ip route-static 0.0.0.0 0.0.0.0 62.188.163.235 preference 60

ip route-static 192.168.0.0 255.255.0.0 171.15.2.254 preference 60

2．在核心交换机中设置过程如下：

（1）划分VLAN，命令参考如下：

interface Aux0/0

vlan 1

description VLAN 0001

vlan 10

description VLAN 0010

vlan 20

description VLAN 0020

vlan 30

description VLAN 0030

（2）设置各VLAN网关和子网掩码，命令参考如下：

interface Vlan-interface1

ip address 192.168.0.254 255.255.255.0

interface Vlan-interface10

ip address 192.168.1.254 255.255.255.0

interface Vlan-interface20

ip address 192.168.2.254 255.255.255.0

interface Vlan-interface30

ip address 192.168.3.254 255.255.255.0

（3）设置各干线接口允许的VLAN，命令参考如下：

interface GigabitEthernet3/1

switchport mode trunk

switchport trunk allowed vlan all

interface GigabitEthernet3/2

switchport mode trunk

switchport trunk allowed vlan all

interface GigabitEthernet3/3

switchport mode trunk

switchport trunk allowed vlan all

interface GigabitEthernet3/4

switchport mode trunk

switchport trunk allowed vlan all

（4）设置静态路由网关，命令参考如下：

ip route 0.0.0.0 0.0.0.0 192.168.0.253 preference 60

3．在汇聚层交换机中设置过程如下：

（1）划分VLAN，命令参考如下：

interface Aux0/0

vlan 1

vlan 10

vlan 20

vlan 20

（2）设置各以太网端口，并划分各自允许的VLAN，命令参考如下：

interface Vlan-interface1

ip address 192.168.0.250 255.255.255.0

interface Ethernet0/3

switchport access vlan 10

interface Ethernet0/14

switchport access vlan 20

interface GigabitEthernet1/1

switchport mode trunk

switchport trunk allowed vlan all

（3）设置主干入口光纤接口，允许所有VLAN通过，命令参考如下：

interface GigabitEthernet1/1

switchport mode trunk

switchport trunk allowed vlan all

这样，在汇聚层交换机上通过以太网端口VLAN设置，就将网络的物理网段人为地分开了，为以后的管理和维护打下了一个良好的开端。

（二）有效规划内网IP地址和用户计算机标识，是网络安全运行的条件

在规划内网IP地址和用户计算机标识，我们遵循对同一台电脑，其内外网的计算机名相同，网络登录用户名相同的原则，并在其计算机上加上描述内容，这样在网络上看到某一台计算机，我们很容易知道他是来自于哪一个位置。同时针对计算机用户习惯擅自更改本机IP的恶习，我们采用IP地址与网卡物理地址进行捆绑的方法防止内网IP出现混乱。在我校校园网网络设备中，防火墙和汇聚层交换机都可实现IP地址和网卡物理地址捆绑，也可以利用网络管理软件实现这一功能。