校園網(wǎng)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)畢業(yè)設(shè)計(jì)論文

《校園網(wǎng)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)畢業(yè)設(shè)計(jì)論文》由會(huì)員分享，可在線(xiàn)閱讀，更多相關(guān)《校園網(wǎng)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)畢業(yè)設(shè)計(jì)論文（36頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、 校園網(wǎng)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì) 摘 要 本文在局域網(wǎng)技術(shù)和先進(jìn)發(fā)展基礎(chǔ)上，分析了建立校園網(wǎng)的意義，建設(shè)原則和目標(biāo)，并詳細(xì)闡述了其設(shè)計(jì)方案過(guò)程。文章從系統(tǒng)結(jié)構(gòu)、網(wǎng)絡(luò)方案、管理、布局等方面討論了校園網(wǎng)的設(shè)計(jì)方案。在網(wǎng)絡(luò)設(shè)計(jì)中，詳細(xì)介紹了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、VLAN劃分、計(jì)算機(jī)的IP分配，并為移動(dòng)用戶(hù)提供外網(wǎng)VPN服務(wù)，實(shí)現(xiàn)了網(wǎng)絡(luò)的人性化設(shè)計(jì)。最后通過(guò)相關(guān)軟件對(duì)網(wǎng)絡(luò)進(jìn)行管理以及實(shí)現(xiàn)網(wǎng)絡(luò)的安全性。 路由、交換與遠(yuǎn)程訪(fǎng)問(wèn)技術(shù)不僅僅是考試的重點(diǎn)。更是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域中的三大支撐技術(shù)體系。它們幾乎覆蓋了一個(gè)完整的校園區(qū)網(wǎng)的實(shí)現(xiàn)的方方面面。校園網(wǎng)計(jì)算機(jī)網(wǎng)絡(luò)的建設(shè)中，網(wǎng)絡(luò)的作用就是將校園處于全面開(kāi)放，使得校園網(wǎng)

2、真正在教學(xué)科研及管理中起到重要的作用。 路由器的一個(gè)作用是連通不同的網(wǎng)絡(luò)，另一個(gè)作用是選擇信息傳送的線(xiàn)路。選擇通暢快捷的近路，能大大提高通信速度，減輕網(wǎng)絡(luò)系統(tǒng)通信負(fù)荷，節(jié)約網(wǎng)絡(luò)系統(tǒng)資源，提高網(wǎng)絡(luò)系統(tǒng)暢通率，從而讓網(wǎng)絡(luò)系統(tǒng)發(fā)揮出更大的效益來(lái)。 從過(guò)濾網(wǎng)絡(luò)流量的角度來(lái)看，路由器的作用與交換機(jī)和網(wǎng)橋非常相似。但是與工作在網(wǎng)絡(luò)物理層，從物理上劃分網(wǎng)段的交換機(jī)不同，路由器使用專(zhuān)門(mén)的軟件協(xié)議從邏輯上對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行劃分。例如，一臺(tái)支持IP協(xié)議的路由器可以把網(wǎng)絡(luò)劃分成多個(gè)子網(wǎng)段，只有指向特殊IP地址的網(wǎng)絡(luò)流量才可以通過(guò)路由器。對(duì)于每一個(gè)接收到的數(shù)據(jù)包，路由器都會(huì)重新計(jì)算其校驗(yàn)值，并寫(xiě)入新的物理地址。因此，

3、使用路由器轉(zhuǎn)發(fā)和過(guò)濾數(shù)據(jù)的速度往往要比只查看數(shù)據(jù)包物理地址的交換機(jī)慢。但是，對(duì)于那些結(jié)構(gòu)復(fù)雜的網(wǎng)絡(luò)，使用路由器可以提高網(wǎng)絡(luò)的整體效率。路由器的另外一個(gè)明顯優(yōu)勢(shì)就是可以自動(dòng)過(guò)濾網(wǎng)絡(luò)廣播。從總體上說(shuō)，在網(wǎng)絡(luò)中添加路由器的整個(gè)安裝過(guò)程要比即插即用的交換機(jī)復(fù)雜很多。一般說(shuō)來(lái)，異種網(wǎng)絡(luò)互聯(lián)與多個(gè)子網(wǎng)互聯(lián)都應(yīng)采用路由器來(lái)完成。 本課題正是以本校的校園網(wǎng)為例，組建一個(gè)具有代表意義的校園網(wǎng)絡(luò)，綜合了網(wǎng)絡(luò)工程的規(guī)劃與設(shè)計(jì)、設(shè)備選型、VLAN劃分、IP地址分配、服務(wù)器分配、存儲(chǔ)設(shè)置、外網(wǎng)連接等技術(shù)，組建一個(gè)可擴(kuò)展的、安全穩(wěn)定的、易于管理的、高速網(wǎng)絡(luò)的；實(shí)現(xiàn)多媒體教學(xué)、網(wǎng)絡(luò)教學(xué)、數(shù)據(jù)安全等各種網(wǎng)絡(luò)服務(wù)，以滿(mǎn)足現(xiàn)代

4、化教學(xué)的各種需求。 校園網(wǎng)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì) 目 錄 0.前言 1 1.設(shè)計(jì)方案概述 2 1.1 功能需求 2 1.2 設(shè)計(jì)思路 2 1.3 總結(jié) 3 2.內(nèi)部網(wǎng)絡(luò)搭建——路由、交換 4 2.1 網(wǎng)絡(luò)搭建前規(guī)劃 4 2.2 路由 7 2.3 交換 18 2.4 配置核心VLAN端口地址 22 3.服務(wù)器部署 23 3.1 Exchange2003服務(wù)器 23 3.2 Apache 服務(wù)器 23 3.3 FTP 服務(wù)器 24 3.4 DNS 服務(wù)器 24 3.5 iSCSI 24 4.軟件防火墻ISA 25 4.1 ISA Server 2006

5、的部署方案 25 5.外部網(wǎng)絡(luò)搭建 26 5.1 VPN遠(yuǎn)程訪(fǎng)問(wèn) 26 5.2 幀中繼 26 6.結(jié)束語(yǔ) 27 6.1 論文總結(jié) 27 6.2 未來(lái)展望 27 參考文獻(xiàn)、資料索引 29 致　　謝 30 0.前言 近年來(lái)，學(xué)校的教學(xué)和管理工作正向著實(shí)現(xiàn)信息處理計(jì)算機(jī)化、信息交流網(wǎng)絡(luò)化、信息管理數(shù)據(jù)化、信息服務(wù)電子化發(fā)展。因此利用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)機(jī)型學(xué)術(shù)管理和開(kāi)展互助教學(xué)、科研活動(dòng)已是勢(shì)在必行。新世紀(jì)，信息技術(shù)說(shuō)帶來(lái)的一場(chǎng)革命將徹底改百年我們的學(xué)習(xí)、工作和生活方式。 總體設(shè)計(jì)是校園網(wǎng)建設(shè)的總體思路和工程藍(lán)圖，是搞好校園網(wǎng)建設(shè)的核心任務(wù)。進(jìn)行校園網(wǎng)總體設(shè)計(jì)，首先，

6、進(jìn)行對(duì)象研究和需求調(diào)查，弄清學(xué)校的性質(zhì)、任務(wù)和改革發(fā)展的特點(diǎn)，對(duì)學(xué)校的信息化環(huán)境進(jìn)行準(zhǔn)確的描述，明確系統(tǒng)建設(shè)的需求和條件；其次，在應(yīng)用需求分析的基礎(chǔ)上，確定學(xué)校Intranet服務(wù)類(lèi)型，進(jìn)而確定系統(tǒng)建設(shè)的具體目標(biāo)，包括網(wǎng)絡(luò)設(shè)施、站點(diǎn)設(shè)置、開(kāi)發(fā)應(yīng)用和管理等方面的目標(biāo)；第三，確定網(wǎng)絡(luò)拓樸結(jié)構(gòu)和功能，根據(jù)應(yīng)用需求、建設(shè)目標(biāo)和學(xué)校主要建筑分布特點(diǎn)，進(jìn)行系統(tǒng)分析和設(shè)計(jì)；第四，確定技術(shù)設(shè)計(jì)的原則要求，如在技術(shù)選型、布線(xiàn)設(shè)計(jì)、設(shè)備選擇、軟件配置等方面的標(biāo)準(zhǔn)和要求；第五，規(guī)劃安排校園網(wǎng)建設(shè)的實(shí)施步驟。 建設(shè)校園網(wǎng)對(duì)每個(gè)學(xué)校來(lái)說(shuō)都不是一件容易的事情，都要經(jīng)過(guò)周密的論證、謹(jǐn)慎的決策和緊張的施工。當(dāng)一堆設(shè)備變成網(wǎng)

7、絡(luò)的時(shí)候，大部分學(xué)校的滿(mǎn)腔熱情也慢慢地冷卻凝固。校園網(wǎng)建成了，各種問(wèn)題也不斷涌現(xiàn)，設(shè)計(jì)目標(biāo)根本無(wú)法實(shí)現(xiàn)，沒(méi)有合適的應(yīng)用軟件，許多設(shè)想根本無(wú)法實(shí)施，后續(xù)的維護(hù)費(fèi)用不堪承受等等。 我們提出校園網(wǎng)建設(shè)的原則應(yīng)該是：先進(jìn)性，先進(jìn)的設(shè)計(jì)思想、網(wǎng)絡(luò)結(jié)構(gòu)、開(kāi)發(fā)工具，采用市場(chǎng)覆蓋率高、標(biāo)準(zhǔn)化和技術(shù)成熟的軟硬件產(chǎn)品；實(shí)用性，建網(wǎng)時(shí)應(yīng)考慮利用和保護(hù)現(xiàn)有的資源、充分發(fā)揮設(shè)備效益；開(kāi)放性，系統(tǒng)設(shè)計(jì)應(yīng)采用開(kāi)放技術(shù)、開(kāi)放結(jié)構(gòu)、開(kāi)放系統(tǒng)組建和開(kāi)放用戶(hù)接口，以利于網(wǎng)絡(luò)的維護(hù)、擴(kuò)展升級(jí)及與外界的溝通；靈活性，采用積木式模塊組合和結(jié)構(gòu)化設(shè)計(jì)，使系統(tǒng)配置靈活，滿(mǎn)足學(xué)校逐步到位的建網(wǎng)原則，使網(wǎng)絡(luò)具有強(qiáng)大的可增長(zhǎng)性；可靠性，具有容錯(cuò)

8、功能，管理、維護(hù)方便。對(duì)網(wǎng)絡(luò)的設(shè)計(jì)、選型、安裝、調(diào)試等各環(huán)節(jié)進(jìn)行統(tǒng)一規(guī)劃和分析，確保系統(tǒng)運(yùn)行可靠，經(jīng)濟(jì)性，投資合理，有良好的性能價(jià)格比。 1.設(shè)計(jì)方案概述 1.1 功能需求 實(shí)現(xiàn)大學(xué)校園網(wǎng)絡(luò)化，校園內(nèi)的教學(xué)樓、宿舍、圖書(shū)館等各個(gè)部分彼此互聯(lián)，并通過(guò)統(tǒng)一的出口接入因特網(wǎng)，使師生可通過(guò)互聯(lián)網(wǎng)獲取資源和信息。 校內(nèi)資源共享：在文件服務(wù)器上裝入大量的電子書(shū)籍、課件、教案及各種多媒體素材等資源，并且建立方便快捷的查詢(xún)功能，讓教師能方便的在網(wǎng)上查資料，使用網(wǎng)絡(luò)進(jìn)行備課、制作課件等。學(xué)生也可以通過(guò)網(wǎng)絡(luò)，方便地查閱書(shū)籍、下載課程資料等，進(jìn)行個(gè)性化自主學(xué)習(xí)。 建設(shè)學(xué)校網(wǎng)站

9、，通過(guò)網(wǎng)絡(luò)，展示學(xué)校風(fēng)采，也為展示學(xué)生風(fēng)采提供平臺(tái)。 搭建電子郵件系統(tǒng)，方便師生之間的交流以及學(xué)校信息的傳達(dá)。 校園內(nèi)網(wǎng)有域名解析的功能。 卓越的多媒體應(yīng)用系統(tǒng)，滿(mǎn)足用戶(hù)的點(diǎn)播需求，實(shí)現(xiàn)多媒體教學(xué)管理。 教學(xué)管理功能，校園網(wǎng)有配套的網(wǎng)上辦公系統(tǒng)、教務(wù)管理系統(tǒng)、學(xué)生管理系統(tǒng)、行政辦公系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、后勤管理系統(tǒng)、圖書(shū)管理系統(tǒng)等。 1.2 設(shè)計(jì)思路 根據(jù)需求及結(jié)合市場(chǎng)情況，現(xiàn)采用以下設(shè)計(jì)來(lái)完成組網(wǎng)要求。 （1）以學(xué)生公寓為例：每棟學(xué)生公寓有6層，每層有30個(gè)宿舍。據(jù)此應(yīng)該在每層設(shè)集線(xiàn)箱，每棟公寓有一個(gè)管理間，管理間內(nèi)設(shè)有二層交換設(shè)備，集線(xiàn)箱接入二層交換設(shè)備

10、。同樣教學(xué)樓、教師公寓、食堂也采取上述學(xué)生公寓的結(jié)構(gòu)，最后這些二層交換設(shè)備接入?yún)R聚層交換機(jī)和核心層的交換機(jī)，放入核心數(shù)據(jù)機(jī)房，同時(shí)在核心數(shù)據(jù)機(jī)房也存放著學(xué)校的服務(wù)器，最后通過(guò)路由器接入Internet。 （2） 給路由器外網(wǎng)接口配置公網(wǎng)IP地址，給內(nèi)部計(jì)算機(jī)配置，通過(guò)NAT使內(nèi)網(wǎng)計(jì)算機(jī)上網(wǎng)。 （3）給校園實(shí)現(xiàn)1000M電信光纖接入，能夠滿(mǎn)足學(xué)生和教師上網(wǎng)的需要；實(shí)時(shí)傳遞本校和國(guó)內(nèi)外高校的教育教學(xué)信息；考慮到以后的擴(kuò)展，可增加帶寬或?qū)崿F(xiàn)電信、網(wǎng)通雙光纖接入。 （4） 在校園搭建FTP服務(wù)器，實(shí)現(xiàn)校園資源的共享。 （5）在校園搭建Web服務(wù)器，展示學(xué)校風(fēng)采，展示學(xué)生風(fēng)采。 （6

11、）在校園搭建Mail服務(wù)器，方便師生之間的交流以及學(xué)校信息的傳達(dá)。 （7）在校園搭建流媒體服務(wù)器，滿(mǎn)足用戶(hù)的點(diǎn)播需求，實(shí)現(xiàn)多媒體教學(xué)管理。 （8） 在校園搭建DNS服務(wù)器，保存有該網(wǎng)絡(luò)中所有主機(jī)的域名和對(duì)應(yīng)IP地址，并具有將域名轉(zhuǎn)換為IP地址功能的服務(wù)器。 （9） 在校園一些部門(mén)的電腦上安裝需要的管理系統(tǒng)，滿(mǎn)足教學(xué)管理、學(xué)生管理等功能。 1.3 總結(jié) 需求 實(shí)現(xiàn)方法 搭建校園網(wǎng)絡(luò)環(huán)境 接入層交換機(jī)連接計(jì)算機(jī)，匯聚層交換機(jī)連接接入層交換機(jī)，核心層交換機(jī)連接匯聚層交換機(jī)，通過(guò)路由器接入網(wǎng)絡(luò) 學(xué)生，老師能夠上網(wǎng)瀏覽網(wǎng)頁(yè)等 提供1000M電信光纖接入，在路由器

12、上配置NAT 實(shí)現(xiàn)學(xué)校資源共享 使用Linux Redhat搭建一個(gè)FTP服務(wù)器 展現(xiàn)學(xué)校風(fēng)采 使用Linux Redhat搭建Web服務(wù)器 師生之間的交流以及學(xué)校通知的傳達(dá) 使用Windows Server 2003系統(tǒng)自帶郵件服務(wù)器功能搭建一個(gè)Mail服務(wù)器 給內(nèi)網(wǎng)分配IP地址 手動(dòng)的給校園內(nèi)的用戶(hù)分配IP地址 域名解析 使用Linux Redhat 服務(wù)器功能搭建DNS服務(wù)器 教學(xué)管理/學(xué)生管理等功能 安裝相應(yīng)的管理系統(tǒng)，例如：網(wǎng)上辦公系統(tǒng)，教務(wù)管理系統(tǒng)，學(xué)生管理系統(tǒng)，行政辦公系統(tǒng)，財(cái)務(wù)管理系統(tǒng)，后勤管理系統(tǒng)，圖書(shū)管理系統(tǒng) 2.內(nèi)部網(wǎng)絡(luò)搭

13、建——路由、交換 2.1 網(wǎng)絡(luò)搭建前規(guī)劃 下圖為校園簡(jiǎn)單拓?fù)鋱D。 圖2-1 校園網(wǎng)絡(luò)拓?fù)鋱D 本案例中，網(wǎng)絡(luò)設(shè)計(jì)部分使用Packet Tracer模擬練習(xí)，服務(wù)器部分使用VMware創(chuàng)建的Windows Server 2003虛擬機(jī)進(jìn)行試驗(yàn)。共設(shè)計(jì)了計(jì)算機(jī)八臺(tái)，分別為zql_WebServer、zql_FTPServer和zql_MailServer、zql_ DNSServer（安裝AD），zql_流媒體服務(wù)器、zql_PC、zql_hlgPC來(lái)實(shí)現(xiàn)，他們都處于192.168.100.0/24這個(gè)網(wǎng)段。 2.1.1 設(shè)備選型 根據(jù)X X職業(yè)學(xué)院網(wǎng)絡(luò)建設(shè)需求及針對(duì)具體實(shí)際情

14、況，采用的設(shè)備包括： （1）整體網(wǎng)絡(luò)系統(tǒng)分為主干網(wǎng)絡(luò)。分支網(wǎng)絡(luò)和廣域網(wǎng)絡(luò)三部分。 （2）核心網(wǎng)絡(luò)設(shè)備采用Cisco6509千兆以太網(wǎng)交換機(jī)，負(fù)責(zé)對(duì)骨干節(jié)點(diǎn)網(wǎng)絡(luò)、服務(wù)器接入，以及VLAN等主要功能。 （3）接入層設(shè)備采用Cisco3640交換機(jī)，實(shí)現(xiàn)10M/100M用戶(hù)接入。 根據(jù)需要，我們采用如下表所示設(shè)備。 名稱(chēng) 型號(hào) 外聯(lián)路由器 Cisco 3640 核心層交換機(jī) Cisco 6509 匯聚層交換機(jī) Cisco 3640 接入層交換機(jī) Cisco 2950 2.1.2 VLAN的劃分 VLAN號(hào) VLAN名稱(chēng)

15、 IP網(wǎng)段 說(shuō)明 VLAN 1 — 192.168.0.0/24 管理VLAN VLAN 10 JSGY 192.168.1.0/24 教師公寓VLAN VLAN 20 XSGY 192.168.2.0/24 學(xué)生公寓VLAN VLAN 30 JXL1 192.168.3.0/24 教學(xué)樓一VLAN VLAN 40 JXL2 192.168.4.0/24 教學(xué)樓二VLAN VLAN 50 TSG 192.168.5.0/24 圖書(shū)館VLAN VLAN 60 CT 192.168.6.0/2

16、4 餐廳VLAN VLAN 100 FWQQ 192.168.100.0/24 服務(wù)器群VLAN 2.1.3 IP地址的分配 眾所周知，在電話(huà)通訊中，電話(huà)用戶(hù)是靠電話(huà)號(hào)碼來(lái)識(shí)別的。同樣，在網(wǎng)絡(luò)中為了區(qū)別不同的計(jì)算機(jī)，也需要給計(jì)算機(jī)指定一個(gè)號(hào)碼，這個(gè)號(hào)碼就是“IP地址”。 所謂IP地址就是給每個(gè)連接在Internet上的主機(jī)分配的一個(gè)32bit地址。按照 TCP/IP（Transport Control Protocol/Internet Protocol，傳輸控制協(xié)議/Internet協(xié)議）協(xié)議規(guī)定，IP地址用二進(jìn)制來(lái)表示，每個(gè)IP地址長(zhǎng)32bit，比特?fù)Q

17、算成字節(jié)，就是4個(gè)字節(jié)。 交換機(jī)和路由器端口地址分配： 設(shè)備名稱(chēng) 端口地址 對(duì)應(yīng)端口 CoreSwitch1 VLAN1: 192.168.0. 1/24 VLAN10:192.168.1. 1/24 VLAN20:192.168.2. 1/24 VLAN30:192.168.3. 1/24 VLAN40:192.168.4. 1/24 VLAN50:192.168.5. 1/24 VLAN60:192.168.6. 1/24 Fa0/1 Fa0/2 Fa0/3 Fa0/4 Fa0/5 Fa0/6 Fa0/7 CoreSwitc

18、h2 VLAN1: 192.168.0. 2/24 VLAN10:192.168.1. 2/24 VLAN20:192.168.2. 2/24 VLAN30:192.168.3. 2/24 VLAN40:192.168.4. 2/24 VLAN50:192.168.5. 2/24 VLAN60:192.168.6. 2/24 VLAN100:192.168.100. 1/24 Fa0/1 Fa0/2 Fa0/3 Fa0/4 Fa0/5 Fa0/6 Fa0/7 Fa0/8 Core 192.168.101. 3/24 192.168.101.

19、 4/24 192.168.101. 5/24 202.169.1. 55/24 202.169.1. 56/24 F0/1 F0/2 F0/3 S1/0/1 S1/0/2 ConvergeSwitch1 VLAN1: 192.168.0. 3/24 ConvergeSwitch2 VLAN1: 192.168.0. 4/24 ConvergeSwitch3 VLAN1: 192.168.0. 5/24 AccessSwitch1 VLAN1: 192.168.0. 6/24 AccessSwitch2 VLAN1: 192.168.0.

20、7/24 AccessSwitch3 VLAN1: 192.168.0. 8/24 AccessSwitch4 VLAN1: 192.168.0. 9/24 AccessSwitch5 VLAN1: 192.168.0. 10/24 AccessSwitch6 VLAN1: 192.168.0. 11/24 服務(wù)器需要有靜態(tài)的IP地址，它們處于192.168.100.0/24 網(wǎng)段，如圖所示： 服務(wù)器名稱(chēng) IP地址 WZ_DNSServer 192.168.100.10/24 WZ_FTPServer 192.168.100.20/24 WZ

21、_WebServer 192.168.100.30/24 防火墻需要有靜態(tài)的IP地址，它們處于192.168.100.0/24 網(wǎng)段，如圖所示： 防火墻 IP地址 FastEthernet0 192.168.100.1/24 FastEthernet1 192.168.100.2/24 2.1.4 關(guān)鍵技術(shù) VTP（VLAN Trunking Protocol）：VLAN中繼協(xié)議，也被稱(chēng)為虛擬局域網(wǎng)干道協(xié)議。它是一個(gè)OSI參考模型第二層的通信協(xié)議，主要用于管理在同一個(gè)域的網(wǎng)絡(luò)范圍內(nèi)VLANs的建立、刪除和重命名。使用VTP協(xié)議，可以將某一臺(tái)（或多臺(tái)）交換

22、機(jī)定義為VTP Server，將其它交換機(jī)定義為VTP Client。當(dāng)在一臺(tái)VTP Server上配置一個(gè)新的VLAN時(shí)，該VLAN的配置信息將自動(dòng)傳播到本域內(nèi)的其他所有交換機(jī)。這些交換機(jī)會(huì)自動(dòng)地接收這些配置信息，使其VLAN的配置與VTP Server保持一致，從而減少在多臺(tái)設(shè)備上配置同一個(gè)VLAN信息的工作量，而且保持了VLAN配置的統(tǒng)一性。共享相同VLAN 定義數(shù)據(jù)庫(kù)的交換機(jī)構(gòu)成一個(gè)VTP 管理域。每一個(gè)VTP 管理域都有一個(gè)共同的VTP管理域域名。不同VTP管理域的交換機(jī)之間不交換VTP通告信息。工作在VTP服務(wù)器模式下的交換機(jī)可以創(chuàng)建、刪除VLAN、修改VLAN參數(shù)。同時(shí)，還有責(zé)任

23、發(fā)送和轉(zhuǎn)發(fā)VLAN更新消息。工作在客戶(hù)端模式下的交換機(jī)只能接收VLAN信息。 OSPF英文全稱(chēng)為Open Shortest Path First，即開(kāi)放式最短路徑優(yōu)先協(xié)議，它是一種鏈路狀態(tài)路由協(xié)議，通過(guò)與直連路由器建立鄰接關(guān)系互相傳遞鏈路狀態(tài)信息，來(lái)了解整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。就是說(shuō)，每個(gè)運(yùn)行OSPF進(jìn)程的路由器都有整個(gè)網(wǎng)絡(luò)的“地圖”。 2.2 路由 Cisco3640路由器適用于高密度廣域網(wǎng)和撥號(hào)連接、中道高密度局域網(wǎng)連接、數(shù)據(jù)上的中密度語(yǔ)音、低到中密度ATM連接、集成的低密度調(diào)制解調(diào)器等環(huán)境下。Cisco3640有6個(gè)插槽，閃存為8M，可以通過(guò)PC閃存卡建議可靠德升級(jí)軟件，F(xiàn)lash總

24、共可升級(jí)至128M。 在一個(gè)平臺(tái)中結(jié)合了撥號(hào)訪(fǎng)問(wèn)、先進(jìn)的局域網(wǎng)到局域網(wǎng)路由服務(wù)、ATM連接及語(yǔ)音、視頻和數(shù)據(jù)的多種業(yè)務(wù)集成。模塊化、可伸縮的設(shè)計(jì)提供性能、可伸縮性、靈活性和投資保護(hù)。 高密度ISDN PRI功能，預(yù)配置的BRI和PRI調(diào)制解調(diào)器捆綁，完全支持VPN，Cisco IOS防火墻特性集防止網(wǎng)絡(luò)入侵的安全保護(hù)。如圖 圖2-2 Cisco 3640路由器 基本特征 路由器類(lèi)型 模塊化中高密度路由器 網(wǎng)絡(luò)協(xié)議 IP/IPX/AT/DEC/FW/IDS Plus　 其他端口 高速控制和AUX端口 內(nèi)置防火墻 True 擴(kuò)展模塊 廣域網(wǎng)網(wǎng)卡（WIC）模塊：1端口

25、 ISDN BRI（S/T）；1端口 ISDN BRI（U）；1端口同步串行；1端口4線(xiàn) 56Kbps CSU/DSU；1端口 T1/FT1 CSU/DSU；----語(yǔ)音接口卡（VIC）模塊：2端口語(yǔ)音－FXS；2端口語(yǔ)音－E&M；2端口語(yǔ)音－F 處理器 225 MHz RISC QED RM5271　 內(nèi)存 32MB（缺?。?；64MB（最大） 網(wǎng)管軟件 Cisco IOS Release 12.0（5）T 重量 19550g　 2.2.1 配置Core端口 Cisco路由器配置中端口是非常重要的部分，同時(shí)我們也要考慮配置文件和進(jìn)程，才能徹底做好路由器的配置工作。

26、幾乎所有路由器都在路由器背后安裝了一個(gè)控制臺(tái)端口?？刂婆_(tái)端口提供了一個(gè)EIA／TIA—232（以前叫作RS—232）異步串行接口、使我們能與路由器通信。同控制臺(tái)口建立哪種形式的物理連接，取決于路由器的型號(hào)。有些路由器采用一個(gè)DB25母連接（DB25F），有些則用RJ45連接器。通常，較小的路由器采用RJ45控制臺(tái)連接器，而較大路由器采用DB25控制臺(tái)連接器。 Cisco路由器的輔助端口： 大多數(shù)Cisco路由器都配備了一個(gè)“輔助端口”（Auxiliary Port）。它和控制臺(tái)湍口類(lèi)似，提供了一個(gè)EIA／TIA—232異步串行連接，使我們能與路由器通信。輔助端口通常用來(lái)連接

27、Modem，以實(shí)現(xiàn)對(duì)路由器的遠(yuǎn)程管理。遠(yuǎn)程通信鏈路通常并不用來(lái)傳輸平時(shí)的路由數(shù)據(jù)包，它的主要的作用是在網(wǎng)絡(luò)路徑或回路失效后訪(fǎng)問(wèn)一個(gè)路由器。 Cisco路由器配置文件： 1）運(yùn)行配置。 2）啟動(dòng)配置。 運(yùn)行Cisco路由器配置： 有時(shí)也稱(chēng)作“活動(dòng)配置”，駐留于RAM，包含了目前在路由器中“活動(dòng)”的I0S配置命令。配置10S時(shí)，就相當(dāng)于更改Cisco路由器配置。兩者均以ASCII文本格式顯示。所以，我們能夠很方便地閱讀與操作。一個(gè)路由器只能從這兩種類(lèi)型中選擇一種。 啟動(dòng)Cisco路由器配置： 啟動(dòng)配置駐留在NVRAM中，包含了希

28、望在路由器啟動(dòng)時(shí)執(zhí)行的配置命令。啟動(dòng)完成后，啟動(dòng)配置中的命令就變成了“運(yùn)行配置”。有時(shí)也把啟動(dòng)配置稱(chēng)作“備份配置”。這是由于修改并認(rèn)可了運(yùn)行配置后，通常應(yīng)將運(yùn)行配置復(fù)制到NVRAM里，將作出的改動(dòng)“備份”下來(lái)，以便Cisco路由器配置下次啟動(dòng)時(shí)調(diào)用。 I0S進(jìn)程： I0S進(jìn)程是指一個(gè)在路由器上運(yùn)行的特殊軟件任務(wù)，用于實(shí)現(xiàn)某種功能。例如，IP包的路由選擇是由一個(gè)進(jìn)程完成的；而AppleTalk包的路由選擇是由另一個(gè)進(jìn)程完成的。I0S進(jìn)程的其他例子如路由協(xié)議以及內(nèi)存分配例程等等。當(dāng)我們將命令放人配置文件對(duì)10S進(jìn)行配置時(shí)，實(shí)際就相當(dāng)于對(duì)構(gòu)成10S各進(jìn)程的行為加以控制。所有這些進(jìn)

29、程都在路由器上同時(shí)運(yùn)行。至于能在一個(gè)路由器上運(yùn)行的進(jìn)程數(shù)量和種類(lèi)，則取決于路由器CPU的速度以及安裝的RAM容量。可以看出，這類(lèi)似于PC上運(yùn)行的程序數(shù)取決于CPU的類(lèi)型以及配備的RAM容量。 Core(config)#interface fastEthernet 0/1 Core(config-if)#ip address 192.168.101.3 255.255.255.0 Core(config-if)#no shutdown Core(config-if)#exit Core(config)#interface fastEthernet 0/2 Core(confi

30、g-if)#ip address 192.168.101.4 255.255.255.0 Core(config-if)#no shutdown Core(config-if)#exit Core(config)#interface fastEthernet 0/3 Core(config-if)#ip address 192.168.101.5 255.255.255.0 Core(config-if)#no shutdown Core(config-if)#exit Core(config)#interface serial 1/0/1 Core(config-i

31、f)#ip address 202.169.1.55 255.255.255.0 Core(config-if)#no shutdown Core(config-if)#exit Core(config)#interface serial 1/0/2 Core(config-if)#ip address 202.169.1.56 255.255.255.0 Core(config-if)#no shutdown Core(config-if)#exit 2.2.2配置訪(fǎng)問(wèn)控制列表 訪(fǎng)問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪(fǎng)問(wèn)。它

32、是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪(fǎng)問(wèn)控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪(fǎng)問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。 　　訪(fǎng)問(wèn)控制列表(ACL)是應(yīng)用在路由器接口的指令列表。這些指令列表用來(lái)告訴路由器哪能些數(shù)據(jù)包可以收、哪能數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由類(lèi)似于源地址、目的地址、端口號(hào)等的特定指示條件來(lái)決定。 　　訪(fǎng)問(wèn)控制列表不但可以起到控制網(wǎng)絡(luò)流量、流向的作用，而且在很大程度上起到保護(hù)網(wǎng)絡(luò)設(shè)備、服務(wù)器的關(guān)鍵作用。作為外網(wǎng)進(jìn)入企業(yè)內(nèi)網(wǎng)的第一道關(guān)卡，路由器上的訪(fǎng)問(wèn)控制列表成為保護(hù)內(nèi)網(wǎng)安全的有效手段。 此外，在路由器的許多其他配置任務(wù)中都需要使用訪(fǎng)問(wèn)控制

33、列表，如網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，NAT）、按需撥號(hào)路由（Dial on Demand Routing，DDR）、路由重分布（Routing Redistribution）、策略路由（Policy-Based Routing，PBR）等很多場(chǎng)合都需要訪(fǎng)問(wèn)控制列表。 訪(fǎng)問(wèn)控制列表的分類(lèi)： （1）標(biāo)準(zhǔn)IP訪(fǎng)問(wèn)控制列表 　　一個(gè)標(biāo)準(zhǔn)IP訪(fǎng)問(wèn)控制列表匹配IP包中的源地址或源地址中的一部分，可對(duì)匹配的包采取拒絕或允許兩個(gè)操作。編號(hào)范圍是從1到99的訪(fǎng)問(wèn)控制列表是標(biāo)準(zhǔn)IP訪(fǎng)問(wèn)控制列表。 （2）擴(kuò)展IP訪(fǎng)問(wèn)控制列表 　　擴(kuò)展IP訪(fǎng)問(wèn)控制列表比標(biāo)準(zhǔn)IP

34、訪(fǎng)問(wèn)控制列表具有更多的匹配項(xiàng)，包括協(xié)議類(lèi)型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級(jí)等。編號(hào)范圍是從100到199的訪(fǎng)問(wèn)控制列表是擴(kuò)展IP訪(fǎng)問(wèn)控制列表。 （3）命名的IP訪(fǎng)問(wèn)控制列表 　　所謂命名的IP訪(fǎng)問(wèn)控制列表是以列表名代替列表編號(hào)來(lái)定義IP訪(fǎng)問(wèn)控制列表，同樣包括標(biāo)準(zhǔn)和擴(kuò)展兩種列表，定義過(guò)濾的語(yǔ)句與編號(hào)方式中相似。 （4）標(biāo)準(zhǔn)IPX訪(fǎng)問(wèn)控制列表 標(biāo)準(zhǔn)IPX訪(fǎng)問(wèn)控制列表的編號(hào)范圍是800-899，它檢查IPX源網(wǎng)絡(luò)號(hào)和目的網(wǎng)絡(luò)號(hào)，同樣可以檢查源地址和目的地址的節(jié)點(diǎn)號(hào)部分。 （5）擴(kuò)展IPX訪(fǎng)問(wèn)控制列表 　　擴(kuò)展IPX訪(fǎng)問(wèn)控制列表在標(biāo)準(zhǔn)IPX訪(fǎng)問(wèn)控制列表的基

35、礎(chǔ)上，增加了對(duì)IPX報(bào)頭中以下幾個(gè)宇段的檢查，它們是協(xié)議類(lèi)型、源Socket、目標(biāo)Socket。擴(kuò)展IPX訪(fǎng)問(wèn)控制列表的編號(hào)范圍是900-999。 （6）命名的IPX訪(fǎng)問(wèn)控制列表 　　與命名的IP訪(fǎng)問(wèn)控制列表一樣，命名的IPX訪(fǎng)問(wèn)控制列表是使用列表名取代列表編號(hào)，從而方便定義和引用列表，同樣有標(biāo)準(zhǔn)和擴(kuò)展之分。 Core(config)#access-list 101 deny udp any any eq 23 //禁止TELNET Core(config)#access-list 101 deny udp any any eq 161 //禁止SNMP Core(c

36、onfig)#access-list 101 deny udp any any eq 512 //禁止RSH Core(config)#access-list 101 deny udp any any eq 513 //禁止RLogin Core(config)#access-list 101 deny udp any any eq 3389 //禁止運(yùn)程桌面 Core(config)#access-list 101 deny udp any any eq echo //阻止DOS攻擊 Core(config)#access-list 101 DENY icmp a

37、ny any echo //阻止DOS攻擊 Core(config)#access-list 101 permit tcp any any Core(config-if)#ip access-group 101 fastEthernet 0/3 in //啟用訪(fǎng)問(wèn)列表 2.2.3 OSPF介紹 　OSPF(Open Shortest Path First開(kāi)放式最短路徑優(yōu)先)是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議(Interior Gateway Protocol,簡(jiǎn)稱(chēng)IGP)，用于在單一自治系統(tǒng)(autonomous system,AS)內(nèi)決策路由。與RIP相比，OSPF是鏈路狀態(tài)路

38、由協(xié)議，而RIP是距離矢量路由協(xié)議。OSPF的協(xié)議管理距離是110。 （1）OSPF起源 　 　IETF為了滿(mǎn)足建造越來(lái)越大基于IP網(wǎng)絡(luò)的需要，形成了一個(gè)工作組，專(zhuān)門(mén)用于開(kāi)發(fā)開(kāi)放式的、鏈路狀態(tài)路由協(xié)議，以便用在大型、異構(gòu)的IP網(wǎng)絡(luò)中。新的路由協(xié)議已經(jīng)取得一些成功的一系列私人的、和生產(chǎn)商相關(guān)的、最短路徑優(yōu)先(SPF )路由協(xié)議為基礎(chǔ)，在市場(chǎng)上廣泛使用。包括OSPF在內(nèi)，所有的SPF路由協(xié)議基于一個(gè)數(shù)學(xué)算法—Dijkstra算法。這個(gè)算法能使路由選擇基于鏈路-狀態(tài)，而不是距離向量。OSPF由IETF在20世紀(jì)80年代末期開(kāi)發(fā)，OSPF是SPF類(lèi)路由協(xié)議中的開(kāi)放式版本。 　　鏈路是路

39、由器接口的另一種說(shuō)法，因此OSPF也稱(chēng)為接口狀態(tài)路由協(xié)議。OSPF通過(guò)路由器之間通告網(wǎng)絡(luò)接口的狀態(tài)來(lái)建立鏈路狀態(tài)數(shù)據(jù)庫(kù)，生成最短路徑樹(shù)，每個(gè)OSPF路由器使用這些最短路徑構(gòu)造路由表。 　　OSPF路由協(xié)議是一種典型的鏈路狀態(tài)（Link-state）的路由協(xié)議，一般用于同一個(gè)路由域內(nèi)。在這里，路由域是指一個(gè)自治系統(tǒng)（Autonomous System），即AS，它是指一組通過(guò)統(tǒng)一的路由政策或路由協(xié)議互相交換路由信息的網(wǎng)絡(luò)。在這個(gè)AS中，所有的OSPF路由器都維護(hù)一個(gè)相同的描述這AS結(jié)構(gòu)的數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息，OSPF路由器正是通過(guò)這個(gè)數(shù)據(jù)庫(kù)計(jì)算出其OSPF路由

40、表的。 （2）OSPF的hello協(xié)議 　　第一 用于發(fā)現(xiàn)鄰居。 　　第二 在成為鄰居之前,必須對(duì)Hello包里的一些參數(shù)進(jìn)行協(xié)商。 　　第三 Hello包在鄰居之間扮演著keepalive的角色。 第四 用于在NBMA(Nonbroadcast Multi-access)網(wǎng)絡(luò)上選舉DR和BDR 等。 （3）Hello包含以下信息: 　　第一 源路由器的RID。 　　第二 源路由器的Area ID。 　　第三 源路由器接口的掩碼。 　　第四 源路由器接口的認(rèn)證類(lèi)型和認(rèn)證信息。 　　第五 源路由器接口的Hello包發(fā)送的時(shí)間間隔。 　　第六 源路由器接口的無(wú)

41、效時(shí)間間隔。 　　第七 優(yōu)先級(jí)。 　　第八 DR/BDR接口IP地址。 　　第九 五個(gè)標(biāo)記位(flag bit)。 　　第十 源路由器的所有鄰居的RID。 （4）OSPF的網(wǎng)絡(luò)類(lèi)型 　　OSPF定義的5種網(wǎng)絡(luò)類(lèi)型: 　　第一 點(diǎn)到點(diǎn)網(wǎng)絡(luò) (point-to-point)，由cisco提出的網(wǎng)絡(luò)類(lèi)型，自動(dòng)發(fā)現(xiàn)鄰居，不選舉DR/BDR，hello時(shí)間10s。 　　第二 廣播型網(wǎng)絡(luò) (broadcast)，由cisco提出的網(wǎng)絡(luò)類(lèi)型，自動(dòng)發(fā)現(xiàn)鄰居，選舉DR/BDR，hello時(shí)間10s。 　　第三 非廣播型(NBMA)網(wǎng)絡(luò) (non-broadcast)，由RFC提出的網(wǎng)絡(luò)類(lèi)

42、型，手工配置鄰居，選舉DR/BDR，hello時(shí)間30s。 　　第四 點(diǎn)到多點(diǎn)網(wǎng)絡(luò) (point-to-multipoint)，由RFC提出，自動(dòng)發(fā)現(xiàn)鄰居，不選舉DR/BDR，hello時(shí)間30s。 第五 點(diǎn)到多點(diǎn)非廣播，由cisco提出的網(wǎng)絡(luò)類(lèi)型，自動(dòng)發(fā)現(xiàn)鄰居，選舉DR/BDR，hello時(shí)間10s。 （5）OSPF的DR及BDR 　 　在DR和BDR出現(xiàn)之前，每一臺(tái)路由器和他的所有鄰居成為完全網(wǎng)狀的OSPF鄰接關(guān)系，這樣5臺(tái)路由器之間將需要形成10個(gè)鄰接關(guān)系,同時(shí)將產(chǎn)生25條 LSA。而且在多址網(wǎng)絡(luò)中,還存在自己發(fā)出的LSA 從鄰居的鄰居發(fā)回來(lái),導(dǎo)致網(wǎng)絡(luò)上產(chǎn)生很多LSA的拷

43、貝,所以基于這種考慮，產(chǎn)生了DR和BDR。 　　DR將完成如下工作： 　　第一 描述這個(gè)多址網(wǎng)絡(luò)和該網(wǎng)絡(luò)上剩下的其他相關(guān)路由器。 　　第二 管理這個(gè)多址網(wǎng)絡(luò)上的flooding過(guò)程。 　　第三 同時(shí)為了冗余性，還會(huì)選取一個(gè)BDR，作為雙備份之用。 DR BDR選取規(guī)則： DR BDR選取是以接口狀態(tài)機(jī)的方式觸發(fā)的。 　　第一 按照路由器優(yōu)先級(jí)(Router Priority)。 　　第二 Hello包里包含了優(yōu)先級(jí)的字段，還包括了可能成為DR/BDR相關(guān)接口的IP地址。 第三 當(dāng)接口在多路訪(fǎng)問(wèn)網(wǎng)絡(luò)上初次啟動(dòng)的時(shí)候，它把DR/BDR地址設(shè)置為0.0.0.0,同時(shí)設(shè)置等待計(jì)時(shí)器(

44、wait timer)的值等于路由器無(wú)效間隔(Router Dead Interval)。 鄰接關(guān)系建立的4個(gè)階段: 　　第一 鄰居發(fā)現(xiàn)階段。 　　第二 雙向通信階段：Hello報(bào)文都列出了對(duì)方的RID，則BC完成。 　　第三 數(shù)據(jù)庫(kù)同步階段：主從協(xié)商；DD交換；LSA請(qǐng)求；LSA傳播；LSA應(yīng)答。 　　第四 完全鄰接階段: full adjacency。 鄰居關(guān)系的建立和維持都是靠Hello包完成的,在一般的網(wǎng)絡(luò)類(lèi)型中，Hello包周期性的以HelloInterval秒發(fā)送，有1個(gè)例外：在NBMA網(wǎng)絡(luò)中，路由器每經(jīng)過(guò)一個(gè)PollInterval周期發(fā)送Hello包給狀態(tài)為do

45、wn的鄰居(其他類(lèi)型的網(wǎng)絡(luò)是不會(huì)把Hello包發(fā)送給狀態(tài)為down的路由器的)。Cisco路由器上PollInterval默認(rèn)60s Hello Packet以組播的方式發(fā)送給224.0.0.5，在NBMA類(lèi)型，點(diǎn)到多點(diǎn)和虛鏈路類(lèi)型網(wǎng)絡(luò)，以單播發(fā)送給鄰居路由器。鄰居可以通過(guò)手工配置或者Inverse-ARP發(fā)現(xiàn)。 　　OSPF路由器在完全鄰接之前,所經(jīng)過(guò)的幾個(gè)狀態(tài): 　　第一 Down:此狀態(tài)還沒(méi)有與其他路由器交換信息。首先從其ospf接口向外發(fā)送hello分組，還并不知道DR(若為廣播網(wǎng)絡(luò))和任何其他路由器。發(fā)送hello分組使用組播地址224.0.0.5。 　　第二 Attempt

46、: 只適于NBMA網(wǎng)絡(luò),在NBMA網(wǎng)絡(luò)中鄰居是手動(dòng)指定的，在該狀態(tài)下，路由器將使用HelloInterval取代PollInterval來(lái)發(fā)送Hello包。 　　第三 Init: 表明在DeadInterval里收到了Hello包，但是2-Way通信仍然沒(méi)有建立起來(lái)。 　　第四 two-way: 雙向會(huì)話(huà)建立，而RID彼此出現(xiàn)在對(duì)方的鄰居列表中。 第五 ExStart: 信息交換初始狀態(tài)，在這個(gè)狀態(tài)下,本地路由器和鄰居將建立Master/Slave關(guān)系，并確定DD Sequence Number,路由器ID大的的成為Master。 　　第六 Exchange: 信息交換狀

47、態(tài)，本地路由器和鄰居交換一個(gè)或多個(gè)DBD分組（也叫DDP)。DBD包含有關(guān)LSDB中LSA條目的摘要信息)。 　　第七 Loading: 信息加載狀態(tài)：收到DBD后,將收到的信息同LSDB中的信息進(jìn)行比較。如果DBD中有更新的鏈路狀態(tài)條目，則向?qū)Ψ桨l(fā)送一個(gè)LSR，用于請(qǐng)求新的LSA。 第八 Full: 完全鄰接狀態(tài),鄰接間的鏈路狀態(tài)數(shù)據(jù)庫(kù)同步完成，通過(guò)鄰居鏈路狀態(tài)請(qǐng)求列表為空且鄰居狀態(tài)為L(zhǎng)oading判斷。 （6）OSPF區(qū)域 OSPF區(qū)域根據(jù)路由器的位置不同而分化區(qū)域，區(qū)域長(zhǎng)度32位，可以用10進(jìn)制，也可以類(lèi)似于IP地址的點(diǎn)分十進(jìn)制，分3種通信量： 　　第一 Intr

48、a-Area Traffic:域內(nèi)間通信量。 　　第二 Inter-Area Traffic:域間通信量。 　　第三 External Traffic:外部通信量。 　　路由器類(lèi)型： 　　第一 Internal Router:內(nèi)部路由器。 　　第二 ABR(Area Border Router)：區(qū)域邊界路由器。 　　第三 Backbone Router(BR):骨干路由器。 　　第四 ASBR(Autonomous System Boundary Router):自治系統(tǒng)邊界路由器。 　　虛鏈路(Virtual Link)： 　　以下2中情況需要使用到虛鏈路: 　

49、　第一 通過(guò)一個(gè)非骨干區(qū)域連接到一個(gè)骨干區(qū)域。 　　第二 通過(guò)一個(gè)非骨干區(qū)域連接一個(gè)分段的骨干區(qū)域兩邊的部分區(qū)域。 　　虛鏈接是一個(gè)邏輯的隧道（Tunnel）,配置虛鏈接的一些規(guī)則: 　　第一 虛鏈接必須配置在2個(gè)ABR之間。 　　第二 虛鏈接所經(jīng)過(guò)的區(qū)域叫Transit Area,它必須擁有完整的路由信息。 　　第三 Transit Area不能是stub area。 　　第四 盡可能的避免使用虛鏈接,它增加了網(wǎng)絡(luò)的復(fù)雜程度和加大了排錯(cuò)的難度。 　　OSPF區(qū)域—OSPF的精華： 　　Link-state 路由在設(shè)計(jì)時(shí)要求需要一個(gè)層次性的網(wǎng)絡(luò)結(jié)構(gòu)。 　　OSPF網(wǎng)絡(luò)

50、分為以下2個(gè)級(jí)別的層次: 　　骨干區(qū)域 (backbone or area 0) 　　非骨干區(qū)域 (nonbackbone areas) 　　在一個(gè)OSPF區(qū)域中只能有一個(gè)骨干區(qū)域,可以有多個(gè)非骨干區(qū)域,骨干區(qū)域的區(qū)域號(hào)為0。 　　為了避免回環(huán)的產(chǎn)生，各非骨干區(qū)域間是不可以交換LSA信息的，他們只有與骨干區(qū)域相連，通過(guò)骨干區(qū)域相互交換信息。 　　非骨干區(qū)域和骨干區(qū)域之間相連的路由叫邊界路由（ABRs-Area Border Routers）,只有ABRs記載了接入各區(qū)域的所有路由信息。各非骨干區(qū)域內(nèi)的非ABRs只記載了本區(qū)域內(nèi)的路由表，若要與外部區(qū)域中的路由相連，只能通過(guò)本

51、區(qū)域的ABRs，由ABRs連到骨干區(qū)域的BR，再由骨干區(qū)域的BR連到要到達(dá)的區(qū)域。 骨干區(qū)域和非骨干區(qū)域的劃分，大大降低了區(qū)域內(nèi)工作路由的負(fù)擔(dān)。 （7）OSFP LSA類(lèi)型 　　第一 Router LSA:每個(gè)路由器都將產(chǎn)生Router LSA，這種LSA只在本區(qū)域內(nèi)傳播，描述了路由器所有的鏈路和接口，狀態(tài)和開(kāi)銷(xiāo)。 　　第二 Network LSA:在每個(gè)多路訪(fǎng)問(wèn)網(wǎng)絡(luò)中，DR都會(huì)產(chǎn)生這種Network LSA，它只在產(chǎn)生這條Network LSA的區(qū)域泛洪描述了所有和它相連的路由器（包括DR本身）。 　　第三 Network Summary LSA:由ABR路由器始發(fā)，用于通告

52、該區(qū)域外部的目的地址。當(dāng)其他的路由器收到來(lái)自ABR的Network Summary LSA以后，它不會(huì)運(yùn)行SPF算法，它只簡(jiǎn)單的加上到達(dá)那個(gè)ABR的開(kāi)銷(xiāo)和Network Summary LSA中包含的開(kāi)銷(xiāo)，通過(guò)ABR，到達(dá)目標(biāo)地址的路由和開(kāi)銷(xiāo)一起被加進(jìn)路由表里,這種依賴(lài)中間路由器來(lái)確定到達(dá)目標(biāo)地址的完全路由(full route)實(shí)際上是距離矢量路由協(xié)議的行為。 　　第四 ASBR Summary LSA:由ABR發(fā)出，ASBR匯總LSA除了所通告的目的地是一個(gè)ASBR而不是一個(gè)網(wǎng)絡(luò)外，其他同Network Summary LSA。 　　第五 類(lèi)型5:AS External LSA:發(fā)自

53、ASBR路由器，用來(lái)通告到達(dá)OSPF自主系統(tǒng)外部的目的地,或者OSPF自主系統(tǒng)那個(gè)外部的缺省路由的LSA。這種LSA將在全AS內(nèi)泛洪（4個(gè)特殊區(qū)域除外）。 　　第六 類(lèi)型6:Group Membership LSA。 　　第七 類(lèi)型7:NSSA External LSA:來(lái)自非完全Stub區(qū)域（not-so-stubby area）內(nèi)ASBR路由器始發(fā)的LSA通告它只在NSSA區(qū)域內(nèi)泛洪，這是與LSA-Type5的區(qū)別。 　　第八 類(lèi)型8:External Attributes LSA。 （8）OSPF路由類(lèi)型 　　位于路由器所在外但在ospf自主系統(tǒng)內(nèi)的網(wǎng)絡(luò)，以匯總LSA的方式被

54、通告。 　　IA位于路由器所在外但在ospf自主系統(tǒng)內(nèi)的網(wǎng)絡(luò)，以匯總LSA的方式被通告。 　　E1、O E2位于路由器所在外但在ospf自主系統(tǒng)內(nèi)的網(wǎng)絡(luò)，以匯總LSA的方式被通告。 　 （9）OSPF協(xié)議主要優(yōu)點(diǎn)： 　　第一 OSPF是真正的LOOP- FREE（無(wú)路由自環(huán)）路由協(xié)議。源自其算法本身的優(yōu)點(diǎn)（鏈路狀態(tài)及最短路徑樹(shù)算法）。 　　第二 OSPF收斂速度快：能夠在最短的時(shí)間內(nèi)將路由變化傳遞到整個(gè)自治系統(tǒng)。 　　第三 提出區(qū)域（area）劃分的概念，將自治系統(tǒng)劃分為不同區(qū)域后，通過(guò)區(qū)域之間的對(duì)路由信息的摘要，大大減少了需傳遞的路由信息數(shù)量。也使得路由信息不會(huì)隨網(wǎng)絡(luò)規(guī)模的

55、擴(kuò)大而急劇膨脹。 第四 OSPF適應(yīng)各種規(guī)模的網(wǎng)絡(luò)，最多可達(dá)數(shù)千臺(tái)。 （10）OSPF度量值 　　在Cisco路由器中，使用公式100Mbit/帶寬（單位為Mbit）來(lái)計(jì)算的，但是，在帶寬等于100Mbits的鏈路上，成本為1。在大于100Mbits的鏈路上這個(gè)值就不是很好。 　　RotuerA(config-if)#ip ospf cost interface-cost 　　成本越低，鏈路越好。 　　RouterA(config-router)#atuo-cost reference-bandwidth ref-bw 其中cost：1～65535 ref-bw：1～4294

56、967 （11）OSPF末梢區(qū)域 　　由于并不是每個(gè)路由器都需要外部網(wǎng)絡(luò)的信息,為了減少LSA泛洪量和路由表?xiàng)l目,就創(chuàng)建了末梢區(qū)域,位于Stub邊界的ABR將宣告一條默認(rèn)路由到所有的Stub區(qū)域內(nèi)的內(nèi)部路由器。 　　Stub區(qū)域限制： 　　第一 所有位于stub area的路由器必須保持LSDB信息同步, 并且它們會(huì)在它的Hello包中設(shè)置一個(gè)值為0的E位(E-bit)，因此這些路由器是不會(huì)接收E位為1的Hello包，也就是說(shuō)在stub area里沒(méi)有配置成stub router的路由器將不能和其他配置成stub router的路由器建立鄰接關(guān)系。 　　第二 不能在stub ar

57、ea中配置虛鏈接(virtual link)，并且虛鏈接不能穿越stub area。 　　第三 stub area里的路由器不可以是ASBR。 　　第四 stub area可以有多個(gè)ABR，但是由于默認(rèn)路由的緣故，內(nèi)部路由器無(wú)法判定哪個(gè)ABR才是到達(dá)ASBR的最佳選擇。 　　第五 NSSA允許外部路由被宣告OSPF域中來(lái)，同時(shí)保留Stub Area的特征。ASBR將使用type7-LSA來(lái)宣告外部路由，但經(jīng)過(guò)ABR,Type7被轉(zhuǎn)換為T(mén)ype5.7類(lèi)LSA通過(guò)OSPF報(bào)頭的一個(gè)P-bit作Tag，如果NSSA里的ABR收到P位設(shè)置為1的NSSA External LSA，它將把LSA類(lèi)型

58、7轉(zhuǎn)換為L(zhǎng)SA類(lèi)型5。并把它洪泛到其他區(qū)域中；如果收到的是P位設(shè)置為0的NSSAExternal LSA,它將不會(huì)轉(zhuǎn)換成類(lèi)型5的LSA，并且這個(gè)類(lèi)型7的LSA里的目標(biāo)地址也不會(huì)被宣告到NSSA的外部NSSA在IOS11.2后支持。 　　第六 totally stub area完全的stub區(qū)域，連類(lèi)型3的LSA也不接收。 AS自治系統(tǒng)（autonomous system）：一組相互管理下的網(wǎng)絡(luò)，它們共享同一個(gè)路由選擇方法，自治系統(tǒng)由地區(qū)再劃分并必須由IANA分配一個(gè)單獨(dú)的16位數(shù)字。地區(qū)通常連接到其他地區(qū)，使用路由器創(chuàng)建一個(gè)自治系統(tǒng)。 2.2.4 配置OSPF （1）配置交換機(jī)Co

59、reSwitch1 //在三層交換上配置OSPF CoreSwitch1(config)#router ospf 1 CoreSwitch1(config-router)#network 192.168.0.0 0.0.255.255 area 0 （2）配置交換機(jī)CoreSwitch2 //在三層交換上配置OSPF CoreSwitch2(config)#router ospf 1 CoreSwitch2(config-router)#network 192.168.0.0 0.0.255.255 area 0

60、 （3）配置路由器Core Core(config)#router ospf 1 Core(config-router)#network 192.168.0.0 0.0.255.255 area 0 2.3 交換 （1）核心交換機(jī) 由Catalyst 6500系列產(chǎn)品組成的Catalyst 6500家族為企業(yè)網(wǎng)絡(luò)和服務(wù)供應(yīng)商網(wǎng)絡(luò)提供了一系列高性能多層交換解決方案。Catalyst 6500家族是專(zhuān)為滿(mǎn)足對(duì)千兆位密度、數(shù)據(jù)和語(yǔ)音集成、LAN/WAN/MAN集中、可擴(kuò)展性、高可用性、以及主干/分布、服務(wù)器整合和服務(wù)供應(yīng)商環(huán)境中智能多層交換的不端增長(zhǎng)的需求而設(shè)

61、計(jì)的，是Catalyst 4000和5000系列以及Cisco 8500系列交換機(jī)的補(bǔ)充和完善，這些產(chǎn)品將繼續(xù)提供相應(yīng)的主要配線(xiàn)柜和ATM網(wǎng)絡(luò)核心解決方案。這些Cisco家族產(chǎn)品共同提供了廣泛的智能交換解決方案，使公司內(nèi)部網(wǎng)和Internet能夠支持多媒體等技術(shù)。 圖2-3 Cisco 6509交換機(jī) （2）匯聚交換機(jī) Cisco 3600系列是一個(gè)適合大中型企業(yè)Internet服務(wù)供應(yīng)商的模塊化、多功能訪(fǎng)問(wèn)平臺(tái)家族。Cisco 3600系列擁有70多個(gè)模塊化接口選項(xiàng)，提供語(yǔ)音/數(shù)據(jù)集成、虛擬專(zhuān)網(wǎng)（VPN）、撥號(hào)訪(fǎng)問(wèn)和多協(xié)議數(shù)據(jù)路由解決方案。通過(guò)利用CIsco的語(yǔ)音/傳真網(wǎng)絡(luò)模塊，C

62、isco 3600系列允許客戶(hù)在單個(gè)網(wǎng)絡(luò)上合并語(yǔ)音、傳真和數(shù)據(jù)流量。高性能的模塊化體系結(jié)構(gòu)保護(hù)了客戶(hù)的網(wǎng)絡(luò)技術(shù)投資，并將多個(gè)設(shè)備的功能集成到一個(gè)可管理的解決方案之中。 圖2-4 Cisco 3640交換機(jī) （3）接入層交換機(jī) Cisco catalyst 2950交換機(jī)，二層交換機(jī)，Catalyst 2950系列包括Catalyst 2950T-24、2950-24、2950-12和2950C-24交換機(jī)。Cisco Catalyst 2950系列智能以太網(wǎng)交換機(jī)是一個(gè)固定配置、可堆疊的獨(dú)立設(shè)備系列，提供了線(xiàn)速快速以太網(wǎng)和千兆位以太網(wǎng)連接。這是一款最廉價(jià)的Cisco交換產(chǎn)品系列，為中

63、型網(wǎng)絡(luò)和城域接入應(yīng)用提供了智能服務(wù)。作為思科最為廉價(jià)的交換產(chǎn)品系列，Cisco Catalyst 2950系列在網(wǎng)絡(luò)或城域接入邊緣實(shí)現(xiàn)了智能服務(wù)。其優(yōu)勢(shì)有在布線(xiàn)室配線(xiàn)間中實(shí)現(xiàn)了智能的服務(wù)質(zhì)量（QoS）、限速、訪(fǎng)問(wèn)控制列表（ACL）和多播服務(wù)；在多種介質(zhì)上提供了升級(jí)到千兆位以太網(wǎng)的強(qiáng)大路徑；憑借內(nèi)置Cisco集群管理套件可出色地管理并輕松地配置第2-4層服務(wù)。與Cisco Catalyst 3550系列集中匯聚交換機(jī)相結(jié)合，用于IP路由至網(wǎng)絡(luò)核心。 圖2-5 Cisco 2950交換機(jī) 2.3.1 交換機(jī)基本配置 (1) 設(shè)置交換機(jī)名稱(chēng) switch(config)#hostname

64、 CoreSwitch1 (2) 設(shè)置特權(quán)模式口令 CoreSwitch1(config)#enable secret cisco (3) 設(shè)置虛擬登錄口令 CoreSwitch1(config)#line vty 0 15 CoreSwitch1(config-line)#password cisco CoreSwitch1(config-line)# login 2.3.2 配置VTP及定義VLAN VTP有三種操作模式： 服務(wù)器模式、客戶(hù)機(jī)模式和透明模式。 默認(rèn)時(shí)CISCO交換機(jī)不傳播VLAN信息，必須配置VTP域。VTP用來(lái)跨中繼鏈路傳播VLAN信息。為

65、了在交換機(jī)間共享VLAN信息，必須使所有交換機(jī)具有相同VTP域名，其中至少一臺(tái)必須被設(shè)置為VTP服務(wù)器，其他交換機(jī)應(yīng)當(dāng)設(shè)置為VTP客戶(hù)機(jī)。 服務(wù)器模式維護(hù)該VTP域中所有VLAN信息列表，可以增加、刪除或修改VLAN。當(dāng)一臺(tái)未經(jīng)配置的思科交換機(jī)第一次上電開(kāi)機(jī)的時(shí)候，它的默認(rèn)模式是服務(wù)器模式。我們必須把它改成客戶(hù)機(jī)或者透明模式。VTP服務(wù)器周期性地廣播VTP域名、VLAN配置，提供現(xiàn)行的配置修改號(hào)。這個(gè)修改號(hào)是VTP 域的一部分，它確保VTP 域內(nèi)的所有交換機(jī)有現(xiàn)行的、正確的VLAN 配置信息。當(dāng)VLAN在VTP服務(wù)器上被創(chuàng)建的時(shí)候，和其他VLAN配置信息一起存儲(chǔ)在服務(wù)器的NVRAM。當(dāng)交換機(jī)

66、重啟的時(shí)候，配置信息還是被保留。 客戶(hù)機(jī)模式也維護(hù)該VTP域中所有VLAN信息列表，但不能增加、刪除或修改VLAN，任何變化的信息必須從VTP Server發(fā)布的通告報(bào)文中接收。當(dāng)客戶(hù)交換機(jī)加入一個(gè)新的VLAN，VLAN必須被添加到VTP 服務(wù)器上面去。這樣新的VLAN 才能傳遞到所有的客戶(hù)交換機(jī)。當(dāng)新的VLAN 增加后，客戶(hù)交換機(jī)上的端口會(huì)關(guān)聯(lián)到新的VLAN?？蛻?hù)交換機(jī)在NVRAM存儲(chǔ)VLAN配置。然而，不像VTP服務(wù)器，當(dāng)客戶(hù)交換機(jī)重啟的時(shí)候，所有的VLAN 配置信息丟失了。交換機(jī)啟動(dòng)完成后，需要發(fā)送一條VTP 請(qǐng)求消息給VTP服務(wù)器，來(lái)獲取現(xiàn)行的VLAN 配置。 透明模式不參與VTP工作，它雖然忽略所有接收到的VTP信息，但能夠?qū)⒔邮盏降腣TP報(bào)文轉(zhuǎn)發(fā)出去。它只擁有本設(shè)備上的VLAN信息。 VTP透明交換機(jī)和VTP客戶(hù)交換機(jī)不同，VLAN可以在這些交換機(jī)上手工配置。如果配置為VTP 域的一部分，他們可以從VTP 服務(wù)器接收VLAN 配置信息。然而，他們不會(huì)通知VTP 域本地配置的VLAN。配置成透明模式的交換機(jī)還是會(huì)收到VTP 配置幀并傳遞這些幀到所有的骨干端口。這允許VT