校園網(wǎng)規(guī)劃方案

校園網(wǎng)規(guī)劃方案校園網(wǎng)規(guī)劃方案25-/NUMPAGES37校園網(wǎng)規(guī)劃方案校園網(wǎng)規(guī)劃方案

目錄TOC\h\z\t"樣式1,1,樣式2,2,樣式3,3"HYPERLINK\l"_Toc250028962"第一章校園網(wǎng)概述 PAGEREF_Toc250028962\h-1-HYPERLINK\l"_Toc250028963"第二章校園網(wǎng)設(shè)備選型 PAGEREF_Toc250028963\h-2-HYPERLINK\l"_Toc250028964"2.1校園網(wǎng)設(shè)備選型對校園網(wǎng)建設(shè)的重要意義 PAGEREF_Toc250028964\h-2-HYPERLINK\l"_Toc250028965"2.2校園網(wǎng)設(shè)備的分類 PAGEREF_Toc250028965\h-2-HYPERLINK\l"_Toc250028966"2.3校園網(wǎng)設(shè)備選型的原則 PAGEREF_Toc250028966\h-2-HYPERLINK\l"_Toc250028967"2.4校園網(wǎng)交換機(jī)選擇 PAGEREF_Toc250028967\h-3-HYPERLINK\l"_Toc250028968"2.4.1交換機(jī)的分類標(biāo)準(zhǔn) PAGEREF_Toc250028968\h-3-HYPERLINK\l"_Toc250028969"2.4.2交換機(jī)的性能參數(shù) PAGEREF_Toc250028969\h-4-HYPERLINK\l"_Toc250028970"2.4.3交換機(jī)的網(wǎng)絡(luò)參數(shù) PAGEREF_Toc250028970\h-4-HYPERLINK\l"_Toc250028971"2.4.4交換機(jī)的接口 PAGEREF_Toc250028971\h-4-HYPERLINK\l"_Toc250028972"2.4.5其它參數(shù) PAGEREF_Toc250028972\h-5-HYPERLINK\l"_Toc250028973"2.5校園網(wǎng)路由器選擇 PAGEREF_Toc250028973\h-5-HYPERLINK\l"_Toc250028974"2.5.1路由器的分類標(biāo)準(zhǔn) PAGEREF_Toc250028974\h-5-HYPERLINK\l"_Toc250028975"2.5.2路由器的性能參數(shù) PAGEREF_Toc250028975\h-5-HYPERLINK\l"_Toc250028976"第三章校園網(wǎng)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì) PAGEREF_Toc250028976\h-7-HYPERLINK\l"_Toc250028977"3.1大學(xué)的背景 PAGEREF_Toc250028977\h-7-HYPERLINK\l"_Toc250028978"3.2校園網(wǎng)用提供功能 PAGEREF_Toc250028978\h-7-HYPERLINK\l"_Toc250028979"3.3校園網(wǎng)對主機(jī)系統(tǒng)的主要要求 PAGEREF_Toc250028979\h-7-HYPERLINK\l"_Toc250028980"3.4校園網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案應(yīng)滿足如下要求 PAGEREF_Toc250028980\h-7-HYPERLINK\l"_Toc250028981"3.5校園網(wǎng)對網(wǎng)絡(luò)設(shè)備的要求 PAGEREF_Toc250028981\h-8-HYPERLINK\l"_Toc250028982"3.6網(wǎng)絡(luò)設(shè)計(jì) PAGEREF_Toc250028982\h-8-HYPERLINK\l"_Toc250028983"3.6.1目前各主流網(wǎng)絡(luò)結(jié)構(gòu)概述 PAGEREF_Toc250028983\h-8-HYPERLINK\l"_Toc250028984"3.6.2千兆以太網(wǎng)技術(shù) PAGEREF_Toc250028984\h-8-HYPERLINK\l"_Toc250028985"3.7網(wǎng)絡(luò)總體規(guī)劃 PAGEREF_Toc250028985\h-9-HYPERLINK\l"_Toc250028986"3.8網(wǎng)絡(luò)總體設(shè)計(jì)方案 PAGEREF_Toc250028986\h-9-HYPERLINK\l"_Toc250028987"3.9網(wǎng)絡(luò)產(chǎn)品定型 PAGEREF_Toc250028987\h-10-HYPERLINK\l"_Toc250028988"3.9.1網(wǎng)絡(luò)設(shè)備中的產(chǎn)品定型 PAGEREF_Toc250028988\h-10-HYPERLINK\l"_Toc250028989"3.9.2校園網(wǎng)絡(luò)出口設(shè)備定型 PAGEREF_Toc250028989\h-11-HYPERLINK\l"_Toc250028990"第四章網(wǎng)絡(luò)技術(shù)介紹 PAGEREF_Toc250028990\h-12-HYPERLINK\l"_Toc250028991"4.1VLAN構(gòu)建 PAGEREF_Toc250028991\h-12-HYPERLINK\l"_Toc250028992"4.1.2VLAN的介紹 PAGEREF_Toc250028992\h-12-HYPERLINK\l"_Toc250028993"4.1.3VLAN的作用 PAGEREF_Toc250028993\h-12-HYPERLINK\l"_Toc250028994"4.1.4VLAN在交換機(jī)上的實(shí)現(xiàn)方法 PAGEREF_Toc250028994\h-12-HYPERLINK\l"_Toc250028995"4.2訪問控制列表（ACL） PAGEREF_Toc250028995\h-14-HYPERLINK\l"_Toc250028996"4.2.1訪問控制列表的定義 PAGEREF_Toc250028996\h-14-HYPERLINK\l"_Toc250028997"4.2.2訪問控制列表類型 PAGEREF_Toc250028997\h-15-HYPERLINK\l"_Toc250028998"4.3RIP（路由信息協(xié)議） PAGEREF_Toc250028998\h-15-HYPERLINK\l"_Toc250028999"4.3.1RIP的定義 PAGEREF_Toc250028999\h-15-HYPERLINK\l"_Toc250029000"4.3.2RIP的工作原理 PAGEREF_Toc250029000\h-15-HYPERLINK\l"_Toc250029001"4.3.3RIP的不足指出 PAGEREF_Toc250029001\h-16-HYPERLINK\l"_Toc250029002"4.4OSPF技術(shù) PAGEREF_Toc250029002\h-16-HYPERLINK\l"_Toc250029003"第五章網(wǎng)絡(luò)的配置 PAGEREF_Toc250029003\h-17-HYPERLINK\l"_Toc250029004"5.1網(wǎng)絡(luò)拓?fù)鋱D PAGEREF_Toc250029004\h-17-HYPERLINK\l"_Toc250029005"5.2為交換機(jī)設(shè)置密碼和主機(jī)名 PAGEREF_Toc250029005\h-18-HYPERLINK\l"_Toc250029006"5.3交換機(jī)的安全配置 PAGEREF_Toc250029006\h-18-HYPERLINK\l"_Toc250029007"5.4三層交換機(jī)下設(shè)置VLAN PAGEREF_Toc250029007\h-19-HYPERLINK\l"_Toc250029008"5.5ACL的實(shí)現(xiàn) PAGEREF_Toc250029008\h-20-HYPERLINK\l"_Toc250029009"5.6RIP的配置 PAGEREF_Toc250029009\h-21-HYPERLINK\l"_Toc250029010"5.7OSPF的配置 PAGEREF_Toc250029010\h-21-HYPERLINK\l"_Toc250029011"總結(jié) PAGEREF_Toc250029011\h-24-HYPERLINK\l"_Toc250029012"參考文獻(xiàn) PAGEREF_Toc250029012\h-25-HYPERLINK\l"_Toc250029013"致謝 PAGEREF_Toc250029013\h-26-

引言校園網(wǎng)是在學(xué)校范圍內(nèi)，在一定的教育思想和理論指導(dǎo)下，為學(xué)校教學(xué)、科研和管理等教育提供資源共享、信息交流和協(xié)同工作的計(jì)算機(jī)網(wǎng)絡(luò)。隨著經(jīng)濟(jì)的發(fā)展和國家科教興國戰(zhàn)略的實(shí)施，校園網(wǎng)絡(luò)建設(shè)已逐步成為學(xué)校的基礎(chǔ)建設(shè)項(xiàng)目，更成為衡量一個學(xué)校教育信息化、現(xiàn)代化的重要標(biāo)志。目前，大多數(shù)有條件的學(xué)校已完成了校園網(wǎng)硬件工程建設(shè)。然后，多年來都對校園網(wǎng)的認(rèn)識不夠全面，甚至存在很大的誤區(qū)。例如：認(rèn)為網(wǎng)絡(luò)建設(shè)越高檔越好，在建設(shè)中盲目追求高投入，對校園網(wǎng)絡(luò)建設(shè)的建設(shè)缺乏綜合規(guī)劃及開發(fā)應(yīng)用；認(rèn)為建好了校園網(wǎng)絡(luò)，連接了Internet，就等于實(shí)現(xiàn)了教學(xué)和辦公的自動化和信息化，而缺乏對校園網(wǎng)絡(luò)的綜合管理、技術(shù)人員和教師的應(yīng)用培訓(xùn)，缺乏對教學(xué)資源的開發(fā)與積累等等。所有這些，都極大地阻礙了校園網(wǎng)絡(luò)在學(xué)校管理、教育教學(xué)中所應(yīng)發(fā)揮的實(shí)際效益。近年來，校園網(wǎng)絡(luò)的建設(shè)在高等院校中掀起一股熱潮，許多學(xué)校都建起了自己的校園網(wǎng)，形成了一個覆蓋全國的計(jì)算機(jī)網(wǎng)并通過專線與Internet連通。這一方面加強(qiáng)了學(xué)校與國內(nèi)外的聯(lián)系，有利于及時了解國內(nèi)的信息，有助于提高學(xué)校的科研教學(xué)水平，另一方面，校園網(wǎng)的建立及以其為基礎(chǔ)的管理信息系統(tǒng)的開發(fā)，也有利于各學(xué)校管理水平的提高。建設(shè)校園網(wǎng)對每個學(xué)校來說都不是一件容易的事情，校園網(wǎng)不只是涉及技術(shù)方面，而是包括網(wǎng)絡(luò)設(shè)施、應(yīng)用平臺、信息資源、專業(yè)應(yīng)用、人員素質(zhì)等眾多成份的綜合化、信息化教學(xué)管理環(huán)境系統(tǒng)。應(yīng)此每個校園網(wǎng)的設(shè)計(jì)、建設(shè)都要經(jīng)過周密的論證、謹(jǐn)慎的決策和緊張的施工。網(wǎng)絡(luò)設(shè)備選型就在校園網(wǎng)中占據(jù)著重要的作用，一個校園網(wǎng)的網(wǎng)絡(luò)設(shè)備選的好的話將直接影響校園網(wǎng)未來的規(guī)劃和校園的安全建設(shè).為了更好的服務(wù)師生，校園網(wǎng)絡(luò)設(shè)備選型應(yīng)當(dāng)受到人們的重視。由于校園網(wǎng)的開放性和可互動性，校園網(wǎng)的安全也被越來越多的人受到關(guān)注。但是，隨之而來的安全問題也為校園網(wǎng)帶來了前所未有的挑戰(zhàn)。一方面，惡意代碼、病毒、黑客、不良網(wǎng)站、人為干擾等不安全因素對校園網(wǎng)的正常發(fā)展造成了一定的障礙；另一方面，由于對安全問題的考慮，許多校園網(wǎng)對互聯(lián)網(wǎng)的使用做了許多限制，這種限制對教學(xué)也造成了一定程度的影響。第一章校園網(wǎng)概述校園網(wǎng)是在學(xué)校范圍內(nèi)，在一定的教育思想和理論指導(dǎo)下，為學(xué)校教學(xué)、科研和管理等教育提供資源共享、信息交流和協(xié)同工作的計(jì)算機(jī)網(wǎng)絡(luò)。校園網(wǎng)除了需要有必備的硬件設(shè)備和操作系統(tǒng)平臺外，利用全面的校園網(wǎng)絡(luò)管理軟件、網(wǎng)絡(luò)教學(xué)軟件，實(shí)現(xiàn)學(xué)校多媒體教學(xué)資源、教師備課系統(tǒng)、電子圖書閱覽檢索、多媒體教學(xué)軟件開發(fā)平臺、校園網(wǎng)站和教學(xué)資源網(wǎng)站建設(shè)等功能。為學(xué)校提供教學(xué)、管理和決策三個不同層次所需要的數(shù)據(jù)、信息和知識的一個覆蓋全校管理機(jī)構(gòu)和教學(xué)機(jī)構(gòu)的基于Internet/Intranet技術(shù)的大型網(wǎng)絡(luò)系統(tǒng)。校園網(wǎng)應(yīng)該具有較先進(jìn)的水平，體現(xiàn)現(xiàn)代教育思想，要把建設(shè)校園網(wǎng)的規(guī)劃與學(xué)校的長遠(yuǎn)發(fā)展規(guī)劃統(tǒng)一起來，同時把服務(wù)教學(xué)作為網(wǎng)絡(luò)建設(shè)的著眼點(diǎn)和落腳點(diǎn)。校園網(wǎng)還應(yīng)具有教務(wù)、行政、總務(wù)管理功能，可以進(jìn)行課程管理、學(xué)生成績與學(xué)籍管理、圖書資料管理等教學(xué)教務(wù)管理，也可以進(jìn)行檔案管理（含人事、教師檔案等）、處室管理等行政事務(wù)管理，總務(wù)后勤管理包括財(cái)務(wù)管理、設(shè)備、房產(chǎn)等。校園網(wǎng)是不以盈利為目的的。校園網(wǎng)上提供大量的免費(fèi)資源，供廣大師生工作學(xué)習(xí)之用，它所涉及的范圍并不局限于校園內(nèi)部。有些人認(rèn)為：校園網(wǎng)就是大學(xué)校園圍墻里面的網(wǎng)，即圍墻里面的就是校園網(wǎng)，圍墻外面的就是公網(wǎng)。這種看法是錯誤的。校園網(wǎng)的界限，并不是以用戶終端所處的地理位置范圍來的界定的，而是以校園網(wǎng)提供的接入服務(wù)范圍來界定的。在校園圍墻內(nèi)可以有公網(wǎng)，在校園圍墻外也可以有校園網(wǎng)，應(yīng)滿足對內(nèi)對外的通信功能。

第二章校園網(wǎng)設(shè)備選型2.1校園網(wǎng)設(shè)備選型對校園網(wǎng)建設(shè)的重要意義一個完整的校園網(wǎng)建設(shè)主要包括兩個內(nèi)容：技術(shù)方案設(shè)計(jì)；應(yīng)用信息系統(tǒng)資源建設(shè)。技術(shù)方案設(shè)計(jì)主要包括：結(jié)構(gòu)化布線與設(shè)備選擇、網(wǎng)絡(luò)技術(shù)選型等。應(yīng)用信息系統(tǒng)資源建設(shè)主要包括：內(nèi)部信息資源建設(shè)、外部信息資源建設(shè)等。在這里我重點(diǎn)說一下設(shè)備選擇的重要意義。設(shè)備選擇這一環(huán)節(jié)做的好的話首先可以為學(xué)校節(jié)約大筆的校園網(wǎng)建設(shè)費(fèi)用，其次為校園網(wǎng)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和校園網(wǎng)服務(wù)的擴(kuò)展提供了較大空間，最后可以為綜合布線節(jié)約大部分時間。2.2校園網(wǎng)設(shè)備的分類校園網(wǎng)的網(wǎng)絡(luò)設(shè)備分為交換機(jī)，路由器，網(wǎng)絡(luò)服務(wù)器，專業(yè)網(wǎng)管軟件等。2.3校園網(wǎng)設(shè)備選型的原則校園網(wǎng)設(shè)備我簡單的把它總結(jié)為需要硬件設(shè)備和軟件設(shè)備，硬件設(shè)備包括交換機(jī)，路由器，網(wǎng)絡(luò)服務(wù)器等.軟件設(shè)備包括專業(yè)網(wǎng)管軟件.對于中小規(guī)模的網(wǎng)絡(luò)，設(shè)備選型時應(yīng)遵循以下一些基本原則(1)標(biāo)準(zhǔn)化原則：所選擇的設(shè)備必須基于國際標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)。因?yàn)橹挥谢跇?biāo)準(zhǔn)的產(chǎn)品才有可能和其他廠商的產(chǎn)品互連互通（需要指出的是，并非只要基于標(biāo)準(zhǔn)的產(chǎn)品，彼此之間才能夠互連互通）。(2)技術(shù)簡單性原則：對網(wǎng)絡(luò)需求必須十分明確。對于普通用戶而言，在滿足需求的前提下，盡可能選擇簡單實(shí)用的技術(shù)和設(shè)備。否則，今后的運(yùn)行管理、故障診斷等，都需要請專業(yè)人員，開銷巨大，運(yùn)行效果不見得好。(3)環(huán)境適應(yīng)性原則：不要輕信外國某些機(jī)構(gòu)的評測報(bào)告，其中不乏商業(yè)因素。而且，即使是權(quán)威機(jī)構(gòu)的評測報(bào)告，也只是在特定網(wǎng)絡(luò)環(huán)境下取得的結(jié)果，不能作為產(chǎn)品選型的全部依據(jù)。(4)可管理性原則:對于大型網(wǎng)絡(luò)而言，這一點(diǎn)是至關(guān)重要的，他不但關(guān)系到系統(tǒng)的性能指標(biāo)，甚至關(guān)系到系統(tǒng)的可用性。主要考查網(wǎng)管系統(tǒng)對所選設(shè)備的監(jiān)管、配置能力，連同設(shè)備能夠提供的統(tǒng)計(jì)信息和故障檢測手段，如骨干交換機(jī)必須具備端口映像能力。這對于故障診斷，連同今后的網(wǎng)絡(luò)規(guī)劃具備特別重要的價值。(5)容錯冗余性原則:除了在網(wǎng)絡(luò)設(shè)計(jì)時要考慮冗余，骨干設(shè)備的容錯冗余也是必須的。所謂容錯，就是設(shè)備的某一模塊出現(xiàn)故障時，是否會影響其他模塊，乃至其他設(shè)備的正常工作；是否支持熱插拔；是否支持備份設(shè)備的自動轉(zhuǎn)換等。所謂冗余，就是配置的設(shè)備，是否能夠安裝多個相同功能的模塊，在工作正常的情況下實(shí)施負(fù)載分擔(dān)，當(dāng)其中一個出現(xiàn)問題時自動轉(zhuǎn)換。(6)滿足需求:滿足需求不是指簡單地滿足用戶現(xiàn)有的需求，而應(yīng)該綜合考慮用戶在將來的一段比較長的時間內(nèi)的擴(kuò)展性。大多數(shù)時候，單位投資都是分期進(jìn)行的，但規(guī)劃必須盡可能一步到位；不能出現(xiàn)一期滿足需要，到了二期就不能再擴(kuò)的情況，設(shè)備選型必須在最大程度上保護(hù)用戶的投資。(7)實(shí)用:當(dāng)然，設(shè)備選型也不能太超前，一定要經(jīng)濟(jì)實(shí)用。對于模塊化的網(wǎng)絡(luò)設(shè)備，要注意模塊的有效利用，同時建議要用的時候再購買模塊。2.4校園網(wǎng)交換機(jī)選擇2.4.1交換機(jī)的分類標(biāo)準(zhǔn)(1)根據(jù)網(wǎng)絡(luò)覆蓋范圍可把交換機(jī)分為局域網(wǎng)交換機(jī)和廣域網(wǎng)交換機(jī)。(2)根據(jù)傳輸介質(zhì)和傳輸速度可把交換機(jī)分為以太網(wǎng)交換機(jī)，快速以太網(wǎng)交換機(jī)，千兆位以太網(wǎng)交換機(jī)，10千兆位以太網(wǎng)交換機(jī)，ATM交換機(jī)，F(xiàn)DDI交換機(jī)和令牌環(huán)交換機(jī)。(3)根據(jù)網(wǎng)絡(luò)層次可把交換機(jī)分為企業(yè)級交換機(jī)，校園網(wǎng)交換機(jī)，部門級交換機(jī)和工作組交換機(jī)，桌機(jī)型交換機(jī)。(4)根據(jù)交換機(jī)接口結(jié)構(gòu)可把交換機(jī)分為固定接口交換機(jī)和模塊劃交換機(jī)。(5)根據(jù)工作層協(xié)議可把交換機(jī)分為第二層交換機(jī)，第三層交換機(jī)和第四層交換機(jī)。(6)根據(jù)是否支持網(wǎng)管功能可把交換機(jī)分為網(wǎng)管型交換機(jī)和非網(wǎng)管型交換機(jī)。

2.4.2交換機(jī)的性能參數(shù)(1)背板帶寬：交換機(jī)的背板帶寬，是交換機(jī)接口處理器或接口卡和數(shù)據(jù)總線間所能吞吐的最大數(shù)據(jù)量.背板帶寬標(biāo)志了交換機(jī)總的數(shù)據(jù)交換能力，單位為Gbps,也稱為交換帶寬.一臺交換機(jī)的背板帶寬越高，所能處理數(shù)據(jù)的能力就越強(qiáng)，但同時設(shè)計(jì)成本也會越高。(2)包轉(zhuǎn)發(fā)率：包轉(zhuǎn)發(fā)率標(biāo)志了交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)包能力的大小。單位一般為pps(包每秒).其實(shí)交換機(jī)的背板帶寬就決定了包轉(zhuǎn)發(fā)率，及交換機(jī)的背板帶寬越高，交換機(jī)處理數(shù)據(jù)的能力就越強(qiáng)，交換機(jī)的包轉(zhuǎn)發(fā)率就越高。(3)VLAN支持：VLAN是虛擬局域網(wǎng)的的意思。它從邏輯上把網(wǎng)絡(luò)劃分成一個個網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組（單元）的數(shù)據(jù)交換能力。通過給局域網(wǎng)劃分VLAN可以有效的減少廣播風(fēng)暴，廣播碰撞問題和網(wǎng)絡(luò)帶寬資源的浪費(fèi)等問題，它還具有很高的靈活性和安全性，是局域網(wǎng)安全建設(shè)的一個重要環(huán)節(jié)。(4)MAC地址表：MAC地址表存放于交換機(jī)的緩存中，并記住這些地址，這樣一來當(dāng)需要向目的地址發(fā)送數(shù)據(jù)時，交換機(jī)就可在MAC地址表中查找這個MAC地址的節(jié)點(diǎn)位置，然后直接向這個節(jié)點(diǎn)發(fā)送。所謂MAC地址數(shù)量是指交換機(jī)的MAC地址表中可以最多存儲的MAC地址數(shù)量，存儲的MAC地址數(shù)量越多，那么數(shù)據(jù)轉(zhuǎn)發(fā)的速度和效率也就越高。(5)交換機(jī)內(nèi)存：交換機(jī)中可能有多種內(nèi)存，例如FLASH（閃存），DRAM（動態(tài)內(nèi)存）ROM（只讀內(nèi)存），RAM（可讀，可寫的存儲器）。2.4.3交換機(jī)的網(wǎng)絡(luò)參數(shù)(1)交換機(jī)所支持的網(wǎng)絡(luò)標(biāo)準(zhǔn)協(xié)議。(2)交換機(jī)的數(shù)據(jù)傳輸數(shù)率：交換機(jī)的數(shù)據(jù)傳輸速率是指交換機(jī)接口的數(shù)據(jù)交換速率.目前常見的有10Mbps,100Mbps.1000Mbps等幾類。2.4.4交換機(jī)的接口(1)交換機(jī)的接口類型：接口類型是指交換機(jī)的接口是以太網(wǎng)，令牌環(huán)，F(xiàn)DDI還是ATM等類型，一般來說，固定接口交換機(jī)只有單一類型的接口，適合中小企業(yè)或個人用戶使用，而模塊化交換機(jī)由于可以有不同類型的介質(zhì)可供選擇，故接口類型更為豐富，類交換機(jī)適合部門級以上級別的用戶選擇。(2)交換機(jī)的接口數(shù)：選擇交換機(jī)設(shè)備時選擇合適的交換機(jī)接口數(shù)有利于交換機(jī)和電腦的分配。2.4.5其它參數(shù)(1)是否支持全雙工：支持全雙工的交換機(jī)可以同步發(fā)送和接收數(shù)據(jù)。(2)是否支持網(wǎng)管功能：網(wǎng)絡(luò)管理，是指網(wǎng)絡(luò)管理員通過網(wǎng)絡(luò)管理程序?qū)W(wǎng)絡(luò)上的資源進(jìn)行集中化管理的操作，包括配置管理，性能和記賬理，問題管理，操作管理和變化管理等。一臺設(shè)備所支持的管理程度反映了該設(shè)備的可管理性和可操作性。常見的網(wǎng)絡(luò)管理方式有SNMP管理技術(shù)，RMON技術(shù)，基于WEB的管理技術(shù)等。(3)堆疊：為了使交換機(jī)滿足大型網(wǎng)絡(luò)對端口數(shù)量的要求，一般需要交換機(jī)支持堆疊模式。堆疊技術(shù)一方面增加了用戶端口，能夠在交換機(jī)之間建立一條較寬的寬帶鏈路，能避免級聯(lián)方式的瓶頸；另一方面多個交換機(jī)能夠作為一個大的交換機(jī)，便于統(tǒng)一管理。2.5校園網(wǎng)路由器選擇2.5.1路由器的分類標(biāo)準(zhǔn)(1)從檔次上分，路由器可分高、中和低檔路由器，不過各廠家劃分并不完全一致。(2)從性能上分，路由器可分為線速路由器以及非線速路由器。(3)從結(jié)構(gòu)上分，路由器可分為模塊化結(jié)構(gòu)與非模塊化結(jié)構(gòu)。模塊化結(jié)構(gòu)可以靈活地配置路由器，以適應(yīng)企業(yè)不斷增加的業(yè)務(wù)需求，非模塊化的就只能提供固定的端口。(4)從功能上劃分，可將路由器分為核心層（骨干級）路由器，企業(yè)級路由器和訪問層（接入級）路由器。(5)從應(yīng)用劃分，路由器可分為通用路由器與專用路由器。一般所說的路由器皆為通用路由器。專用路由器通常為實(shí)現(xiàn)某種特定功能對路由器接口、硬件等作專門優(yōu)化。2.5.2路由器的性能參數(shù)(1)CPUCPU是路由器最核心的組成部分。不同系列、不同型號的路由器，其中的CPU也不盡相同。處理器的好壞直接影響路由器的吞吐量（路由表查找時間）和路由計(jì)算能力（影響網(wǎng)絡(luò)路由收斂時間）。(2)內(nèi)存路由器中存在多種內(nèi)存，例如例如Flash（閃存）、DRAM（動態(tài)內(nèi)存）等。內(nèi)存用作存儲配置、路由器操作系統(tǒng)、路由協(xié)議軟件等內(nèi)容。路由表可能存儲在內(nèi)存中。通常來說路由器內(nèi)存越大越好（不考慮價格）。但是與CPU能力類似，內(nèi)存同樣不直接反映路由器性能與能力。(3)吞吐量吞吐量是指在不丟包的情況下單位時間內(nèi)通過的數(shù)據(jù)包數(shù)量，也就是指設(shè)備整機(jī)數(shù)據(jù)包轉(zhuǎn)發(fā)的能力，是設(shè)備性能的重要指標(biāo)。路由器吞吐量表示的是路由器每秒能處理的數(shù)據(jù)量，是路由器性能的一個直觀上的反映。(4)線速轉(zhuǎn)發(fā)能力所謂線速轉(zhuǎn)發(fā)能力，就是指在達(dá)到端口最大速率的時候，路由器傳輸?shù)臄?shù)據(jù)沒有丟包.線速轉(zhuǎn)發(fā)是路由器性能的一個重要指標(biāo)。簡單的說就是進(jìn)來多大的流量，就出去多大的流量，不會因?yàn)樵O(shè)備處理能力的問題而造成吞吐量下降。(5)支持的網(wǎng)管協(xié)議在路由器中最常見的路由協(xié)議是SNMP。中文名稱為簡單網(wǎng)絡(luò)管理協(xié)議.支持的網(wǎng)關(guān)協(xié)議越多，越容易管理網(wǎng)絡(luò)。(6)帶機(jī)數(shù)量帶機(jī)數(shù)量很好理解，就是路由器能負(fù)載的計(jì)算機(jī)數(shù)量。在廠商介紹的性能參數(shù)表上經(jīng)常可以看到標(biāo)稱自己的路由器能帶200臺PC、300臺PC的，但是很多時候路由器的表現(xiàn)與標(biāo)稱的值都有很大的差別。(7)是否支持VPNVPN是虛擬專用網(wǎng)的簡稱。VPN是一種快速建立廣域聯(lián)接的互聯(lián)和訪問工具，也是一種強(qiáng)化網(wǎng)絡(luò)安全和管理的工具。VPN功能的路由器主要作用于遠(yuǎn)程訪問本地局域網(wǎng)。(8)是否支持QoSQoS的英文全稱為"QualityofService"，中文名為"服務(wù)質(zhì)量"。QoS是網(wǎng)絡(luò)的一種安全機(jī)制,是用來解決網(wǎng)絡(luò)延遲和阻塞等問題的一種技術(shù)。在正常情況下，如果網(wǎng)絡(luò)只用于特定的無時間限制的應(yīng)用系統(tǒng)，并不需要QoS，比如Web應(yīng)用，或E-mail設(shè)置等。但是對關(guān)鍵應(yīng)用和多媒體應(yīng)用就十分必要。當(dāng)網(wǎng)絡(luò)過載或擁塞時，QoS能確保重要業(yè)務(wù)量不受延遲或丟棄，同時保證網(wǎng)絡(luò)的高效運(yùn)行。(9)是否內(nèi)置防火墻防火墻是隔離本地和外部網(wǎng)絡(luò)的一道防御系統(tǒng)。路由器支持防火墻功能可以有效地提高網(wǎng)絡(luò)的安全性。第三章校園網(wǎng)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)3.1大學(xué)的背景大學(xué)是一所極具現(xiàn)代意識，以現(xiàn)代化教學(xué)為特色的地方。為了更好地使用電腦這一現(xiàn)代化的高科技產(chǎn)物，使其在教學(xué)、管理等方面發(fā)揮應(yīng)有的作用，學(xué)校計(jì)劃在校內(nèi)建立校園網(wǎng)并與國際互連網(wǎng)(Internet)相連。3.2校園網(wǎng)用提供功能(1)連接校內(nèi)所有教學(xué)樓，學(xué)生宿舍，教師宿舍，財(cái)務(wù)室等的pc。(2)同時支持約5000用戶瀏覽Internet。(3)提供豐富的網(wǎng)絡(luò)服務(wù)，實(shí)現(xiàn)廣泛的軟件，硬件資源共享，包括：提供基本的Internet網(wǎng)絡(luò)服務(wù)功能：如電子郵件、對外個人主頁服務(wù)、ftp服務(wù)、域名服務(wù)等。3.3校園網(wǎng)對主機(jī)系統(tǒng)的主要要求(1)主機(jī)系統(tǒng)應(yīng)采用國際上較新的主流技術(shù)，并具有良好的向后擴(kuò)展能力。(2)主機(jī)系統(tǒng)應(yīng)具有高的可靠性，能長時間連續(xù)工作，并有容錯措施。(3)支持通用大型數(shù)據(jù)庫，如SQL、Oracle等。(4)具有廣泛的軟件支持，軟件兼容性好，并支持多種傳輸協(xié)議。(5)能與Internet互聯(lián)，可提供互聯(lián)網(wǎng)的應(yīng)用，如WWW瀏覽服務(wù)、FTP文件傳輸服務(wù)、E-mail電子郵件服務(wù)等服務(wù)。(6)支持SNMP網(wǎng)絡(luò)管理協(xié)議，具有良好的可管理性和可維護(hù)性。3.4校園網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案應(yīng)滿足如下要求(1)網(wǎng)絡(luò)方案應(yīng)采用成熟的技術(shù)，并盡可能采用先進(jìn)的技術(shù)。(2)采用國際統(tǒng)一標(biāo)準(zhǔn)，以擁有廣泛的支持廠商，最大限度的采用同一廠家的產(chǎn)品。(3)方案應(yīng)合理分配帶寬，使用戶不受網(wǎng)上“塞車”的影響。(4)應(yīng)充分考慮未來可能的應(yīng)用，如桌面將承受大型應(yīng)用軟件和多媒體傳輸需求的壓力。(5)該網(wǎng)絡(luò)方案要具有高擴(kuò)展性,能為用戶未來數(shù)目的擴(kuò)展具有調(diào)整、擴(kuò)充的手段和方法。3.5校園網(wǎng)對網(wǎng)絡(luò)設(shè)備的要求(1)高性能:所有網(wǎng)絡(luò)設(shè)備都應(yīng)足夠的吞吐量。(2)高可靠性和高可用性:應(yīng)考慮多種容錯技術(shù)。(3)可管理性:所有網(wǎng)絡(luò)設(shè)備均可用適當(dāng)?shù)木W(wǎng)管軟件進(jìn)行監(jiān)控、管理和設(shè)置。(4)采用國際統(tǒng)一的標(biāo)準(zhǔn)。(5)高性價比:盡最大可能提高設(shè)備的性價比。3.6網(wǎng)絡(luò)設(shè)計(jì)3.6.1目前各主流網(wǎng)絡(luò)結(jié)構(gòu)概述快速以太網(wǎng)實(shí)際上是10Mbps以太網(wǎng)的100Mbps版本，所以它的運(yùn)行速度要比10Mbps以太網(wǎng)快十倍。在用戶已經(jīng)很熟悉傳統(tǒng)以太網(wǎng)的情況下，快速以太網(wǎng)相對其他高速網(wǎng)絡(luò)技術(shù)更容易被掌握和接受，它可以應(yīng)用在共享式和主干環(huán)境下，提供高帶寬的共享式網(wǎng)絡(luò)或主干連接，同時也可以應(yīng)用在交換式環(huán)境下，提供優(yōu)異的服務(wù)質(zhì)量(QoS)?？焖僖蕴W(wǎng)與傳統(tǒng)的以太網(wǎng)技術(shù)相似，毋庸贅言，此外它還具備以下優(yōu)點(diǎn)：(1)快速以太網(wǎng)和普通以太網(wǎng)同樣遵循CSMA/CD協(xié)議，現(xiàn)有的10BaseT網(wǎng)絡(luò)設(shè)備可以相當(dāng)簡便地升級到快速以太網(wǎng)，保護(hù)用戶原有的投資，與其它新型網(wǎng)絡(luò)技術(shù)相比，更方便地使現(xiàn)有的10MbpsLAN無縫連接到100MbpsLAN上。(2)100BaseT集線器和網(wǎng)絡(luò)接口卡，只需要比10BaseT同樣的設(shè)備多花少量費(fèi)用就可提供比普通以太網(wǎng)高10倍的性能。因此，100BaseT具備較高的性能價格比。(3)快速以太網(wǎng)(100BaseT)已得到IEEE任命標(biāo)準(zhǔn)為802.3u，并得到了所有的主流網(wǎng)絡(luò)廠商的支持。3.6.2千兆以太網(wǎng)技術(shù)千兆以太網(wǎng)是相當(dāng)成功的10Mbps以太網(wǎng)和100Mbps快速以太網(wǎng)連接標(biāo)準(zhǔn)的擴(kuò)展。IEEE已批準(zhǔn)千兆位以太網(wǎng)工程IEEE802.3z。千兆位以太網(wǎng)和已充分建立的以太網(wǎng)與快速以太網(wǎng)的節(jié)點(diǎn)完全匹配。最初的以太網(wǎng)規(guī)范由幀格式定義，且支持CSMA/CD協(xié)議、全雙工、流控制和由IEEE802.3標(biāo)準(zhǔn)定義的管理項(xiàng)目，千兆位以太網(wǎng)將使用所有這些規(guī)范?？傊д孜灰蕴W(wǎng)和管理員以前使用和了解的以太網(wǎng)相同，所不同是僅僅是比快速以太網(wǎng)快十倍和它與當(dāng)前的高帶寬需求應(yīng)用程序相協(xié)調(diào)的額外特性，而且和日益增強(qiáng)的服務(wù)器和臺式計(jì)算機(jī)的功能相匹配。我們可以看到主干和各網(wǎng)段及桌面已實(shí)現(xiàn)了無縫結(jié)合，網(wǎng)絡(luò)管理變得不再讓用戶望而生畏。3.7網(wǎng)絡(luò)總體規(guī)劃綜上所述，此次校園網(wǎng)設(shè)計(jì)主要采用千兆以太網(wǎng)的設(shè)計(jì)方案在網(wǎng)絡(luò)方案的選擇上，采用千兆以太網(wǎng)作為校園網(wǎng)的網(wǎng)絡(luò)總體結(jié)構(gòu)無論在高帶寬、可適應(yīng)性、可擴(kuò)展性、高性價比、良好的管理性和維護(hù)性等各方面都是最明智的選擇，成為學(xué)校校園網(wǎng)完整的、經(jīng)濟(jì)的解決方案。3.8網(wǎng)絡(luò)總體設(shè)計(jì)方案為了實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計(jì)方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即Cisco公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的好處是可以實(shí)現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。本校園網(wǎng)設(shè)計(jì)方案主要由以下四大部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問模塊、服務(wù)器群。整個網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖如圖1-1所示。在后面的幾節(jié)中我們將根據(jù)此圖分塊進(jìn)行介紹。3.9網(wǎng)絡(luò)產(chǎn)品定型3.9.1網(wǎng)絡(luò)設(shè)備中的產(chǎn)品定型(1)主干交換機(jī)的定型根據(jù)前面的設(shè)備選型原則和結(jié)合校園的實(shí)際情況分析，兩個校區(qū)的主干交換機(jī)均選擇CISCOWS-C4948-S,CISCOWS-C4948-S具有48個10/100M快速以太網(wǎng)和4個千兆以太網(wǎng)端口，具備第三層交換的特性，高線速，低延遲是它最基本的特征。它還支持所有常見的網(wǎng)絡(luò)標(biāo)準(zhǔn)，符合高智能化的交換機(jī)定位。對于安全方面也有巨大的優(yōu)點(diǎn)。(2)匯聚層交換機(jī)的定型根據(jù)前面講的匯聚層交換機(jī)選型原則和校園的實(shí)際情況分析，核心層計(jì)算機(jī)打算使用CISCOWS-C2960-48TT-L，CISCOWS-C2960-24TT-L。交換機(jī)名稱CISCOWS-C2960-48TT-LCISCOWS-C2960-24TT-L傳輸速率10Mbps/100Mbps/1000Mbps10Mbps/100Mbps/1000Mbps端口數(shù)量4824背板帶寬6.8Gbps4.4Gbps包轉(zhuǎn)發(fā)率10.1Mpps6.5Mpps網(wǎng)絡(luò)協(xié)議IEEE802.3、IEEE802.3u、IEEE802.1x、IEEE802.1Q等IEEE802.3、IEEE802.3u、IEEE802.1x、IEEE802.1Q等內(nèi)存64Mb64MB尺寸（mm）44*445*23644*445*236.重量（Kg）.(3)接入層交換機(jī)的定型作為低端交換機(jī)產(chǎn)品，接入交換機(jī)產(chǎn)品同質(zhì)化現(xiàn)象比較嚴(yán)重。用戶要從自身需求，供應(yīng)商服務(wù)情況及產(chǎn)品功能4個方面認(rèn)真加以權(quán)衡，選擇合適的產(chǎn)品。接入層交換機(jī)打算使用華為2024C。華為2024參數(shù)：傳輸速率：10Mbps/100Mbps.端口數(shù)量：24個10/100M以太網(wǎng)電口。背板帶寬：9.6Gbps.包轉(zhuǎn)發(fā)率：3.87Mpps.支持VLAN和網(wǎng)管功能。尺寸（mm）:436*42*240.重量(Kg)：<3kg3.9.2校園網(wǎng)絡(luò)出口設(shè)備定型Cisco

7206VXR路由器兩臺。Cisco

7206VXR也提供了目前路由器常用的一些功能，如虛擬服務(wù)器，IP過濾等功能，能夠很好的實(shí)現(xiàn)校園內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的連接。

這款路由器的性能非常強(qiáng)勁，每秒鐘可以交換30萬個數(shù)據(jù)包，而且采用了機(jī)箱模塊，可以輕松的實(shí)現(xiàn)8000臺計(jì)算機(jī)連接。強(qiáng)勁的語音功能更是這款路由器的一大亮點(diǎn)。加在遠(yuǎn)程訪問路由器防火墻是思科公司著名的軟硬件結(jié)合的專用安全設(shè)備，也是本方案的亮點(diǎn)之一，它體現(xiàn)出用戶對網(wǎng)絡(luò)安全的極度關(guān)注。所有流經(jīng)PIX的數(shù)據(jù)都必須接受嚴(yán)格而全面的檢驗(yàn)，檢驗(yàn)內(nèi)容包括數(shù)據(jù)的源和目標(biāo)地址、TCP隨機(jī)序列號、TCP端口號和附加標(biāo)志等，只有滿足特定條件的數(shù)據(jù)才能穿過這道防火墻。相對集成在路由器上的防火墻和軟件防火墻而言，PIX使用自己專有的軟件系統(tǒng)，不需借助于外部操作平臺，內(nèi)核技術(shù)不公開，因此能更有效地阻止網(wǎng)絡(luò)黑客的攻擊;而配套的硬件組成使其數(shù)據(jù)處理效率更高;此外，PIX還支持網(wǎng)絡(luò)地址翻譯的功能，能夠?qū)崿F(xiàn)內(nèi)部IP到合法IP的轉(zhuǎn)換，方便更多的用戶利用有限地IP地址資源作Internet訪問。

第四章網(wǎng)絡(luò)技術(shù)介紹4.1VLAN構(gòu)建4.1.2VLAN的介紹VLAN，是英文VirtualLocalAreaNetwork的縮寫，中文名為"虛擬局域網(wǎng)"，VLAN是一種將局域網(wǎng)（LAN）設(shè)備從邏輯上劃分（注意，不是從物理上劃分）成一個個網(wǎng)段（或者說是更小的局域網(wǎng)LAN），從而實(shí)現(xiàn)虛擬工作組（單元）的數(shù)據(jù)交換技術(shù)。VLAN這一新興技術(shù)主要應(yīng)用于交換機(jī)和路由器中，但目前主流應(yīng)用還是在交換機(jī)之中。不過不是所有交換機(jī)都具有此功能，只有三層以上交換機(jī)才具有此功能，這一點(diǎn)可以查看相應(yīng)交換機(jī)的說明書即可得知。VLAN技術(shù)的出現(xiàn)，使得管理員根據(jù)實(shí)際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個VLAN內(nèi)的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理LAN網(wǎng)段。由VLAN的特點(diǎn)可知，一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。VLAN除了能將網(wǎng)絡(luò)劃分為多個廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點(diǎn)外，還可以用于控制網(wǎng)絡(luò)中不同部門、不同站點(diǎn)之間的互相訪問。4.1.3VLAN的作用(1)端口的分隔。即便在同一個交換機(jī)上，處于不同VLAN的端口也是不能通信的。這樣一個物理的交換機(jī)可以當(dāng)作多個邏輯的交換機(jī)使用。(2)網(wǎng)絡(luò)的安全。不同VLAN不能直接通信，杜絕了廣播信息的不安全性。(3)靈活的管理。更改用戶所屬的網(wǎng)絡(luò)不必?fù)Q端口和連線，只更改軟件配置就可以了。4.1.4VLAN在交換機(jī)上的實(shí)現(xiàn)方法VLAN在交換機(jī)上的實(shí)現(xiàn)方法，可以大致劃分為六類:(1)基于端口的VLAN這是最常應(yīng)用的一種VLAN劃分方法，應(yīng)用也最為廣泛、最有效，目前絕大多數(shù)VLAN協(xié)議的交換機(jī)都提供這種VLAN配置方法。這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的交換端口來劃分的，它是將VLAN交換機(jī)上的物理端口和VLAN交換機(jī)內(nèi)部的PVC（永久虛電路）端口分成若干個組，每個組構(gòu)成一個虛擬網(wǎng)，相當(dāng)于一個獨(dú)立的VLAN交換機(jī)。對于不同部門需要互訪時，可通過路由器轉(zhuǎn)發(fā)，并配合基于MAC地址的端口過濾。對某站點(diǎn)的訪問路徑上最靠近該站點(diǎn)的交換機(jī)、路由交換機(jī)或路由器的相應(yīng)端口上，設(shè)定可通過的MAC地址集。這樣就可以防止非法入侵者從內(nèi)部盜用IP地址從其他可接入點(diǎn)入侵的可能。從這種劃分方法本身我們可以看出，這種劃分的方法的優(yōu)點(diǎn)是定義VLAN成員時非常簡單，只要將所有的端口都定義為相應(yīng)的VLAN組即可。適合于任何大小的網(wǎng)絡(luò)。它的缺點(diǎn)是如果某用戶離開了原來的端口，到了一個新的交換機(jī)的某個端口，必須重新定義。(2)基于MAC地址的VLAN這種劃分VLAN的方法是根據(jù)每個主機(jī)的MAC地址來劃分，即對每個MAC地址的主機(jī)都配置他屬于哪個組，它實(shí)現(xiàn)的機(jī)制就是每一塊網(wǎng)卡都對應(yīng)唯一的MAC地址，VLAN交換機(jī)跟蹤屬于VLANMAC的地址。這種方式的VLAN允許網(wǎng)絡(luò)用戶從一個物理位置移動到另一個物理位置時，自動保留其所屬VLAN的成員身份。由這種劃分的機(jī)制可以看出，這種VLAN的劃分方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動時，即從一個交換機(jī)換到其他的交換機(jī)時，VLAN不用重新配置，因?yàn)樗腔谟脩?，而不是基于交換機(jī)的端口。這種方法的缺點(diǎn)是初始化時，所有的用戶都必須進(jìn)行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的，所以這種劃分方法通常適用于小型局域網(wǎng)。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，因?yàn)樵诿恳粋€交換機(jī)的端口都可能存在很多個VLAN組的成員，保存了許多用戶的MAC地址，查詢起來相當(dāng)不容易。另外，對于使用筆記本電腦的用戶來說，他們的網(wǎng)卡可能經(jīng)常更換，這樣VLAN就必須經(jīng)常配置。(3)基于網(wǎng)絡(luò)層協(xié)議的VLANVLAN按網(wǎng)絡(luò)層協(xié)議來劃分，可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò)。這種按網(wǎng)絡(luò)層協(xié)議來組成的VLAN，可使廣播域跨越多個VLAN交換機(jī)。這對于希望針對具體應(yīng)用和服務(wù)來組織用戶的網(wǎng)絡(luò)管理員來說是非常具有吸引力的。而且，用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動，但其VLAN成員身份仍然保留不變。這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡(luò)管理者來說很重要，還有，這種方法不需要附加的幀標(biāo)簽來識別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每一個數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時間的(相對于前面兩種方法)，一般的交換機(jī)芯片都可以自動檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時也更費(fèi)時。當(dāng)然，這與各個廠商的實(shí)現(xiàn)方法有關(guān)。(4)根據(jù)IP組播的VLANIP組播實(shí)際上也是一種VLAN的定義，即認(rèn)為一個IP組播組就是一個VLAN。這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進(jìn)行擴(kuò)展，主要適合于不在同一地理范圍的局域網(wǎng)用戶組成一個VLAN，不適合局域網(wǎng)，主要是效率不高。(5)按策略劃分的VLAN基于策略組成的VLAN能實(shí)現(xiàn)多種分配方法，包括VLAN交換機(jī)端口、MAC地址、IP地址、網(wǎng)絡(luò)層協(xié)議等。網(wǎng)絡(luò)管理人員可根據(jù)自己的管理模式和本單位的需求來決定選擇哪種類型的VLAN。(6)基于用戶定義按用戶定義、非用戶授權(quán)劃分的VLAN基于用戶定義、非用戶授權(quán)來劃分VLAN，是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò)，根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計(jì)VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認(rèn)證后才可以加入一個VLAN。4.2訪問控制列表（ACL）4.2.1訪問控制列表的定義訪問控制列表(ACL)是應(yīng)用在路由器接口的指令列表。這些指令列表用來告訴路由器哪能些數(shù)據(jù)包可以收、哪能數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號等的特定指示條件來決定。訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。

4.2.2訪問控制列表類型(1)標(biāo)準(zhǔn)IP訪問控制列表一個標(biāo)準(zhǔn)IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包采取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標(biāo)準(zhǔn)IP訪問控制列表。(2)擴(kuò)展IP訪問控制列表擴(kuò)展IP訪問控制列表比標(biāo)準(zhǔn)IP訪問控制列表具有更多的匹配項(xiàng)，包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級等。編號范圍是從100到199的訪問控制列表是擴(kuò)展IP訪問控制列表。(3)命名的IP訪問控制列表所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表，同樣包括標(biāo)準(zhǔn)和擴(kuò)展兩種列表，定義過濾的語句與編號方式中相似。(4)標(biāo)準(zhǔn)IPX訪問控制列表標(biāo)準(zhǔn)IPX訪問控制列表的編號范圍是800-899，它檢查IPX源網(wǎng)絡(luò)號和目的網(wǎng)絡(luò)號，同樣可以檢查源地址和目的地址的節(jié)點(diǎn)號部分。(5)擴(kuò)展IPX訪問控制列表擴(kuò)展IPX訪問控制列表在標(biāo)準(zhǔn)IPX訪問控制列表的基礎(chǔ)上，增加了對IPX報(bào)頭中以下幾個宇段的檢查，它們是協(xié)議類型、源Socket、目標(biāo)Socket。擴(kuò)展IPX訪問控制列表的編號范圍是900-999。(6)命名的IPX訪問控制列表與命名的IP訪問控制列表一樣，命名的IPX訪問控制列表是使用列表名取代列表編號。從而方便定義和引用列表，同樣有標(biāo)準(zhǔn)和擴(kuò)展之分。4.3RIP（路由信息協(xié)議）4.3.1RIP的定義RIP的英文全稱是“RoutingInformationProtocol”，翻譯過來就是一種在網(wǎng)關(guān)與主機(jī)之間交換路由選擇信息的標(biāo)準(zhǔn)。4.3.2RIP的工作原理RIP通過廣播UDP報(bào)文來交換路由信息，每30秒發(fā)送一次路由信息更新。RIP提供跳躍計(jì)數(shù)(hopcount)作為尺度來衡量路由距離，跳躍計(jì)數(shù)是一個包到達(dá)目標(biāo)所必須經(jīng)過的路由器的數(shù)目。如果到相同目標(biāo)有二個不等速或不同帶寬的路由器，但跳躍計(jì)數(shù)相同，則RIP認(rèn)為兩個路由是等距離的。RIP最多支持的跳數(shù)為15，即在源和目的網(wǎng)間所要經(jīng)過的最多路由器的數(shù)目為15，跳數(shù)16表示不可達(dá)。4.3.3RIP的不足指出(1)過于簡單，以跳數(shù)為依據(jù)計(jì)算度量值，經(jīng)常得出非最優(yōu)路由。例如：2跳64K專線，和3跳1000M光纖，顯然多跳一下沒什么不好。(2)度量值以16為限，不適合大的網(wǎng)絡(luò)。解決路由環(huán)路問題，16跳在rip中被認(rèn)為是無窮大，rip是一種域內(nèi)路由算法自治路由算法，多用于園區(qū)網(wǎng)和企業(yè)網(wǎng)。(3)安全性差，接受來自任何設(shè)備的路由更新。無密碼驗(yàn)證機(jī)制，默認(rèn)接受任何地方任何設(shè)備的路由更行。不能防止惡意的rip欺騙。(4)不支持無類ip地址和VLAM<ripv1>。(5)收斂性差，時間經(jīng)常大于5分鐘。(6)消耗帶寬很大。完整的復(fù)制路由表，把自己的路由表復(fù)制給所有鄰居，尤其在低速廣域網(wǎng)鏈路上更以顯式的全量更新。4.4OSPF技術(shù)OSPF(OpenShortestPathFirst)是一個內(nèi)部網(wǎng)關(guān)協(xié)議(InteriorGatewayProtocol,簡稱IGP)，用于在單一自治系統(tǒng)(autonomoussystem,AS)內(nèi)決策路由。與RIP相對，OSPF是鏈路狀態(tài)路有協(xié)議，而RIP是距離向量路由協(xié)議。鏈路是路由器接口的另一種說法，因此OSPF也稱為接口狀態(tài)路由協(xié)議。OSPF通過路由器之間通告網(wǎng)絡(luò)接口的狀態(tài)來建立鏈路狀態(tài)數(shù)據(jù)庫，生成最短路徑樹，每個OSPF路由器使用這些最短路徑構(gòu)造路由表。

第五章網(wǎng)絡(luò)的配置5.1網(wǎng)絡(luò)拓?fù)鋱D

PC機(jī)的配置設(shè)備名IP地址子網(wǎng)掩碼默認(rèn)網(wǎng)關(guān)VLAN號PC0VLAN10PC1VLAN10PC2VLAN20PC3VLAN20PC4VLAN30PC5VLAN30PC6VLAN40PC7VLAN40Server0-5.2為交換機(jī)設(shè)置密碼和主機(jī)名Switch>en//進(jìn)入特權(quán)模式Switch#conft//進(jìn)入全局模式Switch(config)#enablepasswordsu//設(shè)置交換機(jī)密碼為suSwitch(config)#hostnamejieru//設(shè)置主機(jī)名為jieru5.3交換機(jī)的安全配置Switch>enSwitch>#Switch(config)#intf0/1Switch(config-if)#switchportmodeaccess//規(guī)定端口模式為Access模式。Switch(config-if)#switchportport-securitymac-addressxx-xx-xx//配置接口mac地址。Switch(config-if)#switchportport-securitymaximum1//限制此端口允許通過的mac地址數(shù)為1。Switch(config-if)#switchportport-securityviolationshutdown//當(dāng)發(fā)現(xiàn)與上述配置不符時，端口down掉。Switch(config-if)#switchporttrunkencapsulationdot1q//封裝dot1q協(xié)議。Switch(config-if)#switchportmodetrunk//配置端口模式為trunk。Switch(config-if)#switchportport-securitymaximum100//允許此端口通過的最大mac地址數(shù)目為100。802.1x的相關(guān)配置Switch(config)#aaanew-model//啟用AAA認(rèn)證Switch(config)#aaaauthenticationdot1xdefaultlocal//全局啟用802.1x協(xié)議認(rèn)證，并使用本地用戶名與密碼。Switch(config)#intrangef0/1-24//進(jìn)入1-24號端口Switch(config-if-range)#dot1xport-controlauto//在所有的接口上啟用802.1x身份認(rèn)證5.4三層交換機(jī)下設(shè)置VLANVtpserver下的交換機(jī)配置MultilayerSwitch0#vlandatabase//進(jìn)入vlan模式MultilayerSwitch0(vlan)#vtpserver//設(shè)置交換機(jī)為服務(wù)器模式MultilayerSwitch0#vtpdomainsu//設(shè)置管理域名稱為suMultilayerSwitch0#vlan10namejiaowuMultilayerSwitch0#vlan20namexsssMultilayerSwitch0#vlan30namejsssMultilayerSwitch0#vlan40namejs//創(chuàng)建vlan10,vlan20,vlan30,vlan40。命名為jiaowu,xsss,jsss,jsMultilayerSwitch0#intvlan10//進(jìn)入vlan10虛接口MultilayerSwitch0(config-if)#ipadd//為vlan10虛接口配置ip地址MultilayerSwitch0(config)#intvlan20//進(jìn)入vlan20虛接口MultilayerSwitch0(config-if)#ipadd//為vlan20虛接口配置ip地址MultilayerSwitch0(config)#intvlan30//進(jìn)入vlan30虛接口MultilayerSwitch0(config-if)#ipadd//為vlan30虛接口配置ip地址MultilayerSwitch0(config)#intvlan40//進(jìn)入vlan40虛接口MultilayerSwitch0(config-if)#ipadd//為vlan40虛接口配置IP地址MultilayerSwitch0(config)#intrangef0/1–2MultilayerSwitch0(config)#switchportmodetrunk//把0-1端口設(shè)為匯聚端口Vtpclient下的交換機(jī)配置MultilayerSwitch1(vlan)#vtpclient//設(shè)置交換機(jī)為客戶機(jī)模式MultilayerSwitch1(vlan)#vtpdomainsu//設(shè)置管理域名稱為suSwitch0(config)#intrangef0/3-6Switch0(config-if)#switchportaccessvlan10Switch0(config)#intrangef0/7-10Switch0(config-if)#switchportaccessvlan20Switch0(config)#intrangef0/11-14Switch0(config-if)#switchportaccessvlan30Switch0(config)#intrangef0/15-18Switch0(config-if)#switchportaccessvlan40//劃分端口到相應(yīng)的vlan5.5ACL的實(shí)現(xiàn)在總部匯聚交換機(jī)上配置訪問控制列表，以實(shí)現(xiàn)以實(shí)現(xiàn)財(cái)務(wù)部只能和服務(wù)器群進(jìn)行通信，學(xué)生宿舍在規(guī)定每周星期一到星期五的早上6：00到晚上23：00只能訪問Internet網(wǎng)的WEB服務(wù)，其他任何服務(wù)都不能進(jìn)行訪問。MultilayerSwitch0(config)#access-list100permittcp5555//定義一條只允許（財(cái)務(wù)部）到（服務(wù)器群）列表號為101的訪問控制列表MultilayerSwitch0(config)#access-list101permittcp55Anyeqwww//新建一條引許（學(xué)生宿舍）訪問任何網(wǎng)絡(luò)的Web服務(wù)的列表號為102的訪問控制列表MultilayerSwitch0(config)#timerangeminperiodicweekday8:00to18:00//定義一個名為su，時間段為工作日的每天早上8點(diǎn)到16點(diǎn)的時間范圍MultilayerSwitch0(config)#interfacevlan20//進(jìn)入vlan20的虛接口MultilayerSwitch0(config-if)#ipaccess-group101//將訪問控制列表101作用在VLAN205.6RIP的配置路由信息協(xié)議（RIP）是一種在網(wǎng)關(guān)與主機(jī)之間交換路由選擇信息的標(biāo)準(zhǔn)。RIP是一種內(nèi)部網(wǎng)關(guān)協(xié)議。MultilayerSwitch0(config)#routerip//啟動rip進(jìn)程MultilayerSwitch0(config-router)#networkMultilayerSwitch0(config-router)#networkMultilayerSwitch0