【正文】 入點。 當網(wǎng)絡管理人員需要管理的交 換機數(shù)量眾多時，可以使用 VLAN 中繼協(xié)議 （ Vlan Trunking Protocol， VTP）簡化管理，它只需在單獨一臺交換機上定義 所有 VLAN。高層交換技術的引 入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率 ， 更大大增強了園區(qū)網(wǎng)數(shù)據(jù)交換服務質(zhì)量，滿足了不同類型網(wǎng)絡應用程序的需 要。 為了簡化交換網(wǎng)絡設計、提高交換網(wǎng)絡 的可擴展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換模 塊的部署是分層進行的。 表 1 VLAN 及 IP 編址方案除了表 1 中的內(nèi)容外，撥號用戶從 。 本校園網(wǎng)設計方案主要由以下四大部分構成 ：交換模塊 、廣域網(wǎng)接入模塊 、 遠程訪問模塊、服務器模塊。 圖中，以計算機系為例展示了每個建筑物內(nèi)部的網(wǎng)絡設備拓撲結構，并給 出了信息中心內(nèi)部的網(wǎng)絡設備拓撲結構。 如圖 11 所示，是該校園網(wǎng)網(wǎng)絡的總體拓撲結構圖。 通過本文，相信讀者能夠系統(tǒng) 地掌握中小型園區(qū)網(wǎng)的設計、 實施以及維護方法及技巧。 1 系統(tǒng)總體設計方案概述校園網(wǎng)絡（ COMPUS NETWORK，下文中也稱為園區(qū)網(wǎng)絡）是非常典型的 綜合網(wǎng)絡實例。 圖 11 校園網(wǎng)網(wǎng)絡的總體拓撲結構在上面的拓撲圖中，學校的 6 個主要集中接入點（計算機系、管理系、建 筑系、 財 務處、 教 務處、 學 生宿舍） 通過冗余的光纖鏈路上連到信息中心的核 心層交換機上。 在接下來的討論中，我們將展 開并詳細討論每個模塊的設計內(nèi)容。 整個網(wǎng)絡系統(tǒng)的拓撲結構圖如圖 12 所示。 為了簡化起見，除了管理 VLAN 外，這里只規(guī)劃了 8 個 VLAN，同時為每個 VLAN 定義了一個由拼音縮寫組成的 VLAN 名稱。 園區(qū)網(wǎng)數(shù)據(jù)交換設備可以劃分為三個層 次：訪問層、分布層、核心層。 現(xiàn)代交換網(wǎng)絡還引入了虛擬局域網(wǎng)（ Virtual LAN，VLAN）的 概 念 。然后通過 VTP 協(xié)議將 VLAN 定義傳播到本管理域中的所有交換 機上。這里的訪問層交換機采用的是 Cisco Catalyst 2950 24 口交換機（ WSC295024 ）。一般以地理 位置或行政劃分來為交換機命名 。此 口令會以 MD5 的形式加密，因此，當用戶查看配置文件時，無法看到明文形 式的口令。 如圖 24 所示，設置登錄交換機時需要驗證用戶身份，同時設置口令為 youguess。 圖 25 設置控制臺終端線路和虛擬終端線路的超時時間設置禁用 IP 地址解析特性 在交換機默認配置的情況下，當輸入一條錯誤的交換機命令時，交換機會 嘗試將其廣播給網(wǎng)絡上的 DNS 服務器并將其解析成對應的 IP 地址。 圖 26 設置禁用 IP 地址解析特性設置啟用消息同步特性 有時，用戶輸入的交換機配置命令會被交換機產(chǎn)生的消息打亂。因此， 給訪問層交換機的每個端口設置 IP 地址是沒意義的 。按照 表 21 ，管理 VLAN 所在的子網(wǎng)是： ，這里將訪問層交換機 AccessSwitch1 的管理 IP 地址設為： 。 圖 29 設置訪問層交換機 AccessSwitch1 的默認網(wǎng)關地址 配 置 訪 問 層 交 換 機 AccessSwitch1 的 VLAN 及 VTP從提高效率的角度出發(fā)，在本 校園網(wǎng)實現(xiàn)實例中使用了 VTP 技術。 圖 210 設置訪問層交換機 AccessSwitch1 成為 VTP 客戶機 配 置 訪 問 層 交 換 機 AccessSwitch1 端 口 基 本參數(shù) 端口雙工配置 可以設定某端口根據(jù)對端設備雙工類型自動調(diào)整本端口雙工模式，也可以 強制將端口雙工模式設為半雙工或全雙工模式。在了解對端設備速度的情況下，建議手動設 置端口速度。 如圖 213 所示，設置訪問層交換機 AccessSwitch1 的端口 1～端口 10 工作 在訪問（接入）模式。 圖 214 設置訪問層交換機 AccessSwitch1 的端口 11～20設置快速端口 默認情況下，交換機在剛加電啟動時，每個端口都要經(jīng)歷生成樹的四個階 段： 阻塞、 偵聽、 學 習、 轉發(fā)。設置為快速端口的端口當交換機啟 動或端口有工作站接入時 ，將 會直接進入轉發(fā)狀態(tài)， 而不會經(jīng)歷阻塞、 偵聽、 學習狀態(tài) （假設橋接表已經(jīng)建 立）。這兩條上連鏈路將成為主干道鏈路，在這兩條上連鏈路上將運輸多個 VLAN 的數(shù)據(jù)。如圖 217 所示，是訪問層交換機 AccessSwitch2 的連接示意圖。 例如，可以將訪問層交換機 AccessSwitch1 的端 口 FastEthernet 0/21 和 FastEthernet 0/22 捆綁在一起實現(xiàn) 200Mbps 的快速以太 網(wǎng)信道，然后再上連到分布層交換機 DistributeSwitch1。在生成樹的作用下 ，其 中一條上行 鏈路處于轉發(fā)狀態(tài)，而另一條上行鏈路 處于阻塞狀態(tài)。 同樣的步驟也可以在訪問層交換機 AccessSwitch2 上進行配置。 如圖 219 所示，是在訪問層交換機 AccessSwitch1 上啟用 Backbonefast 特 性。 這里的分布層交換機采用的是 Cisco Catalyst 3550 交換機 。這里， 只給出實際的配置步驟，不 再給出具體解釋，如圖 221 所示。工 作量很大 、過程很繁瑣 ，并且容易出錯 。同時 ，有關 VLAN 的刪除 、參數(shù)更改操作均可傳播到其他交換機。 配置 VTP 管理域 共享相同 VLAN 定義數(shù)據(jù)庫的交換機構成一個 VTP 管理域。 圖 223 設置 VTP 管理域的域名設置 VTP 服務器 工作在 VTP 服務器模式下的交換機可以創(chuàng)建 、刪除 VLAN、修 改 VLAN 參 數(shù)。有時，交換網(wǎng)絡中某臺交 換機的所有端口都屬于同一 VLAN 的成員 ，沒有必要接收其他 VLAN 的用戶數(shù) 據(jù) 。同一 VTP域下的所有其他交換機也將自動激活 VTP 剪裁功能。 如圖 226 所示，定義了 8 個 VLAN，同時為每個 VLAN 命名。如圖 227 所示，給出了對所有訪問端口、主干道 端口的配置步驟和命令。 圖 228 啟用路由功能接下來，需要為每個 VLAN 定義自己的默認網(wǎng)關地址，如圖 229 所示。 圖 230 定義到 Internet 的缺省路由 配 置 分 布 層 交 換 機 DistributeSwitch2分布層交換機 DistributeSwitch2 的端口 FastEthernet 0/2FastEthernet 0/24 分別下連到訪問層交換機 AccessSwitch1 的端口 FastEthernet 0/24 以及訪問層交 換機 AccessSwitch2 的端口 FastEthernet 0/24。 圖 231 分布層交換機 DistributeSwitch2對分布層交換機 DistributeSwitch2 的配置步驟、命令和對分布層交換機 DistributeSwitch1 的配置類似。 本實例中的核心層交換機采用的是 Cisco Catalyst 4006 交換機，采用了 Catalyst 4500 Supervisor II Plus（ WSX4013+）作為交換機引擎 。如圖 233 所示： 圖 233 核心層交換機 CoreSwitch1 配 置 核 心 層 交 換 機 CoreSwitch1 的 基 本 參 數(shù)對核心層交換機 CoreSwitch1 的基本參數(shù)的配置步驟與對訪問層交換機 AccessSwitch1 的基本參數(shù)的配置類似 。 圖 235 核心層交換機 CoreSwitch1 的管理 IP、默認網(wǎng)關 配 置 核 心 層 交 換 機 CoreSwitch1 的 的 VLAN 及 VTP在本實例中，核心層交換機 CoreSwitch1 也將作為 VTP 客戶機。同時，核心層交換機 CoreSwitch1 的端口 GigabitEthernet 3/1 ～ GigabitEthernet 3/2 分 別 下 連 到 分 布 層 交 換 機 DistributeSwitch1 和 DistributeSwitch2 的端口 GigabitEthernet 0/1。 圖 238 設置核心層交換機 CoreSwitch1 的千兆以太網(wǎng)信道 配 置 核 心 層 交 換 機 CoreSwitch1 的 路 由 功 能核心層交換機 CoreSwitch1 通過端口 FastEthernet 4/3 同廣域網(wǎng)接入模塊 （ Internet 路由器 ）相連 。 其中，下一跳地址是 Internet 接入路由器的快速以太網(wǎng)接口 FastEthernet 0/0 的IP 地址。這里，不再詳細分 析。采用的是 Cisco 的 3640 路由器。 圖 31 廣域網(wǎng)接入路由器 InternetRouter 配置接入路由器 InternetRouter 的基本參數(shù)對接入路由器 InternetRouter 的基本參數(shù)的配置步驟與對訪問層交換機 AccessSwitch1 的基本參數(shù)的配置類似 。 圖 33 設置接入路由器 InternetRouter 的各接口參數(shù) 配置接入路由器 InternetRouter 的路由功能在接入路由器 InternetRouter 上需要定義兩個方向上的路由 ：到校園網(wǎng)內(nèi)部 的靜態(tài)路由以及到 Internet 上的缺省路由。如圖 35所示。其中一個 IP地址 ： 被分配給了 Internet 接入路由器的串行接口 ，另外 8 個 IP 地址： ～ 用作 NAT。 圖 38 為服務器定義靜態(tài)地址轉換為其他工作站定義復用地址轉換 圖 39 顯示了如何為其他工作站定義復用地址轉換。由于路由器介于企業(yè)內(nèi)網(wǎng)和外 網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的第 一道屏障，所以即使在網(wǎng)絡系統(tǒng)安裝了 防火墻產(chǎn)品后，仍 然有必要對路由器的 訪問控制列表進行縝密的設計，來對企 業(yè)內(nèi)網(wǎng)包括防火墻本身實施保護。主要應該做以下 的 ACL 設計： 對外屏蔽簡單網(wǎng)管協(xié)議，即 SNMP。圖 310 對外屏蔽簡單網(wǎng)管協(xié)議 SNMP對外屏蔽遠程登錄協(xié)議 telnet首先 ，telnet 可以登錄到大多數(shù)網(wǎng)絡設備和 UNIX 服務器 ，并可以使用相關 命令完全操縱它們。 如圖 311 所示，顯示了如何對外屏蔽遠程登錄協(xié)議 telnet。圖 313 顯示了如何設計針對常見 DoS 攻 擊的 ACL。這時，可以使用 ACCESSCLASS 命令進行 VTY 訪問控制。它可以為家庭辦公用戶和出 差在外的員工提供遠程、移動接入服務。 在本設計中，由于面對 的用戶群規(guī)模、業(yè)務量較小，所以 采用了異步撥號連接作為遠程訪問的技術手 段。因此， 異步撥號連接也就成為最為方 便和普遍的遠程訪問類型。在本設計中采用了可以集成在廣域網(wǎng)接入路由器 InternetRotuer 中的異步 Modem 模塊 NM16AM（ 16 Port Analog Modem Network Module）提供遠程訪 問服務。如圖 42 所 示。如圖 44 所示，建立了一個名為 rasclients 的 IP 地址池。 PAP 認證進程只在雙方的通信 鏈路建立初期進行。 同 時， 身 份認證可以隨時進行，包括在雙方正常通信過程 中。 PAP 雖然有著用戶名和密碼是明文發(fā)送的弱 點，但是認證只在鏈路建立初 期進行，因此節(jié)省了寶貴的鏈路帶寬。 圖 46 設置進行 PAP 認證5 服務器模塊設計服務器模塊用來對校園網(wǎng)的接入用戶提供各種服務。 z DNS、目錄服務器：提供域名解析以及目錄服務。 z 打印服務器：提供打印機共享服務。 如圖 52 所示。感興趣的讀者可以參看有關參考書。 z 對相同 VLAN 內(nèi)的通信進行測試。 z 對廣域網(wǎng)接入路由器上的 ACL 進行測試。這里，只給出相關測試、診 斷命令。用于測試設備間的物理連通性。 traceroute 命令 traceroute 用于跟蹤、顯示路由信息。 disconnect命令 disconnect 用于斷開與遠程目標主機的 Telnet 會話。 1 no shutdown命令 no shutdown 用于手動啟動（激活）處于管理性關閉的接口。 1 show ip interface命令 show ip interface 用于顯