【正文】 錄到訪問層交換機(jī)上進(jìn) 行管理，必須給訪問層交換機(jī)設(shè)置一 個(gè) 管理用 IP 地址。如下表35所示：表35區(qū)域VlanIP地址 網(wǎng)關(guān)一教學(xué)樓99二教學(xué)樓99圖書館99行政樓99一宿舍樓99二宿舍樓99五教學(xué)樓99六教學(xué)樓99辦公樓99三宿舍樓99七教學(xué)樓99四宿舍樓99 DHCP服務(wù)器IP地址池劃分 為了方便計(jì)算機(jī)更好更方便的接入校園網(wǎng)，在相應(yīng)的網(wǎng)關(guān)處配置DHCP服務(wù)器，為接入網(wǎng)絡(luò)的計(jì)算機(jī)分配IP地址。通過配置，可通過兩個(gè)三個(gè)或是四個(gè)端口進(jìn)行捆綁，分別負(fù)責(zé)特定端口的數(shù)據(jù)轉(zhuǎn)發(fā)，防止單條鏈路轉(zhuǎn)發(fā)速率過低而出現(xiàn)丟包的現(xiàn)象。這是一種利用第三層協(xié)議中的信息來加強(qiáng)第二層交換功能的機(jī)制。支持通過防火墻對外部網(wǎng)絡(luò)的非法訪問進(jìn)行過濾，防范于未然。服務(wù)器模塊用來對校園網(wǎng)的接入用戶提供各種服務(wù)。1 設(shè)計(jì)任務(wù)及目標(biāo)設(shè)計(jì)任務(wù)為：提出一合理可行的大型園區(qū)網(wǎng)絡(luò)路由設(shè)計(jì)方案，并在GNS3環(huán)境下完成組網(wǎng)仿真配置與測試。能夠與原有的計(jì)算機(jī)局域網(wǎng)絡(luò)和應(yīng)用系統(tǒng)平滑地連接，調(diào)用原有各種計(jì)算機(jī)系統(tǒng)的信息。一個(gè)成功的高校社區(qū)網(wǎng)絡(luò)會(huì)具備很強(qiáng)的擴(kuò)展能力，無論在支持的用戶數(shù)量方面、對目前各種網(wǎng)絡(luò)標(biāo)準(zhǔn)的支持還是在對未來新型技術(shù)。當(dāng)然，三層交換技術(shù)并不是網(wǎng)絡(luò)交換機(jī)與路由器的簡單疊加，而是二者的有機(jī)結(jié)合，形成一個(gè)集成的、完整的解決方案。：接入層目的是允許終端用戶連接到網(wǎng)絡(luò)，因此接入層交換機(jī)具有低成本和高端口密度特性。命令如下：AccessSwitch (config) line vty 0 15AccessSwitch (config) loginAccessSwitch (config) passwork cisco 為了安全考慮，可以設(shè)置終端線超時(shí)時(shí)間。AccessSwitch (config) interface vlan 99AccessSwitch (config) ip address AccessSwitch (config) no shutdown為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī)，還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān) 地址 。在實(shí)際工作中常采用 VLAN 中繼協(xié)議（ Vlan Trunking Protocol， VTP）來解決這個(gè)問題。 RIP：RIP（距離向量路由選擇協(xié)議）路由協(xié)議用“更新（UNPDATES）”和“請求（REQUESTS）”這兩種分組來傳輸信息的。BGP交換的網(wǎng)絡(luò)可達(dá)性信息提供了足夠的信息來檢測路由回路并根據(jù)性能優(yōu)先和策略約束對路由進(jìn)行決策。在OSPF路由協(xié)議中，一個(gè)網(wǎng)絡(luò)，或者說是一個(gè)路由域可以劃分為很多個(gè)區(qū)域，每一個(gè)區(qū)域通過OSPF邊界路由器相連，區(qū)域間可以通過路由總結(jié)（Summary）來減少路由信息，減小路由表，提高路由器的運(yùn)算速度。 在校園網(wǎng)邊界與Internet連接處部署防火墻，可以從TCP/IP底層將非法流量拒之門外，保護(hù)校園網(wǎng)絡(luò)中數(shù)據(jù)的安全和網(wǎng)絡(luò)的穩(wěn)定。 （9） 網(wǎng)管服務(wù)器：對校園網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行綜合管理。這次畢業(yè)設(shè)計(jì)讓我本來的零碎的知識(shí)可以聯(lián)系起來，對于3層網(wǎng)絡(luò)結(jié)構(gòu)的認(rèn)識(shí)更加詳細(xì)。而不是想當(dāng)然的將問題放在一旁。在遇到問題查找資料的過程中，我了解到了很多課外的知識(shí)，開拓了視野，增長了見識(shí)，使我的專業(yè)知識(shí)和動(dòng)手能力得到了很大的提高；在本設(shè)計(jì)的過程中，我得到了導(dǎo)師和同學(xué)的無私地幫助，和同學(xué)的互相交流中，我學(xué)習(xí)到了不少自己以前不了解的知識(shí)；在導(dǎo)師的專業(yè)指導(dǎo)下促成了本次畢業(yè)設(shè)計(jì)的圓滿結(jié)束，在這里對幫助過我的老師和同學(xué)表示由衷的感謝！ 在這里我特別感謝我的指導(dǎo)老師王虎寅老師，他給了我很多支持和指導(dǎo)。VPN技術(shù)在現(xiàn)實(shí)網(wǎng)絡(luò)中也是必須要配置的一項(xiàng)內(nèi)容。 （3） FTP、文件服務(wù)器：提供文件傳輸、共享服務(wù)。防止不法分子的入侵。 　　RIP路由協(xié)議路由收斂較慢。 作為一種鏈路狀態(tài)的路由協(xié)議，OSPF將鏈路狀態(tài)廣播數(shù)據(jù)包LSA（Link State Advertisement）傳送給在某一區(qū)域內(nèi)的所有路由器，這一點(diǎn)與距離矢量路由協(xié)議不同。三層交換技術(shù)主要實(shí)施配置命令如下：S1 (config) ip routing 啟動(dòng)路由功能S1（config） intface vlan 11S1（configif） ip address 在湘潭大學(xué)的環(huán)境中，當(dāng)網(wǎng)絡(luò)拓?fù)渥兏鼤r(shí)，使用靜態(tài)路由維護(hù)起來比較麻煩，且配置起來很容易出錯(cuò)，容易導(dǎo)致路由環(huán)路，影響設(shè)備的使用和網(wǎng)絡(luò)的帶寬。設(shè)置為快速端口的端口當(dāng)交換機(jī)啟 動(dòng)或端口有工作站接入時(shí) ，將 會(huì)直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)， 而不會(huì)經(jīng)歷阻塞、 偵聽、 學(xué)習(xí)狀態(tài) （假設(shè)橋接表已經(jīng)建 立）。因此， 給訪問層交換機(jī)的每個(gè)端口設(shè)置 IP 地址是沒意義的 。如下表34所示：表34主要設(shè)備命名名字Loopback地址（32位）湘潭大學(xué)路由器RT1XT_RT1興湘學(xué)院路由器RT2XX_RT2職業(yè)技術(shù)學(xué)院路由器RT3ZY_RT3湘潭大學(xué)核心交換機(jī)SW1XT_SW1湘潭大學(xué)核心交換機(jī)SW2XT_SW2興湘學(xué)院核心交換機(jī)SW3XX_SW3興湘學(xué)院核心交換機(jī)SW4XX_SW4職業(yè)技術(shù)學(xué)院三層交換機(jī)—SW5ZY_SW5Firewall防火墻Firewall 為了方便管理網(wǎng)絡(luò)中的設(shè)備，對網(wǎng)絡(luò)中所有的設(shè)備均配置網(wǎng)管地址，方便網(wǎng)管管理員管理網(wǎng)絡(luò)，網(wǎng)絡(luò)管理員在校園網(wǎng)絡(luò)中，只要可以接入網(wǎng)絡(luò)。避免鏈路出現(xiàn)擁塞現(xiàn)象。第三層交換技術(shù)就是：第二層交換技術(shù)+第三層轉(zhuǎn)發(fā)技術(shù)。對重要的數(shù)據(jù)庫采取安全備份的機(jī)制，避免突發(fā)事件造成重要數(shù)據(jù)的丟失。ACL的設(shè)計(jì)只要有:對外屏蔽簡單網(wǎng)管協(xié)議snmp、對外屏蔽遠(yuǎn)程登錄協(xié)議telnet、對外屏蔽其他不安全的協(xié)議或服務(wù)和針對DoS攻擊的設(shè)計(jì)。系統(tǒng)地掌握網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)技術(shù)，能獨(dú)立、合理地完成所給定的大型園區(qū)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)任務(wù)。湘潭大學(xué)校園網(wǎng)建設(shè)要達(dá)到以下的目標(biāo)：VLAN間的互通；應(yīng)用STP技術(shù)的流量控制；HSRP實(shí)現(xiàn)的網(wǎng)關(guān)冗余；多區(qū)域OSPF路由技術(shù)實(shí)現(xiàn)各分校區(qū)之間的互連互通；防火墻的應(yīng)用；DHCP服務(wù)器的構(gòu)建。新業(yè)務(wù)的支持上都做好了充分的準(zhǔn)備。2 總體設(shè)計(jì) 校園網(wǎng)的總體設(shè)計(jì)原則是：開放性采用開放的網(wǎng)絡(luò)體系以方便網(wǎng)絡(luò)的升級(jí)、擴(kuò)展和互聯(lián)；可擴(kuò)充性從主干網(wǎng)絡(luò)設(shè)備的選型及其模塊、管理軟件和網(wǎng)絡(luò)整體機(jī)構(gòu)以及技術(shù)的開放性來保證系統(tǒng)的可擴(kuò)充性；可管理性利用合理的網(wǎng)絡(luò)規(guī)劃策略提供強(qiáng)大的網(wǎng)絡(luò)管理功能；安全性內(nèi)部網(wǎng)絡(luò)之間、內(nèi)部網(wǎng)絡(luò)與外部公網(wǎng)之間的互聯(lián)，利用Vlan/Elan和防火墻等對訪問進(jìn)行控制，確保網(wǎng)絡(luò)的安全。本方案采用思科3560交換機(jī) 為了實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計(jì)方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品， 即 Cisco 公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。在設(shè)置的時(shí)間內(nèi)，如果沒有檢 測到鍵盤輸入， IOS 將斷開用戶和交換機(jī)之間的連接。如下所示。 VTP 允許在一臺(tái)交換機(jī)上創(chuàng)建所有的 VLAN。每個(gè)具有RIP協(xié)議功能的路由器每隔30秒就會(huì)使用UDP520端口給與之直接相連的機(jī)器廣播更新信息。特別地，BGP交換包含全部AS path的網(wǎng)絡(luò)可達(dá)性信息，按照配置信息執(zhí)行路由策略。 由此可見，OSPF更加適合作為本方案中骨干區(qū)域的動(dòng)態(tài)路由協(xié)議。 本方案中防火墻的部署如下圖61所示：圖61 防火墻 邊界網(wǎng)路中，網(wǎng)絡(luò)變更不會(huì)很頻繁，為方便管理，在防火墻內(nèi)使用靜態(tài)的路由協(xié)議，對內(nèi)部的IP網(wǎng)段進(jìn)行匯總，使用缺省路由指向外界網(wǎng)絡(luò)。 圖62引用了網(wǎng)上的相關(guān)所有的服務(wù)器硬件平臺(tái)、操 作系統(tǒng)以及服務(wù)軟件的選型。但是通過這次作品也明白了很多不同的知識(shí)的應(yīng)用，比如HSRP網(wǎng)關(guān)冗余技術(shù)與生成樹STP技術(shù)之間的微妙關(guān)系。 老師和同學(xué)的熱心指導(dǎo)和幫助，給了我很大的鼓舞，使我在遇到困難的時(shí)候沒有止步，而是奮勇向前克服難題。謝 辭 到目前為止，為期幾個(gè)月的畢業(yè)設(shè)計(jì)終于完成了，在此期間，我覺得非常的充實(shí)。這在實(shí)際的校園網(wǎng)絡(luò)中是不允許的，校園網(wǎng)絡(luò)的安全性是對學(xué)生以及教師信息的基本保障，但是由于本論文側(cè)重點(diǎn)是對網(wǎng)絡(luò)路由的選題，所以在這方面做的技術(shù)需要以后的學(xué)習(xí)來彌補(bǔ)。 （2） DNS、目錄服務(wù)器：提供域名解析以及目錄服務(wù)。多區(qū)域OSPF主要配置命令如下所示：router ospf 1 ospf進(jìn)程號(hào) routerid ospf router ID logadjacencychanges passiveinterface default 默認(rèn)的passive端口 no passiveinterface Serial0/0 開放端口使他們能夠通告鄰居網(wǎng)絡(luò) no passiveinterface Serial0/2 no passiveinterface FastEthernet1/0 no passiveinterface FastEthernet2/0 network area 0 關(guān)聯(lián)鄰居網(wǎng)段 network area 0 network area 0 network area 0 network area 2!6廣域網(wǎng)Internet與服務(wù)器接入實(shí)施方案 廣域網(wǎng)Internet接入到校園網(wǎng)絡(luò)的邊界路由器，而連接Intelnet的邊界路由器是進(jìn)入內(nèi)網(wǎng)的入口，對于該路由的安全性考慮，必須在此處設(shè)置防火墻。OSPF路由協(xié)議對VLSM有良好的支持性。在這個(gè)AS中，所有的OSPF路由器都維護(hù)一個(gè)相同的描述這個(gè)AS結(jié)構(gòu)的數(shù)據(jù)庫，該數(shù)據(jù)庫中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息，OSPF路由器正是通過這個(gè)數(shù)據(jù)庫計(jì)算出其OSPF路由表的。其中三層交換技術(shù)解決了局域網(wǎng)中網(wǎng)段劃分之后，網(wǎng)段中子網(wǎng)必須依賴路由器進(jìn)行管理的局面，解決了傳統(tǒng)路由器低速，復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題。 為了加速交換機(jī)端口狀態(tài)轉(zhuǎn)化時(shí)間，可以設(shè)置 將某端口設(shè)置成為快速端口 （ Portfast）。 AccessSwitch (config) logging synchronous 配 置 接入層 交 換 機(jī) 設(shè)置接入層交換機(jī)的管理IP訪問層交換機(jī)是 OSI 參考模型的第 2 層設(shè)備 ，即數(shù)據(jù)鏈路層的設(shè)備 。 三層鏈路地址的詳細(xì)的劃分如下表33所示：表33交換機(jī)連接IP地址說明RT1 f0/1 – RT2 f0/1~路由器RT1到路由器RT2鏈路地址RT2 f1/1 – RT3 f1/1~路由器RT2到路由器RT3鏈路地址RT3 F1/0 – RT1 F1/1~路由器RT3到路由器RT1鏈路地址RT1 G0/0 – firewall G0/0~路由器RT1到防火墻firewall鏈路地址firewall F2/0 – SW1 F1/0~路由器RT1到核心層SW1鏈路地址firewall F2/1 – SW2 F1/0~路由器RT1到核心層SW2鏈路地址RT2 F2/0 – SW3 F1/0~路由器RT2到核心層SW3鏈路地址RT2 F2/1 – SW4 F1/0~路由器RT2到核心層SW4鏈路地址RT3 F2/0 – SW5 F1/0~路由器RT3到核心層SW5鏈路地址Vlan901~核心交換機(jī)冗余三層鏈路地址SW1 F0/0 – SW2 F0/0鏈路捆綁，劃分到vlan901，將IP地址配置到vlan901中SW1 F0/1 – SW2 F0/1Vlan902~核心交換機(jī)冗余三層鏈路地址SW3 F0/0 – SW4 F0/0鏈路捆綁，劃分到vlan902，將IP地址配置到vlan902中 Loopback地址為設(shè)備的地址，一個(gè)設(shè)備只需要一個(gè)地址即可，子網(wǎng)掩碼設(shè)計(jì)為32位。 以太網(wǎng)捆綁技術(shù)：以太網(wǎng)捆綁技術(shù)可以確保核心交換機(jī)不會(huì)因?yàn)殒溌方涌谒蓜?dòng)或鏈路斷開而影響穩(wěn)定性；鏈路聚合有成端口聚合，可以實(shí)現(xiàn)鏈路負(fù)載平衡。、多層交換技術(shù) 通關(guān)三層交換技術(shù)、特別是基于硬件的第三層交換，可以充分地利用交換機(jī)的包處理能力，實(shí)現(xiàn)真正的線速交換。對于業(yè)務(wù)主機(jī)，例如服務(wù)器將通過用戶權(quán)限的認(rèn)證，實(shí)現(xiàn)用戶與業(yè)務(wù)的隔離，避免非法用戶的侵入。一個(gè)設(shè)計(jì)良好的訪問控制列表不僅 可以起到控制網(wǎng)絡(luò)流量、流向的作用 ， 還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資 的情況下完成一般軟、硬件防火墻產(chǎn)品 的功能。目標(biāo)：綜合運(yùn)用大學(xué)期間所學(xué)的組網(wǎng)，思科網(wǎng)絡(luò)技術(shù)等課程知識(shí)；從需求分析入手，系統(tǒng)地掌握網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)初級(jí)技術(shù)，能獨(dú)立、合理地完成所給定的大型園區(qū)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)任務(wù)；培養(yǎng)并促進(jìn)我們勤于思考、善查資料，提高分析與解決實(shí)際問題的能力。 、高性能與技術(shù)先進(jìn)性 校園網(wǎng)絡(luò)系統(tǒng)要求具有較高的數(shù)據(jù)通信能力和較大的帶寬，并在主干網(wǎng)上提供較高的可擴(kuò)展性。、VLAN的劃分 根據(jù)校園網(wǎng)的實(shí)際需求，屬于同一部門