网络工程与系统集成(佟巍).doc

1、- 1 -网络工程与系统集成期末大作业需求分析：1）某大学具有 6 个二级学院，分别位于同一城市的 4 个园区，其中大学与两个二级学院在同一个园区（园区 1），另外两个二级学院位于另一个园区（园区 2），而其它两个学院分别位于园区 3 和园区 4。2）大学向因特网发布信息并为全校提供有关的信息化服务，每个学院也自行向因特网发布学院信息并负责学院自己的信息服务，每个学院都拥有约 1500台 PC 机。3)大学已从 CERNET 有关机构申请了 IPV4 地址块202.113.128.0/24202.113.137.0/24。4)校园网络遵循网络核心层、网络汇聚层、网络接入层的三层结构模式：选用万

2、兆以太网作为连接大学 4 个园区的高速主干；选用千兆以太网作为各个园区的主干，形成大学校园网的汇聚层；选用百兆以太网 LAN 作为基本接入形式。大学校园网与因特网具有统一接口，即通过百兆以太网接入 CERNET。 设计要求：1）为校园网规划 IP 地址；2）为校园网设计网络拓扑结构(用 VISIO2003 画图）；3）为校园网选择适当的网络设备；4）为校园网选择路由协议；5）为校园网选择网络安全措施。设计方案：一， 需求分析和设计考虑 这是当前许多大学和企业面临的一个非常典型的大型园区网设计问题。位于同城市不同区域的 4 个网络自行设计，通过以太网光纤连接到核心交换机上，以及 vlan 间的路

3、由技术，构成在拓扑上的统一结构。1） 由于在某个时期网络具有特定的主流技术，因此近年来建设的园区网大多采用万兆核心，千兆到楼宇，百兆到 LAN/桌面的以太网解决- 2 -方案。事实上，这种结构是一种二层结构的网络拓扑，其中的千兆构成了汇聚层的主干，而百兆到 LAN/主机构成了接入层。因此，一种解决方案就是选用万兆以太网作为整个核心层，形成校园网主干，并且该校园网主干采用因特网公有地址。2） 选用万兆交换机互联各个园区网的原因在于：其一，各园区网均采用以太网技术体系，兼容性好。其二，大学将校园网上开展教学视频观摩，远程听课等工作，提供高速率信息通道是必要的。万兆交换机是具有路由功能的多层交换机，

4、在校园网环境下能够提供更好的性能。其三是价格因素，若在覆盖几十千米采用高速路由器的话，通常要采用 SDH 技术，这会使有关设备的价格增加 23 倍。尽管高速路由器会使各个园区具有更好的隔离性，但在校园网中用处不大。因此选用多层交换机作为汇聚层的节点，在各个园区划分 vlan，隔离广播信息，再通过多层交换机的 vlan 间路由技术，进而构建跨区域的技术互联。3） 根据要求，该校园从 CERNET 获得的 IP 地址数量是无法满足需求的，只能提供向因特网发布信息和联系，或进行网络科学研究之用，因此构成校园网 IP 地址的主体是经过 NAT 或者 PAT 地址转换的专用网地址。使用这些专用地址不利于

5、与其他大学的学术交流，但也不得已而为之的方法；另一方面，可以减少网络黑客对校园网的侵扰。4） 由于网络的规模较大，考虑到以后的可扩展性，路由协议采用 OSPF。5） 考虑到设备的可管理型，网络管理协议选用 SNMP。二， 设备选用：（1） 交换机（多层交换机）的选用：二层交换机用于小型的局域网络。这个就不用多言了，在小型局域网中，广播包影响不大，二层交换机的快速交换功能、多个接入端口和低谦价格为小型网络用户提供了很完善的解决方案。路由器的优点在于接口类型丰富，支持的三层功能强大，路由能力强大，适合用于大型的网络间的路由，它的优势在于选择最佳路由，负荷分担，链路备份及和其他网络进行路由信息的交换

6、等等路由器所具有功能。三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，加入路由功能也是为这个目的服务的。如果把大型网络按照部门，地域等等因- 3 -素划分成一个个小局域网，这将导致大量的网际互访，单纯的使用二层交换机不能实现网际互访；如单纯的使用路由器，由于接口数量有限和路由转发速度慢，将限制网络的速度和网络规模，采用具有路由功能的快速转发的三层交换机就成为首选。一般来说，在内网数据流量大，要求快速转发响应的网络中，如全部由三层交换机来做这个工作，会造成三层交换机负担过重，响应速度受影响，将网间的路由交由路由器去完成，充分发挥不同设备的优点，不失为一种好的组网策略，当然，前提是

7、客户的腰包很鼓，不然就退而求其次，让三层交换机也兼为网际互连。第四层交换的一个简单定义是：它是一种功能，它决定传输不仅仅依据MAC 地址(第二层网桥)或源/目标 IP 地址(第三层路由),而且依据 TCP/UDP(第四层) 应用端口号。第四层交换功能就象是虚 IP，指向物理服务器。它传输的业务服从的协议多种多样，有 HTTP、FTP、NFS、Telnet 或其他协议。这些业务在物理服务器基础上，需要复杂的载量平衡算法。在 IP 世界，业务类型由终端TCP 或 UDP 端口地址来决定，在第四层交换中的应用区间则由源端和终端 IP 地址、TCP 和 UDP 端口共同决定。 根据流量计算，每个园区网

8、中有 1500 台计算机，如果同时上网，会有部分人看视频，聊 QQ，浏览网页等，经过估算，带宽的平均占用为 30kbps。那么，每个园区网的总带宽应该为 30kbps*1500=3.945Mbps，考虑到设备之间的通信，以及设备的冗余情况，我们应把园区网核心交换机的处理能力定位在1000Mbps。而大学共包含 6 个二级学院，因此总带宽为43.945Mbps*6=263.67Mbps，同样考虑设备间的通讯以及设备冗余，我们应该把校园核心交换机的处理能力定位在 10000Mbps，根据以上的数据统计，我们采用以下性能的设备。A、核心层交换机：特征 参数机箱 模块化交换机，插槽数 9 个端口速率

9、1000/10000Mb、GE、10GE端口密度 大于 96 个，根据模块选购 GE/10GE背板带宽 大于 600Gbps软件 全路由及 QoS、安全等其它功能 引擎、电源备份B、汇聚层交换机：特征 参数机箱 模块化交换机，插槽数 6 个以上端口速率 1000/10000Mb、GE、10GE端口密度 大于 48 个，根据模块选购 GE/10GE背板带宽 大于 120Gbps软件 全路由及 QoS、安全等其它功能 引擎、电源备份C、接入层交换机：特征 参数- 4 -端口数 2448 个固定配置交换机端口速率 10/100/1000Mb上行端口 24 个，GE 或 10GE 速率背板带宽 大于

10、20Gbps软件 全路由及 QoS、安全等其它功能 支持 PoE参考设备：A、园区网核心交换机：cisco6500 系列交换机产品规格：特性 Cisco Catalyst 6500 系列系统特性 机箱配置 3 插槽 6 插槽 9 插槽 9 个垂直插槽 13 插槽 背板带宽 32Gbps 共享总线 256Gbps 交换矩阵 720Gbps 交换矩阵 第三层转发性能 Supervisor 1 MSFC：15Mpps Supervisor 2 MSFC：210Mpps Supervisor 720：400Mpps 操作系统 Catalyst OS(CatOS) Cisco IOS CatOS/IOS

11、 混合配置 冗余交换管理引擎 支持，支持状态化故障切换 冗余部件 电源（1+1 ） 交换矩阵（1+1） 可更换时钟 可更换风扇架 高可用性特性 网关负载均衡协议（GLBP） 热备份路由器协议（HSRP） 跨多模块 EtherChannel 快速生成树 多生成树 每 VLAN 快速生成树 快速收敛的第三层协议 最高系统端口密度 10/100/1000 以太网 576 个端口，都支持馈线电源 - 5 -10/100 快速以太网 100-BASE-FX 千兆位以太网（GBIC）10 千兆位以太网（XENPAK） 1152 个端口，都支持馈线电源 288 个端口 194 个端口（在交换管理引擎上提供了

12、 2 个端口） 32 个端口 集成 WAN 模块 FlexWAN(DS0 到 OC-3) OC-3 POS 端口 OC-12 POS 端口 OC-12 ATM 端口 OC-48 POS/DPT 端口 12 个模块，带 24 个端口适配器 192 48 24 24 PSTN 接口 数字 T1/E1 中继端口 FXS 接口 高级服务模块 216 864 千兆位防火墙 千兆位 VPN 高性能入侵检测 千兆位内容交换模块 高性能 SSL 端接 千兆位内容服务网关 B、汇聚层交换机： Cisco Catalyst 3560-X 系列产品规格：Enhance productivity by using C

13、isco Catalyst 3560-X Series Switches to enable applications such as IP telephony, wireless, and video. These enterprise-class switches provide high availability, scalability, security, energy efficiency, and ease of operation with innovative features such as: IEEE 802.3at Power over Ethernet Plus (P

14、oE+) configurations Optional network modules Redundant power supplies MAC security features Key Features Connectivity options: o 24 and 48 10/100/1000 PoE+ and non-PoE models o PoE+ with 30W power on all ports in 1 rack unit (RU) form factor o Optional four 1 GE SFP (Small Form-Factor Pluggable) or

15、two 10 GE SFP+ uplink network modules High availability due to dual redundant, modular power supplies and fans - 6 - Investment protection: o Enhanced limited lifetime warranty o Enhanced Cisco EnergyWise to measure, report, and reduce energy usage across your organization Security: o MAC security h

16、ardware-based encryption o Multicast routing, IPv6 routing, and access control list in hardware Software versions: o LAN Base: Enterprise Access Layer 2 Switching o IP Base: Enterprise Access Layer 3 Switching, including OSPF (Open Shortest Path First) for routed access o IP Services: Advanced Layer

17、 3 Switching (IPv4 and IPv6) C、接入层交换机：Cisco Catalyst 3750 系列交换机产品规格：Cisco Catalyst 3750 系列包括以下配置： Cisco Catalyst 3750G-24TS24 个以太网 10/100/1000 端口和 4 条小型可插拔(SFP)上行链路 Cisco Catalyst 3750G-24T24 个以太网 10/100/1000 端口 Cisco Catalyst 3750G-12S12 个千兆位以太网 SFP 端口 Cisco Catalyst 3750-48TS48 个以太网 10/100 端口和 4 条

18、 SFP 上行链路 Cisco Catalyst 3750-24TS24 个以太网 10/100 端口和 2 条 SFP 上行链路 Cisco Catalyst 3750-48PS48 个以太网 10/100 端口，带 IEEE 802.3af 和思科预标准以太网电源 (PoE)，4 条 SFP 上行链路 Cisco Catalyst 3750-24PS24 个以太网 10/100 端口，带 IEEE 802.3af 和思科预标准以太网电源 (PoE)，2 条 SFP 上行链路 Cisco Catalyst 3750G-16TD16 个千兆位以太网 10/100/1000 端口和1 条万兆位以

19、太网 XENPAK 上行链路 Cisco Catalyst 3750G-24TS-1U24 个以太网 10/100/1000 端口和 4 条SFP 上行链路，1 机架单元(RU)高 Cisco Catalyst 3750G-24PS24 个以太网 10/100/1000 端口，带 IEEE 802.3af 和思科预标准 PoE，4 条 SFP 上行链路 Cisco Catalyst 3750G-48TS48 个以太网 10/100/1000 端口和 4 条 SFP上行链路 Cisco Catalyst 3750G-48PS48 个以太网 10/100/1000 端口，带 IEEE 802.3a

20、f 和思科预标准 PoE，4 条 SFP 上行链路 - 7 -（2） 路由器的选用：路由器的选用，我们考虑以下几点情况：A、一般在核心层和分发层之间部署；B、在冗余链路上提供等成本负载均衡时，可以快速重路由；C、建立 3 角连接而不是 4 角连接；D、建立路由邻居的链路用于转发流量；E、确保冗余的 3 层路径不存在黑洞；F、分发层根据可进行路由汇总；但现在不建议这么做；G、通过调整 CEF 的 3 层/4 层负载均衡 hash，以获得最大的等成本开销路径的利用率(CEF polarization)。考虑到我们在大学与学院的汇聚层采用的是多层交换机，因此，无需在此层面花费过多的经费去采购三层设备

21、，只需在核心层连接 ISP 运营上的出口配置路由器即可，同样考虑到设备处理转发数据的性能，以及对模块带宽的要求，我们 选用如下设备：Cisco 7200 系列路由器：关键特性： 高性能交换支持高速介质和高密度配置；通过其基于 RISC 和 SRAM配置的系统处理器，Cisco 7200 每秒可以交换 30 万个信息包。 全面的 Cisco IOS 软件支持和高性能网络服务增强高速执行服务质量、安全、压缩和加密等网络服务。 高密度端口提供高密度端口以及广泛的局域网和广域网介质，大大降低了每端口成本，并允许灵活地进行配置。 公用端口适配器利用和 Cisco 7200 通用接口处理器（VIP）相同的

22、端口适配器，简化了备件存储，并提供接口投资保护。 （3） 防火墙的选用：Cisco ASA 5500 系列自适应安全设备：防火墙版：使企业能够安全、可靠地部署关键业务应用和网络。独特的模块化设计能够提供卓越的投资保护，降低运作成本。IPS 版：通过一组防火墙、应用安全性和入侵防御服务，防止关键业务服务器和基础设施遭受蠕虫、黑客及其它威胁的袭击。Anti-X 版：利用全面的安全服务套件，为小型站点或远程站点的用户提供保护。企业级防火墙和 VPN 服务提供到公司网络的安全连接。来自 Trend Micro 的业内领先的 Anti-X 服务能够防止客户端系统遭受恶意 Web 站点以及病毒、间谍软件和

23、诱骗等基于内容的威胁侵袭。SSL/IPsec VPN 版：使远程用户能够安全地访问内部网络系统和服务，为大型企业部署支持 VPN 集群。安全套接字层（SSL）和 IP Security（IPsec）VPN 远程接入技术将 Cisco Secure Desktop 等威胁迁- 8 -移技术与防火墙和入侵防御服务有机地结合在一起，保证 VPN 流量不会给企业带来威胁。最高防火墙吞吐量（ Mbps ） 150最高 3DES/AES VPN 吞吐量（ Mbps ） 100最高连接数 10,000/25,000集成式端口 8 端口 10/100 交换机，带 2 个以太网供电端口SSC/SSM 扩展插槽

24、是（ SSC ）应用层安全性 是L2 透明防火墙 是（4） 无线设备：Cisco 5500 系列无线控制器Cisco 5500 系列无线控制器实现无线配置和管理功能的自动化，为网络管理员提供更强的可视性和更大的控制能力，让管理员更有成本效益地管理无线网络和保障无线网络安全。 本控制器作为思科一体化无线网络 (Cisco Unified Wireless Network) 的一个组件，提供 Cisco Aironet 无线接入点、Cisco 无线控制系统 （Wireless Control System，WCS）与 Cisco 移动服务引擎 (Mobility Services Engine)

25、之间的实时通信。 同时还提供集中化安全策略、无线入侵防御系统 (IPS) 能力、获奖的 RF 管理，以及高质量服务 (QoS)。为下一代无线网络而优化，5500 系列无线控制器： 提供改善的移动性； 让企业做好使用最新移动设备和应用程序的准备； 比其他无线局域网控制器支持更高密度的用户； 提供更高效的漫游服务，吞吐量至少是现有 802.11a/g 网络的九倍。（5） 线缆：根据以上对于设备占用带宽的分析，以及考虑成本和维护的费用以及方便程度，我们将在核心层、汇聚层采用“以太网光纤”，接入层采用“7 类双绞线”，这样不仅能够保证网络的稳定性和冗余，而且能为以后的升级、维护提供方便。线材选用：华为

26、 1000BASE-LX（SFP）技术规格：模块类型 传输距离 传输介质 传输波长 接口类型 传输速率 工作电压SFP 10 公里 单模光纤 1310 纳米 双 LC 接口 1.25Gb/s 3.3 伏- 9 -（6） 服务器：核心服务器：IBM System x3850 X5(7145N12)基本参数产品类型 企业级产品类别 机架式产品结构 4U处理器CPU 类型 Intel 至强 7500CPU 型号 Xeon X7560CPU 频率 2.266GHz智能加速主频 2.666GHz标配 CPU 数量 4 颗最大 CPU 数量 4 颗制程工艺 45nm三级缓存 24MB总线规格 QPI 6.

27、4GT/sCPU 核心 八核CPU 线程数 16 线程主板扩展槽 7半长 PCI-Express（2 个热插拔）内存内存类型 DDR3内存容量 32GB内存描述 84GB 1066MHz DDR3 内存最大内存容量 1TB存储硬盘接口类型 SAS标配硬盘容量 584GB硬盘描述 4 块 146GB SAS 硬盘热插拔盘位 支持热插拔RAID 模式 RAID 0，1，5光驱 DVD- 10 -网络网络控制器 两个千兆以太网卡管理及其他系统管理Alert on LAN 2，服务器自动重启，IBM Systems Director，IBM ServerGuide，集成管理模块（IMM），光通路诊断（

28、单独供电），适用于硬盘驱动器/处理器/VRM/风扇/内存的 Predictive Failure Analysis，Wake on LAN，动态系统分析，QPI Faildown，单点故障转移系统支持Microsoft Windows Server 2008（Standard，Enterprise 和 Data Center Edition，32 位和 64 位）32 位和 64 位 Red Hat Enterprise LinuxSUSE Enterprise Linux（Server 和 Advanced Server）VMware ESX Server/ESXi 4.0电源性能电源类型

29、冗余电源电源数量 2 个电源电压 220V电源功率 1975W汇聚层服务器：IBM System x3650 M3(7945I75)基本参数产品类别 机架式产品结构 2U处理器CPU 类型 Intel 至强 5600CPU 型号 Xeon X5670CPU 频率 2.93GHz智能加速主频 3.333GHz标配 CPU 数量 1 颗最大 CPU 数量 2 颗制程工艺 32nm三级缓存 12MB总线规格 QPI 6.4GT/sCPU 核心 六核- 11 -CPU 线程数 12 线程主板扩展槽 4PCI-Express（二代插槽）内存内存类型 DDR3内存容量 8GB内存描述 24GB 1.5V

30、DDR3 RDIMM 内存内存插槽数量 18最大内存容量 192GB存储硬盘接口类型 SATA/SAS/SSD标配硬盘容量 标配不提供最大硬盘容量 8TB内部硬盘架数 最大支持 16 块 2.5 英寸热插拔 SAS/SATA 硬盘热插拔盘位 支持热插拔RAID 模式 RAID 5网络网络控制器 集成双端口千兆网卡管理及其他系统管理IBM IMM，Virtual Media Key 用于可选的远程呈现支持，预测故障分析，诊断 LED，光通路诊断，服务器自动重启，IBM Systems Director 和 IBM Systems Director Active Energy Manager，IB

31、M ServerGuide系统支持Microsoft Windows Server 2008 R2 和 2008Red Hat Enterprise LinuxSUSE Linux Enterprise ServerVMware ESXi 4.0 嵌入式虚拟化管理程序电源性能电源类型 热插拔电源电源数量 1 个电源功率 675W三，设计方案- 12 -（1）核心层：由于考虑到核心层的性能，可靠性，安全等问题，我对于拓扑图有以下两种设计，第一种没有在核心层中另外加入核心交换机，而第二种加入了“核心中的核心”，以下是两种方案的对比：园区网拓扑图：A、没有核心层的情况：全互连的分发层物理连线很多路由

32、的复杂度增加图 1.1.1B、专门的核心层交换机：易于增加模块核心层链路较少易于升级带宽- 13 -路由协议对等体数量少等开销的 3 层链路图 1.1.2园区网示例图：- 14 -图 1.1.3该大学的校园网分为公网部分和专用部分。通过防火墙，连接了该大学放置各种应用服务器的非军事区部分，并通过路由器与 CERNET 相连。该三层校园网结构中的核心层位于公网部分。如图所示，四个园区的核心多层交换机分别连接到大学主干交换机上，并且各个学院之间也通过万兆光纤互联，构成冗余的网络拓扑结构，保证了网络的高可用性。设计中的多层交换机采用 Cisco 公司的万兆交换机 cisco6500 系列交换机，防火

33、墙使用的是 Cisco 的 IOS Firewall，为了增加核心层的可靠性，采用租用电信公司的光纤裸芯，用万兆速率将 4 个园区的 8 台万兆交换机与核心的两台交换机连成环。（2）汇聚层：图 2.1.1- 15 -图 2.1.2图 2.1.3- 16 -各园区可以基本保持原有的二层网络结构，并且在自己园区网中使用专用IP 地址块。园区网要考虑将汇聚层主干兆交换机与大学万兆交换机通过防火墙相连的问题，注意到有些万兆交换机可能具有内置的防火墙。同时，他们在内部防火墙处设置自己的非军事区，放置学院网络应用服务器。园区中的各个服务器，教学楼，办公楼，宿舍楼等的交换机，还有包括像cisco IP 电话

34、，无线路由器等，都连接到网管中心的主服务器上，然后再向下划分各个楼层的交换机。如图例所示，是理工学院与大学万兆核心层主干网的连接。其中理工学院园区网的主干网由 IBM 的主服务器与 cisco 公司的 VN6500 交换机连接的千兆光纤构成，以百兆以太网作为接入网与用户 PC，IP 电话等相连。各二级学院的校中具有的 PC 数量为 1500 台，我们可以根据不同部门，不同楼宇位置划分为若干子网，然后划分 vlan，以隔离广播流量，提高网络工作效率，同时，像各个学院办公室，实验室，网管中心，或者宿舍楼等，可以把这些 vlan 子网通过 VPN 与其他学院，大学独立的组成自己的虚拟局域网。网络管理

35、协议援用 SNMP 技术。（3）接入层：图 3.1.1- 17 -设备连接应用的客户端桌面设备，即可以采用固定配置的工作组级交换机，并且有千兆以太网上行端口，设备应该具有可管理性。同时在设备投资上考虑性能/价格比因素，目前在设计接入网络方案时，普遍采用支持 SNMP 和 RMON 等网管协议的交换机设备，具有支持基于 web 网络管理功能的设备，简化管理工作的复杂性，支持冗余链路功能，提高网络方案的可靠性。可以灵活划分vlan，支持 IEEE802.1p 协议，提高网络的控制能力。（4）参考图例：图 4.1.1三，技术实施：（1） 路由选择：根据校园网 4 个园区终端数量，以及网络环境和需求，

36、比较各个路由协议（RIP V1，RIP V2，OSPF，BGP，EIGRP 等），最终选用 OSPF 路由协议，作为校园网路由选择最终协议。OSPF 全称为开放最短路径优先。“开放”表明它是一个公开的协议，由标准协议组织制定，各厂商都可以得到协议的细节。“最短路径优先”是该协议在进行路由计算时执行的算法。OSPF 是目前内部网关协议中使用最为广泛、性能最优的一个协议，它具有以下特点： - 18 -A、 可适应大规模的网络； B、路由变化收敛速度快； C、无路由自环； D、支持变长子网掩码(VLSM)； E、支持等值路由； F、支持区域划分； G、提供路由分级管理； H、支持验证； I、支持以组

37、播地址发送协议报文。基本配置：A、一般在核心层和分发层之间部署；B、在冗余链路上提供等成本负载均衡时，可以快速重路由；C、建立 3 角连接而不是 4 角连接；D、建立路由邻居的链路用于转发流量；E、确保冗余的 3 层路径不存在黑洞；F、分发层根据可进行路由汇总；但现在不建议这么做；G、通过调整 CEF 的 3 层/4 层负载均衡 hash，以获得最大的等成本开销路径的利用率(CEF polarization)。- 19 -图 5.1.1（2）交换网转路由网：1，首先要合理的分配 IP 地址，做好 IP 地址的规划，本案例需求中已经做了规定：凡是互联地址均使用/24 子网掩码，并且在 202.1

38、13.137.0/24 地址段范围内。2，根据本案例需求，我们先要将 vlan301 和 vlan302 的网关下移的过程中会出现少量的丢包，属于正常现象。3，对于链路和交换机来说，需要逐条逐个进行。要尽最大努力减少丢包。具体方法为我们可先起 OSPF，并且宣告相应的网段，最后在进行接口配置。每条路由链路建立好后都要进行核查。看 OSPF 邻居关系有无正常建立。4，为了有效利用 SW1 和 SW2 之间的 Port-channel1 链路。我们可以在Port-channel 上面配置 IP 地址。然后通过 OSPF 进行宣告。这样配置后 SW1 和SW2 就可以形成正常的邻居关系。- 20 -

39、vlan 配置（交换机功能的实现）：随着学校自身的发展及规模的扩大，作为园区网的典型，校园网正逐渐地由中小型向大中型发展和过渡，这样就决定了它的组网在技术上的多样性与复杂性，其不仅要考虑物理上各网段的连接，还要考虑建立在各种网络协议上子网的互联。另外，随着校园网内的计算机数量的增加，VOD 视频点播在多媒体课堂教学上的大量应用，网络中广播包的数量也会急剧增加，当广播包的数量占到总量的 30时，网络的传输效率将会明显下降。特别是当某网络设备出现故障后，会不停地向网络发送广播，从而导致网络风暴，使网络通信陷于瘫痪。当校园网络内计算机数超过 200 台后，就必须采取措施将网络分隔开来，将一个大的广播

40、域划分成若干个小的广播域。最后是校园网的安全性问题，特别是蠕虫病毒大规模的爆发，会使整个校园网处于严重负荷状态，导致整个网络不可用，严重影响校园网的性能。此外，大学生在校园网中存在两种攻击行为：无意识的和有意的。他们的好奇心比较强，也有一定的理论知识，喜欢在网上尝试一些攻击软件的使用，很可能造成整个校园网的瘫痪。配置策略：图 6.1.1如图所示做出如下配置：（一）交换机基本配置：- 21 -1，Trunk：打开所有交换机直接连接的接口，使用 802.1Q 标准互联，注意不需要启用连接虚拟交换机的 Fa1/15。2，FEC：SW1、SW2 的 Fa1/1，Fa1/2 端口做 Ethernet C

41、hannel 捆绑，保持 2 端配置一致。3，VTP：所有的交换机均在一个 VTP 域内，域名为 LGXY，并设置密码为“ligongxueyuan”。SW1、SW2 为 Server 模式，其它交换机均为 Client 模式。4，VLAN：在 SW1 建立 VLAN 10100，VLAN 301400。确保所有交换机可以同步这些 VLAN 信息。（二）生成树配置：1，实现生成树负载均衡，服务器网段使用 VLAN 1020，通过配置确保访问VLAN 1015 通过 SW1，而访问 VLAN1620 通过 SW2。2，例如：桌面终端（PC1、PC2）使用 VLAN 301302，通过配置确保 S

42、W1 为这些 VLAN 的根网桥。同时为防止旧的交换加入网络时引起生成树计算，需使SW1 成为 VLAN 1 的根网桥。（三）多层交换的具体配置：1 在所有交换机上面进行基本配置2，所有交换机之间配置 truck 链路3，将 SW1 及 SW2 的 f1/1 和 f1/2 捆绑为 Port-channel 链路4，在每个交换机上配置 VTP5，在 SERVER 交换机上建立相应的 VLAN7，在所有交换机上面配置管理 VLAN 3106，给相应的 VLAN 配置 SVI 接口并配置 hsrp8，根据需求在相应的交换机上面进行生成树配置以提高链路的利用率9，对 HSRP 进行优化10，开启 SW

43、7、SW8 的 Fa1/15 端口，分别加入到 VLAN 301、VLAN 30211，对 STP 进行优化12，交换网转路由网（3） 子网，IP 地址划分：由于学校从 CERNET 申请到的 IP 网段是202.113.128.0/24202.113.137.0/24，通过计算，最多可以让 10x（256-2）的终端同时上网，但是每个学院有 1500 台计算机，4 个园区总共为 6000 台，因此 IP 地址数量远远不能满足计算机数量。为了解决这个问题我们采用地址转换协议中的 PAT 动态转换协议，由路由器动态分配不同的端口号，是多台计算机使用公网的 IP 地址，实现内部网络使用私有地址，经

44、过转换可以通过公有地- 22 -址访问 Internet。但是缺点是，如果转换为同一 IP 地址的计算机过多，或者使用相同的应用程序，会出现丢主机掉线的情况，因此 10 个/24 的网段对于大学校园网是远远不够用的。一共有 10 个/24 的网段，我们给每一个学院分配一个网段，例如 1 号学院分配 202.113.128.0/24 网段，另外给大学分配一个网段 202.113.128.134/24网段，剩下的 202.113.128.135/24 网段作为 vlan 的管理网段，202.113.128.136/24 网段作为多层交换的互联地址，最后 202.113.128.137/24网段用于

45、保留，用于以后的设备扩容等。（4） 网络安全：(一),计算机网络安全方案设计与实现概述 影响网络安全的因素很多，保护网络安全的技术、手段也很多。一般来说，保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术，等等。为了保护网络系统的安全，必须结合网络的具体需求，将多种安全措施进行整合，建立一个完整的、立体的、多层次的网络安全防御体系，这样一个全面的网络安全解决方案，可以防止安全风险的各个方面的问题。 (二)，计算机网络安全方案设计并实现1，桌面安全系统：用户的重要信息都是以文件的形式存储在磁盘上，使用户可以方便地存取、修改、分发。这样可以提高办公的

46、效率，但同时也造成用户的信息易受到攻击，造成泄密。特别是对于移动办公的情况更是如此。因此，需要对移动用户的文件及文件夹进行本地安全管理，防止文件泄密等安全隐患。2，病毒防护系统 ：基于校园目前网络的现状，在网络中添加一台服务器，用于安装 IMSS。（1)邮件防毒。（2)服务器防毒。（3)客户端防毒。（4)集中控管 TVCS。- 23 -3，动态口令身份认证系统：动态口令系统在国际公开的密码算法基础上，结合生成动态口令的特点，加以精心修改，通过十次以上的非线性迭代运算，完成时间参数与密钥充分的混合扩散。在此基础上，采用先进的身份认证及加解密流程、先进的密钥管理方式，从整体上保证了系统的安全性。4

47、，访问控制“防火墙”：校园安全网由多个具有不同安全信任度的网络部分构成，在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷，从而构成了对网络安全的重要隐患。本设计方案选用四台网御防火墙，分别配置在高性能服务器和几个重要部门的局域网出入口，实现这些重要部门的访问控制。 通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙，通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段，彼此隔离。这样不仅保护了单位网络服务器，使其不受来自内部的攻击，也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。如果有人闯进您的一个部门，或者如果病毒开始蔓延，网段能够限制造成的损坏进一步扩大。 （5） 其他服务：无线网接入：在每个学院设置无线 AP 发射器，并且给每名同学分配不同的身份标识和密码，这样不会造成资源浪费，同时也可以方便同学们随时随地上网，不受到网线和电子图书馆的束缚。总结：按照需求分析，以及考虑到实际情况，包括经费，稳定性，设备、线路冗余等方面，我做出上述工程。在园区网之间使用多层交换机，减少开销，方便规划 vlan，屏蔽二层广播信息。为了方便学生们上网，我们在园区中也覆盖了无线网络。