【文章內(nèi)容簡(jiǎn)介】 控制； 并采用 VLAN等技術(shù)進(jìn)一步控制內(nèi)部網(wǎng)絡(luò)安全， 采用身份驗(yàn)證控制撥號(hào)用戶的安全性， 采用雙機(jī)備份 和 冗余連接、網(wǎng)卡容錯(cuò)、數(shù)據(jù)庫(kù)容錯(cuò)、定期備份等實(shí)現(xiàn)安全可靠性。 第四章 校園網(wǎng)絡(luò)方案描述 8 第四章 校園網(wǎng)絡(luò)方案描述 為 校園網(wǎng)設(shè)計(jì)合理的拓?fù)鋱D，選擇合適的設(shè)備，并規(guī)劃局域網(wǎng) IP。 設(shè)備選 型 1． 核心 層 交換 機(jī) ： 核心層 提供一個(gè)高速數(shù)據(jù)包轉(zhuǎn)發(fā)通道 ， 使得分布層交換機(jī)進(jìn)行高速的數(shù)據(jù)交換 。 采用 CISCO 6509 為 核心交換機(jī) 。 如圖 4－ 1所示： 圖 4－ 1 CISCO 6509交換機(jī) CISCO 6509交換機(jī) 的基本參數(shù)如表 4－ 1所示： 9 表 4－ 1 CISCO 6509交換機(jī)的基本參數(shù) 2． 分布層 交換機(jī)（又稱匯聚層） ： 匯聚層負(fù)責(zé)網(wǎng)段的邏輯分割，聚合路由路徑，收斂數(shù)據(jù)流量。 考慮到各信息樓（圖書館、學(xué)生宿舍區(qū)等）信息量較大， 對(duì)交換速度要求較高，故各信息 樓接入選用交換速率較高、價(jià)格性能比較好的 CISCO 3560 交換機(jī) 。 如圖 4－ 2所示： 圖 4－ 2 CISCO 3650 交換機(jī) CISCO 3650 交換機(jī) 的基本參數(shù)如表 4－ 2所示： 第四章 校園網(wǎng)絡(luò)方案描述 10 表 4－ 2 CISCO 3650 交換機(jī)的基本參數(shù) 3. 接入層 交換機(jī) ： 接入層將流量饋入網(wǎng)絡(luò)，執(zhí)行網(wǎng)絡(luò)訪問(wèn)控制。 選用 CISCO 2950交換機(jī) ，使桌面接入的速度大大提高 。 如圖 4－ 3所示： 圖 4－ 3 CISCO 2950交換機(jī) CISCO 2950交換機(jī)的基本參數(shù)如表 4－ 3所示： 表 4－ 3 CISCO 2950交換機(jī)的基本參數(shù) 11 4. 路由器 廣域網(wǎng)接入模塊采用的是 Cisco 2851 路由器。其作用主要是在 Inter和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務(wù)外，利用訪問(wèn)控制列表（ Access Control List，ACL），廣域網(wǎng)接入路由器還可以用來(lái)完成以自身為中心的流量控制和過(guò)濾功能并實(shí)現(xiàn)一定的安全功能 。 如圖 4－ 4所示： 圖 4－ 4 Cisco 2851路由器 Cisco 2851 路由器 的基本參數(shù)如表 4－ 4所示： 表 4－ 4 Cisco 2851路 由器 的基本參數(shù) 選用的所有設(shè)備都是可網(wǎng)管的 ,而且提供了 CISCO CWSI的網(wǎng)管軟件 ,可提供全方位對(duì)整個(gè)校園網(wǎng)的 Cisco 設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控和管理。 第四章 校園網(wǎng)絡(luò)方案描述 12 網(wǎng)絡(luò)系統(tǒng)拓?fù)鋱D 如圖 4－ 5 所示： 圖 4－ 5 網(wǎng)絡(luò) 系統(tǒng)拓?fù)鋱D VLAN 及 IP 地址規(guī)劃 如表 4－ 5 所示： VLAN 號(hào) VLAN 名稱 IP 網(wǎng)段 默認(rèn)網(wǎng)關(guān) 說(shuō)明 VLAN1 － VLAN10 JWC VLAN20 XSSS VLAN30 CWC VLAN40 JGSS VLAN50 JZX VLAN60 GLX VLAN70 JSJX VLAN100 FW 表 4－ 5 VLAN及 IP地址 規(guī)劃 13 第五章 校園網(wǎng)絡(luò)整體解決方案 完成校園 網(wǎng)絡(luò)的交換模塊、廣域網(wǎng)接入模塊、服務(wù)器模塊和遠(yuǎn)程訪問(wèn) 模塊 的 配置。 交換模塊設(shè)計(jì) 校網(wǎng) 網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個(gè)層次：訪問(wèn)層、分布層、核心層。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在 OSI模型的第 2層 。 現(xiàn)代交換技術(shù)還實(shí)現(xiàn)了第 3層交換和多層交換。高層交換技術(shù)的 引入不但提高了 校園網(wǎng) 數(shù)據(jù)交換的效率， 更大大增強(qiáng)了 校園網(wǎng) 數(shù)據(jù)交換 服 務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。 本 網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（ Virtual LAN， VLAN）的概念。 VLAN將廣播域限制在單個(gè) VLAN內(nèi)部，減小了各 VLAN間主機(jī)的廣播通信對(duì)其他 VLAN 的影響。在 VLAN 間需要通信的時(shí)候，可以利用 VLAN 間路由技術(shù)來(lái)實(shí)現(xiàn)。 當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時(shí)，可以使用 VLAN 中繼協(xié)議（ Vlan Trunking Protocol， VTP）簡(jiǎn)化管理，它只需在單獨(dú)一臺(tái)交換機(jī)上定義 所有 VLAN。然后通過(guò) VTP協(xié)議將 VLAN定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。 當(dāng) 校園網(wǎng) 絡(luò)的交換機(jī)數(shù)量增多、交換機(jī)間鏈路增加時(shí)，交換網(wǎng)絡(luò)的復(fù)雜性可能會(huì)造成交換環(huán)路問(wèn)題，這需要通過(guò)在各交換機(jī)上運(yùn)行生成樹協(xié)議（ SpanningTree Protocol， STP）來(lái)解決。 配置訪問(wèn)層交換機(jī) 訪問(wèn)層為所有的終端用戶提供一個(gè)接入點(diǎn)。這里的訪問(wèn)層交換機(jī)采用的是 Cisco 2950交換機(jī) 。 該交換機(jī)擁有 24個(gè) 10/100Mbps自適應(yīng)快速以太網(wǎng)端口，運(yùn)行的是 Cisco 的 IOS 操作系統(tǒng)。 1． 設(shè) 置訪問(wèn)層交換機(jī) AccessSwitch1 的基本參數(shù) ： 設(shè)置交換機(jī)名稱，也就是出現(xiàn)在交換機(jī) CLI提示符中的名字。一般以地理位置或行政劃分來(lái)為交換機(jī)命名。當(dāng)需要 Tel 登錄到若干臺(tái)交換機(jī)以維護(hù)一個(gè)大型網(wǎng)絡(luò)時(shí)，通過(guò)交換機(jī)名稱提示符提示自己當(dāng)前配置交換機(jī)的位置是很有必要的。 設(shè)置交換機(jī)的加密使能口令 ， 當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時(shí)，需要提供此口令。此口令會(huì)以 MD5的形式加密，因此，當(dāng)用戶查看配置文件時(shí)，無(wú)法看到明第五章 校園網(wǎng)絡(luò)整體解決方案 14 文形式的口令。 設(shè)置登錄虛擬終端線時(shí)的 口令 以及 終端線超時(shí)時(shí)間 。 對(duì)于一個(gè)已經(jīng)運(yùn)行著的交換網(wǎng)絡(luò)來(lái)說(shuō)，交換機(jī)的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理人員提供了很多的方便。但是，出于安全考慮，在能夠遠(yuǎn)程管理交換機(jī)之前網(wǎng)絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機(jī)的口令。為了安全考慮，可以設(shè)置終端線超時(shí)時(shí)間。在設(shè)置的時(shí)間內(nèi)，如果沒有檢測(cè)到鍵盤輸入， 設(shè)備 操作系統(tǒng) 將斷開用戶和交換機(jī)之間的連接。 設(shè)置禁用 IP 地址解析特性 在交換機(jī)默認(rèn)配置的情況下，當(dāng)輸入一條錯(cuò)誤的交換機(jī)命令時(shí)，交換機(jī)會(huì)嘗試將其廣播給網(wǎng)絡(luò)上的 DNS 服務(wù)器并將其解析成對(duì)應(yīng)的 IP 地址。利用命令 no ip domainlookup。可以禁用這個(gè)特性。 基本參數(shù) 的配置如圖 5－ 1所示： 圖 5－ 1 設(shè) 置 基本參數(shù) 2． 配置訪問(wèn)層交換機(jī) AccessSwitch1 的管理 IP、默認(rèn)網(wǎng)關(guān) ： 訪問(wèn)層交換機(jī)是 OSI 參考模型的第 2 層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備。因此，給訪問(wèn)層交換機(jī)的每個(gè)端口設(shè)置 IP 地址是沒意義的。但是，為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到訪問(wèn)層交換機(jī)上進(jìn)行管理，必須給訪問(wèn)層交換機(jī)設(shè)置一個(gè)管理用 IP 地址。這種情況下，實(shí)際上是將交換機(jī)看成和 PC 機(jī)一樣的主機(jī)。 給交換機(jī)設(shè)置管理用 的 IP 地址只能在 VLAN1，即本征 VLAN中進(jìn)行 。 管理 VLAN所在的子網(wǎng)是 ： ， 這里將訪問(wèn)層交換機(jī) AccessSwitch1的管理 IP地址設(shè)為：。 為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī)，還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān)地址。 15 如圖 5－ 2所示： 圖 5－ 2 配置 管理 IP、默認(rèn)網(wǎng)關(guān) 3． 配置訪問(wèn)層交換機(jī) AccessSwitch1 的 VTP 從提高效率的角度出發(fā)，在本校園網(wǎng)實(shí)現(xiàn)中使用了 VTP 技術(shù)。同時(shí)，將分布層交換機(jī) DistributeSwitch1 設(shè)置成為 VTP 服務(wù)器，其他交換機(jī)設(shè)置成為 VTP 客戶機(jī)。這里訪問(wèn)層交換機(jī) AccessSwitch1 將通過(guò) VTP獲得在分布層交換機(jī) DistributeSwitch1 中定義的所有 VLAN 的信息。 如圖 5－ 3所示： 圖 5－ 3 配置訪問(wèn)層交換機(jī) AccessSwitch1 的 VTP 4． 配置訪問(wèn)層交換機(jī) AccessSwitch1 端口基本參數(shù) 端口雙工配置 ： 可以設(shè)定端口根據(jù)對(duì)端設(shè)備雙工類型自動(dòng)調(diào)整本端口雙工模式，也可以強(qiáng)制將端口雙工模式設(shè)為半雙工或全雙工模式 。 設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1的所有端口均工作在全雙工模式。 如圖 5－ 4所示： 圖 5－ 4 端口雙工配置 端口速度 設(shè)置 ： 可以設(shè)定端口根據(jù)對(duì)端設(shè)備速度自動(dòng)調(diào)整本端口速度，也可以強(qiáng)制將端口速度設(shè)為10Mpbs 或 100Mbps。 設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1的所有端口的速度均為 100Mbps。 如圖 5－ 5所示： 圖 5－ 5 端口 速度設(shè) 置 第五章 校園網(wǎng)絡(luò)整體解決方案 16 5． 配置訪問(wèn)層交換機(jī) AccessSwitch1 的訪問(wèn)端口 訪問(wèn)層交換機(jī) AccessSwitch1 為 VLAN VLAN20 提供接入服務(wù)。設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1 的端口 1～ 20 工作在訪問(wèn)（接入）模式。同時(shí)，設(shè)置端口 1～ 10 為 VLAN 10 的成員 ， 端 口 11～ 20 為 VLAN 20 的成員。 如圖 5－ 6所示： 圖 5－ 6 設(shè) 置訪問(wèn)層交換機(jī) AccessSwitch1 的端口 1～ 20 設(shè)置快速端口 ： 默認(rèn)情況下，交換機(jī)在剛加電啟動(dòng)時(shí)，每個(gè)端口都要經(jīng)歷生成樹的四個(gè)階段：阻塞、偵聽、學(xué)習(xí)、轉(zhuǎn)發(fā)。 對(duì)于直接接入終端工作站的端口來(lái)說(shuō)，用于阻塞和偵聽的時(shí)間是不必要的。為了加速交換機(jī)端口狀態(tài)轉(zhuǎn)化時(shí)間 ， 可以設(shè)置將某端口設(shè)置成為快速端口（ Portfast）。設(shè)置為快速端口的端口當(dāng)交換機(jī)啟動(dòng)或端口有工作站接入時(shí)，將會(huì)直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，而不會(huì)經(jīng)歷阻塞、偵聽、學(xué)習(xí)狀態(tài)（假設(shè)橋接表已經(jīng)建立）。 設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1 的端口 1～ 20 為快速端口。 如圖 5－ 7所示： 圖 5－ 7 設(shè)置快速端口 6． 配置訪問(wèn)層交換機(jī) AccessSwitch1 的主干道端口 訪問(wèn)層交換機(jī) AccessSwitch1 通過(guò)端口 FastEther 0/23 上連到分布層交換機(jī) DistributeSwitch1 的端口 FastEther 0/23。同時(shí)，通過(guò)端口 FastEther 0/24上連到分布層交換機(jī) DistributeSwitch2 的端口 FastEther 0/23。 這兩條上連鏈路將成為主干道鏈路 ， 在這兩條上連鏈路上將運(yùn)輸多個(gè) VLAN 的數(shù)據(jù)。 設(shè)置訪問(wèn)層交換機(jī) AccessSwitch1 的端口 FastEther 0/2 FastEther 0/24 為主干道端口。 如圖 5－ 8所示： 圖 5－ 8 配置訪問(wèn)層交換機(jī) AccessSwitch1 的主干道端口 17 7． 配置訪問(wèn)層交換機(jī) AccessSwitch2 訪問(wèn)層交換機(jī) AccessSwitch2 為 VLAN 30 和 VLAN 40 的用戶提供接入服務(wù)。同時(shí)，分別通過(guò)自己的 FastEther 0/23 、 FastEther 0/24 上連 到分 布層 交換機(jī) DistributeSwitch DistributeSwitch2 的端 口 FastEther 0/24。 對(duì)訪問(wèn)層交換機(jī) AccessSwitch2的配置步驟 、 命令和訪問(wèn)層交換機(jī) AccessSwitch1 的配置類似。 配置分布層交換機(jī) 分布層除了負(fù)責(zé)將訪問(wèn)層交換機(jī)進(jìn) 行匯集外，還為整個(gè)交換網(wǎng)絡(luò)提供 VLAN 間的路由選擇功能。 這里的分布層交換機(jī)采用的是 Cisco Catalyst 3560 交換機(jī)。作為 2 層交換機(jī)，Cisco Catalyst 3560 交換機(jī)擁有 48 個(gè) 10/100Mbps 自適應(yīng)快速以太網(wǎng)端口，同時(shí)還有 2 個(gè) 1000Mbps 端口供上連使用。 1． 配置分布層交換機(jī) DistributeSwitch1 的基本參數(shù) 對(duì)分布層交換機(jī) DistributeSwitc