引言近年來，隨著教學(xué)手段的不斷進(jìn)步以及計算機(jī)網(wǎng)絡(luò)技術(shù)在學(xué)校中應(yīng)用的日益普及，校園網(wǎng)絡(luò)化、教學(xué)智能化成為各學(xué)校競相角逐的熱點，校園網(wǎng)已成為各學(xué)校必備的重要信息基礎(chǔ)設(shè)施，其規(guī)模和應(yīng)用水平已成為衡量學(xué)校教學(xué)與科研綜合實力的一個重要標(biāo)志。發(fā)展校園局域網(wǎng)應(yīng)有長遠(yuǎn)的規(guī)劃，爭取利用現(xiàn)有的網(wǎng)絡(luò)技術(shù)和通信技術(shù)，將校園局域網(wǎng)建設(shè)成經(jīng)濟(jì)實用的現(xiàn)代化校園網(wǎng)，同時實現(xiàn)與其他兄弟院校之間的相互聯(lián)系和信息資源共享，逐漸實現(xiàn)教育科研信息共享，各種功能齊全的網(wǎng)絡(luò)管理系統(tǒng)。校園局域網(wǎng)項目實現(xiàn)后，將極大的提升學(xué)校在日常教學(xué)信息管理、人員辦公自動化、計算機(jī)輔助教學(xué)、教學(xué)資源制作的自動化、圖書和情報檢索等重要服務(wù)上的效率。校園局域網(wǎng)規(guī)劃設(shè)計目標(biāo)：1.實現(xiàn)校園內(nèi)部資源共享學(xué)校領(lǐng)導(dǎo)和教師能通過及時、準(zhǔn)確地查詢教學(xué)活動中的信息，掌握當(dāng)前教學(xué)情況。并通過對信息的統(tǒng)計、匯總及分析，為教學(xué)、科研管理提供服務(wù)，同時對學(xué)校各級管理層對學(xué)校的規(guī)劃、組織、決策提供了便捷的信息渠道和科學(xué)的管理手段，及時有效的指定、修改教學(xué)計劃。2.完備的數(shù)據(jù)庫管理系統(tǒng)和資源庫能夠支持大量的圖文聲像素材、多媒體課件片段，數(shù)據(jù)文件的收集、管理、存儲的提取。數(shù)據(jù)算法需要檢索方便，容錯性強(qiáng)。3.以教學(xué)資源庫為核心的教學(xué)自學(xué)環(huán)境為學(xué)校教師提供制作環(huán)境、備課工具、良好的教學(xué)演播環(huán)境以及教學(xué)評估機(jī)制。為學(xué)生提供自主學(xué)習(xí)、交互式協(xié)作學(xué)習(xí)、發(fā)現(xiàn)探究式學(xué)習(xí)的良好學(xué)習(xí)環(huán)境和提供自我評價機(jī)制。利用現(xiàn)代教育技術(shù)，提高學(xué)生的素質(zhì)，改革課堂教學(xué)模式。4.現(xiàn)代化管理方法和管理手段加強(qiáng)對學(xué)校的人、財、物的管理，提高辦公效率、降低成本消耗，逐步實現(xiàn)辦公自動化、網(wǎng)絡(luò)化。5.實現(xiàn)校園網(wǎng)與互聯(lián)網(wǎng)的連接建立學(xué)校主頁、教師主頁、學(xué)生個人主頁、電子郵箱、電子公告牌等信息發(fā)布窗口，發(fā)布有關(guān)教育教學(xué)信息，建立起學(xué)校、教師、家長、學(xué)生之間的信息交流平臺，并逐步發(fā)展建設(shè)成為一個面向全省、全國的教育教學(xué)信息網(wǎng)站。1緒論校園網(wǎng)的建設(shè)將為“數(shù)字化校園”提供高可靠性的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和高性能、高安全性的服務(wù)在一個平臺上，讓整個學(xué)校的教學(xué)、科研、管理和服務(wù)工作都實現(xiàn)信息化和網(wǎng)絡(luò)化，使教師、學(xué)生、科研人員和行政管理人員等都可以最方便地實現(xiàn)信息的交流、進(jìn)行協(xié)同工作和資源共享，搞好校園網(wǎng)的建設(shè)，有利于增強(qiáng)學(xué)校辦學(xué)水平與社會競爭力。因此，建設(shè)高效實用的、安全的高級校園網(wǎng)，是大勢所趨。本文將運用比較前沿的技術(shù)協(xié)議去部署校園網(wǎng)絡(luò)，主要有VLAN技術(shù)的配置；GVRP協(xié)議的配置；Trunk技術(shù)的配置，MSTP協(xié)議的配置；VRRP協(xié)議的配置；OSPF動態(tài)路由協(xié)議跟靜態(tài)路由協(xié)議的結(jié)合等等，保障網(wǎng)絡(luò)運行的穩(wěn)定性。防火墻使用雙機(jī)熱備技術(shù)，保障網(wǎng)絡(luò)的高可靠性。嚴(yán)格按照等保2.0《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》的要求，部署相關(guān)的網(wǎng)絡(luò)安全防護(hù)措施，保障校園網(wǎng)的安全性。本次設(shè)計方案滿足了一個園區(qū)網(wǎng)絡(luò)的應(yīng)有功能，此方案的優(yōu)點有：控制簡單；故障診斷和隔離容易；可擴(kuò)展性強(qiáng)，方便服務(wù)。2計算機(jī)網(wǎng)絡(luò)2.1計算機(jī)網(wǎng)絡(luò)計算機(jī)網(wǎng)絡(luò)，簡單地說，就是通過電纜、電話線或無線通訊將兩臺以上的計算機(jī)互連起來的集合。它包括：計算機(jī)、網(wǎng)絡(luò)操作系統(tǒng)、傳輸介質(zhì)（可以是有形的，也可以是無形的，如無線網(wǎng)絡(luò)的傳輸介質(zhì)就是空氣）以及相應(yīng)的應(yīng)用軟件四部分。計算機(jī)網(wǎng)絡(luò)如按網(wǎng)絡(luò)的組建規(guī)模和地域范圍來劃分的話，可分為局域網(wǎng)(LocalAreaNetwork,LAN)、城域網(wǎng)(MetropolitanAreaNetwork,MAN)、廣域網(wǎng)(WideAreaNetwork,WAN)。我們經(jīng)常用到的因特網(wǎng)(Internet)屬于廣域網(wǎng)，校園網(wǎng)屬局域網(wǎng)。未來的網(wǎng)絡(luò)技術(shù)將向著使用簡單、高速快捷、多網(wǎng)合一、安全保密的方向發(fā)展。2.2局域網(wǎng)簡介局域網(wǎng)，是指范圍在幾百米到十幾公里內(nèi)辦公樓群或校園內(nèi)的計算機(jī)相互連接所構(gòu)成的，外部設(shè)備和數(shù)據(jù)庫等互相聯(lián)接起來組成的計算機(jī)通信網(wǎng)，簡稱LAN。2.2.1局域網(wǎng)的組成一個典型的局域網(wǎng)主要應(yīng)包含如下四個部分：1.服務(wù)器（Server）：用來管理網(wǎng)絡(luò)并為用戶提供共享服務(wù)的計算機(jī)。與網(wǎng)絡(luò)中的工作站相比，服務(wù)器通常具有更快的速率、更大的存儲容量和更高的可靠性。此外，為了便于對網(wǎng)絡(luò)進(jìn)行管理，服務(wù)器中通常應(yīng)安裝相應(yīng)的網(wǎng)絡(luò)操作系統(tǒng)，如NovellNetware,WindowsNT/2000Server,UNIX等。2.工作站（Workstation）：用戶使用的計算機(jī)，又稱用戶機(jī)或客戶機(jī)。從網(wǎng)絡(luò)構(gòu)成的角度看，任何一臺計算機(jī)（如286、386、486、PⅢ、P4等）都可作為工作站。當(dāng)工作站登錄到網(wǎng)絡(luò)服務(wù)器后，可按規(guī)定權(quán)限存取服務(wù)器中的文件。此外，工作站通常還可以與網(wǎng)絡(luò)中的其他用戶進(jìn)行通信或訪問Internet。3.網(wǎng)絡(luò)通信系統(tǒng)（NetworkCommunicationsSystem）：連接工作站和服務(wù)器的設(shè)備。這些設(shè)備通常應(yīng)包括插在服務(wù)器或工作站中的網(wǎng)卡，它們應(yīng)與通信介質(zhì)相連；用于傳輸數(shù)據(jù)介質(zhì)，如同軸電纜、雙絞線、光纖等；專用的通信設(shè)備，如集線器（HUB）、局域網(wǎng)交換機(jī)、路由器等。4.網(wǎng)絡(luò)操作系統(tǒng)（NetworkOperatingSystem）：對于稍在一點的網(wǎng)絡(luò)來說，為了充分發(fā)揮網(wǎng)絡(luò)的功能，以及更好地管理網(wǎng)絡(luò)，通常應(yīng)在服務(wù)器中安裝網(wǎng)絡(luò)操作系統(tǒng)。例如，基于安全起見，企業(yè)的幾乎所有重要數(shù)據(jù)（如財務(wù)、銷售等）都被保存在服務(wù)器中，并非每個人都能訪問這些數(shù)據(jù)。通常情況下，只有企業(yè)負(fù)責(zé)人擁有最高權(quán)限，而其他人只能查看部分?jǐn)?shù)據(jù)。此時就是借助網(wǎng)絡(luò)操作系統(tǒng)來對資源和用戶進(jìn)行管理的，它規(guī)定了用戶的權(quán)限，以及用戶所能訪問的資源。2.2.2局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)所謂局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)，是指局域網(wǎng)中各計算機(jī)之間的連接形式。如果拋開構(gòu)建局域網(wǎng)時所采用的通信介質(zhì)、通信設(shè)備等，局域網(wǎng)中各計算機(jī)之間的學(xué)用連接形式實際上只有兩種，即總線型與星型。在總線型網(wǎng)絡(luò)中，由于各計算機(jī)共享一條通信電纜，網(wǎng)絡(luò)中某個節(jié)點出現(xiàn)故障，將導(dǎo)致整個網(wǎng)絡(luò)癱瘓。因此，目前這類結(jié)構(gòu)的網(wǎng)絡(luò)已趨于淘汰。星型網(wǎng)絡(luò)的優(yōu)點是，當(dāng)網(wǎng)絡(luò)中某個節(jié)點出現(xiàn)故障時不會影響整個網(wǎng)絡(luò)的運行。其缺點是每個計算機(jī)都要占用一條專用的通信線路，并且需要額外的通信設(shè)備，將導(dǎo)致成本的增加。但是，由于目前各種硬件設(shè)備價格都已非常便宜，所以，現(xiàn)在絕大部分局域網(wǎng)都采用了這種結(jié)構(gòu)。本次設(shè)計我們使用的是星型結(jié)構(gòu)，如圖2-1所示：圖2-1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖2.2.3局域網(wǎng)規(guī)范事實上各種網(wǎng)絡(luò)結(jié)構(gòu)都是有章可循的，這就是局域網(wǎng)規(guī)范（或稱為局域網(wǎng)標(biāo)準(zhǔn)）。從大的方面講，根據(jù)網(wǎng)絡(luò)的工作原理，目前的局域網(wǎng)大致可分為三類，即以太網(wǎng)、令牌環(huán)網(wǎng)和ARPNET網(wǎng)。其中，以太網(wǎng)是目前局域網(wǎng)中采用最多的通信協(xié)議標(biāo)準(zhǔn)，它采用CSMA/CD(載波監(jiān)聽多路訪問/沖突檢測)技術(shù)進(jìn)行信息傳遞。該標(biāo)準(zhǔn)定義了在局域網(wǎng)中采用的電纜類型和信息處理方法，在互聯(lián)設(shè)備之間可以10～100Mbit/s的速率傳送信息包，目前約80％的局域網(wǎng)都是以太網(wǎng)。由于技術(shù)的發(fā)展和用戶要求的多樣性，以太網(wǎng)又被細(xì)分成了一系列規(guī)范。例如，10Base2以太網(wǎng)規(guī)范定義了構(gòu)建以細(xì)同軸電纜為通信介質(zhì)，網(wǎng)絡(luò)通信速率為10Mbit/s，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為總線型的局域網(wǎng)的技術(shù)指標(biāo)；10BaseT以太網(wǎng)規(guī)范定義了構(gòu)建以雙絞線為通信介質(zhì)，網(wǎng)絡(luò)通信速率為10Mbit/s，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為星型的局域網(wǎng)指標(biāo)。一般來說，每種局域網(wǎng)規(guī)范都規(guī)定了如下幾項指標(biāo)：·網(wǎng)絡(luò)通信速率，例如，10Mbit/s、100Mbit/s及1000Mbit/s等?！ぞ钟蚓W(wǎng)的結(jié)構(gòu)，例如，采用總線型或星型?！に褂玫耐ㄐ沤橘|(zhì)，例如，同軸電纜、雙絞線或光纖。其中，每種介質(zhì)中又包含了多個子類，例如，雙絞線就包括了3類、4類、5類及超5類雙絞線等。·所使用的網(wǎng)卡類型，其中包括數(shù)據(jù)傳輸速率與接口類型。例如，要構(gòu)建10BaseT星型以太網(wǎng)，網(wǎng)卡的數(shù)據(jù)傳輸速率必須為10Mbit/s，且必須帶有RJ-45接口。·網(wǎng)絡(luò)中所能支持的最大用戶數(shù)量。例如，構(gòu)建廉價的細(xì)同軸電纜總線型網(wǎng)絡(luò)時，每個網(wǎng)段中的用戶數(shù)不能超過30。·距離要求。由于隨著距離的增加，信號會逐漸衰減，因此，各種局域網(wǎng)規(guī)范都對各種距離（如通信設(shè)備與計算機(jī)之間，各種通信設(shè)備之間等）有明確的要求。例如，在構(gòu)建以集線器為核心的雙絞線星型網(wǎng)絡(luò)時，集線器與計算機(jī)之間的距離通常不超過100m。2.2.4局域網(wǎng)的結(jié)構(gòu)類型局域網(wǎng)的結(jié)構(gòu)決定了局域網(wǎng)的管理方式，當(dāng)我們創(chuàng)建一個局域網(wǎng)時，通常應(yīng)遵循如下步驟來進(jìn)行：⑴明確自己的需求，即希望局域網(wǎng)具備哪些功能。⑵在綜合考慮局域網(wǎng)功能、現(xiàn)有軟硬件的特點與價格、網(wǎng)絡(luò)的可管理性與可擴(kuò)充性等因素的基礎(chǔ)上決定局域網(wǎng)的結(jié)構(gòu)。⑶根據(jù)選定的局域網(wǎng)結(jié)構(gòu)決定局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)，以及應(yīng)選擇的相關(guān)設(shè)備和軟件。⑷對局域網(wǎng)進(jìn)行配置和維護(hù)。由此可以看出，決定局域網(wǎng)的結(jié)構(gòu)是構(gòu)建局域網(wǎng)時非常重要的一環(huán)。就目前來說，局域網(wǎng)的結(jié)構(gòu)主要包括工作站/文件服務(wù)器結(jié)構(gòu)、客戶機(jī)/服務(wù)器結(jié)構(gòu)、對等網(wǎng)結(jié)構(gòu)及主機(jī)/終端系統(tǒng)等4種。1.工作站/文件服務(wù)器網(wǎng)絡(luò)在這類網(wǎng)絡(luò)中，某臺運行特定網(wǎng)絡(luò)操作系統(tǒng)的計算機(jī)被作為文件服務(wù)器，而網(wǎng)絡(luò)中的其他計算機(jī)在登錄該計算機(jī)之后，可以存取該計算機(jī)的文件。但是，文件服務(wù)器計算機(jī)并不進(jìn)行任何網(wǎng)絡(luò)應(yīng)用處理，因此，服務(wù)器的功能非常單一。這類網(wǎng)絡(luò)的主要優(yōu)點包括如下兩點：·數(shù)據(jù)的保密性和安全性較好，網(wǎng)絡(luò)管理員可以按需要授予不同訪問者不同的文件訪問權(quán)限。·網(wǎng)絡(luò)的可靠性較高，管理比較簡單。但是，這類網(wǎng)絡(luò)的缺點是非常明顯的，它也主要包括如下兩點：·網(wǎng)絡(luò)效率較低。當(dāng)網(wǎng)絡(luò)中的大量用戶都需要訪問文件服務(wù)器中的數(shù)據(jù)時，網(wǎng)絡(luò)效率會急劇下降。·網(wǎng)絡(luò)中各工作站之間不能進(jìn)行資源共享。·不能充分發(fā)揮文件服務(wù)器的運算能力。目前，這類網(wǎng)絡(luò)已逐漸讓位于客戶機(jī)/服務(wù)器網(wǎng)絡(luò)。2.客戶機(jī)/服務(wù)器網(wǎng)絡(luò)隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和人們不斷提出新的要求，網(wǎng)絡(luò)應(yīng)用中的重點早已不再局限于簡單的資源共享。人們迫切要求服務(wù)器端能夠完成一部分?jǐn)?shù)據(jù)處理工作，即將任務(wù)同時分配給服務(wù)器和客戶端共同完成。為此，人們開發(fā)出了目前最為流行的客戶機(jī)/服務(wù)器網(wǎng)絡(luò)?？蛻魴C(jī)/服務(wù)器網(wǎng)絡(luò)系統(tǒng)的主要特點如下：·目前流行的操作系統(tǒng)基本都支持這種結(jié)構(gòu)，如WindowsNT4.0Server、Windows2000/2003Server、Netware3.1以上版本等?！ぶС侄喾N客戶機(jī)，例如，客戶機(jī)可以是一臺PC或一臺工作站，且客戶機(jī)可以運行多種操作系統(tǒng)，如DOS、Windows3.x/95/98等?！げ粌H客戶機(jī)與服務(wù)器能進(jìn)行雙向通信，各客戶機(jī)之間也能直接進(jìn)行通信，而無需服務(wù)器的參與?！び捎诤芏鄳?yīng)用任務(wù)都由服務(wù)器和客戶機(jī)共同承擔(dān)，因此，系統(tǒng)響應(yīng)速度快，且對客戶機(jī)的要求可以很低。例如，客戶機(jī)可以是無盤工作站?！は到y(tǒng)的可擴(kuò)充性較好。當(dāng)系統(tǒng)規(guī)模擴(kuò)大時，不必重新設(shè)計系統(tǒng)，只需簡單地將服務(wù)器和客戶機(jī)連入網(wǎng)絡(luò)即可。對等網(wǎng)絡(luò)在對等網(wǎng)絡(luò)中，沒有專用的服務(wù)器，每個工作站既是服務(wù)器也是工作站，相互之間可以進(jìn)行通信和資源共享。目前支持對等網(wǎng)絡(luò)的操作系統(tǒng)主要有Microsoft公司的LANManager、Windows95/98及Novell公司的NetWareLite等。對等網(wǎng)絡(luò)的主要優(yōu)點是網(wǎng)絡(luò)安裝和維護(hù)非常簡單，無需專用的服務(wù)器；其缺點是網(wǎng)絡(luò)的安全性較差，且功能較弱。主機(jī)/終端網(wǎng)絡(luò)在主機(jī)/終端網(wǎng)絡(luò)系統(tǒng)中，用戶通過與主機(jī)相連的終端在主機(jī)操作系統(tǒng)的管理下共享主機(jī)的內(nèi)存、外存、中央處理器和各種輸入/輸出設(shè)備。經(jīng)過幾十年的發(fā)展，主機(jī)/終端系統(tǒng)已經(jīng)非常成熟，在可靠性、系統(tǒng)容錯、系統(tǒng)安全、開發(fā)手段、數(shù)據(jù)庫管理等方面都形成了自己的一套十分完整的體系。因此，這類系統(tǒng)被廣泛應(yīng)用于民航、銀行、軍事等大型企業(yè)中。這類系統(tǒng)的主要缺點如下：·由于這類系統(tǒng)主要面向大型企業(yè)、事業(yè)單位，生產(chǎn)數(shù)量較少，因而系統(tǒng)價格通常很高?！び捎诮K端功能比較弱（完全依賴于主機(jī)），將導(dǎo)致主機(jī)負(fù)荷比較重。局域網(wǎng)結(jié)構(gòu)與局域網(wǎng)拓?fù)浣Y(jié)構(gòu)之間的關(guān)系應(yīng)該說，局域網(wǎng)結(jié)構(gòu)與局域網(wǎng)所采用的拓?fù)浣Y(jié)構(gòu)之間沒有直接的關(guān)系。例如，對于一個小型的星型網(wǎng)絡(luò)來說，如果網(wǎng)絡(luò)中所有計算機(jī)都運行Windows98操作系統(tǒng)，那它就是一個對等望路。否則，如果某臺計算機(jī)運行了WindowsNT/2000Server網(wǎng)絡(luò)操作系統(tǒng)，那它就是一個客戶/服務(wù)器網(wǎng)絡(luò)。但是，局域網(wǎng)的結(jié)構(gòu)對局域網(wǎng)拓?fù)浣Y(jié)構(gòu)的選擇還是有影響的。例如，如果希望構(gòu)建一個客戶/服務(wù)器網(wǎng)絡(luò)，且服務(wù)器的使用的頻率很高，那么，如果選用總線型拓?fù)浣Y(jié)構(gòu)就不太合適了。其原因主要是由于此時服務(wù)器和工作站共享相同的通信通道，并擁有相同的帶寬，因而無法實現(xiàn)對服務(wù)器的“特殊照顧”。因此，此時最好構(gòu)建一個星型拓?fù)浣Y(jié)構(gòu)的交換網(wǎng)絡(luò)，且使服務(wù)器與交換機(jī)之間的通信速率高于工作站與交換機(jī)之間的連接速率。2.2.5局域網(wǎng)中計算機(jī)數(shù)量的限制如前所述，局域網(wǎng)中所能連接的計算機(jī)數(shù)量首先取決于所采用的網(wǎng)絡(luò)規(guī)范。例如，如果所構(gòu)建是10BaseT雙絞線星型以太網(wǎng)，則按照10BaseT規(guī)范，網(wǎng)絡(luò)中總的計算機(jī)數(shù)量不得超過1023臺。但是，在實際工作中，基于網(wǎng)絡(luò)效率的考慮，網(wǎng)絡(luò)中實際所能連接的計算機(jī)數(shù)量，要遠(yuǎn)遠(yuǎn)小于網(wǎng)絡(luò)規(guī)范所規(guī)定的計算機(jī)的最大數(shù)量。例如，如果構(gòu)建的是10BaseT雙絞線星型以太網(wǎng)，網(wǎng)絡(luò)中的計算機(jī)數(shù)量通常不能超過30臺。那么，如果網(wǎng)絡(luò)中的計算機(jī)數(shù)量較多，該如何解決這個問題呢？就目前來說，主要有以下幾個方法：·將網(wǎng)絡(luò)劃分為幾個網(wǎng)段，進(jìn)行分段管理，從而平衡網(wǎng)絡(luò)負(fù)荷，已擴(kuò)充網(wǎng)絡(luò)所能承載的用戶?！みx用速率更高的通信設(shè)備。例如，一個10BaseT網(wǎng)絡(luò)（采用100Mbit/s集線器和5類雙絞線，計算機(jī)中加裝100Mbit/s網(wǎng)卡）當(dāng)然要比一個10BaseT網(wǎng)絡(luò)（采用10Mbit/s集線器和3類雙絞線，計算機(jī)中加裝10Mbit/s網(wǎng)卡）快。因此，這也意味著網(wǎng)絡(luò)中能夠容納更多的計算機(jī)?！⒐蚕硎骄W(wǎng)絡(luò)改造成交換式網(wǎng)絡(luò)。在局域網(wǎng)中，以集線器構(gòu)成的網(wǎng)絡(luò)稱為共享網(wǎng)絡(luò)，此時局域網(wǎng)中的所有計算機(jī)共享一個帶寬，并且在同一時間只能有一對計算機(jī)進(jìn)行通信。對于交換式網(wǎng)絡(luò)來說，它以交換機(jī)為核心通信設(shè)備。此時各計算機(jī)都可享有單獨的帶寬，并且可以同時建立多個通信鏈路。因此，這也意味著網(wǎng)絡(luò)中能夠容納更多的計算機(jī)。3校園網(wǎng)總體規(guī)劃設(shè)計網(wǎng)絡(luò)的總體設(shè)計是建設(shè)校園網(wǎng)的工程藍(lán)圖，是搭建一個安全有效校園網(wǎng)一個最重要的任務(wù)。進(jìn)行總體設(shè)計首先需要對象研究和需求調(diào)查，對學(xué)校的信息化要求有個明確的描述。其次在需求分析的基礎(chǔ)上進(jìn)行網(wǎng)絡(luò)總體架構(gòu)的規(guī)劃，確定學(xué)校Internet服務(wù)類型，進(jìn)而確定建設(shè)的具體目標(biāo)，在這基礎(chǔ)上來設(shè)計網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，規(guī)劃設(shè)計原則。3.1校園局域網(wǎng)需求本文校園網(wǎng)工程假設(shè)范圍主要有政辦公樓、教學(xué)樓、宿舍樓、圖書館、實驗樓、信息科藝樓、學(xué)生宿舍、教學(xué)管理用房、食堂、體育館、多功能廳等在內(nèi)多個局域網(wǎng)部分。校園局域網(wǎng)的主要需求是高速、安全、便捷地傳送信息，且能夠安全穩(wěn)定的運行，在某些時刻承受高強(qiáng)度的訪問，至少能滿足千人以上的網(wǎng)絡(luò)應(yīng)用需求。初期設(shè)計對響應(yīng)時間不做特殊要求，但為了存儲數(shù)據(jù)和備份數(shù)據(jù)，網(wǎng)管中心必須建立磁盤陣列。最大限度地考慮采用符合發(fā)展趨勢的新技術(shù)，網(wǎng)絡(luò)設(shè)備必須采用成熟先進(jìn)的技術(shù)，所采用的標(biāo)準(zhǔn)要求統(tǒng)一，支持目前業(yè)界最新的網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)的標(biāo)準(zhǔn)必須符合國際/國家標(biāo)準(zhǔn)，并且擁有廣泛的支持廠商；網(wǎng)絡(luò)設(shè)備要求具有高可靠性、高穩(wěn)定性和高可用性；網(wǎng)絡(luò)設(shè)備要求提供足夠的寬帶，以適應(yīng)校園網(wǎng)上信息結(jié)構(gòu)多樣化，要求支持虛擬網(wǎng)和第三層交換，形成分布式三層交換網(wǎng)；網(wǎng)絡(luò)設(shè)備要求具有擴(kuò)展性和可升級性，能夠適應(yīng)用戶數(shù)量的擴(kuò)展，能夠保證未來網(wǎng)絡(luò)升級時的平穩(wěn)銜接，保證網(wǎng)絡(luò)通信介質(zhì)、網(wǎng)絡(luò)基本設(shè)計核心的向后兼容性；要求網(wǎng)絡(luò)易于管理，支持網(wǎng)絡(luò)的拓?fù)湟晥D、網(wǎng)段與端口的監(jiān)控；網(wǎng)絡(luò)流量及錯誤統(tǒng)計，具備計費管理、故障定位、診斷、修復(fù)和自動隔離等功能；要求網(wǎng)絡(luò)具有高的安全性。在要求網(wǎng)絡(luò)具有開放性的同時，要求保證其安全性。3.2網(wǎng)絡(luò)總體架構(gòu)規(guī)劃1.網(wǎng)絡(luò)技術(shù)選擇目前常見的局域網(wǎng)類型包括：光纖分布式數(shù)據(jù)接口(FDDI)、異步傳輸模式(ATM)、千兆以太網(wǎng)等，它們在拓?fù)浣Y(jié)構(gòu)、傳輸介質(zhì)、傳輸速率、數(shù)據(jù)格式等多方面都有許多不同。三種技術(shù)比較如下表1-1所示。表3-1網(wǎng)絡(luò)技術(shù)對比表項目FDDIATM千兆以太網(wǎng)傳輸速率100M155M/622M10~1000M訪問方式TokenProtocol信元交換帶優(yōu)先級的CSMA/CD介質(zhì)類型雙絞線、光纖雙絞線、光纖雙絞線、光纖價格高中中拓?fù)浣Y(jié)構(gòu)雙環(huán)結(jié)構(gòu)星型結(jié)構(gòu)星型結(jié)構(gòu)從表中明顯看出千兆以太網(wǎng)技術(shù)優(yōu)勢明顯，它支持10M、100M乃至1000M的各種通信速率，并有向更高帶寬(10G及以上)發(fā)展的趨勢。如今正在發(fā)展的IP交換技術(shù)也是基于以太網(wǎng)的，結(jié)合第三層交換機(jī)的路由功能，構(gòu)造幾個乃至幾十、幾百個G帶寬的網(wǎng)絡(luò)。另外，由于主要業(yè)務(wù)系統(tǒng)是建立在IP平臺上的，以太網(wǎng)技術(shù)是IP網(wǎng)絡(luò)最好的通信技術(shù)之一。采用IEEE802.1q標(biāo)準(zhǔn)以太網(wǎng)可以實現(xiàn)VLAN，而VLAN在很大程度上是保證網(wǎng)絡(luò)高效和安全的重要手段。2.校園網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)結(jié)構(gòu)采用星形網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以網(wǎng)絡(luò)中心的核心交換機(jī)為中心節(jié)點。整個網(wǎng)絡(luò)結(jié)構(gòu)采用兩層結(jié)構(gòu)：匯聚層交換機(jī)用于匯接技術(shù)接入交換機(jī)，接入層交換機(jī)用于接到桌面的計算機(jī)，對信息點較多的部門可采用級聯(lián)下一級普通交換機(jī)進(jìn)行訪問。校園網(wǎng)絡(luò)工程涉及的主要建筑包括行政辦公樓、教學(xué)樓、宿舍樓、圖書館、實驗樓、信息科藝樓、學(xué)生宿舍、教學(xué)管理用房、食堂、體育館、多功能廳等。校園網(wǎng)總拓?fù)湓O(shè)計如圖3-1所示。圖3-1校園網(wǎng)總拓?fù)鋱D中心機(jī)房設(shè)置一臺千兆核心交換機(jī)，負(fù)責(zé)整個校園網(wǎng)所有節(jié)點的數(shù)據(jù)交換，在教學(xué)樓，宿舍樓，圖書館，實驗樓等地方分別設(shè)置二級交換機(jī)節(jié)點，接入層交換機(jī)通過二級節(jié)點與核心交換機(jī)連接。聯(lián)網(wǎng)技術(shù)上采用三層的交換網(wǎng)絡(luò)，主干網(wǎng)絡(luò)采用交換式1000M以太網(wǎng)連接技術(shù)，主要用于各樓間核心設(shè)備之間以及上連到廣域網(wǎng)設(shè)備。辦公樓、教學(xué)樓、圖書館、宿舍樓之間采用光纖以全連接拓?fù)浣Y(jié)構(gòu)通過1000M交換機(jī)進(jìn)行連接。接入層采用快速交換式以太網(wǎng)通過5類雙絞線按照星型拓?fù)浣Y(jié)構(gòu)進(jìn)行連接，使內(nèi)網(wǎng)可以達(dá)到千兆。整個校園網(wǎng)設(shè)計有一個外網(wǎng)出口到Internet，帶寬為1000M。3.3網(wǎng)絡(luò)設(shè)備選型1.核心層網(wǎng)絡(luò)核心層作為校園網(wǎng)系統(tǒng)的心臟，實現(xiàn)子網(wǎng)之間的路由，提供全線速的數(shù)據(jù)交換，當(dāng)網(wǎng)絡(luò)流量較大時，對關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量提供保證。另外，作為整個網(wǎng)絡(luò)的交換中心，在保證高性能、無阻塞交換的同時，還必須保證網(wǎng)絡(luò)穩(wěn)定可靠的運行。因此在核心設(shè)備的選型和結(jié)構(gòu)設(shè)計上必須兼顧考慮整體網(wǎng)絡(luò)的高性能和高可靠性。考慮到學(xué)校網(wǎng)絡(luò)應(yīng)用的復(fù)雜性和多樣性，核心層網(wǎng)絡(luò)交換機(jī)的選型必須具備高性能、高可靠性和高可擴(kuò)展性，主要包括，硬件如電源、管理模塊、交換模塊等是否支持冗余配置，軟件如是否提供路由器冗余、端口聚合（PortTrunking）、生成樹協(xié)議（STP、RSTP）等實現(xiàn)可靠性功能的協(xié)議。結(jié)合以上要求，本次設(shè)計選用高性能、多協(xié)議的華為S7706POE模塊化交換機(jī)作為園區(qū)網(wǎng)絡(luò)的核心。華為S7706POE交換機(jī)參數(shù)配置如下：產(chǎn)品類型：路由交換機(jī)、POE交換機(jī)應(yīng)用層級：三層傳輸速率：10/100/1000Mbps交換方式：存儲-轉(zhuǎn)發(fā)背板帶寬：3.84Tbps/5.12Tbps包轉(zhuǎn)發(fā)率：1152Mpps/2880MppsMAC地址表：64K端口結(jié)構(gòu)：模塊化擴(kuò)展模塊：6個模塊化插槽傳輸模式：支持全雙工網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE802.3，IEEE802.3u，IEEE802.1s，IEEE802.1w/adVLAN：支持QOS：支持網(wǎng)絡(luò)管理：支持Console、Telnet、SSH等終端服務(wù)，支持SNMPv1/v2/v3等網(wǎng)絡(luò)管理協(xié)議，F(xiàn)TP、TFTP2.匯聚層網(wǎng)絡(luò)匯聚層介于核心層和接入層之間，主要負(fù)責(zé)接入交換機(jī)的匯聚，并與核心交換機(jī)互聯(lián)，分級實現(xiàn)校園網(wǎng)VLAN之間的路由，進(jìn)行子網(wǎng)內(nèi)部數(shù)據(jù)的交換、轉(zhuǎn)發(fā)，提供流量控制和用戶管理。根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，該院有教學(xué)樓、實驗樓、學(xué)生宿舍區(qū)、服務(wù)器群、圖書館等5個匯聚節(jié)點，均選用華為S5720-36C-EI-AC交換機(jī)提供本區(qū)域內(nèi)的第三層交換和路由功能。同時把整個網(wǎng)絡(luò)區(qū)域根據(jù)部門或功能劃分到這五個匯聚節(jié)點，進(jìn)行VLAN劃分和管理，并實現(xiàn)VLAN間的通信及訪問控制。華為S5720-36C-EI-AC系列交換機(jī)是中端、中等密度的模塊化交換機(jī)，它們提供了強(qiáng)大的2/3層智能服務(wù)。每臺華為S5720-36C-EI-AC交換機(jī)配置4個復(fù)用千兆ComboSFP、4個萬兆SFP+口，用于和核心層交換機(jī)以及部分關(guān)鍵匯聚層設(shè)備實現(xiàn)萬兆互連，同時配置28個10/100/1000Base-T以太網(wǎng)端口，用于與接入層交換機(jī)的互聯(lián)及今后發(fā)展的備用插槽。華為S5720-36C-EI-AC主要參數(shù)：產(chǎn)品類型：千兆以太網(wǎng)交換機(jī)應(yīng)用層級：三層傳輸速率：10/100/1000Mbps交換方式：存儲-轉(zhuǎn)發(fā)背板帶寬：598Gbps/5.98Tbps包轉(zhuǎn)發(fā)率：222Mpps端口數(shù)量：36擴(kuò)展模塊：提供1個擴(kuò)展插槽，可擴(kuò)展支持業(yè)務(wù)插卡：2端口萬兆SFP+接口板，2端口萬兆RJ45接口板，8端口萬兆SFP+接口板，8端口萬兆RJ45接口板，2端口QSFP+接口板或堆疊卡傳輸模式：支持全雙工網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE802.3，IEEE802.3u，IEEE802.3，IEEE802.3z，IEEE802.3x，IEEE802.3abVLAN：支持QOS：支持網(wǎng)絡(luò)管理：SNMP管理信息庫(MIB)II，SNMPMIB擴(kuò)展，橋接MIB(RFC1493)3.接入層網(wǎng)絡(luò)接入層作為用戶接入網(wǎng)絡(luò)的終端，該層主要功能是：提供各種標(biāo)準(zhǔn)接口將數(shù)據(jù)接入到網(wǎng)絡(luò)和確定基于端口的VLAN成員及數(shù)據(jù)流過濾。接入層網(wǎng)絡(luò)使用華為S5735S-L24T4S-A每個交換組最多提供144個終端的接入。其主要功能是為園區(qū)網(wǎng)用戶提供高性價比的10/100/1000兆網(wǎng)絡(luò)接口，實現(xiàn)用戶的寬帶接入。并與匯聚層通過千兆鏈路互連，為接入用戶提供高速上連。華為S5735S-L24T4S-A主要參數(shù)：產(chǎn)品類型：千兆以太網(wǎng)交換機(jī)應(yīng)用層級：二層傳輸速率：10/100/1000Mbps包轉(zhuǎn)發(fā)率：51/126Mpps交換方式：存儲-轉(zhuǎn)發(fā)背板帶寬：336Gbps/3.36Tbps端口數(shù)量：28個MAC地址表：8K3.4防火墻選擇校園網(wǎng)邊界防火墻選擇華為USG6635E-AC主要參數(shù)：防火墻類型：下一代防火墻網(wǎng)絡(luò)端口：2×40GE(QSFP+)+12×10GE(SFP+)+16×GE傳輸速率：10/100/1000Mbps控制端口：1×USB2.0VPN支持：支持豐富高可靠性的VPN特性，如IPSecVPN、SSLVPN、L2TPVPN、MPLSVPN、GRE，提供自研的VPN客戶端SecoClient，實現(xiàn)SSLVPN、L2TPVPN和L2TPoverIPSecVPN用戶遠(yuǎn)程接入，支持DES、3DES、AES、SHA、SM2/SM3/SM4等多種加密算法入侵檢測：入侵防御與Web防護(hù)：第一時間獲取最新威脅信息，準(zhǔn)確檢測并防御針對漏洞的攻擊?？煞雷o(hù)各種針對web的攻擊，包括SQL注入攻擊和跨站腳本攻擊等5.服務(wù)器選擇服務(wù)器群組統(tǒng)一使用華為FusionServerPro5885HV5，上面搭建win2003Server企業(yè)高級版。主要參數(shù)：CPU類型：IntelXeonGoldCPU型號：IntelXeonGold6230CPU頻率：2.1GHz智能加速主頻：3.9GHz標(biāo)配CPU數(shù)量：4顆最大CPU數(shù)量：4顆內(nèi)存類型：DDR4內(nèi)存容量：256GB硬盤接口類型：SAS標(biāo)配硬盤容量：21.6TB硬盤描述：12塊1.8TBSAS硬盤內(nèi)部硬盤架數(shù)：最大支持25塊2.5英寸硬盤綜上所述，我們的網(wǎng)絡(luò)設(shè)備選型方案為，核心層采用華為S7706POE核心交換機(jī)，匯聚層采用華為S5720-36C-EI-AC智能交換機(jī)，接入層采用華為S5735S-L24T4S-A網(wǎng)管交換機(jī)，華為USG6635E-AC防火墻以及華為FusionServerPro5885HV5服務(wù)器。3.5校園網(wǎng)安全策略及安全防御措施隨著網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)安全問題日益突出，黑客攻擊、網(wǎng)絡(luò)病毒等在日常日常生活中屢見不鮮，各種各樣的安全問題開始困擾網(wǎng)絡(luò)管理人員。這些安全問題主要表現(xiàn)在：不良信息的傳播，病毒的危害，非法訪問，惡意破壞，口令入侵等[1]。隨著關(guān)鍵應(yīng)用的普及和深入，網(wǎng)絡(luò)用戶的快速增加，校園網(wǎng)絡(luò)從早期教育、科研的試驗網(wǎng)角色已經(jīng)轉(zhuǎn)變成為教育、科研和服務(wù)并重的帶有運營性質(zhì)的網(wǎng)絡(luò)，如何保證網(wǎng)絡(luò)信息安全已經(jīng)成為影響學(xué)校的存與發(fā)展亟待解決的關(guān)鍵問題之一。另外，一個高效、實用且安全的網(wǎng)絡(luò)環(huán)境，對于教師、學(xué)生、管理人員的信息傳遞，信息搜集，教育學(xué)習(xí)等都有著十分重要而深遠(yuǎn)的意義[1]WilliamStallings著.網(wǎng)絡(luò)安全基礎(chǔ).北京:清華大學(xué)出版社,2020.07[1]WilliamStallings著.網(wǎng)絡(luò)安全基礎(chǔ).北京:清華大學(xué)出版社,2020.07本次設(shè)計的三層校園局域網(wǎng)中采用邊界防火墻、核心交換機(jī)在內(nèi)的二層安全防御。第一層保護(hù)有邊界防火墻實現(xiàn)。防火墻上配置訪問控制列表，通過訪問規(guī)則，控制和過濾經(jīng)過路由器的數(shù)據(jù)流，隔離外網(wǎng)和內(nèi)網(wǎng)，防止外部用戶對內(nèi)部網(wǎng)絡(luò)不安全的訪問，可有效防止各服務(wù)器受到來自外部的破壞。第二層防護(hù)由核心交換機(jī)提供。核心交換機(jī)上部署防火墻模塊，可有效地防止內(nèi)部攻擊[2]（美）yusufbhaiji(著)田果;劉丹寧(譯).網(wǎng)絡(luò)安全技術(shù)與解決方案（修訂版），人民郵電出版社，2020-01-01.35-57[2]（美）yusufbhaiji(著)田果;劉丹寧(譯).網(wǎng)絡(luò)安全技術(shù)與解決方案（修訂版），人民郵電出版社，2020-01-01.35-57本章小結(jié)本章通過對現(xiàn)有主要網(wǎng)絡(luò)技術(shù)的分析與比較，確定本校園網(wǎng)絡(luò)采用千兆以太網(wǎng)技術(shù)路線，并設(shè)計出校園網(wǎng)絡(luò)總拓?fù)?，選擇了硬件設(shè)備的品牌型號，同時對校園網(wǎng)絡(luò)的安全形式和防御措施做出描述。4VLAN劃分及參數(shù)配置4.1VLAN劃分VLAN（VirtualLocalAreaNetwork）稱為虛擬局域網(wǎng)，是指在邏輯上將物理的LAN分成不同小的邏輯子網(wǎng)，每一個邏輯子網(wǎng)就是一個單獨的播域。簡單地說，就是將一個大的物理的局域網(wǎng)（LAN）在交換機(jī)上通過軟件劃分成若干個小的虛擬的局域網(wǎng)（VLAN）。因為交換機(jī)通信的原理就是要通過“廣播”來發(fā)現(xiàn)通往的目的MAC地址，以便在交換機(jī)內(nèi)部的MAC數(shù)據(jù)庫建立MAC地址表，而廣播不能跨越不同網(wǎng)段[3]。[3]梁廣民，王隆杰編著.思科網(wǎng)絡(luò)實驗室CCNP(交換技術(shù))實驗指南.電子工業(yè)出版社，2020年5月.42-52[3]梁廣民，王隆杰編著.思科網(wǎng)絡(luò)實驗室CCNP(交換技術(shù))實驗指南.電子工業(yè)出版社，2020年5月.42-52[4]（美）戴伊（Dye,M.A.），（美）麥克唐納（McDonald,R.）,(美)魯菲（Rufi,A.W.）著.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程.CCNAExploration：網(wǎng)絡(luò)基礎(chǔ)知識.人民郵電出版社，2019年1月.46-88VLAN基本上可以看成一個廣播域，在物理網(wǎng)絡(luò)的基礎(chǔ)上，能根據(jù)需要靈活地設(shè)置出許多邏輯網(wǎng)絡(luò)，從而擺脫了物理地域限制，以及因為位于布線柜或者路由器附近而造成的對用戶組的限制，能根據(jù)用戶實際需要靈活地建立邏輯的專用網(wǎng)絡(luò)，使網(wǎng)絡(luò)更安全、更便于管理、更暢通和帶寬更有保證。根據(jù)學(xué)院校園網(wǎng)使用實際情況，提出校園網(wǎng)VLAN的建設(shè)規(guī)劃，見表2-1。表4-1VLAN規(guī)劃表子網(wǎng)名稱IP網(wǎng)段默認(rèn)網(wǎng)關(guān)備注服務(wù)器群/24Vlan200學(xué)生宿舍/24Vlan46實驗樓/24Vlan36教學(xué)樓/24Vlan21圖書館/24Vlan16辦公樓/24Vlan11信息樓/24Vlan41教學(xué)管理用房/24Vlan76食堂/24Vlan81體育館/24Vlan84多功能廳/24Vlan874.2VLAN配置交換機(jī)分為二層交換機(jī)和三層交換機(jī)兩種類型，其中二層交換機(jī)的工作原理是：（1）當(dāng)交換機(jī)從某個端口收到一個數(shù)據(jù)包，它先讀取包頭中的源MAC地址，這樣它就知道源MAC地址的機(jī)器是連在哪個端口上的[5]；[5]梁廣民，王隆杰編著.思科網(wǎng)絡(luò)實驗室CCNP(路由技術(shù))實驗指南.電子工業(yè)出版社，2019年3月.77-82[5]梁廣民，王隆杰編著.思科網(wǎng)絡(luò)實驗室CCNP(路由技術(shù))實驗指南.電子工業(yè)出版社，2019年3月.77-82[6]孫江宏主編.局域網(wǎng)組建及應(yīng)用培訓(xùn)教程[M].北京:清華大學(xué)出版社,2018.6[7]劉正勇主編.校園網(wǎng)系統(tǒng)集成技術(shù)與應(yīng)用[M].北京:清華大學(xué)出版社,2018.6[8]趙松濤主編.網(wǎng)絡(luò)技術(shù)基礎(chǔ)教程[M].北京:人民郵電出版社,2019.6[9]劉小輝主編.網(wǎng)絡(luò)硬件完全手冊[M].重慶:重慶大學(xué)出版社,2017.5[10]張公忠主編.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程[M].上海:電子工業(yè)出版社,2020.1[11]譚珂主編.局域網(wǎng)組建與管理實手冊[M].北京:中國青年出版社,2018.2[12]林瑞初.計算機(jī)網(wǎng)絡(luò)工程基礎(chǔ)[M].北京:清華大學(xué)出版社,2018.3[13]林全新，周圍等《計算機(jī)網(wǎng)絡(luò)工程[M].北京:人民郵電出版社,2019.5[14]趙騰任，孫江宏《網(wǎng)絡(luò)工程與綜合布線培訓(xùn)教程[M].北京:清華大學(xué)出版社,2019.5（3）如表中有與這目的MAC地址對應(yīng)的端口，把數(shù)據(jù)包直接復(fù)制到這端口上；（4）如表中找不到相應(yīng)的端口則把數(shù)據(jù)包廣播到所有端口上，當(dāng)目的機(jī)器對源機(jī)器回應(yīng)時，交換機(jī)又可以學(xué)習(xí)一目的MAC地址與哪個端口對應(yīng)，在下次傳送數(shù)據(jù)時就不再需要對所有端口進(jìn)行廣播了。不斷的循環(huán)這個過程，對于全網(wǎng)的MAC地址信息都可以學(xué)習(xí)到，二層交換機(jī)就是這樣建立和維護(hù)它自己的地址表?？梢钥闯龆咏粨Q機(jī)沒有路由功能，當(dāng)不同的子網(wǎng)進(jìn)行通信是要借助路由器實現(xiàn)數(shù)據(jù)包的轉(zhuǎn)發(fā)，所以當(dāng)子網(wǎng)數(shù)量較多時，路由器的接口數(shù)量就成了一個瓶頸，而三層交換機(jī)就能解決這一缺點。三層交換機(jī)的最重要的功能是加快大型局域網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)的快速轉(zhuǎn)發(fā)，加入路由功能也是為這個目的服務(wù)的。因此具有路由功能的快速轉(zhuǎn)發(fā)的三層交換機(jī)就成為首選。核心層的功能主要是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,核心層設(shè)計任務(wù)的重點通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能最好盡量少在核心層上實施。核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以對核心層的設(shè)計以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格?；诙丝趘lan的劃分這是最常應(yīng)用的一種VLAN劃分方法，應(yīng)用也最為廣泛、最有效，目前絕大多數(shù)VLAN協(xié)議的交換機(jī)都提供這種VLAN配置方法。這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的交換端口來劃分的，它是將VLAN交換機(jī)上的物理端口和VLAN交換機(jī)內(nèi)部的PVC（永久虛電路）端口分成若干個組，每個組構(gòu)成一個虛擬網(wǎng)，相當(dāng)于一個獨立的VLAN交換機(jī)。從這種劃分方法本身我們可以看出，這種劃分的方法的優(yōu)點是定義VLAN成員時非常簡單，只要將所有的端口都定義為相應(yīng)的VLAN組即可[6]。適合于任何大小的網(wǎng)絡(luò)。它的缺點是如果某用戶離開了原來的端口，到了一個新的交換機(jī)的某個端口，必須重新定義。4.3核心交換機(jī)配置4.3.1核心交換機(jī)配置GVRP所有交換機(jī)都通過中繼線相連，在核心交換機(jī)上設(shè)置了一個管理域，校園網(wǎng)上所有的交換機(jī)都加入該域，這樣同一管理域中的所有交換機(jī)就能夠了解彼此的VLAN列表。交換機(jī)HX1配置（HX2同）如圖4-1所示：圖4-1GVRP配置設(shè)置該交換機(jī)接口為normal模式是指允許在本交換機(jī)上創(chuàng)建、修改、刪除VLAN及其它一些對整個GVRP的配置參數(shù)，同步本GVRP中其它交換機(jī)傳遞來的最新的VLAN信息；normal模式可以傳送本交換機(jī)創(chuàng)建的VLAN，可以把本交換機(jī)的VLAN傳輸?shù)狡渌溆衝ormal類型的trunk端口，也可以接收對端交換機(jī)創(chuàng)建的VLAN，HX2交換機(jī)配置同上，其他分支交換機(jī)也設(shè)置為normal模式。4.3.2配置TrunkTrunk是一個在交換機(jī)之間、交換機(jī)與路由器之間傳遞VLAN信息和VLAN數(shù)據(jù)流的協(xié)議，將交換機(jī)之間直接相連的端口配置為Trunk模式，就可跨越交換機(jī)進(jìn)行整個網(wǎng)絡(luò)的VLAN設(shè)置。HX1交換機(jī)配置如圖4-2所示（HX2同）：圖4-2Trunk配置4.3.3創(chuàng)建vlan及端口劃分在交換機(jī)上建立VLAN信息，它就會通過GVRP通告所有配置了GVRP的交換機(jī)。另外，在相應(yīng)的交換機(jī)上配置將各自的端口劃入各個VLAN。配置如圖4-3所示：圖4-3vlan及端口劃分配置4.3.4配置IP為了實現(xiàn)VLAN間的三層交換，再給各VLAN分配相應(yīng)的IP地址。采用分配靜態(tài)IP地址的方法，在核心交換機(jī)上設(shè)置如圖4-4所示：圖4-4IP配置4.3.5配置MSTPMSTP是一種多生成樹協(xié)議，可以允許在一個交換環(huán)境中運行有多個生成樹，每個生成樹都稱之為一個實例，實例時間的生成樹之間彼此都是獨立的。一個實例相當(dāng)于是一棵樹，實例越多生成樹也就越多。在大部分的情況下，運行多個生成樹實例的好處就是在于鏈路上的負(fù)載均衡，運行兩個或者多個生成樹實例時，就可以實現(xiàn)負(fù)載均衡了，同時又可以節(jié)約系統(tǒng)的開銷。HX1、HX2、JXL、BGL、XXL交換機(jī)配置如圖4-5所示：圖4-5MSTP公共配置MSTP主備根橋配置如圖4-6所示：圖4-6MSTP主備根橋配置4.3.6配置VRRPVRRP是一種虛擬路由冗余協(xié)議，可以解決在局域網(wǎng)中配置的靜態(tài)網(wǎng)關(guān)出現(xiàn)單點失效的一種路由協(xié)議。通過配置出口網(wǎng)關(guān)的備份，可以保證出口網(wǎng)關(guān)的高可靠性。主交換機(jī)失效后，備份交換機(jī)能夠立即頂替主交換機(jī)的工作，從而保證數(shù)據(jù)的不丟失，提高網(wǎng)絡(luò)的穩(wěn)定性。HX1配置如圖4-7所示：圖4-7HX1VRRP配置HX2配置如圖4-8所示：圖4-8HX2VRRP配置4.3.7配置DHCPHX1、HX2配置如圖4-9所示：圖4-9DHCP配置其他vlanif接口配置同上。4.3.8路由配置將HX1、HX2交換機(jī)的直連網(wǎng)段宣告到ospf區(qū)域0里面。配置如圖4-10所示：圖4-10OSPF路由配置4.4配置匯聚交換機(jī)這里以BGL交換機(jī)為例，配置如圖4-11所示：圖4-11BGL交換機(jī)配置4.5接入交換機(jī)配置這里以JR-1交換機(jī)為例，配置如圖4-12所示：圖4-12JR-1交換機(jī)配置5防火墻配置防火墻路由器在網(wǎng)絡(luò)中實現(xiàn)內(nèi)外網(wǎng)轉(zhuǎn)換，即校園網(wǎng)內(nèi)所有主機(jī)要訪問外網(wǎng)必須要經(jīng)過所有地址轉(zhuǎn)換。防火墻使用雙機(jī)熱備技術(shù)，以達(dá)到冗余備份，提高網(wǎng)絡(luò)穩(wěn)定性。防火墻通過靜態(tài)鏈路與外網(wǎng)相連，使用雙出口鏈路。通過千兆以太網(wǎng)鏈路與內(nèi)網(wǎng)相連。5.1基本接口與IP設(shè)置FW1配置如圖5-1所示:圖5-1FW1接口與IP配置FW2配置如圖5-2所示：圖5-2FW2接口與IP配置5.2雙機(jī)熱備配置在邊界防火墻上配置雙機(jī)熱備技術(shù)，通過在網(wǎng)絡(luò)出口位置部署兩臺邊界防火墻，以保證內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的正常通訊。為了防止防火墻設(shè)備發(fā)生意外的故障而導(dǎo)致整個網(wǎng)絡(luò)業(yè)務(wù)的中斷，可以使用這用方式形成雙機(jī)熱備。當(dāng)某一臺設(shè)備發(fā)生故障時，另一臺設(shè)備就會接替它的工作，從而保證網(wǎng)絡(luò)的穩(wěn)定性。配置如圖5-3所示：圖5-3防火墻雙機(jī)熱備配置5.3校園網(wǎng)邊界防火墻路由配置把連接內(nèi)網(wǎng)的網(wǎng)段宣告到ospf的區(qū)域0里面，然后用默認(rèn)路由訪問外網(wǎng)。啟用了雙機(jī)熱備之后接下來的配置只需要在FW1防火墻（主設(shè)備）上配置，主設(shè)備會將配置同步到備份設(shè)備。配置如圖5-4所示：圖5-4防火墻路由配置5.4通過NAT技術(shù)實現(xiàn)內(nèi)網(wǎng)訪問internet配置NAT使源地址轉(zhuǎn)換成出接口公網(wǎng)地址，以實現(xiàn)內(nèi)網(wǎng)訪問Internet。配置如圖5-5所示：圖5-5防火墻NAT配置5.5安全策略配置配置防火墻安全策略使得內(nèi)網(wǎng)可以訪問Internet，但I(xiàn)nternet不能訪問內(nèi)網(wǎng)。配置如圖5-6所示：圖5-6防火墻安全策略配置5.6模擬ISP環(huán)境出口交換機(jī)配置ISP配置如圖5-7所示：圖5-7ISP配置6服務(wù)器配置6.1DHCP服務(wù)器配置配置DHCP服務(wù)可以給局域網(wǎng)內(nèi)的電腦自動分配IP地址，免掉繁雜的手動分配可以避免IP地址沖突，保證局域網(wǎng)的穩(wěn)定性。在一個大的網(wǎng)絡(luò)環(huán)境中，一般都把DHCP服務(wù)部署在服務(wù)上，這樣可以減少一些路由器或者交換機(jī)的資源損耗。DHCP服務(wù)器的IP配置如圖6-1所示圖6-1DHCP服務(wù)器的IP配置6.2WEB服務(wù)器配置WEB服務(wù)器用于部署學(xué)校的校園網(wǎng)系統(tǒng)，為學(xué)校的教育提供資源共享、信息交流和協(xié)同辦公。突坡傳統(tǒng)的教育方式，提高老師和同學(xué)們的教育水平。WEB服務(wù)器的IP配置如圖6-2所示圖6-2WEB服務(wù)器配置6.3DNS服務(wù)器配置DNS服務(wù)器部署DNS域名解析服務(wù)，將網(wǎng)站的IP地址域名綁定，訪問網(wǎng)站時可以不用輸入長長的IP地址，輸入域名就可以訪問，因為DNS服務(wù)會將輸入正確的域名轉(zhuǎn)換成IP地址訪問。DNS服務(wù)器配置如圖6-3所示圖6-3DNS服務(wù)器配置6.4FTP服務(wù)器配置FTP服務(wù)器上部署FTP服務(wù)，為學(xué)校提供文件傳輸和共享平臺，提高工作效率。FTP服務(wù)器配置如圖6-4所示圖6-4FTP服務(wù)器配置7網(wǎng)絡(luò)安全控制校園網(wǎng)絡(luò)安全問題是網(wǎng)絡(luò)建設(shè)的重點之一，本次設(shè)計中采用邊界防火墻、安全準(zhǔn)入控制系統(tǒng)在內(nèi)的二層安全防御。第一層保護(hù)有邊界防火墻實現(xiàn)。選用華為下一代防火墻，防火墻上配置訪問控制列表，通過訪問規(guī)則，控制和過濾經(jīng)過防火墻的數(shù)據(jù)流，隔離外網(wǎng)和內(nèi)網(wǎng)，開啟入侵防御功能模塊和防病毒功能模塊，防止外部用戶對內(nèi)部網(wǎng)絡(luò)不安全的訪問，可有效防止各服務(wù)器受到來自外部的破壞。第二層防護(hù)由安全準(zhǔn)入控制系統(tǒng)提供。網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)進(jìn)行了專門的設(shè)計，可以確保為訪問網(wǎng)絡(luò)資源的所有設(shè)備如PC電腦、筆記本電腦和智能手機(jī)等提供足夠的保護(hù)，以達(dá)到防御網(wǎng)絡(luò)安全威脅。網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)通個安全感知平臺、運維審計、基線核查等系統(tǒng)對全網(wǎng)進(jìn)行安全管控。能夠?qū)尤雰?nèi)部網(wǎng)絡(luò)的終端進(jìn)行嚴(yán)格、高細(xì)粒度的管控，保證合法以及安全的終端入網(wǎng)，全過程進(jìn)行內(nèi)網(wǎng)的安全嚴(yán)格管控、全方位的操作審計，實現(xiàn)內(nèi)網(wǎng)的標(biāo)準(zhǔn)化管理，降低內(nèi)網(wǎng)安全管理漏洞的風(fēng)險，從源頭對用戶以及終端進(jìn)行管控，真正有效做到內(nèi)網(wǎng)安全管理。7.1訪問控制表目前，大多數(shù)園區(qū)網(wǎng)用戶使用的是微軟操作系統(tǒng)，一些病毒程序或漏洞掃描軟件通過UDP端口135、137、138、1434和TCP端口135、137、139、445、593、1434、2500、4444、5554、5800、5900、6346、6667、9393、9995、9996等進(jìn)行病毒傳播和攻擊，可通過設(shè)置如下訪問控制列表阻止病毒傳播和黑客攻擊。防病毒的ACL一般應(yīng)用在接入層的設(shè)備上，下面以配置JR-1交換機(jī)的ACL為例。如圖7-1所示：圖7-1JR-1交換機(jī)ACL配置7.2對服務(wù)器群的服務(wù)進(jìn)行控制網(wǎng)內(nèi)有各種各樣的應(yīng)用服務(wù)器，如WWW服務(wù)器、DNS服務(wù)器、FTP服務(wù)器等，為了便于管理，這些