1、<p><b>　　本科畢業(yè)論文</b></p><p><b>　　校園網(wǎng)的規(guī)劃與設(shè)計(jì)</b></p><p>　　The Campus Network Planning and Design</p><p>　　學(xué)院名稱： 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 </p><p>　　專業(yè)

2、班級(jí)： 網(wǎng)絡(luò)工程（專升本）12-1 </p><p>　　學(xué)生姓名： </p><p>　　學(xué)生學(xué)號(hào)： </p><p><b>　　目 錄</b></p><p><b>　

3、　摘 要I</b></p><p>　　AbstractII</p><p><b>　　引 言1</b></p><p>　　第1章 需求分析2</p><p>　　1.1 用戶需求3</p><p><b>　　1.2應(yīng)用需求3</b><

4、;/p><p>　　1.3服務(wù)系統(tǒng)需求4</p><p>　　1.4 硬件需求4</p><p>　　1.5傳輸介質(zhì)的選擇5</p><p>　　1.6 校園網(wǎng)安全需求5</p><p>　　第2章 設(shè)計(jì)目標(biāo)和設(shè)計(jì)原則7</p><p>　　2.1 校園網(wǎng)設(shè)計(jì)目標(biāo)7</p>

5、<p><b>　　2.2設(shè)計(jì)原則7</b></p><p>　　2.2.1 網(wǎng)絡(luò)設(shè)計(jì)的基本原則7</p><p>　　2.2.2 此次校園網(wǎng)的設(shè)計(jì)原則8</p><p>　　2.2.3模塊化設(shè)計(jì)原則8</p><p>　　2.2.4層次化的設(shè)計(jì)9</p><p>　　第3

6、章 網(wǎng)絡(luò)構(gòu)架和主要應(yīng)用技術(shù)11</p><p>　　3.1網(wǎng)絡(luò)架構(gòu)11</p><p>　　3.2網(wǎng)絡(luò)中應(yīng)用的主要技術(shù)12</p><p>　　3.2.1路由技術(shù)12</p><p>　　3.2.2 HSRP13</p><p>　　3.2.3鏈路聚合13</p><p>　　3.

7、2.4交換技術(shù)14</p><p>　　3.2.5生成樹技術(shù)14</p><p>　　3.2.6 VPN技術(shù)15</p><p>　　3.2.7無線接入技術(shù)15</p><p>　　3.2.8安全技術(shù)（VLAN 、ACL）15</p><p>　　3.2.9 NAT16</p><p&g

8、t;　　第4章 無線網(wǎng)絡(luò)18</p><p>　　4.1無線局域網(wǎng)18</p><p>　　4.2 WLAN的主要技術(shù)標(biāo)準(zhǔn)18</p><p>　　4.3為什么要構(gòu)建無線校園網(wǎng)18</p><p>　　4.4無線校園的應(yīng)用范圍19</p><p>　　4.5無線網(wǎng)絡(luò)的設(shè)計(jì)原則19</p>&

9、lt;p>　　4.6無線網(wǎng)絡(luò)的安全機(jī)制19</p><p>　　4.6.1密碼加密機(jī)制19</p><p>　　4.6.2用戶權(quán)限的分配控制機(jī)制20</p><p>　　第5章 網(wǎng)絡(luò)的地址規(guī)劃和主要配置21</p><p>　　5.1 VLAN的劃分21</p><p>　　5.2設(shè)備的主要配置21

10、</p><p>　　5.2.1基本配置21</p><p>　　5.2.2 HSRP 的配置22</p><p>　　5.2.3 鏈路聚合的配置23</p><p>　　5.2.4 PVST的配置24</p><p>　　5.2.5 OSPF 的配置26</p><p>　　5.2.

11、6 NAT的配置27</p><p>　　5.2.7 ACL的配置28</p><p>　　5.2.8 DHCP的配置29</p><p>　　5.2.9 GRE-tunnel的配置30</p><p>　　第6章 網(wǎng)絡(luò)設(shè)備選型32</p><p>　　6.1選擇防火墻的基本原則32</p>

12、<p>　　6.2 選擇服務(wù)器的基本原則32</p><p>　　6.3選擇交換機(jī)的基本原則32</p><p>　　6.4 選擇路由器的基本原則33</p><p><b>　　總 結(jié)35</b></p><p><b>　　致 謝36</b></p>&l

13、t;p><b>　　參考文獻(xiàn)37</b></p><p><b>　　校園網(wǎng)的規(guī)劃與設(shè)計(jì)</b></p><p>　　摘要：隨著信息時(shí)代的來臨，信息網(wǎng)絡(luò)在我國正處于飛速發(fā)展的階段。學(xué)校作為教育的前沿重地，為我國未來信息化人才提供重要的學(xué)習(xí)環(huán)境。而中國教育科研網(wǎng)（CERNET）的快速發(fā)展，則極大地促進(jìn)了高校校園網(wǎng)的建設(shè)。校園網(wǎng)的建設(shè)能從根本

14、上促進(jìn)教學(xué)科研人員之間的信息交流、資源共享、科研合作，是學(xué)校教育和科研工作的最重要的基礎(chǔ)設(shè)施之一。因此，校園網(wǎng)絡(luò)的規(guī)模和應(yīng)用水平將是體現(xiàn)學(xué)校教學(xué)環(huán)境和科研力量的重要組成部分。 </p><p>　　本設(shè)計(jì)首先就安陽工學(xué)院對(duì)網(wǎng)絡(luò)的需求做了一下調(diào)查，根據(jù)所得到的需求進(jìn)行分析，并結(jié)合該校園的實(shí)際物理結(jié)構(gòu)，做出相應(yīng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，方案設(shè)計(jì)。在改方案中重點(diǎn)對(duì)校園網(wǎng)建設(shè)的需求分析、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及方案中應(yīng)用的技術(shù)等方面給出

15、比較詳細(xì)的分析與描述。</p><p>　　關(guān)鍵詞：校園網(wǎng)需求分析；網(wǎng)絡(luò)技術(shù)；無線；網(wǎng)絡(luò)安全</p><p>　　The Campus Network Planning and Design</p><p>　　Abstract: with the coming of information age, information network in our count

16、ry is in rapid development stage. School included, as the forefront of educational information talents to provide important learning environment for our future. And the rapid development of Chinese education scientific r

17、esearch network (CERNET), will greatly promote the construction of the campus network in colleges and universities. Construction of campus network can fundamentally promote the information exchange, res</p><p&

18、gt;　　This design firstly for AnYang institute of technology made a investigation to the network demand, according to the analysis of demand, combined with the actual physical structure of the campus, make the correspondi

19、ng network topology structure, the scheme design. In the change of demand analysis of the campus network construction, network topology structure and scheme of the application of technology gives a comparatively detailed

20、 analysis and description.</p><p>　　Keywords: campus network; demand analysis; network technology; wireless; network security</p><p><b>　　引 言</b></p><p>　　在當(dāng)今信息產(chǎn)業(yè)蓬勃發(fā)展的今

21、天，信息已經(jīng)成為一種關(guān)鍵性的戰(zhàn)略資源，計(jì)算機(jī)技術(shù)在人們的生活中已經(jīng)起到了越來越重要的作用。校園作為知識(shí)基地和人才基地，它理應(yīng)成為代表信息產(chǎn)業(yè)應(yīng)用最成功的典范。一所成功的學(xué)校不僅在學(xué)術(shù)上、教育上要力爭上游，更應(yīng)在管理上上一個(gè)臺(tái)階。通過校園信息網(wǎng)，將各處的電腦聯(lián)成一個(gè)數(shù)據(jù)網(wǎng)，實(shí)現(xiàn)各類數(shù)據(jù)的統(tǒng)一性和規(guī)范性；教職員工和學(xué)生可共享各種信息，極易進(jìn)行各種信息的交流、經(jīng)驗(yàn)的分享、討論、消息的發(fā)布、和協(xié)同工作等，從而有效地提高學(xué)校的現(xiàn)代化管理水平和教學(xué)

22、質(zhì)量，增強(qiáng)學(xué)生學(xué)習(xí)的積極性、主動(dòng)性，為信息時(shí)代培育出高素質(zhì)的人才，在學(xué)校中建立計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)是十分迫切的需要。 </p><p>　　計(jì)算機(jī)和網(wǎng)絡(luò)已經(jīng)成為各行各業(yè)在工作中的工具，是否掌握計(jì)算機(jī)的技術(shù)和應(yīng)用，已經(jīng)成為衡量一個(gè)從業(yè)者是否合格的重要標(biāo)識(shí)。作為培養(yǎng)人才的基地，在校園中就讓學(xué)生接觸計(jì)算機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)，對(duì)于培養(yǎng)合格的人才無疑是十分重要的。在現(xiàn)在這個(gè)知識(shí)爆炸的社會(huì)中，對(duì)于合格人才的要求越來越高，需要他們掌握大

23、量的各類知識(shí)，在教育中需要提高教學(xué)效率?，F(xiàn)在出現(xiàn)了許多新的教學(xué)方法，以各種方式提高學(xué)生對(duì)知識(shí)的掌握速度，在與前人同樣的時(shí)間內(nèi)，掌握比前人更多的知識(shí)，而這些教學(xué)方法，需要利用計(jì)算機(jī)網(wǎng)絡(luò)才能實(shí)現(xiàn)。高等院校除了作為人才培養(yǎng)基地外，也是重要的科研基地，每年有大量的課題在高校中進(jìn)行，研究人員需要收集資料、與同行交流研究心得等，促使研究的進(jìn)展，作為全球最大的信息源和交流方式，計(jì)算機(jī)網(wǎng)絡(luò)正是最合適的選擇。</p><p>　　

24、隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)設(shè)備的價(jià)格不斷下降。同時(shí)國家各級(jí)政府對(duì)于教育的投入不斷增加，大量計(jì)算機(jī)進(jìn)入了校園，組建校園網(wǎng)不僅是十分迫切的工作，可行性也非常高。隨著寬帶城域網(wǎng)的建設(shè)，校園網(wǎng)的業(yè)務(wù)，也進(jìn)一步向公眾網(wǎng)擴(kuò)展，其中遠(yuǎn)程教育就成為一項(xiàng)極富發(fā)展?jié)摿Φ某怯蚓W(wǎng)寬帶業(yè)務(wù)。</p><p><b>　　第1章 需求分析</b></p><p>　　學(xué)院有北校區(qū)、新

25、校區(qū)兩個(gè)校區(qū)（我們的方案只包括新校區(qū)），占地90.1萬平方米?，F(xiàn)有教職工807名，其中具有正高職稱的教師85人、具有副高職稱的教師185人、具有碩士及以上學(xué)位的教師669人本部校區(qū)有學(xué)生宿舍樓6幢，教學(xué)樓11幢另外還有3幢階梯教室，科研樓1幢，行政辦公樓1幢，圖書館一幢、活動(dòng)中心3幢以及餐廳1幢。安陽工學(xué)院平面圖如圖1-1、1-2所示。</p><p>　　圖1-1 安陽工學(xué)院平面圖</p><

26、;p>　　圖1-2 安陽工學(xué)院平面圖詳解</p><p><b>　　1.1 用戶需求</b></p><p>　　隨著校園網(wǎng)用戶數(shù)目與新的應(yīng)用需求不斷增加，特別是網(wǎng)上多媒體及遠(yuǎn)程教育應(yīng)用的展開，對(duì)校園網(wǎng)主干帶寬提出了新的更高的要求，因此希望： </p><p>　?。?）支持IP多目廣播（Multicast）與服務(wù)質(zhì)量（QoS）或服務(wù)類

27、型，具有高可靠性和開放性的校園網(wǎng)絡(luò)，采用Internet上的標(biāo)準(zhǔn)協(xié)議TCP/IP協(xié)議，提供校園內(nèi)部及面向全球的WWW服務(wù)、FTP服務(wù)、電子郵件服務(wù)，實(shí)現(xiàn)與國際互聯(lián)網(wǎng)的完全接軌。</p><p>　　（2）支持虛擬局域網(wǎng)絡(luò)（VLAN）。 </p><p>　　（3）網(wǎng)管軟件應(yīng)具備對(duì)接入層交換設(shè)備進(jìn)行遠(yuǎn)程可操作的能力（如在網(wǎng)絡(luò)中心對(duì)接入交換機(jī)進(jìn)行針對(duì)端口IP過濾條件的遠(yuǎn)程設(shè)置）。 </p

28、><p>　?。?）考慮今后會(huì)大量使用無線網(wǎng)，本次的組網(wǎng)方案在非主體區(qū)將用無線網(wǎng)絡(luò)進(jìn)行覆蓋，以確保全校所有區(qū)域可以進(jìn)入網(wǎng)絡(luò)聯(lián)接，如學(xué)校圖書館內(nèi)、體育場、及培訓(xùn)中心等地方使用，以滿足師生們更靈活的需求。 </p><p>　　（5)要求管理上方便，采用模塊化設(shè)計(jì)。 </p><p><b>　　1.2應(yīng)用需求</b></p><p

29、><b>　　1.電子郵件功能</b></p><p>　　校園網(wǎng)信息平臺(tái)應(yīng)有功能強(qiáng)大的郵件系統(tǒng),可以為每個(gè)使用者建立自己的信箱,安全保密又極大地方便了通信。許多事務(wù)處理均可以通過郵件提醒,高效便利。 </p><p>　　2.科研環(huán)境應(yīng)用系統(tǒng)</p><p>　　科研環(huán)境應(yīng)用系統(tǒng)多集中在各實(shí)驗(yàn)室和多功能競賽及多功能報(bào)告廳，主要是實(shí)驗(yàn)的環(huán)

30、境和課外學(xué)習(xí)的環(huán)境，這類網(wǎng)絡(luò)應(yīng)用可能需要較高的帶寬以滿足多媒體實(shí)驗(yàn)環(huán)境。 </p><p><b>　　3.電子教學(xué)</b></p><p>　　電子教學(xué)是搭建校園網(wǎng)的首要目標(biāo)，這部分應(yīng)用復(fù)雜多樣，且有很大一部分多媒體數(shù)據(jù)的傳遞，因此對(duì)網(wǎng)絡(luò)性能和傳輸質(zhì)量有較高的要求，可以用高速以太網(wǎng)連接來實(shí)現(xiàn)。電子教學(xué)校的具體形式有：多媒體教學(xué)、多媒體網(wǎng)絡(luò)教室、電子圖書館。 <

31、/p><p><b>　　4.無線網(wǎng)絡(luò)</b></p><p>　　隨著國家對(duì)中國教育行業(yè)的更加重視并加大投入，中國教育網(wǎng)的建設(shè)得到了國家更大的支持并得到了更加廣泛的應(yīng)用，并已經(jīng)成為一種其它方式不能代替的獲得資源的重要手段，因此教師和學(xué)生對(duì)網(wǎng)絡(luò)的依賴也越來越強(qiáng)，隨時(shí)隨地能夠從網(wǎng)絡(luò)獲得相要的資源成為教育用戶追求的目標(biāo)。一般來說，如教室、圖書館、會(huì)議室等地方一般是不可能布設(shè)太

32、多信息點(diǎn)的，但是隨著學(xué)生中筆記本電腦的普及和現(xiàn)代化教學(xué)的普及，上述場所往往在同一時(shí)刻有大量的電腦，而目前的有線校園網(wǎng)沒有辦法使學(xué)生們?cè)谶@些區(qū)域都能夠上網(wǎng)。采用無線方式，在有限的信息點(diǎn)上連接無線接入器，就可以輕松地從一個(gè)信息點(diǎn)擴(kuò)展到成百上千個(gè)信息點(diǎn)的應(yīng)用。</p><p><b>　　5.寬帶上網(wǎng)</b></p><p>　　在信息化的今天，人們已經(jīng)把網(wǎng)絡(luò)當(dāng)成獲取信息的

33、重要的源泉，而WEB應(yīng)用則起到了舉足輕重的作用。絕大多數(shù)的人都是通過瀏覽WEB頁面來獲取新知。校園網(wǎng)應(yīng)該是寬帶上網(wǎng)的前沿陣地，學(xué)生們可以通過網(wǎng)絡(luò)獲取豐富的知識(shí)，增加與其他學(xué)校學(xué)生，甚至其他國家學(xué)生交流的機(jī)會(huì)。寬帶的網(wǎng)絡(luò)相比窄帶的撥號(hào)有著非常大的優(yōu)勢，通過寬帶上網(wǎng)就能夠真正實(shí)現(xiàn)網(wǎng)上沖浪。</p><p><b>　　1.3服務(wù)系統(tǒng)需求</b></p><p><b

34、>　　1.認(rèn)證和計(jì)費(fèi)</b></p><p>　　教學(xué)區(qū)、宿舍區(qū)用戶對(duì)校園網(wǎng)、教育網(wǎng)、Internet的訪問有相應(yīng)的認(rèn)證措施和計(jì)費(fèi)策略。 </p><p><b>　　2.上網(wǎng)方式多樣</b></p><p>　　采用雙網(wǎng)形式，即校園網(wǎng)和寬帶。校園網(wǎng)用戶通過給定的帳號(hào)上網(wǎng)，防止盜用IP等現(xiàn)象的發(fā)生；寬帶用戶由電信分配IP，不同

35、的上網(wǎng)方式對(duì)應(yīng)不同的計(jì)費(fèi)策略。 </p><p><b>　　1.4 硬件需求</b></p><p>　　硬件是架構(gòu)校園網(wǎng)的基礎(chǔ),選擇硬件產(chǎn)品時(shí)，需要選擇兼容性好、擴(kuò)展性強(qiáng)的設(shè)備，并且在選擇過程中綜合設(shè)備的性能價(jià)格等多方面的因素，而且該設(shè)備廠家必須能夠提供良好的售前及售后服務(wù)，解除用戶的后顧之憂，所以在校園網(wǎng)硬件架構(gòu)上，包含了許多方面，可以分成以下幾個(gè)方面： <

36、;/p><p>　　網(wǎng)絡(luò)設(shè)備的選擇主要指網(wǎng)絡(luò)服務(wù)器、防火墻、無線控制器、交換機(jī)及路由器等，而中心交換機(jī)和網(wǎng)絡(luò)服務(wù)器是網(wǎng)絡(luò)的核心。 </p><p>　　1.服務(wù)器：它是整個(gè)校園網(wǎng)中最重要的設(shè)備，它的選擇應(yīng)該遵從高可靠性、高性能、高吞吐能力和具有友好的人機(jī)界面的特點(diǎn)。根據(jù)校園網(wǎng)的特點(diǎn)，可設(shè)置有www服務(wù)器、ftp服務(wù)器、語音服務(wù)器等。有條件的還可以設(shè)置視頻點(diǎn)播服務(wù)器，可以實(shí)現(xiàn)通過網(wǎng)絡(luò)參與視頻圖像

37、的點(diǎn)播和廣播。 </p><p>　　2.交換機(jī)：在選擇交換機(jī)設(shè)備時(shí)用戶一定要考慮管理的問題。尤其是針對(duì)規(guī)模較大的校園網(wǎng)絡(luò)結(jié)構(gòu)中，管理型的交換機(jī)被普遍使用。如果建立的只是小型網(wǎng)絡(luò)，不需要使用中心網(wǎng)絡(luò)管理機(jī)制，應(yīng)該購買普通無管理能力的交換機(jī)，節(jié)省這筆資金 。</p><p>　　3.路由器(Router)：它用于連接網(wǎng)絡(luò)層、數(shù)據(jù)層、物理層，執(zhí)行不同協(xié)議的網(wǎng)絡(luò)協(xié)議轉(zhuǎn)換，是內(nèi)網(wǎng)區(qū)用戶訪問Inte

38、rnet不可缺少的設(shè)備，為了內(nèi)網(wǎng)數(shù)據(jù)的安全及限制內(nèi)網(wǎng)區(qū)用戶對(duì)外部網(wǎng)絡(luò)的訪問權(quán)限，在校園網(wǎng)的網(wǎng)絡(luò)中心可以設(shè)置一臺(tái)具有防火墻功能的路由器，通過廣域網(wǎng)接口經(jīng)由DDN專線（或ADSL）接入中國教育科研網(wǎng)。路由器上的一個(gè)以太網(wǎng)接口作為內(nèi)網(wǎng)連接端口，另一個(gè)可以用作校內(nèi)網(wǎng)絡(luò)中心服務(wù)器組等對(duì)外網(wǎng)絡(luò)設(shè)備網(wǎng)段使用的端口。</p><p>　　4.防火墻（Fire Wall）：也稱防護(hù)墻，它是一項(xiàng)信息安全的防護(hù)系統(tǒng)，依照特定的規(guī)則，允

39、許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng)，而另一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外部網(wǎng)絡(luò)之間的通信都要經(jīng)過防火墻。</p><p>　　防火墻的基本特性：內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻；只有符合安全策略的數(shù)據(jù)流才能通過防火墻；防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力。</p><p>　　1.5傳輸介質(zhì)的選擇</p><p>

40、　　在從中心交換機(jī)到各子網(wǎng)的傳輸介質(zhì)選擇方面，應(yīng)以應(yīng)用需求為主，適當(dāng)考慮成本。由于校園網(wǎng)分布范圍較廣，從核心交換機(jī)到匯聚交換機(jī)之間，線纜全部使用單模光纖。 </p><p>　　1.6 校園網(wǎng)安全需求</p><p>　　校園網(wǎng)絡(luò)作為學(xué)校重要的基礎(chǔ)設(shè)施，擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對(duì)外交流等許多角色。校園網(wǎng)安全狀況直接影響著學(xué)校的教學(xué)活動(dòng)。</p><p>　　校園

41、網(wǎng)絡(luò)安全主要考慮以下幾方面要求：各個(gè)部門、系所訪問網(wǎng)絡(luò)的控制，各單位之間在未經(jīng)授權(quán)的情況下，不能相互訪問。內(nèi)部網(wǎng)中要建立防火墻，即禁止外部用戶未經(jīng)許可訪問內(nèi)部的數(shù)據(jù)，或者內(nèi)部用戶未經(jīng)許可訪問外部數(shù)據(jù)。 </p><p>　　對(duì)安全問題的考慮主要是兩個(gè)方面：校園網(wǎng)是一個(gè)開放的系統(tǒng)，它不需要與政府或商業(yè)公司的一樣的網(wǎng)絡(luò)安全保密性；校園網(wǎng)應(yīng)該安全的，它不應(yīng)該受到惡意的攻擊而無法運(yùn)行，一些科研成果也不應(yīng)該對(duì)任何人都開放。

42、主要利用虛擬局域網(wǎng)技術(shù)和防火墻技術(shù)來合理解決安全與開放的問題。 </p><p>　　第2章 設(shè)計(jì)目標(biāo)和設(shè)計(jì)原則</p><p>　　2.1 校園網(wǎng)設(shè)計(jì)目標(biāo)</p><p>　　上網(wǎng)主體區(qū)為學(xué)生宿舍和辦公區(qū)域，所以本次重點(diǎn)建設(shè)針對(duì)學(xué)生宿舍和辦公區(qū)以及實(shí)驗(yàn)樓的網(wǎng)絡(luò)系統(tǒng)?？紤]今后會(huì)大量使用無線網(wǎng)，本次的方案在非主體區(qū)將采用無線網(wǎng)絡(luò)進(jìn)行覆蓋，比如圖使館、階梯教室、活動(dòng)中

43、心等人員流動(dòng)頻繁的區(qū)域。 </p><p>　　由于要保證辦公網(wǎng)的正常使用，本次方案將把宿舍區(qū)和辦公區(qū)進(jìn)行分劃，以確保辦公區(qū)的網(wǎng)絡(luò)不受學(xué)生宿舍區(qū)的影響。實(shí)現(xiàn)網(wǎng)絡(luò)資源的最大化應(yīng)用。考慮學(xué)生網(wǎng)絡(luò)使用不同，采用雙網(wǎng)方式，可以由學(xué)生決定上校園網(wǎng)或是互聯(lián)網(wǎng)。充分考慮系統(tǒng)的各種應(yīng)用服務(wù)器的資源占用情況，結(jié)合學(xué)校的發(fā)展配置相應(yīng)得當(dāng)?shù)母鞣N應(yīng)用服務(wù)器及其相應(yīng)軟件。由于組網(wǎng)方案特殊性，把網(wǎng)絡(luò)分成三層進(jìn)行配置，核心層使雙核心冗余，匯聚

44、層和接入層均采用星型。 </p><p><b>　　2.2設(shè)計(jì)原則</b></p><p>　　2.2.1 網(wǎng)絡(luò)設(shè)計(jì)的基本原則</p><p>　　校園網(wǎng)建設(shè)是一項(xiàng)大型網(wǎng)絡(luò)工程，各個(gè)學(xué)校需要根據(jù)自身的實(shí)際情況來制定網(wǎng)絡(luò)設(shè)計(jì)原則。該學(xué)校網(wǎng)絡(luò)需要具有包括圖書信息、學(xué)校行政辦公等綜合業(yè)務(wù)信息管理系統(tǒng)，為廣大教職工、科研人員和學(xué)生提供一個(gè)在網(wǎng)絡(luò)環(huán)境下

45、進(jìn)行教學(xué)和科研工作的先進(jìn)平臺(tái)。校園網(wǎng)覆蓋整個(gè)學(xué)校校園，網(wǎng)絡(luò)設(shè)計(jì)一般應(yīng)遵循下列5個(gè)基本原則： </p><p>　　1.可靠性和高性能 </p><p>　　網(wǎng)絡(luò)必須是可靠的，包括網(wǎng)絡(luò)物理級(jí)別的可靠性，如服務(wù)器、風(fēng)扇、電源、線路等；以及網(wǎng)絡(luò)邏輯級(jí)別的可靠性，如路由、交換的匯聚，鏈路冗余，負(fù)載均衡等。網(wǎng)絡(luò)必須具有足夠高的性能，滿足業(yè)務(wù)的需要。 </p><p>　　2

46、.實(shí)用性和經(jīng)濟(jì)性 </p><p>　　由于學(xué)校資金并不是很充足，不可能一步到位。另一方面，學(xué)校的應(yīng)用水平參差不齊，某些系統(tǒng)即使安裝了也利用不起來，因此，在校園網(wǎng)的建設(shè)過程中，系統(tǒng)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實(shí)效的方針，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則。 </p><p>　　3.可擴(kuò)展性和易升級(jí)性 </p><p>　　系統(tǒng)要有可擴(kuò)展性和易升級(jí)性，隨著學(xué)院不斷的擴(kuò)招，業(yè)務(wù)

47、的增長和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能隨著技術(shù)的發(fā)展不斷升級(jí)。設(shè)備應(yīng)選用符合國際標(biāo)準(zhǔn)的系統(tǒng)和產(chǎn)品，以保證系統(tǒng)具有較長的生命力和擴(kuò)展能力，滿足將來系統(tǒng)升級(jí)的要求。 </p><p>　　4.易管理、易維護(hù) </p><p>　　由于校園骨干網(wǎng)絡(luò)系統(tǒng)規(guī)模龐大，應(yīng)用豐富而復(fù)雜，需要網(wǎng)絡(luò)系統(tǒng)具有良好的可管理性，網(wǎng)管系統(tǒng)具有監(jiān)測、故障診斷、故障隔離

48、、過濾設(shè)置等功能，以便于系統(tǒng)的管理和維護(hù)。同時(shí)應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品，以便于管理和維護(hù)。 </p><p>　　2.2.2 此次校園網(wǎng)的設(shè)計(jì)原則</p><p>　　校園網(wǎng)是為學(xué)校師生提供教學(xué)、管理、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)；是學(xué)校信息化教學(xué)環(huán)境的基礎(chǔ)設(shè)施和實(shí)現(xiàn)各項(xiàng)管理的物質(zhì)基礎(chǔ)；是建立遠(yuǎn)程教育體系的基本保證。采用成熟、先進(jìn)的技術(shù)和設(shè)計(jì)思想，運(yùn)用現(xiàn)有的系統(tǒng)集成的技

49、術(shù)，強(qiáng)調(diào)系統(tǒng)先進(jìn)、實(shí)用、開放、安全、使用方便和易于擴(kuò)充等特點(diǎn)，突出系統(tǒng)功能的完善，實(shí)現(xiàn)辦公現(xiàn)代化、信息資源化和傳輸網(wǎng)絡(luò)化。其設(shè)計(jì)方案應(yīng)注意以下原則： </p><p>　　1.先進(jìn)性 技術(shù)上的先進(jìn)性將保證處理數(shù)據(jù)的高效率、系統(tǒng)工作的靈活性、網(wǎng)絡(luò)的可靠性，技術(shù)上的先進(jìn)性也使系統(tǒng)的擴(kuò)充和維護(hù)變得十分簡單。 </p><p>　　2.可靠性 從網(wǎng)絡(luò)骨干線路的冗余備份、網(wǎng)絡(luò)核心設(shè)備的冗余備

50、份和電源冗余備份等方面保證成都信息工程學(xué)院校園網(wǎng)的可靠性。 </p><p>　　3.可管理性 網(wǎng)絡(luò)管理基于SNMP，并支持RMON和RMON2，以及標(biāo)準(zhǔn)的 MIB。利用模塊化的管理界面和簡潔的操作方式，合理的網(wǎng)絡(luò)規(guī)劃策略，提供強(qiáng)大的網(wǎng)絡(luò)管理功能。一體化的網(wǎng)絡(luò)管理使網(wǎng)絡(luò)日常的維護(hù)和操作變得直觀，便捷和高效。 </p><p>　　4.安全性 內(nèi)部網(wǎng)絡(luò)之間、內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)之間的

51、互聯(lián)，利用VLAN 、防火墻等對(duì)訪問進(jìn)行控制，確保網(wǎng)絡(luò)的安全。 </p><p>　　5.可擴(kuò)展性 學(xué)校規(guī)模在不斷擴(kuò)大，用戶數(shù)在持續(xù)增加，要求網(wǎng)絡(luò)具有很好的擴(kuò)展性，能夠根據(jù)需要繼續(xù)逐步升級(jí) 。</p><p>　　6.實(shí)用性 網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)在性能價(jià)格比方面充分體現(xiàn)系統(tǒng)的實(shí)用性，既要采用先進(jìn)的技術(shù)，又能在經(jīng)費(fèi)允許的條件下實(shí)現(xiàn)建網(wǎng)目標(biāo)。 </p><p>　　2.

52、2.3模塊化設(shè)計(jì)原則</p><p>　　所謂模塊化就是將把整個(gè)網(wǎng)絡(luò)按功能和安全需求分為若干個(gè)組件，這些組件之間有一定的安全邊界，組件內(nèi)部有完整的網(wǎng)絡(luò)設(shè)計(jì)。模塊化設(shè)計(jì)的好處在于： </p><p>　　1.解決各網(wǎng)絡(luò)之間的沖突問題； </p><p>　　2.簡化安裝和后臺(tái)設(shè)備管理； </p><p>　　3.易于故障檢測和分離問題；

53、 </p><p>　　4.易于執(zhí)行不同類型的服務(wù)和安全方針。 </p><p>　　一個(gè)完整的模塊化設(shè)計(jì)如圖2-1所示。</p><p>　　圖 2-1 模塊化網(wǎng)絡(luò)設(shè)計(jì)圖</p><p>　　校園網(wǎng)的設(shè)計(jì)可以借鑒這種思想，對(duì)各種不同種類，不同安全等級(jí)的業(yè)務(wù)進(jìn)行模塊劃分，相互之間的訪問將受到控制。當(dāng)然，在實(shí)際情況中并不一定要求嚴(yán)格按照上述

54、模塊劃分，而是根據(jù)實(shí)際情況靈活運(yùn)用，做適當(dāng)?shù)牟脺p與調(diào)整。 </p><p>　　2.2.4層次化的設(shè)計(jì)</p><p>　　對(duì)于大型網(wǎng)絡(luò)，可以采用典型的“核心層-匯聚層-接入層”層次化網(wǎng)絡(luò)設(shè)計(jì)模型。如圖2-2所示。 </p><p>　　圖2-2 層次化網(wǎng)絡(luò)設(shè)計(jì)圖</p><p>　　核心層: 核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，骨

55、干層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能最好盡量少在骨干層上實(shí)施。核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以對(duì)核心層的設(shè)計(jì)以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格。核心層設(shè)備將占投資的主要部分。 核心層需要考慮冗余設(shè)計(jì)。</p><p>　　匯聚層: 匯聚層顧名思義就是作為接入層到骨干層的匯聚，通常為訪問層與骨干層實(shí)現(xiàn)基于策略的網(wǎng)絡(luò)間連接。匯聚層主要由三層交換機(jī)組成，提供對(duì)網(wǎng)絡(luò)流量模式控制

56、、服務(wù)訪問控制、QoS、定義路由路徑度量（path metric）和路由協(xié)議通告網(wǎng)絡(luò)的控制。 </p><p>　　接入層: 接入層作為各模塊到交換骨干的連接，根據(jù)不同模塊進(jìn)行邏輯子網(wǎng)劃分，并通過VLAN技術(shù)實(shí)現(xiàn)子網(wǎng)之間的隔離。訪問層主要功能在于隔離模塊間的廣播流量，避免不同模塊之間相互影響。訪問層主要通過二層交換機(jī)組成。 </p><p>　　“核心層-匯聚層-訪問層”層次化網(wǎng)絡(luò)設(shè)計(jì)模型

57、有如下優(yōu)點(diǎn)： </p><p>　　1.高可擴(kuò)展性 遵循層次化模型網(wǎng)絡(luò)比扁平式網(wǎng)絡(luò)更具有的伸縮性和可管理性，因?yàn)楦鞴δ芫W(wǎng)絡(luò)通過模塊化實(shí)現(xiàn)，潛在問題更易于識(shí)別。 </p><p>　　2.易于實(shí)施 每一層的功能性清晰劃分，簡化每一層的實(shí)現(xiàn)。 </p><p>　　3.易于故障排除 每一層的功能經(jīng)過良好定義，網(wǎng)絡(luò)更為簡單，有助于故障的隔離。模塊化設(shè)計(jì)也有效限制故

58、障影響范圍。 </p><p>　　4.易于規(guī)劃和管理 層次化的功能劃分，整個(gè)網(wǎng)絡(luò)規(guī)劃和管理更為簡單。 </p><p>　　第3章 網(wǎng)絡(luò)構(gòu)架和主要應(yīng)用技術(shù)</p><p><b>　　3.1網(wǎng)絡(luò)架構(gòu)</b></p><p>　　安陽工學(xué)院網(wǎng)絡(luò)設(shè)計(jì)上規(guī)劃為3個(gè)大的區(qū)域，分別為宿舍區(qū)、教學(xué)區(qū)和綜合區(qū)。其中宿舍區(qū)包含1

59、-6號(hào)宿舍樓；其中教學(xué)區(qū)分為11棟教學(xué)樓14個(gè)學(xué)院，綜合區(qū)包括圖書館、3棟階梯教室、1棟科研樓、1棟辦公樓、餐廳和活動(dòng)中心。</p><p>　　我們將圖書館作為中心，對(duì)全院的網(wǎng)絡(luò)進(jìn)行控制，并將網(wǎng)絡(luò)分為：宿舍區(qū)、教學(xué)樓區(qū)、綜合區(qū)，其中綜合區(qū)包括有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)。 </p><p>　　首先向大家大概闡述安陽工學(xué)院校園網(wǎng)邏輯拓?fù)淙鐖D3-1所示。</p><p>　　

60、圖3-1 安陽工學(xué)院園區(qū)網(wǎng)邏輯拓?fù)鋱D</p><p>　　校園網(wǎng)整體采用核心層、區(qū)域匯聚、樓宇匯聚、接入層4層網(wǎng)絡(luò)架構(gòu)。在每個(gè)區(qū)域的局域網(wǎng)采用三層網(wǎng)絡(luò)結(jié)構(gòu)即：區(qū)域核心--樓宇匯聚--樓宇接入。具體拓?fù)淙鐖D3-2所示。</p><p>　　圖3-2 區(qū)域拓?fù)鋱D</p><p>　　校園網(wǎng)的全局物理拓?fù)淙鐖D3-3所示。</p><p>　　圖3-

61、3 校園網(wǎng)整體拓?fù)鋱D</p><p>　　3.2網(wǎng)絡(luò)中應(yīng)用的主要技術(shù)</p><p><b>　　3.2.1路由技術(shù)</b></p><p>　　路由協(xié)議通過在路由器之間共享路由信息來支持可路由協(xié)議。路由信息在相鄰路由器之間傳遞，確保所有路由器知道到其它網(wǎng)段的路徑。總之，路由協(xié)議生成了路由表，描述了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，執(zhí)行路由選擇和數(shù)據(jù)包轉(zhuǎn)發(fā)功能。路

62、由協(xié)議是用來確定到達(dá)路徑的，它包括動(dòng)態(tài)路由協(xié)議和靜態(tài)路由協(xié)議。靜態(tài)路由需要管理員手動(dòng)指定，并且不會(huì)隨網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的變化而變化，因此靜態(tài)路由僅適用于小型網(wǎng)絡(luò)。動(dòng)態(tài)路由協(xié)議可自動(dòng)根據(jù)拓?fù)浣Y(jié)構(gòu)的變化而調(diào)整路由，比較智能，適用于大中型網(wǎng)絡(luò)。</p><p>　　本次校園網(wǎng)設(shè)計(jì)中采用開放最短路徑優(yōu)先路由協(xié)議（OSPF）。OSPF是動(dòng)態(tài)路由協(xié)議，基于鏈路狀態(tài)算法，可以自動(dòng)根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的變化調(diào)整選擇路徑，不受網(wǎng)絡(luò)規(guī)模的限制

63、。同時(shí)，采用組播泛洪，觸發(fā)更新，使網(wǎng)絡(luò)收斂速度快。除此之外，OSPF還具有如下優(yōu)點(diǎn)：支持無類域間路由（CIDR），支持區(qū)域劃分，無路由自環(huán)，支持多路徑等價(jià)和不等價(jià)負(fù)載均衡，支持簡單口令和MD5認(rèn)證。</p><p>　　3.2.2 HSRP</p><p>　　熱備份路由器協(xié)議（HSRP）的設(shè)計(jì)目標(biāo)是支持特定情況下 IP 流量失敗轉(zhuǎn)移不會(huì)引起混亂、并允許主機(jī)使用單路由器，以及即使在實(shí)際第一

64、跳路由器使用失敗的情形下仍能維護(hù)路由器間的連通性。實(shí)現(xiàn)HSRP的條件是系統(tǒng)中有多臺(tái)路由器，它們組成一個(gè)“熱備份組”，這個(gè)組形成一個(gè)虛擬路由器。在任意時(shí)刻，一個(gè)組內(nèi)只有一個(gè)路由器是活動(dòng)的，并由它來轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動(dòng)路由器發(fā)生了故障，將選擇一個(gè)備份路由器來替代活動(dòng)路由器，但是在本網(wǎng)絡(luò)內(nèi)的主機(jī)看來，虛擬路由器沒有改變。所以主機(jī)仍然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器切換的問題。</p><p>　　

65、HSRP的工作原理：負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動(dòng)路由器（Active Router）。一旦主動(dòng)路由器出現(xiàn)故障，HSRP 將激活備份路由器（Standby Routers）取代主動(dòng)路由器。HSRP 協(xié)議提供了一種決定使用主動(dòng)路由器還是備份路由器的機(jī)制，并指定一個(gè)虛擬的 IP 地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。如果主動(dòng)路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動(dòng)路由器的所有任務(wù)，并且不會(huì)導(dǎo)致主機(jī)連通中斷現(xiàn)象。HSR

66、P協(xié)議利用一個(gè)優(yōu)先級(jí)方案來決定哪個(gè)配置了HSRP協(xié)議的路由器成為默認(rèn)的主動(dòng)路由器。如果一個(gè)路由器的優(yōu)先級(jí)設(shè)置的比所有其他路由器的優(yōu)先級(jí)高，則該路由器成為主動(dòng)路由器。路由器的缺省優(yōu)先級(jí)是100，所以如果只設(shè)置一個(gè)路由器的優(yōu)先級(jí)高于100，則該路由器將成為主動(dòng)路由器。</p><p><b>　　3.2.3鏈路聚合</b></p><p>　　鏈路聚合（Link Aggr

67、egation），是指將多個(gè)物理端口捆綁在一起，成為一個(gè)邏輯端口，以實(shí)現(xiàn)出/入流量在各成員端口中的負(fù)荷分擔(dān)，交換機(jī)根據(jù)用戶配置的端口負(fù)荷分擔(dān)策略決定報(bào)文從哪一個(gè)成員端口發(fā)送到對(duì)端的交換機(jī)。當(dāng)交換機(jī)檢測到其中一個(gè)成員端口的鏈路發(fā)生故障時(shí)，就停止在此端口上發(fā)送報(bào)文，并根據(jù)負(fù)荷分擔(dān)策略在剩下鏈路中重新計(jì)算報(bào)文發(fā)送的端口，故障端口恢復(fù)后再次重新計(jì)算報(bào)文發(fā)送端口。鏈路聚合在增加鏈路帶寬、實(shí)現(xiàn)鏈路傳輸彈性和冗余等方面是一項(xiàng)很重要的技術(shù)。</p

68、><p>　　鏈路聚合的原理：邏輯鏈路的帶寬是原來的n倍，這里，n為聚合的路數(shù)。另外，聚合后，可靠性大大提高，因?yàn)?，n條鏈路中只要有一條可以正常工作，則這個(gè)鏈路就可以工作。除此之外，鏈路聚合可以實(shí)現(xiàn)負(fù)載均衡。因?yàn)?，通過鏈路聚合連接在一起的兩個(gè)（或多個(gè)）交換機(jī)（或其他網(wǎng)絡(luò)設(shè)備），通過內(nèi)部控制，也可以合理地將數(shù)據(jù)分配在被聚合連接的設(shè)備上，實(shí)現(xiàn)負(fù)載分擔(dān)。</p><p><b>　　3.2

69、.4交換技術(shù)</b></p><p>　　三層交換（也稱多層交換技術(shù)）是相對(duì)于傳統(tǒng)交換概念而提出的。眾所周知，傳統(tǒng)的交換技術(shù)是在OSI網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的第二層——數(shù)據(jù)鏈路層進(jìn)行操作的，而三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實(shí)現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)。簡單地說，三層交換技術(shù)就是：二層交換技術(shù)+三層轉(zhuǎn)發(fā)技術(shù)。</p><p>　　交換原理：假設(shè)兩個(gè)使用IP協(xié)議的站點(diǎn)A、B通過第三層交換機(jī)進(jìn)

70、行通信，發(fā)送站點(diǎn)A在開始發(fā)送時(shí)，把自己的IP地址與B站的IP地址比較，判斷B站是否與自己在同一子網(wǎng)內(nèi)。若目的站B與發(fā)送站A在同一子網(wǎng)內(nèi)，則進(jìn)行二層的轉(zhuǎn)發(fā)。若兩個(gè)站點(diǎn)不在同一網(wǎng)段內(nèi)，如發(fā)送站A要與目的站B通信，發(fā)送站A要向“缺省網(wǎng)關(guān)”發(fā)出ARP(地址解析)封包，而“缺省網(wǎng)關(guān)”的IP地址其實(shí)是三層交換機(jī)的三層交換模塊。當(dāng)發(fā)送站A對(duì)“缺省網(wǎng)關(guān)”的IP地址廣播出一個(gè)ARP請(qǐng)求時(shí)，如果三層交換模塊在以前的通信過程中已經(jīng)知道B站的MAC地址，則向發(fā)

71、送站A回復(fù)B的MAC地址。否則三層交換模塊根據(jù)路由信息向B站廣播一個(gè)ARP請(qǐng)求，B站得到此ARP請(qǐng)求后向三層交換模塊回復(fù)其MAC地址，三層交換模塊保存此地址并回復(fù)給發(fā)送站A,同時(shí)將B站的MAC地址發(fā)送到二層交換引擎的MAC地址表中。從這以后，當(dāng)A向B發(fā)送的數(shù)據(jù)包便全部交給二層交換處理，信息得以高速交換。由于僅僅在路由過程中才需要三層處理，絕大部分?jǐn)?shù)據(jù)都通過二層交換轉(zhuǎn)發(fā)，因此三層交換機(jī)的速度很快，接近二層交換機(jī)的速度，同時(shí)比相同路由器的價(jià)

72、格低很多。</p><p>　　3.2.5生成樹技術(shù)</p><p>　　生成樹協(xié)議是用來維護(hù)一個(gè)無環(huán)路的交換網(wǎng)絡(luò)。在由網(wǎng)橋/交換機(jī)構(gòu)成的交換網(wǎng)絡(luò)中通常設(shè)計(jì)有冗余鏈路和冗余設(shè)備。這種設(shè)計(jì)的目的是防止一條鏈路或一臺(tái)交換機(jī)發(fā)生故障導(dǎo)致整個(gè)網(wǎng)絡(luò)中斷。雖然冗余設(shè)計(jì)可以消除單點(diǎn)故障問題，但也導(dǎo)致了二層交換網(wǎng)絡(luò)中環(huán)路的產(chǎn)生，它會(huì)帶來如下問題：廣播風(fēng)暴，單播幀的重復(fù)傳送，MAC地址表不穩(wěn)定。廣播風(fēng)暴將嚴(yán)

73、重影響網(wǎng)絡(luò)和主機(jī)性能，會(huì)導(dǎo)致網(wǎng)絡(luò)癱瘓。因此，在交換網(wǎng)絡(luò)中必須有一個(gè)機(jī)制來阻止回路，而生成樹恰好是為解決這一問題而設(shè)計(jì)的。</p><p>　　在本次校園網(wǎng)設(shè)計(jì)中，采用PVST（每個(gè)VLAN生成樹）協(xié)議。每VLAN生成樹(PVST)為在網(wǎng)絡(luò)中配置的每個(gè)VLAN維護(hù)一個(gè)生成樹實(shí)例。它使用ISL中繼和允許一個(gè)VLAN中繼，當(dāng)被其它VLANs阻塞時(shí)將一些VLANs轉(zhuǎn)發(fā)。盡管PVST對(duì)待每個(gè)VLAN作為一個(gè)單獨(dú)的網(wǎng)絡(luò)，它有

74、能力在一些主干和在其它主干中的不引起VLANs環(huán)路的情況下來負(fù)載平衡通信。</p><p>　　3.2.6 VPN技術(shù)</p><p>　　VPN即虛擬專用網(wǎng)技術(shù)，屬于遠(yuǎn)程訪問技術(shù)，簡單地說就是利用公用網(wǎng)絡(luò)架設(shè)專用網(wǎng)絡(luò)。例如某公司員工出差到外地，他想訪問企業(yè)內(nèi)網(wǎng)的服務(wù)器資源，這種訪問就屬于遠(yuǎn)程訪問。VPN網(wǎng)關(guān)通過對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問。VPN有多種分類方式，主要是

75、按協(xié)議進(jìn)行分類。VPN可通過服務(wù)器、硬件、軟件等多種方式實(shí)現(xiàn)。VPN具有成本低，易于使用的特點(diǎn)。</p><p>　　3.2.7無線接入技術(shù)</p><p>　　無線接入技術(shù)是無線通信的關(guān)鍵問題。它是指通過無線介質(zhì)將用戶終端與網(wǎng)絡(luò)節(jié)點(diǎn)連接起來，以實(shí)現(xiàn)用戶與網(wǎng)絡(luò)間的信息傳遞。無線信道傳輸?shù)男盘?hào)應(yīng)遵循一定的協(xié)議，這些協(xié)議即構(gòu)成無線接入技術(shù)的主要內(nèi)容。無線接入技術(shù)與有線接入技術(shù)的一個(gè)重要區(qū)別在于

76、可以向用戶提供移動(dòng)接入業(yè)務(wù)。無線接入網(wǎng)是指部分或全部采用無線電波這一傳輸媒質(zhì)連接用戶與交換中心的一種接入技術(shù)。</p><p><b>　　無線傳輸?shù)膬?yōu)勢：</b></p><p>　　（1）綜合成本低，性能更穩(wěn)定。</p><p>　?。?）組網(wǎng)靈活，可擴(kuò)展性好，即插即用。</p><p><b>　?。?）

77、維護(hù)費(fèi)用低。</b></p><p>　　3.2.8安全技術(shù)（VLAN 、ACL）</p><p>　　VLAN（Virtual Local Area Network）的中文名為“虛擬局域網(wǎng)”。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。</p><p><b>　　VLAN的優(yōu)點(diǎn)：</b&g

78、t;</p><p>　　1.限制網(wǎng)絡(luò)上的廣播 將網(wǎng)絡(luò)劃分為多個(gè)VLAN可減少參與廣播風(fēng)暴的設(shè)備數(shù)量。防止廣播風(fēng)暴波及整個(gè)網(wǎng)絡(luò)。使用VLAN，可以將某個(gè)交換端口或用戶賦予某一個(gè)特定的VLAN組，該VLAN組可以在一個(gè)交換網(wǎng)中跨接多個(gè)交換機(jī)，在一個(gè)VLAN中的廣播不會(huì)傳播到其他的VLAN。這樣可以減少廣播流量，釋放帶寬給用戶應(yīng)用，減少廣播的產(chǎn)生。</p><p>　　2.增強(qiáng)局域網(wǎng)的安全性

79、 含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性。不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備。</p><p>　　3.網(wǎng)絡(luò)管理方便 因?yàn)橛邢嗨凭W(wǎng)絡(luò)需求的用戶將共享同一個(gè)VLAN。</p><p>　　4.增加靈活性 借助VLAN技術(shù)，

80、能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境，就像使用本地LAN一樣方便、靈活、有效。</p><p><b>　　ACL訪問控制列表</b></p><p>　　信息點(diǎn)間通信和內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達(dá)到對(duì)訪問進(jìn)行控制的目的。簡而言之，AC

81、L可以過濾網(wǎng)絡(luò)中的流量，是控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。</p><p><b>　　ACL的作用：</b></p><p>　　1.ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如，ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級(jí)。</p><p>　　2.ACL提供對(duì)通信流量的控制手段。例如，ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器

82、某一網(wǎng)段的通信流量。</p><p>　　3.ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。ACL允許主機(jī)A訪問人力資源網(wǎng)絡(luò)，而拒絕主機(jī)B訪問。</p><p>　　4.ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。</p><p><b>　　3.2.9 NAT</b></p><p>　　NAT（Network

83、 Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是將IP 數(shù)據(jù)包頭中的IP 地址轉(zhuǎn)換為另一個(gè)IP 地址的過程。在實(shí)際應(yīng)用中，NAT 主要用于實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問公共網(wǎng)絡(luò)的功能。這種通過使用少量的公有IP 地址代表較多的私有IP 地址的方式，將有助于減緩可用IP地址空間的枯竭。</p><p>　　NAT不僅能解決了IP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。<

84、/p><p>　　NAT的實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換Static Nat、動(dòng)態(tài)轉(zhuǎn)換Dynamic Nat和端口多路復(fù)用PAT。</p><p>　　NAT工作原理：借助于NAT，私有（保留）地址的“內(nèi)部”網(wǎng)絡(luò)通過路由器發(fā)送數(shù)據(jù)包時(shí)，私有地址被轉(zhuǎn)換成合法的IP地址，一個(gè)局域網(wǎng)只需使用少量IP地址即可實(shí)現(xiàn)私有地址網(wǎng)絡(luò)內(nèi)所有計(jì)算機(jī)與Internet的通信需求。NAT將自動(dòng)修改IP報(bào)文的源IP地址和目

85、的IP地址，IP地址校驗(yàn)則在NAT處理過程中自動(dòng)完成。如圖3-4所示。</p><p>　　圖3-4 NAT的具體工作流程圖</p><p>　　圖3-4 NAT轉(zhuǎn)化細(xì)節(jié)圖</p><p><b>　　第4章 無線網(wǎng)絡(luò)</b></p><p><b>　　4.1無線局域網(wǎng)</b></p>

86、;<p>　　無線局域網(wǎng)(Wireless Local Area Networks，簡稱WLAN)是相當(dāng)便利的數(shù)據(jù)傳輸系統(tǒng)，它利用射頻(Radio Frequency，簡稱RF)的技術(shù)，取代傳統(tǒng)雙絞線所構(gòu)成的局域網(wǎng)絡(luò)，它作為有線局域網(wǎng)的補(bǔ)充和延伸，使得通信的移動(dòng)化和個(gè)性化成為了可能。</p><p>　　常用的計(jì)算機(jī)無線通信技術(shù)有光波和無線電波。光波包括紅外線和激光，但由于光波易受天氣影響，不具備穿

87、透能力，難以實(shí)際應(yīng)用。無線電波包括短波、超短波和微波等。</p><p>　　4.2 WLAN的主要技術(shù)標(biāo)準(zhǔn)</p><p>　　目前最普及、應(yīng)用最廣泛的是802.11b無線標(biāo)準(zhǔn)，2001年，IEEE通過了802.11g標(biāo)準(zhǔn)，它向下兼容802.11a、802.11b的同時(shí)，網(wǎng)絡(luò)吞吐速率54Mbps，而802.11n標(biāo)準(zhǔn)是IEEE推出的最新標(biāo)準(zhǔn)，它通過采用智能天線技術(shù)，可以將WLAN的傳輸速

88、率由目前802.11a及802.11g提供的54Mbps、108Mbps，提供到300Mbps甚至是600Mbps，引起了市場很大反響。</p><p>　　4.3構(gòu)建無線校園網(wǎng)的優(yōu)勢</p><p>　　有線網(wǎng)絡(luò)在很多場合受到布線的制約；布線、改線工程量大；線路易于損壞；固定的網(wǎng)絡(luò)各節(jié)點(diǎn)無法移動(dòng)。遇到網(wǎng)絡(luò)盲點(diǎn)時(shí)，須鋪設(shè)專用通信線路，成本高，難度大、耗時(shí)長，線路一旦出現(xiàn)故障排查、維修不便，

89、無線校園網(wǎng)較之有線校園網(wǎng)，具有以下幾點(diǎn)優(yōu)勢：</p><p>　　1.網(wǎng)絡(luò)綜合成本低 隨著近幾年無線網(wǎng)絡(luò)設(shè)備不斷普及，無線網(wǎng)絡(luò)成本已經(jīng)接近甚至低于傳統(tǒng)有線網(wǎng)絡(luò)成本，而在網(wǎng)絡(luò)施工上，無線網(wǎng)絡(luò)最大的優(yōu)勢就是免去或減少了網(wǎng)絡(luò)布線的工作量，鋪設(shè)無須掘溝埋管，省去了大量線路鋪設(shè)的費(fèi)用和時(shí)間。</p><p>　　2.網(wǎng)絡(luò)覆蓋面廣 只要安裝了一個(gè)或多個(gè)無線接入點(diǎn)AP設(shè)備，就可建立覆蓋整個(gè)建筑或地區(qū)

90、的局域網(wǎng)絡(luò)，它不受環(huán)境條件制約，網(wǎng)絡(luò)的傳輸范圍得到了拓寬，借助于外接天線（做鏈接），傳輸距離則可以達(dá)到30～50公里甚至更遠(yuǎn)，這要視天線本身的增益而定。</p><p>　　3.組網(wǎng)靈活方便 無線局域網(wǎng)可以按當(dāng)時(shí)的需要容量來安裝設(shè)備，甚至可以“現(xiàn)用現(xiàn)裝”而傳統(tǒng)有線網(wǎng)絡(luò)，網(wǎng)絡(luò)設(shè)備的安放位置受到網(wǎng)絡(luò)信息點(diǎn)位置的限制，一旦無線局域網(wǎng)建成后，在無線網(wǎng)的信號(hào)覆蓋區(qū)域內(nèi)任何一個(gè)位置都可以接入網(wǎng)絡(luò)，進(jìn)行通訊。</p&g

91、t;<p>　　4.強(qiáng)大的移動(dòng)性 無線局域網(wǎng)的一個(gè)重大特性就是可以“隨時(shí)、隨地”地實(shí)現(xiàn)無線通信。VoIP、資源共享、網(wǎng)絡(luò)教學(xué)、視頻會(huì)議等許多基于無線通信的技術(shù)將大大方便了師生們工作、學(xué)習(xí)。</p><p>　　4.4無線校園的應(yīng)用范圍</p><p><b>　　基礎(chǔ)無線應(yīng)用 </b></p><p>　　多數(shù)高校建設(shè)無線網(wǎng)的目

92、的，主要是解決難于進(jìn)行綜合布線的公共區(qū)域（如會(huì)議中心、圖書館等）上網(wǎng)問題。</p><p><b>　　無線化教學(xué) </b></p><p>　　無線校園網(wǎng)可以對(duì)教學(xué)資源進(jìn)行有效地整合和利用，其中包括已經(jīng)存儲(chǔ)在服務(wù)器中的資料，以及正在上的某一節(jié)課，從而改變傳統(tǒng)的教學(xué)方式，解決了很多學(xué)校學(xué)生多機(jī)器少，排課困難的問題。而且可以有更多的交互性，學(xué)校精品課程、優(yōu)秀教師的課堂錄

93、像資料等可以通過VOD視頻點(diǎn)播、AOD音頻點(diǎn)播，學(xué)生可以分享優(yōu)秀教學(xué)資源提高了學(xué)習(xí)的效率和質(zhì)量。</p><p>　　4.5無線網(wǎng)絡(luò)的設(shè)計(jì)原則</p><p>　　依照802.11b/g無線局域網(wǎng)的國際規(guī)范和國家無線電管理委員會(huì)的標(biāo)準(zhǔn)，在進(jìn)行實(shí)際的網(wǎng)絡(luò)設(shè)計(jì)時(shí)，我們會(huì)遵循下列原則：</p><p>　　1.先進(jìn)性原則 采用先進(jìn)的設(shè)計(jì)思想，選用先進(jìn)的網(wǎng)絡(luò)設(shè)備，使網(wǎng)絡(luò)在

94、今后一定時(shí)期內(nèi)保持技術(shù)上的先進(jìn)性。 </p><p>　　2.可伸展性原則 網(wǎng)絡(luò)設(shè)計(jì)在充分考慮當(dāng)前情況的同時(shí)，必須考慮到今后較長時(shí)期內(nèi)業(yè)務(wù)發(fā)展的需要，留有充分的升級(jí)和擴(kuò)充的可能性。 </p><p>　　3.安全性原則 網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)必須貫徹安全性原則，以防止來自網(wǎng)絡(luò)內(nèi)部和外部的各種破壞。 </p><p>　　4.可靠性原則 網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)必須貫徹

95、可靠性原則，使網(wǎng)絡(luò)系統(tǒng)具有很高的可用性。 </p><p>　　5.可管理性原則 網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的可管理性，使得網(wǎng)絡(luò)管理人員能方便及時(shí)地掌握諸如網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)性能統(tǒng)計(jì)、網(wǎng)絡(luò)故障等信息，能簡便地對(duì)網(wǎng)絡(luò)進(jìn)行配置和調(diào)整，確保網(wǎng)絡(luò)工作在良好狀態(tài)。 </p><p>　　6.靈活性原則 在本無線網(wǎng)絡(luò)的設(shè)計(jì)中采用定點(diǎn)無線網(wǎng)絡(luò)和移動(dòng)無線網(wǎng)絡(luò)相結(jié)合的特點(diǎn)。這樣可以使無線網(wǎng)絡(luò)更加靈活，尤其是活

96、動(dòng)熱點(diǎn)地區(qū)。</p><p>　　4.6無線網(wǎng)絡(luò)的安全機(jī)制</p><p>　　4.6.1密碼加密機(jī)制</p><p>　　因?yàn)闊o線網(wǎng)絡(luò)是一個(gè)大的共享式網(wǎng)絡(luò)，在無線信號(hào)覆蓋范圍內(nèi)，終端設(shè)備發(fā)送和接受的信息都是以廣播形式傳遞。這導(dǎo)致了無線網(wǎng)絡(luò)的很不安全，因?yàn)槿魏我粋€(gè)終端發(fā)送的數(shù)據(jù)包，都會(huì)在無線網(wǎng)絡(luò)中廣播發(fā)送，若其他別有用心的人用抓包軟件抓包，就可以竊取別人數(shù)據(jù)包中的信

97、息。這種不安全性給無線網(wǎng)絡(luò)帶來了巨大的安全威脅。然而，也不必過度擔(dān)憂，我們可以給無線網(wǎng)絡(luò)加密，提高無線網(wǎng)絡(luò)的安全性。比如：</p><p>　　1.使用WPA2加密——WPA2是最新的安全運(yùn)算法則，它貫徹到了整個(gè)無線系統(tǒng)，可以從配置屏幕中進(jìn)行選取。</p><p>　　2.使用十個(gè)字符以上的密碼——即便是比較新的加密方案，如WPA2，也可以被那些自動(dòng)套取密碼的進(jìn)程攻克。不見得要用長而難記的

98、密碼，大可以使用一些表達(dá)，如“makemywirelessnetworksecure”等取代原來較短的密碼?；蛘呤褂酶鼮閺?fù)雜的密碼，如“w1f1p4ss”。這類密碼更具安全性。 </p><p>　　3.不要使用標(biāo)準(zhǔn)的SSID——許多無線路由器都自帶默認(rèn)的無線網(wǎng)絡(luò)名稱，也就是我們所知道的SSID，如“netgear”或“l(fā)inksys”，大多數(shù)用戶都不會(huì)想到要對(duì)這些名稱進(jìn)行更改。 WPA2加密將SSID作為密碼的

99、一部分來使用。</p><p>　　4.在密碼中，添加數(shù)字，特殊符號(hào)和大小寫字母——復(fù)雜的密碼增加了字符數(shù)，這樣便會(huì)增加密碼破解的難度。例如，如果你的密碼包含四個(gè)字節(jié)，但你僅使用了數(shù)字，那么可能的密碼就是10的四次方，即10000個(gè)。如果你只使用小寫字母，那么密碼的可能性達(dá)到36的四次方。這樣就迫使攻擊者測試巨大數(shù)量的密碼，從而增加他解密的時(shí)間。</p><p>　　4.6.2用戶權(quán)限的分

100、配控制機(jī)制</p><p>　　為何要進(jìn)行用戶權(quán)限的分配控制？</p><p>　　校園網(wǎng)面對(duì)的是處于青春躁動(dòng)期的年輕學(xué)生，他們求知欲強(qiáng)，好奇心重，精力旺盛，更有強(qiáng)烈的表現(xiàn)欲，校園網(wǎng)首當(dāng)其沖容易成為他們實(shí)驗(yàn)的目標(biāo)。</p><p>　　在校園里，不知來源的廣播風(fēng)暴擾亂整個(gè)網(wǎng)絡(luò)運(yùn)行，一些自詡“民間高手”的學(xué)生對(duì)節(jié)點(diǎn)發(fā)起攻擊，大量的P2P應(yīng)用，私設(shè)DHCP服務(wù)器過一把癮

101、的情況時(shí)有發(fā)生，加上橫行不絕的垃圾郵件，蠕蟲病毒擴(kuò)散，讓校園網(wǎng)這個(gè)青春時(shí)尚的網(wǎng)絡(luò)表現(xiàn)得和它的使用者一樣多變而躁動(dòng)，令校園網(wǎng)管理人員防不勝防。</p><p>　　如何實(shí)現(xiàn)用戶權(quán)限的分配控制？</p><p>　　結(jié)合802.1X用戶認(rèn)證可以實(shí)現(xiàn)對(duì)用戶權(quán)限的靈活分配。目前可基于用戶的源IP和用戶所屬VLAN實(shí)現(xiàn)對(duì)用戶權(quán)限權(quán)限控制。在本方案中宿舍區(qū)，實(shí)驗(yàn)樓科教區(qū)使用統(tǒng)一認(rèn)證的方式來進(jìn)行上網(wǎng)，辦

102、公及教室區(qū)使用單機(jī)綁定MAC地址及IP地址的方式實(shí)現(xiàn)上網(wǎng)需求。方案中所選用的接入層交換機(jī)具有DHCP OPTION82的功能，可以實(shí)現(xiàn)按用戶權(quán)限分配IP地址的功能。該功能能更靈活、更有效地實(shí)現(xiàn)校園網(wǎng)的運(yùn)營。 </p><p>　　第5章 網(wǎng)絡(luò)的地址規(guī)劃和主要配置</p><p>　　5.1 VLAN的劃分</p><p>　　表5-1 VLAN劃分</p&g

103、t;<p>　　服務(wù)器集群地址 172.32.0.0/24</p><p>　　防火墻內(nèi)聯(lián)地址 10.0.21.0/24 10.0.22.0/24</p><p>　　防火墻外聯(lián)地址 211.84.0.0/15 202.0.176.0/22</p><p>　　移動(dòng)運(yùn)營商地址 202.0.176.0/22 112.0.0.0/10 117.12

104、8.0.0/10 221.176.0.0/13 218.206.0.0/15</p><p>　　教育網(wǎng)地址段 211.84.0.0/15 162.105.0.0/16 211.64.0.0/13 211.80.0.0/13 219.222.0.0/15 219.242.0.0/15</p><p>　　5.2設(shè)備的主要配置</p&g

105、t;<p><b>　　5.2.1基本配置</b></p><p>　　基本配置包括設(shè)備的命名，配置登陸密碼，登陸旗標(biāo)，IP地址等。具體配置如下：</p><p>　　switch#config terminal</p><p>　　switch(config)#hostname SW1 //修改交換機(jī)的名字</

106、p><p>　　SW1(config)#line console 0 //進(jìn)入交換機(jī)的控制臺(tái)端口</p><p>　　SW1 (config-line)#password cisco //設(shè)置控制臺(tái)登陸密碼cisco</p><p>　　SW1 (config-line)#login</p><p>　　SW1 (config

107、-line)#exit</p><p>　　SW1 (config)#line vty 0 4 //進(jìn)入交換機(jī)的遠(yuǎn)程登陸端口</p><p>　　SW1 (config-line)#password cisco //設(shè)置遠(yuǎn)程登陸密碼cisco</p><p>　　SW1 (config-line)#login</p><p

108、>　　SW1 (config-line)#exit</p><p>　　SW1 (config)#banner motd #</p><p><b>　　warning.</b></p><p>　　----------------------------------------------------------------------

109、-------------------------------</p><p>　　WARNING:You are connected to the cisco system,Incorporated network.</p><p>　　Unauthorized access and use of this network will be vigorously prosecuted.&l

110、t;/p><p>　　------------------------------------------------------------------------------------------------------</p><p>　　# //設(shè)置每日登陸旗標(biāo)</p><p>　　配置結(jié)果如圖5-1所示。

111、</p><p>　　圖5-1 基本配置顯示圖</p><p>　　5.2.2 HSRP 的配置</p><p>　　HSRP路由熱備協(xié)議，主要作用是當(dāng)網(wǎng)絡(luò)中主路由器發(fā)生故障時(shí)，主路由器上的業(yè)務(wù)不會(huì)中斷，而是自動(dòng)切換到備份路由器上，從而保障業(yè)務(wù)正常。具體配置如下：</p><p>　　Core_1(config)#int vlan 1<