【文章內(nèi)容簡(jiǎn)介】 25 頁(yè) 作為局域網(wǎng)的解決方案，如在桌面的移動(dòng)管理方面具有一定優(yōu)勢(shì)，作為大型網(wǎng)絡(luò)的整體解決方案，還需要與路由器技術(shù)配合，所以需要支持虛擬網(wǎng)路由的產(chǎn)品，即具有第三層交換于一體的高性能交換機(jī)。 遠(yuǎn)程訪問(wèn) 遠(yuǎn)程訪問(wèn)提供電話撥號(hào)訪問(wèn)功能，使用戶在家中、在外地都可以訪問(wèn)校園網(wǎng)。遠(yuǎn)程工作站通過(guò)撥號(hào)接入校園網(wǎng)，采用點(diǎn)對(duì)點(diǎn)的協(xié)議為 PPP。遠(yuǎn)程訪問(wèn)服務(wù)器 RAS 與調(diào)制解調(diào)器 Modem 組合實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)功能。在訪問(wèn)服務(wù)器的遠(yuǎn)程訪問(wèn)端口提供訪問(wèn)控制(Access List)。通過(guò)與撥號(hào)安全服務(wù)器配合，還能實(shí)現(xiàn)進(jìn)一步的用戶認(rèn)證和授權(quán)控制。遠(yuǎn)程訪問(wèn)解決了遠(yuǎn)程工作站通過(guò)撥號(hào)線路對(duì)網(wǎng) 絡(luò)資源的訪問(wèn)。由于撥號(hào)網(wǎng)絡(luò)是攻擊網(wǎng)絡(luò)的可能的主要入口，因而必須 在技術(shù)和管理兩方面加強(qiáng)管理。遠(yuǎn)程訪問(wèn)應(yīng)提供以下功能： 撥號(hào)訪問(wèn) (Tel/Rlogin/PPP)支持；靜態(tài) /動(dòng)態(tài)地址分配；多協(xié)議 (IP 和 IPX)透明訪問(wèn)支持；用戶訪問(wèn)和安全控制；撥出 (DialonDemand, DialOut)功能；自動(dòng)協(xié)議檢測(cè)和轉(zhuǎn)換；遠(yuǎn)程 控制 和維護(hù)；網(wǎng)管支持。 撥號(hào)網(wǎng)絡(luò)是可能的主要攻擊入口，并且采用動(dòng)態(tài) IP 分配策略，所以必須與其它網(wǎng)段隔離，直接連到網(wǎng)絡(luò)中心路由器上，占用一個(gè)獨(dú)立的網(wǎng)段，這樣也有利于計(jì)費(fèi)管理。訪問(wèn)服務(wù)器通過(guò)路由器與 MODEM 池接入撥號(hào)線。訪問(wèn)服務(wù)器與撥號(hào)安全服務(wù)器配合，根據(jù)身份認(rèn)證協(xié)議 (TACACS/RADIUS/KEBEROS)實(shí)現(xiàn)撥號(hào)用戶的認(rèn)證和授權(quán)。 網(wǎng)間互聯(lián) 根據(jù)校校通的精神，校園網(wǎng)需要與其它網(wǎng)絡(luò)互聯(lián)，使信息交換的范圍擴(kuò)展到整個(gè)INTERNET 上。目前 Inter/Intra 事實(shí)上的網(wǎng)間互聯(lián)標(biāo)準(zhǔn)是 TCP/IP 協(xié)議。校園網(wǎng)既可以通過(guò)邊界路由器和 DDN 線路，連接到 Inter，也可以通過(guò)城域網(wǎng)聯(lián)到 Inter 如果學(xué)校要對(duì)外發(fā)布信息，應(yīng)增加對(duì)外的信息服務(wù)器。對(duì)外的 Inter 服務(wù)器由于完成多種服務(wù)，所以不但速度要快， I/O 能力也必須很強(qiáng)，選擇 1 臺(tái)或多臺(tái)高性能服務(wù)器作為外部 Inter 服務(wù)器。外部網(wǎng)段服務(wù)器中的配置信息和數(shù)據(jù)在內(nèi)部網(wǎng)段做 備份，萬(wàn)一這些服務(wù)器受到攻擊或故障，系統(tǒng)和數(shù)據(jù)能夠快速恢復(fù)，不影響對(duì)外宣傳。 子網(wǎng) 子網(wǎng)按照學(xué)校的地理分布和應(yīng)用的數(shù)據(jù)流量進(jìn)行劃分。每個(gè)子網(wǎng)覆蓋一幢樓或樓的某些層。子網(wǎng)通過(guò)樓間的戶外光纜與網(wǎng)絡(luò)中心相連。子網(wǎng)是一個(gè)相對(duì)獨(dú)立的局域網(wǎng)，內(nèi)部采用交換技術(shù)作為主要連接手段，通過(guò) VLAN 形成邊界，并與主干網(wǎng)匯接。具體技術(shù)方案要點(diǎn)如下： 第 9 頁(yè)共 25 頁(yè) 各子網(wǎng)通過(guò)接入交換機(jī)接入主干網(wǎng)；各子網(wǎng)采用與主干網(wǎng)一致的通信協(xié)議；各子網(wǎng)通過(guò)網(wǎng)絡(luò)中心實(shí)行統(tǒng)一集中的管理；子網(wǎng)內(nèi)的各工作組網(wǎng)的交換機(jī)接入子網(wǎng)交換機(jī)；子網(wǎng)內(nèi)部采用交換技術(shù)組網(wǎng)。 工作組網(wǎng) 工作組網(wǎng)可以是一個(gè)教學(xué)組，也可以是一間辦公室，還可以是其它劃分。 ??連接到工作組網(wǎng)的交換機(jī)上，工作組網(wǎng)實(shí)現(xiàn) 100M 到桌面。具體的技術(shù)方案要點(diǎn)如下： 各工作組網(wǎng)接入子網(wǎng)交換機(jī)。 各工作組網(wǎng)采用與主干網(wǎng)一致的通信協(xié)議。 各工作組網(wǎng)通過(guò)網(wǎng)絡(luò)中心實(shí)行統(tǒng)一集中的管理。 工作組網(wǎng)上可設(shè)置工作組內(nèi)共享的服務(wù)器。 工作組網(wǎng)內(nèi)部采用共享或獨(dú)占 10M 端口的方式組網(wǎng) 第四章 網(wǎng)絡(luò)設(shè)備和服務(wù)器的搭配 核心層交換機(jī) 2 個(gè)。匯聚層、接入層交換機(jī) 5 個(gè)。 為了實(shí)現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)。所以核心層交換機(jī)選用 CISCO WSC3560G24PSS型三層交換機(jī)。為了 承擔(dān)網(wǎng)關(guān)和三層路由轉(zhuǎn)發(fā)功能的重?fù)?dān)。 所以匯聚層交換機(jī)選用 CISCO WSC355024SMI型的三層交換機(jī)。實(shí)現(xiàn)與 PC機(jī)的連接，為用戶提供大量端口。接入層交換機(jī)選用 CISCOWSC2950C24型號(hào)的交換機(jī)。 基本參數(shù)如表 。 產(chǎn)品型號(hào) WSC3560G24PSS WSC355024SMI WSC2950C24 產(chǎn)品類(lèi)型 三層 ,可網(wǎng)管型交換機(jī) ,千兆交換機(jī) ,以太網(wǎng)交換機(jī)。 三層 ,可網(wǎng)管型交換機(jī) ,快速以太網(wǎng)交換機(jī) 二層 ,可網(wǎng)管型交換機(jī) ,快速以太網(wǎng)交換機(jī) 傳輸方式 存儲(chǔ)轉(zhuǎn)發(fā)方式 存儲(chǔ)轉(zhuǎn)發(fā)方式 存儲(chǔ)轉(zhuǎn)發(fā)方式 背板帶寬 32Gbps 包轉(zhuǎn)發(fā)率 第 10 頁(yè)共 25 頁(yè) Flash內(nèi)存 32MB 32MB 8MB 最大 DRAM內(nèi)存 128MB 64MB 16MB 接口類(lèi)型 10/100/1000BASET端口 ,RJ45 10/100Baset,1000BaseX SFP,10/100BaseT,GBIc 10/100BaseT,10/100BaseT,100BASEFX 接口數(shù)目 24口 24口 24 口 傳輸速率 10M/100M/1000Mbps 10M/100M/1000Mbps 10M/100Mbps 模塊化插槽數(shù) 4 2 2 堆疊 不可堆疊 可堆疊 可堆疊 表 網(wǎng)絡(luò)交換機(jī)基本參數(shù) 接入路由器 2 個(gè) 選擇思科 2621XM 型的路由器 與局域網(wǎng)組網(wǎng)技術(shù) 根據(jù)學(xué)校的要求，網(wǎng)絡(luò)拓?fù)湟?guī)劃如圖 ，基本保證了網(wǎng)絡(luò)的 先進(jìn)性 、 可靠性 、 可擴(kuò)展性 、 可管理性 、 安全性 等方面 的需求。 產(chǎn)品型號(hào) 2621 處理器 Motorola MPC860 50MHz DRAM內(nèi)存 64 MB Flash內(nèi)存 32MB 固定網(wǎng)絡(luò)接口 可選廣域接口 WIC卡 控制端口 RS232 擴(kuò)展插槽 1個(gè)網(wǎng)絡(luò)模塊插槽 ,1個(gè) AIM插槽 ,2個(gè) WIC 插槽 ,IP s/w 第 11 頁(yè)共 25 頁(yè) 圖 網(wǎng)絡(luò)拓?fù)鋱D 方案的特點(diǎn) (1)高性能全交換，千兆骨干（多模光纖）、百兆交換到桌面（ UTP雙絞線）； (2)虛擬局域網(wǎng)（ VLAN）策略，提高局域網(wǎng)絡(luò)內(nèi)部安全與性能； (3)多業(yè)務(wù)，辦公管理、遠(yuǎn)程通信一網(wǎng)實(shí)現(xiàn)； (4)管理簡(jiǎn)單，基于瀏覽器和網(wǎng)絡(luò)管理工具的圖形化配置； (5)系統(tǒng)安全，集成路由器防火墻，提供互聯(lián)網(wǎng)接入的安全保障； (6)經(jīng)濟(jì)實(shí)用，高性價(jià)比產(chǎn)品配置，支持系統(tǒng)平滑升級(jí)。 Vlan 劃分的模式有： (1)按端口劃分。將 VLAN交換機(jī)上的物理端口和 VLAN交換機(jī)內(nèi)部的 PVC（永久虛電路）端口分成若干個(gè)組，每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)， 相 當(dāng) 于一個(gè)獨(dú)立的 VLAN交換機(jī)。這種按網(wǎng)絡(luò)端口來(lái)劃分 VLAN網(wǎng)絡(luò)成員的配置過(guò)程簡(jiǎn)單明了，因此，它是最常用的一種方式。其主要缺點(diǎn)在于不允許用戶移動(dòng)，一旦用戶移動(dòng)到一個(gè)新的位置，網(wǎng)絡(luò)管理員必須配置新的 VLAN。 第 12 頁(yè)共 25 頁(yè) (2)按 MAC地址劃分。 VLAN工作基于工作站的 MAC地址， VLAN交換機(jī)跟蹤屬于 VLAN MAC的地址，從某種意義上說(shuō)，這是一種基于用戶的網(wǎng)絡(luò)劃分手段，因?yàn)?MAC在工作站的網(wǎng)卡（ NIC）上。這種方式的 VLAN允許網(wǎng)絡(luò)用戶從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置時(shí)，自動(dòng)保留其所屬 VLAN的成員身份，但這種方式要求網(wǎng)絡(luò)管理員將每個(gè)用戶都一一劃分在某個(gè) VLAN中，在一 個(gè)大規(guī)模的 VLAN中，這就有些困難；再者，筆記本電腦沒(méi)有網(wǎng)卡，因而，當(dāng)筆記本電腦移動(dòng)到另一個(gè)站時(shí)， VLAN需要重新配置 。 (3)按網(wǎng)絡(luò)協(xié)議劃分。 VLAN按網(wǎng)絡(luò)層協(xié)議來(lái)劃分，可分為 IP、 IPX、 DECNET、APPLETALK、 BANYAN等 VLAN網(wǎng)絡(luò)。這種按網(wǎng)絡(luò)層協(xié)議來(lái)組成的 VLAN，可使廣播域跨越多個(gè) VLAN交換機(jī)。這對(duì)于希望針對(duì)具體應(yīng)用和服務(wù)來(lái)組織用戶的網(wǎng)絡(luò)管理員來(lái)說(shuō)是非常具有吸引力的，而且，用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動(dòng)，但其 VLAN成員身份仍然保留不變。這種方式不足之處在于，可使廣播域跨越多個(gè) VLAN交換機(jī)，容易造成某些 VLAN站點(diǎn)數(shù)目較多，產(chǎn)生大量的廣播包，使 VLAN交換機(jī)的效率降低。 (4)按 IP／ IPX劃分?；?IP子網(wǎng)的 VLAN，可按照 IPV4和 IPV6方式來(lái)劃分 VLAN。其每個(gè) VLAN都是和一段獨(dú)立的 IP網(wǎng)段相對(duì)應(yīng)的，將 IP的廣播組和 VLAN的碰撞域一對(duì)一地結(jié)合起來(lái)。這種方式有利于在 VLAN交換機(jī)內(nèi)部實(shí)現(xiàn)路由，也有利于將動(dòng)態(tài)主機(jī)配置（ DHCP）技術(shù)結(jié)合起來(lái)，而且，用戶可以移動(dòng)工作站而不需要重新配置網(wǎng)絡(luò)地址，便于網(wǎng)絡(luò)管理。其主要缺點(diǎn)在于效率要比第二層差，因?yàn)椴榭慈龑?IP地址比查看 MAC地址所消耗 的時(shí)間多?；?IPX的 VLAN，也是按照 OSI（開(kāi)放系統(tǒng)互連）模型的第三層地址來(lái)設(shè)計(jì)的。 (5)按策略劃分。基于策略組成的 VLAN能實(shí)現(xiàn)多種分配方法，包括 VLAN交換機(jī)端口、 MAC地址、 IP地址、網(wǎng)絡(luò)層協(xié)議等。網(wǎng)絡(luò)管理人員可根據(jù)自己的管理模式和本單位的需求來(lái)決定選擇哪種類(lèi)型的 VLAN。 (6)按用戶定義、非用戶授權(quán)劃分?；谟脩舳x、非用戶授權(quán)來(lái)劃分 VLAN，是指為了適應(yīng)特別的 VLAN網(wǎng)絡(luò)，特別的網(wǎng)絡(luò)用戶的特別要求來(lái)定義和設(shè)計(jì) VLAN，而且可以讓非 VLAN群體用戶訪問(wèn) VLAN，但是需要提供用戶密碼，得到 VLAN管理的認(rèn)證后才可以加入一個(gè) VLAN。 端口聚合技術(shù) 端口聚合它可將多物理連接當(dāng)作一個(gè)單一的邏輯連接來(lái)處理，它允許兩個(gè)交換器之間通過(guò)多個(gè)端口并行連接同時(shí)傳輸數(shù)據(jù)以提供更高的帶寬、更大的吞吐量和可恢復(fù)性的技術(shù)。這一技術(shù)的優(yōu)點(diǎn)是以較低的成本通過(guò)捆綁多端口提高帶寬，而其增加的開(kāi)銷(xiāo)只是連接用的普通五類(lèi)網(wǎng)線和多占用的端口，它可以有效地提高子網(wǎng)的上行速度，從而消除網(wǎng)絡(luò)訪問(wèn)中的瓶頸。另外 Trunk還具有自動(dòng)帶寬平衡， 第 13 頁(yè)共 25 頁(yè) 即容錯(cuò)功能：即使 Trunk只有一個(gè)連接存在時(shí)，仍然會(huì)工作，這無(wú)形中增加了系統(tǒng)的可靠性。 VTP技術(shù) VTP協(xié)議是在交換機(jī)之間交換 VLAN信息并使 VLAN保持一致的協(xié)議。只運(yùn)行于中繼線上。中繼線指 trunk技術(shù)，實(shí)質(zhì)就是允許多個(gè) VLAN的信息通過(guò)同一個(gè)物理連接。 Trunking技術(shù)的實(shí)現(xiàn)過(guò)程通常是依靠標(biāo)記完成。所有通過(guò)中繼傳輸?shù)膸紝⒂?VLAN ID進(jìn)行標(biāo)記（即所有的幀將在修改后發(fā)出）。當(dāng)其它交換機(jī)收到中繼線傳來(lái)的幀時(shí)，將讀取標(biāo)記，得知幀是屬于哪個(gè) VLAN的，并將其發(fā)往在本機(jī)上相同的 VLAN之中。對(duì)于廣播，交換機(jī)可以將其保留在適當(dāng)?shù)?VLAN之中。 Trunk的封裝類(lèi)型有： ISL、 （也稱(chēng)作 dot1q）、 、 絡(luò)類(lèi)型，如以太網(wǎng)、 FDDI、令牌環(huán)網(wǎng)、 ATM網(wǎng)絡(luò)鏈路。 VTP存在版本問(wèn)題，分為：版本 1（默認(rèn)狀態(tài)）和版本 行相同版本的 VTP. VTP 工作模式： (1) VTP 服務(wù)器模式 （默認(rèn)狀態(tài)） 處于服務(wù)器模式的交換機(jī)在所有的中繼端口向外發(fā)送更新數(shù)據(jù)，并且接收和處理從它的中繼端口接收到的 VTP更新數(shù)據(jù)?？梢栽谧约旱?CLI上配置 VLAN. (2) VTP 客戶機(jī)模式 處于 VTP 客戶機(jī)模式的交換機(jī)在所有的中繼端口向外發(fā)送更新數(shù)據(jù)，并且讀取和獲得從它的中繼端口接收到的 VTP更新數(shù)據(jù)。但不可以在自己的 CIL上配置 VLAN. (3) VTP 透明模式 處于 VTP透明模式的交換機(jī)無(wú)法處理從它的中繼端口接收到的 VTP 更新數(shù)據(jù)。但能將從一個(gè)交換機(jī)收到的更新信息轉(zhuǎn)發(fā)到管理域。 可以在本地配置 VLAN VTP可以分為不同的管理域，兩個(gè) VTP VTP2管理域的在交換機(jī)處于透明模式時(shí)，不交換 VTP更新信息。 STP技術(shù) 生成樹(shù)協(xié)議最主要的應(yīng)用是為了避免局域網(wǎng)中的網(wǎng)絡(luò)環(huán)回，解決成環(huán)以 太網(wǎng)網(wǎng)絡(luò)的 “ 廣播風(fēng)暴 ” 問(wèn)題，從某種意義上說(shuō)是一種網(wǎng)絡(luò)保護(hù)技術(shù)，可以消除由于失誤或者意外帶來(lái)的循環(huán)連接。 STP也提供了為網(wǎng)絡(luò)提供備份連接的可能，可與SDH保護(hù)配合構(gòu)成以太環(huán)網(wǎng)的雙重保護(hù)。 OSPF路由協(xié)議 OSPF 是典型的鏈路狀態(tài)型 路由協(xié)議 。它使用 COST（開(kāi)銷(xiāo)）作為度量，根據(jù)拓?fù)浔硗ㄟ^(guò) SPF算法獲得以自己為根的到