校園網(wǎng)的規(guī)劃與設計畢業(yè)論文

1、<p><b>　　本科畢業(yè)論文</b></p><p><b>　　校園網(wǎng)的規(guī)劃與設計</b></p><p>　　The Campus Network Planning and Design</p><p>　　學院名稱： 計算機科學與信息工程學院 </p><p>　　專業(yè)

2、班級： 網(wǎng)絡工程（專升本）12-1 </p><p>　　學生姓名： </p><p>　　學生學號： </p><p><b>　　目 錄</b></p><p><b>　

3、　摘 要I</b></p><p>　　AbstractII</p><p><b>　　引 言1</b></p><p>　　第1章 需求分析2</p><p>　　1.1 用戶需求3</p><p><b>　　1.2應用需求3</b><

4、;/p><p>　　1.3服務系統(tǒng)需求4</p><p>　　1.4 硬件需求4</p><p>　　1.5傳輸介質(zhì)的選擇5</p><p>　　1.6 校園網(wǎng)安全需求5</p><p>　　第2章 設計目標和設計原則7</p><p>　　2.1 校園網(wǎng)設計目標7</p>

5、<p><b>　　2.2設計原則7</b></p><p>　　2.2.1 網(wǎng)絡設計的基本原則7</p><p>　　2.2.2 此次校園網(wǎng)的設計原則8</p><p>　　2.2.3模塊化設計原則8</p><p>　　2.2.4層次化的設計9</p><p>　　第3

6、章 網(wǎng)絡構架和主要應用技術11</p><p>　　3.1網(wǎng)絡架構11</p><p>　　3.2網(wǎng)絡中應用的主要技術12</p><p>　　3.2.1路由技術12</p><p>　　3.2.2 HSRP13</p><p>　　3.2.3鏈路聚合13</p><p>　　3.

7、2.4交換技術14</p><p>　　3.2.5生成樹技術14</p><p>　　3.2.6 VPN技術15</p><p>　　3.2.7無線接入技術15</p><p>　　3.2.8安全技術（VLAN 、ACL）15</p><p>　　3.2.9 NAT16</p><p&g

8、t;　　第4章 無線網(wǎng)絡18</p><p>　　4.1無線局域網(wǎng)18</p><p>　　4.2 WLAN的主要技術標準18</p><p>　　4.3為什么要構建無線校園網(wǎng)18</p><p>　　4.4無線校園的應用范圍19</p><p>　　4.5無線網(wǎng)絡的設計原則19</p>&

9、lt;p>　　4.6無線網(wǎng)絡的安全機制19</p><p>　　4.6.1密碼加密機制19</p><p>　　4.6.2用戶權限的分配控制機制20</p><p>　　第5章 網(wǎng)絡的地址規(guī)劃和主要配置21</p><p>　　5.1 VLAN的劃分21</p><p>　　5.2設備的主要配置21

10、</p><p>　　5.2.1基本配置21</p><p>　　5.2.2 HSRP 的配置22</p><p>　　5.2.3 鏈路聚合的配置23</p><p>　　5.2.4 PVST的配置24</p><p>　　5.2.5 OSPF 的配置26</p><p>　　5.2.

11、6 NAT的配置27</p><p>　　5.2.7 ACL的配置28</p><p>　　5.2.8 DHCP的配置29</p><p>　　5.2.9 GRE-tunnel的配置30</p><p>　　第6章 網(wǎng)絡設備選型32</p><p>　　6.1選擇防火墻的基本原則32</p>

12、<p>　　6.2 選擇服務器的基本原則32</p><p>　　6.3選擇交換機的基本原則32</p><p>　　6.4 選擇路由器的基本原則33</p><p><b>　　總 結35</b></p><p><b>　　致 謝36</b></p>&l

13、t;p><b>　　參考文獻37</b></p><p><b>　　校園網(wǎng)的規(guī)劃與設計</b></p><p>　　摘要：隨著信息時代的來臨，信息網(wǎng)絡在我國正處于飛速發(fā)展的階段。學校作為教育的前沿重地，為我國未來信息化人才提供重要的學習環(huán)境。而中國教育科研網(wǎng)（CERNET）的快速發(fā)展，則極大地促進了高校校園網(wǎng)的建設。校園網(wǎng)的建設能從根本

14、上促進教學科研人員之間的信息交流、資源共享、科研合作，是學校教育和科研工作的最重要的基礎設施之一。因此，校園網(wǎng)絡的規(guī)模和應用水平將是體現(xiàn)學校教學環(huán)境和科研力量的重要組成部分。 </p><p>　　本設計首先就安陽工學院對網(wǎng)絡的需求做了一下調(diào)查，根據(jù)所得到的需求進行分析，并結合該校園的實際物理結構，做出相應的網(wǎng)絡拓撲結構，方案設計。在改方案中重點對校園網(wǎng)建設的需求分析、網(wǎng)絡拓撲結構以及方案中應用的技術等方面給出

15、比較詳細的分析與描述。</p><p>　　關鍵詞：校園網(wǎng)需求分析；網(wǎng)絡技術；無線；網(wǎng)絡安全</p><p>　　The Campus Network Planning and Design</p><p>　　Abstract: with the coming of information age, information network in our count

16、ry is in rapid development stage. School included, as the forefront of educational information talents to provide important learning environment for our future. And the rapid development of Chinese education scientific r

17、esearch network (CERNET), will greatly promote the construction of the campus network in colleges and universities. Construction of campus network can fundamentally promote the information exchange, res</p><p&

18、gt;　　This design firstly for AnYang institute of technology made a investigation to the network demand, according to the analysis of demand, combined with the actual physical structure of the campus, make the correspondi

19、ng network topology structure, the scheme design. In the change of demand analysis of the campus network construction, network topology structure and scheme of the application of technology gives a comparatively detailed

20、 analysis and description.</p><p>　　Keywords: campus network; demand analysis; network technology; wireless; network security</p><p><b>　　引 言</b></p><p>　　在當今信息產(chǎn)業(yè)蓬勃發(fā)展的今

21、天，信息已經(jīng)成為一種關鍵性的戰(zhàn)略資源，計算機技術在人們的生活中已經(jīng)起到了越來越重要的作用。校園作為知識基地和人才基地，它理應成為代表信息產(chǎn)業(yè)應用最成功的典范。一所成功的學校不僅在學術上、教育上要力爭上游，更應在管理上上一個臺階。通過校園信息網(wǎng)，將各處的電腦聯(lián)成一個數(shù)據(jù)網(wǎng)，實現(xiàn)各類數(shù)據(jù)的統(tǒng)一性和規(guī)范性；教職員工和學生可共享各種信息，極易進行各種信息的交流、經(jīng)驗的分享、討論、消息的發(fā)布、和協(xié)同工作等，從而有效地提高學校的現(xiàn)代化管理水平和教學

22、質(zhì)量，增強學生學習的積極性、主動性，為信息時代培育出高素質(zhì)的人才，在學校中建立計算機網(wǎng)絡已經(jīng)是十分迫切的需要。 </p><p>　　計算機和網(wǎng)絡已經(jīng)成為各行各業(yè)在工作中的工具，是否掌握計算機的技術和應用，已經(jīng)成為衡量一個從業(yè)者是否合格的重要標識。作為培養(yǎng)人才的基地，在校園中就讓學生接觸計算機、計算機網(wǎng)絡，對于培養(yǎng)合格的人才無疑是十分重要的。在現(xiàn)在這個知識爆炸的社會中，對于合格人才的要求越來越高，需要他們掌握大

23、量的各類知識，在教育中需要提高教學效率。現(xiàn)在出現(xiàn)了許多新的教學方法，以各種方式提高學生對知識的掌握速度，在與前人同樣的時間內(nèi)，掌握比前人更多的知識，而這些教學方法，需要利用計算機網(wǎng)絡才能實現(xiàn)。高等院校除了作為人才培養(yǎng)基地外，也是重要的科研基地，每年有大量的課題在高校中進行，研究人員需要收集資料、與同行交流研究心得等，促使研究的進展，作為全球最大的信息源和交流方式，計算機網(wǎng)絡正是最合適的選擇。</p><p>　　

24、隨著計算機技術、網(wǎng)絡技術的發(fā)展，網(wǎng)絡設備的價格不斷下降。同時國家各級政府對于教育的投入不斷增加，大量計算機進入了校園，組建校園網(wǎng)不僅是十分迫切的工作，可行性也非常高。隨著寬帶城域網(wǎng)的建設，校園網(wǎng)的業(yè)務，也進一步向公眾網(wǎng)擴展，其中遠程教育就成為一項極富發(fā)展?jié)摿Φ某怯蚓W(wǎng)寬帶業(yè)務。</p><p><b>　　第1章 需求分析</b></p><p>　　學院有北校區(qū)、新

25、校區(qū)兩個校區(qū)（我們的方案只包括新校區(qū)），占地90.1萬平方米?，F(xiàn)有教職工807名，其中具有正高職稱的教師85人、具有副高職稱的教師185人、具有碩士及以上學位的教師669人本部校區(qū)有學生宿舍樓6幢，教學樓11幢另外還有3幢階梯教室，科研樓1幢，行政辦公樓1幢，圖書館一幢、活動中心3幢以及餐廳1幢。安陽工學院平面圖如圖1-1、1-2所示。</p><p>　　圖1-1 安陽工學院平面圖</p><

26、;p>　　圖1-2 安陽工學院平面圖詳解</p><p><b>　　1.1 用戶需求</b></p><p>　　隨著校園網(wǎng)用戶數(shù)目與新的應用需求不斷增加，特別是網(wǎng)上多媒體及遠程教育應用的展開，對校園網(wǎng)主干帶寬提出了新的更高的要求，因此希望： </p><p>　?。?）支持IP多目廣播（Multicast）與服務質(zhì)量（QoS）或服務類

27、型，具有高可靠性和開放性的校園網(wǎng)絡，采用Internet上的標準協(xié)議TCP/IP協(xié)議，提供校園內(nèi)部及面向全球的WWW服務、FTP服務、電子郵件服務，實現(xiàn)與國際互聯(lián)網(wǎng)的完全接軌。</p><p>　?。?）支持虛擬局域網(wǎng)絡（VLAN）。 </p><p>　?。?）網(wǎng)管軟件應具備對接入層交換設備進行遠程可操作的能力（如在網(wǎng)絡中心對接入交換機進行針對端口IP過濾條件的遠程設置）。 </p

28、><p>　?。?）考慮今后會大量使用無線網(wǎng)，本次的組網(wǎng)方案在非主體區(qū)將用無線網(wǎng)絡進行覆蓋，以確保全校所有區(qū)域可以進入網(wǎng)絡聯(lián)接，如學校圖書館內(nèi)、體育場、及培訓中心等地方使用，以滿足師生們更靈活的需求。 </p><p>　?。?)要求管理上方便，采用模塊化設計。 </p><p><b>　　1.2應用需求</b></p><p

29、><b>　　1.電子郵件功能</b></p><p>　　校園網(wǎng)信息平臺應有功能強大的郵件系統(tǒng),可以為每個使用者建立自己的信箱,安全保密又極大地方便了通信。許多事務處理均可以通過郵件提醒,高效便利。 </p><p>　　2.科研環(huán)境應用系統(tǒng)</p><p>　　科研環(huán)境應用系統(tǒng)多集中在各實驗室和多功能競賽及多功能報告廳，主要是實驗的環(huán)

30、境和課外學習的環(huán)境，這類網(wǎng)絡應用可能需要較高的帶寬以滿足多媒體實驗環(huán)境。 </p><p><b>　　3.電子教學</b></p><p>　　電子教學是搭建校園網(wǎng)的首要目標，這部分應用復雜多樣，且有很大一部分多媒體數(shù)據(jù)的傳遞，因此對網(wǎng)絡性能和傳輸質(zhì)量有較高的要求，可以用高速以太網(wǎng)連接來實現(xiàn)。電子教學校的具體形式有：多媒體教學、多媒體網(wǎng)絡教室、電子圖書館。 <

31、/p><p><b>　　4.無線網(wǎng)絡</b></p><p>　　隨著國家對中國教育行業(yè)的更加重視并加大投入，中國教育網(wǎng)的建設得到了國家更大的支持并得到了更加廣泛的應用，并已經(jīng)成為一種其它方式不能代替的獲得資源的重要手段，因此教師和學生對網(wǎng)絡的依賴也越來越強，隨時隨地能夠從網(wǎng)絡獲得相要的資源成為教育用戶追求的目標。一般來說，如教室、圖書館、會議室等地方一般是不可能布設太

32、多信息點的，但是隨著學生中筆記本電腦的普及和現(xiàn)代化教學的普及，上述場所往往在同一時刻有大量的電腦，而目前的有線校園網(wǎng)沒有辦法使學生們在這些區(qū)域都能夠上網(wǎng)。采用無線方式，在有限的信息點上連接無線接入器，就可以輕松地從一個信息點擴展到成百上千個信息點的應用。</p><p><b>　　5.寬帶上網(wǎng)</b></p><p>　　在信息化的今天，人們已經(jīng)把網(wǎng)絡當成獲取信息的

33、重要的源泉，而WEB應用則起到了舉足輕重的作用。絕大多數(shù)的人都是通過瀏覽WEB頁面來獲取新知。校園網(wǎng)應該是寬帶上網(wǎng)的前沿陣地，學生們可以通過網(wǎng)絡獲取豐富的知識，增加與其他學校學生，甚至其他國家學生交流的機會。寬帶的網(wǎng)絡相比窄帶的撥號有著非常大的優(yōu)勢，通過寬帶上網(wǎng)就能夠真正實現(xiàn)網(wǎng)上沖浪。</p><p><b>　　1.3服務系統(tǒng)需求</b></p><p><b

34、>　　1.認證和計費</b></p><p>　　教學區(qū)、宿舍區(qū)用戶對校園網(wǎng)、教育網(wǎng)、Internet的訪問有相應的認證措施和計費策略。 </p><p><b>　　2.上網(wǎng)方式多樣</b></p><p>　　采用雙網(wǎng)形式，即校園網(wǎng)和寬帶。校園網(wǎng)用戶通過給定的帳號上網(wǎng)，防止盜用IP等現(xiàn)象的發(fā)生；寬帶用戶由電信分配IP，不同

35、的上網(wǎng)方式對應不同的計費策略。 </p><p><b>　　1.4 硬件需求</b></p><p>　　硬件是架構校園網(wǎng)的基礎,選擇硬件產(chǎn)品時，需要選擇兼容性好、擴展性強的設備，并且在選擇過程中綜合設備的性能價格等多方面的因素，而且該設備廠家必須能夠提供良好的售前及售后服務，解除用戶的后顧之憂，所以在校園網(wǎng)硬件架構上，包含了許多方面，可以分成以下幾個方面： <

36、;/p><p>　　網(wǎng)絡設備的選擇主要指網(wǎng)絡服務器、防火墻、無線控制器、交換機及路由器等，而中心交換機和網(wǎng)絡服務器是網(wǎng)絡的核心。 </p><p>　　1.服務器：它是整個校園網(wǎng)中最重要的設備，它的選擇應該遵從高可靠性、高性能、高吞吐能力和具有友好的人機界面的特點。根據(jù)校園網(wǎng)的特點，可設置有www服務器、ftp服務器、語音服務器等。有條件的還可以設置視頻點播服務器，可以實現(xiàn)通過網(wǎng)絡參與視頻圖像

37、的點播和廣播。 </p><p>　　2.交換機：在選擇交換機設備時用戶一定要考慮管理的問題。尤其是針對規(guī)模較大的校園網(wǎng)絡結構中，管理型的交換機被普遍使用。如果建立的只是小型網(wǎng)絡，不需要使用中心網(wǎng)絡管理機制，應該購買普通無管理能力的交換機，節(jié)省這筆資金 。</p><p>　　3.路由器(Router)：它用于連接網(wǎng)絡層、數(shù)據(jù)層、物理層，執(zhí)行不同協(xié)議的網(wǎng)絡協(xié)議轉換，是內(nèi)網(wǎng)區(qū)用戶訪問Inte

38、rnet不可缺少的設備，為了內(nèi)網(wǎng)數(shù)據(jù)的安全及限制內(nèi)網(wǎng)區(qū)用戶對外部網(wǎng)絡的訪問權限，在校園網(wǎng)的網(wǎng)絡中心可以設置一臺具有防火墻功能的路由器，通過廣域網(wǎng)接口經(jīng)由DDN專線（或ADSL）接入中國教育科研網(wǎng)。路由器上的一個以太網(wǎng)接口作為內(nèi)網(wǎng)連接端口，另一個可以用作校內(nèi)網(wǎng)絡中心服務器組等對外網(wǎng)絡設備網(wǎng)段使用的端口。</p><p>　　4.防火墻（Fire Wall）：也稱防護墻，它是一項信息安全的防護系統(tǒng)，依照特定的規(guī)則，允

39、許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng)，而另一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外部網(wǎng)絡之間的通信都要經(jīng)過防火墻。</p><p>　　防火墻的基本特性：內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必須經(jīng)過防火墻；只有符合安全策略的數(shù)據(jù)流才能通過防火墻；防火墻自身應具有非常強的抗攻擊免疫力。</p><p>　　1.5傳輸介質(zhì)的選擇</p><p>

40、　　在從中心交換機到各子網(wǎng)的傳輸介質(zhì)選擇方面，應以應用需求為主，適當考慮成本。由于校園網(wǎng)分布范圍較廣，從核心交換機到匯聚交換機之間，線纜全部使用單模光纖。 </p><p>　　1.6 校園網(wǎng)安全需求</p><p>　　校園網(wǎng)絡作為學校重要的基礎設施，擔當著學校教學、科研、管理和對外交流等許多角色。校園網(wǎng)安全狀況直接影響著學校的教學活動。</p><p>　　校園

41、網(wǎng)絡安全主要考慮以下幾方面要求：各個部門、系所訪問網(wǎng)絡的控制，各單位之間在未經(jīng)授權的情況下，不能相互訪問。內(nèi)部網(wǎng)中要建立防火墻，即禁止外部用戶未經(jīng)許可訪問內(nèi)部的數(shù)據(jù)，或者內(nèi)部用戶未經(jīng)許可訪問外部數(shù)據(jù)。 </p><p>　　對安全問題的考慮主要是兩個方面：校園網(wǎng)是一個開放的系統(tǒng)，它不需要與政府或商業(yè)公司的一樣的網(wǎng)絡安全保密性；校園網(wǎng)應該安全的，它不應該受到惡意的攻擊而無法運行，一些科研成果也不應該對任何人都開放。

42、主要利用虛擬局域網(wǎng)技術和防火墻技術來合理解決安全與開放的問題。 </p><p>　　第2章 設計目標和設計原則</p><p>　　2.1 校園網(wǎng)設計目標</p><p>　　上網(wǎng)主體區(qū)為學生宿舍和辦公區(qū)域，所以本次重點建設針對學生宿舍和辦公區(qū)以及實驗樓的網(wǎng)絡系統(tǒng)?？紤]今后會大量使用無線網(wǎng)，本次的方案在非主體區(qū)將采用無線網(wǎng)絡進行覆蓋，比如圖使館、階梯教室、活動中

43、心等人員流動頻繁的區(qū)域。 </p><p>　　由于要保證辦公網(wǎng)的正常使用，本次方案將把宿舍區(qū)和辦公區(qū)進行分劃，以確保辦公區(qū)的網(wǎng)絡不受學生宿舍區(qū)的影響。實現(xiàn)網(wǎng)絡資源的最大化應用?？紤]學生網(wǎng)絡使用不同，采用雙網(wǎng)方式，可以由學生決定上校園網(wǎng)或是互聯(lián)網(wǎng)。充分考慮系統(tǒng)的各種應用服務器的資源占用情況，結合學校的發(fā)展配置相應得當?shù)母鞣N應用服務器及其相應軟件。由于組網(wǎng)方案特殊性，把網(wǎng)絡分成三層進行配置，核心層使雙核心冗余，匯聚

44、層和接入層均采用星型。 </p><p><b>　　2.2設計原則</b></p><p>　　2.2.1 網(wǎng)絡設計的基本原則</p><p>　　校園網(wǎng)建設是一項大型網(wǎng)絡工程，各個學校需要根據(jù)自身的實際情況來制定網(wǎng)絡設計原則。該學校網(wǎng)絡需要具有包括圖書信息、學校行政辦公等綜合業(yè)務信息管理系統(tǒng)，為廣大教職工、科研人員和學生提供一個在網(wǎng)絡環(huán)境下

45、進行教學和科研工作的先進平臺。校園網(wǎng)覆蓋整個學校校園，網(wǎng)絡設計一般應遵循下列5個基本原則： </p><p>　　1.可靠性和高性能 </p><p>　　網(wǎng)絡必須是可靠的，包括網(wǎng)絡物理級別的可靠性，如服務器、風扇、電源、線路等；以及網(wǎng)絡邏輯級別的可靠性，如路由、交換的匯聚，鏈路冗余，負載均衡等。網(wǎng)絡必須具有足夠高的性能，滿足業(yè)務的需要。 </p><p>　　2

46、.實用性和經(jīng)濟性 </p><p>　　由于學校資金并不是很充足，不可能一步到位。另一方面，學校的應用水平參差不齊，某些系統(tǒng)即使安裝了也利用不起來，因此，在校園網(wǎng)的建設過程中，系統(tǒng)建設應始終貫徹面向應用，注重實效的方針，堅持實用、經(jīng)濟的原則。 </p><p>　　3.可擴展性和易升級性 </p><p>　　系統(tǒng)要有可擴展性和易升級性，隨著學院不斷的擴招，業(yè)務

47、的增長和應用水平的提高，網(wǎng)絡中的數(shù)據(jù)和信息流將按指數(shù)增長，需要網(wǎng)絡有很好的可擴展性，并能隨著技術的發(fā)展不斷升級。設備應選用符合國際標準的系統(tǒng)和產(chǎn)品，以保證系統(tǒng)具有較長的生命力和擴展能力，滿足將來系統(tǒng)升級的要求。 </p><p>　　4.易管理、易維護 </p><p>　　由于校園骨干網(wǎng)絡系統(tǒng)規(guī)模龐大，應用豐富而復雜，需要網(wǎng)絡系統(tǒng)具有良好的可管理性，網(wǎng)管系統(tǒng)具有監(jiān)測、故障診斷、故障隔離

48、、過濾設置等功能，以便于系統(tǒng)的管理和維護。同時應盡可能選取集成度高、模塊可通用的產(chǎn)品，以便于管理和維護。 </p><p>　　2.2.2 此次校園網(wǎng)的設計原則</p><p>　　校園網(wǎng)是為學校師生提供教學、管理、科研和綜合信息服務的寬帶多媒體網(wǎng)絡；是學校信息化教學環(huán)境的基礎設施和實現(xiàn)各項管理的物質(zhì)基礎；是建立遠程教育體系的基本保證。采用成熟、先進的技術和設計思想，運用現(xiàn)有的系統(tǒng)集成的技

49、術，強調(diào)系統(tǒng)先進、實用、開放、安全、使用方便和易于擴充等特點，突出系統(tǒng)功能的完善，實現(xiàn)辦公現(xiàn)代化、信息資源化和傳輸網(wǎng)絡化。其設計方案應注意以下原則： </p><p>　　1.先進性 技術上的先進性將保證處理數(shù)據(jù)的高效率、系統(tǒng)工作的靈活性、網(wǎng)絡的可靠性，技術上的先進性也使系統(tǒng)的擴充和維護變得十分簡單。 </p><p>　　2.可靠性 從網(wǎng)絡骨干線路的冗余備份、網(wǎng)絡核心設備的冗余備

50、份和電源冗余備份等方面保證成都信息工程學院校園網(wǎng)的可靠性。 </p><p>　　3.可管理性 網(wǎng)絡管理基于SNMP，并支持RMON和RMON2，以及標準的 MIB。利用模塊化的管理界面和簡潔的操作方式，合理的網(wǎng)絡規(guī)劃策略，提供強大的網(wǎng)絡管理功能。一體化的網(wǎng)絡管理使網(wǎng)絡日常的維護和操作變得直觀，便捷和高效。 </p><p>　　4.安全性 內(nèi)部網(wǎng)絡之間、內(nèi)部網(wǎng)絡與外部公共網(wǎng)之間的

51、互聯(lián)，利用VLAN 、防火墻等對訪問進行控制，確保網(wǎng)絡的安全。 </p><p>　　5.可擴展性 學校規(guī)模在不斷擴大，用戶數(shù)在持續(xù)增加，要求網(wǎng)絡具有很好的擴展性，能夠根據(jù)需要繼續(xù)逐步升級 。</p><p>　　6.實用性 網(wǎng)絡系統(tǒng)的設計在性能價格比方面充分體現(xiàn)系統(tǒng)的實用性，既要采用先進的技術，又能在經(jīng)費允許的條件下實現(xiàn)建網(wǎng)目標。 </p><p>　　2.

52、2.3模塊化設計原則</p><p>　　所謂模塊化就是將把整個網(wǎng)絡按功能和安全需求分為若干個組件，這些組件之間有一定的安全邊界，組件內(nèi)部有完整的網(wǎng)絡設計。模塊化設計的好處在于： </p><p>　　1.解決各網(wǎng)絡之間的沖突問題； </p><p>　　2.簡化安裝和后臺設備管理； </p><p>　　3.易于故障檢測和分離問題；

53、 </p><p>　　4.易于執(zhí)行不同類型的服務和安全方針。 </p><p>　　一個完整的模塊化設計如圖2-1所示。</p><p>　　圖 2-1 模塊化網(wǎng)絡設計圖</p><p>　　校園網(wǎng)的設計可以借鑒這種思想，對各種不同種類，不同安全等級的業(yè)務進行模塊劃分，相互之間的訪問將受到控制。當然，在實際情況中并不一定要求嚴格按照上述

54、模塊劃分，而是根據(jù)實際情況靈活運用，做適當?shù)牟脺p與調(diào)整。 </p><p>　　2.2.4層次化的設計</p><p>　　對于大型網(wǎng)絡，可以采用典型的“核心層-匯聚層-接入層”層次化網(wǎng)絡設計模型。如圖2-2所示。 </p><p>　　圖2-2 層次化網(wǎng)絡設計圖</p><p>　　核心層: 核心層的功能主要是實現(xiàn)骨干網(wǎng)絡之間的優(yōu)化傳輸，骨

55、干層設計任務的重點通常是冗余能力、可靠性和高速的傳輸。網(wǎng)絡的控制功能最好盡量少在骨干層上實施。核心層一直被認為是所有流量的最終承受者和匯聚者，所以對核心層的設計以及網(wǎng)絡設備的要求十分嚴格。核心層設備將占投資的主要部分。 核心層需要考慮冗余設計。</p><p>　　匯聚層: 匯聚層顧名思義就是作為接入層到骨干層的匯聚，通常為訪問層與骨干層實現(xiàn)基于策略的網(wǎng)絡間連接。匯聚層主要由三層交換機組成，提供對網(wǎng)絡流量模式控制

56、、服務訪問控制、QoS、定義路由路徑度量（path metric）和路由協(xié)議通告網(wǎng)絡的控制。 </p><p>　　接入層: 接入層作為各模塊到交換骨干的連接，根據(jù)不同模塊進行邏輯子網(wǎng)劃分，并通過VLAN技術實現(xiàn)子網(wǎng)之間的隔離。訪問層主要功能在于隔離模塊間的廣播流量，避免不同模塊之間相互影響。訪問層主要通過二層交換機組成。 </p><p>　　“核心層-匯聚層-訪問層”層次化網(wǎng)絡設計模型

57、有如下優(yōu)點： </p><p>　　1.高可擴展性 遵循層次化模型網(wǎng)絡比扁平式網(wǎng)絡更具有的伸縮性和可管理性，因為各功能網(wǎng)絡通過模塊化實現(xiàn)，潛在問題更易于識別。 </p><p>　　2.易于實施 每一層的功能性清晰劃分，簡化每一層的實現(xiàn)。 </p><p>　　3.易于故障排除 每一層的功能經(jīng)過良好定義，網(wǎng)絡更為簡單，有助于故障的隔離。模塊化設計也有效限制故

58、障影響范圍。 </p><p>　　4.易于規(guī)劃和管理 層次化的功能劃分，整個網(wǎng)絡規(guī)劃和管理更為簡單。 </p><p>　　第3章 網(wǎng)絡構架和主要應用技術</p><p><b>　　3.1網(wǎng)絡架構</b></p><p>　　安陽工學院網(wǎng)絡設計上規(guī)劃為3個大的區(qū)域，分別為宿舍區(qū)、教學區(qū)和綜合區(qū)。其中宿舍區(qū)包含1

59、-6號宿舍樓；其中教學區(qū)分為11棟教學樓14個學院，綜合區(qū)包括圖書館、3棟階梯教室、1棟科研樓、1棟辦公樓、餐廳和活動中心。</p><p>　　我們將圖書館作為中心，對全院的網(wǎng)絡進行控制，并將網(wǎng)絡分為：宿舍區(qū)、教學樓區(qū)、綜合區(qū)，其中綜合區(qū)包括有線網(wǎng)絡和無線網(wǎng)絡。 </p><p>　　首先向大家大概闡述安陽工學院校園網(wǎng)邏輯拓撲如圖3-1所示。</p><p>　　

60、圖3-1 安陽工學院園區(qū)網(wǎng)邏輯拓撲圖</p><p>　　校園網(wǎng)整體采用核心層、區(qū)域匯聚、樓宇匯聚、接入層4層網(wǎng)絡架構。在每個區(qū)域的局域網(wǎng)采用三層網(wǎng)絡結構即：區(qū)域核心--樓宇匯聚--樓宇接入。具體拓撲如圖3-2所示。</p><p>　　圖3-2 區(qū)域拓撲圖</p><p>　　校園網(wǎng)的全局物理拓撲如圖3-3所示。</p><p>　　圖3-

61、3 校園網(wǎng)整體拓撲圖</p><p>　　3.2網(wǎng)絡中應用的主要技術</p><p><b>　　3.2.1路由技術</b></p><p>　　路由協(xié)議通過在路由器之間共享路由信息來支持可路由協(xié)議。路由信息在相鄰路由器之間傳遞，確保所有路由器知道到其它網(wǎng)段的路徑。總之，路由協(xié)議生成了路由表，描述了網(wǎng)絡拓撲結構，執(zhí)行路由選擇和數(shù)據(jù)包轉發(fā)功能。路

62、由協(xié)議是用來確定到達路徑的，它包括動態(tài)路由協(xié)議和靜態(tài)路由協(xié)議。靜態(tài)路由需要管理員手動指定，并且不會隨網(wǎng)絡拓撲結構的變化而變化，因此靜態(tài)路由僅適用于小型網(wǎng)絡。動態(tài)路由協(xié)議可自動根據(jù)拓撲結構的變化而調(diào)整路由，比較智能，適用于大中型網(wǎng)絡。</p><p>　　本次校園網(wǎng)設計中采用開放最短路徑優(yōu)先路由協(xié)議（OSPF）。OSPF是動態(tài)路由協(xié)議，基于鏈路狀態(tài)算法，可以自動根據(jù)網(wǎng)絡拓撲結構的變化調(diào)整選擇路徑，不受網(wǎng)絡規(guī)模的限制

63、。同時，采用組播泛洪，觸發(fā)更新，使網(wǎng)絡收斂速度快。除此之外，OSPF還具有如下優(yōu)點：支持無類域間路由（CIDR），支持區(qū)域劃分，無路由自環(huán)，支持多路徑等價和不等價負載均衡，支持簡單口令和MD5認證。</p><p>　　3.2.2 HSRP</p><p>　　熱備份路由器協(xié)議（HSRP）的設計目標是支持特定情況下 IP 流量失敗轉移不會引起混亂、并允許主機使用單路由器，以及即使在實際第一

64、跳路由器使用失敗的情形下仍能維護路由器間的連通性。實現(xiàn)HSRP的條件是系統(tǒng)中有多臺路由器，它們組成一個“熱備份組”，這個組形成一個虛擬路由器。在任意時刻，一個組內(nèi)只有一個路由器是活動的，并由它來轉發(fā)數(shù)據(jù)包，如果活動路由器發(fā)生了故障，將選擇一個備份路由器來替代活動路由器，但是在本網(wǎng)絡內(nèi)的主機看來，虛擬路由器沒有改變。所以主機仍然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器切換的問題。</p><p>　　

65、HSRP的工作原理：負責轉發(fā)數(shù)據(jù)包的路由器稱之為主動路由器（Active Router）。一旦主動路由器出現(xiàn)故障，HSRP 將激活備份路由器（Standby Routers）取代主動路由器。HSRP 協(xié)議提供了一種決定使用主動路由器還是備份路由器的機制，并指定一個虛擬的 IP 地址作為網(wǎng)絡系統(tǒng)的缺省網(wǎng)關地址。如果主動路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動路由器的所有任務，并且不會導致主機連通中斷現(xiàn)象。HSR

66、P協(xié)議利用一個優(yōu)先級方案來決定哪個配置了HSRP協(xié)議的路由器成為默認的主動路由器。如果一個路由器的優(yōu)先級設置的比所有其他路由器的優(yōu)先級高，則該路由器成為主動路由器。路由器的缺省優(yōu)先級是100，所以如果只設置一個路由器的優(yōu)先級高于100，則該路由器將成為主動路由器。</p><p><b>　　3.2.3鏈路聚合</b></p><p>　　鏈路聚合（Link Aggr

67、egation），是指將多個物理端口捆綁在一起，成為一個邏輯端口，以實現(xiàn)出/入流量在各成員端口中的負荷分擔，交換機根據(jù)用戶配置的端口負荷分擔策略決定報文從哪一個成員端口發(fā)送到對端的交換機。當交換機檢測到其中一個成員端口的鏈路發(fā)生故障時，就停止在此端口上發(fā)送報文，并根據(jù)負荷分擔策略在剩下鏈路中重新計算報文發(fā)送的端口，故障端口恢復后再次重新計算報文發(fā)送端口。鏈路聚合在增加鏈路帶寬、實現(xiàn)鏈路傳輸彈性和冗余等方面是一項很重要的技術。</p

68、><p>　　鏈路聚合的原理：邏輯鏈路的帶寬是原來的n倍，這里，n為聚合的路數(shù)。另外，聚合后，可靠性大大提高，因為，n條鏈路中只要有一條可以正常工作，則這個鏈路就可以工作。除此之外，鏈路聚合可以實現(xiàn)負載均衡。因為，通過鏈路聚合連接在一起的兩個（或多個）交換機（或其他網(wǎng)絡設備），通過內(nèi)部控制，也可以合理地將數(shù)據(jù)分配在被聚合連接的設備上，實現(xiàn)負載分擔。</p><p><b>　　3.2

69、.4交換技術</b></p><p>　　三層交換（也稱多層交換技術）是相對于傳統(tǒng)交換概念而提出的。眾所周知，傳統(tǒng)的交換技術是在OSI網(wǎng)絡標準模型中的第二層——數(shù)據(jù)鏈路層進行操作的，而三層交換技術是在網(wǎng)絡模型中的第三層實現(xiàn)了數(shù)據(jù)包的高速轉發(fā)。簡單地說，三層交換技術就是：二層交換技術+三層轉發(fā)技術。</p><p>　　交換原理：假設兩個使用IP協(xié)議的站點A、B通過第三層交換機進

70、行通信，發(fā)送站點A在開始發(fā)送時，把自己的IP地址與B站的IP地址比較，判斷B站是否與自己在同一子網(wǎng)內(nèi)。若目的站B與發(fā)送站A在同一子網(wǎng)內(nèi)，則進行二層的轉發(fā)。若兩個站點不在同一網(wǎng)段內(nèi)，如發(fā)送站A要與目的站B通信，發(fā)送站A要向“缺省網(wǎng)關”發(fā)出ARP(地址解析)封包，而“缺省網(wǎng)關”的IP地址其實是三層交換機的三層交換模塊。當發(fā)送站A對“缺省網(wǎng)關”的IP地址廣播出一個ARP請求時，如果三層交換模塊在以前的通信過程中已經(jīng)知道B站的MAC地址，則向發(fā)

71、送站A回復B的MAC地址。否則三層交換模塊根據(jù)路由信息向B站廣播一個ARP請求，B站得到此ARP請求后向三層交換模塊回復其MAC地址，三層交換模塊保存此地址并回復給發(fā)送站A,同時將B站的MAC地址發(fā)送到二層交換引擎的MAC地址表中。從這以后，當A向B發(fā)送的數(shù)據(jù)包便全部交給二層交換處理，信息得以高速交換。由于僅僅在路由過程中才需要三層處理，絕大部分數(shù)據(jù)都通過二層交換轉發(fā)，因此三層交換機的速度很快，接近二層交換機的速度，同時比相同路由器的價

72、格低很多。</p><p>　　3.2.5生成樹技術</p><p>　　生成樹協(xié)議是用來維護一個無環(huán)路的交換網(wǎng)絡。在由網(wǎng)橋/交換機構成的交換網(wǎng)絡中通常設計有冗余鏈路和冗余設備。這種設計的目的是防止一條鏈路或一臺交換機發(fā)生故障導致整個網(wǎng)絡中斷。雖然冗余設計可以消除單點故障問題，但也導致了二層交換網(wǎng)絡中環(huán)路的產(chǎn)生，它會帶來如下問題：廣播風暴，單播幀的重復傳送，MAC地址表不穩(wěn)定。廣播風暴將嚴

73、重影響網(wǎng)絡和主機性能，會導致網(wǎng)絡癱瘓。因此，在交換網(wǎng)絡中必須有一個機制來阻止回路，而生成樹恰好是為解決這一問題而設計的。</p><p>　　在本次校園網(wǎng)設計中，采用PVST（每個VLAN生成樹）協(xié)議。每VLAN生成樹(PVST)為在網(wǎng)絡中配置的每個VLAN維護一個生成樹實例。它使用ISL中繼和允許一個VLAN中繼，當被其它VLANs阻塞時將一些VLANs轉發(fā)。盡管PVST對待每個VLAN作為一個單獨的網(wǎng)絡，它有

74、能力在一些主干和在其它主干中的不引起VLANs環(huán)路的情況下來負載平衡通信。</p><p>　　3.2.6 VPN技術</p><p>　　VPN即虛擬專用網(wǎng)技術，屬于遠程訪問技術，簡單地說就是利用公用網(wǎng)絡架設專用網(wǎng)絡。例如某公司員工出差到外地，他想訪問企業(yè)內(nèi)網(wǎng)的服務器資源，這種訪問就屬于遠程訪問。VPN網(wǎng)關通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標地址的轉換實現(xiàn)遠程訪問。VPN有多種分類方式，主要是

75、按協(xié)議進行分類。VPN可通過服務器、硬件、軟件等多種方式實現(xiàn)。VPN具有成本低，易于使用的特點。</p><p>　　3.2.7無線接入技術</p><p>　　無線接入技術是無線通信的關鍵問題。它是指通過無線介質(zhì)將用戶終端與網(wǎng)絡節(jié)點連接起來，以實現(xiàn)用戶與網(wǎng)絡間的信息傳遞。無線信道傳輸?shù)男盘枒裱欢ǖ膮f(xié)議，這些協(xié)議即構成無線接入技術的主要內(nèi)容。無線接入技術與有線接入技術的一個重要區(qū)別在于

76、可以向用戶提供移動接入業(yè)務。無線接入網(wǎng)是指部分或全部采用無線電波這一傳輸媒質(zhì)連接用戶與交換中心的一種接入技術。</p><p><b>　　無線傳輸?shù)膬?yōu)勢：</b></p><p>　?。?）綜合成本低，性能更穩(wěn)定。</p><p>　?。?）組網(wǎng)靈活，可擴展性好，即插即用。</p><p><b>　?。?）

77、維護費用低。</b></p><p>　　3.2.8安全技術（VLAN 、ACL）</p><p>　　VLAN（Virtual Local Area Network）的中文名為“虛擬局域網(wǎng)”。VLAN是一種將局域網(wǎng)設備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術。</p><p><b>　　VLAN的優(yōu)點：</b&g

78、t;</p><p>　　1.限制網(wǎng)絡上的廣播 將網(wǎng)絡劃分為多個VLAN可減少參與廣播風暴的設備數(shù)量。防止廣播風暴波及整個網(wǎng)絡。使用VLAN，可以將某個交換端口或用戶賦予某一個特定的VLAN組，該VLAN組可以在一個交換網(wǎng)中跨接多個交換機，在一個VLAN中的廣播不會傳播到其他的VLAN。這樣可以減少廣播流量，釋放帶寬給用戶應用，減少廣播的產(chǎn)生。</p><p>　　2.增強局域網(wǎng)的安全性

79、 含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡的其余部分隔離，從而降低泄露機密信息的可能性。不同VLAN內(nèi)的報文在傳輸時是相互隔離的，即一個VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設備。</p><p>　　3.網(wǎng)絡管理方便 因為有相似網(wǎng)絡需求的用戶將共享同一個VLAN。</p><p>　　4.增加靈活性 借助VLAN技術，

80、能將不同地點、不同網(wǎng)絡、不同用戶組合在一起，形成一個虛擬的網(wǎng)絡環(huán)境，就像使用本地LAN一樣方便、靈活、有效。</p><p><b>　　ACL訪問控制列表</b></p><p>　　信息點間通信和內(nèi)外網(wǎng)絡的通信都是企業(yè)網(wǎng)絡中必不可少的業(yè)務需求，為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權用戶只能訪問特定的網(wǎng)絡資源，從而達到對訪問進行控制的目的。簡而言之，AC

81、L可以過濾網(wǎng)絡中的流量，是控制訪問的一種網(wǎng)絡技術手段。</p><p><b>　　ACL的作用：</b></p><p>　　1.ACL可以限制網(wǎng)絡流量、提高網(wǎng)絡性能。例如，ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級。</p><p>　　2.ACL提供對通信流量的控制手段。例如，ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器

82、某一網(wǎng)段的通信流量。</p><p>　　3.ACL是提供網(wǎng)絡安全訪問的基本手段。ACL允許主機A訪問人力資源網(wǎng)絡，而拒絕主機B訪問。</p><p>　　4.ACL可以在路由器端口處決定哪種類型的通信流量被轉發(fā)或被阻塞。</p><p><b>　　3.2.9 NAT</b></p><p>　　NAT（Network

83、 Address Translation，網(wǎng)絡地址轉換）是將IP 數(shù)據(jù)包頭中的IP 地址轉換為另一個IP 地址的過程。在實際應用中，NAT 主要用于實現(xiàn)私有網(wǎng)絡訪問公共網(wǎng)絡的功能。這種通過使用少量的公有IP 地址代表較多的私有IP 地址的方式，將有助于減緩可用IP地址空間的枯竭。</p><p>　　NAT不僅能解決了IP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡外部的攻擊，隱藏并保護網(wǎng)絡內(nèi)部的計算機。<

84、/p><p>　　NAT的實現(xiàn)方式有三種，即靜態(tài)轉換Static Nat、動態(tài)轉換Dynamic Nat和端口多路復用PAT。</p><p>　　NAT工作原理：借助于NAT，私有（保留）地址的“內(nèi)部”網(wǎng)絡通過路由器發(fā)送數(shù)據(jù)包時，私有地址被轉換成合法的IP地址，一個局域網(wǎng)只需使用少量IP地址即可實現(xiàn)私有地址網(wǎng)絡內(nèi)所有計算機與Internet的通信需求。NAT將自動修改IP報文的源IP地址和目

85、的IP地址，IP地址校驗則在NAT處理過程中自動完成。如圖3-4所示。</p><p>　　圖3-4 NAT的具體工作流程圖</p><p>　　圖3-4 NAT轉化細節(jié)圖</p><p><b>　　第4章 無線網(wǎng)絡</b></p><p><b>　　4.1無線局域網(wǎng)</b></p>

86、;<p>　　無線局域網(wǎng)(Wireless Local Area Networks，簡稱WLAN)是相當便利的數(shù)據(jù)傳輸系統(tǒng)，它利用射頻(Radio Frequency，簡稱RF)的技術，取代傳統(tǒng)雙絞線所構成的局域網(wǎng)絡，它作為有線局域網(wǎng)的補充和延伸，使得通信的移動化和個性化成為了可能。</p><p>　　常用的計算機無線通信技術有光波和無線電波。光波包括紅外線和激光，但由于光波易受天氣影響，不具備穿

87、透能力，難以實際應用。無線電波包括短波、超短波和微波等。</p><p>　　4.2 WLAN的主要技術標準</p><p>　　目前最普及、應用最廣泛的是802.11b無線標準，2001年，IEEE通過了802.11g標準，它向下兼容802.11a、802.11b的同時，網(wǎng)絡吞吐速率54Mbps，而802.11n標準是IEEE推出的最新標準，它通過采用智能天線技術，可以將WLAN的傳輸速

88、率由目前802.11a及802.11g提供的54Mbps、108Mbps，提供到300Mbps甚至是600Mbps，引起了市場很大反響。</p><p>　　4.3構建無線校園網(wǎng)的優(yōu)勢</p><p>　　有線網(wǎng)絡在很多場合受到布線的制約；布線、改線工程量大；線路易于損壞；固定的網(wǎng)絡各節(jié)點無法移動。遇到網(wǎng)絡盲點時，須鋪設專用通信線路，成本高，難度大、耗時長，線路一旦出現(xiàn)故障排查、維修不便，

89、無線校園網(wǎng)較之有線校園網(wǎng)，具有以下幾點優(yōu)勢：</p><p>　　1.網(wǎng)絡綜合成本低 隨著近幾年無線網(wǎng)絡設備不斷普及，無線網(wǎng)絡成本已經(jīng)接近甚至低于傳統(tǒng)有線網(wǎng)絡成本，而在網(wǎng)絡施工上，無線網(wǎng)絡最大的優(yōu)勢就是免去或減少了網(wǎng)絡布線的工作量，鋪設無須掘溝埋管，省去了大量線路鋪設的費用和時間。</p><p>　　2.網(wǎng)絡覆蓋面廣 只要安裝了一個或多個無線接入點AP設備，就可建立覆蓋整個建筑或地區(qū)

90、的局域網(wǎng)絡，它不受環(huán)境條件制約，網(wǎng)絡的傳輸范圍得到了拓寬，借助于外接天線（做鏈接），傳輸距離則可以達到30～50公里甚至更遠，這要視天線本身的增益而定。</p><p>　　3.組網(wǎng)靈活方便 無線局域網(wǎng)可以按當時的需要容量來安裝設備，甚至可以“現(xiàn)用現(xiàn)裝”而傳統(tǒng)有線網(wǎng)絡，網(wǎng)絡設備的安放位置受到網(wǎng)絡信息點位置的限制，一旦無線局域網(wǎng)建成后，在無線網(wǎng)的信號覆蓋區(qū)域內(nèi)任何一個位置都可以接入網(wǎng)絡，進行通訊。</p&g

91、t;<p>　　4.強大的移動性 無線局域網(wǎng)的一個重大特性就是可以“隨時、隨地”地實現(xiàn)無線通信。VoIP、資源共享、網(wǎng)絡教學、視頻會議等許多基于無線通信的技術將大大方便了師生們工作、學習。</p><p>　　4.4無線校園的應用范圍</p><p><b>　　基礎無線應用 </b></p><p>　　多數(shù)高校建設無線網(wǎng)的目

92、的，主要是解決難于進行綜合布線的公共區(qū)域（如會議中心、圖書館等）上網(wǎng)問題。</p><p><b>　　無線化教學 </b></p><p>　　無線校園網(wǎng)可以對教學資源進行有效地整合和利用，其中包括已經(jīng)存儲在服務器中的資料，以及正在上的某一節(jié)課，從而改變傳統(tǒng)的教學方式，解決了很多學校學生多機器少，排課困難的問題。而且可以有更多的交互性，學校精品課程、優(yōu)秀教師的課堂錄

93、像資料等可以通過VOD視頻點播、AOD音頻點播，學生可以分享優(yōu)秀教學資源提高了學習的效率和質(zhì)量。</p><p>　　4.5無線網(wǎng)絡的設計原則</p><p>　　依照802.11b/g無線局域網(wǎng)的國際規(guī)范和國家無線電管理委員會的標準，在進行實際的網(wǎng)絡設計時，我們會遵循下列原則：</p><p>　　1.先進性原則 采用先進的設計思想，選用先進的網(wǎng)絡設備，使網(wǎng)絡在

94、今后一定時期內(nèi)保持技術上的先進性。 </p><p>　　2.可伸展性原則 網(wǎng)絡設計在充分考慮當前情況的同時，必須考慮到今后較長時期內(nèi)業(yè)務發(fā)展的需要，留有充分的升級和擴充的可能性。 </p><p>　　3.安全性原則 網(wǎng)絡系統(tǒng)的設計必須貫徹安全性原則，以防止來自網(wǎng)絡內(nèi)部和外部的各種破壞。 </p><p>　　4.可靠性原則 網(wǎng)絡系統(tǒng)的設計必須貫徹

95、可靠性原則，使網(wǎng)絡系統(tǒng)具有很高的可用性。 </p><p>　　5.可管理性原則 網(wǎng)絡系統(tǒng)應具有良好的可管理性，使得網(wǎng)絡管理人員能方便及時地掌握諸如網(wǎng)絡拓撲結構、網(wǎng)絡性能統(tǒng)計、網(wǎng)絡故障等信息，能簡便地對網(wǎng)絡進行配置和調(diào)整，確保網(wǎng)絡工作在良好狀態(tài)。 </p><p>　　6.靈活性原則 在本無線網(wǎng)絡的設計中采用定點無線網(wǎng)絡和移動無線網(wǎng)絡相結合的特點。這樣可以使無線網(wǎng)絡更加靈活，尤其是活

96、動熱點地區(qū)。</p><p>　　4.6無線網(wǎng)絡的安全機制</p><p>　　4.6.1密碼加密機制</p><p>　　因為無線網(wǎng)絡是一個大的共享式網(wǎng)絡，在無線信號覆蓋范圍內(nèi)，終端設備發(fā)送和接受的信息都是以廣播形式傳遞。這導致了無線網(wǎng)絡的很不安全，因為任何一個終端發(fā)送的數(shù)據(jù)包，都會在無線網(wǎng)絡中廣播發(fā)送，若其他別有用心的人用抓包軟件抓包，就可以竊取別人數(shù)據(jù)包中的信

97、息。這種不安全性給無線網(wǎng)絡帶來了巨大的安全威脅。然而，也不必過度擔憂，我們可以給無線網(wǎng)絡加密，提高無線網(wǎng)絡的安全性。比如：</p><p>　　1.使用WPA2加密——WPA2是最新的安全運算法則，它貫徹到了整個無線系統(tǒng)，可以從配置屏幕中進行選取。</p><p>　　2.使用十個字符以上的密碼——即便是比較新的加密方案，如WPA2，也可以被那些自動套取密碼的進程攻克。不見得要用長而難記的

98、密碼，大可以使用一些表達，如“makemywirelessnetworksecure”等取代原來較短的密碼。或者使用更為復雜的密碼，如“w1f1p4ss”。這類密碼更具安全性。 </p><p>　　3.不要使用標準的SSID——許多無線路由器都自帶默認的無線網(wǎng)絡名稱，也就是我們所知道的SSID，如“netgear”或“l(fā)inksys”，大多數(shù)用戶都不會想到要對這些名稱進行更改。 WPA2加密將SSID作為密碼的

99、一部分來使用。</p><p>　　4.在密碼中，添加數(shù)字，特殊符號和大小寫字母——復雜的密碼增加了字符數(shù)，這樣便會增加密碼破解的難度。例如，如果你的密碼包含四個字節(jié)，但你僅使用了數(shù)字，那么可能的密碼就是10的四次方，即10000個。如果你只使用小寫字母，那么密碼的可能性達到36的四次方。這樣就迫使攻擊者測試巨大數(shù)量的密碼，從而增加他解密的時間。</p><p>　　4.6.2用戶權限的分

100、配控制機制</p><p>　　為何要進行用戶權限的分配控制？</p><p>　　校園網(wǎng)面對的是處于青春躁動期的年輕學生，他們求知欲強，好奇心重，精力旺盛，更有強烈的表現(xiàn)欲，校園網(wǎng)首當其沖容易成為他們實驗的目標。</p><p>　　在校園里，不知來源的廣播風暴擾亂整個網(wǎng)絡運行，一些自詡“民間高手”的學生對節(jié)點發(fā)起攻擊，大量的P2P應用，私設DHCP服務器過一把癮

101、的情況時有發(fā)生，加上橫行不絕的垃圾郵件，蠕蟲病毒擴散，讓校園網(wǎng)這個青春時尚的網(wǎng)絡表現(xiàn)得和它的使用者一樣多變而躁動，令校園網(wǎng)管理人員防不勝防。</p><p>　　如何實現(xiàn)用戶權限的分配控制？</p><p>　　結合802.1X用戶認證可以實現(xiàn)對用戶權限的靈活分配。目前可基于用戶的源IP和用戶所屬VLAN實現(xiàn)對用戶權限權限控制。在本方案中宿舍區(qū)，實驗樓科教區(qū)使用統(tǒng)一認證的方式來進行上網(wǎng)，辦

102、公及教室區(qū)使用單機綁定MAC地址及IP地址的方式實現(xiàn)上網(wǎng)需求。方案中所選用的接入層交換機具有DHCP OPTION82的功能，可以實現(xiàn)按用戶權限分配IP地址的功能。該功能能更靈活、更有效地實現(xiàn)校園網(wǎng)的運營。 </p><p>　　第5章 網(wǎng)絡的地址規(guī)劃和主要配置</p><p>　　5.1 VLAN的劃分</p><p>　　表5-1 VLAN劃分</p&g

103、t;<p>　　服務器集群地址 172.32.0.0/24</p><p>　　防火墻內(nèi)聯(lián)地址 10.0.21.0/24 10.0.22.0/24</p><p>　　防火墻外聯(lián)地址 211.84.0.0/15 202.0.176.0/22</p><p>　　移動運營商地址 202.0.176.0/22 112.0.0.0/10 117.12

104、8.0.0/10 221.176.0.0/13 218.206.0.0/15</p><p>　　教育網(wǎng)地址段 211.84.0.0/15 162.105.0.0/16 211.64.0.0/13 211.80.0.0/13 219.222.0.0/15 219.242.0.0/15</p><p>　　5.2設備的主要配置</p&g

105、t;<p><b>　　5.2.1基本配置</b></p><p>　　基本配置包括設備的命名，配置登陸密碼，登陸旗標，IP地址等。具體配置如下：</p><p>　　switch#config terminal</p><p>　　switch(config)#hostname SW1 //修改交換機的名字</

106、p><p>　　SW1(config)#line console 0 //進入交換機的控制臺端口</p><p>　　SW1 (config-line)#password cisco //設置控制臺登陸密碼cisco</p><p>　　SW1 (config-line)#login</p><p>　　SW1 (config

107、-line)#exit</p><p>　　SW1 (config)#line vty 0 4 //進入交換機的遠程登陸端口</p><p>　　SW1 (config-line)#password cisco //設置遠程登陸密碼cisco</p><p>　　SW1 (config-line)#login</p><p

108、>　　SW1 (config-line)#exit</p><p>　　SW1 (config)#banner motd #</p><p><b>　　warning.</b></p><p>　　----------------------------------------------------------------------

109、-------------------------------</p><p>　　WARNING:You are connected to the cisco system,Incorporated network.</p><p>　　Unauthorized access and use of this network will be vigorously prosecuted.&l

110、t;/p><p>　　------------------------------------------------------------------------------------------------------</p><p>　　# //設置每日登陸旗標</p><p>　　配置結果如圖5-1所示。

111、</p><p>　　圖5-1 基本配置顯示圖</p><p>　　5.2.2 HSRP 的配置</p><p>　　HSRP路由熱備協(xié)議，主要作用是當網(wǎng)絡中主路由器發(fā)生故障時，主路由器上的業(yè)務不會中斷，而是自動切換到備份路由器上，從而保障業(yè)務正常。具體配置如下：</p><p>　　Core_1(config)#int vlan 1<