网络工程与系统集成(佟巍)

1、下载可编辑.专业 .整理 .网络工程与系统集成期末大作业需求分析：1）某大学具有 6 个二级学院，分别位于同一城市的 4 个园区，其中大学与 两个二级学院在同一个园区（园区 1），另外两个二级学院位于另一个园区（园 区 2 ），而其它两个学院分别位于园区 3 和园区 4 。2）大学向因特网发布信息并为全校提供有关的信息化服务，每个学院也自 行向因特网发布学院信息并负责学院自己的信息服务，每个学院都拥有约 1500 台 PC 机。3）大 学 已 从 CERNET 有 关 申 请 了 IPV4 地 址 块 /24/24 。4）校园网络遵循网络核心层、 网络汇聚层、 网络接入层的三层结构模式： 选

2、用万兆以太网作为连接大学 4 个园区的高速主干； 选用千兆以太网作为各个园区 的主干， 形成大学校园网的汇聚层； 选用百兆以太网 LAN作为基本接入形式。 大 学校园网与因特网具有统一接口，即通过百兆以太网接入CERNET。设计要求：1）为校园网规划 IP 地址；2）为校园网设计网络拓扑结构 （用 VISIO2003画图）；3）为校园网选择适当的网络设备；4）为校园网选择路由协议；5）为校园网选择网络安全措施。设计方案：一， 需求分析和设计考虑这是当前许多大学和企业面临的一个非常典型的大型园区网设计问题。 位于 同城市不同区域的 4个网络自行设计， 通过以太网光纤连接到核心交换机上， 以 及

3、vlan 间的路由技术，构成在拓扑上的统一结构。1）由于在某个时期网络具有特定的主流技术， 因此近年来建设的园区网大 多采用万兆核心， 千兆到楼宇，百兆到 LAN/桌面的以太网解决方案。 事实上，这种结构是一种二层结构的网络拓扑，其中的千兆构成了 汇聚层的主干，而百兆到 LAN/主成了接入层。因此，一种解决方案 就是选用万兆以太网作为整个核心层，形成校园网主干，并且该校 园网主干采用因特网公有地址。选用万兆交换机互联各个园区网的原因在于： 其一， 各园区网均采用以 太网技术体系，兼容性好。其二，大学将校园网上开展教学视频观 摩，远程听课等工作，提供高速率信息通道是必要的。万兆交换机 是具有路由

4、功能的多层交换机，在校园网环境下能够提供更好的性 能。其三是价格因素，若在覆盖几十千米采用高速路由器的话，通 常要采用 SDH技术，这会使有关设备的价格增加 23 倍。尽管高速 路由器会使各个园区具有更好的隔离性，但在校园网中用处不大。 因此选用多层交换机作为汇聚层的节点，在各个园区划分 vlan ，隔 离广播信息，再通过多层交换机的 vlan 间路由技术， 进而构建跨区 域的技术互联。根据要求，该校园从 CERNET获得的 IP 地址数量是无法满足需求的， 只 能提供向因特网发布信息和联系，或进行网络科学研究之用，因此 构成校园网 IP 地址的主体是经过 NAT或者 PAT地址转换的专用网地

5、 址。使用这些专用地址不利于与其他大学的学术交流，但也不得已 而为之的方法；另一方面，可以减少网络黑客对校园网的侵扰。由于网络的规模较大，考虑到以后的可扩展性，路由协议采用 OSPF。考虑到设备的可管理型，网络管理协议选用 SNM。P二， 设备选用：( 1) 交换机(多层交换机)的选用：二层交换机用于小型的局域网络。 这个就不用多言了， 在小型局域网中， 广 播包影响不大， 二层交换机的快速交换功能、 多个接入端口和低谦价格为小型网 络用户提供了很完善的解决方案。路由器的优点在于接口类型丰富， 支持的三层功能强大， 路由能力强大， 适 合用于大型的网络间的路由， 它的优势在于选择最佳路由， 负

6、荷分担， 链路备份 及和其他网络进行路由信息的交换等等路由器所具有功能。三层交换机的最重要的功能是加快大型局域网络部的数据的快速转发， 加入 路由功能也是为这个目的服务的。 如果把大型网络按照部门， 地域等等因素划分 成一个个小局域网， 这将导致大量的网际互访， 单纯的使用二层交换机不能实现 网际互访； 如单纯的使用路由器， 由于接口数量有限和路由转发速度慢， 将限制 网络的速度和网络规模，采用具有路由功能的快速转发的三层交换机就成为首 选。一般来说， 在网数据流量大， 要求快速转发响应的网络中， 如全部由三层交 换机来做这个工作， 会造成三层交换机负担过重， 响应速度受影响， 将网间的路 由

7、交由路由器去完成， 充分发挥不同设备的优点， 不失为一种好的组网策略， 当 然，前提是客户的腰包很鼓， 不然就退而求其次， 让三层交换机也兼为网际互连。第四层交换的一个简单定义是：它是一种功能，它决定传输不仅仅依据 MAC 地址（第二层网桥 ）或源/ 目标 IP 地址（第三层路由 ）, 而且依据 TCP/UDP第（ 四层） 应用端口号。第四层交换功能就象是虚 IP ，指向物理服务器。它传输的业务服 从的协议多种多样，有 HTTP、 FTP、NFS、Telnet 或其他协议。这些业务在物理 服务器基础上，需要复杂的载量平衡算法。在 IP 世界，业务类型由终端 TCP或 UDP端口地址来决定，在第

8、四层交换中的应用区间则由源端和终端 IP 地址、 TCP 和 UDP端口共同决定。根据流量计算，每个园区网中有 1500 台计算机，如果同时上网，会有部分 人看视频，聊 QQ，浏览网页等，经过估算，带宽的平均占用为 30kbps。那么， 每个园区网的总带宽应该为 30kbps*1500=3.945Mbps，考虑到设备之间的通信， 以及设备的冗余情况， 我们应把园区网核心交换机的处理能力定位在 1000Mbps。 而大学共包含 6 个二级学院，因此总带宽为 43.945Mbps*6=263.67Mbps，同样考 虑设备间的通讯以及设备冗余，我们应该把校园核心交换机的处理能力定位在 10000Mb

9、ps，根据以上的数据统计，我们采用以下性能的设备。A、核心层交换机：特征参数机箱模块化交换机，插槽数 9 个端口速率1000/10000Mb、GE、10GE端口密度大于 96 个，根据模块选购 GE/10GE背板带宽大于 600Gbps软件全路由及 QoS、安全等其它功能引擎、电源备份B、汇聚层交换机：特征参数机箱模块化交换机，插槽数 6 个以上端口速率1000/10000Mb、GE、10GE端口密度大于 48 个，根据模块选购 GE/10GE背板带宽大于 120Gbps软件全路由及 QoS、安全等其它功能引擎、电源备份C、接入层交换机：特征参数端口数2448个固定配置交换机端口速率10/10

10、0/1000Mb上行端口24 个， GE或 10GE速率背板带宽大于 20Gbps软件全路由及 QoS、安全等其它功能支持 PoE参考设备：A、园区网核心交换机： cisco6500 系列交换机产品规格：特性Cisco Catalyst 6500 系列系统特性机箱配置3 插槽6 插槽9 插槽9 个垂直插槽13 插槽背板带宽32Gbps 共享总线256Gbps 交换矩阵720Gbps 交换矩阵第三层转发性能Supervisor 1 MSFC ： 15MppsSupervisor 2 MSFC ： 210MppsSupervisor 720 ： 400Mpps操作系统Catalyst OS(Cat

11、OS)Cisco IOSCatOS/IOS 混合配置冗余交换管理引擎支持，支持状态化故障切换冗余部件电源（ 1+1 ） 交换矩阵（ 1+1 ） 可更换时钟 可更换风扇架高可用性特性网关负载均衡协议（ GLBP） 热备份路由器协议（ HSRP） 跨多模块 EtherChannel 快速生成树 多生成树 每 VLAN快速生成树 快速收敛的第三层协议最高系统端口密度10/100/1000 以太网576 个端口，都支持馈线电源10/100 快速以太网1152 个端口，都支持馈线电源100-BASE-FX千兆位以太网288 个端口（GBIC）10 千兆位以太网（ XENPAK）194 个端口（在交换管理

12、引擎上提供了 2 个端口）32 个端口集成 WAN模块FlexWAN(DS0到 OC-3)12 个模块，带 24 个端口适配器OC-3 POS端口192OC-12 POS端口48OC-12 ATM端口24OC-48 POS/DPT端口24PSTN接口数字 T1/E1 中继端口216FXS接口864高级服务模块千兆位防火墙 千兆位 VPN 高性能入侵检测 千兆位容交换模块 高性能 SSL端接 千兆位容服务网关B、汇聚层交换机： Cisco Catalyst 3560-X 系列 产品规格：Enhance productivity by using Cisco Catalyst 3560-X Ser

13、ies Switches to enable applications such as IP telephony, wireless, and video. These enterprise-class switches provide high availability, scalability, security, energy efficiency, and ease of operation with innovative features such as:? IEEE 802.3at Power over Ethernet Plus (PoE+) configurations? Op

14、tional network modules? Redundant power supplies? MAC security featuresKey Features? Connectivity options:o 24 and 48 10/100/1000 PoE+ and non-PoE modelso PoE+ with 30W power on all ports in 1 rack unit (RU) form factoro Optional four 1 GE SFP (Small Form-Factor Pluggable) or two 10 GE SFP+ uplink n

15、etwork modules? High availability due to dual redundant, modular power supplies and fans? Investment protection:o Enhanced limited lifetime warrantyo Enhanced Cisco EnergyWise to measure, report, and reduce energy usage across your organizationSecurity:o MAC security hardware-based encryptiono Multi

16、cast routing, IPv6 routing, and access control list in hardwareSoftware versions:o LAN Base: Enterprise Access Layer 2 Switchingo IP Base: Enterprise Access Layer 3 Switching, including OSPF (Open Shortest Path First) for routed accesso IP Services: Advanced Layer 3 Switching (IPv4 and IPv6)C、接入层交换机

17、： Cisco Catalyst 3750 系列交换机 产品规格：Cisco Catalyst 3750 系列包括以下配置：? Cisco Catalyst 3750G-24TS 24个以太网 10/100/1000 端口和 4 条小型 可插拔 (SFP)上行链路? Cisco Catalyst 3750G-24T 24 个以太网 10/100/1000 端口? Cisco Catalyst 3750G-12S 12 个千兆位以太网 SFP端口? Cisco Catalyst 3750-48TS 48 个以太网 10/100 端口和 4 条 SFP上行链 路Cisco Catalyst 375

18、0-24TS 路24 个以太网 10/100 端口和 2 条 SFP上行链? Cisco Catalyst 3750-48PS 48 个以太网 10/100 端口，带 IEEE 802.3af 和思科预标准以太网电源 (PoE) ，4条 SFP上行链路? Cisco Catalyst 3750-24PS 24 个以太网 10/100 端口，带 IEEE 802.3af 和思科预标准以太网电源 (PoE) ，2条 SFP上行链路? Cisco Catalyst 3750G-16TD 16 个千兆位以太网 10/100/1000 端口和 1 条万兆位以太网 XENPAK上行链路? Cisco Ca

19、talyst 3750G-24TS-1U 24 个以太网 10/100/1000 端口和 4 条 SFP上行链路， 1 机架单元 (RU)高? Cisco Catalyst 3750G-24PS 24 个以太网 10/100/1000 端口，带 IEEE 802.3af 和思科预标准 PoE，4 条 SFP上行链路? Cisco Catalyst 3750G-48TS 48 个以太网 10/100/1000 端口和 4 条 SFP 上行链路? Cisco Catalyst 3750G-48PS 48 个以太网 10/100/1000 端口，带 IEEE 802.3af 和思科预标准 PoE，4

20、条 SFP上行链路2) 路由器的选用：路由器的选用，我们考虑以下几点情况：A、一般在核心层和分发层之间部署；B、在冗余链路上提供等成本负载均衡时，可以快速重路由；C、建立 3 角连接而不是 4 角连接；D、建立路由邻居的链路用于转发流量；E、确保冗余的 3 层路径不存在黑洞；F、分发层根据可进行路由汇总；但现在不建议这么做；G、通过调整 CEF的3层/4 层负载均衡 hash，以获得最大的等成本开销路径的利 用率（CEF polarization） 。考虑到我们在大学与学院的汇聚层采用的是多层交换机， 因此，无需在此层 面花费过多的经费去采购三层设备， 只需在核心层连接 ISP 运营上的出口配

21、置路 由器即可， 同样考虑到设备处理转发数据的性能， 以及对模块带宽的要求， 我们 选用如下设备：Cisco 7200 系列路由器： 关键特性：? 高性能交换支持高速介质和高密度配置；通过其基于 RISC 和 SRAM 配置的系统处理器， Cisco 7200 每秒可以交换 30 万个信息包。? 全面的 Cisco IOS 软件支持和高性能网络服务增强高速执行服务质 量、安全、压缩和加密等网络服务。? 高密度端口提供高密度端口以及广泛的局域网和广域网介质， 大大降 低了每端口成本，并允许灵活地进行配置。? 公用端口适配器利用和 Cisco 7200 通用接口处理器（ VIP）相同的端 口适配器

22、，简化了备件存储，并提供接口投资保护。3） 防火墙的选用：Cisco ASA 5500 系列自适应安全设备：防火墙版： 使企业能够安全、 可靠地部署关键业务应用和网络。 独特的模 块化设计能够提供卓越的投资保护，降低运作成本。IPS 版：通过一组防火墙、应用安全性和入侵防御服务，防止关键业务服 务器和基础设施遭受蠕虫、黑客及其它威胁的袭击。Anti-X 版：利用全面的安全服务套件，为小型站点或远程站点的用户提 供保护。企业级防火墙和 VPN服务提供到公司网络的安全连接。来自 Trend Micro 的业领先的 Anti-X 服务能够防止客户端系统遭受恶意 Web站点以及病 毒、间谍软件和诱骗等

23、基于容的威胁侵袭。SSL/IPsec VPN版：使远程用户能够安全地访问部网络系统和服务，为大 型企业部署支持 VPN集群。安全套接字层（ SSL）和 IP Security （IPsec ） VPN 远程接入技术将 Cisco Secure Desktop 等威胁迁移技术与防火墙和入 侵防御服务有机地结合在一起，保证 VPN流量不会给企业带来威胁。最高防火墙吞吐量（ Mbps ）150最高 3DES/AES VPN 吞吐量（ Mbps ）100最高连接数10,000/25,000集成式端口8 端口 10/100 交换机，带 2 个以太网供电端口SSC/SSM扩 展插槽是( SSC )应用层安

24、全性是L2 透明防火墙是(4) 无线设备： Cisco 5500 系列无线控制器Cisco 5500 系列无线控制器实现无线配置和管理功能的自动化，为网络管 理员提供更强的可视性和更大的控制能力， 让管理员更有成本效益地管理无线网 络和保障无线网络安全。 本控制器作为思科一体化无线网络 (Cisco Unified Wireless Network) 的一个组件，提供 Cisco Aironet ? 无线接入点、 Cisco 无 线控制系统( Wireless Control System，WC)S与 Cisco 移动服务引擎 (Mobility Services Engine) 之间的实时通

25、信。 同时还提供集中化安全策略、无线入侵防 御系统 (IPS) 能力、获奖的 RF 管理，以及高质量服务 (QoS) 。为下一代无线网络而优化， 5500 系列无线控制器： 提供改善的移动性； 让企业做好使用最新移动设备和应用程序的准备； 比其他无线局域网控制器支持更高密度的用户； 提供更高效的漫游服务，吞吐量至少是现有 802.11a/g 网络的九倍。 ( 5) 线缆：根据以上对于设备占用带宽的分析， 以及考虑成本和维护的费用以及方便程 度，我们将在核心层、汇聚层采用“以太网光纤”，接入层采用“ 7 类双绞线”，这样不仅能够保证网络的稳定性和冗余，而且能为以后的升级、维护提供方便线材选用：华

26、为 1000BASE-LX(SFP)技术规格：模块类型传输距离传输介质传输波长接口类型传输速率工作电压SFP10 公里单模光纤1310 纳米双 LC 接口1.25Gb/s3.3 伏( 6) 服务器：核心服务器： IBM System x3850 X5(7145N12)基本参数产品类型 企业级产品类别 机架式产品结构4U处理器CPU类型Intel 至强 7500CPU型号Xeon X7560CPU频率2.266GHz智能 加速 主频2.666GHz标配 CPU数4颗量最大 CPU数4颗量制程工艺45nm三级缓存24MB总线规格QPI 6.4GT/sCPU核心八核CPU线程数16线程主板扩展槽7半

27、长 PCI-Express （2 个热插拔）存存类型DDR3存容量32GB存描述84GB 1066MHz DDR3存最大存容量1TB存储硬盘 接口 类SAS型标配 硬盘 容584GB量硬盘描述4块 146GB SAS硬盘热插拔盘位支持热插拔RAID模式RAID 0，1，5光驱DVD网络网络控制器两个千兆以太网卡管理及其他Alert on LAN 2 ，服务器自动重启， IBM Systems Director ， IBMServerGuide ，集成管理模块（ IMM），光通路诊断（单独供电），系统管理适用于硬盘驱动器 / 处理器 /VRM/风扇 / 存的 Predictive Failure

28、Analysis ，Wake on LAN，动态系统分析， QPI Faildown ，单点故障转移Microsoft Windows Server 2008 (Center Edition ，32 位和 64 位)Standard ，Enterprise系统支持32位和 64位 Red Hat Enterprise Linux电源性能SUSE Enterprise Linux (ServerVMware ESX Server/ESXi 4.0和 Advanced Server )电源类型冗余电源电源数量2个电源电压220V电源功率1975W和 Data汇聚层服务器：IBM System x3

29、650 M3(7945I75)基本参数产品类别机架式产品结构2U处理器CPU类型Intel 至强 5600CPU型号Xeon X5670CPU频率2.93GHz智能 加速 主频3.333GHz标配 CPU数1颗量最大 CPU数2颗量制程工艺32nm三级缓存12MB总线规格QPI 6.4GT/sCPU核心六核CPU线程数12线程主板扩展槽4PCI-Express （二代插槽）存存类型DDR3存容量8GB存描述24GB 1.5V DDR3 RDIMM存下载可编辑.专业 .整理 .下载可编辑18.专业 .整理 .存插槽数量最大存容量 192GB存储硬盘 接口 类SATA/SAS/SSD标配不提供8T

30、B标配 硬盘 容 量最大 硬盘 容 量部硬盘架数 最大支持 16 块 2.5 英寸热插拔 SAS/SATA硬盘热插拔盘位 支持热插拔RAID模式RAID 5网络网络控制器 集成双端口千兆网卡管理及其他IBM IMM， Virtual Media Key 用于可选的远程呈现支持，预测故障系统管理 分析，诊断 LED，光通路诊断，服务器自动重启，IBM Systems Director 和 IBM Systems Director Active Energy Manager， IBM ServerGuide Microsoft Windows Server 2008 R2和 2008系统支持Red

31、 Hat Enterprise LinuxSUSE Linux Enterprise ServerVMware ESXi 4.0 嵌入式虚拟化管理程序电源性能 电源类型 电源数量 电源功率热插拔电源1个675W（1）核心层：由于考虑到核心层的性能， 可靠性，安全等问题， 我对于拓扑图有以下两种 设计，第一种没有在核心层中另外加入核心交换机， 而第二种加入了 “核心中的 核心”，以下是两种方案的对比：园区网拓扑图：A、没有核心层的情况：B、全互连的分发层C、物理连线很多D、路由的复杂度增加图 1.1.1E、专门的核心层交换机：F、易于增加模块G、核心层链路较少H、易于升级带宽I 、路由协议对等体

32、数量少J、等开销的 3 层链路图 1.1.2园区网示例图：图 1.1.3该大学的校园网分为公网部分和专用部分。 通过防火墙， 连接了该大学放置 各种应用服务器的非军事区部分，并通过路由器与 CERNET相连。该三层校园网 结构中的核心层位于公网部分。如图所示，四个园区的核心多层交换机分别连接到大学主干交换机上， 并且 各个学院之间也通过万兆光纤互联， 构成冗余的网络拓扑结构， 保证了网络的高 可用性。设计中的多层交换机采用 Cisco 公司的万兆交换机 cisco6500 系列交换 机，防火墙使用的是 Cisco 的 IOS Firewall ，为了增加核心层的可靠性，采用 租用电信公司的光纤

33、裸芯， 用万兆速率将 4 个园区的 8 台万兆交换机与核心的两 台交换机连成环。（2）汇聚层：图 2.1.1图 2.1.2图 2.1.3各园区可以基本保持原有的二层网络结构，并且在自己园区网中使用专用 IP 地址块。园区网要考虑将汇聚层主干兆交换机与大学万兆交换机通过防火墙 相连的问题， 注意到有些万兆交换机可能具有置的防火墙。 同时，他们在部防火 墙处设置自己的非军事区，放置学院网络应用服务器。园区中的各个服务器，教学楼，办公楼，宿舍楼等的交换机，还有包括像 cisco IP ，无线路由器等，都连接到网管中心的主服务器上，然后再向下划分各 个楼层的交换机。如图例所示， 是理工学院与大学万兆核

34、心层主干网的连接。 其中理工学院园 区网的主干网由 IBM 的主服务器与 cisco 公司的 VN6500交换机连接的千兆光纤 构成，以百兆以太网作为接入网与用户 PC， IP 等相连。各二级学院的校中具有的 PC数量为 1500 台，我们可以根据不同部门， 不同 楼宇位置划分为若干子网，然后划分 vlan ，以隔离广播流量，提高网络工作效 率，同时，像各个学院办公室，实验室，网管中心，或者宿舍楼等，可以把这些 vlan 子网通过 VPN与其他学院，大学独立的组成自己的虚拟局域网。网络管理协议援用 SNMP技术。（ 3）接入层：图 3.1.1 设备连接应用的客户端桌面设备，即可以采用固定配置的

35、工作组级交换机， 并且有千兆以太网上行端口， 设备应该具有可管理性。 同时在设备投资上考虑性 能/价格比因素，目前在设计接入网络方案时，普遍采用支持SNMP和 RMON等网 管协议的交换机设备， 具有支持基于 web 网络管理功能的设备， 简化管理工作的 复杂性，支持冗余链路功能，提高网络方案的可靠性。可以灵活划分 vlan ，支 持 IEEE802.1p 协议，提高网络的控制能力。4）参考图例：图 4.1.1三，技术实施：（ 1） 路由选择：根据校园网 4 个园区终端数量，以及网络环境和需求，比较各个路由协议 （RIP V1，RIP V2，OSPF，BGP，EIGRP等），最终选用 OSPF

36、路由协议，作为校 园网路由选择最终协议。OSPF全称为开放最短路径优先。“开放”表明它是一个公开的协议，由标 准协议组织制定，各厂商都可以得到协议的细节。 “最短路径优先”是该协议在 进行路由计算时执行的算法。 OSPF是目前部网关协议中使用最为广泛、性能最 优的一个协议，它具有以下特点：A 、 可适应大规模的网络；B 、路由变化收敛速度快；C 、无路由自环；D 、支持变长子网掩码 (VLSM)；E 、支持等值路由；F 、支持区域划分；G 、提供路由分级管理；H 、支持验证；、支持以组播地址发送协议报文。 基本配置：A、一般在核心层和分发层之间部署；B、在冗余链路上提供等成本负载均衡时，可以快

37、速重路由；C、建立 3 角连接而不是 4 角连接；D、建立路由邻居的链路用于转发流量；E、确保冗余的 3 层路径不存在黑洞；F、分发层根据可进行路由汇总；但现在不建议这么做；G、通过调整 CEF的3层/4 层负载均衡 hash，以获得最大的等成本开销路径的利 用率(CEF polarization) 。图 5.1.1（2）交换网转路由网：1 ，首先要合理的分配 IP 地址，做好 IP 地址的规划，本案例需求中已经做 了规定：凡是互联地址均使用 /24 子网掩码，并且在 /24 地址段 围。，根据本案例需求， 我们先要将 vlan301 和 vlan302 的网关下移的过程中会 出现少量的丢包，

38、属于正常现象。，对于链路和交换机来说，需要逐条逐个进行。要尽最大努力减少丢包。具 体方法为我们可先起 OSPF，并且宣告相应的网段，最后在进行接口配置。每条 路由链路建立好后都要进行核查。看 OSPF邻居关系有无正常建立。，为了有效利用 SW1 和 SW2之间的 Port-channel1 链路。我们可以在 Port-channel 上面配置 IP 地址。然后通过 OSPF进行宣告。这样配置后 SW1和 SW2就可以形成正常的邻居关系。vlan 配置（交换机功能的实现）：随着学校自身的发展及规模的扩大， 作为园区网的典型， 校园网正逐渐地由 中小型向大中型发展和过渡，这样就决定了它的组网在技术

39、上的多样性与复杂 性，其不仅要考虑物理上各网段的连接， 还要考虑建立在各种网络协议上子网的 互联。另外，随着校园网的计算机数量的增加， VOD视频点播在多媒体课堂教学 上的大量应用， 网络中广播包的数量也会急剧增加， 当广播包的数量占到总量的 30时，网络的传输效率将会明显下降。 特别是当某网络设备出现故障后， 会不 停地向网络发送广播， 从而导致网络风暴， 使网络通信陷于瘫痪。 当校园网络计 算机数超过 200 台后，就必须采取措施将网络分隔开来， 将一个大的广播域划分 成若干个小的广播域。 最后是校园网的安全性问题， 特别是蠕虫病毒大规模的爆 发，会使整个校园网处于严重负荷状态， 导致整个

40、网络不可用， 严重影响校园网 的性能。此外，大学生在校园网中存在两种攻击行为：无意识的和有意的。他们 的好奇心比较强，也有一定的理论知识，喜欢在网上尝试一些攻击软件的使用， 很可能造成整个校园网的瘫痪。配置策略：图 6.1.1如图所示做出如下配置：一） 交换机基本配置：1，Trunk ：打开所有交换机直接连接的接口，使用 802.1Q 标准互联，注意不需 要启用连接虚拟交换机的 Fa1/15 。2，FEC： SW1、SW2的 Fa1/1 ，Fa1/2 端口做 Ethernet Channel 捆绑，保持 2 端 配置一致。3，VTP：所有的交换机均在一个 VTP 域，域名为 LGXY，并设置密

41、码为 “ ligongxueyuan ”。 SW1、SW2为 Server 模式，其它交换机均为 Client 模 式。4，VLAN：在 SW1建立 VLAN 10100，VLAN 301400。确保所有交换机可以同步 这些 VLAN信息。（二）生成树配置：1，实现生成树负载均衡，服务器网段使用 VLAN1 020，通过配置确保访问 VLAN 1015 通过 SW1，而访问 VLAN1620通过 SW。22，例如：桌面终端（ PC1、PC2）使用 VLAN3 01302，通过配置确保 SW1为这些 VLAN的根网桥。同时为防止旧的交换加入网络时引起生成树计算，需使SW1成为 VLAN 1 的根

42、网桥。（三）多层交换的具体配置：1 在所有交换机上面进行基本配置2，所有交换机之间配置 truck 链路3，将 SW1及 SW2的 f1/1 和 f1/2 捆绑为 Port-channel 链路 4，在每个交换机上配置 VTP5，在 SERVER交换机上建立相应的 VLAN 7，在所有交换机上面配置管理 VLAN 310 6，给相应的 VLAN配置 SVI 接口并配置 hsrp 8，根据需求在相应的交换机上面进行生成树配置以提高链路的利用率9，对 HSRP进行优化10，开启 SW7、SW8的 Fa1/15 端口，分别加入到 VLAN 301、VLAN 302 11，对 STP进行优化12，交换网转路由网（3）子网，IP 地址划分：由 于 学 校 从 CERNET 申 请 到 的 IP 网 段 是 /24/24 ，通过计算，最多可以让 10 x（ 256-2 ）的 终端同时上网，但是每个学院有 1500台计算机， 4个园区总共为 6000台，因此 IP 地址数量远远不能满足计算机数量。为了解决这个问题我们采用地址转换协 议中的 PAT动态转换协议， 由路由器动态分配不同的端口号， 是多台计算机使用 公网的 IP