大学园区网络设计说明书.doc

大学园区网络设计说明书1中北大学园区网的设计目标1.1中北大学园区网项目说明中北大学是一所由山西省人民政府与国家国防科技工业局共建、山西省人民政府管理的多科性教学研究型大学。学校占地170万平方米，建筑面积近86万平方米，固定资产总值15亿元，教学科研仪器设备总值2.78亿元，可利用中外文图书资源285万册，拥有完善的教学和公共服务设施。学校面向全国31个省、市、自治区招生，全日制在校生28000多人，其中博士、硕士研究生近3000人。设有10个学院及研究生院、后备军官教育学院、软件学院等教学机构。学校拥有国家级国防科技重点实验室、国防重点学科实验室、教育部重点实验室和工程技术中心、国家大学生文化素质教育基地、山西中北国家大学科技园等。校园网建设是我国高校基础设施建设中十分重要的组成部分，是适应信息时代发展的要求。为了学校的科研、教学、管理的技术水平，为研究开发和培养高层次人才建立现代化平台，从而建立基于Intranet/Internet技术的高速多媒体校园网，实现教学、管理、图书资料检索和办公事务等业务的网络化和信息化。根据关于校园网建设规划的目标要求，建成要将校园网建成“高速、稳定、安全、可控、可管”的网络。1.2 中北大学园区网设计目标1、建网目的将中北大学校园网建设成以信息中心为中枢，将各学院、行政机构、教学实验中心等各部门通过内部网络实现互联互通，通过CERNET和联通出口，实现对互联网的访问。完成校园网络应用建设，包括校园办公系统OA、综合教务教学管理系统、应用文件共享、Mail服务、视频点播服务等。最终将校园网建成资源共享、管理系统的信息化、自动化，“高速、稳定、安全、可控、可管”的网络。2、主要网络应用和服务说明（1）基于Web的校园办公系统OA（2）应用文件共享（3）综合教务教学管理系统（4）科研管理系统（5）财务综合管理系统（6）教职工人事管理系统（7）Mail服务（8）视频点播服务（9）Internet访问服务3、项目的技术要求（1）实现OSPF多区域技术（2）实现MSTP和VRRP技术（3）实现VLAN技术（4）实现访问控制列表（5）实现DHCP技术（6）实现VPN技术（7）实现端口限速技术（8）实现NAT技术（9）结构化综合布线1.3 中北大学园区网项目设计进度说明开始时间（2011-11-21）结束时间（2011-12-8）1、2011-11-212011-11-23：查找中北大学的相关材料（地理环境、学校的职能部门、网络的节点数预估、部门对网络的需求、以及中北大学分校的相关情况），并做出初步安排。2、2011-11-232011-11-28：根据初步调查的资料，对网络的需求进行网络规划，画出网络拓扑图，并整体确定在进行网络规划时所使用的网络技术（网络安全技术、管理技术等），并开始写设计说明书的相关内容：如：需求分析、项目背景以及目标说明、分工安排等。3、2011-11-292011-12-4：根据总体规划，在实验室按照拓扑图进行网络配置、论证，完善整体的情况，进一步分析并确定需要用到的网络技术，并且完善详细的设计说明书。4、2011-12-42011-12-7：对实验过程中的遗留问题进行解决，完成最终的文档，进行小组的项目答辩，组网实验周结束。2 需求分析2.1 中北大学园区网项目需求2.1.1中北大学的地理环境中北大学位于山西省省会太原市西北部，西倚二龙山，南临汾河，距市中心大约10公里。现有2个校区，一个分校，设有10个学院及研究生院、后备军官教育学院、示范性软件职业技术学院、成人教育学院、信息商务学院，主校区占地170万平方米，分为东区和西区，建筑面积近86万平方米。分校位于太原市迎新街，距主校区10.5公里。南校区位于晋中市榆次区，距主校区41.1公里。图2-1 中北大学校园地理分布图图2-2 中北大学分校地理位置图图2-3 中北大学南校区地理位置图2.1.2中北大学的组织机构中北大学分主校区与分校区，分别是位于太原市的北校区和晋中市榆次区的南校区，还有在太原市分校。南校区有两个学院，信息商务学院与成人教育技术学院。图2-4 中北大学学院结构图图2-5 中北大学组织机构图2.1.3中北大学园区网的网络设计原则1、实用性与先进性 根据学校实际情况和特点，在设计中特别强调实用性与先进性的结合，应采用成熟的网络技术，保证校园网实用；跟踪国际网络技术的新发展，设计技术先进的网络。在保证校园网可靠、实用、先进的基础上，可以提供研究先进网络技术的科研环境，方便学校的科研与开发。2、开放性与标准化 整个校园网的设计采用开放的网络体系，以方便网络的升级、扩展和互联。同时，在选择服务器、网络产品时，强调产品支持的网络协议的国际标准化。3、可靠性与安全性 在校园网的设计中，主要考虑两个层次：一是整个网络的可靠性与安全性，采用高可靠性、高安全性的网络体系结构，包括合理设计广域网的访问控制和内部局域网的访问控制、对外部网络访问链路的备份等；二是网络设备的可靠性与安全性，主要是采用可带电插拔的模块、配置双电源、端口冗余、设置网络设备的用户表及口令限制等手段。4、经济性与可扩充性 在满足学校需求的前提下，选用性价比高的网络设备和服务器。采用的网络架构和设备，应充分考虑到易升级换代，并且在升级时可以最大限度地保护原有的硬件设备和软件投资。2.2 中北大学园区网的网络业务2.2.1网络业务说明网络业务需求：作为校园网最终用户有学校的管理人员、专业技术人员和各个部门的工作人员，他们对数据信息的需求都有所不同：管理人员既具有决策又有管理工作，希望能尽快收集信息，用以协调各部门工作。专业人员从事基础管理工作，希望通过计算机提高工作效率。工作人员主要是使用校园网完成各种办公任务，额外要求较少。教师希望能以更生动、形象的多媒体手段给学生授课，同时通过计算机网络查询资料、进行备课和与学生交流。学生也希望能够通过计算机网络快速、便捷地与老师沟通、下载课件和利用网络资源解决学习上的困难和自学。表2-1网络业务说明项 目 说 明 适用对象 电子文档传递 办公自动化 教职员工 E-mail 电子邮件 全体师生员工 Web 因特网信息服务 对外宣传及通知发布FTP 文件共享 全体师生员工 VOD 视频点播服务 全体师生员工 E-Library 电子图书馆 全体师生员工 电子教务系统 课程编排，学生选课、学生成绩发布教务管理人员，教师，学生。 信息安全 对敏感信息进行保护 机要部门，重要文档。 Internet访问 通过校园网访问因特网 全体师生员工 远程访问 在校外访问校内网络 全体师生员工 表2-2每种网络业务的流量要求提供的服务此服务所需的流量（单位 Kb）E-mail300Web200internet256视频服务2000ftp2562.2.2节点分布及流量估计1、信息点分布表2-3 办公区信息点数部门类别部门名称办公室数办公室信息点数总计行政机关教务处3918人事处248考试评估中心166保卫处144校办144党务机构党办4824纪委248组织部248保密办248党校3918学生工作处2612学院分类研究生院3各办公室信息点数不等40经管院2080人文院2080机电院25120六院22130五院25300表2-4 分校教工公寓区信息点区类楼号单元数层数住户数（单元数*层数*2*楼号数）小区总计户数（户）总计（户）怡丁苑1#、2#5550*253415363#、4#、8#2520*35#、6#、7#3618*39#、14#、16#、17#3530*411#、12#、13#、14#、15#4540*5西苑31#、32#、33#、34#、35#、37#、40#4540*748036#2520*124#5550*139#6560*138#7570*1中苑18#、19#、21#、26#、27#、28#、29#、30#5330*832220#544022#331823#4324南苑41#、42#、43#、45#5550*42002、流量估计各服务流量=E-mail/FTP/视频服务/internet/web=3012Kb/s（1）各行政机构和学院办公区计算公式：总流量=各服务流量和*节点数*0.8总流量=3012*868*0.8=2042.5M/s=1.995G（2）教职工宿舍区计算公式：总流量=各服务流量和*节点数*0.2总流量=3012*1536*0.2=903.6M/s=0.883G（3）学生宿舍区计算公式：总流量=各服务流量和*节点数*0.2总流量=3012*23*480*0.2=6494M/s=6.34G主干网流量为1.995+0.883+6.34=9.218G2.3 中北大学园区网的安全和管理要求2.3.1安全要求1、物理安全物理安全主要包括设备的防火、防盗、防雷措施，防止断电。主要技术措施是按照标准建设中心机房，做好接地和避雷；突然断电是对网络和服务器的最大打击，极易造成网络服务瘫痪，甚至设备损坏，因此需要配置一定的UPS。机房要需要专职人员管理，做好出入登记。2、信息安全信息安全主要是网络的访问控制、病毒防范、数据库资源的备份、容错和恢复等。防火墙是隔离内外网的屏障，网络访问控制的主要设备。防火墙应当具有强大的抗拒绝服务攻击的能力。在内网防范病毒方面，全网客户端需要安装防病毒软件，定期更新补丁，病毒库升级。内网设备上配置必要的安全配置，防止常见的ARP攻击，DHCP攻击等。3、人员管理安全安全的最大隐患最终还是对人员管理的安全，再安全的设备，一定要有人员的安全使用才能保证真正的安全。校园网的使用人员并不都是计算机专业人员，因此，对相关的使用者进行必要的安全知识培训师非常必要的。2.3.2管理要求1、故障管理主要任务是发现和排除网络故障。其内容包括故障检测和报警功能、故障预测功能、故障诊断和定位功能；2、配置管理设备初始化、维护和关闭网络设备或子系统等操作。被管理的网络资源包括物理设备（如服务器、工作站、路由器）和底层的逻辑对象。3、网络性能管理性能监测与网络控制。通过测评网络运行中的主要性能指标，以检验网络服务是否达到了预定的水平，找出已经发生或潜在的网络瓶颈，报告网络性能的变化趋势，为网络管理决策提供依据。4、安全管理确保网络资源不被非法使用，防止网络资源由于入侵者攻击而遭受破坏。其内容包括对授权机制、访问控制、加密和加密关键字的管理，另外还有维护和检查安全日志。2.4 中北大学园区网的WAN接入技术光纤接入网（OAN），是指用光纤作为主要的传输媒质，实现接入网的信息传送功能。通过光线路终端（OLT）与业务节点相连，通过光网络单元（ONU）与用户连接。光纤接入网包括远端设备光网络单元和局端设备光线路终端，它们通过传输设备相连。光纤接入网提供开放的V5接口，可实现与任何种类具有V5接口的交换设强备进行连接。光纤化程度高，减少铜线铺设半径，节省投资。业务承载能力强。对环境适应能力。有利于减少建设维护费用。网络的继承性和可发展性高，有利于引入新业务。综上，主校区可以采用联通和CERNET双线接入，在与分校区连接上可以使用IPSecVPN，即虚拟专用网，通过公用网络建立一个临时的、安全的连接，是一条穿过混乱的公用网的安全的稳定的隧道。VPN可以通过多种安全机制，如：入隧道技术、加解密技术、密钥管理技术、身份认证技术，保证信息在网络上的安全传输。而且只要分校与主校都接入了互联网，通过VPN连接，无需再建设一条直连的线路，大大的节约了网络建设的资金。2.5 中北大学园区网设计的技术指标校园网建设应该充分考虑学校教学的需求、学校现代化管理程度，教师运用现代教育技术的熟练程度等诸多因素，同时考虑学校今后的校园网建设以及学校的经济实力，对自身的需要的网络要准确定位。 核心层主干：核心层为双核心，采用VRRP+MSTP的冗余技术，实现网络的冗余备份及负载均衡。出口路由采用路由策略，实现网络的双出路，连接到CERNET及通过联通连接到Internet。核心交换机上采用浮动路由提供到出口路由的备份连接。在连接服务器的路由器上做TCP负载均衡，以实现对服务器的均衡会话。在出口路由器上做NAPT，将内部地址转换为注册外部地址，实现内部所有主机对外网的访问。图书馆：在图书馆汇聚层交换机上做冗余备份，采用双核心技术提高网络的可靠性。不同阅览室、不同科室、部门划分不同VLAN，建立独立的冲突域。采用基于时间的ACL控制内部借阅网络拒绝访问互联网，图书馆办公部门在办公时间禁止网络聊天、BT下载等业务。教职工与学生宿舍：在教工、学生公寓网络设计中，不同学院学生、老师建立不同VLAN，利用三层交换机，通过SVI实现跨网段的访问。在汇聚层交换机上，通过建立ACL，实现对教师、学生上网时间的控制及流量的控制。通过配置端口安全，限制端口的最大连接数。运用DHCP自动分配网络地址。各行政机构和学院办公区：在办公区子系统中，不同的行政部门、不同学院建立不同VLAN，建立独立冲突域提高网络质量。建立基于时间的ACL控制办公网络在办公时间进行BT下载等占用带宽的业务，涉及到特殊部门为之建立特殊的ACL。通过三层SVI实现跨网段访问。交换机上使用DHCP中继，给接入的终端自动分配地址。分校网络设计及与主校的连接：在分校的网络设计中，采用VPN实现与主校的连接。在路由器上做NAPT，实现内部地址和外部地址的转换。在汇聚层交换机上做MSTP实现冗余备份。分校中不同部门划分不同VLAN，利用三层SVI接口实现不同VLAN间的相互访问。开启端口安全功能，保证网络安全。3 总体设计和分工说明3.1 总体设计3.1.1总体网络拓扑设计图3-1总体网络拓扑设计图3.1.2校园网主干子项目设计图3-2主干网络拓扑设计图核心层采用双核心设计，采用VRRP+MSTP的冗余技术，实现网络的冗余备份及负载均衡。出口路由采用路由策略，实现网络的双出路，连接到CERNET及通过联通连接到Internet。核心交换机上采用浮动路由提供到出口路由的备份连接。在连接服务器的路由器上做TCP负载均衡，以实现对服务器的均衡会话。在出口路由器上做NAPT，将内部地址转换为注册外部地址，实现内部所有主机对外网的访问。3.1.3各行政机构和学院办公区子项目设计图3-3 行政机构及办公区网络拓扑设计图在办公区网络中，汇聚交换机采用冗余的连接到核心层，采用MSTP解决环路问题，实现链路备份。根据不同的行政部门、不同学院建立不同VLAN，建立独立冲突域提高网络质量，通过三层SVI实现跨网段访问。建立ACL，对不同的网络进行访问控制。涉及到特殊部门为之建立特殊的ACL。在接入层交换机上采取必要的安全配置，开启端口安全，开启DHCPsnooping，防止一些恶意的攻击，和地址欺骗等。3.1.4图书馆网络子项目设计图4-1图书馆网络拓扑图图书馆网络拓扑说明：在图书馆汇聚层交换机上做冗余备份，采用双核心技术提高网络的可靠性。不同阅览室、不同科室、部门划分不同VLAN，建立独立的冲突域；采用基于时间的ACL控制内部借阅网络拒绝访问互联网，对电子阅览室的网络进行速度限制，拒绝图书馆办公部门在办公时间禁止网络聊天、BT下载等业务；应用交换机端口安全技术，防范网络中通过伪造地址而进行的攻击，应用在档案馆等重要部门，防止机密信息的泄露；应用 端口限速技术，将需要限制的端口加入限速端口，从而将类似QQ、BT等对网络资源、网络性能的影响消除掉（QQ客户端使用端口4000，服务器端口为8000，BT一般使用TCP的68816889端口）；无线接入技术（Wi-Fi）是一种可以将个人电脑、手持设备（如PDA、手机）等终端以无线方式互相连接的无线局域网通信技术。该技术是基于IEEE802.11标准的无线通信技术，目前正在使用的通信标准为IEEE802.11a、IEEE802.11b和IEEE802.11g。3.1.5教职工与学生宿舍网络子项目设计图7-1设计说明、具体地址规划和网络拓扑图在学生、教职工公寓网络设计中，不同学院学生建立不同VLAN，利用三层交换机，通过SVI实现跨网段的访问。在二层交换机上，通过建立访问控制列表，实现对学生上网流量的控制，避免造成网络拥堵，优化网络环境。在二层交换机上还需要配置静态MAC绑定，端口安全，限制端口的最大安全地址个数，DHCP Snooping绑定过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。限制端口的最大安全地址个数可以有效控制访问用户数，避免其他多余的恶意连接，从数量上就避免了网络拥堵。教职工的网络的地址规划和网络拓扑图相同。3.2 地址规划3.2.1地址说明及规划原则1、向运营商申请的注册地址段为：/24/2454/24/240/242、地址规划原则：利用VLSM（可变长子网掩码）实现IP地址的多层次地址分配3.2.2地址规划1、注册地址的分配：表3-1 注册地址分配表区域注册地址主干设备202.207.169/28服务器办公区/24-0/24图书馆学术交流中心41/24-202.207.178./24教职工公寓学生宿舍教学楼1/24-40/24分校1分校22、私有地址的总体规划私有地址是可以自由的在局域网内使用的IP地址，在构建局域网是利用私有地址可以灵活的进行地址分配。私有地址有/8,/16/16和/24三类。在本设计中，以方便灵活性和可扩展性为目标，决定使用/8网段为内网分配地址。（1）各学院分配各自的地址段，分别给1院到研究生院/16，/16，/16，/16，/16，/16，/16，/16，/16，/16，/16，/16，/16，/16（2）各行政机构分配地址段/16（3）教学区分配地址段/16（4）图书馆分配地址段/16（5）各分校分配地址段/16，/16（6）教职工和学生宿舍分配地址段/16，/16，/163、地址分配的方式说明校园的地址分配采用动态地址分配的方式，在网络中搭建DHCP服务器，实现IP地址的动态获取。4、NAT/NAPT的说明表3-2 NAT/NAPT说明网络私有地址注册地址办公区网络/16/24-0/24图书馆网络/161/24-202.207.70./24教学区网络/161/24教职工和学生宿舍网络/1641/24-202.207.171./24分校/162/24-00/24分校/1601/24-40/24服务器/24202.207.169/283.3 分工说明表3-3分工说明项目负责人负责项目郭鑫核心层主干的设计和总体的地址规划刘强图书馆的网络设计丁佳钧分校的网络设计及与主校的网络连接郭鑫行政机构和办公区的网络设计杨青雷教职工宿舍的网络设计4校园网主干项目的设计方案（负责人：郭鑫）4.1校园网主干网络设计方案4.1.1校园网主干网络拓扑设计图4-1 校园网主干拓扑设计图核心层采用双核心设计，采用VRRP+MSTP的冗余技术，实现网络的冗余备份及负载均衡。出口路由采用路由策略，实现网络的双出路，连接到CERNET及通过联通连接到Internet。核心交换机上采用浮动路由提供到出口路由的备份连接。在连接服务器的路由器上做TCP负载均衡，以实现对服务器的均衡会话。在出口路由器上做NAPT，将内部地址转换为注册外部地址，实现内部所有主机对外网的访问。4.1.2网络设备选型表4-1网络设备选型序号设备名称型号/规格单位单价（元）数量总价（元）1核心交换机RG-S8610台10000022000002核心交换机模块M8600P-48GT/4SFP个23核心交换机模块M8600-02XFP个24模块化路由器CISCO3845个394442788885广域网模块CISCO HWIC-4T个12100224200表4-2服务器选型学校服务器类型IBM System x3850 X5(7145N02)价格10.6万产品类别机架式产品类型企业级CPU型号Xeon E7520 1.866GHz标配CPU数量4颗内存容量32G DDR3标配硬盘数量584G网络控制器两个千兆以太网卡电池类型冗余电源产品结构4URAID模式RAID 0，1，5扩展槽7半长PCI-E（2个热插拔）光驱DVD价格10.6万数量8总价格84.8万设备总价格：1,151,088元4.1.3应用技术说明1、MSTP技术：MSTP（多生成树协议）是在交换网络中基于VLAN构建多个生成树，既避免了环路，又能让相同VLAN间的通讯不受影响。它可以把一台交换机的一个或多个VLAN划分为instance，有着相同instance配置的交换机就组成了一个域（MST region），运行独立的生成树（这个内部的生成树称为IST，Interal Spanning tree）；这个MST region组合就相当于一个大的交换机整体，与其他的MST region 再进行生成树算法运算，得出一个整体的生成树，称为CST（Common Spanning Tree）。2、VRRP技术：VRRP(Virtual Router Redundancy Protocol)能够从网络层保证网络系统的高度冗余，同时也能够实现网络流量的负载均衡。VRRP组内多个路由器都映射为一个虚拟的路由器。VRRP保证同时有且只有一个路由器在代表虚拟路由器进行包的发送。而主机则是把数据包发向该虚拟路由器。这个转发数据包的路由器被成为主路由器。如果这个主路由器在某个时候由于某种原因而无法工作的话，则处于备份状态的路由器将被选择来代替原来的主路由器。VRRP使得局域网内的主机看上去只使用了一个路由器，并且即使在它当前所使用的首跳路由器失败的情况下仍能够保持路由的连通性。3、OSPF多区域技术：开放式最短路径优先协议(Open Shortest Path First )。OSPF路由协议是一个链路状态协议，其使用最短路径优先算法（SPF）计算路由。多区域OSPF是在每一个区域中的路由器都按照该区域中定义的链路状态算法来计算网络拓扑结构，对于每一个区域，其网络拓扑结构在区域外是不可见的，同样，在每一个区域中的路由器对其域外的其余网络结构也不了解。在OSPF路由协议中存在一个骨干区域（Backbone），该区域包括属于这个区域的网络及相应的路由器，骨干区域必须是连续的，同时也要求其余区域必须与骨干区域直接相连。骨干区域一般为区域0，其主要工作是在其余区域间传递路由信息。所有的区域，包括骨干区域之间的网络结构情况是互不可见的，当一个区域的路由信息对外广播时，其路由信息是先传递至区域0（骨干区域），再由区域0将该路由信息向其余区域作广播。 4、策略路由技术：策略路由，是根据一定的策略进行报文转发。在路由器转发一个数据报文时，首先根据配置的规则对报文进行过滤，匹配成功则按照一定的转发策略进行报文转发。这种规则可以是基于标准和扩展访问控制列表，也可以基于报文的长度；而转发策略则是控制报文按照指定的策略路由表进行转发，也可以修改报文的IP优先字段。因此，策略路由是对传统IP路由机制的有效增强。策略路由（Policy Route）是指在决定一个IP包的下一跳转发地址或是下一跳缺省IP地址时，不是简单的根据目的IP地址决定，而是综合考虑多种因素来决定。如可以根据DSCP字段、源和目的端口号，源IP地址等来为数据包选择路径。策略路由可以在一定程度上实现流量工程，使不同服务质量的流或者不同性质的数据（语音、FTP）走不同的路径。5、浮动路由技术：路由表的管理距离越低，优先级越高。浮动的静态路由是一种特殊的静态路由，通过配置一个比主路由的管理距离更大的静态路由，保证网络中主路由失效的情况下，提供备份路由。但在主路由存在的情况下它不会出现在路由表中。6、SVI（Switch Virtual Interface）技术：利用三层交换机通过SVI方式实现VLAN间路由。实现方法是在三层交换机上为各VLAN创建虚拟VLSN接口，并为SVI接口配置IP地址，作为各VLAN中主机的网关。7、VPN（虚拟专用网）技术：利用公共网络来构建的私人专用网络称为虚拟私有网络（VPN，Virtual Private Network），用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、可靠性和可管理性等。减少WAN带宽的费用。 能使用灵活的拓扑结构，包括全网连接。 新的站点能更快、更容易地被连接。 通过设备供应商WAN的连接冗余，可以延长网络的可用时间。8、端口聚合：端口聚合（又称为链路聚合)，将交换机上的多个端口在物理上连接起来，在逻辑上捆绑在一起，形成一个拥有较大宽带的逻辑端口，形成一条干路，可以实现负载分担，并提供冗余链路。9、NAPT技术：NAT就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为。这种特性使得内部局域网呈现给外部网络的IP地址，可以与正在使用的IP地址空间完全不同。这样一个组织就可以将本来非全局可路由地址通过NAT之后，变为全局可路由地址，实现了原有网络与互联网的连接，而不需要重新给每台主机分配IP地址。4.2校园网主干网络项目论证4.2.1校园网主干网络项目论证实验说明由于实验室设备数量和部分配置不支持的限制，将主干项目论证实验分为两个实验进行验证，分别是：主干区域内部的验证，出口路由策略路由和NAPT的验证。1、主干区域内部实验验证说明图4-1 主干区域内部拓扑图（1）论证实验的综合应用技术说明：在论证实验中使用了MSTP技术，VRRP技术，OSPF单区域，浮动静态路由技术，SVI技术，端口聚合技术。（2）论证实验中的设备（应用技术）替换说明：论证实验采用了实验室的锐捷设备，用两台S3550代替核心交换机，用两台S2126代替汇聚层交换机，两台R1762代替出口路由器，用Loopback口代替接入CERNET和联通网络。（3）配置交换机VLAN及端口类型：分别在四台交换机上配置VLAN10，VLAN20，VLAN30，VLAN40，将三层与三层，三层与二层交换机相连的端口配置为Trunk模式，将相应接口划分给各个VLAN。（4）配置SVI（Switch Virtual Interface）：在两台三层交换机上配置VLAN的IP地址。（5）配置端口聚合：在两台交换机上将两个相连的接口配置为Aggregate接口。（6）配置MSTP：在四个交换机上配置MSTP，将VLAN10、VLAN30划分为一个instance1，将VLAN20、VLAN40划分为一个instance2。分别将S3550A和S3550B配置为实例1和实例2的根交换机。（7）配置OSPF单区域：开启三层交换机路由功能，将两个三层交换机与路由器相连的接口配置为路由口，在两个三层交换机和两个路由器上开启OSPF路由协议。在路由器上开启回环口模拟互联网接入。（8）配置静态浮动路由：在两个交换机上配置两条缺省静态路由，一条指向正上方的路由器，管理距离不变；另一条指向斜向上的路由器，管理距离配置为120。2、策略路由和NAPT实验论证图4-2 策略路由和NAPT实验拓扑图（1）论证实验的综合应用技术说明：在实验论证中使用了策略路由技术和NAPT技术（2）论证实验中的设备（应用技术）替换说明：论证实验采用了GNS3模拟器实现，用四台思科3640路由器分别模拟出口路由器，内部网络，外部联通局端设备和教育网局端设备。（3）在R1上配置route-map，基于目的地址的转发规则。在ISP和CERNET上配置一条默认路由指向R2，各自开启回环口。在R4上配置与R2相连的接口IP。（4）在R1配置两个route-map，match两个外网出口，配置NAT，基于两个route-map进行NAT转换。4.2.2校园网主干网络论证实验调试结果1、主干区域内部实验验证结果（1）MSTP配置结果：S3550A#show spanning-treeStpVersion : MSTPSysStpStatus : EnabledBaseNumPorts : 24MaxAge : 20HelloTime : 2ForwardDelay : 15BridgeMaxAge : 20BridgeHelloTime : 2BridgeForwardDelay : 15MaxHops : 20TxHoldCount : 3PathCostMethod : LongBPDUGuard : DisabledBPDUFilter : Disabled# MST 1 vlans mapped : 10,30BridgeAddr : 00d0.f8b8.5135Priority : 0TimeSinceTopologyChange : 0d:2h:27m:9sTopologyChanges : 0DesignatedRoot : 000100D0F8B85135RootCost : 0RootPort : 0# MST 2 vlans mapped : 20,40BridgeAddr : 00d0.f8b8.5135Priority : 4096TimeSinceTopologyChange : 0d:2h:27m:9sTopologyChanges : 0DesignatedRoot : 000200D0F8B85D95RootCost : 190000RootPort : Ag1不同实例下端口的角色不同S3550A#show spanning-tree mst 1 int aggregatePort 1# MST 1 vlans mapped : 10,30PortState : forwardingPortPriority : 128PortDesignatedRoot : 000100D0F8B85135PortDesignatedCost : 0PortDesignatedBridge : 000100D0F8B85135PortDesignatedPort : 83E9PortForwardTransitions : 1PortAdminPathCost : 0PortOperPathCost : 190000PortRole : designatedPortS3550A#show spanning-tree mst 2 int aggregatePort 1# MST 2 vlans mapped : 20,40PortState : forwardingPortPriority : 128PortDesignatedRoot : 000200D0F8B85D95PortDesignatedCost : 0PortDesignatedBridge : 000200D0F8B85D95PortDesignatedPort : 83E9PortForwardTransitions : 1PortAdminPathCost : 0PortOperPathCost : 190000PortRole : rootPortS3550B#show spanning-treeStpVersion : MSTPSysStpStatus : EnabledBaseNumPorts : 24MaxAge : 20HelloTime : 2ForwardDelay : 15BridgeMaxAge : 20BridgeHelloTime : 2BridgeForwardDelay : 15MaxHops : 20TxHoldCount : 3PathCostMethod : LongBPDUGuard : DisabledBPDUFilter : Disabled# MST 1 vlans mapped : 10,30BridgeAddr : 00d0.f8b8.5d95Priority : 4096TimeSinceTopologyChange : 0d:2h:25m:35sTopologyChanges : 0DesignatedRoot : 000100D0F8B85135RootCost : 190000RootPort : Ag1# MST 2 vlans mapped : 20,40BridgeAddr : 00d0.f8b8.5d95Priority : 0TimeSinceTopologyChange : 0d:2h:25m:35sTopologyChanges : 0DesignatedRoot : 000200D0F8B85D95RootCost : 0RootPort : 0S2126A#show spanning-treeStpVersion : MSTPSysStpStatus : EnabledBaseNumPorts : 24MaxAge : 20HelloTime : 2ForwardDelay : 15BridgeMaxAge : 20BridgeHelloTime : 2BridgeForwardDelay : 15MaxHops : 20TxHoldCount : 3PathCostMethod : LongBPDUGuard : DisabledBPDUFilter : Disabled# MST 1 vlans mapped : 10,30BridgeAddr : 00d0.f8c0.1e7fPriority : 32768TimeSinceTopologyChange : 0d:2h:29m:12sTopologyChanges : 0DesignatedRoot : 000100D0F8B85135RootCost : 200000RootPort : Fa0/1# MST 2 vlans mapped : 20,40BridgeAddr : 00d0.f8c0.1e7fPriority : 32768TimeSinceTopologyChange : 0d:2h:29m:12sTopologyChanges : 0DesignatedRoot : 000200D0F8B85D95RootCost : 200000RootPort : Fa0/2S2126B#show spanning-treeStpVersion : MSTPSysStpStatus : EnabledBaseNumPorts : 24MaxAge : 20HelloTime : 2ForwardDelay : 15BridgeMaxAge : 20BridgeHelloTime : 2BridgeForwardDelay : 15MaxHops : 20TxHoldCount : 3PathCostMethod : LongBPDUGuard : DisabledBPDUFilter : Disabled# MST 1 vlans mapped : 10,30BridgeAddr : 00d0.f8c0.2133Priority : 32768TimeSinceTopologyChange : 0d:2h:26m:26sTopologyChanges : 0DesignatedRoot : 000100D0F8B85135RootCost : 200000RootPort : Fa0/2# MST 2 vlans mapped : 20,40BridgeAddr : 00d0.f8c0.2133Priority : 32768TimeSinceTopologyChange : 0d:2h:26m:26sTopologyChanges : 0DesignatedRoot : 000200D0F8B85D95RootCost : 200000RootPort : Fa0/1（2）VRRP调试结果S3550B#show standbyIf Group State Priority Preempt Interval Virtual IP Auth- - - - - - - -VL10 10 backup 100 may 1 54VL20 2