校園網(wǎng)網(wǎng)絡(luò)工程實(shí)施方案

杭州電子工學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)工程技術(shù)文檔 技術(shù)負(fù)責(zé)人：王勇 地址：杭州市文一路 65 號(hào)杭州電子工業(yè)學(xué)院網(wǎng)絡(luò)信息中心 電話：傳真：E-Mail： 1 目 錄 第一章、總體設(shè)計(jì) . 2 1.1 用戶需求 . 2 1.2 實(shí)施的目的 . 3 1.3 系統(tǒng)設(shè)計(jì)原則 . 3 1.4 設(shè)計(jì)依據(jù)和規(guī)范 . 4 1.5 網(wǎng)絡(luò)設(shè)備服務(wù)卡 . 4 1.6 系統(tǒng)軟件登記表 . 4 第二章、杭電網(wǎng)絡(luò)工程施工計(jì)劃 . 5 2.1 主要設(shè)備清單 . 5 2.2 施工計(jì)劃表 . 6 第三章、杭電網(wǎng)絡(luò)工程施工過程 . 7 3.1 網(wǎng)絡(luò)設(shè)備詳細(xì)信息和 IP 地址分配表 . 7 3.2 VLAN 間訪問規(guī)則 . 8 3.3 施工流程 . 8 3.4 施工過程 . 9 3.4.1 Catalyst 6506 的安裝過程 . 9 3.4.2 配置 Catalyst 6506 的系統(tǒng)參數(shù) . 9 3.4.3 配置 Catalyst 6506 的 VLAN. 10 3.4.4 配置配置 6509 交換機(jī)的三層交換模塊 . 15 3.4.5 配置 6506 交換機(jī) VLAN 間的訪問規(guī)則 . 15 3.4.6 配置 6506 交換機(jī)的 CDP 和 SNMP. 15 3.4.7 配置 6506 交換機(jī)的 STP . 16 3.4.8 配置 Catalyst 3500 的安裝過程 . 16 3.4.9 配置 Cisco 防火墻 PIX 520 的安裝過程 . 18 3.4.10 配置 CACHE ENGINE 550 的安裝過程 . 19 3.4.11 配置 Cisco3640 的安裝過程 . 22 3.4.12 配置 Cisco Works 網(wǎng)管軟件 . 24 3.5 設(shè)備模擬連接調(diào)試階段 . 26 3.6 設(shè)備安裝階段 . 26 3.7 系統(tǒng)連調(diào)階段 . 27 3.8 INTERNET 連接 . 27 第四章、具體設(shè)備配置實(shí)例 . 29 4.1 Catalyst 6506 . 29 4.2 session 15. 34 4.3 二級(jí)交換機(jī) Catalyst 3500 . 38 4.4 防火墻 PIX520. 41 4.5 CACHE ENGINE 550. 44 4.6 Cisco3640 路由器 . 45 第五章、工程總結(jié) . 47 杭州電子工學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)工程技術(shù)文檔 技術(shù)負(fù)責(zé)人：王勇 地址：杭州市文一路 65 號(hào)杭州電子工業(yè)學(xué)院網(wǎng)絡(luò)信息中心 電話：傳真：E-Mail： 2 第一章、總體設(shè)計(jì) 1.1 用戶需求 此網(wǎng)絡(luò)工程所要達(dá)到的主要目標(biāo)如下： (1)支持全校現(xiàn)有的計(jì)算機(jī)， 連接校園內(nèi)實(shí)驗(yàn)大樓、行政大樓、電教大樓、圖書館和成教大樓等，將本校現(xiàn)有的及將來要配置的各種 PC、工作站和終端通過高性能的網(wǎng)絡(luò)設(shè)備連接起來，組成分布式、開放性的網(wǎng)絡(luò)環(huán)境，以提高教育科研水平。 (2)充分利用原有的主干光纜和樓內(nèi)布線系統(tǒng)，將目前的百兆主干快速以太網(wǎng)升級(jí)到千兆主干、百兆交換到桌面的高速交換式以太網(wǎng)。同時(shí)，保護(hù)原有網(wǎng)絡(luò)設(shè)備投資，將目前運(yùn)行的 IBM 公司系列網(wǎng)絡(luò)產(chǎn)品有效地集成到升級(jí)系統(tǒng)中。 (3)在 Internet 互連網(wǎng)絡(luò)系統(tǒng)平臺(tái)上，以數(shù)據(jù)庫、 Web、電子郵件、為基礎(chǔ)的系統(tǒng)；并構(gòu)建內(nèi)部 Intranet 系 統(tǒng)，與已有系統(tǒng)實(shí)現(xiàn)互聯(lián)。 (4)網(wǎng)絡(luò)與數(shù)據(jù)安全是目前計(jì)算機(jī)信息技術(shù)所面臨的重要挑戰(zhàn)，解決安全問題的技術(shù)與方案有很多，通過防火墻、 web cache 服務(wù)器建設(shè)確定完整統(tǒng)一的安全策略（ Security Policy）也是校園網(wǎng)可靠運(yùn)行的保證。 (5)考慮與其它學(xué)校、科學(xué)教育網(wǎng)絡(luò)相連，可通過 CERNET 與國內(nèi)外其它網(wǎng)絡(luò)相連接、實(shí)現(xiàn)遠(yuǎn)程教學(xué)。 (6)網(wǎng)絡(luò)具有友好、一致的用戶界面和豐富的管理應(yīng)用系統(tǒng)。 (7) 在網(wǎng)絡(luò)升級(jí)基礎(chǔ)上規(guī)劃相應(yīng)的應(yīng)用系統(tǒng)，具體包括： 學(xué)校網(wǎng)站的建設(shè) OA（辦公管理）系統(tǒng)建設(shè)：電子郵件、公文 處理、檔案管理、會(huì)議管理、電子公告、電子論壇、備忘信息等 多媒體輔助教學(xué)系統(tǒng) 杭州電子工學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)工程技術(shù)文檔 技術(shù)負(fù)責(zé)人：王勇 地址：杭州市文一路 65 號(hào)杭州電子工業(yè)學(xué)院網(wǎng)絡(luò)信息中心 電話：傳真：E-Mail： 3 連接原有圖書管理系統(tǒng) VOD 視頻點(diǎn)播及視頻會(huì)議系統(tǒng) 1.2 實(shí)施的目的 分析用戶需求，可知該網(wǎng)絡(luò)工程所含的內(nèi)容包括： (1) 運(yùn)用虛擬網(wǎng)技術(shù)，建設(shè)杭電校園千兆主干網(wǎng) ,使其覆蓋全校各主要建筑物，將學(xué)校內(nèi)各種 PC、 LAN 連接為一個(gè)結(jié)構(gòu)合理、內(nèi)外連通，并支持多種協(xié)議和異種機(jī)的園區(qū)網(wǎng)。 (2) 通過在信息中心代理服務(wù)器的設(shè)立與科教網(wǎng)相連并可與 Internet 互連。 (3) 新校區(qū)的由于 其與科教網(wǎng)相連的特殊性，因此可分別設(shè)立獨(dú)立的三個(gè)代理服務(wù)器與 Internet 互連。 (4) 根據(jù)科學(xué)的安全策略，通過 Cisco PIX520 防火墻配置，從而有效的隔絕內(nèi)網(wǎng)和外網(wǎng)，但同時(shí)又能實(shí)現(xiàn)公網(wǎng)對(duì)杭電校內(nèi)網(wǎng)站和對(duì)外開放資源的訪問。 (5) 通過 Cache Egeine 505 與 Cisco 6506 之間 WCCP 配置建立高速的Internet 訪問通道。 (6) 通過 CiscoWorks 網(wǎng)管軟件實(shí)施有效的網(wǎng)絡(luò)管理。 1.3 系統(tǒng)設(shè)計(jì)原則 連續(xù)性原則：充分利用現(xiàn)有資源（包括現(xiàn)有的網(wǎng)絡(luò)、計(jì)算機(jī)和應(yīng)用 資源），使系統(tǒng)既能與前期系統(tǒng)相銜接，同時(shí)具有一定的可擴(kuò)充性，為后期工作打下基礎(chǔ)。 實(shí)用性原則：在保證使用要求和技術(shù)可行性的前提下，要選擇易于操作、管理、見效的設(shè)計(jì)和設(shè)備。 安全保密原則：設(shè)計(jì)中應(yīng)注意各個(gè)環(huán)節(jié)的安全保密，統(tǒng)籌規(guī)劃，不可偏廢。 杭州電子工學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)工程技術(shù)文檔 技術(shù)負(fù)責(zé)人：王勇 地址：杭州市文一路 65 號(hào)杭州電子工業(yè)學(xué)院網(wǎng)絡(luò)信息中心 電話：傳真：E-Mail： 4 信息共享原則：設(shè)計(jì)必須考慮信息在一定的條件下、一定范圍內(nèi)的共享。 先進(jìn)性原則：系統(tǒng)建設(shè)要與當(dāng)今先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展技術(shù)相適應(yīng)，保證系統(tǒng)的先進(jìn)性、開放性、高可靠性和可擴(kuò)展性的有機(jī)結(jié)合。 1.4 設(shè)計(jì)依據(jù)和規(guī)范 主機(jī)和網(wǎng)絡(luò)設(shè)備的選型符合下列國家和組織的技術(shù)標(biāo)準(zhǔn)和 規(guī)范： GB：中華人民共和國國家標(biāo)準(zhǔn) ISO：國際標(biāo)準(zhǔn)組織 ITU-T：國際電信聯(lián)盟 IEEE：國際電氣與電子工程師協(xié)會(huì) EIA：電氣工業(yè)協(xié)會(huì) IEC：國際電工協(xié)會(huì) 1.5 網(wǎng)絡(luò)設(shè)備服務(wù)卡 （見附件） 1.6 系統(tǒng)軟件登記表 （見附件） 杭州電子工學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)工程技術(shù)文檔 技術(shù)負(fù)責(zé)人：王勇 地址：杭州市文一路 65 號(hào)杭州電子工業(yè)學(xué)院網(wǎng)絡(luò)信息中心 電話：傳真：E-Mail： 5 第二章、杭電網(wǎng)絡(luò)工程施工計(jì)劃 2.1 主要設(shè)備清單 杭電校園網(wǎng)升級(jí)改造工程網(wǎng)絡(luò)主干設(shè)備清單： No. Product No. Description Qty 1 Ws-c6506 Catalyst 6506 chassis 1 2 WS-CAC-1300 Catalyst 6506 Chassis w/ 1300W AC Power Supply 1 3 WS-X6K-S2-MSFC2 Catalyst 6000 Supervisor Engine2-A, 2GE, plus MSFC-2 & PFC 1 4 WS-X6408-GBIC Catalyst 6000 8-port Gigabit Ethernet Module (Req. GBICs) 1 5 WS-G5484 1000BASE-SX Short Wavelength GBIC (Multimode only) 6 6 WS-X6348-RJ-45 Catalyst 6000 48-port 10/100 RJ-45 Module 1 7 WS-C6500-SFM Catalyst 6500 Switch Fabric Model 1 8 WS-C3524-XL-EN Catalyst 3524 XL Enterprise Edition 3 9 WS-C3548-XL-EN Catalyst 3548 XL Enterprise Edition 2 10 WS-G5484 1000BASE-SX Short Wavelength GBIC (Multimode only) 7 11 CISCO3640 Cisco 3600 4-slot Modular Router-AC with IP Software 1 12 NM-2FE2W 2 10/100 Ethernet 2 WAN Card Slot Network Module 1 13 PIX-520-1K-CH Midrange PIX Firewall 520, two 10/100 Enet NICs 1 14 CE-550 Cache Engine 550 1 15 CWW-5.0 Cisco works for windows 6.0 1 16 JSX-FM-2W IBM8274 2 Port Gigabit Ethernet Module 1 Total 杭州電子工學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)工程技術(shù)文檔 技術(shù)負(fù)責(zé)人：王勇 地址：杭州市文一路 65 號(hào)杭州電子工業(yè)學(xué)院網(wǎng)絡(luò)信息中心 電話：傳真：E-Mail： 6 2.2 施工計(jì)劃表 系統(tǒng)設(shè)備列表 Cisco 6506 主交換機(jī) Cisco 3524 二級(jí)換機(jī) Cisco 3548 二級(jí)換機(jī) Cisco PIX520 防火墻 Cache Engine 550 Cisco 3640 路由器 環(huán)境檢查（ 10 分鐘） UPS 電源質(zhì)量 溫度和濕度 接地系統(tǒng)電阻要求 設(shè)備開包（ 60 分鐘） 主交換設(shè)備 二級(jí)交換設(shè) 路由器 防火墻 電源線纜 系統(tǒng)上電（ 20 分鐘） cisco6506 主機(jī)系統(tǒng)（ 10 分鐘） 各 CISCO3500 系列主機(jī)（ 60 分鐘） 系統(tǒng)上電正常以 及上電失敗的相應(yīng)動(dòng)作 對(duì)照系統(tǒng)訂單檢查系統(tǒng)的功能部件（ 30 分鐘） 杭州電子工學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)工程技術(shù)文檔 技術(shù)負(fù)責(zé)人：王勇 地址：杭州市文一路 65 號(hào)杭州電子工業(yè)學(xué)院網(wǎng)絡(luò)信息中心 電話：傳真：E-Mail： 7 中央處理器 內(nèi)存 磁盤（內(nèi)置以及外置） 設(shè)備 /適配器 操作系統(tǒng)安裝（ 150 分鐘 *2） 升級(jí) Cisco3640 IOS 操作系統(tǒng)的（ 150 分鐘） 安裝在線幫助，包括 Info，電子書籍，配置書籍搜索程序 第三章、杭電網(wǎng)絡(luò)工程施工過程 3.1 網(wǎng)絡(luò)設(shè)備詳細(xì)信息和 IP 地址分配表 (見附表 ) 杭州電子工學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)工程技術(shù)文檔 技術(shù)負(fù)責(zé)人：王勇 地址：杭州市文一路 65 號(hào)杭州電子工業(yè)學(xué)院網(wǎng)絡(luò)信息中心 電話：傳真：E-Mail： 8 3.2 VLAN 間訪問規(guī)則 注： 默認(rèn)情況下 VLAN 間的 IP 包訪問不受限制 3.3 施工流程 以下是本次工程中網(wǎng)絡(luò)設(shè)備的施工流程 圖 開始 配置 6506 安裝模塊、配置名字、口令、遠(yuǎn)端控制 配置 VLAN 配置 MSFC 配置 SNMP 配置 3500 安裝模塊、名字、口令、遠(yuǎn)端控制 配置 VLAN 配置 SNMP 配置 網(wǎng)關(guān) 配置 CE-505 名字、口令、遠(yuǎn)端控制 配置 WCCP 配置 網(wǎng)關(guān)、 DNS 配置 PIX 安裝網(wǎng)卡、名字、口令、端口狀態(tài) 配置 端口地址 配置 路由 配置 安全規(guī)則 配置 3640 路由器 安裝模塊、名字、口令、端口狀態(tài) 配置 端口地址 配置 路由 配置 安全規(guī)則 設(shè)備到位 整體聯(lián)調(diào) 測(cè)試與故障解決 杭州電子工學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)工程技術(shù)文檔 技術(shù)負(fù)責(zé)人：王勇 地址：杭州市文一路 65 號(hào)杭州電子工業(yè)學(xué)院網(wǎng)絡(luò)信息中心 電話：傳真：E-Mail： 9 3.4 施工過程 3.4.1 Catalyst 6506 的安裝過程 模塊安裝 安裝 6506 的電源模塊； WS-X6K-S1A-MSFC2； WS-X6408-GBIC； WS-G5484； WS-X6248-RJ-45； WS-C6500-SFM Cisco Catalyst 6506 由工廠根據(jù)定貨單直接安裝好標(biāo)準(zhǔn)配置的模塊，但電源、路由等尚未安裝，所以首先將待安裝的各模塊拆開，裝入 6506 的電源插槽。 上 電檢查 6506 的各個(gè)模塊的工作狀態(tài)是否正常：接入 6506 電源，由于 6506有兩個(gè)電源作為冗余，所以最好兩個(gè)電源分別接入兩路 UPS 電源上，這樣即使當(dāng) UPS 其中一路電源故障時(shí)，不會(huì)影響整個(gè) 6506 交換機(jī)的正常遠(yuǎn)行，當(dāng) 6506交換機(jī)上電初始化結(jié)束后，從各個(gè)模塊面板上的 LED 燈的狀態(tài)可以判斷各個(gè)模塊的工作狀態(tài)是否正常。 3.4.2 配置 Catalyst 6506 的系統(tǒng)參數(shù) 當(dāng) 6506 交換機(jī)初始化結(jié)束后，就進(jìn)入系統(tǒng)單機(jī)配置階段。對(duì)于 6506 來說，首先需要配置系統(tǒng)參數(shù)，其中包括以下幾個(gè)部分：機(jī)器名、口令和遠(yuǎn)程登陸等 。 以下是具體配置過程： cisco6506 enable cisco6506（ enable） set system name cisco6506 杭州電子工學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)工程技術(shù)文檔 技術(shù)負(fù)責(zé)人：王勇 地址：杭州市文一路 65 號(hào)杭州電子工業(yè)學(xué)院網(wǎng)絡(luò)信息中心 電話：傳真：E-Mail： 10 說明：配置 6506 的名字為 CISCO6506 cisco6506 enable cisco6506（ enable） set enable password cisco 說明：配置 6506 的 enable 口令為 cisco cisco6506 enable cisco6506（ enable） set interface sc0 1 / cisco6506（ enable） set ip route / 54 說明：配置 6506的 CPU模塊上的以太網(wǎng) IP地址為： ，且只允許本網(wǎng)段任何地址存取 3.4.3 配置 Catalyst 6506 的 VLAN 網(wǎng)絡(luò) IP 地址分配策略 杭電校園網(wǎng)是覆蓋全院的廣域網(wǎng)絡(luò)，其網(wǎng)絡(luò)主干連接的節(jié)點(diǎn)多，因此，要保證網(wǎng)絡(luò)的有效性和可管理性，網(wǎng)絡(luò)地址的規(guī)劃與分配是十分重要的問題。網(wǎng)絡(luò)地址是一種資源，必須經(jīng)過優(yōu)化 的規(guī)劃和設(shè)計(jì)，因?yàn)楹茈y預(yù)測(cè)網(wǎng)絡(luò)將來的規(guī)模和應(yīng)用情況的發(fā)展，如果規(guī)劃不當(dāng)，將導(dǎo)致地址資源不夠用，網(wǎng)絡(luò)的擴(kuò)展將受到極大的限制；如果規(guī)劃過于龐大，則在現(xiàn)行運(yùn)行過程中，網(wǎng)絡(luò)的路由將會(huì)復(fù)雜，影響網(wǎng)絡(luò)的效率。網(wǎng)絡(luò)地址的分配應(yīng)遵循以下的原則： 唯一性：在同一個(gè)互聯(lián)網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)地址應(yīng)該保持其唯一性； 簡單性：地址的分配應(yīng)該簡單，避免在主干上采用復(fù)雜的掩碼方式； 連續(xù)性：為同一個(gè)網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于縮減路由表的表項(xiàng)，提高路由器的處理效率，這種技術(shù)稱為地址疊合（ Summarization）； 可擴(kuò)充性 ：為一個(gè)網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機(jī)數(shù)量增加時(shí)仍然能夠保持地址的連續(xù)性； 靈活性：地址分配不應(yīng)該基于某個(gè)網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多數(shù)路由策略在該地址分配方案上實(shí)現(xiàn)優(yōu)化； 可管理性：地址的分配應(yīng)該有層次，某個(gè)局部的變動(dòng)不要影響上層、全局。 杭州電子工學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)工程技術(shù)文檔 技術(shù)負(fù)責(zé)人：王勇 地址：杭州市文一路 65 號(hào)杭州電子工業(yè)學(xué)院網(wǎng)絡(luò)信息中心 電話：傳真：E-Mail： 11 在對(duì)一個(gè)具體部門擁有的某個(gè)或幾個(gè)子區(qū)劃分子網(wǎng)時(shí)，要根據(jù)本部門的具體應(yīng)用需求來合理分配子網(wǎng)資源，并且要留有一定的余地，這要從子網(wǎng)數(shù)和某一個(gè)子網(wǎng)所擁有的最大主機(jī)數(shù)兩個(gè)方面來考慮。 根據(jù)我們對(duì)杭電校園網(wǎng)的網(wǎng)絡(luò)地址規(guī)劃和分配的了解，我們采用以 C 類地址為主 B 類地址為輔的地址分配原則。前二位（ 192.168）作為公共網(wǎng)絡(luò)地址，第三位作為各 VLAN 的地址，并第四位的（ 254）作為各 VLAN 的網(wǎng)關(guān) （地址分配表見附表） 杭電計(jì)算機(jī)網(wǎng)絡(luò)根據(jù)業(yè)務(wù)功能的不同，可以分為 51 個(gè) VLAN， 51 個(gè) VLAN 各自獨(dú)立，分別屬于不同的廣播域，默認(rèn)情況下不同 VLAN 間可互相訪問，根據(jù)不同安全策略， access-list 表可作訪問控制 樓幢 機(jī)構(gòu) 端口分配 VLAN ID VLAN 命名 網(wǎng)關(guān) 行政樓 黨政辦領(lǐng)導(dǎo) 1-18 VLAN 10 DangZheng 54 人事處 19-24 VLAN 11 RenShi 54 教務(wù)處 25-27 VLAN 12 JiaoWu 54 科研財(cái)務(wù) 28-32 VLAN 13 Xz_1_west 54 研究所 33-36 VLAN 14 YanjiuSheng 54 組織、宣傳、綜合 37-42 VLAN 15 XuanChuan 54 離休等 54 紀(jì)監(jiān)、后勤、高教等 43-46 VLAN 17 Xz_2_west 54 電教 CAD 1-2 VLAN 18 Cad 54 電教 3-4 VLAN 19 DianJiao 54 計(jì)算中心 5-10 VLAN 20 Computer_Center 54 408 自備房 11-14 VLAN 21 Student 54 杭州電子工學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)工程技術(shù)文檔 技術(shù)負(fù)責(zé)人：王勇 地址：杭州市文一路 65 號(hào)杭州電子工業(yè)學(xué)院網(wǎng)絡(luò)信息中心 電話：傳真：E-Mail： 12 樓幢 機(jī)構(gòu) 端口分配 VLAN ID VLAN 命名 網(wǎng)關(guān) 實(shí)驗(yàn)樓 文理學(xué)院 1-2 VLAN 22 WenLi 54 機(jī)電分院 3-4 VLAN 23 JiDian 54 自動(dòng)化分院 5-6 VLAN 24 ZiDongHua 54 財(cái)經(jīng)分院 7-8 VLAN 25 Caijing 54 管理分院 9-10 VLAN 26 GuanLi 54 計(jì)算機(jī)分院 11-12 VLAN 27 JiSuanJi 54 電子分院 13-14 VLAN 28 DianZi 54 通信分院 15-16 VLAN 29 Tongxin 54 信息 分院 17-18 VLAN 30 XinXi 54 CAE 所 19-20 VLAN 31 CAE 54 設(shè)備處 21-22 VLAN 32 SB_other 54 網(wǎng)管 23-35 VLAN 37 NIC_1(服務(wù)器 ) 54 37-42 VLAN 33 NIC_2（備用） 54 43-48 VLAN 46 NIC_3 （學(xué)生） 54 計(jì)算機(jī)分院 1-2 VLAN 38 proxy 54 3-4 VLAN 39 computer_1 54 5-6 VLAN 40 computer_2 54 7-8 VLAN 41 computer_3 54 9-10 VLAN 42 computer_4 54 11-12 VLAN 43 computer_5 54 13-14 VLAN 44 computer_6 54 樓幢 機(jī)構(gòu) 端口分配 VLAN ID VLAN 命名 網(wǎng)關(guān) 圖書館 服務(wù)器 VLAN 45 LIB_server 54 客戶端 1-24 VLAN 36 Lib_1 54 杭州電子工學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)工程技術(shù)文檔 技術(shù)負(fù)責(zé)人：王勇 地址：杭州市文一路 65 號(hào)杭州電子工業(yè)學(xué)院網(wǎng)絡(luò)信息中心 電話：傳真：E-Mail： 13 具體配置過程如下： cisco6506（ enable） set vtp domain hzdzgxy cisco6506（ enable） set vtp passwd cisco cisco6506（ enable） set vlan 10 name dangzheng cisco6506（ enable） set vlan 11 name renshi cisco6506（ enable） set vlan 12 name jiaowu cisco6506（ enable） set vlan 13 name xz_1_west cisco6506（ enable） set vlan 14 name yanjiusheng cisco6506（ enable） set vlan 15 name xuanchuan cisco6506（ enable） set vlan 16 name xz_other1 cisco6506（ enable） set vlan 17 name xz_other cisco6506（ enable） set vlan 18 name cad cisco6506（ enable） set vlan 19 name dianjiao cisco6506（ enable） set vlan 20 name computer_center cisco6506（ enable） set vlan 21 name shudent cisco6506（ enable） set vlan 22 name wenli cisco6506（ enable） set vlan 23 name jidian cisco6506（ enable） set vlan 24 name zidonghua cisco6506（ enable） set vlan 25 name caijing cisco6506（ enable） set vlan 26 name guanli cisco6506（ enable） set vlan 27 name jisuanji cisco6506（ enable） set vlan 28 name dianzi cisco6506（ enable） set vlan 29 name tongxin cisco6506（ enable） set vlan 30 name xinxi cisco6506（ enable） set vlan 31 name cae 杭州電子工學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)工程技術(shù)文檔 技術(shù)負(fù)責(zé)人：王勇 地址：杭州市文一路 65 號(hào)杭州電子工業(yè)學(xué)院網(wǎng)絡(luò)信息中心 電話：傳真：E-Mail： 14 cisco6506（ enable） set vlan 32 name sb_other cisco6506（ enable） set vlan 33 name nic_2 cisco6506（ enable） set vlan 34 name chengjiao cisco6506（ enable） set vlan 35 name lib cisco6506（ enable） set vlan 36 name lib_1 cisco6506（ enable） set vlan 37 name nic_1 cisco6506（ enable） set vlan 38 name proxy cisco6506（ enable） set vlan 39 name computer_1 cisco6506（ enable） set vlan 40 name computer_2 cisco6506（ enable） set vlan 41 name computer_3 cisco6506（ enable） set vlan 42 name computer_4 cisco6506（ enable） set vlan 43 name computer_5 cisco6506（ enable） set vlan 44 name computer_6 cisco6506（ enable） set vlan 45 name lib_server cisco6506（ enable） set vlan 46 name nic_3 cisco6506（ enable） set vlan 48 name dialup cisco6506（ enable） set vlan 50 name 408 cisco6506（ enable） set vlan 51 name wy type cisco6506（ enable） set vlan 999 name cache ! 說明：設(shè)置 6506 的 VLAN 名字和 VTP 模式 cisco6506（ enable） set trunk 2/1 nonegotiate isl 1-1005,1025-4094 cisco6506（ enable） set trunk 2/2 nonegotiate isl 1-1005,1025-4094 cisco6506（ enable） set trunk 2/3 nonegotiate isl 1-1005,1025-4094 cisco6506（ enable） set trunk 2/4 nonegotiate isl 1-1005,1025-4094 cisco6506（ enable） set trunk 2/5 nonegotiate isl 1-1005,1025-4094 cisco6506（ enable） set trunk 2/6 nonegotiate isl 1-1005,1025-4094 cisco6506（ enable） set trunk 2/7 nonegotiate isl 1-1005,1025-4094 杭州電子工學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)工程技術(shù)文檔 技術(shù)負(fù)責(zé)人：王勇 地址：杭州市文一路 65 號(hào)杭州電子工業(yè)學(xué)院網(wǎng)絡(luò)信息中心 電話：傳真：E-Mail： 15 cisco6506（ enable） set trunk 2/8 nonegotiate isl 1-1005,1025-4094 說明：設(shè)置 6506 的第二模塊 1-8 口為主干模式，并采用 ISL 協(xié)議并不可磋商。 3.4.4 配置配置 6509 交換機(jī)的三層交換模塊 當(dāng)在 6506 上劃分了 VLAN 以后，桌面工作站就可以根據(jù)不同的需求分別加入到對(duì)應(yīng)的 VLAN 中去，不同的 VLAN 的客戶機(jī)就分別屬于不同的廣播域，有各自不同的 IP 地址段，當(dāng)需要跨網(wǎng)段互相訪問時(shí)，就必須通過路由。 6506 可以帶三層交換 MSFC 模塊，本系統(tǒng)中由于在 6506 上有一個(gè)超級(jí)引擎上配置了一塊MSFC 模塊，隨著杭電計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，系統(tǒng)可能的情況下，就可以利用 CISCO的 HSRP 協(xié)議作熱備份，再配置一臺(tái)或者多臺(tái)支持 HSRP 協(xié)議的三層交換機(jī)，即當(dāng)其中任何一塊 MSFC 模塊故障時(shí)，另外一塊可以立即接替原來的模塊繼續(xù)工作，切換時(shí)間很短。我們可實(shí)現(xiàn) 51 個(gè) VLAN 分別優(yōu)先運(yùn)行在多個(gè)三層路由模塊上，這樣在系統(tǒng)無故障時(shí)，能到達(dá)路由數(shù)據(jù)負(fù)載分擔(dān)的目的。 3.4.5 配置 6506 交換機(jī) VLAN 間的訪問規(guī)則 當(dāng)數(shù)據(jù)在 VLAN 間路由時(shí)，出于對(duì)各獨(dú)立系統(tǒng)的安全考慮，在各 VLAN 路由端口上應(yīng)用訪問列表，使 VLAN 之間的數(shù)據(jù)按規(guī)則通過。 針對(duì)每個(gè) VLAN 的所屬機(jī)構(gòu)將安全規(guī)則量化，再依次應(yīng)用在端 口上。 Access-list 1 permit any any 其他 VLAN 的訪問規(guī)則見最后的具體配置。 3.4.6 配置 6506 交換機(jī)的 CDP 和 SNMP 當(dāng)交換機(jī)需要被網(wǎng)管時(shí)，必須配置交換機(jī)的 CDP 和 SNMP 參數(shù)，其中 CDP協(xié)議是 CISCO 公司特有的一種協(xié)議，而 SNMP 是標(biāo)準(zhǔn)的簡單網(wǎng)絡(luò)管理協(xié)議。其中 SNMP 協(xié)議需要有一個(gè) COMMUNITY NAME 控制對(duì)交換機(jī)的讀寫，在本次工 杭州電子工學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)工程技術(shù)文檔 技術(shù)負(fù)責(zé)人：王勇 地址：杭州市文一路 65 號(hào)杭州電子工業(yè)學(xué)院網(wǎng)絡(luò)信息中心 電話：傳真：E-Mail： 16 程中，我們定義了以下的 COMMUNITY NAME： READWRITE： PRIVATE READONLY： PUBLIC 以下是具體配置命令： cisco6506enable cisco6506(enable)set cdp enable 說明：啟用 6506 交換機(jī)的 CDP 協(xié)議。 Cisco6506(enable)set snmp enable all 說明：啟用 6506 交換機(jī)的 SNMP 功能，并啟用默認(rèn)的關(guān)鍵字 PUBLIC 為只讀，PRIVATE 為讀寫。 3.4.7 配置 6506 交換機(jī)的 STP 由于在設(shè)計(jì)的過程中，為了增加網(wǎng)絡(luò)的可靠性，在核心層交換機(jī)與匯接層交換機(jī)之間、以及核心應(yīng)用中均設(shè)計(jì)了雙冗余鏈路。為了避 免這些冗余鏈路所形成的透明橋接問題，必須使生成樹協(xié)議（ STP）有效工作。 啟動(dòng)生成樹 cisco6506(enable)set spantree enable all 3.4.8 配置 Catalyst 3500 的安裝過程 Catalyst 3500 系列是 CISCO 公司的提供 1000 兆上行端口的桌面交換機(jī)，本次工程中包括 3 臺(tái) catalyst3524 交換機(jī)和 2 臺(tái) catalyst3548 交換機(jī)，配置過程完全一樣。 以下是具體配置過程： 3524 的配置： Current configuration: ! version 12.0 no service pad 杭州電子工學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)工程技術(shù)文檔 技術(shù)負(fù)責(zé)人：王勇 地址：杭州市文一路 65 號(hào)杭州電子工業(yè)學(xué)院網(wǎng)絡(luò)信息中心 電話：傳真：E-Mail： 17 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname lib 說明：配置 3524 的 NAME 為 lib。 enable secret 5 $1$G3SM$DbzVKE3l/fkYHpoi0XUug/ enable password cisco 說明：配置 3524 的口令 interface FastEthernet0/1 switchport access vlan 35 說明：配置端口 1 屬于 VLAN135 interface GigabitEthernet0/1 switchport mode trunk switchport trunk encapsulation dot1q 說明：兩個(gè)千兆的上行口配置為 TRUNK 方式。 interface VLAN1 ip address no ip directed-broadcast no ip route-cache 說明：配置 VLAN1 的 IP 地址 vtp client 說明：配置 VTP 為 CLIENT 方式 vtp domain hzdzgxy 說明：配置 VTP 域名為 hzdzgxy line vty 0 4 password cisco login line vty 5 15 password cisco login 說明：配置遠(yuǎn)程登陸的口令為 cisco 杭州電子工學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)工程技術(shù)文檔 技術(shù)負(fù)責(zé)人：王勇 地址：杭州市文一路 65 號(hào)杭州電子工業(yè)學(xué)院網(wǎng)絡(luò)信息中心 電話：傳真：E-Mail： 18 3.4.9 配置 Cisco 防火墻 PIX 520 的安裝過程 配置 PIX 的基本屬性 將 PIX 安