毕业设计（论文）大学校园网网络工程设计

1、成都理工大学工程技术学院毕业设计 大学校园网网络工程设计大学校园网网络工程设计作者姓名： 专业：计算机科学与技术指导教师： 大学校园网网络工程设计i摘要摘要校园网是各种类型网络中一大分支，有着非常广泛的应用。作为新技术的发祥地，学校、尤其是高等学校，和网络的关系十分密切，网络最初是在校园里进行实验并获得成功的，许多网络新技术也是首先在校园网中获得成功，进而才推向社会的。另一方面，作为“高新技术孵化器”的学校，知识、人才的资源十分丰富，比其他行业更渴求信息、希望能有渠道获得各种各样的信息来促进自身在研究、学术上的进步。论文在局域网技术和现今发展基础上，分析了建立校园网的意义，建设原则和目标，并详

2、细阐述了其设计过程。文章从系统结构、布线系统、网络方案、管理等方面讨论了校园网的设计方案。在网络设计中，详细介绍了网络拓扑结构、vlan 划分,并在部分办公室引入无线网络，实现了网络的人性化设计，最后通过相关软件对网络进行管理以及实现网络的安全性。关键词关键词：网络工程；校园网；网络设计； 大学校园网网络工程设计iiabstractabstractcampus network is a major branch of various types of network, which has a very wide range of application.as the birthplace of

3、 new technologies, especially for colleges and universities,has a very close relationship with the network.the network was first to test and succeeded in campus.many other new technologies also first succeeded in campus,and then used in the community.on the other hand, school as a high-tech incubato

4、r,has rich resources in knowledge and talent,demands information more eagerly than any other industry,and would like to have access to a wide range of information channels to promote their own research and academic progress.this paper analyze the significance of the establishment of the campus netwo

5、rk,the construction of the principles and objectives, and explain the detail of its design process based on the local area network technology and the current development.the article discusses the campus network design,cabling systems,network programs, and management. it also expatiates detailed info

6、rmation on network topology, vlan division,introduces wireless networks into part of the office, and finally achieves the humanization of the network design through the relevant network management software and network security in network design area.keywords:networkproject,campusenetwork ,networkdes

7、ign大学校园网网络工程设计iii目录目录摘要.iabstract.ii目录.iii前言.- 1 -1 局域网概述.- 2 -1.1 局域网技术.- 2 -1.1.1 局域网基本特征.- 2 -1.1.2 局域网的工作模式.- 2 -1.1.3 局域网拓扑类型.- 4 -1.1.4 局域网网络类型.- 5 -1.1.5 局域网基本工作原理.- 7 -1.2 校园网.- 9 -2 校园网总体设计.- 10 -2.1 概述.- 10 -2.2 方案实施.- 11 -2.2.1 结构化布线.- 11 -2.2.2 网络设备选型.- 12 -2.3 系统分析.- 16 -2.3.1 关键网络系统.-

8、16 -2.3.2 网络解决办法.- 17 -2.3.3 技术分析.- 17 -3 系统详细设计.- 19 -3.1系统组成与拓扑结构.- 19 -3.1.1vlan 及 ip 地址规划.- 19 -3.2交换模块设计.- 20 -3.2.1 访问层交换服务的实现配置访问层交换机.- 20 -3.2.2 分布层交换服务的实现配置分布层交换机.- 25 -3.2.3核心层交换服务的实现配置核心层交换机.- 29 -3.3 广域网接入模块设计.- 31 -大学校园网网络工程设计iv3.4 服务器模块设计.- 35 -4 测试.- 37 -4.1 系统测试.- 37 -4.2相关测试、诊断命令.-

9、37 -4.2.1 通用测试、诊断命令.- 37 -4.2.2 cdp 测试、诊断命令.- 38 -4.2.3 路由和路由协议测试、诊断命令.- 38 -4.2.4 vlan、vtp 测试、诊断命令.- 38 -4.2.5 生成树测试、诊断命令.- 39 -4.2.6 nat 测试、诊断命令.- 39 -致谢.- 40 -参考文献.- 41 -大学校园网网络工程设计- 1 -前言前言校园网是各种类型网络中一大分支，有着非常广泛的应用。作为新技术的发祥地，学校、尤其是高等学校和网络的关系十分密切，网络最初是在校园里进行实验并获得成功的，许多网络新技术也是首先在校园网中获得成功，进而才推向社会的。

10、我们看看国内校园网现状，也正是因为看到网络与学校之间的密切关系，国家从 1994 年正式启动中国教育科研计算机网(cernet)以来，已与国内几百所学校相连，为广大师生及科研人员提供了一个全新的网络环境。随着信息技术的飞速发展，校园网的建设已经逐渐提到议事日程上来。对比国外校园网的建设和使用情况，我国目前的大多数校园网的结构、规模和应用都不是很完整，网络设备、计算机设备的功能没有得到充分地挖掘和发挥。怎样利用网络设备，进一步发挥各种设备的功能，实现学校各项业务系统的集成，提高应用水平将是学校校园网建设的下一个工作重点。本次设计就从用户的需求分析入手，以我校为例设计出一个校园网拓扑结构，并阐述了

11、校园网的应用特点，以及网络产品如何满足校园网用户的多方面需求。大学校园网网络工程设计- 2 -1 1 局域网概述局域网概述1.1 局域网局域网技术技术1.1.1 局域网基本特征局域网基本特征1局域网最主要的特点：网络为一个单位所拥有，分布范围小，投资少，配置简单等，具有如下特征：传输速率高：一般为 1mbps-20mbps，光纤高速网可达100mbps，1000mbps。支持传输介质种类多。通信处理一般由网卡完成。传输质量好，误码率低。有规则的拓扑结构。2局域网具有如下的一些主要优点：能方便地共享昂贵的外部设备、主机以及软件、数据。从一个站点可访问全网。便于系统的扩展和逐渐地演变，各设备的位置

12、可灵活调整和改变。提高了系统的可靠性、可用性和残存性。1.1.2 局域网的工作模式局域网的工作模式1专用服务器结构：(server-baseb) 又称为“工作站/文件服务器”结构，由若干台微机工作站与一台或多台文件服务器通过通信线路连接起来组成工作站存取服务器文件，共享存储设备。文件服务器自然以共享磁盘文件为主要目的。对于一般的数据传递来说已经够用了，但是当数据库系统和其它复杂而被不断增加的用户使用的应用系统到来的时候，服务大学校园网网络工程设计- 3 -器已经不能承担这样的任务了，因为随着用户的增多，为每个用户服务的程序也增多，每个程序都是独立运行的大文件，给用户感觉极慢，因此产生了客户机/

13、服务器模式。2客户机/服务器模式：(client/server) 其中一台或几台较大的计算机集中进行共享数据库的管理和存取，称为服务器，而将其它的应用处理工作分散到网络中其它微机上去做，构成分布式的处理系统，服务器控制管理数据的能力己由文件管理方式上升为数据库管理方式，因此，c/s 由的服务器也称为数据库服务器，注重于数据定义及存取安全后备及还原，并发控制及事务管理，执行诸如选择检索和索引排序等数据库管理功能，它有足够的能力做到把通过其处理后用户所需的那一部分数据而不是整个文件通过网络传送到客户机去，减轻了网络的传输负荷。c/s 结构是数据库技术的发展和普遍应用与局域网技术发展相结合的结果。

14、3对等式网络：（peer-to-peer)在拓扑结构上与专用 server 与 c/s 相同，在对等式网络结构中，没有专用服务器。每一个工作站既可以起客户机作用也可以起服务器作用。 虽然目前的网卡、hub 和交换机都能提供 100m 甚至更宽的带宽，但一个局域网如果配置不当，尽管配置的设备都非常高档而网络速度仍不能如意；或者经常出现死机、打不开一个小文件或根本无法连通服务器，特别是在一些设备档次参差不齐的网络中这些现象更是时有发生。在局域网中恰当地进行配置，才能使网络性能尽可能地进行优化，最大限度地发挥网络设备、系统的性能。其实局域网也是由一些设备和系统软件通过一种连接方式组成的，所以局域网的

15、优化包括以下几个方面：设备优化：包括传输介质的优化、服务器的优化、hub 与交换机的优化等。软件系统的优化：包括服务器软件的优化和工作站系统的优化。布局的优化：包括布线和网络流量的控制。大学校园网网络工程设计- 4 -1.1.3 局域网拓扑类型局域网拓扑类型拓扑结构是在逻辑上对网络的一个描述，它反映了整个网络的结构。在网络结构上，目前的网络结构主要有以下几种：星形拓扑：星形拓扑是由中央节点和通过点到点链路到中央节点的各站点组成。总线拓扑：总线拓扑结构采用单根传输作为传输介质，所有的站点都通过相应的硬件接口直接连接到传输介质上，或称总线上。环形拓扑：由一些中继器和连接中继器的点到点链路组成一个闭

16、合环。每个中继器都和两条链路相连。树形拓扑：树形拓扑是从总线拓扑演变过来的，形状像一棵倒置的树，顶端有一个分支的根，每个分支还可以延伸出子分支。它主要有易于扩展和故障隔离等优点。混合拓扑：它是将星形拓扑和环形拓扑混合起来的一种拓扑，试图取这两种拓扑的优点于一个系统。在选择拓扑结构时，应该考虑的主要因素有以下几点：费用低：安装费用的高低和拓扑结构的选择以及传输介质选择、传输距离的确定有关。灵活性：要考虑到在设备搬动时很容易重新配置网络拓扑，还有考虑原有节点的删除和新节点的加入。可靠性：拓扑的选择要使故障的检测和故障隔离较为方便。综上所述，综合选择多种结构，选择星形和树形相结合的拓扑结构，网络拓扑

17、结构图类型如图 1-1：大学校园网网络工程设计- 5 -图 1-1 局域网网络拓扑类型1.1.4 局域网网络类型局域网网络类型保护现有投资的有效途径就是在将来网络技术升级时还能使用现有的网络技术和产品。如同计算机的发展速度一样，网络技术的发展也是非常迅速的。如果现有技术不能合理保证在将来网络升级后还能够使用，那么将会带来极大的资金浪费。目前比较常见的主干网技术有 fddi、atm、快速以太网和千兆以太网等。其中具有交换功能的快速以太网，支持 vlan，并容易升级到千兆以太网和 atm，由于性能优越，价格适中，建议采用快速以太网作为校园网的主干技术。（1）光纤分布式数据接口（fddi）fddi

18、是高性能的高速宽带 lan 技术，它采用定时的令牌传送协议。因此，它可以被看作是一个令牌环网协议的高速版本。但与 tokenring 技术不同的是，当其发送完帧后就立即产生新的集线器干线耦合器总线网星形网树形网 环形网大学校园网网络工程设计- 6 -令牌帧，故其利用率较高，其运行速度可达 100mb/s。最大距离可达 200km，可最多连接 1000 个站点。铜线分布式数据接口(cddi)是 fddi 的一种变型，可以在不昂贵的铜线电缆上运行而使用相同的协议。fddi 和 cddi 的优点是冗余、内置网络管理，具有广泛的适用性。但是，采用 fddi/cddi 技术是昂贵而复杂， 始终未成为主流

19、技术，发展速度缓慢，前景不被看好。（2）异步传输模式（atm）atm 作为一种全新的交换技术，有其明显的优越性。atm是将分组交换与电路交换优点相结合的网络技术。在广域网、城域网和公用网内，atm 正在被广泛采用，因为它既能够将多种服务多路复用到一种基础设施上，满足功能越来越强的台式机对带宽不断增长的需求，又能提供虚拟 lan 和多媒体等新的网络服务。但是，atm 技术也有其缺点。首先是标准还没有完全制定完成，很多重要标准还在修正之中，这就影响了 atm 技术的推广，尤其是在局域网领域内。其次，atm 技术目前主要应用是在专用网络和核心网络的范围内，而延展到外围和用户端均仍采用传统的网络技术(

20、以太网、快速以太网、令牌环网等)，这就使得在 atm 网络和传统网络之间要建立一个中间的衔接层，这是一种在 atm 信元与传统网络的帧结构之间相互转换的技术，如classic ip 和 atm lane 等技术，这种技术的优点是可以把传统网络接入到 atm 网络中，但缺点是带来了很大的资源开销，这在很大程度上增加了 atm 网络的复杂性并且降低了网络的总体性能。另外，目前的大部分网络应用主要是基于 ip 网络的应用，直接针对 atm 信元的应用很少，这在很大程度上也增加了atm 网络使用和管理的复杂性。（3） 快速以太网快速以太网（fast ethernet）是一个 ieee 局域网标准，于1

21、995 年由原来制定标准的 ieee802.3 工作组完成，快速以太网和传统以太网采用同样的介质访问协议（csma/cd） 。传统以太网用的是 10mb/s 技术， 而快速以太网用的是 100mb/s 技术。大学校园网网络工程设计- 7 -100mb/s 的网卡只比 10mb/s 的网卡略贵一点，但为将来的网络升级提供了很大的灵活性。大多数 100mb/s 的网卡能够自动检测所连接的端口是 10mb/s 还是 100mb/s，并执行相应的操作。（4）千兆位以太网千兆位以太网技术以简单的以太网技术为基础，为网络主干提供 1gb/s 的带宽。千兆位以太网技术以自然的方法来升级现有的以太网络、工作站

22、、管理工具和管理人员的技能。千兆位以太网与其他速度相当的高速网络技术相比，价格低，同时比较简单，例如保留以太网的帧格式、管理工具和对网络概念上的认识。现在千兆位以太网成熟的标准为 ieee802.3z。千兆位以太网的设计非常灵活，几乎对网络结构没有限制，可以是交换式、共享式的或基于路由器的。现在正在应用的网络互连技术，例如，特定 ip 交换技术和第三层的交换技术，都与千兆位以太网完全兼容。（5） 无线局域网ieee802.11 委员会已经开放了一组无线标准。而目前，基于 ieee802.11b 和 ieee802.11g 协议标准的在实际应用很多。其中，ieee802.11b 标准的无线局域网

23、能达到 11mbps 的传输速度，而 ieee802.11g 标准的无线局域网能达到 54mbps 的传输速度。根据以上介绍，我们综合选择多种高速局域网，同时考虑多种技术，校园网的系统结构选择主干 1000m，桌面 100m 的交换式以太网技术。根据需求，建设联接信息中心、多媒体教室、办公楼、住宿楼及综合办公楼等建筑物。其中各部分构成相对独立的子网，通过交换机接入桌面 pc。1.1.5 局域网基本工作原理局域网基本工作原理由于现在以太网的数据率已演进到每秒百兆比特、吉比特甚至 10 吉比特，因此通常就用“传统以太网”来表示最早进入市场的 10mb/s 速率的以太网。下面简单介绍下以太网的基本工

24、作原理。1以太网的两个标准：大学校园网网络工程设计- 8 -（1）dix ethernet v2 是世界上第一个局域网产品（以太网）的规约。（2）ieee 的 802.3 标准。dix ethernet v2 标准与 ieee 的 802.3 标准只有很小的差别，因此可以将 802.3 局域网简称为“以太网” 。严格说来， “以太网”应当是指符合 dix ethernet v2 标准的局域网数据链路层的两个子层为了使数据链路层能更好地适应多种局域网标准，802 委员会就将局域网的数据链路层拆成两个子层：逻辑链路控制 llc (logical link control)子层、媒体接入控制 mac

25、 (medium access control)子层。与接入到传输媒体有关的内容都放在 mac 子层，而 llc子层则与传输媒体无关，不管采用何种协议的局域网对 llc 子层来说都是透明的。2接口的工作模式以太网卡可以工作在两种模式下：半双工和全双工。 半双工：半双工传输模式实现以太网载波监听多路访问冲突检测。传统的共享 lan 是在半双工下工作的，在同一时间只能传输单一方向的数据。当两个方向的数据同时传输时，就会产生冲突，这会降低以太网的效率。全双工：全双工传输是采用点对点连接，这种安排没有冲突，因为它们使用双绞线中两个独立的线路，这等于没有安装新的介质就提高了带宽。例如在上例的车站间又加了

26、一条并行的铁轨，同时可有两列火车双向通行。在双全工模式下，冲突检测电路不可用，因此每个双全工连接只用一个端口，用于点对点连接。标准以太网的传输效率可达到 5060的带宽，双全工在两个方向上都提供 100的效率。3以太网的工作原理 以太网采用带冲突检测的载波帧听多路访问（csma/cd）机制。以太网中节点都可以看到在网络中发送的所有信息，因此，我们说以太网是一种广播网络。以太网工作过程如下：当以太网中的一台主机要传输数据时，它将按如下步骤进行： 大学校园网网络工程设计- 9 -（1）监听信道上收否有信号在传输。如果有的话，表明信道处于忙状态，就继续监听，直到信道空闲为止。 （2）若没有监听到任何

27、信号，就传输数据。（3）传输的时候继续监听，如发现冲突则执行退避算法，随机等待一段时间后，重新执行步骤 1（当冲突发生时，涉及冲突的计算机会发送会返回到监听信道状态。注意：每台计算机一次只允许发送一个包，一个拥塞序列，以警告所有的节点） 。（4）若未发现冲突则发送成功，所有计算机在试图再一次发送数据之前，必须在最近一次发送后等待 9.6 微秒（以10mbps 运行） 。1.2 校园网校园网校园网是指利用网络设备、通信介质和适宜的组网技术与协议及各类网络系统管理软件和应用软件，将校园网内计算机和各种终端有机地集成在一起，并用于教学、科研、学校管理、信息资源共享和远程教学等方面工作的计算机局域网络

28、系统。校园网的概念最初是以硬件集成为主，校园网只是一个硬件平台。到了第二阶段，有提出了以教学应用软件集成为主的“软件建网”的校园网概念，这也是当今大多数校园网所采用的模式。校园网由硬件、软件这两部分共同组成，其中，硬件是基础，是校园网的载体，没有硬件的支持，根本无法谈及校园网；软件是应用，是建设校园网的根本需求的体现。就像普通的 pc 一样，建立在硬件上面的系统软件、应用软件让我们有了利用计算机的可能。校园网是为学校教师、学生提供教学、科研和综合信息服务的宽带多媒体网络。校园网应为学校教学、科研提供先进的信息化教学环境，这就要求校园网是一个宽带、局域交互功能和专业很强的局域网络。多媒体教学、网

29、络教学、教师电子备课、办公等等都需要通过网络运行工作。大学校园网网络工程设计- 10 -2 2 校园网总体设计校园网总体设计2.1 概述概述总体设计是校园网建设的总体思路和工程蓝图，是搞好校园网建设的核心任务。进行校园网总体设计，首先，进行对象研究和需求调查，弄清学校的性质、任务和改革发展的特点，对学校的信息化环境进行准确的描述，明确系统建设的需求和条件；其次，在应用需求分析的基础上，确定学校 intranet 服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三，确定网络拓朴结构和功能，根据应用需求、建设目标和学校主要建筑分布特点，进行系统分析和设计

30、；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划安排校园网建设的实施步骤。作为校园网，需要连接多少个节点，怎样利用网络设备使得分布在不同地理位置的节点连接到一个统一的网络中来，怎样使得整个网络中的节点相互连通，这些问题仅仅是校园网需要解决问题中的一部分。从某种意义上讲，校园网的建设绝不仅仅只是涉及到技术问题，而是会引深到更深的层次，也就是说信息技术所带来的一场革命会彻底改变我们的生活方式和工作方式。对于校园网的建设，我们提出的建设原则应该是：先进性，先进的设计思想、网络结构、开发工具，采用市场覆盖率高、标准化和技术成熟的软硬件产品；实用性

31、，建网时应考虑利用和保护现有的资源、充分发挥设备效益；开放性，系统设计应采用开放技术、开放结构、开放系统组建和开放用户接口，以利于网络的维护、扩展升级及与外界信息的沟通；灵活性，采用积木式模块组合和结构化设计，使系统配置灵活，满足学校逐步到位的建网原则，使网络具有强大的可增长性；可靠性，具有容错功能，管理、维护方便。对网络的设计、选型、安装、调试等各环节进大学校园网网络工程设计- 11 -行统一规划和分析，确保系统运行可靠，经济性，投资合理，有良好的性能价格比。2.2 方案实施方案实施一个完整的校园网建设在实施过程中可以分成两个环节：网络集成方案设计和信息系统集成。其中信息系统集成是目的，网络

32、集成是手段。网络集成方案主要包括两个方面：结构化布线与设备选择、网络技术及设备选型。它的设计思想有两个，一个是网络方案采用模块化的设计，各个模块完成各自的功能。在实施的过程中，可以根据需要将相应的模块添加到网络中，也可以不使用某些模块，在需要时候再添加。同时，模块化设计容易维护，某个模块出现故障，不会影响到整个网络的安全。另一个设计思想是采用层次体系，整个网络通过主干网连接起来，各个子网通过接口与主干网连接，实现各自的功能，在子网内部及与主干网进行数据通信。2.2.1 结构化布线结构化布线综合布线系统是建筑物或建筑群内的传输网络，它既能使话音和数据通信设备、交换设备和其他信息管理系统彼此连接，

33、也能使这些设备与外部通信网络相互连接，包括建筑物到外部网络或电话局线路上的连线点，与工作区的话音或数据终端之间的所有电缆，以及相关联的布线部件。一个良好的综合布线系统对其服务的设备有一定的独立性，并能互连许多不同的通信设备如数据终端、模拟式或数字式电话、pc 和主机以及公共系统装置。一般布线系统有六个子系统组成：建筑群间子系统，设备间子系统，管理区子系统，垂直（主干）子系统，水平子系统，工作区子系统。校园网为园区网，楼群间子系统采用光缆连接，可提供千兆位的带宽，有充分的扩展余地。垂直子系统则位于高层建筑物的竖井内，可采用多模光缆或大对数双绞线。把管理区子系统并入大学校园网网络工程设计- 12

34、-设备间子系统，集中管理。对于多幢楼宇，可采用多设备间的方法。分为中心设备间和楼栋设备间部分，中心设备间是整个局域网的控制中心，内设有对外（internet）对内通信的各种网络设备（交换机、路由器） ，中心交换机通过光缆（地下直埋）与楼栋设备间的交换设备相连，以保证数据的高速传输。在此设备间放置布线的线架和网络设备，端接楼内来自在各层的主干线缆，并端接连接网络中心的光纤。.2 网络设备选型网络设备选型网络主干设备的系统结构直接决定了设备的性能和功能水平。因此，深入了解设备的系统结构设计，客观认知设备的性能和功能，这对正确选择设备极有帮助。在此次设计中，为了更好的完成所有功能，全

35、部采用了 cisco 的交换机和路由器。下面就简要介绍下此次设计中的重要设备交换机的选型。1catalyst 交换机产品（1）catalyst 2960 系列交换机cisco catalyst2960 系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强 lan服务。catalyst 2960 系列具有集成安全特性，包括网络准入控制(nac)、高级服务质量(qos)和永续性，可为网络边缘提供智能服务。cisco catalyst 2960 系列提供： 为网络边缘提供了智能特性，如先进的访问控制列表 (acl

36、)和增强安全特性； 双介质上行链路端口提供了千兆以太网上行链路灵活性，可以使用铜缆或光纤上行链路端口每个介质上行链路端口都有一个 10/100/1000 以太网端口和一个小型可插拔(sfp)千兆以太网端口，在使用时其中一个端口激活，但不能同时使用这两个端口 ； 通过高级 qos、精确速率限制、acl 和组播服务，实现了网络控制和带宽优化；大学校园网网络工程设计- 13 - 通过多种验证方法、数据加密技术和基于用户、端口和mac 地址的网络准入控制，实现了网络安全性； 通过思科网络助理，简化了网络配置、升级和故障诊断 ； 使用 smartports 自动配置特定应用 ；（2）系列产品配置cisc

37、o catalyst 2960 系列包括以下交换机： cisco catalyst 2960-24tt：24 个 10/100 以太网端口和 2个 10/100/1000 固定以太网上行链路端口；1 机架单元(ru) cisco catalyst 2960-48tt：48 个 10/100 以太网端口和 2个 10/100/1000 固定以太网上行链路端口；1 ru cisco catalyst 2960-24tc：24 个 10/100 以太网端口和 2个双介质上行链路端口；1 ru cisco catalyst 2960-48tc：48 个 10/100 以太网端口和 2个双介质上行链路端

38、口；1 ru cisco catalyst 2960g-24tc：20 个 10/100/1000 以太网端口，其中 4 个为双介质端口；1 ru 2产品特性（1）千兆以太网千兆以太网以 1000 mbps 的速度，提供了可满足新网络和扩展网络的需求的带宽，消除了瓶颈，提升了性能，同时提高了现有基础设施投资的回报。目前，工作人员都对网络有着更高需求，在网络上同时运行多个应用。例如，一位员工通过 ip 视频会议而参加小组会议，向与会者发送一个 10mb 的电子表格，将最新营销视频广播给整个小组以供评估，此外还查询客户关系管理(crm)数据库，以获得最新实时反馈。同时，后台开始了一个多 gb 的系

39、统备份，并向客户端提供最新防病毒软件的升级。（2）网络智能性当今的网络正在不断发展，在网络边缘出现了四种新趋势：桌面计算能力提高、带宽密集型应用出现、高敏感数据在网络中扩展、出现了多种设备类型，如 ip 电话、wlan 接入点和ip 视频摄像头。大学校园网网络工程设计- 14 -这些新需求正与许多已有关键任务应用争夺资源。因此，it专业人员必须将网络边缘看作有效管理信息和应用的提供的关键。随着人们对网络的依赖性日益增强，将其作为战略性业务基础设施，确保网络的高可用性、安全性、可扩展性和对它的全面控制就比以前更为重要。通过为 lan 接入添加思科智能功能，客户现可部署遍布整个网络的智能服务，从而

40、一致地满足从桌面到核心再到 wan 的要求。通过 cisco catalyst 智能以太网交换机，思科可帮助公司获得向其网络添加智能服务的全面优势。为进一步优化网络运行，部署具备以下特性的功能是十分关键的：能使网络基础设施高度可用以达到关键时间要求、可扩展以便于公司发展、高度安全以保护保密信息，且能区分和控制流量。（3）增强安全性凭借 cisco catalyst 2960 系列提供的广泛安全特性，企业可保护重要信息，防止未授权人员接入网络，确保私密性及维持不间断运行。思科基于身份的网络服务(ibns)解决方案提供了身份验证、访问控制和安全策略管理，可保护网络连接和资源。catalyst 29

41、60 系列中的 ibns 可防止未授权接入，并确保用户只获得其指定权利。它能动态管理网络接入的具体层次。使用 802.1x 标准和思科安全访问控制服务器（acs） ，无论用户在何 处连接到网络中，都可在验证基础上分配到一个 vlan。此设置使 it部门能在不影响用户移动性的情况下，以最低管理开销实施强大的安全策略。为防止拒绝服务攻击和其他攻击，可用 acl 根据源和目的地 mac 地址、ip 地址或 tcp/udp 端口来拒绝分组，从而限制对网络敏感部分的访问。acl 查询在硬件中完成，故此在实施基于 acl 的安全性时不会影响转发性能。端口安全性可根据与以太网端口相连的设备的 mac 地址，

42、来限制以太网端口上的访问。它也可用于限制插入一个交换机端口的总设备数目，因此可使交换机免遭 mac 泛洪攻击，降低了大学校园网网络工程设计- 15 -恶意无线接入点或集线器接入的风险。凭借动态主机配置协议(dhcp)监听，可以只允许来自不可信用户端口的 dhcp 请求（但不允许响应）进入网络，从而防止 dhcp 电子欺骗。此外 dhcp 接口跟踪器(选项 82) 特性可为主机 ip 地址请求添加交换机端口 id，有助于实现对于 ip 地址分配的精确控制。mac 地址通知特性可向管理站发送报警，从而监控网络和跟踪用户，以使网络管理员知道用户何时、从何处进入网络。sshv2 和 snmpv3 对管

43、理和网络管理信息加密，保护网络免遭干扰或窃听。tacacs+或 radius 验证实现了交换机的集中访问控制，并限制未授权用户改变配置。此外，可在交换机上配置本地用户名和密码数据库。交换机控制台上的 15 个授权级别和web 管理界面上的 2 个级别提供了向不同管理员分配不同配置功能级别的能力。（4）可用性和可扩展性cisco catalyst 2960 系列配备了强大的特性集，通过组播过滤和旨在第二层网络中提供最高可用性的全套生成树协议改进，实现了网络可扩展性及更高可用性。对标准生成树协议的改进，如 pvst+、uplinkfast 和portfast，可实现最长网络正常运行时间。pvst+

44、可在冗余链路上进行第二层负载共享，以有效使用冗余设计中的额外容量。uplinkfast、portfast 和 backbonefast 都大大缩减了标准的 30 到60 秒生成树协议收敛时间。flexlink 提供了不到 100ms 的双向、快速收敛。对环路保护和网桥协议数据单元（bpdu）保护的增强避免了生成树协议环路的出现。（5）高级 qoscisco catalyst 2960 提供了出色的多层 qos 特性，确保网络流量进行了分类和优先级划分，并以最好的方式避免了拥塞。qos 的配置通过自动 qos（auto qos）大大得到了简化，这是一个可发现思科 ip 电话并自动配置交换机以进行

45、正确分类和输出排序的特性。这优化了流量优先级划分和网络可用性，且不会带来复杂配置的问题。大学校园网网络工程设计- 16 -catalyst 2960 可对进入的分组分类、再分类、监管、标记、排序和排程，并能在出口处对分组排序和排程。分组分类使网络元素可区分不同流量，并根据第二层和第三层 qos 实施策略。为实现 qos，catalyst 2960 系列交换机首先确认分组或流量组，再使用 dscp 字段或 802.1p 服务级别（cos）字段对这些组分类和再分类。分类和再分类可根据源或目的地 ip 地址、源或目的地 mac 地址或者第 4 层 tcp/udp 端口等标准进行。在入口，cataly

46、st 2960 也将进行监管，以确定分组是在小组内还是在小组外，标记以改变分类标签，传输或丢弃小组分组，并根据类别对分组排序。所有端口上都支持控制平面和数据平面 acl，确保每个分组得到正确的处理。cisco catalyst 2960 支持每端口 4 个输出队列，使网络管理员能更好地进行控制，为 lan 上的各种应用分配优先级。在出口，交换机执行排程和拥塞控制。排程是一种确定队列处理顺序的算法或进程。catalyst 2960 系列交换机支持整形循环（srr）和严格优先级队列。srr 算法有助于确保个性化优先级划分。这些 qos 特性使网络管理员能将关键任务和带宽密集型流量划为较高优先级，其

47、中包括企业资源规划（erp） 、语音（ip电话流量）和计算机辅助设计及制造（cad/cam）等，而将ftp 或电子邮件等对应用划为较低优先级。例如，下载一个目的地为交换机上某一端口的大型文件，而这会增加目的地为此交换机上另一端口的语音流量的延迟，这种情况是用户极为不愿看到的。通过确保语音流量在网络中得到正确分类和优先级划分，可避免此情况。web 浏览等其他应用则可作为较低优先级对待。catalyst 2960 系列能通过对思科承诺信息速率（cir）功能的支持而执行速率限制。通过 cir，能以低至 8kbps 的增量保证带宽。带宽的分配根据若干标准进行，包括 mac 源地址、mac 目的地地址、

48、ip 源地址、ip 目的地地址和 tcp/udp 端口号。在需服务级别协议的网络环境中或需控制授予某些用户的带宽时，带宽分配非常重要。大学校园网网络工程设计- 17 -2.3 系统分析系统分析.1 关键网络系统关键网络系统cisco 2620 路由器、cisco catalyst 2950 24 口交换机（ws-c2950-24） 、cisco catalyst 3560 交换机.2 网络解决办法网络解决办法对校园网系统整体方案设计；对访问层交换机进行配置；对分布层交换机进行配置；对核心层交换机进行配置；对广域网接入路由器配置；对远程访问服务器进行配置；对整个校

49、园网系统进行诊断.3 技术分析技术分析路由、交换与远程访问技术是现代计算机网络领域中三大支撑技术体系。路由技术：路由协议工作在osi 参考模型的第 3 层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表（access control list，acl） ，路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本次设计中，内网用户不仅通过路由器接入因特网、内网用户之间也通过 3 层交换机上的路由功能进行数据包交换。传统意义上的数据交换发生在 osi 模型的第 2 层。现代交换技术还实现了第

50、 3 层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了园区网数据交换服务质量，满足了不同类型网络应用程序的需要。 现代交换网络还引入了虚拟局域网（virtual lan，vlan）的概念。vlan 将广播域限制在单个 vlan 内部，减小了各vlan 间主机的广播通信对其他 vlan 的影响。在 vlan 间需要通信的时候，可以利用 vlan 间路由技术来实现。 当网络管理人员人员需要管理的交换机数量众多时，可以使大学校园网网络工程设计- 18 -用 vlan 中继协议（vlan trunking protocol，vtp）简化管理，它只需在单独一台交换机上定义

51、所有 vlan。然后通过 vtp 协议将 vlan 定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。当园区网络的交换机数量增多、交换机间链路增加时，交换网络的复杂性可能会造成交换环路问题，这需要通过在各交换机上运行生成树协议（spanning tree protocol，stp）来解决。 一个好的校园网设计应该是一个分层的设计。一般分为三层设计模型。在此次设计方案中，对实际校园网的设计进行了适当和必要的简化，将重点放在网络主干的设计上，对于服务器的架设只作简单介绍。大学校园网网络工程设计- 19 -3 3 系统详细设计系统详细设计3.1系统组成与拓扑结构系

52、统组成与拓扑结构在此次网络工程设计中，为了实现整个工程设计设备的统一性，本设计方案中完全采用同一厂家的网络产品，即 cisco 公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。本校园网设计方案主要由以下四大部分构成：交换模块、广域网接入模块、远程访问模块、服务器群。整个网络系统的拓扑结构图如图 3-1 所示。 （省略了部分拓扑信息） 图 3-1校园网整体拓扑结构图.1vlanvlan 及及 ipip 地址规划地址规划整个校园网中 vlan 及 ip 编址方案如图 3-1-1 所示：大学校园网网络工程设计- 20 -图 3-1-1vl

53、an 及 ip 编址方案在此次设计中，我规划了 15 个 vlan，并为每个 vlan 定义了一个由拼音缩写组成的 vlan 名称。3.2交换模块设计交换模块设计为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可划分为三个层次：访问层、分布层、核心层。 3.2.1 访问层交换服务的实现访问层交换服务的实现配置配置访问层交换机访问层交换机 访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的是 cisco catalyst 2950 24 口交换机。交换机拥有 24个 10/100mbps 自适应快速以太网端口，运行的是 cisc

54、o 的 ios操作系统。我们以拓扑图中的访问层交换机 xingzhenglou 为例进行介绍。如图 3-2-1 所示，图 3-2-1访问层交换机 xingzhenglou1配置访问层交换机 xingzhenglou 的基本参数大学校园网网络工程设计- 21 -（1）设置交换机名称设置交换机名称，也就是出现在交换机 cli 提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要 telnet 登录到若干台交换机以维护一个大型网络时，通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。如图 3-2-2 所示，为访问层交换机 xingzhenglou 命名。图 3-2-2

55、为访问层交换机 xingzhenglou 命名（2）设置交换机的加密使能口令 当用户在普通用户模式而想要进入特权用户模式时，需要提供此口令。此口令会以 md5 的形式加密，因此，当用户查看配置文件时，无法看到明文形式的口令。 如图 3-2-3 所示，将交换机的加密使能口令设置为xingzhenglou图 3-2-3为交换机设置加密使能口令（3）设置登录虚拟终端线时的口令 对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理人员提供了很多的方便。但是，处于安全考虑，在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。如图 3-2-4 所示，设置登录交换机时需要验证用户身

56、份，同时设置口令为 user图 3-2-4 为访问层交换机 xingzhenglou 命名（4）设置终端线超时时间 为了安全考虑，可以设置终端线超时时间。在设置的时间内，如果没有检测到键盘输入，ios 将断开用户和交换机之间的连接。 如图 3-2-5 所示，设置登录交换机的控制台终端线路及虚拟终大学校园网网络工程设计- 22 -端线的超时时间为 5 分 30 秒钟。图 3-2-5设置控制台终端线路和虚拟终端线路的超时时间（5）设置禁用 ip 地址解析特性交换机默认配置的情况下，当我们输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的 dns 服务器并将其解析成对应的 ip 地址。利用命

57、令 no ip domain-lookup。可以禁用这个特性如图 3-2-6 所示，设置禁用 ip 地址解析特性。 图 3-2-6设置禁用 ip 地址解析特性2配置访问层交换机 xingzhenglou 的管理 ip、默认网关 访问层交换机是 osi 参考模型的第 2 层设备，即数据链路层的设备。因此，给访问层交换机的每个端口设置 ip 地址是没意义的。但是，为了使网络管理人员可以从远程登录到访问层交换机上进行管理，必要给访问层交换机设置一个管理用 ip 地址。这种情况下，实际上是将交换机看成和 pc 机一样的主机。给交换机设置管理用 ip 地址只能在 vlan1，即本征 vlan中进行。按照

58、表 3-1，管理 vlan 所在的子网是：/24，这里将访问层交换机 xingzhenglou 的管理 ip地址设为：/24 如图 3-2-7 所示，显示了为访问层交换机 xingzhenglou 设置管理 ip 并激活本征 vlan。图 3-2-7设置访问层交换机 xingzhenglou 的管理 ip为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关地址 54。如图 3-2-8 所示。图 3-2-8设置访问层交换机 xingzhenglou 的默认网关地址3配置访问层交换机 xingzhenglou 的 vla

59、n 及 vtp 大学校园网网络工程设计- 23 -从提高效率的角度出发，在本校园网实现实例中使用了vtp 技术。同时，将分布层交换机 distributeswitch1 设置成为vtp 服务器，其他交换机设置成为 vtp 客户机。这里访问层交换机 xingzhenglou 将通过 vtp 获得在分布层交换机 distributeswitch1 中定义的所有 vlan 的信息。如图 3-2-9 所示，设置访问层交换机 xingzhenglou 成为vtp 客户机。图 3-2-9设置访问层交换机 xingzhenglou 成为 vtp 客户机4配置访问层交换机 xingzhenglou 端口基本参

60、数（1）端口双工配置可以设定某端口根据对端设备双工类型自动调整本端口双工模式，也可以强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情况下，建议手动设置端口双工模式。如图 3-2-10 所示，设置访问层交换机 xingzhenglou 的所有端口均工作在全双工模式。图 3-2-10设置访问层交换机 xingzhenglou 的端口工作模式（2）端口速度 可以设定某端口根据对端设备速度自动调整本端口速度，也可以强制将端口速度设为 10mpbs 或 100mbps。在了解对端设备速度的情况下，建议手动设置端口速度。如图 3-2-11 所示，设置访问层交换机 xingzhenglou