校園網(wǎng)絡(luò)系統(tǒng)的設(shè)計與實現(xiàn)畢業(yè)論文

1、校園網(wǎng)絡(luò)的設(shè)計與實現(xiàn)摘 要隨著互聯(lián)網(wǎng)技術(shù)的蓬勃開展，設(shè)計一個切實可行并具有很好的平安性的校園網(wǎng)絡(luò)是一件富有挑戰(zhàn)性的工作。本文通過分析網(wǎng)絡(luò)技術(shù)特點和目前校園網(wǎng)的普遍需求及實際應(yīng)用，講解了校園網(wǎng)絡(luò)的根本知識，包括路由器，三層交換機，無線AP，效勞器等網(wǎng)絡(luò)設(shè)備，VLAN，和IP地址，同時對主要設(shè)備進行了選型。最后，對整個設(shè)計進行總結(jié)，分析校園網(wǎng)絡(luò)中存在的問題和需要繼續(xù)完善的地方。關(guān)鍵字：交換機；路由器；VLANABSTRACTWith the flourishing development of Internet technology, it is a very challenging job to

2、 design a feasible network of campus with very good security. This text passes and analyses network technology characteristic and the general demand for campus network at present and practical application, it has explained the basic knowledge of the campus network，including the router ，third layer o

3、f network switch , wireless AP, computer Server network equipment，VLAN， and IP addres，having carried on the selecting type to the capital equipment at the same time。I summarize the entire design and analyze the problem existing in the campus network and the Places that need to be improved.Key words:

4、 including the router；third layer of network switch；VLAN目 錄 TOC o 1-3 h z u HYPERLINK l _Toc324965417 摘 要 PAGEREF _Toc324965417 h 1 HYPERLINK l _Toc324965419 目 錄 PAGEREF _Toc324965419 h 3 HYPERLINK l _Toc324965420 第一章 前言 PAGEREF _Toc324965420 h 5 HYPERLINK l _Toc324965421 1. 工程相關(guān)背景 PAGEREF _Toc32496

5、5421 h 5 HYPERLINK l _Toc324965422 2. 國內(nèi)外開展狀況 PAGEREF _Toc324965422 h 5 HYPERLINK l _Toc324965423 3. 開發(fā)目的意義 PAGEREF _Toc324965423 h 6 HYPERLINK l _Toc324965424 第二章 校園網(wǎng)絡(luò)的需求分析 PAGEREF _Toc324965424 h 7 HYPERLINK l _Toc324965425 1. 應(yīng)用背景需求分析 PAGEREF _Toc324965425 h 7 HYPERLINK l _Toc324965426 2. 業(yè)務(wù)需求分析

6、PAGEREF _Toc324965426 h 7 HYPERLINK l _Toc324965427 3. 管理需求分析 PAGEREF _Toc324965427 h 7 HYPERLINK l _Toc324965428 4. 網(wǎng)絡(luò)平安需求分析 PAGEREF _Toc324965428 h 8 HYPERLINK l _Toc324965429 第三章 校園網(wǎng)絡(luò)系統(tǒng)的概要設(shè)計 PAGEREF _Toc324965429 h 9 HYPERLINK l _Toc324965430 1. 系統(tǒng)組成與拓撲結(jié)構(gòu) PAGEREF _Toc324965430 h 9 HYPERLINK l _To

7、c324965431 2. VLAN及IP地址規(guī)劃 PAGEREF _Toc324965431 h 10 HYPERLINK l _Toc324965432 第四章 校園網(wǎng)絡(luò)系統(tǒng)的詳細設(shè)計及實現(xiàn) PAGEREF _Toc324965432 h 12 HYPERLINK l _Toc324965433 1. 交換模塊設(shè)計 PAGEREF _Toc324965433 h 12 HYPERLINK l _Toc324965434 1.1 訪問層交換效勞的實現(xiàn)配置訪問層交換機 PAGEREF _Toc324965434 h 12 HYPERLINK l _Toc324965435 1.1.1 配置訪問

8、層交換機AccessSwitch1的根本參數(shù) PAGEREF _Toc324965435 h 12 HYPERLINK l _Toc324965436 1.1.2 配置訪問層交換機AccessSwitch1的管理IP、默認網(wǎng)關(guān) PAGEREF _Toc324965436 h 13 HYPERLINK l _Toc324965437 1.1.3 配置訪問層交換機AccessSwitch1的VLAN及VTP PAGEREF _Toc324965437 h 14 HYPERLINK l _Toc324965438 1.1.5 配置訪問層交換機AccessSwitch1的訪問端口 PAGEREF _T

9、oc324965438 h 15 HYPERLINK l _Toc324965439 1.1.6 配置訪問層交換機AccessSwitch1的主干道端口 PAGEREF _Toc324965439 h 16 HYPERLINK l _Toc324965440 1.1.7 配置訪問層交換機AccessSwitch2 PAGEREF _Toc324965440 h 16 HYPERLINK l _Toc324965441 2. 廣域網(wǎng)接入模塊設(shè)計 PAGEREF _Toc324965441 h 16 HYPERLINK l _Toc324965442 2.1 配置接入路由器 InternetRou

10、ter 的根本參數(shù) PAGEREF _Toc324965442 h 16 HYPERLINK l _Toc324965443 2.2 配置接入路由器 InternetRouter 的各接口參數(shù) PAGEREF _Toc324965443 h 17 HYPERLINK l _Toc324965444 2.3 配置接入路由器 InternetRouter 的路由功能 PAGEREF _Toc324965444 h 17 HYPERLINK l _Toc324965445 2.4 配置接入路由器 InternetRouter 上的 NAT PAGEREF _Toc324965445 h 18 HYP

11、ERLINK l _Toc324965446 2.5 配置接入路由器 InternetRouter 上的 ACL PAGEREF _Toc324965446 h 18 HYPERLINK l _Toc324965447 3. 遠程訪問模塊設(shè)計 PAGEREF _Toc324965447 h 19 HYPERLINK l _Toc324965448 配置物理線路的根本參數(shù) PAGEREF _Toc324965448 h 19 HYPERLINK l _Toc324965449 3.2 配置接口根本參數(shù)并指定 IP 地址池 PAGEREF _Toc324965449 h 19 HYPERLINK

12、l _Toc324965450 3.3 配置身份認證 PAGEREF _Toc324965450 h 20 HYPERLINK l _Toc324965451 4. 效勞器模塊設(shè)計 PAGEREF _Toc324965451 h 20 HYPERLINK l _Toc324965452 第五章 校園網(wǎng)絡(luò)系統(tǒng)的測試 PAGEREF _Toc324965452 h 22 HYPERLINK l _Toc324965453 結(jié) 論 PAGEREF _Toc324965453 h 23 HYPERLINK l _Toc324965454 參考文獻 PAGEREF _Toc324965454 h 24

13、HYPERLINK l _Toc324965455 致 謝 PAGEREF _Toc324965455 h 25第一章 前言工程相關(guān)背景信息時代的開展，影響著世界的每一個角落。每個人的生活和工作幾乎都與計算機密切相關(guān)。在速度越來越快的計算機硬件和日益更新的軟件背后，網(wǎng)絡(luò)作為中樞神經(jīng)把我們聯(lián)系在一起。也正是因為網(wǎng)絡(luò)的出現(xiàn)與開展，使Internet為主要標志的網(wǎng)絡(luò)技術(shù)構(gòu)成了我們現(xiàn)代文化的重要組成局部，聯(lián)系上億人的Internet將我們帶入了一個新的網(wǎng)絡(luò)時代。在現(xiàn)今的網(wǎng)絡(luò)建設(shè)中，企業(yè)網(wǎng)的建設(shè)是非常重要的，企業(yè)網(wǎng)內(nèi)部各種不同業(yè)務(wù)的開展是企業(yè)網(wǎng)開展迅速的最主要原因。從早期的企業(yè)網(wǎng)主要是簡單的數(shù)據(jù)共享，簡

14、單數(shù)據(jù)庫的共享到現(xiàn)在內(nèi)部全方位的數(shù)據(jù)共享，從過去單一的企業(yè)到現(xiàn)在多個分支公司的全部互連，因而對網(wǎng)絡(luò)的覆蓋面要求越來越廣。這一要求最早還只局限于各分支企業(yè)內(nèi)部，現(xiàn)在那么已是整個企業(yè)、整個行業(yè)，甚至整個Internet的共同要求。國內(nèi)外開展狀況早期校園網(wǎng)絡(luò)主要是共用內(nèi)部教育系統(tǒng)主機資源，共享簡單數(shù)據(jù)庫，多以二層交換為主，很少有三層應(yīng)用，存在訪問速度慢、平安、可管理性較差等方面的問題。現(xiàn)在學(xué)校校園網(wǎng)建設(shè)要實現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享，應(yīng)用三層交換，提供全面的QoS保障效勞，使校園網(wǎng)實現(xiàn)平安可靠的高速訪問，從而到達教育管理、多媒體教學(xué)、圖書館管理自動化的目的。而且還要通過Internet實現(xiàn)遠程教學(xué)，提供

15、可增值可管理的業(yè)務(wù)，必須具備高性能、高平安性、高可靠性，可管理、可增值特性以及開放性、兼容性、可擴展性。本著技術(shù)先進、投資合理、充分利用現(xiàn)有教學(xué)設(shè)備，在技術(shù)上和設(shè)備上適當超前的原那么，建立標準化、技術(shù)先進、擴展性能良好、性能價格比高的校園網(wǎng)絡(luò)信息系統(tǒng)。建成以先進的網(wǎng)絡(luò)技術(shù)、計算機技術(shù)和多媒體技術(shù)為主要手段的多層開放式、全方位信息通訊與信息管理系統(tǒng)。要在全院教學(xué)和行政管理兩方面實現(xiàn)信息化，積極開發(fā)，廣泛運用現(xiàn)代教育技術(shù)和信息資源，全面提高學(xué)院教師學(xué)生運用信息技術(shù)進行學(xué)習(xí)和工作的能力，全面推進信息技術(shù)與學(xué)科課程的整合、創(chuàng)造適應(yīng)新時代要求的現(xiàn)代教學(xué)模式和管理模式，提高教育效益與質(zhì)量，形成具有現(xiàn)代教育

16、信息化的新特色。開發(fā)目的意義校園網(wǎng)是各種類型網(wǎng)絡(luò)中的一大分支，有著非常廣泛的應(yīng)用。作為新技術(shù)的發(fā)祥地，學(xué)校、尤其是高等學(xué)校，和網(wǎng)絡(luò)的關(guān)系十分密切，網(wǎng)絡(luò)最初是在校園里進行實驗并獲得成功的，許多網(wǎng)絡(luò)新技術(shù)也是首先在校園網(wǎng)中獲得成功，進而才推向社會的。本課題的理論意義和實踐意義：1校園網(wǎng)的建設(shè)和開展是推進素質(zhì)教育的需要互聯(lián)網(wǎng)已成為學(xué)校培養(yǎng)學(xué)生道德品質(zhì)、創(chuàng)新能力等方面的新環(huán)境，成為培養(yǎng)高素質(zhì)人才的嶄新的平臺，是學(xué)校推進素質(zhì)教育的需要。2校園網(wǎng)的建設(shè)和開展是學(xué)校教育改革的戰(zhàn)略制高點創(chuàng)立豐富多彩的校園網(wǎng)絡(luò)文化對于轉(zhuǎn)變陳舊的教育思想和觀念，促進教學(xué)內(nèi)容、教學(xué)方法、教學(xué)結(jié)構(gòu)和教學(xué)模式的改革，對于深化根底教育改

17、革，提高教育質(zhì)量，培養(yǎng)高素質(zhì)的創(chuàng)新人才具有深遠意義。3校園網(wǎng)的建設(shè)和開展是學(xué)校教育現(xiàn)代化的重點標志運用現(xiàn)代教育技術(shù)建設(shè)和開展校園網(wǎng)，營造清新的校園網(wǎng)絡(luò)文化氣氛，就是從根本上落實教育的戰(zhàn)略地位，解放教師的生產(chǎn)力，推動和開展教師、學(xué)生的創(chuàng)造力的一種創(chuàng)新優(yōu)勢的重要標志。校園網(wǎng)絡(luò)的需求分析應(yīng)用背景需求分析為了提高學(xué)校的管理效益和教學(xué)質(zhì)量，開展學(xué)校現(xiàn)代化教育建設(shè)，建設(shè)具有規(guī)模的校園網(wǎng)絡(luò)，Intranet技術(shù)的高速多媒體校園網(wǎng)是必要的。整個高速多媒體校園網(wǎng)建設(shè)原那么是“經(jīng)濟高效、領(lǐng)先實用，既要領(lǐng)先一步，具有開展余地，又要比擬實用。 校園網(wǎng)是集計算機技術(shù)、網(wǎng)絡(luò)技術(shù)、多媒體技術(shù)于一體的系統(tǒng)，能夠最大限度地調(diào)動

18、學(xué)生對教學(xué)內(nèi)容的積極性。業(yè)務(wù)需求分析本校園網(wǎng)為中小型規(guī)模的組網(wǎng)，節(jié)點數(shù)500個，但對通信量的要求較高，因此要求“千兆主干中跑，百兆到桌面，并要求支持多媒體的應(yīng)用。本校園網(wǎng)需要實現(xiàn)的業(yè)務(wù)有：Web效勞：所有合法用戶可以通過Web瀏覽的方式獲得校園網(wǎng)絡(luò)中的信息，學(xué)生可以通過Web瀏覽的方式在線學(xué)習(xí)；FTP效勞：教師可通過FTP效勞器下載或上傳課件資料；DNS、目錄效勞器：提供域名解析以及目錄效勞；郵件效勞器：提供郵件收發(fā)效勞；數(shù)據(jù)庫效勞器：提供各種數(shù)據(jù)庫效勞；打印效勞器：提供打印機共享效勞；網(wǎng)管效勞器：對校園網(wǎng)網(wǎng)絡(luò)設(shè)備進行綜合管理。管理需求分析隨著網(wǎng)絡(luò)復(fù)雜度的增加，給網(wǎng)絡(luò)管理帶來成級數(shù)增加的工作量

19、。網(wǎng)絡(luò)管理要求解決的問題包括： 虛擬局域網(wǎng)管理、分配。目前的虛擬局域網(wǎng)主要基于交換機端口劃分，如果一個部門擴展新的入網(wǎng)點，擴展將改變交換機端口設(shè)置。管理軟件需提供遠地虛擬網(wǎng)的修改功能。對所有網(wǎng)絡(luò)設(shè)備端口的監(jiān)視和管理。對所有網(wǎng)絡(luò)設(shè)備的遠程配置和控制，包括網(wǎng)絡(luò)設(shè)備端口的開啟和關(guān)閉，整個網(wǎng)絡(luò)的故障檢測，故障自動報警功能，整個網(wǎng)絡(luò)性能的統(tǒng)計和分析報告，甚至收費。按照這些網(wǎng)絡(luò)管理的需求，應(yīng)采用基于GUI界面的網(wǎng)絡(luò)管理軟件。網(wǎng)絡(luò)平安需求分析校園網(wǎng)絡(luò)平安主要考慮以下幾方面要求：各個部門、系所訪問網(wǎng)絡(luò)的控制，各單位之間在未經(jīng)授權(quán)的情況下，不能相互訪問。網(wǎng)絡(luò)需要建立防火墻，禁止外部用戶未經(jīng)許可訪問內(nèi)部的數(shù)據(jù)，或

20、者內(nèi)部用戶未經(jīng)許可訪問外部數(shù)據(jù)。 對平安問題的考慮主要是兩個方面：校園網(wǎng)應(yīng)該是一個開放的系統(tǒng)，它不需要與政府或商業(yè)公司那樣的網(wǎng)絡(luò)平安保密性；另外，校園網(wǎng)應(yīng)該是平安的，它不應(yīng)該受到惡意的攻擊而無法運行，一些科研成果也不應(yīng)該對任何人都開放。主要利用虛擬網(wǎng)技術(shù)和防火墻技術(shù)來合理解決平安與開放的問題。第三章 校園網(wǎng)絡(luò)系統(tǒng)的概要設(shè)計 建設(shè)一個高效平安的局域網(wǎng)并接入互聯(lián)網(wǎng)，校園網(wǎng)對外提供Web、FTP等數(shù)據(jù)效勞，每臺電腦都能夠訪問互聯(lián)網(wǎng)。采用cisco的網(wǎng)絡(luò)設(shè)備，把校園網(wǎng)內(nèi)每個部門都設(shè)計成一個子網(wǎng)，規(guī)劃每個部門的IP地址，設(shè)計網(wǎng)絡(luò)拓撲圖，配置網(wǎng)絡(luò)的交換模塊、廣域網(wǎng)接入模塊、效勞器模塊和遠程訪問模塊。實驗方

21、案:目前一般將校園網(wǎng)劃分為核心層、分布層和訪問層，對于規(guī)模不大的校園網(wǎng)，核心層與會聚層可以合在一起，以簡化網(wǎng)絡(luò)體系。但是，校園網(wǎng)的建設(shè)是一個漸進過程，網(wǎng)絡(luò)的不同層次可能由不同的投資者分別建設(shè)，同一個層次也可能由多個投資者分別建設(shè)。本校園網(wǎng)采用這種通用的分層方法，將校園網(wǎng)絡(luò)分成三個層次。網(wǎng)絡(luò)中心為核心層：核心層的功能主要實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，骨干層設(shè)計任務(wù)的重點是冗余能力、可靠性和高速的傳輸。分布層負責(zé)網(wǎng)段的邏輯分割，聚合路由路徑，收斂數(shù)據(jù)流量。訪問層是用戶進入網(wǎng)絡(luò)的入口，將流量饋入網(wǎng)絡(luò)。系統(tǒng)組成與拓撲結(jié)構(gòu)為了實現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即Cisco公司的網(wǎng)

22、絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的主要好處在于可以實現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補充。校園網(wǎng)絡(luò)拓撲圖如圖2-1所示圖2-1 校園網(wǎng)絡(luò)拓撲圖在上面的拓撲圖中，學(xué)校的6個主要集中接入點計算機系、管理系、建筑系、財務(wù)處、教務(wù)處、學(xué)生宿舍通過冗余的光纖鏈路上連到信息中心的核心層交換機上。核心層交換機通過Cisco3640路由器接入因特網(wǎng)。此外，教工宿舍及移動辦公用戶通過撥號方式接入路由器3640來訪問校園網(wǎng)內(nèi)網(wǎng)及因特網(wǎng)。圖中，以計算機系為例展示了每個建筑物內(nèi)部的網(wǎng)絡(luò)設(shè)備拓撲結(jié)構(gòu)，并給出了信息中心內(nèi)部的網(wǎng)絡(luò)設(shè)備拓撲結(jié)構(gòu)。本校園網(wǎng)設(shè)計方案主要由以下四大局部構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠程訪問模塊

23、、效勞器模塊。校園網(wǎng)絡(luò)系統(tǒng)整體的拓撲結(jié)構(gòu)圖如圖2-2所示。圖2-2 校園網(wǎng)絡(luò)系統(tǒng)整體拓撲結(jié)構(gòu)圖VLAN及IP地址規(guī)劃在一個大、中型網(wǎng)絡(luò)里，VLAN的劃分是必不可少的步驟之一。在本校園網(wǎng)設(shè)計實例中，整個校園網(wǎng)中VLAN及IP編址方案如表2-1所示。除了表中的內(nèi)容外，撥號用戶從/27中動態(tài)取得IP地址。為了簡化起見，這里我們只規(guī)劃了8個VLAN，同時為每個VLAN定義了一個由拼音縮寫組成的VLAN名稱。表2-1 vlan編址方案Vlan編號Vlan名稱IP網(wǎng)段默認網(wǎng)關(guān)備注Vlan1-管理Vlan10JWC教務(wù)處Vlan20XSSS學(xué)生宿舍Vlan30CWC財務(wù)處Vlan40JGSS.254教工宿舍

24、Vlan50JZX建筑系Vlan60GLX管理系Vlan70JSJX計算機系Vlan100FWQ效勞器校園網(wǎng)絡(luò)系統(tǒng)的詳細設(shè)計及實現(xiàn)交換模塊設(shè)計校網(wǎng)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次：訪問層、分布層、核心層。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層?，F(xiàn)代交換技術(shù)還實現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了校園網(wǎng)數(shù)據(jù)交換的效率，更大大增強了校園網(wǎng)數(shù)據(jù)交換效勞質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。本網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)Virtual LAN，VLAN的概念。VLAN將播送域限制在單個VLAN內(nèi)部，減小了各VLAN間主機的播送通信對其他VLAN 的影響。在 VLAN 間需要通信的時

25、候，可以利用 VLAN 間路由技術(shù)來實現(xiàn)。當網(wǎng)絡(luò)管理人員需要管理的交換機數(shù)量眾多時，可以使用 VLAN 中繼協(xié)議 Vlan Trunking Protocol， VTP簡化管理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負擔(dān)和工作強度。當校園網(wǎng)絡(luò)的交換機數(shù)量增多、交換機間鏈路增加時，交換網(wǎng)絡(luò)的復(fù)雜性可能會造成交換環(huán)路問題，這需要通過在各交換機上運行生成樹協(xié)議SpanningTree Protocol， STP來解決。1.1 訪問層交換效勞的實現(xiàn)配置訪問層交換機訪問層為所有的終端用戶提供一個接入點。

26、這里的訪問層交換機采用的CiscoCatalyst295024口交換機WS-C2950-24。交換機擁有24個10/100Mbps自適應(yīng)快速以太網(wǎng)端口，運行的是Cisco的IOS操作系統(tǒng)。 配置訪問層交換機AccessSwitch1的根本參數(shù)設(shè)置交換機名稱：設(shè)置交換機名稱，也就是出現(xiàn)在交換機CLI提示符中的名字。一般我們會以地理位置或行政劃分來為交換機命名。當我們需要Telnet登錄到假設(shè)干臺交換機以維護一個大型網(wǎng)絡(luò)時，通過交換機名稱提示符提示自己當前配置交換機的位置是很有必要的。語句如下：Switchconfig#hostname accessswitch1 Accessswitch1con

27、fig#設(shè)置交換機的加密使能口令：當用戶在普通用戶模式而想要進入特權(quán)用戶模式時，需要提供此口令。此口令會以MD5的形式加密，因此，當用戶查看配置文件時，無法看到明文形式的口令。將交換機的加密使能口令設(shè)置為secretpasswd。如下：Accessswitch1config#enable secret secrepaswd設(shè)置登錄虛擬終端線時的口令：對于一個已經(jīng)運行著的交換網(wǎng)絡(luò)來說，交換機的帶內(nèi)遠程管理為網(wǎng)絡(luò)管理人員提供了很多的方便。但是，處于平安考慮，在能夠遠程管理交換機之前網(wǎng)絡(luò)管理人員必須設(shè)置遠程登錄交換機的口令。:設(shè)置登錄交換機時需要驗證用戶身份，同時設(shè)置口令為youguess如下：設(shè)置

28、終端線超時時間：為了平安考慮，可以設(shè)置終端線超時時間。在設(shè)置的時間內(nèi)，如果沒有檢測到鍵盤輸入，IOS將斷開用戶和交換機之間的連接。設(shè)置登錄交換機的控制臺終端線路及虛擬終端線的超時時間為5分30秒鐘如下：設(shè)置禁用IP地址解析特性：在交換機默認配置的情況下，當我們輸入一條錯誤的交換機命令時，交換時機嘗試將其播送給網(wǎng)絡(luò)上的DNS效勞器并將其解析成對應(yīng)的IP地址。利用命令noipdomain-lookup可以禁用這個特性。設(shè)置禁用IP地址解析特性如下：設(shè)置啟用消息同步特性：有時，用戶輸入的交換機配置命令會被交換機產(chǎn)生的消息打亂。可以使用命令loggingsynchronous設(shè)置交換機在下一行CLI提

29、示符后復(fù)制用戶的輸入。設(shè)置啟用消息同步特性如下： 配置訪問層交換機AccessSwitch1的管理IP、默認網(wǎng)關(guān)訪問層交換機是OSI參考模型的第2層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備。因此，給訪問層交換機的每個端口設(shè)置IP地址是沒意義的。但是，為了使網(wǎng)絡(luò)管理人員可以從遠程登錄到訪問層交換機上進行管理，必要給訪問層交換機設(shè)置一個管理用IP地址。這種情況下，實際上是將交換機看成和PC機一樣的主機。給交換機設(shè)置管理用IP地址只能在VLAN1，即本征VLAN中進行。按照表2-1，管理交換機設(shè)置管理用IP地址只能在VLAN1，即本征VLAN中進行。按照表2-1，管理VLAN所在的子網(wǎng)是：/24，這里將訪問層交換機

30、AccessSwitch1的管理IP地址設(shè)為：/24如下所示，顯示了為訪問層交換機AccessSwitch1設(shè)置管理IP并激活本征VLAN。為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機，還應(yīng)設(shè)置默認網(wǎng)關(guān)地址54。 配置訪問層交換機AccessSwitch1的VLAN及VTP從提高效率的角度出發(fā)，在本校園網(wǎng)實現(xiàn)實例中使用了VTP技術(shù)。同時，將分布層交換機DistributeSwitch1設(shè)置成為VTP效勞器，其他交換機設(shè)置成為VTP客戶機。這里訪問層交換機AccessSwitch1將通過VTP獲得在分布層交換機DistributeSwitch1中定義的所有VLAN的信息。設(shè)置訪問層交換機Acc

31、essSwitch1成為VTP客戶機如下： 配置訪問層交換機AccessSwitch1端口根本參數(shù)端口雙工配置：可以設(shè)定某端口根據(jù)對端設(shè)備雙工類型自動調(diào)整本端口雙工模式，也可以強制將端口雙工模式設(shè)為半雙工或全雙工模式。在了解對端設(shè)備類型的情況下，建議手動設(shè)置端口雙工模式。設(shè)置訪問層交換機AccessSwitch1的所有端口均工作在全雙工模式如下：端口速度：可以設(shè)定某端口根據(jù)對端設(shè)備速度自動調(diào)整本端口速度，也可以強制將端口速度設(shè)為10Mpbs或100Mbps。在了解對端設(shè)備速度的情況下，建議手動設(shè)置端口速度。設(shè)置訪問層交換機AccessSwitch1的所有端口的速度均為100Mbps如下： 配置

32、訪問層交換機AccessSwitch1的訪問端口訪問層交換機AccessSwitch1為終端用戶提供接入效勞。在圖中，訪問層交換機AccessSwitch1為VLAN10、VLAN20提供接入效勞。設(shè)置訪問層交換機AccessSwitch1的端口110：設(shè)置訪問層交換機AccessSwitch1的端口1端口10工作在訪問接入模式。同時，設(shè)置端口1端口10為VLAN10的成員。如下：設(shè)置訪問層交換機AccessSwitch1的端口1120：設(shè)置訪問層交換機AccessSwitch1的端口11端口20工作在訪問接入模式。同時，設(shè)置端口1端口10為VLAN20的成員。如下：3設(shè)置快速端口：默認情況下

33、，交換機在剛加電啟動時，每個端口都要經(jīng)歷生成樹的四個階段：阻塞、偵聽、學(xué)習(xí)、轉(zhuǎn)發(fā)。在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前，某個端口可能最多要等50秒鐘的時間20秒的阻塞時間15秒的偵聽延遲時間15秒的學(xué)習(xí)延遲時間。對于直接接入終端工作站的端口來說，用于阻塞和偵聽的時間是不必要的。為了加速交換機端口狀態(tài)轉(zhuǎn)化時間，可以設(shè)置將某端口設(shè)置成為快速端口Portfast。設(shè)置為快速端口的端口當交換機啟動或端口有工作站接入時，將會直接進入轉(zhuǎn)發(fā)狀態(tài)，而不會經(jīng)歷阻塞、偵聽、學(xué)習(xí)狀態(tài)假設(shè)橋接表已經(jīng)建立。設(shè)置訪問層交換機AccessSwitch1的端口1端口20為快速端口。如下： 配置訪問層交換機AccessSwitch1的主

34、干道端口訪問層交換機AccessSwitch1通過端口FastEthernet0/23上連到分布層交換機DistributeSwitch1的端口FastEthernet0/23。同時，訪問層交換機AccessSwitch1還通過端口FastEthernet0/24上連到分布層交換機DistributeSwitch2的端口FastEthernet0/23。這兩條上連鏈路將成為主干道鏈路，在這兩條上連鏈路上將運輸多個VLAN的數(shù)據(jù)。設(shè)置訪問層交換機AccessSwitch1的端口FastEthernet0/23、FastEthernet0/24為主干道端口。如下： 配置訪問層交換機AccessSw

35、itch2訪問層交換機AccessSwitch2為VLAN30和VLAN40的用戶提供接入效勞。同時分別通過自己的FastEthernet0/23、FastEthernet0/24上連到分布層交換機DistributeSwitch1、DistributeSwitch2的端口FastEthernet0/24。對訪問層交換機AccessSwitch2的配置步驟、命令和對訪問層交換機AccessSwitch1的配置類似。這里，不再詳細分析，只給出最后的配置文件內(nèi)容只留下了必要的命令。需要指出的是，為了提供主干道的吞吐量，可以采用鏈路捆綁快速以太網(wǎng)信道技術(shù)增加可用帶寬。例如，可以將訪問層交換機Acce

36、ssSwitch1的端口FastEthernet0/21和FastEthernet0/22捆綁在一起實現(xiàn)200Mbps的快速以太網(wǎng)信道，然后再上連到分布層交換機DistributeSwitch1。同樣，也可以將訪問層交換機AccessSwitch1的端口FastEthernet0/23和FastEthernet0/24捆綁在一起實現(xiàn)200Mbps的快速以太網(wǎng)信道，然后再上連到分布層交換機DistributeSwitch2。廣域網(wǎng)接入模塊設(shè)計廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器InternetRouter 來完成的。采用的是Cisco 2851路由器。它通過自己的串行接口 serial 2/

37、0接入 Internet。其作用主要是在 Internet和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務(wù)外，利用訪問控制列表 Access Control List，ACL，廣域網(wǎng)接入路由器 InternetRouter 還可以用來完成以自身為中心的流量控制和過濾功能并實現(xiàn)一定的平安功能。 配置接入路由器 InternetRouter 的根本參數(shù)對接入路由器InternetRouter的根本參數(shù)的配置步驟與對訪問層交換機AccessSwitch1 的根本參數(shù)的配置類似。如圖4-1圖4-1配置接入路由器 InternetRouter 的根本參數(shù)2.2 配置接入路由器 InternetRoute

38、r 的各接口參數(shù)對接入路由器InternetRouter的各接口參數(shù)的配置主要是對接口FastEthernet 0/0 以及接口 Serial 2/0 的 IP 地址、子網(wǎng)掩碼的配置。如圖4-2所示：圖4-2配置接入路由器 InternetRouter 的各接口參數(shù)2.3 配置接入路由器 InternetRouter 的路由功能在接入路由器 InternetRouter 上需要定義兩個方向上的路由：到校園網(wǎng)內(nèi)部的靜態(tài)路由以及到 Internet 上的缺省路由。到 Internet 上的路由需要定義一條缺省路由，其中，下一跳指定從本路由器的接口 serial 2/0 送出。到校園網(wǎng)內(nèi)部的路由條目

39、可以經(jīng)過路由匯總后形成兩條路由條目。如圖4-3所示：圖4-3配置接入路由器 InternetRouter 的路由功能2.4 配置接入路由器 InternetRouter 上的 NAT由于目前 IP 地址資源非常稀缺，不可能給校園網(wǎng)內(nèi)部的所有工作站都分配一個公有 IP Internet 可路由的地址。為了解決所有工作站訪問 Internet 的需要，必須使用 NAT網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。為了接入 Internet，本校園網(wǎng)向當?shù)豂SP申請了6個 IP 地址。其中一個IP地址： 被分配給了 Internet 接入路由器的串行接口，另外 5 個 IP 地址：202. 110.5.2 202. 110.5

40、.6 用作 NAT。NAT 的配置可以分為以下幾個步驟：1定義 NAT 內(nèi)部、外部接口，如圖4-4所示：圖 4-4定義 NAT 內(nèi)部、外部接口2定義允許進行 NAT 的工作站的內(nèi)部局部 IP 地址范圍，如圖4-5所示：圖 4-5定義工作站的內(nèi)部局部 IP 地址范圍3為效勞器定義靜態(tài)地址轉(zhuǎn)換，其他工作站定義復(fù)用地址轉(zhuǎn)換。如圖4-6所示：圖4-6為效勞器定義靜態(tài)地址轉(zhuǎn)換及為工作站定義復(fù)用地址轉(zhuǎn)換 配置接入路由器 InternetRouter 上的 ACL路由器是外網(wǎng)進入校園網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問控制列表Access Control List，ACL是保護內(nèi)網(wǎng)平安的

41、有效手段。一個設(shè)計良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于校園內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進行通信時的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻軟件后，仍然有必要對路由器的訪問控制列表進行縝密的設(shè)計，來對內(nèi)網(wǎng)包括防火墻本身實施保護。遠程訪問模塊設(shè)計遠程訪問也是校園網(wǎng)絡(luò)必須提供的效勞之一。它可以為家庭辦公用戶和出差在外的員工提供遠程、移動接入效勞。遠程訪問有三種可選的接入方式：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的效勞質(zhì)量不同，花費也不相同。在本設(shè)計中，考慮到面對的用戶群規(guī)模

42、較小、業(yè)務(wù)量較小，所以采用了異步撥號連接作為遠程訪問的接入方式。異步撥號連接屬于電路交換類型的廣域網(wǎng)連接，它是在傳統(tǒng)公共交換 網(wǎng)Public Switched Telephone Network，PSTN上提供效勞的。傳統(tǒng) PSTN 提供的效勞也被稱為簡易老式 業(yè)務(wù) Plan Old Telephone System，POTS。因為目前存在著大量安裝好的 線，所以這樣的環(huán)境是最容易滿足的。因此，異步撥號連接也就成為最方便和普遍的遠程訪問類型。廣域網(wǎng)連接可以采用不同類型的封裝協(xié)議，如 HDLC、PPP 等。其中，PPP除了提供身份認證功能外，還可以提供其他很多可選項配置，包括鏈路壓縮、多鏈路捆綁

43、、回叫等，因此更具優(yōu)勢。本設(shè)計所采用封裝協(xié)議是 PPP。 配置物理線路的根本參數(shù)對物理線路的配置包括配置線路速度DTE、 DCE之間的速率、停止位位數(shù)、流控方式、允許呼入連接的協(xié)議類型、允許流量的方向等。如圖4-7所示：圖4-7配置物理線路的根本參數(shù) 配置接口根本參數(shù)并指定 IP 地址池對接口根本參數(shù)的配置包括：接口封裝協(xié)議類型、接口異步模式、IP 地址、為遠程客戶分配IP 地址的方式等。這里，設(shè)置遠程客戶從IP地址池 huangrong 中獲得 IP 地址。并建立一個名為huangrong 的 IP 地址池。其 IP 地址范圍是： 6。如圖4-8所示：圖4-8配置接口根本參數(shù)并指定 IP 地

44、址池 配置身份認證PPP提供了兩種可選的身份認證方法：口令驗證協(xié)議PAP Password Authentication Protocol ， PAP 和質(zhì)詢握手協(xié)議 Challenge HandshakeAuthentication Protocol，CHAP。PAP是一個簡單的、實用的身份驗證協(xié)議。PAP認證進程只在雙方的通信鏈路建立初期進行。如果認證成功，在通信過程中不再進行認證。如果認證失敗，那么直接釋放鏈路。CHAP 認證比 PAP 認證更平安，因為 CHAP 不在線路上發(fā)送明文密碼，而是發(fā)送經(jīng)過摘要算法加工過的隨機序列，也被稱為“挑戰(zhàn)字符串。同時，身份認證可以隨時進行，包括在雙方正

45、常通信過程中。因此，非法用戶就算截獲并成功破解了一次密碼，此密碼也將在一段時間內(nèi)失效。CHAP對端系統(tǒng)要求很高，因為需要屢次進行身份質(zhì)詢、響應(yīng)。這需要消耗較多的 CPU 資源，因此只用在對平安要求很高的場合。PAP雖然有著用戶名和密碼是明文發(fā)送的弱點，但是認證只在鏈路建立初期進行，因此節(jié)省了珍貴的鏈路帶寬。本設(shè)計中將采用 PAP 身份認證方法。1建立本地口令數(shù)據(jù)庫，如圖4-9所示：圖4-9建立本地口令數(shù)據(jù)庫2設(shè)置進行 PAP 認證，如圖4-10所示：圖4-10設(shè)置進行 PAP 認證效勞器模塊設(shè)計效勞器模塊用來對校園網(wǎng)的接入用戶提供各種效勞。在本設(shè)計中，所有的效勞器被集中到VLAN 100 ，構(gòu)

46、成效勞器群并通過分布層交換機DistributeSwitch1 的端口F1 10 接入校園網(wǎng)。校園網(wǎng)網(wǎng)絡(luò)提供的常用效勞效勞器包括：WEB 效勞器，提供 WEB 網(wǎng)站效勞。DNS、目錄效勞器，提供域名解析以及目錄效勞。FTP文件效勞器，提供文件傳輸、共享效勞。郵件效勞器，提供郵件收發(fā)效勞。數(shù)據(jù)庫效勞器，提供各種數(shù)據(jù)庫效勞。打印效勞器，提供打印機共享效勞。網(wǎng)管效勞器，對校園網(wǎng)網(wǎng)絡(luò)設(shè)備進行綜合管理。表41給出了所有的效勞器名稱及IP地址、網(wǎng)關(guān)：表4-1 效勞器名稱及IP地址、網(wǎng)關(guān)效勞器編號效勞器名稱效勞器IP地址網(wǎng)關(guān)Server 1WEB 效勞器Server 2FTP文件效勞器Server 3DNS、目錄效勞器Server 4郵件效勞器Server 5數(shù)據(jù)庫效勞器Server 6打印效勞器Server 7網(wǎng)管效勞器表42給出了所有的效勞器硬件平臺、操作系統(tǒng)以及效勞軟件的選型表：表4-2 效勞器硬件平臺、操作系統(tǒng)以及效勞軟件的選型表編號效勞器名稱硬件平臺操作系統(tǒng)效勞軟件Server 1WEB 效勞器HP LH3000Windows2000 ServerServer 2FTP文件效勞器