1、摘 要计算机网络是一种地理上分散的,具有独立功能的计算机通 过通信设备和线路连接起来,在配有相应的网络软件的情况下使各个计算机系统能相互自由通信,实现资源共享的系统。计算机网络如按网络的组建规模和延伸范围来划分的话,可分为局域网(Local Area Network,LAN)、城域网(Metropolitan Area Network,MAN)、广域网(Wide Area Network,WAN)。我们经常用到的因特网(Internet)属于广域网,校园网属局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展。而校园网是各种类型网络中一大分支,有着非常广泛的应用。校园网络
2、的建设是学校向信息化发展的必然选择,校园网网络系统是一个非常庞大而复杂的系统,它不仅为现代化教学、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能提供多种应用服务,使信息能及时、准确地传送给各个系统。而校园网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的,因此本主要以校园局域网络建设过程可能用到的各种技术及实施方案为设计方向,为校园网的建设进行理论依据探索。关键词:局域网 Internet 计算机网络 网络协议 校园网络目 录摘 要 1引 言 41 局域网概述 51.1 局域网介绍 .51.2 局域网网络类型 .51.3 局域网的工作模式 .61.4 局域网拓扑类
3、型 .72 校园网的建设规划 .82.1 校园网的概述 .82.2 校园网的建设原则 .82.3 网络设备及服务器选取 .92.3.1 结构化布线 92.3.2 网络设备选型 102.3.3 服务器 142.3.4 Internet 接入技术 .152.3.5 网络操作系统 153 系统详细设计 .163.1 系统组成与拓扑结构 .163.2 VLAN 及 IP 地址规划 163.3 交换模块设计 .173.4 访问层交换服务的实现配置访问层交换机 .173.4.1 配置访问层交换机 XingZhengLou 的基本参数 173.4.2 设置交换机的加密使能口令 173.4.3 设置登录虚拟终
4、端线时的口令 183.4.4 设置终端线超时时间 183.4.5 设置禁用 IP 地址解析特性 183.5 配置访问层交换机 XingZhengLou 的管理 IP、默认网关 183.6 配置访问层交换机 XingZhengLou 的 VLAN 及 VTP193.7 配置访问层交换机 XingZhengLou 端口基本参数 .193.7.1 端口双工配置 193.7.2 端口速度 193.8 配置访问层交换机 XingZhengLou 的访问端口 .203.8.1 访问层交换机 XingZhengLou 为终端用户提供接入服务。 .203.8.2 设置快速端口 203.9 配置访问层交换机 X
5、ingZhengLou 的主干道端口 .203.10 配置其它访问层交换机 214 分布层交换服务的实现配置分布层交换机 214.1 配置分布层交换机 DistributeSwitch1 的基本参数 .214.2 配置分布层交换机 DistributeSwitch1 的 VTP224.2.1 配置 VTP 管理域 224.2.2 设置 VTP 服务器 224.3 在分布层交换机 DistributeSwitch1 上定义 VLAN224.4 配置分布层交换机 DistributeSwitch1 的端口基本参数 .234.5 配置分布层交换机 DistributeSwitch1 的 3 层交换功
6、能 .244.6 配置分布层交换机 DistributeSwitch2245 核心层交换服务的实现配置核心层交换机 265.1 配置核心层交换机 CoreSwitch 的基本参数 .265.2 配置核心层交换机 CoreSwitch 的管理 IP、默认网关 265.3 配置核心层交换机 CoreSwitch 的的 VLAN 及 VTP265.4 配置核心层交换机 CoreSwitch 的端口参数 .275.5 配置核心层交换机 CoreSwitch 的路由功能 .276 广域网接入模块设计 286.1 配置接入路由器 InternetRouter 的基本参数 .286.2 配置接入路由器 In
7、ternetRouter 的各接口参数 .286.3 配置接入路由器 InternetRouter 的路由功能 .296.4 配置接入路由器 InternetRouter 上的 NAT296.5 配置接入路由器 InternetRouter 上的 ACL307 服务器模块设计 318 测试 328.1 系统测试 .328.2 相关测试、诊断命令 .32总 结 34致 谢 35参考文献 36引 言当今世界,各种先进的科学技术飞速发展,给人们的生活带来了深远的影响,它极大的改善我们的生活方式。在以计算机技术为代表的信息科技的发展更是日新月异,从各个方面影响和改变着我们的生活,而其中的计算机网络技术
8、的发展更为迅速,已经渗透到了我们生活的各个方面,人们已经离不开计算机网络,并且随着因特网的迅速普及,给我们的学习与生活条件带来更大的方便,我们与外部世界的联系将更加的紧密和快速。1969 年 12 月, Internet 的前身-美国的 ARPA 网投入运行,它标志着我们常称的计算机网络的兴起。八十年代初,随着 PC 个人微机应用的推广,PC联网的需求也随之增大,各种基于 PC 互联的微机局域网纷纷出台。计算机网络系统是非常复杂的系统,计算机之间相互通信涉及到许多复杂的技术问题,为实现计算机网络通信,计算机网络采用的是分层解决网络技术问题的方法。但是,由于存在不同的分层网络系统体系结构,它们的
9、产品之间很难实现互联。为此,国际标准化组织 ISO 在 1984 年正式颁布了“开放系统互连基本参考模型“OSI 国际标准,使计算机网络体系结构实现了标准化。进入九十年代,计算机技术、通信技术以及建立在计算机和网络技术基础上的计算机网络技术得到了迅猛的发展。随着人们对于信息资源共享以及信息交流的迫切需求,促使网络技术的产生和快速发展,计算机网络的产生和使用为人类信息文明的发展带来了革命性的变化。自 1995 年中国教育教研网(CERNET)建成后,校园网的建设已经进入到一个蓬勃发展的阶段。校园网的建成和使用,对于提高教学和科研的质量、改善教学和科研条件、加快学校的信息化进程,开展多媒体教学与研
10、究以及使教学多出人才、科研多出成果有着十分重要而深远的意义。其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、Intranet/Internet 的应用、网络安全,网络系统的维护等内容。1 局域网概述1.1 局域网介绍局域网是同一建筑、同一校园、方圆几公里远的地域内的专用网络。局域网通常用来连接公司办公室或企业内部的个人计算机和工作站,以共享软、硬件资源。美国电气和电子工程师协会(IEEE)局域网标准委员会员会曾提出局域网的一些具体特征:(1) 局域网在通信距离有一定的限制,一般在 12Km 的地域范围内。比如在一个办公楼内、一个学校等。(2) 较高传输率的物理通信信道也是
11、局域网的一个主要特征,在广域网中用电话线连接的计算机一般也只有 2040Kpbs 的速率。(3) 因为连接线路都比较短,中间几乎不会爱任何干扰,所以局域网还具有始终一致的低误码率。(4) 局域网一般是一个单位或部门专用的,所以管理起很方便。(5) 另外局域网的拓扑结构比较简单,所支持连接的计算机数量也是有限的。组网时也就相对很容易连接。1.2 局域网网络类型保护现有投资的有效途径就是在将来网络技术升级时还能使用现有的网络技术和产品。如同计算机的发展速度一样,网络技术的发展也是非常迅速的。如果现有技术不能合理保证在将来网络升级后还能够使用,那么将会带来极大的资金浪费。目前比较常见的主干网技术有
12、FDDI、ATM、快速以太网和千兆以太网等。其中具有交换功能的快速以太网,支持 VLAN,并容易升级到千兆以太网和 ATM,由于性能优越,价格适中,建议采用快速以太网作为校园网的主干技术。快速以太网(fast Ethernet)是一个 IEEE 局域网标准,于 1995 年由原来制定标准的 IEEE802.3 工作组完成,快速以太网和传统以太网采用同样的介质访问协议(CSMA/CD) 。传统以太网用的是 10Mb/s 技术, 而快速以太网用的是100Mb/s 技术。100Mb/s 的网卡只比 10Mb/s 的网卡略贵一点,但为将来的网络升级提供了很大的灵活性。大多数 100Mb/s 的网卡能够
13、自动检测所连接的端口是 10Mb/s 还是 100Mb/s,并执行相应的操作。快速以太网实际上是 10M 以太网的 100M 版本,所以它的运行速度要比 10M以太网快。在用户已经很熟悉传统以太网的情况下,快速以太网相对其他高速网络技术更容易被掌握和接受,它可以应用在共享式和主干环境下,提供高带宽网络连接,提供优质的服务质量(QOS) 。根据需求,建设联接信息中心、多媒体教室、办公楼、住宿楼及综合办公楼等建筑物。其中各部分构成相对独立的子网,通过交换机接入桌面 PC。1.3 局域网的工作模式1专用服务器结构:(Server-Baseb) 又称为“工作站/文件服务器”结构,由若干台微机工作站与一
14、台或多台文件服务器通过通信线路连接起来组成工作站存取服务器文件,共享存储设备。文件服务器自然以共享磁盘文件为主要目的。对于一般的数据传递来说已经够用了,但是当数据库系统和其它复杂而被不断增加的用户使用的应用系统到来的时候,服务器已经不能承担这样的任务了,因为随着用户的增多,为每个用户服务的程序也增多,每个程序都是独立运行的大文件,给用户感觉极慢,因此产生了客户机/服务器模式。2客户机/服务器模式:(client/server) 其中一台或几台较大的计算机集中进行共享数据库的管理和存取,称为服务器,而将其它的应用处理工作分散到网络中其它微机上去做,构成分布式的处理系统,服务器控制管理数据的能力己
15、由文件管理方式上升为数据库管理方式,因此,C/S 由的服务器也称为数据库服务器,注重于数据定义及存取安全后备及还原,并发控制及事务管理,执行诸如选择检索和索引排序等数据库管理功能,它有足够的能力做到把通过其处理后用户所需的那一部分数据而不是整个文件通过网络传送到客户机去,减轻了网络的传输负荷。C/S 结构是数据库技术的发展和普遍应用与局域网技术发展相结合的结果。 3对等式网络:(Peer-to-Peer)在拓扑结构上与专用 Server 与 C/S 相同,在对等式网络结构中,没有专用服务器。每一个工作站既可以起客户机作用也可以起服务器作用。 虽然目前的网卡、HUB 和交换机都能提供 100M
16、甚至更宽的带宽,但一个局域网如果配置不当,尽管配置的设备都非常高档而网络速度仍不能如意;或者经常出现死机、打不开一个小文件或根本无法连通服务器,特别是在一些设备档次参差不齐的网络中这些现象更是时有发生。在局域网中恰当地进行配置,才能使网络性能尽可能地进行优化,最大限度地发挥网络设备、系统的性能。其实局域网也是由一些设备和系统软件通过一种连接方式组成的,所以局域网的优化包括以下几个方面:设备优化:包括传输介质的优化、服务器的优化、HUB 与交换机的优化等。软件系统的优化:包括服务器软件的优化和工作站系统的优化。布局的优化:包括布线和网络流量的控制。1.4 局域网拓扑类型拓扑结构是在逻辑上对网络的
17、一个描述,它反映了整个网络的结构。在网络结构上,目前的网络结构主要有以下几种:(1)星形拓扑:星形拓扑是由中央节点和通过点到点链路到中央节点的各站点组成。(2)总线拓扑:总线拓扑结构采用单根传输作为传输介质,所有的站点都通过相应的硬件接口直接连接到传输介质上,或称总线上。(3)环形拓扑:由一些中继器和连接中继器的点到点链路组成一个闭合环。每个中继器都和两条链路相连。(4)树形拓扑:树形拓扑是从总线拓扑演变过来的,形状像一棵倒置的树,顶端有一个分支的根,每个分支还可以延伸出子分支。它主要有易于扩展和故障隔离等优点。(5)混合拓扑:它是将星形拓扑和环形拓扑混合起来的一种拓扑,试图取这两种拓扑的优点
18、于一个系统。在选择拓扑结构时,应该考虑的主要因素有以下几点:费用低:安装费用的高低和拓扑结构的选择以及传输介质选择、传输距离的确定有关。灵活性:要考虑到在设备搬动时很容易重新配置网络拓扑,还有考虑原有节点的删除和新节点的加入。可靠性:拓扑的选择要使故障的检测和故障隔离较为方便。综上所述,综合选择多种结构,选择星形和树形相结合的拓扑结构,网络拓扑结构图类型如图 1-1:图 1-1 局域网网络拓扑类型2 校园网的建设规划2.1 校园网的概述校园网是指利用网络设备、通信介质和适宜的组网技术与协议及各类网络系统管理软件和应用软件,将校园网内计算机和各种终端有机地集成在一起,并用于教学、科研、学校管理、
19、信息资源共享和远程教学等方面工作的计算机局域网络系统。校园网的概念最初是以硬件集成为主,校园网只是一个硬件平台。到了第二阶段,有提出了以教学应用软件集成为主的“软件建网”的校园网概念,这也是当今大多数校园网所采用的模式。校园网由硬件、软件这两部分共同组成,其中,硬件是基础,是校园网的载体,没有硬件的支持,根本无法谈及校园网;软件是应用,是建设校园网的根本需求的体现。就像普通的 PC 一样,建立在硬件上面的系统软件、应用软件让我们有了利用计算机的可能。校园网是为学校教师、学生提供教学、科研和综合信息服务的宽带多媒体网络。校园网应为学校教学、科研提供先进的信息化教学环境,这就要求校园网是一个宽带、
20、局域交互功能和专业很强的局域网络。多媒体教学、网络教学、教师电子备课、办公等等都需要通过网络运行工作。2.2 校园网的建设原则总体设计是校园网建设的总体思路和工程蓝图,是搞好校园网建设的核心任务。进行校园网总体设计,首先,进行对象研究和需求调查,弄清学校的性质、任务和改革发展的特点,对学校的信息化环境进行准确的描述,明确系统建设的需求和条件;其次,在应用需求分析的基础上,确定学校 Intranet 服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三,确定网络拓朴结构和功能,根据应用需求、建设目标和学校主要建筑分布特点,进行系统分析和设计;第四,确定技
21、术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;第五,规划安排校园网建设的实施步骤。作为校园网,需要连接多少个节点,怎样利用网络设备使得分布在不同地理位置的节点连接到一个统一的网络中来,怎样使得整个网络中的节点相互连通,这些问题仅仅是校园网需要解决问题中的一部分。从某种意义上讲,校园网的建设绝不仅仅只是涉及到技术问题,而是会引深到更深的层次,也就是说信息技术所带来的一场革命会彻底改变我们的生活方式和工作方式。首先,校园网的建设是一个为学校教育教学活动长期服务的工作,因此在校园网的规划建设过程中,必须从学校长远发展规划出发,以服务于教育为基本点,结合学校当前教育教
22、学的实际需要,做出科学的规划部署。在校园网的规划建设中,一般学校应遵循“统一规划、整体设计、分步实施”的原则。其次在校园网的建设中必须坚持硬件建设与组织管理协调发展的原则,在重视硬件建设的同时,加强网络的组织管理水平,不断开发网络的功能,从而充分发挥校园网络的功效,提高校园网对学校教育的服务水平。因此在设计中必须遵循以下原则:(1)软硬件的可行性。系统软硬件配置必须考虑各种约束条件,主要是性能需求、当前技术水平和改造资金多少,兼顾现实性和技术领先性。(2)系统开放原则。系统应具有良好的开放性,或称职兼容性和扩展性,以适应技术的不断发展和不增强的应用需求,因此,应尽量采用工业标准或事实上的工业标
23、准技术。在系统设计时,要考虑系统的生命周期,一般要按超前35 年考虑。(3)整体最优原则。在进行系统设计和配置时,常遇到很多矛盾,需根据有限合理性原则,进行综合考虑和评价,折中选择。应考虑的因素有:先进性、可靠性、安全性、经济性。(4)开放性、先进性原则。系统的传输速率至少目前要够用,最好要有一定的余量,以适应应用的不断增长困采用公认的行业标准,以增强适应性,避免淘汰。要留有足够的扩展扩充的余地,以便对系统进行扩充和改进。网络可先择 Microsoft 的产品,以 Web 为中心,以 Intranet 技术为基础,采用TCP/IP 和 HTTP 为传输协议,客户通过浏览器访问 Web 及 We
24、b 相连的数据库。2.3 网络设备及服务器选取2.3.1 结构化布线综合布线系统是建筑物或建筑群内的传输网络,它既能使话音和数据通信设备、交换设备和其他信息管理系统彼此连接,也能使这些设备与外部通信网络相互连接,包括建筑物到外部网络或电话局线路上的连线点,与工作区的话音或数据终端之间的所有电缆,以及相关联的布线部件。一个良好的综合布线系统对其服务的设备有一定的独立性,并能互连许多不同的通信设备如数据终端、模拟式或数字式电话、PC 和主机以及公共系统装置。一般布线系统有六个子系统组成:建筑群间子系统,设备间子系统,管理区子系统,垂直(主干)子系统,水平子系统,工作区子系统。校园网为园区网,楼群间
25、子系统采用光缆连接,可提供千兆位的带宽,有充分的扩展余地。垂直子系统则位于高层建筑物的竖井内,可采用多模光缆或大对数双绞线。把管理区子系统并入设备间子系统,集中管理。对于多幢楼宇,可采用多设备间的方法。分为中心设备间和楼栋设备间部分,中心设备间是整个局域网的控制中心,内设有对外(Internet)对内通信的各种网络设备(交换机、路由器) ,中心交换机通过光缆(地下直埋)与楼栋设备间的交换设备相连,以保证数据的高速传输。在此设备间放置布线的线架和网络设备,端接楼内来自在各层的主干线缆,并端接连接网络中心的光纤。校园网和 Internet 的连接技术就显得十分重要了,它关系到校园网与外部网络能能否
26、进行可靠的连接。用户计算机接入 Internet 主要有两种方式,通过局域网或通过电话线网。不过,我们一般采取局域网接入方式。但不管使用哪种接入方式,首先都要连接到 ISP 的主机。从用户角度看,ISP 位于 Internet的边缘,用户通过某种通信线路连接到 ISP,再通过 ISP 的连接通道接入Internet。通过局域网接入 Internet 是指用户局域网使用路由器,通过数据通信网与 ISP 相连接,再通过 ISP 的连接通道接入 Internet。选择哪种数据通信网络与租用多大的带宽,通常取决于用户的信息流量与能够承担的费用等多种因素。2.3.2 网络设备选型(1)网卡(简称 NIC
27、) ,也网络适配卡或网络接口卡,网卡作为计算机与网络连接的接口,是不可缺少的网络设备之一。无论是双绞线网络、同轴电缆网络还是光缆网络,都必须借助于相应类型的网卡才能实现与计算机的连接,是计算机与局域网相互连接的惟一接口。每块网卡上都有一个世界惟一的 ID 号,也就是 MAC(Media Access Control)地址,计算机在连入网络之后,就是依靠这个 ID 号才能实现在不同计算机之间的通信和信息交换。网卡有很多种,不同类型的网络需要使用不同种类的网卡,不同速度的网络需求也要使用不同的网卡。如根据带宽来分的话,有 10Mbit/s 网卡、10/100Mit/s 自适应网卡和1000Mbit
28、/s 网卡;如按总线分,有 ISA 总线、PCI 总线、PCMCIA 总线网卡等。从目前校园网建设的实际情况来看,工作站网卡选择 PCI 总线的10M/100Mbit/s 自适应网卡最适合。(2)交换机,也称交换式集线器,是专门设计的,使各计算机能够相互高速通信的独享带宽的网络设备。作为高性能的集线设备,随着价格的不断降低,交换机已逐步取代了集线器而成为集线设备的首选。由交换机构建的交换式网络系统不仅拥有高速的传输速率,而且交换延时很小,使得信息的传输效率大大提高,适合于大数据量并且使用非常频繁的网络通信,被广泛应用于各种类型的多媒体和数据传输网络。交换机具有很强的网络管理功能,它能自动根据网
29、络通信的使用情况来动态管理网络,因为交换机采用了独享网络带宽的设计。(3)路由器除了有连接不同的网络物理分支和不同的通信媒介、过滤和隔离网络数据流及建立路由表,还有控制和管理复杂的路径、控制流量、分组分段、防止网络风暴及在网络分支之间提供安全屏障层等到功能。根据路由设备的组成可以分为软路由和硬路由。根据路由表的设置方式可以将路由器分为静态的和动态的。路由器工作在网络层,因此它可以在网络层交换和路由数据帧,访问的是对方的网络地址。当数据帧到达路由器后,路由器查看数据帧的目标地址,并在路由表查看到达目标地址的路径,根据路径的代价,选择一条最佳的路径,然后把数据帧沿这条路径发送给目标地址。网络主干设
30、备的系统结构直接决定了设备的性能和功能水平。因此,深入了解设备的系统结构设计,客观认知设备的性能和功能,这对正确选择设备极有帮助。在此次设计中,为了更好的完成所有功能,全部采用了 Cisco 的交换机和路由器。下面就简要介绍下此次设计中的重要设备交换机的选型。1Catalyst 交换机产品(1)Catalyst 2960 系列交换机Cisco Catalyst2960 系列智能以太网交换机是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和千兆以太网连接,可为入门级企业、中型市场和分支机构网络提供增强 LAN 服务。Catalyst 2960 系列具有集成安全特性,包括网络准入控制(NA
31、C)、高级服务质量(QoS)和永续性,可为网络边缘提供智能服务。Cisco Catalyst 2960 系列提供: 为网络边缘提供了智能特性,如先进的访问控制列表 (ACL)和增强安全特性; 双介质上行链路端口提供了千兆以太网上行链路灵活性,可以使用铜缆或光纤上行链路端口每个介质上行链路端口都有一个 10/100/1000 以太网端口和一个小型可插拔(SFP)千兆以太网端口,在使用时其中一个端口激活,但不能同时使用这两个端口 ; 通过高级 QoS、精确速率限制、ACL 和组播服务,实现了网络控制和带宽优化; 通过多种验证方法、数据加密技术和基于用户、端口和 MAC 地址的网络准入控制,实现了网
32、络安全性; 通过思科网络助理,简化了网络配置、升级和故障诊断 ; 使用 Smartports 自动配置特定应用 ;(2)系列产品配置Cisco Catalyst 2960 系列包括以下交换机: Cisco Catalyst 2960-24TT:24 个 10/100 以太网端口和 2 个10/100/1000 固定以太网上行链路端口;1 机架单元(RU) Cisco Catalyst 2960-48TT:48 个 10/100 以太网端口和 2 个10/100/1000 固定以太网上行链路端口;1 RU Cisco Catalyst 2960-24TC:24 个 10/100 以太网端口和 2
33、 个双介质上行链路端口;1 RU Cisco Catalyst 2960-48TC:48 个 10/100 以太网端口和 2 个双介质上行链路端口;1 RU Cisco Catalyst 2960G-24TC:20 个 10/100/1000 以太网端口,其中 4个为双介质端口;1 RU 2产品特性(1)千兆以太网千兆以太网以 1000 Mbps 的速度,提供了可满足新网络和扩展网络的需求的带宽,消除了瓶颈,提升了性能,同时提高了现有基础设施投资的回报。目前,工作人员都对网络有着更高需求,在网络上同时运行多个应用。例如,一位员工通过 IP 视频会议而参加小组会议,向与会者发送一个 10MB 的
34、电子表格,将最新营销视频广播给整个小组以供评估,此外还查询客户关系管理(CRM)数据库,以获得最新实时反馈。同时,后台开始了一个多 GB 的系统备份,并向客户端提供最新防病毒软件的升级。(2)网络智能性当今的网络正在不断发展,在网络边缘出现了四种新趋势:桌面计算能力提高、带宽密集型应用出现、高敏感数据在网络中扩展、出现了多种设备类型,如 IP 电话、WLAN 接入点和 IP 视频摄像头。这些新需求正与许多已有关键任务应用争夺资源。因此,IT 专业人员必须将网络边缘看作有效管理信息和应用的提供的关键。随着人们对网络的依赖性日益增强,将其作为战略性业务基础设施,确保网络的高可用性、安全性、可扩展性
35、和对它的全面控制就比以前更为重要。通过为 LAN 接入添加思科智能功能,客户现可部署遍布整个网络的智能服务,从而一致地满足从桌面到核心再到 WAN 的要求。通过 Cisco Catalyst 智能以太网交换机,思科可帮助公司获得向其网络添加智能服务的全面优势。为进一步优化网络运行,部署具备以下特性的功能是十分关键的:能使网络基础设施高度可用以达到关键时间要求、可扩展以便于公司发展、高度安全以保护保密信息,且能区分和控制流量。(3)增强安全性凭借 Cisco Catalyst 2960 系列提供的广泛安全特性,企业可保护重要信息,防止未授权人员接入网络,确保私密性及维持不间断运行。思科基于身份的
36、网络服务(IBNS)解决方案提供了身份验证、访问控制和安全策略管理,可保护网络连接和资源。Catalyst 2960 系列中的 IBNS 可防止未授权接入,并确保用户只获得其指定权利。它能动态管理网络接入的具体层次。使用 802.1x 标准和思科安全访问控制服务器(ACS) ,无论用户在何 处连接到网络中,都可在验证基础上分配到一个 VLAN。此设置使 IT 部门能在不影响用户移动性的情况下,以最低管理开销实施强大的安全策略。为防止拒绝服务攻击和其他攻击,可用 ACL 根据源和目的地 MAC 地址、IP地址或 TCP/UDP 端口来拒绝分组,从而限制对网络敏感部分的访问。ACL 查询在硬件中完
37、成,故此在实施基于 ACL 的安全性时不会影响转发性能。端口安全性可根据与以太网端口相连的设备的 MAC 地址,来限制以太网端口上的访问。它也可用于限制插入一个交换机端口的总设备数目,因此可使交换机免遭 MAC 泛洪攻击,降低了恶意无线接入点或集线器接入的风险。凭借动态主机配置协议(DHCP)监听,可以只允许来自不可信用户端口的DHCP 请求(但不允许响应)进入网络,从而防止 DHCP 电子欺骗。此外 DHCP 接口跟踪器(选项 82) 特性可为主机 IP 地址请求添加交换机端口 ID,有助于实现对于 IP 地址分配的精确控制。MAC 地址通知特性可向管理站发送报警,从而监控网络和跟踪用户,以
38、使网络管理员知道用户何时、从何处进入网络。SSHv2 和 SNMPv3 对管理和网络管理信息加密,保护网络免遭干扰或窃听。TACACS+或 RADIUS 验证实现了交换机的集中访问控制,并限制未授权用户改变配置。此外,可在交换机上配置本地用户名和密码数据库。交换机控制台上的 15 个授权级别和 Web 管理界面上的 2个级别提供了向不同管理员分配不同配置功能级别的能力。(4)可用性和可扩展性Cisco Catalyst 2960 系列配备了强大的特性集,通过组播过滤和旨在第二层网络中提供最高可用性的全套生成树协议改进,实现了网络可扩展性及更高可用性。对标准生成树协议的改进,如 PVST+、Up
39、linkFast 和 PortFast,可实现最长网络正常运行时间。PVST+可在冗余链路上进行第二层负载共享,以有效使用冗余设计中的额外容量。UplinkFast、PortFast 和 BackboneFast 都大大缩减了标准的 30 到 60 秒生成树协议收敛时间。Flexlink 提供了不到 100ms 的双向、快速收敛。对环路保护和网桥协议数据单元(BPDU)保护的增强避免了生成树协议环路的出现。(5)高级 QoSCisco Catalyst 2960 提供了出色的多层 QoS 特性,确保网络流量进行了分类和优先级划分,并以最好的方式避免了拥塞。QoS 的配置通过自动QoS(Auto
40、 QoS)大大得到了简化,这是一个可发现思科 IP 电话并自动配置交换机以进行正确分类和输出排序的特性。这优化了流量优先级划分和网络可用性,且不会带来复杂配置的问题。Catalyst 2960 可对进入的分组分类、再分类、监管、标记、排序和排程,并能在出口处对分组排序和排程。分组分类使网络元素可区分不同流量,并根据第二层和第三层 QoS 实施策略。为实现 QoS,Catalyst 2960 系列交换机首先确认分组或流量组,再使用DSCP 字段或 802.1p 服务级别(CoS)字段对这些组分类和再分类。分类和再分类可根据源或目的地 IP 地址、源或目的地 MAC 地址或者第 4 层 TCP/U
41、DP 端口等标准进行。在入口,Catalyst 2960 也将进行监管,以确定分组是在小组内还是在小组外,标记以改变分类标签,传输或丢弃小组分组,并根据类别对分组排序。所有端口上都支持控制平面和数据平面 ACL,确保每个分组得到正确的处理。Cisco Catalyst 2960 支持每端口 4 个输出队列,使网络管理员能更好地进行控制,为 LAN 上的各种应用分配优先级。在出口,交换机执行排程和拥塞控制。排程是一种确定队列处理顺序的算法或进程。Catalyst 2960 系列交换机支持整形循环(SRR)和严格优先级队列。SRR 算法有助于确保个性化优先级划分。这些 QoS 特性使网络管理员能将
42、关键任务和带宽密集型流量划为较高优先级,其中包括企业资源规划(ERP) 、语音(IP 电话流量)和计算机辅助设计及制造(CAD/CAM)等,而将 FTP 或电子邮件等对应用划为较低优先级。例如,下载一个目的地为交换机上某一端口的大型文件,而这会增加目的地为此交换机上另一端口的语音流量的延迟,这种情况是用户极为不愿看到的。通过确保语音流量在网络中得到正确分类和优先级划分,可避免此情况。Web 浏览等其他应用则可作为较低优先级对待。Catalyst 2960 系列能通过对思科承诺信息速率(CIR)功能的支持而执行速率限制。通过 CIR,能以低至 8kbps 的增量保证带宽。带宽的分配根据若干标准进
43、行,包括 MAC 源地址、MAC 目的地地址、IP 源地址、IP 目的地地址和TCP/UDP 端口号。在需服务级别协议的网络环境中或需控制授予某些用户的带宽时,带宽分配非常重要。2.3.3 服务器校园网中的服务器主有数据库服务器和代理服务器,数据服务器与代理服务器主要是面向校园网内部用户的服务,对来自 Internet 的用户服务也很多,主要是对校园网内部用户进行 Internet 代理服务。目前,绝大多数校园网都要求内部服务用户通过代理访问 Internet,这样内部用户就不能直接访问Internet,同时代理服务器保存着内部用户访问 Internet 的日志,以作为记费的依据。由于用户数量
44、非常大,也非常集口中,所以在选型代理服务器时,主要考虑的是要有较大的容量、较高的处理速度和较高的稳定性,一般来说都选用大型服务器作为代理服务器。(1)服务器端。选择微软的服务器端集成软件 BackOffice 包括了 WindowsNT.IIS.FrontPage.SQL Server.Exchange server.Systems Management Server。Proxy Server 以及一个统的客户/服务器软件安装程序。其中,WINDOW NT 作为网络的基础,提供文件和打印机共享,通信 Internet 连接和应用程序服务:IIS 提供 WWW 和 FTP 服务;FrontPag
45、e 提供网页制作工具和 Web 管理;Index server 提供 Email.时间规划和集成的群件性能;SNA Server 提供主机数据和应用的连接能力;Systems Management 集中地管理这个分布式的环境;Proxy Server 提供防火墙功能,有效地将校园网与公共 Internet 分离,并有效地提供客户访问 Internet 的通路。(2)客户端。选用 IE5.0 以上,它提供了组用户访问 Web,所有本地文件和校园网络上所有文件的集成方法。2.3.4 Internet 接入技术校园网和 Internet 的连接技术就显得十分重要了,它关系到校园网与外部网络能能否进行
46、可靠的连接。用户计算机接入 Internet 主要有两种方式,通过局域网或通过电话线网。不过,我们一般采取局域网接入方式。但不管使用哪种接入方式,首先都要连接到 ISP 的主机。从用户角度看,ISP 位于 Internet的边缘,用户通过某种通信线路连接到 ISP,再通过 ISP 的连接通道接入Internet。通过局域网接入 Internet 是指用户局域网使用路由器,通过数据通信网与 ISP 相连接,再通过 ISP 的连接通道接入 Internet。选择哪种数据通信网络与租用多大的带宽,通常取决于用户的信息流量与能够承担的费用等多种因素。2.3.5 网络操作系统网络操作系统 NOS(Net
47、work Operating System)是在计算机操作系统的基础上,加上一些具有实现网络访问和控制功能的模块以及相关的数据通信协议,是使网络上各计算机能够方便有效地共享网络资源、为网络用户提供所需的各种服务软件和规程的集合。目前主要的网络操作系统有NetWare、Unix、Linux 和 Windows NT/2000。在校园网中一般情况下都用Windows 2000 网络操作系统,因为它是图形化的操作界面、使用简单、安全可靠,以及和普及率很高 Windows 系列单机操作系统的兼容性很好。3 系统详细设计3.1 系统组成与拓扑结构校园网设计方案主要由以下四大部分构成:交换模块、广域网接入
48、模块、远程访问模块、服务器群。整个网络系统的拓扑结构图如图 3-1 所示。 (省略了部分拓扑信息)图 3-1 校园网整体拓扑结构图3.2 VLAN 及 IP 地址规划图 3.2 VLAN 及 IP 编址方案3.3 交换模块设计为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可划分为三个层次:访问层、分布层、核心层。3.4 访问层交换服务的实现配置访问层交换机访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的是Cisco Catalyst 2950 24 口交换机。交换机拥有 24 个 10/100Mbps 自适应快速以太网端口
49、,运行的是 Cisco 的 IOS 操作系统。我们以拓扑图中的访问层交换机 XingZhengLou 为例进行介绍。如图 3.4 所示图 3.4 访问层交换机 XingZhengLou3.4.1 配置访问层交换机 XingZhengLou 的基本参数(1)设置交换机名称设置交换机名称,也就是出现在交换机 CLI 提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要 Telnet 登录到若干台交换机以维护一个大型网络时,通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。为访问层交换机 XingZhengLou 命名,如图 3.4.1 所示图 3.4.1 为访问层交换机 XingZhengLou 命名3.4.2 设置交换机的加密使能口令当用户在普通用户模式而想要进入特权用户模式时,需要提供此口令。此口令会以 MD5 的形式加密,因此,当用户查看配置文件时,无法看到明文形式的口令。 将交换机的加密使能口令设置为 xingzhenglou,如图 3.4.2 所示图 3.4.2 为交换机设置加密使能口3.4.3 设置登录虚拟终端线时的口令对于一个已经运行着的交换网络来说,交换机的带内远程管理为网络管理人员提供了很多的方便。但是,处于安全考虑,在能够远程管理交换机之前网络管理人员必须设置远
