1、 本科毕业设计(论文)题 目 现代校园网总体方案与设计 学 院 信息科学与技术学院 专 业 学生姓名 学 号 年级指导教师 职称摘要本论文,我对现有的校园内各种网络进行深入研究,结合实际及当前成熟的网络技术,我规划设计了一个具有高可靠性和开放性的校园网络。我设计的网络可以方便的讲学校的各个办公室、计算机机房和网络设备连接起来。使校园内所有的计算机互相之间能进行访问,达到资源共享。本次设计中,我用思科路由器交换机模拟器 Packet Tracer 模拟实现了校园网的规划设计并做出了规划设计方案。在设计中我运用了地址转换 NAT,DHCP,RIP,ACL,GRE-VPN,STP等网络技术,完全满足
2、了学校对校园网的各种需求关键词:地址转换 NAT、逻辑设计、Packet Tracer、网络规划。目 录第 1 章网络基础介绍 11.1 网络的功能 11.2 网络的分类 11.3 局域网的特点 21.3.1 局域网的组成 21.3.2 局域网的拓扑结构 31.3.3 什么是局域网的规范 31.3.4 什么是局域网中的半双工和全双工 41.3.5 局域网的结构类型 41.4 组网中常见技术 51.4.1 双核心技术 51.4.2 生成树协议 61.4.3 链路聚合技术 6第 2 章校园网概述及规划设计 82.1 项目背景及现状 82.2 用户需求 92.3 网络规划原则 102.3.1 校园网
3、实用的投资保护 102.3.2 校园网的先进性 102.3.3 打造网络高的可用性和可靠性 102.3.4 构筑高安全性网络 112.3.5 搭建多业务支持平台 112.3.6 具备后续可扩展性 112.4 网络需求分析 112.4.1 网络业务分析 112.4.2 网络流量分析 112.5 网络层次分析 122.5.1 核心层需求分析 122.5.2 区域汇聚层需求分析 132.5.3 接入层需求分析 132.6 校园网逻辑设计 132.7VLAN 的划分与 IP 的分配 14第 3 章校园网络关键的技术原理介绍 163.1VLAN 的介绍: 163.2DHCP 的介绍 163.3NAT 的
4、介绍 163.4ACL 的介绍 163.5GRE-VPN 的介绍 17第 4 章校园网网络设备的基本配置 184.1 路由器基本配置 184.1.1NAT 的配置: 184.1.2 GRE-VPN 的配置 194.1.3ACL 的配置 204.1.4OSPF 的配置 204.2 三层交换机的配置 204.2.1 dhcp 与 vlan 的配置 214.2.2 路由器交换机远程管理功能的配置 234.2.3 STP 的配置 234.2.4 trunk 与三层交换机上接口地址的配置 23第 5 章项目测试与维护 255.1dhcp 功能的测试 255.2 内外网互联测试 255.3 网络管理功能的
5、测试:275.4 访问校园网的测试 275.5 无线路由联通性的测试 28结束语 30致谢 31参考文献 32制作方: 天翼网络工程服务组:http:/ 1 章 网络基础介绍1.1 网络的功能所谓计算机网络,是指将多个独立的计算机系统通过通信线路连接起来,并在网络软件的支持下能够实现数据通信和资源共享的集合。概括地讲,计算机网络主要有如下几个方面的功能:(1) 资源共享:它主要包括硬件、软件和数据共享。例如,通过将某些文件放在网络中某台计算机的指定位置,可让网络中的全部或部分用户能够使用它们。此外,通过购买软件的多用户网络版本,可节约资金并使软件的维护和使用更加方便。(2)通信:通过网络可以方
6、便地进行实时通信。例如,用户可通过网络收发邮件、进行实时会话,而程序可通过网络实时传递信息。(3)分布式处理:对于某些高强度的数据处理或数学运算,可通过网络将任务分布到多台计算机中进行处理,最后将结果进行汇总。1.2 网络的分类网络的分类方法有多种,最常见的划分方式是依据网络的组建规模和延伸围,此时网络可以分为 3 类:局域网(Local Area Network, LAN) 、城域网(Metropolitan Area Network, MAN)和广域网(Wide Area Network, WAN) 。(1)局域网局域网是局部地区网络的简称,此时连网计算机的距离通常应小于 10km。例如,
7、由一栋或几栋建筑物内的计算机、一个小区内的计算机或一个单位内的计算机构成的网络,基本上都属于局域网。局域网根据其规模的大小又可以细分为小型局域网和大型局域网。其中,小型局域网的特点是地域小计算机数量不多,因而网络安装、管理都比较简单。例如,家庭、办公室、游戏厅、网吧以及计算机机房网络都属于小型局域网。大型局域网主要是指企业 Intranet 网络、行政网络等,这类网络的特点是设备较多,管理和维护都比较复杂。局域网之所以能够被广泛地应用,是因为它主要具备如下几个优势: 极高的数据传输速率。局域网内各计算机之间的数据传输速率一般不小于 10Mbit/s,最快可以达到 100Mbit/s 或 100
8、0Mbit/s。 低廉的连网成本。例如,廉价的同轴电缆、双绞线都可作为传输介质,而作为连网设备的网卡、集线器、交换机价格也不高。 网络安装、配置与管理比较简单,并且具有较高的稳定性和可扩充性。(2)城域网城域网(MAN)比局域网规模大得多,采用与局域网相同的联网技术。它一般覆盖一座城市,通常采用 ATM 作为主干网络交换机,采用光纤通信技术,具有实时的数据传输、语音和视频等业务,提供较高的网络传输速度,干线速度一般在 100Mbit/s 以上。(3)广域网广域网(WAN )用电话线和卫星提供跨国或全球间的联系。数据传输速率通常要比局域网慢,其主干线传输速率目前仅为 1284096kbit/s,
9、而最终用户的上线速率仅为 56kbit/s。1.3 局域网的特点1.3.1 局域网的组成(1)服务器(Server):用来管理网络并为用户提供共享服务的计算机。与网络中的工作站相比,服务器通常具有更快的速率、更大的存储容量和更高的可靠性。此外,为了便于对网络进行管理,服务器中通常应安装相应的网络操作系统,如 Novell Netware, Windows NT/2000 Server, UNIX 等。(2)工作站(Workstation):用户使用的计算机,又称用户机或客户机。从网络构成的角度看,任何一台计算机(如 286、386、486、P 、P4 等)都可作为工作站。当工作站登录到网络服务
10、器后,可按规定权限存取服务器中的文件。此外,工作站通常还可以与网络中的其他用户进行通信或访问Internet。(3) 网络通信系统( Network Communications System):连接工作站和服务器的设备。这些设备通常应包括插在服务器或工作站中的网卡,它们应与通信介质相连;用于传输数据介质,如同轴电缆、双绞线、光纤等;专用的通信设备,如集线器(HUB) 、局域网交换机、路由器等。(4) 网络操作系统(Network Operating System):对于稍在一点的网络来说,为了充分发挥网络的功能,以及更好地管理网络,通常应在服务器中安装网络操作系统。例如,基于安全起见,企业的
11、几乎所有重要数据(如财务、销售等)都被保存在服务器中,并非每个人都能访问这些数据。通常情况下,只有企业负责人拥有最高权限,而其他人只能查看部分数据。此时就是借助网络操作系统来对资源和用户进行管理的,它规定了用户的权限,以及用户所能访问的资源。1.3.2 局域网的拓扑结构所谓局域网的拓扑结构,是指局域网中各计算机之间的连接形式。如果抛开构建局域网时所采用的通信介质、通信设备等,局域网中各计算机之间的学用连接形式实际上只有两种,即总线型与星型。在总线型网络中,由于各计算机共享一条通信电缆,网络中某个节点出现故障,将导致整个网络瘫痪。因此,目前这类结构的网络已趋于淘汰。星型网络的优点是,当网络中某个
12、节点出现故障时不会影响整个网络的运行。其缺点是每个计算机都要占用一条专用的通信线路,并且需要额外的通信设备,将导致成本的增加。但是,由于目前各种硬件设备价格都已非常便宜,所以,现在绝大部分局域网都采用了这种结构。1.3.3 什么是局域网的规范事实上各种网络结构都是有章可循的,这就是局域网规范(或称为局域网标准) 。从大的方面讲,根据网络的工作原理,目前的局域网大致可分为三类,即以太网、令牌环网和 ARCNET 网。其中,以太网是目前局域网中采用最多的通信协议标准,它采用 CSMA/CD (载波监听多路访问 /冲突检测) 技术进行信息传递。该标准定义了在局域网中采用的电缆类型和信息处理方法,在互
13、联设备之间可以 10100Mbit/s 的速率传送信息包,目前约 80的局域网都是以太网。由于技术的发展和用户要求的多样性,以太网又被细分成了一系列规范。例如,10 Base2 以太网规范定义了构建以细同轴电缆为通信介质,网络通信速率为 10 Mb/s,网络拓扑结构为总线型的局域网的技术指标;10 Base T 以太网规范定义了构建以双绞线为通信介质,网络通信速率为 10Mb/s ,网络拓扑结构为星型的局域网指标。一般来说,每种局域网规范都规定了如下几项指标: 网络通信速率,例如,10Mb/s、100 Mb/s 及 1000 Mb/s 等。 局域网的结构,例如,采用总线型或星型。 所使用的通信
14、介质,例如,同轴电缆、双绞线或光纤。其中,每种介质中又包含了多个子类,例如,双绞线就包括了 3 类、4 类、5 类及超 5 类双绞线等。 所使用的网卡类型,其中包括数据传输速率与接口类型。例如,要构建10 Base T 星型以太网,网卡的数据传输速率必须为 10Mb/s,且必须带有 RJ-45 接口。 网络中所能支持的最大用户数量。例如,构建廉价的细同轴电缆总线型网络时,每个网段中的用户数不能超过 30。 距离要求。由于随着距离的增加,信号会逐渐衰减,因此,各种局域网规范都对各种距离(如通信设备与计算机之间,各种通信设备之间等)有明确的要求。例如,在构建以集线器为核心的双绞线星型网络时,集线器
15、与计算机之间的距离通常不超过 100m。1.3.4 什么是局域网中的半双工和全双工所谓半双工与全双工,是指通信双方信息交换的方式。其中半双工是指在同一时间通信双方只能有一方发送或接收信息,另一方只能处于等待状态。局域网中最早使用的就是这种方式。就目前来说,由于共享式局域网中的计算机都共享一条通信通道,在技术上无法实现同一时刻数据的双向通行,因此,常规的共享式网络只能工作在半双工模式。所谓全双工是指在同一时间内,通信双方都可以同时发送与接收信息。从理论上讲,全双工通信方式的数据传输速率要比半双工通信方式提高一倍。就目前来说,很多交换机和网卡都采用了全双工模式,从而使网络速率得到大幅度提高。1.3
16、.5 局域网的结构类型局域网的结构决定了局域网的管理方式,当我们创建一个局域网时,通常应遵循如下步骤来进行: 明确自己的需求,即希望局域网具备哪些功能。 在综合考虑局域网功能、现有软硬件的特点与价格、网络的可管理性与可扩充性等因素的基础上决定局域网的结构。 根据选定的局域网结构决定局域网的拓扑结构,以及应选择的相关设备和软件。 对局域网进行配置和维护。由此可以看出,决定局域网的结构是构建局域网时非常重要的一环。1.4 组网中常见技术1.4.1 双核心技术通过双机热备 VRRP 和 802.1S 技术实现双核心热备,不但可以让设备进行冗余备份,而且还可以使中心数据通信负载均衡,从而让中心设备减轻
17、负荷,保证核心层的稳定性和可靠性.在 VRRP 协议中,有两组重要的概念:VRRP 路由器和虚拟路由器,主控路由器和备份路由器。VRRP 路由器是指运行 VRRP 的路由器,是物理实体,虚拟路由器是指 VRRP 协议创建的,是逻辑概念。一组 VRRP 路由器协同工作,共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定 IP 地址和 MAC地址的逻辑路由器。处于同一个 VRRP 组中的路由器具有两种互斥的角色:主控路由器和备份路由器,一个 VRRP 组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。VRRP 协议使用选择策略从路由器组中选出一台作为主控,负
18、责 ARP 相应和转发 IP 数据包,组中的其它路由器作为备份的角色处于待命状态。当由于某种原因主控路由器发生故障时,备份路由器能在几秒钟的时延后升级为主路由器。由于此切换非常迅速而且不用改变 IP地址和 MAC 地址,故对终端使用者系统是透明的。两台核心中央交换机本身通过 OSPF 路由协议对汇聚点的连接提供路由冗余和流量负载均衡。OSPF 路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。OSPF 协议支持到同一目的地的多条等价路由,我们可以利用该特性实现路由冗余和流量的负载均衡。双核心技术目的是防止一个点的失败导致整个网络功能的丢失。虽然冗余设计可能
19、消除的单点失败问题,但也导致了交换回路的产生,它会带来如下问题:A.广播风暴 B.同一帧的多份拷贝 C.不稳定的 MAC 地址表。因此,在交换网络中必须有一个机制来阻止回路,而生成树协议(Spanning Tree Protocol)的作用正是在于此。1.4.2 生成树协议生成树协议的国际标准是 IEEE802.1d。运行生成树算法的网桥/交换机在规定的间隔内通过网桥协议数据单元(BPDU)的组播帧与其他交换机交换配置信息,其工作的过程如下:1. 通过比较网桥/交换机优先级选取根网桥/交换机(给定广播域内只有一个根网桥/交换机) ;2. 其余的非根网桥/ 交换机只有一个通向根网桥/交换机的端口
20、,称为根端口;3. 每个网段只有一个转发端口;4. 根网桥/交换机所有的连接端口均为转发端口。当网络的拓扑结构发生改变时,生成树协议重新计算,以生成新的生成树结构。在此期间,交换机不转发任何数据帧。当交换机的所有端口状态切换为转发或阻塞状态时,表明重计算完毕。这一状态称为会聚(Convergence) 。1.4.3 链路聚合技术链路聚合技术亦称主干技术或捆绑技术,其实质是将两台设备间的数条物理链路“组合”成逻辑上的一条数据通路,称为一条聚合链路,该链路在逻辑上是一个整体,内部的组成和传输数据的细节对上层服务是透明的。聚合内部的物理链路共同完成数据收发任务并相互备份。只要还存在能正常工作的成员,
21、整个传输链路就不会失效。链路聚合的优点从上面可以看出,链路聚合具有如下一些显著的优点:1 提高链路可用性链路聚合中,成员互相动态备份。当某一链路中断时,其它成员能够迅速接替其工作。与生成树协议不同,链路聚合启用备份的过程对聚合之外是不可见的,而且启用备份过程只在聚合链路内,与其它链路无关,切换可在数毫秒内完成。 2 增加链路容量聚合技术的另一个明显的优点是为用户提供一种经济的提高链路传输率的方法。通过捆绑多条物理链路,用户不必升级现有设备就能获得更大带宽的数据链路,其容量等于各物理链路容量之和。聚合模块按照一定算法将业务流量分配给不同的成员,实现链路级的负载分担功能。第 2 章校园网概述及规划
22、设计2.1 项目背景及现状网络中心位于科技楼 4 楼,二级节点分别位于综合办公楼、8 号学生楼、多谋体教室,图书馆。三级节点为行政楼、电信学院,机电学院、数理学院,成教学院、职教学院,实验室。网络中心配置了 2 台 Cisco Catalyst 4006-L3交换机作为中心交换机。8 号学生宿舍、综合办公楼,多媒体教室,图书馆各配置了一台汇接层交换机主要采用了 Cisco Catalyst 3524XL。接入层交换机采用了 Cisco Catalyst 2950 交换机.具体网络设备配置如下:8 号学生宿舍:配置 1 台 Catalyst 3524 和 2 台 Catalyst 2950;同时
23、Catalyst 3524 配置一个千兆 GBIC 光接口卡连接网络中心交换机,Catalyst 2950 和 Catalyst 3524 通过 100M 双绞线连接;并通过光纤收发器以 100M 的速率连接职教中心,和实验室。综合办公楼:配置 1 台 Catalyst 3524 和 2 台 Catalyst 2950;同时Catalyst 3524 配置一个千兆 GBIC 光接口卡连接网络中心交换机,Catalyst 2950 和 Catalyst 3524 通过 100M 双绞线连接;并通过光纤收发器以 100M 的速率连接数理学院。多媒体教室:配置 1 台 Catalyst 3524 和
24、 2 台 Catalyst 2950;同时Catalyst 3524 配置一个千兆 GBIC 光接口卡连接网络中心交换机,Catalyst 2950 和 Catalyst 3524 通过 100M 双绞线连接;并通过光纤收发器以 100M 的速率连接成教学院和机电学院。图书馆:配置 1 台 Catalyst 3524 和 2 台 Catalyst 2950;同时 Catalyst 3524 配置一个千兆 GBIC 光接口卡连接网络中心交换机,Catalyst 2950 和Catalyst 3524 通过 100M 双绞线连接;并通过光纤收发器以 100M 的速率连接成教学院和机电学院。职教教学
25、院和实验室:各配置 1 台 Catalyst 2950;通过光纤收发器以100M 的速率连接学生宿舍的 Catalyst 3524;数理学院:配置 1 台 Catalyst 2950;通过光纤收发器以 100M 的速率连接综合办公楼的 Catalyst 3524;成教和机电学院:各配置 1 台 Catalyst 2950,通过光纤收发器以 100M 的速率连接多媒体教室的 Catalyst 3524;电信学院和行政楼:各配置 1 台 Catalyst 2950,通过光纤收发器以 100M的速率连接图书馆的 Catalyst 3524;2.2 用户需求1.实现与各部门相连,主干 1000Mbps
26、,100Mbps 到部门,10 Mbps 到桌面。2. 网络具有先进性,五年内不换代,网络硬件设备(交换机、路由器)服务器具有先进性3. 网络操作系统,网络数据库系统具有先进性。进行虚拟局域网 VLAN 的划分4. 设计并规划隔离内、外网,设计防火墙。实现与 Internet 相连5.设计并规划内、外网,配置基于端口过滤的防火墙,实现内外网间的访问控制,包括 TCP 限制、ICMP 限制及端口限制等。6. 设计并规划内、外网,并以防火墙为代理实现内网对外网的访问;同时,通过 NAT 技术建立内部 IP 与标准 IP 之间的映射关系,实现外网对内网指定服务器上规定端口的访问7.校园网站,只有在校
27、内才能访问。8校园网可以访问互联网。9.确保网络有充足的科扩展性。10.网络应设置相应的网络管理功能。11.确保本校区与分校区的互联,并是分校区可以访问本校区的资源。12.对网络的核心设备实施备份处理,确保有充足的冗余性,和可靠性。13.网络应考虑,移动网络设备的上网问题,确保移动设备在校园类可以访问互联网。14.组网应考虑经济性与实用性,保证网络软硬件采用当前流行的技术。15 由于校园网络内计算机数量众多,需配置 dhcp 是计算机可以自动获得 ip,链接校园网。16 校园网应采取 stp 技术,已保证庞大的网络,不发生环路。2.3 网络规划原则2.3.1 校园网实用的投资保护对于投资的保护
28、,是每个用户都关心的问题。每个设备都进行严格的选型,在满足设计原则的功能前提下,提供最具性价比的设备配置方案。对不同技术和设备的兼容在很大程度上保护了用户的投资。 “用最少的投入获得最高的网络性能,同时保证投入最长的生命期”是投资保护的最重要的原则。使用的产品智能万兆平台设备,即使大学后续扩容,也是可以平滑升级到线速万兆接口的,合理而且有效的保护了高校的投资。2.3.2 校园网的先进性当今世界,通信和计算机技术发展日新月异。我们的方案要适应新技术发展的潮流。既要保证校园网的先进性,同时也要兼顾技术的成熟性。一个大型网络光是能用还不够,必须优化设计才能这真正发挥网络的功能。2.3.3 打造网络高
29、的可用性和可靠性我们的方案对于网络的重要应用完全支持采用冗余的设计,整网具备良好的健壮性,支持对于重要交换机之间的连接支持采用多条物理链路交换机之间做标准的 802.1ad 的捆绑,进行逻辑 Trunk 的链接,既能充分利用网络端口实现成倍的带宽,同时也达到了一个负载均衡和链路备份的目的。对于服务器的可用性实现,我们的基本思想是服务器群连接到原有设备 cisco4006,然后通过双链路分别连接到 2 台万兆核心,保证了高可用性。2.3.4 构筑高安全性网络对于安全性我们将通过对用户的区域划分,和对应用层的划分来逐级实现网络的安全性。对内的安全实施包括用交换机进行 VLAN 的划分,在路由中创建
30、访问控制列表,如此可对一些网络用户实行可控的安全级别。2.3.5 搭建多业务支持平台业务可以说是网络的灵魂,学生宿舍和教师宿舍宽带网到底可以实现顺利运营?宽带绝对不仅仅是上网的宽带化而应该是一个多业务的承载网,每个人对宽带的理解和应用都不一样,如何满足各种各样的业务需求。信息的数字化已然成为不可逆转的趋势,成为了教师和学生工作、学习、生活、娱乐不可或缺的一部分,比如正方兴未艾的视频点播、组播,网络可视电话,远程网络会议等等,这些业务对网络设备和带宽的要求非常苛刻。2.3.6 具备后续可扩展性由于计算机通讯和多媒体应用的不断发展,网络系统必然随之不断扩大。因此,目前的网络设计必须为今后的扩充留有
31、足够的余地,以保护用户的投资,保证用户今后三到五年的网络扩充升级能力。没有人敢说“我的网够用了” 。数据网络的速度从从 10M 到 100M、100M 到 1000M,到 10000M,用户的数据传输需求从 1K 到现在的整个硬盘;网络速度在以指数级的发展,而网络需求也以指数级增长。2.4 网络需求分析2.4.1 网络业务分析本次方案要求在铜缆、光纤的物理线路之上,用一套设备实现三套逻辑网络交换平台,实现三层路由交换机制,作为校园业务应用承载体系, 2.4.2 网络流量分析(一)网上数据流特点大学校园网具有网络互联的广泛性和使用多样性等特点,广播包将对数据流产生较大的影响,校园网的数据并发性,
32、一般是呈现波峰波谷的,绝大多数情况下,存在高并发性访问的因素,除了周末或者夜间学生晚自修之后的时间,某些特殊的应用也有可能对负荷有突发要求,如使用空间数据,大范围数据搜索,视频方面的应用等,这些突发的负荷有相当一部分转移到应用设备上。这些流量的转移对于网络设备提出了较高的要求,必须要求核心(汇聚)设备均支持万兆技术。(二)网络流量情况根据的业务,每位学生主要需求占用的带宽为:视频流,数据,语音(包括桌面会议) ,图形、空间数据,管理支撑等。考虑应用上某些并发的排斥特点,以及网络应用环境对通畅性的要求,一般每位学生占用的平均实际网络带宽约为 1M 左右即可以完全满足以上需求,在满足网络在有收敛比
33、的情况下的带宽要求;这就要求汇聚、核心设备均具备万兆智能能力。(三)校园网主干需要的数据流量网络主干流量的是基于业务工作在网上展开的情况分析,实际上对网络流量的需求是逐步提升的,特别是要协同体系出现后,干道的流量会大量的增加。考虑到信息点同时在线的收敛比,本网络已经具备极高的伸缩能力,以满足其很强的扩展性要求。2.5 网络层次分析2.5.1 核心层需求分析在校园网中骨干设备担负着连接各个汇聚设备的工作,同时通过设备的互联,将分布在各物理位置的区域网络连接在一起形成一套完整的网络。由于骨干层设备担负着整个网络的流量。骨干设备和链路的稳定性将直接影响整个网络的可靠运行。由于骨干设备在网络中核心的位
34、置需要高性能,所有的功能部件(电源、系统总线、处理器模块、网络接口模块等)均可以支持热插拔和冗余热备份等特性。完成网络骨干层高速数据交换、转发以及稳定性的要求。骨干网络性能是整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种业务的高质量传输,才能使网络不成为业务开展的瓶颈。大学网络也是学生的业务专网,实现内部高速互连。要具有构建校园各部门的虚拟业务专网的能力,可以实现部门内部及部门间的协同工作。2.5.2 区域汇聚层需求分析1、高速运送区域流量,主要工作是交换区域数据包。2、高可靠性及冗余性3、提供故障隔离4、较少的时延和好的可管理性5、良好的路由交换能力6、良好的区域汇聚
35、能力7、良好的万兆能力要求汇聚设备必须是纯千兆的高性能交换机;在校园网中汇聚设备担负着网络接入层和骨干设备的连接,网络汇聚层有着承上启下的重要任务。汇聚设备不但要完成接入层的链路汇聚和流量汇聚还要完成本地数据的交换以及接入和骨干之间的数据转发。作为骨干层的入口和接入层的出口,汇聚层的身份如同关卡。为保证整个网络良好运行在汇聚层同样需要高性能、关键部件冗余等特性,另外要求汇聚设备的有高端口密度可以直接连接大量的二层设备,提供更好的络品质。2.5.3 接入层需求分析接入层在整个网络的边缘,学生通过接入设备接入网络。2.6 校园网逻辑设计在组网中我们用思科路由器模拟器,packet tracer 模
36、拟实现了校园网的组网。拓扑图如下:图 3-4在本设计中我们采用 gre-vpn 实现,分校区与本校区的互联,使分校区可以访问本校区的资源;在本校区核心网中采用了双三层交换机冗余备份,保证了网络的可靠性和健壮性;在分校区和本校区中划分了多个 vlan,将不同的部门分配到了不同的 vlan,保证了信息的安全,同时限制了网络风暴。各 vlan 采用dhcp 自动分配 IP 地址,用户只需电脑自动获取 ip 即可上网,减少了校园网的维护量。在校园网出口我们配置了访问控制列表,限制相应网段主机的上网行为,保证了网络的安全,通过测试,本设计完全满足了学校对校园网的需求。2.7VLAN 的划分与 IP 的分
37、配根据逻辑拓扑及学校的需求,VLAN 的划分及 IP 地址的分配如下:表 3-5 VLAN 与 IP 的分配表部门 所属 VLAN 网关 子网掩码网络中心 VLAN100 10.10.10.1 255.255.255.0成教学院 VLAN101 10.10.11.1 255.255.255.0机电学院 VLAN102 10.10.12.1 255.255.255.0电信学院 VLAN103 10.10.13.1 255.255.255.0行政楼 VLAN104 10.10.14.1 255.255.255.0职教学院 VLAN106 10.10.26.1 255.255.255.0实验室 VL
38、AN107 10.10.27.1 255.255.255.0数理学院 VLAN108 10.10.28.1 255.255.255.0分校区 VLAN6/VLAN7 10.10.6.110.10.7.1255.255.255.0255.255.255.0本校区无线网 192.168.0.1 255.255.255.0分校区无线网 192.168.0.1 255.255.255.0表 3-6 网络设备接口地址表设备及接口 地址 网关 子网掩码R1-fa0/0 202.100.86.98 255.255.255.0R1-fa0/1 10.10.9.2 255.255.255.0R2-fa0/0 2
39、02.100.86.99 255.255.255.0R2-fa0/1 202.100.88.89 255.255.255.0R2-e0/0/0 100.100.1.1 255.255.255.0R3-fa0/0 100.100.1.2 255.255.255.0R3-fa0/1.1R3-fa0/1.210.10.6.110.10.7.1255.255.255.0255.255.255.0SW0-fa0/1 10.10.9.1 255.255.255.0SW8-fa0/1 10.10.8.1 255.255.255.0W01-internet 10.10.7.7 10.10.7.1 255.25
40、5.255.0W02-internet 10.10.10.8 10.10.10.1 255.255.255.0DNS 10.10.10.3 10.10.10.1 255.255.255.0WEB 10.10.10.2 10.10.10.1 255.255.255.0PC09-外网 202.100.88.88 202.100.88.89 255.255.255.0PC10-内网 10.10.7.2 10.10.11.1 255.255.255.0第 3 章 校园网络关键的技术原理介绍在组建校园网时,所用的网络技术有 VLAN,DHCP,NAT,ACL,RIP 等。下面简要介绍相关技术:3.1VL
41、AN 的介绍:VLAN(Virtual Local Area Network)的中文名为“虚拟局域网“。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。但又不是所有交换机都具有此功能,只有 VLAN 协议的第三层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知。3.2DHCP 的介绍动态主机设置协议(Dynamic Host Configuration Protocol, DHCP)是一个局域网的网络协议,使用 UDP 协议工作,主要有两个用途:给内部网络或网络服务供应
42、商自动分配 IP 地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段。3.3NAT 的介绍网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法 IP 地址的转换技术,它被广泛应用于各种类型 Internet 接入方式和各种类型的网络中。原因很简单,NAT 不仅完美地解决了 lP 地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。3.4ACL 的介绍访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数
43、据包。ACL 适用于所有的被路由协议,如IP、IPX、AppleTalk 等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。3.5GRE-VPN 的介绍GRE(Generic Routing Encapsulation)即通用路由封装协议是对某些网络层协议(如 IP 和 IPX)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如 IP)中传输。GRE 是 VPN(Virtual Private Network )的第三层隧道协议,即在协议层之间采用了一种被称之为 Tunnel(隧道)的技术。在本次设计中我们使用 GRE-VPN 使分校
44、区的计算机可以访问本校区的网站。第 4 章 校园网网络设备的基本配置4.1 路由器基本配置路由器的配置内容有 NAT, ACL,VPN,OSPF 和接口地址,其中 nat 实现内外主机访问外网的地址转换及对外屏蔽内网结构的功能。Acl 是主要实现对内部及外部特定主机的访问限制,VPN 实现子公司到总公司的互联。关键配置如下:4.1.1NAT 的配置:R1 中的配置:interface FastEthernet0/0ip address 202.100.86.98 255.255.255.0ip nat outside/指定 nat 的出接口interface FastEthernet0/1ip
45、 address 10.10.9.2 255.255.255.0ip nat inside/指定 nat 的进接口ip nat inside source list 10 interface FastEthernet0/0 overload/配置多对一的地址转换access-list 10 permit 10.10.0.0 0.0.255.255R3 中的配置:interface FastEthernet0/0ip address 100.100.1.2 255.255.255.0ip nat outsideduplex autospeed auto/指定 nat 的出接口interface
46、FastEthernet0/1no ip addressip nat insideduplex autospeed auto/指定 nat 的进接口interface FastEthernet0/1.1encapsulation dot1Q 6ip address 10.10.6.1 255.255.255.0ip nat inside/指定 nat 的进接口interface FastEthernet0/1.2encapsulation dot1Q 7ip address 10.10.7.1 255.255.255.0ip nat inside/指定 nat 的进接口ip nat insid
47、e source list 1 interface FastEthernet0/0 overload/配置多对一的地址转换access-list 1 permit any4.1.2 GRE-VPN 的配置R1 中的配置:interface Tunnel0ip address 1.1.1.2 255.255.255.252/配置隧道的本端地址tunnel source FastEthernet0/0/指定隧道的源接口tunnel destination 100.100.1.2/指定隧道的目的地址ip route 10.10.7.0 255.255.255.0 1.1.1.1 ip route 1
48、0.10.6.0 255.255.255.0 1.1.1.1R3 中的配置:interface Tunnel0ip address 1.1.1.1 255.255.255.252/配置隧道的本端地址tunnel source FastEthernet0/0/指定隧道的源接口tunnel destination 202.100.86.98/指定隧道的目的地址ip route 10.10.9.0 255.255.255.0 1.1.1.2 ip route 10.10.10.0 255.255.255.0 1.1.1.2 ip route 10.10.11.0 255.255.255.0 1.1.
49、1.2 ip route 10.10.12.0 255.255.255.0 1.1.1.2 ip route 10.10.13.0 255.255.255.0 1.1.1.2 ip route 10.10.14.0 255.255.255.0 1.1.1.2/配置静态路由4.1.3ACL 的配置R1 中的配置:access-list 10 permit 10.10.0.0 0.0.255.255/控制列表 10,准许 10.10.0.0/16 网段的主机通过R3 中的配置:access-list 100 permit ip 10.10.7.0 0.0.0.255 10.10.9.0 0.0.0.255access-list 100 permit ip 10.10.6.0 0.0.0.255 10.10.9.0 0.0.0.2554.1.4OSPF 的配置R1 中的配置router ospf 100log-adjacency-changesnetwork 202
