【正文】 faces命令 show interface 用于顯示各接口的狀態(tài)及參數(shù)信息。 CDP 測 試 、 診 斷 命 令 show cdp命令 show cdp 用于顯示 CDP 全局參數(shù)信息。 VLAN、 VTP 測 試 、 診 斷命令 show interface vlan vlannum命令 show interface vlan vlannum 用于顯示 VLAN 是否已激活 、交換機(jī) MAC基地址、接口參數(shù)等。 show spanningtree detail命令 show spanningtree detail 用于顯示生成樹詳細(xì)信息。 debug ip nat命令 debug ip nat 用于打開對 NAT 的診斷。 限于篇幅， 在 此不做介紹，感興趣的讀者可 以參看有關(guān)的參考書。 show modemcap命令 show modemcap 用于顯示了當(dāng)前路由器可以自動配置的 Modem 列表。 show spanningtree summary命令 show spanningtree summary 用于顯示生成樹總結(jié)，包括本交換機(jī)是哪 些 VLAN 的根網(wǎng)橋 、端口快速特性是否啟用 、處于生成樹各個端口狀態(tài)的端 口數(shù)量等信息。該命令可以顯示系統(tǒng)所有的 VLAN 信息 ，包括 VLAN 編號 、VLAN 名稱 、VLAN 狀態(tài) 、VLAN 成員等信息。 show cdp interface命令 show cdp interface 用于顯示本地設(shè)備各個接口 的狀態(tài) 、接 口封裝格式、 CDP 包的周期發(fā)送時間以及 CDP 保持時間等。 1 dir flash:命令 dir flash:用于顯示閃存中的文件清單。 shutdown命令 shutdown 用于臨時將某個接口關(guān)閉。擴(kuò)展 ping 命令還支持靈 活定義 ping 參數(shù)，如 ping 數(shù)據(jù)包的大小，發(fā)送包的個數(shù)， 等待響應(yīng)數(shù)據(jù)包的 超時時間等。 至于具體的測試步驟，限于篇幅，不再贅述。 主要的測試內(nèi)容應(yīng)該包括： z 對管理 IP 地址的測試。 z 網(wǎng)管服務(wù)器：對校園網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行綜合管理。 圖 51 服務(wù)器群校園網(wǎng)網(wǎng)絡(luò)提供的常用服務(wù)（服務(wù)器）包括： z WEB 服務(wù)器：提供 WEB 網(wǎng)站服務(wù)。這需要耗 費較多的 CPU 資源，因此只用在對安全要求很高的場合。 PAP 是一個簡單的、實用的身份驗證協(xié)議。 配置物理線路的基本參數(shù)對物理線路的配置包括配置線路速度（ DTE、 DCE 之間的速率）、停止位 位數(shù)、流控方式、允許呼入連接的協(xié)議 類型、允許流量的方向等。 因為目前存在著大量安裝好的電話線 ，所 以這樣的環(huán)境是最容易滿足的 。 圖 315 定義對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持4 遠(yuǎn)程訪問模塊設(shè)計遠(yuǎn)程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一。 圖 312 對外屏蔽其它不安全的協(xié)議或服務(wù)針對 DoS 攻擊的設(shè)計 DoS 攻擊（ Denial of Service Attack，拒絕服務(wù)攻擊）是一種非常常見而且 極具破壞力的攻擊手段，它可以導(dǎo)致服 務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止 ， 嚴(yán)重時會導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。如圖 310 所示，顯示了如何設(shè)置對外屏蔽簡單網(wǎng)管協(xié)議 SNMP。一個設(shè)計良好的訪問控制列表不僅 可以起到控制網(wǎng)絡(luò)流量、流向的作用 ， 還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資 的情況下完成一般軟、硬件防火墻產(chǎn)品 的功能。 為了接入 Internet，本校園網(wǎng)向當(dāng)?shù)?ISP 申請了 9 個 IP 地址。 如圖 33 所示，顯示了為接入路由器 InternetRouter 的各接口設(shè)置 IP 地址、子 網(wǎng)掩碼。 3 廣域網(wǎng)接入模塊設(shè)計在 本 實 例 設(shè) 計 中 ， 廣 域 網(wǎng) 接 入 模 塊 的 功 能 是 由 廣 域 網(wǎng) 接 入 路 由 器 InternetRouter 來完成的。這里使用了一條缺省路由命令 ，如 圖 239 所示。 圖 236 設(shè)置核心層交換機(jī) CoreSwitch1 成為 VTP 客戶機(jī) 配 置 核 心 層 交 換 機(jī) CoreSwitch1 的 端 口 參 數(shù)核心層交換機(jī) CoreSwitch1 通過自己的端口 FastEthernet 4/3 同廣域網(wǎng)接入 模塊（ Internet 路由器）相連。這里，以圖 21 中的核心層交換機(jī) CoreSwitch1 為例進(jìn)行介紹。如圖 231 所示。如圖 228 所示。 由于使用了 VTP 技術(shù)，所以，所有 VLAN 的定義都只需要在 VTP 服務(wù)器， 即分布層交換機(jī) DistributeSwitch1 上進(jìn)行。 圖 224 設(shè)置分布層交換機(jī) DistributeSwitch1 成為 VTP 服務(wù)器激活 VTP 剪裁功能 默認(rèn)情況下主干道傳輸所有 VLAN 的用戶數(shù)據(jù)。同時，將分布層交換 機(jī)DistributeSwitch1 設(shè)置成為 VTP 服務(wù)器，其他交換機(jī)設(shè)置成為 VTP 客戶機(jī)。 圖 222 分布層交換機(jī) DistributeSwitch1 的管理 IP、默認(rèn)網(wǎng)關(guān) 配 置 分 布 層 交 換 機(jī) DistributeSwitch1 的 VTP當(dāng)網(wǎng)絡(luò)中交換機(jī)數(shù)量很多時，需要分別在每臺 交換機(jī)上創(chuàng)建很多重復(fù)的 VLAN。 分布層交換服務(wù)的實現(xiàn)－配置分布層交換機(jī)分布層除了負(fù)責(zé)將訪問層交換機(jī)進(jìn)行匯集外，還為整個交換網(wǎng)絡(luò)提供 VLAN 間的路由選擇功能。 如圖 218 所示，是在訪問層交換機(jī) AccessSwitch1 上啟用 Uplinkfast 特性。 需要指出的是，為了提供主干道的吞吐量，可以采用鏈路捆綁（快速以太 網(wǎng)信道）技術(shù)增加可用帶寬。同時 ，訪問層交 換機(jī) AccessSwitch1 還通過端口 FastEthernet 0/24 上連到分布層交換機(jī) DistributeSwitch2 的端口 FastEthernet 0/23。同時，設(shè)置端口 1～端口 10 為 VLAN 20 的成員。 圖 211 設(shè)置訪問層交換機(jī) AccessSwitch1 的端口工作模式端口速度 可以設(shè)定某端口根據(jù)對端設(shè)備速度自動調(diào)整本端口速度，也可以強(qiáng)制將端 口速度設(shè)為 10Mpbs 或 100Mbps。如圖 29 所示。 圖 27 設(shè)置啟用消息同步特性 配 置 訪 問 層 交 換 機(jī) AccessSwitch1 的 管 理 IP、 默 認(rèn) 網(wǎng) 關(guān)訪問層交換機(jī)是 OSI 參考模型的第 2 層設(shè)備 ，即數(shù)據(jù)鏈路層的設(shè)備 。 如圖 25 所示，設(shè)置登錄交換機(jī)的控制臺終端線 路及虛擬終端線的超時時 間為 5 分 30 秒鐘。圖 22 為訪問層交換機(jī) AccessSwitch1 命名設(shè)置交換機(jī)的加密使能口令 當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時，需要提供此口令。 訪問層交換服務(wù)的實現(xiàn)－配置訪問層交換機(jī)訪問層為所有的終端用戶提供一個接入點。高層交換技術(shù)的引 入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率 ， 更大大增強(qiáng)了園區(qū)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需 要。 表 1 VLAN 及 IP 編址方案除了表 1 中的內(nèi)容外，撥號用戶從 。 圖中，以計算機(jī)系為例展示了每個建筑物內(nèi)部的網(wǎng)絡(luò)設(shè)備拓?fù)浣Y(jié)構(gòu)，并給 出了信息中心內(nèi)部的網(wǎng)絡(luò)設(shè)備拓?fù)浣Y(jié)構(gòu)。 通過本文，相信讀者能夠系統(tǒng) 地掌握中小型園區(qū)網(wǎng)的設(shè)計、 實施以及維護(hù)方法及技巧。 圖 11 校園網(wǎng)網(wǎng)絡(luò)的總體拓?fù)浣Y(jié)構(gòu)在上面的拓?fù)鋱D中，學(xué)校的 6 個主要集中接入點（計算機(jī)系、管理系、建 筑系、 財 務(wù)處、 教 務(wù)處、 學(xué) 生宿舍） 通過冗余的光纖鏈路上連到信息中心的核 心層交換機(jī)上。 整個網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖如圖 12 所示。 園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層 次：訪問層、分布層、核心層。然后通過 VTP 協(xié)議將 VLAN 定義傳播到本管理域中的所有交換 機(jī)上。一般以地理 位置或行政劃分來為交換機(jī)命名 。 如圖 24 所示，設(shè)置登錄交換機(jī)時需要驗證用戶身份，同時設(shè)置口令為 youguess。 圖 26 設(shè)置禁用 IP 地址解析特性設(shè)置啟用消息同步特性 有時，用戶輸入的交換機(jī)配置命令會被交換機(jī)產(chǎn)生的消息打亂。按照 表 21 ，管理 VLAN 所在的子網(wǎng)是： ，這里將訪問層交換機(jī) AccessSwitch1 的管理 IP 地址設(shè)為： 。 圖 210 設(shè)置訪問層交換機(jī) AccessSwitch1 成為 VTP 客戶機(jī) 配 置 訪 問 層 交 換 機(jī) AccessSwitch1 端 口 基 本參數(shù) 端口雙工配置 可以設(shè)定某端口根據(jù)對端設(shè)備雙工類型自動調(diào)整本端口雙工模式，也可以 強(qiáng)制將端口雙工模式設(shè)為半雙工或全雙工模式。 如圖 213 所示，設(shè)置訪問層交換機(jī) AccessSwitch1 的端口 1～端口 10 工作 在訪問（接入）模式。設(shè)置為快速端口的端口當(dāng)交換機(jī)啟 動或端口有工作站接入時 ，將 會直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)， 而不會經(jīng)歷阻塞、 偵聽、 學(xué)習(xí)狀態(tài) （假設(shè)橋接表已經(jīng)建 立）。如圖 217 所示，是訪問層交換機(jī) AccessSwitch2 的連接示意圖。在生成樹的作用下 ，其 中一條上行 鏈路處于轉(zhuǎn)發(fā)狀態(tài)，而另一條上行鏈路 處于阻塞狀態(tài)。 如圖 219 所示，是在訪問層交換機(jī) AccessSwitch1 上啟用 Backbonefast 特 性。這里， 只給出實際的配置步驟，不 再給出具體解釋，如圖 221 所示。同時 ，有關(guān) VLAN 的刪除 、參數(shù)更改操作均可傳播到其他交換機(jī)。 圖 223 設(shè)置 VTP 管理域的域名設(shè)置 VTP 服務(wù)器 工作在 VTP 服務(wù)器模式下的交換機(jī)可以創(chuàng)建 、刪除 VLAN、修 改 VLAN 參 數(shù)。同一 VTP域下的所有其他交換機(jī)也將自動激活 VTP 剪裁功能。如圖 227 所示，給出了對所有訪問端口、主干道 端口的配置步驟和命令。 圖 230 定義到 Internet 的缺省路由 配 置 分 布 層 交 換 機(jī) DistributeSwitch2分布層交換機(jī) DistributeSwitch2 的端口 FastEthernet 0/2FastEthernet 0/24 分別下連到訪問層交換機(jī) AccessSwitch1 的端口 FastEthernet 0/24 以及訪問層交 換機(jī) AccessSwitch2 的端口 FastEthernet 0/24。 本實例中的核心層交換機(jī)采用的是 Cisco Catalyst 4006 交換機(jī)，采用了 Catalyst 4500 Supervisor II Plus（ WSX4013+）作為交換機(jī)引擎 。 圖 235 核心層交換機(jī) CoreSwitch1 的管理 IP、默認(rèn)網(wǎng)關(guān) 配 置 核 心 層 交 換 機(jī) CoreSwitch1 的 的 VLAN 及 VTP在本實例中，核心層交換機(jī) CoreSwitch1 也將作為 VTP 客戶機(jī)。 圖 238 設(shè)置核心層交換機(jī) CoreSwitch1 的千兆以太網(wǎng)信道 配 置 核 心 層 交 換 機(jī) CoreSwitch1 的 路 由 功 能核心層交換機(jī) CoreSwitch1 通過端口 FastEthernet 4/3 同廣域網(wǎng)接入模塊 （ Internet 路由器 ）相連 。這里，不再詳細(xì)分 析。 圖 31 廣域網(wǎng)接入路由器 InternetRouter 配置接入路由器 InternetRouter 的基本參數(shù)對接入路由器 InternetRouter 的基本參數(shù)的配置步驟與對訪問層交換機(jī) AccessSwitch1 的基本參數(shù)的配置類似 。如圖 35所示。 圖 38 為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換為其他工作站定義復(fù)用地址轉(zhuǎn)換 圖 39 顯示了如何為其他工作站定義復(fù)用地址轉(zhuǎn)換。主要應(yīng)該做以下 的 ACL 設(shè)計： 對外屏蔽簡單網(wǎng)管協(xié)議，即 SNMP。 如圖 311 所示，顯示了如何對外屏蔽遠(yuǎn)程登錄協(xié)議 telnet。這時，可以使用 ACCESSCLASS 命令進(jìn)行 VTY 訪問控制。 在本設(shè)計中，由于面對 的用戶群規(guī)模、業(yè)務(wù)量較小，所以 采用了異步撥號連接作為遠(yuǎn)程訪問的技術(shù)手 段。在本設(shè)計中采用了可以集成在廣域網(wǎng)接入路由器 InternetRotuer 中的異步 Mo