校園局域網的規(guī)劃與設計

1、指導教師：年月日校園局域網的規(guī)劃與設計摘要隨著網絡技術的發(fā)展，校園網的建設已經進入到一個蓬勃發(fā)展的階段。校園網的建成和使用，對于提高教學和科研的質量、改善教學和科研條件、加快學校的信息化進程，開展多教學與研究以及使教學多出、科研多出成果有著十分重要而深遠的意義。各高校及其中小學都在籌備建設校園網，希望通過校園網的建設，改善辦學條件，提高教學、科研和管理水平。校園網的建設對于學校來說是一項大的工程，必須精心設計、精心施工，做到經濟適用，技術先進、開放性能良好、投資強度合理、能長期、穩(wěn)定運行的高性能的校園網絡。本文為一所培訓學校的校園網工程，范圍主要為包括辦公樓、室、住宿樓及實驗樓在內的局域網部分

2、。根據(jù)校園的整體的網絡架構，使這復雜的網絡高速、安全地通信，對復雜網絡應用的解決方案。本文是通過對校園的里面的路由器和交換機進行正確的配置,通過使用一些規(guī)則配置,使校園的網絡可以實現(xiàn)共享和相互通信. 利用 vlan 技術來優(yōu)化校園里的網絡，限制廣播域，增強局域網內的安全性，再用 vtp 來更好的輔助 vlan 性能的良好發(fā)揮，利用 nat 技術把校園里面的私用 IP 地址轉化成公網上的 IP，使得內部網絡可以正?；ヂ?lián)網，通過使用vlan,nat,vtp 等技術對路由器和交換機進行配置，使校園網絡各種計算機、服務器連接起來，并通過一定接口連接到廣域網,實現(xiàn)校園網絡、相互通信和共享。：校園網；規(guī)劃

3、；設計；vtp 技術abstractWith the development of network technology, the construction of campus network has entered a stage of vigorous development. Campus network construction and use, to improve the quality of teaching and scientific research, improve the informationization of teaching and scientific res

4、earch conditions, the development of school, carry out multimedia teaching and research and make teaching more talent, research is a very important and far-reaching significance results. Colleges and universities and primary and secondary schools are preparing for the construction of the campus netw

5、ork, hoping that through the construction of the campus network, improve school conditions, improve teaching, research and management level. The construction of the campus network is a big project for schools, must be meticulous in design and construction, to achieve economic applicable, advanced te

6、chnology, open good performance and reasonable investment intensity, long-term and stable operation of thehigh performance of the campus network. In this paper, a training school campusnetwork engineering, the scope of the main office buildings, libraries,modationand laboratory buildings, including

7、the local area network. According to the overallnetwork architecture of the campus, make this complex network high-speed, securecommunication, integrated solutions for complex network applications. This is the correct configuration through the campus inside routers and switches, by using some rules,

8、 make the campus network can realize the resource sharing and mutual communication. To optimize the campus network using VLAN technology, limited broadcast domain, enhance the security of the LAN, and good play VTP to assist VLAN with better performance the use of NAT technology to the campus inside

9、 the private IP address into a public network IP, the internal network can access the Internet, through the use of VLAN, NAT, VTP and other technology for the configuration of routers and switches, the campus network, a variety of computer servers connected, and connected to the network through a ce

10、rtain interface. The realization of campusnetwork, mutual communication and resource sharing.Key words: campus network; planning; design; VTP Technology1.引言11.2 研究背景11.2 課題研究研究目標12.計算機網絡32.1 計算機網絡32.2 局域網簡介32.2.1 局域網的組成32.2.2 局域網的拓撲結構42.2.3 局域網規(guī)范42.2.4 局域網的結構類型52.2.5 局域網中計算機數(shù)量的限制83.校園網總體規(guī)劃設計93.1 校園局

11、域網需求93.2 網絡總體架構規(guī)劃103.3 網絡設備選型123.4 路由器選擇153.5 校園網安全策略及安全防御措施16本章小結164. VLAN 劃分及參數(shù)配置174.1VLAN 劃分174.2VLAN 配置194.3交換機 Core-SW 配置204.3.1交換機配置 VTP Server204.3.2 配置中繼（Trunk）204.3.3 創(chuàng)建 vlan 及端口劃分214.3.4 配置 IP224.3.5SW1 開啟路由234.4Server-SW 配置244.4.1 配置 Server-SW 中繼（Trunk）244.4.2Server-SW 端口配置244.5 配置學生宿舍交換機

12、255.路由器配置265.1 基本 IP 設置265.2NAT 設置275.3 校園網邊界路由器配置275.4 通過 NAT 技術實現(xiàn)內網internet285.5 顯示路由表285.6 模擬 ISP 環(huán)境出口路由 R2 配置306 服務器配置316.1DHCP 服務器配置316.2WWW 服務器配置316.3DNS 服務器配置326.4FTP 服務器配置327.控制337.1控制表337.2 對服務器群的服務進行控制35小結368.驗證測試36總結與展望41辭謝42參考文獻431.引言1.2 研究背景近年來，隨著教學的不斷進步以及計算機網絡技術在學校中應用的日益普及，校園網絡化、教學智能化成

13、為各學校競相角逐的熱點，校園網已成為各學校必備的重要信息基礎設施，其規(guī)模和應用水平已成為衡量學校教學與科研綜合實力的一個重要標志。校園網的建設將為“數(shù)字化校園”提供高可靠性的網絡基礎設施和高性能的服務在一個平臺上，讓整個學校的教學、科研、管理和服務工作都實現(xiàn)信息化和網絡化，使教師、學生、科研和行政管理等都可以最方便地實現(xiàn)信息的交流、進行協(xié)同工作和共享，搞好校園網的建設，有利于增強學校辦學水平與競爭力。因此，建設高效實用的高級校園網，是大勢所趨。1.2 課題研究研究目標發(fā)展校園局域網應有長遠的規(guī)劃，爭取利用現(xiàn)有的網絡技術和通信技術，將校園局域網建設成經濟實用的現(xiàn)代化校園網，同時實現(xiàn)與其他兄弟院校

14、之間的相互和信息共享，逐漸實現(xiàn)教育科研信息共享，各種功能齊全的網絡管理系統(tǒng)。校園局域網項目實現(xiàn)后，將極大的提升學校在日常教學信息管理、辦公自動化、計算機輔助教學、教學制作的自動化、和情報檢索等重要服務上的效率。校園局域網規(guī)劃設計目標：1.實現(xiàn)校園內部共享學校和教師能通過及時、準確地教學活動中的信息，掌握當前教學情況。并通過對信息的統(tǒng)計、匯總及分析，為教學、科研管理提供服務，同時對學校各級管理層對學校的規(guī)劃、組織、決策提供了便捷的信息和科學的管理，及時有效的指定、修改教學計劃。2.完備的數(shù)據(jù)庫管理系統(tǒng)和庫能夠支持大量的圖文聲像素材、多課件片段，數(shù)據(jù)文件的收集、管理、的提取。數(shù)據(jù)算法需要檢索方便，

15、容錯性強。3.以教學庫為的教學自學環(huán)境為學校教師提供制作環(huán)境、備課工具、良好的教學演播環(huán)境以及教學評估機制。為學生提供學習、交互式協(xié)作學習、發(fā)現(xiàn)探究式學習的良好學習環(huán)境和提供自我評價機制。利用現(xiàn)代教育技術，提高學生的素質，課堂教學模式。4.現(xiàn)代化管理方法和管理加強對學校的人、財、物的管理，提高辦公效率、降低成本消耗，逐步實現(xiàn)辦公自動化、網絡化。5.實現(xiàn)校園網與互聯(lián)網的連接建立學校主頁、教師主頁、學生個人主頁、電子郵箱、電子公告牌等信息發(fā)布窗口，發(fā)布有關教育教學信息，建立起學校、教師、家長、學生之間的信息交流平臺，并逐步發(fā)展建設成為一個面向全省、的教育教學信息。2.計算機網絡2.1 計算機網絡計

16、算機網絡，簡單地說，就是通過電纜、線或無線通訊將兩臺以上的計算機互連起來的集合。它包括：計算機、網絡操作系統(tǒng)、傳輸介質（可以是有形的，也可以是無形的，如無線網絡的傳輸介質就是空氣）以及相應的應用軟件四部分。計算機網絡如按網絡的組建規(guī)模和地域范圍來劃分的話，可分為局域網(Local Area Network, LAN)、城域網(Metropolitan Area Network, MAN)、廣域網(Wide Area Network, WAN)。我們經常用到的因特網(Internet)屬于廣域屬局域網。未來的網絡技術將向著使用簡單、高速快捷、多網合一、安全園網的方向發(fā)展。2.2 局域網簡介局域網

17、，是指范圍在幾百米到十幾公里內辦公樓群或校園內的計算機相互連接所構成的，外部設備和數(shù)據(jù)庫等互相聯(lián)接起來組成的計算機通信網，簡稱 LAN。2.2.1 局域網的組成一個典型的局域網主要應包含如下四個部分：1.服務器（Server）：用來管理網絡并為用戶提供共享服務的計算機。與網絡中的工作站相比，服務器通常具有更快的速率、更大的容量和更高的可靠性。此外，為了便于對網絡進行管理，服務器中通常應安裝相應的網絡操作系統(tǒng)，如Novell Netware, Windows NT/2000 Server, UNIX 等。2.工作站（Workstation）：用戶使用的計算機，又稱用戶機或客戶機。從網絡構成的角度

18、看，任何一臺計算機（如 286、386、486、P、P4 等）都可作為工作站。當工作站登錄到網絡服務器后，可按規(guī)定權限存取服務器中的文件。此外，工作站通常還可以與網絡中的其他用戶進行通信或Internet。3.網絡通信系統(tǒng)（Network Communications System）：連接工作站和服務器的設備。這些設備通常應包括插在服務器或工作站中的網卡，它們應與通信介質相連；用于傳輸數(shù)據(jù)介質，如同軸電纜、雙絞線、光纖等；的通信設備，如集線器（HUB）、局域網交換機、路由器等。4.網絡操作系統(tǒng)（Network Operating System）：對于稍在一點的網絡來說，為了充分發(fā)揮網絡的功能，

19、以及更好地管理網絡，通常應在服務器中安裝網絡操作系統(tǒng)。例如，基于安全起見，企業(yè)的幾乎所有重要數(shù)據(jù)（如財務、銷售等）都被保存在服務器中，并非每個人都能這些數(shù)據(jù)。通常情況下，只有企業(yè)擁有最高權限，而其他人只能查看部分數(shù)據(jù)。此時就是借助網絡操作系統(tǒng)來對資源和用戶進行管理的，它規(guī)定了用戶的權限，以及用戶所能的。2.2.2 局域網的拓撲結構所謂局域網的拓撲結構，是指局域網中各計算機之間的連接形式。如果拋開構建局域網時所采用的通信介質、通信設備等，局域網中各計算機之間的學用連接形式實際上只有兩種，即總線型與星型。在總線型網絡中，由于各計算機共享一條通信電纜，網絡中某個節(jié)點出現(xiàn)故障，將導致整個網絡癱瘓。因此

20、，目前這類結構的網絡已趨于淘汰。星型網絡的優(yōu)點是，當網絡中某個節(jié)點出現(xiàn)故障時影響整個網絡的運行。其缺點是每個計算機都要占用一條的通信線路，并且需要額外的通信設備，將導致成本的增加。但是，由于目前各種硬件設備價格都已非常便宜，所以，現(xiàn)在絕大部分局域網都采用了這種結構。2.2.3 局域網規(guī)范事實上各種網絡結構都是有章可循的，這就是局域網規(guī)范（或稱為局域網標準）。從大的方面講，根據(jù)網絡的工作原理，目前的局域網大致可分為三類，即以太網、令牌環(huán)網和 ARPNET 網。其中，以太網是目前局域網中采用最多的通信協(xié)議標準，它采用 CSMA/CD (載波多路/檢測) 技術進行信息傳遞。該標準定義了在局域網中采用

21、的電纜類型和信息處理方法，在互聯(lián)設備之間可以10100Mbit/s 的速率傳送信息包，目前約 80的局域網都是以太網。由于技術的發(fā)展和用戶要求的多樣性，以太網又被細分成了一系列規(guī)范。例如，10 Base2 以太網規(guī)范定義了構建以細同軸電纜為通信介質，網絡通信速率為10 Mbit/s，網絡拓撲結構為總線型的局域網的技術指標；10 Base T 以太網規(guī)范定義了構建以雙絞線為通信介質，網絡通信速率為 10 Mbit/s ，網絡拓撲結構為星型的局域網指標。一般來說，每種局域網規(guī)范都規(guī)定了如下幾項指標：·網絡通信速率，例如，10 Mbit/s、100 Mbit/s 及 1000 Mbit/s

22、 等。·局域網的結構，例如，采用總線型或星型。·所使用的通信介質，例如，同軸電纜、雙絞線或光纖。其中，每種介質中又包含了多個子類，例如，雙絞線就包括了 3 類、4 類、5 類及超 5 類雙絞線等。· 所使用的網卡類型，其中包括數(shù)據(jù)傳輸速率與接口類型。例如，要構建 10 Base T 星型以太網，網卡的數(shù)據(jù)傳輸速率必須為 10 Mbit/s，且必須帶有 RJ-45 接口。· 網絡中所能支持的最大用戶數(shù)量。例如，構建廉價的細同軸電纜總線型網絡時，每個網段中的用戶數(shù)不能超過 30。· 距離要求。由于隨著距離的增加，信號會逐漸衰減，因此，各種局域網規(guī)范

23、都對各種距離（如通信設備與計算機之間，各種通信設備之間等）有明確的要求。例如，在構建以集線器為距離通常不超過 100m。的雙絞線星型網絡時，集線器與計算機之間的2.2.4 局域網的結構類型局域網的結構決定了局域網的管理方式，當我們創(chuàng)建一個局域網時，通常應遵循如下步驟來進行： 明確自己的需求，即希望局域網具備哪些功能。 在綜合考慮局域網功能、現(xiàn)有軟硬件的特點與價格、網絡的可管理性與可擴充性等因素的基礎上決定局域網的結構。 根據(jù)選定的局域網結構決定局域網的拓撲結構，以及應選擇的相關設備和軟件。 對局域網進行配置和維護。由此可以看出，決定局域網的結構是構建局域網時非常重要的一環(huán)。就目前來說，局域網的

24、結構主要包括工作站/文件服務器結構、客戶機/服務器結構、對等網結構及主機/終端系統(tǒng)等 4 種。1.工作站/文件服務器網絡在這類網絡中，某臺運行特定網絡操作系統(tǒng)的計算機被作為文件服務器，而網絡中的其他計算機在登錄該計算機之后，可以存取該計算機的文件。但是，文件服務器計算機并不進行任何網絡應用處理，因此，服務器的功能非常單一。這類網絡的主要優(yōu)點包括如下兩點：·數(shù)據(jù)的性和安全性較好，網絡管理員可以按需要授予不同者不同的文件權限。·網絡的可靠性較高，管理比較簡單。但是，這類網絡的缺點是非常明顯的，它也主要包括如下兩點：·網絡效率較低。當網絡中的大量用戶都需要絡效率會急劇下

25、降。文件服務器中的數(shù)據(jù)時，網·網絡中各工作站之間不能進行共享。·不能充分發(fā)揮文件服務器的運算能力。目前，這類網絡已逐漸讓位于客戶機/服務器網絡。2. 客戶機/服務器網絡隨著網絡技術的發(fā)展和人們不斷提出新的要求，網絡應用中的重點早已不再局限于簡單的共享。人們迫切要求服務器端能夠完成一部分數(shù)據(jù)處理工作，即將任務同時分配給服務器和客戶端共同完成。為此，人們開發(fā)出了目前最為流行的客戶機/服務器網絡?？蛻魴C/服務器網絡系統(tǒng)的主要特點如下：·目前流行的操作系統(tǒng)基本都支持這種結構，如 Windows NT 4.0 Server、Windows 2000/2003 Server、

26、Netware3.1 以上版本等。·支持多種客戶機，例如，客戶機可以是一臺 PC 或一臺工作站，且客戶機可以運行多種操作系統(tǒng)，如 DOS、Windows 3.x/95/98 等。·不僅客戶機與服務器能進行雙向通信，各客戶機之間也能直接進行通信，而無需服務器的參與。·由于很多應用任務都由服務器和客戶機共同承擔，因此，系統(tǒng)響應速度快，且對客戶機的要求可以很低。例如，客戶機可以是無盤工作站。·系統(tǒng)的可擴充性較好。當系統(tǒng)規(guī)模擴大時，不必重新設計系統(tǒng)，只需簡單地將服務器和客戶機連入網絡即可。對等網絡在對等網絡中，沒有互之間可以進行通信和的服務器，每個工作站既是服務

27、器也是工作站，相共享。目前支持對等網絡的操作系統(tǒng)主要有 Microsoft公司的 LAN Manager、Windows 95/98 及 Novell 公司的 NetWare Lite 等。對等網絡的主要優(yōu)點是網絡安裝和維護非常簡單，無需點是網絡的安全性較差，且功能較弱。的服務器；其缺主機/終端網絡在主機/終端網絡系統(tǒng)中，用戶通過與主機相連的終端在主機操作系統(tǒng)的管理下共享主機的內存、外存、處理器和各種輸入/輸出設備。經過幾十年的發(fā)展，主機/終端系統(tǒng)已經非常成熟，在可靠性、系統(tǒng)容錯、系統(tǒng)安全、開發(fā)、數(shù)據(jù)庫管理等方面都形成了自己的一套十分完整的體系。因此，這類系統(tǒng)被廣泛應用于、軍事等大型企業(yè)中。這

28、類系統(tǒng)的主要缺點如下：·由于這類系統(tǒng)主要面向大型企業(yè)、事業(yè)通常很高。，生產數(shù)量較少，因而系統(tǒng)價格·由于終端功能比較弱（完全依賴于主機），將導致主機負荷比較重。局域網結構與局域網拓撲結構之間的關系應該說，局域網結構與局域網所采用的拓撲結構之間沒有直接的關系。例如， 對于一個小型的星型網絡來說，如果網絡中所有計算機都運行 Windows 98 操作系統(tǒng)，那它就是一個對等望路。否則，如果某臺計算機運行了 Windows NT/2000Server 網絡操作系統(tǒng)，那它就是一個客戶/服務器網絡。但是，局域網的結構對局域網拓撲結構的選擇還是有影響的。例如，如果希望構建一個客戶/服務器網

29、絡，且服務器的使用的頻率很高，那么，如果選用總線型拓撲結構就不太合適了。其原因主要是由于此時服務器和工作站共享相同的通信通道，并擁有相同的帶寬，因而無法實現(xiàn)對服務器的“”。因此，此時最好構建一個星型拓撲結構的交換網絡，且使服務器與交換機之間的通信速率高于工作站與交換機之間的連接速率。2.2.5 局域網中計算機數(shù)量的限制如前所述，局域網中所能連接的計算機數(shù)量首先取決于所采用的網絡規(guī)范。例如，如果所構建是 10 Base T 雙絞線星型以太網，則按照 10 Base T 規(guī)范，網絡中總的計算機數(shù)量不得超過 1023 臺。但是，在實際工作中，基于網絡效率的考慮，網絡中實際所能連接的計算機數(shù)量，要遠遠

30、小于網絡規(guī)范所規(guī)定的計算機的最大數(shù)量。例如，如果構建的是 10 Base T 雙絞線星型以太網，網絡中的計算機數(shù)量通常不能超過 30 臺。那么，如果網絡中的計算機數(shù)量較多，該如何解決這個問題呢？就目前來說，主要有以下幾個方法：·將網絡劃分為幾個網段，進行分段管理，從而平衡網絡負荷，已擴充網絡所能承載的用戶。·選用速率更高的通信設備。例如，一個 10 Base T 網絡（采用 100Mbit/s 集線器和 5 類雙絞線，計算機中加裝 100Mbit/s 網卡）當然要比一個 10Base T 網絡（采用 10Mbit/s 集線器和 3 類雙絞線，計算機中加裝 10Mbit/s

31、網卡）快。因此，這也意味著網絡中能夠容納的計算機。· 將共享式網絡改造成交換式網絡。在局域網中，以集線器構成的網絡稱為共享網絡，此時局域網中的所有計算機共享一個帶寬，并且在同一時間只能有一對計算機進行通信。對于交換式網絡來說，它以交換機為通信設備。此時各計算機都可享有單獨的帶寬，并且可以同時建立多個通信鏈路。因此，這也意味著網絡中能夠容納的計算機。3.校園網總體規(guī)劃設計網絡的總體設計是建設校園網的工程藍圖，是搭建一個安全有效校園網一個最重要的任務。進行總體設計首先需要對象研究和需求，對學校的信息化要求有個明確的描述。其次在需求分析的基礎上進行網絡總體架構的規(guī)劃，確定學校 Intern

32、et 服務類型，進而確定建設的具體目標，在這基礎上來設計網絡的拓撲結構，規(guī)劃設計原則。3.1 校園局域網需求本文校園網工程假設范圍主要有教學樓、域網部分。管、學生宿舍樓及實驗樓在內四個局校園局域網的主要需求是高速、安全、便捷地傳送信息，且能夠安全穩(wěn)定的運行，在某些時刻承受高強度的，至少能滿足以上的網絡應用需求。初期設計對響應時間不做特殊要求，但為了數(shù)據(jù)和備份數(shù)據(jù)，中心必須建立磁盤陣列。最大限度地考慮采用符合發(fā)展趨勢的新技術，網絡設備必須采用成熟先進的技術，所采用的標準要求統(tǒng)一，支持目前業(yè)界最新的網絡協(xié)議，網絡的標準必須符合國際/標準，并且擁有廣泛的支持廠商；網絡設備要求具有高可靠性、高穩(wěn)定性和

33、高可用性；網絡設備要求提供足夠的寬帶，以適應校園網上信息結構多樣化，要求支持虛擬網和第三層交換，形成分布式三層交換網；網絡設備要求具有擴展性和可升級性，能夠適應用戶數(shù)量的擴展，能夠保證未來網絡升級時的平穩(wěn)銜接，保證網絡通信介質、網絡基本設計的向后兼容性；要求網絡易于管理，支持網絡的拓撲視圖、網段與端口的；網絡流量及錯誤統(tǒng)計，具備計費管理、故障、診斷、修復和自動等功能；要求網絡具有高的安全性。在要求網絡具有開放性的同時，要求保證其安全性。3.2 網絡總體架構規(guī)劃1.網絡技術選擇目前常見的局域網類型包括：光纖分布式數(shù)據(jù)接口(FDDI)、異步傳輸模式(ATM)、千兆以太網等，它們在拓撲結構、傳輸介質

34、、傳輸速率、數(shù)據(jù)格式等多方面都有許多不同。三種技術比較如下表 1-1 所示。表 1-1 網絡技術對比表從表中明顯看兆以太網技術優(yōu)勢明顯，它支持 10M、100M 乃至 1000M 的各種通信速率，并有向更高帶寬(10G 及以上)發(fā)展的趨勢。如今正在發(fā)展的 IP 交換技術也是基于以太網的，結合第三層交換機的路由功能，構造幾個乃至幾十、幾百個 G 帶寬的網絡。另外，由于主要業(yè)務系統(tǒng)是建立在 IP 平臺上的，以太網技術是IP 網絡最好的通信技術之一。采用 IEEE802.1q 標準以太網可以實現(xiàn) VLAN，而VLAN 在很大程度上是保證網絡高效和安全的重要。2.校園網絡拓撲網絡結構采用星形網絡拓撲結

35、構，以網絡中心的交換機為中心節(jié)點。整個網絡結構采用兩層結構：匯聚層交換機用于匯接技術接入交換機，接入層交換機用于接到桌面的計算機，對信息點較多的部門可采用級聯(lián)下一級普通交換機進行。校園網絡工程涉及的主要建筑包括教學樓、宿舍樓、館、實驗樓等。校園網總拓撲設計如圖 1-1 所示。項目FDDIATM千兆以太網傳輸速率100M155M/622M101000M方式Token Protocol信元交換帶優(yōu)先級的 CSMA/CD介質類型雙絞線、光纖雙絞線、光纖雙絞線、光纖價格高中中拓撲結構雙環(huán)結構星型結構星型結構圖 1-1 校園網總拓撲圖中心機房設置一臺千兆交換機，負責整個校園網所有節(jié)點的，在教學樓，宿舍樓

36、，館，實驗樓等地方分別設置二級交換機節(jié)點，接入層交換機通過二級節(jié)點與交換機連接。聯(lián)網技術上采用三層的交換網絡，主干網絡采用交換式 1000M 以太網連接技術，主要用于各樓間設備之間以及上連到廣域網設備。辦公樓、教學樓、館、宿舍樓之間采用光纖以全連接拓撲結構通過 1000M 交換機進行連接。接入層采用快速交換式以太網通過 5 類雙絞線按照星型拓撲結構進行連接，使內網可以達到百兆。整個校出口到 Internet，帶寬為 100M。園網設計有一個3.3 網絡設備選型1.層網絡層作為校園網系統(tǒng)的心臟，實現(xiàn)子網之間的路由，提供全線速的，當網絡流量較大時，對關鍵業(yè)務的服務質量提供保證。另外，作為整個網絡的

37、交換中心，在保證高性能、無阻塞交換的同時，還必須保證網絡穩(wěn)定可靠的運行。因此在設備的選型和結構設計上必須兼顧考慮整體網絡的高性能和高可靠性?？紤]到學校網絡應用的復雜性和多樣性，層網絡交換機的選型必須具備高性能、高可靠性和高可擴展性，主要包括，硬件如電源、管理模塊、交換模塊等是否支持冗余配置，軟件如是否提供路由器冗余、端口聚合（Port Trunking）、生成樹協(xié)議（STP、RSTP）等實現(xiàn)可靠性功能的協(xié)議。結合以上要求，本次設計選用高性能、多協(xié)議的 Cisco Catalyst 6509作為園區(qū)網絡的。Cisco 6509 交換機參數(shù)配置如下：模塊化交換機類型：企業(yè)級交換機應用層級：四層傳輸

38、速率：10/100/1000Mbps交換方式：-轉發(fā)背板帶寬：720Gbps包轉發(fā)率：387MppsMAC 地址表：64K端口結構：模塊化擴展模塊：9 個模塊化插槽傳輸模式：支持全雙工網絡標準：IEEE 802.3，IEEE 802.3u，IEEE 802.1s，IEEE 802.1w/adVLAN：支持QOS：支持網絡管理：CiscoWorks2000，RMON，增強交換端口分析器（ESPAN），SNMP，Telnet，BOOTP，TFTP2.匯聚層網絡匯聚層介于層和接入層之間，主要負責接入交換機的匯聚，并與交換機互聯(lián)，分級實現(xiàn)校園網 VLAN 之間的路由，進行子網內部數(shù)據(jù)的交換、轉發(fā)，提供

39、流量控制和用戶管理。根據(jù)網絡拓撲結構，該院有教學樓、實驗樓、學生宿舍區(qū)、服務器群、館等 5個匯聚節(jié)點，均選用 Cisco Catalyst 4506 交換機提供本區(qū)域內的第三層交換和路由功能。同時把整個網絡區(qū)域根據(jù)部門或功能劃分到這五個匯聚節(jié)點，進行 VLAN 劃分和管理，并實現(xiàn) VLAN 間的通信及控制。Catalyst 4500 系列交換機是中端、中等密度的模塊化交換機，它們提供了強大的2/3/4 層智能服務。每臺 Cisco4506 交換機配置一塊 4 口萬兆模塊，用于和層交換機以及部分關鍵匯聚層設備實現(xiàn)萬兆互連，同時配置一塊18口千兆光纖模塊，用于與接入層交換機的互聯(lián)及今后發(fā)展的備用插

40、槽。Cisco4506 主要參數(shù)：類型：企業(yè)級交換機應用層級：四層傳輸速率：10/100/1000Mbps交換方式：-轉發(fā)背板帶寬：100Gbps包轉發(fā)率：75Mpps端口結構：模塊化擴展模塊：1 個超級引擎插槽數(shù)+5 個線路卡插槽傳輸模式：支持全雙工網絡標準：IEEE 802.3，IEEE 802.3u，IEEE 802.3，IEEE 802.3z，IEEE 802.3x，IEEE 802.3abVLAN：支持QOS：支持網絡管理：SNMP 管理信息庫(MIB)II，SNMP MIB 擴展，橋接 MIB(RFC1493)3.接入層網絡接入層作為用戶接入網絡的終端，該層主要功能是：提供各種標準

41、接口將數(shù)據(jù)接入到網絡和確定基于端口的 VLAN 成員及數(shù)據(jù)流過濾。接入層網絡使用 Cisco Catalyst 2960 每個交換組最多提供 144 個終端的接入。其主要功能是為園區(qū)網用戶提供高性價比的 10/100 兆網絡接口，實現(xiàn)用戶的寬帶接入。并與匯聚層通過千兆鏈路互連，為接入用戶提供高速上連。Cisco Catalyst 2960 主要參數(shù)：CISCO WS-C2960-24-S 主要參數(shù)：類型：智能交換機應用層級：二層傳輸速率：10/100Mbps內存：DRAM 內存：64MBFLASH 內存：32MB交換方式：-轉發(fā)背板帶寬：16Gbps包轉發(fā)率：3.6MppsMAC 地址表：8K

42、3.4 路由器選擇校園網邊界路由器選擇 CISCO 2911/K9主要參數(shù)：路由器類型：多業(yè)務路由器網絡協(xié)議：IPv4，IPv6，靜態(tài)路由，IGMPv3，PIM SM，DVMRP，IPSec傳輸速率：10/100/1000Mbps端口結構：模塊化廣域網接口：3 個其它端口：2 個外部 USB 閃存插槽1 個 USB 控制臺端口1 個串行控制臺端口1 個串行輔助端口：內置Qos 支持：支持支持：支持內存：DRAM 內存：512MB，最大 2GBFLASH 內存：256MB其它性能：基于硬件的（IPSec+SSL）5.服務器選擇服務器群組統(tǒng)一使用計算機代替，上面搭建 win2003 Server

43、企業(yè)高級版。綜上所述，我們的網絡設備選型方案為，層采用 CiscoC3560X交換機，匯聚層采用 Cisco4506 智能交換機，接入層采用 Cisco2960交換機，內置的CISCO 2911/K9 多業(yè)務路由器。3.5 校園網安全策略及安全防御措施隨著網絡的快速發(fā)展，問題日益突出，、網絡等在日常日常生活中屢見不鮮，各種各樣的安全問題開始困擾網絡管理。這些安全問題主要表現(xiàn)破壞，口令等1。隨著關鍵應在：不良信息的，的危害，用的普及和深入，網絡用戶的快速增加，校園網絡從早期教育、科研的試驗網已經轉變成為教育、科研和服務并重的帶有運營性質的網絡，如何保證網絡已經成為影響學校的存與發(fā)展亟待解決的關鍵

44、問題之一。另外，一個高效、實用且安全的網絡環(huán)境，對于教師、學生、管理的信息傳遞，信息搜集，教育學習等都有著十分重要而深遠的意義1。本次設計的三層校園局域網中采用邊界路由、交換機在內的二層安全防御。第功能的 Cisco 路由器，路由器上配置一層保護有邊界路由實現(xiàn)。選用具有控制列表，通過規(guī)則，控制和過濾經過路由器的數(shù)據(jù)流，和內網，防止外部用戶對內部網絡不安全的，可有效防止各服務器受到來自外部的破壞。第二層防護2。由交換機提供。交換機上部署模塊，可有效地防止內部本章小結本章通過對現(xiàn)有主要網絡技術的分析與比較，確定本校園網絡采用千兆以太網技術路線，并設計出校園網絡總拓撲，選擇了硬件設備的品牌型號，同時

45、對校園網絡的安全形式和防御措施做出描述。4.VLAN 劃分及參數(shù)配置4.1VLAN 劃分VLAN（Virtual Local Area Network）稱為虛擬局域網，是指在邏輯上將物理的 LAN分成不同小的邏輯子網，每一個邏輯子網就是一個單獨的播域。簡單地說，就是將一個大的物理的局域網（LAN）在交換機上通過軟件劃分成若干個小的虛擬的局域網（VLAN）。因為交換機通信的原理就是要通過“廣播”來發(fā)現(xiàn)通往的目的 MAC 地址，以便在交換機內部的 MAC 數(shù)據(jù)庫建立 MAC 地址表，而廣播不能不同網段3。VLAN 技術的出現(xiàn)，使得管理員根據(jù)實際應用需求，把同一物理局域網內的不同用戶邏輯地劃分成不同

46、的廣播域，每一個 VLAN 都包含一組有著相同需求的計算機工作站， 與物理上形成的 LAN 有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分， 所以同一個 VLAN 內的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理 LAN 網段。由 VLAN 的特點可知，一個 VLAN 內部的廣播和單播流量都不會轉發(fā)到其他 VLAN 中，從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。 VLAN 除了能將網絡劃分為多個廣播域，從而有效地控制廣播風暴的發(fā)生，以及使網絡的拓撲結構變得非常靈活的優(yōu)點外，還可以用于控制網絡中不同部門、4。不同站點之間的互相VLAN 基本上

47、可以看成一個廣播域，在物理網絡的基礎上，能根據(jù)需要靈活地設置出許多邏輯網絡，從而擺脫了物理地域限制，以及因為位于布線柜或者路由器附近而造成的對用戶組的限制，能根據(jù)用戶實際需要靈活地建立邏輯的網絡，使網絡更安全、更便于管理、更暢通和帶寬更有保證。根據(jù)學院校園網使用實際情況，提出校園網 VLAN的建設規(guī)劃，見表 2-1。表 2-1 VLAN 規(guī)劃表子網名稱IP 網段默認網關備注服務器群192. 168. 1. 0/24192. 168. 1. 2Vlan2學生宿舍192. 168. 2. 0/24192. 168. 2. 2Vlan3實驗樓192. 168. 3. 0/24192. 168. 3.

48、 2Vlan4教學樓192. 168. 7. 0/24192. 168. 7. 2Vlan5館192. 168. 8. 0/24192. 168. 8. 2Vlan64.2VLAN 配置交換機分為二層交換機和三層交換機兩種類型，其中二層交換機的工作原理是：（1）當交換機從某個端口收到一個數(shù)據(jù)包，它先它就知道源 MAC 地址的是連在哪個端口上的5；包頭中的源 MAC 地址，這樣（2）再去包頭中的目的 MAC 地址，并在地址表中查找相應的端口；（3）如表中有與這目的 MAC 地址對應的端口，把數(shù)據(jù)包直接到這端口上；（4）如表中找不到相應的端口則把數(shù)據(jù)包廣播到所有端口上，當目的對源機器回應時，交換機

49、又可以學習一目的 MAC 地址與哪個端口對應，在下次傳送數(shù)據(jù)時就不再需要對所有端口進行廣播了。不斷的循環(huán)這個過程，對于全網的 MAC 地址信息都可以學習到，二層交換機就是這樣建立和維護它自己的地址表?？梢钥闯龆咏粨Q機沒有路由功能，當不同的子網進行通信是要借助路由器實現(xiàn)數(shù)據(jù)包的轉發(fā)，所以當子網數(shù)量較多時，路由器的接口數(shù)量就成了一個瓶頸，而三層交換機就能解決這一缺點。三層交換機的最重要的功能是加快大型局域網絡內部的數(shù)據(jù)的快速轉發(fā)，加入路由功能也是為這個目的服務的。因此具有路由功能的快速轉發(fā)的三層交換機就成為首選。層的功能主要是實現(xiàn)骨干網絡之間的優(yōu)化傳輸,層設計任務的重點通常是冗余能力、可靠性和高

50、速的傳輸。網絡的控制功能最好盡量少在層上實施。層一直被認為是所有流量的最終承受者和匯聚者，所以對層的設計以及網絡設備的要求十分嚴格。基于端口 vlan 的劃分這是最常應用的一種 VLAN 劃分方法，應用也最為廣泛、最有效，目前絕大多數(shù) VLAN 協(xié)議的交換機都提供這種 VLAN 配置方法。這種劃分 VLAN的方法是根據(jù)以太網交換機的交換端口來劃分的，它是將 VLAN 交換機上的物理端口和VLAN 交換機內部的 PVC（虛電路）端口分成若干個組，每個組構成一個虛擬網，相當于一個的 VLAN 交換機。從這種劃分方法本身我們可以看出，這種劃分的方法的優(yōu)點是定義 VLAN 成員時非常簡單，只要將所有的

51、端口都定義為相應的 VLAN 組即可6。適合于任何大小的網絡。它的缺點是如果某用戶離開了原來的端口，到了一個新的交換機的某個端口，必須重新定義。交換機 Core-SW 配置交換機配置 VTP Server交換機 VTP 更新信息的所有計劃必須配置在同一管理域。所有交換機都通過中繼線相連，在交換機上設置了一個管理域，校園網上所有的交換機都加入該域，這樣同一管理域中的所有交換機就能夠了解彼此的 VLAN 列表。進入 VLAN 配置模式Core-SW#vlan database設置 VTP 管理稱為 xiaoyuanCore-SW(vlan)#vtp xiaoyuan設置交換機為服務

52、器模式Core-SW (vlan)#vtp server設置交換機為 server 模式是指允許在本交換機上創(chuàng)建、修改、刪除 VLAN 及其它一些對整個 VTP 域的配置參數(shù)，同步本 VTP 域中其它交換機傳遞來的最新的 VLAN 信息；client 模式用于同步本 VTP 域中其他交換機傳遞來的 VLAN 信息，分支交換機設置為 client 模式。4.3.2 配置中繼（Trunk）配置中繼，使 VTP 管理域能夠覆蓋所有的分支交換機。Trunk 是一個在交換機之間、交換機與路由器之間傳遞 VLAN 信息和 VLAN 數(shù)據(jù)流的協(xié)議，將交換機之間直接相連的端口配置為 dot1q 封裝，就可交換

53、機進行整個網絡的 VLAN 設置。Core-SW (config-if)#switchport trunk encapsulation dot1qCore-SW(config-if)#switchport mode trunkCore-SW(config-if)#int fa 0/2Core-SW(config-if)#switchport trunk encapsulation dot1qCore-SW(config-if)#switchport mode trunkCore-SW (config-if)#int fa 0/3Core-SW(config-if)#switchport tru

54、nk encapsulation dot1qCore-SW(config-if)#switchport mode trunkCore-SW(config-if)#int fa 0/4Core-SW(config-if)#switchport trunk encapsulation dot1qCore-SW(config-if)#switchport mode trunkCore-SW(config-if)#int fa 0/5Core-SW(config-if)#switchport trunk encapsulation dot1qCore-SW(config-if)#switchport mode trunkCore-SW(config-if)#int fa 0/6Core-SW(config-if)#switchport trunk encapsulation dot1qCore-SW(config-if)#