網(wǎng)絡(luò)工程課程設(shè)計(jì) 校園網(wǎng)內(nèi)網(wǎng)設(shè)計(jì)

1、信息與電氣工程學(xué)院課程設(shè)計(jì)說(shuō)明書(shū)（2011/2012學(xué)年第二學(xué)期）課程名稱(chēng) ： 網(wǎng)絡(luò)工程課程設(shè)計(jì)題 目 ： 校園網(wǎng)內(nèi)網(wǎng)設(shè)計(jì)專(zhuān)業(yè)班級(jí) ： 組 長(zhǎng) ： 組 員： 指導(dǎo)教師 ： 設(shè)計(jì)周數(shù) ：2周設(shè)計(jì)成績(jī) ：2012年 6 月 14 日 網(wǎng)絡(luò)工程項(xiàng)目設(shè)計(jì)一、前言隨著學(xué)校教育手段的現(xiàn)代化，很多學(xué)校已經(jīng)逐漸開(kāi)始將學(xué)校的管理和教學(xué)過(guò)程向電子化方向發(fā)展，校園網(wǎng)的有無(wú)以及水平的高低也將成為評(píng)價(jià)學(xué)校及學(xué)生選擇學(xué)校的新的標(biāo)準(zhǔn)之一，此時(shí)，校園網(wǎng)上的應(yīng)用系統(tǒng)就顯得尤為重要。一方面，學(xué)生可以通過(guò)它在促進(jìn)學(xué)習(xí)的同時(shí)掌握豐富的計(jì)算機(jī)及網(wǎng)絡(luò)信息知識(shí)，毫無(wú)疑問(wèn)，這是學(xué)生綜合素質(zhì)中極為重要的一部分；另一方面，基于先進(jìn)的網(wǎng)絡(luò)平臺(tái)和其

2、上的應(yīng)用系統(tǒng)，將極大的促進(jìn)學(xué)校教育的現(xiàn)代化進(jìn)程，實(shí)現(xiàn)高水平的教學(xué)和管理?，F(xiàn)代辦學(xué)條件的學(xué)校必須建立完善的服務(wù)于教育教學(xué)的計(jì)算機(jī)校園網(wǎng)、信息庫(kù)。校園網(wǎng)為學(xué)校的教學(xué)、管理、辦公、信息交流和通訊等提供綜合的網(wǎng)絡(luò)環(huán)境。校園網(wǎng)的使用，使學(xué)校的教育、教學(xué)研究和管理工作跨上一個(gè)新臺(tái)階，我們可以充分利用現(xiàn)有計(jì)算機(jī)資源，實(shí)現(xiàn)信息交流和軟硬件資源的共享，實(shí)現(xiàn)學(xué)校辦公、管理、教學(xué)的現(xiàn)代化。校園網(wǎng)是當(dāng)今信息社會(huì)發(fā)展的必然趨勢(shì)。它是以現(xiàn)代網(wǎng)絡(luò)技術(shù)、多媒體技術(shù)及internet技術(shù)等為基礎(chǔ)建立起來(lái)的計(jì)算機(jī)網(wǎng)絡(luò)，一方面連接學(xué)校內(nèi)部子網(wǎng)和分散于校園各處的計(jì)算機(jī)，另一方面作為溝通校園內(nèi)外部網(wǎng)絡(luò)的橋梁。校園網(wǎng)為學(xué)校的教學(xué)、管理、

3、辦公、信息交流和通信等提供綜合的網(wǎng)絡(luò)應(yīng)用環(huán)境。要特別強(qiáng)調(diào)的是，不能把校園網(wǎng)簡(jiǎn)單的理解為一個(gè)物理意義上的由一大堆設(shè)備組成的計(jì)算機(jī)硬件網(wǎng)絡(luò)，而應(yīng)該把校園網(wǎng)理解為學(xué)校信息化、現(xiàn)代化的基礎(chǔ)設(shè)施和教育生產(chǎn)力的勞動(dòng)工具，是為學(xué)校的教學(xué)、管理、辦公、信息交流和通信等服務(wù)的。要實(shí)現(xiàn)這一點(diǎn)，校園網(wǎng)必須有大量先進(jìn)實(shí)用的應(yīng)用軟件來(lái)支撐，軟硬件的充分結(jié)合是校園網(wǎng)發(fā)揮作用的前提。一個(gè)好的校園網(wǎng)，安全問(wèn)題是至關(guān)重要的。隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問(wèn)題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問(wèn)題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無(wú)關(guān)人員不能讀取，更不能修改傳送給其

4、他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無(wú)權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問(wèn)題，以及發(fā)送者是否曾發(fā)送過(guò)該條消息的問(wèn)題。二、需求分析1、工作目標(biāo)某大學(xué)具有14個(gè)二級(jí)學(xué)院，分別位于同一城市的4個(gè)校區(qū)中，其中大學(xué)與4個(gè)二級(jí)學(xué)院在一個(gè)校區(qū)（校區(qū)1），另外6個(gè)二級(jí)學(xué)院位于一個(gè)校區(qū)（校區(qū)2），而其他4個(gè)學(xué)院分別位于校區(qū)3和校區(qū)4。每個(gè)學(xué)院都擁有1500臺(tái)pc。建筑物數(shù)量各同學(xué)自己確定（一般包括行政樓、圖書(shū)館、教學(xué)樓、學(xué)生宿舍、教工宿舍、體育館、學(xué)生活動(dòng)中心、飯?zhí)谩⑸虡I(yè)街、大講堂等）。師生員工數(shù)目前20000人，規(guī)劃人數(shù)30000人。大學(xué)已從中國(guó)教育科研網(wǎng)（cernet）

5、有關(guān)機(jī)構(gòu)申請(qǐng)了ipv4地址塊/20；申請(qǐng)的帶寬是500m，光纖接入。萬(wàn)兆以太網(wǎng)作為整個(gè)核心層、千兆構(gòu)成匯聚層的主干、百兆到lan/主機(jī)構(gòu)成了接入層。大學(xué)向因特網(wǎng)發(fā)布信息并為全校提供有關(guān)的信息化服務(wù)，每個(gè)學(xué)院也自行向因特網(wǎng)發(fā)布學(xué)院信息并負(fù)責(zé)學(xué)院自己的信息服務(wù)。大學(xué)下設(shè)各行政部門(mén)：學(xué)校辦公室、教務(wù)處和學(xué)工部。各學(xué)院都有自己的行政部門(mén)：學(xué)院辦公室、教學(xué)辦和學(xué)工辦。其中相關(guān)部門(mén)之間聯(lián)系較多，試設(shè)計(jì)大學(xué)與學(xué)院、學(xué)院與學(xué)院之間的網(wǎng)絡(luò)設(shè)計(jì)。2、功能需求設(shè)計(jì)一個(gè)大學(xué)校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)設(shè)計(jì)，應(yīng)充分考慮各部門(mén)之間的可達(dá)性和安全性，使用vlan進(jìn)行劃分?？紤]地址分配中聚合的問(wèn)題及冗余的規(guī)劃。在

6、此基礎(chǔ)上建設(shè)能滿(mǎn)足教學(xué)、科研和管理工作需要的軟硬件環(huán)境，開(kāi)發(fā)建設(shè)各類(lèi)教學(xué)資源庫(kù)與應(yīng)用系統(tǒng)，為教師、學(xué)生及家長(zhǎng)提供充分的網(wǎng)絡(luò)信息服務(wù)。校園網(wǎng)在信息服務(wù)與應(yīng)用方面應(yīng)滿(mǎn)足以下幾個(gè)方面的需求：1. 學(xué)校主頁(yè)。學(xué)校應(yīng)建立獨(dú)立的www服務(wù)器，在網(wǎng)上提高學(xué)校主頁(yè)等服務(wù)，包括校情簡(jiǎn)介、學(xué)校新聞、校報(bào)（電子報(bào)）、招生信息以及校內(nèi)電話(huà)號(hào)碼和電子郵件地址查詢(xún)等。2. 文件傳輸服務(wù)?？紤]到師生之間共享軟件，校園網(wǎng)應(yīng)提供文件傳輸服務(wù)（ftp）。文件傳輸服務(wù)器上存放各種各樣自由軟件和驅(qū)動(dòng)程序，師生可以根據(jù)自己需要隨時(shí)下載并把它們安裝在本機(jī)上。3. 校園網(wǎng)站建設(shè)（www、ftp、e-mail、dns、proxy代理、撥入訪

7、問(wèn)、流量計(jì)費(fèi)等）；4. 多媒體輔助點(diǎn)播教學(xué)兼遠(yuǎn)程教學(xué)：校園網(wǎng)要求具有數(shù)據(jù)、圖像、語(yǔ)音等多媒體實(shí)時(shí)通訊能力；并在主干網(wǎng)上提供足夠的帶寬和可保證的服務(wù)質(zhì)量，滿(mǎn)足大量用戶(hù)對(duì)帶寬的基本需要，并保留一定的余量供突發(fā)的數(shù)據(jù)傳輸使用，最大可能地降低網(wǎng)絡(luò)傳輸?shù)难舆t。5. 校園辦公管理:包括電子公文傳遞、電子公文管理、電子郵件、郵件收發(fā)等無(wú)紙辦公自動(dòng)化功能。6. 每個(gè)學(xué)院也自行向因特網(wǎng)發(fā)布學(xué)院信息并負(fù)責(zé)學(xué)院自己的信息服務(wù)。7. 學(xué)校教務(wù)管理；對(duì)各部門(mén)的管理和通信: 學(xué)校辦公室對(duì)各學(xué)院部門(mén)的管理、教務(wù)處對(duì)下屬部門(mén)的管理；8. 校園通卡應(yīng)用；一卡通系統(tǒng)的網(wǎng)絡(luò)布置。9. 網(wǎng)絡(luò)安全firewall：保證校園網(wǎng)的安全性。

8、10. 圖書(shū)管理、電子閱覽室；11. 上網(wǎng)需求：宿舍、教室的網(wǎng)絡(luò)布置、應(yīng)滿(mǎn)足上網(wǎng)的穩(wěn)定性和高速性。12. 學(xué)校信息網(wǎng)絡(luò)系統(tǒng)要保證實(shí)用和技術(shù)先進(jìn)，便于非計(jì)算機(jī)專(zhuān)業(yè)人員使用，并能不斷滿(mǎn)足學(xué)校未來(lái)業(yè)務(wù)發(fā)展的需要，具有很強(qiáng)的擴(kuò)展能力。3、 網(wǎng)絡(luò)性能需求性能需求：有服務(wù)效率、服務(wù)質(zhì)量、網(wǎng)絡(luò)吞吐率、網(wǎng)絡(luò)響應(yīng)時(shí)間、數(shù)據(jù)傳輸速度、資源利用率、可靠性、性能/價(jià)格比等；根據(jù)本工程的特殊性，語(yǔ)音點(diǎn)和數(shù)據(jù)點(diǎn)使用相同的傳輸介質(zhì)，即統(tǒng)一使用超5類(lèi)4對(duì)雙絞電纜，以實(shí)現(xiàn)語(yǔ)音、數(shù)據(jù)相互備份的需要；對(duì)于網(wǎng)絡(luò)主干，數(shù)據(jù)通信介質(zhì)全部使用光纖；光纜和大對(duì)數(shù)電纜均留有余量；對(duì)于其他系統(tǒng)數(shù)據(jù)傳輸，可采用超5類(lèi)雙絞線(xiàn)或?qū)Ｓ镁€(xiàn)纜。三、邏輯網(wǎng)絡(luò)

9、設(shè)計(jì)1、總體網(wǎng)絡(luò)設(shè)計(jì) 考慮電信網(wǎng)絡(luò)及其收費(fèi)情況，使用幀中繼鏈路作為主校區(qū)與各個(gè)分校區(qū)互聯(lián)的主鏈路，使用isdn撥號(hào)鏈路作為其備份鏈路。在路由的選擇上，為了盡量提高可靠性，獨(dú)立使用一臺(tái)路由器接入internet，對(duì)科教網(wǎng)與主校區(qū)ddn、幀中繼的鏈接使用另一臺(tái)路由器，isdn備份線(xiàn)路的接入使用第三臺(tái)路由器。這樣的好處是安全性較高，對(duì)于最不安全的internet進(jìn)行獨(dú)立接入，并通過(guò)防火墻進(jìn)行內(nèi)外網(wǎng)之間的隔離；其次是系統(tǒng)可靠性高，當(dāng)ddn或幀中繼線(xiàn)路出現(xiàn)問(wèn)題是，isdn撥號(hào)線(xiàn)路自動(dòng)啟動(dòng)，使網(wǎng)絡(luò)連接不會(huì)被中斷，而且即使主校路由器出現(xiàn)故障時(shí)，網(wǎng)絡(luò)連接依然不會(huì)被中斷。 在設(shè)備型號(hào)選擇上可以有多種搭配，可以考

10、慮使用一臺(tái)cisco 2620xm接入internet，另一臺(tái)cisco 2620xm作為撥號(hào)訪問(wèn)服務(wù)器，配置一臺(tái)cisco 3662-ac作為接入ddn和幀中繼的路由器。分小段可以選用帶有兩個(gè)快速以太網(wǎng)接口的cisco2621xm路由器。處于對(duì)未來(lái)擴(kuò)展接入能力方面的考慮，每臺(tái)設(shè)備都留有相應(yīng)的未被使用的插槽。此設(shè)計(jì)如上圖所示。在主校區(qū)網(wǎng)域設(shè)備中，設(shè)備選擇如下。選一臺(tái)cisco3662-ac路由器，加配一個(gè)nm-4t，用兩根cab-v35mt分別連接幀中繼和ddn，加配一個(gè)pwr-3660-ac。internet接入路由器選用cisco2620xm,加配一個(gè)wic-1t，用一根cab-v35mt

11、連接ddn。遠(yuǎn)程訪問(wèn)備份路由器cisco2620xm，加配一個(gè)nm-8b-s/t用于連接isdn接入。在分校區(qū)網(wǎng)域設(shè)備中設(shè)備類(lèi)型為：分校接入路由器選用cisco2621加配一個(gè)wit-2t，用一根cab-ss-v35mt連接幀中繼，一個(gè)wic-b1-s/t用于撥號(hào)和租用線(xiàn)。這些設(shè)備每個(gè)分校區(qū)一套。 防火墻的選型采用華堂ht2100 該廣域網(wǎng)設(shè)備特點(diǎn)如下： 遠(yuǎn)程訪問(wèn)服務(wù)器（isdn撥號(hào)）由單獨(dú)的路由器來(lái)實(shí)現(xiàn)，提高了可用性、容錯(cuò)性和安全性； cisco3662路由器的配置中選擇了雙電源模塊，這是核心設(shè)備常用的配置方法。 isdn模塊和接口卡選擇了s/t接口，這是因?yàn)閲?guó)內(nèi)通常由電信運(yùn)營(yíng)商提供nt設(shè)備

12、。 對(duì)于分校路由器，選擇了cisco2621xm機(jī)型，它有兩塊快速以太網(wǎng)接口，可用于連接局域網(wǎng)內(nèi)的兩個(gè)網(wǎng)段，便于以后對(duì)系統(tǒng)進(jìn)行擴(kuò)展；同時(shí)，配置了兩端的串行廣域網(wǎng)接口卡，為將來(lái)接入更多的廣域網(wǎng)鏈路留出一個(gè)接口； 在v3.5線(xiàn)纜的配置上，注意分校路由器與主校區(qū)路由器的不同，分校區(qū)選配的是ss型的線(xiàn)纜，這是與其串行廣域網(wǎng)接口卡相匹配的線(xiàn)纜類(lèi)型。2、校區(qū)設(shè)計(jì) 如上與所示，在教學(xué)樓中，每層組建一個(gè)虛擬局域網(wǎng)，連接到一臺(tái)兩層的交換機(jī)上，每棟教學(xué)樓再上連到匯聚層交換機(jī)上。在機(jī)房中，每個(gè)機(jī)房組成一個(gè)局域網(wǎng)連接到一套交換機(jī)上，每個(gè)機(jī)房再連接到匯聚成交換機(jī)上。在學(xué)生宿舍每層組建一個(gè)虛擬局域網(wǎng)，連接到一臺(tái)二層交換機(jī)

13、上。每棟學(xué)生宿舍再連到匯聚層交換機(jī)上。行政樓按不同的科室組建虛擬局域網(wǎng)，上聯(lián)到核心交換機(jī)上。圖書(shū)館按不同的電子閱覽室組建虛擬局域網(wǎng)，連接到核心交換機(jī)上。3、ip分配大學(xué)已從中國(guó)教育科研網(wǎng)（cernet）有關(guān)機(jī)構(gòu)申請(qǐng)了ipv4地址塊/20，現(xiàn)根據(jù)校區(qū)和學(xué)院進(jìn)行綜合性劃分，如下：校區(qū)學(xué)院網(wǎng)段起始地址終止地址主校區(qū)/22學(xué)院/2454學(xué)院2/2454學(xué)院3/24

14、54學(xué)院4/2454校區(qū)二/21學(xué)院5/2454學(xué)院6/2454學(xué)院7/2454學(xué)院8/2454學(xué)院9/2454學(xué)院10

15、/2454校區(qū)三/23學(xué)院1/2454學(xué)院12/2454校區(qū)四/23學(xué)院13/2454學(xué)院14/2454路由網(wǎng)段/22路由/2458.193.

16、58.254路由/24544、大學(xué)與各校區(qū)、學(xué)院的通信由于大學(xué)的各個(gè)校區(qū)之間通常相距較遠(yuǎn)，到校園網(wǎng)網(wǎng)絡(luò)建設(shè)不可能為各個(gè)校區(qū)之間單獨(dú)搭建線(xiàn)纜。因此，各個(gè)校區(qū)之間的通信實(shí)際上是依賴(lài)幀中繼技術(shù)實(shí)現(xiàn)的。幀中繼的帶寬控制技術(shù)既是幀中繼技術(shù)的特點(diǎn)更是幀中繼技術(shù)的優(yōu)點(diǎn)。幀中繼的帶寬控制通過(guò)cir（承諾的信息速率）、bc（承諾的突發(fā)大?。┖蚥e（超過(guò)的突發(fā)大小）3個(gè)參數(shù)設(shè)定完成。tc（承諾時(shí)間間隔）和eir（超過(guò)的信息速率）與此3個(gè)參數(shù)的關(guān)系是：tc=bc/cir；eir=be/tc。在傳統(tǒng)的數(shù)據(jù)通信業(yè)務(wù)中用戶(hù)申

17、請(qǐng)了一條64k的電路，那么他只能以64kbit/s的速率來(lái)傳送數(shù)據(jù)；而在幀中繼技術(shù)中，用戶(hù)向幀中繼業(yè)務(wù)運(yùn)營(yíng)商申請(qǐng)的是承諾的信息速率（cir），而實(shí)際使用過(guò)程中用戶(hù)可以以高于cir的速率發(fā)送數(shù)據(jù)，卻不必承擔(dān)額外的費(fèi)用。幀中繼是使用光纖作為傳輸介質(zhì)，因此誤碼率極低，能實(shí)現(xiàn)近似無(wú)差錯(cuò)傳輸，減少了進(jìn)行差錯(cuò)校驗(yàn)的開(kāi)銷(xiāo)，提高了網(wǎng)絡(luò)的吞吐量；幀中繼是一種寬帶分組交換，使用復(fù)用技術(shù)時(shí)，其傳輸速率可高達(dá)44.6mbps。但是，幀中繼不適合于傳輸諸如話(huà)音、電視等實(shí)時(shí)信息，它僅限于傳輸數(shù)據(jù)。幀中繼是一個(gè)接口規(guī)范，它定義了信息如何封裝，然后如何通過(guò)網(wǎng)絡(luò)傳送到目的地。因此它并不對(duì)應(yīng)于某種特定的設(shè)備。幀中繼接口可以在多種

18、設(shè)備上實(shí)現(xiàn)。對(duì)于幀中繼特別有價(jià)值的一點(diǎn)在于，它并不需要投入很多資金，通過(guò)對(duì)現(xiàn)有設(shè)備進(jìn)行升級(jí)就可以實(shí)現(xiàn)，因此非常經(jīng)濟(jì)。幀中繼接口接收本地?cái)?shù)據(jù)流，而不管它們用的是什么協(xié)議然后將數(shù)據(jù)封裝進(jìn)幀中繼數(shù)據(jù)包中。幀中繼使用交換機(jī)可以支持的d信道鏈路接入?yún)f(xié)議（lapd）來(lái)封裝本地?cái)?shù)據(jù)。幀中繼是一種用于連接計(jì)算機(jī)系統(tǒng)的面向分組的通信方法。它主要用在公共或?qū)Ｓ镁W(wǎng)上的局域網(wǎng)互聯(lián)以及廣域網(wǎng)連接。大多數(shù)公共電信局都提供幀中繼服務(wù)，把它作為建立高性能的虛擬廣域連接的一種途徑。幀中繼是進(jìn)入帶寬范圍從56kbps到1544mbps的廣域分組交換網(wǎng)的用戶(hù)接口。與幀中繼網(wǎng)相連，需要一個(gè)路由器和一條從用戶(hù)場(chǎng)地到交換局幀中繼入口的線(xiàn)

19、路。這種線(xiàn)路一般是象t1那樣的租用數(shù)字線(xiàn)路，但取決于通信量而定。兩種可能的廣域連接方法，如下面所述：專(zhuān)用網(wǎng)方法在這種方法中，每個(gè)場(chǎng)點(diǎn)將需要三條專(zhuān)用（租用）線(xiàn)路和相聯(lián)的路由器，以便與其它每一個(gè)場(chǎng)點(diǎn)相連，這樣總共需要6條專(zhuān)線(xiàn)和12個(gè)路由器。幀中繼方法在這種公共網(wǎng)方法中，每個(gè)場(chǎng)點(diǎn)僅需要一條專(zhuān)用（租用）線(xiàn)路和相聯(lián)的路由器直至幀中繼網(wǎng)。這時(shí)，在其它網(wǎng)間的交換是在幀中繼網(wǎng)內(nèi)處理的。來(lái)自多個(gè)用戶(hù)的分組被多路復(fù)用到一條連到幀中繼網(wǎng)上的線(xiàn)路，通過(guò)幀中繼網(wǎng)它們被送到一個(gè)或多個(gè)目的站。永久虛電路（pvc）是通過(guò)幀中繼網(wǎng)連接兩個(gè)端節(jié)點(diǎn)的預(yù)先確定的通路。幀中繼服務(wù)的提供者根據(jù)客戶(hù)的要求，在兩個(gè)指定的節(jié)點(diǎn)間分配pvc。這

20、些信道保持連續(xù)不間斷地運(yùn)行，并且保證提供一種客戶(hù)洽商好了的指定級(jí)別的服務(wù)。在幀中繼中，中間節(jié)點(diǎn)（交換器）僅僅沿著預(yù)定的通路中繼幀。在x25中，中間節(jié)點(diǎn)必須完整地接收每一個(gè)分組，并在轉(zhuǎn)發(fā)之前進(jìn)行檢錯(cuò)，如果有錯(cuò)誤發(fā)生，節(jié)點(diǎn)要求發(fā)送方重傳。使用這種方法，一旦分組丟失，發(fā)送方就盡快地重發(fā)一個(gè)分組。在x25中每個(gè)中間節(jié)點(diǎn)使用狀態(tài)表來(lái)處理管理、流控和檢錯(cuò)，而在幀中繼中是不需要的。如果一個(gè)分組由于幀中繼網(wǎng)的擁塞而被破壞或丟失，檢測(cè)幀丟失和請(qǐng)求重發(fā)是接收系統(tǒng)的工作。幀中繼網(wǎng)把自己的所有精力都用來(lái)傳遞分組。在子網(wǎng)中的交換節(jié)點(diǎn)不會(huì)執(zhí)行任何糾錯(cuò)，盡管它們能檢測(cè)出被損壞的分組，一旦檢測(cè)出，分組就會(huì)被丟棄了。為了建立幀

21、中繼連接，需要與本地的電信公司聯(lián)系。幀中繼端口一般用pvc連接。pvc是邏輯鏈路，它具有特定的端接點(diǎn)和服務(wù)特性。它們?cè)诰W(wǎng)狀拓?fù)浣Y(jié)構(gòu)上提供邏輯連接，且在使用前為交換局提供一種確定服務(wù)特性和速率的方法。它們也在端接點(diǎn)之間提供快速連接。在得到提供者的服務(wù)時(shí)，可以為pvc規(guī)定一些服務(wù)特性， 5、學(xué)院通信學(xué)校設(shè)有教務(wù)處、學(xué)工辦、辦公室，各個(gè)學(xué)院也設(shè)有上述機(jī)構(gòu)，在校教務(wù)、學(xué)工辦、辦公室與各學(xué)院教務(wù)處、學(xué)工辦、辦公室之間和各個(gè)學(xué)院教務(wù)處、學(xué)工辦、辦公室之間會(huì)有大量的數(shù)據(jù)交流，而上述機(jī)構(gòu)有沒(méi)有劃分在一個(gè)局域網(wǎng)路。為了減輕核心網(wǎng)絡(luò)的帶寬壓力，應(yīng)采用vlan技術(shù)將上述機(jī)構(gòu)分別劃分在各自的vlan里，即：將校教務(wù)處

22、與各個(gè)學(xué)院的院教務(wù)處劃分在同一個(gè)vlan中，將校學(xué)工辦和各個(gè)院學(xué)工辦劃分在同一個(gè)vlan中，將校辦公室和各個(gè)院辦公室劃分在同一個(gè)vlan中。在校園網(wǎng)絡(luò)的整個(gè)網(wǎng)絡(luò)規(guī)劃當(dāng)中，vlan 的劃分是非常重要的部分，很好的利用vlan技術(shù)的功能，能起到事半功倍的效果，對(duì)整個(gè)網(wǎng)絡(luò)的性能也是事關(guān)重要的。主要突出為以下幾點(diǎn)：vlan 劃分，可以避免廣播風(fēng)暴，在骨干網(wǎng)絡(luò)中尤為突出，在多媒體、視頻點(diǎn)播等很容易引起廣播信息；劃分之后，vlan 是廣播只在子網(wǎng)中進(jìn)行，不會(huì)做無(wú)意義的廣播，消除了廣播風(fēng)暴產(chǎn)生的條件。vlan 劃分，可以增加網(wǎng)絡(luò)的安全性，在不同的vlan之間不能隨意通訊，只限與本子網(wǎng)間通訊，不會(huì)對(duì)其他的子網(wǎng)

23、產(chǎn)生干擾。要進(jìn)行訪問(wèn)，需要通過(guò)三層交換，這樣信息流就得到相當(dāng)好的控制。網(wǎng)絡(luò)管理系統(tǒng)采用完全獨(dú)立的ip子網(wǎng)和vlan，實(shí)現(xiàn)更加安全的對(duì)所有網(wǎng)絡(luò)設(shè)備進(jìn)行管理。建立vlan 和ip 子網(wǎng)的對(duì)應(yīng)關(guān)系。提高管理效率，實(shí)現(xiàn)虛擬的工作組，減少站點(diǎn)的移動(dòng)和改變的開(kāi)銷(xiāo)。vlan 間的子網(wǎng)訪問(wèn)，可以在三層交換機(jī)上實(shí)現(xiàn)，子網(wǎng)間的通訊也可以在匯聚設(shè)備上實(shí)行，分流核心交換機(jī)的三層交換，優(yōu)化了組網(wǎng)。 根據(jù)以往網(wǎng)絡(luò)管理經(jīng)驗(yàn)和骨干網(wǎng)絡(luò)網(wǎng)絡(luò)建設(shè)的實(shí)際情況，方案建議在骨干網(wǎng)絡(luò)vlan劃分規(guī)劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為vlan范圍劃分。這樣劃分vlan的好處有：1、方便管理。為了更好的進(jìn)行vlan規(guī)劃的

24、實(shí)施，因此在網(wǎng)絡(luò)實(shí)施前期，要對(duì)網(wǎng)絡(luò)中不同區(qū)域的vlan設(shè)置進(jìn)行詳細(xì)的規(guī)劃，細(xì)化到接入層網(wǎng)絡(luò)，這樣在骨干網(wǎng)絡(luò)這樣大型的校園網(wǎng)絡(luò)中如果以用戶(hù)群體來(lái)劃分vlan的話(huà)，避免由于前期配置設(shè)備時(shí)復(fù)雜煩瑣，而且由于相同的用戶(hù)群體可能在不同的物理位置，導(dǎo)致造成整個(gè)校園網(wǎng)絡(luò)中vlan劃分復(fù)雜，減輕管理和后期維護(hù)。所以方案建議骨干網(wǎng)絡(luò)劃分vlan方式前進(jìn)行詳盡規(guī)劃，這樣既可以減少?gòu)V播域，又達(dá)到劃分vlan，方便管理的效果，對(duì)于后期網(wǎng)絡(luò)維護(hù)和升級(jí)具有十分現(xiàn)實(shí)的意義。2、易于實(shí)施。按群體劃分vlan在工程實(shí)施中就十分的方便，不會(huì)造成vlan劃分復(fù)雜失誤而使得網(wǎng)絡(luò)出現(xiàn)不通的現(xiàn)象，便于工程快速實(shí)施和網(wǎng)絡(luò)中心整體規(guī)劃。3、

25、vlan間路由采用三層交換設(shè)備進(jìn)行vlan路由。以便不同vlan間進(jìn)行訪問(wèn)，對(duì)于學(xué)校重要網(wǎng)絡(luò)資源，需要進(jìn)行權(quán)限訪問(wèn)的時(shí)候，建議采用專(zhuān)家級(jí)acl（可同時(shí)基于vlan號(hào)、以太網(wǎng)類(lèi)型、mac地址、ip地址、tcp/udp端口號(hào)、時(shí)間靈活組合限定的硬件acl）來(lái)進(jìn)行訪問(wèn)權(quán)限設(shè)定，保障重要資料不被非法訪問(wèn)。四、網(wǎng)絡(luò)安全1、威脅網(wǎng)絡(luò)安全因素分析計(jì)算機(jī)網(wǎng)絡(luò)安全受到的威脅包括：1.“黑客”的攻擊；2. 計(jì)算機(jī)病毒；3. 拒絕服務(wù)攻擊（denial of service attack）。安全威脅的類(lèi)型：1、非授權(quán)訪問(wèn)。指對(duì)網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用或越權(quán)使用等。如操作員安全配置不當(dāng)造成的安全漏洞，用戶(hù)安全

26、意識(shí)不強(qiáng)，用戶(hù)口令選擇不慎，用戶(hù)將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享。2、冒充合法用戶(hù)。主要指利用各種假冒或欺騙的手段非法獲得合法用戶(hù)的使用權(quán)限，以達(dá)到占用合法用戶(hù)資源的目的。3、破壞數(shù)據(jù)的完整性。指使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶(hù)的正常使用。4、干擾系統(tǒng)正常運(yùn)行，破壞網(wǎng)絡(luò)系統(tǒng)的可用性。指改變系統(tǒng)的正常運(yùn)行方法，減慢系統(tǒng)的響應(yīng)時(shí)間等手段。這會(huì)使合法用戶(hù)不能正常訪問(wèn)網(wǎng)絡(luò)資源，使有嚴(yán)格響應(yīng)時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)。5、病毒與惡意攻擊。指通過(guò)網(wǎng)絡(luò)傳播病毒或惡意java、active x等，其破壞性非常高，而且用戶(hù)很難防范。6、軟件的漏洞和“后門(mén)”。軟件不可能沒(méi)有安全漏洞和

27、設(shè)計(jì)缺陷，這些漏洞和缺陷最易受到黑客的利用。另外，軟件的“后門(mén)”都是軟件編程人員為了方便而設(shè)置的，一般不為外人所知，可是一旦“后門(mén)”被發(fā)現(xiàn)，網(wǎng)絡(luò)信息將沒(méi)有什么安全可言。如windows的安全漏洞便有很多。7、電磁輻射。電磁輻射對(duì)網(wǎng)絡(luò)信息安全有兩方面影響。一方面，電磁輻射能夠破壞網(wǎng)絡(luò)中的數(shù)據(jù)和軟件，這種輻射的來(lái)源主要是網(wǎng)絡(luò)周?chē)娮与姎庠O(shè)備產(chǎn)生的電磁輻射和試圖破壞數(shù)據(jù)傳輸而預(yù)謀的干擾輻射源。另一方面，電磁泄漏可以導(dǎo)致信息泄露。2、應(yīng)對(duì)措施采用防火墻技術(shù)，在內(nèi)網(wǎng)與外網(wǎng)的環(huán)節(jié)中間添加防火墻，以保證校園網(wǎng)的安全。內(nèi)網(wǎng)外網(wǎng)1、內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻這是防火墻所處網(wǎng)絡(luò)位置特性

28、，同時(shí)也是一個(gè)前提。因?yàn)橹挥挟?dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護(hù)企業(yè)網(wǎng)內(nèi)部網(wǎng)絡(luò)不受侵害。2、只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。防火墻將網(wǎng)絡(luò)上的流量通過(guò)相應(yīng)的網(wǎng)絡(luò)接口接收上來(lái)，按照osi協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當(dāng)?shù)膮f(xié)議層進(jìn)行訪問(wèn)規(guī)則和安全審查，然后將符合通過(guò)條件的報(bào)文從相應(yīng)的網(wǎng)絡(luò)接口送出，而對(duì)于那些不符合通過(guò)條件的報(bào)文則予以阻斷。因此，從這個(gè)角度上來(lái)說(shuō)，防火墻是一個(gè)類(lèi)似于橋接或路由器的、多端口的（網(wǎng)絡(luò)接口=2）轉(zhuǎn)發(fā)設(shè)備，它跨接于多個(gè)分離的物理網(wǎng)段之間，并在

29、報(bào)文轉(zhuǎn)發(fā)過(guò)程之中完成對(duì)報(bào)文的審查工作。3、防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)重任的先決條件。防火墻處于網(wǎng)絡(luò)邊緣，它就像一個(gè)邊界衛(wèi)士一樣，每時(shí)每刻都要面對(duì)黑客的入侵，這樣就要求防火墻自身要具有非常強(qiáng)的抗擊入侵本領(lǐng)。它之所以具有這么強(qiáng)的本領(lǐng)防火墻操作系統(tǒng)本身是關(guān)鍵，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。其次就是防火墻自身具有非常低的服務(wù)功能，除了專(zhuān)門(mén)的防火墻嵌入系統(tǒng)外，再?zèng)]有其它應(yīng)用程序在防火墻上運(yùn)行。當(dāng)然這些安全性也只能說(shuō)是相對(duì)的。五、虛擬模擬路由器配置：router0routerenablerouter#config terimi

30、alrouter(config)#interface fastethernet0/0router(config-if)#ip address router(config-if)#exitrouter(config)#interface fastethernet0/1router(config-if)#no shutdownrouter(config-if)#ip address router(config-if)#exitrouter(config)#interface serial1/0rou

31、ter(config-if)#no shutdownrouter(config-if)#ip address router(config-if)#exitrouterenablerouter#configure terminalenter configuration commands, one per line. end with cntl/z.router(config)#router riprouter(config-router)#network router(config-router)#network 192

32、.168.2.0router(config-router)#network router(config-router)#exit同理配置route1利用交換機(jī)劃分vlan,對(duì)路由器的配置：switch#vlan databaseswitch(vlan)#vlan 2switch(vlan)#vlan 3switch(vlan)#vtp domain jkxswitch(vlan)#vtp serverswitch(vlan)#exitswitchenableswitch#configure terminalenter configuration commands, one per line. end with cntl/z.switch(config)#vlan 2switch(config-vlan)#name vlan02swi