校园局域网的规划与设计（程序资料+说明书+答辩稿）

摘要随着网络建设的逐步普及，大学高校局域网络的建设是高校向高水平、研究性大学跨进的必然选择，高校校园网网络系统是一个非常庞大而复杂的系统，它不仅为高校的发展、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且，能够使教育、教学、科研三位一体，提高教育教学质量。而校园网网络建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设计课题将主要以校园局域网络建设过程可能用到的各种技术及实施方案为设计方向，为校园网的建设提供理论依据和实践指导。高校校园网的网络建设与网络技术发展几乎是同步进行的。高校不仅承担着教书育人的工作，更承担着部分国家级的科研任务，同时考虑未来几年网络平台的发展趋势,为了充分满足高校骨干网对高速，智能，安全，认证计费等的需求,可以利用万兆以太网的校园网组网技术。构建校园网骨干网，实现各个分校区和本部之间的连接，以及实现端到端的以太网访问，提高了传输的效率，有效地保证了远程多媒体教学、数字图书馆等业务的开展。校园网是当今信息社会发展的必然趋势。它是以现代网络技术、多媒体技术及Internet技术等为基础建立起来的计算机网络，一方面连接学校内部子网和分散于校园各处的计算机，另一方面作为沟通校园内外部网络的桥梁。校园网为学校的教学、管理、办公、信息交流和通信等提供综合的网络应用环境。要特别强调的是，不能把校园网简单的理解为一个物理意义上的由一大堆设备组成的计算机硬件网络，而应该把校园网理解为学校信息化、现代化的基础设施和教育生产力的劳动工具，是为学校的教学、管理、办公、信息交流和通信等服务的。iAbstractWiththegradualpopularizationofnetworkconstruction,theUniversityCollegebuildingisalocalareanetworktothehighlevelofcollegesanduniversities,researchuniversitiesintotheinevitablechoice,collegecampusnetworksystemisaverylargeandcomplexsystem,whichnotonlythedevelopmentofcollegesanduniversities,comprehensiveinformationmanagementandofficeautomationapplications,suchasaseriesofbasicoperatingplatform,andtomakeeducation,teaching,researchandthree-in-one,toimprovethequalityofeducationandteaching.CampusNetworkandtheconstructionofthemainapplicationofthenetworktechnologytotheimportantbranchoflocalareanetworktechnologytotheconstructionandmanagement,andthereforethesubjectofthisgraduationprojectwillbemainlyintheconstructionofthecampuslocalareanetworkmaybeusedinavarietyoftechnicalandimplementationoptionsforthedesigndirection,buildingforthecampusnetworkandprovideatheoreticalbasisandpracticalguidance.Campusnetworkofnetworksandnetworktechnologydevelopmentcarriedoutalmostsimultaneously.Universitiesnotonlybeartheworkofteaching,butalsobearsomeofstate-levelresearchtasks,takingintoconsiderationthenextfewyears,thedevelopmenttrendofnetworkplatform,inordertofullymeetthecollegesanduniversitiesforhigh-speedbackbonenetwork,intelligence,security,authenticationandaccountingneeds,etc.,wecanusethecampusnetworkGigabitEthernetnetworkingtechnology.Constructionofthecampusbackbonenetwork,therealizationofthevariouscampusareasandtheconnectionsbetweentheheadquarters,aswellasend-to-endEthernetaccessandimprovetheefficiencyofthetransmission,effectivelyensurethelong-rangemulti-mediateaching,digitallibrariesandotheroperations.Keywords:Campusnetwork;networkequipment;server;networkmanagement;networksecurityii目录1引言.11.1背景及意义.11.2目前校园网络现状.21.3校园网建设的原则.32校园网需求分析.42.1学校建筑现状分析.42.2学校网络拓扑图.52.3学校子网需求划分.52.4学校VLAN需求划分.62.5校园网布线工程分析.73校园网络设备配置.143.1交换机模块设计.143.1.1交换机的选择.143.1.2核心层交换机的说明配置.153.1.3汇聚层交换机的说明配置.193.1.4接入层交换机的说明配置.213.2路由器模块设计.213.2.1路由协议的概念和种类.214校园网服务器.254.1WWW服务器.254.2DNS服务器.264.3邮件服务器.274.4FTP服务器.285校园网络的管理与安全.305.1网络管理.305.2网络安全.315.2.1NAT.325.2.2ACL.336网络系统的测试.347结论及尚存在的问题.388参考文献.3901引言1.1背景及意义高校校园网的网络建设与网络技术发展几乎是同步进行的。高校不仅承担着教书育人的工作，更承担着部分国家级的科研任务，同时考虑未来几年网络平台的发展趋势,为了充分满足高校骨干网对高速，智能，安全，认证计费等的需求,可以利用万兆以太网的校园网组网技术。构建校园网骨干网，实现各个分校区和本部之间的连接，以及实现端到端的以太网访问，提高了传输的效率，有效地保证了远程多媒体教学、数字图书馆等业务的开展。随着信息技术的高速发展，教育信息化水平正成为衡量学校总体发展水平的重要因素，网络技术的应用对高校的教学手段和教育管理体系的促进作用是巨大的。1995年CERNET（中国教育和科研计算机网）建设全面启动，全国各地的高校开始建设自己的计算机校园网。校园网建设是高校建设的重要组成部分，建设高质量的局域网，才能充分发挥网络资源管理和应用的优势，进行信息交流、资源共享、科学计算和科学研究与合作。校园网的建设与应用，极大地丰富和完善了教育资源，拓宽了学生获取知识的渠道，改善了教学效果，提高了学校的现代化管理水平，促进了教育的社会化，因此，如何进一步搞好校园网的建设，充分发挥校园网的作用，组建高性能，低成本的校园网，是各个高校正在探索和思考的问题。高校校园网从启动建立到现在，无论是高校校园网的网络技术，还是高校校园网的关注要点，大致可以分为三个阶段。第一阶段是基础设施建设时期，时间大约从1994年到2000年。这期间各种网络技术在高校同时都有应用：以太网技术，FDDI，ATM网络技术。在这个阶段，由于校园网应用的技术比较繁杂，而且业务相对单一，因此，这一阶段，主要关注网络的连通性和兼容性，即如何保证校园网的连通，和各种不同网络技术的兼容和融合。第二阶段是应用平台建设时期，时间大约是从2000年到2005年。这期间，随着网络技术的发展，各种应用也开始出现并发展迅速，包括BBS、WWW、FTP、E-mail，以及近两年流行的BT下载、视音频业务等等，这些应用都对带宽提出了挑战。另一个在此阶段发展迅速的校园网应用就是IPTV，更是被成为带宽的杀手级应用。与此同时，网络技术1特别是以太网技术迅猛发展，1000M以太网已经步入校园，万兆标准也已经公布。结合实际应用和网络技术来看，这个阶段主要关注：带宽和应用。第三个阶段是信息资源建设时期。时间从2005年至今，乃至今后几年时间内。近两年，万兆以太网已经开始在高校校园网中规模化应用，下一代以太网标准也已经确立为10万兆标准。同时，随着cernet2的启动，IPV6技术也已经在校园网中实验并逐步应用。当基础设施、应用平台建设之后，信息资源的丰富与否决定了校园网络的真正价值。当信息资源充分丰富后，人们的工作、学习、生活、娱乐完全离不开网络，网络的安全与可信又成为头等重要的问题。纵观这两年整个网络世界，安全事件频发：冲击波、震荡波、ARP攻击等等。所以，安全可信成为了高校校园网当前关注的要点。简单来说，对于校园网：丰富的应用是关键，而稳定可靠的网络是基础，完善的安全和管理手段是保障。信息时代的变革与发展，带动了整个世界的深刻变革。网络、计算机技术的进步和应用软件的提高，使计算机变的越来越容易使用，它们正被广泛地使用，并迅速改变着人们的生活、学习、工作方式。在一个好的校园网里人们用计算机和网络进行工作、交流和学习，计算机改变了人的教学方式，同时也改变了人的学习方式。社会变的很快，我们必须跟上时代的步伐，因此在经济条件允许的情况下，尽快尽早的建设校园网好处将是显著的和长远的。1.2目前校园网络现状与其它网络一样，校园网面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。具体来说，危害网络安全的主要威胁有：非授权访问，即对网络设备及信息资源进行非正常使用或越权使用等；冒充合法用户，即利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的；破坏数据的完整性，即使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用；干扰系统正常运行。除此之外，Internet非法内容也形成了对网络的另一大威胁。IDC的统计曾显示，有3040的Internet访问是与工作无关的，甚至有的是去访问色情、暴力、反动等站点。在这样的情况下，Internet资源被严重浪费。而对校园网来说，面对形形色色、良莠不分的网络资源，如不具有识别和过滤作用，不但会造成大量非法内容或邮件出入，占用大量流量资源，造成流量堵塞、上网速度慢等问题，而且某些网站如娱乐、游戏、2暴力、色情、反动消息等不良网络内容，将极大地危害青少年的身心健康，导致无法想象的后果。1.3校园网建设的原则1整体规划分步实施：一方面因为学校的资金情况，不能一步到位。二是依据需求，不能盲目投资。2注重应用系统建设：计算机网络要想发挥出它的作用，必须有建立在它之上的应用系统。这里有一个非常形象的比喻：网络就象路，而应用系统就象车，只修路但没车跑，路也不能发挥它的作用。这必须跟据学校的实际情况，选择恰当的应用系统。3把握当前先进性：要将未来的可扩展性和经济可行性结合起来。当前计算机网络技术发展很快，设备更新淘汰很快。校园网建设应当采用当前成熟先进的技术和设备，这些设备应有良好的扩张性，即能够兼容未来可能的技术。32校园网需求分析2.1学校建筑现状分析对学校建筑的分析如图2-1所示：学生公寓区财务部核心交换机动性机教师公寓区行政区软件学院外语系经管系计科系信息工程学生阅览室机电系教学区办公室人事处教务处招生就业处图书馆电子阅览室影像室借书室图2-1学校建筑图如图所示学校分为学生公寓区，教师公寓区，行政区，图书馆，教学楼，财务处。其中学生公寓区（A区、B、区、C区），教师公寓区（A区、B、区、C区），行政区（办公室、人事处、教务处、招生就业处），图书馆（学生阅览室、电子阅览室、影像室、借书室），教学区（计科系、软件学院、经管系、机电系、外语系、信息工程系）。42.2学校网络拓扑图2.3学校子网需求划分为了提高IP地址的使用效率，引入了子网的概念。将一个网络划分为子网：采用借位的方式，从主机位最高位开始借位变为新的子网位，所剩余的部分则仍为主机位。这使得IP地址的结构分为三级地址结构：网络位、子网位和主机位。这种层次结构便于IP地址分配和管理。它的使用关键在于选择合适的层次结构-如何既能适应各种现实的物理网络规模，又能充分地利用IP地址空间。子网的划分主要是根据子网掩码来区分的，掩码的作用就是用来告诉电脑把“大网”划分为多少个“小网”，以及每个子网中的主机数目。如表2-2所示，学校子网的划分。表2-2学校子网的划分表序号子网名称包含的信息点1学生公寓子网学生公寓区所有的计算机2教师公寓子网教师公寓区所有的计算机3行政区子网行政区所有的计算机54图书馆子网图书馆区所有的计算机5教学区子网教学区所有的计算机6办公区子网办公区所有的计算机7服务器群子网该区所有的计算机8无线网络子网该区所有的计算机2.4学校VLAN需求划分VLAN（VirtualLocalAreaNetwork）称为虚拟局域网，是指在逻辑上将物理的LAN分成不同小的逻辑子网，每一个逻辑子网就是一个单独的播域。简单地说，就是将一个大的物理的局域网（LAN）在交换机上通过软件划分成若干个小的虚拟的局域网（VLAN）。因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址，以便在交换机内部的MAC数据库建立MAC地址表，而广播不能跨越不同网段。VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。通过划分VLAN子网，能划小了广播域，避免了数据碰撞在大的物理LAN内产生严重后果的可能，也避免了广播风暴的产生。提高交换网络的交换效率，保证网络稳定。提高网络安全性，通过划分VLAN，LAN被划分不同子网段，因此不能直接通信。必要的通信必须经过路由来实现，因此可在路由器（或三层交换机）上配置访问列表来进行跨子网段的授权访问，从而提高校园内部网络访问的安全性。方便网络管理：采用VLAN技术来划分校园网络，一个VLAN可以根据不同的院系、办公室或者服务器组将不同地理位置的工作站划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在子网之间移动，VLAN提供了网段和机构的弹性组合机制。VLAN技术很好的解决了网络管理的问题，能实现网络监督与管理的自动化，从而更有效的进行网络监控。如表2-3所示，该学校校园网络Vlan的划分及IP的分配。6表2-3学校vlan的划分及IP的分配表序号子网名称网段IP网关IP备注1学生公寓子网/24192.16821Vlan22教师公寓子网/24192.16831Vlan33行政区子网19216840/2419216841Vlan44图书馆子网19216850/2419216851Vlan75教学区子网19216860/2419216861Vlan66财政区子网19216870/2419216871Vlan57服务器群子网19216880/2419216881Vlan8另外，IP地址分为公网地址和私网地址两类，公有地址（Publicaddress）由InterNIC（InternetNetworkInformationCenter因特网信息中心）负责。这些IP地址分配给注册并向InterNIC提出申请的组织机构。通过它直接访问因特网。ISP分配给学校的全局IP地址地址段为:-00/24.,私有地址（Privateaddress）属于非注册地址，专门为组织机构内部使用。以下列出留用的内部私有地址A类-55B类-55C类-552.5校园网布线工程分析因为以上的需求特点和信息点分布，结合学校的实际情况总结得到如图2-2所示：7核心交换机学生公寓区交换机A区交换机B区交换机C区交换机人事处交换机教师公寓区交换机行政区交换机办公处交换机核心交换机A区交换机B区交换机教务处交换机招生就业处交换机财务部教学区图书馆A区交换机B区交换机C区交换机计科系交换机软件学院交换机机学生阅览室交换机经管系交换机机电系交换机电子阅览室交换机影像中心交换机借书室交换机信息工程交换机图2-2学校信息点的分布图结构化布线应该满足以下目标：满足学院各大楼主要需求，同时兼顾未来升级能更好的实施满足当前和长远的数据传输要求，兼顾质量。布线系统遵循国际标准和国家建设部门和电信部门标准，根据逻辑设计中的拓扑星型结构采用国际标准施工。布线设备的安装将支持语音、文本、视频等综合数据的高质量传输，重点强调各设备的兼容问题。布线系统信息出口主要才用现在流行的通用RJ45接口插座，按统一规格进行线路铺设和连接接口，使之数据畅通。2.5.1各设备间布线设计：图示：C区交换机8建筑子系统设备间子系统根据ISO/IEC11801将建筑物综合布线系统划分为6个子系统：工作区子系统水平子系统干线子系统设备子系统管理子系统建筑子系统上面的示意图已明白而直观的展示了网络布线6个环节的实际含意。施工人员将严格按照这6个网络布线环节科学施工。2.5.2建筑系统间的布线：建筑系统间的布线主要的就是对学院的各主要建筑屋之间的连接，考虑的问题有多个方面：带宽的需求，外部自然地形的匹配，外部环境的音响等等！我们通过上面的需求分析，同时结合下面的对其他因数的比较，得出建筑物之间最好用1000MB/S的光纤进行连接。光纤的选择：垂直子系统工作区子系统9下表列出了千兆以太网现在支持的距离标准。标准名称媒质传输距离1000Base-SX波长850nm62.5微米多模光纤50微米多模光纤260米525米1000Base-LX波长1300nm62.5微米多模光纤50微米多模光纤单模光纤260米525米3公里1000Base-CX同轴电缆对25米1000Base-T4对5类双绞线100米LongHAUL(LH)60-100公里我们可以选择62.5/125um的多模光纤。原因是62.5/125um的光纤。它的传输距离在250m以内，这对于学院来说已经足够了。我们使用了波长为850um的多模光纤。这种光纤的传输距离在500以内对信号衰减不会很明显。多模光纤与单模光纤相比多价格便宜得多，当然根据差分模式延迟的原理分析，单模光纤的光源为激光源，是沿纤芯阶跃式传播，由于多模光纤中玻璃介质的缺陷，使得光束在来回折射的过程中造成能量的距大衰减。这个现象将影响以后网络的升级。不过，学院目前还用不上那么快的网速，即使到了非要不可的时候，我们也有对应的解决办法，那就是在多模光纤的接口上使用调节发射适配器。经分析我们选用1000BASESX波长为850nm、MMF、纤芯/包层为62.5/125带宽为160200MHZ的光纤。光纤布线我们采用结构化布线，光纤从中心设备室直接走线到电信设备室。光纤走线用地下直埋方式，套在PVC管道中埋设入地下，同时光缆是用光来传输信息，由于光纤不受电子干扰，也不会干扰其它电信设备，可以适当的利用现有的电网和水网的地下管道，节约成本同时也减少对学院的环境的破坏。如果空中架线，不但有损校园美观，更重要的是如果学校现在正在扩建之中，空中架线可能会因为新建建筑物的原因要重新迁移，不但影响通信，还费时费力。需要注意的是：由于光纤容易折断，所以光纤走线不能过于弯折，同时光纤之间连接相对困难，检测成本很高，切记不能损伤光纤保护层，安全其间可以在外面多套一层物质进行保护。光纤的端接由于光纤传输信息是单向的，必须一根光纤发一根光纤收，如果光纤需要连接，在端口上使用连接器进行连接时要考虑极性问题。如果我们选择使用了SC连接器。SC连接器通过使用不对称双连接器，并在每一个位置上的A或B实现，在光纤的两端，用A或10B代表光信号的收或发，但是两端必须反接，即：如果一端是AB连到接插面板那么另一端应为BA接到接插面板中。当然，对于本院的布线，由于光纤走线距离目地很远，在光纤连接器价格相对昂贵的今天，我们可以使用一根完整的光纤直接连线到目标位置，然后对数据分流。示图如下：光纤交换机数据分流端接点2.5.3管理子系统的布线：管理子系统的主体是配线架以及配线架和网络设备之间形成交叉连接区。管理子系统用于把水平子系统和干线子系统连在一起，或把垂直干线子系统和设备间子系统连起来。通过它可以灵活的改变各子系统的连接关系，从而方便网络的管理。交接设备连接方式应符合下列规定：(1)如果线路一旦安装好后，比较固定，很少移动和重组，那么线路宜用夹接线方式(2)如果对以后是否改装线路不可预料，或已预料到以后必然要进行线路重组，那么宜用插接线方式(3)在交接场之间应留出空间，以便容纳未来交接硬件的扩充。管理子系统通常设置在一幢大楼的中央设备机房或各个楼层的分配线间。般由配线架和相应的跳线组成。同时我们还应注意：在设备间内水平接插软线或交接线和设备软线最长距离不能超过5米。2.5.4连接设备的选择：当光纤连到设备间之后，与分支交换机相连。要在交换机上的各集线器与工作区之间实现物理连接，就必须使用冲压模块或者接插面板。下面是两者的比较分析：用冲压模块实现公共设备如集线器与工作区设备连接时，这两种类型的电缆都连接11到各自对应的连接模块。然后通过交接线把两个连接模块一一对应的连接起来，有多少个端口就要多少根交接线。这种连接的好处是：我们在实现网络通信的时候，一般只用到4对双绞线中的2对，还有两对空闲着，这浪费了资源，而冲压模块的使用，就使它剩余的2对线另作它用成为可能。但是一一对应的交接，在线路很多时极容易造成错误连接，给管理和布线带来了麻烦，而且交接过多会造成信号衰减。而采用接插面板的连接，工作区电缆直接连到模块化接插面板，再用一根接插软线与集线器连接即可，连接方便，便于管理，但是由于使用的端口是RJ-45模块化连接器，双绞线中余下的2对双绞线难以另作它用。下面是两种连接器原连接示意图：冲压和交接示意图接插面板示意图HUB通过以上的比较可知道，在连接方面，接插面板连接方便可靠，费用不高。所以我们选择了这个方法作为连接。2.6主干网设计为了满足应用需求，在本设计方案中使用了万兆核心，主干线路采用了4芯62.5m多模室内用光缆，汇聚层到接入层采用了6类1000M非屏蔽双交线连接主干网络。2.7IP地址规划IP地址规划12IP地址规划原则：1、简单性地址的分配应该简单，避免在主干上采用复杂的掩码方式；2、连续性为同一个网络区域分配连续的网络地址，便于采用路由收敛技术缩减路由表的表项，提高路由器的处理效率；3、灵活性地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化；4、唯一性在整个网络环境中必须保持IP地址的唯一性；5、可管理性地址的分配应该有层次，某个局部的变动不要影响上层、全局；6、安全性网络内应按工作内容划分成不同网段即子网以便进行管理。1R1133校园网络设备配置本次的课题设计是在模拟软件的基础上实现的，因此此次的网络设备选择主要是依据该软件中具有的设备。PacketTracer5.2是思科公司专门为CCNA考试人员设计的一块软件，通过这个软件能够让我们模拟出各种路由、交换协议，而且，能够测试各种设备的工作情况。3.1交换机模块设计使用双核心网络的主要目的是实现冗余的连接防止单点失效，从逻辑上，大型网络可分为核心层、分布层和接入层，每层都有其特点。层次化设计的优点可以总结为如下几点：可扩展性：因为网络可模块化增长而不会遇到问题；简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题；设计的灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境；可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理。能够实现对所有人聊天；3.1.1交换机的选择交换机分为二层交换机和三层交换机两种类型，其中二层交换机的工作原理是：（1）当交换机从某个端口收到一个数据包，它先读取包头中的源MAC地址，这样它就知道源MAC地址的机器是连在哪个端口上的；（2）再去读取包头中的目的MAC地址，并在地址表中查找相应的端口；（3）如表中有与这目的MAC地址对应的端口，把数据包直接复制到这端口上；（4）如表中找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机器回应时，交换机又可以学习一目的MAC地址与哪个端口对应，在下次传送数据时就不再14需要对所有端口进行广播了。不断的循环这个过程，对于全网的MAC地址信息都可以学习到，二层交换机就是这样建立和维护它自己的地址表。可以看出二层交换机没有路由功能，当不同的子网进行通信是要借助路由器实现数据包的转发，所以当子网数量较多时，路由器的接口数量就成了一个瓶颈，而三层交换机就能解决这一缺点。三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，加入路由功能也是为这个目的服务的。因此具有路由功能的快速转发的三层交换机就成为首选。我们选择CISCO3560-24PS作为核心层交换机，这个设备有26个端口，其中有两个端口支持1Gbps的带宽，选择CISCO2950-24二层交换机作为接入层交换机，这个设备有24个接口，能够实现10M/100M自适应到桌面的功能，而且，这两款交换机都支持vlan功能。3.1.2核心层交换机的说明配置核心层的功能主要是实现骨干网络之间的优化传输,核心层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在核心层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心交换机采用两个三层交换机，该校园网分为7个vlan，vlan2、vlan3、vlan4分别接在核心交换机一的f0/1、f0/2、f0/3接口，vlan5、vlan6、vlan7、vlan8、vlan9分别接在核心交换机二的f0/1、f0/2、f0/3、f0/4接口。（1）基于端口vlan的划分这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。在核心交换机上的配置如下：15sw0(config)#intf0/1sw0(config-if)#switchportmodetrunksw0(config-if)#switchportaccessvlan2sw0(config)#intf0/2sw0(config-if)#switchportmodetrunksw0(config-if)#switchportaccessvlan3sw0(config)#intf0/3sw0(config-if)#switchportmodetrunksw0(config-if)#switchportaccessvlan4sw1(config)#intf0/1sw1(config-if)#switchportmodetrunksw1(config-if)#switchportaccessvlan5sw1(config)#intf0/2sw1(config-if)#switchportmodetrunksw1(config-if)#switchportaccessvlan6sw1(config)#intf0/3sw1(config-if)#switchportmodetrunksw1(config-if)#switchportaccessvlan7sw1(config)#intf0/4sw1(config-if)#switchportmodetrunksw1(config-if)#switchportaccessvlan8sw1(config)#intf0/5sw1(config-if)#switchportaccessvlan9（2）配置VLAN的各各接口的地址sw0(config)#intvlan2sw0(config-if)#ipaddsw0(config-if)#noshutdownsw0(config-if)#exitsw0(config)#intvlan3sw0(config-if)#ipaddsw0(config-if)#noshutdown16sw0(config-if)#exitsw0(config)#intvlan4sw0(config-if)#ipaddsw0(config-if)#noshutdownsw1(config)#intvlan5sw1(config-if)#ipaddsw1(config-if)#noshutdownsw1(config-if)#exitsw1(config)#intvlan6sw1(config-if)#ipaddsw1(config-if)#noshutdownsw1(config-if)#exitsw1(config)#intvlan7sw1(config-if)#ipaddsw1(config-if)#noshutsw1(config-if)#exitsw1(config)#intvlan8sw1(config-if)#ipaddsw1(config-if)#noshutsw1(config)#intvlan9sw1(config-if)#ipaddsw1(config-if)#noshut(3)端口聚合提供冗余备份链路，端口聚合又称链路聚合，是指两台交换机之间在物理上将多个端口连接起来，将多条链路聚合成一条逻辑链路。从而增大链路带宽，解决交换网络中因带宽引起的网络瓶颈问题。多条物理链路之间能够相互冗余备份，其中任意一条链路断开，不会影响其他链路的正常转发数据。该核心交换机采用的是两条，具体配置如下：#interfaceport-channel1Switch(config-if)#noswitchportSwitch(config-if)#noshutdownSwitch(config-if)#ipaddress17Switch(config)#intf0/6Switch(config-if)#channel-group1modeon(4)OSPF：该协议从所有可用的路由器中搜集链路状态，信息从而构建该网络的拓扑图。使用Dijkstra算法计算出到达每一网络的最短路径，并在检测链路的变化情况时执行该算法快速收敛到新的无环路拓扑。具体配置代码如下：Router(config)#routerospf1Router(config-router)#network55area0Router(config-router)#network55area0Router(config-router)#network55area0（路由器）Switch(config)#routerospf1Switch(config-router)#network55area0Switch(config-router)#network55area0Switch(config-router)#network55area0Switch(config-router)#network55area0（交换机）（5）VTP的配置（是VLAN中继协议，也被称为虚拟局域网干道协议。它是思科私有协议。作用是十几台交换机在企业网中，配置VLAN工作量大，可以使用VTP协议，把一台交换机配置成VTPServer,其余交换机配置成VTPClient,这样他们可以自动学习server上的VLAN信息。）在核心层配置vtp服务器，就可以在一台交换机上集中修改vlan的配置，所做的修改会被自动传播到网络中的所有其它计算机上，实现了交换机vlan的统一配置。具体代码配置如下：三层交换机的配置：vtpmodeservervtpdomianl（名字）二层交换机的配置:vtpmodeclientvtpdomainl（名字）（6）DHCP的配置（动态主机配置协议）通常被应用在大型的局域网络环境中，主要作用是集中的管理、分配IP地址，使网络环境中的主机动态的获得IP地址Gateway地址、DNS服务器地址等信息，并能够提升地址的使用率。具体配置如下：ipdhcppoollcx1network18default-routerdns-server（7）ACL访问控制列表：ACL是提供网络安全访问的基本手段，在路由器端口处决定哪种类型的通信流量被转发或被阻塞。具体配置如下：interfaceVlan6ipaccess-group101outaccess-list101denyipanyhostaccess-list101permitipanyany（8）生成树的作用：防止广播风暴，备份作用，稳定mac地址表。具体配置如下：spanning-treemodepvstspanning-treevlan2-5priority4096spanning-treevlan6-8priority81923.1.3汇聚层交换机的说明配置分布层提供基于统一策略的互连性，它是核心层和访问层的分界点，定义了网络的边界，对数据包进行复杂的运算。在园区网络环境中，分布层主要提供如下功能：地址的聚集部门和工作组的接入广播域/多目传输域的定义InterVLAN路由介质的转换安全控制当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（VlanTrunkingProtocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。将核心交换机设置成为VTP服务器，其他交换机设置成为VTP客户机。(1)配置如下：s4#vlandatabase19s4(vlan)#vtpdomaindongs4(vlan)#vlan2s4(vlan)#vlan3s4(vlan)#vlan4s4(vlan)#vlan5s4(vlan)#vlan6s4(vlan)#vlan7s4(vlan)#vlan8s4(vlan)#vlan9s4(vlan)#vtpserver(2)trunk端口在最普遍的路由与交换领域，VLAN的端口聚合也有的叫TRUNK，不过大多数都叫TRUNKING，如CISCO公司。所谓的TRUNKING是用来在不同的交换机之间进行连接，以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。其中交换机之间互联用的端口就称为TRUNK端口。与一般的交换机的级联不同，TRUNKING是基于OSI第二层数据链路层（DataLinkLayer)RUNKING技术，如果你在2个交换机上分别划分了多个VLAN（VLAN也是基于Layer2的），那么分别在两个交换机上的VLAN10和VLAN20的各自的成员如果要互通，就需要在A交换机上设为VLAN10的端口中取一个和交换机B上设为VLAN10的某个端口作级联连接。VLAN20也是这样。那么如果交换机上划了10个VLAN就需要分别连10条线作级联，端口效率就太低了。当交换机支持TRUNKING的时候，事情就简单了，只需要2个交换机之间有一条级联线，并将对应的端口设置为Trunk，这条线路就可以承载交换机上所有VLAN的信息。这样的话，就算交换机上设了上百个个VLAN也只用1个端口就解决了。如果是不同台的交换机上相同id的vlan要相互通信，那么可以通过共享的trunk端口就可以实现，如果是同一台上不同id的vlan/不同台不同id的vlan它们之间要相互通信，需要通过第三方的路由来实现。该层对学生公寓区交换机trunk配置如下：s4(config)#intf0/1s4(config-if)#switchportmodetrunks4(config)#intf0/2s4(config-if)#switchportmodetrunks4(config)#intf0/320s4(config-if)#switchportmodetrunks4(config)#intf0/4s4(config-if)#switchportmodetrunk3.1.4接入层交换机的说明配置接入层是最终用户(教师、学生)与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维护。另外，通过VTP的设置，我们可以更好的将汇聚层的vl