【文章內(nèi)容簡介】 的高可用性、安全性、可擴展性和對它的全面控制就比以前更為重要。通過為LAN接入添加思科智能功能，客戶現(xiàn)可部署遍布整個網(wǎng)絡(luò)的智能服務(wù)，從而一致地滿足從桌面到核心再到WAN的要求。通過Cisco Catalyst智能以太網(wǎng)交換機，思科可幫助公司獲得向其網(wǎng)絡(luò)添加智能服務(wù)的全面優(yōu)勢。為進一步優(yōu)化網(wǎng)絡(luò)運行，部署具備以下特性的功能是十分關(guān)鍵的：能使網(wǎng)絡(luò)基礎(chǔ)設(shè)施高度可用以達到關(guān)鍵時間要求、可擴展以便于公司發(fā)展、高度安全以保護保密信息，且能區(qū)分和控制流量。（3）增強安全性憑借Cisco Catalyst 2960系列提供的廣泛安全特性，企業(yè)可保護重要信息，防止未授權(quán)人員接入網(wǎng)絡(luò)，確保私密性及維持不間斷運行。思科基于身份的網(wǎng)絡(luò)服務(wù)(IBNS)解決方案提供了身份驗證、訪問控制和安全策略管理，可保護網(wǎng)絡(luò)連接和資源。Catalyst 2960系列中的IBNS可防止未授權(quán)接入，并確保用戶只獲得其指定權(quán)利。它能動態(tài)管理網(wǎng)絡(luò)接入的具體層次。（ACS），無論用戶在何 處連接到網(wǎng)絡(luò)中，都可在驗證基礎(chǔ)上分配到一個VLAN。此設(shè)置使IT部門能在不影響用戶移動性的情況下，以最低管理開銷實施強大的安全策略。為防止拒絕服務(wù)攻擊和其他攻擊，可用ACL根據(jù)源和目的地MAC地址、IP地址或TCP/UDP端口來拒絕分組，從而限制對網(wǎng)絡(luò)敏感部分的訪問。ACL查詢在硬件中完成，故此在實施基于ACL的安全性時不會影響轉(zhuǎn)發(fā)性能。端口安全性可根據(jù)與以太網(wǎng)端口相連的設(shè)備的MAC地址，來限制以太網(wǎng)端口上的訪問。它也可用于限制插入一個交換機端口的總設(shè)備數(shù)目，因此可使交換機免遭MAC泛洪攻擊，降低了惡意無線接入點或集線器接入的風(fēng)險。憑借動態(tài)主機配置協(xié)議(DHCP)監(jiān)聽，可以只允許來自不可信用戶端口的DHCP請求（但不允許響應(yīng)）進入網(wǎng)絡(luò)，從而防止DHCP電子欺騙。此外DHCP接口跟蹤器(選項82) 特性可為主機IP地址請求添加交換機端口ID，有助于實現(xiàn)對于IP地址分配的精確控制。MAC地址通知特性可向管理站發(fā)送報警，從而監(jiān)控網(wǎng)絡(luò)和跟蹤用戶，以使網(wǎng)絡(luò)管理員知道用戶何時、從何處進入網(wǎng)絡(luò)。SSHv2和SNMPv3對管理和網(wǎng)絡(luò)管理信息加密，保護網(wǎng)絡(luò)免遭干擾或竊聽。TACACS+或RADIUS驗證實現(xiàn)了交換機的集中訪問控制，并限制未授權(quán)用戶改變配置。此外，可在交換機上配置本地用戶名和密碼數(shù)據(jù)庫。交換機控制臺上的15個授權(quán)級別和Web管理界面上的2個級別提供了向不同管理員分配不同配置功能級別的能力。（4）可用性和可擴展性Cisco Catalyst 2960系列配備了強大的特性集，通過組播過濾和旨在第二層網(wǎng)絡(luò)中提供最高可用性的全套生成樹協(xié)議改進，實現(xiàn)了網(wǎng)絡(luò)可擴展性及更高可用性。對標準生成樹協(xié)議的改進，如PVST+、UplinkFast和PortFast，可實現(xiàn)最長網(wǎng)絡(luò)正常運行時間。PVST+可在冗余鏈路上進行第二層負載共享，以有效使用冗余設(shè)計中的額外容量。UplinkFast、PortFast和BackboneFast都大大縮減了標準的30到60秒生成樹協(xié)議收斂時間。Flexlink提供了不到100ms的雙向、快速收斂。對環(huán)路保護和網(wǎng)橋協(xié)議數(shù)據(jù)單元（BPDU）保護的增強避免了生成樹協(xié)議環(huán)路的出現(xiàn)。（5）高級QoSCisco Catalyst 2960提供了出色的多層QoS特性，確保網(wǎng)絡(luò)流量進行了分類和優(yōu)先級劃分，并以最好的方式避免了擁塞。QoS的配置通過自動QoS（Auto QoS）大大得到了簡化，這是一個可發(fā)現(xiàn)思科IP電話并自動配置交換機以進行正確分類和輸出排序的特性。這優(yōu)化了流量優(yōu)先級劃分和網(wǎng)絡(luò)可用性，且不會帶來復(fù)雜配置的問題。Catalyst 2960可對進入的分組分類、再分類、監(jiān)管、標記、排序和排程，并能在出口處對分組排序和排程。分組分類使網(wǎng)絡(luò)元素可區(qū)分不同流量，并根據(jù)第二層和第三層QoS實施策略。為實現(xiàn)QoS，Catalyst 2960系列交換機首先確認分組或流量組，（CoS）字段對這些組分類和再分類。分類和再分類可根據(jù)源或目的地IP地址、源或目的地MAC地址或者第4層TCP/UDP端口等標準進行。在入口，Catalyst 2960也將進行監(jiān)管，以確定分組是在小組內(nèi)還是在小組外，標記以改變分類標簽，傳輸或丟棄小組分組，并根據(jù)類別對分組排序。所有端口上都支持控制平面和數(shù)據(jù)平面ACL，確保每個分組得到正確的處理。Cisco Catalyst 2960支持每端口4個輸出隊列，使網(wǎng)絡(luò)管理員能更好地進行控制，為LAN上的各種應(yīng)用分配優(yōu)先級。在出口，交換機執(zhí)行排程和擁塞控制。排程是一種確定隊列處理順序的算法或進程。Catalyst 2960系列交換機支持整形循環(huán)（SRR）和嚴格優(yōu)先級隊列。SRR算法有助于確保個性化優(yōu)先級劃分。這些QoS特性使網(wǎng)絡(luò)管理員能將關(guān)鍵任務(wù)和帶寬密集型流量劃為較高優(yōu)先級，其中包括企業(yè)資源規(guī)劃（ERP）、語音（IP電話流量）和計算機輔助設(shè)計及制造（CAD/CAM）等，而將FTP或電子郵件等對應(yīng)用劃為較低優(yōu)先級。例如，下載一個目的地為交換機上某一端口的大型文件，而這會增加目的地為此交換機上另一端口的語音流量的延遲，這種情況是用戶極為不愿看到的。通過確保語音流量在網(wǎng)絡(luò)中得到正確分類和優(yōu)先級劃分，可避免此情況。Web瀏覽等其他應(yīng)用則可作為較低優(yōu)先級對待。Catalyst 2960系列能通過對思科承諾信息速率（CIR）功能的支持而執(zhí)行速率限制。通過CIR，能以低至8kbps的增量保證帶寬。帶寬的分配根據(jù)若干標準進行，包括MAC源地址、MAC目的地地址、IP源地址、IP目的地地址和TCP/UDP端口號。在需服務(wù)級別協(xié)議的網(wǎng)絡(luò)環(huán)境中或需控制授予某些用戶的帶寬時，帶寬分配非常重要。 系統(tǒng)分析 關(guān)鍵網(wǎng)絡(luò)系統(tǒng)Cisco 2620路由器、Cisco Catalyst 2950 24口交換機（WSC295024）、Cisco Catalyst 3560交換機 網(wǎng)絡(luò)解決辦法對校園網(wǎng)系統(tǒng)整體方案設(shè)計；對訪問層交換機進行配置；對分布層交換機進行配置；對核心層交換機進行配置；對廣域網(wǎng)接入路由器配置；對遠程訪問服務(wù)器進行配置；對整個校園網(wǎng)系統(tǒng)進行診斷 技術(shù)分析路由、交換與遠程訪問技術(shù)是現(xiàn)代計算機網(wǎng)絡(luò)領(lǐng)域中三大支撐技術(shù)體系。路由技術(shù)：路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時選擇最佳路徑的能力。除了可以完成主要的路由任務(wù)，利用訪問控制列表（Access Control List，ACL），路由器還可以用來完成以路由器為中心的流量控制和過濾功能。在本次設(shè)計中，內(nèi)網(wǎng)用戶不僅通過路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過3層交換機上的路由功能進行數(shù)據(jù)包交換。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層。現(xiàn)代交換技術(shù)還實現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強了園區(qū)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。 現(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的概念。VLAN將廣播域限制在單個VLAN內(nèi)部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術(shù)來實現(xiàn)。 當(dāng)網(wǎng)絡(luò)管理人員人員需要管理的交換機數(shù)量眾多時，可以使用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）簡化管理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負擔(dān)和工作強度。當(dāng)園區(qū)網(wǎng)絡(luò)的交換機數(shù)量增多、交換機間鏈路增加時，交換網(wǎng)絡(luò)的復(fù)雜性可能會造成交換環(huán)路問題，這需要通過在各交換機上運行生成樹協(xié)議（Spanning Tree Protocol，STP）來解決。 一個好的校園網(wǎng)設(shè)計應(yīng)該是一個分層的設(shè)計。一般分為三層設(shè)計模型?！　≡诖舜卧O(shè)計方案中，對實際校園網(wǎng)的設(shè)計進行了適當(dāng)和必要的簡化，將重點放在網(wǎng)絡(luò)主干的設(shè)計上，對于服務(wù)器的架設(shè)只作簡單介紹。第3章 系統(tǒng)詳細設(shè)計 　系統(tǒng)組成與拓撲結(jié)構(gòu)在此次網(wǎng)絡(luò)工程設(shè)計中，為了實現(xiàn)整個工程設(shè)計設(shè)備的統(tǒng)一性，本設(shè)計方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即Cisco公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的好處是可以實現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補充。　　本校園網(wǎng)設(shè)計方案主要由以下四大部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠程訪問模塊、服務(wù)器群。整個網(wǎng)絡(luò)系統(tǒng)的拓撲結(jié)構(gòu)圖如圖31所示。（省略了部分拓撲信息） 圖31　校園網(wǎng)整體拓撲結(jié)構(gòu)圖 　VLAN及IP地址規(guī)劃整個校園網(wǎng)中VLAN及IP編址方案如圖311所示：圖311　VLAN及IP編址方案在此次設(shè)計中，我規(guī)劃了15個VLAN，并為每個VLAN定義了一個由拼音縮寫組成的VLAN名稱。 交換模塊設(shè)計為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進行的。園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可劃分為三個層次：訪問層、分布層、核心層。 訪問層交換服務(wù)的實現(xiàn)－配置訪問層交換機 訪問層為所有的終端用戶提供一個接入點。這里的訪問層交換機采用的是Cisco Catalyst 2950 24口交換機。交換機擁有24個10/100Mbps自適應(yīng)快速以太網(wǎng)端口，運行的是Cisco的IOS操作系統(tǒng)。我們以拓撲圖中的訪問層交換機XingZhengLou為例進行介紹。如圖321所示　圖321　訪問層交換機XingZhengLou1．配置訪問層交換機XingZhengLou的基本參數(shù)（1）設(shè)置交換機名稱設(shè)置交換機名稱，也就是出現(xiàn)在交換機CLI提示符中的名字。一般我們會以地理位置或行政劃分來為交換機命名。當(dāng)我們需要Telnet登錄到若干臺交換機以維護一個大型網(wǎng)絡(luò)時，通過交換機名稱提示符提示自己當(dāng)前配置交換機的位置是很有必要的。如圖322所示，為訪問層交換機XingZhengLou命名。圖322　為訪問層交換機XingZhengLou命名（2）設(shè)置交換機的加密使能口令 當(dāng)用戶在普通用戶模式而想要進入特權(quán)用戶模式時，需要提供此口令。此口令會以MD5的形式加密，因此，當(dāng)用戶查看配置文件時，無法看到明文形式的口令。 如圖323所示，將交換機的加密使能口令設(shè)置為xingzhenglou圖323　為交換機設(shè)置加密使能口令（3）設(shè)置登錄虛擬終端線時的口令 對于一個已經(jīng)運行著的交換網(wǎng)絡(luò)來說，交換機的帶內(nèi)遠程管理為網(wǎng)絡(luò)管理人員提供了很多的方便。但是，處于安全考慮，在能夠遠程管理交換機之前網(wǎng)絡(luò)管理人員必須設(shè)置遠程登錄交換機的口令。如圖324所示，設(shè)置登錄交換機時需要驗證用戶身份，同時設(shè)置口令為user圖324為訪問層交換機XingZhengLou命名（4）設(shè)置終端線超時時間 為了安全考慮，可以設(shè)置終端線超時時間。在設(shè)置的時間內(nèi)，如果沒有檢測到鍵盤輸入，IOS將斷開用戶和交換機之間的連接。 如圖325所示，設(shè)置登錄交換機的控制臺終端線路及虛擬終端線的超時時間為5分30秒鐘。圖325　設(shè)置控制臺終端線路和虛擬終端線路的超時時間（5）設(shè)置禁用IP地址解析特性交換機默認配置的情況下，當(dāng)我們輸入一條錯誤的交換機命令時，交換機會嘗試將其廣播給網(wǎng)絡(luò)上的DNS服務(wù)器并將其解析成對應(yīng)的IP地址。利用命令no ip domainlookup。可以禁用這個特性如圖326所示，設(shè)置禁用IP地址解析特性。 　 圖326　設(shè)置禁用IP地址解析特性2．配置訪問層交換機XingZhengLou的管理IP、默認網(wǎng)關(guān) 訪問層交換機是OSI參考模型的第2層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備。因此，給訪問層交換機的每個端口設(shè)置IP地址是沒意義的。但是，為了使網(wǎng)絡(luò)管理人員可以從遠程登錄到訪問層交換機上進行管理，必要給訪問層交換機設(shè)置一個管理用IP地址。這種情況下，實際上是將交換機看成和PC機一樣的主機。給交換機設(shè)置管理用IP地址只能在VLAN1，即本征VLAN中進行。按照表31，管理VLAN所在的子網(wǎng)是：，這里將訪問層交換機XingZhengLou的管理IP地址設(shè)為：如圖327所示，顯示了為訪問層交換機XingZhengLou設(shè)置管理IP并激活本征VLAN。圖327　設(shè)置訪問層交換機XingZhengLou的 管理IP為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機。如圖328所示?！D328　設(shè)置訪問層交換機XingZhengLou的默認網(wǎng)關(guān)地址3．配置訪問層交換機XingZhengLou的VLAN及VTP 從提高效率的角度出發(fā)，在本校園網(wǎng)實現(xiàn)實例中使用了VTP技術(shù)。同時，將分布層交換機DistributeSwitch1設(shè)置成為VTP服務(wù)器，其他交換機設(shè)置成為VTP客戶機。這里訪問層交換機XingZhengLou將通過VTP獲得