校园网络设计与规划.doc

目录 第第 1 1 章章 校园网建设原则校园网建设原则 1 1 1 总体规划 分步实施 1 1 2 网络的先进性 扩展性和可行 1 1 3 符合国际和国内标准 1 第第 2 2 章章 系统需求系统需求 3 2 1 系统总体需求 3 2 2 系统功能需求 4 2 3 系统性能需求 5 第第 3 3 章章 校园系统总体框架校园系统总体框架 6 3 1 总体结构 6 3 2 设备选型 7 3 3 网络层交换机选择 8 3 4 分布层交换机选择 9 3 5 网络管理 9 第第 4 4 章章 综合设计综合设计 11 4 1 布线系统特点 11 4 2 布线系统组成 12 4 3 安全系统 13 4 4 防病毒 15 4 5 VLAN 的实现 16 4 6 校园网 VLAN 的规划 18 4 7 VLAN 的配置 19 4 8 VLAN 之间的通信 21 II 第第 5 5 章章 结束语结束语 22 参考文献 23 致谢 25 校园网的设计与实现校园网的设计与实现 摘要 摘要 随着计算机应用成本的迅速降低 计算机用于办公辅助 管理已越来越普及 单机用户由于协作工作关系 数据交换和信息 查询的需求迅猛增长 办公自动化和无纸化的呼声日益强烈 信息 化时代的到来 使以获取并传授知识信息为主体的学校 感受到了 莫大的发展和生存的压力 建设能覆盖全校主要建筑的校园网络 更好地疏通教与学的授 受渠道则是解决这些问题的最佳途径 本论文实现了校园网的组建 介绍了校园网的建设 校园网建设 的需求分析和建设规则 论文分为唔部分 第二部分介绍了校园网的建设原则 第二部分介绍了系统需求 第三部分介绍了校园系统总体框架 第四部分介绍了校园网建设的需求分析 第五部分介绍了论文的参考资料 关键词 关键词 校园网络设计 综合布线 VLAN 实现 系统安全 网络管 理 1 第第 1 1 章章 校园网建设的原则校园网建设的原则 1 11 1 总体规划 分步实施总体规划 分步实施 一个校园网系统应该是 总体规划 分步实施 的 分步实施 包括功能的分步实施和规模的分步实施 这主要有两个原因决定 一是受资金的限制 往往资金不会一步到位 这就要求根据资金分 批投入情况 按实现校园网功能的轻重缓急来分步实施 二是受技 术发展的影响 计算机技术及通信技术 网络技术都是飞速发展的 已建成的校园网要不断满足新的需求就必须进行后期工程的建设 但分步实施一定要在总体规划的前提下进行 如果缺乏了总体规 划 系统将会陷入相互不兼容和前期投资的极大浪费 此外 应特 别注意系统实施的顺序 先调查用户需求 确定应用系统 再确定 系统软件 最后根据上面两者的需要选择适合硬件 1 21 2 网络的先进性 扩展性和可行性网络的先进性 扩展性和可行性 当前计算机网络技术发展很快 设备更新淘汰很快 因而建议 采用当前成熟先进的技术和设备 而这些设备应有良好的扩张性 目前校园网采用的比较成熟的网络技术是 千兆主干 百兆交换到 桌面 统一规划 软硬兼顾 分期实施 明确近期目标 1 31 3 符合国际和国内标准符合国际和国内标准 校园网是一个满足数字 语音 图形图象等多媒体信息 以及 2 综合科研信息传输和处理需要的综合数字网 校园网要能够符合多 种网络协议 体系结构要符合国际标准或事实上的国际工业标准 T CP IP 协议 同时能兼容已有的网络环境 所心 校园网应该具有 如下特性 1 先进性 技术上的先进性将保证处理数据的高效率 系统 工作的灵活性 网络的可靠性 技术上的先进性也使系统的扩充和 维护变得十分简单 2 可靠性 网络骨干线路的冗余备份 网络核心设备的冗余 备份和电源冗余备份等方面保证校园网的可靠性 3 开放性和可扩充性 主干网络设备的选型及其模块 插槽 个数 管理软件和网络整体结构 以及技术的开放性和对相关协议 的支持等方面 来保证网络系统的开放性和扩充性 4 可管理性 网络管理基于 SNMP 利用图形化的管理界面 和简洁的操作方式 合理的网络规划策略 提供强大的网络管理功 能 一体化的网络管理使网络日常的维护和操作变得直观 便捷和 高效 5 安全性 内部网络之间 内部网络与外部公共网之间的互 联 利用 VLAN ELAN 防火墙等对访问进行控制 确保网络的安全 6 实用性 网络系统的设计在性能价格比方面充分体现系统 的实用性 既要采用先进的技术 又能在经费允许的条件下实现建 网目标 3 第第 2 2 章章 系统需求系统需求 2 12 1 系统总体需求系统总体需求 随着计算机应用成本的迅速降低 计算机用于办公辅助管理已 越来越普及 单机用户由于协作工作关系 数据交换和信息查询的 需求迅猛增长 办公自动化和无纸化的呼声日益强烈 信息化时代 的到来 使以获取并传授知识信息为主体的学校 感受到了莫大的 发展和生存的压力 建设能覆盖全校主要建筑的校园网络 更好地 疏通教与学的授 受渠道则是解决这些问题的最佳途径 因此重庆 电子工程职业学院校园网建设的总需求是 1 建设一个能将散布在学校各处的各种服务器 PC 机 终端 设备 各类网络设备以及局域网 有线电视广播网 电话通讯网等 信息连接起来 形成结构合理并与有关广域网相连的校园计算机网 络系统 2 在上述基础上以现代教育技术为指导 建立满足学校员工教 学 科研 管理工作和学生自主学习所需要的软硬件环境和各类信 息资源库和应用系统 使其成为内接外连的教育信息服务体 3 培训校园网管理人员 建立校园网信息资源开发 收集 整 理队伍 培训员工校园网的使用技能 促进教学 管理改革 4 建立 健全校园网维护 使用和信息资源开发 收集的奖励 等管理制度 4 2 22 2 系统功能需求系统功能需求 根据当今技术发展的现状 结合郑州信息科技职业学院实际情 况提出以下校园网主要功能 1 建立课件 教学信息资料库及相关系统 实现授课点播 辅 助教学和电子设备等 2 建立多媒体课堂教学室 多媒体多功能课堂教学示范电教室 和多媒体多功能实验教室 改革传统的课堂教学手段和实践教学手 段 3 建立学生电子阅览室 厅 培养和倡导学生自主学习 协 商学习 信息求索的探究精神 4 建立多功能多媒体课件 教案制作中心 为学校探索新模式 教学 为教师钻研新的教学方法 为学校教学信息资料库和系统的 进一步完善提供相应的条件 未来教师将逐渐转变为电子教学读物 课件的研究制作者和学生自主学习 协商学习的指导者与答疑者 教师的作用交通过网络使所有自学者受益 促使终身教育社会化 5 建立校园 MIS 和 OA 系统 实现全校计算机辅助管理和办公 自动化 6 建立图书馆计算机管理系统和电子阅览系统 实现图书馆信 息自动化管理 快速检索 电子图书阅览 7 建立远程访问 RAS 利用校园网实时在家备课 办公和接 入 Internet 8 通过建立对外信息站点 实现学校信息上 Internet 和对外 5 信息服务 9 提供内外 E MAIL 等 Internet 技术支持下的信息交流服务 方便联络及合作 10 通过校园网实现全校上 Internet 和校内 Intranet 互访 11 利用网络技术 实现多媒体信息交换 视频点播 网络会 议 网络电话 远程教育 如与校外班通过网络远程教学 等等功 能 12 兼容校内有线电视网 广播网 监控等网络系统 实现信 息互传 达到多网合一 拓展校园网络功能 13 建立 IC 卡管理系统 实现校内一卡通 14 建立电子门禁系统和安全监控系统 实现全校远程巡视监 控 2 32 3 系统性能需求系统性能需求 学院校园网建设原则和功能需求 对校园网性能提出以下需求 1 主干带宽为 1000M 考虑到成本问题 前期规划主干设计 为 100M 但在设计中要考虑到 100M 升级到 1000M 的问题 2 对部分应用要求高带宽的二级节点设计为 1000M 3 主干和带宽为 1000M 的二级节点传输介质采用光纤 4 带宽为 100M 节点传输介质采用超五类双绞线 音频点采 用五类双绞线 视频点采用同轴电缆 6 5 电话 传真 电子邮件和基本公众服务应用基本带宽为 64K 高质量可视电话 视频会议 数字音频基本带宽为 384K 6 文件传输 WWW 应用 图象传输 网络游戏和网上购物基 本带宽为 1M 7 MPEG1 VCD 视频点播 交互式电视 广播电视基本带宽为 1 2M 1 5M 8 MPEG2 DVD 视频点播 高清晰度电视基本带宽为 3M 8M 9 3D 应用 VRML 虚拟现实 计算机网络实时多媒体应用基 本带宽为 6M 以上 10 网络系统可以从 100M 平滑升级到 1000M 或未来对 ATM 的支持 11 网络支持 VLAN 12 网络系统可以支持第三层交换 13 网络系统中服务质量支持 802 1p 14 网络协议支持 TCP IP 为主的多协议 15 系统必须具有安全性和管理性 16 系统中关键应用的服务器必须具有较高的性能 17 系统必须具有接入广域网的能力 7 第第 3 3 章章 校园系统总体框架校园系统总体框架 3 13 1 总体结构总体结构 学院校园网是结合了学校实际的教学 科研 办公 管理 考虑 了网络技术的应用和发展的情况下组建起来的 它基于 1 开放性的网络协议的标准以及技术成熟 商品化了的硬件 和软件 2 网络带宽可满足当前业务需求 并支持不断发展的业务需 要 3 网络的互连性 可操作性和可扩充性好 4 安全 可靠 网络管理方便有效 学院校园网是一个具有三层拓扑结构的局域网 总体布局如图 1 所示 8 图 1 校园网络拓扑 3 3 2 2 设备选型设备选型 1 扩展能力 核心交换机应当全部采用模块化结构 必须拥有相当数量的插槽 具有强大的网络扩展能力 以保护原有的投资 模块化结构拥有更 强劲的性能 更大的灵活性和可扩充性 可以根据现实或未来的需 要选择不同数量 不同速率和不同接口类型的模块 以适应千变万 化的网络需求 2 可扩展性应当包括以下两个方面 插槽用于安装各种功能模块和接口模块 由于每个接口模块所 提供的端口数量是一定的 因此插槽数量也就从根本上决定着交换 机所能容纳的端口数量 另外 所有功能模块 如管理引擎模块 9 IP 语音模块 扩展服务模块 网络监控模块 安全服务模块等 都 需要占用一个插槽 因此插槽数量也就从根本上决定着交换机的可 扩展性 毫无疑问 支持的模块类型 如 LAN 接口模块 WAN 接口模块 ATM 接口模块 扩展功能模块等 越多 交换机的可扩展性越强 仅以局域网接口模块为例 就应当包括 RJ 45 模块 GBIC Giga Bitrate Interface Converter 模块 SFP Small Form Pluggable 模块 10 Gbps 模块等 以适应大中型网络中复杂环境 和网络应用的需求 3 33 3 网络层交换机选择网络层交换机选择 网络根据楼宇内的计算机数量 以及子网规模和应用需求 决 定应当选择汇聚层交换机的类型 对于较大规模的子网 如图书馆 计算机系 学生公寓 办公大楼等 而言 应当选择拥有较高性能 的模块化三层交换机 如 Cisco Catalyst 4500 E 系列或锐捷 RG S6800 E 系列 而对于较小规模的子网 如实验楼 阶梯教室 楼等 则选择拥有 2 4 个 10 Gbps 上行链路 和 24 48 个 1 000 Mbps 端口的固定端口三层交换机 如 Cisco Catalyst 3750 E 系列 或锐捷 EG S5750 系列 固定端口的三层交换机能够同时提供多个 高速专用堆叠端口和百兆位 千兆位光口 电口 在提供高密度千兆 位端口接入的同时 还能够满足汇聚层智能高速处理的需要 并保 留必要时在楼宇内实现三层交换的可能 模块化交换机能够提供更 10 多的端口数量 更多的端口类型 能适应更为复杂的网络环境 实 现更加灵活的部署 汇聚层交换机都应具备较强的多业务提供能力 可支持包括智能的 CCL MPLS 组播在内的各种业务 为用户提供 丰富 高性价比的组网选择 3 43 4 分布层交换机选择分布层交换机选择 接入层设备应当采用拥有 24 48 个 10 100 Mbps 端口的固定配 置可网管交换机 并拥有 2 4 个 SFP GBIC 或 1000Base T 端口 以实现与汇聚层交换机的相互连接 或实现彼此之间的互联 对一 些需要提供远程供电的特殊需求 如 IP 电话和瘦无线 AP 还应当 支持 PoE 功能 接入层交换机建议选择 Cisco Catalyst 3560 或 Catalyst 2960 系列 或者锐捷 RG S3250 RG S2600 或 RG S2300 系列产品 3 53 5 网络管理网络管理 3COM 的 Transcend 结构使您今天能够建立完善的管理系统 又 可保护原有资源 因而明天您可以经济有效地扩大服务范围 3Com 管理优势的根基是牢靠 全面的三层 Transcend 结构 SmartAgent 管理代理软件是这个结构的基础 这些代理软件嵌 入于各种 3Com 产品中 从网卡到桥接器 路由器莫不是如此 它们 自动搜集每个设备的信息并把这些信息有机联系起来 同时只占用 最小的网络交通开销 11 中间层是针对 Windows 和 Unix 平台和基于开放式工业标准 SNMP 的各种管理平台 其中包括 Sun Net Manager HP OpenView 和 IBM Ne tviewRforAIX 这些管理平台强化了 SmartAgent 的管理 智能 支持高层的 Transcend 应用软件 最上层是 Transcend 应用软件 它们通过易于使用的图形界面 把各种管理功能集成于 SmartAgent 智能中 您可以选用 Transcend Workgroup Manager 或 Transcend Enterprise Manager 无论是哪 一种 Transcend 应用软件都可以最好地适用于您的环境 Transcend Workgroup Manager 全面控制工作组的活动 Transcend Enterprise Manager 全面控制企业的所有网络软件 其中包括互联 网与骨干网设备以及远程办公室的设备 分布的 SmartAgent 智能为集成网络管理提供许多很强的功能 例如 SmartAgent 能够处理远程的网络查询 限制查询交通流量的 范围 减少对网络带宽和中央控制台时间的需求 与此相似 Transcend Actionon Events 事变应急反应 功能可以使您迅速确 定应及时处理的工作或根据预定标准去自动处理相应的任务 这也 节省了带宽和宝贵的管理时间 不管您采用哪一种管理环境 Transcend 对所有应用软件和网络设备类型都提供同样的界面 这 意味着管理信息的比较和分析大为简化 使您可以更有效地进行故 障诊断和优化网络性能 为了保证您和管理环境可以平稳吸收各种新技术 3Com 公司的 各种管理软件均属于 Transcend Networking 框架的一部分 12 Transcend Networking 是 3Com 公司为了经济 高效 分阶段管理 网络发展而推出的全面长远的解决方案 第第 4 4 章章 综合综合设计设计 4 14 1 布线系统特点布线系统特点 重庆电子工程职业学院是集教学 科研于一体的机构 将会配 备不少的先进系统设备 但随着时代的发展 系统的升级和新系统 的增加是必然的 这就要求所采用的布线系统一定要相当灵活 开 放 以良好的结构和广泛的兼容性去适应未来发展的需要 这也是 选用结构化综合布线的原因 美国 Lucent Technologies 的结构化综合布线系统是目前国际 上普通采用的先进布线系统 它完全克服了传统布线的缺陷 将数 据 语音 图象和其它各类系统综合汇集到统一的结构化标准布线 系统中来 把布线系统的设计 器材 安装施工和管理等都纳入到 符合国际标准的轨道中 与目前国际 国内的电气 电子标准和各 类产品完全兼容 各种系统和产品都能方便地进入布线系统 而且 布线系统的性能指标大大超前 既完全满足当前应用的需求 又能 适应发展的潮流 为整个系统全部采用 Lucent Technologies BELL 实验室设计 并由 Lucent Technologies 生产的高品质器件组成 产品品种齐全 满足各种应用的需要 13 整个布线系统从设计 安装和都严格按照模块化要求进行 各 个子系统之间均为模块化积木式连接 各个元器件均可简单地插入 或拔出 使系统的搬迁 扩展和重新安置极为方便 布线系统的接口全部采用国标际准 能直接满足大多数系统布 线需求 整个系统明确分为六个功能完善的子系统 同时 配备了 大量齐全的线架 转换器和线缆 可以连接语音 数据等各种系统 具有高度的综合容纳 十分有利于设计 施工和运行管理 传输介质采用光纤或双绞线 根据具体网络要求设计 双绞线传 输速率最高可达 155Mbps 满足全彩视频信号传输需要 面向未来的系统设计可以随时加入各种新技术 新设备 无需 日后花费巨资扩容或重建网络 保护了最初投资 结构化的整体设计 提高了网络线缆综合利用率 比传统布线 减少了大量重复预留 4 24 2 系统组系统组成成 Lucent Technologies 的布线系统是一个模块化的开放系统 主要由六个子系统组成 下面分别说明各个子系统的组成 1 工作区子系统 由信息输出口到末端设备的连接部分 信息输出口采用符合 ISDN 标准的 RJ45 芯插口 根据用户的使用环境选用埋入型 桌上型 地毯型或通用型插座 根据网络系统末端设备的接口选用相应的适配 器 14 2 水平子系统 由各区的分线架 IDF 到该区的各个信息输出口的连线组成 SYSTIMAX PDS 使用 24AWG 双绞线 UTP 为传输介质 考虑到灵活性 兼容性 可扩充性 该系统数据 图像的传输 采用超 5 类双绞线 语音 传真采用 5 类双绞线 3 管理子系统 本系统均由电缆配线架 110 型 组成采用模块化的设计 颜色编 码 便于跳线 根据使用的不同情况采用打入式或插拔式跳线方法 4 主干子系统 由主线架 MDF 到各区分线架 IDF 的连接部分 根据传输信号 的不同 分别采用 UTP 大对数电缆为传输介质 以满足现在和将来所 有通讯网络的要求 5 设备间子系统 主线架 MDF 与主控室内各系统的连接部分 包括通讯系统 计 算机系统 有线电视系统和园区内设备自动系统等等 4 34 3 安全系统安全系统 网络信息系统的安全应该是一个动态的发展过程 应该是一种 检测 监控 安全响应的循环过程 动态发展是网络系统安全的规 律 网络安全监控和入侵检测产品正是实现这一目标的必不可少的 环节 网络监控系统是实时网络自动违规 入侵识别和响应系统 它 15 位于有敏感数据需要保护的网络上 通过实时截获网络数据流 寻 找网络违规模式和未授权的网络访问尝试 当发现网络违规模式和 未授权的网络访问时 网络监控系统能够根据系统安全策略做出反 应 包括实时报警 事件登录或执行用户自定义的安全策略等 1 系统组成 1 网络卫士监控器 1 台 2 监控系统软件 1 套 3 PC 机 1 台 用于运行监控系统软件 2 主要功能 实时网络数据流跟踪 采集与还原 网络监控系统运行于有敏感数据需要保护的网络之上 实时监 视网络上的数据流 分析网络通讯会话轨迹 如 1 E MAIL 监视特定用户或特定地址发出 收到的邮件 记 录邮件的源及目的 IP 地址 邮件的发信人与收信人 邮件的收发时 间等 2 HTTP 监视和记录用户对基于 Web 方式提供的网络服务的访 问操作过程 如用户名 口令等 3 FTP 监视和记录访问 FTP 服务器的过程 IP 地址 文件名 口令等 4 TELNET 监视和记录对某特定地址主机进行远程登录操作的 过程 16 3 主要技术特点 1 采用透明工作方式 它静静地监视本网段数据流 对网络通 讯不附加任何延时 不影响网络传输的效率 2 可采用集中管理的分布式工作方式 能够远程监控 可以对 每个监控器进行远程配置 可以监测多个网络出口或应用于广域网 络监测 3 网络监控系统能进行运行状态实时监测 远程启停管理 4 44 4 防病毒防病毒 为了有效的防止病毒对系统的侵入 必须在系统中安装防病毒 软件 并指定严格的管理制度 保护系统的安全性 1 应用状况 一台专用服务器 win2003 一台代理邮件服务器 win2003 PROXY SERVER Exchange Server 一台 WWW SERVER 一台数据库 SERVER 100 200 台客户机 2 解决方案 采用如表 1 的防病毒产品 表 1 防病毒产品 所需软件的名称所需软件的名称安装场所安装场所数量数量保护对象保护对象 ServerProtectfo rNTServer NTServer 每台 win2003 1 套win2003 本身 InterScanWebPro tect ProxyServer 按客户机数量HTTPFTP 用浏览器 下开载的程序 ScanMailforExch angeServer ExchangeServ er 按客户机数量有 E Mail 的用户 OfficeScancorp 各部门的 NT 域服务器 按客户机数量自动分发 更新 实 时监察客户机 17 以下是选用以上 Trend 公司产品的说明 在 win2003 主域控制器和备份域上均采用 Server Protec for WindowsNT 简体中文 5 5 版 保护 NT 服务器免受病毒的侵害 另外在外接 Internet 和邮件服务器上 采用 InterScanWebProtect 和 ScanMailForExchange 此两种软件是目前 唯一能从国际互联网络拦截病毒的软件 设计的理念是 在电脑病 毒入侵企业内部网络的入口处 Internet 服务器或网关 Gateway 上安装此软件 它可以随时监控网关中的 ETP 电子邮 件传输和 Web 网页所下载的病毒和恶性程序 并有文件到达网络系 统之前进行扫描侦测出来 4 54 5 VLANVLAN 的实现的实现 当一个网桥或交换机接收到来自于某个计算机工作站的数据帧 它将给这个数据帧加上一个标签以标识这个数据帧来自于哪个 VLAN 加标签的原则有多种 可以基于数据帧来自于网桥的哪个端 口 可以基于数据帧的数据链路层协议源地址 可以基于数据帧的 网络层协议源地址 网桥必须有一个不断升级更新的数据库 这个 数据库叫做过滤数据库 包含了本网络中全部 VLAN 之间的映射以及 它们使用哪个字段作为标签 例如 如果通过基于端口的方式来加 标签 该数据库应该指示哪个端口属于哪个 VLAN 网桥必须能够维 护数据库并且应保证所有在这个 LAN 中的网桥在它们的过滤数据库 中有同样的信息 18 基于 IEEE 802 1Q 协议时 4 个字节的 VLAN 标签加到传统的以 太网帧的目的 MAC 地址字段和协议类型字段 在符合 IEEE 802 3 协 议的帧中是长度字段 之间 其中包含有一个 12 比特大小的 VLAN ID 号以区别各个 VLAN 如图 2 所示 图 2 基于 802 1Q 协议的 VLAN 帧格式封装类型 由于 802 1Q 协议的标签头的 4 个字节是新增加的 故目前使用 的计算机并不支持 802 1Q 即计算机发送出去的数据包的以太网帧 头还不包含这 4 个字节 同时也无法识别这 4 个字节 对于交换机 来说 如果它所连接的以太网段的所有主机都能识别和发送这种带 802 1Q 标签头的数据包 该端口称为 Tag Aware 端口 需要给数据 帧加标签 对于每一个到来的 VLAN 帧 网桥或交换机将根据查找过 滤数据库的结果决定该帧归属于哪一个 VLAN 将从哪个接口被转发 出去 一旦网桥或交换机决定了某个数据帧的下一步去向 它就得 决定是否需要给这个数据帧加标签 具体实现包括以下三个过程 1 接收过程 负责接收数据包 数据包可以是带标签头的 也 可以不带标签头 如果不带 交换机会根据该端口所属的 VLAN 添加 上相应的标签头 2 查找 路由过程 根据数据包的目的 MAC 地址 VLAN 标识 查找过滤数据库中注册的信息 以决定把数据包发送到哪个端口 3 发送过程 将数据包发送到以太网段上 如果该网段的主机 19 不能识别 802 1Q 标签头 则在出端口前将该标签头去掉 如果是发 送到互连的其它交换机的端口 则标签头一般不去掉 4 64 6 校园网校园网 VLANVLAN 的规划的规划 随着校园网规模的不断扩大 用户不断增加 网络应用也不断 增长 网络变得越来越拥挤 冲突不断产生 管理难度日益加大 校园网目前的电脑数目已经上千台了 如果把这个庞大的网络作为 一个 VLAN 那么校园网的网络性能和安全性就会大大的降低 而且 能产生网络风暴使网络瘫痪 因此 应对这个庞大的校园网进行 VLAN 的规划 把它划分为若干个虚拟子网 这样可以提高校园网的 网络性能和安全性 防止网络风暴 校园网拓扑图如前面图 1 所示 网络根据地理区域分为 3 个部 分 办公楼 学生楼 教学楼及图书馆和生活区 每一个部分建设 一个网络中心 三个中心之间采用 GE 骨干互联 网络设计充分利用 了堆叠技术 简化了网络结构 目前 我校园网主要是以 Cisco Catalyst 6500 E 作为核心路由交换机 其它的网络部分采用堆叠 组网的方式 主要是由几台 Cisco Catalyst 4500 E 交换机组成堆 叠组 校园网的 VLAN 规划主要是根据学院校园的网络拓扑图 首先基 于核心路由交换机 Cisco Catalyst 6500 E 上根据每分配一个 C 类 的 IP 地址划分为一个 VLAN 然后再基于 Cisco Catalyst 4500 E 交换机根据网络管理的要求和网络的安全需要进行 VLAN 划分 如为 20 了使有些部门之间在网络中不能进行访问 确保本部门的信息不会 被本部门以外的人窃听 而把各个部门划分为各个单独的 VLAN 从 而提高各个部门的网络安全性 4 74 7 VLANVLAN 的配置的配置 随着校园网的建成 对于校园网的管理的要求也越来越高了 目前 由于数据广播在网络中起着非常重要的作用 随着校园网内 的计算机数量的增加 VOD 视频的大量应用 广播的数量在积聚增 加 当广播的数量占到总量的 30 时 网络的传输效率将会明显下 降 特别是当某网络设备出现故障后 会不停地向网络发送广播 从而导致通信陷于瘫痪 当校园网络内的计算机数超过 200 台后 就需要采取措施将网络分隔开来 将一个大的广播域划分成若干个 小的广播域 目前 校园网的计算机已经有上千台 因此更应将这 个大的广播域划分成若干个小的广播域 划分广播域的方式主要是 将校园网划分为若干个虚拟子网 也就是 VLAN 对校园网进行 VLAN 划分 可以强化网络管理和网络的安全 控制不必要的广播的数量 为了使校园网的管理更加完善 校园网的安全性更强 则必须 要对校园网进行 VLAN 的划分 对校园网的 VLAN 的划分 主要是根 据学院的网络拓扑图 首先是基于核心路由交换机 Cisco Catalyst 6500 E 上根据为每个分配一个 C 类的 IP 地址划分为一个 VLAN 然 后再基于 Cisco Catalyst 4500 E 交换机根据网络管理的要求和网 21 络的安全需要进行 VLAN 划分 如下分别是以学生宿舍 1 栋为例关于 基于 Cisco Catalyst 6500 E Cisco Catalyst 4500 E 的 VLAN 配 置 1 网络设备的安全配置命令 S enable 进入特权模式 S configure terminal 进入全局配置模式 S config hostname name 改变交换机名称 S config enable password level level password 设置用户口令 level 1 或特权口令 level 15 S config line console 0 进入控制台接口 S config line password console password 接上一条命令 设置控制台口 令 S config line vty 0 15 进入虚拟终端 S config line password telnet password 接上一条命令 设置 Telnet 口 令 S config line login 允许 Telnet 登录 S config enable password secret privilege password 配置特权口令 加 密或不加密 2 网络设备基本配置命令 S config interface ethernet fastethernet gigabitethernet slot port 进入交换机的接口模式 S config if no shutdown 关闭或启用该接口 默认启用 S config ip address IP address sunbet mask 指定 IP 地址 S config ip default gateway router s IP address 指定哪台路由器 地址为默认网关 S config if speed 10 100 auto 设置接口速率 S config if duplex auto full half 设置接口双工模式 S config if description description string 设置的交换机的端口描 述 S config if duplex auto full half 在交换机上设置以太网的链路模 式 3 在交换机上配置静态 VLAN S vlan database 进入交换机 vlan 的配置模式 S vlan vlan vlan num name vla 创建 vlan 并给 vlan 命名 S vlan exit 退出交换机 vlan 的配置模式 S configure teriminal 进入交换机的特权配置模式 S config interface interface module number 进入接口子配置模式 S config if switchport mode access trunk 设置交换机的接入模式 22 S config if switchport access vlan vlan num 把端口添加到 vlan 里面 S config if end 提出 vlan S config if switchport trunk encapsulation isl dotlq 设置 vlan 的加密方式 S config if switchport trunk allowed vlan remove vlan list 设置禁 止通过的 vlan S config if switchport trunk allowed vlan add vlan list 设置允许 通过的 vlan 4 84 8 V VL LANAN 之间的通信之间的通信 随着交换机应用的普及 VLAN 技术的应用也越来越广泛 众所 周知 VLAN 技术的主要作用是可将分布于不同地理位置的计算机按 工作需要组合成一个逻辑网络 同时 VLAN 的划分可缩小广播域 以 提高网络传输速度 由于处于不同 VLAN 的计算机之间不能直接通信 从而使网络的安全性能得到了很大提高 但事实上在很多网络中要 求处于不同 VLAN 中的计算机间能够相互通信 如何解决 VLAN 间的 通信问题是我们在规划 VLAN 时必须认真考虑的问题 在校园网络发 展的初期 网络中只有 10 20 的信息在 VLAN 之间传播 但随着多 媒体技术在校园网络中应用的迅速普及 VLAN 之间信息的传输量增 加了许多倍 如果 VLAN 之间的通信问题解决得不好 将严重影响网 络的使用和安全 在 LAN 内的通信 是通过数据帧头中指定通信目标的 MAC 地址 来完成的 而为了获取 MAC 地址 TCP IP 协议下使用 ARP 地址协议 解析 MAC 地址的方法是通过广播报文来实现的 如果广播报文无法 到达目的地 那么就无从解析 MAC 地址 亦即无法直接通信 当计 算机分属不同的 VLAN 时 就意味着分属不同的广播域 自然收不到 23 彼此的广播报文 因此 属于不同 VLAN 的计算机之间无法直接互相 通信 为了能够在 VLAN 间通信 需要利用 OSI 参照模型中更高一层 网络层的信息 IP 地址 来进行路由 在目前的网络互连设备 中能完成路由功能的设备主要有路由器和三层以上的交换机 1 通过路由器实现 VLAN 间的通信 使用路由器实现 VLAN 间通信时 路由器与交换机的连接方式有 两种 第一种通过路由器的不同物理接口与交换机上的每个 VLAN 分 别连接 第二种通过路由器的逻辑子接口与交换机的各个 VLAN 连接 2 通过路由器的物理接口与交换机上的每个 VLAN 分别连接 这种方式的优点是管理简单 缺点是网络扩展难度大 每增加 一个新的 VLAN 都需要消耗路由器的端口和交换机上的访问链接