計(jì)算機(jī)網(wǎng)絡(luò)工程期末綜合報(bào)告

1、. . . . 網(wǎng) 絡(luò) 工 程 期 末 綜 合 報(bào) 告課程名稱： 計(jì)算機(jī)網(wǎng)絡(luò)工程 題 目：基于三層交換和虛擬局域網(wǎng)技術(shù)的校園網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn) 學(xué) 院： 信息工程與自動(dòng)化學(xué)院 前 言當(dāng)今社會(huì)已步入信息社會(huì)，信息成為社會(huì)經(jīng)濟(jì)發(fā)展的核心因素，校園網(wǎng)的建設(shè)越來越受到各大校園的重視。校園網(wǎng)絡(luò)的建設(shè)在全國各大校園中掀起一股熱潮，許多學(xué)校都建起了自己的校園網(wǎng)。在校園網(wǎng)的建設(shè)中，應(yīng)用三層交換技術(shù)作為局域網(wǎng)搭建方式已經(jīng)成為了一種普遍流行的方式?；谌龑咏粨Q的虛擬局域網(wǎng)技術(shù)主要采用VLAN技術(shù)對(duì)網(wǎng)段進(jìn)行劃分， 可以滿足校園網(wǎng)絡(luò)應(yīng)用中不同方式的網(wǎng)絡(luò)訪問與應(yīng)用。其對(duì)復(fù)雜的數(shù)據(jù)和不同類型的數(shù)據(jù)都具有良好的網(wǎng)絡(luò)傳輸效能。校

2、園網(wǎng)是利用Internet 技術(shù)把一個(gè)學(xué)校的信息資源全部起來，使全校師生員工能共享和傳遞校園網(wǎng)絡(luò)上的各種信息資源，同時(shí)又能通過通信線路與外部的Internet網(wǎng)絡(luò)相互連接。校園網(wǎng)是學(xué)校教育資源的重要組成部分，已成為現(xiàn)代高等學(xué)校不可或缺的重要基礎(chǔ)設(shè)施和基礎(chǔ)條件。校園網(wǎng)建設(shè)為高校利用網(wǎng)絡(luò)化、信息化手段提高教學(xué)質(zhì)量、促進(jìn)研究型自主學(xué)習(xí)提供了更為廣闊、自由的教學(xué)與科研空間，從而推動(dòng)了教育教學(xué)的整體變革。一個(gè)學(xué)校有了自己的校園網(wǎng)，一方面學(xué)校的老師和學(xué)生足不出校就能與時(shí)的獲取外界的信息，了解到全國各地最新的動(dòng)態(tài)，方便與其他地區(qū)的聯(lián)系和信息的交流，有利于提高學(xué)校的科研教學(xué)水平，另一方面也能更好的管理學(xué)校，它

3、能為現(xiàn)代化教學(xué)、綜合信息管理和辦公自動(dòng)化等一系列應(yīng)用提供基本操作平臺(tái)。建設(shè)校園網(wǎng)對(duì)每個(gè)學(xué)校來說都不是一件容易的事情，校園網(wǎng)不只是涉與技術(shù)方面，而是包括網(wǎng)絡(luò)設(shè)施、應(yīng)用平臺(tái)、信息資源、專業(yè)應(yīng)用、人員素質(zhì)等眾多成份的綜合化、信息化教學(xué)管理環(huán)境系統(tǒng)。文章首先對(duì)三層交換技術(shù)進(jìn)行介紹， 主要介紹涉與到的 VLAN 技術(shù)和三層交換技術(shù)原理。其次根據(jù)學(xué)校局域網(wǎng)應(yīng)用特點(diǎn)設(shè)計(jì)基于三層交換技術(shù)的校園虛擬局域網(wǎng)， 對(duì)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)和VLAN 規(guī)劃設(shè)計(jì)進(jìn)行介紹。最后，針對(duì)基于三層交換技術(shù)和虛擬局域網(wǎng)技術(shù)在虛擬機(jī)上構(gòu)建校園網(wǎng)。 關(guān)鍵字：校園網(wǎng)；三層交換技術(shù)；虛擬局域網(wǎng)目 錄1 需求分析4 1.1.1 需求業(yè)務(wù)4 1.1.2

4、 用戶需求4 1.1.3 應(yīng)用需求4 1.1.4 計(jì)算平臺(tái)需求4 1.1.5 網(wǎng)絡(luò)需求用戶規(guī)模與業(yè)務(wù)狀況需求4 1.1.6 用戶的計(jì)算機(jī)與網(wǎng)絡(luò)應(yīng)用水平需求5 1.1.7 應(yīng)用系統(tǒng)和網(wǎng)絡(luò)服務(wù)需求52 網(wǎng)絡(luò)設(shè)計(jì)62.1 設(shè)計(jì)目標(biāo)62.2 設(shè)計(jì)細(xì)節(jié)72.2.1 網(wǎng)絡(luò)技術(shù)選擇72.2.2 網(wǎng)絡(luò)分層設(shè)計(jì)82.2.3 IP地址分配102.2.4 廣域網(wǎng)接入設(shè)計(jì) 112.2.5 網(wǎng)絡(luò)服務(wù)設(shè)計(jì)122.2.6 網(wǎng)絡(luò)安全設(shè)計(jì).122.2.7 網(wǎng)絡(luò)冗余設(shè)計(jì).122.3 設(shè)計(jì)方案133 系統(tǒng)實(shí)現(xiàn)143.1設(shè)備選擇的原則143.2設(shè)備選型14 3.3.1路由器.152.2.7 核心交換機(jī).162.2.7 匯聚層交換機(jī).

5、162.2.7 接入層交換機(jī).123.3 系統(tǒng)部署173.4 系統(tǒng)調(diào)試214 學(xué)習(xí)體會(huì)23參考文獻(xiàn)241 需求分析業(yè)務(wù)需求、用戶需求、應(yīng)用需求、計(jì)算平臺(tái)需求、網(wǎng)絡(luò)需求用戶規(guī)模與業(yè)務(wù)狀況，用戶的計(jì)算機(jī)與網(wǎng)絡(luò)應(yīng)用水平、所建設(shè)網(wǎng)絡(luò)必須要支撐的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)服務(wù)。1.1.1 業(yè)務(wù)需求：校園網(wǎng)必須能覆蓋整個(gè)校園，包括教學(xué)樓、宿舍樓、圖書館、實(shí)驗(yàn)樓、辦公樓等等，具備通訊、管理、教學(xué)等一個(gè)學(xué)校所需要的功能。1.1.2 用戶需求：（） 教師通過校園網(wǎng)不僅能與時(shí)的掌握學(xué)生的動(dòng)態(tài)，與學(xué)生與時(shí)的交流，還可以方便快捷的瀏覽與教學(xué)相關(guān)的網(wǎng)頁，查詢網(wǎng)上的資源，能夠與時(shí)的了解現(xiàn)代教育發(fā)展的現(xiàn)狀和本學(xué)科的一些前言知識(shí)，更好的

6、進(jìn)行教學(xué)和科研工作； （） 學(xué)生通過校園網(wǎng)不僅能夠與時(shí)的了解學(xué)校發(fā)布的信息、新推出的政策、學(xué)校最近一段時(shí)間的活動(dòng)，還可以方便的與他人進(jìn)行交流，從網(wǎng)上查詢一些學(xué)習(xí)資料，通過網(wǎng)絡(luò)進(jìn)行網(wǎng)上學(xué)習(xí)，視頻學(xué)習(xí)等，與時(shí)的了解教育方面前沿的信息，擴(kuò)充自己的知識(shí)面，開闊視野；（） 學(xué)校的管理人員通過校園網(wǎng)可以方便地對(duì)教務(wù)、行政事務(wù)、學(xué)生學(xué)籍、財(cái)務(wù)、資產(chǎn)等進(jìn)行綜合管理，同時(shí)可以實(shí)現(xiàn)各級(jí)管理層之間的信息數(shù)據(jù)交換，實(shí)現(xiàn)網(wǎng)上信息采集和處理的自動(dòng)化，實(shí)現(xiàn)信息和設(shè)備資源的共享。1.1.3 應(yīng)用需求：（） 校園網(wǎng)應(yīng)實(shí)現(xiàn)虛擬局域網(wǎng)（VLAN）的功能，以保證全網(wǎng)的良好性能與網(wǎng)絡(luò)安全性。（） 主干網(wǎng)交換機(jī)應(yīng)具有很高的包交換速度，整

7、個(gè)網(wǎng)絡(luò)應(yīng)具有高速的三層交換功能。1.1.4計(jì)算平臺(tái)需求：具有先進(jìn)性、成熟性和標(biāo)準(zhǔn)性的計(jì)算機(jī)，對(duì)操作系統(tǒng)沒有要求，支持IPV4即可。1.1.5網(wǎng)絡(luò)需求用戶規(guī)模與業(yè)務(wù)狀況需求：考慮到校園網(wǎng)的用戶數(shù)量，出口的速率必須在100Mbps以上，且應(yīng)實(shí)現(xiàn)負(fù)載均衡和備份。負(fù)載均衡是指當(dāng)一個(gè)出口過于擁擠時(shí)應(yīng)將流量適當(dāng)分流到另一個(gè)出口，備份是指當(dāng)一個(gè)出口出現(xiàn)問題時(shí)應(yīng)切換到另一個(gè)出口，只有這樣才能保證可靠性、穩(wěn)定性和高性能。1.1.6 用戶的計(jì)算機(jī)與網(wǎng)絡(luò)應(yīng)用水平需求：校園網(wǎng)部擁有大量計(jì)算機(jī)和用戶，由于部用戶對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，特別是在校學(xué)生的好奇心和求知欲較強(qiáng)，所以加強(qiáng)網(wǎng)安全也不容忽視。網(wǎng)安全應(yīng)主要防

8、部對(duì)服務(wù)器和網(wǎng)絡(luò)設(shè)備的攻擊、病毒在網(wǎng)的傳播以與部網(wǎng)絡(luò)管理制度上的漏洞。1.1.7 應(yīng)用系統(tǒng)和網(wǎng)絡(luò)服務(wù)需求：（1）校園網(wǎng)需連接到Internet，而Internet作為一種開放的、標(biāo)準(zhǔn)的技術(shù)，面向所有用戶，所有資源均通過網(wǎng)絡(luò)共享，需使用的TCP/IP協(xié)議以與網(wǎng)頁、E_mail等方式。應(yīng)用系統(tǒng)的建設(shè)主要包括：（）公共數(shù)據(jù)存儲(chǔ)：提供校用戶的公共存儲(chǔ)使用，利用FTP等，目前的許多大學(xué)，新生入校交納一定的費(fèi)用就可以獲得一個(gè)上網(wǎng)賬戶。大大豐富了學(xué)生使用網(wǎng)絡(luò)的容，也豐富了校園網(wǎng)上的資源； （）系統(tǒng)：包括學(xué)校主頁，與各系部、科室的，對(duì)于其中的一些訪問量較大的還應(yīng)啟用域名系統(tǒng)；（） 一卡通系統(tǒng)：通過校園網(wǎng)實(shí)現(xiàn)食

9、堂、超市、浴室、銀行等的連接； （） 教務(wù)管理系統(tǒng)：實(shí)現(xiàn)學(xué)籍管理、課程管理、成績(jī)管理等功能；（） 數(shù)字化教學(xué)資源系統(tǒng)：實(shí)現(xiàn)數(shù)字化課程和課件，在課堂上老師可通過點(diǎn)播技術(shù) 或組播技術(shù)播放課件，學(xué)生也可在課后點(diǎn)播相應(yīng)的課程自我學(xué)習(xí)； （） 數(shù)字化圖書館：實(shí)現(xiàn)圖書檢索、電子閱覽室、電子論文庫等功能； （） 辦公自動(dòng)化系統(tǒng)：實(shí)現(xiàn)網(wǎng)上公文流轉(zhuǎn)、信息公布等功能。在進(jìn)行校園網(wǎng)設(shè)計(jì)時(shí)必須考慮到將來應(yīng)用系統(tǒng)的建設(shè)以與應(yīng)用系統(tǒng)的功能擴(kuò)展。在安裝服務(wù)器的地點(diǎn)應(yīng)留有接口和較寬的帶寬，同時(shí)還應(yīng)允許在校外訪問部分服務(wù)器。2 網(wǎng)絡(luò)設(shè)計(jì)網(wǎng)絡(luò)技術(shù)選擇（主要包括物理層傳輸介質(zhì)的選擇，局域網(wǎng)技術(shù)選擇）、網(wǎng)絡(luò)分層設(shè)計(jì)、IP地址分配、廣

10、域網(wǎng)接入設(shè)計(jì)、網(wǎng)絡(luò)服務(wù)設(shè)計(jì)、網(wǎng)絡(luò)安全設(shè)計(jì)、網(wǎng)絡(luò)冗余設(shè)計(jì)2.1設(shè)計(jì)目標(biāo) （1）最基本的目標(biāo)是：建設(shè)校園網(wǎng)絡(luò)中心，并通過一定的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)構(gòu)建連接校園網(wǎng)絡(luò)中心、計(jì)算機(jī)教室、實(shí)驗(yàn)室、教學(xué)樓、辦公樓、學(xué)生宿舍樓、圖書館等的校園網(wǎng)，使之能通過一定的應(yīng)用軟件完成行政辦公管理、教師備課授課、學(xué)生學(xué)習(xí)交流、校信息公告、遠(yuǎn)程電子通訊等基本功能構(gòu)建普通學(xué)校校Internet環(huán)境，并通過代理服務(wù)器接入Internet，實(shí)現(xiàn)與Internet 交流，實(shí)現(xiàn)廣泛的軟件、硬件資源共享，如網(wǎng)上沖浪、電子、文件傳輸、遠(yuǎn)程登錄、存儲(chǔ)數(shù)據(jù)與論壇討論等。（2）校園網(wǎng)系統(tǒng)高可靠性在考慮現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上,整個(gè)業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)的拓?fù)浣Y(jié)構(gòu)盡量

11、采用穩(wěn)定可靠的結(jié)構(gòu)形式,以保證整個(gè)網(wǎng)絡(luò)的高可靠性。網(wǎng)絡(luò)設(shè)備和整個(gè)網(wǎng)絡(luò)系統(tǒng)必須具備高可靠性特征。（3）校園網(wǎng)系統(tǒng)高穩(wěn)定性其中核心交換機(jī)采用高性能,為整個(gè)校園網(wǎng)提供真正的高速無阻塞的傳輸,保證全線速交換；不僅硬件實(shí)現(xiàn)三層路由和交換，關(guān)鍵功能均通過硬件實(shí)現(xiàn),極大程度上提高了數(shù)據(jù)處理能力；而管理交換引擎、電源等關(guān)鍵部件的冗余,實(shí)現(xiàn)了系統(tǒng)高穩(wěn)定性和可靠性。（4）校園網(wǎng)系統(tǒng)可擴(kuò)展性網(wǎng)絡(luò)系統(tǒng)應(yīng)以開放性為基礎(chǔ),具有廣泛的適應(yīng)性和可擴(kuò)充性, 作為一個(gè)骨干網(wǎng)的核心,下面的一些新的應(yīng)用將不斷增加,系統(tǒng)的容量也將隨之?dāng)U展,因此方案應(yīng)具有良好的可擴(kuò)充性適應(yīng)系統(tǒng)不斷增長(zhǎng)的需求。（5）校園網(wǎng)系統(tǒng)可維護(hù)性整個(gè)業(yè)務(wù)網(wǎng)必須具備良

12、好的可管理性,網(wǎng)管系統(tǒng)應(yīng)具有監(jiān)測(cè)、故障診斷、故障隔離、過濾設(shè)置等功能,以便于系統(tǒng)的管理和維護(hù)。同時(shí)應(yīng)盡可能選取集成度高、模塊化、可通用的產(chǎn)品,以便于管理和維護(hù)。2.2設(shè)計(jì)細(xì)節(jié)2.2.1網(wǎng)絡(luò)技術(shù)選擇：三層交換技術(shù)：在計(jì)算機(jī)數(shù)量眾多的局域網(wǎng)絡(luò)中，為了提高網(wǎng)絡(luò)安全性和通信效率必須劃分VLAN,而不同VLAN間的通信只有通過路由設(shè)備才能實(shí)現(xiàn)。如果使用傳統(tǒng)路由器作為VLAN間的路由設(shè)備，將由于其吞吐量太小而很難適應(yīng)大規(guī)模、高速率網(wǎng)絡(luò)傳輸?shù)男枰?，這無疑將成為快速以太網(wǎng)或千兆以太網(wǎng)網(wǎng)絡(luò)傳輸?shù)钠款i。于是，專門用于解決VLAN間通信的、集第三層轉(zhuǎn)發(fā)與第二層交換于一身的第三層交換技術(shù)產(chǎn)生了。第三層交換技術(shù)實(shí)際上是

13、使用了集成電路的路由器，但比傳統(tǒng)的路由器提供了更高的速度和更低的成本，也比傳統(tǒng)的路由器更易于管理。正因?yàn)榈谌龑咏粨Q技術(shù)集成了路由器的功能，所以第三層交換機(jī)也被成為路由交換機(jī)。虛擬局域網(wǎng)（VLAN）技術(shù)：虛擬局域網(wǎng)（VLAN）技術(shù)用于在不更改網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)的前提下對(duì)局域網(wǎng)進(jìn)行重組。在以前的局域網(wǎng)應(yīng)用中，當(dāng)站與站之間的通信關(guān)系改變后，需要對(duì)網(wǎng)絡(luò)的的物理結(jié)構(gòu)進(jìn)行調(diào)整，而采用虛擬局域網(wǎng)技術(shù)后，網(wǎng)管人員只需在交換機(jī)上對(duì)網(wǎng)絡(luò)進(jìn)行邏輯重構(gòu)，即可使網(wǎng)絡(luò)結(jié)構(gòu)適應(yīng)新的通信要求，并維持通信的高效率。具體的講，虛擬局域網(wǎng)技術(shù)是通過路由和交換設(shè)備，在網(wǎng)絡(luò)物理拓?fù)涞幕A(chǔ)上建立一個(gè)邏輯網(wǎng)絡(luò)。每個(gè)VLAN都構(gòu)成一個(gè)獨(dú)立的廣播

14、域，處于同一VLAN中的網(wǎng)絡(luò)用戶可以不受地理位置的限制而像處于同一個(gè)VLAN上那樣互相交換信息。VLAN必須在交換網(wǎng)絡(luò)中實(shí)現(xiàn)，每個(gè)交換設(shè)備均可根據(jù)網(wǎng)絡(luò)管理人員所定義的VLAN劃分方法對(duì)報(bào)文進(jìn)行過濾和轉(zhuǎn)發(fā)，并能將這種劃分信息傳遞到網(wǎng)絡(luò)中其他交換設(shè)備和路由器中。LAN交換設(shè)備在VLAN的劃分與實(shí)現(xiàn)低延遲的報(bào)文轉(zhuǎn)發(fā)方面起著重要的作用。事實(shí)上，在網(wǎng)絡(luò)層對(duì)網(wǎng)絡(luò)進(jìn)行互聯(lián)的路由器，能夠在網(wǎng)絡(luò)層對(duì)網(wǎng)絡(luò)進(jìn)行隔離，并抑制廣播數(shù)據(jù)。而VLAN則是一種不采用路由器對(duì)廣播數(shù)據(jù)進(jìn)行抑制的解決方案。在VLAN中，對(duì)廣播數(shù)據(jù)的抑制由交換機(jī)完成。2.2.2網(wǎng)絡(luò)分層設(shè)計(jì)：本校園網(wǎng)主要由以下三部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、服

15、務(wù)器模塊。為了簡(jiǎn)化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，我們采用分層的方法來設(shè)計(jì)校園網(wǎng)。校園網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個(gè)層次：接入層、匯聚層、核心層。不同層工作在OSI模型的不同層次上。通常將網(wǎng)絡(luò)中直接面向用戶連接或訪問網(wǎng)絡(luò)的部分稱為接入層，將位于接入層和核心層之間的部分稱為分布層或匯聚層。接入交換機(jī)一般用于直接連接電腦，匯聚交換機(jī)一般用于樓宇間。匯聚相當(dāng)于一個(gè)局部或重要的中轉(zhuǎn)站，核心相當(dāng)于一個(gè)出口或總匯總。原來定義的匯聚層的目的是為了減少核心的負(fù)擔(dān),將本地?cái)?shù)據(jù)交換機(jī)流量在本地的匯聚交換機(jī)上交換,減少核心層的工作負(fù)擔(dān),使核心層只處理到本地區(qū)域外的數(shù)據(jù)交換。核心層設(shè)計(jì)設(shè)計(jì)核心層是網(wǎng)絡(luò)建設(shè)的關(guān)鍵，

16、功能是實(shí)現(xiàn)高性能的交換和傳輸。因此，核心層設(shè)備應(yīng)該具有高性能的傳輸功能和高可靠性、可管理性以與高帶寬，以達(dá)到網(wǎng)絡(luò)的設(shè)計(jì)要求。服務(wù)器：將選用一臺(tái)小型機(jī)作為網(wǎng)絡(luò)管理服務(wù)器，同時(shí)提供Web、E-MAIL、FTP服務(wù)。采用高性能的PC Server作為全校應(yīng)用服務(wù)與信息存儲(chǔ)的中心，包括：學(xué)生信息管理子系統(tǒng)、教師信息管理子系統(tǒng)、財(cái)務(wù)管理子系統(tǒng)、IC卡子系統(tǒng)、圖書館管理子系統(tǒng)、多媒體網(wǎng)上教學(xué)系統(tǒng)、視頻點(diǎn)播子系統(tǒng)。中心交換機(jī)：中心交換機(jī)采用三層交換機(jī)作為校園網(wǎng)的主交換設(shè)備，提供劃分部虛擬網(wǎng)等功能，連接校園網(wǎng)部各子網(wǎng)。它的主要工作是：提供交換區(qū)塊的連接，提供到其他區(qū)塊的訪問，盡可能快的交換數(shù)據(jù)。核心交換機(jī)屬于

17、高端交換機(jī)，全部采用模塊化的結(jié)構(gòu)，可作為網(wǎng)絡(luò)骨干構(gòu)建局域網(wǎng)。核心層交換機(jī)可以提供用戶化機(jī)制、優(yōu)先級(jí)隊(duì)列服務(wù)和網(wǎng)絡(luò)安全控制，并能很快適應(yīng)數(shù)據(jù)增長(zhǎng)和改變的需要，從而滿足用戶的需求。對(duì)于有更多需求的網(wǎng)絡(luò)，核心交換機(jī)不僅能夠傳送海量數(shù)據(jù)和控制信息，更具有硬件冗余和軟件可伸縮性特點(diǎn)，保證網(wǎng)絡(luò)的可靠運(yùn)行。校園網(wǎng)的核心層是一個(gè)數(shù)據(jù)交換樞紐，提供高速、有效地?cái)?shù)據(jù)交換。鑒于其重要性和必要性，核心層的可用性也在設(shè)計(jì)中得到了充分的體現(xiàn)。核心層是一個(gè)路由域。通過在核心層配置動(dòng)態(tài)路由協(xié)議，提供數(shù)據(jù)的路由和路由的迂回。網(wǎng)絡(luò)核心層是網(wǎng)絡(luò)的中心，其功能是實(shí)現(xiàn)高性能的交換和傳輸。因此核心層設(shè)備應(yīng)該是高性能的交換機(jī)，可實(shí)現(xiàn)高速度

18、的交換傳輸，以連接服務(wù)器等核心設(shè)備；并且非?？煽浚瑢?shí)現(xiàn)不間斷工作。匯聚層設(shè)計(jì)匯聚層主要負(fù)責(zé)匯集分散的接入點(diǎn)進(jìn)行數(shù)據(jù)交換，提供流量控制和用戶管理功能，作為校園網(wǎng)的業(yè)務(wù)提供層面，它是使校園網(wǎng)可運(yùn)營、可管理的最重要組成部分。匯聚層設(shè)備是用戶管理的基本設(shè)備，也是保證校園網(wǎng)承載和業(yè)務(wù)安全的基本屏障，更是保障校園網(wǎng)安全性能的關(guān)鍵。匯聚層交換機(jī)（也稱匯接層或分布層交換機(jī)）提供了邊界定義，并在該處對(duì)潛在的費(fèi)力的數(shù)據(jù)幀操作進(jìn)行處理，匯聚層交換機(jī)是多臺(tái)接入層交換機(jī)的匯聚點(diǎn)，它必須能夠處理來自接入層設(shè)備的所有通信量，并提供到核心層的上行鏈路，因此匯聚層交換機(jī)與接入層交換機(jī)比較，需要更高的性能，更少的接口和更高的交換

19、速率。它有如下功能：VLAN聚合、部門級(jí)或工作組接入、廣播域的定義、VLAN間路由、介質(zhì)轉(zhuǎn)換等，匯聚層交換機(jī)被歸納為能夠提供基于策略的連通性交換機(jī)。匯聚層交換連接核心層和接入層，應(yīng)當(dāng)采用帶VLAN和網(wǎng)管功能的中檔交換機(jī)。匯聚層交換機(jī)具有快速的級(jí)聯(lián)核心的以太端口以與高速堆疊模塊；帶VLAN子網(wǎng)劃分功能，能很好的管理接入層用戶。接入層設(shè)計(jì)接入層，其主要功能就是實(shí)現(xiàn)每個(gè)合法用戶的安全接入。因此，對(duì)接入層而言其關(guān)鍵安全要素就是用戶的安全認(rèn)證，管理和快速介入功能。接入層網(wǎng)絡(luò)是純二層交換網(wǎng)絡(luò)，提供用戶的網(wǎng)絡(luò)接入。由于接入層設(shè)備需要部署在樓層，因此要求這些設(shè)備容易管理并且投資成本少。在接入層根據(jù)用戶類型的不

20、同劃分為不同的VLAN；在公共場(chǎng)合，例如：教學(xué)樓、實(shí)驗(yàn)室、圖書館、辦公室等，部署具有接入控制功能的以太網(wǎng)交換機(jī)，通過對(duì)用戶的身份認(rèn)證與該用戶在RADIUS服務(wù)器上定義的VLAN屬性，劃分相應(yīng)的VLAN。接入層交換機(jī)是最終用戶被允許接入網(wǎng)絡(luò)節(jié)點(diǎn)的交換機(jī)，該層的交換機(jī)能夠通過過濾或訪問控制列表提供對(duì)用戶流量的進(jìn)一步控制，因此接入層交換機(jī)具有低成本和高端口密度特性。接入交換機(jī)是最常見的交換機(jī)，它直接與外網(wǎng)聯(lián)系，使用最廣泛，尤其是在一般辦公室、小型機(jī)房和業(yè)務(wù)受理較為集中的業(yè)務(wù)部門、多媒體制作中心、管理中心等部門。該層交換機(jī)的主要功能是為最終用戶提供網(wǎng)絡(luò)接入，提供共享帶寬，交換帶寬與第二層功能。它主要使

21、用能夠通過低成本、高端口，密度的設(shè)備來提供這些功能。2.2.3IP地址分配 對(duì)校園網(wǎng)IP 地址分配采用如下規(guī)劃原則：（1）網(wǎng)絡(luò)系統(tǒng)的編址方案利用CIDR （無類型域間選路）和可變長(zhǎng)子網(wǎng)掩碼技術(shù),并支持Ipv6；（2）在整個(gè)網(wǎng)絡(luò)環(huán)境中必須保持IP 地址的唯一性；（3）為提高路由處理效率,實(shí)現(xiàn)理想的路由匯總，縮減路由表項(xiàng)數(shù)，盡量為同一網(wǎng)絡(luò)分配連續(xù)地址；（4）地址分配具有層次性,便于管理,局部的變動(dòng)不影響網(wǎng)絡(luò)的其他部分；（5）為了滿足不斷增長(zhǎng)的 IP 地址需求，并實(shí)現(xiàn)與其他網(wǎng)絡(luò)互聯(lián)和部子網(wǎng)互聯(lián)的有效控制和管理，建議校園網(wǎng)采用部保留地址,給將來的網(wǎng)絡(luò)發(fā)展留下充分的余地；經(jīng)過一段時(shí)間的規(guī)劃與分

22、析，建立的校園網(wǎng)需要包括教學(xué)樓、辦公樓、實(shí)驗(yàn)樓和圖書館四個(gè)區(qū)域的所有計(jì)算機(jī)。我們給每個(gè)區(qū)域劃分一個(gè)VLAN，教學(xué)樓是VLAN 2：54，辦公樓屬于VLAN 3：54，宿舍樓是VLAN 4：54，圖書館是VLAN 5：54 ；6個(gè)交換機(jī)的IP地址分別為， ， ， ， ， ，2.2.4廣域網(wǎng)接入設(shè)計(jì)采用高性能的PC Server作為全校應(yīng)用服務(wù)與信息存儲(chǔ)的中心，在拓?fù)鋱D中用PC 7

23、體現(xiàn)出來，PC 7的IP地址為，通過路由器Router ()接入核心交換機(jī)，廣域網(wǎng)接入是VLAN 1：54。2.2.5網(wǎng)絡(luò)服務(wù)設(shè)計(jì)WEB服務(wù)器()是VLAN 6：54，163()是VLAN 7：54，F(xiàn)TP服務(wù)器()是VLAN 8：542.2.6網(wǎng)絡(luò)安全設(shè)計(jì)作為整個(gè)校園網(wǎng)絡(luò)系統(tǒng)的硬件基礎(chǔ)，網(wǎng)絡(luò)設(shè)備必須是具備安全性、穩(wěn)定性和可靠性的特點(diǎn)。這是網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行的最基本條件。最好是經(jīng)過相當(dāng)長(zhǎng)時(shí)間，在世界圍被廣泛應(yīng)用

24、的網(wǎng)絡(luò)產(chǎn)品，所以在選擇產(chǎn)品時(shí)選用國際知名廠商的產(chǎn)品。當(dāng)構(gòu)建的校園網(wǎng)初具規(guī)模后，應(yīng)該對(duì)校園網(wǎng)的整體運(yùn)行情況做一下細(xì)致的測(cè)試和評(píng)估，主要的測(cè)試容應(yīng)該包括：對(duì)管理IP地址的測(cè)試；對(duì)一樣VLAN的通信的測(cè)試；對(duì)不同VLAN的通信進(jìn)行測(cè)試；對(duì)冗余鏈路的工作狀態(tài)進(jìn)行測(cè)試；對(duì)各種服務(wù)器提供的服務(wù)進(jìn)行訪問等。2.2.7網(wǎng)絡(luò)冗余設(shè)計(jì)一些部門由于安全性和信息實(shí)時(shí)處理的需要，強(qiáng)調(diào)網(wǎng)絡(luò)的高效性和安全性；另一些部門，由于物理端口可能會(huì)經(jīng)常變動(dòng)，要求網(wǎng)絡(luò)配置具有較高的靈活性，而不同的VLAN劃分機(jī)制又各有其優(yōu)缺點(diǎn)，因此，應(yīng)該根據(jù)實(shí)際情況考慮多種VLAN劃分機(jī)制與安全策略配合使用，使整個(gè)網(wǎng)絡(luò)性能與安全達(dá)到最優(yōu)。針對(duì)部VLA

25、N之間的路由瓶頸造成的網(wǎng)絡(luò)性能問題。采用第三層交換機(jī)做為校園網(wǎng)核心交換機(jī)，取代傳統(tǒng)路由器進(jìn)行部VLAN之間的路由。虛擬局域網(wǎng)規(guī)劃中采用基于端口和基于IP子網(wǎng)兩種方式相結(jié)合的VLAN劃分方案。在設(shè)計(jì)VLAN時(shí)，盡可能地將同一工作性質(zhì)的節(jié)點(diǎn)劃分在同一VLAN，以減少跨VLAN訪問，提高網(wǎng)絡(luò)的效率。定義VLAN后，還需在核心交換機(jī)上進(jìn)行VLAN之間通信的路由配置。首先給各個(gè)VLAN配置一個(gè)相應(yīng)的網(wǎng)關(guān)地址，然后在交換機(jī)上創(chuàng)建VLAN之間的靜態(tài)路由表。核心交換機(jī)支持VLAN間的線速路由。從而可保證子網(wǎng)間信息交換的效率。2.3設(shè)計(jì)方案整個(gè)校園網(wǎng)的信息點(diǎn)都可接入Internet，Internet通過校園外部

26、的路由器進(jìn)入到整個(gè)校園的核心交換機(jī)上，再經(jīng)核心交換機(jī)分別接入到每棟樓的交換機(jī)，校園網(wǎng)能夠提供WWW服務(wù)器、域名服務(wù)器、FTP服務(wù)器、代理服務(wù)器、數(shù)據(jù)庫服務(wù)器等，其中數(shù)據(jù)庫服務(wù)器主要是部管理、教學(xué)數(shù)據(jù)庫，學(xué)生和教師資料數(shù)據(jù)庫。對(duì)校園網(wǎng)部提供視頻點(diǎn)播服務(wù)，使用教務(wù)教學(xué)管理系統(tǒng)對(duì)學(xué)校教務(wù)教學(xué)進(jìn)行管理，因此有一個(gè)專門的服務(wù)區(qū)連接核心交換機(jī)來為整個(gè)校園網(wǎng)提供服務(wù)。各大樓之間可互聯(lián)互通，每棟樓有一個(gè)總交換機(jī)連接每一層的交換機(jī)，層交換機(jī)再經(jīng)連接到每個(gè)房間的交換機(jī)，每個(gè)房間的所有信息點(diǎn)連接到這個(gè)房間的交換機(jī)上。這樣整個(gè)校園的網(wǎng)絡(luò)結(jié)構(gòu)基本完成。校園網(wǎng)整體結(jié)構(gòu)拓?fù)鋱D如下所示。名稱對(duì)應(yīng)拓?fù)鋱DIP圍Vlan網(wǎng)管中心1

27、0臺(tái)CLient13/2454路由器R1核心交換機(jī)LSW1Web服務(wù)器40臺(tái)Client1/2454163服務(wù)器40臺(tái)Client2/2454FTP服務(wù)器40臺(tái)Client3/2454匯聚層交換機(jī)LSW2LSW3接入層交換機(jī)LSW454LSW554LSW6207.17.0

28、.754LSW754宿舍區(qū)2120臺(tái)Client5/1854教學(xué)樓500臺(tái)Client7/2154辦公樓800臺(tái)Client9/2054圖書館400臺(tái)Client11/22543 系統(tǒng)實(shí)現(xiàn)設(shè)備選型（給出主要設(shè)備的主要性能指標(biāo)和參數(shù)）、系統(tǒng)部署和調(diào)試等。 3.1 設(shè)備選擇的原則：(1) 安全、穩(wěn)定、可靠：作為整個(gè)校園網(wǎng)絡(luò)系統(tǒng)的硬件基礎(chǔ)，網(wǎng)絡(luò)設(shè)備必須是具備安全性、穩(wěn)定性和可靠性的特點(diǎn)。這是網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行的最基本條件。 (2) 技術(shù)先進(jìn)性：在選擇網(wǎng)絡(luò)設(shè)備應(yīng)該采用當(dāng)今較先進(jìn)的技術(shù)，能夠保持該設(shè)備在相當(dāng)長(zhǎng)的一段時(shí)間不會(huì)因?yàn)榧夹g(shù)落后而被