1. 校园网实战环境搭建刚接手校园网改造项目时我和很多新手一样被各种设备型号和协议搞得头晕。但实际搭建起来你会发现只要掌握几个关键步骤整个网络架构就会像搭积木一样清晰。我们先从最基础的物理连接说起——想象你正在组装一个巨型乐高模型每块积木都必须严丝合缝。典型校园网需要准备的核心设备包括二层交换机建议选择48口千兆型号如H3C S5130、三层交换机推荐H3C S6850系列、企业级路由器比如华为AR2200。布线时有个细节容易忽略核心交换机与汇聚交换机之间建议采用光纤直连教学楼到宿舍区的远距离传输使用单模光纤而同一楼层的设备间用六类网线就够了。在实验室环境模拟时我习惯先用Cisco Packet Tracer绘制拓扑图。比如学生宿舍区划入VLAN 10对应网段192.168.1.0/24教师办公区用VLAN 20网段192.168.2.0/24。这里有个实用技巧给每个VLAN编号时尾数最好与IP地址第三段一致如VLAN 30对应192.168.3.x这样后期排查时能快速定位问题区域。2. 内网VLAN精细化配置2.1 二层交换机VLAN划分第一次配置VLAN时我把交换机的access端口和trunk端口搞混了结果整个网络通信瘫痪。后来才明白连接终端设备的端口必须设为access模式而交换机级联端口需要trunk模式。具体操作时先创建VLANSwitch enable Switch# vlan database Switch(vlan)# vlan 10 name Student_Dorm Switch(vlan)# vlan 20 name Classroom Switch(vlan)# exit接着配置端口模式以学生宿舍区的接入交换机为例Switch(config)# interface range fastEthernet 0/1-24 Switch(config-if-range)# switchport mode access Switch(config-if-range)# switchport access vlan 10 Switch(config-if-range)# exit关键点在于连接上层交换机的端口必须开启trunk。有次我忘记配置这个导致跨交换机VLAN通信失败Switch(config)# interface gigabitEthernet 1/1 Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk allowed vlan all2.2 三层交换机网关部署三层交换机就像网络中的交通枢纽我更喜欢把它比作机场的塔台。配置时首先要开启路由功能这个步骤新手经常遗漏Switch(config)# ip routing然后给每个VLAN接口配置网关地址。这里有个坑网关IP必须与VLAN内设备的默认网关一致。比如学生宿舍区的配置Switch(config)# interface vlan 10 Switch(config-if)# ip address 192.168.1.254 255.255.255.0 Switch(config-if)# no shutdown实测中发现如果子网掩码配错比如写成255.255.0.0会导致跨网段通信异常。建议配置完成后立即用ping命令测试ping 192.168.1.1 ping 192.168.2.13. 外网动态路由实战3.1 三层接口转换技巧连接路由器前需要把交换机的物理接口从二层模式转为三层模式。这个操作就像把普通车道改成公交专用道Switch(config)# interface gigabitEthernet 0/24 Switch(config-if)# no switchport Switch(config-if)# ip address 192.168.6.2 255.255.255.0有次项目验收时客户临时要求更改互联IP段。我总结出快速修改技巧先执行shutdown关闭接口修改IP后再no shutdown比直接改更稳妥。3.2 RIP协议深度配置静态路由适合小型网络但校园网这种复杂环境还是动态路由更智能。RIP协议虽然简单但有几个参数需要特别注意Switch(config)# router rip Switch(config-router)# version 2 Switch(config-router)# no auto-summary Switch(config-router)# network 192.168.1.0 Switch(config-router)# network 192.168.6.0在路由器上同样需要配置RIP。曾经遇到个典型故障两边都配了RIP但路由表不更新最后发现是防火墙拦截了UDP 520端口。建议配置完成后立即检查路由表show ip route4. 安全策略与服务器集成4.1 ACL访问控制实战限制学生宿舍访问外网时ACL规则顺序很重要。就像安检通道的检查流程规则是从上到下逐条匹配的Router(config)# access-list 100 deny ip 192.168.1.0 0.0.0.255 any Router(config)# access-list 100 permit ip any any Router(config)# interface gigabitEthernet 0/0 Router(config-if)# ip access-group 100 in有个易错点ACL默认隐含deny any规则所以最后一定要加permit any否则所有流量都会被阻断。4.2 服务器集群部署校园网通常需要部署DHCP、DNS和Web服务器。以Windows Server为例配置DHCP作用域时要注意排除静态IP地址段Add-DhcpServerv4Scope -Name Student -StartRange 192.168.1.100 -EndRange 192.168.1.200 -SubnetMask 255.255.255.0 Set-DhcpServerv4OptionValue -ScopeId 192.168.1.0 -DnsServer 192.168.5.1 -Router 192.168.1.254DNS服务器配置正向查找区域时建议同时创建反向查找区域能显著提高解析效率。Web服务器部署后别忘了在防火墙上放行80和443端口。