校园网网络工程实施方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
校园网网络工程实施方案
第一章、总体设计 (2)
1.1 用户需求 (2)
1.2 实施的目的 (3)
1.3 系统设计原那么 (3)
1.4 设计依据和规范 (4)
1.5 网络设备服务卡 (4)
1.6 系统软件登记表 (4)
第二章、杭电网络工程施工打算 (5)
2.1 要紧设备清单 (5)
2.2 施工打算表 (6)
第三章、杭电网络工程施工过程 (7)
3.1 网络设备详细信息和IP地址分配表 (7)
3.2 VLAN间访问规那么 (8)
3.3 施工流程 (8)
3.4 施工过程 (9)
3.4.1 Catalyst 6506的安装过程 (9)
3.4.2 配置Catalyst 6506的系统参数 (9)
3.4.3 配置Catalyst 6506的VLAN (10)
3.4.4 配置配置6509交换机的三层交换模块 (14)
3.4.5 配置6506交换机VLAN间的访问规那么 (15)
3.4.6 配置6506交换机的CDP和SNMP (15)
3.4.7 配置6506交换机的STP (16)
3.4.8 配置Catalyst 3500的安装过程 (16)
3.4.9 配置Cisco 防火墙PIX 520的安装过程 (17)
3.4.10 配置CACHE ENGINE 550的安装过程 (19)
3.4.11 配置Cisco3640的安装过程 (21)
3.4.12 配置Cisco Works网管软件 (23)
3.5 设备模拟连接调试时期 (25)
3.6 设备安装时期 (26)
3.7 系统连调时期 (26)
3.8 INTERNET连接 (26)
第四章、具体设备配置实例 (28)
4.1 Catalyst 6506 (28)
4.2 session 15 (33)
4.3 二级交换机Catalyst 3500 (37)
4.4 防火墙PIX520 (40)
4.5 CACHE ENGINE 550 (42)
4.6 Cisco3640路由器 (44)
第五章、工程总结 (46)
第一章、总体设计
1.1 用户需求
此网络工程所要达到的要紧目标如下:
(1)支持全校现有的运算机,连接校园内实验大楼、行政大楼、电教大楼、图书馆和成教大楼等,将本校现有的及今后要配置的各种PC、工作站和终端通过高性能的网络设备连接起来,组成分布式、开放性的网络环境,以提高教育科研水平。
(2)充分利用原有的主干光缆和楼内布线系统,将目前的百兆主干快速以太网升级到千兆主干、百兆交换到桌面的高速交换式以太网。
同时,爱护原有网络设备投资,将目前运行的IBM公司系列网络产品有效地集成到升级系统中。
(3)在Internet互连网络系统平台上,以数据库、Web、电子邮件、为基础的系统;并构建内部Intranet系统,与已有系统实现互联。
(4)网络与数据安全是目前运算机信息技术所面临的重要挑战,解决安全问题的技术与方案有专门多,通过防火墙、web cache服务器建设确定完整统一的安全策略〔Security Policy〕也是校园网可靠运行的保证。
(5)考虑与其它学校、科学教育网络相连,可通过CERNET与国内外其它网络相连接、实现远程教学。
(6)网络具有友好、一致的用户界面和丰富的治理应用系统。
(7) 在网络升级基础上规划相应的应用系统,具体包括:
◇学校网站的建设
◇OA〔办公治理〕系统建设:电子邮件、公文处理、档案治理、会议治理、电子公告、电子论坛、备忘信息等
◇多媒体辅助教学系统
◇连接原有图书治理系统
◇VOD视频点播及视频会议系统
1.2 实施的目的
分析用户需求,可知该网络工程所含的内容包括:
(1) 运用虚拟网技术,建设杭电校园千兆主干网,使其覆盖全校各要紧建筑物,将学校内各种PC、LAN连接为一个结构合理、内外连通,并支持多种协议和异种机的园区网。
(2) 通过在信息中心代理服务器的设立与科教网相连并可与Internet互连。
(3) 新校区的由于其与科教网相连的专门性,因此可分别设立独立的三个代理服务器与Internet互连。
(4) 依照科学的安全策略,通过Cisco PIX520防火墙配置,从而有效的隔绝内网和外网,但同时又能实现公网对杭电校内网站和对外开放资源的访问。
(5) 通过Cache Egeine 505与Cisco 6506之间WCCP配置建立高速的Internet访问通道。
(6) 通过CiscoWorks网管软件实施有效的网络治理。
1.3 系统设计原那么
·连续性原那么:充分利用现有资源〔包括现有的网络、运算机和应用资
源〕,使系统既能与前期系统相衔接,同时具有一定的可扩充性,为后期
工作打下基础。
·有用性原那么:在保证使用要求和技术可行性的前提下,要选择易于操作、治理、见效的设计和设备。
·安全保密原那么:设计中应注意各个环节的安全保密,统筹规划,不可偏废。
·信息共享原那么:设计必须考虑信息在一定的条件下、一定范畴内的共享。
·先进性原那么:系统建设要与当今先进的运算机网络进展技术相适应,
保证系统的先进性、开放性、高可靠性和可扩展性的有机结合。
1.4 设计依据和规范
主机和网络设备的选型符合以下国家和组织的技术标准和规范:
·GB:中华人民共和国国家标准
·ISO:国际标准组织
·ITU-T:国际电信联盟
·IEEE:国际电气与电子工程师协会
·EIA:电气工业协会
·IEC:国际电工协会
1.5 网络设备服务卡
〔见附件〕
1.6 系统软件登记表
〔见附件〕
第二章、杭电网络工程施工打算2.1 要紧设备清单
杭电校园网升级改造工程网络主干设备清单:
2.2 施工打算表
·系统设备列表
☆Cisco 6506主交换机
☆Cisco 3524二级换机
☆Cisco 3548二级换机
☆Cisco PIX520防火墙
☆Cache Engine 550
☆Cisco 3640路由器
环境检查〔10分钟〕
☆UPS
☆电源质量
☆温度和湿度
☆接地系统电阻要求
设备开包〔60分钟〕
主交换设备
二级交换设
路由器
防火墙
电源线缆
系统上电〔20分钟〕
cisco6506主机系统〔10分钟〕
各CISCO3500系列主机〔60分钟〕
系统上电正常以及上电失败的相应动作
对比系统订单检查系统的功能部件〔30分钟〕中央处理器
内存
磁盘〔内置以及外置〕
设备/适配器
操作系统安装〔150分钟*2〕
升级Cisco3640 IOS操作系统的〔150分钟〕
安装在线关心,包括Info,电子书籍,配置书籍搜索程序
第三章、杭电网络工程施工过程3.1 网络设备详细信息和IP地址分配表
(见附表)
3.2 VLAN间访问规那么
注:
默认情形下VLAN间的IP包访问不受限制3.3 施工流程
以下是本次工程中网络设备的施工流程图
3.4 施工过程
3.4.1 Catalyst 6506的安装过程
模块安装
安装6506的电源模块;
☆WS-X6K-S1A-MSFC2;
☆WS-X6408-GBIC;
☆WS-G5484;
☆WS-X6248-RJ-45;
☆WS-C6500-SFM
Cisco Catalyst 6506 由工厂依照定货单直截了当安装好标准配置的模块,但电源、路由等尚未安装,因此第一将待安装的各模块拆开,装入6506的电源插槽。
上电检查6506的各个模块的工作状态是否正常:接入6506电源,由于6506有两个电源作为冗余,因此最好两个电源分别接入两路UPS电源上,如此即使当UPS其中一路电源故障时,可不能阻碍整个6506交换机的正常远行,当6506交换机上电初始化终止后,从各个模块面板上的LED灯的状态能够判定各个模块的工作状态是否正常。
3.4.2 配置Catalyst 6506的系统参数
当6506交换机初始化终止后,就进入系统单机配置时期。
关于6506来说,第一需要配置系统参数,其中包括以下几个部分:机器名、口令和远程登陆等。
以下是具体配置过程:
cisco6506> enable
cisco6506>〔enable〕set system name cisco6506
说明:配置6506的名字为CISCO6506
cisco6506> enable
cisco6506>〔enable〕set enable password cisco
说明:配置6506的enable 口令为cisco
cisco6506> enable
cisco6506>〔enable〕set interface sc0 1 192.168.9.3/255.255.255.0
cisco6506>〔enable〕set ip route 0.0.0.0/0.0.0.0 192.168.9.254
说明:配置6506的CPU模块上的以太网IP地址为:192.168.9.3,且只承诺本网段任何地址存取
3.4.3 配置Catalyst 6506的VLAN
网络IP地址分配策略
杭电校园网是覆盖全院的广域网络,其网络主干连接的节点多,因此,要保证网络的有效性和可治理性,网络地址的规划与分配是十分重要的问题。
网络地址是一种资源,必须通过优化的规划和设计,因为专门难推测网络今后的规模和应用情形的进展,假如规划不当,将导致地址资源不够用,网络的扩展将受到极大的限制;假如规划过于庞大,那么在现行运行过程中,网络的路由将会复杂,阻碍网络的效率。
网络地址的分配应遵循以下的原那么:
◇唯独性:在同一个互联网络内网络地址应该保持其唯独性;
◇简单性:地址的分配应该简单,幸免在主干上采纳复杂的掩码方式;
◇连续性:为同一个网络区域分配连续的网络地址,便于缩减路由表的表项,提高路由器的处理效率,这种技术称为地址叠合〔Summarization〕;
◇可扩充性:为一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍旧能够保持地址的连续性;
◇灵活性:地址分配不应该基于某个网络路由策略的优化方案,应该便于多数路由策略在该地址分配方案上实现优化;
◇可治理性:地址的分配应该有层次,某个局部的变动不要阻碍上层、全局。
在对一个具体部门拥有的某个或几个子区划分子网时,要依照本部门的具体应用需求来合理分配子网资源,同时要留有一定的余地,这要从子网数和某一个
子网所拥有的最大主机数两个方面来考虑。
依照我们对杭电校园网的网络地址规划和分配的了解,我们采纳以C类地址为主B类地址为辅的地址分配原那么。
前二位〔192.168〕作为公共网络地址,第三位作为各VLAN的地址,并第四位的〔254〕作为各VLAN的网关〔地址分配表见附表〕
杭电运算机网络依照业务功能的不同,能够分为51个VLAN,51个VLAN各自独立,分别属于不同的广播域,默认情形下不同VLAN间可互相访问,依照不同安全策略,access-list表可作访问操纵
具体配置过程如下:
cisco6506>〔enable〕set vtp domain hzdzgxy
cisco6506>〔enable〕set vtp passwd cisco
cisco6506>〔enable〕set vlan 10 name dangzheng cisco6506>〔enable〕set vlan 11 name renshi
cisco6506>〔enable〕set vlan 12 name jiaowu
cisco6506>〔enable〕set vlan 13 name xz_1_west
cisco6506>〔enable〕set vlan 14 name yanjiusheng cisco6506>〔enable〕set vlan 15 name xuanchuan cisco6506>〔enable〕set vlan 16 name xz_other1
cisco6506>〔enable〕set vlan 17 name xz_other
cisco6506>〔enable〕set vlan 18 name cad
cisco6506>〔enable〕set vlan 19 name dianjiao
cisco6506>〔enable〕set vlan 20 name computer_center cisco6506>〔enable〕set vlan 21 name shudent
cisco6506>〔enable〕set vlan 22 name wenli
cisco6506>〔enable〕set vlan 23 name jidian
cisco6506>〔enable〕set vlan 24 name zidonghua
cisco6506>〔enable〕set vlan 25 name caijing
cisco6506>〔enable〕set vlan 26 name guanli
cisco6506>〔enable〕set vlan 27 name jisuanji
cisco6506>〔enable〕set vlan 28 name dianzi
cisco6506>〔enable〕set vlan 29 name tongxin
cisco6506>〔enable〕set vlan 30 name xinxi
cisco6506>〔enable〕set vlan 31 name cae
cisco6506>〔enable〕set vlan 32 name sb_other
cisco6506>〔enable〕set vlan 33 name nic_2
cisco6506>〔enable〕set vlan 34 name chengjiao
cisco6506>〔enable〕set vlan 35 name lib
cisco6506>〔enable〕set vlan 36 name lib_1
cisco6506>〔enable〕set vlan 37 name nic_1
cisco6506>〔enable〕set vlan 38 name proxy
cisco6506>〔enable〕set vlan 39 name computer_1
cisco6506>〔enable〕set vlan 40 name computer_2
cisco6506>〔enable〕set vlan 41 name computer_3
cisco6506>〔enable〕set vlan 42 name computer_4
cisco6506>〔enable〕set vlan 43 name computer_5
cisco6506>〔enable〕set vlan 44 name computer_6
cisco6506>〔enable〕set vlan 45 name lib_server
cisco6506>〔enable〕set vlan 46 name nic_3
cisco6506>〔enable〕set vlan 48 name dialup
cisco6506>〔enable〕set vlan 50 name 408
cisco6506>〔enable〕set vlan 51 name wy type
cisco6506>〔enable〕set vlan 999 name cache
!
说明:设置6506的VLAN 名字和VTP模式
cisco6506>〔enable〕set trunk 2/1 nonegotiate isl 1-1005,1025-4094 cisco6506>〔enable〕set trunk 2/2 nonegotiate isl 1-1005,1025-4094 cisco6506>〔enable〕set trunk 2/3 nonegotiate isl 1-1005,1025-4094 cisco6506>〔enable〕set trunk 2/4 nonegotiate isl 1-1005,1025-4094 cisco6506>〔enable〕set trunk 2/5 nonegotiate isl 1-1005,1025-4094 cisco6506>〔enable〕set trunk 2/6 nonegotiate isl 1-1005,1025-4094 cisco6506>〔enable〕set trunk 2/7 nonegotiate isl 1-1005,1025-4094 cisco6506>〔enable〕set trunk 2/8 nonegotiate isl 1-1005,1025-4094
说明:设置6506的第二模块1-8口为主干模式,并采纳ISL协议并不可磋商。
3.4.4 配置配置6509交换机的三层交换模块
当在6506上划分了VLAN以后,桌面工作站就能够依照不同的需求分别加入到对应的VLAN中去,不同的VLAN的客户机就分别属于不同的广播域,有各自
不同的IP地址段,当需要跨网段互相访问时,就必须通过路由。
6506能够带三层交换MSFC模块,本系统中由于在6506上有一个超级引擎上配置了一块MSFC模块,随着杭电运算机网络的进展,系统可能的情形下,就能够利用CISCO 的HSRP协议作热备份,再配置一台或者多台支持HSRP协议的三层交换机,即当其中任何一块MSFC模块故障时,另外一块能够赶忙接替原先的模块连续工作,切换时刻专门短。
我们可实现51个VLAN分别优先运行在多个三层路由模块上,如此在系统无故障时,能到达路由数据负载分担的目的。
3.4.5 配置6506交换机VLAN间的访问规那么
当数据在VLAN间路由时,出于对各独立系统的安全考虑,在各VLAN路由端口上应用访问列表,使VLAN之间的数据按规那么通过。
针对每个VLAN的所属机构将安全规那么量化,再依次应用在端口上。
Access-list 1 permit any any
其他VLAN的访问规那么见最后的具体配置。
3.4.6 配置6506交换机的CDP和SNMP
当交换机需要被网管时,必须配置交换机的CDP和SNMP参数,其中CDP 协议是CISCO公司特有的一种协议,而SNMP是标准的简单网络治理协议。
其中SNMP协议需要有一个COMMUNITY NAME操纵对交换机的读写,在本次工程中,我们定义了以下的COMMUNITY NAME:
READWRITE:PRIVATE
READONLY:PUBLIC
以下是具体配置命令:
cisco6506>enable
cisco6506>(enable)set cdp enable
说明:启用6506交换机的CDP协议。
Cisco6506>(enable)set snmp enable all
说明:启用6506交换机的SNMP功能,并启用默认的关键字PUBLIC为只读,PRIVATE为读写。
3.4.7 配置6506交换机的STP
由于在设计的过程中,为了增加网络的可靠性,在核心层交换机与汇接层交换机之间、以及核心应用中均设计了双冗余链路。
为了幸免这些冗余链路所形成的透亮桥接问题,必须使生成树协议〔STP〕有效工作。
启动生成树
cisco6506>(enable)set spantree enable all
3.4.8 配置Catalyst 3500的安装过程
Catalyst 3500系列是CISCO公司的提供1000兆上行端口的桌面交换机,本次工程中包括3台catalyst3524交换机和2台catalyst3548交换机,配置过程完全一样。
以下是具体配置过程:
3524的配置:
Current configuration:
!
version 12.0
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname lib
说明:配置3524的NAME 为lib。
enable secret 5 $1$G3SM$DbzVKE3l/fkYHpoi0XUug/
enable password cisco
说明:配置3524的口令
interface FastEthernet0/1
switchport access vlan 35
说明:配置端口1属于VLAN135
interface GigabitEthernet0/1
switchport mode trunk
switchport trunk encapsulation dot1q
说明:两个千兆的上行口配置为TRUNK方式。
interface VLAN1
ip address 192.168.9.5 255.255.255.0
no ip directed-broadcast
no ip route-cache
说明:配置VLAN1的IP地址
vtp client
说明:配置VTP为CLIENT方式
vtp domain hzdzgxy
说明:配置VTP域名为hzdzgxy
line vty 0 4
password cisco
login
line vty 5 15
password cisco
login
说明:配置远程登陆的口令为cisco
3.4.9 配置Cisco 防火墙PIX 520的安装过程
配置PIX的差不多属性
将PIX 安放至机架,经检测电源系统后接上电源,并加电主机。
将CONSOLE 口连接到PC的串口上,运行Hyper Terminal 程序从CONSOLE口进入PIX系统;现在系统提示pixfirewall>。
输入命令:enable,进入特权模式,现在系统提示为pixfirewall#。
输入命令:configure terminal,对系统进行初始化设置。
配置以太口参数:
interface ethernet0 auto (auto选项说明系统自适应网卡类型)
interface ethernet1 auto
interface ethernet2 auto
配置各功能段的安全级别:
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
配置各网卡的IP地址:
ip address outside 210.32.39.253 255.255.255.0
ip address inside 10.0.0.254 255.255.255.0
ip address dmz 210.32.32.254 255.255.255.0
指定外部地址范畴:
global (outside) 1 210.32.38.254
global (dmz) 1 192.168.1.1-192.168.1.253
global (dmz) 1 192.168.1.254
指定要进行转换的内部地址:
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
nat (dmz) 0 0.0.0.0 0.0.0.0 0 0
设置静态的地址转换,将真实地址与提供服务的私有地址绑定
static (dmz,outside) 210.32.32.1 210.32.32.1 netmask 255.255.255.255 0 0 static (dmz,outside) 210.32.32.21 210.32.32.21 netmask 255.255.255.255 0 static (dmz,outside) 210.32.32.18 210.32.32.18 netmask 255.255.255.255 0 static (dmz,outside) 210.32.32.10 210.32.32.10 netmask 255.255.255.255 0 static (dmz,outside) 210.32.32.32 210.32.32.32 netmask 255.255.255.255 0 static (dmz,outside) 210.32.32.23 210.32.32.23 netmask 255.255.255.255 0 static (dmz,outside) 210.32.32.150 210.32.32.150 netmask 255.255.255.255 0
static (dmz,outside) 210.32.32.20 210.32.32.20 netmask 255.255.255.255 0 static (dmz,outside) 210.32.32.229 210.32.32.229 netmask 255.255.255.255 0 0
static (dmz,outside) 210.32.32.50 210.32.32.50 netmask 255.255.255.255 0 0
指定要进行静态转换的IP地址能够通过的协议
conduit permit icmp any any 承诺所有ICMP通信
conduit permit tcp host 210.32.32.21 range ftp www any
conduit permit tcp host 210.32.32.10 range ftp www any
conduit permit udp host 210.32.32.1 eq domain any
conduit permit tcp host 210.32.32.150 eq www any
conduit permit tcp host 210.32.32.18 range smtp pop3 any
conduit permit tcp host 210.32.32.20 eq www any
conduit permit tcp host 210.32.32.229 any
conduit permit tcp host 210.32.32.50 eq telnet any
conduit permit tcp host 210.32.32.23 eq www any
设置指向内、外部网的缺省路由
route outside 0.0.0.0 0.0.0.0 210.32.39.254 1
route inside 192.168.0.0 255.255.0.0 10.0.0.253 1
系统承诺的主机对防火墙端口的TELNET访问
telnet 192.168.9.3 255.255.255.0
telnet 210.32.32.0 255.255.255.0
telnet 192.168.9.3 255.255.255.255
3.4.10 配置CACHE ENGINE 550的安装过程
指定登陆的用户名和口令
user add admin uid 0 password 1 "b9ccbQcQe9" capability admin-access
user add wy uid 5019 password 1 "eeQQeRRSS" capability admin-access
指定主机名
hostname cisco_ce_505
指定以太网的IP地址
interface ethernet 0
ip address 192.168.199.1 255.255.255.0
ip broadcast-address 192.168.199.255
!
interface ethernet 1
exit
定义网关!
ip default-gateway 192.168.199.254
定义DNS名
ip name-server 210.32.32.1
定义域名
ip domain-name
定义路由
ip route 0.0.0.0 0.0.0.0 192.168.199.254
cron file /local/etc/crontab
!bypass auth-traffic all
cache-cookies
max-ttl days text 4 binary 3
cache-authenticated
object max-size 6144
persistent-connections timeout 8 max-idle 1000
定义WCCP访问协议的路由器地址
wccp router-list 1 192.168.199.254
wccp port-list 1 80
wccp web-cache router-list-num 1 weight 20 password **** 定义主路由器地址〔在有多路由器情形下〕
wccp home-router 192.168.199.254
wccp version 2
wccp shutdown max-wait 1
!
snmp-server community summer
no radius-server host 192.168.46.1 auth-port 1812
radius-server key ****
authentication login local enable
authentication configuration local enable
transaction-logs archive files 1
transaction-logs enable
transaction-logs export interval every-day at 00:00 transaction-logs export enable
transaction-logs sanitize
rule block dst-port 33
定义代理服务器的地址和能够通过的地址
rule use-proxy 202.38.124.241 3128 dst-ip 216.101.192.85 255.255.255.0 rule use-proxy 202.38.124.241 3128 domain .*google\
rule use-proxy 202.38.124.241 3128 domain .*whatismyip\
rule no-cache url-regex .*cgi-bin.*
rule no-cache url-regex .*aw-cgi.*
!
!
end
3.4.11 配置Cisco3640的安装过程
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
定义主机名
hostname cisco3640
!定义访问的口令
enable secret 5 $1$sWZw$EdlT9Yphojj6nJVo06bne0
enable password cisco3640
!
!
ip subnet-zero
定义域名
ip domain-name
定义DNS名
ip name-server 202.96.96.68
!
定义外地接口的IP地址
interface FastEthernet2/0
ip address 210.32.176.26 255.255.255.0
no ip directed-broadcast
duplex auto
speed auto
定义内部接口的IP地址
interface FastEthernet2/1
ip address 210.32.39.254 255.255.255.0
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
duplex auto
speed auto
定义网关
ip default-gateway 210.32.176.25
ip classless
定义内外路由
ip route 0.0.0.0 0.0.0.0 210.32.176.25
ip route 210.32.32.0 255.255.248.0 210.32.39.253
no ip server
!
snmp-server engineID local 000000090200000628AC87A1
snmp-server community summer RO
!
line con 0
transport input none
line aux 0
定义远程登陆的口令
line vty 0 4
password cisco
login
!
end
3.4.12 配置Cisco Works网管软件
CiscoWorks的设计层次为基于国际通用网络治理软件之上的应用系统,其结
网络设备与代理
(Agent)
通过CiscoWorks和CWSI能够专门好地实现对含有Cisco软件与硬件产品的企业网络进行基于SNMP的监视、操纵与治理。
一、CiscoWorks的安装
1、选取INSTALL
二、选用integrate ciscoworks 5.0 with whatsup gold
三、选取需要治理的网络设备
四、完成
3.5 设备模拟连接调试时期
设备安装阶当单机调试完毕后,就进入系统连调时期。
由于有多个单位是多模
光纤通路,且不在本地。
因此只有先进行模拟连接测试。
除了线路问题,与以后的实际情形完全一样。
3.6 设备安装时期
在所有的设备模拟调试完毕后,就进行设备的安装工作。
设备的安装要紧是把实验楼2楼信息中心机房里的所有网络设备都安装到2米的标准机柜里,同时将信息中心所有的线路依照VLAN进行重新规划和整理,各个网络分中心交换机安装在1.2米机柜中。
在本次工程安排中,信息中心大楼机房的2M标准机柜:用于安装6509交换机、服务器交换机、楼层交换机和PIX防火墙等;信息中心原有的2M机柜用于放置二级接入交换机设备。
把所有的设备都安装到位以后,再把UPS电源接入到位。
3.7 系统连调时期
在所有的网络设备都安装到位以后,包括所有的主机放置到DMZ区后。
就能够进行整个系统的连调。
3.8 INTERNET连接
在将整个系统迁移到10M专线的同时,我们将PIX防火墙放在系统与外部连接处,以提供网络的安全保证。
在进入内部系统后,连接到PIX内部网段的PC 机通过上网计费服务器进入统一治理。
对处INTERNET服务的WEB、DNS、SMTP和POP3服务器接入PIX服务器的DMZ段,用于爱护应有服务器的安全和对内外提供服务。
在杭电INTERNET系统中还配置了一台WEB高速缓存服务器,在内部用户访问外部站点时,通过WCCP协议第一访问CACHE ENGINE 550服务器,如CACHE ENGINE 550服务器中已有访问过的站点那么进行内部访问从而有效率减少网络流量,而达到高速访问的目的。
整个连接情形图示于杭电网络拓朴图:
需要说明的几点:
1、防火墙上做了地址转换,将内部的私有地址转换成公有地址访问INTERNET。
2、防火墙上开放了用于INTERNET信息公布所需要的几个端口,包括TCP的
53,23,25,110,80和UDP的53端口,分别用于DNS,SMTP,POP3和
WEB等服务。
3、在防火墙上做了多个静态的地址映射将内部地址192.168.0.0映射为外部
地址。
4、爱护应用服务器的安全。
如此当INTERNET上的用户访问这两个公有地址时防火墙将自动将访问要求
转给两个内部的私有地址。
5、CACHE ENGINE网络流量缓冲的目的。
第四章、具体设备配置实例
4.1 Catalyst 6506
6506交换机模块配置文档
begin
!
# ***** NON-DEFAULT CONFIGURATION *****
!
!
#time: Wed Oct 31 2001, 04:00:50
!
#version 6.1(2)
!
set password $2$ohhi$Pka/lgvq4acxpVc0ecW660
set enablepass $2$F1/Q$NKbNCtkZmFVg2HO7PIhZZ/
!
#errordetection
set errordetection portcounter enable
!
#system
set system name cisco6506
!
#!
#vtp
set vtp domain hzdzgxy
set vtp passwd cisco
set vlan 1 name default type ethernet mtu 1500 said 100001 state active
set vlan 10 name dangzheng type ethernet mtu 1500 said 100010 state active set vlan 11 name renshi type ethernet mtu 1500 said 100011 state active
set vlan 12 name jiaowu type ethernet mtu 1500 said 100012 state active
set vlan 13 name xz_1_west type ethernet mtu 1500 said 100013 state active set vlan 14 name yanjiusheng type ethernet mtu 1500 said 100014 state active set vlan 15 name xuanchuan type ethernet mtu 1500 said 100015 state active set vlan 16 name xz_other1 type ethernet mtu 1500 said 100016 state active
set vlan 17 name xz_other type ethernet mtu 1500 said 100017 state active set vlan 18 name cad type ethernet mtu 1500 said 100018 state active
set vlan 19 name dianjiao type ethernet mtu 1500 said 100019 state active
set vlan 20 name computer_center type ethernet mtu 1500 said 100020 state active
set vlan 21 name shudent type ethernet mtu 1500 said 100021 state active
set vlan 22 name wenli type ethernet mtu 1500 said 100022 state active
set vlan 23 name jidian type ethernet mtu 1500 said 100023 state active
set vlan 24 name zidonghua type ethernet mtu 1500 said 100024 state active set vlan 25 name caijing type ethernet mtu 1500 said 100025 state active
set vlan 26 name guanli type ethernet mtu 1500 said 100026 state active
set vlan 27 name jisuanji type ethernet mtu 1500 said 100027 state active
set vlan 28 name dianzi type ethernet mtu 1500 said 100028 state active
set vlan 29 name tongxin type ethernet mtu 1500 said 100029 state active
set vlan 30 name xinxi type ethernet mtu 1500 said 100030 state active
set vlan 31 name cae type ethernet mtu 1500 said 100031 state active
set vlan 32 name sb_other type ethernet mtu 1500 said 100032 state active set vlan 33 name nic_2 type ethernet mtu 1500 said 100033 state active
set vlan 34 name chengjiao type ethernet mtu 1500 said 100034 state active set vlan 35 name lib type ethernet mtu 1500 said 100035 state active
set vlan 36 name lib_1 type ethernet mtu 1500 said 100036 state active
set vlan 37 name nic_1 type ethernet mtu 1500 said 100037 state active
set vlan 38 name proxy type ethernet mtu 1500 said 100038 state active
set vlan 39 name computer_1 type ethernet mtu 1500 said 100039 state active set vlan 40 name computer_2 type ethernet mtu 1500 said 100040 state active set vlan 41 name computer_3 type ethernet mtu 1500 said 100041 state active set vlan 42 name computer_4 type ethernet mtu 1500 said 100042 state active set vlan 43 name computer_5 type ethernet mtu 1500 said 100043 state active set vlan 44 name computer_6 type ethernet mtu 1500 said 100044 state active set vlan 45 name lib_server type ethernet mtu 1500 said 100045 state active set vlan 46 name nic_3 type ethernet mtu 1500 said 100046 state active
set vlan 48 name dialup type ethernet mtu 1500 said 100048 state active
set vlan 50 name 408 type ethernet mtu 1500 said 100050 state active
set vlan 51 name wy type ethernet mtu 1500 said 100051 state active
set vlan 999 name cache type ethernet mtu 1500 said 100999 state active
set vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state active set vlan 1004 name fddinet-default type fddinet mtu 1500 said 101004 state active stp ieee
set vlan 1005 name trnet-default type trbrf mtu 1500 said 101005 state active stp ibm
set vlan 47
set vlan 1003 name token-ring-default type trcrf mtu 1500 said 101003 state
active mode srb aremaxhop 7 stemaxhop 7 backupcrf off
!
#ip
set interface sc0 1 192.168.9.3/255.255.255.0 192.168.9.255
set ip route 0.0.0.0/0.0.0.0 192.168.9.254
!
#set boot command
set boot config-register 0x2
set boot system flash bootflash:cat6000-sup2.6-1-2.bin
!
#port channel
set port channel 4/46-48 15
set port channel 1/1-2 33
set port channel 4/2-8 35
set port channel 4/9-14 36
set port channel 4/15-22 37
set port channel 4/23-30 38
set port channel 4/31-38 39
set port channel 4/39-45 40
set port channel 4/1 75
set port channel 2/1-8 362
!
# default port status is enable
!
!
#module 1 : 2-port 1000BaseX Supervisor
set vlan 34 1/1
set vlan 45 1/2
set trunk 1/1 off isl 1-1005,1025-4094
set trunk 1/2 off isl 1-1005,1025-4094
set port channel 1/1-2 mode off
!
#module 2 : 8-port 1000BaseX Ethernet
set udld enable 2/2-3,2/6,2/8
set trunk 2/1 nonegotiate isl 1-1005,1025-4094
set trunk 2/2 nonegotiate isl 1-1005,1025-4094
set trunk 2/3 nonegotiate isl 1-1005,1025-4094
set trunk 2/4 nonegotiate isl 1-1005,1025-4094
set trunk 2/5 nonegotiate isl 1-1005,1025-4094
set trunk 2/6 nonegotiate isl 1-1005,1025-4094
set trunk 2/7 nonegotiate isl 1-1005,1025-4094
set port channel 2/1 mode on
set port channel 2/2-8 mode off
!
#module 3 empty
!
#module 4 : 48-port 10/100BaseTX Ethernet set vlan 22 4/1-2
set vlan 23 4/3-4
set vlan 24 4/5-6
set vlan 25 4/7-8
set vlan 26 4/9-10
set vlan 27 4/11-12
set vlan 28 4/13-14
set vlan 29 4/15-16
set vlan 30 4/17-18
set vlan 31 4/19-20
set vlan 32 4/21-22
set vlan 33 4/41-42
set vlan 37 4/23-35
set vlan 46 4/43-48
set vlan 48 4/38
set vlan 50 4/37
set vlan 51 4/39
set vlan 999 4/40
set trunk 4/1 off negotiate 1-1005,1025-4094 set trunk 4/2 off negotiate 1-1005,1025-4094 set trunk 4/3 off negotiate 1-1005,1025-4094 set trunk 4/4 off negotiate 1-1005,1025-4094 set trunk 4/5 off negotiate 1-1005,1025-4094 set trunk 4/6 off negotiate 1-1005,1025-4094 set trunk 4/7 off negotiate 1-1005,1025-4094 set trunk 4/8 off negotiate 1-1005,1025-4094 set trunk 4/9 off negotiate 1-1005,1025-4094 set trunk 4/10 off negotiate 1-1005,1025-4094 set trunk 4/11 off negotiate 1-1005,1025-4094 set trunk 4/12 off negotiate 1-1005,1025-4094 set trunk 4/13 off negotiate 1-1005,1025-4094 set trunk 4/14 off negotiate 1-1005,1025-4094 set trunk 4/15 off negotiate 1-1005,1025-4094 set trunk 4/16 off negotiate 1-1005,1025-4094 set trunk 4/17 off negotiate 1-1005,1025-4094
set trunk 4/19 off negotiate 1-1005,1025-4094
set trunk 4/20 off negotiate 1-1005,1025-4094
set trunk 4/21 off negotiate 1-1005,1025-4094
set trunk 4/22 off negotiate 1-1005,1025-4094
set trunk 4/23 off negotiate 1-1005,1025-4094
set trunk 4/24 off negotiate 1-1005,1025-4094
set trunk 4/25 off negotiate 1-1005,1025-4094
set trunk 4/26 off negotiate 1-1005,1025-4094
set trunk 4/27 off negotiate 1-1005,1025-4094
set trunk 4/28 off negotiate 1-1005,1025-4094
set trunk 4/29 off negotiate 1-1005,1025-4094
set trunk 4/30 off negotiate 1-1005,1025-4094
set trunk 4/31 off negotiate 1-1005,1025-4094
set trunk 4/32 off negotiate 1-1005,1025-4094
set trunk 4/33 off negotiate 1-1005,1025-4094
set trunk 4/34 off negotiate 1-1005,1025-4094
set trunk 4/35 off negotiate 1-1005,1025-4094
set trunk 4/36 off negotiate 1-1005,1025-4094
set trunk 4/37 off negotiate 1-1005,1025-4094
set trunk 4/38 off negotiate 1-1005,1025-4094
set trunk 4/39 off negotiate 1-1005,1025-4094
set trunk 4/40 off negotiate 1-1005,1025-4094
set trunk 4/41 off negotiate 1-1005,1025-4094
set trunk 4/42 off negotiate 1-1005,1025-4094
set trunk 4/43 off negotiate 1-1005,1025-4094
set trunk 4/44 off negotiate 1-1005,1025-4094
set trunk 4/45 off negotiate 1-1005,1025-4094
set trunk 4/46 off negotiate 1-1005,1025-4094
set trunk 4/47 off negotiate 1-1005,1025-4094
set trunk 4/48 off negotiate 1-1005,1025-4094
set port channel 4/1-48 mode off
!
#module 5 : 0-port Switch Fabric Module
!
#module 6 empty
!
#module 15 : 1-port Multilayer Switch Feature Card !
#module 16 empty
end
4.2 session 15
6506路由模块配置
!
version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname cisco6506_route / 定义主机名/
!
boot system flash bootflash:c6msfc2-is-mz.121-3a.E4
!
ip subnet-zero
ip wccp web-cache password hziee / 起用WCCP协议/
ip cef
ip domain-name / 定义域名/
ip name-server 210.32.32.1 / 定义DNS服务器/
!
ip multicast-routing
!
!
!
interface Vlan1
ip address 192.168.9.254 255.255.255.0
ip wccp web-cache redirect out / 定义WEB IP包的输出口/
!
interface Vlan10 / 定义VLAN 10 /
ip address 192.168.10.254 255.255.255.0 /定义VLAN 10的网关和子网地址/
!
interface Vlan11
ip address 192.168.11.254 255.255.255.0
!
interface Vlan12
ip address 192.168.12.254 255.255.255.0
!
interface Vlan13
ip address 192.168.13.254 255.255.255.0
!
ip address 192.168.14.254 255.255.255.0 !
interface Vlan15
ip address 192.168.15.254 255.255.255.0 !
interface Vlan16
ip address 192.168.16.254 255.255.255.0 !
interface Vlan17
ip address 192.168.17.254 255.255.255.0 !
interface Vlan18
ip address 192.168.18.254 255.255.255.0 !
interface Vlan19
ip address 192.168.19.254 255.255.255.0 !
interface Vlan20
ip address 192.168.20.254 255.255.255.0 !
interface Vlan21
ip address 192.168.21.254 255.255.255.0 !
interface Vlan22
ip address 192.168.22.254 255.255.255.0 !
interface Vlan23
ip address 192.168.23.254 255.255.255.0 !
interface Vlan24
ip address 192.168.24.254 255.255.255.0 !
interface Vlan25
ip address 192.168.25.254 255.255.255.0 !
interface Vlan26
ip address 192.168.26.254 255.255.255.0 !
interface Vlan27
ip address 192.168.27.254 255.255.255.0 !
ip address 192.168.28.254 255.255.255.0 !
interface Vlan29
ip address 192.168.29.254 255.255.255.0 !
interface Vlan30
ip address 192.168.30.254 255.255.255.0 !
interface Vlan31
ip address 192.168.31.254 255.255.255.0 !
interface Vlan32
ip address 192.168.32.254 255.255.255.0 !
interface Vlan33
ip address 192.168.33.254 255.255.255.0 !
interface Vlan34
ip address 192.168.34.254 255.255.255.0 !
interface Vlan35
ip address 192.168.35.254 255.255.255.0 !
interface Vlan36
ip address 192.168.36.254 255.255.255.0 !
interface Vlan37
ip address 192.168.37.254 255.255.255.0 !
interface Vlan38
ip address 192.168.38.254 255.255.255.0 !
interface Vlan39
ip address 192.168.39.254 255.255.255.0 !
interface Vlan40
ip address 192.168.40.254 255.255.255.0 !
interface Vlan41
ip address 192.168.41.254 255.255.255.0 !
ip address 192.168.42.254 255.255.255.0 !
interface Vlan43
ip address 192.168.43.254 255.255.255.0 !
interface Vlan44
ip address 192.168.44.254 255.255.255.0 !
interface Vlan45
ip address 192.168.45.254 255.255.255.0 !
interface Vlan46
ip address 192.168.46.254 255.255.255.0 !
interface Vlan47
ip address 192.168.47.254 255.255.255.0 !
interface Vlan48
ip address 192.168.48.254 255.255.255.0 !
interface Vlan50
ip address 192.168.50.254 255.255.255.0 !
interface Vlan51
ip address 192.168.51.254 255.255.255.0 !
interface Vlan999
ip address 192.168.199.254 255.255.255.0 !
router rip
network 192.168.0.0
!
router igrp 100
network 192.168.0.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.9.10
no ip server
!
!
line con 0
transport input none
line vty 0 4
password cisco
login
!
end
4.3 二级交换机Catalyst 3500
以图书馆二级交换机为例
Current configuration:
!
version 12.0
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname lib
!
enable secret 5 $1$G3SM$DbzVKE3l/fkYHpoi0XUug/ enable password cisco
!
!
ip subnet-zero
!
!
! interface FastEthernet0/1
switchport access vlan 35
!
interface FastEthernet0/2
switchport access vlan 35
!
interface FastEthernet0/3
switchport access vlan 35
!
interface FastEthernet0/4
switchport access vlan 35
!。