雙核心校園局域網(wǎng)的設計與規(guī)劃

1、廣東科貿(mào)職業(yè)學院畢業(yè)設計（論文）雙核心校園網(wǎng)的設計與規(guī)劃學生姓名：陸機俊系 部: 計算機信息工程系 專 業(yè)：11級網(wǎng)絡技術(shù)1班指導教師：汪海濤日 期：摘要校園網(wǎng)設計是一個龐大的系統(tǒng)工程，目前許多校園網(wǎng)設計方案層出不窮， 每個方案都各有特點，但普遍存在網(wǎng)絡使用效率低、可靠性和課擴展性差等問題。 針對這些問題，關(guān)鍵是從實際出發(fā)，選擇適合自己的方案。以校園網(wǎng)設計為例分 析一下幾個方面：用戶需求分析、整體設計方案、系統(tǒng)測試方法及對可靠性和可 擴展性相應的解決辦法。隨著網(wǎng)絡的逐步普及，校園網(wǎng)絡的建設是學校向信息化發(fā)展的必然選擇， 校 園網(wǎng)網(wǎng)絡系統(tǒng)是一個非常龐大而復雜的系統(tǒng)，它不僅為現(xiàn)代化教學、綜合信息管

2、 理和辦公自動化等一系列應用提供基本操作平臺， 而且能提供多種應用服務，使 信息能及時、準確地傳送給各個系統(tǒng)。而校園網(wǎng)工程建設中主要應用了網(wǎng)絡技術(shù) 中的重要分支局域網(wǎng)技術(shù)來建設與管理的，本文著重論述了校園網(wǎng)設計與建設過 程中確立建設校園網(wǎng)的目標，校園網(wǎng)的組網(wǎng)方案設計原則和所需的網(wǎng)絡技術(shù)選 型，網(wǎng)絡設備選擇以及網(wǎng)絡設備的配置等關(guān)鍵問題，并給出具體的網(wǎng)絡拓撲結(jié)構(gòu)示意圖。目 錄目 錄3第一章引 言41.1課題背景41.2背景需求分析41.2.1 應用背景分析41.2.2網(wǎng)絡業(yè)務分析61.2.3網(wǎng)絡流量分析6第二章.需求分析 62.1設計遵循的原則72.1.1 可靠性和高性能 72.1.2 可擴展性和

3、可升級性 72.1.3 可管理與易維護72.1.4 安全性與保密性 72.1.5 靈活性與綜合性 72.2技術(shù)引用82.2.1 vian的用途及優(yōu)點82.2.2 鏈路聚合技術(shù)92.2.3 動態(tài)路由協(xié)議（OSPF 102.2.4 問控制列表（Acl） 112.2.5 網(wǎng)絡地址轉(zhuǎn)換（NAT, Network Address Translation） 122.3設備選型14第三章.校園網(wǎng)設計方案 153.1網(wǎng)絡系統(tǒng)拓撲153.2網(wǎng)絡結(jié)構(gòu)設計原則163.2.1 核心層163.2.2 匯聚層183.2.3 接入層183.2.4 邊界路由器 193.3 IP地址規(guī)劃與VLAN劃分20第四章服務器的應用20

4、4.1 FTP服務器204.2 Email 服務器234.3 DNS服務器 244.4 DHCP 服務器254.5 WEB服務器26第五章網(wǎng)絡維護265.1 網(wǎng)絡的常見故障265.2網(wǎng)絡的故障分析及解決 27結(jié)論27致謝28第一章引 言1.1課題背景現(xiàn)多所高校隨著學校教學和學生網(wǎng)上應用的增長， 校園網(wǎng)以光纖連接了全校 近50棟樓宇，覆蓋了 65%的教學辦公場所和45%的學生宿舍。共布有9千多個 網(wǎng)絡端口，其中約6千多個布線端口連通了網(wǎng)絡設備，共接入計算機3千多臺，有固定注冊用戶約2000人。原有網(wǎng)絡設備已經(jīng)無法滿足新環(huán)境下的網(wǎng)絡應用， 因此該校決定重新規(guī)劃建設校園網(wǎng)。建設學院千兆校園網(wǎng)，完成一

5、個整體規(guī)劃、 分步實施、充分考慮現(xiàn)有設備與實際資金情況的方案，建立網(wǎng)絡中心和主干網(wǎng)， 然后建立學校的信息管理網(wǎng)絡、教學網(wǎng)絡各應用子系統(tǒng)，并進行教學樓、辦公樓、 結(jié)構(gòu)化布線，將網(wǎng)絡擴展到整個校園，實現(xiàn)校園網(wǎng)的全部功能，最后可通過路由 器與CERNE和In ternet接入。該方案應充分考慮到學校的應用和資金情況，建立一個普通高校千兆校園網(wǎng)，具有一定的科學性和參考價值。1.2背景需求分析1.2.1應用背景分析網(wǎng)絡在日常教學辦公環(huán)境中起著至關(guān)重要的作用，校園網(wǎng)的運作模式會帶 來大量動態(tài)的wwW應用數(shù)據(jù)傳輸，會有相當一部分應用的主服務器有高速接入網(wǎng) 絡的需求（目前為100/1000Mbps,今后可會更

6、高）。這就要求網(wǎng)絡有足夠的主干 帶寬和擴展能力。同時，一些新的應用類型，如網(wǎng)絡教學、視頻直播/廣播等，也對網(wǎng)絡提出了支持多點廣播和寬帶高速接入的要求。中心機房到匯聚層節(jié)點采用4兆光纖（多模）連接，匯聚層到接入層采用百 兆的五類線（或者超五類）連接。通?？紤]，建議數(shù)據(jù)信息點的接入用交換 10/100Mbps自適應以太網(wǎng)端口接入，以便能較經(jīng)濟的提供較高的帶寬。整個方 案設計的目的是建設一個集數(shù)據(jù)傳輸和備份、多媒體應用、語音傳輸、0A應用和In ternet訪問等于一體的高可靠、高性能的寬帶多媒體校園網(wǎng)。采用雙核心技術(shù)，不但可以起到讓設備進行冗余備份， 而且還可以進行中心 數(shù)據(jù)通信負載均衡，有效減輕

7、中心設備減清負荷，保證核心層的穩(wěn)定性和可靠性。 四個匯聚層到核心采用鏈路全冗余， 匯聚層之間單獨再加一條鏈路，使得各個匯 聚層之間的訪問在匯聚層終結(jié)。網(wǎng)絡核心、樓宇匯聚和接入產(chǎn)品都具有病毒防范、 拒絕DDOS攻擊和防掃描等安全功能，不但在不同的網(wǎng)絡環(huán)境下都能做到快速 有效的控制，而且也可以應對突發(fā)性的安全的事件，確保了網(wǎng)絡的穩(wěn)定運行。通過對學校信息化建設專業(yè)人員溝通，了解到校園寬帶用戶集中且網(wǎng)絡流量 大，關(guān)注網(wǎng)絡的可運營和可管理特性，校園網(wǎng)建網(wǎng)需求如下： 主要任務：（1）使用合理的三級設計結(jié)構(gòu)，各部門獨立成區(qū)域（2）整個網(wǎng)絡用VLAN隔離，需要各個部門通信的使用 VLAN間路由解決（3）實現(xiàn)網(wǎng)

8、絡核心冗余，核心到匯聚雙鏈路備份（4）配置相應的服務器，保證該校園網(wǎng)能提供校園需要的各種網(wǎng)絡應用服務 （如 DNS Email、FTP等）。（5）該校園應配備網(wǎng)絡中心，能實現(xiàn)對網(wǎng)絡的管理和維護（如實現(xiàn)對網(wǎng)絡設備 的遠程登錄等）。（6）考慮到部門較多，所分配的網(wǎng)段較多，建議采用動態(tài)路由協(xié)議（7）通過在出口路由上配置 ACL和 NAT允許或拒絕相應的校園網(wǎng)內(nèi)部用戶訪問 In ternet 。校園網(wǎng)建成后將實現(xiàn)以下基本功能：（1）計算機教學，包括多媒體教學和遠程教學（2）網(wǎng)絡下載、網(wǎng)絡聊天等。（3）電子郵件系統(tǒng)：主要進行與同行交往、開展技術(shù)合作、學術(shù)交流等活（4）In ternet服務：學?？梢越?/p>

9、自己的主頁，利用外部網(wǎng)頁進行學校 宣傳，提供各類咨詢信息等，利用內(nèi)部網(wǎng)頁進行管理，例如發(fā)布通知、收集學生 意見等。1.2.2網(wǎng)絡業(yè)務分析本次方案要求在銅纜、光纖的物理線路之上，用一套設備實現(xiàn)三套邏輯網(wǎng)絡 交換平臺，實現(xiàn)三層路由交換機制，作為校園業(yè)務應用承載體系。123網(wǎng)絡流量分析（1）網(wǎng)上數(shù)據(jù)流特點 大學校園網(wǎng)具有網(wǎng)絡互聯(lián)的廣泛性和使用多樣性等特點，廣播包將對數(shù)據(jù)流產(chǎn)生較大的影響，校園網(wǎng)的數(shù)據(jù)并發(fā)性，一般是呈現(xiàn)波峰波谷 的，絕大多數(shù)情況下，存在高并發(fā)性訪問的因素，除了周末或者夜間學生晚自修 之后的時間，某些特殊的應用也有可能對負荷有突發(fā)要求，如使用空間數(shù)據(jù)，大范圍數(shù)據(jù)搜索，視頻方面的應用等，這

10、些突發(fā)的負荷有相當一部分轉(zhuǎn)移到應用設 備上。這些流量的轉(zhuǎn)移對于網(wǎng)絡設備提出了較高的要求，必須要求核心（匯聚）設備均支持萬兆技術(shù)。（2）網(wǎng)絡流量情況 根據(jù)的業(yè)務，每位學生主要需求占用的帶寬為：視頻流， 數(shù)據(jù)，語音（包括桌面會議），圖形、空間數(shù)據(jù)，管理支撐等。考慮應用上某些 并發(fā)的排斥特點，以及網(wǎng)絡應用環(huán)境對通暢性的要求，一般每位學生占用的平均 實際網(wǎng)絡帶寬約為1M左右即可以完全滿足以上需求，在滿足網(wǎng)絡在有收斂比的 情況下的帶寬要求；這就要求匯聚、核心設備均具備萬兆智能能力。（3）校園網(wǎng)主干需要的數(shù)據(jù)流量 網(wǎng)絡主干流量的是基于業(yè)務工作在網(wǎng)上展開的 情況分析，實際上對網(wǎng)絡流量的需求是逐步提升的，特別

11、是要協(xié)同體系出現(xiàn)后， 干道的流量會大量的增加?？紤]到信息點同時在線的收斂比，本網(wǎng)絡已經(jīng)具備極 高的伸縮能力，以滿足其很強的擴展性要求。第二章需求分析2.1設計遵循的原則由于學校資金有限，不可能一步到位，另一方面，學校的應用水平較參差不 齊，某些系統(tǒng)即使安裝了也利用不起來，避免出現(xiàn)資源浪費，因此，在校園網(wǎng)的 建設過程中，系統(tǒng)建設始終貫徹面向應用，注重實效的方針，堅持實用、經(jīng)濟的 原則。網(wǎng)絡設計遵循下列5個基本原則：2.1.1可靠性和高性能網(wǎng)絡必須是可靠的，包括網(wǎng)元級的可靠性，如引擎，風扇，單板，總計等； 以及網(wǎng)絡級的可靠性，如路由。交換的匯聚，鏈路冗余、負載均衡、熱備份等。 網(wǎng)絡必須具有足夠高的

12、性能，一旦網(wǎng)絡出現(xiàn)故障影響甚廣，嚴重妨礙業(yè)務的正常 運轉(zhuǎn)。2.1.2可擴展性和可升級性系統(tǒng)要有可擴展性和可升級性，隨著業(yè)務的增長和應用水平的提高，網(wǎng)絡 中的數(shù)據(jù)和信息將按指數(shù)增長，需要網(wǎng)絡有很好的可擴展性，并能隨著技術(shù)的發(fā) 展不斷升級。2.1.3 可管理與易維護由于校園骨干網(wǎng)絡系統(tǒng)規(guī)模龐大，應用豐富而復雜，需要網(wǎng)絡系統(tǒng)具有良 好的可管理性，網(wǎng)管系統(tǒng)具有檢測、故障診斷、故障隔離、過濾設置等功能，以 便于系統(tǒng)的管理和維護，這里我們選用的是思科可網(wǎng)管的交換機和路由器。2.1.4安全性與保密性網(wǎng)絡系統(tǒng)應具有良好的安全性，在系統(tǒng)設計中，既要考慮信息資源的充分 共享，更要注意信息的保護盒隔離，因此系統(tǒng)應分

13、別針對不同的應用和不同的網(wǎng) 絡通信環(huán)境，通過劃分子網(wǎng)，在交換機上實現(xiàn) vian劃分，達到網(wǎng)絡安全性。2.1.5靈活性與綜合性通過采用結(jié)構(gòu)化 模塊化的設計形式，滿足系統(tǒng)及用戶各種不同的需求， 適應不斷變革中的要求，以滿足系統(tǒng)目標與功能為目標，保證總體方案的設計合2.2技術(shù)引用2.2.1 vlan的用途及優(yōu)點在一個物理局域網(wǎng)內(nèi)，通過對交換機端口的邏輯劃分，將局域網(wǎng)內(nèi)的設備 分割為幾個各自獨立的群組，群組內(nèi)部的設備之間可以自由地通訊，而當分屬不同群組的設備要進行通訊時，必須進行三層的路由轉(zhuǎn)發(fā)；通過這種方式，一個物 理局域網(wǎng)就如同被劃分為幾個相互隔離的局域網(wǎng)， 這些不同的群組就稱為虛擬局 域網(wǎng)（VLA

14、N。對于以端口劃分的VLAN而言，任何一個端口的集合都可以被看作 是一個VLAN VLAN的劃分不受硬件設備物理連接的限制，用戶可以通過命令靈 活地劃分端口，創(chuàng)建定義VLAN創(chuàng)建VLAN命令如下:Switch#vl an datL&hase%It is reconuuendad to configure VLAU fron config modefas VLAN database uods is beingPlease consult userdocuiagntatidn for configurVTP/VLJLN in config taode.Switch(vlan #vlan 10VLA

15、N 10 added:Nautez FLAM0010Switch(vlan Svlan 20VLAN 20 added:Name: VLWI0020Switch(vlan)#vlan 30VLAN 30 added:Name： VLAMQD30Switch(vlan 囂使用VLAN的優(yōu)點如下：1. 限制廣播域。廣播域被限制在一個VLAN內(nèi)，節(jié)省了帶寬，提高了網(wǎng)絡處理能 力。2增強局域網(wǎng)的安全性。不同 VLAN內(nèi)的報文在傳輸時是相互隔離的，即一個 VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進行通信, 則需要通過路由器或三層交換機等三層設備。3.靈活構(gòu)建虛擬工作組。用V

16、LAN可以劃分不同的用戶到不同的工作組， 同一工 作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡構(gòu)建和維護更方便靈活。222鏈路聚合技術(shù)鏈路聚合技術(shù)亦稱主干技術(shù)（Trunking），其實質(zhì)是將兩臺設備間的數(shù)條物 理鏈路組合成邏輯上的一條數(shù)據(jù)通路，稱為一條聚合鏈路，如圖421示意。交換機之間物理鏈路Linkl、Link2和Link3組成一條聚合鏈路。聚合內(nèi)部的物理鏈路共同完成數(shù)據(jù)收發(fā)任務并相互備份。只要還存在能正常工作的成員，整個傳輸鏈路就不會失效。仍以上圖的鏈路聚合為例，如果Linkl和Link2先后故障，它們的數(shù)據(jù)任務會迅速轉(zhuǎn)移到 Li nk3上，因而兩臺交換機間的 連接不會中斷（參圖4.2

17、.2）如圖422鏈路聚合的優(yōu)點：(1) 提高鏈路可用性鏈路聚合中，成員互相動態(tài)備份。當某一鏈路中斷時，其它成員能夠迅速接 替其工作。與生成樹協(xié)議不同，鏈路聚合啟用備份的過程對聚合之外是不可見的， 而且啟用備份過程只在聚合鏈路內(nèi)，與其它鏈路無關(guān)，切換可在數(shù)毫秒內(nèi)完成。(2) 增加鏈路容量鏈路聚合技術(shù)的另一個明顯的優(yōu)點是為用戶提供一種經(jīng)濟的提高鏈路傳輸率 的方法。通過捆綁多條物理鏈路，用戶不必升級現(xiàn)有設備就能獲得更大帶寬的數(shù) 據(jù)鏈路，其容量等于各物理鏈路容量之和。聚合模塊按照一定算法將業(yè)務流量分配給不同的成員，實現(xiàn)鏈路級的負載分擔功能。某些情況下，鏈路聚合甚至是提高鏈路容量的唯一方法。例如當市場上

18、的設 備都不能提供高于10G的鏈路時，用戶可以將兩條10G鏈路聚合，獲得帶寬大于 10G的傳輸線路。配置方式如下：a) 把指定端口給聚合組，并指定聚合方式SW ( config) in terface Ethernet0/1SW ( config-ethernet0/1)#port-group group-number mode( active|passive|on)b) 進入聚合端口的配置模式SW ( config)#interface port-channel group-number2.2.3動態(tài)路由協(xié)議(OSPFOSPF是一種基于鏈路狀態(tài)的路由協(xié)議，需要每個路由器向其同一管理 域的所有

19、其它路由器發(fā)送鏈路狀態(tài)廣播信息。在OSPF的鏈路狀態(tài)廣播中包括所有接口信息、所有的量度和其它一些變量。利用OSPF的路由器首先必須收集有關(guān)的鏈路狀態(tài)信息，并根據(jù)一定的算法計算出到每個節(jié)點的最短 路徑。而基于距離向量的路由協(xié)議僅向其鄰接路由器發(fā)送有關(guān)路由更新信 息。OSPF將一個自治域再劃分為區(qū)，相應地即有兩種類型的路由選擇方式：當源和目的地在同一區(qū)時，采用區(qū)內(nèi)路由選擇；當源和目的地在不同區(qū)時， 則采用區(qū)間路由選擇。這就大大減少了網(wǎng)絡開銷，并增加了網(wǎng)絡的穩(wěn)定性。 當一個區(qū)內(nèi)的路由器出了故障時并不影響自治域內(nèi)其它區(qū)路由器的正常工 作，這也給網(wǎng)絡的管理、維護帶來方便。OSPF協(xié)議主要優(yōu)點：OSPF是

20、真正的LOOP- FREE (無路由自環(huán))路由協(xié)議。源自其 算法本身的優(yōu)點。(鏈路狀態(tài)及最短路徑樹算法)OSPF收斂速度快：能夠在最短的時間內(nèi)將路由變化傳遞到整個 自治系統(tǒng)。提出區(qū)域(area)劃分的概念，將自治系統(tǒng)劃分為不同區(qū)域后， 通過區(qū)域之間的對路由信息的摘要，大大減少了需傳遞的路由信息數(shù)量。 也使得路由信息不會隨網(wǎng)絡規(guī)模的擴大而急劇膨脹。(4) 將協(xié)議自身的開銷控制到最小。OSP協(xié)、議格式如下：(Config)# router ospfid-number / 進程 ID 范圍是 1-65535(co nfig-router)# network 55

21、 area 0 /網(wǎng)絡號 反向掩碼area 區(qū)域號2.2.4問控制列表(Acl)(1) .標準IP訪問控制列表一個標準ip訪問控制列表匹配ip包中的源地址或源地址中的一部分，可對匹配的包采取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標準IP訪問控制列表。使用access-list命令創(chuàng)建訪問控制列表Router(c on fig)#access-listaccess-list -nu mber permit | deny source source- wildcard log使用ip access-group命令把訪問控制列表應用到某接口Router(config-if)#ipa

22、ccess-groupaccess-list-number in | out (2) .擴展IP訪問控制列表擴展IP訪問控制列表比標準IP訪問控制列表具有更多的匹配項，包括協(xié)議類型、源地址、 目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級等。編號范圍是從 100到199的訪問控制列表是擴展IP訪問控制列表。端口號關(guān)鍵字描述TCP/UDP20FTP-DATA（文件傳輸協(xié)議）FTP（數(shù)據(jù)）TCP21FTP（文件傳輸協(xié)議）FTPTCP23TELNET終端連接TCP25SMTP簡單郵件傳輸協(xié)議TCP42NAMESERVER主機名字服務器UDP53DOMAIN域名服務器（DNS）TCP/UDP69T

23、FTP普通文件傳輸協(xié)議（TFTP）UDP80WWW萬維網(wǎng)TCP使用access-lis命令創(chuàng)建擴展訪問控制列表Router(config)#access-list access-list -nu mber permit | deny protocol source source-wildcard destination destination-wildcard operator port established log 使用ip access-group命令將擴展訪問控制列表應用到某接口Router (config-if) #ip access-groupaccess-list-number

24、in | out 2.2.5 網(wǎng)絡地址轉(zhuǎn)換（NAT, Network Address Translation）屬接入廣域網(wǎng)（WAN）技術(shù)，是一種將私有（保留）地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應用于各種類型In ternet接入方式和各種類型的網(wǎng)絡中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡外部的攻擊，隱藏并保護網(wǎng)絡內(nèi)部的計算機。1）靜態(tài)NAT靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡的私有 IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一 對一的，是一成不變的，某個私有 IP地址只轉(zhuǎn)換為某個公有 IP地址。借助于靜 態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡對內(nèi)部網(wǎng)絡中某些特定設備（如

25、服務器）的訪問。Router（co nfig）#ip nat in side source static 0000/內(nèi)部IP地址與外部IP地址對應;在邊界路由上配置兩端的nat in side和n at outside :in terface FastEther net0/1ip address 00ip nat in side/該邊界路由的端口是NAT的內(nèi)部in terface Serial0/1ip address 00ip nat outside/該邊界路由的端

26、口是NAT的外部2) 動態(tài)NAT動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡的私有IP地址轉(zhuǎn)換為公用IP地址時，IP地址對是不確定的，而是隨機的，所有被授權(quán)訪問上In ternet的私有IP地址可隨機轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換，以及 用哪些合法地址作為外部地址時，就可以進行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個 合法外部地址集。當ISP提供的合法IP地址略少于網(wǎng)絡內(nèi)部的計算機數(shù)量時?？?以采用動態(tài)轉(zhuǎn)換的方式。Router(c on fig)# ip n at pool pool-name 0 netmask /建立一個

27、外部地址池的范圍和它們的子母掩碼Router(c on fig)#ip nat in side source list list -nu mberpoolpool-name /內(nèi)部的ip地址轉(zhuǎn)換成外部地址池的ip地址Router(c on fig)# access-list list -n umber permit 55/建立訪問控制列表，允許進行外部地址轉(zhuǎn)換的內(nèi)部地址3) PAT端口多路復用是指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT,PortAddressTranslation).采用端口多路復用方式。內(nèi)部網(wǎng)絡的所有主機均可共享一

28、個合法外部 IP地址實現(xiàn)對In ternet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網(wǎng)絡內(nèi)部的所有主機，有效避免來自in ternet的攻擊。因此，目前網(wǎng)絡中應用最多的就是端口多路復用方式。Router(config)# ip nat pool pool-name 0 netmask/建立一個外部地址池的范圍和它們的子母掩碼Router(c on fig)# ip nat in side source list list -nu mber pool pool-nameoverload /多個內(nèi)部的ip地址可以多次使用同

29、一個外部轉(zhuǎn)換地址池中的地 址Router(config)# access-list list-number permit 55 /建立訪問控制列表，允許進行外部地址轉(zhuǎn)換的內(nèi)部地址2.3設備選型路由技術(shù)：路由協(xié)議工作在0SI參考模型的第3層，因此它的作用主要是在 通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡中傳遞數(shù)據(jù)時選擇最佳路徑的能力。 除了可以完成主要的路由任務，利用訪問控制列表(Access Control List , ACL， 路由器還可以用來完成以路由器為中心的流量控制和過濾功能。如圖1:圖1交換技術(shù)：傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在 OSI模型的第2層。

30、現(xiàn)代交換技術(shù) 還實現(xiàn)了第3層交換和多層交換?，F(xiàn)代交換網(wǎng)絡還引入了虛擬局域網(wǎng)(VirtualLAN VLAN的概念。VLAN將廣播域限制在單個 VLAh內(nèi)部，減小了各VLAN間主 機的廣播通信對其他 VLAN的影響。在VLAN間需要通信的時候，可以利用 VLAN 間路由技術(shù)來實現(xiàn)。為了簡化交換網(wǎng)絡設計、提高交換網(wǎng)絡的可擴展性，在園區(qū) 網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進行的。園區(qū)網(wǎng)數(shù)據(jù)交換設備可以劃分為三個層 次：訪問層、匯聚層、核心層。訪問層為所有的終端用戶提供一個接入點；匯聚 層除了負責將訪問層交換機進行匯集外，還為整個交換網(wǎng)絡提供VLAN間的路由選擇功能；核心層將各匯聚層交換機互連起來進行高速數(shù)據(jù)

31、交換。如圖2：2oom InZoom Out.尿百場畀于業(yè)kaeawHiaiiJuj電電匚cm h mi e圖：2第三章校園網(wǎng)設計方案3.1網(wǎng)絡系統(tǒng)拓撲系統(tǒng)拓撲:10 4竟|目0*#7”世|丸|曰丁11工”血1仕inhtir ri LkFirwd.!l?i iihiiil!mluiiiiJmiulimJiiiluihiilmiliiiiniiiuJJu duiilmihuil31S-TT-14wp 屮悴=用我KSLLw：w=1、麗用肛附反.CiicaS L-fln-.口*w lwtw 團 UniVUTE*!yUD 祖*:牡I1FwnlaBnh EnLarUlb-t-K- llll .肝作1說H

32、FnalbH|Xlu*T 林肝 T*1匸hL EtiLcIljiEiiirisir Eriia4卜JfXiUV-1S1201dariMAfTQ實驗拓撲:ID.|. 101TZ. 16 30.DUterDj722621XM Router!-O丄LPC-PTPC4Serv&r-PTHOP112. Ii6.10. 0才Y、0 “172 J6?aa.OI龍.0 開 1MK 1*Servsr-PT202 00.0 內(nèi)茫 DMllServer-PT護矍DtfS172. L6 6D. 0LQLMT地址怖檢x注入工認為監(jiān)認路由.燭布內(nèi)網(wǎng)冋段卩H證不働默訂路由?jJboKpsMi-pfilaer akvitch

33、aSMaPCO71-ui 10laer2|Lapiap-PTPC-PTLaptop-PTPC-PTLaptwDPC1Laptop! PC22DW vi 20 tLoji 30MultUByerLaptap-PT Laptaf2 tIbd 40PC-PTPC3Laptap-PTLap1024和N+1）。第一個端口連接服務器的21端口，但與主動方式的FTP不 同，客戶端不會提交PORT命令并允許服務器來回連它的數(shù)據(jù)端口，而是提交PASV 命令。這樣做的結(jié)果是服務器會開啟一個任意的非特權(quán)端口（P1024，并發(fā)送PORT P命令給客戶端。然后客戶端發(fā)起從本地端口N+1到服務器的端口 P的連接用來傳送數(shù)

34、據(jù)。對于服務器端的防火墻來說，必須允許下面的通訊才能支持被動方式的FTP:（1） .從任何端口到服務器的21端口（客戶端初始化的連接S C）。（2）.服務器的21端口到任何大于1023的端口（服務器響應到客戶端的控 制端口的連接S C）。（3）.從任何端口到服務器的大于1023端口（入；客戶端初始化數(shù)據(jù)連接到 服務器指定的任意端口 S C）。1023的端口(出；服務器發(fā)送(4) .服務器的大于1023端口到遠程的大于 ACK響應和數(shù)據(jù)到客戶端的數(shù)據(jù)端口 S C) 被動方式的FTP連接過程如下圖2：圖2 FTP主動模式連接過程圖在第1步中，客戶端的命令端口與服務器的命令端口建立連接，并發(fā)送命令“

35、PASV。然后在第2步中，服務器返回命令PORT 2024，告訴客戶端(服務 器)用哪個端口偵聽數(shù)據(jù)連接。在第3步中，客戶端初始化一個從自己的數(shù)據(jù)端 口到服務器端指定的數(shù)據(jù)端口的數(shù)據(jù)連接。 最后服務器在第4步中給客戶端的數(shù) 據(jù)端口返回一個ACK響應。4.2 Email服務器電子郵件服務器是處理郵件交換的軟硬件設施的總稱，包括電子郵件程序、 電子郵件箱等。它是為用戶提供全由 E-mail服務的電子郵件系統(tǒng)，人們通過訪 問服務器實現(xiàn)郵件的交換。服務器程序通常不能由用戶啟動，而是一直在系統(tǒng)中 運行，它一方面負責把本機器上發(fā)出的 E-mail發(fā)送出去，另一方面負責接收其 他主機發(fā)過來的E-mail，并

36、把各種電子郵件分發(fā)給每個用戶。SMTPSMTP ( Simple Mail Transfer Protocol )即簡單郵件傳輸協(xié)議 ，它是一組 用于由源地址到目的地址傳送郵件的規(guī)則，由它來控制信件的中轉(zhuǎn)方式。SMTP協(xié)議屬于TCP/IP協(xié)議族，它幫助每臺計算機在發(fā)送或中轉(zhuǎn)信件時找 到下一個目的地。通過SMTP協(xié)議所指定的服務器,就可以把E mail寄到收信人的服務器上了，整個過程只要幾分鐘。SMTP服務器則是遵循 SMTP協(xié)議的發(fā)送郵件服務器，用來發(fā)送或中轉(zhuǎn)發(fā)出的電子郵件。pop3POP3(Post Office Protocol 3 )即郵局協(xié)議的第 3個版本，它是規(guī)定個人計 算機如何連接

37、到互聯(lián)網(wǎng)上的郵件服務器進行收發(fā)郵件的協(xié)議。它是因特網(wǎng)電子郵件的第一個離線協(xié)議標準,POP3協(xié)議允許用戶從服務器上把郵件存儲到本地主機(即自己的計算機)上，同時根據(jù)客戶端的操作刪除或保存在郵件服務器上的郵件,而POP3服務器則是遵循 POP3協(xié)議的接收郵件服務器, 用來接收電子郵件的。POP3協(xié)議是TCP/IP協(xié)議族中的一員，由RFC 1939定義。本協(xié)議主要用于支持使用客戶端遠程管理在服務器上的電子郵件。4.3 DNS服務器DNS服務器是計算機域名系統(tǒng)(Domain Name System 或DomainName Service)的縮寫，它是由解析器和域名服務器組成的。域名服務器是 指保存有該網(wǎng)絡中所有主機的域名和對應IP地