校園網(wǎng)網(wǎng)絡(luò)工程實(shí)施方案

（建筑工程管理）校園網(wǎng)網(wǎng)

絡(luò)工程實(shí)施方案

2020年4月

多年的企業(yè)咨詢顧問經(jīng)驗(yàn)，經(jīng)過實(shí)戰(zhàn)險(xiǎn)證可以落地執(zhí)行的卓越管理方案，值得您下載擁有!

目錄

第一章、總體設(shè)計(jì)4

L1用戶需求4

1.2實(shí)施的目的5

1.3系統(tǒng)設(shè)計(jì)原則6

1.4設(shè)計(jì)依據(jù)和規(guī)范6

1.5網(wǎng)絡(luò)設(shè)備服務(wù)卡7

1.6系統(tǒng)軟件登記表7

第二章、杭電網(wǎng)絡(luò)工程施工計(jì)劃7

2.1主要設(shè)備清單7

2.2施工計(jì)劃表8

第三章、杭電網(wǎng)絡(luò)工程施工過程9

3.1網(wǎng)絡(luò)設(shè)備詳細(xì)信息和IP地址分配表9

3.2VLAN間訪問規(guī)則10

3.3施工流程10

3.4施工過程10

3.4.1Catalyst6506的安裝過程10

3.4.2配置Catalyst6506的系統(tǒng)參數(shù)U

3.4.3配置Catalyst6506的VLAN12

3.4.4配置配置6509交換機(jī)的三層交換模塊18

3.4.5配置6506交換機(jī)VLAN間的訪問規(guī)則18

3.4.6配置6506交換機(jī)的CDP和SNMP19

3.4.7配置6506交換機(jī)的STP19

3.4.8配置Catalyst3500的安裝過程20

3.4.9配置Cisco防火墻PIX520的安裝過程22

3.4.10配置CACHEENGINE550的安裝過程25

3.4.11配置Cisco3640的安裝過程27

3.4.12配置CiscoWorks網(wǎng)管軟件30

3.5設(shè)備模擬連接調(diào)試階段32

3.6設(shè)備安裝階段32

3.7系統(tǒng)連調(diào)階段32

3.8INTERNET連接32

第四章、具體設(shè)備配置實(shí)例34

4.1Catalyst650634

4.2sessionl543

4.3二級(jí)交換機(jī)Catalyst350051

4.4防火墻PIX52057

4.5CACHEENGINE55062

4.6Cisco3640路由器64

第五章、工程總結(jié)68

第一章、總體設(shè)計(jì)

1.1用戶需求

此網(wǎng)絡(luò)工程所要達(dá)到的主要目標(biāo)如下：

(1)支持全?，F(xiàn)有的計(jì)算機(jī)，連接校園內(nèi)實(shí)驗(yàn)大樓、行政大樓、電教大樓、圖書館

和成教大樓等，將本?，F(xiàn)有的及將來要配置的各種PC、工作站和終端通過高性

能的網(wǎng)絡(luò)設(shè)備連接起來,組成分布式、開放性的網(wǎng)絡(luò)環(huán)境，以提高教育科研水平。

(2)充分利用原有的主干光纜和樓內(nèi)布線系統(tǒng)，將目前的百兆主干快速以太網(wǎng)

升級(jí)到千兆主干、百兆交換到桌面的高速交換式以太網(wǎng)。同時(shí)，保護(hù)原有網(wǎng)絡(luò)設(shè)

備投資，將目前運(yùn)行的IBM公司系列網(wǎng)絡(luò)產(chǎn)品有效地集成到升級(jí)系統(tǒng)中。

(3)在Internet互連網(wǎng)絡(luò)系統(tǒng)平臺(tái)上，以數(shù)據(jù)庫、Web、電子郵件、為基礎(chǔ)

的系統(tǒng)；并構(gòu)建內(nèi)部Intranet系統(tǒng)，與已有系統(tǒng)實(shí)現(xiàn)互聯(lián)。

(4)網(wǎng)絡(luò)與數(shù)據(jù)安全是目前計(jì)算機(jī)信息技術(shù)所面臨的重要挑戰(zhàn)，解決安全問題

的技術(shù)與方案有很多,通過防火墻、webcache服務(wù)器建設(shè)確定完整統(tǒng)一的安全

策略(SecurityPolicy)也是校園網(wǎng)可靠運(yùn)行的保證。

(5)考慮與其它學(xué)校、科學(xué)教育網(wǎng)絡(luò)相連,可通過CERNET與國內(nèi)外其它網(wǎng)

絡(luò)相連接、實(shí)現(xiàn)遠(yuǎn)程教學(xué)。

(6)網(wǎng)絡(luò)具有友好、一致的用戶界面和豐富的管理應(yīng)用系統(tǒng)。

(7)在網(wǎng)絡(luò)升級(jí)基礎(chǔ)上規(guī)劃相應(yīng)的應(yīng)用系統(tǒng)，具體包括：

o學(xué)校網(wǎng)站的建設(shè)

。OA(辦公管理)系統(tǒng)建設(shè)：電子郵件、公文處理、檔案管理、會(huì)議管

理、電子公告、電子論壇、備忘信息等

。多媒體輔助教學(xué)系統(tǒng)

o連接原有圖書管理系統(tǒng)

。VOD視頻點(diǎn)播及視頻會(huì)議系統(tǒng)

1.2實(shí)施的目的

分析用戶需求，可知該網(wǎng)絡(luò)工程所含的內(nèi)容包括：

(1)運(yùn)用虛擬網(wǎng)技術(shù)，建設(shè)杭電校園千兆主干網(wǎng)，使其覆蓋全校各主要建筑物，將

學(xué)校內(nèi)各種PC、LAN連接為一個(gè)結(jié)構(gòu)合理、內(nèi)外連通,并支持多種協(xié)議和異種

機(jī)的園區(qū)網(wǎng)。

(2)通過在信息中心代理服務(wù)器的設(shè)立與科教網(wǎng)相連并可與Internet互連。

(3)新校區(qū)的由于其與科教網(wǎng)相連的特殊性，因此可分別設(shè)立獨(dú)立的三個(gè)代理服務(wù)

器與Internet互連。

(4)根據(jù)科學(xué)的安全策略,通過CiscoPIX520防火墻配置,從而有效的隔絕內(nèi)網(wǎng)

和外網(wǎng)，但同時(shí)又能實(shí)現(xiàn)公網(wǎng)對(duì)杭電校內(nèi)網(wǎng)站和對(duì)外開放資源的訪問。

⑸通過CacheEgeine505與Cisco6506之間WCCP配置建立高速的

Internet訪問通道。

(6)通過CiscoWorks網(wǎng)管軟件實(shí)施有效的網(wǎng)絡(luò)管理。

1.3系統(tǒng)設(shè)計(jì)原則

?連續(xù)性原則：充分利用現(xiàn)有資源（包括現(xiàn)有的網(wǎng)絡(luò)、計(jì)算機(jī)和應(yīng)用資源）,

使系統(tǒng)既能與前期系統(tǒng)相銜接，同時(shí)具有一定的可擴(kuò)充性，為后期工作

打下基礎(chǔ)。

?實(shí)用性原則：在保證使用要求和技術(shù)可行性的前提下，要選擇易于操作、

管理、見效的設(shè)計(jì)和設(shè)備。

?安全保密原則：設(shè)計(jì)中應(yīng)注意各個(gè)環(huán)節(jié)的安全保密，統(tǒng)籌規(guī)劃，不可偏廢。

?信息共享原則：設(shè)計(jì)必須考慮信息在一定的條件下、一定范圍內(nèi)的共享。

?先進(jìn)性原則：系統(tǒng)建設(shè)要與當(dāng)今先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展技術(shù)相適應(yīng)，保證

系統(tǒng)的先進(jìn)性、開放性、高可靠性和可擴(kuò)展性的有機(jī)結(jié)合。

1.4設(shè)計(jì)依據(jù)和規(guī)范

主機(jī)和網(wǎng)絡(luò)設(shè)備的選型符合下列國家和組織的技術(shù)標(biāo)準(zhǔn)和規(guī)范：

GB:中華人民共和國國家標(biāo)準(zhǔn)

ISO:國際標(biāo)準(zhǔn)組織

ITU-T:國際電信聯(lián)盟

IEEE:國際電氣與電子工程師協(xié)會(huì)

EIA:電氣工業(yè)協(xié)會(huì)

IEC:國際電工協(xié)會(huì)

1.5網(wǎng)絡(luò)設(shè)備服務(wù)卡

（見附件）

1.6系統(tǒng)軟件登記表

（見附件）

第二章、杭電網(wǎng)絡(luò)工程施工計(jì)劃

2.1主要設(shè)備清單

杭電校園網(wǎng)升級(jí)改造工程網(wǎng)絡(luò)主干設(shè)備清單：

No.ProductNo.DescriptionQty

1Ws-c6506Catalyst6506chassis1

2WS-CAC-1300Catalyst6506Chassisw/1300WACPowerSupply1

WS-X6K-S2-MSFCCatalyst6000SupervisorEngine2-A2GEplusMSFC-

3,z1

22&PFC

Catalyst60008-portGigabitEthernetModule(Req.GB

4WS-X6408-GBIC1

ICs)

1000BASE-SX"ShortWavelength"GBIC(Multimodeo

5WS-G54846

nly)

6WS-X6348-RJ-45Catalyst600048-portl0/100RJ-45Module1

7WS-C6500-SFMCatalyst6500SwitchFabricModel1

8WS-C3524-XL-ENCatalyst3524XLEnterpriseEdition3

9WS-C3548-XL-ENCatalyst3548XLEnterpriseEdition2

1000BASE-SX"ShortWavelength"GBIC(Multimodeo

10WS-G54847

nly)

11CISCO3640Cisco36004-slotModularRouter-ACwithIPSoftware1

12NM-2FE2W210/100Ethernet2WANCardSlotNetworkModule1

13PIX-520-1K-CHMidrangePIXFirewall520,twol0/100EnetNICs1

14CE-550CacheEngine5501

15CWW-5.0Ciscoworksforwindows6.01

16JSX-FM-2WIBM82742PortGigabitEthernetModule1

Total

2.2施工計(jì)劃表

?系統(tǒng)設(shè)備列表

☆Cisco6506主交換機(jī)

☆Cisco3524二級(jí)換機(jī)

☆Cisco3548二級(jí)換機(jī)

☆CiscoPIX520防火墻

☆CacheEngine550

☆Cisco3640路由器

環(huán)境檢查（10分鐘）

☆UPS

☆電源質(zhì)量

☆溫度和濕度

☆接地系統(tǒng)電阻要求

設(shè)備開包（60分鐘）

主交換設(shè)備

二級(jí)交換設(shè)

路由器

防火墻

電源線纜

系統(tǒng)上電（20分鐘）

cisco6506主機(jī)系統(tǒng)（10分鐘）

各CISC03500系列主機(jī)（60分鐘）

系統(tǒng)上電正常以及上電失敗的相應(yīng)動(dòng)作

對(duì)照系統(tǒng)訂單檢查系統(tǒng)的功能部件（30分鐘）

中央處理器

內(nèi)存

磁盤（內(nèi)置以及外置）

設(shè)備/適配器

操作系統(tǒng)安裝（150分鐘*2）

升級(jí)Cisco3640IOS操作系統(tǒng)的（150分鐘）

安裝在線幫助，包括Info,電子書籍，配置書籍搜索程序

第三章、杭電網(wǎng)絡(luò)工程施工過程

3.1網(wǎng)絡(luò)設(shè)備詳細(xì)信息和IP地址分配表

（見附表）

3.2VLAN間訪問規(guī)則

注：

默認(rèn)情況下VLAN間的IP包訪問不受限制

3.3施工流程

以下是本次工程中網(wǎng)絡(luò)設(shè)備的施工流程圖

r、

->配置->配置->配置

VLANMSFCSNMP

X.______________________________z<_______>k.______________________________7

f、

fAWS-X6K-SlZrMSFC2；J配置

酉己置CE-505-；.名字、口令、遠(yuǎn)端->配置T

k年制.WCCP網(wǎng)關(guān)、DNS

WWS-M6408-GE______________

，由于6506

有兩個(gè)電源作為冗余，所以最好兩個(gè)電源分別接入兩路UPS電源上，這樣即使

當(dāng)UPS其中一路電源故障時(shí),不會(huì)影響整個(gè)6506交換機(jī)的正常遠(yuǎn)行,當(dāng)6506

交換機(jī)上電初始化結(jié)束后，從各個(gè)模塊面板上的LED燈的狀態(tài)可以判斷各個(gè)模塊

的工作狀態(tài)是否正常。

3.4.2配置Catalyst6506的系統(tǒng)參數(shù)

當(dāng)6506交換機(jī)初始化結(jié)束后,就進(jìn)入系統(tǒng)單機(jī)配置階段。對(duì)于6506來說,

首先需要配置系統(tǒng)參數(shù)，其中包括以下幾個(gè)部分：機(jī)器名、口令和遠(yuǎn)程登陸等。

以下是具體配置過程：

cisco6506>enable

cisco6506>(enable)setsystemnamecisco6506

說明：酉己置6506的名字為CISCO6506

cisco6506>enable

cisco6506>(enable)setenablepasswordcisco

說明:配置6506的enable口令為cisco

cisco6506>enable

cisco6506>(enable)setinterfacesc01/

cisco6506>(enable)setiproute/54

說明：配置6506的CPU模塊上的以太網(wǎng)IP地址為:,且只允許本網(wǎng)

段任何地址存取

3.4.3酉己置Catalyst6506的VLAN

網(wǎng)絡(luò)IP地址分配策略

杭電校園網(wǎng)是覆蓋全院的廣域網(wǎng)絡(luò)，其網(wǎng)絡(luò)主干連接的節(jié)點(diǎn)多，因此，要保

證網(wǎng)絡(luò)的有效性和可管理性，網(wǎng)絡(luò)地址的規(guī)劃與分配是十分重要的問題。網(wǎng)絡(luò)地

址是一種資源，必須經(jīng)過優(yōu)化的規(guī)劃和設(shè)計(jì)，因?yàn)楹茈y預(yù)測(cè)網(wǎng)絡(luò)將來的規(guī)模和應(yīng)

用情況的發(fā)展，如果規(guī)劃不當(dāng)，將導(dǎo)致地址資源不夠用，網(wǎng)絡(luò)的擴(kuò)展將受到極大

的限制；如果規(guī)劃過于龐大，則在現(xiàn)行運(yùn)行過程中，網(wǎng)絡(luò)的路由將會(huì)復(fù)雜，影響

網(wǎng)絡(luò)的效率。網(wǎng)絡(luò)地址的分配應(yīng)遵循以下的原則：

。唯一性：在同一個(gè)互聯(lián)網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)地址應(yīng)該保持其唯一性；

。簡(jiǎn)單性：地址的分配應(yīng)該簡(jiǎn)單，避免在主干上采用復(fù)雜的掩碼方式；

。連續(xù)性：為同一個(gè)網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于縮減路由表的表項(xiàng)，提

高路由器的處理效率，這種技術(shù)稱為地址疊合(Summarization);

?？蓴U(kuò)充性：為一個(gè)網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機(jī)數(shù)

量增加時(shí)仍然能夠保持地址的連續(xù)性；

。靈活性：地址分配不應(yīng)該基于某個(gè)網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多數(shù)路

由策略在該地址分配方案上實(shí)現(xiàn)優(yōu)化；

?？晒芾硇裕旱刂返姆峙鋺?yīng)該有層次，某個(gè)局部的變動(dòng)不要影響上層、全局。

在對(duì)一個(gè)具體部門擁有的某個(gè)或幾個(gè)子區(qū)劃分子網(wǎng)時(shí)，要根據(jù)本部門的具體

應(yīng)用需求來合理分配子網(wǎng)資源，并且要留有一定的余地，這要從子網(wǎng)數(shù)和某一個(gè)

子網(wǎng)所擁有的最大主機(jī)數(shù)兩個(gè)方面來考慮。

根據(jù)我們對(duì)杭電校園網(wǎng)的網(wǎng)絡(luò)地址規(guī)劃和分配的了解，我們采用以C類地址

為主B類地址為輔的地址分配原則。前二位（192.168）作為公共網(wǎng)絡(luò)地址，第

三位作為各VLAN的地址，并第四位的（254）作為各VLAN的網(wǎng)關(guān)

（地址分配表見附表）

杭電計(jì)算機(jī)網(wǎng)絡(luò)根據(jù)業(yè)務(wù)功能的不同，可以分為51個(gè)VLAN,51個(gè)VLAN各自

獨(dú)立,分別屬于不同的廣播域,默認(rèn)情況下不同VLAN間可互相訪問,根據(jù)不同

安全策略，access-list表可作訪問控制

端口分

樓幢機(jī)構(gòu)VLANIDVLAN命名網(wǎng)關(guān)

配

黨政辦領(lǐng)導(dǎo)1-18VLAN10DangZheng54

人事處19-24VLAN11RenShi54

教務(wù)處25-27VLAN12JiaoWu54

科研財(cái)務(wù)28-32VLAN13Xz_l_west54

行政樓研究所33-36VLAN14YanjiuShen54

g

組織、宣傳、綜合37-42VLAN15XuanChuan54

離休等54

紀(jì)監(jiān)、后勤、高教43-46VLAN17Xz_2_west54

等

CAD1-2VLAN18Cad54

電教3-4VLAN19DianJiao54

電教計(jì)算中心5-10VLAN20Computer54

Center

408自備房11-14VLAN21Student54

樓幢機(jī)構(gòu)端口分配VLANIDVLAN命名網(wǎng)關(guān)

文理學(xué)院1-2VLAN22WenLi54

機(jī)電分院3-4VLAN23JiDian54

自動(dòng)化分院5-6VLAN24ZiDongHua54

財(cái)經(jīng)分院7-8VLAN25Caijing54

管理分院9-10VLAN26GuanLi54

計(jì)算機(jī)分院11-12VLAN27JiSuanJi54

實(shí)驗(yàn)樓電子分院13-14VLAN28DianZi54

通信分院15-16VLAN29Tongxin54

信息分院17-18VLAN30XinXi54

CAE所19-20VLAN31CAE54

設(shè)備處21-22VLAN32SB_other54

23-35VLAN37NICJ（服務(wù)器）54

網(wǎng)管37-42VLAN33NIC_2（備用）54

43-48VLAN46NIC_3（學(xué)生）54

5

1-2VLAN38proxy

4

計(jì)算機(jī)分5

3-4VLAN39computer_l

院4

5

5-6VLAN40computer_2

4

5

7-8VLAN41computer_3

4

5

9-10VLAN42computer_4

4

5

11-12VLAN43computer_5

4

5

13-14VLAN44computer_6

4

端口分

樓幢機(jī)構(gòu)VLANIDVLAN命名網(wǎng)關(guān)

配

服務(wù)器VLAN45LIB_server54

圖書館

客戶端1-24VLAN36Lib_l54

具體配置過程如下：

cisco6506>(enable)setvtpdomainhzdzgxy

cisco6506>(enable)setvtppasswdcisco

cisco6506>(enable)setvIanlOnamedangzheng

cisco6506>(enable)setvlanllnamerenshi

cisco6506>(enable)setvlanl2namejiaowu

cisco6506>(enable)setvlanl3namexz_l_west

cisco6506>(enable)setvlanl4nameyanjiusheng

cisco6506>(enable)setvlanl5namexuanchuan

cisco6506>(enable)setvlanl6namexz_otherl

cisco6506>(enable)setvlanl7namexz_other

cisco6506>(enabe)setvlanl8namecad

cisco6506>(enable)setvlanl9namedianjiao

cisco6506>(enable)setvlan20namecomputer_center

cisco6506>(enable)setvlan21nameshudent

cisco6506>(enabe)setvlan22namewenli

cisco6506>(enabe)setvlan23namejidian

cisco6506>(enabe)setvlan24namezidonghua

cisco6506>(enabe)setvlan25namecaijing

cisco6506>(enable)setvlan26nameguanli

cisco6506>(enable)setvlan27namejisuanji

cisco6506>(enable)setvlan28namedianzi

cisco6506>(enable)setvlan29nametongxin

cisco6506>(enable)setvlan30namexinxi

cisco6506>(enabe)setvlan31namecae

cisco6506>(enable)setvlan32namesb_other

cisco6506>(enable)setvlan33namenic_2

cisco6506>(enable)setvlan34namechengjiao

cisco6506>(enable)setvlan35namelib

cisco6506>(enabe)setvlan36namelib_l

cisco6506>(enable)setvlan37namenic_l

cisco6506>(enable)setvlan38nameproxy

cisco6506>(enable)setvlan39namecomputer_l

cisco6506>(enable)setvlan40namecomputer_2

cisco6506>(enable)setvlan41namecomputer_3

cisco6506>(enable)setvlan42namecomputer_4

cisco6506>(enable)setvlan43namecomputer_5

cisco6506>(enable)setvlan44namecomputer_6

cisco6506>(enable)setvlan45namelib_server

cisco6506>(enable)setvlan46namenic_3

cisco6506>(enable)setvlan48namedialup

cisco6506>(enable)setvlan50name408

cisco6506>(enable)setvlan51namewytype

cisco6506>(enable)setvlan999namecache

說明：設(shè)置6506的VLAN名字和VTP模式

cisco6506>(enable)settrunk2/lnonegotiateisll-1005,1025-4094

cisco6506>(enable)settrunk2/2nonegotiateisll-1005,1025-4094

cisco6506>(enable)settrunk2/3nonegotiateisll-1005,1025-4094

cisco6506>(enable)settrunk2/4nonegotiateisll-1005,1025-4094

cisco6506>(enable)settrunk2/5nonegotiateisll-1005,1025-4094

cisco6506>(enable)settrunk2/6nonegotiateisll-1005,1025-4094

cisco6506>(enable)settrunk2/7nonegotiateisll-1005,1025-4094

cisco6506>(enable)settrunk2/8nonegotiateisll-1005,1025-4094

說明：設(shè)置6506的第二模塊1-8口為主干模式,并采用ISL協(xié)議并不可磋商。

3.4.4配置配置6509交換機(jī)的三層交換模塊

當(dāng)在6506上劃分了VLAN以后，桌面工作站就可以根據(jù)不同的需求分別加入到

對(duì)應(yīng)的VLAN中去，不同的VLAN的客戶機(jī)就分別屬于不同的廣播域，有各自

不同的IP地址段,當(dāng)需要跨網(wǎng)段互相訪問時(shí),就必須通過路由。6506可以帶三

層交換MSFC模塊,本系統(tǒng)中由于在6506上有一個(gè)超級(jí)引擎上配置了一塊

MSFC模塊，隨著杭電計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，系統(tǒng)可能的情況下，就可以利用CISCO

的HSRP協(xié)議作熱備份,再配置一臺(tái)或者多臺(tái)支持HSRP協(xié)議的三層交換機(jī),即

當(dāng)其中任何一塊MSFC模塊故障時(shí)，另外一塊可以立即接替原來的模塊繼續(xù)工

作，切換時(shí)間很短。我們可實(shí)現(xiàn)51個(gè)VLAN分別優(yōu)先運(yùn)行在多個(gè)三層路由模塊

上,這樣在系統(tǒng)無故障時(shí)，能到達(dá)路由數(shù)據(jù)負(fù)載分擔(dān)的目的。

3.4.5配置6506交換機(jī)VLAN間的訪問規(guī)則

當(dāng)數(shù)據(jù)在VLAN間路由時(shí)，出于對(duì)各獨(dú)立系統(tǒng)的安全考慮，在各VLAN路由端

口上應(yīng)用訪問列表，使VLAN之間的數(shù)據(jù)按規(guī)則通過。

針對(duì)每個(gè)VLAN的所屬機(jī)構(gòu)將安全規(guī)則量化,再依次應(yīng)用在端口上。

Access-listlpermitanyany

其他VLAN的訪問規(guī)則見最后的具體配置。

3.4.6配置6506交換機(jī)的CDP和SNMP

當(dāng)交換機(jī)需要被網(wǎng)管時(shí)，必須配置交換機(jī)的CDP和SNMP參數(shù)，其中CDP協(xié)

議是CISCO公司特有的一種協(xié)議，而SNMP是標(biāo)準(zhǔn)的簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議。其中

SNMP協(xié)議需要有一個(gè)COMMUNITYNAME控制對(duì)交換機(jī)的讀寫，在本次工

程中,我們定義了以下的COMMUNITYNAME:

READWRITE:PRIVATE

READONLY:PUBLIC

以下是具體配置命令：

cisco6506>enable

cisco6506>(enable)setcdpenable

說明：?jiǎn)⒂?506交換機(jī)的CDP協(xié)議。

Cisco6506>(enable)setsnmpenableall

說明：?jiǎn)⒂?506交換機(jī)的SNMP功能，并啟用默認(rèn)的關(guān)鍵字PUBLIC為只讀，

PRIVATE為讀寫。

3.4.7酉已置6506交換機(jī)的STP

由于在設(shè)計(jì)的過程中，為了增加網(wǎng)絡(luò)的可靠性，在核心層交換機(jī)與匯接層交換機(jī)

之間、以及核心應(yīng)用中均設(shè)計(jì)了雙冗余鏈路。為了避免這些冗余鏈路所形成的透

明橋接問題，必須使生成樹協(xié)議(STP)有效工作。

啟動(dòng)生成樹

cisco6506>(enable)setspantreeenableall

3.4.8配置Catalyst3500的安裝過程

Catalyst3500系列是CISCO公司的提供1000兆上行端口的桌面交換機(jī)，本次

工程中包括3臺(tái)catalyst3524交換機(jī)和2臺(tái)catalyst3548交換機(jī)，配置過程完

全一樣。

以下是具體配置過程：

3524的配置:

Currentconfiguration:

I

versionl2.0

noservicepad

servicetimestampsdebuguptime

servicetimestampsloguptime

noservicepassword-encryption

!

hostnamelib

說明：配置的為

3524NAMElibo

enablesecret5$l$G3SM$DbzVKE3l/fkYHpoi0XUug/

enablepasswordcisco

說明：配置3524的口令

interfaceFastEthernetO/1

switchportaccessvlan35

說明：配置端口1屬于VLAN135

interfaceGigabitEthernetO/1

switchportmodetrunk

switchporttrunkencapsulationdotlq

說明：兩個(gè)千兆的上行口配置為TRUNK方式。

interfaceVLANl

ipaddressl

noipdirected-broadcast

noiproute-cache

說明：配置VLAN1的IP地址

vtpclient

說明：配置VTP為CLIENT方式

vtpdomainhzdzgxy

說明：配置VTP域名為hzdzgxy

linevty04

passwordcisco

login

Iinevty515

passwordcisco

login

說明：配置遠(yuǎn)程登陸的口令為Cisco

3.4.9配置Cisco防火墻PIX520的安裝過程

配置PD（的基本屬性

將PIX安放至機(jī)架，經(jīng)檢測(cè)電源系統(tǒng)后接上電源，并加電主機(jī)。將CONSOLE口

連接到PC的串口上，運(yùn)行HyperTerminal程序從CONSOLE口進(jìn)入PIX系統(tǒng);

此時(shí)系統(tǒng)提示pixfirewall>0

輸入命令：enable,進(jìn)入特權(quán)模式，此時(shí)系統(tǒng)提示為pixfirewall#0

輸入命令：configureterminal,對(duì)系統(tǒng)進(jìn)行初始化設(shè)置。

配置以太口參數(shù)：

interfaceethernetOauto（auto選項(xiàng)表明系統(tǒng)自適應(yīng)網(wǎng)卡類型）

interfaceethernetlauto

interfaceethernet2auto

配置各功能段的安全級(jí)別：

nameifethernetOoutsidesecurityO

nameifethernetlinsidesecuritylOO

nameifethernet2dmzsecurity50

配置各網(wǎng)卡的IP地址：

ipaddressoutside53

ipaddressinsidel54

ipaddressdmz54

指定外部地址范圍：

global(outside)154

global(dmz)1-53

global(dmz)154

指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址：

nat(inside)00

nat(dmz)000

設(shè)置靜態(tài)的地址轉(zhuǎn)換，將真實(shí)地址與提供服務(wù)的私有地址綁定

static(dmz,outside)2103232.121032.32.1netmasl<550

0

static(dmz,outside)210.3232.21210.3232.21netmask5

50

static(dmz,outside)210.3232.18210.3232.18netmask5

50

static(dmz>outside)021032.32.10netmask5

50

static(dmz>outside)221032.32.32netmask5

50

static(dmz,outside)21032.32.232103232.23netmask5

50

static(dmz,outside)21032.32.15050netmask255.255.255.

2550

static(dmz,outside)21032.32.2021032.32.20netmask5

50

static(dmz(outside)210.3232.229210.3232.229netmask255.255.255.

25500

static(dmz(outside)210.3232.50210.3232.50netmask5

500

指定要進(jìn)行靜態(tài)轉(zhuǎn)換的IP地址能夠通過的協(xié)議

conduitpermiticmpanyany允許所有ICMP通信

conduitpermittcphost1rangeftpwwwany

conduitpermittcphost0rangeftpwwwany

conduitpermitudphost210.3232.1eqdomainany

conduitpermittcphost50eqwwwany

conduitpermittcphost8rangesmtppop3any

conduitpermittcphost0eqwwwany

conduitpermittcphost29any

conduitpermittcphost0eqtelnetany

conduitpermittcphost3eqwwwany

設(shè)置指向內(nèi)、外部網(wǎng)的缺省路由

routeoutside541

routeinsidel531

系統(tǒng)允許的主機(jī)對(duì)防火墻端口的TELNET訪問

telnetl

telnet

telnetl55

3.4.10配置CACHEENGINE550的安裝過程

指定登陸的用戶名和口令

useraddadminuid0passwordl"b9ccbQcQe9"capabilityadmin-access

useraddwyuid5019passwordl"eeQQeRRSS"capabilityadmin-access

指定主機(jī)名

hostnamecisco_ce_505

指定以太網(wǎng)的IP地址

interfaceethernetO

ipaddressl

ipbroadcast-addressl55

!

interfaceethernetl

exit

定義網(wǎng)關(guān)！

ipdefault-gatewayl54

定義DNS名

ipname-server

定義域名

定義路由

iproute54

cronfile/local/etc/crontab

Ibypassauth-trafficall

httpcache-cookies

httpmax-ttldaystext4binary3

httpcache-authenticated

httpobjectmax-size6144

httppersistent-connectionstimeout8max-idlel000

定義WCCP訪問協(xié)議的路由器地址

wccprouter-listll54

wccpport-listl80

wccpweb-cacherouter-list-numlweight20password****

定義主路由器地址（在有多路由器情況下）

wccphome-routerl54

wccpversion2

wccpshutdownmax-waitl

!

snmp-servercommunitysummer

noradius-serverhostl92.168.46.Iauth-portl812

radius-serverkey****

authenticationloginlocalenable

authenticationconfigurationlocalenable

transaction-logsarchivefilesl

transaction-logsenable

transaction-logsexportintervalevery-dayat00:00

transaction-logsexportenable

transaction-logssanitize

ruleblockdst-port33

定義代理服務(wù)器的地址和能夠通過的地址

ruleuse-proxy413128dst-ip5

ruleuse-proxy413128domain.*google\.com

ruleuse-proxy413128domain.*whatismyip\.com

ruleno-cacheurl-regex.*cgi-bin.*

ruleno-cacheurl-regex.*aw-cgi.*

!

!

end

3.4.11配置Cisco3640的安裝過程

versionl2.0

servicetimestampsdebuguptime

servicetimestampsloguptime

noservicepassword-encryption

定義主機(jī)名

hostnamecisco3640

!定義訪問的口令

enablesecret5$l$sWZw$EdlT9Yphojj6nJVo06bne0

enablepasswordcisco3640

!

I

ipsubnet-zero

定義域名

定義DNS名

ipname-server8

!

定義外地接口的IP地址

interfaceFastEthernet2/0

ipaddress6

noipdirected-broadcast

duplexauto

speedauto

定義內(nèi)部接口的IP地址

interfaceFastEthernet2/l

ipaddress54

noipdirected-broadcast

noiproute-cache

noipmroute-cache

duplexauto

speedauto

定義網(wǎng)關(guān)

ipdefault-gateway5

ipclassless

定義內(nèi)外路由

iproute5

iproute53

noiphttpserver

!

snmp-serverengineIDIocal000000090200000628AC87Al

snmp-servercommunitysummerRO

lineconO

transportinputnone

lineauxO

定義遠(yuǎn)程登陸的口令

linevty04

passwordcisco

login

i

end

3.4.12配置CiscoWorks網(wǎng)管軟件

CiscoWorks的設(shè)計(jì)層次為基于國際通用網(wǎng)絡(luò)管理軟件之上的應(yīng)用系統(tǒng),其結(jié)構(gòu)

如下圖：

通過CiscoWorks和CWSI可以很好地實(shí)現(xiàn)對(duì)含有Cisco軟件與硬件產(chǎn)品的企業(yè)

網(wǎng)絡(luò)進(jìn)行基于SNMP的監(jiān)視、控制與管理。

一、CiscoWorks的安裝

1、選取INSTALL

二、選用integrateciscoworks5.0withwhatsupgold

三、選取需要管理的網(wǎng)絡(luò)設(shè)備

四、完成

3.5設(shè)備模擬連接調(diào)試階段

設(shè)備安裝階當(dāng)單機(jī)調(diào)試完畢后，就進(jìn)入系統(tǒng)連調(diào)階段。由于有多個(gè)單位是多模光

纖通路，且不在本地。所以只有先進(jìn)行模擬連接測(cè)試。除了線路問題，與以后的

實(shí)際情況完全一樣。

3.6設(shè)備安裝階段

在所有的設(shè)備模擬調(diào)試完畢后，就進(jìn)行設(shè)備的安裝工作。設(shè)備的安裝主要是把實(shí)

驗(yàn)樓2樓信息中心機(jī)房里的所有網(wǎng)絡(luò)設(shè)備都安裝到2米的標(biāo)準(zhǔn)機(jī)柜里，并且將信

息中心所有的線路根據(jù)VLAN進(jìn)行重新規(guī)劃和整理，各個(gè)網(wǎng)絡(luò)分中心交換機(jī)安裝

在1.2米機(jī)柜中。在本次工程安排中，信息中心大樓機(jī)房的2M標(biāo)準(zhǔn)機(jī)柜：用于

安裝6509交換機(jī)、服務(wù)器交換機(jī)、樓層交換機(jī)和PIX防火墻等;信息中心原有

的2M機(jī)柜用于放置二級(jí)接入交換機(jī)設(shè)備。把所有的設(shè)備都安裝到位以后，再把

UPS電源接入到位。

3.7系統(tǒng)連調(diào)階段

在所有的網(wǎng)絡(luò)設(shè)備都安裝到位以后，包括所有的主機(jī)放置到DMZ區(qū)后。就可以

進(jìn)行整個(gè)系統(tǒng)的連調(diào)。

3.8INTERNET連接

在將整個(gè)系統(tǒng)遷移到10M專線的同時(shí)，我們將PIX防火墻放在系統(tǒng)與外部連接

處，以提供網(wǎng)絡(luò)的安全保障。在進(jìn)入內(nèi)部系統(tǒng)后，連接到PIX內(nèi)部網(wǎng)段的PC機(jī)

通過上網(wǎng)計(jì)費(fèi)服務(wù)器進(jìn)入統(tǒng)一管理。對(duì)處INTERNET服務(wù)的WEB、DNS、SMTP

和POP3服務(wù)器接入PIX服務(wù)器的DMZ段，用于保護(hù)應(yīng)有服務(wù)器的安全和對(duì)內(nèi)

外提供服務(wù)。在杭電INTERNET系統(tǒng)中還配置了一臺(tái)WEB高速緩存服務(wù)器,在

內(nèi)部用戶訪問外部站點(diǎn)時(shí)，通過WCCP協(xié)議首先訪問CACHEENGINE550服務(wù)

器，如CACHEENGINE550服務(wù)器中已有訪問過的站點(diǎn)則進(jìn)行內(nèi)部訪問從而有效

率減少網(wǎng)絡(luò)流量，而達(dá)到高速訪問的目的。整個(gè)連接情況圖示于杭電網(wǎng)絡(luò)拓樸圖：

需要說明的幾點(diǎn)：

1、防火墻上做了地址轉(zhuǎn)換，將內(nèi)部的私有地址轉(zhuǎn)換成公有地址訪問

INTERNET,

2、防火墻上開放了用于INTERNET信息發(fā)布所需要的幾個(gè)端口，包括TCP

的53,23,25,110,80和UDP的53端口,分別用于DNS,SMTP,

POP3和WEB等服務(wù)。

3、在防火墻上做了多個(gè)靜態(tài)的地址映射將內(nèi)部地址映射為外部

地址。

4、保護(hù)應(yīng)用服務(wù)器的安全。

這樣當(dāng)INTERNET上的用戶訪問這兩個(gè)公有地址時(shí)防火墻將自動(dòng)將訪問請(qǐng)求

轉(zhuǎn)給兩個(gè)內(nèi)部的私有地址。

5、CACHEENGINE網(wǎng)絡(luò)流量緩沖的目的。

第四章、具體設(shè)備配置實(shí)例

4.1Catalyst6506

6506交換機(jī)模塊配置文檔

begin

!

******NON-DEFAULTCONFIGURATION*****

!

I

#time:WedOct312001,04:00:50

!

#version6.1(2)

!

setpassword$2$ohhi$Pka/lgvq4acxpVc0ecW660

setenablepass$2$Fl/Q$NKbNCtkZmFVg2HO7PIhZZ/

!

#errordetection

seterrordetectionportcounterenable

#system

setsystemnamecisco6506

!

#!

#vtp

setvtpdomainhzdzgxy

setvtppasswdcisco

setvlanlnamedefaulttypeethernetmtul500saidl00001stateactive

setvlanl0namedangzhengtypeethernetmtul500saidl00010stateactive

setvlanllnamerenshitypeethernetmtul500saidl00011stateactive

setvlanl2namejiaowutypeethernetmtul500saidl00012stateactive

setvlanl3namexz_l_westtypeethernetmtul500saidl00013stateactive

setvlanl4nameyanjiushengtypeethernetmtul500saidl00014stateactive

setvlanl5namexuanchuantypeethernetmtul500saidl00015stateactive

setvlanl6namexz_otherltypeethernetmtul500saidl00016stateactive

setvlanl7namexz_othertypeethernetmtul500saidl00017stateactive

setvlanl8namecadtypeethernetmtul500saidl00018stateactive

setvlanl9namedianjiaotypeethernetmtul500saidl00019stateactive

setvlan20namecomputer_centertypeethernetmtul500saidl00020stateac

tive

setvlan21nameshudenttypeethernetmtul500saidl00021stateactive

setvlan22namewenlitypeethernetmtul500saidl00022stateactive

setvlan23namejidiantypeethernetmtul500saidl00023stateactive

setvlan24namezidonghuatypeethernetmtul500saidl00024stateactive

setvlan25namecaijingtypeethernetmtul500saidl00025stateactive

setvlan26nameguanlitypeethernetmtul500saidl00026stateactive

setvlan27namejisuanjitypeethernetmtul500saidl00027stateactive

setvlan28namedianzitypeethernetmtul500saidl00028stateactive

setvlan29nametongxintypeethernetmtul500saidl00029stateactive

setvlan30namexinxitypeethernetmtul500saidl00030stateactive

setvlan31namecaetypeethernetmtul500saidl00031stateactive

setvlan32namesb_othertypeethernetmtul500saidl00032stateactive

setvlan33namenic_2typeethernetmtul500saidl00033stateactive

setvlan34namechengjiaotypeethernetmtul500saidl00034stateactive

setvlan35namelibtypeethernetmtul500saidl00035stateactive

setvlan36namelib_ltypeethernetmtul500saidl00036stateactive

setvlan37namenic_ltypeethernetmtul500saidl00037stateactive

setvlan38nameproxytypeethernetmtul500saidl00038stateactive

setvlan39namecomputer_ltypeethernetmtul500saidl00039stateactive

setvlan40namecomputer_2typeethernetmtul500saidl00040stateactive

setvlan41namecomputer_3typeethernetmtul500saidl00041stateactive

setvlan42namecomputer_4typeethernetmtul500saidl00042stateactive

setvlan43namecomputer_5typeethernetmtul500saidl00043stateactive

setvlan44namecomputer_6typeethernetmtul500saidl00044stateactive

setvlan45namelib_servertypeethernetmtul500saidl00045stateactive

setvlan46namenic_3typeethernetmtul500saidl00046stateactive

setvlan48namedialuptypeethernetmtul500saidl00048stateactive

setvlan50name408typeethernetmtul500saidl00050stateactive

setvlan51namewytypeethernetmtul500saidl00051stateactive

setvlan999namecachetypeethernetmtul500saidl00999stateactive

setvlanl002namefddi-defaulttypefddimtul500saidl01002stateactive

setvlanl004namefddinet-defaulttypefddinetmtul500saidl01004stateacti

vestpieee

setvlanl005nametrnet-defaulttypetrbrfmtul500saidl01005stateactivest

pibm

setvlan47

setvlar)1003nametoken-ring-defaulttypetrcrfmtul500saidl01003stateact

ivemodesrbaremaxhop7stemaxhop7backupcrfoff

!

#ip

setinterfacesc01/255.255.255,055

setiproute/54

#setbootcommand

setbootconfig-register0x2

setbootsystemflashbootflash:cat6000-sup2.6-1-2.bin

!

#portchannel

setportchannel4/46-4815

setportchannell/1-233

setportchannel4/2-835

setportchannel4/9-1436

setportchannel4/15-2237

setportchannel4/23-3038

setportchannel4/31-3839

setportchannel4/39-4540

setportchannel4/175

setportchannel2/l-8362

!

#defaultportstatusisenable

!

!

#modulel:2-portl000BaseXSupervisor

setvlan341/l

setvlan451/2

settrunkl/loffisll-1005,1025-4094

settrunkl/2offisll-1005,1025-4094

setportchannell/l-2modeoff

!

#module2:8-portl000BaseXEthernet

setudldenable2/2-3,2/6,2/8

settrunk2/lnonegotiateisll-1005,1025-4094

settrunk2/2nonegotiateisll-1005,1025-4094

settrunk2/3nonegotiateisll-1005,1025-4094

settrunk2/4nonegotiateisll-1005,1025-4094

settrunk2/5nonegotiateisll-1005,1025-4094

settrunk2/6nonegotiateisll-1005,1025-4094

settrunk2/7nonegotiateisll-1005,1025-4094

settrunk2/8nonegotiateisll-1005,1025-4094

setportchannel2/lmodeon

setportchannel2/2-8modeoff

!

#module3empty

#module4:48-portl0/100BaseTXEthernet

setvlan224/l-2

setvlan234/3-4

setvlan244/5-6

setvlan254/7-8

setvlan264/9-10

setvlan274/ll-12

setvlan284/13-14

setvlan294/15-16

setvlan304/17-18

setvlan314/19-20

setvlan324/21-22

setvlan334/41-42

setvlan374/23-35

setvlan464/43-48

setvlan484/38

setvlan504/37

setvlan514/39

setvlan9994/40

settrunk4/loffnegotiatel-1005,1025-4094

settrunk4/2offnegotiatel-1005,1025-4094

settrunk4/3offnegotiatel-1005,1025-4094

settrunk4/4offnegotiatel-1005,1025-4094

settrunk4/5offnegotiatel-1005,1025-4094

settrunk4/6offnegotiatel-1005,1025-4094

settrunk4/7offnegotiatel-1005,1025-4094

settrunk4/8offnegotiatel-1005,1025-4094

settrunk4/9offnegotiatel-1005,1025-4094

settrunk4/10offnegotiatel-1005,1025-4094

settrunk4/lloffnegotiatel-1005,1025-4094

settrunk4/12offnegotiatel-1005,1025-4094

settrunk4/13offnegotiatel-1005,1025-4094

settrunk4/14offnegotiatel-1005,1025-4094

settrunk4/15offnegotiatel-1005,1025-4094

settrunk4/16offnegotiatel-1005,1025-4094

settrunk4/17offnegotiatel-1005,1025-4094

settrunk4/18offnegotiatel-1005,1025-4094

settrunk4/19offnegotiatel-1005,1025-4094

settrunk4/20offnegotiatel-1005,1025-4094

settrunk4/21offnegotiatel-1005,1025-4094

settrunk4/22offnegotiatel-1005,1025-4094

settrunk4/23offnegotiatel-1005,1025-4094

settrun