【文章內(nèi)容簡(jiǎn)介】 控制； 并采用 VLAN等技術(shù)進(jìn)一步控制內(nèi)部網(wǎng)絡(luò)安全， 采用身份驗(yàn)證控制撥號(hào)用戶的安全性， 采用雙機(jī)備份 和 冗余連接、網(wǎng)卡容錯(cuò)、數(shù)據(jù)庫(kù)容錯(cuò)、定期備份等實(shí)現(xiàn)安全可靠性。 第四章 校園網(wǎng)絡(luò)方案描述 8 第四章 校園網(wǎng)絡(luò)方案描述 為 校園網(wǎng)設(shè)計(jì)合理的拓?fù)鋱D，選擇合適的設(shè)備，并規(guī)劃局域網(wǎng) IP。 設(shè)備選 型 1． 核心 層 交換 機(jī) ： 核心層 提供一個(gè)高速數(shù)據(jù)包轉(zhuǎn)發(fā)通道 ， 使得分布層交換機(jī)進(jìn)行高速的數(shù)據(jù)交換 。 采用 CISCO 6509 為 核心交換機(jī) 。 如圖 4－ 1所示： 圖 4－ 1 CISCO 6509交換機(jī) CISCO 6509交換機(jī) 的基本參數(shù)如表 4－ 1所示： 9 表 4－ 1 CISCO 6509交換機(jī)的基本參數(shù) 2． 分布層 交換機(jī)（又稱匯聚層） ： 匯聚層負(fù)責(zé)網(wǎng)段的邏輯分割，聚合路由路徑，收斂數(shù)據(jù)流量。 考慮到各信息樓（圖書館、學(xué)生宿舍區(qū)等）信息量較大， 對(duì)交換速度要求較高，故各信息 樓接入選用交換速率較高、價(jià)格性能比較好的 CISCO 3560 交換機(jī) 。 如圖 4－ 2所示： 圖 4－ 2 CISCO 3650 交換機(jī) CISCO 3650 交換機(jī) 的基本參數(shù)如表 4－ 2所示： 第四章 校園網(wǎng)絡(luò)方案描述 10 表 4－ 2 CISCO 3650 交換機(jī)的基本參數(shù) 3. 接入層 交換機(jī) ： 接入層將流量饋入網(wǎng)絡(luò)，執(zhí)行網(wǎng)絡(luò)訪問控制。 選用 CISCO 2950交換機(jī) ，使桌面接入的速度大大提高 。 如圖 4－ 3所示： 圖 4－ 3 CISCO 2950交換機(jī) CISCO 2950交換機(jī)的基本參數(shù)如表 4－ 3所示： 表 4－ 3 CISCO 2950交換機(jī)的基本參數(shù) 11 4. 路由器 廣域網(wǎng)接入模塊采用的是 Cisco 2851 路由器。其作用主要是在 Inter和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成主要的路由任務(wù)外，利用訪問控制列表（ Access Control List，ACL），廣域網(wǎng)接入路由器還可以用來完成以自身為中心的流量控制和過濾功能并實(shí)現(xiàn)一定的安全功能 。 如圖 4－ 4所示： 圖 4－ 4 Cisco 2851路由器 Cisco 2851 路由器 的基本參數(shù)如表 4－ 4所示： 表 4－ 4 Cisco 2851路 由器 的基本參數(shù) 選用的所有設(shè)備都是可網(wǎng)管的 ,而且提供了 CISCO CWSI的網(wǎng)管軟件 ,可提供全方位對(duì)整個(gè)校園網(wǎng)的 Cisco 設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控和管理。 第四章 校園網(wǎng)絡(luò)方案描述 12 網(wǎng)絡(luò)系統(tǒng)拓?fù)鋱D 如圖 4－ 5 所示： 圖 4－ 5 網(wǎng)絡(luò) 系統(tǒng)拓?fù)鋱D VLAN 及 IP 地址規(guī)劃 如表 4－ 5 所示： VLAN 號(hào) VLAN 名稱 IP 網(wǎng)段 默認(rèn)網(wǎng)關(guān) 說明 VLAN1 － VLAN10 JWC VLAN20 XSSS VLAN30 CWC VLAN40 JGSS VLAN50 JZX VLAN60 GLX VLAN70 JSJX VLAN100 FW 表 4－ 5 VLAN及 IP地址 規(guī)劃 13 第五章 校園網(wǎng)絡(luò)整體解決方案 完成校園 網(wǎng)絡(luò)的交換模塊、廣域網(wǎng)接入模塊、服務(wù)器模塊和遠(yuǎn)程訪問 模塊 的 配置。 交換模塊設(shè)計(jì) 校網(wǎng) 網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個(gè)層次：訪問層、分布層、核心層。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在 OSI模型的第 2層 。 現(xiàn)代交換技術(shù)還實(shí)現(xiàn)了第 3層交換和多層交換。高層交換技術(shù)的 引入不但提高了 校園網(wǎng) 數(shù)據(jù)交換的效率， 更大大增強(qiáng)了 校園網(wǎng) 數(shù)據(jù)交換 服 務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。 本 網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（ Virtual LAN， VLAN）的概念。 VLAN將廣播域限制在單個(gè) VLAN內(nèi)部，減小了各 VLAN間主機(jī)的廣播通信對(duì)其他 VLAN 的影響。在 VLAN 間需要通信的時(shí)候，可以利用 VLAN 間路由技術(shù)來實(shí)現(xiàn)。 當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時(shí)，可以使用 VLAN 中繼協(xié)議（ Vlan Trunking Protocol， VTP）簡(jiǎn)化管理，它只需在單獨(dú)一臺(tái)交換機(jī)上定義 所有 VLAN。然后通過 VTP協(xié)議將 VLAN定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。 當(dāng) 校園網(wǎng) 絡(luò)的交換機(jī)數(shù)量增多、交換機(jī)間鏈路增加時(shí)，交換網(wǎng)絡(luò)的復(fù)雜性可能會(huì)造成交換環(huán)路問題，這需要通過在各交換機(jī)上運(yùn)行生成樹協(xié)議（ SpanningTree Protocol， STP）來解決。 配置訪問層交換機(jī) 訪問層為所有的終端用戶提供一個(gè)接入點(diǎn)。這里的訪問層交換機(jī)采用的是 Cisco 2950交換機(jī) 。 該交換機(jī)擁有 24個(gè) 10/100Mbps自適應(yīng)快速以太網(wǎng)端口，運(yùn)行的是 Cisco 的 IOS 操作系統(tǒng)。 1． 設(shè) 置訪問層交換機(jī) AccessSwitch1 的基本參數(shù) ： 設(shè)置交換機(jī)名稱，也就是出現(xiàn)在交換機(jī) CLI提示符中的名字。一般以地理位置或行政劃分來為交換機(jī)命名。當(dāng)需要 Tel 登錄到若干臺(tái)交換機(jī)以維護(hù)一個(gè)大型網(wǎng)絡(luò)時(shí)，通過交換機(jī)名稱提示符提示自己當(dāng)前配置交換機(jī)的位置是很有必要的。 設(shè)置交換機(jī)的加密使能口令 ， 當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時(shí)，需要提供此口令。此口令會(huì)以 MD5的形式加密，因此，當(dāng)用戶查看配置文件時(shí)，無(wú)法看到明第五章 校園網(wǎng)絡(luò)整體解決方案 14 文形式的口令。 設(shè)置登錄虛擬終端線時(shí)的 口令 以及 終端線超時(shí)時(shí)間 。 對(duì)于一個(gè)已經(jīng)運(yùn)行著的交換網(wǎng)絡(luò)來說，交換機(jī)的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理人員提供了很多的方便。但是，出于安全考慮，在能夠遠(yuǎn)程管理交換機(jī)之前網(wǎng)絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機(jī)的口令。為了安全考慮，可以設(shè)置終端線超時(shí)時(shí)間。在設(shè)置的時(shí)間內(nèi)，如果沒有檢測(cè)到鍵盤輸入， 設(shè)備 操作系統(tǒng) 將斷開用戶和交換機(jī)之間的連接。 設(shè)置禁用 IP 地址解析特性 在交換機(jī)默認(rèn)配置的情況下，當(dāng)輸入一條錯(cuò)誤的交換機(jī)命令時(shí)，交換機(jī)會(huì)嘗試將其廣播給網(wǎng)絡(luò)上的 DNS 服務(wù)器并將其解析成對(duì)應(yīng)的 IP 地址。利用命令 no ip domainlookup。可以禁用這個(gè)特性。 基本參數(shù) 的配置如圖 5－ 1所示： 圖 5－ 1 設(shè) 置 基本參數(shù) 2． 配置訪問層交換機(jī) AccessSwitch1 的管理 IP、默認(rèn)網(wǎng)關(guān) ： 訪問層交換機(jī)是 OSI 參考模型的第 2 層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備。因此，給訪問層交換機(jī)的每個(gè)端口設(shè)置 IP 地址是沒意義的。但是，為了使網(wǎng)絡(luò)管理人員可以從遠(yuǎn)程登錄到訪問層交換機(jī)上進(jìn)行管理，必須給訪問層交換機(jī)設(shè)置一個(gè)管理用 IP 地址。這種情況下，實(shí)際上是將交換機(jī)看成和 PC 機(jī)一樣的主機(jī)。 給交換機(jī)設(shè)置管理用 的 IP 地址只能在 VLAN1，即本征 VLAN中進(jìn)行 。 管理 VLAN所在的子網(wǎng)是 ： ， 這里將訪問層交換機(jī) AccessSwitch1的管理 IP地址設(shè)為：。 為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī)，還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān)地址。 15 如圖 5－ 2所示： 圖 5－ 2 配置 管理 IP、默認(rèn)網(wǎng)關(guān) 3． 配置訪問層交換機(jī) AccessSwitch1 的 VTP 從提高效率的角度出發(fā)，在本校園網(wǎng)實(shí)現(xiàn)中使用了 VTP 技術(shù)。同時(shí)，將分布層交換機(jī) DistributeSwitch1 設(shè)置成為 VTP 服務(wù)器，其他交換機(jī)設(shè)置成為 VTP 客戶機(jī)。這里訪問層交換機(jī) AccessSwitch1 將通過 VTP獲得在分布層交換機(jī) DistributeSwitch1 中定義的所有 VLAN 的信息。 如圖 5－ 3所示： 圖 5－ 3 配置訪問層交換機(jī) AccessSwitch1 的 VTP 4． 配置訪問層交換機(jī) AccessSwitch1 端口基本參數(shù) 端口雙工配置 ： 可以設(shè)定端口根據(jù)對(duì)端設(shè)備雙工類型自動(dòng)調(diào)整本端口雙工模式，也可以強(qiáng)制將端口雙工模式設(shè)為半雙工或全雙工模式 。 設(shè)置訪問層交換機(jī) AccessSwitch1的所有端口均工作在全雙工模式。 如圖 5－ 4所示： 圖 5－ 4 端口雙工配置 端口速度 設(shè)置 ： 可以設(shè)定端口根據(jù)對(duì)端設(shè)備速度自動(dòng)調(diào)整本端口速度，也可以強(qiáng)制將端口速度設(shè)為10Mpbs 或 100Mbps。 設(shè)置訪問層交換機(jī) AccessSwitch1的所有端口的速度均為 100Mbps。 如圖 5－ 5所示： 圖 5－ 5 端口 速度設(shè) 置 第五章 校園網(wǎng)絡(luò)整體解決方案 16 5． 配置訪問層交換機(jī) AccessSwitch1 的訪問端口 訪問層交換機(jī) AccessSwitch1 為 VLAN VLAN20 提供接入服務(wù)。設(shè)置訪問層交換機(jī) AccessSwitch1 的端口 1～ 20 工作在訪問（接入）模式。同時(shí)，設(shè)置端口 1～ 10 為 VLAN 10 的成員 ， 端 口 11～ 20 為 VLAN 20 的成員。 如圖 5－ 6所示： 圖 5－ 6 設(shè) 置訪問層交換機(jī) AccessSwitch1 的端口 1～ 20 設(shè)置快速端口 ： 默認(rèn)情況下，交換機(jī)在剛加電啟動(dòng)時(shí)，每個(gè)端口都要經(jīng)歷生成樹的四個(gè)階段：阻塞、偵聽、學(xué)習(xí)、轉(zhuǎn)發(fā)。 對(duì)于直接接入終端工作站的端口來說，用于阻塞和偵聽的時(shí)間是不必要的。為了加速交換機(jī)端口狀態(tài)轉(zhuǎn)化時(shí)間 ， 可以設(shè)置將某端口設(shè)置成為快速端口（ Portfast）。設(shè)置為快速端口的端口當(dāng)交換機(jī)啟動(dòng)或端口有工作站接入時(shí)，將會(huì)直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，而不會(huì)經(jīng)歷阻塞、偵聽、學(xué)習(xí)狀態(tài)（假設(shè)橋接表已經(jīng)建立）。 設(shè)置訪問層交換機(jī) AccessSwitch1 的端口 1～ 20 為快速端口。 如圖 5－ 7所示： 圖 5－ 7 設(shè)置快速端口 6． 配置訪問層交換機(jī) AccessSwitch1 的主干道端口 訪問層交換機(jī) AccessSwitch1 通過端口 FastEther 0/23 上連到分布層交換機(jī) DistributeSwitch1 的端口 FastEther 0/23。同時(shí)，通過端口 FastEther 0/24上連到分布層交換機(jī) DistributeSwitch2 的端口 FastEther 0/23。 這兩條上連鏈路將成為主干道鏈路 ， 在這兩條上連鏈路上將運(yùn)輸多個(gè) VLAN 的數(shù)據(jù)。 設(shè)置訪問層交換機(jī) AccessSwitch1 的端口 FastEther 0/2 FastEther 0/24 為主干道端口。 如圖 5－ 8所示： 圖 5－ 8 配置訪問層交換機(jī) AccessSwitch1 的主干道端口 17 7． 配置訪問層交換機(jī) AccessSwitch2 訪問層交換機(jī) AccessSwitch2 為 VLAN 30 和 VLAN 40 的用戶提供接入服務(wù)。同時(shí)，分別通過自己的 FastEther 0/23 、 FastEther 0/24 上連 到分 布層 交換機(jī) DistributeSwitch DistributeSwitch2 的端 口 FastEther 0/24。 對(duì)訪問層交換機(jī) AccessSwitch2的配置步驟 、 命令和訪問層交換機(jī) AccessSwitch1 的配置類似。 配置分布層交換機(jī) 分布層除了負(fù)責(zé)將訪問層交換機(jī)進(jìn) 行匯集外，還為整個(gè)交換網(wǎng)絡(luò)提供 VLAN 間的路由選擇功能。 這里的分布層交換機(jī)采用的是 Cisco Catalyst 3560 交換機(jī)。作為 2 層交換機(jī)，Cisco Catalyst 3560 交換機(jī)擁有 48 個(gè) 10/100Mbps 自適應(yīng)快速以太網(wǎng)端口，同時(shí)還有 2 個(gè) 1000Mbps 端口供上連使用。 1． 配置分布層交換機(jī) DistributeSwitch1 的基本參數(shù) 對(duì)分布層交換機(jī) DistributeSwitc