2010年校園網(wǎng)規(guī)劃與設(shè)計畢業(yè)論文

1、畢畢 業(yè)業(yè) 論論 文文 課課 題題: 校園網(wǎng)規(guī)劃與設(shè)計校園網(wǎng)規(guī)劃與設(shè)計 班班 級級: 網(wǎng)絡(luò)網(wǎng)絡(luò) 101 姓姓 名名: 龍會松龍會松 指導(dǎo)教師：指導(dǎo)教師： 薛志良薛志良 完成日期：完成日期： 2012 年年 12 月月 30 日日 摘要摘要 校園計算機網(wǎng)絡(luò)的建設(shè)已成為學校建設(shè)中，上檔次、上規(guī)模的一個重要標志。 目前在各高等院校甚至在很多中學都已建立了自己的校園網(wǎng)，一些學校已開始將網(wǎng) 絡(luò)節(jié)點延伸至學生寢室，即將校園網(wǎng)面向?qū)W生全面開放，使得學校校園網(wǎng)真正在教 學科研及管理等各方面起到重要的作用。近年來中國大步跨入了信息化社會，校園 網(wǎng)是 Intranet/Interner 技術(shù)在教育機構(gòu)的一個應(yīng)用。

2、它是指在學校范圍內(nèi)，在一定的 教育思想和理論指導(dǎo)下，為學校教學，科研和管理等教育提供資源共享，信息交流 和協(xié)同工作的計算機網(wǎng)絡(luò)。校園網(wǎng)是基于 Intranet/Interner 技術(shù)發(fā)展起來的，在功能 應(yīng)用上和 Internet 大體上相同，都能夠?qū)崿F(xiàn)以下的功能：Wed 信息發(fā)布和獲取、目錄 服務(wù)、電子郵件、安全性管理、廣域網(wǎng)絡(luò)互聯(lián)、文件、打印共享和網(wǎng)絡(luò)管理等。因 此每個校園網(wǎng)的設(shè)計、建設(shè)都要經(jīng)過周密的論證、謹慎的決策和緊張的施工。現(xiàn)在 就某學院重新進行網(wǎng)絡(luò)設(shè)計，涉及主要有以下方面到綜合布線、無線網(wǎng)輔助有線網(wǎng) 的設(shè)計、網(wǎng)絡(luò)設(shè)備的選型、vlan 的劃分、交換機的配置等等。 從實用的角度出發(fā)，依拓

3、網(wǎng)絡(luò)拓撲結(jié)構(gòu)，對學園網(wǎng)絡(luò)規(guī)劃與設(shè)計進行了深入的 分析，本文主要對校園網(wǎng)的網(wǎng)格設(shè)備的選型、vlan 的劃分和交換機的配置以及綜合 布線等四個方面展開分析。 關(guān)鍵詞：關(guān)鍵詞：校園網(wǎng)；vlan 劃分；交換機的配置；網(wǎng)絡(luò)設(shè)備選型 目錄目錄 第第 1 1 章章 校園網(wǎng)概述校園網(wǎng)概述 .1 1 第第 2 2 章章 校園網(wǎng)的需求分析校園網(wǎng)的需求分析 .3 3 2.1 需求分析 .3 2.2 網(wǎng)絡(luò)層次分析 .3 第第 3 3 章章 校園網(wǎng)設(shè)計方案校園網(wǎng)設(shè)計方案 .5 5 3.1 總體設(shè)計方案 .5 3.2 網(wǎng)絡(luò)設(shè)備選型.5 3.3 信息點的分析 .7 3.4 校園網(wǎng)拓撲結(jié)構(gòu)設(shè)計 .8 3.5 IP 地址分配與

4、 VLAN 的劃分 .8 第第 4 4 章章 交換機模塊設(shè)計交換機模塊設(shè)計 .1010 4.1 接入層交換機的配置 .10 4.2 匯聚層交換機的配置 .12 4.3 核心層交換機的配置 .14 第第 5 5 章章 廣域網(wǎng)接入模塊配置廣域網(wǎng)接入模塊配置 .1717 5.1 配置邊界路由器的基本參數(shù) .17 5.2 配置邊界路由器的各接口參數(shù) .17 5.3 配置邊界路由器的路由功能 .18 5.4 配置邊界路由器上的 NAT.18 5.5 配置邊界路由器上的訪問控制列表 .19 5.6 配置身份認證 .20 5.7 防火墻的介紹 .21 第第 6 6 章章 服務(wù)器群設(shè)計服務(wù)器群設(shè)計 .2323

5、 6.1 DNS 服務(wù)器 .23 6.2 WEB 服務(wù)器 .24 6.3 文件傳輸服務(wù)（FTP） .25 6.4 DHCP 服務(wù)器 .26 第第 7 7 章章 系統(tǒng)測試系統(tǒng)測試 .2727 7.1 WEB 服務(wù)器測試 .27 7.2 FTP 服務(wù)器測試 .27 7.3 DHCP 服務(wù)器測試 .27 課程設(shè)計總結(jié)課程設(shè)計總結(jié) .2929 參考文獻參考文獻 .3030 第第 1 章章 校園網(wǎng)概述校園網(wǎng)概述 Internet 技術(shù)的發(fā)展，推動人們從各個角度去研究計算機網(wǎng)絡(luò)，以使之在各個領(lǐng) 域得到廣泛、成功的應(yīng)用。校園網(wǎng)的概念是指大、中、小學教育單位的網(wǎng)絡(luò)，它以 應(yīng)用為目的，基于 Internet/I

6、ntranet 技術(shù)的計算機網(wǎng)絡(luò)和它的使用者以及相關(guān)規(guī)章制 度的集合。校園網(wǎng)是利用網(wǎng)絡(luò)設(shè)備、通信介質(zhì)和適宜的組網(wǎng)技術(shù)與協(xié)議以及各類系 統(tǒng)管理軟件和應(yīng)用軟件，將校園內(nèi)計算機、計算機教室和各種終端設(shè)備有機地集成 在一起，并用于教學、教科研、學校管理、信息資源共享和遠程教學等方面工作的 計算機局域網(wǎng)絡(luò)系統(tǒng)。校園網(wǎng)是為學校師生提供教學、科研和綜合信息服務(wù)的寬帶 多媒體網(wǎng)絡(luò)。 校園網(wǎng)建設(shè)的必要性： 在我國，學校是處于影響整個社會深刻變革的中心地位，所以是否在學校采用 最先進的信息和傳播技術(shù)是一個有決定性意義的問題。隨著計算機多媒體和網(wǎng)絡(luò)技 術(shù)的不斷發(fā)展與普及，校園網(wǎng)信息系統(tǒng)的建設(shè)，是非常必要的，也是可行

7、的。主要 表現(xiàn)在： 1、當前校園網(wǎng)信息系統(tǒng)已經(jīng)發(fā)展到了與校際互聯(lián)、國際互聯(lián)、靜態(tài)資源共享、 動態(tài)信息發(fā)布、遠程教學和協(xié)作工作的階段，發(fā)展對學校教育現(xiàn)代化的建設(shè)提出了 越來越高的要求。 2、教育信息量的不斷增多,使各級各類學校、家庭和教育管理部門對教育信息計 算機管理和教育信息服務(wù)的要求越來越強烈。個人是否具有獲得信息和處理信息的 能力對于能否成功進入職業(yè)界和融入社會都是個決定性的因素,因此學校應(yīng)該培養(yǎng)所 有學生具有駕馭和掌握這種技術(shù)的能力。另一方面,信息技術(shù)在作為青少年教育工具 的同時也向青少年提供了前所未有的機會。新技術(shù)提供的機會以及它們在教學方面 具有的優(yōu)勢都是很多的,特別是計算機和多媒體

8、系統(tǒng)的使用有助于個人化的道路,每個 學生在個人的學習道路上都可以按照自己的速度發(fā)展。 3、我國各級教育研究部門、軟件開發(fā)單位、教學設(shè)備供應(yīng)商和各級學校不斷開 發(fā)提供了各種在網(wǎng)絡(luò)上運。 行的軟件及多媒體系統(tǒng)，并且越來越形象化、實用化，迫切需要網(wǎng)絡(luò)環(huán)境。 4、現(xiàn)代教育改革的需要。在校園網(wǎng)中將計算機引入教學各個環(huán)節(jié)，從而引起了 教學方法、教學手段、教學工具的重大革新。對提高教學質(zhì)量，推動我國教育現(xiàn)代 化的發(fā)展起著不可估量的作用。網(wǎng)絡(luò)又為學校的管理者和老師提供了獲取資源、協(xié) 同工作的有效途徑。毫無疑問,校園網(wǎng)是學校提高管理水平、工作效率、改善教學質(zhì) 量的有力手段,是解決信息時代教育問題的基本工具。 5

9、、我們認為，隨著時代的進步、科技的發(fā)展，在現(xiàn)代化信息技術(shù)管理上，學校 將面臨新的挑戰(zhàn)。為了提高學校自身的現(xiàn)代化管理水平，豐富教學方法和手段，提 高工作效率，及時掌握各種相關(guān)信息，提高處理各種業(yè)務(wù)及突發(fā)事件的能力，加強 管理，擁有現(xiàn)代化信息技術(shù)手段，利用計算機網(wǎng)絡(luò)與通信技術(shù)，全面、迅速、準確 地掌握信息，已成為學校內(nèi)部管理和教學業(yè)務(wù)處理的迫切需要。 第第 2 章章 校園網(wǎng)的需求分析校園網(wǎng)的需求分析 2.1 需求分析需求分析 作為校園網(wǎng)建設(shè)，不但要滿足現(xiàn)有的校園網(wǎng)需求，而且要考慮到將來的整體需 求，因而要從下面幾個方面來考慮校園網(wǎng)建設(shè)的整體需求： 1、網(wǎng)上數(shù)據(jù)流特點：大學校園網(wǎng)具有網(wǎng)絡(luò)互聯(lián)的廣泛性

10、和使用多樣性等特點， 廣播包將對數(shù)據(jù)流產(chǎn)生較大的影響，校園網(wǎng)的數(shù)據(jù)并發(fā)性，一般是呈現(xiàn)波峰波谷的， 絕大多數(shù)情況下，存在高并發(fā)性訪問的因素，除了周末或者夜間學生晚自修之后的 時間，某些特殊的應(yīng)用也有可能對負荷有突發(fā)要求，如使用空間數(shù)據(jù)，大范圍數(shù)據(jù) 搜索，視頻方面的應(yīng)用等，這些突發(fā)的負荷有相當一部分轉(zhuǎn)移到應(yīng)用設(shè)備上。這些 流量的轉(zhuǎn)移對于網(wǎng)絡(luò)設(shè)備提出了較高的要求，必須要求核心（匯聚）設(shè)備均支持萬 兆技術(shù)。 2、校園網(wǎng)主干需要的數(shù)據(jù)流量：網(wǎng)絡(luò)主干流量的是基于業(yè)務(wù)工作在網(wǎng)上展開的 情況分析，實際上對網(wǎng)絡(luò)流量的需求是逐步提升的，特別是要協(xié)同體系出現(xiàn)后，干 道的流量會大量的增加?？紤]到信息點同時在線的收斂比

11、，本網(wǎng)絡(luò)已經(jīng)具備極高的 伸縮能力，以滿足其很強的擴展性要求。 3、網(wǎng)絡(luò)流量分析：根據(jù)的業(yè)務(wù)，每位學生主要需求占用的帶寬為：視頻流、數(shù) 據(jù)、語音、圖形、等?？紤]應(yīng)用上某些并發(fā)的排斥特點，以及網(wǎng)絡(luò)應(yīng)用環(huán)境對通暢 性的要求，一般每位學生占用的平均實際網(wǎng)絡(luò)帶寬約為 1M 左右即可以完全滿足以上 需求，在滿足網(wǎng)絡(luò)在有收斂比的情況下的帶寬要求；這就要求匯聚、核心設(shè)備均具 備萬兆智能能力。 2.2 網(wǎng)絡(luò)層次分析網(wǎng)絡(luò)層次分析 1、核心層需求分析 在校園網(wǎng)核心層設(shè)備擔負著連接各個匯聚設(shè)備的工作，同時通過設(shè)備的互聯(lián)， 將分布在各物理位置的區(qū)域網(wǎng)絡(luò)連接在一起形成一套完整的網(wǎng)絡(luò)。核心層設(shè)備擔負 著整個網(wǎng)絡(luò)的流量。骨干

12、設(shè)備和鏈路的穩(wěn)定性將直接影響整個網(wǎng)絡(luò)的可靠運行。 由于骨干設(shè)備在網(wǎng)絡(luò)核心層中，需要高性能、冗余備份，所以采用鏈路聚合技 術(shù)。完成網(wǎng)絡(luò)骨干層高速數(shù)據(jù)交換、轉(zhuǎn)發(fā)以及穩(wěn)定性的要求。骨干網(wǎng)絡(luò)性能是整個 網(wǎng)絡(luò)良好運行的基礎(chǔ)，設(shè)計中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種業(yè)務(wù)的 高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為業(yè)務(wù)開展的瓶頸。 2、匯聚層分析 (1) 高速運送區(qū)域流量，主要工作是交換區(qū)域數(shù)據(jù)包。 (2) 高可靠性及冗余性。 (3) 提供故障隔離。 (4) 較少的時延和好的可管理性。 (5) 良好的路由交換能力。 (6) 良好的區(qū)域匯聚能力。 (7) 良好的萬兆能力。 要求匯聚設(shè)備必須是純千兆的高性能交換機；在

13、校園網(wǎng)中匯聚設(shè)備擔負著網(wǎng)絡(luò) 接入層和骨干設(shè)備的連接，網(wǎng)絡(luò)匯聚層有著承上啟下的重要任務(wù)。 匯聚設(shè)備不但要完成接入層的鏈路匯聚和流量匯聚還要完成本地數(shù)據(jù)的交換以 及接入和骨干之間的數(shù)據(jù)轉(zhuǎn)發(fā)。 作為骨干層的入口和接入層的出口，匯聚層的身份如同關(guān)卡。為保證整個網(wǎng)絡(luò) 良好運行在匯聚層同樣需要高性能、關(guān)鍵部件冗余等特性。 3、接入層分析 接入層在整個網(wǎng)絡(luò)的邊緣，學生通過接入設(shè)備接入網(wǎng)絡(luò)。為保證整個網(wǎng)絡(luò)安全 高效的運行，作為網(wǎng)絡(luò)的入口接入設(shè)備的智能識別是一項重要的功能。 第第 3 章章 校園網(wǎng)設(shè)計方案校園網(wǎng)設(shè)計方案 3.1 總體設(shè)計方案總體設(shè)計方案 1、設(shè)計目標 建成一個具有高可靠性和開放性的校園網(wǎng)絡(luò)，它應(yīng)

14、支持流行的 SNMP 等網(wǎng)絡(luò)管 理協(xié)議；采用 Internet 上的標準協(xié)議-TCP/IP 協(xié)議，提供校園內(nèi)部及面向全球的 WWW 服務(wù)、FTP 服務(wù)、電子郵件服務(wù)，實現(xiàn)與國際互聯(lián)網(wǎng)的完全接軌；同時它還 應(yīng)具有支持通用大型數(shù)據(jù)庫的功能，支持多種協(xié)議，具有良好的軟件支持；采用模 塊化結(jié)構(gòu)設(shè)計，容易升級；還應(yīng)針對學校的教學特點，具有一些基本的教學功能， 以完成學校的基本教學任務(wù)。 2、設(shè)置原則 （1）度身定制：對用戶的需求進行了定量分析。站在用戶的立場上，為用戶 “度身定制”出網(wǎng)絡(luò)方案。本著實用的原則，盡量使用成熟先進的平臺軟件，以縮 短教學課件的開發(fā)周期。 （2）素質(zhì)教育與先進技術(shù)的完美結(jié)合：采

15、用先進成熟的技術(shù)和分布式的結(jié)構(gòu)， 以便于開發(fā)和維護；采用集群解決方案，以保證連續(xù)工作；為保證網(wǎng)絡(luò)速度而采用 高的帶寬等，真正實現(xiàn)了“現(xiàn)代化素質(zhì)教育與 Intel 先進技術(shù)的完美結(jié)合” 。 （3）校園網(wǎng)對網(wǎng)絡(luò)設(shè)備的要求：采用 Intel 全線產(chǎn)品，高性能、高可靠性和高可 用性、可管理性、采用國際統(tǒng)一的標準。 （4）可擴展性：考慮現(xiàn)有網(wǎng)絡(luò)的平滑過度，使學?，F(xiàn)有陳舊設(shè)備盡量保持較好 的利用價值；選用產(chǎn)品應(yīng)具有最佳性價比，又要應(yīng)充分考慮未來可能的應(yīng)用，具有 高擴展性。 3.2 網(wǎng)絡(luò)設(shè)備選型網(wǎng)絡(luò)設(shè)備選型 網(wǎng)絡(luò)設(shè)備的選型是網(wǎng)絡(luò)運行性能和售后服務(wù)的關(guān)鍵，對于設(shè)備選型基于以下幾 點考慮： 首先，網(wǎng)絡(luò)中心的中心

16、設(shè)備，承擔著整個網(wǎng)絡(luò)性能好壞的關(guān)鍵，我建議選用比 較高檔的中心設(shè)備，既能保證滿足服務(wù)的需要，不會出現(xiàn)廣播風暴或通信瓶頸問題； 又能保證幾年之內(nèi)設(shè)備不會過時。 其次，選擇品牌時考慮比較多的是：生產(chǎn)廠商的可靠性和穩(wěn)定性、技術(shù)領(lǐng)先性 和成熟性、設(shè)備的完整系列性、設(shè)備的可升級性、是否具備完善的售后服務(wù)體系來 支持用戶的應(yīng)用、是否為主流產(chǎn)品（這將決定用戶接收產(chǎn)品熟悉產(chǎn)品的成本和產(chǎn)品 的通用性） 、在國內(nèi)是否有比較完備的備件庫和維護維修能力、其安全性是否適合用 戶的要求。 在本方案中，使用的是銳捷的網(wǎng)絡(luò)產(chǎn)品作為網(wǎng)絡(luò)的中心交換、路由和分支交換 設(shè)備，下面介紹產(chǎn)品： 1、銳捷 RG-R3642 路由器: 采用

17、模塊化設(shè)計，提供了多個網(wǎng)絡(luò)/語音模塊插槽， 支持種類豐富、功能齊全、高密度的網(wǎng)絡(luò)/語音模塊，可實現(xiàn)更多的組合應(yīng)用。支持 IPv4/IPv6，VoIP 特性等，提供豐富的備份方案及 QoS 特性；硬件采用模塊化結(jié)構(gòu)， 具有更高的處理能力和更大的接入密度。遠遠高于業(yè)界同等檔次的產(chǎn)品如表 3-1 所示。 表表 3-1 路由器選型路由器選型 設(shè)備名稱路由器類型商家報價局域網(wǎng)接口網(wǎng)絡(luò)認證標準 銳捷 RG-R3642模塊化路由器 21890 至 22606 元 2 個 10/100M 快 速以太網(wǎng)口 PAP, CHAP, AAA, Radius 2、銳捷 RG-S3760-24 核心層交換機：為大型網(wǎng)絡(luò)匯

18、聚和中型網(wǎng)絡(luò)核心提供了 IPv4/IPv6 的多層交換、端到端的服務(wù) RG-S3760 系列交換機硬件支持 IPv4/IPv6 雙協(xié) 議棧多層線速交換和功能特性，為 IPv6 網(wǎng)絡(luò)之間的通信提供了豐富的 Tunnel 技術(shù)， 并提供了豐富而完善的路由協(xié)議，以適合大型網(wǎng)絡(luò)多種路由和多業(yè)務(wù)的需要如表 3-2 所示。 表表 3-2 核心層交換機選型核心層交換機選型 設(shè)備名稱應(yīng)用類型商家報價 背板帶寬 (Gbps) 傳輸速率 (Mbps) 固定端口數(shù) 銳捷 RG- S3760-24 工作組交換 機 25000 元至 27000 元 37.610/100/100028 3、銳捷 STAR-S2126G

19、匯聚層交換機以極高的性價比為各類型網(wǎng)絡(luò)提供完善的 端到端的 QoS 服務(wù)質(zhì)量、靈活豐富的安全策略管理和基于策略的網(wǎng)管，最大化滿足 高速、安全、智能的企業(yè)網(wǎng)新需求如表 3-3 所示。 表表 3-3 匯聚層交換機選型匯聚層交換機選型 設(shè)備名稱應(yīng)用類型報價背板帶寬接口數(shù)量插槽數(shù) 銳捷 STAR- S2126G 匯聚層交換 機 4000 元12.8Gbps24 個2 個 4、銳捷 RG-S1824GT 接入層交換機 服務(wù)于大中型企業(yè)網(wǎng)絡(luò)、校園網(wǎng)絡(luò)、網(wǎng)吧和寬帶社區(qū)等多種高速數(shù)據(jù)傳輸應(yīng)用 場合 RG-S1824GT 具有 24 個 10/100/1000Mbps 自適應(yīng) RJ45 的交換端口，所有端口 可

20、以根據(jù)連接的設(shè)備，自動將連接速度和工作模式調(diào)整到需要的方式，而無須更改 網(wǎng)絡(luò)結(jié)構(gòu)如表 3-4 所示。 表表 3-4 接入層交換機選型接入層交換機選型 設(shè)備名稱應(yīng)用類型傳輸速率接口數(shù)量 銳捷 RG-S1824GT接入層交換機10/100/1000Mbps24 5、在防火墻方面則使用 CISCO ASA5505-SEC-BUN-K9 防火墻 Cisco ASA 5500 系列在一個平臺中有力地提供了多種已經(jīng)獲得市場驗證的技術(shù)， 無論從運營角度還是從經(jīng)濟角度看，都能夠為多個地點部署各種安全服務(wù)。經(jīng)過市 場驗證的安全與 VPN 功能 - 全特性、高性能的防火墻，入侵防御系統(tǒng) (IPS), Anti-X

21、 和 IPSec/SSL VPN 技術(shù)提供了強大的應(yīng)用安全性、基于用戶和應(yīng)用的訪問控制、蠕 蟲與病毒防御、惡意軟件防護、內(nèi)容過濾以及遠程用戶/站點連接如表 3-5 所示。 表表 3-5 防火墻選型防火墻選型 設(shè)備名稱商家報價并發(fā)連接數(shù)網(wǎng)絡(luò)吞吐量內(nèi)存容量過濾帶寬 Cisco ASA 55008000 元左右25000150Mbps256MB100Mbps 3.3 信息點的信息點的分析分析 1、信息點分布 經(jīng)過調(diào)查我們學校擁有辦公樓 2 棟，實驗樓 2 棟，圖書館 1 處，教學樓 5 棟， 學生宿舍樓 9 棟，網(wǎng)絡(luò)中心 1 處如表 3-6 所示。 表表 3-6 信息點分布信息點分布 大樓樓棟數(shù)科室

22、信息點(個)信息點合計(個) 教務(wù)處20 財務(wù)處15 后勤部22 辦公樓2 招生就業(yè)18 75 軟件機房4 實驗樓2網(wǎng)絡(luò)機房615 3.4 校園網(wǎng)拓撲結(jié)構(gòu)設(shè)計校園網(wǎng)拓撲結(jié)構(gòu)設(shè)計 1、拓撲結(jié)構(gòu)設(shè)計 根據(jù)校園網(wǎng)需求和信息點調(diào)查結(jié)果繪制出拓撲結(jié)構(gòu)圖，如圖 3-7 所示。 SiSiSiSi 辦公樓 實訓樓圖書館教學樓宿舍樓 教務(wù)處圖書室 財務(wù)處 后勤部 招生就業(yè) 實訓樓1 實訓樓2閱覽室9號公寓8號公寓 2號公寓1號公寓J1 J5 多媒體教室 會議室 Internet 核心層 匯聚層 接入層 1000Mb/s 100Mb/s CoreSwitch A CoreSwitch B Switch100Swi

23、tch100Switch400Switch300Switch200 圖 3-7 拓撲結(jié)構(gòu)圖 3.5 IP 地址分配與地址分配與 VLAN 的劃分的劃分 1、IP 地址的分布 根據(jù)信息點調(diào)研得出 IP 地址的分布表如表 3-8 所示。 計算機應(yīng)用機房5 圖書室5 圖書樓1 閱覽室5 10 教室6060 教學樓5 多媒體教室8080 男生公寓800 宿舍樓9 女生公寓400 1200 網(wǎng)絡(luò)中心1DMZ 區(qū)1010 總計 1450 表表 3-8 IP 地址的分布地址的分布 項目子網(wǎng)范圍IP 地址范圍子網(wǎng)掩碼 內(nèi)部 IP 地址--172.

24、16.200.254 外部 IP 地址--0 DNS （首選） （備選） 服務(wù)器 IP- 辦公樓 IP-54-54 實驗樓 IP-54

25、-54 圖書樓 IP-54-54 教學樓 IP-54 宿舍樓 IP-54-54 2、VLAN 的劃分與描述 根據(jù)學校的應(yīng)用類型，每個網(wǎng)段都劃分了 VLAN。分 VLAN 在一定程度上可以 提高網(wǎng)絡(luò)的安全性，防止網(wǎng)段上無效的廣播包的傳播

26、，還可以增加網(wǎng)絡(luò)彈性，并降 低成本易于管理 VLAN 分布如表 3-9 所示。 表表 3-9 VLAN 的劃分的劃分 設(shè)備管理 IPVLAN 號VLAN 名稱 RG-S1824GT教務(wù)處/24vlan2JWC RG-S1824GT財務(wù)處/24vlan 3CWC RG-S1824GT后勤部/24vlan 4HQB RG-S1824GT招生就業(yè)/24vlan 5ZSJY RG-S1824GT軟件機房/24vlan 6RJJF RG-S1824GT網(wǎng)絡(luò)機房/24vlan 7WLJF

27、 RG-S1824GT普通機房/24vlan 8PTJF RG-S1824GT閱覽室/24vlan 10YLX RG-S1824GT閱覽室/24vlan 10YLX RG-S1824GT多媒體教室/24vlan 11DMTJS RG-S1824GT學生宿舍vlan 12- vlan 200 第第 4 章章 交換機模塊設(shè)計交換機模塊設(shè)計 4.1 接入層交換機的配置接入層交換機的配置 接入層為所有的終端用戶提供一個接入點。這里的接入層交換機采用的是 RG- S1824GT 24 口交換機。交換機擁有 24 個 1

28、0/100Mbps 自適應(yīng)快速以太網(wǎng)端口。我們 以圖 4-1 中的接入層交換機 Switch1 為例進行介紹如圖 4-1 所示。 圖 4-1 接入層 1、設(shè)計交換機的名稱 也就是出現(xiàn)在交換機 CLI 提示符中的名字。一般我們會以地理位置或行政劃分 來為交換機命名。當我們需要 Telnet 登錄到若干臺交換機以維護一個大型網(wǎng)絡(luò)時， 通過交換機名稱提示符提示自己當前配置交換機的位置是很有必要的。這里是用 Switch1 作為名稱。 命令如下： Switch(config)#hostname switch1 2、設(shè)置登錄虛擬終端線時的口令 對于一個已經(jīng)運行著的交換網(wǎng)絡(luò)來說，交換機的帶內(nèi)遠程管理為網(wǎng)絡(luò)

29、管理人員 提供了很多的方便。但是，出于安全的考慮，在能夠遠程管理交換機之前網(wǎng)絡(luò)管理 人員必須設(shè)置遠程登錄交換的口令。下面我將口令設(shè)置為 mima。 命令如下： Switch1(config)#linc vty 0 15 Switch1(config-linc)#login Switch1(config-linc)#password mima 3、設(shè)置接入層交換機 Switch1 的管理 IP、默認網(wǎng)關(guān) 給交換機設(shè)置管理用 IP 地址只能在 VLAN1 ，即本征 VLAN 中進行。管理 VLAN 所在的子網(wǎng)是：/24 ，這里將接入層交換機 Switch1 的管理 IP 地 址

30、設(shè)為：/24 如下命令所示，顯示了為接入層交換機 Switch1 設(shè)置管理 IP 并激活本征 VLAN。為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機，還應(yīng)設(shè) 置默認網(wǎng)關(guān)地址 54。 命令如下： Switch1(config)#interface vlan 1 /進入 vlan 1 Switch1(config-if)#ip address /劃分 IP 地址 Switch1(config-if)#no shutdown Switch1(config-if)#exit Switch1(config)# i

31、p default-gateway 54 /默認路由 4、配置接入層交換機 Switch1 的 VLAN VLAN（Virtual Local Area Network，虛擬局域網(wǎng)）技術(shù)的出現(xiàn)，主要為了解 決交換機在進行局域網(wǎng)互連時無法限制廣播的問題。這種技術(shù)可以把一個 LAN 劃分 成多個邏輯的 LANVLAN，每個 VLAN 是一個廣播域，VLAN 內(nèi)的主機間通信 就和在一個 LAN 內(nèi)一樣，而 VLAN 間則不能直接互通，這樣，廣播報文被限制在一 個 VLAN 內(nèi)。 Switch1(config)#int vlan 2 Switch1(config-vlan)#nam

32、e JWC /給 vlan 命名 Switch1(config-vlan)#exit Switch1(config)#interface range fastethernet 0/1-20 /進入接口 Switch1(config-range-if)#switchport mode access /把端口加入到 vlan Switch1(config-range-if)#switchprot access vlan 2 5、配置接入層交換機 Switch1 端口基本參數(shù)及訪問的端口 （1）設(shè)置接入層交換機 Switch1 的所有端口均工作在全雙工模式及所有端口的 速度均為 100Mbps。 命

33、令如下： Switch1(config)#interface range fastethernet 0/1-24 Switch1(config-if-range)#duplcx full Switch1(config-if-range)# speed 100 /設(shè)置端口速度 （2） 配置接入層交換機 Switch1 的訪問端口 接入層交換機 Switch1 為終端用戶提供接入服務(wù)。接入層交換機 Switch1 為 VLAN 2 提供接入服務(wù)。 設(shè)置接入層交換機 Switch1 的端口 120 為 VLAN 2 的成員及將其設(shè)為快速端 口 命令如下： Switch1(config)#Interf

34、ace range fastethernet 0/1-20 /進入端口 1-20 Switch1(config-if-range)#switchport mode access /將交換機端口轉(zhuǎn)換為 ACCESS Switch1(config-if-range)#switchport access vlan 2 /將端口劃分到 vlan 2 Switch1(config-if-range)#spanning-tree portfast （3）配置接入層交換機 Switch1 的主干道端口 如圖所示，接入層交換機 Switch1 通過端口 FastEthernet 0/24 上連到匯聚層交 換機

35、。將該端口設(shè)為 trunk 模式 Switch1(config)#Interface fastethernet 0/24 /進入端口 24 Switch1(config-if)switchport mode trunk /設(shè)置 trunk 接入層剩下的交換機除了對應(yīng)的 VLAN、端口、管理 IP 不同，其它配都是一樣 的。 4.2 匯聚層交換機的配置匯聚層交換機的配置 匯聚層是為整個交換網(wǎng)絡(luò)提供 VLAN 間的路由選擇功能。這里的匯聚層交換機 采用的是 RG STAR-S2126G 交換機。作為 3 層交換機，RG STAR-S2126G 交換機 擁有 24 個 10/100Mbps 自適應(yīng)快

36、速以太網(wǎng)端口，同時還有 2 個 1000Mbps 的 GBIC 端口供上連使用，我們以圖 4-2 匯聚層交換機 Switch100 為例進行介紹。 圖 4-2 匯聚層交換機 Switch100 1、配置匯聚層交換機 Switch100 的基本參數(shù) 配置命令如下： Switch(config)#hostname Switch100/給交換機命名為 Switch100 Switch100(config)#enable secret mima /設(shè)置 enable 密碼 Switch100 (config)#line con 0 Switch100 (config-line)#line vty 0

37、15 /設(shè)置 vty Switch100 (config-line)#password abc /遠程登錄密碼 Switch100 (config-line)#login Switch100 (config-line)#exit 2、配置匯聚層交換機 Switch100 的管理 IP、默認網(wǎng)關(guān) 如下命令所示，顯示了為匯聚層交換機 Switch100 設(shè)置管理 IP 并激活本征 VLAN。同時，還設(shè)置了默認網(wǎng)關(guān)的地址。 Switch100(config)#interface vlan 1 /進入 vlan1 Switch100(config-if)#ip address 00

38、 /分配地址 Switch100(config-if)#no shutdown Switch100(config-if)#exit Switch100(config)#default-gateway 54 /設(shè)置靜態(tài)路由 3、在匯聚層交換機 Switch100 上定義 VLAN 及 VLAN IP 地址 這本校園網(wǎng)中，由于宿舍樓 VLAN 定義過多，這在里就不一一劃分了。下面將 其它各個科室部門 VLAN 劃分出來。 Switch100(config)#vlan 2 /劃分 vlan Switch100(config-vlan)#name JWC

39、 /給 vlan 命名 Switch100(config-vlan)#ip address 54 /劃分 IP 地址和 子網(wǎng)掩碼 Switch100(config-vlan)#no shutdown Switch100(config)#vlan 3 /劃分 vlan Switch100(config-vlan)#name CWC /給 vlan 命名 Switch100(config-vlan)#ip address 54 /劃分 IP 地址和 子網(wǎng)掩碼 Switch100(config-vlan)

40、#no shutdown Switch100(config)#vlan4 /劃分 vlan Switch100(config-vlan)#name HCB /給 vlan 命名 Switch100(config-vlan)#ip address 54 /劃分 IP 地址 Switch100(config-vlan)#no shutdown 其他交換機配置命令相同。 4、配置匯聚層交換機 Switch100 的端口參數(shù) 匯聚層交換機 Switch100 端口參數(shù)如下命令所示 Switch100(config)#interface range fas

41、tethernet 0/1-4 Switch100(config-if-range)#switchport mode trunk /端口 trunk Switch100(config-if-range)#exit Switch100(config)#interface range fastethernet 0/10-11 Switch100(config-range-if)#switchport mode trunk /端口 trunk Switch100(config-range-if)#witchport trunk allowed vlan all 5、配置匯聚層交換機 Switch10

42、0 的 STP 協(xié)議 Switch100(config)#spanning-tree mode rstp Switch200- Switch600 的配置步驟、命令。 Switch(config)#hostname Switch600 Switch100(config)#enable secret mima /設(shè)置 enable 密碼 Switch100 (config)#line con 0 Switch100 (config-line)#line vty 0 15 /設(shè)置 vty Switch100 (config-line)#password abc /遠程登錄密碼 Switch100

43、(config-line)#login Switch100 (config-line)#exit 4.3 核心層交換機的配置核心層交換機的配置 核心層是將匯聚層交換機互連起來進行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。這里 我們以圖 4-3 中的核心層交換機 CoreSwitchA 為例進行介紹。如圖 4-3 所示： 圖 4-3 核心層交換機 1、配置核心層交換機 CoreSwitchA 的基本參數(shù)及管理 IP 和默認網(wǎng)關(guān) CoreSwitchA (config)#line con 0 CoreSwitchA (config-line)#logging synchronous CoreSwitchA (

44、config-line)#exec-timeout 5 30 CoreSwitchA (config-line)#password abc /線路密碼以及交換機登錄密碼 CoreSwitchA (config-line)#login CoreSwitchA (config-line)#exec-timeout 5 30 CoreSwitchA (config-line)#exit CoreSwitchA(config)#interface vlan 1 CoreSwitchA(config-if)#ip address /給 vlan1 分配

45、IP 地址和子網(wǎng)掩碼 CoreSwitchA(config-if)#no shutdown CoreSwitchA(config-if)#exit CoreSwitchA(config)#ip default-gateway 54 /設(shè)置網(wǎng)關(guān) 2、配置核心層交換機 CoreSwitchA 的 VLAN 在本實例中，核心層交換機 CoreSwitchA 前面的 VLAN 配置就跟匯聚層交換機 Switch100 類似，這里就再不重復(fù)了。核心層交換機是與路由器相連的設(shè)備，因為沒 有路由器接口，所以要劃分一個特定的 VLAN 跟路由器通信，這里用 VLAN 199 。 如下命令所

46、： CoreSwitchA(config)#vlan 199 CoreSwitchA(config)#interface vlan 199 CoreSwitchA(config-if)#ip address /進入 vlan199 分配 IP 地址和子網(wǎng)掩碼 CoreSwitchA(config-if)#no shutdown CoreSwitchA(config-if)#exit 3、配置核心層交換機 CoreSwitchA 的端口參數(shù) 在這里端口 F0/3-8 因為有多個 VLAN 信息的交換，所以將其設(shè)為 trunk 模式。 F0/1

47、 則是與路由器的相連的端口，將其設(shè)為 Access 口劃分到 VLAN 199。F0/2 連接 的是服務(wù)器群，設(shè)為 Access 即可。F0/23-24 是跟另一臺核心層交換機相連的，為了 提供主干道的吞吐量以及實現(xiàn)冗余而設(shè)計的，在本設(shè)計中，我們采用的是鏈中聚合 技術(shù)，將核心層交換機 CoreSwitch 的千兆端口 F0/23、F0/24 聚合在一起實現(xiàn) 2000Mbps 的千兆以太網(wǎng)信道。 CoreSwitchA(config)#interface range fastethernet 0/3-8 /選擇多個端口 CoreSwitchA(config-rang-if)#switchport

48、 mode trunk /設(shè)置 trunk CoreSwitchA(config-rang-if)#switchport trunk allowed vlan all /trunk 全部 vlan CoreSwitchA(config-rang-if)#exit CoreSwitchA(config)#interface fastethernet 0/1 /進入端口 CoreSwitchA(config-if)#switchport mode access CoreSwitchA(config-if)#switchport access vlan 199 /把端口劃分到 vlan199 Cor

49、eSwitchA(config-if)#exit CoreSwitchA(config)#interface aggrete port 1 CoreSwitchA(config-if)#switchport mode trunk /設(shè)置 trunk CoreSwitchA(config-if)#exit CoreSwitchA(config)#interface range fastethernet 0/23-24 /進入端口 23 24 CoreSwitchA(config-rang-if)#port-group 1 /端口聚合 CoreSwitchA(config-if)#exit 4、配

50、置核心層交換機 CoreSwitchA 的路由功能 核心層交換機 CoreSwitchA 通過端口 FastEthernet 0/1 同廣域網(wǎng)接入模塊 （Internet 路由器）相連。因此，需要啟用核心層交換機的路由功能。同時，還需要 定義通往 Internet 的路由。這里使用了一條缺省路由命令。其中，下一跳地址是 Internet 接入路由器的快速以太網(wǎng)接口 FastEthernet 1/0 的 IP 地址。 CoreSwitchA(config)#ip routing CoreSwitchA(config)#ip route 54

51、 為了使內(nèi)部的的 Vlan 信息進行通信，配置 RIP 路由協(xié)議，這在里就不將所有的 Vlan 都配置出來了，只是典型的配幾個。 CoreSwitchA(config)#router rip /設(shè)置默認理由 CoreSwitchA(config-router)#version 2 CoreSwitchA(config-router)#network CoreSwitchA(config-router)#network CoreSwitchA(config-router)#network CoreSwitchA(config-ro

52、uter)#network CoreSwitchA(config-router)#network 5、配置核心層交換機 CoreSwitchA 的 STP 協(xié)議 CoreSwitchA (config)#spanning-tree mode rstp 對于核心層交換機 CoreSwitchB 的配置步驟、命令和對核心層交換機 CoreSwitchA 的配置類似。這里，不再詳細分析。 第第 5 章章 廣域網(wǎng)接入模塊配置廣域網(wǎng)接入模塊配置 5.1 配置邊界路由器的基本參數(shù)配置邊界路由器的基本參數(shù) 路由器基本參數(shù)的配置跟交換機也有點類似。這里，只給出實際的

53、配置步驟， 不再出給出具體的解釋。首先看圖 5-1 所示。 圖 5-1 路由器 RG-R3642 配置命令如下： Router(config)#enable secret mima /設(shè)置 enable 密碼 Router(config)#line con 0 Router(config-line)#logging synchronous Router(config-line)#exec-timeout 5 30 Router(config-line)#line vty 0 15 /設(shè)置 vty Router(config-line)#password abc /設(shè)置遠程登錄密碼 Router

54、(config-line)#login Router(config-line)#exec-timeout 5 30 Router(config-line)#exit 5.2 配置邊界路由器的各接口參數(shù)配置邊界路由器的各接口參數(shù) 1、對接入路由器 Router 的各接口參數(shù)的配置主要是對接 F0/0、F1/0 以及接口 Serial 2/0 的 IP 地址、子網(wǎng)掩碼的配置。 配置命令如下： Router#configure terminal Router(config)#interface fastethernet 0/0 /進入端口 Router(config-if)#ip address 1

55、54 /劃分 IP 地址和子網(wǎng)掩 碼 Router(config-if)#no shutdown Router(config-if)#exit Router(config)# interface fastethernet 1/0 /進入端口 Router(config-if)# ip address 54 /給端口劃分 IP 地址和 子網(wǎng)掩碼 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interfac

56、e Serial 2/0 /進入端口 Router(config-if)#ip address /給端口劃分 IP 地址和 子網(wǎng)掩碼 Router(config-if)#no shutdown Router(config-if)#clock rate 64000 /給路由器設(shè)置時鐘 Router(config-if)#end 5.3 配置邊界路由器的路由功能配置邊界路由器的路由功能 在接入路由器 Router 上需要定義兩個方向上的路由：到校園網(wǎng)內(nèi)部的靜態(tài)路由 以及到 Internet 上的缺省路由。到 Internet 上的路由需要定義

57、一條缺省路由，如下 命令所示。其中，下一跳指定從本路由器的接口 serial 0/0 送出。 Router(config)#ip route serial 0/0 /設(shè)置默認路由 5.4 配置邊界路由器上的配置邊界路由器上的 NAT 由于目前 IP 地址資源非常稀缺，對不可能給校園網(wǎng)內(nèi)部的所有工作站都分配一 個公有 IP（Internet 可路由的）地址。為了解決所有工作站訪問 Internet 的需要，必 須使用 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)。為了接入 Internet，本校園網(wǎng)向當?shù)?ISP 申請了 10 個 IP 地址。其中一個 IP 地址：202.103.

58、100.1 被分配給了 Internet 接入路由器的 串行接口，另外 9 個 IP 地址： 0 用作 NAT。 定義 NAT 內(nèi)部、外部接口 Router(config)#interface fastethernet 1/0 Router(config-if)#ip nat inside /設(shè)置內(nèi)部接口 Router(config)#interface fastethernet 0/0 Router(config-if)#ip nat inside /設(shè)置內(nèi)部接口 Router(config-if)#interface serial 2/0

59、 Router(config-if)#ip nat outside /設(shè)置外部接口 Router(config)#ip nat pool pan 0 netmask /定義 ISP 提供的外部 IP 地址池 Router(config)#access-list 10 permit 55 /定義允許進行 NAT 轉(zhuǎn)換的內(nèi)部 IP 地址范圍 Router(config)#ip nat inside source list 10 pool pan overload /為內(nèi)部本地調(diào)

60、用轉(zhuǎn)換地址池 5.5 配置邊界路由器上的訪問控制列表配置邊界路由器上的訪問控制列表 路由器是外網(wǎng)進入校園網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器 上的訪問控制列表（Access Control List ，ACL ）是保護內(nèi)網(wǎng)安全的有效手段。一 個設(shè)計良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不 增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路 由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的第一道屏障，所以即使 在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對路由器的訪問控制列表進行縝密的 設(shè)計，來對企業(yè)內(nèi)網(wǎng)包括防火墻本身實施保護。 這里，