畢業(yè)論文---園區(qū)網(wǎng)絡(luò)規(guī)劃與設(shè)計方案

1、<p>　　畢業(yè)設(shè)計（論文）任務(wù)書</p><p>　　題目： 園區(qū)網(wǎng)絡(luò)規(guī)劃與設(shè)計方案</p><p><b>　　任務(wù)與要求：</b></p><p>　　網(wǎng)絡(luò)是現(xiàn)代人最常用的交流平臺，是人們獲取信息、豐富知識和學(xué)習(xí)交流的重要渠道，所以網(wǎng)絡(luò)安全及其解決方案在網(wǎng)絡(luò)中占有非常重要的地位。通過學(xué)習(xí)了解

2、對網(wǎng)絡(luò)安全的認(rèn)識和解決方案分析，并提交完整解決方案。 </p><p>　　時間： 2011 年 2 月 24 日 至 2010 年 4 月 6 日 共7 周</p><p>　　畢業(yè)設(shè)計(論文)進(jìn)度計劃表</p><p>　　本表作評定學(xué)生平時成績的依據(jù)之一。</p><p>　　畢業(yè)設(shè)計

3、(論文)中期檢查記錄表</p><p>　　注:此表同學(xué)生畢業(yè)設(shè)計(論文)一起存檔</p><p><b>　　摘 要</b></p><p>　　隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對計算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)

4、，計算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計算機(jī)網(wǎng)絡(luò)和計算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動的始終。</p><p>　　關(guān)鍵字：網(wǎng)絡(luò)安全；防御系統(tǒng)；解決方案&

5、lt;/p><p><b>　　Abstract</b></p><p>　　Along with the rapid development of information technology, many farsighted enterprises realized depends on the advanced technology enterprise itsel

6、f IT business and operation platform will greatly increase the core competitiveness of the enterprise, the enterprise in brutal competition environment. Management of computer application system, enhance the dependence o

7、f computer application system is more dependent on the network. The computer network, the network structure scale unceasingly expand</p><p>　　Key words: network security, Defense system, the solution</p&g

8、t;<p>　　緒 論....................................................................................1</p><p>　　第一章 學(xué)校網(wǎng)絡(luò)需求分析................................................................2</p><

9、;p>　　第一節(jié) 校園網(wǎng)絡(luò)需求概述...............................................................2</p><p>　　第二節(jié) 學(xué)校環(huán)境概述...................................................................2</p><p>　　一 網(wǎng)絡(luò)功能需求分析..

10、..............................................................3</p><p>　　二 網(wǎng)絡(luò)性能要求....................................................................4</p><p>　　第二章 校園網(wǎng)絡(luò)總體設(shè)計方案...................

11、..........................................5</p><p>　　第一節(jié) 校園網(wǎng)設(shè)計要求.................................................................5</p><p>　　第二節(jié) 局域網(wǎng)系統(tǒng)設(shè)計方案.........................................

12、....................6</p><p>　　第三節(jié) 核心層規(guī)劃.....................................................................8</p><p>　　一 匯聚層規(guī)劃...................................................................

13、..10</p><p>　　二 接入層規(guī)劃.....................................................................12</p><p>　　第四節(jié) VLAN概述.....................................................................14</p>

14、<p>　　一 VLAN的作用...................................................................15</p><p>　　第五節(jié) VPN概述.....................................................................15</p><p>　　一

15、 VPN決解方案..................................................................16</p><p>　　二 VPN的網(wǎng)絡(luò)管理................................................................17</p><p>　　第三章 網(wǎng)絡(luò)維護(hù).............

16、.............................................19</p><p>　　第一節(jié) 網(wǎng)絡(luò)管理..................................................................19</p><p>　　第二節(jié) 遠(yuǎn)程監(jiān)控...........................................

17、.......................19</p><p>　　第三節(jié) 系統(tǒng)結(jié)構(gòu)......................................................................20</p><p>　　第四章 總 結(jié)............................................................

18、..............20</p><p>　　謝 辭..................................................................................22</p><p><b>　　緒 論</b></p><p>　　當(dāng)今社會已步入信息社會，信息成為社會經(jīng)濟(jì)發(fā)展的核心

19、因素，信息化已成為當(dāng)今世界潮流。自從1993年美國政府公布實施“信息高速公路計劃”之后，在世界引起巨大反響，許多發(fā)達(dá)國家和一些發(fā)展中國家也相繼提出了本國或本地區(qū)的信息基礎(chǔ)設(shè)施計劃?？梢哉f，信息化程度已成為衡量一個國家現(xiàn)代化水平和綜合國力強(qiáng)弱的重要標(biāo)志。</p><p>　　近年來國家加快改革教育體系，以教育為立國之本，建設(shè)一個高度發(fā)達(dá)的國家教育體系。為提高我國教育的現(xiàn)代化、建立先進(jìn)高效的教育體系。提供更為先進(jìn)的教

20、育手段，學(xué)校很有必要建設(shè)一個校園網(wǎng)絡(luò)管理應(yīng)用系統(tǒng)，這樣可以達(dá)到校園資源共享、建立完備的數(shù)據(jù)交換體系、快速的傳遞信息等目的[2]。順應(yīng)無紙教學(xué)，無紙辦公的發(fā)展趨勢，充分利用現(xiàn)代化技術(shù)來進(jìn)一步提高教學(xué)質(zhì)量和辦公效率，為培養(yǎng)二十一世紀(jì)人才提供一個優(yōu)良的硬件教學(xué)環(huán)境。計算機(jī)網(wǎng)絡(luò)的迅速發(fā)展和普及，改變了整個信息管理的面貌，使信息管理從以單個計算機(jī)為中心發(fā)展到以網(wǎng)絡(luò)為中心，并為計算機(jī)技術(shù)在工業(yè)、商業(yè)、教學(xué)、科研、管理等領(lǐng)域中的應(yīng)用提供了一個全新的網(wǎng)

21、絡(luò)通信環(huán)境，也從根本上加強(qiáng)并促進(jìn)了群體工作成員之間的信息交流、資源共享、科學(xué)計算、技術(shù)合作及有效管理等，進(jìn)而推動了管理、科研及教學(xué)事業(yè)的發(fā)展。</p><p>　　第一章 學(xué)校網(wǎng)絡(luò)需求分析</p><p>　　第一節(jié) 校園網(wǎng)絡(luò)需求概述</p><p>　　早期，各高校的信息化主要集中于多媒體網(wǎng)絡(luò)教室、公共計算機(jī)室的基礎(chǔ)設(shè)施建設(shè)。隨著高校校園網(wǎng)、城域網(wǎng)、電子圖書館

22、、遠(yuǎn)程教育系統(tǒng)、e-learning培訓(xùn)系統(tǒng)等一系列新項目和新應(yīng)用在各高校的陸續(xù)啟動，我國高等教育信息化建設(shè)已經(jīng)進(jìn)入了一個深化應(yīng)用的新時期。</p><p>　　高校校園網(wǎng)在建設(shè)初期是為了滿足教學(xué)科研的需要。隨著信息時代的到來，廣大師生越來越不滿足于只能在辦公室、實驗室上網(wǎng)，他們對在家里、在宿舍高速上網(wǎng)的要求越來越迫切。當(dāng)今國內(nèi)高新的校園網(wǎng)建設(shè)開始延伸到教學(xué)樓、學(xué)生宿舍以及教師家屬區(qū)。區(qū)別于以往校園網(wǎng)單純的教學(xué)區(qū)

23、群體，當(dāng)今的校園網(wǎng)還包括了學(xué)生宿舍區(qū)群體與教工區(qū)群體。高校校園網(wǎng)的用戶群體開始多元化，用戶需求逐漸多樣化。</p><p>　　尤其呈爆炸性增長的是學(xué)生宿舍區(qū)。目前學(xué)生宿舍網(wǎng)建設(shè)使得學(xué)生數(shù)量急劇上升，引起接入端口驟增，網(wǎng)絡(luò)中大量音頻與視頻數(shù)據(jù)的存在，勢必要求保證網(wǎng)絡(luò)傳輸無阻塞，高效地管理龐大的網(wǎng)絡(luò)并降低網(wǎng)絡(luò)管理成本也是當(dāng)務(wù)之急。</p><p>　　第二節(jié) 學(xué)校環(huán)境概述</p>

24、<p>　　本校是一所學(xué)院系市屬高校是浙江省較早開展高等職業(yè)教育的院校之一。學(xué)院現(xiàn)有在校生8000余人，教職工500余人。設(shè)機(jī)電工程、管理工程、信息電子、化學(xué)工程、藝術(shù)5個系，基礎(chǔ)、體育、中專3個部和繼續(xù)教育學(xué)院。學(xué)院硬件設(shè)施齊全；圖書館總藏書量達(dá)39.5萬冊；教學(xué)用計算機(jī)共4000余臺；中心機(jī)房20余個，語音教室八個336座；多媒體教室達(dá)上百個；建有校內(nèi)實驗實訓(xùn)室79個。樓群分布主要有：教學(xué)樓群分為一至五號教學(xué)樓，呈平行

25、分布，平行距離為50米。政行大樓、現(xiàn)代信息大樓（學(xué)校網(wǎng)絡(luò)中心）呈對稱分布，兩個實驗樓群分別分布在政行大樓與現(xiàn)代信息大樓兩側(cè)。</p><p>　　為適應(yīng)教育現(xiàn)代化和學(xué)校信息化建設(shè)的需要，浙江科技學(xué)院準(zhǔn)備全面改造整個校園網(wǎng)，旨在為我校師生提供一個先進(jìn)、可靠、安全的計算機(jī)網(wǎng)絡(luò)教學(xué)和科研環(huán)境，促進(jìn)學(xué)校與外界的信息交流、資源共享和科研合作，支持學(xué)校的教學(xué)、科</p><p>　　研和學(xué)校各項管理工

26、作。</p><p>　　整個校園網(wǎng)建設(shè)覆蓋范圍主要包括網(wǎng)絡(luò)中心以及一至五號教學(xué)樓、兩個實驗樓群、電子圖書館、行政樓、現(xiàn)教大樓、學(xué)生公寓樓群和教師公寓樓群等等。</p><p>　　第三節(jié) 校園網(wǎng)絡(luò)功能分析</p><p>　　一 網(wǎng)絡(luò)功能需求分析</p><p>　　計算機(jī)網(wǎng)絡(luò)的應(yīng)用很多，最基本的作用是數(shù)據(jù)通信、資源共享、分布處理。在校園網(wǎng)

27、絡(luò)建設(shè)中具體包括功能以下幾點(diǎn)：</p><p>　　1、數(shù)據(jù)通信：該功能實現(xiàn)計算機(jī)與終端、計算機(jī)與計算機(jī)間的數(shù)據(jù)傳輸，包括文字信件、新聞消息、咨詢信息、圖片資料等。這是計算機(jī)網(wǎng)絡(luò)的基本功能?！　?、資源共享：網(wǎng)絡(luò)上的計算機(jī)彼此之間可以實現(xiàn)資源共享，包括硬件、軟件和數(shù)據(jù)。信息時代的到來，資源的共享具有重大的意義。</p><p>　　3、辦公自動化OA：按計算機(jī)系統(tǒng)結(jié)構(gòu)來看是一個計算機(jī)網(wǎng)絡(luò)

28、，第個辦公室相當(dāng)于一個工作站。它集計算機(jī)技術(shù)、數(shù)據(jù)庫、局域網(wǎng)、遠(yuǎn)距離通信技術(shù)以及人工智能、聲音、圖像、文字處理技術(shù)等到綜合應(yīng)用技術(shù)之大成，是一種全新的信息處理方式。辦公自動化系統(tǒng)的核心是通信，其所提供的通信手段主要為數(shù)據(jù)/聲音綜合服務(wù)、可視會議服務(wù)和電子郵件服務(wù)。</p><p>　　4、BBS：電子公告板是一種發(fā)布并交換信息的在線服務(wù)系統(tǒng)。BBS可以使更多的用戶通過電話線以簡單的終端形式實現(xiàn)互聯(lián)，從而得到廉價的

29、豐富信息并為其會員提供網(wǎng)上交談、發(fā)布信息討論問題、傳送文件、學(xué)習(xí)交流等機(jī)會和空間。</p><p>　　5、遠(yuǎn)程傳輸：計算機(jī)應(yīng)用的發(fā)展，已經(jīng)從科學(xué)計算到數(shù)據(jù)處理，從單機(jī)到網(wǎng)絡(luò)。分布在很遠(yuǎn)位置的用戶可以互相傳輸數(shù)據(jù)信息，互相交流，協(xié)同工作?！　【W(wǎng)絡(luò)的建設(shè)可以大大擴(kuò)展計算機(jī)系統(tǒng)的功能，擴(kuò)大其應(yīng)用范圍，提高可靠性，為用戶提供方便，同時也減少了費(fèi)用，提高了性能價格比?！　【C上所述，計算機(jī)網(wǎng)絡(luò)首先是計算機(jī)的一個群體，是

30、由多臺計算機(jī)組成的，每臺計算機(jī)的工作是獨(dú)立的，任何一臺計算機(jī)都不能干預(yù)其他計算機(jī)的工作，例如啟動、關(guān)機(jī)和控制其運(yùn)行等；其次，這些計算機(jī)是通過一定的通信媒體互連在一起，計算機(jī)間的互連是指它們彼此間能夠交換信息。網(wǎng)絡(luò)上的設(shè)備包括微機(jī)、小型機(jī)、大型機(jī)、終端、打印機(jī)，以及繪圖儀、光驅(qū)等設(shè)備。用戶可以通過網(wǎng)絡(luò)共享設(shè)備資源和信息資源。網(wǎng)絡(luò)處理的電子信息除一般文字信息外，還可以包括</p><p><b>　　聲音和

31、視頻信息等。</b></p><p><b>　　二 網(wǎng)絡(luò)性能要求</b></p><p>　　網(wǎng)絡(luò)的可靠性：網(wǎng)絡(luò)必須能夠保證長期連續(xù)的運(yùn)行，達(dá)到24小時不間斷，無故障，穩(wěn)定運(yùn)行。網(wǎng)絡(luò)的局部問題不能影響大網(wǎng)絡(luò)的運(yùn)行。</p><p>　　網(wǎng)絡(luò)的可擴(kuò)展性服務(wù)：滿足浙江科技學(xué)院在將來3～5年的快速增長的需要，骨干節(jié)點(diǎn)設(shè)備的性能具有向上擴(kuò)

32、展的能力，以備將來更高帶寬和應(yīng)用的需要。</p><p>　　網(wǎng)絡(luò)的安全性：保證用戶對網(wǎng)絡(luò)資源訪問的合法性，由于整個學(xué)院的管理事務(wù)都將放在校園網(wǎng)上，不同部門的重要數(shù)據(jù)將要求絕對安全，可訪問與不可訪問將嚴(yán)格限制。校園網(wǎng)和互聯(lián)網(wǎng)之間的數(shù)據(jù)流也將嚴(yán)格限制。</p><p>　　網(wǎng)絡(luò)的可管理性：整個校園網(wǎng)將采用集中式管理，能夠配置、監(jiān)視、統(tǒng)計、管理網(wǎng)絡(luò)的有效運(yùn)行，并能找出網(wǎng)絡(luò)節(jié)點(diǎn)的故障所在，迅速恢

33、復(fù)用戶的應(yīng)用。</p><p>　　網(wǎng)絡(luò)的實用性：建網(wǎng)時應(yīng)充分考慮利用和保護(hù)現(xiàn)有資源，充分發(fā)揮設(shè)備效益，要保證系統(tǒng)和應(yīng)用軟件全中文界面且功能完善，界面友好，兼容性強(qiáng)，使用戶最方便地實現(xiàn)各種功能。</p><p>　　網(wǎng)絡(luò)的適應(yīng)性：采用積木式模塊組合和結(jié)構(gòu)化設(shè)計，使系統(tǒng)配置靈活，使網(wǎng)絡(luò)具有強(qiáng)大的可增長性和強(qiáng)壯性，方便管理和維護(hù)。</p><p>　　網(wǎng)絡(luò)的開放性：系統(tǒng)

34、設(shè)計應(yīng)采用開放技術(shù)、開放結(jié)構(gòu)、開放系統(tǒng)組件和開放用戶接口，以利于網(wǎng)絡(luò)的維護(hù)、擴(kuò)展升級及與外界信息的溝通。</p><p>　　第二章 校園網(wǎng)絡(luò)總體設(shè)計方案</p><p>　　第一節(jié) 校園網(wǎng)設(shè)計要求</p><p>　　1、高性能與技術(shù)先進(jìn)性：校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)要求具有較高的數(shù)據(jù)通信能力和較大的帶寬;并在主干網(wǎng)上提供較強(qiáng)的可擴(kuò)展性.為了及時,迅速地處理網(wǎng)絡(luò)上傳送的數(shù)據(jù)

35、,網(wǎng)絡(luò)應(yīng)有較高的網(wǎng)絡(luò)主干速度.網(wǎng)絡(luò)設(shè)備必須具備高速處理能力,提供高速數(shù)據(jù)鏈路,保證網(wǎng)絡(luò)高吞吐能力,滿足各種應(yīng)用(如:視頻會議系統(tǒng))對網(wǎng)絡(luò)帶寬的需求;在各部門的工作組中采用交換技術(shù),以保證在工作中網(wǎng)絡(luò)的快速響應(yīng)速度,用于提供較高的工作效率。 2、高可靠性：網(wǎng)絡(luò)要求具有高可靠性,高穩(wěn)定性和足夠的冗余,提供拓?fù)浣Y(jié)構(gòu)及設(shè)備的冗余和備份,為了防止局部故障引起整個網(wǎng)絡(luò)系統(tǒng)的癱瘓,要避免網(wǎng)絡(luò)出現(xiàn)單點(diǎn)失效.在網(wǎng)絡(luò)骨干上要提供備份鏈路,提供冗余路

36、由.在網(wǎng)絡(luò)設(shè)備上要提供冗余配置,設(shè)備在發(fā)生故障時能以熱插拔的方式在最短時間內(nèi)進(jìn)行恢復(fù),把故障對網(wǎng)絡(luò)系統(tǒng)的影響減少到最小。 </p><p>　　網(wǎng)絡(luò)主干交換機(jī)等網(wǎng)絡(luò)結(jié)點(diǎn)關(guān)鍵設(shè)備必須具備一定的容錯能力.關(guān)鍵結(jié)點(diǎn)設(shè)備運(yùn)行中出現(xiàn)故障后,能夠有效,及時地進(jìn)行故障恢復(fù);要求結(jié)點(diǎn)設(shè)備的設(shè)置,恢復(fù)過程必須在短時間內(nèi)迅速完成.基本配置的終端方式操作要簡單,結(jié)點(diǎn)內(nèi)部的配置內(nèi)容可以通過筆記本電腦采用TCP/IP協(xié)議下載保存,或是上載

37、恢復(fù)。 3、安全性：校園網(wǎng)網(wǎng)絡(luò)作為一個支持眾多用戶,同時和CERNET存在連接的網(wǎng)絡(luò),網(wǎng)絡(luò)安全性在整個網(wǎng)絡(luò)中是個很重要的問題,我們應(yīng)該采用一定手段控制網(wǎng)絡(luò)的安全性,以保證網(wǎng)絡(luò)正常運(yùn)行.網(wǎng)絡(luò)中應(yīng)采取多種技術(shù)從內(nèi)部和外部同時控制用戶對網(wǎng)絡(luò)資源的訪問.可以用身份認(rèn)驗證,VLAN劃分等技術(shù)有效地控制內(nèi)部用戶的行為,比如杜絕對IP地址的盜用和偵聽用戶口令等,同時也能夠利用防火墻控制外部人員對網(wǎng)絡(luò)的訪問;網(wǎng)絡(luò)系統(tǒng)還應(yīng)具備高度的數(shù)據(jù)安全性和保

38、密性,能夠防止非法侵入和信息泄漏。 4、可管理性：強(qiáng)有力的網(wǎng)管軟件是有效地進(jìn)行網(wǎng)絡(luò)管理的助手,網(wǎng)管軟件應(yīng)能夠支持對網(wǎng)絡(luò)進(jìn)行設(shè)備級和系統(tǒng)級的管理,并能支持通用瀏覽器進(jìn)行網(wǎng)絡(luò)設(shè)備</p><p>　　的管理及配置.靈活的設(shè)置每個用戶對Internet訪問功能,能夠?qū)γ總€用戶實行管理;并且能夠?qū)崿F(xiàn)復(fù)雜的計費(fèi)管理。 5、可擴(kuò)充性：隨著用戶應(yīng)用規(guī)模的不斷擴(kuò)大,要求網(wǎng)絡(luò)可以方便地擴(kuò)充容量,支持更多的用戶及應(yīng)用

39、;隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)必須能夠平滑地過渡到新的技術(shù)和設(shè)備,保證用戶現(xiàn)有的投資。 6、VLAN劃分：在網(wǎng)絡(luò)主干中要支持三層交換及VLAN劃分.根據(jù)管理以及各部門智能的分配或用戶定義的其它策略進(jìn)行相應(yīng)的VLAN的靈活劃分,在整個網(wǎng)絡(luò)中使用虛擬網(wǎng)技術(shù),以提高網(wǎng)絡(luò)的安全性和靈活性.網(wǎng)絡(luò)中心設(shè)備和骨干設(shè)備能夠提供線速的VLAN之間的路由和高性能的第三層的數(shù)據(jù)包的處理。 7、對多媒體應(yīng)用的支持：校園網(wǎng)要求具有數(shù)據(jù),圖像,話音

40、等多媒體實時通訊能力;并在主干網(wǎng)上提供足夠的帶寬和可保證的服務(wù)質(zhì)量,滿足大量用戶對帶寬的基本需要,并保留一定的余量供突發(fā)的數(shù)據(jù)傳輸使用,最大可能地降低網(wǎng)絡(luò)傳輸?shù)难舆t.整個網(wǎng)絡(luò)在服務(wù)質(zhì)量(QoS),預(yù)留寬帶設(shè)置,合理進(jìn)行帶寬管理方面應(yīng)提供優(yōu)良的品質(zhì)。</p><p>　　第二節(jié) 局域網(wǎng)系統(tǒng)設(shè)計方案</p><p>　　局域網(wǎng)交換系統(tǒng)設(shè)計的主要模型是三層交換結(jié)構(gòu)模型，即把整個網(wǎng)絡(luò)設(shè)計成為核心層

41、、匯聚層、接入層，三層之間以樹形結(jié)構(gòu)連接。核心層的主要作用是以盡可能快的速度傳輸數(shù)據(jù)包，所以高的交換能力是核心層交換設(shè)備的主要考慮因素；匯聚層的主要作用是與核心層和接入層連接，提供交換通道，實現(xiàn)三層交換和其他控制，匯聚層交換機(jī)要求綜合智能能力較強(qiáng)；接入層的作用是接入用戶端工作站，接入層交換機(jī)通常放置于分配線間，對于接入層交換機(jī)而言，主要考慮的因素是價格、上連接能力等。</p><p>　　校園網(wǎng)采用光纖為通信介質(zhì)

42、，采用高速以太網(wǎng)，星型連接，建設(shè)中心節(jié)點(diǎn)：網(wǎng)絡(luò)中心。核心層采用兩臺第三層路由交換機(jī)，這兩臺路由器之間使用鏈路聚合技術(shù)。校內(nèi)主干千兆，部分主干百兆。選用第三層路由交換機(jī)作為交換核心，第三層交換機(jī)可以提供線速路由，是解決Internet應(yīng)用造成路由瓶頸問題的一種可行方案。匯聚層每個子網(wǎng)采用兩臺三層交換機(jī)匯接到網(wǎng)絡(luò)信息中心的核心交換機(jī)上。接入層交換機(jī)與對應(yīng)匯聚層兩臺交換機(jī)分別相連。</p><p>　　在此設(shè)計中有一個

43、大的缺點(diǎn)：就是在核心與匯聚之間為了提供冗余，都采用兩個相同的核心與匯聚交換機(jī)，這樣的冗余拓?fù)湓O(shè)計使用網(wǎng)絡(luò)具有容錯能力，不會因為單個鏈路、端口或連網(wǎng)設(shè)備失效而導(dǎo)致整個網(wǎng)絡(luò)的癱瘓。但是基于交換機(jī)的冗余拓?fù)?，容易受到廣播風(fēng)暴、幀的反復(fù)傳和介質(zhì)訪問控制數(shù)據(jù)庫不穩(wěn)定的影響。所以在網(wǎng)絡(luò)設(shè)計中采用生成樹協(xié)議（STP）來防止這些情況的發(fā)生。并且在兩個核心交換機(jī)之間采用鏈路聚合，設(shè)備之間傳輸帶寬為全雙工，使困擾網(wǎng)絡(luò)設(shè)計和實施的瓶頸問題得到一定程度上的解決

44、。</p><p>　　一 校園網(wǎng)的拓?fù)浣Y(jié)構(gòu)圖</p><p><b>　　圖 3.1</b></p><p><b>　　圖 3.2</b></p><p><b>　　第三節(jié) 核心層規(guī)劃</b></p><p>　　核心層考慮到核心層應(yīng)該具有數(shù)據(jù)快速

45、轉(zhuǎn)發(fā)、路由等主要功能，采用Cisco 6500系列三層交換機(jī)，配置第三層路由功能模塊。核心層節(jié)點(diǎn)間可通過若干千兆端口以Channel方式互聯(lián)，每個核心層節(jié)點(diǎn)通過千兆端口與所有匯聚層Cisco Catalyst 3750三層千兆以太網(wǎng)交換機(jī)互聯(lián)，組成星形結(jié)構(gòu)，有助于獲得安全保障，同時可提高帶寬，以便為用戶提供安全高速的數(shù)據(jù)傳輸通道。</p><p>　　Catalyst 6500是專為滿足對千兆位密度、數(shù)據(jù)和語音集

46、成、LAN/WAN/MAN集中、可擴(kuò)展性、高可用性、以及主干/分布、服務(wù)器整合和服務(wù)供應(yīng)商環(huán)境中智能多層交換的不端增長的需求而設(shè)計的。提供了出色的可擴(kuò)展性和性能/價格比，能夠支持廣泛的接口密度、性能以及高可用性選項。Cisco Catalyst 6500系列能夠通過多種機(jī)箱配置和LAN/WAN/MAN接口提供可擴(kuò)展的性能和端口密度。</p><p>　　Cisco Catalyst 6500系列交換機(jī)提供3插槽、

47、6插槽、9插槽和13插槽的機(jī)箱，以及多種集成式服務(wù)模塊，包括數(shù)千兆位網(wǎng)絡(luò)安全性、內(nèi)容交換、語音和網(wǎng)絡(luò)分析模塊。從48端口到576端口的10/100/1000以太網(wǎng)布線室到能夠支持192個1Gbps或32個10Gbps骨干端口，提供每秒數(shù)億個數(shù)據(jù)包處理能力的網(wǎng)絡(luò)核心，Cisco Catalyst 6500系列能夠借助冗余路由與轉(zhuǎn)發(fā)引擎之間的故障切換功能提高網(wǎng)絡(luò)正常運(yùn)行時間。</p><p>　　Cisco Cata

48、lyst 6500系列的優(yōu)點(diǎn)：</p><p>　　1、在端到端Cisco Catalyst6500系列部署中的操作一致性</p><p>　　3插槽、6插槽、9插槽和13插槽機(jī)箱配置使用相同的模塊、軟件和網(wǎng)絡(luò)管理工具?？刹渴鹪诰W(wǎng)絡(luò)的任意地方--從布線室到核心、數(shù)據(jù)中心和廣域網(wǎng)邊緣。</p><p>　　提高網(wǎng)絡(luò)正常運(yùn)行時間，提高網(wǎng)絡(luò)彈性，提供數(shù)據(jù)包丟失保護(hù)，能夠從

49、網(wǎng)絡(luò)故障中快速恢復(fù)，能夠在冗余控制引擎間實現(xiàn)快速的1～3秒狀態(tài)故障切換，提供可選的高性能Cisco Catalyst 6500系列Supervisor Engine 720、無源背板、多引擎的冗余；并可利用Cisco EtherChannel技術(shù)、IEEE 802.3ad鏈路匯聚、IEEE 802.1s/w和熱備份路由器協(xié)議/虛擬路由器冗余協(xié)議（HSRP/VRRP）達(dá)到高可用性。</p><p>　　2、集成式高

50、性能的網(wǎng)絡(luò)安全性和網(wǎng)絡(luò)管理</p><p>　　不需要部署外部設(shè)備，直接在6500機(jī)箱內(nèi)部署集成式的千兆位的網(wǎng)絡(luò)服務(wù)模塊，以簡化網(wǎng)絡(luò)管理，降低網(wǎng)絡(luò)的總體成本。這些網(wǎng)絡(luò)服務(wù)模塊包括：</p><p>　　數(shù)千兆位防火墻模塊--提供接入保護(hù)。高性能入侵檢測系統(tǒng)（IDS）模塊--提供入侵檢測保護(hù)。千兆位網(wǎng)絡(luò)分析模塊--提供可管理性更高的基礎(chǔ)設(shè)施和全面的遠(yuǎn)程超級（RMON）支持。高性能SSL模塊-

51、-提供安全的高性能電子商務(wù)流量終結(jié)。千兆位VPN和基于標(biāo)準(zhǔn)的IP Security（IPSec）模塊--降低的互聯(lián)網(wǎng)和內(nèi)部專網(wǎng)的連接成本。 </p><p><b>　　3、可擴(kuò)展的性能 </b></p><p>　　利用分布式轉(zhuǎn)發(fā)體系結(jié)構(gòu)提供高達(dá)400Mpps的轉(zhuǎn)發(fā)性能。支持多種Cisco Express Forwarding（CEF）實現(xiàn)方式和交換矩陣速率。在布線

52、室、核心、數(shù)據(jù)中心、廣域網(wǎng)邊緣部署以及電信運(yùn)營商網(wǎng)絡(luò)均可提供最優(yōu)配置。將安全和內(nèi)容等高級服務(wù)與融合網(wǎng)絡(luò)集成在一起，提供從10/100和10/100/1000以太網(wǎng)到萬兆以太網(wǎng)，從DS0到OC-48的各種接口和密度，并能夠在任何部署項目中端到端地執(zhí)行。 </p><p>　　4、第3層網(wǎng)絡(luò)服務(wù) </p><p>　　多協(xié)議第3層路由支持滿足了傳統(tǒng)的網(wǎng)絡(luò)要求，并能夠為企業(yè)網(wǎng)絡(luò)提供平滑的過渡機(jī)制

53、。硬件支持的從企業(yè)級到電信運(yùn)營商級的大規(guī)模路由表，硬件支持IPv6，并提供高性能的IPv6服務(wù)，在硬件中提供MPLS及MPLS/VPN的支持，可應(yīng)用在高速電信運(yùn)營商的網(wǎng)絡(luò)核心和城域以太網(wǎng)，提供豐富的MPLS服務(wù)。 </p><p>　　5、增強(qiáng)的數(shù)據(jù)、語音和視頻服務(wù)</p><p>　　在所有Cisco Catalyst 6500系列平臺上提供集成式IP通信， 提供10/100和10/10

54、0/1000接口模塊，借助在接口模塊內(nèi)增加電源子卡就可讓這些接口模塊提供在線的電源，提供IEEE 802.3af的支持，保護(hù)今天的投資。提供高密度的T1/E1和FXS的VoIP語音網(wǎng)關(guān)接口，可與公共電話網(wǎng)（PSTN）、傳統(tǒng)的電話、傳真和PBX連接，提供VoIP服務(wù)。</p><p>　　6、支持高性能的IP組播視頻和音頻應(yīng)用</p><p>　　提供一個統(tǒng)一管理的、經(jīng)濟(jì)的、可靈活擴(kuò)展的網(wǎng)絡(luò)

55、。最高的接口靈活性、可擴(kuò)展性和端口密度，滿足大型關(guān)鍵業(yè)務(wù)布線室、企業(yè)核心層和分布層需要的端</p><p>　　口密度和接口類型，每臺設(shè)備可提供576個支持語音的，具有在線電源的10/100/1000M銅線接口。提供192個GBIC千兆位以太網(wǎng)接口，萬兆以太網(wǎng)接口，和可提供高密度的OC-3 POS接口的通道化的OC-48接口。</p><p><b>　　一 匯聚層規(guī)劃</

56、b></p><p>　　區(qū)域匯聚層采用Cisco Catalyst 3750三層全千兆以太網(wǎng)交換機(jī)，區(qū)域匯聚交換機(jī)以雙千兆光纖與核心交換機(jī)相連，實現(xiàn)接入層與核心層之間的高速、高效中繼，提高校園網(wǎng)系統(tǒng)的結(jié)構(gòu)化層次和可管理性；</p><p>　　Cisco Catalyst 3750交換機(jī)它結(jié)合易用性和最高的冗余性，里程碑地提升了堆疊式交換機(jī)在局域網(wǎng)中的工作效率。這個產(chǎn)品系列采用了最

57、新的思科StackWise智能堆疊技術(shù)，不但實現(xiàn)高達(dá)32Gbps的堆疊互聯(lián)，還從物理上到邏輯上使若干獨(dú)立交換機(jī)在堆疊時集成在一起，便于用戶建立一個統(tǒng)一、高度靈活的交換系統(tǒng) -- 就好像是一整臺交換機(jī)一樣。這代表了堆疊式交換機(jī)新的工業(yè)技術(shù)水平和標(biāo)準(zhǔn)。</p><p>　　對于中型組織和企業(yè)分支機(jī)構(gòu)而言，Cisco Catalyst 3750可以通過提供配置靈活性，支持融合網(wǎng)絡(luò)模式，已經(jīng)自動配置智能化網(wǎng)絡(luò)服務(wù)，降低融

58、合應(yīng)用的部署難度，適應(yīng)不斷變化的業(yè)務(wù)需求。此外，Cisco Catalyst 3750系列針對高密度千兆位以太網(wǎng)部署進(jìn)行了專門的優(yōu)化，其中包含多種可以滿足接入、匯聚或者小型網(wǎng)絡(luò)骨干網(wǎng)連接需求的交換機(jī)。</p><p><b>　　主要特性和優(yōu)點(diǎn)</b></p><p>　　1、便于使用：“即插即用”配置：一個工作中的堆疊可以自行管理和配置。在用戶添加或者移除交換機(jī)時，

59、主控交換機(jī)會自動地更新所有的路由表，及時地反應(yīng)堆疊結(jié)構(gòu)的變化。升級信息將同時發(fā)送給堆疊的所有成員。</p><p>　　2、可擴(kuò)展性：快速以太網(wǎng)到千兆位以太網(wǎng)：Cisco Catalyst 3750系列最多可以將9個交換機(jī)堆疊在一起，構(gòu)成一個統(tǒng)一的邏輯單元，其中總共包含468個以太網(wǎng)或以太網(wǎng)供電10/100端口或者252個以太網(wǎng)10/100/1000端口、或9個10GB以太網(wǎng)端口。各個10/100、10/100/

60、1000和10Gb以太網(wǎng)單元可以根據(jù)網(wǎng)絡(luò)的需要任意組合。</p><p>　　3、混和搭配的交換機(jī)類型：堆疊可以由Cisco Catalyst 3750交換機(jī)的任意組合構(gòu)成。需要混用10/100、10/100/1000端口以太網(wǎng)供電和布線室匯聚的客戶</p><p>　　可以逐步地發(fā)展接入環(huán)境。當(dāng)上行鏈路容量需增加時，客戶可向堆疊添加一個配有10GB端口的型號產(chǎn)品，并用已有光纖上的10Gb

61、以太網(wǎng)升級自己的一條千兆位以太網(wǎng)鏈接，從而方便地升級其帶寬。</p><p>　　4、可用性：不中斷的第二層和第三層性能：Cisco Catalyst 3750系列可以提高可堆疊交換機(jī)的可用性。每個交換機(jī)可以充當(dāng)主控制器和轉(zhuǎn)發(fā)處理器。堆疊中的每臺交換機(jī)都可以充當(dāng)一個主控交換機(jī)，從而為網(wǎng)絡(luò)控制創(chuàng)建了一種1:N的可用性機(jī)制。在某個單元發(fā)生故障時（盡管發(fā)生這種情況的可能性很?。衅渌麊卧伎梢岳^續(xù)轉(zhuǎn)發(fā)流量和保持正常

62、運(yùn)行。</p><p>　　5、智能組播：利用思科StackWise技術(shù)，Cisco Catalyst 3750系列可以為組播應(yīng)用（例如視頻）提供更高的效率。每個數(shù)據(jù)分組只需要在堆疊互聯(lián)上發(fā)送一次，從而可以為更多的數(shù)據(jù)流提供更加有效的支持。</p><p>　　6、出色的服務(wù)質(zhì)量：覆蓋堆棧和線速：Cisco Catalyst 3750系列可以提供千兆位以太網(wǎng)速度和智能化的服務(wù)，從而可以保持

63、所有數(shù)據(jù)的平穩(wěn)傳輸--即使在十倍于正常網(wǎng)絡(luò)速度時。業(yè)界領(lǐng)先的標(biāo)記、分類和調(diào)度機(jī)制可以為數(shù)據(jù)、語音和視頻流量提供業(yè)界最佳的性能--全部都以線速提供。</p><p>　　7、安全性：對接入環(huán)境的精確控制：Cisco Catalyst 3750系列支持一組針對連接性和接入控制、全面的安全功能，其中包括ACL、身份認(rèn)證、端口級安全和基于身份識別的的、支持802.1x及其擴(kuò)展的網(wǎng)絡(luò)服務(wù)。</p><p

64、>　　8、單一IP管理：多臺交換機(jī)共享一個IP地址：每個Cisco Catalyst 3750系列堆疊都作為一個統(tǒng)一的對象進(jìn)行管理，擁有一個單一的IP地址。單一IP管理可以支持故障檢測、虛擬LAN創(chuàng)建和更改、安全和QoS控制等功能。</p><p>　　9、大型幀：為要求很高的應(yīng)用提供支持：Cisco Catalyst 3750系列可以在10/100/1000配置上支持大型幀，為那些需要使用很大數(shù)據(jù)幀的高級

65、數(shù)據(jù)和視頻應(yīng)用提供支持。</p><p>　　10、管理選項：Cisco Catalyst 3750系列可以提供一個用于精確配置、出色的命令行界面（CLI）和用于根據(jù)預(yù)設(shè)模板進(jìn)行快速配置的思科集群管理套件（CMS）軟件，這是一種基于Web的工具。此外，CiscoWorks也可以在整個網(wǎng)絡(luò)范圍內(nèi)對Cisco Catalyst 3750系列進(jìn)行管理。</p><p><b>　　二

66、接入層規(guī)劃</b></p><p>　　接入層 接入層直接面對用戶，可在匯接層交換機(jī)下采用若干支持802.1q或ISL VLAN功能的二層交換機(jī)，在二層交換機(jī)上延伸匯接層交換機(jī)的VLAN，從而將用戶劃分在不同的子網(wǎng)里，防止IP地址欺騙，一方面為了安全，一方面便于計費(fèi)。 </p><p>　　固定安裝的線速快速以太網(wǎng)桌面交換機(jī)Cisco Catalyst 2950系列，可以為局

67、域網(wǎng)（LAN）提供極佳的性能和功能。這些獨(dú)立的、10/100自適應(yīng)交換機(jī)能夠提供增強(qiáng)的服務(wù)質(zhì)量（QoS）和組播管理特性，所有的這些都由易用、基于Web的Cisco集群管理套件（CMS）和集成Cisco IOS軟件來進(jìn)行管理。帶有10/100/1000 BaseT上行鏈路的Cisco Catalyst 2950 銅線千兆位，能夠利用現(xiàn)有的5類銅線從快速以太網(wǎng)升級到更高性能的千兆位以太網(wǎng)主干。 </p><p>　　

68、以線速性能將終端工作站連接到LAN </p><p>　　由于Catalyst 2950具備8.8Gbps的交換背板和最大4.4 Gbps的數(shù)據(jù)吞吐率，所以在它把終端工作站和用戶連接到公司的LAN上時可以在各個端口提供線速連接性能。 </p><p>　　Catalyst 2950交換機(jī)支持性能增強(qiáng)特性，如Fast EtherChannel（快速以太通道）和GigabitEtherChan

69、nel（千兆位以太通道）技術(shù)，可在Catalyst 2950交換機(jī)、路由器和服務(wù)器之間提供最大4 Gbps的高性能帶寬。 </p><p>　　將LAN移植到千兆速度</p><p>　　Catalyst 2950T-24為桌面連接準(zhǔn)備了兩個固定10/100/1000 BaseT（銅線千兆位以太網(wǎng)）上行鏈路端口，同時還有24個10/100端口。這樣，就能夠把LAN升級到更高性能的千兆位以太

70、網(wǎng)，而每端口的成本增加量并不大。 </p><p><b>　　特性和關(guān)鍵優(yōu)點(diǎn)</b></p><p>　　1、各個端口包括千兆位端口的線速、無阻塞性能。 8.8Gbps交換結(jié)構(gòu)和最大660萬包/秒的傳輸速率，能夠保證最大的吞吐量。12或24個10BaseT/100BaseTX自適應(yīng)端口，每個可為單個用戶、服務(wù)器、工作組提供最大200Mbps的帶寬，完全可以支持對帶寬

71、需求苛刻的應(yīng)用。 </p><p>　　2、在硬件上，每個輸出端口支持四個隊列。 </p><p>　　WRR隊列算法確保低優(yōu)先級端口不會被忽視。 嚴(yán)格的優(yōu)先權(quán)安排配置保</p><p>　　證諸如語音等時間敏感的應(yīng)用能夠在交換結(jié)構(gòu)中一直使用快速路徑。 </p><p><b>　　3、超級管理能力</b></p

72、><p>　　簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）和Telnet界面可提供綜合的帶內(nèi)管理能力，同時，基于CLI的管理控制臺可提供詳盡的帶外管理能力。以每個端口和每個交換機(jī)為基礎(chǔ)的CiscoWorks Windows網(wǎng)絡(luò)管理軟件能夠提供有效的管理能力，可為Cisco路由器、交換機(jī)和集線器提供通用的管理界面。內(nèi)置遠(yuǎn)程監(jiān)視（RMON）軟件代理程序支持四種RMON組（歷史、統(tǒng)計、告警、事件），增強(qiáng)了流量管理、監(jiān)視和分析能力。交換機(jī)端

73、口分析（SPAN）端口利用一個網(wǎng)絡(luò)分析儀或RMON探測器監(jiān)視單個端口的流量。自動配置通過使用一個網(wǎng)絡(luò)根服務(wù)器對網(wǎng)絡(luò)中的多個交換機(jī)進(jìn)行自動安裝配置，從而簡化了交換機(jī)的配置工作。 </p><p>　　4、增強(qiáng)的安全性、管理和集成的Cisco IOS特性</p><p>　　Cisco Catalyst 2950交換機(jī)有幾個不尋常的特點(diǎn)來提高網(wǎng)絡(luò)性能、可管理性和安全性。網(wǎng)絡(luò)管理員可以為每個交換

74、機(jī)配置最多64個虛擬LAN（VLAN）來獲得更高水平的數(shù)據(jù)安全性和增強(qiáng)的LAN性能。這就保證了數(shù)據(jù)包只傳送到特定VLAN內(nèi)的工作站，這樣相當(dāng)于在網(wǎng)絡(luò)上的各組端口之間建立了一個虛擬防火墻，從而減少了廣播傳輸。VLAN主干可以利用標(biāo)準(zhǔn)的802.1Q VLAN主干結(jié)構(gòu)從任何端口創(chuàng)建。每個VLAN生成樹（PVST+）允許用戶建立冗余的上行鏈路，通過多重鏈路分配流量負(fù)載。而這些都是通過標(biāo)準(zhǔn)的生成樹協(xié)議（STP）無法實現(xiàn)的。使用Catalyst 2

75、950交換機(jī)，網(wǎng)絡(luò)管理員可以實現(xiàn)高水平的端口和控制臺安全性能。介質(zhì)訪問控制（MAC）基于地址的端口級安全性可以防止未授權(quán)的工作站訪問交換機(jī)。另外，還可以創(chuàng)建靜態(tài)和動態(tài)地址的訪問權(quán)限，為管理員提供對網(wǎng)絡(luò)訪問的強(qiáng)大控制能力。交換機(jī)控制臺的多層訪問安全性可防止未授權(quán)的用戶訪問或更改交換機(jī)配置；終端訪問控制器訪問控制系統(tǒng)（TACACS+）驗證可集中協(xié)調(diào)大量網(wǎng)絡(luò)設(shè)備的訪問控制。 </p><p><b>　　5、

76、完善的服務(wù)質(zhì)量</b></p><p>　　Catalyst 2950系列能夠提供完善的LAN邊緣QoS，。所有的Catalyst 2950交換機(jī)支持兩種模式的重新分類方法。一種模式基于IEEE 802.1p標(biāo)準(zhǔn)，遵從接入點(diǎn)的服務(wù)等級（CoS）值并把數(shù)據(jù)包分配到合適的隊列中。第二種模式，數(shù)據(jù)包根據(jù)由網(wǎng)絡(luò)管理員分配給接入端口的缺省CoS值來進(jìn)行重新分類。如果到達(dá)</p><p>

77、　　的幀沒有CoS值(如未做標(biāo)記的幀），Catalyst2950交換機(jī)就根據(jù)網(wǎng)絡(luò)管理員分配給每個端口的缺省CoS值來進(jìn)行分類。 </p><p>　　一旦數(shù)據(jù)幀使用上面所說的兩種模式分類或重新分類后，即被分配到最合適的輸出隊列中去。Catalyst 2950交換機(jī)支持四種輸出隊列，使網(wǎng)絡(luò)管理員在為LAN流量的各種應(yīng)用指定優(yōu)先權(quán)時更加容易區(qū)分和有針對性。嚴(yán)格的優(yōu)先權(quán)分配可以保證諸如語音等時間敏感的應(yīng)用在通過交換結(jié)構(gòu)

78、時一直使用高速路徑。另外，另一種重要的增強(qiáng)措施即加權(quán)循環(huán)（WRR）策略也能保證低優(yōu)先級的負(fù)載在沒有被網(wǎng)絡(luò)管理員進(jìn)行優(yōu)先級配置的情況下，能夠得到重視。 </p><p>　　這些特性使網(wǎng)絡(luò)管理員可以把關(guān)鍵任務(wù)和時間敏感的流量，如ERP（Oracle，SAP等）、語音（IP電話流量）和CAD/CAM，優(yōu)于低時間敏感的應(yīng)用如FTP或e-mail（SMTP）等來設(shè)置更高級別的優(yōu)先權(quán)。 </p><p&

79、gt;<b>　　6、安全性和冗余性</b></p><p>　　支持IEEE 802.1x。Cisco快速上行鏈路技術(shù)保證快速的故障恢復(fù)（典型值小于3秒），使網(wǎng)絡(luò)的綜合性能更加穩(wěn)定和可靠。 專用VLAN邊緣為交換機(jī)的端口間提供安全性和隔離性，同時保證語音流量從進(jìn)入點(diǎn)通過虛擬通道直接傳輸?shù)絽R集設(shè)備，而不會被定位到其它無關(guān)端口?；贛AC的端口級安全性可以防止未授權(quán)的工作站訪問交換機(jī)。IEEE

80、 802.1D STP對冗余主干連接和無環(huán)路網(wǎng)絡(luò)的支持簡化了網(wǎng)絡(luò)配置過程，提高了容錯能力。支持Cisco冗余電源系統(tǒng)300（RPS300），配有最多可達(dá)6個單元的內(nèi)置備份電源，提高了容錯能力和網(wǎng)絡(luò)正常工作時間。 控制臺訪問的多級安全性可以防止未授權(quán)的用戶修改交換機(jī)配置。支持TACACS+驗證對交換機(jī)的集中控制，防止未授權(quán)的用戶更改配置。</p><p>　　第四節(jié) VLAN概述</p><p&

81、gt;　　VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)?！　LAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無

82、須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播</p><p>　　流量都不會轉(zhuǎn)發(fā)到其他VLAN中，即使是兩臺計算機(jī)有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 　　VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用V

83、LAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。 　　既然VLAN隔離了廣播風(fēng)暴，同時也隔離了各個不同的VLAN之間的通訊，所以不同的VLAN之間的通訊是需要有路由來完成的。</p><p>　　一 VLAN的作用</p><p>　　1、降低移動和變更的管理成本

84、：在學(xué)校里，由于教學(xué)人員的變更比較頻繁，當(dāng)把一臺計算機(jī)從一個子網(wǎng)轉(zhuǎn)移到另一個子網(wǎng)，如果使用了VLAN，遷移的工作只是在交換機(jī)上重新定義VLAN即可，尤其是采用網(wǎng)卡的MAC地址來劃分VLAN時，交換機(jī)能夠自動跟蹤該終端的MAC地址，并自動將其納如定義的VLAN中，對于網(wǎng)絡(luò)管理而言，可以輕松完成變更。假若使用物理手段劃分子網(wǎng)，這種遷移所耗費(fèi)的精力和時間相當(dāng)可觀的。</p><p>　　2、控制廣播：由于不同的VLAN

85、都是一個獨(dú)立的廣播域，而廣播只能在本地VLAN內(nèi)進(jìn)行，從而大大減少了廣播對網(wǎng)絡(luò)帶寬的占用，提高了帶寬傳輸效率，并可以有效地避免廣播風(fēng)暴的產(chǎn)生。</p><p>　　3、增強(qiáng)網(wǎng)絡(luò)的安全性：由于交換機(jī)只能在同一VLAN內(nèi)的端口之間交換數(shù)據(jù)，不同VLAN的端口不能直接訪問，因此，通過劃分VLAN可以提高網(wǎng)絡(luò)的安全性。</p><p>　　4、網(wǎng)絡(luò)監(jiān)督和管理的自動化：網(wǎng)絡(luò)管理員可以通過網(wǎng)管軟件可以

86、查詢VLAN間和VLAN內(nèi)通信的數(shù)據(jù)包的分類信息，以及應(yīng)用數(shù)據(jù)包的分類信息，這些信息可以確定路由系統(tǒng)和經(jīng)常訪問的服務(wù)器的最佳配置十分有用。通過劃分VLAN可以使網(wǎng)絡(luò)管理變的更加簡單、有效。</p><p>　　第五節(jié) VPN概述</p><p>　　虛擬專用網(wǎng)絡(luò)(Virtual Private Network,VPN)是利用不可靠的公用互聯(lián)網(wǎng)絡(luò)</p><p>　

87、　作為信息傳輸媒介，通過附加的安全隧道、用戶認(rèn)證和訪問控制等技術(shù)實現(xiàn)與專用網(wǎng)絡(luò)相類似的安全性能，從而實現(xiàn)對重要信息的安全傳輸。 根據(jù)技術(shù)應(yīng)用環(huán)境的特點(diǎn)，VPN大致包括三種典型的應(yīng)用環(huán)境，即Intranet VPN, Remote Access VPN和Extranet VPN。其中Intranet VPN主要是在內(nèi)部專用網(wǎng)絡(luò)上提供虛擬子網(wǎng)和用戶管理認(rèn)證功能；Remote Access VPN側(cè)重遠(yuǎn)程用戶接入訪問過程中對信息資源的

88、保護(hù)；而Extranet VPN則需要將不同的用戶子網(wǎng)擴(kuò)展成虛擬的企業(yè)網(wǎng)絡(luò)。這三種方式中Extranet VPN應(yīng)用的功能最完善，而其他兩種均可在它的基礎(chǔ)上生成，因此，我們主要講解Extranet VPN,同時兼顧另兩種應(yīng)用方式的特點(diǎn)。 VPN技術(shù)的優(yōu)點(diǎn)主要包括： 1、 信息的安全性：虛擬專用網(wǎng)絡(luò)采用安全隧道(Secure Tunnel)技術(shù)向用戶提供無縫(Seamless)的和安全的端到端連接服務(wù)，確保信息資源的安全。

89、 2、 方便的擴(kuò)充性：用戶可以利用虛擬專用網(wǎng)絡(luò)技術(shù)方便地重構(gòu)企業(yè)專用網(wǎng)絡(luò)(Private Network)，實現(xiàn)異</p><p>　　一 VPN決解方案</p><p>　　考慮到校園網(wǎng)內(nèi)需要訪問數(shù)據(jù)庫、有眾多應(yīng)用系統(tǒng)，所以我推薦用隧道式SSL VPN，隧道式SSL VPN是在WEB SSL VPN的基礎(chǔ)上發(fā)展起來的，有IPSec VPN的"網(wǎng)絡(luò)訪問"方式，

90、可以解決所有傳統(tǒng)的C/S應(yīng)用程序的問題，支持所有應(yīng)用(TCP、UDP，廣播，多播等)，可以訪問按照安全策略允許訪問的內(nèi)網(wǎng)地址和端口。同時，客戶端一次性自動安裝插件，保留了WEB SSL的客戶端免安裝的優(yōu)勢。</p><p>　　1、身份驗證：使用已經(jīng)存在的用戶信息數(shù)據(jù)或與學(xué)校統(tǒng)一的身份認(rèn)證系統(tǒng)</p><p>　　對接進(jìn)行身份認(rèn)證。 2、多種用戶環(huán)境支持：支持專線寬帶接入、小區(qū)寬帶

91、接入、ADSL寬帶接入、CABLE MODEM寬帶接入、ISDN撥號接入、普通電話撥號接入、GPRS接入、CDMA接入等多種因特網(wǎng)接入方式；滿足校外老師網(wǎng)絡(luò)接入復(fù)雜、多樣的問題。 3、多線路最優(yōu)選路設(shè)計：因為用戶接入有以上多種方式，實現(xiàn)了“智能自動選擇”功能，以實現(xiàn)多線路最優(yōu)選路。所謂“智能自動選擇”是指，利用負(fù)載均衡技術(shù)，在各分支節(jié)點(diǎn)在與總部構(gòu)建VPN隧道時，總部VPN設(shè)備能智能分析判斷客戶機(jī)的外網(wǎng)訪問請求及線路狀況，并分配合

92、理線路，以實現(xiàn)最快速度訪問。此設(shè)計能夠能增強(qiáng)中心節(jié)點(diǎn)的出口帶寬分配和網(wǎng)絡(luò)穩(wěn)定性。如果某一條線路中斷，有策略協(xié)議對VPN客戶端切換到無故障線路上，反應(yīng)速度非?？欤虚g幾乎沒有任何延遲，可以最大程度地減少費(fèi)用和故障切換時間。這樣既保證了數(shù)據(jù)安全無間斷的傳輸，又有效地實現(xiàn)了數(shù)據(jù)在各條線路上的分流，同時保證大量客戶端都能正常訪問總部應(yīng)用服務(wù)器。 4、多應(yīng)用支持：因系統(tǒng)采用隧道式SSL VPN解決方案，所以支持教學(xué)視頻點(diǎn)播、圖書館系統(tǒng)、數(shù)

93、字圖書館系統(tǒng)、數(shù)據(jù)庫資源共享系統(tǒng)、游戲等多種</p><p>　　二 VPN的網(wǎng)絡(luò)管理</p><p>　　用戶IP地址管理：對于用戶IP地址管理，主要體現(xiàn)在用戶網(wǎng)絡(luò)和公共同網(wǎng)絡(luò)之間的IP地址分配辦法。根據(jù)隧道協(xié)議的不同，采用不同的用戶IP地址分配策略。對于用戶內(nèi)部網(wǎng)絡(luò)的管理，可采用合法或保留IP地址策略。校園內(nèi)部的IP地址對于公網(wǎng)來說是透明的。VPN將企業(yè)內(nèi)部的數(shù)據(jù)進(jìn)行重新封裝之后在公

94、網(wǎng)之上傳輸。對于遠(yuǎn)程用戶來講，其分配的IP地址策略根據(jù)VPN連接所采用的隧道協(xié)議而變化。</p><p>　　網(wǎng)絡(luò)層地址管理：網(wǎng)絡(luò)層地址管理（NLAM）是指撥號VPN建立遠(yuǎn)端節(jié)點(diǎn)的網(wǎng)絡(luò)層有關(guān)協(xié)議配置和域名登記的能力。</p><p>　　VPN成員的管理：對VPN成員的管理，主要包括用戶連接的認(rèn)證、授權(quán)以及內(nèi)部IP地址分配，VPN隧道建立，數(shù)據(jù)加密，用戶訪問權(quán)限管理等多個重要功能。<

95、/p><p>　　1、成員認(rèn)證：在遠(yuǎn)程成員接入企業(yè)內(nèi)部之前必須對其進(jìn)行用戶身份認(rèn)證。用戶數(shù)據(jù)集中存儲于外部的數(shù)據(jù)庫中。對用戶數(shù)據(jù)庫的訪問需要一個中間協(xié)議來完成，如LDAP或者RADIUS等認(rèn)證協(xié)議。</p><p>　　2、訪問控制過濾和用戶優(yōu)先級定義：用戶接入之后，要對用戶進(jìn)行訪問控制過濾，主要過濾內(nèi)容為用戶源、目的IP、目的端號、TCP連接定制等。在對用戶進(jìn)行訪問之后，要根據(jù)用戶認(rèn)證數(shù)據(jù)庫

96、內(nèi)容對用戶進(jìn)行呼叫先級定義，主要是解決大量用戶接入帶來的網(wǎng)絡(luò)擁塞問題，在網(wǎng)絡(luò)擁塞到一定程度之后，將只允許優(yōu)先級較高的連接建立，但一旦連接建立之后就不再中斷。</p><p><b>　　第三章 網(wǎng)絡(luò)維護(hù)</b></p><p><b>　　第一節(jié) 網(wǎng)絡(luò)管理</b></p><p>　　網(wǎng)絡(luò)管理包括對硬件、軟件和人力的使用、

97、綜合與協(xié)調(diào)，以便對網(wǎng)絡(luò)資源進(jìn)行監(jiān)視、測試、配置、分析、評價和控制，這樣就能以合理的價格滿足網(wǎng)絡(luò)的一些需求，如實時運(yùn)行性能、服務(wù)質(zhì)量等。網(wǎng)絡(luò)管理常簡稱為網(wǎng)管。</p><p>　　網(wǎng)絡(luò)管理，是指網(wǎng)絡(luò)管理員通過網(wǎng)絡(luò)管理程序?qū)W(wǎng)絡(luò)上的資源進(jìn)行集中化管理的操作，包括配置管理、性能和記賬管理、問題管理、操作管理和變化管理等。一臺設(shè)備所支持的管理程度反映了該設(shè)備的可管理性及可操作性。</p><p>

98、　　而交換機(jī)的管理功能是指交換機(jī)如何控制用戶訪問交換機(jī)，以及用戶對交換機(jī)的可視程度如何。通常，交換機(jī)廠商都提供管理軟件或滿足第三方管理軟件遠(yuǎn)程管理交換機(jī)。一般的交換機(jī)滿足SNMP MIB I / MIB II統(tǒng)計管理功能。而復(fù)雜一些的交換機(jī)會增加通過內(nèi)置RMON組（mini-RMON）來支持RMON主動監(jiān)視功能。有的交換機(jī)還允許外接RMON探監(jiān)視可選端口的網(wǎng)絡(luò)狀況。常見的網(wǎng)絡(luò)管理方式有以下幾種：</p><p>

99、　?。?）SNMP管理技術(shù)</p><p>　?。?）RMON管理技術(shù)</p><p>　?。?）基于WEB的網(wǎng)絡(luò)管理</p><p>　　SNMP是英文“Simple Network Management Protocol”的縮寫，中文意思是“簡單網(wǎng)絡(luò)管理協(xié)議”。SNMP首先是由Internet工程任務(wù)組織(Internet Engineering Task Fo

100、rce)(IETF)的研究小組為了解決Internet上的路由器管理問題而提出的。</p><p>　　SNMP是目前最常用的環(huán)境管理協(xié)議。SNMP被設(shè)計成與協(xié)議無關(guān)，所以它可以在IP，IPX，AppleTalk，OSI以及其他用到的傳輸協(xié)議上被使用。SNMP是一系列協(xié)議組和規(guī)范（見下表），它們提供了一種從網(wǎng)絡(luò)上的設(shè)備中收集網(wǎng)絡(luò)管理信息的方法。SNMP也為設(shè)備向網(wǎng)絡(luò)管理工作站報告問題和錯誤提供了一種方法。<

101、/p><p>　　目前，幾乎所有的網(wǎng)絡(luò)設(shè)備生產(chǎn)廠家都實現(xiàn)了對SNMP的支持。領(lǐng)導(dǎo)潮流的SNMP是一個從網(wǎng)絡(luò)上的設(shè)備收集管理信息的公用通信協(xié)議。設(shè)備的管理者收集這些信息并記錄在管理信息庫（MIB）中。這些信息報告設(shè)備的特性、數(shù)據(jù)吞吐量、通信超載和錯誤等。MIB有公共的格式，所以來自多個廠商的SNMP管理工具可以收集MIB信息，在管理控制臺上呈現(xiàn)給系統(tǒng)管理員。</p><p>　　通過將SNMP嵌

102、入數(shù)據(jù)通信設(shè)備，如交換機(jī)或集線器中，就可以從一個中心站管理這些設(shè)備，并以圖形方式查看信息。目前可獲取的很多管理應(yīng)用程序通?？稍诖蠖鄶?shù)當(dāng)前使用的操作系統(tǒng)下運(yùn)行，如Windows3.11、Windows95 、Windows NT和不同版本UNIX的等。</p><p>　　一個被管理的設(shè)備有一個管理代理，它負(fù)責(zé)向管理站請求信息和動作，代理還可以借助于陷阱為管理站提供站動提供的信息，因此，一些關(guān)鍵的網(wǎng)絡(luò)設(shè)備（如集線器

103、、路由器、交換機(jī)等）提供這一管理代理，又稱SNMP代理，以便通過SNMP管理站進(jìn)行管理。 </p><p><b>　　第二節(jié) 遠(yuǎn)程監(jiān)控</b></p><p>　　1、 什么是遠(yuǎn)程監(jiān)控 </p><p>　　遠(yuǎn)程監(jiān)控從字面上理解可以分為“監(jiān)”和“控”兩部分，其中“監(jiān)”也就是遠(yuǎn)程監(jiān)視，可以分為兩大部分：一是對環(huán)境的監(jiān)視，二是對計算機(jī)系統(tǒng)及網(wǎng)絡(luò)設(shè)

104、備的監(jiān)視，不管怎么說遠(yuǎn)程監(jiān)視就是指通過網(wǎng)絡(luò)獲得信息為主：而“控”也就是指遠(yuǎn)程控制，是指通過網(wǎng)絡(luò)對遠(yuǎn)程計算機(jī)進(jìn)行操作的方法，它不僅僅包括對遠(yuǎn)程計算機(jī)進(jìn)行重新啟動、關(guān)機(jī)等操作、還包括對遠(yuǎn)端計算機(jī)進(jìn)行日常設(shè)置的工作。通過硬件的配和還可以實現(xiàn)遠(yuǎn)程開機(jī)的功能?？偠灾胪耆刂七h(yuǎn)端的計算機(jī)，首先應(yīng)該能夠?qū)ζ浔O(jiān)視，也就是可以看到該計算機(jī)的屏幕顯示，然后才談得上“控制”，遠(yuǎn)程控制必須做到“監(jiān)”、“控”結(jié)合，因此我們通常說的遠(yuǎn)程監(jiān)控一般泛指就是這種