信息工程學(xué)院 畢業(yè)設(shè)計 校園網(wǎng)的設(shè)計與實施 專 業(yè)：網(wǎng)絡(luò)工程 班 級： 學(xué) 號： 學(xué)生姓名： 校外指導(dǎo)教師： 校內(nèi)指導(dǎo)教師： 二零一零 年 十 月 1 目錄 前言 .1 第一章 需求分析 .3 第二章 網(wǎng)絡(luò)規(guī)劃 .7 一 拓?fù)湓O(shè)計與設(shè)計原則 .7 1.實用性和經(jīng)濟(jì)性 .8 2.先進(jìn)性和成熟性 .8 3.可靠性和穩(wěn)定性 .8 4.安全性和保密性 .9 5.可擴(kuò)展性和可管理性 .9 二 網(wǎng)絡(luò)結(jié)構(gòu)分析 .10 1骨干層 .10 2接入層 .11 3出口 .11 三網(wǎng)絡(luò)架構(gòu)設(shè)計與拓?fù)浣Y(jié)構(gòu) .11 第三章 主要技術(shù)設(shè)計的具體配置過程 .13 一 訪問層交換服務(wù)的實現(xiàn)配置訪問層交換機(jī) .14 1. 配置訪問層交換機(jī) AccessSwitch1 的基本參數(shù) .15 2. 配置訪問層交換機(jī) AccessSwitch1 的管理 IP、默認(rèn)網(wǎng)關(guān) .15 3配置訪問層交換機(jī) AccessSwitch1 的 VLAN 及 VTP.16 4. 配置訪問層交換機(jī) AccessSwitch1 的訪問端口 .16 5. 配置訪問層交換機(jī) AccessSwitch1 的主干道端口 .17 6配置訪問層交換機(jī) AccessSwitch2 與 AccessSwitch1 類似 .17 二 分布層交換服務(wù)的實現(xiàn)配置分布層交換機(jī) .17 1. 配置分布層交換機(jī) DistributeSwitch1 的基本參數(shù) .18 2配置分布層交換機(jī) DistributeSwitch1 的管理 IP、默認(rèn)網(wǎng)關(guān) .19 3. 配置分布層交換機(jī) DistributeSwitch1 的 VTP .19 4. 在分布層交換機(jī) DistributeSwitch1 上定義 VLAN .19 5. 配置分布層交換機(jī) DistributeSwitch1 的端口基本參數(shù) .20 6. 配置分布層交換機(jī) DistributeSwitch1 的 3 層交換功能 .21 7配置分布層交換機(jī) DistributeSwitch2 .22 三 核心層交換服務(wù)的實現(xiàn)配置核心層交換機(jī) .23 1配置核心層交換機(jī) CoreSwitch1 的基本參數(shù) .24 2配置核心層交換機(jī) CoreSwitch1 的管理 IP、默認(rèn)網(wǎng)關(guān) .25 3配置核心層交換機(jī) CoreSwitch1 的的 VLAN 及 VTP .25 4配置核心層交換機(jī) CoreSwitch1 的端口參數(shù) .25 5配置核心層交換機(jī) CoreSwitch1 的路由功能 .26 6其它配置 .27 四配置接入路由器 INTERNETROUTER .27 1. 配置接入路由器 InternetRouter 的基本參數(shù) .27 2. 配置接入路由器 InternetRouter 的各接口參數(shù) .28 3. 配置接入路由器 InternetRouter 的路由功能 .28 2 4. 配置接入路由器 InternetRouter 上的 NAT .29 5. 配置接入路由器 InternetRouter 上的安全訪問 ACL .30 五遠(yuǎn)程訪問模塊設(shè)計 .33 配置異步撥號模塊 NM-16AM 的步驟 :.34 1配置物理線路的基本參數(shù) .34 2. 配置接口基本參數(shù) .35 3. 配置身份認(rèn)證 .35 六 服務(wù)器模塊設(shè)計 .36 第四章 總結(jié) .38 第五章 設(shè)計體會 .39 感謝 .41 參考文獻(xiàn) .42 3 前言 當(dāng)今的世界正從工業(yè)化社會向信息化社會轉(zhuǎn)變。一方面，社會 經(jīng)濟(jì)已由基于資源的經(jīng)濟(jì)逐漸轉(zhuǎn)向基于知識的經(jīng)濟(jì)，人們對信息的 需求越來越迫切，信息在經(jīng)濟(jì)的發(fā)展中起著越來越重要的作用，信 息的交流成為發(fā)展經(jīng)濟(jì)最重要的因素。另一方面，隨著計算機(jī)、網(wǎng) 絡(luò)和多媒體等信息技術(shù)的飛速發(fā)展，信息的傳遞越來越快捷，信息 的處理能力越來越強(qiáng)，信息的表現(xiàn)形式也越來越豐富，對社會經(jīng)濟(jì) 和人們的生活產(chǎn)生了深刻的影響。這一切促使通信網(wǎng)絡(luò)由傳統(tǒng)的電 話網(wǎng)絡(luò)向高速多媒體信息網(wǎng)發(fā)展。 快速、高效的傳播和利用信息資源是 21 世紀(jì)的基本特征。掌握 豐富的計算機(jī)及網(wǎng)絡(luò)信息知識不僅僅是素質(zhì)教育的要求而且也是學(xué) 生掌握現(xiàn)代化學(xué)習(xí)與工作手段的要求。因此，學(xué)校校園網(wǎng)的有無及 水平的高低，也將成為評價學(xué)校及學(xué)生選擇學(xué)校的新的標(biāo)準(zhǔn)之一。 Internet 及 WWW 應(yīng)用的迅猛發(fā)展，極大的改變著我們的生活方 式。信息通過網(wǎng)絡(luò)，以不可逆轉(zhuǎn)之勢，迅速打破了地域和時間的界 限，為更多的人共享。而快速、高效的傳播和利用信息資源正是二 十一世紀(jì)的基本特征。學(xué)校作為信息化進(jìn)程中極其重要的基礎(chǔ)環(huán)節(jié)， 如何通過網(wǎng)絡(luò)充分發(fā)揮其教育功能，已成為當(dāng)今的熱門話題。 隨著學(xué)校教育手段的現(xiàn)代化，很多學(xué)校已經(jīng)逐漸開始將學(xué)校的 管理和教學(xué)過程向電子化方向發(fā)展，校園網(wǎng)的有無以及水平的高低 4 也將成為評價學(xué)校及學(xué)生選擇學(xué)校的新的標(biāo)準(zhǔn)之一，此時，校園網(wǎng) 上的應(yīng)用系統(tǒng)就顯得尤為重要。一方面，學(xué)生可以通過它在促進(jìn)學(xué) 習(xí)的同時掌握豐富的計算機(jī)及網(wǎng)絡(luò)信息知識，毫無疑問，這是學(xué)生 綜合素質(zhì)中極為重要的一部分；另一方面，基于先進(jìn)的網(wǎng)絡(luò)平臺和 其上的應(yīng)用系統(tǒng)，將極大的促進(jìn)學(xué)校教育的現(xiàn)代化進(jìn)程，實現(xiàn)高水 平的教學(xué)和管理。 學(xué)校目前正加緊對信息化教育的規(guī)劃和建設(shè)。開展的校園網(wǎng)絡(luò) 建設(shè)，旨在推動學(xué)校信息化建設(shè)，其最終建設(shè)目標(biāo)是將建設(shè)成為一 個借助信息化教育和管理手段的高水平的智能化、數(shù)字化的教學(xué)園 區(qū)網(wǎng)絡(luò)，最終完成統(tǒng)一軟件資源平臺的構(gòu)建，實現(xiàn)統(tǒng)一網(wǎng)絡(luò)管理、 統(tǒng)一軟件資源系統(tǒng)，并保證將來可擴(kuò)展骨干網(wǎng)絡(luò)節(jié)點互聯(lián)帶寬為 10G，為用戶提供高速接入網(wǎng)絡(luò)，并實現(xiàn)網(wǎng)絡(luò)遠(yuǎn)程教學(xué)、在線服務(wù)、 教育資源共享等各種應(yīng)用；利用現(xiàn)代信息技術(shù)從事管理、教學(xué)和科 學(xué)研究等工作。最終達(dá)到在網(wǎng)絡(luò)方面，更好的對眾多網(wǎng)絡(luò)使用及數(shù) 據(jù)資源的安全控制，同時具有高性能，高效率，不間斷的服務(wù)，方 便的對網(wǎng)絡(luò)中所有設(shè)備和應(yīng)用進(jìn)行有效的時事控制和管理。 5 第一章 需求分析 在校園網(wǎng)絡(luò)中，視頻、音頻、數(shù)據(jù)集于一身，如果保證不了高帶 寬、又多種視頻、音頻、數(shù)據(jù)流混雜在一起進(jìn)行傳輸，就沒法對流 做出最高優(yōu)先級和次高優(yōu)先級及底優(yōu)先級的分類，這樣就不能保證 重要業(yè)務(wù)的暢通，造成網(wǎng)絡(luò)延遲、服務(wù)不可用。所以要想真正改變 網(wǎng)絡(luò)的效率，更有效的保證應(yīng)用服務(wù)的運營，需要通過端到端的 QOS，智能到邊緣的方式來保證。通過智能到邊緣，端到端的應(yīng)用方 式，可以減少對網(wǎng)絡(luò)核心設(shè)備的消耗，這樣保證了網(wǎng)絡(luò)的有效暢通。 可以對園區(qū)網(wǎng)應(yīng)用中的，多媒體視頻點播服務(wù)、數(shù)據(jù)備份服務(wù)、文 獻(xiàn)傳遞服務(wù)、E-mail 服務(wù)、數(shù)據(jù)庫服務(wù)器等服務(wù)。對不同服務(wù)流進(jìn) 行詳細(xì)的分類，劃分優(yōu)先級，以及盡可能地避免發(fā)生擁塞。同時保 證網(wǎng)絡(luò)的高效運行，充分利用現(xiàn)有的帶寬。 在園區(qū)網(wǎng)絡(luò)中，存在多樣的網(wǎng)絡(luò)設(shè)備及系統(tǒng)應(yīng)用環(huán)境，并且要 考慮在用戶迅速增長的今天，考慮到網(wǎng)絡(luò)設(shè)備的可擴(kuò)展性。保證在 多樣網(wǎng)絡(luò)設(shè)備，用戶不斷增加的環(huán)境中，仍能保證網(wǎng)絡(luò)暢通。所以 萬兆骨干網(wǎng)絡(luò)平臺就應(yīng)具有良好的兼容性和可擴(kuò)展性，能與當(dāng)前校 園網(wǎng)絡(luò)無縫銜接，同時預(yù)留空間符合當(dāng)前和以后的信息建設(shè)需要和 足夠的升級空間。 在校園網(wǎng)絡(luò)建設(shè)中存在多用戶,多服務(wù)的現(xiàn)狀。帶來了對網(wǎng)絡(luò)系 6 統(tǒng)要求具有高效率等，以保證大數(shù)據(jù)量訪問下有效的處理能力。針 對需求設(shè)備要能對數(shù)據(jù)做到分布式處理，這樣的分布式處理可以節(jié) 省主交換引擎的消耗。使數(shù)據(jù)在獨立的板卡上就能做出對數(shù)據(jù)的識 別，這樣比在中央處理器識別要快的多。并在大量的數(shù)據(jù)應(yīng)用，數(shù) 據(jù)傳輸?shù)倪^程中，要保證所有硬件設(shè)備都可以進(jìn)行快速的轉(zhuǎn)發(fā)，要 具備高背板帶寬（交換容量） ，所有端口都能保證線速轉(zhuǎn)發(fā)。這種分 布式處理可以極大地提高整體處理能力，保證了網(wǎng)絡(luò)暢通。 現(xiàn)在的網(wǎng)絡(luò)環(huán)境中穩(wěn)定可靠是爭相談?wù)摰脑掝}，因現(xiàn)在在網(wǎng)絡(luò) 中運行了眾多重要應(yīng)用及服務(wù)，是要保證 7*24 小時不間斷的服務(wù)。 就要完全能保證網(wǎng)絡(luò)設(shè)備全天后的可用性。即使在設(shè)備出現(xiàn)問題時 切換到備用設(shè)備的過程中，也要保證較小的延遲，以滿足網(wǎng)絡(luò)應(yīng)用 中的有效暢通的需要。在這樣的需求中利用，冗余的管理交換引擎、 冗余的電源等關(guān)鍵部件的冗余，支持（802.1D、802.1W）802.1S 多 Vlan 生成樹協(xié)議保證鏈路級的冗余和負(fù)載均衡，支持 VRRP、OSPF 等三層路由協(xié)議保證路由級的冗余，支持 load balancing 技術(shù)實現(xiàn) 了應(yīng)用級的冗余備份和負(fù)載均衡。全方位的完全保證了設(shè)備、網(wǎng)絡(luò)、 應(yīng)用系統(tǒng)的可靠性。 在校園網(wǎng)絡(luò)中，對于校園網(wǎng)的安全保障十分重要：校園網(wǎng)的信 息點分布很廣，與一般企業(yè)網(wǎng)比較，校園網(wǎng)用戶的流動性大，信息 點存在隨意接入使用的問題。學(xué)生及外來不明身份的用戶，在校園 網(wǎng)中找到任何一個信息點，就可以進(jìn)入到校園網(wǎng)，可以肆意干擾和 破壞校園網(wǎng)網(wǎng)絡(luò)平臺及應(yīng)用系統(tǒng)的正常運行。另外校園網(wǎng)的網(wǎng)絡(luò)安 7 全，還需要考慮與外網(wǎng)及內(nèi)網(wǎng)不同應(yīng)用系統(tǒng)之間的安全訪問控制。 為了發(fā)生安全事件后，能夠有效、快捷地處理事故，采用上網(wǎng)審計 手段是十分有必要的。由于當(dāng)前類似“沖擊波、震蕩波病毒”的肆 虐，一個健壯的網(wǎng)絡(luò)應(yīng)該提供必要的手段，禁止特定病毒的傳播以 及由于病毒造成的流量擁塞。 我們采用自頂向下、模塊化的方法、參考 3 層模型來進(jìn)行工程 的設(shè)計和實施。 路由技術(shù)：路由協(xié)議工作在 OSI 參考模型的第 3 層，因此它的 作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡(luò)中傳遞數(shù) 據(jù)時選擇最佳路徑的能力。除了可以完成主要的路由任務(wù)，利用訪 問控制列表（Access Control List，ACL） ，路由器還可以用來完成 以路由器為中心的流量控制和過濾功能。在本設(shè)計中，內(nèi)網(wǎng)用戶不 僅通過路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過 3 層交換機(jī)上的路 由功能進(jìn)行數(shù)據(jù)包交換。 交換技術(shù)：傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在 OSI 模型的第 2 層。 現(xiàn)代交換技術(shù)還實現(xiàn)了第 3 層交換和多層交換。高層交換技術(shù)的引 入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了園區(qū)網(wǎng)數(shù)據(jù)交 換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要?，F(xiàn)代交換網(wǎng)絡(luò) 還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的概念。VLAN 將廣播 域限制在單個 VLAN 內(nèi)部，減小了各 VLAN 間主機(jī)的廣播通信對其他 VLAN 的影響。在 VLAN 間需要通信的時候，可以利用 VLAN 間路由技 術(shù)來實現(xiàn)。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時，可以使 8 用 VLAN 中繼協(xié)議（Vlan Trunking Protocol，VTP）簡化管理，它 只需在單獨一臺交換機(jī)上定義所有 VLAN。然后通過 VTP 協(xié)議將 VLAN 定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管 理人員的工作負(fù)擔(dān)和工作強(qiáng)度。為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換 網(wǎng)絡(luò)的可擴(kuò)展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)行的。園 區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次：訪問層、分布層、核心層。 訪問層為所有的終端用戶提供一個接入點；分布層除了負(fù)責(zé)將訪問 層交換機(jī)進(jìn)行匯集外，還為整個交換網(wǎng)絡(luò)提供 VLAN 間的路由選擇功 能；核心層將各分布層交換機(jī)互連起來進(jìn)行穿越園區(qū)網(wǎng)骨干的高速 數(shù)據(jù)交換。在本設(shè)計中，也將采用這三層進(jìn)行分開設(shè)計、配置。 遠(yuǎn)程訪問技術(shù)：遠(yuǎn)程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一。 遠(yuǎn)程訪問有三種可選的服務(wù)類型：專線連接、電路交換和包交換。 不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花費也不相同。企業(yè) 用戶可以根據(jù)所需帶寬、本地服務(wù)可用性、花費等因素綜合考慮， 選擇一種適合企業(yè)自身需要的廣域網(wǎng)接入方案。 ）在本設(shè)計中，分別 采用專線連接（到因特網(wǎng)）和電路交換（到校園網(wǎng)）兩種方式實現(xiàn) 遠(yuǎn)程訪問需求。 9 第二章 網(wǎng)絡(luò)規(guī)劃 一 拓?fù)湓O(shè)計與設(shè)計原則 局域網(wǎng)采用星型網(wǎng)絡(luò)拓樸結(jié)構(gòu)，星型拓樸結(jié)構(gòu)為現(xiàn)在較為流行 的一種網(wǎng)絡(luò)結(jié)構(gòu)，它是以一臺中心處理機(jī)（通信設(shè)備）為主而構(gòu)成 的網(wǎng)絡(luò)，其它入網(wǎng)機(jī)器僅與該中心處理機(jī)之間有直接的物理鏈路， 中心處理機(jī)采用分時或輪詢的方法為入網(wǎng)機(jī)器服務(wù)，所有的數(shù)據(jù)必 須經(jīng)過中心處理機(jī)。由于所有節(jié)點的往外傳輸都必須經(jīng)過中央節(jié)點 來處理，因此，對中央節(jié)點的要求比較高。 優(yōu)點是網(wǎng)絡(luò)結(jié)構(gòu)簡單，易于維護(hù)，便于管理（集中式） ；每臺入 網(wǎng)機(jī)均需物理線路與處理機(jī)互連，線路利用率低；處理機(jī)負(fù)載重 （需處理所有的服務(wù)） ，因為任何兩臺入網(wǎng)機(jī)之間交換信息，都必須 通過中心處理機(jī)；入網(wǎng)主機(jī)故障不影響整個網(wǎng)絡(luò)的正常工作。對該 網(wǎng)絡(luò)支持的設(shè)備生產(chǎn)廠商有較好的技術(shù)支持。 局域網(wǎng)內(nèi)的所有工作節(jié)點通過雙絞線與交換機(jī)相連形成一個星 型網(wǎng)絡(luò)。辦公電腦建議采用品牌的商用機(jī)，商用機(jī)運行比較穩(wěn)定， 而且比較耐用，運算速度較快，較適于開發(fā)使用。 校園網(wǎng)絡(luò)系統(tǒng)的建設(shè)在實用的前提下，應(yīng)當(dāng)在投資保護(hù)及長遠(yuǎn)性 方面做適當(dāng)考慮，在技術(shù)上、系統(tǒng)能力上要保持五年左右的先進(jìn)性。 并且從學(xué)校的利益出發(fā)，從技術(shù)上講應(yīng)該采用標(biāo)準(zhǔn)、開放、可擴(kuò)充 的、能與其它廠商產(chǎn)品配套使用的設(shè)計。 10 根據(jù)校園網(wǎng)的總體需求，結(jié)合對應(yīng)用系統(tǒng)的考慮，本次網(wǎng)絡(luò)建設(shè) 的設(shè)計目標(biāo)是：高性能、高可靠性、高穩(wěn)定性、高安全性、易管理 的萬兆骨干網(wǎng)絡(luò)平臺。 我們遵循以下的原則進(jìn)行網(wǎng)絡(luò)設(shè)計： 1.實用性和經(jīng)濟(jì)性 網(wǎng)絡(luò)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實效的方針，堅持實用、經(jīng) 濟(jì)的原則，建設(shè)的萬兆骨干網(wǎng)絡(luò)平臺，保護(hù)用戶的投資。 2.先進(jìn)性和成熟性 網(wǎng)絡(luò)建設(shè)設(shè)計既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、 設(shè)備、工具的相對成熟。不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā) 展?jié)摿?，能保證在未來若干年內(nèi)占主導(dǎo)地位，保證貴校網(wǎng)絡(luò)建設(shè)的 領(lǐng)先地位，采用萬兆以太網(wǎng)技術(shù)來構(gòu)建網(wǎng)絡(luò)主干線路。 3.可靠性和穩(wěn)定性 在考慮技術(shù)先進(jìn)性和開放性的同時，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、 設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及保修能力等方面著手，確保 系統(tǒng)運行的可靠性和穩(wěn)定性，達(dá)到最大的平均無故障時間，Cisco 公司作為知名品牌，網(wǎng)絡(luò)領(lǐng)導(dǎo)廠商，其產(chǎn)品的可靠性和穩(wěn)定性是一 流的。 為了保證骨干網(wǎng)絡(luò)平臺的健壯性和鏈路冗余性，網(wǎng)絡(luò)實施時在 學(xué)校啟用千兆備份線路。在學(xué)校啟用物理鏈路冗余機(jī)制，保證任何 11 一條線路出現(xiàn)故障后骨干網(wǎng)絡(luò)平臺的可用性。 4.安全性和保密性 在網(wǎng)絡(luò)設(shè)計中，既考慮信息資源的充分共享，更要注意信息的 保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán) 境，采取不同的措施，包括端口隔離、路由過濾、防 DDoS 拒絕服 務(wù)攻擊、防 IP 掃描、系統(tǒng)安全機(jī)制、多種數(shù)據(jù)訪問權(quán)限控制等，充 分考慮 Cisco 公司安全性，針對的各種應(yīng)用，有多種的保護(hù)機(jī)制， 如劃分 VLAN、IP/MAC 地址綁定（過濾） 、ACL、路由過濾、防 DDoS 拒絕服務(wù)攻擊、防 IP 掃描、802.1x 認(rèn)證機(jī)制、SSH 加密連接 等具體技術(shù)提升整個網(wǎng)絡(luò)的安全性。 5.可擴(kuò)展性和可管理性 由于信息技術(shù)和人們對于新技術(shù)的需求發(fā)展都非常迅速，為了 避免不必要的重復(fù)投資，我們必須選擇具有一定擴(kuò)展能力的設(shè)備， 能夠保證在網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大的時候，不需要增加新的設(shè)備，而只 需要增加一定數(shù)量的模塊就行。最好能夠做到在網(wǎng)絡(luò)技術(shù)進(jìn)一步發(fā) 展，現(xiàn)有模塊不支持新技術(shù)的情況下，只需要更換相應(yīng)模塊，而不 需要更換整個設(shè)備。 為了適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)變化的要求，必須充分考慮以最簡便的方法、 最低的投資，實現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)。為了便于擴(kuò)展，對于核心設(shè) 備必須采用模塊化高密度端口的設(shè)備，便于將來升級和擴(kuò)展。 先進(jìn)的設(shè)備必須配合先進(jìn)的管理和維護(hù)方法，才能夠發(fā)揮最大的 12 作用。全線采用基于 SNMP 標(biāo)準(zhǔn)的可網(wǎng)管產(chǎn)品，達(dá)到全程網(wǎng)管，降低 了人力資源的費用，提高網(wǎng)絡(luò)的易用性、可管理性，同時又具有很 好的可擴(kuò)充性。 二 網(wǎng)絡(luò)結(jié)構(gòu)分析 1骨干層 網(wǎng)絡(luò)中心節(jié)點及其它核心節(jié)點作為校園網(wǎng)絡(luò)系統(tǒng)的心臟，必須提 供全線速的數(shù)據(jù)交換，當(dāng)網(wǎng)絡(luò)流量較大時，對關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量 提供保障。另外作為整個網(wǎng)絡(luò)的交換中心，在保證高性能、無阻塞 交換的同時，還必須保證穩(wěn)定可靠的運行。 因此在網(wǎng)絡(luò)中心的設(shè)備選型和結(jié)構(gòu)設(shè)計上必須考慮整體網(wǎng)絡(luò)的高 性能和高可靠性。具體來說核心節(jié)點的交換機(jī)有兩個基本要求：1） 高密度端口情況下，還能保持各端口的線速轉(zhuǎn)發(fā)；2）關(guān)鍵模塊必須 冗余，如管理引擎、電源、風(fēng)扇。 由于校園網(wǎng)建設(shè)最終必將采用萬兆技術(shù)，因此需要考慮到核心 設(shè)備對萬兆的支持能力。 綜上所述，主干核心交換機(jī)屬于高端系列的產(chǎn)品，所以在本方案 中，核心交換機(jī)采用多業(yè)務(wù)萬兆核心路由交換機(jī)?？梢愿鶕?jù)用戶的 需求靈活配置，靈活構(gòu)建彈性可擴(kuò)展的網(wǎng)絡(luò)。多業(yè)務(wù)萬兆核心路由 交換機(jī)高背板帶寬和二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無阻塞的 交換，強(qiáng)大的交換路由功能、安全智能技術(shù)可為用戶提供完整的端 13 到端解決方案，是大型網(wǎng)絡(luò)核心骨干交換機(jī)的理想選擇。 在此方案中，校區(qū)網(wǎng)絡(luò)中心采用 Cisco 公司路由交換機(jī)作為核 心交換機(jī)。核心層交換機(jī)跟匯聚接入層交換機(jī)之間的千兆鏈路可以 捆綁，從而實現(xiàn)帶寬的靈活擴(kuò)展。 2接入層 接入層網(wǎng)絡(luò)由樓棟交換節(jié)點和樓層交換節(jié)點組成，接入層網(wǎng)絡(luò) 應(yīng)該可以滿足各種客戶的接入需要，而且能夠?qū)崿F(xiàn)客戶化的接入策 略，業(yè)務(wù) QOS 保證，用戶接入訪問控制等等。 樓層交換節(jié)點采用千兆智能堆疊交換機(jī)，提供智能的流分類和 完善的 QoS 特征。為各類型網(wǎng)絡(luò)提供完善的端到端的服務(wù)質(zhì)量、豐 富的安全設(shè)置和基于策略的網(wǎng)管，最大化滿足高速、融合、安全的 園區(qū)網(wǎng)新需求；本方案中各接入層交換機(jī)通過千兆鏈路上聯(lián)到各匯 聚層設(shè)備，對下聯(lián)的桌面設(shè)備提供全雙工的百兆連接，為各類用戶 提供無阻塞的交換性能。 3出口 因為校園網(wǎng)出口采用以太網(wǎng)，所以采用路由器 + 防火墻的方式， 起到如下作用： 防火墻提供強(qiáng)有力的服務(wù)器、內(nèi)網(wǎng)安全保護(hù)、提供 IDS 等安全特性； 路由器提供出口路由功能，數(shù)據(jù)處理能力強(qiáng)，具有強(qiáng)大的 NAT 功能。 14 三網(wǎng)絡(luò)架構(gòu)設(shè)計與拓?fù)浣Y(jié)構(gòu) 為了實現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計方案中完全采用同一廠家的網(wǎng) 絡(luò)產(chǎn)品，即 Cisco 公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的 好處是可以實現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。 本校園網(wǎng)設(shè)計方案主要由以下四大部分構(gòu)成：交換模塊、廣域 網(wǎng)接入模塊、遠(yuǎn)程訪問模塊、服務(wù)器群。整個網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu) 圖如下圖所示。在后面將根據(jù)此圖分塊進(jìn)行分析。 校園網(wǎng)整體拓?fù)浣Y(jié)構(gòu)圖 15 表VLAN 及 IP 編址方案 VLAN 號 VLAN 名稱 IP 網(wǎng)段 默認(rèn)網(wǎng)關(guān) 說明 VLAN 1 - 192.168.0.0/24 192.168.0.254 管理 VLAN VLAN 10 JWC 192.168.1.0/24 192.168.1.254 教務(wù)處 VLAN VLAN 20 XSSS 192.168.2.0/24 192.168.2.254 學(xué)生宿舍 VLAN VLAN 30 CWC 192.168.3.0/24 192.168.3.254 財務(wù)處 VLAN VLAN 40 JGSS 192.168.4.0/24 192.168.4.254 教工宿舍 VLAN VLAN 50 WXY 192.168.5.0/24 192.168.5.254 文學(xué)院 VLAN VLAN 60 YYXY 192.168.6.0/24 192.168.6.254 音樂學(xué)院 VLAN VLAN 70 JSJXY 192.168.7.0/24 192.168.7.254 計算機(jī)學(xué)院 VLAN VLAN 100 FWQQ 192.168.100.0/24 192.168.100.254 服務(wù)器群 VLAN 除了表中的內(nèi)容外，撥號用戶從 192.168.200.0/27 中動態(tài)取得 IP 地址。在這里為每個 VLAN 定義了一個由拼音縮寫組成的 VLAN 名 稱。 第三章 主要技術(shù)設(shè)計的具體配置過程 為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，在園區(qū)網(wǎng)內(nèi) 部數(shù)據(jù)交換的部署是分層進(jìn)行的。 園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次：訪問層、分布層、 16 核心層。 傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在 OSI 模型的第 2 層?，F(xiàn)代交換技 術(shù)還實現(xiàn)了第 3 層交換和多層交換。高層交換技術(shù)的引入不但提高 了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了園區(qū)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量， 滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。 現(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的 概念。VLAN 將廣播域限制在單個 VLAN 內(nèi)部，減小了各 VLAN 間主機(jī) 的廣播通信對其他 VLAN 的影響。在 VLAN 間需要通信的時候，可以 利用 VLAN 間路由技術(shù)來實現(xiàn)。 當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時，可以使用 VLAN 中繼協(xié)議（Vlan Trunking Protocol，VTP）簡化管理，它只需在單 獨一臺交換機(jī)上定義所有 VLAN。然后通過 VTP 協(xié)議將 VLAN 定義傳 播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員 的工作負(fù)擔(dān)和工作強(qiáng)度。 當(dāng)園區(qū)網(wǎng)絡(luò)的交換機(jī)數(shù)量增多、交換機(jī)間鏈路增加時，交換網(wǎng) 絡(luò)的復(fù)雜性可能會造成交換環(huán)路問題，這需要通過在各交換機(jī)上運 行生成樹協(xié)議（Spanning Tree Protocol，STP）來解決。 一個好的校園網(wǎng)設(shè)計應(yīng)該是一個分層的設(shè)計。一般分為三 層設(shè)計模型。 17 一 訪問層交換服務(wù)的實現(xiàn)配置訪問層交換機(jī) 訪問層為所有的終端用戶提供一個接入點。這里的訪問層交換機(jī) 采用的是 Cisco Catalyst 2950 24 口交換機(jī)（WS-C2950-24） 。交換 機(jī)擁有 24 個 10/100Mbps 自適應(yīng)快速以太網(wǎng)端口，運行的是 Cisco 的 IOS 操作系統(tǒng)。我們以下圖的訪問層交換機(jī) AccessSwitch1 進(jìn)行 設(shè)置。 1. 配置訪問層交換機(jī) AccessSwitch1 的基本參數(shù) Switch(config)#hostname AccessSwitch1 AcccessSwitch1(config)# enable secret 123Switch /設(shè)置交換機(jī)口令 AcccessSwitch1(config)#line vty 0 15 /設(shè)置登錄虛擬終端線時 的口令 AcccessSwitch1(config-line)#login AcccessSwitch1(config-line)#password youguess 18 2. 配置訪問層交換機(jī) AccessSwitch1 的管理 IP、默認(rèn)網(wǎng)關(guān) AcccessSwitch1(config)#interface vlan 1 AcccessSwitch1(config-if)#ip address 192.168.0.5 255.255.255.0 AcccessSwitch1(config-if)#no shutddown AcccessSwitch1(config)#ip drfault-gateway 192.168.0.254 3配置訪問層交換機(jī) AccessSwitch1 的 VLAN 及 VTP AcccessSwitch1(config)#vtp mode client AcccessSwitch1(config)#interface range fatchernet 0/1 24 AcccessSwitch1(config-if-range)#duplex full AcccessSwitch1(config)#interface range fatchernet 0/1 24 AcccessSwitch1(config-if-range)#specd 100 4. 配置訪問層交換機(jī) AccessSwitch1 的訪問端口 AcccessSwitch1(config)#Interface range fastchernet 0/1 -10 AcccessSwitch1(config-if-range)#switchport mode access AcccessSwitch1(config-if-range)#switchport access vlan 10 AcccessSwitch1(config)#Interface range fastchernet 0/11 -20 AcccessSwitch1(config-if-range)#switchport mode access AcccessSwitch1(config-if-range)#switchport access vlan 20 19 AcccessSwitch1(config)#Interface range fastchernet 0/11 -20 AcccessSwitch1(config-if-range)#spanning-tree portfast 5. 配置訪問層交換機(jī) AccessSwitch1 的主干道端口 AcccessSwitch1(config)#Interface range fastchernet 0/23 -24 AcccessSwitch1(config-if-range)#switchport mode trunk AcccessSwitch1(config)#spanning-tree uplinkfast / 冗余 設(shè)計 AcccessSwitch1(config)#spanning-tree Backbonefast / 加快生 成樹的收斂 6配置訪問層交換機(jī) AccessSwitch2 與 AccessSwitch1 類似 二 分布層交換服務(wù)的實現(xiàn)配置分布層交換機(jī) 分布層除了負(fù)責(zé)將訪問層交換機(jī)進(jìn)行匯集外，還為整個交換網(wǎng)絡(luò) 提供 VLAN 間的路由選擇功能。 這里的分布層交換機(jī)采用的是 Cisco Catalyst 3550 交換機(jī)。作為 20 3 層交換機(jī)，Cisco Catalyst 3550 交換機(jī)擁有 24 個 10/100Mbps 自適 應(yīng)快速以太網(wǎng)端口，同時還有 2 個 1000Mbps 的 GBIC 端口供上連 使用，運行的是 Cisco 的 Integrated IOS 操作系統(tǒng)。我們以下圖中的 分布層交換機(jī) DistributeSwitch1 為例進(jìn)行設(shè)置。 1. 配置分布層交換機(jī) DistributeSwitch1 的基本參數(shù) Switch#configure terminal Enter congifguration commands,one per line End with CNTL/Z Switch(config)#hostname DistributeSwitch1 DistributeSwitch1(config)#enable secret youguess DistributeSwitch1(config)#line con 0 DistributeSwitch1(config-line)#logging synchronous DistributeSwitch1(config-line)#exec-timeout 5 30 DistributeSwitch1(config-line)#line vty 0 15 DistributeSwitch1(config-line)#password abc DistributeSwitch1(config-line)#login DistributeSwitch1(config-line)# exec-timeout 5 30 21 DistributeSwitch1(config-line)#exit DistributeSwitch1(config)#no ip domain-lookup 2配置分布層交換機(jī) DistributeSwitch1 的管理 IP、默認(rèn) 網(wǎng)關(guān) DistributeSwitch1(config)#interface vlan 1 DistributeSwitch1(config-if)#ip address 192.168.0.3 255.255.255.0 DistributeSwitch1(config-if)#no shutdown DistributeSwitch1(config-if)#exit DistributeSwitch1(config-if)#ip default-gateway 192.168.0.254 3. 配置分布層交換機(jī) DistributeSwitch1 的 VTP DistributeSwitch1(config)#vtp domain nciae /設(shè)置 VTP 管理域的域 名 DistributeSwitch1(config)#vtp mode server /設(shè)置 VTP 服務(wù)器 DistributeSwitch1(config)#vtp pruning /激活 VTP 剪裁功能 4. 在分布層交換機(jī) DistributeSwitch1 上定義 VLAN Switch#configure terminal 22 Enter configuration commands,one per line.End with CNTL/Z DistributeSwitch1(config)#vlan 10 DistributeSwitch1(config-vlan)#name JWC DistributeSwitch1(config)#vlan 20 DistributeSwitch1(config-vlan)#name XSSS DistributeSwitch1(config)#vlan 30 DistributeSwitch1(config-vlan)#name CWC DistributeSwitch1(config)#vlan 40 DistributeSwitch1(config-vlan)#name JGSS DistributeSwitch1(config)#vlan 50 DistributeSwitch1(config-vlan)#name WXY DistributeSwitch1(config)#vlan 60 DistributeSwitch1(config-vlan)#name YYXY DistributeSwitch1(config)#vlan 70 DistributeSwitch1(config-vlan)#name JSJXY DistributeSwitch1(config)#vlan 100 DistributeSwitch1(config-vlan)#name FWQQ 5. 配置分布層交換機(jī) DistributeSwitch1 的端口基本參數(shù) DistributeSwitch1(config)#interface range fastethernet 0/1 24 DistributeSwitch1(config-if-range)#dupex full 23 DistributeSwitch1(config-if-range)#speed 100 DistributeSwitch1(config-if-range)#interface range fastethernet 0/1 10 DistributeSwitch1(config-if-range)#switchport mode access DistributeSwitch1(config-if-range)#switchport access vlan 100 DistributeSwitch1(config-if-range)#spanning-tree portfast DistributeSwitch1(config-if-range)#interface range fastethernet 0/23 24 DistributeSwitch1(config-if-range)#switchport mode trunk DistributeSwitch1(config-if-range)#interface range gigabitEthernet 0/1 2 DistributeSwitch1(config-if-range)#switchport mode trunk 6. 配置分布層交換機(jī) DistributeSwitch1 的 3 層交換功能 DistributeSwitch1(config)#interface vlan 10 DistributeSwitch1(config-if)#ip address 192.168.1.254 255.255.255.0 DistributeSwitch1(config-if)#no shutdown DistributeSwitch1(config)#interface vlan 20 DistributeSwitch1(config-if)#ip address 192.168.2.254 255.255.255.0 DistributeSwitch1(config-if)#no shutdown DistributeSwitch1(config)#interface vlan 30 DistributeSwitch1(config-if)#ip address 192.168.3.254 255.255.255.0 DistributeSwitch1(config-if)#no shutdown DistributeSwitch1(config)#interface vlan 40 24 DistributeSwitch1(config-if)#ip address 192.168.4.254 255.255.255.0 DistributeSwitch1(config-if)#no shutdown DistributeSwitch1(config)#interface vlan 50 DistributeSwitch1(config-if)#ip address 192.168.5.254 255.255.255.0 DistributeSwitch1(config-if)#no shutdown DistributeSwitch1(config)#interface vlan 60 DistributeSwitch1(config-if)#ip address 192.168.6.254 255.255.255.0 DistributeSwitch1(config-if)#no shutdown DistributeSwitch1(config)#interface vlan 70 DistributeSwitch1(config-if)#ip address 192.168.7.254 255.255.255.0 DistributeSwitch1(config-if)#no shutdown DistributeSwitch1(config)#interface vlan 100 DistributeSwitch1(config-if)#ip address 192.168.100.254 255.255.255.0 DistributeSwitch1(config-if)#no shutdown 7配置分布層交換機(jī) DistributeSwitch2 分布層交換機(jī) DistributeSwitch2 的端口 FastEthernet 0/23、FastEthernet 0/24 分別下連到訪問層交換機(jī) AccessSwitch1 的端口 FastEthernet 0/24 以及訪問層交換機(jī) AccessSwitch2 的端 口 FastEthernet 0/24。 此外，分布層交換機(jī) DistributeSwitch2 還通過自己的千兆端 25 口 GigabitEthernet 0/1 上連到核心交換機(jī) CoreSwitch1 的 GigabitEthernet 3/2。 為了實現(xiàn)冗余設(shè)計，分布層交換機(jī) DistributeSwitch2 還通過 自己的千兆端口 GigabitEthernet 0/2 連接到分布層交換機(jī) DistributeSwitch1 的 GigabitEthernet 0/2. DistributeSwitch1(config)#ip route 0.0.0.0.0.0.0.0 192.168.0.254 另外. 為了實現(xiàn)對無類別網(wǎng)絡(luò)（Classless Network）以及全零 子網(wǎng)（Subnet-zero）的支持，在充當(dāng) 3 層交換機(jī)的分布層交換機(jī) DistributeSwitch1，還需要進(jìn)行適當(dāng)?shù)呐渲? DistributeSwitch1(config)#ip classless DistributeSwitch1(config)#ip subnet-zero /定義對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持. 三 核心層交換服務(wù)的實現(xiàn)配置核心層交換機(jī) 核心層將各分布層交換機(jī)互連起來進(jìn)行穿越園區(qū)網(wǎng)骨干的高速數(shù) 據(jù)交換 本設(shè)計中的核心層交換機(jī)采用的是 Cisco Catalyst 4006 交換機(jī)， 采用了 Catalyst 4500 Supervisor II Plus（WS-X4013+）作為交 換機(jī)引擎。運行的是 Cisco 的 Integrated IOS 操作系統(tǒng) 在作為核心層交換機(jī)的 Cisco Catalyst 4006 交換機(jī)中，安裝了 26 WS-X4306-GB（Catalyst 4000 Gigabit Ethernet Module, 6-Ports (GBIC)）模塊，該模塊提供了 5 個千兆光纖上連接口，可以用來接 入 WS-G5484（1000BASE-SXShort WavelengthGBIC (Multimode only)） 。以下圖中的核心層交換機(jī) CoreSwitch1 為例進(jìn)行設(shè)置 1配置核心層交換機(jī) CoreSwitch1 的基本參數(shù) Switch#configure terminal Enter configuration commands,one per line.End with CNTL/Z Switch(config)#hostname DistributeSwitch1 CoreSwitch1 (config)#enable secret youguess CoreSwitch1 (config)#line con 0 CoreSwitch1 (config-line)#logging synchronous CoreSwitch1 (config-line)#exec-timeout 5 30 CoreSwitch1 (config-line)#line vty 0 15 CoreSwitch1 (config-line)#password abc CoreSwitch1 (config-line)#login 27 CoreSwitch1 (config-line)# exec-timeout 5 30 CoreSwitch1 (config-line)#exit CoreSwitch1 (config)#no ip domain-lookup 2配置核心層交換機(jī) CoreSwitch1 的管理 IP、默認(rèn)網(wǎng)關(guān) CoreSwitch1(config)#interface vlan 1 CoreSwitch1(config-if)#ip address 192.168.0.1 255.255.255.0 CoreSwitch1(config-if)#no shutdown CoreSwitch1(config-if)#exit CoreSwitch1(config-if)#ip default-gateway 192.168.0.254 3配置核心層交換機(jī) CoreSwitch1 的的 VLAN 及 VTP CoreSwith1(config)#vtp mode client 4配置核心層交換機(jī) CoreSwitch1 的端口參數(shù) 核心層交換機(jī) CoreSwitch1 通過自己的端口 FastEthernet 4/3 同廣域網(wǎng)接入模塊（Internet 路由器）相連。同時，核心層交 換機(jī) CoreSwitch1 的端口 GigabitEthernet 3/1GigabitEthernet 3/2 分別下連到分布層交換機(jī) DistributeSwitch1 和 DistributeSwitch2 的端口 GigabitEthernet 0/1。 DistributeSwitch1(config)#interface range fastethernet 0/1 24 28 DistributeSwitch1(config-if-range)#dupex full DistributeSwitch1(config-if-range)#speed 100 DistributeSwitch1(config-if-range)#switchport mode access DistributeSwitch1(config-if-range)#switchport access vlan 1 DistributeSwitch1(config-if-range)#spanning-tree portfast DistributeSwitch1(config-if-range)#interface range gigabitEthernet 3/1 2 DistributeSwitch1(config-if-range)#switchport mode trunk 此外，為了提供主干道的吞吐量以及實現(xiàn)冗余設(shè)計，在本設(shè)計中， 將核心層交換機(jī) CoreSwitch1 的千兆端口 GigabitEthernet 2/1、GigabitEthernet 2/2 捆綁在一起實現(xiàn) 2000Mbps 的千兆以太 網(wǎng)信道，然后再連接到另一臺核心層交換機(jī) CoreSwitch2。 CoreSwitch1 (config)#interface port-channel CoreSwitch1 (config-if)#switchport CoreSwitch1 (config-if)# interface gigabitEthernet 2/1 2 CoreSwitch1 (config-if)#channel-group 1 mode desiruble non-silent CoreSwitch1 (config-if)#no shutdown 5配置核心層交換機(jī) CoreSwitch1 的路由功能 核心層交換機(jī) CoreSwitch1 通過端口 FastEthernet 4/3 同廣域 網(wǎng)接入模塊（Internet 路由器）相連。因此，需要啟用核心層交換 機(jī)的路由功能。同時，還需要定義通往 Internet 的路由。這里使用 29 了一條缺省路由命令。其中，下一跳地址是 Internet 接入路由器的 快速以太網(wǎng)接口 FastEthernet 0/0 的 IP 地址。 CoreSwitch1(config)#ip routing CoreSwitch1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254 6其它配置 定義對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持 CoreSwith1(config)#ip classless CoreSwith1(config)#ip subnet-zero CoreSwitch2 的配置步驟、命令和 CoreSwitch1 的配置類似. 四配置接入路由器 InternetRouter 1. 配置接入路由器 InternetRouter 的基本參數(shù) Router#configure terminal Enter configuration commands,one per line.End with CNTL/Z Switch(config)#hostname InternetRouter InternetRouter (config)#enable secret youguess InternetRouter (config)#line con 0 30 InternetRouter (config-line)#logging synchronous InternetRouter (config-line)#exec-timeout 5 30 InternetRouter (config-line)#line vty 0 15 InternetRouter (config-line)#password abc InternetRouter (config-line)#login InternetRouter (config-line)# exec-timeout 5 30 InternetRouter (config-line)#exit InternetRouter (config)#no ip domain-lookup 2. 配置接入路由器 InternetRouter 的各接口參數(shù) InternetRouter (config)#interface fastethernet 0/0 InternetRouter (config-if)#ip address 192.168.0.254 255.255.255.0 InternetRouter (config-if)#no shutdown InternetRouter (config-if)# interface serial 0/0 InternetRouter (config-if)#ip address 193.1.1.1 255.255.255.252 InternetRouter (config-if)#no shutdown 3. 配置接入路由器 InternetRouter 的路由功能 InternetRouter (config)#ip route 0.0.0.0 0.0.0.0 serial0/0 InternetRouter (config)#ip route 192.168.0.0 255.255. 248.0 192.168.0.3 / 31 InternetRouter (config)#ip route 192.168.100.0 255.255. 255.0 192.168.0.3 /定義到校園網(wǎng)內(nèi)部的路由 4. 配置接入路由器 InternetRouter 上的 NAT 為了接入 Internet，本校園網(wǎng)向當(dāng)?shù)?ISP 申請了 9 個 IP 地址。 其中一個 IP 地址：193.1.1.1 被分配給了 Internet 接入路由器的 串行接口，另外 8 個 IP 地址：202.206.222.1202.206.222.8 用 作 NAT。 InternetRouter (config)#interface fastethernet 0/0 InternetRouter (config-if)#ip nat inside InternetRouter (config-if)#interface serial 0/0 InternetRouter (config-if)#ip nat outside /定義 NAT 內(nèi)部、外部接 口 InternetRouter (config)#ip access-list 1 permit 192.168.0.0 0.0.7.255 InternetRouter (config)#ip access-list 1 permit 192.168.100.0 0.0.0.255 InternetRouter (config)#ip nat inside source static 192.168.100.1 202.206.222.1 InternetRouter (config)#ip nat inside source static 192.168.100.1 202.206.222.2 InternetRouter (config)#ip nat inside source