【正文】 錄到訪問層交換機上進 行管理，必須給訪問層交換機設置一 個 管理用 IP 地址。如下表35所示：表35區(qū)域VlanIP地址 網(wǎng)關一教學樓99二教學樓99圖書館99行政樓99一宿舍樓99二宿舍樓99五教學樓99六教學樓99辦公樓99三宿舍樓99七教學樓99四宿舍樓99 DHCP服務器IP地址池劃分 為了方便計算機更好更方便的接入校園網(wǎng)，在相應的網(wǎng)關處配置DHCP服務器，為接入網(wǎng)絡的計算機分配IP地址。通過配置，可通過兩個三個或是四個端口進行捆綁，分別負責特定端口的數(shù)據(jù)轉發(fā)，防止單條鏈路轉發(fā)速率過低而出現(xiàn)丟包的現(xiàn)象。這是一種利用第三層協(xié)議中的信息來加強第二層交換功能的機制。支持通過防火墻對外部網(wǎng)絡的非法訪問進行過濾，防范于未然。服務器模塊用來對校園網(wǎng)的接入用戶提供各種服務。1 設計任務及目標設計任務為：提出一合理可行的大型園區(qū)網(wǎng)絡路由設計方案，并在GNS3環(huán)境下完成組網(wǎng)仿真配置與測試。能夠與原有的計算機局域網(wǎng)絡和應用系統(tǒng)平滑地連接，調用原有各種計算機系統(tǒng)的信息。一個成功的高校社區(qū)網(wǎng)絡會具備很強的擴展能力，無論在支持的用戶數(shù)量方面、對目前各種網(wǎng)絡標準的支持還是在對未來新型技術。當然，三層交換技術并不是網(wǎng)絡交換機與路由器的簡單疊加，而是二者的有機結合，形成一個集成的、完整的解決方案。：接入層目的是允許終端用戶連接到網(wǎng)絡，因此接入層交換機具有低成本和高端口密度特性。命令如下：AccessSwitch (config) line vty 0 15AccessSwitch (config) loginAccessSwitch (config) passwork cisco 為了安全考慮，可以設置終端線超時時間。AccessSwitch (config) interface vlan 99AccessSwitch (config) ip address AccessSwitch (config) no shutdown為了使網(wǎng)絡管理人員可以在不同的子網(wǎng)管理此交換機，還應設置默認網(wǎng)關 地址 。在實際工作中常采用 VLAN 中繼協(xié)議（ Vlan Trunking Protocol， VTP）來解決這個問題。 RIP：RIP（距離向量路由選擇協(xié)議）路由協(xié)議用“更新（UNPDATES）”和“請求（REQUESTS）”這兩種分組來傳輸信息的。BGP交換的網(wǎng)絡可達性信息提供了足夠的信息來檢測路由回路并根據(jù)性能優(yōu)先和策略約束對路由進行決策。在OSPF路由協(xié)議中，一個網(wǎng)絡，或者說是一個路由域可以劃分為很多個區(qū)域，每一個區(qū)域通過OSPF邊界路由器相連，區(qū)域間可以通過路由總結（Summary）來減少路由信息，減小路由表，提高路由器的運算速度。 在校園網(wǎng)邊界與Internet連接處部署防火墻，可以從TCP/IP底層將非法流量拒之門外，保護校園網(wǎng)絡中數(shù)據(jù)的安全和網(wǎng)絡的穩(wěn)定。 （9） 網(wǎng)管服務器：對校園網(wǎng)網(wǎng)絡設備進行綜合管理。這次畢業(yè)設計讓我本來的零碎的知識可以聯(lián)系起來，對于3層網(wǎng)絡結構的認識更加詳細。而不是想當然的將問題放在一旁。在遇到問題查找資料的過程中，我了解到了很多課外的知識，開拓了視野，增長了見識，使我的專業(yè)知識和動手能力得到了很大的提高；在本設計的過程中，我得到了導師和同學的無私地幫助，和同學的互相交流中，我學習到了不少自己以前不了解的知識；在導師的專業(yè)指導下促成了本次畢業(yè)設計的圓滿結束，在這里對幫助過我的老師和同學表示由衷的感謝！ 在這里我特別感謝我的指導老師王虎寅老師，他給了我很多支持和指導。VPN技術在現(xiàn)實網(wǎng)絡中也是必須要配置的一項內(nèi)容。 （3） FTP、文件服務器：提供文件傳輸、共享服務。防止不法分子的入侵。 　　RIP路由協(xié)議路由收斂較慢。 作為一種鏈路狀態(tài)的路由協(xié)議，OSPF將鏈路狀態(tài)廣播數(shù)據(jù)包LSA（Link State Advertisement）傳送給在某一區(qū)域內(nèi)的所有路由器，這一點與距離矢量路由協(xié)議不同。三層交換技術主要實施配置命令如下：S1 (config) ip routing 啟動路由功能S1（config） intface vlan 11S1（configif） ip address 在湘潭大學的環(huán)境中，當網(wǎng)絡拓撲變更時，使用靜態(tài)路由維護起來比較麻煩，且配置起來很容易出錯，容易導致路由環(huán)路，影響設備的使用和網(wǎng)絡的帶寬。設置為快速端口的端口當交換機啟 動或端口有工作站接入時 ，將 會直接進入轉發(fā)狀態(tài)， 而不會經(jīng)歷阻塞、 偵聽、 學習狀態(tài) （假設橋接表已經(jīng)建 立）。因此， 給訪問層交換機的每個端口設置 IP 地址是沒意義的 。如下表34所示：表34主要設備命名名字Loopback地址（32位）湘潭大學路由器RT1XT_RT1興湘學院路由器RT2XX_RT2職業(yè)技術學院路由器RT3ZY_RT3湘潭大學核心交換機SW1XT_SW1湘潭大學核心交換機SW2XT_SW2興湘學院核心交換機SW3XX_SW3興湘學院核心交換機SW4XX_SW4職業(yè)技術學院三層交換機—SW5ZY_SW5Firewall防火墻Firewall 為了方便管理網(wǎng)絡中的設備，對網(wǎng)絡中所有的設備均配置網(wǎng)管地址，方便網(wǎng)管管理員管理網(wǎng)絡，網(wǎng)絡管理員在校園網(wǎng)絡中，只要可以接入網(wǎng)絡。避免鏈路出現(xiàn)擁塞現(xiàn)象。第三層交換技術就是：第二層交換技術+第三層轉發(fā)技術。對重要的數(shù)據(jù)庫采取安全備份的機制，避免突發(fā)事件造成重要數(shù)據(jù)的丟失。ACL的設計只要有:對外屏蔽簡單網(wǎng)管協(xié)議snmp、對外屏蔽遠程登錄協(xié)議telnet、對外屏蔽其他不安全的協(xié)議或服務和針對DoS攻擊的設計。系統(tǒng)地掌握網(wǎng)絡規(guī)劃與設計技術，能獨立、合理地完成所給定的大型園區(qū)網(wǎng)絡規(guī)劃與設計任務。湘潭大學校園網(wǎng)建設要達到以下的目標：VLAN間的互通；應用STP技術的流量控制；HSRP實現(xiàn)的網(wǎng)關冗余；多區(qū)域OSPF路由技術實現(xiàn)各分校區(qū)之間的互連互通；防火墻的應用；DHCP服務器的構建。新業(yè)務的支持上都做好了充分的準備。2 總體設計 校園網(wǎng)的總體設計原則是：開放性采用開放的網(wǎng)絡體系以方便網(wǎng)絡的升級、擴展和互聯(lián)；可擴充性從主干網(wǎng)絡設備的選型及其模塊、管理軟件和網(wǎng)絡整體機構以及技術的開放性來保證系統(tǒng)的可擴充性；可管理性利用合理的網(wǎng)絡規(guī)劃策略提供強大的網(wǎng)絡管理功能；安全性內(nèi)部網(wǎng)絡之間、內(nèi)部網(wǎng)絡與外部公網(wǎng)之間的互聯(lián)，利用Vlan/Elan和防火墻等對訪問進行控制，確保網(wǎng)絡的安全。本方案采用思科3560交換機 為了實現(xiàn)網(wǎng)絡設備的統(tǒng)一，本設計方案中完全采用同一廠家的網(wǎng)絡產(chǎn)品， 即 Cisco 公司的網(wǎng)絡設備構建。在設置的時間內(nèi)，如果沒有檢 測到鍵盤輸入， IOS 將斷開用戶和交換機之間的連接。如下所示。 VTP 允許在一臺交換機上創(chuàng)建所有的 VLAN。每個具有RIP協(xié)議功能的路由器每隔30秒就會使用UDP520端口給與之直接相連的機器廣播更新信息。特別地，BGP交換包含全部AS path的網(wǎng)絡可達性信息，按照配置信息執(zhí)行路由策略。 由此可見，OSPF更加適合作為本方案中骨干區(qū)域的動態(tài)路由協(xié)議。 本方案中防火墻的部署如下圖61所示：圖61 防火墻 邊界網(wǎng)路中，網(wǎng)絡變更不會很頻繁，為方便管理，在防火墻內(nèi)使用靜態(tài)的路由協(xié)議，對內(nèi)部的IP網(wǎng)段進行匯總，使用缺省路由指向外界網(wǎng)絡。 圖62引用了網(wǎng)上的相關所有的服務器硬件平臺、操 作系統(tǒng)以及服務軟件的選型。但是通過這次作品也明白了很多不同的知識的應用，比如HSRP網(wǎng)關冗余技術與生成樹STP技術之間的微妙關系。 老師和同學的熱心指導和幫助，給了我很大的鼓舞，使我在遇到困難的時候沒有止步，而是奮勇向前克服難題。謝 辭 到目前為止，為期幾個月的畢業(yè)設計終于完成了，在此期間，我覺得非常的充實。這在實際的校園網(wǎng)絡中是不允許的，校園網(wǎng)絡的安全性是對學生以及教師信息的基本保障，但是由于本論文側重點是對網(wǎng)絡路由的選題，所以在這方面做的技術需要以后的學習來彌補。 （2） DNS、目錄服務器：提供域名解析以及目錄服務。多區(qū)域OSPF主要配置命令如下所示：router ospf 1 ospf進程號 routerid ospf router ID logadjacencychanges passiveinterface default 默認的passive端口 no passiveinterface Serial0/0 開放端口使他們能夠通告鄰居網(wǎng)絡 no passiveinterface Serial0/2 no passiveinterface FastEthernet1/0 no passiveinterface FastEthernet2/0 network area 0 關聯(lián)鄰居網(wǎng)段 network area 0 network area 0 network area 0 network area 2!6廣域網(wǎng)Internet與服務器接入實施方案 廣域網(wǎng)Internet接入到校園網(wǎng)絡的邊界路由器，而連接Intelnet的邊界路由器是進入內(nèi)網(wǎng)的入口，對于該路由的安全性考慮，必須在此處設置防火墻。OSPF路由協(xié)議對VLSM有良好的支持性。在這個AS中，所有的OSPF路由器都維護一個相同的描述這個AS結構的數(shù)據(jù)庫，該數(shù)據(jù)庫中存放的是路由域中相應鏈路的狀態(tài)信息，OSPF路由器正是通過這個數(shù)據(jù)庫計算出其OSPF路由表的。其中三層交換技術解決了局域網(wǎng)中網(wǎng)段劃分之后，網(wǎng)段中子網(wǎng)必須依賴路由器進行管理的局面，解決了傳統(tǒng)路由器低速，復雜所造成的網(wǎng)絡瓶頸問題。 為了加速交換機端口狀態(tài)轉化時間，可以設置 將某端口設置成為快速端口 （ Portfast）。 AccessSwitch (config) logging synchronous 配 置 接入層 交 換 機 設置接入層交換機的管理IP訪問層交換機是 OSI 參考模型的第 2 層設備 ，即數(shù)據(jù)鏈路層的設備 。 三層鏈路地址的詳細的劃分如下表33所示：表33交換機連接IP地址說明RT1 f0/1 – RT2 f0/1~路由器RT1到路由器RT2鏈路地址RT2 f1/1 – RT3 f1/1~路由器RT2到路由器RT3鏈路地址RT3 F1/0 – RT1 F1/1~路由器RT3到路由器RT1鏈路地址RT1 G0/0 – firewall G0/0~路由器RT1到防火墻firewall鏈路地址firewall F2/0 – SW1 F1/0~路由器RT1到核心層SW1鏈路地址firewall F2/1 – SW2 F1/0~路由器RT1到核心層SW2鏈路地址RT2 F2/0 – SW3 F1/0~路由器RT2到核心層SW3鏈路地址RT2 F2/1 – SW4 F1/0~路由器RT2到核心層SW4鏈路地址RT3 F2/0 – SW5 F1/0~路由器RT3到核心層SW5鏈路地址Vlan901~核心交換機冗余三層鏈路地址SW1 F0/0 – SW2 F0/0鏈路捆綁，劃分到vlan901，將IP地址配置到vlan901中SW1 F0/1 – SW2 F0/1Vlan902~核心交換機冗余三層鏈路地址SW3 F0/0 – SW4 F0/0鏈路捆綁，劃分到vlan902，將IP地址配置到vlan902中 Loopback地址為設備的地址，一個設備只需要一個地址即可，子網(wǎng)掩碼設計為32位。 以太網(wǎng)捆綁技術：以太網(wǎng)捆綁技術可以確保核心交換機不會因為鏈路接口松動或鏈路斷開而影響穩(wěn)定性；鏈路聚合有成端口聚合，可以實現(xiàn)鏈路負載平衡。、多層交換技術 通關三層交換技術、特別是基于硬件的第三層交換，可以充分地利用交換機的包處理能力，實現(xiàn)真正的線速交換。對于業(yè)務主機，例如服務器將通過用戶權限的認證，實現(xiàn)用戶與業(yè)務的隔離，避免非法用戶的侵入。一個設計良好的訪問控制列表不僅 可以起到控制網(wǎng)絡流量、流向的作用 ， 還可以在不增加網(wǎng)絡系統(tǒng)軟、硬件投資 的情況下完成一般軟、硬件防火墻產(chǎn)品 的功能。目標：綜合運用大學期間所學的組網(wǎng)，思科網(wǎng)絡技術等課程知識；從需求分析入手，系統(tǒng)地掌握網(wǎng)絡規(guī)劃與設計初級技術，能獨立、合理地完成所給定的大型園區(qū)網(wǎng)絡規(guī)劃與設計任務；培養(yǎng)并促進我們勤于思考、善查資料，提高分析與解決實際問題的能力。 、高性能與技術先進性 校園網(wǎng)絡系統(tǒng)要求具有較高的數(shù)據(jù)通信能力和較大的帶寬，并在主干網(wǎng)上提供較高的可擴展性。、VLAN的劃分 根據(jù)校園網(wǎng)的實際需求，屬于同一部門