网络工程与系统集成(佟巍).doc

网络工程与系统集成期末大作业需求分析：1）某大学具有6个二级学院，分别位于同一城市的4个园区，其中大学与两个二级学院在同一个园区（园区1），另外两个二级学院位于另一个园区（园区2），而其它两个学院分别位于园区3和园区4。2）大学向因特网发布信息并为全校提供有关的信息化服务，每个学院也自行向因特网发布学院信息并负责学院自己的信息服务，每个学院都拥有约1500台PC机。3)大学已从CERNET有关机构申请了IPV4地址块/24/24。4)校园网络遵循网络核心层、网络汇聚层、网络接入层的三层结构模式：选用万兆以太网作为连接大学4个园区的高速主干；选用千兆以太网作为各个园区的主干，形成大学校园网的汇聚层；选用百兆以太网LAN作为基本接入形式。大学校园网与因特网具有统一接口，即通过百兆以太网接入 CERNET。 设计要求：1）为校园网规划IP地址；2）为校园网设计网络拓扑结构(用VISIO2003画图）；3）为校园网选择适当的网络设备；4）为校园网选择路由协议；5）为校园网选择网络安全措施。设计方案：一， 需求分析和设计考虑 这是当前许多大学和企业面临的一个非常典型的大型园区网设计问题。位于同城市不同区域的4个网络自行设计，通过以太网光纤连接到核心交换机上，以及vlan间的路由技术，构成在拓扑上的统一结构。1） 由于在某个时期网络具有特定的主流技术，因此近年来建设的园区网大多采用万兆核心，千兆到楼宇，百兆到LAN/桌面的以太网解决方案。事实上，这种结构是一种二层结构的网络拓扑，其中的千兆构成了汇聚层的主干，而百兆到LAN/主机构成了接入层。因此，一种解决方案就是选用万兆以太网作为整个核心层，形成校园网主干，并且该校园网主干采用因特网公有地址。2） 选用万兆交换机互联各个园区网的原因在于：其一，各园区网均采用以太网技术体系，兼容性好。其二，大学将校园网上开展教学视频观摩，远程听课等工作，提供高速率信息通道是必要的。万兆交换机是具有路由功能的多层交换机，在校园网环境下能够提供更好的性能。其三是价格因素，若在覆盖几十千米采用高速路由器的话，通常要采用SDH技术，这会使有关设备的价格增加23倍。尽管高速路由器会使各个园区具有更好的隔离性，但在校园网中用处不大。因此选用多层交换机作为汇聚层的节点，在各个园区划分vlan，隔离广播信息，再通过多层交换机的vlan间路由技术，进而构建跨区域的技术互联。3） 根据要求，该校园从CERNET获得的IP地址数量是无法满足需求的，只能提供向因特网发布信息和联系，或进行网络科学研究之用，因此构成校园网IP地址的主体是经过NAT或者PAT地址转换的专用网地址。使用这些专用地址不利于与其他大学的学术交流，但也不得已而为之的方法；另一方面，可以减少网络黑客对校园网的侵扰。4） 由于网络的规模较大，考虑到以后的可扩展性，路由协议采用OSPF。5） 考虑到设备的可管理型，网络管理协议选用SNMP。二， 设备选用：（1） 交换机（多层交换机）的选用：二层交换机用于小型的局域网络。这个就不用多言了，在小型局域网中，广播包影响不大，二层交换机的快速交换功能、多个接入端口和低谦价格为小型网络用户提供了很完善的解决方案。 路由器的优点在于接口类型丰富，支持的三层功能强大，路由能力强大，适合用于大型的网络间的路由，它的优势在于选择最佳路由，负荷分担，链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。 三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，加入路由功能也是为这个目的服务的。如果把大型网络按照部门，地域等等因素划分成一个个小局域网，这将导致大量的网际互访，单纯的使用二层交换机不能实现网际互访；如单纯的使用路由器，由于接口数量有限和路由转发速度慢，将限制网络的速度和网络规模，采用具有路由功能的快速转发的三层交换机就成为首选。 一般来说，在内网数据流量大，要求快速转发响应的网络中，如全部由三层交换机来做这个工作，会造成三层交换机负担过重，响应速度受影响，将网间的路由交由路由器去完成，充分发挥不同设备的优点，不失为一种好的组网策略，当然，前提是客户的腰包很鼓，不然就退而求其次，让三层交换机也兼为网际互连。 第四层交换的一个简单定义是：它是一种功能，它决定传输不仅仅依据MAC地址(第二层网桥)或源/目标IP地址(第三层路由),而且依据TCP/UDP(第四层) 应用端口号。第四层交换功能就象是虚IP，指向物理服务器。它传输的业务服从的协议多种多样，有HTTP、FTP、NFS、Telnet或其他协议。这些业务在物理服务器基础上，需要复杂的载量平衡算法。在IP世界，业务类型由终端TCP或UDP端口地址来决定，在第四层交换中的应用区间则由源端和终端IP地址、TCP和UDP端口共同决定。 根据流量计算，每个园区网中有1500台计算机，如果同时上网，会有部分人看视频，聊QQ，浏览网页等，经过估算，带宽的平均占用为30kbps。那么，每个园区网的总带宽应该为30kbps*1500=3.945Mbps，考虑到设备之间的通信，以及设备的冗余情况，我们应把园区网核心交换机的处理能力定位在1000Mbps。而大学共包含6个二级学院，因此总带宽为43.945Mbps*6=263.67Mbps，同样考虑设备间的通讯以及设备冗余，我们应该把校园核心交换机的处理能力定位在10000Mbps，根据以上的数据统计，我们采用以下性能的设备。A、核心层交换机：特征参数机箱模块化交换机，插槽数9个端口速率1000/10000Mb、GE、10GE端口密度大于96个，根据模块选购GE/10GE背板带宽大于600Gbps软件全路由及QoS、安全等其它功能引擎、电源备份 B、汇聚层交换机：特征参数机箱模块化交换机，插槽数6个以上端口速率1000/10000Mb、GE、10GE端口密度大于48个，根据模块选购GE/10GE背板带宽大于120Gbps软件全路由及QoS、安全等其它功能引擎、电源备份 C、接入层交换机：特征参数端口数2448个固定配置交换机端口速率10/100/1000Mb上行端口24个，GE或10GE速率背板带宽大于20Gbps软件全路由及QoS、安全等其它功能支持PoE参考设备：A、 园区网核心交换机：cisco6500系列交换机产品规格：特性 Cisco Catalyst 6500系列系统特性 机箱配置 3插槽 6插槽 9插槽 9个垂直插槽 13插槽 背板带宽 32Gbps共享总线 256Gbps交换矩阵 720Gbps交换矩阵 第三层转发性能 Supervisor 1 MSFC：15Mpps Supervisor 2 MSFC：210Mpps Supervisor 720：400Mpps 操作系统 Catalyst OS(CatOS) Cisco IOS CatOS/IOS混合配置 冗余交换管理引擎 支持，支持状态化故障切换 冗余部件 电源（1+1） 交换矩阵（1+1） 可更换时钟 可更换风扇架 高可用性特性 网关负载均衡协议（GLBP） 热备份路由器协议（HSRP） 跨多模块EtherChannel 快速生成树 多生成树 每VLAN快速生成树 快速收敛的第三层协议 最高系统端口密度 10/100/1000以太网 10/100快速以太网 100-BASE-FX千兆位以太网（GBIC）10千兆位以太网（XENPAK） 576个端口，都支持馈线电源 1152个端口，都支持馈线电源 288个端口 194个端口（在交换管理引擎上提供了2个端口） 32个端口 集成WAN模块 FlexWAN(DS0到OC-3) OC-3 POS端口 OC-12 POS端口 OC-12 ATM端口 OC-48 POS/DPT端口 12个模块，带24个端口适配器 192 48 24 24 PSTN接口 数字T1/E1中继端口 FXS接口 高级服务模块 216 864 千兆位防火墙 千兆位VPN 高性能入侵检测 千兆位内容交换模块 高性能SSL端接 千兆位内容服务网关 B、 汇聚层交换机：Cisco Catalyst 3560-X 系列产品规格：Enhance productivity by using Cisco Catalyst 3560-X Series Switches to enable applications such as IP telephony, wireless, and video. These enterprise-class switches provide high availability, scalability, security, energy efficiency, and ease of operation with innovative features such as: IEEE 802.3at Power over Ethernet Plus (PoE+) configurations Optional network modules Redundant power supplies MAC security features Key Features Connectivity options: o 24 and 48 10/100/1000 PoE+ and non-PoE models o PoE+ with 30W power on all ports in 1 rack unit (RU) form factor o Optional four 1 GE SFP (Small Form-Factor Pluggable) or two 10 GE SFP+ uplink network modules High availability due to dual redundant, modular power supplies and fans Investment protection: o Enhanced limited lifetime warranty o Enhanced Cisco EnergyWise to measure, report, and reduce energy usage across your organization Security: o MAC security hardware-based encryption o Multicast routing, IPv6 routing, and access control list in hardware Software versions: o LAN Base: Enterprise Access Layer 2 Switching o IP Base: Enterprise Access Layer 3 Switching, including OSPF (Open Shortest Path First) for routed access o IP Services: Advanced Layer 3 Switching (IPv4 and IPv6) C、 接入层交换机：Cisco Catalyst 3750系列交换机产品规格：Cisco Catalyst 3750系列包括以下配置： Cisco Catalyst 3750G-24TS24个以太网10/100/1000端口和4条小型可插拔(SFP)上行链路 Cisco Catalyst 3750G-24T24个以太网10/100/1000端口 Cisco Catalyst 3750G-12S12个千兆位以太网SFP端口 Cisco Catalyst 3750-48TS48个以太网10/100端口和4条SFP上行链路 Cisco Catalyst 3750-24TS24个以太网10/100端口和2条SFP上行链路 Cisco Catalyst 3750-48PS48个以太网10/100端口，带IEEE 802.3af和思科预标准以太网电源 (PoE)，4条 SFP上行链路 Cisco Catalyst 3750-24PS24个以太网10/100端口，带IEEE 802.3af和思科预标准以太网电源 (PoE)，2条 SFP上行链路 Cisco Catalyst 3750G-16TD16个千兆位以太网10/100/1000端口和1条万兆位以太网XENPAK上行链路 Cisco Catalyst 3750G-24TS-1U24个以太网10/100/1000端口和4条SFP上行链路，1机架单元(RU)高 Cisco Catalyst 3750G-24PS24个以太网10/100/1000端口，带 IEEE 802.3af 和思科预标准PoE，4 条SFP上行链路 Cisco Catalyst 3750G-48TS48个以太网10/100/1000端口和4条SFP上行链路 Cisco Catalyst 3750G-48PS48个以太网10/100/1000端口，带 IEEE 802.3af和思科预标准PoE，4条SFP上行链路 （2） 路由器的选用：路由器的选用，我们考虑以下几点情况：A、一般在核心层和分发层之间部署；B、在冗余链路上提供等成本负载均衡时，可以快速重路由；C、建立3角连接而不是4角连接；D、建立路由邻居的链路用于转发流量；E、确保冗余的3层路径不存在黑洞；F、分发层根据可进行路由汇总；但现在不建议这么做；G、通过调整CEF的3层/4层负载均衡hash，以获得最大的等成本开销路径的利用率(CEF polarization)。考虑到我们在大学与学院的汇聚层采用的是多层交换机，因此，无需在此层面花费过多的经费去采购三层设备，只需在核心层连接ISP运营上的出口配置路由器即可，同样考虑到设备处理转发数据的性能，以及对模块带宽的要求，我们 选用如下设备：Cisco 7200系列路由器：关键特性： 高性能交换支持高速介质和高密度配置；通过其基于RISC和SRAM配置的系统处理器，Cisco 7200每秒可以交换30万个信息包。 全面的Cisco IOS软件支持和高性能网络服务增强高速执行服务质量、安全、压缩和加密等网络服务。 高密度端口提供高密度端口以及广泛的局域网和广域网介质，大大降低了每端口成本，并允许灵活地进行配置。 公用端口适配器利用和Cisco 7200通用接口处理器（VIP）相同的端口适配器，简化了备件存储，并提供接口投资保护。 （3） 防火墙的选用：Cisco ASA 5500系列自适应安全设备： 防火墙版：使企业能够安全、可靠地部署关键业务应用和网络。独特的模块化设计能够提供卓越的投资保护，降低运作成本。 IPS版：通过一组防火墙、应用安全性和入侵防御服务，防止关键业务服务器和基础设施遭受蠕虫、黑客及其它威胁的袭击。 Anti-X版：利用全面的安全服务套件，为小型站点或远程站点的用户提供保护。企业级防火墙和VPN服务提供到公司网络的安全连接。来自 Trend Micro 的业内领先的Anti-X服务能够防止客户端系统遭受恶意Web站点以及病毒、间谍软件和诱骗等基于内容的威胁侵袭。 SSL/IPsec VPN版：使远程用户能够安全地访问内部网络系统和服务，为大型企业部署支持VPN集群。安全套接字层（SSL）和IP Security（IPsec）VPN 远程接入技术将Cisco Secure Desktop 等威胁迁移技术与防火墙和入侵防御服务有机地结合在一起，保证VPN流量不会给企业带来威胁。最高防火墙吞吐量（ Mbps ）150最高 3DES/AES VPN 吞吐量（ Mbps ）100最高连接数10,000/25,000集成式端口8 端口 10/100 交换机，带 2 个以太网供电端口SSC/SSM 扩展插槽是（ SSC ）应用层安全性是L2 透明防火墙是（4） 无线设备：Cisco 5500 系列无线控制器Cisco 5500 系列无线控制器实现无线配置和管理功能的自动化，为网络管理员提供更强的可视性和更大的控制能力，让管理员更有成本效益地管理无线网络和保障无线网络安全。 本控制器作为思科一体化无线网络 (Cisco Unified Wireless Network) 的一个组件，提供 Cisco Aironet 无线接入点、Cisco 无线控制系统（Wireless Control System，WCS）与 Cisco 移动服务引擎 (Mobility Services Engine) 之间的实时通信。 同时还提供集中化安全策略、无线入侵防御系统 (IPS) 能力、获奖的 RF 管理，以及高质量服务 (QoS)。为下一代无线网络而优化，5500 系列无线控制器： 提供改善的移动性； 让企业做好使用最新移动设备和应用程序的准备； 比其他无线局域网控制器支持更高密度的用户； 提供更高效的漫游服务，吞吐量至少是现有 802.11a/g 网络的九倍。（5） 线缆：根据以上对于设备占用带宽的分析，以及考虑成本和维护的费用以及方便程度，我们将在核心层、汇聚层采用“以太网光纤”，接入层采用“7类双绞线”，这样不仅能够保证网络的稳定性和冗余，而且能为以后的升级、维护提供方便。线材选用：华为1000BASE-LX（SFP）技术规格：模块类型传输距离传输介质传输波长接口类型传输速率工作电压SFP10公里单模光纤1310纳米双LC接口1.25Gb/s3.3伏（6） 服务器：核心服务器：IBM System x3850 X5(7145N12) 基本参数产品类型企业级产品类别机架式产品结构4U处理器CPU类型Intel至强7500CPU型号Xeon X7560CPU频率2.266GHz智能加速主频2.666GHz标配CPU数量4颗最大CPU数量4颗制程工艺45nm三级缓存24MB总线规格QPI 6.4GT/sCPU核心八核CPU线程数16线程主板扩展槽7半长PCI-Express（2个热插拔）内存内存类型DDR3内存容量32GB内存描述84GB 1066MHz DDR3 内存最大内存容量1TB存储硬盘接口类型SAS标配硬盘容量584GB硬盘描述4块146GB SAS硬盘热插拔盘位支持热插拔RAID模式RAID 0，1，5光驱DVD网络网络控制器两个千兆以太网卡管理及其他系统管理Alert on LAN 2，服务器自动重启，IBM Systems Director，IBM ServerGuide，集成管理模块（IMM），光通路诊断（单独供电），适用于硬盘驱动器/处理器/VRM/风扇/内存的Predictive Failure Analysis，Wake on LAN，动态系统分析，QPI Faildown，单点故障转移系统支持Microsoft Windows Server 2008（Standard，Enterprise 和 Data Center Edition，32位和64位）32位和64位 Red Hat Enterprise LinuxSUSE Enterprise Linux（Server 和 Advanced Server）VMware ESX Server/ESXi 4.0电源性能电源类型冗余电源电源数量2个电源电压220V电源功率1975W汇聚层服务器：IBM System x3650 M3(7945I75) 基本参数产品类别机架式产品结构2U处理器CPU类型Intel至强5600CPU型号Xeon X5670CPU频率2.93GHz智能加速主频3.333GHz标配CPU数量1颗最大CPU数量2颗制程工艺32nm三级缓存12MB总线规格QPI 6.4GT/sCPU核心六核CPU线程数12线程主板扩展槽4PCI-Express（二代插槽）内存内存类型DDR3内存容量8GB内存描述24GB 1.5V DDR3 RDIMM内存内存插槽数量18最大内存容量192GB存储硬盘接口类型SATA/SAS/SSD标配硬盘容量标配不提供最大硬盘容量8TB内部硬盘架数最大支持16块2.5英寸热插拔SAS/SATA硬盘热插拔盘位支持热插拔RAID模式RAID 5网络网络控制器集成双端口千兆网卡管理及其他系统管理IBM IMM，Virtual Media Key 用于可选的远程呈现支持，预测故障分析，诊断LED，光通路诊断，服务器自动重启，IBM Systems Director和IBM Systems Director Active Energy Manager，IBM ServerGuide系统支持Microsoft Windows Server 2008 R2 和 2008Red Hat Enterprise LinuxSUSE Linux Enterprise ServerVMware ESXi 4.0 嵌入式虚拟化管理程序电源性能电源类型热插拔电源电源数量1个电源功率675W三，设计方案（1）核心层：由于考虑到核心层的性能，可靠性，安全等问题，我对于拓扑图有以下两种设计，第一种没有在核心层中另外加入核心交换机，而第二种加入了“核心中的核心”，以下是两种方案的对比：园区网拓扑图：A、 没有核心层的情况：全互连的分发层物理连线很多路由的复杂度增加图1.1.1B、 专门的核心层交换机：易于增加模块核心层链路较少易于升级带宽路由协议对等体数量少等开销的3层链路图1.1.2园区网示例图：图1.1.3该大学的校园网分为公网部分和专用部分。通过防火墙，连接了该大学放置各种应用服务器的非军事区部分，并通过路由器与CERNET相连。该三层校园网结构中的核心层位于公网部分。如图所示，四个园区的核心多层交换机分别连接到大学主干交换机上，并且各个学院之间也通过万兆光纤互联，构成冗余的网络拓扑结构，保证了网络的高可用性。设计中的多层交换机采用Cisco公司的万兆交换机cisco6500系列交换机，防火墙使用的是Cisco的IOS Firewall，为了增加核心层的可靠性，采用租用电信公司的光纤裸芯，用万兆速率将4个园区的8台万兆交换机与核心的两台交换机连成环。（2）汇聚层：图2.1.1图2.1.2图2.1.3各园区可以基本保持原有的二层网络结构，并且在自己园区网中使用专用IP地址块。园区网要考虑将汇聚层主干兆交换机与大学万兆交换机通过防火墙相连的问题，注意到有些万兆交换机可能具有内置的防火墙。同时，他们在内部防火墙处设置自己的非军事区，放置学院网络应用服务器。园区中的各个服务器，教学楼，办公楼，宿舍楼等的交换机，还有包括像cisco IP电话，无线路由器等，都连接到网管中心的主服务器上，然后再向下划分各个楼层的交换机。如图例所示，是理工学院与大学万兆核心层主干网的连接。其中理工学院园区网的主干网由IBM的主服务器与cisco公司的VN6500交换机连接的千兆光纤构成，以百兆以太网作为接入网与用户PC，IP电话等相连。各二级学院的校中具有的PC数量为1500台，我们可以根据不同部门，不同楼宇位置划分为若干子网，然后划分vlan，以隔离广播流量，提高网络工作效率，同时，像各个学院办公室，实验室，网管中心，或者宿舍楼等，可以把这些vlan子网通过VPN与其他学院，大学独立的组成自己的虚拟局域网。网络管理协议援用SNMP技术。（3）接入层：图3.1.1 设备连接应用的客户端桌面设备，即可以采用固定配置的工作组级交换机，并且有千兆以太网上行端口，设备应该具有可管理性。同时在设备投资上考虑性能/价格比因素，目前在设计接入网络方案时，普遍采用支持SNMP和RMON等网管协议的交换机设备，具有支持基于web网络管理功能的设备，简化管理工作的复杂性，支持冗余链路功能，提高网络方案的可靠性。可以灵活划分vlan，支持IEEE802.1p协议，提高网络的控制能力。（4） 参考图例：图4.1.1三，技术实施：（1） 路由选择：根据校园网4个园区终端数量，以及网络环境和需求，比较各个路由协议（RIP V1，RIP V2，OSPF，BGP，EIGRP等），最终选用OSPF路由协议，作为校园网路由选择最终协议。OSPF全称为开放最短路径优先。“开放”表明它是一个公开的协议，由标准协议组织制定，各厂商都可以得到协议的细节。“最短路径优先”是该协议在进行路由计算时执行的算法。OSPF是目前内部网关协议中使用最为广泛、性能最优的一个协议，它具有以下特点： A、 可适应大规模的网络； B、路由变化收敛速度快； C、无路由自环； D、支持变长子网掩码(VLSM)； E、支持等值路由； F、支持区域划分； G、提供路由分级管理； H、支持验证； I、支持以组播地址发送协议报文。基本配置：A、一般在核心层和分发层之间部署；B、在冗余链路上提供等成本负载均衡时，可以快速重路由；C、建立3角连接而不是4角连接；D、建立路由邻居的链路用于转发流量；E、确保冗余的3层路径不存在黑洞；F、分发层根据可进行路由汇总；但现在不建议这么做；G、通过调整CEF的3层/4层负载均衡hash，以获得最大的等成本开销路径的利用率(CEF polarization)。图5.1.1（2）交换网转路由网： 1，首先要合理的分配IP地址，做好IP地址的规划，本案例需求中已经做了规定：凡是互联地址均使用/24子网掩码，并且在/24地址段范围内。 2，根据本案例需求，我们先要将vlan301和vlan302的网关下移的过程中会出现少量的丢包，属于正常现象。 3，对于链路和交换机来说，需要逐条逐个进行。要尽最大努力减少丢包。具体方法为我们可先起OSPF，并且宣告相应的网段，最后在进行接口配置。每条路由链路建立好后都要进行核查。看OSPF邻居关系有无正常建立。 4，为了有效利用SW1和SW2之间的Port-channel1链路。我们可以在Port-channel上面配置IP地址。然后通过OSPF进行宣告。这样配置后SW1和SW2就可以形成正常的邻居关系。vlan配置（交换机功能的实现）：随着学校自身的发展及规模的扩大，作为园区网的典型，校园网正逐渐地由中小型向大中型发展和过渡，这样就决定了它的组网在技术上的多样性与复杂性，其不仅要考虑物理上各网段的连接，还要考虑建立在各种网络协议上子网的互联。另外，随着校园网内的计算机数量的增加，VOD视频点播在多媒体课堂教学上的大量应用，网络中广播包的数量也会急剧增加，当广播包的数量占到总量的30时，网络的传输效率将会明显下降。特别是当某网络设备出现故障后，会不停地向网络发送广播，从而导致网络风暴，使网络通信陷于瘫痪。当校园网络内计算机数超过200台后，就必须采取措施将网络分隔开来，将一个大的广播域划分成若干个小的广播域。最后是校园网的安全性问题，特别是蠕虫病毒大规模的爆发，会使整个校园网处于严重负荷状态，导致整个网络不可用，严重影响校园网的性能。此外，大学生在校园网中存在两种攻击行为：无意识的和有意的。他们的好奇心比较强，也有一定的理论知识，喜欢在网上尝试一些攻击软件的使用，很可能造成整个校园网的瘫痪。配置策略：图6.1.1如图所示做出如下配置：（一）交换机基本配置：1，Trunk：打开所有交换机直接连接的接口，使用802.1Q标准互联，注意不需要启用连接虚拟交换机的Fa1/15。 2，FEC：SW1、SW2的Fa1/1，Fa1/2端口做Ethernet Channel捆绑，保持2端配置一致。 3，VTP：所有的交换机均在一个VTP域内，域名为LGXY，并设置密码为“ligongxueyuan”。SW1、SW2为Server模式，其它交换机均为Client模式。 4，VLAN：在SW1建立VLAN 10100，VLAN 301400。确保所有交换机可以同步这些VLAN信息。（二）生成树配置：1，实现生成树负载均衡，服务器网段使用VLAN 1020，通过配置确保访问VLAN 1015通过SW1，而访问VLAN1620通过SW2。 2，例如：桌面终端（PC1、PC2）使用VLAN 301302，通过配置确保SW1为这些VLAN的根网桥。同时为防止旧的交换加入网络时引起生成树计算，需使SW1成为VLAN 1的根网桥。（三）多层交换的具体配置：1 在所有交换机上面进行基本配置2，所有交换机之间配置truck链路3，将SW1及SW2的f1/1和f1/2捆绑为Port-channel链路4，在每个交换机上配置VTP5，在SERVER交换机上建立相应的VLAN7，在所有交换机上面配置管理VLAN 3106，给相应的VLAN配置SVI接口并配置hsrp8，根据需求在相应的交换机上面进行生成树配置以提高链路的利用率9，对HSRP进行优化10，开启SW7、SW8的Fa1/15端口，分别加入到VLAN 301、VLAN 30211，对STP进行优化12，交换网转路由网（3） 子网，IP地址划分：由于学校从CERNET申请到的IP网段是/24/24，通过计算，最多可以让10x（256-2）的终端同时上网，但是每个学院有1500台计算机，4个园区总共为6000台，因此IP地址数量远远不能满足计算机数量。为了解决这个问题我们采用地址转换协议中的PAT动态转换协议，由路由器动态分配不同的端口号，是多台计算机使用公网的IP地址，实现内部网络使用私有地址，经过转换可以通过公有地址访问Internet。但是缺点是，如果转换为同一IP地