【文章內(nèi)容簡介】 DDoS 拒絕服務(wù)攻擊、防 IP 掃描、系統(tǒng)安全機制、多種數(shù)據(jù)訪問權(quán)限控制等，有多種的保護機制，如劃分 VLAN、IP/MAC 地址綁定（過濾） 、ACL、路由過濾、防 DDoS 拒絕服務(wù)攻擊、防 IP 掃描、 認證機制、SSH 加密連接等具體技術(shù)提升整個網(wǎng)絡(luò)的安全性。第三章 網(wǎng)絡(luò)方案設(shè)計 網(wǎng)絡(luò)拓撲結(jié)構(gòu)介紹 在此次校園網(wǎng)的設(shè)計中，我們采用層次化模型來設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)。所謂“層次化”模型，就是將復雜的網(wǎng)絡(luò)設(shè)計分成幾個層次，每個層次著重于某些特定的功能，這樣就能夠使一個復雜的大問題變成許多簡單的小問題。層次模型既能夠應用于局域網(wǎng)的設(shè)計，也能夠應用于廣域網(wǎng)的設(shè)計。在校園網(wǎng)設(shè)計中，使用層次化模型有許多好處，列舉如下：節(jié)省成本在采用層次模型之后，各層次各司其職，不再在同一個平臺上考慮所有的事情。層次模型模塊化的特性使網(wǎng)絡(luò)中的每一層都能夠很好地利用帶寬，減少了對系統(tǒng)資源的浪費。易于理解層次化設(shè)計使得網(wǎng)絡(luò)結(jié)構(gòu)清晰明了，可以在不同的層次實施不同難度的管理，降低了管理成本。易于擴展 　　在網(wǎng)絡(luò)設(shè)計中，模塊化具有的特性使得網(wǎng)絡(luò)增長時網(wǎng)絡(luò)的復雜性能夠限制在子網(wǎng)中，而不會蔓延到網(wǎng)絡(luò)的其他地方。而如果采用扁平化和網(wǎng)狀設(shè)計，任何一個節(jié)點的變動都將對整個網(wǎng)絡(luò)產(chǎn)生很大影響。易于排錯層次化設(shè)計能夠使網(wǎng)絡(luò)拓撲結(jié)構(gòu)分解為易于理解的子網(wǎng)，網(wǎng)絡(luò)管理者能夠輕易地確網(wǎng)絡(luò)方案設(shè)計7定網(wǎng)絡(luò)故障的范圍，從而簡化了排錯過程。 網(wǎng)絡(luò)拓撲圖網(wǎng)絡(luò)拓撲圖如圖 31 所示。圖 31 網(wǎng)絡(luò)拓撲圖辦公自動化系統(tǒng)結(jié)構(gòu)圖：圖 32 辦公自動化系統(tǒng)結(jié)構(gòu)圖綜合教務(wù)管理系統(tǒng)： 淮安信息職業(yè)技術(shù)學院畢業(yè)設(shè)計論文8圖 33 綜合教務(wù)管理系統(tǒng)圖書館自動化管理系統(tǒng)：圖 34 圖書館自動化管理系統(tǒng) 細節(jié)設(shè)計圖? 圖書館網(wǎng)絡(luò)設(shè)計圖 35 圖書館網(wǎng)絡(luò)設(shè)計? 宿舍局域網(wǎng)設(shè)計網(wǎng)絡(luò)方案設(shè)計9圖 36 宿舍局域網(wǎng)設(shè)計? 教學樓區(qū)網(wǎng)絡(luò)設(shè)計圖 37 教學樓區(qū)網(wǎng)絡(luò)設(shè)計? 學院禮堂網(wǎng)絡(luò)圖 38 學院禮堂網(wǎng)絡(luò)淮安信息職業(yè)技術(shù)學院畢業(yè)設(shè)計論文10 交換機模塊設(shè)計使用雙核心網(wǎng)絡(luò)的主要目的是實現(xiàn)冗余的連接防止單點失效，從邏輯上，大型網(wǎng)絡(luò)可分為核心層、分布層和接入層，每層都有其特點。層次化設(shè)計的優(yōu)點可以總結(jié)為如下幾點：? 可擴展性：因為網(wǎng)絡(luò)可模塊化增長而不會遇到問題；? 簡單性：通過將網(wǎng)絡(luò)分成許多小單元，降低了網(wǎng)絡(luò)的整體復雜性，使故障排除更容易，能隔離廣播風暴的傳播、防止路由循環(huán)等潛在的問題；? 設(shè)計的靈活性：使網(wǎng)絡(luò)容易升級到最新的技術(shù)，升級任意層次的網(wǎng)絡(luò)不會對其他層次造成影響，無需改變整個環(huán)境；? 可管理性：層次結(jié)構(gòu)使單個設(shè)備的配置的復雜性大大降低，更易管理。 交換機的選擇交換機分為二層交換機和三層交換機兩種類型，其中二層交換機的工作原理是：（1）當交換機從某個端口收到一個數(shù)據(jù)包，它先讀取包頭中的源 MAC 地址，這樣它就知道源 MAC 地址的機器是連在哪個端口上的； （2）再去讀取包頭中的目的 MAC 地址，并在地址表中查找相應的端口；（3）如表中有與這目的 MAC 地址對應的端口，把數(shù)據(jù)包直接復制到這端口上；（4）如表中找不到相應的端口則把數(shù)據(jù)包廣播到所有端口上，當目的機器對源機器回應時，交換機又可以學習一目的 MAC 地址與哪個端口對應，在下次傳送數(shù)據(jù)時就不再需要對所有端口進行廣播了。不斷的循環(huán)這個過程，對于全網(wǎng)的 MAC 地址信息都可以學習到，二層交換機就是這樣建立和維護它自己的地址表。可以看出二層交換機沒有路由功能，當不同的子網(wǎng)進行通信是要借助路由器實現(xiàn)數(shù)據(jù)包的轉(zhuǎn)發(fā)，所以當子網(wǎng)數(shù)量較多時，路由器的接口數(shù)量就成了一個瓶頸，而三層交換機就能解決這一缺點。三層交換機的最重要的功能是加快大型局域網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)的快速轉(zhuǎn)發(fā)，加入路由功能也是為這個目的服務(wù)的。因此具有路由功能的快速轉(zhuǎn)發(fā)的三層交換機就成為首選。我們選擇 CISCO 356024PS 作為核心層交換機，這個設(shè)備有 26 個端口，其中有兩個端口支持 1Gbps 的帶寬，選擇 CISCO 295024 二層交換機作為接入層交換機，這網(wǎng)絡(luò)方案設(shè)計11個設(shè)備有 24 個接口，能夠?qū)崿F(xiàn) 10M/100M 自適應到桌面的功能，而且，這兩款交換機都支持 vlan 功能。 核心層交換機的說明配置核心層的功能主要是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,核心層設(shè)計任務(wù)的重點通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡(luò)的控制功能最好盡量少在核心層上實施。核心層一直被認為是所有流量的最終承受者和匯聚者，所以對核心層的設(shè)計以及網(wǎng)絡(luò)設(shè)備的要求十分嚴格。核心交換機采用兩個三層交換機，該校園網(wǎng)分為 7 個 vlan，vlanvlanvlan4分別接在核心交換機一的 f0/1 、f0/ f0/3 接口，vlanvlanvlanvlanvlan9 分別接在核心交換機二的 f0/1 、f0/ f0/f0/4 接口。（1）基于端口 vlan 的劃分這是最常應用的一種 VLAN 劃分方法，應用也最為廣泛、最有效，目前絕大多數(shù) VLAN 協(xié)議的交換機都提供這種 VLAN 配置方法。這種劃分 VLAN的方法是根據(jù)以太網(wǎng)交換機的交換端口來劃分的，它是將 VLAN 交換機上的物理端口和VLAN 交換機內(nèi)部的 PVC（永久虛電路）端口分成若干個組，每個組構(gòu)成一個虛擬網(wǎng)，相當于一個獨立的 VLAN 交換機。從這種劃分方法本身我們可以看出，這種劃分的方法的優(yōu)點是定義 VLAN 成員時非常簡單，只要將所有的端口都定義為相應的 VLAN 組即可。適合于任何大小的網(wǎng)絡(luò)。它的缺點是如果某用戶離開了原來的端口，到了一個新的交換機的某個端口，必須重新定義。在核心交換機上的配置如下：sw0(config)int f 0/1sw0(configif)switchport mode trunksw0(configif)switchport access vlan 2sw0(config)int f 0/2sw0(configif)switchport mode trunksw0(configif)switchport access vlan 3sw0(config)int f 0/3sw0(configif)switchport mode trunksw0(configif)switchport access vlan 4sw1(config)int f 0/1sw1(configif)switchport mode trunksw1(configif)switchport access vlan 5淮安信息職業(yè)技術(shù)學院畢業(yè)設(shè)計論文12sw1(config)int f 0/2sw1(configif)switchport mode trunksw1(configif)switchport access vlan 6sw1(config)int f 0/3sw1(configif)switchport mode trunksw1(configif)switchport access vlan 7sw1(config)int f 0/4sw1(configif)switchport mode trunksw1(configif)switchport access vlan 8sw1(config)int f 0/5sw1(configif)switchport access vlan 9（2）配置 VLAN 的各各接口的地址sw0(config)int vlan 2sw0(configif)ip add sw0(configif)no shutdownsw0(configif)exitsw0(config)int vlan 3sw0(configif)ip add sw0(configif)no shutdownsw0(configif)exitsw0(config)int vlan 4sw0(configif)ip add sw0(configif)no shutdownsw1(config)int vlan 5sw1(configif)ip add sw1(configif)no shutdownsw1(configif)exitsw1(config)int vlan 6sw1(configif)ip add sw1(configif)no shutdownsw1(configif)exitsw1(config)int vlan 7網(wǎng)絡(luò)方案設(shè)計13sw1(configif)ip add sw1(configif)no shutsw1(configif)exitsw1(config)int vlan 8sw1(configif)ip add sw1(configif)no shutsw1(config)int vlan 9sw1(configif)ip add sw1(configif)no shut(3)端口聚合提供冗余備份鏈路，端口聚合又稱鏈路聚合，是指兩臺交換機之間在物理上將多個端口連接起來，將多條鏈路聚合成一條邏輯鏈路。從而增大鏈路帶寬，解決交換網(wǎng)絡(luò)中因帶寬引起的網(wǎng)絡(luò)瓶頸問題。多條物理鏈路之間能夠相互冗余備份，其中任意一條鏈路斷開，不會影響其他鏈路的正常轉(zhuǎn)發(fā)數(shù)據(jù)。該核心交換機采用的是兩條，具體配置如下：Switch(config)inter portchannel 1 Switch(configif)no switchport Switch(configif)no shutdown Switch(configif)ip address Switch(config)inter gig0/1Switch(configif)channelgSwitch(configif)channelgroup 1 m onSwitch(config)inter gig0/2Switch(configif)channelgroup 1 m on(4)兩個三層核心交換機之間的 RIP 路由協(xié)議，具 體 配 置 代 碼 如 下 ：sw0(config)router ripsw0(configrouter)work sw0(configrouter)work sw0(configrouter)work sw0(configrouter)work sw0(configrouter)work 淮安信息職業(yè)技術(shù)學院畢業(yè)設(shè)計論文14sw0(configrouter)version 2sw0(configrouter)no autosummarysw1(config)router ripsw1(configrouter)work sw1(configrouter)work sw1(configrouter)work sw1(configrouter)work sw1(configrouter)work sw1(configrouter)work sw1(configrouter)work sw1(configrouter)version 2sw1(configrouter)no autosummary 匯聚層交換機的說明配置分布層提供基于統(tǒng)一策略的互連性，它是核心層和訪問層的分界點，定義了網(wǎng)絡(luò)的邊界，對數(shù)據(jù)包進行復雜的運算。在園區(qū)網(wǎng)絡(luò)環(huán)境中，分布層主要提供如下功能：? 地址的聚集? 部門和工作組的接入? 廣播域/多目傳輸域的定義? Inter VLAN 路由? 介質(zhì)的轉(zhuǎn)換? 安全控制當網(wǎng)絡(luò)管理人員需要管理的交換機數(shù)量眾多時，可以使用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）簡化管理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負擔和工作強度。將分布層交換機學生公寓區(qū)的交換機設(shè)置成為VTP服務(wù)器，其他交換機設(shè)置成為VTP客戶機。(1)訪問層交換機學生公寓區(qū)的交換機作為服務(wù)器的配置如下：s4vlan databases4(vlan)vtp domain dong網(wǎng)絡(luò)方案設(shè)計15s4(vlan)vlan 2s4(vlan)vlan 3s4(vlan)vlan 4s4(vlan)vlan 5s4(vlan)vlan 6s4(vlan)vlan 7s4(vlan)vlan 8s4(vlan)vlan 9s4(vlan)vtp server(2)trunk 端口在最普遍的路由與交換領(lǐng)域，VLAN 的端口聚合也有的叫 TRUNK，不過大多數(shù)都叫TRUNKING ，如 CISCO 公司。所謂的 TRUNKING 是用來在不同的交換機之間進行連接，以保證在跨越多個交換機上建立的同一個 VLAN 的成員能夠相互通訊。其中交換機之間互聯(lián)用的端口就稱為 TRUNK 端口。與一般的交換機的級聯(lián)不同，TRUNKING 是基于 OSI第二層數(shù)據(jù)鏈路層（DataLinkLayer)RUNKING 技術(shù)，如果你在 2 個交換機上分別劃分了多個 VLAN（VLAN 也是基于 Layer2 的），那么分別在兩個交換機上的 VLAN10 和VLAN20 的各自的