校園網規(guī)劃與設計畢業(yè)論文

1、<p>　　畢 業(yè) 設 計（論 文）</p><p>　　論文題目： 校園網規(guī)劃與設計</p><p>　　所屬系部： 計算機工程系</p><p>　　指導老師： 職 稱： 講師 </p><p>　　學生姓名： 班級、學號: </p>

2、<p>　　專 業(yè)： 計算機網絡技術</p><p>　　2012年04月13日</p><p>　　畢業(yè)設計（論文）任務書</p><p>　　題目： 校園網規(guī)劃與設計</p><p><b>　　任務與要求：</b></p><p>　　為了實現(xiàn)教

3、育的信息化和現(xiàn)代化，現(xiàn)建立可擴展性和可靠性的校園</p><p>　　網供在校師生使用。并根據校園網的要求及特點，設計出人性化的校園</p><p><b>　　網方案。</b></p><p>　　時間： 2012 年 2 月 20 日至 2012 年 4 月 13 日共 8 周</p><p

4、>　　所屬系部： 計算機工程系</p><p>　　學生姓名： 學 號： 專業(yè)： 計算機網絡技術專業(yè)</p><p>　　指導單位或教研室： 網絡技術教研室</p><p>　　指導教師： 職 稱： </p><p>　　2011年 11 月 25 <

5、/p><p><b>　　校園網規(guī)劃與設計</b></p><p><b>　　【摘要】</b></p><p>　　自1994年以來，互聯(lián)網在我國取得了飛速發(fā)展，聯(lián)網的計算機、上網用戶和網站的數(shù)目逐年倍增。各大專院校相繼建立了自己的校園網。Internet技術和現(xiàn)代教育的快速發(fā)展以及越來越緊密的結合使得校園網成為學校教育、教

6、學和科研的重要平臺。</p><p>　　校園網已成為各學校必備的重要信息基礎設施，其規(guī)模和應用水平已成為衡量學校教學與科研綜合實力的一個重要標志。在某學院校園網目前的實際情況在充分調研的基礎上，結合目前技術的發(fā)展方向和用戶的實際需求，制訂了學院校園校園網建設的整體設計方案。通過校園網的設計與建設，實現(xiàn)真正意義上的寬帶多媒體網絡，為師生提供教學、科研和綜合信息服務。</p><p>　　針

7、對本項目，提前做了以下工作準備：研究了數(shù)字化校園網的建設；調查比較了大型組網設備的性能的優(yōu)缺點；分析了部分高校校園網組網技術方案；研究了基于校園網平臺的信息安全問題；實現(xiàn)了擁有教學、科研、寬帶多媒體網絡和綜合信息服務的校園網的規(guī)劃設計。提取及綜合了各相關實例的技術要求，才得以實現(xiàn)這次的校園網規(guī)劃與設計。</p><p>　　關鍵字：校園網；校園網需求分析；網絡規(guī)劃設計；設備配置</p><p&

8、gt;　　Campus network planning and design</p><p>　　Abstract: Since 1994, the Internet has made rapid development in our country, the network computer, Internet users and the number of website double year by ye

9、ar. The colleges and universities have set up their own campus network. Internet technology and the rapid development of modern education and more and more close combination allows for school education, campus network te

10、aching and scientific research of the important platform. </p><p>　　Campus network has become the important information for each school infrastructure, the scale and the application level has become the scho

11、ol teaching and scientific research to measure the overall strength of an important symbol. A college campus in the actual situation in the full survey of basis, combining technical direction of development and the actua

12、l needs of users, and developed a college campus overall design scheme of the campus network construction. Through the campus network design </p><p>　　According to this project, this paper made the following

13、 work: the construction of the digital campus network; Survey compares the performance of large-scale network equipment and the advantages and disadvantages of the; Analysis of the campus network technology project; Rese

14、arch based on campus network platform of information security problem; Realized with teaching, scientific research, and broadband multimedia network and comprehensive information service of the campus network planning an

15、d de</p><p>　　Key words: Campus network; Agreement; equipment </p><p><b>　　目 錄</b></p><p><b>　　目 錄IV</b></p><p><b>　　引 言V</b><

16、;/p><p><b>　　1 校園網簡介1</b></p><p>　　1.1什么是校園網1</p><p>　　1.2校園網有什么作用2</p><p>　　2 校園網的需求分析3</p><p>　　2.1 校園網對主機系統(tǒng)的要求3</p><p>　　2.2

17、校園網系統(tǒng)設計方案應滿足的要求3</p><p>　　2.3 交換機需求4</p><p>　　2.4 路由器需求6</p><p>　　3 網絡規(guī)劃設計7</p><p>　　3.1校園網絡拓撲結構示意圖7</p><p>　　3.2 網絡技術的應用8</p><p>　　3.2.

18、1 VLAN劃分模式8</p><p>　　3.2.2 端口聚合技術9</p><p>　　3.2.3 VTP技術9</p><p>　　3.2.4 STP技術10</p><p>　　3.2.5 OSPF路由協(xié)議10</p><p>　　3.2.5 ACL技術11</p><p>

19、;　　3.2.6 NAT技術12</p><p>　　3.3 VLAN規(guī)劃及 IP 地址分配12</p><p>　　3.4布線系統(tǒng)設計13</p><p>　　4 網絡設備配置14</p><p>　　4.1設備命名14</p><p>　　4.2 VLAN 配置劃分14</p><

20、p>　　4.3 IP地址設置18</p><p>　　4.4 OSPF配置18</p><p>　　4.5 ACL的實現(xiàn)19</p><p>　　4.6 NAT的實現(xiàn)20</p><p>　　4.7校園網中聯(lián)通性故障解決的步驟21</p><p>　　4.7.1檢查是否問題出在交換機之間的連接上21&

21、lt;/p><p>　　4.7.2檢查是否問題在某個交換機上22</p><p><b>　　總 結24</b></p><p><b>　　參考文獻25</b></p><p><b>　　致 謝26</b></p><p><b>

22、　　引 言</b></p><p>　　本院是一所極具現(xiàn)代意識、以現(xiàn)代化教學為特色的公辦高校。為了推進教育學信息化和現(xiàn)代化，學校計劃在校內建立校園內部網并通過千兆位鏈路連接與國際互聯(lián)網相連。</p><p>　　根據學校的要求，我們按照“統(tǒng)一規(guī)劃、講究實效、安全可靠”的原則，進行某高校園網綜合系統(tǒng)設計，以滿足校園內計算機網絡系統(tǒng)的需要。對于某高校來說，由于將有越來越多的資料信息

23、和管理平臺放到校園網上，越來越多的用戶使用校園網，校園網的可擴展性和可靠性成為選擇合作伙伴的重要標準。建設校園網對每個學校來說都不是一件容易的事，校園網不只是涉及技術方面，而是包括網絡設施、應用平臺、信息資源、專業(yè)應用、人員素質等眾多成分的綜合化、信息花管理系統(tǒng)。因此每個校園網的設計、建設都要經過周密的論證、謹慎的決策。</p><p><b>　　論文的主要結構:</b></p>

24、;<p>　　第一章：簡介。敘述了校園網概念以及優(yōu)勢。</p><p>　　第二章：校園網的要求及其特點。</p><p>　　第三章：根據該學校的要求和現(xiàn)今校園網要求和特點設置出的拓撲圖和設計圖，以及所以要用到的技術和一些設計的細節(jié)。 </p><p&g

25、t;　　第四章：方案設計。根據第三章的方案規(guī)劃，在具體的模塊上實現(xiàn)相對應的功能。寫出實現(xiàn)功能的主要命令。</p><p><b>　　1 校園網簡介</b></p><p><b>　　1.1什么是校園網</b></p><p>　　首先，校園網是利用先進的建筑綜合布線技術構架安全、可靠、便捷的計算機信息傳輸線路；其次，校

26、園網的建設必須考慮到為學校教學、教育科研，利用成熟、領先的計算機網絡技術規(guī)劃計算機綜合管理系統(tǒng)的網絡應用，提供優(yōu)質的網絡化教學環(huán)境。因此，校園網應當是寬帶、具有交互功能和專業(yè)性較強的計算機局域網絡。</p><p>　　校園網除了需要有必備的硬件設備和操作系統(tǒng)平臺外，利用全面的校園網絡管理軟件、網絡教學軟件，實現(xiàn)學校多媒體教學資源、教師備課系統(tǒng)、電子圖書閱覽檢索、多媒體教學軟件開發(fā)平臺、校園網站和教學資源網站建設

27、等功能。為學校提供教學、管理和決策三個不同層次所需要的數(shù)據、信息和知識的一個覆蓋全校管理機構和教學機構的基于Internet/Intranet技術的大型網絡系統(tǒng)。校園網還應具有教務、行政、總務管理功能，可以進行課程管理、學生成績與學籍管理、圖書資料管理等教學教務管理，也可以進行檔案管理（含人事、教師檔案等）、處室管理等行政事務管理，總務后勤管理包括財務管理、設備、房產等。</p><p>　　校園網應該具有較先進

28、的水平，體現(xiàn)現(xiàn)代教育思想，要把建設校園網的規(guī)劃與學校的長遠發(fā)展規(guī)劃統(tǒng)一起來，同時把服務教學作為網絡建設的著眼點和落腳點。</p><p>　　校園網是不以盈利為目的的。校園網上提供大量的免費資源，供廣大師生工作學習之用，它所涉及的范圍并不局限于校園內部。有些人認為：校園網就是大學校園圍墻里面的網，即圍墻里面的就是校園網，圍墻外面的就是公網。這種看法是錯誤的。校園網的界限，并不是以用戶終端所處的地理位置范圍來的界定

29、的，而是以校園網提供的接入服務范圍來界定的。在校園圍墻內可以有公網，在校園圍墻外也可以有校園網</p><p>　　1.2校園網有什么作用</p><p><b>　　(1) 信息傳遞</b></p><p>　　這是校園網絡最基本的功能之一，用來實現(xiàn)電腦與電腦之間傳遞各種信息，使分散在校園內不同地點的電腦用戶可以進行集中的控制管理。在校務部門

30、建立網絡服務器，可以為整個校園網絡提供各類教學資源，并對這些資源進行綜合管理。學生或老師可以通過校園網根據自己的需求從服務器上獲取必要的信息，達到信息的交融行和便利性。</p><p><b>　　(2) 資源共享 </b></p><p>　　信息資源共享。通過接入DDN或ISDN，很容易將校園網連接到internet,這樣，網絡內的各電腦終端不但可以互通信息資源，

31、而且可以享受網絡服務器上的相關數(shù)據及internet網上取之不盡，用之不竭的巨大信息資源，校園網在教學活動中的作用也將成倍地增強。</p><p>　　硬件資源共享。網絡中各臺電腦可以彼此互為后備機，一旦某臺電腦出現(xiàn)故障，它的任務就由網絡中其他電腦代而為之，當網絡中的某臺電腦負擔過重時，網絡又可將新的任務轉交給網絡中較空閑的電腦完成。 </p><p>　　(3) 網上資源提高教學質量，方

32、便教學</p><p>　　以往傳統(tǒng)的教學手段已經不能夠滿足時代進步的需要，學生也對粉筆和黑板的教學逐漸感到厭煩了?，F(xiàn)在的大部份學生每天都要上七、八節(jié)課，如果整天對著枯燥無味的書本，學生已經沒有什么興趣了。如何把課本里的東西，變得生動、形象，在以前是很難的，但現(xiàn)在就不算什么，依靠信息技術，從互聯(lián)網我們可以找到教學資源，并可應用到教學中。網絡可以進行圖、文、聲并茂的多媒體教學，可以取代語言實驗室進行更生動的語言教學

33、，也可以利用大量現(xiàn)成的教學軟件，提供一個良好的教學環(huán)境，這些都是以往任何教學手段所不能達到的。校園網絡不但可以在校內進行網絡教學，還很容易同外界大型網絡連結，形成更大范圍的網絡交互學習環(huán)境。這樣的教學方式，大大提高了學生的學習興趣，教學效果好，老師也就提高了教學的質量，真是一舉二得。</p><p>　　2 校園網的需求分析</p><p>　　信息化建設目標的建設不但應考慮現(xiàn)有的硬件、軟

34、件，同時還應考慮學校教師的信息化教育能力；不但網絡要建起來，軟件也要貼近應用，同時還應加強教師培訓，才能逐步實現(xiàn)教育由應試教育轉向素質教育轉化。</p><p>　　項目總體目標是：建立物理上覆蓋學校教學樓與辦公樓的千兆主干校園網，百兆交換到桌面，使學校所有部門的網絡和計算機都能夠方便地連接到網絡；配置必要的計算機網絡設備、布線設備和輔料，為學校的教學、管理和研究提供服務。</p><p>

35、;　　本項目的需求可概括為如下幾部分：</p><p>　　2.1 校園網對主機系統(tǒng)的要求</p><p>　　(1)主機系統(tǒng)應采用國際上較新的主流技術，并具有良好的向后擴展能力。</p><p>　　(2)主機系統(tǒng)應具有較高的可靠性，能長時間連續(xù)工作，并有容錯措施。</p><p>　　(3)支持通用大型數(shù)據庫，如：SQL、Oracle等。

36、</p><p>　　(4)具有廣泛的軟件支持，軟件兼容性好，并支持多種傳輸協(xié)議。</p><p>　　(5)能與Internet，可提供互聯(lián)網的應用，如：WWW瀏覽服務、FTP文件傳輸服務、E-mail電子郵件等服務。</p><p>　　(6)支持SNMP網絡管理協(xié)議，具有良好的可管理性和可維護性。</p><p>　　(7)追求最高的性

37、能價格比。</p><p>　　2.2 校園網系統(tǒng)設計方案應滿足的要求</p><p>　　(1)網絡方案應采用成熟的技術，并盡可能采用先進的技術。</p><p>　　(2)采用國際統(tǒng)一標準，以永遠廣泛的支持廠商，最大限度采用同一廠商的產品。</p><p>　　(3)應充分考慮未來可能的應用，如：桌面將承受大型應用軟件和多媒體傳輸需求的壓

38、力</p><p>　　(4)該方案要具有高擴展性。能為用戶未來數(shù)目的擴展具有調整、擴充的手段和方法。</p><p>　　(5)該網絡是面對連接的，能夠實現(xiàn)虛擬網絡（vlan）連接。</p><p>　　2.3教學服務功能需求</p><p>　　(1) 建立課件、教學信息資源庫，實現(xiàn)課件點播和輔助教學。</p><p&

39、gt;　　(2)利用網絡技術，實現(xiàn)多媒體信息交換、視頻點播、遠程教育等功能。</p><p>　　(3)建立電子備課室、和光盤閱覽室。</p><p>　　(4)兼容校內有線電視廣播網，拓展網絡功能。</p><p><b>　　2.4 交換機需求</b></p><p>　　核心層交換機2個。匯聚層、接入層交換機5個。

40、</p><p>　　為了實現(xiàn)數(shù)據的高速轉發(fā)。所以核心層交換機選用CISCO WS-C3560G-24PS-S型三層交換機。為了承擔網關和三層路由轉發(fā)功能的重擔。所以匯聚層交換機選用CISCO WS-C3550-24-SMI型的三層交換機。實現(xiàn)與PC機的連接，為用戶提供大量端口。接入層交換機選用CISCO WS-C2950C-24型號的交換機。基本參數(shù)如表2.1所示。</p><p>　　

41、表2.1 網絡交換機基本參數(shù)</p><p><b>　　2.5 路由器需求</b></p><p><b>　　接入路由器2個</b></p><p>　　選擇思科2621XM型的路由器</p><p>　　表2.2 網絡路由器基本參數(shù)</p><p><b>

42、;　　3 網絡規(guī)劃設計</b></p><p>　　3.1校園網絡拓撲結構示意圖</p><p>　　根據學校的要求，網絡拓撲規(guī)劃如圖3.1，基本保證了網絡的先進性、可靠性、可擴展性、可管理性、安全性等方面的需求。</p><p>　　圖3.1 網絡拓撲圖</p><p><b>　　方案的特點</b><

43、;/p><p>　　(1)高性能全交換，千兆骨干（多模光纖）、百兆交換到桌面（UTP雙絞線）； </p><p>　　(2)虛擬局域網（VLAN）策略，提高局域網絡內部安全與性能； </p><p>　　(3)多業(yè)務，辦公管理、遠程通信一網實現(xiàn)； </p><p>　　(4)管理簡單，基于瀏覽器

44、和網絡管理工具的圖形化配置； </p><p>　　(5)系統(tǒng)安全，集成路由器防火墻，提供互聯(lián)網接入的安全保障； </p><p>　　(6)經濟實用，高性價比產品配置，支持系統(tǒng)平滑升級。</p><p>　　3.2 網絡技術的應用</p><p>　　3.2.1 VLAN劃分模式</p><p

45、>　　Vlan劃分的模式有：</p><p>　　(1)按端口劃分。將VLAN交換機上的物理端口和VLAN交換機內部的PVC（永久虛電路）端口分成若干個組，每個組構成一個虛擬網，相當于一個獨立的VLAN交換機。這種按網絡端口來劃分VLAN網絡成員的配置過程簡單明了，因此，它是最常用的一種方式。其主要缺點在于不允許用戶移動，一旦用戶移動到一個新的位置，網絡管理員必須配置新的VLAN。</p>&

46、lt;p>　　(2)按MAC地址劃分。VLAN工作基于工作站的MAC地址，VLAN交換機跟蹤屬于VLAN MAC的地址，從某種意義上說，這是一種基于用戶的網絡劃分手段，因為MAC在工作站的網卡（NIC）上。這種方式的VLAN允許網絡用戶從一個物理位置移動到另一個物理位置時，自動保留其所屬VLAN的成員身份，但這種方式要求網絡管理員將每個用戶都一一劃分在某個VLAN中，在一個大規(guī)模的VLAN中，這就有些困難；再者，筆記本電腦沒有網卡

47、，因而，當筆記本電腦移動到另一個站時，VLAN需要重新配置。</p><p>　　(3)按網絡協(xié)議劃分。VLAN按網絡層協(xié)議來劃分，可分為IP、IPX、DECNET、APPLETALK、BANYAN等VLAN網絡。這種按網絡層協(xié)議來組成的VLAN，可使廣播域跨越多個VLAN交換機。這對于希望針對具體應用和服務來組織用戶的網絡管理員來說是非常具有吸引力的，而且，用戶可以在網絡內部自由移動，但其VLAN成員身份仍然保

48、留不變。這種方式不足之處在于，可使廣播域跨越多個VLAN交換機，容易造成某些VLAN站點數(shù)目較多，產生大量的廣播包，使VLAN交換機的效率降低。 </p><p>　　(4)按IP／IPX劃分?；贗P子網的VLAN，可按照IPV4和IPV6方式來劃分VLAN。其每個VLAN都是和一段獨立的IP網段相對應的，將IP的廣播組和VLAN的碰撞域一對一地結合起來。這種方式有利于在VLAN交換機內部實現(xiàn)路由，也有利于將動

49、態(tài)主機配置（DHCP）技術結合起來，而且，用戶可以移動工作站而不需要重新配置網絡地址，便于網絡管理。其主要缺點在于效率要比第二層差，因為查看三層IP地址比查看MAC地址所消耗的時間多?；贗PX的VLAN，也是按照OSI（開放系統(tǒng)互連）模型的第三層地址來設計的。</p><p>　　(5)按策略劃分?；诓呗越M成的VLAN能實現(xiàn)多種分配方法，包括VLAN交換機端口、MAC地址、IP地址、網絡層協(xié)議等。網絡管理人員

50、可根據自己的管理模式和本單位的需求來決定選擇哪種類型的VLAN。 </p><p>　　(6)按用戶定義、非用戶授權劃分。基于用戶定義、非用戶授權來劃分VLAN，是指為了適應特別的VLAN網絡，特別的網絡用戶的特別要求來定義和設計VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，得到VLAN管理的認證后才可以加入一個VLAN。 </p><p>　　VLAN

51、的好處主要有三個：</p><p>　　(1)廣播控制。通過將一個網絡劃分成多個VLAN（即多個廣播域）?？梢詫崿F(xiàn)廣播范圍的控制，并能夠有效減少廣播風暴、廣播碰撞問題和網絡帶寬資源的浪費等問題。 </p><p>　　(2) 靈活性。在學校里，由于教學人員的變更比較頻繁，當把一臺計算機從一個子網轉移到另一個子網時，假若采用傳統(tǒng)局域網技術的用戶需要對站點的IP地址、缺省網關進行修改后才能上網

52、；這種遷移所耗費的精力和時間相當可觀的。而采用基于MAC地址VLAN技術的用戶則可不作任何修改，在網上的任意位置都可上網，因為VLAN成員不是捆綁在某固定工作站上的；反過來，用戶的實際位置不發(fā)生改變卻變更了部門，網絡管理員也可以通過改變VLAN成員的方式讓用戶與VLAN的邏輯關系發(fā)生改變。這意味著遷移的工作只是在交換機上重新定義VLAN即可，尤其是采用網卡的MAC地址來劃分VLAN時，交換機能夠自動跟蹤該終端的MAC地址，并自動將其納如

53、定義的VLAN中，對于網絡管理而言，可以輕松完成變更。方便站點的移動、增加和變化，大大提高管理動態(tài)網絡的能力。減少了日常管理開銷，提供了更大的配置靈活性</p><p>　　(3) 安全性。采用傳統(tǒng)局域網技術的網絡，只要利用一臺PC裝上協(xié)議分析軟件，連到集線器上就可攔截該網段上的所有數(shù)據，采用基于MAC地址的VLAN技術時就不可能攔截該VLAN的數(shù)據；VLAN與VLAN間邏輯上是分開的，VLAN成員的數(shù)據包只能在

54、同一VLAN內部傳送，即使處于同一網絡中，不同VLAN間也不能進行直接通信，有效的避免了廣播風暴的傳播；校園網中如財務管理、人事檔案管理及一些不對外公開的科研數(shù)據資料庫等應用系統(tǒng)，網絡管理員可采用VLAN技術對廣播域進行邏輯劃分，達到限制用戶非法訪問的目的，從而確保重要部門的數(shù)據安全。除非設置了監(jiān)聽口，信息交換就不可能存在監(jiān)聽和插入問題，提高了網絡的安全性能；對于內網，采用基于MAC地址的VLAN技術，可有效防止IP地址盜用問題。因此，

55、通過劃分VLAN可以提高網絡的安全性</p><p>　　3.2.2 端口聚合技術</p><p>　　端口聚合它可將多物理連接當作一個單一的邏輯連接來處理，它允許兩個交換器之間通過多個端口并行連接同時傳輸數(shù)據以提供更高的帶寬、更大的吞吐量和可恢復性的技術。這一技術的優(yōu)點是以較低的成本通過捆綁多端口提高帶寬，而其增加的開銷只是連接用的普通五類網線和多占用的端口，它可以有效地提高子網的上行速

56、度，從而消除網絡訪問中的瓶頸。另外Trunk還具有自動帶寬平衡，即容錯功能：即使Trunk只有一個連接存在時，仍然會工作，這無形中增加了系統(tǒng)的可靠性。</p><p>　　3.2.3 VTP技術</p><p>　　VTP協(xié)議是在交換機之間交換VLAN信息并使VLAN保持一致的協(xié)議。只運行于中繼線上。中繼線指trunk技術，實質就是允許多個VLAN的信息通過同一個物理連接。Trunking

57、技術的實現(xiàn)過程通常是依靠標記完成。所有通過中繼傳輸?shù)膸紝⒂肰LAN ID進行標記（即所有的幀將在修改后發(fā)出）。當其它交換機收到中繼線傳來的幀時，將讀取標記，得知幀是屬于哪個VLAN的，并將其發(fā)往在本機上相同的 VLAN之中。對于廣播，交換機可以將其保留在適當?shù)腣LAN之中。Trunk的封裝類型有：ISL、802.1q（也稱作dot1q）、802.10、LANE.它們使用于不同的網絡類型，如以太網、FDDI、令牌環(huán)網、ATM網絡鏈路。&

58、lt;/p><p>　　VTP存在版本問題，分為：版本1（默認狀態(tài)）和版本2.同一個局域網必須運行相同版本的VTP.</p><p><b>　　VTP工作模式：</b></p><p>　　(1) VTP服務器模式 （默認狀態(tài)）</p><p>　　處于服務器模式的交換機在所有的中繼端口向外發(fā)送更新數(shù)據，并且接收和處理從它

59、的中繼端口接收到的VTP更新數(shù)據。可以在自己的CLI上配置VLAN.</p><p>　　(2) VTP客戶機模式</p><p>　　處于VTP 客戶機模式的交換機在所有的中繼端口向外發(fā)送更新數(shù)據，并且讀取和獲得從它的中繼端口接收到的VTP更新數(shù)據。但不可以在自己的 CIL上配置 VLAN.</p><p>　　(3) VTP透明模式</p>&l

60、t;p>　　處于VTP透明模式的交換機無法處理從它的中繼端口接收到的 VTP 更新數(shù)據。但能將從一個交換機收到的更新信息轉發(fā)到管理域。 可以在本地配置VLAN</p><p>　　VTP可以分為不同的管理域，兩個VTP1、VTP2管理域的在交換機處于透明模式時，不交換VTP更新信息。</p><p>　　3.2.4 STP技術</p><p>　　生成樹協(xié)議最

61、主要的應用是為了避免局域網中的網絡環(huán)回，解決成環(huán)以太網網絡的“廣播風暴”問題，從某種意義上說是一種網絡保護技術，可以消除由于失誤或者意外帶來的循環(huán)連接。STP也提供了為網絡提供備份連接的可能，可與SDH保護配合構成以太環(huán)網的雙重保護。</p><p>　　3.2.5 OSPF路由協(xié)議</p><p>　　OSPF 是典型的鏈路狀態(tài)型路由協(xié)議。它使用COST（開銷）作為度量，根據拓撲表通過S

62、PF算法獲得以自己為根的到達目標的最優(yōu)路徑。它使用三張表：鄰居表，拓撲表，路由表，通過這3張表，每個路由器都能獨立的獲得前往每個目標的路徑，而不象距離矢量協(xié)議那樣依靠鄰居來發(fā)現(xiàn)路由。確保了路由的真實可靠。本方案中路由器與Internet 網之間用OSPF路由協(xié)議，來實現(xiàn)它們之間的通信。OSPF路由協(xié)議的主要特點有：</p><p>　　(1) 路由器擁有整個網絡的拓撲結構信息，路由收斂快速。</p>

63、<p>　　(2)用增量方式更新路由表，即只更新變化的路由表項，節(jié)約帶寬資源。</p><p>　　(3)支持可變長子網掩碼。</p><p>　　(4)支持CIDR以及路由聚合（Routing Summary）。</p><p>　　(5)支持路由信息驗證。</p><p>　　OSPF路由更新過程</p><

64、;p>　　(1)運行OSPF的路由器從它所有啟用了OSPF的接口向外發(fā)送Hello包。如果2臺路由器共享某條數(shù)據鏈路，并能夠使Hello包中所定義的某些參數(shù)協(xié)商成功，那么這2臺路由器就可以成為鄰居（Neighbor）</p><p>　　(2)鄰接（Adjacency）可以想象成一條由鄰居之間形成虛擬的點到點鏈路，每個路由器都發(fā)送鏈路狀態(tài)宣告（link state advertisement，LSA）給它的

65、鄰居。LSA描述了所有的路由器的鏈路或接口信息和鏈路的狀態(tài)信息。</p><p>　　(3)當路由器收到從鄰居發(fā)來的LSA，就把這個LSA記錄在自己的鏈路狀態(tài)數(shù)據庫里（link state database，LSDB），然后拷貝該LSA，繼續(xù)發(fā)送給別的鄰居。</p><p>　　(4)通過在整個區(qū)域洪泛（flood）LSA，所有的路由器將建立一致的LSDB ，當所有路由器的LSDB的信息同

66、步完成以后，路由器就各自使用SPF（最短路徑優(yōu)先，Shortest Path First）算法計算到達目標地址的最短路徑。</p><p>　　(5)路由器根據SPF算法的結果構建自己的路由表 ，鄰居之間交換的Hello包叫做keepalive，并且LSA每30分鐘重傳1次。</p><p>　　3.2.5 ACL技術</p><p>　　ACL使用包過濾技術，在

67、路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據預先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。本方案中在匯聚層交換機上運用ACL技術，來限制校園網內部各部門的數(shù)據流通，以提高校園網信息的安全性。</p><p>　　3.2.6 NAT技術</p><p>　　NAT的主要作用是為了節(jié)約全局地址的使用，多個內部地址可共享一個全局地址上網。此外，由于

68、采用NAT的內部主機不直接使用全局地址，故在Internet不直接可見，可以在一定程度上減小被攻擊的風險，增強網絡的安全性。本方案中路由器上都運用了NAT技術來實現(xiàn)內部網絡私有地址到公有地址的轉換，來節(jié)省開銷和增加內部用戶的安全性。NAT技術能幫助解決令人頭痛的IP地址緊缺的問題，而且能使得內外網絡隔離，提供一定的網絡安全保障。它解決問題的辦法是：在內部網絡中使用內部地址，通過NAT把內部地址翻譯成合法的IP地址在Internet上使用

69、，其具體的做法是把IP包內的地址域用合法的IP地址來替換。 NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設備中。NAT設備維護一個狀態(tài)表，用來把非法的IP地址映射到合法的IP地址上去。每個包在NAT設備中都被翻譯成正確的IP地址，發(fā)往下一級，這意味著給處理器帶來了一定的負擔。但對于一般的網絡來說，這種負擔是微不足道的。</p><p>　　3.3VLAN劃分及 IP 地址分配</p&

70、gt;<p>　　(1)核心交換機IP地址分配</p><p>　　表3.3 核心交換機IP地址分配表</p><p>　　(2)　VLAN功能描述</p><p>　　表3.4 VLAN規(guī)劃</p><p><b>　　3.4布線系統(tǒng)設計</b></p><p>　　網絡中心連接

71、各建筑物用6芯多模光纖。樓內采用5類雙絞線。每個信息點配有一個RJ-258針模式插座。每個插座由4對非屏蔽線纜單獨配線，可用于數(shù)據和圖像等連接應用。信息點實用的標準8針模式連接插座，應符合ISO8877標準和EIA/TIA568協(xié)會的機械性能和電器性能標準。</p><p><b>　　4網絡設備配置</b></p><p><b>　　4.1設備命名<

72、;/b></p><p>　　為設備命名，方便區(qū)分各個設備，避免配置時因選錯設備而產生的錯誤。</p><p>　　在交換機和路由器上進入全局配置模式，輸入hostname name</p><p><b>　　例如：</b></p><p>　　Switch>enable

73、 </p><p><b>　　//進入特權模式 </b></p><p>　　Switch #configure terminal </p><p>　　//進入全局模式 </p><p>　　Switch(config)# hostname xiao

74、 </p><p>　　//將switch命名為xiao</p><p>　　Xia+o(config)#</p><p>　　4.2 VLAN 配置劃分</p><p>　　以太網VLAN ID的取值范圍為1～1001。其中，VLAN 1為系統(tǒng)默認VLAN，不能被創(chuàng)建，也不能被刪除。在基于IOS的交換機上配置VLAN，可以在

75、兩種管理模式下操作：在特權配置模式下和VLAN Database模式下創(chuàng)建，其中第2種模式在新型交換機上會有警告提示，并說明此模式已不被廠商推薦使用。</p><p>　　* 第1種配置方法：在特權配置模式下配置VLAN</p><p><b>　　步驟:</b></p><p>　　(1)Switch#configure terminal 進

76、入全局配置模式</p><p>　　(2)Switch(config)#vlan vlan-id (輸入一個VLAN號, 然后進入VLAN配置模式，可以輸入一個新的VLAN號或舊的來進行修改。如本案例采用的 VLAN 11～14,VLAN 21～24,VLAN 31～34)</p><p>　　(3)Switch(config-vlan)#name vlan-name (輸入一個V

77、LAN名，如果沒有配置VLAN名，缺省的名字是VLAN號前面用0填滿的4位數(shù)，如VLAN0010是VLAN10的缺省名字)</p><p>　　(4)Switch(config-vlan)#mtu mtu-size 改變MTU大?。蛇x）</p><p>　　(5)Switch(config-vlan)#end 退出</p><p>　　(6)Switch#

78、show vlan 驗證VLAN配置結果。</p><p>　　(7)Switch#copy running-config startup config 保存配置</p><p>　　* 第2種配置方法：在VLAN Database模式下創(chuàng)建VLAN</p><p><b>　　步驟:</b></p><p>　　(1

79、)Switch#vlan database 進入VLAN配置模式</p><p>　　(2)Switch(vlan)#vlan vlan-id name vlan-name 鍵VLAN號及VLAN名</p><p>　　可以使用接口配置模式來定義端口模式（接入（access）還是干道（trunk）），并向VLAN中添加或從中刪除端口。將端口指定到特定的VLAN后，就是在處理接入鏈路而非t

80、runk鏈路。可以使用switchport mode access定義端口成為VLAN成員模式，使用此命令的no形式，可以將一個端口從VLAN中去除。</p><p>　　接下來，你需要通過接口命令switchport access vlan vlan-id將端口指定到特定的VLAN中。使用此命令的no形式，也可以將一個端口從VLAN中去除。</p><p>　　在接入模式下，接口僅屬于一

81、個VLAN。</p><p><b>　　步驟:</b></p><p>　　(1)Switch#configure terminal 進入全局配置模式 </p><p>　　(2)Switch(config)#interface interface-id </p><p>　　進入接口配置模式，進入要分配的端

82、口，如本案例中FastEthernet 0/11 </p><p>　　(3)Switch(config-if)#switchport mode access 定義交換機二層接口為接入模式 </p><p>　　(4)Switch(config-if)#switchport access vlan vlan-id  把端口分配給某一VLAN。<

83、;/p><p>　　(5)Switch(config-if)#end 退出接口配置模式</p><p>　　(6)Switch#show running-config interface interface-id </p><p>　　驗證端口的VLAN號</p><p>　　(7)Switch#show interfaces interf

84、ace-id switchport 驗證端口的管理模式和VLAN情況</p><p>　　(8)Switch#copy running-config startup-config 保存配置</p><p>　　默認情況下交換機上的所有端口都屬于VLAN1中。你不能對VLAN1進行更改、刪除或重命名，因為它是默認的VLAN。默認時VLAN1是所有交換機的本地VLAN，一般廠商都推薦

85、你使用VLAN1作為負責管理的VLAN。</p><p>　　本地VLAN的功能是指：“沒有特別地分配到不同的數(shù)據包都將被發(fā)送到本地VLAN中?！边@就是交換機在沒有劃分VLAN時，客戶端能夠通信的原理。</p><p>　　若欲將某個端口從VLAN中刪除，可以將該接口恢復為默認值，即可清除該接口的所有配置，使之不再屬于任何VLAN。</p><p><b>

86、;　　步驟：</b></p><p>　　(1)Switch#configure terminal 進入全局配置模式</p><p>　　(2)Switch(config)#default interface interface-id 清除某接口的所有配置</p><p>　　(3)Switch(config)#end 返回特權配置模式&l

87、t;/p><p>　　(4)Switch#copy running-config startup-config 保存對配置的修改</p><p><b>　　刪除VLAN </b></p><p>　　管理員在配置VLAN過程中，很有可能輸入錯誤的VLAN名稱，如果要刪除這些VLAN可用vlan database 進入VLAN配置狀態(tài)

88、，用no vlan vlan-id 來刪除，也可以在特權配置模式下進行操作。</p><p><b>　　步驟：</b></p><p>　　(1) Switch#configure terminal 進入全局配置模式</p><p>　　(2) Switch(config)# no vlan vlan-id 刪除

89、某一VLAN，如：no vlan 11</p><p>　　(3) Switch(config)# end 返回特權配置模式</p><p>　　(4) Switch#show vlan brief 驗證VLAN數(shù)據庫的結果</p><p>　　(5) Switch#copy running-config startup c

90、onfig 保存對配置的修改</p><p>　　根據本校園網絡的VLAN劃分，IP地址的劃分等分配，分別在教學樓、實驗樓、辦公樓、宿舍樓等樓群匯聚層的交換機配置相關的IP地址，并對其重要的部門和多媒體教室進行VLAN的劃分。配置步驟相對簡單，每樓群的配置方法也相似。只需將交換機劃分VLAN，將相對應的客戶端端口加入到VLAN中，并配置中繼（要將交換機與交換機之間的連接以及交換機與路由器之間的連接端口設為主干模

91、式 Trunk）。同時需要配置單臂路由使有些VLAN之間可以相互訪問。</p><p>　　另外，我們之前對VLAN的添加、變更和刪除都會寫入交換機ISO系統(tǒng)中的VLAN.dat文件。你在特權模式下利用show vlan的輸出結果就是顯示該文件的內容。VLAN.dat文件存儲在NVRAM中。你可以刪除這個文件，但要清楚后果：刪除vlan.dat文件很可能破壞不同交換機VLAN數(shù)據庫中的一致性。如果你想改變VLAN

92、的配置，最好的做法是使用VLAN配置模式下的命令。</p><p>　　4.3 IP地址設置</p><p>　　在路由器和交換機上為接口或VLAN設置IP。進入接口模式，用ip address命令后加上IP地址和子網掩碼。</p><p><b>　　例如：</b></p><p>　　(1)為端口分配IP</p

93、><p>　　Router(config)#interface fastEthernet 0/1 </p><p><b>　　//進入接口1</b></p><p>　　Router(config-if)# ip address 172.16.1.2 255.255.255.0 </p><p>　　//為1

94、號接口分配IP172.16.1.2</p><p>　　(2)為VLAN分配IP</p><p>　　Switch(config)#interface vlan 10 </p><p>　　//進入VLAN 10 </p><p>　　Switch(config-if)#ip address 192.168.1.1 2

95、55.255.255.0</p><p>　　為VLAN10分配IP為192.168.1.1</p><p>　　4.4 OSPF配置</p><p><b>　　步驟:</b></p><p>　　為核心層的三層交換機開啟路由功能，再使用OSPF協(xié)議。</p><p>　　hexin1(conf

96、ig)#ip routing</p><p>　　//開啟三層交換機路由功能</p><p>　　hexin1(config)#router ospf 100</p><p>　　//啟用OSPF協(xié)議并且編號為100</p><p>　　hexin1(config-router)#network 192.168.20.0 0.0.0.255

97、area 1</p><p>　　hexin1(config-router)#network 192.168.1.0 0.0.0.255 area 1</p><p>　　hexin1(config-router)#network 192.168.2.0 0.0.0.255 area 1</p><p>　　hexin1(config-router)#network

98、 192.168.3.0 0.0.0.255 area 1</p><p>　　//將192.168.20.0、192.168.1.0、192.168.2.0、192.168.3.0網絡開啟OSPf路由并且編為area1</p><p>　　Hexin2(config)#ip routing</p><p>　　Hexin2(config)#router ospf

99、100</p><p>　　Hexin2(config-router)#network 192.168.21.0 0.0.0.255 area 2</p><p>　　Hexin2(config-router)#network 192.168.4.0 0.0.0.255 area 2</p><p>　　Hexin2(config-router)#network 1

100、92.168.5.0 0.0.0.255 area 2</p><p>　　//將192.168.21.0、192.168.4.0、192.168.5.0網絡開啟OSPf路由并且編為area2</p><p>　　路由器的OSPF配置</p><p>　　Router#configure terminal</p><p>　　Router(

101、config)#router ospf 100</p><p>　　Router(config-router)#network 192.168.20.0 0.0.0.255 area 1</p><p>　　//開啟192.168.20.0網絡OSPF路由</p><p>　　Router(config-router)#network 192.168.21.0 0.

102、0.0.255 area 2</p><p>　　//開啟192.168.21.0網絡OSPF路由</p><p>　　Router(config-router)#network 207.160.233.0 0.0.0.255 area 0</p><p>　　//開啟207.160.233.0網絡的OSPF路由且編號為area0</p><p&

103、gt;　　4.5 ACL的實現(xiàn)</p><p>　　在總部ACL的實現(xiàn)匯聚層交換機hexin1上配置訪問控制列表，以實現(xiàn)辦公樓只能和服務器群進行通信，宿舍樓在上每周星期一到星期天的早上8：00到下午18：00只能訪問Internet網的WEB服務，其他任何服務都不能進行訪問。命令如下：</p><p>　　hexin1>enable</p><p>　　hex

104、in1#configure terminal</p><p>　　hexin1 (config)#time range min periodic weekday 6:00 to 20:00</p><p>　　//定義一個名為min，時間段為工作日的每天早上6點到20點的時間范圍</p><p>　　Huiju2 (config)#access-list 101 p

105、ermit tcp 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255 </p><p>　　//定義一條只允許192.168.3.0網絡（辦公樓）到192.168.5.0網絡（服務器群）列表號為101的訪問控制列表</p><p>　　Huiju2(config)#access-list 102 permit tcp 192.168.4.0 0.0.

106、0.255 Any eq www</p><p>　　4.6 NAT的實現(xiàn)</p><p>　　在接入路由器上進行配置，下面以總部路由器為例，內部網段192.168.0.0到網段192.168.6.0都用207.160.211.11進行動態(tài)轉換，實現(xiàn)內部網絡的上網問題。分部的配置情況類似。配置命令如下：</p><p>　　Zongbu(config)#ip nat

107、 pool aa 207.160.211.11 207.160.211.11</p><p>　　Netmask 255.255.255.0</p><p>　　//配置全局IP地址池aa</p><p>　　Zongbu (config)#access-list 1 permit 192.168.0.0 0.0.0.255</p><p>

108、　　Zongbu (config)#access-list 1 permit 192.168.1.0 0.0.0.255</p><p>　　Zongbu (config)#access-list 1 permit 192.168.2.0 0.0.0.255</p><p>　　Zongbu (config)#access-list 1 permit 192.168.3.0 0.0.0.2

109、55</p><p>　　Zongbu (config)#access-list 1 permit 192.168.4.0 0.0.0.255</p><p>　　Zongbu (config)#access-list 1 permit 192.168.5.0 0.0.0.255</p><p>　　//設置允許訪問的內部IP地址列表</p><

110、p>　　Zongbu (config)#interface s1/0</p><p>　　Zongbu (config-if)#ip nat outside</p><p>　　Zongbu (config-if)#no shutdown</p><p>　　//將路由器接口S1/0指定為外部端口</p><p>　　Zongbu (c

111、onfig)#interface f0/0</p><p>　　Zongbu (config-if)#ip nat inside</p><p>　　Zongbu (config-if)#no shutdown</p><p>　　Zongbu (config)#interface f0/1</p><p>　　Zongbu (config-

112、if)#ip nat inside</p><p>　　Zongbu (config-if)#no shutdown</p><p>　　//將路由器接口f0/0和f1/0指定為內部端口</p><p>　　Zongbu (config)#ip nat inside source list 1 pool aa overload</p><p>