【正文】 是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎上增加了VLAN 頭，用 VLAN ID 把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。 VLAN 將廣播域限制在單個 VLAN 內(nèi)部，減小了各 VLAN 間主機的廣播通信對其他 VLAN 的影響。 當網(wǎng)絡管理人員需要管理的交換機數(shù)量眾多時，可以使用 VLAN 中繼協(xié)議（ Vlan Trunking Protocol， VTP）簡化管理，它只需在單獨一臺交換機上定義所有 VLAN。這樣，大大減輕了網(wǎng)絡管理人員的工作負擔和工作強度。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務。不同的廣域網(wǎng)連接類型提供的服務質(zhì)量不同，花費也不相同。 關鍵網(wǎng)絡 設備 ： Cisco 3640 路由器、 Cisco Catalyst 2950 24 口交換機、Cisco Catalyst 3560 交換機、 Cisco Catalyst 4006 交換機 ，防火墻 ，中繼器 ，雙絞線 。 在本設計方案中對 田家炳中學 校園網(wǎng)的設計進行了適當和必要的簡化 ， 同時 將重點放在網(wǎng)絡主干的設計上，對于服務器的架設只作簡單介紹。 2 棟教學樓都是 5 層 5 建筑，每一層有 8 個教室，所以教學樓各個教室總共有 80 個信息點。微機室共有 65 臺微機。 IP 地址及 VLAN 規(guī)劃 校園網(wǎng)中 VLAN 劃分 及 IP 編址方案如 下 表所示 ： 表 1 VLAN 及 IP 編址方案 VLAN 號 VLAN 名稱 IP 網(wǎng)段 默認網(wǎng)關 單位 VLAN1 —— 計算機中心 VLAN VLAN10 WJS 教學樓各教 室 VLAN VLAN20 JWC 教務 、財務 處 VLAN VLAN30 JSL VLAN40 TSG VLAN50 SS 教師、 學生 宿 舍 VLAN VLAN60 FW 服務器群 VLAN IP 地址如此劃分，地址足夠田家炳中學校園網(wǎng)主機用了， 這里我們規(guī)劃了 6個 VLAN，同時為每個 VLAN 定義了一個由拼音縮寫組成的 VLAN 名稱。學生 教師宿舍樓也有將近 100 個信息點也至少需要 4 臺 24 口交換機 。 機房與宿舍樓之間距離超過 100m，用普通的雙絞線傳輸信號會信號會減弱甚至丟失，所以它們之間需要一個中繼器。 交換模塊設計 校園網(wǎng) 數(shù)據(jù)交換設備可以劃分為三個層次：訪問層、分布層、核心層 ，所以為了簡化交換網(wǎng)絡設計、提高交換網(wǎng)絡的可擴展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換 的部署 也 是分層進行的 ?，F(xiàn)代交換技術還實現(xiàn)了第3 層交換和多層交換 ， 第三層交換正迅速發(fā)展成可作為下一代應用啟動平臺的最適合的網(wǎng)絡技術 。 現(xiàn)代交換網(wǎng)絡還引入了虛擬局域網(wǎng)（ Virtual LAN， VLAN）的概念。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN 內(nèi)的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理 LAN 網(wǎng)段。 VLAN 是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎上增加了 VLAN 頭，用 VLAN 把 用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。 VLAN將廣播域限制在單個 VLAN 內(nèi)部，減小了各 VLAN 間主機的廣播通信對其他 VLAN的影響。 當網(wǎng)絡管理人員需要管理的交換機數(shù)量眾多時，可以使用 VLAN 中繼協(xié)議（ Vlan Trunking Protocol， VTP）簡化管理，它只需在單獨一臺交換機上定義所有 VLAN。這樣，大大減輕了網(wǎng)絡管理人員的工作負擔和工作強度。 本校園網(wǎng) 訪問層交換機采用的是 Cisco Catalyst 2950 24 口交換機 ， 擁有 24 個 10/100Mbps 自適應快速以太網(wǎng)端口，如圖： 圖 3 訪問層交換機 8 1)．基本 配置 （ 1）交換機名稱 設置 Switch(config)hostname AS1，為交換機命名。此口令會以 MD5 的形式加密， 所以 ，當用戶查看配置文件時，無法看到明文形式的口令。處于安全考慮，在能夠遠程管理交換機之前網(wǎng)絡管理人員必須設置遠程登錄交換機的口令。 （ 4）終端線超時 時間 AS1(config)line vty 0 15 AS1(configline)exectimeout 5 30 AS1(configline)line con 0 AS1(configline)exectimeout 5 30 為了安全考慮，可以設置終端線超時時間。 （ 5）禁用 IP 地址解析特性 AS1(config)no ip domainlookup 利用命令 no ip domainlookup 可以禁用 在交換機默認配置的情況下，輸入一條錯誤的交換機命令時，交換機會嘗試將其廣播給網(wǎng)絡上的 DNS 服務器并將其解析成對應的 IP 地址 的 這個特性 。 AS1(configif)ip address 設置訪問層交換機 AS1 9 的管理 IP。 命令如下： AS1(configif)ip defaultgateway 3)． VLAN 及 VTP 的配置 從提高效率的角度出發(fā)，在本校園網(wǎng)實現(xiàn)實例中使用了 VTP 技術。 AS1conf t AS1(config)vtp server AS1(config)vtp domain baicai AS1(config)vtp version 2 4)．端口基本參數(shù) （ 1）端口雙工配置 設置 AS1 交換機 的所有端口均工作在全雙工模式 : AS1(config)interface range fastether 0/1 10 AS1(configifrange)duplex full （ 2）端口速度 設置 AS1 交換機 的所有端口的速度均為 100Mbps。 在本校園網(wǎng)中 訪問層交換機 AS1 為VLAN VLAN20 提供接入服務。 AS1(config)interface range fastEther 0/1 23 AS1(configifrange)switchport mode access AS1(configifrange)switchport access vlan 10 6)．主干道端口 的配置 訪問層交換機 AS1 上連到分布層交換機 DS1 的端口 。 7)． AS2 的配置 圖 4 AS2 的連接示意圖 對訪問層交換機 AS2 的配置步驟、命令和對訪問層交換機 AS1 的配置類似。 這里的分布層交換機采用的是 Cisco Catalyst 3560交換機。 對此我就不多解釋了。同時，還設置了默認網(wǎng)關的地址。 命令如下： DS1(config)vlan 10 DS1(configvlan)name WJS ? ? DS1(config)vlan 60 DS1(configvlan)name FW 4)． 冗余 為了實現(xiàn)冗余設計，分布層交換機 DS1 還通過自己的千兆端口連接另一臺到分布層交換機 DS2。這需要首先啟用分布層交換機的路由功能 ，以上是它的配置 。此外，分布層交換機 D2 還通過自己的千兆端口上連到核心交換機 CS1。如 下所示： 圖 6 DS2 連接示意圖 DS2 的配置步驟、命令和對分布層交換機 DS1 的配置類似。 13 配置核心層交換機 核心交換機并不是是交換機的一種類型，而是放為核心層（網(wǎng)絡主干部分稱）的交換機叫核心交換機 。而將網(wǎng)絡主干部分稱為核心層，核心層的主要目的在于通過高速轉(zhuǎn)發(fā)通信，提供優(yōu)化，可靠的骨干傳輸結(jié)構(gòu)，因此核心層交換機應擁有更高的可靠性，性能和吞吐量。本設計 中的核心層交換機采用的是 Cisco Catalyst 4006 交換機， 如圖所示 : 圖 7 核心交換機 CS1 1).基本參數(shù) 配置 對核心層交換 機 CS1的基本參數(shù)的配置步驟與對訪問層交換機 AS1的基本參數(shù)的配置類似。 3).端口參數(shù) 的配置 在 校園網(wǎng) 中，將核心層交換機 CS1 的千兆端口捆綁在一起實現(xiàn) 2021Mbps 的千兆以太網(wǎng)信道，然后再連接到另一臺核心層交換機 CS2 是 為了提供主干道的吞吐量以及實現(xiàn)冗余設計 。 廣域網(wǎng)接入模塊設計 在本 校園網(wǎng) 中，廣域網(wǎng)接入模塊的功能是由廣域網(wǎng)接入路由器 Router 來完成的。它的作用主要是在 Inter 和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。到 Inter 上的路由需要定義一條缺省路由， 其中 ，下一跳指定從本路由器的接口 serial 0/0 送出。原因很簡單， NAT 不僅完美地解 16 決了 lP 地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡外部的攻擊，隱藏并保護網(wǎng)絡內(nèi)部的計算機。 所以 NAT 技術很關鍵。 ACL 適用于所有的被路由協(xié)議，如 IP、 IPX、AppleTalk 等。 信息點間通信，內(nèi)外網(wǎng)絡的通信都是企業(yè)網(wǎng)絡中必不可少的業(yè)務需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權用戶只能訪問特定的網(wǎng)絡資源，從而達到對訪問進行控制的目的。 路由器是外網(wǎng)進入校園網(wǎng) 內(nèi)網(wǎng)的第一道關卡，是網(wǎng)絡防御的前沿陣地。一個設計良好的訪問控制列表不僅可以起到控制網(wǎng)絡流量、流向的作用，還可以在不增加網(wǎng)絡系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。 17 在網(wǎng)絡環(huán)境中還普遍存在著一些非常重要的、 影響服務器群安全的隱患。 我們 主要應該做以下的 ACL 設計： 對外屏蔽 SNMP 和 tel 協(xié)議。 SNMP(Simple Network Management Protocol,簡單網(wǎng)絡管理協(xié)議 )的前身是簡單網(wǎng)關監(jiān)控協(xié)議 (SGMP)，用來對通信線路進行管理 ， 利用這個協(xié)議，遠程主機可以監(jiān)視、控制網(wǎng)絡上的其它網(wǎng)絡設備。 Router(config)ip route Router(config)ip route 2)屏蔽 tel 協(xié)議 Tel 協(xié)議是 TCP/IP 協(xié)議族中的一員，是 Inter 遠程登陸服務的標準協(xié)議和主要方式。在終端使用者的電腦上使用 tel 程序，用它連接到服務器?？梢栽诒镜鼐湍芸刂品掌鳌?Tel是常用的遠程控制 Web服務器的方法 。這