中小型校园网设计方案实例(共7篇)
中小型校园网设计方案实例 篇1
(中小型)校园网设计方案实例
目录.............系统总体设计方案概述...........................................................................1 1.1 系统组成与拓扑结构..................................................................................2 1.2 VLAN及 IP地址规划...................................................................................3 2 交换模块设计.......................................................................................4 2.1 访问层交换服务的实现-配置访问层交换机............................................5 2.1.1 配置访问层交换机 AccessSwitch1 的基本参数.....................................5 2.1.2 配置访问层交换机 AccessSwitch1 的管理 IP、默认网关......................7 2.1.3 配置访问层交换机 AccessSwitch1 的 VLAN及 VTP...............................8 2.1.4 配置访问层交换机 AccessSwitch1 端口基本参数.................................9 2.1.5 配置访问层交换机 AccessSwitch1 的访问端口.....................................9 2.1.6 配置访问层交换机 AccessSwitch1 的主干道端口...............................11 2.1.7 配置访问层交换机 AccessSwitch2......................................................11 2.1.8 访问层交换机的其它可选配置...........................................................12 2.2 分布层交换服务的实现-配置分布层交换机..........................................13 2.2.1 配置分布层交换机 DistributeSwitch1 的基本参数..............................14 2.2.2 配置分布层交换机 DistributeSwitch1 的管理 IP、默认网关................14 2.2.3 配置分布层交换机 DistributeSwitch1 的 VTP......................................15 2.2.4 在分布层交换机 DistributeSwitch1 上定义 VLAN...............................16 2.2.5 配置分布层交换机 DistributeSwitch1 的端口基本参数.......................17 2.2.6 配置分布层交换机 DistributeSwitch1 的 3 层交换功能.......................18 2.2.7 配置分布层交换机 DistributeSwitch2..................................................19 2.2.8 其它配置............................................................................................20 2.3 核心层交换服务的实现-配置核心层交换机..........................................20 2.3.1 配置核心层交换机 CoreSwitch1 的基本参数......................................21 2.3.2 配置核心层交换机 CoreSwitch1 的管理 IP、默认网关........................21 2.3.3 配置核心层交换机 CoreSwitch1 的的 VLAN及 VTP............................22
2.3.4 配置核心层交换机 CoreSwitch1 的端口参数......................................22 2.3.5 配置核心层交换机 CoreSwitch1 的路由功能......................................23 2.3.6 其它配置............................................................................................24 2.3.7 核心层交换机 CoreSwitch2 的配置.....................................................24 3 广域网接入模块设计..........................................................................24 3.1 配置接入路由器 InternetRouter的基本参数...............................................25 3.2 配置接入路由器 InternetRouter的各接口参数...........................................25 3.3 配置接入路由器 InternetRouter的路由功能...............................................26 3.4 配置接入路由器 InternetRouter上的 NAT..................................................26 3.5 配置接入路由器 InternetRouter上的 ACL..................................................28 3.6 其它配置...................................................................................................31 4 远程访问模块设计..............................................................................31 4.1 配置物理线路的基本参数........................................................................32 4.2 配置接口基本参数....................................................................................32 4.3 配置身份认证...........................................................................................33 5 服务器模块设计.................................................................................34 6 系统测试...........................................................................................36 6.1 系统测试...................................................................................................36 6.2 相关测试、诊断命令................................................................................36 6.2.1 通用测试、诊断命令..........................................................................36 6.2.2 CDP测试、诊断命令..........................................................................39 6.2.3 路由和路由协议测试、诊断命令.......................................................41 6.2.4 VLAN、VTP测试、诊断命令............................................................41 6.2.5 生成树测试、诊断命令......................................................................42 6.2.6 NAT测试、诊断命令..........................................................................43 6.2.7 ACL测试、诊断命令..........................................................................43 6.2.8
远程访问测试、诊断命令..................................................................44 总
结......................................................................................................44 附录 : 资源..............................................................................................45
(中小型)校园网设计方案实例
本文以实例的形式对校园网络的设计方案进行分析并给出校园网络关键设 备的配置步骤、配置命令以及诊断命令 和方法。通过本文,相信读者能够系统 地掌握中小型园区网的设计、实施以及维护方法及技巧。系统总体设计方案
概述
校园网络(COMPUS NETWORK,下文中也称为园区网络)是非常典型的 综合网络实例。
为了阐明主要问题,在本设计方案中对实际校园网的设计进行了适当的和 必要的简化。同时,将重点放在网络主 干的设计上,对于服务器的架设只作简 单介绍,具体内容参考有关参考书。如图 1-1 所示,是该校园网网络的总体拓扑结构图。
图 1-1 ××校园网网络的总体拓扑结
构
在上面的拓扑图中,学校的 个主要集中接入点(计算机系、管理系、建
筑系、财 务处、教 务处、学 生宿舍)通过冗余的光纤链路上连到信息中心的核 心层交换机上。核心层交换机通过 Cisco 3640 路由器接入因特网。此外,教 工 宿舍及移动办公用户通过拨号方式接入路由器
3640 来访问校园网内网及因特 网。
图中,以计算机系为例展示了每个建筑物内部的网络设备拓扑结构,并给 出了信息中心内部的网络设备拓扑结构。
在接下来的讨论中,我们将展 开并详细讨论每个模块的设计内容。
1.1
系统组成与拓扑结构
为了实现网络设备的统一,本设计方案中完全采用同一厂家的网络产品,即 Cisco 公司的网络设备构建。全网使用同一厂 商设备的主要好处在于可以 实 现各种不同网络设备功能的互相配合和补充。
本校园网设计方案主要由以下四大部分构成 :交换模块、广域网接入模块、远程访问模块、服务器模块。整个网络系统的拓扑结构图如图 1-2 所示。
图 1-2 校园网整体拓扑结
构图
1.2 VLAN 及 IP 地址规划
在一个大、中型网络里,VLAN 的划分是必不可少的步骤 之一。在本校园 网设计实例中,整个校园网中 VLAN 及 IP 编址方案如表 1 所示。
表 1 VLAN 及 IP 编址
方案
除了表 1 中的内容外,拨号用户从 192.168.200.0/27 中动态取得 IP 地址。
为了简化起见,除了管理
VLAN 外,这里只规划了 个
VLAN,同时为每个
VLAN 定义了一个由拼音缩写组成的 VLAN 名称。交换模块设
计
一个好的校园网设计应该是一个分层的 设计。一般分为三层设计模型。
为了简化交换网络设计、提高交换网络 的可扩展性,在园区网内部数据交换模 块的部署是分层进行的。
园区网数据交换设备可以划分为三个层 次:访问层、分布层、核心层。传统意义上的数据交换发生在 OSI 模型的第 2 层。现代交换技术还实现了第 3 层交换和多层交换。高层交换技术的引 入不但提高了园区网数据交换的效率,更大大增强了园区网数据交换服务质量,满足了不同类型网络应用程序的需 要。
现代交换网络还引入了虚拟局域网(Virtual LAN,VLAN)的 概 念。VLAN 将广播域限制在单个 VLAN 内部,减小了各 VLAN 间主机的广播通信对其他 VLAN 的影响。在 VLAN 间需要通信的时候,可以利用 VLAN 间路由技术来 实 现。
当网络管理人员需要管理的交 换机数量众多时,可以使用
VLAN 中继协议(Vlan Trunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义 所有 VLAN。然后通过 VTP 协议将 VLAN 定义传播到本管理域中的所有交换 机上。这样,大大减轻了网络 管理人员的工作负担和工作强度。
当园区网络的交换机数量增多、交换机间链路增加时,交换网络的复杂性 可能会造成交换环路问题,这需要通过在各交换机上运行生成树协 议(Spanning Tree Protocol,STP)来解决。
2.1 访问层交换服务的实现-配置访问层交换机
访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的是
Cisco Catalyst 2950 24 口交换机(WS-C2950-24)。该交换机拥有 个
10/100Mbps 自适应快速以太网端口,运行的是 Cisco 的 IOS 操作系统。这里,以图 2-1 中的访问层交换机 AccessSwitch1 为例进行介绍。如图 2-1 所示:
图 2-1 访问层交换机
AccessSwitch1
2.1.1 配 置 访 问 层 交 换 机 AccessSwitch1 的 基 本 参 数
1、设置交换机名称
设置交换机名称,也就是出现在交换机 CLI 提示符中的名字。一般以地理 位置或行政划分来为交换机命名。当需要 Telnet 登录到若干台交换机以维护一 个大型网络时,通过交换机名称提示符 提示自己当前配置交换机的位置是很 有 必要的。
如图 2-2 所示,为访问层交换机 AccessSwitch1 命名。
图 2-2 为访问层交换机 AccessSwitch1
命名
2、设置交换机的加密使能口令
当用户在普通用户模式而想要进入特权用户模式时,需要提供此口令。此 口令会以
MD5 的形式加密,因此,当用户查看配置文件时,无法看到明文形 式的口令。
如图 2-3 所示,将交换机的加密使能口令设置为 secretpasswd。
图 2-3 为交换机设置加密使能
口令
3、设置登录虚拟终端线时的口令
对于一个已经运行着的交换网络来说,交换机的带内远程管理为网络管理 人员提供了很多的方便。但是,出于安 全考虑,在能够远程管理交换机之前网 络管理人员必须设置远程登录交换机的口令。
如图
2-4 所示,设置登录交换机时需要验证用户身份,同时设置口令为 youguess。
图 2-4 为访问层交换机 AccessSwitch1
命名
4、设置终端线超时时间
为了安全考虑,可以设置终端线超时时间。在设置的时间内,如果没有检 测到键盘输入,IOS 将断开用户和交换机之间的连接。如图
2-5 所示,设置登录交换机的控制台终端线 路及虚拟终端线的超时时 间为 5 分 30 秒钟。
图 2-5 设置控制台终端线路和虚拟终端线路的超时
时间
5、设置禁用 IP 地址解析特性
在交换机默认配置的情况下,当输入一条错误的交换机命令时,交换机会 尝试将其广播给网络上的 DNS 服务器并将其解析成对应的 IP 地址。利用命令 no ip domain-lookup。可以禁用这个特性。如图 2-6 所示,设置禁用 IP 地址解 析特性。
图 2-6 设置禁用 IP 地址解
析特性
6、设置启用消息同步特性
有时,用户输入的交换机配置命令会被交换机产生的消息打乱。可以使用 命令 logging synchronous 设置交换机在下一行 CLI 提示符后复制用户的输入。如图 2-7 所示,设置启用消息同步特性。
图 2-7 设置启用消息同步
特性
2.1.2 配 置 访 问 层 交 换 机 AccessSwitch1 的 管 理 IP、默 认 网 关
访问层交换机是 OSI 参考模型的第 2 层设备,即数据链路层的设备。因此,给访问层交换机的每个端口设置 IP 地址是没意义的。但是,为了使网络管理人 员可以从远程登录到访问层交换机上进 行管理,必须给访问层交换机设置一 个 管理用 IP 地址。这种情况下,实际上是将交换机看成和 PC 机一样的主机。
给交换机设置管理用
IP 地址只能在VLAN1,即本征
VLAN 中进行。按照
表
2-1,管理
VLAN 所在的子网是: 192.168.0.0/24,这里将访问层交换机 AccessSwitch1 的管理 IP 地址设为: 192.168.0.5/24。如图 2-8 所示,显示了为 访问层交换机 AccessSwitch1 设置管理 IP 并激活本征 VLAN。
图 2-8 设置访问层交换机 AccessSwitch1 的管
理 IP 为了使网络管理人员可以在不同的子网管理此交换机,还应设置默认网关 地址 192.168.0.254。如图 2-9 所示。
图 2-9 设置访问层交换机 AccessSwitch1 的默认网关
地址
2.1.3
配 置 访 问 层 交 换 机 AccessSwitch1 的 VLAN 及 VTP
从提高效率的角度出发,在本 校园网实现实例中使用了 VTP 技术。同时,将分布层交换机 DistributeSwitch1 设置成为 VTP 服务器,其他交换机设置成为 VTP 客户机。
这里访问层交换机
AccessSwitch1
将通过
VTP
获得在分布层交换机
DistributeSwitch1 中定义的所有 VLAN 的信息。
如图 2-10 所示,设置访问层交换机 AccessSwitch1 成为 VTP 客户机。图 2-10
2.1.4
设置访问层交换机 AccessSwitch1 成为 VTP 客户机
配 置 访 问 层 交 换 机 AccessSwitch1 端 口 基 本参数
1、端口双工配置
可以设定某端口根据对端设备双工类型自动调整本端口双工模式,也可以 强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情况 下,建议手动设置端口双工模式。
如图 2-11 所示,设置访问层交换机 AccessSwitch1 的所有端口均工作在全 双工模式。
图 2-11 设置访问层交换机 AccessSwitch1 的端口工作
模式
2、端口速度
可以设定某端口根据对端设备速度自动调整本端口速度,也可以强制将端 口速度设为 10Mpbs 或 100Mbps。在了解对端设备速度的情况下,建议手动设 置端口速度。
如图
2-12 所示,设置访问层交换机
AccessSwitch1 的所有端口的速度均为 100Mbps。
图 2-12 设置访问层交换机 AccessSwitch1 的端口
速度
2.1.5 配 置 访 问 层 交 换 机 AccessSwitch1 的 访 问 端 口
访问层交换机 AccessSwitch1 为终端用户提供接入服务。在 图 2-1 中,访问 层交换机 AccessSwitch1 为 VLAN10、VLAN20 提供接入服务。
如图 2-13 所示,设置访问层交换机 AccessSwitch1 的端口 1~端口 10 工作
在访问(接入)模式。同时,设置端口 1~端口 10 为 VLAN 10 的成员。
图 2-13 设置访问层交换机 AccessSwitch1 的端口
1~10
2、设置访问层交换机 AccessSwitch1 的端口 11~ 20
如图 2-14 所示,设置访问层交换机 AccessSwitch1 的端口 11~端口 20 工作 在访问(接入)模式。同时,设置端口 1~端口 10 为 VLAN 20 的成员。
图 2-14 设置访问层交换机 AccessSwitch1 的端口
11~20
3、设置快速端口
默认情况下,交换机在刚加电启动时,每个端口都要经历生成树的四个阶 段: 阻塞、侦听、学习、转发。在能够转发用户的数据包之前,某个端口可能 最多要等 50 秒钟的时 间(20 秒的阻塞时间+ 15 秒的侦听延迟时间+ 15 秒的学习延迟时间)。
对于直接接入终端工作站的端口来说,用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间,可以设置 将某端口设置成为快速端口(Portfast)。设置为快速端口的端口当交换机启 动或端口有工作站接入时,将 会直接进入转发状态,而不会经历阻塞、侦听、学习状态(假设桥接表已经建
立)。
如图 2-15 所示,设置访问层交换机 AccessSwitch1 的端口 1~端口 20 为快 速端口。
图 2-15 设置快速
端口
2.1.6 配 置 访 问 层 交 换 机 AccessSwitch1 的 主 干 道端口
如图 2-1 所示,访问层交换机 AccessSwitch1 通过端口 FastEthernet 0/23 上 连到分布层交换机 DistributeSwitch1 的端口 FastEthernet 0/23。同时,访问层交 换机 AccessSwitch1 还通过端口 FastEthernet 0/24 上连到分布层交换机 DistributeSwitch2 的端口 FastEthernet 0/23。
这两条上连链路将成为主干道链路,在这两条上连链路上将运输多个 VLAN 的数据。
如图 2-16 所示,设置访问层交换机 AccessSwitch1 的端口 FastEthernet 0/
23、FastEthernet 0/24 为主干道端口。
图 2-16 设置主干道
端口
2.1.7 配 置 访 问 层 交 换 机 AccessSwitch2
访问层交换机 AccessSwitch2 为 VLAN 30 和 VLAN 40 的用户提供接入服务。同时,分 别通过自己的 FastEthernet 0/23、FastEthernet 0/24 上连到分布层交换 机 DistributeSwitch1、DistributeSwitch2 的端口 FastEthernet 0/24。
如图 2-17 所示,是访问层交换机 AccessSwitch2 的连接示意图。
图 2-17 访问层交换机 AccessSwitch2 的连接
示意图
对访问层交换机
AccessSwitch2 的配置步骤、命令和对访问层交换机
AccessSwitch1 的配置类似。这里,不再详 细分析,只给出最后的配置文件内容
(只留下了必要的命令)。
需要指出的是,为了提供主干道的吞吐量,可以采用链路捆绑(快速以太 网信道)技术增加可用带宽。例如,可以将访问层交换机
AccessSwitch1 的端 口 FastEthernet 0/21 和 FastEthernet 0/22 捆绑在一起实现 200Mbps 的快速以太 网信道,然后再上连到分布层交换机 DistributeSwitch1。同样,也可以将访问 层交换机 AccessSwitch1 的端口 FastEthernet 0/23 和 FastEthernet 0/24 捆绑在一 起 实 现
200Mbps 的 快 速 以 太 网 信 道,然 后 再 上 连 到 分 布 层 交 换 机 DistributeSwitch2。具体的配置步骤和命令将在核心 层交换机的配置一节中进行 介绍。
2.1.8 访 问 层 交 换 机 的 其 它 可 选 配 置
1、Uplinkfast
访问层交换机
AccessSwitch1 通过两条冗余上行链路分别接入分布层交换 机 DistributeSwitch1 和、DistributeSwitch2。在生成树的作用下,其 中一条上行 链路处于转发状态,而另一条上行链路 处于阻塞状态。当 处于转发状态的链路 因故障断开后,经过最多大约
秒钟的时间,处于阻塞状态的链路才能替 代 故障链路工作。
Uplinkfast 特性可以使得当主上行链路失败后,处于阻塞状态的上行链路
(备份上行链路)可以立即启用。
如图 2-18 所示,是在访问层交换机 AccessSwitch1 上启用
Uplinkfast 特性。同样的步骤也可以在访问层交换机 AccessSwitch2 上进行配置。
图 2-18 启用 Uplinkfast 特性
注意,Uplinkfast 特性只能在访问层交换机上启用。
2、Backbonefast
Backbonefast 的作用与 Uplinkfast 类似,也用于加快生成树的收敛。所不同 的是,Backbonefast 可以检测到间接链路(非直连 链路)故障并立即使得相应 阻塞端口的最大寿命计时器到时,从而缩短该端口可以开始转发数据包的时 间。
如图 2-19 所示,是在访问层交换机 AccessSwitch1 上启用 Backbonefast 特 性。同样的步骤需要在网络中 的所有交换机上进行配置。
图 2-19 启用 Backbonefast
特性
注意,Backbonefast 特性需要在网络中所有交换机上进行配置。
2.2 分布层交换服务的实现-配置分布层交换机
分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供
VLAN 间的路由选择功能。这里的分布层交换机采用的是 Cisco Catalyst 3550 交换机。作为 3 层交换机,Cisco Catalyst 3550 交换机拥有 24 个 10/100Mbps 自适应快速以太网端口,同
时还有 2 个 1000Mbps 的 GBIC 端口供上连使用,运行的是 Cisco 的 Integrated IOS 操作系统。这里,以图 2-1 中的分布层交换机 DistributeSwitch1 为例进行 介绍。如图 2-20 所示:
图 2-20 分布层交换机 DistributeSwitch1
2.2.1 配 置 分 布 层 交 换 机 DistributeSwitch1 的 基 本 参 数
对分布层交换机
DistributeSwitch1 的基本参数的配置步骤与对访问层交换 机
AccessSwitch1 的基本参数的配置类似。这里,只给出实际的配置步骤,不 再给出具体解释,如图 2-21 所示。
图 2-21 配置分布层交换机 DistributeSwitch1 的基本
参数
2.2.2 配 置 分 布 层 交 换 机 DistributeSwitch1 的 管 理 IP、默 认 网 关
如图 2-22 所示,显示了为分布层交换机 DistributeSwitch1 设置管理 IP 并激 活本征 VLAN。同时,还设置了默认网关的地址。
图 2-22 分布层交换机 DistributeSwitch1 的管理 IP、默
认网关
2.2.3 配 置 分 布 层 交 换 机 DistributeSwitch1 的 VTP
当网络中交换机数量很多时,需要分别在每台 交换机上创建很多重复的 VLAN。工 作量很大、过程很繁琐,并且容易出错。在实际工作中常采用 VLAN 中继协议(Vlan Trunking Protocol,VTP)来解决这个问题。
VTP 允许在一台交换机上创建所有的 VLAN。然后,利用交换机之间的互 相学习功能,将创建好的 VLAN 定义传播到整个网络中需要此 VLAN 定义的所 有交换机上。同时,有关 VLAN 的删除、参数更改操作均可传播到其他交换机。从而大大减轻了网络管理人员 配置交换机的负担。
在本校园网实现实例中使用了
VTP 技术。同时,将分布层交换 机 DistributeSwitch1 设置成为 VTP 服务器,其他交换机设置成为 VTP 客户机。
1、配置 VTP 管理域
共享相同 VLAN 定义数据库的交换机构成一个 VTP 管理域。每一个 VTP 管理域都有一个共同的 VTP 管理域域名。不同 VTP 管理域的交换机之间不交 换 VTP 通告信息。
如图 2-23
所示,将 VTP 管理域的域名定义为“ chinaitlab”。图 2-23 管理域的域名
设置 VTP
2、设置 VTP 服务器
工作在 VTP 服务器模式下的交换机可以创建、删除 VLAN、修 改 VLAN 参 数。同时,还有责任发送和转发 VLAN 更新消息。
如图 2-24 所示,设置分布层交换机 DistributeSwitch1 成为 VTP 服务器。
图 2-24 设置分布层交换机 DistributeSwitch1 成为 VTP
服务器
3、激活 VTP 剪裁功能
默认情况下主干道传输所有 VLAN 的用户数据。有时,交换网络中某台交 换机的所有端口都属于同一 VLAN 的成员,没有必要接收其他 VLAN 的用户数 据。这时,可 以激活主干道上的 VTP 剪裁功能。当激活了 VTP 剪裁功能以后,交换机将自动剪裁本交换机没有定义的 VLAN 数据。
在一个 VTP 域下,只需要在 VTP 服务器上激活 VTP 剪裁功能。同一 VTP 域下的所有其他交换机也将自动激活 VTP 剪裁功能。如图 2-25 所示,设置激活 VTP 剪裁功能。
图 2-25 激活 VTP 剪
裁功能
2.2.4 在 分 布 层 交 换 机 DistributeSwitch1 上 定 义 VLAN
在本校园网实现实例中,除了默认的本征
VLAN 外,又额外定义了 个
VLAN,如表 2-1 所示。
由于使用了 VTP 技术,所以,所有 VLAN 的定义都只需要在 VTP 服务器,即分布层交换机 DistributeSwitch1 上进行。
如图 2-26 所示,定义了 8 个 VLAN,同时为每个 VLAN 命名。
2.2.5 配 置 分 布 层 交 换 机 DistributeSwitch1 的 端 口 基 本 参 数
分布层交换机 DistributeSwitch1 的端口 FastEthernet 0/1~ FastEthernet 0/10 为服务器群提供接入服务,而端口 FastEthernet 0/
23、FastEthernet 0/24 分别下 连到访问层交换机 AccessSwitch1 的端口 FastEthernet 0/23 以及访问层交换机 AccessSwitch2 的端口 FastEthernet 0/23。
此 外,分 布 层 交 换 机 DistributeSwitch1 还 通 过 自 己 的 千 兆 端 口
GigabitEthernet 0/1 上连到核心交换机 CoreSwitch1 的 GigabitEthernet 3/1。为了实现冗余设计,分布层交换机 DistributeSwitch1 还通过自己的千兆端口 GigabitEthernet
0/2
连 接 另 一 台 到 分 布 层 交 换 机
DistributeSwitch2 的 GigabitEthernet 0/2。
如图 2-27 所示,给出了对所有访问端口、主干道 端口的配置步骤和命令。
图 2-26 定义
VLAN
图 2-27 设置分布层交换机 DistributeSwitch1 的各端
口参数
2.2.6 配 置 分 布 层 交 换 机 DistributeSwitch1 的 3 层 交 换 功 能
分布层交换机 DistributeSwitch1 需要为网络中的各个 VLAN 提供路由功能。这需要首先启用分布层交换机的路由功能。如图 2-28 所示。
图 2-28 启用路由
功能
接下来,需要为每个 VLAN 定义自己的默认网关地址,如图 2-29 所示。
图 2-29 定义各 VLAN 的默认网
关地址
此外,还 需要定义通往 Internet 的路由。这里使用了一条缺省路由命令,如 图
2-30 所示。其中,下一跳地址是
Internet 接入路由器的快速以太网接口 FastEthernet 0/0 的 IP 地址。
图 2-30 定义到 Internet 的缺
省路由
2.2.7 配 置 分 布 层 交 换 机 DistributeSwitch2
分布层交换机 DistributeSwitch2 的端口 FastEthernet 0/
23、FastEthernet 0/24 分别下连到访问层交换机 AccessSwitch1 的端口 FastEthernet 0/24 以及访问层交 换机 AccessSwitch2 的端口 FastEthernet 0/24。
此 外,分 布 层 交 换 机 DistributeSwitch2 还 通 过 自 己 的 千 兆 端 口
GigabitEthernet 0/1 上连到核心交换机 CoreSwitch1 的 GigabitEthernet 3/2。
为了实现冗余设计,分布层交换机
DistributeSwitch2 还通过自己的千兆端 口 GigabitEthernet 0/2 连接到分布层交换机 DistributeSwitch1 的 GigabitEthernet 0/2。如图 2-31 所示。
图 2-31 分布层交换机 DistributeSwitch2 对分布层交换机
DistributeSwitch2 的配置步骤、命令和对分布层交换机
DistributeSwitch1 的配置类似。这里,不再详细分析。
2.2.8 其 它配置
为了实现对无类别网络(Classless Network)以及全零子网(Subnet-zero)的支持,在充当 3 层交换机的分布层交换机 DistributeSwitch1 上,还需要进行 相应的配置,如图 2-32 所示。
图 2-32 定义对无类别网络以及全零子网的支持
2.3 核心层交换服务的实现-配置核心层交换机
核心层将各分布层交换机互连起来进行 穿越园区网骨干的高速数据交换。本实例中的核心层交换机采用的是
Cisco Catalyst 4006 交换机,采用了 Catalyst 4500 Supervisor II Plus(WS-X4013+)作为交换机引擎。运 行的是 Cisco 的 Integrated IOS 操作系统,其镜像文件是 CAT400.6-3-5.BIN。在作为核心层交换机的 Cisco Catalyst 4006 交换机中,安装了 WS-X4306-GB(Catalyst 4000 Gigabit Ethernet Module, 6-Ports(GBIC))模 块,该模块提供
了 个千兆光纤上连接口,可以用来接入
WS-G5484(1000BASE-SX
Short Wavelength GBIC(Multimode only))。这里,以图 2-1 中的核心层交换机
CoreSwitch1 为例进行介绍。如图 2-33 所示:
图 2-33 核心层交换机
CoreSwitch1
2.3.1 配 置 核 心 层 交 换 机 CoreSwitch1 的 基 本 参 数
对核心层交换机 CoreSwitch1 的基本参数的配置步骤与对访问层交换机 AccessSwitch1 的基本参数的配置类似。这里,只 给出实际的配置步骤,不再给 出具体解释,如图 2-34 所示。
图 2-34 配置核心层交换机 CoreSwitch1 的基
本参数
2.3.2 配 置 核 心 层 交 换 机 CoreSwitch1 的 管 理 IP、默 认 网 关
如图 2-35 所示,显 示了为核心层交换机 CoreSwitch1 设置管理 IP 并激活本
征 VLAN。同时,还设置了默认网关的地址。
图 2-35 核心层交换机 CoreSwitch1 的管理 IP、默认
网关
2.3.3 配 置 核 心 层 交 换 机 CoreSwitch1 的 的 VLAN 及 VTP
在本实例中,核心层交换机 CoreSwitch1 也将作为 VTP 客户机。这 里 核 心 层 交 换 机 CoreSwitch1 将 通 过
获 得 在 分 布 层 交 换 机
DistributeSwitch1 中定义的所有 VLAN 的信息。
如图 2-36 所示,设置核心层交换机 CoreSwitch1 成为 VTP 客户
VTP机。
图 2-36 设置核心层交换机 CoreSwitch1 成为 VTP
客户机
2.3.4 配 置 核 心 层 交 换 机 CoreSwitch1 的 端 口 参 数
核心层交换机 CoreSwitch1 通过自己的端口 FastEthernet 4/3 同广域网接入 模块(Internet 路由器)相连。同时,核心层交换机
CoreSwitch1 的端口 GigabitEthernet
3/1 ~ GigabitEthernet
3/2
分 别 下 连 到 分 布 层 交 换 机 DistributeSwitch1 和 DistributeSwitch2 的端口 GigabitEthernet 0/1。
如图 2-37 所示,给出了对上述端口的配置命令。
图 2-37 设置核心层交换机 CoreSwitch1 的各端
口参数
此外,为了提供主干道的吞吐量以及实现冗余设计,在本设计中,将核心 层交换机 CoreSwitch1 的千兆端口 GigabitEthernet 2/
1、GigabitEthernet 2/2 捆绑 在一起实现 2000Mbps 的千兆以太网信道,然后再连接到另一台核心层交换机 CoreSwitch2。
如图 2-38 所示,是设置核心层交换机 CoreSwitch1 的千兆以太网信道的步 骤。
图 2-38 设置核心层交换机 CoreSwitch1 的千兆以太
网信道
2.3.5 配 置 核 心 层 交 换 机 CoreSwitch1 的 路 由 功 能
核心层交换机
CoreSwitch1 通过端口
FastEthernet 4/3 同广域网接入模块
(Internet 路由器)相连。因此,需要启用核心层交换机的路由功能。同时,还 需要定义通往 Internet 的路由。这里使用了一条缺省路由命令,如 图 2-39 所示。其中,下一跳地址是 Internet 接入路由器的快速以太网接口 FastEthernet 0/0 的 IP 地址。
图 2-39 定义到 Internet 的缺省路由如图
所示。
2.3.6 其 它配置
为了实现对无类别网络(Classless Network)以及全零子网(Subnet-zero)的支持,在充当层交换机的核心层交换机
CoreSwitch1,也需要进行相应的 配置,如图 2-40 所示。
图 2-40 定义对无类别网络以及全零子网的支持
2.3.7 核 心 层 交 换 机 CoreSwitch2 的 配 置
对于图 2-1-中的核心层交换机 CoreSwitch2 的配置步骤、命令和对核心层交 换机 CoreSwitch1 的配置类似。这里,不再详细分 析。同时,对于配置核心层 交换机 CoreSwitch2 下连的一系列交换机,其连接 方法以及配置步骤和命令同 图 2-1-中核心层交换机 CoreSwitch1 下连的一系列交换机的连接方法以及配置 步骤和命令类似。这里也不再赘述。广域网接入模块
设计
在 本 实 例 设 计 中,广 域 网 接 入 模 块 的 功 能 是 由 广 域 网 接 入 路 由 器 InternetRouter 来完成的。采用的是 Cisco 的 3640 路由器。它通过自己的串行 接口 serial 0/0 使用 DDN(128K)技术接入 Internet。其作用主要是在 Internet 和校园网内网间路由数据包。除了完成 主要的路由任务外,利 用访问控制列表(Access Control List,ACL),广域网接入路由器 InternetRouter 还可以用来完 成以自身为中心的流量控制和 过滤功能并实现一定的安全功能,如
图 3-1 所示。
图 3-1 广域网接入路由器
InternetRouter
3.1 配置接入路由器 InternetRouter 的基本参数
对接入路由器 InternetRouter 的基本参数的配置步骤与对访问层交换机 AccessSwitch1 的基本参数的配置类似。这里,只 给出实际的配置步骤,不再给 出具体的解释,如图 3-2 所示。
图 3-2 配置接入路由器 InternetRouter 的基
本参数
3.2 配置接入路由器 InternetRouter 的各接口参数
对 接 入 路 由 器 InternetRouter 的 各 接 口 参 数 的 配 置 主 要 是 对 接 口
FastEthernet 0/0 以及接口 Serial 0/0 的 IP 地址、子网掩码的配置。如图 3-3 所示,显示了为接入路由器 InternetRouter 的各接口设置 IP 地址、子 网掩码。
图 3-3 设置接入路由器 InternetRouter 的各接
口参数
3.3 配置接入路由器 InternetRouter 的路由功能
在接入路由器 InternetRouter 上需要定义两个方向上的路由 :到校园网内部 的静态路由以及到 Internet 上的缺省路由。
到 Internet 上的路由需要定义一条缺省路由,如图 3-4 所示。其中,下一跳 指定从本路由器的接口 serial 0/0 送出。
图 3-4 定义到 Internet 的缺
省路由
到校园网内部的路由条目可以经过路由 汇总后形成两条路由条目。如图 3-5 所示。
图 3-5 定义到校园网内部的路由
3.4 配置接入路由器 InternetRouter 上的 NAT
由于目前 IP 地址资源非常稀缺,不可能给校园网 内部的所有工作站都分配 一个公有 IP(Internet 可路由的)地址。为了解决所有工作站访问 Internet 的需 要,必须使用 NAT(网络地址转换)技术。
为了接入 Internet,本校园网向当地 ISP 申请了 9 个 IP 地址。其中一个 IP 地址 :193.1.1.1 被分配给了 Internet 接入路由器的串行接口,另外 8 个 IP 地址:
202.206.222.1~ 202.206.222.8 用作 NAT。
NAT 的配置可以分为以下几个步骤:
1、定义 NAT 内部、外部接口
图 3-6 显示了如何定义 NAT 内部、外部接口。
图 3-6 定义 NAT 内部、外部
接口
2、定义允许进行 NAT 的工作站的内部局部 IP 地址范围
图 3-7 显示了如何定义允许进行 NAT 的内部局部 IP 地址范围。
图 3-7 定义工作站的内部局部 IP 地址
范围
3、为服务器定义静态地址转换
图 3-8 显示了如何为服务器定义静态地址转换。
图 3-8 为服务器定义静态地址
转换
4、为其他工作站定义复用地址转换
图 3-9 显示了如何为其他工作站定义复用地址转换。
图 3-9 为工作站定义复用地址转换
3.5 配置接入路由器 InternetRouter 上的 ACL
路由器是外网进入校园网内网的第一道关卡,是网络防御的前沿阵地。路 由器上的访问控制列表(Access Control List,ACL)是保护内网安全的有效手 段。一个设计良好的访问控制列表不仅 可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资 的情况下完成一般软、硬件防火墙产品 的功能。由于路由器介于企业内网和外 网之间,是外网与内网进行通信时的第 一道屏障,所以即使在网络系统安装了 防火墙产品后,仍 然有必要对路由器的 访问控制列表进行缜密的设计,来对企 业内网包括防火墙本身实施保护。
在本实例设计中,将针对服务器以及内网工作站的安全给出广域网接入路 由器 InternetRouter 上 ACL 的配置方案。
在网络环境中普遍存在着一些非常重要的、影响服务器群安全的隐患。在 绝大多数网络环境的实现中它们都是应该对外加 以屏蔽的。主要应该做以下 的 ACL 设计:
1、对外屏蔽简单网管协议,即 SNMP。
利用这个协议,远程主机可以监视、控制网络上的其它网络设备。它有两 种服务类型: SNMP 和 SNMPTRAP。
如图 3-10 所示,显示了如何设置对外屏蔽简单网管协议 SNMP。
图 3-10 对外屏蔽简单网管协议
SNMP
2、对外屏蔽远程登录协议 telnet
首先,telnet 可以登录到大多数网络设备和 UNIX 服务器,并可以使用相关 命令完全操纵它们。其次,telnet 是一种不安全的协议类型。用户在使用 telnet 登录网络设备或服务器时所使用的用户 名和口令在网络中是以明文传输的,很 容易被网络上的非法协议分析设备截获。这是极其危险的,因此必须加以屏蔽。如图 3-11 所示,显示了如何对外屏蔽远程登录协议 telnet。
图 3-11 对外屏蔽远程登录协议
telnet
3、对外屏蔽其它不安全的协议或服务
这样的协议主要有 SUN OS 的文件共享协议端口 2049,远程执行(rsh)、远程登录(rlogin)和远程命令(rcmd)端口512、513、514,远程过程调用
(SUNRPC)端口 111。可以将针对以上协议综合进行设计,如图 3-12 所示。
图 3-12 对外屏蔽其它不安全的协议或
服务
4、针对 DoS 攻击的设计
DoS 攻击(Denial of Service Attack,拒绝服务攻击)是一种非常常见而且 极具破坏力的攻击手段,它可以导致服 务器、网络设备的正常服务进程停止,严重时会导致服务器操作系统崩溃。图 3-13 显示了如何设计针对常见 DoS 攻 击的 ACL。
图 3-13 针对 DoS 攻击的设计
5、保护路由器自身安全
作为内网、外网间屏障的路由器,保护 自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器,必 须对路由器的访问位置加以限制。
应只允许来自服务器群的 IP
地址访问并配置路由器。这时,可以使用 ACCESS-CLASS 命令进行 VTY 访问控制。如图 3-14 所示。
图 3-14 保护路由器自身安全
3.6 其它配置
为了实现对无类别网络(Classless Network)以及全零子网(Subnet-zero)的支持,在接入路由器 InternetRouter 上还需要进行适当的配置,如图 3-15 所 示。
图 3-15 定义对无类别网络以及全零子网的支持 远程访问模块设
计
远程访问也是园区网络必须提供的服务之一。它可以为家庭办公用户和出 差在外的员工提供远程、移动接入服务。如图 4-1 所示。
图 4-1 远程访问
服务
远程访问有三种可选的服务类型:专线连接、电路交换和包交换。不同的 广域网连接类型提供的服务质量不同,花 费也不相同。在本设计中,由于面对 的用户群规模、业务量较小,所以 采用了异步拨号连接作为远程访问的技术手 段。
异步拨号连接属于电路交换类型的广域网连接,它是在传统公共交换电话
网(Public Switched Telephone Network,PSTN)上 提供服务的。传统 PSTN 提 供的服务也被称为简易老式电话业务(Plan Old Telephone System,POTS)。因为目前存在着大量安装好的电话线,所 以这样的环境是最容易满足的。因此,异步拨号连接也就成为最为方 便和普遍的远程访问类型。
广域网连接可以采用不同类型的封装协议,如 HDLC、PPP 等。其中,PPP 除了提供身份认证功能外,还可以提供 其他很多可选项配置,包括链路压缩、多链路捆绑、回叫等,因此更具优势。本设计所采用的异步连接封装协议是 PPP。
在本设计中采用了可以集成在广域网接入路由器 InternetRotuer 中的异步 Modem 模块 NM-16AM(16 Port Analog Modem Network Module)提供远程访 问服务。它可以同时对最多 16 路拨号用户提供远程接入服务。
以下介绍一下配置异步拨号模块 NM-16AM 的步骤。
4.1 配置物理线路的基本参数
对物理线路的配置包括配置线路速度(DTE、DCE 之间的速率)、停止位 位数、流控方式、允许呼入连接的协议 类型、允许流量的方向等。如图 4-2 所 示。
图 4-2 配置物理线路的基本参数
4.2 配置接口基本参数
对接口基本参数的配置包括 :接 口封装协议类型、接口异步模式、IP 地址、为远程客户分配 IP 地址的方式等,如图 4-3 所示。这里,设置远程客户从 IP
地址池 rasclients 中获得 IP 地址。
图 4-3 配置接口基本
参数
接下来,需要建立一个本地的 IP 地址池。如图
4-4 所示,建立了一个名为
rasclients 的 IP 地址池。其 IP 地址范围是: 192.168.200.1~ 192.168.200.16。
图 4-4 指定 IP 地
址池
4.3 配置身份认证
PPP 提供了两种可选的身份认证方法:口令验证协议
PAP(Password Authentication
Protocol,PAP)和 质 询 握 手 协 议(Challenge
Handshake Authentication Protocol,CHAP)。
PAP 是一个简单的、实用的身份验证协议。PAP 认证进程只在双方的通信 链路建立初期进行。如果认证成功,在 通信过程中不再进行认证。如果认证失 败,则直接释放链路。
CHAP 认证比 PAP 认证更安全,因为 CHAP 不在线路上发送明文密码,而 是发送经过摘要算法加工过的随机序列,也 被称 为 “ 挑战字符串”。同 时,身 份认证可以随时进行,包括在双方正常通信过程 中。因此,非法用户就算截获 并成功破解了一次密码,此密 码也将在一段时间内失效。
CHAP 对端系统要求很高,因为需要多次进行 身份质询、响应。这需要耗 费较多的 CPU 资源,因此只用在对安全要求很高的场合。
PAP 虽然有着用户名和密码是明文发送的弱 点,但是认证只在链路建立初
期进行,因此节省了宝贵的链路带宽。
本设计中将采用 PAP 身份认证方法。
1、建立本地口令数据库
如图 4-5 所示建立本地口令数据库。
图 4-5 建立本地口令数
据库
2、设置进行 PAP 认证
如图 4-6 所示设置进行 PAP 认证。
图 4-6 设置进行 PAP
认证 服务器模块
设计
服务器模块用来对校园网的接入用户提供各种服务。在本设计实例中,所 有的服务器被集中到
VLAN 100,构成服务器群并通过分布层交换机 DistributeSwitch1 的端口 fastethernet 1~ 20 接入校园网。如图 5-1 所示。
图 5-1 服务
器群
校园网网络提供的常用服务(服务器)包括:
z z z z z
z z z z WEB 服务器:提供 WEB 网站服务。
DNS、目录服务器:提供域名解析以及目录服务。FTP、文件服务器:提供文件传输、共享服务。邮件服务器:提供邮件收发服务。
数据库服务器:提供各种数据库服务。
打印服务器:提供打印机共享服务。实时通信服务器:提供实时通信服务。
流媒体服务器:提供各种流媒 体播放、点播服务。网管服务器:对校园网网络设备进行综合管理。
如图 5-2 所示。显示了各服务器 IP 地址配置情况。
图 5-2 各服务器 IP 地址
配置
表 2 给出了所有的服务器硬件平台、操 作系统以及服务软件的选型表。表 2 服务器硬件平台、操作系统以及服务软件的选型
表
限于篇幅,对于各种服务器的安装、配置步骤以及运行维护方法,这里不 再赘述。感兴趣的读者可以参看有关参考书。系统测
试
6.1 系统测试
前面几节对如何设计一个较为完整的校园网网络进行了详细的介绍。当校 园网初具规模后,还应该对校园网的整 体运行情况做一下细致的测试和评估。主要的测试内容应该包括:
z z z z z z z z 对管理 IP 地址的测试。
对相同 VLAN 内的通信进行测试。对不同 VLAN 内的通信进行测试。对冗余链路的工作状态进行测试。
对广域网接入路由器上的 NAT 进行测试。对广域网接入路由器上的 ACL 进行测试。对远程访问服务进行测试。
对各种服务器提供的服务进行测试。
至于具体的测试步骤,限于篇幅,不再赘述。这里,只给出相关测试、诊 断命令。
6.2 相关测试、诊断命令
本文的最后,按不同的功能按每种技术分类,给出路由器或交换机上常用 的相关测试、诊断命令。同时,还给出了每一命令的作用。
6.2.1 通 用 测 试、诊 断 命 令
1、ping x.x.x.x
标准 ping 命令。用于测试设备间的物理连通性。
2、ping
扩展 ping 命令。也 用于测试设备间的物理连通性。扩展 ping 命令还支持灵 活定义 ping 参数,如 ping 数据包的大小,发送包的个数,等待响应数据包的 超时时间等。
3、traceroute x.x.x.x
命令 traceroute 用于跟踪、显示路由信息。
4、show running-config
命令 show running-config 用于显示路由器、交换机运行配置文件的内容。
5、show startup-config
命令 show startup-config 用于显示路由器、交换机启 动配置文件的内容。
6、show sessions
命令 show sessions 用于显示从当前设备发出的所有呼出 Telnet 会话。
7、disconnect
命令 disconnect 用于断开与远程目标主机的 Telnet 会话。
8、show users
命令 show users 用于查看呼入 Telnet 会话情况。
命令 clear line 用于断开远程主机的呼入 Telnet 连接。
10、shutdown
命令 shutdown 用于临时将某个接口关闭。
11、no shutdown
命令 no shutdown 用于手动启动(激活)处于管理性关闭的接口。
12、show arp
命令 show arp 用于显示 ARP 缓存(ARP 表)的内容。
13、show ip arp
命令 show ip arp 用于显示 IP ARP 缓存(ARP 表)的内容。
14、show interfaces
命令 show interface 用于显示各接口的状态及参数信息。
15、show ip interface
命令 show ip interface 用于显示 IP 接口的状态及配置信息。
命令 show version 用于显示路由器硬件配置、软件版本等信息。
17、Ctrl+Shift+6+x
该命令也被称为“退出序列”,用于终止正在执行的某条命令或操作,也 用于从呼出 Telnet 会话中暂时切换到本地连接。
18、dir flash:
命令 dir flash:用于显示闪存中的文件清单。
19、dir nvram:
命令 dir nvram:用于显示非易失性内存中的文件清单。
20、show debugging
命令 show debugging 用于显示正在进行的诊断过程清单。
21、undebug all
命令 undebug all 用于停止所有诊断过程。
6.2.2 CDP 测 试、诊 断 命 令
1、show cdp
命令 show cdp 用于显示 CDP 全局参数信息。
命令 show cdp neighbors 用于显示 CDP 邻居设备的摘要信息。
3、show cdp neighbors detail
命令 show cdp neighbors detail 用于显示 CDP 邻居设备的详细信息,包括: 邻居设备名称、邻居设备接口 IP 地址、邻居设备软件版本信息、设 备性能、设 备平台、本地设备接口、邻居设备接口、CDP 缓存条目保持时间、CDP 广播版 本、接口双工方式等。
4、show cdp entry
命令 show cdp entry 用于显示指定邻居设备的相关信息。
5、show cdp interface
命令 show cdp interface 用于显示本地设备各个接口 的状态、接 口封装格式、CDP 包的周期发送时间以及 CDP 保持时间等。
6、show cdp traffic
命令 show cdp traffic 用于显示和 CDP 相关的流量统计信息,包括接收和发 送的 CDP 包数量、包括头部错误、校验错误、封 装错误等在内的错误数量等。
1、show ip route
命令 show ip route 用于显示当前路由表内容。
2、show ip protocols
命令 show ip protocols 用于显示动态路由协议的配置参数信息。
6.2.4 VLAN、VTP 测 试、诊 断命令
1、show interface vlan vlan-num
命令 show interface vlan vlan-num 用于显示 VLAN 是否已激活、交换机 MAC 基地址、接口参数等。
2、show mac-address-table
命令 show mac-address-table 用于显示 CAM,即 桥接表的内容。该命令可列 出学习到的主机 MAC 地址及其所属 VLAN、所处端口、条目类(型静态 STATIC、动态 DYNAMIC 等)以及满足列表条件的 MAC 地址数目。
3、show vlan
命令
show vlan 用于查看
VLAN 创建情况。该命令可以显示系统所有的
VLAN 信息,包括 VLAN 编号、VLAN 名称、VLAN 状态、VLAN 成员等信息。
命令 show vtp status 用于检查 VTP 配置情况。
6.2.5 生 成 树 测 试、诊 断 命 令
1、show spanning-tree
命令 show spanning-tree 用于显示生成树协议中交换 机及其端口的情况。
2、show spanning-tree blockedports
命令 show spanning-tree blockedports 用于显示处于阻塞状态的端口。
3、show spanning-tree detail
命令 show spanning-tree detail 用于显示生成树详细信息。
4、show spanning-tree interface
命令 show spanning-tree interface 用于显示生成树中某端口相关状态。
5、show spanning-tree vlan
当有多个 VLAN 时,Catalyst 交换机会为每个 VLAN 运行一个生成树实例。此命令用于显示指定 VLAN 的生成树内容。
6、show spanning-tree summary
命令 show spanning-tree summary 用于显示生成树总结,包括本交换机是哪
些 VLAN 的根网桥、端口快速特性是否启用、处于生成树各个端口状态的端 口 数量等信息。
6.2.6 NAT 测 试、诊 断 命 令
1、show ip nat translation
命令 show ip nat translation 用于显示当前正在进行的 NAT 情况。
2、show ip nat translation verbose
命令 show ip nat translation verbose 用于显示当前正在进行的 NAT 更为详细 的情况。
3、show ip nat statistics
命令 show ip nat statistics 用于显示 NAT 运行情况统计。
4、debug ip nat
命令 debug ip nat 用于打开对 NAT 的诊断。
6.2.7 ACL 测 试、诊 断 命 令
1、show access-lists
命令
show access-lists 用于显示所有已定义的访问控制列表内容及命中情 况。
2、show ip access-lists
命令 show ip access-lists 用于显示所有已定义的 IP 访问控制列表内容及命 中情况。
6.2.8 远 程 访 问 测 试、诊 断 命 令
1、show line
命令 show line 用于查看当前系统所有的线路及其状态。
2、show modemcap
命令 show modemcap 用于显示了当前路由器可以自动配置的 Modem 列表。
3、debug ppp negotiation
命令 debug ppp negotiation 用于打开对 PPP 协议参数协商的诊断。
4、debug ppp authentication
命令 debug ppp authentication 用于打开对 PPP 身份认证过程的诊断。
总 结
需要说明的是,一个完整的校园网网络 系统设计不仅包含上述设备或系统,还应该包括计费系统、防火墙系统、入 侵检测系统等组成部分。限于篇幅,在 此不做介绍,感兴趣的读者可 以参看有关的参考书。
中小型校园网设计方案实例 篇2
该企业的所有办公场所都在一建筑物内的同一楼层内, 现阶段大概有20-30台电脑左右。现阶段的设计接入Internet主要使用中国电信ADSL, 日后有需要时可使用光纤专线接入, 并构建VLAN (虚拟专用网) 。为方便移动办公, 本设计还需运用无线局域网接入技术。因此, 在设计上必须考虑可扩展性, 在办公设备方面需要使用高速的网络共享打印机。
2、网络结构的设计
局域网网的拓扑结构主要有总线形、星形、环形和网状拓扑结构, 比较各自的优缺点, 本设计方案选择星形拓扑结构的交换方式。主干网采用千兆位以太网技术, 而工作站至交换机则采用百兆位以太网技术 (千兆位以太网可向下兼容) , 实现百兆到桌面。
计算机网络结构化综合布线系统 (Structured Cabling System) 是美国贝尔实验室推出的基于星形拓扑结构的模块系统, 由于其易于扩展, 便于维护、可靠性强等特点而被广泛使用。
采用的线缆和布线材料如下:
(1) 网线采用安普的六类双绞线 (带屏蔽层) , 这主要是考虑到日后千兆位以太网的升级。带屏蔽层可有效地屏蔽杂讯, 从而提高数据传输的可靠性。安普在国内早已设有生产基地, 网线的品种可靠同时价格比较合理。但目前在市场上充斥的假货较多, 因此应选择信誉良好的商家供货。
(2) 连接件主要包括:水晶头、墙座信息模块、跳线和标签。水晶头和墙座信息模块同样采用安普的产品。水晶头和墙座信息模块必须也采用带屏蔽层的。分辨是否正品的安普产品的方法是:观察接触导线的金属铜片, 正品的金属铜片经过淬火处理, 因此呈现亚光效果。本设计中无论水晶头、墙座信息模块还是配线架均采用T586B的排列方式压接。
(3) 配线架采用六类屏蔽配线架。综合布线系统中, 配线架适用于设备间的水平布线或设备端接, 以及集中点的互配端接。使用配线架有利于日后的扩展和维护。本设计方案中采用奇胜24口六类屏蔽配线架 (型号:RJ5E110/24PPFTP) 。该六类屏蔽配线架有两大部分组成, 一个是配线架框架, 一个是屏蔽信息模块。该配线架框架具有屏蔽层自动接地, 后侧线缆管理的技术特点。和屏蔽信息模块组合容易, 屏蔽层连接牢靠, 搭配完美。信息模块采用全程屏蔽技术, 确保屏蔽性能的完整性。电气性能指标也完全符合ANSI/TIA/EIA 568A-5的要求。
(4) 跳线是用于配线架、交换机、路由器、服务器、工作站及墙座模块之间连接的。本设计选用市面上商品化的跳线, 由于采用专用设备加工, 质量有保障, 无需自己制作。
(5) 网络机柜用于安装交换机和配线架等网路设备。因为考虑到今后网路升级改造的需要, 可能要容纳较多的设备, 同时考虑到设备需要很好的散热。所以本设计选用金盾的机柜, 型号为ND6624, 尺寸:600mm X600mm X1245mm, 高度24U, 并带有散热风扇。
3、网络设备
(1) 网路交换机:本设计选用华为的产品, 型号:S2326TP-EI (AC) 。该交换机具有26个10/100/1000BASE-T端口。支持IEEE802.1Q (VLAN) , 整机支持4K个VLAN;支持基于端口的VLAN和基于MAC地址的VLAN。同时具有持Telnet远程配置;支持SNMP V1/V2/V3;支持RMON;支持集群管理的功能。产品的价格合理, 比较适合小型企业使用, 同时具有较好的扩展性 (带有两个模块化插槽) 。选用该型号的交换机主要是因为考虑到该交换机可在网络层面对工作站的网络行为进行管理 (如控制数据包转发等) , 便于日后需要建立VLAN并使用光纤专线接入。
(2) 网络路由器:本设计选用低端的入门级路由器 (带无线接入功能) 。这主要是由于现阶段未使用光纤专线接入, 主要以ADSL (4M带宽) 接入, 同时网络的规模较小, 连接Iternet的数据流量不大。本设计使用D-Link的产品 (型号:DIR-600M) 。该产品还支持无线网络标准:IEEE 802.11n, IEEE 802.11g, IEEE 802.11b。同时支持:防火墙, 网络地址转换 (NAT) , SPI, MAC过滤, 网页URL过滤。价格低廉, 适合现阶段的小型企业使用。
(3) 共享网络打印机:由于该企业日常的文件打印量较大, 而且需要复印的文件也较多。因此, 本设计选用激光复印、打印一体机。采用夏普的产品 (型号:AR-M258) , 该产品集打印机、复印机、扫描仪等功能于一体, 其首页复印时间只有4.8秒, 连续复印时最快达25页/分钟。在节约成本的同时, 有利于提高办公效率。为了使其成为共享的网络打印机, 需将其连接在其中一台工作站电脑上;之所以没有选用市面上的小型网络打印服务器而使用专门的工作站电脑, 是因为该一体机具有扫描的功能, 在日常工作中会经常用到。
4、网络地址规划及软件系统
在本设计中, 网络IP地址的分配使用静态IP地址与动态IP地址分配相结合。其中, 192.168.1.1—192.168.1.100为静态IP地址, 由网络管理员手工分配。路由器 (默认网关) 地址为1 9 2.1 6 8.1.1.;192.168.101—192.168.254为动态IP地址, 由路由器自带的DHCP (动态主机配置协议服务) 进行分配。
网络服务器的操作系统采用当前较为稳定成熟的操作系统Windows 2003 Server。工作站的操作系统采用Windows XP。工作站的防毒软件和网络防火墙选择使用360杀毒软件和木马防火墙。服务器使用诺顿的防毒软件 (单机版) 。工作站间的文件传输采用飞鸽传书软件, 该软件支持IP地址间的文件传输, 比较实用。
5、结语
本文从企业的实际应用出发, 介绍了一个小型企业办公自动化局域网的设计方案。其中的配置均使用了一些当前比较成熟的技术和设备, 对于其他的中小型企业的网络构建有一定的参考价值。
摘要:本文主要通过对一家小型企业的办公自动化局域网络中的网络拓扑结构、网络设备、办公自动化设备以及综合布线等方面进行设计, 以此达到提高企业信息化水平并有效提高办公效率的目的。
浅谈企业活动目录设计实例方案 篇3
关键词:活动目录企业网络部署域控制器
0引言
在Windows平台下,通过采用活动目录(Active Directory,简称AD)来架构整个网络来达到用户所需,比如人们通常使用活动目录来执行的管理用户帐户,管理用户权限,管理组,规划域控制器,创建和管理域间信任关系,审核策略,管理Exchange邮件用户,文件服务器等等。
本文基与活动目录如此强大的功能优势下主要分析企业活动目录设计方案,来更好的满足企业管理的需求。
1活动目录的概念
目录是存储有关网络上对象信息的层次结构。目录服务也即活动目录(Active Directory)简称AD,是用于Windows 20030Server的目录服务。它存储着网络上各种对象的有关信息,如用户帐户、组、打印机、共享文件夹等对像的数据库,并且提供目录数据库的存储、添加、删除、修改、查询等服务,并使该信息易于管理员和用户查找及使用。Active Djrectory目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。
通过登录验证以及目录中对象的访问控制,将安全性集成到Active Directory中。通过一次网络登录,管理员可管理整个网络中的且录数据和单位,而且获得授权的网络用户可访问网络上任何地方的资源。基于策略的管理减轻了即使是最复杂的网络的管理。
2活动目录的特点
2.1数据存储以层次化结构存储着与活动目录对象相关的信息,这些对象通常包括各种共享资源,如:打印机、用户、计算机、组织单位(OU)等。
2.2通过网络分发目录数据的数据复制域中所有的域控制器(DC)都参与复制并包含他们所控制的域的所有目录信息的完整副本。对目录数据所做的任何更改都被复制到域中的所有域控制器。
2.3定义了一套规则定义了包含在目录中的对象类和属性、这些对象实例的约束和限制及其名称的格式。
2.4包含目录中每个对象信息的全局编录允许用户和管理员查找目录信息,而与目录中实际包含数据的域无关。
2.5与网络安全登录过程的安全子系统的集成,以及对目录数据查询和数据修改的访问控制。
3活动目录的逻辑结构
“逻辑”两个字相信大家平时见的比较多,如我们常说的“逻辑思维、逻辑分析”等,也许大家一讲到“逻辑”两个字就觉得十分抽象,难以理解。其实我们在这里所讲的“逻辑结构”,我觉得还是很好理解的,“逻辑”一般与“物理”是对等的,我们知道“物理上的”是指实实在在的,那么“逻辑上的”不就是指非物理上的,非实体的东西,它是一种抽象的东西,比如讲一种“关系”、一个“空间、范围”等。网络对象呈现给用户和管理员的方法,活动目录有目录树、域、域树、域林等,这些名字都不是实实在在的一种实体,只是代表了一种关系,一种范围,如目录树就是由同一名字空间上的目录组成,而域又是由不同的目录树组成,同理域树是由不同的域组成,域林是由多个域树组成。它们是一种完全的树状、层次结构视图,这种关系我们可以看成是一种动态关系。
4活动目录的物理结构
活动目录中,物理结构与逻辑结构有很大的不同,它们是彼此独立的两个概念。逻辑结构侧重于网络资源的管理,而物理结构则侧重于网络的配置和优化。活动目录的物理结构主要着眼于活动目录信息的复制和用户登录网络时的性能优化。物理结构的两个重要概念是站点和域控制器,它们是针对LAN和WAN中服务器的工作方式而言的。
4.1站点站点是由一个或多个IP子网组成,这些子网通过高速网络设备连接在一起。站点往往由企业的物理位置分布情况决定,可以依据站点结构配置活动目录的访问和复制拓扑关系,这样能使得网络更有效地连接,并且可使复制策略更合理,用户登录更快速,活动目录中的站点与域是两个完全独立的概念,一个站点中可以有多个域,多个站点也可以位于同一域中。
4.2域控制器域控制器(DC,Domain ControIler)是实际存储活动目录的地方,用来管理用户登录进程,验证和目录搜索的任务。它是指运行Windows 2003 Server版本的服务器,它保存了活动目录信息的副本。域控制器管理目录信息的变化,并把这些变化复制到同一个域中的其他域控制器上,使各域控制器上的目录信息处于同步。
5中小型企业AD活动目录设计实例
公司简单介绍:
XX公司是北京一家网络项目集成企业。通过公司合理的运营和管理。发展迅速,员工人数已经有200人左右,且在苏州有家分公司。为了满足公司未来的发展和企业运营的需求,公司决定重新部署企业的网络。公司计划部署一个由约100台计算机组成的局域网。由于计算机较多,管理上缺乏层次。公司希望利用windows域环境管理所有的网络资源,提高办公效率。
本方案中逻辑结构采用单域,域名为××,COM,CN,与多域结构相比,实现网络资源集中管理,并保障管理上的简单性和低成本,在域内按照部门名称划分组织单位(OU),如财务部,技术部,销售部,研发部等等。
本方案中物理结构设计成单站点,原因有两点:①优化客户端的登录。当域用户在两个不同物理位置的客户端上登录时,DNS会替客户端找本站点内的DC,这样就加快了身份验证过程:②优化AD的复制。每个DC之间要同步AD数据库,如果不划分站点,这个同步无时无刻都在进行,而且数据是不压缩的。如果划分了站点这个过程变的可控,特别是在多站点的情况下,优越性更加突出。
为保证可靠性,需要安装2台域控制器,主DC在北京,而附加DC在上海,企业管理人员不可能在上海直接安装,因为这样复制流量会很大,WAN线路不可能轻松实现,那该如何?首先在北京的父域上做AD的备份(利用ntbackup来备份系统状态),把备份还原到上海一台服务器上(位置选择备用位置),再在这台服务器上搭建第二台DC。
校园小型活动策划方案 篇4
学院活动主题:植树造林,保护环境,让我们城市多一份绿意。
2、活动地点:
xx
3、活动时间安排:
3月12日上午10点左右
4、参加人员:
环保协会、xx学校全体职工、学生代表等
5、活动流程
1.首先由协会外联部与职工代表联系及讨论下此次活动主要内容和注意事项。
2.所有参加人员于3月12日上午9点在xx楼前集合(务必要带好证明、帽子)统一前行。
3.在植树地点将分成几组与当地居民一起挖坑、填土、扶树等一系列工作,并且将此次活动拍摄成照片。
中小学校园文化建设方案 篇5
以“三个代表”的重要思想为指导,按照教育方针和上级有关精神要求,着力体现“自信是成功的基石,是健康人格的显著特征,是推动人不断进取的动力系统和心理支撑”这一根本规律,在“扬起自信的风帆”教育理念引领下,构建并不断完善与时俱进的、具有浓厚育人氛围和鲜明办学特色的校园文化体系。
二、总体目标
校园文化体系建设要以培养优良校风、学风为目标,努力将“尊师、爱生、文明、守纪”的校风和“勤奋、踏实、认真”的学风铸就成校园精神,加强学校精神文化、形象文化、制度文化的建设工作,通过多彩的校园文化阵地和丰富的校园文化活动,营造有利于学生思想道德和文化素质提高的文明育人的`环境。
三、工作原则
1、坚持弘扬时代主旋律,有利于提高学生的思想道德和文化素质。
2、坚持抓特色、创品牌,突出不同区域、不同活动的特色和育人功能。
3、坚持整体氛围营造充分体现教师和学生的主体性。
四、内容规划设计
1、创设校园文化氛围
(1)营造健康优美的校园文化环境。
从净化、绿化、美化入手整治校容校貌,设计和规划校园环境建设:
思想道德:名人宣传栏(每月一名人)、评比栏、校园新闻、警示牌(节水、卫生、爱护花草)
文化素质:英语走廊、教学动态展示栏、英语伴你成长
科技教育:气象观测站、科学家挂像、班级图书角
艺术教育:学校整体建筑风格、学校大门、操场围墙图文、我有一双灵巧的手专栏
心理教育:知心小屋
安全教育:警示牌、宣传栏
(2)组织丰富多彩的校园文化生活。
坚持开展符合学生特点、引导学生全面成才、深受广大同学喜爱和支持的校园文化活动。
学校:学校每年要举办1—2次全校性的大型文化艺术教育活动,倡导学生参加,使广大学生的艺术素质得到普遍提高,引导校园文化向健康高雅的方向发展。如读书节、艺术节。
各部门:要积极开展各种健康有意的课外文化活动,占领学生的业余生活阵地。如:
教导处:古诗诵读赛、朗读比赛、演讲比赛
德建组:六一儿童节以及各种重大节日的庆祝活动。
体音美组:运动会、各单项赛
各班队:要利用班队会,经常组织学生开展各种小型的文化娱乐活动,活跃学生的课余文化生活,让全校学生自主参与,丰富第二课堂内容。
(3)建设良好的校风。
结合本校实际,通过制定校训、校服等形式,形成自己的特色,使全体教师、学生在认识自我、改变自我、超越自我校训的引导下,逐步确立校风,促进学生思想品德素质和文化素质的不断提高。
2、开展校园文化教育
(1)运用学生喜闻乐见的形式进行教育。
组织学生观看爱国主义教育片;利用各种纪念日,组织开展读书宣传活动;新队员宣誓。举办各种知识竞赛或演讲会等活动,使学生从中受到直观熏陶和潜移默化的教育。
(2)抓好学生日常行为规范教育。
中小型校园网设计方案实例 篇6
“法治进校园”活动实施方案
为推进我镇学校依法治教、依法治校工作,进一步加强青少年学生的法制教育,推进青少年学生法制教育工作的科学化、制度化、规范化建设,根据各级教育部门关于“法治进校园”的工作要求,结合我镇教育工作实际,制定如下实施方案:
一、指导思想
以习总书记系列讲话重要思想和十九大精神为指导,全面落实科学发展观,坚持品德教育与法制教育并重,全面实施我镇法制宣传教育工作,以“弘扬法治精神,普及法律知识,共建和谐社会”为主题,大力开展“法治进校园”活动,教育全镇师生自觉学法律、讲权利、履义务、明责任,进一步增强师生法律意识;全面提高我镇学校依法管理、依法治教,依法办学的水平。
二、领导小组
加强“法治进校园”的制度建设,做到计划务实、落实到位、效果明显,力创特色,成立巴河教育“法治进校园”领导小组。组 长: 副 组 长: 下设办公室:
组 员: 总支各成员 各中小学校长 各幼儿园园长
三、目标任务
“法治进校园”活动的主要目标任务是:
一、结合课堂教学大力开展社会主义法治理念教育;
二、开展以“学法律、讲权利、履义务、明责任”为主要内容的法制主题教育,引导广大师生依法维权,自觉履行义务;
三、把法治宣传教育与校园文化建设相结合,推进平安校园建设;
四、进一步完善法治教育网络,形成学校、家庭、社会“三结合”的有效宣传教育机制。
四、主要工作
1、强化学校法制教育的组织领导与培训工作。要不断完善学校法制教育的领导,提高法制宣传教育能力和水平。通过集中学习、辅导讲座、普法测试、以会代训等多种形式对教师法律知识的学习和培训,增强全体教师依法执教和依法治教的意识和能力,强化学校法制教育力量,全面推进学校法制教育建设。
2、进一步建立健全学校法制工作机制。充分发挥法制副校长、社区民警、各班主任及辅导员的作用,以司法部门的教育力量为依托,落实学校学生的法制宣传教育工作。定期组织举办学生法制专题讲座,指导学生开展集体学法心得交流活动。
3、采取课堂教育和集中宣传教育相结合的方式,推动学生学法的落实。一方面,要建立全面系统的学校法制教育课程体系,发挥课堂教育在青少年法制教育的基础性、主渠道作用,另一方面,要利用学校“国旗下的讲话”、“班队会课”、“安全日周月活动”、“法制教育宣传月”、“ 12.4全国法制宣传日”等特定时间,开展集中法制宣传教育活动,不断提高青少年学生学法的效果。
4、深入开展“小手牵大手,校园连家园”互助活动,通过“每周法制一题”、“每月讲一个法制故事”等方式,推动学生和家长互动式的法律学习,全面提高法律素质。
5、采取灵活多样的教育方式,促进学生的学法用法。要把法制教育与思想品德教育、纪律教育密切结合起来,把反面典型教育与正面教育、全面教育与个别教育,法治教育与日常行为规范达标、依法治校结合起来,使工作落到实处。
(1)每学期开学初,学校要聘请法制副校长或者社区民警到学校开展法治教育讲座。
(2)四月结合“4.15”国家安全日,开展国家安全宣传教育活动。
(3)三月至五月,组织宪法专题学习。组开展一次宪法专题学习活动,增强党员领导干部宪法意识。
(4)五至六月,结合“5.4”国际青年节、“6.5”世界环境日和“6.26”国际禁毒日,开展生态环境保护、远离毒品为主题的法治宣传主题活动。
(5)十月,结合国庆节组织开展一次教育系统大型法治宣传教育活动。
(6)仪式教育活动。学校要通过学生入学仪式、开学典礼、大型集会等各种仪式,精心组织设计,渗透法治教育。
(7)大力开展平安校园创建工作。紧紧围绕平安校园建设的总体目标,通过深入开展平安校园建设活动,全面强化“党政同责、一岗双责、齐抓共管”的校园安全责任体系,切实增强师生法制观念和安全意识,改善校园及周边治安环境,提升学校安全管理水平,完善安全长效机制,有效预防和减少涉校涉生案事件、重特大安全事故、刑事案件和群体性事件,营造秩序良好、校风文明、思想健康、师生安全、家长放心、社会满意的教书育人环境,确保校园和谐、平安。
6、上好法制教育课,在开设的安全教育课中做到有计划、有课时,教材以《中华人民共和国未成年人保护法》、《中华人民共和国预防未成年人犯罪法》等与学生相关的法律法规,从而提高学生法制观念,增强法律意识,树立正确的人生观。
7、举办以法治教育为主题的班会课,定期出法制专题板报。运用与青少年相关的案例,对学生进行形象生动、形式多样的法制宣传教育。
五、主要措施
1、提高思想认识。组织一次全校动员会,讨论完善“法治进校园”工作方案,部署工作分工和要求,明确工作职责,确保每项工作有人抓、有人管,同时还要相互协调配合,形成合力。
2、根据工作方案,精心组织实施。工作进度要严格按照工作计划进行,并且要把工作做细、做实,要注重资料的积累,定期总结、反思,加强工作的实效性。
中小型校园网设计方案实例 篇7
菲律宾阿格诺河流综合灌溉项目名称为AGNO RIVER INTEGRATED IRRIGATION PROJECT (ARIIP) , 业主为菲律宾国家灌溉局 (National Irrigation Administration) 。该项目旨在利用灌溉和排水设备对34 450hm2土地进行全年灌溉, 以此来促进农业产量。该工程分布在17个直辖市和位于邦嘎锡南省的两个市。积水面积1 250 000m2, 设计泄洪流量5 600m3/s, 调节池有效存储上限5 000 000m3。该项目主要由以下部分组成:
1) 溢流坝及冲砂闸:为混凝土重力坝, 设有2孔冲砂闸及300m溢流坝段, 总长368.75m。堰顶高程为98.0m, 高17.0m, 坝体混凝土32×104m3;正常满水位为98.0m, 设计泄洪流量为5 600m3/s。
2) 引水闸:右侧引水闸宽14.75m, 设计流量46.465m3/s;左侧引水闸宽11.5m, 设计流量39.634m3/s。
3) 调节池:蓄水面积1 250 000m3, 调节池有效存储上限5 000 000m3。
本文主要针对调节池水库左岸护坡防渗透灌浆工程设计施工方案进行阐述。
2 相关名词术语定义
压力灌浆:往灌浆孔注射灰浆。当使用“灌浆”时, 若无修改, 将理解为一种或几种规定形式的灌浆。
帷幕灌浆:减少渗漏的一种灌浆孔注射灰浆的方式。
巡回灌浆:泵送灰浆通过注射管延伸到喷管处的橡胶垫圈, 通过不稳定区域到达灌浆孔底部。然后沿灌浆孔返回并通过第二根注射管, 流向搅拌装置。
区域:帷幕灌浆的预定深度是从地表开始的垂直深度。
分段:灌浆孔一般是根据孔内实际地质条件决定的, 间隔区上部设置橡胶垫圈做隔离以便做水压试验或者灌浆。
上升式灌浆:当钻孔达到预定深度或者限于地质条件能达到的深度后, 试水然后从隔离区底部开始一直到钻孔顶部依次灌浆。
下降式灌浆:顶部先灌浆然后钻到具体位置。这种方法一般应用于失水或汇水区或者塌陷区。
分离灌浆法:钻孔及灌浆的操作分隔了主孔, 在灌浆结束后, 主孔之间的中间位置, 开始次孔的钻孔及灌浆工作, 这样可以有效地减小空间, 依照此法直至达到最大主次孔间距, 并且达到封闭标准要求。
封闭标准:此标准规定了一个区域内是否完成灌浆, 并且决定是否使用分离灌浆法再开一个灌浆孔或者继续灌浆。此标准取决于灰浆使用量及灌浆孔的深度。灌浆量可以描述为每米的水泥使用量, 灰浆灌入孔洞以避免该段达到最大安全压力。0~10m深度范围内使用20kg/m, 10~20m范围内为50kg/m, 20m以下为70kg/m。视察完现场实际情况并对现场灌浆做出评估后, 菲律宾灌溉局工程师, 监理顾问及其驻地代表可以修改此标准以便达到水利传导率的标准。
阻力:在任何一段完成灌浆所需的灰浆量, 可以表示为在工程师设置的水灰比最大注射强度下每分钟内1m范围内灰浆渗透1L的性能。数量上来说, 按照5min标定压力值来说, 1∶1或更稠的灰浆是不能接受的, 按照10min10m范围渗透10L的性能来说, 1∶1或更稀的灰浆可以接受。
水灰比:为水泥浆中的水灰比重。按重量为0.66, 按体积为1.5。
吕荣单位:1吕荣相当于在1MPa水压力作用下, 每米钻孔内每分钟耗水1L时的渗透性。当水压小于1MPa水压时, 那么将线性外推10个大气压。吕荣为是否灌浆以及灌什么浆的决定因素。
水压试验:每个阶段的灌浆孔灌浆之前都应进行15min的水压试验, 水压相当于灌浆压力。
水压试验延伸:水压试验在分为5个压力段, 25%, 50%, 100%, 25%及50%的外加压力值, 其将用于吕荣值的评估及计算。
钻孔检查:使用3套钻管, 目的是获取岩芯样本并且能够验证灌浆工作是否成功完成。延伸水压试验是为了测定灌浆的效率。
连接:在灌浆孔要求的位置顶部设置栓塞, 在灌浆孔顶部连接水泵和喷嘴, 灌浆前做15min水压试验。
二次钻孔:灌浆全部结束之前, 通过钻孔来移除灌浆孔中的灰浆。
工程师:指甲方项目经理或他的授权人。
项目经理:指承包商的项目经理或其授权人。
灌浆负责人:承包商项目经理委派的对整个钻孔及灌浆工程负责的工程师。
3 工程设备要求
工程设备要求主要包括三部分:钻孔设备、灌浆设备及水压试验设备。
3.1 钻孔设备
用来钻灌浆孔及非取芯核实孔, 有旋转及冲击钻两种。冲击钻使用时需单独提供环流水以及钻孔冲洗工具。旋转冲击钻须配备大口径的导杆或其他合适的设备以保证在钻孔超过10m但最大不超过50m的范围内钻孔不会倾斜。
钻头直径不应小于5.08cm (2in) 的商用标准AX或AW。甲方工程师将决定不会在所有灌浆孔中使用侧卸钻头, 它将腐蚀孔洞并将给栓塞的安装带来问题。
用来取芯的钻孔设备须是旋转型的, 并且使用3套管外加对开管口以便取得最大的岩芯收获率。
3.2 灌浆设备
灰浆搅拌机须是有高剪力, 高速的设备。最小容量为300~400L。搅拌机须装备能准确易读的重型水表, 并且在搅拌完一盘灰浆后能归零。
灰浆搅拌装置包括容量合适的滚筒, 防止灰浆外溢的挡板, 还有搅拌用的螺旋叶片。灰浆泵可以是NAS4或NAS6型的或者相似类型的。灰浆泵的输送能力在灌浆集管中最大为20kg/cm3。连接水装置可以用来清洗灰浆泵同时还可以往钻孔中注水。
灰浆管径不能超过3.81cm (1.5in) 。所有管件及配件的最小内径范围为25mm到2.54cm (1in) 。循环水管线将利于注射压强的控制。
栓塞有两种:一种是充气塞, 另外一种是带有橡胶膨胀圈的塞子。栓塞根据合适的直径跟长度用来封闭环形空隙, 也能用来防止刺破和磨损。单层跟双层栓塞可以方便压力试验以及隔离灌浆段或检查孔。
压力表须有高灵敏度, 高精确度, 同时应配备精准的数据储存器。用来校核压强表的计算设备也将时时用到。
3.3 水压试验设备
用以水压试验及水力传导性试验的水表须能够精确显示下降的水的方量, 以1L/min来计。
用以水压试验及水力传导性试验的压力表须能够精确标定最大数值, 低压试验不超过5kg/cm3, 高压试验不超过20kg/cm3。
用以水压试验及水力传导性试验的灌浆集管应配备阀门或者相似的溢流调节阀门以方便压力试验的调节。
用以水压试验及水力传导性试验的输送泵须输送稳定, 在试验压力范围内无震荡。
4 灌浆材料
使用硅酸盐水泥, 符合规范ASTMC150 (美规) , 硅酸盐水泥类型二要求。
可塑剂推荐使用。
用于钻孔, 清洗, 水压试验及灌浆的水须是清洁无油污, 盐, 泥, 有机物等杂物。
氯化钙的使用须符合规范ASTM第98条规定或类型二水泥的要求。在灌浆负责人选择下使用的氯化钙可以加速基础灰浆的凝结速度。
灌浆材料储存时应防潮防污染, 水泥结块后不得使用。
在所有灌浆孔中灰浆喷管须牢固安装。喷管为标准的黑铁管, 20号, 接近1m长或者甲方工程师指定, 直径上比所使用的钻头大6~12mm。喷管底部外张以免被轻易拔出。喷管安装须高于地面20cm。
芯盒须是1m长, 用胶合板加工而成的, 而且有带盖的链扣, 能够扣住。芯盒最多能够装5L的岩芯样品, 分布在5列中, 列长1m, 列与列之间用硬质隔断隔开, 两头开槽固定隔断, 每段岩芯样品贴标签做标记。岩芯缺失区须立木牌说明缺失位置深度等信息。一个盒子里只放一个孔的岩芯样品。
5 工程总体要求
1) 钻孔区, 灌浆区及设备区保持清洁卫生, 无污水, 无灰浆。现场经理须优先解决废物外溢及意外泄露问题。
2) 所有钻孔及灌浆工作须在甲方工程师代表及监理顾问密切监督之下进行。
6 钻孔及灌浆工艺流程
除非甲方工程师或监理顾问另有要求, 灌浆工作都是从低到高进行施工。帷幕灌浆须逐行进行施工, 从最外端的A和C行开始, 向B行靠拢施工。
钻孔和灌浆将间断进行。灌浆孔间距8m, 后续依次减小间距直到甲方工程师或咨询顾问作出决定不再减小间距, 其他情况下不得缩小间距。灌浆孔须垂直钻孔, 检查孔应倾斜钻孔, 或者甲方工程师或监理咨询顾问另外指示钻孔方式。
钻孔开始前须提前10h对灰浆进行设定, 钻孔间距为8m, 除非甲方工程师或者HTC的顾问凭借其对地下地质条件的判断作出小于8m间距的决定。两头的灌浆孔灰浆凝固之后才可以进行中间灌浆孔的施工。灌浆没有达到初凝之前不能增加钻孔深度。
帷幕灌浆所要进行的主次钻孔要达到30m的深度, 如果需要第三级钻孔时, 钻到主次钻孔位置的50%深, 一些有闭合要求的地方可以钻地深一些。
三级钻孔或新增钻孔的最小钻孔深度须加上相邻二级钻孔的分段深度, 或者其他对闭合有更好要求的钻孔的分段深度。
7 施工时技术要求
7.1 灌浆孔的钻孔
清洁水是所有钻孔工作中的惟一选用的循环液体, 可以高效清除钻屑保持钻孔清洁。
甲方工程师或监理顾问要求下降式灌浆时, 初凝结束后, 如果钻孔没有在终凝之前清理干净, 那么将二次钻孔。
循环水全部流失或发现地下溶洞时应立即停止钻孔工作。这些钻孔内有侵蚀物质或者坍陷物无法移除时, 此时可以使用下降式灌浆来稳固钻孔, 从上往下灌浆, 以便能控制地面渗透。如果没有环流水流失时, 钻孔须按照甲方工程师或监理顾问要求达到预定深度。
不允许使用钻杆或高分子材料作为环流液体。除了在螺纹上使用黄油, 钻竿上不得使用。水压实验前如果钻孔堵塞, 须用水冲开或者二次钻孔。倾角计可以用来测量灌浆孔的倾斜角度。
7.2 水压试验
为了能选择合适的灰浆形式并获得预灌试水试验数据, 主孔灌浆前须进行15min水压试验。每段的水压试验须在最大安全灌浆压力进行, 或者依照甲方工程师或监理顾问的指示。但无论如何不能超出最大灌浆压力值。水压试验数据以吕荣单位记录。
延伸水压试验 (见表1) 包括6个压力段, 在检查孔里或者甲方工程师及HTC顾问指示的地方进行。总的来说, 在洞口顶部所测最大压力值为外加压力的25%, 50%, 100%。
注:压力值是按0.34kg/cm2来计算的。
7.3 灰浆配比和搅拌
所有灰浆的拌和都应由甲方工程师或者监理顾问来选择, 根据灌浆及灰浆定量前的水压试验结果来迅速计算决定。水灰比也将由甲方工程师或监理顾问或其现场代表来确定。
所有灰浆都将在高速搅拌机最大转速情况下生产。根据生产建议或甲方工程师, 监理顾问或现场代表的指示, 可塑剂或其他外加剂可以在部分材料搅拌之后添加。为了避免浪费, 搅拌量不要太多, 除非甲方工程师, 监理顾问或现场代表另有指示。
7.4 注浆
总体来说, 帷幕灌浆须在下降式灌浆法中使用, 由机械或充气塞联合装备。下降式灌浆法只有在遇到硬质岩层或者甲方工程师, 监理顾问或现场代表另有指示的情况下使用。
注射压力应在上表所示范围内。
经甲方工程师指示, 由于特殊条件停止钻孔的位置处, 在钻孔钻满整个分段区之前要求实施灌浆, 在此区域上部加栓塞封闭并灌浆。如果灌浆是为了自流水处理, 那么灰浆可以在二次钻孔前充分凝固。灰浆将用来加固坍陷区, 而且在钻孔继续加深之前允许已灌入灰浆达到终凝。
如果发现灰浆从注射孔流出并且已经与邻近灌浆孔连接, 应立即使用栓塞, 安装压力计。同时将与正在灌浆的孔洞连接。
如果发现灌浆冒出地面, 应减少压力直至灰浆不再外溢。如果灰浆继续外溢, 应立即停止灌浆, 一小时后再次灌入。
任何一段的灌浆工作一旦开始, 必须完成, 除非灰浆质量降低达不到要求, 否则中途不得停止。
任何一段的灌浆工作开始后不得受到其他干扰, 除非停电或者设备损坏。在这种情况下应立即注水以保证灰浆渗透完之后孔洞能够继续灌浆。
7.5 检查孔钻孔, 水压试验及灌浆
检查孔的钻孔设备由3根芯管组成, 为了能获得最大的岩芯获取率。一段钻孔工作完成之后, 做25%, 50%, 100%外加压力的延伸水压试验, 每次5min。
延伸水压试验结束后, 马上做灌浆。灰浆凝结后, 下一段岩芯钻孔工作继续。依次重复, 直到完成预定深度。完成检查孔最后一段工作后, 马上用浓的灰浆回填钻孔。
7.6 工作范围及工期
灌浆原始区域为9m×50m的范围, 包括34个A型孔, 分3排, 每个孔深27.5m。此区域位于CDH9和CDH12钻孔之间。
【中小型校园网设计方案实例】推荐阅读:
中小型校园网规划与设计06-30
中小学校园网建设方案08-08
中小学送法进校园活动方案07-13
全县中小学校园欺凌专项治理实施方案05-16
厉山镇首届中小学校园“炎帝文化艺术节”方案(草案)09-11
中小校园网08-15
中小学校园绿化08-09
中小学校园网的规划06-03
中小型活动方案(模版)05-16
中小型企业互联方案09-22