為了簡化交換網絡設計、提高交換網絡的可擴展性，在園區網內部數據交換的部署是分層進行的。

　園區網數據交換設備可以劃分為三個層次：訪問層、分布層、核心層。

　傳統意義上的數據交換發生在OSI模型的第2層。現代交換技術還實現了第3層交換和多層交換。高層交換技術的引入不但提高了園區網數據交換的效率，更大大增強了園區網數據交換服務質量，滿足了不同類型網絡應用程序的需要。

　現代交換網絡還引入了虛擬局域網（Virtual LAN，VLAN）的概念。VLAN將廣播域限制在單個VLAN內部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術來實現。

　當網絡治理人員需要治理的交換機數量眾多時，可以使用VLAN中繼協議（Vlan Trunking PRotocol，VTP）簡化治理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協議將VLAN定義傳播到本治理域中的所有交換機上。這樣，大大減輕了網絡治理人員的工作負擔和工作強度。

　當園區網絡的交換機數量增多、交換機間鏈路增加時，交換網絡的復雜性可能會造成交換環路問題，這需要通過在各交換機上運行生成樹協議（Spanning Tree Protocol，STP）來解決。

　一個好的校園網設計應該是一個分層的設計。一般分為三層設計模型。

　2.1　訪問層交換服務的實現－配置訪問層交換機

　訪問層為所有的終端用戶提供一個接入點。這里的訪問層交換機采用的是Cisco Catalyst 2950 24口交換機（WS-C2950-24）。交換機擁有24個10/100Mbps自適應快速以太網端口，運行的是Cisco的IOS操作系統。我們以圖1-1中的訪問層交換機accessSwitch1為例進行介紹。如圖2-1所示，

　

　圖2-1　訪問層交換機AccessSwitch1

　1．配置訪問層交換機AccessSwitch1的基本參數

　（1）設置交換機名稱

　設置交換機名稱，也就是出現在交換機CLI提示符中的名字。一般我們會以地理位置或行政劃分來為交換機命名。當我們需要Telnet登錄到若干臺交換機以維護一個大型網絡時，通過交換機名稱提示符提示自己當前配置交換機的位置是很有必要的。

　如圖2-2所示，為訪問層交換機AccessSwitch1命名。

　

　圖2-2　為訪問層交換機AccessSwitch1命名

　（2）設置交換機的加密使能口令

　當用戶在普通用戶模式而想要進入特權用戶模式時，需要提供此口令。此口令會以md5的形式加密，因此，當用戶查看配置文件時，無法看到明文形式的口令。

　如圖2-2所示，將交換機的加密使能口令設置為secretpasswd。

　

　圖2-3　為交換機設置加密使能口令

　（3）設置登錄虛擬終端線時的口令

　對于一個已經運行著的交換網絡來說，交換機的帶內遠程治理為網絡治理人員提供了很多的方便。但是，處于安全考慮，在能夠遠程治理交換機之前網絡治理人員必須設置遠程登錄交換機的口令。

　如圖2-2所示，設置登錄交換機時需要驗證用戶身份，同時設置口令為youguess。

　

　圖2-2　為訪問層交換機AccessSwitch1命名

　（4）設置終端線超時時間

　為了安全考慮，可以設置終端線超時時間。在設置的時間內，假如沒有檢測到鍵盤輸入，IOS將斷開用戶和交換機之間的連接。

　如圖2-2所示，設置登錄交換機的控制臺終端線路及虛擬終端線的超時時間為5分30秒鐘。

　

　圖2-2　設置控制臺終端線路和虛擬終端線路的超時時間

　（5）設置禁用ip地址解析特性

　在交換機默認配置的情況下，當我們輸入一條錯誤的交換機命令時，交換機會嘗試將其廣播給網絡上的DNS服務器并將其解析成對應的IP地址。利用命令no ip domain-lookup。可以禁用這個特性

　如圖2-2所示，設置禁用IP地址解析特性。

　

　圖2-3　設置禁用IP地址解析特性

　（6）設置啟用消息同步特性

　有時，用戶輸入的交換機配置命令會被交換機產生的消息打亂。可以使用命令logging synchronous設置交換機在下一行CLI提示符后復制用戶的輸入。

　如圖2-2所示，設置啟用消息同步特性。

　

　圖2-3　設置啟用消息同步特性

　2．配置訪問層交換機AccessSwitch1的治理IP、默認網關

　訪問層交換機是OSI參考模型的第2層設備，即數據鏈路層的設備。因此，給訪問層交換機的每個端口設置IP地址是沒意義的。但是，為了使網絡治理人員可以從遠程登錄到訪問層交換機上進行治理，必要給訪問層交換機設置一個治理用IP地址。這種情況下，實際上是將交換機看成和PC機一樣的主機。

　給交換機設置治理用IP地址只能在VLAN1，即本征VLAN中進行。按照表1-1，治理VLAN所在的子網是：192.168.0.0/24，這里將訪問層交換機AccessSwitch1的治理IP地址設為：192.168.0.5/24

　如圖2-3所示，顯示了為訪問層交換機AccessSwitch1設置治理IP并激活本征VLAN。

　

　圖2-2　設置訪問層交換機AccessSwitch1的治理IP

　為了使網絡治理人員可以在不同的子網治理此交換機，還應設置默認網關地址192.168.0.254。如圖所示。

　

　圖2-2　設置訪問層交換機AccessSwitch1的默認網關地址

　3．配置訪問層交換機AccessSwitch1的VLAN及VTP

　從提高效率的角度出發，在本校園網實現實例中使用了VTP技術。同時，將分布層交換機DistributeSwitch1設置成為VTP服務器，其他交換機設置成為VTP客戶機。

　這里訪問層交換機AccessSwitch1將通過VTP獲得在分布層交換機DistributeSwitch1中定義的所有VLAN的信息。

　如圖所示，設置訪問層交換機AccessSwitch1成為VTP客戶機。

　圖2-2　設置訪問層交換機AccessSwitch1成為VTP客戶機