【正文】 濟(jì)的原則。設(shè)備應(yīng)選用符合國(guó)際標(biāo)準(zhǔn)的系統(tǒng)和產(chǎn)品，以保證系統(tǒng)具有較長(zhǎng)的生命力和擴(kuò)展能力，滿足將來(lái)系統(tǒng)升級(jí)的要求。同時(shí)應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品，以便于管理和維護(hù)。采用成熟、先進(jìn)的技術(shù)和設(shè)計(jì)思想，運(yùn)用現(xiàn)有的系統(tǒng)集成的技術(shù)，強(qiáng)調(diào)系統(tǒng)先進(jìn)、實(shí)用、開(kāi)放、安全、使用方便和易于擴(kuò)充等特點(diǎn)，突出系統(tǒng)功能的完善，實(shí)現(xiàn)辦公現(xiàn)代化、信息資源化和傳輸網(wǎng)絡(luò)化。 從網(wǎng)絡(luò)骨干線路的冗余備份、網(wǎng)絡(luò)核心設(shè)備的冗余備份和電源冗余備份等方面保證成都信息工程學(xué)院校園網(wǎng)的可靠性。利用模塊化的管理界面和簡(jiǎn)潔的操作方式，合理的網(wǎng)絡(luò)規(guī)劃策略，提供強(qiáng)大的網(wǎng)絡(luò)管理功能。 內(nèi)部網(wǎng)絡(luò)之間、內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)之間的互聯(lián)，利用VLAN 、防火墻等對(duì)訪問(wèn)進(jìn)行控制，確保網(wǎng)絡(luò)的安全。 網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)在性能價(jià)格比方面充分體現(xiàn)系統(tǒng)的實(shí)用性，既要采用先進(jìn)的技術(shù)，又能在經(jīng)費(fèi)允許的條件下實(shí)現(xiàn)建網(wǎng)目標(biāo)。模塊化設(shè)計(jì)的好處在于： ； ； ； 。圖 21 模塊化網(wǎng)絡(luò)設(shè)計(jì)圖 校園網(wǎng)的設(shè)計(jì)可以借鑒這種思想，對(duì)各種不同種類，不同安全等級(jí)的業(yè)務(wù)進(jìn)行模塊劃分，相互之間的訪問(wèn)將受到控制。 對(duì)于大型網(wǎng)絡(luò)，可以采用典型的“核心層匯聚層接入層”層次化網(wǎng)絡(luò)設(shè)計(jì)模型。 圖22 層次化網(wǎng)絡(luò)設(shè)計(jì)圖 核心層: 核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，骨干層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高速的傳輸。核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以對(duì)核心層的設(shè)計(jì)以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格。 核心層需要考慮冗余設(shè)計(jì)。匯聚層主要由三層交換機(jī)組成，提供對(duì)網(wǎng)絡(luò)流量模式控制、服務(wù)訪問(wèn)控制、QoS、定義路由路徑度量（path metric）和路由協(xié)議通告網(wǎng)絡(luò)的控制。訪問(wèn)層主要功能在于隔離模塊間的廣播流量，避免不同模塊之間相互影響。 “核心層匯聚層訪問(wèn)層”層次化網(wǎng)絡(luò)設(shè)計(jì)模型有如下優(yōu)點(diǎn)： 遵循層次化模型網(wǎng)絡(luò)比扁平式網(wǎng)絡(luò)更具有的伸縮性和可管理性，因?yàn)楦鞴δ芫W(wǎng)絡(luò)通過(guò)模塊化實(shí)現(xiàn)，潛在問(wèn)題更易于識(shí)別。 每一層的功能經(jīng)過(guò)良好定義，網(wǎng)絡(luò)更為簡(jiǎn)單，有助于故障的隔離。 層次化的功能劃分，整個(gè)網(wǎng)絡(luò)規(guī)劃和管理更為簡(jiǎn)單。其中宿舍區(qū)包含16號(hào)宿舍樓；其中教學(xué)區(qū)分為11棟教學(xué)樓14個(gè)學(xué)院，綜合區(qū)包括圖書(shū)館、3棟階梯教室、1棟科研樓、1棟辦公樓、餐廳和活動(dòng)中心。 首先向大家大概闡述安陽(yáng)工學(xué)院校園網(wǎng)邏輯拓?fù)淙鐖D31所示。在每個(gè)區(qū)域的局域網(wǎng)采用三層網(wǎng)絡(luò)結(jié)構(gòu)即：區(qū)域核心樓宇匯聚樓宇接入。圖32 區(qū)域拓?fù)鋱D校園網(wǎng)的全局物理拓?fù)淙鐖D33所示。路由信息在相鄰路由器之間傳遞，確保所有路由器知道到其它網(wǎng)段的路徑。路由協(xié)議是用來(lái)確定到達(dá)路徑的，它包括動(dòng)態(tài)路由協(xié)議和靜態(tài)路由協(xié)議。動(dòng)態(tài)路由協(xié)議可自動(dòng)根據(jù)拓?fù)浣Y(jié)構(gòu)的變化而調(diào)整路由，比較智能，適用于大中型網(wǎng)絡(luò)。OSPF是動(dòng)態(tài)路由協(xié)議，基于鏈路狀態(tài)算法，可以自動(dòng)根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的變化調(diào)整選擇路徑，不受網(wǎng)絡(luò)規(guī)模的限制。除此之外，OSPF還具有如下優(yōu)點(diǎn)：支持無(wú)類域間路由（CIDR），支持區(qū)域劃分，無(wú)路由自環(huán)，支持多路徑等價(jià)和不等價(jià)負(fù)載均衡，支持簡(jiǎn)單口令和MD5認(rèn)證。實(shí)現(xiàn)HSRP的條件是系統(tǒng)中有多臺(tái)路由器，它們組成一個(gè)“熱備份組”，這個(gè)組形成一個(gè)虛擬路由器。所以主機(jī)仍然保持連接，沒(méi)有受到故障的影響，這樣就較好地解決了路由器切換的問(wèn)題。一旦主動(dòng)路由器出現(xiàn)故障，HSRP 將激活備份路由器（Standby Routers）取代主動(dòng)路由器。如果主動(dòng)路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動(dòng)路由器的所有任務(wù)，并且不會(huì)導(dǎo)致主機(jī)連通中斷現(xiàn)象。如果一個(gè)路由器的優(yōu)先級(jí)設(shè)置的比所有其他路由器的優(yōu)先級(jí)高，則該路由器成為主動(dòng)路由器。 鏈路聚合（Link Aggregation），是指將多個(gè)物理端口捆綁在一起，成為一個(gè)邏輯端口，以實(shí)現(xiàn)出/入流量在各成員端口中的負(fù)荷分擔(dān)，交換機(jī)根據(jù)用戶配置的端口負(fù)荷分擔(dān)策略決定報(bào)文從哪一個(gè)成員端口發(fā)送到對(duì)端的交換機(jī)。鏈路聚合在增加鏈路帶寬、實(shí)現(xiàn)鏈路傳輸彈性和冗余等方面是一項(xiàng)很重要的技術(shù)。另外，聚合后，可靠性大大提高，因?yàn)?，n條鏈路中只要有一條可以正常工作，則這個(gè)鏈路就可以工作。因?yàn)?，通過(guò)鏈路聚合連接在一起的兩個(gè)（或多個(gè)）交換機(jī)（或其他網(wǎng)絡(luò)設(shè)備），通過(guò)內(nèi)部控制，也可以合理地將數(shù)據(jù)分配在被聚合連接的設(shè)備上，實(shí)現(xiàn)負(fù)載分擔(dān)。眾所周知，傳統(tǒng)的交換技術(shù)是在OSI網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的第二層——數(shù)據(jù)鏈路層進(jìn)行操作的，而三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實(shí)現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)。 交換原理：假設(shè)兩個(gè)使用IP協(xié)議的站點(diǎn)A、B通過(guò)第三層交換機(jī)進(jìn)行通信，發(fā)送站點(diǎn)A在開(kāi)始發(fā)送時(shí)，把自己的IP地址與B站的IP地址比較，判斷B站是否與自己在同一子網(wǎng)內(nèi)。若兩個(gè)站點(diǎn)不在同一網(wǎng)段內(nèi)，如發(fā)送站A要與目的站B通信，發(fā)送站A要向“缺省網(wǎng)關(guān)”發(fā)出ARP(地址解析)封包，而“缺省網(wǎng)關(guān)”的IP地址其實(shí)是三層交換機(jī)的三層交換模塊。否則三層交換模塊根據(jù)路由信息向B站廣播一個(gè)ARP請(qǐng)求，B站得到此ARP請(qǐng)求后向三層交換模塊回復(fù)其MAC地址，三層交換模塊保存此地址并回復(fù)給發(fā)送站A,同時(shí)將B站的MAC地址發(fā)送到二層交換引擎的MAC地址表中。由于僅僅在路由過(guò)程中才需要三層處理，絕大部分?jǐn)?shù)據(jù)都通過(guò)二層交換轉(zhuǎn)發(fā)，因此三層交換機(jī)的速度很快，接近二層交換機(jī)的速度，同時(shí)比相同路由器的價(jià)格低很多。在由網(wǎng)橋/交換機(jī)構(gòu)成的交換網(wǎng)絡(luò)中通常設(shè)計(jì)有冗余鏈路和冗余設(shè)備。雖然冗余設(shè)計(jì)可以消除單點(diǎn)故障問(wèn)題，但也導(dǎo)致了二層交換網(wǎng)絡(luò)中環(huán)路的產(chǎn)生，它會(huì)帶來(lái)如下問(wèn)題：廣播風(fēng)暴，單播幀的重復(fù)傳送，MAC地址表不穩(wěn)定。因此，在交換網(wǎng)絡(luò)中必須有一個(gè)機(jī)制來(lái)阻止回路，而生成樹(shù)恰好是為解決這一問(wèn)題而設(shè)計(jì)的。每VLAN生成樹(shù)(PVST)為在網(wǎng)絡(luò)中配置的每個(gè)VLAN維護(hù)一個(gè)生成樹(shù)實(shí)例。盡管PVST對(duì)待每個(gè)VLAN作為一個(gè)單獨(dú)的網(wǎng)絡(luò)，它有能力在一些主干和在其它主干中的不引起VLANs環(huán)路的情況下來(lái)負(fù)載平衡通信。例如某公司員工出差到外地，他想訪問(wèn)企業(yè)內(nèi)網(wǎng)的服務(wù)器資源，這種訪問(wèn)就屬于遠(yuǎn)程訪問(wèn)。VPN有多種分類方式，主要是按協(xié)議進(jìn)行分類。VPN具有成本低，易于使用的特點(diǎn)。它是指通過(guò)無(wú)線介質(zhì)將用戶終端與網(wǎng)絡(luò)節(jié)點(diǎn)連接起來(lái)，以實(shí)現(xiàn)用戶與網(wǎng)絡(luò)間的信息傳遞。無(wú)線接入技術(shù)與有線接入技術(shù)的一個(gè)重要區(qū)別在于可以向用戶提供移動(dòng)接入業(yè)務(wù)。 無(wú)線傳輸?shù)膬?yōu)勢(shì)：（1）綜合成本低，性能更穩(wěn)定。 （3）維護(hù)費(fèi)用低。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。防止廣播風(fēng)暴波及整個(gè)網(wǎng)絡(luò)。這樣可以減少?gòu)V播流量，釋放帶寬給用戶應(yīng)用，減少?gòu)V播的產(chǎn)生。不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過(guò)路由器或三層交換機(jī)等三層設(shè)備。 借助VLAN技術(shù)，能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境，就像使用本地LAN一樣方便、靈活、有效。簡(jiǎn)而言之，ACL可以過(guò)濾網(wǎng)絡(luò)中的流量，是控制訪問(wèn)的一種網(wǎng)絡(luò)技術(shù)手段。例如，ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級(jí)。例如，ACL可以限定或簡(jiǎn)化路由更新信息的長(zhǎng)度，從而限制通過(guò)路由器某一網(wǎng)段的通信流量。ACL允許主機(jī)A訪問(wèn)人力資源網(wǎng)絡(luò)，而拒絕主機(jī)B訪問(wèn)。 NATNAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是將IP 數(shù)據(jù)包頭中的IP 地址轉(zhuǎn)換為另一個(gè)IP 地址的過(guò)程。這種通過(guò)使用少量的公有IP 地址代表較多的私有IP 地址的方式，將有助于減緩可用IP地址空間的枯竭。NAT的實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換Static Nat、動(dòng)態(tài)轉(zhuǎn)換Dynamic Nat和端口多路復(fù)用PAT。NAT將自動(dòng)修改IP報(bào)文的源IP地址和目的IP地址，IP地址校驗(yàn)則在NAT處理過(guò)程中自動(dòng)完成。圖34 NAT的具體工作流程圖圖34 NAT轉(zhuǎn)化細(xì)節(jié)圖第4章 無(wú)線網(wǎng)絡(luò) 無(wú)線局域網(wǎng)(Wireless Local Area Networks，簡(jiǎn)稱WLAN)是相當(dāng)便利的數(shù)據(jù)傳輸系統(tǒng)，它利用射頻(Radio Frequency，簡(jiǎn)稱RF)的技術(shù)，取代傳統(tǒng)雙絞線所構(gòu)成的局域網(wǎng)絡(luò)，它作為有線局域網(wǎng)的補(bǔ)充和延伸，使得通信的移動(dòng)化和個(gè)性化成為了可能。光波包括紅外線和激光，但由于光波易受天氣影響，不具備穿透能力，難以實(shí)際應(yīng)用。 WLAN的主要技術(shù)標(biāo)準(zhǔn) 目前最普及、2001年，、網(wǎng)絡(luò)吞吐速率54Mbps，它通過(guò)采用智能天線技術(shù)，、108Mbps，提供到300Mbps甚至是600Mbps，引起了市場(chǎng)很大反響。遇到網(wǎng)絡(luò)盲點(diǎn)時(shí)，須鋪設(shè)專用通信線路，成本高，難度大、耗時(shí)長(zhǎng)，線路一旦出現(xiàn)故障排查、維修不便，無(wú)線校園網(wǎng)較之有線校園網(wǎng)，具有以下幾點(diǎn)優(yōu)勢(shì)： 隨著近幾年無(wú)線網(wǎng)絡(luò)設(shè)備不斷普及，無(wú)線網(wǎng)絡(luò)成本已經(jīng)接近甚至低于傳統(tǒng)有線網(wǎng)絡(luò)成本，而在網(wǎng)絡(luò)施工上，無(wú)線網(wǎng)絡(luò)最大的優(yōu)勢(shì)就是免去或減少了網(wǎng)絡(luò)布線的工作量，鋪設(shè)無(wú)須掘溝埋管，省去了大量線路鋪設(shè)的費(fèi)用和時(shí)間。 無(wú)線局域網(wǎng)可以按當(dāng)時(shí)的需要容量來(lái)安裝設(shè)備，甚至可以“現(xiàn)用現(xiàn)裝”而傳統(tǒng)有線網(wǎng)絡(luò)，網(wǎng)絡(luò)設(shè)備的安放位置受到網(wǎng)絡(luò)信息點(diǎn)位置的限制，一旦無(wú)線局域網(wǎng)建成后，在無(wú)線網(wǎng)的信號(hào)覆蓋區(qū)域內(nèi)任何一個(gè)位置都可以接入網(wǎng)絡(luò)，進(jìn)行通訊。VoIP、資源共享、網(wǎng)絡(luò)教學(xué)、視頻會(huì)議等許多基于無(wú)線通信的技術(shù)將大大方便了師生們工作、學(xué)習(xí)。無(wú)線化教學(xué) 無(wú)線校園網(wǎng)可以對(duì)教學(xué)資源進(jìn)行有效地整合和利用，其中包括已經(jīng)存儲(chǔ)在服務(wù)器中的資料，以及正在上的某一節(jié)課，從而改變傳統(tǒng)的教學(xué)方式，解決了很多學(xué)校學(xué)生多機(jī)器少，排課困難的問(wèn)題。 ，在進(jìn)行實(shí)際的網(wǎng)絡(luò)設(shè)計(jì)時(shí)，我們會(huì)遵循下列原則： 采用先進(jìn)的設(shè)計(jì)思想，選用先進(jìn)的網(wǎng)絡(luò)設(shè)備，使網(wǎng)絡(luò)在今后一定時(shí)期內(nèi)保持技術(shù)上的先進(jìn)性。 網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)必須貫徹安全性原則，以防止來(lái)自網(wǎng)絡(luò)內(nèi)部和外部的各種破壞。 網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的可管理性，使得網(wǎng)絡(luò)管理人員能方便及時(shí)地掌握諸如網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)性能統(tǒng)計(jì)、網(wǎng)絡(luò)故障等信息，能簡(jiǎn)便地對(duì)網(wǎng)絡(luò)進(jìn)行配置和調(diào)整，確保網(wǎng)絡(luò)工作在良好狀態(tài)。這樣可以使無(wú)線網(wǎng)絡(luò)更加靈活，尤其是活動(dòng)熱點(diǎn)地區(qū)。這導(dǎo)致了無(wú)線網(wǎng)絡(luò)的很不安全，因?yàn)槿魏我粋€(gè)終端發(fā)送的數(shù)據(jù)包，都會(huì)在無(wú)線網(wǎng)絡(luò)中廣播發(fā)送，若其他別有用心的人用抓包軟件抓包，就可以竊取別人數(shù)據(jù)包中的信息。然而，也不必過(guò)度擔(dān)憂，我們可以給無(wú)線網(wǎng)絡(luò)加密，提高無(wú)線網(wǎng)絡(luò)的安全性。 ——即便是比較新的加密方案，如WPA2，也可以被那些自動(dòng)套取密碼的進(jìn)程攻克?；蛘呤褂酶鼮閺?fù)雜的密碼，如“w1f1p4ss”。 ——許多無(wú)線路由器都自帶默認(rèn)的無(wú)線網(wǎng)絡(luò)名稱，也就是我們所知道的SSID，如“netgear”或“l(fā)inksys”，大多數(shù)用戶都不會(huì)想到要對(duì)這些名稱進(jìn)行更改。 ，添加數(shù)字，特殊符號(hào)和大小寫(xiě)字母——復(fù)雜的密碼增加了字符數(shù)，這樣便會(huì)增加密碼破解的難度。如果你只使用小寫(xiě)字母，那么密碼的可能性達(dá)到36的四次方。 為何要進(jìn)行用戶權(quán)限的分配控制？ 校園網(wǎng)面對(duì)的是處于青春躁動(dòng)期的年輕學(xué)生，他們求知欲強(qiáng)，好奇心重，精力旺盛，更有強(qiáng)烈的表現(xiàn)欲，校園網(wǎng)首當(dāng)其沖容易成為他們實(shí)驗(yàn)的目標(biāo)。如何實(shí)現(xiàn)用戶權(quán)限的分配控制？。在本方案中宿舍區(qū)，實(shí)驗(yàn)樓科教區(qū)使用統(tǒng)一認(rèn)證的方式來(lái)進(jìn)行上網(wǎng)，辦公及教室區(qū)使用單機(jī)綁定MAC地址及IP地址的方式實(shí)現(xiàn)上網(wǎng)需求。該功能能更靈活、更有效地實(shí)現(xiàn)校園網(wǎng)的運(yùn)營(yíng)。具體配置如下：switchconfig terminalswitch(config)hostname SW1 //修改交換機(jī)的名字SW1(config)line console 0 //進(jìn)入交換機(jī)的控制臺(tái)端口SW1 (configline)password cisco //設(shè)置控制臺(tái)登陸密碼cisco SW1 (configline)loginSW1 (configline)exitSW1 (config)line vty 0 4 //進(jìn)入交換機(jī)的