校園網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)目錄1.緒論 51.1本課題背景和意義 51.2需求分析 51.3建設(shè)目標(biāo) 52.項(xiàng)目規(guī)劃與設(shè)計(jì) 62.1主要設(shè)計(jì)原則 62.1.1層次化原則 62.1.2模塊化原則 62.1.3標(biāo)準(zhǔn)化原則 62.1.4可管理、易操作、靈活性原則 72.2網(wǎng)絡(luò)設(shè)計(jì) 72.2.1組網(wǎng)技術(shù) 72.2.2主干網(wǎng)絡(luò)的設(shè)計(jì) 72.2.3工作組網(wǎng)絡(luò)的設(shè)計(jì) 82.2.3網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 82.3設(shè)備選型 92.4IP地址規(guī)劃 102.4.1IP地址劃分原則 102.4.1IP地址分配 103.項(xiàng)目實(shí)施 123.1ENSP模擬器 123.2設(shè)備部署及調(diào)試 123.2.1交換機(jī)的配置 123.2.2核心交換機(jī)VLAN的接入 133.2.3核心交換機(jī)鏈路聚合接口的配置 133.2.4核心交換機(jī)DHCP的配置 143.2.5核心交換機(jī)生成樹的配置 153.2.6接入交換機(jī)基礎(chǔ)參數(shù)配置 153.3路由器的配置 163.4NAT的配置 173.5系統(tǒng)測(cè)試 174、網(wǎng)絡(luò)安全方案 224.1項(xiàng)目安全管理 224.1.1通過(guò)MPLSVPN確保對(duì)不同類型業(yè)務(wù)及地域之間的有效隔離 224.1.2通過(guò)用戶狀態(tài)進(jìn)行存取控制功能，保證設(shè)備控制的安全 224.1.3限制對(duì)SNMP和telnet用戶訪問(wèn) 224.2風(fēng)險(xiǎn)分析及應(yīng)對(duì)措施 224.3病毒防范 23參考文獻(xiàn) 26

.1.緒論1.1本課題背景和意義伴隨社會(huì)信息化的快速演進(jìn)，互聯(lián)網(wǎng)已經(jīng)稱為經(jīng)濟(jì)發(fā)展的重要一部分，緊跟世界潮流的快速發(fā)展。在1993年，美國(guó)政府發(fā)布推進(jìn)“信息高速公路計(jì)劃”，該項(xiàng)目在全球產(chǎn)生很大的響應(yīng)，許多國(guó)家也隨之推出了各國(guó)自己的基礎(chǔ)信息設(shè)施規(guī)劃。所以說(shuō)，信息化發(fā)展已經(jīng)成為一個(gè)國(guó)家科技實(shí)力與綜合國(guó)力衡量的一個(gè)重要標(biāo)準(zhǔn)。近年來(lái)我國(guó)提出改革教育，把教育作為我國(guó)的立國(guó)之本，建設(shè)一個(gè)較為完整發(fā)達(dá)的國(guó)家教育系統(tǒng)。提高教育的先進(jìn)化、建設(shè)一個(gè)具有現(xiàn)代化高效率的教育體系。在校園內(nèi)增添更具現(xiàn)代化先進(jìn)得教學(xué)設(shè)施，同時(shí)建設(shè)一個(gè)校園網(wǎng)的管理應(yīng)用體系，方便師生們?cè)谛@里共享資源，另外建立起一個(gè)完整的數(shù)據(jù)交換系統(tǒng)，進(jìn)行高速得傳輸數(shù)據(jù)。為了緊跟時(shí)代潮流，充分采用現(xiàn)代化手段來(lái)提高我們的教學(xué)質(zhì)量和教學(xué)效率，為培養(yǎng)具備高素質(zhì)的人才提供一個(gè)良好的學(xué)習(xí)環(huán)境。1.2需求分析本方案設(shè)計(jì)中共有師生員工萬(wàn)人，校區(qū)內(nèi)共有建筑8棟，其中包括教學(xué)樓、實(shí)驗(yàn)室、工業(yè)中心、圖書館、食堂、宿舍等，上網(wǎng)需求人員主要有學(xué)生和教職工。在地理上大致分為教學(xué)區(qū)域和宿舍區(qū)域，按照實(shí)際需求采用較為完善的千兆以太網(wǎng)技術(shù)，同時(shí)設(shè)計(jì)了分層結(jié)構(gòu)的設(shè)計(jì)方案。所有需要使用到的設(shè)備都要具備高效率的互聯(lián)網(wǎng)多媒體應(yīng)用技術(shù)以及多點(diǎn)廣播技術(shù)，為各種多媒體應(yīng)用提供高效的帶寬。校園網(wǎng)絡(luò)需要在同一段時(shí)間被多種網(wǎng)絡(luò)應(yīng)用，包括文件下載、師生間互聯(lián)互通、視頻點(diǎn)播等，這就需要要求我們所規(guī)劃的網(wǎng)絡(luò)具有高性能、高可用性以及安全性能需要保障。更為重要的是由于每年招生影響以及學(xué)校規(guī)模的不斷擴(kuò)展，校園網(wǎng)用戶的數(shù)量急劇增加，這也要求網(wǎng)絡(luò)需要具有很好的擴(kuò)展性，能夠根據(jù)需要，進(jìn)行靈活升級(jí)到高速率的傳輸鏈接上。由于每個(gè)師生用戶都可以使用賬戶密碼在特定的區(qū)域接入校園網(wǎng)和移動(dòng)、聯(lián)通、電信等多種流量的存在，所設(shè)計(jì)的網(wǎng)絡(luò)要能夠在管理后臺(tái)對(duì)每個(gè)接入的用戶使用情況進(jìn)行統(tǒng)計(jì)記錄，而且可以定位到接入的設(shè)備IP以及接入用戶上網(wǎng)時(shí)所連接的端口號(hào)和登錄的認(rèn)證賬戶，并根據(jù)賬戶查到個(gè)人。從而及時(shí)掌握到網(wǎng)絡(luò)使用時(shí)產(chǎn)生的異常并作出緊急解決方案，同時(shí)也限制外校人員進(jìn)入本校的校園網(wǎng)絡(luò)的可能性，增加校園網(wǎng)使用的安全。1.3建設(shè)目標(biāo)在建設(shè)時(shí)，校園為網(wǎng)絡(luò)設(shè)備搭建而啟用的機(jī)房將作為校園的網(wǎng)絡(luò)中心及信息化應(yīng)用的核心地點(diǎn)。在系統(tǒng)設(shè)計(jì)中將利用華為模擬器ENSP建立虛擬化設(shè)備和服務(wù)器設(shè)備，為師生們建設(shè)一個(gè)適應(yīng)業(yè)務(wù)發(fā)展、高速、安全且可靠的綜合網(wǎng)絡(luò)系統(tǒng)，為信息系統(tǒng)安全可靠的連續(xù)運(yùn)行，提供一個(gè)支撐平臺(tái)；最終達(dá)到有利訪問(wèn)網(wǎng)絡(luò)和數(shù)據(jù)集群的目的。在項(xiàng)目建設(shè)過(guò)程中需要考慮到網(wǎng)絡(luò)核心層的快速路由的運(yùn)行和高速轉(zhuǎn)發(fā)能力，保持骨干網(wǎng)絡(luò)層次結(jié)構(gòu)的簡(jiǎn)潔和清晰，在進(jìn)行規(guī)劃分析時(shí)按照地理位置的分布來(lái)進(jìn)行總體的方案完成。2.項(xiàng)目規(guī)劃與設(shè)計(jì)2.1主要設(shè)計(jì)原則2.1.1層次化原則在整個(gè)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)中，為了一個(gè)易于管理的、安全可靠的、具備高性能網(wǎng)絡(luò)的搭建，我們將采用層次化的方法，將網(wǎng)絡(luò)分為核心層、匯聚層、接入層三個(gè)層次進(jìn)行設(shè)計(jì)。這種層次結(jié)構(gòu)的劃分方法也是目前國(guó)內(nèi)外網(wǎng)絡(luò)建設(shè)中普遍采用的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在這種結(jié)構(gòu)下，兩個(gè)層次的網(wǎng)絡(luò)設(shè)備各司其職又相互協(xié)同工作，從而有效保證了整個(gè)網(wǎng)絡(luò)的高可靠性、高性能、高安全性和靈活的擴(kuò)展性。在詳細(xì)介紹架構(gòu)之前，首先必須了解網(wǎng)絡(luò)的不同“層”及其所實(shí)現(xiàn)的功能，這是十分重要的。2.1.2模塊化原則為了滿足校園網(wǎng)絡(luò)的高可用性、高安全性、可擴(kuò)展性，應(yīng)采用模塊化的方式對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行安全區(qū)域的劃分，從而使連接在網(wǎng)絡(luò)上的各個(gè)應(yīng)用系統(tǒng)，實(shí)現(xiàn)一定程度的隔離。通過(guò)在局域網(wǎng)第三層設(shè)備上要在不同的區(qū)域設(shè)置vlan，以實(shí)現(xiàn)區(qū)域之間的相互訪問(wèn)。采用模塊化的方式對(duì)網(wǎng)絡(luò)進(jìn)行區(qū)域劃分有兩個(gè)目的：一方面能夠?qū)W(wǎng)絡(luò)各功能區(qū)進(jìn)行隔離，將可能的網(wǎng)絡(luò)攻擊和廣播流量限制在區(qū)域內(nèi)，保證全網(wǎng)的高可用性；另一方面在實(shí)施安全防護(hù)措施時(shí)可以逐個(gè)模塊地進(jìn)行評(píng)估和實(shí)施，而不必在一個(gè)階段完成整個(gè)安全體系結(jié)構(gòu)；而且更容易實(shí)現(xiàn)路由的匯聚和控制，提高網(wǎng)絡(luò)的擴(kuò)展性，并更容易進(jìn)行網(wǎng)絡(luò)管理和故障診斷。2.1.3標(biāo)準(zhǔn)化原則降低網(wǎng)絡(luò)運(yùn)營(yíng)成本是我們的目標(biāo)之一，而標(biāo)準(zhǔn)化是其中的有效手段。標(biāo)準(zhǔn)化設(shè)計(jì)原則體現(xiàn)在網(wǎng)絡(luò)設(shè)計(jì)的很多方面。例如有配置標(biāo)準(zhǔn)化，網(wǎng)絡(luò)設(shè)計(jì)中所包含到的各種管理信令、接口規(guī)程、協(xié)議等須符合國(guó)際上規(guī)定的標(biāo)準(zhǔn)，便于擴(kuò)展和網(wǎng)絡(luò)的互連互通，設(shè)備的命名，端口的描述等需要符合國(guó)家或本企業(yè)行業(yè)標(biāo)準(zhǔn)，同等設(shè)備的共性配置要求盡量一致，避免由于不同的工程師的習(xí)慣和風(fēng)格的不同而造成配置命令相差較多，產(chǎn)生不必要的故障隱患。IP地址的分配原則標(biāo)準(zhǔn)化，IP的地址的分配要符合整體網(wǎng)絡(luò)的總分配原則，比如IP網(wǎng)地址段的選擇、設(shè)備互聯(lián)地址的選擇、網(wǎng)關(guān)地址的選擇等都要遵循一致的標(biāo)準(zhǔn)，IP地址的分配在某種意義上來(lái)說(shuō)是藝術(shù)而不是科學(xué)，好的地址分配可以方便運(yùn)維管理。協(xié)議標(biāo)準(zhǔn)化上支持國(guó)際上各種通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議和標(biāo)準(zhǔn)等，支持大型的動(dòng)態(tài)路由協(xié)議，支持策略路由功能。保證與其他網(wǎng)絡(luò)之間的平滑連接。在設(shè)備選型標(biāo)準(zhǔn)化上面，在相同的功能模塊里，盡量采用一致的設(shè)備選型，統(tǒng)一IOS的版本，使得管理和委會(huì)一個(gè)功能模塊和管理多個(gè)完全類似的模塊具有可復(fù)制性，另外，選擇較少種型號(hào)的設(shè)備，可以在模塊之間、設(shè)備引擎之間起到另外備份的好處，只需要提供較少的備品備件，有效控制總體的擁有成本。2.1.4可管理、易操作、靈活性原則網(wǎng)絡(luò)管理要由工作人員來(lái)完成，如果操作過(guò)程太復(fù)雜的話，對(duì)設(shè)備人員的要求也比較高，這也就降低了網(wǎng)絡(luò)可用性和安全性。同時(shí)，所采用的措施不能影響系統(tǒng)正常運(yùn)行。設(shè)計(jì)方案應(yīng)該盡量采用最新的安全技術(shù)，實(shí)現(xiàn)安全管理的自動(dòng)化，以減輕安全管理的負(fù)擔(dān)。同時(shí)減小因?yàn)楣芾砩系氖杪┒鴮?duì)系統(tǒng)安全造成的威脅，一個(gè)過(guò)度復(fù)雜并且很難管理的網(wǎng)絡(luò)就談不上網(wǎng)絡(luò)的可用性和可擴(kuò)展性。不僅如此，網(wǎng)絡(luò)必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要做到高適應(yīng)性、易改性。因此應(yīng)充分考慮今后應(yīng)用和網(wǎng)絡(luò)安全協(xié)調(diào)發(fā)展的需求，從而避免因只滿足了系統(tǒng)安全要求，而給網(wǎng)絡(luò)拓展帶來(lái)障礙的情況發(fā)生。在進(jìn)行實(shí)施的時(shí)候，網(wǎng)絡(luò)技術(shù)體系結(jié)構(gòu)的制定必須與網(wǎng)絡(luò)的應(yīng)用需求相一致，在設(shè)計(jì)網(wǎng)絡(luò)方案時(shí)需要充分考慮在實(shí)施中的風(fēng)險(xiǎn)及實(shí)施周期和成本，對(duì)潛在的風(fēng)險(xiǎn)做了充分的分析并給出相應(yīng)的解決對(duì)策；采用先進(jìn)技術(shù)的同時(shí)，保證這些技術(shù)已經(jīng)在相似的環(huán)境中成功應(yīng)用過(guò)。網(wǎng)絡(luò)規(guī)劃作為整體規(guī)劃是必要的，但是實(shí)施一定是分步驟的，所以網(wǎng)絡(luò)方案必須能夠分步實(shí)施。2.2網(wǎng)絡(luò)設(shè)計(jì)以校園網(wǎng)絡(luò)環(huán)境、地理位置、建設(shè)規(guī)模要求等為條件，結(jié)合現(xiàn)代先進(jìn)技術(shù)與信息發(fā)展要求，把整個(gè)校園網(wǎng)絡(luò)構(gòu)架分成兩個(gè)部分。一個(gè)是主干網(wǎng)，一個(gè)是工作組網(wǎng)。2.2.1組網(wǎng)技術(shù)組網(wǎng)技術(shù)就是網(wǎng)絡(luò)組建技術(shù)，分為以太網(wǎng)組網(wǎng)技術(shù)和ATM局域網(wǎng)組網(wǎng)技術(shù)。千兆以太網(wǎng)的組網(wǎng)技術(shù)比較簡(jiǎn)單，能夠有效的進(jìn)行網(wǎng)絡(luò)管理等工作，較為符合組網(wǎng)簡(jiǎn)單化的特點(diǎn)，并且可以高效的完成組網(wǎng)。千兆以太網(wǎng)不僅包含傳統(tǒng)網(wǎng)絡(luò)的核心技術(shù)特點(diǎn)，還具有很長(zhǎng)的歷史研發(fā)經(jīng)驗(yàn)和成熟的組網(wǎng)技術(shù)，在價(jià)格方面也相對(duì)較低。ATM網(wǎng)在管理與維護(hù)上技術(shù)較為復(fù)雜，不僅僅含有MPOA交換虛擬線路還含有PNNI等網(wǎng)絡(luò)技術(shù)，當(dāng)設(shè)備產(chǎn)生問(wèn)題故障時(shí)，工作人員通常很難能夠迅速精準(zhǔn)的找到出問(wèn)題的地方。ATM技術(shù)還處于不斷地優(yōu)化演進(jìn)上，分層的路由階層也提供了彈性需求，確保應(yīng)用使用時(shí)的低容錯(cuò)可能性并且可以高效的完成組網(wǎng)。2.2.2主干網(wǎng)絡(luò)的設(shè)計(jì)千兆以太網(wǎng)不僅包含傳統(tǒng)網(wǎng)絡(luò)的核心技術(shù)特點(diǎn)，還具有悠久的歷史研發(fā)經(jīng)驗(yàn)和成熟的組網(wǎng)技術(shù)，成本方面也相對(duì)較低。主干網(wǎng)的組成主要是交換機(jī)和在每個(gè)結(jié)點(diǎn)中的主干節(jié)點(diǎn)設(shè)備以及用來(lái)連接設(shè)備的光纖三種主要設(shè)備。對(duì)于本方案的核心網(wǎng)絡(luò)——主干網(wǎng)，在進(jìn)行組網(wǎng)的過(guò)程中需要考慮高速傳輸這一性能，并且按照現(xiàn)代信息技術(shù)發(fā)展的要求，在現(xiàn)有資金充分的條件下完成組網(wǎng)。雖然目前的ATM網(wǎng)經(jīng)過(guò)不斷發(fā)展已經(jīng)有著完善的主干網(wǎng)組網(wǎng)架構(gòu)，卻受到項(xiàng)目投入資金和管理技術(shù)上的限制，所以目前大部分的網(wǎng)絡(luò)組網(wǎng)技術(shù)使用的是以太網(wǎng)。并且在規(guī)劃校園網(wǎng)的時(shí)候，也更加建議使用這個(gè)具有高效率的以太網(wǎng)。2.2.3工作組網(wǎng)絡(luò)的設(shè)計(jì)交換式以太網(wǎng)具有高速運(yùn)行和靈活拓展的性能，在進(jìn)行數(shù)據(jù)傳輸時(shí)具備高帶寬和低延遲的優(yōu)點(diǎn)，這些也都符合校園網(wǎng)組網(wǎng)的需求，為以后校園規(guī)模擴(kuò)展時(shí)提供延展性能需求，且相對(duì)于ATM、FDDI技術(shù)而言，交換式以太網(wǎng)的成本也較低，適應(yīng)于工作組的網(wǎng)絡(luò)構(gòu)建。同時(shí)，對(duì)于組網(wǎng)式的拓?fù)浣Y(jié)構(gòu)，可以考慮星型網(wǎng)以保證整個(gè)網(wǎng)絡(luò)的安全可靠。2.2.3網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)一個(gè)校園網(wǎng)的構(gòu)建需要有路由器、交換機(jī)、防火墻等各種承擔(dān)不同功能的設(shè)備。校園網(wǎng)內(nèi)部搭建的時(shí)候選擇交換式以太網(wǎng)，通過(guò)ASDL和DDN等接入方式進(jìn)行組網(wǎng)。對(duì)于校園網(wǎng)外部采用中國(guó)移動(dòng)、中國(guó)電信等外網(wǎng)接入到公用網(wǎng)絡(luò)中，校際之間按照標(biāo)準(zhǔn)互聯(lián)網(wǎng)方式進(jìn)行連接。同時(shí)，為了保證網(wǎng)絡(luò)的安全，在內(nèi)網(wǎng)與外網(wǎng)之間設(shè)計(jì)防火墻，保證上網(wǎng)過(guò)程中的數(shù)據(jù)安全，確保上網(wǎng)的安全可靠。在拓?fù)浣Y(jié)構(gòu)規(guī)劃上，要按照可拓展性和靈活性，根據(jù)不同的用戶需求提供出不同的訪問(wèn)路徑，最終實(shí)現(xiàn)高帶寬、以及24小時(shí)的不間斷運(yùn)行。并且流量合理控制以及支持多種協(xié)議，同時(shí)還要具有單點(diǎn)傳輸和多點(diǎn)廣播數(shù)據(jù)流的性能。為了滿足以上的網(wǎng)絡(luò)規(guī)劃特征，在進(jìn)行網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)時(shí)，考慮使用分層的設(shè)計(jì)理念以及考慮到星型、樹型或者交叉型的結(jié)構(gòu)性且易于管理的拓?fù)浣Y(jié)構(gòu)。對(duì)于本次項(xiàng)目所設(shè)計(jì)的校園拓?fù)浣Y(jié)構(gòu)圖如下圖2-2所示：圖2-2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖2.3設(shè)備選型為了實(shí)現(xiàn)整體網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本次方案中所選取的設(shè)備都是來(lái)自華為公司的。整個(gè)系統(tǒng)使用同一系列設(shè)備的主要好處是可以在需要不同協(xié)議時(shí)，實(shí)現(xiàn)不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。本次網(wǎng)絡(luò)建設(shè)要商檢的設(shè)備清單如表2-1所示：表2-1上架設(shè)備清單表設(shè)備名稱設(shè)備品牌設(shè)備型號(hào)設(shè)備數(shù)量核心交換機(jī)華為S57002匯聚交換機(jī)華為S57003接入交換機(jī)華為S370010路由器華為AR32601服務(wù)器華為Server3防火墻華為USG55001把選擇的設(shè)備以及物理鏈路搭建好后，做好配置網(wǎng)絡(luò)，以及進(jìn)行測(cè)試。2.4IP地址規(guī)劃2.4.1IP地址劃分原則在進(jìn)行大型或者中型網(wǎng)絡(luò)規(guī)劃時(shí)，VLAN的劃分時(shí)其中必不可少的一個(gè)步。網(wǎng)絡(luò)計(jì)算機(jī)各個(gè)節(jié)點(diǎn)間進(jìn)行互相通信時(shí)所使用的標(biāo)識(shí)符就是網(wǎng)絡(luò)地址，在網(wǎng)絡(luò)中使用不同網(wǎng)絡(luò)協(xié)議時(shí)，它所展現(xiàn)的網(wǎng)絡(luò)地址形式也不一樣，在TCP/IP協(xié)議中的就是IP地址。IP地址時(shí)一個(gè)有著32位的二進(jìn)制數(shù)，常見的表示形式是分成四個(gè)部分的十進(jìn)制點(diǎn)分形式。在正常使用的IP地址范圍內(nèi)，吧IP地址劃分成A、B、C三類，在每類地址上可以分成網(wǎng)絡(luò)標(biāo)識(shí)符和主機(jī)編號(hào)兩個(gè)部分，并且地址中的網(wǎng)絡(luò)標(biāo)識(shí)符和主機(jī)編號(hào)的位數(shù)是不一樣的。A類是8位表示網(wǎng)絡(luò)，24位表示主機(jī)，B類網(wǎng)絡(luò)為16位，主機(jī)為16位；C類網(wǎng)絡(luò)為24類，主機(jī)為8類。在整體網(wǎng)絡(luò)中，一個(gè)網(wǎng)絡(luò)接入點(diǎn)的IP地址必須是唯一的且不相同的，國(guó)際上專門為此開設(shè)一個(gè)機(jī)構(gòu)負(fù)責(zé)各個(gè)節(jié)點(diǎn)的IP地址分配。所分配的IP地址是可以靈活通用分配的。由于剛開發(fā)TCP/IP協(xié)議時(shí)，沒(méi)有想到IP地址需求會(huì)這么大，所以只創(chuàng)建了只有32位的IP地址，導(dǎo)致現(xiàn)今地址短缺的現(xiàn)象出現(xiàn)。目前為了解決這一問(wèn)題，因特網(wǎng)的管理機(jī)構(gòu)專門建立了一些保留地址，這些保留地址只能用于機(jī)構(gòu)或者企業(yè)的內(nèi)部，需要使用地址翻譯的技術(shù)來(lái)實(shí)現(xiàn)訪問(wèn)外網(wǎng)。2.4.1IP地址分配在進(jìn)行IP地址分配時(shí)，采用了VLSM技術(shù)來(lái)實(shí)現(xiàn)，通過(guò)使用該技術(shù)，并不僅可以為日后的網(wǎng)絡(luò)擴(kuò)展預(yù)留出大量空間，而且經(jīng)過(guò)OSPF路由協(xié)議，結(jié)構(gòu)化層次化的IP地址更加方便管理人員對(duì)網(wǎng)絡(luò)進(jìn)行維護(hù)和管理。同時(shí)，通過(guò)匯聚邊界路由器來(lái)減少路由器更新時(shí)占用的空間，來(lái)提高網(wǎng)絡(luò)的性能。在本校園網(wǎng)的設(shè)計(jì)中，整個(gè)校園網(wǎng)的VLAN及IP地址的編制方案如表2-2-4所示：覆蓋區(qū)WLANIP地址設(shè)備互聯(lián)設(shè)備互聯(lián)食堂WLAN10行政樓WLAN1教學(xué)樓WLAN1實(shí)驗(yàn)樓WLAN13男生宿舍WLAN14女生宿舍WLAN15教師員工宿舍WLAN16工業(yè)中心WLAN17工業(yè)中心2WLAN18用于公網(wǎng)用于公網(wǎng)表2-2-4IP地址規(guī)劃表

3.項(xiàng)目實(shí)施3.1ENSP模擬器本項(xiàng)目所設(shè)計(jì)的校園方案是在模擬軟件的基礎(chǔ)上實(shí)現(xiàn)的，采用的是華為公司設(shè)計(jì)的ENSP軟件。ENSP（EnterpriseNetworkSimulationPlatform）是一款由華為提供的免費(fèi)的、可拓展的、圖形化操作的網(wǎng)絡(luò)仿真工具平臺(tái)，主要對(duì)企業(yè)網(wǎng)絡(luò)路由器、交換機(jī)進(jìn)行軟件仿真，呈現(xiàn)真實(shí)設(shè)備實(shí)景，支持大型網(wǎng)絡(luò)模擬，讓廣大用戶有機(jī)會(huì)在沒(méi)有真實(shí)設(shè)備的情況下能夠模擬演練，學(xué)習(xí)網(wǎng)絡(luò)技術(shù)。通過(guò)使用ENSP模擬器時(shí)可以實(shí)現(xiàn)高度仿真，模擬華為AR路由器、X7系列交換機(jī)的大部分特性以及模擬PC終端、Hub云端、幀交換機(jī)等。并且華為命令行的學(xué)習(xí)操作比較簡(jiǎn)單，可以快速進(jìn)行仿真設(shè)備的配置，從而模擬大規(guī)模設(shè)備組。3.2設(shè)備部署及調(diào)試部署設(shè)備時(shí)根據(jù)分層設(shè)計(jì)原則，配置核心層、接入層、匯聚層三個(gè)層次。并按照規(guī)劃的網(wǎng)絡(luò)拓?fù)湓贓NSP上分配路由器、交換機(jī)、PC等網(wǎng)絡(luò)設(shè)備。然后按照交換機(jī)接口及vlan規(guī)劃表對(duì)設(shè)備進(jìn)行連線并增加網(wǎng)絡(luò)配置說(shuō)明信息。在進(jìn)行配置時(shí)，實(shí)現(xiàn)所有設(shè)備通過(guò)三層交換機(jī)路由并且自動(dòng)獲取IP地址，同時(shí)通過(guò)出口路由NAT轉(zhuǎn)換實(shí)現(xiàn)公網(wǎng)的訪問(wèn)，用戶用過(guò)DHCP動(dòng)態(tài)獲取到IP地址，同時(shí)對(duì)核心交換機(jī)配置ACL限制不同區(qū)域間的網(wǎng)絡(luò)訪問(wèn)。對(duì)于內(nèi)網(wǎng)通過(guò)OSPF實(shí)現(xiàn)互通，核心設(shè)備通過(guò)VRRP和鏈路聚合實(shí)現(xiàn)冗余并分別生成樹主備根橋。3.2.1交換機(jī)的配置核心交換機(jī)主要作用是實(shí)現(xiàn)主干網(wǎng)之間的高效傳輸，提供高速的三層交換骨干。作為所有流量的最終承受者和匯聚著，要把核心層的交換機(jī)設(shè)計(jì)作為重點(diǎn)。為了提高上網(wǎng)的可靠與安全，網(wǎng)絡(luò)設(shè)計(jì)采用“雙核心虛擬化”的交換網(wǎng)拓?fù)浣Y(jié)構(gòu)。所以核心交換機(jī)的性能指標(biāo)需要滿足整個(gè)系統(tǒng)應(yīng)用的大量數(shù)據(jù)傳輸轉(zhuǎn)發(fā)需求，最大限度地集成可拓展性和運(yùn)營(yíng)靈活性，符合基地網(wǎng)絡(luò)規(guī)劃和未來(lái)性能拓展的需要。同時(shí)核心層交換機(jī)不能進(jìn)行終端系統(tǒng)的連接，少用或不使用影響高速交換性能的應(yīng)用功能，也就是說(shuō)盡量在保證用戶需求下，設(shè)置交換機(jī)的功能。原則上，交換機(jī)不配置低俗接口的裝置，需要滿足電信級(jí)別的要求，滿足NEBS機(jī)架規(guī)范，支持關(guān)鍵部分的冗余。3.2.2核心交換機(jī)VLAN的接入本方案設(shè)計(jì)的核心交換機(jī)采用兩個(gè)三層交換機(jī)，該校園網(wǎng)分成多個(gè)VLAN并接在交換機(jī)的各個(gè)接口上面?；诙丝赩LAN的劃分是我們平常使用的一種VLAN劃分方法，有效地被界內(nèi)廣泛應(yīng)用。這種劃分方法是以太網(wǎng)交換機(jī)的交換端口來(lái)作為劃分依據(jù)的。具有簡(jiǎn)單操作的優(yōu)點(diǎn)，只要將所有需要配置的端口定義到對(duì)應(yīng)的VLAN組就行。適合用在大小型網(wǎng)絡(luò)的規(guī)劃中，但它也有缺點(diǎn)，只要用戶離開了原來(lái)的端口，到了一個(gè)新的交換機(jī)得某個(gè)端口都必須重新定義。再進(jìn)行配置是，首先就要進(jìn)入系統(tǒng)試圖，關(guān)閉信息中心，并修改設(shè)備名稱，然后才能對(duì)VLAN進(jìn)行配置。對(duì)于核心交換機(jī)的具體配置如下圖3-1所示：圖3-1核心交換機(jī)VLAN的接入3.2.3核心交換機(jī)鏈路聚合接口的配置端口的鏈路聚合提供冗余備份鏈路，它是指兩臺(tái)交換機(jī)之間通過(guò)武力上的多個(gè)端口進(jìn)行連接，將多條鏈路聚合成一個(gè)邏輯性的鏈路。從而增大鏈路帶寬，解決交換網(wǎng)絡(luò)中因帶寬引起的網(wǎng)絡(luò)堵塞問(wèn)題。多條物理鏈路間可以備份冗余，所以無(wú)論其中那兒一條鏈路斷開時(shí)，都不會(huì)影響到其他鏈路的正常運(yùn)行。核心交換機(jī)的鏈路聚合接口就配置如下圖3-2所示：圖3-2核心交換機(jī)鏈路聚合接口的配置3.2.4核心交換機(jī)DHCP的配置DHCP的配置（動(dòng)態(tài)主機(jī)配置協(xié)議）通常被應(yīng)用在大型的局域網(wǎng)絡(luò)環(huán)境中，主要作用是集中的管理、分配IP地址，使網(wǎng)絡(luò)環(huán)境中的主機(jī)動(dòng)態(tài)的獲得IP地址Gateway地址、DNS服務(wù)器地址等信息，并能夠提升地址的使用率。具體配置代碼如下圖3-3所示：圖3-3DHCP的配置3.2.5核心交換機(jī)生成樹的配置生成樹的作用：當(dāng)校區(qū)網(wǎng)絡(luò)的交換機(jī)數(shù)量增多、交換機(jī)間鏈路增加時(shí)，交換網(wǎng)絡(luò)的復(fù)雜性可能會(huì)造成交換環(huán)路問(wèn)題，這需要通過(guò)在各交換機(jī)上運(yùn)行生成樹協(xié)議（SpanningTreeProtocol，STP）來(lái)解決。從而防止廣播風(fēng)暴，起到備份數(shù)據(jù)，使mac地址表穩(wěn)定下來(lái)。具體配置生成樹優(yōu)先級(jí)如下圖3-4所示：圖3-4生成樹的配置3.2.6接入交換機(jī)基礎(chǔ)參數(shù)配置接入層是最終用戶與網(wǎng)絡(luò)的接口，提供即插即用的特性，同時(shí)應(yīng)該非常易于使用和維護(hù)。另外，現(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（VirtualLAN，VLAN）的概念。VLAN將廣播域限制在單個(gè)VLAN內(nèi)部，減小了各VLAN間主機(jī)的廣播通信對(duì)其他VLAN的影響。在VLAN間需要通信的時(shí)候，可以利用VLAN間路由技術(shù)來(lái)實(shí)現(xiàn)。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時(shí)，可以使用VLAN中繼協(xié)議（VlanTrunkingProtocol，VTP）簡(jiǎn)化管理，它只需在單獨(dú)一臺(tái)交換機(jī)上定義所有VLAN。然后通過(guò)VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。通過(guò)VTP的設(shè)置，可以更好的將將匯聚層的vlan信息導(dǎo)入到接入層，只需要將不同的端口加入到所劃分的vlan中，就能實(shí)現(xiàn)相互間的通信。具體接入層交換機(jī)的配置如下圖3-5所示：圖3-5接入層交換機(jī)基礎(chǔ)參數(shù)配置3.3路由器的配置本期項(xiàng)目中，采用OSPF作為骨干層、匯聚層和接入層網(wǎng)絡(luò)的內(nèi)部IGP路由協(xié)議。OSPF是一種收斂迅速、消耗系統(tǒng)資源較少的高效的鏈路狀態(tài)路由協(xié)議，在很多大型的骨干網(wǎng)的環(huán)境中得到了成功的應(yīng)用。OSPF里最重要的概念之一是存在層次和區(qū)域。OSPF允許把連續(xù)網(wǎng)絡(luò)匯集起來(lái)，以進(jìn)行分組。這樣的組，和路由器一起維護(hù)到內(nèi)含網(wǎng)絡(luò)的接口，稱為區(qū)域(area)。每個(gè)區(qū)域獨(dú)立運(yùn)行基本鏈路狀態(tài)路由算法的一個(gè)副本。該協(xié)議從所有可以使用的路由器中把所有鏈路的狀態(tài)信息收集起來(lái)，從而構(gòu)建網(wǎng)絡(luò)拓?fù)鋱D。使用Dijkstra算法算出到達(dá)每一網(wǎng)絡(luò)的最短路徑，并在收到鏈路反饋的變化情況時(shí)計(jì)算出收斂新的無(wú)環(huán)路拓?fù)?。?duì)于其具體配置代碼如圖3-6所示： 圖3-6路由器的配置3.4NAT的配置目前IP地址的分配資源非常短缺，但我們又不可能給校園網(wǎng)內(nèi)的所有接入點(diǎn)都分配一個(gè)可以進(jìn)行路由的公有IP地址。為了解決這個(gè)問(wèn)題，滿足所有工作站訪問(wèn)Internet的需求，必須采用NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)。對(duì)于NAT的具體配置如下圖3-7所示：圖3-7NAT的具體配置3.5系統(tǒng)測(cè)試前面幾節(jié)對(duì)如何設(shè)計(jì)一個(gè)較為完整的校園網(wǎng)網(wǎng)絡(luò)進(jìn)行了詳細(xì)的介紹。當(dāng)校園網(wǎng)初具規(guī)模后，還應(yīng)該對(duì)校園網(wǎng)的整體運(yùn)行情況做一下細(xì)致的測(cè)試和評(píng)估。在這里我們通過(guò)ping、tracert、arp等網(wǎng)絡(luò)命令，來(lái)測(cè)試設(shè)備間的連通性、數(shù)據(jù)包的轉(zhuǎn)發(fā)路徑。（1）對(duì)于內(nèi)部網(wǎng)絡(luò)互訪的測(cè)試結(jié)果如下圖3-8所示：圖3-8測(cè)試內(nèi)部互訪結(jié)果圖（2）測(cè)試不同網(wǎng)段間互訪的結(jié)果如下圖3-9所示：圖3-9測(cè)試不同網(wǎng)段互訪結(jié)果圖（3）測(cè)試訪問(wèn)公網(wǎng)的結(jié)果如下圖3-10所示：圖3-10測(cè)試訪問(wèn)公網(wǎng)結(jié)果圖（4）查看OSPF路由表通過(guò)輸入命令displayiprouting-tableprotocolospt來(lái)查看OSPF的路由表。具體操作如下圖3-11所示：圖3-11查看OSPF路由表結(jié)果圖（5）查看生成樹狀態(tài)命令displaystpbrief用于顯示生成樹總結(jié)，包括交換機(jī)的VLAN上的根網(wǎng)橋、端口快速特性是否啟用、處于生成樹各個(gè)端口狀態(tài)的端口數(shù)量等信息.具體配置如下圖3-12所示：圖3-12生成樹狀態(tài)圖（6）測(cè)試ACL限制各區(qū)域網(wǎng)絡(luò)互訪命令showaccess-list用于顯示所有已定義的訪問(wèn)控制列表內(nèi)容和命令情況。其具體的配置如下圖3-13所示：圖3-13測(cè)試ACL限制各區(qū)域網(wǎng)絡(luò)互訪

.4、網(wǎng)絡(luò)安全方案4.1項(xiàng)目安全管理4.1.1通過(guò)MPLSVPN確保對(duì)不同類型業(yè)務(wù)及地域之間的有效隔離VPN技術(shù)具有天然的安全特性，不同的VPN用戶之間由于無(wú)法獲知對(duì)方的路由信息，從而可以理解為存在于不同的私有網(wǎng)絡(luò)之中，而MPLSVPN由于在公網(wǎng)中使用LSP隧道進(jìn)行標(biāo)簽交換，較之普通的IP轉(zhuǎn)發(fā)具有更好的安全級(jí)別。本次項(xiàng)目通過(guò)規(guī)劃兩大類VPN（實(shí)時(shí)與非實(shí)時(shí)），確保兩種不同業(yè)務(wù)之間的設(shè)備無(wú)法獲得對(duì)方的路由信息。在同一種業(yè)務(wù)中用過(guò)對(duì)MPLSVPN中RT（Route-Target）屬性的合理設(shè)置，可以保證即使是相同的業(yè)務(wù)，如果沒(méi)有互訪需求，從而無(wú)法相互訪問(wèn)。4.1.2通過(guò)用戶狀態(tài)進(jìn)行存取控制功能，保證設(shè)備控制的安全華為系列路由器和交換機(jī)的命令行提供分級(jí)保護(hù)功能，禁止低優(yōu)先級(jí)的用戶更改設(shè)備的重要配置，進(jìn)入高優(yōu)先級(jí)模式時(shí)進(jìn)行密碼驗(yàn)證。用戶在進(jìn)行使用時(shí)，系統(tǒng)會(huì)對(duì)用戶級(jí)別與命令優(yōu)先級(jí)進(jìn)行對(duì)比，若是用戶優(yōu)先級(jí)大于命令優(yōu)先級(jí)，才可以進(jìn)行使用，反之則不能。不過(guò)用戶可以自行調(diào)整命令的優(yōu)先級(jí)，以便在不同的情況下正常進(jìn)行操作。4.1.3對(duì)SNMP和telnet用戶訪問(wèn)進(jìn)行控制遠(yuǎn)程登陸用戶充斥著更多的風(fēng)險(xiǎn)，為了能使操作更加的安全，設(shè)定了三種驗(yàn)證方式，分別為本地驗(yàn)證、AAA驗(yàn)證三級(jí)驗(yàn)證以及LINE驗(yàn)證，這三種驗(yàn)證方式代表著不同的用戶級(jí)別，操作權(quán)限都是有區(qū)別的，其對(duì)應(yīng)著不同類型的用戶。還有其他的方式來(lái)對(duì)Telnet用戶進(jìn)行限制，比如對(duì)VTY類型LINE的呼入呼出上進(jìn)行調(diào)整來(lái)對(duì)telnet用戶訪問(wèn)進(jìn)行控制。還有向PE設(shè)備進(jìn)行設(shè)置ACL,只能在源地址上進(jìn)行使用并只有這一個(gè)公網(wǎng)，VPN內(nèi)部用戶所使用的私網(wǎng)地址全部禁止登陸，這種方法雖然簡(jiǎn)單，但是可以有效的防止VPN用戶使用CE來(lái)非法訪問(wèn)PE設(shè)備。配置團(tuán)體名限制對(duì)設(shè)備的SNMP訪問(wèn)SNMP采用團(tuán)體名認(rèn)證，與設(shè)備認(rèn)可的團(tuán)體名不符的SNMP報(bào)文將被丟棄。SNMP團(tuán)體有以字符串來(lái)命名，成為團(tuán)體名。不同團(tuán)體可具有只讀或讀寫訪問(wèn)模式。具有只讀限制的團(tuán)體只能對(duì)設(shè)備信息進(jìn)行查詢，而具有讀寫權(quán)限的團(tuán)體還可以對(duì)設(shè)備進(jìn)行配置。4.2風(fēng)險(xiǎn)分析及應(yīng)對(duì)措施整個(gè)系統(tǒng)在運(yùn)行時(shí)，為了確保安全，以確保系統(tǒng)的安全作為基礎(chǔ)。鑒于網(wǎng)絡(luò)系統(tǒng)要支撐到整個(gè)校園的所有網(wǎng)絡(luò)應(yīng)用服務(wù)以及業(yè)務(wù)交流實(shí)現(xiàn)，這就需要我們創(chuàng)建的網(wǎng)絡(luò)要具有高的安全性以及可靠性，，各個(gè)階層的網(wǎng)絡(luò)應(yīng)該具備對(duì)網(wǎng)絡(luò)控制監(jiān)督，和維護(hù)管理的功能。在進(jìn)行搭建的時(shí)候，要適當(dāng)考慮關(guān)鍵設(shè)備和線路的冗余，能夠進(jìn)行在線修復(fù)，更換和擴(kuò)充。要具有為防止異常情況所必須的保護(hù)性