广东轻工职业技术学院校园网系统网络安全中稿

1、华南农业大学珠江学院毕业论文（设计） 广东轻工职业技术学院校园网系统 网络安全 学号： 手机号码： 指导教师： 系： 年级专业： 提交日期： 答辩日期： 答辩委员会主席（签名）： 评阅人（签名）： 年 月 日摘要 现在校园网建设已经成为校园建设中重要的一环，也是学院档次、规模的一个标志。现在很多院校都已经建立了自己的校园网，有些院校架设的校园网很有规模，在功能实现方面也是很强大的，大部分的院校的校园网已经延伸到学生宿舍，真正的实现了校园网对学生的完全开放，让学生能够每个时刻都可以使用校园网。这些年来，互联网迅速发展，为校园网建设带来了巨大发展，为教育机构实现网络的应用。校园网是指在校园范围内，

2、在一定的指导思想和理论指导下，为校园中的学生提供一个资源共享、信息交流和协同工作的网络平台。校园网是基于现在的Internet发展起来的，都能实现像现有Internet的基本功能：Web信息发布、电子邮件、资源共享、打印共享、网络管理等。因此，每个校园网的设计都是进过周密的规划和设计的，每个院校有不同的校园网结构。现在就广东轻工职业技术学院重新进行网络设计，主要涉及以下几个方面：网络拓扑结构的设计、网络设备的选择、划分VLAN、NAT、配置硬件防火墙、访问控制列表（ACL）、VPN等保证网络访问的安全。本文从实用的角度出发，根据网络拓扑结构，对学院的网络结构和设计进行了深入的分析。关键字：网络

3、拓扑；划分VLAN；NAT；硬件防火墙；ACL；VPNAbstractCampus network construction has become an important part of campus construction, a hallmark of the Institute is also a grade scale. Many institutions have established their own campus network, some institutions erected by the great size of the campus network, is al

4、so very powerful in function to achieve most of the institutions of the campus network has been extended to the student dormitories, the true realizationthe campus network is completely open to students so that students can in every moment you can use the campus network. These years, the Internet, t

5、he rapid development has brought great development to the campus network construction, network application for educational institutions. Campus network in the campus within the guiding ideology and theory under the guidance of the students in the campus to provide a resource sharing network platform

6、 for information exchange and collaborative work. The campus network is based on the Internet developed, can realize the basic functions like existing Internet: Web information, e-mail, resource sharing, print sharing, network management. Therefore, the design of the campus network are into careful

7、planning and design, each of the institutions have different campus network structure. Guangdong Industry Technical College, now re-network design, mainly related to the following aspects: the design of the network topology, choice of network equipment division of VLANs, NAT, configure the hardware

8、firewall, access control lists (ACLs), VPN, etc. to ensurenetwork access security.From the practical point of view, according to the network topology, the network structure and design of the Institute conducted in-depth analysis.Keywords: network topology;VLAN;NAT;hardware firewall;ACL;the VPN设计说明随着

9、Internet技术的不断发展，我们生活的方方面面都跟网络打交道，网络成为了人们生活中不可缺少的一部分。学校是向学生传授知识的一个地方，它跟网络的联系就更加紧密了，学生通过Internet可以寻找到形形色色的知识，在网上培养一些自己在学校学不到的东西，增强自己的能力。校园网的规模和成熟度成了校园文化发展程度的一个标志，对学生的校园文化的丰富起到了很大的作用。广东轻工职业技术学院有广州校区和南海校区两个校区，而且两个校区的网络布局也有所差别，主要有计算机网络中心、教学楼、实训楼、行政楼、图书馆、学生宿舍楼、教师宿舍楼。在校园网系统设计过程中，为了让整个校园网能更好地实现设计任务的功能，使设计工作

10、顺利进行，校园网能正常有效地投入使用，并且使构建出来的校园网能达到实用可靠、高效先进的目的，校园网系统设计一般应遵循以下原则：1）开放性与稳定性原则在设计校园网时应尽量采用结构化、模块化、标准化的设计原则。在技术选择方面，必须选择符合国际标准及国内标准的，避免因为个别厂商的产品出现不兼容的问题，确保网络的开放性和互通互联，达到信息安全可靠的传送的目的。开放的接口，支持良好的管理和维护，提供对校园网中的网络设备统一实时监测，实现对设备的统一管理的要求。校园网需要达到满足校园网中不同用户的需求，达到校园网络系统稳定，保证整体方案的设计合理，便于网络管理人员对校园网的管理和维护。同时要采用开放性的网

11、络体系，方便网络的升级、扩展，在选择交换机等网络设备时，选择可以使用多种国际标准的产品，在保证了校园网稳定性的同时也具备了开放性。2）先进性与使用性原则现在网络技术发展迅速，网络设备遭到淘汰的速度也很快。在设计校园网系统的时候要采用先进的概念、技术和方法的同时，还要注意在结构、设备、工具选择上的相对成熟。采用先进的符合国际标准的方法和设备，方便在以后能适应将来校园网络发展的需要，保证网络设备在几年后不会被淘汰，能够降级使用。3）安全性和可靠性原则校园网络的安全可靠包括了系统、设备、应用等多个方面的因素，在设计校园网系统时，在结构、系统、应用等方面可能受到的威胁以及可能承担的风险进行分析，制定相

12、应的规范和措施，确保整个校园网系统具有良好的安全性和可靠性。4）可扩展性原则设计出来的校园网，要具备可扩展和可升级的功能，随着学校建筑群的增加和不同用户需求的增加，整个校园网的信息流量可能按指数增长，这就要求校园网具有很好的可扩张性了。所以在设备的选择上，应选择符合国际标准的产品，保证系统具有较长生命力和扩展力，满足将来系统升级的需求。5）可维护性原则整个校园网是一个很大的网络系统，如果在某个点上出现了问题，我们不能很快的解决问题的话，那带来的损失是不可估量的，所以整个网络系统应具有良好的可维护性。设计的主要技术资料有：计算机网络技术与应用；Cisco网络工程案例精粹；局域网技术与组网工程；路

13、由器配置与管理完全手册：Cisco篇；防火墙策略与VPN配置关键字：广东轻工职业技术学院；校园网系统；国际标准；设计；原则 目录1 前言11.1 广东轻工职业技术学院背景11.2 需求分析11.3 研究方法31.3.1 网络拓扑结构的设计31.3.2 网络设备的选择31.3.3 划分VLAN31.3.4 配置硬件防火墙、访问控制列表（ACL）、VPN31.4 本课题研究的主要内容31.5 校园网建设的原则32 结构设计与设备选择42.1结构设计42.2 主要网络设备的选择42.2.1 网络设备的选择原则42.2.2 主要网络设备53 拓扑结构选择及组网技术93.1 网络拓扑结构的选择93.2

14、组网技术93.2.1综合布线系统93.2.2 Internet接入技术103.2.3 防火墙技术104 拓扑设计及VLAN划分124.1 网络拓扑图设计124.1.1 拓扑图设计思路124.1.2 拓扑图设计124.2 VLAN划分134.2.1 VLAN介绍134.2.2 划分VLAN的目的134.2.3 VLAN的优点134.2.4 VLAN划分的分类144.2.5划分VLAN的基本策略144.2.6 VLAN创建和分配ip145 网络安全设计225.1 NAT225.1.1 NAT简介225.1.2 NAT技术的产生225.1.3 NAT的作用225.1.4 NAT技术实现方式225.1

15、.5 NAT配置225.2 ACL（访问控制列表）245.2.1 ACL简介245.2.2 ACL基本原理245.2.3 配置ACL的基本原则245.2.4 ACL配置245.2.5 接入路由器上的acl配置265.3 VPN275.3.1 VPN的意义285.3.2 VPN的特点285.3.3 VPN配置285.4 硬件防火墙305.4.1 硬件防火墙简介305.4.2 硬件防火墙配置306 总结33参考文献：34致谢35351 前言1.1 广东轻工职业技术学院背景广东轻工职业技术学院是1999年经教育部批准成立的全日制高等职业技术学校，由广东省人民政府主办、广东省教育厅直接管理。学校有广州

16、和南海两个校区，校园总面积1500亩，有268个实验实训室，22个校内生产性实训基地，1205个校外实习基地。为了推动学院教学信息化和现代化、实现两个校区更好的实现资源共享和信息交流，学院计划搭建校园内部网，通过千兆网络实现两个校区更好的互联，通过千兆网络实现更好的连接互联网，第一时间获取网络上对教学有用的信息。广东轻工职业技术学院校园网的主要作用是：为全校教师、科研机构、领导、学生提供一个先进的计算机网络环境，并将前沿的一些东西引入到教学、科研、管理、学习的各个领域；改善学习教学科研、管理和学习环境，以提高各个领域的水平；有利于培养面向世界、面向未来的高层次人才。广东轻工职业技术学院着重进行

17、广州和南海两个校区的连接，通过两个校区的图书馆，更好的实现了资源共享，以及校园网结构的设计，实现更好的使用校园网资源。1.2 需求分析 校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。首先，校园网应为学校教学、科研提供先进的信息化教学环境；其次，校园网应具有教务、行政和总务管理功能；最后，校园网还应满足校内外的通讯要求。因此广东轻工职业技术学院的校园网要达到以下目标：1）建成一个内部网络，在此基础上建立起供老师和同学使用的内部网络。2）使现有的计算机机房，多媒体教室能共享内部网络资源。3）快速以太网接入各间教室，方便教师的多媒体教学。4）实现Internet的接入，实现信息在I

18、nternet的发布。5）实现三层网络设备的网关备份，防止网络的广播风暴。6）学生宿舍接入校园网，为学生营造一个更好有学习和娱乐环境。广东轻工职业技术学院的整个网络主要分为七个部个：1）计算机网络中心：计算机网络中心是整个校园网络的核心。校园网核心交换机、服务器、路由器、防火墙、Internet接入均置于计算机网络中心，便于统一管理。2）教学楼：主要教学场所，其中包括教室、多媒体教室、电脑机房、教师办公室等。3）实训楼：电路电工实训机房、单片机实训机房、模拟电子电路实训机房等。 4）行政楼：院领导办公室、财务后勤等院级各部门办公室、视频会议中心。5）图书馆：电子阅览室、书籍查阅中心等。6）学生

19、宿舍楼。7）教师宿舍楼。广东轻工职业技术学院拓扑图如下：图1.1 广东轻工职业技术学院拓扑图1.3 研究方法1.3.1 网络拓扑结构的设计通过对广东轻工职业技术学院校园建筑结构进行主干、汇聚、接入层的具体设计。1.3.2 网络设备的选择 网络设备的选择也是一个很重要的环节，对网络设备的选择直接影响到能否满足校园网的功能需求。1.3.3 划分VLAN 通过划分VLAN可以防范网络中的广播风暴，提高了线路的利用效率，保证一定的内部网络的安全。1.3.4 配置硬件防火墙、访问控制列表（ACL）、VPN 硬件防火墙起到了保护内部网络不受外部网络的攻击，选择一个好的硬件防火墙和很好的配置防火墙在校园网的

20、建设中也是至关重要的。1.4 本课题研究的主要内容本课题主要研究的是网络安全部分，说到网络安全，自然而然的就会想到硬件防火墙了，这是本课题研究的重点，需要对硬件防火墙进行合理的配置，才能让防火墙很好的抵挡外界的攻击，还有就是VLAN的划分，访问控制列表的配置。1.5 校园网建设的原则 校园网建设有以下几条原则：1）合理利用有限的资金。2）统一规划，软硬兼施，明确近期目标。3）技术先进成熟，总体性能价格比高。4）实用、易用，便于维护、管理。5）保护以往投资，兼容已有系统。6）支持灵活的扩展性和可重组性，考虑未来需求。7）采用开发产品，遵循国际标准。 在组建校园网的时候，我们要按照以上几条原则来建

21、设校园网，才有可能建设出高效率的校园网。2 结构设计与设备选择2.1结构设计学院校园网结合教学、科研、办公、管理，利用网络技术搭建起来的，它是基于：1）开放性的网络协议和较成熟的、商品化的网络网络硬件和软件。2）网络带宽远远满足当前的业务需求，并支持不断发展的业务需要。3）网络互连性、可操作性和可扩充性好。广东轻工职业技术学院分为两个校区，分别是广州校区和南海校区。广州校区主要的建筑有教学楼、实训中心、学生公寓等；南海校区有图书馆、教师公寓、工业实训楼、行政办公楼、教学楼、学生公寓等，我们为每个建筑物都配备一个汇聚层交换机，把校园网建设成具有核心层、汇聚层、接入层3层的校园网络。2.2 主要网

22、络设备的选择2.2.1 网络设备的选择原则 根据校园网建设的原则，我们在选择网络设备方面应该遵循以下几个原则：1）网络设备的安全、稳定、可靠作为整个校园网的硬件设施，网络设备必须具备安全性、稳定性和可靠性的特点，这也是网络稳定运行的基本条件。可以选择现在几个比较有名的网络设备厂商的产品，网络设备具备安全可靠，很强的稳定性。2）技术前沿网络设备光有安全、稳定、可靠还是远远不够，对网络设备选择还需要是现在比较先进的网络设备，可以保证在相当长的一段时间内不会因为技术落后而被淘汰，同时，在网络规模扩大时，这个网络设备不能够胜任网络负荷时，能够降级使用的要求。3）方便扩展现在技术更新换代迅速，为了避免不

23、必要的重复投资，我们在选择网络设备时应该选择扩展性比较好的网络设备，能够保证在网络规模不断扩大的时候，不需要更换掉整台的网络设备，而是只需要在网络设备中加入相应的模块，就能够使现有的网络设备胜任网络负荷和满足网络应用的需求。4）方便维护和管理先进的网络设备必须配备先进的管理和维护方法，才能发挥出设备的最大作用。所以，我们选择的网络设备必须能够支持现有的常用的网络管理软件和多种网络管理软件，以方便网络管理人员的维护。2.2.2 主要网络设备由于广东轻工职业技术学院校园网的规模很大，所以必须选用比较强悍的交换机来做核心交换机，以满足整个校园网巨大的吞吐量，下图是Cisco Catalyst 650

24、0-E系列交换机的主要特性：表1列出了Cisco Catalyst 6500系列的主要特性特性Cisco Catalyst 6500系列机箱配置3个插槽6个插槽9个插槽9个垂直插槽13个插槽背板带宽32Gbps共享总线256Gbps 交换矩阵720Gbps 交换矩阵第三层转发性能Cisco Catalyst 6500 Supervisor Engine 1A多层交换特性卡(MSFC2): 15 mppsCatalyst 6500 Supervisor Engine 2 MSFC2:最高210 mppsCatalyst 6500 Supervisor Engine 32 MSFC2a: 15 m

25、ppsCatalyst 6500 Supervisor Engine 720: 最高400 mpps操作系统Cisco Catalyst OSCisco IOS软件混合配置冗余交换管理引擎支持，带状态化故障切换冗余部件电源(1+1)交换矩阵 (1+1)续表1特性Cisco Catalyst 6500系列冗余部件可更换时钟可更换风扇高可用性特性网关负载均衡协议热备份路由器协议(HSRP)多模块EtherChannel技术快速生成树协议(RSTP)多生成树协议(MSTP)每VLAN快速生成树快速收敛第三层协议高级服务模块内容服务网关CSM防火墙模块IDS模块IP安全(IPSec) VPN模块网络分

26、析模块稳定连接存储设备SSL模块无线局域网服务模块DES-8500系列万兆路由交换机作为新一代大容量、高密度、高性能、模块化核心路由交换机产品，其背板带宽高达 3.2Tbps，包转发速率最大为952Mpps，具备二到四层线速交换能力。DES-8500万兆路由交换机基于先进的模块化理念进行设计，并采用了基 于多处理器分布式处理机制和Crossbar空分交换结构的体系结构，关键模块均采用1:1冗余备份，可以保证在一个设备出现故障的时候，能够是校园网不间断的工作。可提供10GE、GE、FE等各种丰富的接口模块， 并全面支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能。整个系

27、统所具备的高可靠性、高扩展性、强大的业务能力等特点可以满足各种网络核心层的建设需求。DES-8500系列万兆路由交换机的产品特性如下：1）万兆核心路由交换机；2）CrossBar无阻塞交换架构；3）大容量背板和吞吐率，952Mpps的路由包转发能力；4）支持双主控热切换；5）硬件线速QoS、L2-L4访问控制；6）最多支持384个千兆线速端口；7）最大64个万兆线速端口；8）线速的NAT业务模块；9）线速MPLS、MPLSVPN、MPLSTE业务；10）硬件支持Ipv6。在硬件防火墙的选择上，我选择了Juniper SSG-140-SH。Juniper SSG-140-SH防火墙的并发连接数是

28、32000，网络吞吐量是350Mbps,入侵检测采用的是Dos、DDoS，支持VPN，控制端口有8个10/1000、2个10/100/1000。这个防火墙的并发连接数能够满足广东轻工职业技术学院的网络访问流量的要求。Juniper SSG-140-SH的主要特性如下表：表2 Juniper SSG-140-SH的主要特性设备类型安全服务网关并发连接数45000网络吞吐量350安全过滤带宽100Mbps网络端口8个10/100、2个10/100/1000用户数限制无用户数限制入侵检测Dos、DDos安全标准UL、CUL、CSA、CBVPN支持支持操作系统ScreenOS一般参数适用环境工作温度:

29、0-40、工作湿度:10%-90%非冷凝、存储温度:-20-65、存储湿度:10%-90%非冷凝电源：100-240 VAC续表2防火墙尺寸：44.5×444.5×381mm防火墙重量：4.63kg其他性能：4个物理接口模块(PIM)扩展插槽、带512 MB内存3 拓扑结构选择及组网技术3.1 网络拓扑结构的选择 计算机网络拓扑结构，即是指网络上计算机或者设备与传输媒介形成的节点与线的物理构成模式。现在的网络拓扑结构主要有：总线型拓扑、星型拓扑、环形拓扑、树形拓扑和混合型拓扑。在总线型结构中，有一条高速主干公用电缆连接若干个节点构成了网络，这种结构的特点就是结构简单，节约组

30、网费用、使用方便。但是它的缺点也是显而易见的，由于是只有一条主干网络，当这个主干线上的一点出现故障，就会导致整个网络的瘫痪，这与在网络建设中要求网络具有高可靠性和冗余性不相符，因此使用总线型的网络拓扑结构建设大型的网络已被淘汰。环形拓扑结构令牌网络常用的一种网络拓扑结构，其缺点跟总线型拓扑结构差不多，也是在网络建设中遭到淘汰的拓扑结构。当前在各种网络建设中使用的最多的网络拓扑结构是星型拓扑结构，它的优点是十分突出的，当网络中的某个节点出现问题时，不会影响到整个网络的运行，这大大提高了这个网络的可靠性和冗余性，虽然星形拓扑结构存在着布线和网络设备的花费多一些，不过这些花费还是可以承受。所以我们在

31、搭建广东轻工职业技术学院校园网时，我们选择了星型拓扑结构。3.2 组网技术组网技术就是网络组建技术，分为以太网组网技术和ATM局域网组网技术。组网技术就是在有了网络的设计方案和确定选用哪种网络设备之后，怎么把不同连接到一起所用到的各种技术。组网技术主要包括：布线系统、Internet接入技术、防火墙等。3.2.1综合布线系统综合布线系统就是为了顺应发展需求而特别设计的一套布线系统。结构化布线系统的组成：网络系统的正常运行主要取决于网络设备和网络线路，对于网络系统来说，采用结构化布线系统能更好的满足系统设计的需要。整个布线系统主要包含光纤布线和室内综合布线系统。布线系统的结构主要是根据建筑物的分

32、布图来设计，使用结构化布线工程的布线系统具有实用性、灵活性、可扩充性以及真正的开放性。通过结构化布线建成的网络系统具有满足多种计算机网络系统对线路的要求， 不仅能对端口进行灵活的配置，而且能够方便的对整个网络系统进行升级和扩充。光纤布线主要用在建筑物或者楼层之间，这些建筑物或楼层都是距离比较远的，超出了双绞线的信号衰弱距离，那么就要采用光纤布线，广东轻工职业技术学院的两个校区，广州校区和南海校区，距离是比较远的，必须通过1000M光纤进行连接，这样才能保证两个校区更好的信息交流和资源共享。室内布线采用5类或者超5类双绞线连接各个信息点。3.2.2 Internet接入技术如果我们建成的校园网不

33、能够连接到Internet，那么这个校园网就是一个不完整的网络，也不能充分的使用Internet上大量的信息资源，因此，校园网接入Internet的接入技术就显的至关重要了。现在大多数高校的校园网使用的Internet技术主要有ADSL和光纤专线接入。ADSL(Asymmetrical Digital Subscriber Line，非对称数字用户环路)是一种能够通过普通电话线提供宽带数据业务的技术，也是目前极具发展前景的一种接入技术。ADSL素有“网络快车”之美誉，因其下行速率高、频带宽、性能优、安装方便、不需交纳电话费等特点而深受广大用户喜爱，成为继Modem、ISDN之后的又一种全新的高

34、效接入方式，不过这个方式只使用于中小型网络。光纤接入技术是面向未来的光纤到路边（FTTC）和光纤到户（FTTH）的宽带网络接入技术。光纤接入网（OAN）是目前电信网中发展最为快速的接入网技术，除了重点解决电话等窄带业务的有效接入问题外，还可以同时解决调整数据业务、多媒体图像等宽带业务的接入问题。光纤接入Internet非常适合广东轻工职业技术学院的网络需求，所以我们采用光纤接入来连接Internet，以实现高速的网络信息访问。3.2.3 防火墙技术防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙分为硬件防火墙和软件防火墙，这里主要

35、研究的是硬件防火墙。简单的防火墙可以用路由器来实现，像校园网这种大型的网络只有通过硬件防火墙来隔离内部网络和外部网络。防火墙的功能主要是过滤掉不安全的服务和非授权用户的非法操作以及提供监视Internet安全和预警的方便端点。不过防火墙也不是万能的，它也有些方面是防范不了的，比如不经由防火墙的攻击和感染病毒的软件和文件的传输。所以，防火墙只能作为整体安全防范的一部分而已。防火墙技术从层次上分为报文过滤和应用层网关。报文过滤是在IP层实现的，他的原理是根据报文的源IP地址、目的IP地址、源端口、目的端口报文信息来判断是否允许报文通过，因此它可以只用路由器完成。在应用层网关实现的防火墙有多种方式，

36、如应用代理服务器和网络地址转换器等。在校园网中的应用大部分是内部用户在使用校园网，内部用户也拥有较高的使用权限，因此局域网的安全是整个校园网安全最重要的组成部分。局域网中的网络安全是可以预测的，所以可以制定相应的防范措施，主要体现在对硬件防火墙的配置上了。4 拓扑设计及VLAN划分4.1 网络拓扑图设计4.1.1拓扑图设计思路校园网是校园资源共享的一个最重要的路径之一，所以要保证整个网络能够不间断的工作，在网络的某一个点上出现故障时，也能保证网络不间断，这就需要对网络进行很好的设计了，才能达到这个目的。在这里，我的拓扑设计思路是这样的，就是用两个核心交换机连在一起，然后分别让这两个核心交换机与

37、汇聚层交换机互连，这样可以保证在一台核心交换机出现问题的时候，另外一台核心交换机接替坏掉的那台交换机工作，这样可以保证网络不间断的工作。4.1.2 拓扑图设计在拓扑设计，我们自然是选择星型拓扑结构，在前边已经介绍过它的优点了。对于广东轻工职业技术学院的两个校区，每个校区配备两台核心交换机，这两个核心交换机通过万兆光纤互连，然后每个核心交换机都与汇聚层交换机互连，可以实现在一台交换机出现故障时，另外一台核心交换机接替出故障的核心层交换机工作，保证了网络的不间断。由于拓扑图比较大，只能截取部分，下图是拓扑图：图4.1 网络拓扑图部分截图4.2 VLAN划分4.2.1 VLAN介绍 VLAN（Vir

38、tual Local Area Network）的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能。4.2.2 划分VLAN的目的VLAN的目的非常多，通过认识VLAN的本质，我们可以了解VLAN主要用在什么地方。1）两个不同的网段要互相访问，都必须通过路由器才能进行访问。2）VLAN本质就是指一个网段，之所以叫做虚拟的局域网，是因为它是在虚拟的路由器的接口下创建的

39、网段。当一个交换机上至少有一个端口与其他端口不在同一个网段的时候，当路由器的物理端口要连接两个或者更多网段的时候，就是VLAN起作用的时候，这就是VLAN的目的。4.2.3 VLAN的优点划分了VLAN后具有以下优点：1）防范广播风暴。限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。2）安全。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。 3）成本降低。

40、成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。4）提高性能。将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。5）提高IT员工效率。VLAN为网络管理带来了方便，因为有相似网络需求的用户将共享同一个VLAN。6）简化项目管理或应用管理。VLAN 将用户和网络设备聚合到一起，以支持商业需求或地域上的需求。7）增加了网络连接的灵活性。借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。4.2.4 VLAN划分的分类VLAN的划分可以分为以下几种：1）根据端口来划

41、分VLAN；2）根据MAC地址划分VLAN；3）根据网络层划分VLAN；4）根据IP组播划分VLAN；5）基于规则的VLAN；6）按用户定义、非用户授权划分VLAN。4.2.5划分VLAN的基本策略划分VLAN的策略有以下几种：1）基于端口的VLAN划分。这种划分是把一台或多台交换机上的一个或者多个端口划分到同一个逻辑组中，这是最简单的VLAN划分。2）基于MAC地址的VLAN划分。把MAC地址划分为一个逻辑子网。3）基于路由的VLAN划分。这种方式允许一个VLAN跨越多个交换机，或者一个端口位于多个VLAN中。4.2.6 VLAN创建和分配ip所有网络设备连接默认的vlan是在vlan1，如

42、下图所示：图4.2 默认的vlan接着我们我们为广东轻工职业技术学院的广州校区的七栋学生宿舍、教学楼汇聚、实训中心、西校汇聚分别创建vlan：1）switch0配置命令如下：Switch#vlan database% Warning: It is recommended to configure VLAN from config mode,as VLAN database mode is being deprecated. Please consult userdocumentation for configuring VTP/VLAN in config mode.Switch(vlan)#

43、vlan 2VLAN 2 added:Name: VLAN0002Switch(vlan)#vlan 3VLAN 3 added:Name: VLAN0003Switch(vlan)#vlan 4VLAN 4 added:Name: VLAN0004Switch(vlan)#vlan 5VLAN 5 added:Name: VLAN0005Switch(vlan)#vlan 6VLAN 6 added:Name: VLAN0006Switch(vlan)#vlan 7VLAN 7 added:Name: VLAN0007Switch(vlan)#vlan 8VLAN 8 added:Name:

44、 VLAN0008Switch(vlan)#vlan 9VLAN 9 added:Name: VLAN0009Switch(vlan)#vlan 10VLAN 10 added:Name: VLAN0010Switch(vlan)#exit2）然后为各个vlan分配ip，配置命令如下：Switch(config)#int vlan1Switch(config-if)#ip add 192.168.1.1% Incomplete command.Switch(config-if)#ip add 192.168.1.1 255.255.255.0Switch(config-if)#no sh%LI

45、NK-5-CHANGED: Interface Vlan1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to upSwitch(config-if)#int vlan2%LINK-5-CHANGED: Interface Vlan2, changed state to upSwitch(config-if)#exitSwitch(config)#int vlan2Switch(config-if)#ip add 192.168.2.1 255.255.255.0

46、Switch(config-if)#no shSwitch(config-if)#no shutSwitch(config-if)#exitSwitch(config)#int vlan3Switch(config-if)#%LINK-5-CHANGED: Interface Vlan3, changed state to upSwitch(config-if)#ip add 192.168.3.1 255.255.255.0Switch(config-if)#no shSwitch(config-if)#exitSwitch(config)#int vlan4Switch(config-if

47、)#%LINK-5-CHANGED: Interface Vlan4, changed state to upSwitch(config-if)#ip add 192.168.4.1 255.255.255.0Switch(config-if)#no shSwitch(config-if)#exitSwitch(config)#int vlan5%LINK-5-CHANGED: Interface Vlan5, changed state to upSwitch(config-if)#ip add 192.168.5.1% Incomplete command.Switch(config-if

48、)#ip add 192.168.5.1 255.255.255.0Switch(config-if)#no shSwitch(config-if)#int vlan6Switch(config-if)#%LINK-5-CHANGED: Interface Vlan6, changed state to upSwitch(config-if)#ip add 192.168.6.1 255.255.255.0Switch(config-if)#no shSwitch(config-if)#int vlan7%LINK-5-CHANGED: Interface Vlan7, changed sta

49、te to upSwitch(config-if)#ip add 192.168.7.1 255.255.255.0Switch(config-if)#no shSwitch(config-if)#int vlan8%LINK-5-CHANGED: Interface Vlan8, changed state to upSwitch(config-if)#ip add 192.168.8.1 255.255.255.0Switch(config-if)#no shSwitch(config-if)#int vlan9%LINK-5-CHANGED: Interface Vlan9, chang

50、ed state to upSwitch(config-if)#ip add 192.168.9.1 255.255.255.0Switch(config-if)#no shSwitch(config-if)#int vlan10%LINK-5-CHANGED: Interface Vlan10, changed state to upSwitch(config-if)#ip add 192.168.10.1 255.255.255.0Switch(config-if)#no sh3）接着配置VTP，配置命令如下：Switch>enSwitch#conf tEnter configura

51、tion commands, one per line. End with CNTL/Z.Switch(config)#vtp domain china_mobileChanging VTP domain name from NULL to china_mobileSwitch(config)#vtp mode serverDevice mode already VTP SERVER.Switch(config)#endSwitch#%SYS-5-CONFIG_I: Configured from console by console4）为VLAN分配ip接口，配置命令如下：Switch>

52、;enSwitch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#int f0/2Switch(config-if)#switchport mode accessSwitch(config-if)#int f0/3Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 2%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan2

53、, changed state to upSwitch(config-if)#switchport access vlan 2Switch(config-if)#spanning-tree portfast%Warning: portfast should only be enabled on ports connected to a singlehost. Connecting hubs, concentrators, switches, bridges, etc. to thisinterface when portfast is enabled, can cause temporary

54、bridging loops.Use with CAUTION%Portfast has been configured on FastEthernet0/3 but will onlyhave effect when the interface is in a non-trunking mode.Switch(config-if)#int f0/4Switch(config-if)#swi mode accessSwitch(config-if)#swi access vlan 3%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan3, c

55、hanged state to upSwitch(config-if)#spanning-tree portfast%Warning: portfast should only be enabled on ports connected to a singlehost. Connecting hubs, concentrators, switches, bridges, etc. to thisinterface when portfast is enabled, can cause temporary bridging loops.Use with CAUTION%Portfast has been configured on FastEthernet0/4 but will onlyhave effect when the interface is in a non-trunking mode.Switch(config-if)#int f0/5Switch(config-if)#swi mode accessSwitch(config-if)#swi access vlan 4Switch(config-if)#%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan4,