1、前言在信息产业蓬勃发展的今天,信息成为社会经济发展的核心因素,信息化已经成为当今世界的潮流。自从 1993 年美国政府公布实施 “信息高速公路计划 “以后,在世界引起了巨大的反响,许多发达国家和一些发展中国家也相继提出了本国的信息基础设施建设计划。可以说,信息化程度已经成为了衡量一个国家现代化水平或综合国力强弱的标志了。根据中国互联网络信息中心(CNNIC)的最新调查结果,截止到 2006 年 6 月 30 日,我国的网民人数高达 1.23 亿。调查结果表明,人们对互联网的使用越频繁,网民平均每周上网 16.5 个小时,达到新的历史高度,这一数据已经超过了许多互联网发达国家的网民平均上网时间。
2、目前大约有 1500 万人经常使用网络教育,教育网业务发展迅速。计算和网络作为信息产业在工作中不可缺少的重要工具,需要被大批从业人员掌握。校园作为知识和人才的基地,它理应为社会培养高素质的人才。同时,在学校中建立计算机也是十分迫切的需要。随着计算机网络技术的发展,网络设备的价格下降,组建一个重点中学组建出优质校园网络的可行性提供了良好的前提基础。随着科学技术的进步与发展,学生教育尤为重要。教育要从小做起,在这个信息爆炸的时代,教育手段多样化,学生学习日益离不开网络。为了更好的教学以及教学办公,学生学习的需要,该校决定建立自己的校园网络。前言 .1第一章 需求分析 .31.1 项目概况 .31.
3、2 用户需求 .31.3 校园网组建要求 .31.4 接入点统计 .3第二章 方案拓扑 .52.1 方案整体拓扑 .52.2 拓扑描述 .5第三章 方案设计原则 .63.1 网络设计基本原则 .63.2 该园区网设计原则 .6第四章 IP 地址以及 Vlan 规划 74.1 总述设计思想 .74.2 具体设计 .8第五章 设备选型 .85.1 设备选型总揽 .85.2 具体设备选型 .9第六章 实施配置 .136.1 核心交换机配置 .136.2 接入层交换机配置 .166.3 出口配置 .17第一章 需求分析1.1 项目概况该中学是一个重点中学,学校规模一般,其中在校生 2000 人,在校教
4、职工 300 人。据统计,大概一半的学生会选择留校住宿。整个校园有两栋教学楼,两栋学生公寓,一栋较大的图书馆,一栋实验楼,一栋行政楼。宿舍楼每个楼层 20 个寝室,共 6 层,120 个接入点。教学楼每个楼层 5 个教室,共 6 层,60 个接入点。实验楼每个楼层 3 个实验室,共 6 层,36 个接入点。行政楼每个楼层 6 个办公室,共 6 层,72 个接入点。图书馆每个楼层 10 个接入点,共 6 层,60 个接入点。1.2 用户需求建立高速的校园内部网,在保障内部流畅通讯以外,还要保障其他学校的接入畅通无阻。要有一定的扩展性能,安全性,方便管理性。1.3 校园网组建要求1. 教学区、宿舍
5、区用户对校园网、教育网的访问有相应的路由策略2. 校区内的各个行政门的教务部门要实现稳定、安全、快速的通信。3. 满足现有要求,并且要满足日后学校规模不断扩大,用户数量增加后的需求,具有良好的扩展性能。4. 工程费用经济周到,考虑到可扩展、安全性、可靠性与性价比的问题。1.4 接入点统计接入点统计 建筑物 楼层 每层房间数 接入点/个 设计流量/M 备注实验楼 6 3 36 150图书馆 6 60 200图书馆含有 2 个电子阅览室,实验楼有两个公共机房,每个接入点的流量按 2M 设行政楼 6 6 72 144一栋 6 5 60 120教学楼 二栋 6 5 60 120一栋 6 20 120
6、960宿舍楼 二栋 6 20 120 960总计 42 59 528 2654计第二章 方案拓扑2.1 方案整体拓扑2.2 拓扑描述该方案采用两层结构,接入层交换机直接连接到核心交换机。每栋建筑物通过交换机的级联汇聚流量,再通过一条千兆光纤连接到核心交换机上。从拓扑中可以看成,共有六条上行链路,行政楼一条,教学楼两条,宿舍楼两条,他们分别通过千兆光纤连接到核心交换机上;中心机房布置在图书馆内,图书馆的流量通过一条千兆以太网直接连接到核心交换机上;在中心机房搭建三个服务器,提供学校日常使用,服务器通过千兆以太网直接连接到核心交换机上。学校网络出口使用防火墙兼做出口路由器,同时做相应的安全机制,保
7、证学校内网安全。通过一条百兆以太网连接到核心交换机上,再通过串行线接入到教育网。考虑到学校的规模以及成本的问题,仅做的是单出口。第三章 方案设计原则3.1 网络设计基本原则1 可靠性和高性能:网络的设计合理,网络链路可靠性能优秀,满足各种用户不同的需求。2 实用性和经济性:系统软硬件性能均符合需求,在满足教学办公的基础上实现其他服务,利用有限的资金,实现用户需求。3 可扩展性和可升级性:由于学校在建网初不可能投入太多,而随着功能和业务的增长,需要对网络进行升级,这就要求网络有着好的扩展和可升级性。4 易管理、易维护:中心骨干网是整个网络的核心,因此必须要有严格的,良好的管理,来维护网络的正常运
8、行。因此,网络的管理系统要完善,同时设备选取应尽可能选取集成度高、模块可通用的产品,方便管理维护。5 先进性、成熟性:系统的开发是个漫长的过程,不仅仅在于设计的过程,很多情况下是在使用中逐步拓展,扩充和修改系统中的不足。保证先进性,是系统开发的首要条件,采用先进、成熟的技术,保证需求的满足,以及维护扩展是我们要考虑的重要的一个环节。6 安全性、保密性:能够保证网络的安全,抵御内外部的攻击,以及先进的管理手段。7 灵活性、综合性:采用结构化、模块化设计,满足用户需求,方便系统的管理、二次开发和移植。3.2 该园区网设计原则1 模块化设计:模块化设计的好处在于: 1. 解决各网络之间的冲突问题;
9、2. 简化安装和后台设备管理; 3. 易于故障检测和分离问题; 4. 易于执行不同类型的服务和安全方针; 5. 易于扩展和/或代替原来的技术。 2 层次化设计:鉴于本园区网络的规模,采用的两层结构设计思想,核心层接入层。核心层作为核心层,要满足 2000 个接点上网的任务,不同用户的各种需求,保证流量的畅通,和不同网络的交互,为整个网络的枢纽。接入层接入层作为各模块到交换骨干的连接,根据不同木快进行逻辑子网划分,并通过 vlan技术实现子网之间的隔离。访问层主要功能在于隔离模块见的广播流量,避免不同模块间相互影响,访问层主要通过二层交换机组成。层次化网络设计模型的优点 1 高可扩展性 遵循层次
10、化模型网络比扁平式网络更具有伸缩性和可管理性,因为各功能网络通过模块化实现,潜在问题更易于识别。2 易于实施 每一层的功能性清晰划分,简化每一层的实现。 3 易于故障排除 每一层的功能经过良好定义,网络更为简单,有助于故障的隔离。模块化设计也有效限制故障影响范围。4 易于规划和管理层次化的功能划分,整个网络规划和管理更为简单。第四章 IP 地址以及 Vlan 规划4.1 总述设计思想使用私有地址实现网络内部主机互联,服务器使用公有地址。私有地址使用172.16.0.0/16 网段地址。在运营商申请到了 16 个公有地址作为学校服务器的地址,地址为200.200.200.32/28。划分给用户的
11、 IP 地址为 172.16.10.0172.16.18.0/24 网段范围。设备互联地址使用 172.16.9.0/24 网段。二层设备管理地址使用 172.16.8.0/24 网段。4.2 具体设计下表是 IP 地址以及 Vlan 规划的具体设计:IP 地址以及 Vlan 规划建筑物 网络号/24 默认网关 Vlan 号实验楼 172.16.10.0 172.16.10.1 10图书馆 172.16.11.0 172.16.11.1 11行政楼 172.16.12.0 172.16.12.1 12172.16.13.0 172.16.13.1 13教学楼172.16.14.0 172.16
12、.14.1 14172.16.15.0 172.16.15.1 15172.16.16.0 172.16.16.1 16172.16.17.0 172.16.15.1 17宿舍楼172.16.18.0 172.16.18.1 18第五章 设备选型5.1 设备选型总揽在该设计方案中,选取的全部是锐捷的设备,锐捷以其良好设备的性能以及售后服务得到了学校园区网络建设的一致好评,其设备的性价比也是相当出众的,故全部选取了锐捷的网络产品。具体选型参加下表:设备选型设备种类 型号 数量/件 备注核心交换机 RG-S5750S-24GT/12SFP 1接入交换机 STAR-S2150G 15防火墙 RG-W
13、ALL160 1选型设备中不包含电子阅览室和公共机房,没有出口路由器,有防火墙兼做出口路由器5.2 具体设备选型设备选型依照实用的原则选取。核心交换机设备选型核心交换机选取的是锐捷的 RG-S5750S-24GT/12SFP。RG-S5750 系列是锐捷网络推出的融合了高性能、高安全、多智能、易用性的新一代万兆机架式多层交换机。该系列交换机提供的接口形式和组合非常灵活,即可以提供 24 个或48 个 10/100/1000M 自适应的千兆电口,又可以提供有 24 个 SFP 千兆光口,又能提供 PoE远程供电的接口。每种产品型号都配合提供了灵活的复用千兆口,满足网络建设中不同传输介质的连接需要
14、。同时为满足网络的弹性扩展,和高带宽传输需要,可灵活弹性扩展多种类型的万兆模块和万兆堆叠模块。特别适合高带宽、高性能和灵活扩展的大型网络汇聚层,中型网络核心,以及数据中心服务器群的接入使用。该系列交换机硬件支持多层线速交换,并提供了丰富而完善的路由协议,以适合大型网络多种路由和高性能的需要。RG-S5750 系列交换机提供二到七层的智能的业务流分类、完善的服务质量(QoS)保证和组播应用管理特性。在提供高性能、多智能的同时,其内在的安全防御机制和用户接入管理能力,更可有效防止和控制病毒传播和网络攻击,控制非法用户接入网络,保证合法用户合理地使用网络资源,并可以根据网络实际使用环境,实施灵活多样
15、的安全控制策略,充分保障了网络安全、网络合理化使用和运营。RG-S5750 系列交换机以极高的性价比为大型网络汇聚、中型网络核心、数据中心服务器接入提供了高性能、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管,最大化满足高速、安全、智能的企业网需求。它还具有以下特点:1 高性能 IPv4/IPv6 双协议栈多层交换高背板带宽为所有的端口提供非阻塞性能;丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由的需要,特别是支持 ECMP/WCMP(Equal-Cost Multipath Routing/ Weight-Cost Multipath Routing) ,确保了各骨
16、干网络链路的充分使用,大大增加了网络传输带宽,而且可以无时延无丢包地备份失效链路的数据传输;硬件支持 IPv4/IPv6 双协议栈多层线速交换,硬件区分和处理 IPv4、IPv6 协议报文,支持多种 Tunnel 隧道技术(如手工配置隧道、6to4 隧道和 ISATAP 隧道等,可根据 IPv6 网络的需求规划和网络现状,提供灵活的 IPv6 网络间通信方案;双协议栈的支持和处理,使得无需改变网络架构,即可将现有网络无缝地升级为下一代 IPv6 方案;基于 LPM 硬件路由转发方式使得 RG-S5750 系列不仅适用于大型网络环境,而且可防御各种网络病毒的侵袭,保障所有报文的线速转发,有效保证
17、了设备的安全性; 硬件支持多层线速交换,能够识别二到七层的应用业务流,所有端口都具有单独的数据包过滤、区分不同应用流,并根据不同的应用流进行不同的策略管理和控制。2 灵活完备的安全控制具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击,如预防 Dos 攻击、防黑客 IP 扫描等,还网络一片绿色;业界领先的硬件 CPU 保护机制:特有的 CPU 保护策略(CPP 技术) ,对发往 CPU 的数据流,进行流区分和优先级队列分级处理,并根据需要实施带宽限速,充分保护 CPU 不被非法流量占用、恶意攻击和资源消耗,保障了 CPU 安全,充分保护了交换机的安全;硬件实现端口或交换机整机与用户 IP
18、地址和 MAC 地址的灵活绑定,严格限定端口上的用户接入或交换机整机上的用户接入问题;保护端口不必占用VLAN 资源,即可非常方便地隔离用户之间信息互通,充分保护用户信息的安全;支持DHCP snooping,可只允许信任端口的 DHCP 响应,防止私设 DHCP Server 的欺骗;并在DHCP 监听的基础上,通过动态监测 ARP 和检查用户的 IP,直接丢弃不符合绑定表项的非法报文,有效防范 ARP 欺骗和用户源 IP 地址的欺骗问题;基于源 IP 地址控制的 Telnet 和Web 设备访问控制,避免非法人员和黑客恶意攻击和控制设备,增强了设备网管的安全性;SH( Secure She
19、ll)和 SNMPv3 确保在 Telnet 和 SNMP 进程中加密管理信息,保证交换机管理信息的安全性,防止黑客攻击和控制设备;控制非法用户接入网络,保证合法用户合理化使用网络,如端口安全、端口隔离、专家级 ACL、时间 ACL、基于应用数据流的带宽限速、多元素绑定等等,满足企业和校园网加强对访问者进行控制、阻止非授权用户通信的需求。3 丰富的组播特性支持各种单播和组播动态路由协议,可适应不同的网络规模和需要进行大量组播服务的环境,实现网络的可扩展和多业务应用;支持 IGMP 源端口和源 IP 检查功能,有效地杜绝非法的组播源,提高网络的安全性;支持 IGMPv1/v2 和 IGMPv3
20、全部版本,适应不同组播环境,避免非法的组播数据流占用网络带宽,满足组播安全应用的需要。4 完善的 QoS 策略以 DiffServ 标准为核心的 QoS 保障系统,支持 802.1P、IP TOS、二到七层流过滤、SP、 WRR 等完整的 QoS 策略,实现基于全网系统多业务的 QoS 逻辑;具备 MAC 流、IP 流、应用流等多层的流分类和流控制能力,实现按照业务流进行带宽控制、转发优先级等多种流策略,限速粒度精细,千兆端口粒度达 64Kbps,万兆端口粒度达 1Mbps,支持网络根据不同的应用、以及不同应用所需要的服务质量特性,提供服务。5 高可靠性支持生成树协议 802.1D、802.1
21、w 、802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率;支持 VRRP虚拟路由器冗余协议,有效保障网络稳定;支持 RLDP,可快速检测链路的通断和光纤链路的单向性,并支持端口下的环路检测功能,防止端口下因私接 Hub 等设备形成的环路而导致网络故障的现象。6 方便易用易管理灵活复用的多种千兆接口形式,可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接,方便用户灵活选择线缆;为满足网络弹性扩展和高带宽传输需要,简单选配多种类型的万兆模块,网络即可平滑升级到万兆上链骨干;为方便安装地点或建筑物不适宜部署外部电源的环境,RG-S5
22、750 系列交换机特别提供支持 PoE 功能的产品型号,即通过双绞线就可以向远端下挂的 PD 设备供电,如无线 AP、IP Phone、视频监控等设备,方便了任何符合 IEEE 802.3af 标准的终端设备的接入,实现以太网集中供电,以满足金融、企业、学校、医院、工厂等用户实现 VoIP、远程监控、无线 AP 等网络应用的需要;SNTP(简单网络时间协议)保证交换机时间的准确性,并与网络中时间服务器的时间统一化,方便日志信息和流量信息的分析、故障诊断等管理; Syslog 方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员网络维护和管理;多端口同步监控,通过一个端口即可同时监
23、控多个端口的数据流,可以只监控输入帧或只监控输出帧或双向帧,大大提高维护效率;CLI 界面,方便高级用户配置和使用;Java-based Web 管理方式,实现对交换机的可视化图形界面管理,快速和高效地配置设备。接入交换机设备选型在该方案中,选取 STAR-S2150G 作为接入层交换机。该交换机端口密度大,采用大端口的交换机以便以后管理方便。同时该交换机支持堆叠,通过添加堆叠模块,使用堆叠线,就可以将多个设备堆叠起来,逻辑上成为一个设备。此次方案中,采用的是级联,并没使用堆叠,但是可以备用,以便以后网络升级。STAR-S2150G 是两款全线速可堆叠的安全智能交换机,在提供智能的流分类、完善
24、的服务质量(QoS )和组播应用管理特性同时,并可以根据网络实际使用环境,实施灵活多样的安全控制策略,可有效防止和控制病毒传播和网络攻击,控制非法用户使用网络,保证合法用户合理使用网络资源,充分保障网络安全和网络合理化使用和运营。STAR-S2150G可通过 SNMP、Telnet、Web 和 Console 口等多种配置方式提供丰富的管理。S2126G/S2150G 以极高的性价比为各类型网络提供完善的端到端的 QoS 服务质量、灵活丰富的安全策略管理和基于策略的网管,最大化满足高速、安全、智能的企业网新需求。该交换机还具有以下特点:1 高性能高背板带宽为所有的端口提供线速的交换能力。2 灵
25、活完备的安全控制策略通过与锐捷网络全局安全解决方案 GSN 的结合,可在安全策略方面为用户提供全新的立体三维的技术特性和解决方案,完全解除安全威胁、攻击欺骗、病毒侵害等危害;通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击,控制非法用户使用网络,保证合法用户合理化地使用网络,如端口安全、端口隔离、专家级 ACL、时间 ACL、端口 ARP报文的合法性检查、基于数据流的带宽限速、六元素绑定等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求;硬件实现端口与 MAC 地址和用户 IP 地址的灵活绑定,严格限定端口上用户接入;保护端口不必占用 VLAN 资源,即可非常方便
26、地隔离用户之间信息互通,充分保护用户隐私. 专用的硬件防范 ARP 网关和 ARP 主机欺骗功能,有效遏制了网络中日益泛滥的 ARP 网关欺骗和 ARP 主机欺骗的现象,保障了用户的正常上网; 支持 DHCP Relay,更可支持 DHCP Option 82,可方便实现对 IP 地址的精确分配和控制,支持 DHCP Snooping,可有效防范动静态分配 IP 地址环境下的 ARP 欺骗问题;提供极为有效的 Port Blocking 功能,避免和阻止端口受到其它端口发送的广播包、多播包等报文的干扰,有效减轻端口的负载负担,提高端口带宽,保护用户 PC 更高效安全地运行;基于源 IP 地址控
27、制的 Telnet 和 Web 设备访问控制,避免非法人员和黑客恶意攻击和控制设备,增强了设备网管的安全性;SSH(Secure Shell)和 SNMPv3 技术可以通过在 Telnet和 SNMP 进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备;各种类型的硬件 ACL 控制,可灵活控制二七层数据报文,使得任何一个用户 PC 上的应用报文通过网络都能得到有效控制,充分保障了网络的安全和合理化使用。3 方便易用易管理强大的菊花链式堆叠,支持 S2126G/S2150G 的混合堆叠,保证网络的高度灵活和可扩展,网络管理更加简单;提供图形化的安全策略管理平台,支持安全策略自动
28、同步下发、升级和维护功能,安全策略智能化,可大幅度提高交换机管理和配置效率,提高网络安全;在实施了各种安全措施基础上,S21 还能根据网络管理灵活性和特殊性的需要,能为网络内的一些特殊用户,以及设备的方便管理,开启安全通道,实现安全和灵活兼并的网络管理理念;端口的 VLAN 自动跳转功能,无需网管员手工干预,即可将端口跳转到用户所在VLAN,实现用户全网漫游上网,减轻设备配置和维护量;多端口同步监控,通过一个端口即可同时监控多个端口的数据流,可以只监控输入帧或只监控输出帧或双向帧,大大提高维护效率;简单网络时间协议(SNTP)保证交换机时间的准确性,并与网络中时间服务器的时间统一化,方便日志信
29、息和流量信息的分析、故障诊断;Syslog 方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员进行网络维护和管理;独特的集群管理,通过一台命令交换机可管理多达 20 台的 S21 系列交换机,无论交换机是否在同一配线间和布线室;强大的集群管理方式使得网络的维护工作变得非常方便和简单,只需配置1 个 IP 地址,即可管理多台设备,不仅成倍节省了 IP 地址空间,而且维护和管理量也得到极大降低;CLI 界面,方便高级用户配置和使用;Java-based Web 管理方式,实现对交换机的可视化图形管理,快速和高效地配置设备。防火墙设备选型该方案中选取 RG-WALL160 作为防火墙
30、。RG-WALL 系列采用锐捷网络独创的分类算法(Classification Algorithm)设计的新一代安全产品 第三类防火墙,支持扩展的状态检测( Stateful Inspection)技术,具备高性能的网络传输功能;同时在启用动态端口应用程序(如 VoIP、 H.323 等)时,可提供强有力的安全信道。采用锐捷独创的分类算法使得 RG-WALL 产品的高速性能不受策略数和会话数多少的影响,产品安装前后丝毫不会影响网络速度;同时,RG-WALL 在内核层处理所有数据包的接收、分类、转发工作,因此不会成为网络流量的瓶颈。另外,RG-WALL 具有入侵监测功能,可判断攻击并且提供解决措
31、施,且入侵监测功能不会影响防火墙的性能。RG-WALL 的主要功能包括:扩展的状态检测功能、防范入侵及其它(如 URL 过滤、HTTP 透明代理、SMTP 代理、分离 DNS、NAT 功能和审计 /报告等)附加功能。第六章 实施配置6.1 核心交换机配置vlan databasevlan 10 name labvlan 11 name libvlan 12 name adminvlan 13 name tech-1vlan 14 name tech-2vlan 15 name dom-1vlan 16 name dom-2vlan 17 name dom-3vlan 18 name dom-4
32、exitshow vlan-switch-核心交换机配置 vlan-config terminal interface vlan 10ip add 172.16.10.1 255.255.255.0interface vlan 11ip add 172.16.11.1 255.255.255.0interface vlan 12ip add 172.16.12.1 255.255.255.0interface vlan 13ip add 172.16.13.1 255.255.255.0interface vlan 14ip add 172.16.14.1 255.255.255.0inter
33、face vlan 15ip add 172.16.15.1 255.255.255.0interface vlan 16ip add 172.16.16.1 255.255.255.0interface vlan 17ip add 172.16.17.1 255.255.255.0interface vlan 17ip add 172.16.17.1 255.255.255.0interface vlan 18ip add 172.16.18.1 255.255.255.0endshow ip int b-核心交换机配置 vlan 默认网关-conf tint range fastether
34、net 0/1 - 7switchport mode trunkint f0/1description connect_to_libraryint f0/2description connect_to_labint f0/3description connect_to_tech_1int f0/4description connect_to_tech_2int f0/5description connect_to_dom_1int f0/6description connect_to_dom_2int f0/7description connect_to_administrator_build
35、ingendshow interface status-配置接口 0/0 到 0/7 接口成为 trunk 口-conf tinterface f0/13no switchport ip add 200.200.200.33 255.255.255.252description connect_to_www_serverno shutinterface f0/14no switchportip add 200.200.200.37 255.255.255.252description connect_to_teching_serverno shutinterface f0/15 no swit
36、chportip add 200.200.200.41 255.255.255.252description connect_to_other_serverno shutinterface f0/0description connect_to_firewallno switchportip add 172.16.9.1 255.255.255.252no shutendping 172.16.9.2-配置三层口-conf trouter ospf 100network 172.16.10.0 0.0.0.255 a 0network 172.16.11.0 0.0.0.255 a 0netwo
37、rk 172.16.12.0 0.0.0.255 a 0network 172.16.13.0 0.0.0.255 a 0network 172.16.14.0 0.0.0.255 a 0network 172.16.15.0 0.0.0.255 a 0network 172.16.16.0 0.0.0.255 a 0network 172.16.17.0 0.0.0.255 a 0network 172.16.18.0 0.0.0.255 a 0network 172.16.9.2 0.0.0.0 a 0network 200.200.200.32 0.0.0.3 a 0network 20
38、0.200.200.36 0.0.0.3 a 0network 200.200.200.40 0.0.0.3 a 0-配置路由协议 OSPF-conf tenable password 321line vty 0 4 passord abcloginexitline console 0passord 123loginexit-设置设备密码-conf taccess-list 110 deny ip 172.16.15.0 0.0.0.255 172.16.12.0 0.0.0.255access-list 110 deny ip 172.16.16.0 0.0.0.255 172.16.12.
39、0 0.0.0.255access-list 110 deny ip 172.16.17.0 0.0.0.255 172.16.12.0 0.0.0.255access-list 110 deny ip 172.16.18.0 0.0.0.255 172.16.12.0 0.0.0.255access-list 110 permit ip any any int f0/5ip access-group 110 inint f0/6ip access-group 110 inconf taccess-list 120 deny ip 172.16.10.0 0.0.0.255 172.16.12
40、.0 0.0.0.255permit ip any anyint f0/2ip access-group 120 in-设置 ACL 禁止学生宿舍楼和实验楼访问行政楼-验证:core#sh vlan-switch VLAN Name Status Ports- - - -1 default active Fa0/3, Fa0/4, Fa0/5, Fa0/6Fa0/7, Fa0/8, Fa0/9, Fa0/10Fa0/11, Fa0/1210 lab active 11 lib active 12 admin active 13 tech-1 active 14 tech-2 active 15
41、 dom-1 active 16 dom-2 active 17 dom-3 active 18 dom-4 active 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2- - - - - - - - - - -1 enet 1500 - - - - - 1002 1003VLAN Typ
42、e SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2- - - - - - - - - - -10 enet 1500 - - - - - 0 0 11 enet 1500 - - - - - 0 0 12 enet 1500 - - - - - 0 0 13 enet 1500 - - - - - 0 0 14 enet 1500 - - - - - 0 0 15 enet 1500 - - - - - 0 0 16 enet 1500 - - - - - 0 0 17 enet 1500 - - - - - 0 0 18
43、enet 1500 - - - - - 0 0 1002 fddi 1500 - - - - - 1 10031003 tr 1500 1005 0 - - srb 1 10021004 fdnet 1500 - - 1 ibm - 0 0 1005 trnet 1500 - - 1 ibm - 0 0 core#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 -
44、 OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2ia - IS-IS inter area, * - candidate default, U - per-user static routeo - ODR, P - periodic downloaded static routeGatew
45、ay of last resort is 172.16.9.2 to network 0.0.0.0200.200.200.0/30 is subnetted, 1 subnetsC 200.200.200.40 is directly connected, FastEthernet0/15172.16.0.0/16 is variably subnetted, 10 subnets, 2 masksC 172.16.16.0/24 is directly connected, Vlan16C 172.16.17.0/24 is directly connected, Vlan17C 172.
46、16.18.0/24 is directly connected, Vlan18C 172.16.12.0/24 is directly connected, Vlan12C 172.16.13.0/24 is directly connected, Vlan13C 172.16.14.0/24 is directly connected, Vlan14C 172.16.15.0/24 is directly connected, Vlan15C 172.16.9.0/30 is directly connected, FastEthernet0/0C 172.16.10.0/24 is directly connected, Vlan10C 172.16.11.0/24 is directly connected, Vlan11O*E2 0.0.0.0/0 110/1 via 172.16.9.2, 00:12:24, FastEthernet0/0core#show ip int bInterface IP-Address OK? Method Status ProtocolFastEthernet0/0 172.16.9.1 YES manual up
