南宁职业技术学院校园网实施方案

1、南宁职业技术学院校园网项目实施方案南宁职业技术学院校园网实施方案2007年11月目 录一、南宁职业技术学院校园网建网需求分析3二、方案概述421方案设计实现422网络拓扑结构设计4三、工程实施与责任分工53.1项目建设组织机构与实施团队的建设53.1.1团队人员构成63.2工程分工73.3工程实施阶段73.3.1网络调试准备及设备初检73.3.2 网络系统安装调试93.3.3系统优化调整10四、系统实施方案114.1设备命名与用途114.1.2设备用途说明114.2设备端口配置124.3 vlan号(id)的分配规划134.4 ip地址的分配原则214.5 物理/链路层配置原则214.6 路由

2、策略214.7 网络设备安全策略配置224.7.1安全接入和配置224.7.3拒绝服务的防止234.7.4防火墙安装234.8 组播业务及qos保障244.8.1 组播业务的实现244.8.2对各类业务的qos保障244.9 网络及日志管理254.9.1 quidview网络管理系统254.9.10 交换机和端口的对照效果图264.11核心交换机配置参考32五、质量保证计划和项目验收计划355.1质量保证计划355.1.1平台系统建设阶段355.1.2整体系统集成阶段365.2项目验收方案375.2.1项目验收总体原则和验收依据375.2.2系统验收方案制定385.2.3验收的方法与步骤：38

3、5.3工期保证措施40一、南宁职业技术学院校园网建网需求分析南宁职业技术学院的网络的建设是在原有的网络基础上构建一套全新的校园网络，实现罗文校区和五里亭校区的网络无缝融合。在实际的建设过程当中，我们对南宁职业技术学院进行了3天的实地调研。总结出：罗文校区为网络信息点的主要集中处。在罗文学校区需要接入校园网楼层分别有：计数楼（第1号实训楼）、1号教学楼、2号教学楼、办公楼、教职工宿舍楼、第2号实训楼、第3号实训楼、第4号实训楼。五里亭校区主需要连入校园网的楼层，分别是实训楼、教学楼、旧学楼、图书馆、食堂、教职工宿舍、学生宿舍楼。校园平面图如下：实训楼教学楼第3.4实训楼第2实训楼计数楼办公楼1号

4、教学楼2号教学楼罗文校区五里亭校区教职工宿舍楼食堂旧教学楼图书馆教职工宿舍教职工宿舍学生宿舍罗文校区二、方案概述南宁职业技术学院的校园网网络整体分为三个层次：核心层、汇聚层、接入层。为实现校区内的高速互联，核心层由1个核心节点组成，包括教学区区域、服务器群；汇聚层设在每个教学楼上，每个教学楼设置一个汇聚节点，汇聚层为高性能“小核心”型交换机，根据各个楼的配线间的数量不同，可以分别采用1台或是2台汇聚层交换机进行汇聚，为了保证数据传输和交换的效率，现在各个楼内设置三层楼内汇聚层，楼内汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性；接入层为每个楼的接入交换机，是直接与用户相连的设备

5、。本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计，以满足客户需求。21方案设计实现 南宁职业技术学院网络为由三层组成，核心层为s9508核心路由交换机，汇聚层为s5600-26c交换机和e328和e352交换机。核心层放置在计数楼的6楼中心机房。其中汇聚交换机放置在各办公楼，实训楼等楼层的分中心，汇聚交换机和核心层交换机之间使用千兆光纤连接，通过sr6608路由器完成对internet的访问，采用quidview网管系统进行全网设备的统一管理。22网络拓扑结构设计网络拓扑结构如下图： 三、工程实施与责任分工3.1项目建设组织机构与实施团队的建设在南宁职业技术学院校园网工程的项目中

6、， 我公司作为集成商是项目实施的最前沿，直接负责项目的实施、培训、运行服务等，是项目成功的直接保障。并且这个过程是一个长期的过程。南宁 电子科技有限公司充分分析了该项目的建设模式和技术要求，同时公司多年积累了广泛的技术经验和相关的行业项目实施组织经验。我们将利用南宁 电子科技有限公司优秀资源组成南宁职业技术学院校园网工程项目的实施团队，建立专门的有关机构来实施南宁职业技术学院校园网工程项目和为该项目提供后期服务。3.1.1团队人员构成项目经理(周运宝)：负责在南宁职业技术学院校园网项目实施过程中的全方面技术规划、技术人员的管理、技术人员的培训安排、技术资源的调配。进行项目实施进度规划、项目联合

7、调试、进行项目实施所需设备的招标，进行技术把关。下辖硬件部门、软件部门、售后服务部门，全面协调项目实施中的技术资源。项目实施技术部门技术部是项目实施的技术保障部门，下设几个重要职能小组：（1）、网络调试组主要工作与职责： 深入理解并贯彻总体设计方案精神 全面、细致地分析网络工程的业务需求 网络设备、服务器及存储设备的安装调试。 网络联通性测试。（2）、网络设备支持组 负责南宁职业技术学院网络系统的安装与调试，具体实施时应根据集成工作量的大小分成若干小组并行实施 协助进行相关硬件产品的技术测试与评估 根据甲客户方的需要提供相关技术支持与咨询服务附：本项目管理实施人员表姓 名工作年限技术特长相关证

8、书周运宝2网络、管理h3c 高级 网络工程师证书h3c存储高级工程师证书郭涛1网络、管理h3c网络工程师证书吴梁荣2网络、管理h3c 高级 网络工程师证书h3c存储高级工程师证书陈苏发1网络、管理h3c 网络工程师证书思科 网络工程师证书3.2工程分工本次工程的实施阶段中， 科技实业有限公司负责以下工作： 网络设备的上架、安装、线缆连接； 核心交换机、汇聚层交换机、接入层交换机、路由器配置与调试。3.3工程实施阶段本次工程主要的工作是南宁职业技术学院校园网网络设备实配置、调试和实现系统互连。工程施主要分为两部分： 3.3.1网络调试准备及设备初检网络系统的安装调试准备工作相对较多，详细、精心的

9、准备工作可以使安装调试达到事半功倍的效果。1. 网络拓扑结构的确定根据项目建设的总体方案及租用电信运营商的网路状况，确定设备的物理位置及连接关系。2. 网络地址的分配根据总体的网络地址划分原则，细化所有网络设备及其它主机/工作站等设备的ip地址划分。3. 路由协议的选择根据总体方案的设计、各类数据的传输起始与中止位置，选择各层次的网路传输路由协议。4. 主要设备配置细节规划对于网络交换设备、网络路由设备、网络防火墙设备等做出相对具体的配置范本。5. 网络设备使用的外部环境准备这个准备工作主要由客户完成，南宁 电子科技有限公司可以协助完成，主要涉及专线链路的申请、拨号链路的申请。在如上之准备工作

10、做好后，可以组织工程师对网络设备进行初检及安装调试工作。在准备工作中所完成的网路拓扑结构方案、系统地址划分方案等文档要同客户的技术人员讨论，并备案。网络设备初检网络设备初检的前提条件是网络调试准备阶段的文档经客户审定通过，工程所需要的网络设备全部到货。设备初检的参与人员： 南宁 电子科技有限公司网络部工程师 南宁职业技术学院技术人员和管理人员网路设备开箱验收： 开箱前，检查设备包装有无破损、受潮、挤压变形； 开箱后，检查设备有无磕碰迹象、有无外观损伤； 检查设备说明书、各种附件是否齐全； 核对设备型号、设备数量与商务合同是否有出入；网络设备上电测试：网络设备的上电测试的前提条件是设备开箱检验没

11、有问题，对于有问题的网络设备重新包装交由南宁 电子科技有限公司商务部门及时协调处理更换产品。参加网络设备上电测试的人员包括设网络部工程师、客户相关技术工程师，工程师可以分组完成上电测试工作以提高工作效率。上电测试的步骤如下： 连接设备配置终端； 设备上电自检； 检查各显示灯或液晶显示屏的状态是否正确； 检查设备散热风扇工作是否正常； 从设备配置终端上检查设备启动过程对各子系统的自检过程是否正确； 检查各接口模板状态指示灯是否正常； 从配置终端上检查系统是否可以认到（可以加载）全部接口板卡； 从配置终端上检查设备操作系统版本是否正确； 从配置终端上检查设备内存(ram)与闪存（flash mem

12、ory）容量是否与合同相符；在上电测试过程中，严格检查设备各项指标，并详细记录上述各检查内容的测试结果，认真填写网络设备上电检测报告（表）。这个监测报告需要设备供应商工程师、 工程师和客户工程师共同签字确认并在双方存档。3.3.2 网络系统安装调试网络设备预设置过程：预设置的内容如下： 网络设备的设备名根据设备编码表所确定的设备名进行设置； 网络设备的ip地址根据设备编码表及系统设备地址分配表进行设置； 网络设备口令设置根据客户确定的设备用户密码表设置设备访问密码； 基本端口设置根据总体方案中网络设备端口使用方案设置； 网络设备物理标签粘贴对于开箱验收、上电测试成功，并通过预设置的网络设备根据

13、设备编码表粘贴物理标签。物理标签的位置不能影响设备线路的正常连接、并且明显不易缺失。同时要在设备外包装上不少于三个侧面粘贴含有设备编码、设备属地、设备型号等信息的标签。网络设备安装调试过程：网络设备安装调试工作是项目建设的重要步骤，也是项目准时上线运行的基本保证。在网络设备现场安装调试前必须做好各项准备工作，其中最重要的是实施方案和实施环境的准备。对于实施环境，要满足设备使用的基本要求，同时各种线路应该全部进场(包括专线线路、拨号线线路、局域网线路)。涉及专线的申请参数表、各通讯线路在配线架上的位置，由南宁 电子科技有限公司组织实施的线路准备或布线工程，南宁 电子科技有限公司负责提供线路配线示

14、意图和配线连接表。网络设备的现场安装调试，由南宁 电子科技有限公司拟定网络连接拓扑方案、网络路由选择方案、网络安全设备配置方案、网络调试计划等文件与客户的相关人员共同商讨审定，审定的内容包括技术的可行性、人员时间安排、调试测试手段等。该文档将做为集成商所提交的必要文档的一部分交由客户留存。网络设备安装调试的参与人员： 南宁 电子科技有限公司网络部的技术人员 南宁职业技术学院的技术人员安装环境的确定和测试：首先要确定网路设备安装的位置，如在网路机柜上的高度、设备上下空间、网路连接线的位置、网路走线方法。测试网络设备安装地点的环境，主要涉及通风散热和用电安全；测试网络线缆的通断情况和传输衰减。要求

15、布线施工人员提交布线测试报告，并抽检局域网线路（或全部测试）。线缆测试方法如下： 使用简易线缆测试设备测试线路的通断情况； 使用专用线路测试仪测试网线传输衰减；网络设备的安装调试： 完成网路设备的上架固定； 完成网络线缆的连接； 连接网络设备配置终端； 系统安全上电； 按照网络设备调试方案进行通讯参数和地址参数的调整 设置网络设备的路由参数 设置网络设备的安全性相关参数 在需要防火墙的地方，进行防火墙设备的调试在网络设备调试过程中，记录各参数的调整情况，保存网络设备配置文件。网络设备连通性测试：网络设备连通性测试主要采用ping命令手段，通过ping方案设计中所要求的不同目标网段或目标地址来测

16、试网络的连通性，通过考察ping命令的返回信息分析判断网络连通行性能：如分析相应时间、丢包率等，并做相应调整以达到通讯性能最佳。通过traceroute命令考察通讯连接的路由路径，对路由跳数进行分析，来调整路由方式使得连接发起方与连接目标方的路由跳数最少。在这个网络安装调试阶段可以保留网络设备接收telnet登陆和ftp文件传输，这样可以方便网络设备在项目实施过程中的参数调整。在试运行统调阶段或运行阶段为保证安全性再封死对该类连接请求的响应。3.3.3系统优化调整完成上诉步骤之后，网络系统可以正常运行。但是，在前期工作完成后，有可能由于工程规范或者各节点的现场情况，这些都需要重新调整系统的某些

17、细节；同时，通过整体考虑，可以对系统进行优化，提升性能、可靠性、安全性等。四、系统实施方案4.1设备命名与用途本次工程大多为新增设备，对所有的网络设备进行统一的命名，同时我们也需要对客户方原有设备进行统一的命名，以方便网络系统管理。4.1.1设备命名规则lwjsl 5f s9508 设备型号楼层校区名地点代码解释:（1）、lw:代表南宁职业技术学院罗文校区（2） wlt：代表南宁职业技术学院五里亭校区（3）、jsl:代表计数楼； （4）、5f:代表5楼（5）、s交换机、r路由器、f防火墙；s9508代表h3c交换机s9508；4.1.2设备用途说明设备用途说明：安装地点设备类型设备名用途罗文计

18、数楼6楼网络中心s9508lw-jsl-6f-s9508核心交换机罗文计数楼6楼网络中心sr6608lw-jsl-6f-sr6608外网路由器罗文计数楼205e328lw-jsl-2f-e328汇聚交换机罗文办公楼2楼201s5600-26clw-bgl-2f-5600-26c汇聚交换机罗文第2实训楼s5600-26clw-d2sxl-2f-5600-26c汇聚交换机罗文1号教学楼e328lw-1jxl-1-2f-e328汇聚交换机罗文1号教学楼e328lw-1jxl-2-2f-e328汇聚交换机罗文2号教学楼e328lw-2jxl-1-2f-e328汇聚交换机罗文2号教学楼e328lw-2j

19、xl-2-2f-e328汇聚交换机五里亭实训楼2楼机房s5600-26cwlt-sxl-2f-5600-26c汇聚交换机五里亭实训楼2楼机房e352wlt-sxl-2f-e352接入交换机五里亭旧教学楼e328wlt-jjxl-3f-e328接入交换机说明：（1）、汇聚层交换机汇聚接入层的用户数据，并转发到核心网络（2）、接入层交换机为用户提供接入功能（3）、防火墙为网络提供安全防范保护及路由功能4.2设备端口配置本工程主要涉及以下几种网络设备： 核心交换机quidway s9508 汇聚交换机quidway s5600-26c 接入层智能交换机e328和e352为了便于配置、维护与排障，尽可

20、能地为每一台汇聚层交换机使用以下的端口配置表：s9508核心交换机端口配置表插槽序号模 块 名 称端口号对 端 设 备状况备 注设 备对端端口1quidway s9508交换路由处理板224端口千兆以太网光接口业务板1234567-24348端口百兆以太网电接口业务板12-48sr6608 路由器端口配置表1千兆以太网电接口g3/1/2internet2千兆以太网电接口g3/1/1防火墙的g0口4.3 vlan号(id)的分配规划由于网络中既有跨越全网的vlan(强烈建议不要这样做)又有范围较小的vlan，且普遍采用802.1q协议的上连方式，为避免混乱及出错，应对网络中的vlan id统一规

21、划，禁止出现网中的id相同而又不在同一个vlan中的情形。另外，由于802.1q协议支持至多4096个vlan id，按地理区域或行政科系划分vlan id可以为以后管理带来很大的方便。建议vlan id采用如下分配原则：（1）、vlan1保留使用（2）、vlan2vlan21分配给罗文校区计数楼的信息点使用（3）、vlan22 分配给学校服务器使用（4）、vlan99分配给网管使用；（5）vlan 100分配给vlan路由使用（6） vlan 23-vlan 30 分配给罗文校区办公楼用户使用（7） vlan 31vlan 32 分配给罗文校区1号教学楼使用（8）vlan 33vlan 34

22、 分配给罗文校区2号教学楼使用（9）vlan 35 分配给罗文校区教职工宿舍楼用户使用（10）vlan 35-vlan55 分配给第2实训楼使用（11）vlan 56vlan66分配给第3、4实训楼使用（12）预留vlan 67vlan 79作为扩展使用（13）vlan 80vlan 98分配给五里亭校区使用4.3.1 具体vlan详细表罗文校区计数楼vlan划分：房间号对应6楼配线架号所属vlan信息点网关ip地址范围和子网掩码1021108vlan 2100224/24201205房vlan 31002

23、24/242021208/1209vlan 4100224/24203205房vlan 5100224/24204205房vlan 6100224/242051202vlan 720224/24301205房vlan 8150224/243021307/1308vlan 9100224/24303205房vlan 10100192.1

24、68.10.1224/24304205房vlan 11100224/243051302vlan 124224/244021407/1408vlan 13100224/244031405/1406vlan 14100224/244041404/1403vlan 15100224/244051402/1401vlan 1620192.16

25、8.16.1224/245021507/1508vlan 17100224/245031505/1506vlan18100224/245041504/1503vlan 19100224/245051502/1501vlan 2020224/246楼机房pcvlan 2112224/246楼服务器vlan 1112192.168.111

26、.1224/24罗文校区办公楼1、2楼vlan划分：房间号办公室对应2楼配线架号所属vlan信息点网关ip地址范围和子网掩码101物业管理处2101vlan 234-8/24102物业管理处2102vlan234-14/24103后勤管理处2108-2109vlan23205-35/24104利客隆超市2103vlan 23106-46/24105示范建设办2104-2106vl

27、an 23307-80/24107医务室2107vlan 2321-86/24201人事处2201vlan 241012/24202工会2216vlan 2410323/24203人事处2202vlan 2410525/24204招标与采购2215vlan 2410626/24205档案2203vlan 241

28、0727/24206规划与建设2214vlan 2410828/24207档案2204vlan 2410929/24208会议室210办公室vlan 24100-32/24209学生工作2205vlan 2410343/24210科研处2213vlan 2410454/24211学生工作2206vlan 241

29、0565/24212团委2207vlan 251012/24213校史年鉴编纂2208vlan 2510323/24214纪监2212vlan 2510424/24216纪监2211vlan 2510525/24218档案2209vlan2510626/24219档案2210vlan 2510192.168.2

30、5.1737/24罗文校区办公楼3楼vlan的划分：房间号办公室名称对应2楼配线架号所属vlan信息点网关ip地址范围和子网掩码301党委办公室2301vlan 261012/24302党委办公室2320vlan 2610324/24303助理调研员室2302vlan 2610536/24304党委办公室2319vlan 2610748/24305副院长室2303vlan 2710

31、12/24306副院长室2318vlan 2710324/24307党委副书记纪委书记室2304vlan 2710536/24308副院长室2317vlan 2710748/24309副院长室2305vlan 2710960/24310小会议室2316vlan 2710172/24311院长室2306vlan

32、2810254/24312党委书记室2315vlan 291012/24313学院办公室2307vlan 2910324/24314督导办公室2314vlan 2910536/24315学院办公室2308vlan 2910748/24316文印室2313vlan 2910960/24317学院办公室2309vl

33、an 2910172/24318财务2312vlan 301012/24319财务2310vlan 3010324/24320财务2311vlan 3010536/24罗文校区1号教学楼vlan的划分：房间号办公室名称对应2楼配线架号所属vlan信息点网关ip地址范围和子网掩码101-106多媒体教室101-10vlan 31610/24105办公室105v

34、lan 3110070/24202-206多媒体教室202-206vlan 316192.168.311-20/24302-206多媒体教室302-206vlan 3162-22/24402406多媒体教室402-406vlan 316333/24502506多媒体教室502-506vlan 316444/24201办公室201vlan 3210192.16

35、8.32.2-14/24207办公室207vlan 32105-26/24208办公室208vlan 3210738/24301办公室301vlan 3210950/24307办公室307vlan3210162/24308办公室308vlan3210384/24401办公室401vlan32105-96/244

36、07办公室407vlan32107108/24408办公室408vlan321009-112/24501办公室501vlan321013124/24507办公室507vlan321025136/24508办公室508vlan321037148/24罗文校区2号教学楼vlan的划分：房间号办公室名称对应2楼配线架号所属vlan信息点网关ip地址范围和子网掩码1

37、01-106多媒体教室101-106vlan 33610/24202-206多媒体教室202-206vlan 3361-20/24302-206多媒体教室302-206vlan 3362-22/24402406多媒体教室402-406vlan 336333/24502506多媒体教室502-506vlan 336444/24201办公室201vlan 341

38、0-14/24207办公室207vlan 34105-26/24办公室208vlan 3410738/24301办公室301vlan 3410950/24307办公室307vlan3410162/24办公室308vlan3410384/24401办公室401vlan3410192.168

39、.33.85-96/24407办公室407vlan34107108/24办公室408vlan341009-112/24501办公室501vlan341013124/24507办公室507vlan341025136/24办公室508vlan341037148/24教职工宿舍楼vlan的划分：罗文校区第2实训楼vlan的划分：办公室名称对应2楼配线架号所属vla

40、n信息点网关ip地址范围和子网掩码教职工宿舍1-48vlan3548-00/24考虑到第2实训楼有1500个信息点。预留vlan35-55一共20个vlan罗文校区第3.4号实训楼vlan的划分：管理和路由vlan第3.4号实训楼有300个信息点，预留vlan5666一共10个vlan管理vlanvlan 99用于telent管理网络设备使用路由vlanvlan100用于vlan之间的路由通信五里亭校区vlan划分：楼层对应标签对应2楼配线架号所属vlan信息点网关ip地址范围和子网掩码实训楼202202准备加配线架vla

41、n 801020/24实训一楼艺术系202食堂20230170/24教工宿舍楼图书馆一楼201100/24教师宿舍楼501120/24学生宿舍521140/24四分院四分院vlan 81200254/24图书馆图书馆vlan 82100150/24实训楼四楼401

42、vlan83210254/24实训楼五楼501vlan 8460100/24旧教学一楼旧教学一楼valn855080/24旧教学二楼公共部旧教学三楼计算机协会vlan 865080 /24新教学楼vlan 8790150/244.4 ip地址的分配原则ip地址的统一、合理规划以及整个网络向ipv6的演进是关系到整体分层网络稳定、快速收敛的关键，也是南宁职业技

43、术学院校园网网络设计中的重要一环。ip地址规划的好坏，不仅影响到网络路由协议算法的效率，更影响到网络的性能和稳定以及网络的扩展和管理，也必将直接影响到相关新业务的开拓和网络应用的进一步可持续性发展 划分时注意使用vlsm，充分节约ip地址，使路由交换机上能够采用聚合进行路由的合并，减少路由表的大小。 出口到互联网可以采用nat防火墙上做地址转换实现。 校区内接入到同一汇聚层交换机的区域建议采用连续ip地址段，以便做路由汇聚。ip地址的分配原则如下：（1）、每个vlan分配一个c类地址（2）、给三层交换机设备互连的点对点ip地址分配1个c类地址，提供足够的扩展性（3）、考虑到以后的网络扩展规模，

44、二层交换机设备的管理ip地址分配1个c类ip地址；（4）、可以考虑为学校校园网分配一个c类私有地址段，如192.168.99.x/24,将/24的地址段分配给网络设备使用，/24的地址段分配给服务器等设备使用，其它地址分配给各办公室pc机。4.5 物理/链路层配置原则物理/链路层配置遵循下面的原则： 网络设备互连的物理端口都应该绑定端口的速率和全双工模式 建议所有的vlan都不要穿透核心层，所有的vlan都将在汇聚层交换机上终结； 本实施方案建议不要启用stp生成树协议，由于所有的vlan都已在汇聚层交换机终结，在二层上并没有环路存在，故无必要启

45、用；如果开启基于每个vlan的生成树协议，广播报文将会很多，影响核心交换机性能和网络收敛时间； 所有核心层和汇聚层交换机之间的互连端口均设置为trunk模式，但目前只容许互连vlan通过，以应付将来有vlan穿越核心层这种情况。 汇聚层交换机和接入交换机之间的互连端口设置为trunk模式， 4.6 路由策略校园网一般设计两个以上的出口，即电信运营商出口（internet）及cernet出口。校园网设计为独立网络，这样设计能防止两个网络之间的相互影响，通过bgp在多个出口和电信运营商及cernet进行互连，通过bgp的med属性选择进口，进行负载分担，redistribute缺省路由进入校园网；

46、校园网内部采用缺省路由通过igp metric作多出口选择。采用开放的、标准的路由协议，现有各校区网络可以通过静态路由连接上来，这样不会影响其他网络的bgp路由。域内路由策略主要是要考虑网络的稳定性，负载分担，当网络出现故障时路由收敛的速度。域内路由即可以通过动态路由协议也可以通过静态路由实现。采用静态路由简单，稳定，但它不能及时反映网络的现状，因此在骨干层一般不使用。动态路由协议主要有rip、ospf 、is-is 、igrp、eigrp 等。 rip 、igrp、eigrp 都是距离矢量路由协议，只使用于一般的小型网络，对于城域网这样的网络中一般不使用。ospf 和 is-is 都属于链路

47、状态型链路协议，两个路由协议都采用spf算法计算路由，ospf 是开放的ietf标准协议，具有很好的可靠性和扩展性，具有高效的路由聚合和缺省路由机制，ospf和mpls能够很好的结合，而is-is和mpls的结合需要对is-is进行修改，因此推荐教育城域网采用ospf作为igp，考虑到目前三层网络较小，整个核心汇聚层采用ospf 核心区域area 0 。为减少城域网内的路由表项和提高路由稳定性，对出城域网的业务采用默认路由。接入层设备因为拓扑结构相对稳定，变化较少，为最大限度的提高路由汇聚速度和效率，均使用静态路由完成上行路径汇聚。4.7 网络设备安全策略配置网络设备是网络数据的传输中心，应该

48、保证基础网络设备的安全。保证网络安全主要从以下几个方面着手。4.7.1安全接入和配置安全接入和配置是指在物理(控制台)或逻辑(telnet)端口接入网络基础设施设备前必须通过认证和授权限制，从而为网络基础设施提供安全性。限制远程访问的安全设置方法如下表所示安全接入和配置方法访问方式保证网络设备安全的方法备注console控制接口的访问设置密码和超时限制建议超时限制设成5分钟进入特权exec和设备配置级别的命令行配置radius来记录logon/logout时间和操作活动；配置至少一个本地账户作应急之用telnet访问采用acl限制，指定从特定的ip地址来进行telnet访问；配置radius安

49、全纪录方案；设置超时限制ssh访问激活ssh访问，从而允许操作员从网络的外部环境进行设备安全登陆web管理访问取消web管理功能snmp访问常规的snmp访问是用acl限制从特定的ip地址来进行snmp访问；记录非授权的snmp访问并禁止非授权的snmp企图和攻击为增加安全，建议更改缺省的snmp commutiy子串设置不同账号通过设置不同的账号的访问权限，提高安全性4.7.3拒绝服务的防止网络设备拒绝服务攻击的防止主要是防止出现tcp syn泛滥攻击、smurf攻击等；网络设备的防tcp syn的方法主要是配置网络设备tcp syn临界值，若多于这个临界值，则丢弃多余的tcp syn数据包；防smurf攻击主要是配置网络设备不转发icmp echo请求(directed broadcast)和设置icmp包临界值，避免成为一个smurf攻击的转发