局域网（企业网、校园网）设计

局域网（企业网校园网）

设计

二级学院 专 业 班 级 学生姓名 学 号 指导教师

2015 年 3 月

代码在最后面给出，由于该设计在模拟器上进行，所以效果不可能完全和真实环境

相同，初学者难免有鄙陋

诚 信 声 明

我声明，所呈交的毕业论文（设计）是本人在老师指导下进行的研究工作及取得的研究成果。据我查证，除了文中特别加以标注和致谢的地方外，论文（设计）中不包含其他人已经发表或撰写过的研究成果，也不包含为获得其他教育机构的学位或证书而使用过的材料。我承诺，论文（设计）中的所有内容均真实、可信。

毕业论文（设计）作者（签名）：

年 月 日

xx网络设计

【摘要】

只有先进的教学方法以及完备的教育基础设施，才能顺应21世纪发展潮流，满足教育现代化和信息化的需求，信息和教育相结合毫无疑问地成为了当今世界教育改革和发展的有机组成部分，而当前以计算机和网络为主导的蓬勃发展的现代信息技术是教育现代化必不可少的技术基础。为了利用计算机网络建设现代局域和现代教育，局域网的概念就应运而生。

局域网利用各种成熟的技术带动学校各单位、各部门的电脑化管理，通过局域信息网，将各处的电脑联成一个数据网，实现各类数据的统一性和规范性。教职员工和学生可共享各种信息，进行各种信息的教流、经验的分享、讨论、消息的发布、工作流的自动实现和协同工作等，从而有效地提高学校的现代化管理水平和教学质量，增强学生学习的积极性、主动性，为信息时代培育出高素质的人才。

本方案详细论述了XX市第一中学局域网络解决方案。包括：主干网设计、分校局域网设计、两校区网络互联设计、网络中心设计、公寓区局域网设计、教学区上网设计、图书馆网络设计、逻辑拓扑结构设计、安全接入和网络管理与防病毒系统等内容。并在最后给出了局域网通信平台整体解决方案的所需设备的配置列表。

【关键词】局域网；网络管理；网络安全；VPN

xx network design

[Abstract]

Only advanced teaching methods and comprehensive educational infrastructure, in order to follow the development trend of the 21st century, to meet the educational needs of modernization and information technology, information and education combined undoubtedly become an integral part of today's world of education reform and development, And the current booming computer and network-oriented modern information technology is essential for modern education technology base. In order to take advantage of modern campus computer network construction and modern education, the concept of the campus network is made.

Using a variety of sophisticated technology-driven school units, computerized management of various departments, through the campus information network linking computers around the data into a network, to achieve unity and normative data of all kinds; faculty and students share a variety of information, a variety of information flow teach, experience sharing, discussions, posting, automate workflow and collaborative work, so as to effectively improve the modern management level and quality of teaching and enhance student learning enthusiasm, initiative, and encouraged high-quality personnel for the information age.

The program discussed in detail the first high school of XX campus network solutions. Including: backbone design, campus LAN design, two campus network interconnection design, network design centers, apartment blocks LAN design, instructional design area Internet, library network design, logical topology design, security access and network management and anti-virus system and so on. Finally, in the campus network communication platform configuration list turnkey solutions of the required equipment.

[Keywords] campus network; network management; network security ; VPN

目 录

1前言 ........................................... 1

1.1选题的背景 ..................................... 1 1.2选题目的及意义 ................................. 1 1.3国内外的现状和发展趋势 ......................... 1

2 局域网络需求分析 ............................... 4

2.1 用户需求分析 ................................... 4 2.2 局域网络设计原则 ............................... 6 2.3 局域网络设计目标 ............................... 7

3 组网技术及产品选择 ............................. 8

3.1 仿真工具的介绍 ................................. 8 3.2 组网技术选择 ................................... 9 3.3 局域网涉及主要网络技术 ............................. 9

3.3.1 以太网技术 .................................... 10 3.3.2 路由技术 ...................................... 10 3.3.3 VLAN技术...................................... 10 3.3.4 远程访问技术 .................................. 12 3.3.5 网络的冗余技术 ................................ 13 3.3.6 帧中继 ........................................ 13 3.3.7 无线网络技术 .................................. 13

3.4 网络产品选型 ...................................... 15 3.4.1稳定可靠的网络 ................................. 16 3.4.2高带宽 ........................................ 16 3.4.3易扩展的网络 ................................... 16 3.4.4 QoS保证 ...................................... 17 3.4.5安全性 ........................................ 17 3.4.6容易控制管理 ................................... 17 3.4.7 IP Multicast .................................. 17 3.4.8符合IP发展趋势的网络 .......................... 18

4 局域网部署与设计 .............................. 18

4.1 层次化网络设计模型 ............................ 18

4.1.1 核心层 ........................................ 18 4.1.2 汇聚层 ........................................ 20 4.1.3 接入层 ........................................ 21 4.1.4 层次化网络设计模型的优点 ...................... 23

4.2 局域网络总体设计 .............................. 23

4.2.1 网络拓扑结构设计 .............................. 23 4.2.1 VLAN及IP地址规划 ............................. 24 4.2.3 模拟实现 ...................................... 26 4.2.4 综合布线 ...................................... 44

5 局域网服务器配置 .............................. 51

5.1服务器配置 .................................... 51

5.1.1 WWW服务器 ..................................... 51 5.1.2 E-mail服务器 .................................. 52 5.1.3 DHCP服务器 .................................... 54 5.1.4 DNS服务器 ..................................... 54 5.1.5 AAA服务器 ..................................... 54 5.1.5 VOD服务器 ..................................... 54

6 网络安全和网络管理 ............................ 55

6.1网络安全 ...................................... 55 6.1网络管理 ...................................... 56

7 网络操作系统和数据库管理系统的选择 ............ 57

7.1网络操作系统 .................................. 57 7.2数据库管理系统 ................................ 57

8 设备需求与报价 ................................ 59

8.1 系统主要设备报价 .............................. 59

参考文献 ........................................ 60 致 谢 .......................................... 61

1前言

1.1选题的背景

Internet飞速发展的今天，互联网成为人们快速获取、发布和传递信息的重要渠道，它在人们政治、经济生活等各个方面发挥着重要的作用。Internet上发布信息主要是通过网站来实现的，获取信息也是要在Internet“海洋”中按照一定的检索方式将所需要的信息从网站上下载下来，因此网站建设在Internet应用上的地位显而易见。为适应我国改革开放和社会主义现代化建设的新形势提出的新要求，有待组建一个技术先进、安全可靠的信息平台。综合布线技术的应用已经深入到社会生活的各个方面，局域网络的用户数量联网的计算机或服务器的数量是逐步增加的，网络技术也是日新月异，新产品新技术不断涌现。局域网络的规划设计是一项系统工程，不同的规划设计方案，可使网络存在较大的性能差异，它不仅体现在网络本身具备的技术特性和应用特点上，也体现了不同用户的各种需求，而局域网的建设必将对学校的信息化建设和教学素质的提高起到强大的推动作用，同时提供简单、有效、便捷的理想办公、教学环境。

Internet和Intranet代表着全新的信息时代的到来。Intranet使实现学校内部的信息化成为可能。学校工作人员和在校学生面对的信息资源已不仅仅来自于一个部门、一个学校或者是一个行业，而是所有Internet世界上的资源，使得学校教学、科研、管理和决策更为有效。

1.2选题目的及意义

对现有局域内各种网络进行规划设计，建成一个具有高可靠性和开放性的局域网络。可以方便的将学校的各个办公室、计算机机房和网络设备连接起来。使局域内所有的计算机互相之间能进行访问，达到资源共享。它能促进学生的信息应用水平和自学能力，为教师提供一个优化教学的平台，为学校的管理提高了效率与质量。

1.3国内外的现状和发展趋势

国内外局域网现状：在国外，美国在信息技术发展方面始终走在世界前列。

1

学校网络普及率高、设备先进、应用广泛。英国大力强化信息基础设施建设，积极发挥信息化教育的人才优势，努力开发利用丰富的信息资源，大大促进了整个信息化程度的全面提升，英国的全国学习网络已经成为了欧洲最大的教育门户网站。日本2001年，由首相和内阁成员组建而成的教育信息化小组出台了建设信息化日本（e-Japan）的政策文件；并先后出台了“百校工程”及“新百校工程”等教育信息化行动计划。

我国教育信息化正进入快速发展时期。2010年，77%的高中学校46%的初中学校均已建立局域网络，硬件环境有了极大的改善。局域网上还开展了远程教学、数字图书馆、办公自动化、教学教务管理、后勤管理、网络课程和教学资源开发等应用项目，开始向数字化局域方向发展。

但当前我国教育信息化的发展还处于粗放型阶段，硬件环境大投入和应用效果的低产出是当代教育信息化发展进程中的主要矛盾。已建成的局域网中，相当一部分还处于闲置、没有充分利用的状态，大多数停留在初步探索的层面上，信息技术仅仅作为一种演示工具而存在，对教育的影响未达到预期目标。

局域网发展趋势：

1. 网络集成化管理趋势：学校最重要的管理是教学管理和学生管理。当前局域网大多数偏重于教学管理，而忽略了学生管理，局域网如何在学生管理上发挥作用是当前迫切需要解决的现实问题。局域网络集成化管理是学校学生管理发展的方向，主要体现在考勤管理、卫生管理、安全管理、食宿管理、事务管理、信息服务等方面。

2. 局域网有线网与无线网的融合趋势：长期以来，局域网主要是以有线网络为主， 学校的教学活动主要集中在多媒体教室、实验室、机房、图书馆等场地进行，这些教学场所都会有有线网络。如今教学场所向着普通教室、学生宿舍、局域室外广场、食堂、操场以及一切开放的场所延伸，学生可以在学校任何场所开展学习，这就需要无线网络。有了无线网络，学生的学习将不再受时间和空间的限制，随时随地都可进行学习，随时随地获得资源。

3. 局域网与通信网络相结合的趋势：现在无论是老师还是学生，大多配有智能手机和笔记本电脑。在局域无线网络基础上结合通信网络，可以考虑其他的应用。比如VoIP，就是在无线局域网范围内，可以使用无线终端设备如手机、P

2

DA、平板电脑等来进行语音交流。在局域网络上提供VoIP、WIFI、视频广播、多媒体课件等增值服务，建立统一计费、管理和运营是未来局域网与通信网络相结合发展的趋势。

4. 局域网的网络远程教育趋势：网络远程教育综合运用现代通信技术、现代网络技术和多媒体技术，是实现交互式在线学习的新型教育模式，是传统教育的重要补充。

总之，局域网的建设是一个系统工程，它需要合理的规划和设计。局域网是实现现代教育与教育思想全面融合的有效载体，局域网各种支持系统的建立和应用可以极大地刺激和促进局域信息化的建设，可以大大改善教学的条件和环境，给学生提供一种具有现代气息的学习环境，有利于学生对专业知识的学习和信息素养的培养。在教育教学中充分发挥局域网的各种功能，促进现代教育的发展是局域网发展的趋势。

3

2 局域网络需求分析

2.1 用户需求分析

局域网建设方案应该完全适应局域网的需求。以提供完美的系统综合处理能力和性能为核心，要求网络带宽（包括主干层、接入层和用户层的带宽）足够高，网络能快速有效地传送IP数据包。局域网的建设不仅仅是给学校的计算机网络搭上网络平台，还要利用这些硬件、软件平台、给全校师生提供网络化的信息，这些信息包括WWW、E-mail、FTP等Internet服务，还要实现全文检索、VOD视屏点播、网络音视频下载等视听服务。

中学局域网是一种为学校学习活动、教学活动、科研活动和管理服务的局域内局域网络环境，且它是建构在多媒体技术和现代网络技术之上，并与因特网连接的高速现代网络。局域网络还应考虑：网络环境建设、网络畅通保障机制、网络教学资源和网络应用四个要素。建设原则是：实用性、开放性、先进性、安全可靠性、高效性、可扩展性、可管理型。

本局域网设有一个网络中心，网络中心作为主校区的接入点，直接使用1000M单模光纤互联，与电信距离大约为4000左右。局域内主干采用1000M多层交换以太网，100Mbps交换到终端。宿舍采用了10Mbps以太网，需对所有网络设备及线路进行改造，并且为了丰富学生的局域生活，提高中学生的动手能力，鼓励学生充分利用网络硬件资源和课余时间，建立自己的个人主页、学习经验交流平台、各科知识论坛等网络交流平台，是带动整个局域学生学习积极性、动手能力以及对网络技术的认识的有效途径。但是由于10Mbps局域网的速度缺陷，一个拥有上百个结点的宿舍楼里，这样的速度已经无法满足同学们的网络应用需求，所以在此次规划中，将其原来的线路和交换设备全部更换为新的100Mbps快速以太网，同时与局域内其它子网进行互联，让同学们在里就能够浏览到电子图书馆的所有图书资源，以及进行其它网络应用。

教师办公楼网络系统需要较高的安全性，要与其它子网这间区分开，不可随意访问，以免学校重要数据丢失或被窃取，造成不必要的损失。但还要在教师与学生这间建一个交流平台，通过学校的BBS站点，及时得到学生的学习信息，加强老师与学生之间的交流，促进学生各科成绩的提高，打造一个良好的信息交流

4

平台。

学校图书馆需要安装两套功能强大的图书管理系统，第一套用于对书籍的借还和摆放；第二套电子图书馆信息系统，根据电子图书独特的特点和局域学生的数量，图书馆信息系统需要高性能的应用服务器，而电子图书文档的存储对存储系统的容量空间和数据访问速度也提出了较大的要求，以保障图书馆馆藏电子文档的扩充需求和访问速度。

整个局域通讯网络功能相对复杂，涉及各个领域，如软件、经济、政治、科研、学术等的信息资源共享系统，人事管理、财务管理、教务管理、科研管理、档案管理、外事管理、医疗管理、后勤管理等学校信息管理系统和MAIL系统等。不同应用对服务器要求不同，为此，建议将各个不相关应用服务分开部署，以获得较好的性能和管理、维护的方便。而局域管理应用的数据对学校的整体教学与运营来说至关重要，对存储系统的高可用性、可管理性以及数据安全都提出了较高的要求。

通过一系列的调查总结出学校总体目标，根据学校现有资金情况，利用先进实用的计算机技术和网络通信技术，把学校内所有的局域网、网段和单机终端都连接起来，组成一个分布式网络系统。再通过局域网与外部CERNET和Internet连接，向下覆盖全校，分享国内外因特网的计算机信息资源，并建立基于局域网的网络应用系统。

局域网应提供如下功能：

（1）连接校内所有教学楼、实验室、办公楼中的PC。 （2）同时支持约10000个用户浏览Internet。

（3）提供丰富的网络服务，实现广泛的软件，硬件资源共享，包括：

（A）提供基本的Internet网络服务功能：如电子邮件、文件传输、远程登录、组讨论、电子公告牌、域名服务等。

（B）提供校内各个管理机构的办公自动化： 提供财务查询，报账服务。

提供受存取权控制的文件、档案查询服务。 提供贵重设备仪器及其它设备信息的管理服务。 提供各学科专业资料数据库服务。

5

提供学校自己的管理信息系统（MIS）。

（C）提供图书，文献查询与检索服务，增强校图书馆信息自动化能力。 （D）全校共享软件库服务，避免重复投资，发挥最大效益。 （E）提供CAI教学和科研的便利条件。

（F）经广域网接口，提供国内外计算机系统的互连，为国际间的信息交流和科研合作，为学校快速获得最新教学成果及技术合作等创造良好的信息通路。

2.2 局域网络设计原则

本方案根据XX市第一中学局域网的现状和进一步的需求目标、特点及实现的

功能与技术要求，对总体方案的设计、网络设备选型、采用的技术路线及工程实施的过程，均充分考虑了项目方案的实用性、经济性、先进性及可扩展性（保护现有投资，可平滑升级）。尤其注重了网络设备的安全可靠、易维护、易操作。突出了计算机、网络及多媒体技术对教育过程的实用与好用，综合考虑了项目中各子系统相对独立性与关联性，方案设计能够体现出其1+1>2的效果。具体的实施原则如下：

（1）良好的开放性和可扩展性

局域网络应具有的开放性，这种开放性依靠标准化实现，使符合标准的计算机系统很容易进行网络的互连。因此在网络建设中，网络体系结构和通信协议应选择广泛使用的国际标准，使得局域网成为一个完全开放式的网络环境。在局域网络平台建设中，尽量采取成熟先进的网络技术，统一的网络标准和主流的网络设备，使得网络结构更易于扩展、升级和维护。

（2）局域网软件平台的针对性

局域网的应用和服务的对象是学校的教师、学生。这就要求局域网软件平台的建设应以教学为核心，建立起一个在技术上具有先进性，在教学过程的各阶段应用上具有灵活性、多样性和针对性的数字化局域网。

（3）高度的安全性和可靠性

对于网络系统，应确保系统运行可靠，对关键部位提供容错能力，同时建立完善的安全管理体系。

（4）经济实用性

6

盲目地追求技术，会建成一个不稳定、不成熟产品的实验台。单纯高性能，只会带来难以承受的高额投资。所以，网络系统建设应采用成熟、适用、实用、好用的技术，力争以最小的投资得到最大的满足。

2.3 局域网络设计目标

建设一个以办公自动化、计算机辅助教学、现代计算机局域文化为核心，以现代网络技术为依托，技术先进、扩展性强、能覆盖全校主要楼宇的局域主干网络，将学校的各种PC机、工作站、终端设备和局域网连接起来，并与有关广域网相连，在网上宣传自己和获取Internet网上的教育资源。形成结构合理、内外沟通的局域计算机网络系统，在此基础上建立能满足教学、科研和管理工作需要的软硬件环境，开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务。系统总体设计将本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性，同时具有良好的开放性、可扩展性。

7

3 组网技术及产品选择

3.1 仿真工具的介绍

在本次仿真设计中，使用的是Cisco Packet Tracer软件。

Cisco Packet Tracer是由Cisco公司发布的一个辅助学习工具，为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑，并可提供数据包在网络中行进的详细处理过程，观察网络实时运行情况。可以学习IOS的配置、锻炼故障排查能力。

Packet Tracer是一个功能强大的网络仿真程序，允许学生实验与网络行为。随着网络技术学院的全面的学习经验的一个组成部分，包示踪提供的仿真，可视化，编辑，评估，和协作能力，有利于教学和复杂的技术概念的学习。

Packet Tracer补充物理设备在课堂上允许学生用的设备，一个几乎无限数量的创建网络鼓励实践，发现，和故障排除。基于仿真的学习环境，帮助学生发

8

展如决策第二十一世纪技能，创造性和批判性思维，解决问题。Packet Tracer补充的网络学院的课程，使教师易教，表现出复杂的技术概念和网络系统的设计。

Packet Tracer软件是免费提供的唯一的网络学院的教师，学生，校友，和管理人员，注册学校连接的用户。

3.2 组网技术选择

在局域网校区网络的建设中，主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择适合局域网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来向更新技术平滑过渡，保护用户的投资。

目前在局域网络上应用最广泛的技术有以太网、快速以太网、FDDI、Token Ring以及最新崛起的ATM（异步传输模式）、千兆以太网等。交换式以太网作为几年前主干网组网的主要技术，现在主要被用于工作组级组网，使网络交换到桌面工作站。

快速以太网是一种非常成熟的组网技术，造价很低，性能价格比很高，可作为资金不很充裕的中小型单位组建Intranet网的首选技术。快速以太网技术现在被广泛用于大型企业网的二级、三级网络组网或直接连至桌面工作站。

FDDI也是一种成熟的组网技术，但技术复杂、造价高，FDDI网络难以向更先进的网络技术升级，现在用FDDI组建主干网的情况已非常少见。

ATM技术成熟而复杂，组网成本高，是多媒体应用系统的理想网络平台。但是，网络带宽的实际利用率很低。

在选择局域校区网络技术时应该考虑如下：

（1）长远来看如何保护现有投资。保护现有投资的有效途径就是在将来网络技术升级时还能使用现有的网络技术和产品。如同计算机的发展速度一样，网络技术的发展也是非常迅速的。从目前的趋势来看，采用快速以太网技术是最适宜的。

（2）在局域网网络的建设中，主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择局域网网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来向更新技术平滑过渡，保护用户的投资。

9

根据我们对局域网网络需求的分析并结合目前高速主干网络技术的特点，本人建议采用快速以太网技术作为局域网的主干网络。

3.3 局域网涉及主要网络技术

在该局域网设计方案中，我们综合应用了以太网技术、路由技术、交换机VLAN技术、远程访问技术、网络冗余技术HSRP等。下面对这些技术依次进行介绍：

3.3.1 以太网技术

以太网（Ethernet）作为一种原理简单，技术成熟、成本较低、互操作性强、易于使用和管理、可扩充性强的局域网技术已经成为业界的主流。它由Xerox公司创建并由Xerox、Intel和DEC公司联合开发，是当今现有局域网采用的最通用的通信协议标准。以太网使用CSMA/CD(载波监听多路访问及冲突检测)技术，并以10M/S的速率运行在多种类型的电缆上。本方案的核心设计均采用以太网的结构设计。

3.3.2 路由技术

路由协议工作在OSI参考模型的第3层，它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表（Access Control List，ACL），路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本方案中，内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。

3.3.3 VLAN技术

传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了局域网数据交换的效率，更大大增强了园区网数据交换服务质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网（Virtual Local Area Network，VLAN）的概念。

VLAN技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN，每个VLAN是

10

一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内。使用VLAN可以控制广播风暴、提高网络整体安全性、网络管理简单、提高性能等。但是在不同VLAN间不通过路由是无法通信的。在LAN内的通信，必须在数据帧头中指定通信目标的MAC地址。而为了获取MAC地址，TCP/IP协议下使用的是ARP。ARP解析MAC地址的方法，则是通过广播。也就是说，如果广播报文无法到达，那么就无从解析MAC地址，亦即无法直接通信。

计算机分属不同的VLAN，也就意味着分属不同的广播域，自然收不到彼此的广播报文。因此，属于不同VLAN的计算机之间无法直接互相通信。为了能够在VLAN间通信，需要利用OSI参照模型中更高一层——网络层的信息（IP地址）来进行路由。因此，在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。

从技术角度讲，VLAN的划分可依据不同原则，一般有以下三种划分方法： （1）基于端口的VLAN划分

这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。 （2）基于MAC地址的VLAN划分

MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示，前6位为网卡的厂商标识（OUI），后6位为网卡标识（NIC）。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。

（3）基于路由的VLAN划分

路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。

就目前来说，对于VLAN的划分主要采取上述第1、3种方式，第2种方式为辅助性的方案。

使用第三层交换技术一方面支持VLAN之间通信，另一方面交换技术还减少了数据包的碰撞问题。因此支持VLAN的交换机配合第三层功能不但具有很高的

11

性能，而且具有充分的弹性，是我们此次设计方案的选择。

3.3.4 远程访问技术

远程访问也是局域网络必须提供的服务之一。它可以为家庭办公职员和出差在外的老师提供移动接入服务。下面对各种远程接入方式进行比较：

（1）远程拨号

采用远程拨号方式，必须申请电话线，用户多时，需申请中继电话线，而且需要Modem Pool将模拟信号转换成数字信号，拨号访问服务器将串行数据转换为网络上传输的IP数据包。同时多数学校较难为接入设备提供理想的工作环境，不能确保信息传输的质量和安全。

（2）租用专用线路

在过去的数十年间，许多学校或科研就够花费大量资金租用专用线路，将其主要分支机构连接起来组成该校的私有通信网络，以达到信息在学校内部的快速沟通和共享，这样学校在获得高效率和方便性的同时，也为租用专用线路付出了较高的成本。

（3）VPN远程接入

VPN（Virtual Private Network）即虚拟专用网是在公共网络上建立的专用网络，但其任意2个结点间的连接并没有传统专用网络所需的点到点的物理链路，而是架构在公共网络（Internet）服务商（ISP）所提供网络平台上的逻辑网络。用户数据通过ISP 在公共网络中建立的逻辑隧道（Tunnel），即点到点的虚拟专线进行传输。通过加密和认证技术，确保局域内部网络数据在公共网络上安全传输，真正实现网络数据的专有性。VPN是对企业内部网络的扩展，通过它可以实现远程用户与内部网络的安全连接。VPN远程接入方式最适用于学校经常有教师出差，需实现远程办公的情况。出差教师利用当地ISP提供的VPN服务，即可与企业VPN网关建立私有的隧道连接。

VPN远程接入方式有以下主要优势：

简化网络。只需要投入1台VPN网关设备，即可解决几十到几千人的远程接入问题。

节省费用。利用本地拨号接入取代远距离接入或800电话接入，显著降低长

12

途通信费用，减少了用于购置调制解调器和终端服务设备的费用。

支持多种标准认证机制如LDAP、RADIUS等。

多样接入方式。无论用户采用哪种方式访问互联网，均可建立VPN连接。 自由选择规模。无论学校大小，VPN都有相对应的产品，用户数可为5～5000个。

3.3.5 网络的冗余技术

网络冗余，一般指的是网络通路或网络系统中信息内容的冗余，也就是说，当网络中一条通路（物理链路）发生故障断掉了，还可以通过其他通路（物理链路）传递信息；当网络系统中的一个结点信息丢失时，还可以通过访问其他备份结点来恢复数据。通过网络冗余技术可以提高网络的可靠性，链路冗余既可提高可靠性，又能均衡负载。

3.3.6 帧中继

帧中继（Frame Relay）是从综合业务数字网中发展起来的，并在1984年推荐为国际电话电报咨询委员会（CCITT）的一项标准，另外，由美国国家标准协会授权的美国TIS标准委员会也对帧中继做了一些初步工作。由于光纤网的误码率（小于10^-9）比早期的电话网误码率低得多，因此，可以减少X.25的某些差错控制过程，从而可以减少结点的处理时间，提高网络的吞吐量。帧中继就是在这种环境下产生的。帧中继提供的是数据链路层和物理层的协议规范，任何高层协议都独立于帧中继协议，因此，大大地简化了帧中继的实现。帧中继的主要应用之一是局域网互联，特别是在局域网通过广域网进行互联时，使用帧中继更能体现它的低网络时延、低设备费用、高带宽利用率等优点。帧中继是一种先进的广域网技术，实质上也是分组通信的一种形式，只不过它将X.25分组网中分组交换机之间的恢复差错、防止阻塞的处理过程进行了简化。

3.3.7 无线网络技术

随着移动设备使用的越来越广泛，人们对网络服务的要求也越来越高，局域网除了要配置固定办公的网络需求，同时也要考虑到无线网络的需求，即构建无

13

线网络让师生学习交流更加方便、可以更好地提高学习效率。

目前主要短距离的无线技术有IrDA、BlueTooth、WiFi(802.11)、NFC\\ZigBee、UWB。毫无疑问，WiFi是如今使用最广泛的短距离无线技术，相信大家都有很深的体会。所以本方案中将组建基于802.11系列协议的无线局域网。

802.11协议家族主要包括802.11a、802.11b、802.11g、802.11n、802.11、802.11ac等协议。其中使用最多的应该是802.11n协议标准，而近年制定出来的802.11ac协议标准，则是802.11n之后的版本。从核心技术来看，802.11ac是在802.11n标准之上建立起来的，包括将使用802.11n的5GHz频段。此外，802.11a还将向后兼容802.11全系列现有和即将发布的所有标准和规范，包括即将发布的802.11s无线网状架构以及802.11u等。它能够提供最少1Gbps带宽进行多站式无线局域网通信，或是最少500Mbps的单一连接传输带宽。安全性方面，它将完全遵循802.11i安全标准的所有内容，使得无线连接能够在安全性方面大道企业级用户的需求。根据802.11ac的实现目标，未来802.11ac将可以帮助企业或家庭实现无缝漫游，并且在漫游过程中能支持无线产品相适应的安全、管理以及诊断的应用。所以，本方案建议选用能够支持802.11ac协议标准的无线接入设备。

本方案中将选用TP-LINK TL-WDR7500（439元/台），其详细参数见表3-1：

表3-1 TP-LINK TL-WDR750详细参数 主要性能 产品类型 网络标准 企业级无线路由器 无线标准：IEEE 802.11ac、IEEE 802.11n、IEEE 802.11g、IEEE 802.11b、IEEE 802.11.a 有线标准：IEEE 802.3、IEEE 802.3u、IEEE 802.3ab 1300Mbps 双频（2.4GHz，5GHz） 1个10/100/1000Mbps WAN口 4个10/100/1000Mbps LAN口 2个USB 2.0接口 外置全向天线 6根 否 5dBi 支持 支持 14

最高传输速率 频率范围 网络接口 USB接口 天线 天线类型 天线数量 是否可拆卸 天线增益 功能参数 VPN支持 Qos支持

防火墙功能 WPS功能 WDS功能 无线安全 内置防火墙 支持WPS一键加密功能 支持WDS无线桥接 无线MAC地址过滤 无线安全功能开关 64/128/152位WEP加密 WPA-PSK/WPA2-PSK 、WPA/WPA2安全机制 WPS快速安全设置 流量统计 系统安全日志 远程Web管理 配置文件导入与导出 电源，SYS系统，2.4GHz无线，5GHz无线，Link/Act，USB口，QSS安全 243×160×33mm 工作温度：0-40℃ 工作湿度：10%-90%RH（不凝结） 存储温度：-40-70℃ 存储湿度：5%-90%RH（不凝结） 全国联保，享受三包服务； 质保时间1年；质保备注1年保换，客户送修 网络管理 其他参数 状态指示灯 产品尺寸 环境标准 保修信息

根据校区的楼层结构和部门分配等情况，局域的无线网络作为局域网的补充，其具体设计如下：

（1）要求全面无线覆盖，所以需将无线路由安置在各楼层的空旷区域天花板处，如大厅。

（2）规划带宽需求：本方案中预设每层楼带宽按10Mbps每个用户来算，每楼层控制在100个用户左右。网络的总带宽需求=总用户数*并发率*每位用户带宽需求（用户同时上网并发率按50%算），即总带宽需求=100*50%*10=500Mbps。本方案选用的TP-LINK TL-WDR7500最高传输速率达道1300Mbps，考虑墙壁阻挡、信号衰弱、天线覆盖范围等因素，每一楼层安置一台无线接入设备即可。

（4）无线路由的WAN接口连接到企业局域网的接入层交换机的LAN接口上，IP地址使用无线路由默认的设置。

（5）无线网络安全方面:一方面采用隐藏SSID的方式保证企业外部的人员

15

搜索不到网络，并且启动加密措施以保证合法用户接入网络；另一方面创建一个安全的强大的管理口令，并利用无线设备本身提供的强大安全功能，将无线网络设置成一个独立的虚拟子网。

3.4网络产品选型

校区网络建设应该以应用为核心，在设计中充分考虑到教育管理和多媒体教学的要求，并且网络技术上应该具有一定的先进性，同时还要为以后的扩展留有一定的空间。为此局域校区网络应该能达到以下要求：

3.4.1稳定可靠的网络

只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物理层、数据链路层和网络层的备份技术。

3.4.2高带宽

由于局域校区网络应用的特殊性,它对整个网络系统的性能要求相对来说比较高。其中，网络速率要求主要的信息点100M交换到桌面，园区网中各终端间具有快速交换功能。为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用最先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。

3.4.3易扩展的网络

系统要有可扩展性和可升级性。易扩展不仅仅指设备端口的扩展，还指网络结构的易扩展性：即只有在网络结构设计合理的情况下，新的网络节点才能方便地加入已有网络；网络协议的易扩展：无论是选择第三层网络路由协议，还是规划第二层虚拟网的划分，都应注意其扩展能力。对于核心网络设备，要求骨干交换机具备第三层交换能力，要求支持今后的视频点播、电视电话会议的宽带多媒体应用，并要求留有一定的扩充能力。

16

3.4.4 QoS保证

服务质量(QoS）提供了高水平的网络可用性、冗余性（备用设备负责完成故障设备的工作）和安全性，可管理影响性能的多种网络问题，如带宽、延迟、抖动和分组丢失。当某种流量拥有独特的特性，需另行处理时，QoS就显得极其重要。例如，多种服务流量（语音和视频）并存于拥有各种优先级的数据流量的通用网络中。在流量分类方面，为第2层分类提供了802.1q和可信赖端口，以及相应的ATM适应层。在第3层中，可支持Ipv4服务级别（CoS）、个性能服务代码点（DSCP），以及基于网络的更高层应用识别（NBAR）和内容交换。

提供了先进的流量排程、拥塞避免和拥塞管理功能，包括基于级别的加权公平排序（WFQ）和加权随机早期检测（WRED）。还支持特殊的语音流量机制，如低延迟排序、链路分段和交叉等。最后，提供了QoS Policy Manager，这是一种实施QoS策略的管理工具。QoS设计指南拥有有关QoS最佳实施的具体信息。

3.4.5安全性

网络系统应具有良好的安全性，由于网络连接园区内部所有用户，安全管理十分重要。网络具有防止及便于捕杀病毒功能。应支持VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。校区网络与局域网相连后具有“防火墙”过滤功能，以防止网络黑客入侵网络系统。可对接入因特网的各网络用户进行权限控制。

3.4.6容易控制管理

对于网络管理，要求采用智能化网络管理软件，实现对网络的自动监测和控制。并支持虚拟网络功能，对网络用户具有分类控制功能。

3.4.7 IP Multicast

由于局域校区网络中包含许多多媒体应用通信，会存在许多的广播信息，占用大量的带宽资源。所以网络系统应能支持IP Multicast，可以减少网络中不必要的广播，节省主干的带宽。

17

3.4.8符合IP发展趋势的网络

在当前任何一个提供服务的网络中，对IP的支持服务是最普遍的，而IP技术本身又处在发展变化中，如IpV6，IP QoS，IP Over SONET等等新兴的技术不断出现，局域网络必须跟紧IP发展的步伐，也就是必须选择处于IP发展领导地位的网络厂商。

4 局域网部署与设计

4.1 层次化网络设计模型

在网络工程设计的过程中，为了将一个复杂的问题简单化，常采用分层设计的思想，将一个大型局域网和园区网按照其所起的功能和作用从设计上分为核心层、汇聚层和接入层。

4.1.1 核心层

核心层的主要提供不同网络模块之间优化传输服务，将分组尽可能快地从一个网络传到另一个网络，通常要保证核心层具有很高的可靠性、最佳的网络性能。汇聚层到核心层要具备冗余传输链路，任何单条链路断连不影响网络的可用性。作为所有网络流量的传输中枢，核心层除了要求高性能交换设备和高带宽传输链路外，还需考虑选用支持负载均衡或负载分担特性的设备实现负荷均衡。此外，为了避免网元故障对网络造成冲击，需要网络采用支持快速聚合的特性，一旦主用通路断开，可以很快的切换到备用通路。汇聚层交换节点采用千兆智能堆叠交换机，提供智能的流分类和完善的QoS特征。为各类型网络提供完善的端到端的服务质量、丰富的安全设置和基于策略的网管，最大化满足高速、融合、安全的园区网新需求；本方案中各接入层交换机通过千兆链路上联到各汇聚层设备，对下联的桌面设备提供全双工的百兆连接，为各类用户提供无阻塞的交换性能。

18

本项目将选用CISCO WS-C6509-E（3.65万）交换机作为主干交换机实现1000M做主干100M到桌面的需求。

CISCO WS-C6509-E如下图4-1所示：

图4-1 CISCO WS-C6509-E

CISCO WS-C6509-E详细参数如下表4-1所示：

表4-1 CISCO WS-C6509-E详细参数

主要参数 产品类型 应用层级 传输速率 交换方式 背板带宽 包转发率 MAC地址表 端口参数 端口结构 扩展模块 传输模式 功能特性 网络标准 VLAN QoS 网络管理

企业级交换机 四层 10/100/1000Mbps 存储-转发 720Gbps 387Mpps 64K 模块化 9个模块化插槽 支持全双工 IEEE 802.3，IEEE 802.3u，IEEE 802.1s，IEEE 802.1w，IEEE 802.3ad 支持 支持 CiscoWorks2000，RMON，增强交换端口分析器19

（ESPAN），SNMP，Telnet，BOOTP，TFTP 其他参数 电源功率 产品尺寸 4000W 622*445*460mm 4.1.2 汇聚层

汇聚层顾名思义就是作为访问层到骨干层的汇聚，通常为访问层与骨干层实现基于策略的网络间连接。汇聚层主要由三层交换机组成，提供对网络流量模式控制、服务访问控制、QoS、定义路由路径度量（path metric）和路由协议网络通告控制。根据主校区与分校区实际情况，本此设计仅在主校区采用三层交换技术的网络架构，网络的优化效果更加明显，配以网管软件，网络的安全性和防护性大幅提升。

汇聚层设备选择CISCO WS-C4506-E（1.28万）。

Cisco Catalyst 4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性，因而能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。

20

图4-2 CISCO WS-C4506-E

CISCO WS-C4506-E详细参数如下表4-2所示：

表4-2 CISCO WS-C4506-E详细参数

主要参数 产品类型 应用层级 传输速率 交换方式 背板带宽 包转发率 端口参数 端口结构 扩展模块 传输模式 功能特性 网络标准 VLAN QoS 网络管理 其他参数 电源功率 产品尺寸 产品重量 环境标准 企业级交换机 四层 10/100/1000Mbps 存储-转发 100Gbps 75Mpps 模块化 1个超级引擎插槽数+5个线路卡插槽 支持全双工 IEEE 802.3，IEEE 802.3u，IEEE 802.3，IEEE 802.3z，IEEE 802.3x，IEEE 802.3ab 支持 支持 SNMP管理信息库(MIB)II，SNMP MIB扩展，桥接MIB(RFC 1493) 4000W 622*445*460mm 18.37kg 工作温度：0-40℃ 工作湿度：10%-96%（无凝结） 存储温度：-40-75℃ 存储湿度：10%-96%（无凝结） 4.1.3 接入层

接入层作为各模块到交换骨干的连接，根据不同模块进行逻辑子网划分，并

21

通过VLAN技术实现子网之间的隔离。访问层主要功能在于隔离模块间的广播流量，避免不同模块之间相互影响。访问层主要通过二层交换机组成。 楼层接入设备将选择CISCO WS-C2960-24TC-L（0.36万）。

CISCO WS-C2960-24TC-L，可提供桌面快速以太网和千兆以太网连接并可为入门级企业、中间市场和分支机构网络实现高级局域网服务的固定配置。Cisco Catalyst 2960 LAN Base系列可提供集成安全性，包括网络准入控制（NAC）、高级服务质量（QoS）和为网络边缘提供智能服务的永续性。

图4-3 CISCO WS-C4506-E

CISCO WS-C2960-24TC-L详细参数如下表4-15所示：

表4-3 CISCO WS-C2960-24TC-L详细参数

主要参数 产品类型 应用层级 传输速率 交换方式 产品内存 背板带宽 包转发率 MAC地址表 端口参数 端口结构 端口数量 端口描述 传输模式 功能特性 网络标准 智能交换机 二层 10/100Mbps 存储-转发 DRAM内存：64MB FLASH内存：32MB 4.4Gbps 6.5 Mpps 8K 非模块化 26个 24个以太网10/100Mbps端口，2个两用上行端口 全双工/半双工自适应 IEEE 802.3，IEEE 802.3u，IEEE 802.1x，IEEE 802.1Q，IEEE 802.1p，IEEE 802.1D，IEEE 802.1s，IEEE 802.1w，IEEE 802.3ad，IEEE 802.3z VLAN QoS 网络管理 其他参数

支持 支持 Web浏览器，SNMP，CLI 30W 电源功率 22

产品尺寸 产品重量 环境标准 44*445*236mm 3.6kg 工作温度：0-45℃ 工作湿度：10%-85%（无凝结） 存储温度：-25-70℃ 存储湿度：10%-85%（无凝结） 4.1.4 层次化网络设计模型的优点

“核心层-汇聚层-访问层”层次化网络设计模型有如下优点：

??可扩展性－遵循层次化模型网络比扁平式网络更具有伸缩性和可管理性，因为各功能网络通过模块化实现，潜在问题更易于识别。

??于实施－每一层的功能性清晰划分，简化每一层的实现。

??于故障排除－每一层的功能经过良好定义，网络更为简单，有助于故障的隔离。模块化设计也有效限制故障影响范围。

??于规划和管理－层次化的功能划分，整个网络规划和管理更为简单。

4.2 局域网络总体设计

4.2.1 网络拓扑结构设计

跟据主校区实际情况，主校区采用三层结构的设计方法。即核心层、汇聚层和接入层，网络拓扑如下图4-2所示：

23

图4-2 主校区网络拓扑

分校区网络拓扑如下图4-3所示：

图4-3 分校区网络拓扑

总体局域网络拓扑图如下图4-4所示：

图4-4 总体网络拓扑

4.2.1 VLAN及IP地址规划

为了提高IP地址的使用效率，引入了子网的概念。将一个网络划分为子网：采用借位的方式，从主机位最高位开始借位变为新的子网位，所剩余的部分则仍

24

为主机位。这使得IP地址的结构分为三级地址结构：网络位、子网位和主机位。这种层次结构便于IP地址分配和管理。它的使用关键在于选择合适的层次结构--如何既能适应各种现实的物理网络规模，又能充分地利用IP地址空间。子网的划分主要是根据子网掩码来区分的，掩码的作用就是用来告诉电脑把“大网”划分为多少个“小网”，以及每个子网中的主机数目。如表4-4与4-5所示，对学校子网的进行了划分。

主校区分为公寓区、教学区、公寓区、办公区、图书馆、服务器群与无线区，IP与VLAN如下表4-4所示：

表4-4主校区VLAN与IP划分 区域 公寓区 教学区 名称 教师公寓 学生公寓 教学楼 实验楼 活动中心 办公区 校务 办公室 后勤 图书馆 图书室 图书馆服务器 电子阅览室 服务器群 无线区 VPN 服务器 无线网 -- VLAN号 VLAN名称 11 12 13 14 15 16 17 18 19 -- 20 21 22 30 jsgy xsgy jxl syl hdzx xw bgs hq tss -- dzyls fwqq wxq vpnpool 网段 10.1.0.0/16 10.2.0.0/16 10.3.0.0/16 10.4.0.0/16 10.5.0.0/16 10.6.0.0/16 10.7.0.0/16 10.8.0.0/16 10.9.0.0/16 10.9.0.9/16 10.10.0.0/16 10.11.0.0/16 10.12.0.0/16 10.20.0.100-200/16 默认网关 10.1.0.1 10.2.0.1 10.3.0.1 10.4.0.1 10.5.0.1 10.6.0.1 10.7.0.1 10.8.0.1 10.9.0.1 10.9.0.1 10.10.0.1 10.11.0.1 10.12.0.1 10.20.0.1 分校区分为教师公寓、学生公寓、教学楼、实验室、活动中心、办公室、图书室、服务器、无线网，IP与VLAN如下表4-5所示：

表4-4分校区VLAN与IP划分 区域 教师公寓 学生公寓 教学楼 实验室 活动中心 办公室 图书室 图书室 图书室服务器 服务器

VLAN号 31 32 33 34 35 36 37 -- 38 25

VLAN名称 jsgy2 xsgy2 jxl2 sys2 hdzx2 bgs2 tss2 -- fwq 网段 172.16.0.0/16 172.17.0.0/16 172.18.0.0/16 172.19.0.0/16 172.20.0.0/16 172.21.0.0/16 172.22.0.0/16 172.22.0.9/16 172.23.0.0/16 默认网关 172.16.0.1 172.17.0.1 172.18.0.1 172.19.0.1 172.20.0.1 172.21.0.1 172.22.0.1 172.22.0.1 172.23.0.1 无线网 39 wxw 172.24.0.0/16 172.24.0.1 局域网各路由器IP划分如下表4-5所示：

表4-5分校区路由IP划分

路由 主校区路由 分校区路由 外网路由 接口 S1/0 S1/1 S1/0 S1/2 S1/1 S1/2 IP 172.27.0.1/16 20.0.0.1/8 172.16.0.2/16 30.0.0.1/8 20.0.0.1/8 30.0.0.2/8 3.3.3.3/8 2.2.2.2/8 Loopback地址 1.1.1.1/8 路由器拓扑图如下图4-5所示：

图4-5：路由器拓扑

4.2.3 模拟实现

本局域网络设计中，为了实现整个工程设计设备的统一性，本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。

本局域网设计方案主要由以下四大部分构成：交换模块、广域网接入模块、远程访问模块、服务器群。整个网络系统的拓扑结构图如图4-6所示。（省略了部分拓扑信息）。

26

CernetInternet核心层网络中心汇聚层教学子网图书馆子网宿舍区子网办公子网后勤子网接入层管理单位图4-6：模块设计

（1）VTP配置

VTP（VLAN Trunking Protocol）：是VLAN中继协议，也被称为虚拟局域网干道协议。它是思科私有协议。作用是十几台交换机在企业网中，配置VLAN工作量大，可以使用VTP协议，把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样他们可以自动学习到server 上的VLAN 信息。

本设计在主校区局域网中，由于部门较多，网络较为复杂，VLAN的操作都在核心层进行，因此核心层的VTP模式设为Server，汇聚层与接入层的模式为Client，部分VTP信息如下图：

27

分校区局域网中，由于部门较少，网络相对简单，VLAN的操作都可以在核心层进行，因此核心层的VTP模式设为Server，接入层的模式为Client，部分VTP信息如下图：

28

（2）VLAN配置

在主校区核心交换机1上配置VLAN，如下图：

同理分校区的核心交换机3上配置VLAN，如下图：

（3）设置快速端口

默认情况下，交换机在刚加电启动时，每个端口都要经历生成树的四个阶段：

29

阻塞、侦听、学习、转发。在能够转发用户的数据包之前，某个端口可能最多要等50秒钟的时间。PortFast是Cisco独有的技术，当端口工作模式为Access时，该端口会直接从阻塞状态转换到转发状态。PortFast技术仅在端口工作在Access模式才能启作用。

部分开启速端口交换机如下图：

（4）PVST配置

PVST是解决在虚拟局域网上处理生成树的CISCO特有解决方案。PVST为每个虚拟局域网运行单独的生成树实例。一般情况下PVST要求在交换机之间的中继链路上运行CISCO的ISL。

每VLAN生成树（PVST）为每个在网络中配置的VLAN维护一个生成树实例。它使用ISL中继和允许一个VLAN中继当被其它VLAN的阻塞时将一些VLAN转发。尽管PVST对待每个VLAN作为一个单独的网络，它有能力通过一些在主干和其它在另一个主干中的不引起生成树循环的VLAN中的一些VLAN来负载平衡通信。

核心交换机1的PVST配置如下图：

30

对方核心交换机1的端口也需要进行相同配置。分校区同样进行PVST配置，如下图：

（5）生成树协议STP配置

生成树协议最主要的应用是为了避免局域网中的单点故障、网络回环，解决成环以太网网络的“广播风暴”问题，从某种意义上说是一种网络保护技术，可以消除由于失误或者意外带来的循环连接。STP也提供了为网络提供备份连接的可能，可与SDH保护配合构成以太环网的双重保护。如下图：

31

在主校区中核心交换机1作为vlan 11，13-14，16-17，19，21，30的根网桥，核心交换机2作为vlan 12，15，18，20，22的根网桥。分校区同样进行配置核心交换机3作为vlan 31-34，38的根网桥，核心交换机4作为vlan 35-37,39的根网桥。 （6）RIP协议配置

路由信息协议（Routing Information Protocol，缩写：RIP）是一种使用最广泛的内部网关协议（IGP）。（IGP）是在内部网络上使用的路由协议(在少数情形下,也可以用于连接到因特网的网络)，它可以通过不断的交换信息让路由器动态的适应网络连接的变化，这些信息包括每个路由器可以到达哪些网络，这些网络有多远等。IGP是应用层协议，并使用UDP作为传输协议。

主校区与分校区路由配置如下：

（7）HSRP配置

热备份路由器协议（HSRP：Hot Standby Router Protocol），是Cisco平台一种特有的技术，是Cisco的私有协议。

该协议中含有多台路由器，对应一个HSRP组。该组中只有一个路由器承担

32

转发用户流量的职责，这就是活动路由器。当活动路由器失效后，备份路由器将承担该职责，成为新的活动路由器。这就是热备份的原理。

实现HSRP的条件是系统中有多台路由器，它们组成一个“热备份组”，这个组形成一个虚拟路由器。在任一时刻，一个组内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将选择一个备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了路由器切换的问题。

使用主校区VLAN 11进行说明部分HSRP配置： 核心交换机1上面：

zhuhexin1(config)#interface Vlan11

zhuhexin1(config-if)#ip address 10.1.0.1 255.255.0.0 //设置vlan11的网关地址

zhuhexin1(config-if)#standby version 2 zhuhexin1(config-if)#standby 1 ip 10.1.0.254 //虚拟路由ip

zhuhexin1(config-if)#standby 1 priority 105 //该模拟器默认优先权100，且优先权只能降低10，不能自定义降低优先权数值，所以10x（任意101~109）

//设置优先级

zhuhexin1(config-if)#standby 1 preempt //开启抢占模式

zhuhexin1(config-if)#standby 1 track FastEthernet0/24 //设置追踪f0/24端口 核心交换机2上面：

Zhuhexin2(config)#interface Vlan11

Zhuhexin2(config-if)#ip address 10.1.0.2 255.255.0.0 //设置vlan11的备份网关地址

Zhuhexin2(config-if)#standby version 2 Zhuhexin2(config-if)#standby 1 ip 10.1.0.254 Zhuhexin2(config-if)#standby 1 preempt

33

Zhuhexin2(config-if)#standby 1 track FastEthernet0/24 查看两个核心交换机的即时HSRP信息表，如下图：

此时Vlan11位于核心交换机1的默认网关地址10.1.0.1处于Active状态，核心交换机1备份网关地址10.1.0.2处于Standby状态。当关闭核心交换机1的F0/24端口，此时Vlan的状态如下图：

34

此时Vlan11位于核心交换机1的默认网关地址10.1.0.1处于Standby状态，核心交换机2备份网关地址10.1.0.2处于Active状态。

汇聚层达到分流负载功能：

35

（8）Telnet配置

Telnet协议是TCP/IP协议族的其中之一，是Internet远程登录服务的标准协议和主要方式，常用于网页服务器的远程控制，可供用户在本地主机运行远程主机上的工作。

本次局域网设计中，可以通过telnet来管理局域网路由器的对外端口。 配置telnet：

zhurouter(config)#username qyz password qyz

zhurouter(config)#access-list 2 permit host 10.15.0.3 zhurouter(config)#line vty 0 4 zhurouter(config-if)#access-class 2 in

36

zhurouter(config-if)#login local telnet如下图：

同理，对核心交换机可以进行telnet配置，以达到保护的作用。

（9）VPN配置

虚拟专用网（英语：Virtual Private Network，简称VPN），是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。虚拟私人网络的讯息透过公用的网络架构来传送内联网的网络讯息。它利用已加密的通道协议（Tunneling Protocol）来达到保密、发送端认证、消息准确性等私人消息安全效果。这种技术可以用不安全的网络来发送可靠、安全的消息。

VPN详细配置如下： zhuluyou#conf t

zhuluyou(config)#aaa new-model //启用aaa

zhuluyou(config)#aaa authentication login vpnauth group radius local //启用AAA登录验证，名为vpnauth，验证方法为Local

zhuluyou(config)#aaa authorization network vpnauth local //启用AAA网络授权，名为vpnauth，验证方法为Local zhuluyou(config)#crypto isakmp policy 10 //定义密钥（IKE）的属性，10是编号

37

zhuluyou(config-isakmp)#encr aes 256 //定义加密算法 zhuluyou(config-isakmp)#authentication pre-share //认证方式采用预共享密钥 zhuluyou(config-isakmp)#group 2 zhuluyou(config-isakmp)#ex

Router(config)#crypto isakmp client configuration group qingysdyzx //共享密码设定，组名qingysdyzx

zhuluyou(config-isakmp-group)#key qingysdyzx //共享密码设定，密码qingysdyzx

zhuluyou(config-isakmp-group)#pool vpnclients //vpn客户端地址池VPNCLIENTS

zhuluyou(config-isakmp-group)#netmask 255.255.0.0 //vpn客户端地址掩码

zhuluyou(config-isakmp-group)#ex

zhuluyou(config)#crypto ipsec transform-set qyztrans esp-3des esp-sha-hmac

//定义传输集，名称为qyztrans

zhuluyou(config)#crypto dynamic-map qyzmap 10 //定义动态map条目，编号10，名qyzmap

zhuluyou(config-crypto-map)#set transform-set qyztrans //设定加密策略采用名称为qyztrans的设定 zhuluyou(config-crypto-map)#reverse-route

//反向路径检测，检查客户端的路由是否为这个接口出去 zhuluyou(config-crypto-map)#ex

zhuluyou(config)#crypto map qyzmap client authentication list vpnauth

zhuluyou(config)#crypto map qyzmap isakmp authorization list vpnauth zhuluyou(config)#crypto map qyzmap client configuration address respond

38

//定义静态的MAP条目

zhuluyou(config)#crypto map qyzmap 10 ipsec-isakmp dynamic qyzmap //响应客户端ip请求 zhuluyou(config)#int s1/1

zhuluyou(config-if)#crypto map qyzmap //将map应用到接口 zhuluyou(config-if)#ex

zhuluyou(config)#ip local pool vpnclients 10.20.0.100 10.20.0.200 //vpn地址池

zhuluyou(config)#radius-server host 10.11.0.8 auth-port 1645 key qyz //aaa服务器地址和端口key为qyz 配置AAA服务器：

使用外网主机连接局域网：

39

（10）PAT配置

PAT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。PAT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。也就是采用Port Multiplexing技术，或改变外出数据的源port的技术将多个内部ip地址映射到同一个外部地址。

在主校区网络中，允许所有VLAN使用主校区路由端口S1/0的地址20.0.0.1

40

访问外网，配置如下：

zhuluyou(config)#access-list 1 permit any

zhuluyou(config)#ip nat inside source list 1 interface Serial1/1 overload

分校区则使用分校区路由端口S1/2的地址30.0.0.1访问外网。 （11）ACL配置

在主校区的核心交换机1与核心交换机2上配置访问控制列表，保护服务器群的重要数据，以及教职工的信息安全。如下图：

41

在主校区路由器上配置ACL以达到保护局域网：

局域内网可以访问外网，外网可以访问学校官网：

42

本文来源：https://www.bwwdw.com/article/jgqr.html