毕业设计（论文）校园网络规划设计与实现

1、摘 要本方案主要完成校园网络的设计与实现。论文主要介绍校园网设计的需求分析，确立建设校园网的目标，依照标准的设计原则，设计出校园网络的结构及解决方案。本校园网采用通用的分层设计方法，将校园网络分成三个层次：核心层、分布层、访问层。建设一个高效安全的局域网并接入互联网，校园网对外提供web、ftp等数据服务，并且使每台电脑都能够访问互联网。采用cisco的网络设备，把校园网内每个部门都设计成一个子网，规划每个部门的ip地址，设计网络拓扑图，配置网络的交换模块、广域网接入模块、服务器模块和远程访问模块。关键词：校园网虚拟局域网拓扑图 cisco网络设备abstractthe main campus

2、 network design and implementation. the paper mainly introduces campus network design requirement analysis, establish the goal of building campus network, according to the standard of design principle, design of campus network structure and solutions.the network layer by the general design method, w

3、ill be divided into three levels: the campus network convergence layer, core, access layer. building a high security of campus network and provide access to the internet, web, ftp data services, and make every computer can access the internet. using the network equipment, cisco network engineering d

4、esign methods, the campus every sector within a subnet, planning and design of each department, designing the ip address of the network topology configuration of network, the exchange of module, wan access module, the server module and remote access module.key words: campus network virtual lantopolo

5、gical graph cisco network equipment目录摘 要iabstractii第一章引言11.1 研究概况及发展趋势综述11.2 研究校园网的目的和意义11.3研究内容及实验方案2第二章需求分析32.1应用背景需求分析32.2业务需求分析32.3管理需求分析32.4网络安全需求分析42.5网络环境需求分析4第三章校园网系统设计说明53.1 校园网设计原则53.2网络协议选择53.3千兆以太网63.4主干网络的选择63.5系统安全性的实现7第四章校园网络方案描述84.1 设备选型84.2网络系统拓扑图124.3vlan及ip地址规划12第五章校园网络整体解决方案135.1

6、 交换模块设计135.1.1 配置访问层交换机135.1.2配置分布层交换机175.1.3配置核心层交换机215.2广域网接入模块设计235.2.1配置接入路由器 internetrouter 的基本参数235.2.2配置接入路由器 internetrouter 的各接口参数235.2.3配置接入路由器 internetrouter 的路由功能245.2.4配置接入路由器 internetrouter 上的 nat245.2.5配置接入路由器 internetrouter 上的 acl255.3远程访问模块设计275.3.1配置物理线路的基本参数275.3.2配置接口基本参数并指定 ip 地址

7、池285.3.3配置身份认证285.4服务器模块设计295.5相关测试、诊断命令30结束语31参考文献32致谢33第一章引言本方案参照当今校园网发展趋势，并结合实际情况而设计。建设校园网有非常大的理论意义和实践意义。本方案为实现校园网所需的各项功能而设计出一个合理的解决方案。1.1 研究概况及发展趋势综述在网络信息时代的今天，面向新的需求和挑战，为了提高学校的科研、教学、管理等各方面的技术水平，为研究开发和培养高层次人才建立现代化平台，建立intranet技术的高速多媒体校园网是非常必要的。 校园网建设的目标主要是建立以校园网络为基础的行政、教学及师生之间交互式管理系统，逐步建立校园信息网络，

8、实现办公自动化；为开展网上远程教学、多媒体交互式立体教学模式的探索提供高速、稳定的支持平台；逐步建立计算机辅助教学、计算机辅助考试等系统，为实现多媒体课件制作网络化，教师备课电子化、多媒体化打好基础；保证网络系统的开放性、可持续性发展，便于以后集成视频会议、视频点播等高层次教学功能。1.2 研究校园网的目的和意义校园网是各种类型网络中的一大分支，有着非常广泛的应用。作为新技术的发祥地，学校、尤其是高等学校，和网络的关系十分密切，网络最初是在校园里进行实验并获得成功的，许多网络新技术也是首先在校园网中获得成功，进而才推向社会的。本课题的理论意义和实践意义：1.校园网的建设和发展是推进素质教育的需

9、要互联网已成为学校培养学生道德品质、创新能力等方面的新环境，成为培养高素质人才的崭新的平台，是学校推进素质教育的需要。2.校园网的建设和发展是学校教育改革的战略制高点创建丰富多彩的校园网络文化对于转变陈旧的教育思想和观念，促进教学内容、教学方法、教学结构和教学模式的改革，对于深化基础教育改革，提高教育质量，培养高素质的创新人才具有深远意义。3.校园网的建设和发展是学校教育现代化的重点标志运用现代教育技术建设和发展校园网，营造清新的校园网络文化氛围，就是从根本上落实教育的战略地位，解放教师的生产力，推动和发展教师、学生的创造力的一种创新优势的重要标志。1.3研究内容及实验方案研究内容： 建设一个

10、高效安全的局域网并接入互联网，校园网对外提供web、ftp等数据服务，每台电脑都能够访问互联网。采用cisco的网络设备，把校园网内每个部门都设计成一个子网，规划每个部门的ip地址，设计网络拓扑图，配置网络的交换模块、广域网接入模块、服务器模块和远程访问模块。实验方案:目前一般将校园网划分为核心层、分布层和访问层，对于规模不大的校园网，核心层与汇聚层可以合在一起，以简化网络体系。但是，校园网的建设是一个渐进过程，网络的不同层次可能由不同的投资者分别建设，同一个层次也可能由多个投资者分别建设。本校园网采用这种通用的分层方法，将校园网络分成三个层次。网络中心为核心层：核心层的功能主要实现骨干网络之

11、间的优化传输，骨干层设计任务的重点是冗余能力、可靠性和高速的传输。分布层负责网段的逻辑分割，聚合路由路径，收敛数据流量。访问层是用户进入网络的入口，将流量馈入网络。第二章需求分析 需求分析是网络建设的第一步，本方案从应用背景、业务需求、管理需求等几个方面进行需求分析。2.1应用背景需求分析为了提高学校的管理效益和教学质量，开展学校现代化教育建设，建设具有规模的校园网络，intranet技术的高速多媒体校园网是必要的。整个高速多媒体校园网建设原则是“经济高效、领先实用”，既要领先一步，具有发展余地，又要比较实用。 校园网是集计算机技术、网络技术、多媒体技术于一体的系统，能够最大限度地调动学生对教

12、学内容的积极性。2.2业务需求分析本校园网为中小型规模的组网，节点数500个，但对通信量的要求较高，因此要求“千兆主干中跑，百兆到桌面”，并要求支持多媒体的应用。本校园网需要实现的业务有：web服务：所有合法用户可以通过web浏览的方式获得校园网络中的信息，学生可以通过web浏览的方式在线学习；ftp服务：教师可通过ftp服务器下载或上传课件资料；dns、目录服务器：提供域名解析以及目录服务；邮件服务器：提供邮件收发服务；数据库服务器：提供各种数据库服务；打印服务器：提供打印机共享服务；网管服务器：对校园网网络设备进行综合管理。2.3管理需求分析随着网络复杂度的增加，给网络管理带来成级数增加的

13、工作量。网络管理要求解决的问题包括： 虚拟局域网管理、分配。目前的虚拟局域网主要基于交换机端口划分，如果一个部门扩展新的入网点，扩展将改变交换机端口设置。管理软件需提供远地虚拟网的修改功能。对所有网络设备端口的监视和管理。对所有网络设备的远程配置和控制，包括网络设备端口的开启和关闭，整个网络的故障检测，故障自动报警功能，整个网络性能的统计和分析报告，甚至收费。按照这些网络管理的需求，应采用基于gui界面的网络管理软件。2.4网络安全需求分析 校园网络安全主要考虑以下几方面要求：各个部门、系所访问网络的控制，各单位之间在未经授权的情况下，不能相互访问。网络需要建立防火墙，禁止外部用户未经许可访问

14、内部的数据，或者内部用户未经许可访问外部数据。 对安全问题的考虑主要是两个方面：校园网应该是一个开放的系统，它不需要与政府或商业公司那样的网络安全保密性；另外，校园网应该是安全的，它不应该受到恶意的攻击而无法运行，一些科研成果也不应该对任何人都开放。主要利用虚拟网技术和防火墙技术来合理解决安全与开放的问题。 2.5网络环境需求分析运动场学生公寓学生公寓学生公寓教师公寓图书馆实验楼教务处教学楼计算机中心教师公寓 该学校占地180亩，现有在校生2000多名，教职员工100多名。学校主要建筑分布如图21所示：图21学校主要建筑分布图第三章校园网系统设计说明一个好的校园网应该按照标准的设计原则，采用国

15、际化设计标准，合理的选择网络技术，网络的安全性也是非常重要的。3.1 校园网设计原则1.实用性与先进性 根据学校实际情况和特点，在设计中特别强调实用性与先进性的结合，应采用成熟的网络技术，保证校园网实用；跟踪国际网络技术的新发展，设计技术先进的网络。在保证校园网可靠、实用、先进的基础上，可以提供研究先进网络技术的科研环境，方便学校的科研与开发。 2.开放性与标准化 整个校园网的设计采用开放的网络体系，以方便网络的升级、扩展和互联。同时，在选择服务器、网络产品时，强调产品支持的网络协议的国际标准化。 3.可靠性与安全性 在校园网的设计中，主要考虑两个层次：一是整个网络的可靠性与安全性，采用高可靠

16、性、高安全性的网络体系结构，包括合理设计广域网的访问控制和内部局域网的访问控制、对外部网络访问链路的备份等；二是网络设备的可靠性与安全性，主要是采用可带电插拔的模块、配置双电源、端口冗余、设置网络设备的用户表及口令限制等手段。 4.经济性与可扩充性 在满足学校需求的前提下，选用性价比高的网络设备和服务器。采用的网络架构和设备，应充分考虑到易升级换代，并且在升级时可以最大限度地保护原有的硬件设备和软件投资。3.2网络协议选择在此校园网的设计中主要采用了以下标准：l ieee802.3uieee 工作组为fastethenet 制定了被称作ieee802.3u 的标准， 并制定了如下的规范：如表3

17、1所示：电缆最大距离优点100base-t4双绞线100米便宜100base-tx双绞线100米易维护1000base-f光纤2000米远距离全双工表31线缆规范编码：曼切斯特编码介质访问控制方式：csma/cd 控制方法3.3千兆以太网1998 年6 月29 日， 千兆以太网联盟于加利福尼亚palo alto 正式宣布了千兆以太网标准ieee 802.3z。这是千兆以太网发展的里程碑。人们对千兆以太网技术给予了充分的重视和信心。简单地说， 这是因为“千兆以太网仍然是以太网， 只不过速度更快而已”。这一点是问题的关键。由于“ 千兆以太网仍然是以太网”， 因此千兆以太网继承了10m、100m 以

18、太网的特征。由此得出了千兆以太网的以下优点：1）与现有大多数网络设施的兼容性。权威统计表明大多数网络都是以太网， 因此千兆以太网与现有网络具有天然的兼容性。千兆以太网在与10m、100m 以太网通信时不存在需要损失性能的转换操作。2）简便的网络升级操作。千兆以太网由于完全与以前的10m、100m 以太网兼容。因此， 自然简便的网络升级使得千兆以太网可以“无缝” 融入现存的以太网环境中， 解决了网络管理员所面临的如何升级现有网络，但不至于造成网络瘫痪的问题。用户总是倾向简单实用， 厌恶烦琐复杂的工作。因为升级的挑战过程和额外的知识学习并不是用户建网的目的。3）技术的成熟性和稳定性。以太网技术是十

19、分成熟的技术， 它所组成系统的可靠性已经接近一般的电话通信系统（我们可以体会到， 电话是不大出错的）。“千兆以太网仍然是以太网” 意味着千兆以太网是可以信赖的技术。4）总体开销较低。总体性的开销是评价网络技术的重要的因素。总体开销不仅包括购买设备的开销， 还应包括培训、维护和纠错的开销。而千兆以太网产品能提供较好的性能价格比。3.4主干网络的选择校园网络主干采用千兆以太网交换技术，各大楼内采用以太网、快速以太网技术。千兆以太网的特点主要包括如下： 1. 千兆以太网具有价格优势千兆以太网继承了传统以太网的主要技术特征， 以太网长期研发和生产线经验使得千兆以太网的产品具有成熟性和大规模生产的价格优

20、势。从构造层次和技术复杂性来说， 千兆以太网也应在价格上优于其它主干方式。考虑到倍比于设备开销的维护管理开销，千兆以太网似乎更应胜出一筹。2千兆位以太网相对于原有的快速以太网、fddi、atm等主干网解决方案，提供了一条最佳的路径。至少在目前看来，是改善交换机与交换机之间，骨干连接和交换机与服务器之间连接的可靠、经济的途径。网络设计人员能够建立有效使用应用程序和文件备份的高速基础设施。网络管理人员将为用户提供对internet、intranet更快速的访问。 3ieee 802.3工作组建立了802.3z和802.3ab千兆位以太网工作组，其任务是开发适应不同需求的千兆位以太网标准。该标准支持

21、全双工和半双工1000mbps，相应的操作采用ieee 802.3以太网的帧格式和csma/cd介质访问控制方法。千兆位以太网还要与10baset和100baset向后兼容。此外，ieee标准将支持最大距离为1500米的多模光纤、最大距离为3000米的单模光纤和最大距离为500米的铜轴电缆。千兆位以太网填补了802.3以太网/快速以太网标准的不足。3.5系统安全性的实现在方案中,我们根据用户网络安全需求,在与外部网连接时采用防火墙软件及路由器内部nat 地址转换, 保证了内部网络的安全,并根据用户需要在网络中设置必要的访问控制，做到网络安全的全面控制； 并采用vlan等技术进一步控制内部网络安

22、全， 采用身份验证控制拨号用户的安全性， 采用双机备份和冗余连接、网卡容错、数据库容错、定期备份等实现安全可靠性。第四章校园网络方案描述为校园网设计合理的拓扑图，选择合适的设备，并规划局域网ip。4.1 设备选型1核心层交换机： 核心层提供一个高速数据包转发通道，使得分布层交换机进行高速的数据交换。采用cisco 6509 为核心交换机。 如图41所示：图41 cisco 6509交换机cisco 6509交换机的基本参数如表41所示：表41cisco 6509交换机的基本参数2分布层交换机（又称汇聚层）： 汇聚层负责网段的逻辑分割，聚合路由路径，收敛数据流量。考虑到各信息楼（图书馆、学生宿舍

23、区等）信息量较大， 对交换速度要求较高，故各信息楼接入选用交换速率较高、价格性能比较好的cisco 3560 交换机。如图42所示：图42 cisco 3650 交换机cisco 3650 交换机的基本参数如表42所示：表42cisco 3650 交换机的基本参数3. 接入层交换机：接入层将流量馈入网络，执行网络访问控制。选用cisco 2950交换机，使桌面接入的速度大大提高。如图43所示：图43cisco 2950交换机cisco 2950交换机的基本参数如表43所示：表43cisco 2950交换机的基本参数4. 路由器 广域网接入模块采用的是cisco 2851路由器。其作用主要是在

24、internet和校园网内网间路由数据包。除了完成主要的路由任务外，利用访问控制列表（ access control list，acl），广域网接入路由器还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。如图44所示：图44cisco 2851路由器cisco 2851路由器的基本参数如表44所示：表44cisco 2851路由器的基本参数选用的所有设备都是可网管的,而且提供了cisco cwsi的网管软件,可提供全方位对整个校园网的cisco 设备进行实时监控和管理。4.2 网络系统拓扑图如图45所示：图45网络系统拓扑图4.3 vlan及ip地址规划如表45所示：vlan

25、号vlan名称ip网段默认网关说明vlan1/2454管理vlanvlan10jwc/2454教务处vlanvlan20xsss/2454学生宿舍vlanvlan30cwc/2454财务处vlanvlan40jgss/2454教工宿舍vlanvlan50jzx/2454建筑系vlanvlan60glx/24192

26、.168.6.254管理系vlanvlan70jsjx/2454计算机系vlanvlan100fwqq/2454服务器群vlan表45vlan及ip地址规划第五章校园网络整体解决方案完成校园网络的交换模块、广域网接入模块、服务器模块和远程访问模块的配置。5.1 交换模块设计校网网数据交换设备可以划分为三个层次：访问层、分布层、核心层。传统意义上的数据交换发生在osi模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了校园网数据交换的效率，更大大增强了校园网数据交换服务

27、质量，满足了不同类型网络应用程序的需要。本网络还引入了虚拟局域网（virtual lan，vlan）的概念。vlan将广播域限制在单个vlan内部，减小了各vlan间主机的广播通信对其他vlan 的影响。在 vlan 间需要通信的时候，可以利用 vlan 间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用 vlan 中继协议（ vlan trunking protocol， vtp）简化管理，它只需在单独一台交换机上定义所有vlan。然后通过vtp协议将vlan定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。当校园网络的交换机数量增多、交

28、换机间链路增加时，交换网络的复杂性可能会造成交换环路问题，这需要通过在各交换机上运行生成树协议（spanningtree protocol， stp）来解决。5.1.1 配置访问层交换机访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的是cisco 2950交换机。该交换机拥有24个10/100mbps自适应快速以太网端口，运行的是 cisco 的 ios 操作系统。1 设置访问层交换机 accessswitch1 的基本参数：设置交换机名称，也就是出现在交换机cli提示符中的名字。一般以地理位置或行政划分来为交换机命名。当需要 telnet 登录到若干台交换机以维护一个大型网络时

29、，通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。设置交换机的加密使能口令，当用户在普通用户模式而想要进入特权用户模式时，需要提供此口令。此口令会以md5的形式加密，因此，当用户查看配置文件时，无法看到明文形式的口令。设置登录虚拟终端线时的口令以及终端线超时时间。对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理人员提供了很多的方便。但是，出于安全考虑，在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。为了安全考虑，可以设置终端线超时时间。在设置的时间内，如果没有检测到键盘输入，设备操作系统将断开用户和交换机之间的连接。设置禁用 ip 地址解析特性在

30、交换机默认配置的情况下，当输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的dns 服务器并将其解析成对应的 ip 地址。利用命令no ip domain-lookup。可以禁用这个特性。基本参数的配置如图51所示：图51设置基本参数2 配置访问层交换机 accessswitch1 的管理 ip、默认网关：访问层交换机是 osi 参考模型的第 2 层设备，即数据链路层的设备。因此，给访问层交换机的每个端口设置 ip 地址是没意义的。但是，为了使网络管理人员可以从远程登录到访问层交换机上进行管理，必须给访问层交换机设置一个管理用 ip 地址。这种情况下，实际上是将交换机看成和 pc 机一

31、样的主机。给交换机设置管理用的 ip 地址只能在vlan1，即本征vlan中进行。管理vlan所在的子网是：/24 ，这里将访问层交换机accessswitch1的管理ip地址设为：/24。为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关地址54。如图52所示：图52配置管理 ip、默认网关3配置访问层交换机 accessswitch1 的vtp从提高效率的角度出发，在本校园网实现中使用了 vtp 技术。同时，将分布层交换机 distributeswitch1 设置成为 vtp 服务器，其他交换机设置成为vtp

32、客户机。这里访问层交换机accessswitch1将通过vtp获得在分布层交换机distributeswitch1 中定义的所有 vlan 的信息。如图53所示：图53配置访问层交换机 accessswitch1 的vtp4配置访问层交换机 accessswitch1 端口基本参数端口双工配置：可以设定端口根据对端设备双工类型自动调整本端口双工模式，也可以强制将端口双工模式设为半双工或全双工模式。设置访问层交换机accessswitch1的所有端口均工作在全双工模式。如图54所示：图54端口双工配置端口速度设置：可以设定端口根据对端设备速度自动调整本端口速度，也可以强制将端口速度设为10mpb

33、s 或100mbps。设置访问层交换机accessswitch1的所有端口的速度均为100mbps。如图55所示：图55端口速度设置5配置访问层交换机 accessswitch1 的访问端口访问层交换机 accessswitch1 为 vlan10、vlan20 提供接入服务。设置访问层交换机 accessswitch1 的端口 120 工作在访问（接入）模式。同时，设置端口 110 为 vlan 10 的成员，端口1120 为 vlan 20 的成员。如图56所示：图56设置访问层交换机 accessswitch1 的端口120设置快速端口：默认情况下，交换机在刚加电启动时，每个端口都要经历

34、生成树的四个阶段：阻塞、侦听、学习、转发。对于直接接入终端工作站的端口来说，用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间，可以设置将某端口设置成为快速端口（ portfast）。设置为快速端口的端口当交换机启动或端口有工作站接入时，将会直接进入转发状态，而不会经历阻塞、侦听、学习状态（假设桥接表已经建立）。设置访问层交换机 accessswitch1 的端口 120 为快速端口。如图57所示：图57设置快速端口6配置访问层交换机 accessswitch1 的主干道端口访问层交换机 accessswitch1 通过端口 fastethernet 0/23 上连到分布层交换机

35、distributeswitch1 的端口 fastethernet 0/23。同时，通过端口fastethernet 0/24上连到分布层交换机distributeswitch2 的端口 fastethernet 0/23。这两条上连链路将成为主干道链路，在这两条上连链路上将运输多个vlan 的数据。设置访问层交换机 accessswitch1 的端口 fastethernet 0/23、fastethernet 0/24 为主干道端口。如图58所示：图58配置访问层交换机 accessswitch1 的主干道端口7配置访问层交换机 accessswitch2访问层交换机 accessswi

36、tch2 为 vlan 30 和 vlan 40 的用户提供接入服务。同时，分别通过自己的 fastethernet 0/23、fastethernet 0/24 上连到分布层交换机 distributeswitch1、distributeswitch2 的端口fastethernet 0/24。对访问层交换机accessswitch2的配置步骤 、命令和访问层交换机accessswitch1 的配置类似。5.1.2配置分布层交换机分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供vlan 间的路由选择功能。这里的分布层交换机采用的是 cisco catalyst 3560 交换机。

37、作为 2 层交换机，cisco catalyst 3560 交换机拥有 48 个 10/100mbps 自适应快速以太网端口，同时还有 2 个 1000mbps 端口供上连使用。1 配置分布层交换机 distributeswitch1 的基本参数对分布层交换机distributeswitch1的基本参数的配置步骤与对访问层交换机accessswitch1的基本参数的配置类似。具体配置如图59所示：图59配置分布层交换机 distributeswitch1 的基本参数2 配置分布层交换机 distributeswitch1 的管理 ip 为分布层交换机 distributeswitch1 设置管

38、理 ip 并激活本征 vlan。如图510所示：图510配置分布层交换机 distributeswitch1 的管理 ip3 配置分布层交换机 distributeswitch1 的 vtp当网络中交换机数量很多时，需要分别在每台交换机上创建很多重复的vlan。工作量很大、过程很繁琐，并且容易出错。在实际工作中常采用 vlan中继协议（ vlan trunking protocol， vtp）来解决这个问题。vtp允许在一台交换机上创建所有的vlan。然后，利用交换机之间的互相学习功能，将创建好的vlan 定义传播到整个网络中需要此 vlan 定义的所有交换机上。同时，有关 vlan 的删除、

39、更改操作均可传播到其他交换机。从而大大减轻了网络管理人员配置交换机的负担。在本校园网实现中使用了vtp技术。同时，将分布层交换机distributeswitch1 设置成为 vtp 服务器，其他交换机设置成为 vtp 客户机。配置 vtp 管理域并设置 vtp 服务器模式：共享相同vlan定义数据库的交换机构成一个vtp管理域。每一个vtp管理域都有一个共同的vtp 管理域域名。不同vtp管理域的交换机之间不交换 vtp 通告信息。工作在 vtp 服务器模式下的交换机可以创建、删除 vlan、修改 vlan 参数。同时，还有责任发送和转发 vlan 更新消息。具体配置如图511所示：图511配

40、置 vtp 管理域并设置 vtp 服务器模式激活 vtp 剪裁功能：默认情况下主干道传输所有vlan的用户数据。有时，交换网络中某台交换机的所有端口都属于同一vlan 的成员，没有必要接收其他 vlan 的用户数据。这时，可以激活主干道上的 vtp 剪裁功能。当激活了 vtp 剪裁功能以后，交换机将自动剪裁本交换机没有定义的 vlan 数据。在一个 vtp 域下，只需要在 vtp 服务器上激活 vtp 剪裁功能。同一 vtp域下的所有其他交换机也将自动激活 vtp 剪裁功能。如图512所示：图512激活 vtp 剪裁功能4在分布层交换机 distributeswitch1 上定义 vlan在本

41、校园网实现中，除了默认的本征vlan外，又额外定义了8个vlan。由于使用了 vtp 技术，所以，所有 vlan 的定义都只需要在 vtp 服务器，即分布层交换机 distributeswitch1 上进行。定义了 8 个 vlan，同时为每个 vlan 命名。如图513所示：图513定义 vlan并命名5配置分布层交换机 distributeswitch1 的端口基本参数分布层交换机 distributeswitch1 的端口 fastethernet 0/1 fastethernet 0/10为服务器群提供接入服务，而端口 fastethernet 0/23、 fastethernet 0

42、/24 分别下连到访问层交换机accessswitch1 的端口fastethernet 0/23 以及访问层交换机accessswitch2 的端口 fastethernet 0/23。此外，分布层交换机distributeswitch1还通过自己的千兆端口gigabitethernet 0/1 上连到核心交换机 coreswitch1 的 gigabitethernet 0/1。为了实现冗余设计，分布层交换机distributeswitch1还通过自己的千兆 端口gigabitethernet 0/2连接到另一台分布层交换机distributeswitch2的gigabitethernet

43、 0/2。如图514所示： 图514设置分布层交换机 distributeswitch1 的各端口参数6配置分布层交换机 distributeswitch1 的路由功能分布层交换机 distributeswitch1 需要为网络中的各个 vlan 提供路由功能。这需要首先启用分布层交换机的路由功能。如图 515 所示：图 515启用路由功能接下来，需要为每个 vlan 定义自己的默认网关地址。此外，还需要定义通往 internet 的路由。这里使用了一条缺省路由命令。如图 516 所示：图 516定义各 vlan 的默认网关地址及到 internet 的缺省路由7配置分布层交换机 distri

44、buteswitch2分布层交换机 distributeswitch2 的端口 fastethernet 0/23、fastethernet 0/24分别下连到访问层交换机 accessswitch1 的端口 fastethernet 0/24 以及访问层交换机 accessswitch2 的端口 fastethernet 0/24。此外，分布层交换机distributeswitch2还通过自己的千兆端口gigabitethernet 0/1 上连到核心交换机 coreswitch1 的 gigabitethernet 0/2。为了实现冗余设计，分布层交换机distributeswitch2还

45、通过自己的千兆端口 gigabitethernet 0/2 连接到分布层交换机 distributeswitch1 的 gigabitethernet 0/2。对分布层交换机distributeswitch2的配置步骤、命令和对分布层交换机distributeswitch1 的配置类似。5.1.3配置核心层交换机1配置核心层交换机 coreswitch1 的基本参数对核心层交换机coreswitch1的基本参数的配置步骤与对访问层交换机accessswitch1 的基本参数的配置类似。具体配置如图517所示：图517配置核心层交换机 coreswitch1 的基本参数2. 配置核心层交换机 c

46、oreswitch1 的管理 ip为核心层交换机 coreswitch1设置管理 ip 并激活本征 vlan。如图518所示：图518配置核心层交换机 coreswitch1 的管理 ip3配置核心层交换机 coreswitch1 的的 vlan 及 vtp设置核心层交换机 coreswitch1 成为 vtp 客户机。如图519所示：图519设置核心层交换机 coreswitch1 成为 vtp 客户机4 配置核心层交换机 coreswitch1 的端口参数核心层交换机 coreswitch1 通过自己的端口fastethernet 0/0同广域网接入模块相连。同时，核心层交换机coresw

47、itch1的端口gigabitethernet 0/1gigabitethernet 0/2分别下连到分布层交换机distributeswitch1 和 distributeswitch2 的端口 gigabitethernet 0/1。 具体配置命令如图520所示：图520设置核心层交换机 coreswitch1 的各端口参数此外，为了提供主干道的吞吐量以及实现冗余设计，在本设计中，将核心层交换机 coreswitch1 的千兆端口 gigabitethernet 3/1、gigabitethernet 3/2 捆绑在一起实现2000mbps的千兆以太网信道，然后再连接到另一台核心层交换机c

48、oreswitch2。设置核心层交换机coreswitch1的千兆以太网信道的步骤。如图521所示：图521设置核心层交换机 coreswitch1 的千兆以太网信道5配置核心层交换机 coreswitch1 的路由功能核心层交换机coreswitch1通过端口fastethernet 0/0同广域网接入模块（ internet 路由器）相连。因此，需要启用核心层交换机的路由功能。同时，还需要定义通往 internet 的路由。这里使用了一条缺省路由命令。其中，下一跳地址是 internet 接入路由器的快速以太网接口 fastethernet 0/0 的ip 地址。如图522所示：图522定

49、义到 internet 的缺省路由6核心层交换机 coreswitch2 的配置核心层交换机 coreswitch2 的配置步骤、命令和对核心层交换机coreswitch1的配置类似。5.2广域网接入模块设计广域网接入模块的功能是由广域网接入路由器internetrouter 来完成的。采用的是cisco 2851路由器。它通过自己的串行接口 serial 2/0接入 internet。其作用主要是在 internet和校园网内网间路由数据包。除了完成主要的路由任务外，利用访问控制列表（ access control list，acl），广域网接入路由器 internetrouter 还可以用

50、来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。5.2.1配置接入路由器 internetrouter 的基本参数对接入路由器internetrouter的基本参数的配置步骤与对访问层交换机accessswitch1 的基本参数的配置类似。如图523所示：图523配置接入路由器 internetrouter 的基本参数5.2.2配置接入路由器 internetrouter 的各接口参数对接入路由器internetrouter的各接口参数的配置主要是对接口fastethernet 0/0 以及接口 serial 2/0 的 ip 地址、子网掩码的配置。如图524所示：图524配置接入

51、路由器 internetrouter 的各接口参数5.2.3配置接入路由器 internetrouter 的路由功能在接入路由器 internetrouter 上需要定义两个方向上的路由：到校园网内部的静态路由以及到 internet 上的缺省路由。到 internet 上的路由需要定义一条缺省路由，其中，下一跳指定从本路由器的接口 serial 2/0 送出。到校园网内部的路由条目可以经过路由汇总后形成两条路由条目。如图 525 所示：图 525配置接入路由器 internetrouter 的路由功能5.2.4配置接入路由器 internetrouter 上的 nat由于目前 ip 地址资源

52、非常稀缺，不可能给校园网内部的所有工作站都分配一个公有 ip（ internet 可路由的）地址。为了解决所有工作站访问 internet 的需要，必须使用 nat（网络地址转换）技术。为了接入 internet，本校园网向当地isp申请了6个 ip 地址。其中一个ip地址： 被分配给了 internet 接入路由器的串行接口，另外 5 个 ip 地址：202. 110.5.2 202. 110.5.6 用作 nat。nat 的配置可以分为以下几个步骤：1定义 nat 内部、外部接口，如图526所示：图526定义 nat 内部、外部接口2定义允许进行 nat 的工作站的内

53、部局部 ip 地址范围，如图527所示：图527定义工作站的内部局部 ip 地址范围3. 为服务器定义静态地址转换，其他工作站定义复用地址转换。如图528所示：图528为服务器定义静态地址转换及为工作站定义复用地址转换5.2.5配置接入路由器 internetrouter 上的 acl路由器是外网进入校园网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表（access control list，acl）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于

54、校园内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙软件后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对内网包括防火墙本身实施保护。在本设计中，针对服务器以及内网工作站的安全做了如下acl 的配置方案。1 屏蔽简单网管协议，即 snmp。利用snmp协议，远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型： snmp 和 snmptrap，因此需屏蔽snmp。如图529所示： 图529屏蔽简单网管协议2 对外屏蔽远程登录协议，即telnet首先，telnet 可以登录到大多数网络设备和服务器，并可以使用相关命令完全操纵它们；其次，telnet

55、 是一种不安全的协议类型。用户在使用 telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。这是极其危险的，因此必须加以屏蔽。如图530所示:图530 对外屏蔽远程登录协议 telnet3 对外屏蔽其它不安全的协议或服务这样的协议主要有 sunos 的文件共享协议端口 2049，远程执行、远程登录和远程命令端口512、 513、 514，远程过程调用端口 111。如图531所示：图531对外屏蔽其它不安全的协议或服务4 针对 dos 攻击的设计dos 攻击（denial of service attack，拒绝服务攻击）是一种非常常见而