2017畢業(yè)論文-大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計.doc

成都理工大學工程技術(shù)學院畢業(yè)設(shè)計 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 作者姓名： 專業(yè)：計算機科學與技術(shù) 指導教師： 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 I 摘要摘要 校園網(wǎng)是各種類型網(wǎng)絡(luò)中一大分支，有著非常廣泛的應用。 作為新技術(shù)的發(fā)祥地，學校、尤其是高等學校，和網(wǎng)絡(luò)的 關(guān)系十分密切，網(wǎng)絡(luò)最初是在校園里進行實驗并獲得成功的，許 多網(wǎng)絡(luò)新技術(shù)也是首先在校園網(wǎng)中獲得成功，進而才推向社會的。 另一方面，作為“高新技術(shù)孵化器”的學校，知識、人才的資源 十分豐富，比其他行業(yè)更渴求信息、希望能有渠道獲得各種各樣 的信息來促進自身在研究、學術(shù)上的進步。 論文在局域網(wǎng)技術(shù)和現(xiàn)今發(fā)展基礎(chǔ)上，分析了建立校園網(wǎng) 的意義，建設(shè)原則和目標，并詳細闡述了其設(shè)計過程。文章從系 統(tǒng)結(jié)構(gòu)、布線系統(tǒng)、網(wǎng)絡(luò)方案、管理等方面討論了校園網(wǎng)的設(shè)計 方案。在網(wǎng)絡(luò)設(shè)計中，詳細介紹了網(wǎng)絡(luò)拓撲結(jié)構(gòu)、VLAN 劃分,并 在部分辦公室引入無線網(wǎng)絡(luò)，實現(xiàn)了網(wǎng)絡(luò)的人性化設(shè)計，最后通 過相關(guān)軟件對網(wǎng)絡(luò)進行管理以及實現(xiàn)網(wǎng)絡(luò)的安全性。 關(guān)鍵詞關(guān)鍵詞：網(wǎng)絡(luò)工程；校園網(wǎng)；網(wǎng)絡(luò)設(shè)計； 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 II AbstractAbstract Campus Network is a major branch of Various types of network, which has a very wide range of application. As the birthplace of new technologies, especially for colleges and universities,has a very close relationship with the network.The network was first to test and succeeded in campus.Many other new technologies also first succeeded in campus,and then used in the community.On the other hand, school as a “high-tech incubator“,has rich resources in knowledge and talent,demands information more eagerly than any other industry,and would like to have access to a wide range of information channels to promote their own research and academic progress. This paper analyze the significance of the establishment of the campus network,the construction of the principles and objectives, and explain the detail of its design process based on the local area network technology and the current development.The article discusses the campus network design,cabling systems,network programs, and management. It also expatiates detailed information on network topology, VLAN division,introduces wireless networks into part of the office, and finally achieves the humanization of the network design through the relevant network management software and network security in network design area. KeyWords:Networkproject,Campusenetwork ,Networkdesign 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 III 目錄目錄 摘要I AbstractII 目錄III 前言- 1 - 1 局域網(wǎng)概述.- 2 - 1.1 局域網(wǎng)技術(shù)- 2 - 1.1.1 局域網(wǎng)基本特征- 2 - 1.1.2 局域網(wǎng)的工作模式.- 2 - 1.1.3 局域網(wǎng)拓撲類型.- 4 - 1.1.4 局域網(wǎng)網(wǎng)絡(luò)類型- 5 - 1.1.5 局域網(wǎng)基本工作原理- 7 - 1.2 校園網(wǎng)- 9 - 2 校園網(wǎng)總體設(shè)計- 10 - 2.1 概述- 10 - 2.2 方案實施- 11 - 2.2.1 結(jié)構(gòu)化布線.- 11 - 2.2.2 網(wǎng)絡(luò)設(shè)備選型.- 12 - 2.3 系統(tǒng)分析.- 16 - 2.3.1 關(guān)鍵網(wǎng)絡(luò)系統(tǒng).- 16 - 2.3.2 網(wǎng)絡(luò)解決辦法.- 17 - 2.3.3 技術(shù)分析- 17 - 3 系統(tǒng)詳細設(shè)計- 19 - 3.1 系統(tǒng)組成與拓撲結(jié)構(gòu).- 19 - 3.1.1 VLAN 及 IP 地址規(guī)劃- 19 - 3.2 交換模塊設(shè)計.- 20 - 3.2.1 訪問層交換服務的實現(xiàn)配置訪問層交換機- 20 - 3.2.2 分布層交換服務的實現(xiàn)配置分布層交換機- 25 - 3.2.3 核心層交換服務的實現(xiàn)配置核心層交換機- 29 - 3.3 廣域網(wǎng)接入模塊設(shè)計.- 31 - 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 IV 3.4 服務器模塊設(shè)計.- 35 - 4 測試- 37 - 4.1 系統(tǒng)測試.- 37 - 4.2 相關(guān)測試、診斷命令.- 37 - 4.2.1 通用測試、診斷命令- 37 - 4.2.2 CDP 測試、診斷命令.- 38 - 4.2.3 路由和路由協(xié)議測試、診斷命令- 38 - 4.2.4 VLAN、VTP 測試、診斷命令- 38 - 4.2.5 生成樹測試、診斷命令.- 39 - 4.2.6 NAT 測試、診斷命令.- 39 - 致謝- 40 - 參考文獻.- 41 - 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 1 - 前言前言 校園網(wǎng)是各種類型網(wǎng)絡(luò)中一大分支，有著非常廣泛的應用。 作為新技術(shù)的發(fā)祥地，學校、尤其是高等學校和網(wǎng)絡(luò)的關(guān)系 十分密切，網(wǎng)絡(luò)最初是在校園里進行實驗并獲得成功的，許多網(wǎng) 絡(luò)新技術(shù)也是首先在校園網(wǎng)中獲得成功，進而才推向社會的。 我們看看國內(nèi)校園網(wǎng)現(xiàn)狀，也正是因為看到網(wǎng)絡(luò)與學校之間 的密切關(guān)系，國家從 1994 年正式啟動中國教育科研計算機網(wǎng) (CERNET)以來，已與國內(nèi)幾百所學校相連，為廣大師生及科研 人員提供了一個全新的網(wǎng)絡(luò)環(huán)境。隨著信息技術(shù)的飛速發(fā)展，校 園網(wǎng)的建設(shè)已經(jīng)逐漸提到議事日程上來。 對比國外校園網(wǎng)的建設(shè)和使用情況，我國目前的大多數(shù)校園 網(wǎng)的結(jié)構(gòu)、規(guī)模和應用都不是很完整，網(wǎng)絡(luò)設(shè)備、計算機設(shè)備的 功能沒有得到充分地挖掘和發(fā)揮。 怎樣利用網(wǎng)絡(luò)設(shè)備，進一步發(fā)揮各種設(shè)備的功能，實現(xiàn)學校 各項業(yè)務系統(tǒng)的集成，提高應用水平將是學校校園網(wǎng)建設(shè)的下一 個工作重點。 本次設(shè)計就從用戶的需求分析入手，以我校為例設(shè)計出一個 校園網(wǎng)拓撲結(jié)構(gòu)，并闡述了校園網(wǎng)的應用特點，以及網(wǎng)絡(luò)產(chǎn)品如 何滿足校園網(wǎng)用戶的多方面需求。 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 2 - 1 1 局域網(wǎng)概述局域網(wǎng)概述 1.1 局域網(wǎng)局域網(wǎng)技術(shù)技術(shù) 1.1.1 局域網(wǎng)基本特征局域網(wǎng)基本特征 1局域網(wǎng)最主要的特點： 網(wǎng)絡(luò)為一個單位所擁有，分布范圍小，投資少，配置簡單等， 具有如下特征： 傳輸速率高：一般為 1Mbps-20Mbps，光纖高速網(wǎng)可達 100Mbps，1000MbpS。 支持傳輸介質(zhì)種類多。 通信處理一般由網(wǎng)卡完成。 傳輸質(zhì)量好，誤碼率低。 有規(guī)則的拓撲結(jié)構(gòu)。 2局域網(wǎng)具有如下的一些主要優(yōu)點： 能方便地共享昂貴的外部設(shè)備、主機以及軟件、數(shù)據(jù)。 從一個站點可訪問全網(wǎng)。 便于系統(tǒng)的擴展和逐漸地演變，各設(shè)備的位置可靈活調(diào)整 和改變。 提高了系統(tǒng)的可靠性、可用性和殘存性。 1.1.2 局域網(wǎng)的工作模式局域網(wǎng)的工作模式 1專用服務器結(jié)構(gòu)：(Server-Baseb) 又稱為“工作站/文件服務器”結(jié)構(gòu)，由若干臺微機工作站 與一臺或多臺文件服務器通過通信線路連接起來組成工作站存取 服務器文件，共享存儲設(shè)備。文件服務器自然以共享磁盤文件為 主要目的。 對于一般的數(shù)據(jù)傳遞來說已經(jīng)夠用了，但是當數(shù)據(jù)庫系統(tǒng)和 其它復雜而被不斷增加的用戶使用的應用系統(tǒng)到來的時候，服務 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 3 - 器已經(jīng)不能承擔這樣的任務了，因為隨著用戶的增多，為每個用 戶服務的程序也增多，每個程序都是獨立運行的大文件，給用戶 感覺極慢，因此產(chǎn)生了客戶機/服務器模式。 2客戶機/服務器模式：(client/server) 其中一臺或幾臺較大的計算機集中進行共享數(shù)據(jù)庫的管理和 存取，稱為服務器，而將其它的應用處理工作分散到網(wǎng)絡(luò)中其它 微機上去做，構(gòu)成分布式的處理系統(tǒng)，服務器控制管理數(shù)據(jù)的能 力己由文件管理方式上升為數(shù)據(jù)庫管理方式，因此，C/S 由的服 務器也稱為數(shù)據(jù)庫服務器，注重于數(shù)據(jù)定義及存取安全后備及還 原，并發(fā)控制及事務管理，執(zhí)行諸如選擇檢索和索引排序等數(shù)據(jù) 庫管理功能，它有足夠的能力做到把通過其處理后用戶所需的那 一部分數(shù)據(jù)而不是整個文件通過網(wǎng)絡(luò)傳送到客戶機去，減輕了網(wǎng) 絡(luò)的傳輸負荷。C/S 結(jié)構(gòu)是數(shù)據(jù)庫技術(shù)的發(fā)展和普遍應用與局域 網(wǎng)技術(shù)發(fā)展相結(jié)合的結(jié)果。 3對等式網(wǎng)絡(luò)：（Peer-to-Peer) 在拓撲結(jié)構(gòu)上與專用 Server 與 C/S 相同，在對等式網(wǎng)絡(luò)結(jié) 構(gòu)中，沒有專用服務器。 每一個工作站既可以起客戶機作用也可以起服務器作用。 雖然目前的網(wǎng)卡、HUB 和交換機都能提供 100M 甚至更寬 的帶寬，但一個局域網(wǎng)如果配置不當，盡管配置的設(shè)備都非常高 檔而網(wǎng)絡(luò)速度仍不能如意；或者經(jīng)常出現(xiàn)死機、打不開一個小文 件或根本無法連通服務器，特別是在一些設(shè)備檔次參差不齊的網(wǎng) 絡(luò)中這些現(xiàn)象更是時有發(fā)生。在局域網(wǎng)中恰當?shù)剡M行配置，才能 使網(wǎng)絡(luò)性能盡可能地進行優(yōu)化，最大限度地發(fā)揮網(wǎng)絡(luò)設(shè)備、系統(tǒng) 的性能。其實局域網(wǎng)也是由一些設(shè)備和系統(tǒng)軟件通過一種連接方 式組成的，所以局域網(wǎng)的優(yōu)化包括以下幾個方面： 設(shè)備優(yōu)化：包括傳輸介質(zhì)的優(yōu)化、服務器的優(yōu)化、HUB 與 交換機的優(yōu)化等。 軟件系統(tǒng)的優(yōu)化：包括服務器軟件的優(yōu)化和工作站系統(tǒng)的優(yōu) 化。 布局的優(yōu)化：包括布線和網(wǎng)絡(luò)流量的控制。 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 4 - 1.1.3 局域網(wǎng)拓撲類型局域網(wǎng)拓撲類型 拓撲結(jié)構(gòu)是在邏輯上對網(wǎng)絡(luò)的一個描述，它反映了整個網(wǎng)絡(luò) 的結(jié)構(gòu)。在網(wǎng)絡(luò)結(jié)構(gòu)上，目前的網(wǎng)絡(luò)結(jié)構(gòu)主要有以下幾種： 星形拓撲：星形拓撲是由中央節(jié)點和通過點到點鏈路到中 央節(jié)點的各站點組成。 總線拓撲：總線拓撲結(jié)構(gòu)采用單根傳輸作為傳輸介質(zhì)，所 有的站點都通過相應的硬件接口直接連接到傳輸介質(zhì)上，或稱總 線上。 環(huán)形拓撲：由一些中繼器和連接中繼器的點到點鏈路組成 一個閉合環(huán)。每個中繼器都和兩條鏈路相連。 樹形拓撲：樹形拓撲是從總線拓撲演變過來的，形狀像一 棵倒置的樹，頂端有一個分支的根，每個分支還可以延伸出子分 支。它主要有易于擴展和故障隔離等優(yōu)點。 混合拓撲：它是將星形拓撲和環(huán)形拓撲混合起來的一種拓 撲，試圖取這兩種拓撲的優(yōu)點于一個系統(tǒng)。 在選擇拓撲結(jié)構(gòu)時，應該考慮的主要因素有以下幾點：費用 低：安裝費用的高低和拓撲結(jié)構(gòu)的選擇以及傳輸介質(zhì)選擇、傳輸 距離的確定有關(guān)。 靈活性：要考慮到在設(shè)備搬動時很容易重新配置網(wǎng)絡(luò)拓撲， 還有考慮原有節(jié)點的刪除和新節(jié)點的加入。 可靠性：拓撲的選擇要使故障的檢測和故障隔離較為方便。 綜上所述，綜合選擇多種結(jié)構(gòu)，選擇星形和樹形相結(jié)合的拓 撲結(jié)構(gòu)，網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖類型如圖 1-1： 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 5 - 圖 1-1 局域網(wǎng)網(wǎng)絡(luò)拓撲類型 1.1.4 局域網(wǎng)網(wǎng)絡(luò)類型局域網(wǎng)網(wǎng)絡(luò)類型 保護現(xiàn)有投資的有效途徑就是在將來網(wǎng)絡(luò)技術(shù)升級時還能使 用現(xiàn)有的網(wǎng)絡(luò)技術(shù)和產(chǎn)品。如同計算機的發(fā)展速度一樣，網(wǎng)絡(luò)技 術(shù)的發(fā)展也是非常迅速的。如果現(xiàn)有技術(shù)不能合理保證在將來網(wǎng) 絡(luò)升級后還能夠使用，那么將會帶來極大的資金浪費。目前比較 常見的主干網(wǎng)技術(shù)有 FDDI、ATM、快速以太網(wǎng)和千兆以太網(wǎng)等。 其中具有交換功能的快速以太網(wǎng)，支持 VLAN，并容易升級到 千兆以太網(wǎng)和 ATM，由于性能優(yōu)越，價格適中，建議采用快速 以太網(wǎng)作為校園網(wǎng)的主干技術(shù)。 （1） 光纖分布式數(shù)據(jù)接口（FDDI） FDDI 是高性能的高速寬帶 LAN 技術(shù)，它采用定時的令牌 傳送協(xié)議。因此，它可以被看作是一個令牌環(huán)網(wǎng)協(xié)議的高速版本。 但與 TokenRing 技術(shù)不同的是，當其發(fā)送完幀后就立即產(chǎn)生新的 集線器 干線耦合器 總線網(wǎng)星形網(wǎng) 樹形網(wǎng) 環(huán)形網(wǎng) 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 6 - 令牌幀，故其利用率較高，其運行速度可達 100Mb/s。最大距離 可達 200km，可最多連接 1000 個站點。 銅線分布式數(shù)據(jù)接口(CDDI)是 FDDI 的一種變型，可以在不 昂貴的銅線電纜上運行而使用相同的協(xié)議。 FDDI 和 CDDI 的優(yōu)點是冗余、內(nèi)置網(wǎng)絡(luò)管理，具有廣泛的 適用性。但是，采用 FDDI/CDDI 技術(shù)是昂貴而復雜， 始終未 成為主流技術(shù)，發(fā)展速度緩慢，前景不被看好。 （2） 異步傳輸模式（ATM） ATM 作為一種全新的交換技術(shù)，有其明顯的優(yōu)越性。ATM 是將分組交換與電路交換優(yōu)點相結(jié)合的網(wǎng)絡(luò)技術(shù)。在廣域網(wǎng)、城 域網(wǎng)和公用網(wǎng)內(nèi)，ATM 正在被廣泛采用，因為它既能夠?qū)⒍喾N 服務多路復用到一種基礎(chǔ)設(shè)施上，滿足功能越來越強的臺式機對 帶寬不斷增長的需求，又能提供虛擬 LAN 和多媒體等新的網(wǎng)絡(luò) 服務。 但是，ATM 技術(shù)也有其缺點。首先是標準還沒有完全制定 完成，很多重要標準還在修正之中，這就影響了 ATM 技術(shù)的推 廣，尤其是在局域網(wǎng)領(lǐng)域內(nèi)。其次，ATM 技術(shù)目前主要應用是 在專用網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的范圍內(nèi)，而延展到外圍和用戶端均仍采 用傳統(tǒng)的網(wǎng)絡(luò)技術(shù)(以太網(wǎng)、快速以太網(wǎng)、令牌環(huán)網(wǎng)等)，這就使 得在 ATM 網(wǎng)絡(luò)和傳統(tǒng)網(wǎng)絡(luò)之間要建立一個中間的銜接層，這是 一種在 ATM 信元與傳統(tǒng)網(wǎng)絡(luò)的幀結(jié)構(gòu)之間相互轉(zhuǎn)換的技術(shù)，如 Classic IP 和 ATM LANE 等技術(shù)，這種技術(shù)的優(yōu)點是可以把傳統(tǒng) 網(wǎng)絡(luò)接入到 ATM 網(wǎng)絡(luò)中，但缺點是帶來了很大的資源開銷，這 在很大程度上增加了 ATM 網(wǎng)絡(luò)的復雜性并且降低了網(wǎng)絡(luò)的總體 性能。另外，目前的大部分網(wǎng)絡(luò)應用主要是基于 IP 網(wǎng)絡(luò)的應用， 直接針對 ATM 信元的應用很少，這在很大程度上也增加了 ATM 網(wǎng)絡(luò)使用和管理的復雜性。 （3） 快速以太網(wǎng) 快速以太網(wǎng)（fast Ethernet）是一個 IEEE 局域網(wǎng)標準，于 1995 年由原來制定標準的 IEEE802.3 工作組完成，快速以太網(wǎng) 和傳統(tǒng)以太網(wǎng)采用同樣的介質(zhì)訪問協(xié)議（CSMA/CD） 。傳統(tǒng)以太 網(wǎng)用的是 10Mb/s 技術(shù)， 而快速以太網(wǎng)用的是 100Mb/s 技術(shù)。 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 7 - 100Mb/s 的網(wǎng)卡只比 10Mb/s 的網(wǎng)卡略貴一點，但為將來的網(wǎng)絡(luò) 升級提供了很大的靈活性。大多數(shù) 100Mb/s 的網(wǎng)卡能夠自動檢 測所連接的端口是 10Mb/s 還是 100Mb/s，并執(zhí)行相應的操作。 （4）千兆位以太網(wǎng) 千兆位以太網(wǎng)技術(shù)以簡單的以太網(wǎng)技術(shù)為基礎(chǔ)，為網(wǎng)絡(luò)主干 提供 1Gb/s 的帶寬。千兆位以太網(wǎng)技術(shù)以自然的方法來升級現(xiàn)有 的以太網(wǎng)絡(luò)、工作站、管理工具和管理人員的技能。千兆位以太 網(wǎng)與其他速度相當?shù)母咚倬W(wǎng)絡(luò)技術(shù)相比，價格低，同時比較簡單， 例如保留以太網(wǎng)的幀格式、管理工具和對網(wǎng)絡(luò)概念上的認識。現(xiàn) 在千兆位以太網(wǎng)成熟的標準為 IEEE802.3z。 千兆位以太網(wǎng)的設(shè)計非常靈活，幾乎對網(wǎng)絡(luò)結(jié)構(gòu)沒有限制， 可以是交換式、共享式的或基于路由器的。現(xiàn)在正在應用的網(wǎng)絡(luò) 互連技術(shù)，例如，特定 IP 交換技術(shù)和第三層的交換技術(shù)，都與 千兆位以太網(wǎng)完全兼容。 （5） 無線局域網(wǎng) IEEE802.11 委員會已經(jīng)開放了一組無線標準。而目前，基 于 IEEE802.11b 和 IEEE802.11g 協(xié)議標準的在實際應用很多。其 中，IEEE802.11b 標準的無線局域網(wǎng)能達到 11Mbps 的傳輸速度， 而 IEEE802.11g 標準的無線局域網(wǎng)能達到 54Mbps 的傳輸速度。 根據(jù)以上介紹，我們綜合選擇多種高速局域網(wǎng)，同時考慮多 種技術(shù)，校園網(wǎng)的系統(tǒng)結(jié)構(gòu)選擇主干 1000M，桌面 100M 的交 換式以太網(wǎng)技術(shù)。 根據(jù)需求，建設(shè)聯(lián)接信息中心、多媒體教室、辦公樓、住宿 樓及綜合辦公樓等建筑物。其中各部分構(gòu)成相對獨立的子網(wǎng)，通 過交換機接入桌面 PC。 1.1.5 局域網(wǎng)基本工作原理局域網(wǎng)基本工作原理 由于現(xiàn)在以太網(wǎng)的數(shù)據(jù)率已演進到每秒百兆比特、吉比特甚 至 10 吉比特，因此通常就用“傳統(tǒng)以太網(wǎng)”來表示最早進入市 場的 10Mb/s 速率的以太網(wǎng)。下面簡單介紹下以太網(wǎng)的基本工作 原理。 1以太網(wǎng)的兩個標準： 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 8 - （1）DIX Ethernet V2 是世界上第一個局域網(wǎng)產(chǎn)品（以太網(wǎng)） 的規(guī)約。 （2）IEEE 的 802.3 標準。 DIX Ethernet V2 標準與 IEEE 的 802.3 標準只有很小的差 別，因此可以將 802.3 局域網(wǎng)簡稱為“以太網(wǎng)” 。 嚴格說來， “以太網(wǎng)”應當是指符合 DIX Ethernet V2 標準 的局域網(wǎng)數(shù)據(jù)鏈路層的兩個子層為了使數(shù)據(jù)鏈路層能更好地適應 多種局域網(wǎng)標準，802 委員會就將局域網(wǎng)的數(shù)據(jù)鏈路層拆成兩個 子層：邏輯鏈路控制 LLC (Logical Link Control)子層、媒體接入 控制 MAC (Medium Access Control)子層。 與接入到傳輸媒體有關(guān)的內(nèi)容都放在 MAC 子層，而 LLC 子層則與傳輸媒體無關(guān)，不管采用何種協(xié)議的局域網(wǎng)對 LLC 子 層來說都是透明的。 2接口的工作模式 以太網(wǎng)卡可以工作在兩種模式下：半雙工和全雙工。 半雙工：半雙工傳輸模式實現(xiàn)以太網(wǎng)載波監(jiān)聽多路訪問沖突 檢測。傳統(tǒng)的共享 LAN 是在半雙工下工作的，在同一時間只能 傳輸單一方向的數(shù)據(jù)。當兩個方向的數(shù)據(jù)同時傳輸時，就會產(chǎn)生 沖突，這會降低以太網(wǎng)的效率。 全雙工：全雙工傳輸是采用點對點連接，這種安排沒有沖突， 因為它們使用雙絞線中兩個獨立的線路，這等于沒有安裝新的介 質(zhì)就提高了帶寬。例如在上例的車站間又加了一條并行的鐵軌， 同時可有兩列火車雙向通行。在雙全工模式下，沖突檢測電路不 可用，因此每個雙全工連接只用一個端口，用于點對點連接。標 準以太網(wǎng)的傳輸效率可達到 5060的帶寬，雙全工在兩個 方向上都提供 100的效率。 3以太網(wǎng)的工作原理 以太網(wǎng)采用帶沖突檢測的載波幀聽多路訪問（CSMA/CD） 機制。以太網(wǎng)中節(jié)點都可以看到在網(wǎng)絡(luò)中發(fā)送的所有信息，因此， 我們說以太網(wǎng)是一種廣播網(wǎng)絡(luò)。以太網(wǎng)工作過程如下： 當以太網(wǎng)中的一臺主機要傳輸數(shù)據(jù)時，它將按如下步驟進行： 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 9 - （1）監(jiān)聽信道上收否有信號在傳輸。如果有的話，表明信 道處于忙狀態(tài)，就繼續(xù)監(jiān)聽，直到信道空閑為止。 （2）若沒有監(jiān)聽到任何信號，就傳輸數(shù)據(jù)。 （3）傳輸?shù)臅r候繼續(xù)監(jiān)聽，如發(fā)現(xiàn)沖突則執(zhí)行退避算法， 隨機等待一段時間后，重新執(zhí)行步驟 1（當沖突發(fā)生時，涉及沖 突的計算機會發(fā)送會返回到監(jiān)聽信道狀態(tài)。注意：每臺計算機一 次只允許發(fā)送一個包，一個擁塞序列，以警告所有的節(jié)點） 。 （4）若未發(fā)現(xiàn)沖突則發(fā)送成功，所有計算機在試圖再一次 發(fā)送數(shù)據(jù)之前，必須在最近一次發(fā)送后等待 9.6 微秒（以 10Mbps 運行） 。 1.2 校園網(wǎng)校園網(wǎng) 校園網(wǎng)是指利用網(wǎng)絡(luò)設(shè)備、通信介質(zhì)和適宜的組網(wǎng)技術(shù)與協(xié) 議及各類網(wǎng)絡(luò)系統(tǒng)管理軟件和應用軟件，將校園網(wǎng)內(nèi)計算機和各 種終端有機地集成在一起，并用于教學、科研、學校管理、信息 資源共享和遠程教學等方面工作的計算機局域網(wǎng)絡(luò)系統(tǒng)。 校園網(wǎng)的概念最初是以硬件集成為主，校園網(wǎng)只是一個硬件 平臺。到了第二階段，有提出了以教學應用軟件集成為主的“軟 件建網(wǎng)”的校園網(wǎng)概念，這也是當今大多數(shù)校園網(wǎng)所采用的模式。 校園網(wǎng)由硬件、軟件這兩部分共同組成，其中，硬件是基礎(chǔ)，是 校園網(wǎng)的載體，沒有硬件的支持，根本無法談及校園網(wǎng)；軟件是 應用，是建設(shè)校園網(wǎng)的根本需求的體現(xiàn)。就像普通的 PC 一樣， 建立在硬件上面的系統(tǒng)軟件、應用軟件讓我們有了利用計算機的 可能。 校園網(wǎng)是為學校教師、學生提供教學、科研和綜合信息服務 的寬帶多媒體網(wǎng)絡(luò)。校園網(wǎng)應為學校教學、科研提供先進的信息 化教學環(huán)境，這就要求校園網(wǎng)是一個寬帶、局域交互功能和專業(yè) 很強的局域網(wǎng)絡(luò)。多媒體教學、網(wǎng)絡(luò)教學、教師電子備課、辦公 等等都需要通過網(wǎng)絡(luò)運行工作。 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 10 - 2 2 校園網(wǎng)總體設(shè)計校園網(wǎng)總體設(shè)計 2.1 概述概述 總體設(shè)計是校園網(wǎng)建設(shè)的總體思路和工程藍圖，是搞好校園 網(wǎng)建設(shè)的核心任務。進行校園網(wǎng)總體設(shè)計，首先，進行對象研究 和需求調(diào)查，弄清學校的性質(zhì)、任務和改革發(fā)展的特點，對學校 的信息化環(huán)境進行準確的描述，明確系統(tǒng)建設(shè)的需求和條件；其 次，在應用需求分析的基礎(chǔ)上，確定學校 Intranet 服務類型，進 而確定系統(tǒng)建設(shè)的具體目標，包括網(wǎng)絡(luò)設(shè)施、站點設(shè)置、開發(fā)應 用和管理等方面的目標；第三，確定網(wǎng)絡(luò)拓樸結(jié)構(gòu)和功能，根據(jù) 應用需求、建設(shè)目標和學校主要建筑分布特點，進行系統(tǒng)分析和 設(shè)計；第四，確定技術(shù)設(shè)計的原則要求，如在技術(shù)選型、布線設(shè) 計、設(shè)備選擇、軟件配置等方面的標準和要求；第五，規(guī)劃安排 校園網(wǎng)建設(shè)的實施步驟。 作為校園網(wǎng)，需要連接多少個節(jié)點，怎樣利用網(wǎng)絡(luò)設(shè)備使得 分布在不同地理位置的節(jié)點連接到一個統(tǒng)一的網(wǎng)絡(luò)中來，怎樣使 得整個網(wǎng)絡(luò)中的節(jié)點相互連通，這些問題僅僅是校園網(wǎng)需要解決 問題中的一部分。 從某種意義上講，校園網(wǎng)的建設(shè)絕不僅僅只是涉及到技術(shù)問 題，而是會引深到更深的層次，也就是說信息技術(shù)所帶來的一場 革命會徹底改變我們的生活方式和工作方式。 對于校園網(wǎng)的建設(shè)，我們提出的建設(shè)原則應該是：先進性， 先進的設(shè)計思想、網(wǎng)絡(luò)結(jié)構(gòu)、開發(fā)工具，采用市場覆蓋率高、標 準化和技術(shù)成熟的軟硬件產(chǎn)品；實用性，建網(wǎng)時應考慮利用和保 護現(xiàn)有的資源、充分發(fā)揮設(shè)備效益；開放性，系統(tǒng)設(shè)計應采用開 放技術(shù)、開放結(jié)構(gòu)、開放系統(tǒng)組建和開放用戶接口，以利于網(wǎng)絡(luò) 的維護、擴展升級及與外界信息的溝通；靈活性，采用積木式模 塊組合和結(jié)構(gòu)化設(shè)計，使系統(tǒng)配置靈活，滿足學校逐步到位的建 網(wǎng)原則，使網(wǎng)絡(luò)具有強大的可增長性；可靠性，具有容錯功能， 管理、維護方便。對網(wǎng)絡(luò)的設(shè)計、選型、安裝、調(diào)試等各環(huán)節(jié)進 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 11 - 行統(tǒng)一規(guī)劃和分析，確保系統(tǒng)運行可靠，經(jīng)濟性，投資合理，有 良好的性能價格比。 2.2 方案實施方案實施 一個完整的校園網(wǎng)建設(shè)在實施過程中可以分成兩個環(huán)節(jié)：網(wǎng) 絡(luò)集成方案設(shè)計和信息系統(tǒng)集成。其中信息系統(tǒng)集成是目的，網(wǎng) 絡(luò)集成是手段。 網(wǎng)絡(luò)集成方案主要包括兩個方面：結(jié)構(gòu)化布線與設(shè)備選擇、 網(wǎng)絡(luò)技術(shù)及設(shè)備選型。它的設(shè)計思想有兩個，一個是網(wǎng)絡(luò)方案采 用模塊化的設(shè)計，各個模塊完成各自的功能。在實施的過程中， 可以根據(jù)需要將相應的模塊添加到網(wǎng)絡(luò)中，也可以不使用某些模 塊，在需要時候再添加。同時，模塊化設(shè)計容易維護，某個模塊 出現(xiàn)故障，不會影響到整個網(wǎng)絡(luò)的安全。 另一個設(shè)計思想是采用層次體系，整個網(wǎng)絡(luò)通過主干網(wǎng)連接 起來，各個子網(wǎng)通過接口與主干網(wǎng)連接，實現(xiàn)各自的功能，在子 網(wǎng)內(nèi)部及與主干網(wǎng)進行數(shù)據(jù)通信。 2.2.1 結(jié)構(gòu)化布線結(jié)構(gòu)化布線 綜合布線系統(tǒng)是建筑物或建筑群內(nèi)的傳輸網(wǎng)絡(luò)，它既能使話 音和數(shù)據(jù)通信設(shè)備、交換設(shè)備和其他信息管理系統(tǒng)彼此連接，也 能使這些設(shè)備與外部通信網(wǎng)絡(luò)相互連接，包括建筑物到外部網(wǎng)絡(luò) 或電話局線路上的連線點，與工作區(qū)的話音或數(shù)據(jù)終端之間的所 有電纜，以及相關(guān)聯(lián)的布線部件。一個良好的綜合布線系統(tǒng)對其 服務的設(shè)備有一定的獨立性，并能互連許多不同的通信設(shè)備如數(shù) 據(jù)終端、模擬式或數(shù)字式電話、PC 和主機以及公共系統(tǒng)裝置。 一般布線系統(tǒng)有六個子系統(tǒng)組成：建筑群間子系統(tǒng)，設(shè)備間子系 統(tǒng)，管理區(qū)子系統(tǒng)，垂直（主干）子系統(tǒng)，水平子系統(tǒng)，工作區(qū) 子系統(tǒng)。 校園網(wǎng)為園區(qū)網(wǎng)，樓群間子系統(tǒng)采用光纜連接，可提供千兆 位的帶寬，有充分的擴展余地。垂直子系統(tǒng)則位于高層建筑物的 豎井內(nèi)，可采用多模光纜或大對數(shù)雙絞線。把管理區(qū)子系統(tǒng)并入 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 12 - 設(shè)備間子系統(tǒng)，集中管理。 對于多幢樓宇，可采用多設(shè)備間的方法。分為中心設(shè)備間和 樓棟設(shè)備間部分，中心設(shè)備間是整個局域網(wǎng)的控制中心，內(nèi)設(shè)有 對外（Internet）對內(nèi)通信的各種網(wǎng)絡(luò)設(shè)備（交換機、路由器） ， 中心交換機通過光纜（地下直埋）與樓棟設(shè)備間的交換設(shè)備相連， 以保證數(shù)據(jù)的高速傳輸。在此設(shè)備間放置布線的線架和網(wǎng)絡(luò)設(shè)備， 端接樓內(nèi)來自在各層的主干線纜，并端接連接網(wǎng)絡(luò)中心的光纖。 .2 網(wǎng)絡(luò)設(shè)備選型網(wǎng)絡(luò)設(shè)備選型 網(wǎng)絡(luò)主干設(shè)備的系統(tǒng)結(jié)構(gòu)直接決定了設(shè)備的性能和功能水平。 因此，深入了解設(shè)備的系統(tǒng)結(jié)構(gòu)設(shè)計，客觀認知設(shè)備的性能和功 能，這對正確選擇設(shè)備極有幫助。在此次設(shè)計中，為了更好的完 成所有功能，全部采用了 Cisco 的交換機和路由器。下面就簡要 介紹下此次設(shè)計中的重要設(shè)備交換機的選型。 1Catalyst 交換機產(chǎn)品 （1）Catalyst 2960 系列交換機 Cisco Catalyst2960 系列智能以太網(wǎng)交換機是一個全新的、 固定配置的獨立設(shè)備系列，提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連 接，可為入門級企業(yè)、中型市場和分支機構(gòu)網(wǎng)絡(luò)提供增強 LAN 服務。Catalyst 2960 系列具有集成安全特性，包括網(wǎng)絡(luò)準入控制 (NAC)、高級服務質(zhì)量(QoS)和永續(xù)性，可為網(wǎng)絡(luò)邊緣提供智能 服務。 Cisco Catalyst 2960 系列提供： 為網(wǎng)絡(luò)邊緣提供了智能特性，如先進的訪問控制列表 (ACL)和增強安全特性； 雙介質(zhì)上行鏈路端口提供了千兆以太網(wǎng)上行鏈路靈活性， 可以使用銅纜或光纖上行鏈路端口每個介質(zhì)上行鏈路端口都有 一個 10/100/1000 以太網(wǎng)端口和一個小型可插拔(SFP)千兆以太網(wǎng) 端口，在使用時其中一個端口激活，但不能同時使用這兩個端口 ； 通過高級 QoS、精確速率限制、ACL 和組播服務，實現(xiàn) 了網(wǎng)絡(luò)控制和帶寬優(yōu)化； 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 13 - 通過多種驗證方法、數(shù)據(jù)加密技術(shù)和基于用戶、端口和 MAC 地址的網(wǎng)絡(luò)準入控制，實現(xiàn)了網(wǎng)絡(luò)安全性； 通過思科網(wǎng)絡(luò)助理，簡化了網(wǎng)絡(luò)配置、升級和故障診斷 ； 使用 Smartports 自動配置特定應用 ； （2）系列產(chǎn)品配置 Cisco Catalyst 2960 系列包括以下交換機： Cisco Catalyst 2960-24TT：24 個 10/100 以太網(wǎng)端口和 2 個 10/100/1000 固定以太網(wǎng)上行鏈路端口；1 機架單元(RU) Cisco Catalyst 2960-48TT：48 個 10/100 以太網(wǎng)端口和 2 個 10/100/1000 固定以太網(wǎng)上行鏈路端口；1 RU Cisco Catalyst 2960-24TC：24 個 10/100 以太網(wǎng)端口和 2 個雙介質(zhì)上行鏈路端口；1 RU Cisco Catalyst 2960-48TC：48 個 10/100 以太網(wǎng)端口和 2 個雙介質(zhì)上行鏈路端口；1 RU Cisco Catalyst 2960G-24TC：20 個 10/100/1000 以太網(wǎng)端 口，其中 4 個為雙介質(zhì)端口；1 RU 2產(chǎn)品特性 （1）千兆以太網(wǎng) 千兆以太網(wǎng)以 1000 Mbps 的速度，提供了可滿足新網(wǎng)絡(luò)和 擴展網(wǎng)絡(luò)的需求的帶寬，消除了瓶頸，提升了性能，同時提高了 現(xiàn)有基礎(chǔ)設(shè)施投資的回報。目前，工作人員都對網(wǎng)絡(luò)有著更高需 求，在網(wǎng)絡(luò)上同時運行多個應用。例如，一位員工通過 IP 視頻 會議而參加小組會議，向與會者發(fā)送一個 10MB 的電子表格， 將最新營銷視頻廣播給整個小組以供評估，此外還查詢客戶關(guān)系 管理(CRM)數(shù)據(jù)庫，以獲得最新實時反饋。同時，后臺開始了一 個多 GB 的系統(tǒng)備份，并向客戶端提供最新防病毒軟件的升級。 （2）網(wǎng)絡(luò)智能性 當今的網(wǎng)絡(luò)正在不斷發(fā)展，在網(wǎng)絡(luò)邊緣出現(xiàn)了四種新趨勢： 桌面計算能力提高、帶寬密集型應用出現(xiàn)、高敏感數(shù)據(jù)在網(wǎng) 絡(luò)中擴展、出現(xiàn)了多種設(shè)備類型，如 IP 電話、WLAN 接入點和 IP 視頻攝像頭。 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 14 - 這些新需求正與許多已有關(guān)鍵任務應用爭奪資源。因此，IT 專業(yè)人員必須將網(wǎng)絡(luò)邊緣看作有效管理信息和應用的提供的關(guān)鍵。 隨著人們對網(wǎng)絡(luò)的依賴性日益增強，將其作為戰(zhàn)略性業(yè)務基 礎(chǔ)設(shè)施，確保網(wǎng)絡(luò)的高可用性、安全性、可擴展性和對它的全面 控制就比以前更為重要。通過為 LAN 接入添加思科智能功能， 客戶現(xiàn)可部署遍布整個網(wǎng)絡(luò)的智能服務，從而一致地滿足從桌面 到核心再到 WAN 的要求。 通過 Cisco Catalyst 智能以太網(wǎng)交換機，思科可幫助公司獲 得向其網(wǎng)絡(luò)添加智能服務的全面優(yōu)勢。為進一步優(yōu)化網(wǎng)絡(luò)運行， 部署具備以下特性的功能是十分關(guān)鍵的：能使網(wǎng)絡(luò)基礎(chǔ)設(shè)施高度 可用以達到關(guān)鍵時間要求、可擴展以便于公司發(fā)展、高度安全以 保護保密信息，且能區(qū)分和控制流量。 （3）增強安全性 憑借 Cisco Catalyst 2960 系列提供的廣泛安全特性，企業(yè)可 保護重要信息，防止未授權(quán)人員接入網(wǎng)絡(luò)，確保私密性及維持不 間斷運行。 思科基于身份的網(wǎng)絡(luò)服務(IBNS)解決方案提供了身份驗證、 訪問控制和安全策略管理，可保護網(wǎng)絡(luò)連接和資源。Catalyst 2960 系列中的 IBNS 可防止未授權(quán)接入，并確保用戶只獲得其 指定權(quán)利。它能動態(tài)管理網(wǎng)絡(luò)接入的具體層次。使用 802.1x 標 準和思科安全訪問控制服務器（ACS） ，無論用戶在何 處連接 到網(wǎng)絡(luò)中，都可在驗證基礎(chǔ)上分配到一個 VLAN。此設(shè)置使 IT 部門能在不影響用戶移動性的情況下，以最低管理開銷實施強大 的安全策略。 為防止拒絕服務攻擊和其他攻擊，可用 ACL 根據(jù)源和目的 地 MAC 地址、IP 地址或 TCP/UDP 端口來拒絕分組，從而限制 對網(wǎng)絡(luò)敏感部分的訪問。ACL 查詢在硬件中完成，故此在實施 基于 ACL 的安全性時不會影響轉(zhuǎn)發(fā)性能。 端口安全性可根據(jù)與以太網(wǎng)端口相連的設(shè)備的 MAC 地址， 來限制以太網(wǎng)端口上的訪問。它也可用于限制插入一個交換機端 口的總設(shè)備數(shù)目，因此可使交換機免遭 MAC 泛洪攻擊，降低了 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 15 - 惡意無線接入點或集線器接入的風險。 憑借動態(tài)主機配置協(xié)議(DHCP)監(jiān)聽，可以只允許來自不可 信用戶端口的 DHCP 請求（但不允許響應）進入網(wǎng)絡(luò)，從而防 止 DHCP 電子欺騙。此外 DHCP 接口跟蹤器(選項 82) 特性可為 主機 IP 地址請求添加交換機端口 ID，有助于實現(xiàn)對于 IP 地址 分配的精確控制。 MAC 地址通知特性可向管理站發(fā)送報警，從而監(jiān)控網(wǎng)絡(luò)和 跟蹤用戶，以使網(wǎng)絡(luò)管理員知道用戶何時、從何處進入網(wǎng)絡(luò)。 SSHv2 和 SNMPv3 對管理和網(wǎng)絡(luò)管理信息加密，保護網(wǎng)絡(luò)免遭 干擾或竊聽。TACACS+或 RADIUS 驗證實現(xiàn)了交換機的集中訪 問控制，并限制未授權(quán)用戶改變配置。此外，可在交換機上配置 本地用戶名和密碼數(shù)據(jù)庫。交換機控制臺上的 15 個授權(quán)級別和 Web 管理界面上的 2 個級別提供了向不同管理員分配不同配置 功能級別的能力。 （4）可用性和可擴展性 Cisco Catalyst 2960 系列配備了強大的特性集，通過組播過 濾和旨在第二層網(wǎng)絡(luò)中提供最高可用性的全套生成樹協(xié)議改進， 實現(xiàn)了網(wǎng)絡(luò)可擴展性及更高可用性。 對標準生成樹協(xié)議的改進，如 PVST+、UplinkFast 和 PortFast，可實現(xiàn)最長網(wǎng)絡(luò)正常運行時間。PVST+可在冗余鏈路 上進行第二層負載共享，以有效使用冗余設(shè)計中的額外容量。 UplinkFast、PortFast 和 BackboneFast 都大大縮減了標準的 30 到 60 秒生成樹協(xié)議收斂時間。Flexlink 提供了不到 100ms 的雙向、 快速收斂。對環(huán)路保護和網(wǎng)橋協(xié)議數(shù)據(jù)單元（BPDU）保護的增 強避免了生成樹協(xié)議環(huán)路的出現(xiàn)。 （5）高級 QoS Cisco Catalyst 2960 提供了出色的多層 QoS 特性，確保網(wǎng)絡(luò) 流量進行了分類和優(yōu)先級劃分，并以最好的方式避免了擁塞。 QoS 的配置通過自動 QoS（Auto QoS）大大得到了簡化，這是 一個可發(fā)現(xiàn)思科 IP 電話并自動配置交換機以進行正確分類和輸 出排序的特性。這優(yōu)化了流量優(yōu)先級劃分和網(wǎng)絡(luò)可用性，且不會 帶來復雜配置的問題。 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 16 - Catalyst 2960 可對進入的分組分類、再分類、監(jiān)管、標記、 排序和排程，并能在出口處對分組排序和排程。分組分類使網(wǎng)絡(luò) 元素可區(qū)分不同流量，并根據(jù)第二層和第三層 QoS 實施策略。 為實現(xiàn) QoS，Catalyst 2960 系列交換機首先確認分組或流量 組，再使用 DSCP 字段或 802.1p 服務級別（CoS）字段對這些組 分類和再分類。分類和再分類可根據(jù)源或目的地 IP 地址、源或 目的地 MAC 地址或者第 4 層 TCP/UDP 端口等標準進行。在入 口，Catalyst 2960 也將進行監(jiān)管，以確定分組是在小組內(nèi)還是在 小組外，標記以改變分類標簽，傳輸或丟棄小組分組，并根據(jù)類 別對分組排序。所有端口上都支持控制平面和數(shù)據(jù)平面 ACL， 確保每個分組得到正確的處理。 Cisco Catalyst 2960 支持每端口 4 個輸出隊列，使網(wǎng)絡(luò)管理 員能更好地進行控制，為 LAN 上的各種應用分配優(yōu)先級。在出 口，交換機執(zhí)行排程和擁塞控制。排程是一種確定隊列處理順序 的算法或進程。Catalyst 2960 系列交換機支持整形循環(huán)（SRR） 和嚴格優(yōu)先級隊列。SRR 算法有助于確保個性化優(yōu)先級劃分。 這些 QoS 特性使網(wǎng)絡(luò)管理員能將關(guān)鍵任務和帶寬密集型流 量劃為較高優(yōu)先級，其中包括企業(yè)資源規(guī)劃（ERP） 、語音（IP 電話流量）和計算機輔助設(shè)計及制造（CAD/CAM）等，而將 FTP 或電子郵件等對應用劃為較低優(yōu)先級。例如，下載一個目的 地為交換機上某一端口的大型文件，而這會增加目的地為此交換 機上另一端口的語音流量的延遲，這種情況是用戶極為不愿看到 的。通過確保語音流量在網(wǎng)絡(luò)中得到正確分類和優(yōu)先級劃分，可 避免此情況。Web 瀏覽等其他應用則可作為較低優(yōu)先級對待。 Catalyst 2960 系列能通過對思科承諾信息速率（CIR）功能 的支持而執(zhí)行速率限制。通過 CIR，能以低至 8kbps 的增量保證 帶寬。帶寬的分配根據(jù)若干標準進行，包括 MAC 源地址、 MAC 目的地地址、IP 源地址、IP 目的地地址和 TCP/UDP 端口 號。在需服務級別協(xié)議的網(wǎng)絡(luò)環(huán)境中或需控制授予某些用戶的帶 寬時，帶寬分配非常重要。 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 17 - 2.3 系統(tǒng)分析系統(tǒng)分析 .1 關(guān)鍵網(wǎng)絡(luò)系統(tǒng)關(guān)鍵網(wǎng)絡(luò)系統(tǒng) Cisco 2620 路由器、Cisco Catalyst 2950 24 口交換機（WS- C2950-24） 、Cisco Catalyst 3560 交換機 .2 網(wǎng)絡(luò)解決辦法網(wǎng)絡(luò)解決辦法 對校園網(wǎng)系統(tǒng)整體方案設(shè)計；對訪問層交換機進行配置；對 分布層交換機進行配置；對核心層交換機進行配置；對廣域網(wǎng)接 入路由器配置；對遠程訪問服務器進行配置；對整個校園網(wǎng)系統(tǒng) 進行診斷 .3 技術(shù)分析技術(shù)分析 路由、交換與遠程訪問技術(shù)是現(xiàn)代計算機網(wǎng)絡(luò)領(lǐng)域中三大支 撐技術(shù)體系。 路由技術(shù)：路由協(xié)議工作在OSI 參考模型的第 3 層，因此它的 作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡(luò)中傳遞 數(shù)據(jù)時選擇最佳路徑的能力。除了可以完成主要的路由任務，利 用訪問控制列表（Access Control List，ACL） ，路由器還可以用 來完成以路由器為中心的流量控制和過濾功能。在本次設(shè)計中， 內(nèi)網(wǎng)用戶不僅通過路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過 3 層 交換機上的路由功能進行數(shù)據(jù)包交換。 傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在 OSI 模型的第 2 層?，F(xiàn)代交 換技術(shù)還實現(xiàn)了第 3 層交換和多層交換。高層交換技術(shù)的引入不 但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強了園區(qū)網(wǎng)數(shù)據(jù)交換 服務質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應用程序的需要。 現(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN） 的概念。VLAN 將廣播域限制在單個 VLAN 內(nèi)部，減小了各 VLAN 間主機的廣播通信對其他 VLAN 的影響。在 VLAN 間需 要通信的時候，可以利用 VLAN 間路由技術(shù)來實現(xiàn)。 當網(wǎng)絡(luò)管理人員人員需要管理的交換機數(shù)量眾多時，可以使 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 18 - 用 VLAN 中繼協(xié)議（Vlan Trunking Protocol，VTP）簡化管理， 它只需在單獨一臺交換機上定義所有 VLAN。然后通過 VTP 協(xié) 議將 VLAN 定義傳播到本管理域中的所有交換機上。這樣，大 大減輕了網(wǎng)絡(luò)管理人員的工作負擔和工作強度。 當園區(qū)網(wǎng)絡(luò)的交換機數(shù)量增多、交換機間鏈路增加時，交換 網(wǎng)絡(luò)的復雜性可能會造成交換環(huán)路問題，這需要通過在各交換機 上運行生成樹協(xié)議（Spanning Tree Protocol，STP）來解決。 一 個好的校園網(wǎng)設(shè)計應該是一個分層的設(shè)計。一般分為三層設(shè)計模 型。 在此次設(shè)計方案中，對實際校園網(wǎng)的設(shè)計進行了適當和必要 的簡化，將重點放在網(wǎng)絡(luò)主干的設(shè)計上，對于服務器的架設(shè)只作 簡單介紹。 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 19 - 3 3 系統(tǒng)詳細設(shè)計系統(tǒng)詳細設(shè)計 3.1 系統(tǒng)組成與拓撲結(jié)構(gòu)系統(tǒng)組成與拓撲結(jié)構(gòu) 在此次網(wǎng)絡(luò)工程設(shè)計中，為了實現(xiàn)整個工程設(shè)計設(shè)備的統(tǒng)一 性，本設(shè)計方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即 Cisco 公司 的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的好處是可以實現(xiàn)各種 不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補充。 本校園網(wǎng)設(shè)計方案主要由以下四大部分構(gòu)成：交換模塊、廣 域網(wǎng)接入模塊、遠程訪問模塊、服務器群。整個網(wǎng)絡(luò)系統(tǒng)的拓撲 結(jié)構(gòu)圖如圖 3-1 所示。 （省略了部分拓撲信息） 圖 3-1 校園網(wǎng)整體拓撲結(jié)構(gòu)圖 .1 VLANVLAN 及及 IPIP 地址規(guī)劃地址規(guī)劃 整個校園網(wǎng)中 VLAN 及 IP 編址方案如圖 3-1-1 所示： 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 20 - 圖 3-1-1 VLAN 及 IP 編址方案 在此次設(shè)計中，我規(guī)劃了 15 個 VLAN，并為每個 VLAN 定 義了一個由拼音縮寫組成的 VLAN 名稱。 3.2 交換模塊設(shè)計交換模塊設(shè)計 為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴展性，在園區(qū) 網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進行的。 園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可劃分為三個層次：訪問層、分布層、 核心層。 3.2.1 訪問層交換服務的實現(xiàn)訪問層交換服務的實現(xiàn)配置配置訪問層交換機訪問層交換機 訪問層為所有的終端用戶提供一個接入點。這里的訪問層交 換機采用的是 Cisco Catalyst 2950 24 口交換機。交換機擁有 24 個 10/100Mbps 自適應快速以太網(wǎng)端口，運行的是 Cisco 的 IOS 操作系統(tǒng)。我們以拓撲圖中的訪問層交換機 XingZhengLou 為例 進行介紹。如圖 3-2-1 所示， 圖 3-2-1 訪問層交換機 XingZhengLou 1配置訪問層交換機 XingZhengLou 的基本參數(shù) 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 21 - （1）設(shè)置交換機名稱 設(shè)置交換機名稱，也就是出現(xiàn)在交換機 CLI 提示符中的名 字。一般我們會以地理位置或行政劃分來為交換機命名。當我們 需要 Telnet 登錄到若干臺交換機以維護一個大型網(wǎng)絡(luò)時，通過 交換機名稱提示符提示自己當前配置交換機的位置是很有必要的。 如圖 3-2-2 所示，為訪問層交換機 XingZhengLou 命名。 圖 3-2-2 為訪問層交換機 XingZhengLou 命名 （2）設(shè)置交換機的加密使能口令 當用戶在普通用戶模式而想要進入特權(quán)用戶模式時，需要提 供此口令。此口令會以 MD5 的形式加密，因此，當用戶查看配 置文件時，無法看到明文形式的口令。 如圖 3-2-3 所示，將交換機的加密使能口令設(shè)置為 xingzhenglou 圖 3-2-3 為交換機設(shè)置加密使能口令 （3）設(shè)置登錄虛擬終端線時的口令 對于一個已經(jīng)運行著的交換網(wǎng)絡(luò)來說，交換機的帶內(nèi)遠程管 理為網(wǎng)絡(luò)管理人員提供了很多的方便。但是，處于安全考慮，在 能夠遠程管理交換機之前網(wǎng)絡(luò)管理人員必須設(shè)置遠程登錄交換機 的口令。 如圖 3-2-4 所示，設(shè)置登錄交換機時需要驗證用戶身份，同 時設(shè)置口令為 user 圖 3-2-4 為訪問層交換機 XingZhengLou 命名 （4）設(shè)置終端線超時時間 為了安全考慮，可以設(shè)置終端線超時時間。在設(shè)置的時間內(nèi)， 如果沒有檢測到鍵盤輸入，IOS 將斷開用戶和交換機之間的連接。 如圖 3-2-5 所示，設(shè)置登錄交換機的控制臺終端線路及虛擬終 大學校園網(wǎng)網(wǎng)絡(luò)工程設(shè)計 - 22 - 端線的超時時間為 5 分 30 秒鐘。 圖 3-2-5 設(shè)置控制臺終端線路和虛擬終端線路的超時時間 （5）設(shè)置禁用 IP 地址解析特性 交換機默認配置的情況下，當我們輸入一條錯誤的交換機命 令時，交換機會嘗試將其廣播給網(wǎng)絡(luò)上的 DNS 服務器并將其解 析成對應的 IP 地址。利用命令 no ip domain-lookup?？梢越?這個特性 如圖 3-2-6 所示，設(shè)置禁用 IP 地址解析特性。 圖 3-2-6 設(shè)置禁用 IP 地址解析特性 2配置訪問層交換機 XingZhengLou 的管理 IP、默認網(wǎng)關(guān) 訪問層交換機是 OSI 參考模型的第 2 層設(shè)備，即數(shù)據(jù)鏈路 層的設(shè)備。因此，給訪問層交換機的每個端口設(shè)置 IP 地址是沒 意義的。但是，為了使網(wǎng)絡(luò)管理人員可以從遠程登錄到訪問層交 換機上進行管理，必要給訪問層交換機設(shè)置一個管理用 IP 地址。 這種情況下，實際上是將交換機看成和 PC 機一樣的主機。 給交換機設(shè)置管理用 IP 地址只能在 VLAN1，即本征 VLAN 中進行。按照表 3-1，管理 VLAN 所在的子網(wǎng)是： /24，這里將訪問層交換機 XingZhengLou 的管理 IP 地址設(shè)為：/24 如圖 3-2-7 所示，顯示了為訪問層交換機 XingZhengLou 設(shè) 置管理 IP 并激活本征 VLAN。 圖 3-2-7 設(shè)置訪問層交換機 XingZhengLou 的管理 IP 為了使網(wǎng)絡(luò)管理人員可以在不同的