网络组建与互联 - 文曲经典数字图书馆

全国高等职业教育计算机类规划教材·工作过程系统化教程系列

网络组建与互联

姜惠民刘宝庆杨亚洲苏东梅主编

李明革叶郁文彭杰主审

Publishing House of Electronics Industry

北京·BEIJING

内容简介

本书是全国高等职业教育计算机类规划教材，是以学习领域为内容单元的基于工作过程的行动导向的教

材。本书选取了 4 个不同类型的网络，设计学习情境，按照网络规划方案设计、网络设备的配置与调试、网络

测试与故障诊断、任务评价的工作步骤来进行编写。

全书分为 4 个学习情境。学习情境 1，SOHO 网络组建；学习情境 2，小型企业网络组建与互联；学习情

境 3，智能小区网络组建与互联；学习情境 4，校园网络组建与互联。

本书是针对网络工程师岗位，适用于职业院校计算机网络技术专业，既可作为职业技能培训教材，也可作

为网络工程技术人员和网络管理人员的参考书。

未经许可，不得以任何方式复制或抄袭本书之部分或全部内容。

版权所有，侵权必究。

图书在版编目（CIP）数据

网络组建与互联／姜惠民等主编.—北京：电子工业出版社，2009.7

全国高等职业教育计算机类规划教材．工作过程系统化教程系列

ISBN 978-7-121-08962-6

Ⅰ. 网… Ⅱ. 姜… Ⅲ. 计算机网络－高等学校：技术学校－教材 Ⅳ.TP393

中国版本图书馆 CIP 数据核字（2009）第 086185 号

策划编辑：程超群

责任编辑：李光昊

印刷：

装订：

出版发行：电子工业出版社

北京市海淀区万寿路 173 信箱邮编 100036

开本：787×1 092 1/16 印张：16.5 字数：421 千字

印次：2009 年 7 月第 1 次印刷

印数：4 000 册定价：26.00 元

凡所购买电子工业出版社图书有缺损问题，请向购买书店调换。若书店售缺，请与本社发行部联系，联系

及邮购电话：（010）88254888。

质量投诉请发邮件至 [email protected]，盗版侵权举报请发邮件至 [email protected]。

服务热线：（010）88258888。

前言

当今的世界正向信息化方向快速发展，现代化企业、政府部门、学校和人们的日常生活对

网络的依赖也日益凸显，通过网络的组建与互联，实现网络交流。

近几年来，长春职业技术学院积极探索适合高等职业教育特点的教学方法，开展了职业行

动导向教学，并且借鉴国内外职业教育课程开发的成功经验，结合职业教育改革和发展的实际

情况，从岗位能力的要求出发，在分析岗位能力体系的基础上，依据现代学习理论，结合现代

教育和课程理念，以学习领域为内容单元，以企业典型工作任务为学习情境，以具体的单项工

作任务为基本内容，同来自行业企业专家共同开发了基于工作过程的行动导向课程体系。我们

编写了这本基于工作过程的行动导向的教材，本书依据实际工作任务、工作过程和工作情景开

发，有利于开展“教、学、做”于一体的教学模式，这对高素质技能型人才的培养有着重大意

义。

本书主要是培养学生网络规划、组建、调试和改进的能力，为培养网络工程师服务。教材

设计的总体思路基于行动导向获得职业技能，其特点有：

（1）精心组织教材开发队伍，由教育专家姜占华教授、企业工程师王东育、李亿平和职教

教师共同参与学习情境的开发。

（2）以工作任务为教材内容，围绕工作任务学习的需要，以 4 个不同类型的典型网络，按

照由简单到复杂的网络组建项目为载体设计学习项目。重点关注学生能做什么，教会学生如何

完成工作任务。学生的知识和技能的学习过程就是完成工作任务的过程，充分体现了“以学生

为中心”、“教中学”、“学中做”的职业教育理念，强调以学生直接实践的形式来掌握融于各工

作任务中的知识、技能和技巧。

（3）以小组协作式学习方式，强调以学生的团队学习为主，学生分成小组共同就某些问题

进行讨论，并结合自主学习的方法，为今后的知识和能力拓展打下良好的基础。从而有效地培

养学生的沟通能力。

本书从简单到复杂，引入了 SOHO 网络组建、小型企业网络组建与互联、智能小区网络组

建与互联、校园网络组建与互联 4 个不同类型的网络项目作为本课程的学习情境，打破了以知

识传授为主要特征的传统学科教材模式，转变为以工作任务为中心组织教材内容，让学生在完

成具体工作任务的过程中来构建相关理论知识。

针对 4 个不同类型的网络，依据行动导向的原则，设计学习情境，按照资料信息获取、网

络规划方案设计、组织实施计划的确定、网络设备的配置与调试（内部局域网组建、广域网接

入、无线网络组建、网络设备连接）、网络测试与故障诊断、任务评价的完整工作步骤来进行。

读者通过对本书的学习，学习情境 1，SOHO 网络组建，对网络方案设计与产品选购形成基本

的能力，对网络的组建与互联形成初步的认识；学习情境 2，小型企业网络组建与互联，学会

IP 地址规划，以及交换机与路由器等网络设备的选择、配置与调试；学习情境 3，智能小区网

络组建与互联，掌握宽带远程接入服务器 BRAS 的应用，丰富学生的网络组建与互联的设计与

实施能力。学习情境 4，校园网络组建与互联，以当今主流网络技术为依托，建设一个以办公

自动化、计算机辅助教学、现代计算机校园文化为核心的网络平台。

本书由姜惠民、刘宝庆、杨亚洲、苏东梅担任主编，杨建毅、迟恩宇、王东、陈国才、陈

永昌、钟玉珍、王东育、李亿平参加编写。全书由李明革教授、叶郁文工程师、彭杰工程师主

审。

本书在编写过程中，得到了 H3C 公司姜吉汉先生、吉林大学姜占华教授的支持和帮助，

在此向他们以及对本书的编写提供支持和帮助的企业人士表示感谢。

本书是针对网络工程师岗位，适用于职业院校计算机网络技术专业，也可作为职业技能培

训教材。由于本书是编写职业教育教学改革教材的初步尝试和探索，难免存在错误和不当之处，

欢迎读者批评指正。

编者

20072009 年 4 月

·Ⅴ·

目录

学习情境 1 SOHO 网络组建 ··············································································································· （1）

1.1 网络规划方案 ·································································································································（2）

1.1.1 工作任务描述 ·····················································································································（2）

1.1.2 需求分析 ····························································································································（2）

1.1.3 IP 规划设计 ························································································································（3）

1.1.4 使用 Visio 绘制拓扑图 ·······································································································（5）

1.1.5 网络设备选择 ·····················································································································（8）

1.2 广域网接入 ·································································································································· （18）

1.2.1 任务分析 ·························································································································· （18）

1.2.2 xDSL 技术 ························································································································ （18）

1.2.3 ADSL 接入配置 ··············································································································· （20）

1.3 无线网络搭建 .................................................................................................................................. （26）

1.3.1 任务分析 ·························································································································· （26）

1.3.2 无线设备配置 ··················································································································· （28）

1.3.3 功能测试 ·························································································································· （30）

1.4 网络设备连接与测试 ...................................................................................................................... （31）

1.4.1 任务分析 ·························································································································· （31）

1.4.2 网络设备的连接 ··············································································································· （31）

1.4.3 网络环境测试 ··················································································································· （33）

1.5 网络故障诊断 .................................................................................................................................. （36）

1.5.1 网络设备诊断 ··················································································································· （36）

1.5.2 常见故障的诊断与排除 ··································································································· （36）

1.6 任务评价 ......................................................................................................................................... （41）

1.6.1 任务总结 ·························································································································· （41）

1.6.2 任务评价过程 ··················································································································· （41）

1.7 实训操作 ......................................................................................................................................... （44）

学习情境 2 小型企业网络组建与互联 ······································································································· （46）

2.1 网络规划方案 ······························································································································· （47）

2.1.1 工作任务描述 ··················································································································· （47）

2.1.2 需求分析 ·························································································································· （48）

2.1.3 IP 规划设计 ······················································································································ （49）

2.1.4 拓扑图绘制······················································································································· （52）

2.1.5 网络设备选择 ··················································································································· （53）

2.1.6 制定实施进度计划 ··········································································································· （63）

2.2 内部局域网组建 ··························································································································· （63）

2.2.1 任务分析 ·························································································································· （63）

·Ⅵ·

2.2.2 接入层设备配置 ··············································································································· （63）

2.2.3 核心层设备配置 ··············································································································· （81）

2.2.4 局域网内部功能测试 ······································································································· （96）

2.3 广域网接入 ·································································································································· （96）

2.3.1 任务分析 ·························································································································· （96）

2.3.2 路由器配置······················································································································· （97）

2.3.3 地址转换（NAT） ········································································································· （108）

2.3.4 广域网接入配置 ············································································································· （124）

2.3.5 功能测试 ························································································································ （127）

2.4 无线网络组建 ····························································································································· （127）

2.4.1 任务分析 ························································································································ （127）

2.4.2 无线设备配置 ················································································································· （127）

2.4.3 功能测试 ························································································································ （129）

2.5 网络设备连接 ····························································································································· （131）

2.5.1 任务分析 ························································································································ （131）

2.5.2 网络设备的连接 ············································································································· （131）

2.6 网络测试与故障诊断 ················································································································· （132）

2.6.1 网络环境测试 ················································································································· （133）

2.6.2 应用端口镜像技术分析 ································································································· （134）

2.6.3 常见故障的诊断与排除 ································································································· （138）

2.7 任务评价 ···································································································································· （146）

2.7.1 任务总结 ························································································································ （146）

2.7.2 任务评价过程 ················································································································· （146）

2.8 实训操作 ···································································································································· （149）

学习情境 3 智能小区网络组建与互联 ····································································································· （153）

3.1 网络规划方案 ····························································································································· （154）

3.1.1 工作任务描述 ················································································································· （154）

3.1.2 需求分析 ························································································································ （154）

3.1.3 VLAN 规划设计 ············································································································· （154）

3.1.4 IP 地址规划设计 ············································································································ （155）

3.1.5 拓扑图绘制····················································································································· （155）

3.1.6 网络设备选择 ················································································································· （157）

3.1.7 制定实施进度计划 ········································································································· （160）

3.2 小区内部网络组建 ····················································································································· （161）

3.2.1 任务分析 ························································································································ （161）

3.2.2 楼道交换机配置 ············································································································· （162）

3.2.3 汇聚交换机配置 ············································································································· （164）

3.2.4 内部网络功能检查 ········································································································· （168）

3.3 城域网接入 ································································································································ （170）

3.3.1 任务分析 ························································································································ （170）

·Ⅶ·

3.3.2 以太网接入技术 ············································································································· （170）

3.3.3 BRAS 配置 ····················································································································· （172）

3.3.4 功能测试 ························································································································ （178）

3.4 访问行为控制 ···························································································································· （179）

3.4.1 任务分析 ························································································································ （179）

3.4.2 访问控制列表配置 ········································································································· （179）

3.4.3 功能测试 ························································································································ （183）

3.5 网络设备连接 ···························································································································· （184）

3.5.1 任务分析 ························································································································ （184）

3.5.2 网络设备的连接 ············································································································· （184）

3.6 网络测试与故障诊断 ················································································································· （185）

3.6.1 网络环境测试 ················································································································ （185）

3.6.2 故障处理 ························································································································ （186）

3.6.3 常见故障的诊断与排除 ································································································· （189）

3.7 任务评价 ···································································································································· （193）

3.7.1 任务总结 ························································································································ （193）

3.7.2 任务评价过程 ················································································································ （193）

3.8 实训操作 ···································································································································· （196）

学习情境 4 校园网络组建与互联 ············································································································ （198）

4.1 网络规划方案 ···························································································································· （199）

4.1.1 工作任务描述 ················································································································ （199）

4.1.2 需求分析 ························································································································ （199）

4.1.3 IP 地址规划设计 ············································································································ （200）

4.1.4 拓扑图绘制 ···················································································································· （202）

4.1.5 网络设备选择 ················································································································ （203）

4.1.6 制定实施进度计划 ········································································································· （210）

4.2 内部局域网组建 ························································································································· （211）

4.2.1 任务分析 ························································································································ （211）

4.2.2 接入层设备配置 ············································································································· （211）

4.2.3 汇聚层设备配置 ············································································································· （214）

4.2.4 核心层设备配置（Cisco Catalyst 6509 主要配置） ······················································ （218）

4.2.5 局域网内部功能测试 ····································································································· （222）

4.3 广域网接入 ································································································································ （222）

4.3.1 任务分析 ························································································································ （222）

4.3.2 路由器配置 ···················································································································· （223）

4.3.3 防火墙配置 ···················································································································· （228）

4.3.4 地址转换（NAT） ········································································································· （234）

4.3.5 功能测试 ························································································································ （236）

4.4 访问行为控制 ···························································································································· （237）

4.4.1 任务分析 ························································································································ （237）

·Ⅷ·

4.4.2 访问控制列表配置 ········································································································· （237）

4.4.3 功能测试 ························································································································ （239）

4.5 无线网络组建 ···························································································································· （240）

4.5.1 任务分析 ························································································································ （240）

4.5.2 无线设备配置 ················································································································ （240）

4.5.3 功能测试 ························································································································ （242）

4.6 网络设备连接 ···························································································································· （243）

4.6.1 任务分析 ························································································································ （243）

4.6.2 网络设备的连接 ············································································································· （243）

4.7 网络测试与故障诊断 ················································································································· （244）

4.7.1 网络环境测试 ················································································································ （244）

4.7.2 应用端口镜像技术分析 ································································································· （245）

4.7.3 常见故障的诊断与排除 ································································································· （247）

4.8 任务评价 ···································································································································· （249）

4.8.1 任务总结 ························································································································ （249）

4.8.2 任务评价过程 ················································································································ （249）

4.9 实训操作 ···································································································································· （252）

·1·

学习情境 1 SOHO 网络组建随着全球信息化的飞速发展，网络作为一种重要的信息传递手段，使人们的工作模式产

生了新的变革，而 SOHO（Small Office Home Office，小型办公和家庭办公）则是这场变革衍

生出来的一种信息化的工作模式。在 SOHO 环境中，许多行业的从业人员足不出户就可以与

其他同事共享信息资源，进行分工协作。不仅工作效率得到了大大的提高，同时还享受到全

球信息化带来的乐趣。

【学习情境描述】

某公司位于写字楼内部的相邻两个房间，现有员工 18 人，室内采用防静电地板下布线，

每人配备计算机需要接入互联网开展业务，文件服务器和网络打印机，仅供局域网内部使用。

根据 SOHO 网络需求及应用领域，网络的稳定性、可靠性与实用性，以及网络组建的投

入成本等方面都是应该考虑的问题。本情境主要针对 20 人以内的小型办公场所，提出一套网

络解决方案，并完成该方案的实施及测试，确保用户的正常使用。

【学习目标】

（1）知识目标：

① 知道 SOHO 网络构成的特点。

② 清楚接入 SOHO 网络所需的网络设备的型号及性能。

③ 知道 PPPoE 协议的工作原理。

④ 掌握双绞线 T568A 和 T568B 线序及双绞线与网络设备的连接方法。

⑤ 初步掌握组网方案的书写规范和要求。

（2）能力目标：

① 能根据用户的需求进行网络状况的需求分析。

② 能根据 SOHO 网络的需求，清楚所需的各种网络设备，并通过分析网络设备的性价

比，合理选择所需要的网络设备。

③ 能使用 Visio 软件绘制网络拓扑图和网络结构图。

④ 能进行网络的实际应用，合理设计 IP 规划方案。

⑤ 能根据网络规划方案，进行网络配置，确保网络的畅通。

（3）素质目标：

① 初步形成良好的合作观念，会进行简单的业务洽谈，具备与用户沟通的能力。

② 初步形成按操作规范进行操作的习惯。

③ 初步具备严谨细致的工作态度和追求完美的工作精神。

④ 学会自我展示的能力和查阅资料的能力。

·2·

1.1 网络规划方案

1.1.1 工作任务描述

根据用户方案的具体要求，绘制该网络的拓扑结构图，确定网络中的 IP 地址规划方案，

并完成网络设备的选型。

1.1.2 需求分析

搭建一个网络，首先要清楚用户对网络的需求，明确网络的功能和用途，通过分析制定

规划方案。

1．规划设计人员通过与用户方进行沟通得知用户信息

公司现在有员工 18 人，下设有服务部和技术部，位于写字楼 5 楼的相邻两个房间，每个房

间使用面积约 100 平方米。目前公司的业务中，涉及了解市场商品信息、收发邮件。为了方便内

部传输资料和访问互联网络，因此需搭建一个适合员工使用的 SOHO 网络。具体信息如下：

（1）18 个节点需要接入互联网，主要应用包含网络浏览、E-mail 收发等；

（2）局域网内能进行网络打印、高速的文件传输；

（3）两个部门（服务部和技术部）可以高速互相访问；

（4）公司网络建设预算有限，希望能以较低的成本，满足业务的需求。

2．根据用户的上述需求，本项目的设计与实施需要明确的要点

（1）目前，Internet 接入主要有 ADSL 接入、光纤宽带接入、专线接入等，具体接入参数

及价格如表 1.1 所示。

表 1.1 Internet 接入参数一览表

序号类型带宽（bps）接入介质费用（元/年）

1 ADSL

1M 电话线 2 400

2 2M 电话线 4 800

3 HDSL 2M 电话线 4 800

4

光纤接入

2M 光纤 2 800

5 4M 光纤 4 800

6 10M 光纤 8 800

7 20M 光纤 12 800

本项目为一个小型办公室网络，由于公司的网上业务量较小，考虑到降低互联网接入的成本，

以较低的投入满足日常办公的需要，采取适用 SOHO 办公、用户量少的 ADSL 宽带接入，组建

SOHO 办公网络。随着公司今后的发展，当网络业务需求较大时，可以考虑升级为光纤接入。

（2）在内部局域网中，为了确保数据的传输，在网络主干采用六类双绞线实现 1 000Mbps

数据的传输，用户终端采用 100Mbps 到桌面。一旦当公司的网上业务需求量扩大时，在接入

方式上可以考虑带宽更大的光纤接入方式，但局域网内部的带宽也能够满足需求，局域网内

部的设计完全能够满足未来 5 年的需求。

·3·

在这个办公网络中，现有总节点 20 个，其中 18 个节点为公司的用户计算机，1 个节点

为服务器，1 个节点为网络打印机。

由于公司员工数量较少，规划在一个子网内就可以满足实际的需要，因此局域网内 IP 地

址可采用 C 类 IP 地址。

1.1.3 IP 规划设计

众所周知，对于在 Internet 和 Intranet 网络上，使用 TCP/IP 时每台主机必须具有唯一的

IP 地址，具有合法 IP 地址的主机之间才能进行互相通信。而一个局域网在搭建之前，首先要

对局域网内的 IP 地址做出合理的规划。

1．IP 地址

互联网中的每台计算机都是通过其自身的 IP 地址而被唯一标识的，每个网络也有自己的

标识符，IP 地址由“网络标识号”＋“主机标识号”组成，国际互联网代理成员管理局（Internet

Assigned Numbers Authority，IANA）是在国际互联网中使用的 IP 地址、域名和许多其他参

数的管理机构，只有经过 IANA 分配的地址才是合法的 IP 地址，才能够被路由至 Internet，

并且在 Internet 中是唯一的，可以被 Internet 中的其他主机访问到。公司网络中的主机要想接

入 Internet，就必须至少拥有一个合法的 IP 地址。

（1）IP 地址分类。为了能够有效地利用有限的地址资源，IANA 将 IP 地址的 32 位地址空间

划分为不同的地址级别，定义了 A、B、C、D、E 五类地址，IP 地址分类规则如图 1.1 所示。

图 1.1 IP 地址分类规则

（2）特殊用途的 IP 地址。在各类 IP 地址中，存在一些在特定情况下使用的 IP 地址，如

表 1.2 所示。

表 1.2 特殊用途的 IP 地址

网络号主机号地址类型用途

any 全“0” 网络地址代表一个网段

any 全“1” 广播地址特定网段的所有节点

127 Any 环回地址环回测试

全“0” 本机地址／所有网络启动时使用／通常

用于指定默认路由

全“1” 广播地址本网段所有节点

·4·

（3）私有 IP 地址。IANA 将 A、B、C 类地址的一部分保留下来，作为私有 IP 地址空间，

专门用于各类专有网络（如公司网、校园网等）的使用。私有 IP 地址段如表 1.3 所示。在本

地局域网中可以使用这些 IP 地址，互联网中的路由器或网关会自动将这些 IP 地址拦截在局

域网之内，而不会将其路由到公有网络中，即使在两个局域网中均使用相同的私有 IP 地址段，

彼此之间也不会发生冲突。使用内部 IP 地址的计算机通过局域网访问 Internet 时，需要使用

地址转换（NAT）才能实现。

表 1.3 私有 IP 地址使用范围

类别地址网络数主机数私用主机总量

A 10.0.0.0～10.255.255.255 1 16 777 214 16 777 214

B 172.16.0.0～172. 31.255.255 16 65 534 1 048 544

C 192.168.0.0～192.168.255.255 256 254 65 024

例如，IP 地址为 10.0.1.1、 172.16.1.1、192.168.1.1 等都是私有 IP 地址。

在局域网中可根据网络的规模选择私有地址，小型公司可以选择“192.168.0.0”地址段，

大中型公司则可以选择“172.16.0.0”或“10.0.0.0”地址段。

2．子网掩码

子网掩码是与 IP 地址结合使用的一种技术。它的主要作用有两个：

（1）用于确定 IP 地址中的网络号和主机号。

（2）用于将一个大的 IP 网络划分为若干小的子网络。

子网掩码以 4 个字节 32 位表示，默认的子网掩码如图 1.2 所示。子网掩码中为 1 的部分

代表网络号，为 0 的部分代表主机号。通过 IP 地址和子网掩码与运算确定地址的网络号和主

机号。

例如，IP地址为 10.0.1.1，子网掩码为 255.0.0.0 时，网络号为 10.0.0.0；IP地址为 172.16.1.1，

子网掩码为 255.255.0.0 时，网络号为 172.16.0.0； IP 地址为 192.168.1.1 子网掩码为

255.255.255.0 时，网络号为 192.168.1.0。

图 1.2 默认的子网掩码

·5·

3．IP 地址规划

由于本公司的用户数在 20 个以内，根据其网络的规模和使用要求，在 IP 管理中需要包

含如下范畴：

（1）选择一个适合几十个网络终端的 IP 地址分配范围；

（2）每个终端设备具有网络中的唯一 IP 地址，确保在网络中实现通信；

（3）分配内部每台终端的 IP 地址；

（4）通过地址转换，将私有 IP 地址转换为互联网公有地址；

（5）所有客户端要进行测试。

根据实际情况，ADSL 路由器的 WAN 接口可以使用 ADSL MODEM 从 ISP 动态获取互

联网公有 IP 地址。内部用户配置 C 类私有 IP 地址：192.168.1.0/24，即可满足需求。配置

ADSL 路由器实现对私有 IP 地址段（192.168.1.0/24）进行 NAT 转换，从 ISP 动态获取的互

联网公有 IP 地址。从而实现内部用户访问互联网。ADSL 路由器内部接口 IP 可设置为：

192.168.1.1/24。

1.1.4 使用 Visio 绘制拓扑图

设计网络结构图的第一步是清楚已有的网络布局，通过研究建筑平面图，选择放置网络

设备的佳位置，以减少所需交换机和电缆的数量。这不仅能够降低实施的成本，而且能够

提高网络的效率。

确定网络的整体拓扑结构，公司拥有 2 个部门共 18 个用户，分布在 2 个办公室内，可以

根据房间分布设计交换机端口的数量总数。扩展星形拓扑结构是流行的拓扑结构，因此适

用于这种网络类型的交换机设备也更为广泛。要实现局域网到互联网的共享访问，并考虑到公

司的网络业务量较少，既要减少投入成本，又要兼顾公司未来的发展，采用“ADSL MODEM＋

宽带路由器＋交换机＋客户机”的组网模式。

Microsoft Visio 可以根据网络需要，灵活地创建简单或复杂的关系图。本学习领域所有的

网络拓扑图均由 Visio 绘制。

Microsoft Visio 产品提供的绘图类型有 Web 图表、表格和图、地图、电子工程、工艺工

程、机械工程、建筑设计图、框图、流程图、软件、数据库、网络、项目计划图及组织结构

图。在这里只介绍“网络”类型中的“基本网络图”的绘制方法。“基本网络图”可应用于演

示文稿、建议书和概念布局。

（1）Visio 软件主界面介绍。打开 Microsoft Visio 软件，会看到“模板类别”中提供的绘

图类型，可根据需要进行选择。如果是初学者，可进入 Visio 软件自带的入门教程。

（2）Visio 软件自带的入门教程。运行 Visio 2007 软件，在如图 1.3 所示的主界面窗口中

选择“帮助”菜单下“Microsoft Office Visio 帮助”，可根据内容自行学习，如图 1.4 所示。

绘制网络结构图时，首先应正确全面地反映网络设计思路，其次在画面布局、美观生动

方面也要考虑，根据实际情况决定设备的摆放、比例、标注位置等。

（3）根据本项目的网络需求分析，完成用 Visio 软件绘制网络结构图。

① 运行 Visio 2007 软件，在打开的如图 1.3 所示窗口左边“模板类别”列表中选择“网

络”选项，即可绘制网络拓扑图（或在“文件”菜单上，选择“新建”→“网络”下的“基

本网络图”）。

·6·

图 1.3 Visio 软件主界面

图 1.4 Visio 帮助

·7·

② 在“绘图”工具栏上，单击“铅笔”工具或“线条”工具（如果看不到“绘图”

工具栏，请单击“常用”工具栏上的“绘图工具” 以显示它），指向希望线条开始的位置，

拖动以绘制该线条。

③ 右键单击所绘制的线条，选择“格式”、“线条”，即可修改线条的粗细及颜色等。

④ 根据“绘制线条”的方法，完成建筑平面框架，如图 1.5 所示。

⑤ 在左边的形状窗口中，从“网络和外设”上，将“以太网”形状拖到绘图页上。

⑥ 从“计算机和显示器”和“网络和外设”中，将相关的网络设备形状拖到绘图页上，

形状有选择手柄，可拖动一个选择手柄直到形状的大小符合要求为止。要成比例地调整形

状的大小，请拖动角部手柄。完成如图 1.6 所示的布局点的设置。

图 1.5 建筑平面框架图 1.6 布局点的设置

⑦ 使用形状的内置连接线将设备连接到网络拓扑形状，如图 1.7 所示。（深色线条表示

超五类双绞线，稍浅色线条表示六类双绞线）

⑧ 使用“网络和外设”中的电话机、路由器，实现网络外部设备的连接，如图 1.8 所示。

图 1.7 布局点的连接图 1.8 网络外部设备的连接

⑨ 右击任意网络形状，然后单击属性按钮，出现如图 1.9 所示“形状数据…”将自定义

属性值与形状相关联，如制造商名称、产品编号、房间、IP 地址等信息。添加自定义属性值

后，就可以生成基于这些值的报告。

⑩ 后，在左边“边框和标题”中选择合适的形状，如图 1.10 所示，向所绘图的不同

部分或整个绘图添加标题。

·8·

图 1.9 网络形状属性按钮图 1.10 网络结构图

1.1.5 网络设备选择

建构好的 SOHO 环境，前提条件是搭建一个好的网络平台，而网络设备是整个平台的核

心，对于用户而言，如何选择一套可靠、稳定、功能齐全、并且具有较高的性价比的设备，

是SOHO用户首先要考虑的重要问题。根据网络需求分析，本公司的网络采用“ADSL MODEM

＋宽带路由器＋交换机＋客户机”的组网模式，给出合理化的网络设备选择方案。

1．网络设备介绍

（1）互联网接入设备。采用 ADSL 接入方式，需要使用 ADSL MODEM 设备，将电话线

路的模拟信号转换为数字信号传入网络，同时也将网络中的数字信号转换成模拟信号发送出

去，此设备在申请 ADSL 服务时，由 ISP 服务商提供；对于多人用户还需要使用 ADSL 路由

器，将 ADSL MODEM 从 ISP 服务商获得的公网 IP 地址与局域网内的私有 IP 地址进行转换，

实现局域网内多用户访问 Internet，ADSL 路由器一般可支持 4 个或 8 个用户。

（2）局域网接入交换设备。对于公司内部具有 8 人以上的用户，可以考虑添置一台交换

机，来扩展网络用户的数量，实现多机共享上网，交换机的接口数量一般为 16 个或 24 个。

2．网络设备厂商介绍

（1）杭州华三通信技术有限公司

杭州华三通信技术有限公司（简称 H3C），致力于 IP 技术与产品的研究、开发、生产、

销售及服务，是中国电信市场的主要供应商之一，并已成功进入全球电信市场。总部设在杭

州，前身华为 3COM 是 2003 年 11 月华为公司与 3COM 成立的合资公司，目前在国内 34 省、

市、自治区和海外多个国家或地区设有分支机构。产品型号以 H3C 标识。

（2）思科公司

·9·

思科公司（Cisco）是全球领先的互联网设备供应商。成立于 1985 年。公司生产了全球

80%以上的网络主干设备路由器，总部位于美国加利福尼亚州的圣何塞，公司目前拥有全球

大的互联网商务站点，公司全球交易的 90%是在网上完成的。Cisco 的交换机产品以

“Catalyst”为商标，路由器产品以“Cisco”为商标。

（3）锐捷公司

锐捷网络，国内著名的网络设备及解决方案供应商，成立于 2000 年 1 月，中国网络市场

三大供应商之一。目前已经发展成为一家分支机构遍布全国 34 个省、市、自治区，拥有包括

交换、路由、软件、安全、无线、存储等全系列的网络产品线及解决方案的专业化网络厂商。

其产品和解决方案被广泛应用于政府、金融、教育、医疗、企业、运营商等信息化建设领域。

（4）TP-LINK

深圳市普联技术有限公司成立于 1996 年，是专门从事网络与通信终端设备研发、制造和

销售的业内主流厂商，也是国内少数几家拥有完全自主研发和制造能力的公司之一，创建了

享誉全国的知名网络与通信品牌：TP-LINK。

（5）D-Link

友讯集团（D-Link）成立于 1986 年，并于 1994 年 10 月在台湾证券交易所挂牌上市，为

台湾第一家公开上市的网络公司，以自创D-Link品牌行销网络产品遍及全世界 100多个国家。

（6）中兴通信

中兴通信是全球领先的综合性通信制造业上市公司，是近年全球增长快的通信解决方

案提供商。1985 年，中兴通信成立。2005 年，中兴通信作为中国内地唯一的 IT 和通信制造

公司率先入选全球“IT 百强”。

（7）贝尔阿尔卡特

作为阿尔卡特朗讯在亚太地区的旗舰公司，上海贝尔阿尔卡特是中国电信领域第一家引

进外资的股份制公司，拥有丰富的国际资源。

3．互联网接入设备

目前，生产 SOHO 路由器产品的厂商很多，下面主要介绍一下主流厂商 H3C 公司与思科

公司的 SOHO 路由器产品。

（1）H3C 系列 SOHO 路由器产品。

① H3C AR18-31。如图 1.11 所示，AR 18-20/30/31 智能业务接入路由器提供以太网和

ADSL 宽带接口、ISDN BRI S/T 备份口、二层交换功能可以满足用户不同的接入组网需求，

同时提供丰富的接入协议如 PPPoE、PPPoA 等。具体参数如表 1.4 所示。

表 1.4 H3C AR18-31 参数

路由器类型接入路由器

网络协议 WAN、Ethernet、ISDN、Frame Relay、X.25

固定广域网接口类型 ADSL、ISDN

固定局域网接口类型 10/100Base-TX×4

内置防火墙是

路由器包转发率 10Mbps：14 800pps，100Mbps：148800pps

参考价 1 200～1 500 元

·10·

② H3C ER5100。如图 1.11 所示，H3C ER5100 是 H3C 为网吧量身定制的一款高性能 1

000Mbps 路由器，它采用专业的 64 位双核网络处理器，主频高达 500MHz，同时提供丰富的

网吧专有特性。它是 H3C 公司宽带路由器中的中高端产品，是网吧用户的理想选择。具体参

数如表 1.5 所示。

表 1.5 H3C ER5100 参数

网络协议 PPPoE、DHCP 客户端、DHCP 服务器、静态路由、NAPT、NTP、DDNS（www.3322.org、

花生壳）、VPN 透传（PPTP、L2TP、IPSec）

固定广域网接口类型 1 个 10/100Base-TX WAN 端口

固定局域网接口类型 3 个 10/100/1 000Base-T LAN 端口

内置防火墙是

路由器包转发率 10Mbps：14 880pps，100Mbps：148 810pps，1 000Mbps：1 488 100pps

参考价 3 100～4 000 元

③ H3C Aolynk BR104H。如图 1.11 所示，H3C Aoylnk BR104H 宽带路由器是杭州华

三通信技术有限公司为家庭及小型公司用户量身定制的宽带路由器。Aolynk BR104H 提

供一个 10Base-T/100Base-TX 自适应以太网端口用于连接以太网、xDSL 或者 Cable

MODEM，从而接入 Internet，还包括 4 个 FE 交换端口用来组建家庭局域网。具体参数

如表 1.6 所示。

表 1.6 H3C Aoylnk BR104H 参数

图 1.11 H3C ADSL 系列宽带路器

（2）Cisco SOHO 系列路由器产品。如图 1.12 所示，Cisco 1721 路由器采取模块化架构，

具有完整的安全和 VPN 功能，是公司级 DSL，通过先进的 QoS 功能支持 ADSL 和 G.SHDSL。

具体参数如表 1.7 所示。

路由器类型 SOHO 级路由器

网络协议 PPPoE、ARP、DHCP 客户端/服务器、NAT、RIP v1/v2、静态路由、SNTP、DDNS、PPTP、

VPN 透传（IPSec、PPTP、L2TP）

固定广域网接口类型 1 个 ADSL WAN 口

固定局域网接口类型 4 个 10/100M 全双工 LAN 口

内置防火墙内置

路由器包转发率 10Mbps：14 800pps，100Mbps：148 800pps

参考价 120 元

·11·

表 1.7 Cisco 1721 参数

路由器类型访问路由器

网络协议 V.35、EIA/TIA-232、EIA/TIA-449、 X.21、 EIA-530

固定广域类型可选广域接口 WIC 卡

固定局域类型 10/100Base-T/TX

内置防火墙是

路由器包转发率 2Mpps

参考价 4 000 元

图 1.12 Cisco 1721 产品外观图

（3）互联网接入设备的选购要点：

① 提供的广域网及局域网接口类型。

② 采用的处理器类型及支持的大内存。

③ 支持的网络协议及标准。

④ 是否具备地址转换功能。

⑤ 是否自带内置防火墙功能。

⑥ 售后服务和技术支持。

⑦ 性价比。

（4）设备选购。对于 20 人以内用户的 SOHO 网络来说，网络中的核心路由器除了要具

有宽带接入的功能，还要考虑到公司网络在许多方面的业务应用，如传输语音、视频、传真

信号、VoIP 的应用、VPN 功能和防火墙的功能等。所以基本上都要采用模块化的设计，可以

对网络应用进行丰富的扩展，保护用户网络的长久投资。公司的这些业务需求就要求路由器

必须具备以下特点：稳定可靠、高速高效、信息安全、操作简单、节约投资等。

前面已经对 Cisco 和 H3C 公司的几款互联网接入设备在性能上做了对比，考虑到本公司

在网络组建的资金投入因素，H3C Aolynk BR104H 系列是节省资金的选择。

4．局域网接入交换机

（1）H3C 系列 SOHO 交换机产品。

① H3C S1526。如图 1.13 所示，H3C S1526 交换机是 H3C 公司自主开发的二层线速以太

网交换机产品，是为要求具备高性能且易于安装的网络环境而设计的智能型交换机。S1526

提供了 24 个 10/100Mbps 端口，2 个 1 000Mbps 铜缆/SFP（mini GBIC）组合端口用于灵活的

1 000Mbps 铜缆或光纤骨干连接，用户可根据传送距离的不同要求灵活地选择 1 000BASE-LX、

1 000BASE-SX、1 000BASE-T 等多种接口类型。该款交换机支持 VLAN 划分、端口镜像、端口

聚合和 QoS 等功能，可以通过 Web 界面进行方便地配置，具体参数如表 1.8 所示。

·12·

表 1.8 H3C S1526 参数

交换机类型 1 000Mbps 以太网交换机

网络标准 IEEE 802.3、IEEE 802.3u、IEEE 802.3ab、IEEE 802.3z、ANSI/IEEE 802.3 NWay、IEEE 802.3x

接口数量、类型 24 个 10/100Base-TX 自适应以太网端口、2 个 10/100/1 000Base-T 自适应以太网端口、1 个 Console

接口

包转发率 6.55Mpps

MAC 表 8K

参考价 990 元

② H3C S1016。如图 1.13 所示，H3C S1016 交换机是 H3C 公司自主开发的无管理以太网

交换机产品，提供 16 个符合 IEEE 802.3u 标准的 10/100Mbps 自适应以太网接口，所有端口

均支持全线速无阻塞交换以及端口自动翻转功能，可以安装于 19 英寸标准机架，具体参数如

表 1.9 所示。

表 1.9 H3C S1016 参数

交换机类型快速以太网交换机

网络标准 IEEE 802.3、IEEE 802.3u、IEEE 802.3x

接口数量、类型 16 个 10/100Mbps 自适应以太网端口、RJ-45


MAC 表 8K

参考价 318 元

③ H3C Aolynk S1008A。如图 1.13 所示，Aolynk S1008A 桌面型交换机是 H3C 公司自主

开发的无管理以太网交换机产品，提供 8 个符合 IEEE 802.3u 标准的 10/100Mbps 自适应以太

网接口，所有端口均支持全线速无阻塞交换以及端口自动翻转功能。Aolynk S1008A 交换机

采用桌面型塑胶壳设计，具体参数如表 1.10 所示。

表 1.10 H3C Aolynk S1008A 参数

交换机类型桌面型交换机

网络标准 IEEE 802.3，IEEE 802.3u，ANSI/IEEE 802.3，IEEE 802.3x

接口数量、类型 8 个 10/100Base-TX 自适应以太网端口、RJ-45、Uplink


MAC 表 1K

参考价 130 元

图 1.13 H3C SOHO 系列交换机

·13·

（2）TP-LINK 系列 SOHO 交换机产品。

① TP-LINK TL-SG1024D。如图 1.14 所示，TL-SG1024D 桌面型钢壳全 1 000Mbps 以太

网交换机提供 24 个 10/100/1 000Mbps 自适应端口，所有端口均支持自动翻转功能（Auto

MDI/MDIX），既可用作普通口，也可用作 Uplink 口。TL-SG1024D 提供了一个简单、经济、

高性能、无缝隙、标准的迁移到 1 000M 网络的解决方法，在提高工作组性能上提供了很大的

灵活性，具体参数如表 1.11 所示。

表 1.11 TP-LINK TL-SG1024D 参数

交换机类型全 1 000Mbps 桌面型以太网交换机

网络标准 IEEE 802.3、IEEE 802.3u、IEEE 802.3ab、IEEE 802.3x

接口数量、类型 24 个 10Base-T、100Base-TX、1 000Base-T

包转发率 1 488 000pps

MAC 表 8K

参考价 1 180 元

② TP-LINK TL-SF1016。如图 1.14 所示，TL-SF1016 双速 16 口 10/100Mbps 以太网交换

器，工程机架型钢壳结构设计，适用于中小型办公和家庭网络，兼容100BASE-TX和10BASE-T

两种网络环境。端口速度 10/100Mbps 自动匹配外设，提供级联端口 Uplink 方便网络扩容，


表 1.12 TP-LINK TL-SF1016 参数

交换机类型机架式 100Mbps 以太网交换机


接口数量、类型 16 个 10/100M 自适应 RJ-45 端口

包转发率 148 800pps

MAC 表 8K

参考价 280 元

③ TP-LINK TL-SF1008＋。如图 1.14 所示，TL-SF1008＋以太网交换机提供 8 个

10/100Mbps 自适应端口，高集成度桌面型设计，小巧、轻便，操作简单，适用于中小型办公

和家庭网络。采用存储转发技术，结合动态内存分配，确保有效地分配到每一个端口。流量

控制保证节点在传送和接收时，尽可能地避免数据包丢失。兼容 10Base-T 和 100Base-TX 两

种网络环境，端口速度 10/100M 自动匹配，具体参数如表 1.13 所示。

表 1.13 TP-LINK TL-SF1008＋参数

交换机类型桌面型 100Mbps 以太网交换机


接口数量、类型 8 个 10Base-T/100Base-TX


ＭAC 表 1K

参考价 75 元

·14·

图 1.14 TP-LINK SOHO 系列交换机

（3）D-LINK 系列 SOHO 交换机产品。

① D-Link DES-1024D。如图 1.15 所示，24 口的 10/100Base-TX 以太网交换机，桌面式

结构设计。该桌面型交换机专为 SOHO 及较大规模的工作组网络设计，该交换机所有端口都

能自动适应计算机或集线器的网络速率，也都能够在全/半双工模式之间自动适应，并且支

持流量控制，具体参数如表 1.14 所示。

表 1.14 D-Link DES-1024D 参数


网络标准 IEEE 802.3、IEEE 802.3u

接口数量、类型 24 个 10/100Base-TX


MAC 表 16K

参考价 480 元

② D-Link DES-1016D。如图 1.15 所示，DES-1016D 是一款非网管独立型二层交换机。

该桌面型交换机专为 SOHO 及较大规模的工作组网络设计。该交换机所有端口都能自动适应

计算机或集线器的网络速率，也都能够在全/半双工模式之间自动适应，并且支持流量控制。







MAC 表 16K

参考价 300 元

③ D-Link DES-1008D。如图 1.15 所示，DES-1008D 是一款非网管独立型二层交换机。

该桌面型手掌大小交换机专为 SOHO 网络设计。所有端口都能自动适应计算机或集线器的网

络速率，也都能够在全/半双工模式之间自动适应，并且支持流量控制，具体参数如表 1.16 所

示。





·15·

续表


MAC 表 1K

参考价 140 元

图 1.15 D-LINK SOHO 系列交换机

（4）局域网接入设备的选购要点：

① 接口数量及类型。

② 支持的网络协议及标准。

③ 转发速率。

④ RAM 缓存容量。

⑤ 流量控制。

⑥ 是否可网管。

⑦ 性价比。

（5）设备选购。考虑到网络中信息点的数量，以及将来的发展、成本及级联接口速度瓶

颈等因素，选择 H3C S1526 二层交换机，此交换机具有 24 个 10/100Base-T 以太网端口，2

个10/100/1 000Base-T以太网端口和2个1 000Base-X SFP千兆位以太网端口，支持网管VLAN

划分，即使今后网络升级后也可以继续使用，性价比高。

5．无线 AP

（1）H3C 系列产品。

① H3C WA2110-AG。如图 1.16 所示，WA2100 系列产品属于瘦 AP（Fit AP）需要与无

线控制器系列产品配套使用；WA2200 系列支持 Fat 和 Fit 两种工作模式，根据网络规划的需

要，可以通过命令行灵活地在 Fat 和 Fit 两种工作模式中切换，具体参数如表 1.17 所示。

表 1.17 H3C WA2110-AG 参数

传输协议 CSMA/CA

大覆盖范围室外 200～600m（自带天线）、室内 65～150m（自带天线）

端口类型 RJ-45、Console、天线接口

网络标准 IEEE 802.11a/b/g、802.3af

传输速率（Mbps） 108，54，48，36，24，18，12，11，9，6，5.5，2，1

参考价 2 140 元

② H3C WA2210-AG。如图 1.16 所示，WA2200 系列产品作为瘦 AP（Fit AP）时，需要

与无线控制器系列产品配套使用；作为胖 AP（Fat AP）时，可以独立进行组网。WA2200 系

列产品支持 Fat/Fit 两种工作模式的特性，有利于将客户的 WLAN 网络由小型网络平滑升级到

·16·

大型网络，从而很好地保护用户的投资，具体参数如表 1.18 所示。

表 1.18 H3C WA2210-AG 参数

传输协议 CSMA/CA

大覆盖范围室外 200～600m（自带天线）、室内 65～150m（自带天线）

端口类型 RJ-45、Console、天线接口

网络标准 IEEE 802.11a/b/g、802.3af

传输速率（Mbps） 108，54，48，36，24，18，12，11，9，6，5.5，2，1

参考价 2 700 元

图 1.16 H3C 无线 AP 系列产品

（2）TP-LINK 系列产品。如图 1.17 所示，TP-LINK TL-WA200 是一款室内无线接入器，

适用于办公室或公司内环境，可用来将办公室现有的有线网络与无线网络连接，在不同楼层

间传送资料亦可透过室内无线接入器连接，可外接无线工作站数为 2 048 个，佳外接无线

工作站数为 30 个，具体参数如表 1.19 所示。

表 1.19 TP-LINK TL-WA200 参数

传输协议 TCP/IP、NDIS3、NDIS4、IPX 和 NETBEUI

大覆盖范围 300m

端口类型 RJ-45

网络标准 IEEE 802.11b

传输速率（Mbps） 11，5.5，2，1

参考价 270 元

图 1.17 TP-LINK TL-WA200 产品外观图

（3）神州数码 DCWL 系列产品。如图 1.18 所示，DCWL-3000AP 是一款 11Mbps 高速无

线访问节点。该产品可运行在 Infrastructure 模式（带接入器的网络模式）或 Ad-Hoc 模式（点

对点无接入器的网络模式）。在 Infrastructure模式下，可以连接交换机、宽带网关或ADSL/Cable

·17·

Router 来接入现有网络。可以通过运行 Windows 98/Me/NT4.0/2000/XP 及 Linux 的操作系统

的计算机进行管理，具体参数如表 1.20 所示。

表 1.20 DCWL-3000AP 参数

传输协议 TCP/IP、IPX/SPX、NETBEUI

大覆盖范围 300m

端口类型 RJ-45

网络标准 IEEE 802.11b

传输速率（Mbps） 11，5.5，2，1

参考价 140 元

图 1.18 DCWL-3000AP 产品外观图

（4）设备选择。从公司的需求情况来看，无线网络设备的使用本着低的投入，获得满

意的效果，因此选择神州数码 DCWL -3000AP，作为移动用户接入的 AP 产品。

6．网络通信介质选择

各信息点与交换机相连接的线缆采用超五类非屏蔽双绞线（UTP CAT 5e），服务器与交

换机之间采用六类非屏蔽双绞线（UTP CAT 6）连接到交换机 1000Base-T 以太网端口。

7．网络设备统计

根据以上分析，结合各厂商技术实力、产品技术水平、市场占有率和性能价格比等情况，

本项目采用的网络设备如表 1.21 所示。

表 1.21 网络设备统计

设备名称网络设备型号数量地点

互联网接入设备 H3C Aolynk BR104H 1 技术部

局域网接入交换机 H3C S1526 1 技术部

无线 AP DCWL-3000AP 2 服务部，技术部

·18·

1.2 广域网接入

1.2.1 任务分析

作为不足 20 人的小型办公环境来说，多的就是文件资料的传递和共享访问互联网的应

用；而共享互联网，申请 ADSL 宽带就能够满足。目前宽带服务提供商针对小型办公网络用

户提供了多种资费可供选择，价格也相当实惠。根据项目所选的互联网接入设备，结合产品

配置手册，完成 ADSL 接入配置。

1.2.2 xDSL 技术

xDSL 是数字用户线路 DSL（Digital Subscriber Line）的统称，是以铜电话线为传输介质

的点对点传输技术。DSL 技术在传统的电话网络（POTS）的用户环路上支持对称和非对称传

输模式，解决了经常发生在网络服务供应商和终用户间的“ 后一公里”的传输瓶颈问题。

由于电话用户环路已经被大量铺设，因此充分利用现有的铜缆资源，通过铜质双绞线实现高

速接入就成为运营商成本小、现实的宽带接入网解决方案。DSL 技术目前已经得到大量

应用，是非常成熟的接入技术。DSL 技术主要分为对称技术的 HDSL（高比特率 DSL）和 ADSL

（非对称 DSL）两大类。

对称 DSL 技术主要用于替代传统的 T1/E1 接入技术。与传统的 T1/E1 接入相比， DSL

技术具有对线路质量要求低、安装调试简单等特点。广泛地应用于通信、校园网互连等领域，

通过复用技术，可以同时传送多路语音、视频和数据。非对称 DSL 技术非常适用于对双向带

宽要求不一样的应用，如 Web 浏览、多媒体点播等，因此通常 SOHO 网络采用此种接入方式。

1．什么是 ADSL

ADSL（Asymmetrical Digital Subscriber Line，非对称数字用户线路）技术是运行在原有

普通电话线上的一种新的高速宽带技术，可在普通铜线电话用户线上传送电话业务的同时，

向用户提供 1.5～8Mbps 速率的数字业务，在上行、下行方向的传输速率不对称。

2．ADSL 设备的安装

ADSL 安装包括局端线路调整和用户端设备安装。在局端方面，由服务商将用户原有的

电话线中接入 ADSL 局端设备；用户端的 ADSL 安装也非常简易方便，只要将电话线连上滤

波器，滤波器与 ADSL MODEM 之间用一条两芯电话线连上，ADSL MODEM 与计算机的网

卡之间用一条交叉网线连通即可完成硬件安装，再将计算机 TCP/IP 协议中的 IP、DNS 和网

关参数项设置好，便完成了安装工作。

SOHO 网络中的 ADSL 安装与单机用户没有很大区别，只需再多加一个宽带路由器，用

直通网线将宽带路由器与 ADSL MODEM 连起来即可。

3．ADSL 支持的业务

ADSL 可以为以中、小型商业用户和住宅用户为主的用户群提供多样化的宽带业务，包

括高速 Internet 接入、远程 LAN 互联、交互视频、远程医疗/教育和 SOHO 等交互式业务。

·19·

4．ADSL 的四种接入方式比较

（1）桥接接入方式——RFC1483 标准。RFC1483 标准的制定是为了实现网络层上多种协

议的数据包在 ATM 网络上的封装传送，ADSL 接入依托于 ATM 骨干网络，在接入侧上继承

了许多 ATM 技术的特点，所以 ATM 网络上承载数据包的各种标准就很自然地被 ADSL 接入

技术所采用，使得 ADSL 的桥接接入方式已成为目前 ADSL 宽带接入的基本形式。

（2）经典 IP 接入方式——RFC1577 标准。类似于 RFC1483 标准，RFC1577 也是在 ATM

网络上承载 IP 协议的标准规范。在协议中，它明确了该标准仅仅针对于网络层的 IP 协议，

用 IP 路由转发实现相互之间的通信，也被人们称为 RFC1483-Router 接入方式。要实现

RFC1577 的 ADSL 宽带接入，用户终端需要较昂贵的 ATM 网卡及支持该协议的驱动程序，

这就很大程度上限制了 RFC1577 在 ADSL 接入的推广使用。

（3）PPPoA 接入方式——RFC2364 标准。以上讨论了 RFC1483 和 RFC1577 这两种利用

ATM 早期标准完成静态 IP 接入的技术。对于一些有固定 IP 需求的专线用户，采用以上两种

接入方式当然能够很好的实现，但是对于众多的普通接入用户而言，仍然利用静态 IP 方式实

现宽带接入对于宽带接入运营商而言是很难接受的，尤其是在目前公网 IP地址紧缺的情况下。

因此，人们很自然地想利用窄带拨号动态分配 IP 地址的 PPP 接入技术应用到宽带的 ADSL

接入中来。因此 IETF 制定了利用 PPP 技术完成宽带拨号接入的标准规范——RFC2364，也

称为 PPP over ATM。

PPPoA 的接入方式也因 ATM25 网卡的自身局限性而无法实现。因此，PPPoA 虽然成功地解

决了诸如动态 IP 地址分配和计费方面的一系列宽带接入问题，但是由于用户终端仍需要额外的

网络设备和相应的驱动程序，事实上 PPPoA 这种宽带接入形式并没有得到大规模的推广应用。

（4）PPPoE 接入方式——RFC2516 标准。IETF 于 1998 年制定了 PPPoE 的技术规范

RFC2516 标准。它利用 PPP 技术直接实现更高速、更可靠、更便捷的 ADSL 宽带接入，将现

有的宽带接入服务器与本地以太网络相结合。兼顾了对用户终端的硬件要求，提高了 ADSL

宽带接入的总体性能。因此，PPPoE 技术规范得到了广泛的支持，目前成为宽带接入运营商

首选的宽带接入方式。

PPPoE 基于两个广泛接受的标准，即局域网 Ethernet 和 PPP 点对点拨号协议。对于终

用户来说不必了解比较深的局域网技术，只当做普通拨号上网就可以了，对于服务商来说在

现有网络基础上不用花费巨资来做大面积改造，设置 IP 地址绑定用户等来支持专线方式。这

就使得 PPPoE 在宽带接入服务中比其他协议更具有优势，因此逐渐成为宽带上网的佳选择。

PPPoE 软件在系统中起到非常重要的作用，其功能是连接操作系统的 PPP 协议和 Ethernet 协

议，并通过 PPPoE 协议连接 ISP。

该方式是基于桥接方式的，当使用该方式时，当 MODEM 与 DSLAM 建立基本的物理连

接后，由用户端（在 MODEM 上使用 PPPoE 方式时，用户端指 MODEM）发起 PPP 请求，

通过 PAP（PAP：口令认证协议，是用户身份认证的一种形式，它通过用户名和用户口令来

验证用户的合法性，由于用户的 ID 和口令在链路上以文本形式直接传输，因而安全性较差）

或 CHAP（CHAP：质询握手认证协议，也是用户认证的一种形式，它通过服务器发出认证质

询，用户以应答的形式来验证用户的合法性，由于用户的 ID 和口令经过加密之后再在网络上

传输，因此其安全性较好）两种验证方式通过 ISP 中的 UAS 验证，而建立网络连接。

① PPPoE 协议认证。PPPoE 协议认证过程：用户拨号发出请求，经过网络传送到 BRAS

·20·

（宽带远程接入服务器），BRAS 接到请求后向 RADIUS 发出 ACCESS REQUEST 请求包，其

中含有用户的账号、密码、端口类型等，经 RADIUS 核实后，向 BRAS 回送 ACCESS REPONSE

响应包，其中包含用户的合法性和一些设置，如用户 IP 地址、掩码、网关、域名、用户可使

用的带宽等。用户接收到这些信息后就可以上网，上网期间 BRAS 不断地向 RADIUS 发送计费

信息，这些信息包括用户的上网时间、用户流量、用户下网时间等，以便 RADIUS 准确计费。

② 常用 PPPoE 软件。

EnterNet。在众多的 PPPoE 虚拟拨号软件中，目前是通用和流行的 PPPoE 软件，并

且支持多种操作系统，很多宽带服务供应商都将其作为官方的上网拨号软件。这款软

件不依赖于 Windows 系统的拨号网络，可独立工作。EnterNet 系列软件主要有两种不

同的子系列：300 型标准版和 500 型专业版。目前通常选择 500 型专业版。

WinPoET。WinPoET 的优点在于安装方便、简单易用，作为 Windows PPPoE 程序的强

化版，WinPoET 在程序的核心改用 Windows 原有的拨号网络系统，不同于 EnterNet

完全独立形式的操作。

ADSL 宽带拨号王。ADSL 宽带王宽带拨号软件是一款国产自主版权的 ADSL 拨号驱

动程序，它在稳定性、连接速度、兼容性等方面都达到了国外同类软件（EnterNet、

WinPoET）的水平，并在用户界面和易用性更加适合中国的网络用户。支持以太网接

口和 USB 接口（LAN 模式）的网络设备。智能安装，无需设置任何参数。简单易用，

只需输入用户名和密码，拨号速度快，占用系统资源少，稳定性好。和国外软件相比，

价格极具优势。

1.2.3 ADSL 接入配置

本项目中广域网接入采用的是 ADSL 接入方式，接入设备为一台 ADSL MODEM 和一台

ADSL 路由器，如图 1.19 所示。配置 ADSL 路由器时可以采用 Web 页面方式进行配置，配置的

方法可以参考配置手册，不同的设备在配置上大同小异。下面以采用 H3C Aolynk BR104H ADSL

路由器为例进行配置。其他型号参考使用手册，多数 ADSL 路由器的默认 IP 地址为 192.168.1.1。

如果用户不希望购买 ADSL 路由器，也可以将一台服务器（配置有双网卡）的一个网卡

与 ADSL MODEM 的 RJ-45 接口相连，另一个网卡与局域网的交换机相连。然后将服务器配

置为 NAT 服务器，网络内部主机通过 NAT 服务器的地址转换实现共享访问 Internet。

图 1.19 使用 ADSL 路由器实现共享上网

·21·

1．快速配置

（1）启动 IE 浏览器，在 IE 浏览器的地址栏中输入 http://192.168.1.1（ADSL 路由器 IP 地

址），在 IE 浏览器中显示登录界面，如图 1.20 所示。

（2）输入用户名和密码后（默认用户名和密码均为 admin），可进入 ADSL 路由器配置，

对于初级用户，可考虑采用此过程的快速配置。

（3）在“连接到因特网”栏目中单击上网方式滚动条，选择 PPPoE（大部分的宽带网或

xDSL），如图 1.21 所示。

图 1.20 ADSL 路由器登录界面

图 1.21 选择上网方式

（4）然后在下面的 PPPoE 用户名和 PPPoE 密码栏目中，输入上网账号和上网密码，

如图 1.22 所示，单击“确定”按钮，即完成了快速配置。

图 1.22 实现 WAN 口的连接

·22·

（5）经过以上各步骤的设置，即可完成对 ADSL 路由器的快速设置。在快速设置中，对

于其他各项的设置内容，系统采用了默认项的设置，用户可根据实际的需要进行详细设置。

2．高级设置

如果用户对 ADSL 路由器的配置比较熟练，则建议直接采用高级设置对路由器进行配置，

具体配置步骤如下：

（1）单击导航列表框中的“WAN 设置”，在弹出的“WAN 设置”栏目中输入上网账号和

上网口令，如图 1.23 所示。

MTU、空闲自动挂断时间、主 DNS 服务器、辅 DNS 服务器可根据本地网络要求填写。

图 1.23 WAN 设置

（2）单击导航列表框中的 “LAN 设置”，如图 1.24 所示。在“IP 地址”文本框中输入

所要设定的 ADSL 路由器连接局域网 LAN 的 IP 地址。然后单击“确定”按钮，即可完成此

项的设定。如果修改了 LAN 口的 IP 地址后，在下次登录 ADSL 路由器进行配置时，在 IE 浏

览器中的登录 ADSL 路由器配置界面时要输入新的 IP 地址，建议采用默认的 IP 地址，并开

启 DHCP 服务器功能。

图 1.24 LAN 的 IP 地址设置

·23·

（3）单击导航列表框中的“网络安全”，一般情况下采用默认设置即可，如图 1.25 所示。

图 1.25 设置网络安全

（4）系统服务配置，如略过此步骤，直接执行第 5 步。

单击导航列表框中的“系统服务”。当局域网中的服务器（如 Web 服务器、FTP 服务器）

需要提供 Internet 访问时，首先需要保证 ADSL MODEM 可以在 Internet 获得固定的 IP 地址

（如 216.35.18.82），在“虚拟服务器”选项卡中可单击导航列表框中的“虚拟服务器”，在“虚

拟服务器”栏目中，Internet 广域网选择启用，常用端口号设置为 80（可以为 1 024～65 535

之间的任意端口号），局域网内已经搭建的 Web 服务器 IP 地址为 192.168.1.5，然后单击“新

建”按钮，如图 1.26、图 1.27 所示。如果还有其他服务器（如 FTP 服务器），可继续设置常

用端口号为 2 048，局域网内已经搭建的 FTP 服务器 IP 地址为 192.168.1.4，然后再单击“添

加”按钮，这样 Internet 用户就可以访问局域网的服务器了。

图 1.26 配置系统服务

·24·

图 1.27 配置虚拟服务器

添加完成后，可在图 1.28 中看到虚拟服务器相关信息。当 Internet 用户访问局域网的 Web

服务器资源信息时，在本地计算机的 IE 地址栏中输入“http:// 216.35.18.82:80”就可以实现了。

当 Internet 用户访问局域网的 FTP 服务器资源信息时，在本地计算机的 IE 地址栏中输入“ftp://

216.35.18.82:21”，然后根据局域网管理员所提供的用户名及密码就可以登录 FTP 服务器了。

图 1.28 配置虚拟服务器 IP 地址

当需要通过 WAN 口进行管理配置本设备时，在“远程管理”选项卡中选择“允许”，并

指定端口号，如图 1.29 所示。

（5）单击导航列表框中的“设备管理”，当进行以上设置完成后可以在“重启动”选项卡，

单击“重启动”按钮，使 ADSL 路由器重新启动。

在设置信息选项卡中，可以根据需要进行备份、恢复和恢复到出厂配置，按提示信息操

作即可。

在“升级”选项卡中，首先单击“Huawei-3Com 的技术支持网站”超链接到网站下载

新的升级软件到本地硬盘，然后单击“浏览”按钮选择升级文件即可，如图 1.30 所示。

·25·

图 1.29 远程管理设置

图 1.30 系统软件升级

（6）单击导航列表框中的“修改密码”，用户开始使用 ADSL 路由器后，为了防止非

法用户登录路由器修改配置，一定要更改密码，如图 1.31 所示，更改完成后单击“确定”

按钮。

·26·

图 1.31 设置 ADSL 路由器的密码

3．工作站的设置

由于 ADSL 路由器配置了 DHCP 服务，工作站只需将 TCP/IP 协议属性设置为自动获取

IP 地址和 DNS 服务器地址即可。

通过以上的操作，完成对 ADSL 路由器的设置，满足用户的需要，实现连接在局域网内

的计算机访问 Internet。

1.3 无线网络搭建

1.3.1 任务分析

目前主流的组建网络类型为有线和无线两种，无线网络已经越来越多地应用于小型办公

和家庭环境中，主要应用于有线介质布线困难的环境，无需布线，用户就可以随时、随地地

连接到网络中。公司可以根据业务和规模的实际情况和发展需要，灵活选择不同的接入方式。

PC、笔记本或掌上电脑则无需网线连接，通过配置无线 AP＋无线网卡，就可以实现网上业

务。采用无线与有线并存的网络方案。

要求在两个部门的办公室内覆盖无线，可满足办公人员笔记本电脑的无线上网等应用。

在设计两个部门的办公室组建 SOHO 型无线局域网 WLAN 时，目前由于笔记本都内置

了无线网卡，所以只需选购 SOHO 型无线 AP 即可。内部无线网络可达到 54Mbps 数据传输

速率。

该无线方案为无线与有线混合接入方案，采用交换机作为中心设备，实现无线网络与有

线网络的兼容，既保护了原有以太网投资，又保证了移动办公的需求，如图 1.32 所示。

·27·

图 1.32 “无线 AP＋宽带路由器”方案

1．无线 LAN 标准

为确保无线设备之间能互相通信，已经产生了许多标准。这些标准规定了使用的 RF 频谱、

数据速率、信息传输方式等。负责制定无线技术标准的主要组织是 IEEE。

IEEE 802.11 标准用于管理 WLAN 环境。该标准有四个附录，用于描述无线通信的不同

特征。目前可用的附录有 802.11a、802.11b、802.11g 和 802.11n。具体参数如表 1.22 所示。

表 1.22 常用 IEEE WLAN 标准

标准发布时间频率高数据速率大传输距离

IEEE 802.11a 1999.10 5GHz 54Mbps 50m

IEEE 802.11b 1999.10 2.4GHz 11Mbps 100m

IEEE 802.11g 2003.6 2.4GHz 54Mbps 100m

IEEE 802.11n 2007.4（草案通过） 2.4GHz 或 5GHz 540Mbps 250m

由于目前 ADSL 的接入速率通常为 2Mbps，建议采用 IEEE 802.11b/g 标准的产品。相对

而言，该标准所提供的 11～54Mbps 传输速率已经绰绰有余了。同时，该标准的产品价格更

便宜、技术更成熟、性价比更好。

无线网卡和无线 AP 必须采用同一标准，以确保相互之间的兼容性，取得好的通信效

果，并实现对无线网络的安全管理。

2．服务集标识符（SSID）的设置

在构建无线网络时，需要将无线组件连接到适当的 WLAN。这可以通过使用服务集标识

符（Service Set Identifier，SSID）来完成。

SSID 是一个区分大小写的字母数字字符串，多可以包含 32 个字符。它包含在所有帧

的报头中，并通过 WLAN 传输。SSID 用于标识无线设备所属的 WLAN 以及能与其相互通信

的设备。无线网卡设置了不同的 SSID 就可以进入不同网络，SSID 通常由 AP 或无线路由器

广播出来，通过 Windows XP 自带的扫描功能可以查看当前区域内的 SSID。出于安全考虑可

以不广播 SSID，此时用户就要手工设置 SSID 才能进入相应的网络。

·28·

无论是哪种类型的 WLAN，同一个 WLAN 中的所有设备必须使用相同的 SSID 配置才能

进行通信。

3．MAC 地址过滤的设置

无线网络的一个主要优点是连接简便。但是，由于连接简便，再加上信息通过空间传输，

使无线网络容易遭受拦截和攻击。

通过无线连接，攻击者不需要物理连接到用户计算机或其任何设备即可访问其网络。攻

击者可以接收用户无线网络的信号，就像收听广播电台一样。攻击者可以从用户无线信号能

抵达的任何地点访问其网络。他们一旦进入网络，就可以免费使用 Internet 服务，并访问网络

中的计算机以破坏文件或窃取个人和机密信息。

限制访问网络的方法之一是精确控制哪些设备可以访问网络。这可以通过 MAC 地址过

滤来实现。

MAC 地址过滤是使用 MAC 地址来分辨可以连接到无线网络的设备。当某个无线客户端

尝试连接 AP 时，就会发送 MAC 地址信息。如果启用了 MAC 过滤，无线路由器或 AP 会在

预配置的列表中查找其 MAC 地址。只有设备的 MAC 地址已预先记录在路由器数据库中，才

允许其连接。如果在数据库中找不到其 MAC 地址，则会禁止该设备连接无线网络或通过无

线网络通信。

这种安全保护方法也存在一些问题。例如，所有应该访问网络的设备在尝试连接之前，

必须将其 MAC 地址加入数据库中，否则就无法连接。此外，攻击者也可以使用其设备复制

其他具有访问权限的设备的 MAC 地址。

为了避免非授权用户接入无线网络，可以在无线 AP 上设置 MAC 地址过滤，并设置 SSID

拒绝其他用户访问。

4．WLAN 两种基本形式

（1）对等模式（Ad-Hoc）。在点对点网络中，将两台或两台以上的客户端连接到一起，

就可以创建简单的无线网络。以这种方式建立的无线网络称为对等网络，其中不含 AP。在

对等网络中的所有客户端是平等的。此网络覆盖的区域称为独立的基本服务集（IBSS）。

（2）基础架构模式（Infrastructure）。家庭和企业环境中常用的无线通信模式，由

AP 控制可以通信的用户及通信时间。以这种方式建立的无线网络称为基础架构模式，为

了进行通信，每台设备都必须从 AP 获取许可。单个 AP 覆盖的区域称为基本服务集（BSS）

或单元。

5．无线办公室所需设备分析

（1）无线网卡：实现移动设备之间的无线连接；

（2）无线接入点 AP：实现无线客户端通过无线网卡与 AP 的通信。

（3）一个有线网络接入点：为 AP 提供，实现无线网络接入有线网络及 Internet。

1.3.2 无线设备配置

组建 SOHO 型 WLAN，虽然简单但在部署时注意细节配置的问题。另外，市场上有很多

SOHO 型无线 AP，应该选择性价比较高的设备能更好地满足客户需求。

·29·

1．无线设备连接

当准备工作做好以后，就可以开始硬件连接，其安装步骤如下：

（1）将无线接入点（AP）安放在事先规划好的环境中的固定位置上，使其能覆盖目标区

域。

（2）将无线接入点（AP）通过网线与有线网络接入点相连。

（3）调整好天线的方向。

（4）进行现场测试，主要是测试覆盖范围及信号强度是否满足要求。可根据测试的情况

对 AP 的位置进行适当的调整。在 AP 的面板上有 4 个 LED 灯，如果安装正确，PWR 灯（电

源）与 LNK（以太网络）灯会亮起，且 IEEE 802.11a 和 IEEE 802.11b/g（无线网络）会以每

秒至少 10 次的速率闪烁。

2．配置无线接入点

无线 AP 分为瘦 AP（Fit AP）和胖 AP（Fat AP）两种，对于 Fit AP 一般是将其与无线控

制器组合使用，其配置信息由无线控制器下传到 AP 中。对于这种 AP 一般只对无线控制器进

行配置，而 Fat AP 可以直接使用。比较典型的 Fat AP 如 DCWL -3000AP 或 H3C WA2210-AG

产品。

3．在终端上安装无线网卡和驱动程序

无线网卡上有 Link 指示灯。在 Ad-Hoc 模式下，指示灯将始终处于慢闪状态；在

Infrastructure 模式下，指示灯在正常时是常亮的，慢闪则表示异常。在这里就不详细讲解安

装无线网卡的步骤了。

因为微软自 Windows XP 系统开始提供了对无线局域网技术的支持，所以一般的无线局

域网产品都可以通过 Windows XP 系统本身来实现无线局域网的配置，当然也可以采用厂商

提供的专门配置程序。但在 Windows 2000 及以前版本的 Windows 系统，则必须借助于厂商

产品自带的配置程序。本节仅就 WindowsXP 系统自带的无线网络配置方法进行介绍。

在 Windows XP 系统中，安装了无线网卡后，把鼠标移到无线网络连接项就会在状态栏

显示如图 1.33 所示提示，表明当前的无线网络连接还不可用。

图 1.33 无线网络连接状态提示

在 Windows XP 系统中，利用自身的功能配置无线网络有两种可行的方法：网络向导法

和手动配置法。

现将手动配置方法介绍如下：

在无线网络连接状态提示（如图 1.33 所示）单击右键，在弹出菜单中选择“查看可用的

无线网络”选项，即打开如图 1.34（1）所示的无线网络连接对话框。此时该连接显示无连接

状态。单击网络任务中的刷新网络列表，可发现如图 1.34（2）所示的无线网络，单击“连接”

·30·

按钮就可以实现连接。

在默认的情况下，系统会自动搜索无线网络，初次使用时会提示用户选择关联的网络，

这时只需要在可用无线网络中进行选择，然后单击“连接”按钮即可。下次使用时，系统会

自动关联已连接过的无线网络。

如果用户想改变关联的顺序，可单击相关任务中的“更改首选网络的顺序”，在首选网络

中调整顺序，如图 1.35 所示。

（1）（2）

图 1.34 无线网络连接对话框

图 1.35 无线网络配置对话框

1.3.3 功能测试

无线网卡安装完成之后，可以测试一下无线网卡连接是否正常。按照以下“三看”方法，

如果无误，那么相信无线网络已经畅通无阻了。

（1）查看连接图标。在应用程序中，用户可控制所有的功能。通常应用程序会自动开启，

·31·

并在屏幕右下角的工作列中显示图标。如果图标被标示为红“×”，则代表无线网没有与 AP

连接。

（2）查看连接信息。双击无线连接图标，则会出现如图 1.36 所示的对话框，说明已经

正确连接无线网络了。

当然，如果操作系统或无线网卡不同，那么链接状态的信息也会有所不同，但基本信息

都是相近的。

图 1.36 无线网络连接状态

（3）查看网络连接。与安装普通网卡一样，在安装成功以后，会在“网络连接”属性窗

口看到相应的连接图标。打开“开始”→“设置”→“网络连接”，可根据网络连接窗口的图

标判断无线网络是否正常通信。

1.4 网络设备连接与测试

1.4.1 任务分析

根据项目的需求分析，参考网络结构图，给出网络设备连接情况表；制作好网线；结合

IP 地址规划，给出设备配置信息表；结合所学常用网络测试（ipconfig、ping 及 Tracert 等）

命令，实现对网络环境的测试。

1.4.2 网络设备的连接

1．双绞线的制作及测试

（1）双绞线的线序标准。

① T568A 标准。 1 2 3 4 5 6 7 8

白/绿绿白/橙蓝白/蓝橙白/棕棕

·32·

② T568B 标准。

1 2 3 4 5 6 7 8

白/橙橙白/绿蓝白/蓝绿白/棕棕

在同一网络中，要求必须采用统一的标准，目前，网线的制作主要采用 EIA/TIA568B 标

准。

（2）网线的制作。

① 网线制作工具及材料。

◆ RJ-45 压线钳 ◆ 旋转剥线刀 ◆ RJ-45 接头 ◆双绞线

② 网线的制作示意图如图 1.37 所示。

◆ 剥皮 ◆拨线 ◆ 排序 ◆ 剪齐 ◆ 插入 ◆ 压制

图 1.37 网线制作示意图

③ 利用测线器测试网线是否正常，如图 1.38 所示。

图 1.38 网线连通性测试

·33·

（3）直通网线与交叉网线的应用。

① CAT 5e UTP 超五类直通网线 20 条：交换机到 PC 与打印机 19 条，到 ADSL 路由器 1

条；

② CAT 6 UTP 六类直通网线 1 条。

2．网络设备连接

（1）互联网接入设备与交换机之间采用 CAT 5e UTP 直通网线连接；

（2）交换机与计算机／打印机之间采用 CAT 5e UTP 直通网线连接；

（3）交换机与文件服务器之间采用 CAT 6 UTP 直通网线连接。

3．网络设备具体连接

按照网络结构图，结合网络设备及网络通信介质的选择，完成网络设备的具体连接，如

表 1.23 所示。

表 1.23 交换机端口连接设备统计

序号交换机端口下联下联设备端口备注

1 GigabitEthernet1/1/1 服务器 10/100/1 000M 1 000Mbps 连接

2 Ethernet1/0/1-9 技术部 PC 以太网接口 9 口为打印机

3 Ethernet1/0/10-23 服务部 PC 以太网接口

4 Ethernet1/0/24 ADSL 路由器内部以太网接口

1.4.3 网络环境测试

根据 IP 规划方案完成以上网络连接与配置后，测试过程中需要考虑到客户端是否获得 IP

地址信息，完成之后要测试网络的连通性，可以利用 ipconfig、ping、tracert 等系统自带工具。

1．网络设备配置

PC 可以采用动态获取 IP 地址、网关和 DNS 地址方式（配置 ADSL 路由器为 DHCP 服

务器），服务器和打印机需要配置静态 IP 地址，但是不需要配置网关和 DNS 地址。ADSL 路

由器内部以太网接口 IP 地址为：192.168.1.1。

2．显示 TCP/IP 网络配置

首先要进行的就是查看网络的 TCP/IP 参数，显示 IP 协议的具体配置信息。可以通过下

面两种方法。

（1）方法一：利用本地连接属性。

① 双击任务栏上的“本地连接图标”，如图 1.39 所示。

② 单击“支持”标签，即可看到 TCP/IP 的相关信息，如图 1.40 所示。

（2）方法二：使用 ipconfig 命令。

① 格式：

ipconfig [/？] [/all]

·34·

图 1.39 本地连接的“常规”选项卡图 1.40 本地连接的“支持”选项卡

② 参数含义：

/all 显示所有的有关 IP 地址的配置信息；

/release 释放网络适配器，清除 IP 地址信息；

/renew 复位网络适配器，重新获取 IP 地址信息。

③ 应用：

在 PC 的 CMD 命令行下，C：\> ipconfig，查看是否获取到 IP、网关和 DNS 地址。利用

ipconfig /release 和 ipconfig /renew 可以重新获取 IP 等相关参数，如图 1.41 所示。

C:\ C:\WINDOWS\system32\cmd.exe

Microsoft Windows [版本 5.2.3970]

<C> 版权所有 1985-2003 Microsoft Corp.

C:\Document and Settings\Administrator>ipconfig

Windows IP Configuration

Ethernet adapter 本地连接 1：

Connection-specific DNS Suffix .:

IP Address.. .. .. .. .. .. .. ..：192.168.1.15

Subnet Mask .. .. .. .. .. .. .. : 255.255.255.0

Default Gateway.. .. .. .. .. .. :192.168.1.1

图 1.41 运行“ipconfig”信息

3．对网络的连通性测试

对于刚组建的网络，在查看完 TCP/IP 参数后，接着要进行网络连通性测试，也就是要测

·35·

试网络通不通，能否与网络中的另一台计算机通信，能否正常访问 Internet。从而可以对哪里

出现问题做出正确的判断，发现问题并及时加以解决。

（1）ping 命令格式：

ping IP 地址或主机名 [-t] [-a] [-n count] [-l size]

（2）参数含义：

-t 连续地向目标主机发送数据；

-a 以 IP 地址格式来显示目标主机的网络地址；

-n count 指定要 ping 多少次，具体次数由 count 来指定；

-l size 指定发送到目标主机的数据包的大小。

（3）通过 ping 检测网络故障的典型次序。

正常情况下，当使用 ping 命令来查找问题所在或检验网络运行情况时，需要使用许多 ping

命令，如果所有都运行正确，就可以相信基本的连通性和配置参数没有问题；如果某些 ping

命令出现运行故障，它也可以指明到何处去查找问题。

ping 127.0.0.1。测试 TCP/IP 的安装或运行是否存在某些基本的问题

ping 本机 IP。测试主机网卡是否存在问题

ping 局域网内其他 IP。测试本机 IP 地址设置或网卡参数配置错误或电缆系统是否存

在问题

ping 网关 IP。测试网关路由器运行是否工作正常

ping 远程 IP。验证能否通过路由器进行通信，对于拨号上网用户则表示能够成功地访

问 Internet（但不排除 ISP 的 DNS 会有问题）。

（4）应用。在 PC 的 CMD 命令行下，C:\> ping 192.168.1.1，测试与网关的连通性。网

络正常，如图 1.42 所示。




C:\Document and Settings\Administrator>ping 192.168.1.1

Pinging 192.168.1.1 with 32 bytes of data:

Reply from 192.168.1.1: bytes=32 time<1ms TTL=128




Ping statistics for 192.168.1.1:

Packets:Sent=4，Received=4，Lost=0 <0% loss>，

Approximate round trip time in milli-seconds:

Minimum=0ms，Maximum=0ms，Average=0ms

图 1.42 运行“ping”路由器的信息

·36·

如 1.42 图所示，对于每个发送报文，默认情况下发送 4 个回应数据包，每个数据包包含

32 字节的数据，如果出现如图 1.43 所示情况，则表示此时发送的数据包不能到达目的地，此

时可能有两种情况，一种是网络不通（关机、禁用网卡、拨掉网线、防火墙拦截或者网关设

置错误），还有一种是网络连通状况不佳。此时还可以使用带参数的 ping 来确定是哪一种情

况。例如：ping 192.168.1.1 -t 不断地向目的主机发送数据。此时如果都是显示“Request timed

out”，则表示网络之间确实不通，如果不是全部显示“Request timed out”则表示此网站还是

通的，只是响应时间长或通信状况不佳。




C:\Document and Settings\Administrator>ping 192.168.1.1

Pinging 192.168.1.1 with 32 bytes of data:

Request timed out

Request timed out

Request timed out

Request timed out

Ping statistics for 192.168.1.1:

Packets:Sent=4，Received=0，Lost=4 <100% loss>

图 1.43 运行“ping”的超时信息

通过观查 ping–t 中的返回值中的 time 的大小来观查网络的响应时间，一般的局域网这

个值为 time<1ms。可以进一步检查到 ISP 的网络响应时间。

1.5 网络故障诊断

1.5.1 网络设备诊断

网络中可能出现的故障多种多样，如操作系统问题、网络通信设备问题、网络协议问题

等。总体来说，产生故障原因主要是设备不能正常工作或网络功能部分或全部丧失。对网络

故障进行分类，有利于快速判断故障性质，找出故障原因并迅速解决问题。

针对项目实施中遇到的各种网络故障现象，给出合理化解决方案，并终能够解决出现

的网络故障。

1.5.2 常见故障的诊断与排除

1．首先检查硬件设备状态是否正常

（1）设备是否正常上电，相应电源指示灯是否正常。

（2）根据上面介绍的设备指示灯状态判断设备是否在正常工作，网线是否松脱等。

·37·

2．其次检查软件设置是否正确

（1）PC终端 IP地址、DNS等是否设置正确，有没有改变，可以在命令行界面下利用 ipconfig

命令查看。

（2）ADSL MODEM 设置有没有改变，有没有对它进行过初始化。

3．ADSL 常见故障分类及其处理

ADSL 故障分为用户端故障和局端（电信公司）故障。局端故障较少，下面主要介绍用

户端故障及故障处理。

（1）ADSL 常见故障分类。从 ADSL 终端用户使用的角度可以将 ADSL 常见故障分为线

路故障、设备故障（主要是 ADSL MODEM 或网卡）、软件故障。

① 线路故障。

电话线故障或线路质量差。ADSL 是以电话线作传输介质，采用频分复用技术将电话

音与数据流分开，它的通信质量就取决于电话线路。电话线质量差或者受电磁干扰，

都可能导致掉线。出现故障时要注意检查接头是否松动。检测电话线质量有个很方便

的方法，那就是拿起电话，仔细听拨号音，听听声音是否纯净没有杂音，如果拨号音

非常纯净，说明电话线质量很好，反之就说明电话线路质量不好。

网线故障。网线接头是否松动、是否断线。ADSL MODEM 以太端口到计算机网卡之

间的网线采用交叉线还是直通线，应根据 ADSL MODEM 的说明书而定，当然也可以

用两种网线实际测试一下。

② 设备故障。

ADSL MODEM 故障。有的 MODEM 因发热、质量差而出现故障，可以试着重启。如

果不行，用自家的 MODEM 与朋友家的 MODEM 对换测试一下便知。

网卡故障。如果系统检测不到网卡或者无法安装网卡驱动程序，可以换个插槽或者更

换网卡。中断号、I/O 地址冲突是网卡工作不正常的一个重要原因。右键单击“本地

连接→属性→常规→配置→高级”，检查是否冲突。如果冲突，可通过跳线或网卡自

带的 setup 程序进行设置。网卡是否与 MODEM 匹配，对于 10/100Mb 自适应网卡，

如果不稳定，可以手动设置为 10Mbps（右键单击“本地连接→属性→常规→配置→

高级→Connection Type”）。

③ 软件故障。拨号软件安装不成功：检查是否有病毒或者软件冲突，卸载不必要的软件，

改用安装其他的拨号软件（EnterNet、WinPoET、ADSL 宽带拨号王可直接建立 ADSL 连接），

不要同时安装多个拨号软件。也有可能是 TCP/IP 协议损坏，可以重新安装协议。

参数配置错误：对于专线方式接入用户的计算机 IP 地址、子网掩码、网关和 DNS，是

否与电信方提供的一致。对于虚拟拨号用户，虚拟拨号连接一般采用自动获得的 IP 地址，有

的 ISP 要求手动设置 DNS。另外，要检查浏览器的设置，一般不要设置代理服务器，如果通

过代理服务器上网，则需要设置代理服务器。

（2）查找定位 ADSL 故障。根据 ADSL 路由器指示灯判断故障点，不同型号产品的指示

灯及其含义有所不同，下面以 H3C Aolynk BR104H ADSL 为例，介绍各指示灯的含义，如表

1.24 所示。

·38·

表 1.24 H3C Aolynk BR104H ADSL 指示灯说明表

指示灯状态含义

Power 亮表示路由器供电正常

灭表示电源关闭或电源故障

WAN

亮表示以太网连接建立

闪表示 WAN 接口正在发送/接收数据

灭表示 WAN 口连接未建立

LAN1/2/3/4

亮表示对应的 LAN 口连接建立

闪表示对应的 LAN 口正在发送/接收数据

灭表示对应的 LAN 口连接未建立

Diag 亮（红色）在设备系统自检或故障时点亮。如果自检成功并且设备正常工作，会自动熄灭

如果某个指示灯不正常，就可以根据指示灯大致定位故障点，不过各指示灯都正常，也

有可能出现上网不正常的现象。

（3）常见网络故障与解决方法：

① ADSL 经常掉线。

故障现象。ADSL 自安装后基本上就没有正常过，不仅上网时经常掉线，而且速度还

非常慢。

故障分析。第一，ADSL MODEM 或分离器故障。ADSL MODEM 或分离器的质量有

问题，将造成频繁的掉线故障。建议借用一套能正常使用的设备，更换后再进行测试。

第二，ADSL 线路故障。住宅距离局方机房较远（通常应当小于 3000m），或线路附近有

严重的干扰源，也会导致经常掉线。另外，在接线盒到 ADSL MODEM 之间建议采用双绞线，

即使采用平行线，也不应当超过 5m。

第三，室内电磁干扰。室内的电磁干扰比较严重（如无绳电话、空调、洗衣机、冰箱），也

可能导致通信故障，建议使 ADSL MODEM 远离上述设备，并不与上述设备共用一条电源线。

第四，网卡缺陷。网卡的质量有缺陷，或者驱动程序与操作系统的版本不匹配，也能导

致频繁掉线。

第五，PPPoE 问题。这是系统中 PPPoE 软件安装不合理或软件兼容性差引起的问题。一

般来说，Windows XP 建议使用系统本身提供的 PPPoE 协议和拨号程序。Windows 2000/2003

则可以安装 MODEM 附送的 PPPoE 拨号程序。建议先安装系统安全补丁。

除此之外，还应当确认 ADSL MODEM 散热良好。

② ADSL 间断性地无法获得 IP 地址。

故障现象。操作系统为 Windows XP，以 ADSL 方式接入 Internet。刚安装的时候一切

正常，然而，现在经常是每隔 1 天或几天，拨号的时候就提示：“无法获得 IP 地址，

检查网线是否插好!”重启几次后又一切正常（有时要过很长时间）。

故障分析。ADSL 有两种接入方式，即专线方式和虚拟拨号方式，而绝大多数用户采

用的都是后者。虚拟拨号方式不仅便于局方按时计费，而且也便于节约有限的 IP 地址

资源，即只有用户拨入时才会获得一个 IP 地址，断开连接时又自动释放。然而，IP

地址池中的 IP 数量毕竟有限，当访问的用户数量较多时，IP 地址将被分配殆尽，后

面的用户再拨入时将无法获取 IP 地址，直至其他用户下线并释放出 IP 地址为止，所

·39·

以，在 Internet 访问高峰时间，无法获取 IP 地址的问题将会更加突出。若确属该原因，

不必重新启动计算机，只需稍过片刻重新拨号，则可获得 IP 地址。

另外，跳线水晶头松动也会导致连接时断时续的情况出现。因此，如果排除了局方原因，

就应当检查以下各项内容：

第一，检查网线是否有问题，尤其是 RJ-45 头，与网卡的接触是否良好；

第二，检查 ADSL 是否设置为“桥接（bridge）”方式；

第三，检查网卡及驱动程序是否有问题；

第四，检查 Windows XP 操作系统是否有问题。

③ ADSL 宽带拨号断流。

故障现象。在使用 ADSL 进行共享拨号的组网环境中，时常会莫名其妙地出现下载中

断现象、网页无法打开现象或者在线多媒体流突然中断的现象等。

故障分析：

第一，检查网卡质量是否过硬；

第二，检查连接线路是否稳定；

第三，检查操作系统是否正常；

第四，检查拨号程序是否互扰；

第五，检查 ADSL 设置是否正确；

第六，检查网络病毒是否存在。

④ ADSL虚拟拨号常见故障代码。关于ADSL虚拟拨号故障代码，可查阅ADSL MODEM

产品手册，这里只列举一些常见的故障代码。

故障现象：Error 602 The port is already open。

问题：拨号网络由于设备安装错误或正在使用，不能进行连接。

原因：PPPoE 没有完全和正确的安装。

方法：卸载 PPPoE 软件，重新安装。

故障现象：Error 608 The device does not exist。

问题：拨号网络连接的设备不存在。

原因：PPPoE 没有完全和正确地安装。

解决：卸载 PPPoE 软件，重新安装。

故障现象：Error 611 The route is not available/612 The route is not allocated。

问题：拨号网络连接路由不正确。

原因：PPPoE 没有完全和正确地安装，ISP 服务器故障。

解决：卸载 PPPoE 软件，重新安装。

故障现象：Error 617 The port or device is already disconnecting。

问题：拨号网络连接的设备已经断开。

原因：PPPoE 没有完全和正确地安装，ISP 服务器故障，连接线，ADSL MODEM 故障。

解决：卸载 PPPoE 软件，重新安装，检查网线和 ADSL MODEM。

故障现象：Error 645

问题：网卡没有正确响应。

原因：网卡故障，或者网卡驱动程序故障。

解决：检查网卡，重新安装网卡驱动程序。

·40·

故障现象：Error 650。

问题：远程计算机没有响应，断开连接。

原因：ADSL ISP 服务器故障，网卡故障，非正常关机造成网络协议出错。

解决：检查 ADSL 信号灯是否能正确同步，致电 ISP 询问；检查网卡，删除所有网络组

件重新安装网络。


遇到 678 的常见解决思路和步骤：

首先确认 ADSL MODEM 拨号正常，因为网卡自动获取的 IP 地址没有清除，所以再次拨

号的时候网卡无法获取新的 IP 地址会提示 678，操作方法是：关闭 ADSL MODEM，进入控

制面板的“网络连接”，右击本地连接，选择“禁用”，5 秒钟后右击“本地连接”，选择“启

用”，然后打开 ADSL MODEM 拨号即可。

如果第一步无效，则在关闭 ADSL MODEM 的情况下，仍然禁用本地连接（网卡），重

启计算机，然后启用本地连接（网卡），再打开 ADSL MODEM 即可解决；

如果网卡灯正常，上述两步无法解决用户应卸载网卡驱动，重装网卡驱动。


问题：网卡被禁用或网卡驱动没有正确安装。

解决：检查网卡驱动是否正确安装。若网卡驱动正常，进入设备管理器，把被禁用的以

太网卡状态设置为启用，再重新连接即可。


问题：ADSL MODEM 连接设备没有找到。

原因：ADSL MODEM 电源没有打开，网卡和 ADSL MODEM 的连接线出现问题，软件

安装以后相应的协议没有正确绑定，在创建拨号连接时，建立了错误的空连接。

解决：检查电源，连接线；检查网络属性，RasPPPoE 相关的协议是否正确地安装并正确

绑定相关协议，检查网卡是否出现“？”号或“!”号，把它设置为 Enable；检查拨号连接的

属性，是否连接的设备使用了一个“ISDN channel - Adapter Name （xx）” 的设备，该设备为一

个空设备，如果使用了取消它，并选择正确的 PPPoE 设备代替它，或者重新创建拨号连接。


问题：机器突然蓝屏，开机后发现无法连网。

原因：系统突然蓝屏，与电信的服务器那边还没有断开，以为此账号仍然在线，所以提

示错误 691。

解决：关闭计算机等待几分钟再试试，如果一直出现这种情况，拨打客服电话 10000

电信（10060 联通/10086 移动）咨询。建议每次关机前断开宽带连接，可减少此故障的发

生。

4．宽带路由器故障诊断与排除

（1）故障现象一。

① 故障现象。线路不通，无法建立连接。

② 故障分析。用网线将路由器的 WAN 口与 ADSL MODEM 相连，电话线连 ADSL

MODEM 的“Line”口。ADSL MODEM 与宽带路由器之间的连接应当使用直通线。

检查路由器 LAN 中的 Link 灯信号是否显示，路由器至局域网是否正常联机。路由器的

·41·

LAN 端口既可以直接连接至计算机，也可以连接至交换机。

（2）故障现象二。

① 故障现象。能使用 QQ，但是不能打开网页。

② 故障分析。这种情况是 DNS 解析的问题，建议在路由器和计算机网卡上手动设置

DNS 服务器地址（ISP 局端提供的地址）。另外，在“DHCP 服务”设置项，也可以手动设置

DNS 服务器地址，该地址需要从 ISP 供应商那里获取。

（3）故障现象三。

① 故障现象。线路中断，容易掉线，重启路由器后又可以连接上。

② 故障分析。对于使用 ADSL 接入的公司用户来说，出现这种情况可能是因为正在使用的

路由器与 ISP的局端设备不兼容。解决这类问题就只能换成其他型号的路由器或ADSL MODEM。

有可能是公司网络遭到病毒（如蠕虫病毒、木马病毒等）的入侵，解决的方法就是运用

相对应的杀毒软件杀毒。

还有可能是由于公司路由器的负载过高，表现为路由器 CPU 温度太高、CPU 利用率太

高，以及内存剩余太少等，由于路由器在公司中的使用可以说是长时间不间断的，出现这样

的问题是极其平常的，对此类故障的解决方法是为公司路由器提供一个更好的散热环境，有

必要的话更换一台性能更好的路由器。

1.6 任务评价

1.6.1 任务总结

小组对搭建的 SOHO 网络进行展示，小组代表介绍方案特点与故障排除过程，师生展开

讨论共同进行评价。对存在的问题进行整改和优化。

实训过程评价要求对小组每名成员分别进行评价，分为小组成员自我评价、小组成员互

相评价以及教师评价三部分。

1.6.2 任务评价过程

通过观察小组开展协作活动的情况，包括实训小组的组织管理，全部工作过程及各个环

节之间的衔接，了解小组各成员的体会，对小组中的个体进行评价。实训小组通过认真准备、

讨论发言，激发学生讨论的热情，利用群体的智慧，弥补单独学习的不足。

1．工作过程评价考核

工作过程考核主要考核以下几个方面：

（1）各小组按制定的计划完成工作情况。

（2）每个成员按各自分工在各工作任务中完成任务情况。

（3）每个小组或每个成员在各工作任务中资料整理与管理情况。

（4）在工作过程中团队成员之间沟通、交流及分工协作情况。

2．工作成果评价考核

工作成果评价主要考核以下几个方面：

·42·

（1）完成工作任务的总体情况，完成任务列表。

（2）未完成的任务及原因。

（3）各成员在整个工作过程中的贡献或失误。

（4）技能学习和进步程度。

（5）自我工作管理能力。

（6）团队协作情况。

评价从以下几个表格方式体现：学生自评表，如表 1.25 所示；小组互评表，如表 1.26 所

示；教师评价表，如表 1.27 所示。

表 1.25 学生自评表

学生姓名学号评价总分

班级所在小组

实训项目考核标准评价分数

标准实际得分

网络规划方案设计

考核网络 IP 规划是否合理，网络设备选型是否准确，格式

是否规范，能独立完成网络拓扑图的绘制，是否能够说明方

案设计，能按时完成

25

广域网接入能否依据所选网络设备进行正确的配置，考查对 ADSL 路

由器设置与调试，根据实现的程度计算得分 25

无线网络组建能否依据所选无线网络设备进行正确的配置，考查对无线

AP、无线网卡进行正确配置，根据实现的程度计算得分 10

网络设备连接、网络测试与故障诊断能否制作连接设备所需的线缆，是否会连接网络中的各种

设备，操作是否规范，是否对网络性能进行测试和故障诊断 15

团队协作能力

考查在小组团队完成工作任务中的表现，是否积极参与小

组的学习，能否与团队其他成员合作交流、互帮互助，是否

能与小组其他成员协作共同完成团队工作任务

25

自我综合评价

与展望

年月日

表 1.26 小组互评表

学生姓名评价人评价总分

班级所在小组

小组评价内容考核标准

评价分数

标准实际得分

实训资料归档、实训报告

考查能否积极参与工作任务的计划阶段，主动参与学习与

讨论，积极参与工作任务的实施，在小组的工作任务中独立

完成实训报告

10

·43·

续表

团队合作

考查在小组团队完成工作任务中的表现，是否积极参与小

组的学习、讨论、交流和沟通，是否能与小组其他成员协作

共同完成团队工作任务

15

网络规划方案的设计考核是否会制定 IP 地址规划，是否会选择网络设备，会

独立完成网络拓扑图的绘制 20

ADSL 路由器设备的配置与调试是否能够独立完成 ADSL 路由器的配置调试 20

无线网络组建能否依据所选无线网络设备进行正确的配置，考查对无线

AP、无线网卡进行正确配置，根据实现的程度计算得分 10

网络设备连接、网络测试与故障诊断

能否制作连接设备所需的线缆，是否会连接网络中的各种

设备，操作是否规范，是否对网络性能进行测试和故障诊断。

根据实现的程度计算得分

15

小组成员互评满意度评价各个成员在整体项目的参与、协作、提出有针对性的

建议等方面，是否达到完成项目的任务目标 10

综合评价与展望

年月日

表 1.27 教师评价表

小组及成员姓名考核教师

考核内容考核标准评价分数

标准实际得分

技

术

实

现


考核网络 IP 规划是否合理，网络设备选型是否准确，

格式是否规范，网络拓扑图的绘制是否准确，方案设计

说明是否透彻，语言是否通畅，是否按时完成

15

广域网接入能否依据所选网络设备进行正确的配置，考查对

ADSL 路由器设置与调试，根据实现的程度计算得分 20

技

术

实

现

无线网络组建

能否依据所选无线网络设备进行正确的配置，考查对

无线 AP、无线网卡进行正确配置，根据实现的程度计

算得分

20

网络设备连接、网络测试

与故障诊断

能否制作连接设备所需的线缆，是否会连接网络中的

各种设备，操作是否规范，是否对网络性能进行测试和

故障诊断

10

·44·

续表

规

范

操

作

技术应用完成各项工作任务所采用方法与手段的合理性 5

资料管理资料收集、整理、保管是否有序，资料是否进行了装

订，是否有目录。按学生对资料管理的程度计算得分 5

工具物品摆放

物品摆放是否整齐有序；是否有乱堆乱放、杂乱无序

的现象；使用工具后是否按要求放回原处；离开实训室

时是否对工位进行清洁、整理。按学生工具物品摆放的

规范程度计算得分

5

工具的使用是否能进行工具的正确选择；能否正确使用选定的工

具，根据学生对工具选择与使用的熟练程度计算得分 5

团队协作

依据小组团队学习的积极性和主动性，参与合作交

流、沟通的程度，互帮互助的气氛，团队小组成员是否

协作共同完成团队工作任务

15

1.7 实训操作（1）某学生寝室共 4 人，均有笔记本（内置无线网卡）。考虑到移动的灵活性，同时节

约了布线的资金投入及房间布局的完整性，可采用简单、方便的无线组网方式，组网的目的

是使学生充分利用校园网或互联网资源学习。设计这个学生寝室组网方案的要求如下：

互联网的接入方式要合理、适用。

网络设备的选购要求高性价比。

4 台笔记本均能自动获取 IP 地址。

请给出这个学生寝室组网的预算，并完成此无线网络的组建工作任务。

（2）索菲娅同学一家三口，刚乔迁至位于伊通河湖畔宜水家苑 A 座三室二厅。根据用户

的需求和户型结构，决定在书房、客厅和次卧室（索菲娅的卧室）一共安装 4 个接口，客厅

在放沙发的位置和放电视的位置分别安装一个接口、书房和卧室分别安装一个网络接口。根

据居住者的实际情况和需求，书房、客厅和卧室里要共享上网的计算一共有 3 台，包括 1 台

台式机和 2 台笔记本。请以索菲娅同学家的三室二厅的家居住宅为例，打造一个安全、灵活

的家庭网络环境。设计这个学生家庭组网方案的要求如下：


网络设备的选购要求高性价比，给出组网设备预算。

3 台计算机均能自动获取 IP 地址。

请完成此三居室的家庭网络组建工作任务。

（3）某咨询策划公司驻长春办事处有 30 名员工，该办事处位于“南湖一号”A 座 10 层

200m2相邻的三个写字间。三个写字间分配如下：办事处主任，销售部和客服部。为了满足

日常工作需要，设计这个 SOHO 小型分支机构的网络方案要求如下：


资源共享，网络内的各个桌面用户可共享数据库、共享打印机，FTP 服务，实现办公

自动化系统中的各项功能。

通信服务，终用户通过广域网连接可以收发电子邮件、实现 Web 应用、接入互联

·45·

网、进行安全的广域网访问。

多媒体应用，该方案支持多媒体组播，具有卓越的服务质量保证。

综合考虑系统的可靠性、实用性、开放性、扩展性、先进性和经济性。

各实训小组完成以下具体工作任务：

（1）进行需求分析，并制定出网络规划方案。

（2）按层次、按部门打印详细网络设备连接清单。

（3）实现广域网的接入方案设计及配置，进行网络环境的测试。

·46·

学习情境 2 小型企业网络组建与互联随着网络建设的普及，小型企业的网络化建设也得到了飞速发展。为了提高企业的效率，

节省时间和金钱。大部分的小型企业的办公室都实现了网络化。如何选择一个合适的组网方

案并且选择适合的网络产品成了小型企业非常关心的问题。


腾飞公司现已发展为近 200 名员工规模，位于某办公楼的 2、3 楼内，原有网络接入设备

以 HUB 为主，网络的中心为一个 48 口二层非网管交换机，网络传输介质以 5 类双绞线为主，

接入速度为 10Mbps 半双工，全部节点同属于一个网段，用户反映网速很慢。公司决定将现

有网络完全替换，重新建立可管理的能够提供更高传输速率的快速以太网。

公司中网络用户共有 188 个，公司各部门分布情况是：

办公楼的 2 楼主要有总经理室、人力资源部、技术服务部 1、大会议室、设备间、销售

业务部、网络中心、产品中心、产品事业部 1、销售业务部、财务部 1、部门经理室 1、部门

经理室 2 及库房。现有用户数 87 个。

办公楼的 3 楼主要有副总经理室、广告宣传部、技术服务部 2、财务部 2、质管部、产品

展室、产品事业部 2、小会议室、客户服务部、配线间及监控室。现有用户数 101 个。

从公司的网络应用领域来看，基于网络系统的可靠性、稳定性及实用性原则，在网络设

计时，应从网络节点、通信线路、网络拓扑、系统安全、病毒控制等多方面加以考虑。本文

主要针对 200 人以内的小型企业网络，设计一套完整的网络解决方案，并完成该方案的实施

及测试，确保用户的正常使用。

【学习目标】


① 明确网络设计目标。

② 知道各种网络拓扑结构的优缺点。

③ 清楚网络层次划分的原则和方法。

④ 清楚组网方案的书写规范和要求。

⑤ 知道交换机的工作原理。

⑥ 知道路由器的工作原理。

⑦ 知道无线网络的传输技术。


① 能进行网络需求的调查与分析。

② 能根据需求制定 IP 规划（非标准 IP 地址掩码）及绘制网络拓扑结构图。

③ 会正确制作网络线缆并能安装相关的网络设备。

④ 会对选用的二层交换机、三层交换机、路由器进行配置。

·47·

⑤ 会配置并组建无线网络。

⑥ 能运用网络软件进行网络运行状况监测和分析。

⑦ 会运用网络命令对组建的网络进行调试。

⑧ 能判断和排除网络中存在的故障。


① 培养良好的合作观念、业务洽谈和沟通能力。

② 培养良好的规范操作意识和安全操作能力。

③ 培养学生严谨细致的工作态度和追求完美的工作精神。

④ 培养学生自我展示能力和查阅资料能力。

2.1 网络规划方案网络规划的目的是为了对网络建设具有先期的指导性，使用户对所建设的网络有一个全

面的了解，对以后的网络实施和验收提供依据。网络规划的思想方法可以从核心层开始着手，

分析用户的核心需求，首先满足核心要求，如中心机房的设计，然后逐步发散到汇聚和接入

的考虑。也可以从接入层开始入手，首先分析用户的数量和分布，选择接入设备和应用，再

考虑上层网络的设计和设备的选择。当然有经验的网络设计人员还可以根据个人的经验和习

惯进行设计，不同规模，不同需求导致思想方法不同。网络规划流程如图 2.1 所示：

图 2.1 网络规划流程图


作为项目的负责人，通过给出的腾飞公司网络建设的具体要求，对本项目进行需求分析，

并在此基础上进行组网方案设计，绘制出网络拓扑图、进行网络设备的选型，形成需求分析

及方案设计文档。

·48·

2.1.2 需求分析

需求分析是网络设计的基础。项目负责人首先与用户代表交流，了解用户的公司结构、

明确网络设计的主要目的、明确用户的网络应用、了解用户的实际需求，从而形成需求分

析及方案设计文档。

1．用户的基本需求

（1）同一部门可以进行互访，财务部 1 与财务部 2 可以进行互访，为了保证内部数据资

源的安全性；技术服务部 1 与技术服务部 2 可以进行互访，并要求网络高可用性；产品事业

部 1 与产品事业部 2 可以进行互访。

（2）总经理室可以与其他所有部门进行通信。

（3）用户能够自动获取 IP、网关及 DNS 地址。

（4）文件服务器提供高速的文件传输功能。

（5）内网 WWW 服务器提供高速的 Web 访问功能。

2．网络规划建设时应遵循的原则

通过与用户沟通，将用户模糊的想法清晰化，然后进行需求分析整理。对用户提出的合

理需求，予以满足；超过现有技术和设备能力的需求，引导用户，使用替代策略。根据用户

的网络应用需求分析，腾飞公司在网络规划建设时应遵循如下几个原则：

（1）满足目前并能适应未来 5 年时间内的发展需求。

（2）有清晰、合理的层次结构，便于维护。

（3）采用先进、成熟的技术，降低系统风险。

（4）网络信息流量合理，不产生瓶颈。

（5）满足当前主流网络设计的原则，能够和其他网络互联。

（6）有较好的扩展性，便于将来升级。

3．腾飞公司网络建设应具体达到的要求和目标

（1）实现专线 10Mbps 光纤接入，完成对 Internet 网络资源的应用。

（2）实现公司内部 100Mbps 到桌面的网络数据传输。

（3）ISP 提供 2 个公网 IP 地址。

（4）各部门都有到本楼层设备间或配线间的物理链路。

（5）为了实现同一部门间的互访，使用 VLAN 技术。

（6）为了实现各节点能够自动获取 IP、网关及 DNS 地址，使用 DHCP 技术。

（7）考虑到方便移动 PC 工作的需要，在技术部、大会议室、小会议室及产品展室采用

无线局域网覆盖区域。

（8）采用 TCP/IP 协议对网络进行规划。

（9）对广播流量进行分割，不同部门之间访问可以进行控制。

公司 2 楼办公室用户数分布如表 2.1 所示。

·49·

表 2.1 2 楼办公室用户数分布情况

序号部门房间号用户数交换机无线

1 财务部 1 201 2 无无

2 库房 202 4 无无

3 总经理室 203 2 无无

4 人力资源部 204 5 1 无

5 技术服务部 1 205 20 1 有

6 大会议室 206 15 无有

7 设备间 207 3 2 无

8 网络中心 209 3 无无

9 产品事业部 1 211 13 1 无

10 部门经理室 1 213 2 无无

11 部门经理室 2 215 2 无无

12 销售业务部 208 16 1 无

合计 87

3 楼办公室用户数分布情况如表 2.2 所示。

表 2.2 3 楼办公室用户数分布情况

序号部门房间号用户数交换机无线

1 财务部 2 301 4 无无

2 广告宣传部 302 12 1 无

3 副总经理室 303 2 无无

4 质管部 304 6 1 无

5 技术服务部 2 305 20 1 有

6 产品展室 306 10 无有

7 配线间 307 3 无无

8 监控室 309 3 无无

9 产品事业部 2 311 15 1 无

10 小会议室 313 10 无有

11 客户服务部 308 16 1 无

合计 101

2 楼用户数为 87 个，3 楼用户数为 101 个，用户数共计 188 个。

2.1.3 IP 规划设计

IP 地址的合理规划是网络设计中的重要环节，IP 地址规划的好坏，影响到网络路由协议

算法的效率，网络的性能、网络的扩展、网络的管理，也必将直接影响到网络应用的进一步

发展。

·50·

1．IP 地址规划的基本原则

（1）唯一性。一个 IP 网络中不能有两个主机采用相同的 IP 地址。即使使用了支持地址

重叠的 MPLS/VPN 技术，也尽量不要规划为相同的地址。

（2）连续性。连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路

由算法的效率。

（3）扩展性。地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合

所需的连续性。

（4）实意性。为了便于今后的网络维护，好的 IP 地址规划使每个地址具有实际含义，

达到“望址生义”，看到一个地址就可以大致判断出该地址所属的设备。这是 IP 地址规划中

具技巧性和艺术性的部分。完美的方式是得出一个 IP 地址公式，以及一些参数及系数，

通过计算得出每一个需要用到的 IP 地址。

2．网络规划中 IP 地址的分类及规划技巧

（1）Loopback 地址。为了方便管理，系统管理员通常会为每一台路由器创建一个

Loopback 接口，并在该接口上单独指定一个 IP 地址作为管理地址。管理员会使用该地址对

路由器远程登录（telnet），该地址实际上起到了类似设备名称一类的功能。由于此类接口没

有与对端互联互通的需求，所以为了节约地址资源，Loopback 接口的地址通常指定为 32 位

掩码，后一位是奇数的表示路由器，是偶数的表示交换机，越是核心的设备，Loopback 地

址越小。

（2）互联地址。指两台或多台网络设备相互连接的接口所需要的地址。考虑 IP 地址匮乏，

互联地址通常使用 30 位掩码，相对核心的设备，使用较小的地址，互联地址通常要聚合后发

布，在规划时要充分考虑使用连续的可聚合地址。

（3）业务地址。业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关

的地址。通常网关地址统一使用相同的末位数字，如：.254 都是表示网关。

3．DHCP 相关的设计考虑

（1）DHCP 地址池的地址分配方式。根据客户端的实际需要，可以将地址池配置为采用

静态绑定或动态分配方式进行地址分配，但对一个 DHCP 地址池不能同时配置这两种方式。

① 采用静态绑定方式进行地址分配。某些节点（如 WWW 服务器、FTP 服务器、网关

等）需要固定的 IP 地址，可以通过将节点的 MAC 地址与 IP 地址绑定的方式实现。当具有此

MAC 地址的客户端申请 IP 地址时，DHCP 服务器将根据客户端的 MAC 地址查找到对应的

IP 地址，并分配给客户端。目前一个 DHCP 地址池中只能配置一个静态绑定。

② 采用动态分配方式进行地址分配。对于采用动态地址分配方式的地址池，需要配置该

地址池可分配的地址范围，地址范围的大小通过掩码来设定。一个地址池中只能配置一个地

址段。

DHCP 服务器在分配地址时，需要排除已经被占用的固定 IP 地址（如网关、FTP 服务器

等）。否则，同一地址分配给两个客户端会造成 IP 地址冲突。

（2）DHCP 服务器的类型。常见的 DHCP 组网方式可分为两类：一种是 DHCP 服务器和

客户端在同一个子网内，直接进行 DHCP 报文的交互；第二种是 DHCP 服务器和客户端处于

·51·

不同的子网中，必须通过 DHCP 中继代理实现 IP 地址的分配。

（3）DHCP 规划技巧。

① 固定地址段和动态分配地址段要保持连续，便于管理和维护；

② 动态分配 IP 地址的租约要根据网络中用户的移动特性来确定，租约时间太短会导致

租约频繁续约，增大网络压力。租约时间太长会导致长时间无法释放已经空闲的 IP 地址，浪

费了 IP 地址资源。对于一般的开放办公环境，通常设置 IP 地址租约为 2～4 小时；

③ 如需跨网段获得 IP 地址时，启动 DHCP 中继代理功能；

④ 一般在同一网络上不放置两台 DHCP 服务器，如果确有需要提供高可靠的 DHCP 服

务器，需要配置具备心跳功能的主备机方式的两台 DHCP 服务器，两台服务器之间及时交换

信息保持同步。

4．IP 地址规划

组建一个局域网，需要根据网络的节点进行网络的子网规划，一般主要有无子网编址和

带子网编址两种。

（1）无子网编址/标准子网掩码。无子网编址是指使用标准的子网掩码，不对网段进行细

分。例如 B 类网段 172.16.0.0，采用 255.255.0.0 作为标准子网掩码，或 C 类网段 192.168.1.0，

采用 255.255.255.0 作为标准子网掩码。外部将所有节点看做单一网络，不需要知道内部结构，

所有到 192.168.1.X 的路由被认为同一方向，这种方案的好处是减少路由表的项目，缺点是无

法区分网络内不同的子网网段，这使网络内所有主机都能收到在该网络内的广播，会降低网

络的性能，另外也不利于管理。此方案可适用于小规模网络。

（2）带子网编址/非标准子网掩码。带子网编址是指将标准的网络掩码进一步扩展，即打

破标准子网掩码固定的网络位格式，A 类地址将有不止 8 位网络位，可以增加到 9、10 甚至

30 位，B 类地址将有不止 16 位网络位，可以增加到 17、18 甚至 30 位，而 C 类地址也将有

不止 24 位网络位，也可以增加到 25、26 甚至 30 位。这种方案对外仍是一个网络，而对内部

而言则分为不同的子网。划分子网后，各子网的广播将被隔离，各子网之间不能直接访问，

需要通过路由器或三层交换机转发实现数据通信，从而提高网络的性能和安全性。

根据 2 楼和 3 楼的用户数（87 和 101），每个楼层总用户数不超过 254 个，故本公司的 IP

规划主要以 C 类私有 IP 地址 192.168.X.0 对内部节点进行 IP 地址分配。其中大会议室、产品

展室和小会议室以无线 WLAN 接入为主。为了保证性能，并从实际容纳的节点数出发，对 IP

进行子网划分，对 192.168.6.0 网段划分为 192.168.6.0/27（255.255.255.224）、192.168.6.32/27

（255.255.255.224）和 192.168.6.64/27（255.255.255.224）。

2 楼 VLAN 与 IP 地址规划如表 2.3 所示。

表 2.3 2 楼 VLAN 与 IP 地址规划表

序号部门房间号用户数 VLAN 号 IP 网段

1 财务部 1 201 2 VLAN101 192.168.1.0/24

2 库房 202 4 VLAN102 192.168.2.0/24

3 总经理室 203 2 VLAN103 192.168.3.0/24

4 人力资源部 204 5 VLAN104 192.168.4.0/24

5 技术服务部 1 205 20 VLAN105 192.168.5.0/24

·52·

续表


6 大会议室 206 15 VLAN106 192.168.6.0/27

7 设备间 207 3 VLAN107 192.168.7.0/24

8 网络中心 209 3 VLAN108 192.168.8.0/24

9 产品事业部 1 211 13 VLAN109 192.168.9.0/24

10 部门经理室 1 213 2 VLAN110 192.168.10.0/24

11 部门经理室 2 215 2 VLAN111 192.168.11.0/24

12 销售业务部 208 16 VLAN112 192.168.12.0/24

合计 87

3 楼 VLAN 与 IP 地址规划如表 2.4 所示。

表 2.4 3 楼 VLAN 与 IP 规划表


1 财务部 2 301 4 VLAN101 192.168.1.0/24

2 广告宣传部 302 12 VLAN113 192.168.13.0/24

3 副总经理室 303 2 VLAN114 192.168.14.0/24

4 质管部 304 6 VLAN115 192.168.15.0/24

5 技术服务部 2 305 20 VLAN105 192.168.5.0/24

6 产品展室 306 10 VLAN116 192.168.6.32/27

7 配线间 307 3 VLAN117 192.168.16.0/24

8 监控室 309 3 VLAN118 192.168.17.0/24

9 产品事业部 2 311 15 VLAN109 192.168.9.0/24

10 小会议室 313 10 VLAN119 192.168.6.64/27

11 客户服务部 308 16 VLAN120 192.168.18.0/24

合计 101

2.1.4 拓扑图绘制

1．局域网的层次设计

在网络中，层次设计用于将设备分组到多个以分层方式构建的网络。分层设计提高了效

率，优化了功能，加快了速度。

局域网设计按功能层次划分，一般分为三层结构：核心层、汇聚层、接入层。

（1）核心层。作为网络的核心部分，不仅要求实现高速的数据转发，而且要求性能高，

容量大，具备高可靠性和高稳定性。通常核心层设备都有设备的备份设计及线路的备份设计。

（2）汇聚层。汇聚层要支持丰富的功能和特性。汇聚层要隔离接入层的各种变化对核心

层的冲击。路由汇聚、路由策略、ACL 等功能通常在汇聚层实现。

（3）接入层。接入层要提供大量的接入端口以及各种接入端口类型。提供强大的各类业

务类型接入。

·53·

不同层次的定位，也为相应的设备选型提供了依据。对于大型的局域网络通常分为三层

结构，但对于小型网络通常只存在两层结构，核心层和汇聚层合二为一。

2．网络拓扑结构设计

常见的网络拓扑结构有三种：网状或部分网状拓扑结构、环型拓扑结构、星型拓扑结构。

（1）网状或部分网状拓扑结构。网状或部分网状拓扑结构的网络冗余性较好，但整个网

络主次不分明，不便于维护。仅适用于高可靠性要求的小型网络或大型网络的核心部分。

（2）环型拓扑结构。环型拓扑网络冗余性较好，一般适用于各节点相距较远且线路资源

紧张的情况。不适用组建大型网络，适用于高可靠性要求的小型网络或大型网络的核心部分。

（3）星型拓扑结构。星型拓扑结构的网络结构清晰，便于维护。但网络冗余性不够，不

适合于高可靠性的网络。

综合各种网络拓扑结构的优缺点，在设计网络拓扑结构时可以灵活选择。针对网状拓扑

结构和环型拓扑结构的高冗余性，在大型网络中，可以把这种拓扑结构作为核心网络的拓扑

结构。针对星型拓扑结构网络的层次分明，易管理性，采用星型拓扑结构作为汇聚层或接入

层拓扑结构。

对于星型结构冗余性较差的问题，通常采用双星型拓扑结构的方式来弥补。双星型结构

的每一个分支点采用双链路上行结构，实现了链路的冗余备份和核心设备的设备备份。在大

型的局域网络拓扑中，通常核心层内部或核心层与汇聚层之间采用网状或部分网状拓扑结构，

在汇聚层与接入层之间采用星型或双星型拓扑结构。对于小型企业网络如果对网络的可靠性

要求不是很高时，从经济的角度考虑可以简化。

下面是利用 Visio 绘图工具绘制的 2 楼和 3 楼平面图，如图 2.2 和图 2.3 所示。


根据各厂商技术实力、产品技术水平、市场占有率和性能价格比等情况，根据近三年的

交换机和路由器年度关注度报告，Cisco 和 H3C 两家产品常位于排行榜前列。下面仅以 Cisco

和 H3C 两家同类型号产品进行比较。

1．互联网接入设备选型

考虑到内部用户数为 200 个点以内，可以选择相应品牌及型号的路由器或防火墙。这里

选取 H3C MSR30-20 路由器和 Cisco 3825-AC-IP 路由器。

（1）H3C MSR30-20。MSR 集数据安全、语音通信、视频交互、业务定制等功能于一体，

能够在企业网络应用不断丰富的形势下将多元业务方便地部署于同一节点，不仅能够大程度

地避免网络中多设备繁杂异构问题，而且极大降低了企业网络建设的初期投资与长期运维成本。

H3C MSR 30 系列多业务开放路由器包含 MSR 30-20、MSR 30-40 和 MSR 30-60 三款设

备，该系列产品内置的硬件加密功能可以为中小型分支机构提供与总部安全的数据连接，MSR

30 也可以作为中小企业核心设备，承担公司广域路由、局域交换、IP 语音、视频交互等综合

应用。通过在单一平台集成多种网络功能，不仅能够减少业务扩展给企业带来的无尽投资，

更能实现总部对众多分支的统一管理和控制，免去了大量的运维成本，让企业在信息化进程

中更具竞争力，H3C MSR-30-20 路由器如图 2.4 所示。

·54·

图 2.2 2 楼平面图

·55·

图 2.3 3 楼平面图

（2）Cisco 3825-AC-IP。Cisco 3800 系列的集成化服务路由构建于强大的 Cisco 3700 系列

路由器的基础之上，它内嵌并集成了安全和语音处理以及先进服务，以迅速部署新应用，包

括应用层功能、智能网络服务和融合通信。Cisco 3800 系列支持每插槽多个快速以太网接口、

时分多路复用（TDM）互联，以及对于支持 802.3af 以太网电源（PoE）的全面集成配电等的

·56·

带宽要求。它同时仍支持现有模块化接口系列。这确保了持续投资保护，可在部署新服务和

应用时支持网络扩展或技术变动。通过将多个独立设备的功能集成至单一小巧设备之中，

Cisco 3800 系列大幅降低了管理远程网络的成本和复杂度。

该系列的新型号有 Cisco 3825 和 Cisco 3845，Cisco 3825 型号路由器如图 2.5 所示。有三

种可选配置，用于交流电源、带集成 IP 电话电源支持的交流电源，以及直流电源。

图 2.4 H3C MSR30-20 路由器图 2.5 Cisco 3825-AC-IP 路由器

两类产品规格对比如表 2.5 所示。

表 2.5 H3C MSR 30-20 与 Cisco 3825-AC-IP 比较

产品规格 H3C MSR 30-20 Cisco 3825-AC-IP

路由器类型企业级路由器企业级路由器

端口结构模块化模块化

传输速率 10/100/1 000Mbps 10/100/1 000Mbps

处理器 RISC 新一代处理器 533MHz RISC QED RM5271 225MHz

大 Flash 内存 1GB 256MB

大 DRAM 内存 1GB 1GB

包转发率 200Kpps 148Kpps

固定局域网接口 2 个 1000Mbps 电口 2 个 10/100/1000Mbps

控制端口 Console/AUX Console

支持网络协议 IP 服务、非 IP 服务、IP 应用、IP 路由、MPLS、IPv6、广域网协

议、局域网协议 LL、FR、ISDN、X.25、ATM

支持的网管协议网络管理、本地管理、用户接入管理 Cisco ClickStart、SNMP

是否支持 VPN 是是

是否支持 QoS 是是

是否内置防火墙是是

参考价 13 400 41 400

2．局域网核心交换设备选型

根据腾飞公司的现状及未来 5 年的发展，满足主干高速要求，内部网段之间互通，选择

全 1000Mbps 的路由器核心三层交换机。

（1）H3C S5500-28C-PWR-EI。H3C S5500-EI 系列交换机是 H3C 公司开发的增强型 IPv6

强三层 10000Mbps 以太网交换机产品，如图 2.6 所示。具备业界盒式交换机先进的硬件处

理能力和丰富的业务特性。支持多 4 个 10000Mbps 扩展接口；支持 IPv4/IPv6 硬件双栈

及线速转发，使客户能够从容应对即将带来的 IPv6 时代；除此以外，其出色的安全性，可靠

性和多业务支持能力使其成为大型企业网络和园区网的汇聚，中小企业网核心、以及城域网

·57·

边缘设备的第一选择。

（2）Cisco WS-C4506。Cisco Catalyst 4500 系列能够为无阻碍的第 2/3/4 层交换提供集成

式弹性，因而能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正

在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。

作为新一代 Cisco Catalyst 4000 系列平台，Cisco Catalyst 4500 系列包括三种新型 Cisco

Catalyst 机箱：Cisco Catalyst 4507R（七个插槽）、Cisco Catalyst 4506（六个插槽）和 Cisco

Catalyst 4503（三个插槽），如图 2.7 所示。Cisco Catalyst 4500 系列中提供的集成式弹性增强

包括 1+1 超级引擎冗余（只对 Cisco Catalyst 4507R）、集成式 IP 电话电源、基于软件的容错

以及 1+1 电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间，从而提高生产率、利

润率和客户成功率。

图 2.6 H3C S5500-28C-PWR-EI 图 2.7 Cisco WS-C4506

两类产品规格对比如表 2.6 所示。

表 2.6 H3C S5500-28C-PWR-EI 与 Cisco WS-C4506 同类型号产品比较

产品规格 H3C S5500-28C-PWR-EI Cisco WS-C4506

交换机类型企业级交换机企业级交换机


传输速率 10/100/1 000Mbps 10/100/1 000Mbps

交换容量 192Gbps 100Gbps

包转发率 95.2Mpps 75Kpps

业务端口 24 个 10/100/1000Base-T 以太网端口

4 个复用的 1000Base-X 1000Mbps SFP 端口

24 个 10/100/1000Base-T 以太网端口

4 个 SFP 上行链路端口

控制端口 Console Console/AUX

网络标准 IEEE 802.3、802.3u、802.3z、802.3ae、802.3ab IEEE 802.3、IEEE 802.3u、IEEE 802.3z、IEEE 802.3ab

以太网供电 PoE 支持支持

MAC 地址表 32K 32 K

VLAN 支持支持

DHCP

DHCP Client

DHCP Snooping

DHCP Relay

DHCP Server

DHCP Snooping option82/DHCP Relay option82

DHCP Client

DHCP Snooping

DHCP Relay

DHCP Server

·58·

续表

产品规格 H3C S5500-28C-PWR-EI Cisco WS-C4506

IP 路由

支持静态路由

支持 RIPv1/v2、RIPng

支持 OSPFv1/v2、OSPFv3

支持 BGP4、BGP4+ for IPv6

支持等价路由、策略路由

支持 VRRP/VRRPv3

支持边界网关协议（BGP）

支持用于 IP 多播的多协议 BGP 扩展（MBGP）

支持路由信息协议（RIP）

支持互联网网关路由协议（IGRP）和它的支持增强

版本（EIGRP）

支持开放式短路径优先（OSPF）

支持热备用路由协议（HSRP）

安全特性

支持用户分级管理和口令保护

支持 IEEE 802.1x 认证/集中式 MAC 地址认证

支持 RADIUS 认证/HWTACACS

支持 ARP 入侵检测

支持 IP 源地址保护

支持端口隔离

支持 IP+MAC+端口绑定

支持 EAD

支持控制台访问权限的多级安全可以防止未经授权

的用户更改交换机配置

支持 IEEE 802.1x 可以实现动态的、基于端口的安

全，提供用户身份认证功能

支持 SSHv2、Kerberos和 SNMPv3 可以通过在 Telnet

和 SNMP 进程中加密管理员流量，提供网络安全

支持基于 MAC 地址的安全过滤

支持基于 IP 地址的安全过滤

支持基于 TCP/UDP 端口的安全过滤

参考价 28 000 30 000

3．局域网汇聚交换设备选型

作为汇聚交换设备，应考虑具有 1 000Mpbs 上行接口功能，这里提供 H3C S3610-28TP

和 Cisco WS-C3560-24PS-E 两款企业级交换机。

（1）H3C S3610-28TP。H3C S3610 系列多协议交换机是 H3C 公司基于全新软、硬件平台

开发的支持 IPv4/IPv6 双栈的盒式路由交换机系列。系统支持 IPv4/IPv6 双栈及硬件转发、丰

富的 IPv4/IPv6 路由协议和隧道技术，是理想的大型园区网、网络实验室的汇聚、接入交换机

以及中小企业、分支机构的核心交换机。产品图片如图 2.8 所示。

（2）Cisco WS-C3560-24PS-E。Cisco Catalyst 3560 系列交换机是一个固定配置、企业级、

IEEE 802.3af 和思科以太网供电（PoE）交换机系列，工作在快速以太网和千兆位以太网配置

下。Catalyst 3560 是一款理想的接入层交换机，适用于小型企业布线室或分支机构环境，结

合了 10/100/1000 和 PoE 配置，实现高生产率和投资保护。产品图片如图 2.9 所示。

图 2.8 H3C S3610-28TP 图 2.9 Cisco WS-C3560-24PS-E

产品规格如表 2.7 所示：

·59·

表 2.7 H3C S3610-28TP 与 Cisco WS-C3560-24PS-E 同类型号产品比较

产品规格 H3C S3610-28TP Cisco WS-C3560-24PS-E

交换机类型企业级交换机企业级交换机


传输速率 10/100/1 000Mbps 10/100/1 000Mbps

交换容量 32Gbps 32Gbps

包转发率 9.6Mpps 6.5Mpps

业务端口

24 个 10/100Base-TX 以太网端口

2 个 1000Base-X SFP 千兆位以太网端口

2 个 10/100/1000Base-T 以太网端口


2 个 1000Base-X SFP 1000Mbps 以太网端口

网络标准 IEEE 802.3、802.3u、802.3z、802.3ae、802.3ab IEEE 802.3、IEEE 802.3u、IEEE 802.3z、IEEE

802.3ab

以太网供电 PoE 支持支持

MAC 地址表 16K 12K

堆叠支持支持

VLAN 支持支持

安全特性


支持 802.1X 认证/集中式 MAC 地址认证

支持 Guest VLAN

支持 RADIUS 认证

支持 SSH 2.0

支持端口隔离

支持端口安全

支持 PORTAL 认证

支持 EAD

支持国际标准 Radius 的 AAA 认证接入

支持多级 User/Password 设置

支持国际标准 802.1x 认证

支持 SSH 加密登录

支持基于 MAC 地址的安全过滤

支持基于 IP 地址的安全过滤

支持 ARP 过滤和限制技术，预防 ARP 欺骗

攻击

支持基于 TCP/UDP 端口的安全过滤

参考价 10 000 24 000

4．局域网接入交换设备选型

作为接入交换设备，应考虑具有 1000Mpbs 上行、可堆叠、可进行智能管理的功能，下

面介绍 H3C S3100-26TP-SI 和 Cisco WS-C2960-24TC-L 两款智能交换机。

（1）H3C S3100-26TP-SI。H3C S3100 系列以太网交换机是 H3C 公司秉承 IToIP 理念设计

的二层线速智能型可网管以太网交换机产品，具有 1000Mpbs 上行、可堆叠、无风扇静音设

计、完备的安全和 QoS 控制策略等特点，满足企业用户多业务融合、高安全、可扩展、易管

理的建网需求，适合行业、企业网、宽带小区的接入和中小企业、分支机构汇聚交换机。产

品图片如图 2.10 所示。

（2）Cisco WS-C2960-24TC-L。Cisco Catalyst 2960 系列智能以太网交换机是一个全新的、

固定配置的独立设备系列，提供桌面快速以太网和 10/100/1000 兆位以太网连接，可为入门级

企业、中型市场和分支机构网络提供增强 LAN 服务。产品图片如图 2.11 所示。

·60·

图 2.10 H3C S3100-26TP-SI 图 2.11 Cisco WS-C2960-24TC-L

产品规格如表 2.8 所示：

表 2.8 H3C S3100-26TP-SI 与 Cisco WS-C2960-24TC-L 同类型号产品比较

产品规格 H3C S3100-26TP-SI Cisco WS-C2960-24TC-L

交换机类型智能交换机智能交换机


传输速率 10/100/1 000Mbps 10/100/1 000Mbps

交换容量 19.2Gbps 4.4Gbps

业务端口

24 个 10/100Base-T 以太网端口

2 个 10/100/1 000Base-T 以太网端口

2 个 1000Base-X SFP 1 000Mbps 以太网端口


2 个 1 000Base-X SFP 1 000Mbps 以太网端口

网络标准 IEEE802.3、802.3u、802.3z、802.3ab、802.3x、802.1d、

802.1q

IEEE 802.3、IEEE 802.3u、IEEE 802.1x、IEEE 802.1q、

IEEE 802.1p、IEEE 802.1d、IEEE 802.1s、IEEE 802.1w、

IEEE 802.3ad、IEEE 802.3z、IEEE 802.3

网络管理支持支持

MAC 地址表 8K 8K

堆叠支持支持

VLAN 支持支持

DHCP 支持支持

安全特性


支持端口安全，支持端口＋MAC 绑定

支持 Guest VLAN

支持 IEEE 802.1x 认证

支持集中 MAC 地址认证

支持 SSH2.0

支持 IEEE 802.1x 可提供基于端口的动态安全性，从

而实现用户身份验证

支持 IEEE 802.1x 和端口安全性，可针对包括客户端

地址在内的所有 MAC 地址

支持 SSHv2 和 SNMPv3

支持 TACACS+和RADIUS身份验证可实现对交换机

的集中控制，并禁止非法用户改动配置

参考价 3 600 9 300

经过对产品规格比较，终选用了在业界处于领先地位，具有高性能的 H3C 产品。在网

络设备选购时，除了要看产品的性能外，还有很重要的一点，就是产品的性价比。

IT 设备的特点是升级快、性能增强快、降价也快，所以用户在选购设备时，应该考虑自

已的资金和需求的实际情况，在充分考虑日后升级的前提下，以设备性能稳定、好用和够用

为标准，不要片面追求高性能、全功能，也不必因那些不需要的功能增大投入。

本项目中，互联网接入设备选取为 MSR30-20 路由器，局域网核心交换设备选取为 H3C

S5500-28C-PWR-EI，局域网汇聚交换设备选取为 H3C S3610-28TP，局域网接入交换设备选

取为 H3C S3100-26TP-SI。

·61·

5．局域网无线 AP 设备选型

H3C 具有系列化无线产品，目前在网运行的 AP 数量已经超过 60 000 台。这里列出 H3C

两款无线 AP 型号，以供选取。

（1）H3C WA2200 系列无线 AP。WA2200 系列产品包括室内型 WA2210-AG（单频）和

WA2220-AG（双频），适用于对环境要求不高的室内应用场景；增强型 WA2220E-AG（双频），

WA2220E-AG-T（双频，轨道交通应用），主要面向仓库、工厂车间、地铁等对温度、防尘等

环境要求较高的应用场景；室外型 WA2210X-G（单频），WA2210X-GE（单频），WA2220X-AG

（双频）和 WA2220X-AGP（双频大功率），主要面向对高低温、防潮、防水、防尘、防雷有

较高要求的室外应用场景。

H3C WA2200 系列支持 Fat 和 Fit 两种工作模式，根据网络规划的需要，可以通过命令行

灵活地在 Fat 和 Fit 两种工作模式中切换。WA2200 系列产品作为瘦 AP（Fit AP）时，需要与

无线控制器系列产品配套使用；作为胖 AP（Fat AP）时，可以独立进行组网。WA2200 系列

产品支持 Fat/Fit 两种工作模式的特性，有利于将客户的 WLAN 网络由小型网络平滑升级到大

型网络，从而很好地保护用户的投资。H3C WA2200 系列产品外观如图 2.12 所示。

图 2.12 H3C WA2200 系列 AP 外观图

（2）H3C WA2600 系列无线 AP。H3C WA2600 系列无线接入点是新一代兼容 802.11n

Draft2.0 的 1000Mbps 无线接入点（以下简称 AP），可提供相当于传统 802.11a/b/g 网络 6 倍以

上的无线接入速率，能够覆盖更大的范围。该系列 AP 上行接口采用千兆位以太网接口接入，

突破了百兆位以太网接口的限制，使无线多媒体应用成为现实。

WA2600 系列 AP 支持 Fat 和 Fit 两种工作模式，根据网络规划的需要，可以通过命令行

灵活地在 Fat 和 Fit 两种工作模式中切换。WA2600 系列产品作为瘦 AP（Fit AP）时，需要与

H3C 自主研发的 WX 系列无线控制器系列产品配套使用；作为胖 AP（Fat AP）时，可以独立

进行组网。WA2600 系列产品支持 Fat/Fit 两种工作模式的

特性，有利于将客户的 WLAN 网络由小型网络平滑升级到

大型网络，从而很好地保护用户的投资。WA2600 系列 AP

包括增强型 WA2610E-AGN（单频）和 WA2620E-AGN（双

频）两款无线接入点设备，主要面向仓库、工厂车间等对

温度、防尘环境要求较高的应用场景。WA2600 系列产品

如图 2.13 所示。

在本项目中，无线 AP 的放置主要是在大会议室、小会议室及产品展室，可采用适合室内

的 WA2220-AG（双频）。

根据网络设备统计表中的各项内容，如表 2.9 所示。绘制 2 楼和 3 楼逻辑网络结构图如

图 2.13 WA2600 系列无线 AP 外观图

·62·

图 2.14 所示。

表 2.9 网络设备统计

设备名称网络设备型号单价数量金额地点

互联网接入设备 MSR30-20 13 400 1 13 400 2 楼设备间

局域网核心

交换设备 H3C S5500-28C-PWR-EI 28 000 1 28 000 2 楼设备间

局域网汇聚

交换设备 H3C S3610-28TP 10 000 2 20 000 2 楼设备间、3 楼配线间

局域网接入

交换设备 S3100-26TP-SI 3 600 9 32 400

人力资源部、技术服务部 1、产品

事业部 1、销售业务部、广告宣传部、

技术服务部 2、质管部、产品事业部

2、客户服务部

无线 AP H3C WA2210-AG 2 700 5 13 500 技术服务部 1、大会议室、技术服

务部 2、产品展室、小会议室

图 2.14 2 楼和 3 楼逻辑网络结构图

·63·

2.1.6 制定实施进度计划

腾飞公司网络建设工期 6 天，制定的施工进度表，如表 2.10 所示，准时完成所有的部署

工作。

表 2.10 腾飞公司网络工程实施进度计划表

工作日

工作内容 1 2 3 4 5 6

入场，核实现场数据

设备、材料入场

网络设备安装调试

无线网络安装调试

工程文档

工程验收

技术培训

2.2 内部局域网组建

2.2.1 任务分析

内部局域网是企业内部日常运作的重要保证。通过内网可实现企业内部办公自动化，同

一部门可以进行互访、财务电算化、数据共享、上网链路共享、打印共享等一系列功能。为

了便于管理，实现各节点自动获取 IP、网关及 DNS 地址。

2.2.2 接入层设备配置

1．认识交换机

以 H3C S3610-28TP 系列交换机为例。

（1）了解交换机前面板。提供有 24 个 10Base-T/100Base-TX 以太网端口、2 个 1 000Mbps

SFP 接口、2 个 10/100/1 000Base-T 以太网端口和 1 个 Console 口，其前面板如图 2.15 所示。

图 2.15 H3C S3610-28TP 前面板示意图

·64·

前面板中各指示灯含义如表 2.11 所示。

表 2.11 H3C S3610-28TP 指示灯

（1）百兆位以太网端口状态指示灯（2）1000Mbps SFP 接口状态指示灯

（3）1 000Mbps 以太网端口状态指示灯（4）Console 口

（5）七段数码显示灯（6）交流电源指示灯

（7）端口模式切换指示灯（8）端口状态指示灯模式切换按钮

前面板固定百兆位以太网端口属性如表 2.12 所示。

表 2.12 H3C S3610-28TP 交换机固定百兆位以太网端口属性

连接器类型 RJ-45

接口数量 2

接口属性

10/100Mbps 半双工/全双工

1 000Mbps 全双工

MDI/MDI-X 自适应

符合标准 IEEE 802.3u

IEEE 802.3ab

介质与传输距离采用 5 类非屏蔽双绞线，支持 100m 传输距离


S3610-28TP 交换机提供了一个符合 EIA/TIA-232 异步串行规范的 Console 口，通过这个

接口，用户可完成对交换机的本地或远程配置。Console 口属性如表 2.13 所示。

表 2.13 Console 口属性

属性描述


接口标准异步 EIA/TIA-232

波特率 9 600bps（默认）

支持服务与字符终端相连

与本地终端（可以是 PC）或远端终端（需要一对 MODEM）的串口相连，并在终端上运行终端仿真程序

（2）了解交换机后面板。S3610-28TP 交换机后面板如图 2.16 所示，依次排列有交直流电

源插座、接地螺钉。

图 2.16 S3610-28TP 交换机后面板示意图

·65·

2．登录交换机

（1）登录以太网交换机方法。用户可以通过以下几种方式登录 H3C S3610 系列以太网交

换机。

① 通过 Console 口进行本地登录（带外管理）。

② 通过以太网端口利用 Telnet 或 SSH 进行本地或远程登录（带内管理）。

③ 通过 Console 口利用 MODEM 拨号进行远程登录（带内管理）。

④ 通过 Web 网管登录（带内管理）。

⑤ 通过 NMS（Network Management Station，网管工作站）登录。

（2）通过 Console 口进行本地登录

① 搭建配置环境。

终端通过配置电缆与交换机的 Console 口相连，如

图 2.17 所示。

第一步：将配置电缆的 DB-9 孔式插头接到要对交换

机进行配置的 PC 的串口。

第二步：将配置电缆的 RJ-45 端接口连到交换机的

Console 口。

② 设置终端参数。

第一步：打开 PC，并在 PC 上运行终端仿真程序

（Windows 2003/ Windows XP 的超级终端）。

第二步：设置终端参数（以 Windows XP 的超级终端

设置为例）。

参数要求：波特率为 9 600，数据位为 8，奇偶校验为无，停止位为 1，流量控制为无。

具体方法如下：

单击“开始”→“程序”→“附件”→“通信”→“超级终端”，进入超级终端窗口，单

击“ ”图标，建立新的连接，系统弹出如图 2.18 所示的连接说明界面。

在“连接描述”界面中输入新连接的名称，单击“确定”按钮，系统弹出如图 2.19 所示

的界面图，在“连接时使用”一栏中选择连接使用的串口。

图 2.18 超级终端连接说明界面图 2.19 超级终端连接使用串口设置

串口选择完毕后，单击“确定”按钮，系统弹出如图 2.20 所示的连接串口参数设置界面，

设置波特率为 9 600，数据位为 8，奇偶校验为无，停止位为 1，流量控制为无。

串口参数设置完成后，单击“确定”按钮，终端上显示设备自检信息，自检结束后提示

图 2.17 配置环境

·66·

用户输入回车，之后将出现命令行提示符（如<H3C>），如图 2.21 所示。

图 2.20 串口参数设置图 2.21 超级终端窗口

（3）通过 Telnet 进行登录

① 通过 Telnet 进行登录的简介。H3C S3610 系列以太网交换机支持 Telnet 功能，用户可

以通过 Telnet 方式对交换机进行远程管理和维护。

交换机和 Telnet 用户端都要进行相应的配置，才能保证通过 Telnet 方式正常登录交换机。

如表 2.14 所示，具体步骤如下。

第一步：设置交换机 IP 地址；

第二步：设置交换机授权 Telnet 用户；

第三步：配置主机的 IP 地址，要与交换机的 IP 地址在一个网段；

第四步：运行 Windows 自带的 Telnet 客户端程序，并且指定 Telnet 的目的地址；

第五步：登录到 Telnet 的配置界面，需要输入正确的登录名和口令，否则交换机将拒绝

该 Telnet 访问。

表 2.14 通过 Telnet 登录交换机需要具备的条件

对象需要具备的条件

交换机配置交换机 VLAN 的 IP 地址，交换机与 Telnet 用户间路由可达

配置 Telnet 登录的认证方式和其他配置

Telnet 用户运行了 Telnet 程序

获取要登录交换机 VLAN 的 IP 地址

② 配置 Telnet 登录方式的公共属性。Telnet 登录方式的公共属性配置，如表 2.15 所示。

表 2.15 Telnet 登录方式的公共属性配置

Telnet 登录方式的属性配置说明

VTY 用户界

面配置

VTY 界面登录的用户可以访问

的命令级别

可选，默认情况下，VTY 界面登录的用户可以访问的命令级别为 0

级

用户界面支持的协议可选，默认情况下，支持 Telnet 和 SSH 协议

设置从用户界面登录后自动执

行的命令可选，默认情况下，通过 VTY 用户界面登录后无可自动执行的命令

·67·

续表

Telnet 登录方式的属性配置说明

VTY 用户终端

属性配置

启动终端服务功能可选，默认情况下，所有用户界面上启动服务

终端屏幕的一屏行数可选，默认情况下，一屏可显示 24 行

历史命令缓冲区大小可选，默认情况下，可存放 10 条历史命令

用户界面的超时时间可选，默认情况下，用户超时断开连接的时间为 10min

③ 不同认证方式下 Telnet 登录方式的配置。不同的认证方式下，Telnet 登录方式需要进

行的配置不同，具体配置如表 2.16 所示。

表 2.16 不同认证方式下 Telnet 登录方式的属性配置

认证方式 Telnet 登录方式的属性配置说明

None 配置公共属性配置 Telnet 登录方式的公共属性可选

Password 配置口令配置本地验证口令必选

配置公共属性配置 Telnet 登录方式的公共属性可选

方式一：认证方式为 None 时 Telnet 登录方式的配置过程如表 2.17 所示。

表 2.17 认证方式为 None 时 Telnet 登录方式的配置

操作命令说明

进入系统视图 system-view

进入一个或多个VTY用户

界面视图 user-interface vty first-number [ last-number ]

设置VTY登录用户的认证

方式为不认证 authentication-mode none

必选，默认情况下，VTY 用户登录后需要

进行终端验证

设置从VTY用户界面登录

后可以访问的命令级别 user privilege level level

可选，默认情况下，从 VTY 用户界面登

录后可以访问的命令级别为 0 级

配置VTY用户界面支持的

协议 protocol inbound { all | ssh | telnet }

可选，默认情况下，交换机同时支持 Telnet

和 SSH 协议

设置从用户界面登录后自

动执行的命令 auto-execute command text

可选，默认情况下，通过 VTY 用户界面

登录后无可自动执行的命令

启动终端服务 shell 可选，默认情况下，在所有的用户界面上

启动终端服务

设置终端屏幕一屏显示的

行数 screen-length screen-length

可选，默认情况下，终端屏幕一屏显示的

行数为 24，screen-length 0 表示关闭分屏显

示功能

设置交换机历史命令缓冲

区大小 history-command max-size value

可选，默认情况下，历史缓冲区的大小为

10，即可存放 10 条历史命令

设置VTY用户界面的超时

时间 idle-timeout minutes [ seconds ]

可选，默认情况下，所有的用户界面的超

时时间为 10min；

如果 10min 内某用户界面没有用户进行操

作，则该用户界面将自动断开，idle-timeout 0

表示关闭用户界面的超时功能

·68·

需要注意的是，用户采用 None 认证方式登录以太网交换机时，其所能访问的命令级别

取决于命令 0、命令 1 间的组合，具体情况如表 2.18 所示。

命令 0：authentication-mode none

命令 1：user privilege level level

表 2.18 用户采用 None 认证方式登录以太网交换机时可访问的命令优先级

前提条件用户登录后可访问命令优先级

用户登录认证方式用户类别命令配置情况

authentication-mode none（不认证） VTY 登录用户未配置命令 1 0 级

已配置命令 1 由命令 1 决定

方式二：认证方式为 Password 时 Telnet 登录方式的配置过程如表 2.19 所示。

表 2.19 认证方式为 Password 时 Telnet 登录方式的配置

操作命令说明


进入一个或多个 VTY

用户界面视图 user-interface vty first-number [ last-number ]

设置登录用户的认证

方式为本地口令认证 authentication-mode password 必选

设置本地验证的口令 set authentication password { cipher | simple } password 必选

设置从用户界面登录

后可以访问的命令级别 user privilege level level

可选，默认情况下，从 VTY 用户界面

登录后可以访问的命令级别为 0 级

配置用户界面支持的

协议 protocol inbound { all | ssh | telnet }

可选，默认情况下，交换机同时支持

Telnet 和 SSH 协议

设置从用户界面登录

后自动执行的命令 auto-execute command text

可选，默认情况下，通过 VTY 用户界

面登录后无可自动执行的命令

启动终端服务 shell 可选，默认情况下，在所有的用户界面

上启动终端服务

设置终端屏幕一屏显

示的行数 screen-length screen-length

可选，默认情况下，终端屏幕一屏显示

的行数为 24 行，screen-length 0 表示关闭

分屏显示功能

设置交换机历史命令

缓冲区大小 history-command max-size value

可选，默认情况下，历史缓冲区的大小

为 10，即可存放 10 条历史命令

设置用户界面的超时

时间 idle-timeout minutes [ seconds ]

可选，默认情况下，所有的用户界面的

超时时间为 10min；如果 10min 内某用户

界面没有用户进行操作，则该用户界面将

自动断开，idle-timeout 0 表示关闭用户界

面的超时功能

需要注意的是，用户采用 Password 认证方式登录以太网交换机时，其所能访问的命令级

·69·

别取决于命令 user privilege level level 中 level 参数定义的级别。

3．配置交换机

（1）在配置交换机时如何获得帮助。用户通过在线帮助能够获取到配置过程中所需的相

关帮助信息。交换机提供两种在线帮助：完全帮助、部分帮助。

① 完全帮助。在任一视图下，输入“?”，此时用户终端屏幕上会显示该视图下所有的命

令及其简单描述。

<H3C> ?

User view commands:

boot Set boot option

cd Change current directory

clock Specify the system clock

cluster Run cluster command

copy Copy from one file to another

debugging Enable system debugging functions

delete Delete a file

dir List files on a file system

display Display current system information

<以下信息略> ② 部分帮助。

输入一字符或一字符串，其后紧接“?”，此时用户终端屏幕上会列出以该字符或字

符串开头的所有命令。

<H3C> p?

ping

pwd 输入一命令，一空格，后接一字符或一字符串，其后紧接“?”，此时用户终端屏幕

上会列出以该字符或字符串开头的所有关键字。

<H3C> display u?

udp

unit

user-interface

users 输入命令的某个关键字的前几个字母，按下“Tab”键，如果以输入的字母开头的关

键字唯一，则用户终端屏幕上会显示出完整的关键字；如果以输入的字母开头的关键

字不唯一，反复按下“Tab”键，则终端屏幕依次显示与字母匹配的完整关键字。

（2）保存当前配置。用户通过命令行可以修改设备的当前配置，而这些配置是暂时的。

如果要使当前配置在系统下次重启时继续生效，在重启设备前，请使用 save 命令将当前配置

保存到配置文件中。具体配置如表 2.20 所示。

·70·

表 2.20 保存当前配置

操作命令说明

保存当前配置 save [ cfgfile | [ safely ] [ backup | main ] ] 必选，该命令可在任意视图下执行

（3）清除设备中的配置文件。用户通过命令可以清除设备中的配置文件。配置文件被清

除后，设备下次启动时将采用空配置启动。具体配置如表 2.21 所示。

表 2.21 清除设备中配置文件

操作命令说明

清除设备中的配置文件 reset saved-configuration [ backup | main ] 必选，该命令只能在用户视图下执行

（4）设置下次启动时使用的配置文件。设备下次启动时使用的配置文件具体设置如表 2.22

所示。

表 2.22 设置下次启动时使用的配置文件及其属性

操作命令说明

设置下次启动时使用的配

置文件及其属性 startup saved-configuration cfgfile [ backup | main ] 必选，该命令只能在用户视图下执行

（5）配置以太网端口。

① 以太网端口的基本配置。

设置端口的双工模式时存在三种情况：

当需要端口在发送数据包的同时可以接收数据包时，可以将端口设置为全双工（full）

属性；

当需要端口同一时刻只能发送数据包或接收数据包时，可以将端口设置为半双工

（half）属性；

当需要端口的双工属性由本端端口和对端端口自动协商决定时，可以将端口设置为自

动协商（auto）属性。

用户可以根据实际组网情况选择端口的双工模式，如表 2.23 所示。

表 2.23 以太网端口的基本配置

操作命令说明


进入以太网端口视图 interface interface-type

interface-number

打开以太网端口 undo shutdown 可选，默认情况下，端口处于打开状态，如果想关闭端口，可以

使用 shutdown 命令

设置以太网端口的描述

字符串 description text

可选，默认情况下，描述字符串为该端口的名称，如

“Ethernet1/0/1 Interface”

·71·

续表

操作命令说明

设置以太网端口的双工

模式 duplex { auto | full | half } 可选，默认情况下，端口的双工模式为 auto（自动协商）状态

设置以太网端口的速率 speed { 10 | 100 | 1000 | auto }可选，默认情况下，以太网端口的速率处于 auto（自动协商）状

态

设置端口的链路类型 port link-type

{ access | hybrid | trunk } 可选，默认情况下，所有端口的链路类型均为 Access 类型

② 配置以太网端口的 MDI 属性。通过以下配置任务，可以设置以太网端口的 MDI

（Medium Dependent Interface，介质相关接口）属性，具体配置如表 2.24 所示。

auto：设置端口的 MDI 属性为自动识别所连接的网线类型。

across：设置端口的 MDI 属性为只识别交叉网线。

normal：设置端口的 MDI 属性为只识别直通网线。

表 2.24 设置以太网端口的网线类型

操作命令说明


进入以太网端口视图 interface interface-type interface-number

设置以太网端口的网线类型 mdi { auto | across | normal } 可选，默认情况下，以太网端口的网线类型为

auto（自动识别）

③ 以太网端口的显示和维护。在完成配置后，在任意视图下执行 display 命令可以显示

配置后端口的运行情况，通过查看显示信息验证配置的效果。

在用户视图下执行 reset 命令可以清除端口统计信息。

4．VLAN 技术及配置

（1）了解 VLAN。传统的以太网是广播型网络，网络中的所有主机通过 HUB 或交换机

相连，处在同一个广播域中。HUB 和交换机作为网络连接的基本设备，在转发功能方面有一

定的局限性。为了解决以太网交换机在局域网中无法限制广播的问题，VLAN（Virtual Local

Area Network，虚拟局域网）技术应运而生。

VLAN 技术可以把一个 LAN 划分成多个逻辑的 LAN——VLAN，每个 VLAN 是一个广

播域，VLAN 内的主机间通信就和在一个 LAN 内一样，而 VLAN 间则不能直接互通，这样，

广播报文被限制在一个 VLAN 内，VLAN 的划分不受物理位置的限制，不在同一物理位置范

围的主机可以属于同一个 VLAN；一个 VLAN 包含的用户可以连接在同一个交换机上，也可

以跨越交换机，甚至可以跨越路由器，如图 2.22 所示。

·72·

图 2.22 VLAN 示意图

（2）理解 VLAN 原理。

① VLAN Tag。为使交换机能够分辨不同 VLAN 的报文，需要在报文中添加标识 VLAN

的字段。IEEE 于 1999 年颁布了用以标准化 VLAN 实现方案的 IEEE 802.1q 协议标准草案，

对带有 VLAN Tag 的报文结构进行了统一规定。

传统的以太网数据帧在目的 MAC 地址和源 MAC 地址之后封装上层协议的类型字段。如

图 2.23 所示。

DA&SA Type Data

图 2.23 传统以太网帧封装格式

其中 DA 表示目的 MAC 地址，SA 表示源 MAC 地址，Type 表示上层协议的类型字段。

IEEE 802.1q 协议规定，在目的 MAC 地址和源 MAC 地址之后封装 4byte 的 VLAN Tag，

用以标识 VLAN 的相关信息。如图 2.24 所示。

图 2.24 VLAN Tag 的组成字段

VLAN Tag 包含 4 个字段，分别是 TPID（Tag Protocol Identifier，标签协议标识符）、

Priority、CFI（Canonical Format Indicator，标准格式指示位）和 VLAN ID。

TPID：用来标识本数据帧是带有 VLAN Tag 的数据。该字段长度为 16bit，在 H3C 系列

以太网交换机上默认取值为协议规定的 0x8100。

Priority：用来表示 802.1p 的优先级。该字段长度为 3bit。

CFI：用来标识 MAC 地址是否以标准格式进行封装。该字段长度为 1bit，取值为 0 表示

MAC 地址以标准格式进行封装，为 1 表示以非标准格式封装，默认取值为 0。

VLAN ID：用来标识该报文所属 VLAN 的编号。该字段长度为 12bit，取值范围为 0～

4 095。由于 0 和 4 095 通常不使用，所以 VLAN ID 的取值范围一般为 1～4 094。

交换机利用 VLAN ID 来识别报文所属的 VLAN，当接收到的报文不携带 VLAN Tag 时，

·73·

交换机会为该报文封装带有接收端口默认 VLAN ID 的 VLAN Tag，将报文在接收端口的默认

VLAN 中进行传输。

② VLAN 类型。根据划分方式的不同，可以将 VLAN 分为不同类型，下面列出了 6 种

常见的 VLAN 类型：基于端口的 VLAN、基于 MAC 地址的 VLAN、基于协议的 VLAN、

基于 IP 子网的 VLAN、基于策略的 VLAN、其他 VLAN。

基于端口的 VLAN 是简单、有效的 VLAN 划分方法，它按照设备端口来定义 VLAN

成员。将指定端口加入到指定 VLAN 中之后，该端口就可以转发指定 VLAN 的报文，从而实

现广播域的隔离和虚拟工作组的划分。

基于端口的 VLAN 具有实现简单，易于管理的优点，适用于连接位置比较固定的用户，

如图 2.25 所示。

图 2.25 基于端口的 VLAN

根据端口在转发报文时对 Tag 标签的不同处理方式，可将端口的链路类型分为三种。

以太网交换机的端口链路类型可以分为三种：Access、Trunk、Hybrid。这三种端口在加

入 VLAN 和对报文进行转发时会进行不同的处理。

Access 类型：端口只能属于 1 个 VLAN，并在发送该 VLAN 的报文时不携带 Tag 标签，

一般用于交换机与终端用户之间的连接。

Trunk类型：端口可以属于多个VLAN，允许多个VLAN通过，可以接收和发送多个VLAN

的报文，一般用于交换机之间的连接。

Hybrid 类型：端口可以属于多个 VLAN，允许多个 VLAN 通过，可以接收和发送多个

VLAN 的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。

Hybrid 端口可以允许多个 VLAN 的报文发送时不携带 Tag 标签，而 Trunk 端口只允许默

认 VLAN 的报文发送时不携带 Tag 标签。

三种类型的端口可以共存在一台设备上，但 Trunk 端口和 Hybrid 端口之间不能直接切换，

只能先设为 Access 端口，再设置为其他类型端口。例如：Trunk 端口不能直接被设置为 Hybrid

端口，只能先设为 Access 端口，再设置为 Hybrid 端口。

除了可以设置端口允许通过的 VLAN，还可以设置端口的默认 VLAN。在默认情况下，

所有端口的默认 VLAN 均为 VLAN1，但用户可以根据需要进行配置。

Access 端口只能属于 1 个 VLAN，它默认 VLAN 就是它所在的 VLAN，不用设置；Hybrid

端口和 Trunk 端口可以属于多个 VLAN，所以需要设置端口的默认 VLAN ID。

·74·

将端口加入 VLAN 并指定了端口的默认 VLAN 后，三类端口对报文的接收和发送会有不

同的处理方式，具体描述如表 2.25 所示。

表 2.25 端口收发报文的处理

端口类型

对接收报文的处理

对发送报文的处理当接收到的报文

不带 Tag 时当接收到的报文带有 Tag 时

Access 端口

接收该报文，并为

报文封装默认

VLAN 的 Tag

当 VLAN ID 与默认 VLAN ID 相同

时，接收该报文。

当 VLAN ID 与默认 VLAN ID 不同

时，丢弃该报文

由于 VLAN ID 就是默认 VLAN ID，去掉

Tag，发送该报文

Trunk 端口

当 VLAN ID 与默认 VLAN ID 相同

时，接收该报文。

当VLAN ID与默认VLAN ID不同，

但 VLAN ID 是该端口允许通过的

VLAN ID 时，接收该报文。

当VLAN ID与默认VLAN ID不同，

且 VLAN ID 是该端口不允许通过的

VLAN ID 时，丢弃该报文

当 VLAN ID 与默认 VLAN ID 相同时，去

掉 Tag，发送该报文。

当 VLAN ID 与默认 VLAN ID 不同，且是

该端口允许通过的 VLAN ID 时，保持原有

Tag，发送该报文

Hybrid 端口

当报文中携带的VLAN ID是该端口允许通

过的 VLAN ID 时，发送该报文，并可以通过

port hybrid vlan 命令配置端口在发送该

VLAN（包括默认 VLAN）的报文时是否携带

Tag

建议将本端 Hybrid 端口或 Trunk 端口的默认 VLAN ID 和相连的对端交换机的 Hybrid 端

口或 Trunk 端口的默认 VLAN ID 配置为一致，否则端口可能无法正确转发报文。

③ VLAN 接口。不同 VLAN 间的主机不能直接通信，需要通过路由器或三层交换机等网

络层设备进行转发，H3C S3610 系列以太网交换机支持通过配置 VLAN 接口实现对报文进行三

层转发的功能。

VLAN 接口是一种三层模式下的虚拟接口，主要用于实现 VLAN 间的三层互通，它不作

为物理实体存在于交换机上。每个 VLAN 对应一个 VLAN 接口，该接口可以为本 VLAN 内

端口收到的报文根据其目的 IP 地址在网络层进行转发。通常情况下，由于 VLAN 能够隔离

广播域，因此每个 VLAN 也对应一个 IP 网段，VLAN 接口将作为该网段的网关对需要跨网

段转发的报文进行基于 IP 地址的三层转发。

（3）VLAN 配置。VLAN 配置任务简介，如表 2.26 所示。

表 2.26 VLAN 配置任务简介

配置任务说明详细配置

VLAN 的基本配置必选见表 2.27

VLAN 接口的基本配置可选见表 2.28

VLAN 配置显示可选

·75·

VLAN 的基本配置，如表 2.27 所示。

表 2.27 VLAN 的基本配置

操作命令说明


批量创建多个 VLAN vlan { vlan-id1 to vlan-id2 | all } 可选

创建 VLAN 并进入

VLAN 视图 vlan vlan-id 必选，默认情况下，系统只有一个默认 VLAN（VLAN1）

指定当前 VLAN 的名称 name text 可选，默认情况下，VLAN 的名称为该 VLAN 的 VLAN

ID，如“VLAN 0001”

指定当前 VLAN 的

描述字符串 description text

可选，默认情况下，VLAN 的描述字符串为该 VLAN 的

VLAN ID，如“VLAN 0001”

VLAN1 是系统的默认 VLAN，无需创建，也不能删除。

VLAN 接口的基本配置，如表 2.28 所示。

表 2.28 VLAN 接口的基本配置

操作命令说明


创建 VLAN 接口并进

入 VLAN 接口视图 interface vlan-interface vlan-id 必选，默认情况下，在交换机上不存在 VLAN 接口

指定当前 VLAN 接

口的描述字符串 description text

可选，默认情况下，VLAN 接口的描述字符串为该 VLAN

接口的接口名，如“vlan-interface1 Interface”

将 VLAN 接口的管

理状态设置为关闭 shutdown

可选，默认情况下，VLAN 接口的管理状态为打开，此时

VLAN 接口状态受 VLAN 中端口状态的影响，即当 VLAN 中

所有以太网端口状态为 Down 时，VLAN 接口为 Down 状态，

即关闭状态；当 VLAN 中有一个或一个以上的以太网端口处

于 Up 状态时，则 VLAN 接口处于 Up 状态。如果将 VLAN

接口的管理状态设置为关闭，则 VLAN 接口的状态始终为

Down，不受 VLAN 中端口状态的影响

将 VLAN 接口的管

理状态设置为打开 undo shutdown

完成配置后，在任意视图下执行 display 命令，可以显示配置 VLAN 后的运行情况。通

过查看显示信息，用户可以验证配置的效果。

① 配置基于端口的 VLAN。配置基于 Access 端口的 VLAN 有两种方法：一种是在

VLAN 视图下进行配置，如表 2.29 所示。一种是在以太网端口视图下进行配置，如表 2.30

所示。

Trunk 端口可以允许多个 VLAN 通过，可以在以太网端口视图/端口组视图下进行配置，

如表 2.31 所示。

·76·

表 2.29 配置基于 Access 端口的 VLAN（在 VLAN 视图下）

配置命令说明


进入 VLAN 视图 vlan vlan-id 必选，如果指定的 VLAN 不存在，则该命令先完成 VLAN 的创

建，然后再进入该 VLAN 的视图

将指定 Access 端口加入

到当前 VLAN 中 port interface-list 必选，默认情况下，系统将所有端口都加入到 VLAN1

表 2.30 配置基于 Access 端口的 VLAN（在以太网端口视图下）

操作命令说明


进入以太网端口视

图或端口组视图

进入以太网

端口视图

interface interface-type

interface-number

二者必选其一

进入以太网端口视图后，下面进行的配置只在

当前端口下生效；进入端口组视图后，下面进行

的配置将在端口组中的所有端口生效

进入端口

组视图

port-group { manual port-group-name

| aggregation agg-id }

配置端口的链路类

型为 Access 类型 port link-type access

可选，默认情况下，端口的链路类型为 Access

类型

将当前 Access 端口

加入到指定 VLAN port access vlan vlan-id

必选，默认情况下，所有 Access 端口均只属于

VLAN1

表 2.31 配置基于 Trunk 端口的 VLAN

操作命令说明


进入以太网端口视

图或端口组视图

进入以太网

端口视图 interface interface-type interface-number

二者必选其一

进入以太网端口视图后，下面进行的配置只

在当前端口下生效；进入端口组视图后，下面

进行的配置将在端口组中的所有端口生效

进入端口

组视图

port-group { manual port-group-name |

aggregation agg-id }

配置端口的链路类型为 Trunk 类型 port link-type trunk 必选，默认情况下，端口的链路类型为

Access 类型

允许指定的 VLAN 通过

当前 Trunk 端口 port trunk permit vlan { vlan-id-list | all }

必选，默认情况下，所有 Trunk 端口只允许

VLAN 1 通过

② VLAN 显示和维护。在完成配置后，在任意视图下执行 display 命令可以显示配置后

VLAN 的运行情况，通过查看显示信息验证配置的效果。在用户视图下执行 reset 命令可以

清除接口统计信息，如表 2.32 所示。

·77·

表 2.32 VLAN 显示和维护

操作命令

显示 VLAN 相关信息 display vlan { vlan-id1 [ to vlan-id2 ] | all | dynamic | reserved | static }

显示 VLAN 接口相关信息 display interface vlan-interface [ vlan-interface-id ]

显示指定 VLAN 上配置的协议信息

及协议的索引 display protocol-vlan vlan { vlan-id [ to vlan-id ] | all }

显示指定端口上已配置的协议

VLAN 的相关信息

display protocol-vlan interface { interface-type interface-number [ to interface-type

interface-number ] | all }

显示指定 VLAN 上配置的 IP 子网

VLAN 信息及 IP 子网的索引 display ip-subnet-vlan vlan { vlan-id [ to vlan-id ] | all }

显示指定端口上配置的 IP 子网

VLAN 信息及 IP 子网的索引

display ip-subnet-vlan interface { interface-type interface-number [ to interface-type

interface-number | all }

清除 VLAN 接口的统计信息 reset counters interface vlan-interface [ vlan-interface-id ]

③ VLAN 典型配置举例。

组网需求：Switch1 与对端 Switch2 使用 Trunk 端口 Ethernet1/0/1 相连；该端口的默认

VLAN ID 为 100；并且允许 VLAN3、VLAN8 到 VLAN20 的报文通过。

组网图如图 2.26 所示。

图 2.26 基于端口的 VLAN 组网图

配置步骤。

配置 Switch1。

# 创建 VLAN3、VLAN8 到 VLAN20。

<Switch1> system-view

[Switch1]vlan 3

[Switch1-vlan3]quit

[Switch1]vlan 100

[Switch1-vlan100]vlan 8 to 20

Please wait... Done. # 进入 Ethernet1/0/1 以太网端口视图。

[Switch1]interface ethernet 1/0/1 # 配置 Ethernet1/0/1 为 Trunk 端口，并配置端口的默认 VLAN ID 为 100。

[Switch1-Ethernet1/0/1]port link-type trunk

[Switch1-Ethernet1/0/1]port trunk pvid vlan 100 # 配置 Ethernet1/0/1 禁止 VLAN1 的报文通过（所有端口默认情况下都是允许 VLAN1 的

·78·

报文通过的）。

[Switch1-Ethernet1/0/1]undo port trunk permit vlan 1 # 配置 Ethernet1/0/1 允许 VLAN3、VLAN8 到 VLAN20 的报文通过。

[Switch1-Ethernet1/0/1]port trunk permit vlan 3 8 to 20

Please wait... Done. 配置 Switch2，与设备 Switch1 配置步骤雷同，不再赘述。

显示与验证。

此处以 Switch1 的验证为例，Switch2 的验证与此类似，不再赘述。

# 查看 Switch1 的 Ethernet1/0/1 的相关信息，验证以上配置是否生效。

<Switch1> display interface ethernet 1/0/1

Ethernet1/0/1 current state: UP

IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 00e0-fc00-3900

Description: Ethernet1/0/1 Interface

Loopback is not set

Media type is twisted pair, Port hardware type is 100_BASE_TX

Unknown-speed mode, unknown-duplex mode

Link speed type is autonegotiation, link duplex type is autonegotiation

Flow-control is not enabled

The Maximum Frame Length is 1552

Broadcast MAX-ratio: 100%

PVID: 100

Mdi type: auto

Port link-type: trunk

VLAN passing : 3, 8-20

VLAN permitted: 3, 8-20

Trunk port encapsulation: IEEE 802.1q

...... 通过以上显示信息，可以看到接口的类型为 trunk（Port link-type: trunk），端口的默认

VLAN 为 VLAN 100（PVID: 100），端口允许 VLAN3、VLAN8 到 VLAN20 的报文通过（VLAN

permitted: 3，8-20）。配置成功。

5．端口汇聚技术及配置

（1）了解端口汇聚。端口汇聚，也称链路聚合。是将多个以太网端口汇聚在一起形成一

个逻辑上的汇聚组，使用汇聚服务的上层实体把同一汇聚组内的多条物理链路视为一条逻辑

链路。

端口汇聚可以实现出/入负荷在汇聚组中各个成员端口之间分担，以增加带宽。同时，同

一汇聚组的各个成员端口之间彼此动态备份，提高了连接可靠性。

端口汇聚作用在同一个汇聚组中，能进行出/入负荷分担的成员端口必须有相同的速率、

双工和基本配置。基本配置如下。

① STP（Spanning Tree Protocol）配置一致，包括：端口的 STP 开启/关闭、与端口相连

的链路属性（如点对点或非点对点）、STP 优先级、STP 开销、STP 报文格式、是否开启环路

·79·

保护和根保护、是否为边缘端口等。

② VLAN 配置一致，包括：端口上允许通过的 VLAN、端口默认 VLAN ID。

③ 端口的链路类型（即 Trunk、Hybrid、Access 类型）一致。

（2）端口汇聚的分类。按照汇聚方式的不同，端口汇聚可以分为三类。

① 手工汇聚。手工汇聚由用户手工配置，不允许系统自动添加或删除汇聚组中的端口。

汇聚组中必须至少包含一个端口。当汇聚组只有一个端口时，只能通过删除汇聚组的方式将

该端口从汇聚组中删除。

② 静态 LACP（Link Aggregation Control Protocol）汇聚。静态 LACP 汇聚由用户手工配

置，不允许系统自动添加或删除汇聚组中的端口。汇聚组中必须至少包含一个端口。当汇聚

组只有一个端口时，只能通过删除汇聚组的方式将该端口从汇聚组中删除。

③ 动态 LACP 汇聚。动态 LACP 汇聚是一种系统自动创建或删除的汇聚，动态汇聚组内

端口的添加和删除是 LACP 协议自动完成的。只有基本配置相同、速率和双工属性相同、连

接到同一个设备、并且对端端口也满足以上条件时，才能被动态汇聚在一起。

即使只有一个端口也可以创建动态汇聚，此时为单端口汇聚。

（3）配置端口汇聚。

① 配置手工汇聚组。用户可以通过下面的命令创建手工汇聚组。用户可以删除任何一个

已经形成的手工汇聚组，且删除该手工汇聚组后，该汇聚组内的所有端口将全部离开该汇

聚组。

对于手工汇聚组，汇聚组的成员必须手工添加和删除，配置命令如表 2.33 所示。

表 2.33 配置手工汇聚组

操作命令说明


创建汇聚组 link-aggregation group agg-id mode manual 必选

进入以太网端口视图 Interface interface-type interface-number

将以太网端口加入汇聚组 port link-aggregation group agg-id 必选

② 配置静态 LACP 汇聚组。用户可以通过下面的命令创建静态 LACP 汇聚组。如果删除

一个静态 LACP 汇聚组，则该汇聚组中的端口将形成一个或多个动态汇聚组。

对于静态汇聚组，汇聚组的成员必须手工添加和删除，配置命令如表 2.34 所示

表 2.34 配置静态 LACP 汇聚组

操作命令说明


创建汇聚组 link-aggregation group agg-id mode static 必选

进入以太网端口视图 Interface interface-type interface-number

将以太网端口加入汇聚组 port link-aggregation group agg-id 必选

③ 配置动态 LACP 汇聚组。动态 LACP 汇聚是在端口开启 LACP 后由系统自动创建的。

动态汇聚组的端口添加和删除是协议自动完成的，配置命令如表 2.35 所示。

·80·

表 2.35 配置动态 LACP 汇聚组

操作命令说明


配置系统优先级 lacp system-priority system-priority 可选，默认情况下，系统优先级为 32 768

进入以太网端口视图 interface interface-type interface-number

开启端口 LACP 协议 lacp enable 必选，默认情况下，端口的 LACP 协议处于

关闭状态

配置端口优先级 lacp port-priority port-priority 可选，默认情况下，端口优先级为 32 768

④ 端口汇聚配置显示与维护。完成配置后，在任意视图下执行 display 命令，可以显示

配置端口汇聚后的运行情况。通过查看显示信息，用户可以验证配置的效果。在用户视图下

执行 reset 命令，可以清除 LACP 端口的统计信息，如表 2.36 所示。

表 2.36 端口汇聚显示与维护

操作命令

显示本端系统的设备 ID display lacp system-id

显示端口的链路聚合详细信息 display link-aggregation interface interface-type interface-number [ to interface-type

interface-number ]

显示业务环回组的信息 display link-aggregation service-type [ agg-id ]

显示所有聚合组的摘要信息 display link-aggregation summary

显示指定聚合组的详细信息 display link-aggregation verbose [ agg-id ]

清除端口的 LACP 统计信息 reset lacp statistics { interface interface-type interface-number [ to interface-type

interface-number ] }

⑤ 端口汇聚典型配置举例。

组网需求。设备 Switch1 用 3 个端口聚合接入设备 Switch2，从而实现出/入负荷在各

成员端口中分担。Switch1 的接入端口为 Ethernet1/0/1～Ethernet1/0/3。

组网图如图 2.27 所示。

图 2.27 端口汇聚组网图

配置步骤。配置聚合组，实现端口的负载分担。

采用手工聚合方式：

# 创建手工聚合组 1。


[Switch1]link-aggregation group 1 mode manual # 将以太网端口 Ethernet1/0/1 至 Ethernet1/0/3 加入聚合组 1。

·81·

[Switch1]interface ethernet 1/0/1

[Switch1-Ethernet1/0/1]port link-aggregation group 1

[Switch1-Ethernet1/0/1]quit





[Switch1-Ethernet1/0/3]port link-aggregation group 1 采用静态 LACP 聚合方式：

# 创建静态 LACP 聚合组 1。


[Switch1]link-aggregation group 1 mode static # 将以太网端口 Ethernet1/0/1 至 Ethernet1/0/3 加入聚合组 1。









6．STP 生成树协议

生成树协议定义在 IEEE 802.1d 中，是一种链路管理协议，它为网络提供路径冗余的同

时防止产生环路。为使以太网更好地工作，两个工作站之间只能有一条活动路径。网络环路

的发生有多种原因，常见的一种是有意生成的冗余，一旦链路或交换机失效，会有另一个

链路或交换机替代，如图 2.28 所示。

图 2.28 一个有冗余的局域网络

默认情况下，H3C 交换机的生成树功能是开启的。开启/关闭生成树功能可通过命令 stp

{enable | disable}实现。

2.2.3 核心层设备配置

1．DHCP 组网方式

常见的 DHCP 组网方式可分为两类：第一种是 DHCP 服务器和客户端在同一个子网内，

直接进行 DHCP 报文的交互；第二种是 DHCP 服务器和客户端处于不同的子网中，必须通过

·82·

DHCP 中继代理实现 IP 地址的分配。无论哪种情况下，DHCP 的配置都是相同的。

2．DHCP 服务器的应用环境

（1）网络规模较大，手工配置需要很大的工作量，并难以对整个网络进行集中管理。

（2）网络中主机数目大于该网络支持的 IP 地址数量，无法给每个主机分配一个固定的 IP

地址。例如，Internet 接入服务提供商限制同时接入网络的用户数目，大量用户必须动态获得

自己的 IP 地址。

（3）网络中只有少数主机需要固定的 IP 地址，大多数主机没有固定 IP 地址的需求。

3．DHCP 服务器配置

规划好 IP 地址池后，要进行 DHCP 服务器的配置，具体配置任务如表 2.37 所示。

表 2.37 DHCP 服务器配置任务简介

操作说明详细配置

使能 DHCP 服务必选表 2.38

配置接口工作在 DHCP 服务器模式可选表 2.39

配置 DHCP 服务器的地址池必选表 2.40

配置 DHCP 服务器的安全功能可选表 2.47

配置 Option 82 的处理方式可选

（1）启动 DHCP 服务。只有启动 DHCP 服务后，其他相关的 DHCP 配置才能生效。具体

配置如表 2.38 所示。

表 2.38 启动 DHCP 服务

操作命令说明


使能 DHCP 服务 dhcp enable 必选

默认情况下，DHCP 服务处于禁止状态

（2）配置接口工作在 DHCP 服务器模式。配置接口工作在 DHCP 服务器模式后，当接口

收到 DHCP 客户端发来的 DHCP 报文时，将从 DHCP 服务器的地址池中分配地址。具体配置

如表 2.39 所示。

表 2.39 配置接口工作在 DHCP 服务器模式

操作命令说明


进入接口视图 interface interface-type interface-number

配置接口工作在 DHCP

服务器模式

dhcp select server global-pool

[ subaddress ] 可选，默认情况下，接口工作在 DHCP 服务器模式

（3）配置 DHCP 服务器的地址池。DHCP 服务器地址池配置任务，具体配置如表 2.40

所示。

·83·

表 2.40 DHCP 服务器地址池配置任务简介

操作说明详细配置

创建 DHCP 地址池必选表 2.41

配置 DHCP 地址池

的地址分配方式

配置采用静态绑定方式进行地址分配二者必选其一，且对同一个地

址池只能选一种方式

表 2.42

表 2.43 配置采用动态分配方式进行地址分配

配置 DHCP 客户端的域名后可选表 2.44

配置 DHCP 客户端的 DNS 服务器地址可选表 2.45

配置 DHCP 客户端的 WINS 服务器地址和 NetBIOS 节点类型可选

配置 DHCP 客户端的 BIMS 服务器信息可选

配置 DHCP 客户端的网关地址可选表 2.46

配置 DHCP 客户端的 Option 184 参数可选

配置 DHCP 客户端的 TFTP 服务器地址及启动文件名可选

配置 DHCP 自定义选项可选

① 创建 DHCP 地址池，具体配置如表 2.41 所示。

表 2.41 创建 DHCP 地址池

操作命令说明


创建 DHCP 地址池并进入 DHCP 地址池视图 dhcp server ip-pool pool-name 必选

默认情况下，没有创建 DHCP 地址池

② 配置 DHCP 地址池的地址分配方式。动态地址分配需要指定用于分配的地址范围，

而静态地址绑定则可以看做是只包含一个地址的特殊的 DHCP 地址池。

配置采用静态绑定方式进行地址分配。某些客户端在向 DHCP 服务器发送

DHCP-DISCOVER 报文申请 IP 地址时，会构建客户端 ID 并添加到报文中一起发送。

如果在 DHCP 服务器上将客户端 ID 与 IP 地址绑定，则当该客户端申请 IP 地址时，

DHCP 服务器将根据客户端 ID 查找到对应的 IP 地址并分配给客户端。具体的配置如

表 2.42 所示。

表 2.42 配置采用静态绑定方式进行地址分配

操作命令说明


进入 DHCP 地址池视图 dhcp server ip-pool pool-name

配置静态绑定的 IP 地址 static-bind ip-address ip-address

[ mask-length | mask mask ]

必选

默认情况下，没有配置静态绑定的

IP 地址

配置静态绑定的MAC

地址或客户端 ID

配置静态绑定的客

户端 MAC 地址 static-bind mac-address mac-address

二者必选其一

默认情况下，没有配置静态绑定的

MAC 地址和客户端 ID

·84·

配置采用动态分配方式进行地址分配。

对于不同的地址池，DHCP 服务器可以指定不同的地址租用期限，但同一 DHCP 地址池

中的地址具有相同的期限。地址租用有效期限不具有继承关系。具体的配置如表 2.43 所示。

表 2.43 配置采用动态分配方式进行地址分配

操作命令说明



配置动态分配的 IP 地址范围 network network-address [ mask-length

| mask mask ]

必选

默认情况下，没有配置动态分配的 IP 地址范围，

即没有可供分配的 IP 地址

配置动态分配的 IP 地址

的租用有效期限

expired { day day [ hour hour [ minute

minute ] ] | unlimited }

可选

默认情况下，IP 地址租用有效期限为 1 天

退回系统视图 quit

配置 DHCP 地址池中不

参与自动分配的 IP 地址

dhcp server forbidden-ip

low-ip-address [ high-ip-address ]

可选

默认情况下，除 DHCP 服务器接口的 IP 地址外，

DHCP 地址池中的所有 IP 地址都参与自动分配

③ 配置 DHCP 客户端的域名后。在 DHCP 服务器上，可以为每个地址池指定客户端

使用的域名后。在给客户端分配 IP 地址的同时，也将域名后发送给客户端。具体的配置

如表 2.44 所示。

表 2.44 配置 DHCP 客户端的域名后缀

操作命令说明



配置为 DHCP 客户端分配的域名后 domain-name domain-name

必选

默认情况下，没有配置为 DHCP 客户

端分配的域名后

④ 配置 DHCP 客户端的 DNS 服务器地址。通过域名访问 Internet 上的主机时，需要将

域名解析为 IP 地址，这是通过 DNS（Domain Name System，域名系统）实现的。为了使 DHCP

客户端能够通过域名访问 Internet 上的主机，DHCP 服务器应在为客户端分配 IP 地址的同时

指定 DNS 服务器地址。目前，每个 DHCP 地址池多可以配置 8 个 DNS 服务器地址。具体

的配置如表 2.45 所示。

表 2.45 配置 DHCP 客户端的 DNS 服务器地址

操作命令说明



·85·

续表

操作命令说明

配置为 DHCP 客户端分配的 DNS 服务器地址 dns-list ip-address&<1-8>

必选

默认情况下，没有配置为 DHCP 客

户端分配的 DNS 服务器地址

⑤ 配置 DHCP 客户端的网关地址。DHCP 客户端访问本网段以外的服务器或主机时，数

据必须通过网关进行转发。DHCP 服务器可以在为客户端分配 IP 地址的同时指定网关的地址。

在 DHCP 服务器上，可以为每个地址池分别指定客户端对应的网关地址。在给客户端分

配 IP 地址的同时，也将网关地址发送给客户端。目前，每个 DHCP 地址池多可以配置 8

个网关地址。具体的配置如表 2.46 所示。

表 2.46 配置 DHCP 客户端的网关地址

操作命令说明



配置为 DHCP 客户端分配的网关地址 gateway-list ip-address&<1-8>

必选

默认情况下，没有配置为 DHCP 客户

端分配的网关地址

（4）配置 DHCP 服务的安全功能。在配置 DHCP 服务器后，为了提高 DHCP 服务的安全

性，需要配置 DHCP 服务的安全功能。

① 配置准备。在配置 DHCP 服务的安全功能之前，需完成 DHCP 服务器的必配任务：

启动 DHCP 服务；

配置 DHCP 服务器的地址池。

② 配置伪 DHCP 服务器检测功能。如果网络中有私自架设的 DHCP 服务器，当客户端

申请 IP 地址时，这台 DHCP 服务器就会与 DHCP 客户端进行交互，导致客户端获得错误的

IP 地址。这种私设的 DHCP 服务器称为伪 DHCP 服务器。

在 DHCP 服务器上启动伪 DHCP 服务器检测功能后，当 DHCP 服务器接收到 siaddr 字段

（为客户端分配 IP 地址的服务器 IP 地址）不为 0 的 DHCP 报文时，DHCP 服务器会记录报文

中 siaddr 字段的值及接收到报文的接口信息，以便管理员及时发现并处理伪 DHCP 服务器。

具体的配置如表 2.47 所示。

表 2.47 配置伪 DHCP 服务器检测功能

操作命令说明


启动伪 DHCP 服务器检测功能 dhcp server detect 必选

默认情况下，禁止伪 DHCP 服务器检测功能

③ 配置 IP 地址重复分配检测功能。为防止 IP 地址重复分配导致地址冲突，DHCP 服务

器为客户端分配地址前，需要先对该地址进行探测。

·86·

地址探测是通过 ping 功能实现的，通过检测是否能在指定时间内得到 ping 响应来判断是

否有地址冲突。DHCP 服务器发送目的地址为待分配地址的 ICMP 回显请求报文，如果在指

定时间内收到回显响应报文，DHCP 服务器从地址池中选择新的 IP 地址，并重复上述操作；

如果在指定时间内没有收到回显响应报文，则继续发送 ICMP 回显请求报文，直到发送的回

显请求报文达到大值，如果仍然没有收到回显响应报文，则将地址分配给客户端，从而确

保客户端被分得的 IP 地址唯一。具体的配置如表 2.48 所示。

表 2.48 配置 IP 地址重复分配检测功能

操作命令说明


配置 DHCP 服务器发送回

显请求报文的大数目 dhcp server ping packets number

可选

默认情况下，DHCP 服务器发送回显请求报文的大

数目为 1

0 表示不进行 ping 操作

配置 DHCP 服务器等待回

显响应报文的超时时间 dhcp server ping timeout milliseconds

可选

默认情况下，DHCP 服务器等待回显响应报文的超时

时间为 500ms

0 表示不进行 ping 操作

④ DHCP 服务器显示和维护。在完成配置后，在任意视图下执行 display 命令可以显示

配置后 DHCP 服务器的运行情况，通过查看显示信息验证配置的效果。具体的配置如表 2.49

所示。

在用户视图下执行 reset 命令清除 DHCP 服务器的相关信息。

表 2.49 DHCP 服务器显示和维护

操作命令

显示 DHCP 的地址冲突统计信息 display dhcp server conflict { all | ip ip-address }

显示 DHCP 地址池中的租约超期信息 display dhcp server expired { all | ip ip-address | pool [ pool-name ] }

显示 DHCP 地址池的可用地址信息 display dhcp server free-ip

显示 DHCP 地址池中不参与自动分配的 IP 地址 display dhcp server forbidden-ip

显示 DHCP 地址池中的地址绑定信息 display dhcp server ip-in-use { all | ip ip-address | pool [ pool-name ] }

显示 DHCP 服务器的统计信息 display dhcp server statistics

显示 DHCP 地址池的树状结构信息 display dhcp server tree { all | pool [ pool-name ] }

清除 DHCP 地址冲突的统计信息 reset dhcp server conflict { all | ip ip-address }

清除 DHCP 动态地址绑定信息 reset dhcp server ip-in-use { all | ip ip-address | pool [ pool-name ] }

清除 DHCP 服务器的统计信息 reset dhcp server statistics

（5）以 H3C S5500-28C-PWR-EI 系列交换机为例，配置 DHCP 服务

① 开启/关闭 DHCP 服务。

[H3C-S5500]dhcp enable

[H3C-S5500]undo dhcp enable

·87·

默认情况下，DHCP 服务处于禁止状态。

② 配置不参与自动分配的 IP 地址（DNS 服务器、WINS 服务器和网关地址）。

[H3C-S5500]dhcp server forbidden-ip low-ip-address [ high-ip-address ] low-ip-address：不参与自动分配的小 IP 地址。

high-ip-address：不参与自动分配的大 IP 地址，不能小于 low-ip-address。如果不指定

该参数，表示只有一个 IP 地址，即 low-ip-address。

默认情况下，除 DHCP 服务器接口的 IP 地址外，DHCP 地址池中的所有 IP 地址都参与

自动分配。

③ 创建 DHCP 地址池。

[H3C-S5500]dhcp server ip-pool pool-name pool-name：DHCP 地址池名称，是地址池的唯一标识，为 1～35 个字符的字符串。

默认情况下，没有创建 DHCP 地址池。

例：DHCP 服务器为网段 192.168.1.0/24 中的客户端动态分配 IP 地址，地址租用期限为 5

天 12 小时，DNS 服务器地址为 202.98.0.68，网关的地址为 192.168.1.1。

[Sysname]dhcp enable

[Sysname]dhcp server ip-pool 1

[Sysname-dhcp-pool-1]network 192.168.1.0 mask 255.255.255.0

[Sysname-dhcp-pool-1]gateway-list 192.168.1.1

[Sysname-dhcp-pool-1]dns-list 202.98.0.68

[Sysname-dhcp-pool-1]expired day 5 hour 12

[Sysname-dhcp-pool-1]quit

4．核心、汇聚交换机的配置

（1）工作任务分析。内部局域网要求对核心、汇聚交换机进行相应的 VLAN 配置、端口

汇聚配置、STP 配置、DHCP SERVER、路由配置等，保证主干网络畅通。主要配置如下：

① 在核心交换机 S5500 及汇聚交换机 S3610 上配置各 VLAN，加上描述名称。

② 在核心交换机 S5500 上配置各 VLAN 接口的 IP 地址作为 PC 的网关。

③ 在核心交换机 S5500 上配置 DHCP 功能，为 PC 自动分配 IP、网关及 DNS 地址。

④ 在两台汇聚交换机 S3610 上配置 VLAN TRUNK 接口，允许承载多个 VLAN 到核心

交换机。

（2）任务的实施。

① 在 H3C S5500 上配置 VLAN101～VLAN120，加上描述名称；

<H3C> system-view

[H3C]sysname H3CS5500

[H3CS5500]vlan 101

[H3CS5500-vlan101]description Accounting department 1

[H3CS5500-vlan101]vlan 102

[H3CS5500-vlan102]description storehouse


[H3CS5500-vlan103]description General manager room

·88·


[H3CS5500-vlan104]description Human resources department

[H3CS5500-vlan104]port Gigabitethernet1/0/6


[H3CS5500-vlan105]description Technical service department 1



[H3CS5500-vlan106]description Main meeting room



[H3CS5500-vlan107]description Equipment room

[H3CS5500-vlan107]port Gigabitethernet1/0/3 to Gigabitethernet1/0/5


[H3CS5500-vlan108]description Network center



[H3CS5500-vlan109]description Product division 1



[H3CS5500-vlan110]description Department manager 1




[H3CS5500-vlan112]description Salesdepartment



[H3CS5500-vlan113]description Advertisement propaganda department


[H3CS5500-vlan114]description Deputy general manager room


[H3CS5500-vlan115]description Quality control department


[H3CS5500-vlan116]description Product exhibition room


[H3CS5500-vlan117]description Management


[H3CS5500-vlan118]description Monitoring room


[H3CS5500-vlan119]description Small meeting room


[H3CS5500-vlan120]description Customer service department ② 在 2 楼设备间的 H3C S3610 上配置 VLAN101～VLAN103 和 VLAN110～VLAN111，

加上描述名称。

·89·


[H3CS3610]vlan 101


[H3CS3610-vlan101]port Ethernet1/0/1 to Ethernet1/0/2

[H3CS3610-vlan101]quit

[H3CS3610]vlan 102

[H3CS3610-vlan102]description storehouse



[H3CS3610]vlan 103

[H3CS3610-vlan103]description General manager room



[H3CS3610]vlan 110




[H3CS3610]vlan 111

[H3CS3610-vlan111]description department manager 2

[H3CS3610-vlan111]port Ethernet1/0/9 to Ethernet1/0/10 ③ 在 3 楼配线间 S3610 上配置VLAN101、VLAN105、VLAN113～VLAN116、VLAN118～

VLAN120，加上描述名称。


[H3CS3610]vlan 101




[H3CS3610]vlan 105

[H3CS3610-vlan105]description Technical service department 2

[H3CS3610-vlan105]port Gigabitethernet 1/1/1


[H3CS3610]vlan 109

[H3CS3610-vlan109]description Product division 2

[H3CS3610-vlan109]port Ethernet1/0/10


[H3CS3610]vlan 113

[H3CS3610-vlan113]description Advertisement propaganda department



[H3CS3610]vlan 114

[H3CS3610-vlan114]description Deputy general manager room



[H3CS3610]vlan 115

[H3CS3610-vlan115]description Quality Control Department

·90·



[H3CS3610]vlan 116

[H3CS3610-vlan116]description Product exhibition room



[H3CS3610]vlan 118

[H3CS3610-vlan118]description Monitoring room



[H3CS3610]vlan 119

[H3CS3610-vlan119]description Small meeting room



[H3CS3610]vlan 120

[H3CS3610-vlan120]description Customer service department

[H3CS3610-vlan120]port Gigabitethernet 1/1/2 ④ 在核心交换机 H3C S5500 上配置各 VLAN 接口的 IP 地址作为各部门 PC 的网关，设

备的连接和配置如图 2.29 所示。

图 2.29 VLAN 接口配置工作任务图

# 配置 VLAN101 接口的 IP 地址，其他 VLAN 同理配置。

[H3CS5500]interface Vlan-interface 101

[H3CS5500-Vlan-interface101]ip address 192.168.1.1 255.255.255.0

[H3CS5500-Vlan-interface101]quit
















·91·









































[H3CS5500-Vlan-interface120]ip address 192.168.18.1 255.255.255.0 ⑤ 核心交换机 H3C S5500 的内网口连接企业中的各个 VLAN，其 VLAN 的 IP 地址范围

为 192.168.1.0/24～192.168.18.0/24，DHCP 服务器（H3C S5500 交换机）为各个 VLAN 中的

客户端动态分配 IP地址，主DNS服务器地址为 202.98.0.68，辅DNS服务器地址为 202.98.5.68，

网关的地址为各 VLAN 子接口的地址，设备的连接和配置如图 2.30 所示。

·92·

图 2.30 DHCP 配置工作任务图

# 启动 DHCP 服务。

[H3CS5500]dhcp enable # 配置不参与自动分配的 IP 地址（网关地址）。

[H3CS5500]dhcp server forbidden-ip 192.168.1.1



















[H3CS5500]dhcp server forbidden-ip 192.168.18.1 # VLAN101 的 DHCP 地址作用域配置如下，其他 VLAN 同理配置。

[H3CS5500]dhcp server ip-pool 101

[H3CS5500-dhcp-pool-101]network 192.168.1.0 mask 255.255.255.0

[H3CS5500-dhcp-pool-101]gateway-list 192.168.1.1

[H3CS5500-dhcp-pool-101]dns-list 202.98.0.68 202.98.5.68

[H3CS5500-dhcp-pool-101]quit







[H3CS5500e-dhcp-pool-103]network 192.168.3.0 mask 255.255.255.0


·93·
















































·94·


[H3CS5500-dhcp-pool-113]network 192.16813.0 mask 255.255.255.0






































[H3CS5500-dhcp-pool-120]quit ⑥ 实现同一 VLAN 内的互访，设备的连接和配置如图 2.31 所示。

2 楼设备间 H3C S3610 上的配置：

# 进入 Gigabitethernet 1/1/4 1000Mbps 以太网端口视图。

[H3CS3610]interface Gigabitethernet 1/1/4

·95·

图 2.31 Trunk 配置工作任务图

# 配置 Gigabitethernet 1/1/4 为 Trunk 端口。

[H3CS3610-Gigabitethernet1/1/4]port link-type trunk # 配置 Gigabitethernet 1/1/4 允许所有 VLAN 的报文通过。

[H3CS3610-Gigabitethernet1/1/4]port trunk permit vlan all 2 楼设备间 H3C S5500 上的配置：


[H3CS5500-Gigabitethernet1/0/25]port link-type trunk

[H3CS5500-Gigabitethernet1/0/25]port trunk permit vlan all



[H3CS5500-Gigabitethernet1/0/26]port trunk permit vlan all 3 楼配线间 H3C S3610 上的配置：



[H3CS3610-Gigabitethernet1/1/4]port trunk permit vlan all ⑦ 考虑核心交换机 H3C S5500 和 2 楼汇聚层交换机 H3C S3610 都在 2 楼设备间内，采

用六类双绞线连接，为更好地实现出/入负荷在各成员端口中分担，在图 2.31 的基础上，可在

核心交换机H3C S5500和2楼汇聚层交换机H3C S3610实现两个1 000Mbps端口间链路聚合，

设备的连接和配置如图 2.32 所示。

图 2.32 链路聚合配置工作任务图

2 楼设备间 H3C S5500 上的配置：

# 创建手工聚合组 1。

[H3CS5500]link-aggregation group 1 mode manual # 将两个 1000Mbps 以太网端口 Gigabitethernet 1/0/22 和 Gigabitethernet 1/0/25 加入聚合

组 1


[H3CS5500-Gigabitethernet1/0/22]port link-aggregation group 1

[H3CS5500-Gigabitethernet1/0/22]quit

·96·


[H3CS5500-Gigabitethernet1/0/25]port link-aggregation group 1 2 楼设备间 H3C S3610 上的配置：

[H3CS3610]link-aggregation group 1 mode manual # 将两个 1000Mbps以太网端口 Gigabitethernet 1/1/1和 Gigabitethernet 1/1/4加入聚合组 1



[H3CS3610-Gigabitethernet1/1/1]quit



2.2.4 局域网内部功能测试

网络设备配置完成后要进行逻辑连通性测试，主要利用如下命令可以完成相应的测试。

1．节点 IP 地址检查

利用 ipconfig 命令，查看是否从 DHCP 服务器正确获取 IP 地址及相关参数。

2．测试同一 VLAN 及不同 VLAN 的各节点的连通性

利用 ping 命令，验证技术服务部 1 和技术服务部 2 内的 PC 可以互通，财务部 1 和财务

部 2 内的 PC 可以互通，不同 VLAN 间的 PC 不能互通。

3．检查交换机配置是否正确

利用 display current-configure 命令，显示当前配置信息，如接口 IP、VLAN、DHCP 等配

置是否正确。利用 display interface GigabitEthernet 1/0/1 命令，显示接口状态及配置信息。利

用 display link-aggregation interface GigabitEthernet 1/0/1 命令显示手工聚合组中端口 Gigabit

Ethernet1/0/1 链路聚合的详细信息。

2.3 广域网接入

2.3.1 任务分析

由于本项目中的三层设备有 H3C S5500-28C-PWR-EI 和 H3C MSR30-20 路由器，通过这

两个设备对内部网络和互联网相连接，可以采用动态路由，但从性能和可靠性上考虑，这里

配置静态路由更为优化。路由器的配置如下。

① 配置内网接口地址为 192.168.100.1/30。

② 配置外网接口地址为 222.161.98.109/30（ISP 提供）。

③ 启用防火墙功能，配置 ACL 访问控制列表进行外网访问控制及 NAT 用。

④ 把内部私有 IP 地址转换为 ISP 提供的公有 IP 地址 222.161.98.109/30，利用 NAT 中的

PAT 技术实现。

·97·

⑤ 配置到内部各网段的路由，可以把 C 类的私有网段汇聚为 B 类：192.168.0.0/16 来简

化路由的配置。

⑥ 配置到外部网络的路由，配置一条默认路由。

⑦ 其他的配置：用户管理、管理配置等。

2.3.2 路由器配置

1．路由器配置的基本步骤

一般情况下配置路由器的基本思路如下。

① 在配置路由器之前，需要将组网需求具体化、详细化，包括：组网目的、路由器在网

络互联中的角色、子网的划分、广域网类型和传输介质的选择、网络的安全策略和网络可靠

性需求等；

② 根据以上需求绘出一个清晰完整的组网图；

③ 配置路由器的广域网接口，首先，根据选择的广域网传输介质，配置接口的物理工作

参数（如串口的同/异步、波特率和同步时钟等），对于拨号口，还需要配置 DCC 参数；然后，

根据选择的广域网类型，配置接口封装的链路层协议以及相应的工作参数；

④ 根据子网的划分，配置路由器各接口的 IP 地址；

⑤ 配置路由，如果需要启动动态路由协议，还需配置相关动态路由协议的工作参数；

⑥ 如果有特殊的安全需求，则需进行路由器的安全性配置；

⑦ 如果有特殊的可靠性需求，则需进行路由器的可靠性配置。

2．路由管理策略

可以使用手工配置到某一特定目的地的静态路由，也可以配置动态路由协议与网络中其

他路由器交互，并通过路由算法来发现路由。用户配置的静态路由和路由协议发现的动态路

由在路由器中是统一管理的。静态路由与各路由协议之间发现或者配置的路由也可以在路由

协议间共享。

到相同的目的地，不同的路由协议（包括静态路由）可能会发现不同的路由，但并非这

些路由都是优的。事实上，在某一时刻，到某一目的地的当前路由仅能由唯一的路由协议

来决定。这样，各路由协议（包括静态路由）都被赋予了一个优先级，从而当存在多个路由

信息源时，具有较高优先级的路由协议发现的路由将成为当前路由。各种路由协议及其发现

路由的默认优先级（数值越小表明优先级越高）如表 2.50 所示。

表 2.50 路由协议及其发现路由的优先级

路由协议或路由种类相应路由的优先级

DIRECT 0

OSPF 10

IS-IS 15

STATIC 60

RIP 100

OSPF ASE 150

·98·

续表

路由协议或路由种类相应路由的优先级

OSPF NSSA 150

IBGP 130

EBGP 170

UNKNOWN 255

其中：0 表示直接连接的路由，255 表示任何来自不可信源端的路由。

除了直连路由（DIRECT）、IBGP 及 EBGP 外，各动态路由协议的优先级都可根据用户

需求，手工进行配置。另外，每条静态路由的优先级都可以不相同。

3．路由选择方式

典型的路由选择方式有两种：静态路由和动态路由。

静态路由是在路由器中设置的固定的路由表。除非网络管理员干预，否则静态路由不会

发生变化。由于静态路由不能对网络的改变做出反应，一般用于网络规模不大、拓扑结构固

定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中，静态路由优先级高。

当动态路由与静态路由发生冲突时，以静态路由为准。

动态路由是网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息更新路

由器表的过程。它能实时地适应网络结构的变化。如果路由更新信息表明发生了网络变化，

路由选择软件就会重新计算路由，并发出新的路由更新信息。这些信息通过各个网络，引起

各路由器重新启动其路由算法，并更新各自的路由表以动态地反映网络拓扑变化。动态路由

适用于网络规模大、网络拓扑复杂的网络。当然，各种动态路由协议会不同程度地占用网络

带宽和 CPU 资源。

静态路由和动态路由有各自的特点和适用范围，因此在网络中动态路由通常作为静态路

由的补充。当一个分组在路由器中进行寻径时，路由器首先查找静态路由，如果查到则根据

相应的静态路由转发分组；否则再查找动态路由。

根据是否在一个自治域内部使用，动态路由协议分为内部网关协议（IGP）和外部网关协

议（EGP）。这里的自治域指一个具有统一管理机构、统一路由策略的网络。自治域内部采用

的路由选择协议称为内部网关协议，常用的有 RIP 协议、OSPF 协议；外部网关协议主要用

于多个自治域之间的路由选择，常用的是 BGP 和 BGP-4。

4．静态路由

（1）静态路由简介。静态路由是一种特殊的路由，它由管理员手工配置而成。当网络结

构比较简单时，只需配置静态路由就可以使网络正常工作。恰当地设置和使用静态路由可以

改进网络的性能，并可为重要的网络应用保证带宽。通过静态路由的配置可建立一个互通的

网络，但这种配置缺点在于：当一个网络故障发生或者拓扑发生变化后，静态路由不会自动

发生改变，可能会出现路由不可达，导致网络中断，此时必须有管理员的介入，由网络管理

员手工修改静态路由的配置。

在组网结构比较简单的网络中，只需配置静态路由就可以使路由器正常工作，适当设置

和使用静态路由可以改进网络的性能，并可为重要的应用保证带宽。

静态路由还有如下的属性：

·99·

可达路由，正常的路由都属于这种情况，即 IP 报文按照目的地标示的路由被送往下一

跳，这是静态路由的一般用法。

目的地不可达的路由，当到某一目的地的静态路由具有“reject”属性时，任何去往该

目的地的 IP 报文都将被丢弃，并且通知源主机目的地不可达。

目的地为黑洞的路由，当到某一目的地的静态路由具有“blackhole”属性时，任何去

往该目的地的 IP 报文都将被丢弃，并且不通知源主机。

其中“reject”和“blackhole”属性一般用来控制本路由器可达目的地的范围，辅助网络

故障的诊断。

配置静态路由时，需要了解以下内容。

目的地址与掩码：在 ip route-static 命令中，IPv4 地址为点分十进制数格式，掩码可以

用点分十进制数表示，也可用掩码长度（即掩码中连续“1”的位数）表示。

出接口和下一跳地址：在配置静态路由时，可指定出接口 interface-type interface-

number，也可指定下一跳地址。指定出接口还是指定下一跳地址要视具体情况而定，

下一跳地址不能为本地接口 IP 地址，否则路由不会生效。

实际上，所有的路由项都必须明确下一跳地址。在发送报文时，首先根据报文的目的地

址寻找路由表中与之匹配的路由。只有指定了下一跳地址，链路层才能找到对应的链路层地

址，并转发报文。

配置举例如图 2.33 所示。

图 2.33 静态路由配置举例

在路由器 RTA 上配置：

Quidway(config)#ip route-static 192.168.1.0 255.255.0.0 192.168.0.201

或：ip route-static 192.168.1.0 16 192.168.0.201

或：ip route-static 192.168.1.0 16 serial 0/0 （2）默认路由。默认路由是一种特殊的路由，简单地说，默认路由是在路由器没有找到

匹配的路由表入口项时才使用的路由。即只有当没有合适的路由时，默认路由才被使用。在

路由表中，默认路由以到网络 0.0.0.0（掩码为 0.0.0.0）的路由形式出现。可通过命令 display ip

routing-table 的输出看它是否被设置。如果报文的目的地址不能与任何路由相匹配，那么系统

将使用默认路由转发该报文。如果没有默认路由且报文的目的地不在路由表中，那么该报文

被丢弃，同时，向源端返回一个 ICMP 报文报告该目的地址或网络不可达。

默认路由可以通过静态路由配置，以到网络 0.0.0.0（掩码也为 0.0.0.0）的形式在路由表

中出现，也可以由某些动态路由协议生成，如 OSPF 协议、IS-IS 协议和 RIP 协议。

·100·

配置举例如图 2.34 所示。

图 2.34 默认路由配置举例

在路由器 RTA 上配置：

Quidway(config)# ip route-static 0.0.0.0 0.0.0.0 192.168.0.201

5．RIP 协议

RIP（Routing Information Protocol，路由信息协议）是应用较早、使用较普遍的内部网关

协议（Interior Gateway Protocol，IGP），适用于小型同类网络的一个自治系统（AS）内的路

由信息的传递。RIP 协议是基于距离矢量算法（Distance Vector Algorithms，DVA）的。使用

“跳数”，即“metric”来衡量到达目标地址的路由距离（参见 Internet 技术性文件 RFC1058、

RFC1723）。RIP 是一个用于路由器和主机间交换路由信息的距离向量协议，目前新的版本

为 v4，也就是 RIPv4。

由于历史的原因，当前的互联网被组成一系列的自治系统，各自治系统通过一个核心路

由器连到主干网上。而一个自治系统往往对应一个组织实体（比如一个公司或大学）内部的

网络与路由器集合。每个自治系统都有自己的路由技术，对不同的自治系统路由技术是不相

同的。用于自治系统间接口上的路由协议称为“外部网关协议”，简称 EGP（Exterior Gateway

Protocol）；而用于自治系统内部的路由协议称为“内部网关协议”，简称 IGP（Interior Gateway

Protocol）。内部网关与外部网关协议不同，外部路由协议只有一个，而内部路由器协议则是

一族。各内部路由器协议的区别在于距离制式（distance metric，即距离度量标准）不同和路

由刷新算法不同。RIP 协议是广泛使用的 IGP 类协议之一，著名的路径刷新程序 Routed 便

是根据 RIP 实现的。RIP 协议被设计用于使用同种技术的中型网络，因此适应于大多数的校

园网和使用速率变化不是很大的连续性强的地区性网络。对于更复杂的环境，一般不使用 RIP

协议，而普遍采用 OSPF 协议。

由于 RIP 的实现较为简单，协议本身的开销对网络的性能影响比较小，并且在配置和维

护管理方面也比 OSPF 协议或 IS-IS 协议容易，因此在实际组网中仍有广泛的应用。

（1）RIP 工作原理。RIP 协议是基于 Bellham-Ford（距离向量）算法，1969 年此算法被

用于计算路由选择，正式协议首先是由 Xerox 于 1970 年开发的，当时是作为 XNS（XEROX’s

Network System）协议族的一部分。由于 RIP 实现简单，迅速成为使用范围广泛的路由协

议。

路由器的关键作用是用于网络的互联，每个路由器与两个以上的实际网络相连，负责在

这些网络之间转发数据报。在讨论 IP 进行选路和对报文进行转发时，我们总是假设路由器包

含了正确的路由，而且路由器可以利用 ICMP 重定向机制来要求与之相连的主机更改路由。

·101·

但在实际情况下，IP 进行选路之前必须先通过某种方法获取正确的路由表。在小型的、变化

缓慢的互联网络中，管理者可以用手工方式来建立和更改路由表。而在大型的、迅速变化的

环境下，人工更新的办法慢得不能接受。这就需要自动更新路由表的方法，即所谓的动态路

由协议，RIP 协议是其中简单的一种。

在路由实现时，RIP 作为一个系统长驻进程（daemon）而存在于路由器中，负责从网络

系统的其他路由器接收路由信息，从而对本地 IP 层路由表做动态的维护，保证 IP 层发送报

文时选择正确的路由。同时负责广播本路由器的路由信息，通知相邻路由器做相应的修改。

RIP 协议处于 UDP 协议的上层，RIP 所接收的路由信息都封装在 UDP 协议的数据报中，RIP

利用 UDP 协议 520 号端口上接收来自远程路由器的路由修改信息，并对本地的路由表做相应

的修改，同时通知其他路由器。通过这种方式，达到全局路由的有效。

RIP 路由协议用“更新（UPDATES）”和“请求（REQUESTS）”这两种分组来传输信息

的。每个具有 RIP 协议功能的路由器每隔 30s 用 520 端口给与之直接相连的机器广播更新信

息。更新信息反映了该路由器所有的路由选择信息数据库。路由选择信息数据库的每个条目

由“局域网上能达到的 IP 地址”和“与该网络的距离”两部分组成。请求信息用于寻找网络

上能发出 RIP 报文的其他设备。

RIP 使用跳数（Hop Count）来衡量到达目的网络的距离，称为路由权（Routing Cost）。

在 RIP 中，路由器到与它直接相连网络的跳数为 0，每个路由器在给相邻路由器发出路由信

息时，都会给每个路径加上内部距离，通过一个路由器可达的网络的跳数为 1，其余以此类

推。为限制收敛时间，RIP 规定 Cost 取值为 0～15 之间的整数，大于或等于 16 的跳数被定义

为无穷大，即目的网络或主机不可达。由于这个限制，使得 RIP 不适合应用于大型网络。如

图 2.35 所示，路由器 3 直接和网络 C 相连。当它向路由器 2 通告网络 192.168.3.0 的路径时，

它把跳数增加 1。与之相似，路由器 2 把跳数增加到“2”，并把该路径通告给路由器 1，则路

由器 2、路由器 1 与路由器 3 所在网络 192.168.3.0 的距离分别是 1 跳、2 跳。

然而在实际的网络路由选择上并不总是由跳数决定的，还要结合实际的路径连接性能综

合考虑。在如图 2.36 所示的网络中，从路由器 1 到网络 C，RIP 协议将更倾向于跳数为 2 的

路径，即路由器 1 经路由器 2 到路由器 3 的 1.5Mbps 链路，而不是选择跳数为 1 的 56Kbps，

即直接由路由器 1 到路由器 3 路径，因为跳数为 1 的 56Kbps 串行链路比跳数为 2 的 1.5Mbps

串行链路慢得多。

图 2.35 RIP 工作原理示例图 2.36 路由选择不仅限于“跳数”考虑的示例

为提高性能，防止产生路由环，RIP 支持水平分割（Split Horizon），即不从某接口发送

从该接口学到的路由。

·102·

（2）RIP 报文格式。如图 2.37 所示为 RIP 信息格式。各字段解释如下。

Command：命令字段，8 位，用来指定数据报用途。命令有 5 种：Request（请求）、

Response（响应）、Traceon（启用跟踪标记，自 v2 版本后已经淘汰）、Traceoff（关闭跟踪标

记，自 v2 版本后已经淘汰）和 Reserved（保留）。

Version：RIP 版本号字段，8 位。

Address Family Identifier：地址族标识符字段，16 位。它指出该入口的协议地址类型。由

于 v2 版本可能使用几种不同协议传送路由选择信息，所以要使用到该字段。IP 协议地址的

Address Family Identifier 为 2。

图 2.37 RIP 协议信息格式

Route Tag：路由标记字段，16 位，仅在 v2 版本以上需要，v1 版本不用，为 0。用于路

由器指定属性，必须通过路由器保存和重新广告。路由标志是分离内部和外部 RIP 路由线路

的一种常用方法（路由选择域内的网络传送线路），该方法在 EGP 或 IGP 都有应用。

IP Address：目标 IP 地址字段，IPv4 地址为 32 位。

Subnet Mask：子网掩码字段，IPv4 子网掩码地址为 32 位。它应用于 IP 地址，生成非主

机地址部分。如果为 0，说明该入口不包括子网掩码。也仅在 v2 版本以上需要，在 RIPv1 中

不需要，为 0。

Next Hop：下一跳字段。指出下一跳 IP 地址，由路由入口指定的通向目的地的数据包需

要转发到该地址。

Metric：跳数字段。表示从主机到目的地获得数据报过程中的整个成本。

（3）RIP 的路由数据库。每个运行 RIP 的路由器管理一个路由数据库，该路由数据库包

含了到网络中所有可达目的网络的路由项，这些路由项包含下列信息。

目的地址：指主机或网络的地址。

下一跳地址：指为到达目的地，本路由器要经过的下一个路由器地址。

接口：指转发报文的接口。

路由权值：指本路由器到达目的地的跳数，是一个 0～15 之间的整数。

路由时间：从路由项后一次被修改到现在所经过的时间，路由项每次被修改时，路

由时间重置为 0。

路由标记（Route Tag）：区分路由为内部路由协议的路由还是引入外部路由协议的路

由的标记。

·103·

（4）RIP 的版本。RIP 有两个版本：RIPv1 和 RIPv2。

RIPv1 是有类别路由协议（Classful Routing Protocol），它只支持以广播方式发布协议报

文。RIPv1 的协议报文中没有携带掩码信息，它只能识别 A、B、C 类这样的自然网段的路由，

因此 RIPv1 无法支持路由聚合，也不支持不连续子网（Discontiguous Subnet）。

RIPv2 是一种无分类路由协议（Classless Routing Protocol），与 RIPv1 相比，它有以下优势：

支持外部路由标记（Route Tag），可以在路由策略中根据 Tag 对路由进行灵活的控制。

报文中携带掩码信息，支持路由聚合和 CIDR（Classless Inter-Domain Routing）。

支持指定下一跳，在广播网上可以选择到优下一跳地址。

支持组播路由发送更新报文，减小资源消耗。

支持对协议报文进行验证，并提供明文验证和 MD5 验证两种方式，增强安全性。

（5）RIP 的启动和运行过程。如图 2.38 所示，RIP 启动和运行的整个过程可描述如下：

图 2.38 RIP 启动过程

其中，度量值使用了跳数，路由器 1、路由器 2、路由器 3、路由器 4 启动 RIP 时，即在

t0 时刻，各个路由器的路由表中只有各自的直连网络，路由器 1 到路由器 4 刚刚启用 RIP 协

议，此时，从 A 到 D 的四台路由器都仅仅知道其直接连接的网络的路由，这些路由的跳步数

均为 0，并且没有下一跳路由器，在更新时刻到来时，这四台设备都会以广播的方式向相邻

的路由器发送请求报文（Request message），向各自的所有链路发送这些路由信息。相邻的

RIP 路由器收到请求报文后，响应该请求，回送包含本地路由表信息的响应报文（Response

message）。如图 2.39 所示。

图 2.39 各路由器 t0 时刻路由表

NET VIA HOPS

192.168.6.0 … 0

192.168.7.0 … 0

NET VIA HOPS

192.168.4.0 … 0

192.168.5.0 … 0

192.168.6.0 … 0

NET VIA HOPS

192.168.1.0 ... 0

192.168.2.0 … 0

NET VIA HOPS

192.168.2.0 … 0

192.168.3.0 … 0

192.168.4.0 … 0

·104·

在 t1 时刻，每台设备都接收到了相邻设备的更新并进行了第一次的路由信息调整。对路

由器 1 来讲，它接收到了来自路由器 2 的更新报文，告之路由器 2 有到达 192.168.2.0、

192.168.3.0 和 192.168.4.0 网络的路由，路由器 1 认为路由器 2 的更新报文中到达 192.168.3.0

和 192.168.4.0 网络的路由是可以接受的，因为自己的路由表中没有到达 192.168.3.0 和

192.168.4.0 网络的路由，而对于到达 192.168.2.0 网络的路由，路由器 1 不会采纳的原因在于，

路由器 2 发布的有关 192.168.2.0 网络的路由跳步数为 1，比自己当前所知道的要大，因此它

认为应该保留现在的佳路由。这样路由器 1 将 192.168.3.0 和 192.168.4.0 的路由加入到自己

的路由信息表中，同时将接收这条消息的源作为路由的下一跳记录下来，如图 2.40 所示。

路由器 2 同时收到来自相邻设备路由器 1 和路由器 3 的更新报文，告之路由器 1 和路由

器 3 分别有到达 192.168.1.0、192.168.2.0、192.168.4.0、192.168.5.0 和 192.168.6.0 网络的路

由，路由器 2 认为路由 1 和路由器 3 的更新报文中到在 192.168.1.0、192.168.5.0 和 192.168.6.0

网络的路由是可以接受的，因为自己的路由表中没有到达 192.168.1.0、192.168.5.0 和

192.168.6.0 网络的路由，而对于到达 192.168.2.0 和 192.168.4.0 网络的路由，路由器 2 不会采

纳的原因在于，路由器 1 和路由器 3 发布的有关 192.168.2.0 和 192.168.4.0 网络的路由跳步数

为 1，比自己当前所知道的要大，因此它认为应该保留现在的佳路由。这样路由器 2 将

192.168.1.0、192.168.5.0 和 192.168.6.0 的路由加入到自己的路由信息表中，同时将接收这条

消息的源作为路由的下一跳记录下来，如图 2.41 所示。


路由器 3 和路由器 4 收到响应报文后，以同样的方式更新本地路由表。

各路由器在更新本地路由表后，又向其各自的相邻路由器发送触发更新报文。在一连串

的触发更新广播后，各路由器都能得到并保持新的路由信息。

终对于如图 2.38 所示的网络环境，经过 3 个更新周期后每台路由器都会形成到达整个

网络的路由，如图 2.42 所示。

RIP 采用老化机制对超时的路由进行老化处理，以保证路由的实时性和有效性。

RIP v2 的更新报文是发送到组播地址 224.0.0.9，而非广播报文。

NET VIA HOPS

192.168.1.0 ... 0

192.168.2.0 … 0

192.168.3.0 1

192.168.4.0 S0/1 1

NET VIA HOPS

192.168.2.0 … 0

192.168.3.0 … 0

192.168.4.0 … 0

192.168.1.0 S0/0 1

192.168.5.0 S0/1 1

192.168.6.0 S0/1 1

NET VIA HOPS

192.168.6.0 … 0

192.168.7.0 … 0

192.168.4.0 S0/0

192.168.5.0 S0/0

NET VIA HOPS

192.168.4.0 … 0

192.168.5.0 … 0

192.168.6.0 … 0

192.168.2.0 S0/0

192.168.3.0 S0/0

192.168.7.0 S0/1

·105·



（6）路由器的收敛机制及防止路由环路。任何距离向量路由选择协议（如 RIP）都有一

个问题，路由器不知道网络的全局情况，路由器必须依靠相邻路由器来获取网络的可达信息。

由于路由选择更新信息在网络上传播慢，距离向量路由选择算法有一个收敛慢的问题，这个

问题将导致不一致性。

RIP 是一种基于 D-V 算法的路由协议，由于它向邻居通告的是自己的路由表，存在发生

路由环路的可能性。

RIP 协议使用以下机制减少因网络上的不一致带来的路由选择环路的可能性。

① 记数到无穷大机制。RIP 协议允许大跳数为 15，在路由环路发生时，某条路由的度

量值将被设置为 16，该路由被认为不可达。这个数字在限制了网络大小的同时也防止了“记

数到无穷大”的问题。

NET VIA HOPS

192.168.1.0 ... 0

192.168.2.0 … 0

192.168..3.0 1

192.168.4.0 S0/1 1

192.168.5.0 S0/1 2

192.168.6.0 S0/1 2

NET VIA HOPS

192.168.2.0 … 0

192.168.3.0 … 0

192.168.4.0 … 0

192.168.1.0 S0/0 1

192.168.5.0 S0/1 1

192.168.6.0 S0/1 1

192.168.7.0 S0/1 2

NET VIA HOPS

192.168.6.0 … 0

192.168.7.0 … 0

192.168.5.0 S0/0 1

192.168.4.0 S0/0 1

192.168.2.0 S0/0 2

192.168.3.0 S0/0 2

NET VIA HOPS

192.168.4.0 … 0

192.168.5.0 … 0

192.168.6.0 … 0

192.168.2.0 S0/0 1

192.168.3.0 S0/0 1

192.168.7.0 S0/1 1

192.168.1.0 S0/0 2

NET VIA HOPS

192.168.1.0 ... 0

192.168.2.0 … 0

192.168.3.0 1

192.168.4.0 S0/1 1

192.168.5.0 S0/1 2

192.168.6.0 S0/1 2

192.168.7.0 S0/1 3

NET VIA HOPS

192.168.2.0 … 0

192.168.3.0 … 0

192.168.4.0 … 0

192.168.1.0 S0/0 1

192.168.5.0 S0/1 1

192.168.6.0 S0/1 1

192.168.7.0 S0/1 2

NET VIA HOPS

192.168.6.0 … 0

192.168.7.0 … 0

192.168.5.0 S0/0 1

192.168.4.0 S0/0 1

192.168.2.0 S0/0 2

192.168.3.0 S0/0 2

192.168.1.0 S0/0 3

NET VIA HOPS

192.168.4.0 … 0

192.168.5.0 … 0

192.168.6.0 … 0

192.168.2.0 S0/0 1

192.168.3.0 S0/0 1

192.168.7.0 S0/1 1

192.168.1.0 S0/0 2

·106·

记数到无穷大机制的工作原理如下（如图 2.43

所示）：

现假设路由器 1 断开了与网络 A 相连，则路

由器 1 丢失了与网络 A 相连的以太网接口后

产生一个触发更新送往路由器 2 和路由器 3。

这个更新信息同时告诉路由器 2 和路由器 3，

路由器 1 不再有到达网络 A 的路径。假设这

个更新信息传输到路由器 2 被推迟了（CPU

忙、链路拥塞等），但到达了路由器 3，路由

器 3 就会立即从路由表中去掉到网络 A 的路

径。

路由器 2 由于未收到路由器 1 的触发更新信息，并发出它的常规路由选择更新信息，

通告网络 A 以 2 跳的距离可达。路由器 3 收到这个更新信息，认为出现了一条通过路

由器 2 的到达网络 A 的新路径。于是路由器 3 告诉路由器 1，它能以 3 跳的距离到达

网络 A。

在收到路由器 3 的更新后，就把这个信息加上一跳后向路由器 2 和路由器 3 同时发出

更新信息，告诉他们路由器 1 可以以 3 跳的距离到达网络 A。

路由器 2 在收到路由器 1 的消息后，比较后发现与原来到达网络 A 的路径不符，更新

成以 4 跳的距离到达网络 A。这个消息会再次发往路由器 3，以此循环，直到跳数达

到超过 RIP 协议允许的大值（在 RIP 中定义为 16）。一旦一个路由器达到这个值，

它将声明这条路径不可用，并从路由表中删除此路径。

由于记数到无穷大问题，路由选择信息将从一个路由器传到另一个路由器，每次段数加

1。路由选择环路问题将无限制地进行下去，除非达到某个限制。这个限制就是 RIP 的大跳

数。当路径的跳数超过 15，这条路径才从路由表中删除。

② 水平分割法。水平分割规则如下：路由器不向路径到来的方向回传此路径。当打开路

由器接口后，路由器记录路径是从哪个接口来的，并且不向此接口回传此路径。

某些交换机可以对每个接口关闭水平分割功能。这个特点在“non broadcast multiple

access”（NBMA，非广播多路访问）环境下十分有用。在如图 2.44 所示的网络中，路由器 2

通过帧中继连接路由器 1 和路由器 3，两个 PVC 都在路由器 2 的同一个物理接口（S0）中止。

如果在路由器 2 的水平分割功能未被关闭，那么路由器 3 将收不到路由器 1 的路由选择信息

（反之亦然）。

③ 破坏逆转的水平分割法。水平分割法是路由器用来防止把一个接口得来的路径又从此

接口传回导致的问题的方案。水平分割方案忽略在更新过程中从一个路由器获取的路径又传

回该路由器。有破坏逆转的水平分割方法是在更新信息中包括这些回传路径，但这种处理方

法会把这些回传路径的跳数设为 16（无穷）。通过把跳数设为无穷，并把这条路径告诉源路

由器，有可能立刻解决路由选择环路。否则，不正确的路径将在路由表中驻留到超时为止。

破坏逆转的缺点是它增加了路由更新的数据大小。

④ 保持定时器法。保持定时器法可防止路由器在路径从路由表中删除后一定的时间内

（通常为 180s）接受新的路由信息。它的思想是保证每个路由器都收到了路径不可达信息，而

且没有路由器发出无效路径信息。

图 2.43 路由器收敛机制示例

·107·

图 2.44 水平分割法原理示例

⑤ 触发更新法。有破坏逆转的水平分割将任何两个路由器构成的环路打破，但 3 个或更

多个路由器构成的环路仍会发生，直到无穷（16）时为止。触发式更新法可加速收敛时间，

它的工作原理是当某个路径的跳数改变了，路由器立即发出更新信息，不管路由器是否到达

常规信息更新时间都发出更新信息。

RIP 被大多数 IP 路由器厂商广泛使用。它可用于大多数校园网及结构较简单的连续性强

的地区性网络。对于更复杂的环境及大型网络，一般不使用 RIP。

（7）RIP 配置举例。如图 2.45 所示，一个企业的内部网络通过路由器 Router A 连到

Internet，内部网络的主机直接连接到 Router B 或 Router C 上。要求 3 个路由器上均运行 RIP。

Router A 只接收从外部网络发来的路由信息，但不对外发布内部网络的路由信息。Router A、

Router B、Router C 之间能够交互 RIP 信息，以便于内部主机能够访问 Internet。

图 2.45 RIP 配置组网图

配置步骤：

① 配置 Router A。

# 配置接口 Ethernet 2/0/0 和 Ethernet 6/0/0。

[RouterA] interface ethernet 2/0/0

[RouterA-Ethernet2/0/0] ip address 192.1.1.1 255.255.255.0

·108·

[RouterA-Ethernet2/0/0] quit


[RouterA-Ethernet6/0/0] ip address 192.1.2.1 255.255.255.0 # 启动 RIP，并配置在接口 Ethernet 2/0/0 和 Ethernet 6/0/0 上运行 RIP。

[RouterA] rip

[RouterA-rip] network 192.1.1.0

[RouterA-rip] network 192.1.2.0 # 配置接口 Ethernet 6/0/0 只接收 RIP 报文。


[RouterA-Ethernet6/0/0] undo rip output

[RouterA-Ethernet6/0/0] rip input ② 配置 RouterB。

# 配置接口 Ethernet2/0/0。

[RouterB] interface Ethernet 2/0/0

[RouterB-Ethernet2/0/0] ip address 192.1.1.2 255.255.255.0 # 启动 RIP，并配置在接口 Ethernet2/0/0 上运行 RIP。

[RouterB] rip

[RouterB-rip] network 192.1.1.0

[RouterB-rip] import direct 配置 RouterC。

# 配置接口 Ethernet 2/0/0。

[RouterC] interface Ethernet 2/0/0

[RouterC-Ethernet2/0/0] ip address 192.1.1.3 255.255.255.0 # 启动 RIP，并配置在接口 Ethernet2/0/0 运行 RIP。

[RouterC] rip

[RouterC-rip] network 192.1.1.0

[RouterC-rip] import direct

2.3.3 地址转换（NAT）

1．NAT（Network Address Translation，地址转换）技术简介

在日常经济领域，当一种商品出现短缺时，市场的初反应通常会表现为这类商品价格

的上扬，并开始出现限量供应。然后，人们将会逐渐着手寻求这类商品可能的替代品及解决

这类商品短缺问题的终途径。

在网络技术领域，这种现象也同样不同程度地存在着。这其中，IP 地址问题就是一个非

常典型的例子。早在 20 年前，IETF Internet 工程任务组就已开始意识到现行 IPv4 地址空间将

面临短缺的问题。IPv4 使用 32 位地址，为便于寻址和实现网络构造层次化，每个 IP 地址包

括网络 ID 和主机 ID 两个标识码。同一物理网络内的所有主机都用同一网络 ID，网络上的每

·109·

一主机则有一个主机 ID 与其对应。同时，根据网络 ID 的不同，这种全球唯一的 IP 地址又划

分为 A、B、C、D 和 E 5 种地址类型。

在网络发展初期，这样划分 IP 地址类型并无不妥，但在 Internet 飞速发展和规模日益庞

大的今天，根据 A、B、C 三种主要地址类型分配地址实际上造成了 Internet 地址资源的严重

浪费。目前，A 类地址早已告罄，B 类地址也面临耗尽，现正分配中的 C 类地址也将很快消

耗殆尽。仅以我国为例，自 1997 年至今，我国 IP 地址总数一直呈加速增长态势。据中国互

联网络信息中心今年 7 月末发布的《中国互联网络发展状况统计报告》显示，截至 2003 年 6

月 30 日，我国内地 IP 地址总数已达 32 084 480 个。从全球情况来看，数字将更为惊人。有

预测表明，以目前的 Internet 发展速度计算，所有 IPv4 地址将会在 2005 至 2010 年间全部分

配一空。

为解决 IPv4 存在的这类问题，IETF 从 1995 年开始着手研发拥有长达 128 位地址空间、

可彻底解决 IPv4 地址不足问题的下一代 IPv6 协议。与此同时，各种旨在缓解 IPv4 地址不足

问题的过渡性解决方案也相继涌现。其中有影响的当属根据 1994 年发布的 RFC 1631“IP

地址翻译器”开发的 NAT 网络地址翻译技术，如图 2.46 所示。

图 2.46 NAT 示意图

这一技术的具体实现办法是在内部网络使用专用地址，通过 NAT 将内部地址转换成合法

的 IP 地址在 Internet 上使用。NAT 设备的主要功能是负责维护一个用于将内部 IP 地址映射到

合法 IP 地址上去的状态表。同时，内部网络内的数据包在 NAT 设备中被转换成正确的 IP 地

址，发往下一级。与普通路由器仅在将数据包转发至目的地前读取源地址和目的地址不同，

NAT 设备实际上是对数据包头进行修改，将专用网络源地址修改为 NAT 设备自己的 Internet

地址。

这样，借助 NAT，理论上一个全球唯一 IP 地址后面可以连接几百台、几千台乃至几百万

台内部网络专用地址主机，从而可以有效减少注册 IP 地址的使用，节省大量宝贵的 IP 地址

资源，在很大程度上缓解现行 IPv4 地址不足的问题。

地址转换的提出背景：

·110·

如 RFC1631 所描述，NAT（Network Address Translation，地址转换）是将 IP 数据报报

头中的 IP 地址转换为另一个 IP 地址的过程。在实际应用中，NAT 主要用于实现私有网络访

问外部网络的功能。这种通过使用少量的公有 IP 地址代表多数的私有 IP 地址的方式将有助

于减缓可用 IP 地址空间枯竭的速度。说明：

私有地址是指内部网络或主机地址，公有地址是指在 Internet 上全球唯一的 IP 地址。

RFC1918 为私有网络预留出了如下 3 个 IP 地址块。

A 类：10.0.0.0～10.255.255.255

B 类：172.16.0.0～172.31.255.255

C 类：192.168.0.0～192.168.255.255

上述 3 个范围内的地址不会在 Internet 上被分配，因而可以不必向 ISP 或注册中心申请

而在公司或企业内部自由使用。

地址转换的提出背景可归纳如下：

地址转换（NAT）是在 IP 地址日益短缺的情况下提出的。

一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的 IP 地址，为了达

到所有的内部主机都可以连接 Internet 的目的，可以使用地址转换。

地址转换（NAT）技术可以有效地隐藏内部局域网中的主机，因此同时是一种有效的

网络安全保护技术。

地址转换（NAT）可以按照用户的需要，在局域网内部提供给外部 FTP、WWW、Telnet

等服务。

2．NAT 技术在企业中的实际应用

现在越来越多的地方用到网络地址转换（Network Address Translation，NAT）。网络中的

IP 包从源地址出发，到终的目的地址，会经过很多不同的连接。这些连接（包括路由器、

交换机、服务器等）不会修改 IP 包的内容，只是根据目的地址选择转发路径。NAT 的作用就

是修改 IP 包的源、目的地址或者源、目的端口（Port）。通常，NAT 设备（服务器、防火墙

或路由器）会记录它是如何转换的，当相应的 IP 包通过时，它会对相应的 IP 包做反向转换。

简言之，就是通过地址转换访问不同网段的信息。

如图 2.47 所示，主机 PC1 发出一个源地址为 192.168.0.1，源端号为 3000 的数据包，局

域网的出口路由器在处理这个数据包的时候，将数据包的源地址替换为公网地址址 202.0.0.1，

源端口号改为 4000，并保存在路由器 NAT 缓存表中，再将它送到 Internet 中，这样一来，就

不会同其他局域网中的计算机产生冲突了。当局域网的出口路由器接收到一个目的地址为

202.0.0.1，目的端口号为 4000 的数据包时，路由器会根据路由器 NAT 缓存表将数据包的目

的地址替换为 192.168.0.1，目的端口号改为 3000，再将它送到局域网中，这样数据包就会被

准确地送达主机 PC1。

同理，主机 PC2 发出一个源地址为 192.168.0.2，源端号为 3010 的数据包，局域网的出

口路由器在处理这个数据包的时候，将数据包的源地址替换为公网地址址 202.0.0.1，源端口

号改为 4001，并保存在路由器 NAT 缓存表中，再将它送到 Internet 中，同样也不会同其他局

域网中的计算机产生冲突了。当局域网的出口路由器接收到一个目的地址为 202.0.0.1，目的

端口号为 4001 的数据包时，路由器会根据路由器 NAT 缓存表将数据包的目的地址替换为

192.168.0.2，目的端口号改为 3010，再将数据包准确地送达主机 PC2。

·111·

图 2.47 NAT 功能示意图

需要说明的是，并不是在所有的情况下都可以使用地址转换，由于地址转换会对包头进

行修改，因此在包头号被加密或受保护的情况下是无法使用地址转换的，比如：利用 IPSEC

（IP Security）进行了加密保护的数据包就无法进行地址转换。

NAT（网络地址转换）技术是现在应用比较广泛的网络技术，推出的目的用于缓解目前

IP 地址即将耗尽的矛盾。它是通过改变 IP 包头使目的地址、源地址或两个地址在包头中被不

同的地址替换，从而达到多个局域网主机能够共用一个 IP 地址来访问外部网络的目的。目前

主要应用于让企业内部多台主机共享一个 IP 地址访问互联网。

在企业网中，我们可以灵活采用 NAT 技术来简化公司内部的网络配置。下面几种情况可

以在企业内部应用 NAT 技术。

① 一个企业不想让外部网络用户知道自己的网络内部结构，可以通过 NAT 将内部网络

与外部 Internet 隔离开，则外部用户根本不知道通过 NAT 设置的内部 IP 地址。从而可有效

解决企业合法 IP 地址短缺的问题。

② 一个企业申请的合法 Internet IP 地址很少，而内部网络用户很多。可以通过 NAT 功

能实现多个用户同时公用一个合法 IP 与外部 Internet 进行通信。这种情况是企业出于安全方

面的考虑，期望隐藏企业 LAN 内部网络结构，则可以通过 NAT 将内部 LAN 与外部 Internet 隔

离，使外部用户无法了解通过 NAT 设置的内部 IP 地址。

③ 当两个具有一定网络规模的公司合并时，如果不想改变两个公司的网络设置，就可以

应用网络地址转换，使两个公司的网络能够互相访问，如图 2.48 所示。

④ 远程子公司访问总公司时，子公司也已经具有了一定的网络规模，如果按照总公司分

配的地址范围来更改子公司的每一台主机的 IP 地址，将是一个很麻烦的事情，而且可能还会

导致子公司的正常的业务中断。这时也可以应用网络地址转换技术使子公司的主机不需要更

改 IP 地址就能够正常访问总公司的网络。

⑤ NAT 设备能实现负载平衡。DNS 系列服务器群中多个 IP 地址公用一个域名，由于 IP

客户端会缓冲 DNS/IP 地址解析，从而使其后续申请延迟达到同一个 IP 地址，在一定程度上

减弱了 DNS 系列服务器的作用。而基于 NAT 的负载平衡方案，可以有效地避免这类问题。

NAT 设备是把需要负载平衡的多个 IP 地址翻译成一个公用的 IP 地址，每个 TCP 连接被 NAT

送到一个 IP 地址，使后续的 TCP 连接被 NAT 送到下一个 IP 地址来实现真正的负载平衡。

⑥ NAT 技术能够在用户更改 ISP 时避免对内部网络进行重新编址，同时减少用户网络

接入的费用等问题。

·112·

图 2.48 NAT 网络互相连接

NAT 技术也可以用于有两台或两台以上计算机的家庭，一般家庭上网都采用 ADSL 或小

区宽带，通常只能提供一个有效 IP 地址，所以多台计算机要通过 NAT 转换再进行互联网的

访问，如图 2.49 所示。

总之，NAT 技术还有很多应用，其实以上的几种情况中，实现的方法也有相同之处，只

是解决的实际问题不同。

图 2.49 NAT 应用

3．NAT 的类型

RFCl631 以及相关 RFC 定义的网络地址翻译器（NAT）是一种将 IP 地址从一个编址域

（realm）映射到另外一个编址域的方法，如典型的应用是把 RFCl918 定义的私有 IP 地址映

射到 Internet 所使用的公有 IP 地址。虽然 NAT 技术已经得到广泛应用，但它是一把双刃剑，

在带来节省 IPv4 地址空间等好处的同时，破坏了 Internet 基本的“端到端的透明性”的设

·113·

计理念，增加了网络的复杂性，阻碍了业务的创新。

IETF 一直主张利用 IPv6 技术解决地址短缺问题，因此 IETF 虽然出版了几个与 NAT 相

关的 RFC，但对 NAT 技术（尤其是穿越问题）一直没有系统的标准化工作，如 SIP 和 Mobile

IP 就是 NAT 出现后设计的一些协议，都未考虑到 NAT 的穿越问题。近，业界意识到 Internet

在短期内不可能过渡到 IPv6，IPv4 和 IPv6 将长期并存，NAT 以及 NAT-PT（NAT-协议翻译）

将继续得到长期应用，因此 NAT 相关问题开始引起了 IETF 和 ITU-T 等相关国际标准化组织

的关注。中国通信标准化协会 IP 与多媒体工作委员会也正在积极参与 ITU-TSGl6 组的相关活

动，加紧制定中国的多媒体业务 NAT 穿越标准。

NAT 技术有三种类型：静态 NAT（Static NAT）、动态地址 NAT（Pooled NAT）、网络地

址端口转换 NAPT（Port－Level NAT）。其中静态 NAT 设置起来为简单和容易实现，内

部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址 NAT 则是在

外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT 则是把

内部地址映射到外部网络的一个 IP 地址的不同端口上。根据不同的需要，三种 NAT 方案各

有利弊。

（1）静态地址转换。将内部本地地址与内部合法地址进行一对一的转换，或者说是将外

网某个 IP 与内网中某个 IP 捆绑，也可以把内网某个 IP 的某个端口（比如 80）与外网的某个

IP 的某个端口（如 8080）捆绑。如果内部网络有 E-mail 服务器或 FTP 服务器等可以为外部

用户提供的服务，那么这些服务器的 IP 地址必须采用静态地址转换，以便外部用户可以使用

这些服务。

（2）动态网络地址转换。是将外网某个或者多个 IP（称为地址池）与整个内网捆绑，相

当于内网有了一个或多个外网地址。

如图 2.50 所示，对于企业来讲，可以申请两个以上的公网 IP 地址，因为 IP 地址为

192.168.1.1 的 WWW 服务器，需要提供互联网服务，所以要进行静态的 NAT 转换，这样就

可以建立一对一的 NAT 转换，即将 WWW 服务器的内网 IP 地址 192.168.1.1，端口号为 80，

将其对应到公网 IP 地址 222.183.83.1，端口号为 80。

图 2.50 动态网络地址转换

·114·

对于其他计算机要访问互联网可采用动态的 NAT 转换，可以用另一个公网 IP 地址

222.183.83.2 对应局域网内部的其他计算机（192.168.1.2～192.168.1.100）。

多对多地址转换及地址转换的控制

当内部网络访问外部网络时，地址转换将会选择一个合适的外部地址，替代内部网络

数据报文的源地址。在上图中是选择 NAT 服务器出口的 IP 地址（公有地址）。这样所有

内部网络的主机访问外部网络时，只能拥有一个外部的 IP 地址，因此，这种情况只允许

多有一台内部主机访问外部网络，这称为“一对一地址转换”。如图 2.51 所示，当内部网

络的主机并发的要求访问外部网络时，“一对一地址转换”仅能够实现其中一台主机的访

问请求。

图 2.51 多对多地址转换

NAT 的一种变形实现了并发性。允许 NAT 服务器拥有多个连续的公有 IP 地址，当第一

个内部主机访问外网时，NAT 选择一个公有地址 IP1，在地址转换表中添加记录并发送数据

报；当另一内部主机访问外网时，NAT 选择另一个公有地址 IP2，以此类推，从而满足了多

台内部主机访问外网的请求。这称为“多对多地址转换”。

在实际应用中，我们可能希望某些内部的主机具有访问 Internet（外部网络）的权利，而

某些主机不允许访问。即当 NAT 进程查看数据报报头内容时，如果发现源 IP 地址是为那些

不允许访问网络的内部主机所拥有的，它将不进行 NAT 转换。这就是一个对地址转换进行控

制的问题。

Quidway 系列路由器可以通过定义地址池来实现多对多地址转换，同时利用访问控制列

表来对地址转换进行控制的。

地址池：用于地址转换的一些公有 IP 地址的集合。用户应根据自己拥有的合法 IP 地址

数目、内部网络主机数目以及实际应用情况，配置恰当的地址池。地址转换的过程中，将会

从地址池中挑选一个地址作为转换后的源地址。

利用访问控制列表限制地址转换：只有满足访问控制列表条件的数据报文才可以进行地

址转换。这可以有效地控制地址转换的使用范围，使特定主机能够有权利访问 Internet。

（3）网络地址端口转换NAPT。网络地址端口转换NAPT（Network Address Port Translation）

是人们比较熟悉的一种转换方式。NAPT 允许多个内部地址映射到同一个公有地址上，非正

式地也可称为“多对一地址转换”或“地址复用”。NAPT 普遍应用于接入设备中，它可以将

中小型的网络隐藏在一个合法的 IP 地址后面。NAPT 与动态地址 NAT 不同，它将内部连接

·115·

映射到外部网络中的一个单独的 IP 地址上，同时在该地址上加上一个由 NAT 设备选定的 TCP

端口号。

NAPT 映射 IP 地址和端口号，来自不同内部地址的数据报可以映射到同一外部地址，但

他们被转换为该地址的不同端口号，因而仍然能够共享同一地址。也就是<私有地址+端口>

与<公有地址+端口>之间的转换。

在 Internet 中使用 NAPT 时，所有不同的 TCP 和 UDP 信息流看起来好像来源于同一个

IP 地址。这个优点在小型办公室内非常实用，通过从 ISP 处申请的一个 IP 地址，将多个连接

通过 NAPT 接入 Internet。实际上，许多 SOHO 远程访问设备支持基于 PPP 的动态 IP 地址。

这样，ISP 甚至不需要支持 NAPT，就可以做到多个内部 IP 地址共用一个外部 IP 地址上

Internet，虽然这样会导致信道的一定拥塞，但考虑到节省的 ISP 上网费用和易管理的特点，

用 NAPT 还是很值得的。

如图 2.52 与图 2.53 所示，描述了 NAPT 的基本原理。某企业申请了一个公网 IP 地址

202.169.10.1，现有内网 IP 地址为 192.168.1.3 和 192.168.1.2 的服务器，要访问公网 IP 地址为

202.120.10.2 服务器和 PC 202.120.10.3。当 PC 机发出一个源地址为 192.168.1.3，源端号为 1537

的数据报 1，局域网的出口路由器在处理这个数据报的时候，它将数据报的源地址改为公网

地址址 202.169.10.1，源端口号改为 3001，再将该数据报送到 Internet 中。同样当路由器同时

收到来自 192.168.1.3，源端口号为 2468 的数据报 2 时，它将数据报的源地址改为公网地址

202.169.10.1，源端口号改为 3002，再将该数据报送到 Internet 中。以此类推，当路由器同时

收到来自源地址为 192.168.1.2，源端口号均为 1111 的数据报 3 和 4 时，局域网出口路由器在

处理这两个数据报的时候，它将它们的源地址均改为公网地址 202.169.10.1，但源端口号分别

为 3003 和 3004，再将数据报 3 和 4 送到 Internet 中，这样，就不会同其他局域网中的计算机

发送来的数据包产生冲突了。

当局域网的出口路由器收到一个目的地址为 202.169.10.1，目的端口号为 3001 的数据报

时，路由器会将数据报的目的地址改为 192.168.1.3，目的端口号改为 1537，再将它送到局域

网中，这样数据报就会被准确地送达 IP 地址为 192.168.1.3 主机。

同样，当局域网出口路由器收到目的地址为 202.169.10.1，目的端口号为 3002 的数据

报时，路由器会将数据报的目的地址更改为 192.168.1.2，目的端口号更改为 2468，如表 2.51

所示。

表 2.51 出口路由器更改数据报

局域网出口路由器收到的数据报的目的地址及端口号局域网出口路由器对收到的数据报转换后的目的地址及端口号

目的地址目的端口号目的地址目的端口号

202.169.10.1 3001 192.168.1.3 1537

202.169.10.1 3002 192.168.1.3 2468

202.169.10.1 3003 192.168.1.2 1111

202.169.10.1 3004 192.168.1.2 1111

路由器转换后再将它们送到局域网中，这样数据报就会被准确地送达 IP 地址为

192.168.1.3 和 192.168.1.2 的设备。

·116·

图 2.52 网络地址端口转换之发送报文

图 2.53 网络地址端口转换之回应报文

4．NAT 实现方式

（1）静态网段地址转换。该特性实现了一种新的 NAT 静态地址转换方式，即将指定范围

内的内部主机地址转换为指定的公网网段地址，转换过程中只对网段地址进行转换，保持主

机地址不变。当内部主机访问外部网络时，如果主机地址在指定的内部主机地址范围内，会

被转换为对应的公网地址；同样当通过公网网段地址对内部主机进行访问时，可以直接访问

到内部主机（该公网地址在转换后在指定的内部主机地址范围内）。

通过 NAT 网段地址转换功能实现了内部主机地址和公网地址的直接映射关系，且同时提

供了类似 NAT Server 的功能。

静态网段地址转换方式中公网 IP 地址与私网 IP 地址一一对应，因此比较浪费 IP 地址空

间，故可以考虑与传统的静态地址转换或动态地址转换配合使用，只要不存在地址冲突即可。

（2）双向地址转换。常规地址转换技术只转换报文的源地址或目的地址，而双向地址转

换（Bidirectional NAT）技术可以将报文的源地址和目的地址同时转换，该技术应用于内部网

络主机地址重叠的情况。如图 2.54 所示，内部网络主机 PC1 和主机 PC3 的地址重叠。这种

情况下，内部网络主机 PC1 或 PC2 访问主机 PC3 的报文不会到达目的主机，而会被错误的

·117·

转发到主机 PC1 上。双向 NAT 技术通过在 RouterA 上配置重叠地址池到临时地址的映射关系

（在实现常规 NAT 的基础上），将重叠地址转换为唯一的临时地址，来保证报文的正确转发。

图 2.54 双向地址转换应用组网图

例如，在 RouterA 上配置双向地址转换。

第一步：配置常规 NAT（多对多地址转换）。

配置 NAT 地址池 222.183.83.1～222.183.83.50，并应用到广域网接口。

定义一个地址池：

命令格式：nat address-group pool-name start-addr end-addr

例： nat address-group 1 222.183.83.1 222.183.83.50

删除一个地址池：

undo nat address-group pool-name

每个地址池中的地址必须是连续的，每个地址池多可定义 64 个地址。

在接口模式下，在该接口上使用地址池方式进行地址转换：

[undo] nat outbound acl-number pool-name

第二步：配置一组重叠地址到临时地址的映射。

192.168.0.0←→222.183.83.0，子网掩码为 24 位。

此映射表示，重叠地址池与临时地址池一一对应，转换规则为：

临时地址=临时地址池首地址+（重叠地址–重叠地址池首地址）

重叠地址=重叠地址池首地址+（临时地址–临时地址池首地址）

当内部主机 PC2 直接用域名访问主机 PC3 时，报文的处理流程如下：

① PC2 发送解析 www.web.com 的 DNS 请求，经私网 DNS 服务器解析后，RouterA 收

到 DNS 服务器的响应报文。RouterA 检查 DNS 响应报文载荷中的解析回来的地址

192.168.1.1，经检查该地址为重叠地址（与重叠地址池匹配），将地址 192.168.1.1 转换为对应

的临时地址 222.183.83.1。之后再对 DNS 响应报文进行目的地址转换（常规 NAT 处理），发

送给 PC2。

② PC2 向 www.web.com 发起访问（即向对应的临时地址 222.183.83.1 发起访问），当报

文到达 RouterA 时，先转换报文的源地址（常规 NAT 处理），再将报文的目的地址即临时地

址，转换为对应的重叠地址 192.168.1.1。

③ 将报文送到出接口，并经广域网逐跳转发至主机 PC3。

④ 当 PC3 给 PC2 返回的报文到达 RouterA 时，先检查报文的源地址 192.168.1.1，该地

址为重叠地址（与重叠地址池匹配），则将源地址转换为对应的临时地址 222.183.83.1。之后

·118·

再对返回报文的目的地址进行常规 NAT 转换，并发送给 PC2。

（3）内部服务器。NAT 隐藏了内部网络的结构，具有“屏蔽”内部主机的作用，但是在

实际应用中，可能需要提供给外部一个访问内部主机的机会，如提供给外部一个 WWW 的服

务器，或是一台 FTP 服务器。使用 NAT 可以灵活地添加内部服务器，例如，可以使用

222.183.83.10 作为 Web 服务器的外部地址；使用 222.183.83.11 作为 FTP 服务器的外部地址；

甚至还可以使用 222.183.83.12:8080 这样的地址作为 Web 的外部地址；还可为外部用户提供

多台同样的服务器（如提供多台 Web 服务器）。

Quidway 系列路由器的 NAT 功能提供了内部服务器功能供外部网络访问。外部网络的用

户访问内部服务器时，NAT 将请求报文内的目的地址转换成内部服务器的私有地址。对内部

服务器回应报文而言，NAT 要将回应报文的源地址（私网地址）转换成公网地址。

（4）Easy IP。Easy IP 的概念很简单，当进行地址转换时，直接使用接口的公有 IP 地址

作为转换后的源地址。同样它也利用访问控制列表控制哪些内部地址可以进行地址转换。

5．NAT 的配置任务

NAT 配置包括：

配置地址池

配置地址转换

配置 Easy IP

配置静态地址转换

配置多对多地址转换

配置 NAPT

配置内部服务器

配置地址转换应用网关

配置地址转换有效时间（选配）

6．典型 NAT 配置举例

（1）组网需求。如图 2.55 所示，一个公司通过 Quidway 路由器的地址转换功能连接到广

域网。要求该公司能够通过 Quidway 路由器串口 3/0/0 访问 Internet，公司内部对外提供 www、

ftp 和 smtp 服务，而且提供两台 WWW 服务器。公司内部网址为 192.168.1.0/24。其中，内部

ftp 服务器地址为 192.168.1.1，内部 WWW 服务器 1 地址为 192.168.1.2，内部 WWW 服务器

2 地址为 192.168.1.3，内部 SMTP 服务器地址为 192.168.1.4，并且希望可以对外提供统一的

服务器的 IP 地址。内部 192.168.1.0/24 网段可以访问 Internet，其他网段的 PC 则不能访问

Internet。外部的 PC 可以访问内部的服务器。公司具有 202.38.160.100 至 202.38.160.105 六个

合法的 IP 地址。

选用 202.38.160.100 作为公司对外的 IP 地址，WWW 服务器 2 对外采用 8080 端口。

（2）配置步骤。

# 配置地址池和访问控制列表。

[Quidway] nat address-group 1 202.38.160.100 202.38.160.105

[Quidway] acl number 2001

[Quidway-acl-basic-2001] rule permit source 192.168.1.0 0.0.0.255

·119·

[Quidway-acl-basic-2001] rule deny source 192.168.1.0 0.0.255.255

[Quidway-acl-basic-2001] quit

图 2.55 地址转换配置案例组网图

# 允许 192.168.1.0/24 网段地址转换。

[Quidway] interface Serial3/0/0

[Quidway-Serial3/0/0] nat outbound 2001 address-group 1 # 设置内部 ftp 服务器。

[Quidway-Serial3/0/0] nat server protocol tcp global 202.38.160.100 inside192.168.1.1 ftp # 设置内部 WWW 服务器 1。

[Quidway-Serial3/0/0] nat server protocol tcp global 202.38.160.100 inside 192.168.1.2 www # 设置内部 WWW 服务器 2。

[Quidway-Serial3/0/0] nat server protocol tcp global 202.38.160.100 8080 inside192.168.1.3 www # 设置内部 smtp 服务器。

[Quidway-Serial3/0/0] nat server protocol tcp global 202.38.160.100 inside 192.168.1.4 smtp

7．使用 loopback 接口地址进行地址转换典型配置举例

（1）组网需求。如图 2.56 所示，公司通过 Quidway 路由器串口 3/0/0 访问 Internet，内部

192.168.1.0/24 网段可以访问 Internet，其他网段的 PC 则不能访问 Internet，内部 192.168.1.0/24

网段使用 loopback 接口 IP 地址 202.38.160.106 作为地址转换后 IP 地址。公司内部对外提供

WWW、FTP 和 smtp 服务，三个服务器对外使用统一的服务器 IP 地址 202.38.160.100。

·120·

图 2.56 使用 loopback 接口进行地址转换配置举例组网图

（2）配置步骤。

# 配置访问控制列表。


[Quidway-acl-basic-2001] rule permit source 192.168.1.0 0.0.0.255

[Quidway-acl-basic-2001] rule deny source 192.168.1.0 0.0.255.255

[Quidway-acl-basic-2001] quit # 配置 loopback 接口。

[Quidway] interface loopback0

[Quidway-LoopBack0] ip address 202.38.160.106 32

[Quidway-LoopBack0] quit # 设置内部 ftp 服务器。

[Quidway] interface Serial3/0/0

[Quidway-Serial3/0/0] nat server protocol tcp global 202.38.160.100 inside 192.168.1.1 ftp # 设置内部 WWW 服务器 1。

[Quidway-Serial3/0/0] nat server protocol tcp global 202.38.160.100 inside 192.168.1.2 www # 设置内部 WWW 服务器 2。

[Quidway-Serial3/0/0] nat server protocol tcp global 202.38.160.100 8080 inside 192.168.1.3 www # 设置内部 smtp 服务器。

[Quidway-Serial3/0/0] nat server protocol tcp global 202.38.160.100 inside 192.168.1.4 smtp # 配置使用 loopback 接口作为转换后的 IP 地址。

[Quidway-Serial3/0/0] nat outbound 2001 interface loopback 0

·121·

8．静态网段地址转换典型组网应用

（1）组网需求。如 2.57 所示，私网 A 的网络地址为 192.168.1.0/24 网段，私网 B 的网络

地址也为 192.168.1.0/24 网段。假设 PC1 的地址为 192.168.1.2，PC 2 的地址也是 192.168.1.2。

RouterA 的广域网接口 IP 地址为 201.1.1.1/24，RouterB 的广域网接口 IP 地址为 201.2.2.2/24。

RouterA 和 B 上配置网段地址转换，将私网 A 的网络地址 192.168.1.0/24 转换为 211.2.1.0/24，

将私网 B 的网络地址 192.168.1.0/24 转换为 211.2.2.0/24。在 RouterA 和 RouterB 上配置动态

路由，保证 RouterA 到 211.2.2.0/24 的路由及 RouterB 到 211.2.1.0/24 的路由可达。

要求能够实现私网对公网的访问，而且实现私网 A 的 PC1 可以通过 RouterB 上的公网地

址 201.2.2.2 访问到 PC2；同样私网 B 的 PC2 可以通过 RouterA 上的公网地址 201.1.1.1 访问

到 PC1。

图 2.57 静态网段地址转换应用组网图

（2）配置步骤。配置 RouterA。

# 配置网段地址静态转换。

[RouterA] nat static net-to-net 192.168.1.1 192.168.1.254 global 211.2.1.0 255.255.255.0 # 配置网段地址转换在接口 Serial0/0/0 上生效。

[RouterA] interface serial0/0/0

[RouterA-Serial0/0/0] ip address 201.1.1.1 255.255.255.0

[RouterA-Serial0/0/0] nat outbound static

[RouterA-Serial0/0/0] quit # 配置 Ethernet1/0/0 接口。

[RouterA] interface Ethernet1/0/0

[RouterA-Ethernet1/0/0] ip address192.168.1.1 255.255.255.0 # 配置动态路由，保证到 201.2.2.0 网段的路由可达（略）。

配置 RouterB

# 配置网段地址静态转换。

[RouterB] nat static net-to-net192.168.1.1192.168.1.255 global 201.2.2.0 255.255.255.0 # 配置网段地址转换在接口 Serial0/0/0 上生效。

[RouterB] interface serial0/0/0

·122·

[RouterB-Serial0/0/0] ip address 201.2.2.2 255.255.255.0

[RouterB-Serial0/0/0] nat outbound static

[RouterB-Serial0/0/0] quit # 配置 Ethernet1/0/0 接口。

[RouterB] interface ethernet1/0/0

[RouterB-Ethernet1/0/0] ip address 192.168.1.1 255.255.255.0 # 配置动态路由，保证到 201.1.1.0 网段的路由可达（略）。

9．双向地址转换配置举例

（1）组网需求。如图 2.58 所示，公司原有内部局域网使用 192.168.0.0/24 和 192.168.1.0/24

网段地址，后合入一个网段，也使用 192.168.0.0/24 网段地址。当 PC1 的 IP 地址 192.168.0.1

与 PC3 的 IP 地址相同时，要求 PC1、PC2 可以用域名 www.web.com 或 IP 地址 3.0.0.1/24 访

问 PC3。域名服务器 IP 地址为 192.168.2.0/24 网段。

图 2.58 双向地址转换配置举例组网图

（2）配置步骤。配置 RouterA。

# 配置 NAT 地址池。

[Quidway] nat address-group 1 222.183.83.1 222.183.83.50 # 配置双向 NAT 映射。

[Quidway] nat overlapaddress 3 192.168.0.0 3.0.0.0 address-mask 24 # 配置访问控制列表。


[Quidway-acl-basic-2000] rule 0 permit source192.168.0.0 0.0.0.255

[Quidway-acl-basic-2000] rule 1 permit source 192.168.1.0 0.0.0.255

[Quidway-acl-basic-2000] quit # 在广域网接口上绑定 NAT outbound。

[Quidway] interface serial0/0/0

[Quidway-Serial0/0/0] ip address 192.168.2.1 255.255.255.0

[Quidway-Serial0/0/0] nat outbound 2000 address-group 1

·123·

# 配置局域网口 IP 地址。

[Quidway-Serial0/0/0] interface ethernet 1/0/0

[Quidway-Ethernet1/0/0] ip address192.168.0.3 255.255.255.0

[Quidway-Ethernet1/0/0] interface ethernet 3/0/0

[Quidway-Ethernet3/0/0] ip address192.168.1.3 255.255.255.0

[Quidway-Ethernet3/0/0] quit # 配置静态路由。

[Quidway] ip route-static 3.0.0.0 255.255.255.0 serial0/0/0

[Quidway] ip route-static 192.168.2.0 255.255.255.0 serial0/0/0 DNS 服务器的地址为 192.168.2.150/24。

10．内部服务器应用配置举例

（1）组网需求。如图 2.59 所示，总公司通过网关 Router1 连接到公网上，并通过公网连

接分公司网络。总公司和分公司之间的所有数据流均实现安全保护。

总公司的 WWW 服务器和 FTP 服务器位于 192.168.1.0 网段，通过 Router1 实现内部服务

器功能，WWW 服务器和 FTP 服务器可以对公网用户提供访问服务，即公网上的 PC 可以通

过公网地址访问内部服务器；也可以为公司内部用户提供服务，且公司的 PC 可以通过私网

地址访问内部服务器。

总公司和分公司内部的 PC 分别位于 192.168.2.0/24 和 192.168.3.0/24 网段，均由 Router1

实现地址转换，通过 S1/0/0 的公网地址访问 Internet。

图 2.59 内部服务器应用配置举例

（2）配置步骤。配置 Router1。

# 配置以太网口 IP 地址。

[Quidway] interface ethernet 0/0/0

[Quidway-ethernet 0/0/0] ip address192.168.1.1 255.255.255.0

[Quidway-ethernet 0/0/0] quit


[Quidway-ethernet 0/0/1] ip address192.168.2.1 255.255.255.0 # 配置用于实现 PC 地址转换的访问控制列表。

·124·


[Quidway-acl-basic-2001] rule permit ip source192.168.1.0 0.0.0.255

[Quidway-acl-basic-2001] rule permit ip source 192.168.2.0 0.0.0.255

[Quidway-acl-basic-2001] rule deny ip source any destination any # 配置 Easy IP。

[Quidway] interface serial1/0/0

[Quidway-Serial1/0/0] ip address 202.38.160.1 255.255.255.0

[Quidway-Serial1/0/0] nat outbound 2001 # 配置内部 ftp 及 WWW 内部服务器。

[Quidway-Serial1/0/0] nat server protocol tcp global 202.38.160.1 inside192.168.1.3 ftp

[Quidway-Serial1/0/0] nat server protocol tcp global 202.38.160.1 inside192.168.1.2 www

[Quidway-Serial1/0/0] quit 注意：

如果需要其他用户可以 ping 通内部对外提供服务的 WWW 服务器，必须增加如下配

置：

[Quidway-ethernet 0/0/0]nat server protocol icmp global 202.38.160.1 inside192.168.1.2 内部用户不能使用公网地址来访问内部服务器，必须使用内网地址访问。

2.3.4 广域网接入配置

H3C MSR30-20 承载着如 Web 访问、FTP 文件传输等网络服务的流量，一般来说中小型

企业还有服务器对外提供服务。网络情况是内部网络用户和服务器均使用私有 IP，路由器承

担 NAT 转换；BT、eDonkey 等 P2P 数据通信严重耗费出口资源，需要加以限制；随着用户

数量增多，数据流量也会急剧变大，要求使用并发连接数高的路由器。因此，选用高性能的

路由器，优化路由器的配置，可以减少网络出口的压力，达到负载均衡，实现高可用性。

下面是 H3C MSR30-20 的广域网接入的配置信息，在用//进行解释前面的主要命令，相

同功能的配置用“//… …//”省略。

把配置线缆通过计算机 COM1 中，进入超级终端，连接到 H3C MSR30-20 路由器上。查

看 H3C MSR30-20 路由器配置信息，终配置如下：

[route3020]display current-configuration

#

version 5.20, Release 1205P02, Basic //设备版本号

#

sysname route3020 //设备系统名称

#

firewall enable //启用防火墙

#

domain default enable system

#

vlan 1

#

·125·

//…

…//

#

traffic classifier bt operator and //对 BT 等下载进行限速

if-match protocol unknown-others

if-match protocol bittorrent

if-match protocol unknown-udp

if-match protocol edonkey

#

traffic behavior 64k //限速 64k

car cir 64 cbs 4000 ebs 0 green pass red discard

traffic behavior deny

#

qos policy ip_deny

classifier bt behavior deny

#

time-range worksw 07:00 to 17:00 daily //定义工作时间 worksw

#

acl number 2001 //创建访问控制列表，定义可以上网的内网网段

rule 0 permit source 192.168.1.0 0.0.0.255 time-range worksw


//...

…//


rule 18 deny

#

acl number 3001 //配置常见防病毒访问控制列表

rule 0 deny udp destination-port eq tftp

rule 1 deny tcp destination-port eq 135

rule 2 deny udp destination-port eq 135

rule 3 deny udp destination-port eq netbios-ns

rule 4 deny udp destination-port eq netbios-dgm


rule 6 deny udp destination-port eq netbios-ssn














·126·











rule 30 permit icmp icmp-type echo

rule 31 permit icmp icmp-type echo-reply

rule 32 permit icmp icmp-type ttl-exceeded

rule 33 permit tcp source-port eq domain

rule 34 permit tcp source-port eq www

rule 35 permit tcp source-port eq ftp

rule 36 permit tcp source-port eq ftp-data

rule 37 deny icmp

#

interface Aux0

async mode flow

link-protocol ppp

#

interface NULL0

#

interface GigabitEthernet0/0

port link-mode route

firewall packet-filter 3001 inbound //匹配 acl 3001 拒绝常见防病毒端口

ip address 192.168.100.1 255.255.255.252 //内网接口

#


port link-mode route

firewall packet-filter 3001 inbound

nat outbound 2001 //匹配 acl 2001 上网

nat server protocol tcp global 222.161.98.109 www inside 192.168.8.253 www //端口映射

nat server protocol tcp global 222.161.98.109 ftp inside 192.168.8.252 ftp

ip address 222.161.98.109 255.255.255.252 //联通接口

qos apply policy ip_deny inbound

#

ip route-static 0.0.0.0 0.0.0.0 222.161.98.110 //默认出口路由

ip route-static 192.168.0.0 255.255.0.0 192.168.100.2 //内网路由

#

user-interface con 0

user-interface aux 0

user-interface vty 0 4

#

return

·127·

[route3020]

2.3.5 功能测试

在进行局域网网络布线和线路维修时，通常使用网络电缆测试仪进行连通性测试。网络

电缆测试仪有专业测试仪和简易测试仪之分。专业测试仪不仅能测试网络的连通性、接线的

正误，还可以测试双绞线的阻抗、近端串扰、衰减、回返损耗、长度等参数，这确实能带来

不少方便，但动辄几千元、上万元的价格令人望而却步。于是，只有几十元的简易网络测试

仪就成了我们这些非专业网管人员的首选。但是，使用简易网络测试仪进行电缆连通性测试

时，往往需要一个人主控测试仪主机，另一个人在网线的另一端协助操作，这给测试工作带

来了极大不便。笔者有一种简易方法能解决测试中的这种不便：用交换机或 Hub 替代网线终

端，实现单人测试网络连通性。具体方法如下：

先在设备间把待测试的信息点网线与交换机连接（注意：不能打开交换机电源，否则就

会损坏测试仪），然后到终端各信息点用直通线连接简易网络测试仪的主机和信息插座。打

开简易网络测试仪电源，局域网连通性测试就可以进行了。网络连通正常，8 灯简易网络测

试仪就会循环流水式亮起 8 个灯，4 灯简易网络测试仪 4 个灯都呈红色且循环流水式亮起绿

色。有灯不亮，则相应的线路就有故障。

如用 Hub 替代远端终端进行测试，网络连通正常时，8 灯简易网络测试仪只有 1、2、3、

6 灯循环流水式亮起，4 灯简易网络测试仪只有 1&&2 号和 3&&6 号灯呈红色，且这两个灯循

环流水式亮起绿色，其他灯都不亮。此时只测试了 1、2 和 3、6 两组线对，4、5 和 7、8 两

组线对不能测试。所以，好使用交换机作为远端终端进行完整的连通测试。

2.4 无线网络组建

2.4.1 任务分析

针对本项目中的无线网络主要以大会议室、小会议室和产品展室为主，其特点是要求可

以通过交换机接入现有的有线网络并能使接入的无线设备访问局域网和互联网。

本项目中选择的是 802.11g 或 802.11b 标准、“infrastructure”模式中的“无线 AP+无线网

卡”模式。

由于 S5510 支持 PoE 可以利用以太网线给 AP 提供电源，选择一款支持 PoE 功能的 AP

可以免去因 AP 供电带来的麻烦。


小型企业网的无线部分主要是针对一些老式的大楼，宿舍和大型会议室等不能布线的地

方而设计，这一部分的网络产品主要以无线 AP 为主。

在无线部分我们采用了多个无线 AP 来实现无线局域网的组建，小型企业网内无线局域

网的组建示意图，如图 2.60 所示，这个图反映出无线局域网分为两层，一层是连接有线网络

的无线 AP，另外一层是大楼内分布的无线 AP。这两层的无线 AP 通过内部集成的桥接功能，

实现它们的无线互联。连接有线网络的这个无线 AP 我们好安置在离需要组建无线局域网

的大楼附近，并且中间好没有建筑物阻挡，相隔距离也不要超过 300m，这样才能让无线

·128·

AP 性能得到发挥，大限度节约成本。而需要组建无线局域网的大楼内每一层楼布置了一个

无线 AP，以目前无线 AP 的性能而言，基本上能够将信号覆盖到一层楼的每个角落，这样，

一个无线局域网的基本结构就形成了。由于无线 AP 安置的地点一般都在高处，而且比较空

旷，所以无线 AP 的防雷措施也要考虑。

图 2.60 小型企业无线网络组建示意图

在大型会议室内，由于空间比较大，没有墙壁阻挡，在这里布置的无线 AP 不用像在大

楼中那样用多个无线 AP 来实现无线网络信号的覆盖。大型会议室组建无线局域网有一个特

点，在大型会议室周围一般都有有线网络的接入点，我们可使用网线实现接入点与无线 AP

的连接，然后将无线 AP 置于会议室内，就可将信号覆盖到整个会议室内。在这里我们要考

虑一件事情，一个大型会议室内如果召开会议，其笔记本数量肯定不会少，而无线 AP 在通

常情况下能够连接 20 多台无线接入终端，如果无线接入终端数量过多，将严重影响网络性能，

为了不影响网络性能实现更多的无线接入终端接入无线局域网中，可在这里多增加无线 AP。

多个无线 AP 在同一个地方使用，信号覆盖范围肯定会重叠，造成对网络性能的影响。要解

决这一问题，就必需将无线 AP 上的频段进行设置，无线 AP 一般都提供了 11 个频道，我们

只要将会议室内的无线 AP 设置为各自不同的频道，就不会造成信号重叠。至于无线 AP 的选

择，用户就要根据自己实际情况来决定了。目前市场上的无线 AP 主要有基于 IEEE 802.11b、

IEEE 802.11a 和 IEEE 802.11g 三种协议下的产品，它们分别提供了不同的数据传输率，用户

可根据实际情况来选择无线 AP。

当一个无线局域网组建成功后，大家关心的还是无线局域网的安全问题。这里所说的

安全不是指互联网中黑客带来的威胁，而是无线局域网内数据传输的安全，用户接入访问无

线局域网的安全。

无线局域网内数据是通过无线链路进行数据传输，有一些非法用户通过截获无线链路中

的数据给无线局域网用户带来损失，要解决这一问题，就必需使用到无线 AP 中的 WEP 加密

功能，这项功能能够对传输的数据进行加密，即使非法用户获得这些数据，也无法破译，所

以组建无线局域网成功后必需将这项功能开启。

用户接入访问安全是指一个无线局域网组建成功后，它的信号覆盖面积大，有些非法用

户在信号覆盖范围内通过无线网卡连接到无线局域网中。要解决这个问题，必需使用到无线

AP 中的三项功能，MAC 地址绑定，DHCP 服务和认证功能。采用 MAC 地址绑定功能主要

·129·

是因为每一块网卡只有全球唯一的一个 MAC 地址，通过设置 MAC 地址绑定功能后，其他没

绑定 MAC 地址的终端就不能接入无线局域网；DHCP 主要是为网内用户自动分配 IP 地址，

所有用户就通过获取 IP 地址进入无线局域网中，只要将 DHCP 功能关闭就能杜绝这类事件的

发生；目前，网络中常用的认证方式就是 802.1x 端口认证技术，可通过这项功能限制非法

用户访问无线局域网。

在大部分的无线 AP 中，提供了一种 SSID 功能，这项功能主要是用来区分不同的网络，

实际上就是无线局域网的名称，一般同一厂家的无线 AP 都采用同一种 SSID，所以我们在无

线局域网组建成功后好将 SSID 进行重新设置。通常情况下，无线 AP 都是将 SSID 进行广

播，为了防止其他用户搜索到 SSID，我们好将这项功能关闭，不过关闭之后对性能有影响，

但无线局域网的安全却得到了提高。

2.4.3 功能测试

Ad Hoc 网络协议主要包括网络接入层协议（MAC）和路由协议。不同层次的协议由于

所完成的功能不同，所以具有不同的测试指针。在网络测试中，要合理评价网络性能必须充

分考虑不同层次的协议在性能上的差别。同时，对于不同的网络应用来说，各个层次协议性

能对网络整体性能的影响也不尽相同。

Ad Hoc 网络性能测试按照网络功能层次进行区分，主要分为以下三个方面的内容：通信

终端物理性能测试、接入层协议性能测试和路由协议性能测试。

1．通信终端物理性能测试

通信终端种类很多，包括数字电台、PDA、笔记本计算机等。不同的无线终端由于硬件

配置不同，其物理性能也不尽相同。物理性能测试内容主要包括以下内容。

数据发送速率：即终端设备可支持的大传输带宽，对于多信道系统而言，还需要测试

大可用带宽。

传播距离：即设备的通信范围，主要与终端的发送功率，接收门限（信噪比）有关。多

跳网络中，传播距离会对网络的拓扑关系产生重大的影响，也是 MAC 层协议设计通常需要

考虑的问题，也是影响网络吞吐量的因素之一。

差错控制能力：无线信道通常是不可靠信道，所以需要相应的差错控制能力，保证在一

定的信道误码率下，可以完成正常数据通信。

2．网络接入层性能测试

网络接入层（MAC）解决了隐终端和暴露终端的问题。MAC 层协议的性能会直接影响

网络的整体性能。MAC 层协议是 Ad Hoc 网络组网协议的基础，也是网络节点通信的第一步，

只有高效、公平、有序地组织网络中的所有通信节点的链路层通信能力，才能保证上层网络

互联协议（路由协议）的正常运行。网络接入层性能测试内容主要有以下几个方面。

接入时延：节点从有数据需要发送到数据的实际发送的时间间隔。是反映单个节点接入

效率的重要参数，但是不能反映网络整体性能。

网络吞吐量：接入协议的性能还体现在网络吞吐量上，由于无线网络数据帧的碰撞会导

致所有的发送方都要退避一段时间，然后重新发送数据，这就必然对系统的吞吐量产生影响。

优先级：网络中的节点按照优先级排序，优先级高的节点比优先级低的节点有更短的平

·130·

均接入时延，这一点在同时承载数据业务和语音业务的网络中显得尤为重要。

公平性：优先级然保证了优先级高的节点有更短的接入时延，但是网络接入协议还必须

同时保证优先级低的节点不会“饿死”，同等优先级的节点还要有相同或接近的接入时延参数。

3．路由协议性能测试

路由协议的任务是维护网络拓扑，为节点之间的通信提供及时准确的路由信息，保证报

文按照协议所提供的路径正确到达目的节点。针对现有 Ad Hoc 网络路由协议的特点，性能测

试主要包括以下几个方面。

端到端时延与吞吐量：路由协议所处理的是源节点到目的节点之间的路径选择信息，所

以源节点到目的节点之间（端到端）的行为直接的测试内容就是时延和吞吐量。但是，这

两个参数都与 MAC 层协议的效率直接相关。

路由发现时间（也称为路由重建时间）：直接说明了路由算法的效率，即从无法根据路由

表得到路由到得到可用路由的时间。需要注意的是，这个测试参数适用于需求驱动路由算法

（反应式）和具有事件触发更新功能的路由表驱动型路由算法（先应式）。

路由表收敛时间：对于路由表驱动型路由算法而言，路由协议在运行期间，路由表从初

始状态到路由表稳定状态通常会有一个自动更新的过程，这个时间通常称为路由表收敛时间。

路由协议的效率：任何路由协议在运行过程中，都要有一定的路由协议开销，用于在节

点之间维护网络的拓扑信息。对于无线网络而言，网络带宽非常有限，协议开销直接影响网

络带宽的利用率，进而影响网络的扩展性。所以路由协议的效率也是我们重点考虑的测试参

数之一。

4．测试内容

（1）确定移动用户从一个接入点移动到另一个接入点时的漫游切换时延。

（2）确定不同 MAC 地址和上层安全机制部署将对产品和网络性能产生何种影响。

（3）测试端到端性能、时延和丢包率。

（4）评估 WLAN 芯片组和设备设计在真实 RF 条件下的特性。

（5）模拟真实网络传输流，提供关于帧与帧关系与帧定时的信息。

（6）确定受测设备的转发性能以及设备的帧丢失、帧速率和吞吐量；支持全网状、部分

网状和非网状传输流模式。

（7）确定使用 IPSec 时的 IP-VPN 隧道创建能力，测试 WEP、802.11i、802.1x 安全协议

的性能。

（8）测试网络嵌入式应用的控制层性能：如路由、负载平衡和移动 IP。

5．对该测试方案的点评

（1）从物理层到应用层的各种功能，可满足全覆盖测试需要。

（2）在试验室环境中对网络特性的准确性和可重复性的控制。

（3）易于使用的 GUI 和脚本功能，提供方便的和用户友好的测试设置。

（4）功能强大的、可伸缩的测试在满足您当前需要的同时，提供未来的发展潜力。

（5）多种全速度以太网接口卡，可满足独立的、基于硬件的测试的需要。

·131·

2.5 网络设备连接

2.5.1 任务分析

在设计网络系统设备的连接时，需要考虑的方面比较多，如网络设备的主要作用、所处

位置、所支持的连接方式、连接规则，以及各种传输介质的长度限制等。


网络设备的连接以核心交换机 H3C S5500-28C-PWR-EI 为中心，设备连接如表 2.52 所示：

表 2.52 核心交换机 H3C S5500-28C-PWR-EI 端口连接列表

序号 H3C S5500 端口下联部门设备类型下联设备端口备注

1 GigabitEthernet1/0/1 2F 设备间交换机 S3610 GigabitEthernet1/1/1 备用

2 GigabitEthernet1/0/2 2F 设备间交换机 S3610 GigabitEthernet1/1/2

3 GigabitEthernet1/0/3 2F 设备间服务器 1 千兆位以太网接口六类双绞线连接

4 GigabitEthernet1/0/4 2F 设备间服务器 1 千兆位以太网接口备用

5 GigabitEthernet1/0/5 2F 设备间服务器 1 千兆位以太网接口备用

6 GigabitEthernet1/0/6 人力资源部交换机 S3100 GigabitEthernet1/1/1 六类双绞线连接

7 GigabitEthernet1/0/7 技术服务部 1 交换机 S3100 GigabitEthernet1/1/1 六类双绞线连接

8 GigabitEthernet1/0/8 大会议室无线 AP 无线 AP 以太网接口六类双绞线连接

9 GigabitEthernet1/0/9 产品事业部 1 交换机 S3100 GigabitEthernet1/1/1 六类双绞线连接

10 GigabitEthernet1/0/10 销售业务部交换机 S3100 GigabitEthernet1/1/1 六类双绞线连接

11 GigabitEthernet1/0/11 到 GigabitEthernet1/0/21 端口备用

12 GigabitEthernet1/0/22 2F 设备间交换机 S3610 GigabitEthernet1/1/1 配置链路聚合

13 GigabitEthernet1/0/23 2F 网管中心监控计算机千兆位以太网接口配置端口镜像

14 GigabitEthernet1/0/24 2F 设备间接入路由器 Ethernet0/0 互联网接入

15 GigabitEthernet1/0/25 2F 设备间交换机 S3610 GigabitEthernet1/1/4 VLAN TRUNK 和配

置链路聚合

16 GigabitEthernet1/0/26 3F 配线间交换机 S3610 GigabitEthernet1/1/4 VLAN TRUNK

设备间（2F）的交换机 S3610 与 2 楼各室无交换机的部门的计算机直相连接，设备连接

如表 2.53 所示：

表 2.53 设备间（2F）的交换机 S3610 与 2 楼各室连接列表

序号交换机 S3610 端口下联部门设备类型备注

1 Ethernet1/0/1 财务部 1 计算机超五类双绞线连接


3 Ethernet1/0/3 库房计算机超五类双绞线连接

4 Ethernet1/0/4 库房计算机备用

5 Ethernet1/0/5 总经理室计算机超五类双绞线连接

·132·

续表


6 Ethernet1/0/6 总经理室计算机备用

7 Ethernet1/0/7 部门经理室 1 计算机超五类双绞线连接

8 Ethernet1/0/8 部门经理室 1 计算机备用

9 Ethernet1/0/9 部门经理室 2 计算机超五类双绞线连接

10 Ethernet1/0/10 部门经理室 2 计算机备用

11 Ethernet1/0/12 到 Ethernet1/0/23 端口备用

12 GigabitEthernet1/1/1 和 GigabitEthernet1/1/4 上联至核心交换 H3C S5500 端口 GigabitEthernet1/0/22 和

GigabitEthernet1/0/25 配置链路聚合，使用六类双绞线连接

配线间（3F）的交换机 S3610 与 3 楼各室有交换机和无交换机的部门的计算机直相连接，

设备连接如表 2.54 所示：

表 2.54 配线间（3F）的交换机 S3610 与 3 楼各室连接列表




3 Ethernet1/0/3 广告宣传部交换机六类双绞线连接

4 Ethernet1/0/4 副总经理室计算机超五类双绞线连接

5 Ethernet1/0/5 副总经理室计算机备用

6 Ethernet1/0/6 质管部交换机六类双绞线连接

7 Ethernet1/0/7 产品展室无线 AP 六类双绞线连接

8 Ethernet1/0/8 监控室计算机超五类双绞线连接

9 Ethernet1/0/9 备份服务器服务器六类双绞线连接

10 Ethernet1/0/10 产品事业部 2 交换机六类双绞线连接

11 Ethernet1/0/11 小会议室无线 AP 六类双绞线连接

12 Ethernet1/0/12 到 Ethernet1/0/24 端口备用

13 GigabitEthernet1/1/1 技术服务部 2 交换机六类双绞线连接

14 GigabitEthernet1/1/2 客户服务部交换机六类双绞线连接

15 GigabitEthernet1/1/4 上联至核心交换 H3C S5500 端口 GigabitEthernet1/0/26 配置 VLAN TRUNK，使用多模光

纤连接

其他设备的连接参照项目一中的一个局域网的连接，网络通信介质的选择参照前面的逻

辑网络结构图，主要有：超五类双绞线、六类双绞线和多模光纤。

2.6 网络测试与故障诊断在网络和布线工程完工后必须经过测试是确定无疑的。没有测试，就无从知晓网络线缆

实际的数据传输能力和今后网络设备投入运行后的工作状况。在这里将通过识别、验证、认

证方面，来测试网络性能。

·133·


1．识别

为了测试网络线缆或端口，首先是要识别网络系统的类型和它所提供的服务；简单的网

络测试仪一般可以识别网线另一端的设备类型，是 10Mbps、100Mbps 或是 1 000Mbps 的网络

设备，以及双工状态等。识别网络类型能够让用户了解网络系统能够支持的服务类型和在数

据传输能力和容量方面的潜在问题。

早期的局域网是按照不同的网络标准建设，如令牌环、DEC Thinnet、IBM716 等；终

IEEE 提议的以太网系统标准占据了主导地位并成为了当前 99%网络系统的绝对标准。这个

IEEE802.3 标准，定义了网络速度的三个级别：10Mbps、100Mbps 和 1 000Mbps。

这个标准使得网络识别工作变得更加容易和清楚。现在，网络维护和管理者能够方便地

了解所使用网络设备的类型和性能参数等信息；因为有了统一的标准，网络中所有的组件都

能够按照统一的方法进行测试，那就是：网络传输速率。

尽管网络识别是网络测试中低的一个层面，但它却是用户了解网络系统的目前状况一

个重要和快速的方式。

2．验证

网络测试的更高层次是验证。在这个层面上，网络维护者可以更深入地了解他们的网络

系统。在这个阶段，跳线、插座、模块等网络系统中各个连接部件的实际物理特性都可以被

了解。验证测试可以显示网络中每个连接部件和线缆敷设的具体路由，这样网络安装人员和

维护者可以清楚地了解每根线缆是怎样被安装以及它们是否被正确端接。

绝大多数符合 ANSI/TIA/EIA－568 A/B 互联标准的验证测试仪都带有识别开路、短路、

错对和分叉等线对故障的功能，这些常见故障很可能是在压接模块和打线过程中就出现了。

通过显示每个独立线对状态可以容易地了解每根线缆端接是正常还是不正常。

除了判别布线错误，验证测试仪一般也具有测试线缆长度和配合远端识别器显示线缆路

由的功能。这个线路图功能对于改变和重新配置现有网络结构是非常有用的。好的验证测试

仪还应该具有电池节电、音频发生和测试其他传输介质如：电话线、同轴电缆、普通单对线

缆的功能。这些功能和特点可以使用户增加了解决和维护多种多样线缆的综合能力。

验证测试仪是每一个布线安装者和网络技术人员都应该配备的测试工具。验证测试仪可

以解决基本的布线故障，及早发现布线安装中的问题和降低今后故障发生的可能性。

3．认证

认证是测试网络布线的高层次技术，它具有认证线缆传输数据效率的能力。以前，认

证过程通常是根据预先设置的标准如 TIA/EIA 568 A/B 进行；然而，由于新技术的出现，认

证也可以测试线缆实际的性能指标，如线缆可实现的高数据传输速度等。认证测试将确保

网络的性能并保证网络可以始终运行在佳状态。以往，带有实际性能测试的认证只是应用

于一些大型的网络系统，但随着网络技术的发展和革新，它已经成为保障所有网络系统使用

和运行所必需的测试手段。

认证不仅是高级的测试方法，同时也是全面和复杂的。然而，因为传统认证测试

仪的价格昂贵，使很多布线安装人员对其望而却步，因此造成他们不能够完成这项重要的测

·134·

试工作。随着以太网技术的不断发展和 1 000Mbps 网络设备的日趋成熟，这个现状正在逐渐

改变，应用了新科技成果的新型认证测试仪已经出现，与传统认证产品只能进行类似示波

器的频率测试不同，这类新产品的设计理念更加符合现场使用者的实际需要，它能够更快速

地评估线缆的实际性能指标，它除了包括 TIA/EIA 568 标准中所指定的电气参数外，还增加

了网线性能和速度测试能力。

通过使用新的 1 000Mbps 收发器，这类速度和性能认证测试仪不仅可以完成传统测试

仪中近端串扰、衰减、回波损耗、延迟偏移等测试项目。还可以进行诸如误码率、信噪比、

1 000Mbps 网速认证等面向实际应用的测试。误码率测试（BERT）是通过在特定时间内在被

测网线中所有四个线对上，同时发送高达数 1 000Mbps 的数据流量，并在接收端检测错误数

据包的数目和每个线对数据传输时间的差异。通过这些高级的测试功能，可以确定是否被测

线缆能够以高达 1 000Mbps 或 100Mbps 的速率传输数据，由于这些测试速率与目前所有以太

网网络设备如交换机、集线器的端口速率吻合，因此如果线缆可以通过这项测试，那也就说

明了在实际应用中它们也能够正常使用。可以说，这种新的认证产品改变了网络认证的方法，

使用户可以比以往任何时候都更加了解自己的网络和布线系统的实际性能，同时，它也将认

证测试产品的价位降低到一个大家普遍可以接受的水平。

因此，现在网络安装和技术人员已经可以拥有一个既可以认证网络线缆质量和性能，又

可以测量网线的实际应用能力的真正实用工具。将认证测试的成本降低有利于网络性能认证

的普及和发展，并能够更专业和更有效地进行网络系统的安装和维护。

4．结论

对于任何的网络和布线系统，测试工作都是不可或缺的。同时，更重要的是：将新的

技术进步应用于测试将显著地提高测试能力并且给用户带来更好的选择和更多的便利。网络

正在不断发展和进步，因此相应的网络测试产品也需要跟随网络技术的发展而更新和提高。

2.6.2 应用端口镜像技术分析

端口镜像技术主要用于监视进出网络的所有数据包，供安装了监控软件的管理服务器抓

取数据，如网吧需提供此功能把数据发往公安部门审查。而企业出于信息安全、保护公司机

密的需要，也迫切需要网络中有一个端口能提供这种实时监控功能。在企业中用端口镜像功

能，可以很好地对企业内部的网络数据进行监控管理，在网络出现故障时，可以定位故障。

1．端口镜像技术

交换机端口镜像（Port Mirroring）可以让用户将所有

的流量从一个特定的端口复制到一个或多个镜像端口。如

果您的交换机提供端口镜像功能，则允许管理人员自行设

置一个监视管理端口来监视端口的数据。监视到的数据可

以通过 PC 上安装的网络分析软件来查看，通过对数据的

分析就可以实时查看被监视端口的情况。端口镜像示意图

如图 2.61 所示。

大多数三层交换机和部分两层交换机，具备端口镜像

功能，不同的交换机或不同的型号，镜像配置方法和支持

图 2.61 端口镜像示意图

·135·

程度都可能有些区别。

当您网络中的交换机具备端口镜像功能时，可在交换机上配置好端口镜像，再安装网络

分析系统即可以捕获整个网络中所有的数据，进行网络监控和故障排除。

2．环境配置参数

（1）PC1 接在交换机 E0/1 端口，IP 地址 192.168.1.1/24。

（2）PC2 接在交换机 E0/2 端口，IP 地址 192.168.2.2/24。

（3）E0/24 为交换机上行端口。

（4）Server 接在交换机 E0/8 端口，该端口作为镜像端口。

3．应用

（1）通过交换机端口镜像的功能使用 server 对两台 PC 的业务报文进行监控。

（2）按照端口镜像的不同方式进行配置。

基于端口的镜像；

基于流的镜像。

（3）按照端口镜像的实现方式有两种。

本地端口镜像；

远程端口镜像。

4．配置

基于端口的镜像是把被镜像端口的进出数据报文完全复制一份到镜像端口，这样来进行

流量观测或者故障定位。

（1）本地端口镜像配置。

① 组网需求。如图 2.62 所示，公司内部通过交换机实现各部门之间的互连，网络环境

描述如下：

研发部通过端口 Ethernet 1/0/1 接入 Switch C；

市场部通过端口 Ethernet 1/0/2 接入 Switch C；

数据监测设备连接在 Switch C 的 Ethernet 1/0/3 端口上。

网络管理员希望通过数据监测设备对研发部和市场部收发的报文进行监控。

使用本地端口镜像功能实现该需求，在 Switch C 上进行如下配置：

图 2.62 配置本地端口镜像组网图

·136·

端口 Ethernet 1/0/1 和 Ethernet 1/0/2 为镜像源端口；

连接数据监测设备的端口 Ethernet 1/0/3 为镜像目的端口。

② 配置步骤。配置 Switch C。

# 创建本地镜像组。

<SwitchC> system-view

[SwitchC] mirroring-group 1 local # 为本地镜像组配置源端口和目的端口。

[SwitchC] mirroring-group 1 mirroring-port Ethernet 1/0/1 Ethernet 1/0/2 both

[SwitchC] mirroring-group 1 monitor-port Ethernet 1/0/3 # 显示所有镜像组的配置信息。

[SwitchC] display mirroring-group all

mirroring-group 1:

type: local

status: active

mirroring port:

Ethernet1/0/1 both

Ethernet1/0/2 both

monitor port: Ethernet1/0/3 配置完成后，用户就可以在 Server 上监控部门 1 和部门 2 收发的所有报文。

（2）远程端口镜像配置举例。

① 组网需求。如图 2.63 所示，某公司内部通过交换机实现各部门之间的互连，网络环

境描述如下：

Switch A、Switch B 和 Switch C 都为 S3610&S5510 系列以太网交换机；

部门 1 通过端口 Ethernet 1/0/1 接入 Switch A；

部门 2 通过端口 Ethernet 1/0/2 接入 Switch A；

Switch A 的端口 Ethernet 1/0/3 和 Switch B 的端口 Ethernet 1/0/1 相连；

Switch B 的端口 Ethernet 1/0/2 和 Switch C 的端口 Ethernet 1/0/1 相连；

数据监测设备连接在 Switch C 的 Ethernet 1/0/2 端口上。

网络管理员希望通过数据监测设备对部门 1 和部门 2 发送的报文进行监控。

使用远程端口镜像功能实现该需求，进行如下配置：

Switch A 充当源设备，Switch B 充当中间设备，Switch C 充当目的设备；

在 Switch A 上配置远程源镜像组，定义 VLAN 2 为远程镜像 VLAN，端口 Ethernet 1/0/1

和 Ethernet 1/0/2 为镜像源端口，端口 Ethernet 1/0/4 为反射端口；

配置 Switch A 的端口 Ethernet 1/0/3、Switch B 的端口 Ethernet 1/0/1 和 Ethernet 1/0/2、

Switch C 的端口 Ethernet 1/0/1 的端口类型为 Trunk 端口，并且都允许 VLAN 2 的报文通过；

在 Switch C 上配置远程目的镜像组，定义 VLAN 2 为远程镜像 VLAN，连接数据监测设

备的端口 Ethernet 1/0/2 为镜像目的端口。

·137·

图 2.63 配置远程端口镜像组网图

② 配置步骤。配置 Switch A。

# 创建远程源镜像组。

<SwitchA> system-view

[SwitchA] mirroring-group 1 remote-source # 创建 VLAN 2。

[SwitchA] vlan 2

[SwitchA-vlan2] quit # 为远程源镜像组配置远程镜像 VLAN、源端口和反射端口。

[SwitchA] mirroring-group 1 remote-probe vlan 2

[SwitchA] mirroring-group 1 mirroring-port Ethernet 1/0/1 Ethernet 1/0/2 inbound

[SwitchA] mirroring-group 1 reflector-port Ethernet 1/0/4 # 配置端口 Ethernet 1/0/3 的端口类型为 Trunk 端口，允许 VLAN 2 的报文通过。

[SwitchA] interface Ethernet 1/0/3

[SwitchA-Ethernet1/0/3] port link-type trunk

[SwitchA-Ethernet1/0/3] port trunk permit vlan 2 配置 Switch B。

# 配置端口 Ethernet 1/0/1 的端口类型为 Trunk 端口，允许 VLAN 2 的报文通过。

<SwitchB> system-view

[SwitchB] interface Ethernet 1/0/1

[SwitchB-Ethernet1/0/1] port link-type trunk

[SwitchB-Ethernet1/0/1] port trunk permit vlan 2

[SwitchB-Ethernet1/0/1] quit # 配置端口 Ethernet 1/0/2 的端口类型为 Trunk 端口，允许 VLAN 2 的报文通过。

[SwitchB] interface Ethernet 1/0/2

[SwitchB-Ethernet1/0/2] port link-type trunk

[SwitchB-Ethernet1/0/2] port trunk permit vlan 2 配置 Switch C。

# 配置端口 Ethernet 1/0/1 的端口类型为 Trunk 端口，允许 VLAN 2 的报文通过。

<SwitchC> system-view

·138·

[SwitchC] interface Ethernet 1/0/1

[SwitchC-Ethernet1/0/1] port link-type trunk

[SwitchC-Ethernet1/0/1] port trunk permit vlan 2

[SwitchC-Ethernet1/0/1] quit # 创建远程目的镜像组。

[SwitchC] mirroring-group 1 remote-destination # 创建 VLAN 2。

[SwitchC] vlan 2

[SwitchC-vlan2] quit # 为远程目的镜像组配置远程镜像 VLAN 和目的端口。

[SwitchC] mirroring-group 1 remote-probe vlan 2

[SwitchC] mirroring-group 1 monitor-port Ethernet 1/0/2 配置完成后，用户就可以在数据监测设备上监控部门 1 和部门 2 发送的所有报文。

【补充说明】

镜像一般都可以实现高速率端口镜像低速率端口，例如 1000Mbps 端口可以镜像

100Mbps 端口，反之则无法实现。测试验证在观测端口上通过工具软件可以看到被镜像端口

的相应的报文，可以进行流量观测或者故障定位。


1．故障现象一

（1）故障现象描述。有一台 H3C3610 交换机的 BOOTROM 启动文件丢失，欲将文件恢复。

（2）故障分析定位。针对华为的交换机和路由器产品，在处理 BOOTROM 启动文件和主

机软件方式几乎是一致的，这里以交换机为例，加载 BOOTROM 启动文件和主机软件，可以

通过 Console 口利用 XMODEM 方式完成加载、可以通过以太网口利用 TFTP 方式完成加载、

可以通过以太网口利用 FTP 方式完成加载。用户的终端和交换机直接相连，可以通过本地加

载的方式加载交换机的 BOOTROM 和主机软件。加载成功的前提是用户的终端和交换机已经

正确连接。加载 BOOTROM 和加载主机软件的过程相比，除了在进入 BOOT 菜单后需要按

组合键<Ctrl+U>后并且回车、系统给出的提示有所区别外，其他过程完全一样。下面描述的

加载过程以 BOOTROM 为例说明。XMODEM 协议是一种文件传输协议，因其简单性和较好

的稳定性而被广泛应用。XMODEM 协议通过 Console 口传输文件，支持 128 字节和 1K 字节

两种类型的数据包，并且支持一般校验和、CRC 两种校验方式，在出现数据包错误的情况下

支持多次重传（一般多为 10 次）。

XMODEM 协议传输由接收程序和发送程序完成。先由接收程序发送协商字符，协商校

验方式，协商通过之后发送程序就开始发送数据包，接收程序接收到完整的一个数据包之后

按照协商的方式对数据包进行校验。校验通过之后发送确认字符，然后发送程序继续发送下

一包；如果校验失败，则发送否认字符，发送程序重传此数据包。

·139·

（3）排除过程。

① 交换机启动后，BOOT 菜单如下所示。

Starting…...

*************************************************************

* *

* H3C S3610-28F BOOTROM, Version 123 *

* *

*************************************************************

Copyright(c) 2004-2006 Hangzhou H3C Technologies Co., Ltd.

Creation date: Aug 3 2006, 11:57:55

CPU Clock Speed : 200MHz

BUS Clock Speed : 33MHz

Memory Size : 128MB

Mac Address : 0016e0bee200

Press Ctrl-B to enter Boot Menu… 此时，请按<Ctrl+B>组合键，系统提示：

Password : 要求输入 BOOTROM 密码，输入正确的密码后（交换机默认设置为没有密码），系统进

入 BOOT 菜单：

BOOT MENU

1. Download application file to flash

2. Select application file to boot

3. Display all files in flash

4. Delete file from flash

5. Modify bootrom password

6. Enter bootrom upgrade menu

7. Skip current configuration file

8. Set bootrom password recovery

9. Set switch startup mode

0. Reboot

Enter your choice(0-9): ② 通过 Console 口利用 XMODEM 完成加载。第一步：进入 BOOT 菜单后，如果需要对

BOOTROM 进行加载，则在进入 BOOT 菜单后，系统出现提示“Enter your choice(0-9):”时，

输入“6”或者按组合键<Ctrl+U>后回车，进入 BOOTROM 加载和主机软件的加载菜单。

Bootrom update menu:

1. Set TFTP protocol parameter

·140·

2. Set FTP protocol parameter

3. Set XMODEM protocol parameter

0. Return to boot menu

Enter your choice(0-3): 然后可以选择不同的协议来对 BOOTROM 进行加载。

第二步：在下载程序菜单中，输入 3，选择采用 XMODEM 协议完成 BOOTROM 和主机

软件的加载，回车后，系统进入下载速率设置菜单：

Please select your download baudrate:

1.* 9600

2. 19200

3. 38400

4. 57600

5. 115200

0. Return

Enter your choice (0-5): 第三步：根据实际情况，选择合适的下载速率，若如上所示；输入 5，即选择 115 200bps

的下载速率，回车后终端显示如下信息：

Download baudrate is 115200 bps

Please change the terminal’s baudrate to 115200 bps and select XMODEM protocol

Press enter key when ready 以上提示说明波特率更改完成。

下面需要进行 PC 端的配置，以使用 Windows 操作系统的超级终端软件为例进行介绍。

第四步：进入 PC 超级终端软件的［文件/属性］菜单。在弹出的对话框单击<配置>按钮，

进入 Console 口配置对话框，将速率配置为 115 200bps。

第五步：配置终端的波特率设置完成后，做一次终端的断开和连接操作，波特率设置才

能生效：单击超级终端的<断开>按钮，即断开了超级终端和交换机的连接，单击<连接>按钮，

则重新建立超级终端和交换机的连接。

第六步：输入回车即可开始程序的下载，终端显示如下信息：

Now please start transfer file with XMODEM protocol.

If you want to exit, Press <Ctrl+X>.

Loading …CCCCCCCCCC 第七步：此时，从终端窗口选择[传送\发送文件]，在弹出的对话框（如图 2.64 所示）中

单击<浏览>按钮，选择需要下载的软件，并将下载使用的协议改为 XMODEM。

第八步：选择完成后，单击<发送>按钮，系统弹出如下图 2.65 所示的界面。

第九步：程序下载完成后，系统界面如下：

Loading …CCCCCCCCCC done! 第十步：此时重新将超级终端的波特率调整为 9 600bps，过程请参考前面的第四步和第

五步，然后根据提示按任意键，系统将给出下面的提示，表示加载成功。

Bootrom updating…..................................done!

·141·

图 2.64 发送文件对话框图 2.65 正在发送文件界面

2．故障现象二

（1）故障现象描述。有一部门的计算机都不能访问互联网，同时发现网络设备间中连接

到此机房的交换机的相关部门都不能访问互联网。

（2）故障分析定位。机房使用 H3C 交换机作为集线设备，并通过一条网线与网络设备间

的中心交换机 H3C 3610 连接。既然机房内所有用户都无法连接，那么首先怀疑可能是级联

电缆问题或级联端的问题。于是，先到网络设备间的机柜内查看了一下该级联端口的 LED 指

示灯，没有发现明显异常。检查了几台计算机，发现不仅无法接入局域网络和 Internet，甚至

彼此之间都无法 ping 通，也无法通过查找的方式找到对方。考虑可能是广播风暴引起的此种现

象，现考虑采用端口镜像的方式来查找故障点。端口镜像分为本地端口镜像和远程端口镜像。

本地端口镜像是指将设备的一个或多个端口（源端口）的报文复制到本设备的一个监视

端口（目的端口），用于报文的分析和监视。其中，源端口和目的端口必须在同一台设备上。

远程端口镜像突破了源端口和目的端口必须在同一台设备上的限制，源端口和目的端口

可以跨越多个网络设备。目前，远程端口镜像功能可以穿越二层网络，但无法穿越三层网络。

本地端口镜像通过本地镜像组的方式实现。设备将源端口的报文复制一份并转发到目的端口。


① 组网需求。针对出现的如上故障网络描述如下，网络拓扑如图 2.66 所示：

部门一通过端口 Ethernet 1/0/1 接入 Switch C；

部门二通过端口 Ethernet 1/0/2 接入 Switch C；

数据检测设备 Server 连接在 Switch C 的 Ethernet 1/0/3 端口上。

图 2.66 配置本地端口镜像组网图

·142·

网络管理员通过 Server 对部门一和部门二收发的报文进行监控。

使用本地端口镜像功能实现该需求，在 Switch C 上进行如下配置：

端口 Ethernet 1/0/1 和 Ethernet 1/0/2 为镜像源端口；

连接 Server 的端口 Ethernet 1/0/3 为镜像目的端口。

② 配置步骤。配置 Switch C。

# 创建本地镜像组。

<Sysname> system-view

[Sysname] mirroring-group 1 local # 为本地镜像组配置源端口和目的端口。

[Sysname] mirroring-group 1 mirroring-port Ethernet 1/0/1 Ethernet 1/0/2 both

[Sysname] mirroring-group 1 monitor-port Ethernet 1/0/3 # 显示所有镜像组的配置信息。

[Sysname] display mirroring-group all

mirroring-group 1:

type: local

status: active

mirroring port:

Ethernet1/0/1 both

Ethernet1/0/2 both

monitor port: Ethernet1/0/3 配置完成后，用户就可以在 Server 上监控部门一和部门二收发的所有报文。

③ 在 Server 上利用 Sniffer 软件，对捕获的报文进行分析，通过分析找到发送大量广播

的计算机的 MAC 地址。

④ 针对上述现象也可采用更换一个新的交换机的方式。假如，几分钟之后，计算机又无

法访问互联网了，他们之间的通信也断了。可以判断不是交换机的原因，这时可查找是否是

由网卡损坏而引起的广播风暴问题。首选关掉交换机的电源，然后通过检测每一台计算机，

使用 ping 127.0.0.1 对机房内的所有计算机逐一进行测试。当发现有网卡故障的计算机后，将

其所连接的网线拔掉，再次打开交换机电源，网络恢复正常。这种情形仅适用于由于网卡损

坏而引起的广播风暴，不适用于由于病毒而引起的广播风暴问题。

⑤ 这里值得一提的是不要忽略针对网络设备的基本检查，如交换机应首先检查交换机面

板上的各指示灯闪烁是否正常。如果所有指示灯都在非常频繁地闪烁，或一直亮着，可能是

由于网卡损坏而发生了广播风暴，关闭再重新打开电源后试一试看能否恢复正常。如果恢复

正常，再找到红灯闪烁的端口，将网线从该端口中拔出。然后找到该端口所连接的计算机，

测试并更换损坏的网卡。如果面板一片漆黑，一个灯也不亮，那也不要过无担心，检查一下

UPS 是否工作正常，交换机电源是否已经打开，或电源插头是否接触不良。如果电源没有问

题，那恐怕就得更换一台交换机了。再如查看网卡的指示灯是否正常。正常情况下，在不传

送数据时，网卡的指示灯闪烁较慢，传送数据时，闪烁较快。无论是不亮，还是长亮不灭，

都表明有故障存在。如果网卡的指示灯不正常，需关闭计算机更换网卡。

·143·

3．故障现象三

（1）故障现象描述。网络拓扑如图 2.67 所示，PCA 和 PCC 同属于一个 VLAN 2，PCB

和 PCD 同属于另一个 VLAN 3，两台交换机间用两根 100Mbps 网线通过 Trunk 链路互连，并

使用端口聚合功能增加链路带宽，组建完成后，网络不能正常通信。

图 2.67 端口聚合

（2）故障分析定位。LACP（Link Aggregation Control Protocol，链路聚合控制协议）是一

种基于 IEEE802.3ad 标准的、能够实现链路动态聚合与解聚合的协议。LACP 协议通过

LACPDU（Link Aggregation Control Protocol Data Unit，链路聚合控制协议数据单元）与对端

交互信息。

开启某端口的 LACP 协议后，该端口将通过发送 LACPDU 向对端通告自己的系统 LACP

协议优先级、系统 MAC、端口的 LACP 协议优先级、端口号和操作 Key。对端接收到 LACPDU

后，将其中的信息与其他端口所收到的信息进行比较，以选择能够聚合的端口，从而双方可

以对端口加入或退出某个动态 LACP 聚合组达成一致。在同一个聚合组中，能进行出/入负荷

分担的成员端口必须有一致的配置。这些配置主要包括 STP、QoS、GVRP、QinQ、BPDU

Tunnel、VLAN、端口属性、MAC 地址学习等。要求端口必须在默认 VLAN1 中，冲突配置

检测通过后，系统自动将端口从 VLAN1 中删除。


① 查看配置文件，主要内容如下。

配置 VLAN 信息，以交换机 A 为例，交换机 B 的配置内容和交换机 A 相同。

[SwitchA]vlan 2

[SwitchA-vlan2]port ethernet 0/1

[SwitchA-vlan2]vlan 3

[SwitchA-vlan3]port ethernet 0/2 配置接口。

[SwitchA-Ethernet0/23]speed 100

[SwitchA-Ethernet0/23]duplex full

[SwitchA-Ethernet0/23]port link-type trunk

[SwitchA-Ethernet0/24]speed 100

[SwitchA-Ethernet0/24]duplex full

[SwitchA-Ethernet0/24]port link-type trunk

·144·

配置端口聚合。

[SwitchA]link-aggregation group 1 mode manual

[SwitchA]interface Ethernet 1/0/23

[SwitchA-Ethernet1/0/23]port link-aggregation group 1

[SwitchA-Ethernet1/0/23]quit

[SwitchA]interface Ethernet 1/0/24

[SwitchA-Ethernet1/0/24]port link-aggregation group 1

[SwitchA-Ethernet1/0/24]quit ② 经检查配置文件发现，在两个交换机中都没有应用允许 vlan 通过的命令，分别在相

应的端口上应用如下命令，故障排除。

[SwitchA-Ethernet0/23]port trunk permit vlan 2 to 3

[SwitchA-Ethernet0/24]port trunk permit vlan 2 to 3

4．故障现象四

（1）故障现象描述。通过超级终端对路由器进行配置，现将两台路由器通过 Serial 口相

连，连接完成后在超级终端窗口中无任何反应。

（2）故障分析定位。用 display 命令查看端口状态，物理口始终 down 状态，端口 down

时有 2 种状态，如显示信息是端口（如 serial number）is administratively down，line protocol is

down：表示该接口被 shutdown；如显示信息是端口（如 serial number）is down，line protocol

is down：则表示端口没有被激活或物理层没有转为 up 状态。


① 第一种情况是由于在端口上配置了 shutdown 命令，用 undo shutdown 命令取消即可。

② 如果是表示端口没有被激活或物理层没有转为 up 状态，用 display 端口命令查看底层

DTR、DSR、RTS、CTS、DCD 信号是否都 up，如不是，说明 DTE 与 DCE 间物理线路没连

好，查一下连接电缆问题。以上 5 个信号的含义分别是：

DTR：数据终端设备（DTE）准备好信号，输入信号。

DSR：数据终接设备（DCE）准备好信号，输出信号。

RTS：请求发送信号，输入信号。

CTS：清除发送信号，输出信号。

DCD：数据载波检测信号，输出信号。

Quidway 路由器默认设置要检测以上 5 个信号，其中 CTS、RTS 信号是关于异步串口流

控检测的信号，即异步串口在发送数据时，自动检测 CTS 信号，有 CTS 信号正常发送，无

CTS 信号停止发送；我们可以通过在串口相关参数对此功能进行屏蔽，即

Quidway(config-if-serial0)# flowcontrol normal 将异步串口的流控方式设置为 normal，则串口在发送数据时，不检测 CTS 信号而直接发

送，如果因此产生发送错误，系统将自动重发。

而 DTR、DSR、DCD 信号启动了串口的电平检测功能，即系统不仅检测串口是否外接电

缆，同时要检测 DCD 信号，只有当该信号有效时，系统才认为串口处于 up 状态。当该信号

无效时，串口为 down 状态，可通过以下命令可以屏蔽此功能，命令：

·145·

Quidway(config-if-serial0)# no detect dsr-dtr 对于广域网口，路由器配有 V.24 和 V.35 等多种接口电缆，以及 DTE 和 DCE 的配置，确

认路由器广域网口是在同步还是在异步方式下工作，如果为异步方式，则检查波特率是否设

置正确；如果为同步 DCE 方式，时钟由路由器产生，检查时钟速率和时钟方式是否正确；对

于以太网口，确认以太网连接是否正确，若使用 HUB 或 LAN Switch 连接以太网，确认 HUB

或 LAN Switch 上的指示灯显示测试机和路由器的以太网接口是否正常。10Base-T 标准规定

有全双工和半双工两种工作方式。在使用共享式的 HUB 时，应该以半双工方式工作，使用交

换式的 Switch 时，在 Switch 设置了全双工方式时，可以使用全双工方式工作。

5．故障现象五

（1）故障现象描述。两台设置了 RIP 协议的路由器不能接收到任何更新，从 RTA 上的

192.168.1.0/24 网段无法 ping 到 RTB 上的 192.168.2.0/24 网段，两台路由器的路由表中都没

有 RIP 路由，网络拓扑图如图 2.68 所示。

图 2.68 网络拓扑图

（2）故障分析定位。两台配置 RIP 协议的路由器间不能互通的问题，经分析可能是 RIP

协议没有启动，也可能相应的网段没有启动；另一个可能原因是接口上把 RIP 协议给关掉了；

还有一个可能原因是子网掩码的不匹配或版本差异（Quidway 路由器之间，Quidway 路由器

和其他厂商路由器）。


① 查看路由器的配置，RTA 上的配置如下。

interface Serial0

clock DTECLK1

link-protocol ppp

ip address 129.134.0.1 255.255.255.0

!

interface LoopBack1

ip address 192.168.1.1 255.255.255.0

!

rip

network 129.134.0.0

network 192.168.1.0

! ② 查看路由器的配置，RTB 上的配置如下。

interface Serial0

·146·

link-protocol ppp

ip address 129.134.0.2 255.255.255.0

rip version 2 multicast

!

interface LoopBack1

ip address 192.168.2.2 255.255.255.0

!

rip

network 192.168.2.0

network 129.134.0.0

! ③ 经分析是由于二台路由器的版本差异而引起的，经修改后故障排除。这里要提出的是

在故障分析定位中所给出的任何一种原因都会引发上述故障现象，所以在具体问题的时侯一

定要细致检查以便排除故障。

2.7 任务评价

2.7.1 任务总结

小组对搭建的小型企业网络组建与互联进行展示，小组代表介绍方案特点与故障排除过

程，师生展开讨论共同进行评价。对存在的问题进行整改和优化。







对学生评价考核分为其在整个工作过程中实践技能的掌握和工作过程的素质形成两类考

核指标，在考核学生整个工作过程的绩效外，还兼顾到学生学习态度、进步程度的评价考核。



（1）各小组按制定的工作计划完成工作情况。







·147·






评价从以下几个表格方式体现：学生自评表，如表 2.55 所示；小组互评表，如表 2.56

所示；教师评价表，如表 2.57 所示。



班级所在小组


标准实际得分


考核网络 IP 规划、子网划分是否合理，网络设备选型是

否准确，格式是否规范，能独立完成网络拓扑图的绘制，是

否能够按时完成并说明方案设计

15

内部局域网组建

按工作任务完成情况进行评价考核。主要考核能否根据用

户要求实现交换机的 VLAN 划分、链路聚合、地址绑定、

避免环路等配置

25

广域网接入


户要求实现路由器的基本管理，静态路由、RIP、NAT 等配

置

25

无线网络组建


户要求对 AP、无线网卡进行正确配置，以实现无线设备的

随时接入

5

网络设备连接、网络测试与

故障诊断

根据实际工作任务的需要，合理选择线缆连接设备，根据

实际组成的网络，测试其是否满足规划方案的要求，对在组

网过程中遇到的故障是否能准确的定位，能否自行优化与改

进

10

团队协作能力考查在小组团队完成工作任务中的表现，是否积极参与小

组的学习、能否与团队其他成员合作沟通、交流、互帮互助20

自我综

合评价与

展望年月日



班级所在小组

小组评价内容考核标准评价分数

标准实际得分

实训资料归档、实训报告考查能否积极参与工作任务的计划阶段，主动参与学习与讨

论，积极参与工作任务的实施，是否能独立按时完成实训报告 10

·148·

续表

团队合作

考查在小组团队完成工作任务中的表现，是否积极参与小组的

学习、讨论、交流和沟通，是否能与小组其他成员协作共同完成

团队工作任务

10

网络规划方案的设计

考核网络 IP 规划、子网划分是否合理，网络设备选型是否准

确，格式是否规范，能独立完成网络拓扑图的绘制，是否能够按

时完成并说明方案设计

10


按工作任务完成情况进行评价考核。主要考核能否根据用户要

求熟练完成交换机的 VLAN 划分、链路聚合、地址绑定、避免环

路等配置

20

广域网接入按工作任务完成情况进行评价考核。主要考核能否根据用户要

求实现路由器的基本管理，静态路由、RIP、NAT 等配置 20

无线网络组建按工作任务完成情况进行评价考核。主要考核能否根据用户要

求对 AP、无线网卡进行正确配置，以实现无线设备的随时接入 5

网络设备连接、网络测试与故

障诊断

根据实际工作任务的需要，进行合理选择线缆连接设备，根据

实际组成的网络，测试其是否满足规划方案的要求，对在组网过

程中遇到的故障是否能准确的定位，能否自行优化与改进

15

小组成员互评满意度评价各个成员在整体项目的参与、协作、提出有针对性的建议

等方面，是否是团队的骨干，是否完成项目的任务目标 10

综合评价与展

望年月日


小组及成员考核教师


标准实际得分

技术实现


考核网络 IP 规划、子网划分是否合理，网络设备选

型是否准确，格式是否规范，能独立完成网络拓扑图的

绘制，是否能够按时完成并说明方案设计

15


按工作任务完成情况进行评价考核。主要考核能否根

据用户要求实现交换机的 VLAN 划分、链路聚合、地址

绑定、避免环路等配置

20

广域网接入


据用户要求实现路由器的基本管理，静态路由、RIP、

NAT 等配置

20

无线网络组建


据用户要求对 AP、无线网卡进行正确配置，以实现无

线设备的随时接入

5

网络设备连接、网络

测试与故障诊断

根据实际工作任务的需要，进行合理选择线缆连接设

备，根据实际组成的网络，测试其是否满足规划方案

的要求，对在组网过程中遇到的故障是否能准确的定

位，能否自行优化与改进

10

·149·

续表

规范操作




工具使用与摆放

物品摆放是否整齐有序；是否有乱堆乱放、杂乱无序

的现象；使用工具后是否按要求放回原处；离开实训室

时是否对工位进行清洁、整理。按学生工具物品摆放的

规范程度计算得分

5

团队协作

依据小组团队学习的积极性和主动性，参与合作交

流、沟通的程度，互帮互助的气氛，团队小组成员是否

协作共同完成团队工作任务

15

2.8 实训操作（1）基于安全的考虑，网络管理员要对网络设备的配置信息和 IOS 进行备份，以便于当

网络设备配置丢失或错误而引发故障时能快速恢复。备份配置文件同时也为网络的后期管理

与维护提供了方便。在核心层设备上又做了配置更新，为了确保交换机或路由器配置发生故

障时能够快速恢复，请将已经配置好的 H3C S5500 交换机和 H3C MSR30-20 路由器上的配置

文件进行备份。

（2）随着网络的发展，功能需求越来越多，如果需要将新的特性部署到网络设备上，很

多时候就需要对 IOS 的版本进行升级。要求：将 H3C MSR30-20 原版本 CMW520-R1718-SI

升级为 CMW520-R1719-SI（升级版本提供：http://www.h3c.com）。

（3）作为公司的网络管理员，为了防止非法用户连入交换机的指定端口，保证网络的安

全性，在交换机上常采用端口绑定技术，现有工作任务为：在核心交换机 H3C S5500 的连接

内网服务器的 GigabitEthernet1/0/3 端口及网络管理工作站的 GigabitEthernet1/0/23 端口上配置

端口绑定，并进行测试。请完成此网络管理员的工作任务。

（4）一个规模近 300 人的轨道交通设备有限公司，目前有 19 个部门，其中管理人员近

70 人，各部门及人数的分配情况如表 2.58 所示。

表 2.58 部门人员分布表

部门人数

董事长 1

总经理 1

副总经理 1 1

副总经理 2 1

综合管理部 3

财务总监 1

财务部 4

技术部 15

·150·

续表

部门人数

质检部 7

物资部 7

库房 1 2

库房 2 2

库房 3 2

生产部 6

车间办公室 1 2

车间办公室 2 2

车间办公室 3 2

营销部 5

售后服务部 5

网络运营部 2

ISP 经常接到客户的电话，抱怨电子邮件有问题且 Internet 访问速度有时很低。在 ISP 相

关的技术人员到现场勘察时，绘制了该公司的现有网络拓扑图，如图 2.69 所示，并了解到公

司内的所有计算机都处在同一 C 类网段：192.168.1.0。为了便于管理及提高网络的性能，ISP

的网络设计人员要求该公司重新制定 IP 编址方案，并进行 VLAN 的合理规则。作为网络管

理员，如何实现此项工作任务？

（5）通过资源共享的方式可以节省各种计算机外围设备的购置和使用费用。对于一些利

用率并不是很高的外围设备，完全可以通过局域网对资源进行共享，同时也实现了资源备份

的目的，参考本学习情境，根据“VLAN 与 IP 规划表（表 2.3 和表 2.4）”与“2 楼和 3 楼逻

辑网络结构图（图 2.14）”，作为网络管理人员，如何实现部门经理 1（213 室，VLAN110）

与部门经理 2（215 室，VLAN111）间 VLAN 通信（两个 VLAN 在同一台二层交换机），如

何实现网络打印机的共享和数据备份呢？

（6）为便于网络管理员进行网络管理与维护，可通过远程配置维护交换机的方法，某企

业的设备连接分支拓扑图如图 2.70 所示。

图 2.69 任务 4 的拓扑图图 2.70 任务 6 的拓扑图

设备配置信息如表 2.59 所示。现有如下需求：H3C S3610 只允许 192.168.1.0/24 网段的

地址的 PC Telnet 访问；H3C S3100 允许其他任意网段的地址 Telnet 访问。设置通过 VTY 口

·151·

令登录交换机的 Telnet 用户进行 Password 认证，并设置用户的认证口令为密文方式，口令为

xyzabc。作为网络管理人员，如何实现任务中的需求？

表 2.59 网络设备配置参数

设备接口 IP 地址子网掩码默认网关上连交换机的端口

H3C S3610

VLAN10 192.168.1.1 255.255.255.0 — —

VLAN20 192.168.2.1 255.255.255.0 — —

VLAN30 192.168.3.1 255.255.255.0 — —

H3C S3100 VLAN20 192.168.2.2 255.255.255.0 — Ethernet1/0/11

H3C S1526 E1/0/1 — — — Ethernet1/0/12

PC1 NIC 192.168.1.10 255.255.255.0 192.168.1.1 Ethernet1/0/10

PC2 NIC 192.168.2.10 255.255.255.0 192.168.2.1 —

PC3 NIC 192.168.3.10 255.255.255.0 192.168.3.1 —

（7）某企业的技术部与售后部，位于同一楼层两个相邻的房间，两部门的接入设备均连

在设备间 H3C S5500 核心交换机上。原网络采用静态 IP 地址分配方式，两部门属于不同的

VLAN（VLAN10 和 VLAN20），H3C S5500 的 VLAN10 接口地址为 10.1.1.1/24，VLAN20

接口地址为 10.1.2.1/24。任务拓扑图如图 2.71 所示。

两个部门的工作人员都经常会遇到“IP 地址冲突”的现象，作为网络管理人员，如何解

决此问题，并避免此类现象的发生，同时为使用移动设备的用户接入网络获得 IP 地址信息时

提供方便。

图 2.71 任务 7 的拓扑图

（8）如图 2.72 所示，某公司有一台以太网交换机、服务器（包括 FTP 服务器、Web 服务

器和 Mail 服务器），综合管理部和质检部的用户都连接到这台交换机上，并有以下规定：

① 综合管理部的用户在下班时间（9：00—17：00 以外）不允许访问 FTP 服务器，但可

以随时访问 Web 和 Mail 服务器。

② 综合管理部的用户不允许访问 Internet，但综合管理部主任（IP 地址为 192.168.0.100）

可以随时访问 Internet 和所有服务器。

③ 质检部可以随时访问 Internet 和所有服务器。

作为组建网络的工程师，如何实现此工作任务的用户需求？

（9）因世界经济危机的出现，国家出台了一系列新的就业政策，积极鼓励毕业生自主创

·152·

业，A 大学的几位应届毕业生预筹建一高新技术企业，该企业由研发部、技术部、销售部、

人事部、财务部和行政部组成。为了适应社会发展的形势，计划组建一个小型企业网。考虑

到公司将来的发展规模和机密信息的安全性问题，提出如下需求：

图 2.72 任务 8 的拓扑图

① 初期投资尽量节约。

② 研发部和财务部不允许互相访问，但都可以访问服务器所在的行政部。

③ 企业内部各部门用户均能自动获取 IP 地址、子网掩码、默认网关及 DNS 地址等信息。

④ 拒绝来自外部的一切访问。

⑤ 允许内部用户访问外网。

为了满足用户的需求，请完成此小型企业网络的组建工作，包括网络方案规划、设备配

置与调试和网络性能测试。

（10）长春诚信科技公司坐落在高新技术开发区硅谷计算机城，公司主要经营网络产品业

务，业务涵盖国内外 OEM 和零售批发业务。公司业务部有 10 余台计算机，加上库房、财务

和店面总共 30 余台计算机。随着业务的扩大，公司内部信息量日益增多，公司原有的办公条

件急需改善。公司在参考其他公司的情况后，决定组建自己的办公网络。

公司的环境比较复杂，业务和财务还有店面及仓库都不在一个集中的区域，分散在三个

楼层，其周边还有一些个别店面需要通过交换机共享网络。综合距离、管理成本、办公空间，

公司决定将机柜放在店面内。考虑到经常有客户带笔记本电脑来公司，公司还决定在店面和

办公室安装无线网络。公司要求网络方案不仅能高速还要稳定，保证办公网络具有防攻击和

病毒能力，还要有权限控制功能，实现分组网络访问权限。用户方代表提出如下需求：

① 实现公司内部资源共享，提供内部邮件服务。

② 互联网接入具有良好的可扩展性和可升级性。

③ 对用户有一定权限的管理，上班时间不能玩网络游戏、使用 BT、浏览非法网页等。

④ 划分 VLAN，隔离广播风暴，提高网络宽带利用率。

⑤ 办公区域内能实现无线接入。

⑥ 简单易用，维护方便。

根据以上需求，请完成此科技公司的网络组建工作，包括网络方案规划、设备配置与调

试和网络功能测试。

·153·

学习情境 3 智能小区网络组建与互联目前，智能化社区建设已成为小区建设的必然选择，住宅社区的智能化、网络化给开发

商带来新的市场机遇。可以利用网络对社区进行现代化的内部管理，还可为社区用户提供增

值服务，增强了开发商在本行业中的竞争地位，也为其带来了新的商机。

智能小区采取结构化布线系统，主要包括有线电视系统、电话交换机系统、门禁系统、

楼宇对讲系统、监控系统、防盗和联网报警系统、集中抄表系统、小区能源管理系统、宽带

网络接入、停车管理系统、公共广播系统、物业管理系统、小区电子商务系统等。在本学习

情境中主要研究宽带网络接入。


富豪家园小区一期土建工程已经完工，现需要进行智能化建设，实现物业管理、周界报

警和环境监控等。富豪家园小区一期工程有 11 栋建筑物。其中有 10 栋多层建筑，每栋住宅

有 6 层，1 层是车库，每栋实际住户数为 30 户；还有供物业管理中心用的建筑一座，计算机

主机房设在物业管理中心的 2 层。

本公司负责宽带信息网的建设。目前宽带小区的结构化布线工程基本完成，网络的基本

架构分布情况如下：电信公司新布放了一条网络光纤至计算机主机房，楼栋之间布放光纤到

各楼栋机柜位置。楼道内的交换机之间采用双绞线互联，在每个房间的入口适当位置统一设

置一个信息接入箱，待各业主室内自行装修后，完成室内接入。

大部分业主都想拥有一个高速的网络，能够满足宽带上网、视频点播等需求。随着人们日常

生活对计算机的依赖越来越强，计算机病毒泛滥会影响用户的使用和信息安全；内部用户的攻击

行为，会给园区网造成不良的影响，局域网相互影响应尽可能小。整个小区包含各种户型，但信

息点分布均按照每套房间一个网络信息点考虑，并防止用户自行更改 IP 或私自接入小区网络。

【学习目标】


① 清楚智能化小区网络的构成。

② 知道目前小区网络各类宽带接入技术。

③ 清楚用户计算机、楼道设备、汇聚设备和电信端网络设备的连接。

④ 明确小区宽带组网方案的规范与要求。


① 会根据小区的情况选择合理的宽带接入技术。

② 会根据采用的宽带接入技术，选择性价比较高的各种网络设备。

③ 能够根据用户数量进行 VLAN 规划。

④ 能依据公安部 82 号令和现有 IP 需求情况，设计 IP 规划方案。

⑤ 能按照技术手册，配置所采购的各种网络设备，确保工程实施满足用户需求。

·154·


① 有良好的合作观念，会与非技术人员进行沟通。

② 形成规范操作的习惯，操作过程符合技术要求。

③ 形成严谨的工作态度。

④ 养成良好的自学习惯，有终身学习的观念，能不断提高自己。

3.1 网络规划方案


项目的第一步，是通过对工程项目的需求分析，提出网络规划设计，绘制出网络的拓扑

图或结构图，后根据需求分析完成网络设备选型、技术文档撰写等工作。

3.1.2 需求分析

项目的分析以对客户的需求分析为主，通过对实际情况的了解和客户提出的需求进行分析。

目前，智能小区普遍采用宽带接入技术。对普通住户而言，10Mbps 的带宽就能够满足了，

但考虑到今后的每个住户大量视频流的传输以及每个住户内计算机数量的增加和网络的流量

分布状况，与其牺牲整个系统的性能不如以极小的经济代价来换取整个系统高性能，从而节省

了今后升级到100Mbps所需的投入。每个住户的入口是交换式100Mbps，即一个可达到100Mbps

带宽的端口。根据对同类高档住宅小区的实际信息流量分析，小区的主干网采用 1 000Mbps 交

换式网络能很好地满足实际需求。

本项目中，客户的需求分析如下。

（1）用户通过小区网络以认证方式访问 Internet。

（2）互联网接入采用 100Mbps/1 000Mbps 光纤接入。

（3）提供该小区公网 IP 地址，根据用户数分配相关地址池。

（4）要实现一定的安全性，通过 VLAN 隔离，禁止小区内部通过局域网互访。

（5）各楼道设备通过光纤与汇聚机房互联。

（6）用户通过 DHCP 方式自动获取 IP 等信息，以便访问 Internet。

（7）采用主流的 TCP/IP 协议对宽带网进行规划。

（8）小区汇聚机房通过集群功能对楼道交换机进行管理。

（9）小区汇聚机房启动 STP 和环路抑制。

（10）满足当前主流网络设计的原则。

3.1.3 VLAN 规划设计

VLAN ID 的规划可遵循如下一些原则。

（1）VLAN 1 一般予以保留，不分配给业务 VLAN 使用。

（2）VLAN ID 的预分配应成段分配。

（3）如果 VLAN ID 足够用，尽量分配 1 000 以下的 VLAN ID。

（4）分配 VLAN 时，每个用户一个 VLAN。

·155·

（5）管理 VLAN 一般也要统一，如都用 VLAN 4 094。

VLAN 规划，如表 3.1 所示。

表 3.1 VLAN 规划表

序号楼号 VLAN 号交换机位置

1 1# 2～49 2 单元 2 层

2 2# 50～97 3 单元 1 层

3 3# 98～145 2 单元 3 层

4 4# 146～193 3 单元 1 层

5 5# 194～241 2 单元 2 层

6 6# 242～289 1 单元 3 层

7 7# 290～337 2 单元 2 层

8 8# 338～385 2 单元 2 层

9 9# 386～433 3 单元 1 层

10 10# 434～481 2 单元 2 层

11 物业中心 482 2 层

合计 11 481

3.1.4 IP 地址规划设计

对于在 Internet 网络上，使用 TCP/IP 时每台主机必须具有唯一的 IP 地址，具有合法 IP

地址的主机之间才能进行互相通信。而一个局域网在搭建之前首先要对局域网内的 IP 地址做

出合理的规划。

1．IP 地址规划的基本原则

IP 地址规划的基本原则是：唯一性、连续性、扩展性、实意性、节约性。

2．IP 地址的规划

宽带小区 IP 地址为 PPPoE+DHCP 方式获取地址。用户从地址池里随机自动获取地址信息。

IP 地址可分为三类进行规划。

Loopback 地址：Loopback 接口是应用为广泛的一种虚接口，几乎在每台路由器上都

会使用。系统管理员完成网络规划之后，为了方便宽带网络的管理，通常为每一台核心设备

创建一个 Loopback 接口，并在该接口上单独指定一个 IP 地址作为管理地址。管理员会使用

该地址对路由器远程登录，该地址实际上起到了类似设备名称一类的功能。

管理地址：也称互联地址，是指两台或多台网络设备相互连接的接口所需要的地址，如

宽带远程接入服务器的设备管理地址。

业务地址：用户拨号以后从宽带远程接入服务器设备上获取的公网地址。


网络设计按功能一般分为三层：核心层、汇聚层、接入层。

核心层：作为网络的核心部分，不仅要求实现高速的数据转发，而且要求性能高，容量

·156·

大，具备高可靠性和高稳定性。

汇聚层：要支持丰富的功能和特性。汇聚层要隔离接入层的各种变化对核心层的冲击。

接入层：要提供大量的接入端口以及各种接入端口类型。提供强大的各类业务类型接入。

由于城市中不同地域的人群和集团

对信息需求的种类和数量存在差异，也由

于城域网建设需要一个过程，因此提出了

园区网的概念。作为城域网的子网，园区

网属于接入层，主要完成用户密集区或业

务密集区内信息的接入，典型的园区网包

括信息化智能小区、商业楼（区）、校园网

和企业网等。小区宽带接入网络在城域网

中的层次，如图 3.1 所示。

从提供的业务看，园区网可分为两

类：接入型园区网和互联型园区网。接

入型园区网的典型是信息化小区系统，

其业务以 Internet 接入和小区内宽带业务的接入为主，用户间交互的业务为辅。接入型业务要

求系统能提供较完善的 AAA（认证、授权和计费）功能，用户能实现动态业务选择，通过

PPPoE+RADIUS 服务器方式满足用户对网络安全性的要求。接入服务器可以实现上述功能，

帮助运营商针对不同的用户、不同的业务，实现不同的带宽和流量控制策略。针对小区建设

的不同模式和小区的特点，对于 LAN 小区，智能设备终端（IDT）提供多种接口用以接入用

户家里的各种终端，如水表、电表、煤气表、计算机等，接入到小区物业中心。智能化小区

的网络结构示意图，如图 3.2 所示。

图 3.2 智能化小区网络结构示意图

图 3.1 小区宽带接入网示意图

·157·


网络设备的型号选择主要从两个方面考虑：一方面要考虑设备的性能指标，另一方面要

考虑设备的商务报价。性能指标可以从几方面参考：物理参数（高/宽/深，重量，功耗），可

靠性，例如路由引擎、交换背板、电源是否冗余，是否支持负载分担，端口容量，整机大

包转发能力，槽位数/业务槽位（主控板冗余配置情况下），单板/整机支持的 GE 口大数量，

多业务叠加的性能与长时间稳定性，路由能力，组播能力，VPN 支持能力，是否支持 QoS，

是否支持网管功能等。

1．宽带远程接入服务器设备选型

宽带接入服务器（Broadband Remote Access Server，BRAS）是面向宽带网络应用的新型

接入网关，可以完成用户带宽的 IP/ATM 网的数据接入，实现商业楼宇及小区住户的宽带上

网、基于 IPSec（IP Security Protocol）的 IP VPN 服务、构建企业内部 Intranet、支持 ISP 向用

户批发业务等应用。它位于骨干网的边缘，提供宽带接入服务、实现多种业务的汇聚与转发，

能满足不同用户对传输容量和带宽利用率的要求，是宽带用户接入的核心设备。

2005 年，中国电信 CN2 城域网 BRAS 设备选型测试历时四个月，6 家厂商的宽带接入服

务器（BRAS）设备的排名，华为的 5200 系列产品排在第一阵营。就运营商而言，华为的设

备较适合，功能齐全、价格低廉。

（1）Quidway MA5200F 是华为公司针对宽带 IP 网络业务运营而开发的 BRAS 设备，采

用集中式处理的盒式硬件体系结构，具备完善的接入、认证、授权和计费功能、完整的 QoS

机制、丰富的业务处理能力，能够满足中小规模 IP 网络宽带接入服务和用户管理的需求。

MA5200F主要是面向城域网汇聚层中小汇聚节点，用于 IP DSLAM 模块局、小容量 IP DSLAM

端局的 xDSL 宽带接入用户的管理，也可用于以太网汇聚层，对以太网接入用户进行管理，

还可用于中小企业网和行业网络，以及酒店、会议中心、展览馆等各种热点地区宽带用户（包

括专线用户）的接入。

MA5200F 可以支持 1 000 用户的并发接入，MA5200F-2000 可以支持 2 000 用户的并

发接入。MA5200F-2000 的实物图如图 3.3 所示。

图 3.3 MA5200F-2000 实物图

（2）Quidway MA5200G 是华为公司针对宽带城域网向多业务承载网方向的发展趋势专门

研发的大容量、高性能的宽带业务控制网关。MA5200G 部署在城域网的边缘汇聚层，采用

先进的分布式硬件体系结构和大容量无阻塞硬件交换转发技术，提供大容量、高密度端口、

电信级可靠性、线速转发性能、完整的 QoS 机制、丰富的业务处理能力，可作为多业务承载

网的终端接入认证网关、业务控制网关、安全控制网关和专线 PE，为网络运营商提供统一完

整的宽带数据接入和业务运营方案。

MA5200G 是一个系列化产品，包括 MA5200G-2、MA5200G-4、 MA5200G-8 三款型号，

三款产品在业务板数量、接入用户数和交换容量等性能规格上不同，可以适应不同网络规模

的组网要求。MA5200G 系列产品的实物图，如图 3.4 所示。

·158·

图 3.4 MA5200G 系列产品实物图

考虑到小区节点数为低于 2 000 户的宽带认证用户，可以选择相应的认证 BRAS 设备，

根据宽带需求和性价比这里选择华为 Smart MA 5200F 设备。产品规格如下：

MA5200F 是一款高性能路由器，也是一款高性能的宽带智能接入服务器。MA5200F 适

用于以太网、xDSL（Digital Subscriber Line）、WLAN（Wireless LAN）等各种接入类型的网

络，可以广泛地应用于运营商宽带接入网、企业网、校园网、政务网、酒店等各种业务类型

的网络，满足了不同网络对灵活的用户管理以及可靠的网络安全的需求。

MA5200F 针对用户提供了功能强大的用户管理和业务控制功能，包括灵活完善的用户接

入方式、用户身份认证和安全保障、基于用户策略的访问控制、业务 QoS 保证、即插即用、

NAT、组播控制、用户访问日志等。

MA5200F 同时提供丰富的计费信息，支持多种计费方式。MA5200F 为 2U 高盒式设备，

可以装入 19 英寸标准结构机柜。

MA5200F 可以提供 24 个 FE 口和 2 个 GE 口。

2．宽带网汇聚交换设备选型

汇聚层设备要支持丰富的功能和特性，能隔离接入层的各种变化对核心层的冲击。

（1）Quidway S3900 系列智能弹性以太网交换机是华为公司为设计和构建高弹性、高智能网络

需求而推出的新一代以太网交换机产品。系统采用华为公司创新的 IRF（Intelligent Resilient

Framework，智能弹性架构）技术，将多台分散的设备组成统一的交换矩阵，非常适合作为关注扩

展性、可靠性、安全性和易管理性的办公网、业务网和驻地网的汇聚和接入层交换机。

S3900 系列交换机提供标准型（SI）和增强型（EI）两种产品版本，标准型支持二层和

基本的三层功能、提供部分的 IRF 功能（分布设备管理和基本的分布冗余路由）。增强型支持

复杂的路由协议和丰富的业务特性，支持全部的 IRF 功能（分布设备管理、分布冗余路由和

分布链路聚合）。

（2）Quidway S3500EA 系列运营级园区交换机是华为公司为满足城域网电信级业务接入

和精细化运营需求而推出的运营级以太网交换机。该系列交换机提供毫秒级的链路保护能力、

基于 VLAN 的业务控制能力、跨 VLAN 组播复制能力、IPv4/IPv6 网络平滑升级能力，以及

链路故障检测和网络性能监控能力，这些特点满足了运营级以太网对网络可靠性、可运营、

可管理、可扩展的需求。

根据本项目的实际情况及未来发展，满足主干高速要求，选择华为 S3928 三层交换机，

详细信息可浏览华为网站，网址为：

·159·

http://www.huawei.com/cn/products/datacomm/catalog.do?id=632。

3．宽带网楼道交换设备选型

楼道交换机是接入层设备，要能提供大量的接入端口以及各种接入端口类型，提供强大

的各类业务类型接入。

（1）Quidway S2000TP-MI 系列接入交换机是华为公司推出的楼道级接入产品，包括

S2008TP-MI/S2016TP-MI/S2403TP-MI。S2000TP-MI 系列产品的实物图，如图 3.5 所示。

S2000TP-MI 支持 4 000 个 802.1q VLAN 和 HGMP 集群管理，是为要求具备高性能且易于安

装的网络环境而设计的二层以太网交换机产品。

（2）Quidway S2000-EA 系列运营级接入交换机是华为公司为满足精细化运营需求而推出

的运营级以太网接入交换机。S2000-EA 支持强大的 ACL 功能，是楼道级安全智能接入交换

机。S2000-EA 支持 NQA，使管理维护能力大大增强。S2000-EA 支持 QinQ、基于 VLAN 的

业务控制和组播 VLAN，可为用户提供丰富灵活的业务特性。S2000-EA 在安全性、可运营、

可管理和业务扩展能力方面都大大提高，是新一代的运营级楼道接入产品。

S2403TP-EA 有 24 个 10/100Base-TX 以太网端口，2 个 100/1000BASE-X SFP 或 2 个

10/100/1000BASE-TX 接口，支持 220V 交流供电或-48V 直流供电，市场参考价格 1 800 元。

S2403TP-EA 的实物图，如图 3.6 所示。

图 3.5 S2000TP-MI 系列产品实物图图 3.6 S2403TP-EA 实物图

（3）Quidway S2300 系列运营级接入交换机（以下简称 S2300）是华为公司为满足以太

网多业务承载需要、面向精品城域网和企业网而推出的运营级以太网接入交换机，适应各种

以太接入场景。S2300 基于新一代高性能硬件和华为公司统一的 VRP（Versatile Routing

Platform）软件，可为用户提供丰富灵活的业务特性，有效地提高产品可运营、可管理和业务

扩展能力，具备优异的防雷能力和安全特性，支持强大的 ACL 功能，支持 QinQ，支持 1∶1

和 N∶1 VLAN 交换功能，满足 VLAN 灵活部署的需求。

S2300 为盒式产品设备，机箱高度为 1U，从特性上分为 SI 和 EI 两个产品版本。S2300

系列交换机的实物图如图 3.7 所示。

S2326TP-EI 有 24 个 10/100Base-T，2 个 10/100/1000Base-T 与 2 个 100/1000Base-X SFP

COMBO，分交流供电和直流供电两种机型。S2326TP-EI（DC）市场参考价格 2 100 元。

·160·

图 3.7 S2300 系列交换机实物图

主要考虑到价格，兼顾产品的技术性能指标，楼道交换机则采用性价比较高的 Quidway

S2000TP-MI 系列接入交换机，这样既可以保持网络的功能和性能，同时又降低了网络建设的

成本。

本项目中的楼道交换机可以选择华为 S2403 二层交换机作为主交换机，从交换机可根据

实际宽带用户数量选择 S2008、S2016 或 S2403。

网络设备选购如表 3.2 所示。

表 3.2 网络设备选购表

设备型号参考价格

（元）数量备注

宽带远程接入服务

器 MA5200F 36 000 1

MA5200F 宽带 IP 接入设

备主机（220V）

汇聚交换机 Quidway S3928P-EI 5 800 1

楼道交换机 Quidway S2403TP-EA 1 800 10

楼道交换机 Quidway S2008TP-EA 900 6


此小区的宽带信息网络工程的整个进度计划为两周，大致安排如表 3.3 所示。

表 3.3 工程进度计划表

时间进度

工程进度 1 2 3 4 5 6 7 8 9

入场，核实现场数据


网络设备安装配置

设备调试

工程文档

工程验收

技术培训

·161·

3.2 小区内部网络组建

3.2.1 任务分析

小区用户需要实现住户之间的计算机不能互访，实现必要的 VLAN 隔离，并且对设备配

置过一次后就不需要经常修改。对接入交换机进行 VLAN 配置或端口隔离配置，能实现用户

之间的隔离，保证了小区住户的安全性。本项目中楼道交换机需要一个端口对应一个 VLAN。

整个工程的网络设备较多，设备之间的连接关系需要非常清晰，尤其在工程维护期间更

是如此。要在网络设备上对端口和设备的信息进行描述。

为简化配置管理任务，在汇聚交换机上配置集群管理功能，管理楼道交换机。这样就不

需要登录到每个成员设备的配置口上进行配置，不受距离的限制，有助于监视和调试网络；

只需要在管理设备上配置一个公网 IP 地址，就可实现对多个交换机的配置和管理，节省 IP

地址。

在智能住宅区内设置宽带通信机房，内置交换机；网络结构以 10Mbps/100Mbps/1 000Mbps

以太网交换机为中心、星型拓扑结构放射至各个住宅楼，后至各家各户，实现信息高速公路“

后一公里”的接入。每个楼宇的楼道交换机通过 1 000Mbps 光纤模块接口与汇聚交换机相连。汇

聚交换机上联至宽带接入服务器，对汇聚交换机进行 VLAN 透传配置、路由配置。

为保证上行网络畅通，还可考虑生成树配置、访问控制列表（防病毒）等网络相关配置。

富豪家园智能化小区的网络结构简化示意图如图 3.8 所示。图中在每栋楼只放置了一台交换

机。根据开通宽带业务的用户数，可以考虑调整楼道交换机的型号和数量。与多模光纤相连的交

换机称为主交换机，增加的其他交换机均称为从交换机，主从交换机之间采用级联方式连接。

图 3.8 智能化小区网络结构简化图

·162·

智能化小区的社区宽带数据业务接入拓扑图，如图 3.9 所示。在 S3900 和 MA5200F 之间

增加一台汇聚设备 S6500 系列交换机，可以减小园区网络对城域网络的冲击，在其上主要实

现 VLAN 透传、访问控制列表等功能。在本任务中，省略这一设备的使用，突出关键设备的

配置，且不影响网络正常功能的实现。

图 3.9 社区宽带数据业务接入拓扑图

3.2.2 楼道交换机配置

1．宽带小区楼道部分

（1）每个楼道交换机都分配 24 个 VLAN（也可能安装 8 口，16 口或 24 口设备），如有

级联交换机则可以分配 48 个 VLAN。

（2）根据小区竣工图纸及实际情况，把每个小区的 VLAN 范围与具体楼的对应关系分配

出来，然后保留 VLAN 与楼道的对应表（VLAN 分配不许重复），用记号笔直接将具体 VLAN

和相关的楼栋单元名称、ODF 信息写到楼道机箱里面。

（3）VLAN 2～3000，为拨号业务 VLAN，按 24 个 VLAN 为单位，可以对应 125 个。

（4）在配置 VLAN 过程中需要对这个小区的设备进行统计（S2008，S2016，S2024，S2403

数量）。

（5）新开通小区的楼道交换机必须统一分配业务 VLAN 进行配置。

2．交换机业务的配置过程

（1）建立业务 VLAN。

[switch-A.MAN]VLAN 100

·163·

（2）进入业务端口，加对业务的描述。

[switch-A.MAN]interface Ethernet 1/0/1

[switch-A.MAN-Ethernet1/0/1]description text （3）对端口的广播风暴进行限制。

[switch-A.MAN-Ethernet1/0/1]broadcast-suppression 5 （4）配置端口的速率和双工属性。

[switch-A.MAN-Ethernet1/0/1]speed { 100 | 10 | auto }

[switch-A.MAN-Ethernet1/0/1]duplex { full | half | auto } （5）配置端口类型，并将业务 VLAN 封装到端口下。

[switch-A.MAN-Ethernet1/0/1]port link-type access

[switch-A.MAN-Ethernet1/0/1]port access vlan 100 （6）如业务 VLAN 的网关不在该设备上，需要将该业务 VLAN 向上透传。（分不带标签

透传/带标签透传/混合模式）

[switch-A.MAN-Ethernet1/0/1]port link-type { access | trunk | hybrid } 例：

[switch-A.MAN-Ethernet1/0/1]port link-type trunk

[switch-A.MAN-Ethernet1/0/1]port trunk permit all （7）对端口进行限速。

不同的交换机限速的方式也不相同，命令也不一样，有些低端交换机也并不支持对端口

进行限速功能。需要参考设备技术说明书。

3．宽带小区楼道交换机命名与描述

（1）对楼道交换机设备进行命名规范。

例：富豪家园 3 栋 3 门，在设备上描述：sysname FHJY_3#3men

（2）在楼道设备上对上行端口级联关系和 ODF 进行描述。

例：description To FHJY _S3928 ethe 1/0/1 ODF1:1-2

描述为本楼道上行端口是从某端口到富豪家园 S3928 的第一口，ODF 为 1 的 1-2 芯。

（3）楼道设备主交换机与从交换机互联端口的描述。

例：description To FHJY _S2008（cong） ethe 1/0/8

（4）楼道设备从交换机与主交换机互联端口的描述。

例：description To FHJY _S2403（zhu） ethe 1/0/1

4．某楼道交换机配置文档

#

sysname FHJY_3#2men

#

VLAN 1

·164·

#

VLAN 2 to 25

#

VLAN 4008

#

interface Vlan-interface4008

#

interface Ethernet1/0/1

port access VLAN 2

#


port access VLAN 3

#


port access VLAN 4

#

//．．．

．．．//

#


port link-type trunk

port trunk permit VLAN all

broadcast-suppression 5

#

management-VLAN 4008

#

3.2.3 汇聚交换机配置

小区汇聚设备需要配置远程管理地址、默认路由和集群管理等功能。汇聚交换机 S3928

的管理地址为 222.168.76.206/30，上联设备的地址为 222.168.76.205/30。

1．配置远程管理地址

[xiaoqu]VLAN 4008

[xiaoqu-vlan4008]int VLAN 4008

[xiaoqu-vlan-interface4008] ip address 222.168.76.206 255.255.255.252

2．配置上连 MA5200F 的端口

[xiaoqu]interface GigabitEthernet1/1/1

[xiaoqu -GigabitEthernet1/1/1]port link-type trunk

[xiaoqu -GigabitEthernet1/1/1]port trunk permit vlan all

·165·

3．配置默认路由

[xiaoqu]ip route-static 0.0.0.0 0.0.0.0 222.168.76.205

4．集群管理

网络管理员可以通过一个主交换机的公网 IP 地址，实现对多个交换机的管理。主交换机

称为管理设备，其他被管理的交换机称为成员设备。成员设备一般不设置公网 IP 地址，通过

管理设备重定向来实现对成员设备的管理和维护。管理设备和成员设备组成了一个“集群”。

NDP（Neighbor Discovery Protocol）是用来发现邻接点相关信息的协议。NDP 运行在数

据链路层，因此可以支持不同的网络层协议。

NDP 用来发现直接相连的邻居信息，包括邻接设备的设备类型、软/硬件版本、连接端口

等，另外还可提供设备的 ID、端口地址、硬件平台等信息。

NTDP（Neighbor Topology Discovery Protocol）是用来收集网络拓扑信息的协议。NTDP

为集群管理提供可加入集群的设备信息，收集指定跳数内的交换机的拓扑信息。

NDP 为 NTDP 提供邻接表信息，NTDP 根据邻接信息发送和转发 NTDP 拓扑收集请求，

收集一定网络范围内每个设备的 NDP 信息和它与所有邻居的连接信息。收集完这些信息后，

管理设备或者网管可以根据需要使用这些信息，完成所需的功能。

当成员设备上的 NDP 发现邻居有变化时，通过握手报文将邻居改变的消息通知管理设

备，管理设备可以启动 NTDP 进行指定拓扑收集，从而使 NTDP 能够及时反映网络拓扑的变

化。

如图 3.10 所示，Switch A 作为管理设备来管理成员交换机 Switch B 和 Switch C，要求

Switch A 使用 192.168.1.1/24 作为集群地址池，集群的名称为 huawei。交换机 Switch A 通过

Ethernet 1/0/1 与 Switch B 的 Ethernet 1/0/1 连接， Switch A 通过 Ethernet 1/0/2 与 Switch C 的

Ethernet1/0/1 连接。

图 3.10 集群管理组网图

（1）成员交换机配置。

启动设备上的 NDP 和端口 Ethernet1/0/1 上的 NDP。

[Quidway] ndp enable


[Quidway-Ethernet1/0/1] ndp enable 启动设备上的 NTDP 和端口 Ethernet1/0/1 上的 NTDP。

[Quidway] ntdp enable

·166·


[Quidway-Ethernet1/0/1] ntdp enable 启动集群功能。

[Quidway]cluster enable （2）管理交换机配置。

启动设备上的 NDP 和端口 E 1/0/1、E 1/0/2 上的 NDP。

[Quidway] ndp enable


[Quidway-Ethernet1/0/1] ndp enable


[Quidway-Ethernet1/0/2] ndp enable 启动设备上的 NTDP 和端口 E 1/0/1、E 1/0/2 上的 NTDP。

[Quidway] ntdp enable


[Quidway-Ethernet1/0/1] ntdp enable


[Quidway-Ethernet1/0/2] ntdp enable 配置拓扑收集范围为 2 跳

[Quidway]ntdp hop 2 启动集群功能

[Quidway]cluster enable 进入集群视图

[Quidway]cluster

[Quidway-cluster] 配置集群内部使用的 IP 地址池，起始地址为 192.168.1.1

[Quidway-cluster]ip-pool 192.168.1.1 255.255.255.0 配置名字建立集群，使用命令自动加入成员

[Quidway-cluster]build huawei

[huawei_0. Quidway -cluster]auto-build 查看集群成员：

[huawei_0. Quidway -cluster]display cluster members

SN Device MAC Address Status Name

0 Quidway S3526 00e0-fc00-0003 Admin Huawei_0. Quidway

1 Quidway S3526 00e0-fc06-a045 Up Huawei_1. Quidway

2 Quidway S3526 00e0-fc06-a021 Up Huawei_2. Quidway 登录成员交换机 Switch B

·167·

<huawei_0. Quidway >cluster switch-to 1 登录成员交换机 Switch C

<huawei_0. Quidway >cluster switch-to 2

5．环路检测

小区汇聚机房交换机配置环路检测和生成树，主要对小区内网进行环路检测和抑制。

环路检测功能是中低端交换机为适应二层网络范围扩大，交换机在接入协议转换器/光电

转换器或者由于线序错误而引起的端口自环等情况时，避免交换机出现因 MAC 地址学习错

误导致转发异常的情况而提出的一个十分有效的解决方案，经过实践检验，效果比较明显，

大大减轻了网络维护人员的维护压力。

环回监测的目的是监测交换机的端口是否出现环路。当用户开启以太网端口的环回监测

功能后，交换机便定时监测各个端口是否被外部环回：对于 Access 端口，系统会对端口所属

的 VLAN 发送监控报文；对于 Trunk 端口和 Hybrid 端口，则会根据配置决定只对端口的默认

VLAN 进行环回监测或对所有的 VLAN 进行环回监测。如果发现某端口被环回，交换机将根

据用户的配置决定是否将该端口设置在受控工作状态下：对于 Access 端口，无论是否配置

loopback-detection control enable 命令，当系统检测到端口存在环回后，都会将该端口置于受

控工作状态。也就是说，如果系统发现端口被环回，则关闭该端口，并向终端上报 Trap 信息，

同时删除该端口对应的 MAC 地址转发表项。对于 Trunk 端口和 Hybrid 端口，如果系统发现

端口被环回，则向终端上报 Trap 信息。当端口的环回监测受控功能也同时开启时，系统将关

闭该端口，并向终端上报 Trap 信息，同时删除该端口对应的 MAC 地址转发表项。

在实际使用中，由于交换机产品系列众多，各产品对环路检测功能的支持和默认设置都

不尽一致，下面就针对华为 S5600/S3900/S2000-HI 系列交换机产品的默认实现方式加以说明。

华为 S5600/S3900/S2000-HI 系列交换机默认关闭环路检测和受控功能，同时默认只对

Trunk 和 Hybrid 端口上默认 VLAN 进行环回监测，可支持的操作和说明，如表 3.4 所示。

表 3.4 环回监测配置命令

操作命令说明

进入系统视图 system-view —

开启全局的端口环回监测

功能 loopback-detection enable

可选

默认情况下，全局的端口环回监

测功能处于关闭状态

设置定时监测端口环回情

况的时间间隔 loopback-detection interval-time time

可选

默认值为 30 秒

进入以太网端口视图 interface interface-type interface-number —

开启指定端口的环回监测

功能 loopback-detection enable

可选

默认情况下，端口环回监测功能

处于关闭状态

·168·

续表

操作命令说明

开启Trunk端口和Hybrid端

口的环回监测受控功能 loopback-detection control enable

可选

默认情况下，端口的环回监测受

控功能处于关闭状态

配置系统对当前 Trunk 或

Hybrid端口上所有的VLAN

进行环回监测

loopback-detection per-VLAN enable

可选

默认情况下，系统只对 Trunk 或

Hybrid 端口上的缺省 VLAN 进

行环回监测

显示端口环回监测功能的

相关信息 display loopback-detection

可选

可在任意视图下执行

3.2.4 内部网络功能检查

1．查看交换机信息

（1）查看配置信息。

[switch-A.MAN]display current-configuration （2）查看二层 VLAN/查看某端口信息。

[switch-A.MAN]display VLAN 100

[switch-A.MAN]display current-configuration interface Ethernet 1/0/1 （3）查看三层 VLAN。

[switch-A.MAN]display int VLAN 4008 （4）查看端口状态。

[switch-A.MAN]display interface Ethernet 1/0/1 可以看到端口的状态信息，包括是 UP 还是 DOWN；端口的出入流量有多大等，是常用

的命令。

具体参数介绍：

Ethernet1/0/1 current state：UP 此处表示该端口状态为 UP，在用。相反为 DOWN。

Description：To XXXX 此处表示该端口的描述为 XXXX

Hardware address is 00e0-fc66-0728 此处表示该交换机的 MAC 地址为 00e0-fc66-0728

100Mbps-speed mode, full-duplex mode 此处表示端口的速率和双工状态

Last 300 seconds input：1731 packets/sec 753 316 bytes/sec 端口入流量

Last 300 seconds output：1983 packets/sec 1 436 135 bytes/sec 端口出流量

packets/sec 表示每秒的数据包流量

bytes/sec 表示每秒的字节数流量

这里的流量与我们常说的速率 Mbps 是有区别的，将上述 bytes/sec 前面的数值除以两个

1024 然后再乘以 8 就换算成我们常说的 Mbps 了，以上面 1 436 135 bytes/sec 为例，应该这样

·169·

计算：（（1436135/1024）/1024）*8 大约为 11 左右，即该端口的出流量是 11Mbps.

Input：3964 input errors 此处为端口入口方向的错误数据总数（持续增加表示端口有问题）

Output：753 output errors 此处为端口出口方向的错误数据总数（持续增加表示端口有问

题）

（5）查看交换机的所有 MAC 地址。

[switch-A.MAN]display mac-address //显示交换机学习到的 MAC 地址

MAC ADDR VLAN ID STATE PORT INDEX AGING TIME

00e0-fc14-c301 100 Learned Ethernet1/0/1 AGING

00e0-fc14-c302 101 Learned Ethernet1/0/2 AGING 以第一行为例，解释如下。

第一个参数：学习到的 MAC 地址为 00e0-fc14-c301；

第二个参数：该 MAC 地址所属的 VLAN 号为 100；

第三个参数：标识该 MAC 地址是通过学习得到的；

第四个参数：该 MAC 地址是从 Ethernet1/0/1 口学习上来的。

（6）查看交换机某端口下的 MAC 地址。

[switch-A.MAN]display mac-address interface Ethernet 1/0/1


00e0-fc14-c301 100 Learned Ethernet1/0/1 AGING （7）查看某 VLAN 下的 MAC 地址。

[switch-A.MAN]display mac-address vlan 200


00e0-fc14-c302 101 Learned Ethernet1/0/2 AGING （8）查看交换机日志。

[switch-A.MAN]display logbuffer

2．集群功能测试

查看集群成员

[switch-A.MAN-cluster]display cluster members

SN Device MAC Address Status Name

0 Quidway S3526 00e0-fc00-0003 Admin Huawei_0. SwitchA

1 Quidway S3526 00e0-fc06-a045 Up Huawei_1. SwitchB

2 Quidway S3526 00e0-fc06-a021 Up Huawei_3. SwitchC 通过控制口登录到楼道交换机，查看上联接口，看是否从集群地址池中得到了 IP 地址，

以验证集群管理功能。

·170·

3.3 城域网接入

3.3.1 任务分析

对于智能小区宽带服务的经营者而言，小区局域网性能越稳定，用户越多，小区宽带经

营者的利润就越高。由于部分业主用户都具备局域网配置能力，有些个别用户就可能会以自

行偷接的方式，无偿接入小区业主的网络上网，而不用缴纳费用，造成小区业主的损失。要

能防止非法用户自行偷接入网。

小区网络管理员可以根据用户不同情况为用户制定如按时间、按流量和包月等不同的计

费策略。宽带接入服务器应能提供足够的公网 IP 地址，用户通过 DHCP 方式自动获取 IP 地

址，以便访问 Internet。

社区宽带数据业务接入拓扑图，如图 3.9 所示。本项目通过 BRAS 对宽带小区用户进行

认证，主要配置内容如下：配置 VT（虚模板），绑定 VT 到相应的接口，配置地址池，配置

认证方案，配置计费方案，配置 RADIUS 服务器，配置域，配置 VLAN 端口，配置本地用户

参数，配置上行接口以及路由。

3.3.2 以太网接入技术

1．智能小区以太网接入方式选择

要新建一个宽带社区，应该根据不同的环境，不同需求，选择一个合理科学的方案才是

佳的。如果是在新建的小区，可以考虑采用以太网方案，若是老社区用户接受重新布线的，

也可以采用以太网方案，否则应当考虑 ADSL 或 HFC 方案。

采用以太网接入即所谓 FTTX+LAN 的接入方式。以太网技术成熟，成本低，结构简单，

稳定性，扩充性好，便于网络升级，现在水平布线使用非屏蔽五类双绞线，它的带宽达到

100Mbps。垂直干缆用光纤来布设。对于一个家庭来说完全可以满足今后数十年的升级要求。

由于本小区是新开发的高档小区，本身就拥有先进的数据传输机房，光缆已敷设到住宅楼。

通过比较，适宜采用 FTTX+LAN 的宽带接入方式。

中国电信的 LAN 接入业务主要采用以太网技术，以信息化小区的形式为用户服务。在中

心节点使用高速交换机，为用户提供 FTTX（光纤到小区）+LAN（网线到户）的宽带接入。

用户只需一台计算机和一块网卡，就可高速接入互联网。LAN 虚拟拨号接入业务主要适合用

户集中的新建小区，LAN 专线接入业务适用于商厦、学校、大型企业等用户高速接入互联网。

中国电信已经在全国范围内开放了 LAN 接入业务，业务范围覆盖到县一级城市。

一个好的接入方式不仅能够使网络安全稳定地运营，也能使运营商方便地开展各种业务，

实现灵活的计费，更好地对用户进行管理。目前以太网接入方式主要有 3 种：固定 IP、DHCP

和 PPPoE，下面加以比较。

（1）用户管理和开销。固定 IP 方式：对 IP 地址管理不易，用户恶意更改或者尝试自行

设置自己的 IP 地址，都会造成管理上的麻烦，增加运营商的额外开销。

DHCP 方式：一方面 DHCP 存在较多的广播开销，对于用户量较多的城域网会造成网络

运行效率下降和配置困难；另一方面，仍然无法解决用户自行配置 IP 地址的问题。

PPPoE：由于采用动态分配 IP 地址方式，用户拨号后无需自行配置 IP 地址、网关、域名

·171·

等，它们均是自动生成，不存在用户自行更改 IP 地址的问题，对用户管理方便，而且 PPPoE

协议是在包头和用户数据之间插入 PPPoE 和 PPP 封装，这两个封装加起来也只有 8 个字节，

广播开销很小。

（2）计费策略。固定 IP 和 DHCP 方式的计费策略不灵活，一般采用包月制，如要实现流

量计费功能则必须要有相应的流量监视或采集系统，或在高端路由器上启动记账功能，然后

应用 SNMP 进行计费，这有可能使路由器运行效率下降。

PPPoE 可以实现对用户的灵活计费，可以按时长、流量计费，也可采用包月制。

（3）用户服务策略定制。固定 IP 和 DHCP 方式只能配合 IP 地址转换和地址访问列表控

制来定制简单的服务，如果要实现按特定用户进行流量控制，必须购买流量控制设备。

PPPoE 支持业务 QoS 保证，可方便地对用户进行实时流量控制。

（4）信息安全。固定 IP、DHCP 和 PPPoE 都可以采用细化 VLAN 的方式来解决用户信息

的安全问题，将局域网交换机的每个端口配置成独立的 VLAN，利用 VLAN 可以隔离 ARP，

DHCP 等携带用户信息的广播消息，从而使用户数据安全性得到提高。固定 IP 地址方式为了

识别用户的合法性必须将 IP地址和端口VID进行绑定，因为每个用户处于逻辑上独立的网内，

所以对每个用户要配置一个子网的 4 个 IP 地址：子网地址、网关地址、子网广播地址和用户

主机地址，这样会造成地址利用率降低，而 PPPoE 采用认证、授权的方式不存在这个问题。

（5）第三层广播风暴。固定 IP 和 DHCP 方式都不能解决第三层广播风暴问题，第三层广

播风暴影响同一 IP 子网所有用户的使用质量。而 PPPoE 方式由于采用二层隧道认证，所有

链路设备都工作在第二层，不存在第三层广播风暴问题。

从以上的比较可以看出，PPPoE 同其他两种接入方式相比具有较大的优势，被各大运营

商普遍采用，PPPoE+VLAN 是一种比较理想的宽带接入方式。本项目采用 PPPoE 认证方式。

2．PPPoE 的认证

PPPoE 认证首先要在客户机上安装 PPPoE 协议的驱动软件，在前端由 BRAS 服务器配合

RADIUS 服务器实现对用户的认证、计费。

AAA（Authentication、Authorization and Accounting）是认证、授权和计费的简称。它是

运行于 MA5200F 上的客户端程序，它提供了一个用来对认证、授权和计费这三种安全功能

进行配置的一致的框架。

RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证系统）是 AAA

框架下的一种用于认证、授权和计费的协议框架。一般用来管理大量分散的上网用户。

RADIUS 服务器通过管理一个简单的用户数据库来对用户认证、授权和计费，并可以根据用

户的服务类型和权限来调整用户的服务信息。

RADIUS 的基本工作原理：

用户接入 NAS，NAS 向 RADIUS 服务器使用 Access-Require 数据包提交用户信息，包括

用户名、密码等相关信息，其中用户密码是经过 MD5 加密的，双方使用共享密钥，这个密钥

不经过网络传播；RADIUS 服务器对用户名和密码的合法性进行检验，必要时可以提出一个

Challenge，要求进一步对用户认证，也可以对 NAS 进行类似的认证；如果合法，给 NAS 返

回 Access-Accept 数据包，允许用户进行下一步工作，否则返回 Access-Reject 数据包，拒绝

用户访问；如果允许访问，NAS 向 RADIUS 服务器提出计费请求 Account- Require，RADIUS

服务器响应 Account-Accept，对用户开始计费。

·172·

MA5200F 中，以 RADIUS 配置项为单位，对 RADIUS 服务器进行配置。一个配置项可

称为一个 RADIUS 逻辑主机，对应实际的两台有相同配置（IP 地址不同）的主、备份 RADIUS

服务器或一台独立的 RADIUS 服务器。

RADIUS 配置项定义了 MA5200F 和 RADIUS 服务器之间的一些参数，必须通过在域视

图下指定域使用的 RADIUS 配置项，并指定域的认证、计费方法为 RADIUS 认证、计费，参

数才能生效。

认证过程：用户拨号发出请求，经过网络传送到 BRAS 服务器，BRAS 服务器接到请求

后向 RADIUS 服务器发出 ACCESS REQUEST 请求包，其中含有用户的账号、密码、端口类

型等，经 RADIUS 服务器核实后，向 BRAS 回送 ACCESS RESPONSE 响应包，其中包含用

户的合法性和一些设置，如用户 IP 地址、掩码、网关、域名、用户可使用的带宽等。用户接

收到这些信息后就可以上网，上网期间 BRAS 不断地向 RADIUS 发送计费信息，这些信息包

括用户的上网时间、用户流量、用户下网时间等，以便 RADIUS 准确计费。

从 PPPoE 认证过程可以看出，BRAS 服务器在整个链路中起到关键的作用，因此 BRAS

服务器也要实现大而全的功能，包括认证、连接、终接、安全管理、计费业务汇聚、收敛等

功能。PPPoE 的详细接入流程如图 3.11 所示。

图 3.11 PPPoE 接入流程图

3.3.3 BRAS 配置

1．MA5200F 配置流程

MA5200F 为用户提供 PPPoE 接入方式。在该接入方式中，用户采用虚拟 PPPoE 拨号的

方式接入到 MA5200F 中，获得 MA5200F 的服务。配置 PPPoE 接入认证业务的基本流程

如图 3.12 所示。

·173·

图 3.12 PPPoE 接入认证业务配置流程图

（1）虚拟模板的建立。

[MA5200F]interface Virtual-Template 1 在虚拟模拟下配置认证方式为 PAP。

[MA5200F-Virtual-Template1]ppp authentication-mode PAP （2）端口与模板的绑定。

将该模板绑定在指定端口下。

方法 1：

[MA5200F]interface Ethernet 6

[MA5200F-Ethernet6]pppoe-server bind virtual-template 1 方法 2：

[MA5200F-VirtualTemplate1]pppoe-server bind ethernet 6 （3）地址池的建立。

[MA5200F]ip pool 1 local 配置地址池网关及掩码。

[MA5200F-ip-pool-huawei]gateway 222.168.76.205 255.255.255.0 为地址池分组并配置起始和终结地址（网关不能加在地址池中）。

[MA5200F-ip-pool-huawei]section 0 222.168.76.1 222.168.76.204

[MA5200F-ip-pool-huawei]section 0 222.168.76.207 222.168.76.254 配置地址池的 DNS（主备用）。

[MA5200F-ip-pool-huawei]dns-server 219.149.194.55

[MA5200F-ip-pool-huawei]dns-server 219.146.0.130 secondary （4）建立认证方案。

建立 AAA 下的认证方案（可多个，业务为本地认证或远程认证就在这里配置）。

[MA5200F]aaa

·174·

[MA5200F-aaa]authentication-scheme gongmian 指定认证方案的认证方式（local 或 radius）。

[MA5200F-aaa-authen-auth1]authentication-mode { radius|local|none } （5）建立计费方案

建立 AAA 下的计费方案（可多个，业务为本地计费或远程计费就在这里配置）。

[MA5200F]aaa

[MA5200F-aaa]accounting-scheme gongmian 指定计费方案的计费方式（local 或 radius）。

[MA5200F-aaa-accounting-acct1]accounting-mode { radius|local|none } （6）建立 radiuse 组并配置相关信息（可多个，如果为本地认证可跳过这步骤）。

建立 radius 组。

[MA5200F]radius-server group jltele 在 radius 组下配置认证服务器和计费服务器（如果为本地认证可跳过这步骤）。

认证服务器：

[MA5200F-radius-radius1]radius-server authentication 202.10.1.2 1812

[MA5200F-radius-radius1]radius-server authentication 218.18.1.18 1812 secondary 计费服务器：

[MA5200F-radius-radius1]radius-server accounting 202.10.1.2 1813

[MA5200F-radius-radius1]radius-server accounting 218.18.1.18 1813 secondary 在 radius 组下配置共享密钥（共享密钥是 5200 和 radius 之间进行报文加密交互的重要参

数，两端一定要一致，因此在设置共享密钥之前需要和 radius 方面进行协商，这里共享密钥

是 huawei）

[MA5200F-radius-radius1]radius-server key huawei （7）建立域（建议为每个业务分配一个域）。

建立一个域。

[MA5200F]aaa

[MA5200F-aaa]domain gongmian 配置域下的认证方案和计费方案。

[MA5200F-aaa-domain-isp]authentication-scheme Auth1

[MA5200F-aaa-domain-isp]accounting-scheme Acct1 配置域下的地址池。

[MA5200F-aaa-domain-isp]ip-pool huawei 如果是 radius 认证需要配置 radius 组。

[MA5200F-aaa-domain-isp]radius-server group radius1

·175·

配置强推页面。

[MA5200F-aaa-domain-isp]portal-server 219.149.194.31

[MA5200F-aaa-domain-isp]portal-server url http://welcome.jl.vnet.cn/ （8）配置业务接入端口（直连主机不能配置 VLAN）。

配置端口的起始 VLAN 和 VLAN 数。

[MA5200F]portvlan ethernet 2 vlan 1 1（如果端口直接接计算机拨号，此处应为 0 1）含义是进入了 2 号以太网端口的从 1 开始总共 1 个 VLAN ID 的配置视图。

配置业务端口为 2 层 VLAN 端口。

[MA5200F-ethernet-2-VLAN1-1]access-type layer2-subscriber 配置端口的所属域。

[MA5200F-ethernet-2-VLAN1-1]default-domain authentication isp 配置端口为 PPPoE 拨号模式。

[MA5200F-ethernet-2-VLAN1-1]authentication-method pppoe 如果下层设备有管理地址，则需要配置子接口的 IP 地址。

[MA5200F]interface Ethernet6.0

[MA5200F-Ethnet 6.0]description To Management-Vlan

[MA5200F-Ethnet 6.0]ip address 222.168.76.205 255.255.255.252 配置下端设备的管理地址需要为此也建立一个域，配置成不认证不计费。

（9）配置上行端口（如果地址池为私网，上端接路由器或防火墙配置 NAT；如果是公网，

上端直接接核心层路由器）。

配置上行端口为 INT 模式。

[MA5200F]portvlan ethernet 24 vlan 0 1

[MA5200F]-ethernet-24-VLAN0-0]access-type interface 在子接口上配置 IP 地址。

[MA5200F]interface Ethernet 24.0

[MA5200F-Ethernet24.0]ip address 200.100.0.1 255.255.255.252 （10）建立本地认证的用户名及密码。

[MA5200F]local-aaa-server

[MA5200F-local-aaa-server]user huawei@isp password 123 //这里@后面是域名（11）配置路由。

[MA5200F]ip route-static 0.0.0.0 0.0.0.0 200.100.0.2

2．MA5200F 认证设备部分配置文档

#

version 7151

·176·

sysname Test-5200F

#

system language-mode english

#

radius-server group jltele

radius-server key 88----89

radius-server authentication 219.150.32.160 1645

radius-server authentication 219.146.1.150 1645 secondary

radius-server accounting 219.150.32.160 1646

radius-server accounting 219.146.1.150 1646 secondary

radius-server group login

#

interface Ethernet1

#

interface Ethernet2

#

interface Ethernet3

#

interface Ethernet4

#

interface Ethernet5

#

interface Ethernet6

pppoe-server bind Virtual-Template 1

description JiaYuanXiaoQu

#

interface Ethernet7

#

interface Ethernet8

#

//．．．

．．．//

#

interface Ethernet23

#

interface Ethernet24

#

interface Ethernet24.0

ip address 200.100.0.1 255.255.255.252

#

interface Virtual-Template1

ppp authentication-mode pap

#

interface NULL0

#

interface LoopBack0

#

·177·

interface Nm-Ethernet0

#

l2tp-group 1

#

ip pool 1 local

gateway 222.168.76.206 255.255.255.252

section 0 222.168.76.1 222.168.76.204

section 1 222.168.76.207 222.168.76.254

dns-server 219.149.194.55

dns-server 219.146.0.130 secondary

#

dot1x-template 1

#

aaa

authentication-scheme gongmian

authentication-mode local

accounting-scheme gongmian

accounting-mode none

domain gongmian

authentication-scheme gongmian

accounting-scheme gongmian

radius-server group jltele

portal-server 219.149.194.31

portal-server url http://welcome.jl.vnet.cn/

ip-pool 1

#

local-aaa-server

user 123@gongmian password 123 access-limit 1 user-car 1

local-accounting alarm-threshold flash 100

#

ip route-static 0.0.0.0 0.0.0.0 200.100.0.2

#

user-interface con 0


#

portVLAN thernet 1 VLAN 0 1

access-type interface

portVLAN thernet 6 VLAN 2 800

access-type layer2-subscriber

default-domain authentication gongmian

authentication-method pppoe

#

return

·178·

3.3.4 功能测试

1．MA5200F 业务跟踪

业务跟踪是 MA5200F 版本在定位故障和问题的时候所特有的一种定位方式。以前的

MA5200F 产品在定位问题的时候需要打开各个 Debug 开关，而且打开这些开关之后所有用户

的相关业务报文都会打印出来，这样很不利于对单个用户进行业务故障的定位。因此，在 R007

版本当中开发了业务跟踪这个特性，能够按照 VLAN、用户名、端口号、IP 地址、MAC 地

址对单个用户的业务报文进行跟踪定位。这里针对一些常见的业务进行介绍，主要了解业务

跟踪的操作方式，以及如何阅读采集下来的跟踪报文。

首先打开业务跟踪的调试开关：

<MA5200F>trace enable 然后设置业务跟踪的条件，比如按照 IP 地址跟踪一个用户的报文，并且将跟踪的信息保

存到名为 trace.txt 的文件当中：

<MA5200F>trace object ip-address 10.1.1.2 output-file trace.txt 此时就可以跟踪到这个指定的用户的所有业务报文了。在跟踪结束之后首先要执行如下

的命令才能查看采集的跟踪报文：

<MA5200F>save trace information 此时就可以利用 more 命令或者将此文件备份出来查看了。

和业务跟踪有关的其他命令：

<MA5200F>display trace object //查看已经创建的跟踪对象

<MA5200F>undo trace enable //关闭业务跟踪

<MA5200F>undo trace object //根据对象的描述信息删除跟踪对象

<MA5200F>trace level //设置跟踪信息的级别级别目前分为两级：0 级和 1 级，默认 0 级。0 级时输出跟踪实例的 MAC 地址、IP 地址、

被跟踪模块的输出信息。1 级输出的信息相对较多，主要增加了跟踪实例的物理端口号、VLAN

ID、用户名、跟踪实例在各个模块的在线标记。

2．登录测试验证

检查用户计算机是否获得公网的 IP 地址，使用 ipconfig/all 命令。

检查用户在认证前的访问权限，这时用户应该只能 ping 通 Portal Server，Cams Server，

不能 ping 其他外部 IP 地址。

在用户 PC 的 IE 浏览器的地址栏输入任意网址，如果没有配置 DNS Server，只能输入任

意 IP 地址。Portal 认证页面会被强行推到用户面前，如图 3.13 所示。输入正确的用户名和口

令就可以通过认证。

·179·

图 3.13 用户认证强推页面

用户终端利用 PPPoE 拨号器能够正常进行拨号认证，认证通过之后应该能够 ping 通

MA5200F 对端路由器的地址 202.100.0.2（对端路由器需要做到 MA5200F 下面用户网段的回

程路由）。

在 MA5200F 上，使用 display access-user 来查看用户是否上线。

3.4 访问行为控制

3.4.1 任务分析

现在的病毒对网络设备的影响越来越大了，某些病毒会导致网络设备的 CPU 利用率接近

100%。随着 Internet 上的现成的攻击工具越来越多，由此导致网络攻击行为也越来越多，而

且越来越复杂。面对猖獗的病毒和网络攻击，交换设备有必要设置一些端口限制，否则

100Mbps 的高端交换机也会被病毒冲跨。所以在网络设备上，尤其是交换设备上加上防病毒

列表是很必要的。

3.4.2 访问控制列表配置

访问控制列表使用包过滤技术，读取第三层及第四层包头中的信息如源地址、目的地址、

源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

1．常见配置规则

通过在路由器或交换机上设置 ACL，可以在一定程度上起到提高安全，防范黑客与病毒

攻击的效果。配置如下一些规则。

（1）控制 Slammer 蠕虫的传播。

rule deny udp source any destion any destination-port eq 1434 （2）防范 Blaster 蠕虫的扫描和攻击。

rule deny udp source any destion any destination-port eq 135



·180·


rule deny tcp source any destion any destination-port eq 135



rule deny tcp source any destion any destination-port eq 593 （3）防范 Windows 内部的其他端口不被扫描和攻击。


rule deny udp source any destion any destination-port eq 138 （4）控制 Blaster 蠕虫的传播。


rule deny udp source any destion any destination-port eq 69 （5）控制“振荡波”蠕虫的传播。



rule deny tcp source any destion any destination-port eq 9997 （6）控制 Nachi 蠕虫的扫描需注意的是配置此条规则后，用户就 ping 不通了，可根据需

要选配。

rule deny icmp source any destion any echo （7）配置允许其他业务通过。

rule permit ip sour any des any

2．S3928 汇聚交换机部分配置文档

#

sysname ccyw_0.jida-S3928_A/zhu

#

super password level 3 cipher :7R:O,412B1Ha;Z;^/A+$Q!!

#

local-server nas-ip 127.0.0.1 key huawei

#

loopback-detection enable

#

radius scheme system

#

domain system

#

stp instance 0 root primary

stp enable

#

acl number 3002


·181·









rule 9 deny udp destination-port eq netbios-ssn





#

VLAN 1 to 3000

#

VLAN 4008

#


ip address 222.168.76.206 255.255.255.252

#

interface Aux1/0/0

#





loopback-detection control enable

#

//．．．

．．．//

#



undo port trunk permit VLAN 1

port trunk permit VLAN 2 to 4094


loopback-detection control enable


packet-filter inbound ip-group 3002 rule 0








·182·







packet-filter outbound ip-group 3002 rule 0














description To S2403 E1/1/1

#

//．．．

．．．//

#

interface GigabitEthernet1/1/1






















·183·











description To guoliang ODF12-02/4/5,6

#



#

//．．．

．．．//

#

undo irf-fabric authentication-mode

#

interface NULL0

#

management-VLAN 4008

#

cluster

ip-pool 192.168.1.1 255.255.255.0

build huawei

#

voice VLAN mac-address 0001-e300-0000 mask ffff-ff00-0000

#

ip route-static 0.0.0.0 0.0.0.0 222.168.76.205 preference 60

#

user-interface aux 0 7


set authentication password cipher 5RF0;&L\YMOQ=^Q`MAF4<1!!

Protocol inbound telnet

#

return

3.4.2 功能测试

进行功能测试前，按表 3.5 准备好测试设备仪器和所需软件。

·184·

表 3.5 测试设备和软件

名称数量说明

汇聚交换机 S3928 1 台被测试对象

PC 3 台攻击、被攻击、控制台各一台

2 层交换机 2 台用于连接组网

网线、电源线若干

Windows XP 1 套

Ethereal 0.10.13 1 套

VMWare 1 套方便测试恢复环境使用 VMWare 代替被攻击主机

测试相关病毒、恶意

网页、脚本、攻击工

具等

若干

测试说明：

PC1 作为攻击机的形式出现。PC2 以被攻击机的形式出现。控制台用来管理 S3928，也

可作为被攻击者。IP 地址根据环境等因素来确定。

利用 PC1 对 S3928 和 PC2 进行病毒传播和网络攻击，检测访问控制列表的功能是否能够

满足网络安全性要求。


3.5.1 任务分析

根据项目的需求分析，参考图 3.2 智能化小区网络结构示意图，根据表 3.2 网络设备选

购表，制作需要的网线，给出设备连接信息表。


不同的业务需求需要使用不同的网络设备，因此不同的网络设备之间就需要不同的网络

介质来进行连接。

双绞线常用范围：语音业务用于电话线，以太网设备与计算机之间的连线，楼内局域网

综合布线，短距离设备级联的连线。

同轴电缆常用范围：由于双绞线的价格低廉以及光纤的普及，局域网已经不使用同轴电

缆作为传输介质了。但其仍然有发挥作用的地方，如语音业务用于交换设备分离 2M，专线业

务如 FR/ATM/DDN，特定设备互连。

光纤常用范围：单模光缆常用与城域网和广域网的设备连接中，以及大型局域网建筑群

子系统中。多模光缆常用于大型局域网的室内主干子系统布线中。

当前小区网络设备与介质的连接主要有两种方式：一种方式是从楼道交换机到电信机房

均经过光纤模块，对带宽进行限速；另一种方式是楼道交换机经过光电转换器，与多模光纤

相连，在小区机房也要经过光电转换器转换。

网络设备连接信息如表 3.6 所示。

·185·

表 3.6 网络设备连接表

建筑物设备上联下联

1# S2403TP-EA S3928P-EI 1# S2008TP-EA

1# S2008TP-EA 1# S2403TP-EA PC

2# S2403TP-EA S3928P-EI 2# S2008TP-EA


3# S2403TP-EA S3928P-EI 3# S2008TP-EA


4# S2403TP-EA S3928P-EI 4# S2008TP-EA


5# S2403TP-EA S3928P-EI 5# S2008TP-EA


6# S2403TP-EA S3928P-EI 6# S2008TP-EA


7# S2403TP-EA S3928P-EI 7# S2008TP-EA


8# S2403TP-EA S3928P-EI 8# S2008TP-EA


9# S2403TP-EA S3928P-EI 9# S2008TP-EA


10# S2403TP-EA S3928P-EI 10# S2008TP-EA

10# S2008TP-EA 10# S2403TP-EA PC

物业中心 S2008TP-EA S3928P-EI PC

物业中心 S3928P-EI MA5200F 各楼道交换机 S2403TP-EA

电信机房 MA5200F 城域网（NE80） S3928P-EI

3.6 网络测试与故障诊断


实施过程完成之后要测试网络的连通性，用户可以持续 ping 远程站点主机，例如 ping

www.jltele.com –t，通过观察返回值中的 time 的大小来观查网络的响应时间，可以进一步检查

网络环境。

用户的网速测试方法是打开测速网站，例如吉林电信宽带测速：

http://www.jltele.com/spe/index.jsp。为了保证测试准确，先关闭其他正在运行中的网络应用程

序（例如 QQ、FTP、防火墙），同时不要下载其他网页和软件。

·186·

512K 用户的到达测速网站的速度大于 40Kbps，即 320Kbps 时是属于正常的；1M 用户的

到达测速网站的速度大于 80Kbps,即 640Kbps 时是属于正常的；2M 以上用户的到达测速网站

的速度大于 160Kbps,即 1280Kbps 时是属于正常的。

尝试在不同时段执行下载速度测试，得出的结果会比较准确。在宽带网络环境中，除去

各种因线路原因引起的衰耗，到达测速网站的速度满足上述条件时，说明网速是正常的。

MA5200F 是关键设备，需要做重点检查，命令如表 3.7 所示。

表 3.7 MA5200F 检查表

序号检查项目使用命令状态备注

1 主机版本 display version

2 设备信息 display dev

3 CPU 利用率 display cpu-performance

4 系统路由表 display ip route radix 或者

display ip routing

5 ARP 表 display arp

6 系统转发表 display fib

7 接口信息 display interface

8 补丁信息 diplay patch all

9 日志信息 display operation-log 检查分析日志中是否有异常信息

10 配置检查对比 display current-configuration

11 ping 业务地址 ping 222.168.76.1 选定若干业务地址进行 ping 测

试，注意观察延时

12 tracert 业务地址 tracert 222.168.76.1 选定若干业务地址进行 tracert 测

试，注意观察跟踪路径

3.6.2 故障处理

一般情况下，故障处理需经历“信息收集→故障判断→故障定位→故障排除”四个阶段。

不要求所有故障处理都严格按照该流程执行，维护人员可根据实际情况灵活采取各种合理措

施。

1．信息收集

任何一个故障的处理过程都是从维护人员获得故障信息开始，这种故障信息的来源一般

有四种途径：用户或客户中心的故障通告；相邻局所维护人员的故障通告；设备告警系统的

告警输出；日常维护或巡检中所发现的异常。

·187·

在故障处理初期阶段，就注重收集各种相关的原始信息，可以帮助维护人员缩小故障判

断的范围，加快定位问题的速度，并提高故障定位的准确性。

（1）收集系统基本信息。可以通过如下一些操作采集到系统基本信息，以便故障判断和

定位。

查询主机版本（display version），查询设备信息（display dev），查询 CPU 占用率（display

cpu-performance），查询系统路由表（display ip route radix 或者 display ip routing），查询 ARP

表（display arp），查询系统转发表（display fib），查询接口信息（display interface），查询补

丁信息（diplay patch all）。

另外，检查配置数据也是在定位故障的过程中很重要的一个环节。可以通过 MA5200F

系统提供的 display current-configuration 命令检查系统当前的全部配置数据。可以通过将当前

配置数据和备份数据（可使用 display saved-configuration 命令查看）进行比较发现定位问题。

（2）收集业务跟踪信息。业务跟踪（Service Trace）是 MA5200F 提供的一个有效定位分

析问题的工具，它可以根据接口、端口 VLAN、用户名、MAC、IP 地址及其组合来查看用户

上下线的流程报文，对照用户上下线流程可以清晰地看到出错的步骤从而快速定位问题。

使用业务跟踪时，首先使用 trace enable 打开业务跟踪功能，然后再使用 trace object 设置

跟踪的对象，跟踪的信息可以输出到串口（如果是 Telnet 登录则需要输出到文件中），也可以

输出到一个文件保存在 Flash memory 中。

跟踪完毕后，请及时关闭业务跟踪功能，以免影响系统性能。

设置跟踪对象后进行相应的测试，如果是输出到串口信息就会打印到串口以供维护工程

师查看。如果是输出到文件，在测试完成后应使用 save trace information 命令把内存中的信息

写到文件，再使用 more 命令查看即可。

（3）收集告警、日志、调试信息。

① 收集告警信息。可以通过查看告警指示灯来观察设备是否运行正常。正常情况下，告

警指示灯应常灭；在有硬件故障的情况下，告警指示灯闪烁。

具体的告警信息可以通过 display trap 命令或者查看备份的告警信息获得。

② 收集日志信息。一些误操作可能是导致故障出现的直接原因，通过 display

operation-log 命令可以查询系统操作日志，发现这些误操作，确定故障的根源。

③ 收集调试信息。调试信息可以更加准确、清楚地定位具体的故障原因，使用 debugging

命令可以对具体的模块进行调试，根据输出的调试信息进行故障判断和定位。有关 debugging

命令的使用请参考各章节相关调试命令的使用。

④ 收集用户下线记录。MA5200F 对近 1 024 个用户下线的原因都有记录，可以通过

display aaa offline-record 命令来查看用户断线的原因。

收集用户下线记录，对于解决用户无法上线或者异常掉线类故障非常有帮助。

2．故障判断

在获取故障信息以后，需要对故障现象有一个大致的定义，确定故障的范围与种类。

确定故障的范围：确定故障处理的方向，即在什么地方、顺着什么思路去查找故障的具

体原因。

确定故障的种类：关于故障的分类，将根据设备不同的功能模块，按照通常的思维逻辑

采取不同的分类方法进行。

·188·

3．故障定位

故障定位就是从众多可能的原因中找出故障成因的过程，它通过一定的方法或手段分析、

比较各种可能的故障成因，不断排除非可能因素，终确定故障发生的具体原因。

定位 MA5200F 故障时，通常可采用如下几种方法。

（1）检查物理线路。

① 以太网物理线路。一般的以太网设备都配有指示灯对以太网口的工作状态进行描述，

比如用户使用的台式机网卡、以太网交换机和 MA5200F 上都有相应的指示灯。

大多数的以太网接口指示灯都至少包括两部分：线路连接指示灯 LINK 和数据转发指示

灯 ACT。有的还包括工作模式指示灯 STATUS，用于指示该以太网口的双工模式和速率。正

常情况下，各指示灯的含义如下：LINK 灯常亮表示线路连接正常；STATUS 灯常亮或是常灭

表示不同的工作模式；ACT 灯闪烁表示其正在收发数据。

检查 MA5200F 设备和直接相连的其他网络设备之间物理线路的连接情况还可以使用

display interface 命令，可以通过物理接口的状态判断该接口和对端设备的连接情况。

② 电源线路及其他物理线路。故障现象发生时，除了可能是设备本身的故障外，还有可能

是线缆的问题。对于 MA5200F 设备来说，相关的可能线缆有电源线、光纤、网线和串口线。

通常已经使用过的线缆发生故障时，有可能的原因是接头松动或老化。如有条件，可

直接用备件替代。

对于电源线故障，可以由有经验的电工进行线路检修。

对于相连光纤故障，在现场由相关人员用工具检测，如有故障可用相同规格的备用光纤

替代。

（2）检查 MA5200F 设备状态。

① 查看系统告警。系统告警是帮助维护人员定位故障的有效工具。通过查看系统产生的

告警可以比较迅速准确地找到故障发生的原因。

通过 display trap 命令可以查看系统内存中的告警信息（多 200 条）。另外 Flash memory

中可以保存上万条的告警信息，当内存中的告警信息超过 200 条时，系统将自动转存到 Flash

memory 中，可以通过告警备份命令将 Flash memory 中的告警信息备份到 TFTP（Trivial File

Transfer Protocol）服务器上进行查看。

在查询到的告警记录中，分行显示每条告警记录的流水号、告警 ID、告警产生时间、告

警级别、以及告警内容，告警内容对告警信息的框号（目前固定为 0）、槽号（固定为 0）、接

口号定位信息进行了详细描述。

告警信息分为致命（fatal）告警、严重（major）告警、一般（minor）告警和提示（notify）

告警。正常情况下，应该没有异常的严重告警。

② 检查补丁。某些版本已经发现的问题可能在对应版本的补丁中解决，如果发现问题应

当检查对应版本是否发布过相应问题的补丁，同时查看设备是否已经安装了相应的补丁程序。

③ 其他。可以通过 display cpu-performance 命令查看系统 CPU 利用率确定系统是否运行

正常。如果 CPU 利用率过大，则系统可能已经发生故障。

可以通过 display uptime 命令进行查看系统开机工作持续时间，该项记录了系统复位或启

动以来的时间，这样有利于问题定位。

（3）检查配置信息。

·189·

① 查看系统操作日志。一些误操作可能是导致故障出现的直接原因，通过查看系统操作

日志可以发现这些误操作，从而定位故障。

MA5200F 系统的操作信息都记录在日志中。维护人员可以通过查看日志对系统进行管理。

查看操作日志的命令为 display operation-log，可以通过设置参数来显示不同的用户、不

同的时间段的操作信息，也可以显示全部操作信息。显示的操作日志信息包括操作用户名、

执行的命令、操作时间、登录方式、登录者的 IP 地址等内容。

② 检查配置数据。检查配置数据也是在定位故障的过程中很重要的一个环节。可以通过

MA5200F 系统提供的 display current-configuration 命令检查系统的全部配置数据。可以通过将

当前配置数据和备份数据进行比较发现定位问题。

也可以使用 display 命令查看独立的一项配置数据。比如使用 display ip routing 查看路由

信息；使用 display radius-server configuration 查看 RADIUS（Remote Authentication Dial in User

Service）配置项等。

（4）使用调试工具。MA5200F 系统为各个功能模块提供了调试开关，当调试开关打开时，

系统将对该模块进行调试，供维护人员诊断、定位故障用。

在用户视图下使用 debugging module-name 命令可以打开相应模块的调试开关。另外可以

通过命令 display debug 命令查看各模块调试开关的状态。

4．故障排除

在故障原因终定位以后，就进入了故障处理程序的后一步，即排除故障。排除故障

是指采取适当的措施或步骤清除故障、恢复系统的过程。如检修线路、修改配置数据等。


1．PPPoE 常见故障代码及分析

（1）691/629 故障描述：不能通过验证。

可能的原因是用户的账户或者密码输入错误，或用户的账户余额不足，用户在使用时未

正常退出而造成用户账号驻留，可等待几分钟或重新启动后再拨号。

（2）630 故障描述：无法拨号，没有合适的网卡和驱动。

可能的原因是网卡未安装好、网卡驱动不正常或网卡损坏。检查网卡是否工作正常或更

新网卡驱动。

（3）633 故障描述：找不到电话号码簿，没有找到拨号连接。

这可能是没有正确安装 PPPoE 驱动或者驱动程序已遭损坏，或者 Windows 系统有问题。

建议删除已安装的 PPPoE 驱动程序，重新安装 PPPoE 驱动，同时检查网卡是否工作正常。如

仍不能解决问题，可能是系统有问题，建议重装系统后再添加 PPPoE 驱动。

（4）697 故障描述：网卡禁用。

只要在设备管理中重新启用网卡即可。

（5）769 故障描述：拨号时报 769 错误。

在 Windows XP 系统中网卡被禁用、系统检测不到网卡或者拨号软件故障，有时会报 769

错误。重新启用网卡、检查网卡工作是否正常或重装拨号软件即可解决。

（6）678 故障描述：无法建立连接。

·190·

这个故障比较复杂，用户和 BRAS 链路中任何一个环节有问题，都可能导致 678 故障，

应根据不同的情况做相应处理。

2．典型故障处理

（1）MA5200 某端口用户经常全部中断。

【现象描述】

MA5200F 一个端口下的用户运行一段时间后就会出现业务全部中断的情况，复位

MA5200 或复位下行的设备后业务就可以恢复，但过一段时间后又会再次出现。

【原因分析】

用户业务全部中断的原因常见的有：

① 端口 down。

② 汇聚用户的交换机故障或其他设备故障，如光电转换器等。

③ 其他汇聚线路故障，如传输等。

【处理过程】

① 整个端口下面的业务全部中断，首先怀疑是物理链路故障，出现端口 down 的情况，

所以首先检查告警信息，但是告警记录中并没有端口 down 的记录，排除物理链路的问题。

② 检查端口的协商模式，发现 MA5200F 上端口协商的结果是 100Mbps 全双工。

③ 由于每次出现问题总是一个端口下的业务全部中断，而其他端口的业务是正常的，说

明 MA5200F 主机工作是正常的，怀疑是下面交换机的故障，但是如果是交换机的故障，不

复位 MA5200F 也能恢复，从这点来分析故障应当在 MA5200F 和交换机间的链路上。

④ 查看 MA5200F 的端口收发包统计，发现端口收包统计是错包在快速增加。

[SR_GF_MA5200F]display traffic port 16

--------------------------------------------------------------

Port [16] statistic items Statistics

-------------------------------------------------------------

Receive bytes 0T 41G 824M 979K 153

Receive unicast packets 0T 0G 311M 663K 638

Receive nunicast packets 0T 0G 1M 219K 139

Receive discard packets 0

Receive error packets 0T 0G 2M 231K 888

Receive protocol error packets 0

Receive multicast packets 0T 0G 0M 147K 680

Receive broadcast packets 0T 0G 1M 71K 483

Receive crc error packets 0T 0G 2M 231K 888

…… ⑤ 因为链路上收到的错包在不断增加，在运行一断时间后导致链路异常，无法正常收发

报文，造成链路上的业务全部中断。

⑥ 重新修改两端工作模式，都修改为自协商后，链路不再有错包增加，观察一个月，未

再出现问题，问题解决。

【总结】

当 MA5200F 下某一部分用户出现问题且这些用户集中于某个范围时，应当检查对应的

·191·

汇聚点是否有故障。对这个案例来说，同一个端口下的用户出现业务中断，说明问题出在

MA5200 的端口上、端口的交换机或端口与交换机的链路上。从现象来看两端设备复位都可

以恢复，说明一般不是某一端设备的问题，那么可能的就是链路的问题。同时需要注意的

是，查看端口工作状态时，不但要看两端的工作模式是否为全双工且一致，同时还要注意链

路收发报文是否有错包在增加。如果有错包的时候可以通过修改两端的工作模式来试着看问

题是否可以解决，比如把两端都设置为自协商不行时，可以两端都修改为强制 100Mbps 全双

工的模式，一般情况下不允许端接的接口工作于不同的状态，比如一端工作于强制 100Mbps

全双工的状态，一端工作于自协商的状态，虽然有时这样设置也可以正常运行。

（2）用户下载速度非常慢。

【现象描述】

某局一台 MA5200F 下所有用户反馈上网速度特别慢，用户使用 10Mbps CAR 的带宽下

载速度只能达到 20～30Kbps，同时只要把 MA5200F 去掉用户直接接在 MA5200F 上面的三

层交换机上下载速度就可以达到 800～900Kbps。用户测试使用的是相同的机器，都是使用固

定的 IP 地址，用相同的软件到相同的网站下载的。

【原因分析】

用户下载速度慢常见的原因有：

① 端口协商不一致。

② 链路质量问题，端口收发有大量错包。

③ CAR 限制，包括链路上其他设备 CAR 的限制。

④ 客户端问题等。

【处理过程】

① 从问题描述情况来看，用户使用相同的机器、相同的软件、相同的接入方式到相同的

网站做对比下载测试时，接在 MA5200F 上面三层交换机下的速度比接到 MA5200F 下要

快很多，同时 MA5200F 下的所有用户都反馈有下载速度慢的问题，说明问题出在

MA5200F 的上行链路或是 MA5200F 本身。

② 首先怀疑上行链路的问题，检查端口的协商模式。

[NJTT_MA5200F]display interface Ethernet 24 Ethernet24 当前状态：UP

链路层协议当前状态：UP

描述 : TO-S2403H

大传输单元是 1 500, Keepalive 包间隔时间为 10 秒

没有配置 Internet 地址

IP 报文发送帧格式: PKTFMT_ETHNT_2

硬件是快速以太网 10/100Base-TX，硬件地址是 00e0-fc1f-231E

允许自协商，半双工，100Mbps

网线类型: 自适应（直通网线和交叉网线都支持）

PPPoE 服务器在该接口绑定虚模板为 1

发现 MA5200F 和三层交换机对接的接口协商的工作模式为 100Mbps 半双工。

询问得到对端设备的接口工作模式是强制 100Mbps 全双工的工作模式，所以把 MA5200F

接口的工作模式也更改为强制 100Mbps 全双工模式，命令：

·192·

[NJTT_MA5200F]interface Ethernet 24

[NJTT_MA5200F-if-ethernet24]undo negotiation auto

[NJTT_MA5200F-if-ethernet24] speed 100

[NJTT_MA5200F-if-ethernet24]duplex full 再次测试后 MA5200F 下用户下载速度可以达到 800～900Kbps，与接在上层交换机下速

度相同，问题解决。

【总结】

两个设备对接时，如果一端工作于强制 100Mbps 全双工的模式，一端工作于自协商的模式

时，自协商的一端比较容易出现协商为 100Mbps 半双工的情况。所以在出现 MA5200F 下所有用

户下载速度慢，而在上层设备测试正常的时候首先应当检查端口的工作模式两端是否一致。

（3）用户上网异常。

【现象描述】

① MA5200F 下面的用户反馈上网异常，速度很慢。

② 新的用户无法认证成功。

③ 已经在线的用户反馈掉线。

④ 登录 MA 5200F 发现 cpu 占有率很高，命令行操作困难。

⑤ 有大量的计费失败和话单池满的告警信息。

告警信息

%[06/17/2008 16:51:40-] AAA-5-02041000:

MA5200E 0406171651186a6cf4bd00083

NormalAcct-StartFail

% [06/17/2008 16:51:40-] AAA-5-02041000: test@isp

NormalAcct-StartFail 【原因分析】

出现这样的问题的原因主要是由于用户在 MA5200F 上面配置了本地计费导致的。

MA 5200F 上面的本地话单的保存策略是：

① 首先将用户的话单保存到 cache 当中，当 cache 当中的话单满了之后就将话单按照

FIFO 的原则保存到 flash 当中去。

② 当 flash 当中的话单满了之后，flash 是不会删除旧话单的，这个时候只能通过 tftp 将

flash 中的话单备份到外部的计算机里面去。

所以现在的问题就比较清楚了：

MA 5200F 上面配置了本地计费，所有的话单终都被保存到了 flash 中。但是用户没有

配置相应的 tftp 服务器（或者 tftp 服务器不可用），导致 flash 中的话单满了之后无法备份出

去，新的话单无法写入 flash。这样的话新的用户由于无法产生话单而计费失败并掉线，在线

的用户由于实时计费报文产生的话单无法写入 falsh 中导致实时计费失败而掉线。同时

MA5200F 的 cpu 资源会因此被大量占用（主要是由于大量的计费失败和话单池满的告警信息

以及产生的话单需要频繁写入 flash）。

【处理过程】

① 将用户的计费策略配置为不计费。

② 在允许的情况下，建议修改计费的策略为用户计费失败允许上线，默认为用户上线计

·193·

费失败时下线。

③ 配置数据将 cache 里面的话单定时备份出来，步骤如下。

第一步：设置话单的备份方式。

[MA5200F-local-aaa-server]cache-bill backup-mode tftp 第二步：设置备份的时间间隔。

[MA5200F-local-aaa-server]cache-bill backup-interval 120 第三步：设置备份话单服务器的参数。

[MA5200F-local-aaa-server]bill-server 10.1.1.1 filename bill 【总结】

如果没有特殊记费需求（如包月用户不需要计费）时，建议本地设置为不计费的策略。

如果必须使用本地计费的策略，建议 cache 话单先向 flash 中备份再向后台服务器备份。

因为如果直接向后台服务器备份时，当后台服务器中断或异常时，cache 中能保存的话单是非

常少的，容易造成用户计费失败。

无论是 cache 直接向后台备份，或者 flash 向后台服务器备份，都要求设置的服务器与

MA5200F 通信正常，同时启用了 tftp 服务程序。

正常情况下，可以把计费开始失败的策略设置为用户在线。

3.7 任务评价职业核心能力与具体的专业技能相比，确实具有明显的不同，具有普遍性和跨职业性等

特点，对劳动者特别是高职学生未来的发展具有关键性作用。

信息搜索和分析能力的考核：收集和整理行业相关的各种信息，并能对众多信息加以分

析思考，终形成自己理性的观点和独特的见解。

口头表达能力的考核：要求学生把所见、所做、所思表达出来，并能为听者所接受，即

说话要有条理性、连贯性。

团队合作方面的考核：考核学生在特定集体项目中的合作能力。在考核之前，可将班级

的学生分为若干组，每组推选一名组长负责。

专业技能要求：完成特定项目的考核。

3.7.1 任务总结

小组对组建的小区网络进行展示，小组代表介绍方案特点与故障排除过程，师生展开讨

论共同进行讨论，对存在的问题进行整改和优化。




通过观察小组开展协作活动的情况，包括实训小组的组织管理，全部工作过程及其各环


·194·


对学生评价考核分为其在整个过程中实践技能的掌握和工作过程的素质形成两类考核指

标，在考核学生整个工作过程的绩效外，还兼顾到学生学习态度、进步程度的评价考核。















评价从以下几个表格方式体现：学生自评表，如表 3.8 所示；小组互评表，如表 3.9 所示；

教师评价表，如表 3.10 所示。



班级所在小组

实训项目考核标准

评价分数

标准实际得分

网络规划方案设计网络 IP 规划合理，网络设备选型准确，能独立完成网

络拓扑图的绘制，能够说明方案设计，能按时完成 15

小区内部网络组建能否依据所选网络设备进行正确的配置，考查对接入交换

机、汇聚交换机的设置与调试，根据实现的程度计算得分 15

城域网接入

能否依据所选小区宽带接入方式进行正确的配置，考

查宽带远程接入服务器的配置与调试，根据实现的程度

计算得分

25

网络设备连接、网络测试与故障

诊断

根据实际工作任务的需要，进行准确的设备连接，测试

其是否满足规划方案的要求，操作是否规范，对在组网过

程中遇到的故障是否能准确的定位，能否优化与改进

20

·195·

续表

团队协作能力

考查在小组团队完成工作任务中的表现，是否积极参

与小组的学习、能否与团队其他成员合作交流、互帮互

助，是否能与小组其他成员协作共同完成团队工作任务

25

自我综合评

价与展望

年月日



班级所在小组


评价分数

标准实际得分

实训资料归档、实训报告

考查能否积极参与工作任务的计划阶段，主动参与学

习与讨论，积极参与工作任务的实施，是否能独立按时

完成实训报告

10

团队合作

考查在小组团队完成工作任务中的表现，是否积极参

与小组的学习、讨论、交流和沟通，是否能与小组其他

成员协作共同完成团队工作任务

15

网络规划方案的设计

考核网络 IP 规划、子网划分是否合理，网络设备选型

是否准确，格式是否规范，能独立完成网络拓扑图的绘

制，是否能够按时完成并说明方案设计

10

小区内部网络组建能否依据所选网络设备进行正确的配置，考查对接入交换

机、汇聚交换机的配置与调试，根据实现的程度计算得分 20

城域网接入能否依据所选小区宽带接入方式进行正确的配置，考查宽

带远程接入服务器的配置与调试，根据实现的程度计算得分20


根据实际工作任务的需要，进行准确的设备连接，测试

其是否满足规划方案的要求，操作是否规范，对在组网过

程中遇到的故障是否能准确的定位，能否优化与改进

15

小组成员互评满意度

评价各个成员在整体项目的参与、协作、提出有针对

性的建议等方面，是否是团队的骨干，是否完成项目的

任务目标

10

综合评价与展望

年月日

·196·


小组及成员姓名考核教师


标准实际得分

技

术

实

现


考核 IP 规划是否合理，网络设备选型是否准确，

格式是否规范，网络结构图的绘制是否准确，方案

设计说明是否透彻，语言是否通畅，是否按时完成

15

小区内部网络组建

能否依据所选网络设备进行正确的配置，考查对

接入交换机、汇聚交换机的设置与调试，根据实现

的程度计算得分

20

城域网接入

能否依据所选小区宽带接入方式进行正确的配

置，考查宽带远程接入服务器的配置与调试，根据

实现的程度计算得分

20

网络设备连接、网络测

试与故障诊断

是否会连接网络中的各种设备，操作是否规范，

是否对网络性能进行测试和故障诊断 10

范操技术应用完成各项工作任务所采用方法与手段的合理性 5




标准实际得分

工具物品摆放

物品摆放是否整齐有序，把经常使用的物品放在

容易取到的地方，是否有乱堆乱放、杂乱无序的现

象，借用工具后是否按要求放回原处，离开实训室

时是否对工位进行清洁、整理。按学生工具物品摆

放的规范程度计算得分

5



团队协作

依据小组团队学习的积极性和主动性，参与合作

交流、沟通的程度，互帮互助的气氛，团队小组成

员是否协作共同完成团队工作任务

15

3.8 实训操作（1）某单位网络中 MA5200F（采用 R007 版本）下连 S2403H 交换机，在 MA5200F 上启用

HGMPV2 后，部分交换机可以通过“display ndp”查看到，部分交换机通过邻居协议（NDP）无

法看到，但是即使可以看到的交换机也无法正常加入到集群中，所有的交换机可以在 MA5200F

上通过 HGMPV1 管理到。在 MA5200F 上执行命令，显示告警信息有两种，举例如下：

[MA5200F-cluster]add-member mac-address 00e0-fc09-3ec0

Candidate device noresponse

·197·

[MA5200F-cluster]add-member mac-address 00e0-fc0d-8266

Candidate device refused 执行上述两条命令后系统提示无响应或拒绝。请分析此故障的可能原因，并给出解决的

方法及步骤。

（2）某公司的住宅小区现在有 600 户左右，使用的是 100Mbps 的光纤，由于用户较多，

且使用 P2P、BT 软件的人很多，导致网速很慢。公司采购了一台华为的 MA5200F，做 PPPoE

业务，并另外配了一台 RADIUS 服务器做认证和计费。由于技术人员在配置上考虑不全面，

存在一些问题：有些用户不正常掉线后，出现了拨号拨不上去，提示用户密码错误，后来一

查用户却一直在线，用户经常会出现挂死在网上的问题；小区内使用 P2P、BT 等软件的人很

多，严重占用资源，MA5200F 在晚上高峰的时候比较吃紧，有时候晚上高峰速度非常慢，出

现丢包。请给出此住宅小区当前存在问题的解决方案。

（3）某小区建筑概况：有 20 栋建筑物，其中有 6 栋小高层建筑（每栋楼有 16 层、90 用

户），两栋高层建筑（每栋楼有 36 层、210 用户），以及 10 栋多层建筑（每栋多层住宅有 7

层、42 用户），同时还有配套的幼儿园、物业管理中心及小区会所用建筑一栋。

该小区按建筑结构划分为 4 个小型区域(A、B、C、D)。宽带信息网采用由电信在小区内

建立数据机房，引入 1 000Mbps 或 100Mbps 端口进入小区，小区内提供网络接入服务。在此

基础上建立小区的网络信息平台，建立社区互联网以实现真正意义上的智能化。在小区内建

立光纤骨干布线连接小区信息中心和各住宅楼，楼内各单元采用双绞线进行级联。每个住户

拥有一个 100Mbps 的端口，每个住户内计算机数量还可能增加。

说明：设备配置主要包括在楼道交换机上进行相应的 VLAN 配置或端口隔离配置；对汇

聚交换机进行相应的 VLAN 透传、地址管理、集群管理配置、STP 配置、访问控制列表配置

（防病毒）、路由配置等。

根据上述信息，请完成此小区网络接入工程，包括网络规划、设备配置、网络性能测试，

保证网络畅通；通过 BRAS 对宽带小区用户进行本地认证和计费。

（4）兴盛大厦常驻的是 IT 公司，这些公司大的特点是利用网络来开展业务，需实现的

功能有：高速上网、IP 电话、大厦内部的办公管理、高速电子商务功能。根据应用方对整个

网络的要求，设计建设一个光纤交换建筑物的宽带网，满足用户端 100Mbps 的带宽，从而达

到应用管理高速自动化及资源共享的目的。

整栋大楼共 23 层。考虑到今后的可扩展性，每个写字间设有 6 个信息点。考虑经济实用

和方便管理，每三层共用一个交换机。中心交换机房设于地下 1 层。光纤从城域网接入。主

干线缆采用多模光纤，提供 1 000Mbps 数据交换通道。考虑其安全性和今后的易于扩充性，

水平线缆采用 UTP 6 类双绞线。

根据以上用户需求，请完成智能大厦宽带网络接入的网络规划方案设计及网络设备的配

置与调试。

·198·

学习情境 4 校园网络组建与互联校园网建设的主要目的就是为广大师生提供宽松、开放、易用的网络环境，通过开通 WWW、

E-Mail、FTP、BBS 等多种 Internet 服务项目，实现学校的信息资源共享，又能够满足行政办公、

教学、科研、实训等工作对信息资源的需求，也从应用上推进教育信息化建设的水平。形成结

构合理、内外沟通的校园计算机网络系统，在此基础上建立能满足教学、科研和管理工作需要

的软硬件环境，开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务。

校园网在总体设计将本着总体规划、分布实施的原则，充分体现系统的技术先进性、高

度的安全可靠性，同时具有良好的开放性、可扩展性。校园网的组建与互联是校园网建设项

目中重要的环节之一，如何选择一个合适的组网方案并且选择适合的网络产品成了职业技

术学院校园网非常关心的问题。


职业技术学院现有近 10 00 教职员工，校园网共有信息点 5 042 个，共有教学楼、办公楼、

体育馆、图书馆、学生公寓、专家公寓、宾馆、服务楼、食堂等 18 栋建筑物。网络中心设在

主教学楼 8 层，在网络出口拟采用双网光纤接入，核心层设备拟采用单核心 1 000Mbps 相连，

在各楼主设备间均放置汇聚层三层网络设备，各楼通过接入层网络设备与汇聚层三层网络设

备相连，实现 1 000Mbps 主干 100Mbps 到桌面。具体要求如下：

① 实现光纤双网接入。

② 校园网的所有计算机或终端设备均可通过网络中心连接到互联网，从而大限度地利

用网络资源。

③ 实现校园网 100Mbps 到桌面的网络数据传输。

④ 实现校园网对内、外网服务器的安全访问。

【学习目标】


① 明确校园网设计目标。

② 知道各种网络拓扑结构的优缺点。

③ 清楚网络层次划分的原则和方法。

④ 清楚组网方案的书写规范和要求。

⑤ 知道交换机和路由器的基本命令及其功能。

⑥ 知道网络拓扑分析的方法，并准确叙述 VLAN、静态路由、动态路由的工作原理。

⑦ 知道无线网络的工作方式。


① 能进行网络需求的调查与分析。

② 能根据需求制定 IP 规划及绘制网络拓扑结构图。

③ 会选用网络设备并且能安装。

④ 会对选用的二层交换机、三层交换机、路由器进行配置。

·199·

⑤ 会配置并组建无线网络。

⑥ 能运用网络软件进行网络运行状况监测和分析。

⑦ 会运用网络命令对组建的网络进行调试。

⑧ 能判断和排除网络中存在的故障。


① 培养良好的合作观念，形成业务洽谈和沟通能力。

② 培养良好的规范操作意识和安全操作能力。

③ 培养学生严谨细致的工作态度和追求完美的工作精神。

④ 培养学生自我展示能力和查阅资料能力并养成团队合作精神。

4.1 网络规划方案网络规划需要明确采用哪些网络技术和网络标准以及构建一个满足哪些应用的网络。在

步骤上可以从需求分析、可行性分析、网络方案的详细说明等考虑，在设计上可以从拓扑结

构选择、核心层设计、汇聚层设计、接入层设计等进行考虑。在设备选型上包括厂商的选择、

扩展性考虑，根据方案实际需要选择性能价格比高、质量过硬的产品。

网络规划方案是基石，其他一切都是在这个基础上付诸实施的，对校园网来说本着对网

络的实用性、高可用性、安全性、先进性、易用性、可扩展性等原则进行设计，有效地保障

了校园网在实施、验收和正式运行的可行性。网络规划方案终的目的是在设计上满足用户

的需求，给出具体可行的方案并付诸实施。


作为项目的负责人，通过给出的职业技术学院校园网网络建设的具体要求，对本项目进

行需求分析，并在此基础上进行组网方案设计，绘制网络拓扑图、进行网络设备的选型，形

成需求分析及方案设计文档。

4.1.2 需求分析

1．校园网络基本需求

本项目中，客户的基本需求如下。

（1）用户通过认证方式访问 Internet。

（2）互联网接入采用双网接入。

（3）用户通过认证后能够自动获取 IP、网关及 DNS 地址。

（4）楼宇之间互不通信，但都能访问校园网服务器。

（5）在校园内可以无线上网。

（6）满足当前主流网络设计的原则。

2．校园网络规划建设目标

通过与用户沟通，进行需求分析整理。本项目的目的就是建设一个先进的校园网，根据

网络应用需求分析，职业技术学院校园网络规划建设目标应有以下四点。

·200·

（1）骨干网络具有弹性扩展能力，支持 IPv6，保护投资。

（2）无线覆盖通过本校园区网，实现全校无线覆盖，方便移动办公。

（3）对全网进行运营管理，保证入网用户的合法性。

（4）提高整网的安全性，防止病毒、网络攻击等行为。

目前职业技术学院校园网共有 5 042 个信息点，如表 4.1 楼宇信息点分布情况所示，分为

A 楼 200 个信息点（包括行政办公 A1 区、教学楼 A2、A3 区），B 楼 220 个信息点，C 楼 188

个信息点，D 楼 70 个信息点，E 楼 224 个信息点，F 楼 187 个信息点，G 楼 163 个信息点，

H 楼 526 个信息点，体育馆、图书馆 319 个信息点，宾馆 94 个信息点，专家公寓 40 个信息

点，学生公寓 4 个楼合计 2 696 个信息点，服务楼 15 个信息点，食堂 100 个信息点，其中体

育馆及几个重要的会议室要求覆盖无线网络。

表 4.1 楼宇信息点分布情况

序号楼宇实际信息点需交换机台数无线

1 A1 116 5 有

2 A2、A3 84 4 无

3 B 220 10 有

4 C 188 8 有

5 D 70 3 有

6 E 224 10 有

7 F 187 8 有

8 G 163 7 有

9 H 526 22 无

10 宾馆 94 7 无

11 专家公寓 40 2 有

12 学生公寓 1 674 29 无

13 学生公寓 2 674 29 无

14 学生公寓 3 674 29 无

15 学生公寓 4 674 29 无

16 服务楼 15 1 无

17 食堂 100 5 有

18 体育馆、图书馆 319 14 有

合计 5 042 222

4.1.3 IP 地址规划设计

VLAN（Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用

网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络，可以使物理上连接的各

工作站在逻辑上限制通信，实现各网段之间的互相独立。使用 VLAN 技术，可以有效地控制网

络广播风暴，优化网络带宽，减少网络流量，提高整体网络安全性，简化网络管理工作。VLAN

之间理论上不需要互相通信，但也可以通过核心交换机或路由器等设备的路由选择功能实现不

同VLAN间的数据通信，这样可以满足不同部门对其他VLAN中的部分工作站资源的访问需要。

·201·

从技术角度讲，VLAN 的划分策略主要有基于端口的 VLAN 划分、基于 MAC 地址的 VLAN 划

分以及基于协议的 VLAN 划分三种方式，其中基于端口和基于协议是 VLAN 划分的主要方式。

职业技术学院校园网接入用户采用基于 802.1q 协议划分，将学院校园网初步划分为 150

个 VLAN，如表 4.2 所示。各 VLAN 由于都是通过 DHCP 服务器自动获取 IP，为简单易行，

VLAN 内部均采取 24 位掩码，各 VLAN 之间通过本楼汇聚交换机进行路由转发，故汇聚交

换机与核心交换机通过路由进行通信，这部分掩码采用 30 位掩码，需要引起注意。

表 4.2 职业技术学院校园网 VLAN 及 IP 地址分配一览表

VLAN ID VLAN Name IP/Subnetwork 描述

11 A11 10.1.11.0/24 A1 区行政办公一楼

12 A 12 10.1.12.0/24 A1 区行政办公二楼

13 A 13 10.1.13.0/24 A1 区行政办公三楼

14 A 14 10.1.14.0/24 A1 区行政办公四楼

15 A 15 10.1.15.0/24 A1 区行政办公五楼

21 A 21 10.1.21.0/24 A2 区，A3 区教学楼一楼

22 A22 10.1.22.0/24 A2 区，A3 区教学楼二楼

23 A23 10.1.23.0/24 A2 区，A3 区教学楼三楼

24 A24 10.1.24.0/24 A2 区，A3 区教学楼四楼

25 A25 10.1.25.0/24 A2 区，A3 区教学楼五楼

31 A31 10.1.31.0/24 B 教学楼一楼

32 A32 10.1.32.0/24 B 教学楼二楼

33 A33 10.1.33.0/24 B 教学楼三楼

34 A34 10.1.34.0/24 B 教学楼四楼

35 A35 10.1.35.0/24 B 教学楼五楼

… … … …

181 A181 10.1.181.0/24 体育馆、图书馆一楼

182 A182 10.1.182.0/24 体育馆、图书馆二楼

183 A183 10.1.183.0/24 体育馆、图书馆三楼

184 A184 10.1.184.0/24 体育馆、图书馆四楼

185 A185 10.1.185.0/24 体育馆、图书馆五楼

201 ZL101 10.1.201.0/24 A 楼 101 机房

202 ZL105 10.1.202.0/24 A 楼 105 机房

203 ZL106 10.1.203.0/24 A 楼 106 机房

204 ZL109 10.1.204.0/24 A 楼 109 机房

205 ZL110 10.1.205.0/24 A 楼 110 机房

206 ZL111 10.1.206.0/24 A 楼 111 机房

207 ZL207 10.1.207.0/24 A 楼 207 机房

208 ZL208 10.1.208.0/24 A 楼 208 机房

209 ZL210 10.1.209.0/24 A 楼 210 机房

… … … …

260 G217 10.1.260.0/24 G 教学楼 217 机房

·202·


对于校园网来说，按功能划分三个层次：核心层、汇聚层、接入层，确保整个校园网真

正达到稳定可靠、安全可信。

1．核心层的功能

连接各区域汇聚设备；

提供路由管理、网络管理、网络服务；

快速收敛和扩展性；

完成高速转发。

2．汇聚层的功能

承上启下，汇总各楼栋设备的流量；

高速无阻塞地转发给核心层设备；

提供链路负载平衡、快速收敛和扩展性；

完成路由选择。

3．接入层的功能

连接桌面 PC，灵活扩展；

作为网络接入安全控制。

职业技术学院总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和

统一的网管系统及可靠组播为原则，并且考虑到技术的先进性、成熟性，并采用模块化的设

计方法。校园网络拓扑图如图 4.1 所示。

图 4.1 职业技术学院网络拓扑图

·203·


1．互联网接入设备选型

学院校园网络设计有两个网络出口：一个是电信；另一个是联通。如果每个网络出口均

采用路由器、防火墙的话，成本要增加，而采用双线路接入，网络中的服务器都需要进行配

置双网卡，才能实现高速访问外网，网络维护难度大。

所以在网络设计的时候要考虑采用统一的网络出口设备，保证内网的用户可以简单高速

地访问互联网，同时网络出口设备具有非常高的 NAT 性能和电信、联通自动选路的功能。根

据内部节点数为 8 000 个以内，可以选择相应的路由器、防火墙，根据需求和性价比这里选

择如图 4.2 所示的 H3C SR6608 路由器。其主要技术指标如表 4.3 所示。

表 4.3 H3C SR6608 主要技术指标

包转发能力 ≥18Mpps

可扩展插槽 ≥8

背板带宽 ≥100Gpbs

IPSec 加密 ≥12Gbps

GE 路由接口满配 ≥64

路由协议支持 RIP、OSPF、BGP、IS-IS 等路由协议

组播组播路由协议：IGMP/IGMPv3，PIM-DM，PIM-SM，PIM SSM，MBGP，MSDP

IPv6 过渡技术 NAT-PT，6PE，IPv6 隧道：手工隧道，自动隧道、GRE 隧道，6to4，ISATAP，IPv6 静态路由

动态路由协议 RIPng，OSPFv3，IS-Isv6，BGP4+

组播路由协议 MLD v1/v2，IGMPv3，PIM-DM，PIM-SM，PIM-SSM

VPN 硬件加密加速，IPSec/ IKE， L2TP，GRE，MPLS/BGP VPN，MPLS L2VPN，MPLS TE

防火墙包过滤，ASPF，NAT/NAPT，SSL，URPF

业务功能支持防火墙板卡扩展

流量分析内置支持 Netstream、sflow 或 netflow 流量分析功能，如果不支持内置流量分析功能，需要配置相应的

板卡

参考价格 180 000 元

图 4.2 H3C SR6608 路由器产品图片

防火墙主要控制用户内网用户上网，通过访问策略实现网络安全访问。在这里选择如

图 4.3 所示的 Cisco ASA 5520 防火墙。其主要技术指标如表 4.4 所示。

·204·

表 4.4 Cisco ASA 5520 防火墙主要技术指标

防火墙吞吐量 ≥450Mbps

并发会话数 ≥280 000

内存 ≥512M

端口数 ≥4 个 10/100/1 000Mbps 以太网端口

功能

提供硬件的 IPSEC VPN 和 WEB VPN、SSL VPN 功能。支持远程接入 VPN 和 SITE TO SITE

的 VPN；支持 VPN 集群和负载均衡，负载可根据每台设备的容量分配。支持基于状态检测的包

过滤。支持 NAT、PAT，支持双向 NAT 的功能。支持静态、RIP、OSPF 等路由协议。支持对

H.323、SIP 等实时会话的安全过滤。支持对应用的深度分析，提供对于 P2P、IM 等应用的控制。

支持路由模式和二层透明模式的防火墙设置。支持不同端口的同一安全级别设置，可以同时配置

多个 INSIDE（内口）或多个 OUTSIDE（外口）。所有端口支持 802.1q VLAN，可以配置多个

VLAN 虚拟接口数。支持冗余防火墙的负载均衡和备份，包括 ACTIVE/ACTIVE 的工作方式和

ACTIVE/STANDBY 的工作方式。支持虚拟防火墙的功能，虚拟防火墙数量不少于 2 个，可以为

这些不同的业务分配逻辑独立的防火墙，和 MPLS VPN 相结合，并能够为不同 VPN 的用户实现

独立的安全控制策略和地址转换策略，能对不同逻辑独立防火墙分配 CPU 资源、内存资源、会

话连接数等。能够与外部 URL 过滤服务器配合实现基于 URL 的过滤。支持 Java 过滤和 ACTIVEX

过滤。防御拒绝服务（DOS）攻击，例如 SYN 泛滥、互联网控制信息协议（ICMP）泛滥、端口

扫描、PING OF DEATH 等攻击方式。支持 IP/MAC 地址的绑定。支持 SYSLOG 日志，可向日志

服务器导出日志。可提供不小于 16 个级别的可定制管理角色，可以授予管理员和操作人员访问

每台设备的相应级别的权限，例如，只能进行 VPN 服务配置、只能进行防火墙服务配置、只能

进行监控，或配置只读访问。支持基于 Web 的管理，支持图形化的管理工具对防火墙进行配置

和管理

参考价格 35 000 元

图 4.3 Cisco ASA 5520 防火墙产品图片

2．局域网核心交换设备选型

核心层是局域网的骨干，重点考虑全网的安全建设，采用的核心设备必须具备完整的安

全体系架构，具备防源 IP 地址欺骗、防 DOS/DDOS 攻击，防 IP 扫描等防攻击功能，支持 1

000Mbps 端口链路聚合，支持端口镜像，支持 DHCP Snooping，设备的管理支持采用 SNMPV3

标准协议，具备数据加密，非法数据包检测等安全功能，保证网络设备的安全，可靠而迅速

地传输大量的数据流。

校园网核心设备选用 1 台思科的 Cisco Catalyst 6509，主要技术指标如表 4.5 所示，

1 000Mbps 核心路由交换机通过光纤与汇聚层交换机、接入交换机相连，形成星型结构

·205·

千兆位以太网的主干解决方案。

表 4.5 Cisco Catalyst 6509 主要技术指标

操作系统 Catalyst OS(CatOS) / Cisco IOS 混合配置

背板带宽 32Gbps 共享总线、720Gbps 交换矩阵

第三层转发性能 Supervisor 720、400Mpps

冗余交换管理引擎支持状态化故障切换

高可用性特性网关负载均衡协议（GLBP）、热备份路由器协议（HSRP）、跨多模块 EtherChannel 、

快速生成树、多生成树、每 VLAN 快速生成树、快速收敛的第三层协议

10/100/1 000 兆位以太网

（GBIC）10 千兆位以太网

576 个端口，都支持馈线电源

194 个端口（在交换管理引擎上提供了 2 个端口）

32 个端口

其他功能支持 QoS、硬件支持 IPv6、可扩展支持 NAT

参考价格 810 000 元

3．局域网汇聚交换设备选型

汇聚层的交换机主要是选用三层交换机。在全网络的设计上体现了分布式路由思想，可

以大大减轻核心层交换机的路由压力，有效地进行路由流量的均衡。作为本地网络的逻辑核

心，对于突发流量大、控制要求高、需要对 QoS 有良好支持的应用（多媒体流、语音、视频

和数据的融合应用，如多媒体教室和教学），选择性价比高的 H3C S5500-28C-PWR-EI，主要

技术指标如表 4.6 所示，其产品图片如图 4.4 所示，实施策略部署和接入的汇聚。对于没有特

殊需求（多媒体传输、安全、控制等）的子网，比如正常办公子网（通常只进行数据的传输）

可以考虑选择性能中等的二层交换机设备。

表 4.6 H3C S5500-28C-PWR-EI 主要技术指标

背板带宽 192Gbps

包转发率（整机） 95.2Mpps

端口 24 个 10/100/1 000Base-T 以太网端口

4 个复用的 1 000Base-X1 000Mbps SFP 端口

可扩展 10 000Mbps 接口数量 ≥4

路由表容量 ≥512

链路聚合大支持 8 个 GE 口或者 2 个 10GE 端口聚合，支持 LACP

组播协议支持PIM-DM、PIM-SM、IGMP v1/v2/v3、IGMP Snooping、MSDP 等协议

IPv6 路由协议支持 ND、RIPng、MLD SNOOPING、ICMPv6 等协议

流量分析要求内置支持 NETSTREAM、sflow 或者 netflow 等流量分析功能

达式安全特性支持 IP+MAC+PORT 的绑定，支持黑洞 MAC，支持非法帧报文过滤，用户分级管理和口

令保护，支持端口隔离，支持 SSH，支持 SNMPv3 网管；支持 DHCP Snooping

参考价格 28 000 元

·206·

图 4.4 H3C S5500-28C-PWR-EI 交换机产品图片

4．局域网接入交换设备选型

接入层就是每栋楼的楼层接入交换机。接入层交换机的选择仍然非常重要，考虑到

接入层交换机对于终端用户接入的控制起着非常重要的作用，因此建议采用安全性、控

制性较高的设备。在此建议采用 H3C E126A/E152 接入交换机作为楼层接入交换机，H3C

E126A 主要技术指标如表 4.7 所示，其产品图片如图 4.5 所示。H3C E152 主要技术指标

如表 4.8 所示，其产品图片如图 4.6 所示。两款产品分别为 24、48 口交换机，可以为用

户提供 100Mbps 的电口接入，同时提供 4 个 SFP 接口，在有必要时可以为用户提供 1

000Mbps 接入，用户可以根据接入信息点的数量灵活选择不同的产品，满足实际信息点

数量的需求。

通过在 E126A/E152 上配置 1 000Mbps 电接口与汇聚交换机 S5500 进行连接，这样将

会进一步扩大带宽。H3C E126A/E152 系列安全智能三层交换机 19.2Gbps 的总线带宽为

交换机所有的端口提供三层线速交换能力，系统能够提供 2/4 个 SFP 接口，有效解决了

在单台设备上多个 1 000Mbps 链路上行，同时接入 1 000Mbps 服务器的需求，极大地节

省了用户的设备投资。接入层设备可以通过包过滤或访问控制列表提供对用户流量的控

制，完成基本业务系统之间的隔离和安全性控制、认证管理等功能。设备应该能够提供

MAC 地址绑定、支持 IEEE802.1q VLAN 的划分、802.1X 的认证等功能，满足校园网对

接入控制和管理的需求。

表 4.7 H3C E126A 主要技术指标

交换容量 ≥19Gbps

转发性能 ≥6Mpps

端口数量固定 10/100Mbps 电口：≥24，固定 1 000Mbps SFP 的光口数量：≥2 个（如果 SFP 口需要配置子

卡，必须配置子卡），固定 1 000Mbps 电口数量：≥2 个（可以与 1 000Mbps SFP 光口Combo 复用）

支持堆叠台数 ≥16

端口/IP/MAC 三元组的绑定支持端口/IP/MAC 三元组的绑定

VLAN ACL 支持基于 VLAN 下发 ACL，有效简化 ACL 配置过程

MAC 地址支持 8K MAC 地址；支持黑洞 MAC；支持设置端口大 MAC 地址学习

参考价格 5 700 元

图 4.5 H3C E126A 交换机产品图片

·207·

表 4.8 H3C E152 主要技术指标

交换容量 ≥19Gbps

转发性能 ≥13.2Mpps

端口数量固定 10/100Mbps 电口：≥48，固定 1 000Mbps SFP 的光口数量：≥4 个（如果 SFP 口需要配置子

卡，必须配置子卡）

支持堆叠台数 ≥16

端口/IP/MAC 三元组

的绑定支持端口/IP/MAC 三元组的绑定

VLAN ACL 支持基于 VLAN 下发 ACL，有效简化 ACL 配置过程

MAC 地址支持 8K MAC 地址，支持黑洞 MAC，支持设置端口大 MAC 地址学习


图 4.6 H3C E152 交换机产品图片

5．局域网无线 AP 设备选型

根据网络规划的需要，在无线网络中有选择支持 Fat 和 Fit 两种工作模式，在组网模式上

可以通过与无线控制器 H3C WX3024 配套使用，主要技术指标如表 4.9 所示，使用 H3C

WA2210X-G（主要技术指标如表 4.10 所示）室外单频双模接入点和 H3C WA2620E-AGN（主

要技术指标如表 4.11 所示）无线局域网增强型接入点瘦 AP（Fit AP）方式进行组网，再与

CAMS 认证计费，可以安全地控制无线用户的上网。在小会议室等可以采用 H3C WA2220-AG

室内双频双模接入点胖 AP（Fat AP）方式，其主要技术指标如表 4.12 所示，进行灵活的组网。

表 4.9 H3C WX3024 主要技术指标

端口描述 24 个 10/100/1 000Mbps 电口，4 个 1 000Mbps SFP Combo 口，2 个 10GE XFP 或 XENPAK

光口

交换容量（全双工） 88Gbps

包转发率（整机） 65.47Mpps

端口聚合

支持 GE（Gigabit Ethernet）端口动态聚合，支持 10GE 端口动态聚合（WX3024 only），

支持动态 LACP 链路聚合，支持手工聚合，支持静态聚合，支持多（总端口数目/2）个端

口聚合组，每组支持多 8 个 GE 或 2 个 10GE(3 010 是 10 个端口，聚合组是 4 个)

MAC 地址表支持 16K MAC 地址，支持 1K 静态 MAC 地址

·208·

续表

VLAN

支持基于端口的 VLAN（4 094 个），支持嵌套式 VLAN（VLAN-VPN 或 QinQ），支持灵

活 QinQ，支持协议 VLAN，支持 Voice VLAN，支持管理 VLAN 可配置，支持 GVRP，支持

VLAN 下配置禁止 MAC 地址学习功能

路由支持静态路由，支持 RIPv1/v2

DHCP 支持 DHCP Client，支持 DHCP Snooping，包括 Option 82 功能

组播

支持 IGMP（Internet Group Management Protocol） Snoopingv1/v2/v3，单 VLAN 内多 256

个组播组，整机 1 024 个组播组，支持组播 VLAN，支持未知组播丢弃，支持未知组播出端

口报文过滤，支持手工配置组播 MAC 地址

广播风暴抑制支持基于端口的广播风暴控制

802.1x 单端口下挂多 256 个用户，支持基于端口的认证和基于 MAC 的认证，支持 Guest VLAN，

支持 TRUNK 端口认证，支持动态 VLAN 和 ACL 规则下发

参考价格 100 000 元

表 4.10 H3C WA2210X-G 主要技术指标

支持协议支持 IEEE802.11b/g

产品定位室外型 Fit/Fat AP，室外大功率型 Fit/Fat AP

工作频段 802.11b、802.11g：2.4000～2.4835GHz

调制方式 802.11b：DBPSK、DQPSK、CCK，802.11g：CCK、OFDM

接收灵敏度 802.11b：-89dBm@11Mbps，-97dBm@1Mbps

802.11g：-72dBm@54Mbps，-91dBm@6Mbps

AP 支持的内置信道数量 802.11b、802.11g：（中国）13 个信道

AP 接入速率

IIEEE802.11g：54Mbps、48Mbps、36Mbps、24Mbps、18Mbps、12Mbps、11Mbps、9Mbps、

6Mbps、5.5Mbps、2Mbps、1Mbps

IEEE802.11b：11Mbps、5.5Mbps、2Mbps、1Mbps

安全策略

支持 64、128 位 WEP 加密 , WPA, 802.11i 和 WAPI，支持 WPA 和 802.11i 的多种密钥

更新触发条件，支持 AP 上二层转发抑制，支持虚拟 AP（多 SSID）之间的隔离，支持

报文过滤，支持广播抑制，支持 SSID 隐藏，支持 802.1x 认证、MAC 地址认证、PPPoE

认证，支持 WAPI 认证，支持预认证、重认证，支持 MAC 地址过滤，支持基于时间的

计费，支持实时计费，支持认证和计费分离

切换支持 AP 间切换，同时支持链路完整性特性。切换依据；根据信号强度、误码率、邻近 AP

是否正常工作等

二层桥接支持 MAC 地址学习，支持 VLAN 区分管理数据和用户数据，支持基于接口的 VLAN、基于

802.1q 的 VLAN、基于用户类的 VLAN、基于 SSID 的 VLAN 标记，支持 VLAN 过滤

三层功能支持静态 IP 地址，支持 DHCP 获取 IP 地址，支持静态路由，支持 IPv6，支持 ACL

覆盖范围室外 200～600m（自带天线，实际覆盖范围与使用环境有密切关系）


·209·

表 4.11 H3C WA2620E-AGN 主要技术指标

支持协议支持 IEEE802.11a/b/g/n

产品定位室内增强型 Fit/Fat AP

工作频段 802.11a/n ：5.725～5.850GHz，802.11b/g/n ：2.412～2.472GHz

调制技术

OFDM：BPSK@6/9Mbps，QPSK@12/18Mbps，16-QAM@24Mbps，64-QAM@48/54Mbps

DSSS：DBPSK@1Mbps

MIMO-OFDM：BPSK，QPSK，16QAM and 64QAM

接收灵敏度

11b：-92dBm（1Mbps），11g：-80dBm（54Mbps），11a：-78dBm（54Mbps），11n（HT20）：

-92dBm@MCS0、-72dBm@MCS7、-90dBm@MCS8、-71dBm@MCS15

11n（HT40）：-88Bm@MCS0、-70dBm@MCS7、-88dBm@MCS8、-68dBm@MCS15

AP 支持的内置信道数量 802.11a（与 IEEE802.11 兼容）、802.11n（与 802.11a 兼容时）： 5 个信道，

802.11b、802.11g、802.11n（与 802.11b/g 兼容时）： 13 个信道

AP 接入速率

IEEE802.11a：54Mbps、48Mbps、36Mbps、24Mbps、18Mbps、12Mbps、9Mbps、6Mbps

IEEE802.11g：54Mbps、48Mbps、36Mbps、24Mbps、18Mbps、12Mbps、11Mbps、9Mbps、



IEEE802.11n：20MHz BW : 6.5Mbps, 7.2Mbps, 13Mbps, 14.4Mbps, 19.5Mbps, 21.7Mbps,

26Mbps, 28.9Mbps, 39Mbps, 43.3Mbps, 52Mbps, 57.8Mbps,58.5Mbps, 65Mbps, 72.2Mbps,

78Mbps, 86.7Mbps, 104Mbps, 115.6Mbps, 117Mbps, 130Mbps, 144Mbps

40MHz BW : 13.5Mbps, 15Mbps, 27Mbps, 30Mbps, 40.5Mbps, 45Mbps, 54Mbps, 60Mbps,

81Mbps, 90Mbps, 108Mbps, 120Mbps,121.5Mbps, 135Mbps, 150Mbps, 162Mbps, 180Mbps,

216Mbps, 240Mbps, 243Mbps, 270Mbps, 300Mbps

安全策略

支持 64、128 位 WEP 加密、WPA、802.11i 和 WAPI，支持 WPA 和 802.11i 的多种

密钥更新触发条件，支持 AP 上二层转发抑制，支持虚拟 AP（多 SSID）之间的隔离，

支持报文过滤，支持广播抑制，支持 SSID 隐藏，支持 802.1x 认证、MAC 地址认证、

PPPoE 认证，支持预认证、重认证，支持 MAC 地址过滤，支持基于时间的计费，支持

实时计费，支持认证和计费分离

切换支持 AP 间切换，同时支持链路完整性特性。切换依据：根据信号强度、误码率、邻近 AP


三层功能支持静态 IP 地址，支持 DHCP 获取 IP 地址，支持静态路由，支持 Ipv6，支持 ACL

参考价格 13 000 元

表 4.12 H3C WA2220-AG 主要技术指标

支持协议支持 IEEE802.11a/b/g

产品定位室内型 Fit/Fat AP

工作频段 802.11b、802.11g ：2.4000～2.4835GHz

调制方式 802.11a：OFDM，802.11b：DBPSK、DQPSK、CCK，802.11g：CCK、OFDM

·210·

续表

接收灵敏度

802.11a：-70dBm@54Mbps,-90dBm@6Mbps

802.11b：-89dBm@11Mbps,-97dBm@1Mbps

802.11g：-72dBm@54Mbps,-91dBm@6Mbps

AP 支持的内置信道数量 802.11a 与 IEEE802.11 兼容，（美国）12 个信道，（中国）5 个信道

802.11b、802.11g：（美国）11 个信道（中国、欧洲）13 个信道

AP 接入速率

IEEE802.11a：54Mbps、48Mbps、36Mbps、24Mbps、18Mbps、12Mbps、9Mbps、6Mbps

IEEE802.11g：54Mbps、48Mbps、36Mbps、24Mbps、18Mbps、12Mbps、11Mbps、9Mbps、



安全策略

支持64、128 位WEP 加密、WPA、802.11i和WAPI，支持WPA和802.11i的多种密钥更新触发条

件，支持 AP 上二层转发抑制，支持虚拟 AP(多 SSID)之间的隔离，支持报文过滤，支持广播抑制，

支持SSID 隐藏，支持 802.1x 认证、MAC 地址认证、PPPoE 认证，支持WAPI 认证，支持预认证、

重认证，支持MAC地址过滤，支持基于时间的计费，支持实时计费，支持认证和计费分离

切换支持 AP 间切换，同时支持链路完整性特性。切换依据：根据信号强度、误码率、邻近 AP


二层桥接支持 MAC 地址学习，支持 VLAN 区分管理数据和用户数据，支持基于接口的 VLAN、基

于 802.1q 的 VLAN、基于用户类的 VLAN、基于 SSID 的 VLAN 标记，支持 VLAN 过滤

三层功能支持静态 IP 地址、支持 DHCP 获取 IP 地址，支持静态路由，支持 IPv6，支持 ACL

覆盖范围室外 200～600m（自带天线，实际覆盖范围与使用环境有密切关系），室内 65～150m（自

带天线，实际覆盖范围与使用环境有密切关系）

价格 2 700 元


校园网工程的整个完成时间计划为 4 周，工程进度安排如表 4.13 所示，在校园网实施工

程中，要严格按照网络规划进行实施，在网络设备的安装与调试过程中，局部采取边施工边

测试的原则，防止出现网络环路、漏调、漏接等现象的发生。

表 4.13 校园网工程进度表

工作日

工作内容 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

入场，核实现场

数据


网络设备安装调试

无线网络安装调试

工程文档

工程验收

技术培训

·211·

4.2 内部局域网组建

4.2.1 任务分析

内部局域网组建是职业技术学院校园网的重要组成部分，根据网络方案，局域网拓扑

图如图 4.7 所示，Cisco 6509 作为校园网络的三层核心交换机，从 Cisco 6509 下连各楼宇

三层汇聚交换机 H3C S5500EI，H3C S5500EI 与各楼楼层设备间接入交换机 H3C E126A

相连，H3C E126A 再与各用户计算机相连。

图 4.7 职业技术学院内部局域网组建拓扑图

4.2.2 接入层设备配置

接入交换机是直接连接用户的终端设备，因此在接入交换机 H3C E126A 启用 802.1x 认

证并划分 VLAN，使与接入交换机 H3C E126A 相连的用户，能通过认证客户端后实现自动获

取 IP 地址，并且访问内、外网资源。另外在接入交换机中配置访问控制列表（ACL），设置

IP 数据过滤，禁止如冲击波、振荡波等众所周知的端口跨 VLAN 进行访问资源，达到一个保

护网络的安全的作用。

下面是 A2 区二层接入设备 H3C E126A 的一个样例，用//解释前面的主要命令，相同功能的

配置用“//… …//”省略。把配置线缆连至计算机 COM1 口，进入超级终端，连接到 H3C E126A

接入交换机上。在用户视图下，运行 display current-configuration 查看终当前配置。

H3C E126A 配置：

#

sysname a2louL2-E126A //交换机名称

#

loopback-detection enable //全局启用交换机环回监测功能

dot1x supp-proxy-check logoff //检测到用户使用代理或者开启多网卡登录后，切断用户连接

dot1x url http://10.0.3.110 //配置免认证 url

dot1x free-ip 10.0.3.6 255.255.255.255 //配置免认证地址

dot1x free-ip 10.0.3.110 255.255.255.255

·212·

#


radius scheme cams

server-type extended

primary authentication 10.0.3.110 //认证服务器地址

primary accounting 10.0.3.110 //计费服务器地址

key authentication 123 //配置密钥

key accounting 123

#

domain student //配置 student、teacher 认证域，认证计费方案为 cams

scheme radius-scheme cams

domain system

domain teacher

scheme radius-scheme cams

#

local-user user //配置 telnet 用户名是 user，口令是 user123

password simple user123

service-type telnet

level 3

#

acl number 3000 //配置防病毒访问控制列表 3000

rule 1 deny TCP destination-port eq 445










rule 12 deny UDP destination-port eq 445




rule 16 deny UDP destination-port eq tftp

rule 17 deny UDP destination-port eq netbios-ns


rule 19 deny 255

rule 20 permit IP

#

vlan 1

#

vlan 6

#

vlan 22 //创建 VLAN

#

·213·

vlan 201 to 216

#

interface Vlan-interface6 //VLAN6 作为管理 vlan

ip address 10.1.6.21 255.255.255.0

#

interface Aux1/0/0

#


port access vlan 213 //配置接口所属 VLAN 为 213

loopback-detection enable //启用端口环回监测

packet-filter inbound ip-group 3000 rule 1 //应用访问控制列表



















dot1x //开启端口认证

dot1x supp-proxy-check logoff

dot1x version-check

#


port access vlan 22



//…

…//

interface GigabitEthernet1/1/1 //上行口连至 H3C S5500-28C-PWR-EI，配置成 trunk 端口


port trunk permit vlan all

#




#

·214·




#




#

interface NULL0

#

management-vlan 6 //设置 VLAN6 为管理 VLAN

#

ip route-static 0.0.0.0 0.0.0.0 10.1.6.254 preference 60 //配置默认路由，指向 10.1.6.254

#

snmp-agent //配置 snmp 网管

snmp-agent local-engineid 800063A2000FE2B757976877

snmp-agent community read public

snmp-agent community write private

snmp-agent sys-info version all

#



authentication-mode scheme //配置 telnet 用户的认证方式为 radius 认证

#

return

4.2.3 汇聚层设备配置

在职业技术学院内部局域网中，如图 4.7 所示，汇聚层处于每个楼宇的主设备间位置，

上与核心交换机相连，下与接入交换机相连，重要性可想而知，在每个 H3C S5500EI 中启用

DHCP Server 服务并配置路由接口及启用组播，并且丢弃未知组播数据，接入用户可通过

DHCP 服务器指定内网用户从服务器内获取 IP，从而避免由于使用静态 IP 地址出现遗忘 IP

配置引起 IP 冲突的问题。

下面是 A2 区三层汇聚设备 H3C S5500EI 的一个样例，用//解释前面的主要命令，相

同功能的配置用“//… …//”省略。把配置线缆连至计算机 COM1 口，进入超级终端，

连接到 H3C 5500EI 汇聚交换机上。在用户视图下，运行 display current-configuration 查看

终当前配置。

#

version 5.20, Release 2102 //版本号

#

sysname A2-L2-S5500 //设置主机名


telnet server enable //启用交换机的 telnet server 功能

igmp-snooping

#

·215·

vlan 1

vlan 5 to 6

vlan 21 to 25 //创建 VLAN

vlan 200 //VLAN 下启用组播，并且丢弃未知组播数据，连接机房的 VLAN 都

需要做此配置

igmp-snooping enable

igmp-snooping drop-unknown

#

vlan 201



…

vlan 214




server-type extended

primary authentication 127.0.0.1 1645

primary accounting 127.0.0.1 1646

user-name-format without-domain

domain system

access-limit disable

state active

idle-cut disable

self-service-url disable

dhcp server ip-pool 21 //设置 DHCP 地址池

network 10.1.21.0 mask 255.255.255.0 //设置 VLAN21 获取 IP 地址为 10.1.21.0/24

gateway-list 10.1.21.254 //设置 VLAN21 获取网关为 10.1.21.254

dns-list 219.146.0.130 //设置 VLAN21 获取 DNS 为 219.146.0.130

//…

…//

dhcp server ip-pool 214

network 10.1.214.0 mask 255.255.255.0

gateway-list 10.1.214.254

dns-list 219.146.0.130

#

local-user user //配置 telnet 用户名是 user,口令是 user123

password simple user123

service-type ssh telnet

level 3

interface NULL0

interface Vlan-interface5 //VLAN5 为与 Cisco 6509 间的互联 VLAN

ip address 10.0.5.253 255.255.255.0

interface Vlan-interface6 //VLAN6 作为管理 VLAN

ip address 10.1.6.22 255.255.255.0

interface Vlan-interface21 //配置 3 层 VLAN 接口的地址，作为用户的网关

ip address 10.1.21.254 255.255.255.0

·216·


ip address 10.1.22.254 255.255.255.0

#

//…

…//


ip address 10.1.214.254 255.255.255.0

#

interface GigabitEthernet1/0/1 //对于下面连接 E126 的接口需要将接口配置成 trunk 类

型，并允许所有 vlan 通过



broadcast-suppression pps 200 //接口配置广播抑制

#




broadcast-suppression pps 200

#





#

interface GigabitEthernet1/0/4 //普通接口只需说明所属 VLAN，并配置广播抑制

port access vlan 21


#

//…

…//


port access vlan 214


#

interface GigabitEthernet1/0/25 //连接 Cisco 6509 并允许 VLAN 1，5，6 通过


port trunk permit vlan 1 5 to 6

#




#




#


·217·



#

ip route-static 0.0.0.0 0.0.0.0 10.0.5.254 //配置默认路由，指向 Cisco 6509

#

snmp-agent //配置 snmp 网管

snmp-agent community read public

snmp-agent community write private

snmp-agent sys-info version all

#

load xml-configuration

#


user-interface vty 0 4 //配置 telnet 用户的认证方式为 radius 认证

authentication-mode scheme

#

Return 为了提高汇聚交换机的性能，还可以不在汇聚交换机中做 DHCP 服务而采用 DHCP

中继的方式。由于在 IP 地址动态获取过程中采用广播方式发送报文，因此 DHCP 只适用

于 DHCP 客户端和服务器处于同一个子网内的情况。为进行动态主机配置，需要在所有网

段上都设置一个 DHCP 服务器，这显然是很不经济的。DHCP 中继功能的引入解决了这一

难题：客户端可以通过 DHCP 中继与其他网段的 DHCP 服务器通信，终获取到 IP 地址。

这样，多个网络上的 DHCP 客户端可以使用同一个 DHCP 服务器，既节省了成本，又便

于进行集中管理。

如在网络中存在一个 DHCP 服务器 10.0.3.1，在 H3C 5500EI 中启用 DHCP 中继功能。只

需把上面配置中的下列选项去掉。

dhcp server ip-pool 21 //设置 DHCP 地址池

network 10.1.21.0 mask 255.255.255.0 //设置 VLAN21 获取 IP 地址为 10.1.21.0/24

gateway-list 10.1.21.254 //设置 VLAN21 获取网关为 10.1.21.254

dns-list 219.146.0.130 //设置 VLAN21 获取 DNS 为 219.146.0.130

//…

…//

dhcp server ip-pool 214

network 10.1.214.0 mask 255.255.255.0


dns-list 219.146.0.130 修改如下完成 DHCP 中继功能。

dhcp relay server-group 1 ip 10.0.3.1


ip address 10.1.21.254 255.255.255.0

dhcp select relay

dhcp relay server-select 1

//…

·218·

…//


ip address 10.1.214.254 255.255.255.0

dhcp select relay

dhcp relay server-select 1

4.2.4 核心层设备配置（Cisco Catalyst 6509 主要配置）

在职业技术学院内部局域网中，如图 4.7 所示，核心层设备是起着承载汇聚层设备的高

速上连，并且根据网络的目的地址进行网络转发，这就要求核心层设备达到线速，因此在核

心层设备上尽量把规则下放。在核心层设备的主管理引擎执行路由管理、网络管理、网络服

务等任务，利用交换的高速背板，可以独立实现硬件路由、交换和组播功能以及硬件 ACL 和

QoS 功能，从而保证了校园网高速稳定的运行。

下面是 A2 区三层核心设备 Cisco Catalyst 6509 的一个样例，在//解释前面的主要命令，

相同功能的配置用“//… …//”省略。把配置线缆连至计算机 COM1 口，进入超级终端，

连接到 Cisco Catalyst 6509 核心交换机上。在特权模式下，运行 show running-config，查看

终当前配置。

Cisco Catalyst 6509 配置：

upgrade fpd auto

version 12.2

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

service counters max age 5

!

hostname Router

!

enable secret 5 $1$N/QD$6d0AXCUmeD34p8eY5mTnE0

!

no aaa new-model

ip subnet-zero

!

!

!ip multicast-routing

ipv6 mfib hardware-switching replication-mode ingress

mls ip multicast flow-stat-timer 9

mls cef error action freeze

redundancy

mode sso

main-cpu

auto-sync running-config

spanning-tree mode pvst

diagnostic cns publish cisco.cns.device.diag_results

diagnostic cns subscribe cisco.cns.device.diag_commands

!

·219·

vlan internal allocation policy ascending

vlan access-log ratelimit 2000

!

!

interface FastEthernet1/1

switchport

switchport access vlan 3 //设置内网服务器 VLAN

switchport mode access

no ip address

!


switchport

switchport access vlan 200 //设置全院视频监控 VLAN


no ip address

!


//…

…//


switchport

switchport access vlan 8


no ip address


switchport

switchport trunk encapsulation dot1q

switchport mode trunk

no ip address

//…

…//


switchport




no ip address

!


switchport



no ip address

//…

…//


switchport

·220·



no ip address

//…

…//

interface Vlan1

ip address 10.0.1.254 255.255.255.0

mls rp ip

interface Vlan3

ip address 10.0.3.254 255.255.255.0

ip access-group 126 in //设置访问控制列表应用

ip access-group 126 out

ip helper-address 10.0.3.1 //设置 DHCP 服务器地址是 10.0.3.1

mls rp ip

!

//…

…//

interface Vlan160

ip address 10.1.160.254 255.255.255.0

ip access-group 126 in


ip helper-address 10.0.3.1

mls rp ip

interface Vlan200

ip address 10.7.1.254 255.255.255.0



mls rp ip

!

//…

…//

interface Vlan260

ip address 10.1.201.253 255.255.255.252



mls rp ip

ip route 0.0.0.0 0.0.0.0 10.0.3.153 //到出口路由器的路由

ip route 10.1.11.0 255.255.255.0 10.1.220.253 //到 A 楼 1 区 H3C 5500EI 路由

ip route 10.1.12.0 255.255.255.0 10.1.220.253

ip route 10.1.13.0 255.255.255.0 10.1.220.253

ip route 10.1.14.0 255.255.255.0 10.1.220.253

ip route 10.1.15.0 255.255.255.0 10.1.220.253

ip route 10.1.21.0 255.255.255.0 10.0.5.253 //到 A 楼 2 区 H3C 5500EI 路由

ip route 10.1.22.0 255.255.255.0 10.0.5.253

ip route 10.1.23.0 255.255.255.0 10.0.5.253

ip route 10.1.24.0 255.255.255.0 10.0.5.253

·221·

ip route 10.1.25.0 255.255.255.0 10.0.5.253

//…

…//

!

logging trap debugging

access-list 126 deny tcp any any range 135 139 //以下是访问控制列表

access-list 126 deny udp any any range 135 netbios-ss

access-list 126 deny udp any any eq tftp

access-list 126 deny tcp any any eq 445



access-list 126 deny udp any any eq 4444












access-list 126 permit ip any any

snmp-server community public RW //以下网管信息设置

snmp-server community private RO

snmp-server enable traps snmp authentication warmstart

snmp-server enable traps bgp

snmp-server enable traps config

snmp-server enable traps dlsw

snmp-server enable traps frame-relay

snmp-server enable traps hsrp

snmp-server enable traps rtr

snmp-server enable traps entity

snmp-server enable traps rsvp

snmp-server host 10.0.3.11 public

control-plane

dial-peer cor custom

line con 0

line vty 0 4 //设置 telnet 登录密码为 cisco

password cisco

login

monitor session 1 source interface Fa1/4 //设置源端口

monitor session 1 destination interface Fa1/9 //设置镜像端口

no cns aaa enable

end

·222·

4.2.5 局域网内部功能测试

局域网内部功能测试是校园网络组建与互联的一个重要部分，通过内部局域网的组建，

检测网络设备能否为校园网正常运行提供安全稳定的保障，测试部分可运用常用网络命令如

ping、tracert 等，对网络基本状态进行检测，再给合交换机内置命令，完成如下操作：

显示接口信息 display interface GigabitEthernet 1/0/1；

显示所有 TCP 连接的状态 display tcp status；

显示 TCP 连接的流量统计信息 display tcp statistics；

显示 UDP 流量统计信息 display udp statistics；

显示 IP 报文统计信息 display ip statistics；

显示 ICMP 流量统计信息 display icmp statistics；

清除 IP 报文统计信息 reset ip statistics；

清除 TCP 连接的流量统计信息 reset tcp statistics；

清除 UDP 流量统计信息 reset udp statistics 等进行测试。

4.3 广域网接入

4.3.1 任务分析

广域网接入是职业技术校园网的重要组成部分之一，根据网络方案，职业技术学院广

域网接入配置拓扑图如图 4.8 所示，在 H3C SR6608 路由器配置联通、电信接口地址、网关、

路由、本地回指路由等，配置应用服务器 NAT 接口地址、网关、路由等，在 H3C SR6608 路

由器下联 Cisco ASA 5520，在 Cisco ASA 5520 做用户上网控制下联 Cisco Catalyst 6509。

计算机可以从 Cisco 6509 以太网口接入网管工作站测试双网访问，也可接至下联各楼宇

三层汇聚交换机 H3C S5500EI 或各楼楼层设备间接入交换机 H3C E126A 进行测试。

图 4.8 职业技术学院广域网接入配置拓扑图

·223·

4.3.2 路由器配置

H3C SR6608 承载着如 Web 访问、FTP 文件传输、在线音乐、在线影视、网络游戏等流

量巨大的网络应用，而校园网还有大量的服务器对外提供服务，内部网络大多为私有 IP，出

口路由器需要承担大量的 NAT 转换，BT、EDonkey 等 P2P 数据流量占据绝大部分出口带宽，

严重耗费出口资源，随着用户的增多数据流量变大，每秒并发连接数都要求高性能的路由器。

因此尽可能地优化路由器的配置，减少网络多出口的压力，达到平衡负载，实现高可用性。

下面是 H3C SR6608 的一个案例，在用//解释前面的主要命令，相同功能的配置用

“//… …//”省略。

把配置线缆连至计算机 COM1 口中，进入超级终端，连接到 H3C SR6608 路由器上。在

用户视图下，运行 display current-configuration，查看终当前配置。H3C SR6608 路由器配置

信息如下：

#

version 5.20, Release 2212 //设备版本号

#

sysname SR66 //设备系统名称

#

super password level 3 simple user123456 //超级密码，telnet 需配置 super password

#


#

telnet server enable //全局启用 telnet，配置 telnet 所必须命令

#

acl number 3000 //全局 NAT 匹配条目，阻止映射公网 IP 的内网机器的 IP 地址进行 NAT

rule 0 permit ip

rule 5 deny ip source 10.1.12.98 0






acl number 3010 //允许内网机器访问内部服务器，保障内网机器能以公网 IP 或者域名

访问内部服务器

description lan_pc to lan server

rule 0 permit ip source 10.0.0.0 0.255.255.255 destination 192.168.1.16 0











·224·





rule 90 permit ip source 192.168.1.16 0 destination 10.0.0.0 0.255.255.255















rule 200 deny ip

acl number 3020 //同 acl 3010，保障内网机器能以公网 IP 或者域名访问内部服务器

description lan_pc to 10.0.0.0_ser

















rule 80 deny ip

acl number 3231

rule 0 permit ip source 10.0.3.36 0

acl number 3300 //访问电信策略路由表，配置精确路由后已经不起作用

description route-policy to CT

rule 10 permit ip source 10.0.0.0 0.255.255.255 destination 58.32.0.0 0.7.255.255


//…

…//

·225·



acl number 3400 //P2P 限速配置，与其他命令配合使用

description p2p_out

rule 0 permit tcp source-port eq 3076



rule 15 permit tcp source-port range 6881 6889

rule 20 deny ip source 10.0.3.0 0.0.0.255

acl number 3500 //策略路由表，指定某些地址的出口方向，需与其他命令配合使用

description policy-route to 10.0.3.0

rule 0 permit ip source 10.0.3.0 0.0.0.255

rule 5 permit ip source 10.1.12.0 0.0.0.255

#

domain system //AAA RADIUS HWTACACS 命令，与现有应用无关

access-limit disable

state active

idle-cut disable

self-service-url disable

#

traffic classifier p2pout operator or //配合 ACL 3400 做 P2P 限速。定义一个类别，匹配如下

任意条目即属于该类

if-match acl 3400 //定义类别匹配 ACL 3400

#

traffic behavior p2pout //与上一条配合使用做 P2P 限速，定义一个流行为

car cir 8 cbs 1875 ebs 0 green pass red discard

//与上一条配合使用做 P2P 限速，为流行为配置流量监管动作。流行为的承诺信息速率为

8Kbps，承诺突发尺寸为 1875Kbps，超出突发尺寸为 0，数据包的流量符合承诺速率时对数

据包采取的默认动作为 pass 允许通过。数据包的流量既不符合承诺速率也不符合峰值速率时

对数据包采取的默认动作为 discard 丢弃

#

qos policy p2pout //与上一条配合使用做 P2P 限速，定义一个策略

classifier p2pout behavior p2pout //与上一条配合使用做 P2P 限速，策略中为 p2pout 类指定采用

的流行为 p2pout

#

user-group system

#

interface NULL0 //黑洞接口

#


#


#

interface GigabitEthernet2/1/0 //联通接口

nat outbound static //静态 NAT

nat outbound 3000 //静态 NAT 匹配 ACL 3000

nat server protocol tcp global 218.62.14.87 any inside 192.168.1.16 any

·226·

//端口映射，映射内网 IP 为联通 IP







nat server protocol udp global 218.62.14.87 any inside 192.168.1.16 any







description To_CNC

ip address 218.62.14.93 255.255.255.240

tcp mss 1024

#

interface GigabitEthernet2/1/1 //电信接口

nat outbound static //静态 NAT



//端口映射，映射内网 IP 为电信 IP
















description To_CT

ip address 222.168.81.142 255.255.255.240

tcp mss 1024

#

interface GigabitEthernet2/2/0 //服务器接口

nat outbound 3010 //保障内网能以公网 IP 或域名访问内部服务器

description To_server

ip address 192.168.1.1 255.255.255.0

#

·227·

interface GigabitEthernet2/2/1 //内网接口

nat outbound static

nat outbound 3020 //保障内网能以公网 IP 或域名访问内部服务器































description To_LAN

ip address 10.2.1.1 255.255.255.0

tcp mss 1024

#

interface M-GigabitEthernet0/0/0 //管理接口

#

route-policy aaa permit node 10 //策略路由

if-match acl 3300 //当数据流匹配 ACL 3300 时

apply ip-address next-hop 222.168.81.129 //下一跳为 222.168.81.129

route-policy aaa permit node 20 //同上

if-match acl 3500

apply ip-address next-hop 218.62.14.93

#


·228·

//默认出口路由优先级高


//默认出口路由优先级低

ip route-static 10.0.0.0 255.0.0.0 10.2.1.2 //内网路由

ip route-static 58.16.0.0 255.248.0.0 218.62.14.81 //联通精细路由

ip route-static 58.99.190.0 255.255.254.0 218.62.14.81

ip route-static 58.100.0.0 255.254.0.0 218.62.14.81

//…

…//

ip route-static 221.208.0.0 255.240.0.0 218.62.14.81

ip route-static 222.128.0.0 255.240.0.0 218.62.14.81

#

nat static 10.0.3.235 222.168.81.141 //静态 NAT，映射服务器

nat static 10.0.3.202 222.168.81.130

nat static 10.0.3.18 222.168.81.131

nat static 10.1.91.253 222.168.81.132

nat static 10.0.3.25 218.62.14.85

nat static 10.0.3.234 218.62.14.91

nat dns-map domain www.cvit.com.cn protocol tcp ip 192.168.1.10 port www

//DNS-map，等同于内部 dns 服务器

#

user-interface con 0 1

user-interface aux 0 1


set authentication password simple user1234 //telnet 密码，一级密码，设置该密码后需要设置

super 密码

#

return

4.3.3 防火墙配置

防火墙是校园网的网络安全屏障，防火墙的访问控制尺度决定着校园网内部用户能否与

外网进行通信，防火墙可以大限度地阻止网络中的黑客来访问网络。防火墙可以强化网络

安全策略，如在网络上根据时间段、有选择地应用协议才能通过防火墙，如在 8：00-9：00 允许

使用用户访问 DNS、Web、邮件等，其他时间段不允许访问。防火墙对网络存取和访问进行

监控审计，通过防火墙的日志功能，在网络上提供一个日志服务器，可以记录下经过防火墙

的所有的访问。

下面是 Cisco ASA 5520 的一个样例，用//解释前面的主要命令，相同功能的配置用

“//… …//”省略。把配置线缆连至计算机 COM1 口，进入超级终端，连接到 Cisco ASA 5520

路由器上。在特权模式下，运行 show running-config，查看终当前配置。

ASA 5520 配置：

: Saved

: Written by cvit2580 at 08:00:16.691 UTC Tue Mar 24 2009

!

ASA Version 7.0(6)

·229·

!

hostname asa5520 //定义设备名称

domain-name cisco.com //域名称

enable password ZE7Bie3WXwIdZGkX encrypted //enable 密码

names

dns-guard

!


nameif outside

security-level 0 //安全级别，用以区分端口所在区域，安全区或非安全区，或 dmz 区

ip address 10.2.1.2 255.255.255.0 //外网接口与 H3C SR6608 相连

!


nameif inside

security-level 100

ip address 10.0.3.153 255.255.255.0 //内网接口与 Cisco 6509 相连

!

//…

…//

passwd .lICx/qWjM3FtBZM encrypted

!

time-range susheday //定义学生公寓白天上网时段

periodic weekdays 7:30 to 15:50

!

time-range sushenight //定义学生公寓周末和其余时间上网时段

periodic weekend 0:00 to 23:59



!

time-range work1 //定义办公工作时间

periodic daily 7:30 to 11:20


!

time-range xiuxian //定义办公休闲时间




!

ftp mode passive

same-security-traffic permit inter-interface

object-group service udp udp //定义 ucp 协议组 udp，以端口号区分过滤组别

port-object eq snmp

port-object eq www

port-object eq domain

port-object range 8000 8000

object-group service workservicetcp1 tcp //定义 tcp 协议组 workservicetcp1，以端口号区分过滤

组别

·230·




port-object eq pop3

port-object eq pop2

port-object eq ssh


port-object eq ftp



port-object eq www









port-object range www 82





port-object eq smtp


port-object eq ftp-data





port-object range ssh ssh



port-object eq https


object-group service jf tcp //定义机房 tcp 协议组 jf，以端口号区分过滤组别

description jifang

port-object eq kerberos

port-object eq www



port-object eq pop3

port-object eq https

port-object eq smtp

port-object eq pop2

//…

·231·

…//

access-list 2 extended permit icmp any any //定义访问策略

access-list 2 extended permit ip any any

access-list 1 extended permit ip any 10.0.0.0 255.0.0.0

access-list inside_access_in extended permit udp any any eq domain

access-list inside_access_in extended permit tcp any any eq domain

access-list inside_access_in extended permit ip 10.0.3.0 255.255.255.0 any

access-list inside_access_in extended permit tcp 10.0.4.0 255.255.255.0 any


access-list inside_access_in extended permit ip any 192.168.1.0 255.255.255.0





access-list inside_access_in extended permit ip host 10.1.95.110 any






access-list inside_access_in extended permit tcp host 10.7.1.211 any object-group workservicetcp1

access-list inside_access_in extended permit tcp 10.7.1.212 255.255.255.254 any object-group

workservicetcp1



workservicetcp1

//…

…//

access-list inside_access_in extended permit tcp 10.1.201.0 255.255.255.0 any object-group jf

//…//


workservicetcp1 time-range susheday

access-list inside_access_in extended permit tcp 10.1.232.0 255.255.255.0 any time-range sushenight

//…

…//

access-list inside_access_in extended permit tcp any any object-group TCP

pager lines 24 //定义一页 24 行

logging enable //配置日志服务器

logging standby

logging buffer-size 10000

logging asdm-buffer-size 500

logging console critical

logging monitor errors

logging buffered critical

logging trap informational

logging asdm emergencies

logging facility 16

·232·

logging host inside 10.0.3.111

logging debug-trace

logging permit-hostdown

mtu outside 1484 //定义各方向数据流 mtu

mtu inside 1484

mtu dmz 1484

ip local pool cvit 172.16.1.1-172.16.1.254 mask 255.255.255.0

no failover

monitor-interface outside

monitor-interface inside

monitor-interface dmz

icmp permit any outside

icmp permit any inside

icmp permit any dmz

asdm image disk0:/asdm506.bin

asdm location 172.16.1.0 255.255.255.0 outside

no asdm history enable

arp timeout 14400

access-group 1 in interface outside

access-group inside_access_in in interface inside

access-group 2 in interface dmz

!

route-map text permit 10

!

route outside 0.0.0.0 0.0.0.0 10.2.1.1 1 //默认路由

route inside 10.10.0.0 255.255.0.0 10.0.3.254 1 //精细回指路由

route inside 10.7.1.0 255.255.255.0 10.0.3.254 1

route inside 10.5.0.0 255.255.0.0 10.0.3.254 1

route inside 10.4.0.0 255.255.0.0 10.0.3.254 1

route inside 10.3.0.0 255.255.0.0 10.0.3.254 1

route inside 10.1.6.0 255.255.255.0 10.0.3.254 1

route inside 10.1.0.0 255.255.0.0 10.0.3.254 1

route inside 10.0.6.0 255.255.255.0 10.0.3.254 1

route inside 10.0.5.0 255.255.255.0 10.0.3.254 1

route inside 10.0.4.0 255.255.255.0 10.0.3.254 1

route inside 10.0.1.0 255.255.255.0 10.0.3.254 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00

timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

group-policy cvit internal //定义组策略

group-policy cvit attributes

dns-server value 202.98.0.68 202.98.5.68

Webvpn

username cvit password WLrkHNXAZG8G/pCh encrypted privilege 15

//登录用户名与密码

·233·

username cvit attributes

vpn-group-policy cvit

Webvpn

http server enable //启用 http 服务器

http 10.0.3.0 255.255.255.0 inside

http 10.0.3.252 255.255.255.255 inside

http 10.1.12.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac

crypto dynamic-map outside_dyn_map 20 set transform-set ESP-DES-SHA

crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map

crypto map outside_map interface outside

isakmp enable outside

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption des

isakmp policy 10 hash sha

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

tunnel-group cvit type ipsec-ra

tunnel-group cvit general-attributes

address-pool cvit

default-group-policy cvit

tunnel-group cvit ipsec-attributes

pre-shared-key cvit

telnet 10.0.0.0 255.0.0.0 outside //允许指定 ip 地址 telnet 登录设备

telnet 10.0.0.0 255.0.0.0 inside

telnet timeout 5

ssh 10.0.3.252 255.255.255.255 inside //ssh 地址

ssh timeout 5

console timeout 0

management-access inside

!

class-map inspection_default

match default-inspection-traffic

!

!

policy-map global_policy

class inspection_default

inspect dns maximum-length 512

inspect ftp

inspect h323 h225

inspect h323 ras

inspect netbios

inspect rsh

inspect rtsp

·234·

inspect skinny

inspect esmtp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect sip

inspect xdmcp

!

service-policy global_policy global

Cryptochecksum:2c9214ac4168c72249848ff5f83e05af

: end

4.3.4 地址转换（NAT）

NAT（Network Address Translation）是在 IP 地址资源日益短缺的情况下提出的，一个局

域网内部有很多台主机，可是不能保证每台主机都拥有合法的 IP 地址，为了达到所有的内部

主机都可以连接 Internet 网络的目的，可以使用地址转换。

NAT 是改变 IP 报文中源地址或目的地址的一种处理方式。可以使一个局域网中的多台主机

使用少数的合法地址访问外部的资源，也可以设定内部的 www、ftp、telnet 等服务提供给外部网

络使用。NAT 同时隐藏了内部局域网的主机地址，可以在一定程度上防止外部的非法攻击。

在网络地址转换时，根据转换关联可以找到与数据包对应的地址池，根据地址池就可以

找到 Hash 表，将转换记录记在相应的 Hash 表。还原时，根据目的地址可以知道是属于哪个

地址池，从而找到相应的 Hash 表，就可以进行还原操作。

1．地址转换的形式

（1）Easy IP：地址转换时，直接使用接口的 IP 地址作为转换后的地址。

（2）静态地址转换：实现一对一私网与公网地址对应转换。

（3）多对多地址转换：地址转换时，使用外部地址，来替代内部网络报文源地址。

（4）NAPT：NAPT（Network Address Port Translation，网络地址端口转换）是 NAT 的一

种变形，它允许多个内部地址映射到同一个公有地址上，也可称为“多对一地址转换”或“地

址复用”，同时转换 IP 地址和端口号的 NAT。

NAPT 同时映射 IP 地址和端口号：来自不同内部地址的数据报的目的地址可以映射到同

一外部地址，但它们的端口号被转换为该地址的不同端口号，因而仍然能够共享同一地址，

也就是“私有地址+端口”与“公有地址+端口”之间的转换。

（5）NAT 多实例：NAT 多实例允许分属于不同 MPLS VPN 的用户通过同一个出口访问

外部网络，同时允许分属于不同 MPLS VPN 的用户使用相同的私网地址。

2．地址转换的缺点

（1）地址转换对于报文内容中含有有用的地址信息的情况很难处理。

（2）地址转换不能处理 IP 报头加密的情况。

由于需要对数据报文进行 IP 地址的转换，涉及 IP 地址的数据报的报头不能被加密。在

应用协议中，不能使用加密的 FTP 连接，否则 FTP 的 port 命令不能被正确转换。

·235·

（3）地址转换由于隐藏了内部主机地址，有时候会使网络调试变得复杂。

比如，某一台内部网络的主机试图攻击其他网络，则很难指出究竟是哪一台机器是恶意

的，因为主机的 IP 地址被屏蔽。

3．H3C SR6608 配置样例

（1）采用 EASY IP 提供公有地址。

① 定义 ACL。

acl number 3000 //定义 ACL，允许进行转换的地址需匹配该 ACL 条目

rule 0 permit ip //允许所有 IP 通过，允许所要进行地址转换的 IP

rule 5 deny ip source 10.1.12.98 0 //禁止某个 IP 进行 NAT





rule 30 deny ip source 10.1.91.253 0 ② 在接口上应用。


nat outbound 3000 //在联通接口上应用 ACL，随即生效

description To_CNC

ip address 218.62.14.93 255.255.255.240

tcp mss 1024


nat outbound 3000 //在电信接口上应用 ACL，随即生效

description To_CT

ip address 222.168.81.142 255.255.255.240

Stcp mss 1024 （2）设置静态地址转换，在连接 Internet 接口上允许地址转换。

① 系统视图下配置。

nat static 10.0.3.235 222.168.81.141

nat static 10.0.3.202 222.168.81.130

nat static 10.0.3.18 222.168.81.131

nat static 10.1.91.253 222.168.81.132

nat static 10.0.3.25 218.62.14.85

nat static 10.0.3.234 218.62.14.91 ② 接口视图下配置。


nat outbound static （3）把校园网的双网相对应的服务器转换出去，提供 Internet 服务。




·236·

//端口映射，映射内网 IP 为联通 IP














description To_CNC

ip address 218.62.14.93 255.255.255.240

#

interface GigabitEthernet2/1/1 //电信接口



//端口映射，映射内网 IP 为电信 IP
















description To_CT

ip address 222.168.81.142 255.255.255.240

#

4.3.5 功能测试

广域网接入功能测试是检验校园网络成果的一个重要组成部分，测试部分可运用常用网

络命令如 ping、tracert、netstat –an、nslookup 等，对网络基本状态进行检测，再根据 H3C SR6608

路由器内置命令做如下测试。

显示所有的地址转换的配置信息：display nat all。

·237·

显示内部服务器的信息：display nat server。

显示地址转换的统计信息：display nat statistics slot2。

显示地址转换 session 的信息：display session relation-table/statistics/table。

显示接口信息：display interface GigabitEthernet 2/1/1。

显示所有 TCP 连接的状态：display tcp status。

显示 TCP 连接的流量统计信息：display tcp statistics。

显示 UDP 流量统计信息：display udp statistics。

显示 IP 报文统计信息：display ip statistics。

显示 ICMP 流量统计信息：display icmp statistics。

清除 IP 报文统计信息：reset ip statistics。

清除 TCP 连接的流量统计信息：reset tcp statistics。

清除 UDP 流量统计信息：reset udp statistics。

4.4 访问行为控制

4.4.1 任务分析

实施校园网的访问行为控制的终目的是保证校园网络的安全运行。校园网面对的

群体主要是教师、学生，学生在校的主要任务是学习，但是学生一般自控能力比较差，

很容易沉迷于上网玩游戏、聊天、看电影等，而非计算机专业的学生对自已机器的防护

又比较差，可能打开某个网站下载、运行某个文件就让计算机中了病毒或木马，成为别

人利用的工具。

针对上述种种情况我们可以通过访问控制列表（Access Control List，ACL）来对校园网

络进行预防，如在接入层 H3C E126A 上做端口的 ACL，在汇聚层 H3C 5500EI 上在其下连的

VLAN 进行有目的的限制，如除了校园网的服务器任何计算机都可以访问外，禁止不同楼的

VLAN 之间进行互相访问，在核心层 Cisco 6509 上每个 VLAN 接口路由应用访问控制列表，

在出口路由 H3C SR6608 上设置内网计算机均可访问服务器区域，设置外网用户访问校园网

服务器的资源时只能访问服务器提供服务的端口。

4.4.2 访问控制列表配置

访问控制列表（ACL）通过一系列匹配条件对数据包进行分类，这些条件可以是数据包

的源地址、目的地址、端口号，交换机、路由器会根据 ACL 中指定的条件来检测数据包，从

而决定是转发还是丢弃该数据包。ACL 包括端口 ACL、全局 ACL、VLAN-ACL。全局 ACL

给用户提供一种整个单板上端口都会生效的 ACL 配置机制；VLAN-ACL 即基于 VLAN 的

ACL，用户通过对 VLAN 配置 QACL 动作，从而实现对 VLAN 内所有端口的访问控制。

1．封堵常用端口 H3C E126A 样例

（1）设置 ACL 端口。

acl number 3000


·238·














rule 16 deny UDP destination-port eq tftp

rule 17 deny UDP destination-port eq netbios-ns


rule 19 deny 255

rule 20 permit IP （2）把 ACL 中具体的端口应用于以太网接口中。


port access vlan 22








packet-filter inbound ip-group 3000 rule7














·239·

2．汇聚交换机 H3C 5500EI 处理 VLAN 样例

（1）设置 ACL。

traffic classifier jujue operator and if-match ACL 3001

//创建 jujue 类并匹配 ACL3001

traffic classifier fangxing operator and if-match ACL 3000

//创建 fangxing 类并匹配 ACL 3000

#

traffic behavior permitxx //创建 permitxx 流行为

filter permit //配置流量过滤动作 permit 表示允许数据包通过

traffic behavior denyxx //创建 denyxx 流行为

filter deny //配置流量过滤动作 deny 表示丢弃数据包

#

qos policy policy_guize //创建 policy_guize 策略

classifier fangxing behavior permitxx //在策略中为 fangxing 类指定采用的流行为是 permitxx

classifier jujue behavior denyxx //在策略中为 jujue 类指定采用的流行为是 denyxx ACL

number3001

rule 0 permit ip source 10.1.11.0 0.0.0.255 destination 10.0.3.0 0.0.0.255 acl number 3001

rule 0 deny ip （2）把 ACL 中具体的端口应用于以太网接口中。


qos apply policy policy_guize inbound //基于端口应用 QoS 策略 policy_guize

3．路由器 H3C SR6608 配置样例

acl number 3001 // 定义用于包过滤的 ACL

rule 0 permit ip source 192.168.1.0 0.0.0.255 // 内网地址 192.168.1.0/24 访问外网不作限制

rule 1 permit tcp source 192.168.1.80 0.0.0.0 destination-port eq pop3

rule 2 permit tcp source 192.168.1.80 0.0.0.0 destination-port eq smtp

// 内网地址 192.168.1.80 只能收发邮件


ip address 192.168.1.1 255.255.255.0

firewall packet-filter 3001 inbound // 对 inbound 流量使用包过滤系统默认情况下为禁止防火墙（firewall disable），需要使用命令“firewall enable”来启用

防火墙功能；防火墙默认过滤方式为允许通过（permit），可以通过“firewall default deny”修

改为禁止通过。在内网使用包过滤，并同时使用 DHCP Server 分配地址时，需要在 ACL 3001

中添加一条“rule 0 permit ip source 0.0.0.0 0”，否则会出现 DHCP Server 无法分配地址的问题。

4.4.3 功能测试

访问行为控制功能测试是检验校园网络安全设置的重要部分，测试部分可运用常用网络

命令如 ping、tracert、netstat –an、nslookup 等，对网络基本状态进行检测，再根据网络性能，

在路由器局域网接口或广域网接口进行如下测试。

·240·

显示所有的 ACL 的配置信息：display acl all。

显示接口信息：display interface GigabitEthernet 2/1/1。

4.5 无线网络组建

4.5.1 任务分析

无线校园网的覆盖使得学校教学和办公条件得到的极大改善，无线的覆盖可以分为室内的

无线覆盖和室外的无线覆盖，采取通行的网络协议标准：目前无线局域网普遍采用 IEEE 802.11

系列标准，因此无线局域网将主要支持 IEEE 802.11g（54Mbps 带宽）标准，以提供相对稳定

的网络通信服务，根据网络方案，职业技术学院室外无线网络拓扑图如图 4.9 所示。在本方案

中选取 10 套 H3C WA2210X-G 室外单频双模接入点，10 套 H3C WA2220-AG 室内双频双模接

入点，4 套 H3C WA2620E-AGN 无线局域网增强型接入点。所有室内 AP 与室外 AP 全部接到

交换机上（如图 4.1 职业技术学院网络拓扑图所示），通过交换机与无线控制器 H3C WX3024

相连，通过 2 层网络，透传 vlan7 到核心交换机，再统一到无线控制器上转发。所有 AP 与接

入用户全部通过无线控制器 DHCP 动态分配 IP 地址，接入后首先通过 CAMS 进行 IEEE 802.1x

认证，方能正常访问内外网资源。同时，要求实现全校基本信号覆盖。

图 4.9 职业技术学院室外无线网络拓扑图


根据网络规划的需要，对室内、室外无线网络均选择 Fit 工作模式，在实际配置上只需在

Cisco 6509 配置 VLAN7 并给 H3C WX3024 分配网关地址：


switchport

·241·



no ip address

//…

…//

interface Vlan7

ip address 10.10.255.254 255.255.128.0



mls rp ip

//…

…// 无线控制器 WX3024 配置：

sysname Wcm_WX3024

telnet server enable

port-security enable //开启端口安全配置

dot1x authentication-method eap //配置 dot1x 认证模式为 EAP 认证

oap management-ip 10.10.255.253 slot 0

//配置内置交换机的 IP 为：10.10.255.253 单板 1 为默认

vlan 1

vlan 7

radius scheme cvit //创建 RADIUS 方案名字为 cvit

primary authentication 10.0.3.110 //配置验证服务器地址为 10.0.3.110

primary accounting 10.0.3.110 //配置计费服务器地址为 10.0.3.110

key authentication cvit //配置验证字段为 cvit，跟验证服务器上的字段匹配

key accounting cvit //配置计费字段为 cvit，跟计费服务器上的字段匹配

nas-ip 10.10.255.253 //配置接入服务器地址为：10.10.255.253

domain wlan //创建 domain,名字为 wlan

authentication lan-access radius-scheme cvit //配置验证方案为 cvit

authorization lan-access radius-scheme cvit //配置授权方案为 cvit

accounting lan-access radius-scheme cvit //配置计费方案为 cvit

access-limit disable //接入限制无

dhcp server ip-pool computer //配置 DHCP 服务

network 10.10.128.0 mask 255.255.128.0


dns-list 202.98.5.68 202.98.0.68

dhcp server ip-pool fit-ap

network 10.10.0.0 mask 255.255.128.0


expired unlimited

local-user admin //配置 Telnet

password simple admin

authorization-attribute level 3

service-type telnet

wlan service-template 1 clear //配置无线服务模板

·242·

ssid cvit

bind WLAN-ESS 0

service-template enable


ip address 10.10.127.254 255.255.128.0


ip address 10.10.255.253 255.255.128.0

i nterface GigabitEthernet1/0/1


port trunk permit vlan 1 7

interface WLAN-ESS0 //创建无线接口

port access vlan 7

port-security port-mode userlogin-secure-ext //设置端口安全模式为 userlogin-secure-ext 模式

port-security authorization ignore //配置当前端口不应用 RADIUS 服务器下发的授权信息

wlan ap d_building model WA2210X-G //添加无线 AP

serial-id 210235A29H0085000091 //添加 AP 的序列号

radio 1 //进入 AP 的射频。注意，不同的 AP，射频数量不同。室外一个，室内二个

service-template 1 //配置射频的服务模板

chanel 6 //为避免信号冲突，不同射频尽量配置成不同的 chanel 分别为 1，6，11

radio enable

wlan ap shitang model WA2210X-G

serial-id 210235A29H0085000051

radio 1

chanel 11

service-template 1

radio enable

ip route-static 0.0.0.0 0.0.0.0 10.10.255.254

dhcp server forbidden-ip 10.10.255.254

dhcp server forbidden-ip 10.10.255.252

dhcp enable



authentication-mode scheme

user privilege level 3

4.5.3 功能测试

无线网络组建功能测试是检验校园网络扩展部分的成果，测试内容包括在无线范围内针

对测试位置进行寻找信号、测试强信号强度（dBm）、拨入认证服务器连接、自动获取 IP

地址、Internet 连接、ping 包掉线率（小于 5%为正常）等。

·243·


4.6.1 任务分析

根据职业技术学院网络拓扑和楼宇信息点分布，校园网网络设备连接需依据校园网的规

划进行连接，即规划好设备位置、数量、模块类型、模块数量、连接选择的线缆等。网络设

备连接是校园网建设的一个重要环节，设定好的实施方案，有利于网络工程的顺利进行。


职业技术学院网络进出口放至主楼八楼网络中心主机房，核心交换机 Cisco 6509 通过单

模光纤连至各教学楼及办公楼、学生公寓等楼宇的三楼或二楼主设备间的汇聚交换机

H3C S5500EI，然后汇聚交换机 H3C S5500EI 通过多模光纤或超五类、六类线与位于本楼一

楼、二楼、四楼、五楼的配线间的交换机 H3C E126A 连接，交换机 H3C E126A 下连至各用

户所在墙壁点计算机。设备数量及连接方法如表 4.14 所示。

表 4.14 设备数量及连接方法

楼宇接入交换机

E126A 台数

接入交换机 E126A 分布

数量

汇聚交换

机 5500 接入方法

A1 4 二楼 2 台，四楼 1 台，

五楼 1 台 1

通过二楼汇聚交换机光纤上行连至 Cisco

6509，二楼汇聚交换机分别连至一、三、四、五

楼接入交换机

A2，A3 3 二楼 1 台，四楼 1 台，

五楼 1 台 1

通过二楼汇聚交换机光纤上行连至 Cisco 6509，二

楼汇聚交换机分别连至四、五楼接入交换机

B 9

二楼 3 台，三楼 2 台，

四楼 2 台，五楼 2 台 1

通过二楼汇聚交换机光纤上行连至 Cisco

6509，二楼汇聚交换机分别联至三、四、五楼接

入交换机

C 7 三楼 3 台，四楼 2 台，

五楼 2 台 1

通过三楼汇聚交换机光纤上行连至 Cisco 6509，三

楼汇聚交换机分别连至四、五楼接入交换机

D 3 二楼 3 台通过二楼接入交换机光纤上行连至 Cisco 6509

E 9

一楼 2 台，二楼 2 台，

三楼 2 台，四楼 2 台，

五楼 1 台

1

通过三楼汇聚交换机光纤上行连至 Cisco

6509，三楼汇聚交换机分别连至一、二、四、五

楼接入交换机

F 7



五楼 1 台

1



楼接入交换机

G 6



五楼 1 台

1



楼接入交换机

·244·

续表

楼宇接入交换机

E126A 台数

接入交换机 E126A 分布

数量

汇聚交换

机 5500 接入方法

H 21

二楼 3 台，三楼 2 台，

四楼 2 台，五楼 2 台，

六楼 2 台，七楼 2 台，

八楼 2 台，九楼 2 台，

十楼 2 台，十一楼 1 台，

十二楼 1 台

1 通过二楼汇聚交换机光纤上行连至 Cisco 6509，二

楼汇聚交换机分别连至各楼接入交换机

宾馆 7 一楼 2 台，三楼 2 台，

四楼 2 台，五楼 1 台

通过三楼接入交换机光纤上行连至 Cisco 6509，三

楼交换机分别连至一、四、五楼接入交换机

专家公寓 2 东门 1 台，西门 1 台东门通过接入交换机光纤上行连至 Cisco 6509，东

门接入交换机连至西门

学生公寓 1 28 二楼 14 台，五楼 14 台 1 通过二楼汇聚交换机光纤上行连至 Cisco 6509，二

楼汇聚交换机连至五楼接入交换机







服务楼 1 二楼 1 台通过二楼接入交换机光纤上行连至 Cisco 6509

食堂 5 一楼 2 台，二楼 2 台，

三楼 1 台

通过一楼接入交换机光纤上行连至 Cisco 6509，一

楼接入交换机分别连至二楼、三楼接入交换机

体育馆、图

书馆 13


三楼 3 台，四楼 4 台 1

通过一楼汇聚交换机光纤上行连至 Cisco 6509，一

楼汇聚交换机分别连至二、三、四楼接入交换机

对于网络设备连接上应严格按照网络施工要求来进行连接，并详细标注连接位置，以便

以后工程验收。在施工过程中测试后形成文档，防止出现环回等问题。

4.7 网络测试与故障诊断


网络测试是正常运行校园网的安全保障，要求对从接入层设备、汇聚层设备、核心层设

备、无线控制器及 AP、出口路由器等进行全方位的测评。测评要求给出具体的结果，形成文

档。校园网综合测试表如表 4.15 所示。

·245·

表 4.15 校园网综合测试表

测试内容测试方法检查结果说明

1．Telnet 和控制台登录：

Telnet 和 Console 口两种方式能正常登录。

□完善

□不完善

如有特殊要求

不强制检查

2．端口统计数据：

查看各个使用的端口收发统计数据是否正常，异常报

文是否有增长。

参照设备命令手册 □完善

□不完善

3．debug 开关：

日志信息应正常，所有 debug 开关关闭。参照设备命令手册

□完善

□不完善

4．电源状态查看：

各电源模块工作状态正常。参照设备命令手册

□完善

□不完善

5．CPU 占有率：

CPU 占有率应正常，与当前开展的业务类型和转发

流量相符。

参照设备命令手册 □完善

□不完善

6．不使用的网络服务端口要关闭：

比如 FTP Server 功能在不使用时要及时关闭。参照设备命令手册

□完善

□不完善

7．系统当前正在发生的告警信息：

有告警及时处理。参照设备命令手册

□完善

□不完善

8．抽样检查 10%AP 设备信号覆盖效果：

抽样点信号强度不低于-70dBm。

关联无线服务是

否正常、迅速。抽样

点读数信号强度。

详细标注抽检 AP 设备的物理地点、IP

地址、信号强度等

4.7.2 应用端口镜像技术分析

在网络性能不稳定时，通常一个直接的方法就是端口镜像，把出现网络异常的网络端

口镜像出去做分析处理，从而找出故障原因，进行准确的故障定位。做镜像端口可根据不同

的网络状态情况，进行相应的捕获与分析网络数据包。可以在三层交换机也可以在汇聚交换

机上或接入交换机上进行设置。

1．交换机设置端口镜像注意事项

（1）做基于端口镜像的流量监控首先要设置好镜像端口和被镜像端口，然后再来对镜像

端口的流量进行监控。

（2）用户可以设置任何一个端口作为镜像端口。

（3）用户可以通过镜像端口监视被镜像端口的输入流量、输出流量和双向流量。

（4）镜像端口和被镜像端口可以在不同的模块下。

捕获与分析网络数据包有硬件和软件两种，硬件的企业分析仪如 FLUKE、HP WAN/LAN

式协议分析仪等。软件通常用的如 Sniffer pro、WildPackets OmniPeek、The Ethereal Network

Analyzer 等，都能实现监视、分析和排查网络故障、形成事件日志等，在出现网络故障时了

解设备运行的情况。网络数据包捕获软件通过捕获到链路的数据包，可以监视网络的状态、

数据流动情况以及网络上传输的信息，还可以分析解决网络问题。对于捕获数据包的 PC 来

·246·

说需要安装 Sniffer pro 等软件并将网卡设置为混杂模式。

2．端口镜像技术的应用

通过应用端口镜像技术分析，捕获与分析网络数据包主要可以解决以下几种问题。

（1）计算机网络病毒问题。计算机网络病毒主要是借助网络进行扩散传播，利用主

机系统自身的安全性与存在的漏洞对网络或主机进行攻击。如威金病毒利用网络共享开

放的 445 端口进行传播，此病毒要对网络存活主机与共享进行扫描查找，产生大量的

WINS 查询，利用协议分析技术对网络中异常数据进行分析可以发现有大量的 WINS 请

求与正常工作的网络状态有明显的区别。利用协议分析技术可以分析和定位蠕虫病毒，

由于大量感染病毒的计算机不断向网络发送数据包，而且是基于 TCP 协议的 SYN 请求

的小数据包，并且没有 SYN 确认，目的地址随机，数量很多，使网络的效率非常低，并

导致正常业务应用无法正常运行。利用协议分析技术也可以分析和定位 ARP 攻击，通过

协议分析捕获的网络 ARP 协议数据，分析并发现 ARP 攻击的存在，其特征是网络存在

大量 ARP 广播与发往网关的 ARP 回应。利用协议分析技术还可以分析基于 UDP 协议的

计算机病毒的存在。加强主机防毒、防护功能，通过网络版杀毒软件及防木马等软件对

系统进行有效防护。

（2）网络攻击-DoS&DDoS 问题。DoS&DDoS 网络攻击是网络攻击中有威胁的攻击

方式，很难通过技术手段进行防范，它针对网络中的关键服务设备的特定协议或端口实

施的，如网络中的 WWW 服务受到此攻击后，将无法响应用户的访问，此种攻击是针对

网络可用性的攻击，目前有效的解决方案是利用 IPS 技术加以防范，但是如果要找到攻

击的源头好的办法是利用协议分析技术捕获流量进行分析后定位，分析的方法与病毒

的分析方法类似。

（3）网络带宽滥用问题。网络带宽滥用主要以 P2P 下载软件的随意使用为常见，网络带宽

滥用可能导致网络的访问性能下降，正常的网络业务无法进行。多数 P2P 软件有固定的协议和端

口，可以在防火墙上进行访问控制，但也有一些软件的协议和端口是不固定或其下载是利用HTTP

协议完成的，在防火墙上很难加以控制。但它们都有一个共同的特点，就是内部的一个主机与外部

建立大量连接，并且下载流量很大。利用协议分析技术对内部 IP 协议分别统计流量即可发现占用

网络带宽的主机。

（4）广播与组播。网络中大量广播与组播可以导致网络性能急剧下降，甚至无法进行正

常的通信。但其特征非常明显，如广播的目的物理地址为 0xFFFFFFFFFFFF，多播有特定的

MAC 与 IP 地址范围。另外也存在由于链路故障造成的网络环路广播，其特征为目的地址不

是广播地址，可能是特定的地址，但是有大量重复的数据包在网络中存在，利用协议分析技

术可以很容易定位。

3．交换机镜像端口配置

（1）接入交换机 H3C E126A 镜像端口配置。对在端口 GigabitEthernet1/1/2 上匹配 ACL

3000 规则的报文进行流镜像，镜像至镜像端口 GigabitEthernet1/2/2。

[A2-L5-E126A]interface GigabitEthernet 1/1/2

[A2-L5-E126A-GigabitEthernet1/1/2]monitor-port

[A2-L5-E126A-GigabitEthernet1/1/2]quit

·247·

[A2-L5-E126A]interface GigabitEthernet 1/2/2

[A2-L5-E126A-GigabitEthernet1/2/2]mirrored-to inbound ip-group 3000 monitor-interface 显示镜像参数设置。显示信息包括：监控端口、被监控端口、镜像方向。

[A2-L5-E126A]dis mirroring-group 1 （2）汇聚交换机 H3C 5500EI 镜像端口配置。对在端口 GigabitEthernet1/0/25 设置镜像源

端口，镜像至镜像端口 GigabitEthernet1/0/26。

[Xingzhenglou-S5500]mirroring-group 1 local

[Xingzhenglou-S5500]mirroring-group 1 mirroring-port GigabitEthernet 1/0/25 both

[Xingzhenglou-S5500]mirroring-group 1 monitor-port GigabitEthernet 1/0/26 显示镜像参数设置。显示信息包括：监控端口、被监控端口、镜像方向。

[Xingzhenglou-S5500]display mirroring-group 1 （3）三层交换机 Cisco 6509 镜像端口配置。对在端口 GigabitEthernet4/3 设置镜像源端口，

镜像至镜像端口 fastEthernet1/9。

Router#configure terminal

Router(config)#monitor session 1 source interface Gi4/3

Router(config)#monitor session 1 destination interface Fa1/9 显示镜像参数设置。显示信息包括：监控端口、被监控端口、镜像方向。

Router#show monitor


1．故障诊断与排除一

（1）故障现象描述。有一台交换机工作一段时间后所有灯都在闪，重启交换机以后还是

这样。

（2）故障分析定位及故障排除。通过终端和交换机直接相连后，看到交换机根本就没有

进入正常界面。

由于前几天非正常断电可能引起网络设备配置丢失或 IOS 损坏，以至于网络设备不能进

入正常的工作状态。由于设备在保修期之内，找到网络供应商进行更换。

2．故障诊断与排除二

（1）故障现象描述。用户反映该房间所有计算机上不了网，ping 网关时断时续，后来一

直不通了。而同一楼层其他房间用户都没问题。

（2）故障分析定位及故障排除。通过终端和交换机直接相连后，看到用户所连交换机端

口时断时续。

到用户房间查看，发现用户接了个 8 口小交换机，由于用户房间新增计算机，在这个小

交换机上有 UPLINK 口和其中的一个普通口相连，用户没有注意到，直接把这两个口都插到

计算机上，导致交换机 MAC 地址表紊乱不能正常工作，把其中一口拨下插至其余空闲口，

问题得到解决。

·248·

环路问题：用户如果有多台交换机级联的话应注意环路问题。可以在接入交换机上启用生成

树协议来避免环路，定期巡检网络设备，检查光纤链路性能，利用网络管理软件查看端口状态。

3．故障诊断与排除三

（1）故障现象描述。同一楼层的用户反映都上不了网，到网关不通。

（2）故障分析定位及故障排除。通过终端和汇聚交换机直接相连后，显示接口状态，发

现到此楼层的交换机级联端口的光纤接口处于 down 的状态。

更换交换机光纤模块并 up 端口，问题得到解决。

影响网络性能降低的原因有：网络中存在噪声和干扰，电缆路由上有电磁干扰，网卡有

故障，接头（如 NIC、墙插、集线器等）松动或损坏。

4．故障诊断与排除四

（1）故障现象描述。同一楼的用户反映都上不了网，到网关不通。

（2）故障分析定位及故障排除。通过终端和汇聚交换机直接相连后，显示接口状态，发

现这个交换机某个接口发出大量的数据包。

把发出大量数据包的端口作为镜像源端口，把调试计算机接到交换机的端口作为镜像目

的端口，捕获数据包发现有大量的 ARP 数据包，经查发现均从一个 MAC 地址发出的，找到

这个 MAC 地址所对应的计算机，发现该计算机中了木马，拔掉网线重安装系统后网络正常。

对于校园网出现大量的数据包现象，要经常利用端口镜像技术进行分析，有的是病毒、

木马程序，有的是机房进行网络同传，有的是用户进行大量的基于 P2P 技术下载等等，用户

会不自觉地影响网络的正常运行，都要引起注意和重视，在交换机上启用 ARP 防护，加强

ACL 设置及启用组播、广播抑制等功能进行预防。

5．故障诊断与排除五

（1）故障现象描述。用户反映同一房间的两台计算机设置正确，都不能共享打印机。

（2）故障分析定位及故障排除。用户均是通过墙壁点各自接到计算机的，打印机连在其

中一台计算机上，两台计算机共享设置均没问题。

通过终端和接入交换机直接相连后，显示配置发现，由于使用了 ACL 把 139、445 等端

口给封掉了，在端口应用规则上把这几条规则去掉，问题得到解决。

6．故障诊断与排除六

（1）故障现象描述。用户反映不能打开学院的服务器网址，不能进行资源访问。

（2）故障分析定位及故障排除。调试 H3C SR6608，通过打开 NAT 的调试信息开关，根

据设备上的调试信息，初步定位错误，然后使用其他命令做进一步的判断。调试时，注意观

察地址转换后的源地址，要保证这个地址是希望转换的地址，否则可能会是地址池配置错误。

同时要保证目的网络到地址池中地址段的路由可达。注意防火墙以及地址转换本身的访问控

制列表对地址转换造成的影响，同时注意路由的配置。

7．故障诊断与排除七

（1）故障现象描述。用户反映学院服务器工作不正常，不能正常访问。

·249·

（2）故障分析定位及故障排除。如果外部主机不能正常访问内部服务器，请检查是否是

内部服务器主机的配置有错或路由器上对内部服务器的配置有错，如对内部服务器的 IP 地址

配置错误等。同时也有可能是防火墙禁止了外部主机对内部网络的访问，可以用 show

access-list 命令来查看。

8．故障诊断与排除八

（1）故障现象描述。当 DNS 在 NAT 外部时，且服务器网关在 H3C SR6608 上，出现内

部用户不能通过域名访问内部服务器。

（2）故障分析定位及故障排除。在接服务器的网口上同样做 nat server 配置即可。

interface GigabitEthernet2/2/0 //服务器网段接口

nat server protocol tcp global 218.62.14.90 www inside 192.168.1.10 www


nat server protocol tcp global 218.62.14.90 www inside 192.168.1.10 www

4.8 任务评价

4.8.1 任务总结

针对本学习情境，学生采取分组方式开展协作活动，每个实训小组各自独立完成校园网

组建与互联项目，小组成员对组建的校园网络进行展示，小组代表介绍方案特点与故障排除

过程，师生共同进行讨论，对存在的问题进行整改和优化。







对学生评价考核分为其在整个过程中实践技能的掌握和工作过程的素质形成两类考核指

标，在考核学生整个工作过程的绩效外，还兼顾到学生学习态度、进步程度的评价考核。


工作过程考核主要考核以下几个方面。






工作成果评价主要考核以下几个方面。

·250·







评价从以下几个表格方式体现：表 4.16 学生自评表、表 4.17 小组互评表和表 4.18 教师评价表。


学生姓名班级评价总分

学号所在小组


分值实际得分


考核网络 IP 规划是否合理，VLAN 划分是合理，网

络设备选型是否准确，格式是否规范，说明是否透彻，

语言是否通畅，是否按时完成

20


能否依据所选网络设备进行正确的配置，考查对网络

设备的基本设置包括 VLAN 划分、ACL、DHCP 服务

器、路由等配置，根据实现的程度计算得分

20

广域网接入配置

能否依据所选网络设备进行正确的配置，考查对路由

器、防火墙的设置，包括路由器的基本设置、静态路由、

NAT 等配置，防火墙的基本设置、上网规则的实现，

根据实现的程度计算得分

20

无线网络组建

能否依据所选无线网络设备进行正确的配置，考查对

无线控制器、AP、无线网卡进行正确配置，根据实现

的程度计算得分

10


能否依据所选网络设备进行正确的设备连接，线缆选

择是否合理，操作是否规范，设备的连接能否实现规划

方案中的网络拓扑结构，根据实现的程度计算得分

10

团队协作能力能否具有学习的积极性和主动性，能否与团队其他成员合

作交流、互帮互助、能否参与团队协作共同完成整体项目 20

自我综合

评价与展望

年月日

·251·


小组班级评价总分


评价分数

分值实际得分

实训资料归档、实训报告考查能否依据网络拓扑、按照项目内容，对小组成员

所有的资料进行整理归档，形成实训报告 20

小组团队合作考查小组团队整体完成情况，是否完成团队合作目

标，达成共识，形成统一的方案 20

小组与教师沟通考查小组团队在教师指导下，形成独特风格的网络组

建与互联方案 20

小组对校园网项目自评评价小组整体合作、完成项目的程度 20

小组成员互评满意度评价各个成员在整体项目的参与、协作、提出有针对

性的建议等方面，是否完成项目的任务目标 20

小组自我综合评价

与展望

年月日


小组与成员姓名

考核教师

考核内容考核标准分数标准及得分情况

分数标准实际得分

技

术

实

现

网络规划方案

按学生所撰写的规划方案，主要考核其规划是否合

理，知识运用是否准确，行文格式是否规范，说明是

否透彻，语言是否通畅。根据其完成程度计算得分

10


依据所选配网络设备，查看主要配置，考核能否根

据用户要求实现交换机的 VLAN 划分、ACL、以及三

层路由、DHCP 服务器等配置，根据其实现的程度计

算其得分

15

广域网接入

依据所选网络设备，查看主要配置，考核其否根据

用户要求实现路由器的静态路由、NAT 等配置，防火

墙的访问规则准确的设置，根据实现的程度计算得分

15

无线网络组建

依据所选无线网络设备，查看无线控制器主要的配置，

评价考核能否根据用户要求对无线控制器、AP、无线网

卡进行正确配置，根据其实现的程度计算其得分

5

·252·

续表

技

术

实

现

网络设备连接

依据实际工作任务的需要，进行网络设备连接时，

是否按实际情况合理选择线缆，设备的连接能否实现

规划方案中的网络拓扑结构，根据其完成任务的程度

计算其得分

5

网络测试与故障诊断

根据实际组成的网络，测试其是否满足规划方案的

要求，对在组网过程中遇到的故障是否能准确地定位，

能否自行排除，根据测试结果及自行处理故障的程度

进行计算得分

10

规

范

操

作




工具物品摆放

物品摆放是否整齐有序，是否有乱堆乱放、杂乱无

序的现象，使用工具后是否按要求放回原处，离开实

训室时是否对工位进行清洁、整理。按学生工具物品

摆放的规范程度计算得分

5



团队协作

依据学习的积极性和主动性，参与合作交流、沟通

的程度，互帮互助的气氛，学业成绩的提高等指标，

对合作意识高、团队精神强的小组进行表扬，小组成

绩各成员共享

10

4.9 实训操作（1）某大学网络组建与互联已经完成，并进入正常运行阶段，某个楼接入层交换机采用 H3C

E126A，汇聚层交换机采用 H3C 5500EI，核心层交换机采用 Cisco 6509，防火墙采用 Cisco ASA

5520，现需增加一个 VLAN300 并要求访问互联网，涉及二楼及三楼各一个房间，均联至各自楼

层交换机 H3C E126A 第 19，20 端口（原有 VLAN 二楼为 vlan22，三楼为 vlan23），其中楼层交

换机分别上联至 H3C 5500EI 第 1，2 端口，要求实现 DHCP server 让新增 VLAN300 内用户自动

获取 IP，网段为 10.1.254.0/24，网关为 10.1.254.254，DNS 为 219.149.194.55，在 Cisco 6509 需增

一条路由到 H3C 5500EI，在 Cisco ASA 5520 上放行 10.1.254.0/24 出互联网。请根据接入层交换

机、汇聚层交换机、核心层交换机、防火墙原有配置进行修改并新增 VLAN、路由、策略。

（2）某职业学院网络出口有联通（网络地址 218.62.14.80/28）和电信（网络地址

222.168.81.128/28）100Mbps 光纤专线，在某一教学楼内有用户反映能访问互联网，但不能访

问本院服务器区域（WWW 服务器内网 IP 为 192.168.1.10 和 192.168.1.110；Mail 服务器内网

为 192.168.1.80 和 192.168.1.180；NAT 后 WWW 服务器外网地址为 218.62.14.90，

222.168.81.138；Mail 服务器外网 IP 为 218.62.14.89，222.168.81.139），请结合路由器配置，

分析故障原因并给出解决方法。

·253·

（3）某职业中专校园网网络信息点分布在办公大楼（145 个信息点）、教学楼（64 个信息

点）、图书馆（90 个信息点）、教师公寓（70 个信息点），学生公寓（2 栋楼，各 584 个信息

点），食堂（5 个信息点）和体育馆（10 个信息点）。

① 请根据所描述的信息点设计网络方案，自行从优选择网络设备并画出网络拓扑图。

② 根据所设计的网络拓扑图，自行选择一个楼进行配置，包括接入交换机、汇聚交换机、

核心交换机，并且进行网络测试。

③ 根据所设计的网络拓扑图，选择相应的路由器和防火墙，并进行相应的配置。

④ 设计基于图书馆、体育馆及开放公用场合的无线方案，选择相应无线设备并进行相应

配置。

⑤ 根据网络状况，在交换机上镜像端口进行捕获与分析，写出分析结果。

反侵权盗版声明

电子工业出版社依法对本作品享有专有出版权。任何未经权利人书面许可，复制、销售

或通过信息网络传播本作品的行为；歪曲、篡改、剽窃本作品的行为，均违反《中华人民共

和国著作权法》，其行为人应承担相应的民事责任和行政责任，构成犯罪的，将被依法追究

刑事责任。

为了维护市场秩序，保护权利人的合法权益，我社将依法查处和打击侵权盗版的单位和

个人。欢迎社会各界人士积极举报侵权盗版行为，本社将奖励举报有功人员，并保证举报人

的信息不被泄露。

举报电话：（010）88254396；（010）88258888

传真：（010）88254397

E-mail： [email protected]

通信地址：北京市万寿路 173 信箱

电子工业出版社总编办公室

邮编：100036

《网络组建与互联》读者意见反馈表

尊敬的读者：

感谢您购买本书。为了能为您提供更优秀的教材，请您抽出宝贵的时间，将您的意见以

下表的方式（可从 http://www.huaxin.edu.cn 下载本调查表）及时告知我们，以改进我们的服

务。对采用您的意见进行修订的教材，我们将在该书的前言中进行说明并赠送您样书。

姓名：电话：

职业： E-mail：

邮编：通信地址：

1．您对本书的总体看法是：

□很满意 □比较满意 □尚可 □不太满意 □不满意

2．您对本书的结构（章节）： □满意 □不满意改进意见

3. 您对本书的例题： □满意 □不满意改进意见

4．您对本书的习题： □满意 □不满意改进意见

5．您对本书的实训： □满意 □不满意改进意见

6．您对本书其他的改进意见：

7．您感兴趣或希望增加的教材选题是：

请寄：100036 北京市万寿路 173信箱高等职业教育分社收

电话：010-88254565 E-mail：[email protected]

网络组建与互联 - 文曲经典数字图书馆

Documents

Transcript of 网络组建与互联 - 文曲经典数字图书馆