劃分校園網(wǎng)設(shè)計(jì)與規(guī)劃

1、 畢業(yè)設(shè)計(jì)（論文）課 題 名 稱 基于VLAN技術(shù)的校園網(wǎng)規(guī)劃和設(shè)計(jì) 學(xué) 生 姓 名 學(xué) 號(hào) 系、年級(jí)專業(yè) 指 導(dǎo) 教 師 職 稱 2015年 5 月 15日摘要校園網(wǎng)發(fā)展日益迅速,隨之而來(lái)的問(wèn)題也逐漸增加，這時(shí)候建立一個(gè)安全穩(wěn)定的校園網(wǎng)絡(luò)已經(jīng)勢(shì)在必行，而Vlan技術(shù)的出現(xiàn)正好有效地解決了這個(gè)問(wèn)題，它便于管理, 同時(shí)有利于校園網(wǎng)的安全可靠。本文結(jié)合高校校園網(wǎng)的特點(diǎn)，從IP 規(guī)劃、網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、協(xié)議選擇、網(wǎng)絡(luò)設(shè)備配置等方面出發(fā)，志在建立一個(gè)穩(wěn)定、安全、可靠的校園網(wǎng)絡(luò)。本文在設(shè)計(jì)中，采用了VLAN技術(shù)，通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組, 在不改動(dòng)網(wǎng)絡(luò)物理連接

2、的情況下可以任意移動(dòng)工作站組成新的邏輯工作組或虛擬子網(wǎng)，從而提高了系統(tǒng)的運(yùn)作性能, 起到了均衡網(wǎng)絡(luò)數(shù)據(jù)流量, 合理利用網(wǎng)絡(luò)資源的作用。合理利用Vlan技術(shù)，科學(xué)設(shè)計(jì)，可以建立穩(wěn)定、安全、可靠的校園網(wǎng)絡(luò)。關(guān)鍵詞：校園網(wǎng)；Vlan；安全ABSTRACTCampus network development growing rapidly, the resulting problems also increase gradually, then set up a security and stability of the campus network is inevitable, and the em

3、ergence of Vlan technology is effective to solve the problem, it is convenient for management, also is advantageous to the campus network safe and reliable. In this paper, combining the characteristics of the campus network in colleges and universities, from the aspects of IP, protocol, equipment, e

4、tc, aim to establish a stable, safe and reliable campus network.In this paper, in the design, using the principle and characteristics of Vlan technology, thus improve the performance of the system, the reasonable use of network resources. Reasonable use of Vlan technology, scientific design, can bui

5、ld a stable, safe, reliable, the campus network.Keywords: campus network; Vlan; safe目錄摘要IABSTRACTII1 概述11.1 Vlan技術(shù)背景11.2本課題的意義52 Vlan技術(shù)的討論72.1 TRUNK鏈路技術(shù)72.2 VTP協(xié)議82.3 Vlan的幀標(biāo)識(shí)92.4 Vlan間的通信113 Vlan技術(shù)在校園網(wǎng)中的設(shè)計(jì)143.1 網(wǎng)絡(luò)設(shè)備的選擇143.2 校園網(wǎng)絡(luò)的設(shè)計(jì)143.3 校園網(wǎng)IP的規(guī)劃153.4 Vlan在網(wǎng)絡(luò)中的劃分164 Vlan技術(shù)在校園網(wǎng)的測(cè)試204.1 基于RIP協(xié)議的測(cè)試204.

6、2 基于OSPF協(xié)議的測(cè)試23總結(jié)25參考文獻(xiàn)27附錄28致謝291 概述1.1 Vlan技術(shù)背景1.1.1 Vlan技術(shù)產(chǎn)生背景傳統(tǒng)的以太網(wǎng)，一個(gè)廣播域集結(jié)了所有用戶，這樣不但浪費(fèi)資源，而且會(huì)導(dǎo)致性能下降。所以需要重新劃分網(wǎng)絡(luò)，于是就誕生了Vlan技術(shù)。1.1.2 Vlan技術(shù)的定義Vlan 是通過(guò)將LAN設(shè)備邏輯地劃分成一個(gè)個(gè)網(wǎng)段的新興技術(shù)。Vlan可以在Vlan內(nèi)部控制廣播風(fēng)暴，劃分Vlan后，廣播域?qū)?huì)大大減小，這樣網(wǎng)絡(luò)中的資源消耗也會(huì)減少，而網(wǎng)絡(luò)的性能得到顯著的提高。 Vlan 建立在交換機(jī)的基礎(chǔ)之上， 同時(shí)Vlan 也是交換網(wǎng)絡(luò)的核心。并且，Vlan技術(shù)具有靈活性、可擴(kuò)張性，等等特

7、點(diǎn)，在校園網(wǎng)中使用Vlan技術(shù)方便于網(wǎng)絡(luò)維護(hù)和管理，這些都導(dǎo)致了Vlan技術(shù)在校園網(wǎng)中的廣泛應(yīng)用。1.1.3 Vlan技術(shù)的特征Vlan具有以下特點(diǎn)：(1)同一Vlan中的用戶可以直接通過(guò)數(shù)據(jù)鏈路層通信，而不同Vlan之間用戶不能直接通信，需要借助網(wǎng)絡(luò)層才能通信。(2)來(lái)自同一Vlan中的流量只能在本Vlan中洪泛，不同的Vlan處于不同的廣播域；(3)一個(gè)Vlan即代表一個(gè)虛擬局域網(wǎng)，為了區(qū)分身份，它們都有唯一的一個(gè)ID；1.1.4 Vlan技術(shù)的劃分(1)根據(jù)端口來(lái)劃分Vlan目前常用的Vlan劃分方法是根據(jù)端口劃分Vlan。它的優(yōu)點(diǎn)是便于定義Vlan成員，即定義所有端口到相應(yīng)的Vlan組

8、；其適用于任何大小的網(wǎng)絡(luò)。但是它也有一定的局限性，而且當(dāng)網(wǎng)絡(luò)中計(jì)算機(jī)的數(shù)目過(guò)大時(shí)，那么端口的設(shè)定將變得非常麻煩。圖1.1 根據(jù)端口來(lái)劃分Vlan(2)基于MAC地址劃分Vlan一塊網(wǎng)卡對(duì)應(yīng)一個(gè)MAC地址，通過(guò)主機(jī)的MAC地址劃分Vlan。它的優(yōu)點(diǎn)是當(dāng)用戶在交換機(jī)之間切換時(shí)，無(wú)需再次配置Vlan，因?yàn)樗窍鄬?duì)于用戶而言的，而不是相對(duì)于端口。它的缺點(diǎn)是在設(shè)定前需調(diào)查所有計(jì)算機(jī)的MAC地址；并且計(jì)算機(jī)更換網(wǎng)卡的時(shí)候，需要更改設(shè)定。圖1.2 根據(jù)MAC來(lái)劃分Vlan(3)根據(jù)網(wǎng)絡(luò)層劃分Vlan根據(jù)網(wǎng)絡(luò)層劃分的Vlan，能夠跨越多個(gè)Vlan交換機(jī)進(jìn)行廣播。這對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)，可以組織具體應(yīng)用和服務(wù)，非

9、常有用；并且，用戶在網(wǎng)絡(luò)里面是非常自由的，怎么移動(dòng)其Vlan身份都不會(huì)改變。Vlan識(shí)別有效地減少網(wǎng)絡(luò)流量，因?yàn)樗鼰o(wú)需幀標(biāo)簽，但是它的效率低且很費(fèi)時(shí)。圖1.3 根據(jù)網(wǎng)絡(luò)層來(lái)劃分Vlan(4)根據(jù)IP組播劃分Vlan基于IP組播來(lái)劃分Vlan是指一個(gè)Vlan代表一個(gè)組播組，這種劃分的方式具有更大的靈活性，且比較容易擴(kuò)展；主要適用于不同范圍的局域網(wǎng)用戶。相對(duì)于局域網(wǎng)而言，因?yàn)樾什桓?，感覺(jué)不適合。圖1.4 根據(jù)IP組播來(lái)劃分Vlan在實(shí)際生產(chǎn)應(yīng)用中我們一般基于接口來(lái)劃分Vlan。1.1.5 Vlan技術(shù)的發(fā)展隨著校園網(wǎng)的規(guī)模越來(lái)越大，Vlan技術(shù)的迅速發(fā)展已經(jīng)勢(shì)不可擋，現(xiàn)今的Vlan技術(shù)已經(jīng)基本上

10、可以滿足廣大網(wǎng)絡(luò)用戶的需求，但如果想要更好的保障數(shù)據(jù)以及控制流量，則需要進(jìn)一步完善Vlan的各種技術(shù)?？梢灶A(yù)見(jiàn)的是，Vlan將會(huì)在未來(lái)的網(wǎng)絡(luò)中大放異彩。1.1.6 Vlan技術(shù)的優(yōu)點(diǎn)(1)增加網(wǎng)絡(luò)的安全性人們經(jīng)常把一些重要和機(jī)密數(shù)據(jù)在線傳輸。通過(guò)MAC地址表和路由訪問(wèn)列表，等等，可以控制用戶訪問(wèn)權(quán)限，可以隔離不同用戶群，將他們分在不同Vlan中，提高網(wǎng)絡(luò)的安全穩(wěn)定性。圖1.5 將不同用戶劃分于不同Vlan中(2)有效地控制廣播風(fēng)暴通過(guò)創(chuàng)建一個(gè)或者多個(gè)Vlan，可以極大的減小廣播域的范圍，有效的控制由于廣播頻繁而產(chǎn)生的風(fēng)暴，因?yàn)橐粋€(gè)Vlan就代表著一個(gè)廣播域。圖1.6 通過(guò)創(chuàng)建Vlan隔離廣播(

11、3)增加了網(wǎng)絡(luò)連接的靈活性網(wǎng)絡(luò)管理員可以對(duì)網(wǎng)絡(luò)按業(yè)務(wù)功能分組。Vlan可以降低管理成本, 尤其是一些公司經(jīng)常變動(dòng)業(yè)務(wù), 這部分管理成本大大降低。1.1.7 Vlan技術(shù)的局限性(1)Vlan數(shù)目的限制；(2)復(fù)雜的STP；(3)IP地址的緊缺；(4)路由的限制。1.2本課題的意義1.2.1 本課題的意義隨著高校網(wǎng)絡(luò)發(fā)展，各種網(wǎng)絡(luò)問(wèn)題層出不窮，增強(qiáng)高校網(wǎng)絡(luò)的安全性和可靠性已是當(dāng)前面臨的主要問(wèn)題，而Vlan技術(shù)正好可以有效的解決這個(gè)問(wèn)題。本文用到的Vlan技術(shù)主要是相對(duì)于端口而言的,實(shí)現(xiàn)了以下幾個(gè)方面:(1)避免了IP 地址使用混亂的情況。校園網(wǎng)容易出現(xiàn)IP地址混亂的情況，通過(guò)劃分Vlan, 可以

12、很好的解決這個(gè)問(wèn)題，而且便于管理；(2)通過(guò)劃分Vlan, 可以控制訪問(wèn)權(quán)限, 保障子網(wǎng)安全；(3)廣播被隔離，也就防止了廣播風(fēng)暴的產(chǎn)生,提高了網(wǎng)絡(luò)的安全性，并提高了網(wǎng)絡(luò)的傳輸效率。2 Vlan技術(shù)的討論2.1 TRUNK鏈路技術(shù)Trunk技術(shù)是在兩臺(tái)交換機(jī)之間建立一條點(diǎn)到點(diǎn)的鏈路, 每臺(tái)交換機(jī)的相應(yīng)端口稱為中繼端口。一條中繼鏈路可以傳輸多個(gè)VLAN 的數(shù)據(jù)流, 并允許用戶將VLAN的范圍從一臺(tái)交換機(jī)擴(kuò)展到另一臺(tái)交換機(jī)。Trunk是一種封裝技術(shù),它是在兩臺(tái)交換機(jī)之間的一條點(diǎn)到點(diǎn)鏈路,主要功能就是僅通過(guò)一條鏈路就可以連接多個(gè)交換機(jī),從而擴(kuò)展已配置的多個(gè)VLAN,傳輸多個(gè)VLAN 的數(shù)據(jù)流。還可以

13、采用通過(guò)Trunk技術(shù)和上級(jí)交換機(jī)級(jí)連接的方式來(lái)擴(kuò)展端口的數(shù)量,將VLAN的范圍從一臺(tái)交換機(jī)擴(kuò)展到另一臺(tái)交換機(jī),節(jié)省了網(wǎng)絡(luò)硬件的成本,從而擴(kuò)展整個(gè)網(wǎng)絡(luò)。TRUNK 可通過(guò)的VLAN 范圍缺省下是11005, 可以修改, 但必須激活Trunk協(xié)議。使用Trunk 的端口不在任何VLAN 中。在校園網(wǎng)建設(shè)時(shí), Trunk絕對(duì)是必需的. 在設(shè)置Trunk后, Trunk鏈路不屬于任何一個(gè)VLAN. Trunk鏈路在交換機(jī)之間起著VLAN管道的作用,交換機(jī)會(huì)將該Trunk以外及Trunk中的端口處于一個(gè)VLAN中的其他端口的負(fù)載自動(dòng)分配到該Trunk中的各個(gè)端口. 因?yàn)橥粋€(gè)VLAN中的端口之間會(huì)相互

14、轉(zhuǎn)發(fā)數(shù)據(jù),而位于Trunk中的Trunk端口被當(dāng)作一個(gè)端口來(lái)看待,因此在設(shè)置了Trunk后,該Trunk將自動(dòng)加入其成員端口所屬的VLAN中,而其成員端口則自動(dòng)從VLAN中刪除。對(duì)于Trunk端口來(lái)說(shuō),其上允許通過(guò)的VLAN范圍體現(xiàn)的是一種能力,與系統(tǒng)中是否存在對(duì)應(yīng)的VLAN實(shí)體沒(méi)有關(guān)系。Trunk技術(shù)具有以下優(yōu)點(diǎn):1 可以在不同的交換機(jī)之間連接多個(gè)VLAN,可以將VLAN擴(kuò)展到整個(gè)網(wǎng)絡(luò)中; 2 Trunk可以捆綁任何相關(guān)的端口,也可以隨時(shí)取消設(shè)置,提供了很高的靈活性;3 Trunk可以提供負(fù)載均衡能力以及系統(tǒng)容錯(cuò). 由于Trunk實(shí)時(shí)平衡各個(gè)交換機(jī)端口和服務(wù)器接口的流量,若某個(gè)端口出現(xiàn)故障,

15、它會(huì)自動(dòng)把故障端口從Trunk組中撤消,進(jìn)而重新分配各個(gè)Trunk端口的流量,從而實(shí)現(xiàn)系統(tǒng)容錯(cuò)。2.2 VTP協(xié)議VLAN中繼協(xié)議最早由思科公司提出的。作為思科VLAN技術(shù)的重要組成部分，VTP減少了跨越網(wǎng)絡(luò)設(shè)置VLAN的管理任務(wù)，減少了配置的不連續(xù)性。VLAN干道協(xié)議是VLAN動(dòng)態(tài)協(xié)議的一種，它能自動(dòng)的在網(wǎng)絡(luò)中傳播VLAN的各種配置信息，因此能保持VLAN在網(wǎng)絡(luò)中的連續(xù)性和統(tǒng)一性， VTP是一個(gè)交換機(jī)到交換機(jī)，交換機(jī)到路由器VLAN管理協(xié)議。VTP是一種消息協(xié)議，它通過(guò)一臺(tái)工作在服務(wù)器模式下的交換機(jī)，通過(guò)使用二層中繼Frame在整個(gè)網(wǎng)絡(luò)中負(fù)責(zé)管理VLAN的添加，刪除和重命名。從而保證VLAN

16、在網(wǎng)絡(luò)中的傳播和統(tǒng)一，VTP負(fù)責(zé)在VLAN域內(nèi)同步VLAN信息，能傳播到每一臺(tái)工作在客戶機(jī)模式下的交換機(jī)中，從而簡(jiǎn)化了網(wǎng)絡(luò)管理員的配置量，也減少了錯(cuò)誤率。圖2.1為VTP的報(bào)文格式。圖2.1 VTP報(bào)文格式VTP要從Trunk中傳輸，所以一般VTP報(bào)文會(huì)封裝在ISL或者dot1q中。2.2.1 VTP具有如下的優(yōu)點(diǎn)：1 VLAN配置在整個(gè)網(wǎng)絡(luò)中都不變，且都保持一致；2 在混合介質(zhì)的網(wǎng)絡(luò)中允許一個(gè)VLAN被中繼的映射機(jī)制，能跨多個(gè)交換機(jī)；3 能對(duì)VLAN進(jìn)行精確的跟蹤和控制；4 全網(wǎng)范圍內(nèi)增加VLAN的動(dòng)態(tài)報(bào)告。為了在網(wǎng)絡(luò)中管理和建立VLAN，所以必須建立一個(gè)VLAN管理域。在域中能有相同的VL

17、AN信息，在交換網(wǎng)絡(luò)中，多個(gè)交換機(jī)構(gòu)成了一個(gè)域。VTP管理域由一組共享VTP域名的互聯(lián)設(shè)備組成，同一VTP域中所有交換機(jī)共享它們的VLAN信息。而且信息均相同，每個(gè)設(shè)備只能工作在一個(gè)VTP域，不同域中的交換機(jī)不能共享一個(gè)域中的VTP消息。2.2.2 VTP共有三種操作模式，分為服務(wù)器模式、客戶機(jī)模式和透明模式。1 服務(wù)器模式Server當(dāng)一臺(tái)未經(jīng)配置的思科交換機(jī)第一次工作的時(shí)候，它的默認(rèn)配置模式是服務(wù)器模式。VLAN在VTP服務(wù)器上被創(chuàng)建的時(shí)候，和其他VLAN配置信息一起存儲(chǔ)在服務(wù)器的NVRAM并且當(dāng)交換機(jī)重啟的時(shí)候，配置信息還是被保留不會(huì)消失。服務(wù)器模式中維持著該VTP域中所有VLAN信息列

18、表，可以增加、刪除或修改VLAN，VTP服務(wù)器周期性地廣播VTP域名、VLAN配置，提供現(xiàn)行的配置修改號(hào)。修改號(hào)是VTP 域的一部分，它確保VTP 域內(nèi)的所有交換機(jī)有現(xiàn)行的、正確的VLAN 配置信息。2 客戶機(jī)模式Client客戶交換機(jī)在NVRAM存儲(chǔ)VLAN配置。當(dāng)客戶交換機(jī)重啟的時(shí)候，所有的VLAN 配置信息丟失。交換機(jī)啟動(dòng)完成后，需要發(fā)送一條VTP 請(qǐng)求消息給VTP服務(wù)器，來(lái)獲取現(xiàn)行的VLAN 配置?？蛻魴C(jī)只能從服務(wù)器模式下的交換機(jī)接收VLAN的各種信息，它也維護(hù)該VTP域中所有VLAN信息列表，但不能增加、刪除或修改VLAN，任何變化的信息必須從VTP Server發(fā)布的通告報(bào)文中接收

19、。如果客戶交換機(jī)要加入一個(gè)新的VLAN，VLAN必須被添加到VTP 服務(wù)器上面去。這樣新的VLAN 才能傳遞到所有的客戶交換機(jī)。當(dāng)新的VLAN 增加后，客戶交換機(jī)上的端口會(huì)關(guān)聯(lián)到新的VLAN。3 透明模式TransparentVTP透明模式和VTP客戶模式不同，可以在交換機(jī)上手工配置本地的VLAN。它如果是VTP 域的一部分，可以從VTP 服務(wù)器接收VLAN 配置信息。但是它不參與VTP工作，忽略所有接收到的VTP信息，但能夠?qū)⒔邮盏降腣TP報(bào)文轉(zhuǎn)發(fā)出去。它只擁有本設(shè)備上的VLAN信息，它不會(huì)通知VTP 域本地配置的VLAN。所以，客戶模式下的交換機(jī)也可以與透明模式下的交換機(jī)連接，交換各種VL

20、AN信息。2.3 Vlan的幀標(biāo)識(shí)2.3.1 IEEE 802.1Q幀標(biāo)識(shí)802.1Q標(biāo)準(zhǔn)是加一個(gè)幀頭在標(biāo)準(zhǔn)的以太網(wǎng)幀上，四字節(jié)。包括標(biāo)簽控制信息和標(biāo)簽協(xié)議標(biāo)識(shí)。Vlan ID是占12個(gè)bit位，范圍是1 - 4094。2 - 1000則是用于以太網(wǎng)中，1002 - 1005則是做預(yù)留，1025 - 4094是Vlan ID的擴(kuò)展，其他的則做保留。圖2.3 標(biāo)準(zhǔn)以太幀格式圖2.4 802.1Q幀的格式2.3.2 ISL幀標(biāo)識(shí)ISL只適用于Cisco網(wǎng)絡(luò)設(shè)備。 它與802.1Q協(xié)議差不多，只有幀的格式有些不同，但可實(shí)現(xiàn)相同功能。它主要用于連接交換機(jī)、路由器以及各節(jié)點(diǎn)。ISL 配置是每個(gè)連接的設(shè)備

21、必須使用的，并且支持 Vlan 通信。ISL作用于數(shù)據(jù)鏈路層。ISL封裝了整個(gè)數(shù)據(jù)鏈路層的以太幀，這也是它與802.1Q協(xié)議的不同之處。ISL能傳送數(shù)據(jù)鏈路層不管何種類型的幀或者是上層的協(xié)議。圖2.5 ISL幀格式各字段含義如下：DA：40位，組播目標(biāo)地址。Type：4位，指示各種類型的幀，0000：以太網(wǎng)，0001：令牌環(huán)網(wǎng)，0010：光纖分布式數(shù)據(jù)接口，0011：ATM。User：4位，此字段是以太網(wǎng)優(yōu)先級(jí)的4位描述符。SA：48位，源MAC地址。LEN：16位，表示幀長(zhǎng)度，但是要除去DA、Type、User、SA、LEN這幾個(gè)字段。AAAA03：24位，表示的是ieee 802.2 ll

22、c的頭部。HAS：24位，MAC地址的前三字節(jié)。Vlan：15位。Vlan號(hào)，表示01023個(gè)Vlan，只使用低10位。BPDU：1位，網(wǎng)橋協(xié)議數(shù)據(jù)單元BPDU。INDEX：16位，端口ID描述符，做診斷用。RES：16位，保留字段。2.4 Vlan間的通信2.4.1 通過(guò)路由器進(jìn)行通信一個(gè)Vlan就為一個(gè)廣播域，Vlan之間在數(shù)據(jù)鏈路層是不能通信的，從而提高了網(wǎng)絡(luò)的安全性，也解決了網(wǎng)絡(luò)廣播風(fēng)暴，提高了性能。如果想要不同Vlan間可以通信，必須要通過(guò)三層交換機(jī)或者是路由器。路由器就可以使用路由功能來(lái)實(shí)現(xiàn)不同Vlan間的通信。這是最簡(jiǎn)單、最浪費(fèi)資源的一種方法，路由器的成本是非常高的，通過(guò)端口來(lái)實(shí)

23、現(xiàn)Vlan間通信成本太高。圖2.6顯示的是不同的Vlan間通過(guò)路由器進(jìn)行通信。圖2.6 利用路由器實(shí)現(xiàn)Vlan通信2.4.2 通過(guò)三層交換進(jìn)行通信三層交換機(jī)就是一臺(tái)交換機(jī)具有路由功能的交換機(jī)。傳統(tǒng)的交換機(jī)工作在數(shù)據(jù)鏈路層，只能在數(shù)據(jù)鏈路層轉(zhuǎn)發(fā)數(shù)據(jù)，但是三層交換機(jī)能工作在網(wǎng)絡(luò)層，并高速轉(zhuǎn)發(fā)數(shù)據(jù)，相比于路由器造價(jià)高以及存在的網(wǎng)絡(luò)瓶頸等問(wèn)題，三層交換機(jī)顯然是更好的選擇。三層交換技術(shù)為Vlan的發(fā)展提供了更好的平臺(tái)。三層交換機(jī)的原理是：假設(shè)A、B通信，若A、B在同一個(gè)子網(wǎng)中，無(wú)需經(jīng)過(guò)三層，直接通過(guò)二層轉(zhuǎn)發(fā)。若A、B不在同一個(gè)子網(wǎng)中，A首先發(fā)送一個(gè)ARP請(qǐng)求包，尋找自己網(wǎng)關(guān)的MAC，得到網(wǎng)關(guān)回應(yīng)后，將數(shù)

24、據(jù)發(fā)送到三層交換機(jī)，若三層交換機(jī)上的MAC地址表中存在B的MAC地址以及出接口則直接在二層建立連接，因?yàn)槎愚D(zhuǎn)發(fā)可以大大提高效率。若在MAC表中無(wú)法找到相關(guān)項(xiàng)，則需要查找路由表，找到與目的IP相對(duì)應(yīng)的路由，然后向目的主機(jī)發(fā)送ARP請(qǐng)求包，獲得該主機(jī)的MAC地址，然后轉(zhuǎn)發(fā)。原理如圖2.7所示。圖2.7 三層交換原理2.4.3通過(guò)單臂路由進(jìn)行通信單臂路由是指邏輯上在一個(gè)物理端口上定義多個(gè)子端口，一個(gè)子端口代表一個(gè)Vlan，這樣在路由器使用時(shí)可以大大節(jié)約物理端口的使用。圖2.6通過(guò)單臂路由進(jìn)行通信相對(duì)而言，利用單臂路由技術(shù)可以大大節(jié)省成本，而且也比較方便管理，但是單臂路由技術(shù)只適用于通信質(zhì)量要求不高

25、的情況，所以它并不足以取代路由器或者三層交換機(jī)。3 Vlan技術(shù)在校園網(wǎng)中的設(shè)計(jì)目前校園發(fā)展迅速，提高校園網(wǎng)的安全性和可靠性已經(jīng)勢(shì)在必行，而Vlan技術(shù)可以很好的解決這個(gè)問(wèn)題, 同時(shí)還能提高網(wǎng)絡(luò)管理效率以及性能，控制廣播風(fēng)暴。本章就是通過(guò)結(jié)合各個(gè)高校校園網(wǎng)的特點(diǎn)，從IP 規(guī)劃、網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、協(xié)議選擇、網(wǎng)絡(luò)設(shè)備配置等方面對(duì)校園網(wǎng)進(jìn)行了規(guī)劃和設(shè)計(jì)。3.1 網(wǎng)絡(luò)設(shè)備的選擇采用思科 28系列路由器和思科29、35系列交換機(jī)。路由器選用思科 2811，它是一款性能非常強(qiáng)悍的路由器，能提供很好的安全和可靠服務(wù)，足以滿足用戶的使用需求。核心網(wǎng)絡(luò)層主要應(yīng)用思科 3560系列的交換機(jī)，其性能非常好，完全可以工作

26、在校園網(wǎng)中滿足核心層的需要。匯聚層和接入層主要用思科2960系列交換機(jī)，它主要適用于網(wǎng)絡(luò)分支和小型企業(yè)，同時(shí)它也具有不錯(cuò)的性能，可以提供很好的服務(wù)，可以快速進(jìn)行以太網(wǎng)和千兆以太網(wǎng)連接，能增強(qiáng)局域網(wǎng)服務(wù)。3.2 校園網(wǎng)絡(luò)的設(shè)計(jì)本次設(shè)計(jì)選擇了規(guī)模適中的校園網(wǎng)作為基礎(chǔ)，以便于進(jìn)行實(shí)驗(yàn)，網(wǎng)絡(luò)中采用了大量的cisco交換機(jī)，作為二層交換設(shè)備，而這樣就容易導(dǎo)致廣播風(fēng)暴的出現(xiàn)，且數(shù)據(jù)的安全性也存在隱患，所以防止廣播風(fēng)暴和數(shù)據(jù)泄漏的問(wèn)題必須解決才能保障網(wǎng)絡(luò)的正常運(yùn)行以及數(shù)據(jù)的安全。而適當(dāng)?shù)膭澐諺lan正好可以有效的解決這個(gè)問(wèn)題。如圖3.1所示。圖3.1 校園網(wǎng)拓?fù)鋱D3.3 校園網(wǎng)IP的規(guī)劃本次設(shè)計(jì)因?yàn)橹鳈C(jī)量很

27、大，為了滿足校園環(huán)境對(duì)IP地址的需求，使用網(wǎng)段10.0.0.0 - 10.255.255.255。一宿舍樓： 二宿舍樓：10.2.24.0/21，即子網(wǎng)掩碼為24位的IP地址范圍10.-3.4 Vlan在網(wǎng)絡(luò)中的劃分3.4.1 Vlan ID的規(guī)劃表3.1是基于端口的Vlan劃分。只有合理的劃分Vlan，才能適應(yīng)網(wǎng)絡(luò)中各種變化的需要。表3.1 Vlan 的劃分列表3.4.2 基于端口的劃分(1)在匯聚層交換機(jī)上配置Vlan創(chuàng)建Vlan進(jìn)入全局模式switch#config terminal創(chuàng)建Vlan 10switch(config)#Vlan 10switch(config-Vlan)#ex

28、i將端口加入到Vlan 10中switch(config-if)#switchport access Vlan 10將一組端口加入到Vlan中switch(config)# interface range f0/1 5 switch(config-IF-RANGE)#switchport mode access switch(config-IF-RANGE)#switchport access Vlan 10switch(config-IF-RANGE)#exit指定端口成為trunkswitch(config)#interface f0/24switch(config-if)#switchp

29、ort mode trunk檢查Vlan端口分配情況switch#show Vlan brief圖3.2 Vlan端口分配情況從圖中可以看出 f0/1 5已經(jīng)在Vlan10中了，而其它的端口全部是默認(rèn)在Vlan1 中。以此類推，逐步創(chuàng)建Vlan 20、Vlan 30、Vlan 40、Vlan 50、Vlan 60、Vlan 70。接著把端口添加到相應(yīng)的Vlan中,然后配置trunk口。(2)在核心交換機(jī)上配置svi接口實(shí)現(xiàn)通信在Cisco 3650上創(chuàng)建各個(gè)Vlan的svi接口，并配置IP地址。配置Vlan 10的虛擬接口ip地址。switch(config)#Vlan 10 switch(c

30、onfig-Vlan)#exitswitch(config)#interface Vlan 10 switch(config-if)#%link-5-changed: Int Vlan 10, chan sta to upswitch(config-if)#配置Vlan 20虛擬接口ip地址switch(config)#Vlan 20switch(config-Vlan)#exitswitch(config)#interface Vlan 20switch(config-if)#%link-5-changed: Int Vlan 20, chan sta to upswitch(config-

31、if)#根據(jù)表1相繼配置valn 30、Vlan 40、 Vlan 50、Vlan 60、 Vlan 70。(3)三層交換機(jī)開(kāi)啟路由功能switch(config)#ip routing或者配置RIP動(dòng)態(tài)路由switch(config)#router ripswitch(config-ROUTER)# version 2如上命令即可實(shí)現(xiàn)Vlan通信。(4)配置訪問(wèn)控制表在核心交換機(jī)上配置ACL可以控制Vlan間的通信。 這兩個(gè)網(wǎng)段允許通過(guò)，拒絕其他網(wǎng)段數(shù)據(jù)通過(guò)switch(config)#ip access-list standard 10switch(config-std-NACL)#den

32、y ip any anyswitch(config-std-NACL)#exit在Vlan 10中引用列表10.switch(config)#interface Vlan 10switch(config-if)#ip access-group 10 in4 Vlan技術(shù)在校園網(wǎng)的測(cè)試Cisco Packet Trace是思科公司發(fā)布的一款軟件，它可以搭載拓?fù)?，調(diào)試命令，很好的模擬各種環(huán)境，通過(guò)它可以了解路由交換的原理，熟悉思科的命令，以及學(xué)習(xí)更多的網(wǎng)絡(luò)知識(shí)，對(duì)于初學(xué)者來(lái)說(shuō)是一款非常不錯(cuò)的工具。本章在Cisco Packet Trace中搭建環(huán)境，然后進(jìn)行測(cè)試，此次測(cè)試主要按照利用端口進(jìn)行Vla

33、n劃分的方法進(jìn)行，分別利用RIP和OSPF協(xié)議兩種方法進(jìn)行測(cè)試，基于端口的劃分成本低且容易實(shí)現(xiàn)，所以使用非常廣泛，而且其技術(shù)已經(jīng)成熟，可以很好的進(jìn)行測(cè)試。由于不同部分不同功能，再加上出于安全性考慮，所以定下了一些訪問(wèn)規(guī)則，要求如表格4.1所示。表格4.1 訪問(wèn)要求由于校園網(wǎng)規(guī)模太大，不可能在模擬環(huán)境下全部展現(xiàn)出來(lái)，所以在測(cè)試中只是簡(jiǎn)單的模擬了校園網(wǎng)，挑出一些代表性的主機(jī)進(jìn)行測(cè)試。4.1 基于RIP協(xié)議的測(cè)試 根據(jù)設(shè)計(jì)，在模擬器中搭建環(huán)境，使用RIP動(dòng)態(tài)路由協(xié)議進(jìn)行配置調(diào)試，拓?fù)鋱D如圖4.1所示。圖4.1 測(cè)試圖 連通性測(cè)試：Vlan 20 與Vlan 10、Vlan 50圖4.2 Vlan 2

34、0 ping Vlan 10和Vlan 50連通性測(cè)試：Vlan 10 與Vlan 40、Vlan 70圖4.3 Vlan 10 ping Vlan 70和Vlan 40連通性測(cè)試：Vlan 60 與Vlan 61圖4.4 Vlan 60內(nèi)部與Vlan 61 ping4.2 基于OSPF協(xié)議的測(cè)試根據(jù)設(shè)計(jì)，在模擬器中搭建環(huán)境，使用OSPF動(dòng)態(tài)路由協(xié)議進(jìn)行配置調(diào)試，拓?fù)鋱D如圖4.5所示。圖4.5 根據(jù)OSPF進(jìn)行的測(cè)試連通性測(cè)試：Vlan 70 與Vlan 40、Vlan 50圖4.6 Vlan70 ping Vlan 50、Vlan 40的測(cè)試結(jié)果連通性測(cè)試：Vlan 20與Vlan 10、V

35、lan 50圖4.7 Vlan 20 ping Vlan 50、Vlan 10從截圖可以看出，這兩種測(cè)試的結(jié)果基本一樣，說(shuō)明得到的結(jié)果值得相信，就證明了Vlan的劃分是可以起到隔離的作用，這樣就可以防止廣播風(fēng)暴，也便于管理，且數(shù)據(jù)的安全性有了很好的保障。總結(jié)Vlan技術(shù)在校園網(wǎng)中的作用是巨大的，它可以提供安全可靠的網(wǎng)絡(luò)，可以控制廣播風(fēng)暴，大大節(jié)省資源消耗，且便于管理，所以現(xiàn)在校園網(wǎng)中Vlan技術(shù)應(yīng)用的越來(lái)越廣泛，但是在Vlan技術(shù)帶來(lái)這么多便利的同時(shí)，它也有一定的局限性：一個(gè)是以端口為中心的Vlan，當(dāng)用戶位置變更時(shí)，而相對(duì)的網(wǎng)線也要進(jìn)行遷移，這樣的話就會(huì)很麻煩，當(dāng)然如果不是經(jīng)常移動(dòng)的話，這個(gè)

36、方式還是不錯(cuò)的；再一個(gè)由于Vlan的隔離作用，不同Vlan、不同端口的用戶如果想要通信，就會(huì)出現(xiàn)問(wèn)題，會(huì)導(dǎo)致用戶不能正常訪問(wèn)，畢竟端口在一個(gè)時(shí)間內(nèi)，它只屬于一個(gè)Vlan，當(dāng)然，這里指的是靜態(tài)Vlan，所以這樣的話對(duì)于管理員來(lái)說(shuō)會(huì)比較麻煩，他需要配合隨時(shí)修改端口，這大大的增加了網(wǎng)絡(luò)管理員的工作量。畢業(yè)設(shè)計(jì)是一次非常好的鍛煉自己的機(jī)會(huì)，通過(guò)這次校園網(wǎng)的設(shè)計(jì)，我將所學(xué)習(xí)的專業(yè)知識(shí)比較不錯(cuò)的融合起來(lái)，讓我對(duì)這個(gè)專業(yè)又有了比較深入的了解，也鞏固了以前所學(xué)習(xí)的知識(shí)，同時(shí)一次畢業(yè)設(shè)計(jì)算是一個(gè)整體，它涉及到各個(gè)方面，不只有自己專業(yè)的，也有其他專業(yè)的知識(shí)，所以這也提高了我很多方面的能力，而且本次畢業(yè)設(shè)計(jì)基本上都

37、是靠自己一人動(dòng)手完成，這使我得到了非常大的鍛煉，還獲得了豐富的經(jīng)驗(yàn)，性格方面，比如人際交往能力、忍耐力等等都有不錯(cuò)的提升，這些對(duì)于我以后參加工作有著很大的幫助。在設(shè)計(jì)過(guò)程中我也遇到了一些非常頭疼的問(wèn)題，就比如在模擬器上調(diào)試設(shè)備時(shí)，由于校園網(wǎng)的規(guī)模太大，即使我已經(jīng)將它盡量的簡(jiǎn)化了，但在模擬器上搭建的拓?fù)湟廊徊恍?，而自己的電腦完全啟動(dòng)不了那么多的設(shè)備（估計(jì)也沒(méi)幾個(gè)人的電腦能帶動(dòng)），還好模擬器上可以單獨(dú)開(kāi)啟或關(guān)閉設(shè)備，所以最后我只能一部分一部分的進(jìn)行配置與調(diào)試，這樣一來(lái)雖然比較麻煩，但還是可以順利完成設(shè)計(jì)。心情不好的時(shí)候如果碰到難題，那種感覺(jué)真不好受，甚至?xí)胍S便弄下應(yīng)付學(xué)校算了，我很慶幸自己沒(méi)有放棄，因?yàn)榭膳碌牟⒎抢щy，可怕的是自己沒(méi)有面對(duì)困難的勇氣，還好自己挺過(guò)來(lái)了，現(xiàn)在回想起來(lái)還是一陣心悸，因?yàn)轳R上就要步入社會(huì)了，自己竟然連一個(gè)畢業(yè)設(shè)計(jì)都完成不好，那以后參加工作能怎么辦，一遇到問(wèn)題就退縮，那終究是難以干出什么成績(jī)，難以踏出自己的路。感覺(jué)這段時(shí)間自己過(guò)得很充實(shí)，一邊進(jìn)行畢業(yè)設(shè)計(jì)，一邊瘋狂的玩樂(lè)，真正的勞逸結(jié)合。雖然累但是自己很開(kāi)心，畢竟大學(xué)四年快過(guò)完了，也意味著自己的青春過(guò)了大半，再不瘋狂我們就老了，突然想到了這句話，這也許就是我們現(xiàn)在真實(shí)的寫照。本次設(shè)計(jì)將會(huì)是一個(gè)難忘的回憶，畢竟大學(xué)四年僅此一次，而且是自己第一次親自動(dòng)手設(shè)計(jì)、布局、選材、配置與調(diào)試等，付出了很大的心血，但