《校园局域网设计.doc》由会员分享,可在线阅读,更多相关《校园局域网设计.doc(29页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、#+ 安徽财贸职业学院 毕业论文论文题目 校园网络设计方案 摘 要随着网络建设的逐步普及,大学高校局域网络的建设是高校向高水平、研究性大学跨进的必然选择,高校校园网网络系统是一个非常庞大而复杂的系统,它不仅为高校的发展、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且,能够使教育、教学、科研三位一体,提高教育教学质量。而校园网网络建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的,因此本毕业设计课题将主要以校园局域网络建设过程可能用到的各种技术及实施方案为设计方向,为校园网的建设提供理论依据和实践指导。本为主要介绍了某大学校园网的组成,主要从需求分析,设计原则,网络拓扑,综
2、合布线,路由和交换,IP地址分配,网络管理和安全。其中综合布线和网络管理和安全比较详细。关键词: 校园网 网络设备 网络管理 网络安全 综合布线目 录第一章 校园网的简介11.1校园网的简介11.2校园网的意义1第二章 校园网络设计原则2第三章 校园网络需求分析33.1 校园网的业务需求33.2校园网的安全需求3第四章 校园网络拓扑结构设计44.1 校园的建筑状况分析44.2校园局域网的总体规划4第五章校园网络综合布线设计5第五章校园网络综合布线设计65.1校园网的信息点分析65.2工作区子系统65.3水平子系统75.4垂直子系统75.5设备间子系统85.6管理子系统85.7建筑群子系统85.
3、8综合布线标准95.8.1 EIA/TIA-568A建议的拓扑结构95.8.2IA/TIA-568A水平线缆10第六章 路由技术1161路由协议和种类11第七章 交换技术137.1 交换机的选择137.2 核心层交换机的说明配置147.3 汇聚层交换机的说明配置177.4 接入层交换机的说明配置19第八章 网路IP地址规划20第九章 校园网络管理和安全219.1校园网络管理219.2网络安全22致 谢24参考文献25第一章 校园网的简介1.1校园网的简介在网络信息时代的今天,为了提高学校的科研、教学、管理等各方面的技术水平,为研究开发和培养高层次人才建立现代化平台,建立高速多媒体校园网是非常必
4、要的。 校园网建设的目标主要是建立以校园网络为基础的行政、教学及师生之间交互式管理系统,逐步建立校园信息网络,实现办公自动化;为开展网上远程教学、多媒体交互式立体教学模式的探索提供高速、稳定的支持平台;逐步建立计算机辅助教学、计算机辅助考试等系统,为实现多媒体课件制作网络化,教师备课电子化、多媒体化打好基础;保证网络系统的开放性、可持续性发展,便于以后集成视频会议、视频点播等高层次教学功能。1.2校园网的意义校园网是各种类型网络中的一大分支,有着非常广泛的应用。本课题的理论意义和实践意义:l 校园网的建设和发展是推进素质教育的需要互联网已成为学校培养学生道德品质、创新能力等方面的新环境,成为培
5、养高素质人才的崭新的平台,是学校推进素质教育的需要。l 校园网的建设和发展是学校教育改革的战略制高点创建丰富多彩的校园网络文化对于转变陈旧的教育思想和观念,促进教学内容、教学方法、教学结构和教学模式的改革,对于深化基础教育改革,提高教育质量,培养高素质的创新人才具有深远意义。l 校园网的建设和发展是学校教育现代化的重点标志。第二章 校园网络设计原则网络设计应该遵循开放性和标准化原则、实用性与先进性兼顾原则、可用性原则、高性能原则 、经济性原则 、可靠性原则、安全第一原则、适度的可扩展性原则、充分利用现有资源原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS保证1.实用性与先进性 根
6、据学校实际情况和特点,在设计中特别强调实用性与先进性的结合,应采用成熟的网络技术,保证校园网实用;跟踪国际网络技术的新发展,设计技术先进的网络。在保证校园网可靠、实用、先进的基础上,可以提供研究先进网络技术的科研环境,方便学校的科研与开发。 2.开放性与标准化 整个校园网的设计采用开放的网络体系,以方便网络的升级、扩展和互联。同时,在选择服务器、网络产品时,强调产品支持的网络协议的国际标准化。 3.可靠性与安全性 在校园网的设计中,主要考虑两个层次:一是整个网络的可靠性与安全性,采用高可靠性、高安全性的网络体系结构,包括合理设计广域网的访问控制和内部局域网的访问控制、对外部网络访问链路的备份等
7、;二是网络设备的可靠性与安全性,主要是采用可带电插拔的模块、配置双电源、端口冗余、设置网络设备的用户表及口令限制等手段。 4.经济性与可扩充性 在满足学校需求的前提下,选用性价比高的网络设备和服务器。采用的网络架构和设备,应充分考虑到易升级换代,并且在升级时可以最大限度地保护原有的硬件设备和软件投资。第三章 校园网络需求分析3.1 校园网的业务需求在校园网中发生的信息流主要包括三个部分:教学过程信息流和管理过程信息流和Internet信息流。教学过程数据流大多为多媒体数据,包括高质量的图像、图形、数据、实时话音和视频流传输等管理过程信息流包括:教学教务管理信息流和行政办公信息流。Interne
8、t信息流主要建立在宽带、结构简化、综合业务应用齐全的IP基础网上或区域教育城域网上,提供教育城域网或广域网资源信息的传递和共享。此类数据流为载有语音、数据和视频信息的IP流。3.2校园网的安全需求学生接受新鲜事务的能力非常强,因此校园也成为黑客最多的场所之一, 如何保障校园网络的安全成为建网时不得不考虑的问题,目前主要攻击手段有DOS,DDOS等。同时具有上网日志的需求,主要是配合公安机关保证社会的稳定和校园的安全。据有关数字显示,目前校园网遭受的恶意攻击,90%来自高校网络内部,如何保障校园网络的安全成为高校校园网络建设时不得不考虑的问题。所以要采用防火墙技术、访问控制列表(ACL)等技术。
9、第四章 校园网络拓扑结构设计4.1 校园的建筑状况分析 本校园主要有图书馆、教学楼A区、教学楼B区、结算中心、学生公寓、实验楼和行政楼七部分组成,其几分布如下图图书馆教学楼A教学楼B实验楼结算中心学生公寓行政楼图4-1校园建筑状况图4.2校园局域网的总体规划 当前网络采用典型的三层结构:核心层、汇聚层和接入层。随着核心设备向着高密度、大容量的发展,未来网络采用扁平的高效结构:核心层和接入层。 从对学校建筑现状分析,其中可以把图书馆作为网络中心,教学楼A距离网络中心100米,教学楼B距离网络中心80米,实验楼距离网络中心100米,行政楼距离网络中心200米,结算中心距离网络中心200米,学生公寓
10、距离网络中500米。学校局域网可以采用三层结构,包括核心层、汇聚层、接入层。其中主干网称为核心层,主要连接全局共享服务器、建筑楼宇间的配线间设备,连接信息的线路及网络设备称为接入层。连接信息点的线路及网络设备称为接入层。核心层和汇聚层采用三层交换机,接入层采用二层交换机。分层网络有助于分配和划归带宽,有助于信息流量的局部化,也就是说全局网络对某个部门的信息访的需求很少。图4-2校园网络整体拓扑第五章校园网络综合布线设计5.1校园网的信息点分析在总部线之前,要对学校各栋建筑物的信息点进行统计,对学校各部门信息点统计如下表表5-1学校信息点分析表序号楼号1层2层3层4层5层6层信息点数1图书馆02
11、2200202062教学楼10000618243教学楼20000618244实验楼100200200200007005结算中心80000086行政楼488800287学生公寓8总计9905.2工作区子系统工作区子系统又称服务区子系统,由各个单元区域构成,是计算机、电话和信息插座的连接部分,包括连接跳线和信息插座。信息插座面板具备:通用、超薄、简易、防尘等特点;信息插座的模块采用类RJ-45模块;线缆采用超五类双绞线;水晶头采用RJ-45标准水晶头。为降低成本和结合客户终端的位置多变的特点,跳线可采用原装跳线与自制跳线相结合的方式,中心机房内设备之间、楼宇机柜内设备之间、服务器、重点客户终端的跳
12、线采用原装成品跳线,其余采用自制跳线。跳线制作统一采用EIA/TIA 568B标准,以使系统具有更好的兼容性5.3水平子系统水平子系统又称水平布线子系统,水平子系统是从RJ-45插座开始到管理子系统的配线柜,结构一般为星形。与水平子系统的区别是:水平子系统总是在一个楼层上,并与信息插座连接。在本校的设计中,水平子系统有4对UTP组成,能支持大多数现代化设备。从用户工作取得信息插座开始,水平子系统在交叉连接处链接。主要是实现信息插座和管理子系统,即中间配线架间的连接。水平子系统的设计一般应注意以下几点 。(1)水平子系统一般为UTP双绞线,长度一般不超过90米。(2)UTP双绞线必须敷设在线槽或
13、在天花板吊顶内布线,不提倡敷设地面线槽。(3)确定介质布线方法和电缆走向,确定服务接线间距离最近的I/O距离、最远的I/O距离。计算水平所需电缆长度。5.4垂直子系统垂直干线子系统又称干线子系统,提供建筑物的垂直电缆,负责链接管理子系统到设备间子系统。一般选用光纤火大对数的非屏蔽双绞线。垂直子系统提供建筑物处置电缆布线路由,通常是在两个单元之间。该子系统由所有的不限电缆组成,或由导线和光缆,以及将此光缆连到吉他地方的相关支撑硬件组合而成。垂直子系统还包括:垂直或远程通信接线间和设备之间的竖向或横向电缆通道,设备间和网口之间的连接电缆或设备与建筑群子系统各设施间的电缆,垂直接线间与各远程通信间的
14、连接电缆,主垂直配线间和计算机主机房之间的垂直电缆。设计与安装要注意以下事项。(1)垂直子系统一般采用5类UTP电缆或多模光纤,提高传输速率。(2)垂直电缆拐弯处不要垂直拐弯,应有相当的弧弯,一方线缆受损。(3)垂直电缆要安装在PVC管内或槽内,架空电缆要防止雷击。(4)确定没层楼的垂直要求和防雷击设施,确定整幢大楼的垂直要求和防雷击设施。5.5设备间子系统 设备间子系统也称为设备子系统。设备间子系统是布线系统最重要的管理区域,所有楼层的通信都电缆或光缆传至此。通常此系统安装在计算机系统、网络系统和程控机系统的主机房内。设备设置在每一栋大楼的是适当地点,有综合布线系统的建筑物进线设备、电话、数
15、据、交换机等各种通信设备及配线间设备等组成。设备间内的所有进线终端采用色标区别各类用途的配线区。设备间位置及大小应根据设备的数量、规模、最佳中心位置等内容综合考虑确定。设备间设计和安装宜注意以下事项。(1)设备间要有足够的空间,以保障设备的存放。(2)设备间要有良好的湿度环境和温度环境。(3)设备间应按机房建设标准设计,要有性能良好的接地保护系统。5.6管理子系统管理子系统设通信布线系统设备,包括水平、主干布线系统的机械和电器终端。管理子系统设置在楼层配线设备的房间内,应由交接间的配线设备、输入/输出设备等组成。如果管理子系统规模不大也可将管理子系统合并到设备间子系统中。对于信息点不是很多,使
16、用功能近似的楼层,为便于治理,仅设置一个共用的子配线间;对于信息点较多的楼层则在该层设立配线间。设计与安装时应注意以下几点。(1)配线架的对数由可管理的信息点决定。(2)利用配线架的跳线功能,可是配线系统灵活、功能多样化。(3)网络设备需配有安全接地保护系统和功率匹配的净化电源。(4)设备房间内保持一定的温度和湿度,保养好设备。5.7建筑群子系统建筑群子系统提供外部建筑物与大楼内部线连接点。建筑群子系统是综合布线的骨干部分,它支持楼宇间通信所需的硬件,其中包括导线电缆、光缆及防止电缆上的脉冲电压进入建筑全的电气保护装置。在建筑群子系统中,为了能远距离通信,以防止雷击对网络设备的损坏 ,一般采用
17、多模或单模光纤。室外敷设光缆,一般由三种情况:架空、直埋和地下管道,或者是三种情况的组合,具体情况已根据现场环境来决定。在本校的设计中,建筑曲子系统采用地下管道敷设方式,管道内敷设的光缆应遵循电话管道和入孔的各项设计规定。此外,安装时应预留24个备用管孔,一共扩充用。5.8综合布线标准 综合布线系统被广泛遵循的标准有:北美标准EIA/TIA-586A;国际标准化组织和国际电子技术委员会制定的ISO/IEC11801;欧洲通信布线标准EN5173。其中我国广泛采用北美标准EIA/TIA.。5.8.1 EIA/TIA-568A建议的拓扑结构5.8.1EIA/TIA-568A完全遵循结构化综合布线系
18、统规范,建议的拓扑结构是主干分层星形拓扑结构,如图5.8.1-1所示。5.8.1EIA/TIA-568A规定了两个层次。图5-1主干分层星形拓扑5.8.2IA/TIA-568A水平线缆(1)推荐使用的水平线缆。4对100类UTP;2对150STP-A端接IEEE802.5数据接口;62.5/125um双芯多模光缆,端接SC连接器。(2)水品线缆选择原则。每个工作区至少有两个通信插座,一个用于语音,另一个用于数据传输。第一个插座要是和三类或更高标准的4对100UTP。第二个插座要能支持5类4对100UTP,2对150STP-A电缆,62.5/125um及62.5/125um双芯多模等介质。第六章
19、 路由技术路由器是内部局域网和广域网的分界点,主要是能够进行数据包的转发和路径的选择。另外,路由器要能够支持不同网络提供商的接入,实现线路的冗余。61路由协议和种类在局域网络的建设中熟练掌握路由和交换技术是不可缺少的,采取什样的路由算法,要根据网络的拓扑结构而定,路由协议工作在OSI参考模型的第3层,因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。下面简单的介绍几种常见的路由协议。1.RIP协议RIP是一种简单的内部网关协议(Interior Gateway Protocol,简称IGP),主要用于规模较小的网络中,如园网路。RIP是一种基于距离矢量算
20、法的路由协议。使用跳数(hop count)来衡量到达目的网络的距离。他有两个版本RIPv1和RIPv2。2. OSPF开放最短路径优先路由协议OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议,用于在单一自治系统(autonomous system,AS)内决策路由。与RIP相对,OSPF是链路状态路由协议,而RIP是距离向量路由协议。链路是路由器接口的另一种说法,因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短路径构造路由表。OSPF路由协议是一种典
21、型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。在这里,路由域是指一个自治系统(Autonomous System),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。 作为一种链路状态的路由协议,OSPF将链路状态广播数据包LSA(Link State Advertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是
22、将部分或全部的路由表传递给与其相邻的路由器。在一个OSPF区域中只能有一个骨干区域,可以有多个非骨干区域,骨干区域的区域号为0。各非骨干区域间是不可以交换信息的,他们只有与骨干区域相连,通过骨干区域相互交换信息。非骨干区域和骨干区域之间相连的路由叫边界路由(ABRs-Area Border Routers),只有ABRs记载了各区域的所有路由表。各非骨干区域内的非ABRs只记载了本区域内的路由表,若要与外部区域中的路由相连,只能通过本区域的ABRs,由ABRs连到骨干区域的BR,再由骨干区域的BR连到要到达的区域。骨干区域和非骨干区域的划分,大大降低了区域内工作路由的负担。其中,RIP和OSP
23、F路由协议是通用的路由协议。第七章 交换技术 7.1 交换机的选择交换机分为二层交换机和三层交换机两种类型,其中二层交换机的工作原理是:(1)当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样它就知道源MAC地址的机器是连在哪个端口上的; (2)再去读取包头中的目的MAC地址,并在地址表中查找相应的端口;(3)如表中有与这目的MAC地址对应的端口,把数据包直接复制到这端口上;(4)如表中找不到相应的端口则把数据包广播到所有端口上,当目的机器对源机器回应时,交换机又可以学习一目的MAC地址与哪个端口对应,在下次传送数据时就不再需要对所有端口进行广播了。不断的循环这个过程,对于全
24、网的MAC地址信息都可以学习到,二层交换机就是这样建立和维护它自己的地址表。可以看出二层交换机没有路由功能,当不同的子网进行通信是要借助路由器实现数据包的转发,所以当子网数量较多时,路由器的接口数量就成了一个瓶颈,而三层交换机就能解决这一缺点。三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发,加入路由功能也是为这个目的服务的。因此具有路由功能的快速转发的三层交换机就成为首选。我们选择 CISCO 3560-24PS作为核心层交换机,这个设备有26个端口,其中有两个端口支持1Gbps的带宽,选择CISCO 2950-24二层交换机作为接入层交换机,这个设备有24个接口,能够实现10
25、M/100M自适应到桌面的功能,而且,这两款交换机都支持vlan功能。7.2 核心层交换机的说明配置核心层的功能主要是实现骨干网络之间的优化传输,核心层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在核心层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。核心交换机采用两个三层交换机,(1)基于端口vlan的划分这是最常应用的一种VLAN划分方法,应用也最为广泛、最有效,目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物
26、理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。从这种划分方法本身我们可以看出,这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口,到了一个新的交换机的某个端口,必须重新定义。在核心交换机上的配置如下:sw0(config)#int f 0/1sw0(config-if)#switchport mode trunksw0(config-if)#switchport access vlan 2sw0(config)#int
27、 f 0/2sw0(config-if)#switchport mode trunksw0(config-if)#switchport access vlan 3sw0(config)#int f 0/3sw0(config-if)#switchport mode trunksw0(config-if)#switchport access vlan 4sw1(config)#int f 0/1sw1(config-if)#switchport mode trunksw1(config-if)#switchport access vlan 5sw1(config)#int f 0/2sw1(co
28、nfig-if)#switchport mode trunksw1(config-if)#switchport access vlan 6sw1(config)#int f 0/3sw1(config-if)#switchport mode trunksw1(config-if)#switchport access vlan 7sw1(config)#int f 0/4sw1(config-if)#switchport mode trunksw1(config-if)#switchport access vlan 8sw1(config)#int f 0/5sw1(config-if)#swi
29、tchport access vlan 9(2)配置VLAN的各各接口的地址sw0(config)#int vlan 2sw0(config-if)#ip add 172.16.2.1 255.255.0.0sw0(config-if)#no shutdownsw0(config-if)#exitsw0(config)#int vlan 3sw0(config-if)#ip add 172.17.3.1 255.255.0.0sw0(config-if)#no shutdownsw0(config-if)#exitsw0(config)#int vlan 4sw0(config-if)#ip
30、add 192.168.4.1 255.255.255.0sw0(config-if)#no shutdownsw1(config)#int vlan 5sw1(config-if)#ip add 192.168.5.1 255.255.255.0sw1(config-if)#no shutdownsw1(config-if)#exitsw1(config)#int vlan 6sw1(config-if)#ip add 172.18.6.1 255.255.0.0sw1(config-if)#no shutdownsw1(config-if)#exitsw1(config)#int vlan
31、 7sw1(config-if)#ip add 192.168.7.1 255.255.255.0sw1(config-if)#no shutsw1(config-if)#exitsw1(config)#int vlan 8sw1(config-if)#ip add 192.168.8.1 255.255.255.0sw1(config-if)#no shutsw1(config)#int vlan 9sw1(config-if)#ip add 192.168.9.1 255.255.255.0sw1(config-if)#no shut(3)端口聚合提供冗余备份链路,端口聚合又称链路聚合,是
32、指两台交换机之间在物理上将多个端口连接起来,将多条链路聚合成一条逻辑链路。从而增大链路带宽,解决交换网络中因带宽引起的网络瓶颈问题。多条物理链路之间能够相互冗余备份,其中任意一条链路断开,不会影响其他链路的正常转发数据。该核心交换机采用的是两条,具体配置如下:Switch(config)#inter port-channel 1 Switch(config-if)#no switchport Switch(config-if)#no shutdown Switch(config-if)#ip address 172.19.0.1 255.255.0.0Switch(config)#inter
33、gig0/1Switch(config-if)#channel-gSwitch(config-if)#channel-group 1 m onSwitch(config)#inter gig0/2Switch(config-if)#channel-group 1 m on(4)两个三层核心交换机之间的RIP路由协议,具体配置代码如下:sw0(config)#router ripsw0(config-router)#network 172.16.0.0sw0(config-router)#network 172.17.0.0sw0(config-router)#network 172.19.0.
34、0sw0(config-router)#network 172.20.0.0sw0(config-router)#network 192.168.4.0sw0(config-router)#version 2sw0(config-router)#no auto-summarysw1(config)#router ripsw1(config-router)#network 192.168.0.0sw1(config-router)#network 192.168.5.0sw1(config-router)#network 192.168.6.0sw1(config-router)#network
35、 172.18.0.0sw1(config-router)#network 172.19.0.0sw1(config-router)#network 192.168.7.0sw1(config-router)#network 192.168.8.0sw1(config-router)#version 2sw1(config-router)#no auto-summary7.3 汇聚层交换机的说明配置汇聚层提供基于统一策略的互连性,它是核心层和访问层的分界点,定义了网络的边界,对数据包进行复杂的运算。在园区网络环境中,汇聚层主要提供如下功能:地址的聚集部门和工作组的接入广播域/多目传输域的定义I
36、nter VLAN路由介质的转换安全控制当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协(Vlan Trunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。将分布层交换机学生公寓区的交换机设置成为VTP服务器,其他交换机设置成为VTP客户机。(1)访问层交换机学生公寓区的交换机作为服务器的配置如下:s4#vlan databases4(vlan)#vtp domain dongs4(vlan)#vlan 2s4(vlan)#v
37、lan 3s4(vlan)#vlan 4s4(vlan)#vlan 5s4(vlan)#vlan 6s4(vlan)#vlan 7s4(vlan)#vlan 8s4(vlan)#vlan 9s4(vlan)#vtp server(2)trunk端口在最普遍的路由与交换领域,VLAN的端口聚合也有的叫TRUNK,不过大多数都叫TRUNKING ,如CISCO公司。所谓的TRUNKING是用来在不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。其中交换机之间互联用的端口就称为TRUNK端口。与一般的交换机的级联不同,TRUNKING是基于OSI第二层数据链路
38、层(DataLinkLayer)RUNKING技术,如果你在2个交换机上分别划分了多个VLAN(VLAN也是基于Layer2的),那么分别在两个交换机上的VLAN10和VLAN20的各自的成员如果要互通,就需要在A交换机上设为VLAN10的端口中取一个和交换机B上设为VLAN10的某个端口作级联连接。VLAN20也是这样。那么如果交换机上划了10个VLAN就需要分别连10条线作级联,端口效率就太低了。 当交换机支持TRUNKING的时候,事情就简单了,只需要2个交换机之间有一条级联线,并将对应的端口设置为Trunk,这条线路就可以承载交换机上所有VLAN的信息。这样的话,就算交换机上设了上百个
39、个VLAN也只用1个端口就解决了。如果是不同台的交换机上相同id的vlan要相互通信,那么可以通过共享的trunk端口就可以实现,如果是同一台上不同id的vlan/不同台不同id的vlan它们之间要相互通信,需要通过第三方的路由来实现。该层对学生公寓区交换机trunk配置如下:s4(config)#int f 0/1s4(config-if)#switchport mode trunks4(config)#int f 0/2s4(config-if)#switchport mode trunks4(config)#int f 0/3s4(config-if)#switchport mode t
40、runks4(config)#int f 0/4s4(config-if)#switchport mode trunk7.4 接入层交换机的说明配置接入层是最终用户(教师、学生) 与网络的接口,它应该提供即插即用的特性,同时应该非常易于使用和维护。另外,通过VTP的设置,我们可以更好的将汇聚层的vlan信息导入到接入层,只需要将不同的端口加入不同的vlan,就能够是机器之间通信。在该层的一个交换机上的配置如下:!进入vtp数据库Switch#vlan datadase!设置vtp域名Switch(vlan)#vtp domain dong!设置vtp模式Switch(vlan)#vtp cli
41、entSwitch(vlan)#exitSwitch#configgure terminal!配置接口F0/1为中继接口Switch(config-if)#int f0/1!设置为trun模式Switch(config-if)#switchport mode trunk第八章 网路IP地址规划IP地址分为公网地址和私网地址两类,公有地址(Public address)由Inter NIC(Internet Network Information Center 因特网信息中心)负责。这些IP地址分配给注册并向Inter NIC提出申请的组织机构,通过它直接访问因特网。私有地址(Private a
42、ddress)属于非注册地址,专门为组织机构内部使用。以下列出留用的内部私有地址A类 10.0.0.0-10.255.255.255B类 172.16.0.0-172.31.255.255C类 192.168.0.0-192.168.255.255本校各部门均采用C类私有IP地址,各部门的IP地址分布如下表6-1各部门IP地址分配 第九章 校园网络管理和安全9.1校园网络管理随着校园网的不断发展和应用,网络管理和安全防范问题也越来越复杂。为此,我校专门设立了网络管理中心,负责网络管理系统的建立和应用、线路和站点的监测、通信设备管理、全局目录管理、用户和文件管理及收费管理、用户培训等。同时,利用
43、网管中心,可以方便地采取各种安全性措施,控制通信,购买硬件防火墙,即时下载系统漏洞,实施新的安全技术,数据备份等提高网络可靠和安全性能水平。校园网管理的主要目的是保障网络运行的品质,如维持网络传送速率、降低传送错误率、确保网络安全等。所以校园网系统管理的技术人员可借网络管理工具或本身的技术经验实施网络管理,内容可分为下列7项: (1)系统管理随时掌握网络内任何设备的增减与变动,管理所有网络设备的设置参数。当故障发生时,管理人员得以重设或改变网络设备的参数,维持网络的正常运作。 (2)故障管理为确保网络系统的高稳定性,在网络出现问题时,必须及时察觉问题的所在。它包含所有节点动作状态、故障记录的追
44、踪与检查及平常对各种通讯协议的测试。 (3)效率管理在于评估网络系统的运作,统计网络资源的运用及各种通讯协议的传输量等,更可提供未来网络提升或更新规划的依据。 (4)安全管理为防范不被授权的用户擅自使用网络资源,以及用户蓄意破坏网络系统的安全,要随时做好安全措施,如合法的设备存取控制与加密等。 (5)计费管理了解网络使用时间,能针对各个局部网络做使用统计。一则可作为使用网络计费的依据,更可作为日后网络升级或更新规划的参考。 (6)信息管理网络上的信息分成两部分,一是由管理员放置的信息,它们的品质一般较高;另一部分是由用户放置的,可能会有一些问题,要对这部分信息进行管理。 (7)人员培训要真正提
45、高校园网的应用水平,就必须坚持不懈地在教学和学习中应用网络,以切实提高教学水平、管理水平和学习水平,其中加强对相关人员的培训十分必要。为此我校正举办网络技术培训班,对校园网的四类实用人员,即学校领导、系统维护人员、课件制作人员和应用系统使用人员,分期分批进行网络培训,以提高全体师生的网络应用水平,并促进校园网的健康发展。9.2网络安全主机安全技术:加强网络上结点计算机的安全,包括:系统防火墙的规则设置、更新。系统漏洞补丁升级更新,在人们的潜意识里增加安全防范意识等等。身份认证技术:身份验证技术可以阻止或减少由于非法用户的登陆对系统的恶意或非法操作。在用户访问服务器上任何信息之前,可以要求用户提
46、供有效的 Microsoft Windows用户帐户、用户名和密码。该标识过程称为“身份验证”。可以在网站或FTP站点、目录或文件级别设置身份验证。可以使用Internet信息服务(IIS提供的)身份验证方法来控制对网站和FTP站点的访问。(包括下列信息:网站验证:介绍符合您验证用户网站访问要求的身份验证方法。FTP站点身份验证:介绍符合您验证用户FTP站点访问要求的身份验证方法。)访问控制技术:对信息的权限的控制,阻止了非授权用户进行的信息的浏览,修改甚至破坏。适当地控制对Web和FTP内容的访问是安全运行Web服务器的关键。使用 Windows和IIS中的安全功能,您可以有效地控制用户访问您Web和FTP内容的方式。可以控制多级访问,从整个网站和FTP站点到单独的文件。每个帐户均