網(wǎng)絡工程與系統(tǒng)集成(佟巍)

1、網(wǎng)絡工程與系統(tǒng)集成期末大作業(yè)需求分析：1）某大學具有6個二級學院，分別位于同一城市的4個園區(qū)，其中大學與兩個二級學院在同一個園區(qū)（園區(qū)1），另外兩個二級學院位于另一個園區(qū)（園區(qū)2），而其它兩個學院分別位于園區(qū)3和園區(qū)4。2）大學向因特網(wǎng)發(fā)布信息并為全校提供有關的信息化服務，每個學院也自行向因特網(wǎng)發(fā)布學院信息并負責學院自己的信息服務，每個學院都擁有約1500臺PC機。3)大學已從CERNET有關機構申請了IPV4地址塊/24/24。4)校園網(wǎng)絡遵循網(wǎng)絡核心層、網(wǎng)絡匯聚層、網(wǎng)絡接入層的三層結構模式：選用萬兆以太網(wǎng)作為連接大學4個園區(qū)的高速主干；選

2、用千兆以太網(wǎng)作為各個園區(qū)的主干，形成大學校園網(wǎng)的匯聚層；選用百兆以太網(wǎng)LAN作為基本接入形式。大學校園網(wǎng)與因特網(wǎng)具有統(tǒng)一接口，即通過百兆以太網(wǎng)接入 CERNET。 設計要求：1）為校園網(wǎng)規(guī)劃IP地址；2）為校園網(wǎng)設計網(wǎng)絡拓撲結構(用VISIO2003畫圖）；3）為校園網(wǎng)選擇適當?shù)木W(wǎng)絡設備；4）為校園網(wǎng)選擇路由協(xié)議；5）為校園網(wǎng)選擇網(wǎng)絡安全措施。設計方案：一， 需求分析和設計考慮 這是當前許多大學和企業(yè)面臨的一個非常典型的大型園區(qū)網(wǎng)設計問題。位于同城市不同區(qū)域的4個網(wǎng)絡自行設計，通過以太網(wǎng)光纖連接到核心交換機上，以及vlan間的路由技術，構成在拓撲上的統(tǒng)一結構。1） 由于在某個時期網(wǎng)絡具有特定的

3、主流技術，因此近年來建設的園區(qū)網(wǎng)大多采用萬兆核心，千兆到樓宇，百兆到LAN/桌面的以太網(wǎng)解決方案。事實上，這種結構是一種二層結構的網(wǎng)絡拓撲，其中的千兆構成了匯聚層的主干，而百兆到LAN/主機構成了接入層。因此，一種解決方案就是選用萬兆以太網(wǎng)作為整個核心層，形成校園網(wǎng)主干，并且該校園網(wǎng)主干采用因特網(wǎng)公有地址。2） 選用萬兆交換機互聯(lián)各個園區(qū)網(wǎng)的原因在于：其一，各園區(qū)網(wǎng)均采用以太網(wǎng)技術體系，兼容性好。其二，大學將校園網(wǎng)上開展教學視頻觀摩，遠程聽課等工作，提供高速率信息通道是必要的。萬兆交換機是具有路由功能的多層交換機，在校園網(wǎng)環(huán)境下能夠提供更好的性能。其三是價格因素，若在覆蓋幾十千米采用高速路由器

4、的話，通常要采用SDH技術，這會使有關設備的價格增加23倍。盡管高速路由器會使各個園區(qū)具有更好的隔離性，但在校園網(wǎng)中用處不大。因此選用多層交換機作為匯聚層的節(jié)點，在各個園區(qū)劃分vlan，隔離廣播信息，再通過多層交換機的vlan間路由技術，進而構建跨區(qū)域的技術互聯(lián)。3） 根據(jù)要求，該校園從CERNET獲得的IP地址數(shù)量是無法滿足需求的，只能提供向因特網(wǎng)發(fā)布信息和聯(lián)系，或進行網(wǎng)絡科學研究之用，因此構成校園網(wǎng)IP地址的主體是經(jīng)過NAT或者PAT地址轉換的專用網(wǎng)地址。使用這些專用地址不利于與其他大學的學術交流，但也不得已而為之的方法；另一方面，可以減少網(wǎng)絡黑客對校園網(wǎng)的侵擾。4） 由于網(wǎng)絡的規(guī)模較大，

5、考慮到以后的可擴展性，路由協(xié)議采用OSPF。5） 考慮到設備的可管理型，網(wǎng)絡管理協(xié)議選用SNMP。二， 設備選用：（1） 交換機（多層交換機）的選用：二層交換機用于小型的局域網(wǎng)絡。這個就不用多言了，在小型局域網(wǎng)中，廣播包影響不大，二層交換機的快速交換功能、多個接入端口和低謙價格為小型網(wǎng)絡用戶提供了很完善的解決方案。 路由器的優(yōu)點在于接口類型豐富，支持的三層功能強大，路由能力強大，適合用于大型的網(wǎng)絡間的路由，它的優(yōu)勢在于選擇最佳路由，負荷分擔，鏈路備份及和其他網(wǎng)絡進行路由信息的交換等等路由器所具有功能。 三層交換機的最重要的功能是加快大型局域網(wǎng)絡內(nèi)部的數(shù)據(jù)的快速轉發(fā)，加入路由功能也是為這個目的服

6、務的。如果把大型網(wǎng)絡按照部門，地域等等因素劃分成一個個小局域網(wǎng)，這將導致大量的網(wǎng)際互訪，單純的使用二層交換機不能實現(xiàn)網(wǎng)際互訪；如單純的使用路由器，由于接口數(shù)量有限和路由轉發(fā)速度慢，將限制網(wǎng)絡的速度和網(wǎng)絡規(guī)模，采用具有路由功能的快速轉發(fā)的三層交換機就成為首選。 一般來說，在內(nèi)網(wǎng)數(shù)據(jù)流量大，要求快速轉發(fā)響應的網(wǎng)絡中，如全部由三層交換機來做這個工作，會造成三層交換機負擔過重，響應速度受影響，將網(wǎng)間的路由交由路由器去完成，充分發(fā)揮不同設備的優(yōu)點，不失為一種好的組網(wǎng)策略，當然，前提是客戶的腰包很鼓，不然就退而求其次，讓三層交換機也兼為網(wǎng)際互連。 第四層交換的一個簡單定義是：它是一種功能，它決定傳輸不僅僅

7、依據(jù)MAC地址(第二層網(wǎng)橋)或源/目標IP地址(第三層路由),而且依據(jù)TCP/UDP(第四層) 應用端口號。第四層交換功能就象是虛IP，指向物理服務器。它傳輸?shù)臉I(yè)務服從的協(xié)議多種多樣，有HTTP、FTP、NFS、Telnet或其他協(xié)議。這些業(yè)務在物理服務器基礎上，需要復雜的載量平衡算法。在IP世界，業(yè)務類型由終端TCP或UDP端口地址來決定，在第四層交換中的應用區(qū)間則由源端和終端IP地址、TCP和UDP端口共同決定。 根據(jù)流量計算，每個園區(qū)網(wǎng)中有1500臺計算機，如果同時上網(wǎng)，會有部分人看視頻，聊QQ，瀏覽網(wǎng)頁等，經(jīng)過估算，帶寬的平均占用為30kbps。那么，每個園區(qū)網(wǎng)的總帶寬應該為30kbp

8、s*1500=3.945Mbps，考慮到設備之間的通信，以及設備的冗余情況，我們應把園區(qū)網(wǎng)核心交換機的處理能力定位在1000Mbps。而大學共包含6個二級學院，因此總帶寬為43.945Mbps*6=263.67Mbps，同樣考慮設備間的通訊以及設備冗余，我們應該把校園核心交換機的處理能力定位在10000Mbps，根據(jù)以上的數(shù)據(jù)統(tǒng)計，我們采用以下性能的設備。A、核心層交換機：特征參數(shù)機箱模塊化交換機，插槽數(shù)9個端口速率1000/10000Mb、GE、10GE端口密度大于96個，根據(jù)模塊選購GE/10GE背板帶寬大于600Gbps軟件全路由及QoS、安全等其它功能引擎、電源備份 B、匯聚層交換機：

9、特征參數(shù)機箱模塊化交換機，插槽數(shù)6個以上端口速率1000/10000Mb、GE、10GE端口密度大于48個，根據(jù)模塊選購GE/10GE背板帶寬大于120Gbps軟件全路由及QoS、安全等其它功能引擎、電源備份 C、接入層交換機：特征參數(shù)端口數(shù)2448個固定配置交換機端口速率10/100/1000Mb上行端口24個，GE或10GE速率背板帶寬大于20Gbps軟件全路由及QoS、安全等其它功能支持PoE參考設備：A、 園區(qū)網(wǎng)核心交換機：cisco6500系列交換機產(chǎn)品規(guī)格：特性 Cisco Catalyst 6500系列系統(tǒng)特性 機箱配置 3插槽 6插槽 9插槽 9個垂直插槽 13插槽 背板帶寬

10、32Gbps共享總線 256Gbps交換矩陣 720Gbps交換矩陣 第三層轉發(fā)性能 Supervisor 1 MSFC：15Mpps Supervisor 2 MSFC：210Mpps Supervisor 720：400Mpps 操作系統(tǒng) Catalyst OS(CatOS) Cisco IOS CatOS/IOS混合配置 冗余交換管理引擎 支持，支持狀態(tài)化故障切換 冗余部件 電源（1+1） 交換矩陣（1+1） 可更換時鐘 可更換風扇架 高可用性特性 網(wǎng)關負載均衡協(xié)議（GLBP） 熱備份路由器協(xié)議（HSRP） 跨多模塊EtherChannel 快速生成樹 多生成樹 每VLAN快速生成樹 快

11、速收斂的第三層協(xié)議 最高系統(tǒng)端口密度 10/100/1000以太網(wǎng) 10/100快速以太網(wǎng) 100-BASE-FX千兆位以太網(wǎng)（GBIC）10千兆位以太網(wǎng)（XENPAK） 576個端口，都支持饋線電源 1152個端口，都支持饋線電源 288個端口 194個端口（在交換管理引擎上提供了2個端口） 32個端口 集成WAN模塊 FlexWAN(DS0到OC-3) OC-3 POS端口 OC-12 POS端口 OC-12 ATM端口 OC-48 POS/DPT端口 12個模塊，帶24個端口適配器 192 48 24 24 PSTN接口 數(shù)字T1/E1中繼端口 FXS接口 高級服務模塊 216 864

12、千兆位防火墻 千兆位VPN 高性能入侵檢測 千兆位內(nèi)容交換模塊 高性能SSL端接 千兆位內(nèi)容服務網(wǎng)關 B、 匯聚層交換機：Cisco Catalyst 3560-X 系列產(chǎn)品規(guī)格：Enhance productivity by using Cisco Catalyst 3560-X Series Switches to enable applications such as IP telephony, wireless, and video. These enterprise-class switches provide high availability, scalability, secu

13、rity, energy efficiency, and ease of operation with innovative features such as: IEEE 802.3at Power over Ethernet Plus (PoE+) configurations Optional network modules Redundant power supplies MAC security features Key Features Connectivity options: o 24 and 48 10/100/1000 PoE+ and non-PoE models o Po

14、E+ with 30W power on all ports in 1 rack unit (RU) form factor o Optional four 1 GE SFP (Small Form-Factor Pluggable) or two 10 GE SFP+ uplink network modules High availability due to dual redundant, modular power supplies and fans Investment protection: o Enhanced limited lifetime warranty o Enhanc

15、ed Cisco EnergyWise to measure, report, and reduce energy usage across your organization Security: o MAC security hardware-based encryption o Multicast routing, IPv6 routing, and access control list in hardware Software versions: o LAN Base: Enterprise Access Layer 2 Switching o IP Base: Enterprise

16、Access Layer 3 Switching, including OSPF (Open Shortest Path First) for routed access o IP Services: Advanced Layer 3 Switching (IPv4 and IPv6) C、 接入層交換機：Cisco Catalyst 3750系列交換機產(chǎn)品規(guī)格：Cisco Catalyst 3750系列包括以下配置： Cisco Catalyst 3750G-24TS24個以太網(wǎng)10/100/1000端口和4條小型可插拔(SFP)上行鏈路 Cisco Catalyst 3750G-24T24

17、個以太網(wǎng)10/100/1000端口 Cisco Catalyst 3750G-12S12個千兆位以太網(wǎng)SFP端口 Cisco Catalyst 3750-48TS48個以太網(wǎng)10/100端口和4條SFP上行鏈路 Cisco Catalyst 3750-24TS24個以太網(wǎng)10/100端口和2條SFP上行鏈路 Cisco Catalyst 3750-48PS48個以太網(wǎng)10/100端口，帶IEEE 802.3af和思科預標準以太網(wǎng)電源 (PoE)，4條 SFP上行鏈路 Cisco Catalyst 3750-24PS24個以太網(wǎng)10/100端口，帶IEEE 802.3af和思科預標準以太網(wǎng)電源

18、(PoE)，2條 SFP上行鏈路 Cisco Catalyst 3750G-16TD16個千兆位以太網(wǎng)10/100/1000端口和1條萬兆位以太網(wǎng)XENPAK上行鏈路 Cisco Catalyst 3750G-24TS-1U24個以太網(wǎng)10/100/1000端口和4條SFP上行鏈路，1機架單元(RU)高 Cisco Catalyst 3750G-24PS24個以太網(wǎng)10/100/1000端口，帶 IEEE 802.3af 和思科預標準PoE，4 條SFP上行鏈路 Cisco Catalyst 3750G-48TS48個以太網(wǎng)10/100/1000端口和4條SFP上行鏈路 Cisco Catal

19、yst 3750G-48PS48個以太網(wǎng)10/100/1000端口，帶 IEEE 802.3af和思科預標準PoE，4條SFP上行鏈路 （2） 路由器的選用：路由器的選用，我們考慮以下幾點情況：A、一般在核心層和分發(fā)層之間部署；B、在冗余鏈路上提供等成本負載均衡時，可以快速重路由；C、建立3角連接而不是4角連接；D、建立路由鄰居的鏈路用于轉發(fā)流量；E、確保冗余的3層路徑不存在黑洞；F、分發(fā)層根據(jù)可進行路由匯總；但現(xiàn)在不建議這么做；G、通過調(diào)整CEF的3層/4層負載均衡hash，以獲得最大的等成本開銷路徑的利用率(CEF polarization)。考慮到我們在大學與學院的匯聚層采用的是多層交換

20、機，因此，無需在此層面花費過多的經(jīng)費去采購三層設備，只需在核心層連接ISP運營上的出口配置路由器即可，同樣考慮到設備處理轉發(fā)數(shù)據(jù)的性能，以及對模塊帶寬的要求，我們 選用如下設備：Cisco 7200系列路由器：關鍵特性： 高性能交換支持高速介質(zhì)和高密度配置；通過其基于RISC和SRAM配置的系統(tǒng)處理器，Cisco 7200每秒可以交換30萬個信息包。 全面的Cisco IOS軟件支持和高性能網(wǎng)絡服務增強高速執(zhí)行服務質(zhì)量、安全、壓縮和加密等網(wǎng)絡服務。 高密度端口提供高密度端口以及廣泛的局域網(wǎng)和廣域網(wǎng)介質(zhì)，大大降低了每端口成本，并允許靈活地進行配置。 公用端口適配器利用和Cisco 7200通用接

21、口處理器（VIP）相同的端口適配器，簡化了備件存儲，并提供接口投資保護。 （3） 防火墻的選用：Cisco ASA 5500系列自適應安全設備： 防火墻版：使企業(yè)能夠安全、可靠地部署關鍵業(yè)務應用和網(wǎng)絡。獨特的模塊化設計能夠提供卓越的投資保護，降低運作成本。 IPS版：通過一組防火墻、應用安全性和入侵防御服務，防止關鍵業(yè)務服務器和基礎設施遭受蠕蟲、黑客及其它威脅的襲擊。 Anti-X版：利用全面的安全服務套件，為小型站點或遠程站點的用戶提供保護。企業(yè)級防火墻和VPN服務提供到公司網(wǎng)絡的安全連接。來自 Trend Micro 的業(yè)內(nèi)領先的Anti-X服務能夠防止客戶端系統(tǒng)遭受惡意Web站點以及病毒

22、、間諜軟件和誘騙等基于內(nèi)容的威脅侵襲。 SSL/IPsec VPN版：使遠程用戶能夠安全地訪問內(nèi)部網(wǎng)絡系統(tǒng)和服務，為大型企業(yè)部署支持VPN集群。安全套接字層（SSL）和IP Security（IPsec）VPN 遠程接入技術將Cisco Secure Desktop 等威脅遷移技術與防火墻和入侵防御服務有機地結合在一起，保證VPN流量不會給企業(yè)帶來威脅。最高防火墻吞吐量（ Mbps ）150最高 3DES/AES VPN 吞吐量（ Mbps ）100最高連接數(shù)10,000/25,000集成式端口8 端口 10/100 交換機，帶 2 個以太網(wǎng)供電端口SSC/SSM 擴展插槽是（ SSC ）應用

23、層安全性是L2 透明防火墻是（4） 無線設備：Cisco 5500 系列無線控制器Cisco 5500 系列無線控制器實現(xiàn)無線配置和管理功能的自動化，為網(wǎng)絡管理員提供更強的可視性和更大的控制能力，讓管理員更有成本效益地管理無線網(wǎng)絡和保障無線網(wǎng)絡安全。 本控制器作為思科一體化無線網(wǎng)絡 (Cisco Unified Wireless Network) 的一個組件，提供 Cisco Aironet 無線接入點、Cisco 無線控制系統(tǒng)（Wireless Control System，WCS）與 Cisco 移動服務引擎 (Mobility Services Engine) 之間的實時通信。 同時還提

24、供集中化安全策略、無線入侵防御系統(tǒng) (IPS) 能力、獲獎的 RF 管理，以及高質(zhì)量服務 (QoS)。為下一代無線網(wǎng)絡而優(yōu)化，5500 系列無線控制器： 提供改善的移動性； 讓企業(yè)做好使用最新移動設備和應用程序的準備； 比其他無線局域網(wǎng)控制器支持更高密度的用戶； 提供更高效的漫游服務，吞吐量至少是現(xiàn)有 802.11a/g 網(wǎng)絡的九倍。（5） 線纜：根據(jù)以上對于設備占用帶寬的分析，以及考慮成本和維護的費用以及方便程度，我們將在核心層、匯聚層采用“以太網(wǎng)光纖”，接入層采用“7類雙絞線”，這樣不僅能夠保證網(wǎng)絡的穩(wěn)定性和冗余，而且能為以后的升級、維護提供方便。線材選用：華為1000BASE-LX（SF

25、P）技術規(guī)格：模塊類型傳輸距離傳輸介質(zhì)傳輸波長接口類型傳輸速率工作電壓SFP10公里單模光纖1310納米雙LC接口1.25Gb/s3.3伏（6） 服務器：核心服務器：IBM System x3850 X5(7145N12) 基本參數(shù)產(chǎn)品類型企業(yè)級產(chǎn)品類別機架式產(chǎn)品結構4U處理器CPU類型Intel至強7500CPU型號Xeon X7560CPU頻率2.266GHz智能加速主頻2.666GHz標配CPU數(shù)量4顆最大CPU數(shù)量4顆制程工藝45nm三級緩存24MB總線規(guī)格QPI 6.4GT/sCPU核心八核CPU線程數(shù)16線程主板擴展槽7半長PCI-Express（2個熱插拔）內(nèi)存內(nèi)存類型DDR3內(nèi)

26、存容量32GB內(nèi)存描述84GB 1066MHz DDR3 內(nèi)存最大內(nèi)存容量1TB存儲硬盤接口類型SAS標配硬盤容量584GB硬盤描述4塊146GB SAS硬盤熱插拔盤位支持熱插拔RAID模式RAID 0，1，5光驅(qū)DVD網(wǎng)絡網(wǎng)絡控制器兩個千兆以太網(wǎng)卡管理及其他系統(tǒng)管理Alert on LAN 2，服務器自動重啟，IBM Systems Director，IBM ServerGuide，集成管理模塊（IMM），光通路診斷（單獨供電），適用于硬盤驅(qū)動器/處理器/VRM/風扇/內(nèi)存的Predictive Failure Analysis，Wake on LAN，動態(tài)系統(tǒng)分析，QPI Faildown

27、，單點故障轉移系統(tǒng)支持Microsoft Windows Server 2008（Standard，Enterprise 和 Data Center Edition，32位和64位）32位和64位 Red Hat Enterprise LinuxSUSE Enterprise Linux（Server 和 Advanced Server）VMware ESX Server/ESXi 4.0電源性能電源類型冗余電源電源數(shù)量2個電源電壓220V電源功率1975W匯聚層服務器：IBM System x3650 M3(7945I75) 基本參數(shù)產(chǎn)品類別機架式產(chǎn)品結構2U處理器CPU類型Intel至強5

28、600CPU型號Xeon X5670CPU頻率2.93GHz智能加速主頻3.333GHz標配CPU數(shù)量1顆最大CPU數(shù)量2顆制程工藝32nm三級緩存12MB總線規(guī)格QPI 6.4GT/sCPU核心六核CPU線程數(shù)12線程主板擴展槽4PCI-Express（二代插槽）內(nèi)存內(nèi)存類型DDR3內(nèi)存容量8GB內(nèi)存描述24GB 1.5V DDR3 RDIMM內(nèi)存內(nèi)存插槽數(shù)量18最大內(nèi)存容量192GB存儲硬盤接口類型SATA/SAS/SSD標配硬盤容量標配不提供最大硬盤容量8TB內(nèi)部硬盤架數(shù)最大支持16塊2.5英寸熱插拔SAS/SATA硬盤熱插拔盤位支持熱插拔RAID模式RAID 5網(wǎng)絡網(wǎng)絡控制器集成雙端口

29、千兆網(wǎng)卡管理及其他系統(tǒng)管理IBM IMM，Virtual Media Key 用于可選的遠程呈現(xiàn)支持，預測故障分析，診斷LED，光通路診斷，服務器自動重啟，IBM Systems Director和IBM Systems Director Active Energy Manager，IBM ServerGuide系統(tǒng)支持Microsoft Windows Server 2008 R2 和 2008Red Hat Enterprise LinuxSUSE Linux Enterprise ServerVMware ESXi 4.0 嵌入式虛擬化管理程序電源性能電源類型熱插拔電源電源數(shù)量1個電源功

30、率675W三，設計方案（1）核心層：由于考慮到核心層的性能，可靠性，安全等問題，我對于拓撲圖有以下兩種設計，第一種沒有在核心層中另外加入核心交換機，而第二種加入了“核心中的核心”，以下是兩種方案的對比：園區(qū)網(wǎng)拓撲圖：A、 沒有核心層的情況：全互連的分發(fā)層物理連線很多路由的復雜度增加圖1.1.1B、 專門的核心層交換機：易于增加模塊核心層鏈路較少易于升級帶寬路由協(xié)議對等體數(shù)量少等開銷的3層鏈路圖1.1.2園區(qū)網(wǎng)示例圖：圖1.1.3該大學的校園網(wǎng)分為公網(wǎng)部分和專用部分。通過防火墻，連接了該大學放置各種應用服務器的非軍事區(qū)部分，并通過路由器與CERNET相連。該三層校園網(wǎng)結構中的核心層位于公網(wǎng)部分。

31、如圖所示，四個園區(qū)的核心多層交換機分別連接到大學主干交換機上，并且各個學院之間也通過萬兆光纖互聯(lián)，構成冗余的網(wǎng)絡拓撲結構，保證了網(wǎng)絡的高可用性。設計中的多層交換機采用Cisco公司的萬兆交換機cisco6500系列交換機，防火墻使用的是Cisco的IOS Firewall，為了增加核心層的可靠性，采用租用電信公司的光纖裸芯，用萬兆速率將4個園區(qū)的8臺萬兆交換機與核心的兩臺交換機連成環(huán)。（2）匯聚層：圖2.1.1圖2.1.2圖2.1.3各園區(qū)可以基本保持原有的二層網(wǎng)絡結構，并且在自己園區(qū)網(wǎng)中使用專用IP地址塊。園區(qū)網(wǎng)要考慮將匯聚層主干兆交換機與大學萬兆交換機通過防火墻相連的問題，注意到有些萬兆交

32、換機可能具有內(nèi)置的防火墻。同時，他們在內(nèi)部防火墻處設置自己的非軍事區(qū)，放置學院網(wǎng)絡應用服務器。園區(qū)中的各個服務器，教學樓，辦公樓，宿舍樓等的交換機，還有包括像cisco IP電話，無線路由器等，都連接到網(wǎng)管中心的主服務器上，然后再向下劃分各個樓層的交換機。如圖例所示，是理工學院與大學萬兆核心層主干網(wǎng)的連接。其中理工學院園區(qū)網(wǎng)的主干網(wǎng)由IBM的主服務器與cisco公司的VN6500交換機連接的千兆光纖構成，以百兆以太網(wǎng)作為接入網(wǎng)與用戶PC，IP電話等相連。各二級學院的校中具有的PC數(shù)量為1500臺，我們可以根據(jù)不同部門，不同樓宇位置劃分為若干子網(wǎng)，然后劃分vlan，以隔離廣播流量，提高網(wǎng)絡工作效

33、率，同時，像各個學院辦公室，實驗室，網(wǎng)管中心，或者宿舍樓等，可以把這些vlan子網(wǎng)通過VPN與其他學院，大學獨立的組成自己的虛擬局域網(wǎng)。網(wǎng)絡管理協(xié)議援用SNMP技術。（3）接入層：圖3.1.1 設備連接應用的客戶端桌面設備，即可以采用固定配置的工作組級交換機，并且有千兆以太網(wǎng)上行端口，設備應該具有可管理性。同時在設備投資上考慮性能/價格比因素，目前在設計接入網(wǎng)絡方案時，普遍采用支持SNMP和RMON等網(wǎng)管協(xié)議的交換機設備，具有支持基于web網(wǎng)絡管理功能的設備，簡化管理工作的復雜性，支持冗余鏈路功能，提高網(wǎng)絡方案的可靠性。可以靈活劃分vlan，支持IEEE802.1p協(xié)議，提高網(wǎng)絡的控制能力。（

34、4） 參考圖例：圖4.1.1三，技術實施：（1） 路由選擇：根據(jù)校園網(wǎng)4個園區(qū)終端數(shù)量，以及網(wǎng)絡環(huán)境和需求，比較各個路由協(xié)議（RIP V1，RIP V2，OSPF，BGP，EIGRP等），最終選用OSPF路由協(xié)議，作為校園網(wǎng)路由選擇最終協(xié)議。OSPF全稱為開放最短路徑優(yōu)先?！伴_放”表明它是一個公開的協(xié)議，由標準協(xié)議組織制定，各廠商都可以得到協(xié)議的細節(jié)?！白疃搪窂絻?yōu)先”是該協(xié)議在進行路由計算時執(zhí)行的算法。OSPF是目前內(nèi)部網(wǎng)關協(xié)議中使用最為廣泛、性能最優(yōu)的一個協(xié)議，它具有以下特點： A、 可適應大規(guī)模的網(wǎng)絡； B、路由變化收斂速度快； C、無路由自環(huán)； D、支持變長子網(wǎng)掩碼(VLSM)； E、支

35、持等值路由； F、支持區(qū)域劃分； G、提供路由分級管理； H、支持驗證； I、支持以組播地址發(fā)送協(xié)議報文?；九渲茫篈、一般在核心層和分發(fā)層之間部署；B、在冗余鏈路上提供等成本負載均衡時，可以快速重路由；C、建立3角連接而不是4角連接；D、建立路由鄰居的鏈路用于轉發(fā)流量；E、確保冗余的3層路徑不存在黑洞；F、分發(fā)層根據(jù)可進行路由匯總；但現(xiàn)在不建議這么做；G、通過調(diào)整CEF的3層/4層負載均衡hash，以獲得最大的等成本開銷路徑的利用率(CEF polarization)。圖5.1.1（2）交換網(wǎng)轉路由網(wǎng)： 1，首先要合理的分配IP地址，做好IP地址的規(guī)劃，本案例需求中已經(jīng)做了規(guī)定：凡是互聯(lián)地址

36、均使用/24子網(wǎng)掩碼，并且在/24地址段范圍內(nèi)。 2，根據(jù)本案例需求，我們先要將vlan301和vlan302的網(wǎng)關下移的過程中會出現(xiàn)少量的丟包，屬于正常現(xiàn)象。 3，對于鏈路和交換機來說，需要逐條逐個進行。要盡最大努力減少丟包。具體方法為我們可先起OSPF，并且宣告相應的網(wǎng)段，最后在進行接口配置。每條路由鏈路建立好后都要進行核查?？碠SPF鄰居關系有無正常建立。 4，為了有效利用SW1和SW2之間的Port-channel1鏈路。我們可以在Port-channel上面配置IP地址。然后通過OSPF進行宣告。這樣配置后SW1和SW2就可以形成正常的鄰居關系。vlan配置

37、（交換機功能的實現(xiàn)）：隨著學校自身的發(fā)展及規(guī)模的擴大，作為園區(qū)網(wǎng)的典型，校園網(wǎng)正逐漸地由中小型向大中型發(fā)展和過渡，這樣就決定了它的組網(wǎng)在技術上的多樣性與復雜性，其不僅要考慮物理上各網(wǎng)段的連接，還要考慮建立在各種網(wǎng)絡協(xié)議上子網(wǎng)的互聯(lián)。另外，隨著校園網(wǎng)內(nèi)的計算機數(shù)量的增加，VOD視頻點播在多媒體課堂教學上的大量應用，網(wǎng)絡中廣播包的數(shù)量也會急劇增加，當廣播包的數(shù)量占到總量的30時，網(wǎng)絡的傳輸效率將會明顯下降。特別是當某網(wǎng)絡設備出現(xiàn)故障后，會不停地向網(wǎng)絡發(fā)送廣播，從而導致網(wǎng)絡風暴，使網(wǎng)絡通信陷于癱瘓。當校園網(wǎng)絡內(nèi)計算機數(shù)超過200臺后，就必須采取措施將網(wǎng)絡分隔開來，將一個大的廣播域劃分成若干個小的廣播

38、域。最后是校園網(wǎng)的安全性問題，特別是蠕蟲病毒大規(guī)模的爆發(fā)，會使整個校園網(wǎng)處于嚴重負荷狀態(tài)，導致整個網(wǎng)絡不可用，嚴重影響校園網(wǎng)的性能。此外，大學生在校園網(wǎng)中存在兩種攻擊行為：無意識的和有意的。他們的好奇心比較強，也有一定的理論知識，喜歡在網(wǎng)上嘗試一些攻擊軟件的使用，很可能造成整個校園網(wǎng)的癱瘓。配置策略：圖6.1.1如圖所示做出如下配置：（一）交換機基本配置：1，Trunk：打開所有交換機直接連接的接口，使用802.1Q標準互聯(lián)，注意不需要啟用連接虛擬交換機的Fa1/15。 2，F(xiàn)EC：SW1、SW2的Fa1/1，F(xiàn)a1/2端口做Ethernet Channel捆綁，保持2端配置一致。 3，VTP

39、：所有的交換機均在一個VTP域內(nèi)，域名為LGXY，并設置密碼為“l(fā)igongxueyuan”。SW1、SW2為Server模式，其它交換機均為Client模式。 4，VLAN：在SW1建立VLAN 10100，VLAN 301400。確保所有交換機可以同步這些VLAN信息。（二）生成樹配置：1，實現(xiàn)生成樹負載均衡，服務器網(wǎng)段使用VLAN 1020，通過配置確保訪問VLAN 1015通過SW1，而訪問VLAN1620通過SW2。 2，例如：桌面終端（PC1、PC2）使用VLAN 301302，通過配置確保SW1為這些VLAN的根網(wǎng)橋。同時為防止舊的交換加入網(wǎng)絡時引起生成樹計算，需使SW1成為VL

40、AN 1的根網(wǎng)橋。（三）多層交換的具體配置：1 在所有交換機上面進行基本配置2，所有交換機之間配置truck鏈路3，將SW1及SW2的f1/1和f1/2捆綁為Port-channel鏈路4，在每個交換機上配置VTP5，在SERVER交換機上建立相應的VLAN7，在所有交換機上面配置管理VLAN 3106，給相應的VLAN配置SVI接口并配置hsrp8，根據(jù)需求在相應的交換機上面進行生成樹配置以提高鏈路的利用率9，對HSRP進行優(yōu)化10，開啟SW7、SW8的Fa1/15端口，分別加入到VLAN 301、VLAN 30211，對STP進行優(yōu)化12，交換網(wǎng)轉路由網(wǎng)（3） 子網(wǎng)，IP地址劃分：由于學校從CERNET申請到的IP網(wǎng)段是/24/24，通過計算，最多可以讓10x（256-2）的終端同時上網(wǎng)，但是每個學院有1500臺計算機，4個園區(qū)總共為6000臺，因此IP地址數(shù)量遠遠不能滿足計算機數(shù)量。為了解決這個問題我們采用地址轉換協(xié)議中的PAT動態(tài)轉換協(xié)議，由路由器動態(tài)分配不同的端口號，是多臺計算機使用公網(wǎng)的IP地址，實現(xiàn)內(nèi)部網(wǎng)絡使用私有地址，經(jīng)過轉換可以通過公有地址訪問Internet。但是缺點是，如果轉換為同一IP地址的計算機過多，或者使用相同的應用程序，會出現(xiàn)丟主機掉線的情況，因