【文章內容簡介】 25 頁 作為局域網的解決方案，如在桌面的移動管理方面具有一定優(yōu)勢，作為大型網絡的整體解決方案，還需要與路由器技術配合，所以需要支持虛擬網路由的產品，即具有第三層交換于一體的高性能交換機。 遠程訪問 遠程訪問提供電話撥號訪問功能，使用戶在家中、在外地都可以訪問校園網。遠程工作站通過撥號接入校園網，采用點對點的協(xié)議為 PPP。遠程訪問服務器 RAS 與調制解調器 Modem 組合實現(xiàn)遠程訪問功能。在訪問服務器的遠程訪問端口提供訪問控制(Access List)。通過與撥號安全服務器配合，還能實現(xiàn)進一步的用戶認證和授權控制。遠程訪問解決了遠程工作站通過撥號線路對網 絡資源的訪問。由于撥號網絡是攻擊網絡的可能的主要入口，因而必須 在技術和管理兩方面加強管理。遠程訪問應提供以下功能： 撥號訪問 (Tel/Rlogin/PPP)支持；靜態(tài) /動態(tài)地址分配；多協(xié)議 (IP 和 IPX)透明訪問支持；用戶訪問和安全控制；撥出 (DialonDemand, DialOut)功能；自動協(xié)議檢測和轉換；遠程 控制 和維護；網管支持。 撥號網絡是可能的主要攻擊入口，并且采用動態(tài) IP 分配策略，所以必須與其它網段隔離，直接連到網絡中心路由器上，占用一個獨立的網段，這樣也有利于計費管理。訪問服務器通過路由器與 MODEM 池接入撥號線。訪問服務器與撥號安全服務器配合，根據身份認證協(xié)議 (TACACS/RADIUS/KEBEROS)實現(xiàn)撥號用戶的認證和授權。 網間互聯(lián) 根據校校通的精神，校園網需要與其它網絡互聯(lián)，使信息交換的范圍擴展到整個INTERNET 上。目前 Inter/Intra 事實上的網間互聯(lián)標準是 TCP/IP 協(xié)議。校園網既可以通過邊界路由器和 DDN 線路，連接到 Inter，也可以通過城域網聯(lián)到 Inter 如果學校要對外發(fā)布信息，應增加對外的信息服務器。對外的 Inter 服務器由于完成多種服務，所以不但速度要快， I/O 能力也必須很強，選擇 1 臺或多臺高性能服務器作為外部 Inter 服務器。外部網段服務器中的配置信息和數(shù)據在內部網段做 備份，萬一這些服務器受到攻擊或故障，系統(tǒng)和數(shù)據能夠快速恢復，不影響對外宣傳。 子網 子網按照學校的地理分布和應用的數(shù)據流量進行劃分。每個子網覆蓋一幢樓或樓的某些層。子網通過樓間的戶外光纜與網絡中心相連。子網是一個相對獨立的局域網，內部采用交換技術作為主要連接手段，通過 VLAN 形成邊界，并與主干網匯接。具體技術方案要點如下： 第 9 頁共 25 頁 各子網通過接入交換機接入主干網；各子網采用與主干網一致的通信協(xié)議；各子網通過網絡中心實行統(tǒng)一集中的管理；子網內的各工作組網的交換機接入子網交換機；子網內部采用交換技術組網。 工作組網 工作組網可以是一個教學組，也可以是一間辦公室，還可以是其它劃分。 ??連接到工作組網的交換機上，工作組網實現(xiàn) 100M 到桌面。具體的技術方案要點如下： 各工作組網接入子網交換機。 各工作組網采用與主干網一致的通信協(xié)議。 各工作組網通過網絡中心實行統(tǒng)一集中的管理。 工作組網上可設置工作組內共享的服務器。 工作組網內部采用共享或獨占 10M 端口的方式組網 第四章 網絡設備和服務器的搭配 核心層交換機 2 個。匯聚層、接入層交換機 5 個。 為了實現(xiàn)數(shù)據的高速轉發(fā)。所以核心層交換機選用 CISCO WSC3560G24PSS型三層交換機。為了 承擔網關和三層路由轉發(fā)功能的重擔。 所以匯聚層交換機選用 CISCO WSC355024SMI型的三層交換機。實現(xiàn)與 PC機的連接，為用戶提供大量端口。接入層交換機選用 CISCOWSC2950C24型號的交換機。 基本參數(shù)如表 。 產品型號 WSC3560G24PSS WSC355024SMI WSC2950C24 產品類型 三層 ,可網管型交換機 ,千兆交換機 ,以太網交換機。 三層 ,可網管型交換機 ,快速以太網交換機 二層 ,可網管型交換機 ,快速以太網交換機 傳輸方式 存儲轉發(fā)方式 存儲轉發(fā)方式 存儲轉發(fā)方式 背板帶寬 32Gbps 包轉發(fā)率 第 10 頁共 25 頁 Flash內存 32MB 32MB 8MB 最大 DRAM內存 128MB 64MB 16MB 接口類型 10/100/1000BASET端口 ,RJ45 10/100Baset,1000BaseX SFP,10/100BaseT,GBIc 10/100BaseT,10/100BaseT,100BASEFX 接口數(shù)目 24口 24口 24 口 傳輸速率 10M/100M/1000Mbps 10M/100M/1000Mbps 10M/100Mbps 模塊化插槽數(shù) 4 2 2 堆疊 不可堆疊 可堆疊 可堆疊 表 網絡交換機基本參數(shù) 接入路由器 2 個 選擇思科 2621XM 型的路由器 與局域網組網技術 根據學校的要求，網絡拓撲規(guī)劃如圖 ，基本保證了網絡的 先進性 、 可靠性 、 可擴展性 、 可管理性 、 安全性 等方面 的需求。 產品型號 2621 處理器 Motorola MPC860 50MHz DRAM內存 64 MB Flash內存 32MB 固定網絡接口 可選廣域接口 WIC卡 控制端口 RS232 擴展插槽 1個網絡模塊插槽 ,1個 AIM插槽 ,2個 WIC 插槽 ,IP s/w 第 11 頁共 25 頁 圖 網絡拓撲圖 方案的特點 (1)高性能全交換，千兆骨干（多模光纖）、百兆交換到桌面（ UTP雙絞線）； (2)虛擬局域網（ VLAN）策略，提高局域網絡內部安全與性能； (3)多業(yè)務，辦公管理、遠程通信一網實現(xiàn)； (4)管理簡單，基于瀏覽器和網絡管理工具的圖形化配置； (5)系統(tǒng)安全，集成路由器防火墻，提供互聯(lián)網接入的安全保障； (6)經濟實用，高性價比產品配置，支持系統(tǒng)平滑升級。 Vlan 劃分的模式有： (1)按端口劃分。將 VLAN交換機上的物理端口和 VLAN交換機內部的 PVC（永久虛電路）端口分成若干個組，每個組構成一個虛擬網， 相 當 于一個獨立的 VLAN交換機。這種按網絡端口來劃分 VLAN網絡成員的配置過程簡單明了，因此，它是最常用的一種方式。其主要缺點在于不允許用戶移動，一旦用戶移動到一個新的位置，網絡管理員必須配置新的 VLAN。 第 12 頁共 25 頁 (2)按 MAC地址劃分。 VLAN工作基于工作站的 MAC地址， VLAN交換機跟蹤屬于 VLAN MAC的地址，從某種意義上說，這是一種基于用戶的網絡劃分手段，因為 MAC在工作站的網卡（ NIC）上。這種方式的 VLAN允許網絡用戶從一個物理位置移動到另一個物理位置時，自動保留其所屬 VLAN的成員身份，但這種方式要求網絡管理員將每個用戶都一一劃分在某個 VLAN中，在一 個大規(guī)模的 VLAN中，這就有些困難；再者，筆記本電腦沒有網卡，因而，當筆記本電腦移動到另一個站時， VLAN需要重新配置 。 (3)按網絡協(xié)議劃分。 VLAN按網絡層協(xié)議來劃分，可分為 IP、 IPX、 DECNET、APPLETALK、 BANYAN等 VLAN網絡。這種按網絡層協(xié)議來組成的 VLAN，可使廣播域跨越多個 VLAN交換機。這對于希望針對具體應用和服務來組織用戶的網絡管理員來說是非常具有吸引力的，而且，用戶可以在網絡內部自由移動，但其 VLAN成員身份仍然保留不變。這種方式不足之處在于，可使廣播域跨越多個 VLAN交換機，容易造成某些 VLAN站點數(shù)目較多，產生大量的廣播包，使 VLAN交換機的效率降低。 (4)按 IP／ IPX劃分?；?IP子網的 VLAN，可按照 IPV4和 IPV6方式來劃分 VLAN。其每個 VLAN都是和一段獨立的 IP網段相對應的，將 IP的廣播組和 VLAN的碰撞域一對一地結合起來。這種方式有利于在 VLAN交換機內部實現(xiàn)路由，也有利于將動態(tài)主機配置（ DHCP）技術結合起來，而且，用戶可以移動工作站而不需要重新配置網絡地址，便于網絡管理。其主要缺點在于效率要比第二層差，因為查看三層 IP地址比查看 MAC地址所消耗 的時間多。基于 IPX的 VLAN，也是按照 OSI（開放系統(tǒng)互連）模型的第三層地址來設計的。 (5)按策略劃分?；诓呗越M成的 VLAN能實現(xiàn)多種分配方法，包括 VLAN交換機端口、 MAC地址、 IP地址、網絡層協(xié)議等。網絡管理人員可根據自己的管理模式和本單位的需求來決定選擇哪種類型的 VLAN。 (6)按用戶定義、非用戶授權劃分?；谟脩舳x、非用戶授權來劃分 VLAN，是指為了適應特別的 VLAN網絡，特別的網絡用戶的特別要求來定義和設計 VLAN，而且可以讓非 VLAN群體用戶訪問 VLAN，但是需要提供用戶密碼，得到 VLAN管理的認證后才可以加入一個 VLAN。 端口聚合技術 端口聚合它可將多物理連接當作一個單一的邏輯連接來處理，它允許兩個交換器之間通過多個端口并行連接同時傳輸數(shù)據以提供更高的帶寬、更大的吞吐量和可恢復性的技術。這一技術的優(yōu)點是以較低的成本通過捆綁多端口提高帶寬，而其增加的開銷只是連接用的普通五類網線和多占用的端口，它可以有效地提高子網的上行速度，從而消除網絡訪問中的瓶頸。另外 Trunk還具有自動帶寬平衡， 第 13 頁共 25 頁 即容錯功能：即使 Trunk只有一個連接存在時，仍然會工作，這無形中增加了系統(tǒng)的可靠性。 VTP技術 VTP協(xié)議是在交換機之間交換 VLAN信息并使 VLAN保持一致的協(xié)議。只運行于中繼線上。中繼線指 trunk技術，實質就是允許多個 VLAN的信息通過同一個物理連接。 Trunking技術的實現(xiàn)過程通常是依靠標記完成。所有通過中繼傳輸?shù)膸紝⒂?VLAN ID進行標記（即所有的幀將在修改后發(fā)出）。當其它交換機收到中繼線傳來的幀時，將讀取標記，得知幀是屬于哪個 VLAN的，并將其發(fā)往在本機上相同的 VLAN之中。對于廣播，交換機可以將其保留在適當?shù)?VLAN之中。 Trunk的封裝類型有： ISL、 （也稱作 dot1q）、 、 絡類型，如以太網、 FDDI、令牌環(huán)網、 ATM網絡鏈路。 VTP存在版本問題，分為：版本 1（默認狀態(tài)）和版本 行相同版本的 VTP. VTP 工作模式： (1) VTP 服務器模式 （默認狀態(tài)） 處于服務器模式的交換機在所有的中繼端口向外發(fā)送更新數(shù)據，并且接收和處理從它的中繼端口接收到的 VTP更新數(shù)據?？梢栽谧约旱?CLI上配置 VLAN. (2) VTP 客戶機模式 處于 VTP 客戶機模式的交換機在所有的中繼端口向外發(fā)送更新數(shù)據，并且讀取和獲得從它的中繼端口接收到的 VTP更新數(shù)據。但不可以在自己的 CIL上配置 VLAN. (3) VTP 透明模式 處于 VTP透明模式的交換機無法處理從它的中繼端口接收到的 VTP 更新數(shù)據。但能將從一個交換機收到的更新信息轉發(fā)到管理域。 可以在本地配置 VLAN VTP可以分為不同的管理域，兩個 VTP VTP2管理域的在交換機處于透明模式時，不交換 VTP更新信息。 STP技術 生成樹協(xié)議最主要的應用是為了避免局域網中的網絡環(huán)回，解決成環(huán)以 太網網絡的 “ 廣播風暴 ” 問題，從某種意義上說是一種網絡保護技術，可以消除由于失誤或者意外帶來的循環(huán)連接。 STP也提供了為網絡提供備份連接的可能，可與SDH保護配合構成以太環(huán)網的雙重保護。 OSPF路由協(xié)議 OSPF 是典型的鏈路狀態(tài)型 路由協(xié)議 。它使用 COST（開銷）作為度量，根據拓撲表通過 SPF算法獲得以自己為根的到