某高校校园网建设方案设计

苏州科技学院

二○一三 ～二○一四学年第一学期

计算机网络大作业

校园网建设方案设计

班 级： 电子Z1111 学 号： 姓 名：

二○一四年一月

目录

2

1.需求分析

1.1网络发展与需求

伴随着计算机、通信和多媒体等技术的发展，使得网络应用更加丰富。同时在多媒体教育和管理等方面的需求，对校园网络也提出进一步的要求。因此需要一个具有先进性的、高速的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。作为校园网，需要连接多少个节点，怎样合理使用各种网络设备使分布在不同地理位置的节点连接到一个统一的网络中，怎样使整个网络上的节点相互连通，这些问题仅仅是校园网需要解决问题中的一部分，更重要的问题是如何将这些资源有序地组织起来，需要实现什么功能，以满足现在和未来在教学、科研、管理、交流等方面的需求。形成在校园内部、校园与外部进行信息沟通的体系，建立满足教学、科研和管理需求的计算机环境，为学校各种人员提供充分的网络信息服务，在网络环境中进行教学、研究、收集信息等工作。为了使延安大学能够具有良好的网络环境为更多的学生和老师服务，设计并实现了延安大学校园网络。 校园需要的基本功能有：

●计算机教学，包括多媒体教学和远程教学； ●网络下载、网络聊天等；

●电子邮件系统：主要进行与同行交往、开展技术合作、学术交流等活动； ●文件传输 FTP：主要利用 FTP 服务获取重要的科技资料和技术文挡； ●INTERNET 服务：学校可以建立自己的主页，利用外部网页进行学校宣传，提供各类咨询信息等，利用内部网页进行管理，例如发布通知、收集学生意见和建议等。

●图书馆的访问系统，用于计算机查询、计算机检索、计算机阅读等； ●对带宽的要求：音频信号和视频信号对网络带宽要求最严的数据信号，而且突发性很大，在网络中要求实时的和高质量的传输。当网络规模比较大，网络用户比较多，网络中的多个用户同时发起音频、视频信号和其它各种数据信号的传输时，往往会对网络带宽带来压力，令网络带宽不堪负荷，造成网络拥塞，严重时会导致阻塞，使网络通信停顿。为了解决网络拥塞问题，必须对各种网络技术

进行选择，以符合用户对网络实际应用所提出的各项要求，以最高的性价比，实现网络功能。

1.2现有基本状况介绍

学校内有如下设施以及具体状况：

大部门 机关部门 院系 所属部门数 10 10 计算机数 每个部门不超过10台计算机 每个院系不超过240台计算机 电子阅览室有300台计算机，另外还有一个主控室，50台机 备注 所有部门之间的距离小于100米 机关办公楼与各院系建筑物之间的距离均在500-1500米范围之内 计算机到设备间距离小于100米 图书馆 2

图书馆、院系部门到计算机网络中心之间的距离大于500米 总计3000台，三个设备间和一个网络中心

2.校园网络总体设计思路

2.1模块化设计

所谓模块化就是将把整个网络按功能和安全需求分为若干个组件，这些组件之间有一定的安全边界，组件内部有完整的网络设计。模块化设计的好处在于：

1. 解决各网络之间的冲突问题； 2. 简化安装和后台设备管理； 3. 易于故障检测和分离问题；

4. 易于执行不同类型的服务和安全方针； 5. 易于扩展或代替原来的技术。 一个完整的模块化设计如下图所示：

4

2.2层次化设计

层次化网络设计模型

对于大型网络，可以采用通用“核心层-汇聚层-接入层”层次化网络设计模型。

2.2.1核心层

核心层的主要提供不同网络模块之间优化传输服务，将分组尽可能快地从一个网络传到另一个网络，通常要保证核心层具有很高的可靠性、最佳的网络性能。汇聚层到核心层要具备冗余传输链路，任何单条链路断连不影响网络的可用性。作为所有网络流量的传输中枢，核心层除了要求高性能交换设备和高带宽传输链路外，还需考虑选用支持负载均衡或负载分担特性的设备实现负荷均衡。此外，为了避免网元故障对网络造成冲击，需要网络采用支持快速聚合的特性，一旦主用通路断开，可以很快的切换到备用通路。

5

2.2.2汇聚层

汇聚层顾名思义就是作为访问层到骨干层的汇聚，通常为访问层与骨干层实现基于策略的网络间连接。汇聚层主要由三层交换机组成，提供对网络流量模式控制、访问控制服务、QoS、定义路由路径度量（path metric）和路由协议网络通告控制。

2.2.3接入层

接入层作为各模块到交换骨干的连接，根据不同模块进行逻辑子网划分，并通过 VLAN技术实现子网之间的隔离。访问层主要功能在于隔离模块间的广播流量，避免不同模块之间相互影响。访问层主要通过二层交换机组成。

3.网络系统设计

3.1网络拓扑结构

目前校园网正在计划组建阶段，按照目前学校的基本情况，对学校园网的组建可以以如下方案进行：

（1）校园网将以千兆以太网的星型拓扑结构组建主干网络，各个主要建筑之间以千兆光纤连接，连接到行政部门3楼网络中心，传输速率1000Mbps。

（2）各个主要建筑内部组建子网，子网划分并编号，以便将来的管理，另外需要预留一些网络号，以便未来一段时间内的扩建网络并便于管理未来组建的网络。

（3）按照各个建筑内的设施来组建网络，以便达到组建网络的需求，并且能够节省成本。

（4）各个主要建筑内部的网络用快速以太网的标准建设，使网内达到100Mbps的传输速率。

网络拓扑结构如下：

6

在校园网中，根据学校的具体情况，得出了这个设计图。

从图中可以看到，行政部门、图书馆、院系之间以1000Mbps的速率与核心交换机相连，组成主干网络，考虑到各主要建筑到网络中心的距离以及传输介质的实际功能，在主干网中，教学楼、办公楼和图书馆选用1000Base-LX标准的单模光纤作为传输介质，并且该光纤对应于802.3z标准，既可以使用单模光纤也可以使用多模光纤。其中使用多模光纤的最大传输距离为550m，使用单模光纤的最大传输距离为70km。1000Base-LX采用8B/10B编码方式，最大传输距离为5km，选用该介质完全符合学校计算机中心与每个建筑物之间的距离超过500-1500m的实际情况。另外，每个主要建筑内的设备间交换机需要支持光缆接口以及1000Mbps的传输要求。

在行政部门里，每个部门里的计算机台数不超过20台，因此为了节约成本，只需在设备间每层安装一个二层交换机，再将每个部门的20端口交换机连接到设备间交换机就可以了，这样可以减少许多开销。传输介质选用100Base-TX标准的5类非屏蔽双绞线（最大传输距离是100米）将部门交换机连接到设备间交换机。

在院系内，由于每个院系的计算机台数不超过240台，因此在每个院系放置

7

一台交换机，将每层的计算机连接到该层的交换机后，再连到设备间交换机，计算机连接到层交换机和层交换机连接到设备间交换机都可以选用100Base-TX标准的5类非屏蔽双绞线连接。

在图书馆内，由于电子阅览室300台机子，为了使布线更合理，可以每个机房一台交换机，再由交换机连接到设备间交换机，计算机连接到每个机房交换机，然后连接到设备间交换机都可以选用100Base-TX标准的5类非屏蔽双绞线连接。还有图书馆借阅管理系统的50台机子，通过两台交换机连接到设备间交换机，传输介质还是选用100Base-TX标准的5类非屏蔽双绞线。

3.2子网规划

校园网中所有的主机数不超过3000台。计算机的基本地域分配是：行政部门200台、所有院系2400台、图书馆350台。而一个C类子网有254个可以让用户正常使用的IP地址，所以申请2个C类IP地址即可满足这个校园网需求，然后再将申请到得2个子网C类IP地址再分配成若干子网，满足各个网络的要求。

具体地址分配如下：

1）行政部门（200台），分配一个C类子网。对于下属的10个部门再进行子网分配，由于每个部门的计算机台数不超过20台，所以每个部门分配6个IP地址。

2）图书馆（350台），分配一个C类子网。然后将此子网再划分成8个小的子网，提供给电子阅览室6个，主控室1个，预留一个。

3）所有院系（2400台），分配一个完整C类IP地址。对于10个独立的院系，每个院系先分配10个子网，每个子网有14个IP地址供自己自由分配。还有多余的IP地址提供给服务器、交换机、防火墙等。

假设学校申请的C类子网的IP地址为192.168.0.0和192.168.1.0

8

校办 地理位置 子网编号 IP地址范围 192.168.0.1 192.168.0.6 预留IP地址 划分之处的子网掩码为 备注 192.168.0.81~126 255.255.255.248/29 行政楼4楼 192.168.0.0 人事处 财务处 行政楼4楼 192.168.0.8 192.168.0.9 192.168.0.14 192.168.0.22 192.168.0.30 192.168.0.38 192.168.0.46 192.168.0.54 192.168.0.62 192.168.0.70 192.168.0.78 192.168.0.6 行政楼3楼 192.168.0.16 192.168.0.17 行政楼3楼 192.168.0.24 192.168.0.25 行政楼2楼 192.168.0.32 行政楼2楼 192.168.0.40 行政楼2楼 192.168.0.48 行政楼1楼 192.168.0.56 行政楼1楼 192.168.0.64 行政楼1楼 192.168.0.72 192.168.0.33 192.168.0.41 192.168.0.49 192.168.0.57 192.168.0.65 192.168.0.73 行政部门 网络中心 其他设备 学生处 教务处 科技处 设备处 党委 团委 考务办 图书馆主控室 192.168.0.128 192.168.0.129 预留IP地址 划分之处的子网掩码为 192.168.0.241~254 255.255.255.240/28 192.168.0.144 192.168.0.145 192.168.0.160 192.168.0.161 192.168.0.176 192.168.0.177 192.168.0.158 192.168.0.174 192.168.0.190 192.168.0.206 192.168.0.222 192.168.0.238 192.168.1.14 192.168.1.30 192.168.1.46 192.168.1.62 192.168.1.78 192.168.1.94 192.168.1.110 192.168.1.126 192.168.1.142 192.168.1.158 图书馆图书馆阅览室 院系1 院系2 院系3 院系4 院系5 院系6 院系7 院系8 院系9 192.168.0.192 192.168.0.193 192.168.0.208 192.168.0.209 192.168.0.224 192.168.0.225 192.168.1.0 192.168.1.16 192.168.1.32 192.168.1.48 192.168.1.64 192.168.1.80 192.168.1.96 192.168.1.1 192.168.1.17 192.168.1.33 192.168.1.49 192.168.1.65 192.168.1.81 192.168.1.97 划分之处的子网掩码为 255.255.255.240/28 下属院系 192.168.1.112 192.168.1.113 192.168.1.128 192.168.1.129 192.168.1.144 192.168.1.145 院系10 行政楼3楼 192.168.1.161~206 服务器、交换机、防火墙等 192.168.1.209~254 网络设备 9

3.3网络设备

通过对学校现状的具体情况本方案所作出的设备选取方案如下：

1、位于行政楼中心的计算机中心与各职能部门和每个院系设备间选取支持1000Mbps光缆传输的交换机各一台；

2、院系部门使用一台三层交换机；图书馆使用一台三层交换机； 3、图书馆6个阅览室，每个阅览室2台25口以上的交换机；控制室2台25口以上的交换机；

4、下属院系中，每个每个院系10台26口交换机；

5、行政楼3楼放置一台二层的企业级交换机连接各行政楼的交换机，将各个行政楼的网线接到该交换机上，且该交换机支持1000Mbps传输；

6、一台具至少三层的高性能的企业级中心交换机； 7、一台专业防火墙；

8、6台服务器分别负责不同的服务。

类型 服务器 防火墙 品牌 IBM Juniper 型号 BladeCenter HS22 SRX240H 功能及其他 刀片式 、Intel Xeon 5500 2.93GHz 支持UTM:IPS、反病毒、反垃圾邮件、网页过滤 数量 6 1 核心交换机 华为 S5700-24TP-SI(DC) 24口，传输速率10Mbps/100Mbps/1000Mbps 背板带宽 256 Gbps 地址表大小 16K 24口、RJ45 10/100BASE-TX端口, 10/100Base-T端口, 10/100/1000BASE-T端口, 26口 1 三层交换机 思科 WS-C3560-24TS-S 3 二层交换机 端口描述：24个10/100Base-TX自适应 H3C S1526 以太网端口，2个千兆光电复用端口 控制端口：1个Console接口 124

10

3.4主要传输介质介绍

5类非屏蔽双绞线

该类电缆增加了绕线密度，外套一种高质量的绝缘材料，传输频率为100MHz，用于语音传输和最高传输速率为100Mbps的数据传输，主要用于100base-T和10base-T网络，这是最常用的以太网电缆。

1000Base-LX所使用的光纤主要有：62.5nm多模光纤、50nm多模光纤和9nm单模光纤。其中使用多模光纤的最大传输距离为550m，使用单模光纤的最大传输距离为3千米。1000base-LX采用8B/10B编码方式。1000Base-LX使用长波激光信号源，波长为1270nm-1355nm。

100BaseT4 的定义区分了物理拓扑结构和逻辑拓扑结构。使用所有四对电缆，可以实现 100 MBit/s 的通信速度，同时仍然保持 25 MHz 的第 3 类带宽。使用 100BaseT4，每个数据方向始终同时使用 3 对电缆。

3.5核心交换机介绍

华为S5700-24TP-SI(DC) 基本参数 产品类型 企业级交换机 传输速率10Mbps/100Mbps/1000Mbps （Mbps） 交换方式 存储-转发 背板带宽

256（Gbps） 11

地址表大小 16K 产品亮点 支持USB口 支持堆叠，支持MFF，支持虚拟电缆检测(Virtual Cable Test)，支持端口镜像和RSPAN(远程端口镜像)，支持Telnet远程配置、维护，支持SNMPv1/v2/v3，支持RMON，支持网管系统、支持WEB网管特性，支持集群管理HGMP，支持系统日志、分级告警，支持GVRP协议，支持MUX VLAN功能 24 非模块化 100-240V AC，50/60Hz 网管支持 端口数 端口类型 电压(V) 4.网络实施配置过程及命令

4.1创建vlan

sw1(config)#vlan 2

sw1(config-vlan)#name classroom1 sw1(config-vlan)#exit sw1(config)#vlan 3 sw1(config-vlan)#exit

4.2接口划入vlan

sw1(config)#interface fastEthernet 0/1 进入接口

sw1(config-if)#switchport mode access 先定义接口模式为接入 sw1(config-if)#switchport access vlan 2 再接入vlan2中 同时管理多个接口

sw1(config)#interface range fastEthernet 0/3 -4 , fastEthernet 0/9 -12 sw1(config-if-range)#switchport mode access sw1(config-if-range)#switchport access vlan 3 sw1(config-if-range)#exit 4.3 vlan创建子接口

Router(config)#interface fastEthernet 0/0 先开启物理接口 Router(config-if)#no shutdown

Router(config)#interface fastEthernet 0/0.1 Router(config-subif)#encapsulation dot1Q 2

Router(config-subif)#ip address 192.168.1.254 255.255.255.0 Router(config-subif)#exit

Router(config)#interface fastEthernet 0/0.2 Router(config-subif)#encapsulation dot1Q 3

Router(config-subif)#ip address 192.168.2.254 255.255.255.0

12

4.4配置DHCP server

配置：在一台设备上可以创建多个dhcp池塘，但一个池塘只能对应一个广播域；

Router(config)#ip dhcp pool weisuo 创建名为weisuo的dhcp池塘； Router(dhcp-config)#

Router(dhcp-config)#network 192.168.1.0 255.255.255.0 关联接口，定义地址范围；

Router(dhcp-config)#default-router 192.168.1.1 网关地址

Router(dhcp-config)#dns-server 114.114.114.114 DNS 服务器地址

Router(config)#ip dhcp excluded-address 192.168.1.2 192.168.1.253 排除不用下放的地址 192.168.1.2----253 Router#show running-config 查看设备的运行文档

Router(config)#hostname r1 修改默认的主机名 r1(config)#

Switch(config)#no ip domain-lookup 关闭域名解析

4.5 定义ACL----访问控制列表 写法：

1、编号 1—99 标准列表 100-199 扩展列表 删除一条整表消失；

2、命名—任意删除，使用序号后还可以插入

配置：

一、标准的ACL ----由于仅关注源ip地址，故在调用时尽量靠近目标地址，避免误删写法： 【1】编号

r2(config)#access-list 1 deny host 192.168.1.2 一个ip r2(config)#access-list 1 deny 192.168.1.0 0.0.0.255 一个范围

反掩码 r2(config)#access-list 1 permit any 允许匹配

r2(config)#interface fastEthernet 1/0 r2(config-if)#ip access-group 1 out r2(config-if)#ip access-group 1 ? in inbound packets out outbound packets

【2】命名

r2(config)#ip access-list standard wangcai r2(config-std-nacl)#deny host 192.168.1.2 r2(config-std-nacl)#permit any

r2(config)#interface fastEthernet 1/0

13

r2(config-if)#ip access-group wangcai out

二、扩展ACL 编号：

r1(config)#access-list 100 deny ip host 192.168.1.2 host 192.168.3.2 r1(config)#access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

r1(config)#access-list 100 deny ip host 192.168.1.2 192.168.3.0 0.0.0.255

命名：

r1(config)#ip access-list extended pc0-pc3

r1(config-ext-nacl)#deny ip host 192.168.1.2 host 192.168.3.2 r1(config-ext-nacl)#permit ip any any r1(config-ext-nacl)#exit

r1(config)#interface fastEthernet 0/1.1 r1(config-subif)#ip access-group pc0-pc3 in

使用扩展ACL，同时关注目标端口号：

r1(config-ext-nacl)#deny tcp host 192.168.1.2 host 192.168.2.2 eq 23 r1(config-ext-nacl)#deny icmp host 192.168.1.2 host 192.168.2.2

telnet功能：PC可以和设备间通信，被远程登录设备开启登录功能；

r2(config)#username ccna privilege 15 password cisco123 r2(config)#line vty 0

r2(config-line)#login local

4.6 NAT网络地址转换----私有地址和公有地址的转换 分类：静态、动态

分类：一对一（静态）；一对多（动态）；多对多（及可静态、也可动态）

一对一：固定将一个ip地址永久转换为另一个IP地址

r1(config)#ip nat inside source static 192.168.3.2 12.1.1.1 本地 全局

切记：一旦配置了NAT协议后，就必须定义边界路由器上各个接口的方向；r1(config)#interface fastEthernet 1/0 r1(config-if)#ip nat outside r1(config-if)#exit

r1(config)#interface fastEthernet 0/0 r1(config-if)#ip nat inside r1(config-if)#exit

r1(config)#interface fastEthernet 0/1 r1(config-if)#ip nat inside

14

一对多：基于端口号来区分不同的源IP地址；---PAT端口地址转换 r1(config)#access-list 1 permit 192.168.1.0 0.0.0.255 r1(config)#access-list 1 permit 192.168.2.0 0.0.0.255

r1(config)#ip nat inside source list 1 interface fastEthernet 1/0 本地 全局

4.7网络三层架构

接入层：提供端口密度；最近的用户接入（有线、AP）； 汇聚层（分布层）：数据流量的聚合；一般使用多层交换机 核心层：高速转发，NAT

三层架构的核心技术为冗余-----线路、设备、电源（UPS）、网关 使用的部分技术：VLAN/TRUNK/STP/CHNNEL/HSRP/SVI；

管理vlan：switch需要被远程登录，但二层设备无法配置IP地址；故创建SVI—虚拟接口来配置IP地址；

二层交换机均存在一个SVI，该SVI所在VLAN被称为管理vlan；默认处于vlan1；

Switch(config)#interface vlan 1

Switch(config-if)#ip address 192.168.1.1 255.255.255.0 Switch(config-if)#no shutdown

将该SVI转移到其他的vlan中，由于二层交换机仅存在一个SVI，故在开启新的接口时，旧接口自动被关闭； Switch(config)#interface vlan 2

Switch(config-if)#ip address 192.168.2.1 255.255.255.0 Switch(config-if)#no shutdown

Switch(config)#ip default-gateway 192.168.2.250 定义交换机的网关地址；

STP：生成树协议

三层架构---冗余---线路冗余-----二层桥接环路 导致问题： 1、广播风暴 2、MAC表翻滚

3、同数据帧的无限拷贝

以上三个现象最终导致设备过热断电保护；

逻辑阻塞部分接口，致使从源到目标永远均存在一条路径；当最佳路径故障时，阻塞端口自动的活动，来备份链路；

工作过程：每台设备默认均认为本地为root（老大），发出BPDU，每台设备收集到全网所有设备的BPDU后，进行选举--------根网桥、根端口、指定端口、非

15

指定端口；之后，仅root周期2s发送BPDU；--保活

802.1D 最原始的STP协议：

根网桥、根端口、指定端口、非指定端口

根网桥-------每颗生成树实例中有且仅有一台；BPDU中存在BID—桥ID

比较BID=优先级+MAC地址 优先级0---65535 默认32768 MAC地址为SVI接口地址

先比较优先级—数值小优；若优先级一致，比较MAC，数值小优；

根端口-----在每台非根网桥上有且仅有一个；用于接收来自根网桥的BPDU，同时转发用户流量；离根网桥

最近的端口；从根网桥发出BPDU后，BPDU会在每经过一段链路叠

加该链路的cost值-开销值

PID---端口ID---优先级+接口编号 优先级0—255 默认128

1、比较从根网桥发出BPUD基于该接口进入时的cost最小最优—入方向

2、当入向cost值相同时，比较该接口对端的交换机的BID，小优 3、对端设备BID相同，比较该接口对端的PID 4、对端PID相同，比较本地PID小优

指定端口-----在每根物理链路上有且仅有一个，用于转发BPDU，同时转发用户流量；

根网桥上所有端口均为指定端口；

1、比较从根网桥发出BPDU，经过该接口到达该链路时的cost----出方向

2、若出方向cost值相同，比较本地BID，小优 3、本地BID相同，比较本地的PID，小优 4、本地PID相同，直接阻塞接口

非指定端口（阻塞端口）：当以上所有角色全部选举完成后，剩余没有任何角色的端口为非指定端口；

逻辑阻塞，并未被关闭，可以接收到流量，只是不转发；

Cost值： 10M =100 100M=19 1000M=4 10000M=2

端口状态：

1、down 通电后，一旦发出PBDU，进入下一状态

2、侦听（橙色）-----固定15s；所有交换机收发BPDU，完成各种选举；

16

若选举角色为根端口、指定端口进入下一状态，而非指定端口直接进入阻塞状态；

3、学习（橙色）-----固定15s；根端口、指定端可以转发用户的流量，学习这些接口下放PC的MAC，生成

MAC地址表；

4、转发（绿色）-----可以转发用户流量 5、阻塞（橙色）

切记：在收敛过程中，所有的接口均不得转发用户流量；

缺点：

1、收敛速度慢 2、链路利用率低

PVST+：cisco私有；基于每个vlan一颗树；可以进行部分的加速；

在每个vlan中发出该vlan专用的BPDU，选择各种角色；将不同vlan的根网桥放置于不同交换机上，可以实现分流，提高链路利用率的效果；不同vlan发出的BPDU中网桥优先级为32768+VID；人为仅能修改32768部分，且必须以4096为倍数修改；

sw3(config)#spanning-tree vlan 1 root secondary 本地成为该vlan的备份根

sw3(config)#spanning-tree vlan 2 root primary 主根

该为备份根，本地自动下调1倍4096，主根下调2倍；

sw2(config)#int f0/2

sw2(config-if)#spanning-tree portfast 端口加速，用于连接PC的接口，跳过生成树选举；不能用于

SW之间互联的接口；

Channel—通道：交换机与交换机之间；----逻辑的将多个相同带宽及相同双工模

式的多个同一交换机上接口绑定为一个通道，实现带宽叠加的作用；这些物理接口必须处于相同的vlan中，或者均为trunk干道；

sw1(config)#interface range gigabitEthernet 0/1 -2 sw1(config-if-range)#channel-group 1 mode on

多层交换机：一种集成了二层交换机与路由器功能的设备，可以单独使用交换机

或路由器功能；也可以将交换机和路由器的功能合并使用；

17

默认多层交换机仅开启了交换机功能；所有接口为二层接口，属于vlan1； Switch(config)#interface fastEthernet 0/4

Switch(config-if)#no switchport 将接口转移为3层； Switch(config-if)#ip address 192.168.3.1 255.255.255.0 Switch(config)#ip routing 开启路由功能

注：若将多层交换机的接口定义trunk，必须先选择封装协议 sw(config)#int f0/5

sw(config-if)#switchport trunk encapsulation dot1q sw(config-if)#switchport mode trunk

总结：在三层架构中，STP的根网桥应该放置于汇聚层设备处；而网关应该同根网桥在一起；

网关冗余：

HSRP---热备份网关冗余 -----网关切换对于PC是透明的；两台网关设备间周期存在hello包保活；

hello time 3s，hold time 10s；存在活动路由

器和备份路由器；

两台设备共同虚拟出一个网关地址，再为该网关IP地址

虚拟出一个MAC地址；

正常情况下，PC请求网关MAC时由活动路由器来应答，到活动路由器故障时，备份路由基于hello包判断，

之后使用虚拟MAC引导下端交换机切换MAC地址记录；

活动路由器的选举规则：比较优先级；若优先级相同，比较接口IP地址； sw1(config)#interface vlan 2

sw1(config-if)#standby 1 ip 192.168.2.254 虚拟网关IP地址 默认优先级为100；大优；IP地址大优； sw2(config)#interface vlan 2

sw2(config-if)#standby 1 priority 101 抢占默认关闭；

sw2(config-if)#standby 1 preempt 开启抢占

5.网络完成测试结果

18

为了方便演示操作过程，我们假设将所有院系划分为vlan 2，行政部门和图书馆划分为vlan 3，其余的依此类推。

19

通过这样一个边学习边应用的过程，本人完成了校园网的组网的规划工作。考虑到可行性因素，在写这篇论文中，在网络中搜索了大量的资料和阅读了大量的书籍资料，收获也甚多。

但总的来说，该方案仍然存在许多不足之处。如：受开发条件和时间的限制，本方案校园网络的组建模式较简单，涉及的内容深度和一些细节的东西也许欠缺。对网络安全方面考虑较少，尤其是局域网的安全性，本人专业能力的有限。只是粗略的涉及。

这些都是需要完善的地方，该组网离实际还是有相当的距离，需要改进，需要不断地补充和完善。通过这次组网设计我学到了不少新的东西，也发现了大量的问题，有些在设计过程中已经解决，有些还有待今后慢慢学习，如防火墙的配置和设置方面，网络安全方面。总的来说，只要学习就会有更多的问题，有更多的难点，但也会有更多的收获。

20