毕业设计（论文）-校园网络信息中心设计及实施.doc

校园网络信息中心设计及实施毕业论文论文题目：校园网络信息中心设计及实施学生姓名: 学生学号: 专 业: 计算机网络工程 指导教师: 系 部: 电气信息工程系 校园网络网管中心设计摘要随着Internet的迅猛发展，人们对于网络信息时代的需求越来越迫切，网络的应用越来越广泛。作为高等人才的培训场所，校园网建设的需求也越来越大，教师、学生、管理人员等对一个先进的网络环境的要求也十分迫切。因此，建设校园网具有非常大的理论意义和实践意义。本设计实在局域网技术和目前网络发展技术的基础上，分析了校园网的各种功能需求和建设原则，并且阐述了网络结构技术和网络拓扑结构设计。在网络设计中，实现各个网络对应各种的功能，实现校园的一体化、资源化、共享化等，从而保证校园网络能适应未来网络的快速发展。关键词：网络，安全 ，系统，技术，配置THE DESIGN AND CONFIGURTION OF CAMPUS NETWORK SAFETYABSTRACTWith the rapid development of Internet, the demand for network information age is more and more urgent, the application of network is more and more widely.As the higher talents training venues, the construction of campus network is also growing demand,Teachers, students, managers and other requirements for an advanced network environment is also very urgent.Therefore, it has very large theoretical and practical significance of the construction of campus network.The basis for this design is LAN technology and the current network technology development, analysis of the various functional requirements and principle of construction of campus network,and describes the structure of the network technology and network topology design.In the network design, the realization of every network corresponding to various functions, integration, resource sharing, etc. so as to ensure the realization of the campus, the campus network can adapt to the rapid development of the network of the future.Key words:Network, Safety, System, Technology, configure目 录第一章 综述6第二章 项目介绍72.1 设计目标72.2 设计的关键7第三章 网络拓扑结构图93.1 系统设计原则93.2 网络三层结构设计103.3 可管理性与维护原则103.4 安全性与保密性原则103.5 稳定性和可靠性10第四章 设备选型104.1 核心路由器选型114.2 核心交换机选型124.3 防火墙选型14第五章 基本配置1551 VLAN的应用1552 VLAN的划分及配置1553 IP地址分配及配置1654 路由器基本配置2055 灌注cisco路由器IOS2056防火墙基本配置21第六章 网络主要配置236.1 配置动态路由协议236.2 三层交换机路由配置246.3 路由器路由配置246.4 双出口网络256.5 nat的配置26第七章 网络安全与管理287.1 网络安全287.2 造成这些现状的原因287.3 安全接入和配置29总结32参考文献33致谢34第一章 综述随着计算机网络的发展，校园网已经成为高等院校走向信息化时代的必然发展趋势，使我国高等教育管理向智能化发展。它是网络技术和电子信息技术和高等院校发展相结合的产物。校园网以信息资源为根本，硬件网络系统为物质基础，同时以网络软件系统实现系统的管理与使用，是一个具有宽带通路和交互功能的专业性局域网，应具有教学、科研、管理和通讯等四大功能。校园网网络的安全十分重要，它承载着学校的教务、行政、后勤、图书资料、对外联络等方面的事务处理。但是，紧随信息化发展的网络安全问题日渐突出，网络安全问题已成为信息时代人类共同面临的挑战，网络信息安全问题成为当务之急，如果不能很好地解决这个问题，必将阻碍信息化发展的进程。校园网络的建设并不是一件容易的事情，在建设过程中，我们应该考虑校园网的特殊情况，考虑满足网络设施、路由配置、信息资源等等的需求。冰球考虑到未来校园扩建的可能和在校人数的增加，我们要针对这种情况考虑到网络扩容的必要性。第二章 项目介绍2.1 设计目标校园网的设计目标简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成校园区内部的Intranet系统，对外通过路由设备接入广域网。具体而言这样的设计目标应该是：建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代网络技术为依托、技术先进、扩展性强、覆盖全校楼宇的校园主干网络，将学校的各种PC机工作站、终端设备和局域网连接起来，并与有关广域网相连:在网上宣传和获取教育资源;在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境;开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务;系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性，以及建设经济性。2.2 设计的关键2.2.1.网络技术选型在校园网网络的建设中，主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择适合校园网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来向更新技术平滑过度，保护用户的投资。所以要根据实际应用的需要，采用千兆以太网作为校园网的主干网，因为作为整个校园网的信息交换中心，网络的速度会直接影响到其他各子网的性能;在建设多媒体教室时，由于网络中将会有很多的图像和声音的传输，因此对带宽和传输速度有很高的要求，采用快速以太网就是最好的选择；而对于其他一些只有诸如简单文件传输之类的应用的环境，采用以太网就能满足要求。不同网络技术的复杂程度，在一定程度上直接影响校园网的维护、管理和使用效果。千兆以太网继承了以太网的技术简单，容易学习掌握的特点，是校园网的首选技术。2.2.2.校园网的出口解决方案目前，高校校园网IP资源及注册域名基本来源于中国教育科研计算机网CERNET，但资费比较高，除了重点高校，带宽也受到了很大限制。而随着用户数量的不断增加，多数高校原有CERNET接入带宽已不能满足需求，扩大校园网出口带宽迫在眉睫，但扩大出口带宽带来的一个直接问题便是网络信息费的急剧增大，与CERNET相比，通过本地ISP接入CHINANET，在相同接入带宽的情况下费用较低。所以，采用双出口方案是高校校园网发展的一个新趋势，它综合运用了静态、网络地址转换和策略路由等技术，充分整合了CERNET及本地ISP的优势资源，是一种行之有效的校园网出口瓶颈解决方案。2.2.3.网络核心设备的选择(1)骨干带宽的选择网络应用的增加对网络带宽提出了直接的需求。事实上，从1983年802.3标准的正是成立开始，以太网技术经过20年的发展，已进入万兆以太网（802.3ae标准）的时代。校园网络应用也是极其丰富的。并且随着组播技术在校园的应用，校园网核心层将面临严峻的考验。出于对网络发展的考虑，基于网络业务的发展，在拥有近万个信息点的高校采用万兆以太网技术构建核心层是可行的。目前业务还没完全开展起来，先采用千兆骨干，但核心设备必须支持万兆，并且在教育行业有应用，证明核心产品的成熟性和稳定性。在实现端到端的以太网访问的同时提高了传输的效率，有效地保证了多媒体教学、数字图书馆等业务的开展。(2)处理能力核心层是网络高速交换的骨干，被设计成尽可能高速包转发率，同时能够提供高速的Internet的接入和高冗余性能，同时由于各高校基本采用了Internet和CERNET双出口，而且出口的速率不同，所以所选择的网络核心层设备应该能够提供多网络出口的智能选择的功能，本身能够提供冗余特性。核心层设备须能够支持多种不同模块的插槽和提供多种不同的网络模块，支持到流媒体所需的网络的组播协议和网络的多播协议的处理能力，需要线速的数据转发和数据交换功能，即高背板带宽支持和高性能网络处理芯片的支持；由于是核心设备，还必须考虑整体网络的灾难备份和设备冗余，在设计中考虑的设备冗余需要有设备支持和协议支持，设备支持就是指在核心不能由单台设备进行整个网络的数据交换，需要有至少两台设备对整个网络进行有效的支撑，并已经具备灾难备份的硬件支撑能力。在协议上，需要支持冗余协议，实现整体网络冗余。支持在单台设备失效的同时，在最短的时间切换，避免网络损失。对于核心设备在网络中的举足轻重的位置，安全对于整个网络来说也整个网络的至关重要的，对于外部的黑客攻击和内部的病毒攻击的屏蔽，是保证整个网络运行的关键。核心设备要提供完善的ACL访问控制策略的定制，防止非法内容的访问；广播包抑制及广播源定位功能，保证网络用户安全。(3)对于未来的扩展设计对于在中心位置的核心设备的设计而言，随着时代的改变，其业务结构和规模也会改变，这样需要整个网络设备能够对未来的变化具备应对措施；由于核心设备是数据和业务的核心，所以，不能轻易的进行更换，同时，考虑到成本的因素，除非核心设备已经完全不能支撑目前业务的进行，否则，基本都会采取在原来的设备增加功能支撑来满足新业务的需求。这样，对于未来的扩展性就变得异常重要，核心设备扩展槽，接插模块类型，端口密度数应有所考虑，以保证整体设备的高性价比。第三章 网络拓扑结构图3.1 系统设计原则网络拓扑图如图1：图1 校园网络网管中心总体拓扑图校园网管中心基于传统的INTRANET网络改进，INTRANE是在传统网络的基础上引入了INTERNET技术发展起来的，与一般网络相比，该网络它具有以下优点：1.该网络相对是开放的，独立于硬件平台和操作系统，基于TCP/IP通讯协议的内部网络。2.组件容易，管理方便，成本较低。在传统的网络上组建该网络。3.由于局域网大多基于高带宽的媒介，传输速度快。4.在网络的安全方面而提供更加有效的控制措施，当Intranet介入Internet，他们在物理上用防火墙来隔离，保证了网络内部的安全。3.2 网络三层结构设计校园网网络整体分为三个层次：核心层、汇聚层、接入层。为实现校区内的高速互联，核心层由2个核心节点组成，包括教学区区域、服务器群；汇聚层每片区域设置一个汇聚节点，汇聚层为高性能“中核心”型交换机，为了保证数据传输和交换的效率，同时提高了网络的安全性；接入层为每个区域的接入交换机，是直接与用户相连的设备。本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计，以满足客户需求。3.3 可管理性与维护原则 网络建设的一项重点在于网络的管理，网络的建设必须保证网络运行的可管理性。在网络出故障时能迅速简便地进行网络故障的诊断。我院学校网络系统的节点数目大，分布范围广，通信介质多种多样，采用的网络技术也较先进，网络的管理任务加重了，如何有效地管理好网络关系,是否充分有效地利用网络的系统资源等问题就摆在我们面前。用图形化的管理界面和简洁的操作方式，合理地网络规划策略,可以提供强大的网络管理功能，使网络日常的维护和操作变得直观、简便和高效。3.4 安全性与保密性原则 信息系统安全问题是信息中心的任务，保证网络的通畅。确保经过该网络安全地获取信息，并保证该信息的完整和可靠。保证系统可靠运行，在网络设计时，将从内部访问控制和外部防火墙两方面保证我院校园网网络系统的安全。3.5 稳定性和可靠性可靠性对于一个网络拓扑结构是至关重要的，在局域网中经常发生节点故障或传输介质故障，一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能小以外，同时还应具有良好的故障诊断和故障隔离功能。第四章 设备选型网络中心设备预算表，如表1：名称型号生产商单位数量单价金额核心交换机cisco3560思科台27,500.0015,000.00路由器cisco2901思科台310,000.0030,000.00交换机cisco2960思科台13,500.003,500.00机柜图腾（TOTEN）K3.6622图腾个13,000.003,000.00水晶头安普（AMP）554720-3安普个1001.00100.00双绞线安普（AMP）219420-2安普 箱1600.00600.00插板公牛（BULL) GN-109K公牛个560.00300.00光纤模块思科XENPAK-10GB-ER思科个23,700.007,400.00防火墙思科（CISCO） ASA5505-K8思科台13,000.003,000.00笔记本联想Z400联想台44,000.0016,000.00路由器Cisco2801思科台15,000.005,000.00表1网络中心设备预算表4.1 核心路由器选型网络中心将网络主干部分称为核心层采用两台路由器，核心层的主要目的在于通过高速转发通信，提供可靠的骨干传输结构，因此核心层交换机应拥有更高的可靠性，性能和吞吐量。思科（Cisco）CISCO2901/K9路由器图片及参数如图2、图3：图2 思科（Cisco）CISCO2901/K9路由器图片图3 思科（Cisco）CISCO2901/K9路由器参数4.2 核心交换机选型通常将网络中直接面向用户连接或访问网络的部分称为接入层，将位于接入层和核心层之间的部分称为分布层或汇聚层，接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性；汇聚层交换机是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。而将网络主干部分称为核心层，核心层的主要目的在于通过高速转发通信，提供优化、可靠的骨干传输结构，因此核心层交换机应用有更高的可靠性能和吞吐量。思科（Cisco）CISCO WS-C2960-24TS-L图片及参数如图4、图5：图4 思科（Cisco）CISCO WS-C2960-24TS-L图片图5 思科（Cisco）CISCO WS-C2960-24TS-L参数4.3 防火墙选型在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。CISCO ASA5505-k8图片及参数如图6、图7：图6 CISCO ASA5505-k8图片图7 CISCO ASA5505-k8参数第五章 基本配置51 VLAN的应用VLAN是一个在物理网络上根据用途，工作组、应用等来逻辑划分的局域网络，是一个广播域，与用户的物理位置没有关系。VLAN中的网络用户是通过LAN交换机来通信的。一个VLAN中的成员看不到另一个VLAN中的成员。同一个VLAN中的所有成员共同拥有一个VLAN ID，组成一个虚拟局域网络；同一个VLAN中的成员均能收到同一个VLAN中的其他成员发来的广播包，但收不到其他VLAN中成员发来的广播包；不同VLAN成员之间不可直接通信，需要通过路由支持才能通信，而同一VLAN中的成员通过VLAN交换机可以直接通信，不需路由支持。 VLAN的特性是：控制通信活动，隔离广播数据顺化网络管理，便于工作组优化组合，VLAN中的成员只要拥有一个VLAN ID就可以不受物理位置的限制，随意移动工作站的位置；增加网络的安全性，VLAN交换机就是一道道屏风，只有具备VLAN成员资格的分组数据才能通过，这比用计算机服务器做防火墙要安全得多；网络带宽得到充分利用，网络性能大大提高。 52 VLAN的划分及配置5.2.1VLAN的划分表，如表2：VLAN10连接到办公区域VLAN20连接到教学区域VLAN30连接到宿舍区域VLAN40连接到内部防火墙和服务器表2 VLAN的划分表S1# interface FastEthernet0/3 switchport access vlan 10 switchport mode access /S1将fa 0/3端口应用于VLAN10interface FastEthernet0/4 switchport access vlan 20 switchport mode acces /S1将fa 0/4端口应用于VLAN20interface FastEthernet0/5 switchport access vlan 30 switchport mode access /S1将fa 0/5端口应用于VLAN30interface FastEthernet0/6 switchport access vlan 40 switchport mode access /S1将fa 0/6端口应用于VLAN40S2与S1VLAN划分相同53 IP地址分配及配置IP 地址是我们进行TCP/IP通讯的基础，每个连接到网络上的计算机都必须有一个IP地址。我们目前使用的IP地址是32位的，通常以点分十进制表示。一个简单的IP地址其实包含了网络地址和主机地址两部分重要的信息。5.3.1设备管理IP地址规划表，如表3：名称设备名称接口IP地址子网掩码VLAN备注互联网路由器1cisco2901s0/3/118连接InternetzhuR1s0/3/022连接到beifenR2互联网路由器2cisco2901s0/3/05连接到zhuR1s0/3/13连接到beifenR2互联网路由器zhuR1cisco2901s0/3/119连接到互联网路由器1s0/3/06连接到互联网路由器2fa0/0连接到S1fa0/连接到S2三层交换机S1cisco3560fa0/连接到zhuR1fa0/连接到beifenR2fa0/3VLAN10连接到办公区域fa0/4VLAN20连接到教学区域fa0/5VLAN30连接到宿舍区域fa0/6VLAN40连接到内部服务器三层交换机S2cisco3560fa0/连接到beifenR2fa0/连接到zhuR1fa0/3VLAN10连接到办公区域fa0/4VLAN20连接到教学区域fa0/5VLAN30连接到宿舍区域fa0/6VLAN40连接到内部服务器二层交换机cisco2960连接到S1和S2，防火墙防火墙cisco5505outsidee0/00连接到S1和S2 insidee0/154连接到管理PCdmz54连接到服务器群联想计算机PCfa0/0连接到防火墙inside服务器群fa0/0连接到防火墙DMZ表3设备管理IP地址规划表zhuR1#interface GigabitEthernet0/0ip address /配置zhuR1 gi 0/0接口IP地址interface GigabitEthernet0/1ip address /配置zhuR1 gi 0/1接口IP地址interface Serial0/3/0ip address 6 /配置zhuR1 s0/3/0接口IP地址interface Serial0/3/1ip address 19 /配置zhuR1 s0/3/1接口IP地址beifenR2#interface FastEthernet0/0ip address /配置beifenR2 fa0/0 接口IP地址interface FastEthernet0/1ip address /配置beifenR2 fa0/1 接口IP地址interface Serial0/3/0ip address 21 /配置beifenR2 s0/3/0 接口IP地址interface Serial0/3/1ip address 4 /配置beifenR2 s0/3/1 接口IP地址S1#interface Port-channel1no switchportip address /配置交换机S1聚合端Port-channel1 IP地址interface FastEthernet0/1no switchportip address /配置交换机S1 fa0/1 IP地址interface FastEthernet0/2no switchportip address /配置交换机S1 fa0/2 IP地址interface Vlan10ip address /配置VLAN10 IP地址interface Vlan20ip address /配置VLAN20 IP地址interface Vlan30ip address /配置VLA30 IP地址interface Vlan40ip address /配置VLAN40 IP地址S2# interface Port-channel1no switchportip address /配置交换机S2聚合端Port-channel1 IP地址interface FastEthernet0/1no switchportip address /配置交换机S2 fa0/1 IP地址interface FastEthernet0/2no switchportip address /配置交换机S2 fa0/2 IP地址interface Vlan10ip address /配置VLAN10 IP地址interface Vlan20ip address /配置VLAN20 IP地址interface Vlan30ip address /配置VLAN30 IP地址interface Vlan40ip address /配置VLAN40 IP地址54 路由器基本配置zhuR1#hostname zhuR1 /配置路由器主机名line con 0password 123456login /配置路由器控制口登录密码line vty 0 4password ciscologin/配置路由器远程登录密码（其他设备大多配置相同）55 灌注cisco路由器IOS步骤：1)设置电脑的IP地址为（这个随便，只要和路由器设的在同一个网段就行），子网掩码，默认网关,如图8：图8 设置电脑的IP2)打开电脑的tftp_server服务器软件，将目录改为下载下来的IOS文件目录，不要关闭这个软件。3)用交叉线和console线连接电脑和路由器，打开电脑的SecureCRT软件，选择serial口COM*。启动路由器，快速按下Ctrl+Break，这是CRT中显示rommon1，提示你输入命令。配置步骤如下：Rommon1tftpdnld /这时显示出现提示，相关信息没有配置Rommon2IP_ADDRESS= /设置路由器IP，保证电脑与路由器在同一网段Rommon3IP_SUBNET_MASK= /设置路由器子网掩码Rommon4DEFAULT_GATEWAY=54 /设置默认网关Rommon5TFTP_SERVER= /服务器IP地址，这里是电脑IP地址Rommon6TFTP_FILE= c3640-jk9o3s-mz.124-12.bin /IOS文件名Rommon7tftpdnld /启动接收文件这时候会提示你是否删除flash中的所有文件，选择y，接着开始接收IOS文件。传输完成后，会自动进行相关初始化和配置，等这个过程结束后，输入reset重启路由器就可以正常试用了。56防火墙基本配置interface Vlan11 nameif outside/把VLAN11配置为outside口 security-level 0/配置outside口的安全级别为0 ip address 0 /配置IP地址interface Vlan22 nameif inside/把VLAN11配置为outside口 security-level 100/配置outside口的安全级别为0 ip address 54 /配置IP地址interface Vlan33 no forward interface Vlan2/由于asa5505限制，配置dmz转寄 nameif dmz/把VLAN11配置为outside口 security-level 50/配置outside口的安全级别为0 ip address 54 /配置IP地址其它配置：access-list in_to_out extended permit ip any access-list in_to_dmz extended permit ip access-list acl_out extended permit tcp any any eq www access-list acl_out extended permit tcp any any eq https access-list acl_out extended permit icmp any any access-list 102 extended permit icmp any any access-list 102 extended permit ip any any access-list acl_dmz extended permit icmp any any global (outside) 1 - netmask nat (inside) 1 nat (inside) 1 access-group acl_out in interface outsideaccess-group acl_dmz in interface dmz access-group acl_in_to_out in interface insideaccess-group acl_in_to_dmz in interface insideroute outside 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolutetimeout tcp-proxy-reassembly 0:01:00timeout floating-conn 0:00:00dynamic-access-policy-record DfltAccessPolicyno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstartcrypto ipsec security-association lifetime seconds 28800crypto ipsec security-association lifetime kilobytes 4608000telnet insidetelnet timeout 5ssh timeout 5console timeout 0dhcpd address -2 insidedhcpd enable insidethreat-detection basic-threatthreat-detection statistics access-listno threat-detection statistics tcp-interceptclass-map inspection_default match default-inspection-trafficpolicy-map type inspect dns preset_dns_map parametersmessage-length maximum client automessage-length maximum 512policy-map global_policy class inspection_defaultinspect dns preset_dns_map 第六章 网络主要配置路由器主要有以下几种功能：第一，网络互连，路由器支持各种局域网和广域网接口，主要用于互连局域网和广域网，实现不同网络互相通信;第二，数据处理，提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能；第三，网络管理，路由器提供包括配置管理、性能管理、容错管理和流量控制等功能。6.1 配置动态路由协议是网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息更新路由器表的过程。它能实时地适应网络结构的变化。如果路由更新信息表明发生了网络变化，路由选择软件就会重新计算路由，并发出新的路由更新信息。这些信息通过各个网络，引起各路由器重新启动其路由算法，并更新各自的路由表以动态地反映网络拓扑变化。动态路由适用于网络规模大、网络拓扑复杂的网络。当然，各种动态路由协议会不同程度地占用网络带宽和CPU资源。6.2 三层交换机路由配置S1： router ospf 1 network 55 area 0 network 55 area 0 network 55 area 0 network 55 area 0 network 55 area 0 network 55 area 0 network 55 area 0network 55 area 0/配置S1的动态路由协议ospfS2： router ospf 1 network 55 area 0 network 55 area 0 network 55 area 0 network 55 area 0 network 55 area 0 network 55 area 0 network 55 area 0/配置S2的动态路由协议6.3 路由器路由配置ZhuR1:router ospf 1network 55 area 0network 55 area 0/配置R1路由器的动态路由协议ip route Serial0/3/1/配置R1路由器默认路由beifenR2#router ospf 1network 55 area 0network 55 area 0/配置R2路由器的动态路由协议ip route Serial0/3/0/配置R1路由器默认路由6.4 双出口网络由于中国教育科研网与一般的电信级运营网络不同，没有非常充裕的线路、设备冗余，有可能发生单点故障，对于校园网的稳定运行有一定的影响。同时，通过CERNET访问其他的共众网如CHINANET、GBNET等速率缓慢。随着校园网用户量增加和基于校园网络的各种网络应用的展开，要求校园网络出口具有较高的网络带宽，原有单一的CERNET出口已不能满足，有必要进一步扩大带宽，通过当地网络服务提供商（ISP）开辟第二出口连入INTERNET是较好的解决途径，许多学校采用了教育网和电信（或联通、电信等）第二出口的双出口方案，既可以保留教育网资源，同时可以增加带宽，提高了访问INTERNET资源的速度。6.4.1配置基于策略的路由协议传统上，路由器使用路由表，根据目的地址进行报文的转发。基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力，策略路由不仅能够根据目的地址而且能够根据报文大小，应用或IP源地址等来选择转发路径。策略路由使网络管理者能根据实际需要，灵活的决定一个报文采取的具体路径。而在当今复杂的网络中，这种选择的自由性是很重要的。策略路由是设置在接收报文接口而不是发送接口，它采用MATCH和SET语句实现路径的选择。当前的主流路由设备(路由器，多层交换机)基本上都可以支持策略路由。6.4.2基于源的策略基于源策略的路由选择允许用户根据信息量的始发地做出路由选择决定。ZhuR1:access-list 10 permit 55access-list 20 permit 55access-list 30 permit 55access-list 40 permit 55/配置允许的数据流量route-map cisco1 permit 20match ip address 20set interface Serial0/3/0 Serial0/3/1 /配置20网段首先走s0/3/0,其次走路s0/3/1route-map cisco1 permit 30match ip address 30set interface Serial0/3/0 Serial0/3/1/配置30网段首先走s0/3/0,其次走路s0/3/1route-map cisco permit 10match ip address 10set interface Serial0/3/1 Serial0/3/0/配置10网段首先走s0/3/1,其次走路s0/3/0route-map cisco permit 40match ip address 40set interface Serial0/3/1 Serial0/3/0/配置40网段