您的当前位置：首页毕业论文校园局域网设计方案

毕业论文校园局域网设计方案

来源：保捱科技网

毕业论文校园局域网设计方案

———————————————————————————————— 作者： ———————————————————————————————— 日期：

个人收集整理勿做商业用途

毕业论文(设计）

题目校园局域网设计方案系部名称信息工程专业计算机信息管理学号学生姓名指导教师

吉林省经济管理干部学院

- 0 -

个人收集整理勿做商业用途

吉林经济职业技术学院

吉林省经济管理干部学院吉林经济职业技术学院

学生毕业论文（设计）评定

论文题目：学生成绩管理系统教师评语：

建议成绩指导教师签字：年月日答辩委员会评语：评定成绩主任签字：

年

月

日

- 1 -

个人收集整理勿做商业用途

内容摘要

计算机网络是一种地理上分散的，具有功能的计算机通过通信设备和线路连接起来，在配有相应的网络软件的情况下使各个计算机系统能相互自由通信，实现资源共享的系统。计算机网络如按网络的组建规模和延伸范围来划分的话，可分为局域网（Local Area Network，LAN）、城域网(Metropolitan Area Network，MAN)、广域网（Wide Area Network,WAN)。我们经常用到的因特网（Internet）属于广域网，校园网属局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展.而校园网是各种类型网络中一大分支,有着非常广泛的应用。

作为新技术的发祥地，学校、尤其是高等学校，和网络的关系十分密切，网络最初是在校园里进行实验并获得成功的，许多网络新技术也是首先在校园网中获得成功，进而才推向社会的。另一方面，作为“高新技术孵化器”的学校,知识、人才的资源十分丰富，比其他行业更渴求信息、希望能有渠道获得各种各样的信息来促进自身在研究、学术上的进步。

此论文在局域网技术和现今发展基础上，分析了建立校园网的意义，建设原则和目标,并详细阐述了其设计过程。文章从系统结构、布线系统、网络方案、管理等方面讨论了校园网的设计方案.在网络设计中，详细介绍了网络拓扑结构、VLAN划分，并在部分办公室引入无线网络，实现了网络的人性化设计,最后通过相关软件对网络进行管理以及实现网络的安全性关键词：局域网、Internet、计算机网络、网络协议、服务器

- 2 -

个人收集整理勿做商业用途

前言 ..................................................................................................... - 5 - 第1章局域网概述 .............................................................................. - 6 -

1。1 局域网技术 ...................................................................... - 6 -

1。1.1 局域网基本特征 ............................................... - 6 - 1。1.2 局域网的工作模式 ............................................ - 7 - 1。1.3 局域网拓扑类型 ............................................... - 7 - 1.1.4 局域网网络类型 .................................................. - 9 - 1.1.5 局域网基本工作原理 ......................................... - 10 -

1.2 校园网 ............................................................................. - 11 -

第2章校园网总体设计 ..................................................................... - 12 -

2.1 概述 ................................................................................ - 12 - 2.2 方案实施 ......................................................................... - 13 -

2.2。1 结构化布线 ..................................................... - 13 - 2.2。2 网络设备选型 ................................................. - 13 -

2.3 系统分析 ......................................................................... - 17 -

2。3.1 关键网络系统 ................................................. - 17 - 2。3。2 网络解决办法 .............................................. - 17 -

- 3 -

个人收集整理勿做商业用途

2。3。3 技术分析 ...................................................... - 17 -

第3章系统详细设计 ......................................................................... - 19 -

3.1 系统组成与拓扑结构 ....................................................... - 19 -

3.1。1 VLAN及IP地址规划 ...................................... - 19 -

3。2 交换模块设计 ................................................................ - 20 -

3.2。1 访问层交换服务的实现－配置访问层交换机 ... - 20 - 3.2.2 分布层交换服务的实现－配置分布层交换机 ..... - 24 - 3.2。3 核心层交换服务的实现－配置核心层交换机 ... - 28 -

3.3 广域网接入模块设计 ....................................................... - 29 - 3。4 服务器模块设计 ............................................................. - 33 -

第4章测试 ....................................................................................... - 34 -

4。1 系统测试 ....................................................................... - 34 - 4.2 相关测试、诊断命令 ....................................................... - 34 -

4.2.1 通用测试、诊断命令 ......................................... - 34 - 4.2.2 CDP测试、诊断命令 ........................................ - 35 - 4。2.3 路由和路由协议测试、诊断命令 .................... - 35 - 4。2.4 VLAN、VTP测试、诊断命令 ......................... - 35 - 4.2.5 生成树测试、诊断命令 ..................................... - 35 - 4.2.6 NAT测试、诊断命令 ......................................... - 36 -

总结 ................................................................................................... - 37 - 致谢 ................................................................................................... - 38 - 参考文献 ............................................................................................ - 39 -

- 4 -

个人收集整理勿做商业用途

前言

当今世界,各种先进的科学技术飞速发展，给人们的生活带来了深远的影响，它极大的改善我们的生活方式。在以计算机技术为代表的信息科技的发展更是日新月异,从各个方面影响和改变着我们的生活，而其中的计算机网络技术的发展更为迅速,已经渗透到了我们生活的各个方面，人们已经离不开计算机网络，并且随着因特网的迅速普及，给我们的学习与生活条件带来更大的方便，我们与外部世界的联系将更加的紧密和快速。

随着人们对于信息资源共享以及信息交流的迫切需求，促使网络技术的产生和快速发展，计算机网络的产生和使用为人类信息文明的发展带来了性的变化。自1995年中国教育教研网（CERNET）建成后，校园网的建设已经进入到一个蓬勃发展的阶段.校园网的建成和使用，对于提高教学和科研的质量、改善教学和科研条件、加快学校的信息化进程，开展多媒体教学与研究以及使教学多出人才、科研多出成果有着十分重要而深远的意义。其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、Intranet/Internet的应用、网络安全，网络系统的维护等内容。通过本毕业设计课题的论述，希望使读者能够了解校园网的建设过程以及所涉及到的各种网络技术，并能对今后大家在学习网络技术知识或是进行校园网的工程建设中有所借鉴.

校园网是各种类型网络中一大分支，有着非常广泛的应用.作为新技术的发祥地，学校、尤其是高等学校和网络的关系十分密切，网络最初是在校园里进行实验并获得成功的，许多网络新技术也是首先在校园网中获得成功，进而才推向社会的.

我们看看国内校园网现状，也正是因为看到网络与学校之间的密切关系，国家从1994年正式启动中国教育科研计算机网(CERNET）以来，已与国内几百所学校相连，为广大师生及科研人员提供了一个全新的网络环境。随着信息技术的飞速发展,校园网的建设已经逐渐提到议事日程上来。对比国外校园网的建设和使用情况,我国目前的大多数校园网的结构、规模和应用都不是很完整,网络设备、计算机设备的功能没有得到充分地挖掘和发挥。

- 5 -

个人收集整理勿做商业用途

怎样利用网络设备，进一步发挥各种设备的功能，实现学校各项业务系统的集成，提高应用水平将是学校校园网建设的下一个工作重点。

第1章局域网概述

本次设计就从用户的需求分析入手，以我校为例设计出一个校园网拓扑结构,并阐述了校园网的应用特点，以及网络产品如何满足校园网用户的多方面需求.

1.1 局域网技术

1.1.1 局域网基本特征

1．局域网最主要的特点:

网络为一个单位所拥有，分布范围小,投资少，配置简单等，具有如下特征：

·传输速率高：一般为1Mbps--20Mbps，光纤高速网可达100Mbps，1000MbpS。

·支持传输介质种类多。 ·通信处理一般由网卡完成。 ·传输质量好，误码率低。 ·有规则的拓扑结构。

2．局域网具有如下的一些主要优点：

·能方便地共享昂贵的外部设备、主机以及软件、数据. ·从一个站点可访问全网。

·便于系统的扩展和逐渐地演变,各设备的位置可灵活调整和改变。 ·提高了系统的可靠性、可用性和残存性。

- 6 -

个人收集整理勿做商业用途

1.1.2 局域网的工作模式

1．专用服务器结构：（Server—Baseb）

又称为“工作站/文件服务器”结构，由若干台微机工作站与一台或多台文件服务器通过通信线路连接起来组成工作站存取服务器文件，共享存储设备.文件服务器自然以共享磁盘文件为主要目的。

对于一般的数据传递来说已经够用了，但是当数据库系统和其它复杂而被不断增加的用户使用的应用系统到来的时候，服务器已经不能承担这样的任务了，因为随着用户的增多,为每个用户服务的程序也增多，每个程序都是运行的大文件,给用户感觉极慢，因此产生了客户机/服务器模式。 2．客户机/服务器模式:（client/server)

其中一台或几台较大的计算机集中进行共享数据库的管理和存取，称为服务器,而将其它的应用处理工作分散到网络中其它微机上去做，构成分布式的处理系统，服务器控制管理数据的能力己由文件管理方式上升为数据库管理方式，因此,C/S由的服务器也称为数据库服务器，注重于数据定义及存取安全后备及还原，并发控制及事务管理，执行诸如选择检索和索引排序等数据库管理功能，它有足够的能力做到把通过其处理后用户所需的那一部分数据而不是整个文件通过网络传送到客户机去，减轻了网络的传输负荷。C/S结构是数据库技术的发展和普遍应用与局域网技术发展相结合的结果。

3．对等式网络：(Peer—to-Peer）在拓扑结构上与专用Server与C/S相同,在对等式网络结构中，没有专用服务器。

每一个工作站既可以起客户机作用也可以起服务器作用.

虽然目前的网卡、HUB和交换机都能提供100M甚至更宽的带宽，但一个局域网如果配置不当,尽管配置的设备都非常高档而网络速度仍不能如意；或者经常出现死机、打不开一个小文件或根本无法连通服务器，特别是在一些设备档次参差不齐的网络中这些现象更是时有发生。在局域网中恰当地进行配置，才能使网络性能尽可能地进行优化，最大限度地发挥网络设备、系统的性能。其实局域网也是由一些设备和系统软件通过一种连接方式组成的，所以局域网的优化包括以下几个方面:

设备优化：包括传输介质的优化、服务器的优化、HUB与交换机的优化等. 软件系统的优化:包括服务器软件的优化和工作站系统的优化。布局的优化:包括布线和网络流量的控制。

1.1.3 局域网拓扑类型

拓扑结构是在逻辑上对网络的一个描述,它反映了整个网络的结构。在网络结构上，目前的网络结构主要有以下几种：

- 7 -

个人收集整理勿做商业用途

·星形拓扑：星形拓扑是由节点和通过点到点链路到节点的各站点组成.

·总线拓扑：总线拓扑结构采用单根传输作为传输介质，所有的站点都通过相应的硬件接口直接连接到传输介质上，或称总线上。

·环形拓扑:由一些中继器和连接中继器的点到点链路组成一个闭合环.每个中继器都和两条链路相连。

·树形拓扑：树形拓扑是从总线拓扑演变过来的,形状像一棵倒置的树,顶端有一个分支的根，每个分支还可以延伸出子分支.它主要有易于扩展和故障隔离等优点。

·混合拓扑：它是将星形拓扑和环形拓扑混合起来的一种拓扑，试图取这两种拓扑的优点于一个系统。

在选择拓扑结构时，应该考虑的主要因素有以下几点：费用低：安装费用的高低和拓扑结构的选择以及传输介质选择、传输距离的确定有关。

灵活性：要考虑到在设备搬动时很容易重新配置网络拓扑，还有考虑原有节点的删除和新节点的加入。

可靠性:拓扑的选择要使故障的检测和故障隔离较为方便。

综上所述，综合选择多种结构，选择星形和树形相结合的拓扑结构,网络拓扑结构图类型如图1-1：

图1-1 局

域网网络拓扑类型

- 8 -

个人收集整理勿做商业用途

1.1.4 局域网网络类型

保护现有投资的有效途径就是在将来网络技术升级时还能使用现有的网络技术和产品。如同计算机的发展速度一样，网络技术的发展也是非常迅速的。如果现有技术不能合理保证在将来网络升级后还能够使用，那么将会带来极大的资金浪费。目前比较常见的主干网技术有FDDI、ATM、快速以太网和千兆以太网等.其中具有交换功能的快速以太网，支持VLAN，并容易升级到千兆以太网和ATM，由于性能优越，价格适中,建议采用快速以太网作为校园网的主干技术.

（1）光纤分布式数据接口(FDDI） FDDI是高性能的高速宽带LAN技术，它采用定时的令牌传送协议。因此,它可以被看作是一个令牌环网协议的高速版本.但与TokenRing技术不同的是,当其发送完帧后就立即产生新的令牌帧，故其利用率较高,其运行速度可达100Mb/s.最大距离可达200km，可最多连接1000个站点。

铜线分布式数据接口(CDDI)是FDDI的一种变型，可以在不昂贵的铜线电缆上运行而使用相同的协议。

FDDI和CDDI的优点是冗余、内置网络管理，具有广泛的适用性.但是，采用FDDI/CDDI技术是昂贵而复杂，始终未成为主流技术，发展速度缓慢，前景不被看好.

（2）异步传输模式（ATM) ATM作为一种全新的交换技术,有其明显的优越性。ATM是将分组交换与电路交换优点相结合的网络技术。在广域网、城域网和公用网内，ATM正在被广泛采用，因为它既能够将多种服务多路复用到一种基础设施上，满足功能越来越强的台式机对带宽不断增长的需求，又能提供虚拟LAN和多媒体等新的网络服务。

但是，ATM技术也有其缺点.首先是标准还没有完全制定完成，很多重要标准还在修正之中，这就影响了ATM技术的推广,尤其是在局域网领域内。其次，ATM技术目前主要应用是在专用网络和核心网络的范围内，而延展到外围和用户端均仍采用传统的网络技术(以太网、快速以太网、令牌环网等），这就使得在ATM网络和传统网络之间要建立一个中间的衔接层，这是一种在ATM信元与传统网络的帧结构之间相互转换的技术，如Classic IP和ATM LANE等技术，这种技术的优点是可以把传统网络接入到ATM网络中，但缺点是带来了很大的资源开销，这在很大程度上增加了ATM网络的复杂性并且降低了网络的总体性能。另外，目前的大部分网络应用主要是基于IP网络的应用，直接针对ATM信元的应用很少，这在很大程度上也增加了ATM网络使用和管理的复杂性。

（3) 快速以太网

快速以太网（fast Ethernet）是一个IEEE局域网标准，于1995年由原

- 9 -

个人收集整理勿做商业用途

来制定标准的IEEE802.3工作组完成,快速以太网和传统以太网采用同样的介质访问协议（CSMA/CD）.传统以太网用的是10Mb/s技术，而快速以太网用的是100Mb/s技术。 100Mb/s的网卡只比10Mb/s的网卡略贵一点,但为将来的网络升级提供了很大的灵活性。大多数100Mb/s的网卡能够自动检测所连接的端口是10Mb/s还是100Mb/s，并执行相应的操作。

（4)千兆位以太网

千兆位以太网技术以简单的以太网技术为基础，为网络主干提供1Gb/s的带宽.千兆位以太网技术以自然的方法来升级现有的以太网络、工作站、管理工具和管理人员的技能。千兆位以太网与其他速度相当的高速网络技术相比，价格低，同时比较简单，例如保留以太网的帧格式、管理工具和对网络概念上的认识.现在千兆位以太网成熟的标准为IEEE802。3z。

千兆位以太网的设计非常灵活，几乎对网络结构没有，可以是交换式、共享式的或基于路由器的.现在正在应用的网络互连技术,例如，特定IP交换技术和第三层的交换技术，都与千兆位以太网完全兼容。

（5) 无线局域网

IEEE802.11委员会已经开放了一组无线标准。而目前，基于IEEE802。11b和IEEE802.11g协议标准的在实际应用很多。其中，IEEE802.11b标准的无线局域网能达到11Mbps的传输速度，而IEEE802。11g标准的无线局域网能达到54Mbps的传输速度。

根据以上介绍,我们综合选择多种高速局域网，同时考虑多种技术，校园网的系统结构选择主干1000M,桌面100M的交换式以太网技术。

根据需求，建设联接信息中心、多媒体教室、办公楼、住宿楼及综合办公楼等建筑物.其中各部分构成相对的子网,通过交换机接入桌面PC。

1.1.5 局域网基本工作原理

由于现在以太网的数据率已演进到每秒百兆比特、吉比特甚至10吉比特,因此通常就用“传统以太网”来表示最早进入市场的10Mb/s速率的以太网.下面简单介绍下以太网的基本工作原理。

1．以太网的两个标准：（1）DIX Ethernet V2 是世界上第一个局域网产品(以太网)的规约。 (2）IEEE 的 802.3 标准.

DIX Ethernet V2 标准与 IEEE 的 802。3 标准只有很小的差别,因此可以将 802。3 局域网简称为“以太网\"。

严格说来，“以太网”应当是指符合 DIX Ethernet V2 标准的局域网数据链路层的两个子层为了使数据链路层能更好地适应多种局域网标准，802 委员会就将局域网的数据链路层拆成两个子层：逻辑链路控制 LLC （Logical Link Control)子层、媒体接入控制 MAC (Medium Access Control)子层。

- 10 -

个人收集整理勿做商业用途

与接入到传输媒体有关的内容都放在MAC子层，而LLC子层则与传输媒体无关，不管采用何种协议的局域网对 LLC 子层来说都是透明的。

2．接口的工作模式

以太网卡可以工作在两种模式下：半双工和全双工。

半双工：半双工传输模式实现以太网载波监听多路访问冲突检测。传统的共享LAN是在半双工下工作的，在同一时间只能传输单一方向的数据。当两个方向的数据同时传输时，就会产生冲突,这会降低以太网的效率。

全双工：全双工传输是采用点对点连接,这种安排没有冲突,因为它们使用双绞线中两个的线路，这等于没有安装新的介质就提高了带宽。例如在上例的车站间又加了一条并行的铁轨，同时可有两列火车双向通行。在双全工模式下，冲突检测电路不可用，因此每个双全工连接只用一个端口，用于点对点连接.标准以太网的传输效率可达到50％～60％的带宽，双全工在两个方向上都提供100％的效率。

3．以太网的工作原理以太网采用带冲突检测的载波帧听多路访问(CSMA/CD）机制。以太网中节点都可以看到在网络中发送的所有信息，因此，我们说以太网是一种广播网络。以太网工作过程如下：

当以太网中的一台主机要传输数据时，它将按如下步骤进行：

（1）监听信道上收否有信号在传输.如果有的话，表明信道处于忙状态，就继续监听,直到信道空闲为止。

（2）若没有监听到任何信号，就传输数据。

（3)传输的时候继续监听，如发现冲突则执行退避算法，随机等待一段时间后，重新执行步骤1（当冲突发生时，涉及冲突的计算机会发送会返回到监听信道状态。注意：每台计算机一次只允许发送一个包，一个拥塞序列，以警告所有的节点）。

（4)若未发现冲突则发送成功，所有计算机在试图再一次发送数据之前,必须在最近一次发送后等待9.6微秒（以10Mbps运行）。

1.2 校园网

校园网是指利用网络设备、通信介质和适宜的组网技术与协议及各类网络系统管理软件和应用软件，将校园网内计算机和各种终端有机地集成在一起，并用于教学、科研、学校管理、信息资源共享和远程教学等方面工作的计算机局域网络系统。

校园网的概念最初是以硬件集成为主,校园网只是一个硬件平台.到了第二阶段，有提出了以教学应用软件集成为主的“软件建网”的校园网概念，这也是当今大多数校园网所采用的模式。校园网由硬件、软件这两部分共同组成，其中，硬件是基础，是校园网的载体，没有硬件的支持,根本无法谈及校园网;软件是应用，是建设校园网的根本需求的体现。就像普通的PC一样，

- 11 -

个人收集整理勿做商业用途

建立在硬件上面的系统软件、应用软件让我们有了利用计算机的可能. 校园网是为学校教师、学生提供教学、科研和综合信息服务的宽带多媒体网络。校园网应为学校教学、科研提供先进的信息化教学环境，这就要求校园网是一个宽带、局域交互功能和专业很强的局域网络。多媒体教学、网络教学、教师电子备课、办公等等都需要通过网络运行工作。

第2章校园网总体设计

2.1 概述

总体设计是校园网建设的总体思路和工程蓝图,是搞好校园网建设的核心任务。进行校园网总体设计，首先，进行对象研究和需求调查,弄清学校的性质、任务和改革发展的特点，对学校的信息化环境进行准确的描述，明确系统建设的需求和条件；其次，在应用需求分析的基础上，确定学校Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三，确定网络拓朴结构和功能，根据应用需求、建设目标和学校主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五,规划安排校园网建设的实施步骤.

作为校园网，需要连接多少个节点，怎样利用网络设备使得分布在不同地理位置的节点连接到一个统一的网络中来，怎样使得整个网络中的节点相互连通，这些问题仅仅是校园网需要解决问题中的一部分。

从某种意义上讲，校园网的建设绝不仅仅只是涉及到技术问题,而是会引深到更深的层次,也就是说信息技术所带来的一场会彻底改变我们的生活方式和工作方式.

对于校园网的建设，我们提出的建设原则应该是：先进性，先进的设计思想、网络结构、开发工具,采用市场覆盖率高、标准化和技术成熟的软硬件产品；实用性，建网时应考虑利用和保护现有的资源、充分发挥设备效益；开放性,系统设计应采用开放技术、开放结构、开放系统组建和开放用户接口，以利于网络的维护、扩展升级及与外界信息的沟通；灵活性,采用积木式模块组合和结构化设计，使系统配置灵活，满足学校逐步到位的建网原则,使网络具有强大的可增长性；可靠性，具有容错功能，管理、维护方便。对网络的设计、选型、安装、调试等各环节进行统一规划和分析,确保系统运行可靠，经济性,投资合理，有良好的性能价格比。

- 12 -

个人收集整理勿做商业用途

2.2 方案实施

一个完整的校园网建设在实施过程中可以分成两个环节：网络集成方案设计和信息系统集成。其中信息系统集成是目的，网络集成是手段.

网络集成方案主要包括两个方面：结构化布线与设备选择、网络技术及设备选型。它的设计思想有两个,一个是网络方案采用模块化的设计，各个模块完成各自的功能。在实施的过程中，可以根据需要将相应的模块添加到网络中,也可以不使用某些模块,在需要时候再添加。同时,模块化设计容易维护,某个模块出现故障,不会影响到整个网络的安全。

另一个设计思想是采用层次体系，整个网络通过主干网连接起来，各个子网通过接口与主干网连接，实现各自的功能，在子网内部及与主干网进行数据通信.

2.2.1 结构化布线

综合布线系统是建筑物或建筑群内的传输网络，它既能使话音和数据通信设备、交换设备和其他信息管理系统彼此连接，也能使这些设备与外部通信网络相互连接，包括建筑物到外部网络或电话局线路上的连线点，与工作区的话音或数据终端之间的所有电缆，以及相关联的布线部件。一个良好的综合布线系统对其服务的设备有一定的性，并能互连许多不同的通信设备如数据终端、模拟式或数字式电话、PC和主机以及公共系统装置。一般布线系统有六个子系统组成:建筑群间子系统，设备间子系统，管理区子系统，垂直（主干）子系统，水平子系统，工作区子系统。

校园网为园区网，楼群间子系统采用光缆连接，可提供千兆位的带宽，有充分的扩展余地。垂直子系统则位于高层建筑物的竖井内，可采用多模光缆或大对数双绞线。把管理区子系统并入设备间子系统，集中管理。

对于多幢楼宇，可采用多设备间的方法.分为中心设备间和楼栋设备间部分，中心设备间是整个局域网的控制中心，内设有对外（Internet）对内通信的各种网络设备（交换机、路由器）,中心交换机通过光缆（地下直埋）与楼栋设备间的交换设备相连，以保证数据的高速传输。在此设备间放置布线的线架和网络设备，端接楼内来自在各层的主干线缆,并端接连接网络中心的光纤。

2.2.2 网络设备选型

网络主干设备的系统结构直接决定了设备的性能和功能水平。因此，深入了解设备的系统结构设计，客观认知设备的性能和功能，这对正确选择设

- 13 -

个人收集整理勿做商业用途

备极有帮助。在此次设计中，为了更好的完成所有功能,全部采用了Cisco的交换机和路由器。下面就简要介绍下此次设计中的重要设备——交换机的选型。

1．Catalyst交换机产品

(1）Catalyst 2960 系列交换机

Cisco Catalyst2960系列智能以太网交换机是一个全新的、固定配置的设备系列，提供桌面快速以太网和千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强LAN服务。Catalyst 2960系列具有集成安全特性，包括网络准入控制(NAC）、高级服务质量(QoS）和永续性,可为网络边缘提供智能服务。

Cisco Catalyst 2960系列提供： · 为网络边缘提供了智能特性，如先进的访问控制列表（ACL)和增强安全特性；

· 双介质上行链路端口提供了千兆以太网上行链路灵活性，可以使用铜缆或光纤上行链路端口—每个介质上行链路端口都有一个10/100/1000以太网端口和一个小型可插拔（SFP）千兆以太网端口，在使用时其中一个端口激活，但不能同时使用这两个端口；

· 通过高级QoS、精确速率、ACL和组播服务,实现了网络控制和带宽优化；

· 通过多种验证方法、数据加密技术和基于用户、端口和MAC地址的网络准入控制，实现了网络安全性；

· 通过思科网络助理,简化了网络配置、升级和故障诊断； · 使用Smartports自动配置特定应用； (2）系列产品配置

Cisco Catalyst 2960系列包括以下交换机:

· Cisco Catalyst 2960—24TT:24个10/100以太网端口和2个10/100/1000固定以太网上行链路端口；1机架单元(RU)

· Cisco Catalyst 2960-48TT：48个10/100以太网端口和2个10/100/1000固定以太网上行链路端口;1 RU

· Cisco Catalyst 2960-24TC：24个10/100以太网端口和2个双介质上行链路端口；1 RU

· Cisco Catalyst 2960—48TC:48个10/100以太网端口和2个双介质上行链路端口；1 RU

· Cisco Catalyst 2960G—24TC：20个10/100/1000以太网端口，其中4个为双介质端口;1 RU

2．产品特性

（1）千兆以太网

千兆以太网以1000 Mbps的速度,提供了可满足新网络和扩展网络的需求

- 14 -

个人收集整理勿做商业用途

的带宽，消除了瓶颈，提升了性能，同时提高了现有基础设施投资的回报.目前,工作人员都对网络有着更高需求,在网络上同时运行多个应用。例如，一位员工通过IP视频会议而参加小组会议，向与会者发送一个10MB的电子表格，将最新营销视频广播给整个小组以供评估,此外还查询客户关系管理（CRM）数据库，以获得最新实时反馈。同时，后台开始了一个多GB的系统备份，并向客户端提供最新防病毒软件的升级。

（2）网络智能性

当今的网络正在不断发展，在网络边缘出现了四种新趋势：

桌面计算能力提高、带宽密集型应用出现、高敏感数据在网络中扩展、出现了多种设备类型，如IP电话、WLAN接入点和IP视频摄像头。

这些新需求正与许多已有关键任务应用争夺资源。因此，IT专业人员必须将网络边缘看作有效管理信息和应用的提供的关键。

随着人们对网络的依赖性日益增强，将其作为战略性业务基础设施，确保网络的高可用性、安全性、可扩展性和对它的全面控制就比以前更为重要。通过为LAN接入添加思科智能功能,客户现可部署遍布整个网络的智能服务，从而一致地满足从桌面到核心再到WAN的要求.

通过Cisco Catalyst智能以太网交换机，思科可帮助公司获得向其网络添加智能服务的全面优势。为进一步优化网络运行，部署具备以下特性的功能是十分关键的:能使网络基础设施高度可用以达到关键时间要求、可扩展以便于公司发展、高度安全以保护保密信息,且能区分和控制流量。

（3）增强安全性

凭借Cisco Catalyst 2960系列提供的广泛安全特性，企业可保护重要信息，防止未授权人员接入网络，确保私密性及维持不间断运行.

思科基于身份的网络服务（IBNS）解决方案提供了身份验证、访问控制和安全策略管理，可保护网络连接和资源。Catalyst 2960系列中的IBNS可防止未授权接入，并确保用户只获得其指定权利。它能动态管理网络接入的具体层次。使用802。1x标准和思科安全访问控制服务器(ACS），无论用户在何处连接到网络中,都可在验证基础上分配到一个VLAN.此设置使IT部门能在不影响用户移动性的情况下,以最低管理开销实施强大的安全策略。

为防止拒绝服务攻击和其他攻击，可用ACL根据源和目的地MAC地址、IP地址或TCP/UDP端口来拒绝分组，从而对网络敏感部分的访问。ACL查询在硬件中完成，故此在实施基于ACL的安全性时不会影响转发性能。

端口安全性可根据与以太网端口相连的设备的MAC地址,来以太网端口上的访问。它也可用于插入一个交换机端口的总设备数目，因此可使交换机免遭MAC泛洪攻击，降低了恶意无线接入点或集线器接入的风险. 凭借动态主机配置协议（DHCP）监听，可以只允许来自不可信用户端口的DHCP请求（但不允许响应）进入网络，从而防止DHCP电子欺骗.此外DHCP接口（选项82) 特性可为主机IP地址请求添加交换机端口ID，有助

- 15 -

个人收集整理勿做商业用途

于实现对于IP地址分配的精确控制.

MAC地址通知特性可向管理站发送报警,从而监控网络和跟踪用户,以使网络管理员知道用户何时、从何处进入网络.SSHv2和SNMPv3对管理和网络管理信息加密,保护网络免遭干扰或窃听。TACACS+或RADIUS验证实现了交换机的集中访问控制，并未授权用户改变配置。此外,可在交换机上配置本地用户名和密码数据库.交换机控制台上的15个授权级别和Web管理界面上的2个级别提供了向不同管理员分配不同配置功能级别的能力。

（4）可用性和可扩展性

Cisco Catalyst 2960系列配备了强大的特性集，通过组播过滤和旨在第二层网络中提供最高可用性的全套生成树协议改进，实现了网络可扩展性及更高可用性。

对标准生成树协议的改进，如PVST+、UplinkFast和PortFast，可实现最长网络正常运行时间。PVST+可在冗余链路上进行第二层负载共享，以有效使用冗余设计中的额外容量。UplinkFast、PortFast和BackboneFast都大大缩减了标准的30到60秒生成树协议收敛时间。Flexlink提供了不到100ms的双向、快速收敛。对环路保护和网桥协议数据单元（BPDU)保护的增强避免了生成树协议环路的出现.

（5)高级QoS

Cisco Catalyst 2960提供了出色的多层QoS特性，确保网络流量进行了分类和优先级划分，并以最好的方式避免了拥塞。QoS的配置通过自动QoS（Auto QoS）大大得到了简化，这是一个可发现思科IP电话并自动配置交换机以进行正确分类和输出排序的特性.这优化了流量优先级划分和网络可用性，且不会带来复杂配置的问题。

Catalyst 2960可对进入的分组分类、再分类、监管、标记、排序和排程，并能在出口处对分组排序和排程。分组分类使网络元素可区分不同流量，并根据第二层和第三层QoS实施策略。

为实现QoS，Catalyst 2960系列交换机首先确认分组或流量组,再使用DSCP字段或802.1p服务级别（CoS)字段对这些组分类和再分类。分类和再分类可根据源或目的地IP地址、源或目的地MAC地址或者第4层TCP/UDP端口等标准进行。在入口，Catalyst 2960也将进行监管，以确定分组是在小组内还是在小组外，标记以改变分类标签，传输或丢弃小组分组，并根据类别对分组排序。所有端口上都支持控制平面和数据平面ACL，确保每个分组得到正确的处理.

Cisco Catalyst 2960支持每端口4个输出队列，使网络管理员能更好地进行控制，为LAN上的各种应用分配优先级。在出口，交换机执行排程和拥塞控制。排程是一种确定队列处理顺序的算法或进程。Catalyst 2960系列交换机支持整形循环（SRR）和严格优先级队列。SRR算法有助于确保个性化优先级划分.

- 16 -

个人收集整理勿做商业用途

这些QoS特性使网络管理员能将关键任务和带宽密集型流量划为较高优先级,其中包括企业资源规划（ERP）、语音（IP电话流量）和计算机辅助设计及制造(CAD/CAM）等，而将FTP或电子邮件等对应用划为较低优先级.例如,下载一个目的地为交换机上某一端口的大型文件，而这会增加目的地为此交换机上另一端口的语音流量的延迟，这种情况是用户极为不愿看到的.通过确保语音流量在网络中得到正确分类和优先级划分,可避免此情况。Web浏览等其他应用则可作为较低优先级对待。

Catalyst 2960系列能通过对思科承诺信息速率（CIR）功能的支持而执行速率。通过CIR，能以低至8kbps的增量保证带宽。带宽的分配根据若干标准进行，包括MAC源地址、MAC目的地地址、IP源地址、IP目的地地址和TCP/UDP端口号。在需服务级别协议的网络环境中或需控制授予某些用户的带宽时,带宽分配非常重要。

2.3 系统分析

2.3.1 关键网络系统

Cisco 2620路由器、Cisco Catalyst 2950 24口交换机（WS-C2950—24)、Cisco Catalyst 3560交换机

2.3.2 网络解决办法

对校园网系统整体方案设计；对访问层交换机进行配置；对分布层交换机进行配置;对核心层交换机进行配置；对广域网接入路由器配置;对远程访问服务器进行配置；对整个校园网系统进行诊断

2.3.3 技术分析

路由、交换与远程访问技术是现代计算机网络领域中三大支撑技术体系. 路由技术:路由协议工作在OSI参考模型的第3层,因此它的作用主要是在通信子网间路由数据包.路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表(Access Control List，ACL）,路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本次设计中，内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。

传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换.高层交换技术的引入不但提高了园区网数据交换的

- 17 -

个人收集整理勿做商业用途

效率，更大大增强了园区网数据交换服务质量,满足了不同类型网络应用程序的需要.

现代交换网络还引入了虚拟局域网（Virtual LAN，VLAN）的概念。VLAN将广播域在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现.

当网络管理人员人员需要管理的交换机数量众多时，可以使用VLAN中继协议(Vlan Trunking Protocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。

当园区网络的交换机数量增多、交换机间链路增加时，交换网络的复杂性可能会造成交换环路问题,这需要通过在各交换机上运行生成树协议(Spanning Tree Protocol，STP)来解决. 一个好的校园网设计应该是一个分层的设计。一般分为三层设计模型。

在此次设计方案中，对实际校园网的设计进行了适当和必要的简化,将重点放在网络主干的设计上，对于服务器的架设只作简单介绍.

- 18 -

个人收集整理勿做商业用途

第3章系统详细设计

3.1 系统组成与拓扑结构

在此次网络工程设计中，为了实现整个工程设计设备的统一性，本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建.全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。

本校园网设计方案主要由以下四大部分构成:交换模块、广域网接入模块、远程访问模块、服务器群。整个网络系统的拓扑结构图如图3—1所示。（省略了部分拓扑信息）

图3-1 校园网整体拓扑结构图

3.1.1 VLAN及IP地址规划

整个校园网中VLAN及IP编址方案如图3-1-1所示：

- 19 -

个人收集整理勿做商业用途

图3-1—1 VLAN及IP编址方案

在此次设计中,我规划了15个VLAN，并为每个VLAN定义了一个由拼音缩写组成的VLAN名称。

3.2 交换模块设计

为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换的部署是分层进行的。

园区网数据交换设备可划分为三个层次：访问层、分布层、核心层。

3.2.1 访问层交换服务的实现－配置访问层交换机

访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的是Cisco Catalyst 2950 24口交换机。交换机拥有24个10/100Mbps自适应快速以太网端口，运行的是Cisco的IOS操作系统.我们以拓扑图中的访问层交换机XingZhengLou为例进行介绍。如图3—2—1所示

图3-2-1 访问层交换机XingZhengLou

1．配置访问层交换机XingZhengLou的基本参数 (1）设置交换机名称

设置交换机名称，也就是出现在交换机CLI提示符中的名字.一般我们会以地理位置或行政划分来为交换机命名。当我们需要Telnet登录到若干台交换机以维护一个大型网络时,通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的.

如图3-2—2所示，为访问层交换机XingZhengLou命名。

- 20 -

个人收集整理勿做商业用途

图3-2—2 为访问层交换机XingZhengLou命名

（2）设置交换机的加密使能口令

当用户在普通用户模式而想要进入用户模式时，需要提供此口令.此口令会以MD5的形式加密，因此，当用户查看配置文件时，无法看到明文形式的口令。

如图3-2-3所示，将交换机的加密使能口令设置为xingzhenglou

图3—2—3 为交换机设置加密使能口令

(3）设置登录虚拟终端线时的口令

对于一个已经运行着的交换网络来说，交换机的带内远程管理为网络管理人员提供了很多的方便。但是，处于安全考虑,在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。

如图3-2—4所示，设置登录交换机时需要验证用户身份，同时设置口令为user

图3-2-4为访问层交换机XingZhengLou命名

（4)设置终端线超时时间

为了安全考虑,可以设置终端线超时时间。在设置的时间内，如果没有检测到键盘输入，IOS将断开用户和交换机之间的连接. 如图3—2—5所示，设置登录交换机的控制台终端线路及虚拟终端线的超时时间为5分30秒钟。

图3-2-5 设置控制台终端线路和虚拟终端线路的超时时间（5)设置禁用IP地址解析特性

交换机默认配置的情况下，当我们输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用命令no ip domain-lookup。可以禁用这个特性

如图3—2—6所示，设置禁用IP地址解析特性。

图3-2—6 设置禁用IP地址解析特性

2．配置访问层交换机XingZhengLou的管理IP、默认网关访问层交换机是OSI参考模型的第2层设备，即数据链路层的设备.因此,

- 21 -

个人收集整理勿做商业用途

给访问层交换机的每个端口设置IP地址是没意义的。但是，为了使网络管理人员可以从远程登录到访问层交换机上进行管理，必要给访问层交换机设置一个管理用IP地址。这种情况下,实际上是将交换机看成和PC机一样的主机。

给交换机设置管理用IP地址只能在VLAN1，即本征VLAN中进行。按照表3-1，管理VLAN所在的子网是：192。168.0。0/24,这里将访问层交换机XingZhengLou的管理IP地址设为:192.168.0.5/24

如图3-2-7所示，显示了为访问层交换机XingZhengLou设置管理IP并激活本征VLAN。

图3-2-7 设置访问层交换机XingZhengLou的管理IP

为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关地址192。168。0。254。如图3-2—8所示。

图3-2-8 设置访问层交换机XingZhengLou的默认网关地址

3．配置访问层交换机XingZhengLou的VLAN及VTP

从提高效率的角度出发,在本校园网实现实例中使用了VTP技术。同时，将分布层交换机DistributeSwitch1设置成为VTP服务器，其他交换机设置成为VTP客户机。

这里访问层交换机XingZhengLou将通过VTP获得在分布层交换机DistributeSwitch1中定义的所有VLAN的信息.

如图3-2-9所示，设置访问层交换机XingZhengLou成为VTP客户机。

图3—2-9 设置访问层交换机XingZhengLou成为VTP客户机

4．配置访问层交换机XingZhengLou端口基本参数（1）端口双工配置

可以设定某端口根据对端设备双工类型自动调整本端口双工模式，也可以强制将端口双工模式设为半双工或全双工模式.在了解对端设备类型的情况下，建议手动设置端口双工模式。

如图3—2-10所示，设置访问层交换机XingZhengLou的所有端口均工作在全双工模式。

图3-2-10设置访问层交换机XingZhengLou的端口工作模式 (2）端口速度

可以设定某端口根据对端设备速度自动调整本端口速度，也可以强制将

- 22 -

个人收集整理勿做商业用途

端口速度设为10Mpbs或100Mbps。在了解对端设备速度的情况下,建议手动设置端口速度.

如图3—2—11所示，设置访问层交换机XingZhengLou的所有端口的速度均为100Mbps.

图3—2—11 设置访问层交换机XingZhengLou的端口速度

5．配置访问层交换机XingZhengLou的访问端口

访问层交换机XingZhengLou为终端用户提供接入服务。在图中，访问层交换机XingZhengLou为VLAN2、VLAN3、VLAN4提供接入服务.

如图3-2—12所示，设置访问层交换机XingZhengLou的端口1～6、7～13、14～20分别为VLAN2、VLAN3、VLAN4的成员，其端口工作在访问（接入）模式：

图3-2-12XingZhengLou端口分配

（2)设置快速端口

默认情况下，交换机在刚加电启动时，每个端口都要经历生成树的四个阶段：阻塞、侦听、学习、转发.在能够转发用户的数据包之前，某个端口可能最多要等50秒钟的时间（20秒的阻塞时间＋15秒的侦听延迟时间＋15秒的学习延迟时间）。

对于直接接入终端工作站的端口来说，用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间，可以设置将某端口设置成为快速端口(Portfast）。设置为快速端口的端口当交换机启动或端口有工作站接入时，将会直接进入转发状态，而不会经历阻塞、侦听、学习状态（假设桥接表已经建立）.

如图3-2-13所示,设置访问层交换机XingZhengLou的端口1～端口20为快速端口。

图3—2—13 设置快速端口

6．配置访问层交换机XingZhengLou的主干道端口

- 23 -

个人收集整理勿做商业用途

如图所示,访问层交换机XingZhengLou通过端口FastEthernet 0/23上连到分布层交换机DistributeSwitch1的端口FastEthernet 0/20。同时，访问层交换机XingZhengLou还通过端口FastEthernet 0/24上连到分布层交换机DistributeSwitch2的端口FastEthernet 0/20.

这两条上连链路将成为主干道链路，在这两条上连链路上将运输多个VLAN的数据。

如图3—2—14所示,设置访问层交换机XingZhengLou的端口FastEthernet 0/23、FastEthernet 0/24为主干道端口。

图3-2—14 设置主干道端口

7．配置其它访问层交换机

其它访问层交换机分别为剩余VLAN的用户提供接入服务。同时，它们也通过自己的FastEthernet 0/23 、FastEthernet 0/24上连到分布层交换机DistributeSwitch1、DistributeSwitch2的端口上.这些剩余的访问层交换机其配置步骤、命令与访问层交换机XingZhengLou的配置类似.这里就不再详细分析了.

3.2.2 分布层交换服务的实现－配置分布层交换机

分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能。

这里的分布层交换机采用的是Cisco Catalyst 3550交换机.作为3层交换机，Cisco Catalyst 3550交换机拥有24个10/100Mbps自适应快速以太网端口，同时还有2个1000Mbps的GBIC端口供上连使用，运行的是Cisco的Integrated IOS操作系统。我们以图3-2—15中的分布层交换机DistributeSwitch1为例进行介绍。如图3-2—15所示：

图3—2-15 分布层交换机DistributeSwitch1

1．配置分布层交换机DistributeSwitch1的基本参数

对分布层交换机DistributeSwitch1的基本参数的配置步骤与对访问层交换机XingZhengLou的基本参数的配置类似。这里,只给出实际的配置步骤，不再给出解释。如图3—2—16所示：

- 24 -

个人收集整理勿做商业用途

图3—2—16 配置分布层交换机DistributeSwitch1的基本参数配置分布层交换机DistributeSwitch1的管理IP、默认网关

如图3—2-17所示，显示了为分布层交换机DistributeSwitch1设置管理IP并激活本征VLAN。同时，还设置了默认网关的地址.

图3-2—17 分布层交换机DistributeSwitch1的管理IP、默认网关 2．配置分布层交换机DistributeSwitch1的VTP

当网络中交换机数量很多时，需要分别在每台交换机上创建很多重复的VLAN。工作量很大、过程很繁琐，并且容易出错.因此我们常采用VLAN中继协议（Vlan Trunking Protocol，VTP）来解决这个问题。

VTP允许我们在一台交换机上创建所有的VLAN。然后，利用交换机之间的互相学习功能，将创建好的VLAN定义传播到整个网络中需要此VLAN定义的所有交换机上.同时，有关VLAN的删除、参数更改操作均可传播到其他交换机.从而大大减轻了网络管理人员配置交换机负担。

在本校园网实现实例中使用了VTP技术。同时,将分布层交换机DistributeSwitch1设置成为VTP服务器，其他交换机设置成为VTP客户机。

（1)配置VTP管理域

共享相同VLAN定义数据库的交换机构成一个VTP管理域。每一个VTP管理域都有一个共同的VTP管理域域名.不同VTP管理域的交换机之间不交换VTP通告信息。

如图3-2-18所示，将VTP管理域的域名定义为”campus\"。

图3-2—18 设置VTP管理域的域名

（2）设置VTP服务器

工作在VTP服务器模式下的交换机可以创建、删除VLAN、修改VLAN参数.同时,还有责任发送和转发VLAN更新消息。

如图3-2-19所示,设置分布层交换机DistributeSwitch1成为VTP服务器。

- 25 -

个人收集整理勿做商业用途

图3—2-19 设置分布层交换机DistributeSwitch1成为VTP

服务器

4．在分布层交换机DistributeSwitch1上定义VLAN

在本校园网实现实例中，除了默认的本地VLAN外,又定义了15个VLAN，如表1-1所示。

由于使用了VTP技术，所以所有VLAN的定义只需要在VTP服务器，即分布层交换机DistributeSwitch1上进行。

如图3—2-20所示，定义了15个VLAN,同时为每个VLAN命名。

图3—2—20 定义VLAN

5．配置分布层交换机DistributeSwitch1的端口基本参数

分布层交换机DistributeSwitch1的端口FastEthernet 0/1~FastEthernet 0/10为服务器群提供接入服务，而端口FastEthernet 0/20～24分别下连到5个访问层交换机的端口FastEthernet0/23～24上. 此外,分布层交换机DistributeSwitch1还通过自己的千兆端口GigabitEthernet 0/1上连到核心交换机CoreSwitch1的GigabitEthernet G0/1。

为了实现冗余设计,分布层交换机DistributeSitch1还通过自己的千兆端口GigabitEthernet 0/2连接另一台到分布层交换机DistributeSwitch2的GigabitEthernet 0/2。

- 26 -

个人收集整理勿做商业用途

图3—2-21 DistributeSwitch1的配置

6．配置分布层交换机DistributeSwitch1的3层交换功能

分布层交换机DistributeSwitch1需要为网络中的各个VLAN提供路由功能.这需要首先启用分布层交换机的路由功能。如图3—2—22所示。

图3—2-22 启用路由功能

接下来,需要为每个VLAN定义自己的默认网关地址，如图3—2—23所示。

…… ……

图3—2-23 定义各VLAN的默认网关地址

此外,还需要定义通往Intenet的路由.这里使用了一条缺省路由命令,如图3-2—24所示.其中，下一跳地址是Internet接入路由器的快速以太网接口FastEthernet 0/0的IP地址。

图

3-2—24 定义通往Internet的路由

7．配置分布层交换机DistributeSwitch2

分布层交换机DistributeSwitch2的端口FastEthernet 0/20～24也分别下连到5个访问层交换机的端口上。

此外，分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet 0/1上连到核心交换机CoreSwitch1的GigabitEthernet 0/2。

为了实现冗余设计，分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet 0/2连接到分布层交换机DistributeSwitch1的

- 27 -

个人收集整理勿做商业用途

GigabitEthernet 0/2.

对分布层交换机DistributeSwitch2的配置步骤、命令和对分布层交换机DistributeSwitch1的配置类似。这里，不再详细分析。

3.2.3 核心层交换服务的实现－配置核心层交换机

核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。本实例中的核心层交换机采用的是Cisco Catalyst 3560交换机,运行的是Cisco的Integrated IOS操作系统.

我们以图3-1中的核心层交换机CoreSwitch为例进行介绍。如图3-3—1所示

图3—3—1 核心层交换机CoreSwitch

1．配置核心层交换机CoreSwitch的基本参数

对核心层交换机CoreSwitch的基本参数的配置步骤与对访问层交换机XingZhengLou的基本参数的配置类似.这里，如图3—3-2所示，只给出实际的配置步骤,不再给出解释。

图3-3-2 配置核心层交换机CoreSwitch的基本参数

2．配置核心层交换机CoreSwitch的管理IP、默认网关

如图3—3-3所示，显示了为核心层交换机CoreSwitch设置管理IP并激活本征VLAN。同时，还设置了默认网关的地址。

图3—3-3 核心层交换机CoreSwitch的管理IP、默认网关 3．配置核心层交换机CoreSwitch的的VLAN及VTP

- 28 -

个人收集整理勿做商业用途

在本实例中，核心层交换机CoreSwitch也将作为VTP客户机。这里核心层交换机CoreSwitch将通过VTP获得在分布层交换机DistributeSwitch中定义的所有VLAN的信息。

如图3—3-4所示，设置核心层交换机CoreSwitch成为VTP客户机。

图3-3-4 设置核心层交换机CoreSwitch成为VTP客户机

4．配置核心层交换机CoreSwitch的端口参数

核心层交换机CoreSwitch通过自己的端口F0/24同广域网接入模块（Internet路由器）相连。同时，核心层交换机CoreSwitch的端口G0/1-0/2分别下连到分布层交换机DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 0/1。

如图3—3—5所示，给出了对上述端口的配置命令。

图3-3-5 设置核心层交换机CoreSwitch的各端口参数

5．配置核心层交换机CoreSwitch的路由功能

核心层交换机CoreSwitch通过端口FastEthernet 0/24同广域网接入模块（Internet路由器）相连。因此，需要启用核心层交换机的路由功能.同时，还需要定义通往Internet的路由。这里使用了一条缺省路由命令，如图3-3—6所示。其中，下一跳地址是Internet接入路由器的快速以太网接口FastEthernet 0/0的IP地址。

图3-3-6 定义到Internet的缺省路由如图所示.

3.3 广域网接入模块设计

在本设计中，广域网接入模块的功能是由广域网接入路由器InternetRouter来完成的。采用的是Cisco的30路由器。它通过自己的串行接口serial 0/0使用DDN（128K）技术接入Internet。它的作用主要是在Internet和校园网内网间路由数据包。除了完成主要的路由任务外，利用访问控制列表(Access Control List，ACL），广域网接入路由器InternetRouter还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。

- 29 -

个人收集整理勿做商业用途

图3—4-1 广域网接入路由器

1．配置接入路由器InternetRouter的基本参数

对接入路由器InternetRouter的基本参数的配置步骤与对访问层交换机XingZhengLou的基本参数的配置类似。这里,如图3-4—2所示,只给出实际的配置步骤,不再给出解释。

图3-4—2 配置接入路由器InternetRouter的基本参数

2．配置接入路由器InternetRouter的各接口参数

对接入路由器InternetRouter的各接口参数的配置主要是对接口FastEthernet 0/0以及接口Serial 0/0/0的IP地址、子网掩码的配置. 如图3—4—3所示，显示了为接入路由器InternetRouter的各接口设置IP地址、子网掩码。

图3-4-3 接入路由器InternetRouter的管理IP、默认网关 3．配置接入路由器InternetRouter的路由功能

在接入路由器InternetRouter上需要定义两个方向上的路由:到校园网内部的静态路由以及到Internet上的缺省路由。

到Internet上的路由需要定义一条缺省路由，如图3—4—4所示。其中,下一跳指定从本路由器的接口serial 0/0/0送出。

图3—4—4 定义到Internet的缺省路由

到校园网内部的路由条目可以经过路由汇总后形成两条路由条目。如图3

- 30 -

个人收集整理勿做商业用途

—4—5所示：

图3-4-5 定义到校园网内部的路由

4．配置接入路由器InternetRouter上的NAT

由于目前IP地址资源非常稀缺，对不可能给校园网内部的所有工作站都分配一个公有IP（Internet可路由的）地址.为了解决所有工作站访问Internet的需要,必须使用NAT（网络地址转换）技术。

为了接入Internet，假设本校园网向ISP申请了9个IP地址.其中一个IP地址：193.1。1。1被分配给了Internet接入路由器的串行接口,另外8个IP地址:202。206。222。1～202。206。222.8用作NAT。

NAT的配置可以分为以下几个步骤。

（1) 定义NAT内部、外部接口

图3-4—6显示了如何定义NAT内部、外部接口。

图3-4-6 定义NAT内部、外部接口

（2) 定义允许进行NAT的内部局部IP地址范围

图3-4-7显示了如何定义允许进行NAT的内部局部IP地址范围。

图3—

4—7 定义内部局部IP地址范围为服务器定义静态地址转换图3-4—8显示了如何为服务器定义静态地址转换。

……。

图3-4-8 为服务器定义静态地址转换

5．配置接入路由器InternetRouter上的ACL

路由器是进入校园网内网的第一道关卡，是网络防御的前沿阵地.路由器上的访问控制列表（Access Control List,ACL）是保护内网安全的有效手段.一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能.由于路由器介于企业内网和之间，是与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护。

这里,在本次设计中，我将针对服务器以及内网工作站的安全给出广域网

- 31 -

个人收集整理勿做商业用途

接入路由器InternetRouter上ACL的配置方案。

在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患.在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该做以下的ACL设计：

（1) 对外屏蔽简单网管协议，即SNMP。

利用这个协议,远程主机可以监视、控制网络上的其它网络设备.它有两种服务类型:SNMP和SNMPTRAP。

如图3—4-9所示，显示了如何设置对外屏蔽简单网管协议SNMP。

图3-4-9 对外屏蔽简单网管协议SNMP

（2) 对外屏蔽远程登录协议telnet

首先，telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。其次，telnet可以登录到大多数网络设备和UNIX服务器，并可以使用相关命令完全操纵它们。这是极其危险的,因此必须加以屏蔽。

如图3—4—10所示，显示了如何对外屏蔽远程登录协议telnet

图3-4-10 对外屏蔽远程登录协议telnet

（3) 对外屏蔽其它不安全的协议或服务

这样的协议主要有SUN OS的文件共享协议端口2049，远程执行（rsh）、远程登录（rlogin)和远程命令(rcmd）端口512、513、514，远程过程调用（SUNRPC)端口111。可以将针对以上协议综合进行设计,如图3-4-11所示.

图3—4—11 对外屏蔽其它不安全的协议或服务（4)

保护路由器自身安全

作为内网、间屏障的路由器，保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器，必须对路由器的访问位置加以。

应只允许来自服务器群的IP地址访问并配置路由器。这时，可以使用access-class命令进行VTY访问控制。如图3—4—12所示。

图3—4-12 保护路由器自身安全

- 32 -

个人收集整理勿做商业用途

3.4 服务器模块设计

服务器模块用来对校园网的接入用户提供各种服务。在本设计方案中,所有的服务器被集中到VLAN 100构成服务器群并通过分别层交换机DistributeSwitch1的端口fastethernet 1～10接入校园网.如图所示.

图5-1 服务器群

校园网提供的常见的服务（服务器）包括：WEB服务器:提供WEB网站服务;FTP文件服务器：提供文件传输、共享服务；邮件服务器：提供邮件收发服务；网管服务器:对校园网网络设备进行综合管理.

如图所示。显示了各服务器IP地址配置情况。

表给出了所有的服务器硬件平台、操作系统以及服务软件的选型表。

表1—1 VLAN及IP编址方案

- 33 -

个人收集整理勿做商业用途

第4章测试

4.1 系统测试

前面几章中,我们对如何设计一个较为完整的校园网网络进行了详细的介绍。当校园网初具规模后，还应该对校园网的整体运行情况做一下细致的测试和评估。

主要的测试内容应该包括：对管理IP地址的测试；对相同VLAN内的通信进行测试；对不同VLAN内的通信进行测试；对冗余链路的工作状态进行测试;对广域网接入路由器上的NAT进行测试；对广域网接入路由器上的ACL进行测试；对远程访问服务进行测试；对各种服务器提供的服务进行测试。

4.2 相关测试、诊断命令

在本章的最后，我们按不同的功能按每种技术分类，给出相关的测试、诊断命令列表同时还给出了命令的作用。

4.2.1 通用测试、诊断命令

（1) ping x.x。x.x：用于测试设备间的物理连通性。

（2) traceroute x.x.x。x：用于跟踪、显示路由信息。（3) show running—config:用于显示路由器、交换机运行配置文件的内容。

（4) show startup-config：用于显示路由器、交换机启动配置文件的内容。

（5) shutdown：用于临时将某个接口关闭.

（6) no shutdown：用于手动启动(激活）处于管理性关闭的接口。

（7) show interfaces：用于显示各接口的状态及参数信息。（8) show ip interface：用于显示IP接口的状态及配置信息. （9) show version：用于显示路由器硬件配置、软件版本等信息。

（10) dir flash：用于显示闪存中的文件清单.

（11) dir nvram：用于显示非易失性内存中的文件清单。（12) show debugging：用于显示正在进行的诊断过程清单。

- 34 -

个人收集整理勿做商业用途

4.2.2 CDP测试、诊断命令

（1) show cdp:用于显示CDP全局参数信息。

（2) show cdp neighbors detail：用于显示CDP邻居设备的详细信息，包括:邻居设备名称、邻居设备接口IP地址、邻居设备软件版本信息、设备性能、设备平台、本地设备接口、邻居设备接口、CDP缓存条目保持时间、CDP广播版本、接口双工方式等。

（3) show cdp interface：用于显示本地设备各个接口的状态、接口封装格式、CDP包的周期发送时间以及CDP保持时间等.

4.2.3 路由和路由协议测试、诊断命令

（1) （2)

show ip route：用于显示当前路由表内容.

show ip protocols：用于显示动态路由协议的配置参数信息。

4.2.4 VLAN、VTP测试、诊断命令

（1) show mac-address—table：用于显示CAM,即桥接表的内容。该命令可列出学习到的主机MAC地址及其所属VLAN、所处端口、条目类型(静态STATIC、动态DYNAMIC等）以及满足列表条件的MAC地址数目。

（2) show vlan：用于查看VLAN创建情况。该命令可以显示系统所有的VLAN信息，包括VLAN编号、VLAN名称、VLAN状态、VLAN成员等信息.

（3) show vtp status:用于检查VTP配置情况。

4.2.5 生成树测试、诊断命令

（1)

show spanning-tree detail:用于显示生成树详细信息。

（2) show spanning-tree interface:用于显示生成树中某端

口相关状态。

（3) show spanning-tree vlan：当有多个VLAN时，Catalyst交换机会为每个VLAN运行一个生成树实例。此命令用于显示指定VLAN的生成树内容。

（4) show spanning-tree summary：用于显示生成树总结,包括本交换机

是哪些VLAN的根网桥、端口快速特性是否启用、处于生成树各个端口状态的端口数量等信息。

- 35 -

个人收集整理勿做商业用途

4.2.6 NAT测试、诊断命令

（1) show ip nat translation:用于显示并观察当前正在进行的NAT情况。

（2) show ip nat statistics：用于显示NAT运行情况统计。（3) debug ip nat：用于打开对NAT的诊断。（4) show access-lists 命令：用于显示所有已定义的访问控制列表内容及命中情况。

需要说明的是，一个完整的校园网网络系统设计不仅包含上述设备，还应该有计费系统、防火墙系统、入侵检测系统等组成部分。在此次设计中，对此不作介绍。

- 36 -

个人收集整理勿做商业用途

总结

本毕业设计从校园网的建设思想、目标、可以选用的网络技术以及对络设备的介绍和选择等多方面的论述,使我对校园网建设工程有了一个比较深入的了解，校园网络建设作为一项重要的系统工程，它的所用到的各种技术是多方面的,即有网络技术、工程施工技术，也有管理制度等各个面的知识。网络技术的发展是永无止境的，在前进的过程中必将有更多的知识需要我们去学习与研究,并能将其应用到实际的网络工程建设之中.

由于校园网功能齐全，技术含量高，接触面广,在网络设计、规划和建设中都非常复杂，在论述中不可能面面具到,同时也由于本人的知识水平有限，文中的不足和错误在所难免,敬请各位老师多多指点和更正。本设计是吉林省经济管理干部学院谭晓辉老师的指导下完成的，还得到了多位同学的指点与帮助，我在此对传授我知识的各位老师和帮助我的同学表示崇高的敬意和诚挚的谢意。

- 37 -

个人收集整理勿做商业用途

致谢

此次毕业设计和学位论文撰写过程中，得到了老师、同学、朋友的关心、指导和帮助。入学以来,各位老师一直以来的辛勤工作和教诲使我能顺利地度过这难忘的三年，使我在综合素质提高、专业理论知识学习和实践工作能力等各方面受益匪浅.

在此，衷心地感谢我的指导教师谭晓辉老师！她在我的设计过程中给予了及时、准确的建议和指导,她丰富的知识、严谨的治学态度和全面的指导，对我启发颇多，收获颇丰。

感谢三年以来众多同学和朋友的帮助，大家一起在紧张的学习之余度过了许多愉快的时光。

- 38 -

个人收集整理勿做商业用途

参考文献

1.王竹林。《校园网组建与管理》.清华大学出版社

2. 雷震甲编著：《网络工程师教程》清华大学出版社，2008

3。斯桃枝、杨宴春、俞利君编著：《网络工程》人民邮电出版社，2005 4。崔鑫、吕昌泰编著：《计算机网路实验指导》清华大学出版社，2007 5。刘小辉主编：《网络硬件完全手册》主重庆大学出版社，2002年5月.6. 谭珂、全惠民编著：《局域网组建与管理实手册》中国青年出版社，2003年2月。

7。刘正勇编著：《校园网系统集成技术与应用》,清华大学出版社，2002年6月

8.Wendell Odom。（北京邮电大学译)《思科网络技术学院教程CCNA1-网络基础》、《思科网络技术学院教程CCNA2-路由器与路由基础》.人民邮电出版社

- 39 -

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文