吉林校园网的设计

┊┊┊┊┊┊┊┊┊┊┊┊┊装┊┊┊┊┊订┊┊┊┊┊线┊┊┊┊┊┊┊┊┊┊┊┊┊长春大学毕业设计（论文）纸共40页第43页1引言吉林大学校园网始建于1995年，经过10多年的建设，不断的完善和发展。特别是2000年6月，吉林大学与原吉林工业大学、原白求恩医科大学、原长春科技大学、原长春邮电学院共五校合并成立新的吉林大学之后，吉林大学五个校区的计算机网络通过整合、互连、升级和建设，已经成为国内覆盖面积最大的校园计算机网络。

吉林大学校园网是多层次的树型结构。分布在长春市内各个方位的前卫校区、南岭校区、新民校区、朝阳校区、南湖校区的局域网络，通过光纤线路互连在一起，形成2千兆带宽的校园网主干。这些主干线路，将各校区成千上万的计算机联系在一起，使吉林大学校园网具备了城域网的规模。校园网“缩小”了各个校区间的物理距离，为各校区的师生建立了沟通的桥梁，为新吉林大学的实质性融合发挥了应有的作用。

在广域网方面，校园网通过千兆光纤连接到位于吉林大学内的教育网吉林省主节点，后者目前与教育网东北节点以2.5G互连。在网络硬件环境逐步建设、发展的同时，越来越多的网络应用应该被实现。网络中心应该提供形式多样的服务。包括www、文件下载、电子邮件、代理服务、虚拟主机、个人主页、bbs、论坛、视频点播、电视转播、网络会议，以及教学管理系统、财务管理系统、图书馆书目查询系统、科技文献全文检索系统等等。随着网络覆盖面积的增加、用户群的扩大，以及用户对信息传输速度要求的不断提高，网络的技术服务和用户服务的工作量和难度亦不断提高，将校园网络延伸到吉林大学的每一个角落，让网络成为所有吉大人每天生活的一部分，将吉林大学各校区建设成“数字化校园”是全体师生努力追求的目标。因此，在网络中添加支持高级协议的设备，重新规划校园的IP地址，选取新的网络技术，实现网络资源充分共享到校园的每个角落正是这次设计所要解决的问题。

2网络建设的目标确立校园网建设的目标，不仅要考虑技术方面，更要考虑环境、应用和管理等，必须与学校各方面改革、建设相结合，与学校长远发展，科学论证和决策相结合。根据这样的使用要求：建设一个技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络，将学校的各种PC机、工作站、终端设备和局域网连接起来，并与有关广域网相连，形成结构合理、内外沟通的校园计算机网络系统。在此基础上建立的校园网应具备以下三点应用目标：首先，学校的目的是通过教学过程来培养人才，因此对教学过程提供直接支持应是校园的基本功能。其次，校园网必须能够支持学校的日常办公和管理。再次，与Interent的连接也是校园网的基本功能之一。连接Interent可以使学校把目光投向更广阔的社会空间。大大扩展师生获取知识的途径，还可以增强校内外的沟通以及自由地发布教育消息。建设吉林大学网络目标是利用各种先进成熟的网络技术和网络设备，建设一个可实现各种应用的高速校园网。将信息点通过网络连接起来，通过校园网骨干节点与Cernet、Internet相连。该高速宽带网可为用户提供各种网络服务，实现最大化信息资源、教学资源、设备资源的共享。在网络的建设上努力实现网络的扩展，扩大联网的范围和规模，实现校园网的全面入网。具体说此次网络建设主要面对的问题如下：（1）网络覆盖面不全；（2）核心设备转发数据的能力不高，网络传输速率不是很高；（3）服务器和安全方案不是十分完善；（4）网络技术不是十分先进；（5）网络冗余少；（6）双网接入INTERNET的资源未达到充分利用；（7）IP地址的划分不合理，使IP地址浪费许多。针对这些问题，本方案主要解决方式如下：（1）网络资源共享。利用新的网络技术实现校园的网络资源充分共享，保证全部网络用户入网，真正意义上发挥网络的作用；（2）购置新的高端网络顶层设备提高数据的传输速率；（3）选择可以满足广大师生需要的服务器并选取高技术的安全设备以保证校园网络的多功能服务以及师生对网络安全的信任，保护校园网络的运行；（4）选取当前比较流行的网络解决方案，运用合理的技术，使整个网络在新技术下能够运转良好；（5）校内网络站点冗余的建设，使每个校区每个学院每个公寓设个办公地点都有足够的网络冗余点，以便有新用户的加入时能及时解决问题；（6）解决吉林大学的双网络接入问题，数据通过哪条线路传输到Internet；（7）计算并划分IP地址，使用VLSM来规划IP地址，解决IP地址严重浪费的问题，满足当前用户的迫切需要，实现人人入网。

3网络的设计规划3.1网络建设设计原则吉林大学校园网的设计应尽量采用符合国际工业标准的、比较成熟的技术，兼顾网络技术的发展方向，选择结构化、可扩充、多用途的网络产品，保证网络在较长时间内不被淘汰。同时网络的结构设计应合理，在通信网络、资源配置、系统服务和网络管理上有良好的分层设计，使网络结构清晰，便于使用、管理和维护。另外网络应坚持高效实用的原则，着眼于教学、科研、管理的实际需要，用有限的资金优先解决工作急需的问题。校园网的技术方案设计分以下5步[1]：（1）网络体系结构的选择。网络体系结构是指计算机通讯系统的整体设计，它为网络软件、硬件及网络通讯协议、数据存取控制和拓扑结构提供标准。因此网络体系结构的选择是实现校园网建设目标的核心环节。在充分了解各种网络的特点、性能、价格的基础上，根据学校的实际应用，考虑学校能够投入的资金及现有的设备、局域网和其它资源情况，进行综合分析，确定符合自己需要的、有利于开发利用、有利于发展扩充、性能价格比高的网络方案。（2）确定合适的网络拓扑结构。当计算机台数较多或可靠性要求高时，优先考虑采用星型拓扑或树型拓扑进行连接；对于少数几台距离较远或可靠性要求不高，共享任务不繁重，可考虑用一根电缆进行总线型连接。实际的拓扑结构常为以上两种方式的综合，即：混合拓扑。（3）设备的选择与布线系统的设计。选择网络设备，首先要符合Cernet、Internet等国内、国际联网标准；其次要能支持多种网络协议，如TCP/IP、IPX、DECnet等常用网络协议，具有良好的可靠性、可扩充性和可管理性；第三，价格在预算范围内，有良好的性能价格比；第四，应选择信誉高的网络产品公司的优质产品，其在国内外均有成功的使用经验，有良好的售后服务。（4）网络操作系统的选择。目前，网络操作系统有三大阵营：Unix网络操作系统有较长历史，良好的网管功能，丰富的应用软件支持。Microsoft网络操作系统有代表性的是WindowsNT，它是32位多任务处理的操作系统。Novell网络操作系统是占世界局域网主流的操作系统。对有服务器的局域网来说，新建的网络优先选用NT，“老网”改造采用Netware4.10或5.0较为合适。（5）系统集成商的选择。与技术和设备选型相适应的一项重要工作是系统集成商的选择。系统集成商应有雄厚的技术力量；有丰富的网络集成实际经验，有较多承揽大型网络工程的成功范例；在业界有较高的商业信誉和售后服务质量；地理位置尽量靠近，具有快速的响应和解决问题的能力；能提供全面系统的技术培训。3.2网络的结构化设计层次在网络设计中的作用类似于生活中的层次。采用正确的层次，就能使网络有可预测性，具有帮助定义区域的功能。Cisco的层次模型可以帮助设计，实现和维护可扩展的、可靠的和性能价格比高的层次化的互联网络。校园网络的设计主要考虑：接入层（交换）、汇聚层（路由）、核心层（骨干）[2]。针对吉林大学校园网络的自身特点，吉林大学校园网络逻辑拓分析扑如下：核心层是本次网络设计的关键所在，主核心由2台Cisco6500设备构成，但它们并不是核心的全部，真正意义上的核心是主核心与各校区核心之间的集合。连接各汇聚设备；提供负载平衡、快速收敛和扩展性；完成高速转发都是在这个层次实现的。汇聚层主要由若干个中端Cisco设备组成，其实汇聚层就是每个校区网络内部连接用户接入和核心之间一个过度的层次。它主要提供负载平衡、快速收敛和可扩展性；完成路由选择；提供冗余等等。接入层主要是用户可见的部分，主要实现用户的网络接入，在这里考虑经济实用等因素，选取的都是Cisco比较低端的设备。

4吉林大学校园网络设计方案4.1网络技术及接入方式的选择4.1.1网络技术的选择现有的网络技术主要有FDDI、千兆以太交换网、ATM等可供选择。作为一种全新的技术，千兆以太网是快速以太网的延续，是性价比很高的一种主干网技术，千兆位以太网提供完美无缺的迁移途径，充分保护在现有网络基础设施上的投资。千兆位以太网将保留IEEE802.3和以太网帧格式以及802.3受管理的对象规格，从而使企业能够在升级至千兆性能的同时，保留现有的线缆、操作系统、协议、桌面应用程序和网络管理战略与工具。千兆位以太网相对于原有的快速以太网、FDDI、ATM等主干网解决方案，提供了一条最佳的路径。至少在目前看来，是改善交换机与交换机之间骨干连接和交换机与服务器之间连接的可靠、经济的途径。结合吉林大学校园的现状及其未来网络的发展潜力选择千兆以太网技术作为组网技术，完全可以满足吉林大学校园网的组网需求，也符合当前网络技术发展的趋势。要保证网络的传输速率，必须有一定的带宽。千兆交换式以太网可以为每个端口提供1G的带宽，完全可以满足主干网的需要；未来网络的发展是不可预知的，必须做好充分的向万兆以太网过度的准备，千兆以太网在向万兆以太网过渡时会免去很多麻烦事情；在网络技术的操作性以及兼容性，最主要是技术的成熟和管理等方面综合考虑，选取千兆以太网是最佳选择。4.1.2网络接入方式的选择结合吉林大学的经济情况及用户对网络的需求访问量选择光纤接入方式比较适合当今的吉林大学校园网络。光纤是目前传输带宽最大的传输介质，目前广泛应用于主干网络中同时由于光纤技术的迅速发展，光纤的价格下降速度很快，因此光纤正被用户逐渐接受中。光纤接入网是指接入网中传输媒介为光纤的接入网。光纤接入网从技术上可分为两大类：有源光网络和无源光网络。吉林大学网络建设是一个庞大的工程，网络涉及面特别广而且多网络的传输速率要有一定的保证。不仅如此，还要针对吉林大学网络的发展潜力进行一定的考虑。光纤接入技术最大优势在于可用的带宽大，而且还有巨大潜力没有开发出来。此外，光纤接入网还有传输质量好、传输距离长、抗干扰能力强、网络可靠性高、节约管道资源等特点。无论是从传输性能，还是从长远发展的支持能力来看，光纤接入技术与其他接入技术相比都有比较大的优势[3]。4.2路由协议的选取吉林大学的校园网络极为复杂，由于校园的地域比较大，而且比较分散，所以在网络协议的选择方面必须考虑到每个技术环节。本次设计选取的协议为开放最短路径优先协议（OSPF）。随着当前Internet网络的迅速发展和急剧膨胀使其无法适应今天的网络，OSPF是网络运行的最佳选择：（1）OSPF没有跨越路由器跳数的限制；（2）OSPF协议可支持变长子网掩码（VLSM）；（3）OSPF协议的路由广播更新是在路由状态变化的时候，采用IP多路广播来发送链路状态的更新信息，这对带宽是个节约；（4）OSPF在网络中建立起明显的层次概念，在自治域中可以划分出网络域，使路由的广播限制在一定范围内，避免链路中资源的浪费；（5）OSPF在路由广播时采用授权机制，保证了网络的安全[4]。OSPF是被设计适用于分层的结构中，使用OSPF可以将大型的互联网络分割成一些小的被称为区域的小互联网络。这是OSPF设计的精华。如图4-1所示给出了吉林大学校园网络的OSPF地方简单设计。图4-1OSPF的设计示例每个路由器都连接到主干网络（区域0）。OSPF必须有一个区域0，且所有的分支网络都应该连接到这个地区，而那些在一个区域（AS）内部连接其他地区到次主干的路由器，被称为区域边界路由器（ABR），这些路由器必须至少有一个接口在区域0中。通常OSPF是运行在某个自治域内部的，但是它也可以将多个自治系统连接起来，这个连接这些AS到一起的路由器被成为自治系统边界路由器（ASBR）。根据协议的选取（OSPF），需将吉林大学的校园网络划分成6个区域。在区域0的边界有5台边界路由器，分别为每个校区的核心设备。结合到吉林大学的网络设计中，主干网络为2台三层核心交换机（区域0），而每个校区的核心网络设备均为区域0的边界路由器（ABR），每个校区的网络分别处于其各自的自治域（AS），每个校区的接入设备分别为该区域的自治域边界路由器（ASBR）。吉林大学总体上划分为五大校区：前卫、南湖、南岭、新民、前进。虽然表面上看起来网络的搭建十分困难，但是仔细考虑以后就会找到一个简单的途径。五个校区的核心设备的配置可以完全一样。因为：每个校区的核心设备均连接在两个核心交换机上，他们都在区域0中，且分别作为边界路由器。整个网络的设置和配置过程中，只有在端口的配置数量及IP地址分配上有一定的不同。在下面列出了前卫校区的主要设备的网络拓扑，分别作为接入层的设计方案。由于网络的内部设计和IP地址的划分比较复杂，涉及了VLAN，VLSM及端口的详细配置，以上内容稍后详述。4.3网络的拓扑结构计算机网络的拓扑结构是指网络设备的物理连接关系。网络的拓扑结构主要有总线网、环型网和星型网混合拓扑结构等。借鉴现代网络建设的基本原则及比较了上述各种网络拓扑的优缺点后，本次针对吉林大学的网络设计选择混合拓扑结构最为合理。混合拓扑结构是由星型结构或环型结构和总线型结构结合在一起的网络结构，这样的拓扑结构更能满足较大网络的拓展，解决星型网络在传输距离上的局限，而同时又解决了总线型网络在连接用户数量上的限制。首先由于吉林大学校园比较复杂，采用单一的拓扑结构根本不能满足用户的需求，所以采用混合拓扑结构，可以弥补其他拓扑的不足之处。其次，吉林大学网络内物理设施的建设不是十分规律，这也就导致部节点以及网络部线等不是十分规律，采用的信息传播方式也有很多不同。再者由于校园的可扩展能力十分强，内部节点数量的增加和总线长度的扩展十分可能。因此必须采用一种扩展能力相当强的网络拓扑来满足用户和未来的发展，混合拓扑结构正适合当前吉林大学校园网络的这种情况。再次，网络工程师们在设计网络时不可能保证网络永久不出现故障，可能是线路问题也可能是设备问题。因为任何东西都有一定的生命周期。采用混合拓扑结构可以保证一个优点，那就是容易维护。吉林大学校园网络是如此庞大的一个项目，无论哪里出现错误，在维护的过程中都是相当复杂的。采用混合拓扑结构可以保证一个前提：无论哪个分支网络出现故障都不会影响到整个网络的运行。最后，现在用户对网络速度的要求越来越苛刻，如果做的不好，很可能受责骂。采用混合拓扑结构可以保证数据传输速度，无论使用哪种线路进行网络传输都不会对整个网络的速度上进行太多的限制[5]。由上述可见。这种拓扑结构主要有以下几个方面的特点：（1）应用相当广泛；（2）扩展相当灵活；（3）较易维护；（4）速度较快。4.4网络设备的选择设备的选择要尽量考虑到吉林大学网络规划的目的及未来的可扩展能力，从使用及经济等多方面来考虑。成熟实用的产品以及开放先进的技术是我们选择网络设备首先也是必须考虑的问题[6]。4.4.1选择值得信赖的设备——CISCOCiscoSystems，Inc.思科系统公司是全球领先的互联网设备供应商。它的网络设备和应用方案将世界各地的人、计算设备以及网络联结起来，使人们能够随时随地利用各种设备传送信息。思科公司向客户提供端到端的网络方案，使客户能够建立起其自己的统一信息基础设施或者与其他网络相连。思科公司提供业界范围最广的网络硬件产品、互联网操作系统（IOS）软件、网络设计和实施等专业技术支持，并与合作伙伴合作提供网络维护、优化等方面的技术支持和专业化培训服务。思科公司及其客户每天都在为推进互联网的发展而努力。思科相信，互联网的发展将极大地改变企业的运营方式，产生“全球网络经济”模式。这一模式使任何规模的企业都能使用信息交换技术来保持一种强大、交互性的业务关系。思科公司自身就是“全球网络经济”模式的受益者。利用跨越互联网以及内部网的网络应用，运营成本大幅降低，直接收入增加。这为思科每年增加8.25亿美元的收入，同时也增加了客户与合作伙伴的满意度。思科在客户支持、产品预定以及交货时间上的竞争力也随之大大提高了。思科公司目前拥有全球最大的互联网商务站点，公司全球业务90％的交易是在网上完成的。思科公司是美国最成功的公司之一。从1986年生产第一台路由器以来，思科公司在其进入的每一个领域都占有第一或第二的市场份额，成为市场的领导者。1990年上市以来，思科公司的年收益已从6900万美元上升到2001财年的222.9亿美元。公司在全球现有36000多名员工。4.4.2核心网设备的选择在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。具体来说核心节点的交换机有两个基本要求：1）高密度端口情况下，还能保持各端口的线速转发；2）关键模块必须冗余，如管理引擎、电源、风扇。由于校园网建设最终必将采用万兆技术，因此需要考虑到核心设备对万兆的支持能力。本次设计中，选择思科的Catalyst6000做为核心网络设备。Catalyst6000系列交换机为园区网提供了高性能、多层交换的解决方案，专门为需要千兆扩展、可用性高、多层交换的应用环境设计，主要面向园区骨干连接等场合。

Catalyst6000系列是由Catalyst6000和Catalyst6500两种型号的交换机构成，都包含6个或9个插槽型号，分别为6006、6009、6506和6509，其中，尤以6509使用最为广泛。所有型号支持相同的超级引擎、相同的接口模块，保护了用户的投资。这一系列的特性主要包括:（1）端口密度大。支持多达384个10/100BaseTx自适应以太网口，192个100BaseFX光纤快速以太网口，以及130个千兆以太网端口(GBIC插槽)。（2）速度快。C6500的交换背板可扩展到256Gbps，多层交换速度可扩展到150Mpps。C6000的交换背板带宽32Gbps，多层交换速率30Mpps。支持多达8个快速/千兆以太网口利用以太网通道技术(FastEtherChannel，EC或GigabitEtherChannel，GEC)连接，在逻辑上实现了16Gbps的端口速率，还可以跨模块进行端口聚合实现。（3）多层交换。C6000系列的多层交换模块可以进行线速的IP，IPX和IP-multicast路由。（4）容错性能好。C6000系列带有冗余超级引擎，冗余负载均衡电源，冗余风扇，冗余系统时钟，冗余上连，冗余的交换背板(仅对C6500系列)，实现了系统的高可用性。（5）丰富的软件特性。C6000软件支持丰富的协议，包括NetFlow、VTP(VLANTrunkingProtocol)、VQP(VLANQueryProtocol)、ISLTrunking、HSRP(HotStandbyRouterProtocol)、PortSecurity、TACACS、CGMP(CiscoGroupManagementProtocol)、IGMP等等。4.4.3汇聚层设备的选择汇聚层节点必须提供全线速的数据交换，保证接入节点和核心节点数据交换的畅通无阻，同时当网络流量较大时，能够对关键业务的服务质量提供保障。Catalyst4000系列可以集成当今配线室中所要求的性能和特性，并同时保证无缝地提供未来企业所要求的内容。将来，配线室的要求将得到进一步扩展，性能包括：（1）有线和无线PC连接；（2）组播流应用，如：IP/TV解决方案；（3）第4层到第7层服务。通过将Catalyst骨干网结构优势扩展到Catalyst模块化配线室体系结构，就可以实现以上这些能力，从而提供一个满足未来网络需要的优秀的端到端的网络解决方案。利用新的Catalyst4000系列产品，Catalyst交换机可以无缝地集成：（1）可伸缩的应用和服务；（2）IP电话应用和网关；（3）可伸缩的桌面接口；（4）到桌面的千兆位连接；（5）可伸缩的骨干网到配线室连接。Catalyst4000系列为配线室和分支机构办事处提供了集中能力。Catalyst4000系列为企业和分支机构办事处配线室提供了先进的高性能解决方案。主要优点包括：（1）性能。提供了先进的交换解决方案，它能随着您端口的添加而增大带宽；（2）密度。能够在一个机箱上满足最多240个快速以太网端口的网络单元连接要求；（3）一致的软件体系结构。因为Catalyst软件和用户界面的一致性，客户能继续利用他们的知识，并利用Catalyst1900、2900、3500、4000、5000、6000、8500家族产品来继续改善自己的基础设施；（4）桌面能够使用千兆位能力。Catalyst4000系列已经提供了丰富的1000Mbps千兆位和千兆位服务器交换解决方案；（5）可管理性。利用每一种Catalyst4000系列交换解决方案提供的先进的管理能力以及每一个端口中内置的基于业界标准的管理功能，Catalyst4000系列的控制能力和安全性都得到了加强；（6）基于硬件的组播。协议独立组播（PIM）密集和稀疏模式、Internet组群组播协议（IGMP）、以及Cisco组群组播协议（CGMP）支持基于标准的、Cisco改进的高效多媒体联网。4.4.4接入层设备的选择对于楼栋接入节点的交换机，必须考虑到安全接入控制、QOS服务质量保证、组播支持等技术。Catalyst3500系列使用广泛，很有代表性。Catalyst3500系列交换机的基本特性包括背板带宽高达100Gbps，转发速率7.5Mpps，它支持250个VLAN，支持IEEE802.1Q和ISLTrunking，支持CGMP网/千兆以太网交换机，可选冗余电源等等。不过C3500的最大特性在于管理和千兆。

管理特性方面，Catalyst3500实现了Cisco的交换机群技术，可以将16个Catalyst3500，Catalyst2900，Catalyst1900系列的交换机互联，并通过一个IP地址进行管理。利用Catalyst3500内的CiscoVisualSwitchManager(CVSM)软件还可以方便地通过浏览器对交换机进行设置和管理。千兆特性方面，Catalyst3500全面支持千兆接口卡(GBIC)。目前GBIC有三种1000BaseSx，适用于多模光纤，最长距离550m；1000BaseLX/LH，多模/单模光纤都适用，最长距离10km；1000BaseZX适用于单模光纤，最长距离100km。Catalyst3500主要有4种型号：（1）Catalyst3508GXL：8口GBIC插槽；（2）Catalyst3512XL：12口10/100M自适应，2口GBIC插槽；（3）Catalyst3524XL：24口10/100M自适应，2口GBIC插槽；（4）Catalyst3548XL：48口10/100M自适应，2口GBIC插槽。4.4.5防火墙的选择任何网络安全策略的一个主要部分都是实现和维护防火墙，因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于网络的边缘，这使得内部网络与Internet之间或者与其他外部网络互相隔离，并限制网络互访从而保护内部网络。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。在众多的主流防火墙中，CiscoPIX防火墙是所有同类产品性能最好的一种。CiscoPIX系列防火墙目前有5种型号：PIX506、PIX515、PIX520、PIX525、PIX535。其中PIX535是PIX500系列中最新，也是功能最强大的一款。它可以提供运营商级别的处理能力，适用于大型的ISP等服务提供商。但是PIX特有的OS操作系统，使得大多数管理是通过命令行来实现的，不像其他同类的防火墙通过Web管理界面来进行网络管理，这样会给初学者带来不便。但是其优点我们是无法掩盖的：（1）最高的性能；（2）实时嵌入式操作系统；（3）位于企业网络和Internet访问路由器之间，并包括以太网、快速以太网、令牌环网或FDDILAN连接选项；（4）保护模式基于自适应安全算法（ASA），可以确保最高的安全性；（5）用于验证和授权的“直通代理”技术；（6）最多支持250,000个同时连接；（7）URL过滤；（8）HPOpenView集成；（9）用于配置和管理的图形用户界面；（10）通过电子邮件和寻呼机提供报警和告警通知；（11）通过专用链路加密卡提供VPN支持；（12）符合委托技术评估计划（TTAR），经过了美国安全事务处（NSA）的认证。配置PIX防火墙有6个基本命令：nameif、interface、ipaddress、nat、global、route。这些命令在配置PIX是必须的[7]。4.4.6服务器的选择服务器是一个网络的重要组成部分，在校园网中也不例外。它除了可以担当我们通常说的域服务器外，还可以担当文件服务器、邮件服务器、打印服务器、数据库服务器以及视频点播（VOD）服务器等。但是，无论担当哪个部分，对服务器的要求是基本相同的，如：系统性能、可扩展性、管理简单、可靠性高、服务好等。下面就分别对这些方面来谈：（1）对性能的要求。由于校园网的建设关系到以后的发展，从容纳用户数量和承担的服务种类来说，整个系统必须可以支持网络的正常运转，这个条件的保证主要是选择的服务器性能要确保稳定，因为一个性能不稳定的服务器，即使配置再高、技术再先进，也不能保证校园网能正常工作，严重的话可能给学校造成难以估计的损失。另外一方面，性能稳定的服务器还意味着为学校节省维护费用。（2）从自身的需求出发。很多用户看了第一条就以为我们要买最好的设备，其实也不是这样。因为这里所搭建的校园网肯定是有固定的需求的，在保证系统稳定的基础上，满足常规的需求就可以了，不可能不切实际得什么都设置。从学校的项目开支来说，也是不现实的，所以分析自己的需求在设备采购中也是一个非常重要的因素。（3）服务器的扩展性。这个问题和上面的问题是一样的，不能盲目浪费，但是也不能节省到整个网络不能升级。由于校园网处于不断发展之中，快速增长的应用不断对服务器的性能提出新的要求，为了减少更新服务器带来的额外开销和对教学的影响，服务器应当具有较高的可扩展性，可以及时调整配置来适应校园网的发展。从处理器的双路到四路，内存、硬盘的可增加，以及网络接口卡插槽的冗余设计，这些都是扩展性问题。在采购产品时不可不知。（4）兼容性如何。构建一个校园网，牵扯的事情很多，可能学籍处本来就有一个网络，其中包含学生的数据库；而图书馆可能也有一个图书借阅的数据库。所以，这些系统都要整合到新的网络中去，那么新的网络和老的硬件设备就要兼容，操作系统和应用软件也要保证兼容。（5）管理是否简单。尽管网络的发展非常快，但是真正精通服务器技术的专业工程师还是不多。尤其是在学校中，许多学校通常没有专业人员来维护和管理服务器，这就要求服务器产品必须具有非常好的易操作性和可管理性，当出现故障时无需专业人员也能将故障排除。所谓便于操作和管理主要是指用相应的技术来提高系统的可靠性能，简化管理因素，降低维护费用成本。对于那些没有网络管理人员的学校，尤其要注意选择一台操作简单的服务器[8]。FTP服务器、WWW服务器，MAIL服务器等是必备的服务器，根据学校的需求可以直接在服务器群上进行服务的添加。4.5网络总体拓扑图4-2网络核心拓扑图吉林大学多个核心节点通过光纤布线，采用多个千兆链路实现网状互联；汇聚层节点采用千兆链路上联到核心节点，考虑到可靠性、经济性，重要汇聚节点至少需要与两个核心节点连接；接入层节点与汇聚层节点通过千兆以太网技术互联，并提供桌面10/100M的接入。与互联网连接，可以采用两条Internet出口，一条为Cernet出口，一条为Internet出口，两个出口进行负载分流并实现相互备份。校区之间信息的交换完全通过各校区内的核心设备把数据传输到主核心再由主核心按指定路径传输到目的核心再传送到目的主机。各校区内部网络的建设见详细设计。服务器群里可以加载FTP服务器、www服务器、Mail服务器等直接与核心交换机连接。网络中的主要设备具体如下：核心网络设备为7台Catalyst6509，1个PXI防火墙，1个服务器群和若干Catalyst4000及Catalyst3500，全部采用光纤部线，由于吉林大学南校区具有最强的可扩充潜力，所以把核心设备全部放在吉林大学南区（前卫校区）。根据最新的报价单预计总体核心设备费用是2000万左右。针对吉林大学设计出的这种方案有以下优点：（1）稳定的核心骨干网。核心设备之间提供双链路，单条链路的失效不影响核心设备之间的连接。汇聚设备都提供两条链路连接到核心设备，单条链路的失效并不影响骨干网络的连接。（2）安全的核心骨干网。采用分布式三层构架，汇聚设备提供三层功能，不仅从汇聚层就隔离了广播，而且可以通过三层设备特有的更强大的病毒和攻击防护能力保护核心设备。OSPF路由协议报文采用MD5认证协议，防止路由协议的攻击和欺骗。核心骨干设备采用独立的IP地址网段，并可以通过SSH、管理ACL、SNMPV3等保护核心设备的管理风险。（3）可扩展的核心骨干网络。由于采用了分布式三层设计和OSPF动态路由协议，增加或删除任何一个区域网络只需在核心设备做简单的设置变动，极有利于网络的管理和灵活部署。当汇聚设备处理能力相当时，只需在汇聚设备之间增加一物理链路，双核心网络即可顺利过渡到环形核心网络。由于汇聚设备可提供万兆扩展能力，可轻松通过增加万兆模块而升级为万兆核心骨干网，保护用户投资。

5网络的详细规划5.1IP地址的划分吉林大学申请的IP地址为：/16，表面看起来这个网段似乎很大，但是在实际应用中根本无法满足剧增的用户的需求。因此在IP地址规划这里必须详细考虑到吉林大学的现在状况，合理的利用各项技术，尽可能使IP地址资源达到充分的利用，在IP地址的分配中，还要考虑到VLAN中的IP地址以及VLSM等。IP地址划分是本次设计中最繁琐的一块。根据吉林大学的网络拓扑，本次设计可以将IP地址划分为5大块。根据校园物理拓扑的情况。前卫校区的发展潜力最大，其他校区由于所处地理位置，物理范围的扩大基本没有太大的可能。已经存在的建筑的重新规划也十分困难，所以网络拓扑基本已经成型，唯一需要考虑的就是前卫校区。所以在这里前卫校区的IP地址空间应该足够的大。结合各项技术，具体的划分如下，如表4-1所示：（1）前卫校区：/17（2）南湖校区：/19（3）新民校区：/19（4）南岭校区：/19（5）朝阳校区：/19表5-1IP地址详细划分过程前卫校区00111011010010000000000000000000南湖校区00111011010010001000000000000000新民校区00111011010010001010000000000000南岭校区00111011010010001100000000000000朝阳校区00111011010010001110000000000000根据次划分，各校区都已经分配到了自己所需要的IP地址，内部的具体详细划分如下。5.1.1前卫校区/17可以划分出256个/24的IP地址。所以前卫校区的网络IP地址具体规划如下：由于核心网络设备放在前卫校区，所以服务器，防火墙，核心设备的端口IP地址都可以在前卫校区的IP地址里划分出来。服务器群及防火墙IP的IP地址可在：/24网段中，内部的具体IP地址划分可根据一个服务器一个指定IP地址的原则进行划分。防火墙的IP地址配置在附录3。校园内部的网络IP地址具体划分要根据前进校区网络拓扑来详细划分。由此可以确定出前卫校区的网络IP地址具体分配如下：公寓：/24——54/24教学：/24——54/24图书馆：/24——54/24综合实验：/24——54/24研究生科研：/24——54/24保留：/24——54/24在IP地址分配出后，仍然有/24——54/24作为保留网段，完全可以满足日渐发展的前卫校区的网络的需要。5.1.2其他校区的IP地址划分由于其他校区的网段划分均相同，每个校区都有32个/24的IP地址可以分配。①南湖校区：公寓：/24——54/24教学：/24——54/24图书馆：/24——5/24办公：/24——54/24保留：/24——54/24②新民校区：公寓：/24——54/24教学：/24——54/24图书馆：/24——54/24综合实验：/24——54/24保留：/24——54/24③南岭校区：公寓：/24——54/24教学：/24——54/24图书馆：/24——54/24家属：/24——54/24综合楼及科研：/24——54/24保留：/24——54/24④朝阳校区：公寓：/24——54/24教学：/24——54/24图书馆：/24——54/24综合：/24——54/24保留：/24——54/24校园网的信息点多，如何对IP地址的分配进行有效的管理，是十分重要的。针对不同的情况，可以对IP地址进行静态或动态的分配方式。吉林大学的静态分配的情况：（1）对外提供信息服务的服务器；（2）校园网内提供信息及管理服务的服务器；（3）对于一些老师或学生用户，需要对校园网内部或外部提供信息服务的信息点；（4）路由器、交换机等网络设备的IP地址分配。动态分配的情况：不提供信息服务，只访问校园网内部或互联网的资源。本方案的接入交换机配合认证计费系统，可以做到以下地址管理：（1）对于静态分配地址的用户，只有用预先分配的IP地址才可以上网；（2）对于动态分配地址的用户，只有通过DHCP方式获得IP地址才可以上网；（3）获得有效IP地址上网后，试图修改IP地址，均会自动与网络断线。以上手段，保证了IP地址不会冲突，因而可以对IP地址资源的使用进行有效的管理和控制。5.2VLAN的划分VLAN（VirtualLocalAreaNetwork）又称虚拟局域网，是指在交换局域网的基础上构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。吉林大学校园网络的不同VLAN中的所有主机都不能进行相互通信。这可以充分保护好网络，使有些恶意的学生不能攻击其他教学网络。本次VLAN的设计是基于端口的VLAN划分的。这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。各校区内的网络大致可按照：公寓、教学楼、图书馆、办公、综合楼等，每个代表性的建筑划分到一个VLAN中。这样就能充分且合理的贯彻了VLAN的作用及特点。本次设计中，不得不考虑到VLAN之间的路由。在默认时，只是在一个VLAN中的主机才能彼此通信。针对吉林大学校园网络的物理拓扑，不可能每一个部门都规划到起相应的交换机下，这种情况只需这种情况的端口设置为Trunk即可解决所遇到的问题。这里要注意：要将交换机的端口配置成为Trunk，端口带宽必须至少为100MB/S。通过建立一个虚拟专用网来解决该问题。在交换机上配置一条中继链接，然后在路由器上使用标记协议如：ISL或802.1Q，只需要在选择了接口和封装类型以及虚拟网号后，配置上子接口的IP地址和这个接口属于哪个子网即可。VLAN的详细配置见HYPERLINK\l"附录2"附录2中将给出，为了简洁易懂，将拿出典型配置的前进校区作为例子来配置VLAN。5.3网络接入的建设图5-1网络接入平台的建设网络接入平台的建设要符合现代化标准，结合吉林大学现有情况，平台的建设主要考虑到：防火墙，服务器，网络管理平台，校园内部网络等即可。为了解决吉林大学校园网访问外网速度慢，而且尽量减少到互联网的流量，有必要配置缓存服务器。缓存服务器可以将到外网的HTTP、FTP等流量进行本地化缓存，可以提高互联网访问速度，解决出口流量拥塞等问题。如果互联网出口是根据流量进行计费的话，缓存技术可以降低许多成本。对外提供信息服务的服务器，由于服务器采用CERNET网络的全局IP地址，因此需要将服务器部署在CERNET互联接口防火墙的DMZ区域。由于吉林大学校园网络是双网接入，所以在网络建设时要切记网络流量出口的配置。5.4网络的安全设计PIX535是PIX500系列中最新，功能也是最强大的一款。它可以提供运营商级别的处理能力，适用于大型的ISP等服务提供商。但是PIX特有的操作系统，使得大多数管理是通过命令行来实现的，不象其他同类的防火墙通过Web管理界面来进行网络。这给我们配置防火墙带来极大的困难。在配置PIX防火墙之前，先结合防火墙的物理特性来对紧邻大学校园网络安全方面进行分析。（1）内部区域（内网）。内部区域通常就是指企业内部网络或者是企业内部网络的一部分。在吉林大学的网络中，内部区域既为整个内部校园网络，它是互连网络的信任区域，即受到了防火墙的保护。（2）外部区域（外网）。外部区域通常指Internet或者非企业内部网络。在此次设计的网络中，外网的Internet接入处为外部区域，此区域是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。（3）停火区（DMZ）。停火区是一个隔离的网络，或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器，Mail服务器等。停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。注意：2个接口的防火墙是没有停火区的。由于PIX535不具有普遍性，因此下面主要说明PIX525在网络中的应用。详细配置见\l"附录1"附录1。这个配置实例需要说明一下，PIX防火墙直接摆在了与Internet接口处，此处网络环境有十几个公有IP,可能会有朋友问如果公有IP很有限怎么办？你可以添加router放在PIX的前面，或者global使用单一IP地址，和外部接口的ip地址相同即可。另外有几个维护命令也很有用，showinterface查看端口状态，showstatic查看静态地址映射，showip查看接口IP地址，pingoutside|insideip_address确定连通性。5.5网络内部的详细设计吉林大学总体上划分可分五大校区：前卫、南湖、南岭、新民、前进。虽然表面上看起来网络的搭建十分困难，但是仔细考虑以后就会找到一个很好的窍门。五个校区的核心设备的配置可以完全一样。因为：每个校区的核心设备均连接在两个核心交换机上，他们都在区域0中，且分别作为边界路由器。要是说有哪点不一样，那只是在端口的配置数量及IP地址分配上有一定的不同。在下面列出了五个校区的主要设备的网络拓扑，分别作为接入层的设计方案。于网络的内部设计和IP地址的划分比较复杂，涉及了VLAN，VLSM及端口的详细配置，在次先列出各校区的基本网络拓扑图，以上内容稍后详述。每个端口划分为一个VLAN，根据每个校区的具体物理情况，每个校区的网络具体设计如图5-2所示。前卫校区网络拓扑设计：图5-2前卫校区网络拓扑5.6网络内部节点的具体建设由于各园区的建筑性质大致相同，在此只需简单介绍一下各式建筑的网络拓扑思想，具体施工时网络技术人员按照此类拓扑施工即可完成网络建设。5.6.1图书馆网络的建设图书馆是一个安全级别比较高的信息场所，在设计时，必须把高度的安全性考虑进去，保证内部信息不会被非法用户在未授权的情况下访问。考虑到图书馆开放的一些服务，如电子文献浏览/下载，网上预定书籍等，需要一定的数据带宽。因此在设备的选择上要选择数据传输速率高、性能良好的设备。在这里选取Catalyst4000来解决此问题。Catalyst4000的好处及功能在前面设备介绍中已经说的相当详细。设计该网络时主要需要考虑：信息安全，用户访问，管理员维护，服务器的建设等等。图书馆拓扑图如图5-3所示：图5-3图书馆网络拓扑5.6.2学生公寓（家属住宅）的网络建设学生公寓网络拓扑照图书馆的简单许多，因为不需要考虑服务器，借阅信息中心等的建设。只需要考虑学生的网络访问及管理员管理网络流量即可。家属住宅和学生公寓的网络建设基本相同，网络拓扑方面差异不是很大，只是在IP地址划分和网络的访问权限上有一定的差别。在这里把网络拓扑划为一类。由于每个校区的公寓数量都不一致，前卫校区数量比较多，南湖校区比较少，根据具体的数量在网络项目实施上进行合理的规划即可。学生公寓的建设是一个极其复杂的地方，要考虑各种可能存在的问题。学生的数量的与日俱增，内部网络的安全，不同公寓之间的相互访问等等。在学生公寓的核心需要构建个双线路接入，这样可以保证在一台机器瘫痪时不影响学生正常使用网络，具体的网络拓扑及设施如下图。学生公寓（家属住宅）的网络拓扑如图5-4所示：图5-4学生公寓网络拓扑5.6.3教学和科研的网络建设教学和科学研究基本都属于一类，需要具体划分出不同的系或者科研组的网络，他们都可以被划分在同一个VLAN中。拓扑如图5-5所示：图5-5教学和科研的网络拓扑5.7访问控制列表5.7.1网络流量的控制访问控制列表（AccessControlList，ACL)是路由器接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的路由协议，如IP、IPX、AppleTalk等。在进行吉林大学校园网络设计时，利用访问控制列表来对网络流量及网络的安全进行控制，还可以对某些用户的端口的权限进行限制。使用标准ACL阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。5.7.2网络内部防范在吉林大学校园里，不乏有许多网络高手，结合现代学生的恶作剧的心理，不能不防止校园内部对网络核心设备的访问及其破坏。在网络保护中，以控制VTY（Telnet）访问最为典型。阻止用户远程登录到一个大型路由器是非常困难的，因为路由器上的活动端口是允许VTY访问的。所以在这里尝试创建一个扩展的访问控制列表来限制远程登录到路由器上。在VTY上建立一个访问控制列表可以抓获那些只有试图Telnet到核心设备上的学生的IP地址，这并不会影响到网络延迟。这样做是一个非常好的切易于配置的安全性。

6总结经过仔细的走访调研，缜密的设计和规划，目前设计出的吉林大学校园网络建设方案具有以下特色：（1）解决了校园网接入不全面的问题；（2）网络的投入资金相对合理；（3）增加了校园网络的服务及用户的使用效率；（4）网络数据传输相对稳定；（5）采用的技术非常成熟，OSPF等；（6）网络冗余数量足够新用户的加入；（7）IP地址资源合理充分的规划，使IP充分利用；（8）安全性基本已经达到现代网络的合格标准；（9）基本满足了校园广大师生的需求此次设计基本已经解决了吉林大学目前网络所存在的问题，在网络的设计及建设过程中遇到了不少困难，经过自身的努力和老师的帮助终于顺利完成了此项目。此网络优越性甚多，随着网络行业的发展，在此设计基础上进行网络的扩展也十分容易。例如：IPv4过度到IPv6等。本方案还有一个最大的优点就是适用于各大学网络。现在基本所有高校的网络建设类似。此方案稍加改动便可应用于其他校园。诚然该方案在网络接入及内部详细设计之处仍然有一点模糊不清，尤其是在网络出口流量该如何选择的地方有很大的弊端，还有在网络的部线等方面都有欠缺。但不可否认这是一个好的网络建设方案。

致谢感谢所有关怀我的人们。对他们真挚与无私表示深深的感谢。感谢我的指导老师邵丹。此项目至始至终得到了指导老师的指导与帮助，在此对指导老师表示深深的感谢。感谢大学四年来,所有传授知识给我的老师,感谢你们的悉心教导。感谢Chinaitlab论坛中那些不知名的朋友，感谢他们的知无不言，言无不尽。感谢我身边的好友在我做项目之余，给予我极大的精神支持和鼓励。感谢寝室的室友们，感谢身边的同学们，感谢你们四年来给我一份无私的友情。感谢所有关怀我的人们。对他们真挚与无私表示深深的感谢。感谢我的家人，在这四年里对我经济的支持。感谢伟大与无私的人们！祝他们幸福快乐！！

参考文献[1]张保通校园网设计方案北京人民邮电2006.14～5[2]RobertPadjenArtherLammleCCNP学习指南北京电子工业出版社2005.75～6[3]RonaldW.McCartCISCO广域网组网技术北京电子工业出版社.2004.126～7[4]TobyPadjenArthurPfund路由协议的选择与应用北京人民邮电2005.47～8[5]chinaitlab上文章网络的规划与维护chinaitlab摘选8～9[6]无名设备的选购与测试chinaitlab摘选9～13[7]AndrewG.Mason网络安全解决方案北京电子工业出版社2005.313～14[8]StyidHohader服务器技术解析北京人民邮电2004.814～15[9]TerryJackIP地址规划详解北京电子工业出版社2006.119～20[10]MichaelWenstrom管理CISCO网络安全北京人民邮电2005.821～22[11]ToddLammle网络配置协议北京人民邮电2005.8[12]chinaitlab交换机设备的级连chinaitlab摘选[13]尹霞，王烁，刘世宏网络操作系统北京电子工业出版社2005.6[14]黄志洪现代计算机信息安全技术北京人民邮电2005.8

附录1防火墙配置1.配置防火墙接口的名字，并指定安全级别（nameif）。Pix525(config)#nameifethernet0outsidesecurity0Pix525(config)#nameifethernet1insidesecurity100Pix525(config)#nameifdmzsecurity50提示：在缺省配置中，以太网0被命名为外部接口（outside），安全级别是0；以太网1被命名为内部接口（inside），安全级别是100.安全级别取值范围为1～99，数字越大安全级别越高。若添加新的接口，语句可以这样写：Pix525(config)#nameifpix/intf3security40（安全级别任取）2.配置以太口参数（interface）Pix525(config)#interfaceethernet0auto（auto选项表明系统自适应网卡类型）Pix525(config)#interfaceethernet1100full（100full选项表示100Mbit/s以太网全双工通信）Pix525(config)#interfaceethernet1100fullshutdown（shutdown选项表示关闭这个接口，若启用接口去掉shutdown）3.配置内外网卡的IP地址（ipaddress）Pix525(config)#ipaddressoutsidePix525(config)#ipaddressinside很明显，Pix525防火墙在外网的ip地址是，内网ip地址是4.指定要进行转换的内部地址（nat）网络地址翻译（nat）作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用，这是因为nat命令可以指定一台主机或一段范围的主机访问外网，访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法：nat(if_name)nat_idlocal_ip[netmark]其中（if_name）表示内网接口名字，例如inside.Nat_id用来标识全局地址池，使它与其相应的global命令相匹配，local_ip表示内网被分配的ip地址。例如表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。例1．Pix525(config)#nat(inside)100表示启用nat,内网的所有主机都可以访问外网，用0可以代表例2．Pix525(config)#nat(inside)1表示只有这个网段内的主机可以访问外网。5.指定外部地址范围（global）global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。Global命令的配置语法：global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]其中（if_name）表示外网接口名字，例如outside.。Nat_id用来标识全局地址池，使它与其相应的nat命令相匹配，ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmarkglobal_mask]表示全局ip地址的网络掩码。例1．Pix525(config)#global(outside)1-表示内网的主机通过pix防火墙要访问外网时，pix防火墙将使用-这段ip地址池为要访问外网的主机分配一个全局ip地址。例2．Pix525(config)#global(outside)1表示内网要访问外网时，pix防火墙将为访问外网的所有主机统一使用这个单一ip地址。例3.Pix525(config)#noglobal(outside)1表示删除这个全局表项。6.设置指向内网和外网的静态路由（route）定义一条静态路由。route命令配置语法：route(if_name)00gateway_ip[metric]其中（if_name）表示接口名字，例如inside，outside。Gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。例1．Pix525(config)#routeoutside001表示一条指向边界路由器（ip地址）的缺省路由。例2．Pix525(config)#routeinside1Pix525(config)#routeinside1如果内部网络只有一个网段，按照例1那样设置一条缺省路由即可；如果内部存在多个网络，需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络的静态路由，静态路由的下一条路由器ip地址是。

附录2VLAN的实现前卫校区的网络划分最复杂，别的校区可按照其VLAN的划分来适当修改。这里给出前卫校区的VLAN的详细配置。首先使用showvlan命令可以查看到所有接口都分配在默认VLAN里（VLAN1）。针对该校区的网络拓扑可知：想完成网络拓扑图上所标记的功能，最少需要划分出6个VLAN，因此在前进核心交换机上需要拿出FA0/1—FA0/6（6个端口）作为VLAN划分的标记,端口需要配置成trunk模式（中继链接）。和双核心区域相连接的端口为FA0/7,IP地址划分为，核心端接口的IP地址为：5/24。网络拓扑图如下：因此前进校区核心交换机配置如下：switch>enableswitch#configtswitch(config)#hostnameqianjinqianjin(config)#vlan2nametushuguanqianjin(config)#vlan3namejiaoxuelouqianjin(config)#vlan4namegongyuqianjin(config)#vlan5namezonghelouqianjin(config)#vlan6nameyanjiushengqianjin(config)#vlan7namebangongqianjin(config)#exitqianjin#intfa0/1qianjin(config-if)#switchportaccessvlan2qianjin(config-if)#exitqianjin#intfa0/2qianjin(config-if)#switchportaccessvlan3qianjin(config-if)#exitqianjin#intfa0/3qianjin(config-if)#switchportaccessvlan4qianjin(config-if)#exitqianjin#intfa0/4qianjin(config-if)#switchportaccessvlan5qianjin(config-if)#exitqianjin#intfa0/5qianjin(config-if)#switchportaccessvlan6qianjin(config-if)#exitqianjin#intfa0/6qianjin(config-if)#switchportaccessvlan7qianjin#intfa0/7qianjin#swithportmodetrunkqianjin(config-if)#exit//前进校区核心交换机和网络核心连接处需配置trunk,实现交换机间的VLAN通信。qianjin(config)#intvlan2qianjin(config-if)#ipaddress6qianjin(config-if)noshutdownqianjin(config)#exitqianjin(config)#intvlan3qianjin(config-if)#ipaddress7qianjin(config-if)noshutdownqianjin(config)#exitqianjin(config)#intvlan4qianjin(config-if)#ipaddress8qianjin(config-if)noshutdownqianjin(config)#exitqianjin(config)#intvlan5qianjin(config-if)#ipaddress9qianjin(config-if)noshutdownqianjin(config)#exitqianjin(config)#intvlan6qianjin(config-if)#ipaddress0qianjin(config-if)noshutdownqianjin(config)#exitqianjin(config)#intvlan7qianjin(config-if)#ipaddress1qianjin(config-if)noshutdownqianjin(config)#exitqianjin#write用showvlan命令可以查看VLAN的具体配置。

附录3OSPF的配置网络核心设备为2台Catalyst6000，它们之间为双线互连。每台核心上均有5根线分别接到每个校区的核心设备，具体的网络核心拓扑图前面已经给出。所有的核心设备均在区域0内，每个校区的核心交换机做为边界路由器，负责在区域0和各个分区域之间的通信，每个校区设为存根区域。核心网络的拓扑图及OSPF区域划分如下：根据以上说明。配置如下：2台核心设备分别为A和B。A>enableA#configtA(config)#intfa0/1A(config-if)#ipaddressA(config-if)#noshutdownA(config)#intfa0/2A(config-if)#ipaddressA(config-if)#noshutdownA(config-if)#intfa0/3A(config-if)#ipaddressA(config-if)#noshutdownA(config-if)#intfa0/4A(config-if)#ipaddressA(config-if)#noshutdownA(config-if)#intfa0/5A(config-if)#ipaddressA(config-if)#noshutdownA(config-if)#intfa0/6A(config-if)#ipaddressA(config-if)#noshutdownA(config-if)#intfa0/7A(config-if)#ipaddressA(config-if)#noshutdownA(config-if)#exitA(config)#routerospf10A(config-A)#network55area0A(config-A)#exitA)#copyrunstartB>enableB#configtB(config)#intfa0/1B(config-if)#ipaddressB(config-if)#noshutdownB(config)#intfa0/2B(config-if)#ipaddressB(config-if)#noshutdownB(config-if)#intfa0/3B(config-if)#ipaddress0B(config-if)#noshutdownB(config-if)#intfa0/4B(config-if)#ipaddress1B(config-if)#noshutdownB(config-if)#intfa0/5B(config-if)#ipaddress2B(config-if)#noshutdownB(config-if)#intfa0/6B(config-if)#ipaddress3B(config-if)#noshutdownB(config-if)#intfa0/7B(config-if)#ipaddress4B(config-if)#noshutdownB(config-if)exitB(config)#routerospf10B(config-B)#network55area0B(config-B)#exitB#copyrunstartqianjin>enableqianjin#configtqianjin(config)#intfa0/1qianjin(config-if)#ipaddress5qianjin(config-if)#noshutdownqianjin(config)#intfa0/2qianjin(config-if)#ipaddress6qianjin(config-if)#noshutdownqianjin(config-if)#intfa0/3qianjin(config-if)#ipaddress7qianjin(config-if)#noshutdownqianjin(config-if)#intfa0/4qianjin(config-if)#ipaddress8qianjin(config-if)#noshutdownqianjin(config-if)#intfa0/5qianjin(config-if)#ipaddress9qianjin(config-if)#noshutdownqianjin(config-if)#intfa0/6qianjin(config-if)#ipaddress0qianjin(config-if)#noshutdownqianjin(config-if)#intfa0/7qianjin(config-if)#ipaddress1qianjin(config-if)#noshutdownqianjin(config-if)#exitqianjin(config)#routerospf10qianjin(config-qianjin)#network55area0qianjin(config-qianjin)#area1stubqianjin(config-qianjin)#exitqianjin#copyrunstart前进校区内的路由器用CDEFGHI来分别代替，它们都属于区域1。配置如下：C>enableC#configtC(config)#intfa0/1C(config-if)#ipaddressC(config-if)#exitC(config)#routerospf2C(config-C)#network55C(config-C)#area1stubC(config-C)#exitD>enableD#configtD(config)#intfa0/2D(config-if)#ipaddressD(config-if)#exitD(config)#routerospf2D(config-C)#network55D(config-C)#area1stubD(config-C)#exitE>enableE#configtE(config)#intfa0/3E(config-if)#ipaddressE(config-if)#exitE(config)#routerospf2E(config-C)#network55E(config-C)#area1stubE(config-C)#exitF>enableF#configtF(config)#intfa0/4F(config-if)#ipaddressF(config-if)#exitF(config)#routerospf2F(config-C)#network55F(config-C)#area1stubF(config-C)#exitG>enableG#configtG(config)#intfa0/5G(config-if)#ipaddressG(config-if)#exitG(config)#routerospf2G(config-C)#network55G(config-C)#area1stubG(config-C)#exitH>enableH#configtH(config)#intfa0/6H(config-if)#ipaddressH(config-if)#exitH(config)#routerospf2H(config-C)#network55D(config-C)#area1stubH(config-C)#exitI>enableI#configtI(config)#intfa0/7I(config-if)#ipaddressI(config-if)#exitI(config)#routerospf2I(config-C)#network55I(c