第一篇：中小型校園網(wǎng)設(shè)計(jì)方案實(shí)例

（中小型）校園網(wǎng)設(shè)計(jì)方案實(shí)例

目錄.............系統(tǒng)總體設(shè)計(jì)方案概述...........................................................................1 1.1 系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu)..................................................................................2 1.2 VLAN及 IP地址規(guī)劃...................................................................................3 2 交換模塊設(shè)計(jì).......................................................................................4 2.1 訪問層交換服務(wù)的實(shí)現(xiàn)－配置訪問層交換機(jī)............................................5 2.1.1 配置訪問層交換機(jī) AccessSwitch1 的基本參數(shù).....................................5 2.1.2 配置訪問層交換機(jī) AccessSwitch1 的管理 IP、默認(rèn)網(wǎng)關(guān)......................7 2.1.3 配置訪問層交換機(jī) AccessSwitch1 的 VLAN及 VTP...............................8 2.1.4 配置訪問層交換機(jī) AccessSwitch1 端口基本參數(shù).................................9 2.1.5 配置訪問層交換機(jī) AccessSwitch1 的訪問端口.....................................9 2.1.6 配置訪問層交換機(jī) AccessSwitch1 的主干道端口...............................11 2.1.7 配置訪問層交換機(jī) AccessSwitch2......................................................11 2.1.8 訪問層交換機(jī)的其它可選配置...........................................................12 2.2 分布層交換服務(wù)的實(shí)現(xiàn)－配置分布層交換機(jī)..........................................13 2.2.1 配置分布層交換機(jī) DistributeSwitch1 的基本參數(shù)..............................14 2.2.2 配置分布層交換機(jī) DistributeSwitch1 的管理 IP、默認(rèn)網(wǎng)關(guān)................14 2.2.3 配置分布層交換機(jī) DistributeSwitch1 的 VTP......................................15 2.2.4 在分布層交換機(jī) DistributeSwitch1 上定義 VLAN...............................16 2.2.5 配置分布層交換機(jī) DistributeSwitch1 的端口基本參數(shù).......................17 2.2.6 配置分布層交換機(jī) DistributeSwitch1 的 3 層交換功能.......................18 2.2.7 配置分布層交換機(jī) DistributeSwitch2..................................................19 2.2.8 其它配置............................................................................................20 2.3 核心層交換服務(wù)的實(shí)現(xiàn)－配置核心層交換機(jī)..........................................20 2.3.1 配置核心層交換機(jī) CoreSwitch1 的基本參數(shù)......................................21 2.3.2 配置核心層交換機(jī) CoreSwitch1 的管理 IP、默認(rèn)網(wǎng)關(guān)........................21 2.3.3 配置核心層交換機(jī) CoreSwitch1 的的 VLAN及 VTP............................22

2.3.4 配置核心層交換機(jī) CoreSwitch1 的端口參數(shù)......................................22 2.3.5 配置核心層交換機(jī) CoreSwitch1 的路由功能......................................23 2.3.6 其它配置............................................................................................24 2.3.7 核心層交換機(jī) CoreSwitch2 的配置.....................................................24 3 廣域網(wǎng)接入模塊設(shè)計(jì)..........................................................................24 3.1 配置接入路由器 InternetRouter的基本參數(shù)...............................................25 3.2 配置接入路由器 InternetRouter的各接口參數(shù)...........................................25 3.3 配置接入路由器 InternetRouter的路由功能...............................................26 3.4 配置接入路由器 InternetRouter上的 NAT..................................................26 3.5 配置接入路由器 InternetRouter上的 ACL..................................................28 3.6 其它配置...................................................................................................31 4 遠(yuǎn)程訪問模塊設(shè)計(jì)..............................................................................31 4.1 配置物理線路的基本參數(shù)........................................................................32 4.2 配置接口基本參數(shù)....................................................................................32 4.3 配置身份認(rèn)證...........................................................................................33 5 服務(wù)器模塊設(shè)計(jì).................................................................................34 6 系統(tǒng)測試...........................................................................................36 6.1 系統(tǒng)測試...................................................................................................36 6.2 相關(guān)測試、診斷命令................................................................................36 6.2.1 通用測試、診斷命令..........................................................................36 6.2.2 CDP測試、診斷命令..........................................................................39 6.2.3 路由和路由協(xié)議測試、診斷命令.......................................................41 6.2.4 VLAN、VTP測試、診斷命令............................................................41 6.2.5 生成樹測試、診斷命令......................................................................42 6.2.6 NAT測試、診斷命令..........................................................................43 6.2.7 ACL測試、診斷命令..........................................................................43 6.2.8

遠(yuǎn)程訪問測試、診斷命令..................................................................44 總

結(jié)......................................................................................................44 附錄 : 資源..............................................................................................45

（中小型）校園網(wǎng)設(shè)計(jì)方案實(shí)例

本文以實(shí)例的形式對校園網(wǎng)絡(luò)的設(shè)計(jì)方案進(jìn)行分析并給出校園網(wǎng)絡(luò)關(guān)鍵設(shè) 備的配置步驟、配置命令以及診斷命令 和方法。通過本文，相信讀者能夠系統(tǒng) 地掌握中小型園區(qū)網(wǎng)的設(shè)計(jì)、實(shí)施以及維護(hù)方法及技巧。系統(tǒng)總體設(shè)計(jì)方案

概述

校園網(wǎng)絡(luò)（COMPUS NETWORK，下文中也稱為園區(qū)網(wǎng)絡(luò)）是非常典型的 綜合網(wǎng)絡(luò)實(shí)例。

為了闡明主要問題，在本設(shè)計(jì)方案中對實(shí)際校園網(wǎng)的設(shè)計(jì)進(jìn)行了適當(dāng)?shù)暮?必要的簡化。同時(shí)，將重點(diǎn)放在網(wǎng)絡(luò)主 干的設(shè)計(jì)上，對于服務(wù)器的架設(shè)只作簡 單介紹，具體內(nèi)容參考有關(guān)參考書。如圖 1-1 所示，是該校園網(wǎng)網(wǎng)絡(luò)的總體拓?fù)浣Y(jié)構(gòu)圖。

圖 1-1 ××校園網(wǎng)網(wǎng)絡(luò)的總體拓?fù)浣Y(jié)

構(gòu)

在上面的拓?fù)鋱D中，學(xué)校的 個(gè)主要集中接入點(diǎn)（計(jì)算機(jī)系、管理系、建

筑系、財(cái) 務(wù)處、教 務(wù)處、學(xué) 生宿舍）通過冗余的光纖鏈路上連到信息中心的核 心層交換機(jī)上。核心層交換機(jī)通過 Cisco 3640 路由器接入因特網(wǎng)。此外，教 工 宿舍及移動(dòng)辦公用戶通過撥號(hào)方式接入路由器

3640 來訪問校園網(wǎng)內(nèi)網(wǎng)及因特 網(wǎng)。

圖中，以計(jì)算機(jī)系為例展示了每個(gè)建筑物內(nèi)部的網(wǎng)絡(luò)設(shè)備拓?fù)浣Y(jié)構(gòu)，并給 出了信息中心內(nèi)部的網(wǎng)絡(luò)設(shè)備拓?fù)浣Y(jié)構(gòu)。

在接下來的討論中，我們將展 開并詳細(xì)討論每個(gè)模塊的設(shè)計(jì)內(nèi)容。

1.1

系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu)

為了實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計(jì)方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即 Cisco 公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠 商設(shè)備的主要好處在于可以 實(shí) 現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。

本校園網(wǎng)設(shè)計(jì)方案主要由以下四大部分構(gòu)成 ：交換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問模塊、服務(wù)器模塊。整個(gè)網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖如圖 1-2 所示。

圖 1-2 校園網(wǎng)整體拓?fù)浣Y(jié)

構(gòu)圖

1.2 VLAN 及 IP 地址規(guī)劃

在一個(gè)大、中型網(wǎng)絡(luò)里，VLAN 的劃分是必不可少的步驟 之一。在本校園 網(wǎng)設(shè)計(jì)實(shí)例中，整個(gè)校園網(wǎng)中 VLAN 及 IP 編址方案如表 1 所示。

表 1 VLAN 及 IP 編址

方案

除了表 1 中的內(nèi)容外，撥號(hào)用戶從 192.168.200.0/27 中動(dòng)態(tài)取得 IP 地址。

為了簡化起見，除了管理

VLAN 外，這里只規(guī)劃了 個(gè)

VLAN，同時(shí)為每個(gè)

VLAN 定義了一個(gè)由拼音縮寫組成的 VLAN 名稱。交換模塊設(shè)

計(jì)

一個(gè)好的校園網(wǎng)設(shè)計(jì)應(yīng)該是一個(gè)分層的 設(shè)計(jì)。一般分為三層設(shè)計(jì)模型。

為了簡化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò) 的可擴(kuò)展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換模 塊的部署是分層進(jìn)行的。

園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個(gè)層 次：訪問層、分布層、核心層。傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在 OSI 模型的第 2 層?，F(xiàn)代交換技術(shù)還實(shí)現(xiàn)了第 3 層交換和多層交換。高層交換技術(shù)的引 入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了園區(qū)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需 要。

現(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的 概 念。VLAN 將廣播域限制在單個(gè) VLAN 內(nèi)部，減小了各 VLAN 間主機(jī)的廣播通信對其他 VLAN 的影響。在 VLAN 間需要通信的時(shí)候，可以利用 VLAN 間路由技術(shù)來 實(shí) 現(xiàn)。

當(dāng)網(wǎng)絡(luò)管理人員需要管理的交 換機(jī)數(shù)量眾多時(shí)，可以使用

VLAN 中繼協(xié)議（Vlan Trunking Protocol，VTP）簡化管理，它只需在單獨(dú)一臺(tái)交換機(jī)上定義 所有 VLAN。然后通過 VTP 協(xié)議將 VLAN 定義傳播到本管理域中的所有交換 機(jī)上。這樣，大大減輕了網(wǎng)絡(luò) 管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。

當(dāng)園區(qū)網(wǎng)絡(luò)的交換機(jī)數(shù)量增多、交換機(jī)間鏈路增加時(shí)，交換網(wǎng)絡(luò)的復(fù)雜性 可能會(huì)造成交換環(huán)路問題，這需要通過在各交換機(jī)上運(yùn)行生成樹協(xié) 議（Spanning Tree Protocol，STP）來解決。

2.1 訪問層交換服務(wù)的實(shí)現(xiàn)－配置訪問層交換機(jī)

訪問層為所有的終端用戶提供一個(gè)接入點(diǎn)。這里的訪問層交換機(jī)采用的是

Cisco Catalyst 2950 24 口交換機(jī)（WS-C2950-24）。該交換機(jī)擁有 個(gè)

10/100Mbps 自適應(yīng)快速以太網(wǎng)端口，運(yùn)行的是 Cisco 的 IOS 操作系統(tǒng)。這里，以圖 2-1 中的訪問層交換機(jī) AccessSwitch1 為例進(jìn)行介紹。如圖 2-1 所示：

圖 2-1 訪問層交換機(jī)

AccessSwitch1

2.1.1 配 置 訪 問 層 交 換 機(jī) AccessSwitch1 的 基 本 參 數(shù)

1、設(shè)置交換機(jī)名稱

設(shè)置交換機(jī)名稱，也就是出現(xiàn)在交換機(jī) CLI 提示符中的名字。一般以地理 位置或行政劃分來為交換機(jī)命名。當(dāng)需要 Telnet 登錄到若干臺(tái)交換機(jī)以維護(hù)一 個(gè)大型網(wǎng)絡(luò)時(shí)，通過交換機(jī)名稱提示符 提示自己當(dāng)前配置交換機(jī)的位置是很 有 必要的。

如圖 2-2 所示，為訪問層交換機(jī) AccessSwitch1 命名。

圖 2-2 為訪問層交換機(jī) AccessSwitch1

命名

2、設(shè)置交換機(jī)的加密使能口令

當(dāng)用戶在普通用戶模式而想要進(jìn)入特權(quán)用戶模式時(shí)，需要提供此口令。此 口令會(huì)以

MD5 的形式加密，因此，當(dāng)用戶查看配置文件時(shí)，無法看到明文形 式的口令。

如圖 2-3 所示，將交換機(jī)的加密使能口令設(shè)置為 secretpasswd。

圖 2-3 為交換機(jī)設(shè)置加密使能

口令

3、設(shè)置登錄虛擬終端線時(shí)的口令

對于一個(gè)已經(jīng)運(yùn)行著的交換網(wǎng)絡(luò)來說，交換機(jī)的帶內(nèi)遠(yuǎn)程管理為網(wǎng)絡(luò)管理 人員提供了很多的方便。但是，出于安 全考慮，在能夠遠(yuǎn)程管理交換機(jī)之前網(wǎng) 絡(luò)管理人員必須設(shè)置遠(yuǎn)程登錄交換機(jī)的口令。

如圖

2-4 所示，設(shè)置登錄交換機(jī)時(shí)需要驗(yàn)證用戶身份，同時(shí)設(shè)置口令為 youguess。

圖 2-4 為訪問層交換機(jī) AccessSwitch1

命名

4、設(shè)置終端線超時(shí)時(shí)間

為了安全考慮，可以設(shè)置終端線超時(shí)時(shí)間。在設(shè)置的時(shí)間內(nèi)，如果沒有檢 測到鍵盤輸入，IOS 將斷開用戶和交換機(jī)之間的連接。如圖

2-5 所示，設(shè)置登錄交換機(jī)的控制臺(tái)終端線 路及虛擬終端線的超時(shí)時(shí) 間為 5 分 30 秒鐘。

圖 2-5 設(shè)置控制臺(tái)終端線路和虛擬終端線路的超時(shí)

時(shí)間

5、設(shè)置禁用 IP 地址解析特性

在交換機(jī)默認(rèn)配置的情況下，當(dāng)輸入一條錯(cuò)誤的交換機(jī)命令時(shí)，交換機(jī)會(huì) 嘗試將其廣播給網(wǎng)絡(luò)上的 DNS 服務(wù)器并將其解析成對應(yīng)的 IP 地址。利用命令 no ip domain-lookup?？梢越眠@個(gè)特性。如圖 2-6 所示，設(shè)置禁用 IP 地址解 析特性。

圖 2-6 設(shè)置禁用 IP 地址解

析特性

6、設(shè)置啟用消息同步特性

有時(shí)，用戶輸入的交換機(jī)配置命令會(huì)被交換機(jī)產(chǎn)生的消息打亂?？梢允褂?命令 logging synchronous 設(shè)置交換機(jī)在下一行 CLI 提示符后復(fù)制用戶的輸入。如圖 2-7 所示，設(shè)置啟用消息同步特性。

圖 2-7 設(shè)置啟用消息同步

特性

2.1.2 配 置 訪 問 層 交 換 機(jī) AccessSwitch1 的 管 理 IP、默 認(rèn) 網(wǎng) 關(guān)

訪問層交換機(jī)是 OSI 參考模型的第 2 層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備。因此，給訪問層交換機(jī)的每個(gè)端口設(shè)置 IP 地址是沒意義的。但是，為了使網(wǎng)絡(luò)管理人 員可以從遠(yuǎn)程登錄到訪問層交換機(jī)上進(jìn) 行管理，必須給訪問層交換機(jī)設(shè)置一 個(gè) 管理用 IP 地址。這種情況下，實(shí)際上是將交換機(jī)看成和 PC 機(jī)一樣的主機(jī)。

給交換機(jī)設(shè)置管理用

IP 地址只能在VLAN1，即本征

VLAN 中進(jìn)行。按照

表

2-1，管理

VLAN 所在的子網(wǎng)是： 192.168.0.0/24，這里將訪問層交換機(jī) AccessSwitch1 的管理 IP 地址設(shè)為： 192.168.0.5/24。如圖 2-8 所示，顯示了為 訪問層交換機(jī) AccessSwitch1 設(shè)置管理 IP 并激活本征 VLAN。

圖 2-8 設(shè)置訪問層交換機(jī) AccessSwitch1 的管

理 IP 為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機(jī)，還應(yīng)設(shè)置默認(rèn)網(wǎng)關(guān) 地址 192.168.0.254。如圖 2-9 所示。

圖 2-9 設(shè)置訪問層交換機(jī) AccessSwitch1 的默認(rèn)網(wǎng)關(guān)

地址

2.1.3

配 置 訪 問 層 交 換 機(jī) AccessSwitch1 的 VLAN 及 VTP

從提高效率的角度出發(fā)，在本 校園網(wǎng)實(shí)現(xiàn)實(shí)例中使用了 VTP 技術(shù)。同時(shí)，將分布層交換機(jī) DistributeSwitch1 設(shè)置成為 VTP 服務(wù)器，其他交換機(jī)設(shè)置成為 VTP 客戶機(jī)。

這里訪問層交換機(jī)

AccessSwitch1

將通過

VTP

獲得在分布層交換機(jī)

DistributeSwitch1 中定義的所有 VLAN 的信息。

如圖 2-10 所示，設(shè)置訪問層交換機(jī) AccessSwitch1 成為 VTP 客戶機(jī)。圖 2-10

2.1.4

設(shè)置訪問層交換機(jī) AccessSwitch1 成為 VTP 客戶機(jī)

配 置 訪 問 層 交 換 機(jī) AccessSwitch1 端 口 基 本參數(shù)

1、端口雙工配置

可以設(shè)定某端口根據(jù)對端設(shè)備雙工類型自動(dòng)調(diào)整本端口雙工模式，也可以 強(qiáng)制將端口雙工模式設(shè)為半雙工或全雙工模式。在了解對端設(shè)備類型的情況 下，建議手動(dòng)設(shè)置端口雙工模式。

如圖 2-11 所示，設(shè)置訪問層交換機(jī) AccessSwitch1 的所有端口均工作在全 雙工模式。

圖 2-11 設(shè)置訪問層交換機(jī) AccessSwitch1 的端口工作

模式

2、端口速度

可以設(shè)定某端口根據(jù)對端設(shè)備速度自動(dòng)調(diào)整本端口速度，也可以強(qiáng)制將端 口速度設(shè)為 10Mpbs 或 100Mbps。在了解對端設(shè)備速度的情況下，建議手動(dòng)設(shè) 置端口速度。

如圖

2-12 所示，設(shè)置訪問層交換機(jī)

AccessSwitch1 的所有端口的速度均為 100Mbps。

圖 2-12 設(shè)置訪問層交換機(jī) AccessSwitch1 的端口

速度

2.1.5 配 置 訪 問 層 交 換 機(jī) AccessSwitch1 的 訪 問 端 口

訪問層交換機(jī) AccessSwitch1 為終端用戶提供接入服務(wù)。在 圖 2-1 中，訪問 層交換機(jī) AccessSwitch1 為 VLAN10、VLAN20 提供接入服務(wù)。

如圖 2-13 所示，設(shè)置訪問層交換機(jī) AccessSwitch1 的端口 1～端口 10 工作

在訪問（接入）模式。同時(shí)，設(shè)置端口 1～端口 10 為 VLAN 10 的成員。

圖 2-13 設(shè)置訪問層交換機(jī) AccessSwitch1 的端口

1～10

2、設(shè)置訪問層交換機(jī) AccessSwitch1 的端口 11～ 20

如圖 2-14 所示，設(shè)置訪問層交換機(jī) AccessSwitch1 的端口 11～端口 20 工作 在訪問（接入）模式。同時(shí)，設(shè)置端口 1～端口 10 為 VLAN 20 的成員。

圖 2-14 設(shè)置訪問層交換機(jī) AccessSwitch1 的端口

11～20

3、設(shè)置快速端口

默認(rèn)情況下，交換機(jī)在剛加電啟動(dòng)時(shí)，每個(gè)端口都要經(jīng)歷生成樹的四個(gè)階 段： 阻塞、偵聽、學(xué)習(xí)、轉(zhuǎn)發(fā)。在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前，某個(gè)端口可能 最多要等 50 秒鐘的時(shí) 間（20 秒的阻塞時(shí)間＋ 15 秒的偵聽延遲時(shí)間＋ 15 秒的學(xué)習(xí)延遲時(shí)間）。

對于直接接入終端工作站的端口來說，用于阻塞和偵聽的時(shí)間是不必要的。為了加速交換機(jī)端口狀態(tài)轉(zhuǎn)化時(shí)間，可以設(shè)置 將某端口設(shè)置成為快速端口（Portfast）。設(shè)置為快速端口的端口當(dāng)交換機(jī)啟 動(dòng)或端口有工作站接入時(shí)，將 會(huì)直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，而不會(huì)經(jīng)歷阻塞、偵聽、學(xué)習(xí)狀態(tài)（假設(shè)橋接表已經(jīng)建

立）。

如圖 2-15 所示，設(shè)置訪問層交換機(jī) AccessSwitch1 的端口 1～端口 20 為快 速端口。

圖 2-15 設(shè)置快速

端口

2.1.6 配 置 訪 問 層 交 換 機(jī) AccessSwitch1 的 主 干 道端口

如圖 2-1 所示，訪問層交換機(jī) AccessSwitch1 通過端口 FastEthernet 0/23 上 連到分布層交換機(jī) DistributeSwitch1 的端口 FastEthernet 0/23。同時(shí)，訪問層交 換機(jī) AccessSwitch1 還通過端口 FastEthernet 0/24 上連到分布層交換機(jī) DistributeSwitch2 的端口 FastEthernet 0/23。

這兩條上連鏈路將成為主干道鏈路，在這兩條上連鏈路上將運(yùn)輸多個(gè) VLAN 的數(shù)據(jù)。

如圖 2-16 所示，設(shè)置訪問層交換機(jī) AccessSwitch1 的端口 FastEthernet 0/

23、FastEthernet 0/24 為主干道端口。

圖 2-16 設(shè)置主干道

端口

2.1.7 配 置 訪 問 層 交 換 機(jī) AccessSwitch2

訪問層交換機(jī) AccessSwitch2 為 VLAN 30 和 VLAN 40 的用戶提供接入服務(wù)。同時(shí)，分 別通過自己的 FastEthernet 0/23、FastEthernet 0/24 上連到分布層交換 機(jī) DistributeSwitch1、DistributeSwitch2 的端口 FastEthernet 0/24。

如圖 2-17 所示，是訪問層交換機(jī) AccessSwitch2 的連接示意圖。

圖 2-17 訪問層交換機(jī) AccessSwitch2 的連接

示意圖

對訪問層交換機(jī)

AccessSwitch2 的配置步驟、命令和對訪問層交換機(jī)

AccessSwitch1 的配置類似。這里，不再詳 細(xì)分析，只給出最后的配置文件內(nèi)容

（只留下了必要的命令）。

需要指出的是，為了提供主干道的吞吐量，可以采用鏈路捆綁（快速以太 網(wǎng)信道）技術(shù)增加可用帶寬。例如，可以將訪問層交換機(jī)

AccessSwitch1 的端 口 FastEthernet 0/21 和 FastEthernet 0/22 捆綁在一起實(shí)現(xiàn) 200Mbps 的快速以太 網(wǎng)信道，然后再上連到分布層交換機(jī) DistributeSwitch1。同樣，也可以將訪問 層交換機(jī) AccessSwitch1 的端口 FastEthernet 0/23 和 FastEthernet 0/24 捆綁在一 起 實(shí) 現(xiàn)

200Mbps 的 快 速 以 太 網(wǎng) 信 道，然 后 再 上 連 到 分 布 層 交 換 機(jī) DistributeSwitch2。具體的配置步驟和命令將在核心 層交換機(jī)的配置一節(jié)中進(jìn)行 介紹。

2.1.8 訪 問 層 交 換 機(jī) 的 其 它 可 選 配 置

1、Uplinkfast

訪問層交換機(jī)

AccessSwitch1 通過兩條冗余上行鏈路分別接入分布層交換 機(jī) DistributeSwitch1 和、DistributeSwitch2。在生成樹的作用下，其 中一條上行 鏈路處于轉(zhuǎn)發(fā)狀態(tài)，而另一條上行鏈路 處于阻塞狀態(tài)。當(dāng) 處于轉(zhuǎn)發(fā)狀態(tài)的鏈路 因故障斷開后，經(jīng)過最多大約

秒鐘的時(shí)間，處于阻塞狀態(tài)的鏈路才能替 代 故障鏈路工作。

Uplinkfast 特性可以使得當(dāng)主上行鏈路失敗后，處于阻塞狀態(tài)的上行鏈路

（備份上行鏈路）可以立即啟用。

如圖 2-18 所示，是在訪問層交換機(jī) AccessSwitch1 上啟用

Uplinkfast 特性。同樣的步驟也可以在訪問層交換機(jī) AccessSwitch2 上進(jìn)行配置。

圖 2-18 啟用 Uplinkfast 特性

注意，Uplinkfast 特性只能在訪問層交換機(jī)上啟用。

2、Backbonefast

Backbonefast 的作用與 Uplinkfast 類似，也用于加快生成樹的收斂。所不同 的是，Backbonefast 可以檢測到間接鏈路（非直連 鏈路）故障并立即使得相應(yīng) 阻塞端口的最大壽命計(jì)時(shí)器到時(shí)，從而縮短該端口可以開始轉(zhuǎn)發(fā)數(shù)據(jù)包的時(shí) 間。

如圖 2-19 所示，是在訪問層交換機(jī) AccessSwitch1 上啟用 Backbonefast 特 性。同樣的步驟需要在網(wǎng)絡(luò)中 的所有交換機(jī)上進(jìn)行配置。

圖 2-19 啟用 Backbonefast

特性

注意，Backbonefast 特性需要在網(wǎng)絡(luò)中所有交換機(jī)上進(jìn)行配置。

2.2 分布層交換服務(wù)的實(shí)現(xiàn)－配置分布層交換機(jī)

分布層除了負(fù)責(zé)將訪問層交換機(jī)進(jìn)行匯集外，還為整個(gè)交換網(wǎng)絡(luò)提供

VLAN 間的路由選擇功能。這里的分布層交換機(jī)采用的是 Cisco Catalyst 3550 交換機(jī)。作為 3 層交換機(jī)，Cisco Catalyst 3550 交換機(jī)擁有 24 個(gè) 10/100Mbps 自適應(yīng)快速以太網(wǎng)端口，同

時(shí)還有 2 個(gè) 1000Mbps 的 GBIC 端口供上連使用，運(yùn)行的是 Cisco 的 Integrated IOS 操作系統(tǒng)。這里，以圖 2-1 中的分布層交換機(jī) DistributeSwitch1 為例進(jìn)行 介紹。如圖 2-20 所示：

圖 2-20 分布層交換機(jī) DistributeSwitch1

2.2.1 配 置 分 布 層 交 換 機(jī) DistributeSwitch1 的 基 本 參 數(shù)

對分布層交換機(jī)

DistributeSwitch1 的基本參數(shù)的配置步驟與對訪問層交換 機(jī)

AccessSwitch1 的基本參數(shù)的配置類似。這里，只給出實(shí)際的配置步驟，不 再給出具體解釋，如圖 2-21 所示。

圖 2-21 配置分布層交換機(jī) DistributeSwitch1 的基本

參數(shù)

2.2.2 配 置 分 布 層 交 換 機(jī) DistributeSwitch1 的 管 理 IP、默 認(rèn) 網(wǎng) 關(guān)

如圖 2-22 所示，顯示了為分布層交換機(jī) DistributeSwitch1 設(shè)置管理 IP 并激 活本征 VLAN。同時(shí)，還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。

圖 2-22 分布層交換機(jī) DistributeSwitch1 的管理 IP、默

認(rèn)網(wǎng)關(guān)

2.2.3 配 置 分 布 層 交 換 機(jī) DistributeSwitch1 的 VTP

當(dāng)網(wǎng)絡(luò)中交換機(jī)數(shù)量很多時(shí)，需要分別在每臺(tái) 交換機(jī)上創(chuàng)建很多重復(fù)的 VLAN。工 作量很大、過程很繁瑣，并且容易出錯(cuò)。在實(shí)際工作中常采用 VLAN 中繼協(xié)議（Vlan Trunking Protocol，VTP）來解決這個(gè)問題。

VTP 允許在一臺(tái)交換機(jī)上創(chuàng)建所有的 VLAN。然后，利用交換機(jī)之間的互 相學(xué)習(xí)功能，將創(chuàng)建好的 VLAN 定義傳播到整個(gè)網(wǎng)絡(luò)中需要此 VLAN 定義的所 有交換機(jī)上。同時(shí)，有關(guān) VLAN 的刪除、參數(shù)更改操作均可傳播到其他交換機(jī)。從而大大減輕了網(wǎng)絡(luò)管理人員 配置交換機(jī)的負(fù)擔(dān)。

在本校園網(wǎng)實(shí)現(xiàn)實(shí)例中使用了

VTP 技術(shù)。同時(shí)，將分布層交換 機(jī) DistributeSwitch1 設(shè)置成為 VTP 服務(wù)器，其他交換機(jī)設(shè)置成為 VTP 客戶機(jī)。

1、配置 VTP 管理域

共享相同 VLAN 定義數(shù)據(jù)庫的交換機(jī)構(gòu)成一個(gè) VTP 管理域。每一個(gè) VTP 管理域都有一個(gè)共同的 VTP 管理域域名。不同 VTP 管理域的交換機(jī)之間不交 換 VTP 通告信息。

如圖 2-23

所示，將 VTP 管理域的域名定義為“ chinaitlab”。圖 2-23 管理域的域名

設(shè)置 VTP

2、設(shè)置 VTP 服務(wù)器

工作在 VTP 服務(wù)器模式下的交換機(jī)可以創(chuàng)建、刪除 VLAN、修 改 VLAN 參 數(shù)。同時(shí)，還有責(zé)任發(fā)送和轉(zhuǎn)發(fā) VLAN 更新消息。

如圖 2-24 所示，設(shè)置分布層交換機(jī) DistributeSwitch1 成為 VTP 服務(wù)器。

圖 2-24 設(shè)置分布層交換機(jī) DistributeSwitch1 成為 VTP

服務(wù)器

3、激活 VTP 剪裁功能

默認(rèn)情況下主干道傳輸所有 VLAN 的用戶數(shù)據(jù)。有時(shí)，交換網(wǎng)絡(luò)中某臺(tái)交 換機(jī)的所有端口都屬于同一 VLAN 的成員，沒有必要接收其他 VLAN 的用戶數(shù) 據(jù)。這時(shí)，可 以激活主干道上的 VTP 剪裁功能。當(dāng)激活了 VTP 剪裁功能以后，交換機(jī)將自動(dòng)剪裁本交換機(jī)沒有定義的 VLAN 數(shù)據(jù)。

在一個(gè) VTP 域下，只需要在 VTP 服務(wù)器上激活 VTP 剪裁功能。同一 VTP 域下的所有其他交換機(jī)也將自動(dòng)激活 VTP 剪裁功能。如圖 2-25 所示，設(shè)置激活 VTP 剪裁功能。

圖 2-25 激活 VTP 剪

裁功能

2.2.4 在 分 布 層 交 換 機(jī) DistributeSwitch1 上 定 義 VLAN

在本校園網(wǎng)實(shí)現(xiàn)實(shí)例中，除了默認(rèn)的本征

VLAN 外，又額外定義了 個(gè)

VLAN，如表 2-1 所示。

由于使用了 VTP 技術(shù)，所以，所有 VLAN 的定義都只需要在 VTP 服務(wù)器，即分布層交換機(jī) DistributeSwitch1 上進(jìn)行。

如圖 2-26 所示，定義了 8 個(gè) VLAN，同時(shí)為每個(gè) VLAN 命名。

2.2.5 配 置 分 布 層 交 換 機(jī) DistributeSwitch1 的 端 口 基 本 參 數(shù)

分布層交換機(jī) DistributeSwitch1 的端口 FastEthernet 0/1～ FastEthernet 0/10 為服務(wù)器群提供接入服務(wù)，而端口 FastEthernet 0/

23、FastEthernet 0/24 分別下 連到訪問層交換機(jī) AccessSwitch1 的端口 FastEthernet 0/23 以及訪問層交換機(jī) AccessSwitch2 的端口 FastEthernet 0/23。

此 外，分 布 層 交 換 機(jī) DistributeSwitch1 還 通 過 自 己 的 千 兆 端 口

GigabitEthernet 0/1 上連到核心交換機(jī) CoreSwitch1 的 GigabitEthernet 3/1。為了實(shí)現(xiàn)冗余設(shè)計(jì)，分布層交換機(jī) DistributeSwitch1 還通過自己的千兆端口 GigabitEthernet

0/2

連 接 另 一 臺(tái) 到 分 布 層 交 換 機(jī)

DistributeSwitch2 的 GigabitEthernet 0/2。

如圖 2-27 所示，給出了對所有訪問端口、主干道 端口的配置步驟和命令。

圖 2-26 定義

VLAN

圖 2-27 設(shè)置分布層交換機(jī) DistributeSwitch1 的各端

口參數(shù)

2.2.6 配 置 分 布 層 交 換 機(jī) DistributeSwitch1 的 3 層 交 換 功 能

分布層交換機(jī) DistributeSwitch1 需要為網(wǎng)絡(luò)中的各個(gè) VLAN 提供路由功能。這需要首先啟用分布層交換機(jī)的路由功能。如圖 2-28 所示。

圖 2-28 啟用路由

功能

接下來，需要為每個(gè) VLAN 定義自己的默認(rèn)網(wǎng)關(guān)地址，如圖 2-29 所示。

圖 2-29 定義各 VLAN 的默認(rèn)網(wǎng)

關(guān)地址

此外，還 需要定義通往 Internet 的路由。這里使用了一條缺省路由命令，如 圖

2-30 所示。其中，下一跳地址是

Internet 接入路由器的快速以太網(wǎng)接口 FastEthernet 0/0 的 IP 地址。

圖 2-30 定義到 Internet 的缺

省路由

2.2.7 配 置 分 布 層 交 換 機(jī) DistributeSwitch2

分布層交換機(jī) DistributeSwitch2 的端口 FastEthernet 0/

23、FastEthernet 0/24 分別下連到訪問層交換機(jī) AccessSwitch1 的端口 FastEthernet 0/24 以及訪問層交 換機(jī) AccessSwitch2 的端口 FastEthernet 0/24。

此 外，分 布 層 交 換 機(jī) DistributeSwitch2 還 通 過 自 己 的 千 兆 端 口

GigabitEthernet 0/1 上連到核心交換機(jī) CoreSwitch1 的 GigabitEthernet 3/2。

為了實(shí)現(xiàn)冗余設(shè)計(jì)，分布層交換機(jī)

DistributeSwitch2 還通過自己的千兆端 口 GigabitEthernet 0/2 連接到分布層交換機(jī) DistributeSwitch1 的 GigabitEthernet 0/2。如圖 2-31 所示。

圖 2-31 分布層交換機(jī) DistributeSwitch2 對分布層交換機(jī)

DistributeSwitch2 的配置步驟、命令和對分布層交換機(jī)

DistributeSwitch1 的配置類似。這里，不再詳細(xì)分析。

2.2.8 其 它配置

為了實(shí)現(xiàn)對無類別網(wǎng)絡(luò)（Classless Network）以及全零子網(wǎng)（Subnet-zero）的支持，在充當(dāng) 3 層交換機(jī)的分布層交換機(jī) DistributeSwitch1 上，還需要進(jìn)行 相應(yīng)的配置，如圖 2-32 所示。

圖 2-32 定義對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持

2.3 核心層交換服務(wù)的實(shí)現(xiàn)－配置核心層交換機(jī)

核心層將各分布層交換機(jī)互連起來進(jìn)行 穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。本實(shí)例中的核心層交換機(jī)采用的是

Cisco Catalyst 4006 交換機(jī)，采用了 Catalyst 4500 Supervisor II Plus（WS-X4013+）作為交換機(jī)引擎。運(yùn) 行的是 Cisco 的 Integrated IOS 操作系統(tǒng)，其鏡像文件是 CAT400.6-3-5.BIN。在作為核心層交換機(jī)的 Cisco Catalyst 4006 交換機(jī)中，安裝了 WS-X4306-GB（Catalyst 4000 Gigabit Ethernet Module, 6-Ports（GBIC））模 塊，該模塊提供

了 個(gè)千兆光纖上連接口，可以用來接入

WS-G5484（1000BASE-SX

Short Wavelength GBIC（Multimode only））。這里，以圖 2-1 中的核心層交換機(jī)

CoreSwitch1 為例進(jìn)行介紹。如圖 2-33 所示：

圖 2-33 核心層交換機(jī)

CoreSwitch1

2.3.1 配 置 核 心 層 交 換 機(jī) CoreSwitch1 的 基 本 參 數(shù)

對核心層交換機(jī) CoreSwitch1 的基本參數(shù)的配置步驟與對訪問層交換機(jī) AccessSwitch1 的基本參數(shù)的配置類似。這里，只 給出實(shí)際的配置步驟，不再給 出具體解釋，如圖 2-34 所示。

圖 2-34 配置核心層交換機(jī) CoreSwitch1 的基

本參數(shù)

2.3.2 配 置 核 心 層 交 換 機(jī) CoreSwitch1 的 管 理 IP、默 認(rèn) 網(wǎng) 關(guān)

如圖 2-35 所示，顯 示了為核心層交換機(jī) CoreSwitch1 設(shè)置管理 IP 并激活本

征 VLAN。同時(shí)，還設(shè)置了默認(rèn)網(wǎng)關(guān)的地址。

圖 2-35 核心層交換機(jī) CoreSwitch1 的管理 IP、默認(rèn)

網(wǎng)關(guān)

2.3.3 配 置 核 心 層 交 換 機(jī) CoreSwitch1 的 的 VLAN 及 VTP

在本實(shí)例中，核心層交換機(jī) CoreSwitch1 也將作為 VTP 客戶機(jī)。這 里 核 心 層 交 換 機(jī) CoreSwitch1 將 通 過

獲 得 在 分 布 層 交 換 機(jī)

DistributeSwitch1 中定義的所有 VLAN 的信息。

如圖 2-36 所示，設(shè)置核心層交換機(jī) CoreSwitch1 成為 VTP 客戶

VTP機(jī)。

圖 2-36 設(shè)置核心層交換機(jī) CoreSwitch1 成為 VTP

客戶機(jī)

2.3.4 配 置 核 心 層 交 換 機(jī) CoreSwitch1 的 端 口 參 數(shù)

核心層交換機(jī) CoreSwitch1 通過自己的端口 FastEthernet 4/3 同廣域網(wǎng)接入 模塊（Internet 路由器）相連。同時(shí)，核心層交換機(jī)

CoreSwitch1 的端口 GigabitEthernet

3/1 ～ GigabitEthernet

3/2

分 別 下 連 到 分 布 層 交 換 機(jī) DistributeSwitch1 和 DistributeSwitch2 的端口 GigabitEthernet 0/1。

如圖 2-37 所示，給出了對上述端口的配置命令。

圖 2-37 設(shè)置核心層交換機(jī) CoreSwitch1 的各端

口參數(shù)

此外，為了提供主干道的吞吐量以及實(shí)現(xiàn)冗余設(shè)計(jì)，在本設(shè)計(jì)中，將核心 層交換機(jī) CoreSwitch1 的千兆端口 GigabitEthernet 2/

1、GigabitEthernet 2/2 捆綁 在一起實(shí)現(xiàn) 2000Mbps 的千兆以太網(wǎng)信道，然后再連接到另一臺(tái)核心層交換機(jī) CoreSwitch2。

如圖 2-38 所示，是設(shè)置核心層交換機(jī) CoreSwitch1 的千兆以太網(wǎng)信道的步 驟。

圖 2-38 設(shè)置核心層交換機(jī) CoreSwitch1 的千兆以太

網(wǎng)信道

2.3.5 配 置 核 心 層 交 換 機(jī) CoreSwitch1 的 路 由 功 能

核心層交換機(jī)

CoreSwitch1 通過端口

FastEthernet 4/3 同廣域網(wǎng)接入模塊

（Internet 路由器）相連。因此，需要啟用核心層交換機(jī)的路由功能。同時(shí)，還 需要定義通往 Internet 的路由。這里使用了一條缺省路由命令，如 圖 2-39 所示。其中，下一跳地址是 Internet 接入路由器的快速以太網(wǎng)接口 FastEthernet 0/0 的 IP 地址。

圖 2-39 定義到 Internet 的缺省路由如圖

所示。

2.3.6 其 它配置

為了實(shí)現(xiàn)對無類別網(wǎng)絡(luò)（Classless Network）以及全零子網(wǎng)（Subnet-zero）的支持，在充當(dāng)層交換機(jī)的核心層交換機(jī)

CoreSwitch1，也需要進(jìn)行相應(yīng)的 配置，如圖 2-40 所示。

圖 2-40 定義對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持

2.3.7 核 心 層 交 換 機(jī) CoreSwitch2 的 配 置

對于圖 2-1-中的核心層交換機(jī) CoreSwitch2 的配置步驟、命令和對核心層交 換機(jī) CoreSwitch1 的配置類似。這里，不再詳細(xì)分 析。同時(shí)，對于配置核心層 交換機(jī) CoreSwitch2 下連的一系列交換機(jī)，其連接 方法以及配置步驟和命令同 圖 2-1-中核心層交換機(jī) CoreSwitch1 下連的一系列交換機(jī)的連接方法以及配置 步驟和命令類似。這里也不再贅述。廣域網(wǎng)接入模塊

設(shè)計(jì)

在 本 實(shí) 例 設(shè) 計(jì) 中，廣 域 網(wǎng) 接 入 模 塊 的 功 能 是 由 廣 域 網(wǎng) 接 入 路 由 器 InternetRouter 來完成的。采用的是 Cisco 的 3640 路由器。它通過自己的串行 接口 serial 0/0 使用 DDN（128K）技術(shù)接入 Internet。其作用主要是在 Internet 和校園網(wǎng)內(nèi)網(wǎng)間路由數(shù)據(jù)包。除了完成 主要的路由任務(wù)外，利 用訪問控制列表（Access Control List，ACL），廣域網(wǎng)接入路由器 InternetRouter 還可以用來完 成以自身為中心的流量控制和 過濾功能并實(shí)現(xiàn)一定的安全功能，如

圖 3-1 所示。

圖 3-1 廣域網(wǎng)接入路由器

InternetRouter

3.1 配置接入路由器 InternetRouter 的基本參數(shù)

對接入路由器 InternetRouter 的基本參數(shù)的配置步驟與對訪問層交換機(jī) AccessSwitch1 的基本參數(shù)的配置類似。這里，只 給出實(shí)際的配置步驟，不再給 出具體的解釋，如圖 3-2 所示。

圖 3-2 配置接入路由器 InternetRouter 的基

本參數(shù)

3.2 配置接入路由器 InternetRouter 的各接口參數(shù)

對 接 入 路 由 器 InternetRouter 的 各 接 口 參 數(shù) 的 配 置 主 要 是 對 接 口

FastEthernet 0/0 以及接口 Serial 0/0 的 IP 地址、子網(wǎng)掩碼的配置。如圖 3-3 所示，顯示了為接入路由器 InternetRouter 的各接口設(shè)置 IP 地址、子 網(wǎng)掩碼。

圖 3-3 設(shè)置接入路由器 InternetRouter 的各接

口參數(shù)

3.3 配置接入路由器 InternetRouter 的路由功能

在接入路由器 InternetRouter 上需要定義兩個(gè)方向上的路由 ：到校園網(wǎng)內(nèi)部 的靜態(tài)路由以及到 Internet 上的缺省路由。

到 Internet 上的路由需要定義一條缺省路由，如圖 3-4 所示。其中，下一跳 指定從本路由器的接口 serial 0/0 送出。

圖 3-4 定義到 Internet 的缺

省路由

到校園網(wǎng)內(nèi)部的路由條目可以經(jīng)過路由 匯總后形成兩條路由條目。如圖 3-5 所示。

圖 3-5 定義到校園網(wǎng)內(nèi)部的路由

3.4 配置接入路由器 InternetRouter 上的 NAT

由于目前 IP 地址資源非常稀缺，不可能給校園網(wǎng) 內(nèi)部的所有工作站都分配 一個(gè)公有 IP（Internet 可路由的）地址。為了解決所有工作站訪問 Internet 的需 要，必須使用 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)。

為了接入 Internet，本校園網(wǎng)向當(dāng)?shù)?ISP 申請了 9 個(gè) IP 地址。其中一個(gè) IP 地址 ：193.1.1.1 被分配給了 Internet 接入路由器的串行接口，另外 8 個(gè) IP 地址：

202.206.222.1～ 202.206.222.8 用作 NAT。

NAT 的配置可以分為以下幾個(gè)步驟：

1、定義 NAT 內(nèi)部、外部接口

圖 3-6 顯示了如何定義 NAT 內(nèi)部、外部接口。

圖 3-6 定義 NAT 內(nèi)部、外部

接口

2、定義允許進(jìn)行 NAT 的工作站的內(nèi)部局部 IP 地址范圍

圖 3-7 顯示了如何定義允許進(jìn)行 NAT 的內(nèi)部局部 IP 地址范圍。

圖 3-7 定義工作站的內(nèi)部局部 IP 地址

范圍

3、為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換

圖 3-8 顯示了如何為服務(wù)器定義靜態(tài)地址轉(zhuǎn)換。

圖 3-8 為服務(wù)器定義靜態(tài)地址

轉(zhuǎn)換

4、為其他工作站定義復(fù)用地址轉(zhuǎn)換

圖 3-9 顯示了如何為其他工作站定義復(fù)用地址轉(zhuǎn)換。

圖 3-9 為工作站定義復(fù)用地址轉(zhuǎn)換

3.5 配置接入路由器 InternetRouter 上的 ACL

路由器是外網(wǎng)進(jìn)入校園網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路 由器上的訪問控制列表（Access Control List，ACL）是保護(hù)內(nèi)網(wǎng)安全的有效手 段。一個(gè)設(shè)計(jì)良好的訪問控制列表不僅 可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資 的情況下完成一般軟、硬件防火墻產(chǎn)品 的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外 網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時(shí)的第 一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了 防火墻產(chǎn)品后，仍 然有必要對路由器的 訪問控制列表進(jìn)行縝密的設(shè)計(jì)，來對企 業(yè)內(nèi)網(wǎng)包括防火墻本身實(shí)施保護(hù)。

在本實(shí)例設(shè)計(jì)中，將針對服務(wù)器以及內(nèi)網(wǎng)工作站的安全給出廣域網(wǎng)接入路 由器 InternetRouter 上 ACL 的配置方案。

在網(wǎng)絡(luò)環(huán)境中普遍存在著一些非常重要的、影響服務(wù)器群安全的隱患。在 絕大多數(shù)網(wǎng)絡(luò)環(huán)境的實(shí)現(xiàn)中它們都是應(yīng)該對外加 以屏蔽的。主要應(yīng)該做以下 的 ACL 設(shè)計(jì)：

1、對外屏蔽簡單網(wǎng)管協(xié)議，即 SNMP。

利用這個(gè)協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其它網(wǎng)絡(luò)設(shè)備。它有兩 種服務(wù)類型： SNMP 和 SNMPTRAP。

如圖 3-10 所示，顯示了如何設(shè)置對外屏蔽簡單網(wǎng)管協(xié)議 SNMP。

圖 3-10 對外屏蔽簡單網(wǎng)管協(xié)議

SNMP

2、對外屏蔽遠(yuǎn)程登錄協(xié)議 telnet

首先，telnet 可以登錄到大多數(shù)網(wǎng)絡(luò)設(shè)備和 UNIX 服務(wù)器，并可以使用相關(guān) 命令完全操縱它們。其次，telnet 是一種不安全的協(xié)議類型。用戶在使用 telnet 登錄網(wǎng)絡(luò)設(shè)備或服務(wù)器時(shí)所使用的用戶 名和口令在網(wǎng)絡(luò)中是以明文傳輸?shù)?，?容易被網(wǎng)絡(luò)上的非法協(xié)議分析設(shè)備截獲。這是極其危險(xiǎn)的，因此必須加以屏蔽。如圖 3-11 所示，顯示了如何對外屏蔽遠(yuǎn)程登錄協(xié)議 telnet。

圖 3-11 對外屏蔽遠(yuǎn)程登錄協(xié)議

telnet

3、對外屏蔽其它不安全的協(xié)議或服務(wù)

這樣的協(xié)議主要有 SUN OS 的文件共享協(xié)議端口 2049，遠(yuǎn)程執(zhí)行（rsh）、遠(yuǎn)程登錄（rlogin）和遠(yuǎn)程命令（rcmd）端口512、513、514，遠(yuǎn)程過程調(diào)用

（SUNRPC）端口 111?？梢詫⑨槍σ陨蠀f(xié)議綜合進(jìn)行設(shè)計(jì)，如圖 3-12 所示。

圖 3-12 對外屏蔽其它不安全的協(xié)議或

服務(wù)

4、針對 DoS 攻擊的設(shè)計(jì)

DoS 攻擊（Denial of Service Attack，拒絕服務(wù)攻擊）是一種非常常見而且 極具破壞力的攻擊手段，它可以導(dǎo)致服 務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止，嚴(yán)重時(shí)會(huì)導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。圖 3-13 顯示了如何設(shè)計(jì)針對常見 DoS 攻 擊的 ACL。

圖 3-13 針對 DoS 攻擊的設(shè)計(jì)

5、保護(hù)路由器自身安全

作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護(hù) 自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器，必 須對路由器的訪問位置加以限制。

應(yīng)只允許來自服務(wù)器群的 IP

地址訪問并配置路由器。這時(shí)，可以使用 ACCESS-CLASS 命令進(jìn)行 VTY 訪問控制。如圖 3-14 所示。

圖 3-14 保護(hù)路由器自身安全

3.6 其它配置

為了實(shí)現(xiàn)對無類別網(wǎng)絡(luò)（Classless Network）以及全零子網(wǎng)（Subnet-zero）的支持，在接入路由器 InternetRouter 上還需要進(jìn)行適當(dāng)?shù)呐渲?，如圖 3-15 所 示。

圖 3-15 定義對無類別網(wǎng)絡(luò)以及全零子網(wǎng)的支持 遠(yuǎn)程訪問模塊設(shè)

計(jì)

遠(yuǎn)程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一。它可以為家庭辦公用戶和出 差在外的員工提供遠(yuǎn)程、移動(dòng)接入服務(wù)。如圖 4-1 所示。

圖 4-1 遠(yuǎn)程訪問

服務(wù)

遠(yuǎn)程訪問有三種可選的服務(wù)類型：專線連接、電路交換和包交換。不同的 廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花 費(fèi)也不相同。在本設(shè)計(jì)中，由于面對 的用戶群規(guī)模、業(yè)務(wù)量較小，所以 采用了異步撥號(hào)連接作為遠(yuǎn)程訪問的技術(shù)手 段。

異步撥號(hào)連接屬于電路交換類型的廣域網(wǎng)連接，它是在傳統(tǒng)公共交換電話

網(wǎng)（Public Switched Telephone Network，PSTN）上 提供服務(wù)的。傳統(tǒng) PSTN 提 供的服務(wù)也被稱為簡易老式電話業(yè)務(wù)（Plan Old Telephone System，POTS）。因?yàn)槟壳按嬖谥罅堪惭b好的電話線，所 以這樣的環(huán)境是最容易滿足的。因此，異步撥號(hào)連接也就成為最為方 便和普遍的遠(yuǎn)程訪問類型。

廣域網(wǎng)連接可以采用不同類型的封裝協(xié)議，如 HDLC、PPP 等。其中，PPP 除了提供身份認(rèn)證功能外，還可以提供 其他很多可選項(xiàng)配置，包括鏈路壓縮、多鏈路捆綁、回叫等，因此更具優(yōu)勢。本設(shè)計(jì)所采用的異步連接封裝協(xié)議是 PPP。

在本設(shè)計(jì)中采用了可以集成在廣域網(wǎng)接入路由器 InternetRotuer 中的異步 Modem 模塊 NM-16AM（16 Port Analog Modem Network Module）提供遠(yuǎn)程訪 問服務(wù)。它可以同時(shí)對最多 16 路撥號(hào)用戶提供遠(yuǎn)程接入服務(wù)。

以下介紹一下配置異步撥號(hào)模塊 NM-16AM 的步驟。

4.1 配置物理線路的基本參數(shù)

對物理線路的配置包括配置線路速度（DTE、DCE 之間的速率）、停止位 位數(shù)、流控方式、允許呼入連接的協(xié)議 類型、允許流量的方向等。如圖 4-2 所 示。

圖 4-2 配置物理線路的基本參數(shù)

4.2 配置接口基本參數(shù)

對接口基本參數(shù)的配置包括 ：接 口封裝協(xié)議類型、接口異步模式、IP 地址、為遠(yuǎn)程客戶分配 IP 地址的方式等，如圖 4-3 所示。這里，設(shè)置遠(yuǎn)程客戶從 IP

地址池 rasclients 中獲得 IP 地址。

圖 4-3 配置接口基本

參數(shù)

接下來，需要建立一個(gè)本地的 IP 地址池。如圖

4-4 所示，建立了一個(gè)名為

rasclients 的 IP 地址池。其 IP 地址范圍是： 192.168.200.1～ 192.168.200.16。

圖 4-4 指定 IP 地

址池

4.3 配置身份認(rèn)證

PPP 提供了兩種可選的身份認(rèn)證方法：口令驗(yàn)證協(xié)議

PAP（Password Authentication

Protocol，PAP）和 質(zhì) 詢 握 手 協(xié) 議（Challenge

Handshake Authentication Protocol，CHAP）。

PAP 是一個(gè)簡單的、實(shí)用的身份驗(yàn)證協(xié)議。PAP 認(rèn)證進(jìn)程只在雙方的通信 鏈路建立初期進(jìn)行。如果認(rèn)證成功，在 通信過程中不再進(jìn)行認(rèn)證。如果認(rèn)證失 敗，則直接釋放鏈路。

CHAP 認(rèn)證比 PAP 認(rèn)證更安全，因?yàn)?CHAP 不在線路上發(fā)送明文密碼，而 是發(fā)送經(jīng)過摘要算法加工過的隨機(jī)序列，也 被稱 為 “ 挑戰(zhàn)字符串”。同 時(shí)，身 份認(rèn)證可以隨時(shí)進(jìn)行，包括在雙方正常通信過程 中。因此，非法用戶就算截獲 并成功破解了一次密碼，此密 碼也將在一段時(shí)間內(nèi)失效。

CHAP 對端系統(tǒng)要求很高，因?yàn)樾枰啻芜M(jìn)行 身份質(zhì)詢、響應(yīng)。這需要耗 費(fèi)較多的 CPU 資源，因此只用在對安全要求很高的場合。

PAP 雖然有著用戶名和密碼是明文發(fā)送的弱 點(diǎn)，但是認(rèn)證只在鏈路建立初

期進(jìn)行，因此節(jié)省了寶貴的鏈路帶寬。

本設(shè)計(jì)中將采用 PAP 身份認(rèn)證方法。

1、建立本地口令數(shù)據(jù)庫

如圖 4-5 所示建立本地口令數(shù)據(jù)庫。

圖 4-5 建立本地口令數(shù)

據(jù)庫

2、設(shè)置進(jìn)行 PAP 認(rèn)證

如圖 4-6 所示設(shè)置進(jìn)行 PAP 認(rèn)證。

圖 4-6 設(shè)置進(jìn)行 PAP

認(rèn)證 服務(wù)器模塊

設(shè)計(jì)

服務(wù)器模塊用來對校園網(wǎng)的接入用戶提供各種服務(wù)。在本設(shè)計(jì)實(shí)例中，所 有的服務(wù)器被集中到

VLAN 100，構(gòu)成服務(wù)器群并通過分布層交換機(jī) DistributeSwitch1 的端口 fastethernet 1～ 20 接入校園網(wǎng)。如圖 5-1 所示。

圖 5-1 服務(wù)

器群

校園網(wǎng)網(wǎng)絡(luò)提供的常用服務(wù)（服務(wù)器）包括：

z z z z z

z z z z WEB 服務(wù)器：提供 WEB 網(wǎng)站服務(wù)。

DNS、目錄服務(wù)器：提供域名解析以及目錄服務(wù)。FTP、文件服務(wù)器：提供文件傳輸、共享服務(wù)。郵件服務(wù)器：提供郵件收發(fā)服務(wù)。

數(shù)據(jù)庫服務(wù)器：提供各種數(shù)據(jù)庫服務(wù)。

打印服務(wù)器：提供打印機(jī)共享服務(wù)。實(shí)時(shí)通信服務(wù)器：提供實(shí)時(shí)通信服務(wù)。

流媒體服務(wù)器：提供各種流媒 體播放、點(diǎn)播服務(wù)。網(wǎng)管服務(wù)器：對校園網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行綜合管理。

如圖 5-2 所示。顯示了各服務(wù)器 IP 地址配置情況。

圖 5-2 各服務(wù)器 IP 地址

配置

表 2 給出了所有的服務(wù)器硬件平臺(tái)、操 作系統(tǒng)以及服務(wù)軟件的選型表。表 2 服務(wù)器硬件平臺(tái)、操作系統(tǒng)以及服務(wù)軟件的選型

表

限于篇幅，對于各種服務(wù)器的安裝、配置步驟以及運(yùn)行維護(hù)方法，這里不 再贅述。感興趣的讀者可以參看有關(guān)參考書。系統(tǒng)測

試

6.1 系統(tǒng)測試

前面幾節(jié)對如何設(shè)計(jì)一個(gè)較為完整的校園網(wǎng)網(wǎng)絡(luò)進(jìn)行了詳細(xì)的介紹。當(dāng)校 園網(wǎng)初具規(guī)模后，還應(yīng)該對校園網(wǎng)的整 體運(yùn)行情況做一下細(xì)致的測試和評(píng)估。主要的測試內(nèi)容應(yīng)該包括：

z z z z z z z z 對管理 IP 地址的測試。

對相同 VLAN 內(nèi)的通信進(jìn)行測試。對不同 VLAN 內(nèi)的通信進(jìn)行測試。對冗余鏈路的工作狀態(tài)進(jìn)行測試。

對廣域網(wǎng)接入路由器上的 NAT 進(jìn)行測試。對廣域網(wǎng)接入路由器上的 ACL 進(jìn)行測試。對遠(yuǎn)程訪問服務(wù)進(jìn)行測試。

對各種服務(wù)器提供的服務(wù)進(jìn)行測試。

至于具體的測試步驟，限于篇幅，不再贅述。這里，只給出相關(guān)測試、診 斷命令。

6.2 相關(guān)測試、診斷命令

本文的最后，按不同的功能按每種技術(shù)分類，給出路由器或交換機(jī)上常用 的相關(guān)測試、診斷命令。同時(shí)，還給出了每一命令的作用。

6.2.1 通 用 測 試、診 斷 命 令

1、ping x.x.x.x

標(biāo)準(zhǔn) ping 命令。用于測試設(shè)備間的物理連通性。

2、ping

擴(kuò)展 ping 命令。也 用于測試設(shè)備間的物理連通性。擴(kuò)展 ping 命令還支持靈 活定義 ping 參數(shù)，如 ping 數(shù)據(jù)包的大小，發(fā)送包的個(gè)數(shù)，等待響應(yīng)數(shù)據(jù)包的 超時(shí)時(shí)間等。

3、traceroute x.x.x.x

命令 traceroute 用于跟蹤、顯示路由信息。

4、show running-config

命令 show running-config 用于顯示路由器、交換機(jī)運(yùn)行配置文件的內(nèi)容。

5、show startup-config

命令 show startup-config 用于顯示路由器、交換機(jī)啟 動(dòng)配置文件的內(nèi)容。

6、show sessions

命令 show sessions 用于顯示從當(dāng)前設(shè)備發(fā)出的所有呼出 Telnet 會(huì)話。

7、disconnect

命令 disconnect 用于斷開與遠(yuǎn)程目標(biāo)主機(jī)的 Telnet 會(huì)話。

8、show users

命令 show users 用于查看呼入 Telnet 會(huì)話情況。

命令 clear line 用于斷開遠(yuǎn)程主機(jī)的呼入 Telnet 連接。

10、shutdown

命令 shutdown 用于臨時(shí)將某個(gè)接口關(guān)閉。

11、no shutdown

命令 no shutdown 用于手動(dòng)啟動(dòng)（激活）處于管理性關(guān)閉的接口。

12、show arp

命令 show arp 用于顯示 ARP 緩存（ARP 表）的內(nèi)容。

13、show ip arp

命令 show ip arp 用于顯示 IP ARP 緩存（ARP 表）的內(nèi)容。

14、show interfaces

命令 show interface 用于顯示各接口的狀態(tài)及參數(shù)信息。

15、show ip interface

命令 show ip interface 用于顯示 IP 接口的狀態(tài)及配置信息。

命令 show version 用于顯示路由器硬件配置、軟件版本等信息。

17、Ctrl+Shift+6+x

該命令也被稱為“退出序列”，用于終止正在執(zhí)行的某條命令或操作，也 用于從呼出 Telnet 會(huì)話中暫時(shí)切換到本地連接。

18、dir flash:

命令 dir flash:用于顯示閃存中的文件清單。

19、dir nvram:

命令 dir nvram:用于顯示非易失性內(nèi)存中的文件清單。

20、show debugging

命令 show debugging 用于顯示正在進(jìn)行的診斷過程清單。

21、undebug all

命令 undebug all 用于停止所有診斷過程。

6.2.2 CDP 測 試、診 斷 命 令

1、show cdp

命令 show cdp 用于顯示 CDP 全局參數(shù)信息。

命令 show cdp neighbors 用于顯示 CDP 鄰居設(shè)備的摘要信息。

3、show cdp neighbors detail

命令 show cdp neighbors detail 用于顯示 CDP 鄰居設(shè)備的詳細(xì)信息，包括： 鄰居設(shè)備名稱、鄰居設(shè)備接口 IP 地址、鄰居設(shè)備軟件版本信息、設(shè) 備性能、設(shè) 備平臺(tái)、本地設(shè)備接口、鄰居設(shè)備接口、CDP 緩存條目保持時(shí)間、CDP 廣播版 本、接口雙工方式等。

4、show cdp entry

命令 show cdp entry 用于顯示指定鄰居設(shè)備的相關(guān)信息。

5、show cdp interface

命令 show cdp interface 用于顯示本地設(shè)備各個(gè)接口 的狀態(tài)、接 口封裝格式、CDP 包的周期發(fā)送時(shí)間以及 CDP 保持時(shí)間等。

6、show cdp traffic

命令 show cdp traffic 用于顯示和 CDP 相關(guān)的流量統(tǒng)計(jì)信息，包括接收和發(fā) 送的 CDP 包數(shù)量、包括頭部錯(cuò)誤、校驗(yàn)錯(cuò)誤、封 裝錯(cuò)誤等在內(nèi)的錯(cuò)誤數(shù)量等。

1、show ip route

命令 show ip route 用于顯示當(dāng)前路由表內(nèi)容。

2、show ip protocols

命令 show ip protocols 用于顯示動(dòng)態(tài)路由協(xié)議的配置參數(shù)信息。

6.2.4 VLAN、VTP 測 試、診 斷命令

1、show interface vlan vlan-num

命令 show interface vlan vlan-num 用于顯示 VLAN 是否已激活、交換機(jī) MAC 基地址、接口參數(shù)等。

2、show mac-address-table

命令 show mac-address-table 用于顯示 CAM，即 橋接表的內(nèi)容。該命令可列 出學(xué)習(xí)到的主機(jī) MAC 地址及其所屬 VLAN、所處端口、條目類（型靜態(tài) STATIC、動(dòng)態(tài) DYNAMIC 等）以及滿足列表?xiàng)l件的 MAC 地址數(shù)目。

3、show vlan

命令

show vlan 用于查看

VLAN 創(chuàng)建情況。該命令可以顯示系統(tǒng)所有的

VLAN 信息，包括 VLAN 編號(hào)、VLAN 名稱、VLAN 狀態(tài)、VLAN 成員等信息。

命令 show vtp status 用于檢查 VTP 配置情況。

6.2.5 生 成 樹 測 試、診 斷 命 令

1、show spanning-tree

命令 show spanning-tree 用于顯示生成樹協(xié)議中交換 機(jī)及其端口的情況。

2、show spanning-tree blockedports

命令 show spanning-tree blockedports 用于顯示處于阻塞狀態(tài)的端口。

3、show spanning-tree detail

命令 show spanning-tree detail 用于顯示生成樹詳細(xì)信息。

4、show spanning-tree interface

命令 show spanning-tree interface 用于顯示生成樹中某端口相關(guān)狀態(tài)。

5、show spanning-tree vlan

當(dāng)有多個(gè) VLAN 時(shí)，Catalyst 交換機(jī)會(huì)為每個(gè) VLAN 運(yùn)行一個(gè)生成樹實(shí)例。此命令用于顯示指定 VLAN 的生成樹內(nèi)容。

6、show spanning-tree summary

命令 show spanning-tree summary 用于顯示生成樹總結(jié)，包括本交換機(jī)是哪

些 VLAN 的根網(wǎng)橋、端口快速特性是否啟用、處于生成樹各個(gè)端口狀態(tài)的端 口 數(shù)量等信息。

6.2.6 NAT 測 試、診 斷 命 令

1、show ip nat translation

命令 show ip nat translation 用于顯示當(dāng)前正在進(jìn)行的 NAT 情況。

2、show ip nat translation verbose

命令 show ip nat translation verbose 用于顯示當(dāng)前正在進(jìn)行的 NAT 更為詳細(xì) 的情況。

3、show ip nat statistics

命令 show ip nat statistics 用于顯示 NAT 運(yùn)行情況統(tǒng)計(jì)。

4、debug ip nat

命令 debug ip nat 用于打開對 NAT 的診斷。

6.2.7 ACL 測 試、診 斷 命 令

1、show access-lists

命令

show access-lists 用于顯示所有已定義的訪問控制列表內(nèi)容及命中情 況。

2、show ip access-lists

命令 show ip access-lists 用于顯示所有已定義的 IP 訪問控制列表內(nèi)容及命 中情況。

6.2.8 遠(yuǎn) 程 訪 問 測 試、診 斷 命 令

1、show line

命令 show line 用于查看當(dāng)前系統(tǒng)所有的線路及其狀態(tài)。

2、show modemcap

命令 show modemcap 用于顯示了當(dāng)前路由器可以自動(dòng)配置的 Modem 列表。

3、debug ppp negotiation

命令 debug ppp negotiation 用于打開對 PPP 協(xié)議參數(shù)協(xié)商的診斷。

4、debug ppp authentication

命令 debug ppp authentication 用于打開對 PPP 身份認(rèn)證過程的診斷。

總 結(jié)

需要說明的是，一個(gè)完整的校園網(wǎng)網(wǎng)絡(luò) 系統(tǒng)設(shè)計(jì)不僅包含上述設(shè)備或系統(tǒng)，還應(yīng)該包括計(jì)費(fèi)系統(tǒng)、防火墻系統(tǒng)、入 侵檢測系統(tǒng)等組成部分。限于篇幅，在 此不做介紹，感興趣的讀者可 以參看有關(guān)的參考書。

第二篇：校園網(wǎng)設(shè)計(jì)方案123

校園網(wǎng)設(shè)計(jì)方案

一、學(xué)校需求分析

隨著計(jì)算機(jī)、通信和多媒體技術(shù)的發(fā)展，使得網(wǎng)絡(luò)上的應(yīng)用更加豐富。同時(shí)在多媒體教育和管理等方面的需求，對校園網(wǎng)絡(luò)也提出進(jìn)一步的要求。因此需要一個(gè)高速的、具有先進(jìn)性的、可擴(kuò)展的校園計(jì)算機(jī)網(wǎng)絡(luò)以適應(yīng)當(dāng)前網(wǎng)絡(luò)技術(shù)發(fā)展的趨勢并滿足學(xué)校各方面應(yīng)用的需要。信息技術(shù)的普及教育已經(jīng)越來越受到人們關(guān)注。學(xué)校領(lǐng)導(dǎo)、廣大師生們已經(jīng)充分認(rèn)識(shí)到這一點(diǎn)，學(xué)校未來的教育方法和手段，將是構(gòu)筑在教育信息化發(fā)展戰(zhàn)略之上，通過加大信息網(wǎng)絡(luò)教育的投入，開展網(wǎng)絡(luò)化教學(xué)，開展教育信息服務(wù)和遠(yuǎn)程教育服務(wù)等將成為未來建設(shè)的具體內(nèi)容。

調(diào)研情況

學(xué)校有幾棟建筑需納入局域網(wǎng)，其中原有計(jì)算機(jī)教室將并入整個(gè)校園網(wǎng)絡(luò)。根據(jù)校方要求，總的信息點(diǎn)將達(dá)到 3000個(gè)左右。信息節(jié)點(diǎn)的分布比較分散。將涉及到圖書館、實(shí)驗(yàn)樓、教學(xué)樓、宿舍樓、食堂等。主控室可設(shè)在教學(xué)樓的一層，圖書館、實(shí)驗(yàn)樓和教學(xué)樓為信息點(diǎn)密集區(qū)。

需求功能

校園網(wǎng)最終必須是一個(gè)集計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、多項(xiàng)信息管理、辦公自動(dòng)化和信息發(fā)布等功能于一體的綜合信息平臺(tái)，并能夠有效促進(jìn)現(xiàn)有的管理體制和管理方法，提高學(xué)校辦公質(zhì)量和效率，以促進(jìn)學(xué)校整體教學(xué)水平的提高。

二.設(shè)計(jì)特點(diǎn)

根據(jù)校園網(wǎng)絡(luò)項(xiàng)目，我們應(yīng)該充分考慮學(xué)校的實(shí)際情況，注重設(shè)備選型的性能價(jià)格比，采用成熟可靠的技術(shù)，為學(xué)校設(shè)計(jì)成一個(gè)技術(shù)先進(jìn)、靈活可用、性能優(yōu)秀、可升級(jí)擴(kuò)展的校園網(wǎng)絡(luò)。考慮到學(xué)校的中長期發(fā)展規(guī)劃，在網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)管理、系統(tǒng)性能以及遠(yuǎn)程教學(xué)等各個(gè)方面能夠適應(yīng)未來的發(fā)展，最大程度地保護(hù)學(xué)校的投資。學(xué)校借助校園網(wǎng)的建設(shè)，可充分利用豐富的網(wǎng)上應(yīng)用系統(tǒng)及教學(xué)資源，發(fā)揮網(wǎng)絡(luò)資源共享、信息快捷、無地理限制等優(yōu)勢，真正把現(xiàn)代化管理、教育技術(shù)融入學(xué)校的日常教育與辦公管理當(dāng)中。學(xué)校校園網(wǎng)具體功能和特點(diǎn)如下：

技術(shù)先進(jìn)

· 采用千兆以太網(wǎng)技術(shù)，具有高帶寬1000Mbps 速率的主干，100Mbps 到桌面，運(yùn)行目前的各種應(yīng)用系統(tǒng)綽綽有余，還可輕松應(yīng)付將來一段時(shí)間內(nèi)的應(yīng)用要求，且易于升級(jí)和擴(kuò)展，最大限度的保護(hù)用戶投資；

· 網(wǎng)絡(luò)設(shè)備選型為國際知名產(chǎn)品，性能穩(wěn)定可靠、技術(shù)先進(jìn)、產(chǎn)品系列全及完善的服務(wù)保證；

· 采用支持網(wǎng)絡(luò)管理的交換設(shè)備，足不出戶即可管理配置整個(gè)網(wǎng)絡(luò)。

網(wǎng)絡(luò)互聯(lián)：

· 提供國際互聯(lián)網(wǎng)ISDN 專線接入（或DDN），實(shí)現(xiàn)與各公共網(wǎng)的連接；

· 可擴(kuò)容的遠(yuǎn)程撥號(hào)接入/撥出，共享資源、發(fā)布信息等。應(yīng)用系統(tǒng)及教學(xué)資源豐富；

· 有綜合網(wǎng)絡(luò)辦公系統(tǒng)及各個(gè)應(yīng)用管理系統(tǒng)，實(shí)現(xiàn)辦公自動(dòng)化，管理信息化；

· 有以WEB數(shù)據(jù)庫為中心的綜合信息平臺(tái)，可進(jìn)行消息發(fā)布，招生廣告、形象宣傳、課業(yè)輔導(dǎo)、教案參考展示、資料查詢、郵件服務(wù)及遠(yuǎn)程教學(xué)等。

三．校園網(wǎng)布局結(jié)構(gòu)

校園比較大，建筑樓群多、布局比較分散。因此在設(shè)計(jì)校園網(wǎng)主干結(jié)構(gòu)時(shí)既要考慮到目前實(shí)際應(yīng)用有所側(cè)重，又要兼顧未來的發(fā)展需求。主干網(wǎng)以中控室為中心，設(shè)幾個(gè)主干交換節(jié)點(diǎn)，包括中控室、實(shí)驗(yàn)樓、圖書館、教學(xué)樓、宿舍樓。中心交換機(jī)和主干交換機(jī)采用千兆光纖交換機(jī)。中控室至圖書館、校園網(wǎng)的主干即中控室與教學(xué)樓、實(shí)驗(yàn)樓、圖書館、宿舍樓之間全部采用8芯室外光纜；樓內(nèi)選用進(jìn)口6芯室內(nèi)光纜和5類線。

根據(jù)學(xué)校的實(shí)際應(yīng)用，配服務(wù)器7臺(tái)，用途如下：

① 主服務(wù)器2臺(tái)：裝有Solaris操作系統(tǒng)，負(fù)責(zé)整個(gè)校園網(wǎng)的管理，教育資源管理等。其中一臺(tái)服務(wù)器裝有DNS服務(wù)，負(fù)責(zé)整個(gè)校園網(wǎng)中各個(gè)域名的解析。另一臺(tái)服務(wù)器裝有電子郵件系統(tǒng)，負(fù)責(zé)整個(gè)校園網(wǎng)中各個(gè)用戶的郵件管理。

②004km.cnntrol Protocol（TCP）傳輸控制協(xié)議 ? Network File System（NFS）網(wǎng)絡(luò)文件系統(tǒng) ? File Transfer Protocol（FTP）文件傳輸協(xié)議 ? Messge Handing System（MHS）電子函件協(xié)議

其中，IP是整個(gè)網(wǎng)絡(luò)互聯(lián)的平臺(tái)，TCP是端到端可靠傳輸?shù)谋ＷC。FTP協(xié)議是TCP/IP協(xié)議中主要的文件傳輸協(xié)議，它采用面向連接的方式，向上網(wǎng)用戶提供文件級(jí)的傳輸、訪問、拷貝等服務(wù)。NFS是SUN公司開發(fā)的文件訪問協(xié)議，用于解決網(wǎng)絡(luò)環(huán)境下遠(yuǎn)地文件的透明訪問。MHS為上網(wǎng)用戶交互信件提供服務(wù)，并可以進(jìn)行一對多的郵件傳遞。網(wǎng)絡(luò)整體框架結(jié)構(gòu)：

樓宇交換機(jī)

桌面交換機(jī)

樓宇交換機(jī)

網(wǎng) 管 交換機(jī)

桌面交換機(jī)

DNS

（四）網(wǎng)絡(luò)主干設(shè)計(jì)：

從近期和遠(yuǎn)期帶寬需求和拓?fù)浣Y(jié)構(gòu)考慮，在核心骨干交換機(jī)之間、骨干交換機(jī)和端口密度較大、信息量較大的工作組交換機(jī)之間采用千兆位；端口密度小、信息量較小的工作組交換機(jī)則以快速以太網(wǎng)或快速以太網(wǎng)通道連接到骨干交換機(jī)上；工作組交換機(jī)提供10M/100Mbps到桌面計(jì)算機(jī)。

（五）虛網(wǎng)方案設(shè)計(jì)： ? 基于端口的虛網(wǎng)劃分；

? 利用VIAN國際標(biāo)準(zhǔn)802.1Q，實(shí)現(xiàn)跨交換機(jī)的VLAN，通過IEEE802.1d協(xié)議所支持的生成樹技術(shù)（Spanning Tree），實(shí)現(xiàn)各中繼之間的負(fù)載均衡；

? 采用VLANPruning技術(shù)來優(yōu)化交換網(wǎng)絡(luò)中廣播對網(wǎng)絡(luò)性能的影響；

（六）網(wǎng)絡(luò)管理方案設(shè)計(jì)：

根據(jù)學(xué)校和服務(wù)器應(yīng)用模式及全網(wǎng)范圍資源集中管理的原則，建立網(wǎng)管中心（中心機(jī)房），統(tǒng)一網(wǎng)絡(luò)中的交換設(shè)備的管理配置，虛網(wǎng)設(shè)計(jì)和配置，各種服務(wù)建立等。

網(wǎng)管工作站對全網(wǎng)所有交換設(shè)備和路由設(shè)備進(jìn)行統(tǒng)一管理、配置和維護(hù)；進(jìn)行故障隔離、分析、統(tǒng)計(jì)、報(bào)警、設(shè)置；網(wǎng)管軟件采用圖形化界面，支持廣泛的網(wǎng)管平臺(tái)。

（七）網(wǎng)絡(luò)安全方案設(shè)計(jì)： ? 對內(nèi)安全： a)利用VLAN的安全特性，按照學(xué)校各部分的基本工作性質(zhì)結(jié)合樓宇的分布劃分子網(wǎng)網(wǎng)段：192.168.10段，辦公樓；192.168.20段，教師周轉(zhuǎn)房（1，2）；192.168.30段，為臨江園2幢教師住宿樓，192.168.40段為硅步樓，192.168.50段為2號(hào)教師住宿樓，192.168.60段為1號(hào)教師住宿樓。192.168.70段為3幢教學(xué)樓。一方面對子網(wǎng)內(nèi)信息點(diǎn)設(shè)置訪問控制，另一方面對不同子網(wǎng)的訪問進(jìn)行控制。

b)服務(wù)器訪問控制：通過密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權(quán)用戶對服務(wù)器的訪問，以及對辦公自動(dòng)化平臺(tái)、教務(wù)管理平臺(tái)的訪問和管理

? 對外安全：

安裝軟件、硬件防火墻，網(wǎng)絡(luò)防病毒軟件，客戶端防病毒軟件；利用代理服務(wù)器提供Internet與Intranet之間的防火墻功能；通過網(wǎng)管實(shí)時(shí)記錄網(wǎng)絡(luò)的運(yùn)行狀態(tài)。

（八）網(wǎng)絡(luò)可靠性設(shè)計(jì)：

網(wǎng)絡(luò)主干采用基于樹型的多星型結(jié)構(gòu)，使之具有鏈路冗余特性，能使樹型中有一線路出現(xiàn)故障時(shí)，只有本線路出故障，其它網(wǎng)絡(luò)部分仍然能正常運(yùn)行。

（九）接入Internet：

采用DDN接入。DDN是英文Digital Data Network的縮寫，這是隨著數(shù)據(jù)通信業(yè)務(wù)發(fā)展而迅速發(fā)展起來的一種新型網(wǎng)絡(luò)。

五、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

1、網(wǎng)絡(luò)建設(shè)結(jié)構(gòu)：星型結(jié)構(gòu)是目前局域網(wǎng)建設(shè)的典型結(jié)構(gòu)，也是校園網(wǎng)的主流結(jié)構(gòu)。結(jié)合學(xué)校樓宇較多分布范圍較廣的特點(diǎn)方案擬定星型拓?fù)浣Y(jié)構(gòu)。以根結(jié)點(diǎn)（核心交換機(jī)）為核心，下連樓宇交換機(jī)、桌面交換機(jī)。如圖

樓宇交換機(jī)

桌面交換機(jī)

樓宇交換機(jī)

網(wǎng) 管 交換機(jī)

桌面交換機(jī)

DNS 優(yōu)點(diǎn)：簡單、易于維護(hù)和管理，建設(shè)費(fèi)用相對較低。

2、網(wǎng)絡(luò)設(shè)備連接：

（1）核心交換機(jī)連接：www服務(wù)器、各網(wǎng)段交換機(jī)（另安光轉(zhuǎn)換器）。（2）各網(wǎng)段交換機(jī)連接：本幢樓的信息結(jié)點(diǎn)和本網(wǎng)段其他樓宇的桌面交換機(jī)。

（3）桌面交換機(jī)連接：各自樓宇內(nèi)部的信息結(jié)點(diǎn)。

六、網(wǎng)絡(luò)軟硬件設(shè)備規(guī)劃

（一）設(shè)備選擇考慮的因素：設(shè)備性能、性能價(jià)格比、設(shè)備的可擴(kuò)展性、生產(chǎn)廠商的技術(shù)支持，還有要從本校的實(shí)際情況出發(fā)。

（二）設(shè)備選擇：

1、交換設(shè)備

（1）核心交換機(jī)：選擇帶路由功能的可通過千兆上連至主干的可網(wǎng)管交換機(jī)。

（2）網(wǎng)段交換機(jī)（樓宇交換機(jī)）：可選擇神州數(shù)碼類型帶1000M光接口的；（3）桌面交換機(jī)：普通交換機(jī)?？蛇x擇TCL，清華同方D-LINK等類型。

2、服務(wù)器

服務(wù)器的應(yīng)用：www服務(wù)，F(xiàn)TP服務(wù)，數(shù)據(jù)庫服務(wù)，辦公自動(dòng)化管理服務(wù)等。

WWW用一臺(tái)服務(wù)器； FTP和主DNS合用一臺(tái)服務(wù)器； 數(shù)據(jù)庫和輔DNS合用一臺(tái)服務(wù)器；

3、硬件防火墻：使用“遠(yuǎn)教”配置的“易尚”ES800A。

4、光收發(fā)設(shè)備：樓宇間的光纜，需要在交換機(jī)上配置光收發(fā)器。光收發(fā)設(shè)備有光模塊和光收發(fā)器兩種選擇。光模塊一般只能配置在相應(yīng)廠商生產(chǎn)的模塊化交換機(jī)上，一般認(rèn)為其性能要好一些，但缺點(diǎn)是價(jià)格昂貴，且維護(hù)周期長。光收發(fā)器則可以配置在任何專門生產(chǎn)光設(shè)備生產(chǎn)廠商生產(chǎn)的交換機(jī)上，價(jià)格便宜，維護(hù)周期短。所以本方案除各子網(wǎng)千兆模塊本身是光模塊外，其余設(shè)備的光纜連接均采用光收發(fā)器。

5、網(wǎng)絡(luò)傳輸介質(zhì)：傳輸介質(zhì)決定了網(wǎng)絡(luò)的傳輸速度、網(wǎng)絡(luò)段的最大長度、傳輸可靠性、網(wǎng)絡(luò)接口卡的復(fù)雜程度，直接影響網(wǎng)絡(luò)的建設(shè)成本，也影響今后網(wǎng)絡(luò)的發(fā)展。

根據(jù)網(wǎng)絡(luò)拓?fù)?，選擇雙絞線和光纜作為學(xué)校網(wǎng)絡(luò)的傳輸介質(zhì)。（1）雙絞線：采用符合國際標(biāo)準(zhǔn)的IBDN超5類非屏蔽雙絞線。

（2）光纜：光纜一旦鋪設(shè)以后，需要長時(shí)間的質(zhì)量保證，因此選擇高質(zhì)量、高可靠的產(chǎn)品。

（3）跳線：成品跳線與自制跳線按1：5的比例配置。

6、電源及保護(hù)：網(wǎng)管中心是整個(gè)網(wǎng)絡(luò)的核心，長延時(shí)電源及相關(guān)電源保護(hù)是必不可少的。要求：突然停電后，維持網(wǎng)管中心設(shè)備幾個(gè)小時(shí)的供電；在電池用完之前能 自動(dòng)關(guān)閉被保護(hù)的服務(wù)器，供電后能自動(dòng)啟動(dòng)服務(wù)器；防止公用電源線上的浪涌、脈沖、閃電損害重要設(shè)備；電能要求在10000VA上。推薦使用APC公司的智能UPS電源。

（三）軟件選擇

1、系統(tǒng)軟件

操作系統(tǒng)：win2003 server：用戶界面友好，支持多任務(wù)窗口；是高性能的應(yīng)用平臺(tái)；內(nèi)置WEB/SERVER服務(wù)功能；易于配置、使用湖維護(hù)；性能價(jià)格比好；軟件容易升級(jí)。

2、應(yīng)用軟件：采用“校校通”校園網(wǎng)平臺(tái)軟件，“遠(yuǎn)志”多媒體教學(xué)網(wǎng)絡(luò)系統(tǒng)；

3、防病毒軟件：采用世界反病毒行業(yè)領(lǐng)先廠商N(yùn)orton公司的諾頓防病毒企業(yè)版。結(jié)合其他專殺工具和正版?zhèn)€人版殺毒軟件。必要時(shí)配置其他網(wǎng)絡(luò)殺毒軟件。

七、布線系統(tǒng)

1、需求說明：學(xué)校網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)為星型結(jié)構(gòu)的快速以太，信息點(diǎn)數(shù)量約358個(gè)。

2、布線方案——IBDN開放布線設(shè)計(jì)：不但滿足當(dāng)前網(wǎng)絡(luò)通訊對布線的需要，更要向未來高速網(wǎng)絡(luò)技術(shù)的發(fā)展對布線系統(tǒng)的嚴(yán)格要求，具有很強(qiáng)的適應(yīng)性、擴(kuò)展性、可靠性、長遠(yuǎn)效益；符合最新國際布線標(biāo)準(zhǔn)。

(1)校園布局圖與樓宇間光纖布線：其中100M光纖到教學(xué)樓、跬步樓、教師樓、周轉(zhuǎn)房；100M光纖到其余信息點(diǎn)分布的樓宇。

(2)水平、垂直子系統(tǒng)全部采用超5類雙絞線，可支持高達(dá)155Mbps的數(shù)據(jù)傳輸速率，具有很強(qiáng)的互補(bǔ)性、擴(kuò)展性、靈活性、高可靠性；采用標(biāo)準(zhǔn)的RJ45 8信息位標(biāo)準(zhǔn)接口；可以把不同廠家的網(wǎng)絡(luò)設(shè)備和終端設(shè)備連接到網(wǎng)絡(luò)中。

3、標(biāo)準(zhǔn)與設(shè)計(jì)目標(biāo)：（1）設(shè)計(jì)依據(jù)和遵循標(biāo)準(zhǔn)：

? EIA/TIA 568商業(yè)建筑布線標(biāo)準(zhǔn) ? ISO/EIC II801國際綜合布線標(biāo)準(zhǔn)

? 中國工程建設(shè)標(biāo)準(zhǔn)化協(xié)會(huì)標(biāo)準(zhǔn)CECS 72：97/CECS89：97 ? 中國民用建筑電氣設(shè)計(jì)規(guī)范 ? IBDN開飯法式布線系統(tǒng)設(shè)計(jì)總則（2）設(shè)計(jì)目標(biāo)：

? 具有高速和高帶寬傳輸能力；

? 具備運(yùn)行的高可靠性，重要網(wǎng)絡(luò)部分，采用冗余備份來保證萬無一失；

? 采用標(biāo)準(zhǔn)的RJ45 8信息位標(biāo)準(zhǔn)接口；

? 除線纜外，其余所有接插件都采用模塊化，以便管理和使用； ? 能適應(yīng)未來發(fā)展的需要，系統(tǒng)的擴(kuò)充容易升級(jí)。

4、綜合布線子系統(tǒng)設(shè)計(jì)： 1)工作區(qū)子系統(tǒng)：由各個(gè)單元區(qū)域構(gòu)成，是計(jì)算機(jī)、電話和信息插座的連接部分，包括連接跳線和信息插座。信息插座面板具備：通用、超薄、簡

易、防塵等特點(diǎn)；信息插座的模塊采用IBDN五類或AMP五類RJ-45模塊；線纜采用IBDN超五類雙絞線或者采用AMP產(chǎn)品；水晶頭采用AMP RJ-45標(biāo)準(zhǔn)水晶頭。為降低成本和結(jié)合客戶終端的位置多變的特點(diǎn)，跳線可采用原裝跳線與自制跳線相結(jié)合的方式，中心機(jī)房內(nèi)設(shè)備之間、樓宇機(jī)柜內(nèi)設(shè)備之間、服務(wù)器、重點(diǎn)客戶終端的跳線采用原裝成品跳線，其余采用自制跳線。跳線制作統(tǒng)一采用EIA/TIA 568B標(biāo)準(zhǔn)，以使系統(tǒng)具有更好的兼容性。信息插座安裝位置圖示：

2)水平子系統(tǒng)：水平子系統(tǒng)主要是實(shí)現(xiàn)信息插座和管理子系統(tǒng)，即中間配線架（IDF）間的連接。水平子系統(tǒng)為星形拓?fù)?。在水平子系統(tǒng)中采用超五類非屏蔽雙絞線。雙絞線水平布線鏈路中，水平雙絞線的最大長度均不超過90m。為了網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性和擴(kuò)展性超五類非屏蔽雙絞線在整個(gè)校園網(wǎng)建設(shè)中均采用同一品牌的正品線。

3)管理子系統(tǒng)：管理子系統(tǒng)由配線間構(gòu)成。由各種規(guī)格的配線架實(shí)現(xiàn)水平、垂直主干線纜的端接及分配；由各種規(guī)格的跳線實(shí)現(xiàn)布線系統(tǒng)與各種網(wǎng)絡(luò)、通訊設(shè)備的連接，并提供靈活方便的線路管理能力。

4)垂直干線子系統(tǒng)：連接主設(shè)備間至各配線間的線纜構(gòu)成，提供高速數(shù)據(jù)通訊主干通道。主要由高性能室內(nèi)光纖、雙絞線纜、大對數(shù)通訊電纜組成。

5)設(shè)備間子系統(tǒng)：是每一幢大樓在適當(dāng)位置設(shè)置進(jìn)出線設(shè)備、網(wǎng)絡(luò)互連設(shè)備的場所。為了便于布線、管理、節(jié)約投資，墻柜設(shè)置在每一幢大樓頂樓氣棚處，以及220V的交流電接入。本校園網(wǎng)設(shè)計(jì)的管理子系統(tǒng)、垂直子系統(tǒng)和設(shè)備間子系統(tǒng)結(jié)合實(shí)際設(shè)計(jì)在各個(gè)樓宇頂樓氣棚的墻柜內(nèi)。6)建筑群子系統(tǒng)：是將一棟建筑物內(nèi)的電纜延伸到建筑群中的另外一些建筑物內(nèi)的通信設(shè)備和裝置上，采用光纜布線是目前主要的樓宇間布線方式。其中主干光纜采用4芯單模（各網(wǎng)段交換機(jī)與桌面交換機(jī)間），其余樓宇間的主干光纜采用4芯多模。如圖描述子系統(tǒng)間關(guān)系：

5、布線系統(tǒng)的管理：

信息點(diǎn)編號(hào)方法：3個(gè)字符編號(hào)。第一個(gè)是樓層號(hào)，從下到上，從數(shù)字1開始；第二、三個(gè)為信息點(diǎn)統(tǒng)一順序編號(hào)，從左到右，從數(shù)字01開始。如408表示第4層樓第8個(gè)計(jì)算機(jī)信息結(jié)點(diǎn)。

6、布線系統(tǒng)的施工：

（1）

水平管線（2）垂直管線（3）光纖

八、結(jié)束語：

擁有一個(gè)高水準(zhǔn)的校園網(wǎng)，必將促進(jìn)校園網(wǎng)絡(luò)應(yīng)用向WWW、E-mail、FTP的更高層次應(yīng)用發(fā)展。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，引發(fā)了學(xué)校各項(xiàng)工作的深刻變革。高性能校園網(wǎng)的建設(shè)大大提高了學(xué)校的管理水平，為師生員工更好地進(jìn)行教學(xué)、科研等提供了先進(jìn)的平臺(tái)，極大地推動(dòng)了學(xué)校的信息化建設(shè)。統(tǒng)一平臺(tái)、整合資源，將很多原來劃分在不同部門、不同系統(tǒng)的應(yīng)用放在一個(gè)同時(shí)兼具高度靈活性、穩(wěn)固的校園網(wǎng)平臺(tái)上，產(chǎn)生出巨大的協(xié)同效應(yīng)，甚至從根本上改變了原有的教育模式。同時(shí)進(jìn)一步利用這個(gè)平臺(tái)有效整合學(xué)校內(nèi)部資源，以信息化促進(jìn)學(xué)校內(nèi)外部業(yè)務(wù)統(tǒng)一、流程優(yōu)化。隨著校園網(wǎng)基礎(chǔ)建設(shè)的加強(qiáng)及學(xué)校信息化程度的提高，學(xué)校最終將迎來科學(xué)管理和教學(xué)的新時(shí)代。

第三篇：校園網(wǎng)設(shè)計(jì)方案

方案1:

一個(gè)完整的校園網(wǎng)建設(shè)主要包括兩個(gè)內(nèi)容：技術(shù)方案設(shè)計(jì)；應(yīng)用信息系統(tǒng)資源建設(shè)。

技術(shù)方案設(shè)計(jì)主要包括：結(jié)構(gòu)化布線與設(shè)備選擇、網(wǎng)絡(luò)技術(shù)選型等；應(yīng)用信息系統(tǒng)資源建設(shè)主要包括：內(nèi)部信息資源建設(shè)、外部信息資源建設(shè)等。這里我們介紹網(wǎng)絡(luò)技術(shù)選型。

一、網(wǎng)絡(luò)技術(shù)選型設(shè)計(jì)

校園網(wǎng)絡(luò)系統(tǒng)基本可分為校園網(wǎng)絡(luò)中心、教學(xué)子網(wǎng)、辦公子網(wǎng)、圖書館子網(wǎng)、宿舍子網(wǎng)及后勤子網(wǎng)等。

1.校園網(wǎng)絡(luò)中心的設(shè)計(jì)

網(wǎng)絡(luò)中心設(shè)計(jì)主要包括主干網(wǎng)絡(luò)的設(shè)計(jì)、校園網(wǎng)與Internet的互連、遠(yuǎn)程訪問服務(wù)等。

(a)主干網(wǎng)絡(luò)的設(shè)計(jì)

主干網(wǎng)絡(luò)采用聯(lián)想新推出的LS－5608G智能型8聯(lián)機(jī)箱式千兆以太網(wǎng)交換機(jī)作為校園網(wǎng)的中心交換機(jī)，它提供8個(gè)插槽，可選插8聯(lián)的10/100Base－TX、2聯(lián)的100Base－FX或1聯(lián)的千兆以太網(wǎng)模塊。適用于大型主干網(wǎng)絡(luò)和高速率、高端口密度、多端口類型的復(fù)雜網(wǎng)絡(luò)。同時(shí)可以選擇MS－5103千兆位以太網(wǎng)模塊(SX/MM/850nm,0－350m)或MS－5104千兆以太網(wǎng)模塊(LX/SM/1310nm,0－6km)與下面的各個(gè)子網(wǎng)通過千兆位的鏈路相連。

(b)校園網(wǎng)與Internet的互連：

推薦采用局域網(wǎng)專線接入方式，此方式需要配備路由器等設(shè)備，租用專線DDN或幀中繼（Frame Relay），也可申請ISDN專線并向CERNET管理部門申請IP地址及注冊域名，以專線方式連入Internet，并提供防火墻、計(jì)費(fèi)管理等功能。

本方案選用聯(lián)想的LR－2501路由器，具有1個(gè)局域網(wǎng)(LAN)，2個(gè)廣域網(wǎng)(WAN)和1個(gè)控制臺(tái)。支持幀中繼(Frame－Relay)、X.25、PPP、HDLC協(xié)議。

(c)遠(yuǎn)程訪問服務(wù)

采用聯(lián)想LA－220和LA－240訪問服務(wù)器，安裝在本地局域網(wǎng)中，通過1至4個(gè)調(diào)制解調(diào)器(或ISD TA)和1至4根電話線，即可為遠(yuǎn)程訪問人員提供撥號(hào)上網(wǎng)服務(wù)，遠(yuǎn)程用戶只需擁有1個(gè)調(diào)制解調(diào)器和1根電話線，通過撥接LA－220或LA－240上所連接的電話號(hào)碼，就可以登錄訪問。

2.教學(xué)子網(wǎng)的設(shè)計(jì)

校園網(wǎng)建網(wǎng)的目的之一，是利用網(wǎng)絡(luò)實(shí)現(xiàn)多媒體教學(xué)，如：交互式多媒體課堂、電子閱覽室、教師培訓(xùn)等。多媒體教學(xué)的難點(diǎn)在于實(shí)現(xiàn)視頻信號(hào)的傳送(如VOD視頻點(diǎn)播)。目前在局域網(wǎng)上實(shí)時(shí)傳送高質(zhì)量的視頻數(shù)據(jù)還未成熟，但傳送壓縮后的視頻數(shù)據(jù)確是可行的。根據(jù)教學(xué)子網(wǎng)對速度要求較高的特點(diǎn)，可以采用了聯(lián)想LS－5625智能型24＋1和10/100M自適應(yīng)以太網(wǎng)交換機(jī)，它提供24個(gè)10/100M交換式端口和一個(gè)擴(kuò)展插槽，可選插1個(gè)8聯(lián)的10/100 Base－TX、1個(gè)2聯(lián)的100Base－FX或1個(gè)1聯(lián)的千兆以太網(wǎng)模塊。但實(shí)際上大量用戶(指超過60個(gè)流)的視頻傳輸?shù)钠款i在于存儲(chǔ)介質(zhì)的外部傳輸速率，因此可選用多通道的磁盤陣列接多臺(tái)主機(jī)的方式提高訪問的總線帶寬。

在教學(xué)子網(wǎng)的軟件方面，可選用的種類較多，如：聯(lián)想傳奇(ParaSago)、電子教室、海航的電子閱覽室、中教的課件制作系統(tǒng)等。

3辦公子網(wǎng)的設(shè)計(jì)

辦公子網(wǎng)主要面向?qū)W校的各級(jí)領(lǐng)導(dǎo)及各職能部門，能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)的查詢、修改、添加、刪除等操作，同時(shí)，應(yīng)該能夠滿足支持視頻傳送的要求。鑒于此，辦公子網(wǎng)采用了聯(lián)想LH－2627 24＋3的10/100M自適應(yīng)集線器或LH－2613 12＋1的10/100M自適應(yīng)集線器，這兩款集線器除具備普通雙速集線器功能外，還專門提供了交換式端口，能夠?yàn)檫B接在該端口上的設(shè)備提供獨(dú)享的10/100M帶寬，極大地提高數(shù)據(jù)傳輸速率，解決服務(wù)器瓶頸問題。

采用聯(lián)想LP－136 3聯(lián)10/100M以太網(wǎng)打印服務(wù)器，來完成共享打印功能。該服務(wù)器具有3個(gè)標(biāo)準(zhǔn)并聯(lián)，可同時(shí)連接三臺(tái)任意標(biāo)準(zhǔn)并聯(lián)打印機(jī)。

辦公子網(wǎng)對應(yīng)的軟件有科利華等公司研制開發(fā)的辦公軟件等。

4圖書館子網(wǎng)的設(shè)計(jì)

圖書館是一個(gè)相對獨(dú)立的系統(tǒng)，我們采用聯(lián)想LS－3016 16的10/100M自適應(yīng)以太網(wǎng)交換機(jī)，它提供了優(yōu)良的每端口性能價(jià)格比，并支持基于端口的VLAN劃分。

圖書館管理系統(tǒng)的應(yīng)用軟件產(chǎn)品較多而且相對成熟。

5宿舍區(qū)子網(wǎng)及后勤子網(wǎng)等的設(shè)計(jì)

宿舍區(qū)子網(wǎng)即在學(xué)生宿舍內(nèi)部連網(wǎng)，用以直接瀏覽學(xué)校發(fā)布的信息及查閱一些電子文檔資料；后勤子網(wǎng)覆蓋范圍較大，主要用途有食堂IC卡計(jì)費(fèi)系統(tǒng)等。由于宿舍區(qū)子網(wǎng)及后勤子網(wǎng)對帶寬的要求并不高，因此我們選用聯(lián)想LH－2016 16的10/100M自適應(yīng)集線器，提供16個(gè)雙速集線器端口，能夠自動(dòng)適應(yīng)所接設(shè)備的速度(10/100Mbps)，每臺(tái)LH－2016背面都有2個(gè)堆疊口、利用這兩個(gè)堆疊口最多可堆疊6臺(tái)集線器，最大可用端口數(shù)為96個(gè)。

綜上所述，通過聯(lián)想全系列網(wǎng)絡(luò)產(chǎn)品即可構(gòu)建一個(gè)完整、先進(jìn)、可靠的校園網(wǎng)絡(luò)硬件平臺(tái)，從而有利于校園網(wǎng)信息系統(tǒng)的使用、維護(hù)、擴(kuò)充、升級(jí)，并能有效利用投資。

二、內(nèi)部信息資源建設(shè)

內(nèi)部信息資源建設(shè)可分為以下幾個(gè)模塊：校長查詢、學(xué)生管理、課程管理、思教管理、教工管理、黨務(wù)管理、工資管理、財(cái)產(chǎn)管理、檔案管理、文件管理等，各模塊的功能在此不作贅述。

三、外部信息資源建設(shè)

外部信息資源建設(shè)應(yīng)包括以下幾個(gè)功能：Internet功能、遠(yuǎn)程訪問功能、電子郵件功能、以多媒體方式介紹學(xué)校的功能、討論和交流功能、信息發(fā)布功能。各項(xiàng)功能均可通過相應(yīng)的網(wǎng)絡(luò)信息平臺(tái)實(shí)現(xiàn)。在此亦不做詳細(xì)描述。

學(xué)校的網(wǎng)絡(luò)化建設(shè)必然會(huì)對學(xué)校的信息化建設(shè)起到巨大的推動(dòng)作用，同時(shí)提供簡單、有效、便捷的理想辦公、教學(xué)環(huán)境。校園網(wǎng)一方面縮短了學(xué)校與外界的距離；另一方面，構(gòu)建了以Intranet為基礎(chǔ)的管理信息系統(tǒng)，推動(dòng)了學(xué)校的信息化建設(shè)。隨著校園網(wǎng)建設(shè)的普及應(yīng)用，學(xué)校最終將迎來科學(xué)管理和教學(xué)的新時(shí)代

第四篇：校園網(wǎng)規(guī)劃設(shè)計(jì)方案

校園網(wǎng)規(guī)劃設(shè)計(jì)方案

校園網(wǎng)規(guī)劃設(shè)計(jì)方案

一、需求分析

福建兒童發(fā)展學(xué)院新校址設(shè)在福州市倉山區(qū)長安南路89號(hào)（原福建工程學(xué)院倉山校區(qū)），占地207畝，建筑面積8.8萬平方米，校園環(huán)境優(yōu)美宜人，擁有近50間多媒體教室、260多間標(biāo)準(zhǔn)琴房、6個(gè)舞蹈練功廳、1個(gè)影視制作中心、圖書館大樓、各專業(yè)實(shí)訓(xùn)中心、標(biāo)準(zhǔn)化的學(xué)生公寓，建有高速便捷的校園網(wǎng)絡(luò)，在全省各地建立了130個(gè)校外實(shí)習(xí)實(shí)訓(xùn)基地。

近年來，學(xué)校的教學(xué)和管理工作不斷向著信息處理計(jì)算機(jī)化、信息交流網(wǎng)絡(luò)化、信息管理數(shù)據(jù)庫化、信息服務(wù)電子化方向發(fā)展?！皩W(xué)習(xí)使用網(wǎng)絡(luò)，用網(wǎng)絡(luò)進(jìn)行學(xué)習(xí)” 已經(jīng)成為一種校園時(shí)尚。形象化、交互性的教學(xué)以及海量的教學(xué)資源，使計(jì)算機(jī)網(wǎng)絡(luò) 技術(shù)在學(xué)校管理和輔助教學(xué)、科研活動(dòng)中顯示出其獨(dú)特的優(yōu)勢，對于大學(xué)校園特別是 像福州軟件職業(yè)技術(shù)學(xué)院這樣以計(jì)算機(jī)系為主的高等院校，更加說明校園網(wǎng)絡(luò)的建設(shè) 勢在必行。

二、功能介紹

1.校園網(wǎng)在設(shè)計(jì)上應(yīng)具備以下特性才能夠滿足需求，并保證建成后的網(wǎng)絡(luò)在一個(gè) 較長的時(shí)間內(nèi)具有較強(qiáng)的可用性和一定的先進(jìn)性。

(1)高性能與技術(shù)先進(jìn)性

校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)要求具有較高的數(shù)據(jù)通信能力和較大的帶寬；并在主干網(wǎng)上提供 較強(qiáng)的可擴(kuò)展性。為了及時(shí)、迅速地處理網(wǎng)絡(luò)上傳送的數(shù)據(jù)，網(wǎng)絡(luò)應(yīng)有較高的網(wǎng)絡(luò)主干速度。

(2)高可靠性

網(wǎng)絡(luò)要求具有高可靠性，高穩(wěn)定性和足夠的冗余，提供拓?fù)浣Y(jié)構(gòu)及設(shè)備的冗余和 備份，為了防止局部故障引起整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓，要避免網(wǎng)絡(luò)出現(xiàn)單點(diǎn)失效。在網(wǎng) 絡(luò)骨干上要提供備份鏈路，提供冗余路由。在網(wǎng)絡(luò)設(shè)備上要提供冗余配置，設(shè)備在發(fā) 生故障時(shí)能以熱插拔的方式在最短時(shí)間內(nèi)進(jìn)行恢復(fù)，把故障對網(wǎng)絡(luò)系統(tǒng)的影響減少到 最小，避免由于網(wǎng)絡(luò)故障造成用戶損失。

(3)安全性

校園網(wǎng)作為一個(gè)支持眾多用戶、同時(shí)和 INTERNET/CERNET 存在連接的網(wǎng)絡(luò)，網(wǎng)絡(luò) 安全性在整個(gè)網(wǎng)絡(luò)中是個(gè)很重要的問題，應(yīng)該采用一定手段控制網(wǎng)絡(luò)的安全性，以保 證網(wǎng)絡(luò)正常運(yùn)行。網(wǎng)絡(luò)中應(yīng)采取多種技術(shù)從內(nèi)部和外部同時(shí)控制用戶對網(wǎng)絡(luò)資源的訪 問。網(wǎng)絡(luò)系統(tǒng)還應(yīng)具備高度的數(shù)據(jù)安全性和保密性，能夠防止非法侵入和信息泄漏。

(4)可管理性

強(qiáng)有力的網(wǎng)管軟件是有效地進(jìn)行網(wǎng)絡(luò)管理的助手，網(wǎng)管軟件應(yīng)能夠支持對網(wǎng)絡(luò)進(jìn) 行設(shè)備級(jí)和系統(tǒng)級(jí)的管理，并能支持通用瀏覽器進(jìn)行網(wǎng)絡(luò)設(shè)備的管理及配置。靈活的 設(shè)置每個(gè)用戶對 Internet 訪問功能，能夠?qū)γ總€(gè)用戶實(shí)行管理；并且能夠?qū)崿F(xiàn)計(jì)費(fèi)管理。

(5)層交換技術(shù)

通過三層交換技術(shù)，特別是基于硬件的第三層交換，可以充分地利用交換機(jī)的包 處理能力，實(shí)現(xiàn)真正的線速交換。

校園網(wǎng)規(guī)劃設(shè)計(jì)方案

2.主干網(wǎng)技術(shù)的選擇

主要選擇千兆（適合于高校）或百兆以太網(wǎng)技術(shù)來構(gòu)建校園網(wǎng)絡(luò)，對兩層結(jié)點(diǎn)和 桌面微機(jī)的接入也采用快速以太網(wǎng)，建立一個(gè)基于多層、全交換的虛擬園區(qū)網(wǎng)。

3.中心機(jī)房設(shè)計(jì)

(1)網(wǎng)管服務(wù)器：對校園網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行綜合管理。網(wǎng)絡(luò)管理是校園網(wǎng)必須考慮的 關(guān)鍵技術(shù)，這里的網(wǎng)絡(luò)管理主要指網(wǎng)絡(luò)設(shè)備及其系統(tǒng)的管理，它包括配置、性能、安全、故障管理等，網(wǎng)絡(luò)管理設(shè)計(jì)需要在配置每個(gè)網(wǎng)絡(luò)設(shè)備時(shí)，都選擇具有網(wǎng)絡(luò)管理代 理的、駐留有網(wǎng)絡(luò)管理協(xié)議的設(shè)備。網(wǎng)絡(luò)管理設(shè)計(jì)的另一方面，是配置一個(gè)網(wǎng)絡(luò)管理 中心，配置網(wǎng)絡(luò)管理平臺(tái)，在平臺(tái)上運(yùn)行管理每個(gè)網(wǎng)絡(luò)設(shè)備的應(yīng)用軟件。網(wǎng)管軟件應(yīng) 能夠支持對網(wǎng)絡(luò)進(jìn)行設(shè)備級(jí)和系統(tǒng)級(jí)的管理，并能支持通用瀏覽器進(jìn)行網(wǎng)絡(luò)設(shè)備的管 理及配置。

(2)WEB 服務(wù)器：提供 WEB 網(wǎng)站服務(wù)

(3)DNS、目錄服務(wù)器：提供域名解析以及目錄服務(wù)。建立 Intranet，其中一個(gè)必 不可少的組成部分就是 DNS（域名系統(tǒng)）。IP 地址和機(jī)器名稱的統(tǒng)一管理由 DNS（DomainNameSystem）來完成的。

(4)FTP、文件服務(wù)器：提供文件傳輸、共享服務(wù)。FTP 是 Internet 中一種廣泛使用 的服務(wù)，主要用來在兩臺(tái)機(jī)器之間（甚至是一同系統(tǒng)）傳輸文件。FTP 采用 C/S 模式，F(xiàn)TP 客戶軟件必須與遠(yuǎn)程 FTP 服務(wù)器建立連接并登錄后才能進(jìn)行文件傳輸。為了實(shí)現(xiàn) 有效的 FTP 連接和登錄，用戶必須在 FTP 服務(wù)器進(jìn)行注冊，建立帳號(hào)，擁有合法的用 戶名和口令。

(5)郵件服務(wù)器：提供郵件收發(fā)服務(wù)。為了作到 Intranet 內(nèi)部 Mail 系統(tǒng)同公共 InternetMail 系統(tǒng)的平滑對接，要求采用 Internet 公共標(biāo)準(zhǔn)的通用 MAIL 系統(tǒng)，在內(nèi)部 的 MAIL 系統(tǒng)同外部通信時(shí)需要一個(gè) Proxy 應(yīng)用作適當(dāng)?shù)霓D(zhuǎn)接服務(wù)，進(jìn)行相應(yīng)的地址 轉(zhuǎn)換工作。

(7)打印服務(wù)器：提供打印機(jī)共享服務(wù)。(8)實(shí)時(shí)通信服務(wù)器：提供實(shí)時(shí)通信服務(wù)。

(9)流媒體服務(wù)器：提供各種流媒體播放、點(diǎn)播服務(wù)。使得教師在上課的時(shí)候可以，誰時(shí)播放視頻，提高教學(xué)效果和增強(qiáng)學(xué)生的學(xué)習(xí)新趣。

(10)數(shù)據(jù)庫服務(wù)器：提供各種數(shù)據(jù)庫服務(wù)。具有教學(xué)要用的各種課件、試題等與 教學(xué)相關(guān)的資料。

4.可擴(kuò)展性

隨著應(yīng)用規(guī)模的不斷擴(kuò)大，要求網(wǎng)絡(luò)可以方便地?cái)U(kuò)充容量，支持更多的用戶及應(yīng) 用；隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)必須能夠平滑地過渡到新的技術(shù)和設(shè)備，保證現(xiàn) 有的投資。

5.多媒體技術(shù)應(yīng)用。

校園網(wǎng)要求具有數(shù)據(jù)、圖像、語音等多媒體實(shí)時(shí)通訊能力；并在主干網(wǎng)上提供足 夠的帶寬和可保證的服務(wù)質(zhì)量，滿足大量用戶對帶寬的基本需要，并保留一定的余量 供突發(fā)的數(shù)據(jù)傳輸使用，最大可能地降低網(wǎng)絡(luò)傳輸?shù)难舆t。整個(gè)網(wǎng)絡(luò)在服務(wù)質(zhì)量、預(yù) 留寬帶設(shè)置、合理進(jìn)行帶寬管理方面應(yīng)提供優(yōu)良的品質(zhì)。

校園網(wǎng)規(guī)劃設(shè)計(jì)方案

三、拓?fù)浣Y(jié)構(gòu)

方案設(shè)計(jì)者：劉紅紅

2011年5月29日

第五篇：校園網(wǎng)設(shè)計(jì)方案三

校園網(wǎng)絡(luò)設(shè)計(jì)方案

一、需求分析

校園網(wǎng)必須具備教學(xué)、管理和通訊三大功能。教師可以方便地瀏覽和查詢網(wǎng)上資源，進(jìn)行教學(xué)和科研工作；學(xué)生可以方便地瀏覽和查詢網(wǎng)上資源實(shí)現(xiàn)遠(yuǎn)程學(xué)習(xí)；通過網(wǎng)上學(xué)習(xí)學(xué)會(huì)信息處理能力。學(xué)校的管理人員可方便地對教務(wù)、行政事務(wù)、學(xué)生學(xué)籍、財(cái)務(wù)、資產(chǎn)等進(jìn)行綜合管理，同時(shí)可以實(shí)現(xiàn)各級(jí)管理層之間的信息數(shù)據(jù)交換，實(shí)現(xiàn)網(wǎng)上信息采集和處理的自動(dòng)化，實(shí)現(xiàn)信息和設(shè)備資源的共享，因此，校園網(wǎng)的建設(shè)必須有明確的建設(shè)目標(biāo)。校園網(wǎng)的總體設(shè)計(jì)原則是：

開放性：采用開放性的網(wǎng)絡(luò)體系，以方便網(wǎng)絡(luò)的升級(jí)、擴(kuò)展和互聯(lián)；同時(shí)在選擇服務(wù)器、網(wǎng)絡(luò)產(chǎn)品時(shí)，強(qiáng)調(diào)產(chǎn)品支持的網(wǎng)絡(luò)協(xié)議的國際標(biāo)準(zhǔn)化；

可擴(kuò)充性：從主干網(wǎng)絡(luò)設(shè)備的選型及其模塊、插槽個(gè)數(shù)、管理軟件和網(wǎng)絡(luò)整體結(jié)構(gòu)，以及技術(shù)的開放性和對相關(guān)協(xié)議的支持等方面，來保證網(wǎng)絡(luò)系統(tǒng)的可擴(kuò)充性；

可管理性：利用圖形化的管理界面和簡潔的操作方式，合理地網(wǎng)絡(luò)規(guī)劃策略，提供強(qiáng)大的網(wǎng)絡(luò)管理功能；使日常的維護(hù)和操作變得直觀，便捷和高效；

安全性：內(nèi)部網(wǎng)絡(luò)之間、內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)之間的互聯(lián)，利用VLAN/ELAN、防火墻等對訪問進(jìn)行控制，確保網(wǎng)絡(luò)的安全；

投資保護(hù)：選用性能價(jià)格比高的網(wǎng)絡(luò)設(shè)備和服務(wù)器；采用的網(wǎng)絡(luò)架構(gòu)和設(shè)備充分考慮到易升級(jí)換代，并且在升級(jí)時(shí)可以最大限度地保護(hù)原有的硬件設(shè)備和軟件投資；

易用性：應(yīng)用軟件系統(tǒng)必須強(qiáng)調(diào)易用性，用戶界友好，帶有幫助和查詢功能，用戶可以通過Web查詢。

二、方案設(shè)計(jì)圖

http://images22.51.com/6000/jiangwx123/f1ce9ec9e0cd8b0f32d82146eb81b3ff.jpg

三、方案內(nèi)容

（一）、校園網(wǎng)的組網(wǎng)技術(shù)一般有以下選擇： 主干網(wǎng)技術(shù)的選擇

主要選擇千兆（適合于高校）或百兆以太網(wǎng)技術(shù)來構(gòu)建校園網(wǎng)絡(luò)，對兩層結(jié)點(diǎn)和桌面微機(jī)的接入也采用快速以太網(wǎng)，建立一個(gè)基于多層、全交換的虛擬園區(qū)網(wǎng)。

校園網(wǎng)在設(shè)計(jì)上應(yīng)具備以下特性才能夠滿足需求，并保證建成后的網(wǎng)絡(luò)在一個(gè)較長的時(shí)間內(nèi)具有較強(qiáng)的可用性和一定的先進(jìn)性。

1、高性能與技術(shù)先進(jìn)性

校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)要求具有較高的數(shù)據(jù)通信能力和較大的帶寬；并在主干網(wǎng)上提供較強(qiáng)的可擴(kuò)展性。為了及時(shí)、迅速地處理網(wǎng)絡(luò)上傳送的數(shù)據(jù)，網(wǎng)絡(luò)應(yīng)有較高的網(wǎng)絡(luò)主干速度。

2、高可靠性

網(wǎng)絡(luò)要求具有高可靠性，高穩(wěn)定性和足夠的冗余，提供拓?fù)浣Y(jié)構(gòu)及設(shè)備的冗余和備份，為了防止局部故障引起整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓，要避免網(wǎng)絡(luò)出現(xiàn)單點(diǎn)失效。在網(wǎng)絡(luò)骨干上要提供備份鏈路，提供冗余路由。在網(wǎng)絡(luò)設(shè)備上要提供冗余配置，設(shè)備在發(fā)生故障時(shí)能以熱插拔的方式在最短時(shí)間內(nèi)進(jìn)行恢復(fù)，把故障對網(wǎng)絡(luò)系統(tǒng)的影響減少到最小，避免由于網(wǎng)絡(luò)故障造成用戶損失；

3、安全性

校園網(wǎng)作為一個(gè)支持眾多用戶、同時(shí)和INTERNET/CERNET存在連接的網(wǎng)絡(luò)，網(wǎng)絡(luò)安全性在整個(gè)網(wǎng)絡(luò)中是個(gè)很重要的問題，應(yīng)該采用一定手段控制網(wǎng)絡(luò)的安全性，以保證網(wǎng)絡(luò)正常運(yùn)行。網(wǎng)絡(luò)中應(yīng)采取多種技術(shù)從內(nèi)部和外部同時(shí)控制用戶對網(wǎng)絡(luò)資源的訪問。網(wǎng)絡(luò)系統(tǒng)還應(yīng)具備高度的數(shù)據(jù)安全性和保密性，能夠防止非法侵入和信息泄漏。

4、可管理性

強(qiáng)有力的網(wǎng)管軟件是有效地進(jìn)行網(wǎng)絡(luò)管理的助手，網(wǎng)管軟件應(yīng)能夠支持對網(wǎng)絡(luò)進(jìn)行設(shè)備級(jí)和系統(tǒng)級(jí)的管理，并能支持通用瀏覽器進(jìn)行網(wǎng)絡(luò)設(shè)備的管理及配置。靈活的設(shè)置每個(gè)用戶對Internet訪問功能，能夠?qū)γ總€(gè)用戶實(shí)行管理；并且能夠?qū)崿F(xiàn)計(jì)費(fèi)管理。

5、可擴(kuò)充性

隨著應(yīng)用規(guī)模的不斷擴(kuò)大，要求網(wǎng)絡(luò)可以方便地?cái)U(kuò)充容量，支持更多的用戶及應(yīng)用；隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)必須能夠平滑地過渡到新的技術(shù)和設(shè)備，保證現(xiàn)有的投資。

6、VLAN劃分

根據(jù)校園網(wǎng)的實(shí)際需求，屬于同一部門的工作人員可能在不同的建筑物中，但需要在一個(gè)邏輯子網(wǎng)內(nèi)。網(wǎng)絡(luò)站點(diǎn)的增減，人員的變動(dòng)，無論從網(wǎng)絡(luò)管理，還是用戶的角度來講，都需要虛擬網(wǎng)技術(shù)的支持。因此在網(wǎng)絡(luò)主干中要支持三層交換及VLAN劃分。在整個(gè)網(wǎng)絡(luò)中使用虛擬網(wǎng)技術(shù)，以提高網(wǎng)絡(luò)的安全性和靈活性。

7、多層交換技術(shù)

通過三層交換技術(shù)，特別是基于硬件的第三層交換，可以充分地利用交換機(jī)的包處理能力，實(shí)現(xiàn)真正的線速交換。

8、對多媒體應(yīng)用的支持 校園網(wǎng)要求具有數(shù)據(jù)、圖像、語音等多媒體實(shí)時(shí)通訊能力；并在主干網(wǎng)上提供足夠的帶寬和可保證的服務(wù)質(zhì)量，滿足大量用戶對帶寬的基本需要，并保留一定的余量供突發(fā)的數(shù)據(jù)傳輸使用，最大可能地降低網(wǎng)絡(luò)傳輸?shù)难舆t。整個(gè)網(wǎng)絡(luò)在服務(wù)質(zhì)量、預(yù)留寬帶設(shè)置、合理進(jìn)行帶寬管理方面應(yīng)提供優(yōu)良的品質(zhì)。

（二）、中心機(jī)房設(shè)計(jì)

1、網(wǎng)管服務(wù)器：對校園網(wǎng)網(wǎng)絡(luò)設(shè)備進(jìn)行綜合管理。網(wǎng)絡(luò)管理是校園網(wǎng)必須考慮的關(guān)鍵技術(shù)，這里的網(wǎng)絡(luò)管理主要指網(wǎng)絡(luò)設(shè)備及其系統(tǒng)的管理，它包括配置、性能、安全、故障管理等，網(wǎng)絡(luò)管理設(shè)計(jì)需要在配置每個(gè)網(wǎng)絡(luò)設(shè)備時(shí)，都選擇具有網(wǎng)絡(luò)管理代理的、駐留有網(wǎng)絡(luò)管理協(xié)議的設(shè)備。網(wǎng)絡(luò)管理設(shè)計(jì)的另一方面，是配置一個(gè)網(wǎng)絡(luò)管理中心，配置網(wǎng)絡(luò)管理平臺(tái)，在平臺(tái)上運(yùn)行管理每個(gè)網(wǎng)絡(luò)設(shè)備的應(yīng)用軟件。網(wǎng)管軟件應(yīng)能夠支持對網(wǎng)絡(luò)進(jìn)行設(shè)備級(jí)和系統(tǒng)級(jí)的管理，并能支持通用瀏覽器進(jìn)行網(wǎng)絡(luò)設(shè)備的管理及配置。

2、WEB服務(wù)器：提供WEB網(wǎng)站服務(wù)。

3、DNS、目錄服務(wù)器：提供域名解析以及目錄服務(wù)。建立Intranet，其中一個(gè)必不可少的組成部分就是DNS（域名系統(tǒng)）。IP地址和機(jī)器名稱的統(tǒng)一管理由DNS（DomainNameSystem）來完成的。

4、FTP、文件服務(wù)器：提供文件傳輸、共享服務(wù)。FTP是Internet中一種廣泛使用的服務(wù)，主要用來在兩臺(tái)機(jī)器之間（甚至是一同系統(tǒng)）傳輸文件。FTP采用C/S模式，F(xiàn)TP客戶軟件必須與遠(yuǎn)程FTP服務(wù)器建立連接并登錄后才能進(jìn)行文件傳輸。為了實(shí)現(xiàn)有效的FTP連接和登錄，用戶必須在FTP服務(wù)器進(jìn)行注冊，建立帳號(hào)，擁有合法的用戶名和口令。

5、郵件服務(wù)器：提供郵件收發(fā)服務(wù)。為了作到Intranet內(nèi)部Mail系統(tǒng)同公共InternetMail系統(tǒng)的平滑對接，要求采用Internet公共標(biāo)準(zhǔn)的通用MAIL系統(tǒng)，在內(nèi)部的MAIL系統(tǒng)同外部通信時(shí)需要一個(gè)Proxy應(yīng)用作適當(dāng)?shù)霓D(zhuǎn)接服務(wù)，進(jìn)行相應(yīng)的地址轉(zhuǎn)換工作。

6、Proxy服務(wù)器：代理服務(wù)器是作為內(nèi)部私有網(wǎng)絡(luò)和INTERNET之間的一個(gè)網(wǎng)關(guān)。通過代理方式，首先可以大大降低網(wǎng)絡(luò)使用費(fèi)，另外代理可以保護(hù)局域網(wǎng)的安全，起到防火墻的作用。

7、打印服務(wù)器：提供打印機(jī)共享服務(wù)。

8、實(shí)時(shí)通信服務(wù)器：提供實(shí)時(shí)通信服務(wù)。

9、流媒體服務(wù)器：提供各種流媒體播放、點(diǎn)播服務(wù)。使得教師在上課的時(shí)候可以隨時(shí)播放視頻，提高教學(xué)效果和增強(qiáng)學(xué)生的學(xué)習(xí)新趣。

10、數(shù)據(jù)庫服務(wù)器：提供各種數(shù)據(jù)庫服務(wù)。具有教學(xué)要用的各種課件、試題等與教學(xué)相關(guān)的資料。

（三）、多媒體教室

1、多媒體教室基本組成

多媒體教室由多媒體計(jì)算機(jī)、液晶投影機(jī)、數(shù)字視頻展示臺(tái)、中央控制系統(tǒng)、投影屏幕、音響設(shè)備等多種現(xiàn)代教學(xué)設(shè)備組成。

(1).多媒體液晶投影機(jī)

是整個(gè)多媒體演示教室中最重要的也是最昂貴的設(shè)備，它連接著計(jì)算機(jī)系統(tǒng)、所有視頻輸出系統(tǒng)及數(shù)字視頻展示臺(tái)，把視頻、數(shù)字信號(hào)輸出顯現(xiàn)在大屏幕上。

(2).數(shù)字視頻展示臺(tái)

可以進(jìn)行實(shí)物、照片、圖書資料的投影，是一種非常實(shí)用的設(shè)備。(3).多媒體計(jì)算機(jī)

是演示系統(tǒng)的核心，教學(xué)軟件都要由它運(yùn)行，而且在很大程度上決定演示效果的好壞。

(4).中央控制系統(tǒng)。

中央控制系統(tǒng)用系統(tǒng)集成的方法，把整個(gè)多媒體演示教室的設(shè)備操作集成在一個(gè)平臺(tái)上，所有設(shè)備的操作均可在這個(gè)平臺(tái)上完成。

(5).投影屏幕。

用于和投影機(jī)配套使用。2.多媒體教室的教學(xué)功能 課堂演示教學(xué)

教師在課堂中利用多媒體系統(tǒng)將教學(xué)內(nèi)容直接投影在大屏幕上，并對教學(xué)內(nèi)容進(jìn)行講解。運(yùn)用這種方法傳遞信息比較直觀、明了，可以從視聽方面刺激學(xué)生的感官，提高學(xué)生學(xué)習(xí)興趣，增強(qiáng)學(xué)生觀察問題、理解問題和分析問題的能力，從而提高教學(xué)質(zhì)量和教學(xué)效率。

模擬教學(xué)

多媒體技術(shù)可以把聲音、圖像、動(dòng)畫等有機(jī)結(jié)合起來，模擬宏觀世界的現(xiàn)實(shí)場景和微觀世界的事物運(yùn)動(dòng)，以幫助學(xué)生學(xué)習(xí)和理解一些抽象的原理和概念。隨著計(jì)算機(jī)技術(shù)的發(fā)展，出現(xiàn)了“虛擬現(xiàn)實(shí)”技術(shù)，它是通過計(jì)算機(jī)產(chǎn)生一種仿真的環(huán)境，在這個(gè)環(huán)境中，學(xué)生可以作為一個(gè)實(shí)際操作者進(jìn)行各種學(xué)習(xí)和操作，計(jì)算機(jī)可做出反應(yīng)和判斷。模擬教學(xué)的設(shè)備系統(tǒng)主要有計(jì)算機(jī)、服務(wù)器和網(wǎng)絡(luò)設(shè)備。是整個(gè)多媒體演示教室中最重要的也是最昂貴的設(shè)備，它連接著計(jì)算機(jī)系統(tǒng)、所有視頻輸出系統(tǒng)及數(shù)字視頻展示臺(tái)，把視頻、數(shù)字信號(hào)輸出顯現(xiàn)在大屏幕上。

(2)數(shù)字視頻展示臺(tái)

可以進(jìn)行實(shí)物、照片、圖書資料的投影，是一種非常實(shí)用的設(shè)備。(3)多媒體計(jì)算機(jī)

是演示系統(tǒng)的核心，教學(xué)軟件都要由它運(yùn)行，而且在很大程度上決定演示效果的好壞。

(4)中央控制系統(tǒng)。

中央控制系統(tǒng)用系統(tǒng)集成的方法，把整個(gè)多媒體演示教室的設(shè)備操作集成在一個(gè)平臺(tái)上，所有設(shè)備的操作均可在這個(gè)平臺(tái)上完成。

(5)投影屏幕。

用于和投影機(jī)配套使用。

2、多媒體教室的教學(xué)功能 課堂演示教學(xué)

教師在課堂中利用多媒體系統(tǒng)將教學(xué)內(nèi)容直接投影在大屏幕上，并對教學(xué)內(nèi)容進(jìn)行講解。運(yùn)用這種方法傳遞信息比較直觀、明了，可以從視聽方面刺激學(xué)生的感官，提高學(xué)生學(xué)習(xí)興趣，增強(qiáng)學(xué)生觀察問題、理解問題和分析問題的能力，從而提高教學(xué)質(zhì)量和教學(xué)效率。

模擬教學(xué)

多媒體技術(shù)可以把聲音、圖像、動(dòng)畫等有機(jī)結(jié)合起來，模擬宏觀世界的現(xiàn)實(shí)場景和微觀世界的事物運(yùn)動(dòng)，以幫助學(xué)生學(xué)習(xí)和理解一些抽象的原理和概念。隨著計(jì)算機(jī)技術(shù)的發(fā)展，出現(xiàn)了“虛擬現(xiàn)實(shí)”技術(shù)，它是通過計(jì)算機(jī)產(chǎn)生一種仿真的環(huán)境，在這個(gè)環(huán)境中，學(xué)生可以作為一個(gè)實(shí)際操作者進(jìn)行各種學(xué)習(xí)和操作，計(jì)算機(jī)可做出反應(yīng)和判斷。模擬教學(xué)的設(shè)備系統(tǒng)主要有計(jì)算機(jī)、服務(wù)器和網(wǎng)絡(luò)設(shè)備。

（四）、電子閱覽室

電子閱覽室就是為學(xué)生提供上網(wǎng)的地方,里面有一些數(shù)據(jù)庫,為學(xué)生查資料提供查找資料的場所!有一些國外的數(shù)據(jù)庫。設(shè)置兩個(gè)電子閱覽室，每個(gè)閱覽室有二十臺(tái)電腦。

（五）、辦公室

每個(gè)辦公室六臺(tái)電腦，共二十個(gè)辦公室，總共120臺(tái)電腦。

（六）、多功能廳

1、系統(tǒng)概述

多功能廳以其功能的多樣性（如：會(huì)議廳，視頻會(huì)議廳，報(bào)告廳，學(xué)術(shù)討論廳，培訓(xùn)廳等），特別適合我國國情需要，并在這幾年的時(shí)間得到迅速普及應(yīng)用。在初期的建設(shè)投入上可能要高於單一功能的投資建設(shè)，并且從技術(shù)的角度上來看，對系統(tǒng)在設(shè)計(jì)和施工上都有一定的技術(shù)復(fù)雜度，尤其對用戶方的使用也有一定的技術(shù)要求，這就需要一種技術(shù)來綜合管理不同功能的A/V設(shè)備使其相互協(xié)調(diào)的工作，這種技術(shù)就是中央控制技術(shù)。

2、用戶需求

整個(gè)系統(tǒng)要高效率的完成教學(xué)任務(wù)，結(jié)合各個(gè)系統(tǒng)，充分發(fā)揮各個(gè)系統(tǒng)的功能，實(shí)現(xiàn)現(xiàn)代化的會(huì)議、教學(xué)、培訓(xùn)、學(xué)術(shù)討論。

（1）多媒體顯示系統(tǒng)：

多媒體顯示系統(tǒng)由高亮度、高分辨率的液晶投影機(jī)和電動(dòng)屏幕構(gòu)成；完成對各種圖文信息的大屏幕顯示。由於房間面積較大，為了各個(gè)位置的人都能夠更清楚的觀看，整個(gè)系統(tǒng)設(shè)計(jì)了2套投影機(jī)顯示系統(tǒng)。

（2）A/V系統(tǒng)：

A/V系統(tǒng)由4臺(tái)計(jì)算機(jī)、攝像機(jī)、DVD、VCR（錄像機(jī)）、MD機(jī)、實(shí)物展臺(tái)、調(diào)音臺(tái)、話筒、功放、音箱、數(shù)字硬碟錄像機(jī)等A/V設(shè)備構(gòu)成。

完成對各種圖文信息（包括各種軟體的使用、DVD/CD碟片、錄像帶、各種實(shí)物、聲音）的播放功能；實(shí)現(xiàn)多功能廳的現(xiàn)場擴(kuò)音、播音，配合大屏幕投影系統(tǒng)，提供優(yōu)良的視聽效果。并且通過數(shù)字硬碟錄像機(jī)，能夠?qū)⒄麄€(gè)過程記錄在硬盤錄像機(jī)中。

（3）房間環(huán)境系統(tǒng)：

房間環(huán)境系統(tǒng)由房間的燈光（包括白熾燈、日光燈）、窗簾等設(shè)備構(gòu)成；完成對整個(gè)房間環(huán)境、氣氛的改變，以自動(dòng)適應(yīng)當(dāng)前的需要；譬如播放DVD時(shí)，燈光會(huì)自動(dòng)變暗，窗簾自動(dòng)關(guān)閉。

（4）智能型多媒體中央控制系統(tǒng)：

采用目前技術(shù)最成熟、功能最齊全，用途最廣的中央控制系統(tǒng)，實(shí)現(xiàn)多媒體電教室各種電子設(shè)備的集中控制。要求操作簡單、人性化、智能化；要求整個(gè)系統(tǒng)可靠性高；盡量多的體現(xiàn)出各種設(shè)備的卓越功能，讓所有設(shè)備工作在最佳狀態(tài)，發(fā)揮設(shè)備的最大功效；為完善操作人員的系統(tǒng)工作，要求能夠?qū)崿F(xiàn)計(jì)算機(jī)網(wǎng)路控制功能，完成遠(yuǎn)端監(jiān)視、遠(yuǎn)端同步控制、遠(yuǎn)端維護(hù)等等功能能夠控制DVD、錄像機(jī)、MD進(jìn)行播放、停止、暫停等功能；能夠控制投影機(jī)，進(jìn)行開/關(guān)機(jī)、輸入切換等功能，并能夠控制電動(dòng)吊架、屏幕，實(shí)現(xiàn)上升、停止、下降等功能；能夠控制實(shí)物展臺(tái)進(jìn)行放大、縮小等功能；能夠控制音量，進(jìn)行音量大小的調(diào)節(jié)功能；能夠控制A/V榘陣、VGA榘陣，實(shí)現(xiàn)音視頻、VGA信號(hào)自動(dòng)切換控制功能；能夠控制房間的燈光和窗簾，自動(dòng)適應(yīng)當(dāng)前的需要；

（七）、遠(yuǎn)程訪問

遠(yuǎn)程訪問服務(wù)是校園網(wǎng)絡(luò)必須提供的服務(wù)之一。它可以家庭辦公用戶和出差在外的員工提供遠(yuǎn)程、移動(dòng)接入服務(wù)。

遠(yuǎn)程訪問有三種可選的服務(wù)類型：專線連接、電路交換和包交換。

四、系統(tǒng)測試

1、對管理IP地址的測試。

2、對相同VLAN內(nèi)的同信進(jìn)行測試。

3、對不同VLAN內(nèi)的通信進(jìn)行測試。

4、對冗余鏈路的工作狀態(tài)進(jìn)行測試。

5、對廣域網(wǎng)接入路由器上的NAT進(jìn)行測試。

6、對遠(yuǎn)程訪問服務(wù)進(jìn)行測試。

7、對服務(wù)器提供服務(wù)進(jìn)行測試。