项目四 构建校园网

校园网建设目标 校园网络建设的目标是采用1000M光纤交换网络实现各楼区高速互连，将学校的各种PC、服务器、中端设备和局域网连接起来，并整合现有的网络资源，构建一个以多层交换网络为框架，以网络基本应用为平台的校园网，初步形成数字化校园网络。 第二页PPT为本章教学目标，用于使学员理解教学目的，以达成学习目标。 “本章内容”使用30磅黑体，黑色，加阴影； 正文占位符位于PPT空白部分最中央； 一级标题使用21磅黑体，暗红色，加阴影；左对齐，项目编号统一；行距1.5； 如一级标题内包含多项二级标题，可增加二级标题，但仅限二级标题； 二级标题使用18磅华文细黑，黑色，加阴影；左对齐，项目编号统一；行距1.3。 标题中句末都不带标点符号 页面中图片大小、位置、版式不得更改。

校园网的拓扑结构图 第三页PPT为本章内容总纲，用于表述本章要讲解的议题。 “本章内容”使用30磅黑体，黑色，加阴影； 正文占位符固定页面位置中不变； 一级标题使用21磅黑体，暗红色，加阴影；左对齐，项目编号统一；行距1.5。 页面中图片大小、位置、版式不得更改。 图4-1 校园网拓扑结构

任务 任务一：交换机的配置

一、任务分析 在校园网的构建中，交换机是构建网络的主要设备，随着学生规模的不断扩大，需要更多的信息点以满足师生员工对网络的需求，需要在网络中增加交换机以扩展网络。使用交换配置向导只能完成一些基本的初始配置，对于更为详细的参数、选项设置，只能通过手工配置的方式来完成，交换机的基本配置包括交换机名称、加密使能密码、端口配置、端口安全等方面。

二、相关知识 （一）交换机的工作原理 二层交换机工作于OSI的第2层 交换机的工作原理是存储转发 若目的MAC地址表中找不到，交换机便采用广播方式 交换机拥有一条高带宽的背板总线和内部交换矩阵，交换机各端口是独享带宽，并可实现全双工通信

（二）搭建交换机的配置环境 1、通过Console端口连接交换机 2、通过Telnet连接交换机 可进行网络管理的交换机上一般都有一个“Console”端口，它是专门用于对交换机进行配置和管理的。通过Console端口连接并配置交换机，是配置和管理交换机必须经过的步骤 2、通过Telnet连接交换机 可在PC机中利用Telnet来登录连接交换机，也可在登录一台交换机后，再利用Telnet命令来登录连接另一台交换机，实现对另一台交换机的访问和配置。

（三）交换机的命令模式 1、用户EXEC模式 2、特权EXEC模式 当用户通过交换机的控制台端口域Telnet会话连接并登录到交换机时，此时所处的命令执行模式就是用户EXEC模式。 用户EXEC模式的命令状态行是： Switch> 2、特权EXEC模式 在用户EXEC模式下，执行enable命令，将进入到特权EXEC模式。在该模式下，用户能够执行IOS提供的所有命令。 特权EXEC模式的命令状态行为：Switch# Switch>enable Password: Switch#

（三）交换机的命令模式 3、全局配置模式 4、接口配置模式 在特权模式下，执行configure terminal命令，即可进入全局配置模式。在该模式下，只要输入一条有效的配置命令并回车，内存中正在运行的配置就会立即改变生效，该模式下的配置命令的作用域是全局性的，将对整个交换机起作用。 全局配置模式的命令状态行为：Switch(config)# Switch#configure terminal Switch(config)# 4、接口配置模式 在全局配置模式下，执行interface命令，即进入接口配置模式，在该模式下，可对选定的接口（端口）进行配置，并且只能执行配置交换机端口的命令。接口配置模式的命令行提示符为： Student(config-if)#

（三）交换机的命令模式 5、Line配置模式 在全局模式下，执行line vty或line console命令，将进入Line配置模式。该模式主要用于对虚拟终端(VTY)和控制台端口进行配置，其配置主要是设置虚拟终端和控制台的用户级登录密码。 下面设置控制台登录密码为abcd，并启用该密码，则配置命令为： Student(config-line)#password abcd Student(config-line)#login Student(config-line)#end Switch#write

(四)交换机的基本配置命令 2、查看交换机信息 1、设置主机名与管理IP地址 Switch(config)#hostname student student(config)# Switch(config)#interface vlan 1 // 打开交换机的管理VLAN Switch(config-if)#ip address 192.168.1.1 255.255.255.0 // 为交换机配置管理地址 Switch (config-if)# no shutdown // VLAN设置为启动状态 2、查看交换机信息 （1）查看IOS版本 student#show version

(四)交换机的基本配置命令 （2）查看配置信息 （3）查看端口信息 （4）查看MAC地址表 (5) 保存/删除交换机配置信息。 查看交换机的配置信息，需要在特权模式运行查看命令。 student # show ip interfaces // 查看交换机接口信息 student # show interfaces vlan 1 // 查看管理VLAN1信息 student # show running-config // 查看配置信息 （3）查看端口信息 student#show interfaces f0/1 查看f0/1端口的配置 （4）查看MAC地址表 Show mac-address-table [dynamic| static| interfaces] (5) 保存/删除交换机配置信息。 student #copy running-config startup-config student # write memory student # write student # delete flash:config.text

(四)交换机的基本配置命令 3、端口配置 （1）选择一个端口 interface type mod/port 对于使用IOS的交换机，交换机的端口（port）通常也称为接口（interface），它由端口的类型、模块号和端口号共同进行标识。 （2）选择多个端口 多个端口的选择可以使用range关键字来指定端口的范围，从而选择多个端口，并对这些端口进行统一的配置。同时选择多个交换机端口的配置命令为： interface range type mod/startport - endport

(四)交换机的基本配置命令 （3）端口单双工配置 Switch(config-if)#duplex [auto/full/half] （4）端口速度 Speed[10|100|1000|auto] （5）启用与禁用端口 Switch(config-if)# shutdown // 禁用端口 Switch(config-if)# no shutdown // 启用端口 （6）配置交换机的默认网关 Switch(config)# ip default-gateway 192.168.1.1

(四)交换机的基本配置命令 （7）三层交换机端口的配置 与二层交换机相比，三层交换机由于兼有二层和三层的功能，因此端口能够在二层端口和三层端口之间进行切换。当端口为三层时可以像路由器端口一样配置IP地址 Switch(config)# interface fastethernet 0/1 Switch(config-if)# no switchport // 启用三层端口 Switch(config-if)# ip address 192.168.1.3 255.255.255.0　// 为端口配置IP地址 （8）保存配置 将当前运行的参数保存到Flash中，作为系统初始化时的初始化参数。保存配置的方法有以下3种： Switch# copy running-config startup-config Switch# write memory Switch# write

(四)交换机的基本配置命令 4、交换机端口安全的配置 （2）端口安全的配置方法 ① 启用与禁用端口安全功能 ② 设置接口上安全地址的最大个数 ③ 设置处理安全违例的方法 ④ 手工配置接口上的安全地址 ⑤ 查看安全地址配置结果

三、任务实施 【任务描述】 本实验以RG-S2126交换机为例，交换机命名为S2126。一台PC机通过串口（ Com）连接到交换机的控制（Console）端口，另一台通过网卡（NIC）连接到交换机的F0/3端口。假设PC机的IP地址和网络掩码分别为192.168.1.137, 255.255.255.0，配置交换机的管理IP地址和网络掩码分别为192.168.1.1, 255.255.255.0。

三、任务实施 【施工拓扑】 施工拓扑图,如图4-7所示。 【施工设备】 交换机RG-S2126（1台）、Console线（1条`）、PC（2台）、网络线。 【操作步骤】

任务 任务二 虚拟局域网与链路技术

一、任务分析 该校校园网扩建再改造项目，提出了需要保证校园网主干链路的高速带宽，以保证教学区大量视频流的畅通，同时要避免引发诸如广播风暴、堵塞等严重后的现象。因此需要了解校园网扩展再改造项目中，告诉带宽改造应用到的技术：多台交换机之间互相连接技术；交换机之间链路聚合技术；及虚拟局域网技术等。

二、相关知识 （一）三层交换机功能 三层交换（也称多层交换技术，或IP交换技术）是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSI网络标准模型中的第二层——数据链路层进行*作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说，三层交换技术就是：二层交换技术＋三层转发技术。 三层交换技术的出现，解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。

二、相关知识 （二）交换机VLAN划分 1、VLAN简介 VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段，从而实现虚拟工作组的新兴技术。 2、VLAN的划分方法 VLAN主要分为两种，一种是静态VLAN，另一种是动态VLAN。 3、VLAN的创建与基于端口的VLAN划分 在特权模式下，可以通过VLAN的vlan-id来创建VLAN，其中vlan-id的取值范围一般为1-4096，VLAN１是交换机的默认VLAN，不能被创建或删除。

二、相关知识 4、VLAN的Trunk连接 一台交换机上相同的VLAN中的主机可以通过交换机的背板自由通信，但如果一个VLAN中的成员跨越两台交换机时，它们之间的通信可以采取一种方法来解决，即在网络设备上定义Trunk链路。这种链路可以将指定VLAN的通信汇聚到一条链路上，为交换机建立Trunk链路的方法是将链路两端的端口设置为Trunk模式。默认情况下，交换机的Trunk链路是允许所有VLAN通过的。 5、VLAN间主机的通信 使用三层交换机实现VLAN间主机的通信，需要在三层交换机上为每一个VLAN创建一个虚拟子接口，并设置子接口的IP地址，这样就可以实现虚拟子接口之间的路由，从而实现VLAN间的通信。各VLAN对应的子接口的IP地址就成为该VLAN成员与其他子网通信的默认网关地址。

二、相关知识 （三）交换机的链路聚合 （四）生成树协议 1、链路聚合技术简介 链路聚合又叫端口聚合（aggregate port），是指将交换机上多个端口在物理上分别连接，在逻辑上通过技术捆绑在一起，形成一个拥有较大带宽的复合主干链路，以实现主干链路负载均衡，并提供冗余链路功能。 2、配置链路聚合的基本命令 （四）生成树协议 1、冗余链路导致的新问题 链路的冗余备份为网络带来健壮性、稳定性和可靠性，但同时也会使网络存在环路，从而导致新问题的产生，如广播风暴、多帧复制和地址表达的不稳定性。为了解决这些新问题，需要在交换机上启用生成树协议。 2、生成树协议的简介

二、相关知识 3、生成树协议的配置方法 通过“Spanning Tree”命令开启生成树协议。 ② 通过“Spanning tree mode [stp|rstp|mstp]”选择生成树协议版本。 ③ 通过“Spanning-tree priority [4096|8192|…|32768]”命令设置交换机优先级。 4、生成树协议的三种版本 生成树协议目前常见的版本有生成树协议STP（IEEE802.1ID）、快速生成树协议RSTP（IEEE802.1W）和多生成树协议MSTP（IEEE802.1S）。 5、生成树协议的端口状态 ① Disable（禁用）、② Blocking（阻塞）、③ Listening（监听） 、④ Learning（学习） 、⑤ Forward（转发）

三、任务实施 （一）虚拟局域网任务实施 （二）链路聚合技术任务实施 （三）生成树技术任务实施 参照教材，略

任务 任务三 路由器的基本配置

一、任务分析 学校两个校区A和B两个区域，通过路由器将两区域连接起来。现要在路由器上做适当配置，通过网络的互连互通实现校园网内部主机之间的信息共享和传递。

二、相关知识 （一）路由器的功能 （二）路由器的配置方式 路由器的一个作用是连通不同的网络，另一个作用是选择信息传送的线路。选择通畅、快捷的近路，能大大提高通信速度，减轻网络系统通信负荷，节约网络系统资源，提高网络系统畅通率，从而让网络系统发挥出更大的效益来。 （二）路由器的配置方式 1、超级终端方式 2、Telnet方式 3、其他方式

二、相关知识 （三）路由器的工作模式 1、一般用户模式 主要用于查看路由器的软、硬件版本等基本信息，并进行简单的测试，只能执行少数命令，不能对路由器进行配置 2、使能（特权）模式 主要用于对路由器的配置文件进行管理，查看路由器的配置信息，进行路由器或网络的测试和调试，不能对接口、路由协议进行配置 3、全局配置模式 对路由器具体功能进行配置。 4、全局模式下的子模式 包括接口、路由协议、线路等模式。 5、监控模式 主要用于IOS升级及恢复口令，不能用于正常配置

二、相关知识 （四）常用命令 1、“？”、“Tab”的使用 2、 改变命令行操作模式的基本命令 3、 显示命令 4、拷贝命令

二、相关知识 （五）路由器的基本设置 1、路由器的命名 2、 配置接口 3、 配置口令及加密 4、telnet口口令 5、口令加密

二、相关知识 (六) 配置静态路由 静态路由是手工配置的。当网络拓扑结构发生改变而需要更新路由时，网络管理员就必须手动更新静态路由信息。当某个网络只能通过一条路由出去时，使用静态路由即可，这样网络配置静态路由时就避免了动态路由更新所带来的系统和带宽开销。 语法如下： Ip route network mask {address|interface} [distance] [tag] [permanent] 说明 Network：目标网络或子网地址。 Mask：子网掩码。 Address：下一跳的IP地址或相邻路由器的端口地址。 Interface：相邻路由器的端口名称。 Distance：管理距离。 Tag：可选。 Permanent：路由的优先级。

二、相关知识 (七) 配置默认路由 （八） 配置的保存与导入 默认路由也是手工配置的。它作为到达目的网络的路由未知时所选择的路径。 1、将当前运行的配置(running-config)保存到启动配置(startup-config)中。 2、将当前运行的配置(running-config)保存到TFTP服务器上。 3、将TFTP服务器上配置文件导入到当前运行的配置(running-config)。

三、任务实施 【任务描述】 【施工拓扑】 【施工设备】 【操作步骤】

任务 任务四 动态路由协议及网络安全

一、任务分析 校园网通过1台三层交换机连到校园网出口路由器，路由器再和校园外的另1台路由器连接，要求做适当配置，实现校园网内部主机与校园网外部主机的相互通信。

二、相关知识 （一）动态路由协议 动态路由是指路由器能够自动地建立自己的路由表，并且能够实时地适应网络结构和链路状态的变化更新自己的路由表。如果路由更新信息表明发生了网络变化，路由选择软件就会重新计算路由，并发出新的路由更新信息。这些信息通过各个网络，引起各路路由器重新启动路由算法，并更新各自的路由表以动态地反映网络拓扑变化。 1. 路由选择协议 路由表通过互通信息机制进行更新维护来正确反映网络的拓扑变化，并由路由器根据量度来决定最佳路径。 2. 路由转发协议 通过查找路由表，路由器根据相应表项将数据包发送到下一站(路由器或主机)，如果遇到不知道如何发送的数据包，路由器通常会将其丢弃。在此之前，路由器会对数据包进行识别，如果目的网络直接与路由器相连，路由器就直接把数据包送到相应的端口上。

二、相关知识 （二） RIP RIP是Internet中常用的路由协议，采用距离向量算法，即路由器根据距离选择路由，所以也称为距离向量协议。 Router(config)#router rip //创建RIP路由进程 Router(config-router)#network network-number //发布自己所关联的网络

二、相关知识 （三）OSPF路由协议 OSPF(Open Shortest Path first，开放式最短路径优先)是一种链路状态路由协议，OSPF将链路状态广播数据包传送到某一区域内的所有路由器，这一点与RIP不同。在一个自治系统(AS)中，所有的OSPF路由器都维护一个相同的网络拓扑数据库，该数据库中存放的是区域内相应链路状态信息，OSPF路由器正是从这个数据库中构造一个最短路径树来计算出最佳路径。 OSPF的收敛速度比RIP要快，而且在更新路由信息时，产生的流量也较少。

二、相关知识 （四）典型的路由选择方式 (五) ACL配置 典型的路由选择方式有两种：静态路由和动态路由。默认情况下，当静态路由与动态路由发生冲突时，以静态路由为准。在网络中动态路由通常作为静态路由的补充。当一个数据包在路由器中进行寻址时，路由器首先查找静态路由，如果查到则根据相应的静态路由进行转发；否则再查找动态路由。 (五) ACL配置 访问控制列表ACL(Access Control List)，最直接的功能便是包过滤。通过配置控制列表(ACL)，实现对进入到路由器(或三层交换机)的输入数据流进行过滤，即能在路由器(或三层交换机)的接口处决定哪种类型的信息流量被转发，哪种类型的信息流量被拒绝。

二、相关知识 (五) ACL配置 访问控制列表有两种基本类型：数字访问控制列表和命名访问控制列表。 数字标准访问控制列表：列表号的范围为1～99，其只对数据包的源地址进行检查。 数字扩展访问控制列表：列表号的范围为100～199，其可对数据包中的源地址、目的地址、协议及端口号进行检查。 关键字any和host的用法 any：指定允许所有的IP地址作为源地址。 host：用在访问列表项中指定通配符是0.0.0.0

二、相关知识 地址和通配符掩码 当使用标准访问控制列表时，源地址必须被指定。源地址可以是一台主机、一组主机或者整个子网的地址。源地址的范围是由通配符掩码来确定。通配符掩码相当于子网掩码的反码。 ACL的使用 在创建了一个访问控制列表并分配了表号之后，为了让该访问控制列表真的起作用，用户就必须把它配置到一个接口上且指明应用的数据流方向。注意：访问控制列表一般配置在内网的出口上。

二、相关知识 (六) NAT配置 NAT技术就是让内网使用，外网使用合法的公用IP地址。最常用的两种方式为静态NAT和动态NAT。 静态NAT是建立内部本地地址和内部全局地址一对一的永久映射。当外部网络需要通过固定的全局可路由地址访问内部主机时，静态NAT显得很重要。内部本地地址采用私用IP地址；内部全局地址采用合法的公用IP地址，是由网络信息中心(NIC)或者服务提供商(ISP)提供的可在互联网传输的地址。 2. 动态NAT 动态NAT是建立内部本地地址和内部全局地址池的临时对应关系，如果经过一段时间，内部本地地址没有向外的请求或者数据流，该对应关系将被删除。

三、任务实施 【任务描述】 【施工拓扑】 【施工设备】 【操作步骤】 参照教材，略