中北大学园区网设计说明书 C

组网实验周设计说明书目录1中北大学园区网的设计目标11.1中北大学园区网项目说明11.2 中北大学园区网设计目标11.3 中北大学园区网项目设计进度说明22 需求分析32.1中北大学园区网络项目需求32.1.1中北大学的地理环境32.1.2中北大学的组织机构（或结构说明）32.1.3中北大学的网络设计原则32.2 中北大学的网络业务32.2.1网络业务说明32.2.2节点分布及流量估计32.3 中北大学的安全和管理要求42.3.1安全要求42.3.2管理要求42.4 中北大学园区网络的WAN接入技术42.4 中北大学园区网络设计的技术指标43 总体设计和分工说明53.1 总体设计53.1.1总体网络拓扑设计53.1.2子项目设计53.1.3子项目设计53.1.4子项目设计53.2 地址规划53.2.1地址说明及规划原则53.2.2地址规划53.3 分工说明64图书馆、教学区网络设计项目（子项目1）的设计方案（负责人：张勇）74.1图书馆、教学区网络设计方案74.1.1图书馆、教学区网络拓扑设计74.1.2网络设备选型74.1.3应用技术说明74.2图书馆、教学区网络项目论证74.2.1图书馆、教学区网项目论证实验说明74.2.2图书馆、教学区网络论证实验调试结构75学生、教职工宿舍区网络设计项目（子项目2）的设计方案（负责人：王丹）85.1学生、教职工宿舍区网络设计方案85.1.1学生、教职工宿舍区网络拓扑设计85.1.2网络设备选型85.1.3应用技术说明85.2学生、教职工宿舍区项目论证85.2.1学生、教职工宿舍区网络项目论证实验说明85.2.2学生、教职工宿舍区网络论证实验调试结构86核心层设计及IP地址规划设计项目（子项目2）的设计方案（负责人：施秋萍）86.1核心层设计及IP地址规划网络设计方案86.1.1核心层设计及IP地址规划网络拓扑设计86.1.2网络设备选型86.1.3应用技术说明86.2核心层设计及IP地址规划项目论证86.2.1核心层设计及IP地址规划网络项目论证实验说明86.2.2核心层设计及IP地址规划网络论证实验调试结构8 7办公区网络设计项目（子项目2）的设计方案（负责人：余健）87.1办公区网络设计方案87.1.1办公区网络拓扑设计87.1.2网络设备选型87.1.3应用技术说明87.2办公区项目论证87.2.1办公区网络项目论证实验说明87.2.2办公区网络论证实验调试结构88分校网络设计及与主校的连接项目（子项目2）的设计方案（负责人：张稳）88.1校网络设计及与主校的连接设计方案88.1.1校网络设计及与主校的连接网络拓扑设计88.1.2网络设备选型88.1.3应用技术说明88.2校网络设计及与主校的连接项目论证88.2.1校网络设计及与主校的连接网络项目论证实验说明88.2.2校网络设计及与主校的连接网络论证实验调试结构89 中北大学园区网项目设计的汇总说明9.1中北大学园区网网络设计指标的偏差说明9.2中北大学园区网网络设计设备采购汇总10 中北大学园区网项目设计的总结10.1小组总结报告10.2组员总结10.2.1中北大学园区网设计的总结10.2.2中北大学园区网设计的总结附录A：中北大学园区网论证实验设备配置清单附录B：中北大学园区网论证实验设备配置清单5号宋体 1.5倍行距III1中北大学校园园区网的设计目标1.1中北大学校园园区网项目说明 中北大学(North University of China) （原华北工学院、太原机械学院）位于晋商之都山西省省会太原市，创建于 1941 年，是工业与信息化部与山西省人民政府共建，学科专业涵盖工、理、文、经、管、法、教 7 大门类，在国防科技领域和区域经济建设中有着重要影响力的教学研究型大学。 从05年开始试行11省一本招生，到08年已有24个省进入一本招生。 学校占地170万平方米，建筑面积近86万平方米，固定资产总值14.16亿元，教学科研仪器设备总值2.28亿元，拥有完善的教学和公共服务设施。校园依山傍水，林木葱郁，环境幽雅。拥有功能齐全、设备先进的教学大楼、实验大楼、现代教育技术与信息中心、生活服务中心等教学、科研、公共服务设施。现代化的图书大楼设有大型电子阅览室、音像资料室、情报学术交流室和学生专业阅览室，拥有中外文图书和电子图书 200 多万册。根据关于校园网建设规划的目标要求，要将校园网建成“高速、稳定、安全、可控、可管”的网络。经过长时间的调研和准备，最终中北大学与我工作组携手共同规划、实施校园网升级改造项目。1.2 中北大学校园园区网设计目标1、建网目的 要将中北大学园区网建成“高速、稳定、安全、可控、可管”的网络。2、设计目标 中北大学校园网改造项目，对于“高速、稳定、可靠”的骨干网络、统一有效的全网身份认证、行之有效的全局安全控制等都有着详细的规划和设计。 高速实现万兆到分区，千兆到楼，百兆到桌面。 稳定稳定分为两个层面，一方面充分考虑网络设备自身的稳定性，另一方面要求网络提供充分冗余和备份能力，提高全网和局部网络的稳定性。 安全进行整网安全部署，将安全融合到网络架构中，保证关键设备、关键应用的正常运行。 易管理网络拓扑规范、统一、简单。能够方便的对全网进行策略管理。 保护现有投资在网络改造的过程当中，对现有设备尽量加以利用。 易扩展能满足今后5-8年的建设需要，适应各种变化。1.3 中北大学园区网项目设计进度说明开始时间（09-12-16）结束时间（09-12-30） 进度说明1.09-12-1609-12-18： 上网搜资料，了解中北大学的相关材料（地理环境、学校的职能部门种类、网络的节点数的统计、部门对网络的需求、以及中北大学分校的相关情况）2.09-12-1909-12-22： 针对中北大学整个校园的布局特点，以及网络的需求进行网络规划，画出网络拓扑图，并整体确定一下在进行网络规划时所使用的网络技术（网络安全技术、管理技术等），并开始写设计说明书的相关内容：如：需求分析、项目背景以及目标说明、分工安排等。3.09-12-23-27： 根据上一步画出来的网络拓扑图，在实验室按照规划好的网络拓扑图进行网络配置，完善整体的情况，进一步分析并确定需要用到的网络技术，并且完善详细的设计说明书。4.09-12-2809-12-30： 对实验过程中的遗留问题进行解决，提交最终的配置说明书，进行小组的项目答辩，组网实验周结束。2 需求分析2.1 中北大学园区网络设计项目需求2.1.1的地理环境项目的地理分布和环境环境说明： 中北大学是一所由工业和信息化部与山西省人民政府共建、以山西省人民政府管理为主的多科 性教学研究型大学。学校位于山西省省会太原市，西倚巍巍二龙山，南临清清汾河水，毗邻太原名胜窦大夫祠，青山碧水，风景旖旎。中北大学位于太原市的尖草坪区的一个郊区，在地理环境上可谓是独立。2.1.2中北大学园区网络的组织机构（或结构说明）组织机构的说明：中北大学是一个综合性的大学，一共分为十五个学院，每个学院都有自己独立的办公楼，组织机构主要分为：党务机构，行政机构，群团组织，直属部门，后勤部门，部署部门，每个部门都有自己的工作职责，彼此之间又有相关的联系，所以要保证所有的网络互通和正常运行。 学院组成说明：中北大学一共由十五个学院组成（机电工程学院、机械工程与自动化学院、材料科学与工程学院、化工与环境学院、信息与通信工程学院、电子与计算机科学技术学院、理学院、人文社会科学学院、经济与管理学院、体育与艺术学院、研究生院、软件学院、后备军官学院、成教学院、信息商务学院）；每个学院内部又分别有党委机构、行政机构、科研机构、教学机构、院长信箱等，由于各个学院的情况和需求有所不一样，所以每个学院的对网络的要求在一定的程度上是不一样的。机电工程学院机械工程与自动化学院行政机构党委机构教学机构科研机构学生工作党建工作教学科学生科材料科学与工程学院化工与环境学院信息通信学院电子与计算机科学技术学院理学院人文社会科学学院经济与管理学院体育与艺术学院后备军官学院软件学院成教学院信息商务学院学院2.1.3中北大学的网络设计原则园区网网络设计的基本原则考察物理链路： 物理链路的带宽是网络设计的基础。分析数据流的特征： 明确应用和数据流的分布特征，可以更加有效地进行资源分布。采用层次化模型进行设计： 层次结构能将多个子网清晰地互联，使网络更加易于扩展和易于管理 层次结构可以是物理上的，也可以是逻辑上的。考虑网络冗余： 网络中的单点故障不应影响网络的互通性，网络中链路负载应适当进 行均衡，可根据不同网络的需求、网络中不同部分的需求分析和设计。注重网络安全： 组成任何规模的网络，必须考虑整网的安全，可根据不同的网络用户和应用环境定义安全策略，在全网进行部署。特性网络的说明（不同于其他网络的注意事项）特殊要求（无线覆盖、组播应用、安全要求等）2.2 中北大学的网络业务2.2.1网络业务说明网络业务需求分析： 作为本校园网工程最终用户的中北大学以及中北大学分校的领导、管理人员和专业技术人员，是学校的专门管理人员，具有丰富的管理经验和专业知识，他们对数据信息的需求有所不同：校领导希望能提供决策方面的主要数据，中层干部既具有决策又有管理工作，希望能尽快收集信息，用以协调各部门工作。专业人员从事基础管理工作，希望通过计算机提高工作效率。教师希望能以更生动、形象的多媒体手段给学生授课，同时通过计算机网络查询资料、进行备课和与学生交流。学生也希望能够通过计算机网络快速、便捷地与老师沟通、下载课件和利用网络资源解决学习上的困难和自学。他们对计算机应用都表现出了极高的热情，这样为我们组建校园网络提供了坚实的用户基础。网络业务说明：项 目 说 明 适用对象 电子文档传递 办公自动化 教职员工 E-mail 电子邮件 全体师生员工 Web 因特网信息服务 对外宣传及通知发布FTP 文件共享 全体师生员工 VOD 视频点播服务 全体师生员工 E-Library 电子图书馆 全体师生员工 电子教务系统 课程编排，学生选课、学生成绩发布教务管理人员，教师，学生。 信息安全 对敏感信息进行保护 机要部门，重要文档。 Internet访问 通过校园网访问因特网 全体师生员工 远程访问 在校外访问校内网络 全体师生员工 针对不同部门和应用业务分别阐述（参考）组织机构结点服务每种网络业务的流量要求（参考）提供的服务此服务所需的流量（单位 Kb）E-mail300Web200internet120视频服务1000ftp远程访问电子文档传递2.2.2节点分布及流量估计： 因为各个学院的部门大同小异，而且各个部门要需求的服务也差不多，所以各学院的流量分布计算可以按照相同的部门来进行计算。计算公式：总流量=各服务流量*节点数*0.8学生宿舍区流量分布表：楼号该楼所需的流量 计算公式：总流量=各服务流量和*节点数*0.2部门各学院该部门的总流量该部门的总体流量教职工宿舍区流量分布表：楼号该楼所需的流量初步计算了用户的主要流量需求： 应用程序 每个网段流过主干的百分率 同时会话数 平均处理量大小需求的总流量 Web 30/20/50 1000 t/s 20kb/s 19.53M/s E-mail 40/20/40 150 t/S 3kb/s 3.6M/s FTP 25/25/50 100 t/h 3.6kb/s 5.8m/s VOD 20/20/60 100t/s 450kb/s 43.9m/s 骨干网总流量：约72.83M/s，广域网流量：约18.2M/s 依据上面的图表可得，每个用户的宽度需求都在2m以下，所以桌面采取2m，每个接入层交换机最多接20个结点，所以采用（）m接入层交换机，总共867个结点，所以汇聚层采用（）m聚合接口偶互联，采用（）m核心，（）m备份，到核心交换机。2.3 中北大学的安全和管理要求2.3.1安全要求 在信息化的社会里面，网络越来越受到重视，成为了人们生活中的主要信息交流工具，作为一个大学校园网，现在面临着更多的网络安全的挑战。主要体现在一下几个方面： 网络病毒泛滥，网络攻击成上升趋势。安全事件从发现到控制，基本采取手工方式，难以及时控制与防范； 对于未知的安全事件和网络病毒，无法控制； 用户普遍安全意识不足，校方单方面的安全控制管理，难度大； 现有安全设备工作分散，无法协同管理、协同工作，只能形成单点防御。各种安全设备管理复杂，对于网络的整体安全性提升有限。 某些安全设备采取网络内串行部署的方式，容易造成性能瓶颈和单点故障； 无法对用户的网络行为进行记录，事后审计困难。为了让大学的师生更好的运用网络，我们拟定了网络安全的部分主要设计目标： 全局安全策略网络安全部署是一个全局的概念，要充分考虑全局统一的安全部署，将现有安全设备有机的联动起来，对网络形成一个由内至外的整体安全构架。 深度安全策略对网络安全事件的侦测不能仅停留在网络层面，要深入到应用层面，数据层面。对网络安全事件进行深度探测。 融合安全策略网络安全要和网络设备充分融合，做到网络安全融入网络基本构架、融入网络设备。 高速、稳定、简单的安全策略要求安全策略部署不能影响到网络的性能，不造成网络单点故障，不能影响整个拓扑结构的规划。2.3.2管理要求中北大学是一所综合性比较强的大学，全校师生总数接近四万人，所以校园网是一个比较大的工程，做好管理需要做好各方面的工作：首先要有一个比较好的，稳定的网络规划，再者运用比较好的网络管理技术以及网络安全技术，最后还得保证要有一批具有专业网络技术的管理骨干。管理特性 独有的AGTS的用户管理模式。将大量的信息转化为少量的模板对应，可以在设置的时候使用最少量的对应关系，从而大大提高用户管理的效率。 用户能够清晰的了解到系统自动对其处理的安全事件和措施，出现网络故障时，能够提供网络在线报修平台，提高故障管理的效率，极大的减轻了网络中心的工作压力； 事件，可迅速追查到人； 能够提供多种地址绑定手段，并能严格限定地址获取方式，防止IP地址冲突及盗用； 紧急的系统补丁，文件通知，将能够简单便捷的分发至每一个用户。且无论用户是否上线，也要保证其在登陆网络后，第一时间安装和阅读。所以学校应该构建一个对网络系统进行自动化，智能化监测和管理的综合网络管理系统平台。2.4 中北大学的WAN接入技术总校局域网采用三层以太网结构连接；总校与分校之间采用租用线路，帧中继连接，网通线路接入，2m带宽，1000元/月。 当地的ISP所提供的宽带接入、主机托管、网络服务说明；项目中选择的接入技术说明2.4 中北大学园区网络设计的技术指标校园网建设应该充分考虑学校教学的需求、学校现代化管理程度，教师运用现代教育技术的熟练程度等诸多因素，同时考虑学校今后的校园网建设以及学校的经济实力，对自身的需要的网络要准确定位。针对上述需求，逐一说明组网设计的技术选择和解决手段3 总体设计和分工说明3.1 总体设计3.1.1总体网络拓扑设计3.1.2核心层设计子项目设计核心层为双核心，采用VRRP+MSTP的冗余技术，实现网络的冗余备份及负载均衡。采用路由策略，实现网路的双出路，连接到教育网及通过网通连接到Internet。在连接服务器的路由器上做TCP负载均衡，以实现对服务器的均衡会话。在出口路由器上做NAPT，将内部地址转换为注册外部地址，实现内部所有主机对外网的访问。路由器上做路由重分发，以适应内部网络中的不同路由策略。3.1.3图书馆、教学区网络子项目设计 图书馆网络设计中，在图书馆汇聚层交换机上做冗余备份，采用双核心技术提高网络的可靠性。不同阅览室、不同科室、部门划分不同VLAN，建立独立的冲突域。由于图书馆办公部门利用ACL拒绝www服务及禁止员工网络聊天等。教学区网络设计中，划分不同VLAN，建立独立冲突域。汇聚层交换机采用双核心，在交换机上配置MSTP解决二层环路及链路备份问题，应用交换机端口安全技术，限制最大连接数、速率及访问控制。3.1.4学生、教职工宿舍区子项目设计在教工、学生公寓网络设计中，不同学院学生、老师建立不同VLAN，利用三层交换机，通过SVI实现跨网段的访问。在连接核心层的路由器上做NAPT，实现网络地址的转换。在汇聚层交换机上，通过建立访问控制列表，实现对教师、学生上网时间的控制及流量的控制，从而优化网络质量。通过端口安全，限制端口的最大连接数。运用DHCP自动分配网络地址。3.1.5办公区网络设计子项目设计在办公区子系统中，汇聚交换机采用双核心以提高网络可靠性，配置MSTP解决环路问题，实现链路备份。不同的行政部门、不同学院建立不同VLAN，建立独立冲突域提高网络质量。建立访问控制列表，涉及到特殊部门为之建立特殊的ACL。通过三层SVI实现跨网段访问。3.1.6 分校网络设计及与主校的连接 在分校的网络设计中，利用帧中继实现与主校的连接。在路由器上做NAPT，实现内部地址和外部地址的转换。在汇聚层交换机上做MSTP实现冗余备份。分校中不同部门划分不同VLAN，利用三层SVI接口实现不同VLAN间的相互访问。开启端口安全功能，保证网络安全。3.2 地址规划3.2.1地址说明及规划原则注册地址说明:注册地址为一个C类地址 68/29地址规划原则：利用VLSM（可变长子网掩码）实现IP地址的多层次地址分配。3.2.2地址规划注册地址的分配一个C类注册地址：68/2968/29 68（办公网络） 69（教学网络） 70（图书馆网络） 71（公寓区网络） 72（分校1网络） 73（分校2网络） 74 75（后勤、附属医院、附中附小、家属区） 76（保留）私有地址的总体规划/16 共有2的16次方减2个地址，65534个地址，足够全校师生分配，同时还为将来发展留足了空间。 /19 征用三位主机号作为子网号，可分为八个地址块，每个地址块有8190个可用地址 /19 /19 /19 /19 /19 /19 /19 /19地址分配的方式说明及NAT/NAPT的说明如下地址分配及NAT/NAPT说明网络私有地址注册地址办公网络/1968图书馆网络/1970教学网络/1969公寓区网络/19 /1971分校1/1972分校2/1973其他/1974 763.3 分工说明项目组长施秋萍 全体组员余健张勇张稳王丹施秋萍需求分析及相关资料的搜索学生教职工宿舍网络设计分校网络设计及与主校连接接图书馆教学区网络设计办公区的设计核心层设计及IP地址规划分工的依据：中北大学园区网是一个综合性网络，按照不同的部门分工，有助于全部组员培养综合能力，分工的每一部分可以说是比较综合的，所以很好的考查能力。4核心层设计及ip地址规划项目的设计方案（负责人：施秋萍）4.1网络设计方案4.1.1核心层网络拓扑设计核心层为双核心，采用VRRP+MSTP的冗余技术，实现网络的冗余备份及负载均衡。采用路由策略，实现网路的双出路，连接到教育网及通过网通连接到Internet。在连接服务器的路由器上做TCP负载均衡，以实现对服务器的均衡会话。在出口路由器上做NAPT，将内部地址转换为注册外部地址，实现内部所有主机对外网的访问。路由器上做路由重分发，以适应内部网络中的不同路由策略。4.1.2网络设备选型核心路由器选择锐捷的RSR-08E，因为RSR-08E提供丰富的IP/MPLS特性及卓越的性能，RSR-08E路由器拥有三个独特的硬件模块, 专门用于控制层面、转发层面和业务层面。锐捷RSR-08E采用全冗余硬件架构，且具备自动故障切换及联机软件升级（ISSU）等特性。设备性能方面如下表：设备性能交换容量12.8G包处理能力16MPPSACL超过1万条路由表50万条标准和规范安全性CAN/CSA-C22.2 No. 60950-00/UL 60950、EN 60825-1、EN 60825-2、EN 60950电磁兼容性AS/NZS 3548 Class B、BSMI Class B、EN 55022 Class B、FCC Part15 ClassB、VCCI ClassBETSIETS-300386-2 电信网络设备电磁兼容性要求NEBSGR-63-Core、GR-1089-Core、SR-3580 NEBS 标准级别(符合第3 级标准)RSR-08E 基本主件：8 PIC slot 插槽，冷却系统，midplane，2 交流电源，1 转发引擎，1路由引擎，含JUNOS，可选（flash media kit ）核心交换机选择锐捷的RG-S8610,RG-S8610是锐捷网络推出的面向十万兆平台设计的下一代高密度多业务支持IPv6的核心路由交换机，满足未来以太网络的应用需求，支持下一代的以太网100G速率接口，提供10横插槽设计。RG-S8600系列高密度多业务IPv6核心路由交换机提供4.8T/3.2T/1.6T背板带宽，并支持将来更高带宽的扩展能力，高达1786Mpps/1190Mpps/595Mpps的二/三层包转发速率可为用户提供高密度端口的高速无阻塞数据交换。型号描述RG-S8610主机箱及管理引擎S8610-BASE10扩展槽主机箱（含1个1200W交流电源和风扇阵列柜，不含管理引擎模块，提供监控显示屏）M8610-CM管理引擎模块（可以冗余，提供USB管理接口）必需给出设备采购清单（含模块），并计算出预算。切记，禁止大段粘贴设备厂商所提供的产品说明4.1.3应用技术说明核心层为双核心，采用VRRP+MSTP的冗余技术，实现网络的冗余备份及负载均衡。采用路由策略，实现网路的双出路，连接到教育网及通过网通连接到Internet。在连接服务器的路由器上做TCP负载均衡，以实现对服务器的均衡会话。在出口路由器上做NAPT，将内部地址转换为注册外部地址，实现内部所有主机对外网的访问。路由器上做路由重分发，以适应内部网络中的不同路由策略。对自己设计中所采用的路由、交换、安全、认证、IP地址应用、冗余和负载分担等技术逐一介绍。4.2中北大学园区网络项目论证4.2.1中北大学园区网络项目论证实验说明实验拓扑图论证实验的综合应用技术说明MSTP1 打开Spanning-tree协议，设备即开始运行生成树协议，本设备缺省运行的是 MSTP协议。S1# configure terminal 进入全局配置模式。 S1(config)# spanning-tree 打开 Spanning Tree协议。 S1(config)# end 退回到特权模式。 S1# show spanning-tree 核对配置条目。 S1# copy running-config startup-config 保存配置。2 配置 Spanning Tree 的模式S1# configure terminal 进入全局配置模式。 S1(config)# spanning-tree mode mstp/rstp/stp 切换 Spanning Tree 模式。 S1(config)# end 退回到特权模式。S1# show spanning-tree 核对配置条目。 S1# copy running-config startup-config 保存配置。3 配置设备优先级（ Switch Priority ）设置设备的优先级关系着到底哪个设备为整个网络的根，同时也关系到整个网络的拓扑结构。核心设备的优先级应设得高些（数值小），这样有利于整个网络的稳定。可以给不同的Instance分配不同的设备优先级，各个 Instance 可根据这些值运行独立的生成树协议。对于不同 Region 间的设备，它们只关心CIST（ Instance 0 ）的优先级。优先级的设置值有 16个，都为 4096的倍数，分别是 0 ， 4096， 8192， 12288， 16384， 20480， 24576， 28672， 32768， 36864 ， 40960， 45056， 49152， 53248， 57344， 61440。缺省值为 32768 。S1# configure terminal 进入全局配置模式。 S1(config)# spanning-tree mst instance-id priority priority 针对不同的 instance 配置设备的优先 级，当您不加 instance 参数时，即对 instance 0进行配置。 instance-id，范围为 0 64 priority ，取值范围为 0到 61440，按 4096的倍数递增，缺省值为 32768 。 S1(config)# end 退回到特权模式。 S1# show running-config 核对配置条目。 S1# copy running-config startup-config 保存配置。这里将S1作为根交换机。VRRP为了提高冗余性，并避免造成带宽资源浪费，这里采用VRRP负载均衡技术。R1的VRRP负载均衡配置R1(config)#int f 1/0R1(config-if)#ip add R1(config-if)#vrrp 35 ip R1(config-if)#vrrp 36 ip 54R1(config-if)#endR2的VRRP负载均衡配置R2(config)#int f 1/0R2(config-if)#ip add 54 R2(config-if)#vrrp 35 ip R2(config-if)#vrrp 36 ip 54R2(config-if)#endTCP负载均衡当内网中存在多个运行相同服务器的服务器时，我们希望将这些服务器请求均衡的分配到不同服务器上。TCP负载均衡能够将一个全局地址映射到多个内部地址，以使多台服务器之间均衡地分配会话。TCP负载均衡技术是基于NAT技术实现的。路由策略首先将一条默认路由通告到路由器中，以免导入大型的Internet路由选择表。在论证试验中，假设情况如下图：R1(config)#access-list 10 permit ip 55R1(config)#access-list 20 permit ip 55R1(config)#route-map star permit 10R1(config-route-map)#match ip add 10R1(config-route-map)#set ip next-hop R1(config-route-map)#route-map star permit 20R1(config-route-map)#set ip next-hop R1(config-route-map)#route-map star permit 30R1(config-route-map)#set interface null 0R1(config)#int f 1/0R1(config-if)#ip policy route-map starNAPTNAPT是动态NAT的一种实现形式，NAPT利用不同的端口号将多个内部ip地址转换为一个外部ip地址。R1#con terminalR1(config)#access-list 10 permit 55R1(config)#ip nat pool ruijie 68 76 netmask 48R1(config)#ip nat inside source list 10 pool ruijie overload R1(config)#int f 0/0R1(config-if)#ip add 0 R1(config-if)#ip nat insideR1(config-if)#int s 0/0R1(config-if)#ip add R1(config-if)#ip nat outside路由重分发当路由器使用路由选择协议进行路由通告时，如果该路由是通过其他方式获得的，那么路由器将执行路由重分发。这里所谓的其他方式可能是另外一个路由选择协议、静态路由或直连目标网络。R1(config)#router ripR1(config)#redistribute ospf?R1(config)#router ospfR1(config)#redistribute rip?论证实验中的设备（应用技术）替换说明论证实验的配置工作说明4.2.2中北大学园区网络论证实验调试结构主要设备的调试信息（show、debug），切记：这里不要show runping、traceroute、服务器、客户机、测试软件的验证抓图对论证实验的配置要求分别说明5图书馆、教学区网络设计项目的设计方案（负责人：张勇）5.1图书馆、教学区网络设计网络设计方案5.1.1图书馆、教学区网络设计网络拓扑设计 图书馆网络设计中，在图书馆汇聚层交换机上做冗余备份，采用双核心技术提高网络的可靠性。不同阅览室、不同科室、部门划分不同VLAN，建立独立的冲突域。由于图书馆办公部门利用ACL拒绝www服务及禁止员工网络聊天等。教学区网络设计中，划分不同VLAN，建立独立冲突域。汇聚层交换机采用双核心，在交换机上配置MSTP解决二层环路及链路备份问题，应用交换机端口安全技术，限制最大连接数、速率及访问控制。设计说明、具体地址规划和网络拓扑图5.1.2网络设备选型图书馆与教学楼的设备选型基本一样，汇聚层设备选择RG-S33760，接入层的设备选择RG-S 2126。这样的方案既能达到需求要求，同时产品经济实惠，减少不必要的开支。必需给出设备采购清单（含模块），并计算出预算。切记，禁止大段粘贴设备厂商所提供的产品说明5.1.3应用技术说明通过划分VLAN的方法，可以将在二层交换网络中对广播域进行划分，将大的广播域划分为小的广播域，从而减少网络中的广播流量。划分VLAN后，不同VLAN间的主机是不能相互访问的，需要同过三层路由功能才能实现不同网段间的相互访问。由于不同VLAN是相互隔离的，这就减少了网络消耗，有一定的安全防护作用。汇聚层交换机采用双核心，在交换机上配置MSTP解决二层环路及链路备份问题，应用交换机端口安全技术，限制最大连接数、速率及访问控制。通过ACL过滤数据包，保证网络安全。对自己设计中所采用的路由、交换、安全、认证、IP地址应用、冗余和负载分担等技术逐一介绍。5.2图书馆、教学区网项目论证5.2.1图书馆、教学区网项目论证实验说明实验拓扑图图书馆网络设计、教学楼网络设计的实验图基本相同，二者只有在综合布线时会有所差别。论证实验的综合应用技术说明VLAN通过划分VLAN的方法，可以将在二层交换网络中对广播域进行划分，将大的广播域划分为小的广播域，从而减少网络中的广播流量。划分VLAN后，不同VLAN间的主机是不能相互访问的，需要同过三层路由功能才能实现不同网段间的相互访问。由于不同VLAN是相互隔离的，这就减少了网络消耗，有一定的安全防护作用。图书馆根据需求，划分为3个VLAN，三个VLAN分别为行政部门、图书管理部门、电子阅览室。图书馆的私有地址段位/19，再取出两位作为子网号，剩下全部为主机号。/19 /21 /21 /21这样每个子网可容纳2000多个用户，足矣满足客户需求。VLAN配置：S2126(congfig)#int range f 0/2-23S2126(congfig-if-range)#switchport mode accessS2126(congfig-if-range)#switchport access vlan 10S2126(congfig-if-range)#exitSVI（Switch Virtual Interfaces） 利用三层交换机通过SVI方式实现VLAN间路由。实现方法是在三层交换机上为各VLAN创建虚拟VLSN接口，并为SVI接口配置IP地址，作为各VLAN中主机的网关。SVI配置：S1(config)#ip routingS1(config)#vlan 10S1(config-vlan)#exitS1(config)#vlan 20S1(config-vlan)#exitS1(config)#int vlan 10S1(config-if)#ip add S1(config-if)#no shutS1(config)#int vlan 20S1(config-if)#ip add S1(config-if)#no shutS1(config-if)#endMSTP1 打开Spanning-tree协议，设备即开始运行生成树协议，本设备缺省运行的是 MSTP协议。S1# configure terminal 进入全局配置模式。 S1(config)# spanning-tree 打开 Spanning Tree协议。 S1(config)# end 退回到特权模式。 S1# show spanning-tree 核对配置条目。 S1# copy running-config startup-config 保存配置。2 配置 Spanning Tree 的模式S1# configure terminal 进入全局配置模式。 S1(config)# spanning-tree mode mstp/rstp/stp 切换 Spanning Tree 模式。 S1(config)# end 退回到特权模式。S1# show spanning-tree 核对配置条目。 S1# copy running-config startup-config 保存配置。3 配置设备优先级（ Switch Priority ）设置设备的优先级关系着到底哪个设备为整个网络的根，同时也关系到整个网络的拓扑结构。核心设备的优先级应设得高些（数值小），这样有利于整个网络的稳定。可以给不同的Instance分配不同的设备优先级，各个Instance 可根据这些值运行独立的生成树协议。对于不同 Region 间的设备，它们只关心CIST（Instance 0）的优先级。优先级的设置值有 16个，都为 4096的倍数，分别是 0 ， 4096， 8192， 12288， 16384， 20480， 24576， 28672， 32768， 36864 ， 40960， 45056， 49152， 53248， 57344， 61440。缺省值为 32768 。S1# configure terminal 进入全局配置模式。 S1(config)# spanning-tree mst instance-id priority priority 针对不同的 instance 配置设备的优先 级，当您不加 instance 参数时，即对 instance 0进行配置。 instance-id，范围为 0 64 priority ，取值范围为 0到 61440，按 4096的倍数递增，缺省值为 32768 。 S1(config)# end 退回到特权模式。 S1# show running-config 核对配置条目。 S1# copy running-config startup-config 保存配置。这里将S1作为根交换机。ACLACL是一种应用在交换机与路由器上的技术，其主要目的是对网络数据通信进行过滤，从而实现各种访问控制需求。ACL技术通过数据包中的五元组（源IP地址、目的IP地址、协议号、源端口号、目的端口号）来区分特定的数据流，并对匹配预设规则的数据采取相应的措施，允许（permit）或拒绝（deny）数据通过，从而实现对网络的安全控制。R1#config terminalR1(config)#access-list 200 deny tcp 55 any eq www R1(config)#int f 1/0R1(config-if)#ip access-group 100 inR1(config-if)#end通过上述配置，禁止教学网络访问www服务端口安全通过设置交换机的安全端口，确保交换机的正常工作，从而防止对交换机的而恶意攻击，保障网络的安全与稳定。端口安全配置：S1(config)#int f 0/4S1(config-if)#switchport mode accessS1(config-if)#switcchport port-securityS1(config-if)# switcchport port-security maximum 100S1(config-if)# switcchport port-security viol