【正文】 這是極其危險的，因此必須加以屏蔽。 如圖 349 所示，顯示了如何設置對外屏蔽簡單網(wǎng)管協(xié)議 SNMP。在絕大多數(shù)網(wǎng)絡環(huán)境的實現(xiàn)中它們都是應該對外加以屏蔽的。一個設計良好的訪問控制列表不僅可以起到控制 網(wǎng)絡流量 、流向的作用，還可以在不增加 網(wǎng)絡系統(tǒng)軟 、硬件投資的情況下完成一般軟、 硬件防火墻 產(chǎn)品的功能。 圖 346 定義 NAT 內(nèi)部、外部接口 （ 2) 定義允許進行 NAT 的內(nèi)部局部 IP 地址范圍 圖 347 顯示 了 如何定義允許進行 NAT 的內(nèi)部局部 IP 地址范圍 。 為了接入 Inter， 假設 本校園網(wǎng)向 ISP 申請了 9 個 IP 地址。其中，下一跳指定從本路由器的接口 serial 0/0/0 送出。 圖 342 配置接入路由器 InterRouter 的基本參數(shù) 2． 配置接入路由器 InterRouter 的各接口參數(shù) 對接入路由器 InterRouter 的各接口參數(shù)的配置主要是對接口FastEther 0/0 以及接口 Serial 0/0/0 的 IP 地址、子網(wǎng)掩碼 的配置。它的作用主要是在Inter 和 校園網(wǎng) 內(nèi)網(wǎng)間路由數(shù)據(jù)包。 圖 336 定義到 Inter 的缺省路由如圖所示。因此，需要啟用核心層交換機的路由功能。 圖 334 設置核心層交換機 CoreSwitch 成為 VTP 客戶機 4．配置核心層交換機 CoreSwitch 的端口參數(shù) 核心層交換機 CoreSwitch 通過自己的端口 F0/24 同廣域網(wǎng)接入模塊（ Inter 路由器）相連。同時，還設置了默認網(wǎng)關(guān)的地址。 我們以圖 31 中的核心層交換機 CoreSwitch 為例進行介紹。 28 對 分 布 層 交換 機 DistributeSwitch2 的 配置 步 驟 、命 令 和 對分 布 層 交換 機DistributeSwitch1 的配置類似。其中，下一跳地址是 Inter 接入路由器的快速以太網(wǎng)接口 FastEther 0/0 的 IP 地址 。如圖 3222 所示。 此外，分布層交換機 DistributeSwitch1 還通過自己的千兆端口GigabitEther 0/1 上連到核心交換機 CoreSwitch1 的 GigabitEther G0/1。 26 圖 3219 設置分布層交換機 DistributeSwitch1 成為 VTP 服務器 4．在分布層交換機 DistributeSwitch1 上定義 VLAN 在本校園網(wǎng)實現(xiàn)實例中，除了默認的本 地 VLAN 外，又定義了 15 個 VLAN，如表 11 所示。 如圖 3218 所示，將 VTP 管理域的域名定義為 campus。同時，將分布層交換機DistributeSwitch1 設置成為 VTP 服務器，其他 交換機設置 成為 VTP 客戶機。然后，利用交換機之間的互相學習功能，將創(chuàng)建好的 VLAN 定義傳播到整個網(wǎng)絡中需要此 VLAN 定義的所有交換機上。 圖 3217 分布層交換機 DistributeSwitch1 的管理 IP、默認網(wǎng)關(guān) 2．配置分布層交換機 DistributeSwitch1 的 VTP 當網(wǎng)絡中交換機數(shù)量很多時，需要分別在每臺交換機上創(chuàng)建很多重復的VLAN。如圖 3215 所示： 圖 3215 分布層交換機 DistributeSwitch1 1． 配置分布層交換機 DistributeSwitch1 的基本參數(shù) 對分布層 交換機 DistributeSwitch1 的基本參數(shù)的配置步驟與對訪問層交換機 XingZhengLou 的基本參數(shù)的配置類似。 分布層交換服務的實現(xiàn)－ 配置 分布層交換機 分布層除了負責將訪問層交換機進行匯集外，還為整個交換網(wǎng)絡提供 VLAN間的路由選擇功能。 圖 3214 設置主干道端口 7．配置 其它 訪問層交換機 其它 訪問層交換機 分別為剩余 VLAN 的用戶提供接入服務。 圖 3213 設置快速端口 6．配置訪問層交換機 XingZhengLou 的主干道端口 如圖所示，訪問層交換機 XingZhengLou 通過端口 FastEther 0/23 上連 24 到分布層交換機 DistributeSwitch1 的端口 FastEther 0/20。 對于直接接入 終端工作站 的端口來說，用于阻塞和偵聽的時間是不必要的。 圖 3211 設置訪問層交換機 XingZhengLou 的端口速度 5．配置訪問層交換機 XingZhengLou 的訪問端口 訪問層交換機 XingZhengLou 為 終端用戶 提供接入服務。 如圖 3210 所示，設置訪問層交換機 XingZhengLou 的所有端口均工作在全雙工模式。 這里訪問層交換機 XingZhengLou 將通過 VTP 獲得在分布層交換機DistributeSwitch1 中定義的所有 VLAN 的信息。 圖 327 設置訪問層交換機 XingZhengLou 的 管理 IP 為了使網(wǎng)絡管理人員可以在不同的子 網(wǎng)管 理此交換機，還應設置默認網(wǎng)關(guān)地址 。但是，為了使網(wǎng)絡管理人員可以從遠程登錄到訪問層交換機上進行管理，必要給訪問層交換機設置一個管理用 IP 地址。利用命令no ip domainlookup。 如圖 324 所示，設置登錄交換機時需要驗證用戶身份，同時設置口令為user 圖 324 為訪問層交換機 XingZhengLou 命名 （ 4）設置終端線超時時間 為了安全考慮，可以 設置終端線超時時間。 21 圖 322 為訪問層交換機 XingZhengLou 命名 （ 2）設置交換機的加密使能口令 當用戶在普通用戶模式而想要進入特權(quán)用戶模式時，需要提供此口令。如圖 321 所示 圖 321 訪問層交換機 XingZhengLou 1．配置訪問層交換機 XingZhengLou 的基本參數(shù) （ 1）設置交換機名稱 設置交換機名稱，也就是出現(xiàn)在交換機 CLI 提示符中的名字。 訪問層交換服務的實現(xiàn)－ 配置 訪問層交換機 訪問層為所有的 終端用戶 提供一個接入點。整個網(wǎng)絡系統(tǒng)的拓撲結(jié)構(gòu)圖如圖 31 所示。 在 此次 設計方案中 ， 對實際校園網(wǎng)的設計進行了適當和必要的簡化 ， 將重點放在網(wǎng)絡主干的設計上，對于服務器的架設只作簡單介紹。這樣，大大減輕了網(wǎng)絡管理人員的工作負擔和工作強度。 VLAN將廣播域限制在單個 VLAN 內(nèi)部，減小了各 VLAN 間主機的廣播 通信 對其他 VLAN的影響。 傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在 OSI 模型的第 2 層。 路由技術(shù) ： 路由協(xié)議 工作在 OSI 參考模型 的第 3 層，因此它的作用主要是在 通信 子網(wǎng)間路由數(shù)據(jù)包。通過 CIR，能以低至 8kbps 的增量保證帶寬。例如，下載一個目的地為交換機上某一端口的大型文件，而這會增加目的地為此交換機上另一端口的語音流量的延遲，這種情況是用戶極為不愿看到的。排程是一種確定隊列處理順序的算法或進程。 在入口， Catalyst 2960 也將進行監(jiān)管，以確定分組是在小組內(nèi)還是在小組外，標記以改變分類標簽，傳輸或丟棄小組分組，并根據(jù)類別對分組排序。 Catalyst 2960 可對進入的分組分類、再分類、監(jiān)管、標記、排序和排程，并能在出口處對分組排序和排程。對環(huán)路保護和網(wǎng)橋協(xié)議數(shù)據(jù)單元（ BPDU）保護的增強避免了生成樹協(xié)議環(huán)路的出現(xiàn)。 16 對標準生成樹協(xié)議的改進，如 PVST+、 UplinkFast 和 PortFast，可實現(xiàn)最長網(wǎng)絡正常運行時間。 TACACS+或 RADIUS 驗證實現(xiàn)了交換機的集中訪問控制，并限制未授權(quán)用戶改變配置。 憑借動態(tài)主 機配置協(xié)議 (DHCP)監(jiān)聽，可以只允許來自不可信用戶端口的DHCP 請求（但不允許響應）進入網(wǎng)絡，從而防止 DHCP 電子欺騙。 為防止拒絕服務攻擊和其他攻擊，可用 ACL 根據(jù)源和目的地 MAC 地址、 IP地址或 TCP/UDP 端口來拒絕分組，從而限制對網(wǎng)絡敏感部分的訪問。 Catalyst 2960 系列中的 IBNS 可防止未授權(quán)接入，并確保用戶只獲得其指定權(quán)利。 通過 Cisco Catalyst 智能以太網(wǎng)交換機，思科可幫助公司獲得向其網(wǎng)絡添加智能服務的全面優(yōu)勢。 這些新需求正與許多已有關(guān)鍵任務應用爭奪資源。目前，工作人員都對網(wǎng)絡有著更高需求，在網(wǎng)絡上同時運行多個應用。 Cisco Catalyst 296048TT： 48個 10/100以太網(wǎng)端口和 2個 10/100/1000固定以太網(wǎng)上行鏈路端口； 1 RU 通過多種驗證方法、數(shù)據(jù)加密技術(shù)和基于用戶、端口和 MAC 地址的網(wǎng)絡準入控制，實現(xiàn)了網(wǎng)絡安全性； Cisco Catalyst 2960 系列提供： 14 在此次設計中，為了更好的完成所有功能，全部采用了 Cisco 的交換機和路由器。分為中心設備間和樓棟設備間部分，中心設備間是整個局域網(wǎng)的控制中心，內(nèi)設有對外（ Inter）對內(nèi)通信的各種網(wǎng)絡設備（交換機、路由器 ），中心交換機通過光纜（地下直埋）與樓棟設備間的交換設備相連，以保證數(shù)據(jù)的高速傳輸。 校園網(wǎng)為園區(qū)網(wǎng)，樓群間子系統(tǒng)采用光纜連接，可提供千兆位的帶寬，有充分的擴展余地。 另一個設計思想是采用層次體系，整個網(wǎng)絡通過主干網(wǎng)連接起來，各個子網(wǎng)通過接口與主干網(wǎng)連接，實現(xiàn)各自的功能，在子網(wǎng)內(nèi)部及與主干網(wǎng)進行數(shù)據(jù)通信。 網(wǎng)絡集成方案主要包括兩個方面：結(jié)構(gòu)化布線與設備選擇、網(wǎng)絡技術(shù)及設備選型。 對于校園網(wǎng)的建設，我們提出的建設原則應該是：先進性，先進的設計思想、網(wǎng)絡結(jié)構(gòu)、開發(fā)工具，采用市場覆蓋率高、標準化和技術(shù)成熟的軟硬件產(chǎn)品；實用性，建網(wǎng)時應考慮利用和保護現(xiàn)有的資源、充分發(fā)揮設備效益；開放性，系統(tǒng)設計應采用開放技術(shù)、開放結(jié)構(gòu)、開放系統(tǒng)組建和開放用戶接口，以利于網(wǎng)絡的維護、擴展升級及與外界信息的溝通；靈活性，采用積木式模塊組合和結(jié)構(gòu)化設計，使系統(tǒng)配置靈活，滿足學校逐步到位的建網(wǎng)原則，使網(wǎng)絡具有強大的可增長性；可靠性，具有容錯功能，管理、維護方便。 12 第 2章 校園網(wǎng)總體設計 概述 總體設計是校園網(wǎng)建設的總體思路和工程藍圖，是搞好校園網(wǎng)建設的核心任務。就像普通的 PC 一樣，建立在硬件上面的系統(tǒng)軟件、應用軟件讓我們有了利用計算機的可能。 校園網(wǎng) 校園網(wǎng)是指利用網(wǎng)絡設備、通信介質(zhì)和適宜的組網(wǎng)技術(shù)與協(xié)議及各類網(wǎng)絡系統(tǒng)管理軟件和應用軟件，將校園網(wǎng)內(nèi)計算機和各種終端有機地集成在一起，并用于教學、科研、學校管理、信息資源共享和遠程教學等方面工作的計算機局域網(wǎng)絡系統(tǒng)。 （ 2）若沒有監(jiān)聽到任何信號，就傳輸數(shù)據(jù)。 11 3．以太網(wǎng)的工作原理 以 太網(wǎng)采用帶沖突檢測的載波幀聽多路訪問（ CSMA/CD）機制。 全雙工：全雙工傳輸是采用點對點連接，這種安排沒有沖突，因為它們使用雙絞線中兩個獨立的線路，這等于沒有安裝新的介質(zhì)就提高了帶寬。 2．接口的工作模式 以太網(wǎng)卡可以工作在兩種模式下：半雙工和全雙工。 （ 2） IEEE 的 標準。其中各部分構(gòu)成相對獨立的子網(wǎng)，通過交換機接入桌面 PC。而目前，基于 和 協(xié)議標準的在實際應用很多?，F(xiàn)在千兆位以太網(wǎng)成熟的標準為 。大多數(shù) 100Mb/s 的網(wǎng)卡能夠自動檢測所連接的端口是 10Mb/s 還是 100Mb/s，并執(zhí)行相應的操作。另外，目前的大部分網(wǎng)絡應用主要是基于 IP 網(wǎng)絡的應用，直接針對ATM 信元的應用很少，這在很大程度上也增加了 ATM 網(wǎng)絡使用和管理的復雜性。在廣域網(wǎng)、城域網(wǎng)和公用網(wǎng)內(nèi)， ATM 正在被廣泛采用，因為它既能夠?qū)⒍喾N服務多路復用到一種基礎(chǔ)設施上，滿足功能越來越強的臺式機對帶寬不斷增長的需求，又能提供虛擬 LAN 和多媒體等新的網(wǎng)絡服務。 FDDI 和 CDDI 的優(yōu)點是冗余、內(nèi)置網(wǎng)絡管理，具有廣泛的適用性。因此，它可以被看作是一個令牌環(huán)網(wǎng)協(xié)議的高速版本。如果現(xiàn)有技術(shù)不能合理保證在將來網(wǎng)絡升級后還能夠使用，那么將會帶來極大的資金浪費。 靈活性：要考慮到在設備搬動時很容易重新配置網(wǎng)絡拓撲，還有考慮原有節(jié)點的刪除和新節(jié)點的加入。它主要有易于擴展和故障隔離等優(yōu)點。環(huán)形拓撲：由一些中繼器和連接中繼器的點到點鏈路組成一個閉合環(huán)。星形拓撲：星形拓撲是 由中央節(jié)點和通過點到點鏈路到中央節(jié)點的各站點組成。 軟件系統(tǒng)的優(yōu)化：包括服務器軟件的優(yōu)化和工作站系統(tǒng)的優(yōu)化。 每一個工作站既可以起客戶機作用也可以起服務器作用。 對于一般的數(shù)據(jù)傳遞來說已經(jīng)夠用了，但是當數(shù)據(jù)庫系統(tǒng)和其它復雜而被不斷增加的用戶使用的應用系統(tǒng)到來的時候，服務器已經(jīng)不能承擔這樣的任務了，因為隨著用戶的增多，為每個用戶服務的程序也增多，每個程序都是獨立運行的大文件，給用戶感覺極慢，因此產(chǎn)生了客戶機 /服務器模式。 局域網(wǎng)技 術(shù) 局域網(wǎng)基本特征 1．局域網(wǎng)最主要的特點： 網(wǎng)絡為一個