校园局域网的组建.docx

1、校园局域网的组建校园网的建设与应用，极大地丰富和完善了教育资源，拓宽了学生获取知识的渠道，改善了教学效果，提高了学校的现代化管理水平，促进了教育的社会化，因此，如何进一步搞好校园网的建设，充分发挥校园网的作用，组建高性能，低成本的校园网，是各个高校正在探索和思考的问题。简单来说，对于校园网：丰富的应用是关键，而稳定可靠的网络是基础，完善的安全和管理手段是保障。为了提高IP地址的使用效率，引入了子网的概念。将一个网络划分为子网：采用借位的方式，从主机位最高位开始借位变为新的子网位，所剩余的部分则仍为主机位。这使得IP地址的结构分为三级地址结构：网络位、子网位和主机位。这种层次结构便于IP地址分配

2、和管理。它的使用关键在于选择合适的层次结构-如何既能适应各种现实的物理网络规模，又能充分地利用IP地址空间。子网的划分主要是根据子网掩码来区分的，掩码的作用就是用来告诉电脑把“大网”划分为多少个“小网”，以及每个子网中的主机数目。如表-1所示，学校子网的划分。表-1 学校子网的划分表序号子网名称包含的信息点1学生公寓子网学生公寓区所有的计算机2教师公寓子网教师公寓区所有的计算机3行政区子网行政区所有的计算机4图书馆子网图书馆区所有的计算机5教学区子网教学区所有的计算机6办公区子网办公区所有的计算机7服务器群子网该区所有的计算机8无线网络子网该区所有的计算机1 学校VLAN需求划分VLAN（Vi

3、rtual Local Area Network）称为虚拟局域网，是指在逻辑上将物理的LAN分成不同小的逻辑子网，每一个逻辑子网就是一个单独的播域。简单地说，就是将一个大的物理的局域网（LAN）在交换机上通过软件划分成若干个小的虚拟的局域网（VLAN）。因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址，以便在交换机内部的MAC数据库建立MAC地址表，而广播不能跨越不同网段。通过划分VLAN子网，能划小了广播域，避免了数据碰撞在大的物理LAN内产生严重后果的可能，也避免了广播风暴的产生。提高交换网络的交换效率，保证网络稳定。提高网络安全性，通过划分VLAN，LAN被划分不同子网段

4、，因此不能直接通信。必要的通信必须经过路由来实现，因此可在路由器（或三层交换机）上配置访问列表来进行跨子网段的授权访问，从而提高校园内部网络访问的安全性。方便网络管理：采用VLAN技术来划分校园网络，一个VLAN可以根据不同的院系、办公室或者服务器组将不同地理位置的工作站划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在子网之间移动，VLAN提供了网段和机构的弹性组合机制。VLAN技术很好的解决了网络管理的问题，能实现网络监督与管理的自动化，从而更有效的进行网络监控。如表-2所示，该学校校园网络Vlan的划分及IP的分配。表-2 学校vlan的划分及IP的分配表序号子网名称网

5、段IP网关IP备注1学生公寓子网1721600/161721621Vlan 22教师公寓子网1721700/161721731Vlan 33行政区子网19216840/2419216841Vlan 44图书馆子网19216870/2419216871Vlan 75教学区子网1721800/161721861Vlan 66办公区子网19216850/2419216851Vlan 57服务器群子网19216880/2419216881Vlan 88无线网子网19216800/2419216801Vlan 92 校园网布线工程分析因为以上的需求特点和信息点分布，结合学校的实际情况总结得到如图-1所示

6、：图-1 学校信息点的分布图3.1.1 交换机的选择交换机分为二层交换机和三层交换机两种类型，其中二层交换机的工作原理是：（1）当交换机从某个端口收到一个数据包，它先读取包头中的源MAC地址，这样它就知道源MAC地址的机器是连在哪个端口上的； （2）再去读取包头中的目的MAC地址，并在地址表中查找相应的端口；（3）如表中有与这目的MAC地址对应的端口，把数据包直接复制到这端口上；（4）如表中找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机器回应时，交换机又可以学习一目的MAC地址与哪个端口对应，在下次传送数据时就不再需要对所有端口进行广播了。不断的循环这个过程，对于全网的MAC地址

7、信息都可以学习到，二层交换机就是这样建立和维护它自己的地址表。可以看出二层交换机没有路由功能，当不同的子网进行通信是要借助路由器实现数据包的转发，所以当子网数量较多时，路由器的接口数量就成了一个瓶颈，而三层交换机就能解决这一缺点。三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，加入路由功能也是为这个目的服务的。因此具有路由功能的快速转发的三层交换机就成为首选。我们选择 CISCO 3560-24PS作为核心层交换机，这个设备有26个端口，其中有两个端口支持1Gbps的带宽，选择CISCO 2950-24二层交换机作为接入层交换机，这个设备有24个接口，能够实现10M/100M自

8、适应到桌面的功能，而且，这两款交换机都支持vlan功能。3.1.2 核心层交换机的说明配置核心层的功能主要是实现骨干网络之间的优化传输,核心层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在核心层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心交换机采用两个三层交换机，该校园网分为7个vlan，vlan2、vlan3、vlan4分别接在核心交换机一的f0/1 、f0/2、 f0/3接口，vlan5、vlan6、vlan7、vlan8、vlan9分别接在核心交换机二的f0/1 、f0/2、 f0/3、f0/4接

9、口。（1）基于端口vlan的划分这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。在核心交换

10、机上的配置如下：sw0(config)#int f 0/1sw0(config-if)#switchport mode trunksw0(config-if)#switchport access vlan 2sw0(config)#int f 0/2sw0(config-if)#switchport mode trunksw0(config-if)#switchport access vlan 3sw0(config)#int f 0/3sw0(config-if)#switchport mode trunksw0(config-if)#switchport access vlan 4sw1(

11、config)#int f 0/1sw1(config-if)#switchport mode trunksw1(config-if)#switchport access vlan 5sw1(config)#int f 0/2sw1(config-if)#switchport mode trunksw1(config-if)#switchport access vlan 6sw1(config)#int f 0/3sw1(config-if)#switchport mode trunksw1(config-if)#switchport access vlan 7sw1(config)#int

12、f 0/4sw1(config-if)#switchport mode trunksw1(config-if)#switchport access vlan 8sw1(config)#int f 0/5sw1(config-if)#switchport access vlan 9（2）配置VLAN的各各接口的地址sw0(config)#int vlan 2sw0(config-if)#ip add 172.16.2.1 255.255.0.0sw0(config-if)#no shutdownsw0(config-if)#exitsw0(config)#int vlan 3sw0(config

13、-if)#ip add 172.17.3.1 255.255.0.0sw0(config-if)#no shutdownsw0(config-if)#exitsw0(config)#int vlan 4sw0(config-if)#ip add 192.168.4.1 255.255.255.0sw0(config-if)#no shutdownsw1(config)#int vlan 5sw1(config-if)#ip add 192.168.5.1 255.255.255.0sw1(config-if)#no shutdownsw1(config-if)#exitsw1(config)#

14、int vlan 6sw1(config-if)#ip add 172.18.6.1 255.255.0.0sw1(config-if)#no shutdownsw1(config-if)#exitsw1(config)#int vlan 7sw1(config-if)#ip add 192.168.7.1 255.255.255.0sw1(config-if)#no shutsw1(config-if)#exitsw1(config)#int vlan 8sw1(config-if)#ip add 192.168.8.1 255.255.255.0sw1(config-if)#no shut

15、sw1(config)#int vlan 9sw1(config-if)#ip add 192.168.9.1 255.255.255.0sw1(config-if)#no shut(3)端口聚合提供冗余备份链路，端口聚合又称链路聚合，是指两台交换机之间在物理上将多个端口连接起来，将多条链路聚合成一条逻辑链路。从而增大链路带宽，解决交换网络中因带宽引起的网络瓶颈问题。多条物理链路之间能够相互冗余备份，其中任意一条链路断开，不会影响其他链路的正常转发数据。该核心交换机采用的是两条，具体配置如下：Switch(config)#inter port-channel 1 Switch(config-i

16、f)#no switchport Switch(config-if)#no shutdown Switch(config-if)#ip address 172.19.0.1 255.255.0.0Switch(config)#inter gig0/1Switch(config-if)#channel-gSwitch(config-if)#channel-group 1 m onSwitch(config)#inter gig0/2Switch(config-if)#channel-group 1 m on(4)两个三层核心交换机之间的RIP路由协议，具体配置代码如下：sw0(config)#r

17、outer ripsw0(config-router)#network 172.16.0.0sw0(config-router)#network 172.17.0.0sw0(config-router)#network 172.19.0.0sw0(config-router)#network 172.20.0.0sw0(config-router)#network 192.168.4.0sw0(config-router)#version 2sw0(config-router)#no auto-summarysw1(config)#router ripsw1(config-router)#ne

18、twork 192.168.0.0sw1(config-router)#network 192.168.5.0sw1(config-router)#network 192.168.6.0sw1(config-router)#network 172.18.0.0sw1(config-router)#network 172.19.0.0sw1(config-router)#network 192.168.7.0sw1(config-router)#network 192.168.8.0sw1(config-router)#version 2sw1(config-router)#no auto-su

19、mmary3.1.3 汇聚层交换机的说明配置分布层提供基于统一策略的互连性，它是核心层和访问层的分界点，定义了网络的边界，对数据包进行复杂的运算。在园区网络环境中，分布层主要提供如下功能：1)地址的聚集 2)部门和工作组的接入 3)广播域/多目传输域的定义 4)Inter VLAN路由 5)介质的转换 6)安全控制当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（Vlan Trunking Protocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强

20、度。将分布层交换机学生公寓区的交换机设置成为VTP服务器，其他交换机设置成为VTP客户机。(1)访问层交换机学生公寓区的交换机作为服务器的配置如下：s4#vlan databases4(vlan)#vtp domain dongs4(vlan)#vlan 2s4(vlan)#vlan 3s4(vlan)#vlan 4s4(vlan)#vlan 5s4(vlan)#vlan 6s4(vlan)#vlan 7s4(vlan)#vlan 8s4(vlan)#vlan 9s4(vlan)#vtp server(2)trunk端口在最普遍的路由与交换领域，VLAN的端口聚合也有的叫TRUNK，不过大多数

21、都叫TRUNKING ，如CISCO公司。所谓的TRUNKING是用来在不同的交换机之间进行连接，以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。其中交换机之间互联用的端口就称为TRUNK端口。与一般的交换机的级联不同，TRUNKING是基于OSI第二层数据链路层（DataLinkLayer)RUNKING技术，如果你在2个交换机上分别划分了多个VLAN（VLAN也是基于Layer2的），那么分别在两个交换机上的VLAN10和VLAN20的各自的成员如果要互通，就需要在A交换机上设为VLAN10的端口中取一个和交换机B上设为VLAN10的某个端口作级联连接。VLAN20也是这样

22、。那么如果交换机上划了10个VLAN就需要分别连10条线作级联，端口效率就太低了。 当交换机支持TRUNKING的时候，事情就简单了，只需要2个交换机之间有一条级联线，并将对应的端口设置为Trunk，这条线路就可以承载交换机上所有VLAN的信息。这样的话，就算交换机上设了上百个个VLAN也只用1个端口就解决了。如果是不同台的交换机上相同id的vlan要相互通信，那么可以通过共享的trunk端口就可以实现，如果是同一台上不同id的vlan/不同台不同id的vlan它们之间要相互通信，需要通过第三方的路由来实现。该层对学生公寓区交换机trunk配置如下：s4(config)#int f 0/1s4

23、(config-if)#switchport mode trunks4(config)#int f 0/2s4(config-if)#switchport mode trunks4(config)#int f 0/3s4(config-if)#switchport mode trunks4(config)#int f 0/4s4(config-if)#switchport mode trunk3.1.4 接入层交换机的说明配置接入层是最终用户(教师、学生) 与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维护。另外，通过VTP的设置，我们可以更好的将汇聚层的vlan信息导入到接入

24、层，只需要将不同的端口加入不同的vlan，就能够是机器之间通信。在该层的一个交换机上的配置如下:!进入vtp数据库Switch#vlan datadase!设置vtp域名Switch(vlan)#vtp domain dong!设置vtp模式Switch(vlan)#vtp clientSwitch(vlan)#exitSwitch#configgure terminal!配置接口F0/1为中继接口Switch(config-if)#int f0/1!设置为trun模式Switch(config-if)#switchport mode trunk3.2 管理路由器的访问方式路由器的管理方式可分

25、为两种:带内管理和带外管理。通过路由器的Console口管理交换机属于带外管理，不占用交换机的网络接口，特点是线缆特殊，需要近距离配置。telnet指路由器的网络接口，连接到网络中的某台主机。利用这台主机进行远程管理和配置，特点是网管可以进行远程控制。配置路由器远程登录密码，代码如下：Router(config)#line vty 0 4Router(config-line)#password dongRouter(config-line)#login配置路由器特权模式密码：Router(config)#enable password dong3.2.2无线路由考虑到学校无线网络可能要连接室外

26、的信息点，以实现全面有效的网络覆盖，因此，方案中采用的是室外无线接入设备。无线局域网的发展为校园网的建设和升级换代带来了新的选择，通过运用无线局域网技术的几种的应用方式，我们可以在校园实现网络的覆盖。对于我校在楼宇内采用接入方式对办公室、会议室、校园广阔地进行无线网络覆盖。而对于学校两部则通过室外网桥连接方式实现网络互通。无线局域网作为一个有限局域网的补充和完善，在校园网建设中将会有更好的应用。我们在构建无线局域网时可以根据不同的需求选择不同的接入方式这将使无线局域网技术得到更好的应用。具体的无线局域网的配置代码如下：ip dhcp pool wirelessnetwork 192.168.0

27、.0 255.255.255.0default-router 192.168.0.1dns-server 192.168.8.11无线路由器Internet自动获得的IP4.1 WWW服务器配置WWW是建立在客户机服务器模型之上的。WWW是以超文本标注语言HTML(Hyper Markup Language)与超文本传输协议HTTP(Hyper Text Transfer Protocol)为基础。能够提供面向Internet服务的、一致的用户界面的信息浏览系统。其中WWW服务器采用超文本链路来链接信息页，这些信息页既可放置在同一主机上，也可放置在不同地理位置的主机上；本链路由统一资源定位器(

28、URL)维持，WWW客户端软件(即WWW浏览器)负责信息显示与向服务器发送请求。 Internet采用超文本和超媒体的信息组织方式，将信息的链接扩展到整个Internet上。目前，用户利用WWW不仅能访问到Web Server的信息，而且可以访问到FTP、Telnet等网络服务。因此，它已经成为Internet 上应用最广和最有前途的访问工具，并在商业范围内日益发挥着越来越重要的作用。WWW客户程序在Internet上被称为WWW浏览器（Browser），它是用来浏览Internet上WWW主页的软件。目前，最流行的浏览器软件主要有Netscape communicator 和Microsof

29、t Internet Explorer。 WWW浏览提供界面友好的信息查询接口，用户只需提出查询要求，至于到什么地方查询，如何查询则由WWW自动完成。因此WWW为用户带来的是世界范围的超级文本服务。用户只要操纵鼠标，就可以通过Internet从全世界任何地方调来所需的文本、图像、声音等信息。WWW使得非常复杂的Internet使用起来异常简单。WWW浏览器不仅为用户打开了寻找Internet上内容丰富、形式多样的主页信息资源的便捷途径，而且提供了Usenet新闻组电子邮件与FTP协议等功能强大的通信手段。4.2 DNS服务器配置DNS服务器在互联网的作用是：把域名转换成为网络可以识别的ip地址

30、。首先，要知道互联网的网站都是一台一台服务器的形式存在的，但是我们怎么去到要访问的网站服务器呢？这就需要给每台服务器分配IP地址，互联网上的网站无穷多，我们不可能记住每个网站的IP地址，这就产生了方便记忆的域名管理系统DNS，他可以把我们输入的好记的域名转换为要访问的服务器的IP地址. 简单的说，就是为了方便我们浏览互联网上的网站而不用去刻意记住每个主机的IP地址，DNS服务器就应运而生，提供将域名解析为IP的服务，从而使我们上网的时候能够用简短而好记的域名来访问互联网上的静态IP的主机。5.2 网络安全主机安全技术：加强网络上结点计算机的安全，包括：系统防火墙的规则设置、更新。系统漏洞补丁升

31、级更新，在人们的潜意识里增加安全防范意识等等。身份认证技术：身份验证技术可以阻止或减少由于非法用户的登陆对系统的恶意或非法操作。在用户访问服务器上任何信息之前，可以要求用户提供有效的 Microsoft Windows用户帐户、用户名和密码。该标识过程称为“身份验证”。可以在网站或FTP站点、目录或文件级别设置身份验证。可以使用Internet信息服务（IIS提供的）身份验证方法来控制对网站和FTP站点的访问。（包括下列信息：网站验证：介绍符合您验证用户网站访问要求的身份验证方法。FTP站点身份验证：介绍符合您验证用户FTP站点访问要求的身份验证方法。）访问控制技术：对信息的权限的控制，阻止了非授权用户进行的信息的浏览，修改甚至破坏。适当地控制对Web和FTP内容的访问是安全运行Web服务器的关键。使用 Windows和IIS中的安全功能，您可以有效地控制用户访问您Web和FTP内容的方式。可以控制多级访问，从整个网站和FTP站点到单独的文件。每个帐户均被授予