校园网网络规划设计毕业设计论文

校园网网络规划设计摘要本文在局域网技术和先进开展根底上，分析了建立校园网的意义，建设原那么和目标，并详细阐述了其设计方案过程。文章从系统结构、网络方案、管理、布局等方面讨论了校园网的设计方案。在网络设计中，详细介绍了网络拓扑结构、VLAN划分、计算机的IP分配，并为移动用户提供外网VPN效劳，实现了网络的人性化设计。最后通过相关软件对网络进行管理以及实现网络的平安性。路由、交换与远程访问技术不仅仅是考试的重点。更是现代计算机网络领域中的三大支撑技术体系。它们几乎覆盖了一个完整的校园区网的实现的方方面面。校园网计算机网络的建设中，网络的作用就是将校园处于全面开放，使得校园网真正在教学科研及管理中起到重要的作用。路由器的一个作用是连通不同的网络，另一个作用是选择信息传送的线路。选择通畅快捷的近路，能大大提高通信速度，减轻网络系统通信负荷，节约网络系统资源，提高网络系统畅通率，从而让网络系统发挥出更大的效益来。从过滤网络流量的角度来看，路由器的作用与交换机和网桥非常相似。但是与工作在网络物理层，从物理上划分网段的交换机不同，路由器使用专门的软件协议从逻辑上对整个网络进行划分。例如，一台支持IP协议的路由器可以把网络划分成多个子网段，只有指向特殊IP地址的网络流量才可以通过路由器。对于每一个接收到的数据包，路由器都会重新计算其校验值，并写入新的物理地址。因此，使用路由器转发和过滤数据的速度往往要比只查看数据包物理地址的交换机慢。但是，对于那些结构复杂的网络，使用路由器可以提高网络的整体效率。路由器的另外一个明显优势就是可以自动过滤网络播送。从总体上说，在网络中添加路由器的整个安装过程要比即插即用的交换机复杂很多。一般说来，异种网络互联与多个子网互联都应采用路由器来完成。本课题正是以本校的校园网为例，组建一个具有代表意义的校园网络，综合了网络工程的规划与设计、设备选型、VLAN划分、IP地址分配、效劳器分配、存储设置、外网连接等技术，组建一个可扩展的、平安稳定的、易于管理的、高速网络的；实现多媒体教学、网络教学、数据平安等各种网络效劳，以满足现代化教学的各种需求。目录TOC\o"1-2"\h\z\u0.前言 11.设计方案概述 21.1功能需求 21.2设计思路 21.3总结 32.内部网络搭建——路由、交换 42.1网络搭建前规划 42.2路由 72.3交换 182.4配置核心VLAN端口地址 223.效劳器部署 233.1Exchange2003效劳器 233.2Apache效劳器 233.3FTP效劳器 243.4DNS效劳器 243.5iSCSI 244.软件防火墙ISA 254.1ISAServer2006的部署方案 255.外部网络搭建 26VPN远程访问 265.2帧中继 266.结束语 276.1论文总结 276.2未来展望 27参考文献、资料索引 29致谢 30近年来，学校的教学和管理工作正向着实现信息处理计算机化、信息交流网络化、信息管理数据化、信息效劳电子化开展。因此利用计算机网络技术机型学术管理和开展互助教学、科研活动已是势在必行。新世纪，信息技术说带来的一场革命将彻底改百年我们的学习、工作和生活方式。总体设计是校园网建设的总体思路和工程蓝图，是搞好校园网建设的核心任务。进行校园网总体设计，首先，进行对象研究和需求调查，弄清学校的性质、任务和改革开展的特点，对学校的信息化环境进行准确的描述，明确系统建设的需求和条件；其次，在应用需求分析的根底上，确定学校Intranet效劳类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三，确定网络拓朴结构和功能，根据应用需求、建设目标和学校主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原那么要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划安排校园网建设的实施步骤。建设校园网对每个学校来说都不是一件容易的事情，都要经过周密的论证、谨慎的决策和紧张的施工。当一堆设备变成网络的时候，大局部学校的满腔热情也慢慢地冷却凝固。校园网建成了，各种问题也不断涌现，设计目标根本无法实现，没有适宜的应用软件，许多设想根本无法实施，后续的维护费用不堪承受等等。我们提出校园网建设的原那么应该是：先进性，先进的设计思想、网络结构、开发工具，采用市场覆盖率高、标准化和技术成熟的软硬件产品；实用性，建网时应考虑利用和保护现有的资源、充分发挥设备效益；开放性，系统设计应采用开放技术、开放结构、开放系统组建和开放用户接口，以利于网络的维护、扩展升级及与外界的沟通；灵活性，采用积木式模块组合和结构化设计，使系统配置灵活，满足学校逐步到位的建网原那么，使网络具有强大的可增长性；可靠性，具有容错功能，管理、维护方便。对网络的设计、选型、安装、调试等各环节进行统一规划和分析，确保系统运行可靠，经济性，投资合理，有良好的性能价格比。1.1功能需求实现大学校园网络化，校园内的教学楼、宿舍、图书馆等各个局部彼此互联，并通过统一的出口接入因特网，使师生可通过互联网获取资源和信息。校内资源共享：在文件效劳器上装入大量的电子书籍、课件、教案及各种多媒体素材等资源，并且建立方便快捷的查询功能，让教师能方便的在网上查资料，使用网络进行备课、制作课件等。学生也可以通过网络，方便地查阅书籍、下载课程资料等，进行个性化自主学习。建设学校网站，通过网络，展示学校风采，也为展示学生风采提供平台。搭建电子邮件系统，方便师生之间的交流以及学校信息的传达。校园内网有域名解析的功能。卓越的多媒体应用系统，满足用户的点播需求，实现多媒体教学管理。教学管理功能，校园网有配套的网上办公系统、教务管理系统、学生管理系统、行政办公系统、财务管理系统、后勤管理系统、图书管理系统等。1.2设计思路根据需求及结合市场情况，现采用以下设计来完成组网要求。〔1〕以学生公寓为例：每栋学生公寓有6层，每层有30个宿舍。据此应该在每层设集线箱，每栋公寓有一个管理间，管理间内设有二层交换设备，集线箱接入二层交换设备。同样教学楼、教师公寓、食堂也采取上述学生公寓的结构，最后这些二层交换设备接入会聚层交换机和核心层的交换机，放入核心数据机房，同时在核心数据机房也存放着学校的效劳器，最后通过路由器接入Internet。〔2〕给路由器外网接口配置公网IP地址，给内部计算机配置，通过NAT使内网计算机上网。〔3〕给校园实现1000M电信光纤接入，能够满足学生和教师上网的需要；实时传递本校和国内外高校的教育教学信息；考虑到以后的扩展，可增加带宽或实现电信、网通双光纤接入。〔4〕在校园搭建FTP效劳器，实现校园资源的共享。〔5〕在校园搭建Web效劳器，展示学校风采，展示学生风采。〔6〕在校园搭建Mail效劳器，方便师生之间的交流以及学校信息的传达。〔7〕在校园搭建流媒体效劳器，满足用户的点播需求，实现多媒体教学管理。〔8〕在校园搭建DNS效劳器，保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的效劳器。〔9〕在校园一些部门的电脑上安装需要的管理系统，满足教学管理、学生管理等功能。1.3总结需求实现方法搭建校园网络环境接入层交换机连接计算机，会聚层交换机连接接入层交换机，核心层交换机连接会聚层交换机，通过路由器接入网络学生，老师能够上网浏览网页等提供1000M电信光纤接入，在路由器上配置NAT实现学校资源共享使用LinuxRedhat搭建一个FTP效劳器展现学校风采使用LinuxRedhat搭建Web效劳器师生之间的交流以及学校通知的传达使用WindowsServer2003系统自带邮件效劳器功能搭建一个Mail效劳器给内网分配IP地址手动的给校园内的用户分配IP地址域名解析使用LinuxRedhat效劳器功能搭建DNS效劳器教学管理/学生管理等功能安装相应的管理系统，例如：网上办公系统，教务管理系统，学生管理系统，行政办公系统，财务管理系统，后勤管理系统，图书管理系统——路由、交换2.1网络搭建前规划下列图为校园简单拓扑图。图2-1校园网络拓扑图本案例中，网络设计局部使用PacketTracer模拟练习，效劳器局部使用VMware创立的WindowsServer2003虚拟机进行试验。共设计了计算机八台，分别为zql_WebServer、zql_FTPServer和zql_MailServer、zql_DNSServer〔安装AD〕，zql_流媒体效劳器、zql_PC、zql_hlgPC来实现，他们都处于/24这个网段。设备选型根据XX职业学院网络建设需求及针对具体实际情况，采用的设备包括：〔1〕整体网络系统分为主干网络。分支网络和广域网络三局部。〔2〕核心网络设备采用Cisco6509千兆以太网交换机，负责对骨干节点网络、效劳器接入，以及VLAN等主要功能。〔3〕接入层设备采用Cisco3640交换机，实现10M/100M用户接入。根据需要，我们采用如下表所示设备。名称型号外联路由器Cisco3640核心层交换机Cisco6509会聚层交换机Cisco3640接入层交换机Cisco2950VLAN的划分VLAN号VLAN名称IP网段说明VLAN1—管理VLANVLAN10JSGY教师公寓VLANVLAN20XSGY学生公寓VLANVLAN30JXL1教学楼一VLANVLAN40JXL2教学楼二VLANVLAN50TSG图书馆VLANVLAN60CT餐厅VLANVLAN100FWQQ效劳器群VLANIP地址的分配众所周知，在通讯中，用户是靠号码来识别的。同样，在网络中为了区别不同的计算机，也需要给计算机指定一个号码，这个号码就是“IP地址〞。所谓IP地址就是给每个连接在Internet上的主机分配的一个32bit地址。按照TCP/IP〔TransportControlProtocol/InternetProtocol，传输控制协议/Internet协议〕协议规定，IP地址用二进制来表示，每个IP地址长32bit，比特换算成字节，就是4个字节。交换机和路由器端口地址分配：设备名称端口地址对应端口CoreSwitch1VLAN1:/24VLAN10:/24VLAN20:/24VLAN30:/24VLAN40:/24VLAN50:/24VLAN60:/24Fa0/1Fa0/2Fa0/3Fa0/4Fa0/5Fa0/6Fa0/7CoreSwitch2VLAN1:/24VLAN10:/24VLAN20:/24VLAN30:/24VLAN40:/24VLAN50:/24VLAN60:/24VLAN100:/24Fa0/1Fa0/2Fa0/3Fa0/4Fa0/5Fa0/6Fa0/7Fa0/8Core/24/24/245/246/24F0/1F0/2F0/3S1/0/1S1/0/2ConvergeSwitch1VLAN1:/24ConvergeSwitch2VLAN1:/24ConvergeSwitch3VLAN1:/24AccessSwitch1VLAN1:/24AccessSwitch2VLAN1:/24AccessSwitch3VLAN1:/24AccessSwitch4VLAN1:/24AccessSwitch5VLAN1:0/24AccessSwitch6VLAN1:1/24效劳器需要有静态的IP地址，它们处于/24网段，如下图：效劳器名称IP地址WZ_DNSServerWZ_FTPServerWZ_WebServer防火墙需要有静态的IP地址，它们处于/24网段，如下图：防火墙IP地址FastEthernet0FastEthernet1关键技术VTP〔VLANTrunkingProtocol〕：VLAN中继协议，也被称为虚拟局域网干道协议。它是一个OSI参考模型第二层的通信协议，主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名。使用VTP协议，可以将某一台〔或多台〕交换机定义为VTPServer，将其它交换机定义为VTPClient。当在一台VTPServer上配置一个新的VLAN时，该VLAN的配置信息将自动传播到本域内的其他所有交换机。这些交换时机自动地接收这些配置信息，使其VLAN的配置与VTPServer保持一致，从而减少在多台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。共享相同VLAN定义数据库的交换机构成一个VTP管理域。每一个VTP管理域都有一个共同的VTP管理域域名。不同VTP管理域的交换机之间不交换VTP通告信息。工作在VTP效劳器模式下的交换机可以创立、删除VLAN、修改VLAN参数。同时，还有责任发送和转发VLAN更新消息。工作在客户端模式下的交换机只能接收VLAN信息。OSPF英文全称为OpenShortestPathFirst，即开放式最短路径优先协议，它是一种链路状态路由协议，通过与直连路由器建立邻接关系互相传递链路状态信息，来了解整个网络的拓扑结构。就是说，每个运行OSPF进程的路由器都有整个网络的“地图〞。路由Cisco3640路由器适用于高密度广域网和拨号连接、中道高密度局域网连接、数据上的中密度语音、低到中密度ATM连接、集成的低密度调制解调器等环境下。Cisco3640有6个插槽，闪存为8M，可以通过PC闪存卡建议可靠德升级软件，Flash总共可升级至128M。在一个平台中结合了拨号访问、先进的局域网到局域网路由效劳、ATM连接及语音、视频和数据的多种业务集成。模块化、可伸缩的设计提供性能、可伸缩性、灵活性和投资保护。高密度ISDNPRI功能，预配置的BRI和PRI调制解调器捆绑，完全支持VPN，CiscoIOS防火墙特性集防止网络入侵的平安保护。如图图2-2Cisco3640路由器根本特征路由器类型模块化中高密度路由器网络协议IP/IPX/AT/DEC/FW/IDSPlus其他端口高速控制和AUX端口内置防火墙True扩展模块广域网网卡〔WIC〕模块：1端口ISDNBRI〔S/T〕；1端口ISDNBRI〔U〕；1端口同步串行；1端口4线56KbpsCSU/DSU；1端口T1/FT1CSU/DSU；语音接口卡〔VIC〕模块：2端口语音－FXS；2端口语音－E&M；2端口语音－F处理器225MHzRISCQEDRM5271内存32MB〔缺省〕；64MB〔最大〕网管软件CiscoIOSRelease12.0〔5〕T重量19550g配置Core端口Cisco路由器配置中端口是非常重要的局部，同时我们也要考虑配置文件和进程，才能彻底做好路由器的配置工作。几乎所有路由器都在路由器背后安装了一个控制台端口。控制台端口提供了一个EIA／TIA—232〔以前叫作RS—232〕异步串行接口、使我们能与路由器通信。同控制台口建立哪种形式的物理连接，取决于路由器的型号。有些路由器采用一个DB25母连接〔DB25F〕，有些那么用RJ45连接器。通常，较小的路由器采用RJ45控制台连接器，而较大路由器采用DB25控制台连接器。Cisco路由器的辅助端口：大多数Cisco路由器都配备了一个“辅助端口〞〔AuxiliaryPort〕。它和控制台湍口类似，提供了一个EIA／TIA—232异步串行连接，使我们能与路由器通信。辅助端口通常用来连接Modem，以实现对路由器的远程管理。远程通信链路通常并不用来传输平时的路由数据包，它的主要的作用是在网络路径或回路失效后访问一个路由器。Cisco路由器配置文件：1〕运行配置。2〕启动配置。运行Cisco路由器配置：有时也称作“活动配置〞，驻留于RAM，包含了目前在路由器中“活动〞的I0S配置命令。配置10S时，就相当于更改Cisco路由器配置。两者均以ASCII文本格式显示。所以，我们能够很方便地阅读与操作。一个路由器只能从这两种类型中选择一种。启动Cisco路由器配置：启动配置驻留在NVRAM中，包含了希望在路由器启动时执行的配置命令。启动完成后，启动配置中的命令就变成了“运行配置〞。有时也把启动配置称作“备份配置〞。这是由于修改并认可了运行配置后，通常应将运行配置复制到NVRAM里，将作出的改动“备份〞下来，以便Cisco路由器配置下次启动时调用。I0S进程：I0S进程是指一个在路由器上运行的特殊软件任务，用于实现某种功能。例如，IP包的路由选择是由一个进程完成的；而AppleTalk包的路由选择是由另一个进程完成的。I0S进程的其他例子如路由协议以及内存分配例程等等。当我们将命令放人配置文件对10S进行配置时，实际就相当于对构成10S各进程的行为加以控制。所有这些进程都在路由器上同时运行。至于能在一个路由器上运行的进程数量和种类，那么取决于路由器CPU的速度以及安装的RAM容量。可以看出，这类似于PC上运行的程序数取决于CPU的类型以及配备的RAM容量。Core(config)#interfacefastEthernet0/1Core(config-if)#ipaddressCore(config-if)#noshutdownCore(config-if)#exitCore(config)#interfacefastEthernet0/2Core(config-if)#ipaddressCore(config-if)#noshutdownCore(config-if)#exitCore(config)#interfacefastEthernet0/3Core(config-if)#ipaddressCore(config-if)#noshutdownCore(config-if)#exitCore(config)#interfaceserial1/0/1Core(config-if)#ipaddress5Core(config-if)#noshutdownCore(config-if)#exitCore(config)#interfaceserial1/0/2Core(config-if)#ipaddress6Core(config-if)#noshutdownCore(config-if)#exit配置访问控制列表访问控制是网络平安防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络平安最重要的核心策略之一。访问控制涉及的技术也比拟广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、效劳器的关键作用。作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网平安的有效手段。此外，在路由器的许多其他配置任务中都需要使用访问控制列表，如网络地址转换〔NetworkAddressTranslation，NAT〕、按需拨号路由〔DialonDemandRouting，DDR〕、路由重分布〔RoutingRedistribution〕、策略路由〔Policy-BasedRouting，PBR〕等很多场合都需要访问控制列表。访问控制列表的分类：〔1〕标准IP访问控制列表一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一局部，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。〔2〕扩展IP访问控制列表扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。〔3〕命名的IP访问控制列表所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。〔4〕标准IPX访问控制列表标准IPX访问控制列表的编号范围是800-899，它检查IPX源网络号和目的网络号，同样可以检查源地址和目的地址的节点号局部。〔5〕扩展IPX访问控制列表扩展IPX访问控制列表在标准IPX访问控制列表的根底上，增加了对IPX报头中以下几个宇段的检查，它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围是900-999。〔6〕命名的IPX访问控制列表与命名的IP访问控制列表一样，命名的IPX访问控制列表是使用列表名取代列表编号，从而方便定义和引用列表，同样有标准和扩展之分。Core(config)#access-list101denyudpanyanyeq23//禁止TELNETCore(config)#access-list101denyudpanyanyeq161//禁止SNMPCore(config)#access-list101denyudpanyanyeq512//禁止RSHCore(config)#access-list101denyudpanyanyeq513//禁止RLoginCore(config)#access-list101denyudpanyanyeq3389//禁止运程桌面Core(config)#access-list101denyudpanyanyeqecho//阻止DOS攻击Core(config)#access-list101DENYicmpanyanyecho//阻止DOS攻击Core(config)#access-list101permittcpanyanyCore(config-if)#ipaccess-group101fastEthernet0/3in//启用访问列表OSPF介绍OSPF(OpenShortestPathFirst开放式最短路径优先)是一个内部网关协议(InteriorGatewayProtocol,简称IGP)，用于在单一自治系统(autonomoussystem,AS)内决策路由。与RIP相比，OSPF是链路状态路由协议，而RIP是距离矢量路由协议。OSPF的协议管理距离是110。〔1〕OSPF起源IETF为了满足建造越来越大基于IP网络的需要，形成了一个工作组，专门用于开发开放式的、链路状态路由协议，以便用在大型、异构的IP网络中。新的路由协议已经取得一些成功的一系列私人的、和生产商相关的、最短路径优先(SPF)路由协议为根底，在市场上广泛使用。包括OSPF在内，所有的SPF路由协议基于一个数学算法—Dijkstra算法。这个算法能使路由选择基于链路-状态，而不是距离向量。OSPF由IETF在20世纪80年代末期开发，OSPF是SPF类路由协议中的开放式版本。链路是路由器接口的另一种说法，因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。OSPF路由协议是一种典型的链路状态〔Link-state〕的路由协议，一般用于同一个路由域内。在这里，路由域是指一个自治系统〔AutonomousSystem〕，即AS，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中，所有的OSPF路由器都维护一个相同的描述这AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。〔2〕OSPF的hello协议第一用于发现邻居。第二在成为邻居之前,必须对Hello包里的一些参数进行协商。第三Hello包在邻居之间扮演着keepalive的角色。第四用于在NBMA(NonbroadcastMulti-access)网络上选举DR和BDR等。〔3〕Hello包含以下信息:第一源路由器的RID。第二源路由器的AreaID。第三源路由器接口的掩码。第四源路由器接口的认证类型和认证信息。第五源路由器接口的Hello包发送的时间间隔。第六源路由器接口的无效时间间隔。第七优先级。第八DR/BDR接口IP地址。第九五个标记位(flagbit)。第十源路由器的所有邻居的RID。〔4〕OSPF的网络类型OSPF定义的5种网络类型:第一点到点网络(point-to-point)，由cisco提出的网络类型，自动发现邻居，不选举DR/BDR，hello时间10s。第二播送型网络(broadcast)，由cisco提出的网络类型，自动发现邻居，选举DR/BDR，hello时间10s。第三非播送型(NBMA)网络(non-broadcast)，由RFC提出的网络类型，手工配置邻居，选举DR/BDR，hello时间30s。第四点到多点网络(point-to-multipoint)，由RFC提出，自动发现邻居，不选举DR/BDR，hello时间30s。第五点到多点非播送，由cisco提出的网络类型，自动发现邻居，选举DR/BDR，hello时间10s。〔5〕OSPF的DR及BDR在DR和BDR出现之前，每一台路由器和他的所有邻居成为完全网状的OSPF邻接关系，这样5台路由器之间将需要形成10个邻接关系,同时将产生25条LSA。而且在多址网络中,还存在自己发出的LSA从邻居的邻居发回来,导致网络上产生很多LSA的拷贝,所以基于这种考虑，产生了DR和BDR。DR将完成如下工作：第一描述这个多址网络和该网络上剩下的其他相关路由器。第二管理这个多址网络上的flooding过程。第三同时为了冗余性，还会选取一个BDR，作为双备份之用。DRBDR选取规那么：DRBDR选取是以接口状态机的方式触发的。第一按照路由器优先级(RouterPriority)。第二Hello包里包含了优先级的字段，还包括了可能成为DR/BDR相关接口的IP地址。第三当接口在多路访问网络上初次启动的时候，它把DR/BDR地址设置为.0,同时设置等待计时器(waittimer)的值等于路由器无效间隔(RouterDeadInterval)。邻接关系建立的4个阶段:第一邻居发现阶段。第二双向通信阶段：Hello报文都列出了对方的RID，那么BC完成。第三数据库同步阶段：主从协商；DD交换；LSA请求；LSA传播；LSA应答。第四完全邻接阶段:fulladjacency。邻居关系的建立和维持都是靠Hello包完成的,在一般的网络类型中，Hello包周期性的以HelloInterval秒发送，有1个例外：在NBMA网络中，路由器每经过一个PollInterval周期发送Hello包给状态为down的邻居(其他类型的网络是不会把Hello包发送给状态为down的路由器的)。Cisco路由器上PollInterval默认60sHelloPacket以组播的方式发送给，在NBMA类型，点到多点和虚链路类型网络，以单播发送给邻居路由器。邻居可以通过手工配置或者Inverse-ARP发现。OSPF路由器在完全邻接之前,所经过的几个状态:第一Down:此状态还没有与其他路由器交换信息。首先从其ospf接口向外发送hello分组，还并不知道DR(假设为播送网络)和任何其他路由器。发送hello分组使用组播地址。第二Attempt:只适于NBMA网络,在NBMA网络中邻居是手动指定的，在该状态下，路由器将使用HelloInterval取代PollInterval来发送Hello包。第三Init:说明在DeadInterval里收到了Hello包，但是2-Way通信仍然没有建立起来。第四two-way:双向会话建立，而RID彼此出现在对方的邻居列表中。第五ExStart:信息交换初始状态，在这个状态下,本地路由器和邻居将建立Master/Slave关系，并确定DDSequenceNumber,路由器ID大的的成为Master。第六Exchange:信息交换状态，本地路由器和邻居交换一个或多个DBD分组〔也叫DDP)。DBD包含有关LSDB中LSA条目的摘要信息)。第七Loading:信息加载状态：收到DBD后,将收到的信息同LSDB中的信息进行比拟。如果DBD中有更新的链路状态条目，那么向对方发送一个LSR，用于请求新的LSA。第八Full:完全邻接状态,邻接间的链路状态数据库同步完成，通过邻居链路状态请求列表为空且邻居状态为Loading判断。〔6〕OSPF区域OSPF区域根据路由器的位置不同而分化区域，区域长度32位，可以用10进制，也可以类似于IP地址的点分十进制，分3种通信量：第一Intra-AreaTraffic:域内间通信量。第二Inter-AreaTraffic:域间通信量。第三ExternalTraffic:外部通信量。路由器类型：第一InternalRouter:内部路由器。第二ABR(AreaBorderRouter)：区域边界路由器。第三BackboneRouter(BR):骨干路由器。第四ASBR(AutonomousSystemBoundaryRouter):自治系统边界路由器。虚链路(VirtualLink)：以下2中情况需要使用到虚链路:第一通过一个非骨干区域连接到一个骨干区域。第二通过一个非骨干区域连接一个分段的骨干区域两边的局部区域。虚链接是一个逻辑的隧道〔Tunnel〕,配置虚链接的一些规那么:第一虚链接必须配置在2个ABR之间。第二虚链接所经过的区域叫TransitArea,它必须拥有完整的路由信息。第三TransitArea不能是stubarea。第四尽可能的防止使用虚链接,它增加了网络的复杂程度和加大了排错的难度。OSPF区域—OSPF的精华：Link-state路由在设计时要求需要一个层次性的网络结构。OSPF网络分为以下2个级别的层次:骨干区域(backboneorarea0)非骨干区域(nonbackboneareas)在一个OSPF区域中只能有一个骨干区域,可以有多个非骨干区域,骨干区域的区域号为0。为了防止回环的产生，各非骨干区域间是不可以交换LSA信息的，他们只有与骨干区域相连，通过骨干区域相互交换信息。非骨干区域和骨干区域之间相连的路由叫边界路由〔ABRs-AreaBorderRouters〕,只有ABRs记载了接入各区域的所有路由信息。各非骨干区域内的非ABRs只记载了本区域内的路由表，假设要与外部区域中的路由相连，只能通过本区域的ABRs，由ABRs连到骨干区域的BR，再由骨干区域的BR连到要到达的区域。骨干区域和非骨干区域的划分，大大降低了区域内工作路由的负担。〔7〕OSFPLSA类型第一RouterLSA:每个路由器都将产生RouterLSA，这种LSA只在本区域内传播，描述了路由器所有的链路和接口，状态和开销。第二NetworkLSA:在每个多路访问网络中，DR都会产生这种NetworkLSA，它只在产生这条NetworkLSA的区域泛洪描述了所有和它相连的路由器〔包括DR本身〕。第三NetworkSummaryLSA:由ABR路由器始发，用于通告该区域外部的目的地址。当其他的路由器收到来自ABR的NetworkSummaryLSA以后，它不会运行SPF算法，它只简单的加上到达那个ABR的开销和NetworkSummaryLSA中包含的开销，通过ABR，到达目标地址的路由和开销一起被加进路由表里,这种依赖中间路由器来确定到达目标地址的完全路由(fullroute)实际上是距离矢量路由协议的行为。第四ASBRSummaryLSA:由ABR发出，ASBR汇总LSA除了所通告的目的地是一个ASBR而不是一个网络外，其他同NetworkSummaryLSA。第五类型5:ASExternalLSA:发自ASBR路由器，用来通告到达OSPF自主系统外部的目的地,或者OSPF自主系统那个外部的缺省路由的LSA。这种LSA将在全AS内泛洪〔4个特殊区域除外〕。第六类型6:GroupMembershipLSA。第七类型7:NSSAExternalLSA:来自非完全Stub区域〔not-so-stubbyarea〕内ASBR路由器始发的LSA通告它只在NSSA区域内泛洪，这是与LSA-Type5的区别。第八类型8:ExternalAttributesLSA。〔8〕OSPF路由类型位于路由器所在外但在ospf自主系统内的网络，以汇总LSA的方式被通告。IA位于路由器所在外但在ospf自主系统内的网络，以汇总LSA的方式被通告。E1、OE2位于路由器所在外但在ospf自主系统内的网络，以汇总LSA的方式被通告。 〔9〕OSPF协议主要优点：第一OSPF是真正的LOOP-FREE〔无路由自环〕路由协议。源自其算法本身的优点〔链路状态及最短路径树算法〕。第二OSPF收敛速度快：能够在最短的时间内将路由变化传递到整个自治系统。第三提出区域〔area〕划分的概念，将自治系统划分为不同区域后，通过区域之间的对路由信息的摘要，大大减少了需传递的路由信息数量。也使得路由信息不会随网络规模的扩大而急剧膨胀。第四OSPF适应各种规模的网络，最多可达数千台。〔10〕OSPF度量值在Cisco路由器中，使用公式100Mbit/带宽〔单位为Mbit〕来计算的，但是，在带宽等于100Mbits的链路上，本钱为1。在大于100Mbits的链路上这个值就不是很好。RotuerA(config-if)#ipospfcostinterface-cost本钱越低，链路越好。RouterA(config-router)#atuo-costreference-bandwidthref-bw其中cost：1～65535ref-bw：1～4294967〔11〕OSPF末梢区域由于并不是每个路由器都需要外部网络的信息,为了减少LSA泛洪量和路由表条目,就创立了末梢区域,位于Stub边界的ABR将宣告一条默认路由到所有的Stub区域内的内部路由器。Stub区域限制：第一所有位于stubarea的路由器必须保持LSDB信息同步,并且它们会在它的Hello包中设置一个值为0的E位(E-bit)，因此这些路由器是不会接收E位为1的Hello包，也就是说在stubarea里没有配置成stubrouter的路由器将不能和其他配置成stubrouter的路由器建立邻接关系。第二不能在stubarea中配置虚链接(virtuallink)，并且虚链接不能穿越stubarea。第三stubarea里的路由器不可以是ASBR。第四stubarea可以有多个ABR，但是由于默认路由的缘故，内部路由器无法判定哪个ABR才是到达ASBR的最正确选择。第五NSSA允许外部路由被宣告OSPF域中来，同时保存StubArea的特征。ASBR将使用type7-LSA来宣告外部路由，Tag，如果NSSA里的ABR收到P位设置为1的NSSAExternalLSA，它将把LSA类型7转换为LSA类型5。并把它洪泛到其他区域中；如果收到的是P位设置为0的NSSAExternalLSA,它将不会转换成类型5的LSA，。第六totallystubarea完全的stub区域，连类型3的LSA也不接收。AS自治系统〔autonomoussystem〕：一组相互管理下的网络，它们共享同一个路由选择方法，自治系统由地区再划分并必须由IANA分配一个单独的16位数字。地区通常连接到其他地区，使用路由器创立一个自治系统。配置OSPF〔1〕配置交换机CoreSwitch1//在三层交换上配置OSPFCoreSwitch1(config)#routerospf1CoreSwitch1(config-router)#network55area0〔2〕配置交换机CoreSwitch2//在三层交换上配置OSPFCoreSwitch2(config)#routerospf1CoreSwitch2(config-router)#network55area0〔3〕配置路由器CoreCore(config)#routerospf1Core(config-router)#network55area02.3交换 〔1〕核心交换机由Catalyst6500系列产品组成的Catalyst6500家族为企业网络和效劳供给商网络提供了一系列高性能多层交换解决方案。Catalyst6500家族是专为满足对千兆位密度、数据和语音集成、LAN/WAN/MAN集中、可扩展性、高可用性、以及主干/分布、效劳器整合和效劳供给商环境中智能多层交换的不端增长的需求而设计的，是Catalyst4000和5000系列以及Cisco8500系列交换机的补充和完善，这些产品将继续提供相应的主要配线柜和ATM网络核心解决方案。这些Cisco家族产品共同提供了广泛的智能交换解决方案，使公司内部网和Internet能够支持多媒体等技术。图2-3Cisco6509交换机〔2〕会聚交换机Cisco3600系列是一个适合大中型企业Internet效劳供给商的模块化、多功能访问平台家族。Cisco3600系列拥有70多个模块化接口选项，提供语音/数据集成、虚拟专网〔VPN〕、拨号访问和多协议数据路由解决方案。通过利用CIsco的语音/网络模块，Cisco3600系列允许客户在单个网络上合并语音、和数据流量。高性能的模块化体系结构保护了客户的网络技术投资，并将多个设备的功能集成到一个可管理的解决方案之中。图2-4Cisco3640交换机〔3〕接入层交换机Ciscocatalyst2950交换机，二层交换机，Catalyst2950系列包括Catalyst2950T-24、2950-24、2950-12和2950C-24交换机。CiscoCatalyst2950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列，提供了线速快速以太网和千兆位以太网连接。这是一款最廉价的Cisco交换产品系列，为中型网络和城域接入应用提供了智能效劳。作为思科最为廉价的交换产品系列，CiscoCatalyst2950系列在网络或城域接入边缘实现了智能效劳。其优势有在布线室配线间中实现了智能的效劳质量〔QoS〕、限速、访问控制列表〔ACL〕和多播效劳；在多种介质上提供了升级到千兆位以太网的强大路径；凭借内置Cisco集群管理套件可出色地管理并轻松地配置第2-4层效劳。与CiscoCatalyst3550系列集中会聚交换机相结合，用于IP路由至网络核心。图2-5Cisco2950交换机交换机根本配置设置交换机名称switch(config)#hostnameCoreSwitch1设置特权模式口令CoreSwitch1(config)#enablesecretcisco设置虚拟登录口令CoreSwitch1(config)#linevty015CoreSwitch1(config-line)#passwordciscoCoreSwitch1(config-line)#login配置VTP及定义VLANVTP有三种操作模式：效劳器模式、客户机模式和透明模式。默认时CISCO交换机不传播VLAN信息，必须配置VTP域。VTP用来跨中继链路传播VLAN信息。为了在交换机间共享VLAN信息，必须使所有交换机具有相同VTP域名，其中至少一台必须被设置为VTP效劳器，其他交换机应当设置为VTP客户机。效劳器模式维护该VTP域中所有VLAN信息列表，可以增加、删除或修改VLAN。当一台未经配置的思科交换机第一次上电开机的时候，它的默认模式是效劳器模式。我们必须把它改成客户机或者透明模式。VTP效劳器周期性地播送VTP域名、VLAN配置，提供现行的配置修改号。这个修改号是VTP域的一局部，它确保VTP域内的所有交换机有现行的、正确的VLAN配置信息。当VLAN在VTP效劳器上被创立的时候，和其他VLAN配置信息一起存储在效劳器的NVRAM。当交换机重启的时候，配置信息还是被保存。客户机模式也维护该VTP域中所有VLAN信息列表，但不能增加、删除或修改VLAN，任何变化的信息必须从VTPServer发布的通告报文中接收。当客户交换机参加一个新的VLAN，VLAN必须被添加到VTP效劳器上面去。这样新的VLAN才能传递到所有的客户交换机。当新的VLAN增加后，客户交换机上的端口会关联到新的VLAN。客户交换机在NVRAM存储VLAN配置。然而，不像VTP效劳器，当客户交换机重启的时候，所有的VLAN配置信息丧失了。交换机启动完成后，需要发送一条VTP请求消息给VTP效劳器，来获取现行的VLAN配置。透明模式不参与VTP工作，它虽然忽略所有接收到的VTP信息，但能够将接收到的VTP报文转发出去。它只拥有本设备上的VLAN信息。VTP透明交换机和VTP客户交换机不同，VLAN可以在这些交换机上手工配置。如果配置为VTP域的一局部，他们可以从VTP效劳器接收VLAN配置信息。然而，他们不会通知VTP域本地配置的VLAN。配置成透明模式的交换机还是会收到VTP配置帧并传递这些帧到所有的骨干端口。这允许VTP客户交换机可以连接到一个VTP透明交换机。客户交换机透过透明交换机还是可以和VTP效劳器交换VLAN配置信息。配置各交换机主干道接口trunk并非是端口会聚，而是当一个VLAN跨过不同的交换机时，在同一VLAN上但是却是在不同的交换机上的计算机进行通讯时需要使用Trunk。Trunk技术使得一条物理线路可以传送多个VLAN的数据。交换机附属于某一VLAN〔例如VLAN3〕的端口接收到数据，在Trunk链路上进行传输前，会加上一个标记，说明该数据是VLAN3的；到了对方交换机，交换时机把该标记去掉，只发送到属于VLAN3的端口上。配置个交换机访问接口CoreSwitch1(config)#interfacerangefastEthernet0/1-15CoreSwitch1(config-if-range)#switchportmodeaccessCoreSwitch1(config-if-range)#switchportaccessvlan100注意：参照CoreSwitch1，对其他交换机的访问端口进行配置。配置访问层交换机AccessSwitch1〔config〕interfacegigabitEthernet1/1AccessSwitch1〔config-if-range〕switchportmodetrunk注意：参照AccessSwitch1，对其他交换机进行trunk配置。配置各交换机管理地址每个交换机都有一个默认的VLAN1又称管理VLAN；当你不另外划分VLAN的时候；交换机所有端口默认属于VLAN1；VLAN可以配置IP地址；这个IP地址可以作为这个VLAN内所有PC的网关，这个VLAN内的PC可以通过TELNET或其他远程方式使用这个IP远程控制交换机。2.4配置核心VLAN端口地址配置交换机CoreSwitch1CoreSwitch1(config)#interfacevlan10//注意IP地址和子网掩码之间的空格配置各交换机访问接口CoreSwitch1(config)#interfacerangefastEthernet0/1-15CoreSwitch1(config-if-range)#switchportmodeaccessCoreSwitch1(config-if-range)#switchportaccessvlan100ConvergeSwitch1(config)#interfacerangefastEthernet0/1-12ConvergeSwitch1(config-if-range)#switchportmodeaccessConvergeSwitch1(config-if-range)#switchportaccessvlan10AccessSwitch1(config)#interfacerangefastEthernet0/1–24AccessSwitch1(config-if-range)#switchportmodeaccess注意：参照AccessSwitch1，对其他接口进行配置。效劳器指一个管理资源并为用户提供效劳的计算机软件，通常分为文件效劳器、数据库效劳器和应用程序效劳器。运行以上软件的计算机或计算机系统也被称为效劳器。相对于普通PC来说，效劳器在稳定性、平安性、性能等方面都要求更高，因此CPU、芯片组、内存、磁盘系统、网络等硬件和普通PC有所不同。图2-6效劳器效劳器是网络上一种为客户端计算机提供各种效劳的高可用性计算机，它在网络操作系统的控制下，将与其相连的硬盘、磁带、打印机、Modem及各种专用通讯设备提供给网络上的客户站点共享，也能为网络用户提供集中计算、信息发表及数据管理等效劳。它的高性能主要表达在高速度的运算能力、长时间的可靠运行、强大的外部数据吞吐能力等方面。效劳器作为网络的节点，存储、处理网络上80%的数据、信息，因此也被称为网络的灵魂。做一个形象的比喻：效劳器就像是邮局的交换机，而微机、e.baidu/view/5513.htm"笔记本、PDA、等固定或移动的网络终端，就如散落在家庭、各种办公场所、公共场所等处的机。我们与外界日常的生活、工作中的交流、沟通，必须经过交换机，才能到达目标；同样如此，网络终端设备如家庭、企业中的微机上网，获取资讯，与外界沟通、娱乐等，也必须经过效劳器，因此也可以说是效劳器在“组织〞和“领导〞这些设备。3.1Exchange2003效劳器ExchangeServer是个消息与协作系统。Exchange是微软公司出品的一款功能强大的邮件效劳器，是目前世界上最好的信息协作平台。学习ExchangExchangeserver可以被用来构架应用于企业、学校的邮件系统甚至于象sohu或sina那样的免费邮件系统。Exchangeserver还是一个协作平台。你可以在此根底上开发工作流，知识管理，Web系统或者是其他消息系统。3.2Apache效劳器Apache源于NCSAd效劳器，经过屡次修改，成为世界上最流行的Web效劳器软件之一。Apache取自“apatchyserver〞的读音，意思是充满补丁的效劳器，因为它是自由软件，所以不断有人来为它开发新的功能、新的特性、修改原来的缺陷。Apache的特点是简单、速度快、性能稳定，并可做代理效劳器来使用。3.3FTP效劳器FTP〔FileTransferProtocol,FTP〕是/7729.htm"TCP/IP网络上两台计算机传送文件的协议，FTP是在TCP/IP网络和INTERNET上最早使用的协议之一，它属于网络协议组的应用层。FTP客户机可以给效劳器发出命令来下载文件，上载文件，创立或改变效劳器上的目录。FTP效劳一般运行在20和21两个端口。端口20用于在客户端和效劳器之间传输数据流，而端口21用于传输控制流，也是命令通向ftp效劳器的进口。3.4DNS效劳器DNS是计算机域名系统(DomainNameSystem)的缩写，它是由解析器和域名效劳器组成的。域名效劳器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的效劳器。其中域名必须对应一个IP地址，而IP地址不一定有域名。将域名映射为IP地址的过程就称为“域名解析〞。域名系统采用类似目录树的等级结构。3.5iSCSISCSI结构基于客户/效劳器模式，其通常应用环境是：设备互相靠近，并且这些设备由SCSI总线连接。iSCSI的主要功能是在TCP/IP网络上的主机系统(启动器initiator)和存储设备(目标器target)之间进行大量数据的封装和可靠传输过程。此外，iSCSI提供了在IP网络封装SCSI命令，且运行在TCP上。ISA防火墙：InternetSecurityandAcceleration(ISA)是可扩展的企业防火墙以及构建在MicrosoftWindowsServer™2003和Windows2000Server操作系统平安、管理和目录上的Web缓存效劳器，以实现基于策略的网际访问控制、加速和管理。4.1ISAServer2006的部署方案边缘防火墙〔堡垒主机〕〔1〕ISAServer2006使用两块网卡，一个连接“内部网络〞，一个连接“外部网络〞。〔2〕“内部网络〞代表公司的内部网络，使用私有IP地址。〔3〕“本地主机〞代表ISAServer2006。〔4〕“外部网络〞代表Internet，使用公共IP地址。〔5〕配置简单，容易部署。〔6〕单点防护。三向防火墙〔1〕ISAServer2006使用三块网卡，一个连接“内部网络〞，一个连接“外围网络〞，一个连接“外部网络〞。〔2〕“内部网络〞代表公司中不希望被Internet访问的网络资源，使用私有IP地址。〔3〕“本地主机〞代表ISAServer2006。〔4〕“外围网络〞〔非军事化区，DMZ〕代表公司中希望被Internet访问的网络资源〔如：Web效劳器，FTP效劳器，邮件效劳器〕，可以使用公共IP地址或私有IP地址。〔5〕“外部网络〞代表Internet，使用公共IP地址。〔6〕比“边缘防火墙〞方案更平安。〔7〕单点防护。背对背防火墙〔BacktoBack〕〔1〕有两台ISAServer2006，一个作为“前端防火墙〞，一个作为“后端防火墙〞。〔2〕“前端防火墙〞的外网卡连接Internet，内网卡连接“外围网络〞。〔3〕“后端防火墙〞的外网卡连接“外围网络〞，内网卡连接“内部网络〞。〔4〕多点防护，更平安。5.1VPN远程访问远程访问也是园区网络必须提供的效劳之一。它可以为家庭办公用户和出差在外的员工提供远程、移动接入效劳。VPN拨入成功之后，能访问内网效劳器上的共享资源.VPN配置——路由器〔1〕配置Core。〔2〕配置认证策略。〔3〕定义用户的组策略。〔4〕配置IKE阶段1策略。〔5〕配置动态加密映射。〔6〕配置静态加密映射。〔7〕在接口上激活静态加密映射。5.1.2VPN验证别离隧道〔1〕查看路由表信息。〔2〕EasyVPN成功拨号后，在PC本地网络查看新的逻辑网卡CiscoSystemsVPN。〔3〕在cmd命令中输入ipconfig，查看vpn分发给远程主机的公司内网IPping任一公司内部IP地址，都可以访问公司内网，别离隧道成功。5.2帧中继帧中继线路是中小企业常用的广域网线路，其通信费用较低。由于帧中继技术的一些特殊性,使得帧中继的配置较为复杂，特别 是在帧中继上运行路由协议时更是如此。DLCI〔DataLinkCirciutIdentification，数据链路连接标识符〕实际上就是帧中继网络中的第2层地址。帧中继的一个非常重要特性是NBMA〔非播送多录访问〕，这是帧中继默认工作的网络。6.1论文总结本设计的主要研究成果就是在我院构建了以多功能为根底的信息化校园。学校网络系统已广泛应用到常规工作做了个，在学校的教育教学工作、科研工作和管理工作等各方面发挥着积极的作用。丰富的教学资源、先进的多媒体网络教学模式，活泼了课堂气氛，吸引学生的注意力，培养了学生的学习兴趣，激发了学生的学习热情，扩大了学生的知识面，有力的促进了教学教育的工作。方便快捷的专业管理系统、多种网络管理手段有力的促进了管理工作的专业化、标准化和公开化，提高了管理效率。跨越多渠道、多方参与的立体式交流平台，促进了学校与社会之间、师生之间、同学之间的沟通与交流，增加了互动。全校利用优质的信息化条件，充分发挥信息化设施的作用，使信息技术在学校管理、科研教学、教育教学等各方面都取得了更好的应用，从而全面推进信息化校园的建设。校园网要能很好的应用与开展，很大程度上取决于设计方案的设计实施的成功与否。经过这次校园网结构设计，从最初的拓扑架设到最终的设计完成，该过程一直在我们努力与相互学习中完成，所以此次的毕业设计对我们所学的知识有了更深一步的认识。随着时代的需要