大學(xué)校區(qū)網(wǎng)絡(luò)升級(jí)方案畢業(yè)設(shè)計(jì)

1、廣西師范大學(xué)雁山校區(qū)網(wǎng)絡(luò)升級(jí)方案1.廣西師范大學(xué)雁山校區(qū)網(wǎng)絡(luò)需求分析11.1 學(xué)校的自然情況11.2學(xué)校校園網(wǎng)現(xiàn)有的網(wǎng)絡(luò)分析11.2.1 當(dāng)前校園網(wǎng)的狀況11.2.2現(xiàn)有校園網(wǎng)的不足22.廣西師范大學(xué)雁山校區(qū)網(wǎng)絡(luò)升級(jí)方案設(shè)計(jì)32.1雁山校區(qū)校園網(wǎng)設(shè)計(jì)分析32.1.1校園網(wǎng)的功能要求32.3校園網(wǎng)結(jié)構(gòu)設(shè)計(jì)42.3.1校園網(wǎng)物理結(jié)構(gòu)設(shè)計(jì)42.3.2校園網(wǎng)的邏輯結(jié)構(gòu)設(shè)計(jì)53.廣西師范大學(xué)雁山校區(qū)網(wǎng)絡(luò)升級(jí)硬件設(shè)計(jì)63.1交換設(shè)備的選型63.1.1核心層交換機(jī)的選型63.1.2 匯聚層交換機(jī)選型93.1.3 接入層交換機(jī)選型93.2路由器的選型93.3防火墻的選型103.4服務(wù)器選型123.5具體網(wǎng)絡(luò)拓

2、撲設(shè)計(jì)圖12附件：.14配置.14路由器配置14ip管理14交換機(jī)配置16設(shè)備清單及價(jià)格191. 廣西師范大學(xué)雁山校區(qū)網(wǎng)絡(luò)需求分析1.1 學(xué)校的自然情況廣西師范大學(xué)雁山校區(qū)坐落在桂林市雁山區(qū)雁山鎮(zhèn)雁中路，籌建于2005年12月，2007年9月正式投入使用。雁山校區(qū)為廣西師范大學(xué)的一個(gè)分校，全校計(jì)算機(jī)數(shù)量逾1000臺(tái)（不包括學(xué)生群體）。1.2學(xué)校校園網(wǎng)現(xiàn)有的網(wǎng)絡(luò)分析1.2.1 當(dāng)前校園網(wǎng)的狀況 校園網(wǎng)是廣西師范大學(xué)雁山校區(qū)的信息基礎(chǔ)設(shè)施，是實(shí)現(xiàn)學(xué)校現(xiàn)代化管理的強(qiáng)有力保證。學(xué)校一直以來(lái)非常重視校園網(wǎng)的建設(shè)。經(jīng)過(guò)初期的建設(shè)，基本滿足當(dāng)時(shí)的網(wǎng)絡(luò)需求。其網(wǎng)絡(luò)拓?fù)鋱D如下（圖一）：圖一由于學(xué)校數(shù)據(jù)吞吐量大，

3、又離育才校區(qū)較遠(yuǎn)，所以學(xué)校采用一般的校園網(wǎng)雙端口接入方式，用一條2m光纖連接到育才校區(qū)，另一條用百兆光纖作為雁山電信的局域網(wǎng)方式接入internet，實(shí)現(xiàn)網(wǎng)絡(luò)高速運(yùn)行。中心結(jié)構(gòu)主要以華為ls-3026交換機(jī)為中心，單點(diǎn)以星形方式連接校園各個(gè)功能單位。各樓房交換機(jī)用100m光纖連接到中心機(jī)房的三臺(tái)普通企業(yè)級(jí)路由上，可以實(shí)現(xiàn)子網(wǎng)內(nèi)高速互聯(lián)。樓房?jī)?nèi)部均用5類雙絞線連接樓房交換機(jī)與用戶計(jì)算機(jī)，帶寬均可達(dá)百兆。1.2.2現(xiàn)有校園網(wǎng)的不足 目前，雁山校區(qū)的網(wǎng)絡(luò)由低端的銳捷交換機(jī)構(gòu)成一個(gè)平面的網(wǎng)絡(luò)結(jié)構(gòu)，沒(méi)有層次化的設(shè)計(jì)的網(wǎng)絡(luò)結(jié)構(gòu)其存在許多缺陷。 從網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)看，網(wǎng)絡(luò)管理員很難對(duì)網(wǎng)絡(luò)進(jìn)行整體的管理，一旦出現(xiàn)

4、故障，將很難做出快速的排查。其中最致命的是網(wǎng)絡(luò)存在單點(diǎn)故障，一旦中心的交換機(jī)出現(xiàn)故障，整個(gè)網(wǎng)絡(luò)立刻癱瘓（如圖二）。在平面型的網(wǎng)路結(jié)構(gòu)下，網(wǎng)絡(luò)中心交換機(jī)負(fù)載所有的數(shù)據(jù)處理任務(wù)，不能實(shí)現(xiàn)對(duì)數(shù)據(jù)的高速轉(zhuǎn)發(fā)傳輸。圖二 中心結(jié)構(gòu)圖從網(wǎng)絡(luò)設(shè)備方面看：大部分的設(shè)備已經(jīng)不能滿足現(xiàn)在學(xué)校對(duì)網(wǎng)絡(luò)傳輸?shù)男枨?。如中心交換機(jī)只是一臺(tái)普通華為交換機(jī)，轉(zhuǎn)發(fā)率不高，最大只為100m，實(shí)際上不可能達(dá)到，所以即使拓?fù)浣Y(jié)構(gòu)是樹(shù)形結(jié)構(gòu)，網(wǎng)絡(luò)數(shù)據(jù)的交換也不會(huì)多快。而且連接這些的交換機(jī)和路由器的通訊線路都是百兆雙絞線。在這樣的設(shè)備下，中心的網(wǎng)絡(luò)中心通訊帶寬僅為百兆。這將是實(shí)現(xiàn)網(wǎng)絡(luò)高速吞吐的瓶頸。還有租用網(wǎng)絡(luò)的帶寬太低，如學(xué)校與育才校區(qū)的

5、通訊帶寬才2m，而雁山校區(qū)師生有上萬(wàn)人，平時(shí)至少有上百人同時(shí)使用網(wǎng)絡(luò)，這也極大限制了學(xué)生與育才校區(qū)信息資源的共享。從網(wǎng)絡(luò)應(yīng)用方面看：學(xué)校提供的校園網(wǎng)絡(luò)服務(wù)內(nèi)容太少，如缺少校園郵件服務(wù)，文件服務(wù)等，而且有些新的學(xué)生宿舍還沒(méi)提供寬帶接入，學(xué)生只能用電信的電話撥號(hào)上網(wǎng)。一、 不方便學(xué)生上網(wǎng)，也不能規(guī)范和監(jiān)督學(xué)生上網(wǎng)；二、 不能實(shí)現(xiàn)以網(wǎng)養(yǎng)網(wǎng)的目標(biāo)，節(jié)約學(xué)校對(duì)網(wǎng)絡(luò)的投資成本；從網(wǎng)絡(luò)安全方面看：防火墻已落伍，網(wǎng)絡(luò)安全性非常脆弱，服務(wù)器防毒能力差，非常容易遭受到攻擊，包括外網(wǎng)和內(nèi)網(wǎng)對(duì)服務(wù)器的攻擊。1.2.3 網(wǎng)絡(luò)升級(jí)的目的和實(shí)現(xiàn)的功能。l 實(shí)現(xiàn)高速的internet和cernet出入；l 實(shí)現(xiàn)穩(wěn)定的快速的d

6、ns、www、ftp、e-mail等多項(xiàng)網(wǎng)絡(luò)服務(wù)；l 整個(gè)校園網(wǎng)主干實(shí)現(xiàn)千兆傳輸，百兆光纖到樓宇，百兆到桌面；l 擁有高性能的網(wǎng)絡(luò)設(shè)備，有足夠的設(shè)備冗余；l 除了以上要求外，還要要求升級(jí)后的校園網(wǎng)具有一定的系統(tǒng)冗余度，以適應(yīng)未來(lái)的發(fā)展和應(yīng)用需求。2. 廣西師范大學(xué)雁山校區(qū)網(wǎng)絡(luò)升級(jí)方案設(shè)計(jì)2.1雁山校區(qū)校園網(wǎng)設(shè)計(jì)分析2.1.1校園網(wǎng)的功能要求實(shí)現(xiàn)高速的internet和cernet出入；實(shí)現(xiàn)內(nèi)部千兆校園網(wǎng)主干，百兆交換到桌面；增加新學(xué)生宿舍的接入；增加校園無(wú)線局域網(wǎng)；2.2校園網(wǎng)系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案主要包括校園網(wǎng)內(nèi)部網(wǎng)和internet接入兩部分的設(shè)計(jì)。（1）校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)

7、是組建在校園內(nèi)的計(jì)算機(jī)應(yīng)用網(wǎng)絡(luò)，可以intranet方式建設(shè)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)。對(duì)本校區(qū)而言，幾乎包括所有的建筑樓群：如教學(xué)樓、圖書(shū)館、教師和學(xué)生宿舍樓等。根據(jù)雁山校區(qū)對(duì)網(wǎng)絡(luò)應(yīng)用的需求，主干可以采用分層次的網(wǎng)絡(luò)結(jié)構(gòu)和冗余設(shè)計(jì)技術(shù)，如采用核心、匯聚冗余。還有無(wú)線局域網(wǎng)的引入，也是逐步完善校園網(wǎng)絡(luò)的一個(gè)舉措。（2）校園網(wǎng)接入internet設(shè)計(jì)雁山校區(qū)校園網(wǎng)采用雙端口方式，一個(gè)接入育才校區(qū)校園網(wǎng)，一個(gè)作為雁山電信的局域網(wǎng)方式接入雁山電信，校園網(wǎng)核心交換機(jī)及路由器都存放在網(wǎng)絡(luò)中心，所有樓宇的光纖均連接到網(wǎng)絡(luò)中心。2.3校園網(wǎng)結(jié)構(gòu)設(shè)計(jì)2.3.1校園網(wǎng)物理結(jié)構(gòu)設(shè)計(jì)此次升級(jí)物理網(wǎng)絡(luò)上主要是對(duì)網(wǎng)絡(luò)設(shè)備及通信帶寬

8、的升級(jí)升級(jí)核心路由器，采用思科優(yōu)質(zhì)的產(chǎn)品c3600系列。采用思科雙c3750核心交換機(jī)做冗余技術(shù)；匯聚層也采用思科c3550，原有的設(shè)備可當(dāng)備份用；接入層采用思科c2950系列。各層設(shè)備都具有千兆以太網(wǎng)端口。在通信線路上，此次將校園主干網(wǎng)都升級(jí)為1000m以滿足學(xué)校對(duì)網(wǎng)絡(luò)的需求。接入雁山電信仍為原有的百兆光纖，不過(guò)只要更改光纜的帶寬就可以使網(wǎng)絡(luò)升級(jí)到更高的帶寬；路由器與核心交換機(jī)間采用1000base-t銅纜連接； 核心交換機(jī)與匯聚層交換機(jī)間采用1000base-lx光纖連接（在同一室內(nèi)可用優(yōu)質(zhì)雙絞線）。校內(nèi)各網(wǎng)絡(luò)服務(wù)采用100m雙絞線連到核心交換機(jī)。匯聚層交換機(jī)所在的樓房?jī)?nèi)直接采用100雙絞

9、線連接到接入層交換機(jī)，其它樓房的接入層交換機(jī)則用100m光纖連接到該匯聚交換機(jī)上。升級(jí)物理網(wǎng)絡(luò)拓?fù)鋱D（如圖三）：圖三 升級(jí)后的網(wǎng)絡(luò)拓?fù)鋱D2.3.2校園網(wǎng)的邏輯結(jié)構(gòu)設(shè)計(jì)校園網(wǎng)邏輯結(jié)構(gòu)設(shè)計(jì)主要是ip子網(wǎng)網(wǎng)段的劃分，根據(jù)校園網(wǎng)實(shí)際應(yīng)用需求實(shí)現(xiàn)vlan的設(shè)置。從校園網(wǎng)的安全性、ip地址的可管理性和ip地址資源的有限性出發(fā)，將整個(gè)校園網(wǎng)絡(luò)劃分成若干個(gè)子網(wǎng)網(wǎng)段并對(duì)ip地址進(jìn)行有效的管理是十分必要的。子網(wǎng)網(wǎng)段劃分一般應(yīng)遵循以下原則：l 需要對(duì)外開(kāi)放的服務(wù)器劃分在同一網(wǎng)段，并分配真實(shí)的ip地址；l 除接入internet的路由器外，將其它所有網(wǎng)絡(luò)設(shè)備劃分到私有的網(wǎng)段；l 將不對(duì)外開(kāi)放的服務(wù)器劃分到專有網(wǎng)段中，

10、其地址對(duì)外是隱蔽的；l 最好將不同部門的機(jī)器劃分到不同網(wǎng)段中；l 劃分的子網(wǎng)應(yīng)使ip管理簡(jiǎn)單，同時(shí)也要避免ip地址的大量浪費(fèi)；l 可使用子網(wǎng)掩碼將幾個(gè)c類地址分給同一個(gè)大的子網(wǎng)，或?qū)⒁粋€(gè)c類地址分給幾個(gè)小的子網(wǎng)；l 校園內(nèi)部網(wǎng)ip地址使用保留地址，連接internet的子網(wǎng)采用真實(shí)ip地址。以下為學(xué)校升級(jí)中，對(duì)學(xué)校所有網(wǎng)內(nèi)計(jì)算機(jī)的子網(wǎng)劃分情況：序號(hào)vlan號(hào)子網(wǎng)名稱包含的信息點(diǎn)1dmz區(qū)服務(wù)器子群連接internet的所有對(duì)外開(kāi)放服務(wù)器，為真實(shí)ip地址211服務(wù)器子網(wǎng)所有只對(duì)校內(nèi)開(kāi)放的服務(wù)器，為保留ip地址312網(wǎng)絡(luò)設(shè)備子網(wǎng)除路由器外所有網(wǎng)絡(luò)設(shè)備413辦公室子網(wǎng)辦公室計(jì)算機(jī)514無(wú)線接入子網(wǎng)所

11、有無(wú)線接入的計(jì)算機(jī)615學(xué)生宿舍子網(wǎng)1校內(nèi)學(xué)生宿舍接入的計(jì)算機(jī)716學(xué)生宿舍子網(wǎng)2校內(nèi)學(xué)生宿舍接入的計(jì)算機(jī)817教師宿舍子網(wǎng)1校內(nèi)教師宿舍接入的計(jì)算機(jī)918教師宿舍子網(wǎng)2校內(nèi)教師宿舍接入的計(jì)算機(jī)1019教室子網(wǎng)教學(xué)樓的教學(xué)用計(jì)算機(jī)1120電子閱覽室子網(wǎng)圖書(shū)館除辦公室計(jì)算機(jī)外的所有計(jì)算機(jī)1221計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)1計(jì)算機(jī)實(shí)驗(yàn)室11322計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)2計(jì)算機(jī)實(shí)驗(yàn)室21423計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)3計(jì)算機(jī)實(shí)驗(yàn)室31524計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)4計(jì)算機(jī)實(shí)驗(yàn)室1625計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)5計(jì)算機(jī)實(shí)驗(yàn)室1726計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)6計(jì)算機(jī)實(shí)驗(yàn)室表一子網(wǎng)劃分示意圖如圖2-4：圖四 vlan劃分示意圖3. 廣西師范大學(xué)雁山校區(qū)

12、網(wǎng)絡(luò)升級(jí)硬件設(shè)計(jì)3.1交換設(shè)備的選型3.1.1核心層交換機(jī)的選型根據(jù)學(xué)校的規(guī)模和應(yīng)用需求，為將校園主干升級(jí)為千兆網(wǎng)絡(luò)，我們核心交換機(jī)選用兩臺(tái)cisco ws-c3750g-24ts-s作核心冗余。cisco catalyst 3750系列交換機(jī)是一款適用于中型機(jī)構(gòu)和大型企業(yè)分支機(jī)構(gòu)的創(chuàng)新產(chǎn)品。該交換機(jī)采用了cisco stackwise技術(shù)，通過(guò)結(jié)合易用性和可堆疊交換機(jī)的最高永續(xù)性，提高了局域網(wǎng)運(yùn)行效率。性能介紹：l 可用性802.1s/w支持基于標(biāo)準(zhǔn)的容錯(cuò)性、負(fù)載均衡和迅速恢復(fù)；flexlink特性提供了不到100ms的快速收斂；pvst+則通過(guò)允許流量在冗余鏈路上傳輸，增加了可用帶寬l c

13、isco stackwise技術(shù)單一ip地址和單一命令行界面（cli）簡(jiǎn)化了管理；32-gbps永續(xù)架構(gòu)加速了收斂；1n堆疊采用了冗余和第三層上行鏈路永續(xù)性、跨堆疊cisco etherchannel技術(shù)及qos，提高了可用性；自動(dòng)配置和cisco ios軟件版本檢查和升級(jí)加速了部署過(guò)程；交換機(jī)的熱添加和刪除能保持堆疊持續(xù)運(yùn)行l(wèi) 370w poe簡(jiǎn)化了ip電話、無(wú)線和視頻監(jiān)視部署；智能電源管理特性增強(qiáng)了控制能力，有助于更好地利用功率預(yù)算，poe與快速以太網(wǎng)或千兆以太網(wǎng)型號(hào)相結(jié)合，能最大限度地利用現(xiàn)有基礎(chǔ)設(shè)施投資l 第三層特性 opsf、eigrp、bgp 、靜態(tài) pbr等高級(jí)路由協(xié)議擴(kuò)大了網(wǎng)絡(luò)

14、規(guī)模；等成本路由以及pim等組播路由能夠最大限度地利用網(wǎng)絡(luò)資源；vrflite可保護(hù)流量；ipv6在簡(jiǎn)化網(wǎng)絡(luò)尋址和移動(dòng)ip的同時(shí)提高了安全性l qos 流量整形能在不丟棄數(shù)據(jù)包的情況下平穩(wěn)處理突發(fā)流量；整形循環(huán)保證了關(guān)鍵任務(wù)應(yīng)用的帶寬；而scavenger隊(duì)列則能防止蠕蟲(chóng)過(guò)度使用資源l 管理 cisco smartports能快速、簡(jiǎn)單地配置高級(jí) web界面完成設(shè)置； 資源模板則可用于為應(yīng)用定制交換機(jī)資源。l 安全dhcp監(jiān)聽(tīng)能夠只允許可信端口訪問(wèn)dhcp信息，消除了惡意dhcp服務(wù)器；nac則能防止代價(jià)昂貴的蠕蟲(chóng)和病毒的傳播；動(dòng)態(tài)arp檢測(cè)和ip源防護(hù)能夠防御中間人攻擊；802.1x和基于身

15、份的網(wǎng)絡(luò)服務(wù)僅允許授權(quán)人員接入網(wǎng)絡(luò)；端口安全能防止mac地址泛洪攻擊各關(guān)鍵交換機(jī)的主要性能參數(shù)如下表（表二）:參數(shù)類型ws-c3750g-24ts-s主要參數(shù)ws-c3550-24-smi主要參數(shù)ws-c2950t-24主要參數(shù)交換機(jī)類型網(wǎng)管交換機(jī)網(wǎng)管交換機(jī)快速以太網(wǎng)交換機(jī)傳輸速率10mbps/100mbps/1000mbps32mb dram和8mb閃存16mb dram和8mb閃存網(wǎng)絡(luò)標(biāo)準(zhǔn)ieee 802.3、ieee 802.3u、ieee 802.3z、ieee 802.3abieee 802.1x、ieee,802.3x、ieee 802.1d、ieee 802.1p、ieee 80

16、2.1q、ieee 802.3、ieee 802.3u、ieee 802.3ab、ieee 802.3zieee 802.1x、ieee 802.3x、ieee 802.1d、ieee 802.1p、ieee 802.1q、ieee 802.3ab、ieee 802.3u、ieee 802.3端口數(shù)量2424 個(gè)10/100端口+2 個(gè)1000basex 端口26接口介質(zhì)10/100/1000base-tx、1000base-fx/sx傳輸模式支持全雙工支持全雙工支持全雙工配置形式可堆疊可堆疊可堆疊交換方式存儲(chǔ)-轉(zhuǎn)發(fā)存儲(chǔ)-轉(zhuǎn)發(fā)存儲(chǔ)-轉(zhuǎn)發(fā)背板帶寬32gbps8.8gbps8.8gbpsvlan支

17、持支持支持支持mac地址表12k80008000模塊化插槽數(shù)4無(wú)無(wú)指示面板端口狀態(tài)led：鏈路完整，關(guān)閉，活動(dòng)，速度和全雙工指示；系統(tǒng)狀態(tài)led：系統(tǒng)，rps和帶寬利用率指示。每個(gè)端口的狀態(tài)led:連接完整性、禁用、活動(dòng)和速度(僅限于上行鏈路)指示器,系統(tǒng)狀態(tài)led:系統(tǒng)和rps指示器尺寸(mm)2954456644.536644544524244重量(kg)5.685.03.0其他技術(shù)參數(shù)1 / 1.5機(jī)架單元（ru）可堆疊多層交換機(jī)；提供到網(wǎng)絡(luò)邊緣的企業(yè)級(jí)智能化服務(wù) ；預(yù)裝標(biāo)準(zhǔn)多層軟件鏡像（emi）； 基本的rip和靜態(tài)路由器，可以升級(jí)到完全動(dòng)態(tài)的ip路由安裝了標(biāo)準(zhǔn)的多層軟件鏡像（smi）

18、；可以升級(jí)到完全動(dòng)態(tài)的ip路由；功耗：65w（最大），每小時(shí)222btu；由所有端口共享的4 mb內(nèi)存架構(gòu)；32mb dram和8mb閃存；可以配置多達(dá)8000個(gè)mac地址；可以配置多達(dá)16000條單播路徑；可以配置多達(dá)2000條多播路徑；可以配置的最大傳輸單元（mtu）高達(dá)1590字節(jié)，用于連接mpls標(biāo)記幀網(wǎng)管功能：snmp管理信息庫(kù)(mib)ii，snmp mib擴(kuò)展，橋接mib(rfc 1493)表二3.1.2 匯聚層交換機(jī)選型匯聚層交換機(jī)需要支持第三層交換，對(duì)應(yīng)核心冗余，在這里我們也選用兩臺(tái)cisco ws-c3550-24-smi作匯聚冗余. 主要參數(shù)列表請(qǐng)參看表3-1. 產(chǎn)品特點(diǎn)

19、：3550系列是一款功能強(qiáng)大的交換機(jī)，可在中型網(wǎng)絡(luò)中作接入設(shè)備，也可作匯聚設(shè)備。用戶可以在整個(gè)網(wǎng)絡(luò)中部署智能化的服務(wù)，例如先進(jìn)的服務(wù)質(zhì)量（qos），速度限制，cisco安全訪問(wèn)控制列表，多播管理和高性能的ip路由同時(shí)保持了傳統(tǒng)lan交換的簡(jiǎn)便性。catalyst 3550系列中內(nèi)嵌了cisco集群管理套件（cms）軟件，該軟件使用戶可以利用一個(gè)標(biāo)準(zhǔn)的web瀏覽器同時(shí)配置和診斷多個(gè)catalyst桌面交換機(jī)并為其排除故障。cisco cms軟件提供了新的配置向?qū)В梢源蠓群?jiǎn)化整合式應(yīng)用和網(wǎng)絡(luò)級(jí)服務(wù)的部署。 含有標(biāo)準(zhǔn)多層軟件鏡像（smi）或者增強(qiáng)型多層軟件鏡像（emi）。emi提供了一組更加豐

20、富的企業(yè)級(jí)功能，包括基于硬件的ip單播和多播路由，虛擬lan（vlan）間的路由，路由訪問(wèn)控制列表（racl）和熱備用路由器協(xié)議（hsrp）。在剛開(kāi)始部署時(shí)，增強(qiáng)型多層軟件鏡像升級(jí)工具包為用戶提供了升級(jí)到emi的靈活性。3.1.3 接入層交換機(jī)選型接入層設(shè)備主要作用是要支持vlan的劃分，我們可以選用cisco catalyst 2950.主要參數(shù)列表參看表3-1。3.2路由器的選型接入internet的路由器完全可以選用cisco 3620，因?yàn)閏isco 3600系列是一個(gè)適合大中型企業(yè)internet服務(wù)供應(yīng)商的模塊化、多功能訪問(wèn)平臺(tái)家族。cisco 3600系列擁有70多個(gè)模塊化接口選

21、項(xiàng)，提供語(yǔ)音/數(shù)據(jù)集成、虛擬專網(wǎng)（vpn）、撥號(hào)訪問(wèn)和多協(xié)議數(shù)據(jù)路由解決方案。通過(guò)利用cisco的語(yǔ)音/傳真網(wǎng)絡(luò)模塊，cisco 3600系列允許客戶在單個(gè)網(wǎng)絡(luò)上合并語(yǔ)音、傳真和數(shù)據(jù)流量。高性能的模塊化體系結(jié)構(gòu)保護(hù)了客戶的網(wǎng)絡(luò)技術(shù)投資，并將多個(gè)設(shè)備的功能集成到一個(gè)可管理的解決方案之中。關(guān)鍵特性：l 在一個(gè)平臺(tái)中結(jié)合了撥號(hào)訪問(wèn)、先進(jìn)的局域網(wǎng)到局域網(wǎng)路由服務(wù)、atm連接以及語(yǔ)音、視頻和數(shù)據(jù)的多服務(wù)集成。l 模塊化、可伸縮的設(shè)計(jì)提供性能、可伸縮性、靈活性和投資保護(hù)。l 高密度isdn pri功能。 l 預(yù)配置的bri和pri調(diào)制解調(diào)器捆綁。l 支持modem-over-bri功能性。 l 集成了ci

22、sco ios軟件（產(chǎn)品定價(jià)中包括ip ios軟件）。 l 完全支持vpn。路由器的主要性能參數(shù)如表三：參數(shù)類型cisco 3620主要參數(shù)網(wǎng)絡(luò)標(biāo)準(zhǔn)wan，ethernet，fast ethernet，atm，isdn，t1/e1，frame relay，x.25，ip/ipx 網(wǎng)絡(luò)協(xié)議ip/ipx/at/dec/fw/ids plus 是否內(nèi)置防火墻是 內(nèi)存32mb(缺省)；128mb(最大) 重量13.6kg 表三3.3防火墻的選型防火墻是一種部署在內(nèi)外網(wǎng)邊界上的訪問(wèn)控制設(shè)備，在校園網(wǎng)中使用防火墻，可以用來(lái)防止未經(jīng)授權(quán)的通信進(jìn)出校園內(nèi)部網(wǎng)絡(luò)，通過(guò)邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全策略。防火墻主要有

23、簡(jiǎn)單包過(guò)濾防火墻、狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻、應(yīng)用程序代理防火墻三種。結(jié)合我們學(xué)校情況，我們選用cisco pix-525-r-bun 防火墻來(lái)保障校園網(wǎng)絡(luò)安全。cisco pix-525-r-bun防火墻的主要功能：l 企業(yè)級(jí)集成式安全設(shè)備l 最高330 mbps防火墻吞吐率l 利用硬件加速（某些型號(hào)自帶，在其他型號(hào)中為可選組件）最高可以提供145 mbps 3des和135mbps aes-256 vpn吞吐率l 最多可以為2000個(gè)遠(yuǎn)程用戶提供vpn集中器服務(wù)（easy vpn server）l 千兆以太網(wǎng)支持；最多8個(gè)10/100 fe或者3個(gè)千兆以太網(wǎng)接口l 虛擬局域網(wǎng)中繼（基于802.1

24、q標(biāo)簽）和ospf動(dòng)態(tài)路由支持l 安全環(huán)境（虛擬防火墻服務(wù)）支持l 主用/主用和主用/備用防火墻狀態(tài)故障切換支持l 主用/備用ipsec vpn故障切換支持pix-525 的相關(guān)參數(shù)如表四：參數(shù)類型pix-525參數(shù)處理器600 mhzram128或256 mb閃存16 mbpci插槽3固定接口（物理）2個(gè)10/100快速以太網(wǎng)端口最大接口數(shù)量（物理）8個(gè)10/100fe 或ge最大虛擬接口（vlan）100支持的安全環(huán)境有， 2/50 vpn加速器卡（vac）選項(xiàng)有， 集成在部分型號(hào)中高可用性支持a/s， a/a設(shè)備更新處理僅使用小型文件傳輸協(xié)議（tftp）故障切換端口db-15（rs 23

25、2）大小2 ru表四3.4服務(wù)器選型現(xiàn)在著名的服務(wù)器品牌非常多，有ibm、hp、dell、lenovo、曙光、浪潮等。這里選的服務(wù)器主要是驗(yàn)證服務(wù)器的選擇，其它的看學(xué)校目前的網(wǎng)絡(luò)應(yīng)用可以隨時(shí)增設(shè),如前面分析的ftp服務(wù)器、e-mail服務(wù)等。根據(jù)我們前面的分析與設(shè)計(jì)，我們選擇華為ma5200f-2000 來(lái)作為校園的寬帶接入驗(yàn)證服務(wù)器，主要驗(yàn)證學(xué)生接入與無(wú)線接入這兩方便。3.5具體網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)圖圖五 詳細(xì)網(wǎng)絡(luò)拓?fù)鋱D核心部分：圖六注：圖五中完整ip的均使用默認(rèn)c類掩碼，而只有兩個(gè)ip位的都默認(rèn)省去了前兩位，如：100.6/30其完整ip為/30，其中30為該ip的掩碼長(zhǎng)

26、度。核心與匯聚部分：圖七匯聚與接入部分：圖八注：由于接入層是工作在數(shù)據(jù)鏈路層，所以不需為其設(shè)置ip附件：配置路由器配置就目前的應(yīng)用來(lái)說(shuō)，只需要增加ospf協(xié)議即可。router(config)#ip route serialip管理根據(jù)學(xué)校所在的雁山電信分配到公網(wǎng)ip為：64767可接入育才校區(qū)校園網(wǎng)的ip為：內(nèi)部校園網(wǎng)的ip分配情況為：1) 學(xué)校網(wǎng)絡(luò)設(shè)備ip劃分如表五所示。主機(jī)名稱/類型設(shè)備名稱ip設(shè)置注釋cisco 3620網(wǎng)絡(luò)中心路由器ip：192.1

27、68.100.1/24網(wǎng)關(guān)：網(wǎng)管ipcisco pix 525網(wǎng)絡(luò)防火墻ip：/24/24/30/30網(wǎng)關(guān)：/24網(wǎng)管ipcisco ws-c3750g核心交換機(jī)1ip：/303/307/309/30網(wǎng)關(guān)：/24網(wǎng)管ipcisco ws-c3750g核心交換機(jī)2ip：0/30192.16

28、8.100.14/301/305/30網(wǎng)關(guān)：網(wǎng)管ipcisco ws-c3550匯聚交換機(jī)1ip：0/302/303/30網(wǎng)關(guān)：網(wǎng)管ipcisco ws-c3550匯聚交換機(jī)2ip：6/308/304/30網(wǎng)關(guān)：網(wǎng)管ipcisco ws-c2950t接入交換機(jī)1網(wǎng)關(guān)：網(wǎng)管ipcisco

29、ws-c2950t接入交換機(jī)2網(wǎng)關(guān)：網(wǎng)管ipcisco ws-c2950t接入交換機(jī)3網(wǎng)關(guān)：網(wǎng)管ipcisco ws-c2950t接入交換機(jī)4網(wǎng)關(guān)：網(wǎng)管ipcisco ws-c2950t接入交換機(jī)5網(wǎng)關(guān)：網(wǎng)管ipweb服務(wù)器ip：64/24m郵件服務(wù)器ip：7/24ftp服務(wù)器ip：67/24認(rèn)證服務(wù)器ip：/24dn

30、dns服務(wù)器ip：/24教務(wù)管理服務(wù)器ip：/24網(wǎng)管服務(wù)器ip：/24表五2) 學(xué)校共分16個(gè)子網(wǎng)，其vlan劃分情況如表六所示。 vlan id網(wǎng)段ip網(wǎng)關(guān)ip描述isp 的網(wǎng)關(guān)dmz區(qū)服務(wù)群1/24/30（主）0/30（備）內(nèi)網(wǎng)服務(wù)器子網(wǎng)2/24網(wǎng)絡(luò)設(shè)備子網(wǎng)除路由器外3/24辦公室子網(wǎng)419

31、/24無(wú)線接入子網(wǎng)5/24學(xué)生宿舍子網(wǎng)16/24學(xué)生宿舍子網(wǎng)27/24教師宿舍子網(wǎng)18/24教師宿舍子網(wǎng)29/24教室子網(wǎng)10/24電子閱覽室子網(wǎng)11/24計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)112/24192.16

32、8.22.1計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)213/24計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)314/24計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)415/24計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)516/24計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)6表六 vlan劃分表交換機(jī)配置交換機(jī)部分本人主要配置了核心與分布交換機(jī)中的冗余設(shè)計(jì)，如hsrp協(xié)議、vlan劃分、開(kāi)啟交換機(jī)的三層路由功能等。舉例配置如下，vlan配置中僅以vlan 10為例。core_switch#1interface fastethernet0

33、/23no switchport /設(shè)定成三層接口no ip addresschannel-group 10 mode active /啟動(dòng)lacp協(xié)議，將lacp模式設(shè)定成active!interface fastethernet0/24no switchport /設(shè)定成三層接口no ip addresschannel-group 10 mode active /啟動(dòng)lacp協(xié)議，將lacp模式設(shè)定成activeinterface port-channel10no switchportip address 3 52 /將port-chan

34、nel10設(shè)定成三層interface fastethernet0/19 /與分布交換機(jī)相連的接口no switchport /設(shè)定成三層接口ip address 9 52no shutdowninterface fastethernet0/21 /與分布交換機(jī)相連的備用接口no switchport ip address 7 52no shutdowninterface fastethernet0/20 /connected to firewallno switchport /設(shè)成三層接口

35、ip address 52no shutdownrouter ospf 1network area 0 /設(shè)為區(qū)域0network 7 area 1 /設(shè)為區(qū)域1network 9 area 1ip route /設(shè)置默認(rèn)路由core_switch#2interface fastethernet0/23no switchport /設(shè)定成三層接口no ip

36、 address channel-group 10 mode active /啟動(dòng)lacp協(xié)議，將lacp模式設(shè)定成active!interface fastethernet0/24no switchport /設(shè)定成三層接口no ip address channel-group 10 mode active /啟動(dòng)lacp協(xié)議，將lacp模式設(shè)定成activeinterface port-channel10no switchportip address 4 52 /將port-channel10設(shè)定成三層interface fastethe

37、rnet0/19 /與分布交換機(jī)相連的接口no switchport /設(shè)定成三層接口ip address 5 52no shutdowninterface fastethernet0/21 /與分布交換機(jī)的相連的備用接口no switchportip address 1 52no shutdowninterface fastethernet0/20 /connected to firewallno swithport /設(shè)成三層接口ip address 0 255

38、.255.255.252router ospf 1network 0 area 0 /設(shè)置端口區(qū)域0network 1 area 1 /設(shè)置端口區(qū)域1network 5 area 1ip route /設(shè)置默認(rèn)路由distribute_switch#1的配置!以vlan10為例interface vlan10 /開(kāi)啟交換機(jī)的三層交換ip address 53

39、/實(shí)際地址為53standby 10 ip 54 /虛擬地址為54standby 10 priority 110 /hsrp的優(yōu)先級(jí)為110router ospf 1network 55 area 1network 192.168.x.0 55 area 1 /其中x代表vlan x所規(guī)劃的ip地址段ip route interface fastethernet0/23switchport encapculation dot1q /封裝為ieee802.1qswitchport mode trunk /設(shè)定為trunk模式 no ip address channel-group 10 mode active /啟動(dòng)lacp協(xié)議，將lacp模式設(shè)定成active!interface faste