设备管理_校园网设备选型与设计

目 录第一章 校园网概述- 1 -第二章 校园网设备选型- 2 -2.1校园网设备选型对校园网建设的重要意义- 2 -2.2校园网设备的分类- 2 -2.3校园网设备选型的原则- 2 -2.4 校园网交换机选择- 3 -2.4.1交换机的分类标准- 3 -2.4.2交换机的性能参数- 4 -2.4.3交换机的网络参数- 4 -2.4.4交换机的接口- 4 -2.4.5其它参数- 5 -2.5校园网路由器选择- 5 -2.5.1 路由器的分类标准- 5 -2.5.2 路由器的性能参数- 5 -第三章 校园网网络规划与设计- 7 -3.1 大学的背景- 7 -3.2 校园网用提供功能- 7 -3.3 校园网对主机系统的主要要求- 7 -3.4 校园网络系统设计方案应满足如下要求- 7 -3.5校园网对网络设备的要求- 8 -3.6 网络设计- 8 -3.6.1 目前各主流网络结构概述- 8 -3.6.2 千兆以太网技术- 8 -3.7网络总体规划- 9 -3.8网络总体设计方案- 9 -3.9网络产品定型- 10 -3.9.1网络设备中的产品定型- 10 -3.9.2校园网络出口设备定型- 11 -第四章 网络技术介绍- 12 -4.1 VLAN构建- 12 -4.1.2 VLAN的介绍- 12 -4.1.3 VLAN的作用- 12 -4.1.4 VLAN在交换机上的实现方法- 12 -4.2访问控制列表（ACL）- 14 -4.2.1访问控制列表的定义- 14 -4.2.2访问控制列表类型- 15 -4.3 RIP（路由信息协议）- 15 -4.3.1 RIP的定义- 15 -4.3.2 RIP的工作原理- 15 -4.3.3 RIP的不足指出- 16 -4.4 OSPF技术- 16 -第五章 网络的配置- 17 -5.1 网络拓扑图- 17 -5.2为交换机设置密码和主机名- 18 -5.3交换机的安全配置- 18 -5.4 三层交换机下设置VLAN- 19 -5.5 ACL的实现- 20 -5.6 RIP的配置- 21 -5.7 OSPF的配置- 21 -总结- 24 -参考文献- 25 -致谢- 26 -引言校园网是在学校范围内，在一定的教育思想和理论指导下，为学校教学、科研和管理等教育提供资源共享、信息交流和协同工作的计算机网络。随着经济的发展和国家科教兴国战略的实施，校园网络建设已逐步成为学校的基础建设项目，更成为衡量一个学校教育信息化、现代化的重要标志。目前，大多数有条件的学校已完成了校园网硬件工程建设。然后，多年来都对校园网的认识不够全面，甚至存在很大的误区。例如：认为网络建设越高档越好，在建设中盲目追求高投入，对校园网络建设的建设缺乏综合规划及开发应用；认为建好了校园网络，连接了Internet，就等于实现了教学和办公的自动化和信息化，而缺乏对校园网络的综合管理、技术人员和教师的应用培训，缺乏对教学资源的开发与积累等等。所有这些，都极大地阻碍了校园网络在学校管理、教育教学中所应发挥的实际效益。近年来，校园网络的建设在高等院校中掀起一股热潮，许多学校都建起了自己的校园网，形成了一个覆盖全国的计算机网并通过专线与Internet连通。这一方面加强了学校与国内外的联系，有利于及时了解国内的信息，有助于提高学校的科研教学水平，另一方面，校园网的建立及以其为基础的管理信息系统的开发，也有利于各学校管理水平的提高。 建设校园网对每个学校来说都不是一件容易的事情，校园网不只是涉及技术方面，而是包括网络设施、应用平台、信息资源、专业应用、人员素质等众多成份的综合化、信息化教学管理环境系统。应此每个校园网的设计、建设都要经过周密的论证、谨慎的决策和紧张的施工。网络设备选型就在校园网中占据着重要的作用，一个校园网的网络设备选的好的话将直接影响校园网未来的规划和校园的安全建设.为了更好的服务师生，校园网络设备选型应当受到人们的重视。由于校园网的开放性和可互动性，校园网的安全也被越来越多的人受到关注。但是，随之而来的安全问题也为校园网带来了前所未有的挑战。一方面，恶意代码、病毒、黑客、不良网站、人为干扰等不安全因素对校园网的正常发展造成了一定的障碍；另一方面，由于对安全问题的考虑，许多校园网对互联网的使用做了许多限制，这种限制对教学也造成了一定程度的影响。- 25 -第一章 校园网概述校园网是在学校范围内，在一定的教育思想和理论指导下，为学校教学、科研和管理等教育提供资源共享、信息交流和协同工作的计算机网络。校园网除了需要有必备的硬件设备和操作系统平台外，利用全面的校园网络管理软件、网络教学软件，实现学校多媒体教学资源、教师备课系统、电子图书阅览检索、多媒体教学软件开发平台、校园网站和教学资源网站建设等功能。为学校提供教学、管理和决策三个不同层次所需要的数据、信息和知识的一个覆盖全校管理机构和教学机构的基于Internet/Intranet技术的大型网络系统。校园网应该具有较先进的水平，体现现代教育思想，要把建设校园网的规划与学校的长远发展规划统一起来，同时把服务教学作为网络建设的着眼点和落脚点。校园网还应具有教务、行政、总务管理功能，可以进行课程管理、学生成绩与学籍管理、图书资料管理等教学教务管理，也可以进行档案管理（含人事、教师档案等）、处室管理等行政事务管理，总务后勤管理包括财务管理、设备、房产等。校园网是不以盈利为目的的。校园网上提供大量的免费资源，供广大师生工作学习之用，它所涉及的范围并不局限于校园内部。有些人认为：校园网就是大学校园围墙里面的网，即围墙里面的就是校园网，围墙外面的就是公网。这种看法是错误的。校园网的界限，并不是以用户终端所处的地理位置范围来的界定的，而是以校园网提供的接入服务范围来界定的。在校园围墙内可以有公网，在校园围墙外也可以有校园网，应满足对内对外的通信功能。第二章 校园网设备选型2.1校园网设备选型对校园网建设的重要意义一个完整的校园网建设主要包括两个内容：技术方案设计；应用信息系统资源建设。 技术方案设计主要包括：结构化布线与设备选择、网络技术选型等。应用信息系统资源建设主要包括：内部信息资源建设、外部信息资源建设等。在这里我重点说一下设备选择的重要意义。设备选择这一环节做的好的话首先可以为学校节约大笔的校园网建设费用，其次为校园网网络规模的扩大和校园网服务的扩展提供了较大空间，最后可以为综合布线节约大部分时间。2.2校园网设备的分类校园网的网络设备分为交换机，路由器，网络服务器，专业网管软件等。2.3校园网设备选型的原则校园网设备我简单的把它总结为需要硬件设备和软件设备，硬件设备包括交换机，路由器，网络服务器等.软件设备包括专业网管软件. 对于中小规模的网络，设备选型时应遵循以下一些基本原则(1) 标准化原则：所选择的设备必须基于国际标准或行业标准。因为只有基于标准的产品才有可能和其他厂商的产品互连互通（需要指出的是，并非只要基于标准的产品，彼此之间才能够互连互通）。(2) 技术简单性原则：对网络需求必须十分明确。对于普通用户而言，在满足需求的前提下，尽可能选择简单实用的技术和设备。否则，今后的运行管理、故障诊断等，都需要请专业人员，开销巨大，运行效果不见得好。 (3) 环境适应性原则：不要轻信外国某些机构的评测报告，其中不乏商业因素。而且，即使是权威机构的评测报告，也只是在特定网络环境下取得的结果，不能作为产品选型的全部依据。(4) 可管理性原则: 对于大型网络而言，这一点是至关重要的，他不但关系到系统的性能指标，甚至关系到系统的可用性。主要考查网管系统对所选设备的监管、配置能力，连同设备能够提供的统计信息和故障检测手段，如骨干交换机必须具备端口映像能力。这对于故障诊断，连同今后的网络规划具备特别重要的价值。(5) 容错冗余性原则: 除了在网络设计时要考虑冗余，骨干设备的容错冗余也是必须的。所谓容错，就是设备的某一模块出现故障时，是否会影响其他模块，乃至其他设备的正常工作；是否支持热插拔；是否支持备份设备的自动转换等。所谓冗余，就是配置的设备，是否能够安装多个相同功能的模块，在工作正常的情况下实施负载分担，当其中一个出现问题时自动转换。(6) 满足需求: 满足需求不是指简单地满足用户现有的需求，而应该综合考虑用户在将来的一段比较长的时间内的扩展性。大多数时候，单位投资都是分期进行的，但规划必须尽可能一步到位；不能出现一期满足需要，到了二期就不能再扩的情况，设备选型必须在最大程度上保护用户的投资。 (7) 实用: 当然，设备选型也不能太超前，一定要经济实用。对于模块化的网络设备，要注意模块的有效利用，同时建议要用的时候再购买模块。 2.4 校园网交换机选择2.4.1交换机的分类标准(1)根据网络覆盖范围可把交换机分为局域网交换机和 广域网交换机。(2)根据传输介质和传输速度可把交换机分为以太网交换机，快速以太网交换机，千兆位以太网交换机，10千兆位以太网交换机，ATM交换机，FDDI交换机和令牌环交换机。(3)根据网络层次可把交换机分为企业级交换机，校园网交换机，部门级交换机和工作组交换机，桌机型交换机。(4)根据交换机接口结构可把交换机分为固定接口交换机和模块划交换机。(5)根据工作层协议可把交换机分为第二层交换机，第三层交换机和第四层交换机。(6)根据是否支持网管功能可把交换机分为网管型交换机和 非网管型交换机。2.4.2交换机的性能参数(1)背板带宽：交换机的背板带宽，是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量.背板带宽标志了交换机总的数据交换能力，单位为Gbps,也称为交换带宽.一 台交换机的背板带宽越高，所能处理数据的能力就越强，但同时设计成本也会越高。(2)包转发率：包转发率标志了交换机转发数据包能力的大小。单位一般为pps(包每秒).其实交换机的背板带宽就决定了包转发率，及交换机的背板带宽越高，交换机处理数据的能力就越强，交换机的包转发率就越高。(3)VLAN支持：VLAN是虚拟局域网的的意思。它从逻辑上把网络划分成一个个网段，从而实现虚拟工作组（单元）的数据交换能力。通过给局域网划分VLAN可以有效的减少广播风暴，广播碰撞问题和网络带宽资源的浪费等问题，它还具有很高的灵活性和安全性，是局域网安全建设的一个重要环节。(4)MAC地址表：MAC地址表存放于交换机的缓存中，并记住这些地址，这样一来当需要向目的地址发送数据时，交换机就可在MAC地址表中查找这个MAC地址的节点位置，然后直接向这个节点发送。所谓MAC地址数量是指交换机的MAC地址表中可以最多存储的MAC地址数量，存储的MAC地址数量越多，那么数据转发的速度和效率也就越高。(5)交换机内存：交换机中可能有多种内存，例如FLASH（闪存），DRAM（动态内存）ROM（只读内存），RAM（可读，可写的存储器）。2.4.3交换机的网络参数(1)交换机所支持的网络标准协议。(2)交换机的数据传输数率：交换机的数据传输速率是指交换机接口的数据交换速率.目前常见的有10Mbps,100Mbps.1000Mbps等几类。2.4.4交换机的接口(1)交换机的接口类型：接口类型是指交换机的接口是以太网，令牌环，FDDI还是ATM等类型，一般来说，固定接口交换机只有单一类型的接口，适合中小企业或个人用户使用，而模块化交换机由于可以有不同类型的介质可供选择，故接口类型更为丰富，类交换机适合部门级以上级别的用户选择。(2)交换机的接口数：选择交换机设备时选择合适的交换机接口数有利于交换机和电脑的分配。2.4.5其它参数(1)是否支持全双工：支持全双工的交换机可以同步发送和接收数据。(2)是否支持网管功能：网络管理，是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作，包括配置管理，性能和记账理，问题管理，操作管理和变化管理等。一台设备所支持的管理程度反映了该设备的可管理性和可操作性。常见的网络管理方式有SNMP管理技术，RMON技术，基于WEB的管理技术等。(3)堆叠：为了使交换机满足大型网络对端口数量的要求，一般需要交换机支持堆叠模式。堆叠技术一方面增加了用户端口，能够在交换机之间建立一条较宽的宽带链路，能避免级联方式的瓶颈；另一方面多个交换机能够作为一个大的交换机，便于统一管理。2.5校园网路由器选择 2.5.1 路由器的分类标准(1)从档次上分，路由器可分高、中和低档路由器，不过各厂家划分并不完全一致。(2)从性能上分，路由器可分为线速路由器以及非线速路由器。(3)从结构上分，路由器可分为模块化结构与非模块化结构。模块化结构可以灵活地配置路由器，以适应企业不断增加的业务需求，非模块化的就只能提供固定的端口。(4)从功能上划分，可将路由器分为核心层（骨干级）路由器，企业级路由器和访问层（接入级）路由器。(5)从应用划分，路由器可分为通用路由器与专用路由器。一般所说的路由器皆为通用路由器。专用路由器通常为实现某种特定功能对路由器接口、硬件等作专门优化。2.5.2 路由器的性能参数(1)CPUCPU是路由器最核心的组成部分。不同系列、不同型号的路由器，其中的CPU也不尽相同。处理器的好坏直接影响路由器的吞吐量（路由表查找时间）和路由计算能力（影响网络路由收敛时间）。(2)内存路由器中存在多种内存，例如 例如Flash（闪存）、DRAM（动态内存）等。内存用作存储配置、路由器操作系统、路由协议软件等内容。路由表可能存储在内存中。通常来说路由器内存越大越好（不考虑价格）。但是与CPU能力类似，内存同样不直接反映路由器性能与能力。 (3)吞吐量吞吐量是指在不丢包的情况下单位时间内通过的数据包数量，也就是指设备整机数据包转发的能力，是设备性能的重要指标。路由器吞吐量表示的是路由器每秒能处理的数据量，是路由器性能的一个直观上的反映。(4)线速转发能力所谓线速转发能力，就是指在达到端口最大速率的时候，路由器传输的数据没有丢包. 线速转发是路由器性能的一个重要指标。简单的说就是进来多大的流量，就出去多大的流量，不会因为设备处理能力的问题而造成吞吐量下降。 (5)支持的网管协议在路由器中最常见的路由协议是SNMP。中文名称为简单网络管理协议.支持的网关协议越多，越容易管理网络。(6)带机数量带机数量很好理解，就是路由器能负载的计算机数量。在厂商介绍的性能参数表上经常可以看到标称自己的路由器能带200台PC、300台PC的，但是很多时候路由器的表现与标称的值都有很大的差别。(7)是否支持VPNVPN是虚拟专用网的简称。VPN是一种快速建立广域联接的互联和访问工具，也是一种强化网络安全和管理的工具。 VPN功能的路由器主要作用于远程访问本地局域网。(8)是否支持QoSQoS的英文全称为Quality of Service，中文名为服务质量。QoS是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS 能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。(9)是否内置防火墙防火墙是隔离本地和外部网络的一道防御系统。路由器支持防火墙功能可以有效地提高网络的安全性。第三章 校园网网络规划与设计3.1 大学的背景大学是一所极具现代意识，以现代化教学为特色的地方。为了更好地使用电脑这一现代化的高科技产物，使其在教学、管理等方面发挥应有的作用，学校计划在校内建立校园网并与国际互连网(Internet)相连。3.2 校园网用提供功能(1)连接校内所有教学楼，学生宿舍，教师宿舍，财务室等的pc。(2)同时支持约5000用户浏览Internet。(3)提供丰富的网络服务，实现广泛的软件，硬件资源共享，包括：提供基本的Internet网络服务功能：如电子邮件、对外个人主页服务、ftp服务、域名服务等。3.3 校园网对主机系统的主要要求(1)主机系统应采用国际上较新的主流技术，并具有良好的向后扩展能力。(2)主机系统应具有高的可靠性，能长时间连续工作，并有容错措施。(3)支持通用大型数据库，如SQL、Oracle等。(4)具有广泛的软件支持，软件兼容性好，并支持多种传输协议。(5)能与Internet互联，可提供互联网的应用，如WWW浏览服务、FTP文件传输服务、E-mail电子邮件服务等服务。(6)支持SNMP网络管理协议，具有良好的可管理性和可维护性。3.4 校园网络系统设计方案应满足如下要求(1)网络方案应采用成熟的技术，并尽可能采用先进的技术。(2)采用国际统一标准，以拥有广泛的支持厂商，最大限度的采用同一厂家的产品。(3)方案应合理分配带宽，使用户不受网上“塞车”的影响。(4)应充分考虑未来可能的应用，如桌面将承受大型应用软件和多媒体传输需求的压力。(5)该网络方案要具有高扩展性,能为用户未来数目的扩展具有调整、扩充的手段和方法。3.5校园网对网络设备的要求(1)高性能:所有网络设备都应足够的吞吐量。(2)高可靠性和高可用性:应考虑多种容错技术。(3)可管理性:所有网络设备均可用适当的网管软件进行监控、管理和设置。(4)采用国际统一的标准。(5)高性价比:尽最大可能提高设备的性价比。3.6 网络设计3.6.1 目前各主流网络结构概述快速以太网实际上是10Mbps以太网的100Mbps版本，所以它的运行速度要比10Mbps以太网快十倍。在用户已经很熟悉传统以太网的情况下，快速以太网相对其他高速网络技术更容易被掌握和接受，它可以应用在共享式和主干环境下，提供高带宽的共享式网络或主干连接，同时也可以应用在交换式环境下，提供优异的服务质量(QoS)。快速以太网与传统的以太网技术相似，毋庸赘言，此外它还具备以下优点：(1) 快速以太网和普通以太网同样遵循CSMA/CD协议，现有的10BaseT网络设备可以相当简便地升级到快速以太网，保护用户原有的投资，与其它新型网络技术相比，更方便地使现有的10MbpsLAN无缝连接到100MbpsLAN上。(2)100BaseT集线器和网络接口卡，只需要比10BaseT同样的设备多花少量费用就可提供比普通以太网高10倍的性能。因此，100BaseT具备较高的性能价格比。(3) 快速以太网(100BaseT)已得到IEEE任命标准为802.3u，并得到了所有的主流网络厂商的支持。3.6.2 千兆以太网技术千兆以太网是相当成功的10Mbps以太网和100Mbps快速以太网连接标准的扩展。IEEE已批准千兆位以太网工程IEEE802.3z。千兆位以太网和已充分建立的以太网与快速以太网的节点完全匹配。最初的以太网规范由帧格式定义，且支持CSMA/CD协议、全双工、流控制和由IEEE802.3标准定义的管理项目，千兆位以太网将使用所有这些规范。总之，千兆位以太网和管理员以前使用和了解的以太网相同，所不同是仅仅是比快速以太网快十倍和它与当前的高带宽需求应用程序相协调的额外特性，而且和日益增强的服务器和台式计算机的功能相匹配。我们可以看到主干和各网段及桌面已实现了无缝结合，网络管理变得不再让用户望而生畏。3.7网络总体规划综上所述，此次校园网设计主要采用千兆以太网的设计方案在网络方案的选择上，采用千兆以太网作为校园网的网络总体结构无论在高带宽、可适应性、可扩展性、高性价比、良好的管理性和维护性等各方面都是最明智的选择，成为学校校园网完整的、经济的解决方案。3.8网络总体设计方案为了实现网络设备的统一，本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。本校园网设计方案主要由以下四大部分构成：交换模块、广域网接入模块、远程访问模块、服务器群。整个网络系统的拓扑结构图如图1-1所示。在后面的几节中我们将根据此图分块进行介绍。3.9网络产品定型3.9.1网络设备中的产品定型(1)主干交换机的定型根据前面的设备选型原则和结合校园的实际情况分析，两个校区的主干交换机均选择CISCO WS-C4948-S, CISCO WS-C4948-S具有48个10/100M快速以太网和4个千兆以太网端口，具备第三层交换的特性，高线速，低延迟是它最基本的特征。它还支持所有常见的网络标准，符合高智能化的交换机定位。对于安全方面也有巨大的优点。(2)汇聚层交换机的定型根据前面讲的汇聚层交换机选型原则和校园的实际情况分析，核心层计算机打算使用CISCO WS-C2960-48TT-L， CISCO WS-C2960-24TT-L。交换机名称CISCO WS-C2960-48TT-LCISCO WS-C2960-24TT-L传输速率10 Mbps /100 Mbps /1000Mbps10Mbps/100Mbps/1000Mbps端口数量4824背板带宽6.8Gbps4.4Gbps包转发率10.1Mpps6.5Mpps网络协议IEEE 802.3、IEEE 802.3u、IEEE 802.1x、IEEE 802.1Q等IEEE 802.3、IEEE 802.3u、IEEE 802.1x、IEEE 802.1Q等内存64Mb64MB尺寸（mm）44*445*23644*445*236.重量（Kg）.(3)接入层交换机的定型作为低端交换机产品，接入交换机产品同质化现象比较严重。用户要从自身需求，供应商服务情况及产品功能4个方面认真加以权衡，选择合适的产品。接入层交换机打算使用华为2024C。华为2024参数：传输速率：10Mbps/100Mbps.端口数量：24个10/100M以太网电口。背板带宽：9.6Gbps.包转发率：3.87Mpps.支持VLAN和网管功能。尺寸（mm）: 436*42*240.重量(Kg)：3kg。3.9.2校园网络出口设备定型Cisco7206VXR路由器两台。Cisco7206VXR也提供了目前路由器常用的一些功能，如虚拟服务器，IP过滤等功能，能够很好的实现校园内部网络和互联网之间的连接。这款路由器的性能非常强劲，每秒钟可以交换30万个数据包，而且采用了机箱模块，可以轻松的实现8000台计算机连接。强劲的语音功能更是这款路由器的一大亮点。加在远程访问路由器防火墙是思科公司著名的软硬件结合的专用安全设备，也是本方案的亮点之一，它体现出用户对网络安全的极度关注。所有流经PIX的数据都必须接受严格而全面的检验，检验内容包括数据的源和目标地址、TCP随机序列号、TCP端口号和附加标志等，只有满足特定条件的数据才能穿过这道防火墙。相对集成在路由器上的防火墙和软件防火墙而言，PIX使用自己专有的软件系统，不需借助于外部操作平台，内核技术不公开，因此能更有效地阻止网络黑客的攻击;而配套的硬件组成使其数据处理效率更高;此外，PIX还支持网络地址翻译的功能，能够实现内部IP到合法IP的转换，方便更多的用户利用有限地IP地址资源作Internet访问。 第四章 网络技术介绍4.1 VLAN构建4.1.2 VLAN的介绍VLAN，是英文Virtual Local Area Network的缩写，中文名为虚拟局域网， VLAN是一种将局域网（LAN）设备从逻辑上划分（注意，不是从物理上划分）成一个个网段（或者说是更小的局域网LAN），从而实现虚拟工作组（单元）的数据交换技术。VLAN这一新兴技术主要应用于交换机和路由器中，但目前主流应用还是在交换机之中。不过不是所有交换机都具有此功能，只有三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个 VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段 。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。4.1.3 VLAN的作用(1)端口的分隔。即便在同一个交换机上，处于不同VLAN的端口也是不能通信的。这样一个物理的交换机可以当作多个逻辑的交换机使用。(2)网络的安全。不同VLAN不能直接通信，杜绝了广播信息的不安全性。(3)灵活的管理。更改用户所属的网络不必换端口和连线，只更改软件配置就可以了。4.1.4 VLAN在交换机上的实现方法VLAN在交换机上的实现方法，可以大致划分为六类: (1)基于端口的VLAN 这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协 议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。 对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能 。从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。(2)基于MAC地址的VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的MAC地址，VLAN交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。由这种划分的机制可以看出，这种VLAN的划分方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，因为它是基于用户，而不是基于交换机的端口。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，保存了许多用户的MAC地址，查询起来相当不容易。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须经常配置。(3)基于网络层协议的VLAN VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络 。这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都 可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。 (4)根据IP组播的VLAN IP 组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局域网，主要是效率不高。 (5)按策略划分的VLAN 基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN 。 (6)基于用户定义按用户定义、非用户授权划分的VLAN基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。4.2访问控制列表（ACL）4.2.1访问控制列表的定义访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。4.2.2访问控制列表类型(1)标准IP访问控制列表一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。(2)扩展IP访问控制列表扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。(3)命名的IP访问控制列表所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。(4)标准IPX访问控制列表标准IPX访问控制列表的编号范围是800-899，它检查IPX源网络号和目的网络号，同样可以检查源地址和目的地址的节点号部分。(5)扩展IPX访问控制列表扩展IPX访问控制列表在标准IPX访问控制列表的基础上，增加了对IPX报头中以下几个宇段的检查，它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围是900-999。(6)命名的IPX访问控制列表与命名的IP访问控制列表一样，命名的IPX访问控制列表是使用列表名取代列表编号。从而方便定义和引用列表，同样有标准和扩展之分。4.3 RIP（路由信息协议）4.3.1 RIP的定义RIP的英文全称是“Routing Information Protocol”，翻译过来就是一种在网关与主机之间交换路由选择信息的标准。4.3.2 RIP的工作原理RIP通过广播UDP报文来交换路由信息，每30秒发送一次路由信息更新。RIP提供跳跃计数(hop count)作为尺度来衡量路由距离，跳跃计数是一个包到达目标所必须经过的路由器的数目。如果到相同目标有二个不等速或不同带宽的路由器，但跳跃计数相同，则RIP认为两个路由是等距离的。RIP最多支持的跳数为15，即在源和目的网间所要经过的最多路由器的数目为15，跳数16表示不可达。4.3.3 RIP的不足指出(1)过于简单，以跳数为依据计算度量值，经常得出非最优路由。例如：2跳64K专线，和3跳1000M光纤，显然多跳一下没什么不好。(2)度量值以16为限，不适合大的网络。解决路由环路问题，16跳在rip中被认为是无穷大，rip是一种域内路由算法自治路由算法，多用于园区网和企业网。(3)安全性差，接受来自任何设备的路由更新。无密码验证机制，默认接受任何地方任何设备的路由更行。不能防止恶意的rip欺骗。(4)不支持无类ip地址和VLAM。(5)收敛性差，时间经常大于5分钟。(6)消耗带宽很大。完整的复制路由表，把自己的路由表复制给所有邻居，尤其在低速广域网链路上更以显式的全量更新。4.4 OSPF技术OSPF(Open Shortest Path First)是一个内部网关协议(Interior Gateway Protocol,简称IGP)，用于在单一自治系统(autonomous system,AS)内决策路由。与RIP相对，OSPF是链路状态路有协议，而RIP是距离向量路由协议。链路是路由器接口的另一种说法，因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。 第五章 网络的配置5.1 网络拓扑图 PC机的配置 设备名IP地址子网掩码默认网关VLAN号PC0VLAN10PC1VLAN10PC2VLAN20PC3VLAN20PC4VLAN30PC5VLAN30PC6VLAN40PC7VLAN40Server0-5.2为交换机设置密码和主机名Switchen/进入特权模式Switch#conf t/进入全局模式Switch(config)#enable password su/设置交换机密码为suSwitch(config)#hostname jieru/设置主机名为jieru5.3交换机的安全配置SwitchenSwitch#Switch(config)#int f0/1Switch(config-if)#switchport mode access /规定端口模式为Access模式。Switch(config-if)#switchport port-security mac-address xx-xx-xx/配置接口mac地址。Switch(config-if)#switchport port-security maximum 1/限制此端口允许通过的mac地址数为1。Switch(config-if)#switchport port-security violation shutdown/当发现与上述配置不符时，端口down掉。Switch(config-if)# switchport trunk encapsulation dot1q/封装dot1q协议。Switch(config-if)# switchport mode trunk/配置端口模式为trunk。Switch(config-if)# switchport port-security maximum 100/允许此端口通过的最大mac地址数目为100。802.1x的相关配置Switch(config)# aaa new-model/启用AAA 认证Switch(config)# aaa authentication dot1x default local/全局启用802.1x协议认证，并使用本地用户名与密码。Switch(config)# int range f0/1 -24/进入1-24号端口Switch(config-if-range)#dot1x port-control auto/在所有的接口上启用802.1x身份认证5.4 三层交换机下设置VLANVtp server下的交换机配置MultilayerSwitch0#vlan database/进入vlan模式MultilayerSwitch0(vlan)#vtp server/设置交换机为服务器模式MultilayerSwitch0#vtp domain su/设置管理域名称为suMultilayerSwitch0#vlan 10 name jiaowuMultilayerSwitch0#vlan 20 name xsssMultilayerSwitch0#vlan 30 name jsssMultilayerSwitch0#vlan 40 name js/创建vlan10,vlan 20, vlan 30,vlan 40。命名为jiaowu,xsss,jsss,jsMultilayer Switch0#int vlan 10/进入vlan10虚接口MultilayerSwitch0(config-if)#ip add /为vlan10 虚接口配置ip地址Multilayer Switch0(config)#int vlan 20/进入vlan20虚接口MultilayerSwitch0(config-if)#ip add /为vlan20虚接口配置ip地址Multilayer Switch0(config)#int vlan 30/进入vlan30虚接口MultilayerSwitch0(config-if)#ip add /为vlan30虚接口配置ip地址MultilayerSwitch0(config)#int vlan 40/进入vlan 40虚接口MultilayerSwitch0(config-if)#ip add /为vlan40虚接口配置IP地址MultilayerSwitch0(config)#int range f0/1 2MultilayerSwitch0(config)#switchport mode trunk/把0-1端口设为汇聚端口Vtp client下的交换机配置MultilayerSwitch1(vlan)#vtp client/设置交换机为客户机模式MultilayerSwitch1(vlan)#vtp domain su/设置管理域名称为suSwitch0(config)#int range f0/3 - 6Switch0(config-if)#switchport access vlan 10Switch0(config)#int range f0/7 - 10Switch0(config-if)#switchport access vlan 20Switch0(config)#int range f0/11 - 14Switch0(config-if)#switchport access vlan 30Switch0(config)#int range f0/15 - 18Switch0(config-if)#switchport access vlan 40/划分端口到相应的vlan5.5 ACL的实现在总部汇聚交换机上配置访问控制列表，以实现以实现财务部只能和服务器群进行通信，学生宿舍在规定每周星期一到星期五的早上6：00到晚上23：00只能访问Internet网的WEB服务，其他任何服务都不能进行访问。MultilayerSwitch0(config)#access-list 100 permit tcp 55 55/定义一条只允许（财务部）到（服务器群）列表号为101的访问控制列表MultilayerSwitch0(config)#access-list 101 permit tcp 55 Any eq www/新建一条引许 （学生宿舍）访问任何网络的Web服务的列表号为102的访问控制列表 MultilayerSwitch0(config)#time range min periodic weekday 8:00 to 18:00/定义一个名为su，时间段为工作日的每天早上8点到16点的时间范围MultilayerSwitch0(config)#interface vlan 20/