沈阳航空航天大学校园网规划设计方案

航空航天大学校园网规划设计方案成员姓名：玉 专 业：信息管理与信息系统班 级：B1002信息技术学院摘 要快速、高效的传播和利用信息资源是21世纪的基本特征。掌握丰富的计算机与网络信息知识不仅仅是素质教育的要求而且也是学生掌握现代化学习与工作手段的要求。随着学校教育手段的现代化，很多学校已经成为逐渐开始将学校的管理和教学过程向电子化方向发展，校园网的有无以与水平的高低也将成为评价学校与学生选择学校的新的标准之一。一方面，学生可以通过它在促进学习的同时掌握丰富的计算机与网络信息知识；另一方面，基于先进的网络平台和其上的应用系统，将极大的促进学校教育的现代化进程，实现高水平的教学和管理。学校目前正加紧对信息化教育的规划和建设。开展的校园网络建设，旨在推动学校信息化建设，其最终建设目标是将建设成为一个借助信息化教育和管理手段的高水平的智能化、数字化的教学园区网络，最终完成统一软件资源平台的构建，实现统一网络管理，为用户提供高速接入网络，并实现网络远程教学、在线服务、教育资源共享等各种应用；利用现代信息技术从事管理、教学和科学研究等工作。最终达到在网络方面，更好的对众多网络使用与数据资源的安全控制，同时具有高性能，高效率，不间断的服务，方便的对网络中所有设备和应用进行有效的时事控制和管理。关键词：交换机；路由器；防火墙；VLAN目录摘要I一、课程设计任务- 1 -(一)校园网建设总体要求- 1 -(二)校园建设具体要求- 1 -二、校园网的设计与应用主干拓扑图- 2 -(一)校园网的拓扑图- 2 -(二)VLAN技术与其划分- 2 -1.VLAN技术介绍- 2 -2.具体VLAN划分- 4 -(三)划分IP地址- 4 -三、网络技术的选择- 6 -(一)网络设备的选择- 6 -1.交换机的选择- 6 -2.路由器的选择- 6 -(二)生成树协议与其应用- 7 -(三)VTP原理与应用- 7 -1.VTP的优点- 8 -2.VTP操作模式- 8 -3.VTP服务器- 8 -4.VTP客户机- 8 -5.透明模式的交换机- 9 -6.VTP操作- 9 -7.VTP通告- 9 -8.VTP配置版本号- 9 -9.VTP修剪- 10 -(四)静态路由和动态路由- 10 -1.静态路由- 10 -2.动态路由- 11 -3.RIP路由协议- 11 -4.OSPF路由协议- 11 -5.两者的区别- 12 -四、集群技术的应用- 13 -(一)集群的介绍- 13 -(二)校园网应用环境- 14 -(三)访问控制列表的应用- 14 -(四)服务器的作用与其配置- 15 -1.Web服务器- 15 -2.IP地址设置- 16 -3.修改主目录与访问权限- 16 -4.设置默认文档- 17 -5.FTP服务器- 17 -6.DNS服务器- 18 -参考文献-20-成绩评定表-21- 18 - / 23一、课程设计任务根据校园用户对千兆校园网络应用的具体需求，通过对千兆校园网络常用技术的分析，以小组为单位，编制千兆校园网络工程项目的规划设计与实施方案，并完成项目实施。(一) 校园网建设总体要求通过需求分析，掌握本次校园网建设的要点，以与按照以下要求，以与目标进行建设：l 先进性l 可靠性l 可扩展性l 可管理性l 安全性(二) 校园建设具体要求校本部各大楼与网络中心的网络带宽为千兆，用户主机到桌面交换机的网络带宽为百兆。校园网到Internet的出口带宽为10Mbps。远程分校与校本部的间网络带宽为2Mbps。办公大楼中有财务处、招生办公室、党委办公室等机构。要求这些机构必须处在一个独立的局域网，以保证网络的安全。对学生宿舍的计算机只提供WWW、E-Mail、FTP等常用的服务，除非有特别的需要不开通其他服务。工作日只能在上午8:00到23:00间开通Internet网络，周末全天开通网络。校园中的计算机大部分使用Windows操作系统，要求对经常出现漏洞的135-139端口进行过滤，并且对一些木马，病毒使用的常见端口进行过滤。对校园网外的移动用户提供PSTN拨号接入服务。二、校园网的设计与应用主干拓扑图(一) 校园网的拓扑图根据课程设计任务，首先进行主干拓扑图的设计。根据拓扑图，先用双绞线把4台机柜的交换机和路由器按照划分好的端口连接起来，路由器的2个E0/0和E0/1接口分别接到路由器的E0/0接口和交换机的E0/23接口。主干拓扑设计图如下：图2.1网络拓扑图(二) VLAN技术与其划分1. VLAN技术介绍VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着一样需求的计算机工作站，与物理上形成的LAN有着一样的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN的各个工作站无须放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播围，并能够形成虚拟工作组，动态管理网络。 VLAN在交换机上的实现方法，可以大致划分为4类:：(1)基于端口划分的VLAN 这种划分VLAN的方法是根据以太网交换机的端口来划分，比如Quid way S3526的14端口为VLAN 10，517为VLAN 20，1824为VLAN 30，当然，这些属于同一VLAN的端口可以不连续，如何配置，由管理员决定，如果有多个交换机，例如，可以指定交换机 1 的16端口和交换机 2 的14端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机，根据端口划分是目前定义VLAN的最广泛的方法，IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。 这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都指定义一下就可以了。它的缺点是如果VLANA的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。 (2)基于MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停的配置。 (3)基于网络层划分VLAN 这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。它虽然查看每个数据包的IP地址，但由于不是路由，所以，没有RIP，OSPF等路由协议，而是根据生成树算法进行桥交换， 这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。 这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。 (4)根据IP组播划分VLAN IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。 2. 具体VLAN划分表2.1 VLAN划分下面介绍本论文设计的校园网VLAN的划分，是按照建筑物划分的VLAN，在具体的交换机上是静态的分配VLAN中的主机成员的，具体的划分如下：院系VLAN信息工程系Vlan1Vlan2自动控制工程系Vlan3机械工程系Vlan4工商管理系Vlan5汽车工程学院Vlan6黄金珠宝学院Vlan7基础教学部Vlan8思想政治理论课教学科研部Vlan9Vlan10体育教学部Vlan11寝室楼Vlan12图书馆Vlan13表2.2 IP地址划分(三) 划分IP地址设计网络主要用个网络地址。具体的划分到每个VLAN中的主机的情况下：表2.2 IP地址划分院系院系信息工程系10.1.1.2-10.1.1.253 10.1.2.2-10.1.2.253自动控制工程系10.1.3.2-10.1.3.253机械工程系10.1.4.2-10.1.4.253工商管理系10.1.5.2-10.1.5.253汽车工程学院10.1.6.2-10.1.6.253黄金珠宝学院10.1.7.2-10.1.7.253基础教学部10.1.8.2-10.1.8.253思想政治理论课教学科研部10.1.9.2-10.1.9.25310.1.10.2-10.1.10.253体育教学部10.1.11.2-10.1.11.253寝室楼10.1.12.2-10.1.12.253图书馆10.1.13.2-10.1.13.253三、网络技术的选择在各种局域网技术中，以太网以其造价低、技术成熟、产品丰富、可靠性高、可扩展性好、传输介质丰富和易于管理等优点而成为建设局域网的主流技术。以太网使用CSMA/CD协议，它是一种基于冲突检测机制的网络协议。目前，以太网的速度已经达到千兆，甚至万兆，完全可以满足学校对网络带宽的需求。远程分校与校本部通过租用2Mbps的E1专线连接。(一) 网络设备的选择1. 交换机的选择核心交换机选用Cisco Catalyst 4006以太网交换机，4006交换机提供总插槽数为6个，可通过增加模块来增加交换机的接入端口和性能，它具有24Gbps的背板带宽和18Gbps的包交换能力。本方案中配置一个S3引擎具有8GB的高宽带、高速第三层路由和Qos的系统端口能力，并能以线速同时在双千兆位以太网上行链路上支持第三层服务，S3引擎上带有2个1000M以太网模块插槽（GBIC），WS-X4232-L3模块具有32口10M/100M快速以太网接口与2个1000M以太网模块插槽，支持3层交换。这样S3引擎和WS-X4232-L3模块总共具有4个千兆模块，能够实现到学生宿舍、教学楼、办公室、计算机学院的千兆光纤连接。汇聚交换机选用Catalyst 3550-24以太网交换机，具有24个10M/100M快速以太网接口和1000M以太网模块插槽，13.6Gbps的交换矩阵，第三层最大传输带宽为4.4Gbps。它是一个新型的、可堆叠的、多层企业级交换机，可以提供高水平的可用性、可扩展性、安全性和控制能力。具有每端口服务质量（Qos）、每端口优先级、每端口广播和组播风暴控制、聚簇（clustering）支持，CGMP、ISL和802.1q帧标识、VTP支持、CDP、SNMP和RMON支持、DNS支持、TACACS+支持、端口保护、速度限制、访问控制列表、多播管理高性能、IP路由、划分VLAN和三层交换等功能。2. 路由器的选择路由器主要用于学校各建筑的网络的连接，是构成主干网的核心部分，方案中选择Cisco 2511路由器，它具有一个AUI 10Mbps以太网端口、16个低速异步串行端口和两个2Mbps串行口。Cisco 2511路由器支持DHCP、NAT、QoS、访问列表、VPN、防火墙特性和多种协议（IP、IPX、AppleTalk、SNA、DECNet、OSI、VINEST xns）路由。校本部的Cisco 26511应配备一根一拖八高密度RS-232线、一根V.35线和G703协议转换器。其中“一拖八”高密度RS-232线用于与Modem相连，形成Modem池，V.35线用于连接基带Modem和路由器，G703用于实现V.35协议到E1协议的转换。(二) 生成树协议与其应用STP(Spanning Tree Protocol)能够提供路径冗余，使用STP可以使两个终端中只有一条有效路径。STP在大的网络中定义了一个树，并且迫使一定的备份路径处于备用状态。如果生成树中的网络一部分不可达，或者STP值变化了，生成树算法会重新计算生成树拓扑，并且通过启动备份路径来重新建立连接。STP操作对于终端来说是透明的，而不管终端连在LAN的某一部分或者多个部分。当创建网络时，网络中所有节点存在多条路径。生成树中的算法计算出最佳路径。因为每个VLAN是一个逻辑LAN部分，所以网管员能使STP一次工作在最多63个VLAN中。如果要配置超过63个VLAN，网管员需要将其他VLAN的STP禁止，因为默认的STP可以支持163个VLAN。生成树协议在交换机中的具体配置：spanningtree vlan 1spanningtree uplinkfast maxupdaterate 100spanningtree vlan 2 3 priority 125spanningtree vlan 3 maxage 100spanningtree vlan 3 hellotime 3spanningtree vlan 3 forwardtime 20spanningtree portfast fa0/2spanningtree vlan 3 cost 120spanningtree vlan 3 port-priority 0(三) VTP原理与应用 VTP是VLAN Trunk Protocol的简写，它提供每个设备（Router或LANswitch）在中继端口（Trunk ports）发送广播。这些广播被发送到一个组播地址，并被所有相邻设备接收。这些广播列出了发送设备的管理域，它的配置修订号，已知的VLAN，与已知VLAN的确定参数。通过听这些广播，在一样管理域的所有设备都可以学习到在发送设备上配置的新的VLAN。使用这种方法，新的VLAN只需要在管理域的一台设备上建立和配置，信息会自动被一样管理域的其它设备学到。为了管理区网中的所有VLAN，Cisco则创建了VLAN干道协议（VTP）。VTP在整个网络上维持VLAN配置的一致性。VTP是一种消息协议，它使用第2层干道帧管理VLAN的添加、删除和重命名。VTP也使我们能进行传输到网络中所有其他交换机上的集中改变。VTP将当进行变动时可能会出现的配置不一致性降至最小。这些不一致有可能违反安全规，例如当出现重命名时，VLAN会交叉连接，并且当VLAN被从一种以太网类型映射到另一种（例如，以太网到ATM或FDDI），将可能会被从部切断。1. VTP的优点(1)整个网络VLAN配置的一致性；(2)对于通过混合介质主干将以太网VALN映射到高速主干VALN，例如FDDI的映射方案，它使VLAN可以被通过混合介质中继；(3)对VLAN的准确跟踪和监管；(4)动态报告网络中增加的VLAN；(5)当添加新VLAN时的“即插即用”配置；为了能在交换机上创建VLAN，我们必须首先建立一个VTP管理域以使它能够检验网络上当前的VLAN。在同一管理域中所有交换机共享他们的VLAN信息，并且一个交换机只能参加到一个VTP管理域。不同域中的交换机不能共享VTP信息。一个VTP域是由一台或多台共享一个VTP域名的互连设备组成。一台交换机只能被配置在一个VTP域。全局VLAN信息是通过互连的交换机干道端口进行传播。2. VTP操作模式Catalyst交换机可以配置为以下几种操作模式：(1)服务器(2)交换机(3)透明3. VTP服务器在这种模式中，可以建立、修改和删除VLAN，也可以为整个VTP域规定其他配置参数（比如VTP版本和VTP修剪）。服务器向同一VTP域中的交换机通告它们的VLAN配置，并根据从干道链路上收到的通告与其他交换机进行VLAN配置的同步。它是交换机的VTP缺省操作模式。4. VTP客户机VTP客户机同VTP服务器的行为一样，但是在VTP客户机上不能建立、改变和删除VLAN。5. 透明模式的交换机交换机可以被配置为不接受VTP信息。这些交换机将在干道端口上转发VTP信息以保证其他交换机接受到更新信息，但是这些交换机将不修改他们的数据库，也不发送指示VLAN状态发生变化的更新信息。这被称为透明模式。6. VTP操作在通告中检测到VLAN的添加就向交换机(服务器和客户机)发出一个通告，告诉它们应该在其干道端口上准备接受带有新定义的VLAN ID、仿真局域网名和802.10 SAID的数据流。在图中，交换机3发送一条含有VLAN添加或删除信息的VTP数据库条目到交换机l和2。这个配置数据库有一个“通知+l(N+1)”的版本号。高一些的修改号说明正在被发送的VLAN信息比所存储的拷贝更新一些。不论何时，只要交换机接受到一个有更高配置版本号的更新，它都将用该VTP更新中的新信息覆盖过去的存储的信息。7. VTP通告当使用VTP时，每台交换机在其干道端口上通告其管理域、配置版本号、它所知道的VLAN，以与每个己知VLAN的某些参数。这些通告数据帧被发往一个多点广播地址，以便所有邻居设备都能收到这些帧；然而，这些帧不是通过普通的桥接样序被转发的。这样，同一管理域中的所有设备就可以了解到发送这些帧的设备中现在所配的新VLAN。新的VLAN必须在管理域的一台设备上被创建和配置。该信息可被同一管理域中的所有其他设备自动学到。8. VTP配置版本号VTP通告中最关键元素之一配置版本号。每次当VTP服务器修改其VTP数据库时，它将配置版本号增1。然后，服务器用新的配置版本号向VTP域中的其他设备通告它的数据库。如果所通告的配置版本号比VTP域中其他设备所存储的版本号高，交换机将请求相应的子集通告。子集通告中含有更新者在其NVRAM中所存储VLAN的详细信息。这些交换机然后将用所接收到的新信息更新其数据库。该更新过程意味着：如果VTP服务器删除了其所有VLAN并使用了更高的配置版本号，那么该VTP域中的其他设备也将删除他们的VLAN。9. VTP修剪缺省地，发给某个VLAN的广播被发送到每个在其某条干道链道上承载那VLAN的交换机。即使交换机没有位于那个VLAN的端口也如此。这意味着：干道链路可能会传送最终将被该交换机仍掉的广播数据流。通过减少不必要的泛滥数据流，如广播、多点广播、未知和泛滥的单点传送数据包，VTP修剪可以提高网络带宽的利用率。通过将泛滥数据流限制在数据流不得不使用以到达正确的网络设备的那些干道链路上，VTP修剪提高了可用的带宽。这意味着，它限制广播、多点广播和泛滥的单点传送数据包通过没有端口属于那个VLAN的交换机。VTP修剪功能缺省是关闭的。(四) 静态路由和动态路由1. 静态路由静态路由是由网络管理员定义的路由，网络管理员手工的将其输入到路由器的配置中，路由器可以获知路由明确的指定了发送的源和目的地之间的进行数据包传送所必须采用的路径。静态路由的好处：(1)安全性安全对于某些网络来说是首要的任务之一，为了安全起见，隐藏网络的某些部分可能更适合些。静态路由允许互联网络管理人员制定在有限的划分中那些是可以公开的。(2)可控制性由网络管理人员人工定义这些路由，允许对IP互联网络的路由选择行为进行十分精确的控制。(3)避免了动态路由的所占用的系统开销静态路由的缺点之一是当互联网络拓扑结构发生变化，需要更新的时候，例如链路发生故障，管理员必须手工的更新这项路由条目。当一个网络只能通过一条路径到达时，对这个网络使用静态路由就足够了。这种划分称为根网络。对于一个存根网络来说，经常配置静态路由，这样就避免了使用动态路由选择的开销。在本论文设计校园网中，只有一个路由器，而且是与外面相连的，所以说使用的是静态的路由。具体的配置如下： enableRouter#conf t Router (config) #ints2/0 Router(config)#cdp runRouter (config-if)#no shut Router (config-if)#ip address 10.1.26.2 255.255.255.0 Router (config-if)#cdp enableRouter (config-if)#exit Router(config)#ip route 10.1.25.0 255.255.255.010.1.25.2 Router(config)#ip route 10.1.23.0 255.255.255.010.1.25.2 Router(config)#ip route 10.1.24.0 255.255.255.010.1.25.22. 动态路由与静态路由不一样，网络管理员输入配置命令启动静态路由选择后，路由器可以自动获知路由，无论何时从互联网中接受到新的信息，路由信息都会通过路由进样自动更新，动态信息的改变作为更新过程的一部分住路由器之间交换。动态路由选择的成功依赖于两个基本的路由器功能：(1)路由表的维护(2)以路由更新的形式将信息与时发布给其他路由器根据动态路由的原理的路由协议有很多，OSPF和RIP就是其中的两个。这也是其中比较容易理解的两个部分。下面就简单的了解一下这两个协议。3. RIP路由协议RIP协议最初是为Xerox网络系统的Xerox parc通用协议而设计的，是Internet中常用的路由协议。RIP采用距离向量算法，即路由器根据距离选择路由，所以也称为距离向量协议。路由器收集所有可到达目的地的不同路径，并且保存有关到达每个目的地的最少站点数的路径信息，除到达目的地的最佳路径外，任何其它信息均予以丢弃。同时路由器也把所收集的路由信息用RIP协议通知相邻的其它路由器。这样，正确的路由信息逐渐扩散到了全网。RIP使用非常广泛，它简单、可靠，便于配置。但是RIP只适用于小型的同构网络，因为它允许的最大站点数为15，任何超过15个站点的目的地均被标记为不可达。而且RIP每隔30s一次的路由信息广播也是造成网络的广播风暴的重要原因之一。 4. OSPF路由协议80年代中期，RIP已不能适应大规模异构网络的互连，OSPF随之产生。它是网间工程任务组织（IETF）的部网关协议工作组为IP网络而开发的一种路由协议。 OSPF是一种基于链路状态的路由协议，需要每个路由器向其同一管理域的所有其它路由器发送链路状态广播信息。在OSPF的链路状态广播中包括所有接口信息、所有的量度和其它一些变量。利用0SPF的路由器首先必须收集有关的链路状态信息，并根据一定的算法计算出到每个节点的最短路径。而基于距离向量的路由协议仅向其邻接路由器发送有关路由更新信息。 与RIP不同，OSPF将一个自治域再划分为区，相应地即有两种类型的路由选择方式：当源和目的地在同一区时，采用区路由选择；当源和目的地在不同区时，则采用区间路由选择。这就大大减少了网络开销，并增加了网络的稳定性。当一个区的路由器出了故障时并不影响自治域其它区路由器的正常工作，这也给网络的管理、维护带来方便。5. 两者的区别静态路由是在路由器中设置的固定的路由表。除非网络管理员干预，否则静态路由不会发生变化。由于静态路由不能对网络的改变反映，一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中，静态路由优先级最高。当动态路由与静态路由发生冲突时，以静态路由为准。 动态路由是网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息更新路由器表的过程。它能实时地适应网络结构的变化。如果路由更新信息表明发生了网络变化，路由选择软件就会重新计算路由，并发出新的路由更新信息。这些信息通过各个网络，引起各路由器重新启动其路由算法，并更新各自的路由表以动态地反映网络拓扑变化。动态路由适用于网络规模大、网络拓扑复杂的网络。当然，各种动态路由协议会不同程度地占用网络带宽和CPU资源。 静态路由和动态路由有各自的特点和适用围，因此在网络中动态路由通常作为静态路由的补充。当一个分组在路由器中进行寻径时，路由器首先查找静态路由，如果查到则根据相应的静态路由转发分组；否则再查找动态路由。四、集群技术的应用(一) 集群的介绍对于交换机之间的连接，比较熟悉的应该有两种：一、是堆叠，二、是级联。对于级联的方式比较容易造成交换机之间的瓶颈，而虽然堆叠技术可以增加背板速率，能够消除交换机之间连接的瓶颈问题，但是，受到距离等的限制很大，而且对交换机数量的限制也比较严格。 Cisco公司推出的交换机集群技术，可以看成是堆叠和级连技术的综合。这种技术可以将分布在不同地理围的交换机逻辑地组合到一起，可以进行统一的管理。具体的实现方式就是在集群之中选出一个Commander，而其他的交换机处于从属地位，由Commander统一管理。对于新的Catalyst 3500 XL系列中的 Catalyst 3512XL、Catalyst 3524XL和Catalyst 3508G XL三个型号均可以成为Commander，而对于被管理者2900和1900系列均可以加入交换机集群，使用Cisco最新的交换集群技术将传统的堆叠技术提高到新的水平。据说对于2900XL系列也可以成为Commander。该系列产品面向中型企事业单位，在提供高性能和低成本的同时，降低了复杂度，并易于集成到已有的网络上。它允许网络管理员使用标准的Web浏览器。通过单一的IP地址从 网络上的任何地方管理地理上分散的交换机。具体举例如下： 假设网络中心采用Cisco 的 Catalyst 6506交换机，而集群的Commander 采用Catalyst 3508 GXL 在集群的Commander与中心交换机之间，可以通过千兆连接或者通过GEC实现4千兆的连接，而在集群部采用3500、2900、1900的组合，之间通过FEC等方式相连接。然后为集群分配独立的IP地址就可以对整个集群进行管理了。交换机集群技术最多支持16台交换机，可以提供多达16*48个端口。 背板带宽，是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。一台交换机的背板带宽越高，所能处理数据的能力就越强，但同时设计成本也会上去。 但是，如何去考察一个交换机的背板带宽是否够用呢？显然，通过估算的方法是没有用的，应该从两个方面来考虑： 所有端口容量X端口数量之和的2倍应该小于背板带宽，可实现全双工无阻塞交换，证明交换机具有发挥最大数据交换性能的条件。满配置吞吐量（Mbps）=满配置GE端口数1.488Mpps其中1个千兆端口在包长为64字节时的理论吞吐量为1.488Mpps。例如，一台最多可以提供64个千兆端口的交换机，其满配置吞吐量应达到 641.488Mpps = 95.2Mpps，才能够确保在所有端口均线速工作时，提供无阻塞的包交换。如果一台交换机最多能够提供176个千兆端口，而宣称的吞吐量为不到261.8Mpps（176 x 1.488Mpps = 261.8），那么用户有理由认为该交换机采用的是有阻塞的结构设计。 一般是两者都满足的交换机才是合格的交换机。背板相对大，吞吐量相对小的交换机，除了保留了升级扩展的能力外就是软件效率/专用芯片电路设计有问题；背板相对小。吞吐量相对大的交换机，整体性能比较高。不过背板带宽是可以相信厂家的宣传的，可吞吐量是无法相信厂家的宣传的，因为后者是个设计值，测试很困难的并且意义不是很大。 交换机的背版速率一般是：Mbps,指的是第二层，对于三层以上的交换才采用Mbps。(二) 校园网应用环境交换机集群具有比较广泛的应用，比较的典型应用之一是校园网。校园网的特点IT资源有限，并且一般是由管理人员实现集中管理。对于这样的应用环境，利用交换机集群的自动化特性，便可以跨越配线柜的限制，这是交换机集群的最大优势。因为在校园网环境下，网络管理人员往往很少，有时只有一个人，而他的职责同却很广，包括从交换机的最初配置到对多座建筑与其多个楼层的远程故障排除。对于一个比较典型的校园网，各个建筑之间通常用光纤联接，网络中配备了Catalyst 3500 XL系列交换机、Catalyst 2900 XL系列交换机和Catalyst 1900系列交换机。在每座建筑部，一般每个楼层有一台或若干台交换机，这些交换机根据不同的应用选择合适的传输介质联接，可以是五类线缆。采用了Cisco的交换机集群技术后，网络管理人员不再需要到校园的每个楼房跑来跑去，检查配线柜，或设置交换机。如果网络管理人员需要对交换机进行初始化、移去一台交换机或对网络进行故障排除，只要坐住计算中心，通过一个基于web界面的控制台就可以完成了。(三) 访问控制列表的应用访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。通过灵活地增加访问控制列表，ACL可以当作一种网络控制的有力工具，用来过滤流入和流出路由器接口的数据包。建立访问控制列表后，可以限制网络流量，提高网络性能，对通信流量起到控制的手段，这也是对网络访问的基本安全手段。在路由器的接口上配置访问控制列表后，可以对入站接口、出站接口与通过路由器中继的数据包进行安全检测。当我们要想阻止来自某一网络的所有通信流量，或者充许来自某一特定网络的所有通信流量，或者想要拒绝某一协议簇的所有通信流量时，可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查路由的数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。在这个校园网中，路由器创建的访问列表的功能是，只允许校园网部的主机访问外网，而外网的用户不能访问校园的信息资源。具体如下：Router#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#int s2/0Router(config-if)#exitRouter(config)#int s3/0Router(config-if)#link-protocol pppRouter(config-if)#exitRouter(config)#ip access-list extended 101Router(config-ext-nacl)#deny tcp 10.1.26.0 0.0.0.255 10.1.22.2 0.0.0.0 eq 23Router(config-ext-nacl)#deny tcp 10.1.26.0 0.0.0.255 10.1.23.1 0.0.0.0 eq 23Router(config-ext-nacl)#deny tcp 10.1.26.0 0.0.0.255 10.1.24.1 0.0.0.0 eq 23Router(config-ext-nacl)#permit icmp any any Router(config-ext-nacl)#exitRouter(config)#int s2/0Router(config-if)#ip access-group 101 inRouter(config-if)#(四) 服务器的作用与其配置1. Web服务器在网络中为实现信息发布、资料查询、数据处理等诸多应用搭建基本平台的服务器。Web服务器如何工作：Web页面处理致可分三个步骤，第一步，Web浏览器向一个特定的服务器发出Web页面请求；第二步，Web服务器接收到Web页面请求后，寻找所请求的Web页面，并将所请求的Web页面传送给Web浏览器：第三步，Web服务器接收到所请求的Web页面，并将它显示山来。 ：全名为Hypertext Transfer Protocol，即超文本传输协议，用于传输网页等容。HTML：Hypertext Markup Language，即超文本标记语言，是用于创建Web文档的标准语言。在Windows 2003中只要添加IIS(Internet Information Server，操作系统自带的组件)，便可轻松实现Web服务。在Windows 2003 Server中，如果没有添加IIS，可单击“开始”，指向“设置”，单击“控制面板”，双击“添加删除科序”，选择“添加删除Windows组件”，在弹出的“windows组件向导”窗中“组件”下勾选“Internet信息服务（IIS）”。然后放入系统源盘，单击“下一步”，显示“完成Windows组件向导”窗后单击“完成”即可。此时的Web服务如拿来使用，功能不但不多，而且还很不安全，所以得先好好设置一下。单击“开始程序管理工具Internet服务管理器”在“Internet信息服务”左窗格中展开服务器名称前的“+”号，然后在“默认Web站点”选项上单击鼠标右键，从弹出菜单中选择“属性”。下面来谈一些具体设置：2. IP地址设置为了使别人能很方便地访问你的网页，首先得设定IP地址，在“默认Web站点属性”中单击“Web站点”标签，就可以输入IP地址了。目前安装宽带网的人很多，但是拥有同定的IP地址还是很少的，所以在这也可以使用其默认的“全部来分配”。但这对于希望能有更多用户来浏览自己的朋友来说，还有一种更好的办法把动态IP地址转换为固定的域名进行访问。方法有许多，像利用DNS2Go、Dynamic Host等都可以实现。TCP端口：在采用默认值“80”时，用户只需通过浏览器输入你的域名，如 ，便能对该站点进行访问，如果把该TCP端口修改成其他的端口号，如“8888”，那么访问该站点时，必须在浏览器地址中输入“域名+端口号”，如“:8888”。3. 修改主目录与访问权限网页究竟放住硬盘的哪个地方，可根据自己的需要进行设置。需要注意是在“本地路径”下有一些对访问的控制设置，简要介绍如下：脚本资源访问：如果用户访问已经设置了“读取”或“写入”权限的资源代码（资源代码包括ASP应用程序中的脚本），要选中该选项。读取：如想使别人能对你的网页进行访问应当勾选它，它允许用户读取或下载文件（目录）与其相关属性。写入：如果允许，用户上传或更改可写文件的容，应当勾选此项。目录浏览：如果允许用户查看该虚拟目录中文件与子目录的超文本列表，则应勾选此项，但为了安全起见，请不要选择目录浏览。4. 设置默认文档为什么输入地址便能打开“defaulthtm”或“indexhtm”等网页呢?其实这就是各服务器中设置的默认文档。单击“文档”标签，在这可设定自己的默认页面，如添加一个“indexhtm”。5. FTP服务器FTP服务器，负责整个校园的文件共享，下面介绍它的具体配置。电脑重启后，FTP服务器就开始运行了，但还要进行一些设置。单击“开始程序管理工具Internet服务管理器”，进入“Internet信息服务”窗口后，找到“默认FTP站点”，右击鼠标，在弹出的右键菜单中选择“属性”。在“属性”中，可以设置FTP服务器的名称、IP、端口、访问账户、FTP目录位置、用户进入FTP时接收到的消息等。(1)FTP站点基本信息进入“FTP站点”选项卡，其中的“描述”选项为该FTP站点的名称，用来称呼服务器，可以随意填，比如“FTP服务器”； “IP地址”为服务器的IP，系统默认为“全部未分配”，一般不须改动，但如果在下拉列表框中有两个或两个以上的IP地址时，最好指定为公网IP；“TCP端口”一般仍设为默认的21端口；“连接”选项，用来设置允许同时连接服务器的用户最接数；“连接超时”用来设置一个等待时间，如果连接到服务器的用户在线的时间超过等待时间而没有任何操作，服务器就会自动断开与该用户的连接。(2)设置账户与其权限很多FTP站点都要求用户输入用户名和密码才能登录，这个用户名和密码就叫账户。不同用户可使用一样的账户访问站点，同一个站点可设置多个账户，每个账户可拥有不同的权限，如有的可以上传和下载，而有的则只允许下载。(3)安全设定进入“安全账户”选项，有“允许匿名连接”和“仅允许匿名连接”两项，默认为“允许匿名连接”， 此时FTP服务器提供匿名登录。“仅允许匿名连接”是来防止用户使用有管理权限的账户进行访问，选中后，即使是Administrator（管理员）账号也不能登录，FTP只能通过服务器进行“本地访问”来管理。至于“FTP站点操作员”选项，是添加或删除本FTP服务器具有一定权限的账户。IIS与其他专业的FTP服务器软件不同，它基于Windows用户账号进行账户管理，本身并不能随意设定FTP服务器允许访问的账户，要添加或删除允许访问的账户，必须先在操作系统自带的“管理工具”中的“计算机管理”中去设置Windows用户账号，然后再通过“安全账户”选项中的“FTP站点操作员”选项添加或删除。提示：匿名登录一般不要求，用户输入，用户名和密码即可登录成功，若需要，可用“anonymous”作为用户名，以任意电子地址为密码来登录。(4)设置用户登录目录最后设置FTP主目录（即用户登录FTP后的初始位置），进入“主目录”选项，在“本地路径”中选择好FTP站点的根目录，并设置该目录的读取、写入、目录访问权限。 “目录列表样式”中“UNIX”和“MSDOS”的区别在于：假设将G:FTP设为站点根目录，则当用户登录FTP后，前者会使主目录显示为“”，后者显示为“G:FTP”。设置完成后，FTP服务器就算真正建成了。如果前面IP地址为21168431，则用户使用FTP客户端软件（用来登录FTP服务器的上传/下载软件，如CuteFTP、FlashFXP等，如无特别说明，本文中所称FTP客户端软件均以CuteFTP PR02.0为例）时，主机处填211.68.43.1，端口填21，此服务器的地址表述为：FTP/211.68.43.1:2l。IIS虽然安装简单，设置较简便，但功能不强，管理也很麻烦，尤其是连新建一个基本的授权访问账户都要进行繁杂的设置，而且IIS本身的安全性也比较差，容易受到诸如“红色代码”等专门针对IIS漏洞进行攻击的病毒侵袭，因而很多人都喜欢使用第三方的FTP服务器软件来架设。6. DNS服务器DNS服务器，负责整个校园网中各个域名的解析。下面介绍它的具体配置：单击“开始管理工具配置服务器联网DNS管理DNS”启动DNS管理界面如果没有配置活动目录，就依次单击“yjq01”、“正向搜索区域”前面的扩展分支号“+”，右键单击“正向搜索区域”，“新建区域”；在“新建区域导向”窗口中，单击“下一步”；在“区域类型”窗口中选定“标准主要区域”，单击“下一步”；在“区域名”中的“名称”中输入“cqdx.org”，单击“下一步”；弹出“区域文件”窗口，保持设置不变，单击“下一步”；在“正在完成新建区域向导”中单击“完成”按钮。再接下继续配置。如果配置了活动目录，依次单击“yjqol”、“正向搜索区域”、“cqdx.org”前面的扩展分支号“+”，展开“cqdx.org”下的分目录，右键单击“cqdx.org”，在弹出菜单中单击“新建主机”命令；出现“新建主机”窗口，依次输入主机名称和IP地址，主机名称：，IP地址为192.168.0.1。然后点击“添加主机”按钮，再添加两个主机，分别为：ftp、mail，IP地址均为：192.168.0.1。经过以上设置后，已经建立了三个主机，对应的域名分别为：.cqdx.org用于部主页服务ftp.cqdx.org用于文件传送服务mail.cqdx.org用于部电子系统至此DNS的“正向搜索区域”配置结束。右键单击“反向搜索区域”，然后单击“新建区域”，在“欢迎使用新建区域向导”窗口中单击“下一步”；出现“区域类型”窗口，选定“Active Directory集成的区域”，单击“下一步”：在“反向搜索区域”窗口中选定“网络ID”，并键入192.168.0.1，单击“下一步”；在“正在完成新区域向导”窗口中单击“完成”。参考文献1 石志国. 计算机网络安全教程. ：清华大学, 2007.2.2 波. 网络安全理论与应用. ：电子工业, 2002.1.3 涛. 网络安全管理技术专家门诊. ：清华大学，2005.2.4 卢昱. 网络安全技术. ：中国物资，2005.6.5 同光. 信息安全技术实用教程. ：机械工业，2008.7.6 艇. 网络安全基础教程. ：大学，2006.1.7 世永. 网络安全原理与应用. ：科学，2003.5.8 William Stallings. 网络安全基础教程. ：清华大学，2004.1.成绩评定表评分标准1报告结构（20%）2方案容（40%）3排版格式（20%）4标点错别字（20%）5创新点（10%）成绩总成绩评阅意见成绩评阅表：成员成绩表：成员排序1（系数：1）2（系数：0.9）3（系数：0.8）4（系数：0.7）5（系数：0.6）学号成绩