1、<p><b>　　學生畢業(yè)設計論文</b></p><p><b>　　摘　要</b></p><p>　　隨著網絡建設的逐步普及，大學高校局域網絡的建設是高校向高水平、研究性大學跨進的必然選擇，高校校園網網絡系統(tǒng)是一個非常龐大而復雜的系統(tǒng)，它不僅為高校的發(fā)展、綜合信息管理和辦公自動化等一系列應用提供基本操作平臺，而且，能夠使教育、教

2、學、科研三位一體，提高教育教學質量。而校園網網絡建設中主要應用了網絡技術中的重要分支局域網技術來建設與管理的，因此本畢業(yè)設計課題將主要以校園局域網絡建設過程可能用到的各種技術及實施方案為設計方向，為校園網的建設提供理論依據和實踐指導。高校校園網的網絡建設與網絡技術發(fā)展幾乎是同步進行的。高校不僅承擔著教書育人的工作，更承擔著部分國家級的科研任務，同時考慮未來幾年網絡平臺的發(fā)展趨勢, 為了充分滿足高校骨干網對高速，智能，安全，認證計費等的需

3、求,可以利用萬兆以太網的校園網組網技術。構建校園網骨干網，實現各個分校區(qū)和本部之間的連接，以及實現端到端的以太網訪問，提高了傳輸的效率，有效地保證了遠程多媒體教學、數字圖書館等業(yè)務的開展。</p><p>　　[關鍵詞] 校園網；網絡設備；服務器；網絡管理；網絡安全</p><p><b>　　Abstract</b></p><p>　　Wi

4、th the gradual popularization of the network construction of University College, local area network construction is the high level research university, into the inevitable choice, the campus net network system is a very

5、huge but complicated system, it not only for the development of colleges and universities, integrated information management and office automation applications such as a series of basic operating platform, but, can make

6、the education, teaching, scientific research and the Trini</p><p><b>　　分享到 </b></p><p><b>　　翻譯結果重試</b></p><p>　　抱歉，系統(tǒng)響應超時，請稍后再試</p><p>　　支持中英、中日

7、在線互譯</p><p>　　支持網頁翻譯，在輸入框輸入網頁地址即可</p><p>　　提供一鍵清空、復制功能、支持雙語對照查看，使您體驗更加流暢</p><p>　　Keywords: Campus network; network equipment; server; network management; network security</p>

8、<p><b>　　目 錄</b></p><p><b>　　摘　要I</b></p><p>　　AbstractII</p><p><b>　　緒 論1</b></p><p><b>　　第一章 引言2</b>&l

9、t;/p><p>　　1.1背景及意義2</p><p>　　1.2 目前校園網絡現狀3</p><p>　　1.3 校園網建設的原則3</p><p>　　第二章 校園網需求分析4</p><p>　　2.1 學校建筑現狀分析4</p><p>　　2.2 信息點分布需求分析4<

10、;/p><p>　　2.3 學校子網需求劃分6</p><p>　　2.4 學校VLAN需求劃分6</p><p>　　2.5 校園網布線工程分析8</p><p>　　第三章 校園網設備的選擇10</p><p>　　3.1 交換機模塊設計10</p><p>　　3.1.1 交換機的

11、選擇10</p><p>　　3.1.2 核心層交換機的說明配置11</p><p>　　3.1.3 匯聚層交換機的說明配置14</p><p>　　3.1.4 接入層交換機的說明配置16</p><p>　　3.2 路由器模塊設計16</p><p>　　3.2.1 路由協(xié)議的概念和種類16</p&

12、gt;<p>　　3.2.3無線路由19</p><p>　　第四章 校園網服務器配置22</p><p>　　4.1 WWW服務器配置22</p><p>　　4.2 DNS服務器配置24</p><p>　　第五章 校園網絡的管理與安全26</p><p>　　5.1 網絡管理26&l

13、t;/p><p>　　隨著校園網的不斷發(fā)展和應用，網絡管理和安全防范問題也越來越復雜。為此，我校專門設立了網絡管理中心，負責網絡管理系統(tǒng)的建立和應用、線路和站點的監(jiān)測、通信設備管理、全局目錄管理、用戶和文件管理及收費管理、用戶培訓等。同時，利用網管中心，可以方便地采取各種安全性措施，控制通信，購買硬件防火墻，即時下載系統(tǒng)漏洞，實施新的安全技術，數據備份等提高網絡可靠和安全性能水平。26</p><

14、;p>　　校園網管理的主要目的是保障網絡運行的品質，如維持網絡傳送速率、降低傳送錯誤率、確保網絡安全等。所以校園網系統(tǒng)管理的技術人員可借網絡管理工具或本身的技術經驗實施網絡管理，內容可分為下列6項：26</p><p>　?。?）系統(tǒng)管理隨時掌握網絡內任何設備的增減與變動，管理所有網絡設備的設置參數。當故障發(fā)生時，管理人員得以重設或改變網絡設備的參數，維持網絡的正常運作。26</p>&l

15、t;p>　　（2）故障管理為確保網絡系統(tǒng)的高穩(wěn)定性，在網絡出現問題時，必須及時察覺問題的所在。它包含所有節(jié)點動作狀態(tài)、故障記錄的追蹤與檢查及平常對各種通訊協(xié)議的測試。26</p><p>　?。?）效率管理在于評估網絡系統(tǒng)的運作，統(tǒng)計網絡資源的運用及各種通訊協(xié)議的傳輸量等，更可提供未來網絡提升或更新規(guī)劃的依據。26</p><p>　　（4）安全管理為防范不被授權的用戶擅自使用網

16、絡資源，以及用戶蓄意破壞網絡系統(tǒng)的安全，要隨時做好安全措施，如合法的設備存取控制與加密等。26</p><p>　?。?）計費管理了解網絡使用時間，能針對各個局部網絡做使用統(tǒng)計。一則可作為使用網絡計費的依據，更可作為日后網絡升級或更新規(guī)劃的參考。26</p><p>　?。?）信息管理網絡上的信息分成兩部分，一是由管理員放置的信息，它們的品質一般較高；另一部分是由用戶放置的，可能會有一

17、些問題，要對這部分信息進行管理。27</p><p>　?。?）人員培訓要真正提高校園網的應用水平，就必須堅持不懈地在教學和學習中應用網絡，以切實提高教學水平、管理水平和學習水平，其中加強對相關人員的培訓十分必要。為此我校正舉辦網絡技術培訓班，對校園網的四類實用人員，即學校領導、系統(tǒng)維護人員、課件制作人員和應用系統(tǒng)使用人員，分期分批進行網絡培訓，以提高全體師生的網絡應用水平，并促進校園網的健康發(fā)展。27<

18、;/p><p>　　5.2 網絡安全27</p><p>　　主機安全技術：加強網絡上結點計算機的安全，包括：系統(tǒng)防火墻的規(guī)則設置、更新。系統(tǒng)漏洞補丁升級更新，在人們的潛意識里增加安全防范意識等等。27</p><p>　　身份認證技術：身份驗證技術可以阻止或減少由于非法用戶的登陸對系統(tǒng)的惡意或非法操作。在用戶訪問服務器上任何信息之前，可以要求用戶提供有效的 Mic

19、rosoft Windows用戶帳戶、用戶名和密碼。該標識過程稱為“身份驗證”。可以在網站或FTP站點、目錄或文件級別設置身份驗證?？梢允褂肐nternet信息服務（IIS提供的）身份驗證方法來控制對網站和FTP站點的訪問。（包括下列信息：網站驗證：介紹符合您驗證用戶網站訪問要求的身份驗證方法。FTP站點身份驗證：介紹符合您驗證用戶FTP站點訪問要求的身份驗證方法。）27</p><p>　　訪問控制技術：對

20、信息的權限的控制，阻止了非授權用戶進行的信息的瀏覽，修改甚至破壞。適當地控制對Web和FTP內容的訪問是安全運行Web服務器的關鍵。使用 Windows和IIS中的安全功能，您可以有效地控制用戶訪問您Web和FTP內容的方式?？梢钥刂贫嗉壴L問，從整個網站和FTP站點到單獨的文件。每個帳戶均被授予用戶特權和權限。用戶特權是指在計算機或網絡上執(zhí)行特定操作的權力。權限是與對象（如文件或文件夾）關聯的規(guī)則，用于控制哪些帳戶可以獲得對象的訪問權限

21、。27</p><p>　　防火墻技術：要主的技術有數據包過濾技術、應用網關和代理服務等；防火墻體系結構在網絡中的設置應用。例如屏蔽子網型防火墻。它是由兩個包過濾路由器和兩個堡壘機組成。堡壘主機和服務器放置在一個處于內外網的小型網絡（Dmz 安全區(qū)）中。連接外網的包過濾路由器主要用來防止外網的攻擊。并管理外網對dmz的訪問。第二給個包過濾路由器是它置接受源于堡壘主機的數據，負責管理Ｄmz和內網之間的訪問。這樣對

22、外網，內部網是不可見的。同理對于內網外網是不可見的，內網眼通過代理服務才能訪問外網。對于入侵者必須通過外部路由器和堡壘主機，內部路由器才能入侵到內網中。到目前可以認為是最安全的。27</p><p>　　安全審計技術：安全策略的訂制和授權信息的驗證技術是該技術的重點部分?？梢允褂冒踩珜徍思夹g跟蹤用戶活動并檢測對NTFS目錄和文件的未經授權的訪問。（可供審核的活動包括：用戶成功和失敗的登錄。用戶試圖訪問受到限制的

23、帳戶。用戶試圖執(zhí)行受到限制的命令。）28</p><p>　　5.2.1 NAT28</p><p>　　5.2.2 ACL29</p><p>　　訪問控制列表（Access Control List，ACL） 是路由器和交換機接口的指令列表，用來控制端口進出的數據包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關系

24、、條件和查詢語句，表只是一個框架結構，其目的是為了對某種訪問進行控制。29</p><p>　　信息點間通信，內外網絡的通信都是企業(yè)網絡中必不可少的業(yè)務需求，但是為了保證內網的安全性，需要通過安全策略來保障非授權用戶只能訪問特定的網絡資源，從而達到對訪問進行控制的目的。簡而言之，ACL可以過濾網絡中的流量，控制訪問的一種網絡技術手段。ACL技術用在了核心交換機的SW0上面，不允許學生公寓區(qū)訪問行政區(qū)，其它的都可

25、以，具體配置如下：30</p><p>　　interface Vlan430</p><p>　　ip address 192.168.4.1 255.255.255.030</p><p>　　ip access-group 100 out30</p><p>　　access-list 100 deny ip 172.16.0.

26、0 0.0.255.255 192.168.4.0 0.0.0.25530</p><p>　　access-list 100 permit ip any any30</p><p>　　第六章 網絡系統(tǒng)的測試30</p><p><b>　　結 論41</b></p><p>　　參 考 文 獻42&l

27、t;/p><p><b>　　致 謝43</b></p><p><b>　　緒 論</b></p><p>　　當今世界，各種先進的科學技術飛速發(fā)展，給人們的生活帶來了深遠的影響，它極大的改善我們的生活方式。在以計算機技術為代表的信息科技的發(fā)展更是日新月異，從各個方面影響和改變著我們的生活，而其中的計算機網絡技術的

28、發(fā)展更為迅速，已經滲透到了我們生活的各個方面，人們已經離不開計算機網絡，并且隨著因特網的迅速普及，給我們的學習與生活條件帶來更大的方便，我們與外部世界的聯系將更加的緊密和快速。</p><p>　　隨著人們對于信息資源共享以及信息交流的迫切需求，促使網絡技術的產生和快速發(fā)展，計算機網絡的產生和使用為人類信息文明的發(fā)展帶來了革命性的變化。自1995年中國教育教研網（CERNET）建成后，校園網的建設已經進入到一個蓬

29、勃發(fā)展的階段。校園網的建成和使用，對于提高教學和科研的質量、改善教學和科研條件、加快學校的信息化進程，開展多媒體教學與研究以及使教學多出人才、科研多出成果有著十分重要而深遠的意義。其主要包括各種局域網的技術思想、網絡設計方案、網絡拓撲結構、布線系統(tǒng)、Intranet/Internet的應用、網絡安全，網絡系統(tǒng)的維護等內容。通過本畢業(yè)設計課題的論述，希望使讀者能夠了解校園網的建設過程以及所涉及到的各種網絡技術，并能對今后大家在學習網絡技術

30、知識或是進行校園網的工程建設中有所借鑒。</p><p><b>　　第一章 引言</b></p><p><b>　　1.1背景及意義</b></p><p>　　高校校園網的網絡建設與網絡技術發(fā)展幾乎是同步進行的。高校不僅承擔著教書育人的工作，更承擔著部分國家級的科研任務，同時考慮未來幾年網絡平臺的發(fā)展趨勢, 為了充

31、分滿足高校骨干網對高速，智能，安全，認證計費等的需求,可以利用萬兆以太網的校園網組網技術。</p><p>　　構建校園網骨干網，實現各個分校區(qū)和本部之間的連接，以及實現端到端的以太網訪問，提高了傳輸的效率，有效地保證了遠程多媒體教學、數字圖書館等業(yè)務的開展。</p><p>　　隨著信息技術的高速發(fā)展，教育信息化水平正成為衡量學?？傮w發(fā)展水平的重要因素，網絡技術的應用對高校的教學手段和教

32、育管理體系的促進作用是巨大的。1995 年CERNET （中國教育和科研計算機網）建設全面啟動，全國各地的高校開始建設自己的計算機校園網。校園網建設是高校建設的重要組成部分，建設高質量的局域網， 才能充分發(fā)揮網絡資源管理和應用的優(yōu)勢，進行信息交流、資源共享、科學計算和科學研究與合作。 </p><p>　　校園網的建設與應用，極大地豐富和完善了教育資源，拓寬了學生獲取知識的渠道，改善了教學效果，提高了學校的現代化

33、管理水平，促進了教育的社會化，因此，如何進一步搞好校園網的建設，充分發(fā)揮校園網的作用，組建高性能，低成本的校園網，是各個高校正在探索和思考的問題。高校校園網從啟動建立到現在，無論是高校校園網的網絡技術，還是高校校園網的關注要點，大致可以分為三個階段。</p><p>　　第一階段是基礎設施建設時期，時間大約從1994年到2000年。這期間各種網絡技術在高校同時都有應用：以太網技術，FDDI，ATM網絡技術。在這個

34、階段，由于校園網應用的技術比較繁雜，而且業(yè)務相對單一，因此，這一階段，主要關注網絡的連通性和兼容性，即如何保證校園網的連通，和各種不同網絡技術的兼容和融合。</p><p>　　第二階段是應用平臺建設時期，時間大約是從2000年到2005年。這期間，隨著網絡技術的發(fā)展，各種應用也開始出現并發(fā)展迅速，包括BBS、WWW、FTP、E-mail，以及近兩年流行的BT下載、視音頻業(yè)務等等，這些應用都對帶寬提出了挑戰(zhàn)。另一

35、個在此階段發(fā)展迅速的校園網應用就是IPTV，更是被成為帶寬的殺手級應用。與此同時，網絡技術——特別是以太網技術迅猛發(fā)展，1000M以太網已經步入校園，萬兆標準也已經公布。結合實際應用和網絡技術來看，這個階段主要關注：帶寬和應用。</p><p>　　第三個階段是信息資源建設時期。時間從2005年至今，乃至今后幾年時間內。近兩年，萬兆以太網已經開始在高校校園網中規(guī)?；瘧茫乱淮蕴W標準也已經確立為10萬兆標準。

36、同時，隨著cernet2的啟動，IPV6技術也已經在校園網中實驗并逐步應用。當基礎設施、應用平臺建設之后，信息資源的豐富與否決定了校園網絡的真正價值。當信息資源充分豐富后，人們的工作、學習、生活、娛樂完全離不開網絡，網絡的安全與可信又成為頭等重要的問題。縱觀這兩年整個網絡世界，安全事件頻發(fā)：沖擊波、震蕩波、ARP攻擊等等。所以，安全可信成為了高校校園網當前關注的要點。</p><p>　　簡單來說，對于校園網：豐

37、富的應用是關鍵，而穩(wěn)定可靠的網絡是基礎，完善的安全和管理手段是保障。</p><p>　　信息時代的變革與發(fā)展，帶動了整個世界的深刻變革。網絡、計算機技術的進步和應用軟件的提高，使計算機變的越來越容易使用，它們正被廣泛地使用，并迅速改變著人們的生活、學習、工作方式。在一個好的校園網里人們用計算機和網絡進行工作、交流和學習，計算機改變了人的教學方式，同時也改變了人的學習方式。社會變的很快，我們必須跟上時代的步伐，因

38、此在經濟條件允許的情況下，盡快盡早的建設校園網好處將是顯著的和長遠的。</p><p>　　1.2 目前校園網絡現狀</p><p>　　與其它網絡一樣，校園網面臨的威脅大體可分為對網絡中數據信息的危害和對網絡設備的危害。具體來說，危害網絡安全的主要威脅有：非授權訪問，即對網絡設備及信息資源進行非正常使用或越權使用等；冒充合法用戶，即利用各種假冒或欺騙的手段非法獲得合法用戶的使用權限，以達

39、到占用合法用戶資源的目的；破壞數據的完整性，即使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用；干擾系統(tǒng)正常運行。</p><p>　　除此之外，Internet非法內容也形成了對網絡的另一大威脅。IDC的統(tǒng)計曾顯示，有30％－40％的Internet訪問是與工作無關的，甚至有的是去訪問色情、暴力、反動等站點。在這樣的情況下，Internet資源被嚴重浪費。而對校園網來說，面對形形色色、良莠不分的

40、網絡資源，如不具有識別和過濾作用，不但會造成大量非法內容或郵件出入，占用大量流量資源，造成流量堵塞、上網速度慢等問題，而且某些網站如娛樂、游戲、暴力、色情、反動消息等不良網絡內容，將極大地危害青少年的身心健康，導致無法想象的后果。</p><p>　　1.3 校園網建設的原則</p><p>　　1．整體規(guī)劃分步實施：一方面因為學校的資金情況，不能一步到位。二是依據需求，不能盲目投資。&

41、#160;   2．注重應用系統(tǒng)建設：計算機網絡要想發(fā)揮出它的作用，必須有建立在它之上的應用系統(tǒng)。這里有一個非常形象的比喻：網絡就象路，而應用系統(tǒng)就象車，只修路但沒車跑，路也不能發(fā)揮它的作用。這必須跟據學校的實際情況，選擇恰當的應用系統(tǒng)。    3．把握當前先進性： 要將未來的可擴展性和經濟可行性結合起來。當前計算機網絡技術發(fā)展很快，設備更新淘汰很快。校園網建設應當采用當前成

42、熟先進的技術和設備，而這些設備應有良好的擴張性，即能夠兼容未來可能的技術。</p><p>　　第二章 校園網需求分析</p><p>　　2.1 學校建筑現狀分析</p><p>　　對學校建筑的分析如圖2.1所示：</p><p>　　圖2.1 學校建筑圖</p><p>　　如圖所示學校分為學生公寓區(qū)，教師公寓

43、區(qū)，行政區(qū)，圖書館，教學區(qū)。其中學生公寓區(qū)（A區(qū)、B、區(qū)、C區(qū)），教師公寓區(qū)（A區(qū)、B、區(qū)、C區(qū)），行政區(qū)（財務處、</p><p>　　人事處、教務處、招生就業(yè)處），圖書館（學生閱覽室、電子閱覽室、網絡中心、借書室），教學區(qū)（計科系、軟件學院、經管系、機電系、外語系、信息工程系）。</p><p>　　2.2 信息點分布需求分析</p><p>　　對學校信息點的

44、分析，如表2.2所示：</p><p>　　表2.2 學校信息點的分析表</p><p>　　2.3 學校子網需求劃分</p><p>　　為了提高IP地址的使用效率，引入了子網的概念。將一個網絡劃分為子網：采用借位的方式，從主機位最高位開始借位變?yōu)樾碌淖泳W位，所剩余的部分則仍為主機位。這使得IP地址的結構分為三級地址結構：網絡位、子網位和主機位。這種層次結構便于

45、IP地址分配和管理。它的使用關鍵在于選擇合適的層次結構--如何既能適應各種現實的物理網絡規(guī)模，又能充分地利用IP地址空間。子網的劃分主要是根據子網掩碼來區(qū)分的，掩碼的作用就是用來告訴電腦把“大網”劃分為多少個“小網”，以及每個子網中的主機數目。如表2.3所示，學校子網的劃分。</p><p>　　表2.3 學校子網的劃分表</p><p>　　2.4 學校VLAN需求劃分</p&g

46、t;<p>　　VLAN（Virtual Local Area Network）稱為虛擬局域網，是指在邏輯上將物理的LAN分成不同小的邏輯子網，每一個邏輯子網就是一個單獨的播域。簡單地說，就是將一個大的物理的局域網（LAN）在交換機上通過軟件劃分成若干個小的虛擬的局域網（VLAN）。因為交換機通信的原理就是要通過“廣播”來發(fā)現通往的目的MAC地址，以便在交換機內部的MAC數據庫建立MAC地址表，而廣播不能跨越不同網段。&l

47、t;/p><p>　　VLAN技術的出現，使得管理員根據實際應用需求，把同一物理局域網內的不同用戶邏 輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理 上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個 VLAN內的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理LAN網段 。由VLAN的特點可知，一個VLAN內部的廣播和單播流量都不會

48、轉發(fā)到其他VLAN中，從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。 VLAN除了能將網絡劃 分為多個廣播域，從而有效地控制廣播風暴的發(fā)生，以及使網絡的拓撲結構變得非常靈活的優(yōu)點外，還可以用于控制網絡中不同部門、不同站點之間的互相訪問。</p><p>　　通過劃分VLAN子網，能劃小了廣播域，避免了數據碰撞在大的物理LAN內產生嚴重后果的可能，也避免了廣播風暴的產生。提高交換網絡的交換效率，

49、保證網絡穩(wěn)定。提高網絡安全性，通過劃分VLAN，LAN被劃分不同子網段，因此不能直接通信。必要的通信必須經過路由來實現，因此可在路由器（或三層交換機）上配置訪問列表來進行跨子網段的授權訪問，從而提高校園內部網絡訪問的安全性。方便網絡管理：采用VLAN技術來劃分校園網絡，一個VLAN可以根據不同的院系、辦公室或者服務器組將不同地理位置的工作站劃分為一個邏輯網段。在不改動網絡物理連接的情況下可以任意地將工作站在子網之間移動，VLAN提供了網

50、段和機構的彈性組合機制。VLAN技術很好的解決了網絡管理的問題，能實現網絡監(jiān)督與管理的自動化，從而更有效的進行網絡監(jiān)控。如表2.4所示，該學校校園網絡Vlan的劃分及IP的分配。</p><p>　　表2.4 學校vlan的劃分及IP的分配表</p><p>　　另外，IP地址分為公網地址和私網地址兩類，公有地址（Public address）由Inter NIC（Internet Ne

51、twork Information Center 因特網信息中心）負責。這些IP地址分配給注冊并向Inter NIC提出申請的組織機構。通過它直接訪問因特網。ISP分配給學校的全局IP地址地址段為: 202.106.0.3 --202.106.0.200/24.,私有地址（Private address）屬于非注冊地址，專門為組織機構內部使用。以下列出留用的內部私有地址</p><p>　　A類 10.0.0.0

52、--10.255.255.255</p><p>　　B類 172.16.0.0--172.31.255.255</p><p>　　C類 192.168.0.0--192.168.255.255</p><p>　　2.5 校園網布線工程分析</p><p>　　因為以上的需求特點和信息點分布，結合學校的實際情況總結得到如圖2.5所示：&l

53、t;/p><p>　　圖2.5 學校信息點的分布圖</p><p>　　第三章 校園網設備的選擇</p><p>　　本次的課題設計是在模擬軟件的基礎上實現的，因此此次的網絡設備選擇主要是依據該軟件中具有的設備。Packet Tracer 5.2 是思科公司專門為CCNA考試人員設計的一塊軟件，通過這個軟件能夠讓我們模擬出各種路由、交換協(xié)議，而且，能夠測試各種設備的工

54、作情況。</p><p>　　3.1 交換機模塊設計</p><p>　　使用雙核心網絡的主要目的是實現冗余的連接防止單點失效，從邏輯上，大型網絡可分為核心層、分布層和接入層，每層都有其特點。層次化設計的優(yōu)點可以總結為如下幾點：</p><p>　　可擴展性：因為網絡可模塊化增長而不會遇到問題；</p><p>　　簡單性：通過將網絡分成許多

55、小單元，降低了網絡的整體復雜性，使故障排除更容易，能隔離廣播風暴的傳播、防止路由循環(huán)等潛在的問題；</p><p>　　設計的靈活性：使網絡容易升級到最新的技術，升級任意層次的網絡不會對其他層次造成影響，無需改變整個環(huán)境；</p><p>　　可管理性：層次結構使單個設備的配置的復雜性大大降低，更易管理。</p><p>　　3.1.1 交換機的選擇</p&g

56、t;<p>　　交換機分為二層交換機和三層交換機兩種類型，其中二層交換機的工作原理是：</p><p>　?。?）當交換機從某個端口收到一個數據包，它先讀取包頭中的源MAC地址，這樣它就知道源MAC地址的機器是連在哪個端口上的； </p><p>　?。?）再去讀取包頭中的目的MAC地址，并在地址表中查找相應的端口；</p><p>　?。?）如表中有

57、與這目的MAC地址對應的端口，把數據包直接復制到這端口上；</p><p>　?。?）如表中找不到相應的端口則把數據包廣播到所有端口上，當目的機器對源機器回應時，交換機又可以學習一目的MAC地址與哪個端口對應，在下次傳送數據時就不再需要對所有端口進行廣播了。</p><p>　　不斷的循環(huán)這個過程，對于全網的MAC地址信息都可以學習到，二層交換機就是這樣建立和維護它自己的地址表。</

58、p><p>　　可以看出二層交換機沒有路由功能，當不同的子網進行通信是要借助路由器實現數據包的轉發(fā)，所以當子網數量較多時，路由器的接口數量就成了一個瓶頸，而三層交換機就能解決這一缺點。</p><p>　　三層交換機的最重要的功能是加快大型局域網絡內部的數據的快速轉發(fā)，加入路由功能也是為這個目的服務的。因此具有路由功能的快速轉發(fā)的三層交換機就成為首選。</p><p>

59、　　我們選擇 CISCO 3560-24PS作為核心層交換機，這個設備有26個端口，其中有兩個端口支持1Gbps的帶寬，選擇CISCO 2950-24二層交換機作為接入層交換機，這個設備有24個接口，能夠實現10M/100M自適應到桌面的功能，而且，這兩款交換機都支持vlan功能。</p><p>　　3.1.2 核心層交換機的說明配置</p><p>　　核心層的功能主要是實現骨干網絡之

60、間的優(yōu)化傳輸,核心層設計任務的重點通常是冗余能力、可靠性和高速的傳輸。網絡的控制功能最好盡量少在核心層上實施。核心層一直被認為是所有流量的最終承受者和匯聚者，所以對核心層的設計以及網絡設備的要求十分嚴格。</p><p>　　核心交換機采用兩個三層交換機，該校園網分為7個vlan，vlan2、vlan3、vlan4分別接在核心交換機一的f0/1 、f0/2、 f0/3接口，vlan5、vlan6、vlan7、vl

61、an8、vlan9分別接在核心交換機二的f0/1 、f0/2、 f0/3、f0/4接口。</p><p>　?。?）基于端口vlan的劃分這是最常應用的一種VLAN劃分方法，應用也最為廣泛、最有效，目前絕大多數VLAN協(xié)議的交換機都提供這種VLAN配置方法。這種劃分VLAN的方法是根據以太網交換機的交換端口來劃分的，它是將VLAN交換機上的物理端口和VLAN交換機內部的PVC（永久虛電路）端口分成若干個組，每個組

62、構成一個虛擬網，相當于一個獨立的VLAN交換機。從這種劃分方法本身我們可以看出，這種劃分的方法的優(yōu)點是定義VLAN成員時非常簡單，只要將所有的端口都定義為相應的VLAN組即可。適合于任何大小的網絡。它的缺點是如果某用戶離開了原來的端口，到了一個新的交換機的某個端口，必須重新定義。在核心交換機上的配置如下：</p><p>　　sw0(config)#int f 0/1</p><p>　　

63、sw0(config-if)#switchport mode trunk</p><p>　　sw0(config-if)#switchport access vlan 2</p><p>　　sw0(config)#int f 0/2</p><p>　　sw0(config-if)#switchport mode trunk</p><p&g

64、t;　　sw0(config-if)#switchport access vlan 3</p><p>　　sw0(config)#int f 0/3</p><p>　　sw0(config-if)#switchport mode trunk</p><p>　　sw0(config-if)#switchport access vlan 4</p>

65、<p>　　sw1(config)#int f 0/1</p><p>　　sw1(config-if)#switchport mode trunk</p><p>　　sw1(config-if)#switchport access vlan 5</p><p>　　sw1(config)#int f 0/2</p><p>　　

66、sw1(config-if)#switchport mode trunk</p><p>　　sw1(config-if)#switchport access vlan 6</p><p>　　sw1(config)#int f 0/3</p><p>　　sw1(config-if)#switchport mode trunk</p><p&g

67、t;　　sw1(config-if)#switchport access vlan 7</p><p>　　sw1(config)#int f 0/4</p><p>　　sw1(config-if)#switchport mode trunk</p><p>　　sw1(config-if)#switchport access vlan 8</p>

68、<p>　　sw1(config)#int f 0/5</p><p>　　sw1(config-if)#switchport access vlan 9</p><p>　?。?）配置VLAN的各各接口的地址</p><p>　　sw0(config)#int vlan 2</p><p>　　sw0(config-if)#ip

69、add 172.16.2.1 255.255.0.0</p><p>　　sw0(config-if)#no shutdown</p><p>　　sw0(config-if)#exit</p><p>　　sw0(config)#int vlan 3</p><p>　　sw0(config-if)#ip add 172.17.3.1 25

70、5.255.0.0</p><p>　　sw0(config-if)#no shutdown</p><p>　　sw0(config-if)#exit</p><p>　　sw0(config)#int vlan 4</p><p>　　sw0(config-if)#ip add 192.168.4.1 255.255.255.0</

71、p><p>　　sw0(config-if)#no shutdown</p><p>　　sw1(config)#int vlan 5</p><p>　　sw1(config-if)#ip add 192.168.5.1 255.255.255.0</p><p>　　sw1(config-if)#no shutdown</p>

72、<p>　　sw1(config-if)#exit</p><p>　　sw1(config)#int vlan 6</p><p>　　sw1(config-if)#ip add 172.18.6.1 255.255.0.0</p><p>　　sw1(config-if)#no shutdown</p><p>　　sw1(co

73、nfig-if)#exit</p><p>　　sw1(config)#int vlan 7</p><p>　　sw1(config-if)#ip add 192.168.7.1 255.255.255.0</p><p>　　sw1(config-if)#no shut</p><p>　　sw1(config-if)#exit</

74、p><p>　　sw1(config)#int vlan 8</p><p>　　sw1(config-if)#ip add 192.168.8.1 255.255.255.0</p><p>　　sw1(config-if)#no shut</p><p>　　sw1(config)#int vlan 9</p><p>

75、;　　sw1(config-if)#ip add 192.168.9.1 255.255.255.0</p><p>　　sw1(config-if)#no shut</p><p>　　(3)端口聚合提供冗余備份鏈路，端口聚合又稱鏈路聚合，是指兩臺交換機之間在物理上將多個端口連接起來，將多條鏈路聚合成一條邏輯鏈路。從而增大鏈路帶寬，解決交換網絡中因帶寬引起的網絡瓶頸問題。多條物理鏈路之間

76、能夠相互冗余備份，其中任意一條鏈路斷開，不會影響其他鏈路的正常轉發(fā)數據。該核心交換機采用的是兩條，具體配置如下：</p><p>　　Switch(config)#inter port-channel 1 </p><p>　　Switch(config-if)#no switchport </p><p>　　Switch(config-if)#no shutdo

77、wn </p><p>　　Switch(config-if)#ip address 172.19.0.1 255.255.0.0</p><p>　　Switch(config)#inter gig0/1</p><p>　　Switch(config-if)#channel-g</p><p>　　Switch(config-if)#ch

78、annel-group 1 m on</p><p>　　Switch(config)#inter gig0/2</p><p>　　Switch(config-if)#channel-group 1 m on</p><p>　　(4)兩個三層核心交換機之間的RIP路由協(xié)議，具體配置代碼如下：</p><p>　　sw0(config)#r

79、outer rip</p><p>　　sw0(config-router)#network 172.16.0.0</p><p>　　sw0(config-router)#network 172.17.0.0</p><p>　　sw0(config-router)#network 172.19.0.0</p><p>　　sw0(conf

80、ig-router)#network 172.20.0.0</p><p>　　sw0(config-router)#network 192.168.4.0</p><p>　　sw0(config-router)#version 2</p><p>　　sw0(config-router)#no auto-summary</p><p>　

81、　sw1(config)#router rip</p><p>　　sw1(config-router)#network 192.168.0.0</p><p>　　sw1(config-router)#network 192.168.5.0</p><p>　　sw1(config-router)#network 192.168.6.0</p>&l

82、t;p>　　sw1(config-router)#network 172.18.0.0</p><p>　　sw1(config-router)#network 172.19.0.0</p><p>　　sw1(config-router)#network 192.168.7.0</p><p>　　sw1(config-router)#network 192

83、.168.8.0</p><p>　　sw1(config-router)#version 2</p><p>　　sw1(config-router)#no auto-summary</p><p>　　3.1.3 匯聚層交換機的說明配置</p><p>　　分布層提供基于統(tǒng)一策略的互連性，它是核心層和訪問層的分界點，定義了網絡的邊界，對數

84、據包進行復雜的運算。在園區(qū)網絡環(huán)境中，分布層主要提供如下功能：</p><p><b>　　地址的聚集</b></p><p><b>　　部門和工作組的接入</b></p><p>　　廣播域/多目傳輸域的定義</p><p>　　Inter VLAN路由</p><p>

85、<b>　　介質的轉換</b></p><p><b>　　安全控制</b></p><p>　　當網絡管理人員需要管理的交換機數量眾多時，可以使用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）簡化管理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減

86、輕了網絡管理人員的工作負擔和工作強度。將分布層交換機學生公寓區(qū)的交換機設置成為VTP服務器，其他交換機設置成為VTP客戶機。</p><p>　　(1)訪問層交換機學生公寓區(qū)的交換機作為服務器的配置如下：</p><p>　　s4#vlan database</p><p>　　s4(vlan)#vtp domain dong</p><p>

87、;　　s4(vlan)#vlan 2</p><p>　　s4(vlan)#vlan 3</p><p>　　s4(vlan)#vlan 4</p><p>　　s4(vlan)#vlan 5</p><p>　　s4(vlan)#vlan 6</p><p>　　s4(vlan)#vlan 7</p>

88、<p>　　s4(vlan)#vlan 8</p><p>　　s4(vlan)#vlan 9</p><p>　　s4(vlan)#vtp server</p><p>　　(2)trunk端口</p><p>　　在最普遍的路由與交換領域，VLAN的端口聚合也有的叫TRUNK，不過大多數都叫TRUNKING ，如CISCO公司。

89、所謂的TRUNKING是用來在不同的交換機之間進行連接，以保證在跨越多個交換機上建立的同一個VLAN的成員能夠相互通訊。其中交換機之間互聯用的端口就稱為TRUNK端口。與一般的交換機的級聯不同，TRUNKING是基于OSI第二層數據鏈路層（DataLinkLayer)RUNKING技術，如果你在2個交換機上分別劃分了多個VLAN（VLAN也是基于Layer2的），那么分別在兩個交換機上的VLAN10和VLAN20的各自的成員如果要互通，

90、就需要在A交換機上設為VLAN10的端口中取一個和交換機B上設為VLAN10的某個端口作級聯連接。VLAN20也是這樣。那么如果交換機上劃了10個VLAN就需要分別連10條線作級聯，端口效率就太低了。 當交換機支持TRUNKING的時候，事情就簡單了，只需要2個交換機之間有一條級聯線，并將對應的端口設置為Trunk，這條線路就可以承載交換機上所有VLAN的信息。這樣的話，就算交換機上設了上百個個VLAN也只用1個端口就解決了。如果是不同

91、臺的</p><p>　　該層對學生公寓區(qū)交換機trunk配置如下：</p><p>　　s4(config)#int f 0/1</p><p>　　s4(config-if)#switchport mode trunk</p><p>　　s4(config)#int f 0/2</p><p>　　s4(conf

92、ig-if)#switchport mode trunk</p><p>　　s4(config)#int f 0/3</p><p>　　s4(config-if)#switchport mode trunk</p><p>　　s4(config)#int f 0/4</p><p>　　s4(config-if)#switchport

93、mode trunk</p><p>　　3.1.4 接入層交換機的說明配置</p><p>　　接入層是最終用戶(教師、學生) 與網絡的接口，它應該提供即插即用的特性，同時應該非常易于使用和維護。另外，通過VTP的設置，我們可以更好的將匯聚層的vlan信息導入到接入層，只需要將不同的端口加入不同的vlan，就能夠是機器之間通信。在該層的一個交換機上的配置如下:</p>&l

94、t;p><b>　　!進入vtp數據庫</b></p><p>　　Switch#vlan datadase</p><p><b>　　!設置vtp域名</b></p><p>　　Switch(vlan)#vtp domain dong</p><p><b>　　!設置vtp模

95、式</b></p><p>　　Switch(vlan)#vtp client</p><p>　　Switch(vlan)#exit</p><p>　　Switch#configgure terminal</p><p>　　!配置接口F0/1為中繼接口</p><p>　　Switch(config-

96、if)#int f0/1</p><p>　　!設置為trun模式</p><p>　　Switch(config-if)#switchport mode trunk</p><p>　　3.2 路由器模塊設計</p><p>　　路由器是內部局域網和廣域網的分界點，主要是能夠進行數據包的轉發(fā)和路徑的選擇。另外，路由器要能夠支持不同網絡提供商

97、的接入，實現線路的冗余，我在次課題中我選擇Cisco 1841路由器。</p><p>　　3.2.1 路由協(xié)議的概念和種類</p><p>　　在大型局域網絡的建設中熟練掌握路由和交換技術是不可缺少的，采取什么樣的路由算法，要根據網絡的拓撲結構而定，路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網間路由數據包。路由器具有在網絡中傳遞數據時選擇最佳路徑的能力。下面簡單的介

98、紹幾種常見的路由協(xié)議。</p><p><b>　　1.RIP協(xié)議</b></p><p>　　RIP(RoutinginformationProtocol)是應用較早、使用較普遍的內部網關協(xié)議(InteriorGatewayProtocol,簡稱IGP)，適用于小型同類網絡，是典型的距離向量(distance-vector)協(xié)議。RIP通過廣播UDP報文來交換路由信

99、息，每30秒發(fā)送一次路由信息更新。RIP提供跳躍計數(hopcount)作為尺度來衡量路由距離，跳躍計數是一個包到達目標所必須經過的路由器的數目。如果到相同目標有二個不等速或不同帶寬的路由器，但跳躍計數相同，則RIP認為兩個路由是等距離的。RIP最多支持的跳數為15，即在源和目的網間所要經過的最多路由器的數目為15，跳數16表示不可達。</p><p>　　2.EIGRP加強型內部網關路由協(xié)議</p>

100、<p>　　EIGRP路由協(xié)議是Cisco的私有路由協(xié)議,它綜合了距離矢量和鏈路狀態(tài)2者的優(yōu)點，其中包括：</p><p>　　(1)快速收斂：鏈路狀態(tài)包(Link-State Packet,LSP)的轉發(fā)是不依靠路由計算的,所以大型網絡可以較為快速的進行收斂.它只宣告鏈路和鏈路狀態(tài),而不宣告路由,所以即使鏈路發(fā)生了變化,不會引起該鏈路的路由被宣告.但是鏈路狀態(tài)路由協(xié)議使用的是Dijkstra算法,

101、該算法比較復雜,并且較占CPU和內存資源和其他路由協(xié)議單獨計算路由相比,鏈路狀態(tài)路由協(xié)議采用種擴散計算(diffusingcomputations ),通過多個路由器并行的記性路由計算,這樣就可以在無環(huán)路產生的情況下快速的收斂.</p><p>　　(2)  減少帶寬占用:EIGRP不作周期性的更新,它只在路由的路徑和度發(fā)生變化以后做部分更新.當路徑信息改變以后,DUAL只發(fā)送那條路由信息改變

102、了的更新,而不是發(fā)送整個路由表.和更新傳輸到一個區(qū)域內的所有路由器上的鏈路狀態(tài)路由協(xié)議相比,DUAL只發(fā)送更新給需要該更新信息的路由器。 在WAN低速鏈路上,EIGRP可能會占用大量帶寬,默認只占用鏈路帶寬50%,之后發(fā)布的IOS允許使用命令ip bandwidth-percent eigrp來修改這一默認值 .</p><p>　　(3)支持多種網絡層協(xié)議:EIGRP通過使用“協(xié)議相關模塊”(即protocol

103、-dependentmodule<PDM>),可以支持IPX,ApplleTalk,IP,IPv6和NovellNetware等協(xié)議.</p><p>　　(4)無縫連接數據鏈路層協(xié)議和拓撲結構:EIGRP不要求對OSI參考模型的層2協(xié)議做特別是配置.不像OSPF,OSPF對不同的層2協(xié)議要做不同配置,比如以太網和幀中繼總之,EIGRP能夠有效的工作在LAN和WAN中,而且EIGRP保證網絡不會產生環(huán)

104、路(loop-free);而且配置起來很簡單;支持VLSM;它使用多播和單播,不使用廣播,這樣做節(jié)約了帶寬。</p><p>　　3.OSPF開放最短路徑優(yōu)先路由協(xié)議</p><p>　　OSPF(Open Shortest Path First開放式最短路徑優(yōu)先)是一個內部網關協(xié)議(Interior Gateway Protocol,簡稱IGP)，用于在單一自治系統(tǒng)(autonomous

105、 system,AS)內決策路由。與RIP相對，OSPF是鏈路狀態(tài)路由協(xié)議，而RIP是距離向量路由協(xié)議。</p><p>　　鏈路是路由器接口的另一種說法，因此OSPF也稱為接口狀態(tài)路由協(xié)議。OSPF通過路由器之間通告網絡接口的狀態(tài)來建立鏈路狀態(tài)數據庫，生成最短路徑樹，每個OSPF路由器使用這些最短路徑構造路由表。</p><p>　　OSPF路由協(xié)議是一種典型的鏈路狀態(tài)（Link-sta

106、te）的路由協(xié)議，一般用于同一個路由域內。在這里，路由域是指一個自治系統(tǒng)（Autonomous System），即AS，它是指一組通過統(tǒng)一的路由政策或路由協(xié)議互相交換路由信息的網絡。在這個AS中，所有的OSPF路由器都維護一個相同的描述這個AS結構的數據庫，該數據庫中存放的是路由域中相應鏈路的狀態(tài)信息，OSPF路由器正是通過這個數據庫計算出其OSPF路由表的。 </p><p>　　作為一種鏈路狀態(tài)的路由協(xié)議，O

107、SPF將鏈路狀態(tài)廣播數據包LSA（Link State Advertisement）傳送給在某一區(qū)域內的所有路由器，這一點與距離矢量路由協(xié)議不同。運行距離矢量路由協(xié)議的路由器是將部分或全部的路由表傳遞給與其相鄰的路由器。</p><p>　　在一個OSPF區(qū)域中只能有一個骨干區(qū)域,可以有多個非骨干區(qū)域,骨干區(qū)域的區(qū)域號為0。各非骨干區(qū)域間是不可以交換信息的，他們只有與骨干區(qū)域相連，通過骨干區(qū)域相互交換信息。非骨干

108、區(qū)域和骨干區(qū)域之間相連的路由叫邊界路由（ABRs-Area Border Routers）,只有ABRs記載了各區(qū)域的所有路由表。各非骨干區(qū)域內的非ABRs只記載了本區(qū)域內的路由表，若要與外部區(qū)域中的路由相連，只能通過本區(qū)域的ABRs，由ABRs連到骨干區(qū)域的BR，再由骨干區(qū)域的BR連到要到達的區(qū)域。</p><p>　　骨干區(qū)域和非骨干區(qū)域的劃分，大大降低了區(qū)域內工作路由的負擔。</p><

109、p>　　其中，RIP和OSPF路由協(xié)議是通用的路由協(xié)議，而EIGRP是cisco公司的專用協(xié)議，只有cisco公司的設備支持，因此這個協(xié)議具有局限性，在大部分局域網內，因此OSPF是首選的路由協(xié)議。3.2.2 管理路由器的訪問方式</p><p>　　路由器的管理方式可分為兩種:帶內管理和帶外管理。通過路由器的Console口管理交換機屬于帶外管理，不占用交換機的網絡接口，特點是線纜特殊，需要近距離配置。

110、telnet指路由器的網絡接口，連接到網絡中的某臺主機。利用這臺主機進行遠程管理和配置，特點是網管可以進行遠程控制。</p><p>　　配置路由器遠程登錄密碼，代碼如下：</p><p>　　Router(config)#line vty 0 4</p><p>　　Router(config-line)#password dong</p><