【正文】 ，思科中高端交換機(jī)都支持 IP v6，這對于校園網(wǎng)采用 IP v6進(jìn)行 IP地址擴(kuò)展提供硬件保障，同時(shí)對于網(wǎng)絡(luò)現(xiàn)在的投資有長遠(yuǎn)的保護(hù)。而支持 VLSM的設(shè)備在網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中，除了記錄 IP地址，還附帶子網(wǎng)掩碼的長度，其格式如 ，這個(gè)網(wǎng)段下就可以有 30個(gè)主機(jī)，而 ，這個(gè)網(wǎng)段下就只有 2個(gè)主機(jī)。思科的路由設(shè)備（含高端三層交換機(jī)）支持先進(jìn)的可變長度的子網(wǎng)掩碼技術(shù)（VLSM） ，多數(shù)路由協(xié)議如 OSPF、EIGRP、RIP v2，IS－IS，BGP 都支持此項(xiàng)技術(shù)。學(xué)校在 IP地址設(shè)計(jì)時(shí)，針對現(xiàn)有網(wǎng)絡(luò)設(shè)備和用戶規(guī)模，可以根據(jù)表中 IP地址分類特點(diǎn)，選擇私網(wǎng)的 IP地址，通過 NAT再將校園中每個(gè)用戶轉(zhuǎn)換為公網(wǎng)合法地址進(jìn)行訪問。則實(shí)現(xiàn)了負(fù)載均衡、鏈路備份、快速的故障恢復(fù)。即實(shí)現(xiàn)了負(fù)載均衡、鏈路備份、快速的故障恢復(fù)。對于三層協(xié)議，路由協(xié)議可以負(fù)載均衡、鏈路備份、快速的故障恢復(fù)；對于二層協(xié)議，可以通過 現(xiàn)負(fù)載均衡、鏈路備份、快速的故障恢復(fù)。核心交換機(jī)將來自多臺分布式主機(jī)和交換機(jī)的流量集中起來，將跨網(wǎng)絡(luò)中多個(gè)交換機(jī)實(shí)現(xiàn)源端口和目的端口之間的網(wǎng)絡(luò)通信流鏡像，以此實(shí)現(xiàn)集中管理和監(jiān)控。大型的校園網(wǎng)絡(luò)，必須依靠各種網(wǎng)管軟件及特別的網(wǎng)管功能，實(shí)現(xiàn)監(jiān)控、故障診斷和排錯(cuò)。整個(gè)網(wǎng)絡(luò)要便于統(tǒng)一管理、監(jiān)控和維護(hù)，并能跟蹤、診斷和排除故障。減少單點(diǎn)故障對整個(gè)網(wǎng)絡(luò)的影響。另外還要求關(guān)鍵網(wǎng)絡(luò)設(shè)備必須符合安全性要求，具有能阻擋一般性網(wǎng)絡(luò)攻擊的能力。對于單個(gè)的網(wǎng)絡(luò)設(shè)備，要求設(shè)備本身有高可用性，和長期運(yùn)行的穩(wěn)定性。在桌面交換機(jī)接入用戶之后，可以向中心安全服務(wù)器發(fā)送 息，當(dāng)中心安全服務(wù)器收集并記入數(shù)據(jù)庫之后，可以通過相關(guān)的記帳軟件輸出用戶的網(wǎng)絡(luò)使用情況并產(chǎn)生帳單?；揪W(wǎng)絡(luò)用戶都與接入桌面交換機(jī)連接，在所有桌面用戶的端口上均可以不預(yù)設(shè) VLAN信息。Isolatedports 只能和 promiscuousports通信，Communityports可以和同一個(gè)團(tuán)體的端口和 promiscuousports通信，Promiscuousports 可以和PrimaryVLAN內(nèi)所有端口通信。 PVLAN的應(yīng)用在一個(gè)已經(jīng)存在的 VLAN里，思科可以使用 privateVLANs為特定的網(wǎng)絡(luò)應(yīng)用提供更好的安全控制。顯然，這不符合實(shí)際情況，所以，在配置中心交換機(jī)Catalyst 6509時(shí)，按照我們建議按照 portchannel的配置方式進(jìn)行。其他還有兩種配置方式可供選擇：一種是將每個(gè)千兆以太端口配置成 Independently Interface ，另一種是將千兆以太端口配置成 Trunk。要在交換機(jī)上配置 VTP和 VLAN，需要在 Catalyst IOS的特權(quán)模式下執(zhí)行如下的任務(wù)：任務(wù) 命令第一步 指明 VTP模式 set vtp mode {server|client|transparent}第二步 創(chuàng)建一個(gè) VTP域 set vtp domain name第三步 創(chuàng)建 VLAN set vlan vlan_num第四步 為 VLAN分配物理端口 set vlan vlan_num mod_num/port_num學(xué)院校園網(wǎng)設(shè)計(jì)方案第 21 頁對于 Catalyst 6509來講，要將其視為一個(gè)配置了多個(gè)以太網(wǎng)端口的路由器。Catalyst 6509使用InterVLAN路由技術(shù)實(shí)現(xiàn)位于不同 VLAN終端之間的通訊。如果沒有路由器的話，位于不同 VLAN間網(wǎng)絡(luò)設(shè)備不能實(shí)現(xiàn)相互之間的通訊。因此，Catalyst 6509不單純是傳統(tǒng)意義上的局域網(wǎng)交換機(jī)，而是支持路由技術(shù)的多層交換機(jī)。我們建議在不同 VLANs的訪問采用第三層交換的方式。三層交換技術(shù)是第三層路由技術(shù)與第二層交換技術(shù)的有機(jī)結(jié)合，不是簡單的把路由器設(shè)備的硬件及軟件簡單地疊加在局域網(wǎng)交換機(jī)上。VLAN間的路由目前實(shí)現(xiàn) VLAN互連的技術(shù)主要有：? ? IEEE ? ? InterSwitchlink（ISL）? ? 第三層交換在網(wǎng)絡(luò)方案中，由于主要使用 Cisco設(shè)備，建議采用 Cisco專有技術(shù) InterSwitchlink來實(shí)現(xiàn)跨交換機(jī) VLAN之間的通訊，對于其它廠商的交換機(jī)可采用。通過虛擬網(wǎng)的靈活設(shè)置，既可為網(wǎng)絡(luò)管理帶來靈活性，使網(wǎng)絡(luò)維護(hù)工作量降低。但它提供了最好的控制和安全性，它是通過配置分配連在某一端口上的設(shè)備基于它們所連接的端口來加入某一個(gè) VLAN。這個(gè)問題可以通過在網(wǎng)絡(luò)設(shè)備中設(shè)置 IP Helper Address服務(wù)，將廣播請求轉(zhuǎn)發(fā)到有特定的地址的服務(wù)器來解決。對于公共的服務(wù)器，盡量設(shè)置在對其訪問數(shù)據(jù)流量最大的VLAN中，對于應(yīng)用核心級的服務(wù)器，或者為多個(gè) VLAN用戶所經(jīng)常訪問的服務(wù)器，可以使用虛擬多宿主服務(wù)器技術(shù)，該技術(shù)使得一臺服務(wù)器同時(shí)存在于多個(gè) VLAN中。虛擬網(wǎng)的劃分可以跨多個(gè)交換機(jī)，也可一個(gè)交換機(jī)內(nèi)劃分出多個(gè)虛擬網(wǎng)。根據(jù)用戶的需求，在實(shí)施時(shí)會將各中心局域網(wǎng)根據(jù)應(yīng)用類型劃分為多個(gè) VLAN，并可隨需求進(jìn)一步劃分。因此，各部門之間的信息具有不同程度的保密要求，如果不進(jìn)行虛擬網(wǎng)絡(luò)的劃分，是根本無法想象的。各 VLAN之間的連通性即路由可根據(jù)實(shí)際需要配置或加以限制。網(wǎng)絡(luò)管理人員通過在 Catalyst 6509上作配置就能達(dá)到對不同 VLAN間的通信作控制的目的。比如規(guī)定部門 A和部門 B兩個(gè)虛擬局域網(wǎng)內(nèi)的普通用戶是不能訪問其它部門內(nèi)部的信息的，而對于領(lǐng)導(dǎo)干部則可以放開互相訪問數(shù)據(jù)的權(quán)限，這些策略的設(shè)置是通過 IP地址、交換機(jī)端口等參數(shù)實(shí)現(xiàn)的。方案中所選用的 Catalyst 6509是一個(gè)模塊化的網(wǎng)絡(luò)設(shè)備，并且支持多層交換功能，實(shí)際上可以將其視為一個(gè)集成了第二層交換與第三層路由功能的核心網(wǎng)絡(luò)設(shè)備，通過配置多層交換功能，就可以實(shí)現(xiàn)多個(gè) VLAN間的通訊。因此，在大型的局域網(wǎng)環(huán)境中，為主干交換設(shè)備配置 VLAN是有重要意義的。C、簡化網(wǎng)絡(luò)管理VLAN有助于簡化網(wǎng)絡(luò)管理，通過配置局域網(wǎng)交換機(jī)的物理端口的屬性，不必物理地改變工作站的位置就可以實(shí)現(xiàn)工作站的添加、移動和改變。VLAN的作用歸納起來，有如下幾個(gè)方面：A、控制廣播提高性能：類似于局域網(wǎng)交換機(jī)隔離沖突，VLAN 能夠提供廣播域間完全的隔離，所有的廣播和組播信號只能在同一 VLAN內(nèi)傳遞，有效地減少廣播風(fēng)暴的產(chǎn)生，從而提高交換設(shè)備的性能。 VLAN示例學(xué)院校園網(wǎng)設(shè)計(jì)方案第 16 頁 VLAN的作用VLAN技術(shù)是伴隨著局域網(wǎng)交換機(jī)技術(shù)的產(chǎn)生而發(fā)展起來的，其最為根本的作用是通過控制廣播域的大小來實(shí)現(xiàn)本地性能的優(yōu)化。一個(gè) VLAN的可以對應(yīng)一個(gè)或多個(gè)物理端口，也可以跨越多臺物理設(shè)備，即同一 VLAN可以在分布在一臺或多臺網(wǎng)絡(luò)設(shè)備中，這樣 VLAN就提供了最大限度的關(guān)于配置的靈活性。 VLAN的定義VLAN是 Virtual LAN的縮寫，即虛擬局域網(wǎng)的意思，區(qū)別于物理分布的局域網(wǎng)，VLAN 是按照某種邏輯劃分的局域網(wǎng)，即根據(jù)組織結(jié)構(gòu)、功能、項(xiàng)目組或應(yīng)用而劃分的邏輯網(wǎng)段。虛擬網(wǎng)技術(shù)是將網(wǎng)絡(luò)中的物理基礎(chǔ)設(shè)施與網(wǎng)絡(luò)的邏輯基礎(chǔ)設(shè)施相分離，使得網(wǎng)管人員能方便而動態(tài)地建立和重構(gòu)虛擬網(wǎng)絡(luò)，以適應(yīng)部門機(jī)構(gòu)的協(xié)作與變動，方便網(wǎng)絡(luò)管理，降低管理的成本。它能夠基于 Web的用戶界面簡化和分配了配置工作，與 Windows 2022 Active Directory和 NT數(shù)據(jù)庫配合支持融合了 Windows用戶名/密碼管理，能利用 Windows 性能監(jiān)視器查看實(shí)時(shí)統(tǒng)計(jì)數(shù)據(jù)，ACS 在運(yùn)行一個(gè) RADIUS或者TACACS+嵌入式 Cisco IOS版本時(shí)，可以與大多數(shù) Cisco路由器/網(wǎng)絡(luò)訪問服務(wù)器一同使用。關(guān)于網(wǎng)管的設(shè)置，我們建議透過防火墻接入網(wǎng)絡(luò)，同時(shí)采用加密通道的帶內(nèi)網(wǎng)管技術(shù)（SNMPv3/SSH） ，從而有效保證對網(wǎng)絡(luò)的控制能力。建議在某學(xué)院校園網(wǎng)網(wǎng)絡(luò)中心配置 Cisco Works2022網(wǎng)管軟件。Cisco 公司網(wǎng)絡(luò)管理解決方案提供一整套完整的網(wǎng)絡(luò)管理組件，其中包括對 Cisco網(wǎng)絡(luò)設(shè)備本身的管理以及對網(wǎng)絡(luò)上傳輸?shù)牟煌瑧?yīng)用的管理等。 網(wǎng)絡(luò)管理設(shè)計(jì)網(wǎng)絡(luò)管理包括兩類：對設(shè)備和對應(yīng)用的管理。在核心交換機(jī)上可以組成若干服務(wù)器專用 VLAN，每一個(gè) VLAN內(nèi)部根據(jù)業(yè)務(wù)特性實(shí)現(xiàn) PVLAN功能。在服務(wù)器上配多個(gè)千兆網(wǎng)卡，就可以通過 Ether Channel技術(shù)實(shí)現(xiàn)更高速連接，避免服務(wù)器成為網(wǎng)絡(luò)訪問的瓶頸。此種方式對于內(nèi)部地址較多，而外部地址較少的用戶將是很好的解決方案，缺點(diǎn)是較消耗路由器資源，對路由器內(nèi)存配置要求較高。學(xué)院校園網(wǎng)設(shè)計(jì)方案第 13 頁端口地址轉(zhuǎn)換對于不同內(nèi)部 IP地址，通過分配外部 IP地址的的 TCP（UDP）端口號進(jìn)行轉(zhuǎn)換。靜態(tài)地址轉(zhuǎn)換：通過建立內(nèi)部地址和外部地址的一一對應(yīng)關(guān)系進(jìn)行轉(zhuǎn)換，可以用于保護(hù)內(nèi)部主機(jī)的安全性，但是由于一一對應(yīng)關(guān)系，所以有多少個(gè)外部 IP地址，才有多少個(gè)內(nèi)部 IP地址可進(jìn)行轉(zhuǎn)換，且一個(gè)內(nèi)部 IP只能對應(yīng)唯一一個(gè)外部 IP地址。路由器上連接雙出口，需要在每個(gè)端口上作相應(yīng)的地址翻譯 NAT。針對遠(yuǎn)程校區(qū)以及校外的家屬區(qū)接入，可以采用 VPN技術(shù)連接。此外，它還使校園網(wǎng)絡(luò)運(yùn)營管理者可根據(jù)用戶的連接時(shí)間和所使用的服務(wù)，向用戶收取相應(yīng)的費(fèi)用，而不是制定一成不變的價(jià)格。服務(wù)選擇網(wǎng)關(guān)（SSG）是 Cisco IOS 軟件的一項(xiàng)功能，它幫助校園網(wǎng)絡(luò)運(yùn)營管理者制定按需提供服務(wù)策略，開辟新的收入渠道。Cisco 7400互聯(lián)網(wǎng)路由器是業(yè)界性能最高的單機(jī)架設(shè)備、支持多種服務(wù)的路由器產(chǎn)品。 廣域網(wǎng)接入設(shè)計(jì)分析廣域網(wǎng)接入通過 1臺 Cisco 7401特殊應(yīng)用路由器（ASR）實(shí)現(xiàn)。兩款交換機(jī)均具備 24口10/100的交換端口，同時(shí)有 2口千兆上連的光纖接口，配備不同的接口卡就可以連接單?；蚨嗄９饫w。本方案設(shè)計(jì)中，學(xué)生公寓區(qū)分中心的核心交換機(jī)為 WSC4506，配置新一代的交換技術(shù) CEF，基于硬件（ASIC）的第二層到第四層交換引擎，提供高達(dá) 64Gbps無阻塞交換矩陣、48Mpps 的 2－4 層包轉(zhuǎn)發(fā)能力，支持高速、智能、多應(yīng)用網(wǎng)絡(luò)；配置18個(gè)全線速的千兆接口（GBIC） ，并具有優(yōu)異的投資保護(hù)性；配置完成后，不僅具有三層交換匯聚和高速上聯(lián)性能，模塊化的結(jié)構(gòu)還具有良好的擴(kuò)展性，為未來學(xué)院校園網(wǎng)設(shè)計(jì)方案第 11 頁應(yīng)用的擴(kuò)展保留了空間。為提高網(wǎng)絡(luò)帶寬，匯聚層交換機(jī)與核心交換機(jī)連接時(shí)建議采用 2根光纖雙上聯(lián)，實(shí)現(xiàn)全雙工 4Gbps帶寬，同時(shí)預(yù)留富裕光纖接口為雙機(jī)冗余備用。 學(xué)生公寓區(qū)網(wǎng)絡(luò)設(shè)計(jì)分析在學(xué)生公寓區(qū)，由于其端口數(shù)量大（約 5500個(gè)） ，數(shù)據(jù)流量巨大，在此區(qū)域設(shè)定了網(wǎng)絡(luò)分中心（10 號宿舍樓） ，分中心通過光纖再連接其余的 14個(gè)宿舍樓（其中有 10個(gè)多模光纖、4 個(gè)單模光纖） 。它同樣具備 56Gbps的交換背板和高達(dá) 。Catalyst 3750系列產(chǎn)品采用業(yè)界最先進(jìn) Stack Wise的堆疊技術(shù)，通過高達(dá) 32Gbps的堆疊背板，為學(xué)校提供了優(yōu)異的投資保護(hù)性和易擴(kuò)展性。本方案設(shè)計(jì)中，行政教學(xué)區(qū)為各樓選擇的高檔匯聚交換機(jī)是 WSC4503，同樣具備高達(dá) 64Gbps無阻塞交換矩陣、48Mpps 的 2－4 層包轉(zhuǎn)發(fā)能力，支持高速、智能、多應(yīng)用網(wǎng)絡(luò)；配置 2個(gè)全線速的千兆上連接口（GBIC） ，同時(shí)為教學(xué)樓中辦公科研學(xué)院校園網(wǎng)設(shè)計(jì)方案第 10 頁用戶提供 48口 10/100/1000M自適應(yīng)的高速接入。 行政教學(xué)區(qū)網(wǎng)絡(luò)設(shè)計(jì)分析行政教學(xué)區(qū)的教學(xué)樓、人文樓、醫(yī)農(nóng)樓、理工樓、藝術(shù)樓、圖書館、行政樓分別獨(dú)立的以光纖連接到網(wǎng)絡(luò)中心，其中單模光纖 7個(gè)，多模光纖 1個(gè)。一款6500交換機(jī)能夠滿足用戶各種不同的需求，而這來自于 Catalyst6500系列交換機(jī)自身優(yōu)異的性能基礎(chǔ)。高端的 Catalyst6509交換機(jī)，不僅僅支持基本的二層、三層功能，還支持豐富的服務(wù)應(yīng)用。另外，Catalyst 交換機(jī)所采用的三層交換處理機(jī)制，有別于其它廠商使用的傳統(tǒng) Flowbased Switching/Cachebased Switching機(jī)制，Catalyst 交換機(jī) CEFbased Switching機(jī)制更適應(yīng)實(shí)際的網(wǎng)絡(luò)情況，尤其適合于校園網(wǎng)大量用戶、大量連接的情況，對于網(wǎng)絡(luò)中存在的病毒攻擊有良好適應(yīng)力。學(xué)院校園網(wǎng)設(shè)計(jì)方案第 9 頁Catalyst6509可以平滑升級到更高性能，并提供線速萬兆以太網(wǎng)。核心交換機(jī) Catalyst6509剩余千兆光接口隨時(shí)可以實(shí)現(xiàn)校園網(wǎng)絡(luò)的二期鋪設(shè)和擴(kuò)展。在 Catalyst6509上配置 1個(gè)高性能 16口千兆接口模塊 WSX6816GBIC，其與 2個(gè)引擎上的 4個(gè)千兆接口共提供 20個(gè)可用的千兆接口。星型結(jié)構(gòu)的優(yōu)點(diǎn)是結(jié)構(gòu)簡單，易于擴(kuò)容與維護(hù)，但對中心設(shè)備和鏈路有依賴性，中心設(shè)備必須保證高可靠性、高性能、支持豐富的應(yīng)用。 網(wǎng)絡(luò)核心設(shè)計(jì)分析針對用戶的實(shí)際需求，某學(xué)院校園網(wǎng)拓?fù)浣Y(jié)構(gòu)選擇星型結(jié)構(gòu)。通過該網(wǎng)絡(luò)設(shè)計(jì)，將實(shí)現(xiàn)安全高速的信息共享，同時(shí)奠定未來銀校一卡通系統(tǒng)、數(shù)字監(jiān)控系統(tǒng)、多媒體查詢系統(tǒng)、數(shù)字圖書館系統(tǒng)、教務(wù)管理系統(tǒng)等網(wǎng)絡(luò)基礎(chǔ)。配置防火墻、路由器等實(shí)現(xiàn)安全的內(nèi)外部訪問。對于其它接入交換機(jī)，采用 10/100M自適應(yīng)接口。學(xué)生公寓區(qū)在 10號宿舍樓配置了網(wǎng)絡(luò)分中心，其余 14個(gè)宿舍樓的通過光纖匯聚在此，然后上連到網(wǎng)絡(luò)中心。學(xué)院校園網(wǎng)設(shè)計(jì)方案第 7 頁2 某 學(xué) 院 校 園 網(wǎng) 技 術(shù) 方 案 簡 介 某學(xué)院校園網(wǎng)設(shè)計(jì)思想簡介某學(xué)院校園網(wǎng)絡(luò)拓?fù)鋱D如下：如上圖所示，本次網(wǎng)絡(luò)設(shè)計(jì)采用星型三層結(jié)構(gòu),以網(wǎng)絡(luò)中心為核心，通過光纖連接教學(xué)樓、人文樓、醫(yī)農(nóng)樓、理工樓、藝術(shù)樓、圖書館、行政樓、學(xué)