畢業(yè)論文---校園網(wǎng)網(wǎng)絡(luò)中心機(jī)房網(wǎng)絡(luò)設(shè)備的設(shè)計(jì)與實(shí)現(xiàn)

1、<p><b>　　計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)</b></p><p><b>　　畢業(yè)設(shè)計(jì)報(bào)告書(shū)</b></p><p>　　題目：校園網(wǎng)網(wǎng)絡(luò)中心機(jī)房網(wǎng)絡(luò)設(shè)備的設(shè)計(jì)與實(shí)現(xiàn)</p><p><b>　　前言</b></p><p>　　隨著近年來(lái)校園信息化建設(shè)的深入，校園的運(yùn)

2、作越來(lái)越融入計(jì)算機(jī)網(wǎng)絡(luò)，校園的溝通、應(yīng)用、財(cái)務(wù)、決策、會(huì)議等等數(shù)據(jù)流都在校園網(wǎng)絡(luò)上傳輸，構(gòu)建一個(gè)“安全可靠、性能卓越、管理方便”的“高品質(zhì)”大型校園網(wǎng)絡(luò)已經(jīng)成為校園信息化建設(shè)成功的關(guān)鍵基石。</p><p>　　校園網(wǎng)是一個(gè)寬帶、且有交互功能和專(zhuān)業(yè)性很強(qiáng)的局域網(wǎng)絡(luò)。它為學(xué)院師生提供教學(xué)、科研和綜合信息服務(wù)起了重要的作用。如多媒體教學(xué)軟件開(kāi)發(fā)平臺(tái)、多媒體演示教室、老師系統(tǒng)、電子閱覽室以及教學(xué)、考試資料庫(kù)等。<

3、/p><p>　　在校園網(wǎng)中，主要的網(wǎng)絡(luò)設(shè)備都集中在網(wǎng)絡(luò)中心機(jī)房里。如用于核心層的三層交換機(jī)，用于匯聚層的三層交換機(jī)，還有各種服務(wù)器，如DHCP服務(wù)器、DNS服務(wù)器、FTP服務(wù)器、WEB服務(wù)器、Email服務(wù)器，以及防火墻等等。網(wǎng)絡(luò)中心機(jī)房連接著各個(gè)學(xué)院的學(xué)生宿舍樓宇和學(xué)校行政樓宇，以及與外界聯(lián)系。它擔(dān)當(dāng)著所有數(shù)據(jù)的傳輸、轉(zhuǎn)發(fā)、分類(lèi)匯總以及流量控制等等功能。校園網(wǎng)的實(shí)現(xiàn)即方便了教師的日常教學(xué)和與學(xué)生的日常交流，也方便

4、了教師與學(xué)生的日常娛樂(lè)生活。因而網(wǎng)絡(luò)中心機(jī)房的網(wǎng)絡(luò)設(shè)備選擇以及配置好不好，直接影響到整個(gè)學(xué)院的網(wǎng)絡(luò)是否正常運(yùn)行以及網(wǎng)絡(luò)安全。針對(duì)這一問(wèn)題，下面我們五人小組將詳細(xì)分析介紹網(wǎng)絡(luò)中心機(jī)房的規(guī)劃與實(shí)現(xiàn)。</p><p><b>　　目錄</b></p><p><b>　　一、項(xiàng)目概要4</b></p><p><b&g

5、t;　　1、項(xiàng)目概括4</b></p><p><b>　　2、總體目標(biāo)4</b></p><p><b>　　3、設(shè)計(jì)原則4</b></p><p>　　二、網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)6</p><p>　　1、網(wǎng)絡(luò)主干技術(shù)6</p><p>　　（1）現(xiàn)有技術(shù)分

6、析6</p><p>　?。?）主干技術(shù)選擇7</p><p>　　2、網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)7</p><p>　　3、網(wǎng)絡(luò)拓?fù)浞治?</p><p>　　4、VLAN規(guī)劃9</p><p><b>　　5、IP規(guī)劃10</b></p><p>　　6、網(wǎng)絡(luò)設(shè)備的選擇

7、18</p><p>　?。?）接入層交換機(jī)18</p><p>　?。?）匯聚層交換機(jī)20</p><p>　?。?）核心層交換機(jī)23</p><p>　?。?）邊界路由器26</p><p>　　7、網(wǎng)絡(luò)設(shè)備配置28</p><p>　?。?）邊界路由器配置28</p>

8、;<p>　?。?）核心交換機(jī)配置30</p><p>　　（3）匯聚層配置32</p><p>　　三、網(wǎng)絡(luò)安全38</p><p><b>　　1、防火墻38</b></p><p>　　2、入侵檢測(cè)（IDS）41</p><p>　　四、應(yīng)用服務(wù)器51<

9、/p><p><b>　　需求分析51</b></p><p>　　1）、ftp服務(wù)需求分析51</p><p>　　2）、web服務(wù)需求分析53</p><p>　　3）、dhcp服務(wù)需求分析55</p><p>　　4）、dns服務(wù)需求分析57</p><p>　

10、　5）、Email服務(wù)需求分析60</p><p>　　6）、存儲(chǔ)配置63</p><p>　　五、項(xiàng)目設(shè)計(jì)總結(jié)64</p><p>　　1、網(wǎng)絡(luò)設(shè)備列表64</p><p><b>　　2、投資分析64</b></p><p><b>　　投資概述64</b>&

11、lt;/p><p>　　3、投資可行性分析65</p><p>　　（1）項(xiàng)目投資65</p><p>　?。?）項(xiàng)目收益66</p><p><b>　　4、總結(jié)66</b></p><p><b>　　項(xiàng)目概要</b></p><p><

12、b>　　1、項(xiàng)目概括</b></p><p>　　廣東交通職業(yè)技術(shù)學(xué)校是一所省教育廳主管、行業(yè)特色鮮明、工科專(zhuān)業(yè)為主的綜合性高職院校，用地面積300多畝，學(xué)校有著多個(gè)建筑樓群包括行政樓、校友樓、圖書(shū)管、教學(xué)樓、宿舍樓等等，建筑面積20多萬(wàn)平方米。</p><p>　　本方案旨在為廣東交通職業(yè)技術(shù)學(xué)校的校園網(wǎng)的網(wǎng)絡(luò)中心機(jī)房作一個(gè)詳細(xì)的規(guī)劃。通過(guò)結(jié)合學(xué)校的實(shí)際情況，分析校園網(wǎng)

13、絡(luò)中心機(jī)房建設(shè)的目標(biāo)、設(shè)計(jì)原則、網(wǎng)絡(luò)中心機(jī)房設(shè)備的選擇與配置、應(yīng)用服務(wù)器的設(shè)計(jì)與配置、網(wǎng)絡(luò)安全設(shè)計(jì)等，然后進(jìn)一步討論網(wǎng)絡(luò)拓?fù)鋱D的設(shè)計(jì)結(jié)構(gòu)、VLAN的劃分、IP地址的分配等。</p><p>　　在網(wǎng)絡(luò)設(shè)備的選擇上，按校園網(wǎng)所需的功能來(lái)決定網(wǎng)絡(luò)結(jié)構(gòu)中各層所需的設(shè)備，然后再?gòu)脑O(shè)備本身的可擴(kuò)展性、性?xún)r(jià)比高低等方面考慮。本方案中將對(duì)所選擇的設(shè)備的性能參數(shù)一一列表出來(lái)。另設(shè)備的配置代碼也會(huì)全列舉出來(lái)。這樣在設(shè)備這一方面便能

14、一目了然。</p><p><b>　　2、總體目標(biāo)</b></p><p>　　隨著近年來(lái)學(xué)校信息化建設(shè)的深入，學(xué)校的運(yùn)作越來(lái)越融入計(jì)算機(jī)網(wǎng)絡(luò)，且隨著國(guó)家科教興國(guó)，要求“實(shí)施全面素質(zhì)教育”的教育理念不斷推行下，現(xiàn)代信息技術(shù)正向高校教學(xué)、科研、管理等方面的每一個(gè)環(huán)節(jié)滲透，這將有效改變傳統(tǒng)的教學(xué)模式，并大幅度提高教育資源的利用效率。</p><p&g

15、t;　　廣東交通職業(yè)技術(shù)學(xué)園響應(yīng)國(guó)家與社會(huì)的要號(hào)召，積極推動(dòng)學(xué)校信息化基礎(chǔ)設(shè)施建設(shè)。努力將學(xué)校建設(shè)成為一個(gè)信息化時(shí)代下的高水平的智能化、數(shù)字化校園，從而為學(xué)校的教育信息化打下堅(jiān)實(shí)的基礎(chǔ)。</p><p>　　校園網(wǎng)的建設(shè)與實(shí)現(xiàn)主要是依靠網(wǎng)絡(luò)中心機(jī)房的建設(shè)，根據(jù)校園的網(wǎng)絡(luò)建設(shè)與網(wǎng)絡(luò)應(yīng)用的實(shí)際情況，主要實(shí)現(xiàn)以下建設(shè)總體目標(biāo)：</p><p>　?。?）建設(shè)數(shù)字化校園，為學(xué)校計(jì)算機(jī)工程學(xué)院、公路

16、學(xué)院、物流學(xué)院、汽車(chē)學(xué)院、城軌學(xué)院這五大學(xué)院以及各個(gè)部門(mén)提供快捷有效的信息服務(wù)、提供良好的通信環(huán)境。</p><p>　　（2）建立多種服務(wù)器。如：DHCP服務(wù)器、DNS服務(wù)器、郵件服務(wù)器、FTP服務(wù)器、WEB服務(wù)器，主要用于方便教學(xué)和師生日常的上網(wǎng)娛樂(lè)以及資源下載。</p><p>　?。?）為校園創(chuàng)造一個(gè)安全、高效、便捷的教學(xué)環(huán)境、科研環(huán)境和生活環(huán)境</p><p&

17、gt;<b>　　3、設(shè)計(jì)原則</b></p><p><b>　　實(shí)用性</b></p><p>　　校園網(wǎng)設(shè)計(jì)應(yīng)能滿(mǎn)足學(xué)校目前對(duì)網(wǎng)絡(luò)應(yīng)用的要求，如本方案中建立的FTP服務(wù)、郵件服務(wù)、WEB服務(wù)等應(yīng)用服務(wù)充分實(shí)現(xiàn)學(xué)校內(nèi)部管理、教學(xué)和科研的網(wǎng)絡(luò)化、信息化的要求，使網(wǎng)絡(luò)的整體性能盡快得到充分的發(fā)揮，并且便于掌握。滿(mǎn)足管理職能的需求，為提高管理決策的

18、及時(shí)性和準(zhǔn)確性提供高質(zhì)量的信息服務(wù)，增強(qiáng)對(duì)運(yùn)行的協(xié)調(diào)和監(jiān)控能力。</p><p><b>　　先進(jìn)性</b></p><p>　　在校園網(wǎng)絡(luò)建設(shè)過(guò)程中，使用三層結(jié)構(gòu)，即采用萬(wàn)兆主干、千兆匯聚、百兆接入的網(wǎng)絡(luò)結(jié)構(gòu)。在網(wǎng)絡(luò)設(shè)備上，由于現(xiàn)在計(jì)算機(jī)技術(shù)的發(fā)展十分迅速，更新?lián)Q代周期越來(lái)越短，因而在選擇設(shè)備時(shí)，要充分注意其設(shè)備的先進(jìn)性，既能滿(mǎn)足當(dāng)前院校對(duì)網(wǎng)絡(luò)的應(yīng)用與安全的需求，又

19、可以在將來(lái)需要擴(kuò)展的時(shí)候，保護(hù)目前的所有投資；設(shè)計(jì)的配置可以靈活變通，以便適應(yīng)客戶(hù)的其他要求。符合計(jì)算機(jī)技術(shù)發(fā)展趨勢(shì)，采用先進(jìn)成熟的技術(shù)，堅(jiān)持技術(shù)的開(kāi)發(fā)性，易于技術(shù)更新。在此項(xiàng)目中，我們主要采用了現(xiàn)行企業(yè)用得比較廣泛的銳捷網(wǎng)絡(luò)設(shè)備。</p><p><b>　　可擴(kuò)展性</b></p><p>　　系統(tǒng)應(yīng)是可擴(kuò)展的，以便將來(lái)有更大需求時(shí)，容易將設(shè)備安裝進(jìn)去。系統(tǒng)規(guī)模及

20、檔次要易于護(hù)，可以方便地進(jìn)行設(shè)備擴(kuò)充和適應(yīng)工程的變化，以及靈活地進(jìn)行軟件版本的更新和升級(jí)，保護(hù)學(xué)生用戶(hù)的個(gè)人信息。由于信息技術(shù)和人們對(duì)新技術(shù)的需求發(fā)展都非常迅速，為了解決由于學(xué)校擴(kuò)展招生等這類(lèi)的問(wèn)題，應(yīng)該選擇具有一定擴(kuò)展能力的設(shè)備，能夠保證在網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大的時(shí)候，不需要增加設(shè)備，而是需要增加一定數(shù)量的模塊就行。</p><p><b>　　靈活性</b></p><p&

21、gt;　　采用了熱備份協(xié)議，讓設(shè)備的自行啟用備份功能處理故障帶有靈活性。采用結(jié)構(gòu)化模塊化的設(shè)計(jì)形式，滿(mǎn)足系統(tǒng)及用戶(hù)各種不同的應(yīng)用要求，適應(yīng)學(xué)校擴(kuò)招調(diào)整變化。</p><p><b>　　安全性與保密性</b></p><p>　　校園骨干網(wǎng)絡(luò)為多個(gè)用戶(hù)內(nèi)部網(wǎng)提供互連并支持多種服務(wù)，要求能進(jìn)行靈活有效的安全控制，同時(shí)還應(yīng)支持虛擬專(zhuān)網(wǎng)，以提供多層次的安全選擇。在系統(tǒng)設(shè)計(jì)中

22、，考慮信息資源的充分共享，注意信息的保護(hù)和隔離。因此系統(tǒng)應(yīng)分別針對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等。本方案采用的銳捷網(wǎng)絡(luò)設(shè)備充分考慮安全性，針對(duì)的各種應(yīng)用，有多種機(jī)制，如劃分VLAN、IP/MAC地址綁定（過(guò)濾）、ACL訪(fǎng)問(wèn)控制列表、IDS防入侵攻擊，以及采用思科的網(wǎng)絡(luò)設(shè)備作為防火墻，過(guò)濾不良信息等技術(shù)提升整個(gè)網(wǎng)絡(luò)的安全性</p><p><b>　

23、　綜合性</b></p><p>　　對(duì)于網(wǎng)絡(luò)設(shè)備功能的了解與選擇是整個(gè)項(xiàng)目可行性的重要內(nèi)容之一。它即要滿(mǎn)足整個(gè)校園網(wǎng)的正常運(yùn)行，以及能與外界保持聯(lián)系，滿(mǎn)足用戶(hù)要求，又要便于系統(tǒng)維護(hù)，以及系統(tǒng)二次開(kāi)發(fā)與移植?；谝陨显瓌t，我們所選擇的網(wǎng)絡(luò)設(shè)備具有以下特點(diǎn)：</p><p>　　在滿(mǎn)足設(shè)計(jì)方案的功能要求的前提下，還應(yīng)具有高度的可擴(kuò)展性，能夠?yàn)槲磥?lái)的用戶(hù)可能出現(xiàn)的功能需求提供可能性

24、。</p><p>　　采用國(guó)標(biāo)統(tǒng)一標(biāo)準(zhǔn)，以擁有廣泛的支持廠商，最大限度的采用同一品牌的產(chǎn)品。</p><p>　　出于對(duì)用戶(hù)現(xiàn)有網(wǎng)絡(luò)的平滑過(guò)度，在能夠?qū)崿F(xiàn)網(wǎng)絡(luò)與虛網(wǎng)絡(luò)連接的前提下，使公司現(xiàn)有陳舊設(shè)備盡量保持較好的利用價(jià)值。</p><p><b>　　網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)</b></p><p><b>　　1、網(wǎng)絡(luò)

25、主干技術(shù)</b></p><p><b>　?。?）現(xiàn)有技術(shù)分析</b></p><p>　　傳統(tǒng)的網(wǎng)絡(luò)技術(shù)存在的局限性很大，限制了計(jì)算機(jī)能力的發(fā)揮。傳統(tǒng)的網(wǎng)絡(luò)技術(shù)采用的是網(wǎng)絡(luò)上所有的站點(diǎn)共享一條公共的通道的方式進(jìn)行操作，也就是共享訪(fǎng)問(wèn)鏈路的方式；即多臺(tái)計(jì)算機(jī)使用粗同軸電纜為共享介質(zhì)進(jìn)行連接，無(wú)論哪一臺(tái)主機(jī)發(fā)送數(shù)據(jù)，其余的所有主機(jī)都能收到。因此當(dāng)多臺(tái)計(jì)算機(jī)

26、同時(shí)發(fā)送數(shù)據(jù)時(shí)它們的數(shù)據(jù)信號(hào)就會(huì)在信道內(nèi)發(fā)生碰撞，互相干擾，使信號(hào)變成不能識(shí)別的垃圾，為了解決這樣的問(wèn)題，當(dāng)數(shù)據(jù)信號(hào)在信道內(nèi)發(fā)生沖突時(shí)，遵循CSMA/CD（多路載波偵聽(tīng)/沖突檢測(cè))協(xié)議。但是傳統(tǒng)的網(wǎng)絡(luò)技術(shù)依然存在著一定的局限性。因此，為了解決網(wǎng)絡(luò)中出現(xiàn)的種種問(wèn)題，以太網(wǎng)交換技術(shù)，快速以太網(wǎng)技術(shù)，千兆以太網(wǎng)以及ATM技術(shù)，這些用于提高網(wǎng)絡(luò)性能的先進(jìn)的網(wǎng)絡(luò)技術(shù)先后出世了。</p><p><b>　　交換式

27、以太網(wǎng)</b></p><p>　　隨著網(wǎng)絡(luò)的使用越來(lái)越廣泛，網(wǎng)絡(luò)上需要傳輸?shù)臄?shù)據(jù)越來(lái)越多，多媒體應(yīng)用不斷地吃掉帶寬，人們迫切需要一個(gè)更快速的LAN,于是20世紀(jì)90年代初，交換式以太網(wǎng)被設(shè)計(jì)出來(lái)。這種網(wǎng)絡(luò)在近幾年運(yùn)用的非常廣泛。</p><p>　　交換式以太網(wǎng)是以交換式集線(xiàn)器或交換機(jī)為中心構(gòu)成，是一種星型拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)。簡(jiǎn)稱(chēng)為交換機(jī)為核心設(shè)備而建立起來(lái)的一種高速網(wǎng)絡(luò)。<

28、;/p><p>　　這種系統(tǒng)的核心是一個(gè)交換機(jī)。交換機(jī)具有多個(gè)連接器，每個(gè)連接器有一個(gè)10BASE-T雙絞線(xiàn)接口，可以連接一臺(tái)主機(jī)。交換機(jī)還具有一塊高速的底板，用于在連接器之間高速傳輸數(shù)據(jù)。</p><p>　　交換式以太網(wǎng)可在高速與低速網(wǎng)絡(luò)間轉(zhuǎn)換，實(shí)現(xiàn)不同網(wǎng)絡(luò)的協(xié)同。目前大多數(shù)交換式以太網(wǎng)都具有100MBPS的端口，通過(guò)與之相對(duì)應(yīng)的100MBPS的網(wǎng)卡接入到服務(wù)器上，暫時(shí)解決了10MBPS的

29、瓶頸，成為網(wǎng)絡(luò)局域網(wǎng)升級(jí)時(shí)首選的方案。</p><p><b>　　快速以太網(wǎng)技術(shù)</b></p><p>　　快速以太網(wǎng)與原來(lái)在100Mbps帶寬下工作的FDDI相比它具有許多的優(yōu)點(diǎn)，最主要體現(xiàn)在快速以太網(wǎng)技術(shù)可以有效的保障用戶(hù)在布線(xiàn)基礎(chǔ)實(shí)施上的投資，它支持3、4、5類(lèi)雙絞線(xiàn)以及光纖的連接，能有效的利用現(xiàn)有的設(shè)施。快速以太網(wǎng)可以滿(mǎn)足日益增長(zhǎng)的網(wǎng)絡(luò)數(shù)據(jù)流量速度需求。&

30、lt;/p><p><b>　　千兆以太網(wǎng)技術(shù)</b></p><p>　　千兆以太網(wǎng)是建立在以太網(wǎng)標(biāo)準(zhǔn)基礎(chǔ)之上的技術(shù)。千兆以太網(wǎng)和大量使用的以太網(wǎng)與快速以太網(wǎng)完全兼容，并利用了原以太網(wǎng)標(biāo)準(zhǔn)所規(guī)定的全部技術(shù)規(guī)范，其中包括CSMA/CD協(xié)議、以太網(wǎng)幀、全雙工、流量控制以及IEEE 802.3標(biāo)準(zhǔn)中所定義的管理對(duì)象。</p><p>　　同100M位以

31、太網(wǎng)一樣,千兆位以太網(wǎng)使用與10M位以太網(wǎng)相同的幀格式和幀大小,以及相同的CSMA/CD協(xié)議。這意味著廣大的以太網(wǎng)用戶(hù)可以對(duì)現(xiàn)有以太網(wǎng)進(jìn)行平滑的、無(wú)需中斷的升級(jí),而且無(wú)需增加附加的協(xié)議?；蛑虚g件。同時(shí),千兆位以太網(wǎng)還繼承了以太網(wǎng)的其它優(yōu)點(diǎn),如可靠性較高,易于管理等。 </p><p><b>　　ATM技術(shù)</b></p><p>　　隨著用戶(hù)對(duì)網(wǎng)絡(luò)帶寬與對(duì)帶寬高效、

32、動(dòng)態(tài)分配需求的不斷增長(zhǎng)；用戶(hù)對(duì)網(wǎng)絡(luò)實(shí)時(shí)應(yīng)用需求的提高；網(wǎng)絡(luò)的設(shè)計(jì)與組建進(jìn)一步走向標(biāo)準(zhǔn)化的需要，促進(jìn)了ATM技術(shù)發(fā)展。ATM是一種傳輸模式，ATM交換速率大大高于傳統(tǒng)的數(shù)據(jù)網(wǎng)，它簡(jiǎn)化了交換過(guò)程，去除了不必要的數(shù)據(jù)校驗(yàn)，采用易于處理的固定信元格式。另外，對(duì)于如此高速的數(shù)據(jù)網(wǎng)，ATM網(wǎng)絡(luò)采用了一些有效的業(yè)務(wù)流量監(jiān)控機(jī)制，對(duì)網(wǎng)上用戶(hù)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控，把網(wǎng)絡(luò)擁塞發(fā)生的可能性降到最小。然而，在實(shí)際需求以及兼容性方面，ATM技術(shù)仍然存在著很多的問(wèn)題。

33、</p><p><b>　?。?）主干技術(shù)選擇</b></p><p>　　通過(guò)對(duì)以上技術(shù)的介紹和分析，可以得出結(jié)論，適合廣通交通職業(yè)技術(shù)學(xué)院的有如下技術(shù)：</p><p><b>　　千兆以太網(wǎng)技術(shù)</b></p><p>　　千兆以太網(wǎng)的所有配置都是點(diǎn)到點(diǎn)的，每根以太網(wǎng)電纜都恰好只能連接2個(gè)設(shè)

34、備，而且千兆以太網(wǎng)支持兩種不同的操作模式，即全雙工模式和半雙工模式。千兆以太網(wǎng)一方面為了保持從標(biāo)準(zhǔn)以太網(wǎng)、快速以太網(wǎng)到千兆以太網(wǎng)的平滑過(guò)渡，另一方面又要兼顧新的應(yīng)用和新的數(shù)據(jù)類(lèi)型。它既支持雙絞線(xiàn)，也支持光纖。當(dāng)運(yùn)行于雙絞線(xiàn)上時(shí)，稱(chēng)為1000BASE-T，運(yùn)行于光纖上時(shí)，根據(jù)使用的光纖規(guī)格不同，有1000BASE-SX（多模光纖，最大段距離550m)和1000BASE-LX（單模或者多模光纖，最大段距離5000m)兩種。目前，千兆以太網(wǎng)已

35、經(jīng)發(fā)展成為主流網(wǎng)絡(luò)技術(shù)。大到成千上萬(wàn)人的大型企業(yè)，小到幾十人的中小型企業(yè)，在建設(shè)企業(yè)局域網(wǎng)時(shí)都會(huì)把千兆以太網(wǎng)技術(shù)作為首選的高速網(wǎng)絡(luò)技術(shù)。</p><p><b>　　2、網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)</b></p><p><b>　　（1）設(shè)計(jì)思想</b></p><p>　　本方案采用星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。網(wǎng)絡(luò)中心機(jī)房設(shè)計(jì)在學(xué)校的12號(hào)樓

36、，其它各學(xué)院的樓宇再與網(wǎng)絡(luò)中心機(jī)房里的設(shè)備相連。星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn)是結(jié)構(gòu)簡(jiǎn)單，便于管理（集中式），是現(xiàn)行企業(yè)里較為流行的一種網(wǎng)絡(luò)結(jié)構(gòu)。正如剛剛所說(shuō)的其它樓宇的網(wǎng)絡(luò)設(shè)備均以網(wǎng)絡(luò)中心機(jī)房為中心，并與機(jī)房里的設(shè)備進(jìn)行連接。這種拓?fù)浣Y(jié)構(gòu)是一個(gè)中心處理機(jī)（通信設(shè)備）為主而構(gòu)成的網(wǎng)絡(luò)，其它入網(wǎng)機(jī)器僅與該中心處理機(jī)之間有直接的物理鏈路，中心處理機(jī)采用分時(shí)或輪詢(xún)的方法為入網(wǎng)機(jī)器服務(wù)，所有的數(shù)據(jù)經(jīng)過(guò)中心處理機(jī)。由于所有節(jié)點(diǎn)的往外傳輸都必須經(jīng)過(guò)中央節(jié)點(diǎn)

37、來(lái)處理，因此，對(duì)中央節(jié)點(diǎn)設(shè)備的性能需要比較高。</p><p>　　但不管是哪一種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)都是有一定的缺點(diǎn)的。星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的缺點(diǎn)就是每臺(tái)入網(wǎng)的主機(jī)均需與中央處理設(shè)備互連，線(xiàn)路的利用率低；中央處理設(shè)備需處理所有的服務(wù)，負(fù)載較重；在中央處理設(shè)備處會(huì)形成單點(diǎn)故障，中央處理設(shè)備的故障將導(dǎo)致網(wǎng)絡(luò)的癱瘓。</p><p><b>　?。?）拓?fù)鋱D設(shè)計(jì)</b></p&

38、gt;<p><b>　　3、網(wǎng)絡(luò)拓?fù)浞治?lt;/b></p><p>　　本方案的網(wǎng)絡(luò)中心與各學(xué)院的樓宇之間用光纖連接，使用三層結(jié)構(gòu)，即采用萬(wàn)兆主干、千兆匯聚、百兆接入的網(wǎng)絡(luò)結(jié)構(gòu)。服務(wù)器是千兆接入到核心交換機(jī)上。</p><p>　　在核心層兩臺(tái)RG-S5750P-24GT/12SFP交換機(jī)上，采用端口聚合技術(shù)，在邏輯上將兩臺(tái)交換機(jī)之間相連的兩條物理鏈路綁

39、定在一起，作為一條鏈路使用，從而增加交換機(jī)之間的帶寬，并實(shí)現(xiàn)冗余備份的功能。還采用了OSPF路由協(xié)議，主要是為了解決用戶(hù)由于地理位置發(fā)生變化所引起的網(wǎng)絡(luò)路徑的變化，產(chǎn)生上網(wǎng)速度變慢和費(fèi)流量的問(wèn)題。還采用了劃分VLAN，減少網(wǎng)絡(luò)數(shù)據(jù)傳輸過(guò)程中所引起的網(wǎng)絡(luò)廣播風(fēng)暴，提高網(wǎng)絡(luò)傳輸效率和網(wǎng)絡(luò)安全性。</p><p>　　在邊界路由器RG-R2690路由器上，采用了VPN技術(shù)，有效地解決了當(dāng)用戶(hù)不在學(xué)校卻需要使用學(xué)校資源時(shí)

40、，通過(guò)VPN技術(shù)撥號(hào)登錄校園網(wǎng)。同時(shí)也可以解決學(xué)校不同校區(qū)之間的聯(lián)系問(wèn)題。</p><p>　　在匯聚層上，本方案采用有五臺(tái)RG-S3760-24交換機(jī)，在每臺(tái)RG-S3760-24交換機(jī)上，都采用有快生成樹(shù)協(xié)議，主要是為了解決RG-S3760交換機(jī)與兩臺(tái)核心交換機(jī)之間相連時(shí)所產(chǎn)生的交換環(huán)路問(wèn)題。還采用了DHCP中繼代理技術(shù)，主要是為了解決由于學(xué)校上網(wǎng)用戶(hù)多而同時(shí)向主DHCP服務(wù)器索取IP地址時(shí)的負(fù)擔(dān)，以及學(xué)校用

41、戶(hù)數(shù)量調(diào)整變化產(chǎn)生的上網(wǎng)問(wèn)題。</p><p>　　在服務(wù)器上，本方案設(shè)計(jì)有五大服務(wù)器，如：FTP服務(wù)器、DHCP服務(wù)器、DNS服務(wù)器、WEB服務(wù)器、郵件服務(wù)器。各服務(wù)器都是用千兆雙絞線(xiàn)接入到核心交換機(jī)上的。FTP服務(wù)器上存放著各學(xué)院各專(zhuān)業(yè)的學(xué)習(xí)資料和相應(yīng)軟件，師生可以根據(jù)自己的需要上傳或下載自己所需；DHCP服務(wù)器和DNS服務(wù)器是方便校園內(nèi)部網(wǎng)絡(luò)可以自動(dòng)獲取IP地址，以及獲得正確的IP地址解析；WEB服務(wù)器在網(wǎng)

42、上提供學(xué)校主頁(yè)等服務(wù)，包括學(xué)校簡(jiǎn)介、校園新聞、校報(bào)、招生信息以及校內(nèi)聯(lián)系電話(huà)號(hào)碼和電子郵件地址查詢(xún)等；郵件服務(wù)器則為了方便師生之間的交流，以及與校外的朋友聯(lián)系。</p><p>　　在安全上，本方案采用現(xiàn)行企業(yè)用得較多的思科ASA5520-BUN-K9路由設(shè)備。為了避免一些常見(jiàn)病毒的入侵，本方案在網(wǎng)上查找了大量的病毒常用入侵端口，并配置了訪(fǎng)問(wèn)控制列表ACL，提高校園網(wǎng)的網(wǎng)絡(luò)安全。</p><p

43、><b>　　4、VLAN規(guī)劃</b></p><p>　　根據(jù)學(xué)校不同樓宇的工作性質(zhì)的不同，以及出于安全性等需要，將用戶(hù)劃分至不同的虛擬局域網(wǎng)，以隔離廣播域，減小廣播量，節(jié)約帶寬，提高網(wǎng)絡(luò)傳輸效率和網(wǎng)絡(luò)安全性。本方案將進(jìn)行VLAN的詳細(xì)規(guī)劃，方便進(jìn)行組織和管理。</p><p>　　廣東交通職業(yè)技術(shù)學(xué)院南校區(qū)只有一級(jí)公寓和一些辦公樓宇才有網(wǎng)線(xiàn)接入，需要設(shè)置信息

44、點(diǎn)?，F(xiàn)采用以宿舍為單位劃分VLAN，每個(gè)宿舍的人數(shù)為4到6人，采用子網(wǎng)掩碼為28位的IP地址。校園網(wǎng)各樓宇的VLAN的劃分是在接入層RG-S1826T交換機(jī)上進(jìn)行。對(duì)于宿舍樓宇，如A棟的各層樓的各個(gè)宿舍都劃分一個(gè)VLAN；對(duì)于辦公樓宇和教學(xué)樓宇，如1號(hào)樓和2號(hào)樓，一個(gè)辦公室作為一個(gè)信息點(diǎn)，并為每一個(gè)信息點(diǎn)劃分一個(gè)VLAN。VLAN與RG-S1826T交換機(jī)的端口一一配對(duì)。另對(duì)于校園網(wǎng)的服務(wù)器群的VLAN的劃分是在核心交換機(jī)RG-S575

45、0P-24GT/125FP上進(jìn)行，并統(tǒng)一劃分為相同的VLAN。</p><p>　?。ㄓ捎趯W(xué)校樓宇較多，現(xiàn)不一一列舉所有樓宇的VLAN劃分，VLAN命名規(guī)則是樓號(hào)+層號(hào)+各宿舍號(hào)的最后一位數(shù)）</p><p><b>　　5、IP規(guī)劃</b></p><p><b>　　（1）IP需求</b></p><

46、;p>　　廣東交通職業(yè)技術(shù)學(xué)院擁有學(xué)生宿舍、老師宿舍、教學(xué)樓、實(shí)訓(xùn)樓、圖書(shū)館、行政樓、校友樓等共27棟樓宇。為了保證網(wǎng)絡(luò)通信的暢通性與安全性，現(xiàn)在對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行IP劃分，以便網(wǎng)管可以方便統(tǒng)一管理。</p><p>　　注：一個(gè)宿舍為一個(gè)信息點(diǎn)。如A號(hào)樓有256個(gè)宿舍，所以有256個(gè)信息點(diǎn)數(shù)。</p><p><b>　?。?）網(wǎng)段劃分原則</b></p&g

47、t;<p>　　根據(jù)每棟樓的信息點(diǎn)數(shù)量不同，分別分配一定數(shù)量的網(wǎng)段的IP地址。分配規(guī)則是每棟樓每?jī)砂賯€(gè)信息點(diǎn)分配一個(gè)網(wǎng)段，低于兩百個(gè)信息點(diǎn)的直接分配一個(gè)網(wǎng)段。若有多出的IP地址，則作為備用。另外學(xué)生宿舍樓群與教師辦公樓群、教師宿舍樓群、校園網(wǎng)服務(wù)器群分別用不同的網(wǎng)段。如學(xué)生宿舍樓群用192.168.0.0網(wǎng)段，教師辦公樓群、教師宿舍樓群、校園網(wǎng)服務(wù)器群用172.16.0.0網(wǎng)段。</p><p>&

48、lt;b>　?。?）網(wǎng)段劃分設(shè)計(jì)</b></p><p><b>　　服務(wù)器</b></p><p><b>　　路由器</b></p><p><b>　　防火墻</b></p><p><b>　　6、網(wǎng)絡(luò)設(shè)備的選擇</b></

49、p><p><b>　　（1）接入層交換機(jī)</b></p><p><b>　　需求分析</b></p><p>　　接入層為用戶(hù)提供多網(wǎng)絡(luò)本地網(wǎng)段的訪(fǎng)問(wèn)，它的主要作用是將工作組與匯聚層連接起來(lái)，主要完成邏輯網(wǎng)絡(luò)分段、基于工作組或lan隔離廣播通信量以及多個(gè)cpu之間分布服務(wù)。</p><p>　　接入

50、層設(shè)備位于網(wǎng)絡(luò)的末端，對(duì)下提供對(duì)工作站的接入，對(duì)上連接到匯聚層交換機(jī)。接入層設(shè)備提供各種標(biāo)準(zhǔn)接口數(shù)據(jù)接入到網(wǎng)絡(luò)中，完成基于業(yè)務(wù)系統(tǒng)之間的隔離和安全性控制、認(rèn)證管理等功能。在選擇接入層交換機(jī)時(shí)，應(yīng)著重考慮以下幾點(diǎn)：</p><p>　　A 提供各種不同數(shù)量的百兆端口到用戶(hù)，提供千兆或1gbps（電口、光口）上行端口到上層交換機(jī)；</p><p>　　B 高性能，低成本，所有端口支持全速二層交

51、換；</p><p>　　C 支持標(biāo)準(zhǔn)以太網(wǎng)協(xié)議，支持豐富的業(yè)界標(biāo)準(zhǔn)，充分考慮兼容現(xiàn)有網(wǎng)絡(luò)設(shè)備；</p><p>　　D 網(wǎng)絡(luò)設(shè)備可擴(kuò)展性好，可平滑升級(jí)；</p><p>　　E 支持豐富的業(yè)務(wù)特點(diǎn)，如vlan、vlan trunk、鏈路聚合、端口鏡像、qos多播、安全特性等;</p><p>　　基于以上的一些需求分析后，我組在接入層交換機(jī)

52、選擇中選取銳捷交換機(jī)RG-S1836T</p><p>　　交換機(jī)RG-S1836T的優(yōu)點(diǎn)如下：</p><p><b>　　千兆高速上行</b></p><p>　　除24個(gè)10/100Mbps的自適應(yīng)RJ45端口之外，還帶有2個(gè)固化以太網(wǎng)銅纜千兆R(shí)J-45交換端口，所有端口可以根據(jù)連接的設(shè)備，自動(dòng)將連接速度和工作模式調(diào)整到需要的方式，可為用

53、戶(hù)提供網(wǎng)絡(luò)高速訪(fǎng)問(wèn)能力。</p><p><b>　　超高速背板帶寬</b></p><p>　　采用高性能交換芯片，高達(dá)9.6Gbps的背板帶寬可保證高流量負(fù)載環(huán)境下，所有端口全線(xiàn)速無(wú)阻塞傳輸，滿(mǎn)足接入層或匯聚層高流量數(shù)據(jù)轉(zhuǎn)發(fā)要求，亦可直接作為小型網(wǎng)絡(luò)的核心設(shè)備。</p><p>　　高效SRAM提高交換效率</p><p

54、>　　內(nèi)建高效SRAM數(shù)據(jù)緩存及集成地址搜尋引擎，各端口動(dòng)態(tài)分配SRAM數(shù)據(jù)緩存，有效提高數(shù)據(jù)交換效率。</p><p><b>　　病毒廣播風(fēng)暴抑制</b></p><p>　　采用特殊的異常廣播數(shù)據(jù)包抑制技術(shù)，實(shí)時(shí)監(jiān)控并抑制端口異常流量，避免因網(wǎng)絡(luò)病毒泛濫攻擊而造成整個(gè)網(wǎng)絡(luò)癱瘓，有效保證整網(wǎng)正常運(yùn)行。</p><p>　　流量控制保障

55、數(shù)據(jù)穩(wěn)定傳輸</p><p>　　支持半雙工模式下的背壓（Back-pressure）流量控制和全雙工模式下的IEEE802.3x流量控制功能，可保障在大流量數(shù)據(jù)峰值穩(wěn)定交換，而不會(huì)因過(guò)度負(fù)擔(dān)而導(dǎo)致網(wǎng)絡(luò)癱瘓。</p><p><b>　?。?）匯聚層交換機(jī)</b></p><p><b>　　需求分析</b></p&

56、gt;<p>　　匯聚層是下將接入層交換機(jī)的數(shù)據(jù)進(jìn)行匯聚，對(duì)上通過(guò)高速接口將數(shù)據(jù)傳輸?shù)暮诵慕粨Q機(jī)上，起到承上啟下的作用。另外匯聚層設(shè)備要進(jìn)行vlan之間的通信，因此一般為支持三層或三層以上的多層交換設(shè)備。因此匯聚層交換機(jī)與接入層交換機(jī)比較，需要更高的性能，更少的接口和更高的交換速率。在選擇匯聚層交換機(jī)時(shí)，應(yīng)著重考慮以下幾點(diǎn)：</p><p>　　A 匯聚層設(shè)備要有足夠的帶寬；</p>

57、<p>　　B 具有三層和多層交換特性；</p><p>　　C 具有靈活多樣的業(yè)務(wù)能力；</p><p>　　D 必須具有冗余和負(fù)載均衡能力；</p><p><b>　　E 支持三層交換</b></p><p>　　F 對(duì)上連接提供多種千兆端口</p><p><b>　　

58、G 模塊化組網(wǎng)</b></p><p>　　H 支持豐富的二層協(xié)議</p><p><b>　　I 完善的安全機(jī)制</b></p><p>　　J 豐富的qos支持0</p><p>　　K 實(shí)用方便的網(wǎng)管能力</p><p>　　基于以上的一些需求分析后，我組在匯聚層交換機(jī)選擇中選取

59、銳捷交換機(jī)RGS3760-24.</p><p>　　交換機(jī)RG-S3760-24的優(yōu)點(diǎn)如下：</p><p>　　高性能IPv4/IPv6雙棧協(xié)議多層交換</p><p>　　高背板帶寬為所有的端口提供非阻塞性能；</p><p>　　硬件支持IPv4/IPv6雙協(xié)議棧多層線(xiàn)速交換，硬件區(qū)分和處理IPv4、IPv6協(xié)議報(bào)文，支持多種Tunn

60、el隧道技術(shù)（如手工配置隧道、6to4隧道和 ISATAP隧道等等，可根據(jù)IPv6網(wǎng)絡(luò)的需求規(guī)劃和網(wǎng)絡(luò)現(xiàn)狀，提供靈活的IPv6網(wǎng)絡(luò)間通信方案；</p><p>　　雙協(xié)議棧的支持和處理，使得無(wú)需改變網(wǎng)絡(luò)架構(gòu)，即可將現(xiàn)有網(wǎng)絡(luò)無(wú)縫地升級(jí)為下一代IPv6方案；</p><p>　　豐富完善的路由性能和超大容量路由表資源可滿(mǎn)足大型網(wǎng)絡(luò)動(dòng)態(tài)路由需要；</p><p>　　基于

61、LPM硬件路由轉(zhuǎn)發(fā)方式使得RG-S3760系列不僅適用于大型網(wǎng)絡(luò)環(huán)境，而且可防御各種網(wǎng)絡(luò)病毒的侵襲，保障所有報(bào)文線(xiàn)速轉(zhuǎn)發(fā)，有效保證了設(shè)備的安全性。</p><p>　　靈活完備的安全控制策略</p><p>　　具有的多種內(nèi)在機(jī)制可以有效防范和控制病毒傳播和黑客攻擊，如預(yù)防Dos攻擊、防黑客IP掃描機(jī)制、端口ARP報(bào)文的合法性檢查、多種硬件ACL策略等，還網(wǎng)絡(luò)一片綠色；</p>

62、<p>　　業(yè)界領(lǐng)先的硬件CPU保護(hù)機(jī)制：特有的CPU保護(hù)策略（CPP技術(shù)），對(duì)發(fā)往CPU的數(shù)據(jù)流，進(jìn)行流區(qū)分和優(yōu)先級(jí)隊(duì)列分級(jí)處理，并根據(jù)需要實(shí)施帶寬限速，充分保護(hù)CPU不被非法流量占用、惡意攻擊和資源消耗，保障了CPU安全，充分保護(hù)了交換機(jī)的安全；</p><p>　　硬件實(shí)現(xiàn)端口或交換機(jī)整機(jī)與用戶(hù)IP地址和MAC地址的靈活綁定，嚴(yán)格限定端口上的用戶(hù)接入或交換機(jī)整機(jī)上的用戶(hù)接入問(wèn)題；</p&

63、gt;<p>　　專(zhuān)用的硬件防范ARP網(wǎng)關(guān)和ARP主機(jī)欺騙功能，有效遏制了網(wǎng)絡(luò)中日益泛濫的ARP網(wǎng)關(guān)欺騙和ARP主機(jī)欺騙的現(xiàn)象，保障了用戶(hù)的正常上網(wǎng)；</p><p>　　SSH（Secure Shell）和SNMPv3可以通過(guò)在Telnet和SNMP進(jìn)程中加密管理信息，保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備；控制非法用戶(hù)使用網(wǎng)絡(luò)，保證合法用戶(hù)合理化使用網(wǎng)絡(luò)，如多元素綁定、端口安全、時(shí)間A

64、CL、基于數(shù)據(jù)流的帶寬限速等，滿(mǎn)足企業(yè)網(wǎng)、校園網(wǎng)加強(qiáng)對(duì)訪(fǎng)問(wèn)者進(jìn)行控制、限制非授權(quán)用戶(hù)通信的需求。</p><p><b>　　高可靠性</b></p><p>　　支持生成樹(shù)協(xié)議802.1d、802.1w、802.1s，完全保證快速收斂，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和鏈路的負(fù)載均衡，合理使用網(wǎng)絡(luò)通道，提供冗余鏈路利用率；</p><p>　

65、　支持VRRP虛擬路由器冗余協(xié)議，有效保障網(wǎng)絡(luò)穩(wěn)定；支持RLDP，可快速檢測(cè)鏈路的通斷和光纖鏈路的單向性，并支持端口下的環(huán)路檢測(cè)功能，防止端口下因私接Hub等設(shè)備形成的環(huán)路而導(dǎo)致網(wǎng)絡(luò)故障的現(xiàn)象。</p><p><b>　　方便易用易管理</b></p><p>　　RG-S3760-24靈活復(fù)用的千兆接口形式，可靈活滿(mǎn)足需要多個(gè)千兆鏈路上鏈、或多個(gè)千兆服務(wù)器的連接，

66、方便用戶(hù)靈活選擇和網(wǎng)絡(luò)擴(kuò)展；</p><p>　　RG-S3760-12SFP/GT的SFP和電口任意選用的架構(gòu)設(shè)計(jì)，可選配多種規(guī)格千兆接口模塊，支持千兆銅纜、單/多模光纖接口模塊的混合配置，支持模塊熱插拔，極大方便用戶(hù)靈活配置和擴(kuò)展網(wǎng)絡(luò)；</p><p>　　網(wǎng)絡(luò)時(shí)間協(xié)議保證交換機(jī)時(shí)間的準(zhǔn)確性，并與網(wǎng)絡(luò)中時(shí)間服務(wù)器時(shí)間統(tǒng)一化，方便日志信息和流量信息的分析、故障診斷等管理；Syslog方便

67、各種日志信息的統(tǒng)一收集、維護(hù)、分析、故障定位、備份，便于管理員網(wǎng)絡(luò)維護(hù)和管理；</p><p>　　CLI界面，方便高級(jí)用戶(hù)配置和使用；Java-based Web管理方式，實(shí)現(xiàn)對(duì)交換機(jī)的可視化圖形界面管理，快速和高效地配置設(shè)備。</p><p><b>　?。?）核心層交換機(jī)</b></p><p><b>　　需求分析</b

68、></p><p>　　核心層交換機(jī)設(shè)備需采用高性能的交換芯片以及高性能的網(wǎng)絡(luò)處理器芯片，要求有極高的系統(tǒng)總吞吐量和背板容量，可支持多個(gè)千兆端口。核心層交換機(jī)還需要支持鏈路聚合功能，以確保為匯聚層交換機(jī)發(fā)送到核心層交換機(jī)的流量提供足夠的帶寬。在選擇匯聚層交換機(jī)時(shí)，應(yīng)著重考慮以下幾點(diǎn)：</p><p><b>　　A 高可靠性</b></p><

69、;p><b>　　B 大容量密度</b></p><p><b>　　C 線(xiàn)速轉(zhuǎn)發(fā)性能</b></p><p>　　D 完善的qos功能</p><p><b>　　E 完善的安全機(jī)制</b></p><p><b>　　F 強(qiáng)大的業(yè)務(wù)能力</b>&

70、lt;/p><p>　　基于以上的一些需求分析后，我組在核心層交換機(jī)選擇中選取銳捷交換機(jī)RG-S5750P-24GT/125FP.</p><p>　　交換機(jī)RG-S5750P-24GT/125FP的優(yōu)點(diǎn)如下：</p><p>　　高性能IPv4/IPv6雙協(xié)議棧多層交換</p><p>　　高背板帶寬為所有的端口提供非阻塞性能；</p&g

71、t;<p>　　豐富完善的路由性能和超大容量路由表資源可滿(mǎn)足大型網(wǎng)絡(luò)動(dòng)態(tài)路由的需要，特別是支持ECMP/WCMP（Equal-Cost Multipath Routing/ Weight-Cost Multipath Routing），確保了各骨干網(wǎng)絡(luò)鏈路的充分使用，大大增加了網(wǎng)絡(luò)傳輸帶寬，而且可以無(wú)時(shí)延無(wú)丟包地備份失效鏈路的數(shù)據(jù)傳輸；</p><p>　　硬件支持IPv4/IPv6雙協(xié)議棧多層線(xiàn)速

72、交換，硬件區(qū)分和處理IPv4、IPv6協(xié)議報(bào)文，支持多種Tunnel隧道技術(shù)（如手工配置隧道、6to4隧道和 ISATAP隧道等，可根據(jù)IPv6網(wǎng)絡(luò)的需求規(guī)劃和網(wǎng)絡(luò)現(xiàn)狀，提供靈活的IPv6網(wǎng)絡(luò)間通信方案；</p><p>　　雙協(xié)議棧的支持和處理，使得無(wú)需改變網(wǎng)絡(luò)架構(gòu)，即可將現(xiàn)有網(wǎng)絡(luò)無(wú)縫地升級(jí)為下一代IPv6方案；</p><p>　　基于LPM硬件路由轉(zhuǎn)發(fā)方式使得RG-S5750系列不僅

73、適用于大型網(wǎng)絡(luò)環(huán)境，而且可防御各種網(wǎng)絡(luò)病毒的侵襲，保障所有報(bào)文的線(xiàn)速轉(zhuǎn)發(fā)，有效保證了設(shè)備的安全性；</p><p>　　硬件支持多層線(xiàn)速交換，能夠識(shí)別二到七層的應(yīng)用業(yè)務(wù)流，所有端口都具有單獨(dú)的數(shù)據(jù)包過(guò)濾、區(qū)分不同應(yīng)用流，并根據(jù)不同的應(yīng)用流進(jìn)行不同的策略管理和控制。</p><p><b>　　靈活完備的安全控制</b></p><p>　　具有

74、的多種內(nèi)在機(jī)制可以有效防范和控制病毒傳播和黑客攻擊，如預(yù)防Dos攻擊、防黑客IP掃描等，還網(wǎng)絡(luò)一片綠色；</p><p>　　業(yè)界領(lǐng)先的硬件CPU保護(hù)機(jī)制：</p><p>　　特有的CPU保護(hù)策略（CPP技術(shù)），對(duì)發(fā)往CPU的數(shù)據(jù)流，進(jìn)行流區(qū)分和優(yōu)先級(jí)隊(duì)列分級(jí)處理，并根據(jù)需要實(shí)施帶寬限速，充分保護(hù)CPU不被非法流量占用、惡意攻擊和資源消耗，保障了CPU安全，充分保護(hù)了交換機(jī)的安全；<

75、;/p><p>　　硬件實(shí)現(xiàn)端口或交換機(jī)整機(jī)與用戶(hù)IP地址和MAC地址的靈活綁定，嚴(yán)格限定端口上的用戶(hù)接入或交換機(jī)整機(jī)上的用戶(hù)接入問(wèn)題；</p><p>　　保護(hù)端口不必占用VLAN資源，即可非常方便地隔離用戶(hù)之間信息互通，充分保護(hù)用戶(hù)信息的安全；</p><p>　　支持DHCP snooping，可只允許信任端口的DHCP響應(yīng)，防止私設(shè)DHCP Server的欺騙；

76、并在DHCP監(jiān)聽(tīng)的基礎(chǔ)上，通過(guò)動(dòng)態(tài)監(jiān)測(cè)ARP和檢查用戶(hù)的IP，直接丟棄不符合綁定表項(xiàng)的非法報(bào)文，有效防范ARP欺騙和用戶(hù)源IP地址的欺騙問(wèn)題；</p><p>　　基于源IP地址控制的Telnet和Web設(shè)備訪(fǎng)問(wèn)控制，避免非法人員和黑客惡意攻擊和控制設(shè)備，增強(qiáng)了設(shè)備網(wǎng)管的安全性；</p><p>　　SSH（Secure Shell）和SNMPv3確保在Telnet和SNMP進(jìn)程中加密管理

77、信息，保證交換機(jī)管理信息的安全性，防止黑客攻擊和控制設(shè)備；</p><p>　　控制非法用戶(hù)接入網(wǎng)絡(luò)，保證合法用戶(hù)合理化使用網(wǎng)絡(luò)，如端口安全、端口隔離、專(zhuān)家級(jí)ACL、時(shí)間ACL、基于應(yīng)用數(shù)據(jù)流的帶寬限速、多元素綁定等等，滿(mǎn)足企業(yè)和校園網(wǎng)加強(qiáng)對(duì)訪(fǎng)問(wèn)者進(jìn)行控制、阻止非授權(quán)用戶(hù)通信的需求。</p><p><b>　　高可靠性</b></p><p>

78、;　　支持生成樹(shù)協(xié)議802.1D、802.1w、802.1s，完全保證快速收斂，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和鏈路的負(fù)載均衡，合理使用網(wǎng)絡(luò)通道，提供冗余鏈路利用率；</p><p>　　支持VRRP虛擬路由器冗余協(xié)議，有效保障網(wǎng)絡(luò)穩(wěn)定；</p><p>　　支持RLDP，可快速檢測(cè)鏈路的通斷和光纖鏈路的單向性，并支持端口下的環(huán)路檢測(cè)功能，防止端口下因私接Hub等設(shè)備形成的環(huán)路而導(dǎo)致網(wǎng)絡(luò)

79、故障的現(xiàn)象。</p><p><b>　　方便易用易管理</b></p><p>　　靈活復(fù)用的多種千兆接口形式，可靈活滿(mǎn)足需要多個(gè)千兆銅纜和多個(gè)千兆光纖鏈路的連接，方便用戶(hù)靈活選擇線(xiàn)纜；</p><p>　　為滿(mǎn)足網(wǎng)絡(luò)彈性擴(kuò)展和高帶寬傳輸需要，簡(jiǎn)單選配多種類(lèi)型的萬(wàn)兆模塊，網(wǎng)絡(luò)即可平滑升級(jí)到萬(wàn)兆上鏈骨干；</p><p>

80、;　　為方便安裝地點(diǎn)或建筑物不適宜部署外部電源的環(huán)境，RG-S5750系列交換機(jī)特別提供支持PoE功能的產(chǎn)品型號(hào)，即通過(guò)雙絞線(xiàn)就可以向遠(yuǎn)端下掛的PD設(shè)備供電，如無(wú)線(xiàn)AP、IP Phone、視頻監(jiān)控等設(shè)備，方便了任何符合IEEE 802.3af標(biāo)準(zhǔn)的終端設(shè)備的接入，實(shí)現(xiàn)以太網(wǎng)集中供電，以滿(mǎn)足金融、企業(yè)、學(xué)校、醫(yī)院、工廠等用戶(hù)實(shí)現(xiàn)VoIP、遠(yuǎn)程監(jiān)控、無(wú)線(xiàn)AP等網(wǎng)絡(luò)應(yīng)用的需要；</p><p>　　SNTP（簡(jiǎn)單網(wǎng)絡(luò)時(shí)

81、間協(xié)議）保證交換機(jī)時(shí)間的準(zhǔn)確性，并與網(wǎng)絡(luò)中時(shí)間服務(wù)器的時(shí)間統(tǒng)一化，方便日志信息和流量信息的分析、故障診斷等管理；</p><p>　　Syslog方便各種日志信息的統(tǒng)一收集、維護(hù)、分析、故障定位、備份，便于管理員網(wǎng)絡(luò)維護(hù)和管理；</p><p>　　多端口同步監(jiān)控，通過(guò)一個(gè)端口即可同時(shí)監(jiān)控多個(gè)端口的數(shù)據(jù)流，可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，大大提高維護(hù)效率；</p>&

82、lt;p>　　CLI界面，方便高級(jí)用戶(hù)配置和使用；</p><p>　　Java-based Web管理方式，實(shí)現(xiàn)對(duì)交換機(jī)的可視化圖形界面管理，快速和高效地配置設(shè)備。</p><p><b>　　（4）邊界路由器</b></p><p><b>　　需求分析</b></p><p>　　邊界路

83、由器是校園網(wǎng)出外網(wǎng)的唯一通道，是校園網(wǎng)互聯(lián)網(wǎng)絡(luò)的高速交換主干，需要轉(zhuǎn)發(fā)非常大的數(shù)據(jù)流量。同時(shí)，為了對(duì)協(xié)調(diào)學(xué)校各個(gè)校區(qū)的通信，需實(shí)現(xiàn)遠(yuǎn)程站點(diǎn)之間的優(yōu)化傳輸，以及盡可能提供較多的冗余，邊界路由器的冗余功能在硬件出現(xiàn)故障時(shí)的收斂速度也會(huì)更快。因此，在選擇邊界路由器時(shí)，應(yīng)著重考慮以下幾點(diǎn)：</p><p>　　A 提供高可靠性和冗余性；</p><p><b>　　B 提供故障隔離；&l

84、t;/b></p><p><b>　　C 迅速適應(yīng)升級(jí)；</b></p><p>　　D 提供較少的滯后和較好的可管理性；</p><p>　　E 具有有限和一致的直徑。</p><p><b>　　F 支持VPN技術(shù)</b></p><p>　　基于以上的一些需求分

85、析后，我組在邊界路由器的選擇中選取銳捷路由器RG-R2690.</p><p>　　路由器RG-R2690的優(yōu)點(diǎn)如下：</p><p><b>　　模塊化結(jié)構(gòu)設(shè)計(jì)</b></p><p>　　具有4個(gè)網(wǎng)絡(luò)/語(yǔ)音模塊插槽，支持種類(lèi)豐富、功能齊全、高密度的網(wǎng)絡(luò)/語(yǔ)音模塊，可實(shí)現(xiàn)更多的組合應(yīng)用。</p><p><b&g

86、t;　　強(qiáng)大的數(shù)據(jù)處理能力</b></p><p>　　采用先進(jìn)的Motorola MPC 8241 CPU，主頻達(dá)到200MHz，先進(jìn)的總線(xiàn)技術(shù)，包轉(zhuǎn)發(fā)延遲小，高效的數(shù)據(jù)處理能力支持高密度端口，保證在高速環(huán)境下的網(wǎng)絡(luò)應(yīng)用；</p><p>　　包轉(zhuǎn)發(fā)率達(dá)到90-100Kpps。</p><p><b>　　高效安全的終端服務(wù)</b>

87、;</p><p>　　提供64位密鑰的RC4加密，可以實(shí)現(xiàn)路由器到UNIX服務(wù)器之間的數(shù)據(jù)安全加密；</p><p>　　提供固定終端服務(wù)登陸的功能，確保路由器上每臺(tái)終端登陸時(shí)，每次得到的終端號(hào)都是固定的，有利于管理。</p><p><b>　　良好的VPN功能</b></p><p>　　支持IPSec的VPN功能

88、；</p><p>　　支持GRE的VPN功能；</p><p>　　支持L2TP/PPTP的VPDN應(yīng)用；</p><p>　　在NAT應(yīng)用下，支持L2TP/PPTP的穿透功能。</p><p><b>　　高可靠性</b></p><p>　　支持鏈路備份、路由備份等多種方式的備份技術(shù)，提高整

89、個(gè)網(wǎng)絡(luò)的可靠性；</p><p>　　支持VRRP熱備份協(xié)議，實(shí)現(xiàn)線(xiàn)路和設(shè)備的冗余備份。</p><p><b>　　高安全性</b></p><p>　　完善的防火墻技術(shù)，支持基于源目的IP、協(xié)議、端口以及時(shí)間段的訪(fǎng)問(wèn)列表控制策略；支持IP與MAC地址的綁定，有效防止IP地址的欺騙；</p><p>　　支持認(rèn)證、授權(quán)

90、、記錄用戶(hù)信息的AAA認(rèn)證技術(shù)，支持Radius認(rèn)證協(xié)議；</p><p>　　支持動(dòng)態(tài)路由協(xié)議中的路由信息認(rèn)證技術(shù)，保證動(dòng)態(tài)路由網(wǎng)絡(luò)中路由信息的安全和可靠；</p><p>　　支持PPP協(xié)議中的PAP、CHAP認(rèn)證及回?fù)芗夹g(shù)。</p><p><b>　　方便易用易管理</b></p><p>　　采用標(biāo)準(zhǔn)CLI界面

91、，操作更簡(jiǎn)單；</p><p>　　支持SNMP協(xié)議，配置文件的TFTP上傳下載，方便網(wǎng)絡(luò)管理；</p><p>　　支持Telnet/Console，方便的實(shí)現(xiàn)遠(yuǎn)程管理和控制；</p><p>　　多樣的在線(xiàn)升級(jí)，為將來(lái)的功能擴(kuò)展預(yù)留空間。</p><p><b>　　7、網(wǎng)絡(luò)設(shè)備配置</b></p>&

92、lt;p>　?。?）邊界路由器配置</p><p>　　核心路由器R2690</p><p><b>　　基本配置</b></p><p><b>　　Router>en</b></p><p>　　Router(config)#conf t</p><p>　　

93、Router(config)#host name R2690-1</p><p>　　R2690-1(config)#enable secrtet star </p><p>　　R2690-1(config)#line vty 0 4 </p><p>　　R2690-1(config-line)#password star</p><p>

94、;　　R2690-1(config-line)#login</p><p>　　R2690-1(config-line)#exit</p><p>　　聲明s1/1端口外網(wǎng)接口</p><p>　　R2690-1(config)#int s 1/1</p><p>　　R2690-1(config-if)#ip nat outside<

95、/p><p>　　R2690-1(config-if)#ip add 200.200.41.4 255.255.255.240</p><p>　　R2690-1(config-if)#no shutdown</p><p>　　R2690-1(config-if)#exit</p><p>　　聲明f1/1端口內(nèi)網(wǎng)接口</p>&

96、lt;p>　　R2690-1(config)#int f 1/1</p><p>　　R2690-1(config-if)#ip nat inside </p><p>　　R2690-1(config-if)#ip add 192.168.1.1 255.255.255.252 </p><p>　　R2690-1(config-if)#no shutdow

97、n</p><p>　　R2690-1(config-if)#exit</p><p><b>　　配置ospf協(xié)議</b></p><p>　　R2690-1(config)#route ospf 1 </p><p>　　R2690-1(config-router)#network 192.168.1.0 0.0.0

98、.3 area 0</p><p>　　R2690-1(config-router)#network 200.200.41.0 0.0.0.15 area 0</p><p>　　R2690-1(config-router)#exit</p><p><b>　　配置NAPT協(xié)議</b></p><p>　　R2690-

99、1(config)#access-list 10 permit 192.168.1.0 0.0.0.3</p><p>　　R2690-1(config)#ip nat pool ruijie 200.200.41.5 200.200.41.5 netmask 255.255.255.240</p><p>　　R2690-1(config)#ip nat inside source li

100、st 10 pool ruijie overload</p><p>　　IPSEC的VPN配置步驟（邊界路由器R2690的VPN配置如下） </p><p>　　第一步 配置IKE協(xié)商</p><p>　　Router1(config)#crypto isakmp policy 1 建立IKE協(xié)商策略</p><p>　　Route

101、r1 (config-isakmap)# hash md5 設(shè)置密鑰驗(yàn)證所用的算法</p><p>　　Router1 (config-isakmap)# authentication pre-share 設(shè)置路由要使用的預(yù)先共享的密鑰</p><p>　　Router1 (config)# crypto isakmp key 123 address 192.168.

102、1.2 設(shè)置共享密鑰和對(duì)端地址 123是密鑰</p><p>　　Router 2(config)#crypto isakmp policy 1 </p><p>　　Router 2(config-isakmap)# hash md5 </p><p>　　Router 2(config-isakmap)# authentication pre-shar

103、e </p><p>　　Router 2(config)# crypto isakmp key 123 address 192.168.1.1</p><p>　　第二步 配置IPSEC相關(guān)參數(shù)</p><p>　　Router1(config)# crypto ipsec transform-set cfanhome ah-md5-hmac esp

104、-des 配置傳輸模式以及驗(yàn)證的算法和加密的的算法 cfanhome這里是給這個(gè)傳輸模式取個(gè)名字</p><p>　　Router1(config)# access-list 101 permit ip any any 我這里簡(jiǎn)單的寫(xiě) 但是大家做的時(shí)候可不能這樣寫(xiě)這里是定義訪(fǎng)問(wèn)控制列表</p><p>　　Router2(config)# crypto ipsec tran

105、sform-set cfanhome ah-md5-hmac esp-des 兩邊的傳輸模式的名字要一樣</p><p>　　R2(config)# access-list 101 permit ip any any </p><p>　　第三步 應(yīng)用配置到端口 假設(shè)2個(gè)端口都是s0/0</p><p>　　Router1(config)# crypt

106、o map cfanhomemap 1 ipsec-isakmp 采用IKE協(xié)商，優(yōu)先級(jí)為1 這里的cfanhomemap是一個(gè)表的名字</p><p>　　Router1(config-crypto-map)# set peer 192.168.1.2 指定VPN鏈路對(duì)端的IP地址</p><p>　　Router1(config-crypto-map)# set transfo

107、rm-set cfanhome 指定先前所定義的傳輸模式</p><p>　　Router1(config-crypto-map)# match address 101 指定使用的反問(wèn)控制列表 這里的MATCH是匹配的意思</p><p>　　Router1(config)# int s0/0</p><p>　　Router1(config-if)

108、# crypto map cfanhomemap 應(yīng)用此表到端口 </p><p>　?。?）核心交換機(jī)配置</p><p>　　核心交換機(jī)S5750P-1</p><p><b>　　基本配置</b></p><p><b>　　Switch>en</b></p><p

109、>　　Switch(config)#conf t</p><p>　　Switch(config)#host name S5750P-1</p><p>　　S5750P-1(config)#enable secrtet star</p><p>　　S5750P-1(config)#line vty 0 4</p><p>　　S57

110、50P-1(config-line)#password star</p><p>　　S5750P-1(config-line)#login </p><p>　　S5750P-1(config-line)#exit</p><p>　　設(shè)置f 0/1口為trunk口</p><p>　　S5750P-1(config)#int f 0/1&

111、lt;/p><p>　　S5750P-1(config-if)#switchport mode trunk</p><p>　　S5750P-1(config-if)#exit</p><p>　　為服務(wù)器群劃分VLAN</p><p>　　S5750P-1(config)# vlan 3</p><p>　　S5750P

112、-1(config-vlan)#name fuwuqi</p><p>　　S5750P-1(config-vlan)#exit</p><p>　　S5750P-1(config)#int range f 0/1-6</p><p>　　S5750P-1(config-if-range)#switchport access vlan 3</p>&l

113、t;p>　　S5750P-1(config-if-range)#exit</p><p>　　為VLAN配置IP地址</p><p>　　S5750P-1(config)#int vlan 3</p><p>　　S5750P-1(config-vlan)#ip add 172.16.100.100 255.255.255.0</p><p

114、>　　S5750P-1(config-vlan)#no shutdown</p><p>　　S5750P-1(config-vlan)#exit</p><p><b>　　啟用生成樹(shù)協(xié)議</b></p><p>　　S5750P-1(config)#spanning-tree</p><p>　　S5750P-

115、1(config-span)#spanning-tree mode rstp</p><p>　　S5750P-1(config-span)#exit</p><p><b>　　配置聚合端口</b></p><p>　　S5750P-1(config)#int range f 0/1-2</p><p>　　S5750

116、P-1(config-if-range)#port-group 1</p><p>　　S5750P-1(config)#exit</p><p>　　S5750P-1(config)#int aggregateport 1</p><p>　　S5750P-1(config-if)#switchport mode trunk </p><p&g

117、t;　　S5750P-1(config-if)#exit</p><p><b>　　設(shè)置負(fù)載平衡方式</b></p><p>　　S5750P-1(config)#aggregateport load-balance dst-mac </p><p><b>　　配置ospf協(xié)議</b></p><p