已经整理好的WORD格式(
最佳校园工程设计.part1.rar (5.72 MB)
最佳校园工程设计.part1.rar (5.72 MB)
下载次数: 0
售价: 无忧币 2 [记录]
2009-2-20 12:48
最佳校园工程设计.part2)
最佳校园工程设计-某大学校园网设计方案
概述
---- 总设计师:XXX讲师
---- 机构:XX国家重点大学院校
---- 校园占地面积: 146.57万平方米
---- 校舍建筑面积: 1070875.64平方米
---- 教职工人数: 2000
---- 学生总数::1.7万余人
---- 网络面临的挑战: 建立一个可扩展的、高速的、充分冗余的、基于标准的网络,该网络能够支持融合了话音、视频、图像和数据的应用程序。
---- 关键网络系统:Cisco 3640路由器、Cisco Catalyst 2950 24口交换机(WS-C2950-24)、Cisco Catalyst 3550交换机、Cisco Catalyst 4006交换机
---- 网络解决办法: 对校园网系统整体方案设计 对访问层交换机进行配置 对分布层交换机进行配置 对核心层交换机进行配置 对广域网接入路由器进行配置 对远程访问服务器进行配置 对整个校园网系统进行诊断
分析:
路由、交换与远程访问技术不仅仅是思科的CCNP课程及考试的重点。更是现代计算机网络领域中三大支撑技术体系。它们几乎涵盖了一个完整园区网实现的方方面面。常常有学员说无法学以致用,其实,CCNP课程中的每个章节都对应着实际工程中的每个小的案例。只不过,实际工程是各个小案例的综合。在遇到一个实际工程的时候,我们不防采用自顶向下、模块化的方法、参考3层模型来进行工程的设计和实施。
路由技术:
路由协议工作在OSI参考模型的第3层,因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务,利用访问控制列表(Access Control List,ACL),路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本工程案例设计中,内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。
交换技术:
传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了园区网数据交换服务质量,满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网(Virtual LAN,VLAN)的概念。VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(Vlan Trunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的。
园区网数据交换设备可以划分为三个层次:访问层、分布层、核心层。
访问层为所有的终端用户提供一个接入点;
分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能;
核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。
在本工程案例设计中,也将采用这三层进行分开设计、配置。 远程访问技术:远程访问也是园区网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型:专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同,花费也不相同。
企业用户可以根据所需带宽、本地服务可用性、花费等因素综合考虑,选择一种适合企业自身需要的广域网接入方案。)在本工程案例设计中,分别采用专线连接(到因特网)和电路交换(到校园网)两种方式实现远程访问需求。 作为一个较为完整的园区网实现,路由、交换与远程访问技术缺一不可。在后面的内容中,我们将就每一技术领域的常用技术的实现进行详细的讨论。通过本书后面章节的学习,相信读者能够系统地掌握园区网的设计、实施以及维护技巧。
一 系统总体设计方案概述
为了阐明主要问题,在本设计方案中对实际校园网的设计进行了适当和必要的简化。同时,将重点放在网络主干的设计上,对于服务器的架设只作简单介绍。
1.1 系统组成与拓扑结构
为了实现网络设备的统一,本设计方案中完全采用同一厂家的网络产品,即Cisco公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。 本校园网设计方案主要由以下四大部分构成:交换模块、广域网接入模块、远程访问模块、服务器群。整个网络系统的拓扑结构图如图1-1所示。在后面的几节中我们将根据此图分块进行介绍。
图1-1 校园网整体拓扑结构图
1.2 VLAN及IP地址规划
整个校园网中VLAN及IP编址方案如表所示。
表1-1 VLAN及IP编址方案
除了表中的内容外,拨号用户从192.168.200.0/27中动态取得IP地址。
为了简化起见,这里我们只规划了8个VLAN,同时为每个VLAN定义了一个由拼音缩写组成的VLAN名称。
二 交换模块设计
为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的。
园区网数据交换设备可以划分为三个层次:访问层、分布层、核心层。 传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了园区网数据交换服务质量,满足了不同类型网络应用程序的需要。
现代交换网络还引入了虚拟局域网(Virtual LAN,VLAN)的概念。VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。
当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(VlanTrunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。
当园区网络的交换机数量增多、交换机间链路增加时,交换网络的复杂性可能会造成交换环路问题,这需要通过在各交换机上运行生成树协议(Spanning Tree Protocol,STP)来解决。
一个好的校园网设计应该是一个分层的设计。一般分为三层设计模型。
2.1 访问层交换服务的实现-配置访问层交换机
访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的是Cisco Catalyst 2950 24口交换机(WS-C2950-24)。交换机拥有24个10/100Mbps自适应快速以太网端口,运行的是Cisco的IOS操作系统。我们以图1-1中的访问层交换机AccessSwitch1为例进行介绍。如图2-1所示,
图2-1 访问层交换机AccessSwitch1
1.配置访问层交换机AccessSwitch1的基本参数
(1)设置交换机名称
设置交换机名称,也就是出现在交换机CLI提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要Telnet登录到若干台交换机以维护一个大型网络时,通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。 如图2-2所示,为访问层交换机AccessSwitch1命名。
图2-2 为访问层交换机AccessSwitch1命名
(2)设置交换机的加密使能口令
当用户在普通用户模式而想要进入特权用户模式时,需要提供此口令。此口令会以MD5的形式加密,因此,当用户查看配置文件时,无法看到明文形式的口令。 如图2-2所示,将交换机的加密使能口令设置为secretpasswd。
图2-3 为交换机设置加密使能口令
(3)设置登录虚拟终端线时的口令
对于一个已经运行着的交换网络来说,交换机的带内远程管理为网络管理人员提供了很多的方便。但是,处于安全考虑,在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。
如图2-2所示,设置登录交换机时需要验证用户身份,同时设置口令为youguess。
图2-2 为访问层交换机AccessSwitch1命名
(4)设置终端线超时时间
为了安全考虑,可以设置终端线超时时间。在设置的时间内,如果没有检测到键盘输入,IOS将断开用户和交换机之间的连接。
如图2-2所示,设置登录交换机的控制台终端线路及虚拟终端线的超时时间为5分30秒钟。
图2-2 设置控制台终端线路和虚拟终端线路的超时时间
(5)设置禁用IP地址解析特性
在交换机默认配置的情况下,当我们输入一条错误的交换机命令时,交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用命令no ip domain-lookup。可以禁用这个特性 如图2-2所示,设置禁用IP地址解析特性。
图2-3 设置禁用IP地址解析特性
(6)设置启用消息同步特性
有时,用户输入的交换机配置命令会被交换机产生的消息打乱。可以使用命令logging synchronous设置交换机在下一行CLI提示符后复制用户的输入。 如图2-2所示,设置启用消息同步特性。
图2-3 设置启用消息同步特性
2.配置访问层交换机AccessSwitch1的管理IP、默认网关
访问层交换机是OSI参考模型的第2层设备,即数据链路层的设备。因此,给访问层交换机的每个端口设置IP地址是没意义的。但是,为了使网络管理人员可以从远程登录到访问层交换机上进行管理,必要给访问层交换机设置一个管理用IP地址。
这种情况下,实际上是将交换机看成和PC机一样的主机。 给交换机设置管理用IP地址只能在VLAN1,即本征VLAN中进行。
按照表1-1,管理VLAN所在的子网是:192.168.0.0/24,这里将访问层交换机AccessSwitch1的管理IP地址设为:192.168.0.5/24
如图2-3所示,显示了为访问层交换机AccessSwitch1设置管理IP并激活本征VLAN。
图2-2 设置访问层交换机AccessSwitch1的管理IP
为了使网络管理人员可以在不同的子网管理此交换机,还应设置默认网关地址192.168.0.254。如图所示。
图2-2 设置访问层交换机AccessSwitch1的默认网关地址
3.配置访问层交换机AccessSwitch1的VLAN及VTP
从提高效率的角度出发,在本校园网实现实例中使用了VTP技术。同时,将分布层交换机DistributeSwitch1设置成为VTP服务器,其他交换机设置成为VTP客户机。 这里访问层交换机AccessSwitch1将通过VTP获得在分布层交换机DistributeSwitch1中定义的所有VLAN的信息。
如图所示,设置访问层交换机AccessSwitch1成为VTP客户机。
图2-2 设置访问层交换机AccessSwitch1成为VTP客户机
4.配置访问层交换机AccessSwitch1端口基本参数
(1)端口双工配置
可以设定某端口根据对端设备双工类型自动调整本端口双工模式,也可以强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情况下,建议手动设置端口双工模式。
如图所示,设置访问层交换机AccessSwitch1的所有端口均工作在全双工模式。
图2-2 设置访问层交换机AccessSwitch1的端口工作模式
(2)端口速度
可以设定某端口根据对端设备速度自动调整本端口速度,也可以强制将端口速度设为10Mpbs或100Mbps。在了解对端设备速度的情况下,建议手动设置端口速度。
如图所示,设置访问层交换机AccessSwitch1的所有端口的速度均为100Mbps。
图2-4 设置访问层交换机AccessSwitch1的端口速度
5.配置访问层交换机AccessSwitch1的访问端口
访问层交换机AccessSwitch1为终端用户提供接入服务。在图中,访问层交换机AccessSwitch1为VLAN10、VLAN20提供接入服务。
(1)设置访问层交换机AccessSwitch1的端口1~10
如图所示,设置访问层交换机AccessSwitch1的端口1~端口10工作在访问(接入)模式。同时,设置端口1~端口10为VLAN 10的成员。
图2-2 设置访问层交换机AccessSwitch1的端口1~10
(2)设置访问层交换机AccessSwitch1的端口11~20
如图所示,设置访问层交换机AccessSwitch1的端口11~端口20工作在访问(接入)模式。同时,设置端口1~端口10为VLAN 20的成员。
图2-2 设置访问层交换机AccessSwitch1的端口11~20
(3)设置快速端口
默认情况下,交换机在刚加电启动时,每个端口都要经历生成树的四个阶段:阻塞、侦听、学习、转发。在能够转发用户的数据包之前,某个端口可能最多要等50秒钟的时间(20秒的阻塞时间+15秒的侦听延迟时间+15秒的学习延迟时间)。
对于直接接入终端工作站的端口来说,用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间,可以设置将某端口设置成为快速端口(Portfast)。设置为快速端口的端口当交换机启动或端口有工作站接入时,将会直接进入转发状态,而不会经历阻塞、侦听、学习状态(假设桥接表已经建立)。
如图所示,设置访问层交换机AccessSwitch1的端口1~端口20为快速端口。
图2-2 设置快速端口
6.配置访问层交换机AccessSwitch1的主干道端口
如图所示,访问层交换机AccessSwitch1通过端口FastEthernet 0/23上连到分布层交换机DistributeSwitch1的端口FastEthernet 0/23。同时,访问层交换机AccessSwitch1还通过端口FastEthernet 0/24上连到分布层交换机DistributeSwitch2的端口FastEthernet 0/23。
这两条上连链路将成为主干道链路,在这两条上连链路上将运输多个VLAN的数据。
如图所示,设置访问层交换机AccessSwitch1的端口FastEthernet 0/23、FastEthernet 0/24为主干道端口。
图2-2 设置主干道端口 Switch(config)#spanning-tree uplinkfast
7.配置访问层交换机AccessSwitch2
访问层交换机AccessSwitch2为VLAN 30和VLAN 40的用户提供接入服务。同时,分别通过自己的FastEthernet 0/23 、FastEthernet 0/24上连到分布层交换机DistributeSwitch1、DistributeSwitch2的端口FastEthernet 0/24。
如图所示,是访问层交换机AccessSwitch2的连接示意图。
图2-2 访问层交换机AccessSwitch2的连接示意图
对访问层交换机AccessSwitch2的配置步骤、命令和对访问层交换机AccessSwitch1的配置类似。这里,不再详细分析,只给出最后的配置文件内容(只留下了必要的命令)。 需要指出的是,为了提供主干道的吞吐量,可以采用链路捆绑(快速以太网信道)技术增加可用带宽。例如,可以将访问层交换机AccessSwitch1的端口FastEthernet 0/21 和FastEthernet 0/22捆绑在一起实现200Mbps的快速以太网信道,然后再上连到分布层交换机DistributeSwitch1。同样,也可以将访问层交换机AccessSwitch1的端口FastEthernet 0/23 和FastEthernet 0/24捆绑在一起实现200Mbps的快速以太网信道,然后再上连到分布层交换机DistributeSwitch2。具体的配置步骤和命令我们将在核心层交换机的配置一节中进行介绍。
8.访问层交换机的其它可选配置
(1)Uplinkfast 访问层交换机AccessSwitch1通过两条冗余上行链路分别接入分布层交换机DistributeSwitch1和、DistributeSwitch2。在生成树的作用下,其中一条上行链路处于转发状态,而另一条上行链路处于阻塞状态。当处于转发状态的链路因故障断开后,经过大约50秒钟的时间,处于阻塞状态的链路才能替代故障链路工作。
Uplinkfast特性可以使得当主上行链路失败后,处于阻塞状态的上行链路(备份上行链路)可以立即启用。 如图所示,是在访问层交换机AccessSwitch1上启用Uplinkfast特性。同样的步骤也可以在访问层交换机AccessSwitch2上进行配置。
图2-2 启用Uplinkfast特性
注意,Uplinkfast特性只能在访问层交换机上启用。
(2)Backbonefast Backbonefast的作用与Uplinkfast类似,也用于加快生成树的收敛。所不同的是,Backbonefast可以检测到间接链路(非直连链路)故障并立即使得相应阻塞端口的最大寿命计时器到时,从而缩短该端口可以开始转发数据包的时间。
如图所示,是在访问层交换机AccessSwitch1上启用Backbonefast特性。同样的步骤需要在网络中的所有交换机上进行配置。
图2-2 启用Backbonefast特性
注意,Backbonefast特性需要在网络中所有交换机上进行配置。
2.2 分布层交换服务的实现-配置分布层交换机
分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能。 这里的分布层交换机采用的是Cisco Catalyst 3550交换机。
作为3层交换机,Cisco Catalyst 3550交换机拥有24个10/100Mbps自适应快速以太网端口,同时还有2个1000Mbps的GBIC端口供上连使用,运行的是Cisco的Integrated IOS操作系统。
我们以图1-1中的分布层交换机DistributeSwitch1为例进行介绍。
如图2-1所示:
图2-1 分布层交换机DistributeSwitch1
1.配置分布层交换机DistributeSwitch1的基本参数
对分布层交换机DistributeSwitch1的基本参数的配置步骤与对访问层交换机AccessSwitch1的基本参数的配置类似。这里,只给出实际的配置步骤,不再给出解释。
图2-1 配置分布层交换机DistributeSwitch1的基本参数
2.配置分布层交换机DistributeSwitch1的管理IP、默认网关
如图2-3所示,显示了为分布层交换机DistributeSwitch1设置管理IP并激活本征VLAN。同时,还设置了默认网关的地址。
图2-2 分布层交换机DistributeSwitch1的管理IP、默认网关
3.配置分布层交换机DistributeSwitch1的VTP
当网络中交换机数量很多时,需要分别在每台交换机上创建很多重复的VLAN。工作量很大、过程很繁琐,并且容易出错。我们常采用VLAN中继协议(Vlan Trunking Protocol,VTP)来解决这个问题。
VTP允许我们在一台交换机上创建所有的VLAN。然后,利用交换机之间的互相学习功能,将创建好的VLAN定义传播到整个网络中需要此VLAN定义的所有交换机上。同时,有关VLAN的删除、参数更改操作均可传播到其他交换机。从而大大减轻了网络管理人员配置交换机负担。
在本校园网实现实例中使用了VTP技术。同时,将分布层交换机DistributeSwitch1设置成为VTP服务器,其他交换机设置成为VTP客户机。
(1)配置VTP管理域
共享相同VLAN定义数据库的交换机构成一个VTP管理域。每一个VTP管理域都有一个共同的VTP管理域域名。不同VTP管理域的交换机之间不交换VTP通告信息。 如图9-4-2所示,将VTP管理域的域名定义为"nciae"。
图2-2 设置VTP管理域的域名
(2)设置VTP服务器
工作在VTP服务器模式下的交换机可以创建、删除VLAN、修改VLAN参数。同时,还有责任发送和转发VLAN更新消息。 如图所示,设置分布层交换机DistributeSwitch1成为VTP服务器。
图2-2 设置分布层交换机DistributeSwitch1成为VTP服务器
(3)激活VTP剪裁功能
默认情况下主干道传输所有VLAN的用户数据。有时,交换网络中某台交换机的所有端口都属于同一VLAN的成员,没有必要接收其他VLAN的用户数据。这时,可以激活主干道上的VTP剪裁功能。当激活了VTP剪裁功能以后,交换机将自动剪裁本交换机没有定义的VLAN数据。 在一个VTP域下,只需要在VTP服务器上激活VTP剪裁功能。同一VTP域下的所有其他交换机也将自动激活VTP剪裁功能。
如图所示,设置激活VTP剪裁功能。
图2-2 激活VTP剪裁功能
4.在分布层交换机DistributeSwitch1上定义VLAN
在本校园网实现实例中,除了默认的本征VLAN外,又定义了8个VLAN,如表1-1所示。
由于使用了VTP技术,所以所有VLAN的定义只需要在VTP服务器,即分布层交换机DistributeSwitch1上进行。 如图所示,定义了8个VLAN,同时为每个VLAN命名。
图2-1 定义VLAN
5.配置分布层交换机DistributeSwitch1的端口基本参数
分布层交换机DistributeSwitch1的端口FastEthernet 0/1~FastEthernet 0/10为服务器群提供接入服务,而端口FastEthernet 0/23、FastEthernet 0/24分别下连到访问层交换机AccessSwitch1的端口FastEthernet 0/23以及访问层交换机AccessSwitch2的端口FastEthernet 0/23。
此外,分布层交换机DistributeSwitch1还通过自己的千兆端口GigabitEthernet 0/1上连到核心交换机CoreSwitch1的GigabitEthernet 3/1。
为了实现冗余设计,分布层交换机DistributeSwitch1还通过自己的千兆端口GigabitEthernet 0/2连接另一台到分布层交换机DistributeSwitch2的GigabitEthernet 0/2。 如图所示,给出了对所有访问端口、主干道端口的配置步骤和命令。
图2-2 设置分布层交换机DistributeSwitch1的各端口参数
6.配置分布层交换机DistributeSwitch1的3层交换功能
分布层交换机DistributeSwitch1需要为网络中的各个VLAN提供路由功能。这需要首先启用分布层交换机的路由功能。如图所示。
图2-2 启用路由功能
接下来,需要为每个VLAN定义自己的默认网关地址,如图所示。
图2-2 定义各VLAN的默认网关地址
此外,还需要定义通往Internet的路由。这里使用了一条缺省路由命令,如图所示。其中,下一跳地址是Internet接入路由器的快速以太网接口FastEthernet 0/0的IP地址。
图2-2 定义到Internet的缺省路由
7.配置分布层交换机DistributeSwitch2
分布层交换机DistributeSwitch2的端口FastEthernet 0/23、FastEthernet 0/24分别下连到访问层交换机AccessSwitch1的端口FastEthernet 0/24以及访问层交换机AccessSwitch2的端口FastEthernet 0/24。
此外,分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet 0/1上连到核心交换机CoreSwitch1的GigabitEthernet 3/2。
为了实现冗余设计,分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet 0/2连接到分布层交换机DistributeSwitch1的GigabitEthernet 0/2。如图所示。
图2-1 分布层交换机DistributeSwitch2
对分布层交换机DistributeSwitch2的配置步骤、命令和对分布层交换机DistributeSwitch1的配置类似。这里,不再详细分析。
8.其它配置
为了实现对无类别网络(Classless Network)以及全零子网(Subnet-zero)的支持,在充当3层交换机的分布层交换机DistributeSwitch1,还需要进行适当的配置,如图所示。
图2-2 定义对无类别网络以及全零子网的支持
9.1.2 系统硬件、软件选型及版本
2.3 核心层交换服务的实现-配置核心层交换机
核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。 本实例中的核心层交换机采用的是Cisco Catalyst 4006交换机,采用了Catalyst 4500 Supervisor II Plus(WS-X4013+)作为交换机引擎。运行的是Cisco的Integrated IOS操作系统,操作系统版本号是,。
在作为核心层交换机的Cisco Catalyst 4006交换机中,安装了WS-X4306-GB(Catalyst 4000 Gigabit Ethernet Module, 6-Ports (GBIC))模块,该模块提供了5个千兆光纤上连接口,可以用来接入WS-G5484(1000BASE-SX Short Wavelength GBIC (Multimode .ly))。我们以图1-1中的核心层交换机CoreSwitch1为例进行介绍。如图2-1所示
1.配置核心层交换机CoreSwitch1的基本参数
对核心层交换机CoreSwitch1的基本参数的配置步骤与对访问层交换机AccessSwitch1的基本参数的配置类似。这里,只给出实际的配置步骤,不再给出解释。
图2-1 配置核心层交换机CoreSwitch1的基本参数
2.配置核心层交换机CoreSwitch1的管理IP、默认网关
如图2-3所示,显示了为核心层交换机CoreSwitch1设置管理IP并激活本征VLAN。同时,还设置了默认网关的地址。
图2-2 核心层交换机CoreSwitch1的管理IP、默认网关
3.配置核心层交换机
CoreSwitch1的的VLAN及VTP 在本实例中,核心层交换机CoreSwitch1也将作为VTP客户机。 这里核心层交换机CoreSwitch1将通过VTP获得在分布层交换机DistributeSwitch1中定义的所有VLAN的信息。
如图所示,设置核心层交换机CoreSwitch1成为VTP客户机。
图2-2 设置核心层交换机CoreSwitch1成为VTP客户机
4.配置核心层交换机
CoreSwitch1的端口参数 核心层交换机CoreSwitch1通过自己的端口FastEthernet 4/3同广域网接入模块(Internet路由器)相连。同时,核心层交换机CoreSwitch1的端口GigabitEthernet 3/1~GigabitEthernet 3/2分别下连到分布层交换机DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 0/1。
如图所示,给出了对上述端口的配置命令。
图2-2 设置核心层交换机CoreSwitch1的各端口参数
此外,为了提供主干道的吞吐量以及实现冗余设计,在本设计中,将核心层交换机CoreSwitch1的千兆端口GigabitEthernet 2/1、GigabitEthernet 2/2捆绑在一起实现2000Mbps的千兆以太网信道,然后再连接到另一台核心层交换机CoreSwitch2。 如图所示,是设置核心层交换机CoreSwitch1的千兆以太网信道的步骤。
图2-2 设置核心层交换机CoreSwitch1的千兆以太网信道
5.配置核心层交换机CoreSwitch1的路由功能
核心层交换机CoreSwitch1通过端口FastEthernet 4/3同广域网接入模块(Internet路由器)相连。因此,需要启用核心层交换机的路由功能。同时,还需要定义通往Internet的路由。这里使用了一条缺省路由命令.
如图所示,其中,下一跳地址是Internet接入路由
器的快速以太网接口FastEthernet 0/0的IP地址。
图2-2 定义到Internet的缺省路由如图所示。
6.其它配置
为了实现对无类别网络(Classless Network)以及全零子网(Subnet-zero)的支持,在充当3层交换机的核心层交换机CoreSwitch1,还需要进行适当的配置,如图所示。
图2-2 定义对无类别网络以及全零子网的支持
7.核心层交换机CoreSwitch2的配置
对于图1-1-中的核心层交换机CoreSwitch2的配置步骤、命令和对核心层交换机CoreSwitch1的配置类似。这里,不再详细分析。
同时,对于配置核心层交换机CoreSwitch2下连的一系列交换机,其连接方法以及配置步骤和命令同图1-1-中核心层交换机CoreSwitch1下连的一系列交换机的连接方法以及配置步骤和命令类似。这里,也不再赘述。
三 广域网接入模块设计
在本设计中,广域网接入模块的功能是由广域网接入路由器InternetRouter来完成的。采用的是Cisco的3640路由器。
它通过自己的串行接口serial 0/0使用DDN(128K)技术接入Internet。它的作用主要是在Internet和校园网内网间路由数据包。
除了完成主要的路由任务外,利用访问控制列表(Access Control List,ACL),广域网接入路由器InternetRouter还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。
图3-1
3.1 配置接入路由器InternetRouter的基本参数
对接入路由器InternetRouter的基本参数的配置步骤与对访问层交换机AccessSwitch1的基本参数的配置类似。这里,只给出实际的配置步骤,不再给出解释。
图2-1 配置接入路由器InternetRouter的基本参数
3.2 配置接入路由器InternetRouter的各接口参数
对接入路由器InternetRouter的各接口参数的配置主要是对接口FastEthernet 0/0以及接口Serial 0/0的IP地址、子网掩码的配置。 如图2-3所示,显示了为接入路由器InternetRouter的各接口设置IP地址、子网掩码。
图2-2 接入路由器InternetRouter的管理IP、默认网关
3.3 配置接入路由器InternetRouter的路由功能
在接入路由器InternetRouter上需要定义两个方向上的路由:到校园网内部的静态路由以及到Internet上的缺省路由。 到Internet上的路由需要定义一条缺省路由,如图所示。
其中,下一跳指定从本路由器的接口serial 0/0送出。
图2-2 定义到Internet的缺省路由
到校园网内部的路由条目可以经过路由汇总后形成两条路由条目。如图所示。
图2-2 定义到校园网内部的路由
3.4 配置接入路由器InternetRouter上的NAT
由于目前IP地址资源非常稀缺,对不可能给校园网内部的所有工作站都分配一个公有IP(Internet可路由的)地址。为了解决所有工作站访问Internet的需要,必须使用NAT(网络地址转换)技术。
为了接入Internet,本校园网向当地ISP申请了9个IP地址。其中一个IP地址:193.1.1.1被分配给了Internet接入路由器的串行接口,另外8个IP地址:202.206.222.1~202.206.222.8用作NAT。
NAT的配置可以分为以下几个步骤。
(1)定义NAT内部、外部接口 图3-3显示了如何定义NAT内部、外部接口。
图2-1 定义NAT内部、外部接口
(2)定义允许进行NAT的内部局部IP地址范围 图3-3显示了如何定义允许进行NAT的内部局部IP地址范围。
图2-2 定义内部局部IP地址范围
(3)为服务器定义静态地址转换
图3-3显示了如何为服务器定义静态地址转换。
图2-1 为服务器定义静态地址转换
(4)为其他工作站定义复用地址转换
图3-3显示了如何为其他工作站定义复用地址转换。
图2-1 为工作站定义复用地址转换
3.5 配置接入路由器InternetRouter上的ACL
路由器是外网进入校园网内网的第一道关卡,是网络防御的前沿阵地。路由器上的访问控制列表(Access Control List,ACL)是保护内网安全的有效手段。
一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。
由于路由器介于企业内网和外网之间,是外网与内网进行通信时的第一道屏障,所以即使在网络系统安装了防火墙产品后,仍然有必要对路由器的访问控制列表进行缜密的设计,来对企业内网包括防火墙本身实施保护。
这里,在本实例中,我们将针对服务器以及内网工作站的安全给出广域网接入路由器InternetRouter上ACL的配置方案。
在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该做以下的ACL设计:
(1)对外屏蔽简单网管协议,即SNMP。
利用这个协议,远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型:SNMP和SNMPTRAP。 如图所示,显示了如何设置对外屏蔽简单网管协议SNMP。
图2-1 对外屏蔽简单网管协议SNMP
(2)对外屏蔽远程登录协议telnet
首先,telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的,很容易被网络上的非法协议分析设备截获。其次,telnet可以登录到大多数网络设备和UNIX服务器,并可以使用相关命令完全操纵它们。这是极其危险的,因此必须加以屏蔽。 如图所示,显示了如何对外屏蔽远程登录协议telnet
图2-1 对外屏蔽远程登录协议telnet
(3)对外屏蔽其它不安全的协议或服务
这样的协议主要有SUN OS的文件共享协议端口2049,远程执行(rsh)、远程登录(rlogin)和远程命令(rcmd)端口512、513、514,远程过程调用(SUNRPC)端口111。
可以将针对以上协议综合进行设计,如图所示。
图2-1 对外屏蔽其它不安全的协议或服务
(4)针对DoS攻击的设计 DoS攻击
(Denial of Service Attack,拒绝服务攻击)是一种非常常见而且极具破坏力的攻击手段,它可以导致服务器、网络设备的正常服务进程停止,严重时会导致服务器操作系统崩溃。
图显示了如何设计针对常见DoS攻击的ACL
图2-1 针对DoS攻击的设计
(5)保护路由器自身安全
作为内网、外网间屏障的路由器,保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器,必须对路由器的访问位置加以限制。 应只允许来自服务器群的IP地址访问并配置路由器。这时,可以使用ACCESS-CLASS命令进行VTY访问控制。如图所示。
图2-1 保护路由器自身安全 3.6 其它配置
为了实现对无类别网络(Classless Network)以及全零子网(Subnet-zero)的支持,在充当3层交换机的核心层交换机CoreSwitch1,还需要进行适当的配置,如图所示。
图2-2 定义对无类别网络以及全零子网的支持
四 远程访问模块设计
远程访问也是园区网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。如图4-1所示。
图4-1 远程访问服务 远程访问有三种可选的服务类型:专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同,花费也不相同。
在本设计中,由于面对的用户群规模、业务量较小,所以采用了异步拨号连接作为远程访问的技术手段。
异步拨号连接属于电路交换类型的广域网连接,它是在传统公共交换电话网(Public Switched Telephone Network,PSTN)上提供服务的。
传统PSTN提供的服务也被称为简易老式电话业务(Plan Old Telephone System,POTS)。因为目前存在着大量安装好的电话线,所以这样的环境是最容易满足的。因此,异步拨号连接也就成为最为方便和普遍的远程访问类型。
广域网连接可以采用不同类型的封装协议,如HDLC、PPP等。其中,PPP除了提供身份认证功能外,还可以提供其他很多可选项配置,包括链路压缩、多链路捆绑、回叫等,因此更具优势。也是本设计所采用的异步连接封装协议。
在本设计中采用了可以集成在广域网接入路由器InternetRotuer中的异步Modem模块NM-16AM(8Port Analog Modem Network Module)提供远程访问服务。它可以同时对最多16路拨号用户提供远程接入服务。 以下介绍一下配置异步拨号模块NM-16AM的步骤。
1.配置物理线路的基本参数
对物理线路的配置包括配置线路速度(DTE、DCE之间的速率)、停止位位数、流控方式、允许呼入连接的协议类型、允许流量的方向等。 如图所示,是对以上参数进行配置。
图2-1 保护路由器自身安全
2.配置接口基本参数
对接口基本参数的配置包括:接口封装协议类型、接口异步模式、IP地址、为远程客户分配IP地址的方式等。这里,设置远程客户从IP地址池rasclients中获得IP地址。
图2-1 配置接口基本参数
接下来,需要建立一个本地的IP地址池。如下所示,建立了一个名为rasclients的IP地址池。其IP地址范围是:192.168.200.1~192.168.200.16。
图2-1 指定IP地址池
3.配置身份认证
PPP提供了两种可选的身份认证方法:口令验证协议PAP(Password Authentication Protocol,PAP)和质询握手协议(Challenge Handshake Authentication Protocol,CHAP)。
PAP是一个简单的、实用的身份验证协议。PAP认证进程只在双方的通信链路建立初期进行。如果认证成功,在通信过程中不再进行认证。如果认证失败,则直接释放链路。
CHAP认证比PAP认证更安全,因为CHAP不在线路上发送明文密码,而是发送经过
摘要算法加工过的随机序列,也被称为"挑战字符串"。如图14-1-5所示。
同时,身份认证可以随时进行,包括在双方正常通信过程中。因此,非法用户就算截获并成功破解了一次密码,此密码也将在一段时间内失效。
CHAP对端系统要求很高,因为需要多次进行身份质询、响应。这需要耗费较多的CPU资源,因此只用在对安全要求很高的场合。
PAP虽然有着用户名和密码是明文发送的弱点,但是认证只在链路建立初期进行,因此节省了宝贵的链路带宽。 本设计中将采用PAP身份认证方法。
(1)建立本地口令数据库 如图所示建立本地口令数据库。
图2-2 建立本地口令数据库
(2)设置进行PAP认证
图2-2 建立本地口令数据库
五 服务器模块设计
服务器模块用来对校园网的接入用户提供各种服务。在本设计方案中,所有的服务器被集中到VLAN 100构成服务器群并通过分别层交换机DistributeSwitch1的端口fastethernet 1~20接入校园网。如图所示。
图5-1 服务器群
校园网提供的常见的服务(服务器)包括: WEB服务器:提供WEB网站服务。 DNS、目录服务器:提供域名解析以及目录服务。
FTP、文件服务器:提供文件传输、共享服务。
邮件服务器:提供邮件收发服务。 数据库服务器:提供各种数据库服务。
打印服务器:提供打印机共享服务。
实时通信服务器:提供实时通信服务。
流媒体服务器:提供各种流媒体播放、点播服务。
网管服务器:对校园网网络设备进行综合管理。
如图所示。显示了各服务器IP地址配置情况。
图4-5-1 "标准ACL"实验环境
表给出了所有的服务器硬件平台、操作系统以及服务软件的选型表。
表1-1 VLAN及IP编址方案
限于篇幅,对于各种服务器的安装、配置步骤以及运行维护方法,这里不再赘述,感兴趣的读者可以参看有关参考书。
六 总结(其他、测试)
6.1 系统测试
前面几节中,我们对如何设计一个较为完整的校园网网络进行了详细的介绍。当校园网初具规模后,还应该对校园网的整体运行情况做一下细致的测试和评估。
主要的测试内容应该包括:
对管理IP地址的测试。
对相同VLAN内的通信进行测试。
对不同VLAN内的通信进行测试。
对冗余链路的工作状态进行测试。
对广域网接入路由器上的NAT进行测试。
对广域网接入路由器上的ACL进行测试。
对远程访问服务进行测试。
对各种服务器提供的服务进行测试。
至于具体的测试步骤,限于篇幅这里不再赘述。 需要说明的是,一个完整的校园网网络系统设计不仅包含上述设备,还应该有计费系统、防火墙系统、入侵检测系统等组成部分。限于篇幅,在此不做介绍,感兴趣的读者可以参看有关的参考书。
6.2 相关测试、诊断命令
在本章的最后,我们按不同的功能按每种技术分类,给出相关的测试、诊断命令列表同
时还给出了命令的作用。
1.通用测试、诊断命令
(1)ping x.x.x.x 标准ping
命令。用于测试设备间的物理连通性。
(2)ping x.x.x.x 扩展ping
命令。用于测试设备间的物理连通性。扩展ping命令还支持灵活定义ping参数,如ping数据包的大小,发送包的个数,等待响应数据包的超时时间等。
(3)traceroute x.x.x.x
命令traceroute用于跟踪、显示路由信息。
(4)show running-config
命令show running-config用于显示路由器、交换机运行配置文件的内容。
(5)show startup-config
命令show startup-config用于显示路由器、交换机启动配置文件的内容。
(6)show sessions
命令show sessions用于显示从当前设备发出的所有呼出Telnet会话。
(7)disconnect
命令disconnect用于断开与远程目标主机的Telnet会话。
(8)show users
命令show users用于查看呼入Telnet会话情况。
(9)clear line
命令clear line用于断开远程主机的呼入Telnet连接。
(10)shutdown
命令shutdown用于临时将某个接口关闭。
(11)no shutdown
命令no shutdown用于手动启动(激活)处于管理性关闭的接口。
(12)show arp
命令show arp用于显示ARP缓存(ARP表)的内容。
(13)show ip arp
命令show ip arp用于显示IP ARP缓存(ARP表)的内容。
(14)show interfaces
命令show interface用于显示各接口的状态及参数信息。
(15)show ip interface
命令show ip interface用于显示IP接口的状态及配置信息。
(16)show version
命令show version用于显示路由器硬件配置、软件版本等信息。
(17)Ctrl+Shift+6+x
该命令也被称为"退出序列",用于终止正在执行的某条命令或操作,也用于从呼出Telnet会话中暂时切换到本地连接。
(18)dir flash:
命令dir flash:用于显示闪存中的文件清单。
(19)dir nvram:
命令dir nvram:用于显示非易失性内存中的文件清单。
(20)show debugging
命令show debugging用于显示正在进行的诊断过程清单。
(21)undebug all
命令undebug all用于停止所有诊断过程。
2.CDP测试、诊断命令
(1)show cdp
命令show cdp用于显示CDP全局参数信息。
(2)show cdp neighbors
命令show cdp neighbors用于显示CDP邻居设备的摘要信息。
(3)show cdp neighbors detail
命令show cdp neighbors detail用于显示CDP邻居设备的详细信息,包括:邻居设备名称、邻居设备接口IP地址、邻居设备软件版本信息、设备性能、设备平台、本地设备接口、邻居设备接口、CDP缓存条目保持时间、CDP广播版本、接口双工方式等。
(4)show cdp entry
命令show cdp entry用于显示指定邻居设备的相关信息。
(5)show cdp interface
命令show cdp interface用于显示本地设备各个接口的状态、接口封装格式、CDP包的周期发送时间以及CDP保持时间等。
(6)show cdp traffic
命令show cdp traffic用于显示和CDP相关的流量统计信息,包括接收和发送的CDP包数量、包括头部错误、校验错误、封装错误等在内的错误数量等。
3.路由和路由协议测试、诊断命令
(1)show ip route
命令show ip route用于显示当前路由表内容。
(2)show ip protocols
命令show ip protocols用于显示动态路由协议的配置参数信息。
4.VLAN、VTP测试、诊断命令
(1)show interface vlan vlan-num
命令show interface vlan vlan-num用于显示VLAN是否已激活、交换机MAC基地址、接口参数等。
(2)show mac-address-table
命令show mac-address-table用于显示CAM,即桥接表的内容。该命令可列出学习到的主机MAC地址及其所属VLAN、所处端口、条目类型(静态STATIC、动态DYNAMIC等)以及满足列表条件的MAC地址数目。
(3)show vlan
命令show vlan用于查看VLAN创建情况。该命令可以显示系统所有的VLAN信息,包括VLAN编号、VLAN名称、VLAN状态、VLAN成员等信息。
(4)show vtp status
命令show vtp status用于检查VTP配置情况。
5.生成树测试、诊断命令
(1)show spanning-tree
命令show spanning-tree用于显示生成树协议中交换机及其端口的情况。
(2)show spanning-tree blockedports
命令show spanning-tree blockedports用于显示处于阻塞状态的端口。
(3)show spanning-tree detail
命令show spanning-tree detail用于显示生成树详细信息。
(4)show spanning-tree interface
命令show spanning-tree interface用于显示生成树中某端口相关状态。
(5)show spanning-tree vlan
当有多个VLAN时,Catalyst交换机会为每个VLAN运行一个生成树实例。此命令用于显示指定VLAN的生成树内容。
(6)show spanning-tree summary
命令show spanning-tree summary用于显示生成树总结,包括本交换机是哪些VLAN的根网桥、端口快速特性是否启用、处于生成树各个端口状态的端口数量等信息。
6.NAT测试、诊断命令
(1)show ip nat translation
命令show ip nat translation用于显示并观察当前正在进行的NAT情况。
(2)show ip nat translation verbose
命令show ip nat translation verbose用于显示并观察当前正在进行的NAT更为详细的情况。
(3)show ip nat statistics
命令show ip nat statistics用于显示NAT运行情况统计。
(4)debug ip nat
命令debug ip nat用于打开对NAT的诊断。
7.ACL测试、诊断命令
(1)show access-lists
命令show access-lists用于显示所有已定义的访问控制列表内容及命中情况。
(2)show ip access-lists
命令show ip access-lists用于显示所有已定义的IP访问控制列表内容及命中情况。
8.远程访问测试、诊断命令
(1)show line
命令show line用于当前系统所有的线路及其状态。
(2)show modemcap
命令show modemcap用于显示了当前路由器可以自动配置的Modem列表。
(3)debug ppp negotiation
命令debug ppp negotiation用于打开对PPP协议参数协商的诊断。
(4)debug ppp authentication
命令debug ppp authentication用于打开对PPP身份认证过程的诊断。
[/img]..
[b]图(一)[/b]
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
OSI目录 
社区:
