1、華南農(nóng)業(yè)大學(xué)珠江學(xué)院畢業(yè)論文（設(shè)計(jì)） 廣東輕工職業(yè)技術(shù)學(xué)院校園網(wǎng)系統(tǒng) 網(wǎng)絡(luò)安全 學(xué)號(hào)： 手機(jī)號(hào)碼： 指導(dǎo)教師： 系： 年級(jí)專業(yè)： 提交日期： 答辯日期： 答辯委員會(huì)主席（簽名）： 評(píng)閱人（簽名）： 年 月 日摘要 現(xiàn)在校園網(wǎng)建設(shè)已經(jīng)成為校園建設(shè)中重要的一環(huán)，也是學(xué)院檔次、規(guī)模的一個(gè)標(biāo)志?，F(xiàn)在很多院校都已經(jīng)建立了自己的校園網(wǎng)，有些院校架設(shè)的校園網(wǎng)很有規(guī)模，在功能實(shí)現(xiàn)方面也是很強(qiáng)大的，大部分的院校的校園網(wǎng)已經(jīng)延伸到學(xué)生宿舍，真正的實(shí)現(xiàn)了校園網(wǎng)對(duì)學(xué)生的完全開放，讓學(xué)生能夠每個(gè)時(shí)刻都可以使用校園網(wǎng)。這些年來，互聯(lián)網(wǎng)迅速發(fā)展，為校園網(wǎng)建設(shè)帶來了巨大發(fā)展，為教育機(jī)構(gòu)實(shí)現(xiàn)網(wǎng)絡(luò)的應(yīng)用。校園網(wǎng)是指在校園范圍內(nèi)，

2、在一定的指導(dǎo)思想和理論指導(dǎo)下，為校園中的學(xué)生提供一個(gè)資源共享、信息交流和協(xié)同工作的網(wǎng)絡(luò)平臺(tái)。校園網(wǎng)是基于現(xiàn)在的Internet發(fā)展起來的，都能實(shí)現(xiàn)像現(xiàn)有Internet的基本功能：Web信息發(fā)布、電子郵件、資源共享、打印共享、網(wǎng)絡(luò)管理等。因此，每個(gè)校園網(wǎng)的設(shè)計(jì)都是進(jìn)過周密的規(guī)劃和設(shè)計(jì)的，每個(gè)院校有不同的校園網(wǎng)結(jié)構(gòu)?，F(xiàn)在就廣東輕工職業(yè)技術(shù)學(xué)院重新進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)，主要涉及以下幾個(gè)方面：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)、網(wǎng)絡(luò)設(shè)備的選擇、劃分VLAN、NAT、配置硬件防火墻、訪問控制列表（ACL）、VPN等保證網(wǎng)絡(luò)訪問的安全。本文從實(shí)用的角度出發(fā)，根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，對(duì)學(xué)院的網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)計(jì)進(jìn)行了深入的分析。關(guān)鍵字：網(wǎng)絡(luò)

3、拓?fù)?；劃分VLAN；NAT；硬件防火墻；ACL；VPNAbstractCampus network construction has become an important part of campus construction, a hallmark of the Institute is also a grade scale. Many institutions have established their own campus network, some institutions erected by the great size of the campus network, is al

4、so very powerful in function to achieve most of the institutions of the campus network has been extended to the student dormitories, the true realizationthe campus network is completely open to students so that students can in every moment you can use the campus network. These years, the Internet, t

5、he rapid development has brought great development to the campus network construction, network application for educational institutions. Campus network in the campus within the guiding ideology and theory under the guidance of the students in the campus to provide a resource sharing network platform

6、 for information exchange and collaborative work. The campus network is based on the Internet developed, can realize the basic functions like existing Internet: Web information, e-mail, resource sharing, print sharing, network management. Therefore, the design of the campus network are into careful

7、planning and design, each of the institutions have different campus network structure. Guangdong Industry Technical College, now re-network design, mainly related to the following aspects: the design of the network topology, choice of network equipment division of VLANs, NAT, configure the hardware

8、firewall, access control lists (ACLs), VPN, etc. to ensurenetwork access security.From the practical point of view, according to the network topology, the network structure and design of the Institute conducted in-depth analysis.Keywords: network topology;VLAN;NAT;hardware firewall;ACL;the VPN設(shè)計(jì)說明隨著

9、Internet技術(shù)的不斷發(fā)展，我們生活的方方面面都跟網(wǎng)絡(luò)打交道，網(wǎng)絡(luò)成為了人們生活中不可缺少的一部分。學(xué)校是向?qū)W生傳授知識(shí)的一個(gè)地方，它跟網(wǎng)絡(luò)的聯(lián)系就更加緊密了，學(xué)生通過Internet可以尋找到形形色色的知識(shí)，在網(wǎng)上培養(yǎng)一些自己在學(xué)校學(xué)不到的東西，增強(qiáng)自己的能力。校園網(wǎng)的規(guī)模和成熟度成了校園文化發(fā)展程度的一個(gè)標(biāo)志，對(duì)學(xué)生的校園文化的豐富起到了很大的作用。廣東輕工職業(yè)技術(shù)學(xué)院有廣州校區(qū)和南海校區(qū)兩個(gè)校區(qū)，而且兩個(gè)校區(qū)的網(wǎng)絡(luò)布局也有所差別，主要有計(jì)算機(jī)網(wǎng)絡(luò)中心、教學(xué)樓、實(shí)訓(xùn)樓、行政樓、圖書館、學(xué)生宿舍樓、教師宿舍樓。在校園網(wǎng)系統(tǒng)設(shè)計(jì)過程中，為了讓整個(gè)校園網(wǎng)能更好地實(shí)現(xiàn)設(shè)計(jì)任務(wù)的功能，使設(shè)計(jì)工作

10、順利進(jìn)行，校園網(wǎng)能正常有效地投入使用，并且使構(gòu)建出來的校園網(wǎng)能達(dá)到實(shí)用可靠、高效先進(jìn)的目的，校園網(wǎng)系統(tǒng)設(shè)計(jì)一般應(yīng)遵循以下原則：1）開放性與穩(wěn)定性原則在設(shè)計(jì)校園網(wǎng)時(shí)應(yīng)盡量采用結(jié)構(gòu)化、模塊化、標(biāo)準(zhǔn)化的設(shè)計(jì)原則。在技術(shù)選擇方面，必須選擇符合國(guó)際標(biāo)準(zhǔn)及國(guó)內(nèi)標(biāo)準(zhǔn)的，避免因?yàn)閭€(gè)別廠商的產(chǎn)品出現(xiàn)不兼容的問題，確保網(wǎng)絡(luò)的開放性和互通互聯(lián)，達(dá)到信息安全可靠的傳送的目的。開放的接口，支持良好的管理和維護(hù)，提供對(duì)校園網(wǎng)中的網(wǎng)絡(luò)設(shè)備統(tǒng)一實(shí)時(shí)監(jiān)測(cè)，實(shí)現(xiàn)對(duì)設(shè)備的統(tǒng)一管理的要求。校園網(wǎng)需要達(dá)到滿足校園網(wǎng)中不同用戶的需求，達(dá)到校園網(wǎng)絡(luò)系統(tǒng)穩(wěn)定，保證整體方案的設(shè)計(jì)合理，便于網(wǎng)絡(luò)管理人員對(duì)校園網(wǎng)的管理和維護(hù)。同時(shí)要采用開放性的網(wǎng)

11、絡(luò)體系，方便網(wǎng)絡(luò)的升級(jí)、擴(kuò)展，在選擇交換機(jī)等網(wǎng)絡(luò)設(shè)備時(shí)，選擇可以使用多種國(guó)際標(biāo)準(zhǔn)的產(chǎn)品，在保證了校園網(wǎng)穩(wěn)定性的同時(shí)也具備了開放性。2）先進(jìn)性與使用性原則現(xiàn)在網(wǎng)絡(luò)技術(shù)發(fā)展迅速，網(wǎng)絡(luò)設(shè)備遭到淘汰的速度也很快。在設(shè)計(jì)校園網(wǎng)系統(tǒng)的時(shí)候要采用先進(jìn)的概念、技術(shù)和方法的同時(shí)，還要注意在結(jié)構(gòu)、設(shè)備、工具選擇上的相對(duì)成熟。采用先進(jìn)的符合國(guó)際標(biāo)準(zhǔn)的方法和設(shè)備，方便在以后能適應(yīng)將來校園網(wǎng)絡(luò)發(fā)展的需要，保證網(wǎng)絡(luò)設(shè)備在幾年后不會(huì)被淘汰，能夠降級(jí)使用。3）安全性和可靠性原則校園網(wǎng)絡(luò)的安全可靠包括了系統(tǒng)、設(shè)備、應(yīng)用等多個(gè)方面的因素，在設(shè)計(jì)校園網(wǎng)系統(tǒng)時(shí)，在結(jié)構(gòu)、系統(tǒng)、應(yīng)用等方面可能受到的威脅以及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行分析，制定相

12、應(yīng)的規(guī)范和措施，確保整個(gè)校園網(wǎng)系統(tǒng)具有良好的安全性和可靠性。4）可擴(kuò)展性原則設(shè)計(jì)出來的校園網(wǎng)，要具備可擴(kuò)展和可升級(jí)的功能，隨著學(xué)校建筑群的增加和不同用戶需求的增加，整個(gè)校園網(wǎng)的信息流量可能按指數(shù)增長(zhǎng)，這就要求校園網(wǎng)具有很好的可擴(kuò)張性了。所以在設(shè)備的選擇上，應(yīng)選擇符合國(guó)際標(biāo)準(zhǔn)的產(chǎn)品，保證系統(tǒng)具有較長(zhǎng)生命力和擴(kuò)展力，滿足將來系統(tǒng)升級(jí)的需求。5）可維護(hù)性原則整個(gè)校園網(wǎng)是一個(gè)很大的網(wǎng)絡(luò)系統(tǒng)，如果在某個(gè)點(diǎn)上出現(xiàn)了問題，我們不能很快的解決問題的話，那帶來的損失是不可估量的，所以整個(gè)網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的可維護(hù)性。設(shè)計(jì)的主要技術(shù)資料有：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與應(yīng)用；Cisco網(wǎng)絡(luò)工程案例精粹；局域網(wǎng)技術(shù)與組網(wǎng)工程；路

13、由器配置與管理完全手冊(cè)：Cisco篇；防火墻策略與VPN配置關(guān)鍵字：廣東輕工職業(yè)技術(shù)學(xué)院；校園網(wǎng)系統(tǒng)；國(guó)際標(biāo)準(zhǔn)；設(shè)計(jì)；原則 目錄1 前言11.1 廣東輕工職業(yè)技術(shù)學(xué)院背景11.2 需求分析11.3 研究方法31.3.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)31.3.2 網(wǎng)絡(luò)設(shè)備的選擇31.3.3 劃分VLAN31.3.4 配置硬件防火墻、訪問控制列表（ACL）、VPN31.4 本課題研究的主要內(nèi)容31.5 校園網(wǎng)建設(shè)的原則32 結(jié)構(gòu)設(shè)計(jì)與設(shè)備選擇42.1結(jié)構(gòu)設(shè)計(jì)42.2 主要網(wǎng)絡(luò)設(shè)備的選擇42.2.1 網(wǎng)絡(luò)設(shè)備的選擇原則42.2.2 主要網(wǎng)絡(luò)設(shè)備53 拓?fù)浣Y(jié)構(gòu)選擇及組網(wǎng)技術(shù)93.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的選擇93.2

14、組網(wǎng)技術(shù)93.2.1綜合布線系統(tǒng)93.2.2 Internet接入技術(shù)103.2.3 防火墻技術(shù)104 拓?fù)湓O(shè)計(jì)及VLAN劃分124.1 網(wǎng)絡(luò)拓?fù)鋱D設(shè)計(jì)124.1.1 拓?fù)鋱D設(shè)計(jì)思路124.1.2 拓?fù)鋱D設(shè)計(jì)124.2 VLAN劃分134.2.1 VLAN介紹134.2.2 劃分VLAN的目的134.2.3 VLAN的優(yōu)點(diǎn)134.2.4 VLAN劃分的分類144.2.5劃分VLAN的基本策略144.2.6 VLAN創(chuàng)建和分配ip145 網(wǎng)絡(luò)安全設(shè)計(jì)225.1 NAT225.1.1 NAT簡(jiǎn)介225.1.2 NAT技術(shù)的產(chǎn)生225.1.3 NAT的作用225.1.4 NAT技術(shù)實(shí)現(xiàn)方式225.1

15、.5 NAT配置225.2 ACL（訪問控制列表）245.2.1 ACL簡(jiǎn)介245.2.2 ACL基本原理245.2.3 配置ACL的基本原則245.2.4 ACL配置245.2.5 接入路由器上的acl配置265.3 VPN275.3.1 VPN的意義285.3.2 VPN的特點(diǎn)285.3.3 VPN配置285.4 硬件防火墻305.4.1 硬件防火墻簡(jiǎn)介305.4.2 硬件防火墻配置306 總結(jié)33參考文獻(xiàn)：34致謝35351 前言1.1 廣東輕工職業(yè)技術(shù)學(xué)院背景廣東輕工職業(yè)技術(shù)學(xué)院是1999年經(jīng)教育部批準(zhǔn)成立的全日制高等職業(yè)技術(shù)學(xué)校，由廣東省人民政府主辦、廣東省教育廳直接管理。學(xué)校有廣州

16、和南海兩個(gè)校區(qū)，校園總面積1500畝，有268個(gè)實(shí)驗(yàn)實(shí)訓(xùn)室，22個(gè)校內(nèi)生產(chǎn)性實(shí)訓(xùn)基地，1205個(gè)校外實(shí)習(xí)基地。為了推動(dòng)學(xué)院教學(xué)信息化和現(xiàn)代化、實(shí)現(xiàn)兩個(gè)校區(qū)更好的實(shí)現(xiàn)資源共享和信息交流，學(xué)院計(jì)劃搭建校園內(nèi)部網(wǎng)，通過千兆網(wǎng)絡(luò)實(shí)現(xiàn)兩個(gè)校區(qū)更好的互聯(lián)，通過千兆網(wǎng)絡(luò)實(shí)現(xiàn)更好的連接互聯(lián)網(wǎng)，第一時(shí)間獲取網(wǎng)絡(luò)上對(duì)教學(xué)有用的信息。廣東輕工職業(yè)技術(shù)學(xué)院校園網(wǎng)的主要作用是：為全校教師、科研機(jī)構(gòu)、領(lǐng)導(dǎo)、學(xué)生提供一個(gè)先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，并將前沿的一些東西引入到教學(xué)、科研、管理、學(xué)習(xí)的各個(gè)領(lǐng)域；改善學(xué)習(xí)教學(xué)科研、管理和學(xué)習(xí)環(huán)境，以提高各個(gè)領(lǐng)域的水平；有利于培養(yǎng)面向世界、面向未來的高層次人才。廣東輕工職業(yè)技術(shù)學(xué)院著重進(jìn)行

17、廣州和南海兩個(gè)校區(qū)的連接，通過兩個(gè)校區(qū)的圖書館，更好的實(shí)現(xiàn)了資源共享，以及校園網(wǎng)結(jié)構(gòu)的設(shè)計(jì)，實(shí)現(xiàn)更好的使用校園網(wǎng)資源。1.2 需求分析 校園網(wǎng)是為學(xué)校師生提供教學(xué)、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)。首先，校園網(wǎng)應(yīng)為學(xué)校教學(xué)、科研提供先進(jìn)的信息化教學(xué)環(huán)境；其次，校園網(wǎng)應(yīng)具有教務(wù)、行政和總務(wù)管理功能；最后，校園網(wǎng)還應(yīng)滿足校內(nèi)外的通訊要求。因此廣東輕工職業(yè)技術(shù)學(xué)院的校園網(wǎng)要達(dá)到以下目標(biāo)：1）建成一個(gè)內(nèi)部網(wǎng)絡(luò)，在此基礎(chǔ)上建立起供老師和同學(xué)使用的內(nèi)部網(wǎng)絡(luò)。2）使現(xiàn)有的計(jì)算機(jī)機(jī)房，多媒體教室能共享內(nèi)部網(wǎng)絡(luò)資源。3）快速以太網(wǎng)接入各間教室，方便教師的多媒體教學(xué)。4）實(shí)現(xiàn)Internet的接入，實(shí)現(xiàn)信息在I

18、nternet的發(fā)布。5）實(shí)現(xiàn)三層網(wǎng)絡(luò)設(shè)備的網(wǎng)關(guān)備份，防止網(wǎng)絡(luò)的廣播風(fēng)暴。6）學(xué)生宿舍接入校園網(wǎng)，為學(xué)生營(yíng)造一個(gè)更好有學(xué)習(xí)和娛樂環(huán)境。廣東輕工職業(yè)技術(shù)學(xué)院的整個(gè)網(wǎng)絡(luò)主要分為七個(gè)部個(gè)：1）計(jì)算機(jī)網(wǎng)絡(luò)中心：計(jì)算機(jī)網(wǎng)絡(luò)中心是整個(gè)校園網(wǎng)絡(luò)的核心。校園網(wǎng)核心交換機(jī)、服務(wù)器、路由器、防火墻、Internet接入均置于計(jì)算機(jī)網(wǎng)絡(luò)中心，便于統(tǒng)一管理。2）教學(xué)樓：主要教學(xué)場(chǎng)所，其中包括教室、多媒體教室、電腦機(jī)房、教師辦公室等。3）實(shí)訓(xùn)樓：電路電工實(shí)訓(xùn)機(jī)房、單片機(jī)實(shí)訓(xùn)機(jī)房、模擬電子電路實(shí)訓(xùn)機(jī)房等。 4）行政樓：院領(lǐng)導(dǎo)辦公室、財(cái)務(wù)后勤等院級(jí)各部門辦公室、視頻會(huì)議中心。5）圖書館：電子閱覽室、書籍查閱中心等。6）學(xué)生

19、宿舍樓。7）教師宿舍樓。廣東輕工職業(yè)技術(shù)學(xué)院拓?fù)鋱D如下：圖1.1 廣東輕工職業(yè)技術(shù)學(xué)院拓?fù)鋱D1.3 研究方法1.3.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)通過對(duì)廣東輕工職業(yè)技術(shù)學(xué)院校園建筑結(jié)構(gòu)進(jìn)行主干、匯聚、接入層的具體設(shè)計(jì)。1.3.2 網(wǎng)絡(luò)設(shè)備的選擇 網(wǎng)絡(luò)設(shè)備的選擇也是一個(gè)很重要的環(huán)節(jié)，對(duì)網(wǎng)絡(luò)設(shè)備的選擇直接影響到能否滿足校園網(wǎng)的功能需求。1.3.3 劃分VLAN 通過劃分VLAN可以防范網(wǎng)絡(luò)中的廣播風(fēng)暴，提高了線路的利用效率，保證一定的內(nèi)部網(wǎng)絡(luò)的安全。1.3.4 配置硬件防火墻、訪問控制列表（ACL）、VPN 硬件防火墻起到了保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的攻擊，選擇一個(gè)好的硬件防火墻和很好的配置防火墻在校園網(wǎng)的

20、建設(shè)中也是至關(guān)重要的。1.4 本課題研究的主要內(nèi)容本課題主要研究的是網(wǎng)絡(luò)安全部分，說到網(wǎng)絡(luò)安全，自然而然的就會(huì)想到硬件防火墻了，這是本課題研究的重點(diǎn)，需要對(duì)硬件防火墻進(jìn)行合理的配置，才能讓防火墻很好的抵擋外界的攻擊，還有就是VLAN的劃分，訪問控制列表的配置。1.5 校園網(wǎng)建設(shè)的原則 校園網(wǎng)建設(shè)有以下幾條原則：1）合理利用有限的資金。2）統(tǒng)一規(guī)劃，軟硬兼施，明確近期目標(biāo)。3）技術(shù)先進(jìn)成熟，總體性能價(jià)格比高。4）實(shí)用、易用，便于維護(hù)、管理。5）保護(hù)以往投資，兼容已有系統(tǒng)。6）支持靈活的擴(kuò)展性和可重組性，考慮未來需求。7）采用開發(fā)產(chǎn)品，遵循國(guó)際標(biāo)準(zhǔn)。 在組建校園網(wǎng)的時(shí)候，我們要按照以上幾條原則來建

21、設(shè)校園網(wǎng)，才有可能建設(shè)出高效率的校園網(wǎng)。2 結(jié)構(gòu)設(shè)計(jì)與設(shè)備選擇2.1結(jié)構(gòu)設(shè)計(jì)學(xué)院校園網(wǎng)結(jié)合教學(xué)、科研、辦公、管理，利用網(wǎng)絡(luò)技術(shù)搭建起來的，它是基于：1）開放性的網(wǎng)絡(luò)協(xié)議和較成熟的、商品化的網(wǎng)絡(luò)網(wǎng)絡(luò)硬件和軟件。2）網(wǎng)絡(luò)帶寬遠(yuǎn)遠(yuǎn)滿足當(dāng)前的業(yè)務(wù)需求，并支持不斷發(fā)展的業(yè)務(wù)需要。3）網(wǎng)絡(luò)互連性、可操作性和可擴(kuò)充性好。廣東輕工職業(yè)技術(shù)學(xué)院分為兩個(gè)校區(qū)，分別是廣州校區(qū)和南海校區(qū)。廣州校區(qū)主要的建筑有教學(xué)樓、實(shí)訓(xùn)中心、學(xué)生公寓等；南海校區(qū)有圖書館、教師公寓、工業(yè)實(shí)訓(xùn)樓、行政辦公樓、教學(xué)樓、學(xué)生公寓等，我們?yōu)槊總€(gè)建筑物都配備一個(gè)匯聚層交換機(jī)，把校園網(wǎng)建設(shè)成具有核心層、匯聚層、接入層3層的校園網(wǎng)絡(luò)。2.2 主要網(wǎng)

22、絡(luò)設(shè)備的選擇2.2.1 網(wǎng)絡(luò)設(shè)備的選擇原則 根據(jù)校園網(wǎng)建設(shè)的原則，我們?cè)谶x擇網(wǎng)絡(luò)設(shè)備方面應(yīng)該遵循以下幾個(gè)原則：1）網(wǎng)絡(luò)設(shè)備的安全、穩(wěn)定、可靠作為整個(gè)校園網(wǎng)的硬件設(shè)施，網(wǎng)絡(luò)設(shè)備必須具備安全性、穩(wěn)定性和可靠性的特點(diǎn)，這也是網(wǎng)絡(luò)穩(wěn)定運(yùn)行的基本條件?？梢赃x擇現(xiàn)在幾個(gè)比較有名的網(wǎng)絡(luò)設(shè)備廠商的產(chǎn)品，網(wǎng)絡(luò)設(shè)備具備安全可靠，很強(qiáng)的穩(wěn)定性。2）技術(shù)前沿網(wǎng)絡(luò)設(shè)備光有安全、穩(wěn)定、可靠還是遠(yuǎn)遠(yuǎn)不夠，對(duì)網(wǎng)絡(luò)設(shè)備選擇還需要是現(xiàn)在比較先進(jìn)的網(wǎng)絡(luò)設(shè)備，可以保證在相當(dāng)長(zhǎng)的一段時(shí)間內(nèi)不會(huì)因?yàn)榧夹g(shù)落后而被淘汰，同時(shí)，在網(wǎng)絡(luò)規(guī)模擴(kuò)大時(shí)，這個(gè)網(wǎng)絡(luò)設(shè)備不能夠勝任網(wǎng)絡(luò)負(fù)荷時(shí)，能夠降級(jí)使用的要求。3）方便擴(kuò)展現(xiàn)在技術(shù)更新?lián)Q代迅速，為了避免不

23、必要的重復(fù)投資，我們?cè)谶x擇網(wǎng)絡(luò)設(shè)備時(shí)應(yīng)該選擇擴(kuò)展性比較好的網(wǎng)絡(luò)設(shè)備，能夠保證在網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大的時(shí)候，不需要更換掉整臺(tái)的網(wǎng)絡(luò)設(shè)備，而是只需要在網(wǎng)絡(luò)設(shè)備中加入相應(yīng)的模塊，就能夠使現(xiàn)有的網(wǎng)絡(luò)設(shè)備勝任網(wǎng)絡(luò)負(fù)荷和滿足網(wǎng)絡(luò)應(yīng)用的需求。4）方便維護(hù)和管理先進(jìn)的網(wǎng)絡(luò)設(shè)備必須配備先進(jìn)的管理和維護(hù)方法，才能發(fā)揮出設(shè)備的最大作用。所以，我們選擇的網(wǎng)絡(luò)設(shè)備必須能夠支持現(xiàn)有的常用的網(wǎng)絡(luò)管理軟件和多種網(wǎng)絡(luò)管理軟件，以方便網(wǎng)絡(luò)管理人員的維護(hù)。2.2.2 主要網(wǎng)絡(luò)設(shè)備由于廣東輕工職業(yè)技術(shù)學(xué)院校園網(wǎng)的規(guī)模很大，所以必須選用比較強(qiáng)悍的交換機(jī)來做核心交換機(jī)，以滿足整個(gè)校園網(wǎng)巨大的吞吐量，下圖是Cisco Catalyst 650

24、0-E系列交換機(jī)的主要特性：表1列出了Cisco Catalyst 6500系列的主要特性特性Cisco Catalyst 6500系列機(jī)箱配置3個(gè)插槽6個(gè)插槽9個(gè)插槽9個(gè)垂直插槽13個(gè)插槽背板帶寬32Gbps共享總線256Gbps 交換矩陣720Gbps 交換矩陣第三層轉(zhuǎn)發(fā)性能Cisco Catalyst 6500 Supervisor Engine 1A多層交換特性卡(MSFC2): 15 mppsCatalyst 6500 Supervisor Engine 2 MSFC2:最高210 mppsCatalyst 6500 Supervisor Engine 32 MSFC2a: 15 m

25、ppsCatalyst 6500 Supervisor Engine 720: 最高400 mpps操作系統(tǒng)Cisco Catalyst OSCisco IOS軟件混合配置冗余交換管理引擎支持，帶狀態(tài)化故障切換冗余部件電源(1+1)交換矩陣 (1+1)續(xù)表1特性Cisco Catalyst 6500系列冗余部件可更換時(shí)鐘可更換風(fēng)扇高可用性特性網(wǎng)關(guān)負(fù)載均衡協(xié)議熱備份路由器協(xié)議(HSRP)多模塊EtherChannel技術(shù)快速生成樹協(xié)議(RSTP)多生成樹協(xié)議(MSTP)每VLAN快速生成樹快速收斂第三層協(xié)議高級(jí)服務(wù)模塊內(nèi)容服務(wù)網(wǎng)關(guān)CSM防火墻模塊IDS模塊IP安全(IPSec) VPN模塊網(wǎng)絡(luò)分

26、析模塊穩(wěn)定連接存儲(chǔ)設(shè)備SSL模塊無線局域網(wǎng)服務(wù)模塊DES-8500系列萬兆路由交換機(jī)作為新一代大容量、高密度、高性能、模塊化核心路由交換機(jī)產(chǎn)品，其背板帶寬高達(dá) 3.2Tbps，包轉(zhuǎn)發(fā)速率最大為952Mpps，具備二到四層線速交換能力。DES-8500萬兆路由交換機(jī)基于先進(jìn)的模塊化理念進(jìn)行設(shè)計(jì)，并采用了基 于多處理器分布式處理機(jī)制和Crossbar空分交換結(jié)構(gòu)的體系結(jié)構(gòu)，關(guān)鍵模塊均采用1:1冗余備份，可以保證在一個(gè)設(shè)備出現(xiàn)故障的時(shí)候，能夠是校園網(wǎng)不間斷的工作?？商峁?0GE、GE、FE等各種豐富的接口模塊， 并全面支持IPv4、IPv6、MPLS、NAT、組播、QoS、帶寬控制等業(yè)務(wù)功能。整個(gè)系

27、統(tǒng)所具備的高可靠性、高擴(kuò)展性、強(qiáng)大的業(yè)務(wù)能力等特點(diǎn)可以滿足各種網(wǎng)絡(luò)核心層的建設(shè)需求。DES-8500系列萬兆路由交換機(jī)的產(chǎn)品特性如下：1）萬兆核心路由交換機(jī)；2）CrossBar無阻塞交換架構(gòu)；3）大容量背板和吞吐率，952Mpps的路由包轉(zhuǎn)發(fā)能力；4）支持雙主控?zé)崆袚Q；5）硬件線速Q(mào)oS、L2-L4訪問控制；6）最多支持384個(gè)千兆線速端口；7）最大64個(gè)萬兆線速端口；8）線速的NAT業(yè)務(wù)模塊；9）線速M(fèi)PLS、MPLSVPN、MPLSTE業(yè)務(wù)；10）硬件支持Ipv6。在硬件防火墻的選擇上，我選擇了Juniper SSG-140-SH。Juniper SSG-140-SH防火墻的并發(fā)連接數(shù)是

28、32000，網(wǎng)絡(luò)吞吐量是350Mbps,入侵檢測(cè)采用的是Dos、DDoS，支持VPN，控制端口有8個(gè)10/1000、2個(gè)10/100/1000。這個(gè)防火墻的并發(fā)連接數(shù)能夠滿足廣東輕工職業(yè)技術(shù)學(xué)院的網(wǎng)絡(luò)訪問流量的要求。Juniper SSG-140-SH的主要特性如下表：表2 Juniper SSG-140-SH的主要特性設(shè)備類型安全服務(wù)網(wǎng)關(guān)并發(fā)連接數(shù)45000網(wǎng)絡(luò)吞吐量350安全過濾帶寬100Mbps網(wǎng)絡(luò)端口8個(gè)10/100、2個(gè)10/100/1000用戶數(shù)限制無用戶數(shù)限制入侵檢測(cè)Dos、DDos安全標(biāo)準(zhǔn)UL、CUL、CSA、CBVPN支持支持操作系統(tǒng)ScreenOS一般參數(shù)適用環(huán)境工作溫度:

29、0-40、工作濕度:10%-90%非冷凝、存儲(chǔ)溫度:-20-65、存儲(chǔ)濕度:10%-90%非冷凝電源：100-240 VAC續(xù)表2防火墻尺寸：44.5×444.5×381mm防火墻重量：4.63kg其他性能：4個(gè)物理接口模塊(PIM)擴(kuò)展插槽、帶512 MB內(nèi)存3 拓?fù)浣Y(jié)構(gòu)選擇及組網(wǎng)技術(shù)3.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的選擇 計(jì)算機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，即是指網(wǎng)絡(luò)上計(jì)算機(jī)或者設(shè)備與傳輸媒介形成的節(jié)點(diǎn)與線的物理構(gòu)成模式?，F(xiàn)在的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)主要有：總線型拓?fù)?、星型拓?fù)?、環(huán)形拓?fù)?、樹形拓?fù)浜突旌闲屯負(fù)?。在總線型結(jié)構(gòu)中，有一條高速主干公用電纜連接若干個(gè)節(jié)點(diǎn)構(gòu)成了網(wǎng)絡(luò)，這種結(jié)構(gòu)的特點(diǎn)就是結(jié)構(gòu)簡(jiǎn)單，節(jié)約組

30、網(wǎng)費(fèi)用、使用方便。但是它的缺點(diǎn)也是顯而易見的，由于是只有一條主干網(wǎng)絡(luò)，當(dāng)這個(gè)主干線上的一點(diǎn)出現(xiàn)故障，就會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓，這與在網(wǎng)絡(luò)建設(shè)中要求網(wǎng)絡(luò)具有高可靠性和冗余性不相符，因此使用總線型的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)建設(shè)大型的網(wǎng)絡(luò)已被淘汰。環(huán)形拓?fù)浣Y(jié)構(gòu)令牌網(wǎng)絡(luò)常用的一種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，其缺點(diǎn)跟總線型拓?fù)浣Y(jié)構(gòu)差不多，也是在網(wǎng)絡(luò)建設(shè)中遭到淘汰的拓?fù)浣Y(jié)構(gòu)。當(dāng)前在各種網(wǎng)絡(luò)建設(shè)中使用的最多的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是星型拓?fù)浣Y(jié)構(gòu)，它的優(yōu)點(diǎn)是十分突出的，當(dāng)網(wǎng)絡(luò)中的某個(gè)節(jié)點(diǎn)出現(xiàn)問題時(shí)，不會(huì)影響到整個(gè)網(wǎng)絡(luò)的運(yùn)行，這大大提高了這個(gè)網(wǎng)絡(luò)的可靠性和冗余性，雖然星形拓?fù)浣Y(jié)構(gòu)存在著布線和網(wǎng)絡(luò)設(shè)備的花費(fèi)多一些，不過這些花費(fèi)還是可以承受。所以我們?cè)?/p>

31、搭建廣東輕工職業(yè)技術(shù)學(xué)院校園網(wǎng)時(shí)，我們選擇了星型拓?fù)浣Y(jié)構(gòu)。3.2 組網(wǎng)技術(shù)組網(wǎng)技術(shù)就是網(wǎng)絡(luò)組建技術(shù)，分為以太網(wǎng)組網(wǎng)技術(shù)和ATM局域網(wǎng)組網(wǎng)技術(shù)。組網(wǎng)技術(shù)就是在有了網(wǎng)絡(luò)的設(shè)計(jì)方案和確定選用哪種網(wǎng)絡(luò)設(shè)備之后，怎么把不同連接到一起所用到的各種技術(shù)。組網(wǎng)技術(shù)主要包括：布線系統(tǒng)、Internet接入技術(shù)、防火墻等。3.2.1綜合布線系統(tǒng)綜合布線系統(tǒng)就是為了順應(yīng)發(fā)展需求而特別設(shè)計(jì)的一套布線系統(tǒng)。結(jié)構(gòu)化布線系統(tǒng)的組成：網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行主要取決于網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線路，對(duì)于網(wǎng)絡(luò)系統(tǒng)來說，采用結(jié)構(gòu)化布線系統(tǒng)能更好的滿足系統(tǒng)設(shè)計(jì)的需要。整個(gè)布線系統(tǒng)主要包含光纖布線和室內(nèi)綜合布線系統(tǒng)。布線系統(tǒng)的結(jié)構(gòu)主要是根據(jù)建筑物的分

32、布圖來設(shè)計(jì)，使用結(jié)構(gòu)化布線工程的布線系統(tǒng)具有實(shí)用性、靈活性、可擴(kuò)充性以及真正的開放性。通過結(jié)構(gòu)化布線建成的網(wǎng)絡(luò)系統(tǒng)具有滿足多種計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)對(duì)線路的要求， 不僅能對(duì)端口進(jìn)行靈活的配置，而且能夠方便的對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行升級(jí)和擴(kuò)充。光纖布線主要用在建筑物或者樓層之間，這些建筑物或樓層都是距離比較遠(yuǎn)的，超出了雙絞線的信號(hào)衰弱距離，那么就要采用光纖布線，廣東輕工職業(yè)技術(shù)學(xué)院的兩個(gè)校區(qū)，廣州校區(qū)和南海校區(qū)，距離是比較遠(yuǎn)的，必須通過1000M光纖進(jìn)行連接，這樣才能保證兩個(gè)校區(qū)更好的信息交流和資源共享。室內(nèi)布線采用5類或者超5類雙絞線連接各個(gè)信息點(diǎn)。3.2.2 Internet接入技術(shù)如果我們建成的校園網(wǎng)不

33、能夠連接到Internet，那么這個(gè)校園網(wǎng)就是一個(gè)不完整的網(wǎng)絡(luò)，也不能充分的使用Internet上大量的信息資源，因此，校園網(wǎng)接入Internet的接入技術(shù)就顯的至關(guān)重要了。現(xiàn)在大多數(shù)高校的校園網(wǎng)使用的Internet技術(shù)主要有ADSL和光纖專線接入。ADSL(Asymmetrical Digital Subscriber Line，非對(duì)稱數(shù)字用戶環(huán)路)是一種能夠通過普通電話線提供寬帶數(shù)據(jù)業(yè)務(wù)的技術(shù)，也是目前極具發(fā)展前景的一種接入技術(shù)。ADSL素有“網(wǎng)絡(luò)快車”之美譽(yù)，因其下行速率高、頻帶寬、性能優(yōu)、安裝方便、不需交納電話費(fèi)等特點(diǎn)而深受廣大用戶喜愛，成為繼Modem、ISDN之后的又一種全新的高

34、效接入方式，不過這個(gè)方式只使用于中小型網(wǎng)絡(luò)。光纖接入技術(shù)是面向未來的光纖到路邊（FTTC）和光纖到戶（FTTH）的寬帶網(wǎng)絡(luò)接入技術(shù)。光纖接入網(wǎng)（OAN）是目前電信網(wǎng)中發(fā)展最為快速的接入網(wǎng)技術(shù)，除了重點(diǎn)解決電話等窄帶業(yè)務(wù)的有效接入問題外，還可以同時(shí)解決調(diào)整數(shù)據(jù)業(yè)務(wù)、多媒體圖像等寬帶業(yè)務(wù)的接入問題。光纖接入Internet非常適合廣東輕工職業(yè)技術(shù)學(xué)院的網(wǎng)絡(luò)需求，所以我們采用光纖接入來連接Internet，以實(shí)現(xiàn)高速的網(wǎng)絡(luò)信息訪問。3.2.3 防火墻技術(shù)防火墻指的是一個(gè)有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。防火墻分為硬件防火墻和軟件防火墻，這里主要

35、研究的是硬件防火墻。簡(jiǎn)單的防火墻可以用路由器來實(shí)現(xiàn)，像校園網(wǎng)這種大型的網(wǎng)絡(luò)只有通過硬件防火墻來隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。防火墻的功能主要是過濾掉不安全的服務(wù)和非授權(quán)用戶的非法操作以及提供監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。不過防火墻也不是萬能的，它也有些方面是防范不了的，比如不經(jīng)由防火墻的攻擊和感染病毒的軟件和文件的傳輸。所以，防火墻只能作為整體安全防范的一部分而已。防火墻技術(shù)從層次上分為報(bào)文過濾和應(yīng)用層網(wǎng)關(guān)。報(bào)文過濾是在IP層實(shí)現(xiàn)的，他的原理是根據(jù)報(bào)文的源IP地址、目的IP地址、源端口、目的端口報(bào)文信息來判斷是否允許報(bào)文通過，因此它可以只用路由器完成。在應(yīng)用層網(wǎng)關(guān)實(shí)現(xiàn)的防火墻有多種方式，

36、如應(yīng)用代理服務(wù)器和網(wǎng)絡(luò)地址轉(zhuǎn)換器等。在校園網(wǎng)中的應(yīng)用大部分是內(nèi)部用戶在使用校園網(wǎng)，內(nèi)部用戶也擁有較高的使用權(quán)限，因此局域網(wǎng)的安全是整個(gè)校園網(wǎng)安全最重要的組成部分。局域網(wǎng)中的網(wǎng)絡(luò)安全是可以預(yù)測(cè)的，所以可以制定相應(yīng)的防范措施，主要體現(xiàn)在對(duì)硬件防火墻的配置上了。4 拓?fù)湓O(shè)計(jì)及VLAN劃分4.1 網(wǎng)絡(luò)拓?fù)鋱D設(shè)計(jì)4.1.1拓?fù)鋱D設(shè)計(jì)思路校園網(wǎng)是校園資源共享的一個(gè)最重要的路徑之一，所以要保證整個(gè)網(wǎng)絡(luò)能夠不間斷的工作，在網(wǎng)絡(luò)的某一個(gè)點(diǎn)上出現(xiàn)故障時(shí)，也能保證網(wǎng)絡(luò)不間斷，這就需要對(duì)網(wǎng)絡(luò)進(jìn)行很好的設(shè)計(jì)了，才能達(dá)到這個(gè)目的。在這里，我的拓?fù)湓O(shè)計(jì)思路是這樣的，就是用兩個(gè)核心交換機(jī)連在一起，然后分別讓這兩個(gè)核心交換機(jī)與

37、匯聚層交換機(jī)互連，這樣可以保證在一臺(tái)核心交換機(jī)出現(xiàn)問題的時(shí)候，另外一臺(tái)核心交換機(jī)接替壞掉的那臺(tái)交換機(jī)工作，這樣可以保證網(wǎng)絡(luò)不間斷的工作。4.1.2 拓?fù)鋱D設(shè)計(jì)在拓?fù)湓O(shè)計(jì)，我們自然是選擇星型拓?fù)浣Y(jié)構(gòu)，在前邊已經(jīng)介紹過它的優(yōu)點(diǎn)了。對(duì)于廣東輕工職業(yè)技術(shù)學(xué)院的兩個(gè)校區(qū)，每個(gè)校區(qū)配備兩臺(tái)核心交換機(jī)，這兩個(gè)核心交換機(jī)通過萬兆光纖互連，然后每個(gè)核心交換機(jī)都與匯聚層交換機(jī)互連，可以實(shí)現(xiàn)在一臺(tái)交換機(jī)出現(xiàn)故障時(shí)，另外一臺(tái)核心交換機(jī)接替出故障的核心層交換機(jī)工作，保證了網(wǎng)絡(luò)的不間斷。由于拓?fù)鋱D比較大，只能截取部分，下圖是拓?fù)鋱D：圖4.1 網(wǎng)絡(luò)拓?fù)鋱D部分截圖4.2 VLAN劃分4.2.1 VLAN介紹 VLAN（Vir

38、tual Local Area Network）的中文名為"虛擬局域網(wǎng)"。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機(jī)和路由器中，但主流應(yīng)用還是在交換機(jī)之中。但又不是所有交換機(jī)都具有此功能，只有VLAN協(xié)議的第三層以上交換機(jī)才具有此功能。4.2.2 劃分VLAN的目的VLAN的目的非常多，通過認(rèn)識(shí)VLAN的本質(zhì)，我們可以了解VLAN主要用在什么地方。1）兩個(gè)不同的網(wǎng)段要互相訪問，都必須通過路由器才能進(jìn)行訪問。2）VLAN本質(zhì)就是指一個(gè)網(wǎng)段，之所以叫做虛擬的局域網(wǎng)，是因?yàn)樗窃谔摂M的路由器的接口下創(chuàng)建的

39、網(wǎng)段。當(dāng)一個(gè)交換機(jī)上至少有一個(gè)端口與其他端口不在同一個(gè)網(wǎng)段的時(shí)候，當(dāng)路由器的物理端口要連接兩個(gè)或者更多網(wǎng)段的時(shí)候，就是VLAN起作用的時(shí)候，這就是VLAN的目的。4.2.3 VLAN的優(yōu)點(diǎn)劃分了VLAN后具有以下優(yōu)點(diǎn)：1）防范廣播風(fēng)暴。限制網(wǎng)絡(luò)上的廣播，將網(wǎng)絡(luò)劃分為多個(gè)VLAN可減少參與廣播風(fēng)暴的設(shè)備數(shù)量。LAN分段可以防止廣播風(fēng)暴波及整個(gè)網(wǎng)絡(luò)。VLAN可以提供建立防火墻的機(jī)制，防止交換網(wǎng)絡(luò)的過量廣播。2）安全。不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備。 3）成本降低。

40、成本高昂的網(wǎng)絡(luò)升級(jí)需求減少，現(xiàn)有帶寬和上行鏈路的利用率更高，因此可節(jié)約成本。4）提高性能。將第二層平面網(wǎng)絡(luò)劃分為多個(gè)邏輯工作組（廣播域）可以減少網(wǎng)絡(luò)上不必要的流量并提高性能。5）提高IT員工效率。VLAN為網(wǎng)絡(luò)管理帶來了方便，因?yàn)橛邢嗨凭W(wǎng)絡(luò)需求的用戶將共享同一個(gè)VLAN。6）簡(jiǎn)化項(xiàng)目管理或應(yīng)用管理。VLAN 將用戶和網(wǎng)絡(luò)設(shè)備聚合到一起，以支持商業(yè)需求或地域上的需求。7）增加了網(wǎng)絡(luò)連接的靈活性。借助VLAN技術(shù)，能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境，就像使用本地LAN一樣方便、靈活、有效。4.2.4 VLAN劃分的分類VLAN的劃分可以分為以下幾種：1）根據(jù)端口來劃

41、分VLAN；2）根據(jù)MAC地址劃分VLAN；3）根據(jù)網(wǎng)絡(luò)層劃分VLAN；4）根據(jù)IP組播劃分VLAN；5）基于規(guī)則的VLAN；6）按用戶定義、非用戶授權(quán)劃分VLAN。4.2.5劃分VLAN的基本策略劃分VLAN的策略有以下幾種：1）基于端口的VLAN劃分。這種劃分是把一臺(tái)或多臺(tái)交換機(jī)上的一個(gè)或者多個(gè)端口劃分到同一個(gè)邏輯組中，這是最簡(jiǎn)單的VLAN劃分。2）基于MAC地址的VLAN劃分。把MAC地址劃分為一個(gè)邏輯子網(wǎng)。3）基于路由的VLAN劃分。這種方式允許一個(gè)VLAN跨越多個(gè)交換機(jī)，或者一個(gè)端口位于多個(gè)VLAN中。4.2.6 VLAN創(chuàng)建和分配ip所有網(wǎng)絡(luò)設(shè)備連接默認(rèn)的vlan是在vlan1，如

42、下圖所示：圖4.2 默認(rèn)的vlan接著我們我們?yōu)閺V東輕工職業(yè)技術(shù)學(xué)院的廣州校區(qū)的七棟學(xué)生宿舍、教學(xué)樓匯聚、實(shí)訓(xùn)中心、西校匯聚分別創(chuàng)建vlan：1）switch0配置命令如下：Switch#vlan database% Warning: It is recommended to configure VLAN from config mode,as VLAN database mode is being deprecated. Please consult userdocumentation for configuring VTP/VLAN in config mode.Switch(vlan)#

43、vlan 2VLAN 2 added:Name: VLAN0002Switch(vlan)#vlan 3VLAN 3 added:Name: VLAN0003Switch(vlan)#vlan 4VLAN 4 added:Name: VLAN0004Switch(vlan)#vlan 5VLAN 5 added:Name: VLAN0005Switch(vlan)#vlan 6VLAN 6 added:Name: VLAN0006Switch(vlan)#vlan 7VLAN 7 added:Name: VLAN0007Switch(vlan)#vlan 8VLAN 8 added:Name:

44、 VLAN0008Switch(vlan)#vlan 9VLAN 9 added:Name: VLAN0009Switch(vlan)#vlan 10VLAN 10 added:Name: VLAN0010Switch(vlan)#exit2）然后為各個(gè)vlan分配ip，配置命令如下：Switch(config)#int vlan1Switch(config-if)#ip add 192.168.1.1% Incomplete command.Switch(config-if)#ip add 192.168.1.1 255.255.255.0Switch(config-if)#no sh%LI

45、NK-5-CHANGED: Interface Vlan1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to upSwitch(config-if)#int vlan2%LINK-5-CHANGED: Interface Vlan2, changed state to upSwitch(config-if)#exitSwitch(config)#int vlan2Switch(config-if)#ip add 192.168.2.1 255.255.255.0

46、Switch(config-if)#no shSwitch(config-if)#no shutSwitch(config-if)#exitSwitch(config)#int vlan3Switch(config-if)#%LINK-5-CHANGED: Interface Vlan3, changed state to upSwitch(config-if)#ip add 192.168.3.1 255.255.255.0Switch(config-if)#no shSwitch(config-if)#exitSwitch(config)#int vlan4Switch(config-if

47、)#%LINK-5-CHANGED: Interface Vlan4, changed state to upSwitch(config-if)#ip add 192.168.4.1 255.255.255.0Switch(config-if)#no shSwitch(config-if)#exitSwitch(config)#int vlan5%LINK-5-CHANGED: Interface Vlan5, changed state to upSwitch(config-if)#ip add 192.168.5.1% Incomplete command.Switch(config-if

48、)#ip add 192.168.5.1 255.255.255.0Switch(config-if)#no shSwitch(config-if)#int vlan6Switch(config-if)#%LINK-5-CHANGED: Interface Vlan6, changed state to upSwitch(config-if)#ip add 192.168.6.1 255.255.255.0Switch(config-if)#no shSwitch(config-if)#int vlan7%LINK-5-CHANGED: Interface Vlan7, changed sta

49、te to upSwitch(config-if)#ip add 192.168.7.1 255.255.255.0Switch(config-if)#no shSwitch(config-if)#int vlan8%LINK-5-CHANGED: Interface Vlan8, changed state to upSwitch(config-if)#ip add 192.168.8.1 255.255.255.0Switch(config-if)#no shSwitch(config-if)#int vlan9%LINK-5-CHANGED: Interface Vlan9, chang

50、ed state to upSwitch(config-if)#ip add 192.168.9.1 255.255.255.0Switch(config-if)#no shSwitch(config-if)#int vlan10%LINK-5-CHANGED: Interface Vlan10, changed state to upSwitch(config-if)#ip add 192.168.10.1 255.255.255.0Switch(config-if)#no sh3）接著配置VTP，配置命令如下：Switch>enSwitch#conf tEnter configura

51、tion commands, one per line. End with CNTL/Z.Switch(config)#vtp domain china_mobileChanging VTP domain name from NULL to china_mobileSwitch(config)#vtp mode serverDevice mode already VTP SERVER.Switch(config)#endSwitch#%SYS-5-CONFIG_I: Configured from console by console4）為VLAN分配ip接口，配置命令如下：Switch>

52、;enSwitch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#int f0/2Switch(config-if)#switchport mode accessSwitch(config-if)#int f0/3Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 2%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan2

53、, changed state to upSwitch(config-if)#switchport access vlan 2Switch(config-if)#spanning-tree portfast%Warning: portfast should only be enabled on ports connected to a singlehost. Connecting hubs, concentrators, switches, bridges, etc. to thisinterface when portfast is enabled, can cause temporary

54、bridging loops.Use with CAUTION%Portfast has been configured on FastEthernet0/3 but will onlyhave effect when the interface is in a non-trunking mode.Switch(config-if)#int f0/4Switch(config-if)#swi mode accessSwitch(config-if)#swi access vlan 3%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan3, c

55、hanged state to upSwitch(config-if)#spanning-tree portfast%Warning: portfast should only be enabled on ports connected to a singlehost. Connecting hubs, concentrators, switches, bridges, etc. to thisinterface when portfast is enabled, can cause temporary bridging loops.Use with CAUTION%Portfast has been configured on FastEthernet0/4 but will onlyhave effect when the interface is in a non-trunking mode.Switch(config-if)#int f0/5Switch(config-if)#swi mode accessSwitch(config-if)#swi access vlan 4Switch(config-if)#%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan4,