最佳校園工程設計-某大學校園網設計方案

< body> 已經整理好的WORD格式( 最佳校園工程設計.part1.rar (5.72 MB)

最佳校園工程設計.part1.rar (5.72 MB)
下載次數: 0
售價: 無憂幣 2   [記錄]

2009-2-20 12:48

最佳校園工程設計.part2)

< body> 

< body>最佳校園工程設計-某大學校園網設計方案

< body>
概述
---- 總設計師：XXX講師
---- 機構：XX國家重點大學院校
---- 校園佔地面積： 146.57萬平方米
---- 校舍建築面積： 1070875.64平方米
---- 教職工人數： 2000
---- 學生總數:：1.7萬餘人
---- 網絡面臨的挑戰： 創建一個可擴展的、高速的、充分冗餘的、基於標準的網絡，該網絡可以支持融合了話音、視頻、圖像和數據的應用程序。

< body>---- 關鍵網絡系統：Cisco 3640路由器、Cisco Catalyst 2950 24×××換機（WS-C2950-24）、Cisco Catalyst 3550交換機、Cisco Catalyst 4006交換機

< body>---- 網絡解決辦法： 對校園網系統總體方案設計 對訪問層交換機進行配置 對分佈層交換機進行配置 對核心層交換機進行配置 對廣域網接入路由器進行配置 對遠程訪問服務器進行配置 對整個校園網系統進行診斷

< body>分析：
     路由、交換與遠程訪問技術不只僅是思科的CCNP課程及考試的重點。更是現代計算機網絡領域中三大支撐技術體系。它們幾乎涵蓋了一個完整園區網實現的方方面面。經常有學員說沒法學以至用，其實，CCNP課程中的每一個章節都對應着實際工程中的每一個小的案例。只不過，實際工程是各個小案例的綜合。在遇到一個實際工程的時候，咱們不防採用自頂向下、模塊化的方法、參考3層模型來進行工程的設計和實施。

< body>路由技術：
路由協議工做在OSI參考模型的第3層，所以它的做用主要是在通訊子網間路由數據包。路由器具備在網絡中傳遞數據時選擇最佳路徑的能力。除了能夠完成主要的路由任務，利用訪問控制列表（Access Control List，ACL），路由器還能夠用來完成以路由器爲中心的流量控制和過濾功能。在本工程案例設計中，內網用戶不只經過路由器接入因特網、內網用戶之間也經過3層交換機上的路由功能進行數據包交換。

< body>交換技術：
傳統意義上的數據交換髮生在OSI模型的第2層。現代交換技術還實現了第3層交換和多層交換。高層交換技術的引入不但提升了園區網數據交換的效率，更大大加強了園區網數據交換服務質量，知足了不一樣類型網絡應用程序的須要。現代交換網絡還引入了虛擬局域網（Virtual LAN，VLAN）的概念。VLAN將廣播域限制在單個VLAN內部，減少了各VLAN間主機的廣播通訊對其餘VLAN的影響。在VLAN間須要通訊的時候，能夠利用VLAN間路由技術來實現。當網絡管理人員須要管理的交換機數量衆多時，可使用VLAN中繼協議（Vlan Trunking Protocol，VTP）簡化管理，它只需在單獨一臺交換機上定義全部VLAN。而後經過VTP協議將VLAN定義傳播到本管理域中的全部交換機上。這樣，大大減輕了網絡管理人員的工做負擔和工做強度。爲了簡化交換網絡設計、提升交換網絡的可擴展性，在園區網內部數據交換的部署是分層進行的。
園區網數據交換設備能夠劃分爲三個層次：訪問層、分佈層、核心層。

< body>訪問層爲全部的終端用戶提供一個接入點；
分佈層除了負責將訪問層交換機進行聚集外，還爲整個交換網絡提供VLAN間的路由選擇功能；
核心層將各分佈層交換機互連起來進行穿越園區網骨幹的高速數據交換。

< body>在本工程案例設計中，也將採用這三層進行分開設計、配置。 遠程訪問技術：遠程訪問也是園區網絡必須提供的服務之一。它能夠爲家庭辦公用戶和出差在外的員工提供移動接入服務。遠程訪問有三種可選的服務類型：專線鏈接、電路交換和包交換。不一樣的廣域網鏈接類型提供的服務質量不一樣，花費也不相同。
企業用戶能夠根據所需帶寬、本地服務可用性、花費等因素綜合考慮，選擇一種適合企業自身須要的廣域網接入方案。）在本工程案例設計中，分別採用專線鏈接（到因特網）和電路交換（到校園網）兩種方式實現遠程訪問需求。 做爲一個較爲完整的園區網實現，路由、交換與遠程訪問技術缺一不可。在後面的內容中，咱們將就每一技術領域的經常使用技術的實現進行詳細的討論。經過本書後面章節的學習，相信讀者可以系統地掌握園區網的設計、實施以及維護技巧。

< body>一 系統整體設計方案概述
爲了闡明主要問題，在本設計方案中對實際校園網的設計進行了適當和必要的簡化。同時，將重點放在網絡主幹的設計上，對於服務器的架設只做簡單介紹。
1.1 系統組成與拓撲結構
爲了實現網絡設備的統一，本設計方案中徹底採用同一廠家的網絡產品，即Cisco公司的網絡設備構建。全網使用同一廠商設備的好處是能夠實現各類不一樣網絡設備功能的互相配合和補充。 本校園網設計方案主要由如下四大部分構成：交換模塊、廣域網接入模塊、遠程訪問模塊、服務器羣。整個網絡系統的拓撲結構圖如圖1-1所示。在後面的幾節中咱們將根據此圖分塊進行介紹。

< body> 

< body> 

< body>圖1-1 校園網總體拓撲結構圖
 
1.2 VLAN及IP地址規劃

< body>整個校園網中VLAN及IP編址方案如表所示。

< body>
 

< body>表1-1 VLAN及IP編址方案

< body>除了表中的內容外，撥號用戶從192.168.200.0/27中動態取得IP地址。

< body>爲了簡化起見，這裏咱們只規劃了8個VLAN，同時爲每一個VLAN定義了一個由拼音縮寫組成的VLAN名稱。

< body>二 交換模塊設計
爲了簡化交換網絡設計、提升交換網絡的可擴展性，在園區網內部數據交換的部署是分層進行的。
園區網數據交換設備能夠劃分爲三個層次：訪問層、分佈層、核心層。 傳統意義上的數據交換髮生在OSI模型的第2層。現代交換技術還實現了第3層交換和多層交換。高層交換技術的引入不但提升了園區網數據交換的效率，更大大加強了園區網數據交換服務質量，知足了不一樣類型網絡應用程序的須要。

< body>現代交換網絡還引入了虛擬局域網（Virtual LAN，VLAN）的概念。VLAN將廣播域限制在單個VLAN內部，減少了各VLAN間主機的廣播通訊對其餘VLAN的影響。在VLAN間須要通訊的時候，能夠利用VLAN間路由技術來實現。
            
當網絡管理人員須要管理的交換機數量衆多時，可使用VLAN中繼協議（VlanTrunking Protocol，VTP）簡化管理，它只需在單獨一臺交換機上定義全部VLAN。而後經過VTP協議將VLAN定義傳播到本管理域中的全部交換機上。這樣，大大減輕了網絡管理人員的工做負擔和工做強度。
當園區網絡的交換機數量增多、交換機間鏈路增長時，交換網絡的複雜性可能會形成交換環路問題，這須要經過在各交換機上運行生成樹協議（Spanning Tree Protocol，STP）來解決。

< body> 一個好的校園網設計應該是一個分層的設計。通常分爲三層設計模型。

< body>2.1 訪問層交換服務的實現－配置訪問層交換機

< body>   訪問層爲全部的終端用戶提供一個接入點。這裏的訪問層交換機採用的是Cisco Catalyst 2950 24×××換機（WS-C2950-24）。交換機擁有24個10/100Mbps自適應快速以太網端口，運行的是Cisco的IOS操做系統。咱們以圖1-1中的訪問層交換機AccessSwitch1爲例進行介紹。如圖2-1所示，

< body>
 

< body>
圖2-1 訪問層交換機AccessSwitch1

< body> 

< body>1．配置訪問層交換機AccessSwitch1的基本參數

< body>（1）設置交換機名稱
     設置交換機名稱，也就是出如今交換機CLI提示符中的名字。通常咱們會以地理位置或行政劃分來爲交換機命名。當咱們須要Telnet登陸到若干臺交換機以維護一個大型網絡時，經過交換機名稱提示符提示本身當前配置交換機的位置是頗有必要的。 如圖2-2所示，爲訪問層交換機AccessSwitch1命名。

< body> 

< body> 

< body>圖2-2 爲訪問層交換機AccessSwitch1命名

< body>
（2）設置交換機的加密使能口令
     當用戶在普通用戶模式而想要進入特權用戶模式時，須要提供此口令。此口令會以MD5的形式加密，所以，當用戶查看配置文件時，沒法看到明文形式的口令。 如圖2-2所示，將交換機的加密使能口令設置爲secretpasswd。

< body> 

< body>
 圖2-3 爲交換機設置加密使能口令

< body>
（3）設置登陸虛擬終端線時的口令
    對於一個已經運行着的交換網絡來講，交換機的帶內遠程管理爲網絡管理人員提供了不少的方便。可是，處於安全考慮，在可以遠程管理交換機以前網絡管理人員必須設置遠程登陸交換機的口令。

< body>如圖2-2所示，設置登陸交換機時須要驗證用戶身份，同時設置口令爲youguess。

< body> 

< body>
 圖2-2 爲訪問層交換機AccessSwitch1命名

< body>
（4）設置終端線超時時間
爲了安全考慮，能夠設置終端線超時時間。在設置的時間內，若是沒有檢測到鍵盤輸入，IOS將斷開用戶和交換機之間的鏈接。
如圖2-2所示，設置登陸交換機的控制檯終端線路及虛擬終端線的超時時間爲5分30秒鐘。

< body>
 

< body>圖2-2 設置控制檯終端線路和虛擬終端線路的超時時間

< body>
（5）設置禁用IP地址解析特性
     在交換機默認配置的狀況下，當咱們輸入一條錯誤的交換機命令時，交換機會嘗試將其廣播給網絡上的DNS服務器並將其解析成對應的IP地址。利用命令no ip domain-lookup。能夠禁用這個特性 如圖2-2所示，設置禁用IP地址解析特性。

< body>
 

< body> 

< body>圖2-3 設置禁用IP地址解析特性

< body>
（6）設置啓用消息同步特性
有時，用戶輸入的交換機配置命令會被交換機產生的消息打亂。可使用命令logging synchronous設置交換機在下一行CLI提示符後複製用戶的輸入。 如圖2-2所示，設置啓用消息同步特性。

< body> 

< body>圖2-3 設置啓用消息同步特性

< body>
2．配置訪問層交換機AccessSwitch1的管理IP、默認網關

< body>訪問層交換機是OSI參考模型的第2層設備，即數據鏈路層的設備。所以，給訪問層交換機的每一個端口設置IP地址是沒意義的。可是，爲了使網絡管理人員能夠從遠程登陸到訪問層交換機上進行管理，必要給訪問層交換機設置一個管理用IP地址。
這種狀況下，其實是將交換機當作和PC機同樣的主機。 給交換機設置管理用IP地址只能在VLAN1，即本徵VLAN中進行。
按照表1-1，管理VLAN所在的子網是：192.168.0.0/24，這裏將訪問層交換機AccessSwitch1的管理IP地址設爲：192.168.0.5/24
如圖2-3所示，顯示了爲訪問層交換機AccessSwitch1設置管理IP並激活本徵VLAN。
 

< body>圖2-2 設置訪問層交換機AccessSwitch1的管理IP

< body> 爲了使網絡管理人員能夠在不一樣的子網管理此交換機，還應設置默認網關地址192.168.0.254。如圖所示。

< body> 

< body>圖2-2 設置訪問層交換機AccessSwitch1的默認網關地址

< body>3．配置訪問層交換機AccessSwitch1的VLAN及VTP

< body>從提升效率的角度出發，在本校園網實現實例中使用了VTP技術。同時，將分佈層交換機DistributeSwitch1設置成爲VTP服務器，其餘交換機設置成爲VTP客戶機。 這裏訪問層交換機AccessSwitch1將經過VTP得到在分佈層交換機DistributeSwitch1中定義的全部VLAN的信息。
如圖所示，設置訪問層交換機AccessSwitch1成爲VTP客戶機。

< body> 

< body> 圖2-2 設置訪問層交換機AccessSwitch1成爲VTP客戶機

< body>4．配置訪問層交換機AccessSwitch1端口基本參數

< body>（1）端口雙工配置
      能夠設定某端口根據對端設備雙工類型自動調整本端口雙工模式，也能夠強制將端口雙工模式設爲半雙工或全雙工模式。在瞭解對端設備類型的狀況下，建議手動設置端口雙工模式。
如圖所示，設置訪問層交換機AccessSwitch1的全部端口均工做在全雙工模式。

< body> 

< body> 圖2-2 設置訪問層交換機AccessSwitch1的端口工做模式

< body>（2）端口速度
能夠設定某端口根據對端設備速度自動調整本端口速度，也能夠強制將端口速度設爲10Mpbs或100Mbps。在瞭解對端設備速度的狀況下，建議手動設置端口速度。
如圖所示，設置訪問層交換機AccessSwitch1的全部端口的速度均爲100Mbps。

< body>

< body> 

< body>圖2-4 設置訪問層交換機AccessSwitch1的端口速度

< body>
5．配置訪問層交換機AccessSwitch1的訪問端口

< body>訪問層交換機AccessSwitch1爲終端用戶提供接入服務。在圖中，訪問層交換機AccessSwitch1爲VLAN十、VLAN20提供接入服務。

< body>（1）設置訪問層交換機AccessSwitch1的端口1～10
如圖所示，設置訪問層交換機AccessSwitch1的端口1～端口10工做在訪問（接入）模式。同時，設置端口1～端口10爲VLAN 10的成員。

< body> 

< body>
圖2-2 設置訪問層交換機AccessSwitch1的端口1～10

< body>
（2）設置訪問層交換機AccessSwitch1的端口11～20
如圖所示，設置訪問層交換機AccessSwitch1的端口11～端口20工做在訪問（接入）模式。同時，設置端口1～端口10爲VLAN 20的成員。

< body> 

< body>圖2-2 設置訪問層交換機AccessSwitch1的端口11～20

< body>
（3）設置快速端口
默認狀況下，交換機在剛加電啓動時，每一個端口都要經歷生成樹的四個階段：阻塞、偵聽、學習、轉發。在可以轉發用戶的數據包以前，某個端口可能最多要等50秒鐘的時間（20秒的阻塞時間＋15秒的偵聽延遲時間＋15秒的學習延遲時間）。
 對於直接接入終端工做站的端口來講，用於阻塞和偵聽的時間是沒必要要的。爲了加速交換機端口狀態轉化時間，能夠設置將某端口設置成爲快速端口（Portfast）。設置爲快速端口的端口當交換機啓動或端口有工做站接入時，將會直接進入轉發狀態，而不會經歷阻塞、偵聽、學習狀態（假設橋接表已經創建）。
 如圖所示，設置訪問層交換機AccessSwitch1的端口1～端口20爲快速端口。

< body>
 

< body>
圖2-2 設置快速端口

< body>
6．配置訪問層交換機AccessSwitch1的主幹道端口

< body>如圖所示，訪問層交換機AccessSwitch1經過端口FastEthernet 0/23上連到分佈層交換機DistributeSwitch1的端口FastEthernet 0/23。同時，訪問層交換機AccessSwitch1還經過端口FastEthernet 0/24上連到分佈層交換機DistributeSwitch2的端口FastEthernet 0/23。
這兩條上連鏈路將成爲主幹道鏈路，在這兩條上連鏈路上將運輸多個VLAN的數據。
 如圖所示，設置訪問層交換機AccessSwitch1的端口FastEthernet 0/2三、FastEthernet 0/24爲主幹道端口。

< body>
 

< body>
圖2-2 設置主幹道端口 Switch(config)#spanning-tree uplinkfast

< body>
7．配置訪問層交換機AccessSwitch2

< body>訪問層交換機AccessSwitch2爲VLAN 30和VLAN 40的用戶提供接入服務。同時，分別經過本身的FastEthernet 0/23 、FastEthernet 0/24上連到分佈層交換機DistributeSwitch一、DistributeSwitch2的端口FastEthernet 0/24。
如圖所示，是訪問層交換機AccessSwitch2的鏈接示意圖。

< body> 

< body>圖2-2 訪問層交換機AccessSwitch2的鏈接示意圖

< body>     對訪問層交換機AccessSwitch2的配置步驟、命令和對訪問層交換機AccessSwitch1的配置相似。這裏，再也不詳細分析，只給出最後的配置文件內容（只留下了必要的命令）。 須要指出的是，爲了提供主幹道的吞吐量，能夠採用鏈路捆綁（快速以太網信道）技術增長可用帶寬。例如，能夠將訪問層交換機AccessSwitch1的端口FastEthernet 0/21 和FastEthernet 0/22捆綁在一塊兒實現200Mbps的快速以太網信道，而後再上連到分佈層交換機DistributeSwitch1。一樣，也能夠將訪問層交換機AccessSwitch1的端口FastEthernet 0/23 和FastEthernet 0/24捆綁在一塊兒實現200Mbps的快速以太網信道，而後再上連到分佈層交換機DistributeSwitch2。具體的配置步驟和命令咱們將在覈心層交換機的配置一節中進行介紹。

< body>
8．訪問層交換機的其它可選配置

< body>（1）Uplinkfast 訪問層交換機AccessSwitch1經過兩條冗餘上行鏈路分別接入分佈層交換機DistributeSwitch1和、DistributeSwitch2。在生成樹的做用下，其中一條上行鏈路處於轉發狀態，而另外一條上行鏈路處於阻塞狀態。當處於轉發狀態的鏈路因故障斷開後，通過大約50秒鐘的時間，處於阻塞狀態的鏈路才能替代故障鏈路工做。
Uplinkfast特性可使得當主上行鏈路失敗後，處於阻塞狀態的上行鏈路（備份上行鏈路）能夠當即啓用。 如圖所示，是在訪問層交換機AccessSwitch1上啓用Uplinkfast特性。一樣的步驟也能夠在訪問層交換機AccessSwitch2上進行配置。

< body>
 

< body>圖2-2 啓用Uplinkfast特性
注意，Uplinkfast特性只能在訪問層交換機上啓用。

< body>
（2）Backbonefast Backbonefast的做用與Uplinkfast相似，也用於加快生成樹的收斂。所不一樣的是，Backbonefast能夠檢測到間接鏈路（非直連鏈路）故障並當即使得相應阻塞端口的最大壽命計時器到時，從而縮短該端口能夠開始轉發數據包的時間。

< body> 如圖所示，是在訪問層交換機AccessSwitch1上啓用Backbonefast特性。一樣的步驟須要在網絡中的全部交換機上進行配置。

< body> 

< body>圖2-2 啓用Backbonefast特性
注意，Backbonefast特性須要在網絡中全部交換機上進行配置。

< body>
2.2 分佈層交換服務的實現－配置分佈層交換機

< body>分佈層除了負責將訪問層交換機進行聚集外，還爲整個交換網絡提供VLAN間的路由選擇功能。 這裏的分佈層交換機採用的是Cisco Catalyst 3550交換機。
做爲3層交換機，Cisco Catalyst 3550交換機擁有24個10/100Mbps自適應快速以太網端口，同時還有2個1000Mbps的GBIC端口供上連使用，運行的是Cisco的Integrated IOS操做系統。
咱們以圖1-1中的分佈層交換機DistributeSwitch1爲例進行介紹。
如圖2-1所示：

< body>
 
圖2-1 分佈層交換機DistributeSwitch1

< body>1．配置分佈層交換機DistributeSwitch1的基本參數
     對分佈層交換機DistributeSwitch1的基本參數的配置步驟與對訪問層交換機AccessSwitch1的基本參數的配置相似。這裏，只給出實際的配置步驟，再也不給出解釋。

< body> 

< body>
圖2-1 配置分佈層交換機DistributeSwitch1的基本參數

< body>2．配置分佈層交換機DistributeSwitch1的管理IP、默認網關
如圖2-3所示，顯示了爲分佈層交換機DistributeSwitch1設置管理IP並激活本徵VLAN。同時，還設置了默認網關的地址。

< body>
 

< body> 圖2-2 分佈層交換機DistributeSwitch1的管理IP、默認網關

< body>3．配置分佈層交換機DistributeSwitch1的VTP
     當網絡中交換機數量不少時，須要分別在每臺交換機上建立不少重複的VLAN。工做量很大、過程很繁瑣，而且容易出錯。咱們常採用VLAN中繼協議（Vlan Trunking Protocol，VTP）來解決這個問題。
VTP容許咱們在一臺交換機上建立全部的VLAN。而後，利用交換機之間的互相學習功能，將建立好的VLAN定義傳播到整個網絡中須要此VLAN定義的全部交換機上。同時，有關VLAN的刪除、參數更改操做都可傳播到其餘交換機。從而大大減輕了網絡管理人員配置交換機負擔。
在本校園網實現實例中使用了VTP技術。同時，將分佈層交換機DistributeSwitch1設置成爲VTP服務器，其餘交換機設置成爲VTP客戶機。

< body>
（1）配置VTP管理域
共享相同VLAN定義數據庫的交換機構成一個VTP管理域。每個VTP管理域都有一個共同的VTP管理域域名。不一樣VTP管理域的交換機之間不交換VTP通告信息。 如圖9-4-2所示，將VTP管理域的域名定義爲"nciae"。
 

< body>
 圖2-2 設置VTP管理域的域名

< body>
（2）設置VTP服務器
工做在VTP服務器模式下的交換機能夠建立、刪除VLAN、修改VLAN參數。同時，還有責任發送和轉發VLAN更新消息。 如圖所示，設置分佈層交換機DistributeSwitch1成爲VTP服務器。

< body> 

< body>
圖2-2 設置分佈層交換機DistributeSwitch1成爲VTP服務器

< body>（3）激活VTP剪裁功能
     默認狀況下主幹道傳輸全部VLAN的用戶數據。有時，交換網絡中某臺交換機的全部端口都屬於同一VLAN的成員，沒有必要接收其餘VLAN的用戶數據。這時，能夠激活主幹道上的VTP剪裁功能。當激活了VTP剪裁功能之後，交換機將自動剪裁本交換機沒有定義的VLAN數據。 在一個VTP域下，只須要在VTP服務器上激活VTP剪裁功能。同一VTP域下的全部其餘交換機也將自動激活VTP剪裁功能。
如圖所示，設置激活VTP剪裁功能。

< body> 

< body> 圖2-2 激活VTP剪裁功能

< body>4．在分佈層交換機DistributeSwitch1上定義VLAN
     在本校園網實現實例中，除了默認的本徵VLAN外，又定義了8個VLAN，如表1-1所示。
    因爲使用了VTP技術，因此全部VLAN的定義只須要在VTP服務器，即分佈層交換機DistributeSwitch1上進行。 如圖所示，定義了8個VLAN，同時爲每一個VLAN命名。

< body> 

< body>
圖2-1 定義VLAN

< body>5．配置分佈層交換機DistributeSwitch1的端口基本參數
分佈層交換機DistributeSwitch1的端口FastEthernet 0/1～FastEthernet 0/10爲服務器羣提供接入服務，而端口FastEthernet 0/2三、FastEthernet 0/24分別下連到訪問層交換機AccessSwitch1的端口FastEthernet 0/23以及訪問層交換機AccessSwitch2的端口FastEthernet 0/23。
此外，分佈層交換機DistributeSwitch1還經過本身的千兆端口GigabitEthernet 0/1上連到核心交換機CoreSwitch1的GigabitEthernet 3/1。
爲了實現冗餘設計，分佈層交換機DistributeSwitch1還經過本身的千兆端口GigabitEthernet 0/2鏈接另外一臺到分佈層交換機DistributeSwitch2的GigabitEthernet 0/2。 如圖所示，給出了對全部訪問端口、主幹道端口的配置步驟和命令。

< body> 

< body> 

< body> 圖2-2 設置分佈層交換機DistributeSwitch1的各端口參數

< body>6．配置分佈層交換機DistributeSwitch1的3層交換功能
分佈層交換機DistributeSwitch1須要爲網絡中的各個VLAN提供路由功能。這須要首先啓用分佈層交換機的路由功能。如圖所示。

< body> 

< body>
 圖2-2 啓用路由功能

< body>接下來，須要爲每一個VLAN定義本身的默認網關地址，如圖所示。

< body> 

< body>圖2-2 定義各VLAN的默認網關地址
此外，還須要定義通往Internet的路由。這裏使用了一條缺省路由命令，如圖所示。其中，下一跳地址是Internet接入路由器的快速以太網接口FastEthernet 0/0的IP地址。

< body> 

< body>
圖2-2 定義到Internet的缺省路由

< body>7．配置分佈層交換機DistributeSwitch2
     分佈層交換機DistributeSwitch2的端口FastEthernet 0/2三、FastEthernet 0/24分別下連到訪問層交換機AccessSwitch1的端口FastEthernet 0/24以及訪問層交換機AccessSwitch2的端口FastEthernet 0/24。
此外，分佈層交換機DistributeSwitch2還經過本身的千兆端口GigabitEthernet 0/1上連到核心交換機CoreSwitch1的GigabitEthernet 3/2。
爲了實現冗餘設計，分佈層交換機DistributeSwitch2還經過本身的千兆端口GigabitEthernet 0/2鏈接到分佈層交換機DistributeSwitch1的GigabitEthernet 0/2。如圖所示。

< body>
 

< body>圖2-1 分佈層交換機DistributeSwitch2

< body>對分佈層交換機DistributeSwitch2的配置步驟、命令和對分佈層交換機DistributeSwitch1的配置相似。這裏，再也不詳細分析。

< body> 8．其它配置
   爲了實現對無類別網絡（Classless Network）以及全零子網（Subnet-zero）的支持，在充當3層交換機的分佈層交換機DistributeSwitch1，還須要進行適當的配置，如圖所示。

< body> 

< body>
圖2-2 定義對無類別網絡以及全零子網的支持

< body> 

< body>9.1.2 系統硬件、軟件選型及版本

< body>2.3 核心層交換服務的實現－配置核心層交換機
     核心層將各分佈層交換機互連起來進行穿越園區網骨幹的高速數據交換。 本實例中的核心層交換機採用的是Cisco Catalyst 4006交換機，採用了Catalyst 4500 Supervisor II Plus（WS-X4013+）做爲交換機引擎。運行的是Cisco的Integrated IOS操做系統，操做系統版本號是，。
在做爲核心層交換機的Cisco Catalyst 4006交換機中，安裝了WS-X4306-GB（Catalyst 4000 Gigabit Ethernet Module, 6-Ports (GBIC)）模塊，該模塊提供了5個千兆光纖上鍊接口，能夠用來接入WS-G5484（1000BASE-SX Short Wavelength GBIC (Multimode .ly)）。咱們以圖1-1中的核心層交換機CoreSwitch1爲例進行介紹。如圖2-1所示

< body> 

< body>
1．配置核心層交換機CoreSwitch1的基本參數

< body>對核心層交換機CoreSwitch1的基本參數的配置步驟與對訪問層交換機AccessSwitch1的基本參數的配置相似。這裏，只給出實際的配置步驟，再也不給出解釋。
 

< body> 

< body>
圖2-1 配置核心層交換機CoreSwitch1的基本參數

< body>2．配置核心層交換機CoreSwitch1的管理IP、默認網關

< body>如圖2-3所示，顯示了爲核心層交換機CoreSwitch1設置管理IP並激活本徵VLAN。同時，還設置了默認網關的地址。

< body> 

< body>
 

< body>圖2-2 核心層交換機CoreSwitch1的管理IP、默認網關

< body> 

< body>3．配置核心層交換機
CoreSwitch1的的VLAN及VTP 在本實例中，核心層交換機CoreSwitch1也將做爲VTP客戶機。 這裏核心層交換機CoreSwitch1將經過VTP得到在分佈層交換機DistributeSwitch1中定義的全部VLAN的信息。
 如圖所示，設置核心層交換機CoreSwitch1成爲VTP客戶機。
 

< body> 圖2-2 設置核心層交換機CoreSwitch1成爲VTP客戶機

< body>4．配置核心層交換機
    CoreSwitch1的端口參數 核心層交換機CoreSwitch1經過本身的端口FastEthernet 4/3同廣域網接入模塊（Internet路由器）相連。同時，核心層交換機CoreSwitch1的端口GigabitEthernet 3/1～GigabitEthernet 3/2分別下連到分佈層交換機DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 0/1。
    如圖所示，給出了對上述端口的配置命令。
 

< body>圖2-2 設置核心層交換機CoreSwitch1的各端口參數

< body>   此外，爲了提供主幹道的吞吐量以及實現冗餘設計，在本設計中，將核心層交換機CoreSwitch1的千兆端口GigabitEthernet 2/一、GigabitEthernet 2/2捆綁在一塊兒實現2000Mbps的千兆以太網信道，而後再鏈接到另外一臺核心層交換機CoreSwitch2。 如圖所示，是設置核心層交換機CoreSwitch1的千兆以太網信道的步驟。

< body> 

< body> 圖2-2 設置核心層交換機CoreSwitch1的千兆以太網信道

< body>5．配置核心層交換機CoreSwitch1的路由功能
核心層交換機CoreSwitch1經過端口FastEthernet 4/3同廣域網接入模塊（Internet路由器）相連。所以，須要啓用核心層交換機的路由功能。同時，還須要定義通往Internet的路由。這裏使用了一條缺省路由命令.
如圖所示,其中，下一跳地址是Internet接入路由

< body>器的快速以太網接口FastEthernet 0/0的IP地址。

< body> 

< body>
 圖2-2 定義到Internet的缺省路由如圖所示。

< body>
6．其它配置
爲了實現對無類別網絡（Classless Network）以及全零子網（Subnet-zero）的支持，在充當3層交換機的核心層交換機CoreSwitch1，還須要進行適當的配置，如圖所示。
 

< body> 

< body>圖2-2 定義對無類別網絡以及全零子網的支持

< body>
7．核心層交換機CoreSwitch2的配置
對於圖1-1-中的核心層交換機CoreSwitch2的配置步驟、命令和對核心層交換機CoreSwitch1的配置相似。這裏，再也不詳細分析。
同時，對於配置核心層交換機CoreSwitch2下連的一系列交換機，其鏈接方法以及配置步驟和命令同圖1-1-中核心層交換機CoreSwitch1下連的一系列交換機的鏈接方法以及配置步驟和命令相似。這裏，也再也不贅述。

< body>
三 廣域網接入模塊設計
在本設計中，廣域網接入模塊的功能是由廣域網接入路由器InternetRouter來完成的。採用的是Cisco的3640路由器。
它經過本身的串行接口serial 0/0使用DDN（128K）技術接入Internet。它的做用主要是在Internet和校園網內網間路由數據包。
除了完成主要的路由任務外，利用訪問控制列表（Access Control List，ACL），廣域網接入路由器InternetRouter還能夠用來完成以自身爲中心的流量控制和過濾功能並實現必定的安全功能。

< body> 

< body>
 圖3-1

< body>3.1 配置接入路由器InternetRouter的基本參數
 對接入路由器InternetRouter的基本參數的配置步驟與對訪問層交換機AccessSwitch1的基本參數的配置相似。這裏，只給出實際的配置步驟，再也不給出解釋。

< body>
 

< body>圖2-1 配置接入路由器InternetRouter的基本參數

< body>3.2 配置接入路由器InternetRouter的各接口參數
   對接入路由器InternetRouter的各接口參數的配置主要是對接口FastEthernet 0/0以及接口Serial 0/0的IP地址、子網掩碼的配置。 如圖2-3所示，顯示了爲接入路由器InternetRouter的各接口設置IP地址、子網掩碼。

< body>
 

< body> 

< body>圖2-2 接入路由器InternetRouter的管理IP、默認網關

< body>
3.3 配置接入路由器InternetRouter的路由功能

< body>在接入路由器InternetRouter上須要定義兩個方向上的路由：到校園網內部的靜態路由以及到Internet上的缺省路由。 到Internet上的路由須要定義一條缺省路由，如圖所示。
其中，下一跳指定從本路由器的接口serial 0/0送出。

< body> 

< body>
圖2-2 定義到Internet的缺省路由

< body>到校園網內部的路由條目能夠通過路由彙總後造成兩條路由條目。如圖所示。

< body> 

< body>
圖2-2 定義到校園網內部的路由

< body>
3.4 配置接入路由器InternetRouter上的NAT

< body>   因爲目前IP地址資源很是稀缺，對不可能給校園網內部的全部工做站都分配一個公有IP（Internet可路由的）地址。爲了解決全部工做站訪問Internet的須要，必須使用NAT（網絡地址轉換）技術。

< body>爲了接入Internet，本校園網向當地ISP申請了9個IP地址。其中一個IP地址：193.1.1.1被分配給了Internet接入路由器的串行接口，另外8個IP地址：202.206.222.1～202.206.222.8用做NAT。
NAT的配置能夠分爲如下幾個步驟。
（1）定義NAT內部、外部接口 圖3-3顯示瞭如何定義NAT內部、外部接口。

< body> 

< body>
 

< body>
圖2-1 定義NAT內部、外部接口

< body>（2）定義容許進行NAT的內部局部IP地址範圍 圖3-3顯示瞭如何定義容許進行NAT的內部局部IP地址範圍。

< body> 

< body>
圖2-2 定義內部局部IP地址範圍

< body>（3）爲服務器定義靜態地址轉換

< body>     圖3-3顯示瞭如何爲服務器定義靜態地址轉換。

< body> 

< body>圖2-1 爲服務器定義靜態地址轉換

< body>（4）爲其餘工做站定義複用地址轉換
圖3-3顯示瞭如何爲其餘工做站定義複用地址轉換。
 

< body>
 圖2-1 爲工做站定義複用地址轉換

< body>3.5 配置接入路由器InternetRouter上的ACL

< body>路由器是外網進入校園網內網的第一道關卡，是網絡防護的前沿陣地。路由器上的訪問控制列表（Access Control List，ACL）是保護內網安全的有效手段。
一個設計良好的訪問控制列表不只能夠起到控制網絡流量、流向的做用，還能夠在不增長網絡系統軟、硬件投資的狀況下完成通常軟、硬件防火牆產品的功能。
因爲路由器介於企業內網和外網之間，是外網與內網進行通訊時的第一道屏障，因此即便在網絡系統安裝了防火牆產品後，仍然有必要對路由器的訪問控制列表進行縝密的設計，來對企業內網包括防火牆自己實施保護。
這裏，在本實例中，咱們將針對服務器以及內網工做站的安全給出廣域網接入路由器InternetRouter上ACL的配置方案。
在網絡環境中還廣泛存在着一些很是重要的、影響服務器羣安全的隱患。在絕大多數網絡環境的實現中它們都是應該對外加以屏蔽的。主要應該作如下的ACL設計：

< body>（1）對外屏蔽簡單網管協議，即SNMP。

< body>    利用這個協議，遠程主機能夠監視、控制網絡上的其它網絡設備。它有兩種服務類型：SNMP和SNMPTRAP。 如圖所示，顯示瞭如何設置對外屏蔽簡單網管協議SNMP。

< body> 

< body>
 圖2-1 對外屏蔽簡單網管協議SNMP

< body>（2）對外屏蔽遠程登陸協議telnet

< body>    首先，telnet是一種不安全的協議類型。用戶在使用telnet登陸網絡設備或服務器時所使用的用戶名和口令在網絡中是以明文傳輸的，很容易被網絡上的非法協議分析設備截獲。其次，telnet能夠登陸到大多數網絡設備和UNIX服務器，並可使用相關命令徹底操縱它們。這是極其危險的，所以必須加以屏蔽。 如圖所示，顯示瞭如何對外屏蔽遠程登陸協議telnet
 

< body>
圖2-1 對外屏蔽遠程登陸協議telnet

< body>
（3）對外屏蔽其它不安全的協議或服務

< body>    這樣的協議主要有SUN OS的文件共享協議端口2049，遠程執行（rsh）、遠程登陸（rlogin）和遠程命令（rcmd）端口5十二、51三、514，遠程過程調用（SUNRPC）端口111。
能夠將針對以上協議綜合進行設計，如圖所示。
 

< body> 

< body>
 圖2-1 對外屏蔽其它不安全的協議或服務

< body>（4）針對DoS***的設計 DoS***

< body>（Denial of Service Attack，拒絕服務***）是一種很是常見並且極具破壞力的***手段，它能夠致使服務器、網絡設備的正常服務進程中止，嚴重時會致使服務器操做系統崩潰。
圖顯示瞭如何設計針對常見DoS***的ACL

< body> 

< body> 

< body> 圖2-1 針對DoS***的設計

< body>
（5）保護路由器自身安全

< body>    做爲內網、外網間屏障的路由器，保護自身安全的重要性也是不言而喻的。爲了阻止******路由器，必須對路由器的訪問位置加以限制。 應只容許來自服務器羣的IP地址訪問並配置路由器。這時，可使用ACCESS-CLASS命令進行VTY訪問控制。如圖所示。

< body> 

< body> 

< body>
圖2-1 保護路由器自身安全 3.6 其它配置

< body>   爲了實現對無類別網絡（Classless Network）以及全零子網（Subnet-zero）的支持，在充當3層交換機的核心層交換機CoreSwitch1，還須要進行適當的配置，如圖所示。

< body> 

< body> 

< body>
 圖2-2 定義對無類別網絡以及全零子網的支持

< body> 

< body>四 遠程訪問模塊設計

< body>遠程訪問也是園區網絡必須提供的服務之一。它能夠爲家庭辦公用戶和出差在外的員工提供移動接入服務。如圖4-1所示。

< body> 

< body> 

< body> 圖4-1 遠程訪問服務 遠程訪問有三種可選的服務類型：專線鏈接、電路交換和包交換。不一樣的廣域網鏈接類型提供的服務質量不一樣，花費也不相同。
在本設計中，因爲面對的用戶羣規模、業務量較小，因此採用了異步撥號鏈接做爲遠程訪問的技術手段。
異步撥號鏈接屬於電路交換類型的廣域網鏈接，它是在傳統公共交換電話網（Public Switched Telephone Network，PSTN）上提供服務的。
傳統PSTN提供的服務也被稱爲簡易老式電話業務（Plan Old Telephone System，POTS）。由於目前存在着大量安裝好的電話線，因此這樣的環境是最容易知足的。所以，異步撥號鏈接也就成爲最爲方便和廣泛的遠程訪問類型。
廣域網鏈接能夠採用不一樣類型的封裝協議，如HDLC、PPP等。其中，PPP除了提供身份認證功能外，還能夠提供其餘不少可選項配置，包括鏈路壓縮、多鏈路捆綁、回叫等，所以更具優點。也是本設計所採用的異步鏈接封裝協議。
 在本設計中採用了能夠集成在廣域網接入路由器InternetRotuer中的異步Modem模塊NM-16AM（8Port Analog Modem Network Module）提供遠程訪問服務。它能夠同時對最多16路撥號用戶提供遠程接入服務。 如下介紹一下配置異步撥號模塊NM-16AM的步驟。

< body> 1．配置物理線路的基本參數

< body> 對物理線路的配置包括配置線路速度（DTE、DCE之間的速率）、中止位位數、流控方式、容許呼入鏈接的協議類型、容許流量的方向等。 如圖所示，是對以上參數進行配置。

< body>
 

< body>圖2-1 保護路由器自身安全

< body>2．配置接口基本參數
對接口基本參數的配置包括：接口封裝協議類型、接口異步模式、IP地址、爲遠程客戶分配IP地址的方式等。這裏，設置遠程客戶從IP地址池rasclients中得到IP地址。

< body> 

< body> 圖2-1 配置接口基本參數

< body> 接下來，須要創建一個本地的IP地址池。以下所示，創建了一個名爲rasclients的IP地址池。其IP地址範圍是：192.168.200.1～192.168.200.16。

< body> 

< body>圖2-1 指定IP地址池

< body>
3．配置身份認證
    PPP提供了兩種可選的身份認證方法：口令驗證協議PAP（Password Authentication Protocol，PAP）和質詢握手協議（Challenge Handshake Authentication Protocol，CHAP）。
PAP是一個簡單的、實用的身份驗證協議。PAP認證進程只在雙方的通訊鏈路創建初期進行。若是認證成功，在通訊過程當中再也不進行認證。若是認證失敗，則直接釋放鏈路。
CHAP認證比PAP認證更安全，由於CHAP不在線路上發送明文密碼，而是發送通過
摘要算法加工過的隨機序列，也被稱爲"挑戰字符串"。如圖14-1-5所示。

< body> 

< body> 

< body>同時，身份認證能夠隨時進行，包括在雙方正常通訊過程當中。所以，非法用戶就算截獲併成功破解了一次密碼，此密碼也將在一段時間內失效。
CHAP對端系統要求很高，由於須要屢次進行身份質詢、響應。這須要耗費較多的CPU資源，所以只用在對安全要求很高的場合。
PAP雖然有着用戶名和密碼是明文發送的弱點，可是認證只在鏈路創建初期進行，所以節省了寶貴的鏈路帶寬。 本設計中將採用PAP身份認證方法。

< body>（1）創建本地口令數據庫 如圖所示創建本地口令數據庫。

< body> 

< body>圖2-2 創建本地口令數據庫

< body>（2）設置進行PAP認證

< body> 

< body>圖2-2 創建本地口令數據庫

< body> 

< body>五 服務器模塊設計

< body>服務器模塊用來對校園網的接入用戶提供各類服務。在本設計方案中，全部的服務器被集中到VLAN 100構成服務器羣並經過分別層交換機DistributeSwitch1的端口fastethernet 1～20接入校園網。如圖所示。

< body> 

< body>
圖5-1 服務器羣

< body>校園網提供的常見的服務（服務器）包括： WEB服務器：提供WEB網站服務。 DNS、目錄服務器：提供域名解析以及目錄服務。
FTP、文件服務器：提供文件傳輸、共享服務。
郵件服務器：提供郵件收發服務。 數據庫服務器：提供各類數據庫服務。
打印服務器：提供打印機共享服務。
實時通訊服務器：提供實時通訊服務。
流媒體服務器：提供各類流媒體播放、點播服務。
網管服務器：對校園網網絡設備進行綜合管理。

< body>如圖所示。顯示了各服務器IP地址配置狀況。

< body> 

< body>圖4-5-1 "標準ACL"實驗環境

< body>
 表給出了全部的服務器硬件平臺、操做系統以及服務軟件的選型表。

< body>
 

< body>
 表1-1 VLAN及IP編址方案

< body>
限於篇幅，對於各類服務器的安裝、配置步驟以及運行維護方法，這裏再也不贅述，感興趣的讀者能夠參看有關參考書。

< body> 

< body>六 總結（其餘、測試）

< body> 6.1 系統測試
     前面幾節中，咱們對如何設計一個較爲完整的校園網網絡進行了詳細的介紹。當校園網初具規模後，還應該對校園網的總體運行狀況作一下細緻的測試和評估。
主要的測試內容應該包括：
 
對管理IP地址的測試。

< body>對相同VLAN內的通訊進行測試。

< body>對不一樣VLAN內的通訊進行測試。

< body>對冗餘鏈路的工做狀態進行測試。

< body>對廣域網接入路由器上的NAT進行測試。

< body>對廣域網接入路由器上的ACL進行測試。

< body>對遠程訪問服務進行測試。

< body>對各類服務器提供的服務進行測試。

< body>至於具體的測試步驟，限於篇幅這裏再也不贅述。 須要說明的是，一個完整的校園網網絡系統設計不只包含上述設備，還應該有計費系統、防火牆系統、***檢測系統等組成部分。限於篇幅，在此不作介紹，感興趣的讀者能夠參看有關的參考書。

< body>
 6.2 相關測試、診斷命令

< body>   在本章的最後，咱們按不一樣的功能按每種技術分類，給出相關的測試、診斷命令列表同
時還給出了命令的做用。

< body>1．通用測試、診斷命令

< body>（1）ping x.x.x.x 標準ping
命令。用於測試設備間的物理連通性。

< body>（2）ping x.x.x.x 擴展ping
命令。用於測試設備間的物理連通性。擴展ping命令還支持靈活定義ping參數，如ping數據包的大小，發送包的個數，等待響應數據包的超時時間等。

< body>（3）traceroute x.x.x.x
命令traceroute用於跟蹤、顯示路由信息。
 
（4）show running-config
命令show running-config用於顯示路由器、交換機運行配置文件的內容。

< body>（5）show startup-config
命令show startup-config用於顯示路由器、交換機啓動配置文件的內容。

< body>（6）show sessions
命令show sessions用於顯示從當前設備發出的全部呼出Telnet會話。

< body>（7）disconnect
命令disconnect用於斷開與遠程目標主機的Telnet會話。

< body>（8）show users
命令show users用於查看呼入Telnet會話狀況。

< body>（9）clear line
命令clear line用於斷開遠程主機的呼入Telnet鏈接。

< body>（10）shutdown
命令shutdown用於臨時將某個接口關閉。

< body>（11）no shutdown
命令no shutdown用於手動啓動（激活）處於管理性關閉的接口。

< body>（12）show arp
命令show arp用於顯示ARP緩存（ARP表）的內容。

< body>（13）show ip arp
命令show ip arp用於顯示IP ARP緩存（ARP表）的內容。

< body>（14）show interfaces
命令show interface用於顯示各接口的狀態及參數信息。

< body>（15）show ip interface
命令show ip interface用於顯示IP接口的狀態及配置信息。

< body>（16）show version
命令show version用於顯示路由器硬件配置、軟件版本等信息。

< body>（17）Ctrl+Shift+6+x
該命令也被稱爲"退出序列"，用於終止正在執行的某條命令或操做，也用於從呼出Telnet會話中暫時切換到本地鏈接。

< body>（18）dir flash:
命令dir flash:用於顯示閃存中的文件清單。

< body>（19）dir nvram:
命令dir nvram:用於顯示非易失性內存中的文件清單。

< body>（20）show debugging
命令show debugging用於顯示正在進行的診斷過程清單。

< body>（21）undebug all
命令undebug all用於中止全部診斷過程。

< body>
2．CDP測試、診斷命令

< body>（1）show cdp
命令show cdp用於顯示CDP全局參數信息。

< body>（2）show cdp neighbors
命令show cdp neighbors用於顯示CDP鄰居設備的摘要信息。

< body>（3）show cdp neighbors detail
命令show cdp neighbors detail用於顯示CDP鄰居設備的詳細信息，包括：鄰居設備名稱、鄰居設備接口IP地址、鄰居設備軟件版本信息、設備性能、設備平臺、本地設備接口、鄰居設備接口、CDP緩存條目保持時間、CDP廣播版本、接口雙工方式等。

< body>（4）show cdp entry
命令show cdp entry用於顯示指定鄰居設備的相關信息。

< body>（5）show cdp interface
命令show cdp interface用於顯示本地設備各個接口的狀態、接口封裝格式、CDP包的週期發送時間以及CDP保持時間等。

< body>（6）show cdp traffic
命令show cdp traffic用於顯示和CDP相關的流量統計信息，包括接收和發送的CDP包數量、包括頭部錯誤、校驗錯誤、封裝錯誤等在內的錯誤數量等。

< body> 3．路由和路由協議測試、診斷命令

< body>（1）show ip route
命令show ip route用於顯示當前路由表內容。

< body>（2）show ip protocols
命令show ip protocols用於顯示動態路由協議的配置參數信息。

< body>4．VLAN、VTP測試、診斷命令

< body>（1）show interface vlan vlan-num
命令show interface vlan vlan-num用於顯示VLAN是否已激活、交換機MAC基地址、接口參數等。

< body>（2）show mac-address-table
命令show mac-address-table用於顯示CAM，即橋接表的內容。該命令可列出學習到的主機MAC地址及其所屬VLAN、所處端口、條目類型（靜態STATIC、動態DYNAMIC等）以及知足列表條件的MAC地址數目。

< body>（3）show vlan
命令show vlan用於查看VLAN建立狀況。該命令能夠顯示系統全部的VLAN信息，包括VLAN編號、VLAN名稱、VLAN狀態、VLAN成員等信息。

< body>（4）show vtp status
命令show vtp status用於檢查VTP配置狀況。

< body>5．生成樹測試、診斷命令

< body>（1）show spanning-tree
命令show spanning-tree用於顯示生成樹協議中交換機及其端口的狀況。

< body>（2）show spanning-tree blockedports
命令show spanning-tree blockedports用於顯示處於阻塞狀態的端口。

< body>（3）show spanning-tree detail
命令show spanning-tree detail用於顯示生成樹詳細信息。

< body>（4）show spanning-tree interface
命令show spanning-tree interface用於顯示生成樹中某端口相關狀態。

< body>（5）show spanning-tree vlan
當有多個VLAN時，Catalyst交換機會爲每一個VLAN運行一個生成樹實例。此命令用於顯示指定VLAN的生成樹內容。

< body>（6）show spanning-tree summary
命令show spanning-tree summary用於顯示生成樹總結，包括本交換機是哪些VLAN的根網橋、端口快速特性是否啓用、處於生成樹各個端口狀態的端口數量等信息。

< body>6．NAT測試、診斷命令

< body>（1）show ip nat translation
命令show ip nat translation用於顯示並觀察當前正在進行的NAT狀況。

< body>（2）show ip nat translation verbose
命令show ip nat translation verbose用於顯示並觀察當前正在進行的NAT更爲詳細的狀況。

< body>（3）show ip nat statistics
命令show ip nat statistics用於顯示NAT運行狀況統計。

< body>（4）debug ip nat
 命令debug ip nat用於打開對NAT的診斷。

< body>7．ACL測試、診斷命令

< body>（1）show access-lists
命令show access-lists用於顯示全部已定義的訪問控制列表內容及命中狀況。

< body>（2）show ip access-lists
命令show ip access-lists用於顯示全部已定義的IP訪問控制列表內容及命中狀況。

< body>8．遠程訪問測試、診斷命令

< body>（1）show line
 命令show line用於當前系統全部的線路及其狀態。

< body>（2）show modemcap
命令show modemcap用於顯示了當前路由器能夠自動配置的Modem列表。

< body>（3）debug ppp negotiation
命令debug ppp negotiation用於打開對PPP協議參數協商的診斷。

< body>（4）debug ppp authentication
命令debug ppp authentication用於打開對PPP身份認證過程的診斷。

< body>