1、 屆 別 學 號 畢業(yè)設(shè)計（論文）校 園 網(wǎng)的 規(guī) 劃 與 設(shè) 計 姓 名 系 別、 專 業(yè) 導 師 姓 名、職 稱 完 成 時 間 目 錄摘 要IABSTRACTII1 緒論11.1 國內(nèi)外動態(tài)11.2 總體需求11.3 網(wǎng)絡(luò)設(shè)計原則要求22 網(wǎng)絡(luò)技術(shù)概述32.1 OSPF32.2 HSRP32.3 DHCP32.4 Vlan42.5 Trunk43 需求分析及拓撲圖的設(shè)計53.1 網(wǎng)絡(luò)現(xiàn)狀及用戶需求：53.2 網(wǎng)絡(luò)拓撲結(jié)構(gòu)54 設(shè)備選型及IP地址規(guī)劃64.1 接入層：74.2 匯聚層：84.3 核心層：104.4 網(wǎng)絡(luò)邊界：114.5 IP地址規(guī)劃原則114.6 IP地址規(guī)劃124.6.1

2、 地區(qū)代碼表124.6.2 業(yè)務(wù)功能代碼表124.6.3 IP地址分配表125 配置清單145.1 S1的配置命令145.2 R5與R6的配置命令235.2.1 R5的配置命令：235.3 R7的配置命令255.4 其他設(shè)備的配置命令285.5 防火墻的配置295.5.1 接口配置295.5.2 路由配置305.5.3 包過濾及NAT策略的配置315.5.4 抗攻擊策略配置325.5.5 防火墻路由的查看336 網(wǎng)絡(luò)測試336.1 長沙校區(qū)各VLAN對應(yīng)測試用戶的IP336.2 株洲分區(qū)各VLAN對應(yīng)用戶分配的IP346.3 連通性測試34主要參考文獻36致 謝37摘 要在科學技術(shù)飛速發(fā)展的時

3、代,網(wǎng)絡(luò)互聯(lián)技術(shù)顯示出了它蓬勃發(fā)展的生命力,使得當今社會智能化和網(wǎng)絡(luò)化越來越來明顯。人們對居住環(huán)境的要求也隨著計算機的普及和信息產(chǎn)業(yè)的發(fā)展大大提高,因此住宅小區(qū)也隨之進入了智能化,網(wǎng)絡(luò)化的時.更多隨著計算機及通信技術(shù)的飛躍發(fā)展，企業(yè)內(nèi)部管理的網(wǎng)絡(luò)化及信息化成為一種必然的發(fā)展趨勢，網(wǎng)絡(luò)互聯(lián)技術(shù)顯示出了它蓬勃發(fā)展的生命力,使得當今社會智能化和網(wǎng)絡(luò)化越來越來明顯。人們對辦公以及教學環(huán)境的要求也隨著計算機的普及和信息產(chǎn)業(yè)的發(fā)展大大提高,學校也隨之進入了智能化,網(wǎng)絡(luò)化的時代,因此網(wǎng)絡(luò)信息化成為了21世紀教育業(yè)的發(fā)展主流。本論文主要致力于校園網(wǎng)絡(luò)的設(shè)計和實現(xiàn)。闡述了校園局域網(wǎng)工程的設(shè)計。在充分了解局域網(wǎng)組

4、網(wǎng)技術(shù)的基礎(chǔ)上,根據(jù)目前校園網(wǎng)絡(luò)的發(fā)展趨勢,設(shè)計一個校園網(wǎng)絡(luò)的模型。對模型進行各方面的細化。根據(jù)模型圖對設(shè)備進行適當?shù)倪x型。并對設(shè)備進行配置。本文以湖南XXXX學校園區(qū)的計算機網(wǎng)絡(luò)建設(shè)為例，敘述了網(wǎng)絡(luò)構(gòu)建的具體做法和相關(guān)協(xié)議的使用方法。所使用的技術(shù)有OSPF、DHCP、HSRP、VLAN、路由策略等技術(shù)。通過這些網(wǎng)絡(luò)技術(shù)的應(yīng)用，使得校園網(wǎng)更加穩(wěn)定可靠。同時也使網(wǎng)絡(luò)管理與維護變得更加簡單快捷。一定程度上減輕了網(wǎng)絡(luò)管理員的負擔。關(guān)鍵詞： 校園網(wǎng)；局域網(wǎng)；OSPF；DHCP；VLAN；路由策略ABSTRACT With the leap development of computer and com

5、munication technology,the networked and informationize of enterprise internal management become a kind of inevitable trend,the internet technology reveals its properous development of life,making intelligence and networked outstanding in todays society.Pepoles requirements for office and teaching en

6、vironment improved a lot because of the prevailing of computerand the development of the information industry,as a result,schools come into a timeof intelligence and networked,too.Therefore,internet informationize becomes a main stream of the 21 century education field. This thesis is mainly devote

7、to the design and implement of campus internet toexplain the designing of campus locat area network project. On the base of totally understand of the locat area network technology, according to the development trendof campus network at present, I designed a model of campus network. At the sametime,

8、specifing the model from all aspects,properly selecting for the equipments according to the model, and configuring the eqipments. This paper takes APTECH Park in HuNan provence as an example,explains thedetailed process of network construction and the way to use the relative agreement.The used techn

9、ology including:OSPF, DHCP, HSRP, VLAN, routing policy and so on.According to these internet technologies applied,campus network are more stable and reliable. Meanwhile, making the network management and maintenance more simple and quick,and reducing the network administrators burden at some extent.

10、Key words: campus network, LAN; OSPF; DHCP, VLAN, Routing strategies1 緒論1.1 國內(nèi)外動態(tài)當今時代，隨著信息技術(shù)的迅猛發(fā)展， Internet的不斷延伸，計算機應(yīng)用成為一個現(xiàn)代人所必須具備的一項生存技能?！鞍倌甏笥?，教育為本”，隨著我國教育改革，特別是課程改革的逐步深入，校園現(xiàn)代化和信息化的建設(shè)，已經(jīng)成為培養(yǎng)二十一世紀全面發(fā)展的綜合人才的必備條件。為了迎頭趕上這一發(fā)展機遇，跟上信息時代的腳步，許多單位都開始著手進行信息化建設(shè)。作為高新技術(shù)試驗基地和人才培養(yǎng)搖籃的學校，更是掀起了一股校園網(wǎng)建設(shè)的熱潮。教學電子化，學習網(wǎng)絡(luò)化，

11、科研協(xié)作化，管理信息化，將是學校教育由傳統(tǒng)教育向現(xiàn)代化教育過渡的一次重大飛躍，高等教育校園網(wǎng)的建設(shè)就是建立在校園內(nèi)的一個模擬的Internet環(huán)境及建立在網(wǎng)上的多媒體網(wǎng)絡(luò)應(yīng)用，現(xiàn)就XXXX學校校園網(wǎng)建設(shè)實踐談?wù)勑@骨干網(wǎng)絡(luò)建設(shè)和實施方案。1.2 總體需求此校校園網(wǎng)工程范圍主要為包括辦公樓、教學樓、圖書室、教師住宿樓及實驗樓在內(nèi)的局域網(wǎng)（LAN）部分。內(nèi)部局域網(wǎng)的建設(shè)包括硬件網(wǎng)絡(luò)平臺的建設(shè)、相應(yīng)軟件系統(tǒng)的應(yīng)用。校園網(wǎng)內(nèi)部主要按Intranet模式建網(wǎng)，校園內(nèi)部各部門及家庭均能訪問校園網(wǎng)內(nèi)部信息，同時對外也提供WWW信息訪問。要求能夠根據(jù)應(yīng)用或按部門劃分成若干虛擬子網(wǎng)（VLAN），同時，網(wǎng)絡(luò)應(yīng)具有

12、較好的實時性。在網(wǎng)絡(luò)設(shè)計中，校園網(wǎng)到桌面的計算機數(shù)據(jù)端口工程設(shè)計總量為150個。這些網(wǎng)絡(luò)端口均要求10/100M到桌面。校園網(wǎng)的體系結(jié)構(gòu)要能支持以INTRANET WEB的訪問與應(yīng)用,要能支持E-Mail、FTP的應(yīng)用，包括有條件、有管理地訪問INTERNET，同時要使校園網(wǎng)的通訊和共享資源能夠建立在方便、安全的基礎(chǔ)上。具體包括：將全校所有計算機連接到網(wǎng)絡(luò)中。在網(wǎng)絡(luò)上傳輸多種應(yīng)用信息，用于教學。要求網(wǎng)絡(luò)能支持多路并發(fā)多媒體信息的傳輸，以支持遠程教學。網(wǎng)絡(luò)管理系統(tǒng)功能完善，操作簡便，能管理到桌面臺式機。網(wǎng)絡(luò)設(shè)立安全防范措施，加載安全過濾。3、結(jié)構(gòu)合理，技術(shù)先進，系統(tǒng)具有高可靠性和可擴展性。4、實

13、現(xiàn)虛擬網(wǎng)間的互連，方便網(wǎng)絡(luò)管理。5、采用開放性布線。6、充分利用原有網(wǎng)絡(luò)資源。7、連接Internet。 1.3 網(wǎng)絡(luò)設(shè)計原則要求校園網(wǎng)建設(shè)是學校的INTERNET應(yīng)用向縱深發(fā)展的基礎(chǔ)，也是學校強化管理，實現(xiàn)科學化科研和教學的客觀需要。針對我校的實際情況，在系統(tǒng)網(wǎng)絡(luò)的構(gòu)架中應(yīng)遵循以下原則：性能和可用性：除了園區(qū)LAN接入需要多種類型的設(shè)備和更高的移動性外，園區(qū)LAN還必須滿足客戶端接入的各種性能和可用性要求。傳統(tǒng)的快速（每秒100兆（Mbps）或千兆以太網(wǎng)（GbE）連接足以滿足很多業(yè)務(wù)應(yīng)用的需求，但一些超高性能客戶端應(yīng)用可能需要萬兆以太網(wǎng)鏈路。通過目前對無線LAN技術(shù)的改進，IEEE 802.

14、11n實現(xiàn)的100+ Mbps連接非常適合大多數(shù)筆記本和移動應(yīng)用。IP語音等一些應(yīng)用要求額外的性能保證，如要求支持服務(wù)質(zhì)量（QoS）等。 并非所有應(yīng)用都要求確保高可用性所需要的冗余網(wǎng)絡(luò)鏈路，但在出現(xiàn)單個鏈路故障或接口故障停機時，任務(wù)關(guān)鍵型客戶端應(yīng)用肯定需要具備故障切換功能。設(shè)計合理的園區(qū)LAN基礎(chǔ)架構(gòu)必須足夠靈活，以便在業(yè)務(wù)需求發(fā)生變化時在逐個工作組或應(yīng)用的基礎(chǔ)上提供必需的帶寬和可用性?？蛻舳诉B接要求互不相同，這也會影響網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的其它層，因為客戶端流量被集中發(fā)往網(wǎng)絡(luò)核心和數(shù)據(jù)中心。 開放性和標準化原則：網(wǎng)絡(luò)系統(tǒng)的設(shè)計需遵照國際標準(如ISO，CCITT，IEEE)、國家標準、工業(yè)標準(如T

15、CP/IP等)，走標準化的道路。安全性和可靠性原則：對校園網(wǎng)來說，各個學科的資料安全性和保密非常重要，特別是學校尚未公布的決策，財務(wù)資料等重要數(shù)據(jù)的安全尤為重要。在設(shè)計網(wǎng)絡(luò)時，除了應(yīng)考慮各種外界干擾外，還要在各環(huán)節(jié)提供安全措施，如劃分虛擬網(wǎng)，對用戶設(shè)置訪問權(quán)限等。同時，保證網(wǎng)絡(luò)的高可靠性同樣是非常重要的，要采用冗余路由和備份設(shè)備，對網(wǎng)絡(luò)進行實時監(jiān)控，便于及時排除故障，確保網(wǎng)絡(luò)的可靠營運。園區(qū)網(wǎng)絡(luò)層中巨大的客戶端設(shè)備數(shù)量帶來了長期的安全挑戰(zhàn)。網(wǎng)絡(luò)的整體安全性取決于其中的最薄弱鏈路，分散的大型園區(qū)LAN必須正確配置，采用分布式安全機制，消除可能會給惡意攻擊和無意的接入留下可趁之機的安全漏洞。訪問控

16、制列表（ACL）、驗證、虛擬專用網(wǎng)（VPN）、移動數(shù)據(jù)加密和其他保護措施可以限制網(wǎng)絡(luò)接入，僅允許經(jīng)過授權(quán)的用戶和設(shè)備接入，同時挫敗從園區(qū)內(nèi)部非法進入網(wǎng)絡(luò)的企圖。保護企業(yè)數(shù)據(jù)是從業(yè)務(wù)角度出發(fā)必須滿足的要求，而且對許多行業(yè)來說也是一項必須滿足的法律要求。尤其值得一提的是，金融和醫(yī)療衛(wèi)生相關(guān)行業(yè)現(xiàn)在必須有效保護客戶和病人信息，達到政府的監(jiān)管要求。與數(shù)據(jù)中心內(nèi)通常使用的安全機制相比，園區(qū)網(wǎng)絡(luò)在應(yīng)對惡意攻擊方面顯然要遜色得多。因此，園區(qū)LAN的安全性必須不斷得到增強和監(jiān)控，以避免安全風險。網(wǎng)絡(luò)的可監(jiān)控性和可管理性原則：要選擇較好的網(wǎng)絡(luò)管理和監(jiān)控系統(tǒng)，確保網(wǎng)絡(luò)的透明管理，并且能不斷地優(yōu)化網(wǎng)絡(luò)。投資保護性原

17、則：對原有的計算機設(shè)備、通信設(shè)備、線路，各種應(yīng)用軟件和學術(shù)資料能有效地加以利用，保護原來的投資，我校原有由教育裝備部門統(tǒng)一配置的寶德服務(wù)器以及機柜，這些設(shè)備都要加以利用。面向高速化和寬帶需求原則：隨著網(wǎng)絡(luò)服務(wù)由單一的文本應(yīng)用迅速向文本、語音、圖形、視圖綜合服務(wù)發(fā)展，網(wǎng)絡(luò)向高速化和寬帶發(fā)展的需求日趨強烈，如高速LAN，交換LAN等。綜合網(wǎng)絡(luò)的設(shè)計要綜合考慮這些因素，盡可能采用既新又成熟的成果，充分考慮向這些新技術(shù)遷移的可能方案。管理：考慮到園區(qū)固有的分散性和客戶端設(shè)備的多樣性，實現(xiàn)集中的統(tǒng)一管理對于維護高性能和可用性、實施企業(yè)安全策略至關(guān)重要。隨著無線LAN等新技術(shù)被用于改進用戶接入，園區(qū)LAN

18、管理框架中也必須增加新的設(shè)備和安全特性，以確保穩(wěn)定的運行，同時提供必要的防護，避免非法入侵。全面的網(wǎng)絡(luò)管理功能還應(yīng)能夠監(jiān)控整個園區(qū)LAN中的流量模式，以提前發(fā)現(xiàn)潛在的瓶頸，實現(xiàn)網(wǎng)絡(luò)調(diào)優(yōu)。2 網(wǎng)絡(luò)技術(shù)概述2.1 OSPFOSPF路由協(xié)議是一種典型的鏈路狀態(tài)（Link-state）的路由協(xié)議，一般用于同一個路由域內(nèi)。在這里，路由域是指一個自治系統(tǒng)（Autonomous System），即AS，它是指一組通過統(tǒng)一的路由政策或路由協(xié)議互相交換路由信息的網(wǎng)絡(luò)。在這個AS中，所有的OSPF路由器都維護一個相同的描述這個AS結(jié)構(gòu)的數(shù)據(jù)庫，該數(shù)據(jù)庫中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息，OSPF路由器正是其相鄰

19、的路由器。2.2 HSRP實現(xiàn)HSRP的條件是系統(tǒng)中有多臺路由器，它們組成一個“熱等待組”，這個組形成一個虛擬路由器。在任一時刻，一個組內(nèi)只有一個路由器是活動的，并由它來轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動路由器發(fā)生了故障，將選擇一個等待路由器來替代活動路由器，但是在本網(wǎng)絡(luò)內(nèi)的主機看來，虛擬路由器沒有改變。所以主機仍然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器切換的問題。 2.3 DHCPDHCP 是 Dynamic Host Configuration Protocol(動態(tài)主機配置協(xié)議)縮寫，它的前身是 BOOTP。BOOTP 原本是用于無磁盤主機連接的網(wǎng)絡(luò)上面的：網(wǎng)絡(luò)主機使用 BOOT RO

20、M 而不是磁盤起動并連接上網(wǎng)絡(luò)，BOOTP 則可以自動地為那些主機設(shè)定 TCP/IP 環(huán)境。但 BOOTP 有一個缺點：您在設(shè)定前須事先獲得客戶端的硬件地址，而且，與 IP 的對應(yīng)是靜態(tài)的。換而言之，BOOTP 非常缺乏 動態(tài)性 ，若在有限的 IP 資源環(huán)境中，BOOTP 的一對一對應(yīng)會造成非常可觀的浪費。 DHCP 可以說是 BOOTP 的增強版本，它分為兩個部份：一個是服務(wù)器端，而另一個是客戶端。所有的 IP 網(wǎng)絡(luò)設(shè)定數(shù)據(jù)都由 DHCP 服務(wù)器集中管理，并負責處理客戶端的 DHCP 要求；而客戶端則會使用從服務(wù)器分配下來的IP環(huán)境數(shù)據(jù)。比較起 BOOTP ，DHCP 透過 租約 的概念，有

21、效且動態(tài)的分配客戶端的 TCP/IP 設(shè)定，而且，作為兼容考慮，DHCP 也完全照顧了 BOOTP Client 的需求。 DHCP 的分配形式 首先，必須至少有一臺 DHCP 工作在網(wǎng)絡(luò)上面，它會監(jiān)聽網(wǎng)絡(luò)的 DHCP 請求，并與客戶端磋商 TCP/IP 的設(shè)定環(huán)境。2.4 Vlan VLAN（Virtual Local Area Network）的中文名為虛擬局域網(wǎng)。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機和路由器中，但主流應(yīng)用還是在交換機之中。但又不是所有交換機都具有此功能，只有VLAN協(xié)議的第三層以上交換機才具

22、有此功能。VLAN技術(shù)的出現(xiàn)，主要為了解決交換機在進行局域網(wǎng)互連時無法限制廣播的問題。這種技術(shù)可以把一個LAN劃分成多個邏輯的LANVLAN，每個VLAN是一個廣播域，VLAN內(nèi)的主機間通信就和在一個LAN內(nèi)一樣，而VLAN間則不能直接互通，這樣，廣播報文被限制在一個VLAN內(nèi)。虛擬局域網(wǎng)(VLAN)是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門及應(yīng)用等因素將它們組織起來，相互之間的通信就好像它們在同一個網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)。VLAN是一種比較新的技術(shù)，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，VLAN之間的通信是通過第3層的

23、路由器來完成的。與傳統(tǒng)的局域網(wǎng)技術(shù)相比較，VLAN技術(shù)更加靈活，它具有以下優(yōu)點： 1）網(wǎng)絡(luò)設(shè)備的移動、添加和修改的管理開銷減少； 2）可以控制廣播活動；3）可提高網(wǎng)絡(luò)的安全性。2.5 TrunkTRUNK是端口匯聚的意思，通過配置軟件的設(shè)置，將2個或多個物理端口組合在一起成為一條邏輯的路徑從而增加在交換機和網(wǎng)絡(luò)節(jié)點之間的帶寬，將屬于這幾個端口的帶寬合并，給端口提供一個幾倍于獨立端口的獨享的高帶寬。Trunk是一種封裝技術(shù)，它是一條點到點的鏈路，鏈路的兩端可以都是交換機，也可以是交換機和路由器，還可以是主機和交換機或路由器?；诙丝趨R聚（Trunk）功能，允許交換機與交換機、交換機與路由器、主機

24、與交換機或路由器之間通過兩個或多個端口并行連接同時傳輸以提供更高帶寬、更大吞吐量，大幅度提供整個網(wǎng)絡(luò)能力。3 需求分析及拓撲圖的設(shè)計3.1 網(wǎng)絡(luò)現(xiàn)狀及用戶需求：湖南XXXX學校學校作為一家軟件工程師和網(wǎng)絡(luò)工程師的培訓機構(gòu)，更加注重學校的信息化建設(shè)以及網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化，以實現(xiàn)更高效更穩(wěn)定更方便快捷的校園網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)依賴性明顯強于其他學校。又加之株洲業(yè)務(wù)的拓展，為方便長株兩地的辦公，實現(xiàn)“兩城一家”式的辦公環(huán)境。學校對網(wǎng)絡(luò)結(jié)構(gòu)提出了更多的業(yè)務(wù)需求。具體需求如下：長沙總部通過邊界防火墻上網(wǎng)，株洲分部經(jīng)過廣域網(wǎng)連接至長沙總部也通過邊界防火墻進行上網(wǎng)；核心交換機互做HSRP網(wǎng)關(guān)備份,連接二層交換機的核心

25、交換機做根網(wǎng)橋，另一個做備份根網(wǎng)橋；分部連接總部路由器做分部的DHCPServer為分部用戶分配IP地址，總部則用核心交換機做DHCPServer為總部用戶分配IP地址；根據(jù)實際需求具體化：按組網(wǎng)拓撲，實現(xiàn)其全網(wǎng)連通性，并實現(xiàn)相應(yīng)主備網(wǎng)關(guān)、主備路徑動 態(tài)自動切換；全網(wǎng)任何用戶都能通過邊界防火墻訪問Internet；在任何不需要形成OSPF鄰居的接口上，配置OSPF被動接口；總部核心交換機于邊界防火墻對接：核心交換機之間使用Trunk鏈路，在該Trunk鏈路上使用1個點對點L3VLAN，在該VLAN上建立OSPF鄰居，實現(xiàn)OSPF對接；總部交換機網(wǎng)絡(luò)STP要求：連接二層交換機的核心交換機做根網(wǎng)橋

26、，另一個做備份根網(wǎng)橋，末端接口必須配置portfast；核心交換機網(wǎng)絡(luò)做HSRP網(wǎng)關(guān)備份；DHCP要求：總部核心交換機做DHCPServer,為總部用戶分配IP地址；分部邊界路由器做DHCPserver,為分部用戶分配IP地址；（8）只有教學樓（部）才可以通過長沙校區(qū)邊界防火墻上網(wǎng)。3.2 網(wǎng)絡(luò)拓撲結(jié)構(gòu) 教學樓1棟教學樓3棟教學樓2棟長沙校區(qū)Internet試驗樓SW3SW5SW1SW2CISCO W-C2960-24TC-LFWF3/0F2/0CISCO W-C2960-24TC-L試驗樓F1/1F1/1F1/0SW4S1S2TrunkF1/2F0/0F0/0CISCO WS-C3750-2

27、4TS-EF1/0F1/0F2/0F2/0OSPFF2/0F2/0CISCO 3825R6R5F1/0F1/0CISCO 3825S0/2S0/1S0/0PPPFR IETF,ANSIS0/1S0/0R7S0/2CISCO 2821-AC-IPF2/0株洲分校SW7SW6CISCO W-C2960-24TC-L試驗室教學部圖3.1湖南XXXX學校網(wǎng)絡(luò)圖譜圖4 設(shè)備選型及IP地址規(guī)劃為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴展性， 為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴展性，一個好的校園網(wǎng)方案應(yīng)該采用分層 的方法進行設(shè)計。校園網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次：訪問層、分布層、核心層。 的方法進行

28、設(shè)計。校園網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次：訪問層、分布層、核心層。不 同層可能工作在OSI模型的不同層次上。 OSI模型的不同層次上 同層可能工作在OSI模型的不同層次上。 傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2 傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層?，F(xiàn)代交換技術(shù)還實現(xiàn)了第3層交換和多層 OSI模型的第 現(xiàn)代交換技術(shù)還實現(xiàn)了第3 交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率， 交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強了園區(qū)網(wǎng)數(shù)據(jù)交 換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。 換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。 現(xiàn)代交換網(wǎng)絡(luò)還引入

29、了虛擬局域網(wǎng)（ LAN，VLAN）的概念。VLAN將廣播域限制在 現(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的概念。VLAN將廣播域限制在 單個VLAN內(nèi)部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。 VLAN間需要通信的時 VLAN內(nèi)部 VLAN間主機的廣播通信對其他VLAN的影響 單個VLAN內(nèi)部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時 可以利用VLAN間路由技術(shù)來實現(xiàn)。 VLAN間路由技術(shù)來實現(xiàn) 候，可以利用VLAN間路由技術(shù)來實現(xiàn)。 當網(wǎng)絡(luò)管理人員需要管理的交換機數(shù)量眾多時，可以使用VLAN中繼協(xié)議（ VLAN

30、中繼協(xié)議 當網(wǎng)絡(luò)管理人員需要管理的交換機數(shù)量眾多時，可以使用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）簡化管理，它只需在單獨一臺交換機上定義所有VLAN 然后通過VTP VLAN。 VTP協(xié)議將 Protocol，VTP）簡化管理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協(xié)議將 VLAN定義傳播到本管理域中的所有交換機上 這樣， 定義傳播到本管理域中的所有交換機上。 VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負擔和 工作強度。 工作強度。 當園區(qū)網(wǎng)絡(luò)的交換機數(shù)量增多、交換機間鏈路增加時， 當園區(qū)網(wǎng)絡(luò)的交換機數(shù)量增

31、多、交換機間鏈路增加時，交換網(wǎng)絡(luò)的復雜性可能會造成交換 環(huán)路問題，這需要通過在各交換機上運行生成樹協(xié)議（ Protocol，STP） 環(huán)路問題，這需要通過在各交換機上運行生成樹協(xié)議（Spanning Tree Protocol，STP）來解 決。 配置訪問層交換機、分布層交換機、核心層交換機。 配置訪問層交換機、分布層交換機、核心層交換機。4.1 接入層：CISCO W-C2960-24TC-L 在圖一中圖標為：總部和分部接入層交換機我們均選CISCO W-C2960-24TC-L型號的接入層交換機，其端口數(shù)量按照用戶需求進行設(shè)備選型，出于對性價比的考慮，在此我們所采用的設(shè)備，基本都為生產(chǎn)年份

32、比較接近現(xiàn)在的CISCO二手設(shè)備，在設(shè)備選型方面我們綜合了用戶數(shù)、拓撲架構(gòu)以及可擴展性，進行了認真考究。比如：出于用戶數(shù)的考慮達到了24個，滿足了18個教室接入的需求。該款交換機具有24個10/100 + 2個 雙介質(zhì)千兆以太網(wǎng)上行鏈路端口，LAN基本鏡像?？商峁┘砂踩裕ňW(wǎng)絡(luò)準入控制 (NAC)、高級服務(wù)質(zhì)量 (QoS) 和為網(wǎng)絡(luò)邊緣提供智能服務(wù)的永續(xù)性。主要參數(shù)交換機類型智能交換機應(yīng)用層級二層內(nèi)存64MB DRAM,32MB flash傳輸速率10Mbps/100Mbps/1000Mbps網(wǎng)絡(luò)標準IEEE 802.3、IEEE 802.3u、IEEE 802.1x、IEEE 802.

33、1Q、IEEE 802.1p、IEEE 802.1D、IEEE 802.1s、IEEE 802.1w、IEEE 802.3ad、IEEE 802.3z、IEEE 802.3端口結(jié)構(gòu)非模塊化端口數(shù)量24接口介質(zhì)10/100Base-T,10/100/1000Base-Tx/SFP傳輸模式全雙工/半雙工自適應(yīng)交換方式存儲-轉(zhuǎn)發(fā)背板帶寬4.4Gbps包轉(zhuǎn)發(fā)率6.5MppsVLAN支持支持QOS支持支持網(wǎng)管支持支持網(wǎng)管功能Web瀏覽器,SNMP,CLIMAC地址表8K模塊化插槽數(shù)2指示面板每端口狀態(tài):連接完整性、禁用、活動、速度、全雙工,系統(tǒng)狀態(tài):系統(tǒng)、RPS、鏈路狀態(tài)、鏈路雙工、鏈路速度電源30W環(huán)

34、境標準工作溫度:0-45、工作濕度:10%-85%(非冷凝)、存儲溫度:-25-70、存儲濕度:10%-85%(非冷凝)尺寸(mm)44*445*236（高寬長）重量(Kg)3.64.2 匯聚層：CISCO 2821-AC-IP 在圖一中圖標為：Cisco 2800系列集成業(yè)務(wù)路由器經(jīng)過了優(yōu)化，能為中小型企業(yè)和大型企業(yè)分支機構(gòu)路由安全、線速地供應(yīng)數(shù)據(jù)、語音和視頻并發(fā)服務(wù)。它們提供以下優(yōu)勢：1、為 1 到 6條 T1/E1 鏈接提供出色性能，支持多項服務(wù)2、高級安全特性，包括狀態(tài)化防火墻、入侵防御系統(tǒng)（IPS） 、VPN和思科網(wǎng)絡(luò)準入控制（NAC）3、憑借數(shù)字加密標準（DES） 、三重DES（3

35、DES）和高級加密標準（AES）提供4、內(nèi)置加密功能5、WLAN控制器模塊是思科統(tǒng)一無線網(wǎng)絡(luò)的一個組件?；咎卣髀酚善黝愋投鄻I(yè)務(wù)路由器端口結(jié)構(gòu)模塊化網(wǎng)絡(luò)協(xié)議IEEE 802.3X傳輸速率10/100Mbps固定的局域網(wǎng)接口2個其他端口Console內(nèi)置防火墻是Qos支持支持支持VPN支持擴展模塊4內(nèi)存256MB(最大1024）網(wǎng)絡(luò)管理協(xié)議：Cisco ClickStart，SNMP電源100-240 VAC尺寸（mm）88*416*4438.2（高寬長）重量6.8kg適用環(huán)境工作溫度:0-40、工作濕度:5%95%無凝結(jié)、存儲溫度:-20-65、存儲濕度:5%95%無凝結(jié)其他性能安全標準 UL

36、 60950:CAN/CSA C22.2 No. 60950,IEC 60950,EN 60950-1,AS/NZS 60950CISCO 3825 在圖一中圖標為：Cisco 3800 系列集成業(yè)務(wù)路由器是集成了先進技術(shù)、自適應(yīng)服務(wù)、無線支持和安全企業(yè)通信的下一代路由器產(chǎn)品系列中的旗艦平臺。為了有效提供關(guān)鍵任務(wù)網(wǎng)絡(luò)功能，包括實時應(yīng)用，如IP 語音 （VoIP）、業(yè)務(wù)視頻和協(xié)作通信等，這些新型路由器提供了必備的性能和可靠的數(shù)據(jù)包交付功能。系統(tǒng)架構(gòu)的改進包括內(nèi)嵌安全處理流程、大幅提高的平臺性能和內(nèi)存，以及全新的高密度接口類型。 基本特征路由器類型多業(yè)務(wù)路由器端口結(jié)構(gòu)模塊化網(wǎng)絡(luò)協(xié)議Cisco Cl

37、ickStart，SNMP傳輸速率10/100/1000Mbps接口數(shù)2個包轉(zhuǎn)發(fā)率10 Mbps:14,880 pps、100 Mbps:148,810 pps、1000 Mbps:1,488,100 pps內(nèi)置防火墻是Qos支持支持支持VPN支持擴展插槽2內(nèi)存256MB1024MB電源交流輸入電壓:100-240 VAC、47-63Hz尺寸（mm）88.9*373.38*434.34（高寬長）重量9.06Kg適用環(huán)境工作溫度:0-40、存儲溫度:40-85、濕度:5%-95%,非冷凝4.3 核心層：CISCO WS-C3750G-48TS-E 在圖一中圖標為：Cisco Catalyst 3

38、750 系列交換機是一款適用于中型機構(gòu)和大型企業(yè)分支機構(gòu)的創(chuàng)新產(chǎn)品。該交換機采用了 Cisco StackWise 技術(shù)，通過結(jié)合易用性和可堆疊交換機的最高永續(xù)性，提高了局域網(wǎng)運行效率。主要參數(shù)交換機類型企業(yè)級交換機應(yīng)用層級三層內(nèi)存128 MB DRAM和32 MB閃存?zhèn)鬏斔俾?0Mbps/100Mbps/1000Mbps網(wǎng)絡(luò)標準IEEE 802.3、IEEE 802.3u、IEEE 802.3z、IEEE 802.3ab端口結(jié)構(gòu)非模塊化端口數(shù)量48接口介質(zhì)10/100/1000 Base-t、1000Base-FX/SX傳輸模式支持全雙工配置形式可堆疊交換方式存儲-轉(zhuǎn)發(fā)背板帶寬32Gbps包

39、轉(zhuǎn)發(fā)率38.7MppsVLAN支持支持QOS支持支持網(wǎng)管支持支持網(wǎng)管功能網(wǎng)管功能 SNMP, CLI, Web, 管理軟件MAC地址表12k模塊化插槽數(shù)4電源100-240 VAC(自動適應(yīng))50-60Hz環(huán)境標準工作溫度0-45尺寸(mm)44*445*409（高寬長）重量(Kg)6.44.5 IP地址規(guī)劃原則（1）唯一性原則：全網(wǎng)唯一；（2）可匯總原則：按塊劃分；（3）連續(xù)性原則：地址塊的連續(xù)分配；（4）擴展性原則：需要考慮將來的網(wǎng)絡(luò)擴容及應(yīng)用擴展。需要有預(yù)留 地址，包括地址塊預(yù)留、地址塊內(nèi)IP地址預(yù)留；（5）實意性原則：使IP地址具有實際含義，看到IP地址就能知道它的用途。如：越核心IP

40、地址越小等；（6）公式劃分：定義一個或幾個IP地址劃分公式來分配IP地址。（7）先地區(qū)后業(yè)務(wù)分配方法網(wǎng)絡(luò)前綴 地址位 業(yè)務(wù)功能位 子網(wǎng)位 主機位；（8）先業(yè)務(wù)后地區(qū)分配方法網(wǎng)絡(luò)前綴 業(yè)務(wù)功能位 地址位 子網(wǎng)位 主機位。4.6 IP地址規(guī)劃本網(wǎng)采用先地區(qū)后業(yè)務(wù)劃分方法進行IP地址分配。192.168.地址位（5位） 業(yè)務(wù)功能位（3位）.子網(wǎng)位 主機位4.6.1 地區(qū)代碼表地址位代碼地區(qū)IP地址段備注0骨干/21匯總/201骨干（預(yù)留）/212總部/21匯總/203總部（預(yù)留）192.

41、168.24.0/214分校/215分校（預(yù)留）/214.6.2 業(yè)務(wù)功能代碼表業(yè)務(wù)功能位代碼業(yè)務(wù)備注0三層設(shè)備Loopback地址1-2鏈路地址3二層交換機網(wǎng)管4生產(chǎn)業(yè)務(wù)5辦公業(yè)務(wù)6-7保留4.6.3 IP地址分配表設(shè)備接口IP對端設(shè)備對端接口對端IPS1Loopback0/32S1Vlan901/30S2Vlan 901/30S1F2/0/30R5F2/0/30S1F0/07/30FWF2/0192.168.1.

42、18/30S1Vlan22/24V-IP：本端主實驗樓S1Vlan300/24V-IP：本端主總部網(wǎng)管vlanS1Vlan20/24V-IP：本端主教學樓一棟S1Vlan21/24V-IP：本端主教學樓二、三棟S2Loopback0/32S2F2/0/30R6F2/00/30S2F0/01/30FWF1/0192.16

43、8.1.22/30S2Vlan22/24S2Vlan300/24S2Vlan20/24S2Vlan21/24FWF3/073/28Internet74/28R5Loopback0/32R5F1/03/30R6F1/04/30R5ppp-mp /30R7ppp-mp/30R6Loopback0/32R6Fr.102

44、p2p/30R7Fr.102 p2p/30R7Loopback0/32R7F2/0.300/24株洲網(wǎng)管vlanR7F2/0.36/24教學部R7F2/0.37/24實驗室SW1Vlan 300/24教學樓一棟SW2Vlan 300/24教學樓二棟SW3Vlan 300/24教學樓三棟SW4Vlan 300/24實驗樓SW5Vlan 300192.168.1

45、9.8/24實驗樓SW6Vlan 300/24教學部（株洲）SW7Vlan 300/24實驗室（株洲）5 配置清單5.1 S1的配置命令S1的配置命令： version 12.3service timestamps debug datetime msec /啟動設(shè)備service timestamps log datetime msec /啟動設(shè)備no service password-encryption /啟動設(shè)備CISCO 設(shè)備基本配置： Switchenable Switch#Configuration terminal /進入全局配置模

46、式 Switch(config)#Hostname S1 /設(shè)備命名 S1(config)#no ip domain-lookup /禁用域名解析 S1(config)#line console 0 /進入CONSOLE S1config-line)#logging synch /日志同步，自動換行 S1(config-line)#exec-timeout 0 0 /永不超時 S1(config-line)#password cisco /配置線路密碼 S1(config-line)#login /啟用登入密碼 S1(config-line)#privilege level 15 /配置登入級

47、別 S1(config)#line vty 0 4 /進入VTY線路 S1(config-line)#password cisco /配置線路密碼 S1(config-line)#login /啟用登入密碼 S1(config-line)#privilege level 15 /配置登入級別 S1(config-line)#exit /退出S1核心交換機上創(chuàng)建VLAN: S1#vlan database /進入VLAN配置模式 S1(vlan)#vlan 22 /創(chuàng)建VLAN4 S1(vlan)#vlan 20 /創(chuàng)建VLAN5 S1(vlan)#vlan 19 /創(chuàng)建網(wǎng)管VLAN300 S1

48、(vlan)#vlan 21 /創(chuàng)建VLAN7 S1(vlan)#exit /退出 S1#vlan database /進入VLAN配置模式 S1(vlan)#vtp domain ccie /設(shè)置VTP的域名為ccie S1(vlan)#vtp password ccie /設(shè)置VTP的密碼 S1(vlan)#vtp server /設(shè)置為VTP服務(wù)器模式 S1(vlan)#vtp pruning /啟用修剪功能S1接口配置： S1(config)#interface Loopback0 /建立Loopback0 作為回環(huán)接口 S1(config-if)# ip address 192.16

49、8.0.1 55 /配置IP地址 S1(config)#interface FastEthernet0/0 /進入 FastEthernet0/0接口 S1(config-if)#ip address 7 52 /配置IP地址 S1(config-if)#duplex auto /配置接口為全雙工自適應(yīng)類型 S1(config-if)#speed auto /配合接口為速度自動協(xié)商 S1(config-if)#nterface FastEthernet1/2 /進入 FastEthernet1/2接口 S1(config

50、-if)#switchport mode access /設(shè)置接口類型為Access接口 S1(config-if)#switchport access vlan 22 /將接口加入到VLAN22S1(config-if)#spanning-tree portfast /將該接口設(shè)置為快速接口 S1(config-if)#interface FastEthernet1/3 /進入 FastEthernet1/3 接口 S1(config-if)#switchport trunk allowed vlan 1-900,1002-1005 /設(shè)置接口所在Trunk能承載的VlanID號為1-900

51、,1002-1005 S1(config-if)#switchport mode trunk /設(shè)置接口類型為TRUNK S1(config-if)#shutdown /該接口為關(guān)閉狀態(tài) S1(config-if)#no cdp enable S1(config-if)#interface FastEthernet1/4 /進入FastEthernet1/4接口 S1(config-if)#switchport trunk allowed vlan 1-900,1002-1005 /設(shè)置接口所在Trunk能承載的VlanID號為1-900，1002-1005 S1(config-if)#switchport mode trunk /設(shè)置接口類型為TRUNK S1(config-if)#shutdown /該接口為關(guān)閉狀態(tài) S1(config-if)#interface FastEthernet1/5 /進入FastEthernet1/5接口 S1(config-if)#switchport trunk allowed vlan 1-900,1002-1005 /設(shè)置接口所在Trunk 能承載的Vlan