最佳校园工程设计-某大学校园网设计方案
< body>
< body>最佳校园工程设计-某大学校园网设计方案
< body>
概述
---- 总设计师:XXX讲师
---- 机构:XX国家重点大学院校
---- 校园占地面积: 146.57万平方米
---- 校舍建筑面积: 1070875.64平方米
---- 教职工人数: 2000
---- 学生总数::1.7万余人
---- 网络面临的挑战: 创建一个可扩展的、高速的、充分冗余的、基于标准的网络,该网络可以支持融合了话音、视频、图像和数据的应用程序。
概述
---- 总设计师:XXX讲师
---- 机构:XX国家重点大学院校
---- 校园占地面积: 146.57万平方米
---- 校舍建筑面积: 1070875.64平方米
---- 教职工人数: 2000
---- 学生总数::1.7万余人
---- 网络面临的挑战: 创建一个可扩展的、高速的、充分冗余的、基于标准的网络,该网络可以支持融合了话音、视频、图像和数据的应用程序。
< body>---- 关键网络系统:Cisco 3640路由器、Cisco Catalyst 2950 24×××换机(WS-C2950-24)、Cisco Catalyst 3550交换机、Cisco Catalyst 4006交换机
< body>---- 网络解决办法: 对校园网系统总体方案设计 对访问层交换机进行配置 对分布层交换机进行配置 对核心层交换机进行配置 对广域网接入路由器进行配置 对远程访问服务器进行配置 对整个校园网系统进行诊断
< body>分析:
路由、交换与远程访问技术不只仅是思科的CCNP课程及考试的重点。更是现代计算机网络领域中三大支撑技术体系。它们几乎涵盖了一个完整园区网实现的方方面面。经常有学员说没法学以至用,其实,CCNP课程中的每一个章节都对应着实际工程中的每一个小的案例。只不过,实际工程是各个小案例的综合。在遇到一个实际工程的时候,咱们不防采用自顶向下、模块化的方法、参考3层模型来进行工程的设计和实施。
路由、交换与远程访问技术不只仅是思科的CCNP课程及考试的重点。更是现代计算机网络领域中三大支撑技术体系。它们几乎涵盖了一个完整园区网实现的方方面面。经常有学员说没法学以至用,其实,CCNP课程中的每一个章节都对应着实际工程中的每一个小的案例。只不过,实际工程是各个小案例的综合。在遇到一个实际工程的时候,咱们不防采用自顶向下、模块化的方法、参考3层模型来进行工程的设计和实施。
< body>路由技术:
路由协议工做在OSI参考模型的第3层,所以它的做用主要是在通讯子网间路由数据包。路由器具备在网络中传递数据时选择最佳路径的能力。除了能够完成主要的路由任务,利用访问控制列表(Access Control List,ACL),路由器还能够用来完成以路由器为中心的流量控制和过滤功能。在本工程案例设计中,内网用户不只经过路由器接入因特网、内网用户之间也经过3层交换机上的路由功能进行数据包交换。
路由协议工做在OSI参考模型的第3层,所以它的做用主要是在通讯子网间路由数据包。路由器具备在网络中传递数据时选择最佳路径的能力。除了能够完成主要的路由任务,利用访问控制列表(Access Control List,ACL),路由器还能够用来完成以路由器为中心的流量控制和过滤功能。在本工程案例设计中,内网用户不只经过路由器接入因特网、内网用户之间也经过3层交换机上的路由功能进行数据包交换。
< body>交换技术:
传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提升了园区网数据交换的效率,更大大加强了园区网数据交换服务质量,知足了不一样类型网络应用程序的须要。现代交换网络还引入了虚拟局域网(Virtual LAN,VLAN)的概念。VLAN将广播域限制在单个VLAN内部,减少了各VLAN间主机的广播通讯对其余VLAN的影响。在VLAN间须要通讯的时候,能够利用VLAN间路由技术来实现。当网络管理人员须要管理的交换机数量众多时,可使用VLAN中继协议(Vlan Trunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义全部VLAN。而后经过VTP协议将VLAN定义传播到本管理域中的全部交换机上。这样,大大减轻了网络管理人员的工做负担和工做强度。为了简化交换网络设计、提升交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的。
园区网数据交换设备能够划分为三个层次:访问层、分布层、核心层。
传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提升了园区网数据交换的效率,更大大加强了园区网数据交换服务质量,知足了不一样类型网络应用程序的须要。现代交换网络还引入了虚拟局域网(Virtual LAN,VLAN)的概念。VLAN将广播域限制在单个VLAN内部,减少了各VLAN间主机的广播通讯对其余VLAN的影响。在VLAN间须要通讯的时候,能够利用VLAN间路由技术来实现。当网络管理人员须要管理的交换机数量众多时,可使用VLAN中继协议(Vlan Trunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义全部VLAN。而后经过VTP协议将VLAN定义传播到本管理域中的全部交换机上。这样,大大减轻了网络管理人员的工做负担和工做强度。为了简化交换网络设计、提升交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的。
园区网数据交换设备能够划分为三个层次:访问层、分布层、核心层。
< body>访问层为全部的终端用户提供一个接入点;
分布层除了负责将访问层交换机进行聚集外,还为整个交换网络提供VLAN间的路由选择功能;
核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。
分布层除了负责将访问层交换机进行聚集外,还为整个交换网络提供VLAN间的路由选择功能;
核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。
< body>在本工程案例设计中,也将采用这三层进行分开设计、配置。 远程访问技术:远程访问也是园区网络必须提供的服务之一。它能够为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型:专线链接、电路交换和包交换。不一样的广域网链接类型提供的服务质量不一样,花费也不相同。
企业用户能够根据所需带宽、本地服务可用性、花费等因素综合考虑,选择一种适合企业自身须要的广域网接入方案。)在本工程案例设计中,分别采用专线链接(到因特网)和电路交换(到校园网)两种方式实现远程访问需求。 做为一个较为完整的园区网实现,路由、交换与远程访问技术缺一不可。在后面的内容中,咱们将就每一技术领域的经常使用技术的实现进行详细的讨论。经过本书后面章节的学习,相信读者可以系统地掌握园区网的设计、实施以及维护技巧。
企业用户能够根据所需带宽、本地服务可用性、花费等因素综合考虑,选择一种适合企业自身须要的广域网接入方案。)在本工程案例设计中,分别采用专线链接(到因特网)和电路交换(到校园网)两种方式实现远程访问需求。 做为一个较为完整的园区网实现,路由、交换与远程访问技术缺一不可。在后面的内容中,咱们将就每一技术领域的经常使用技术的实现进行详细的讨论。经过本书后面章节的学习,相信读者可以系统地掌握园区网的设计、实施以及维护技巧。
< body>一 系统整体设计方案概述
为了阐明主要问题,在本设计方案中对实际校园网的设计进行了适当和必要的简化。同时,将重点放在网络主干的设计上,对于服务器的架设只做简单介绍。
1.1 系统组成与拓扑结构
为了实现网络设备的统一,本设计方案中彻底采用同一厂家的网络产品,即Cisco公司的网络设备构建。全网使用同一厂商设备的好处是能够实现各类不一样网络设备功能的互相配合和补充。 本校园网设计方案主要由如下四大部分构成:交换模块、广域网接入模块、远程访问模块、服务器群。整个网络系统的拓扑结构图如图1-1所示。在后面的几节中咱们将根据此图分块进行介绍。
为了阐明主要问题,在本设计方案中对实际校园网的设计进行了适当和必要的简化。同时,将重点放在网络主干的设计上,对于服务器的架设只做简单介绍。
1.1 系统组成与拓扑结构
为了实现网络设备的统一,本设计方案中彻底采用同一厂家的网络产品,即Cisco公司的网络设备构建。全网使用同一厂商设备的好处是能够实现各类不一样网络设备功能的互相配合和补充。 本校园网设计方案主要由如下四大部分构成:交换模块、广域网接入模块、远程访问模块、服务器群。整个网络系统的拓扑结构图如图1-1所示。在后面的几节中咱们将根据此图分块进行介绍。
< body>
< body>
< body>图1-1 校园网总体拓扑结构图
1.2 VLAN及IP地址规划
1.2 VLAN及IP地址规划
< body>整个校园网中VLAN及IP编址方案如表所示。
< body>
< body>表1-1 VLAN及IP编址方案
< body>除了表中的内容外,拨号用户从192.168.200.0/27中动态取得IP地址。
< body>为了简化起见,这里咱们只规划了8个VLAN,同时为每一个VLAN定义了一个由拼音缩写组成的VLAN名称。
< body>二 交换模块设计
为了简化交换网络设计、提升交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的。
园区网数据交换设备能够划分为三个层次:访问层、分布层、核心层。 传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提升了园区网数据交换的效率,更大大加强了园区网数据交换服务质量,知足了不一样类型网络应用程序的须要。
为了简化交换网络设计、提升交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的。
园区网数据交换设备能够划分为三个层次:访问层、分布层、核心层。 传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提升了园区网数据交换的效率,更大大加强了园区网数据交换服务质量,知足了不一样类型网络应用程序的须要。
< body>现代交换网络还引入了虚拟局域网(Virtual LAN,VLAN)的概念。VLAN将广播域限制在单个VLAN内部,减少了各VLAN间主机的广播通讯对其余VLAN的影响。在VLAN间须要通讯的时候,能够利用VLAN间路由技术来实现。
当网络管理人员须要管理的交换机数量众多时,可使用VLAN中继协议(VlanTrunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义全部VLAN。而后经过VTP协议将VLAN定义传播到本管理域中的全部交换机上。这样,大大减轻了网络管理人员的工做负担和工做强度。
当园区网络的交换机数量增多、交换机间链路增长时,交换网络的复杂性可能会形成交换环路问题,这须要经过在各交换机上运行生成树协议(Spanning Tree Protocol,STP)来解决。
当网络管理人员须要管理的交换机数量众多时,可使用VLAN中继协议(VlanTrunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义全部VLAN。而后经过VTP协议将VLAN定义传播到本管理域中的全部交换机上。这样,大大减轻了网络管理人员的工做负担和工做强度。
当园区网络的交换机数量增多、交换机间链路增长时,交换网络的复杂性可能会形成交换环路问题,这须要经过在各交换机上运行生成树协议(Spanning Tree Protocol,STP)来解决。
< body> 一个好的校园网设计应该是一个分层的设计。通常分为三层设计模型。
< body>2.1 访问层交换服务的实现-配置访问层交换机
< body> 访问层为全部的终端用户提供一个接入点。这里的访问层交换机采用的是Cisco Catalyst 2950 24×××换机(WS-C2950-24)。交换机拥有24个10/100Mbps自适应快速以太网端口,运行的是Cisco的IOS操做系统。咱们以图1-1中的访问层交换机AccessSwitch1为例进行介绍。如图2-1所示,
< body>
< body>
图2-1 访问层交换机AccessSwitch1
图2-1 访问层交换机AccessSwitch1
< body>
< body>1.配置访问层交换机AccessSwitch1的基本参数
< body>(1)设置交换机名称
设置交换机名称,也就是出如今交换机CLI提示符中的名字。通常咱们会以地理位置或行政划分来为交换机命名。当咱们须要Telnet登陆到若干台交换机以维护一个大型网络时,经过交换机名称提示符提示本身当前配置交换机的位置是颇有必要的。 如图2-2所示,为访问层交换机AccessSwitch1命名。
设置交换机名称,也就是出如今交换机CLI提示符中的名字。通常咱们会以地理位置或行政划分来为交换机命名。当咱们须要Telnet登陆到若干台交换机以维护一个大型网络时,经过交换机名称提示符提示本身当前配置交换机的位置是颇有必要的。 如图2-2所示,为访问层交换机AccessSwitch1命名。
< body>
< body>
< body>图2-2 为访问层交换机AccessSwitch1命名
< body>
(2)设置交换机的加密使能口令
当用户在普通用户模式而想要进入特权用户模式时,须要提供此口令。此口令会以MD5的形式加密,所以,当用户查看配置文件时,没法看到明文形式的口令。 如图2-2所示,将交换机的加密使能口令设置为secretpasswd。
(2)设置交换机的加密使能口令
当用户在普通用户模式而想要进入特权用户模式时,须要提供此口令。此口令会以MD5的形式加密,所以,当用户查看配置文件时,没法看到明文形式的口令。 如图2-2所示,将交换机的加密使能口令设置为secretpasswd。
< body>
< body>
图2-3 为交换机设置加密使能口令
图2-3 为交换机设置加密使能口令
< body>
(3)设置登陆虚拟终端线时的口令
对于一个已经运行着的交换网络来讲,交换机的带内远程管理为网络管理人员提供了不少的方便。可是,处于安全考虑,在可以远程管理交换机以前网络管理人员必须设置远程登陆交换机的口令。
(3)设置登陆虚拟终端线时的口令
对于一个已经运行着的交换网络来讲,交换机的带内远程管理为网络管理人员提供了不少的方便。可是,处于安全考虑,在可以远程管理交换机以前网络管理人员必须设置远程登陆交换机的口令。
< body>如图2-2所示,设置登陆交换机时须要验证用户身份,同时设置口令为youguess。
< body>
< body>
图2-2 为访问层交换机AccessSwitch1命名
图2-2 为访问层交换机AccessSwitch1命名
< body>
(4)设置终端线超时时间
为了安全考虑,能够设置终端线超时时间。在设置的时间内,若是没有检测到键盘输入,IOS将断开用户和交换机之间的链接。
如图2-2所示,设置登陆交换机的控制台终端线路及虚拟终端线的超时时间为5分30秒钟。
(4)设置终端线超时时间
为了安全考虑,能够设置终端线超时时间。在设置的时间内,若是没有检测到键盘输入,IOS将断开用户和交换机之间的链接。
如图2-2所示,设置登陆交换机的控制台终端线路及虚拟终端线的超时时间为5分30秒钟。
< body>
< body>图2-2 设置控制台终端线路和虚拟终端线路的超时时间
< body>
(5)设置禁用IP地址解析特性
在交换机默认配置的状况下,当咱们输入一条错误的交换机命令时,交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用命令no ip domain-lookup。能够禁用这个特性 如图2-2所示,设置禁用IP地址解析特性。
(5)设置禁用IP地址解析特性
在交换机默认配置的状况下,当咱们输入一条错误的交换机命令时,交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用命令no ip domain-lookup。能够禁用这个特性 如图2-2所示,设置禁用IP地址解析特性。
< body>
< body>
< body>图2-3 设置禁用IP地址解析特性
< body>
(6)设置启用消息同步特性
有时,用户输入的交换机配置命令会被交换机产生的消息打乱。可使用命令logging synchronous设置交换机在下一行CLI提示符后复制用户的输入。 如图2-2所示,设置启用消息同步特性。
(6)设置启用消息同步特性
有时,用户输入的交换机配置命令会被交换机产生的消息打乱。可使用命令logging synchronous设置交换机在下一行CLI提示符后复制用户的输入。 如图2-2所示,设置启用消息同步特性。
< body>
< body>图2-3 设置启用消息同步特性
< body>
2.配置访问层交换机AccessSwitch1的管理IP、默认网关
2.配置访问层交换机AccessSwitch1的管理IP、默认网关
< body>访问层交换机是OSI参考模型的第2层设备,即数据链路层的设备。所以,给访问层交换机的每一个端口设置IP地址是没意义的。可是,为了使网络管理人员能够从远程登陆到访问层交换机上进行管理,必要给访问层交换机设置一个管理用IP地址。
这种状况下,其实是将交换机当作和PC机同样的主机。 给交换机设置管理用IP地址只能在VLAN1,即本征VLAN中进行。
按照表1-1,管理VLAN所在的子网是:192.168.0.0/24,这里将访问层交换机AccessSwitch1的管理IP地址设为:192.168.0.5/24
如图2-3所示,显示了为访问层交换机AccessSwitch1设置管理IP并激活本征VLAN。
这种状况下,其实是将交换机当作和PC机同样的主机。 给交换机设置管理用IP地址只能在VLAN1,即本征VLAN中进行。
按照表1-1,管理VLAN所在的子网是:192.168.0.0/24,这里将访问层交换机AccessSwitch1的管理IP地址设为:192.168.0.5/24
如图2-3所示,显示了为访问层交换机AccessSwitch1设置管理IP并激活本征VLAN。
< body>图2-2 设置访问层交换机AccessSwitch1的管理IP
< body> 为了使网络管理人员能够在不一样的子网管理此交换机,还应设置默认网关地址192.168.0.254。如图所示。
< body>
< body>图2-2 设置访问层交换机AccessSwitch1的默认网关地址
< body>3.配置访问层交换机AccessSwitch1的VLAN及VTP
< body>从提升效率的角度出发,在本校园网实现实例中使用了VTP技术。同时,将分布层交换机DistributeSwitch1设置成为VTP服务器,其余交换机设置成为VTP客户机。 这里访问层交换机AccessSwitch1将经过VTP得到在分布层交换机DistributeSwitch1中定义的全部VLAN的信息。
如图所示,设置访问层交换机AccessSwitch1成为VTP客户机。
如图所示,设置访问层交换机AccessSwitch1成为VTP客户机。
< body>
< body> 图2-2 设置访问层交换机AccessSwitch1成为VTP客户机
< body>4.配置访问层交换机AccessSwitch1端口基本参数
< body>(1)端口双工配置
能够设定某端口根据对端设备双工类型自动调整本端口双工模式,也能够强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的状况下,建议手动设置端口双工模式。
如图所示,设置访问层交换机AccessSwitch1的全部端口均工做在全双工模式。
能够设定某端口根据对端设备双工类型自动调整本端口双工模式,也能够强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的状况下,建议手动设置端口双工模式。
如图所示,设置访问层交换机AccessSwitch1的全部端口均工做在全双工模式。
< body>
< body> 图2-2 设置访问层交换机AccessSwitch1的端口工做模式
< body>(2)端口速度
能够设定某端口根据对端设备速度自动调整本端口速度,也能够强制将端口速度设为10Mpbs或100Mbps。在了解对端设备速度的状况下,建议手动设置端口速度。
如图所示,设置访问层交换机AccessSwitch1的全部端口的速度均为100Mbps。
能够设定某端口根据对端设备速度自动调整本端口速度,也能够强制将端口速度设为10Mpbs或100Mbps。在了解对端设备速度的状况下,建议手动设置端口速度。
如图所示,设置访问层交换机AccessSwitch1的全部端口的速度均为100Mbps。
< body>
< body>
< body>图2-4 设置访问层交换机AccessSwitch1的端口速度
< body>
5.配置访问层交换机AccessSwitch1的访问端口
5.配置访问层交换机AccessSwitch1的访问端口
< body>访问层交换机AccessSwitch1为终端用户提供接入服务。在图中,访问层交换机AccessSwitch1为VLAN十、VLAN20提供接入服务。
< body>(1)设置访问层交换机AccessSwitch1的端口1~10
如图所示,设置访问层交换机AccessSwitch1的端口1~端口10工做在访问(接入)模式。同时,设置端口1~端口10为VLAN 10的成员。
如图所示,设置访问层交换机AccessSwitch1的端口1~端口10工做在访问(接入)模式。同时,设置端口1~端口10为VLAN 10的成员。
< body>
< body>
图2-2 设置访问层交换机AccessSwitch1的端口1~10
图2-2 设置访问层交换机AccessSwitch1的端口1~10
< body>
(2)设置访问层交换机AccessSwitch1的端口11~20
如图所示,设置访问层交换机AccessSwitch1的端口11~端口20工做在访问(接入)模式。同时,设置端口1~端口10为VLAN 20的成员。
(2)设置访问层交换机AccessSwitch1的端口11~20
如图所示,设置访问层交换机AccessSwitch1的端口11~端口20工做在访问(接入)模式。同时,设置端口1~端口10为VLAN 20的成员。
< body>
< body>图2-2 设置访问层交换机AccessSwitch1的端口11~20
< body>
(3)设置快速端口
默认状况下,交换机在刚加电启动时,每一个端口都要经历生成树的四个阶段:阻塞、侦听、学习、转发。在可以转发用户的数据包以前,某个端口可能最多要等50秒钟的时间(20秒的阻塞时间+15秒的侦听延迟时间+15秒的学习延迟时间)。
对于直接接入终端工做站的端口来讲,用于阻塞和侦听的时间是没必要要的。为了加速交换机端口状态转化时间,能够设置将某端口设置成为快速端口(Portfast)。设置为快速端口的端口当交换机启动或端口有工做站接入时,将会直接进入转发状态,而不会经历阻塞、侦听、学习状态(假设桥接表已经创建)。
如图所示,设置访问层交换机AccessSwitch1的端口1~端口20为快速端口。
(3)设置快速端口
默认状况下,交换机在刚加电启动时,每一个端口都要经历生成树的四个阶段:阻塞、侦听、学习、转发。在可以转发用户的数据包以前,某个端口可能最多要等50秒钟的时间(20秒的阻塞时间+15秒的侦听延迟时间+15秒的学习延迟时间)。
对于直接接入终端工做站的端口来讲,用于阻塞和侦听的时间是没必要要的。为了加速交换机端口状态转化时间,能够设置将某端口设置成为快速端口(Portfast)。设置为快速端口的端口当交换机启动或端口有工做站接入时,将会直接进入转发状态,而不会经历阻塞、侦听、学习状态(假设桥接表已经创建)。
如图所示,设置访问层交换机AccessSwitch1的端口1~端口20为快速端口。
< body>
< body>
图2-2 设置快速端口
图2-2 设置快速端口
< body>
6.配置访问层交换机AccessSwitch1的主干道端口
6.配置访问层交换机AccessSwitch1的主干道端口
< body>如图所示,访问层交换机AccessSwitch1经过端口FastEthernet 0/23上连到分布层交换机DistributeSwitch1的端口FastEthernet 0/23。同时,访问层交换机AccessSwitch1还经过端口FastEthernet 0/24上连到分布层交换机DistributeSwitch2的端口FastEthernet 0/23。
这两条上连链路将成为主干道链路,在这两条上连链路上将运输多个VLAN的数据。
如图所示,设置访问层交换机AccessSwitch1的端口FastEthernet 0/2三、FastEthernet 0/24为主干道端口。
这两条上连链路将成为主干道链路,在这两条上连链路上将运输多个VLAN的数据。
如图所示,设置访问层交换机AccessSwitch1的端口FastEthernet 0/2三、FastEthernet 0/24为主干道端口。
< body>
< body>
图2-2 设置主干道端口 Switch(config)#spanning-tree uplinkfast
图2-2 设置主干道端口 Switch(config)#spanning-tree uplinkfast
< body>
7.配置访问层交换机AccessSwitch2
7.配置访问层交换机AccessSwitch2
< body>访问层交换机AccessSwitch2为VLAN 30和VLAN 40的用户提供接入服务。同时,分别经过本身的FastEthernet 0/23 、FastEthernet 0/24上连到分布层交换机DistributeSwitch一、DistributeSwitch2的端口FastEthernet 0/24。
如图所示,是访问层交换机AccessSwitch2的链接示意图。
如图所示,是访问层交换机AccessSwitch2的链接示意图。
< body>
< body>图2-2 访问层交换机AccessSwitch2的链接示意图
< body> 对访问层交换机AccessSwitch2的配置步骤、命令和对访问层交换机AccessSwitch1的配置相似。这里,再也不详细分析,只给出最后的配置文件内容(只留下了必要的命令)。 须要指出的是,为了提供主干道的吞吐量,能够采用链路捆绑(快速以太网信道)技术增长可用带宽。例如,能够将访问层交换机AccessSwitch1的端口FastEthernet 0/21 和FastEthernet 0/22捆绑在一块儿实现200Mbps的快速以太网信道,而后再上连到分布层交换机DistributeSwitch1。一样,也能够将访问层交换机AccessSwitch1的端口FastEthernet 0/23 和FastEthernet 0/24捆绑在一块儿实现200Mbps的快速以太网信道,而后再上连到分布层交换机DistributeSwitch2。具体的配置步骤和命令咱们将在核心层交换机的配置一节中进行介绍。
< body>
8.访问层交换机的其它可选配置
8.访问层交换机的其它可选配置
< body>(1)Uplinkfast 访问层交换机AccessSwitch1经过两条冗余上行链路分别接入分布层交换机DistributeSwitch1和、DistributeSwitch2。在生成树的做用下,其中一条上行链路处于转发状态,而另外一条上行链路处于阻塞状态。当处于转发状态的链路因故障断开后,通过大约50秒钟的时间,处于阻塞状态的链路才能替代故障链路工做。
Uplinkfast特性可使得当主上行链路失败后,处于阻塞状态的上行链路(备份上行链路)能够当即启用。 如图所示,是在访问层交换机AccessSwitch1上启用Uplinkfast特性。一样的步骤也能够在访问层交换机AccessSwitch2上进行配置。
Uplinkfast特性可使得当主上行链路失败后,处于阻塞状态的上行链路(备份上行链路)能够当即启用。 如图所示,是在访问层交换机AccessSwitch1上启用Uplinkfast特性。一样的步骤也能够在访问层交换机AccessSwitch2上进行配置。
< body>
< body>图2-2 启用Uplinkfast特性
注意,Uplinkfast特性只能在访问层交换机上启用。
注意,Uplinkfast特性只能在访问层交换机上启用。
< body>
(2)Backbonefast Backbonefast的做用与Uplinkfast相似,也用于加快生成树的收敛。所不一样的是,Backbonefast能够检测到间接链路(非直连链路)故障并当即使得相应阻塞端口的最大寿命计时器到时,从而缩短该端口能够开始转发数据包的时间。
(2)Backbonefast Backbonefast的做用与Uplinkfast相似,也用于加快生成树的收敛。所不一样的是,Backbonefast能够检测到间接链路(非直连链路)故障并当即使得相应阻塞端口的最大寿命计时器到时,从而缩短该端口能够开始转发数据包的时间。
< body> 如图所示,是在访问层交换机AccessSwitch1上启用Backbonefast特性。一样的步骤须要在网络中的全部交换机上进行配置。
< body>
< body>图2-2 启用Backbonefast特性
注意,Backbonefast特性须要在网络中全部交换机上进行配置。
注意,Backbonefast特性须要在网络中全部交换机上进行配置。
< body>
2.2 分布层交换服务的实现-配置分布层交换机
2.2 分布层交换服务的实现-配置分布层交换机
< body>分布层除了负责将访问层交换机进行聚集外,还为整个交换网络提供VLAN间的路由选择功能。 这里的分布层交换机采用的是Cisco Catalyst 3550交换机。
做为3层交换机,Cisco Catalyst 3550交换机拥有24个10/100Mbps自适应快速以太网端口,同时还有2个1000Mbps的GBIC端口供上连使用,运行的是Cisco的Integrated IOS操做系统。
咱们以图1-1中的分布层交换机DistributeSwitch1为例进行介绍。
如图2-1所示:
做为3层交换机,Cisco Catalyst 3550交换机拥有24个10/100Mbps自适应快速以太网端口,同时还有2个1000Mbps的GBIC端口供上连使用,运行的是Cisco的Integrated IOS操做系统。
咱们以图1-1中的分布层交换机DistributeSwitch1为例进行介绍。
如图2-1所示:
< body>
图2-1 分布层交换机DistributeSwitch1
图2-1 分布层交换机DistributeSwitch1
< body>1.配置分布层交换机DistributeSwitch1的基本参数
对分布层交换机DistributeSwitch1的基本参数的配置步骤与对访问层交换机AccessSwitch1的基本参数的配置相似。这里,只给出实际的配置步骤,再也不给出解释。
对分布层交换机DistributeSwitch1的基本参数的配置步骤与对访问层交换机AccessSwitch1的基本参数的配置相似。这里,只给出实际的配置步骤,再也不给出解释。
< body>
< body>
图2-1 配置分布层交换机DistributeSwitch1的基本参数
图2-1 配置分布层交换机DistributeSwitch1的基本参数
< body>2.配置分布层交换机DistributeSwitch1的管理IP、默认网关
如图2-3所示,显示了为分布层交换机DistributeSwitch1设置管理IP并激活本征VLAN。同时,还设置了默认网关的地址。
如图2-3所示,显示了为分布层交换机DistributeSwitch1设置管理IP并激活本征VLAN。同时,还设置了默认网关的地址。
< body>
< body> 图2-2 分布层交换机DistributeSwitch1的管理IP、默认网关
< body>3.配置分布层交换机DistributeSwitch1的VTP
当网络中交换机数量不少时,须要分别在每台交换机上建立不少重复的VLAN。工做量很大、过程很繁琐,而且容易出错。咱们常采用VLAN中继协议(Vlan Trunking Protocol,VTP)来解决这个问题。
VTP容许咱们在一台交换机上建立全部的VLAN。而后,利用交换机之间的互相学习功能,将建立好的VLAN定义传播到整个网络中须要此VLAN定义的全部交换机上。同时,有关VLAN的删除、参数更改操做都可传播到其余交换机。从而大大减轻了网络管理人员配置交换机负担。
在本校园网实现实例中使用了VTP技术。同时,将分布层交换机DistributeSwitch1设置成为VTP服务器,其余交换机设置成为VTP客户机。
当网络中交换机数量不少时,须要分别在每台交换机上建立不少重复的VLAN。工做量很大、过程很繁琐,而且容易出错。咱们常采用VLAN中继协议(Vlan Trunking Protocol,VTP)来解决这个问题。
VTP容许咱们在一台交换机上建立全部的VLAN。而后,利用交换机之间的互相学习功能,将建立好的VLAN定义传播到整个网络中须要此VLAN定义的全部交换机上。同时,有关VLAN的删除、参数更改操做都可传播到其余交换机。从而大大减轻了网络管理人员配置交换机负担。
在本校园网实现实例中使用了VTP技术。同时,将分布层交换机DistributeSwitch1设置成为VTP服务器,其余交换机设置成为VTP客户机。
< body>
(1)配置VTP管理域
共享相同VLAN定义数据库的交换机构成一个VTP管理域。每个VTP管理域都有一个共同的VTP管理域域名。不一样VTP管理域的交换机之间不交换VTP通告信息。 如图9-4-2所示,将VTP管理域的域名定义为"nciae"。
(1)配置VTP管理域
共享相同VLAN定义数据库的交换机构成一个VTP管理域。每个VTP管理域都有一个共同的VTP管理域域名。不一样VTP管理域的交换机之间不交换VTP通告信息。 如图9-4-2所示,将VTP管理域的域名定义为"nciae"。
< body>
图2-2 设置VTP管理域的域名
图2-2 设置VTP管理域的域名
< body>
(2)设置VTP服务器
工做在VTP服务器模式下的交换机能够建立、删除VLAN、修改VLAN参数。同时,还有责任发送和转发VLAN更新消息。 如图所示,设置分布层交换机DistributeSwitch1成为VTP服务器。
(2)设置VTP服务器
工做在VTP服务器模式下的交换机能够建立、删除VLAN、修改VLAN参数。同时,还有责任发送和转发VLAN更新消息。 如图所示,设置分布层交换机DistributeSwitch1成为VTP服务器。
< body>
< body>
图2-2 设置分布层交换机DistributeSwitch1成为VTP服务器
图2-2 设置分布层交换机DistributeSwitch1成为VTP服务器
< body>(3)激活VTP剪裁功能
默认状况下主干道传输全部VLAN的用户数据。有时,交换网络中某台交换机的全部端口都属于同一VLAN的成员,没有必要接收其余VLAN的用户数据。这时,能够激活主干道上的VTP剪裁功能。当激活了VTP剪裁功能之后,交换机将自动剪裁本交换机没有定义的VLAN数据。 在一个VTP域下,只须要在VTP服务器上激活VTP剪裁功能。同一VTP域下的全部其余交换机也将自动激活VTP剪裁功能。
如图所示,设置激活VTP剪裁功能。
默认状况下主干道传输全部VLAN的用户数据。有时,交换网络中某台交换机的全部端口都属于同一VLAN的成员,没有必要接收其余VLAN的用户数据。这时,能够激活主干道上的VTP剪裁功能。当激活了VTP剪裁功能之后,交换机将自动剪裁本交换机没有定义的VLAN数据。 在一个VTP域下,只须要在VTP服务器上激活VTP剪裁功能。同一VTP域下的全部其余交换机也将自动激活VTP剪裁功能。
如图所示,设置激活VTP剪裁功能。
< body>
< body> 图2-2 激活VTP剪裁功能
< body>4.在分布层交换机DistributeSwitch1上定义VLAN
在本校园网实现实例中,除了默认的本征VLAN外,又定义了8个VLAN,如表1-1所示。
因为使用了VTP技术,因此全部VLAN的定义只须要在VTP服务器,即分布层交换机DistributeSwitch1上进行。 如图所示,定义了8个VLAN,同时为每一个VLAN命名。
在本校园网实现实例中,除了默认的本征VLAN外,又定义了8个VLAN,如表1-1所示。
因为使用了VTP技术,因此全部VLAN的定义只须要在VTP服务器,即分布层交换机DistributeSwitch1上进行。 如图所示,定义了8个VLAN,同时为每一个VLAN命名。
< body>
< body>
图2-1 定义VLAN
图2-1 定义VLAN
< body>5.配置分布层交换机DistributeSwitch1的端口基本参数
分布层交换机DistributeSwitch1的端口FastEthernet 0/1~FastEthernet 0/10为服务器群提供接入服务,而端口FastEthernet 0/2三、FastEthernet 0/24分别下连到访问层交换机AccessSwitch1的端口FastEthernet 0/23以及访问层交换机AccessSwitch2的端口FastEthernet 0/23。
此外,分布层交换机DistributeSwitch1还经过本身的千兆端口GigabitEthernet 0/1上连到核心交换机CoreSwitch1的GigabitEthernet 3/1。
为了实现冗余设计,分布层交换机DistributeSwitch1还经过本身的千兆端口GigabitEthernet 0/2链接另外一台到分布层交换机DistributeSwitch2的GigabitEthernet 0/2。 如图所示,给出了对全部访问端口、主干道端口的配置步骤和命令。
分布层交换机DistributeSwitch1的端口FastEthernet 0/1~FastEthernet 0/10为服务器群提供接入服务,而端口FastEthernet 0/2三、FastEthernet 0/24分别下连到访问层交换机AccessSwitch1的端口FastEthernet 0/23以及访问层交换机AccessSwitch2的端口FastEthernet 0/23。
此外,分布层交换机DistributeSwitch1还经过本身的千兆端口GigabitEthernet 0/1上连到核心交换机CoreSwitch1的GigabitEthernet 3/1。
为了实现冗余设计,分布层交换机DistributeSwitch1还经过本身的千兆端口GigabitEthernet 0/2链接另外一台到分布层交换机DistributeSwitch2的GigabitEthernet 0/2。 如图所示,给出了对全部访问端口、主干道端口的配置步骤和命令。
< body>
< body>
< body> 图2-2 设置分布层交换机DistributeSwitch1的各端口参数
< body>6.配置分布层交换机DistributeSwitch1的3层交换功能
分布层交换机DistributeSwitch1须要为网络中的各个VLAN提供路由功能。这须要首先启用分布层交换机的路由功能。如图所示。
分布层交换机DistributeSwitch1须要为网络中的各个VLAN提供路由功能。这须要首先启用分布层交换机的路由功能。如图所示。
< body>
< body>
图2-2 启用路由功能
图2-2 启用路由功能
< body>接下来,须要为每一个VLAN定义本身的默认网关地址,如图所示。
< body>
< body>图2-2 定义各VLAN的默认网关地址
此外,还须要定义通往Internet的路由。这里使用了一条缺省路由命令,如图所示。其中,下一跳地址是Internet接入路由器的快速以太网接口FastEthernet 0/0的IP地址。
此外,还须要定义通往Internet的路由。这里使用了一条缺省路由命令,如图所示。其中,下一跳地址是Internet接入路由器的快速以太网接口FastEthernet 0/0的IP地址。
< body>
< body>
图2-2 定义到Internet的缺省路由
图2-2 定义到Internet的缺省路由
< body>7.配置分布层交换机DistributeSwitch2
分布层交换机DistributeSwitch2的端口FastEthernet 0/2三、FastEthernet 0/24分别下连到访问层交换机AccessSwitch1的端口FastEthernet 0/24以及访问层交换机AccessSwitch2的端口FastEthernet 0/24。
此外,分布层交换机DistributeSwitch2还经过本身的千兆端口GigabitEthernet 0/1上连到核心交换机CoreSwitch1的GigabitEthernet 3/2。
为了实现冗余设计,分布层交换机DistributeSwitch2还经过本身的千兆端口GigabitEthernet 0/2链接到分布层交换机DistributeSwitch1的GigabitEthernet 0/2。如图所示。
分布层交换机DistributeSwitch2的端口FastEthernet 0/2三、FastEthernet 0/24分别下连到访问层交换机AccessSwitch1的端口FastEthernet 0/24以及访问层交换机AccessSwitch2的端口FastEthernet 0/24。
此外,分布层交换机DistributeSwitch2还经过本身的千兆端口GigabitEthernet 0/1上连到核心交换机CoreSwitch1的GigabitEthernet 3/2。
为了实现冗余设计,分布层交换机DistributeSwitch2还经过本身的千兆端口GigabitEthernet 0/2链接到分布层交换机DistributeSwitch1的GigabitEthernet 0/2。如图所示。
< body>
< body>图2-1 分布层交换机DistributeSwitch2
< body>对分布层交换机DistributeSwitch2的配置步骤、命令和对分布层交换机DistributeSwitch1的配置相似。这里,再也不详细分析。
< body> 8.其它配置
为了实现对无类别网络(Classless Network)以及全零子网(Subnet-zero)的支持,在充当3层交换机的分布层交换机DistributeSwitch1,还须要进行适当的配置,如图所示。
为了实现对无类别网络(Classless Network)以及全零子网(Subnet-zero)的支持,在充当3层交换机的分布层交换机DistributeSwitch1,还须要进行适当的配置,如图所示。
< body>
< body>
图2-2 定义对无类别网络以及全零子网的支持
图2-2 定义对无类别网络以及全零子网的支持
< body>
< body>9.1.2 系统硬件、软件选型及版本
< body>2.3 核心层交换服务的实现-配置核心层交换机
核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。 本实例中的核心层交换机采用的是Cisco Catalyst 4006交换机,采用了Catalyst 4500 Supervisor II Plus(WS-X4013+)做为交换机引擎。运行的是Cisco的Integrated IOS操做系统,操做系统版本号是,。
在做为核心层交换机的Cisco Catalyst 4006交换机中,安装了WS-X4306-GB(Catalyst 4000 Gigabit Ethernet Module, 6-Ports (GBIC))模块,该模块提供了5个千兆光纤上链接口,能够用来接入WS-G5484(1000BASE-SX Short Wavelength GBIC (Multimode .ly))。咱们以图1-1中的核心层交换机CoreSwitch1为例进行介绍。如图2-1所示
核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。 本实例中的核心层交换机采用的是Cisco Catalyst 4006交换机,采用了Catalyst 4500 Supervisor II Plus(WS-X4013+)做为交换机引擎。运行的是Cisco的Integrated IOS操做系统,操做系统版本号是,。
在做为核心层交换机的Cisco Catalyst 4006交换机中,安装了WS-X4306-GB(Catalyst 4000 Gigabit Ethernet Module, 6-Ports (GBIC))模块,该模块提供了5个千兆光纤上链接口,能够用来接入WS-G5484(1000BASE-SX Short Wavelength GBIC (Multimode .ly))。咱们以图1-1中的核心层交换机CoreSwitch1为例进行介绍。如图2-1所示
< body>
< body>
1.配置核心层交换机CoreSwitch1的基本参数
1.配置核心层交换机CoreSwitch1的基本参数
< body>对核心层交换机CoreSwitch1的基本参数的配置步骤与对访问层交换机AccessSwitch1的基本参数的配置相似。这里,只给出实际的配置步骤,再也不给出解释。
< body>
< body>
图2-1 配置核心层交换机CoreSwitch1的基本参数
图2-1 配置核心层交换机CoreSwitch1的基本参数
< body>2.配置核心层交换机CoreSwitch1的管理IP、默认网关
< body>如图2-3所示,显示了为核心层交换机CoreSwitch1设置管理IP并激活本征VLAN。同时,还设置了默认网关的地址。
< body>
< body>
< body>图2-2 核心层交换机CoreSwitch1的管理IP、默认网关
< body>
< body>3.配置核心层交换机
CoreSwitch1的的VLAN及VTP 在本实例中,核心层交换机CoreSwitch1也将做为VTP客户机。 这里核心层交换机CoreSwitch1将经过VTP得到在分布层交换机DistributeSwitch1中定义的全部VLAN的信息。
如图所示,设置核心层交换机CoreSwitch1成为VTP客户机。
CoreSwitch1的的VLAN及VTP 在本实例中,核心层交换机CoreSwitch1也将做为VTP客户机。 这里核心层交换机CoreSwitch1将经过VTP得到在分布层交换机DistributeSwitch1中定义的全部VLAN的信息。
如图所示,设置核心层交换机CoreSwitch1成为VTP客户机。
< body> 图2-2 设置核心层交换机CoreSwitch1成为VTP客户机
< body>4.配置核心层交换机
CoreSwitch1的端口参数 核心层交换机CoreSwitch1经过本身的端口FastEthernet 4/3同广域网接入模块(Internet路由器)相连。同时,核心层交换机CoreSwitch1的端口GigabitEthernet 3/1~GigabitEthernet 3/2分别下连到分布层交换机DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 0/1。
如图所示,给出了对上述端口的配置命令。
CoreSwitch1的端口参数 核心层交换机CoreSwitch1经过本身的端口FastEthernet 4/3同广域网接入模块(Internet路由器)相连。同时,核心层交换机CoreSwitch1的端口GigabitEthernet 3/1~GigabitEthernet 3/2分别下连到分布层交换机DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 0/1。
如图所示,给出了对上述端口的配置命令。
< body>图2-2 设置核心层交换机CoreSwitch1的各端口参数
< body> 此外,为了提供主干道的吞吐量以及实现冗余设计,在本设计中,将核心层交换机CoreSwitch1的千兆端口GigabitEthernet 2/一、GigabitEthernet 2/2捆绑在一块儿实现2000Mbps的千兆以太网信道,而后再链接到另外一台核心层交换机CoreSwitch2。 如图所示,是设置核心层交换机CoreSwitch1的千兆以太网信道的步骤。
< body>
< body> 图2-2 设置核心层交换机CoreSwitch1的千兆以太网信道
< body>5.配置核心层交换机CoreSwitch1的路由功能
核心层交换机CoreSwitch1经过端口FastEthernet 4/3同广域网接入模块(Internet路由器)相连。所以,须要启用核心层交换机的路由功能。同时,还须要定义通往Internet的路由。这里使用了一条缺省路由命令.
如图所示,其中,下一跳地址是Internet接入路由
核心层交换机CoreSwitch1经过端口FastEthernet 4/3同广域网接入模块(Internet路由器)相连。所以,须要启用核心层交换机的路由功能。同时,还须要定义通往Internet的路由。这里使用了一条缺省路由命令.
如图所示,其中,下一跳地址是Internet接入路由
< body>器的快速以太网接口FastEthernet 0/0的IP地址。
< body>
< body>
图2-2 定义到Internet的缺省路由如图所示。
图2-2 定义到Internet的缺省路由如图所示。
< body>
6.其它配置
为了实现对无类别网络(Classless Network)以及全零子网(Subnet-zero)的支持,在充当3层交换机的核心层交换机CoreSwitch1,还须要进行适当的配置,如图所示。
6.其它配置
为了实现对无类别网络(Classless Network)以及全零子网(Subnet-zero)的支持,在充当3层交换机的核心层交换机CoreSwitch1,还须要进行适当的配置,如图所示。
< body>
< body>图2-2 定义对无类别网络以及全零子网的支持
< body>
7.核心层交换机CoreSwitch2的配置
对于图1-1-中的核心层交换机CoreSwitch2的配置步骤、命令和对核心层交换机CoreSwitch1的配置相似。这里,再也不详细分析。
同时,对于配置核心层交换机CoreSwitch2下连的一系列交换机,其链接方法以及配置步骤和命令同图1-1-中核心层交换机CoreSwitch1下连的一系列交换机的链接方法以及配置步骤和命令相似。这里,也再也不赘述。
7.核心层交换机CoreSwitch2的配置
对于图1-1-中的核心层交换机CoreSwitch2的配置步骤、命令和对核心层交换机CoreSwitch1的配置相似。这里,再也不详细分析。
同时,对于配置核心层交换机CoreSwitch2下连的一系列交换机,其链接方法以及配置步骤和命令同图1-1-中核心层交换机CoreSwitch1下连的一系列交换机的链接方法以及配置步骤和命令相似。这里,也再也不赘述。
< body>
三 广域网接入模块设计
在本设计中,广域网接入模块的功能是由广域网接入路由器InternetRouter来完成的。采用的是Cisco的3640路由器。
它经过本身的串行接口serial 0/0使用DDN(128K)技术接入Internet。它的做用主要是在Internet和校园网内网间路由数据包。
除了完成主要的路由任务外,利用访问控制列表(Access Control List,ACL),广域网接入路由器InternetRouter还能够用来完成以自身为中心的流量控制和过滤功能并实现必定的安全功能。
三 广域网接入模块设计
在本设计中,广域网接入模块的功能是由广域网接入路由器InternetRouter来完成的。采用的是Cisco的3640路由器。
它经过本身的串行接口serial 0/0使用DDN(128K)技术接入Internet。它的做用主要是在Internet和校园网内网间路由数据包。
除了完成主要的路由任务外,利用访问控制列表(Access Control List,ACL),广域网接入路由器InternetRouter还能够用来完成以自身为中心的流量控制和过滤功能并实现必定的安全功能。
< body>
< body>
图3-1
图3-1
< body>3.1 配置接入路由器InternetRouter的基本参数
对接入路由器InternetRouter的基本参数的配置步骤与对访问层交换机AccessSwitch1的基本参数的配置相似。这里,只给出实际的配置步骤,再也不给出解释。
对接入路由器InternetRouter的基本参数的配置步骤与对访问层交换机AccessSwitch1的基本参数的配置相似。这里,只给出实际的配置步骤,再也不给出解释。
< body>
< body>图2-1 配置接入路由器InternetRouter的基本参数
< body>3.2 配置接入路由器InternetRouter的各接口参数
对接入路由器InternetRouter的各接口参数的配置主要是对接口FastEthernet 0/0以及接口Serial 0/0的IP地址、子网掩码的配置。 如图2-3所示,显示了为接入路由器InternetRouter的各接口设置IP地址、子网掩码。
对接入路由器InternetRouter的各接口参数的配置主要是对接口FastEthernet 0/0以及接口Serial 0/0的IP地址、子网掩码的配置。 如图2-3所示,显示了为接入路由器InternetRouter的各接口设置IP地址、子网掩码。
< body>
< body>
< body>图2-2 接入路由器InternetRouter的管理IP、默认网关
< body>
3.3 配置接入路由器InternetRouter的路由功能
3.3 配置接入路由器InternetRouter的路由功能
< body>在接入路由器InternetRouter上须要定义两个方向上的路由:到校园网内部的静态路由以及到Internet上的缺省路由。 到Internet上的路由须要定义一条缺省路由,如图所示。
其中,下一跳指定从本路由器的接口serial 0/0送出。
其中,下一跳指定从本路由器的接口serial 0/0送出。
< body>
< body>
图2-2 定义到Internet的缺省路由
图2-2 定义到Internet的缺省路由
< body>到校园网内部的路由条目能够通过路由汇总后造成两条路由条目。如图所示。
< body>
< body>
图2-2 定义到校园网内部的路由
图2-2 定义到校园网内部的路由
< body>
3.4 配置接入路由器InternetRouter上的NAT
3.4 配置接入路由器InternetRouter上的NAT
< body> 因为目前IP地址资源很是稀缺,对不可能给校园网内部的全部工做站都分配一个公有IP(Internet可路由的)地址。为了解决全部工做站访问Internet的须要,必须使用NAT(网络地址转换)技术。
< body>为了接入Internet,本校园网向当地ISP申请了9个IP地址。其中一个IP地址:193.1.1.1被分配给了Internet接入路由器的串行接口,另外8个IP地址:202.206.222.1~202.206.222.8用做NAT。
NAT的配置能够分为如下几个步骤。
(1)定义NAT内部、外部接口 图3-3显示了如何定义NAT内部、外部接口。
NAT的配置能够分为如下几个步骤。
(1)定义NAT内部、外部接口 图3-3显示了如何定义NAT内部、外部接口。
< body>
< body>
< body>
图2-1 定义NAT内部、外部接口
图2-1 定义NAT内部、外部接口
< body>(2)定义容许进行NAT的内部局部IP地址范围 图3-3显示了如何定义容许进行NAT的内部局部IP地址范围。
< body>
< body>
图2-2 定义内部局部IP地址范围
图2-2 定义内部局部IP地址范围
< body>(3)为服务器定义静态地址转换
< body> 图3-3显示了如何为服务器定义静态地址转换。
< body>
< body>图2-1 为服务器定义静态地址转换
< body>(4)为其余工做站定义复用地址转换
图3-3显示了如何为其余工做站定义复用地址转换。
图3-3显示了如何为其余工做站定义复用地址转换。
< body>
图2-1 为工做站定义复用地址转换
图2-1 为工做站定义复用地址转换
< body>3.5 配置接入路由器InternetRouter上的ACL
< body>路由器是外网进入校园网内网的第一道关卡,是网络防护的前沿阵地。路由器上的访问控制列表(Access Control List,ACL)是保护内网安全的有效手段。
一个设计良好的访问控制列表不只能够起到控制网络流量、流向的做用,还能够在不增长网络系统软、硬件投资的状况下完成通常软、硬件防火墙产品的功能。
因为路由器介于企业内网和外网之间,是外网与内网进行通讯时的第一道屏障,因此即便在网络系统安装了防火墙产品后,仍然有必要对路由器的访问控制列表进行缜密的设计,来对企业内网包括防火墙自己实施保护。
这里,在本实例中,咱们将针对服务器以及内网工做站的安全给出广域网接入路由器InternetRouter上ACL的配置方案。
在网络环境中还广泛存在着一些很是重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该作如下的ACL设计:
一个设计良好的访问控制列表不只能够起到控制网络流量、流向的做用,还能够在不增长网络系统软、硬件投资的状况下完成通常软、硬件防火墙产品的功能。
因为路由器介于企业内网和外网之间,是外网与内网进行通讯时的第一道屏障,因此即便在网络系统安装了防火墙产品后,仍然有必要对路由器的访问控制列表进行缜密的设计,来对企业内网包括防火墙自己实施保护。
这里,在本实例中,咱们将针对服务器以及内网工做站的安全给出广域网接入路由器InternetRouter上ACL的配置方案。
在网络环境中还广泛存在着一些很是重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该作如下的ACL设计:
< body>(1)对外屏蔽简单网管协议,即SNMP。
< body> 利用这个协议,远程主机能够监视、控制网络上的其它网络设备。它有两种服务类型:SNMP和SNMPTRAP。 如图所示,显示了如何设置对外屏蔽简单网管协议SNMP。
< body>
< body>
图2-1 对外屏蔽简单网管协议SNMP
图2-1 对外屏蔽简单网管协议SNMP
< body>(2)对外屏蔽远程登陆协议telnet
< body> 首先,telnet是一种不安全的协议类型。用户在使用telnet登陆网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的,很容易被网络上的非法协议分析设备截获。其次,telnet能够登陆到大多数网络设备和UNIX服务器,并可使用相关命令彻底操纵它们。这是极其危险的,所以必须加以屏蔽。 如图所示,显示了如何对外屏蔽远程登陆协议telnet
< body>
图2-1 对外屏蔽远程登陆协议telnet
图2-1 对外屏蔽远程登陆协议telnet
< body>
(3)对外屏蔽其它不安全的协议或服务
(3)对外屏蔽其它不安全的协议或服务
< body> 这样的协议主要有SUN OS的文件共享协议端口2049,远程执行(rsh)、远程登陆(rlogin)和远程命令(rcmd)端口5十二、51三、514,远程过程调用(SUNRPC)端口111。
能够将针对以上协议综合进行设计,如图所示。
能够将针对以上协议综合进行设计,如图所示。
< body>
< body>
图2-1 对外屏蔽其它不安全的协议或服务
图2-1 对外屏蔽其它不安全的协议或服务
< body>(4)针对DoS***的设计 DoS***
< body>(Denial of Service Attack,拒绝服务***)是一种很是常见并且极具破坏力的***手段,它能够致使服务器、网络设备的正常服务进程中止,严重时会致使服务器操做系统崩溃。
图显示了如何设计针对常见DoS***的ACL
图显示了如何设计针对常见DoS***的ACL
< body>
< body>
< body> 图2-1 针对DoS***的设计
< body>
(5)保护路由器自身安全
(5)保护路由器自身安全
< body> 做为内网、外网间屏障的路由器,保护自身安全的重要性也是不言而喻的。为了阻止******路由器,必须对路由器的访问位置加以限制。 应只容许来自服务器群的IP地址访问并配置路由器。这时,可使用ACCESS-CLASS命令进行VTY访问控制。如图所示。
< body>
< body>
< body>
图2-1 保护路由器自身安全 3.6 其它配置
图2-1 保护路由器自身安全 3.6 其它配置
< body> 为了实现对无类别网络(Classless Network)以及全零子网(Subnet-zero)的支持,在充当3层交换机的核心层交换机CoreSwitch1,还须要进行适当的配置,如图所示。
< body>
< body>
< body>
图2-2 定义对无类别网络以及全零子网的支持
图2-2 定义对无类别网络以及全零子网的支持
< body>
< body>四 远程访问模块设计
< body>远程访问也是园区网络必须提供的服务之一。它能够为家庭办公用户和出差在外的员工提供移动接入服务。如图4-1所示。
< body>
< body>
< body> 图4-1 远程访问服务 远程访问有三种可选的服务类型:专线链接、电路交换和包交换。不一样的广域网链接类型提供的服务质量不一样,花费也不相同。
在本设计中,因为面对的用户群规模、业务量较小,因此采用了异步拨号链接做为远程访问的技术手段。
异步拨号链接属于电路交换类型的广域网链接,它是在传统公共交换电话网(Public Switched Telephone Network,PSTN)上提供服务的。
传统PSTN提供的服务也被称为简易老式电话业务(Plan Old Telephone System,POTS)。由于目前存在着大量安装好的电话线,因此这样的环境是最容易知足的。所以,异步拨号链接也就成为最为方便和广泛的远程访问类型。
广域网链接能够采用不一样类型的封装协议,如HDLC、PPP等。其中,PPP除了提供身份认证功能外,还能够提供其余不少可选项配置,包括链路压缩、多链路捆绑、回叫等,所以更具优点。也是本设计所采用的异步链接封装协议。
在本设计中采用了能够集成在广域网接入路由器InternetRotuer中的异步Modem模块NM-16AM(8Port Analog Modem Network Module)提供远程访问服务。它能够同时对最多16路拨号用户提供远程接入服务。 如下介绍一下配置异步拨号模块NM-16AM的步骤。
在本设计中,因为面对的用户群规模、业务量较小,因此采用了异步拨号链接做为远程访问的技术手段。
异步拨号链接属于电路交换类型的广域网链接,它是在传统公共交换电话网(Public Switched Telephone Network,PSTN)上提供服务的。
传统PSTN提供的服务也被称为简易老式电话业务(Plan Old Telephone System,POTS)。由于目前存在着大量安装好的电话线,因此这样的环境是最容易知足的。所以,异步拨号链接也就成为最为方便和广泛的远程访问类型。
广域网链接能够采用不一样类型的封装协议,如HDLC、PPP等。其中,PPP除了提供身份认证功能外,还能够提供其余不少可选项配置,包括链路压缩、多链路捆绑、回叫等,所以更具优点。也是本设计所采用的异步链接封装协议。
在本设计中采用了能够集成在广域网接入路由器InternetRotuer中的异步Modem模块NM-16AM(8Port Analog Modem Network Module)提供远程访问服务。它能够同时对最多16路拨号用户提供远程接入服务。 如下介绍一下配置异步拨号模块NM-16AM的步骤。
< body> 1.配置物理线路的基本参数
< body> 对物理线路的配置包括配置线路速度(DTE、DCE之间的速率)、中止位位数、流控方式、容许呼入链接的协议类型、容许流量的方向等。 如图所示,是对以上参数进行配置。
< body>
< body>图2-1 保护路由器自身安全
< body>2.配置接口基本参数
对接口基本参数的配置包括:接口封装协议类型、接口异步模式、IP地址、为远程客户分配IP地址的方式等。这里,设置远程客户从IP地址池rasclients中得到IP地址。
对接口基本参数的配置包括:接口封装协议类型、接口异步模式、IP地址、为远程客户分配IP地址的方式等。这里,设置远程客户从IP地址池rasclients中得到IP地址。
< body>
< body> 图2-1 配置接口基本参数
< body> 接下来,须要创建一个本地的IP地址池。以下所示,创建了一个名为rasclients的IP地址池。其IP地址范围是:192.168.200.1~192.168.200.16。
< body>
< body>图2-1 指定IP地址池
< body>
3.配置身份认证
PPP提供了两种可选的身份认证方法:口令验证协议PAP(Password Authentication Protocol,PAP)和质询握手协议(Challenge Handshake Authentication Protocol,CHAP)。
PAP是一个简单的、实用的身份验证协议。PAP认证进程只在双方的通讯链路创建初期进行。若是认证成功,在通讯过程当中再也不进行认证。若是认证失败,则直接释放链路。
CHAP认证比PAP认证更安全,由于CHAP不在线路上发送明文密码,而是发送通过
摘要算法加工过的随机序列,也被称为"挑战字符串"。如图14-1-5所示。
3.配置身份认证
PPP提供了两种可选的身份认证方法:口令验证协议PAP(Password Authentication Protocol,PAP)和质询握手协议(Challenge Handshake Authentication Protocol,CHAP)。
PAP是一个简单的、实用的身份验证协议。PAP认证进程只在双方的通讯链路创建初期进行。若是认证成功,在通讯过程当中再也不进行认证。若是认证失败,则直接释放链路。
CHAP认证比PAP认证更安全,由于CHAP不在线路上发送明文密码,而是发送通过
摘要算法加工过的随机序列,也被称为"挑战字符串"。如图14-1-5所示。
< body>
< body>
< body>同时,身份认证能够随时进行,包括在双方正常通讯过程当中。所以,非法用户就算截获并成功破解了一次密码,此密码也将在一段时间内失效。
CHAP对端系统要求很高,由于须要屡次进行身份质询、响应。这须要耗费较多的CPU资源,所以只用在对安全要求很高的场合。
PAP虽然有着用户名和密码是明文发送的弱点,可是认证只在链路创建初期进行,所以节省了宝贵的链路带宽。 本设计中将采用PAP身份认证方法。
CHAP对端系统要求很高,由于须要屡次进行身份质询、响应。这须要耗费较多的CPU资源,所以只用在对安全要求很高的场合。
PAP虽然有着用户名和密码是明文发送的弱点,可是认证只在链路创建初期进行,所以节省了宝贵的链路带宽。 本设计中将采用PAP身份认证方法。
< body>(1)创建本地口令数据库 如图所示创建本地口令数据库。
< body>
< body>图2-2 创建本地口令数据库
< body>(2)设置进行PAP认证
< body>
< body>图2-2 创建本地口令数据库
< body>
< body>五 服务器模块设计
< body>服务器模块用来对校园网的接入用户提供各类服务。在本设计方案中,全部的服务器被集中到VLAN 100构成服务器群并经过分别层交换机DistributeSwitch1的端口fastethernet 1~20接入校园网。如图所示。
< body>
< body>
图5-1 服务器群
图5-1 服务器群
< body>校园网提供的常见的服务(服务器)包括: WEB服务器:提供WEB网站服务。 DNS、目录服务器:提供域名解析以及目录服务。
FTP、文件服务器:提供文件传输、共享服务。
邮件服务器:提供邮件收发服务。 数据库服务器:提供各类数据库服务。
打印服务器:提供打印机共享服务。
实时通讯服务器:提供实时通讯服务。
流媒体服务器:提供各类流媒体播放、点播服务。
网管服务器:对校园网网络设备进行综合管理。
FTP、文件服务器:提供文件传输、共享服务。
邮件服务器:提供邮件收发服务。 数据库服务器:提供各类数据库服务。
打印服务器:提供打印机共享服务。
实时通讯服务器:提供实时通讯服务。
流媒体服务器:提供各类流媒体播放、点播服务。
网管服务器:对校园网网络设备进行综合管理。
< body>如图所示。显示了各服务器IP地址配置状况。
< body>
< body>图4-5-1 "标准ACL"实验环境
< body>
表给出了全部的服务器硬件平台、操做系统以及服务软件的选型表。
表给出了全部的服务器硬件平台、操做系统以及服务软件的选型表。
< body>
< body>
表1-1 VLAN及IP编址方案
表1-1 VLAN及IP编址方案
< body>
限于篇幅,对于各类服务器的安装、配置步骤以及运行维护方法,这里再也不赘述,感兴趣的读者能够参看有关参考书。
限于篇幅,对于各类服务器的安装、配置步骤以及运行维护方法,这里再也不赘述,感兴趣的读者能够参看有关参考书。
< body>
< body>六 总结(其余、测试)
< body> 6.1 系统测试
前面几节中,咱们对如何设计一个较为完整的校园网网络进行了详细的介绍。当校园网初具规模后,还应该对校园网的总体运行状况作一下细致的测试和评估。
主要的测试内容应该包括:
对管理IP地址的测试。
前面几节中,咱们对如何设计一个较为完整的校园网网络进行了详细的介绍。当校园网初具规模后,还应该对校园网的总体运行状况作一下细致的测试和评估。
主要的测试内容应该包括:
对管理IP地址的测试。
< body>对相同VLAN内的通讯进行测试。
< body>对不一样VLAN内的通讯进行测试。
< body>对冗余链路的工做状态进行测试。
< body>对广域网接入路由器上的NAT进行测试。
< body>对广域网接入路由器上的ACL进行测试。
< body>对远程访问服务进行测试。
< body>对各类服务器提供的服务进行测试。
< body>至于具体的测试步骤,限于篇幅这里再也不赘述。 须要说明的是,一个完整的校园网网络系统设计不只包含上述设备,还应该有计费系统、防火墙系统、***检测系统等组成部分。限于篇幅,在此不作介绍,感兴趣的读者能够参看有关的参考书。
< body>
6.2 相关测试、诊断命令
6.2 相关测试、诊断命令
< body> 在本章的最后,咱们按不一样的功能按每种技术分类,给出相关的测试、诊断命令列表同
时还给出了命令的做用。
时还给出了命令的做用。
< body>1.通用测试、诊断命令
< body>(1)ping x.x.x.x 标准ping
命令。用于测试设备间的物理连通性。
命令。用于测试设备间的物理连通性。
< body>(2)ping x.x.x.x 扩展ping
命令。用于测试设备间的物理连通性。扩展ping命令还支持灵活定义ping参数,如ping数据包的大小,发送包的个数,等待响应数据包的超时时间等。
命令。用于测试设备间的物理连通性。扩展ping命令还支持灵活定义ping参数,如ping数据包的大小,发送包的个数,等待响应数据包的超时时间等。
< body>(3)traceroute x.x.x.x
命令traceroute用于跟踪、显示路由信息。
(4)show running-config
命令show running-config用于显示路由器、交换机运行配置文件的内容。
命令traceroute用于跟踪、显示路由信息。
(4)show running-config
命令show running-config用于显示路由器、交换机运行配置文件的内容。
< body>(5)show startup-config
命令show startup-config用于显示路由器、交换机启动配置文件的内容。
命令show startup-config用于显示路由器、交换机启动配置文件的内容。
< body>(6)show sessions
命令show sessions用于显示从当前设备发出的全部呼出Telnet会话。
命令show sessions用于显示从当前设备发出的全部呼出Telnet会话。
< body>(7)disconnect
命令disconnect用于断开与远程目标主机的Telnet会话。
命令disconnect用于断开与远程目标主机的Telnet会话。
< body>(8)show users
命令show users用于查看呼入Telnet会话状况。
命令show users用于查看呼入Telnet会话状况。
< body>(9)clear line
命令clear line用于断开远程主机的呼入Telnet链接。
命令clear line用于断开远程主机的呼入Telnet链接。
< body>(10)shutdown
命令shutdown用于临时将某个接口关闭。
命令shutdown用于临时将某个接口关闭。
< body>(11)no shutdown
命令no shutdown用于手动启动(激活)处于管理性关闭的接口。
命令no shutdown用于手动启动(激活)处于管理性关闭的接口。
< body>(12)show arp
命令show arp用于显示ARP缓存(ARP表)的内容。
命令show arp用于显示ARP缓存(ARP表)的内容。
< body>(13)show ip arp
命令show ip arp用于显示IP ARP缓存(ARP表)的内容。
命令show ip arp用于显示IP ARP缓存(ARP表)的内容。
< body>(14)show interfaces
命令show interface用于显示各接口的状态及参数信息。
命令show interface用于显示各接口的状态及参数信息。
< body>(15)show ip interface
命令show ip interface用于显示IP接口的状态及配置信息。
命令show ip interface用于显示IP接口的状态及配置信息。
< body>(16)show version
命令show version用于显示路由器硬件配置、软件版本等信息。
命令show version用于显示路由器硬件配置、软件版本等信息。
< body>(17)Ctrl+Shift+6+x
该命令也被称为"退出序列",用于终止正在执行的某条命令或操做,也用于从呼出Telnet会话中暂时切换到本地链接。
该命令也被称为"退出序列",用于终止正在执行的某条命令或操做,也用于从呼出Telnet会话中暂时切换到本地链接。
< body>(18)dir flash:
命令dir flash:用于显示闪存中的文件清单。
命令dir flash:用于显示闪存中的文件清单。
< body>(19)dir nvram:
命令dir nvram:用于显示非易失性内存中的文件清单。
命令dir nvram:用于显示非易失性内存中的文件清单。
< body>(20)show debugging
命令show debugging用于显示正在进行的诊断过程清单。
命令show debugging用于显示正在进行的诊断过程清单。
< body>(21)undebug all
命令undebug all用于中止全部诊断过程。
命令undebug all用于中止全部诊断过程。
< body>
2.CDP测试、诊断命令
2.CDP测试、诊断命令
< body>(1)show cdp
命令show cdp用于显示CDP全局参数信息。
命令show cdp用于显示CDP全局参数信息。
< body>(2)show cdp neighbors
命令show cdp neighbors用于显示CDP邻居设备的摘要信息。
命令show cdp neighbors用于显示CDP邻居设备的摘要信息。
< body>(3)show cdp neighbors detail
命令show cdp neighbors detail用于显示CDP邻居设备的详细信息,包括:邻居设备名称、邻居设备接口IP地址、邻居设备软件版本信息、设备性能、设备平台、本地设备接口、邻居设备接口、CDP缓存条目保持时间、CDP广播版本、接口双工方式等。
命令show cdp neighbors detail用于显示CDP邻居设备的详细信息,包括:邻居设备名称、邻居设备接口IP地址、邻居设备软件版本信息、设备性能、设备平台、本地设备接口、邻居设备接口、CDP缓存条目保持时间、CDP广播版本、接口双工方式等。
< body>(4)show cdp entry
命令show cdp entry用于显示指定邻居设备的相关信息。
命令show cdp entry用于显示指定邻居设备的相关信息。
< body>(5)show cdp interface
命令show cdp interface用于显示本地设备各个接口的状态、接口封装格式、CDP包的周期发送时间以及CDP保持时间等。
命令show cdp interface用于显示本地设备各个接口的状态、接口封装格式、CDP包的周期发送时间以及CDP保持时间等。
< body>(6)show cdp traffic
命令show cdp traffic用于显示和CDP相关的流量统计信息,包括接收和发送的CDP包数量、包括头部错误、校验错误、封装错误等在内的错误数量等。
命令show cdp traffic用于显示和CDP相关的流量统计信息,包括接收和发送的CDP包数量、包括头部错误、校验错误、封装错误等在内的错误数量等。
< body> 3.路由和路由协议测试、诊断命令
< body>(1)show ip route
命令show ip route用于显示当前路由表内容。
命令show ip route用于显示当前路由表内容。
< body>(2)show ip protocols
命令show ip protocols用于显示动态路由协议的配置参数信息。
命令show ip protocols用于显示动态路由协议的配置参数信息。
< body>4.VLAN、VTP测试、诊断命令
< body>(1)show interface vlan vlan-num
命令show interface vlan vlan-num用于显示VLAN是否已激活、交换机MAC基地址、接口参数等。
命令show interface vlan vlan-num用于显示VLAN是否已激活、交换机MAC基地址、接口参数等。
< body>(2)show mac-address-table
命令show mac-address-table用于显示CAM,即桥接表的内容。该命令可列出学习到的主机MAC地址及其所属VLAN、所处端口、条目类型(静态STATIC、动态DYNAMIC等)以及知足列表条件的MAC地址数目。
命令show mac-address-table用于显示CAM,即桥接表的内容。该命令可列出学习到的主机MAC地址及其所属VLAN、所处端口、条目类型(静态STATIC、动态DYNAMIC等)以及知足列表条件的MAC地址数目。
< body>(3)show vlan
命令show vlan用于查看VLAN建立状况。该命令能够显示系统全部的VLAN信息,包括VLAN编号、VLAN名称、VLAN状态、VLAN成员等信息。
命令show vlan用于查看VLAN建立状况。该命令能够显示系统全部的VLAN信息,包括VLAN编号、VLAN名称、VLAN状态、VLAN成员等信息。
< body>(4)show vtp status
命令show vtp status用于检查VTP配置状况。
命令show vtp status用于检查VTP配置状况。
< body>5.生成树测试、诊断命令
< body>(1)show spanning-tree
命令show spanning-tree用于显示生成树协议中交换机及其端口的状况。
命令show spanning-tree用于显示生成树协议中交换机及其端口的状况。
< body>(2)show spanning-tree blockedports
命令show spanning-tree blockedports用于显示处于阻塞状态的端口。
命令show spanning-tree blockedports用于显示处于阻塞状态的端口。
< body>(3)show spanning-tree detail
命令show spanning-tree detail用于显示生成树详细信息。
命令show spanning-tree detail用于显示生成树详细信息。
< body>(4)show spanning-tree interface
命令show spanning-tree interface用于显示生成树中某端口相关状态。
命令show spanning-tree interface用于显示生成树中某端口相关状态。
< body>(5)show spanning-tree vlan
当有多个VLAN时,Catalyst交换机会为每一个VLAN运行一个生成树实例。此命令用于显示指定VLAN的生成树内容。
当有多个VLAN时,Catalyst交换机会为每一个VLAN运行一个生成树实例。此命令用于显示指定VLAN的生成树内容。
< body>(6)show spanning-tree summary
命令show spanning-tree summary用于显示生成树总结,包括本交换机是哪些VLAN的根网桥、端口快速特性是否启用、处于生成树各个端口状态的端口数量等信息。
命令show spanning-tree summary用于显示生成树总结,包括本交换机是哪些VLAN的根网桥、端口快速特性是否启用、处于生成树各个端口状态的端口数量等信息。
< body>6.NAT测试、诊断命令
< body>(1)show ip nat translation
命令show ip nat translation用于显示并观察当前正在进行的NAT状况。
命令show ip nat translation用于显示并观察当前正在进行的NAT状况。
< body>(2)show ip nat translation verbose
命令show ip nat translation verbose用于显示并观察当前正在进行的NAT更为详细的状况。
命令show ip nat translation verbose用于显示并观察当前正在进行的NAT更为详细的状况。
< body>(3)show ip nat statistics
命令show ip nat statistics用于显示NAT运行状况统计。
命令show ip nat statistics用于显示NAT运行状况统计。
< body>(4)debug ip nat
命令debug ip nat用于打开对NAT的诊断。
命令debug ip nat用于打开对NAT的诊断。
< body>7.ACL测试、诊断命令
< body>(1)show access-lists
命令show access-lists用于显示全部已定义的访问控制列表内容及命中状况。
命令show access-lists用于显示全部已定义的访问控制列表内容及命中状况。
< body>(2)show ip access-lists
命令show ip access-lists用于显示全部已定义的IP访问控制列表内容及命中状况。
命令show ip access-lists用于显示全部已定义的IP访问控制列表内容及命中状况。
< body>8.远程访问测试、诊断命令
< body>(1)show line
命令show line用于当前系统全部的线路及其状态。
命令show line用于当前系统全部的线路及其状态。
< body>(2)show modemcap
命令show modemcap用于显示了当前路由器能够自动配置的Modem列表。
命令show modemcap用于显示了当前路由器能够自动配置的Modem列表。
< body>(3)debug ppp negotiation
命令debug ppp negotiation用于打开对PPP协议参数协商的诊断。
命令debug ppp negotiation用于打开对PPP协议参数协商的诊断。
< body>(4)debug ppp authentication
命令debug ppp authentication用于打开对PPP身份认证过程的诊断。
命令debug ppp authentication用于打开对PPP身份认证过程的诊断。
< body>