【正文】 貿(mào)職業(yè)學院 17 switchport trunk encapsulation dot1q switchport mode trunk ! interface FastEther0/23 channelgroup 1 mode on switchport trunk encapsulation dot1q switchport mode trunk ! interface FastEther0/24 channelgroup 1 mode on switchport trunk encapsulation dot1q switchport mode trunk ! interface GigabitEther0/1 channelgroup 1 mode on switchport trunk encapsulation dot1q switchport mode trunk ! interface GigabitEther0/2 channelgroup 1 mode on switchport trunk encapsulation dot1q switchport mode trunk ! interface Portchannel 1 switchport trunk encapsulation dot1q switchport mode trunk router ospf 1 logadjacencychanges work area 0 work area 0 work area 0 work area 0 work area 0 work area 0 廣東科貿(mào)職業(yè)學院 18 ! 匯聚層 匯聚層也稱分配層或稱工作組層，是上下 2 層之間的通信點，這一層的功能主要是實現(xiàn)一下一些策略： （ 1） 、路由（即文件在網(wǎng)絡中傳輸?shù)淖罴崖窂剑? （ 2） 、訪問表，包過濾和排序； （ 3） 、網(wǎng)絡安全如防火墻等； （ 4） 、重新分配路由協(xié)議，包括靜態(tài)路由； （ 5）、在 vlan 之間進行路由，以及其他工作組所支持的功能；這一層主要是實現(xiàn)策略的地方。在設計這一層時應該著重考慮傳輸速率，所以最好使用比較優(yōu)秀的技術。當網(wǎng)絡擴展時（比如添加路由器），應該避免擴充核心層。所以在這一層不要做任何影響通訊流量的事情，如訪問表， vlan 和包過濾等。用戶的數(shù)據(jù)是在分配層進行處理的，如果需要的話，分配層會將請求發(fā)送到核心層。訪問層為所有的終端用戶提供一個接入點；匯聚層除了負責將訪問層交換機進行匯集外，還為整個交換網(wǎng)絡提供 VLAN 間的路由選擇功能；核心層將各匯聚層交換機互連起來進行高速數(shù)據(jù)交換。為了簡化交換網(wǎng)絡設計、提高交換網(wǎng)絡的可擴展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進行的。 VLAN 將廣播域限制在單個 VLAN 內(nèi)部，減小了各 VLAN 間主機的廣播通信 對其他 VLAN 的影響。現(xiàn)代交換技術還實現(xiàn)了第 3 層交換和多層交換。除了可以完成主要的路由任務，利用訪問控制列表（ Access Control List， ACL），路由器還可以用來完成以路由器為中心的流量控制和過濾功能。 Router(config) ip nat pool poolname mask //建立一個外部地址池的范圍和它們的子母掩碼 Router(config) ip nat inside source list listnumber pool poolname 廣東科貿(mào)職業(yè)學院 14 overload //多個 內(nèi)部的 ip 地址 可以多次使用同一個外部轉(zhuǎn)換地址池中的地址 Router(config) accesslist listnumber permit //建立訪問控制列表，允許進行外部地址轉(zhuǎn)換的內(nèi)部地址 設備選型 路由技術：路由協(xié)議工作在 OSI 參考模型的第 3 層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。同時，又可隱藏網(wǎng)絡內(nèi)部的所有主機，有效避免來自 inter 的攻擊。 Router(config) ip nat pool poolname mask //建立一個外部地址池的范圍和它們的子母掩碼 Router(config) ip nat inside source list listnumber pool poolname //內(nèi)部的 ip 地址轉(zhuǎn)換成外部地址池的 ip 地址 Router(config) accesslist listnumber permit //建立訪問控制列表，允許進行外部地址轉(zhuǎn)換的內(nèi)部地址 3) PAT 端口多路復用是指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換，即 端口地址 轉(zhuǎn)換 (PAT，PortAddressTranslation).采用端口多路復用方式。當 ISP 提供的合 法 IP 地址略少于網(wǎng)絡內(nèi)部的計算機數(shù)量時。也就是說，只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時，就可以進行動態(tài)轉(zhuǎn)換。借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡對內(nèi)部網(wǎng) 絡中某些特定設備 (如服務器 )的訪問。原因很簡單， NAT 不僅完美地解決了 lP 地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡外部的攻擊，隱藏并保護網(wǎng)絡內(nèi)部的計算機。編號范圍是從 100到 199的訪問控廣東科貿(mào)職業(yè)學院 12 制列表是擴展 IP訪問控制列表。編號范圍是從 1 到 99 的訪問控制列表是標準 IP 訪問控制列表。 (4)將協(xié)議自身的開銷控制到最小。 (3)提出區(qū)域（ area）劃分的概念，將自治系統(tǒng)劃分為不同區(qū)域后，通過區(qū)域之間的對路由信息的摘要，大大減少了需傳遞的路由信息數(shù)量。源自其算法本身的優(yōu)點。當一個區(qū)內(nèi)的路由器出了 故障 時并不影響自治域內(nèi)其它區(qū)路由器的正常工作，這也給網(wǎng)絡的管理、維護帶來方便。 OSPF將一個自治域再劃分為區(qū)，相應地即有兩種類型的 路由選擇 方式：當源和目的地在同一區(qū)時，采用區(qū)內(nèi)路由選擇；當源和目的地在不同區(qū)時，廣東科貿(mào)職業(yè)學院 11 則采用區(qū)間路由選擇。利用 OSPF的路由器首先必須收集有關的鏈路狀態(tài)信息，并根據(jù)一定的算法計算出到每個 節(jié)點 的 最短路徑 。 配置方式如下： a) 把指定端口給聚合組，并指定聚合方式 SW（ config） interface Ether0/1 SW（ configether0/1） portgroup groupnumber mode（ active|passive|on） b) 進入聚合端口的配置模式 SW（ config） interface portchannel groupnumber 動態(tài)路由協(xié)議（ OSPF） OSPF是一種基于鏈路狀態(tài)的路由協(xié)議，需要每個 路由器 向其同一 管理域 的所有其它路由器發(fā)送鏈路狀態(tài)廣播 信息 。 某些情況下，鏈路聚合甚至是提高鏈路容量的唯一方法。通過捆綁多條物理鏈路，用戶不必升級現(xiàn)有 設備就能獲得更大帶寬的數(shù)據(jù)鏈路，其容量等于各物理鏈路容量之和。與生成樹協(xié)議不同，鏈路聚合啟用備份的過程對聚合之外是不可見的，而且啟用備份過程只在聚合鏈路內(nèi)，與其它鏈路無關，切換可在數(shù)毫秒內(nèi)完成。仍以上圖的鏈路聚合為例，如果 Link1和 Link2先后故障，它們的數(shù)據(jù)任務會迅速轉(zhuǎn)移到 Link3上，因而兩臺交換機 間的連接不會中斷 (參圖 ) 如圖 廣東科貿(mào)職業(yè)學院 10 鏈路聚合的優(yōu)點： (1)提高鏈路可用性 鏈路聚合中，成員互相動態(tài)備份。 如圖 聚合內(nèi)部的物理鏈路共同完成數(shù)據(jù)收發(fā)任務并相互備份。 鏈路聚合技術 鏈路聚合技術亦稱主干技術（ Trunking），其實質(zhì)是將兩臺設備間的數(shù)條物理鏈路 組合 成邏輯上的一條數(shù)據(jù)通路，稱為一條聚合鏈路，如 圖 。 廣東科貿(mào)職業(yè)學院 9 3. 靈活構建虛擬工作組。 2. 增強局域網(wǎng)的安全性。 創(chuàng)建 VLAN 命令如下： 使用 VLAN 的優(yōu)點如下 ： 1. 限制廣播域。對于以端口劃分的 VLAN 而言，任何一個端口的集合都可以被看作是一個 VLAN。 靈活性與綜合性 通過采用結(jié)構化 模塊化的設計形式，滿足系統(tǒng)及用戶各種不同的需求，適應不斷變革中的要求，以滿足系統(tǒng)目標與功 能為目標，保證總體方案的設計合廣東科貿(mào)職業(yè)學院 8 理。 可管理與易維護 由于校園骨干網(wǎng)絡系統(tǒng)規(guī)模龐大，應用豐富而復雜，需要網(wǎng)絡系統(tǒng)具有 良好的可管理性，網(wǎng)管系統(tǒng)具有檢測、故障診斷、故障隔離、過濾設置等功能，以便于系統(tǒng)的管理和維護，這里我們選用的是思科可網(wǎng)管的交換機和路由器。網(wǎng)絡必須具有足夠高的性能，一旦網(wǎng)絡出現(xiàn)故障影響甚廣，嚴重妨礙業(yè)務的正常運轉(zhuǎn) 。 網(wǎng)絡設計遵循下列 5 個基本原則： 可靠性和高性 能 網(wǎng)絡必須是可靠的，包括網(wǎng)元級的可靠性，如引擎，風扇，單板，總計等；以及網(wǎng)絡級的可靠性，如路由?？紤]到信息點同時在線的收斂比，本網(wǎng)絡已經(jīng)具備極高的伸縮能力，以滿足其很強的擴展性要求 ?？紤]應用上某些并發(fā)的排斥特點，以及網(wǎng)絡應用環(huán)境對通暢性的要求，一般每位學生占用的平均實際網(wǎng)絡帶寬約為 1M 左右即可以完全滿足以上需求，在滿足網(wǎng)絡在有收斂比的情況下的帶寬要求；這就要求匯聚、核心設備均具備萬兆智能能力。這些流量的轉(zhuǎn)移對于網(wǎng)絡設備提出了較高的要求，必須要求核心（匯聚）設備均支持萬兆技術。 網(wǎng)絡業(yè)務分析 本次方案要求在銅纜、光纖的物理線路之上，用一套設備實現(xiàn)三套邏輯網(wǎng)絡交換平臺，實現(xiàn)三層路由交換機制，作為校園業(yè)務應用承載體系。 校園網(wǎng)建成后將實現(xiàn)以下基本功能： （ 1）計算機教學，包括多媒體教學和遠程教學 （ 2）網(wǎng)絡下載、網(wǎng)絡聊天等。 （ 5）該校園應配備網(wǎng)絡中心，能實現(xiàn)對網(wǎng)絡的管理和維護（如實現(xiàn)對網(wǎng)絡設備的遠程登錄等）。網(wǎng)絡核心、樓宇匯聚和接入產(chǎn)品都具有病毒防范、拒絕 DDOS 攻擊和防掃描等安全功能，不但在不同的網(wǎng)絡環(huán)境下都能做到快速有效的控制，而且也可以應對突發(fā)性的安全的事件，確保了網(wǎng)絡的穩(wěn)定運行。 采用雙核心技術，不但可以起到讓設備進行冗余備份，而且還可以進行中心數(shù)據(jù)通信負載均衡，有效減輕中心設備減