安顺一中网络规划与设计.doc

网络工程课程设计 网络工程课程设计报告 题目：安顺一中校园网络规划与设计 专 业： 网络工程 班 级： 081 设计时间：2011.12.242012.1.9 学 号： 080712110220 学生姓名： 戴飞 指导教师： 张文勇计算机科学与信息学院2012年 1 月 8 日网络工程课程设计任务书一、课程设计的目的通过设计一个完整的校园网络，使学生掌握网络分析、网络设计、网络施工、网络测试方面的基本工程分析技能，学会网络工程方案书或工程标书的书写规范，培养学生综合运用计算机网络技术、组网技术、网络综合布线技术、网络管理技术、网络安全技术等方面的知识解决企业网络信息系统的构建的基本能力。二、课程设计任务 项目概述：某中学校要实施信息化，需要建设校园网络系统，网络要能提供功能有：（1）Internet接入，学校各职能部门接入（教务处、政教处、后勤处、各教研室、计算机实验室等的接入）,教师宿舍接入，学生宿舍的接入。教师宿舍和学生宿舍实施收费。（2）Internet服务，学校建立服务器，提供对外信息发布和学校基本情况的介绍等。（3）办公系统：学校的财务、教务、教学、图书阅览等办公系统。（4）网络服务：提供校内外、地址解析服务，地址分配服务，安全保护服务，网络管理与运维服务等。项目任务： （1）完成项目的需求分析，包括：功能需求、性能需求、服务管理需求、安全需求等。 （2）完成系统的的设计，包括：网络系统的逻辑、网络系统的物理设计、网络应用系统设计，网络系统的安全设计、网络综合布线施工设计、系统测试方案设计等。项目设计要求： (1)必须有完整的现场施工平面图，综合布线图，综合布线各种主要材料的详细需求及预算过程，详细的综合布线施工要求和测试方案，以及参考标准等。 (2)必须有完整的网络拓扑图，网络拓扑图标明设备功能、型号、IP地址，并说明分析各部分的功能和作用，有详细的 IP地址规划方案，出口IP网络地址前3位用当地邮编地址，网络通信设备的选型、接口、模块、参考价格和每一设备详细的配置命令文件。 (3)必须有安全策略规划，安全策略应充分考虑信息系统的信息的机密性、可用性、完整性，详细说明安全策略；安全设备应当有详细的配置命令文件。(4) 应用服务系统设计必须有软件和硬件设备的详细配置（类型、型号、配置、版本），及选型分析，必须考虑容错、备份。(5)必须有完整的网络服务设计，包括网络运行服务(DNS,DHCP)，网络配置管理、计费管理、认证管理等；包括网络操作系统软件的选择、网络管理软件的选择、网络接入方式选择等。三、设计说明书格式要求 （章节条目仅参考，可自己扩展）39网络工程课程设计封面目录任务书（正文）1 需求分析 1.1 建设目标 1.2 建设原则 1.3 功能需求 1.4 性能需求 1.5 服务管理需求 1.6 安全需求 1.7 组网技术分析 2.逻辑设计 2.1网络拓扑规划 2.1.1 物理分布图 2.1.2 网络拓扑 2.2 IP规划和命名模型设计 2.2.1 网络地址分配 2.2.2 命名设计 2.3 交换和路由协议设计规划 2.3.1 交换协议的选择 2.3.2 路由协议选择 2.3.3 2.4 安全策略设计 2.4.1 通信网络安全 2.4.2 服务器安全 2.4.3 应用安全 2.4.4 接入安全 2.5 管理策略设计 2.5.1 配置管理 2.5.2 认证管理 2.5.3 计费管理 2.5.4 2.6 应用服务设计 2.6.1 Web服务 2.6.1 教务管理系统 2.6.3 图书管理系统 2.6.3 网络教学系统 2.6.4 3、物理设计 3.1 网络设备选型 3.2 网络设备配置（详细命令配置） 3.3 服务器选型 3.4 安全设备选型 3.5 安全设备配置（详细命令配置）4. 综合布线设计 4.1 综合布线施工 4.1.1 参照标准 4.1.2 施工要求 4.1.3 4.2 综合布线预算 4.2.1 4.3 综合布线测试 4.3.1 验证测试 4.3.2 认证测试5.验收测试6、设计过程及心得 目录第一章 项目需求分析71.1建设目标71.2建设原则71.3功能需求71.4性能需求81.5服务管理要求81.6安全需求81.7组网技术分析9第二章 逻辑设计132.1网络拓扑规划132.2 IP规划和命名模型设计152.3交换和路由设计规划162.4 安全策略设计172.5 管理策略设计172.6 应用服务设计18第三章 物理设计203.1 网络设备选型203.2服务器选型213.3 网络设备配置21第四章 综合布线设计324.1综合布线施工324.2综合布线预算354.3 综合布线测试355.验收测试375.1 水平链路：37在水平链路中，被测的对象多数是电缆，且多数用户选择“永久链路”，少数用户选择“通道”(Channel，又称信道)。测试的标准一般选择TIA568B、TIA568C、ISO11810和GB50312-2007等标准。375.2 垂直链路：375.3 测试的实施方法：376.设计过程及心得38第一章 项目需求分析1.1建设目标 随着社会信息化的发展,学校正加紧对信息化教育的规划和建设。开展校园网络建设，旨在推动学校信息化建设，其最终建设目标是将建设成为一个借助信息化教育和管理手段的高水平的智能化、数字化的教学园区网络，最终完成统一软件资源平台的构建，实现统一网络管理、统一软件资源系统，并保证将来可扩展骨干网络节点互联带宽为10G，为用户提供高速接入网络，并实现网络远程教学、在线服务、教育资源共享等各种应用；利用现代信息技术从事管理、教学和科学研究等工作。最终达到在网络方面，更好的对众多网络使用及数据资源的安全控制，同时具有高性能，高效率，不间断的服务，方便的对网络中所有设备和应用进行有效的时事控制和管理。1.2建设原则 在现有资金的情况下，要有效的保证应用服务的运营，需要通过端到端的QOS，智能到边缘的方式来保证。通过智能到边缘，端到端的应用方式，可以减少对网络核心设备的消耗，这样保证了网络的有效畅通。可以对园区网应用中的，多媒体视频点播服务、数据备份服务、文献传递服务、E-mail服务、数据库服务器等服务。对不同服务流进行详细的分类，划分优先级，以及尽可能地避免发生拥塞。同时保证网络的高效运行，充分利用现有的带宽。1.3功能需求1.3.1、信息传递。这是校园网络最基本的功能之一，用来实现电脑与电脑之间传递各种信息，使分散在校园内不同地点的电脑用户可以进行集中的控制管理。在校务部门建立网络服务器，可以为整个校园网络提供各类教学资源，并对这些资源进行综合管理。1.3.2、资源共享。 信息资源共享。通过接入DDN或ISDN，很容易将校园网连接到Internet,这样，网络内的各电脑终端不但可以互通信息资源，而且可以享受网络服务器上的相关数据及Internet网上取之不尽，用之不竭的巨大信息资源，校园网在教学活动中的作用也将成倍地增强。 硬件资源共享。网络中各台电脑可以彼此互为后备机，一旦某台电脑出现故障，它的任务就由网络中其他电脑代而为之，当网络中的某台电脑负担过重时，网络又可将新的任务转交给网络中较空闲的电脑完成。 1.3.3、方便教学。网络可以进行图、文、声并茂的多媒体教学，可以取代语言实验室进行更生动的语言教学，也可以利用大量现成的教学软件，提供一个良好的教学环境，这些都是以往任何教学手段所不能达到的。校园网络不但可以在校内进行网络教学，还很容易同外界大型网络连结，形成更大范围的网络交互学习环境。1.4性能需求 能够满足教职工的办公和教学要求，以及能够满足学生学习和上网的要求即可。1.5服务管理要求 领导要求需要对整个校园的网络进行管理，尽量保持网络的畅通，至少保证上班时间网络是通的，而Web服务器需随时提供对外界的访问。如网络出现问题，需尽快的进行故障排除，保证办公自动化不受太大的影响。1.6安全需求在建设校园网的时候要充分考虑到主要设备的选择安装地点，便以实施统筹管理。以及在布线的时候要求综合布线系统除去敷设在建筑内的线缆外，其余所有的接插件都应是积木式标准件，便于管理和使用。在通信网络方面可详细监视和控制整个网络系统的设备、安全性、数据流量、性能等信息，可进行远程管理和故障诊断；简化网络管理的复杂性。1.7组网技术分析随着计算机科技的不断进步，现代计算机网络传输技术已取得突飞猛进的发展。在局域网和城域网中有多种可选的主流网络技术，以下我们将针对不同技术类型，简单阐明其特点，为我们的技术选型提供科学的依据。1.7.1传统以太网络技术早期局域网技术的关键是如何解决连接在同一总线上的多个网络节点有秩序的共享一个信道的问题，而以太网络正是利用载波监听多路访问/碰撞检测(CSMA/CD)技术成功地提高了局域网络共享信道的传输利用率，从而得以发展和流行的。特别是近几年交换式以太网和100M快速以太网产生和应用，使以太网络成为当今局域网应用较为广泛的主流技术之一。然而，以太网络在发展早期所提出的共享带宽、信道争用机制限制了网络后来的发展，即使是近几年发展起来的链路层交换技术（即交换式以太网技术）和提高收发时钟频率（即快速以太网技术）也不能从根本上解决这一问题，具体表现在：、不提供服务质量保证(Quality of Service)以太网提供的是一种所谓无连接的网络服务，网络本身对所传输的信息包无法进行诸如交付时间、包间延迟、占用带宽等等关于服务质量的控制。这种传送方式就象邮局递送信件一样，信息包一旦交给传输介质，无论是发送端还是接收端都无法再对中间的传输过程进行任何有效控制，这就是所谓没有服务质量保证（QoS）。而且以太网的包（帧）长度本身是不确定的，这就导致网络设备对每一个帧的处理和转发延迟处于随机、不可控状态。这两个因素的存在，使得以太网的帧在传输时的延迟和延迟的突发变化(抖动)就显得非常严重。我们知道，多媒体信息（音频、视频等等）与时间的关系非常紧密，如视频要求每秒钟固定数量的画面、音频要求每秒钟固定数量的量化比特流等等，这些定时性很强的信息在传送时并不要求在某一个瞬间提供过多的带宽，但要求在长时间内能够保持一直有不多不少正合适带宽，否则视频的画面就会有跳动，声音就可能结巴。显然，以太网对传输过程的不可控性和对帧处理延时的过多抖动都不适于现在大量涌现出的具有较强定时性要求的多媒体信息的传输。、带宽利用率较低对信道的共享及争用机制导致信道的实际利用带宽远低于物理提供的带宽，虽然基于CSMA/CD机制的以太网可以使网络节点对带宽的争用以一种秩序进行，但其带宽有效利用率仍低于10%。以太网的交换技术可以降低争用的机率，但为了与原有网卡及应用软件的兼容，CSMA/CD仍必须存在，且交换中对转发端口的定位是在于动态学习动态刷新中进行的，这就使在统计上仍存在大量的包是以共享争用的方式传递的，交换技术可使利用率提高至20%50%。除以上两点以外，以太网传输机制所固有的对网络半径、冗余拓扑和负载平衡能力的限制以及网络的附加服务能力薄弱等等，也都是以太网络的不足之处。但以太网以成熟的技术、广泛的用户基础和较高的性能价格比，仍是传统数据传输的网络应用中较为优秀的解决方案。1.7.2千兆以太网络技术千兆位以太网(Gigabit Ethernet)是IEEE 802.3以太网标准的扩展，传输速度为每秒1000兆位(即1Gbps)。应用于大型校园网，能把现有的10Mbps以太网和100Mbps快速以太网连接起来。它可取代100Mbps FDDI网，也是ATM技术的强劲对手。千兆位以太网采用同样的CSMA/CD协议，同样的帧格式，是现有以太网最自然的升级途径，使用户对以太网原有设备管理工具的投资得以保护。千兆位以太网是超高速主干网的一种选择方案。在数据、话音、视频等实时业务方面它虽然不能提供真正意义上的服务质量(QoS)，但千兆位以太网频宽较高，能克服原以太网的一些弱点，提供服务保证等特性。IEEE802.3Z工作组已确定了以下一组规范，统称为1000BaseX。1.1000BaseLX：多模光纤传输距离为550米，单模光纤传输距离为3000米。2.1000BaseSX：62.5微米多模光纤传输距离为300米，50微米多模光纤传输距离为550米。3.1000BaseCX：用于短距离设备的连接，使用高速率双绞铜缆，最大传输距离为25米。4.1000BaseT：5类铜缆传输最大距离为100米。千兆位以太网支持交换机之间、交换机与终端之间的全双工连接，支持共享网络的半双工连接方式，使用中继器和CSMA/CD冲突检测机制。千兆位以太网联盟(GEA)为千兆位以太网的应用提出以下几种方案：1.更新快速以太主干网：更换核心交换机，全面提高原有网络性能。2.用于交换机到服务器链路：服务器使用千兆位以太网卡，直接与千兆位以太网交换机相接，提供每秒百万个包的处理能力。3.千兆位以太网到桌面台式机。高性能工作站安装千兆位以太网卡，直接与千兆位以太网相连。4.用于交换机之间的链路。千兆位以太网交换机用光纤相接，提供一条高性能主干线路。5.更新FDDI主干：保留现有光缆，提高带宽10倍。1.7.3ATM网络“ATM（异步传输模式）”这一名词最早就为与电话中继通讯中常用的技术“STM（同步传输模式）”相对应而产生的，它既汲取了话务通讯中电路交换的“有连接”服务和服务质量保证，又保持了以太、FDDI等传统网络中带宽可变、适于突发性传输的灵活性，从而成为迄今为止适用范围最广、技术最先进、传输效果最理想的网络互连手段。概括起来，ATM技术具有如下特点：、实现网络传输有连接服务，实现服务质量保证(QoS)这是ATM先进于其他网络交换技术、最有魅力的特点所在。以太网、FDDI等传统网络由于受当时技术所限，传输机制主要围绕解决信息包冲突碰撞问题、保证发端的信息包能够到达收端就可以了，并不考虑“如何到达”。而提出ATM技术的主要目标则是为了解决传输的服务质量问题，不仅要能够到达，还要控制如何到达，因而ATM技术是网络通讯技术中革命性的突破，具有其他技术在产生时所不具备的天生优势。、交换吞吐量大ATM交换理论在建立时，充分利用了当时刚刚成熟的超大规模集成电路(VLSI)技术，其定长的帧结构使所有交换工作能用纯硬件完成，因而ATM交换机本身硬件交换性能就远大于一般传统网络交换设备。、带宽利用率高ATM是有连接的网络服务，内部交换是通过建立虚电路完成的。每一个虚电路所需带宽由服务质量保证体系按需分配，不同的应用要求分配不同的信道带宽。一经分配，该带宽就由所属应用以统计的方式所占用，有传输则提供始终如一的持续带宽，无传输则自动让出带宽给其他通讯使用，因而带宽分配灵活，利用率极高，可达90%以上。、具有灵活的组网拓扑结构和负载平衡能力，伸缩性、可靠性极高由于ATM采用有连接的网络服务，因而在ATM网络中可以存在多条冗余链路，实现环接、并行连接等冗余拓扑结构，在传输时可同时传输，带宽按链路冗余数目加倍，使全网具有极高的可伸缩性和可靠性，这在传统网络中都是难以做到的。比如：以太网是不能同时启动两条和两条以上的冗余链路的，这样会导致永无休止的“回环包”占据所有有用带宽，让网络崩溃。一旦网络中出现冗余，则必须启动一种称之为Spanning Tree算法的寻径技术，堵塞住所有冗余链路端口。用这种算法重新拓扑后的网络不仅会失去所有负载平衡功能，而且还会带来额外的网络负担，降低网络性能。、局域网与广域网技术统一ATM是现今唯一可同时应用于局域网、广域网两种网络应用领域的网络技术，两种技术的统一是网络未来发展的趋势，也是实现宽带综合业务数字网（B-ISDN）这一计算机网络未来的宏远目标的必由之路，具有广阔的发展前景。在整个业界的充分重视下，ATM近八年的发展已使其走向一个成熟稳定发展的轨道，逐步占据网络市场的主流。ATM是一个在现有技术水平上已获得成熟的发展、同时兼具有新技术所特有的勃勃生命力的技术。不过，ATM有一个不足之处就是，采用ATM技术来构建网络主干，需要较高的成本。其经济可行性较差，对安顺一中所建的中等规模偏小的校园网络就更是如此。从安顺一中的网络建设资金以及网络应用信息流量的实际情况出发，我们设计了一套基于千兆以太网主干技术的校园网方案，它以1000Mbps以太网交换技术为主干，可以做到1000Mbps全光缆到二级交换机，100Mbps到桌面。它能很好地支持安顺一中的校园内部的网络通信以及与CERNET其它节点的信息交互，而且在性能有很大的优势，而且价格上并不贵多少，是一种比较先进的校园网络解决方案。第二章 逻辑设计2.1网络拓扑规划 由以上分析，现对安顺一中校园进行网络拓扑规划。2.1.1物理分布图图2.1 安顺一中校园平面图2.1.2 网络拓扑图图2.2 安顺一中校园网络拓扑图2.2 IP规划和命名模型设计 VLAN号VLAN名称IP网段默认网关说明VLAN 1 -/2454管理 VLANVLAN 2 JWC/2454教务处及教师办公室 VLANVLAN 3 XSSS/2454学生宿舍 VLANVLAN 4 CWC/2454财务处 VLANVLAN 5 JGSS/2454教工宿舍 VLANVLAN 6 WJS/2454微机室 VLANVLAN 7 DMTJS/2454多媒体教室VLANVLAN 8 FWQQ/2454服务器群 VLANVLAN 9 JS/2454教室 VLANVLAN 10 LT/2454礼堂 VLANVLAN 11 ST/2454食堂 VLAN依据网络拓扑图即各设备所在部门的实际情况进行IP地址的规划。2.2.1网络地址分配 各部门的设备的IP地址在网络拓扑图上已经体现出来，在这里无需赘述。2.3交换和路由设计规划2.3.1交换协议的选择 考虑到学校的要求，楼层间需要划分VLAN，所以需要VLAN协议，同时需要VTP协议，以及IEEE802.1Q协议。2.3.2路由协议的选择 在小规模的网络互联情况下，可以使用静态建立路由表的方法来指定每一个可达目的网络的路由。但把这种方法用到较大规模的网络互联显然是不可行的。路由器一般都能够配置动态路由协议，通过与相邻的路由器交换网络信息而动态建立路由表 路由协议定义了路由器之间相互交换网络信息的规范。路由器之间通过路由协议相互交换网络的可达性信息，然后每个路由器据此计算出大道各个目的网络的路由。路由协议能够用一下标准的几种或全部来决定到目的网络的最优路径：路径长度、可靠程度、延迟（Delay）、带宽、负载和代价（Cost）。 根据交换的路由信息的不同，路由协议可分为距离向量（Distance Vector）、链路状态（Link State）和混合路由（Hybrid Routing）三种类型。 常用的内部网关路由协议有RIP、IGRP、EIGRP和OSPF。 根据安顺一中的网络建设要求，我们选用RIP协议作为该校园网的内部网关协议。RIP认为跳数少的路径为最优路径。路由器收集所有可达目的网络的路径，从中选择去往同一个网络所用跳数最少的路径信息，生成路由表；然后把所能收集到的路由（路径）信息中的跳数加1后生成路由更新信息通告，发送给相邻路由器：最后依次逐渐扩散到全网。RIP每30s发送一次路由信息更新。RIP最多支持的跳数为15.在安顺一中的网络建设中，我们选用RIP协议的第二版即RIPv2，RIPv2不同于RIP之处：支持可用可变长子网掩码、多播式更新路由。同时以BGP作为边界路由协议，以达到对外通信。2.4 安全策略设计 2.4.1 通信网络安全 1，使用身份鉴别，利用用户口令和密码等鉴别方式达到网络系统权限分级，鉴别真伪。2，使用授权机制，利用网络管理方式向终端或是中断用户发放访问许可证书，防止非授权用户使用网络，并实现对用户的权限设置。3，使用加密机制，未授权用户不能盗取数据从而实现信息的保密性。4，使用数据完整性鉴别机制，优化数据检查核对方式，防止数据篡改，删除，插入，重复，遗漏等结果出现，从而确保信息的完整性。5，使用审计，监控，防抵赖等安全机制，进一步对网络出现的安全问题提供调查依据和手段，实现对信息安全的可审查性。 2.4.2 服务器安全通过对服务器的配置，安装防护软件以及合理的管理，来达到诸如DDOS，缓冲区溢出，木马，病毒，蠕虫，间谍软件，以及网络内部人员的误用滥用等安全隐患。 2.4.3 应用安全通过公钥密码体制的数字证书来实现应用安全。 2.4.4 接入安全 通过防火墙的ACL列表配置来实现接入安全。2.5 管理策略设计 考虑到学校资金问题，我选取SNMPv2作为管理协议。这个协议提供了在manager与agent、manager与manager之间交换管理信息的直观、基本的方法。每条SNMPv2的报文都由一些域构成: 如果发送方、接收方的两个Party都采用了验证(authentication)机制,它就包含与验证有关的信息;否则它为空(取NULL)。验证的过程如下:发送方和接收方的Party都分别有一个验证用的密钥(secretkey)和一个验证用的算法。报文发送前,发送方先将密钥值填入图中digest域,作为报文的前缀。然后根据验证算法,对报文中digest域以后(包括digest域)的报文数据进行计算,计算出一个摘要值(digest),再用摘要值取代密钥,填入报文中的digest域。接收方收到报文后,先将报文中的摘要值取出来,暂存在一个位置,然后用发送方的密钥放入报文中的digest。将这两个摘要值进行比较,如果一样,就证明发送方确实是srcParty域中所指明的那个Party,报文是合法的;如果不一样,接收方断定发送方非法。验证机制可以防止非法用户冒充某个合法Party来进行破坏。 authInfo域中还包含两个时间戳(timestamp),用于发送方与接收方之间的同步,以防止报文被截获和重发。 SNMPv2的另一大改进是可以对通信报文进行加密,以防止监听者窃取报文内容。除了privDst域外,报文的其余部分可以被加密。发送方与接收方采用同样的加密算法(如DES)。 通信报文可以不加任何安全保护,或只进行验证,也可以二者都进行。 2.6 应用服务设计2.6.1 Web服务在这里我们选择windows2003作为其操作系统，安装其组件过程如下：第1步，打开“控制面板”窗口，双击“添加/删除程序”图标，打开“添加或删除程序”窗口。单击“添加/删除Windows组件”按钮，打开“Windows组件安装向导”对话框。第2步，在“Windows组件”对话框中双击“应用程序服务器”选项，打开“应用程序服务器”对话框。在“应用程序服务器的子组件”列表中双击“Internet信息服务（IIS）”复选框，如图1所示。图1双击“Internet信息服务（IIS）”复选框第3步，打开“Internet信息服务（IIS）”对话框，在“Internet信息服务（IIS）的子组件”列表中选中“万维网服务”复选框。依次单击“确定”“确定”按钮，如图2所示。图2选中“万维网服务”复选框第4步，系统开始安装IIS6.0和Web服务器组件。在安装过程中需要提供WindowsServer2003系统安装光盘或指定安装文件路径。安装完成后单击“完成”按钮即可，如图3所示。图3要求指定安装文件路径 2.6.2 教务管理系统 由于学校提供的资金有限，在这里们就不单独提供专业的办公系统。 2.6.3 图书管理系统 学校图书馆还未建成，留待以后斟酌。2.6.4 网络计费系统 针对学校情况，我选用万象计费管理系统，用于管理教职工以及学生宿舍上网。第三章 物理设计3.1 网络设备选型 根据网络拓扑图我们可以知道需要的设备有：一台路由器，一个防火墙，两台三层交换机，十一台二层交换机，一台Web服务器，一台Ftp服务器，一台邮件服务器，一个机柜。 结合学校给予资金的情况，我选用的设备如下：路由器：华为NetEngine20E-x6，5.3万元。要保证较高的传输速率，并为以后校园网的扩展做准备，所以我选择性能较高的路由器。NetEngine20E-x6路由器（以下简称“NE20E-X6”）是华为公司面向金融、电力、政府、教育、企业、运营商等客户自主研发的高端业务路由器，旨在满足客户汇聚接入网络的高可靠性、高可用性要求。NE20E-X6基于分布式的硬件转发和无阻塞交换技术，叠加业务时保持高转发性能、具备优异的扩展能力，完善的QoS机制和强大的业务处理能力。NE20E-X6凭借丰富的业务特性，可以灵活部署MPLS VPN、IPSec、GRE、组播、组播VPN、MPLS TE、QoS等，为客户快速部署新业务提供弹性平台；同时，NE20E-X6全面支持IPv6，可以实现IPv4到IPv6的平滑过渡。NE20E-X6路由器作为高性能的汇聚设备，提供了全方位的网络解决方案，致力于在超带宽、业务系统融合化、用户需求个性化及运作全球化的趋势下，成为客户强有力的网络支撑平台。三层交换机： 华为S5700-24TP-SI(AC)，4670元。二层交换机：华为 S2326TP-SI，1200元。防火墙采用：华为防火墙USG2220，1.48万元。基本参数如下，3.2服务器选型按照学校要求，本着支持国产的理念，我选择联想万全T100 G10(奔腾 E5500/1GB/500GB)（3300）元服务器。3.3 网络设备配置3.3.1路由器基本配置：en 进入特权模式conf 进入全局配置模式in s0 进入 serial 0 端口配置ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码，电信分配enca hdlc/ppp 捆绑链路协议 hdlc 或者 pppip unn e0exit 回到全局配置模式in e0 进入以太接口配置ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码，电信分配exit 回到全局配置模式ip route s 0 添加路由表ena password 口令writeexit普通用户模式enable 转入特权用户模式exit 退出配置help 系统帮助简述language 语言模式切换ping 检查网络主机连接及主机是否可达show 显示系统运行信息telnet 远程登录功能tracert 跟踪到目的地经过了哪些路由器特权用户模式#?clear 清除各项统计信息clock 管理系统时钟configure 进入全局配置模式debug 开启调试开关disable 返回普通用户模式download 下载新版本软件和配置文件erase 擦除FLASH中的配置exec-timeout 打开EXEC超时退出开关exit 退出配置first-config 设置或清除初次配置标志help 系统帮助简述language 语言模式切换monitor 打开用户屏幕调试信息输出开关no 关闭调试开关ping 检查网络主机连接及主机是否可达reboot 路由器重启setup 配置路由器参数show 显示系统运行信息telnet 远程登录功能tracert 跟踪到目的地经过了哪些路由器unmonitor 关闭用户屏幕调试信息输出开关write 将当前配置参数保存至FLASH MEM中全局配置模式aaa-enable 使能配置AAA(认证，授权和计费)access-list 配置标准访问表arp 设置静态ARP入口chat-script 生成一个用在modem上的执行脚本custom-list 创建定制队列列表dialer-list 创建dialer-listdram-wait 设置DRAM等待状态enable 修改ENABLE口令exit 退出全局配置模式firewall 配置防火墙状态flow-interval 设置流量控制时间间隔frame-relay 帧中继全局配置命令集ftp-server FTP 服务器help 系统帮助命令简述host 添加主机名称和其IP地址hostname 修改主机名ifquelen 更改接口队列长度interface 选择配置接口ip 全局IP配置命令子集ipx 全局IPX配置命令子集loghost 设置日志主机IP地址logic-channel 配置逻辑通道login 启动EXEC登录验证modem-timeout 设置 modem 超时时间multilink 配置multilink 用户使用的接口multilink-user 配置multilink 用户使用的接口natserver 设置FTP,TELNET,WWW服务的IP地址no 关闭某些参数开关priority-list 创建优先级队列列表router 启动路由处理settr 设置时间范围snmp-server 修改SNMP参数tcp 配置全局TCP参数timerange 启动或关闭时间区域user 为PPP验证向系统中加入用户vpdn 设置VPDNvpdn-group 设置VPDN组查看接口Serial0（封装PPP协议）的运行状态和统计信息。#show interface serial 0Serial0 is up, line protocol is upphysical layer is synchronousinterface is DTE, clock is DTECLK1, cable type is V35Internet address is 58 52Encapsulation is PPPLCP opened, IPCP opened, IPXCP disabledOutput queue 30/0, 33081 drops; Input queue 30/1, 0 drops.5 minutes input rate 1288.14 bytes/sec, 4.97 packets/sec5 minutes output rate 3077.11 bytes/sec, 4.94 packets/sec997074 packets input, 485012871 bytes, 0 no buffers1825361 packets output, 542976191 bytes, 0 no buffers1171945 input errors, 437713 CRC, 504161 frame errors路由器静态路由配置命令ip route配置或删除静态路由。 no ip route ip-address mask | mask-length interfacce-name| gateway-address preference preference-value reject | blackhole 【参数说明】ip-address和mask为目的IP地址和掩码，点分十进制格式，由于要求掩码32位中1必须是连续的，因此点分十进制格式的掩码可以用掩码长度mask-length来代替，掩码长度为掩码中连续1的位数。interfacce-name指定该路由的发送接口名，gateway-address为该路由的下一跳IP地址（点分十进制格式）。preference-value为该路由的优先级别，范围0255。reject指明为不可达路由。blackhole指明为黑洞路由。RIP的基本配置： system-view，进入系统视图。rip process-id ，使能RIP 路由进程，进入RIP 视图。network network-address，在指定网段使能RIP。network-address 为自然网段的地址。interface interface-type interface-number，进入接口视图。rip metricin value，设置接口在接收路由时增加的度量值。rip metricout value | acl-number | acl-name acl-name | ip-prefix ip-prefixname value1 ，设置接口在发布路由时增加的度量值。rip process-id ，使能RIP 路由进程，进入RIP 视图。preference preference | route-policy route-policy-name *，设置RIP 协议的优先级。缺省情况下，RIP 协议的优先级为100。rip process-id ，使能RIP 路由进程，进入RIP 视图。maximum load-balancing number，设置RIP 最大等价路由条数。display rip process-id | vpn-instance vpn-instance-name 命令查看RIP 的当前运行状态及配置信息。display rip process-id database 命令查看RIP 发布数据库的所有激活路由。display rip process-id route 命令查看所有激活、非激活的RIP 路由。BGP的基本配置：bgp as-number，启动BGP（指定本地AS 编号），进入BGP 视图。router-id ipv4-address，配置BGP 的Router ID。配置或改变BGP 的Router ID 会导致路由器之间的BGP Peer 关系重置。bgp as-number，进入BGP 视图。ipv4-family unicast，进入IPv4 单播地址族视图。preference external internal local | route-policy route-policy-name ，设定BGP协议的优先级。BGP 有三种路由：1）从外部对等体学到的路由（EBGP）2）从内部对等体学到的路由（IBGP）3）本地产生的路由（Local Origined），是指通过聚合命令（summary automatic 自动聚合和aggregate 手动聚合）所聚合的路由。可以为这三种路由设定不同的优先级。另外，还可以通过应用路由策略，为符合匹配条件的特定路由配置优先级。对于不符合匹配条件的路由，则使用缺省优先级。ip as-path-filter as-path-filter-number | as-path-filter-name permit| deny regular-expression，配置AS 路径过滤器。peer as-path-filter 对BGP 路由信息应用路由策略时，基于AS 路径过滤器过滤掉不符合条件的路由信息。AS 路径过滤器使用正则表达式来定义匹配规则。正则表达式由元字符和数值两部分组成： 元字符定义了匹配的规则 数值定义了匹配的对象bgp as-number，进入BGP 视图。ipv4-family unicast，进入BGP-IPv4 单播地址族视图。缺省情况下，系统默认配置在IPv4 单播地址族视图下。network ipv4-address mask | mask-length route-policy route-policy-name ，配置BGP 发布精确匹配的本地路由。指定的目的地址和前缀长度必须与本地IP 路由表中对应的表项完全一致，路由才能正确发布。如果网络掩码没有指定，此路由将被按照自然网段精确匹配。要发布的本地路由必须存在于本地的IP 路由表中，使用路由策略可以更为灵活的控制所发布的路由。bgp as-number,进入BGP 视图。peer group-name | ipv4-address tracking delay delay-time ,使能指定对等体的BGP Tracking 功能。缺省情况下，不使能BGP Tracking。根据实际组网，配置合适的delay-time 可以保证网络的稳定性。delay-time 为0 时，BGP 发现邻居不可达后立即断开连接。网络中的闪断会导致IGP 路由震荡，如果IBGP 邻居配置delay-time 为0，则会导致邻居关系震荡。因此根据实际组网，IBGP 邻居需配置大于IGP 路由收敛时间的delaytime。BGP 邻居GR 协商成功的情况下，BGP 邻居主备倒换，需配置大于GR 收敛时间的delay-time。如果delay-time 小于GR 收敛时间，BGP 邻居会中断连接，导致GR 失效。3.3.2 交换机的基本配置：Quidwaysuper password 修改特权用户密码Quidwaysysname 交换机命名Quidwayinterface ethernet 0/1 进入接口视图Quidwayinterface vlan x 进入接口视图Quidway-Vlan-interfacexip address Quidwayip route-static 静态路由网关 Quidwayuser-interface vty 0 4S3026-ui-vty0-4authentication-mode passwordS3026-ui-vty0-4set authentication-mode password simple 222S3026-ui-vty0-4user privilege level 3Quidway-Ethernet0/1duplex half|full|auto 配置端口双工工作状态Quidway-Ethernet0/1speed 10|100|auto 配置端口工作速率Quidway-Ethernet0/1flow-control 配置端口流控Quidway-Ethernet0/1mdi across|auto|normal 配置端口MDI/MDIX状态平接或扭接Quidway-Ethernet0/1port link-type trunk|access|hybrid 设置接口工作模式(access(缺省)不支持802.1q帧的传送，而trunk支持（用于Switch间互连），hybrid和trunk的区别在于trunk 只允许缺省VLAN的报文发送时不打标签，而hybrid允许多个VLAN报文发送时不打标签。 )Quidway-Ethernet0/1shutdown 关闭/重起接口Quidway-Ethernet0/2quit 退出系