校園局域網(wǎng)規(guī)劃設(shè)計(jì)

1、 西安文理學(xué)院西安文理學(xué)院校校 園園 局局 域域 網(wǎng)網(wǎng) 規(guī)規(guī) 劃劃設(shè)設(shè) 計(jì)計(jì)學(xué)生姓名學(xué) 部計(jì)算機(jī)科學(xué)與技術(shù)系專(zhuān) 業(yè)計(jì)算機(jī)科學(xué)與技術(shù)班 級(jí)2指導(dǎo)教師 雷偉軍 二一一年一月摘摘 要要隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，校園網(wǎng)的建設(shè)已經(jīng)進(jìn)入到一個(gè)蓬勃發(fā)展的階段。校園網(wǎng)的建成和使用，對(duì)于提高教學(xué)和科研的質(zhì)量、改善教學(xué)和科研條件、加快學(xué)校的信息化進(jìn)程，開(kāi)展多媒體教學(xué)與研究以及使教學(xué)多出人才、科研多出成果有著十分重要而深遠(yuǎn)的意義。各高校及其中小學(xué)都在籌備建設(shè)校園網(wǎng)，希望通過(guò)校園網(wǎng)的建設(shè)，改善辦學(xué)條件，提高教學(xué)、科研和管理水平。校園網(wǎng)的建設(shè)對(duì)于學(xué)校來(lái)說(shuō)是一項(xiàng)大的工程，必須精心設(shè)計(jì)、精心施工，做到

2、經(jīng)濟(jì)適用，技術(shù)先進(jìn)、開(kāi)放性能良好、投資強(qiáng)度合理、能長(zhǎng)期、穩(wěn)定運(yùn)行的高性能的校園網(wǎng)絡(luò)。本文為一所培訓(xùn)學(xué)校的校園網(wǎng)工程，范圍主要為包括辦公樓、圖書(shū)室、住宿樓及實(shí)驗(yàn)樓在內(nèi)的局域網(wǎng)部分。根據(jù)校園的整體的網(wǎng)絡(luò)架構(gòu)，使這復(fù)雜的網(wǎng)絡(luò)高速、安全地通信，對(duì)復(fù)雜網(wǎng)絡(luò)應(yīng)用的一體化解決方案。本文是通過(guò)對(duì)校園的里面的路由器和交換機(jī)進(jìn)行正確的配置,通過(guò)使用一些規(guī)則配置,使校園的網(wǎng)絡(luò)可以實(shí)現(xiàn)資源共享和相互通信. 利用 vlan 技術(shù)來(lái)優(yōu)化校園里的網(wǎng)絡(luò)，限制廣播域，增強(qiáng)局域網(wǎng)內(nèi)的安全性，再用 vtp 來(lái)更好的輔助 vlan性能的良好發(fā)揮，利用 nat 技術(shù)把校園里面的私用 IP 地址轉(zhuǎn)化成公網(wǎng)上的 IP，使得內(nèi)部網(wǎng)絡(luò)可以正常

3、訪(fǎng)問(wèn)互聯(lián)網(wǎng)，通過(guò)使用 vlan,nat,vtp 等技術(shù)對(duì)路由器和交換機(jī)進(jìn)行配置，使校園網(wǎng)絡(luò)各種計(jì)算機(jī)、服務(wù)器連接起來(lái)，并通過(guò)一定接口連接到廣域網(wǎng),實(shí)現(xiàn)校園網(wǎng)絡(luò)、相互通信和資源共享。關(guān)鍵詞關(guān)鍵詞：路由器 局域網(wǎng) 交換機(jī) 目目 錄錄摘摘 要要.I第一章第一章 計(jì)算機(jī)網(wǎng)絡(luò)計(jì)算機(jī)網(wǎng)絡(luò).11.1 計(jì)算機(jī)網(wǎng)絡(luò).11.2 局域網(wǎng)簡(jiǎn)介.1局域網(wǎng)的組成.1局域網(wǎng)的拓?fù)浣Y(jié)構(gòu).2什么是局域網(wǎng)的規(guī)范.2局域網(wǎng)的結(jié)構(gòu)類(lèi)型.3局域網(wǎng)中計(jì)算機(jī)數(shù)量的限制.5第二章第二章 校園網(wǎng)總體建設(shè)方案校園網(wǎng)總體建設(shè)方案.72.1 校園網(wǎng)的建設(shè)原則.72.2 學(xué)院的網(wǎng)絡(luò)需求.72.3 校園網(wǎng)絡(luò)建設(shè)目標(biāo).72.4 校園總體拓?fù)鋱D.82.5

4、前期整體分析.92.6 網(wǎng)絡(luò)配置原則.92.7 IP 地址規(guī)劃.10第三章第三章 交換模塊設(shè)計(jì)交換模塊設(shè)計(jì).123.1 虛擬局域網(wǎng).12的配置.12利用交換機(jī)實(shí)現(xiàn) vlan 間的通信.133.2 接入層的配置.14配置.15服務(wù)器配置.15客戶(hù)端配置.15第四章第四章 路由器的配置路由器的配置.164.1 路由器的配置.164.2 OSPF 的基本配置.16在路由器和三層交換機(jī)上配置 IP.17配置 OSPF 路由協(xié)議.17第五章第五章 網(wǎng)絡(luò)安全設(shè)置網(wǎng)絡(luò)安全設(shè)置.185.1 訪(fǎng)問(wèn)控制列表.18對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議.18對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議.18配置訪(fǎng)問(wèn)控制列表.185.2 端口聚合配置.195

5、.3 防火墻的設(shè)置.19第六章第六章 相關(guān)測(cè)試診斷命令相關(guān)測(cè)試診斷命令.216.1 通用測(cè)試、診斷命令.216.2 路由和路由協(xié)議測(cè)試、診斷命令.226.3 VLAN 測(cè)試、診斷命令.226.4 生成樹(shù)測(cè)試、診斷命令.236.5 NAT 測(cè)試、診斷命.236.6 ACL 測(cè)試、診斷命令.24總結(jié)與展望總結(jié)與展望.25致致 謝謝.26參考文獻(xiàn)參考文獻(xiàn).27第一章第一章 計(jì)算機(jī)網(wǎng)絡(luò)計(jì)算機(jī)網(wǎng)絡(luò)1.1 計(jì)算機(jī)網(wǎng)絡(luò)計(jì)算機(jī)網(wǎng)絡(luò)計(jì)算機(jī)網(wǎng)絡(luò)，簡(jiǎn)單地說(shuō)，就是通過(guò)電纜、電話(huà)線(xiàn)或無(wú)線(xiàn)通訊將兩臺(tái)以上的計(jì)算機(jī)互連起來(lái)的集合。它包括：計(jì)算機(jī)、網(wǎng)絡(luò)操作系統(tǒng)、傳輸介質(zhì)（可以是有形的，也可以是無(wú)形的，如無(wú)線(xiàn)網(wǎng)絡(luò)的傳輸介質(zhì)就是空

6、氣）以及相應(yīng)的應(yīng)用軟件四部分。計(jì)算機(jī)網(wǎng)絡(luò)如按網(wǎng)絡(luò)的組建規(guī)模和地域范圍來(lái)劃分的話(huà)，可分為局域網(wǎng)(Local Area Network, LAN)、城域網(wǎng)(Metropolitan Area Network, MAN)、廣域網(wǎng)(Wide Area Network, WAN)。我們經(jīng)常用到的因特網(wǎng)(Internet)屬于廣域網(wǎng)，校園網(wǎng)屬局域網(wǎng)。未來(lái)的網(wǎng)絡(luò)技術(shù)將向著使用簡(jiǎn)單、高速快捷、多網(wǎng)合一、安全保密的方向發(fā)展。1.2 局域網(wǎng)簡(jiǎn)介局域網(wǎng)簡(jiǎn)介局域網(wǎng)，是指范圍在幾百米到十幾公里內(nèi)辦公樓群或校園內(nèi)的計(jì)算機(jī)相互連接所構(gòu)成的，外部設(shè)備和數(shù)據(jù)庫(kù)等互相聯(lián)接起來(lái)組成的計(jì)算機(jī)通信網(wǎng)，簡(jiǎn)稱(chēng)LAN。一個(gè)典型的局域網(wǎng)主要應(yīng)

7、包含如下四個(gè)部分：服務(wù)器（Server）：用來(lái)管理網(wǎng)絡(luò)并為用戶(hù)提供共享服務(wù)的計(jì)算機(jī)。與網(wǎng)絡(luò)中的工作站相比，服務(wù)器通常具有更快的速率、更大的存儲(chǔ)容量和更高的可靠性。此外，為了便于對(duì)網(wǎng)絡(luò)進(jìn)行管理，服務(wù)器中通常應(yīng)安裝相應(yīng)的網(wǎng)絡(luò)操作系統(tǒng)，如 Novell Netware, Windows NT/2000 Server, UNIX 等。工作站（Workstation）：用戶(hù)使用的計(jì)算機(jī)，又稱(chēng)用戶(hù)機(jī)或客戶(hù)機(jī)。從網(wǎng)絡(luò)構(gòu)成的角度看，任何一臺(tái)計(jì)算機(jī)（如 286、386、486、P、P4 等）都可作為工作站。當(dāng)工作站登錄到網(wǎng)絡(luò)服務(wù)器后，可按規(guī)定權(quán)限存取服務(wù)器中的文件。此外，工作站通常還可以與網(wǎng)絡(luò)中的其他用戶(hù)進(jìn)行通

8、信或訪(fǎng)問(wèn) Internet。網(wǎng)絡(luò)通信系統(tǒng)（Network Communications System）：連接工作站和服務(wù)器的設(shè)備。這些設(shè)備通常應(yīng)包括插在服務(wù)器或工作站中的網(wǎng)卡，它們應(yīng)與通信介質(zhì)相連；用于傳輸數(shù)據(jù)介質(zhì)，如同軸電纜、雙絞線(xiàn)、光纖等；專(zhuān)用的通信設(shè)備，如集線(xiàn)器（HUB） 、局域網(wǎng)交換機(jī)、路由器等。5網(wǎng)絡(luò)操作系統(tǒng)（Network Operating System）：對(duì)于稍在一點(diǎn)的網(wǎng)絡(luò)來(lái)說(shuō)，為了充分發(fā)揮網(wǎng)絡(luò)的功能，以及更好地管理網(wǎng)絡(luò)，通常應(yīng)在服務(wù)器中安裝網(wǎng)絡(luò)操作系統(tǒng)。例如，基于安全起見(jiàn)，企業(yè)的幾乎所有重要數(shù)據(jù)（如財(cái)務(wù)、銷(xiāo)售等）都被保存在服務(wù)器中，并非每個(gè)人都能訪(fǎng)問(wèn)這些數(shù)據(jù)。通常情況下，只有

9、企業(yè)負(fù)責(zé)人擁有最高權(quán)限，而其他人只能查看部分?jǐn)?shù)據(jù)。此時(shí)就是借助網(wǎng)絡(luò)操作系統(tǒng)來(lái)對(duì)資源和用戶(hù)進(jìn)行管理的，它規(guī)定了用戶(hù)的權(quán)限，以及用戶(hù)所能訪(fǎng)問(wèn)的資源。所謂局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)，是指局域網(wǎng)中各計(jì)算機(jī)之間的連接形式。如果拋開(kāi)構(gòu)建局域網(wǎng)時(shí)所采用的通信介質(zhì)、通信設(shè)備等，局域網(wǎng)中各計(jì)算機(jī)之間的學(xué)用連接形式實(shí)際上只有兩種，即總線(xiàn)型與星型。在總線(xiàn)型網(wǎng)絡(luò)中，由于各計(jì)算機(jī)共享一條通信電纜，網(wǎng)絡(luò)中某個(gè)節(jié)點(diǎn)出現(xiàn)故障，將導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。因此，目前這類(lèi)結(jié)構(gòu)的網(wǎng)絡(luò)已趨于淘汰。星型網(wǎng)絡(luò)的優(yōu)點(diǎn)是，當(dāng)網(wǎng)絡(luò)中某個(gè)節(jié)點(diǎn)出現(xiàn)故障時(shí)不會(huì)影響整個(gè)網(wǎng)絡(luò)的運(yùn)行。其缺點(diǎn)是每個(gè)計(jì)算機(jī)都要占用一條專(zhuān)用的通信線(xiàn)路，并且需要額外的通信設(shè)備，將導(dǎo)致成本的增加。

10、但是，由于目前各種硬件設(shè)備價(jià)格都已非常便宜，所以，現(xiàn)在絕大部分局域網(wǎng)都采用了這種結(jié)構(gòu)。事實(shí)上各種網(wǎng)絡(luò)結(jié)構(gòu)都是有章可循的，這就是局域網(wǎng)規(guī)范（或稱(chēng)為局域網(wǎng)標(biāo)準(zhǔn)） 。從大的方面講，根據(jù)網(wǎng)絡(luò)的工作原理，目前的局域網(wǎng)大致可分為三類(lèi)，即以太網(wǎng)、令牌環(huán)網(wǎng)和 ARPNET 網(wǎng)。其中，以太網(wǎng)是目前局域網(wǎng)中采用最多的通信協(xié)議標(biāo)準(zhǔn)，它采用 CSMA/CD (載波監(jiān)聽(tīng)多路訪(fǎng)問(wèn)/沖突檢測(cè)) 技術(shù)進(jìn)行信息傳遞。該標(biāo)準(zhǔn)定義了在局域網(wǎng)中采用的電纜類(lèi)型和信息處理方法，在互聯(lián)設(shè)備之間可以 10100Mbit/s 的速率傳送信息包，目前約 80的局域網(wǎng)都是以太網(wǎng)。由于技術(shù)的發(fā)展和用戶(hù)要求的多樣性，以太網(wǎng)又被細(xì)分成了一系列規(guī)范。例如

11、，10 Base2 以太網(wǎng)規(guī)范定義了構(gòu)建以細(xì)同軸電纜為通信介質(zhì)，網(wǎng)絡(luò)通信速率為 10 Mbit/s，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為總線(xiàn)型的局域網(wǎng)的技術(shù)指標(biāo)；10 Base T 以太網(wǎng)規(guī)范定義了構(gòu)建以雙絞線(xiàn)為通信介質(zhì)，網(wǎng)絡(luò)通信速率為 10 Mbit/s ，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為星型的局域網(wǎng)指標(biāo)。一般來(lái)說(shuō)，每種局域網(wǎng)規(guī)范都規(guī)定了如下幾項(xiàng)指標(biāo)： 網(wǎng)絡(luò)通信速率，例如，10 Mbit/s、100 Mbit/s 及 1000 Mbit/s 等。 局域網(wǎng)的結(jié)構(gòu)，例如，采用總線(xiàn)型或星型。 所使用的通信介質(zhì)，例如，同軸電纜、雙絞線(xiàn)或光纖。其中，每種介質(zhì)中又包含了多個(gè)子類(lèi)，例如，雙絞線(xiàn)就包括了 3 類(lèi)、4 類(lèi)、5 類(lèi)及超 5 類(lèi)雙絞線(xiàn)等

12、。 所使用的網(wǎng)卡類(lèi)型，其中包括數(shù)據(jù)傳輸速率與接口類(lèi)型。例如，要構(gòu)建10 Base T 星型以太網(wǎng)，網(wǎng)卡的數(shù)據(jù)傳輸速率必須為 10 Mbit/s，且必須帶有 RJ-45 接口。 網(wǎng)絡(luò)中所能支持的最大用戶(hù)數(shù)量。例如，構(gòu)建廉價(jià)的細(xì)同軸電纜總線(xiàn)型網(wǎng)絡(luò)時(shí)，每個(gè)網(wǎng)段中的用戶(hù)數(shù)不能超過(guò) 30。 距離要求。由于隨著距離的增加，信號(hào)會(huì)逐漸衰減，因此，各種局域網(wǎng)規(guī)范都對(duì)各種距離（如通信設(shè)備與計(jì)算機(jī)之間，各種通信設(shè)備之間等）有明確的要求。例如，在構(gòu)建以集線(xiàn)器為核心的雙絞線(xiàn)星型網(wǎng)絡(luò)時(shí)，集線(xiàn)器與計(jì)算機(jī)之間的距離通常不超過(guò) 100m。1.2.4 局域網(wǎng)的結(jié)構(gòu)類(lèi)型局域網(wǎng)的結(jié)構(gòu)類(lèi)型局域網(wǎng)的結(jié)構(gòu)決定了局域網(wǎng)的管理方式，當(dāng)我們創(chuàng)

13、建一個(gè)局域網(wǎng)時(shí)，通常應(yīng)遵循如下步驟來(lái)進(jìn)行： 明確自己的需求，即希望局域網(wǎng)具備哪些功能。 在綜合考慮局域網(wǎng)功能、現(xiàn)有軟硬件的特點(diǎn)與價(jià)格、網(wǎng)絡(luò)的可管理性與可擴(kuò)充性等因素的基礎(chǔ)上決定局域網(wǎng)的結(jié)構(gòu)。 根據(jù)選定的局域網(wǎng)結(jié)構(gòu)決定局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)，以及應(yīng)選擇的相關(guān)設(shè)備和軟件。 對(duì)局域網(wǎng)進(jìn)行配置和維護(hù)。由此可以看出，決定局域網(wǎng)的結(jié)構(gòu)是構(gòu)建局域網(wǎng)時(shí)非常重要的一環(huán)。就目前來(lái)說(shuō)，局域網(wǎng)的結(jié)構(gòu)主要包括工作站/文件服務(wù)器結(jié)構(gòu)、客戶(hù)機(jī)/服務(wù)器結(jié)構(gòu)、對(duì)等網(wǎng)結(jié)構(gòu)及主機(jī)/終端系統(tǒng)等 4 種。1.工作站/文件服務(wù)器網(wǎng)絡(luò)在這類(lèi)網(wǎng)絡(luò)中，某臺(tái)運(yùn)行特定網(wǎng)絡(luò)操作系統(tǒng)的計(jì)算機(jī)被作為文件服務(wù)器，而網(wǎng)絡(luò)中的其他計(jì)算機(jī)在登錄該計(jì)算機(jī)之后，可以存取

14、該計(jì)算機(jī)的文件。但是，文件服務(wù)器計(jì)算機(jī)并不進(jìn)行任何網(wǎng)絡(luò)應(yīng)用處理，因此，服務(wù)器的功能非常單一。這類(lèi)網(wǎng)絡(luò)的主要優(yōu)點(diǎn)包括如下兩點(diǎn)：數(shù)據(jù)的保密性和安全性較好，網(wǎng)絡(luò)管理員可以按需要授予不同訪(fǎng)問(wèn)者不同的文件訪(fǎng)問(wèn)權(quán)限。網(wǎng)絡(luò)的可靠性較高，管理比較簡(jiǎn)單。但是，這類(lèi)網(wǎng)絡(luò)的缺點(diǎn)是非常明顯的，它也主要包括如下兩點(diǎn)：網(wǎng)絡(luò)效率較低。當(dāng)網(wǎng)絡(luò)中的大量用戶(hù)都需要訪(fǎng)問(wèn)文件服務(wù)器中的數(shù)據(jù)時(shí)，網(wǎng)絡(luò)效率會(huì)急劇下降。網(wǎng)絡(luò)中各工作站之間不能進(jìn)行資源共享。不能充分發(fā)揮文件服務(wù)器的運(yùn)算能力。目前，這類(lèi)網(wǎng)絡(luò)已逐漸讓位于客戶(hù)機(jī)/服務(wù)器網(wǎng)絡(luò)。2. 客戶(hù)機(jī)/服務(wù)器網(wǎng)絡(luò)隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和人們不斷提出新的要求，網(wǎng)絡(luò)應(yīng)用中的重點(diǎn)早已不再局限于簡(jiǎn)單的資源共

15、享。人們迫切要求服務(wù)器端能夠完成一部分?jǐn)?shù)據(jù)處理工作，即將任務(wù)同時(shí)分配給服務(wù)器和客戶(hù)端共同完成。為此，人們開(kāi)發(fā)出了目前最為流行的客戶(hù)機(jī)/服務(wù)器網(wǎng)絡(luò)?？蛻?hù)機(jī)/服務(wù)器網(wǎng)絡(luò)系統(tǒng)的主要特點(diǎn)如下：目前流行的操作系統(tǒng)基本都支持這種結(jié)構(gòu)，如 Windows NT 4.0 Server、Windows 2000/2003 Server、Netware3.1 以上版本等。支持多種客戶(hù)機(jī)，例如，客戶(hù)機(jī)可以是一臺(tái) PC 或一臺(tái)工作站，且客戶(hù)機(jī)可以運(yùn)行多種操作系統(tǒng)，如 DOS、Windows 3.x/95/98 等。不僅客戶(hù)機(jī)與服務(wù)器能進(jìn)行雙向通信，各客戶(hù)機(jī)之間也能直接進(jìn)行通信，而無(wú)需服務(wù)器的參與。由于很多應(yīng)用任務(wù)都由

16、服務(wù)器和客戶(hù)機(jī)共同承擔(dān)，因此，系統(tǒng)響應(yīng)速度快，且對(duì)客戶(hù)機(jī)的要求可以很低。例如，客戶(hù)機(jī)可以是無(wú)盤(pán)工作站。系統(tǒng)的可擴(kuò)充性較好。當(dāng)系統(tǒng)規(guī)模擴(kuò)大時(shí)，不必重新設(shè)計(jì)系統(tǒng)，只需簡(jiǎn)單地將服務(wù)器和客戶(hù)機(jī)連入網(wǎng)絡(luò)即可。對(duì)等網(wǎng)絡(luò)在對(duì)等網(wǎng)絡(luò)中，沒(méi)有專(zhuān)用的服務(wù)器，每個(gè)工作站既是服務(wù)器也是工作站，相互之間可以進(jìn)行通信和資源共享。目前支持對(duì)等網(wǎng)絡(luò)的操作系統(tǒng)主要有Microsoft 公司的 LAN Manager、Windows 95/98 及 Novell 公司的 NetWare Lite等。對(duì)等網(wǎng)絡(luò)的主要優(yōu)點(diǎn)是網(wǎng)絡(luò)安裝和維護(hù)非常簡(jiǎn)單，無(wú)需專(zhuān)用的服務(wù)器；其缺點(diǎn)是網(wǎng)絡(luò)的安全性較差，且功能較弱。主機(jī)/終端網(wǎng)絡(luò)在主機(jī)/終端網(wǎng)絡(luò)系

17、統(tǒng)中，用戶(hù)通過(guò)與主機(jī)相連的終端在主機(jī)操作系統(tǒng)的管理下共享主機(jī)的內(nèi)存、外存、中央處理器和各種輸入/輸出設(shè)備。經(jīng)過(guò)幾十年的發(fā)展，主機(jī)/終端系統(tǒng)已經(jīng)非常成熟，在可靠性、系統(tǒng)容錯(cuò)、系統(tǒng)安全、開(kāi)發(fā)手段、數(shù)據(jù)庫(kù)管理等方面都形成了自己的一套十分完整的體系。因此，這類(lèi)系統(tǒng)被廣泛應(yīng)用于民航、銀行、軍事等大型企業(yè)中。這類(lèi)系統(tǒng)的主要缺點(diǎn)如下：由于這類(lèi)系統(tǒng)主要面向大型企業(yè)、事業(yè)單位，生產(chǎn)數(shù)量較少，因而系統(tǒng)價(jià)格通常很高。由于終端功能比較弱（完全依賴(lài)于主機(jī)） ，將導(dǎo)致主機(jī)負(fù)荷比較重。局域網(wǎng)結(jié)構(gòu)與局域網(wǎng)拓?fù)浣Y(jié)構(gòu)之間的關(guān)系應(yīng)該說(shuō)，局域網(wǎng)結(jié)構(gòu)與局域網(wǎng)所采用的拓?fù)浣Y(jié)構(gòu)之間沒(méi)有直接的關(guān)系。例如，對(duì)于一個(gè)小型的星型網(wǎng)絡(luò)來(lái)說(shuō)，如果網(wǎng)絡(luò)

18、中所有計(jì)算機(jī)都運(yùn)行 Windows 98 操作系統(tǒng)，那它就是一個(gè)對(duì)等望路。否則，如果某臺(tái)計(jì)算機(jī)運(yùn)行了 Windows NT/2000 Server 網(wǎng)絡(luò)操作系統(tǒng)，那它就是一個(gè)客戶(hù)/服務(wù)器網(wǎng)絡(luò)。但是，局域網(wǎng)的結(jié)構(gòu)對(duì)局域網(wǎng)拓?fù)浣Y(jié)構(gòu)的選擇還是有影響的。例如，如果希望構(gòu)建一個(gè)客戶(hù)/服務(wù)器網(wǎng)絡(luò)，且服務(wù)器的使用的頻率很高，那么，如果選用總線(xiàn)型拓?fù)浣Y(jié)構(gòu)就不太合適了。其原因主要是由于此時(shí)服務(wù)器和工作站共享相同的通信通道，并擁有相同的帶寬，因而無(wú)法實(shí)現(xiàn)對(duì)服務(wù)器的“特殊照顧” 。因此，此時(shí)最好構(gòu)建一個(gè)星型拓?fù)浣Y(jié)構(gòu)的交換網(wǎng)絡(luò)，且使服務(wù)器與交換機(jī)之間的通信速率高于工作站與交換機(jī)之間的連接速率。1.2.5 局域網(wǎng)中計(jì)算

19、機(jī)數(shù)量的限制局域網(wǎng)中計(jì)算機(jī)數(shù)量的限制如前所述，局域網(wǎng)中所能連接的計(jì)算機(jī)數(shù)量首先取決于所采用的網(wǎng)絡(luò)規(guī)范。例如，如果所構(gòu)建是 10 Base T 雙絞線(xiàn)星型以太網(wǎng)，則按照 10 Base T 規(guī)范，網(wǎng)絡(luò)中總的計(jì)算機(jī)數(shù)量不得超過(guò) 1023 臺(tái)。但是，在實(shí)際工作中，基于網(wǎng)絡(luò)效率的考慮，網(wǎng)絡(luò)中實(shí)際所能連接的計(jì)算機(jī)數(shù)量，要遠(yuǎn)遠(yuǎn)小于網(wǎng)絡(luò)規(guī)范所規(guī)定的計(jì)算機(jī)的最大數(shù)量。例如，如果構(gòu)建的是 10 Base T 雙絞線(xiàn)星型以太網(wǎng)，網(wǎng)絡(luò)中的計(jì)算機(jī)數(shù)量通常不能超過(guò) 30 臺(tái)。那么，如果網(wǎng)絡(luò)中的計(jì)算機(jī)數(shù)量較多，該如何解決這個(gè)問(wèn)題呢？就目前來(lái)說(shuō)，主要有以下幾個(gè)方法：將網(wǎng)絡(luò)劃分為幾個(gè)網(wǎng)段，進(jìn)行分段管理，從而平衡網(wǎng)絡(luò)負(fù)荷，已擴(kuò)

20、充網(wǎng)絡(luò)所能承載的用戶(hù)。選用速率更高的通信設(shè)備。例如，一個(gè) 10 Base T 網(wǎng)絡(luò)（采用 100Mbit/s集線(xiàn)器和 5 類(lèi)雙絞線(xiàn)，計(jì)算機(jī)中加裝 100Mbit/s 網(wǎng)卡）當(dāng)然要比一個(gè) 10Base T 網(wǎng)絡(luò)（采用 10Mbit/s 集線(xiàn)器和 3 類(lèi)雙絞線(xiàn)，計(jì)算機(jī)中加裝 10Mbit/s 網(wǎng)卡）快。因此，這也意味著網(wǎng)絡(luò)中能夠容納更多的計(jì)算機(jī)。 將共享式網(wǎng)絡(luò)改造成交換式網(wǎng)絡(luò)。在局域網(wǎng)中，以集線(xiàn)器構(gòu)成的網(wǎng)絡(luò)稱(chēng)為共享網(wǎng)絡(luò)，此時(shí)局域網(wǎng)中的所有計(jì)算機(jī)共享一個(gè)帶寬，并且在同一時(shí)間只能有一對(duì)計(jì)算機(jī)進(jìn)行通信。對(duì)于交換式網(wǎng)絡(luò)來(lái)說(shuō)，它以交換機(jī)為核心通信設(shè)備。此時(shí)各計(jì)算機(jī)都可享有單獨(dú)的帶寬，并且可以同時(shí)建立多個(gè)通信

21、鏈路。因此，這也意味著網(wǎng)絡(luò)中能夠容納更多的計(jì)算機(jī)。第二章第二章 校園網(wǎng)總體建設(shè)方案校園網(wǎng)總體建設(shè)方案2.1 校園網(wǎng)的建設(shè)原則校園網(wǎng)的建設(shè)原則校園網(wǎng)建設(shè)是一項(xiàng)綜合性非常強(qiáng)的系統(tǒng)工程，它包括了網(wǎng)絡(luò)系統(tǒng)的總體規(guī)劃、硬件的選型配置、系統(tǒng)管理軟件的應(yīng)用以及人員培訓(xùn)等諸多方面。因此在校園網(wǎng)的建設(shè)工作中必須處理好實(shí)用與發(fā)展、建設(shè)與管理、使用與培訓(xùn)等關(guān)系，從而使校園網(wǎng)的建設(shè)工作健康穩(wěn)定地開(kāi)展。首先，校園網(wǎng)的建設(shè)是一個(gè)為學(xué)校教育教學(xué)活動(dòng)長(zhǎng)期服務(wù)的工作，因此在校園網(wǎng)的規(guī)劃建設(shè)過(guò)程中，必須從學(xué)校長(zhǎng)遠(yuǎn)發(fā)展規(guī)劃出發(fā)，以服務(wù)于教育為基本點(diǎn)，結(jié)合學(xué)校當(dāng)前教育教學(xué)的實(shí)際需要，做出科學(xué)的規(guī)劃部署。在校園網(wǎng)的規(guī)劃建設(shè)中，一般學(xué)校

22、應(yīng)遵循“統(tǒng)一規(guī)劃、整體設(shè)計(jì)、分步實(shí)施”的原則。其次在校園網(wǎng)的建設(shè)中必須堅(jiān)持硬件建設(shè)與組織管理協(xié)調(diào)發(fā)展的原則，在重視硬件建設(shè)的同時(shí)，加強(qiáng)網(wǎng)絡(luò)的組織管理水平，不斷開(kāi)發(fā)網(wǎng)絡(luò)的功能，從而充分發(fā)揮校園網(wǎng)絡(luò)的功效，提高校園網(wǎng)對(duì)學(xué)校教育的服務(wù)水平。2.2 學(xué)院的網(wǎng)絡(luò)需求學(xué)院的網(wǎng)絡(luò)需求學(xué)院局域網(wǎng)的功能要求包括能夠高速、安全、及時(shí)地傳送文本、音頻和視頻等多種媒體信息，能夠支持一定程度的突發(fā)訪(fǎng)問(wèn)。在性能和安全性上應(yīng)滿(mǎn)足 1000 人的網(wǎng)絡(luò)應(yīng)用需求，對(duì)響應(yīng)時(shí)間不作特殊要求；為了存儲(chǔ)數(shù)據(jù)和備份數(shù)據(jù)，網(wǎng)絡(luò)中心需要建立磁盤(pán)列陣；為保障網(wǎng)絡(luò)中心設(shè)備的安全運(yùn)行要求在網(wǎng)絡(luò)中心提供不間斷電源；在遵循經(jīng)濟(jì)實(shí)用、成熟先進(jìn)和安全可靠的

23、設(shè)計(jì)原則下，最大限度地考慮采用符合發(fā)展趨勢(shì)的新技術(shù)；網(wǎng)絡(luò)設(shè)備必須采用成熟先進(jìn)的技術(shù)，所采用的標(biāo)準(zhǔn)要求統(tǒng)一，支持目前業(yè)界最新的網(wǎng)絡(luò)協(xié)議， ，網(wǎng)絡(luò)的標(biāo)準(zhǔn)必須符合國(guó)際/國(guó)家標(biāo)準(zhǔn)，并且擁有廣泛的支持廠商；網(wǎng)絡(luò)設(shè)備要求具有高可靠性、高穩(wěn)定性和高可用性；網(wǎng)絡(luò)設(shè)備要求提供足夠的寬帶，以適應(yīng)校園網(wǎng)上信息結(jié)構(gòu)多樣化，要求支持虛擬網(wǎng)和第三層交換，形成公布式三層交換網(wǎng)；網(wǎng)絡(luò)設(shè)備要求具有擴(kuò)展性和可升級(jí)性，能夠適應(yīng)用戶(hù)數(shù)量的擴(kuò)展，能夠保證未來(lái)網(wǎng)絡(luò)升級(jí)時(shí)的平穩(wěn)銜接，保證網(wǎng)絡(luò)通信介質(zhì)、網(wǎng)絡(luò)基本設(shè)計(jì)核心的向后兼容性；要求網(wǎng)絡(luò)易于管理，支持網(wǎng)絡(luò)的拓?fù)湟晥D、網(wǎng)段與端口的監(jiān)控；網(wǎng)絡(luò)流量及錯(cuò)誤統(tǒng)計(jì)，具備計(jì)費(fèi)管理、故障定位、診斷、修復(fù)

24、和自動(dòng)隔離等功能；要求網(wǎng)絡(luò)具有高的安全性。在要求網(wǎng)絡(luò)具有開(kāi)放性的同時(shí)，要求保證其安全性。在廣域網(wǎng)選擇上考慮學(xué)院的實(shí)際需求我們的校園網(wǎng)將通過(guò)光纖接入 Inter 網(wǎng)。2.3 校園網(wǎng)絡(luò)建設(shè)目標(biāo)校園網(wǎng)絡(luò)建設(shè)目標(biāo)我校校園網(wǎng)工程范圍主要為包括辦公樓、圖書(shū)室、住宿樓及實(shí)驗(yàn)樓在內(nèi)的局域網(wǎng)部分。內(nèi)部局域網(wǎng)的建設(shè)包括硬件網(wǎng)絡(luò)平臺(tái)的建設(shè)、相應(yīng)軟件系統(tǒng)的應(yīng)用。目前的根據(jù)校園的整體的網(wǎng)絡(luò)架構(gòu)，要使這復(fù)雜的網(wǎng)絡(luò)跟高速、安全地通信，重要的是要有針對(duì)復(fù)雜網(wǎng)絡(luò)應(yīng)用的一體化解決方案。其著眼點(diǎn)在于:具備能夠?qū)崟r(shí)監(jiān)控并易于管理的功能;能夠?qū)崿F(xiàn)校園師生安全地訪(fǎng)問(wèn)互聯(lián)網(wǎng)和資源共享。歸結(jié)起來(lái)，應(yīng)充分保證以下幾點(diǎn):數(shù)據(jù)通信：網(wǎng)絡(luò)的配置的一

25、個(gè)重點(diǎn)是讓校園能夠?qū)崿F(xiàn)內(nèi)外部的信息交流，實(shí)現(xiàn)資源共享，使師生可以正常的訪(fǎng)問(wèn)互聯(lián)網(wǎng)，這是網(wǎng)絡(luò)配置最基本的要求。訪(fǎng)問(wèn)的可控性:對(duì)關(guān)鍵網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪(fǎng)問(wèn)必須得到有效的控制，這要求在配置路由器與交換機(jī)的過(guò)程中制定一些安全規(guī)則，通過(guò)這些安全規(guī)則來(lái)控制一些 ip 地址、數(shù)據(jù)包對(duì)校園內(nèi)部的訪(fǎng)問(wèn)，并對(duì)任何訪(fǎng)問(wèn)進(jìn)行跟蹤記錄，讓校園有一個(gè)安全、穩(wěn)定的網(wǎng)絡(luò)。網(wǎng)絡(luò)的安全與管理：在這復(fù)雜的網(wǎng)絡(luò)架構(gòu)中，網(wǎng)絡(luò)的方便管理是校園進(jìn)行通信的基礎(chǔ)，只有有效、快捷的網(wǎng)絡(luò)管理 ，才能實(shí)現(xiàn)網(wǎng)絡(luò)中突發(fā)事件快速解決，使網(wǎng)絡(luò)正常通信，良好的網(wǎng)絡(luò)配置，也可以讓管理員快速地熟悉管理校園整個(gè)網(wǎng)絡(luò)。2.4 校園總體拓?fù)鋱D校園總體拓?fù)鋱DIntern

26、et圖書(shū)館實(shí)驗(yàn)樓辦公樓宿舍樓 S1/0 F0/1 F0/1 服務(wù)器VLAN 10 :VLAN 20 :VLAN 30 :VLAN 40 :SW1R1F0/3F0/5S1F0/2SW2SW3F0/2F0/1S2F0/2F0/1ftpVLAN 20VLAN 30VLAN 40F0/4F0/4WebS0VLAN 10圖 2-1 校園網(wǎng)絡(luò)拓?fù)鋱D2.5 前期整體分析前期整體分析統(tǒng)一大量采用了 cisco2 層和

27、 3 層交換機(jī)和少量的路由器來(lái)構(gòu)建網(wǎng)絡(luò)，目前普遍采用 3 層式結(jié)構(gòu)化設(shè)計(jì)方案，該種方案結(jié)構(gòu)清晰，網(wǎng)絡(luò)運(yùn)行效率高，易于擴(kuò)展。具體結(jié)構(gòu)如圖 3-1 其中 SW1 是網(wǎng)絡(luò)的核心層交換機(jī)，SW2 和 SW3 是網(wǎng)絡(luò)的接入層交換機(jī)。在核心層配置 vtp 服務(wù)器，就可以在一臺(tái)交換機(jī)上集中修改 vlan 的配置，所做的修改會(huì)被自動(dòng)傳播到網(wǎng)絡(luò)中的所有其它計(jì)算機(jī)上，實(shí)現(xiàn)了交換機(jī) vlan 的統(tǒng)一配置。在路由器上使用 nat，利用 nat 技術(shù)就可以解決了校園對(duì)外部互聯(lián)網(wǎng)訪(fǎng)問(wèn)的問(wèn)題。實(shí)現(xiàn)師生可以正常瀏覽 Internet。以便讓廣大師生更快的了解社會(huì)、國(guó)家、國(guó)際上的消息2.6 網(wǎng)絡(luò)配置原則網(wǎng)絡(luò)配置原則1、實(shí)用性從

28、保護(hù)各系原用的設(shè)備投資和能夠完全滿(mǎn)足現(xiàn)實(shí)需求的角度出發(fā)，充分集成現(xiàn)有的各種計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備，使建設(shè)的系統(tǒng)適用、安全、可靠且易管理、維護(hù)和擴(kuò)展，具有最高的性?xún)r(jià)比。2、開(kāi)放性構(gòu)造一個(gè)開(kāi)放的網(wǎng)絡(luò)系統(tǒng)，是當(dāng)前世界計(jì)算機(jī)技術(shù)發(fā)展的潮流，因此我們?cè)谡麄€(gè)系統(tǒng)的設(shè)計(jì)中采用的規(guī)范、設(shè)備與廠商無(wú)關(guān)，具有較強(qiáng)的兼容性，便于與外界異種機(jī)平滑互聯(lián)。3、先進(jìn)性當(dāng)今的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展日新月異，把握不準(zhǔn)的方向則可能導(dǎo)致在很短的時(shí)間內(nèi)技術(shù)落伍，從而面臨被淘汰的危險(xiǎn)。因此在堅(jiān)持實(shí)用性的前提下盡量采用國(guó)際先進(jìn)成熟的網(wǎng)絡(luò)技術(shù)和設(shè)備，適合未來(lái)的發(fā)展，做到一次規(guī)劃長(zhǎng)期受益。4、可擴(kuò)充性所選擇的聯(lián)網(wǎng)方案及設(shè)備要能適應(yīng)網(wǎng)絡(luò)規(guī)劃的不斷擴(kuò)大的

29、要求，以便于將來(lái)設(shè)備的擴(kuò)充；要能適應(yīng)信息技術(shù)不斷發(fā)展的要求，平穩(wěn)地向未來(lái)新技術(shù)過(guò)渡。5、可靠性系統(tǒng)設(shè)計(jì)除采用信譽(yù)好，質(zhì)量高的設(shè)備外，還采用一系列容錯(cuò)、冗余技術(shù)、提高整個(gè)系統(tǒng)的可靠性。6 合理投資靈活升級(jí)-由于校園數(shù)據(jù)具有保密性、不可公開(kāi)性的特點(diǎn)。所以校園網(wǎng)絡(luò)解決方案可以在保護(hù)原有投資的同時(shí)，以最少的投資來(lái)獲得最好的網(wǎng)絡(luò)結(jié)構(gòu)。2.7 IP 地址規(guī)劃地址規(guī)劃IP 地址規(guī)劃原則：1、簡(jiǎn)單性地址的分配應(yīng)該簡(jiǎn)單，避免在主干上采用復(fù)雜的掩碼方式；2、連續(xù)性為同一個(gè)網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于采用路由收斂技術(shù)縮減路由表的表項(xiàng)，提高路由器的處理效率；3、靈活性1R1地址分配不應(yīng)該基于某個(gè)網(wǎng)絡(luò)路由策略的優(yōu)化

30、方案，應(yīng)該便于多數(shù)路由策略在該地址分配方案上實(shí)現(xiàn)優(yōu)化；4、唯一性在整個(gè)網(wǎng)絡(luò)環(huán)境中必須保持 IP 地址的唯一性；5、可管理性地址的分配應(yīng)該有層次，某個(gè)局部的變動(dòng)不要影響上層、全局；6、安全性網(wǎng)絡(luò)內(nèi)應(yīng)按工作內(nèi)容劃分成不同網(wǎng)段即子網(wǎng)以便進(jìn)行管理。具體規(guī)劃見(jiàn)表 3.1表 2.1 ip 地址規(guī)劃表IP 地址區(qū)域/24圖書(shū)館/24辦公樓/24實(shí)驗(yàn)樓/24宿舍樓第三章第三章 交換模塊設(shè)計(jì)交換模塊設(shè)計(jì)3.1 虛擬局域網(wǎng)虛擬局域網(wǎng)隨著企事業(yè)單位的局域網(wǎng)內(nèi)的主機(jī)數(shù)量日益的增多，由大量的廣播報(bào)文帶來(lái)的快帶浪費(fèi)、安全等問(wèn)題業(yè)越突出

31、，為了解決這樣的問(wèn)題，我們就要對(duì)交換機(jī)進(jìn)行劃分 vlan。通過(guò)這樣在同一個(gè) vlan 中的主機(jī)不論他們實(shí)際與哪個(gè)交換機(jī)連接，它們之間的通信就好像在獨(dú)立的交換機(jī)上一樣。同一個(gè) vlan 中的廣播只有 vlan 中的成員才能聽(tīng)到，而不會(huì)傳輸?shù)狡渌?vlan 中去，這樣就可以很好地控制不必要的廣播報(bào)文的擴(kuò)散，提高了網(wǎng)絡(luò)內(nèi)部帶資源的利用率，業(yè)減少了主機(jī)接受這些不必要的廣播帶來(lái)的資源浪費(fèi)。企業(yè)網(wǎng)通過(guò)劃分 vlan，可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全。在企業(yè)中由于地理位置和部門(mén)的不同，而對(duì)網(wǎng)絡(luò)中相應(yīng)的數(shù)據(jù)和資源就有不同的權(quán)限要求，利用vlan 技術(shù)就可以很好的解決。3.1.1 vlan 的配置的配置S1 劃分

32、vlanS1#conf t S1(config)#vlan 10 S1(config-vlan)# name tushuguanS1(config-vlan)#vlan 20 S1(config-vlan)#name bangonglouS1(config-vlan)#vlan 30S1(config-vlan)#name shiyanlouS1(config-vlan)#vlan 40S1(config-vlan)#name sushelou設(shè)置交換機(jī) S2 的端口 210 端口 VLAN10 的成員:S2(config)#vlan 10S2(config-vlan)# name tushu

33、guan S2(config-vlan)#exitS2(config)#vlan 20S2(config-vlan)#name bangonglouS2(config-vlan)#exitS2(config)#inter range f 0/2-10 S2(config-if)#switchport mode access S2(config-if)#switchport access vlan 10設(shè)置交換機(jī) S2 的端口 1121 端口 VLAN20 的成員:S2(config)#inter range f 0/11-21S2(config-if)#switchport mode acce

34、ssS2(config-if)#switchport access vlan 20S2(config-if)#int fa0/1S2(config-if)# switchport mode trunk設(shè)置交換機(jī) S3 的端口 210 端口 VLAN30 的成員:S3(config)#vlan 30S3(config-vlan)# name shiyanlou S3(config-vlan)#exitS3(config)#vlan 40S3(config-vlan)# name sushelouS3(config-vlan)#exitS3(config)#inter range f 0/2-10

35、 S3(config-if)#switchport mode access S3(config-if)#switchport access vlan 10設(shè)置交換機(jī) S3 的端口 1121 端口 VLAN40 的成員:S3(config)#inter range f 0/11-21 S3(config-if)#switchport mode access S3(config-if)#switchport access vlan 20S3(config-if)#int fa0/1S3(config-if)# switchport mode trunk3.1.2 利用交換機(jī)實(shí)現(xiàn)利用交換機(jī)實(shí)現(xiàn) vl

36、an 間的通信間的通信采用單臂路由的方式實(shí)現(xiàn) vlan 間路具有速度慢，轉(zhuǎn)發(fā)速速率低的缺點(diǎn)，容易產(chǎn)生瓶頸，所以在網(wǎng)絡(luò)中已不能采用三層交換機(jī)，一三層交換的方式來(lái)實(shí)現(xiàn)vlan 間的路由。S1(config)#interface vlan 10S1(config-if)#exitS1(config)#interface vlan 20S1(config-if)#exitS1(config)#interface vlan 30S1 (config-if)#exitS1(config)#interface vlan 40S1 (config-if)#exit3.2 接入層的配置接入層的配置我們?cè)趨R聚層采

37、用的是核心交換機(jī)的配置，在這個(gè)二層交換機(jī)上我們對(duì)它進(jìn)行創(chuàng)建 vtp client、劃分 vlan 端口VTP（VLAN Trunking Protocol）：是 VLAN 中繼協(xié)議，也被稱(chēng)為虛擬局域網(wǎng)干道協(xié)議。它是思科私有協(xié)議。作用是十幾臺(tái)交換機(jī)在網(wǎng)中，配置 VLAN 工作量大，可以使用 VTP 協(xié)議，把一臺(tái)交換機(jī)配置成 VTP Server, 其余交換機(jī)配置成 VTP Client,這樣他們可以自動(dòng)學(xué)習(xí)到 server 上的 VLAN 信息。VTP 本質(zhì)是 cisco 私有的 vlan 管理工具,它在 trunk 鏈路上傳送 vlan 信息(vlanid,vlanname,mtu)同步 vl

38、andatabase.從而保護(hù)了二層交換網(wǎng)絡(luò)中 vlan 配置的一致性VTP 的作用：vtp 的主要目的是在一個(gè)交換性的環(huán)境中管理所有配置好的vlan 使所有的 vlan 保持一致性。通常情況下，我們需要在整個(gè)園區(qū)網(wǎng)或者企業(yè)網(wǎng)中的一組的交換機(jī)中保持 VLAN 數(shù)據(jù)庫(kù)的同步，以保證所有交換機(jī)都能從數(shù)據(jù)幀中讀取相關(guān)的 VLAN 信息進(jìn)行正確的數(shù)據(jù)轉(zhuǎn)發(fā)，然而對(duì)于大型網(wǎng)絡(luò)來(lái)說(shuō)，可能有成百上千臺(tái)交換機(jī)，而一臺(tái)交換機(jī)上都可能存在幾十乃至數(shù)百個(gè)VLAN，如果僅憑網(wǎng)絡(luò)工程師手工配置的話(huà)是一個(gè)非常大的工作量，并且也不利于日后維護(hù)每一次添加修改或刪除 VLAN 都需要在所有的交換機(jī)上部署。在這種情況下，我們引入了

39、 VTP（VLAN Trunking Protocol） 。VTP 模式：服務(wù)器(server)：交換機(jī)默認(rèn)的，vtp 域中至少需要一臺(tái)服務(wù)器,以便在整個(gè)域中傳播 vlan 信息,可以創(chuàng)建、添加、刪除 vlan 且通告整個(gè) vtp 域?？蛻?hù)機(jī)(client)：交換機(jī)從 vtp 服務(wù)器接收信息,它們也發(fā)送和接收更新,但不做任何改動(dòng)。透明(transparent)：交換機(jī)不參與 vtp 域，但轉(zhuǎn)發(fā) vtp 通告，可以創(chuàng)建、添加、刪除 vlan，但不和其他交換共享數(shù)據(jù)庫(kù)。 vtp 配置配置為了讓所有 vlan 統(tǒng)一配置管理，讓匯聚層交換機(jī) sw1 作為 vtp server，sw2、sw3 為 vt

40、p client。在 sw1 上創(chuàng)建所有 vlan，讓 sw2 跟 sw3 可以學(xué)到 vlan。 vtp 服務(wù)器配置服務(wù)器配置S1#conf t S1(config)#vtp server S1(config)#vtp domain ciscoS1(config)#vtp password cisco vtp 客戶(hù)端配置客戶(hù)端配置S2# conf t S2(config)#vtp client S2(config)#vtp domain ciscoS2(config)#vtp password ciscoS3# conf t S3(config)#vtp client S3(config)#v

41、tp domain ciscoS3(config)#vtp password cisco第四章第四章 路由器的配置路由器的配置4.1 路由器的配置路由器的配置由于目前 IP 地址資源非常稀缺，不可能給校園網(wǎng)內(nèi)部的所有工作站都分配 一個(gè)公有 IP（Internet 可路由的）地址。為了解決所有工作站訪(fǎng)問(wèn) Internet 的需 要，必須使用 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)。NAT 的配置：定義 NAT 內(nèi)部、外部接口R1(config)#interface fastehernet 0/0R1(config-if)#ip address R1(config-if)#ip nat insideR1(co

42、nfig-if)#interface serial 1/0R1(config-if)#ip address R1(config-if)#ip nat outsideR1(config)#ip nat inside source static 實(shí)現(xiàn)內(nèi)部 web 服務(wù)器向外網(wǎng)提供服務(wù)：R1 (config)#2 netmask 255.25R1(config)# access-list 1 permit host R1(config)# ip nat inside source list 1 pool pool overloadR1(config)#int f 0/2R1(config)#ip n

43、at insideR1(config)#int s 0/1R1(config)#ip nat outside4.2 OSPF 的基本配置的基本配置OSPF 是一個(gè)基于鏈路狀態(tài)的內(nèi)部網(wǎng)關(guān)協(xié)議。每個(gè)路由器維護(hù)一個(gè)相同的鏈路狀態(tài)數(shù)據(jù)庫(kù)，保存整個(gè) AS 的拓?fù)浣Y(jié)構(gòu)。一旦每個(gè)路由器有了完整的鏈路狀態(tài)數(shù)據(jù)庫(kù)，該路由器就可以自己為根，構(gòu)造最短路徑樹(shù)，然后再根據(jù)最短路徑構(gòu)造路由表。對(duì)于大型的網(wǎng)絡(luò)，為了進(jìn)一步減少路由協(xié)議通信流量，利于管理和計(jì)算，OSPF 將整個(gè) AS 劃分為若干個(gè)區(qū)域，區(qū)域內(nèi)的路由器維護(hù)一個(gè)相同的鏈路狀態(tài)數(shù)據(jù)庫(kù)，保存該區(qū)域的拓?fù)浣Y(jié)構(gòu)。當(dāng)拓?fù)浣Y(jié)構(gòu)發(fā)生變化時(shí)，OSPF 能迅速重新計(jì)算出路徑，而只產(chǎn)

44、生少量的路由協(xié)議流量。OSPF 路由器相互間交換信息，但交換的信息不是路由，而是鏈路狀態(tài)。相對(duì)于其它協(xié)議，OSPF 有許多優(yōu)點(diǎn)：提供負(fù)載均衡功能，如果計(jì)算出到某個(gè)目的站有若干條費(fèi)用相同的路由，OSPF 路由器會(huì)把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送出去；在一個(gè)自治系統(tǒng)內(nèi)可劃分出若干個(gè)區(qū)域，每個(gè)區(qū)域根據(jù)自己的拓?fù)浣Y(jié)構(gòu)計(jì)算最短路徑，這減少了 OSPF 路由實(shí)現(xiàn)的工作量；OSPF 屬動(dòng)態(tài)的自適應(yīng)協(xié)議，對(duì)于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速地做出反應(yīng)，進(jìn)行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比，OSPF 在對(duì)網(wǎng)絡(luò)拓?fù)渥兓奶幚磉^(guò)程中僅需要最少的通信流量；OSP

45、F 提供點(diǎn)到多點(diǎn)接口，支持 CIDR（無(wú)類(lèi)型域間路由）地址。R1(config)#interface Serial 0/1R1(config-if)#ip address R1(config-if)# no shutdownS1(config)#int f0/1S1(config)#no switchportS1(config-if)#ip address S1(config-if)# no shutdownOSPF 路由協(xié)議路由協(xié)議R1(config)#router ospf 10R1R1R1S1(config)#router ospf 10第五章第五章 網(wǎng)絡(luò)安全設(shè)置

46、網(wǎng)絡(luò)安全設(shè)置5.1 訪(fǎng)問(wèn)控制列表訪(fǎng)問(wèn)控制列表路由器是外網(wǎng)進(jìn)入內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路 由器上的問(wèn)控制列表（Access Control List，ACL）是保護(hù)內(nèi)網(wǎng)安全的有效手段。一個(gè)設(shè)計(jì)良好的訪(fǎng)控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用， 還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投的情況下完成一般軟、硬件防火墻產(chǎn)品 的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時(shí)的第 一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對(duì)路由器的 訪(fǎng)問(wèn)控制列表進(jìn)行縝密的設(shè)計(jì)，來(lái)對(duì)企業(yè)內(nèi)網(wǎng)包括防火墻本身實(shí)施保護(hù)。 在本實(shí)例設(shè)計(jì)中，將針對(duì)服務(wù)器以及內(nèi)網(wǎng)工作站的安全給出廣域網(wǎng)接入路

47、 由器 InternetRouter 上 ACL 的配置方案。 在網(wǎng)絡(luò)環(huán)境中普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。在 絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實(shí)現(xiàn)中它們都是應(yīng)該對(duì)外加以屏蔽的。主要該做以下的 ACL 設(shè)計(jì)：5.1.1 對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議對(duì)外屏蔽簡(jiǎn)單網(wǎng)管協(xié)議利用這個(gè)協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩 種服務(wù)類(lèi)型：SNMP 和 SNMPTRAP。 R1 (config)#access-list 101 deny udp any any eq snmpR1(config)#access-list 101 deny udp any any eq snmptrap5.1.2

48、 對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議 首先，telnet 可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和 UNIX 服務(wù)器，并可以使用相關(guān) 命令全操縱它們。其次，telnet 是一種不安全的協(xié)議類(lèi)型。用戶(hù)在使用 telnet 登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時(shí)所使用的用戶(hù)名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?，?容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。這是極其危險(xiǎn)的，因此必須加以屏蔽。 R1(config)#access-list 101 deny udp any any eq telnet5.1.3 配置訪(fǎng)問(wèn)控制列表配置訪(fǎng)問(wèn)控制列表宿舍樓是學(xué)生為主，應(yīng)限制宿舍樓對(duì)辦公樓的訪(fǎng)問(wèn)。S1(config)#access-list 10

49、0 S1(config)#access-list 100 permit ip any anyS1(config)#int f0/5S1(config-if)#ip access-grop 100 inS1(config-if)#exit因?yàn)?ftp 作為學(xué)校的內(nèi)部信息的流通渠道，為保證本學(xué)校的信息安全，學(xué)校不希望自己的信息被外界知道，所以要求拒絕外界網(wǎng)絡(luò)對(duì)本學(xué)校 ftp 的訪(fǎng)問(wèn)，只用于內(nèi)部的訪(fǎng)問(wèn)與交流，而 web 服務(wù)器則都可以訪(fǎng)問(wèn)。配置如下：R1(config)#access-list 101 permit tcp eq ftpR1(config)#access-list 101 permi

50、t tcp any host eq wwwR1(config)#access-list 10R1(config)#access-list 101 permit ip any anyR1(config)#interface s0/1R1 (config-if)#ip access-group 101 in5.2 端口聚合配置端口聚合配置由于公司有許多的數(shù)據(jù)流量是跨交換機(jī)進(jìn)行轉(zhuǎn)發(fā)的，因此需要提高交換機(jī)之間的傳輸帶寬，并且實(shí)現(xiàn)鏈路的冗余備份，因此建立端口聚合從而增 大鏈路帶寬，解決交換機(jī)中因帶寬引起的網(wǎng)絡(luò)瓶頸問(wèn)題，多天鏈路之間能夠相互冗余備份，其中任意一條斷開(kāi)，不會(huì)影響其他鏈路的正常轉(zhuǎn)發(fā)數(shù)據(jù)。S0(

51、config)#interface range fastethernet0/10-11S0(config-if-range)#prot-group 1S0(config-if-range)#exitS0(config)#interface aggregateport 1S0(config-if)#switchport mode trunkS0(config)#exitS1config)#interface range fastethernet0/10-11S1(config-if-range)#prot-group 1S1(config-if-range)#exitS1(config)#int

52、erface aggregateport 1S1(config-if)#switchport mode trunkS1(config)#exit5.3 防火墻的設(shè)置防火墻的設(shè)置在現(xiàn)今的網(wǎng)絡(luò)安全環(huán)境下，木馬、病毒肆虐，黑客攻擊頻繁，而各種流氓軟軟件、間諜軟件也行風(fēng)作浪。光靠殺毒軟件已不足以保證我們的系統(tǒng)安全，這時(shí)防火墻就能幫我們解決。防火墻是一類(lèi)防范措施的總稱(chēng)，它使得內(nèi)部網(wǎng)絡(luò)與 Internet 之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪(fǎng)用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻簡(jiǎn)單的可以只用路由器實(shí)現(xiàn)，復(fù)雜的可以用主機(jī)甚至一個(gè)子網(wǎng)來(lái)實(shí)現(xiàn)。設(shè)置防火墻目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道，簡(jiǎn)化網(wǎng)絡(luò)的安全

53、管理。防火墻的功能有：1、過(guò)濾掉不安全服務(wù)和非法用戶(hù)2、控制對(duì)特殊站點(diǎn)的訪(fǎng)問(wèn)3、提供監(jiān)視 Internet 安全和預(yù)警的方便端第六章第六章 相關(guān)測(cè)試診斷命令相關(guān)測(cè)試診斷命令6.1 通用測(cè)試、診斷命令通用測(cè)試、診斷命令本文的最后，按不同的功能按每種技術(shù)分類(lèi)，給出路由器或交換機(jī)上常用 的相關(guān)測(cè)試、診斷命令。同時(shí)，還給出了每一命令的作用標(biāo)準(zhǔn) ping 命令。用于測(cè)試設(shè)備間的物理連通性。2、ping擴(kuò)展 ping 命令。也用于測(cè)試設(shè)備間的物理連通性。擴(kuò)展 ping 命令還支持靈 活定義 ping 參數(shù)，如 ping 數(shù)據(jù)包的大小，發(fā)送包的個(gè)數(shù)，等待響應(yīng)數(shù)據(jù)包的 超時(shí)時(shí)間等。 命令 show runni

54、ng-config 用于顯示路由器、交換機(jī)運(yùn)行配置文件的內(nèi)容。命令 traceroute 用于跟蹤、顯示路由信息。4、show running-config命令 show running-config 用于顯示路由器、交換機(jī)運(yùn)行配置文件的內(nèi)容5、show startup-config 命令 show startup-config 用于顯示路由器、交換機(jī)啟動(dòng)配置文件的內(nèi)容。6、show sessions 命令 show sessions 用于顯示從當(dāng)前設(shè)備發(fā)出的所有呼出 Telnet 會(huì)話(huà)。 7、disconnect 命令 disconnect 用于斷開(kāi)與遠(yuǎn)程目標(biāo)主機(jī)的 Telnet 會(huì)話(huà)。 8

55、、show users 命令 show users 用于查看呼入 Telnet 會(huì)話(huà)情況。 9. shutdown命令 shutdown 用于臨時(shí)將某個(gè)接口關(guān)閉。 10、no shutdown 命令 no shutdown 用于手動(dòng)啟動(dòng)（激活）處于管理性關(guān)閉的接口。 11、show interfaces 命令 show interface 用于顯示各接口的狀態(tài)及參數(shù)信息。 12、show ip interface 命令 show ip interface 用于顯示 IP 接口的狀態(tài)及配置信息。13、show version命令 show version 用于顯示路由器硬件配置、軟件版本等信息。

56、 14、show debugging 命令 show debugging 用于顯示正在進(jìn)行的診斷過(guò)程清單。6.2 路由和路由協(xié)議測(cè)試、診斷命令路由和路由協(xié)議測(cè)試、診斷命令1. show ip route 命令 show ip route 用于顯示當(dāng)前路由表內(nèi)容。 2、show ip protocols 命令 show ip protocols 用于顯示動(dòng)態(tài)路由協(xié)議的配置參數(shù)信息。 6.3 VLAN 測(cè)試、診斷命令測(cè)試、診斷命令1、show interface vlan vlan-num 命令 show interface vlan vlan-num 用于顯示 VLAN 是否已激活、交換機(jī) MA

57、C 基地址、接口參數(shù)等。 2、show mac-address-table 命令 show mac-address-table 用于顯示 CAM，即橋接表的內(nèi)容。該命令可列 出學(xué)習(xí)到的主機(jī) MAC 地址及其所屬 VLAN、所處端口、條目類(lèi)型（靜態(tài) STATIC、 動(dòng)態(tài) DYNAMIC 等）以及滿(mǎn)足列表?xiàng)l件的 MAC 地址數(shù)目。 3、show vlan 命令 show vlan 用于查看 VLAN 創(chuàng)建情況。該命令可以顯示系統(tǒng)所有的 VLAN 信息，包括 VLAN 編號(hào)、VLAN 名稱(chēng)、VLAN 狀態(tài)、VLAN 成員等信息。6.4 生成樹(shù)測(cè)試、診斷命令生成樹(shù)測(cè)試、診斷命令1、show spanning-tree 命令 show spanning-tree 用于顯示生成樹(shù)協(xié)議中交換機(jī)及其端口的情況。