校園網(wǎng)絡(luò)的建設(shè)拓?fù)鋱D論文

摘要計(jì)算機(jī)網(wǎng)絡(luò)是一種地理上分散的，具有獨(dú)立功能的計(jì)算機(jī)通過通信設(shè)備和線路連接起來，在配有相應(yīng)的網(wǎng)絡(luò)軟件的情況下使各個(gè)計(jì)算機(jī)系統(tǒng)能相互自由通信，實(shí)現(xiàn)資源共享的系統(tǒng)。計(jì)算機(jī)網(wǎng)絡(luò)如按網(wǎng)絡(luò)的組建規(guī)模和延伸范圍來劃分的話，可分為局域網(wǎng)(LocalAreaNetwork,LAN)、城域網(wǎng)(MetropolitanAreaNetwork,MAN)、廣域網(wǎng)(WideAreaNetwork,WAN)。我們經(jīng)常用到的因特網(wǎng)(Internet)屬于廣域網(wǎng)，校園網(wǎng)屬局域網(wǎng)。未來的網(wǎng)絡(luò)技術(shù)將向著使用簡單、高速快捷、多網(wǎng)合一、安全保密方向發(fā)展。而校園網(wǎng)是各種類型網(wǎng)絡(luò)中一大分支，有著非常廣泛的應(yīng)用。校園網(wǎng)絡(luò)的建設(shè)是學(xué)校向信息化發(fā)展的必然選擇，校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)是一個(gè)非常龐大而復(fù)雜的系統(tǒng)，它不僅為現(xiàn)代化教學(xué)、綜合信息管理和辦公自動(dòng)化等一系列應(yīng)用提供基本操作平臺(tái)，而且能提供多種應(yīng)用服務(wù)，使信息能及時(shí)、準(zhǔn)確地傳送給各個(gè)系統(tǒng)。而校園網(wǎng)工程建設(shè)中主要應(yīng)用了網(wǎng)絡(luò)技術(shù)中的重要分支局域網(wǎng)技術(shù)來建設(shè)與管理的，因此本主要以校園局域網(wǎng)絡(luò)建設(shè)過程可能用到的各種技術(shù)及實(shí)施方案為設(shè)計(jì)方向，為校園網(wǎng)的建設(shè)進(jìn)行理論依據(jù)探索。關(guān)鍵詞：局域網(wǎng)Internet計(jì)算機(jī)網(wǎng)絡(luò)網(wǎng)絡(luò)協(xié)議校園網(wǎng)絡(luò)

目錄摘要 1引言 41局域網(wǎng)概述 51.1局域網(wǎng)介紹 51.2局域網(wǎng)網(wǎng)絡(luò)類型 51.3局域網(wǎng)的工作模式 61.4局域網(wǎng)拓?fù)漕愋?72校園網(wǎng)的建設(shè)規(guī)劃 82.1校園網(wǎng)的概述 82.2校園網(wǎng)的建設(shè)原則 82.3網(wǎng)絡(luò)設(shè)備及服務(wù)器選取 92.3.1結(jié)構(gòu)化布線 92.3.2網(wǎng)絡(luò)設(shè)備選型 102.3.3服務(wù)器 142.3.4Internet接入技術(shù) 152.3.5網(wǎng)絡(luò)操作系統(tǒng) 153系統(tǒng)詳細(xì)設(shè)計(jì) 163.1系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu) 163.2VLAN及IP地址規(guī)劃 163.3交換模塊設(shè)計(jì) 173.4訪問層交換服務(wù)的實(shí)現(xiàn)－配置訪問層交換機(jī) 173.4.1配置訪問層交換機(jī)XingZhengLou的基本參數(shù) 173.4.2設(shè)置交換機(jī)的加密使能口令 173.4.3設(shè)置登錄虛擬終端線時(shí)的口令 183.4.4設(shè)置終端線超時(shí)時(shí)間 183.4.5設(shè)置禁用IP地址解析特性 183.5配置訪問層交換機(jī)XingZhengLou的管理IP、默認(rèn)網(wǎng)關(guān) 183.6配置訪問層交換機(jī)XingZhengLou的VLAN及VTP 193.7配置訪問層交換機(jī)XingZhengLou端口基本參數(shù) 193.7.1端口雙工配置 193.7.2端口速度 193.8配置訪問層交換機(jī)XingZhengLou的訪問端口 203.8.1訪問層交換機(jī)XingZhengLou為終端用戶提供接入服務(wù)。 203.8.2設(shè)置快速端口 203.9配置訪問層交換機(jī)XingZhengLou的主干道端口 203.10配置其它訪問層交換機(jī) 214分布層交換服務(wù)的實(shí)現(xiàn)－配置分布層交換機(jī) 214.1配置分布層交換機(jī)DistributeSwitch1的基本參數(shù) 214.2配置分布層交換機(jī)DistributeSwitch1的VTP 224.2.1配置VTP管理域 224.2.2設(shè)置VTP服務(wù)器 224.3在分布層交換機(jī)DistributeSwitch1上定義VLAN 224.4配置分布層交換機(jī)DistributeSwitch1的端口基本參數(shù) 234.5配置分布層交換機(jī)DistributeSwitch1的3層交換功能 244.6配置分布層交換機(jī)DistributeSwitch2 245核心層交換服務(wù)的實(shí)現(xiàn)－配置核心層交換機(jī) 265.1配置核心層交換機(jī)CoreSwitch的基本參數(shù) 265.2配置核心層交換機(jī)CoreSwitch的管理IP、默認(rèn)網(wǎng)關(guān) 265.3配置核心層交換機(jī)CoreSwitch的的VLAN及VTP 265.4配置核心層交換機(jī)CoreSwitch的端口參數(shù) 275.5配置核心層交換機(jī)CoreSwitch的路由功能 276廣域網(wǎng)接入模塊設(shè)計(jì) 286.1配置接入路由器InternetRouter的基本參數(shù) 286.2配置接入路由器InternetRouter的各接口參數(shù) 286.3配置接入路由器InternetRouter的路由功能 296.4配置接入路由器InternetRouter上的NAT 296.5配置接入路由器InternetRouter上的ACL 307服務(wù)器模塊設(shè)計(jì) 318測試 328.1系統(tǒng)測試 328.2相關(guān)測試、診斷命令 32總結(jié) 34致謝 35參考文獻(xiàn) 36

引言當(dāng)今世界，各種先進(jìn)的科學(xué)技術(shù)飛速發(fā)展，給人們的生活帶來了深遠(yuǎn)的影響，它極大的改善我們的生活方式。在以計(jì)算機(jī)技術(shù)為代表的信息科技的發(fā)展更是日新月異，從各個(gè)方面影響和改變著我們的生活，而其中的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展更為迅速，已經(jīng)滲透到了我們生活的各個(gè)方面，人們已經(jīng)離不開計(jì)算機(jī)網(wǎng)絡(luò)，并且隨著因特網(wǎng)的迅速普及，給我們的學(xué)習(xí)與生活條件帶來更大的方便，我們與外部世界的聯(lián)系將更加的緊密和快速。1969年12月，Internet的前身--美國的ARPA網(wǎng)投入運(yùn)行，它標(biāo)志著我們常稱的計(jì)算機(jī)網(wǎng)絡(luò)的興起。八十年代初，隨著PC個(gè)人微機(jī)應(yīng)用的推廣，PC聯(lián)網(wǎng)的需求也隨之增大，各種基于PC互聯(lián)的微機(jī)局域網(wǎng)紛紛出臺(tái)。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是非常復(fù)雜的系統(tǒng)，計(jì)算機(jī)之間相互通信涉及到許多復(fù)雜的技術(shù)問題，為實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)通信，計(jì)算機(jī)網(wǎng)絡(luò)采用的是分層解決網(wǎng)絡(luò)技術(shù)問題的方法。但是，由于存在不同的分層網(wǎng)絡(luò)系統(tǒng)體系結(jié)構(gòu)，它們的產(chǎn)品之間很難實(shí)現(xiàn)互聯(lián)。為此，國際標(biāo)準(zhǔn)化組織ISO在1984年正式頒布了"開放系統(tǒng)互連基本參考模型"OSI國際標(biāo)準(zhǔn)，使計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)實(shí)現(xiàn)了標(biāo)準(zhǔn)化。進(jìn)入九十年代，計(jì)算機(jī)技術(shù)、通信技術(shù)以及建立在計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)基礎(chǔ)上的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)得到了迅猛的發(fā)展。隨著人們對(duì)于信息資源共享以及信息交流的迫切需求，促使網(wǎng)絡(luò)技術(shù)的產(chǎn)生和快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的產(chǎn)生和使用為人類信息文明的發(fā)展帶來了革命性的變化。自1995年中國教育教研網(wǎng)（CERNET）建成后，校園網(wǎng)的建設(shè)已經(jīng)進(jìn)入到一個(gè)蓬勃發(fā)展的階段。校園網(wǎng)的建成和使用，對(duì)于提高教學(xué)和科研的質(zhì)量、改善教學(xué)和科研條件、加快學(xué)校的信息化進(jìn)程，開展多媒體教學(xué)與研究以及使教學(xué)多出人才、科研多出成果有著十分重要而深遠(yuǎn)的意義。其主要包括各種局域網(wǎng)的技術(shù)思想、網(wǎng)絡(luò)設(shè)計(jì)方案、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、布線系統(tǒng)、Intranet/Internet的應(yīng)用、網(wǎng)絡(luò)安全，網(wǎng)絡(luò)系統(tǒng)的維護(hù)等內(nèi)容。

1局域網(wǎng)概述1.1局域網(wǎng)介紹局域網(wǎng)是同一建筑、同一校園、方圓幾公里遠(yuǎn)的地域內(nèi)的專用網(wǎng)絡(luò)。局域網(wǎng)通常用來連接公司辦公室或企業(yè)內(nèi)部的個(gè)人計(jì)算機(jī)和工作站，以共享軟、硬件資源。美國電氣和電子工程師協(xié)會(huì)（IEEE）局域網(wǎng)標(biāo)準(zhǔn)委員會(huì)員會(huì)曾提出局域網(wǎng)的一些具體特征：(1)局域網(wǎng)在通信距離有一定的限制，一般在1~2Km的地域范圍內(nèi)。比如在一個(gè)辦公樓內(nèi)、一個(gè)學(xué)校等。(2)較高傳輸率的物理通信信道也是局域網(wǎng)的一個(gè)主要特征，在廣域網(wǎng)中用電話線連接的計(jì)算機(jī)一般也只有20~40Kpbs的速率。(3)因?yàn)檫B接線路都比較短，中間幾乎不會(huì)愛任何干擾，所以局域網(wǎng)還具有始終一致的低誤碼率。(4)局域網(wǎng)一般是一個(gè)單位或部門專用的，所以管理起很方便。(5)另外局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)比較簡單，所支持連接的計(jì)算機(jī)數(shù)量也是有限的。組網(wǎng)時(shí)也就相對(duì)很容易連接。1.2局域網(wǎng)網(wǎng)絡(luò)類型保護(hù)現(xiàn)有投資的有效途徑就是在將來網(wǎng)絡(luò)技術(shù)升級(jí)時(shí)還能使用現(xiàn)有的網(wǎng)絡(luò)技術(shù)和產(chǎn)品。如同計(jì)算機(jī)的發(fā)展速度一樣，網(wǎng)絡(luò)技術(shù)的發(fā)展也是非常迅速的。如果現(xiàn)有技術(shù)不能合理保證在將來網(wǎng)絡(luò)升級(jí)后還能夠使用，那么將會(huì)帶來極大的資金浪費(fèi)。目前比較常見的主干網(wǎng)技術(shù)有FDDI、ATM、快速以太網(wǎng)和千兆以太網(wǎng)等。其中具有交換功能的快速以太網(wǎng)，支持VLAN，并容易升級(jí)到千兆以太網(wǎng)和ATM，由于性能優(yōu)越，價(jià)格適中，建議采用快速以太網(wǎng)作為校園網(wǎng)的主干技術(shù)?？焖僖蕴W(wǎng)（fastEthernet）是一個(gè)IEEE局域網(wǎng)標(biāo)準(zhǔn)，于1995年由原來制定標(biāo)準(zhǔn)的IEEE802.3工作組完成，快速以太網(wǎng)和傳統(tǒng)以太網(wǎng)采用同樣的介質(zhì)訪問協(xié)議（CSMA/CD）。傳統(tǒng)以太網(wǎng)用的是10Mb/s技術(shù)，而快速以太網(wǎng)用的是100Mb/s技術(shù)。100Mb/s的網(wǎng)卡只比10Mb/s的網(wǎng)卡略貴一點(diǎn)，但為將來的網(wǎng)絡(luò)升級(jí)提供了很大的靈活性。大多數(shù)100Mb/s的網(wǎng)卡能夠自動(dòng)檢測所連接的端口是10Mb/s還是100Mb/s，并執(zhí)行相應(yīng)的操作?？焖僖蕴W(wǎng)實(shí)際上是10M以太網(wǎng)的100M版本，所以它的運(yùn)行速度要比10M以太網(wǎng)快。在用戶已經(jīng)很熟悉傳統(tǒng)以太網(wǎng)的情況下，快速以太網(wǎng)相對(duì)其他高速網(wǎng)絡(luò)技術(shù)更容易被掌握和接受，它可以應(yīng)用在共享式和主干環(huán)境下，提供高帶寬網(wǎng)絡(luò)連接，提供優(yōu)質(zhì)的服務(wù)質(zhì)量（QOS）。根據(jù)需求，建設(shè)聯(lián)接信息中心、多媒體教室、辦公樓、住宿樓及綜合辦公樓等建筑物。其中各部分構(gòu)成相對(duì)獨(dú)立的子網(wǎng)，通過交換機(jī)接入桌面PC。1.3局域網(wǎng)的工作模式1．專用服務(wù)器結(jié)構(gòu)：(Server-Baseb)又稱為“工作站/文件服務(wù)器”結(jié)構(gòu)，由若干臺(tái)微機(jī)工作站與一臺(tái)或多臺(tái)文件服務(wù)器通過通信線路連接起來組成工作站存取服務(wù)器文件，共享存儲(chǔ)設(shè)備。文件服務(wù)器自然以共享磁盤文件為主要目的。對(duì)于一般的數(shù)據(jù)傳遞來說已經(jīng)夠用了，但是當(dāng)數(shù)據(jù)庫系統(tǒng)和其它復(fù)雜而被不斷增加的用戶使用的應(yīng)用系統(tǒng)到來的時(shí)候，服務(wù)器已經(jīng)不能承擔(dān)這樣的任務(wù)了，因?yàn)殡S著用戶的增多，為每個(gè)用戶服務(wù)的程序也增多，每個(gè)程序都是獨(dú)立運(yùn)行的大文件，給用戶感覺極慢，因此產(chǎn)生了客戶機(jī)/服務(wù)器模式。2．客戶機(jī)/服務(wù)器模式：(client/server)其中一臺(tái)或幾臺(tái)較大的計(jì)算機(jī)集中進(jìn)行共享數(shù)據(jù)庫的管理和存取，稱為服務(wù)器，而將其它的應(yīng)用處理工作分散到網(wǎng)絡(luò)中其它微機(jī)上去做，構(gòu)成分布式的處理系統(tǒng)，服務(wù)器控制管理數(shù)據(jù)的能力己由文件管理方式上升為數(shù)據(jù)庫管理方式，因此，C/S由的服務(wù)器也稱為數(shù)據(jù)庫服務(wù)器，注重于數(shù)據(jù)定義及存取安全后備及還原，并發(fā)控制及事務(wù)管理，執(zhí)行諸如選擇檢索和索引排序等數(shù)據(jù)庫管理功能，它有足夠的能力做到把通過其處理后用戶所需的那一部分?jǐn)?shù)據(jù)而不是整個(gè)文件通過網(wǎng)絡(luò)傳送到客戶機(jī)去，減輕了網(wǎng)絡(luò)的傳輸負(fù)荷。C/S結(jié)構(gòu)是數(shù)據(jù)庫技術(shù)的發(fā)展和普遍應(yīng)用與局域網(wǎng)技術(shù)發(fā)展相結(jié)合的結(jié)果。3．對(duì)等式網(wǎng)絡(luò)：（Peer-to-Peer)在拓?fù)浣Y(jié)構(gòu)上與專用Server與C/S相同，在對(duì)等式網(wǎng)絡(luò)結(jié)構(gòu)中，沒有專用服務(wù)器。每一個(gè)工作站既可以起客戶機(jī)作用也可以起服務(wù)器作用。雖然目前的網(wǎng)卡、HUB和交換機(jī)都能提供100M甚至更寬的帶寬，但一個(gè)局域網(wǎng)如果配置不當(dāng)，盡管配置的設(shè)備都非常高檔而網(wǎng)絡(luò)速度仍不能如意；或者經(jīng)常出現(xiàn)死機(jī)、打不開一個(gè)小文件或根本無法連通服務(wù)器，特別是在一些設(shè)備檔次參差不齊的網(wǎng)絡(luò)中這些現(xiàn)象更是時(shí)有發(fā)生。在局域網(wǎng)中恰當(dāng)?shù)剡M(jìn)行配置，才能使網(wǎng)絡(luò)性能盡可能地進(jìn)行優(yōu)化，最大限度地發(fā)揮網(wǎng)絡(luò)設(shè)備、系統(tǒng)的性能。其實(shí)局域網(wǎng)也是由一些設(shè)備和系統(tǒng)軟件通過一種連接方式組成的，所以局域網(wǎng)的優(yōu)化包括以下幾個(gè)方面：設(shè)備優(yōu)化：包括傳輸介質(zhì)的優(yōu)化、服務(wù)器的優(yōu)化、HUB與交換機(jī)的優(yōu)化等。軟件系統(tǒng)的優(yōu)化：包括服務(wù)器軟件的優(yōu)化和工作站系統(tǒng)的優(yōu)化。布局的優(yōu)化：包括布線和網(wǎng)絡(luò)流量的控制。1.4局域網(wǎng)拓?fù)漕愋屯負(fù)浣Y(jié)構(gòu)是在邏輯上對(duì)網(wǎng)絡(luò)的一個(gè)描述，它反映了整個(gè)網(wǎng)絡(luò)的結(jié)構(gòu)。在網(wǎng)絡(luò)結(jié)構(gòu)上，目前的網(wǎng)絡(luò)結(jié)構(gòu)主要有以下幾種：（1）星形拓?fù)洌盒切瓮負(fù)涫怯芍醒牍?jié)點(diǎn)和通過點(diǎn)到點(diǎn)鏈路到中央節(jié)點(diǎn)的各站點(diǎn)組成。（2）總線拓?fù)洌嚎偩€拓?fù)浣Y(jié)構(gòu)采用單根傳輸作為傳輸介質(zhì)，所有的站點(diǎn)都通過相應(yīng)的硬件接口直接連接到傳輸介質(zhì)上，或稱總線上。（3）環(huán)形拓?fù)洌河梢恍┲欣^器和連接中繼器的點(diǎn)到點(diǎn)鏈路組成一個(gè)閉合環(huán)。每個(gè)中繼器都和兩條鏈路相連。（4）樹形拓?fù)洌簶湫瓮負(fù)涫菑目偩€拓?fù)溲葑冞^來的，形狀像一棵倒置的樹，頂端有一個(gè)分支的根，每個(gè)分支還可以延伸出子分支。它主要有易于擴(kuò)展和故障隔離等優(yōu)點(diǎn)。（5）混合拓?fù)洌核菍⑿切瓮負(fù)浜铜h(huán)形拓?fù)浠旌掀饋淼囊环N拓?fù)洌噲D取這兩種拓?fù)涞膬?yōu)點(diǎn)于一個(gè)系統(tǒng)。在選擇拓?fù)浣Y(jié)構(gòu)時(shí)，應(yīng)該考慮的主要因素有以下幾點(diǎn)：費(fèi)用低：安裝費(fèi)用的高低和拓?fù)浣Y(jié)構(gòu)的選擇以及傳輸介質(zhì)選擇、傳輸距離的確定有關(guān)。靈活性：要考慮到在設(shè)備搬動(dòng)時(shí)很容易重新配置網(wǎng)絡(luò)拓?fù)?，還有考慮原有節(jié)點(diǎn)的刪除和新節(jié)點(diǎn)的加入。可靠性：拓?fù)涞倪x擇要使故障的檢測和故障隔離較為方便。綜上所述，綜合選擇多種結(jié)構(gòu)，選擇星形和樹形相結(jié)合的拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖類型如圖1-1：圖1-1局域網(wǎng)網(wǎng)絡(luò)拓?fù)漕愋?校園網(wǎng)的建設(shè)規(guī)劃2.1校園網(wǎng)的概述校園網(wǎng)是指利用網(wǎng)絡(luò)設(shè)備、通信介質(zhì)和適宜的組網(wǎng)技術(shù)與協(xié)議及各類網(wǎng)絡(luò)系統(tǒng)管理軟件和應(yīng)用軟件，將校園網(wǎng)內(nèi)計(jì)算機(jī)和各種終端有機(jī)地集成在一起，并用于教學(xué)、科研、學(xué)校管理、信息資源共享和遠(yuǎn)程教學(xué)等方面工作的計(jì)算機(jī)局域網(wǎng)絡(luò)系統(tǒng)。校園網(wǎng)的概念最初是以硬件集成為主，校園網(wǎng)只是一個(gè)硬件平臺(tái)。到了第二階段，有提出了以教學(xué)應(yīng)用軟件集成為主的“軟件建網(wǎng)”的校園網(wǎng)概念，這也是當(dāng)今大多數(shù)校園網(wǎng)所采用的模式。校園網(wǎng)由硬件、軟件這兩部分共同組成，其中，硬件是基礎(chǔ)，是校園網(wǎng)的載體，沒有硬件的支持，根本無法談及校園網(wǎng)；軟件是應(yīng)用，是建設(shè)校園網(wǎng)的根本需求的體現(xiàn)。就像普通的PC一樣，建立在硬件上面的系統(tǒng)軟件、應(yīng)用軟件讓我們有了利用計(jì)算機(jī)的可能。校園網(wǎng)是為學(xué)校教師、學(xué)生提供教學(xué)、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)。校園網(wǎng)應(yīng)為學(xué)校教學(xué)、科研提供先進(jìn)的信息化教學(xué)環(huán)境，這就要求校園網(wǎng)是一個(gè)寬帶、局域交互功能和專業(yè)很強(qiáng)的局域網(wǎng)絡(luò)。多媒體教學(xué)、網(wǎng)絡(luò)教學(xué)、教師電子備課、辦公等等都需要通過網(wǎng)絡(luò)運(yùn)行工作。2.2校園網(wǎng)的建設(shè)原則總體設(shè)計(jì)是校園網(wǎng)建設(shè)的總體思路和工程藍(lán)圖，是搞好校園網(wǎng)建設(shè)的核心任務(wù)。進(jìn)行校園網(wǎng)總體設(shè)計(jì)，首先，進(jìn)行對(duì)象研究和需求調(diào)查，弄清學(xué)校的性質(zhì)、任務(wù)和改革發(fā)展的特點(diǎn)，對(duì)學(xué)校的信息化環(huán)境進(jìn)行準(zhǔn)確的描述，明確系統(tǒng)建設(shè)的需求和條件；其次，在應(yīng)用需求分析的基礎(chǔ)上，確定學(xué)校Intranet服務(wù)類型，進(jìn)而確定系統(tǒng)建設(shè)的具體目標(biāo)，包括網(wǎng)絡(luò)設(shè)施、站點(diǎn)設(shè)置、開發(fā)應(yīng)用和管理等方面的目標(biāo)；第三，確定網(wǎng)絡(luò)拓樸結(jié)構(gòu)和功能，根據(jù)應(yīng)用需求、建設(shè)目標(biāo)和學(xué)校主要建筑分布特點(diǎn)，進(jìn)行系統(tǒng)分析和設(shè)計(jì)；第四，確定技術(shù)設(shè)計(jì)的原則要求，如在技術(shù)選型、布線設(shè)計(jì)、設(shè)備選擇、軟件配置等方面的標(biāo)準(zhǔn)和要求；第五，規(guī)劃安排校園網(wǎng)建設(shè)的實(shí)施步驟。作為校園網(wǎng)，需要連接多少個(gè)節(jié)點(diǎn)，怎樣利用網(wǎng)絡(luò)設(shè)備使得分布在不同地理位置的節(jié)點(diǎn)連接到一個(gè)統(tǒng)一的網(wǎng)絡(luò)中來，怎樣使得整個(gè)網(wǎng)絡(luò)中的節(jié)點(diǎn)相互連通，這些問題僅僅是校園網(wǎng)需要解決問題中的一部分。從某種意義上講，校園網(wǎng)的建設(shè)絕不僅僅只是涉及到技術(shù)問題，而是會(huì)引深到更深的層次，也就是說信息技術(shù)所帶來的一場革命會(huì)徹底改變我們的生活方式和工作方式。首先，校園網(wǎng)的建設(shè)是一個(gè)為學(xué)校教育教學(xué)活動(dòng)長期服務(wù)的工作，因此在校園網(wǎng)的規(guī)劃建設(shè)過程中，必須從學(xué)校長遠(yuǎn)發(fā)展規(guī)劃出發(fā)，以服務(wù)于教育為基本點(diǎn)，結(jié)合學(xué)校當(dāng)前教育教學(xué)的實(shí)際需要，做出科學(xué)的規(guī)劃部署。在校園網(wǎng)的規(guī)劃建設(shè)中，一般學(xué)校應(yīng)遵循“統(tǒng)一規(guī)劃、整體設(shè)計(jì)、分步實(shí)施”的原則。其次在校園網(wǎng)的建設(shè)中必須堅(jiān)持硬件建設(shè)與組織管理協(xié)調(diào)發(fā)展的原則，在重視硬件建設(shè)的同時(shí)，加強(qiáng)網(wǎng)絡(luò)的組織管理水平，不斷開發(fā)網(wǎng)絡(luò)的功能，從而充分發(fā)揮校園網(wǎng)絡(luò)的功效，提高校園網(wǎng)對(duì)學(xué)校教育的服務(wù)水平。因此在設(shè)計(jì)中必須遵循以下原則：（1）軟硬件的可行性。系統(tǒng)軟硬件配置必須考慮各種約束條件，主要是性能需求、當(dāng)前技術(shù)水平和改造資金多少，兼顧現(xiàn)實(shí)性和技術(shù)領(lǐng)先性。（2）系統(tǒng)開放原則。系統(tǒng)應(yīng)具有良好的開放性，或稱職兼容性和擴(kuò)展性，以適應(yīng)技術(shù)的不斷發(fā)展和不增強(qiáng)的應(yīng)用需求，因此，應(yīng)盡量采用工業(yè)標(biāo)準(zhǔn)或事實(shí)上的工業(yè)標(biāo)準(zhǔn)技術(shù)。在系統(tǒng)設(shè)計(jì)時(shí)，要考慮系統(tǒng)的生命周期，一般要按超前3~5年考慮。（3）整體最優(yōu)原則。在進(jìn)行系統(tǒng)設(shè)計(jì)和配置時(shí)，常遇到很多矛盾，需根據(jù)有限合理性原則，進(jìn)行綜合考慮和評(píng)價(jià)，折中選擇。應(yīng)考慮的因素有：先進(jìn)性、可靠性、安全性、經(jīng)濟(jì)性。（4）開放性、先進(jìn)性原則。系統(tǒng)的傳輸速率至少目前要夠用，最好要有一定的余量，以適應(yīng)應(yīng)用的不斷增長困采用公認(rèn)的行業(yè)標(biāo)準(zhǔn)，以增強(qiáng)適應(yīng)性，避免淘汰。要留有足夠的擴(kuò)展擴(kuò)充的余地，以便對(duì)系統(tǒng)進(jìn)行擴(kuò)充和改進(jìn)。網(wǎng)絡(luò)可先擇Microsoft的產(chǎn)品，以Web為中心，以Intranet技術(shù)為基礎(chǔ)，采用TCP/IP和HTTP為傳輸協(xié)議，客戶通過瀏覽器訪問Web及Web相連的數(shù)據(jù)庫。2.3網(wǎng)絡(luò)設(shè)備及服務(wù)器選取2.3.1結(jié)構(gòu)化布線綜合布線系統(tǒng)是建筑物或建筑群內(nèi)的傳輸網(wǎng)絡(luò)，它既能使話音和數(shù)據(jù)通信設(shè)備、交換設(shè)備和其他信息管理系統(tǒng)彼此連接，也能使這些設(shè)備與外部通信網(wǎng)絡(luò)相互連接，包括建筑物到外部網(wǎng)絡(luò)或電話局線路上的連線點(diǎn)，與工作區(qū)的話音或數(shù)據(jù)終端之間的所有電纜，以及相關(guān)聯(lián)的布線部件。一個(gè)良好的綜合布線系統(tǒng)對(duì)其服務(wù)的設(shè)備有一定的獨(dú)立性，并能互連許多不同的通信設(shè)備如數(shù)據(jù)終端、模擬式或數(shù)字式電話、PC和主機(jī)以及公共系統(tǒng)裝置。一般布線系統(tǒng)有六個(gè)子系統(tǒng)組成：建筑群間子系統(tǒng)，設(shè)備間子系統(tǒng)，管理區(qū)子系統(tǒng)，垂直（主干）子系統(tǒng)，水平子系統(tǒng)，工作區(qū)子系統(tǒng)。校園網(wǎng)為園區(qū)網(wǎng)，樓群間子系統(tǒng)采用光纜連接，可提供千兆位的帶寬，有充分的擴(kuò)展余地。垂直子系統(tǒng)則位于高層建筑物的豎井內(nèi)，可采用多模光纜或大對(duì)數(shù)雙絞線。把管理區(qū)子系統(tǒng)并入設(shè)備間子系統(tǒng)，集中管理。對(duì)于多幢樓宇，可采用多設(shè)備間的方法。分為中心設(shè)備間和樓棟設(shè)備間部分，中心設(shè)備間是整個(gè)局域網(wǎng)的控制中心，內(nèi)設(shè)有對(duì)外（Internet）對(duì)內(nèi)通信的各種網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器），中心交換機(jī)通過光纜（地下直埋）與樓棟設(shè)備間的交換設(shè)備相連，以保證數(shù)據(jù)的高速傳輸。在此設(shè)備間放置布線的線架和網(wǎng)絡(luò)設(shè)備，端接樓內(nèi)來自在各層的主干線纜，并端接連接網(wǎng)絡(luò)中心的光纖。校園網(wǎng)和Internet的連接技術(shù)就顯得十分重要了，它關(guān)系到校園網(wǎng)與外部網(wǎng)絡(luò)能能否進(jìn)行可靠的連接。用戶計(jì)算機(jī)接入Internet主要有兩種方式，通過局域網(wǎng)或通過電話線網(wǎng)。不過，我們一般采取局域網(wǎng)接入方式。但不管使用哪種接入方式，首先都要連接到ISP的主機(jī)。從用戶角度看，ISP位于Internet的邊緣，用戶通過某種通信線路連接到ISP，再通過ISP的連接通道接入Internet。通過局域網(wǎng)接入Internet是指用戶局域網(wǎng)使用路由器，通過數(shù)據(jù)通信網(wǎng)與ISP相連接，再通過ISP的連接通道接入Internet。選擇哪種數(shù)據(jù)通信網(wǎng)絡(luò)與租用多大的帶寬，通常取決于用戶的信息流量與能夠承擔(dān)的費(fèi)用等多種因素。2.3.2網(wǎng)絡(luò)設(shè)備選型（1）網(wǎng)卡（簡稱NIC），也網(wǎng)絡(luò)適配卡或網(wǎng)絡(luò)接口卡，網(wǎng)卡作為計(jì)算機(jī)與網(wǎng)絡(luò)連接的接口，是不可缺少的網(wǎng)絡(luò)設(shè)備之一。無論是雙絞線網(wǎng)絡(luò)、同軸電纜網(wǎng)絡(luò)還是光纜網(wǎng)絡(luò)，都必須借助于相應(yīng)類型的網(wǎng)卡才能實(shí)現(xiàn)與計(jì)算機(jī)的連接，是計(jì)算機(jī)與局域網(wǎng)相互連接的惟一接口。每塊網(wǎng)卡上都有一個(gè)世界惟一的ID號(hào)，也就是MAC（MediaAccessControl）地址，計(jì)算機(jī)在連入網(wǎng)絡(luò)之后，就是依靠這個(gè)ID號(hào)才能實(shí)現(xiàn)在不同計(jì)算機(jī)之間的通信和信息交換。網(wǎng)卡有很多種，不同類型的網(wǎng)絡(luò)需要使用不同種類的網(wǎng)卡，不同速度的網(wǎng)絡(luò)需求也要使用不同的網(wǎng)卡。如根據(jù)帶寬來分的話，有10Mbit/s網(wǎng)卡、10/100Mit/s自適應(yīng)網(wǎng)卡和1000Mbit/s網(wǎng)卡；如按總線分，有ISA總線、PCI總線、PCMCIA總線網(wǎng)卡等。從目前校園網(wǎng)建設(shè)的實(shí)際情況來看，工作站網(wǎng)卡選擇PCI總線的10M/100Mbit/s自適應(yīng)網(wǎng)卡最適合。（2）交換機(jī)，也稱交換式集線器，是專門設(shè)計(jì)的，使各計(jì)算機(jī)能夠相互高速通信的獨(dú)享帶寬的網(wǎng)絡(luò)設(shè)備。作為高性能的集線設(shè)備，隨著價(jià)格的不斷降低，交換機(jī)已逐步取代了集線器而成為集線設(shè)備的首選。由交換機(jī)構(gòu)建的交換式網(wǎng)絡(luò)系統(tǒng)不僅擁有高速的傳輸速率，而且交換延時(shí)很小，使得信息的傳輸效率大大提高，適合于大數(shù)據(jù)量并且使用非常頻繁的網(wǎng)絡(luò)通信，被廣泛應(yīng)用于各種類型的多媒體和數(shù)據(jù)傳輸網(wǎng)絡(luò)。交換機(jī)具有很強(qiáng)的網(wǎng)絡(luò)管理功能，它能自動(dòng)根據(jù)網(wǎng)絡(luò)通信的使用情況來動(dòng)態(tài)管理網(wǎng)絡(luò)，因?yàn)榻粨Q機(jī)采用了獨(dú)享網(wǎng)絡(luò)帶寬的設(shè)計(jì)。（3）路由器除了有連接不同的網(wǎng)絡(luò)物理分支和不同的通信媒介、過濾和隔離網(wǎng)絡(luò)數(shù)據(jù)流及建立路由表，還有控制和管理復(fù)雜的路徑、控制流量、分組分段、防止網(wǎng)絡(luò)風(fēng)暴及在網(wǎng)絡(luò)分支之間提供安全屏障層等到功能。根據(jù)路由設(shè)備的組成可以分為軟路由和硬路由。根據(jù)路由表的設(shè)置方式可以將路由器分為靜態(tài)的和動(dòng)態(tài)的。路由器工作在網(wǎng)絡(luò)層，因此它可以在網(wǎng)絡(luò)層交換和路由數(shù)據(jù)幀，訪問的是對(duì)方的網(wǎng)絡(luò)地址。當(dāng)數(shù)據(jù)幀到達(dá)路由器后，路由器查看數(shù)據(jù)幀的目標(biāo)地址，并在路由表查看到達(dá)目標(biāo)地址的路徑，根據(jù)路徑的代價(jià)，選擇一條最佳的路徑，然后把數(shù)據(jù)幀沿這條路徑發(fā)送給目標(biāo)地址。網(wǎng)絡(luò)主干設(shè)備的系統(tǒng)結(jié)構(gòu)直接決定了設(shè)備的性能和功能水平。因此，深入了解設(shè)備的系統(tǒng)結(jié)構(gòu)設(shè)計(jì)，客觀認(rèn)知設(shè)備的性能和功能，這對(duì)正確選擇設(shè)備極有幫助。在此次設(shè)計(jì)中，為了更好的完成所有功能，全部采用了Cisco的交換機(jī)和路由器。下面就簡要介紹下此次設(shè)計(jì)中的重要設(shè)備——交換機(jī)的選型。1．Catalyst交換機(jī)產(chǎn)品（1）Catalyst2960系列交換機(jī)CiscoCatalyst2960系列智能以太網(wǎng)交換機(jī)是一個(gè)全新的、固定配置的獨(dú)立設(shè)備系列，提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，可為入門級(jí)企業(yè)、中型市場和分支機(jī)構(gòu)網(wǎng)絡(luò)提供增強(qiáng)LAN服務(wù)。Catalyst2960系列具有集成安全特性，包括網(wǎng)絡(luò)準(zhǔn)入控制(NAC)、高級(jí)服務(wù)質(zhì)量(QoS)和永續(xù)性，可為網(wǎng)絡(luò)邊緣提供智能服務(wù)。CiscoCatalyst2960系列提供：?為網(wǎng)絡(luò)邊緣提供了智能特性，如先進(jìn)的訪問控制列表(ACL)和增強(qiáng)安全特性；?雙介質(zhì)上行鏈路端口提供了千兆以太網(wǎng)上行鏈路靈活性，可以使用銅纜或光纖上行鏈路端口—每個(gè)介質(zhì)上行鏈路端口都有一個(gè)10/100/1000以太網(wǎng)端口和一個(gè)小型可插拔(SFP)千兆以太網(wǎng)端口，在使用時(shí)其中一個(gè)端口激活，但不能同時(shí)使用這兩個(gè)端口；?通過高級(jí)QoS、精確速率限制、ACL和組播服務(wù)，實(shí)現(xiàn)了網(wǎng)絡(luò)控制和帶寬優(yōu)化；?通過多種驗(yàn)證方法、數(shù)據(jù)加密技術(shù)和基于用戶、端口和MAC地址的網(wǎng)絡(luò)準(zhǔn)入控制，實(shí)現(xiàn)了網(wǎng)絡(luò)安全性；?通過思科網(wǎng)絡(luò)助理，簡化了網(wǎng)絡(luò)配置、升級(jí)和故障診斷；?使用Smartports自動(dòng)配置特定應(yīng)用；（2）系列產(chǎn)品配置CiscoCatalyst2960系列包括以下交換機(jī)：?CiscoCatalyst2960-24TT：24個(gè)10/100以太網(wǎng)端口和2個(gè)10/100/1000固定以太網(wǎng)上行鏈路端口；1機(jī)架單元(RU)?CiscoCatalyst2960-48TT：48個(gè)10/100以太網(wǎng)端口和2個(gè)10/100/1000固定以太網(wǎng)上行鏈路端口；1RU?CiscoCatalyst2960-24TC：24個(gè)10/100以太網(wǎng)端口和2個(gè)雙介質(zhì)上行鏈路端口；1RU?CiscoCatalyst2960-48TC：48個(gè)10/100以太網(wǎng)端口和2個(gè)雙介質(zhì)上行鏈路端口；1RU?CiscoCatalyst2960G-24TC：20個(gè)10/100/1000以太網(wǎng)端口，其中4個(gè)為雙介質(zhì)端口；1RU2．產(chǎn)品特性（1）千兆以太網(wǎng)千兆以太網(wǎng)以1000Mbps的速度，提供了可滿足新網(wǎng)絡(luò)和擴(kuò)展網(wǎng)絡(luò)的需求的帶寬，消除了瓶頸，提升了性能，同時(shí)提高了現(xiàn)有基礎(chǔ)設(shè)施投資的回報(bào)。目前，工作人員都對(duì)網(wǎng)絡(luò)有著更高需求，在網(wǎng)絡(luò)上同時(shí)運(yùn)行多個(gè)應(yīng)用。例如，一位員工通過IP視頻會(huì)議而參加小組會(huì)議，向與會(huì)者發(fā)送一個(gè)10MB的電子表格，將最新營銷視頻廣播給整個(gè)小組以供評(píng)估，此外還查詢客戶關(guān)系管理(CRM)數(shù)據(jù)庫，以獲得最新實(shí)時(shí)反饋。同時(shí)，后臺(tái)開始了一個(gè)多GB的系統(tǒng)備份，并向客戶端提供最新防病毒軟件的升級(jí)。（2）網(wǎng)絡(luò)智能性當(dāng)今的網(wǎng)絡(luò)正在不斷發(fā)展，在網(wǎng)絡(luò)邊緣出現(xiàn)了四種新趨勢(shì)：桌面計(jì)算能力提高、帶寬密集型應(yīng)用出現(xiàn)、高敏感數(shù)據(jù)在網(wǎng)絡(luò)中擴(kuò)展、出現(xiàn)了多種設(shè)備類型，如IP電話、WLAN接入點(diǎn)和IP視頻攝像頭。這些新需求正與許多已有關(guān)鍵任務(wù)應(yīng)用爭奪資源。因此，IT專業(yè)人員必須將網(wǎng)絡(luò)邊緣看作有效管理信息和應(yīng)用的提供的關(guān)鍵。隨著人們對(duì)網(wǎng)絡(luò)的依賴性日益增強(qiáng)，將其作為戰(zhàn)略性業(yè)務(wù)基礎(chǔ)設(shè)施，確保網(wǎng)絡(luò)的高可用性、安全性、可擴(kuò)展性和對(duì)它的全面控制就比以前更為重要。通過為LAN接入添加思科智能功能，客戶現(xiàn)可部署遍布整個(gè)網(wǎng)絡(luò)的智能服務(wù)，從而一致地滿足從桌面到核心再到WAN的要求。通過CiscoCatalyst智能以太網(wǎng)交換機(jī)，思科可幫助公司獲得向其網(wǎng)絡(luò)添加智能服務(wù)的全面優(yōu)勢(shì)。為進(jìn)一步優(yōu)化網(wǎng)絡(luò)運(yùn)行，部署具備以下特性的功能是十分關(guān)鍵的：能使網(wǎng)絡(luò)基礎(chǔ)設(shè)施高度可用以達(dá)到關(guān)鍵時(shí)間要求、可擴(kuò)展以便于公司發(fā)展、高度安全以保護(hù)保密信息，且能區(qū)分和控制流量。（3）增強(qiáng)安全性憑借CiscoCatalyst2960系列提供的廣泛安全特性，企業(yè)可保護(hù)重要信息，防止未授權(quán)人員接入網(wǎng)絡(luò)，確保私密性及維持不間斷運(yùn)行。思科基于身份的網(wǎng)絡(luò)服務(wù)(IBNS)解決方案提供了身份驗(yàn)證、訪問控制和安全策略管理，可保護(hù)網(wǎng)絡(luò)連接和資源。Catalyst2960系列中的IBNS可防止未授權(quán)接入，并確保用戶只獲得其指定權(quán)利。它能動(dòng)態(tài)管理網(wǎng)絡(luò)接入的具體層次。使用802.1x標(biāo)準(zhǔn)和思科安全訪問控制服務(wù)器（ACS），無論用戶在何處連接到網(wǎng)絡(luò)中，都可在驗(yàn)證基礎(chǔ)上分配到一個(gè)VLAN。此設(shè)置使IT部門能在不影響用戶移動(dòng)性的情況下，以最低管理開銷實(shí)施強(qiáng)大的安全策略。為防止拒絕服務(wù)攻擊和其他攻擊，可用ACL根據(jù)源和目的地MAC地址、IP地址或TCP/UDP端口來拒絕分組，從而限制對(duì)網(wǎng)絡(luò)敏感部分的訪問。ACL查詢?cè)谟布型瓿?，故此在?shí)施基于ACL的安全性時(shí)不會(huì)影響轉(zhuǎn)發(fā)性能。端口安全性可根據(jù)與以太網(wǎng)端口相連的設(shè)備的MAC地址，來限制以太網(wǎng)端口上的訪問。它也可用于限制插入一個(gè)交換機(jī)端口的總設(shè)備數(shù)目，因此可使交換機(jī)免遭MAC泛洪攻擊，降低了惡意無線接入點(diǎn)或集線器接入的風(fēng)險(xiǎn)。憑借動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)監(jiān)聽，可以只允許來自不可信用戶端口的DHCP請(qǐng)求（但不允許響應(yīng)）進(jìn)入網(wǎng)絡(luò)，從而防止DHCP電子欺騙。此外DHCP接口跟蹤器(選項(xiàng)82)特性可為主機(jī)IP地址請(qǐng)求添加交換機(jī)端口ID，有助于實(shí)現(xiàn)對(duì)于IP地址分配的精確控制。MAC地址通知特性可向管理站發(fā)送報(bào)警，從而監(jiān)控網(wǎng)絡(luò)和跟蹤用戶，以使網(wǎng)絡(luò)管理員知道用戶何時(shí)、從何處進(jìn)入網(wǎng)絡(luò)。SSHv2和SNMPv3對(duì)管理和網(wǎng)絡(luò)管理信息加密，保護(hù)網(wǎng)絡(luò)免遭干擾或竊聽。TACACS+或RADIUS驗(yàn)證實(shí)現(xiàn)了交換機(jī)的集中訪問控制，并限制未授權(quán)用戶改變配置。此外，可在交換機(jī)上配置本地用戶名和密碼數(shù)據(jù)庫。交換機(jī)控制臺(tái)上的15個(gè)授權(quán)級(jí)別和Web管理界面上的2個(gè)級(jí)別提供了向不同管理員分配不同配置功能級(jí)別的能力。（4）可用性和可擴(kuò)展性CiscoCatalyst2960系列配備了強(qiáng)大的特性集，通過組播過濾和旨在第二層網(wǎng)絡(luò)中提供最高可用性的全套生成樹協(xié)議改進(jìn)，實(shí)現(xiàn)了網(wǎng)絡(luò)可擴(kuò)展性及更高可用性。對(duì)標(biāo)準(zhǔn)生成樹協(xié)議的改進(jìn)，如PVST+、UplinkFast和PortFast，可實(shí)現(xiàn)最長網(wǎng)絡(luò)正常運(yùn)行時(shí)間。PVST+可在冗余鏈路上進(jìn)行第二層負(fù)載共享，以有效使用冗余設(shè)計(jì)中的額外容量。UplinkFast、PortFast和BackboneFast都大大縮減了標(biāo)準(zhǔn)的30到60秒生成樹協(xié)議收斂時(shí)間。Flexlink提供了不到100ms的雙向、快速收斂。對(duì)環(huán)路保護(hù)和網(wǎng)橋協(xié)議數(shù)據(jù)單元（BPDU）保護(hù)的增強(qiáng)避免了生成樹協(xié)議環(huán)路的出現(xiàn)。（5）高級(jí)QoSCiscoCatalyst2960提供了出色的多層QoS特性，確保網(wǎng)絡(luò)流量進(jìn)行了分類和優(yōu)先級(jí)劃分，并以最好的方式避免了擁塞。QoS的配置通過自動(dòng)QoS（AutoQoS）大大得到了簡化，這是一個(gè)可發(fā)現(xiàn)思科IP電話并自動(dòng)配置交換機(jī)以進(jìn)行正確分類和輸出排序的特性。這優(yōu)化了流量優(yōu)先級(jí)劃分和網(wǎng)絡(luò)可用性，且不會(huì)帶來復(fù)雜配置的問題。Catalyst2960可對(duì)進(jìn)入的分組分類、再分類、監(jiān)管、標(biāo)記、排序和排程，并能在出口處對(duì)分組排序和排程。分組分類使網(wǎng)絡(luò)元素可區(qū)分不同流量，并根據(jù)第二層和第三層QoS實(shí)施策略。為實(shí)現(xiàn)QoS，Catalyst2960系列交換機(jī)首先確認(rèn)分組或流量組，再使用DSCP字段或802.1p服務(wù)級(jí)別（CoS）字段對(duì)這些組分類和再分類。分類和再分類可根據(jù)源或目的地IP地址、源或目的地MAC地址或者第4層TCP/UDP端口等標(biāo)準(zhǔn)進(jìn)行。在入口，Catalyst2960也將進(jìn)行監(jiān)管，以確定分組是在小組內(nèi)還是在小組外，標(biāo)記以改變分類標(biāo)簽，傳輸或丟棄小組分組，并根據(jù)類別對(duì)分組排序。所有端口上都支持控制平面和數(shù)據(jù)平面ACL，確保每個(gè)分組得到正確的處理。CiscoCatalyst2960支持每端口4個(gè)輸出隊(duì)列，使網(wǎng)絡(luò)管理員能更好地進(jìn)行控制，為LAN上的各種應(yīng)用分配優(yōu)先級(jí)。在出口，交換機(jī)執(zhí)行排程和擁塞控制。排程是一種確定隊(duì)列處理順序的算法或進(jìn)程。Catalyst2960系列交換機(jī)支持整形循環(huán)（SRR）和嚴(yán)格優(yōu)先級(jí)隊(duì)列。SRR算法有助于確保個(gè)性化優(yōu)先級(jí)劃分。這些QoS特性使網(wǎng)絡(luò)管理員能將關(guān)鍵任務(wù)和帶寬密集型流量劃為較高優(yōu)先級(jí)，其中包括企業(yè)資源規(guī)劃（ERP）、語音（IP電話流量）和計(jì)算機(jī)輔助設(shè)計(jì)及制造（CAD/CAM）等，而將FTP或電子郵件等對(duì)應(yīng)用劃為較低優(yōu)先級(jí)。例如，下載一個(gè)目的地為交換機(jī)上某一端口的大型文件，而這會(huì)增加目的地為此交換機(jī)上另一端口的語音流量的延遲，這種情況是用戶極為不愿看到的。通過確保語音流量在網(wǎng)絡(luò)中得到正確分類和優(yōu)先級(jí)劃分，可避免此情況。Web瀏覽等其他應(yīng)用則可作為較低優(yōu)先級(jí)對(duì)待。Catalyst2960系列能通過對(duì)思科承諾信息速率（CIR）功能的支持而執(zhí)行速率限制。通過CIR，能以低至8kbps的增量保證帶寬。帶寬的分配根據(jù)若干標(biāo)準(zhǔn)進(jìn)行，包括MAC源地址、MAC目的地地址、IP源地址、IP目的地地址和TCP/UDP端口號(hào)。在需服務(wù)級(jí)別協(xié)議的網(wǎng)絡(luò)環(huán)境中或需控制授予某些用戶的帶寬時(shí)，帶寬分配非常重要。2.3.3服務(wù)器校園網(wǎng)中的服務(wù)器主有數(shù)據(jù)庫服務(wù)器和代理服務(wù)器，數(shù)據(jù)服務(wù)器與代理服務(wù)器主要是面向校園網(wǎng)內(nèi)部用戶的服務(wù)，對(duì)來自Internet的用戶服務(wù)也很多，主要是對(duì)校園網(wǎng)內(nèi)部用戶進(jìn)行Internet代理服務(wù)。目前，絕大多數(shù)校園網(wǎng)都要求內(nèi)部服務(wù)用戶通過代理訪問Internet，這樣內(nèi)部用戶就不能直接訪問Internet，同時(shí)代理服務(wù)器保存著內(nèi)部用戶訪問Internet的日志，以作為記費(fèi)的依據(jù)。由于用戶數(shù)量非常大，也非常集口中，所以在選型代理服務(wù)器時(shí)，主要考慮的是要有較大的容量、較高的處理速度和較高的穩(wěn)定性，一般來說都選用大型服務(wù)器作為代理服務(wù)器。(1)服務(wù)器端。選擇微軟的服務(wù)器端集成軟件BackOffice包括了WindowsNT.IIS.FrontPage.SQLServer.Exchangeserver.SystemsManagementServer。ProxyServer以及一個(gè)統(tǒng)的客戶/服務(wù)器軟件安裝程序。其中,WINDOWNT作為網(wǎng)絡(luò)的基礎(chǔ),提供文件和打印機(jī)共享,通信Internet連接和應(yīng)用程序服務(wù):IIS提供WWW和FTP服務(wù);FrontPage提供網(wǎng)頁制作工具和Web管理;Indexserver提供Email.時(shí)間規(guī)劃和集成的群件性能;SNAServer提供主機(jī)數(shù)據(jù)和應(yīng)用的連接能力;SystemsManagement集中地管理這個(gè)分布式的環(huán)境;ProxyServer提供防火墻功能,有效地將校園網(wǎng)與公共Internet分離,并有效地提供客戶訪問Internet的通路。(2)客戶端。選用IE5.0以上,它提供了組用戶訪問Web,所有本地文件和校園網(wǎng)絡(luò)上所有文件的集成方法。2.3.4Internet接入技術(shù)校園網(wǎng)和Internet的連接技術(shù)就顯得十分重要了，它關(guān)系到校園網(wǎng)與外部網(wǎng)絡(luò)能能否進(jìn)行可靠的連接。用戶計(jì)算機(jī)接入Internet主要有兩種方式，通過局域網(wǎng)或通過電話線網(wǎng)。不過，我們一般采取局域網(wǎng)接入方式。但不管使用哪種接入方式，首先都要連接到ISP的主機(jī)。從用戶角度看，ISP位于Internet的邊緣，用戶通過某種通信線路連接到ISP，再通過ISP的連接通道接入Internet。通過局域網(wǎng)接入Internet是指用戶局域網(wǎng)使用路由器，通過數(shù)據(jù)通信網(wǎng)與ISP相連接，再通過ISP的連接通道接入Internet。選擇哪種數(shù)據(jù)通信網(wǎng)絡(luò)與租用多大的帶寬，通常取決于用戶的信息流量與能夠承擔(dān)的費(fèi)用等多種因素。2.3.5網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)NOS（NetworkOperatingSystem）是在計(jì)算機(jī)操作系統(tǒng)的基礎(chǔ)上，加上一些具有實(shí)現(xiàn)網(wǎng)絡(luò)訪問和控制功能的模塊以及相關(guān)的數(shù)據(jù)通信協(xié)議，是使網(wǎng)絡(luò)上各計(jì)算機(jī)能夠方便有效地共享網(wǎng)絡(luò)資源、為網(wǎng)絡(luò)用戶提供所需的各種服務(wù)軟件和規(guī)程的集合。目前主要的網(wǎng)絡(luò)操作系統(tǒng)有NetWare、Unix、Linux和WindowsNT/2000。在校園網(wǎng)中一般情況下都用Windows2000網(wǎng)絡(luò)操作系統(tǒng)，因?yàn)樗菆D形化的操作界面、使用簡單、安全可靠，以及和普及率很高Windows系列單機(jī)操作系統(tǒng)的兼容性很好。3系統(tǒng)詳細(xì)設(shè)計(jì)3.1系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu)校園網(wǎng)設(shè)計(jì)方案主要由以下四大部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問模塊、服務(wù)器群。整個(gè)網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖如圖3-1所示。（省略了部分拓?fù)湫畔ⅲ﹫D3-1校園網(wǎng)整體拓?fù)浣Y(jié)構(gòu)圖3.2VLAN及IP地址規(guī)劃圖3.2VLAN及IP編址方案3.3交換模塊設(shè)計(jì)為了簡化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)行的。園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可劃分為三個(gè)層次：訪問層、分布層、核心層。3.4訪問層交換服務(wù)的實(shí)現(xiàn)－配置訪問層交換機(jī)訪問層為所有的終端用戶提供一個(gè)接入點(diǎn)。這里的訪問層交換機(jī)采用的是CiscoCatalyst295024口交換機(jī)。交換機(jī)擁有24個(gè)10/100Mbps自適應(yīng)快速以太網(wǎng)端口，運(yùn)行的是Cisco的IOS操作系統(tǒng)。我們以拓?fù)鋱D中的訪問層交換機(jī)XingZhengLou為例進(jìn)行介紹。如圖3.4所示圖3.4訪問層交換機(jī)XingZhengLou3.4.1配置訪問層交換機(jī)XingZhengLou的基本參數(shù)（1）設(shè)置交換機(jī)名稱設(shè)置交換機(jī)名稱，也就是出現(xiàn)在交換機(jī)CLI提示符中的名字。一般我們會(huì)以地理位置或行政劃分來為交換機(jī)命名。當(dāng)我們需要Telnet登錄到若干臺(tái)交換機(jī)以維護(hù)一個(gè)大型網(wǎng)絡(luò)時(shí)，通過交換機(jī)名稱提示符提示自己當(dāng)前配置交換機(jī)的位置是很有必要的。為訪問層交換機(jī)XingZhengLou命名，如圖3.4.1圖3.4.1為訪問層交換機(jī)XingZhengLou命名3.4.2設(shè)置交換機(jī)的加密使能口令當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時(shí)，需要提供此口令。此口令會(huì)以MD5的形式加密，因此，當(dāng)用戶查看配置文件時(shí)，無法看到明文形式的口令。將交換機(jī)的加密使能口令設(shè)置為xingzhenglou，如圖3.4.2所示 圖3.4.2為交換機(jī)設(shè)置加密使能口 3.4.3設(shè)置登錄虛擬終端線時(shí)的口令對(duì)于一個(gè)已經(jīng)運(yùn)行著的交換網(wǎng)絡(luò)來說，交換機(jī)的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理人員提供了很多的方便。但是，處于安全考慮，在能夠遠(yuǎn)程管理交換機(jī)之前網(wǎng)絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機(jī)的口令。設(shè)置登錄交換機(jī)時(shí)需要驗(yàn)證用戶身份，同時(shí)設(shè)置口令為user。如圖3-2-4所示圖3.4.3為訪問層交換機(jī)XingZhengLou命名3.4.4設(shè)置終端線超時(shí)時(shí)間為了安全考慮，可以設(shè)置終端線超時(shí)時(shí)間。在設(shè)置的時(shí)間內(nèi)，如果沒有檢測到鍵盤輸入，IOS將斷開用戶和交換機(jī)之間的連接。設(shè)置登錄交換機(jī)的控制臺(tái)終端線路及虛擬終端線的超時(shí)時(shí)間為5分30秒鐘。如圖3.4.4所示圖.5設(shè)置禁用IP地址解析特性交換機(jī)默認(rèn)配置的情況下，當(dāng)我們輸入一條錯(cuò)誤的交換機(jī)命令時(shí)，交換機(jī)會(huì)嘗試將其廣播給網(wǎng)絡(luò)上的DNS服務(wù)器并將其解析成對(duì)應(yīng)的IP地址。利用命令noipdomain-lookup。可以禁用這個(gè)特性設(shè)置禁用IP地址解析特性，如圖3.4.5所示圖配置訪問層交換機(jī)XingZhengLou的管理IP、默認(rèn)網(wǎng)關(guān)訪問層交換機(jī)是OSI參考模型的第2層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備。因此，給訪問層交換機(jī)的每個(gè)端口設(shè)置IP地址是沒意義的。但是，為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到訪問層交換機(jī)上進(jìn)行管理，必要給訪問層交換機(jī)設(shè)置一個(gè)管理用IP地址。這種情況下，實(shí)際上是將交換機(jī)看成和PC機(jī)一樣的主機(jī)。給交換機(jī)設(shè)置管理用IP地址只能在VLAN1，即本征VLAN中進(jìn)行。按照?qǐng)D3.2，管理VLAN所在的子網(wǎng)是：/24，這里將訪問層交換機(jī)XingZhengLou的管理IP地址設(shè)為：/24。顯示了為訪問層交換機(jī)XingZhengLou設(shè)置管理IP并激活本征VLAN。如圖3.5所示圖3.5設(shè)置訪問層交換機(jī)XingZhengLou的管理IP為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī)，還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān)地址54。如圖3.5.1所示圖3.5.1設(shè)置訪問層交換機(jī)XingZhengLou的默認(rèn)網(wǎng)關(guān)地址3.6配置訪問層交換機(jī)XingZhengLou的VLAN及VTP從提高效率的角度出發(fā)，在本校園網(wǎng)實(shí)現(xiàn)實(shí)例中使用了VTP技術(shù)。同時(shí)，將分布層交換機(jī)DistributeSwitch1設(shè)置成為VTP服務(wù)器，其他交換機(jī)設(shè)置成為VTP客戶機(jī)。這里訪問層交換機(jī)XingZhengLou將通過VTP獲得在分布層交換機(jī)DistributeSwitch1中定義的所有VLAN的信息。設(shè)置訪問層交換機(jī)XingZhengLou成為VTP客戶機(jī)。如圖3.6所示圖3.6設(shè)置訪問層交換機(jī)XingZhengLou成為VTP客戶機(jī)3.7配置訪問層交換機(jī)XingZhengLou端口基本參數(shù)3.7.1端口雙工配置可以設(shè)定某端口根據(jù)對(duì)端設(shè)備雙工類型自動(dòng)調(diào)整本端口雙工模式，也可以強(qiáng)制將端口雙工模式設(shè)為半雙工或全雙工模式。在了解對(duì)端設(shè)備類型的情況下，建議手動(dòng)設(shè)置端口雙工模式。設(shè)置訪問層交換機(jī)XingZhengLou的所有端口均工作在全雙工模式。如圖3.7.1所示圖3.7.1設(shè)置訪問層交換機(jī)XingZhengLou的端口工作模式3.7.2端口速度可以設(shè)定某端口根據(jù)對(duì)端設(shè)備速度自動(dòng)調(diào)整本端口速度，也可以強(qiáng)制將端口速度設(shè)為10Mpbs或100Mbps。在了解對(duì)端設(shè)備速度的情況下，建議手動(dòng)設(shè)置端口速度。設(shè)置訪問層交換機(jī)XingZhengLou的所有端口的速度均為100Mbps。如圖3.7.2所示圖配置訪問層交換機(jī)XingZhengLou的訪問端口3.8.1訪問層交換機(jī)XingZhengLou為終端用戶提供接入服務(wù)。在圖中，訪問層交換機(jī)XingZhengLou為VLAN2、VLAN3、VLAN4提供接入服務(wù)。設(shè)置訪問層交換機(jī)XingZhengLou的端口1～6、7～13、14～20分別為VLAN2、VLAN3、VLAN4的成員，其端口工作在訪問（接入）模式。如圖3.8.1所示圖.2設(shè)置快速端口默認(rèn)情況下，交換機(jī)在剛加電啟動(dòng)時(shí)，每個(gè)端口都要經(jīng)歷生成樹的四個(gè)階段：阻塞、偵聽、學(xué)習(xí)、轉(zhuǎn)發(fā)。在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前，某個(gè)端口可能最多要等50秒鐘的時(shí)間（20秒的阻塞時(shí)間＋15秒的偵聽延遲時(shí)間＋15秒的學(xué)習(xí)延遲時(shí)間）。對(duì)于直接接入終端工作站的端口來說，用于阻塞和偵聽的時(shí)間是不必要的。為了加速交換機(jī)端口狀態(tài)轉(zhuǎn)化時(shí)間，可以設(shè)置將某端口設(shè)置成為快速端口（Portfast）。設(shè)置為快速端口的端口當(dāng)交換機(jī)啟動(dòng)或端口有工作站接入時(shí)，將會(huì)直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，而不會(huì)經(jīng)歷阻塞、偵聽、學(xué)習(xí)狀態(tài)（假設(shè)橋接表已經(jīng)建立）。設(shè)置訪問層交換機(jī)XingZhengLou的端口1～端口20為快速端口。如圖3.8.2所示圖配置訪問層交換機(jī)XingZhengLou的主干道端口如圖所示，訪問層交換機(jī)XingZhengLou通過端口FastEthernet0/23上連到分布層交換機(jī)DistributeSwitch1的端口FastEthernet0/20。同時(shí)，訪問層交換機(jī)XingZhengLou還通過端口FastEthernet0/24上連到分布層交換機(jī)DistributeSwitch2的端口FastEthernet0/20。這兩條上連鏈路將成為主干道鏈路，在這兩條上連鏈路上將運(yùn)輸多個(gè)VLAN的數(shù)據(jù)。設(shè)置訪問層交換機(jī)XingZhengLou的端口FastEthernet0/23、FastEthernet0/24為主干道端口。如圖3.9.1所示圖0配置其它訪問層交換機(jī)其它訪問層交換機(jī)分別為剩余VLAN的用戶提供接入服務(wù)。同時(shí)，它們也通過自己的FastEthernet0/23、FastEthernet0/24上連到分布層交換機(jī)DistributeSwitch1、DistributeSwitch2的端口上。這些剩余的訪問層交換機(jī)其配置步驟、命令與訪問層交換機(jī)XingZhengLou的配置類似。4分布層交換服務(wù)的實(shí)現(xiàn)－配置分布層交換機(jī)分布層除了負(fù)責(zé)將訪問層交換機(jī)進(jìn)行匯集外，還為整個(gè)交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能。這里的分布層交換機(jī)采用的是CiscoCatalyst3550交換機(jī)。作為3層交換機(jī)，CiscoCatalyst3550交換機(jī)擁有24個(gè)10/100Mbps自適應(yīng)快速以太網(wǎng)端口，同時(shí)還有2個(gè)1000Mbps的GBIC端口供上連使用，運(yùn)行的是Cisco的IntegratedIOS操作系統(tǒng)。我們以圖4中的分布層交換機(jī)DistributeSwitch1為例進(jìn)行介紹。如圖4所示：圖4分布層交換機(jī)DistributeSwitch14.1配置分布層交換機(jī)DistributeSwitch1的基本參數(shù)對(duì)分布層交換機(jī)DistributeSwitch1的基本參數(shù)的配置步驟與對(duì)訪問層交換機(jī)XingZhengLou的基本參數(shù)的配置類似。這里，只給出實(shí)際的配置步驟，不再給出解釋。如圖4.1所示：4.2配置分布層交換機(jī)DistributeSwitch1的VTP當(dāng)網(wǎng)絡(luò)中交換機(jī)數(shù)量很多時(shí)，需要分別在每臺(tái)交換機(jī)上創(chuàng)建很多重復(fù)的VLAN。工作量很大、過程很繁瑣，并且容易出錯(cuò)。因此我們常采用VLAN中繼協(xié)議（VlanTrunkingProtocol，VTP）來解決這個(gè)問題。VTP允許我們?cè)谝慌_(tái)交換機(jī)上創(chuàng)建所有的VLAN。然后，利用交換機(jī)之間的互相學(xué)習(xí)功能，將創(chuàng)建好的VLAN定義傳播到整個(gè)網(wǎng)絡(luò)中需要此VLAN定義的所有交換機(jī)上。同時(shí)，有關(guān)VLAN的刪除、參數(shù)更改操作均可傳播到其他交換機(jī)。從而大大減輕了網(wǎng)絡(luò)管理人員配置交換機(jī)負(fù)擔(dān)。在本校園網(wǎng)實(shí)現(xiàn)實(shí)例中使用了VTP技術(shù)。同時(shí)，將分布層交換機(jī)DistributeSwitch1設(shè)置成為VTP服務(wù)器，其他交換機(jī)設(shè)置成為VTP客戶機(jī)。4.2.1配置VTP管理域共享相同VLAN定義數(shù)據(jù)庫的交換機(jī)構(gòu)成一個(gè)VTP管理域。每一個(gè)VTP管理域都有一個(gè)共同的VTP管理域域名。不同VTP管理域的交換機(jī)之間不交換VTP通告信息。將VTP管理域的域名定義為"campus"。如圖4.2.1所示圖4.2.1設(shè)置VTP管理域的域名4.2.2設(shè)置VTP服務(wù)器工作在VTP服務(wù)器模式下的交換機(jī)可以創(chuàng)建、刪除VLAN、修改VLAN參數(shù)。同時(shí)，還有責(zé)任發(fā)送和轉(zhuǎn)發(fā)VLAN更新消息。如圖4.2.2所示，設(shè)置分布層交換機(jī)DistributeSwitch1成為VTP服務(wù)器。圖4.2.2服務(wù)器4.3在分布層交換機(jī)DistributeSwitch1上定義VLAN在本校園網(wǎng)實(shí)現(xiàn)實(shí)例中，除了默認(rèn)的本地VLAN外，又定義了15個(gè)VLAN，如表1-1所示。由于使用了VTP技術(shù)，所以所有VLAN的定義只需要在VTP服務(wù)器，即分布層交換機(jī)DistributeSwitch1上進(jìn)行。如圖4.3所示，定義了15個(gè)VLAN，同時(shí)為每個(gè)VLAN命名。圖4.3定義VLAN4.4配置分布層交換機(jī)DistributeSwitch1的端口基本參數(shù)分布層交換機(jī)DistributeSwitch1的端口FastEthernet0/1～FastEthernet0/10為服務(wù)器群提供接入服務(wù)，而端口FastEthernet0/20～24分別下連到5個(gè)訪問層交換機(jī)的端口FastEthernet0/23～24上。此外，分布層交換機(jī)DistributeSwitch1還通過自己的千兆端口GigabitEthernet0/1上連到核心交換機(jī)CoreSwitch1的GigabitEthernetG0/1。為了實(shí)現(xiàn)冗余設(shè)計(jì)，分布層交換機(jī)DistributeSitch1還通過自己的千兆端口GigabitEthernet0/2連接另一臺(tái)到分布層交換機(jī)DistributeSwitch2的GigabitEthernet0/2。圖4.4DistributeSwitch1的配置4.5配置分布層交換機(jī)DistributeSwitch1的3層交換功能分布層交換機(jī)DistributeSwitch1需要為網(wǎng)絡(luò)中的各個(gè)VLAN提供路由功能。這需要首先啟用分布層交換機(jī)的路由功能。如圖4.5.1圖4.5.1接下來，需要為每個(gè)VLAN定義自己的默認(rèn)網(wǎng)關(guān)地址，如圖4.5.2所示圖4.5.2此外，還需要定義通往Intenet的路由。這里使用了一條缺省路由命令，如圖4.5.3所示。其中，下一跳地址是Internet接入路由器的快速以太網(wǎng)接口FastEthernet0/0的IP地址。圖4.5.3定義通往Internet的路由4.6配置分布層交換機(jī)DistributeSwitch2分布層交換機(jī)DistributeSwitch2的端口FastEthernet0/20～24也分別下連到5個(gè)訪問層交換機(jī)的端口上。此外，分布層交換機(jī)DistributeSwitch2還通過自己的千兆端口GigabitEthernet0/1上連到核心交換機(jī)CoreSwitch1的GigabitEthernet0/2。為了實(shí)現(xiàn)冗余設(shè)計(jì)，分布層交換機(jī)DistributeSwitch2還通過自己的千兆端口GigabitEthernet0/2連接到分布層交換機(jī)DistributeSwitch1的GigabitEthernet0/2。對(duì)分布層交換機(jī)DistributeSwitch2的配置步驟、命令和對(duì)分布層交換機(jī)DistributeSwitch1的配置類似。

5核心層交換服務(wù)的實(shí)現(xiàn)－配置核心層交換機(jī)核心層將各分布層交換機(jī)互連起來進(jìn)行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。本實(shí)例中的核心層交換機(jī)采用的是CiscoCatalyst3560交換機(jī)，運(yùn)行的是Cisco的IntegratedIOS操作系統(tǒng)。我們以圖5中的核心層交換機(jī)CoreSwitch為例進(jìn)行介紹。如圖3-3-1所示圖5核心層交換機(jī)CoreSwitch5.1配置核心層交換機(jī)CoreSwitch的基本參數(shù)對(duì)核心層交換機(jī)CoreSwitch的基本參數(shù)的配置步驟與對(duì)訪問層交換機(jī)XingZhengLou的基本參數(shù)的配置類似。這里，如圖5.1所示，只給出實(shí)際的配置步驟。圖5.1配置核心層交換機(jī)CoreSwitch的基本參數(shù)5.2配置核心層交換機(jī)CoreSwitch的管理IP、默認(rèn)網(wǎng)關(guān)如圖5.2所示，顯示了為核心層交換機(jī)CoreSwitch設(shè)置管理IP并激活本征VLAN。同時(shí)，還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。圖5.2核心層交換機(jī)CoreSwitch的管理IP、默認(rèn)網(wǎng)關(guān)5.3配置核心層交換機(jī)CoreSwitch的的VLAN及VTP在本實(shí)例中，核心層交換機(jī)CoreSwitch也將作為VTP客戶機(jī)。這里核心層交換機(jī)CoreSwitch將通過VTP獲得在分布層交換機(jī)DistributeSwitch中定義的所有VLAN的信息。如圖5.3所示，設(shè)置核心層交換機(jī)CoreSwitch成為VTP客戶機(jī)。圖5.3設(shè)置核心層交換機(jī)CoreSwitch成為VTP客戶機(jī)5.4配置核心層交換機(jī)CoreSwitch的端口參數(shù)核心層交換機(jī)CoreSwitch通過自己的端口F0/24同廣域網(wǎng)接入模塊（Internet路由器）相連。同時(shí)，核心層交換機(jī)CoreSwitch的端口G0/1-0/2分別下連到分布層交換機(jī)DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet0/1。如圖5.4所示，給出了對(duì)上述端口的配置命令。圖5.4設(shè)置核心層交換機(jī)CoreSwitch的各端口參數(shù)5.5配置核心層交換機(jī)CoreSwitch的路由功能核心層交換機(jī)CoreSwitch通過端口FastEthernet0/24同廣域網(wǎng)接入模塊（Internet路由器）相連。因此，需要啟用核心層交換機(jī)的路由功能。同時(shí)，還需要定義通往Internet的路由。這里使用了一條缺省路由命令，如圖5.5所示。其中，下一跳地址是Internet接入路由器的快速以太網(wǎng)接口FastEthernet0/0的IP地址。圖5.5定義到Internet的缺省路由如圖所示

6廣域網(wǎng)接入模塊設(shè)計(jì)在本設(shè)計(jì)中，廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器InternetRouter來完成的。采用的是Cisco的3640路由器。它通過自己的串行接口serial0/0使用DDN（128K）技術(shù)接入Internet。它的作用主要是在Internet和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務(wù)外，利用訪問控制列表（AccessControlList，ACL），廣域網(wǎng)接入路由器InternetRouter還可以用來完成以自身為中心的流量控制和過濾功能并實(shí)現(xiàn)一定的安全功能。圖6廣域網(wǎng)接入路由器6.1配置接入路由器InternetRouter的基本參數(shù)對(duì)接入路由器InternetRouter的基本參數(shù)的配置步驟與對(duì)訪問層交換機(jī)XingZhengLou的基本參數(shù)的配置類似。這里，如圖3-4-2所示，只給出實(shí)際的配置步驟，不再給出解釋。圖6.1配置接入路由器InternetRouter的基本參數(shù)6.2配置接入路由器InternetRouter的各接口參數(shù)對(duì)接入路由器InternetRouter的各接口參數(shù)的配置主要是對(duì)接口FastEthernet0/0以及接口Serial0/0/0的IP地址、子網(wǎng)掩碼的配置。如圖6.2所示，顯示了為接入路由器InternetRouter的各接口設(shè)置IP地址、子網(wǎng)掩碼。圖6.2接入路由器InternetRouter的管理IP、默認(rèn)網(wǎng)關(guān)6.3配置接入路由器InternetRouter的路由功能在接入路由器InternetRouter上需要定義兩個(gè)方向上的路由：到校園網(wǎng)內(nèi)部的靜態(tài)路由以及到Internet上的缺省路由。到Internet上的路由需要定義一條缺省路由，如圖6.3所示。其中，下一跳指定從本路由器的接口serial0/0/0送出。圖6.3定義到Internet的缺省路由到校園網(wǎng)內(nèi)部的路由條目可以經(jīng)過路由匯總后形成兩條路由條目。如圖6.3.1所示圖配置接入路由器InternetRouter上的NAT由于目前IP地址資源非常稀缺，對(duì)不可能給校園網(wǎng)內(nèi)部的所有工作站都分配一個(gè)公有IP（Internet可路由的）地址。為了解決所有工作站訪問Internet的需要，必須使用NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)。為了接入Internet，假設(shè)本校園網(wǎng)向ISP申請(qǐng)了9個(gè)IP地址。其中一個(gè)IP地址：被分配給了Internet接入路由器的串行接口，另外8個(gè)IP地址：～用作NAT。NAT的配置可以分為以下幾個(gè)步驟。（1)定義NAT內(nèi)部、外部接口圖6.4.1顯示了如何定義NAT內(nèi)部、外部接口。圖6.4.1（2)定義允許進(jìn)行NAT的內(nèi)部局部IP地址范圍圖6.4.2顯示了如何定義允許進(jìn)行NAT的內(nèi)部局部IP地址范圍。圖6.4.2定義內(nèi)部局部IP地址范圍為服務(wù)器圖6.4.2

6.5配置接入路由器InternetRouter上的ACL路由器是外網(wǎng)進(jìn)入校園網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問控制列表（AccessControlList，ACL）是保護(hù)內(nèi)網(wǎng)安全的有效手段。一個(gè)設(shè)計(jì)良好的訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時(shí)的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對(duì)路由器的訪問控制列表進(jìn)行縝密的設(shè)計(jì)，來對(duì)企業(yè)內(nèi)網(wǎng)包括防火墻本身實(shí)施保護(hù)。這里，在本次設(shè)計(jì)中，我將針對(duì)服務(wù)器以及內(nèi)網(wǎng)工作站的安全給出廣域網(wǎng)接入路由器InternetRouter上ACL的配置方案。在網(wǎng)絡(luò)環(huán)境中還普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。在絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實(shí)現(xiàn)中它們都是應(yīng)該對(duì)外加以屏蔽的。主要應(yīng)該做以下的ACL設(shè)計(jì)：（1)對(duì)外屏蔽簡單網(wǎng)管協(xié)議，即SNMP。利用這個(gè)協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩種服務(wù)類型：SNMP和SNMPTRAP。如圖6.5.1所示，顯示了如何設(shè)置對(duì)外屏蔽簡單網(wǎng)管協(xié)議SNMP。圖6.5.1對(duì)外屏蔽簡單網(wǎng)管協(xié)議SNMP（2)對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議telnet首先，telnet是一種不安全的協(xié)議類型。用戶在使用telnet登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時(shí)所使用的用戶名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)模苋菀妆痪W(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。其次，telnet可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和UNIX服務(wù)器，并可以使用相關(guān)命令完全操縱它們。這是極其危險(xiǎn)的，因此必須加以屏蔽。如圖6.5.2所示，顯示了如何對(duì)外屏蔽遠(yuǎn)程登錄協(xié)議telnet。圖6.5.2（3)對(duì)外屏蔽其它不安全的協(xié)議或服務(wù)這樣的協(xié)議主要有SUNOS的文件共享協(xié)議端口2049，遠(yuǎn)程執(zhí)行（rsh）、遠(yuǎn)程登錄（rlogin）和遠(yuǎn)程命令（rcmd）端口512、513、514，遠(yuǎn)程過程調(diào)用（SUNRPC）端口111?？梢詫⑨槍?duì)以上協(xié)議綜合進(jìn)行設(shè)計(jì)，如圖6.5.3所示。圖6.5.3對(duì)外屏蔽其它不安全的協(xié)議或服務(wù)（4)保護(hù)路由器自身安全作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護(hù)自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器，必須對(duì)路由器的訪問位置加以限制。應(yīng)只允許來自服務(wù)器群的IP地址訪問并配置路由器。這時(shí)，可以使用access-class命令進(jìn)行VTY訪問控制。如圖6.5.4所示圖6.5.47服務(wù)器模塊設(shè)計(jì)服務(wù)器模塊用來對(duì)校園網(wǎng)的接入用戶提供各種服務(wù)。在本設(shè)計(jì)方案中，所有的服務(wù)器被集中到VLAN100構(gòu)成服務(wù)器群并通過分別層交換機(jī)DistributeSwitch1的端口fastethernet1～10接入校園網(wǎng)。如圖所示。圖7服務(wù)器群校園網(wǎng)提供的常見的服務(wù)（服務(wù)器）包括：WEB服務(wù)器：提供WEB網(wǎng)站服務(wù)；FTP文件服務(wù)器：提供文件傳輸、共