畢業(yè)設(shè)計(jì)（論文）校園網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)與實(shí)現(xiàn)

1、南昌工程學(xué)院專(zhuān)科畢業(yè)設(shè)計(jì)（論文）摘 要本方案主要完成校園網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)現(xiàn)。論文主要介紹校園網(wǎng)設(shè)計(jì)的需求分析，確立建設(shè)校園網(wǎng)的目標(biāo)，依照標(biāo)準(zhǔn)的設(shè)計(jì)原則，設(shè)計(jì)出校園網(wǎng)絡(luò)的結(jié)構(gòu)及解決方案。本校園網(wǎng)采用通用的分層設(shè)計(jì)方法，將校園網(wǎng)絡(luò)分成三個(gè)層次：核心層、分布層、訪問(wèn)層。建設(shè)一個(gè)高效安全的局域網(wǎng)并接入互聯(lián)網(wǎng)，校園網(wǎng)對(duì)外提供web、ftp等數(shù)據(jù)服務(wù)，并且使每臺(tái)電腦都能夠訪問(wèn)互聯(lián)網(wǎng)。采用cisco的網(wǎng)絡(luò)設(shè)備，把校園網(wǎng)內(nèi)每個(gè)部門(mén)都設(shè)計(jì)成一個(gè)子網(wǎng)，規(guī)劃每個(gè)部門(mén)的ip地址，設(shè)計(jì)網(wǎng)絡(luò)拓?fù)鋱D，配置網(wǎng)絡(luò)的交換模塊、廣域網(wǎng)接入模塊、服務(wù)器模塊和遠(yuǎn)程訪問(wèn)模塊。關(guān)鍵詞：校園網(wǎng)虛擬局域網(wǎng)拓?fù)鋱D cisco網(wǎng)絡(luò)設(shè)備abstrac

2、tthe main campus network design and implementation. the paper mainly introduces campus network design requirement analysis, establish the goal of building campus network, according to the standard of design principle, design of campus network structure and solutions.the network layer by the general

3、design method, will be divided into three levels: the campus network convergence layer, core, access layer. building a high security of campus network and provide access to the internet, web, ftp data services, and make every computer can access the internet. using the network equipment, cisco netwo

4、rk engineering design methods, the campus every sector within a subnet, planning and design of each department, designing the ip address of the network topology configuration of network, the exchange of module, wan access module, the server module and remote access module.key words: campus network v

5、irtual lantopological graph cisco network equipment35目錄摘 要iabstractii第一章引言11.1 研究概況及發(fā)展趨勢(shì)綜述11.2 研究校園網(wǎng)的目的和意義11.3研究?jī)?nèi)容及實(shí)驗(yàn)方案2第二章需求分析32.1應(yīng)用背景需求分析32.2業(yè)務(wù)需求分析32.3管理需求分析32.4網(wǎng)絡(luò)安全需求分析42.5網(wǎng)絡(luò)環(huán)境需求分析4第三章校園網(wǎng)系統(tǒng)設(shè)計(jì)說(shuō)明53.1 校園網(wǎng)設(shè)計(jì)原則53.2網(wǎng)絡(luò)協(xié)議選擇53.3千兆以太網(wǎng)63.4主干網(wǎng)絡(luò)的選擇63.5系統(tǒng)安全性的實(shí)現(xiàn)7第四章校園網(wǎng)絡(luò)方案描述84.1 設(shè)備選型84.2網(wǎng)絡(luò)系統(tǒng)拓?fù)鋱D124.3vlan及ip地址規(guī)劃12

6、第五章校園網(wǎng)絡(luò)整體解決方案135.1 交換模塊設(shè)計(jì)135.1.1 配置訪問(wèn)層交換機(jī)135.1.2配置分布層交換機(jī)175.1.3配置核心層交換機(jī)215.2廣域網(wǎng)接入模塊設(shè)計(jì)235.2.1配置接入路由器 internetrouter 的基本參數(shù)235.2.2配置接入路由器 internetrouter 的各接口參數(shù)235.2.3配置接入路由器 internetrouter 的路由功能245.2.4配置接入路由器 internetrouter 上的 nat245.2.5配置接入路由器 internetrouter 上的 acl255.3遠(yuǎn)程訪問(wèn)模塊設(shè)計(jì)275.3.1配置物理線路的基本參數(shù)275.3.

7、2配置接口基本參數(shù)并指定 ip 地址池285.3.3配置身份認(rèn)證285.4服務(wù)器模塊設(shè)計(jì)295.5相關(guān)測(cè)試、診斷命令30結(jié)束語(yǔ)31參考文獻(xiàn)32致謝33第一章引言本方案參照當(dāng)今校園網(wǎng)發(fā)展趨勢(shì)，并結(jié)合實(shí)際情況而設(shè)計(jì)。建設(shè)校園網(wǎng)有非常大的理論意義和實(shí)踐意義。本方案為實(shí)現(xiàn)校園網(wǎng)所需的各項(xiàng)功能而設(shè)計(jì)出一個(gè)合理的解決方案。1.1 研究概況及發(fā)展趨勢(shì)綜述在網(wǎng)絡(luò)信息時(shí)代的今天，面向新的需求和挑戰(zhàn)，為了提高學(xué)校的科研、教學(xué)、管理等各方面的技術(shù)水平，為研究開(kāi)發(fā)和培養(yǎng)高層次人才建立現(xiàn)代化平臺(tái)，建立intranet技術(shù)的高速多媒體校園網(wǎng)是非常必要的。 校園網(wǎng)建設(shè)的目標(biāo)主要是建立以校園網(wǎng)絡(luò)為基礎(chǔ)的行政、教學(xué)及師生之間交

8、互式管理系統(tǒng)，逐步建立校園信息網(wǎng)絡(luò)，實(shí)現(xiàn)辦公自動(dòng)化；為開(kāi)展網(wǎng)上遠(yuǎn)程教學(xué)、多媒體交互式立體教學(xué)模式的探索提供高速、穩(wěn)定的支持平臺(tái)；逐步建立計(jì)算機(jī)輔助教學(xué)、計(jì)算機(jī)輔助考試等系統(tǒng)，為實(shí)現(xiàn)多媒體課件制作網(wǎng)絡(luò)化，教師備課電子化、多媒體化打好基礎(chǔ)；保證網(wǎng)絡(luò)系統(tǒng)的開(kāi)放性、可持續(xù)性發(fā)展，便于以后集成視頻會(huì)議、視頻點(diǎn)播等高層次教學(xué)功能。1.2 研究校園網(wǎng)的目的和意義校園網(wǎng)是各種類(lèi)型網(wǎng)絡(luò)中的一大分支，有著非常廣泛的應(yīng)用。作為新技術(shù)的發(fā)祥地，學(xué)校、尤其是高等學(xué)校，和網(wǎng)絡(luò)的關(guān)系十分密切，網(wǎng)絡(luò)最初是在校園里進(jìn)行實(shí)驗(yàn)并獲得成功的，許多網(wǎng)絡(luò)新技術(shù)也是首先在校園網(wǎng)中獲得成功，進(jìn)而才推向社會(huì)的。本課題的理論意義和實(shí)踐意義：1.

9、校園網(wǎng)的建設(shè)和發(fā)展是推進(jìn)素質(zhì)教育的需要互聯(lián)網(wǎng)已成為學(xué)校培養(yǎng)學(xué)生道德品質(zhì)、創(chuàng)新能力等方面的新環(huán)境，成為培養(yǎng)高素質(zhì)人才的嶄新的平臺(tái)，是學(xué)校推進(jìn)素質(zhì)教育的需要。2.校園網(wǎng)的建設(shè)和發(fā)展是學(xué)校教育改革的戰(zhàn)略制高點(diǎn)創(chuàng)建豐富多彩的校園網(wǎng)絡(luò)文化對(duì)于轉(zhuǎn)變陳舊的教育思想和觀念，促進(jìn)教學(xué)內(nèi)容、教學(xué)方法、教學(xué)結(jié)構(gòu)和教學(xué)模式的改革，對(duì)于深化基礎(chǔ)教育改革，提高教育質(zhì)量，培養(yǎng)高素質(zhì)的創(chuàng)新人才具有深遠(yuǎn)意義。3.校園網(wǎng)的建設(shè)和發(fā)展是學(xué)校教育現(xiàn)代化的重點(diǎn)標(biāo)志運(yùn)用現(xiàn)代教育技術(shù)建設(shè)和發(fā)展校園網(wǎng)，營(yíng)造清新的校園網(wǎng)絡(luò)文化氛圍，就是從根本上落實(shí)教育的戰(zhàn)略地位，解放教師的生產(chǎn)力，推動(dòng)和發(fā)展教師、學(xué)生的創(chuàng)造力的一種創(chuàng)新優(yōu)勢(shì)的重要標(biāo)志。1.3研

10、究?jī)?nèi)容及實(shí)驗(yàn)方案研究?jī)?nèi)容： 建設(shè)一個(gè)高效安全的局域網(wǎng)并接入互聯(lián)網(wǎng)，校園網(wǎng)對(duì)外提供web、ftp等數(shù)據(jù)服務(wù)，每臺(tái)電腦都能夠訪問(wèn)互聯(lián)網(wǎng)。采用cisco的網(wǎng)絡(luò)設(shè)備，把校園網(wǎng)內(nèi)每個(gè)部門(mén)都設(shè)計(jì)成一個(gè)子網(wǎng)，規(guī)劃每個(gè)部門(mén)的ip地址，設(shè)計(jì)網(wǎng)絡(luò)拓?fù)鋱D，配置網(wǎng)絡(luò)的交換模塊、廣域網(wǎng)接入模塊、服務(wù)器模塊和遠(yuǎn)程訪問(wèn)模塊。實(shí)驗(yàn)方案:目前一般將校園網(wǎng)劃分為核心層、分布層和訪問(wèn)層，對(duì)于規(guī)模不大的校園網(wǎng)，核心層與匯聚層可以合在一起，以簡(jiǎn)化網(wǎng)絡(luò)體系。但是，校園網(wǎng)的建設(shè)是一個(gè)漸進(jìn)過(guò)程，網(wǎng)絡(luò)的不同層次可能由不同的投資者分別建設(shè)，同一個(gè)層次也可能由多個(gè)投資者分別建設(shè)。本校園網(wǎng)采用這種通用的分層方法，將校園網(wǎng)絡(luò)分成三個(gè)層次。網(wǎng)絡(luò)中心為核

11、心層：核心層的功能主要實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，骨干層設(shè)計(jì)任務(wù)的重點(diǎn)是冗余能力、可靠性和高速的傳輸。分布層負(fù)責(zé)網(wǎng)段的邏輯分割，聚合路由路徑，收斂數(shù)據(jù)流量。訪問(wèn)層是用戶進(jìn)入網(wǎng)絡(luò)的入口，將流量饋入網(wǎng)絡(luò)。第二章需求分析 需求分析是網(wǎng)絡(luò)建設(shè)的第一步，本方案從應(yīng)用背景、業(yè)務(wù)需求、管理需求等幾個(gè)方面進(jìn)行需求分析。2.1應(yīng)用背景需求分析為了提高學(xué)校的管理效益和教學(xué)質(zhì)量，開(kāi)展學(xué)?，F(xiàn)代化教育建設(shè)，建設(shè)具有規(guī)模的校園網(wǎng)絡(luò)，intranet技術(shù)的高速多媒體校園網(wǎng)是必要的。整個(gè)高速多媒體校園網(wǎng)建設(shè)原則是“經(jīng)濟(jì)高效、領(lǐng)先實(shí)用”，既要領(lǐng)先一步，具有發(fā)展余地，又要比較實(shí)用。 校園網(wǎng)是集計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、多媒體技術(shù)于一

12、體的系統(tǒng)，能夠最大限度地調(diào)動(dòng)學(xué)生對(duì)教學(xué)內(nèi)容的積極性。2.2業(yè)務(wù)需求分析本校園網(wǎng)為中小型規(guī)模的組網(wǎng)，節(jié)點(diǎn)數(shù)500個(gè)，但對(duì)通信量的要求較高，因此要求“千兆主干中跑，百兆到桌面”，并要求支持多媒體的應(yīng)用。本校園網(wǎng)需要實(shí)現(xiàn)的業(yè)務(wù)有：web服務(wù)：所有合法用戶可以通過(guò)web瀏覽的方式獲得校園網(wǎng)絡(luò)中的信息，學(xué)生可以通過(guò)web瀏覽的方式在線學(xué)習(xí)；ftp服務(wù)：教師可通過(guò)ftp服務(wù)器下載或上傳課件資料；dns、目錄服務(wù)器：提供域名解析以及目錄服務(wù)；郵件服務(wù)器：提供郵件收發(fā)服務(wù)；數(shù)據(jù)庫(kù)服務(wù)器：提供各種數(shù)據(jù)庫(kù)服務(wù)；打印服務(wù)器：提供打印機(jī)共享服務(wù)；網(wǎng)管服務(wù)器：對(duì)校園網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行綜合管理。2.3管理需求分析隨著網(wǎng)絡(luò)復(fù)雜

13、度的增加，給網(wǎng)絡(luò)管理帶來(lái)成級(jí)數(shù)增加的工作量。網(wǎng)絡(luò)管理要求解決的問(wèn)題包括： 虛擬局域網(wǎng)管理、分配。目前的虛擬局域網(wǎng)主要基于交換機(jī)端口劃分，如果一個(gè)部門(mén)擴(kuò)展新的入網(wǎng)點(diǎn)，擴(kuò)展將改變交換機(jī)端口設(shè)置。管理軟件需提供遠(yuǎn)地虛擬網(wǎng)的修改功能。對(duì)所有網(wǎng)絡(luò)設(shè)備端口的監(jiān)視和管理。對(duì)所有網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程配置和控制，包括網(wǎng)絡(luò)設(shè)備端口的開(kāi)啟和關(guān)閉，整個(gè)網(wǎng)絡(luò)的故障檢測(cè)，故障自動(dòng)報(bào)警功能，整個(gè)網(wǎng)絡(luò)性能的統(tǒng)計(jì)和分析報(bào)告，甚至收費(fèi)。按照這些網(wǎng)絡(luò)管理的需求，應(yīng)采用基于gui界面的網(wǎng)絡(luò)管理軟件。2.4網(wǎng)絡(luò)安全需求分析 校園網(wǎng)絡(luò)安全主要考慮以下幾方面要求：各個(gè)部門(mén)、系所訪問(wèn)網(wǎng)絡(luò)的控制，各單位之間在未經(jīng)授權(quán)的情況下，不能相互訪問(wèn)。網(wǎng)絡(luò)需要

14、建立防火墻，禁止外部用戶未經(jīng)許可訪問(wèn)內(nèi)部的數(shù)據(jù)，或者內(nèi)部用戶未經(jīng)許可訪問(wèn)外部數(shù)據(jù)。 對(duì)安全問(wèn)題的考慮主要是兩個(gè)方面：校園網(wǎng)應(yīng)該是一個(gè)開(kāi)放的系統(tǒng)，它不需要與政府或商業(yè)公司那樣的網(wǎng)絡(luò)安全保密性；另外，校園網(wǎng)應(yīng)該是安全的，它不應(yīng)該受到惡意的攻擊而無(wú)法運(yùn)行，一些科研成果也不應(yīng)該對(duì)任何人都開(kāi)放。主要利用虛擬網(wǎng)技術(shù)和防火墻技術(shù)來(lái)合理解決安全與開(kāi)放的問(wèn)題。 2.5網(wǎng)絡(luò)環(huán)境需求分析運(yùn)動(dòng)場(chǎng)學(xué)生公寓學(xué)生公寓學(xué)生公寓教師公寓圖書(shū)館實(shí)驗(yàn)樓教務(wù)處教學(xué)樓計(jì)算機(jī)中心教師公寓 該學(xué)校占地180畝，現(xiàn)有在校生2000多名，教職員工100多名。學(xué)校主要建筑分布如圖21所示：圖21學(xué)校主要建筑分布圖第三章校園網(wǎng)系統(tǒng)設(shè)計(jì)說(shuō)明一個(gè)好的

15、校園網(wǎng)應(yīng)該按照標(biāo)準(zhǔn)的設(shè)計(jì)原則，采用國(guó)際化設(shè)計(jì)標(biāo)準(zhǔn)，合理的選擇網(wǎng)絡(luò)技術(shù)，網(wǎng)絡(luò)的安全性也是非常重要的。3.1 校園網(wǎng)設(shè)計(jì)原則1.實(shí)用性與先進(jìn)性 根據(jù)學(xué)校實(shí)際情況和特點(diǎn)，在設(shè)計(jì)中特別強(qiáng)調(diào)實(shí)用性與先進(jìn)性的結(jié)合，應(yīng)采用成熟的網(wǎng)絡(luò)技術(shù)，保證校園網(wǎng)實(shí)用；跟蹤國(guó)際網(wǎng)絡(luò)技術(shù)的新發(fā)展，設(shè)計(jì)技術(shù)先進(jìn)的網(wǎng)絡(luò)。在保證校園網(wǎng)可靠、實(shí)用、先進(jìn)的基礎(chǔ)上，可以提供研究先進(jìn)網(wǎng)絡(luò)技術(shù)的科研環(huán)境，方便學(xué)校的科研與開(kāi)發(fā)。 2.開(kāi)放性與標(biāo)準(zhǔn)化 整個(gè)校園網(wǎng)的設(shè)計(jì)采用開(kāi)放的網(wǎng)絡(luò)體系，以方便網(wǎng)絡(luò)的升級(jí)、擴(kuò)展和互聯(lián)。同時(shí)，在選擇服務(wù)器、網(wǎng)絡(luò)產(chǎn)品時(shí)，強(qiáng)調(diào)產(chǎn)品支持的網(wǎng)絡(luò)協(xié)議的國(guó)際標(biāo)準(zhǔn)化。 3.可靠性與安全性 在校園網(wǎng)的設(shè)計(jì)中，主要考慮兩個(gè)層次：一是

16、整個(gè)網(wǎng)絡(luò)的可靠性與安全性，采用高可靠性、高安全性的網(wǎng)絡(luò)體系結(jié)構(gòu)，包括合理設(shè)計(jì)廣域網(wǎng)的訪問(wèn)控制和內(nèi)部局域網(wǎng)的訪問(wèn)控制、對(duì)外部網(wǎng)絡(luò)訪問(wèn)鏈路的備份等；二是網(wǎng)絡(luò)設(shè)備的可靠性與安全性，主要是采用可帶電插拔的模塊、配置雙電源、端口冗余、設(shè)置網(wǎng)絡(luò)設(shè)備的用戶表及口令限制等手段。 4.經(jīng)濟(jì)性與可擴(kuò)充性 在滿足學(xué)校需求的前提下，選用性價(jià)比高的網(wǎng)絡(luò)設(shè)備和服務(wù)器。采用的網(wǎng)絡(luò)架構(gòu)和設(shè)備，應(yīng)充分考慮到易升級(jí)換代，并且在升級(jí)時(shí)可以最大限度地保護(hù)原有的硬件設(shè)備和軟件投資。3.2網(wǎng)絡(luò)協(xié)議選擇在此校園網(wǎng)的設(shè)計(jì)中主要采用了以下標(biāo)準(zhǔn)：l ieee802.3uieee 工作組為fastethenet 制定了被稱作ieee802.3u

17、的標(biāo)準(zhǔn)， 并制定了如下的規(guī)范：如表31所示：電纜最大距離優(yōu)點(diǎn)100base-t4雙絞線100米便宜100base-tx雙絞線100米易維護(hù)1000base-f光纖2000米遠(yuǎn)距離全雙工表31線纜規(guī)范編碼：曼切斯特編碼介質(zhì)訪問(wèn)控制方式：csma/cd 控制方法3.3千兆以太網(wǎng)1998 年6 月29 日， 千兆以太網(wǎng)聯(lián)盟于加利福尼亞palo alto 正式宣布了千兆以太網(wǎng)標(biāo)準(zhǔn)ieee 802.3z。這是千兆以太網(wǎng)發(fā)展的里程碑。人們對(duì)千兆以太網(wǎng)技術(shù)給予了充分的重視和信心。簡(jiǎn)單地說(shuō)， 這是因?yàn)椤扒д滓蕴W(wǎng)仍然是以太網(wǎng)， 只不過(guò)速度更快而已”。這一點(diǎn)是問(wèn)題的關(guān)鍵。由于“ 千兆以太網(wǎng)仍然是以太網(wǎng)”， 因此

18、千兆以太網(wǎng)繼承了10m、100m 以太網(wǎng)的特征。由此得出了千兆以太網(wǎng)的以下優(yōu)點(diǎn)：1）與現(xiàn)有大多數(shù)網(wǎng)絡(luò)設(shè)施的兼容性。權(quán)威統(tǒng)計(jì)表明大多數(shù)網(wǎng)絡(luò)都是以太網(wǎng)， 因此千兆以太網(wǎng)與現(xiàn)有網(wǎng)絡(luò)具有天然的兼容性。千兆以太網(wǎng)在與10m、100m 以太網(wǎng)通信時(shí)不存在需要損失性能的轉(zhuǎn)換操作。2）簡(jiǎn)便的網(wǎng)絡(luò)升級(jí)操作。千兆以太網(wǎng)由于完全與以前的10m、100m 以太網(wǎng)兼容。因此， 自然簡(jiǎn)便的網(wǎng)絡(luò)升級(jí)使得千兆以太網(wǎng)可以“無(wú)縫” 融入現(xiàn)存的以太網(wǎng)環(huán)境中， 解決了網(wǎng)絡(luò)管理員所面臨的如何升級(jí)現(xiàn)有網(wǎng)絡(luò)，但不至于造成網(wǎng)絡(luò)癱瘓的問(wèn)題。用戶總是傾向簡(jiǎn)單實(shí)用， 厭惡煩瑣復(fù)雜的工作。因?yàn)樯?jí)的挑戰(zhàn)過(guò)程和額外的知識(shí)學(xué)習(xí)并不是用戶建網(wǎng)的目的。3）

19、技術(shù)的成熟性和穩(wěn)定性。以太網(wǎng)技術(shù)是十分成熟的技術(shù)， 它所組成系統(tǒng)的可靠性已經(jīng)接近一般的電話通信系統(tǒng)（我們可以體會(huì)到， 電話是不大出錯(cuò)的）。“千兆以太網(wǎng)仍然是以太網(wǎng)” 意味著千兆以太網(wǎng)是可以信賴的技術(shù)。4）總體開(kāi)銷(xiāo)較低?？傮w性的開(kāi)銷(xiāo)是評(píng)價(jià)網(wǎng)絡(luò)技術(shù)的重要的因素?？傮w開(kāi)銷(xiāo)不僅包括購(gòu)買(mǎi)設(shè)備的開(kāi)銷(xiāo)， 還應(yīng)包括培訓(xùn)、維護(hù)和糾錯(cuò)的開(kāi)銷(xiāo)。而千兆以太網(wǎng)產(chǎn)品能提供較好的性能價(jià)格比。3.4主干網(wǎng)絡(luò)的選擇校園網(wǎng)絡(luò)主干采用千兆以太網(wǎng)交換技術(shù)，各大樓內(nèi)采用以太網(wǎng)、快速以太網(wǎng)技術(shù)。千兆以太網(wǎng)的特點(diǎn)主要包括如下： 1. 千兆以太網(wǎng)具有價(jià)格優(yōu)勢(shì)千兆以太網(wǎng)繼承了傳統(tǒng)以太網(wǎng)的主要技術(shù)特征， 以太網(wǎng)長(zhǎng)期研發(fā)和生產(chǎn)線經(jīng)驗(yàn)使得千兆以太網(wǎng)

20、的產(chǎn)品具有成熟性和大規(guī)模生產(chǎn)的價(jià)格優(yōu)勢(shì)。從構(gòu)造層次和技術(shù)復(fù)雜性來(lái)說(shuō)， 千兆以太網(wǎng)也應(yīng)在價(jià)格上優(yōu)于其它主干方式?？紤]到倍比于設(shè)備開(kāi)銷(xiāo)的維護(hù)管理開(kāi)銷(xiāo)，千兆以太網(wǎng)似乎更應(yīng)勝出一籌。2千兆位以太網(wǎng)相對(duì)于原有的快速以太網(wǎng)、fddi、atm等主干網(wǎng)解決方案，提供了一條最佳的路徑。至少在目前看來(lái)，是改善交換機(jī)與交換機(jī)之間，骨干連接和交換機(jī)與服務(wù)器之間連接的可靠、經(jīng)濟(jì)的途徑。網(wǎng)絡(luò)設(shè)計(jì)人員能夠建立有效使用應(yīng)用程序和文件備份的高速基礎(chǔ)設(shè)施。網(wǎng)絡(luò)管理人員將為用戶提供對(duì)internet、intranet更快速的訪問(wèn)。 3ieee 802.3工作組建立了802.3z和802.3ab千兆位以太網(wǎng)工作組，其任務(wù)是開(kāi)發(fā)適應(yīng)不

21、同需求的千兆位以太網(wǎng)標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)支持全雙工和半雙工1000mbps，相應(yīng)的操作采用ieee 802.3以太網(wǎng)的幀格式和csma/cd介質(zhì)訪問(wèn)控制方法。千兆位以太網(wǎng)還要與10baset和100baset向后兼容。此外，ieee標(biāo)準(zhǔn)將支持最大距離為1500米的多模光纖、最大距離為3000米的單模光纖和最大距離為500米的銅軸電纜。千兆位以太網(wǎng)填補(bǔ)了802.3以太網(wǎng)/快速以太網(wǎng)標(biāo)準(zhǔn)的不足。3.5系統(tǒng)安全性的實(shí)現(xiàn)在方案中,我們根據(jù)用戶網(wǎng)絡(luò)安全需求,在與外部網(wǎng)連接時(shí)采用防火墻軟件及路由器內(nèi)部nat 地址轉(zhuǎn)換, 保證了內(nèi)部網(wǎng)絡(luò)的安全,并根據(jù)用戶需要在網(wǎng)絡(luò)中設(shè)置必要的訪問(wèn)控制，做到網(wǎng)絡(luò)安全的全面控制； 并采

22、用vlan等技術(shù)進(jìn)一步控制內(nèi)部網(wǎng)絡(luò)安全， 采用身份驗(yàn)證控制撥號(hào)用戶的安全性， 采用雙機(jī)備份和冗余連接、網(wǎng)卡容錯(cuò)、數(shù)據(jù)庫(kù)容錯(cuò)、定期備份等實(shí)現(xiàn)安全可靠性。第四章校園網(wǎng)絡(luò)方案描述為校園網(wǎng)設(shè)計(jì)合理的拓?fù)鋱D，選擇合適的設(shè)備，并規(guī)劃局域網(wǎng)ip。4.1 設(shè)備選型1核心層交換機(jī)： 核心層提供一個(gè)高速數(shù)據(jù)包轉(zhuǎn)發(fā)通道，使得分布層交換機(jī)進(jìn)行高速的數(shù)據(jù)交換。采用cisco 6509 為核心交換機(jī)。 如圖41所示：圖41 cisco 6509交換機(jī)cisco 6509交換機(jī)的基本參數(shù)如表41所示：表41cisco 6509交換機(jī)的基本參數(shù)2分布層交換機(jī)（又稱匯聚層）： 匯聚層負(fù)責(zé)網(wǎng)段的邏輯分割，聚合路由路徑，收斂數(shù)據(jù)流

23、量?？紤]到各信息樓（圖書(shū)館、學(xué)生宿舍區(qū)等）信息量較大， 對(duì)交換速度要求較高，故各信息樓接入選用交換速率較高、價(jià)格性能比較好的cisco 3560 交換機(jī)。如圖42所示：圖42 cisco 3650 交換機(jī)cisco 3650 交換機(jī)的基本參數(shù)如表42所示：表42cisco 3650 交換機(jī)的基本參數(shù)3. 接入層交換機(jī)：接入層將流量饋入網(wǎng)絡(luò)，執(zhí)行網(wǎng)絡(luò)訪問(wèn)控制。選用cisco 2950交換機(jī)，使桌面接入的速度大大提高。如圖43所示：圖43cisco 2950交換機(jī)cisco 2950交換機(jī)的基本參數(shù)如表43所示：表43cisco 2950交換機(jī)的基本參數(shù)4. 路由器 廣域網(wǎng)接入模塊采用的是cisc

24、o 2851路由器。其作用主要是在 internet和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務(wù)外，利用訪問(wèn)控制列表（ access control list，acl），廣域網(wǎng)接入路由器還可以用來(lái)完成以自身為中心的流量控制和過(guò)濾功能并實(shí)現(xiàn)一定的安全功能。如圖44所示：圖44cisco 2851路由器cisco 2851路由器的基本參數(shù)如表44所示：表44cisco 2851路由器的基本參數(shù)選用的所有設(shè)備都是可網(wǎng)管的,而且提供了cisco cwsi的網(wǎng)管軟件,可提供全方位對(duì)整個(gè)校園網(wǎng)的cisco 設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控和管理。4.2 網(wǎng)絡(luò)系統(tǒng)拓?fù)鋱D如圖45所示：圖45網(wǎng)絡(luò)系統(tǒng)拓?fù)鋱D4.3 vlan

25、及ip地址規(guī)劃如表45所示：vlan號(hào)vlan名稱ip網(wǎng)段默認(rèn)網(wǎng)關(guān)說(shuō)明vlan1/2454管理vlanvlan10jwc/2454教務(wù)處vlanvlan20xsss/2454學(xué)生宿舍vlanvlan30cwc/2454財(cái)務(wù)處vlanvlan40jgss/2454教工宿舍vlanvlan50jzx/2454建筑系vlanvlan60gl

26、x/2454管理系vlanvlan70jsjx/2454計(jì)算機(jī)系vlanvlan100fwqq/2454服務(wù)器群vlan表45vlan及ip地址規(guī)劃第五章校園網(wǎng)絡(luò)整體解決方案完成校園網(wǎng)絡(luò)的交換模塊、廣域網(wǎng)接入模塊、服務(wù)器模塊和遠(yuǎn)程訪問(wèn)模塊的配置。5.1 交換模塊設(shè)計(jì)校網(wǎng)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個(gè)層次：訪問(wèn)層、分布層、核心層。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在osi模型的第2層?，F(xiàn)代交換技術(shù)還實(shí)現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了校園網(wǎng)數(shù)據(jù)交換的

27、效率，更大大增強(qiáng)了校園網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類(lèi)型網(wǎng)絡(luò)應(yīng)用程序的需要。本網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（virtual lan，vlan）的概念。vlan將廣播域限制在單個(gè)vlan內(nèi)部，減小了各vlan間主機(jī)的廣播通信對(duì)其他vlan 的影響。在 vlan 間需要通信的時(shí)候，可以利用 vlan 間路由技術(shù)來(lái)實(shí)現(xiàn)。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時(shí)，可以使用 vlan 中繼協(xié)議（ vlan trunking protocol， vtp）簡(jiǎn)化管理，它只需在單獨(dú)一臺(tái)交換機(jī)上定義所有vlan。然后通過(guò)vtp協(xié)議將vlan定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作

28、強(qiáng)度。當(dāng)校園網(wǎng)絡(luò)的交換機(jī)數(shù)量增多、交換機(jī)間鏈路增加時(shí)，交換網(wǎng)絡(luò)的復(fù)雜性可能會(huì)造成交換環(huán)路問(wèn)題，這需要通過(guò)在各交換機(jī)上運(yùn)行生成樹(shù)協(xié)議（spanningtree protocol， stp）來(lái)解決。5.1.1 配置訪問(wèn)層交換機(jī)訪問(wèn)層為所有的終端用戶提供一個(gè)接入點(diǎn)。這里的訪問(wèn)層交換機(jī)采用的是cisco 2950交換機(jī)。該交換機(jī)擁有24個(gè)10/100mbps自適應(yīng)快速以太網(wǎng)端口，運(yùn)行的是 cisco 的 ios 操作系統(tǒng)。1 設(shè)置訪問(wèn)層交換機(jī) accessswitch1 的基本參數(shù)：設(shè)置交換機(jī)名稱，也就是出現(xiàn)在交換機(jī)cli提示符中的名字。一般以地理位置或行政劃分來(lái)為交換機(jī)命名。當(dāng)需要 telnet 登

29、錄到若干臺(tái)交換機(jī)以維護(hù)一個(gè)大型網(wǎng)絡(luò)時(shí)，通過(guò)交換機(jī)名稱提示符提示自己當(dāng)前配置交換機(jī)的位置是很有必要的。設(shè)置交換機(jī)的加密使能口令，當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時(shí)，需要提供此口令。此口令會(huì)以md5的形式加密，因此，當(dāng)用戶查看配置文件時(shí)，無(wú)法看到明文形式的口令。設(shè)置登錄虛擬終端線時(shí)的口令以及終端線超時(shí)時(shí)間。對(duì)于一個(gè)已經(jīng)運(yùn)行著的交換網(wǎng)絡(luò)來(lái)說(shuō)，交換機(jī)的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理人員提供了很多的方便。但是，出于安全考慮，在能夠遠(yuǎn)程管理交換機(jī)之前網(wǎng)絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機(jī)的口令。為了安全考慮，可以設(shè)置終端線超時(shí)時(shí)間。在設(shè)置的時(shí)間內(nèi)，如果沒(méi)有檢測(cè)到鍵盤(pán)輸入，設(shè)備操作系統(tǒng)將斷開(kāi)用戶和交換機(jī)之間的

30、連接。設(shè)置禁用 ip 地址解析特性在交換機(jī)默認(rèn)配置的情況下，當(dāng)輸入一條錯(cuò)誤的交換機(jī)命令時(shí)，交換機(jī)會(huì)嘗試將其廣播給網(wǎng)絡(luò)上的dns 服務(wù)器并將其解析成對(duì)應(yīng)的 ip 地址。利用命令no ip domain-lookup?？梢越眠@個(gè)特性?；緟?shù)的配置如圖51所示：圖51設(shè)置基本參數(shù)2 配置訪問(wèn)層交換機(jī) accessswitch1 的管理 ip、默認(rèn)網(wǎng)關(guān)：訪問(wèn)層交換機(jī)是 osi 參考模型的第 2 層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備。因此，給訪問(wèn)層交換機(jī)的每個(gè)端口設(shè)置 ip 地址是沒(méi)意義的。但是，為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到訪問(wèn)層交換機(jī)上進(jìn)行管理，必須給訪問(wèn)層交換機(jī)設(shè)置一個(gè)管理用 ip 地址。這種情況下

31、，實(shí)際上是將交換機(jī)看成和 pc 機(jī)一樣的主機(jī)。給交換機(jī)設(shè)置管理用的 ip 地址只能在vlan1，即本征vlan中進(jìn)行。管理vlan所在的子網(wǎng)是：/24 ，這里將訪問(wèn)層交換機(jī)accessswitch1的管理ip地址設(shè)為：/24。為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī)，還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān)地址54。如圖52所示：圖52配置管理 ip、默認(rèn)網(wǎng)關(guān)3配置訪問(wèn)層交換機(jī) accessswitch1 的vtp從提高效率的角度出發(fā)，在本校園網(wǎng)實(shí)現(xiàn)中使用了 vtp 技術(shù)。同時(shí)，將分布層交換機(jī) distributeswitch1 設(shè)置成為 vtp

32、 服務(wù)器，其他交換機(jī)設(shè)置成為vtp 客戶機(jī)。這里訪問(wèn)層交換機(jī)accessswitch1將通過(guò)vtp獲得在分布層交換機(jī)distributeswitch1 中定義的所有 vlan 的信息。如圖53所示：圖53配置訪問(wèn)層交換機(jī) accessswitch1 的vtp4配置訪問(wèn)層交換機(jī) accessswitch1 端口基本參數(shù)端口雙工配置：可以設(shè)定端口根據(jù)對(duì)端設(shè)備雙工類(lèi)型自動(dòng)調(diào)整本端口雙工模式，也可以強(qiáng)制將端口雙工模式設(shè)為半雙工或全雙工模式。設(shè)置訪問(wèn)層交換機(jī)accessswitch1的所有端口均工作在全雙工模式。如圖54所示：圖54端口雙工配置端口速度設(shè)置：可以設(shè)定端口根據(jù)對(duì)端設(shè)備速度自動(dòng)調(diào)整本端口速度

33、，也可以強(qiáng)制將端口速度設(shè)為10mpbs 或100mbps。設(shè)置訪問(wèn)層交換機(jī)accessswitch1的所有端口的速度均為100mbps。如圖55所示：圖55端口速度設(shè)置5配置訪問(wèn)層交換機(jī) accessswitch1 的訪問(wèn)端口訪問(wèn)層交換機(jī) accessswitch1 為 vlan10、vlan20 提供接入服務(wù)。設(shè)置訪問(wèn)層交換機(jī) accessswitch1 的端口 120 工作在訪問(wèn)（接入）模式。同時(shí)，設(shè)置端口 110 為 vlan 10 的成員，端口1120 為 vlan 20 的成員。如圖56所示：圖56設(shè)置訪問(wèn)層交換機(jī) accessswitch1 的端口120設(shè)置快速端口：默認(rèn)情況下，交

34、換機(jī)在剛加電啟動(dòng)時(shí)，每個(gè)端口都要經(jīng)歷生成樹(shù)的四個(gè)階段：阻塞、偵聽(tīng)、學(xué)習(xí)、轉(zhuǎn)發(fā)。對(duì)于直接接入終端工作站的端口來(lái)說(shuō)，用于阻塞和偵聽(tīng)的時(shí)間是不必要的。為了加速交換機(jī)端口狀態(tài)轉(zhuǎn)化時(shí)間，可以設(shè)置將某端口設(shè)置成為快速端口（ portfast）。設(shè)置為快速端口的端口當(dāng)交換機(jī)啟動(dòng)或端口有工作站接入時(shí)，將會(huì)直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，而不會(huì)經(jīng)歷阻塞、偵聽(tīng)、學(xué)習(xí)狀態(tài)（假設(shè)橋接表已經(jīng)建立）。設(shè)置訪問(wèn)層交換機(jī) accessswitch1 的端口 120 為快速端口。如圖57所示：圖57設(shè)置快速端口6配置訪問(wèn)層交換機(jī) accessswitch1 的主干道端口訪問(wèn)層交換機(jī) accessswitch1 通過(guò)端口 fastethern

35、et 0/23 上連到分布層交換機(jī) distributeswitch1 的端口 fastethernet 0/23。同時(shí)，通過(guò)端口fastethernet 0/24上連到分布層交換機(jī)distributeswitch2 的端口 fastethernet 0/23。這兩條上連鏈路將成為主干道鏈路，在這兩條上連鏈路上將運(yùn)輸多個(gè)vlan 的數(shù)據(jù)。設(shè)置訪問(wèn)層交換機(jī) accessswitch1 的端口 fastethernet 0/23、fastethernet 0/24 為主干道端口。如圖58所示：圖58配置訪問(wèn)層交換機(jī) accessswitch1 的主干道端口7配置訪問(wèn)層交換機(jī) accessswitc

36、h2訪問(wèn)層交換機(jī) accessswitch2 為 vlan 30 和 vlan 40 的用戶提供接入服務(wù)。同時(shí)，分別通過(guò)自己的 fastethernet 0/23、fastethernet 0/24 上連到分布層交換機(jī) distributeswitch1、distributeswitch2 的端口fastethernet 0/24。對(duì)訪問(wèn)層交換機(jī)accessswitch2的配置步驟 、命令和訪問(wèn)層交換機(jī)accessswitch1 的配置類(lèi)似。5.1.2配置分布層交換機(jī)分布層除了負(fù)責(zé)將訪問(wèn)層交換機(jī)進(jìn)行匯集外，還為整個(gè)交換網(wǎng)絡(luò)提供vlan 間的路由選擇功能。這里的分布層交換機(jī)采用的是 cisco

37、catalyst 3560 交換機(jī)。作為 2 層交換機(jī)，cisco catalyst 3560 交換機(jī)擁有 48 個(gè) 10/100mbps 自適應(yīng)快速以太網(wǎng)端口，同時(shí)還有 2 個(gè) 1000mbps 端口供上連使用。1 配置分布層交換機(jī) distributeswitch1 的基本參數(shù)對(duì)分布層交換機(jī)distributeswitch1的基本參數(shù)的配置步驟與對(duì)訪問(wèn)層交換機(jī)accessswitch1的基本參數(shù)的配置類(lèi)似。具體配置如圖59所示：圖59配置分布層交換機(jī) distributeswitch1 的基本參數(shù)2 配置分布層交換機(jī) distributeswitch1 的管理 ip 為分布層交換機(jī) dis

38、tributeswitch1 設(shè)置管理 ip 并激活本征 vlan。如圖510所示：圖510配置分布層交換機(jī) distributeswitch1 的管理 ip3 配置分布層交換機(jī) distributeswitch1 的 vtp當(dāng)網(wǎng)絡(luò)中交換機(jī)數(shù)量很多時(shí)，需要分別在每臺(tái)交換機(jī)上創(chuàng)建很多重復(fù)的vlan。工作量很大、過(guò)程很繁瑣，并且容易出錯(cuò)。在實(shí)際工作中常采用 vlan中繼協(xié)議（ vlan trunking protocol， vtp）來(lái)解決這個(gè)問(wèn)題。vtp允許在一臺(tái)交換機(jī)上創(chuàng)建所有的vlan。然后，利用交換機(jī)之間的互相學(xué)習(xí)功能，將創(chuàng)建好的vlan 定義傳播到整個(gè)網(wǎng)絡(luò)中需要此 vlan 定義的所有交換

39、機(jī)上。同時(shí)，有關(guān) vlan 的刪除、更改操作均可傳播到其他交換機(jī)。從而大大減輕了網(wǎng)絡(luò)管理人員配置交換機(jī)的負(fù)擔(dān)。在本校園網(wǎng)實(shí)現(xiàn)中使用了vtp技術(shù)。同時(shí)，將分布層交換機(jī)distributeswitch1 設(shè)置成為 vtp 服務(wù)器，其他交換機(jī)設(shè)置成為 vtp 客戶機(jī)。配置 vtp 管理域并設(shè)置 vtp 服務(wù)器模式：共享相同vlan定義數(shù)據(jù)庫(kù)的交換機(jī)構(gòu)成一個(gè)vtp管理域。每一個(gè)vtp管理域都有一個(gè)共同的vtp 管理域域名。不同vtp管理域的交換機(jī)之間不交換 vtp 通告信息。工作在 vtp 服務(wù)器模式下的交換機(jī)可以創(chuàng)建、刪除 vlan、修改 vlan 參數(shù)。同時(shí)，還有責(zé)任發(fā)送和轉(zhuǎn)發(fā) vlan 更新消息

40、。具體配置如圖511所示：圖511配置 vtp 管理域并設(shè)置 vtp 服務(wù)器模式激活 vtp 剪裁功能：默認(rèn)情況下主干道傳輸所有vlan的用戶數(shù)據(jù)。有時(shí)，交換網(wǎng)絡(luò)中某臺(tái)交換機(jī)的所有端口都屬于同一vlan 的成員，沒(méi)有必要接收其他 vlan 的用戶數(shù)據(jù)。這時(shí)，可以激活主干道上的 vtp 剪裁功能。當(dāng)激活了 vtp 剪裁功能以后，交換機(jī)將自動(dòng)剪裁本交換機(jī)沒(méi)有定義的 vlan 數(shù)據(jù)。在一個(gè) vtp 域下，只需要在 vtp 服務(wù)器上激活 vtp 剪裁功能。同一 vtp域下的所有其他交換機(jī)也將自動(dòng)激活 vtp 剪裁功能。如圖512所示：圖512激活 vtp 剪裁功能4在分布層交換機(jī) distribute

41、switch1 上定義 vlan在本校園網(wǎng)實(shí)現(xiàn)中，除了默認(rèn)的本征vlan外，又額外定義了8個(gè)vlan。由于使用了 vtp 技術(shù)，所以，所有 vlan 的定義都只需要在 vtp 服務(wù)器，即分布層交換機(jī) distributeswitch1 上進(jìn)行。定義了 8 個(gè) vlan，同時(shí)為每個(gè) vlan 命名。如圖513所示：圖513定義 vlan并命名5配置分布層交換機(jī) distributeswitch1 的端口基本參數(shù)分布層交換機(jī) distributeswitch1 的端口 fastethernet 0/1 fastethernet 0/10為服務(wù)器群提供接入服務(wù)，而端口 fastethernet 0/

42、23、 fastethernet 0/24 分別下連到訪問(wèn)層交換機(jī)accessswitch1 的端口fastethernet 0/23 以及訪問(wèn)層交換機(jī)accessswitch2 的端口 fastethernet 0/23。此外，分布層交換機(jī)distributeswitch1還通過(guò)自己的千兆端口gigabitethernet 0/1 上連到核心交換機(jī) coreswitch1 的 gigabitethernet 0/1。為了實(shí)現(xiàn)冗余設(shè)計(jì)，分布層交換機(jī)distributeswitch1還通過(guò)自己的千兆 端口gigabitethernet 0/2連接到另一臺(tái)分布層交換機(jī)distributeswitc

43、h2的gigabitethernet 0/2。如圖514所示： 圖514設(shè)置分布層交換機(jī) distributeswitch1 的各端口參數(shù)6配置分布層交換機(jī) distributeswitch1 的路由功能分布層交換機(jī) distributeswitch1 需要為網(wǎng)絡(luò)中的各個(gè) vlan 提供路由功能。這需要首先啟用分布層交換機(jī)的路由功能。如圖 515 所示：圖 515啟用路由功能接下來(lái)，需要為每個(gè) vlan 定義自己的默認(rèn)網(wǎng)關(guān)地址。此外，還需要定義通往 internet 的路由。這里使用了一條缺省路由命令。如圖 516 所示：圖 516定義各 vlan 的默認(rèn)網(wǎng)關(guān)地址及到 internet 的缺省

44、路由7配置分布層交換機(jī) distributeswitch2分布層交換機(jī) distributeswitch2 的端口 fastethernet 0/23、fastethernet 0/24分別下連到訪問(wèn)層交換機(jī) accessswitch1 的端口 fastethernet 0/24 以及訪問(wèn)層交換機(jī) accessswitch2 的端口 fastethernet 0/24。此外，分布層交換機(jī)distributeswitch2還通過(guò)自己的千兆端口gigabitethernet 0/1 上連到核心交換機(jī) coreswitch1 的 gigabitethernet 0/2。為了實(shí)現(xiàn)冗余設(shè)計(jì)，分布層交換機(jī)

45、distributeswitch2還通過(guò)自己的千兆端口 gigabitethernet 0/2 連接到分布層交換機(jī) distributeswitch1 的 gigabitethernet 0/2。對(duì)分布層交換機(jī)distributeswitch2的配置步驟、命令和對(duì)分布層交換機(jī)distributeswitch1 的配置類(lèi)似。5.1.3配置核心層交換機(jī)1配置核心層交換機(jī) coreswitch1 的基本參數(shù)對(duì)核心層交換機(jī)coreswitch1的基本參數(shù)的配置步驟與對(duì)訪問(wèn)層交換機(jī)accessswitch1 的基本參數(shù)的配置類(lèi)似。具體配置如圖517所示：圖517配置核心層交換機(jī) coreswitch1

46、的基本參數(shù)2. 配置核心層交換機(jī) coreswitch1 的管理 ip為核心層交換機(jī) coreswitch1設(shè)置管理 ip 并激活本征 vlan。如圖518所示：圖518配置核心層交換機(jī) coreswitch1 的管理 ip3配置核心層交換機(jī) coreswitch1 的的 vlan 及 vtp設(shè)置核心層交換機(jī) coreswitch1 成為 vtp 客戶機(jī)。如圖519所示：圖519設(shè)置核心層交換機(jī) coreswitch1 成為 vtp 客戶機(jī)4 配置核心層交換機(jī) coreswitch1 的端口參數(shù)核心層交換機(jī) coreswitch1 通過(guò)自己的端口fastethernet 0/0同廣域網(wǎng)接入模塊

47、相連。同時(shí)，核心層交換機(jī)coreswitch1的端口gigabitethernet 0/1gigabitethernet 0/2分別下連到分布層交換機(jī)distributeswitch1 和 distributeswitch2 的端口 gigabitethernet 0/1。 具體配置命令如圖520所示：圖520設(shè)置核心層交換機(jī) coreswitch1 的各端口參數(shù)此外，為了提供主干道的吞吐量以及實(shí)現(xiàn)冗余設(shè)計(jì)，在本設(shè)計(jì)中，將核心層交換機(jī) coreswitch1 的千兆端口 gigabitethernet 3/1、gigabitethernet 3/2 捆綁在一起實(shí)現(xiàn)2000mbps的千兆以太網(wǎng)信

48、道，然后再連接到另一臺(tái)核心層交換機(jī)coreswitch2。設(shè)置核心層交換機(jī)coreswitch1的千兆以太網(wǎng)信道的步驟。如圖521所示：圖521設(shè)置核心層交換機(jī) coreswitch1 的千兆以太網(wǎng)信道5配置核心層交換機(jī) coreswitch1 的路由功能核心層交換機(jī)coreswitch1通過(guò)端口fastethernet 0/0同廣域網(wǎng)接入模塊（ internet 路由器）相連。因此，需要啟用核心層交換機(jī)的路由功能。同時(shí)，還需要定義通往 internet 的路由。這里使用了一條缺省路由命令。其中，下一跳地址是 internet 接入路由器的快速以太網(wǎng)接口 fastethernet 0/0 的i

49、p 地址。如圖522所示：圖522定義到 internet 的缺省路由6核心層交換機(jī) coreswitch2 的配置核心層交換機(jī) coreswitch2 的配置步驟、命令和對(duì)核心層交換機(jī)coreswitch1的配置類(lèi)似。5.2廣域網(wǎng)接入模塊設(shè)計(jì)廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器internetrouter 來(lái)完成的。采用的是cisco 2851路由器。它通過(guò)自己的串行接口 serial 2/0接入 internet。其作用主要是在 internet和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務(wù)外，利用訪問(wèn)控制列表（ access control list，acl），廣域網(wǎng)接入路由器 i

50、nternetrouter 還可以用來(lái)完成以自身為中心的流量控制和過(guò)濾功能并實(shí)現(xiàn)一定的安全功能。5.2.1配置接入路由器 internetrouter 的基本參數(shù)對(duì)接入路由器internetrouter的基本參數(shù)的配置步驟與對(duì)訪問(wèn)層交換機(jī)accessswitch1 的基本參數(shù)的配置類(lèi)似。如圖523所示：圖523配置接入路由器 internetrouter 的基本參數(shù)5.2.2配置接入路由器 internetrouter 的各接口參數(shù)對(duì)接入路由器internetrouter的各接口參數(shù)的配置主要是對(duì)接口fastethernet 0/0 以及接口 serial 2/0 的 ip 地址、子網(wǎng)掩碼的配

51、置。如圖524所示：圖524配置接入路由器 internetrouter 的各接口參數(shù)5.2.3配置接入路由器 internetrouter 的路由功能在接入路由器 internetrouter 上需要定義兩個(gè)方向上的路由：到校園網(wǎng)內(nèi)部的靜態(tài)路由以及到 internet 上的缺省路由。到 internet 上的路由需要定義一條缺省路由，其中，下一跳指定從本路由器的接口 serial 2/0 送出。到校園網(wǎng)內(nèi)部的路由條目可以經(jīng)過(guò)路由匯總后形成兩條路由條目。如圖 525 所示：圖 525配置接入路由器 internetrouter 的路由功能5.2.4配置接入路由器 internetrouter

52、上的 nat由于目前 ip 地址資源非常稀缺，不可能給校園網(wǎng)內(nèi)部的所有工作站都分配一個(gè)公有 ip（ internet 可路由的）地址。為了解決所有工作站訪問(wèn) internet 的需要，必須使用 nat（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)。為了接入 internet，本校園網(wǎng)向當(dāng)?shù)豬sp申請(qǐng)了6個(gè) ip 地址。其中一個(gè)ip地址： 被分配給了 internet 接入路由器的串行接口，另外 5 個(gè) ip 地址：202. 110.5.2 202. 110.5.6 用作 nat。nat 的配置可以分為以下幾個(gè)步驟：1定義 nat 內(nèi)部、外部接口，如圖526所示：圖526定義 nat 內(nèi)部、外部接口

53、2定義允許進(jìn)行 nat 的工作站的內(nèi)部局部 ip 地址范圍，如圖527所示：圖527定義工作站的內(nèi)部局部 ip 地址范圍3. 為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換，其他工作站定義復(fù)用地址轉(zhuǎn)換。如圖528所示：圖528為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換及為工作站定義復(fù)用地址轉(zhuǎn)換5.2.5配置接入路由器 internetrouter 上的 acl路由器是外網(wǎng)進(jìn)入校園網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問(wèn)控制列表（access control list，acl）是保護(hù)內(nèi)網(wǎng)安全的有效手段。一個(gè)設(shè)計(jì)良好的訪問(wèn)控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、

54、硬件防火墻產(chǎn)品的功能。由于路由器介于校園內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時(shí)的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻軟件后，仍然有必要對(duì)路由器的訪問(wèn)控制列表進(jìn)行縝密的設(shè)計(jì)，來(lái)對(duì)內(nèi)網(wǎng)包括防火墻本身實(shí)施保護(hù)。在本設(shè)計(jì)中，針對(duì)服務(wù)器以及內(nèi)網(wǎng)工作站的安全做了如下acl 的配置方案。1 屏蔽簡(jiǎn)單網(wǎng)管協(xié)議，即 snmp。利用snmp協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類(lèi)型： snmp 和 snmptrap，因此需屏蔽snmp。如圖529所示： 圖529屏蔽簡(jiǎn)單網(wǎng)管協(xié)議2 對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議，即telnet首先，telnet 可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和服務(wù)器，并可以使用相關(guān)命令完全操縱它們；其次，telnet 是一種不安全的協(xié)議類(lèi)型。用戶在使用 telnet登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時(shí)所使用的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?，很容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。這是極其危險(xiǎn)的，因此必須加以屏蔽。如圖530所示:圖530 對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議 telnet3 對(duì)外屏蔽其它不安全的協(xié)議或服務(wù)這樣的協(xié)議主要有 sunos 的文件共享協(xié)議端口 2049，遠(yuǎn)程執(zhí)行、遠(yuǎn)程登錄和遠(yuǎn)程命令端口512、 513、 514，遠(yuǎn)程過(guò)程調(diào)用端口 111。如圖531所示：圖531對(duì)外屏蔽其它不安全的協(xié)議或服務(wù)4 針對(duì) dos 攻擊的設(shè)計(jì)dos 攻擊（denial of servic