2022年网络工程与系统集成 .pdf

- 1 - 网络工程与系统集成期末大作业需求分析：1）某大学具有 6 个二级学院，分别位于同一城市的4 个园区，其中大学与两个二级学院在同一个园区（园区1），另外两个二级学院位于另一个园区（园区 2），而其它两个学院分别位于园区3 和园区 4。2）大学向因特网发布信息并为全校提供有关的信息化服务，每个学院也自行向因特网发布学院信息并负责学院自己的信息服务，每个学院都拥有约1500台 PC机。3)大 学 已从CERNET 有 关 机 构申 请 了IPV4地 址 块202.113.128.0/24202.113.137.0/24。4)校园网络遵循网络核心层、 网络汇聚层、 网络接入层的三层结构模式：选用万兆以太网作为连接大学4 个园区的高速主干； 选用千兆以太网作为各个园区的主干，形成大学校园网的汇聚层； 选用百兆以太网 LAN作为基本接入形式。 大学校园网与因特网具有统一接口，即通过百兆以太网接入 CERNET 。设计要求：1）为校园网规划 IP 地址；2）为校园网设计网络拓扑结构( 用 VISIO2003 画图）；3）为校园网选择适当的网络设备；4）为校园网选择路由协议；5）为校园网选择网络安全措施。设计方案：一， 需求分析和设计考虑这是当前许多大学和企业面临的一个非常典型的大型园区网设计问题。位于同城市不同区域的4 个网络自行设计， 通过以太网光纤连接到核心交换机上，以及 vlan 间的路由技术，构成在拓扑上的统一结构。1） 由于在某个时期网络具有特定的主流技术，因此近年来建设的园区网大多采用万兆核心， 千兆到楼宇，百兆到 LAN/桌面的以太网解决方案。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 23 页 - - - - - - - - - - 2 - 事实上，这种结构是一种二层结构的网络拓扑，其中的千兆构成了汇聚层的主干，而百兆到LAN/主机构成了接入层。因此，一种解决方案就是选用万兆以太网作为整个核心层，形成校园网主干，并且该校园网主干采用因特网公有地址。2） 选用万兆交换机互联各个园区网的原因在于：其一，各园区网均采用以太网技术体系，兼容性好。其二，大学将校园网上开展教学视频观摩，远程听课等工作，提供高速率信息通道是必要的。万兆交换机是具有路由功能的多层交换机，在校园网环境下能够提供更好的性能。其三是价格因素，若在覆盖几十千米采用高速路由器的话，通常要采用 SDH 技术，这会使有关设备的价格增加23 倍。尽管高速路由器会使各个园区具有更好的隔离性，但在校园网中用处不大。因此选用多层交换机作为汇聚层的节点，在各个园区划分vlan ，隔离广播信息，再通过多层交换机的vlan 间路由技术， 进而构建跨区域的技术互联。3） 根据要求， 该校园从 CERNET 获得的 IP 地址数量是无法满足需求的，只能提供向因特网发布信息和联系，或进行网络科学研究之用，因此构成校园网 IP 地址的主体是经过NAT 或者 PAT地址转换的专用网地址。使用这些专用地址不利于与其他大学的学术交流，但也不得已而为之的方法；另一方面，可以减少网络黑客对校园网的侵扰。4） 由于网络的规模较大，考虑到以后的可扩展性，路由协议采用OSPF 。5） 考虑到设备的可管理型，网络管理协议选用SNMP 。二， 设备选用：（1） 交换机（多层交换机）的选用：二层交换机用于小型的局域网络。这个就不用多言了， 在小型局域网中， 广播包影响不大， 二层交换机的快速交换功能、 多个接入端口和低谦价格为小型网络用户提供了很完善的解决方案。路由器的优点在于接口类型丰富，支持的三层功能强大， 路由能力强大， 适合用于大型的网络间的路由， 它的优势在于选择最佳路由，负荷分担， 链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，加入路由功能也是为这个目的服务的。如果把大型网络按照部门， 地域等等因素划分成一个个小局域网， 这将导致大量的网际互访， 单纯的使用二层交换机不能实现网际互访； 如单纯的使用路由器， 由于接口数量有限和路由转发速度慢，将限名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 23 页 - - - - - - - - - - 3 - 制网络的速度和网络规模， 采用具有路由功能的快速转发的三层交换机就成为首选。一般来说，在内网数据流量大， 要求快速转发响应的网络中，如全部由三层交换机来做这个工作， 会造成三层交换机负担过重，响应速度受影响， 将网间的路由交由路由器去完成，充分发挥不同设备的优点，不失为一种好的组网策略，当然，前提是客户的腰包很鼓， 不然就退而求其次， 让三层交换机也兼为网际互连。第四层交换的一个简单定义是：它是一种功能，它决定传输不仅仅依据MAC地址( 第二层网桥 ) 或源/ 目标 IP 地址(第三层路由 ), 而且依据 TCP/UDP( 第四层 ) 应用端口号。第四层交换功能就象是虚IP，指向物理服务器。它传输的业务服从的协议多种多样，有HTTP 、FTP 、NFS 、Telnet 或其他协议。这些业务在物理服务器基础上，需要复杂的载量平衡算法。在IP 世界，业务类型由终端TCP或UDP 端口地址来决定，在第四层交换中的应用区间则由源端和终端IP 地址、TCP和 UDP 端口共同决定。根据流量计算，每个园区网中有1500 台计算机，如果同时上网，会有部分人看视频，聊 QQ ，浏览网页等，经过估算，带宽的平均占用为30kbps。那么，每个园区网的总带宽应该为30kbps*1500=3.945Mbps，考虑到设备之间的通信，以及设备的冗余情况， 我们应把园区网核心交换机的处理能力定位在1000Mbps 。而大学共包含 6 个二级学院，因此总带宽为43.945Mbps*6=263.67Mbps，同样考虑设备间的通讯以及设备冗余，我们应该把校园核心交换机的处理能力定位在10000Mbps ，根据以上的数据统计，我们采用以下性能的设备。A、核心层交换机：特征参数机箱模块化交换机，插槽数9 个端口速率1000/10000Mb 、GE 、10GE 端口密度大于 96 个，根据模块选购GE/10GE 背板带宽大于 600Gbps 软件全路由及 QoS 、安全等其它功能引擎、电源备份B、汇聚层交换机：特征参数机箱模块化交换机，插槽数6 个以上端口速率1000/10000Mb 、GE 、10GE 端口密度大于 48 个，根据模块选购GE/10GE 背板带宽大于 120Gbps 软件全路由及 QoS 、安全等其它功能引擎、电源备份C、接入层交换机：特征参数端口数2448个固定配置交换机端口速率10/100/1000Mb 上行端口24个，GE或 10GE速率名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 23 页 - - - - - - - - - - 4 - 背板带宽大于 20Gbps 软件全路由及 QoS 、安全等其它功能支持 PoE 参考设备：A、园区网核心交换机： cisco6500 系列交换机产品规格：特性Cisco Catalyst 6500系列系统特性机箱配置?3 插槽?6 插槽?9 插槽?9 个垂直插槽?13 插槽背板带宽?32Gbps 共享总线?256Gbps 交换矩阵?720Gbps 交换矩阵第三层转发性能?Supervisor 1 MSFC：15Mpps ?Supervisor 2 MSFC：210Mpps ?Supervisor 720 ：400Mpps 操作系统?Catalyst OS(CatOS) ?Cisco IOS ?CatOS/IOS混合配置冗余交换管理引擎?支持，支持状态化故障切换冗余部件?电源（ 1+1）?交换矩阵（ 1+1 ）?可更换时钟?可更换风扇架高可用性特性?网关负载均衡协议（GLBP ）?热备份路由器协议（HSRP ）?跨多模块 EtherChannel ?快速生成树?多生成树?每 VLAN 快速生成树?快速收敛的第三层协议最高系统端口密度10/100/1000以太网10/100 快速以太网?576 个端口，都支持馈线电源?1152 个端口，都支持馈线电源名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 23 页 - - - - - - - - - - 5 - 100-BASE-FX千兆位以太网（GBIC ）10 千兆位以太网（XENPAK ）?288 个端口?194 个端口（在交换管理引擎上提供了2 个端口）?32 个端口集成 WAN 模块FlexWAN(DS0到 OC-3) OC-3 POS 端口OC-12 POS端口OC-12 ATM端口OC-48 POS/DPT端口?12 个模块，带24 个端口适配器?192 ?48 ?24 ?24 PSTN 接口数字 T1/E1 中继端口FXS 接口高级服务模块?216 ?864 ?千兆位防火墙?千兆位 VPN ?高性能入侵检测?千兆位内容交换模块?高性能 SSL 端接?千兆位内容服务网关B、汇聚层交换机： Cisco Catalyst 3560-X 系列产品规格：Enhance productivity by using Cisco Catalyst 3560-X Series Switches to enable applications such as IP telephony, wireless, and video. These enterprise-class switches provide high availability, scalability, security, energy efficiency, and ease of operation with innovative features such as: ?IEEE 802.3at Power over Ethernet Plus (PoE+) configurations ?Optional network modules ?Redundant power supplies ?MAC security features Key Features?Connectivity options: o24 and 48 10/100/1000 PoE+ and non-PoE models oPoE+ with 30W power on all ports in 1 rack unit (RU) form factor oOptional four 1 GE SFP (Small Form-Factor Pluggable) or two 10 GE SFP+ uplink network modules ?High availability due to dual redundant, modular power supplies and fans 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 23 页 - - - - - - - - - - 6 - ?Investment protection: oEnhanced limited lifetime warranty oEnhanced Cisco EnergyWise to measure, report, and reduce energy usage across your organization ?Security: oMAC security hardware-based encryption oMulticast routing, IPv6 routing, and access control list in hardware ?Software versions: oLAN Base: Enterprise Access Layer 2 Switching oIP Base: Enterprise Access Layer 3 Switching, including OSPF (Open Shortest Path First) for routed access oIP Services: Advanced Layer 3 Switching (IPv4 and IPv6) C、接入层交换机： Cisco Catalyst 3750系列交换机产品规格：Cisco Catalyst 3750系列包括以下配置：?Cisco Catalyst 3750G-24TS24 个以太网 10/100/1000 端口和 4 条小型可插拔 (SFP)上行链路?Cisco Catalyst 3750G-24T24 个以太网 10/100/1000 端口?Cisco Catalyst 3750G-12S12 个千兆位以太网 SFP端口?Cisco Catalyst 3750-48TS48 个以太网 10/100 端口和 4 条 SFP上行链路?Cisco Catalyst 3750-24TS24 个以太网 10/100 端口和 2 条 SFP上行链路?Cisco Catalyst 3750-48PS48 个以太网 10/100 端口，带 IEEE 802.3af和思科预标准以太网电源 (PoE) ，4 条 SFP 上行链路?Cisco Catalyst 3750-24PS24 个以太网 10/100 端口，带 IEEE 802.3af和思科预标准以太网电源 (PoE) ，2 条 SFP 上行链路?Cisco Catalyst 3750G-16TD16 个千兆位以太网 10/100/1000 端口和 1条万兆位以太网 XENPAK 上行链路?Cisco Catalyst 3750G-24TS-1U24 个以太网 10/100/1000 端口和 4 条SFP上行链路， 1 机架单元 (RU)高?Cisco Catalyst 3750G-24PS24 个以太网 10/100/1000 端口，带 IEEE 802.3af 和思科预标准 PoE ，4 条 SFP上行链路?Cisco Catalyst 3750G-48TS48 个以太网 10/100/1000 端口和 4 条 SFP上行链路?Cisco Catalyst 3750G-48PS48 个以太网 10/100/1000 端口，带 IEEE 802.3af 和思科预标准 PoE ，4 条 SFP上行链路名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 23 页 - - - - - - - - - - 7 - （2） 路由器的选用：路由器的选用，我们考虑以下几点情况：A、一般在核心层和分发层之间部署；B、在冗余链路上提供等成本负载均衡时，可以快速重路由；C、建立 3 角连接而不是 4 角连接；D、建立路由邻居的链路用于转发流量；E、确保冗余的 3 层路径不存在黑洞；F、分发层根据可进行路由汇总；但现在不建议这么做；G 、通过调整 CEF的 3 层/4 层负载均衡 hash，以获得最大的等成本开销路径的利用率(CEF polarization)。考虑到我们在大学与学院的汇聚层采用的是多层交换机，因此，无需在此层面花费过多的经费去采购三层设备， 只需在核心层连接ISP 运营上的出口配置路由器即可， 同样考虑到设备处理转发数据的性能，以及对模块带宽的要求， 我们选用如下设备：Cisco 7200 系列路由器：关键特性：?高性能交换支持高速介质和高密度配置；通过其基于RISC和 SRAM配置的系统处理器， Cisco 7200 每秒可以交换 30 万个信息包。?全面的 Cisco IOS 软件支持和高性能网络服务增强高速执行服务质量、安全、压缩和加密等网络服务。?高密度端口提供高密度端口以及广泛的局域网和广域网介质，大大降低了每端口成本，并允许灵活地进行配置。?公用端口适配器利用和Cisco 7200通用接口处理器（ VIP）相同的端口适配器，简化了备件存储，并提供接口投资保护。（3） 防火墙的选用：Cisco ASA 5500 系列自适应安全设备：防火墙版： 使企业能够安全、 可靠地部署关键业务应用和网络。独特的模块化设计能够提供卓越的投资保护，降低运作成本。IPS 版：通过一组防火墙、应用安全性和入侵防御服务，防止关键业务服务器和基础设施遭受蠕虫、黑客及其它威胁的袭击。Anti-X版：利用全面的安全服务套件，为小型站点或远程站点的用户提供保护。企业级防火墙和VPN服务提供到公司网络的安全连接。来自 Trend Micro 的业内领先的 Anti-X 服务能够防止客户端系统遭受恶意Web 站点以及病毒、间谍软件和诱骗等基于内容的威胁侵袭。SSL/IPsec VPN版：使远程用户能够安全地访问内部网络系统和服务，为大型企业部署支持VPN集群。安全套接字层（ SSL ）和 IP Security（IPsec）VPN 远程接入技术将Cisco Secure Desktop 等威胁迁移技术与防火墙和入侵防御服务有机地结合在一起，保证VPN流量不会给企业带来威胁。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 23 页 - - - - - - - - - - 8 - 最高防火墙吞吐量（Mbps ）150 最高3DES/AES VPN 吞吐量（Mbps ）100 最高连接数10,000/25,000 集成式端口8 端口 10/100 交换机，带2 个以太网供电端口SSC/SSM 扩展插槽是（SSC ）应用层安全性是L2 透明防火墙是（4） 无线设备： Cisco 5500 系列无线控制器Cisco 5500 系列无线控制器实现无线配置和管理功能的自动化，为网络管理员提供更强的可视性和更大的控制能力，让管理员更有成本效益地管理无线网络和保障无线网络安全。本控制器作为思科一体化无线网络 (Cisco Unified Wireless Network) 的一个组件，提供 Cisco Aironet?无线接入点、 Cisco 无线控制系统（Wireless Control System， WCS ） 与 Cisco 移动服务引擎 (Mobility Services Engine) 之间的实时通信。同时还提供集中化安全策略、无线入侵防御系统 (IPS) 能力、获奖的 RF 管理，以及高质量服务 (QoS) 。为下一代无线网络而优化，5500 系列无线控制器： 提供改善的移动性； 让企业做好使用最新移动设备和应用程序的准备； 比其他无线局域网控制器支持更高密度的用户； 提供更高效的漫游服务，吞吐量至少是现有 802.11a/g 网络的九倍。（5） 线缆：根据以上对于设备占用带宽的分析， 以及考虑成本和维护的费用以及方便程度，我们将在核心层、汇聚层采用“以太网光纤”，接入层采用“7 类双绞线”，这样不仅能够保证网络的稳定性和冗余，而且能为以后的升级、维护提供方便。线材选用：华为 1000BASE-LX （SFP ）技术规格：模块类型传输距离传输介质传输波长接口类型传输速率工作电压SFP 10 公里单模光纤1310 纳米双 LC接口1.25Gb/s 3.3 伏（6） 服务器：核心服务器： IBM System x3850 X5(7145N12) 基本参数产品类型企业级名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 23 页 - - - - - - - - - - 9 - 产品类别机架式产品结构4U 处理器CPU 类型Intel 至强 7500 CPU 型号Xeon X7560 CPU 频率2.266GHz 智能 加速 主频2.666GHz 标配 CPU数量4 颗最大 CPU数量4 颗制程工艺45nm 三级缓存24MB 总线规格QPI 6.4GT/s CPU 核心八核CPU 线程数16线程主板扩展槽7半长 PCI-Express （2 个热插拔）内存内存类型DDR3 内存容量32GB 内存描述84GB 1066MHz DDR3 内存最大 内存 容量1TB 存储硬盘 接口 类型SAS 标配 硬盘 容量584GB 硬盘描述4 块 146GB SAS 硬盘热插拔盘位支持热插拔RAID模式RAID 0，1，5 光驱DVD 网络网络控制器两个千兆以太网卡管理及其他系统管理Alert on LAN 2，服务器自动重启，IBM Systems Director，IBM ServerGuide ，集成管理模块（ IMM ），光通路诊断（单独供电），名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 23 页 - - - - - - - - - - 10 - 适用于硬盘驱动器 / 处理器 /VRM/风扇/ 内存的 Predictive Failure Analysis ，Wake on LAN ，动态系统分析， QPI Faildown ，单点故障转移系统支持Microsoft Windows Server 2008（Standard ，Enterprise 和 Data Center Edition，32 位和 64 位）32位和 64 位 Red Hat Enterprise Linux SUSE Enterprise Linux（Server 和 Advanced Server ）VMware ESX Server/ESXi 4.0 电源性能电源类型冗余电源电源数量2 个电源电压220V 电源功率1975W 汇聚层服务器： IBM System x3650 M3(7945I75) 基本参数产品类别机架式产品结构2U 处理器CPU 类型Intel 至强 5600 CPU 型号Xeon X5670 CPU 频率2.93GHz 智能 加速 主频3.333GHz 标配 CPU数量1 颗最大 CPU数量2 颗制程工艺32nm 三级缓存12MB 总线规格QPI 6.4GT/s CPU 核心六核CPU 线程数12线程主板扩展槽4PCI-Express （二代插槽）内存内存类型DDR3 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 23 页 - - - - - - - - - - 11 - 内存容量8GB 内存描述24GB 1.5V DDR3 RDIMM 内存内存 插槽 数量18 最大 内存 容量192GB 存储硬盘 接口 类型SATA/SAS/SSD 标配 硬盘 容量标配不提供最大 硬盘 容量8TB 内部 硬盘 架数最大支持 16 块 2.5 英寸热插拔 SAS/SATA 硬盘热插拔盘位支持热插拔RAID模式RAID 5 网络网络控制器集成双端口千兆网卡管理及其他系统管理IBM IMM ，Virtual Media Key 用于可选的远程呈现支持，预测故障分析， 诊断 LED ， 光通路诊断，服务器自动重启，IBM Systems Director和 IBM Systems Director Active Energy Manager ，IBM ServerGuide 系统支持Microsoft Windows Server 2008 R2 和 2008 Red Hat Enterprise Linux SUSE Linux Enterprise Server VMware ESXi 4.0 嵌入式虚拟化管理程序电源性能电源类型热插拔电源电源数量1 个电源功率675W 三，设计方案（1）核心层：由于考虑到核心层的性能， 可靠性， 安全等问题， 我对于拓扑图有以下两种设计，第一种没有在核心层中另外加入核心交换机，而第二种加入了 “核心中的核心”，以下是两种方案的对比：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 23 页 - - - - - - - - - - 12 - 园区网拓扑图：A、没有核心层的情况：B、全互连的分发层C、物理连线很多D、路由的复杂度增加图 1.1.1 E、专门的核心层交换机：F、易于增加模块G 、核心层链路较少H、易于升级带宽I 、路由协议对等体数量少J、等开销的 3 层链路名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 23 页 - - - - - - - - - - 13 - 图 1.1.2 园区网示例图：图 1.1.3 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 23 页 - - - - - - - - - - 14 - 该大学的校园网分为公网部分和专用部分。通过防火墙，连接了该大学放置各种应用服务器的非军事区部分，并通过路由器与CERNET 相连。该三层校园网结构中的核心层位于公网部分。如图所示，四个园区的核心多层交换机分别连接到大学主干交换机上，并且各个学院之间也通过万兆光纤互联，构成冗余的网络拓扑结构， 保证了网络的高可用性。设计中的多层交换机采用Cisco 公司的万兆交换机cisco6500 系列交换机，防火墙使用的是Cisco 的 IOS Firewall，为了增加核心层的可靠性，采用租用电信公司的光纤裸芯， 用万兆速率将 4 个园区的 8 台万兆交换机与核心的两台交换机连成环。（2）汇聚层：图 2.1.1 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 23 页 - - - - - - - - - - 15 - 图 2.1.2 图 2.1.3 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 23 页 - - - - - - - - - - 16 - 各园区可以基本保持原有的二层网络结构，并且在自己园区网中使用专用IP 地址块。园区网要考虑将汇聚层主干兆交换机与大学万兆交换机通过防火墙相连的问题， 注意到有些万兆交换机可能具有内置的防火墙。同时，他们在内部防火墙处设置自己的非军事区，放置学院网络应用服务器。园区中的各个服务器，教学楼，办公楼，宿舍楼等的交换机，还有包括像cisco IP电话，无线路由器等，都连接到网管中心的主服务器上，然后再向下划分各个楼层的交换机。如图例所示， 是理工学院与大学万兆核心层主干网的连接。其中理工学院园区网的主干网由 IBM的主服务器与 cisco 公司的 VN6500交换机连接的千兆光纤构成，以百兆以太网作为接入网与用户PC ，IP 电话等相连。各二级学院的校中具有的PC数量为 1500 台，我们可以根据不同部门， 不同楼宇位置划分为若干子网，然后划分vlan ，以隔离广播流量，提高网络工作效率，同时，像各个学院办公室，实验室，网管中心，或者宿舍楼等，可以把这些vlan 子网通过 VPN 与其他学院，大学独立的组成自己的虚拟局域网。网络管理协议援用SNMP 技术。（3）接入层：图 3.1.1 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 23 页 - - - - - - - - - - 17 - 设备连接应用的客户端桌面设备，即可以采用固定配置的工作组级交换机，并且有千兆以太网上行端口， 设备应该具有可管理性。 同时在设备投资上考虑性能/ 价格比因素，目前在设计接入网络方案时，普遍采用支持SNMP 和 RMON 等网管协议的交换机设备， 具有支持基于 web网络管理功能的设备， 简化管理工作的复杂性，支持冗余链路功能，提高网络方案的可靠性。可以灵活划分vlan ，支持 IEEE802.1p 协议，提高网络的控制能力。（4）参考图例：图 4.1.1 三，技术实施：（1） 路由选择：根据校园网4 个园区终端数量，以及网络环境和需求，比较各个路由协议（RIP V1，RIP V2，OSPF ，BGP ，EIGRP等），最终选用 OSPF 路由协议，作为校园网路由选择最终协议。OSPF全称为开放最短路径优先。“开放”表明它是一个公开的协议，由标准协议组织制定，各厂商都可以得到协议的细节。“最短路径优先”是该协议在进行路由计算时执行的算法。OSPF是目前内部网关协议中使用最为广泛、性能最优的一个协议，它具有以下特点：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 23 页 - - - - - - - - - - 18 - A 、 可适应大规模的网络； B 、路由变化收敛速度快； C 、无路由自环； D 、支持变长子网掩码 (VLSM)； E 、支持等值路由； F 、支持区域划分； G 、提供路由分级管理； H 、支持验证； I 、支持以组播地址发送协议报文。基本配置：A、一般在核心层和分发层之间部署；B、在冗余链路上提供等成本负载均衡时，可以快速重路由；C、建立 3 角连接而不是 4 角连接；D、建立路由邻居的链路用于转发流量；E、确保冗余的 3 层路径不存在黑洞；F、分发层根据可进行路由汇总；但现在不建议这么做；G 、通过调整 CEF的 3 层/4 层负载均衡 hash，以获得最大的等成本开销路径的利用率(CEF polarization)。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 23 页 - - - - - - - - - - 19 - 图 5.1.1 （2）交换网转路由网： 1，首先要合理的分配IP 地址，做好 IP 地址的规划，本案例需求中已经做了规定：凡是互联地址均使用/24 子网掩码，并且在202.113.137.0/24地址段范围内。 2 ，根据本案例需求， 我们先要将 vlan301 和 vlan302 的网关下移的过程中会出现少量的丢包，属于正常现象。 3 ，对于链路和交换机来说，需要逐条逐个进行。要尽最大努力减少丢包。具体方法为我们可先起OSPF ，并且宣告相应的网段，最后在进行接口配置。每条路由链路建立好后都要进行核查。看OSPF 邻居关系有无正常建立。 4 ，为了有效利用SW1和 SW2之间的Port-channel1链路。我们可以在Port-channel上面配置 IP 地址。然后通过 OSPF进行宣告。这样配置后SW1 和SW2 就可以形成正常的邻居关系。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页，共 23 页 - - - - - - - - - - 20 - vlan 配置（交换机功能的实现）：随着学校自身的发展及规模的扩大，作为园区网的典型， 校园网正逐渐地由中小型向大中型发展和过渡，这样就决定了它的组网在技术上的多样性与复杂性，其不仅要考虑物理上各网段的连接，还要考虑建立在各种网络协议上子网的互联。另外，随着校园网内的计算机数量的增加，VOD 视频点播在多媒体课堂教学上的大量应用， 网络中广播包的数量也会急剧增加，当广播包的数量占到总量的 30时，网络的传输效率将会明显下降。特别是当某网络设备出现故障后，会不停地向网络发送广播， 从而导致网络风暴， 使网络通信陷于瘫痪。 当校园网络内计算机数超过200 台后，就必须采取措施将网络分隔开来，将一个大的广播域划分成若干个小的广播域。 最后是校园网的安全性问题， 特别是蠕虫病毒大规模的爆发， 会使整个校园网处于严重负荷状态，导致整个网络不可用， 严重影响校园网的性能。此外，大学生在校园网中存在两种攻击行为：无意识的和有意的。他们的好奇心比较强， 也有一定的理论知识， 喜欢在网上尝试一些攻击软件的使用，很可能造成整个校园网的瘫痪。配置策略：图 6.1.1 如图所示做出如下配置：（一） 交换机基本配置：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页，共 23 页 - - - - - - - - - - 21 - 1，Trunk：打开所有交换机直接连接的接口，使用802.1Q 标准互联，注意不需要启用连接虚拟交换机的Fa1/15。2，FEC ：SW1 、SW2 的 Fa1/1，Fa1/2 端口做 Ethernet Channel捆绑，保持 2 端配置一致。3， VTP ：所有的交换机均在一个VTP 域内，域名为LGXY ，并设置密码为“ligongxueyuan ”。SW1 、SW2 为 Server 模式，其它交换机均为Client模式。4，VLAN ：在 SW1建立 VLAN 10100 ，VLAN 301400 。确保所有交换机可以同步这些 VLAN信息。（二）生成树配置：1，实现生成树负载均衡，服务器网段使用VLAN 1020，通过配置确保访问VLAN 1015通过 SW1 ，而访问 VLAN1620 通过 SW2 。2，例如：桌面终端（ PC1 、PC2 ）使用 VLAN 301302，通过配置确保 SW1 为这些VLAN的根网桥。同时为防止旧的交换加入网络时引起生成树计算，需使SW1成为 VLAN 1的根网桥。（三）多层交换的具体配置：1 在所有交换机上面进行基本配置2，所有交换机之间配置truck链路3，将 SW1 及 SW2 的 f1/1 和 f1/2 捆绑为 Port-channel链路4，在每个交换机上配置VTP 5，在 SERVER 交换机上建立相应的VLAN 7，在所有交换机上面配置管理VLAN 310 6，给相应的 VLAN配置 SVI 接口并配置 hsrp 8，根据需求在相应的交换机上面进行生成树配置以提高链路的利用率9，对 HSRP 进行优化10，开启 SW7 、SW8 的 Fa1/15 端口，分别加入到VLAN 301 、VLAN 302 11，对 STP进行优化12，交换网转路由网（3） 子网， IP 地址划分：由于学校从CERNET申请到的IP网段是202.113.128.0/24202.113.137.0/24，通过计算，最多可以让10 x（256-2）的终端同时