校園局域網(wǎng)的規(guī)劃與設(shè)計(jì)

1、指導(dǎo)教師：年月日校園局域網(wǎng)的規(guī)劃與設(shè)計(jì)摘要隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，校園網(wǎng)的建設(shè)已經(jīng)進(jìn)入到一個(gè)蓬勃發(fā)展的階段。校園網(wǎng)的建成和使用，對(duì)于提高教學(xué)和科研的質(zhì)量、改善教學(xué)和科研條件、加快學(xué)校的信息化進(jìn)程，開展多教學(xué)與研究以及使教學(xué)多出、科研多出成果有著十分重要而深遠(yuǎn)的意義。各高校及其中小學(xué)都在籌備建設(shè)校園網(wǎng)，希望通過(guò)校園網(wǎng)的建設(shè)，改善辦學(xué)條件，提高教學(xué)、科研和管理水平。校園網(wǎng)的建設(shè)對(duì)于學(xué)校來(lái)說(shuō)是一項(xiàng)大的工程，必須精心設(shè)計(jì)、精心施工，做到經(jīng)濟(jì)適用，技術(shù)先進(jìn)、開放性能良好、投資強(qiáng)度合理、能長(zhǎng)期、穩(wěn)定運(yùn)行的高性能的校園網(wǎng)絡(luò)。本文為一所培訓(xùn)學(xué)校的校園網(wǎng)工程，范圍主要為包括辦公樓、室、住宿樓及實(shí)驗(yàn)樓在內(nèi)的局域網(wǎng)部分

2、。根據(jù)校園的整體的網(wǎng)絡(luò)架構(gòu)，使這復(fù)雜的網(wǎng)絡(luò)高速、安全地通信，對(duì)復(fù)雜網(wǎng)絡(luò)應(yīng)用的解決方案。本文是通過(guò)對(duì)校園的里面的路由器和交換機(jī)進(jìn)行正確的配置,通過(guò)使用一些規(guī)則配置,使校園的網(wǎng)絡(luò)可以實(shí)現(xiàn)共享和相互通信. 利用 vlan 技術(shù)來(lái)優(yōu)化校園里的網(wǎng)絡(luò)，限制廣播域，增強(qiáng)局域網(wǎng)內(nèi)的安全性，再用 vtp 來(lái)更好的輔助 vlan 性能的良好發(fā)揮，利用 nat 技術(shù)把校園里面的私用 IP 地址轉(zhuǎn)化成公網(wǎng)上的 IP，使得內(nèi)部網(wǎng)絡(luò)可以正?；ヂ?lián)網(wǎng)，通過(guò)使用vlan,nat,vtp 等技術(shù)對(duì)路由器和交換機(jī)進(jìn)行配置，使校園網(wǎng)絡(luò)各種計(jì)算機(jī)、服務(wù)器連接起來(lái)，并通過(guò)一定接口連接到廣域網(wǎng),實(shí)現(xiàn)校園網(wǎng)絡(luò)、相互通信和共享。：校園網(wǎng)；規(guī)劃

3、；設(shè)計(jì)；vtp 技術(shù)abstractWith the development of network technology, the construction of campus network has entered a stage of vigorous development. Campus network construction and use, to improve the quality of teaching and scientific research, improve the informationization of teaching and scientific res

4、earch conditions, the development of school, carry out multimedia teaching and research and make teaching more talent, research is a very important and far-reaching significance results. Colleges and universities and primary and secondary schools are preparing for the construction of the campus netw

5、ork, hoping that through the construction of the campus network, improve school conditions, improve teaching, research and management level. The construction of the campus network is a big project for schools, must be meticulous in design and construction, to achieve economic applicable, advanced te

6、chnology, open good performance and reasonable investment intensity, long-term and stable operation of thehigh performance of the campus network. In this paper, a training school campusnetwork engineering, the scope of the main office buildings, libraries,modationand laboratory buildings, including

7、the local area network. According to the overallnetwork architecture of the campus, make this complex network high-speed, securecommunication, integrated solutions for complex network applications. This is the correct configuration through the campus inside routers and switches, by using some rules,

8、 make the campus network can realize the resource sharing and mutual communication. To optimize the campus network using VLAN technology, limited broadcast domain, enhance the security of the LAN, and good play VTP to assist VLAN with better performance the use of NAT technology to the campus inside

9、 the private IP address into a public network IP, the internal network can access the Internet, through the use of VLAN, NAT, VTP and other technology for the configuration of routers and switches, the campus network, a variety of computer servers connected, and connected to the network through a ce

10、rtain interface. The realization of campusnetwork, mutual communication and resource sharing.Key words: campus network; planning; design; VTP Technology1.引言11.2 研究背景11.2 課題研究研究目標(biāo)12.計(jì)算機(jī)網(wǎng)絡(luò)32.1 計(jì)算機(jī)網(wǎng)絡(luò)32.2 局域網(wǎng)簡(jiǎn)介32.2.1 局域網(wǎng)的組成32.2.2 局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)42.2.3 局域網(wǎng)規(guī)范42.2.4 局域網(wǎng)的結(jié)構(gòu)類型52.2.5 局域網(wǎng)中計(jì)算機(jī)數(shù)量的限制83.校園網(wǎng)總體規(guī)劃設(shè)計(jì)93.1 校園局

11、域網(wǎng)需求93.2 網(wǎng)絡(luò)總體架構(gòu)規(guī)劃103.3 網(wǎng)絡(luò)設(shè)備選型123.4 路由器選擇153.5 校園網(wǎng)安全策略及安全防御措施16本章小結(jié)164. VLAN 劃分及參數(shù)配置174.1VLAN 劃分174.2VLAN 配置194.3交換機(jī) Core-SW 配置204.3.1交換機(jī)配置 VTP Server204.3.2 配置中繼（Trunk）204.3.3 創(chuàng)建 vlan 及端口劃分214.3.4 配置 IP224.3.5SW1 開啟路由234.4Server-SW 配置244.4.1 配置 Server-SW 中繼（Trunk）244.4.2Server-SW 端口配置244.5 配置學(xué)生宿舍交換機(jī)

12、255.路由器配置265.1 基本 IP 設(shè)置265.2NAT 設(shè)置275.3 校園網(wǎng)邊界路由器配置275.4 通過(guò) NAT 技術(shù)實(shí)現(xiàn)內(nèi)網(wǎng)internet285.5 顯示路由表285.6 模擬 ISP 環(huán)境出口路由 R2 配置306 服務(wù)器配置316.1DHCP 服務(wù)器配置316.2WWW 服務(wù)器配置316.3DNS 服務(wù)器配置326.4FTP 服務(wù)器配置327.控制337.1控制表337.2 對(duì)服務(wù)器群的服務(wù)進(jìn)行控制35小結(jié)368.驗(yàn)證測(cè)試36總結(jié)與展望41辭謝42參考文獻(xiàn)431.引言1.2 研究背景近年來(lái)，隨著教學(xué)的不斷進(jìn)步以及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在學(xué)校中應(yīng)用的日益普及，校園網(wǎng)絡(luò)化、教學(xué)智能化成

13、為各學(xué)校競(jìng)相角逐的熱點(diǎn)，校園網(wǎng)已成為各學(xué)校必備的重要信息基礎(chǔ)設(shè)施，其規(guī)模和應(yīng)用水平已成為衡量學(xué)校教學(xué)與科研綜合實(shí)力的一個(gè)重要標(biāo)志。校園網(wǎng)的建設(shè)將為“數(shù)字化校園”提供高可靠性的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和高性能的服務(wù)在一個(gè)平臺(tái)上，讓整個(gè)學(xué)校的教學(xué)、科研、管理和服務(wù)工作都實(shí)現(xiàn)信息化和網(wǎng)絡(luò)化，使教師、學(xué)生、科研和行政管理等都可以最方便地實(shí)現(xiàn)信息的交流、進(jìn)行協(xié)同工作和共享，搞好校園網(wǎng)的建設(shè)，有利于增強(qiáng)學(xué)校辦學(xué)水平與競(jìng)爭(zhēng)力。因此，建設(shè)高效實(shí)用的高級(jí)校園網(wǎng)，是大勢(shì)所趨。1.2 課題研究研究目標(biāo)發(fā)展校園局域網(wǎng)應(yīng)有長(zhǎng)遠(yuǎn)的規(guī)劃，爭(zhēng)取利用現(xiàn)有的網(wǎng)絡(luò)技術(shù)和通信技術(shù)，將校園局域網(wǎng)建設(shè)成經(jīng)濟(jì)實(shí)用的現(xiàn)代化校園網(wǎng)，同時(shí)實(shí)現(xiàn)與其他兄弟院校

14、之間的相互和信息共享，逐漸實(shí)現(xiàn)教育科研信息共享，各種功能齊全的網(wǎng)絡(luò)管理系統(tǒng)。校園局域網(wǎng)項(xiàng)目實(shí)現(xiàn)后，將極大的提升學(xué)校在日常教學(xué)信息管理、辦公自動(dòng)化、計(jì)算機(jī)輔助教學(xué)、教學(xué)制作的自動(dòng)化、和情報(bào)檢索等重要服務(wù)上的效率。校園局域網(wǎng)規(guī)劃設(shè)計(jì)目標(biāo)：1.實(shí)現(xiàn)校園內(nèi)部共享學(xué)校和教師能通過(guò)及時(shí)、準(zhǔn)確地教學(xué)活動(dòng)中的信息，掌握當(dāng)前教學(xué)情況。并通過(guò)對(duì)信息的統(tǒng)計(jì)、匯總及分析，為教學(xué)、科研管理提供服務(wù)，同時(shí)對(duì)學(xué)校各級(jí)管理層對(duì)學(xué)校的規(guī)劃、組織、決策提供了便捷的信息和科學(xué)的管理，及時(shí)有效的指定、修改教學(xué)計(jì)劃。2.完備的數(shù)據(jù)庫(kù)管理系統(tǒng)和庫(kù)能夠支持大量的圖文聲像素材、多課件片段，數(shù)據(jù)文件的收集、管理、的提取。數(shù)據(jù)算法需要檢索方便，

15、容錯(cuò)性強(qiáng)。3.以教學(xué)庫(kù)為的教學(xué)自學(xué)環(huán)境為學(xué)校教師提供制作環(huán)境、備課工具、良好的教學(xué)演播環(huán)境以及教學(xué)評(píng)估機(jī)制。為學(xué)生提供學(xué)習(xí)、交互式協(xié)作學(xué)習(xí)、發(fā)現(xiàn)探究式學(xué)習(xí)的良好學(xué)習(xí)環(huán)境和提供自我評(píng)價(jià)機(jī)制。利用現(xiàn)代教育技術(shù)，提高學(xué)生的素質(zhì)，課堂教學(xué)模式。4.現(xiàn)代化管理方法和管理加強(qiáng)對(duì)學(xué)校的人、財(cái)、物的管理，提高辦公效率、降低成本消耗，逐步實(shí)現(xiàn)辦公自動(dòng)化、網(wǎng)絡(luò)化。5.實(shí)現(xiàn)校園網(wǎng)與互聯(lián)網(wǎng)的連接建立學(xué)校主頁(yè)、教師主頁(yè)、學(xué)生個(gè)人主頁(yè)、電子郵箱、電子公告牌等信息發(fā)布窗口，發(fā)布有關(guān)教育教學(xué)信息，建立起學(xué)校、教師、家長(zhǎng)、學(xué)生之間的信息交流平臺(tái)，并逐步發(fā)展建設(shè)成為一個(gè)面向全省、的教育教學(xué)信息。2.計(jì)算機(jī)網(wǎng)絡(luò)2.1 計(jì)算機(jī)網(wǎng)絡(luò)計(jì)

16、算機(jī)網(wǎng)絡(luò)，簡(jiǎn)單地說(shuō)，就是通過(guò)電纜、線或無(wú)線通訊將兩臺(tái)以上的計(jì)算機(jī)互連起來(lái)的集合。它包括：計(jì)算機(jī)、網(wǎng)絡(luò)操作系統(tǒng)、傳輸介質(zhì)（可以是有形的，也可以是無(wú)形的，如無(wú)線網(wǎng)絡(luò)的傳輸介質(zhì)就是空氣）以及相應(yīng)的應(yīng)用軟件四部分。計(jì)算機(jī)網(wǎng)絡(luò)如按網(wǎng)絡(luò)的組建規(guī)模和地域范圍來(lái)劃分的話，可分為局域網(wǎng)(Local Area Network, LAN)、城域網(wǎng)(Metropolitan Area Network, MAN)、廣域網(wǎng)(Wide Area Network, WAN)。我們經(jīng)常用到的因特網(wǎng)(Internet)屬于廣域?qū)倬钟蚓W(wǎng)。未來(lái)的網(wǎng)絡(luò)技術(shù)將向著使用簡(jiǎn)單、高速快捷、多網(wǎng)合一、安全園網(wǎng)的方向發(fā)展。2.2 局域網(wǎng)簡(jiǎn)介局域網(wǎng)

17、，是指范圍在幾百米到十幾公里內(nèi)辦公樓群或校園內(nèi)的計(jì)算機(jī)相互連接所構(gòu)成的，外部設(shè)備和數(shù)據(jù)庫(kù)等互相聯(lián)接起來(lái)組成的計(jì)算機(jī)通信網(wǎng)，簡(jiǎn)稱 LAN。2.2.1 局域網(wǎng)的組成一個(gè)典型的局域網(wǎng)主要應(yīng)包含如下四個(gè)部分：1.服務(wù)器（Server）：用來(lái)管理網(wǎng)絡(luò)并為用戶提供共享服務(wù)的計(jì)算機(jī)。與網(wǎng)絡(luò)中的工作站相比，服務(wù)器通常具有更快的速率、更大的容量和更高的可靠性。此外，為了便于對(duì)網(wǎng)絡(luò)進(jìn)行管理，服務(wù)器中通常應(yīng)安裝相應(yīng)的網(wǎng)絡(luò)操作系統(tǒng)，如Novell Netware, Windows NT/2000 Server, UNIX 等。2.工作站（Workstation）：用戶使用的計(jì)算機(jī)，又稱用戶機(jī)或客戶機(jī)。從網(wǎng)絡(luò)構(gòu)成的角度

18、看，任何一臺(tái)計(jì)算機(jī)（如 286、386、486、P、P4 等）都可作為工作站。當(dāng)工作站登錄到網(wǎng)絡(luò)服務(wù)器后，可按規(guī)定權(quán)限存取服務(wù)器中的文件。此外，工作站通常還可以與網(wǎng)絡(luò)中的其他用戶進(jìn)行通信或Internet。3.網(wǎng)絡(luò)通信系統(tǒng)（Network Communications System）：連接工作站和服務(wù)器的設(shè)備。這些設(shè)備通常應(yīng)包括插在服務(wù)器或工作站中的網(wǎng)卡，它們應(yīng)與通信介質(zhì)相連；用于傳輸數(shù)據(jù)介質(zhì)，如同軸電纜、雙絞線、光纖等；的通信設(shè)備，如集線器（HUB）、局域網(wǎng)交換機(jī)、路由器等。4.網(wǎng)絡(luò)操作系統(tǒng)（Network Operating System）：對(duì)于稍在一點(diǎn)的網(wǎng)絡(luò)來(lái)說(shuō)，為了充分發(fā)揮網(wǎng)絡(luò)的功能，

19、以及更好地管理網(wǎng)絡(luò)，通常應(yīng)在服務(wù)器中安裝網(wǎng)絡(luò)操作系統(tǒng)。例如，基于安全起見(jiàn)，企業(yè)的幾乎所有重要數(shù)據(jù)（如財(cái)務(wù)、銷售等）都被保存在服務(wù)器中，并非每個(gè)人都能這些數(shù)據(jù)。通常情況下，只有企業(yè)擁有最高權(quán)限，而其他人只能查看部分?jǐn)?shù)據(jù)。此時(shí)就是借助網(wǎng)絡(luò)操作系統(tǒng)來(lái)對(duì)資源和用戶進(jìn)行管理的，它規(guī)定了用戶的權(quán)限，以及用戶所能的。2.2.2 局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)所謂局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)，是指局域網(wǎng)中各計(jì)算機(jī)之間的連接形式。如果拋開構(gòu)建局域網(wǎng)時(shí)所采用的通信介質(zhì)、通信設(shè)備等，局域網(wǎng)中各計(jì)算機(jī)之間的學(xué)用連接形式實(shí)際上只有兩種，即總線型與星型。在總線型網(wǎng)絡(luò)中，由于各計(jì)算機(jī)共享一條通信電纜，網(wǎng)絡(luò)中某個(gè)節(jié)點(diǎn)出現(xiàn)故障，將導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。因此

20、，目前這類結(jié)構(gòu)的網(wǎng)絡(luò)已趨于淘汰。星型網(wǎng)絡(luò)的優(yōu)點(diǎn)是，當(dāng)網(wǎng)絡(luò)中某個(gè)節(jié)點(diǎn)出現(xiàn)故障時(shí)影響整個(gè)網(wǎng)絡(luò)的運(yùn)行。其缺點(diǎn)是每個(gè)計(jì)算機(jī)都要占用一條的通信線路，并且需要額外的通信設(shè)備，將導(dǎo)致成本的增加。但是，由于目前各種硬件設(shè)備價(jià)格都已非常便宜，所以，現(xiàn)在絕大部分局域網(wǎng)都采用了這種結(jié)構(gòu)。2.2.3 局域網(wǎng)規(guī)范事實(shí)上各種網(wǎng)絡(luò)結(jié)構(gòu)都是有章可循的，這就是局域網(wǎng)規(guī)范（或稱為局域網(wǎng)標(biāo)準(zhǔn)）。從大的方面講，根據(jù)網(wǎng)絡(luò)的工作原理，目前的局域網(wǎng)大致可分為三類，即以太網(wǎng)、令牌環(huán)網(wǎng)和 ARPNET 網(wǎng)。其中，以太網(wǎng)是目前局域網(wǎng)中采用最多的通信協(xié)議標(biāo)準(zhǔn)，它采用 CSMA/CD (載波多路/檢測(cè)) 技術(shù)進(jìn)行信息傳遞。該標(biāo)準(zhǔn)定義了在局域網(wǎng)中采用

21、的電纜類型和信息處理方法，在互聯(lián)設(shè)備之間可以10100Mbit/s 的速率傳送信息包，目前約 80的局域網(wǎng)都是以太網(wǎng)。由于技術(shù)的發(fā)展和用戶要求的多樣性，以太網(wǎng)又被細(xì)分成了一系列規(guī)范。例如，10 Base2 以太網(wǎng)規(guī)范定義了構(gòu)建以細(xì)同軸電纜為通信介質(zhì)，網(wǎng)絡(luò)通信速率為10 Mbit/s，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為總線型的局域網(wǎng)的技術(shù)指標(biāo)；10 Base T 以太網(wǎng)規(guī)范定義了構(gòu)建以雙絞線為通信介質(zhì)，網(wǎng)絡(luò)通信速率為 10 Mbit/s ，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為星型的局域網(wǎng)指標(biāo)。一般來(lái)說(shuō)，每種局域網(wǎng)規(guī)范都規(guī)定了如下幾項(xiàng)指標(biāo)：·網(wǎng)絡(luò)通信速率，例如，10 Mbit/s、100 Mbit/s 及 1000 Mbit/s

22、 等。·局域網(wǎng)的結(jié)構(gòu)，例如，采用總線型或星型。·所使用的通信介質(zhì)，例如，同軸電纜、雙絞線或光纖。其中，每種介質(zhì)中又包含了多個(gè)子類，例如，雙絞線就包括了 3 類、4 類、5 類及超 5 類雙絞線等。· 所使用的網(wǎng)卡類型，其中包括數(shù)據(jù)傳輸速率與接口類型。例如，要構(gòu)建 10 Base T 星型以太網(wǎng)，網(wǎng)卡的數(shù)據(jù)傳輸速率必須為 10 Mbit/s，且必須帶有 RJ-45 接口。· 網(wǎng)絡(luò)中所能支持的最大用戶數(shù)量。例如，構(gòu)建廉價(jià)的細(xì)同軸電纜總線型網(wǎng)絡(luò)時(shí)，每個(gè)網(wǎng)段中的用戶數(shù)不能超過(guò) 30。· 距離要求。由于隨著距離的增加，信號(hào)會(huì)逐漸衰減，因此，各種局域網(wǎng)規(guī)范

23、都對(duì)各種距離（如通信設(shè)備與計(jì)算機(jī)之間，各種通信設(shè)備之間等）有明確的要求。例如，在構(gòu)建以集線器為距離通常不超過(guò) 100m。的雙絞線星型網(wǎng)絡(luò)時(shí)，集線器與計(jì)算機(jī)之間的2.2.4 局域網(wǎng)的結(jié)構(gòu)類型局域網(wǎng)的結(jié)構(gòu)決定了局域網(wǎng)的管理方式，當(dāng)我們創(chuàng)建一個(gè)局域網(wǎng)時(shí)，通常應(yīng)遵循如下步驟來(lái)進(jìn)行： 明確自己的需求，即希望局域網(wǎng)具備哪些功能。 在綜合考慮局域網(wǎng)功能、現(xiàn)有軟硬件的特點(diǎn)與價(jià)格、網(wǎng)絡(luò)的可管理性與可擴(kuò)充性等因素的基礎(chǔ)上決定局域網(wǎng)的結(jié)構(gòu)。 根據(jù)選定的局域網(wǎng)結(jié)構(gòu)決定局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)，以及應(yīng)選擇的相關(guān)設(shè)備和軟件。 對(duì)局域網(wǎng)進(jìn)行配置和維護(hù)。由此可以看出，決定局域網(wǎng)的結(jié)構(gòu)是構(gòu)建局域網(wǎng)時(shí)非常重要的一環(huán)。就目前來(lái)說(shuō)，局域網(wǎng)的

24、結(jié)構(gòu)主要包括工作站/文件服務(wù)器結(jié)構(gòu)、客戶機(jī)/服務(wù)器結(jié)構(gòu)、對(duì)等網(wǎng)結(jié)構(gòu)及主機(jī)/終端系統(tǒng)等 4 種。1.工作站/文件服務(wù)器網(wǎng)絡(luò)在這類網(wǎng)絡(luò)中，某臺(tái)運(yùn)行特定網(wǎng)絡(luò)操作系統(tǒng)的計(jì)算機(jī)被作為文件服務(wù)器，而網(wǎng)絡(luò)中的其他計(jì)算機(jī)在登錄該計(jì)算機(jī)之后，可以存取該計(jì)算機(jī)的文件。但是，文件服務(wù)器計(jì)算機(jī)并不進(jìn)行任何網(wǎng)絡(luò)應(yīng)用處理，因此，服務(wù)器的功能非常單一。這類網(wǎng)絡(luò)的主要優(yōu)點(diǎn)包括如下兩點(diǎn)：·數(shù)據(jù)的性和安全性較好，網(wǎng)絡(luò)管理員可以按需要授予不同者不同的文件權(quán)限。·網(wǎng)絡(luò)的可靠性較高，管理比較簡(jiǎn)單。但是，這類網(wǎng)絡(luò)的缺點(diǎn)是非常明顯的，它也主要包括如下兩點(diǎn)：·網(wǎng)絡(luò)效率較低。當(dāng)網(wǎng)絡(luò)中的大量用戶都需要絡(luò)效率會(huì)急劇下

25、降。文件服務(wù)器中的數(shù)據(jù)時(shí)，網(wǎng)·網(wǎng)絡(luò)中各工作站之間不能進(jìn)行共享。·不能充分發(fā)揮文件服務(wù)器的運(yùn)算能力。目前，這類網(wǎng)絡(luò)已逐漸讓位于客戶機(jī)/服務(wù)器網(wǎng)絡(luò)。2. 客戶機(jī)/服務(wù)器網(wǎng)絡(luò)隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和人們不斷提出新的要求，網(wǎng)絡(luò)應(yīng)用中的重點(diǎn)早已不再局限于簡(jiǎn)單的共享。人們迫切要求服務(wù)器端能夠完成一部分?jǐn)?shù)據(jù)處理工作，即將任務(wù)同時(shí)分配給服務(wù)器和客戶端共同完成。為此，人們開發(fā)出了目前最為流行的客戶機(jī)/服務(wù)器網(wǎng)絡(luò)?？蛻魴C(jī)/服務(wù)器網(wǎng)絡(luò)系統(tǒng)的主要特點(diǎn)如下：·目前流行的操作系統(tǒng)基本都支持這種結(jié)構(gòu)，如 Windows NT 4.0 Server、Windows 2000/2003 Server、

26、Netware3.1 以上版本等。·支持多種客戶機(jī)，例如，客戶機(jī)可以是一臺(tái) PC 或一臺(tái)工作站，且客戶機(jī)可以運(yùn)行多種操作系統(tǒng)，如 DOS、Windows 3.x/95/98 等。·不僅客戶機(jī)與服務(wù)器能進(jìn)行雙向通信，各客戶機(jī)之間也能直接進(jìn)行通信，而無(wú)需服務(wù)器的參與。·由于很多應(yīng)用任務(wù)都由服務(wù)器和客戶機(jī)共同承擔(dān)，因此，系統(tǒng)響應(yīng)速度快，且對(duì)客戶機(jī)的要求可以很低。例如，客戶機(jī)可以是無(wú)盤工作站。·系統(tǒng)的可擴(kuò)充性較好。當(dāng)系統(tǒng)規(guī)模擴(kuò)大時(shí)，不必重新設(shè)計(jì)系統(tǒng)，只需簡(jiǎn)單地將服務(wù)器和客戶機(jī)連入網(wǎng)絡(luò)即可。對(duì)等網(wǎng)絡(luò)在對(duì)等網(wǎng)絡(luò)中，沒(méi)有互之間可以進(jìn)行通信和的服務(wù)器，每個(gè)工作站既是服務(wù)

27、器也是工作站，相共享。目前支持對(duì)等網(wǎng)絡(luò)的操作系統(tǒng)主要有 Microsoft公司的 LAN Manager、Windows 95/98 及 Novell 公司的 NetWare Lite 等。對(duì)等網(wǎng)絡(luò)的主要優(yōu)點(diǎn)是網(wǎng)絡(luò)安裝和維護(hù)非常簡(jiǎn)單，無(wú)需點(diǎn)是網(wǎng)絡(luò)的安全性較差，且功能較弱。的服務(wù)器；其缺主機(jī)/終端網(wǎng)絡(luò)在主機(jī)/終端網(wǎng)絡(luò)系統(tǒng)中，用戶通過(guò)與主機(jī)相連的終端在主機(jī)操作系統(tǒng)的管理下共享主機(jī)的內(nèi)存、外存、處理器和各種輸入/輸出設(shè)備。經(jīng)過(guò)幾十年的發(fā)展，主機(jī)/終端系統(tǒng)已經(jīng)非常成熟，在可靠性、系統(tǒng)容錯(cuò)、系統(tǒng)安全、開發(fā)、數(shù)據(jù)庫(kù)管理等方面都形成了自己的一套十分完整的體系。因此，這類系統(tǒng)被廣泛應(yīng)用于、軍事等大型企業(yè)中。這

28、類系統(tǒng)的主要缺點(diǎn)如下：·由于這類系統(tǒng)主要面向大型企業(yè)、事業(yè)通常很高。，生產(chǎn)數(shù)量較少，因而系統(tǒng)價(jià)格·由于終端功能比較弱（完全依賴于主機(jī)），將導(dǎo)致主機(jī)負(fù)荷比較重。局域網(wǎng)結(jié)構(gòu)與局域網(wǎng)拓?fù)浣Y(jié)構(gòu)之間的關(guān)系應(yīng)該說(shuō)，局域網(wǎng)結(jié)構(gòu)與局域網(wǎng)所采用的拓?fù)浣Y(jié)構(gòu)之間沒(méi)有直接的關(guān)系。例如， 對(duì)于一個(gè)小型的星型網(wǎng)絡(luò)來(lái)說(shuō)，如果網(wǎng)絡(luò)中所有計(jì)算機(jī)都運(yùn)行 Windows 98 操作系統(tǒng)，那它就是一個(gè)對(duì)等望路。否則，如果某臺(tái)計(jì)算機(jī)運(yùn)行了 Windows NT/2000Server 網(wǎng)絡(luò)操作系統(tǒng)，那它就是一個(gè)客戶/服務(wù)器網(wǎng)絡(luò)。但是，局域網(wǎng)的結(jié)構(gòu)對(duì)局域網(wǎng)拓?fù)浣Y(jié)構(gòu)的選擇還是有影響的。例如，如果希望構(gòu)建一個(gè)客戶/服務(wù)器網(wǎng)

29、絡(luò)，且服務(wù)器的使用的頻率很高，那么，如果選用總線型拓?fù)浣Y(jié)構(gòu)就不太合適了。其原因主要是由于此時(shí)服務(wù)器和工作站共享相同的通信通道，并擁有相同的帶寬，因而無(wú)法實(shí)現(xiàn)對(duì)服務(wù)器的“”。因此，此時(shí)最好構(gòu)建一個(gè)星型拓?fù)浣Y(jié)構(gòu)的交換網(wǎng)絡(luò)，且使服務(wù)器與交換機(jī)之間的通信速率高于工作站與交換機(jī)之間的連接速率。2.2.5 局域網(wǎng)中計(jì)算機(jī)數(shù)量的限制如前所述，局域網(wǎng)中所能連接的計(jì)算機(jī)數(shù)量首先取決于所采用的網(wǎng)絡(luò)規(guī)范。例如，如果所構(gòu)建是 10 Base T 雙絞線星型以太網(wǎng)，則按照 10 Base T 規(guī)范，網(wǎng)絡(luò)中總的計(jì)算機(jī)數(shù)量不得超過(guò) 1023 臺(tái)。但是，在實(shí)際工作中，基于網(wǎng)絡(luò)效率的考慮，網(wǎng)絡(luò)中實(shí)際所能連接的計(jì)算機(jī)數(shù)量，要遠(yuǎn)遠(yuǎn)

30、小于網(wǎng)絡(luò)規(guī)范所規(guī)定的計(jì)算機(jī)的最大數(shù)量。例如，如果構(gòu)建的是 10 Base T 雙絞線星型以太網(wǎng)，網(wǎng)絡(luò)中的計(jì)算機(jī)數(shù)量通常不能超過(guò) 30 臺(tái)。那么，如果網(wǎng)絡(luò)中的計(jì)算機(jī)數(shù)量較多，該如何解決這個(gè)問(wèn)題呢？就目前來(lái)說(shuō)，主要有以下幾個(gè)方法：·將網(wǎng)絡(luò)劃分為幾個(gè)網(wǎng)段，進(jìn)行分段管理，從而平衡網(wǎng)絡(luò)負(fù)荷，已擴(kuò)充網(wǎng)絡(luò)所能承載的用戶。·選用速率更高的通信設(shè)備。例如，一個(gè) 10 Base T 網(wǎng)絡(luò)（采用 100Mbit/s 集線器和 5 類雙絞線，計(jì)算機(jī)中加裝 100Mbit/s 網(wǎng)卡）當(dāng)然要比一個(gè) 10Base T 網(wǎng)絡(luò)（采用 10Mbit/s 集線器和 3 類雙絞線，計(jì)算機(jī)中加裝 10Mbit/s

31、網(wǎng)卡）快。因此，這也意味著網(wǎng)絡(luò)中能夠容納的計(jì)算機(jī)。· 將共享式網(wǎng)絡(luò)改造成交換式網(wǎng)絡(luò)。在局域網(wǎng)中，以集線器構(gòu)成的網(wǎng)絡(luò)稱為共享網(wǎng)絡(luò)，此時(shí)局域網(wǎng)中的所有計(jì)算機(jī)共享一個(gè)帶寬，并且在同一時(shí)間只能有一對(duì)計(jì)算機(jī)進(jìn)行通信。對(duì)于交換式網(wǎng)絡(luò)來(lái)說(shuō)，它以交換機(jī)為通信設(shè)備。此時(shí)各計(jì)算機(jī)都可享有單獨(dú)的帶寬，并且可以同時(shí)建立多個(gè)通信鏈路。因此，這也意味著網(wǎng)絡(luò)中能夠容納的計(jì)算機(jī)。3.校園網(wǎng)總體規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)的總體設(shè)計(jì)是建設(shè)校園網(wǎng)的工程藍(lán)圖，是搭建一個(gè)安全有效校園網(wǎng)一個(gè)最重要的任務(wù)。進(jìn)行總體設(shè)計(jì)首先需要對(duì)象研究和需求，對(duì)學(xué)校的信息化要求有個(gè)明確的描述。其次在需求分析的基礎(chǔ)上進(jìn)行網(wǎng)絡(luò)總體架構(gòu)的規(guī)劃，確定學(xué)校 Intern

32、et 服務(wù)類型，進(jìn)而確定建設(shè)的具體目標(biāo)，在這基礎(chǔ)上來(lái)設(shè)計(jì)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，規(guī)劃設(shè)計(jì)原則。3.1 校園局域網(wǎng)需求本文校園網(wǎng)工程假設(shè)范圍主要有教學(xué)樓、域網(wǎng)部分。管、學(xué)生宿舍樓及實(shí)驗(yàn)樓在內(nèi)四個(gè)局校園局域網(wǎng)的主要需求是高速、安全、便捷地傳送信息，且能夠安全穩(wěn)定的運(yùn)行，在某些時(shí)刻承受高強(qiáng)度的，至少能滿足以上的網(wǎng)絡(luò)應(yīng)用需求。初期設(shè)計(jì)對(duì)響應(yīng)時(shí)間不做特殊要求，但為了數(shù)據(jù)和備份數(shù)據(jù)，中心必須建立磁盤陣列。最大限度地考慮采用符合發(fā)展趨勢(shì)的新技術(shù)，網(wǎng)絡(luò)設(shè)備必須采用成熟先進(jìn)的技術(shù)，所采用的標(biāo)準(zhǔn)要求統(tǒng)一，支持目前業(yè)界最新的網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)的標(biāo)準(zhǔn)必須符合國(guó)際/標(biāo)準(zhǔn)，并且擁有廣泛的支持廠商；網(wǎng)絡(luò)設(shè)備要求具有高可靠性、高穩(wěn)定性和

33、高可用性；網(wǎng)絡(luò)設(shè)備要求提供足夠的寬帶，以適應(yīng)校園網(wǎng)上信息結(jié)構(gòu)多樣化，要求支持虛擬網(wǎng)和第三層交換，形成分布式三層交換網(wǎng)；網(wǎng)絡(luò)設(shè)備要求具有擴(kuò)展性和可升級(jí)性，能夠適應(yīng)用戶數(shù)量的擴(kuò)展，能夠保證未來(lái)網(wǎng)絡(luò)升級(jí)時(shí)的平穩(wěn)銜接，保證網(wǎng)絡(luò)通信介質(zhì)、網(wǎng)絡(luò)基本設(shè)計(jì)的向后兼容性；要求網(wǎng)絡(luò)易于管理，支持網(wǎng)絡(luò)的拓?fù)湟晥D、網(wǎng)段與端口的；網(wǎng)絡(luò)流量及錯(cuò)誤統(tǒng)計(jì)，具備計(jì)費(fèi)管理、故障、診斷、修復(fù)和自動(dòng)等功能；要求網(wǎng)絡(luò)具有高的安全性。在要求網(wǎng)絡(luò)具有開放性的同時(shí)，要求保證其安全性。3.2 網(wǎng)絡(luò)總體架構(gòu)規(guī)劃1.網(wǎng)絡(luò)技術(shù)選擇目前常見(jiàn)的局域網(wǎng)類型包括：光纖分布式數(shù)據(jù)接口(FDDI)、異步傳輸模式(ATM)、千兆以太網(wǎng)等，它們?cè)谕負(fù)浣Y(jié)構(gòu)、傳輸介質(zhì)

34、、傳輸速率、數(shù)據(jù)格式等多方面都有許多不同。三種技術(shù)比較如下表 1-1 所示。表 1-1 網(wǎng)絡(luò)技術(shù)對(duì)比表從表中明顯看兆以太網(wǎng)技術(shù)優(yōu)勢(shì)明顯，它支持 10M、100M 乃至 1000M 的各種通信速率，并有向更高帶寬(10G 及以上)發(fā)展的趨勢(shì)。如今正在發(fā)展的 IP 交換技術(shù)也是基于以太網(wǎng)的，結(jié)合第三層交換機(jī)的路由功能，構(gòu)造幾個(gè)乃至幾十、幾百個(gè) G 帶寬的網(wǎng)絡(luò)。另外，由于主要業(yè)務(wù)系統(tǒng)是建立在 IP 平臺(tái)上的，以太網(wǎng)技術(shù)是IP 網(wǎng)絡(luò)最好的通信技術(shù)之一。采用 IEEE802.1q 標(biāo)準(zhǔn)以太網(wǎng)可以實(shí)現(xiàn) VLAN，而VLAN 在很大程度上是保證網(wǎng)絡(luò)高效和安全的重要。2.校園網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)結(jié)構(gòu)采用星形網(wǎng)絡(luò)拓?fù)浣Y(jié)

35、構(gòu)，以網(wǎng)絡(luò)中心的交換機(jī)為中心節(jié)點(diǎn)。整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)采用兩層結(jié)構(gòu)：匯聚層交換機(jī)用于匯接技術(shù)接入交換機(jī)，接入層交換機(jī)用于接到桌面的計(jì)算機(jī)，對(duì)信息點(diǎn)較多的部門可采用級(jí)聯(lián)下一級(jí)普通交換機(jī)進(jìn)行。校園網(wǎng)絡(luò)工程涉及的主要建筑包括教學(xué)樓、宿舍樓、館、實(shí)驗(yàn)樓等。校園網(wǎng)總拓?fù)湓O(shè)計(jì)如圖 1-1 所示。項(xiàng)目FDDIATM千兆以太網(wǎng)傳輸速率100M155M/622M101000M方式Token Protocol信元交換帶優(yōu)先級(jí)的 CSMA/CD介質(zhì)類型雙絞線、光纖雙絞線、光纖雙絞線、光纖價(jià)格高中中拓?fù)浣Y(jié)構(gòu)雙環(huán)結(jié)構(gòu)星型結(jié)構(gòu)星型結(jié)構(gòu)圖 1-1 校園網(wǎng)總拓?fù)鋱D中心機(jī)房設(shè)置一臺(tái)千兆交換機(jī)，負(fù)責(zé)整個(gè)校園網(wǎng)所有節(jié)點(diǎn)的，在教學(xué)樓，宿舍樓

36、，館，實(shí)驗(yàn)樓等地方分別設(shè)置二級(jí)交換機(jī)節(jié)點(diǎn)，接入層交換機(jī)通過(guò)二級(jí)節(jié)點(diǎn)與交換機(jī)連接。聯(lián)網(wǎng)技術(shù)上采用三層的交換網(wǎng)絡(luò)，主干網(wǎng)絡(luò)采用交換式 1000M 以太網(wǎng)連接技術(shù)，主要用于各樓間設(shè)備之間以及上連到廣域網(wǎng)設(shè)備。辦公樓、教學(xué)樓、館、宿舍樓之間采用光纖以全連接拓?fù)浣Y(jié)構(gòu)通過(guò) 1000M 交換機(jī)進(jìn)行連接。接入層采用快速交換式以太網(wǎng)通過(guò) 5 類雙絞線按照星型拓?fù)浣Y(jié)構(gòu)進(jìn)行連接，使內(nèi)網(wǎng)可以達(dá)到百兆。整個(gè)校出口到 Internet，帶寬為 100M。園網(wǎng)設(shè)計(jì)有一個(gè)3.3 網(wǎng)絡(luò)設(shè)備選型1.層網(wǎng)絡(luò)層作為校園網(wǎng)系統(tǒng)的心臟，實(shí)現(xiàn)子網(wǎng)之間的路由，提供全線速的，當(dāng)網(wǎng)絡(luò)流量較大時(shí)，對(duì)關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量提供保證。另外，作為整個(gè)網(wǎng)絡(luò)的

37、交換中心，在保證高性能、無(wú)阻塞交換的同時(shí)，還必須保證網(wǎng)絡(luò)穩(wěn)定可靠的運(yùn)行。因此在設(shè)備的選型和結(jié)構(gòu)設(shè)計(jì)上必須兼顧考慮整體網(wǎng)絡(luò)的高性能和高可靠性。考慮到學(xué)校網(wǎng)絡(luò)應(yīng)用的復(fù)雜性和多樣性，層網(wǎng)絡(luò)交換機(jī)的選型必須具備高性能、高可靠性和高可擴(kuò)展性，主要包括，硬件如電源、管理模塊、交換模塊等是否支持冗余配置，軟件如是否提供路由器冗余、端口聚合（Port Trunking）、生成樹協(xié)議（STP、RSTP）等實(shí)現(xiàn)可靠性功能的協(xié)議。結(jié)合以上要求，本次設(shè)計(jì)選用高性能、多協(xié)議的 Cisco Catalyst 6509作為園區(qū)網(wǎng)絡(luò)的。Cisco 6509 交換機(jī)參數(shù)配置如下：模塊化交換機(jī)類型：企業(yè)級(jí)交換機(jī)應(yīng)用層級(jí)：四層傳輸

38、速率：10/100/1000Mbps交換方式：-轉(zhuǎn)發(fā)背板帶寬：720Gbps包轉(zhuǎn)發(fā)率：387MppsMAC 地址表：64K端口結(jié)構(gòu)：模塊化擴(kuò)展模塊：9 個(gè)模塊化插槽傳輸模式：支持全雙工網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE 802.3，IEEE 802.3u，IEEE 802.1s，IEEE 802.1w/adVLAN：支持QOS：支持網(wǎng)絡(luò)管理：CiscoWorks2000，RMON，增強(qiáng)交換端口分析器（ESPAN），SNMP，Telnet，BOOTP，TFTP2.匯聚層網(wǎng)絡(luò)匯聚層介于層和接入層之間，主要負(fù)責(zé)接入交換機(jī)的匯聚，并與交換機(jī)互聯(lián)，分級(jí)實(shí)現(xiàn)校園網(wǎng) VLAN 之間的路由，進(jìn)行子網(wǎng)內(nèi)部數(shù)據(jù)的交換、轉(zhuǎn)發(fā)，提供

39、流量控制和用戶管理。根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，該院有教學(xué)樓、實(shí)驗(yàn)樓、學(xué)生宿舍區(qū)、服務(wù)器群、館等 5個(gè)匯聚節(jié)點(diǎn)，均選用 Cisco Catalyst 4506 交換機(jī)提供本區(qū)域內(nèi)的第三層交換和路由功能。同時(shí)把整個(gè)網(wǎng)絡(luò)區(qū)域根據(jù)部門或功能劃分到這五個(gè)匯聚節(jié)點(diǎn)，進(jìn)行 VLAN 劃分和管理，并實(shí)現(xiàn) VLAN 間的通信及控制。Catalyst 4500 系列交換機(jī)是中端、中等密度的模塊化交換機(jī)，它們提供了強(qiáng)大的2/3/4 層智能服務(wù)。每臺(tái) Cisco4506 交換機(jī)配置一塊 4 口萬(wàn)兆模塊，用于和層交換機(jī)以及部分關(guān)鍵匯聚層設(shè)備實(shí)現(xiàn)萬(wàn)兆互連，同時(shí)配置一塊18口千兆光纖模塊，用于與接入層交換機(jī)的互聯(lián)及今后發(fā)展的備用插

40、槽。Cisco4506 主要參數(shù)：類型：企業(yè)級(jí)交換機(jī)應(yīng)用層級(jí)：四層傳輸速率：10/100/1000Mbps交換方式：-轉(zhuǎn)發(fā)背板帶寬：100Gbps包轉(zhuǎn)發(fā)率：75Mpps端口結(jié)構(gòu)：模塊化擴(kuò)展模塊：1 個(gè)超級(jí)引擎插槽數(shù)+5 個(gè)線路卡插槽傳輸模式：支持全雙工網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE 802.3，IEEE 802.3u，IEEE 802.3，IEEE 802.3z，IEEE 802.3x，IEEE 802.3abVLAN：支持QOS：支持網(wǎng)絡(luò)管理：SNMP 管理信息庫(kù)(MIB)II，SNMP MIB 擴(kuò)展，橋接 MIB(RFC1493)3.接入層網(wǎng)絡(luò)接入層作為用戶接入網(wǎng)絡(luò)的終端，該層主要功能是：提供各種標(biāo)準(zhǔn)

41、接口將數(shù)據(jù)接入到網(wǎng)絡(luò)和確定基于端口的 VLAN 成員及數(shù)據(jù)流過(guò)濾。接入層網(wǎng)絡(luò)使用 Cisco Catalyst 2960 每個(gè)交換組最多提供 144 個(gè)終端的接入。其主要功能是為園區(qū)網(wǎng)用戶提供高性價(jià)比的 10/100 兆網(wǎng)絡(luò)接口，實(shí)現(xiàn)用戶的寬帶接入。并與匯聚層通過(guò)千兆鏈路互連，為接入用戶提供高速上連。Cisco Catalyst 2960 主要參數(shù)：CISCO WS-C2960-24-S 主要參數(shù)：類型：智能交換機(jī)應(yīng)用層級(jí)：二層傳輸速率：10/100Mbps內(nèi)存：DRAM 內(nèi)存：64MBFLASH 內(nèi)存：32MB交換方式：-轉(zhuǎn)發(fā)背板帶寬：16Gbps包轉(zhuǎn)發(fā)率：3.6MppsMAC 地址表：8K

42、3.4 路由器選擇校園網(wǎng)邊界路由器選擇 CISCO 2911/K9主要參數(shù)：路由器類型：多業(yè)務(wù)路由器網(wǎng)絡(luò)協(xié)議：IPv4，IPv6，靜態(tài)路由，IGMPv3，PIM SM，DVMRP，IPSec傳輸速率：10/100/1000Mbps端口結(jié)構(gòu)：模塊化廣域網(wǎng)接口：3 個(gè)其它端口：2 個(gè)外部 USB 閃存插槽1 個(gè) USB 控制臺(tái)端口1 個(gè)串行控制臺(tái)端口1 個(gè)串行輔助端口：內(nèi)置Qos 支持：支持支持：支持內(nèi)存：DRAM 內(nèi)存：512MB，最大 2GBFLASH 內(nèi)存：256MB其它性能：基于硬件的（IPSec+SSL）5.服務(wù)器選擇服務(wù)器群組統(tǒng)一使用計(jì)算機(jī)代替，上面搭建 win2003 Server

43、企業(yè)高級(jí)版。綜上所述，我們的網(wǎng)絡(luò)設(shè)備選型方案為，層采用 CiscoC3560X交換機(jī)，匯聚層采用 Cisco4506 智能交換機(jī)，接入層采用 Cisco2960交換機(jī)，內(nèi)置的CISCO 2911/K9 多業(yè)務(wù)路由器。3.5 校園網(wǎng)安全策略及安全防御措施隨著網(wǎng)絡(luò)的快速發(fā)展，問(wèn)題日益突出，、網(wǎng)絡(luò)等在日常日常生活中屢見(jiàn)不鮮，各種各樣的安全問(wèn)題開始困擾網(wǎng)絡(luò)管理。這些安全問(wèn)題主要表現(xiàn)破壞，口令等1。隨著關(guān)鍵應(yīng)在：不良信息的，的危害，用的普及和深入，網(wǎng)絡(luò)用戶的快速增加，校園網(wǎng)絡(luò)從早期教育、科研的試驗(yàn)網(wǎng)已經(jīng)轉(zhuǎn)變成為教育、科研和服務(wù)并重的帶有運(yùn)營(yíng)性質(zhì)的網(wǎng)絡(luò)，如何保證網(wǎng)絡(luò)已經(jīng)成為影響學(xué)校的存與發(fā)展亟待解決的關(guān)鍵

44、問(wèn)題之一。另外，一個(gè)高效、實(shí)用且安全的網(wǎng)絡(luò)環(huán)境，對(duì)于教師、學(xué)生、管理的信息傳遞，信息搜集，教育學(xué)習(xí)等都有著十分重要而深遠(yuǎn)的意義1。本次設(shè)計(jì)的三層校園局域網(wǎng)中采用邊界路由、交換機(jī)在內(nèi)的二層安全防御。第功能的 Cisco 路由器，路由器上配置一層保護(hù)有邊界路由實(shí)現(xiàn)。選用具有控制列表，通過(guò)規(guī)則，控制和過(guò)濾經(jīng)過(guò)路由器的數(shù)據(jù)流，和內(nèi)網(wǎng)，防止外部用戶對(duì)內(nèi)部網(wǎng)絡(luò)不安全的，可有效防止各服務(wù)器受到來(lái)自外部的破壞。第二層防護(hù)2。由交換機(jī)提供。交換機(jī)上部署模塊，可有效地防止內(nèi)部本章小結(jié)本章通過(guò)對(duì)現(xiàn)有主要網(wǎng)絡(luò)技術(shù)的分析與比較，確定本校園網(wǎng)絡(luò)采用千兆以太網(wǎng)技術(shù)路線，并設(shè)計(jì)出校園網(wǎng)絡(luò)總拓?fù)洌x擇了硬件設(shè)備的品牌型號(hào)，同時(shí)

45、對(duì)校園網(wǎng)絡(luò)的安全形式和防御措施做出描述。4.VLAN 劃分及參數(shù)配置4.1VLAN 劃分VLAN（Virtual Local Area Network）稱為虛擬局域網(wǎng)，是指在邏輯上將物理的 LAN分成不同小的邏輯子網(wǎng)，每一個(gè)邏輯子網(wǎng)就是一個(gè)單獨(dú)的播域。簡(jiǎn)單地說(shuō)，就是將一個(gè)大的物理的局域網(wǎng)（LAN）在交換機(jī)上通過(guò)軟件劃分成若干個(gè)小的虛擬的局域網(wǎng)（VLAN）。因?yàn)榻粨Q機(jī)通信的原理就是要通過(guò)“廣播”來(lái)發(fā)現(xiàn)通往的目的 MAC 地址，以便在交換機(jī)內(nèi)部的 MAC 數(shù)據(jù)庫(kù)建立 MAC 地址表，而廣播不能不同網(wǎng)段3。VLAN 技術(shù)的出現(xiàn)，使得管理員根據(jù)實(shí)際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同

46、的廣播域，每一個(gè) VLAN 都包含一組有著相同需求的計(jì)算機(jī)工作站， 與物理上形成的 LAN 有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分， 所以同一個(gè) VLAN 內(nèi)的各個(gè)工作站沒(méi)有限制在同一個(gè)物理范圍中，即這些工作站可以在不同物理 LAN 網(wǎng)段。由 VLAN 的特點(diǎn)可知，一個(gè) VLAN 內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他 VLAN 中，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 VLAN 除了能將網(wǎng)絡(luò)劃分為多個(gè)廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點(diǎn)外，還可以用于控制網(wǎng)絡(luò)中不同部門、4。不同站點(diǎn)之間的互相VLAN 基本上

47、可以看成一個(gè)廣播域，在物理網(wǎng)絡(luò)的基礎(chǔ)上，能根據(jù)需要靈活地設(shè)置出許多邏輯網(wǎng)絡(luò)，從而擺脫了物理地域限制，以及因?yàn)槲挥诓季€柜或者路由器附近而造成的對(duì)用戶組的限制，能根據(jù)用戶實(shí)際需要靈活地建立邏輯的網(wǎng)絡(luò)，使網(wǎng)絡(luò)更安全、更便于管理、更暢通和帶寬更有保證。根據(jù)學(xué)院校園網(wǎng)使用實(shí)際情況，提出校園網(wǎng) VLAN的建設(shè)規(guī)劃，見(jiàn)表 2-1。表 2-1 VLAN 規(guī)劃表子網(wǎng)名稱IP 網(wǎng)段默認(rèn)網(wǎng)關(guān)備注服務(wù)器群192. 168. 1. 0/24192. 168. 1. 2Vlan2學(xué)生宿舍192. 168. 2. 0/24192. 168. 2. 2Vlan3實(shí)驗(yàn)樓192. 168. 3. 0/24192. 168. 3.

48、 2Vlan4教學(xué)樓192. 168. 7. 0/24192. 168. 7. 2Vlan5館192. 168. 8. 0/24192. 168. 8. 2Vlan64.2VLAN 配置交換機(jī)分為二層交換機(jī)和三層交換機(jī)兩種類型，其中二層交換機(jī)的工作原理是：（1）當(dāng)交換機(jī)從某個(gè)端口收到一個(gè)數(shù)據(jù)包，它先它就知道源 MAC 地址的是連在哪個(gè)端口上的5；包頭中的源 MAC 地址，這樣（2）再去包頭中的目的 MAC 地址，并在地址表中查找相應(yīng)的端口；（3）如表中有與這目的 MAC 地址對(duì)應(yīng)的端口，把數(shù)據(jù)包直接到這端口上；（4）如表中找不到相應(yīng)的端口則把數(shù)據(jù)包廣播到所有端口上，當(dāng)目的對(duì)源機(jī)器回應(yīng)時(shí)，交換機(jī)

49、又可以學(xué)習(xí)一目的 MAC 地址與哪個(gè)端口對(duì)應(yīng)，在下次傳送數(shù)據(jù)時(shí)就不再需要對(duì)所有端口進(jìn)行廣播了。不斷的循環(huán)這個(gè)過(guò)程，對(duì)于全網(wǎng)的 MAC 地址信息都可以學(xué)習(xí)到，二層交換機(jī)就是這樣建立和維護(hù)它自己的地址表。可以看出二層交換機(jī)沒(méi)有路由功能，當(dāng)不同的子網(wǎng)進(jìn)行通信是要借助路由器實(shí)現(xiàn)數(shù)據(jù)包的轉(zhuǎn)發(fā)，所以當(dāng)子網(wǎng)數(shù)量較多時(shí)，路由器的接口數(shù)量就成了一個(gè)瓶頸，而三層交換機(jī)就能解決這一缺點(diǎn)。三層交換機(jī)的最重要的功能是加快大型局域網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)的快速轉(zhuǎn)發(fā)，加入路由功能也是為這個(gè)目的服務(wù)的。因此具有路由功能的快速轉(zhuǎn)發(fā)的三層交換機(jī)就成為首選。層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高

50、速的傳輸。網(wǎng)絡(luò)的控制功能最好盡量少在層上實(shí)施。層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以對(duì)層的設(shè)計(jì)以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格?；诙丝?vlan 的劃分這是最常應(yīng)用的一種 VLAN 劃分方法，應(yīng)用也最為廣泛、最有效，目前絕大多數(shù) VLAN 協(xié)議的交換機(jī)都提供這種 VLAN 配置方法。這種劃分 VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的交換端口來(lái)劃分的，它是將 VLAN 交換機(jī)上的物理端口和VLAN 交換機(jī)內(nèi)部的 PVC（虛電路）端口分成若干個(gè)組，每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)的 VLAN 交換機(jī)。從這種劃分方法本身我們可以看出，這種劃分的方法的優(yōu)點(diǎn)是定義 VLAN 成員時(shí)非常簡(jiǎn)單，只要將所有的

51、端口都定義為相應(yīng)的 VLAN 組即可6。適合于任何大小的網(wǎng)絡(luò)。它的缺點(diǎn)是如果某用戶離開了原來(lái)的端口，到了一個(gè)新的交換機(jī)的某個(gè)端口，必須重新定義。交換機(jī) Core-SW 配置交換機(jī)配置 VTP Server交換機(jī) VTP 更新信息的所有計(jì)劃必須配置在同一管理域。所有交換機(jī)都通過(guò)中繼線相連，在交換機(jī)上設(shè)置了一個(gè)管理域，校園網(wǎng)上所有的交換機(jī)都加入該域，這樣同一管理域中的所有交換機(jī)就能夠了解彼此的 VLAN 列表。進(jìn)入 VLAN 配置模式Core-SW#vlan database設(shè)置 VTP 管理稱為 xiaoyuanCore-SW(vlan)#vtp xiaoyuan設(shè)置交換機(jī)為服務(wù)

52、器模式Core-SW (vlan)#vtp server設(shè)置交換機(jī)為 server 模式是指允許在本交換機(jī)上創(chuàng)建、修改、刪除 VLAN 及其它一些對(duì)整個(gè) VTP 域的配置參數(shù)，同步本 VTP 域中其它交換機(jī)傳遞來(lái)的最新的 VLAN 信息；client 模式用于同步本 VTP 域中其他交換機(jī)傳遞來(lái)的 VLAN 信息，分支交換機(jī)設(shè)置為 client 模式。4.3.2 配置中繼（Trunk）配置中繼，使 VTP 管理域能夠覆蓋所有的分支交換機(jī)。Trunk 是一個(gè)在交換機(jī)之間、交換機(jī)與路由器之間傳遞 VLAN 信息和 VLAN 數(shù)據(jù)流的協(xié)議，將交換機(jī)之間直接相連的端口配置為 dot1q 封裝，就可交換

53、機(jī)進(jìn)行整個(gè)網(wǎng)絡(luò)的 VLAN 設(shè)置。Core-SW (config-if)#switchport trunk encapsulation dot1qCore-SW(config-if)#switchport mode trunkCore-SW(config-if)#int fa 0/2Core-SW(config-if)#switchport trunk encapsulation dot1qCore-SW(config-if)#switchport mode trunkCore-SW (config-if)#int fa 0/3Core-SW(config-if)#switchport tru

54、nk encapsulation dot1qCore-SW(config-if)#switchport mode trunkCore-SW(config-if)#int fa 0/4Core-SW(config-if)#switchport trunk encapsulation dot1qCore-SW(config-if)#switchport mode trunkCore-SW(config-if)#int fa 0/5Core-SW(config-if)#switchport trunk encapsulation dot1qCore-SW(config-if)#switchport mode trunkCore-SW(config-if)#int fa 0/6Core-SW(config-if)#switchport trunk encapsulation dot1qCore-SW(config-if)#