎng)信道，然后再上連到分布層交換機(jī) DistributeSwitch1。同樣，也可以將訪問(wèn) 層交換機(jī) AccessSwitch1 的端口 FastEthernet 0/23 和 FastEthernet 0/24 捆綁在一 起 實(shí) 現(xiàn) 200Mbps 的 快 速 以 太 網(wǎng) 信 道 ， 然 后 再 上 連 到 分 布 層 交 換 機(jī) DistributeSwitch2。具體的配置步驟和命令將在核心 層交換機(jī)的配置一節(jié)中進(jìn)行 介紹。 訪 問(wèn) 層 交 換 機(jī) 的 其 它 可 選 配 置 Uplinkfast訪問(wèn)層交換機(jī) AccessSwitch1 通過(guò)兩條冗余上行鏈路分別接入分布層交換 機(jī) DistributeSwitch1 和 、DistributeSwitch2。在生成樹(shù)的作用下 ，其 中一條上行 鏈路處于轉(zhuǎn)發(fā)狀態(tài)，而另一條上行鏈路 處于阻塞狀態(tài)。當(dāng) 處于轉(zhuǎn)發(fā)狀態(tài)的鏈路 因故障斷開(kāi)后，經(jīng)過(guò)最多大約 50 秒鐘的時(shí)間，處于阻塞狀態(tài)的鏈路才能替 代 故障鏈路工作。 Uplinkfast 特性可以使得當(dāng)主上行鏈路失敗后，處于阻塞狀態(tài)的上行鏈路 （備份上行