校园网网络工程实施计划方案

《校园网网络工程实施计划方案》由会员分享，可在线阅读，更多相关《校园网网络工程实施计划方案（47页珍藏版）》请在装配图网上搜索。

1、 . . . 目 录第一章、总体设计21.1 用户需求21.2 实施的目的31.3 系统设计原则31.4 设计依据和规41.5 网络设备服务卡41.6 系统软件登记表4第二章、杭电网络工程施工计划52.1 主要设备清单52.2 施工计划表6第三章、杭电网络工程施工过程73.1 网络设备详细信息和IP地址分配表73.2 VLAN间访问规则83.3 施工流程83.4 施工过程93.4.1 Catalyst 6506的安装过程93.4.2 配置Catalyst 6506的系统参数93.4.3 配置Catalyst 6506的VLAN103.4.4 配置配置6509交换机的三层交换模块153.4.5

2、配置6506交换机VLAN间的访问规则153.4.6 配置6506交换机的CDP和SNMP153.4.7 配置6506交换机的STP163.4.8 配置Catalyst 3500的安装过程163.4.9 配置Cisco 防火墙PIX 520的安装过程183.4.10 配置CACHE ENGINE 550的安装过程193.4.11 配置Cisco3640的安装过程223.4.12 配置Cisco Works网管软件243.5 设备模拟连接调试阶段263.6 设备安装阶段263.7 系统连调阶段273.8 INTERNET连接27第四章、具体设备配置实例294.1 Catalyst 6506294

3、.2 session 15344.3 二级交换机Catalyst 3500384.4防火墙PIX520414.5 CACHE ENGINE 550444.6 Cisco3640路由器45第五章、工程总结4747 / 47第一章、总体设计1.1 用户需求 此网络工程所要达到的主要目标如下： 支持全校现有的计算机,连接校园实验大楼、行政大楼、电教大楼、图书馆和成教大楼等,将本校现有的及将来要配置的各种PC、工作站和终端通过高性能的网络设备连接起来,组成分布式、开放性的网络环境,以提高教育科研水平。充分利用原有的主干光缆和楼布线系统,将目前的百兆主干快速以太网升级到千兆主干、百兆交换到桌面的高速交换

4、式以太网。同时,保护原有网络设备投资,将目前运行的IBM公司系列网络产品有效地集成到升级系统中。在Internet互连网络系统平台上,以数据库、Web、电子、为基础的系统；并构建部Intranet系统,与已有系统实现互联。网络与数据安全是目前计算机信息技术所面临的重要挑战,解决安全问题的技术与方案有很多,通过防火墙、web cache服务器建设确定完整统一的安全策略Security Policy也是校园网可靠运行的保证。考虑与其它学校、科学教育网络相连,可通过CERNET与国外其它网络相连接、实现远程教学。网络具有友好、一致的用户界面和丰富的管理应用系统。 在网络升级基础上规划相应的应用系统,

5、具体包括：学校的建设OA办公管理系统建设：电子、公文处理、档案管理、会议管理、电子公告、电子论坛、备忘信息等多媒体辅助教学系统连接原有图书管理系统VOD视频点播及视频会议系统1.2 实施的目的 分析用户需求,可知该网络工程所含的容包括： 运用虚拟网技术,建设杭电校园千兆主干网,使其覆盖全校各主要建筑物,将学校各种PC、LAN连接为一个结构合理、外连通,并支持多种协议和异种机的园区网。 通过在信息中心代理服务器的设立与科教网相连并可与Internet互连。 新校区的由于其与科教网相连的特殊性,因此可分别设立独立的三个代理服务器与Internet互连。 根据科学的安全策略,通过Cisco PIX5

6、20防火墙配置,从而有效的隔绝网和外网,但同时又能实现公网对杭电校和对外开放资源的访问。 通过Cache Egeine 505与Cisco6506之间WCCP配置建立高速的Internet访问通道。 通过CiscoWorks网管软件实施有效的网络管理。1.3 系统设计原则连续性原则：充分利用现有资源包括现有的网络、计算机和应用资源,使系统既能与前期系统相衔接,同时具有一定的可扩充性,为后期工作打下基础。实用性原则：在保证使用要求和技术可行性的前提下,要选择易于操作、管理、见效的设计和设备。安全原则：设计中应注意各个环节的安全,统筹规划,不可偏废。信息共享原则：设计必须考虑信息在一定的条件下、一

7、定围的共享。先进性原则：系统建设要与当今先进的计算机网络发展技术相适应,保证系统的先进性、开放性、高可靠性和可扩展性的有机结合。1.4 设计依据和规主机和网络设备的选型符合下列国家和组织的技术标准和规：GB：中华人民国国家标准ISO：国际标准组织ITU-T：国际电信联盟IEEE：国际电气与电子工程师协会EIA：电气工业协会IEC：国际电工协会1.5 网络设备服务卡见附件1.6 系统软件登记表见附件第二章、杭电网络工程施工计划2.1 主要设备清单杭电校园网升级改造工程网络主干设备清单：No.Product No.DescriptionQty1Ws-c6506Catalyst 6506 chass

8、is12WS-CAC-1300Catalyst 6506 Chassis w/ 1300W AC Power Supply13WS-X6K-S2-MSFC2Catalyst 6000 Supervisor Engine2-A, 2GE, plus MSFC-2 & PFC14WS-X6408-GBICCatalyst 6000 8-port Gigabit Ethernet Module 15WS-G54841000BASE-SX Short Wavelength GBIC 66WS-X6348-RJ-45Catalyst 6000 48-port 10/100 RJ-45 Module17W

9、S-C6500-SFMCatalyst 6500 Switch Fabric Model18WS-C3524-XL-ENCatalyst 3524 XL Enterprise Edition39WS-C3548-XL-ENCatalyst 3548 XL Enterprise Edition210WS-G54841000BASE-SX Short Wavelength GBIC 711CISCO3640Cisco 3600 4-slot Modular Router-AC with IP Software112NM-2FE2W2 10/100 Ethernet 2 WAN Card Slot

10、Network Module113PIX-520-1K-CHMidrange PIX Firewall 520, two 10/100 Enet NICs114CE-550Cache Engine 550115CWW-5.0Cisco works for windows 6.0116JSX-FM-2WIBM8274 2 Port Gigabit Ethernet Module1Total2.2 施工计划表系统设备列表Cisco 6506主交换机Cisco 3524二级换机Cisco 3548二级换机Cisco PIX520防火墙Cache Engine 550Cisco 3640路由器环境检查

11、10分钟UPS电源质量温度和湿度接地系统电阻要求设备开包60分钟主交换设备二级交换设路由器防火墙电源线缆系统上电20分钟cisco6506主机系统10分钟各CISCO3500系列主机60分钟系统上电正常以及上电失败的相应动作对照系统订单检查系统的功能部件30分钟中央处理器存磁盘置以及外置设备/适配器操作系统安装150分钟*2升级Cisco3640 IOS操作系统的150分钟安装在线帮助,包括Info,电子书籍,配置书籍搜索程序第三章、杭电网络工程施工过程3.1 网络设备详细信息和IP地址分配表3.2 VLAN间访问规则注：默认情况下VLAN间的IP包访问不受限制3.3 施工流程以下是本次工程中

12、网络设备的施工流程图 开始配置6506安装模块、配置名字、口令、远端控制 配置 VLAN 配置 MSFC 配置 SNMP配置3500安装模块、名字、口令、远端控制 配置 VLAN 配置 SNMP 配置 网关配置CE-505名字、口令、远端控制 配置 WCCP 配置 网关、DNS配置PIX安装网卡、名字、口令、端口状态 配置 端口地址 配置 路由 配置 安全规则配置3640路由器安装模块、名字、口令、端口状态 配置 端口地址 配置 路由 配置 安全规则设备到位 整体联调 测试与故障解决3.4 施工过程3.4.1 Catalyst 6506的安装过程模块安装安装6506的电源模块；WS-X6K-S

13、1A-MSFC2；WS-X6408-GBIC；WS-G5484；WS-X6248-RJ-45；WS-C6500-SFMCisco Catalyst 6506由工厂根据定货单直接安装好标准配置的模块,但电源、路由等尚未安装,所以首先将待安装的各模块拆开,装入6506的电源插槽。上电检查6506的各个模块的工作状态是否正常：接入6506电源,由于6506有两个电源作为冗余,所以最好两个电源分别接入两路UPS电源上,这样即使当UPS其中一路电源故障时,不会影响整个6506交换机的正常远行,当6506交换机上电初始化结束后,从各个模块面板上的LED灯的状态可以判断各个模块的工作状态是否正常。3.4.2

14、 配置Catalyst 6506的系统参数 当6506交换机初始化结束后,就进入系统单机配置阶段。对于6506来说,首先需要配置系统参数,其中包括以下几个部分：机器名、口令和远程登陆等。以下是具体配置过程：cisco6506 enable cisco6506enableset system name cisco6506说明：配置6506的名字为CISCO6506cisco6506 enablecisco6506enableset enable password cisco说明：配置6506的enable 口令为ciscocisco6506 enable cisco6506enableset i

15、nterface sc0 1 192.168.9.3/255.255.255.0 cisco6506enableset ip route 0.0.0.0/0.0.0.0 192.168.9.254 说明：配置6506的CPU模块上的以太网IP地址为：192.168.9.3,且只允许本网段任何地址存取3.4.3 配置Catalyst 6506的VLAN网络IP地址分配策略杭电校园网是覆盖全院的广域网络,其网络主干连接的节点多,因此,要保证网络的有效性和可管理性,网络地址的规划与分配是十分重要的问题。网络地址是一种资源,必须经过优化的规划和设计,因为很难预测网络将来的规模和应用情况的发展,如果规划

16、不当,将导致地址资源不够用,网络的扩展将受到极大的限制；如果规划过于庞大,则在现行运行过程中,网络的路由将会复杂,影响网络的效率。网络地址的分配应遵循以下的原则：唯一性：在同一个互联网络网络地址应该保持其唯一性；简单性：地址的分配应该简单,避免在主干上采用复杂的掩码方式；连续性：为同一个网络区域分配连续的网络地址,便于缩减路由表的表项,提高路由器的处理效率,这种技术称为地址叠合Summarization；可扩充性：为一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍然能够保持地址的连续性；灵活性：地址分配不应该基于某个网络路由策略的优化方案,应该便于多数路由策略在该地址分配方案

17、上实现优化；可管理性：地址的分配应该有层次,某个局部的变动不要影响上层、全局。在对一个具体部门拥有的某个或几个子区划分子网时,要根据本部门的具体应用需求来合理分配子网资源,并且要留有一定的余地,这要从子网数和某一个子网所拥有的最大主机数两个方面来考虑。根据我们对杭电校园网的网络地址规划和分配的了解,我们采用以C类地址为主B类地址为辅的地址分配原则。前二位192.168作为公共网络地址,第三位作为各VLAN的地址,并第四位的254作为各VLAN的网关地址分配表见附表 杭电计算机网络根据业务功能的不同,可以分为51个VLAN,51个VLAN各自独立,分别属于不同的广播域,默认情况下不同VLAN间可

18、互相访问,根据不同安全策略,access-list表可作访问控制楼幢机构端口分配VLAN IDVLAN命名网关行政楼党政办领导1-18VLAN 10DangZheng192.168.10.254人事处19-24VLAN 11RenShi192.168.11.254教务处25-27VLAN 12JiaoWu192.168.12.254科研财务28-32VLAN 13Xz_1_west192.168.13.254研究所33-36VLAN 14YanjiuSheng192.168.14.254组织、宣传、综合37-42VLAN 15XuanChuan192.168.15.254离休等192.168.

19、16.254纪监、后勤、高教等43-46VLAN 17Xz_2_west192.168.17.254电教CAD1-2VLAN 18Cad192.168.18.254电教3-4VLAN 19DianJiao 192.168.19.254计算中心5-10VLAN 20Computer_Center192.168.20.254408自备房11-14VLAN 21Student192.168.21.254楼幢机构端口分配VLAN IDVLAN命名网关实验楼文理学院1-2VLAN 22WenLi192.168.22.254机电分院3-4VLAN 23JiDian192.168.23.254自动化分院5-

20、6VLAN 24ZiDongHua192.168.24.254财经分院7-8VLAN 25Caijing192.168.25.254管理分院9-10VLAN 26GuanLi192.168.26.254计算机分院11-12VLAN 27JiSuanJi192.168.27.254电子分院13-14VLAN 28DianZi192.168.28.254通信分院15-16VLAN 29Tongxin192.168.29.254信息分院17-18VLAN 30XinXi192.168.30.254CAE所19-20VLAN 31CAE192.168.31.254设备处21-22VLAN 32SB_o

21、ther192.168.32.254网管23-35VLAN 37NIC_1192.168.37.25437-42VLAN 33NIC_2备用192.168.33.25443-48VLAN 46NIC_3 学生192.168.46.254计算机分院1-2VLAN 38proxy192.168.38.2543-4VLAN 39computer_1192.168.39.2545-6VLAN 40computer_2192.168.40.2547-8VLAN 41computer_3192.168.41.2549-10VLAN 42computer_4192.168.42.25411-12VLAN 4

22、3computer_5192.168.43.25413-14VLAN 44computer_6192.168.44.254楼幢机构端口分配VLAN IDVLAN命名网关图书馆服务器VLAN 45LIB_server192.168.45.254客户端1-24VLAN 36Lib_1192.168.36.254具体配置过程如下：cisco6506enableset vtp domain hzdzgxycisco6506enableset vtp passwd ciscocisco6506enableset vlan 10 name dangzheng cisco6506enableset vlan

23、 11 name renshi cisco6506enableset vlan 12 name jiaowu cisco6506enableset vlan 13 name xz_1_west cisco6506enableset vlan 14 name yanjiusheng cisco6506enableset vlan 15 name xuanchuan cisco6506enableset vlan 16 name xz_other1 cisco6506enableset vlan 17 name xz_other cisco6506enableset vlan 18 name ca

24、d cisco6506enableset vlan 19 name dianjiao cisco6506enableset vlan 20 name computer_centercisco6506enableset vlan 21 name shudent cisco6506enableset vlan 22 name wenlicisco6506enableset vlan 23 name jidian cisco6506enableset vlan 24 name zidonghua cisco6506enableset vlan 25 name caijing cisco6506ena

25、bleset vlan 26 name guanli cisco6506enableset vlan 27 name jisuanjicisco6506enableset vlan 28 name dianzi cisco6506enableset vlan 29 name tongxincisco6506enableset vlan 30 name xinxi cisco6506enableset vlan 31 name cae cisco6506enableset vlan 32 name sb_other cisco6506enableset vlan 33 name nic_2 ci

26、sco6506enableset vlan 34 name chengjiao cisco6506enableset vlan 35 name lib cisco6506enableset vlan 36 name lib_1 cisco6506enableset vlan 37 name nic_1 cisco6506enableset vlan 38 name proxy cisco6506enableset vlan 39 name computer_1 cisco6506enableset vlan 40 name computer_2 cisco6506enableset vlan

27、41 name computer_3 cisco6506enableset vlan 42 name computer_4 cisco6506enableset vlan 43 name computer_5 cisco6506enableset vlan 44 name computer_6 cisco6506enableset vlan 45 name lib_server cisco6506enableset vlan 46 name nic_3 cisco6506enableset vlan 48 name dialup cisco6506enableset vlan 50 name

28、408 cisco6506enableset vlan 51 name wy type cisco6506enableset vlan 999 name cache !说明：设置6506的VLAN名字和VTP模式cisco6506enableset trunk 2/1 nonegotiate isl 1-1005,1025-4094cisco6506enableset trunk 2/2 nonegotiate isl 1-1005,1025-4094cisco6506enableset trunk 2/3 nonegotiate isl 1-1005,1025-4094cisco6506en

29、ableset trunk 2/4 nonegotiate isl 1-1005,1025-4094cisco6506enableset trunk 2/5 nonegotiate isl 1-1005,1025-4094cisco6506enableset trunk 2/6 nonegotiate isl 1-1005,1025-4094cisco6506enableset trunk 2/7 nonegotiate isl 1-1005,1025-4094cisco6506enableset trunk 2/8 nonegotiate isl 1-1005,1025-4094说明：设置6

30、506的第二模块1-8口为主干模式,并采用ISL协议并不可磋商。3.4.4 配置配置6509交换机的三层交换模块当在6506上划分了VLAN以后,桌面工作站就可以根据不同的需求分别加入到对应的VLAN中去,不同的VLAN的客户机就分别属于不同的广播域,有各自不同的IP地址段,当需要跨网段互相访问时,就必须通过路由。6506可以带三层交换MSFC模块,本系统中由于在6506上有一个超级引擎上配置了一块MSFC模块,随着杭电计算机网络的发展,系统可能的情况下,就可以利用CISCO的HSRP协议作热备份,再配置一台或者多台支持HSRP协议的三层交换机,即当其中任何一块MSFC模块故障时,另外一块可以

31、立即接替原来的模块继续工作,切换时间很短。我们可实现51个VLAN分别优先运行在多个三层路由模块上,这样在系统无故障时,能到达路由数据负载分担的目的。3.4.5 配置6506交换机VLAN间的访问规则 当数据在VLAN间路由时,出于对各独立系统的安全考虑,在各VLAN路由端口上应用访问列表,使VLAN之间的数据按规则通过。针对每个VLAN的所属机构将安全规则量化,再依次应用在端口上。Access-list 1 permit any any 其他VLAN的访问规则见最后的具体配置。3.4.6配置6506交换机的CDP和SNMP当交换机需要被网管时,必须配置交换机的CDP和SNMP参数,其中CDP

32、协议是CISCO公司特有的一种协议,而SNMP是标准的简单网络管理协议。其中SNMP协议需要有一个COMMUNITY NAME控制对交换机的读写,在本次工程中,我们定义了以下的COMMUNITY NAME：READWRITE：PRIVATEREADONLY：PUBLIC以下是具体配置命令：cisco6506enablecisco6506set cdp enable说明：启用6506交换机的CDP协议。Cisco6506set snmp enable all说明：启用6506交换机的SNMP功能,并启用默认的关键字PUBLIC为只读,PRIVATE为读写。3.4.7配置6506交换机的STP由于

33、在设计的过程中,为了增加网络的可靠性,在核心层交换机与汇接层交换机之间、以及核心应用中均设计了双冗余链路。为了避免这些冗余链路所形成的透明桥接问题,必须使生成树协议STP有效工作。启动生成树cisco6506set spantree enable all3.4.8配置Catalyst 3500的安装过程Catalyst 3500系列是CISCO公司的提供1000兆上行端口的桌面交换机,本次工程中包括3台catalyst3524交换机和2台catalyst3548交换机,配置过程完全一样。以下是具体配置过程：3524的配置：Current configuration:!version 12.0n

34、o service padservice timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname lib说明：配置3524的NAME为lib。enable secret 5 $1$G3SM$DbzVKE3l/fkYHpoi0XUug/enable password cisco说明：配置3524的口令interface FastEthernet0/1switchport access vlan 35说明：配置端口1属于VLAN135interface GigabitEt

35、hernet0/1switchport mode trunkswitchport trunk encapsulation dot1q 说明：两个千兆的上行口配置为TRUNK方式。interface VLAN1ip address 192.168.9.5 255.255.255.0no ip directed-broadcastno ip route-cache说明：配置VLAN1的IP地址vtp client说明：配置VTP为CLIENT方式vtp domain hzdzgxy 说明：配置VTP域名为hzdzgxyline vty 0 4password ciscologinline vty

36、5 15password ciscologin说明：配置远程登陆的口令为cisco3.4.9配置Cisco 防火墙PIX 520的安装过程配置PIX的基本属性 将PIX 安放至机架,经检测电源系统后接上电源,并加电主机。将CONSOLE 口连接到PC的串口上,运行Hyper Terminal 程序从CONSOLE口进入PIX系统；此时系统提示pixfirewall。输入命令：enable,进入特权模式,此时系统提示为pixfirewall#。输入命令：configure terminal,对系统进行初始化设置。配置以太口参数：interface ethernet0 autointerface

37、ethernet1 autointerface ethernet2 auto配置各功能段的安全级别： nameif ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 dmz security50配置各网卡的IP地址： ip address outside 210.32.39.253 255.255.255.0 ip address inside 10.0.0.254 255.255.255.0 ip address dmz 210.32.32.254 255.255.255.0指定外部地

38、址围： global 1 210.32.38.254 global 1 192.168.1.1-192.168.1.253 global 1 192.168.1.254指定要进行转换的部地址： nat 1 0.0.0.0 0.0.0.0 0 0 nat 0 0.0.0.0 0.0.0.0 0 0设置静态的地址转换,将真实地址与提供服务的私有地址绑定static 210.32.32.1 210.32.32.1 netmask 255.255.255.255 0 0static 210.32.32.21 210.32.32.21 netmask 255.255.255.255 0static 21

39、0.32.32.18 210.32.32.18 netmask 255.255.255.255 0static 210.32.32.10 210.32.32.10 netmask 255.255.255.255 0static 210.32.32.32 210.32.32.32 netmask 255.255.255.255 0static 210.32.32.23 210.32.32.23 netmask 255.255.255.255 0static 210.32.32.150 210.32.32.150 netmask 255.255.255.255 0 static 210.32.32

40、.20 210.32.32.20 netmask 255.255.255.255 0static 210.32.32.229 210.32.32.229 netmask 255.255.255.255 0 0static 210.32.32.50 210.32.32.50 netmask 255.255.255.255 0 0指定要进行静态转换的IP地址能够通过的协议conduit permit icmp any any 允许所有ICMP通信conduit permit tcp host 210.32.32.21 range ftp anyconduit permit tcp host 210

41、.32.32.10 range ftp anyconduit permit udp host 210.32.32.1 eq domain anyconduit permit tcp host 210.32.32.150 eq anyconduit permit tcp host 210.32.32.18 range smtp pop3 anyconduit permit tcp host 210.32.32.20 eq anyconduit permit tcp host 210.32.32.229 anyconduit permit tcp host 210.32.32.50 eq teln

42、et anyconduit permit tcp host 210.32.32.23 eq any设置指向、外部网的缺省路由route outside 0.0.0.0 0.0.0.0 210.32.39.254 1route inside 192.168.0.0 255.255.0.0 10.0.0.253 1系统允许的主机对防火墙端口的TELNET访问telnet 192.168.9.3 255.255.255.0telnet 210.32.32.0 255.255.255.0telnet 192.168.9.3 255.255.255.2553.4.10配置CACHE ENGINE 550

43、的安装过程指定登陆的用户名和口令user add admin uid 0 password 1 b9ccbQcQe9 capability admin-accessuser add wy uid 5019 password 1 eeQQeRRSS capability admin-access指定主机名hostname cisco_ce_505指定以太网的IP地址interface ethernet 0 ip address 192.168.199.1 255.255.255.0 ip broadcast-address 192.168.199.255!interface ethernet 1

44、exit定义网关!ip default-gateway 192.168.199.254定义DNS名ip name-server 210.32.32.1定义域名ip domain-name hziee.edu定义路由ip route 0.0.0.0 0.0.0.0 192.168.199.254cron file /local/etc/crontab!bypass auth-traffic all cache-cookies max-ttl days text 4 binary 3 cache-authenticated object max-size 6144 persistent-conne

45、ctions timeout 8 max-idle 1000定义WCCP访问协议的路由器地址wccp router-list 1 192.168.199.254wccp port-list 1 80wccp web-cache router-list-num 1 weight 20 password *定义主路由器地址在有多路由器情况下wccp home-router 192.168.199.254wccp version 2wccp shutdown max-wait 1!snmp-server community summerno radius-server host 192.168.46

46、.1 auth-port 1812radius-server key *authentication login local enableauthentication configuration local enabletransaction-logs archive files 1transaction-logs enabletransaction-logs export interval every-day at 00:00transaction-logs export enabletransaction-logs sanitizerule block dst-port 33定义代理服务器

47、的地址和能够通过的地址rule use-proxy 202.38.124.241 3128 dst-ip 216.101.192.85 255.255.255.0rule use-proxy 202.38.124.241 3128 domain .*google.rule use-proxy 202.38.124.241 3128 domain .*whatismyip.rule no-cache url-regex .*cgi-bin.*rule no-cache url-regex .*aw-cgi.*!end3.4.11配置Cisco3640的安装过程version 12.0servic

48、e timestamps debug uptimeservice timestamps log uptimeno service password-encryption定义主机名hostname cisco3640!定义访问的口令enable secret 5 $1$sWZw$EdlT9Yphojj6nJVo06bne0enable password cisco3640!ip subnet-zero定义域名ip domain-name hziee.edu定义DNS名ip name-server 202.96.96.68!定义外地接口的IP地址interface FastEthernet2/0i

49、p address 210.32.176.26 255.255.255.0no ip directed-broadcastduplex autospeed auto定义部接口的IP地址interface FastEthernet2/1 ip address 210.32.39.254 255.255.255.0 no ip directed-broadcast no ip route-cache no ip mroute-cache duplex auto speed auto定义网关ip default-gateway 210.32.176.25ip classless定义外路由ip rou

50、te 0.0.0.0 0.0.0.0 210.32.176.25ip route 210.32.32.0 255.255.248.0 210.32.39.253no ip server!snmp-server engineID local 8AC87A1snmp-server community summer RO!line con 0 transport input noneline aux 0定义远程登陆的口令line vty 0 4 password cisco login!end3.4.12配置Cisco Works网管软件CiscoWorks的设计层次为基于国际通用网络管理软件之上的

51、应用系统,其结构如下图： 通过CiscoWorks和CWSI可以很好地实现对含有Cisco软件与硬件产品的企业网络进行基于 SNMP的监视、控制与管理。一、CiscoWorks的安装1、选取INSTALL二、选用integrate ciscoworks 5.0 with whatsup gold三、选取需要管理的网络设备四、完成3.5 设备模拟连接调试阶段 设备安装阶当单机调试完毕后,就进入系统连调阶段。由于有多个单位是多模光纤通路,且不在本地。所以只有先进行模拟连接测试。除了线路问题,与以后的实际情况完全一样。3.6 设备安装阶段 在所有的设备模拟调试完毕后,就进行设备的安装工作。设备的安装

52、主要是把实验楼2楼信息中心机房里的所有网络设备都安装到2米的标准机柜里,并且将信息中心所有的线路根据VLAN进行重新规划和整理,各个网络分中心交换机安装在1.2米机柜中。在本次工程安排中,信息中心大楼机房的2M标准机柜：用于安装6509交换机、服务器交换机、楼层交换机和PIX防火墙等；信息中心原有的2M机柜用于放置二级接入交换机设备。把所有的设备都安装到位以后,再把UPS电源接入到位。3.7 系统连调阶段 在所有的网络设备都安装到位以后,包括所有的主机放置到DMZ区后。就可以进行整个系统的连调。3.8 INTERNET连接 在将整个系统迁移到10M专线的同时,我们将PIX防火墙放在系统与外部连

53、接处,以提供网络的安全保障。在进入部系统后,连接到PIX部网段的PC机通过上网计费服务器进入统一管理。对处INTERNET服务的WEB、DNS、SMTP和POP3服务器接入PIX服务器的DMZ段,用于保护应有服务器的安全和对外提供服务。在杭电INTERNET系统中还配置了一台WEB高速缓存服务器,在部用户访问外部站点时,通过WCCP协议首先访问CACHE ENGINE 550服务器,如CACHE ENGINE 550服务器中已有访问过的站点则进行部访问从而有效率减少网络流量,而达到高速访问的目的。整个连接情况图示于杭电网络拓朴图：需要说明的几点：1、防火墙上做了地址转换,将部的私有地址转换成公

54、有地址访问INTERNET。2、防火墙上开放了用于INTERNET信息发布所需要的几个端口,包括TCP的53,23,25,110,80和UDP的53端口,分别用于DNS,SMTP,POP3和WEB等服务。3、在防火墙上做了多个静态的地址映射将部地址192.168.0.0映射为外部地址。4、保护应用服务器的安全。 这样当INTERNET上的用户访问这两个公有地址时防火墙将自动将访问请求转给两个部的私有地址。 5、CACHE ENGINE网络流量缓冲的目的。第四章、具体设备配置实例4.1 Catalyst 65066506交换机模块配置文档begin!# * NON-DEFAULT CONFIGU

55、RATION *!#time: Wed Oct 31 2001, 04:00:50 !#version 6.1!set password $2$ohhi$Pka/lgvq4acxpVc0ecW660set enablepass $2$F1/Q$NKbNCtkZmFVg2HO7PIhZZ/!#errordetectionset errordetection portcounter enable!#systemset system name cisco6506!#!#vtpset vtp domain hzdzgxyset vtp passwd ciscoset vlan 1 name defau

56、lt type ethernet mtu 1500 said 100001 state active set vlan 10 name dangzheng type ethernet mtu 1500 said 100010 state active set vlan 11 name renshi type ethernet mtu 1500 said 100011 state active set vlan 12 name jiaowu type ethernet mtu 1500 said 100012 state active set vlan 13 name xz_1_west typ

57、e ethernet mtu 1500 said 100013 state active set vlan 14 name yanjiusheng type ethernet mtu 1500 said 100014 state active set vlan 15 name xuanchuan type ethernet mtu 1500 said 100015 state active set vlan 16 name xz_other1 type ethernet mtu 1500 said 100016 state active set vlan 17 name xz_other type ethernet mtu 1500 said 100017 state active set vlan 18 name cad type ethernet mtu 1500 said 100018 state active set vlan 19 name dianjiao type ethernet mtu 1500 said 100019 state active