基于校園網技術改造的方案和設計

廣州大學松田學院2020屆畢業(yè)論文基于校園網技術改造的方案和設計摘要：網絡的發(fā)展處于百花齊放的狀態(tài)，同時推動著校園網的建設，不斷出現嶄新的技術，大量適應當今需求的設備慢慢顯現，校園網的構建也獲得足夠的發(fā)展。即使如此，用戶的數量是在不斷增加的，應用程序也在不斷更新，所以早期構建的校園網已經無法滿足當今的需求,現在校園網應該能夠讓管理工作順利進行,也能夠為提供非?？煽?、安全的用網環(huán)境。本文以某職業(yè)技術學院為背景，對校園網建設現狀進行分析，總結校園網中存在的不足以及問題，結合院校的需求進行分析，設計了一套在安全性、可靠性、穩(wěn)定性等方面，都符合某職業(yè)技術學院校園網需求的改造方案。對校園網現狀和存在的問題進行分析后，總結出校園網存在以下問題：網絡出現較大延遲，網絡性能不穩(wěn)定，網絡設備老化，不符合當今對校園網的要求；單核心的網絡結構不具有可靠性和穩(wěn)定性等等，此次改造方案設計用到許多相應技術，如防火墻技術，鏈路聚合技術、ACL技術、VRRP技術等，這些技術都會在文中詳細的介紹。在現網中搭建該職業(yè)技術學院的網絡拓撲圖，方案里提到的技術會在各個設備通過配置對應命令進行實現，最后用驗證結果來證明此次改造方案是否具有可行性。關鍵詞：校園網，改造方案，設計，技術

BasedonthecampusnetworktechnologytransformationschemeanddesignAbstract：Withthecontinuousprogressofnetworktechnology,theconstructionanddevelopmentofcampusnetworkhasbeenimproved,andnewtechnologyhasgraduallyemerged,alargenumberofdevicestomeettheneedsoftodayareslowlyemerging,andtheconstructionofthecampusnetworkhasalsoobtainedsufficientdevelopment.Forallthat,moreandmorepeopleareusingitandtheapplicationprogramsareconstantlyimproving,sotheearlycampusnetworkcannotmeettheneedsoftoday.Nowthecampusnetworkshouldbeabletomakethemanagementworksmoothly,andalsoprovideaveryreliableandsafenetworkenvironment.Takingavocationalandtechnicalcollegeasanexample,inpaperwhatanalyzethecurrentsituationofthecampusnetworkconstruction,summarizestheshortcomingsandproblemsinthecampusnetwork,analyzestheneedsofthecollege,givesthespecificschemeofthecampusnetworkreconstructionofthevocationalandtechnicalcollege,anddesignsasetofeconomic,targetedandfeasiblenetworkupgradingandreconstructionschemeforthecampusnetworkofthecollege.Basedontheanalysisoftheactualsituation,itisfoundthatthesecurityofthecampusnetworkofthisvocationalandtechnicalcollegeisverylow,thenetworkhasalargedelay,thenetworkperformanceisnotstable,andthenetworkequipmentisaging,whichdoesnotmeettherequirementsoftoday'scampusnetwork.Wehaveredesignedthecampusnetworkstructure,adoptedamorereasonablethree-tiernetworkstructure,andredesignedthecorenetworkstructure.Manycorrespondingtechnologies,suchasfirewalltechnology,linkaggregationtechnology,ACLtechnology,VRRPtechnology,etc.,areusedinthetransformationschemedesign.Thesetechnologieswillbeintroducedindetailinthispaper.Tobuildthenetworktopologyofthevocationalandtechnicalcollege,thetechnologiesmentionedintheschemewillberealizedineachdevicebyconfiguringcorrespondingcommands.Finally,thefeasibilityofthetransformationschemewillbeprovedbytheverificationresults.Keywords：Campusnetwork，Transformationplan，Design，Technology目錄8452第1章緒論 16291.1研究背景及意義 1243391.2國內外研究現狀 243121.2.1國外發(fā)展狀況 213701.2.2國內發(fā)展狀況 2103281.3論文的主要研究內容 392181.4論文組織結構 44231第2章某職業(yè)技術學院校園網現狀分析 5174412.1某職業(yè)技術學院校園網的現狀 5140202.2目前校園網存在的主要問題 529922.2.1核心層 5181402.2.2匯聚層 6261692.2.3接入層 6228992.2.4網絡出口 682.2.5路由協(xié)議 7284012.3某職業(yè)技術學院校園網改造需求分析 74072第3章校園網改造的相關技術和理論 9253073.1虛擬局域網技術 929883.1.1VLAN技術介紹 988733.1.2實現VLAN的方式 915563.2鏈路聚合技術 1032293.2.1鏈路聚合技術介紹 10104503.2.2鏈路聚合的作用 10159263.3MSTP技術 1050463.3.1MSTP技術介紹 1059203.3.2MSTP技術的優(yōu)勢 11292653.4三層交換技術 1173903.4.1三層交換技術介紹 11254833.4.2三層交換技術的優(yōu)勢 1131933.5OSPF路由技術 12273873.5.1OSPF路由技術介紹 1248623.5.2OSPF的優(yōu)勢 1287173.6VRRP技術 13108953.7ACL技術 13202703.7.1ACL技術介紹 13187673.7.2ACL的作用 14316493.8防火墻技術 14144603.8.1防火墻技術介紹 1493823.8.2防火墻的作用 1423912第4章某職業(yè)技術學院校園網的改造方案 16192184.1校園網改造的基本原則 16192544.2校園網拓撲結構規(guī)劃 17318934.3校園網分層結構設計 18275244.3.1核心層設計 1831344.3.2匯聚層設計 22157264.3.3接入層設計 2771584.4網絡出口設計 31259904.5IP地址規(guī)劃及VLAN規(guī)劃 34263834.5.1IP地址規(guī)劃 34242484.5.2VLAN規(guī)劃 3532286第5章校園網改造方案設計實現 37233545.1校園網功能實現方法 37262855.1.1設備的基本配置 3776615.1.2Eth-trunk配置 38260045.1.3三層交換配置 3961105.1.4MSTP配置 40125305.1.5OSPF配置 41130055.1.6ACL配置 43284505.1.7VRRP配置 44145615.1.8防火墻區(qū)域配置 45210235.2校園網功能結果 4627935.2.1鏈路聚合驗證結果 46233405.2.2三層交換驗證結果 4886825.2.3MSTP驗證結果 49288775.2.4OSPF驗證結果 50321935.2.5VRRP驗證結果 513215.2.6ACL驗證結果 54292125.2.7防火墻區(qū)域驗證結果 5532294第6章結論 573113參考文獻： 588688致謝 59廣州大學松田學院2020屆畢業(yè)論文PAGEPAGE8第1章緒論1.1研究背景及意義隨著互聯(lián)網的不斷發(fā)展，我們的生活已全面跨入互聯(lián)網時代，如今各個行業(yè)的工作以及發(fā)展均與互聯(lián)網有著密切關系，更是不可缺乏的重要一環(huán)。而互聯(lián)網中的網絡信息對于高校師生的文化、思想道德素質及精神文化生活亦產生了深刻的影響。校園網的建設將成為先進文化和主旋律傳播的重要渠道，是大學生思想政治教育發(fā)展的重要陣地，亦是提升大學生對互聯(lián)網服務需求完善的重要平臺，同時必須遵循互聯(lián)網的發(fā)展規(guī)律和建設社會主義精神文明的規(guī)律，社會信息化進程要求和大學生的思想政治教育要求將會在此得到體現。努力將融思想性、知識性、趣味性、服務性與一體的校園網站體系完成建設，為學生學習生活提供全面、優(yōu)質、高效的服務，使校園網真正成為廣泛吸引學生、為學生喜愛、受學生關注的重要媒體，成為學生獲取健康信息的重要渠道。校園網是高等學?；A設施建設的重要組成部分，對于學校管理水平、人員素質和辦學質量的提高有著重要地位，是高等學校通過國家“211工程”評審和創(chuàng)辦一流大學的必要條件。因此，教育與信息的有機結合是當前職業(yè)院校發(fā)展的必經之路。在“互聯(lián)網+”時代下，高職院校可結合自身特色，規(guī)劃設計能夠適應“互聯(lián)網+”的職業(yè)院校的校園網，發(fā)展全新的校園網絡環(huán)境，以改善師生所面對的網上學習、交流平臺不夠完善的問題。本文以某職業(yè)技術學院的校園網絡建設為例，對某職業(yè)技術學院的校園網現狀進行分析，并總結出校園網存在的主要問題，根據校園網的實際情況和需求，對校園網絡拓撲進行改造并與相關網絡技術相結合，重新進行設計和思想。將其改造成符合校方需求，能夠適應未來發(fā)展的新校園網。1.2國內外研究現狀1.2.1國外發(fā)展狀況美國高校信息化方面的發(fā)展在投入大，得到當地政府政策的大力支持下，迅速發(fā)展起來，并且可以很好的達到高校的教學、科研、管理及學生的日常學習和生活的需要。美國高校在日常網絡管理方面從不馬虎，能夠有效的保證校園網日常維護和安全運行。經過二十多年的不斷發(fā)展完善，美國高校已經建立了非常完善的信息運營與服務體系，在世界校園網發(fā)展中，其發(fā)展水平、管理體系、應用普及程度均處于領先地位。在英國，政府投入了巨額資金在信息化建設上，并在校園信息化建設中大膽地采用了與企業(yè)合作的方式。使得校園網的教學模式得到改革更新，大大增加了普及程度。隨著時間的建設以及大力的發(fā)展研究下，國外各大高校已經建立了相較成熟的校園網絡模式，對于提高高校的教學、科研及管理水平，校園網的信息技術起著重大作用，能夠培養(yǎng)出迅速適應社會信息化的人才，更好地為社會提供服務及貢獻。大學作為人才培養(yǎng)基地，大學信息化建設必須走在時代的前沿。1.2.2國內發(fā)展狀況互聯(lián)網是網絡與網絡之間相連接的一個龐大的網絡系統(tǒng)，其出現給人們的生活習慣，各行各業(yè)的發(fā)展及社會環(huán)境的現狀帶來了巨大而深刻的變化和影響，不僅僅是體現在經濟生活方面，在對于社會及國家的管理方面也貢獻出了一份力量。我國互聯(lián)網的在20世紀80年代未開始發(fā)展起來。1989年9月是中國建設互聯(lián)網的開始，國家計委會建立中關村地區(qū)教研示范網絡，目的是想在北京大學，清華大學和中科院3個地方高速發(fā)展互聯(lián)網，并在技術穩(wěn)定后建立超級計算中心。1994年國際互聯(lián)網出現，中國實現了與國際Internet全功能性的網絡的連接，這也讓中國的互聯(lián)網技術得到更進一步的發(fā)展。1995年互聯(lián)網得到了更大的普及，越來越多的老百姓學習了互聯(lián)網知識，更多的老百姓接觸到互聯(lián)網，這給人們的生活帶來了更大的便利性。1996年互聯(lián)網處于高速發(fā)展時期，互聯(lián)網逐漸普及到了各行各業(yè)，在教育行業(yè)中，目前校園網的管理已經運用在了學校的日常管理中，為學校開展各項工作提供了技術性的支持，提高了學校管理的水平，不僅僅體現在提高了處理事情的速度上，更體現在完善了學校領導層的管理能力，水平和豐富了管理人員的經驗上，但是在早期的互聯(lián)網的普及與高速發(fā)展中也存在了很多不足，也有很多需要改進的地方，在早期，大部分校園網的管理中存在以下三個不足之處，一是網絡結構規(guī)劃不合理，隨著人們對網絡應用的普及和需求的不斷增加，網絡處理能力跟不上，經常性的出現網絡堵塞的情況，舊的網絡規(guī)劃已經無法滿足人們日益增加的網絡需求。二是網絡設備的老化，內部硬件的損壞，運算能力的不足，不足以滿足新時代中人們對網絡的需求，這就需要校園網設備進行更新。三是網絡環(huán)境管理難度的增加，網絡安全問題應該值得引起越來越多的關注，而原有的網絡配套設備已經很難滿足當今復雜多變的網絡環(huán)境。1.3論文的主要研究內容論文主要研究某職業(yè)技術學院校園網存在的主要問題：在核心層，是單核心的網絡結構，沒有冗余備份設備；在匯聚層設備老化，運算處理能力下降，端口損壞，沒有實現鏈路主備備份，不能夠實現快速交換數據；在接入層，ARP廣播數據包過多，網絡出現較大的延時。在網絡出口處，還是只有部分防火墻功能的路由器。此次主要對校園網的拓撲結構進行研究改進，并通過相應技術進行研究，如虛擬局域網技術、動態(tài)路由協(xié)議OSPF技術、三層交換技術、VRRP技術和MSTP技術等，設計出對應的解決方案。具有三層交換技術的交換機，只要設置完VLAN，并為每個VLAN設置一個\t"/item/%E4%B8%89%E5%B1%82%E4%BA%A4%E6%8D%A2%E6%8A%80%E6%9C%AF/_blank"路由接口，\t"/item/%E4%B8%89%E5%B1%82%E4%BA%A4%E6%8D%A2%E6%8A%80%E6%9C%AF/_blank"第三層交換機就會自動把\t"/item/%E4%B8%89%E5%B1%82%E4%BA%A4%E6%8D%A2%E6%8A%80%E6%9C%AF/_blank"子網內部的\t"/item/%E4%B8%89%E5%B1%82%E4%BA%A4%E6%8D%A2%E6%8A%80%E6%9C%AF/_blank"數據流限定在子網之內，并通過路由實現子網之間的\t"/item/%E4%B8%89%E5%B1%82%E4%BA%A4%E6%8D%A2%E6%8A%80%E6%9C%AF/_blank"數據包交換；而一個具備三層功能的交換機不能僅僅是通過劃分vlan來達到互相訪問的目的，還要能夠通過路由協(xié)議來選擇路徑，因此要支持常用的路由協(xié)議，如動態(tài)路由協(xié)議OSPF。利用MSTP技術可以解決二層環(huán)路的問題，而VRRP技術實現設備冗余，MSTP技術和vrrp技術結合不僅可以為網關設備提供冗余備份，還可以為下行的二層鏈路提供冗余備份，實現負載分擔，極大地提高了網絡的可靠性。1.4論文組織結構第一章為緒論，第一點介紹了本文的研宄背景及意義，第二點介紹了國內和國外的校園網研究狀況，第三點介紹了此次研究的主要內容，第四點介紹了本文的結構安排。第二章為某職業(yè)技術學院校園網現狀分析，第一點介紹了某職業(yè)技術學院校園網的現狀，第二點闡述此校園網存在的主要問題，第三點為校園網改造需求分析。第三章為校園網改造的相關技術和理論，具體的介紹了在改造校園網所運用的技術和理論，如虛擬局域網技術、鏈路聚合技術、訪問控制列表技術、防火墻技術等。第四章為某職業(yè)技術學院校園網改造方案的設計，介紹了校園網改造的基本原則，以及網絡結構設計、網絡出口設計、IP地址規(guī)劃和VLAN規(guī)劃。第五章為校園網改造方案設計實現，在現網搭建某職業(yè)技術學院的校園網絡，實現校園網的方案設計，驗證結果是否達到了預想的效果。第六章為結論，對此次校園網改造方案和設計作出總結。

第2章某職業(yè)技術學院校園網現狀分析2.1某職業(yè)技術學院校園網的現狀下面是現某職業(yè)技術學院網絡拓撲結構，如圖2-1所示。圖2-1某職業(yè)技術學院網絡拓撲圖2.2目前校園網存在的主要問題2.2.1核心層核心層是單核心單鏈路的網絡結構，只有一臺三層交換機和一臺路由器在運行，一旦這臺三層交換機或者路由器出現故障，網絡就會中斷，校園網內的用戶就無法聯(lián)網，可靠性極低。如果在短時間可以處理掉故障，對校園的影響并不是太大。但如果是長時間的維護必定會對校園網的正常運作造成重大影響。通過校方了解到，校園網建設完畢初期，這臺三層交換機是可以保證高速穩(wěn)定運行的，但是校園里的老師和學生的數量是在不斷增加的，數據流量越來越大導致無法適應現在校園的要求。以及部署在核心層的三層交換機從校園網建設以來就沒有更換過，設備嚴重老化，隨時都有出現故障的風險，這臺核心層的交換機已無法保持高速穩(wěn)定的數據傳輸，穩(wěn)定性極低。2.2.2匯聚層在匯聚層大量設備老化，運算處理能力下降，接口損壞，導致部分計算機無法正常聯(lián)網；沒有實現鏈路主備備份，不能夠實現快速交換數據，沒有針對性的安全策略；網絡不具有可靠性、安全性。經校方了解，學生公寓經常出現網絡卡頓的現象，有大部分學生反饋在學生公寓的網絡體驗不理想；教學樓有出現過因為匯聚交換機單點故障，數據流量無法到達核心層，所以導致教學無法正常進行的情況。因為終端設備的網關IP地址都是靜態(tài)配置的，當網關設備出現故障時，終端將無法進行數據交換。2.2.3接入層在接入層，接口破損，部分終端無法接入交換機；ARP廣播數據包過多，安全性低，占用了網絡帶寬，導致網絡性能下降。另外，計算機收到ARP廣播數據包，會對其作出處理，在處理過程中耗費部分CPU時間；另外有大量二層交換機私自接入，網絡出現較大的延時。2.2.4網絡出口在網絡出口處，部署的還是只有部分防火墻功能的路由器，校園網絡有被攻擊的風險，校園網的安全得不到保障。出口路由器是也是一臺老設備，出現故障的機率也是十分高的。而且不管在日常管理還是在配置命令方面都不夠人性化，同時所提供的安全性也是十分低，校園網里內部文件得不到很好的保護，用戶信息也有可能會泄露。在網絡行為管控方面，出口路由器控制非法網絡行為的效果也是不樂觀的。2.2.5路由協(xié)議校園網的路由協(xié)議采用的是靜態(tài)路由，某職業(yè)技術學院屬于中大型的網絡環(huán)境，配置靜態(tài)路由時的下一跳路由條目數量十分龐大，不利于網絡管理員維護。當網絡的拓撲結構和鏈路狀態(tài)發(fā)生變化時，路由器中的靜態(tài)路由信息需要大范圍地調整，這一工作的難度和復雜程度非常高。而且當網絡發(fā)生變化或網絡發(fā)生故障時，不能重選路由，很可能使路由失敗。2.3某職業(yè)技術學院校園網改造需求分析某校園網的建設和運行至今近十年，從未將校園網進行升級以及改造，因此導致問題凸顯也越來越多。我們對校園網絡拓撲進行升級改造，提高整個方案的可靠性和穩(wěn)定性。根據校園網存在的問題，結合校園網的實際，考慮校方資金較充裕，提出了以下幾點需求：（1）在接入層，更換二層交換機，合理規(guī)劃VLAN，減少ARP廣播數據包數量，隔離不同業(yè)務和用戶組以便于有效管理；減少交換機級聯(lián)的層次，數據交換的時延就會相對減少，保證網絡的效率。（2）在匯聚層，更換三層交換機，使用VRRP技術和MSTP技術，避免單點故障造成網絡癱瘓，提升整體網絡的可靠性，實現鏈路備份冗余以及增大鏈路帶寬，實現快速交換數據；部署有針對性的安全策略，有效的辨別具有威脅性的數據包。（3）在核心層，將單核心單鏈路的核心層改為雙核心多鏈路的網絡架構，這種結構穩(wěn)定性高，能夠使核心層做到設備冗余和鏈路冗余；同時采用鏈路聚合技術，保障鏈路故障備份功能，又實現增大帶寬的效果，實現鏈路負載均衡，提高網絡的可靠性和穩(wěn)定性。（4）在網絡出口處，原網絡出口的路由器安全防護能力較弱、安全策略不完善，設備陳舊老化、故障頻發(fā)，已經不能滿足當下的使用需求。要求更換一臺防火墻,在安全性方面還是在功能特性方面都能滿足校方要求，比如采用高性能的全狀態(tài)檢測技術，具有優(yōu)異的管理功能，提供優(yōu)異的GUI管理界面等。這樣既能滿足網絡安全的需求，又能合理分配有限的網絡帶寬、有效監(jiān)控管理學院終端的上網行為。（5）路由協(xié)議選擇方面，在動態(tài)路由中，采用OSPF路由協(xié)議，它相對于RIP、BGP比較適合校園網絡建設。因為RIP路由協(xié)議對于路由線路用跳數來進行判斷，大于十五跳的路由被認為不可達，所以限制很大，不適合校園網應用；BGP路由協(xié)議是一種外部網絡管理路由協(xié)議，主要的應用區(qū)域是多個大型網絡之間的路由交互、聯(lián)系，所以不適用于校園內部的校園網絡建設。OSPF路由協(xié)議沒有跳數限制，使用組播發(fā)送鏈路狀態(tài)更新，在鏈路狀態(tài)變化時使用觸發(fā)更新，提高帶寬的利用率。隨著網絡規(guī)模不斷擴大，網絡發(fā)生故障的可能性也隨之增加，如果區(qū)域內某處發(fā)生故障，整個區(qū)域內的路由器都要重新計算路由，這將大大增加了設備的負擔，降低網絡運行的穩(wěn)定性。OSPF路由協(xié)議可以根據層次進行區(qū)域劃分成骨干區(qū)域和非骨干區(qū)域，每個三層交換機（路由器）都包含所屬的區(qū)域內全部的拓撲信息，即使網絡的拓撲結構和鏈路狀態(tài)發(fā)生變化時，校園網也能便捷、有效地進行收斂，OSPF協(xié)議的系統(tǒng)會以最快的速度發(fā)出新的報文，從而使新的拓撲情況很快擴散到整個網絡。PAGEPAGE59第3章校園網改造的相關技術和理論3.1虛擬局域網技術3.1.1VLAN技術介紹VLAN技術是交換技術的重要組成部分。VLAN技術允許網絡管理者將一個物理的LAN邏輯地分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內的各個工作站不需要被放在同一個物理空間，即這些工作站不一定屬于同一個物理LAN網段。VLAN的優(yōu)點主要包括：（1）ARP廣播數據包限制在一個廣播域里泛洪，減少了ARP廣播數據包的數量，可以防止造成廣播風暴，提高了網絡的整體性能。（2）計算機之間只有在同一個廣播域才能進行數據傳輸，即只有同一VLAN才能互通，有防止外界網絡攻擊的功能，增強了網絡安全性；當網絡出現故障時，定位故障的范圍大大減小，提升了效率，簡化了網絡的管理和維護。3.1.2實現VLAN的方式實現VLAN的主要方式如表3-1所示。表3-1實現VLAN的主要方式實現方式類型優(yōu)點缺點應用范圍基于端口靜態(tài)劃分簡單，性能好，大部分交換機支持，交換機負擔小手工配置；變更端口時，必重新定義應用廣泛基于MAC地址動態(tài)用戶位置改變時不用重新配置，安全性好用戶都必須配置，交換機執(zhí)行效率降低一般基于協(xié)議動態(tài)管理方便，維護工作量小交換機負擔較重支持較多基于IP多播動態(tài)可擴展到廣域網，容易通過路由器進行擴展不適合局域網，效率不高應用較少3.2鏈路聚合技術3.2.1鏈路聚合技術介紹鏈路聚合技術，就是把兩臺設備之間的多條物理鏈路聚合在一起，當做一條邏輯鏈路來使用。以實現出/入流量\t"/item/%E9%93%BE%E8%B7%AF%E8%81%9A%E5%90%88/_blank"吞吐量在各成員端口的負荷分擔，交換機根據用戶配置的端口負荷分擔策略決定\t"/item/%E9%93%BE%E8%B7%AF%E8%81%9A%E5%90%88/_blank"網絡封包從哪個成員端口發(fā)送到對端的交換機。當交換機檢測到其中一個成員端口的鏈路發(fā)生故障時，就停止在此端口上發(fā)送封包，并根據負荷分擔策略在剩下的鏈路中重新計算報文的發(fā)送端口，故障端口恢復后再次擔任收發(fā)端口。鏈路聚合包含兩種模式：手動負載均衡模式和LACP模式。在LACP模式中，一部分鏈路作為備份鏈路。在手動負載均衡模式中，所有的成員口都處于轉發(fā)狀態(tài)。3.2.2鏈路聚合的作用（1）鏈路聚合能夠提高鏈路帶寬。理論上，通過聚合幾條鏈路，一個聚合口的帶寬可以擴展為所有成員口帶寬的總和，有效增加邏輯鏈路的帶寬。（2）鏈路聚合為網絡提供了高可靠性。配置了鏈路聚合之后，如果一個成員接口發(fā)生故障，該成員口的物理鏈路會把流量切換到另一條成員鏈路上。（3）鏈路聚合還可以在一個聚合口上實現負載均衡，一個聚合口可以把流量分散到多個不同的成員口上，通過成員鏈路把流量發(fā)送到同一個目的地，將網絡產生擁塞的可能性降到最低。3.3MSTP技術3.3.1MSTP技術介紹MSTP把一個交換網絡劃分成多個域，每個域內形成多棵生成樹，生成樹之間彼此獨立。每棵生成樹叫做一個多生成樹實例MSTI，每個域叫做一個MST域。所謂生成樹實例就是多個VLAN的一個集合。通過將多個VLAN捆綁到一個實例，可以節(jié)省通信開銷和資源占用率。MSTP各個實例拓撲的計算相互獨立，在這些實例上可以實現負載均衡?？梢园讯鄠€相同拓撲結構的VLAN映射到一個實例里，這些VLAN在端口上的轉發(fā)狀態(tài)取決于端口在對應MSTP實例的狀態(tài)。3.3.2MSTP技術的優(yōu)勢MSTP的優(yōu)勢如下表3-2所示。表3-2MSTP的優(yōu)勢極大地提升了在不同組網條件下生成樹協(xié)議的可部署性為了保證運行不同類型生成樹協(xié)議的網絡可靠運行，可將不同類型的生成樹協(xié)議劃分到不同的進程中，不同進程對應的網絡進行獨立的生成樹協(xié)議計算增強了組網的可靠性，對于大量的二層接入設備，可減少單臺設備故障對整個網絡的沖擊。通過進程隔離不同的拓撲計算，即某臺設備故障只影響其所在的進程對應的拓撲，不會影響其他進程拓撲計算網絡擴容時，可減少網絡管理者維護量，從而提升了用戶運維管理的方便性。當網絡擴容時，只需要劃分新的進程與原有網絡對接，不需要調整原有網絡的MSTP進程配置。如果是某個進程中進行了設備擴容，此時也只需要針對擴容的進程進行修改，而不需要調整其他進程中的配置實現二層端口分割管理每個MSTP進程可以管理設備上的部分端口，即設備的二層端口資源被多個MSTP進程分割管理，每個MSTP進程上均可運行標準的MSTP3.4三層交換技術3.4.1三層交換技術介紹三層交換是相對于傳統(tǒng)交換概念提出來的。傳統(tǒng)的交換技術是在OSI網絡標準模型中的數據鏈路層進行數據交換，而三層交換技術是在網絡模型中的網絡層實現數據包的高速轉發(fā)。三層交換技術就是二層交換技術和三層轉發(fā)技術的結合。3.4.2三層交換技術的優(yōu)勢解決了局域網中網段劃分之后，網段中子網必須依賴路由器進行管理的局面，解決了傳統(tǒng)路由器低速、復雜所造成的網絡瓶頸問題，實現了數據包的高速轉發(fā)。3.5OSPF路由技術3.5.1OSPF路由技術介紹OSPF是一個鏈路狀態(tài)協(xié)議，其操作以網絡連接或者鏈路狀態(tài)為基礎。OSPF基本繪制出互聯(lián)網的全網結構圖，然后根據這個結構圖選擇開銷最小的路徑。在OSPF中，計算網絡拓撲時最基本的元素是每臺路由器中的每條鏈路狀態(tài)。通過學習每條鏈路連接到何處，OSPF可以建立一個數據庫，記錄網絡中的所有鏈路，然后使用最短路徑優(yōu)先算法計算出到每個目標網絡的最短路徑。由于所有路由器都持有完全相同的網絡拓撲圖，OSPF只有在網絡拓撲發(fā)生變化時才發(fā)送路由更新信息。3.5.2OSPF的優(yōu)勢OSPF的優(yōu)點如下表3-3所示。表3-3OSPF的優(yōu)勢適應范圍OSPF支持各種規(guī)模的網絡，最多可支持幾百臺路由器最佳路徑OSPF是基于帶寬來選擇路徑治系統(tǒng)中同步快速收斂如果網絡的拓撲結構發(fā)生變化，OSPF立即發(fā)送更新報文，使這一變化在自治系統(tǒng)中同步無自環(huán)由于OSPF通過收集到的鏈路狀態(tài)用最短路徑樹算法計算路由，故從算法本身保證了不會生成自環(huán)路由子網拖碼由于OSPF在描述路由時攜帶網段的掩碼信息，所以OSPF協(xié)議不受自然掩碼的限制，對VLSM和CIDR提供很好的支持區(qū)域劃分OSPF協(xié)議允許自治系統(tǒng)的網絡被劃分成區(qū)域來管理，區(qū)域間傳送的路由信息被進一步抽象，從而減少了占用網絡的帶寬等值路由OSPF支持到同一目的地址的多條等值路由路由分級OSPF使用4類不同的路由，按優(yōu)先順序來說分別是:區(qū)域內路由、區(qū)域間路由、第一類外部路由、第二類外部路由支持驗證它支持基于接口的報文驗證以保證路由計算的安全性3.6VRRP技術局域網中的用戶終端通常采用配置一個默認網關的形式訪問外部網絡，如果此時默認網關設備發(fā)生故障，將中斷所有用戶終端的網絡訪問,這很可能會給用戶帶來不可預計的損失。VRRP，中文稱虛擬路由冗余協(xié)議，能解決單網關和多網關存在的問題。VRRP能夠在不改變組網的情況下,將多臺路由器虛擬成一個虛擬路由器,通過配置虛擬路由器的IP地址為默認網關,實現網關的備份。3.7ACL技術3.7.1ACL技術介紹ACL技術，中文稱為“訪問控制列表”技術，它根據源地址、目的地址、源端口或目標端口等協(xié)議信息對數據包進行過濾，從而達到訪問控制的目的。ACL語句的處理規(guī)則：（1）一旦發(fā)現匹配的語句，就不再處理列表中的其他語句。（2）如果有兩條語句，一個拒絕來自某個主機的通信，另一個允許的話，排在前面的語句被執(zhí)行。（3）如果整個列表中沒有匹配的語句，則分組被丟棄。根據不同的劃分規(guī)則，ACL可以分為基本ACL、高級ACL、二層ACL和用戶ACL這幾種類型。表3-4所示，比較了這幾種ACL過濾功能的區(qū)別。表3-4ACL分類分類規(guī)則定義描述編號范圍基本ACL使用報文的源IP地址、分片標記和時間段信息來匹配報文2000-2999高級ACL使用報文的源/目的IP地址、源/目的端口號以及協(xié)議類型等信息來匹配報文3000-3999二層ACL二層ACL可以使用源/目的MAC地址以及二層協(xié)議類型等二層信息來匹配報文4000-4999用戶ACL既可使用IPv4報文的源IP地址，也可以使用目的IP地址、IP協(xié)議類型、ICMP類型、TCP源端口/目的端口、UDP源端口/目的端口等來定義規(guī)則6000-60313.7.2ACL的作用ACL的作用主要有以下四點：（1）限制網絡流量、提高網絡性能。（2）提供對通信流量的控制手段。（3）提供網絡訪問的基本安全手段。（4）在網絡設備接口處，決定哪種類型的通信流量被轉發(fā)、哪種類型的通信流量被阻塞。3.8防火墻技術3.8.1防火墻技術介紹防火墻是部署在不同網絡或網絡安全域之間的設備。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據安全策略控制出入網絡的信息流，且本身具有較強的抗攻擊能力，它可以有效地監(jiān)控內部網和因特網之間的任何活動，進而保證內部網絡的安全。對于普通用戶來說，防火墻就是一種被放置在自己的計算機與外界網絡之間的防御系統(tǒng)，從網絡發(fā)往計算機的所有數據都要經過它的判斷處理后，才決定是否把這些數據交給計算機，一旦發(fā)現有害數據，防火墻就會攔截下來，從而實現對計算機的必要保護。3.8.2防火墻的作用下面概括了防火墻的主要作用，如表3-5所示。表3-5防火墻的作用網絡安全的屏障強化網絡安全策略對網絡存取和訪問進行監(jiān)控審計防止內部信息的外泄極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協(xié)議才能通過防火墻，所以網絡環(huán)境變得更安全；同時也可以保護網絡免受基于路由的攻擊能將所有安全軟件配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟能記錄訪問并作出日志記錄，同時也能提供網絡使用情況的統(tǒng)計數據。當發(fā)生可疑動作時，能進行適當的報警，并提供網絡是否受到監(jiān)測和攻擊的詳細信息實現對內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響；可以隱蔽那些透漏內部信息的細節(jié)

第4章某職業(yè)技術學院校園網的改造方案4.1校園網改造的基本原則隨著互聯(lián)網的不斷發(fā)展，校園網的發(fā)展給學校的管理和師生的學習生活帶來了便利性，但師生規(guī)模的不斷擴大，對校園網的要求也不斷提高，加上新應用的不斷出現，功能日益增加的情況，以致我們現如今的網絡設備和網絡結構已不足以支持現在校園師生對校園網的需求。這要求我們對校園網的結構和設備進行維護及更新，以滿足如今師生需求。但在改造中應考慮到學校的實際情況和具體需求進行升級，針對校園網的改造升級，我們所應當遵守以下幾個原則：（1）高帶寬校園網的發(fā)展是日新月異的，業(yè)務功能會隨之不斷增多，為了網絡可以高速運轉，不出現堵塞現象，校園網的組網結構設計，應有包交換無瓶頸的特點，同時核心交換機也需要更強的功能特性，即轉發(fā)性能和寬帶特性。（2）可擴展性隨著師生人數不斷上漲，學校的規(guī)模也在不斷擴建，因此老師和學生接入點人數在不斷變化，各種各樣的業(yè)務在不斷地更新，總結得出，在關于網絡的建設方面，校園內的網絡業(yè)務在不斷更新拓展，設計時應考慮組網的靈活性，網絡設備的容量擴充，接口的豐富性，減少業(yè)務類型的單一性等方面。（3）開放性國際和國內都有相關的網絡技術來衡量標準化，設計時要避免不采取個體的內部技術標準，為了方便后期網絡的持久性，延展性和互聯(lián)性。（4）安全可靠性校園網最重要和需要考慮的問題是網絡的安全性和可靠性，設計時應把主要資金投入到安全性和可靠性方面上。為了保證校園網的安全性，應選用安全性能更強的防火墻作為網絡出口；為了提高網絡的可靠性，避免單點的故障導致整個網絡出現堵塞甚至是癱瘓的狀況，網絡的冗余備份顯得有尤為重要。（5）易管理性網絡管理在網絡建設后期中也是十分重要的工作，要更好的體現網絡管理的便捷性，在網絡建設的過程里合理地規(guī)劃，比如IP地址和VLAN的規(guī)劃，網絡內部結構的規(guī)劃等都能使網絡建設變的簡潔而又易操作。4.2校園網拓撲結構規(guī)劃下面是某職業(yè)技術學院校園網絡拓撲結構的規(guī)劃，具體實施要按照實際情況而定。如圖4-1所示。圖4-1校園網網絡拓撲圖如上圖4-1所示，在核心層，不再只使用一臺核心交換機和核心路由器運行，而是使用兩臺核心交換機和核心路由器運行，并且兩臺核心交換機之間進行鏈路聚合，保證在有一臺核心交換機出現故障或者有一條鏈路斷開時，整個校園網還能正常運行，實現了網絡的冗余；核心交換機分別連接了兩臺路由器，解決單鏈路故障的問題，實現核心交換機鏈路冗余備份。在匯聚層，匯聚層交換機分別連接核心層的兩臺核心交換機，當匯聚層交換機連接其中一臺核心層交換機的鏈路斷開了，數據還會沿著另外一條鏈路進行傳輸，保證了網絡的可靠性。在接入層，原先私自接入的大量二層交換機已被拆除。在網絡出口處，將原先的出口路由器替換成一臺防火墻。核心交換機LSW5和LSW31分別連接辦公樓、機房中心、學生公寓和教學樓，機房中心由于負載較大，所以直接接入核心交換機，在提升轉發(fā)性能的基礎上，又降低了建設成本。匯聚交換機LSW1、LS13、LSW4和LSW15分別連接核心交換機LSW5和LSW31，匯聚交換機LSW3和接入交換機LSW16與核心交換機LSW31之間進行鏈路聚合，具體的實施還會根據實際情況在進行調整，使校園網更加可靠、穩(wěn)定。接入交換機連接各匯聚交換機。接入交換機數量需根據該樓用戶數的多少來決定，像人流量大，固定人數較少的地方，根據具體需要，放置一臺或兩臺接入交換機即可。4.3校園網分層結構設計4.3.1核心層設計核心層是網絡中重要的組成部分，其擔任著交換主干的功能，設計時保證其最重要的特性：可靠性和穩(wěn)定性。設備采用高帶寬的千兆以上的三層交換機，實現數據快速交換、鏈路備份以及鏈路負載均衡；實現網絡的冗余，達到提高網絡性能的目的。核心層主要是處理校園網內以及和外網的數據交換，為了避免核心層出現故障時，導致校園網的數據無法正常交換的情況，我們將增強校園網的穩(wěn)定性與可靠性及增強校園網的業(yè)務能力，在設計核心層時可參考以下方案：（1）在圖4-1中，核心交換機LSW5和LSW31作為校園網的主干，為保證核心交換機之間的高速運轉，設計時核心交換機LSW5和LSW31之間進行鏈路聚合，使核心交換機之間有3條鏈路連接，形成一條邏輯鏈路，增大網絡帶寬；配置LSW5系統(tǒng)優(yōu)先級為100，使其成為LACP主動端，配置活動成員鏈路的最大值是2，有一條鏈路屬于非活動成員鏈路，即有一條備份鏈路。當有一條活動成員鏈路斷開時，非活動成員鏈路轉變成活動成員鏈路，鏈路正常運作，實現了鏈路冗余備份，提高了網絡的可靠性。（2）為解決鏈路發(fā)生故障，導致網絡無法訪問的問題。設計時核心交換機LSW5和LSW31分別連接核心路由器R2和R3，即每臺核心交換機都有兩條鏈路到達路由器R4，例如當核心交換機LSW5到達路由器R2的鏈路斷開了，數據就會沿著到達路由器R3的鏈路實現了鏈路備份，提高了網絡的可靠性。（3）為保證各建筑樓之間可以互訪，以及終端用戶可以訪問網絡，在核心交換機以及連接核心交換機的三層設備上配置OSPF，并把建筑樓劃分在OSPF的不同區(qū)域。把教學樓分別劃分在區(qū)域1和區(qū)域2，辦公樓劃分在區(qū)域3，學生公寓劃分在區(qū)域4，核心層劃分在區(qū)域0，減少了LSA泛洪的范圍，即拓撲發(fā)生改變時，鏈路狀態(tài)數據庫的同步只在本區(qū)域內進行。劃分區(qū)域可以減少三層設備收到的LSA，減少三層設備的資源消耗，提高網絡的穩(wěn)定性。（4）在設備選型方面，核心交換機至少滿足以下功能特性，如表4-1所示。表4-1核心交換機功能特性1、穩(wěn)定可靠作為網絡的“核心”，必須保證7×24小時的連續(xù)性服務，在處理系統(tǒng)、總線系統(tǒng)、電源系統(tǒng)和風扇等重要部件上要有冗余設計2、性能強大設備應當具有高帶寬性能，核心交換機的端口應當做到全線速轉發(fā)，并應當具有良好的可擴展性，隨著未來網絡規(guī)模擴大，能夠滿足一定的升級需求3、簡單的配置策略核心交換機的配置策略，原則上是越簡單越好，因為策略會占用核心交換機的資源，降低交換機的處理能力，所以更簡單的策略有助于節(jié)省資源根據以上分析，核心交換機可選擇華為的S5700-28C-PWR-EI三層設備，設備的詳細參數如表4-2所示。表4-2S5700-28C-PWR-EI詳細參數主要參數產品類型千兆以太網交換機應用層級三層傳輸速率10/100/1000Mbps交換方式存儲-轉發(fā)背板帶寬256Gbps包轉發(fā)率96MppsMAC地址表16K端口參數端口結構非模塊化端口數量28個端口描述24個10/100/1000Base-TX端口，4個1000Base-X

SFP端口擴展模塊2個擴展插槽功能特性堆疊功能可堆疊VLAN支持4K個VLAN

支持GuestVLAN、VoiceVLAN

支持基于MAC/協(xié)議/IP子網/策略/端口的VLAN

支持1:1和N:1VLAN交換功能QOS支持對端口接收和發(fā)送報文的速率進行限制

支持報文重定向

支持基于端口的流量監(jiān)管，支持雙速三色CAR功能

每端口支持8個隊列

支持WRR、DRR、SP、WRR＋SP、DRR+SP隊列調度算法

支持報文的802.1p和DSCP優(yōu)先級重新標記

支持L2（Layer2）-L4（Layer4）包過濾功能，提供基于源MAC

地址、目的MAC地址、源IP地址、目的IP地址、端口、協(xié)議、VLAN

的非法幀過濾功能

支持基于隊列限速和端口Shapping功能組播管理支持IGMPv1/v2/v3Snooping

和快速離開機制

支持VLAN內組播轉發(fā)和組播

多VLAN復制

支持捆綁端口的組播負載分擔

支持可控組播

基于端口的組播流量統(tǒng)計

IGMPv1/v2/v3、PIM-SM、PIM-DM、PIM-SSM網絡管理支持堆疊

支持MFF

支持虛擬電纜檢測（VirtualCableTest）

支持端口鏡像和RSPAN（遠程端口鏡像）

支持Telnet遠程配置、維護

支持SNMPv1/v2/v3

支持RMON

支持網管系統(tǒng)、支持WEB網管特性

支持集群管理HGMP

支持系統(tǒng)日志、分級告警

支持GVRP協(xié)議

支持MUXVLAN功能安全管理用戶分級管理和口令保護

支持防止DOS、ARP攻擊功能、ICMP防攻擊

支持IP、MAC、端口、VLAN的組合綁定

支持端口隔離、端口安全、StickyMAC

支持黑洞MAC地址

支持MAC地址學習數目限制

支持IEEE802.1X認證，支持單端口最大用戶數限制

支持AAA認證，支持Radius、TACACS+、NAC等多種方式

支持SSHV2.0

支持HTTPS

支持CPU保護功能

支持黑名單和白名單4.3.2匯聚層設計匯聚層在網絡中擔任的功能是在工作站接入核心層前先做匯聚，減輕核心層的負荷。匯聚層作為接入層與核心層的中轉站，要求其必須能夠處理接入層中的信息并能提供到核心層中，這無疑對匯聚層中的性能，接口和交換速率提岀了更高的要求，匯聚層因具有實施工作組接入，虛擬局域網之間的路由，更應該注重網絡隔離和分段。某職業(yè)技術學院的匯聚層設計過程中應該根據學校的實際情況進行安排匯聚交換機放置的位置，在學生公寓，辦學樓和機房中用到會比較多的地方放置匯聚交換機，而在人員比較少的地方，用處不大的地方可以先不急著單獨放置匯聚交換機，要結合師生反饋的需求和實際情況進行后期的擴展工作，可參考以下方案:在圖4-1中，LSW1、LSW13、LSW4、LSW16、LSW2和LSW3是匯聚層交換機，分別放置在教學樓、辦公樓、學生公寓和機房中心。在校園里，為保證在一個小局域網內不同廣播域之間可以訪問，而且是高速低延的互訪，我們在各建筑樓的匯聚交換機配置三層交換技術，例如在1號教學樓，配置匯聚交換機LSW1和LSW13的各接口類型及對應VLAN，還要在匯聚交換機LSW1和LSW13上配置對應VLAN的IP地址，這樣1號教學樓不同VLAN之間才可以互訪。三層交換技術可以加快局域網內部的數據交換，又可以避免廣播風暴的產生。在校園網里，有涉及到個人隱私或校園內部機密文件等敏感數據，為了保證這些敏感數據不被泄露或竊取，在匯聚交換機配置訪問控制列表，攔截訪問這些敏感數據的終端用戶，以達到保護數據安全完整的效果。經校方了解到，校園內部的機密文件和師生的個人隱私幾乎都在辦公樓處，一旦這些數據被非法手段竊取，會造成不可估量的后果。根據這些情況，我們將在辦公樓處的匯聚交換機LSW2配置訪問控制列表，對訪問敏感數據的數據包進行過濾，達到訪問控制的目的，提高了網絡安全性。（3）為改善學生公寓網絡體驗的不理想，需要增大其鏈路帶寬，提高匯聚層與核心層之間數據交換的速度。按照具體情況，在學生公寓的匯聚交換機LSW3和核心交換機LSW31進行鏈路聚合，使匯聚交換機和核心交換機之間有3條鏈路連接，增大其網絡帶寬；并設置活動成員鏈路的最大值數量是2，這樣就有一條鏈路屬于備份鏈路，當某一條活動成員鏈路斷開時，這條備份鏈路就會切換到活動成員鏈路，不僅增大鏈路帶寬，還提高了網絡的可靠性。（4）為了解決教學樓出現單點故障的問題，以1號教學樓為例，在匯聚層放置兩臺三層交換機，各連接核心交換機LSW5和LSW31，即匯聚交換機都有兩條鏈路到達核心層，實現鏈路冗余備份；匯聚交換機啟用VRRP技術，把LSW1和LSW13兩臺匯聚交換機虛擬成一臺匯聚交換機，配置虛擬匯聚交換機的IP地址作為終端設備的默認下一跳地址，在匯聚交換機接口配置虛擬組ID、虛擬地址和優(yōu)先級，修改VRRP設備的搶占模式定時器時間，并監(jiān)控匯聚交換機上行端口狀態(tài)。這兩臺匯聚交換機都有數據流量通過，實現了網關冗余備份，提高網絡的可靠性。（5）為解決教學樓二層環(huán)路的情況，啟用MSTP協(xié)議。以1號教學樓為例，出現二層環(huán)路的交換機分別是匯聚交換機LSW1、LSW13和接入交換機LSW20，配置交換機開啟MSTP并設置相同的區(qū)域名稱R1。交換機設置兩個生成樹實例：Instance1和Instance2，并把對應VLAN映射到Instance1和Instance2。配置匯聚交換機LSW1為Instance1的根交換機，匯聚交換機LSW13為Instance2的根交換機。Instance1阻斷了接入交換機LSW20與匯聚交換機LSW13之間的鏈，Instance2阻斷了接入交換機LSW20與匯聚交換機LSW1之間鏈路。不僅有效解決了二層環(huán)路的問題，而且實現了負載分擔，避免資源浪費。（6）在設備選型方面，匯聚交換機至少滿足以下功能特性，如表4-3所示。表4-3匯聚交換機功能特性支持的功能特性1、高可靠性支持Smart-Link、智能以太保護SEP，支持STP／RSTP／MSTP等。2、支持多種路由支持三層路由功能，比如：靜態(tài)路由、RIP、OSPF、IS-IS、BGP等。3、接入和安全特性支持端口隔離、端口安全、支持AAA認證，支持Radius等多種認證方式等。4、豐富的擴展功能設備采用模塊化結構，支持光電口，多槽位，使網絡具備擴展性和靈活性等。5、易于管理維護支持智能堆疊功能，支持Telnet遠程配置、維護，支持自動配置功能，支持斷電告警等。根據以上分析，匯聚交換機可選擇S3700-28TP-EI-AC三層交換機，設備的詳細參數如表4-4所示。表4-4S3700-28TP-EI-AC詳細參數S3700-28TP-EI-AC主要參數產品類型千兆以太網交換機應用層級三層傳輸速率10/100/1000Mbps交換方式存儲-轉發(fā)背板帶寬64Gbps包轉發(fā)率14.1MppsMAC地址表16K端口參數端口結構非模塊化端口數量28個端口描述24個10/100Base-TX以太網端口，4個千兆SFP，2個復用的10/100/1000Base-T以太網端口Combo傳輸模式全雙工/半雙工自適應功能特性網絡標準IEEE802.1d堆疊功能可堆疊VLAN支持4K個VLAN

支持GuestVLAN、VoiceVLAN、SuperVLAN

支持基于MAC/協(xié)議/IP子網的VLAN

支持QinQ功能

支持靈活QinQ功能

支持1:1和N:1VLANMapping功能QOS支持對端口接收和發(fā)送報文的速率進行限制

支持報文重定向

支持基于端口的流量監(jiān)管，支持雙速三色CAR功能

每端口支持8個優(yōu)先級隊列

支持WRR、DRR、SP、WRR＋SP、DRR+SP等隊列調度算法

支持報文的802.1p和DSCP優(yōu)先級重新標記

支持L2（Layer2）~L4（Layer4）包過濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、協(xié)議、VLAN的非法幀過濾功能

支持基于隊列限速和端口Shaping功能糾錯組播管理支持1K的組播組

支持IGMPv1/v2/v3Snooping和快速離開機制

支持組播VLAN和跨VLAN組播復制

支持捆綁端口的組播負載分擔

基于可控組播網絡管理支持智能堆疊

支持MFF

支持Telnet遠程配置、維護

支持自動配置功能

支持VCT虛擬電纜檢測(VirtualCableTest)

支持以太OAM（802.3ah和802.1ag）

支持斷電告警Dyinggasp功能（S3700-28TP-EI-MC-AC）

支持SNMPv1/v2c/v3；支持RMON

支持MUXVLAN特性；支持GVRP協(xié)議

支持eSight網管系統(tǒng)、支持WEB管理特性

支持SSHV2安全管理用戶分級管理和口令保護

支持防止DOS、ARP防攻擊、ICMP防攻擊功能

支持IP、MAC、端口、VLAN的組合綁定

支持端口隔離、端口安全、StickyMAC

支持黑洞MAC地址

支持MAC地址學習數目限制

支持IEEE802.1x認證，支持單端口最大用戶數限制

支持AAA認證，支持Radius、HWTACACS等多種方式

支持SSHV2.0

支持CPU保護功能支持黑名單和白名單其它參數電源電壓AC100-240V，50/60Hz

DC-48--60V產品認證IEEE802.1x認證產品尺寸442×220×43.6mm產品重量<2.5kg環(huán)境標準工作溫度：0-45℃

相對濕度：5%-95%無凝結其它參數IP路由：靜態(tài)路由，RIP，ECMP，OSPF，IS-IS，BGP

可靠性：支持RRPP環(huán)型拓撲、支持相交環(huán)和多實例等功能，故障保護切換時間低于50ms；支持SmartLink樹型拓樸及SmartLink多實例，提供主備鏈路的毫秒級保護

支持STP(IEEE802.1d)，RSTP(IEEE802.1w)和MSTP(IEEE802.1s)協(xié)議；支持BPDU保護、根保護和環(huán)回保護；支持智能以太保護SEP（SmartEthernetProtection）其它特點6KV防雷技術4.3.3接入層設計我們通常將用戶連接網絡端的部分稱為接入層，接入層的作用是允許用戶連接戓者訪問網絡，其直接面面用戶，所以接入層應該具備較低的成本和高密度的端口特性，一般在接入層的選擇上建議性價比高的接囗，滿足使用方便,容易維護和端囗密度高的特點，設計時建議考慮采用以下的方案:（1）因為交換機接收到未知MAC地址的數據包時，交換機會將這個數據包泛洪到整個校園網，消耗網絡資源帶寬，所以導致交換機因為處理大量的ARP廣播數據包而無法處理正常的數據包。為了限制ARP廣播數據包的泛洪，我們對用戶流量進行基于端口的VLAN劃分，把泛洪的范圍限制在接入層。例如在1號教學樓，在接入交換機LSW20上配置VLAN，如果把PC1劃分在VLAN10，PC10劃分在VLAN20，PC1和PC10不能互訪，只有在同一VLAN內才能互訪，達到了隔離廣播域的目的。如果PC1和PC10要進行互訪，就要配置了三層交換機技術，否則不能互訪。可以完成基本數據流量的隔離，減少ARP廣播數據包數量，保證網絡的穩(wěn)定性和安全性。（2）因為機房中心負載較大，終端用戶訪問網絡出現卡頓的現象，可以增大鏈路帶寬，實現負載均衡，提高接入層與核心層之間數據交換的速度來處理這個現象。使機房中心的接入交換機LSW16和核心交換機LSW31之間有3條鏈路連接，增大其鏈路帶寬；并設置活動成員鏈路的最大值數量是2，這樣就有一條鏈路屬于備份鏈路，當某一條活動成員鏈路斷開時，這條備份鏈路就會切換到活動成員鏈路，實現鏈路間互為備份，達到負載均衡的效果。（3）在設備選型時，接入交換機至少滿足以下功能特性，如表4-5所示。表4-5接入層交換機功能特性支持的功能特性1、支持8KMAC地址表；支持刪除動態(tài)MAC地址；支持MAC地址老化時間可配置；支持基于端口的MAC地址學習使能控制；支持黑洞MAC地址等。2、支持IEEE802.1Q標準，整機支持4K個VLAN支持基于端口的VLAN，支持基于MAC地址的VLAN。3、支持STP，RSTP和MSTP協(xié)議等4、支持風暴抑制；支持AAA認證，支持Radius等多種方式；支持802.1X認證，支持MAC認證，支持MAC旁路認證；支持DHCPSnooping；支持MAC地址過濾等。結合學校的實際情況，接入交換機可以選擇華為的一款S2700-52P-EI的二層交換機，設備的詳細參數如表4-6所示。表4-6S2700-52P-EI詳細參數S2700-52P-EI主要參數產品類型智能交換機應用層級二層傳輸速率10/100Mbps交換方式存儲-轉發(fā)背板帶寬32Gbps包轉發(fā)率17.7MppsMAC地址表8K端口參數端口結構非模塊化端口數量52個端口描述48個10/100Base-TX端口，2個100/1000Base-XSFP端口，2個1000Base-XSFP端口傳輸模式全雙工/半雙工自適應功能特性網絡標準IEEE802.3，IEEE802.3u，IEEE802.3ab，IEEE802.3z，IEEE802.3x，IEEE802.1Q，IEEE802.1d，IEEE802.1X堆疊功能可堆疊VLAN支持IEEE802.1Q（VLAN），整機支持4K個VLAN

支持基于端口的VLAN

支持基于MAC地址的VLAN

基本QinQQOS支持端口限速和流限速

支持每端口4個不同優(yōu)先級的隊列

支持根據報文802.1p映射到不同隊列

支持SP、WRR、SP+WRR算法

支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、四層端口、協(xié)議類型、VLAN、以太網幀協(xié)議、CoS等信息的流分類

支持基于流的標記優(yōu)先級、報文重定向組播管理支持IGMPv1/v2/v3Snooping

支持捆綁端口的組播負載分擔

支持基于端口的組播流速率限制和流量統(tǒng)計

支持端口1:1或N:1鏡像網絡管理支持堆疊

支持自動配置功能

支持CLI配置

支持Telnet遠程配置

支持SNMPV1/V2/V3

支持RMON

支持集群管理HGMPV2

支持SSHV2

支持WEB管理特性

支持GVRP協(xié)議

支持基于MAC地址的VLAN

基本QinQ

支持802.1x，支持單端口最大用戶數限制

支持動態(tài)ARP檢測

支持IPSourc安全管理支持堆疊

支持自動配置功能

支持CLI配置

支持Telnet遠程配置

支持SNMPV1/V2/V3

支持RMON

支持集群管理HGMPV2

支持SSHV2

支持WEB管理特性

支持GVRP協(xié)議

支持基于MAC地址的VLAN

基本QinQ

支持802.1x，支持單端口最大用戶數限制

支持動態(tài)ARP檢測

支持IPSourc4.4網絡出口設計為保障校園網絡的安全，在網絡的出口處部署一臺防火墻，防火墻作為計算機和與外界網絡的防御系統(tǒng)，從網絡上接收到的數據信息都會經過防火墻，發(fā)現有害的數據，防御墻就會進行攔截，防止有害信息對計算機的傷害，從而進行對計算機的保護。使用校園網的用戶大多為學生和教職人員，在安全問題上，更多的是預測學校內部安全問題，而對外部的風險及病毒攻擊可能就很難進行提前預測及采取防范措施。設計時配置防火墻，把區(qū)域按照校園網內外分為兩個區(qū)域，分別是信任區(qū)，非信任區(qū)，例如在防火墻FW1，把連接校園網內部的接口配置為trust區(qū)域，把連接外網的接口配置為untrust區(qū)域，配置trust區(qū)域可以訪問untrust區(qū)域，而untrust區(qū)域不能訪問trust區(qū)域，以保障校園網的網絡安全問題。在設備選型時，防火墻至少滿足以下功能特性，如表4-7所示。表4-7防火墻功能特性支持的功能特性1、安全、成熟的特性。2、具有專有的硬件平臺和操作系統(tǒng)平臺。3、采用高性能的全狀態(tài)檢測（StatefulInspection）技術。4、具有優(yōu)異的管理功能，提供優(yōu)異的GUI管理界面。5、支持多種用戶認證類型和多種認證機制。6、需要支持用戶分組，并支持分組認證和授權。7、支持內容過濾。8、支持動態(tài)和靜態(tài)地址翻譯(NAT)。9、支持高可用性，單臺防火墻的故障不能影響系統(tǒng)的正常運行。10、支持本地管理和遠程管理。11、支持日志管理和對日志的統(tǒng)計分析。12、實時告警功能，在不影響性能的情況下，支持較大數量的連接數。13、在保持足夠的性能指標的前提下，能夠提供盡量豐富的功能。14、可以劃分很多不同安全級別的區(qū)域，相同安全級別可控制是否相互通訊。15、支持在線升級。16、支持虛擬防火墻及對虛擬防火墻的資源限制等功能。17、防火墻能夠與入侵檢測系統(tǒng)互動。在防火墻的選型方面，校方要求選購性能強、穩(wěn)定性高的防火墻，因為預留選購防火墻的資金充足，所以可以選擇華為的USG6600，設備的詳細參數如表4-8所示。表4-8USG6600詳細參數基本參數防火墻類型 下一代防火墻產品型號 USG6660產品類型 企業(yè)級外形尺寸 442×415×130.5mm重量 22Kg硬件參數固定接口 2×10GE+8GE+8SFP擴展插槽 6×WSIC 網絡與軟件每秒連接數 350000新建連接數并發(fā)連接數 10000000并發(fā)連接數策略數 40000個策略數VPN 支持VPN功能防火墻性能 防火墻吞吐量:25Gbit/sIPSec吞吐量:18Gbit/s虛擬防火墻:500SSLVPN并發(fā)用戶數:5000功能特點支持入侵防御(IPS)支持防病毒(AV)支持數據防泄漏(DLP)支持上網行為管理/審計支持基于應用的QoS優(yōu)化支持服務器負載均衡支持智能策略管理支持Anti-DDoS 其它參數電源電壓 100-220VAC最大功率 350W其它 產品形態(tài):3UHDD:選配,可支持300GB雙硬盤(RAID1),熱插拔冗余電源:標配電源DC:(-48)-(-60V) 工作環(huán)境:溫度:0-45℃(不含硬盤)/5-40℃(包含硬盤)濕度:10-90%非工作環(huán)境 溫度:-40-70℃/濕度:5-95%可擴展插卡類型:WSIC:2×10GE(SFP+)+8×GE(RJ45),8×GE(RJ45),8×GE(SFP4)×GE(RJ45)BYPASS 4.5IP地址規(guī)劃及VLAN規(guī)劃在一個中大規(guī)模校園里，會有許多建筑樓，如果出現網絡故障，會讓網絡管理者的維護時間大大增加。對IP地址規(guī)劃和VLAN規(guī)劃，不僅可以讓整個校園網內部數據交換的速度提升，而且可以讓網絡管理者快速定位何處故障，大大較少了網絡管理者的工作負荷。進行校園網的IP地址規(guī)劃和VLAN規(guī)劃時，必須和校園網的拓撲結構、部門區(qū)域等因素緊密相連，相互對應。因此在確定網絡設計方案時，應該要全面統(tǒng)籌、詳細設計、認真核對，并考慮到網絡未來的擴展情況。某職業(yè)技術學院的核心網絡主要是三大區(qū)域，分別為教學樓、辦公樓和學生宿舍。各種建筑的名稱都是以漢字命名，所以在VLAN的規(guī)劃和IP地址規(guī)劃方面有較多不便之處，因為VLANID號和IP地址都是數字。根據學校的具體情況，提出如下設計方案。4.5.1IP地址規(guī)劃下面只對校園網里的學生公寓、教學樓、辦公樓、機房中心進行IP地址規(guī)劃，具體實施時按實際情況執(zhí)行。現在對學校的學生公寓十棟，教學樓兩棟，辦公樓一棟，機房中心一棟進行IP地址規(guī)劃。根據學校具體情況，編號采用A類IP地址私網網段，建筑由IP地址中的第二段用來表示，樓層由IP地址中的第三段用來表示。具體編號如下表4-1所示：表4-1IP地址規(guī)劃建筑IP地址編號學生公寓/24-/24（A棟）/24-/24（B棟）/24-/24（C棟）/24-/24（D棟）/24-/24（F棟）/24-/24（G棟）/24-/24（H棟）/24-/24（I棟）/24-/24（J棟）/24-/24（K棟）辦公樓/24-/24教學樓/24-/24（1號）/24-/24（2號）機房中心/24-/24例如，在表4-1中，IP地址，表示學生公寓B棟三層的某臺終端設備；IP地址，表示辦公樓五層的某臺終端設備。4.5.2VLAN規(guī)劃IP地址規(guī)劃完成后，VLAN的規(guī)劃可以按照IP地址規(guī)劃的情況來確定。因為學院各專業(yè)學生的宿舍樓層較集中，所以學生公寓劃分VLAN均按樓層劃分，辦公樓、教學樓和機房中心的VLAN劃分方法也和學生公寓類似。根據上一節(jié)的IP地址規(guī)劃，現在把VLAN規(guī)劃如下：VLAN編號采用三位阿拉伯數字，樓層的VLANID就是由IP地址的第二段和第三段的阿拉伯數字組成，如表4-2所示。表4-2VLAN規(guī)劃表建筑樓VLAN編號網關學生公寓111-115（A棟）121-125（B棟）131-135（C棟）141-145（D棟）151-155（E棟）161-165（F棟）171-175（G棟）181-185（H棟）191-195（I棟）201-205（J棟）-（A棟）-（B棟）-（C棟）-（D棟）-（E棟）-（F棟）-（G棟）-（H棟）-（I棟）-（J棟）辦公樓211-215-教學樓311-316（1號）321-326（2號）-（1號）-（2號）機房中心411-415-例如，在表4-2中，學生公寓A棟的第二層VLAN編號為112，IP網段為/24，網關為；1號教學樓的第三層VLAN編號為313，IP網段為/24，網關為。

第5章校園網改造方案設計實現5.1校園網功能實現方法5.1.1設備的基本配置對設備進行命令配置時，首先對設備的名稱進行配置，以核心層交換機LSW5、LSW31為例。（1）核心層交換機LSW5的基本配置：<Huawei>system-view[Huawei]sysnameLSW5[LSW5]aaa[LSW5-aaa]local-usertest123password?cipher?test123[LSW5-aaa]local-usertest123service-typetelnet[LSW5-aaa]local-usertest123privilegelevel15[LSW5-aaa]quit[LSW5]user-interface?vty?0?4[LSW5-ui-vty0-4]authentication-mode?aaa[LSW5-ui-vty0-4]idle-timeout?30?0（2）核心層交換機LSW31的基本配置：<Huawei>system-view[Huawei]sysnameLSW31[LSW31]aaa[LSW31-aaa]local-usertest123password?cipher?test123[LSW31-aaa]local-usertest123service-typetelnet[LSW31-aaa]local-usertest123privilegelevel15[LSW31-aaa]quit[LSW31]user-interface?vty?0?4[LSW31-ui-vty0-4]authentication-mode?aaa[LSW31-ui-vty0-4]idle-timeout?30?05.1.2Eth-trunk配置以核心層交換機LSW5為例，配置與核心層交換機LSW31的靜態(tài)LACP鏈路聚合，增加鏈路帶寬，實現鏈路備份，提高可靠性。（1）核心層交換機LSW5的配置：[LSW5]lacp?priority?100[LSW5]interfaceeth-trunk1[LSW5-Eth-Trunk1]modelacp-static[LSW5-Eth-Trunk1]maxactive-linknumber2[LSW5-Eth-Trunk1]quit[LSW5]interfaceGigabitEthernet0/0/2[LSW5-GigabitEthernet0/0/2]eth-trunk1[LSW5-GigabitEthernet0/0/2]quit[LSW5]interfaceGigabitEthernet0/0/3[LSW5-GigabitEthernet0/0/3]eth-trunk1[LSW5-GigabitEthernet0/0/3]quit[LSW5]interfaceGigabitEthernet0/0/4[LSW5-GigabitEthernet0/0/4]eth-trunk1（2）核心層交換機LSW31的配置：[LSW31]interfaceeth-trunk1[LSW31-Eth-Trunk1]modelacp-static[LSW31-Eth-Trunk1]quit[LSW31]interfaceGigabitEthernet0/0/2[LSW31-GigabitEthernet0/0/2]eth-trunk1[LSW31-GigabitEthernet0/0/2]quit[LSW31]interfaceGigabitEthernet0/