校园网络规划论文

摘 要

本方案主要完成校园网络的设计与实现。论文主要介绍校园网设计的需求分析，确立建设校园网的目标，依照标准的设计原则，设计出校园网络的结构及解决方案。

本校园网采用通用的分层设计方法，将校园网络分成三个层次：核心层、分布层、访问层。建设一个高效安全的局域网并接入互联网，校园网对外提供Web、FTP等数据服务，并且使每台电脑都能够访问互联网。采用Cisco的网络设备，把校园网内每个部门都设计成一个子网，规划每个部门的IP地址，设计网络拓扑图，配置网络的交换模块、广域网接入模块、服务器模块和远程访问模块。

关键词：校园网 虚拟局域网 拓扑图 Cisco网络设备

I

校园网设计与实现

Abstract

The main campus network design and implementation. The paper mainly introduces campus network design requirement analysis, establish the goal of building campus network, according to the standard of design principle, design of campus network structure and solutions.

The network layer by the general design method, will be divided into three levels: the campus network convergence layer, core, access layer. Building a high security of campus network and provide access to the Internet, Web, FTP data services, and make every computer can access the Internet. Using the network equipment, Cisco network engineering design methods, the campus every sector within a subnet, planning and design of each department, designing the IP address of the network topology configuration of network, the exchange of module, wan access module, the server module and remote access module.

Key words: Campus network Virtual LAN Topological graph Cisco network equipment

II

目录

摘 要 ........................................................... I Abstract ........................................................ II 第一章 引言 ..................................................... 1

1.1 研究概况及发展趋势综述 ............................................................................................. 1

1.2 研究校园网的目的和意义 ............................................................................................. 1 1.3 研究内容及实验方案 ..................................................................................................... 2

第二章 需求分析 ................................................. 2

2.1

2.2 2.3 2.4 2.5

应用背景需求分析 ......................................................................................................... 2 业务需求分析 ................................................................................................................. 3 管理需求分析 ................................................................................................................. 3 网络安全需求分析 ......................................................................................................... 3 网络环境需求分析 ......................................................................................................... 4

第三章 校园网系统设计说明 ....................................... 4

3.1 校园网设计原则 ............................................................................................................. 4

3.2 网络协议选择 ................................................................................................................. 5 3.3 千兆以太网 ..................................................................................................................... 5 3.4 主干网络的选择 ............................................................................................................. 6 3.5 系统安全性的实现 ......................................................................................................... 7

第四章 校园网络方案描述 ......................................... 7

4.1 设备选型 ....................................................................................................................... 7

4.2 网络系统拓扑图 ......................................................................................................... 11 4.3 VLAN及IP地址规划 ................................................................................................ 11

第五章 校园网络整体解决方案 .................................... 12

5.1 交换模块设计 ............................................................................................................... 12

5.1.1 配置访问层交换机 ............................................................................................. 12 5.1.2 配置分布层交换机 ............................................................................................. 16 5.1.3 配置核心层交换机 ............................................................................................. 20 5.2 广域网接入模块设计 ................................................................................................... 22

5.2.1 配置接入路由器 InternetRouter 的基本参数 .................................................. 22 5.2.2 配置接入路由器 InternetRouter 的各接口参数 .............................................. 22 5.2.3 配置接入路由器 InternetRouter 的路由功能 .................................................. 23 5.2.4 配置接入路由器 InternetRouter 上的 NAT ................................................... 23 5.2.5 配置接入路由器 InternetRouter 上的 ACL .................................................... 24 5.3 远程访问模块设计 ....................................................................................................... 26

5.3.1 配置物理线路的基本参数 ................................................................................. 26 5.3.2 配置接口基本参数并指定 IP 地址池 ............................................................. 27

III

5.3.3 配置身份认证 ..................................................................................................... 27 5.4 服务器模块设计 ........................................................................................................... 28 5.5 相关测试、诊断命令 ................................................................................................... 29

结束语 .......................................................... 30 参考文献 ........................................................ 30 致谢............................................................ 30

IV

第一章 引言

本方案参照当今校园网发展趋势，并结合实际情况而设计。建设校园网有非常大的理

论意义和实践意义。本方案为实现校园网所需的各项功能而设计出一个合理的解决方案。

1.1 研究概况及发展趋势综述

在网络信息时代的今天，面向新的需求和挑战，为了提高学校的科研、教学、管理等各方面的技术水平，为研究开发和培养高层次人才建立现代化平台，建立Intranet技术的高速多媒体校园网是非常必要的。

校园网建设的目标主要是建立以校园网络为基础的行政、教学及师生之间交互式管理系统，逐步建立校园信息网络，实现办公自动化；为开展网上远程教学、多媒体交互式立体教学模式的探索提供高速、稳定的支持平台；逐步建立计算机辅助教学、计算机辅试等系统，为实现多媒体课件制作网络化，教师备课电子化、多媒体化打好基础；保证网络系统的开放性、可持续性发展，便于以后集成视频会议、视频点播等高层次教学功能。

1.2 研究校园网的目的和意义

校园网是各种类型网络中的一大分支，有着非常广泛的应用。作为新技术的发祥地，学校、尤其是高等学校，和网络的关系十分密切，网络最初是在校园里进行实验并获得成功的，许多网络新技术也是首先在校园网中获得成功，进而才推向社会的。 本课题的理论意义和实践意义：

1.校园网的建设和发展是推进素质教育的需要

互联网已成为学校培养学生道德品质、创新能力等方面的新环境，成为培养高素质人才的崭新的平台，是学校推进素质教育的需要。 2.校园网的建设和发展是学校教育改革的战略制高点

创建丰富多彩的校园网络文化对于转变陈旧的教育思想和观念，促进教学内容、教学方法、教学结构和教学模式的改革，对于深化基础教育改革，提高教育质量，培养高素质的创新人才具有深远意义。

3.校园网的建设和发展是学校教育现代化的重点标志

1

第二章 需求分析

运用现代教育技术建设和发展校园网，营造清新的校园网络文化氛围，就是从根本上落实教育的战略地位，教师的生产力，推动和发展教师、学生的创造力的一种创新优势的重要标志。

1.3 研究内容及实验方案

研究内容：

建设一个高效安全的局域网并接入互联网，校园网对外提供Web、FTP等数据服务，每台电脑都能够访问互联网。采用cisco的网络设备，把校园网内每个部门都设计成一个子网，规划每个部门的IP地址，设计网络拓扑图，配置网络的交换模块、广域网接入模块、服务器模块和远程访问模块。 实验方案:

目前一般将校园网划分为核心层、分布层和访问层，对于规模不大的校园网，核心层与汇聚层可以合在一起，以简化网络体系。但是，校园网的建设是一个渐进过程，网络的不同层次可能由不同的投资者分别建设，同一个层次也可能由多个投资者分别建设。

本校园网采用这种通用的分层方法，将校园网络分成三个层次。网络中心为核心层：核心层的功能主要实现骨干网络之间的优化传输，骨干层设计任务的重点是冗余能力、可靠性和高速的传输。分布层负责网段的逻辑分割，聚合路由路径，收敛数据流量。访问层是用户进入网络的入口，将流量馈入网络。

第二章 需求分析

需求分析是网络建设的第一步，本方案从应用背景、业务需求、管理需求等几个方面进行需求分析。

2.1 应用背景需求分析

为了提高学校的管理效益和教学质量，开展学校现代化教育建设，建设具有规模的校园网络，Intranet技术的高速多媒体校园网是必要的。整个高速多媒体校园网建设原则是“经济高效、领先实用”，既要领先一步，具有发展余地，又要比较实用。 校园网是集计算机技术、网络技术、多媒体技术于一体的系统，能够最大限度地调动学生对教学内容的积极性。

2

2.2 业务需求分析

本校园网为中小型规模的组网，节点数500个，但对通信量的要求较高，因此要求“千兆主干中跑，百兆到桌面”，并要求支持多媒体的应用。 本校园网需要实现的业务有：

Web服务：所有合法用户可以通过Web浏览的方式获得校园网络中的信息，学生可以通过Web浏览的方式在线学习；

FTP服务：教师可通过FTP服务器下载或上传课件资料； DNS、目录服务器：提供域名解析以及目录服务； 邮件服务器：提供邮件收发服务； 数据库服务器：提供各种数据库服务； 打印服务器：提供打印机共享服务；

网管服务器：对校园网网络设备进行综合管理。

2.3 管理需求分析

随着网络复杂度的增加，给网络管理带来成级数增加的工作量。网络管理要求解决的问题包括：

⑴虚拟局域网管理、分配。目前的虚拟局域网主要基于交换机端口划分，如果一个部门扩展新的入网点，扩展将改变交换机端口设置。管理软件需提供远地虚拟网的修改功能。

⑵对所有网络设备端口的监视和管理。对所有网络设备的远程配置和控制，包括网络设备端口的开启和关闭，整个网络的故障检测，故障自动报警功能，整个网络性能的统计和分析报告，甚至收费。按照这些网络管理的需求，应采用基于GUI界面的网络管理软件。

2.4 网络安全需求分析

校园网络安全主要考虑以下几方面要求：各个部门、系所访问网络的控制，各单位之间在未经授权的情况下，不能相互访问。网络需要建立防火墙，禁止外部用户未经许可访问内部的数据，或者内部用户未经许可访问外部数据。

对安全问题的考虑主要是两个方面：校园网应该是一个开放的系统，它不需要与或商业公司那样的网络安全保密性；另外，校园网应该是安全的，它不应该受到恶意的攻击而无法运行，一些科研成果也不应该对任何人都开放。主要利用虚拟网技术和防火墙技

3

第三章 校园网系统设计说明

术来合理解决安全与开放的问题。

2.5 网络环境需求分析

该学校占地180亩，现有在校生2000多名，教职员工100多名。学校主要建筑分布如图2－1所示：

图2－1 学校主要建筑分布图

学生公寓 运学生公寓 学生公寓 图教师公寓 教师公寓 计算机中心 实验楼 书馆 教学楼 动场 教务处 第三章 校园网系统设计说明

一个好的校园网应该按照标准的设计原则，采用国际化设计标准，合理的选择网络技术，网络的安全性也是非常重要的。

3.1 校园网设计原则

1.实用性与先进性

根据学校实际情况和特点，在设计中特别强调实用性与先进性的结合，应采用成熟的网络技术，保证校园网实用；跟踪国际网络技术的新发展，设计技术先进的网络。在保证校园网可靠、实用、先进的基础上，可以提供研究先进网络技术的科研环境，方便学校的科研与开发。 2.开放性与标准化

4

整个校园网的设计采用开放的网络体系，以方便网络的升级、扩展和互联。同时，在选择服务器、网络产品时，强调产品支持的网络协议的国际标准化。 3.可靠性与安全性

在校园网的设计中，主要考虑两个层次：一是整个网络的可靠性与安全性，采用高可靠性、高安全性的网络体系结构，包括合理设计广域网的访问控制和内部局域网的访问控制、对外部网络访问链路的备份等；二是网络设备的可靠性与安全性，主要是采用可带电插拔的模块、配置双电源、端口冗余、设置网络设备的用户表及口令等手段。 4.经济性与可扩充性

在满足学校需求的前提下，选用性价比高的网络设备和服务器。采用的网络架构和设备，应充分考虑到易升级换代，并且在升级时可以最大限度地保护原有的硬件设备和软件投资。

3.2 网络协议选择

在此校园网的设计中主要采用了以下标准：

 IEEE802.3u

IEEE 工作组为FastEthenet 制定了被称作IEEE802.3u 的标准， 并制定了如下的规范： 如表3－1所示：

100BASE-T4 100BASE-TX 1000BASE-F 电缆 双绞线 双绞线 光纤 最大距离 100米 100米 2000米 表3－1 线缆规范

优点 便宜 易维护 远距离全双工 编码：曼切斯特编码

介质访问控制方式：CSMA/CD 控制方法

3.3 千兆以太网

1998 年6 月29 日， 千兆以太网联盟于加利福尼亚PALO ALTO 正式宣布了千兆以太网标准IEEE 802.3Z。这是千兆以太网发展的里程碑。

人们对千兆以太网技术给予了充分的重视和信心。简单地说， 这是因为“千兆以太网

5

第三章 校园网系统设计说明

仍然是以太网， 只不过速度更快而已”。这一点是问题的关键。由于“ 千兆以太网仍然是以太网”， 因此千兆以太网继承了10M、100M 以太网的特征。由此得出了千兆以太网的以下优点：

1）与现有大多数网络设施的兼容性。权威统计表明大多数网络都是以太网， 因此千兆以太网与现有网络具有天然的兼容性。千兆以太网在与10M、100M 以太网通信时不存在需要损失性能的转换操作。

2）简便的网络升级操作。千兆以太网由于完全与以前的10M、100M 以太网兼容。因此， 自然简便的网络升级使得千兆以太网可以“无缝” 融入现存的以太网环境中， 解决了网络管理员所面临的如何升级现有网络，但不至于造成网络瘫痪的问题。用户总是倾向简单实用， 厌恶烦琐复杂的工作。因为升级的挑战过程和额外的知识学习并不是用户建网的目的。

3）技术的成熟性和稳定性。以太网技术是十分成熟的技术， 它所组成系统的可靠性已经接近一般的电话通信系统（我们可以体会到， 电话是不大出错的）。“千兆以太网仍然是以太网” 意味着千兆以太网是可以信赖的技术。

4）总体开销较低。总体性的开销是评价网络技术的重要的因素。总体开销不仅包括购买设备的开销， 还应包括培训、维护和纠错的开销。而千兆以太网产品能提供较好的性能价格比。

3.4 主干网络的选择

校园网络主干采用千兆以太网交换技术，各大楼内采用以太网、快速以太网技术。 千兆以太网的特点主要包括如下：

1. 千兆以太网具有价格优势千兆以太网继承了传统以太网的主要技术特征， 以太网长期研发和生产线经验使得千兆以太网的产品具有成熟性和大规模生产的价格优势。从构造层次和技术复杂性来说， 千兆以太网也应在价格上优于其它主干方式。考虑到倍比于设备开销的维护管理开销，千兆以太网似乎更应胜出一筹。

2．千兆位以太网相对于原有的快速以太网、FDDI、ATM等主干网解决方案，提供了一条最佳的路径。至少在目前看来，是改善交换机与交换机之间，骨干连接和交换机与服务器之间连接的可靠、经济的途径。网络设计人员能够建立有效使用应用程序和文件备份的高速基础设施。网络管理人员将为用户提供对Internet、Intranet更快速的访问。 3．IEEE 802.3工作组建立了802.3z和802.3ab千兆位以太网工作组，其任务是开发适应不

6

同需求的千兆位以太网标准。该标准支持全双工和半双工1000Mbps，相应的操作采用IEEE 802.3以太网的帧格式和CSMA/CD介质访问控制方法。千兆位以太网还要与10BaseT和100BaseT向后兼容。此外，IEEE标准将支持最大距离为1500米的多模光纤、最大距离为3000米的单模光纤和最大距离为500米的铜轴电缆。千兆位以太网填补了802.3以太网/快速以太网标准的不足。

3.5 系统安全性的实现

在方案中,我们根据用户网络安全需求,在与外部网连接时采用防火墙软件及路由器内部NAT 地址转换, 保证了内部网络的安全,并根据用户需要在网络中设置必要的访问控制，做到网络安全的全面控制； 并采用VLAN等技术进一步控制内部网络安全， 采用身份验证控制拨号用户的安全性， 采用双机备份和冗余连接、网卡容错、数据库容错、定期备份等实现安全可靠性。

第四章 校园网络方案描述

为校园网设计合理的拓扑图，选择合适的设备，并规划局域网IP。

4.1 设备选型

1．核心层交换机：

核心层提供一个高速数据包转发通道，使得分布层交换机进行高速的数据交换。 采用CISCO 6509 为核心交换机。 如图4－1所示：

图4－1 CISCO 6509交换机

CISCO 6509交换机的基本参数如表4－1所示：

7

第四章 校园网络方案描述

表4－1 CISCO 6509交换机的基本参数

2．分布层交换机（又称汇聚层）：

汇聚层负责网段的逻辑分割，聚合路由路径，收敛数据流量。

考虑到各信息楼（图书馆、学生宿舍区等）信息量较大， 对交换速度要求较高，故各信息楼接入选用交换速率较高、价格性能比较好的CISCO 3560 交换机。 如图4－2所示：

图4－2 CISCO 3650 交换机

CISCO 3650 交换机的基本参数如表4－2所示：

表4－2 CISCO 3650 交换机的基本参数

8

3. 接入层交换机：

接入层将流量馈入网络，执行网络访问控制。 选用CISCO 2950交换机，使桌面接入的速度大大提高。 如图4－3所示：

图4－3 CISCO 2950交换机

CISCO 2950交换机的基本参数如表4－3所示：

表4－3 CISCO 2950交换机的基本参数

9

第四章 校园网络方案描述

4. 路由器

广域网接入模块采用的是Cisco 2851 路由器。其作用主要是在 Internet和校园网内网间路由数据包。除了完成主要的路由任务外，利用访问控制列表（ Access Control List，ACL），广域网接入路由器还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。 如图4－4所示：

图4－4 Cisco 2851路由器

Cisco 2851 路由器的基本参数如表4－4所示：

表4－4 Cisco 2851路由器的基本参数

选用的所有设备都是可网管的,而且提供了CISCO CWSI的网管软件,可提供全方位对整个校园网的Cisco 设备进行实时监控和管理。

10

4.2 网络系统拓扑图

如图4－5所示：

图4－5 网络系统拓扑图

4.3 VLAN及IP地址规划

如表4－5所示： VLAN号 VLAN1 VLAN10 VLAN20 VLAN30 VLAN40 VLAN50 VLAN60 VLAN70 VLAN100

VLAN名称 － JWC XSSS CWC JGSS JZX GLX JSJX FWQQ IP网段 192.168.0.0/24 192.168.1.0/24 192.168.2.0/24 192.168.3.0/24 192.168.4.0/24 192.168.5.0/24 192.168.6.0/24 192.168.7.0/24 默认网关 192.168.0.2 192.168.1.2 192.168.2.2 192.168.3.2 192.168.4.2 192.168.5.2 192.168.6.2 192.168.7.2 说明 管理VLAN 教务处VLAN 学生宿舍VLAN 财务处VLAN 教工宿舍VLAN 建筑系VLAN 管理系VLAN 计算机系VLAN 服务器群VLAN 192.168.100.0/24 192.168.100.2 表4－5 VLAN及IP地址规划

11

第五章 校园网络整体解决方案

第五章 校园网络整体解决方案

完成校园网络的交换模块、广域网接入模块、服务器模块和远程访问模块的配置。

5.1 交换模块设计

校网网数据交换设备可以划分为三个层次：访问层、分布层、核心层。传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了校园网数据交换的效率，更大大增强了校园网数据交换服务质量，满足了不同类型网络应用程序的需要。

本网络还引入了虚拟局域网（Virtual LAN，VLAN）的概念。VLAN将广播域在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN 的影响。在 VLAN 间需要通信的时候，可以利用 VLAN 间路由技术来实现。

当网络管理人员需要管理的交换机数量众多时，可以使用 VLAN 中继协议（ Vlan Trunking Protocol， VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。

当校园网络的交换机数量增多、交换机间链路增加时，交换网络的复杂性可能会造成交换环路问题，这需要通过在各交换机上运行生成树协议（SpanningTree Protocol， STP）来解决。

5.1.1 配置访问层交换机

访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的是Cisco 2950交换机。该交换机拥有24个10/100Mbps自适应快速以太网端口，运行的是 Cisco 的 IOS 操作系统。

1．设置访问层交换机 AccessSwitch1 的基本参数：

设置交换机名称，也就是出现在交换机CLI提示符中的名字。一般以地理位置或行政划分来为交换机命名。当需要 Telnet 登录到若干台交换机以维护一个大型网络时，通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。

设置交换机的加密使能口令，当用户在普通用户模式而想要进入特权用户模式时，需要提供此口令。此口令会以MD5的形式加密，因此，当用户查看配置文件时，无法看到明

12

文形式的口令。

设置登录虚拟终端线时的口令以及终端线超时时间。对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理人员提供了很多的方便。但是，出于安全考虑，在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。为了安全考虑，可以设置终端线超时时间。在设置的时间内，如果没有检测到键盘输入，设备操作系统 将断开用户和交换机之间的连接。

设置禁用 IP 地址解析特性在交换机默认配置的情况下，当输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的DNS 服务器并将其解析成对应的 IP 地址。利用命令no ip domain-lookup。可以禁用这个特性。 基本参数的配置如图5－1所示：

图5－1 设置基本参数

2．配置访问层交换机 AccessSwitch1 的管理 IP、默认网关：

访问层交换机是 OSI 参考模型的第 2 层设备，即数据链路层的设备。因此，给访问层交换机的每个端口设置 IP 地址是没意义的。但是，为了使网络管理人员可以从远程登录到访问层交换机上进行管理，必须给访问层交换机设置一个管理用 IP 地址。这种情况下，实际上是将交换机看成和 PC 机一样的主机。

给交换机设置管理用的 IP 地址只能在VLAN1，即本征VLAN中进行。管理VLAN所在的子网是：192.168.0.0/24 ，这里将访问层交换机AccessSwitch1的管理IP地址设为：192.168.0.5/24。

为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关地址192.168.0.2。

13

第五章 校园网络整体解决方案

如图5－2所示：

图5－2 配置管理 IP、默认网关

3．配置访问层交换机 AccessSwitch1 的VTP

从提高效率的角度出发，在本校园网实现中使用了 VTP 技术。同时，将分布层交换机 DistributeSwitch1 设置成为 VTP 服务器，其他交换机设置成为VTP 客户机。这里访问层交换机 AccessSwitch1 将通过VTP获得在分布层交换机DistributeSwitch1 中定义的所有 VLAN 的信息。 如图5－3所示：

图5－3 配置访问层交换机 AccessSwitch1 的VTP

4．配置访问层交换机 AccessSwitch1 端口基本参数 端口双工配置：

可以设定端口根据对端设备双工类型自动调整本端口双工模式，也可以强制将端口双工模式设为半双工或全双工模式。

设置访问层交换机AccessSwitch1的所有端口均工作在全双工模式。 如图5－4所示：

图5－4 端口双工配置

端口速度设置：

可以设定端口根据对端设备速度自动调整本端口速度，也可以强制将端口速度设为10Mpbs 或 100Mbps。

设置访问层交换机AccessSwitch1的所有端口的速度均为100Mbps。 如图5－5所示：

图5－5 端口速度设置

14

5．配置访问层交换机 AccessSwitch1 的访问端口

访问层交换机 AccessSwitch1 为 VLAN10、VLAN20 提供接入服务。设置访问层交换机 AccessSwitch1 的端口 1～20 工作在访问（接入）模式。同时，设置端口 1～10 为 VLAN 10 的成员，端口11～20 为 VLAN 20 的成员。

如图5－6所示：

图5－6 设置访问层交换机 AccessSwitch1 的端口1～20

设置快速端口：

默认情况下，交换机在刚加电启动时，每个端口都要经历生成树的四个阶段：阻塞、侦听、学习、转发。

对于直接接入终端工作站的端口来说，用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间，可以设置将某端口设置成为快速端口（ Portfast）。设置为快速端口的端口当交换机启动或端口有工作站接入时，将会直接进入转发状态，而不会经历阻塞、侦听、学习状态（假设桥接表已经建立）。

设置访问层交换机 AccessSwitch1 的端口 1～20 为快速端口。 如图5－7所示：

图5－7 设置快速端口

6．配置访问层交换机 AccessSwitch1 的主干道端口

访问层交换机 AccessSwitch1 通过端口 FastEthernet 0/23 上连到分布层交换机 DistributeSwitch1 的端口 FastEthernet 0/23。同时，通过端口FastEthernet 0/24上连到分布层交换机DistributeSwitch2 的端口 FastEthernet 0/23。

这两条上连链路将成为主干道链路，在这两条上连链路上将运输多个VLAN 的数据。 设置访问层交换机 AccessSwitch1 的端口 FastEthernet 0/23、FastEthernet 0/24 为主干道端口。如图5－8所示：

图5－8 配置访问层交换机 AccessSwitch1 的主干道端口

15

第五章 校园网络整体解决方案

7．配置访问层交换机 AccessSwitch2

访问层交换机 AccessSwitch2 为 VLAN 30 和 VLAN 40 的用户提供接入服务。同时，分别通过自己的 FastEthernet 0/23

、FastEthernet 0/24 上连到分布层交换机

DistributeSwitch1、DistributeSwitch2 的端口FastEthernet 0/24。

对访问层交换机AccessSwitch2的配置步骤 、命令和访问层交换机AccessSwitch1 的配置类似。

5.1.2 配置分布层交换机

分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供VLAN 间的路由选择功能。

这里的分布层交换机采用的是 Cisco Catalyst 3560 交换机。作为 2 层交换机，Cisco Catalyst 3560 交换机拥有 48 个 10/100Mbps 自适应快速以太网端口，同时还有 2 个 1000Mbps 端口供上连使用。

1．配置分布层交换机 DistributeSwitch1 的基本参数

对分布层交换机DistributeSwitch1的基本参数的配置步骤与对访问层交换机AccessSwitch1的基本参数的配置类似。

具体配置如图5－9所示：

图5－9 配置分布层交换机 DistributeSwitch1 的基本参数

2．配置分布层交换机 DistributeSwitch1 的管理 IP

为分布层交换机 DistributeSwitch1 设置管理 IP 并激活本征 VLAN。 如图5－10所示：

图5－10 配置分布层交换机 DistributeSwitch1 的管理 IP

16

3．配置分布层交换机 DistributeSwitch1 的 VTP

当网络中交换机数量很多时，需要分别在每台交换机上创建很多重复的VLAN。工作量很大、过程很繁琐，并且容易出错。在实际工作中常采用 VLAN中继协议（ Vlan Trunking Protocol， VTP）来解决这个问题。

VTP允许在一台交换机上创建所有的VLAN。然后，利用交换机之间的互相学习功能，将创建好的VLAN 定义传播到整个网络中需要此 VLAN 定义的所有交换机上。同时，有关 VLAN 的删除、更改操作均可传播到其他交换机。从而大大减轻了网络管理人员配置交换机的负担。

在本校园网实现中使用了VTP技术。同时，将分布层交换机DistributeSwitch1 设置成为 VTP 服务器，其他交换机设置成为 VTP 客户机。 配置 VTP 管理域并设置 VTP 服务器模式：

共享相同VLAN定义数据库的交换机构成一个VTP管理域。每一个 VTP管理域都有一个共同的VTP 管理域域名。不同VTP管理域的交换机之间不交换 VTP 通告信息。

工作在 VTP 服务器模式下的交换机可以创建、删除 VLAN、修改 VLAN 参数。同时，还有责任发送和转发 VLAN 更新消息。 具体配置如图5－11所示：

图5－11 配置 VTP 管理域并设置 VTP 服务器模式

激活 VTP 剪裁功能：

默认情况下主干道传输所有VLAN 的用户数据。有时，交换网络中某台交换机的所有端口都属于同一VLAN 的成员，没有必要接收其他 VLAN 的用户数据。这时，可以激活主干道上的 VTP 剪裁功能。当激活了 VTP 剪裁功能以后，交换机将自动剪裁本交换机没有定义的 VLAN 数据。

在一个 VTP 域下，只需要在 VTP 服务器上激活 VTP 剪裁功能。同一 VTP域下的所有其他交换机也将自动激活 VTP 剪裁功能。

如图5－12所示：

图5－12 激活 VTP 剪裁功能

17

第五章 校园网络整体解决方案

4．在分布层交换机 DistributeSwitch1 上定义 VLAN

在本校园网实现中，除了默认的本征VLAN外，又额外定义了8 个VLAN。由于使用了 VTP 技术，所以，所有 VLAN 的定义都只需要在 VTP 服务器，即分布层交换机 DistributeSwitch1 上进行。

定义了 8 个 VLAN，同时为每个 VLAN 命名。如图5－13所示：

图5－13 定义 VLAN并命名

5．配置分布层交换机 DistributeSwitch1 的端口基本参数

分布层交换机 DistributeSwitch1 的端口 FastEthernet 0/1～ FastEthernet 0/10为服务器群提供接入服务，而端口 FastEthernet 0/23、 FastEthernet 0/24 分别下连到访问层交换机

AccessSwitch1 的端口FastEthernet 0/23 以及访问层交换机

AccessSwitch2 的端口 FastEthernet 0/23。

此外，分布层交换机DistributeSwitch1还通过自己的千兆端口GigabitEthernet 0/1 上连到核心交换机 CoreSwitch1 的 GigabitEthernet 0/1。

为了实现冗余设计，分布层交换机DistributeSwitch1还通过自己的千兆 端口GigabitEthernet 0/2连接到另一台分布层交换机DistributeSwitch2的GigabitEthernet 0/2。

如图5－14所示：

18

图5－14 设置分布层交换机 DistributeSwitch1 的各端口参数

6．配置分布层交换机 DistributeSwitch1 的路由功能

分布层交换机 DistributeSwitch1 需要为网络中的各个 VLAN 提供路由功能。这需要首先启用分布层交换机的路由功能。

如图 5－15 所示：

图 5－15 启用路由功能

接下来，需要为每个 VLAN 定义自己的默认网关地址。此外，还需要定义通往 Internet 的路由。这里使用了一条缺省路由命令。

如图 5－16 所示：

图 5－16 定义各 VLAN 的默认网关地址及到 Internet 的缺省路由

7．配置分布层交换机 DistributeSwitch2

分布层交换机 DistributeSwitch2 的端口 FastEthernet 0/23、FastEthernet 0/24分别下连到访问层交换机 AccessSwitch1 的端口 FastEthernet 0/24 以及访问层交换机

19

第五章 校园网络整体解决方案

AccessSwitch2 的端口 FastEthernet 0/24。

此外，分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet 0/1 上连到核心交换机 CoreSwitch1 的 GigabitEthernet 0/2。

为了实现冗余设计，分布层交换机DistributeSwitch2还通过自己的千兆端口 GigabitEthernet 0/2 连接到分布层交换机 DistributeSwitch1 的 GigabitEthernet 0/2。

对分布层交换机DistributeSwitch2的配置步骤、命令和对分布层交换机DistributeSwitch1 的配置类似。 5.1.3 配置核心层交换机

1．配置核心层交换机 CoreSwitch1 的基本参数

对核心层交换机CoreSwitch1的基本参数的配置步骤与对访问层交换机AccessSwitch1 的基本参数的配置类似。

具体配置如图5－17所示：

图5－17 配置核心层交换机 CoreSwitch1 的基本参数

2. 配置核心层交换机 CoreSwitch1 的管理 IP

为核心层交换机 CoreSwitch1设置管理 IP 并激活本征 VLAN。 如图5－18所示：

图5－18 配置核心层交换机 CoreSwitch1 的管理 IP

3．配置核心层交换机 CoreSwitch1 的的 VLAN 及 VTP

20

设置核心层交换机 CoreSwitch1 成为 VTP 客户机。 如图5－19所示：

图5－19 设置核心层交换机 CoreSwitch1 成为 VTP 客户机

4．配置核心层交换机 CoreSwitch1 的端口参数

核心层交换机 CoreSwitch1 通过自己的端口FastEthernet 0/0同广域网接入模块相连。同时，核心层交换机CoreSwitch1的端口GigabitEthernet 0/1～GigabitEthernet 0/2分别下连到分布层交换机DistributeSwitch1 和 DistributeSwitch2 的端口 GigabitEthernet 0/1。

具体配置命令如图5－20所示：

图5－20 设置核心层交换机 CoreSwitch1 的各端口参数

此外，为了提供主干道的吞吐量以及实现冗余设计，在本设计中，将核心层交换机 CoreSwitch1 的千兆端口 GigabitEthernet 3/1、GigabitEthernet 3/2 捆绑在一起实现2000Mbps的千兆以太道，然后再连接到另一台核心层交换机CoreSwitch2。

设置核心层交换机 CoreSwitch1的千兆以太道的步骤。 如图5－21所示：

图5－21 设置核心层交换机 CoreSwitch1 的千兆以太道

5．配置核心层交换机 CoreSwitch1 的路由功能

核心层交换机CoreSwitch1通过端口FastEthernet 0/0同广域网接入模块（ Internet 路由器）相连。因此，需要启用核心层交换机的路由功能。同时，还需要定义通往 Internet 的路由。这里使用了一条缺省路由命令。其中，下一跳地址是 Internet 接入路由器的快速以太网接口 FastEthernet 0/0 的IP 地址。

21

第五章 校园网络整体解决方案

如图5－22所示：

图5－22 定义到 Internet 的缺省路由

6．核心层交换机 CoreSwitch2 的配置

核心层交换机 CoreSwitch2 的配置步骤、命令和对核心层交换机CoreSwitch1的配置类似。

5.2 广域网接入模块设计

广域网接入模块的功能是由广域网接入路由器InternetRouter 来完成的。采用的是Cisco 2851 路由器。它通过自己的串行接口 serial 2/0接入 Internet。其作用主要是在 Internet和校园网内网间路由数据包。除了完成主要的路由任务外，利用访问控制列表（ Access Control List，ACL），广域网接入路由器 InternetRouter 还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。 5.2.1 配置接入路由器 InternetRouter 的基本参数

对接入路由器InternetRouter的基本参数的配置步骤与对访问层交换机AccessSwitch1 的基本参数的配置类似。 如图5－23所示：

图5－23 配置接入路由器 InternetRouter 的基本参数

5.2.2 配置接入路由器 InternetRouter 的各接口参数

对接入路由器InternetRouter的各接口参数的配置主要是对接口FastEthernet 0/0

22

以及接口 Serial 2/0 的 IP 地址、子网掩码的配置。 如图5－24所示：

图5－24 配置接入路由器 InternetRouter 的各接口参数

5.2.3 配置接入路由器 InternetRouter 的路由功能

在接入路由器 InternetRouter 上需要定义两个方向上的路由：到校园网内部的静态路由以及到 Internet 上的缺省路由。

到 Internet 上的路由需要定义一条缺省路由，其中，下一跳指定从本路由器的接口 serial 2/0 送出。到校园网内部的路由条目可以经过路由汇总后形成两条路由条目。

如图 5－25 所示：

图 5－25 配置接入路由器 InternetRouter 的路由功能

5.2.4 配置接入路由器 InternetRouter 上的 NAT

由于目前 IP 地址资源非常稀缺，不可能给校园网内部的所有工作站都分配一个公有 IP（ Internet 可路由的）地址。为了解决所有工作站访问 Internet 的需要，必须使用 NAT（网络地址转换）技术。

为了接入 Internet，本校园网向当地ISP申请了6个 IP 地址。其中一个IP地址：202.110.5.1 被分配给了 Internet 接入路由器的串行接口，另外 5 个 IP 地址：202. 110.5.2～ 202. 110.5.6 用作 NAT。 NAT 的配置可以分为以下几个步骤：

1．定义 NAT 内部、外部接口，如图5－26所示：

图5－26 定义 NAT 内部、外部接口

23

第五章 校园网络整体解决方案

2．定义允许进行 NAT 的工作站的内部局部 IP 地址范围，如图5－27所示：

图5－27 定义工作站的内部局部 IP 地址范围

3. 为服务器定义静态地址转换，其他工作站定义复用地址转换。 如图5－28所示：

图5－28 为服务器定义静态地址转换及为工作站定义复用地址转换

5.2.5 配置接入路由器 InternetRouter 上的 ACL

路由器是进入校园网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表（Access Control List，ACL）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于校园内网和之间，是与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙软件后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对内网包括防火墙本身实施保护。

在本设计中，针对服务器以及内网工作站的安全做了如下ACL 的配置方案。

1．屏蔽简单网管协议，即 SNMP。

利用SNMP协议，远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型： SNMP 和 SNMPTRAP，因此需屏蔽SNMP。

如图5－29所示：

图5－29 屏蔽简单网管协议

2． 对外屏蔽远程登录协议，即telnet

24

首先，telnet 可以登录到大多数网络设备和服务器，并可以使用相关命令完全操纵它们；其次，telnet 是一种不安全的协议类型。用户在使用 telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。这是极其危险的，因此必须加以屏蔽。 如图5－30所示:

图5－30 对外屏蔽远程登录协议 telnet

3． 对外屏蔽其它不安全的协议或服务

这样的协议主要有 SUNOS 的文件共享协议端口 2049，远程执行、远程登录和远程命令端口512、 513、 514，远程过程调用端口 111。 如图5－31所示：

图5－31 对外屏蔽其它不安全的协议或服务

4． 针对 DoS 攻击的设计

DoS 攻击（Denial of Service Attack，拒绝服务攻击）是一种非常常见而且极具破坏力的攻击手段，它可以导致服务器、网络设备的正常服务进程停止，严重时会导致服务器操作系统崩溃。 如图5－32所示：

图5－32 屏蔽DoS 攻击

5． 保护路由器自身安全

25

第五章 校园网络整体解决方案

只允许来自服务器群的IP地址访问并配置路由器 。 如图5－33所示：

图5－33 保护路由器自身安全

5.3 远程访问模块设计

远程访问也是校园网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供远程、移动接入服务。

远程访问有三种可选的接入方式：专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同，花费也不相同。在本设计中，考虑到面对的用户群规模较小、业务量较小，所以采用了异步拨号连接作为远程访问的接入方式。

异步拨号连接属于电路交换类型的广域网连接，它是在传统公共交换电话

网（Public Switched Telephone Network，PSTN）上提供服务的。传统 PSTN 提供的服务也被称

为简易老式电话业务（ Plan Old Telephone System，POTS）。因为目前存在着大量安装好的电话线，所以这样的环境是最容易满足的。因此，异步拨号连接也就成为最方便和普遍的远程访问类型。

广域网连接可以采用不同类型的封装协议，如 HDLC、PPP 等。其中，PPP除了提供身份认证功能外，还可以提供其他很多可选项配置，包括链路压缩、多链路捆绑、回叫等，因此更具优势。本设计所采用封装协议是 PPP。 5.3.1 配置物理线路的基本参数

对物理线路的配置包括配置线路速度（DTE、 DCE之间的速率）、停止位位数、流控方式、允许呼入连接的协议类型、允许流量的方向等。

如图5-34 所示：

图5-34 配置物理线路的基本参数

26

5.3.2 配置接口基本参数并指定 IP 地址池

对接口基本参数的配置包括：接口封装协议类型、接口异步模式、IP 地址、为远程客户分配IP 地址的方式等。这里，设置远程客户从IP地址池 huangrong 中获得 IP 地址。并建立一个名为huangrong 的 IP 地址池。其 IP 地址范围是： 192.168.200.1～ 192.168.200.16。 如图5－35所示：

图5－35 配置接口基本参数并指定 IP 地址池

5.3.3 配置身份认证

PPP提供了两种可选的身份认证方法：口令验证协议PAP（ Password Authentication Protocol ， PAP ）和质询握手协议（ Challenge HandshakeAuthentication Protocol，CHAP）。

PAP是一个简单的、实用的身份验证协议。PAP认证进程只在双方的通信链路建立初期进行。如果认证成功，在通信过程中不再进行认证。如果认证失败，则直接释放链路。

CHAP 认证比 PAP 认证更安全，因为 CHAP 不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，也被称为“挑战字符串”。同时，身份认证可以随时进行，包括在双方正常通信过程中。因此，非法用户就算截获并成功破解了一次密码，此密码也将在一段时间内失效。

CHAP对端系统要求很高，因为需要多次进行身份质询、响应。这需要耗费较多的 CPU 资源，因此只用在对安全要求很高的场合。

PAP虽然有着用户名和密码是明文发送的弱点，但是认证只在链路建立初期进行，因此节省了宝贵的链路带宽。本设计中将采用 PAP 身份认证方法。 1、建立本地口令数据库 如图5－36所示：

图5－36 建立本地口令数据库

27

第五章 校园网络整体解决方案

2、设置进行 PAP 认证 如图5－37所示：

图5－37 设置进行 PAP 认证

5.4 服务器模块设计

服务器模块用来对校园网的接入用户提供各种服务。在本设计中，所有的服务器被集中到VLAN 100 ，构成服务器群并通过分布层交换机DistributeSwitch1 的端口F1～ 10 接入校园网。

校园网网络提供的常用服务（服务器）包括：

WEB 服务器：提供 WEB 网站服务。

DNS、目录服务器：提供域名解析以及目录服务。 FTP文件服务器：提供文件传输、共享服务。 邮件服务器：提供邮件收发服务。 数据库服务器：提供各种数据库服务。 打印服务器：提供打印机共享服务。

网管服务器：对校园网网络设备进行综合管理。

表5－1给出了所有的服务器名称及IP地址、网关：

服务器编号 Server 1 Server 2 Server 3 Server 4 Server 5 Server 6 Server 7 服务器名称 服务器IP地址 192.168.100.1 192.168.100.2 192.168.100.3 192.168.100.4 192.168.100.5 192.168.100.6 192.168.100.7 WEB 服务器 FTP文件服务器 DNS、目录服务器 邮件服务器 数据库服务器 打印服务器 网管服务器 网关 192.168.100.2 192.168.100.2 192.168.100.2 192.168.100.2 192.168.100.2 192.168.100.2 192.168.100.2 表5－1 服务器名称及IP地址、网关

28

表5－2给出了所有的服务器硬件平台、操作系统以及服务软件的选型表：

编号 Server 1 Server 2 Server 3 Server 4 Server 5 Server 6 Server 7 服务器名称 硬件平台 操作系统 WEB 服务器 FTP文件服务器 DNS、目录服务器 邮件服务器 数据库服务器 打印服务器 网管服务器 HP LH3000 HP LH3000 HP TC 4100 SUN E250 HP TC 4100 HP TC 4100 HP TC 4100 Windows2000 Server Windows2000 Server Windows2000 Server Solaris 8.0 Windows2000 Server Windows2000 Server Windows2000 Server 服务软件 IIS5.0 SER V-U5.0 ActiveDirectory EYOU Mail SQLServer2000 --- Cisco Works 2000 表5－2 服务器硬件平台、操作系统以及服务软件的选型表

5.5 相关测试、诊断命令

当校园网初具规模后，还应该对校园网的整体运行情况做一下细致的测试和评估。 1．主要的测试内容应该包括： 对设备间的物理连通性的测试。 对相同VLAN内的通信进行测试。 对不同VLAN内的通信进行测试。 对冗余链路的工作状态进行测试。 对广域网接入路由器上的NAT进行测试。 对广域网接入路由器上的ACL进行测试。 对远程访问服务进行测试。 对各种服务器提供的服务进行测试。 2．常用诊断命令 Ping 测试设备间连通性

Show running-config 显示设备运行配置文件内容 Show startup-config 显示设备启动配置文件内容 Show interface vlan vlan号 显示Vlan信息 Show interface 显示端口所有信息

29

结束语

结束语

此次的校园网设计与实现，使我对网络的认识更加深入了,特别是对网络的路由与交换方面有了全新的认识。想要的合格完成网络的设计规划只掌握现在的专业知识是远远不够的，我们应该具有更全面的知识，不断的去学习新的知识。在规划中，从经济性、实用性、操作性、扩展性等原则来设计。整体规划基本做到了量体设计，并且对以后的扩展网络也有较强的扩展性。校园网要能很好地应用与发展，很大程度上取决于设计方案（包括组网技术、拓扑结构、IP及路由规划、设备选型、安全防范等)的设计实施合理与否。网络安全是网络建设的重要组成部分，是伴随计算机网络的不断发展出现的问题, 只有更好地解决好这一问题, 该网络才能更加稳步健康地发展, 从而更好地为全校师生的工作提供更加快捷可靠的网络服务。但由于时间紧迫，自己的理论和实践经验有限，所以方案还有许多需要改进之处，从而使它的更加完善。

通过本次毕业设计我学到了不少新的东西，也发现了大量的问题，有些在设计过程中已经解决，有些还有待今后慢慢学习。只要学习就会有更多的问题，有更多的难点，但也会有更多的收获。

参考文献

[1]浅析网络安全技术[J]. 北京:计算机工程与应用2005 [2]计算机网络[M]. 北京: 清华大学出版社 2005

[3]华为技术公司[M].北京:华为交换机、路由器技术手册 2005 [4]思科网络公司[M]. 北京:思科交换机、路由器技术手册 2005 [5]网络工程教程与实践[M].北京:人民邮电出版社 2006 [6]局域网组建与管理： 机械工业出版社 2003

致谢

此次的毕业设计中，我受到了多方面的帮助，在此表示真诚的感谢。我特别感谢的是我的指导老师刘有珠老师以及计算机系的所有老师。在这期间，老师严谨的治学态度、实事求是的研究风格给我留下了深刻的印象。在设计的过程中，老师们的每一次指导都是那

30

样的耐心，每一阶段都渗透着老师的心血和汗水，因为有了他们的帮助，我才能顺利完成毕业设计，并且从中学习到更多知识。在设计的过程中，还得到了同学们支持与帮助，在此深表感谢。

31