成都理工大學工程技術學院畢業設計 大學校園網網絡工程設計大學校園網網絡工程設計 作者姓名： 專業：計算機科學與技術 指導教師： 大學校園網網絡工程設計 I 摘要摘要 校園網是各種類型網絡中一大分支，有著非常廣泛的應用。 作為新技術的發祥地，學校、尤其是高等學校，和網絡的 關系十分密切，網絡最初是在校園里進行實驗并獲得成功的，許 多網絡新技術也是首先在校園網中獲得成功，進而才推向社會的。 另一方面，作為“高新技術孵化器”的學校，知識、人才的資源 十分豐富，比其他行業更渴求信息、希望能有渠道獲得各種各樣 的信息來促進自身在研究、學術上的進步。 論文在局域網技術和現今發展基礎上，分析了建立校園網 的意義，建設原則和目標，并詳細闡述了其設計過程。文章從系 統結構、布線系統、網絡方案、管理等方面討論了校園網的設計 方案。在網絡設計中，詳細介紹了網絡拓撲結構、VLAN 劃分,并 在部分辦公室引入無線網絡，實現了網絡的人性化設計，最后通 過相關軟件對網絡進行管理以及實現網絡的安全性。 關鍵詞關鍵詞：網絡工程；校園網；網絡設計； 大學校園網網絡工程設計 II AbstractAbstract Campus Network is a major branch of Various types of network, which has a very wide range of application. As the birthplace of new technologies, especially for colleges and universities,has a very close relationship with the network.The network was first to test and succeeded in campus.Many other new technologies also first succeeded in campus,and then used in the community.On the other hand, school as a “high-tech incubator“,has rich resources in knowledge and talent,demands information more eagerly than any other industry,and would like to have access to a wide range of information channels to promote their own research and academic progress. This paper analyze the significance of the establishment of the campus network,the construction of the principles and objectives, and explain the detail of its design process based on the local area network technology and the current development.The article discusses the campus network design,cabling systems,network programs, and management. It also expatiates detailed information on network topology, VLAN division,introduces wireless networks into part of the office, and finally achieves the humanization of the network design through the relevant network management software and network security in network design area. KeyWords:Networkproject,Campusenetwork ,Networkdesign 大學校園網網絡工程設計 III 目錄目錄 摘要I AbstractII 目錄III 前言- 1 - 1 局域網概述.- 2 - 1.1 局域網技術- 2 - 1.1.1 局域網基本特征- 2 - 1.1.2 局域網的工作模式.- 2 - 1.1.3 局域網拓撲類型.- 4 - 1.1.4 局域網網絡類型- 5 - 1.1.5 局域網基本工作原理- 7 - 1.2 校園網- 9 - 2 校園網總體設計- 10 - 2.1 概述- 10 - 2.2 方案實施- 11 - 2.2.1 結構化布線.- 11 - 2.2.2 網絡設備選型.- 12 - 2.3 系統分析.- 16 - 2.3.1 關鍵網絡系統.- 16 - 2.3.2 網絡解決辦法.- 17 - 2.3.3 技術分析- 17 - 3 系統詳細設計- 19 - 3.1 系統組成與拓撲結構.- 19 - 3.1.1 VLAN 及 IP 地址規劃- 19 - 3.2 交換模塊設計.- 20 - 3.2.1 訪問層交換服務的實現配置訪問層交換機- 20 - 3.2.2 分布層交換服務的實現配置分布層交換機- 25 - 3.2.3 核心層交換服務的實現配置核心層交換機- 29 - 3.3 廣域網接入模塊設計.- 31 - 大學校園網網絡工程設計 IV 3.4 服務器模塊設計.- 35 - 4 測試- 37 - 4.1 系統測試.- 37 - 4.2 相關測試、診斷命令.- 37 - 4.2.1 通用測試、診斷命令- 37 - 4.2.2 CDP 測試、診斷命令.- 38 - 4.2.3 路由和路由協議測試、診斷命令- 38 - 4.2.4 VLAN、VTP 測試、診斷命令- 38 - 4.2.5 生成樹測試、診斷命令.- 39 - 4.2.6 NAT 測試、診斷命令.- 39 - 致謝- 40 - 參考文獻.- 41 - 大學校園網網絡工程設計 - 1 - 前言前言 校園網是各種類型網絡中一大分支，有著非常廣泛的應用。 作為新技術的發祥地，學校、尤其是高等學校和網絡的關系 十分密切，網絡最初是在校園里進行實驗并獲得成功的，許多網 絡新技術也是首先在校園網中獲得成功，進而才推向社會的。 我們看看國內校園網現狀，也正是因為看到網絡與學校之間 的密切關系，國家從 1994 年正式啟動中國教育科研計算機網 (CERNET)以來，已與國內幾百所學校相連，為廣大師生及科研 人員提供了一個全新的網絡環境。隨著信息技術的飛速發展，校 園網的建設已經逐漸提到議事日程上來。 對比國外校園網的建設和使用情況，我國目前的大多數校園 網的結構、規模和應用都不是很完整，網絡設備、計算機設備的 功能沒有得到充分地挖掘和發揮。 怎樣利用網絡設備，進一步發揮各種設備的功能，實現學校 各項業務系統的集成，提高應用水平將是學校校園網建設的下一 個工作重點。 本次設計就從用戶的需求分析入手，以我校為例設計出一個 校園網拓撲結構，并闡述了校園網的應用特點，以及網絡產品如 何滿足校園網用戶的多方面需求。 大學校園網網絡工程設計 - 2 - 1 1 局域網概述局域網概述 1.1 局域網局域網技術技術 1.1.1 局域網基本特征局域網基本特征 1局域網最主要的特點： 網絡為一個單位所擁有，分布范圍小，投資少，配置簡單等， 具有如下特征： 傳輸速率高：一般為 1Mbps-20Mbps，光纖高速網可達 100Mbps，1000MbpS。 支持傳輸介質種類多。 通信處理一般由網卡完成。 傳輸質量好，誤碼率低。 有規則的拓撲結構。 2局域網具有如下的一些主要優點： 能方便地共享昂貴的外部設備、主機以及軟件、數據。 從一個站點可訪問全網。 便于系統的擴展和逐漸地演變，各設備的位置可靈活調整 和改變。 提高了系統的可靠性、可用性和殘存性。 1.1.2 局域網的工作模式局域網的工作模式 1專用服務器結構：(Server-Baseb) 又稱為“工作站/文件服務器”結構，由若干臺微機工作站 與一臺或多臺文件服務器通過通信線路連接起來組成工作站存取 服務器文件，共享存儲設備。文件服務器自然以共享磁盤文件為 主要目的。 對于一般的數據傳遞來說已經夠用了，但是當數據庫系統和 其它復雜而被不斷增加的用戶使用的應用系統到來的時候，服務 大學校園網網絡工程設計 - 3 - 器已經不能承擔這樣的任務了，因為隨著用戶的增多，為每個用 戶服務的程序也增多，每個程序都是獨立運行的大文件，給用戶 感覺極慢，因此產生了客戶機/服務器模式。 2客戶機/服務器模式：(client/server) 其中一臺或幾臺較大的計算機集中進行共享數據庫的管理和 存取，稱為服務器，而將其它的應用處理工作分散到網絡中其它 微機上去做，構成分布式的處理系統，服務器控制管理數據的能 力己由文件管理方式上升為數據庫管理方式，因此，C/S 由的服 務器也稱為數據庫服務器，注重于數據定義及存取安全后備及還 原，并發控制及事務管理，執行諸如選擇檢索和索引排序等數據 庫管理功能，它有足夠的能力做到把通過其處理后用戶所需的那 一部分數據而不是整個文件通過網絡傳送到客戶機去，減輕了網 絡的傳輸負荷。C/S 結構是數據庫技術的發展和普遍應用與局域 網技術發展相結合的結果。 3對等式網絡：（Peer-to-Peer) 在拓撲結構上與專用 Server 與 C/S 相同，在對等式網絡結 構中，沒有專用服務器。 每一個工作站既可以起客戶機作用也可以起服務器作用。 雖然目前的網卡、HUB 和交換機都能提供 100M 甚至更寬 的帶寬，但一個局域網如果配置不當，盡管配置的設備都非常高 檔而網絡速度仍不能如意；或者經常出現死機、打不開一個小文 件或根本無法連通服務器，特別是在一些設備檔次參差不齊的網 絡中這些現象更是時有發生。在局域網中恰當地進行配置，才能 使網絡性能盡可能地進行優化，最大限度地發揮網絡設備、系統 的性能。其實局域網也是由一些設備和系統軟件通過一種連接方 式組成的，所以局域網的優化包括以下幾個方面： 設備優化：包括傳輸介質的優化、服務器的優化、HUB 與 交換機的優化等。 軟件系統的優化：包括服務器軟件的優化和工作站系統的優 化。 布局的優化：包括布線和網絡流量的控制。 大學校園網網絡工程設計 - 4 - 1.1.3 局域網拓撲類型局域網拓撲類型 拓撲結構是在邏輯上對網絡的一個描述，它反映了整個網絡 的結構。在網絡結構上，目前的網絡結構主要有以下幾種： 星形拓撲：星形拓撲是由中央節點和通過點到點鏈路到中 央節點的各站點組成。 總線拓撲：總線拓撲結構采用單根傳輸作為傳輸介質，所 有的站點都通過相應的硬件接口直接連接到傳輸介質上，或稱總 線上。 環形拓撲：由一些中繼器和連接中繼器的點到點鏈路組成 一個閉合環。每個中繼器都和兩條鏈路相連。 樹形拓撲：樹形拓撲是從總線拓撲演變過來的，形狀像一 棵倒置的樹，頂端有一個分支的根，每個分支還可以延伸出子分 支。它主要有易于擴展和故障隔離等優點。 混合拓撲：它是將星形拓撲和環形拓撲混合起來的一種拓 撲，試圖取這兩種拓撲的優點于一個系統。 在選擇拓撲結構時，應該考慮的主要因素有以下幾點：費用 低：安裝費用的高低和拓撲結構的選擇以及傳輸介質選擇、傳輸 距離的確定有關。 靈活性：要考慮到在設備搬動時很容易重新配置網絡拓撲， 還有考慮原有節點的刪除和新節點的加入。 可靠性：拓撲的選擇要使故障的檢測和故障隔離較為方便。 綜上所述，綜合選擇多種結構，選擇星形和樹形相結合的拓 撲結構，網絡拓撲結構圖類型如圖 1-1： 大學校園網網絡工程設計 - 5 - 圖 1-1 局域網網絡拓撲類型 1.1.4 局域網網絡類型局域網網絡類型 保護現有投資的有效途徑就是在將來網絡技術升級時還能使 用現有的網絡技術和產品。如同計算機的發展速度一樣，網絡技 術的發展也是非常迅速的。如果現有技術不能合理保證在將來網 絡升級后還能夠使用，那么將會帶來極大的資金浪費。目前比較 常見的主干網技術有 FDDI、ATM、快速以太網和千兆以太網等。 其中具有交換功能的快速以太網，支持 VLAN，并容易升級到 千兆以太網和 ATM，由于性能優越，價格適中，建議采用快速 以太網作為校園網的主干技術。 （1） 光纖分布式數據接口（FDDI） FDDI 是高性能的高速寬帶 LAN 技術，它采用定時的令牌 傳送協議。因此，它可以被看作是一個令牌環網協議的高速版本。 但與 TokenRing 技術不同的是，當其發送完幀后就立即產生新的 集線器 干線耦合器 總線網星形網 樹形網 環形網 大學校園網網絡工程設計 - 6 - 令牌幀，故其利用率較高，其運行速度可達 100Mb/s。最大距離 可達 200km，可最多連接 1000 個站點。 銅線分布式數據接口(CDDI)是 FDDI 的一種變型，可以在不 昂貴的銅線電纜上運行而使用相同的協議。 FDDI 和 CDDI 的優點是冗余、內置網絡管理，具有廣泛的 適用性。但是，采用 FDDI/CDDI 技術是昂貴而復雜， 始終未 成為主流技術，發展速度緩慢，前景不被看好。 （2） 異步傳輸模式（ATM） ATM 作為一種全新的交換技術，有其明顯的優越性。ATM 是將分組交換與電路交換優點相結合的網絡技術。在廣域網、城 域網和公用網內，ATM 正在被廣泛采用，因為它既能夠將多種 服務多路復用到一種基礎設施上，滿足功能越來越強的臺式機對 帶寬不斷增長的需求，又能提供虛擬 LAN 和多媒體等新的網絡 服務。 但是，ATM 技術也有其缺點。首先是標準還沒有完全制定 完成，很多重要標準還在修正之中，這就影響了 ATM 技術的推 廣，尤其是在局域網領域內。其次，ATM 技術目前主要應用是 在專用網絡和核心網絡的范圍內，而延展到外圍和用戶端均仍采 用傳統的網絡技術(以太網、快速以太網、令牌環網等)，這就使 得在 ATM 網絡和傳統網絡之間要建立一個中間的銜接層，這是 一種在 ATM 信元與傳統網絡的幀結構之間相互轉換的技術，如 Classic IP 和 ATM LANE 等技術，這種技術的優點是可以把傳統 網絡接入到 ATM 網絡中，但缺點是帶來了很大的資源開銷，這 在很大程度上增加了 ATM 網絡的復雜性并且降低了網絡的總體 性能。另外，目前的大部分網絡應用主要是基于 IP 網絡的應用， 直接針對 ATM 信元的應用很少，這在很大程度上也增加了 ATM 網絡使用和管理的復雜性。 （3） 快速以太網 快速以太網（fast Ethernet）是一個 IEEE 局域網標準，于 1995 年由原來制定標準的 IEEE802.3 工作組完成，快速以太網 和傳統以太網采用同樣的介質訪問協議（CSMA/CD） 。傳統以太 網用的是 10Mb/s 技術， 而快速以太網用的是 100Mb/s 技術。 大學校園網網絡工程設計 - 7 - 100Mb/s 的網卡只比 10Mb/s 的網卡略貴一點，但為將來的網絡 升級提供了很大的靈活性。大多數 100Mb/s 的網卡能夠自動檢 測所連接的端口是 10Mb/s 還是 100Mb/s，并執行相應的操作。 （4）千兆位以太網 千兆位以太網技術以簡單的以太網技術為基礎，為網絡主干 提供 1Gb/s 的帶寬。千兆位以太網技術以自然的方法來升級現有 的以太網絡、工作站、管理工具和管理人員的技能。千兆位以太 網與其他速度相當的高速網絡技術相比，價格低，同時比較簡單， 例如保留以太網的幀格式、管理工具和對網絡概念上的認識。現 在千兆位以太網成熟的標準為 IEEE802.3z。 千兆位以太網的設計非常靈活，幾乎對網絡結構沒有限制， 可以是交換式、共享式的或基于路由器的。現在正在應用的網絡 互連技術，例如，特定 IP 交換技術和第三層的交換技術，都與 千兆位以太網完全兼容。 （5） 無線局域網 IEEE802.11 委員會已經開放了一組無線標準。而目前，基 于 IEEE802.11b 和 IEEE802.11g 協議標準的在實際應用很多。其 中，IEEE802.11b 標準的無線局域網能達到 11Mbps 的傳輸速度， 而 IEEE802.11g 標準的無線局域網能達到 54Mbps 的傳輸速度。 根據以上介紹，我們綜合選擇多種高速局域網，同時考慮多 種技術，校園網的系統結構選擇主干 1000M，桌面 100M 的交 換式以太網技術。 根據需求，建設聯接信息中心、多媒體教室、辦公樓、住宿 樓及綜合辦公樓等建筑物。其中各部分構成相對獨立的子網，通 過交換機接入桌面 PC。 1.1.5 局域網基本工作原理局域網基本工作原理 由于現在以太網的數據率已演進到每秒百兆比特、吉比特甚 至 10 吉比特，因此通常就用“傳統以太網”來表示最早進入市 場的 10Mb/s 速率的以太網。下面簡單介紹下以太網的基本工作 原理。 1以太網的兩個標準： 大學校園網網絡工程設計 - 8 - （1）DIX Ethernet V2 是世界上第一個局域網產品（以太網） 的規約。 （2）IEEE 的 802.3 標準。 DIX Ethernet V2 標準與 IEEE 的 802.3 標準只有很小的差 別，因此可以將 802.3 局域網簡稱為“以太網” 。 嚴格說來， “以太網”應當是指符合 DIX Ethernet V2 標準 的局域網數據鏈路層的兩個子層為了使數據鏈路層能更好地適應 多種局域網標準，802 委員會就將局域網的數據鏈路層拆成兩個 子層：邏輯鏈路控制 LLC (Logical Link Control)子層、媒體接入 控制 MAC (Medium Access Control)子層。 與接入到傳輸媒體有關的內容都放在 MAC 子層，而 LLC 子層則與傳輸媒體無關，不管采用何種協議的局域網對 LLC 子 層來說都是透明的。 2接口的工作模式 以太網卡可以工作在兩種模式下：半雙工和全雙工。 半雙工：半雙工傳輸模式實現以太網載波監聽多路訪問沖突 檢測。傳統的共享 LAN 是在半雙工下工作的，在同一時間只能 傳輸單一方向的數據。當兩個方向的數據同時傳輸時，就會產生 沖突，這會降低以太網的效率。 全雙工：全雙工傳輸是采用點對點連接，這種安排沒有沖突， 因為它們使用雙絞線中兩個獨立的線路，這等于沒有安裝新的介 質就提高了帶寬。例如在上例的車站間又加了一條并行的鐵軌， 同時可有兩列火車雙向通行。在雙全工模式下，沖突檢測電路不 可用，因此每個雙全工連接只用一個端口，用于點對點連接。標 準以太網的傳輸效率可達到 5060的帶寬，雙全工在兩個 方向上都提供 100的效率。 3以太網的工作原理 以太網采用帶沖突檢測的載波幀聽多路訪問（CSMA/CD） 機制。以太網中節點都可以看到在網絡中發送的所有信息，因此， 我們說以太網是一種廣播網絡。以太網工作過程如下： 當以太網中的一臺主機要傳輸數據時，它將按如下步驟進行： 大學校園網網絡工程設計 - 9 - （1）監聽信道上收否有信號在傳輸。如果有的話，表明信 道處于忙狀態，就繼續監聽，直到信道空閑為止。 （2）若沒有監聽到任何信號，就傳輸數據。 （3）傳輸的時候繼續監聽，如發現沖突則執行退避算法， 隨機等待一段時間后，重新執行步驟 1（當沖突發生時，涉及沖 突的計算機會發送會返回到監聽信道狀態。注意：每臺計算機一 次只允許發送一個包，一個擁塞序列，以警告所有的節點） 。 （4）若未發現沖突則發送成功，所有計算機在試圖再一次 發送數據之前，必須在最近一次發送后等待 9.6 微秒（以 10Mbps 運行） 。 1.2 校園網校園網 校園網是指利用網絡設備、通信介質和適宜的組網技術與協 議及各類網絡系統管理軟件和應用軟件，將校園網內計算機和各 種終端有機地集成在一起，并用于教學、科研、學校管理、信息 資源共享和遠程教學等方面工作的計算機局域網絡系統。 校園網的概念最初是以硬件集成為主，校園網只是一個硬件 平臺。到了第二階段，有提出了以教學應用軟件集成為主的“軟 件建網”的校園網概念，這也是當今大多數校園網所采用的模式。 校園網由硬件、軟件這兩部分共同組成，其中，硬件是基礎，是 校園網的載體，沒有硬件的支持，根本無法談及校園網；軟件是 應用，是建設校園網的根本需求的體現。就像普通的 PC 一樣， 建立在硬件上面的系統軟件、應用軟件讓我們有了利用計算機的 可能。 校園網是為學校教師、學生提供教學、科研和綜合信息服務 的寬帶多媒體網絡。校園網應為學校教學、科研提供先進的信息 化教學環境，這就要求校園網是一個寬帶、局域交互功能和專業 很強的局域網絡。多媒體教學、網絡教學、教師電子備課、辦公 等等都需要通過網絡運行工作。 大學校園網網絡工程設計 - 10 - 2 2 校園網總體設計校園網總體設計 2.1 概述概述 總體設計是校園網建設的總體思路和工程藍圖，是搞好校園 網建設的核心任務。進行校園網總體設計，首先，進行對象研究 和需求調查，弄清學校的性質、任務和改革發展的特點，對學校 的信息化環境進行準確的描述，明確系統建設的需求和條件；其 次，在應用需求分析的基礎上，確定學校 Intranet 服務類型，進 而確定系統建設的具體目標，包括網絡設施、站點設置、開發應 用和管理等方面的目標；第三，確定網絡拓樸結構和功能，根據 應用需求、建設目標和學校主要建筑分布特點，進行系統分析和 設計；第四，確定技術設計的原則要求，如在技術選型、布線設 計、設備選擇、軟件配置等方面的標準和要求；第五，規劃安排 校園網建設的實施步驟。 作為校園網，需要連接多少個節點，怎樣利用網絡設備使得 分布在不同地理位置的節點連接到一個統一的網絡中來，怎樣使 得整個網絡中的節點相互連通，這些問題僅僅是校園網需要解決 問題中的一部分。 從某種意義上講，校園網的建設絕不僅僅只是涉及到技術問 題，而是會引深到更深的層次，也就是說信息技術所帶來的一場 革命會徹底改變我們的生活方式和工作方式。 對于校園網的建設，我們提出的建設原則應該是：先進性， 先進的設計思想、網絡結構、開發工具，采用市場覆蓋率高、標 準化和技術成熟的軟硬件產品；實用性，建網時應考慮利用和保 護現有的資源、充分發揮設備效益；開放性，系統設計應采用開 放技術、開放結構、開放系統組建和開放用戶接口，以利于網絡 的維護、擴展升級及與外界信息的溝通；靈活性，采用積木式模 塊組合和結構化設計，使系統配置靈活，滿足學校逐步到位的建 網原則，使網絡具有強大的可增長性；可靠性，具有容錯功能， 管理、維護方便。對網絡的設計、選型、安裝、調試等各環節進 大學校園網網絡工程設計 - 11 - 行統一規劃和分析，確保系統運行可靠，經濟性，投資合理，有 良好的性能價格比。 2.2 方案實施方案實施 一個完整的校園網建設在實施過程中可以分成兩個環節：網 絡集成方案設計和信息系統集成。其中信息系統集成是目的，網 絡集成是手段。 網絡集成方案主要包括兩個方面：結構化布線與設備選擇、 網絡技術及設備選型。它的設計思想有兩個，一個是網絡方案采 用模塊化的設計，各個模塊完成各自的功能。在實施的過程中， 可以根據需要將相應的模塊添加到網絡中，也可以不使用某些模 塊，在需要時候再添加。同時，模塊化設計容易維護，某個模塊 出現故障，不會影響到整個網絡的安全。 另一個設計思想是采用層次體系，整個網絡通過主干網連接 起來，各個子網通過接口與主干網連接，實現各自的功能，在子 網內部及與主干網進行數據通信。 2.2.1 結構化布線結構化布線 綜合布線系統是建筑物或建筑群內的傳輸網絡，它既能使話 音和數據通信設備、交換設備和其他信息管理系統彼此連接，也 能使這些設備與外部通信網絡相互連接，包括建筑物到外部網絡 或電話局線路上的連線點，與工作區的話音或數據終端之間的所 有電纜，以及相關聯的布線部件。一個良好的綜合布線系統對其 服務的設備有一定的獨立性，并能互連許多不同的通信設備如數 據終端、模擬式或數字式電話、PC 和主機以及公共系統裝置。 一般布線系統有六個子系統組成：建筑群間子系統，設備間子系 統，管理區子系統，垂直（主干）子系統，水平子系統，工作區 子系統。 校園網為園區網，樓群間子系統采用光纜連接，可提供千兆 位的帶寬，有充分的擴展余地。垂直子系統則位于高層建筑物的 豎井內，可采用多模光纜或大對數雙絞線。把管理區子系統并入 大學校園網網絡工程設計 - 12 - 設備間子系統，集中管理。 對于多幢樓宇，可采用多設備間的方法。分為中心設備間和 樓棟設備間部分，中心設備間是整個局域網的控制中心，內設有 對外（Internet）對內通信的各種網絡設備（交換機、路由器） ， 中心交換機通過光纜（地下直埋）與樓棟設備間的交換設備相連， 以保證數據的高速傳輸。在此設備間放置布線的線架和網絡設備， 端接樓內來自在各層的主干線纜，并端接連接網絡中心的光纖。 .2 網絡設備選型網絡設備選型 網絡主干設備的系統結構直接決定了設備的性能和功能水平。 因此，深入了解設備的系統結構設計，客觀認知設備的性能和功 能，這對正確選擇設備極有幫助。在此次設計中，為了更好的完 成所有功能，全部采用了 Cisco 的交換機和路由器。下面就簡要 介紹下此次設計中的重要設備交換機的選型。 1Catalyst 交換機產品 （1）Catalyst 2960 系列交換機 Cisco Catalyst2960 系列智能以太網交換機是一個全新的、 固定配置的獨立設備系列，提供桌面快速以太網和千兆以太網連 接，可為入門級企業、中型市場和分支機構網絡提供增強 LAN 服務。Catalyst 2960 系列具有集成安全特性，包括網絡準入控制 (NAC)、高級服務質量(QoS)和永續性，可為網絡邊緣提供智能 服務。 Cisco Catalyst 2960 系列提供： 為網絡邊緣提供了智能特性，如先進的訪問控制列表 (ACL)和增強安全特性； 雙介質上行鏈路端口提供了千兆以太網上行鏈路靈活性， 可以使用銅纜或光纖上行鏈路端口每個介質上行鏈路端口都有 一個 10/100/1000 以太網端口和一個小型可插拔(SFP)千兆以太網 端口，在使用時其中一個端口激活，但不能同時使用這兩個端口 ； 通過高級 QoS、精確速率限制、ACL 和組播服務，實現 了網絡控制和帶寬優化； 大學校園網網絡工程設計 - 13 - 通過多種驗證方法、數據加密技術和基于用戶、端口和 MAC 地址的網絡準入控制，實現了網絡安全性； 通過思科網絡助理，簡化了網絡配置、升級和故障診斷 ； 使用 Smartports 自動配置特定應用 ； （2）系列產品配置 Cisco Catalyst 2960 系列包括以下交換機： Cisco Catalyst 2960-24TT：24 個 10/100 以太網端口和 2 個 10/100/1000 固定以太網上行鏈路端口；1 機架單元(RU) Cisco Catalyst 2960-48TT：48 個 10/100 以太網端口和 2 個 10/100/1000 固定以太網上行鏈路端口；1 RU Cisco Catalyst 2960-24TC：24 個 10/100 以太網端口和 2 個雙介質上行鏈路端口；1 RU Cisco Catalyst 2960-48TC：48 個 10/100 以太網端口和 2 個雙介質上行鏈路端口；1 RU Cisco Catalyst 2960G-24TC：20 個 10/100/1000 以太網端 口，其中 4 個為雙介質端口；1 RU 2產品特性 （1）千兆以太網 千兆以太網以 1000 Mbps 的速度，提供了可滿足新網絡和 擴展網絡的需求的帶寬，消除了瓶頸，提升了性能，同時提高了 現有基礎設施投資的回報。目前，工作人員都對網絡有著更高需 求，在網絡上同時運行多個應用。例如，一位員工通過 IP 視頻 會議而參加小組會議，向與會者發送一個 10MB 的電子表格， 將最新營銷視頻廣播給整個小組以供評估，此外還查詢客戶關系 管理(CRM)數據庫，以獲得最新實時反饋。同時，后臺開始了一 個多 GB 的系統備份，并向客戶端提供最新防病毒軟件的升級。 （2）網絡智能性 當今的網絡正在不斷發展，在網絡邊緣出現了四種新趨勢： 桌面計算能力提高、帶寬密集型應用出現、高敏感數據在網 絡中擴展、出現了多種設備類型，如 IP 電話、WLAN 接入點和 IP 視頻攝像頭。 大學校園網網絡工程設計 - 14 - 這些新需求正與許多已有關鍵任務應用爭奪資源。因此，IT 專業人員必須將網絡邊緣看作有效管理信息和應用的提供的關鍵。 隨著人們對網絡的依賴性日益增強，將其作為戰略性業務基 礎設施，確保網絡的高可用性、安全性、可擴展性和對它的全面 控制就比以前更為重要。通過為 LAN 接入添加思科智能功能， 客戶現可部署遍布整個網絡的智能服務，從而一致地滿足從桌面 到核心再到 WAN 的要求。 通過 Cisco Catalyst 智能以太網交換機，思科可幫助公司獲 得向其網絡添加智能服務的全面優勢。為進一步優化網絡運行， 部署具備以下特性的功能是十分關鍵的：能使網絡基礎設施高度 可用以達到關鍵時間要求、可擴展以便于公司發展、高度安全以 保護保密信息，且能區分和控制流量。 （3）增強安全性 憑借 Cisco Catalyst 2960 系列提供的廣泛安全特性，企業可 保護重要信息，防止未授權人員接入網絡，確保私密性及維持不 間斷運行。 思科基于身份的網絡服務(IBNS)解決方案提供了身份驗證、 訪問控制和安全策略管理，可保護網絡連接和資源。Catalyst 2960 系列中的 IBNS 可防止未授權接入，并確保用戶只獲得其 指定權利。它能動態管理網絡接入的具體層次。使用 802.1x 標 準和思科安全訪問控制服務器（ACS） ，無論用戶在何 處連接 到網絡中，都可在驗證基礎上分配到一個 VLAN。此設置使 IT 部門能在不影響用戶移動性的情況下，以最低管理開銷實施強大 的安全策略。 為防止拒絕服務攻擊和其他攻擊，可用 ACL 根據源和目的 地 MAC 地址、IP 地址或 TCP/UDP 端口來拒絕分組，從而限制 對網絡敏感部分的訪問。ACL 查詢在硬件中完成，故此在實施 基于 ACL 的安全性時不會影響轉發性能。 端口安全性可根據與以太網端口相連的設備的 MAC 地址， 來限制以太網端口上的訪問。它也可用于限制插入一個交換機端 口的總設備數目，因此可使交換機免遭 MAC 泛洪攻擊，降低了 大學校園網網絡工程設計 - 15 - 惡意無線接入點或集線器接入的風險。 憑借動態主機配置協議(DHCP)監聽，可以只允許來自不可 信用戶端口的 DHCP 請求（但不允許響應）進入網絡，從而防 止 DHCP 電子欺騙。此外 DHCP 接口跟蹤器(選項 82) 特性可為 主機 IP 地址請求添加交換機端口 ID，有助于實現對于 IP 地址 分配的精確控制。 MAC 地址通知特性可向管理站發送報警，從而監控網絡和 跟蹤用戶，以使網絡管理員知道用戶何時、從何處進入網絡。 SSHv2 和 SNMPv3 對管理和網絡管理信息加密，保護網絡免遭 干擾或竊聽。TACACS+或 RADIUS 驗證實現了交換機的集中訪 問控制，并限制未授權用戶改變配置。此外，可在交換機上配置 本地用戶名和密碼數據庫。交換機控制臺上的 15 個授權級別和 Web 管理界面上的 2 個級別提供了向不同管理員分配不同配置 功能級別的能力。 （4）可用性和可擴展性 Cisco Catalyst 2960 系列配備了強大的特性集，通過組播過 濾和旨在第二層網絡中提供最高可用性的全套生成樹協議改進， 實現了網絡可擴展性及更高可用性。 對標準生成樹協議的改進，如 PVST+、UplinkFast 和 PortFast，可實現最長網絡正常運行時間。PVST+可在冗余鏈路 上進行第二層負載共享，以有效使用冗余設計中的額外容量。 UplinkFast、PortFast 和 BackboneFast 都大大縮減了標準的 30 到 60 秒生成樹協議收斂時間。Flexlink 提供了不到 100ms 的雙向、 快速收斂。對環路保護和網橋協議數據單元（BPDU）保護的增 強避免了生成樹協議環路的出現。 （5）高級 QoS Cisco Catalyst 2960 提供了出色的多層 QoS 特性，確保網絡 流量進行了分類和優先級劃分，并以最好的方式避免了擁塞。 QoS 的配置通過自動 QoS（Auto QoS）大大得到了簡化，這是 一個可發現思科 IP 電話并自動配置交換機以進行正確分類和輸 出排序的特性。這優化了流量優先級劃分和網絡可用性，且不會 帶來復雜配置的問題。 大學校園網網絡工程設計 - 16 - Catalyst 2960 可對進入的分組分類、再分類、監管、標記、 排序和排程，并能在出口處對分組排序和排程。分組分類使網絡 元素可區分不同流量，并根據第二層和第三層 QoS 實施策略。 為實現 QoS，Catalyst 2960 系列交換機首先確認分組或流量 組，再使用 DSCP 字段或 802.1p 服務級別（CoS）字段對這些組 分類和再分類。分類和再分類可根據源或目的地 IP 地址、源或 目的地 MAC 地址或者第 4 層 TCP/UDP 端口等標準進行。在入 口，Catalyst 2960 也將進行監管，以確定分組是在小組內還是在 小組外，標記以改變分類標簽，傳輸或丟棄小組分組，并根據類 別對分組排序。所有端口上都支持控制平面和數據平面 ACL， 確保每個分組得到正確的處理。 Cisco Catalyst 2960 支持每端口 4 個輸出隊列，使網絡管理 員能更好地進行控制，為 LAN 上的各種應用分配優先級。在出 口，交換機執行排程和擁塞控制。排程是一種確定隊列處理順序 的算法或進程。Catalyst 2960 系列交換機支持整形循環（SRR） 和嚴格優先級隊列。SRR 算法有助于確保個性化優先級劃分。 這些 QoS 特性使網絡管理員能將關鍵任務和帶寬密集型流 量劃為較高優先級，其中包括企業資源規劃（ERP） 、語音（IP 電話流量）和計算機輔助設計及制造（CAD/CAM）等，而將 FTP 或電子郵件等對應用劃為較低優先級。例如，下載一個目的 地為交換機上某一端口的大型文件，而這會增加目的地為此交換 機上另一端口的語音流量的延遲，這種情況是用戶極為不愿看到 的。通過確保語音流量在網絡中得到正確分類和優先級劃分，可 避免此情況。Web 瀏覽等其他應用則可作為較低優先級對待。 Catalyst 2960 系列能通過對思科承諾信息速率（CIR）功能 的支持而執行速率限制。通過 CIR，能以低至 8kbps 的增量保證 帶寬。帶寬的分配根據若干標準進行，包括 MAC 源地址、 MAC 目的地地址、IP 源地址、IP 目的地地址和 TCP/UDP 端口 號。在需服務級別協議的網絡環境中或需控制授予某些用戶的帶 寬時，帶寬分配非常重要。 大學校園網網絡工程設計 - 17 - 2.3 系統分析系統分析 .1 關鍵網絡系統關鍵網絡系統 Cisco 2620 路由器、Cisco Catalyst 2950 24 口交換機（WS- C2950-24） 、Cisco Catalyst 3560 交換機 .2 網絡解決辦法網絡解決辦法 對校園網系統整體方案設計；對訪問層交換機進行配置；對 分布層交換機進行配置；對核心層交換機進行配置；對廣域網接 入路由器配置；對遠程訪問服務器進行配置；對整個校園網系統 進行診斷 .3 技術分析技術分析 路由、交換與遠程訪問技術是現代計算機網絡領域中三大支 撐技術體系。 路由技術：路由協議工作在OSI 參考模型的第 3 層，因此它的 作用主要是在通信子網間路由數據包。路由器具有在網絡中傳遞 數據時選擇最佳路徑的能力。除了可以完成主要的路由任務，利 用訪問控制列表（Access Control List，ACL） ，路由器還可以用 來完成以路由器為中心的流量控制和過濾功能。在本次設計中， 內網用戶不僅通過路由器接入因特網、內網用戶之間也通過 3 層 交換機上的路由功能進行數據包交換。 傳統意義上的數據交換發生在 OSI 模型的第 2 層。現代交 換技術還實現了第 3 層交換和多層交換。高層交換技術的引入不 但提高了園區網數據交換的效率，更大大增強了園區網數據交換 服務質量，滿足了不同類型網絡應用程序的需要。 現代交換網絡還引入了虛擬局域網（Virtual LAN，VLAN） 的概念。VLAN 將廣播域限制在單個 VLAN 內部，減小了各 VLAN 間主機的廣播通信對其他 VLAN 的影響。在 VLAN 間需 要通信的時候，可以利用 VLAN 間路由技術來實現。 當網絡管理人員人員需要管理的交換機數量眾多時，可以使 大學校園網網絡工程設計 - 18 - 用 VLAN 中繼協議（Vlan Trunking Protocol，VTP）簡化管理， 它只需在單獨一臺交換機上定義所有 VLAN。然后通過 VTP 協 議將 VLAN 定義傳播到本管理域中的所有交換機上。這樣，大 大減輕了網絡管理人員的工作負擔和工作強度。 當園區網絡的交換機數量增多、交換機間鏈路增加時，交換 網絡的復雜性可能會造成交換環路問題，這需要通過在各交換機 上運行生成樹協議（Spanning Tree Protocol，STP）來解決。 一 個好的校園網設計應該是一個分層的設計。一般分為三層設計模 型。 在此次設計方案中，對實際校園網的設計進行了適當和必要 的簡化，將重點放在網絡主干的設計上，對于服務器的架設只作 簡單介紹。 大學校園網網絡工程設計 - 19 - 3 3 系統詳細設計系統詳細設計 3.1 系統組成與拓撲結構系統組成與拓撲結構 在此次網絡工程設計中，為了實現整個工程設計設備的統一 性，本設計方案中完全采用同一廠家的網絡產品，即 Cisco 公司 的網絡設備構建。全網使用同一廠商設備的好處是可以實現各種 不同網絡設備功能的互相配合和補充。 本校園網設計方案主要由以下四大部分構成：交換模塊、廣 域網接入模塊、遠程訪問模塊、服務器群。整個網絡系統的拓撲 結構圖如圖 3-1 所示。 （省略了部分拓撲信息） 圖 3-1 校園網整體拓撲結構圖 .1 VLANVLAN 及及 IPIP 地址規劃地址規劃 整個校園網中 VLAN 及 IP 編址方案如圖 3-1-1 所示： 大學校園網網絡工程設計 - 20 - 圖 3-1-1 VLAN 及 IP 編址方案 在此次設計中，我規劃了 15 個 VLAN，并為每個 VLAN 定 義了一個由拼音縮寫組成的 VLAN 名稱。 3.2 交換模塊設計交換模塊設計 為了簡化交換網絡設計、提高交換網絡的可擴展性，在園區 網內部數據交換的部署是分層進行的。 園區網數據交換設備可劃分為三個層次：訪問層、分布層、 核心層。 3.2.1 訪問層交換服務的實現訪問層交換服務的實現配置配置訪問層交換機訪問層交換機 訪問層為所有的終端用戶提供一個接入點。這里的訪問層交 換機采用的是 Cisco Catalyst 2950 24 口交換機。交換機擁有 24 個 10/100Mbps 自適應快速以太網端口，運行的是 Cisco 的 IOS 操作系統。我們以拓撲圖中的訪問層交換機 XingZhengLou 為例 進行介紹。如圖 3-2-1 所示， 圖 3-2-1 訪問層交換機 XingZhengLou 1配置訪問層交換機 XingZhengLou 的基本參數 大學校園網網絡工程設計 - 21 - （1）設置交換機名稱 設置交換機名稱，也就是出現在交換機 CLI 提示符中的名 字。一般我們會以地理位置或行政劃分來為交換機命名。當我們 需要 Telnet 登錄到若干臺交換機以維護一個大型網絡時，通過 交換機名稱提示符提示自己當前配置交換機的位置是很有必要的。 如圖 3-2-2 所示，為訪問層交換機 XingZhengLou 命名。 圖 3-2-2 為訪問層交換機 XingZhengLou 命名 （2）設置交換機的加密使能口令 當用戶在普通用戶模式而想要進入特權用戶模式時，需要提 供此口令。此口令會以 MD5 的形式加密，因此，當用戶查看配 置文件時，無法看到明文形式的口令。 如圖 3-2-3 所示，將交換機的加密使能口令設置為 xingzhenglou 圖 3-2-3 為交換機設置加密使能口令 （3）設置登錄虛擬終端線時的口令 對于一個已經運行著的交換網絡來說，交換機的帶內遠程管 理為網絡管理人員提供了很多的方便。但是，處于安全考慮，在 能夠遠程管理交換機之前網絡管理人員必須設置遠程登錄交換機 的口令。 如圖 3-2-4 所示，設置登錄交換機時需要驗證用戶身份，同 時設置口令為 user 圖 3-2-4 為訪問層交換機 XingZhengLou 命名 （4）設置終端線超時時間 為了安全考慮，可以設置終端線超時時間。在設置的時間內， 如果沒有檢測到鍵盤輸入，IOS 將斷開用戶和交換機之間的連接。 如圖 3-2-5 所示，設置登錄交換機的控制臺終端線路及虛擬終 大學校園網網絡工程設計 - 22 - 端線的超時時間為 5 分 30 秒鐘。 圖 3-2-5 設置控制臺終端線路和虛擬終端線路的超時時間 （5）設置禁用 IP 地址解析特性 交換機默認配置的情況下，當我們輸入一條錯誤的交換機命 令時，交換機會嘗試將其廣播給網絡上的 DNS 服務器并將其解 析成對應的 IP 地址。利用命令 no ip domain-lookup。可以禁用 這個特性 如圖 3-2-6 所示，設置禁用 IP 地址解析特性。 圖 3-2-6 設置禁用 IP 地址解析特性 2配置訪問層交換機 XingZhengLou 的管理 IP、默認網關 訪問層交換機是 OSI 參考模型的第 2 層設備，即數據鏈路 層的設備。因此，給訪問層交換機的每個端口設置 IP 地址是沒 意義的。但是，為了使網絡管理人員可以從遠程登錄到訪問層交 換機上進行管理，必要給訪問層交換機設置一個管理用 IP 地址。 這種情況下，實際上是將交換機看成和 PC 機一樣的主機。 給交換機設置管理用 IP 地址只能在 VLAN1，即本征 VLAN 中進行。按照表 3-1，管理 VLAN 所在的子網是： /24，這里將訪問層交換機 XingZhengLou 的管理 IP 地址設為：/24 如圖 3-2-7 所示，顯示了為訪問層交換機 XingZhengLou 設 置管理 IP 并激活本征 VLAN。 圖 3-2-7 設置訪問層交換機 XingZhengLou 的管理 IP 為了使網絡管理人員可以在不同的