基于三层交换机的校园网构建.doc

摘要当今社会已步入信息社会，信息成为社会经济发展的核心因素，信息化已成为当今世界潮流。可以说，信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。随着信息时代的来临,知识的更新换代在加快，如何更好、更快、更便捷的学习和掌握新知识，是现代教育正面临的问题，利用现代化的电教设备，充分发挥科学教育的优越性，是提高教学质量的重要手段，因此校园网的建设越来越受到各大校园的重视。校园网络的建设在全国各大校园中掀起一股热潮，许多学校都建起了自己的校园网。校园网是利用Internet 技术把一个学校内的信息资源全部链接起来，使全校师生员工能共享和传递校园网络上的各种信息资源，同时又能通过通信线路与外部的Internet网络相互连接。校园网是学校教育资源的重要组成部分，已成为现代高等学校不可或缺的重要基础设施和基础条件。校园网建设为高校利用网络化、信息化手段提高教学质量、促进研究型自主学习提供了更为广阔、自由的教学与科研空间，从而推动了教育教学的整体变革1。一个学校有了自己的校园网，一方面学校的老师和学生足不出校就能及时的获取外界的信息，了解到全国各地最新的动态，方便与其他地区的联系和信息的交流，有利于提高学校的科研教学水平，另一方面也能更好的管理学校，它能为现代化教学、综合信息管理和办公自动化等一系列应用提供基本操作平台。建设校园网对每个学校来说都不是一件容易的事情，校园网不只是涉及技术方面，而是包括网络设施、应用平台、信息资源、专业应用、人员素质等众多成份的综合化、信息化教学管理环境系统。本毕业设计课题主要是基于三层交换技术和局域网技术来构建校园网。 关键字：校园网；三层交换技术；虚拟局域网；IPV4网目录1 校园网的规划31.1校园网规划31.1.1.需求分析31.1.2设计目标31.1.3设计原则41.1.4设计方案51.1.5设备选择62 主要技术概述72.1三层交换技术72.1.1三层交换技术的概念72.1.2三层交换技术的原理72.1.3三层交换技术的功能82.1.4三层交换机的特点82.2虚拟局域网技术92.2.1虚拟局域网技术的概念92.2.2虚拟局域网技术的功能102.2.3虚拟局域网的特征112.2.4划分VLAN的方法112.2.5虚拟局域网存在的问题123 子网划分和子网编址133.1子网划分133.1.1子网划分的原则133.1.2 IP地址划分133.1.3 Vlan 设计133.2子网编址144 网络设计方案描述154.1网络总体规划设计154.1.1核心层设计154.1.2汇聚层设计164.1.3接入层设计164.2软件仿真部分174.2.1 Cisco Packet Tracer仿真软件介绍174.2.2仿真拓扑图224.2.3主要设备介绍及配置234.2.4一些重要的配置命令255 性能测试276 总结语30参考文献32致 谢331 校园网的规划1.1校园网规划 1.1.1.需求分析校园网必须能覆盖整个校园，包括教学楼、宿舍楼、图书馆、实验楼、办公楼等等，具备通讯、管理、教学等一个学校所需要的功能。教师通过校园网不仅能及时的掌握学生的动态，与学生及时的交流，还可以方便快捷的浏览与教学相关的网页，查询网上的资源，能够及时的了解现代教育发展的现状和本学科的一些前言知识，更好的进行教学和科研工作；学生通过校园网不仅能够及时的了解学校发布的信息、新推出的政策、学校最近一段时间的活动，还可以方便的与他人进行交流，从网上查询一些学习资料，通过网络进行网上学习，视频学习等，及时的了解教育方面前沿的信息，扩充自己的知识面，开阔视野；学校的管理人员通过校园网可以方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理，同时可以实现各级管理层之间的信息数据交换，实现网上信息采集和处理的自动化，实现信息和设备资源的共享。校园网还应实现虚拟局域网（VLAN）的功能，以保证全网的良好性能及网络安全性。主干网交换机应具有很高的包交换速度，整个网络应具有高速的三层交换功能。1.1.2设计目标 （1）最基本的目标是：建设校园网络中心，并通过一定的网络拓扑结构构建连接校园网络中心、计算机教室、实验室、教学楼、办公楼、学生宿舍楼、图书馆等的校园网，使之能通过一定的应用软件完成行政办公管理、教师备课授课、学生学习交流、校内信息公告、远程电子通讯等基本功能构建普通学校校内Internet环境，并通过代理服务器接入Internet，实现与Internet 交流，实现广泛的软件、硬件资源共享，如网上冲浪、电子邮件、文件传输、远程登录、存储数据及论坛讨论等。（2）校园网系统高可靠性在考虑现有网络的基础上,整个业务网网络结构的拓扑结构尽量采用稳定可靠的结构形式,以保证整个网络的高可靠性。网络设备和整个网络系统必须具备高可靠性特征。（3）校园网系统高稳定性其中核心交换机采用高性能,为整个校园网提供真正的高速无阻塞的传输,保证全线速交换；不仅硬件实现三层路由和交换，关键功能均通过硬件实现,极大程度上提高了数据处理能力；而管理交换引擎、电源等关键部件的冗余,实现了系统高稳定性和可靠性2。（4）校园网系统可扩展性网络系统应以开放性为基础,具有广泛的适应性和可扩充性, 作为一个骨干网的核心,下面的一些新的应用将不断增加,系统的容量也将随之扩展,因此方案应具有良好的可扩充性适应系统不断增长的需求3。（5）校园网系统可维护性整个业务网必须具备良好的可管理性,网管系统应具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。同时应尽可能选取集成度高、模块化、可通用的产品,以便于管理和维护。1.1.3设计原则（1）先进性技术上的先进性将保证处理数据的高效率、系统工作的灵活性、网络的可靠性，技术上的先进性也使系统的扩充和维护变得十分简单。（2）实用性课题的设计既要在相当长的时间内保证其先进性，还应本着实用的原则，在实用的基础上追求先进性，使系统便于联网，实现信息资源共享。易于维护管理，具有广泛兼容性，同时为适应我国实际情况，设备应具有使用灵活、操作方便的汉字、图形处理功能。（3）经济性在完成系统目标的基础上，力争用最少的钱办最多的事，创造出最大的使用效益（4）安全性目前，计算机网络都与外部网络互连互通日益增加，都直接或间接与国际互连网连接。因此，在系统方案设计需考虑到系统的可靠性、信息安全性和保密性的要求。（5）易于扩展性由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，应选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加的设备，而只需要增加一定数量的模块就行。（6）安全、稳定、可靠作为整个校园网络系统的硬件基础，网络设备必须是具备安全性、稳定性和可靠性的特点。这是网络系统稳定运行的最基本条件。最好是经过相当长时间，在世界范围内被广泛应用的网络产品，所以在选择产品时选用国际知名厂商的产品。（7）管理和维护方便先进的设备必须配合先进的管理和维护的方法，才能够发挥最大的作用。所以，在选择设备时必须支持现有的、常用的网络管理协议和多种网络管理软件，便于管理人员的维护。1.1.4设计方案整个校园网的信息点都可接入Internet，Internet通过校园外部的路由器进入到整个校园的核心交换机上，再经核心交换机分别接入到每栋楼的交换机，校园网能够提供WWW服务器、域名服务器、FTP服务器、代理服务器、数据库服务器等，其中数据库服务器主要是内部管理、教学数据库，学生和教师资料数据库。对校园网内部提供视频点播服务，使用教务教学管理系统对学校教务教学进行管理，因此有一个专门的服务区连接核心交换机来为整个校园网提供服务。各大楼之间可互联互通，每栋楼有一个总交换机连接每一层的交换机，层交换机再经连接到每个房间的交换机，每个房间的所有信息点连接到这个房间的交换机上。这样整个校园的网络结构基本完成。如图1.1所示。图1.1 校园网整体结构拓扑图1.1.5设备选择设备选择的原则4：(1) 安全、稳定、可靠：作为整个校园网络系统的硬件基础，网络设备必须是具备安全性、稳定性和可靠性的特点。这是网络系统稳定运行的最基本条件。 (2) 技术先进性：在选择网络设备应该采用当今较先进的技术，能够保持该设备在相当长的一段时间内不会因为技术落后而被淘汰。同时，在网络规模进一步扩大，该设备不能承担繁重的负荷时，能够降级使用。(3) 易于扩展性：由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，应选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加的设备，而只需要增加一定数量的模块就行。(4) 管理和维护方便：先进的设备必须配合先进的管理和维护的方法，才能够发挥最大的作用。所以，在选择设备时必须支持现有的、常用的网络管理协议和多种网络管理软件，便于管理人员的维护。2 主要技术概述2.1三层交换技术2.1.1三层交换技术的概念在计算机数量众多的局域网络中，为了提高网络安全性和通信效率必须划分VLAN,而不同VLAN间的通信只有通过路由设备才能实现。如果使用传统路由器作为VLAN间的路由设备，将由于其吞吐量太小而很难适应大规模、高速率网络传输的需要，这无疑将成为快速以太网或千兆以太网网络传输的瓶颈。于是，专门用于解决VLAN间通信的、集第三层转发与第二层交换于一身的第三层交换技术产生了。第三层交换技术实际上是使用了集成电路的路由器，但比传统的路由器提供了更高的速度和更低的成本，也比传统的路由器更易于管理。正因为第三层交换技术集成了路由器的功能，所以第三层交换机也被成为路由交换机。2.1.2三层交换技术的原理第三层交换机根据OSI模型网络层（即第三层）的IP地址完成端到端的数据交换，主要应用于不同VLAN子网间的路由。当某一信息源的第一个数据流进行第三层交换（路由）后，交换机会产生一个MAC地址与IP地址的映射表，并将该表存储起来，如同一信息源的后续数据流再次进入交换机，交换机将根据第一次产生并保存的地址映射表，直接从第二次有源地址传输到目的地址，不再经过第三路由系统处理，提高了数据包的转发效率，解决了VLAN子网间传输信息时传统路由器产生的速率瓶颈。2.1.3三层交换技术的功能根据第三层协议对路由进行计算，其支持的路由协议包括RIP（路由信息选择协议）和OSPF（开放最短路径优先）等。支持IGMP（Internet组管理协议）、DVMRP（距离矢量组播路由选择协议）等各种常用的IP组播协议，当交换式路由器收到组播报文后，首先将报文转发到包含组播组成员的VLAN上，继而再把报文转发到组播组成员的端口上。支持服务质量（QoS），将报文赋予特定的优先级，不同优先级的报文送到不同的队列按先后转发。支持标准的SNMP（简单网络管理协议）协议，支持传统的命令行接口（CLI）。对虚拟网的多种划分策略，尤其是它不仅支持传统的机遇端口的VLAN划分，而且还支持基于IP地址，子网号和协议类型的VLAN划分，这给园区网的管理带来极大的方便。具有自动发现功能，该功能可以减少配置的复杂性。第三层交换机可以通过监视数据流来学习路由信息，通过对端口入站数据包的分析，第三层交换机能自动的发现和产生一个广播域、VLAN 、IP 子网和更新他们的成员。自动发现功能在不改变任何配置的情况下，提高网络的性能5。2.1.4三层交换机的特点除了优秀的性能之外，三层交换机还具有一些传统的二层交换机没有的特性，这些特性可以给校园和城域教育网的建设带来许多好处，列举如下：（1）高可扩充性三层交换机在连接多个子网时，子网只是与第三层交换模块建立逻辑连接，不像传统外接路由器那样需要增加端口，从而保护了用户对校园网、城域教育网的投资。并满足学校35年网络应用快速增长的需要。（2）高性价比三层交换机具有连接大型网络的能力，功能基本上可以取代某些传统路由器，但是价格却接近二层交换机。现在一台百兆三层交换机的价格只有几万元，与高端的二层交换机的价格差不多。（3）内置安全机制三层交换机可以与普通路由器一样，具有访问列表的功能，可以实现不同VLAN间的单向或双向通讯。如果在访问列表中进行设置，可以限制用户访问特定的IP地址，这样学校就可以禁止学生访问不健康的站点。访问列表不仅可以用于禁止内部用户访问某些站点，也可以用于防止校园网、城域教育网外部的非法用户访问校园网、城域教育网内部的网络资源，从而提高网络的安全。（4）适合多媒体传输教育网经常需要传输多媒体信息，这是教育网的一个特色。三层交换机具有QoS（服务质量）的控制功能，可以给不同的应用程序分配不同的带宽。2.2虚拟局域网技术2.2.1虚拟局域网技术的概念虚拟局域网（VLAN）技术用于在不更改网络的拓扑结构的前提下对局域网进行重组。在以前的局域网应用中，当站与站之间的通信关系改变后，需要对网络的的物理结构进行调整，而采用虚拟局域网技术后，网管人员只需在交换机上对网络进行逻辑重构，即可使网络结构适应新的通信要求，并维持通信的高效率。具体的讲，虚拟局域网技术是通过路由和交换设备，在网络物理拓扑的基础上建立一个逻辑网络。每个VLAN都构成一个独立的广播域，处于同一VLAN中的网络用户可以不受地理位置的限制而像处于同一个VLAN上那样互相交换信息。VLAN必须在交换网络中实现，每个交换设备均可根据网络管理人员所定义的VLAN划分方法对报文进行过滤和转发，并能将这种划分信息传递到网络中其他交换设备和路由器中。LAN交换设备在VLAN的划分及实现低延迟的报文转发方面起着重要的作用。事实上，在网络层对网络进行互联的路由器，能够在网络层对网络进行隔离，并抑制广播数据。而VLAN则是一种不采用路由器对广播数据进行抑制的解决方案。在VLAN中，对广播数据的抑制由交换机完成。2.2.2虚拟局域网技术的功能采用VLAN技术后，可使当网络中的站点发生移动，增强和移出时的管理开销大为减少，可以抑制广播数据的泛滥、提高网的安全性。这些优点都源于交换机具有可根据管理员的要求生成VLAN的功能，即交换机能够将网络工作站组织为若干虚拟局域网并实现虚拟网间的隔离，虚拟网的结构可以独立于网络的物理结构。VALN的主要功能如下：（1） 提高管理效率。当网络中站点出现了移动、增加和移出时，网络管理员可以十分方便的对VLAN进行重组。（2） 抑制广播数据。当集线器或一般交换机组建局域网时，第二层广播数据将被传送到集线器或一般交换机的所有接口，进而传到所有用户，这样势必耗费大量的网络资源。虽然用路由器对网络进行分段可以减少广播数据（路由器一般不在接口间转发广播数据），但传输会延迟会增加。而VLAN可以有效的抑制广播数据，某个VLAN中的广播数据只是被复制到其成员所连接的端口。这实际上是为在交换型网络中建立起同路由器功能类似的防火墙提供了一种有效的手段。在VLAN中，大部分数据都是通过交换机转发的，只有VLAN间的数据才需经过路由器转发，可有效地提高VLAN中大部分数据的传输速度。（3） 增强网络安全性。将整个网络划分成若干互相独立的广播组是一种有效的增强网络安全性的方法。可以限制某个VLAN中的用户数量，可以禁止那些没有得到许可的用户加入到某个VLAN中。这样,VLAN就可以提供一道防火墙，以控制用户对网络资源的访问，控制广播组的大小和构成，并借助于网管软件在非法入侵发生时通知网管人员。（4） 实现虚拟工作组。在整个园区网络环境下实现VLAN后，同一个部门的所有成员将可以像处于同一个LAN上那样进行通信。当某人从一个场地迁移到另一个场地时，只要其工作部门不变，就用不着对其机器进行重新配置。与此类似，如果某人改变了工作部门，可以不改变工作地点，只需网管人员修改其VLAN成员身份即可5。2.2.3虚拟局域网的特征（1）VLAN与由物理位置决定的传统VLAN有着本质不同，它不受网络物理位置的限制，可跨越多个物理网络、多台交换机。我们可将网络用户按功能分成多个逻辑工作组，每一个组为一个VLAN。（2）每一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他VLAN中去，因此，VLAN可隔离广播信息，每个VLAN为一个广播域，用户可以通过划分VLAN的方法来限制广播域，以防止广播风暴的发生。如果要实现不同VLAN之间的主机通信，则必须通过一个路由器或者三层交换机。（3）划分VLAN可以有效提升宽带，我们可以将网络上的用户按业务功能划分成多个逻辑工作组，每一个为一个VLAN,这样，日常的通信交流信息绝大部分被限制在一个VLAN内部，使带宽得到有效利用。（4）VLAN均由软件实现定义与划分，使得建立与重组VLAN十分灵活，当一个VLAN中增加、删除和修改用户时不必从物理位置上调整网络6。2.2.4划分VLAN的方法划分VLAN的方法主要有以下几种：（1） 按交换机端口进行划分。这种方法最常用，也最简单和有效。其缺点是，当用户从一个端口移至另一个端口时，必须对VLAN成员重新配置。（2） 按MAC地址划分。由网管人员指定属于同一个VLAN中的各用户站的MAC地址。这种划分的优点是：由于MAC地址是固化在网卡中的，当用户站移至其他位置后，其仍将属于原VLAN，这样定义的VLAN可以看成是基于用户的VLAN。采用这种方法划分VLAN的缺点是：在大型网络中初始配置工作量很大。（3） 按第三层协议划分。这种划分方法在决定VLAN成员的身份时，主要考虑网络层地址（如TCP/IP网络的子网地址）。当按网络层地址划分VLAN时，要将子网地址映射到VLAN，交换机则根据子网地址将各机器的MAC地址同VLAN联系起来。这种划分方法的优点是：根据第三层协议划分VLAN，当用户的机器移动位置后，不必重新配置网络地址。这种划分方法的缺点是：对报文中的网络地址（IP）进行检查比对帧中MAC地址检查所需要的开销大，使交换设备转发速率下降。（4） IP组播VLAN。IP组播是用一个D类地址表示的，当向一个IP组播发送一个IP报文时，这个报文会传到该组中每一个站点。即可以把一个IP组播看成一个VLAN。（5） 基于策略的VLAN。允许网络管理员使用前述的任何一种划分VLAN的方法，也可以把不同方法组合成一种新的策略来划分VLAN，当一个策略被指定到一个交换机时，该策略就可以在整个网络上应用6。2.2.5虚拟局域网存在的问题VLAN技术存在的主要问题有三个。首先是标准不一致的问题。目前，不同厂商生产的交换机不能在VLAN层面上互相操作。这意味着，如果需要使用VLAN技术，就必须购买同一厂商生产的交换机。不过，对VLAN技术进行标准化的工作已经取得了一些进展。其中一个重要进展是IEEE开发了802.3Q标准。第二个问题是站点地址的管理。VLAN的设计初衷主要是通过第2层地址实现网段划分，即当计算机自一个位置移至另一个位置后，VLAN交换机可自动检测第2层地址并将其加入其原来所在的网段。不幸的是利用DHCP可完成同样的工作并且更加简单，因此大多数网络管理者在配置网络时都选择利用DHCP实现网段划分，因此，实际运行的虚拟网往往是基于端口的。而对大学网络而言，按端口划分的虚拟网是十分繁琐的。第三个问题随着第3层交换机的问世几乎使虚拟网失去了存在的价值。原因是，第3层交换机同时实现了网桥和路由器的功能，当使用第2层交换机时，可通过建立虚拟网络缩小广播域，而用第3层交换机可以完成同样的任务，并且避免了创建虚拟局域网的麻烦7。3 子网划分和子网编址3.1子网划分3.1.1子网划分的原则子网网段划分一般依据以下几条原则进行：（1）将需要对外开放的服务器划分到同网段，并分配给合法的IP地址；（2）将各网络设备划分到专业的网段，并分配个合法的IP地址；（3）将不对外开放的服务器划分到不同的网段，其地址对外隐蔽；（4）尽量将分属于不同部门的机器划分到不同的网段，便于管理；（5）子网的划分应使IP地址管理较为简单。使用可变长子网掩码，合理分配IP地址8。3.1.2 IP地址划分对校园网IP 地址分配建议采用如下规划原则：（1）网络系统的编址方案利用CIDR （无类型域间选路）和可变长子网掩码技术,并支持Ipv6；（2）在整个网络环境中必须保持IP 地址的唯一性；（3）为提高路由处理效率,实现理想的路由汇总，缩减路由表项数，尽量为同一网络分配连续地址；（4）地址分配具有层次性,便于管理,局部的变动不影响网络的其他部分；（5）为了满足不断增长的 IP 地址需求，并实现与其他网络互联和内部子网互联的有效控制和管理，建议校园网采用内部保留地址,给将来的网络发展留下充分的余地；3.1.3 Vlan 设计校园网VLAN的划分应从网络的高效性、安全性和灵活性等多方面综合考虑。一些部门由于安全性和信息实时处理的需要，强调网络的高效性和安全性；另一些部门，由于物理端口可能会经常变动，要求网络配置具有较高的灵活性，而不同的VLAN划分机制又各有其优缺点，因此，应该根据实际情况考虑多种VLAN划分机制及安全策略配合使用，使整个网络性能及安全达到最优。针对内部VLAN之间的路由瓶颈造成的网络性能问题。采用第三层交换机做为校园网核心交换机，取代传统路由器进行内部VLAN之间的路由。同时通过对核心交换机和二级交换机之间直接相连的端口配置标记(Tag)封装，实现了对整个校园网跨交换机的VLAN划分和配置。虚拟局域网规划中采用基于端口和基于IP子网两种方式相结合的VLAN划分方案。在设计VLAN时，尽可能地将同一工作性质的节点划分在同一VLAN内，以减少跨VLAN访问，提高网络的效率。通过给每个VLAN分配相对固定的静态端口，来防止非授权节点在该虚拟子网中出现。提高了重要网络资源及拨号上网用户的安全性。定义VLAN后，还需在核心交换机上进行VLAN之间通信的路由配置。首先给各个VLAN配置一个相应的网关地址，然后在交换机上创建VLAN之间的静态路由表。也可以通过核心交换机支持的RIP(V2)和OSPF等标准的路由协议来配置动态路由。核心交换机支持VLAN间的线速路由。从而可保证子网间信息交换的效率9。3.2子网编址子网也就是某一个机构拥有的地址大于它实际需求的，