网络工程-广东蓝云职业技术学院校园网络规划设计方案

广东蓝云职业技术学院校园网络规划设计方案摘要：自21世纪以来，互联网技术飞速发展，在各行各业中得到广泛应用，而校园网更成为校园必不可少的教育技术手段。校园网在教学管理中提高办公效率，增强学生信息化技术的动手能力，在教学中提供先进的教学资料以及各种教学手段，提高教学效率，为师生提供学习资源平台，校园网建设成为提升教育信息化水平的重要手段。本论文在对广东蓝云职业技术学院的网络需求详细分析的基础上，提出了校园网的网络规划和设计方案。首先对广东蓝云职业技术学院校园网的网络需求进行分析，根据需求对校园进行整体调查，根据需求以及调查的结果再通过文献资料做进一步分析，最后对该网络进行设计。在此设计中首先使用VLAN技术对IP地址进行合理规划，避免IP混乱不利于后期维护，针对突发事件导致设备宕机情况，采用VRRP技术来保证网络正常运作，避免网络中断影响业务。采用链路聚合技术，解决宿舍区对于传输速率要求高以及提高链路的可靠性。最重要的是连接到外网，这时都会用到的NAT技术，从而达到内网与外网的互通。其他的还有些DHCP、防火墙安全策略等技术来实现校园网的需求。基于广东蓝云职业技术学院校园网的需求，最终实现广东蓝云职业技术学院校园网设计，为了向全校师生提供一个良好的校园网络环境，建立了安全、规范的校园网。关键字：校园网，VLAN技术，NAT技术，DHCP技术

NetworkPlanningandDesignofTheCampusNetworkofGuangdongBluecloudTechnicalCollegeAbstract：Sincethe21stcentury,withtherapiddevelopmentofInternettechnology,ithasbeenwidelyusedinallwalksoflife,andcampusnetworkhasbecomeanessentialeducationaltechnologymeansincampus.Campusnetworkimprovesofficeefficiencyinteachingmanagement,enhancesstudents'practicalabilityofinformationtechnology,providesadvancedteachingmaterialsandvariousteachingmeansinteaching,improvesteachingefficiency,andprovideslearningresourceplatformforteachersandstudents.Campusnetworkconstructionhasbecomeanimportantmeanstoimprovethelevelofeducationinformation.BasedonthedetailedanalysisofthenetworkrequirementsofGuangdongBluecloudTechnicalCollege,thispaperputsforwardthenetworkplanninganddesignschemeofthecampusnetwork.Firstofall,thispaperanalyzesthenetworkrequirementsofthecampusnetworkofGuangdongBluecloudTechnicalCollege,andmakesanoverallsurveyofthecampusaccordingtotheneedsandtheresultsofthesurvey,andthenmakesfurtheranalysisthroughtheliterature,andfinallydesignsthenetwork.Inthisdesign,VLANtechnologyisusedtoplantheIPaddressreasonablytoavoidIPchaos,whichisnotconducivetolatermaintenance.Inviewoftheequipmentdowntimecausedbyemergencies,VRRPtechnologyisusedtoensurethenormaloperationofthenetworkandavoidnetworkinterruptionaffectingthebusiness.Linkaggregationtechnologyisadoptedtosolvethehighrequirementsofdormitoryfortransmissionrateandimprovethereliabilityofthelink.Themostimportantthingistoconnecttotheouternetwork,andNATtechnologyisusedtoachieveinterworkingbetweentheinnernetworkandouternetwork.ThereareothertechnologiessuchasDHCPandfirewallsecuritystrategytomeettheneedsofcampusnetwork.BasedontherequirementsofthecampusnetworkofGuangdongBluecloudTechnicalCollege,thedesignofthecampusnetworkofGuangdongBluecloudTechnicalCollegewasfinallyrealized.Inordertoprovideagoodcampusnetworkenvironmentforteachersandstudentsoftheschool,asafeandstandardizedcampusnetworkwasestablished.Keywords：Campusnetwork,VLANtechnology,NATtechnology,DHCPtechnology绪论研究背景及意义21世纪，随着互联网技术飞速发展，使得信息传播不再受地理空间的限制，实现了全球信息共享，推动经济全球化。互联网不仅让人们的实业变得更广，还带给人们更多的知识，现今人们真正可以做到了足不出户，而知天下事。互联网给人们带来了多种的交流方式：微信，邮箱，QQ，聊天室等网络交流平台，人们只需要一台手机即可跨过地理位置随时都可以进行交流。现如今网络早已普及并在各个行业上都有所应用，如：商店的微信付款，网络电视，图书馆的图书查找等都可以看到网络的影子。人们生活与网络早已密不可分了，为了提升教育信息化水平，进行校园网建设是必须的。广东蓝云职业技术学院，为学子提供知识，是为社会培养优秀人才，而校园网成为校园必不可少的教育技术手段。在教学管理中提供简便的管理、提高办公效率，在人才培养中增强学生对信息化技术的动手能力，以及为学生提供学习途径，在教育教学中为教师提供先进的教学资料以及各种教学手段，提高教学质量，为全校师生提供学习资源平台。为了让全校师生可以拥有一个良好的网络环境，建立一个安全，规范的校园网至关重要。论文主要研究内容本论文主要基于广东蓝云职业技术学院校园网的需求进行校园网设计，为了避免校园网出现IP冲突等网络故障问题，在本设计中将使用VLAN、链路聚合技术（Eth-Trunk）、动态主机设置协议（DHCP）、远程登录服务（Telnet）、双机热备协议（VRRP）、生成树协议（MSTP）、网络地址转换技术（NAPT，NATServer）、防火墙安全策略、路由协议等技术来保证校园网网络系统的正常运行，最终为全校师生提供一个良好的校园网网络环境。论文结构安排本次论文主要研究的内容由以下六个部分组成：第1章：绪论。主要介绍在现今互联网时代的背景中，校园网存在的意义。第2章：需求分析。结合学校的基础结构情况，对校园网的需求进行针对性分析。第3章：网络逻辑设计。根据第2章的需求分析，对广东蓝云职业技术学院进行具体网络逻辑设计。第4章：网络实施。按照设计进行网络实施，采用VLAN、DHCP、NAT等技术来保证网络系统的正常使用。第5章：网络测试。通过对校园网各设备中对配置进行测试，确保校园网网络正常稳定运行。第6章：总结。对本次校园网设计进行总结。第2章.学校网络系统需求分析需求分析学校网络基础结构布局学校网络系统分为综合楼，教学楼，宿舍区和图书馆总共四个部分。其中教学楼类型分机房楼和教室楼两种，宿舍区类型分为学生宿舍区和教师宿舍区两种。学校各个系统结构构成如下图：图2-1校园系统结构图图2-1校园系统结构图核心网络综合楼网络教学楼网络宿舍区网络图书馆网络教师宿舍楼三栋领导办公室老师办公室机房楼一栋教室楼一栋学生宿舍楼六栋自习室图书管理系统用户需求分析广东蓝云职业技术学院目前现有在校学生人数接近两千人，教职工人员约三百人。校园网络需要提供2300人同时上网，以及外网对学校网页访问等一些对外交流的流量，主干网络需达到万兆。在未来五年中，学校的扩展可能在校师生可能增长到4000，甚至开展一些业务需求等，可以设计网络可扩展到十万兆。网络接入点需求分析综合楼，一共八层，每层6间办公室，其中第七和第八层位领导办公室，其余六层为老师办公室。表STYLEREF1\s2SEQ表\*ARABIC\s11综合楼网络接入点办公楼层楼层/层房间数（间/层）接入点需求（个/层）合计（个）领导办公室7-866间x2=122层x12=24老师办公室1-666间x6=366层x36=216总计24+216=240机房楼，一共六层，其中3-6层的课室皆为普通机房课室，中心机房位于第三层的一个房间，第二层为实验室，一共四个实验室，为学生提供各种实验设备（如通信实验室提供网线，光缆，打线器等设备），一楼为四个阶梯室，考虑到潮湿等问题故用来作阶梯室。表STYLEREF1\s2SEQ表\*ARABIC\s12机房楼网络接入点机房楼层楼层机房数（间/层）接入点需求（个/层）合计（个）普通机房4-666间x50=3003层x300=900普通机房355间x1=2501层x250=250中心机房11间x1=61层x6=6实验室244间x10=401层x40=40阶梯室144间x2=81层x8=8总计900+250+6+40+8=1204教室楼，一共八层，一楼为阶梯室，一共四个阶梯室。其他七层皆为普通教室，每层六间教室。表STYLEREF1\s2SEQ表\*ARABIC\s13教室楼网络接入点教室楼层楼层教室数（间/层）接入点需求（个/层）合计（个）普通教室2-866间x1=67层x6=42阶梯室144间x2=81层x8=8总计42+8=50教师宿舍楼一共有三栋，这三栋教师宿舍楼规模一样，每栋8层，第7-8层为一人一间，每层8间房间。第5-6层为每两人一间，每层6间房间。第1-4层为每四人一间，每层6间房间。表STYLEREF1\s2SEQ表\*ARABIC\s14教师宿舍网络接入点教师宿舍楼层楼层宿舍数（间/层）接入点需求（个/层）合计（个）一人一间7-888间x1=82层x8=16两人一间5-666间x2=122层x12=24四人一间1-466间x4=244层x24=96总计16+24+96=136三栋教师宿舍楼接入点一共408个。学生宿舍楼一共有六栋，这六栋学生宿舍楼规模一样，每栋六层，每层8个房间，每间为八人一间。表STYLEREF1\s2SEQ表\*ARABIC\s15学生宿舍网络接入点学生宿舍楼层楼层宿舍数（间/层）接入点需求（个/层）八人一间1-688间x8=64总计6层x64=384六栋学生宿舍楼接入点一共384x6=2304个。图书馆一共有两层，第一层为图书馆，第二层为自习室，其中第二层一共有5个自习室，只有一间为电子阅览自习室。表STYLEREF1\s26图书馆网络接入点学生宿舍楼层楼层课室数/层接入点需求（个/层）图书馆管理系统114x1=4自习室（电脑）2150x1=50总计4+40=54表STYLEREF1\s27总接入点类别栋数接入点数（个）总接入点数（个）综合楼1240240教室楼15050机房楼112041204教师宿舍楼2803栋x136=408学生宿舍楼53846栋x384=2304图书馆15454总计4260校园网络功能需求分析校园网络应该为师生提供良好的网络环境，根据校园网络的要求，校园网络应该实现以下功能，主要包含以下功能。实现Internet接入功能，满足基本的上网需求。教室楼教室楼现在主要为多媒体教室，老师可以用电脑使用PPT、教学视频等资料通过投影仪来进行教学。学生宿舍区学生宿舍区的终端用户数量比较多，数据流量大，学生们日常需求为：网上查找资料、资料下载、了解时事新闻、休闲娱乐等。教师宿舍区教师宿舍区用户相对学生宿舍区较小，教师需求为：浏览网页，教学资料查询，游戏娱乐、文件下载、远程控制等。综合楼综合楼主要需求：领导能及时、全面、准确掌握全校的教学、财务等全部信息。老师能快速进行办公，准确、及时掌握学生信息等。机房楼机房楼的用户数据较大，主要能够让学生在上课时间上网查询资料，以及让老师能够控屏教学等。图书馆图书馆一楼提供基本网络提供学生自主查询图书位置，和管理员对图书的管理系统操作。二楼提供一个电脑机房自习室提供学生上网查找学习资料。构建校园Web服务，学校建立独立的web服务器，在网上提供学校主页等服务，以及实现学校与外界的学术交流。搭建图书馆管理系统，方便管理员对学习资料的查询和管理，以及学生可以快速查找需要的学习资料。文件传输服务，老师和学生之间会存在学习资源共享的需求，在校园网提供文件传输服务（FTP），管理员可以对FTP服务器进行管理，上传一些学习资源，让师生们可以自由下载。搭建教务系统，为学生提供课程查询，活动报名以及成绩查询等功能的服务，为老师提供课表查询，成绩登记以及公告发布等功能。校园办公管理系统。网络控制，老师宿舍将提供全天网络提供，学生宿舍则根据放假或不放假时上网时间控制等。校园网络可行性分析经济可行性分析在网络信息的快速发展下，网络对校园管理提供很大的帮助，有效的促进办公流程结构的优化，增加网络办公流程，这样就会减少了大量的纸化办公流程，可以精简人员，大幅度减少了资源和人力的支出，还提高的教职工的工作效率，提高了校园整体的管理水平。技术可行性分析在广东蓝云职业技术学院校园网络的本次设计中采用接入层、汇聚层和核心层三层结构进行设计。这样子设计有利于实现校园网中一些较为复杂的需求，而且方便以后网络的扩张。在校园网络中可以分为六个部分：综合楼网络，教室楼网络，机房楼网络，学生宿舍区网络，教师宿舍区网络，图书馆网络，以上六个网络区域均采用汇聚层和接入层两层结构。设备主要实现以下功能：采用VLAN技术，根据端口划分VLAN，根据需要可以将每一栋楼划分为不同的VLAN。使用链路聚合技术（Eth-Trunk），提高带宽，提高链路的可靠性。由于校园网络系统比较大，若使用静态分配IP地址会导致工作量过大，也不利于维护，使用DHCP技术实现动态IP地址分配；应用Telnet服务，实现对网络设备的远程登录，提高工作效率。采用双机热备份路由协议VRRP保证网络正常运作。采用MSTP实现链路数据流量的负载均衡，避免造成了链路带宽的浪费。采用NAT动态IP地址转换技术，把私有IP转换为公网IP，实现校园内网对互联网的访问。采用NATServer技术，将学校官网等一些服务映射到公网，实现外网可以访问学校官网等服务。配置防火墙安全策略，有效保障网络安全，控制上网时间，拒绝端口访问等。采用静态路由，OSPF动态路由协议，实现路由表的动态更新，达到需求网络的可达性。本章小结本章主要是根据广东蓝云职业技术学院的情况，对学校网络基础结构布局、用户需求、网络接入点需求、校园网络功能需求、校园网络可行性五个方面进行进一步的需求分析，以便后面进行更准确地进行设计。第3章.网络逻辑设计网络逻辑设计校园网络整体设计本次设计网络采用的设计模式为三层结构：接入层，汇聚层，核心层，网络采用的结构为树形拓扑结构，总体拓扑结构如下图3-1所示：图3-1校园网络拓扑图校园网络主干网络结构如图3-2所示。图3-2校园主干网络拓扑图网络链路以及性能分析校园主干网络中采用光纤接入的方式，汇聚层的接入方式则是光纤与双绞线相结合。核心层和汇聚层采用的设备是三层交换机，而接入层交换机则使用二层交换。主干网络达到万兆，并且可拓展至十万兆，满足师生对网络的各种需求。IP地址和VLAN规划在本次校园网络设计中，良好的IP地址设计方案提供有效的提供简便管理，可以减少IP冲突等问题，以及还能方便以后网络的扩张。校园局域网根据每一栋楼就划分一个子网和不同的VLAN，由于各栋楼之间接入点数以机房楼最多，接入点数达到1204，为了提高管理，决定所有子网都采用10.A.B.0/21（A和B分别根据网络系统和该网络系统栋数而定，如综合楼子网A为10，B为0，以后若学校需要扩展时，第二栋综合楼A依然为10，B则为8）进行划分，这时主机数可用的数目达到2^11-2=2046，而且这样划分对学校以后的扩张提供更方便的网络规划，以及对各网络系统进行路由汇总。综合楼划分为VLAN10，子网为/21；教室楼划分为VLAN20，子网为/21；机房楼划分为VLAN30，子网为/21；图书馆划分为VLAN40，子网为/21；教师宿舍划分为VLAN5A，子网为10.50.8*A.0/21；（A表示第（A+1）栋，如第二栋教师宿舍划分为VLAN51，子网为/21）；学生宿舍划分为VLAN6A，子网为10.60.8*A.0/21；（A表示第（A+1）栋，如第三栋教师宿舍划分为VLAN62，子网为/21）。具体划分如下表3-1所示：表STYLEREF1\s3SEQ表\*ARABIC\s11校园局域网子网VLAN划分建筑物VLANIP地址网关综合楼VLAN10/254教学楼VLAN20/2110.20.7.254机房楼VLAN30/2110.30.7.254图书馆VLAN40/2110.40.7.254教师宿舍1栋VLAN50/2110.50.7.254教师宿舍2栋VLAN5/2110.50.15.254教师宿舍3栋VLAN5/254学生宿舍1栋VLAN60/2110.60.7.254学生宿舍2栋VLAN6/254学生宿舍3栋VLAN6/254学生宿舍4栋VLAN63/254学生宿舍5栋VLAN64/254学生宿舍6栋VLAN65/254第4章.设备选型设备选型接入层网络设备接入层设备的主要目的就是让终端用户可以连接到网络，因此接入层交换机考虑因素应包括低成本和高端口密度特性。在本次设计中接入层交换机选择华为HUAWEIS2700-26TP-EI-AC可网管二层24口百兆（如图3-3），以及华为HUAWEIS2700-18TP-SI-AC网管型16口百兆（如图3-4）。图3-3华为HUAWEIS2700-26TP-EI-AC可网管二层24口百兆图3-4华为HUAWEIS2700-18TP-SI-AC网管型16口百兆综合楼网络在7-8层，这两层接入点一共有12个，可以分配1个华为HUAWEIS2700-18TP-SI-AC网管型16口百兆交换机。在1-6层，每层接入点皆为36个，所以在每层分配1个华为HUAWEIS2700-26TP-EI-AC可网管二层24口百兆交换机和1个华为HUAWEIS2700-18TP-SI-AC网管型16口百兆交换机。机房楼在4-6层，每层接入点为300个，在每层分配13个华为HUAWEIS2700-26TP-EI-AC可网管二层24口百兆交换机。第3层，接入点一共为256个，分配10个华为HUAWEIS2700-26TP-EI-AC可网管二层24口百兆交换机和1个华为HUAWEIS2700-18TP-SI-AC网管型16口百兆交换机。在1-2层，接入点一共为48个，分配2个华为HUAWEIS2700-26TP-EI-AC可网管二层24口百兆交换机。教室楼在1-8层中，2-8层为每层6个接入点，1层为8个接入点，一共50个接入点，分配2个华为HUAWEIS2700-26TP-EI-AC可网管二层24口百兆交换机和1个华为HUAWEIS2700-18TP-SI-AC网管型16口百兆交换机。教师宿舍在7-8层，每层接入点为8个，一共16个接入点，分配1个HUAWEIS2700-18TP-SI-AC交换机。在5-6层，每层接入点为12个，一共24个接入点，分配1个华为HUAWEIS2700-26TP-EI-AC可网管二层24口百兆交换机。在1-4层，每层接入点为24个，一共96个接入点，分配4个华为HUAWEIS2700-26TP-EI-AC可网管二层24口百兆交换机。学生宿舍在1-6层，每层接入点为64个，每层2个HUAWEIS2700-26TP-EI-AC可网管二层24口百兆交换机和1个华为HUAWEIS2700-18TP-SI-AC网管型16口百兆交换机。图书馆在1-2层，一共有54个接入点，分配1个HUAWEIS2700-26TP-EI-AC可网管二层24口百兆交换机和2个华为HUAWEIS2700-18TP-SI-AC网管型16口百兆交换机。各网络区域接入层交换机统计如下表3-2。表STYLEREF1\s3SEQ表\*ARABIC\s12各网络区域交换机统计网络区域设备类型合计/个综合楼HUAWEIS2700-26TP-EI-AC7HUAWEIS2700-18TP-SI-AC6机房楼HUAWEIS2700-26TP-EI-AC25HUAWEIS2700-18TP-SI-AC1教室楼HUAWEIS2700-26TP-EI-AC2HUAWEIS2700-18TP-SI-AC1教师宿舍HUAWEIS2700-26TP-EI-AC3栋x5=15HUAWEIS2700-18TP-SI-AC3栋x1=3学生宿舍区HUAWEIS2700-26TP-EI-AC6栋x12=72HUAWEIS2700-18TP-SI-AC6栋x6=36图书馆HUAWEIS2700-26TP-EI-AC1HUAWEIS2700-18TP-SI-AC2各类型接入层交换机统计表如下表3-3。表STYLEREF1\s3SEQ表\*ARABIC\s13各类型接入层交换机统计设备类型合计/个HUAWEIS2700-26TP-EI-AC7+25+2+15+72+1=122HUAWEIS2700-18TP-SI-AC6+1+1+3+36+2=49总计171汇聚层网络设备汇聚层交换机连接多台接入层交换机，用来处理所有通过接入层设备的的流量，因此汇聚层交换机相对于接入层交换机来说，需要较少的接口，以及更强的性能。汇聚层交换机选择华为HUAWEIS6720S-16X-LI-16S-AC16口精简型万兆光汇聚交换机（如图3-5）。图3-5华为HUAWEIS6720S-16X-LI-16S-AC16口精简型万兆光汇聚交换机综合楼网络一共13个接入层交换机，分配1个汇聚层交换机。机房楼一共26个接入层交换机，分配2个汇聚层交换机。教室楼一共3个接入层交换机，分配1个汇聚层交换机。教师宿舍一共18个接入层交换机，三栋教师宿舍，每栋宿舍分配1个汇聚层交换机。学生宿舍一共108个接入层交换机，六栋学生宿舍，每栋宿舍分配2个汇聚层交换机。图书馆一共3个接入层交换机，分配1个汇聚层交换机。各网络区域汇聚层交换机统计如下表3-4。表STYLEREF1\s3SEQ表\*ARABIC\s14各网络区域汇聚层交换机统计网络区域合计/个综合楼1机房楼2教室楼1教师宿舍3栋x1=3学生宿舍6栋x2=12图书馆1总计20核心层网络设备核心层交换机由汇聚层交换机连接，用来处理的流量会更加庞大，因此核心层交换机应拥有更高的可靠性，性能和吞吐量。交换机核心交换机选择华为HUAWEIS5730S-68C-EI-AC48口全千兆三层以太网络企业核心汇聚交换机增强型4个万兆光口（如图3-6）。图3-6华为HUAWEIS5730S-68C-EI-AC48口全千兆三层以太网络企业核心汇聚交换机增强型4个万兆光口一共22台汇聚层交换机，考虑到双机热备问题，使用2台华为HUAWEIS5730S-68C-EI-AC48口全千兆三层以太网络企业核心汇聚交换机增强型4个万兆光口。核心层交换机统计如下表3-5。表STYLEREF1\s3SEQ表\*ARABIC\s15核心层交换机统计设备类型合计/个HUAWEIS5730S-68C-EI-AC48口2防火墙防火墙选择华为（HUAWEI）USG6180-AC企业级多功能机架式防火墙固定端口8GE+4SFP（如图3-7）。图3-7华为（HUAWEI）USG6180-AC企业级多功能机架式防火墙固定端口8GE+4SFP校园目前网络需要提供2300人同时上网，华为（HUAWEI）USG6180-AC防火墙最大支持用户为1500，所以使用2台华为（HUAWEI）USG6180-AC防火墙。核心层防火墙统计如下表3-6。设备类型合计/个华为（HUAWEI）USG6180-AC2本章小结本章主要是根据第2章的需求分析的信息对校园进行网络逻辑设计，网络采用的设计模式为接入层，汇聚层，核心层三层结构，以及校园网络采用的结构为树形拓扑结构，使用良好的IP地址设计方案，在每一栋楼就划分一个子网和不同的VLAN，减少IP地址冲突问题，并且选择符合本次设计的设备。第5章.具体实施方案网络实施在现今网络技术的发展，网络成为人们生活中不可缺少的存在，通过校园网的需求进行网络设计，需要分析在本次校园网络的建设当中需要使用哪些网络关键技术，考虑广东蓝云职业技术学院的实际情况，本设计中将运用到以下技术来进行具体实施。VLAN技术的应用VLAN即“虚拟局域网”，它可以将一些设备和用户根据使用者需求将它们连接起来，这时可以将这些设备和用户可以从逻辑上来可以看出是一组的，它们之间通信就跟在同一个网段中通信一样。校园使用VLAN技术在广东蓝云职业技术学院2300人的校园大网络中，为了减少广播流量的产生，使用VLAN技术对这个校园大网络进行划分为多个不同的广播域，这样就可以有效的防范广播风暴，还减少了广播流量，大大提高了带宽速度。在广东蓝云职业技术学院校园网中分别给每一栋楼划分一个VLAN，终端（如PC、服务器等）在连接接入层交换机接口使用Access端口，接入层交换机在连接到汇聚层交换机接口使用Trunk端口（不排除一栋楼中以后基于功能需求需要另设置其他VLAN），不同VLAN间的通信则需利用三层交换机的路由功能，借助VLANIF接口，从而实现VLAN间的通信。VLAN实施配置现在以学生宿舍1栋为例，学生宿舍1栋划分为VLAN60，具体配置命令如下：学生宿舍1栋接入层交换机配置：#vlanbatch60//创建VLAN60#interfaceEthernet0/0/1//进入与PC相连的接口界面portlink-typeaccess //配置该接口的类型为Accessportdefaultvlan60 //配置该接口加入VLAN60#interfaceEthernet0/0/3 //进入与汇聚层交换机的接口界面portlink-typetrunk //配置该接口的类型为Trunkporttrunkallow-passvlan2to4094 //允许所有vlan通过（包括vlan1，vlan1默认为通过，与配置porttrunkallow-passvlanall用法一样）#学生宿舍1栋汇聚层交换机配置#//创建vlan60、601、602（汇聚层交换机为三层交换机，下面为VLANIF接口配置IP）vlanbatch60601to602 #interfaceVlanif60 //进入vlanif60接口ipaddress54//这里配置学生宿舍1栋的网关地址#interfaceGigabitEthernet0/0/3 //进入与汇聚层交换机连接的接口界面//配置与接入层交换机连接汇聚层交换机的接口配置一致portlink-typetrunk porttrunkallow-passvlan2to4094#//与核心层交换机连接的接口采用Eth-Trunk技术这里不列举，下面4.2有说明链路聚合技术（Eth-Trunk）Eth-Trunk接口是通过把多个物理接口最终捆绑成一个逻辑接口，其中这些物理接口都可以称之为该Eth-Trunk接口的成员接口。传输数据使用Eth-Trunk广东蓝云职业技术学院校园网中，每一栋楼划分一个VLAN，在每栋楼的汇聚层交换机到核心层交换机的链路中，数据传输速率要求较高，尤其是学生宿舍的汇聚层交换机到核心层交换机的链路带宽要求达到千兆，这时采用Eth-Trunk技术可以以较低成本满足提高带宽的需求；达到流量负载分担目的；提高链路的可靠性（在Eth-Trunk接口中一个成员接口链路出现故障时，将会把流量切换到其他可用的链路上）。在每一栋楼的汇聚层交换机到核心层交换机的链路中都配置Eth-Trunk链路聚合。Eth-Trunk实施配置现在以学生宿舍1栋汇聚层交换机与核心层交换机间配置为例，具体配置命令如下：VLAN601#interfaceVlanif601 //进入vlanif601接口界面ipaddress //配置对应IP#interfaceEth-Trunk1 //创建Eth-Trunk1接口//指定为手工负载分担模式（默认就为手工负载模式，可以不用打这一句）modemanualload-balance portlink-typeaccess portdefaultvlan601#interfaceGigabitEthernet0/0/1eth-trunk1 //把g0/0/1接口加入到Eth-Trunk1接口#interfaceGigabitEthernet0/0/4eth-trunk1 //把g0/0/4接口加入到Eth-Trunk1接口#动态主机设置协议（DHCP）DHCP主要是可以对IP地址进行管理并分配，给主机可以动态获得IP地址、网关地址等信息，在一定程度上合理使用IP地址。校园IP配置使用DHCP在校园网络这么一个大网络中，网络接入点需求高达4000的网络中，若手工一台一台配置IP，这将是一个费时费力的工作，而且还需要在每个接入点做好备注IP的信息。选择DHCP方式来自动配置IP地址，将大大较少工作量。DHCP配置模式有以下三种：基于接口地址池的DHCP基于全局地址池的DHCPDHCP中继在校园网中，是每一栋楼使用一个VLAN，IP在同一个网段，所以在每一栋楼的汇聚层交换机配置基于全局地址池的DHCP是比较合适的，这样在客户端在请求获取IP地址时，只向这栋楼的汇聚层交换机请求即可，这样子不需要向核心层交换机请求导致庞大的DHCP流量堵塞主干链路。DHCP实施配置现在以学生宿舍1栋汇聚层交换机中DHCP的配置为例，具体配置命令如下：#dhcpenable //开启DHCP功能#ippoolxueshengsushe1 //创建全局地址池，地址池名为xueshengsushe1gateway-list54 //配置DHCP客户端出口网关地址//可分配网段范围为，子网为21networkmask //地址到53不参与自动分配excluded-ip-address53 leaseday2hour0minute0 //IP地址租期为2天dns-list //配置DNS服务器地址#interfaceVlanif60ipaddress54dhcpselectglobal //在vlanif60接口下启用全局地址池模式#远程登录服务（Telnet）Telnet主要是对网络中的设备进行远程登录，对该设备进行配置和维护。校园远程控制、管理设备当校园网中某一台设备需要更改配置或者有设备损坏时，在整个校园网到处去找到该设备进行更改配置或测错时，这将会降低工作效率。使用Telnet方式就可以不受地理位置的限制，从而实现对设备进行远程登录进行维护，较大程度的提高了用户操作的灵活性。校园网络中主要在核心层交换机和汇聚层交换机上应用Telnet服务。Telnet实施配置现在以学生宿舍1栋汇聚层交换机配置为例，具体配置命令如下：#aaa //进入AAA视图//配置用户名为admin和密文为admin（所以下面密码已被密文代替）local-useradminpasswordcipherXJUN8<9N-:5NZPO3JBXBHA!!local-useradminprivilegelevel3 //配置用户admin用户级别为3local-useradminservice-typetelnet //配置用户admin接入类型为Telnet#双机热备协议（VRRP）VRRP一种容错协议，双机热备主要作用包括了主备备份和互为主备。防火墙配置VRRP在整个校园网中，防火墙用于学校与外网的中间桥梁，是至关重要的存在，防火墙双机热备，就可以在Master出现故障时，Backup接替工作，及时将业务切换到备份防火墙，保证了业务的连续性。VRRP实施配置这里只列举一个备份组2，具体配置命令如下：主防火墙配置：#interfaceGigabitEthernet0/0/1ipaddress//将接口加入VRRP2中虚拟IP地址为54状态为主vrrpvrid2virtual-ip5424master //开启虚拟MAC地址功能，必须开启vrrpvirtual-macenable#hrpmirrorsessionenable//开启hrp//启用命令与状态信息的自动备份（不过配置后没有显示该配置）hrpauto-synchrpenable //启动会话快速备份hrpinterfaceGigabitEthernet0/0/6 //指定心跳接口#备防火墙配置：#interfaceGigabitEthernet0/0/2ipaddress//将接口加入VRRP2中虚拟IP地址为54状态为备vrrpvrid2virtual-ip54slavevrrpvirtual-macenable#hrpmirrorsessionenablehrpauto-synchrpenablehrpinterfaceGigabitEthernet0/0/6#生成树协议（MSTP）MSTP引入了域，解决了STP和RSTP共用一个生成树的问题。校园网使用MSTP配置局域网内所有VLAN共享一颗生成树时，链路被阻塞后将不承载任何流量，造成宽带浪费，还可能造成不成VLAN的报文无法转发。校园网中为了解决以上问题时，可以采用了MSTP技术将一个交换网络划分成多个MST域，其中每个域内形成多棵相互独立的生成树。在每栋楼的汇聚层交换机和核心层交换机单独划分一个多生成树实例MSTI。MSTP实施配置这里以学生宿舍1栋与核心层交换机1之间MSTP为例，具体配置命令如下：学生宿舍1栋汇聚层交换机：#stpregion-configuration //进入MST域视图region-namexueshengsushe1 //配置MST域名为xueshengsushe1revision-level1 //配置MSTP的修订级别为1instance1vlan60 //指定vlan60映射到MSTI（生成树实例）1activeregion-configuration //激活MST域配置#核心层交换机1：#//在核心层交换机上配置其成为实例1中的根交换机stpinstance1priority0#stpregion-configurationregion-namexueshengsushe1revision-level1instance1vlan60activeregion-configuration#网络地址转换技术（NAPT，NATServer）NAPT（基于源IP地址的NAT），为源NAT的一种转换方式，主要是用来满足大量的私网IP地址用户使用少量的公网IP地址来访问Internet的需求.NATServer（基于目的IP地址的NAT），主要是用来将一些私网服务器可以映射到公网IP地址，实现外网可以通过该公网IP地址来访问这些服务。校园网应用网络地址转换技术在校园网络中，接入点需求多达4000，而可用公网IP地址为/24（—54），可用IP为254个（还没减去接口需要的IP）。公网IP是远远小于私网IP需求的，而使用NAPT技术即可解决此问题，满足大量私网用户使用这少量的公网IP地址访问Internet需求。同时校园内网中的Web服务需要向外提供访问，这里可采用NATServer技术来实现。校园网中，NAPT，NATServer可配置在防火墙上。NAPT、NATServer实施配置#//配置NAT地址池nataddress-group153//将学校的Web服务器的80端口的服务项进行映射为54的80端口来供外网用户访问natserver0protocoltcpglobal54wwwinsidewww#//配置安全策略允许/8和/16允许访问外面policyinterzonetrustuntrustoutbound policy3actionpermitpolicysource55policysource55#//配置安全策略允许外网用户可以访问的Web服务policyinterzonedmzuntrustinboundpolicy2actionpermitpolicyserviceservice-sethttppolicydestination0#//配置NAT策略nat-policyinterzonetrustuntrustoutbound policy1actionsource-nat //动作为进行源NAT转换policysource55 //匹配条件address-group1 //引用NAT地址池（默认转换方式为NAPT）#iproute-staticNULL0 //配置黑洞路由#防火墙安全策略防火墙安全策略：指在各个安全区域内，用于配置一些规则来控制转发的报文是否允许流动。校园网中使用防火墙安全策略为了校园网络的安全，设置防火墙安全策略是至关重要的，在防火墙上设置安全策略使校园网得到一定的安全保障。防火墙安全策略可设置如下几点：外网只能访问校园网Web服务，其他都不能访问；禁止外网访问内网一些危险端口；内网可以访问外网；内网可以访问校园网的FTP、Web服务；控制学生宿舍网络上网时间。防火墙安全策略实施配置#//把内网相对应接口加入trust安全区域firewallzonetrustsetpriority85addinterfaceGigabitEthernet0/0/2addinterfaceGigabitEthernet0/0/4#//把外网相对应接口加入untrust安全区域firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet0/0/1#//把外网相对应接口加入dmz安全区域firewallzonedmzsetpriority50addinterfaceGigabitEthernet0/0/7#//在trust和dmz域间开启FTP协议的ASPF功能，因为FTP协议为多通道协议，FTP工作过程中将建立两条连接：控制连接和数据连接。firewallinterzonetrustdmzdetectftp#//设置OSPF服务集undotcp，把tcp目的端口为135,139,445加入该服务集ipservice-setundotcptypeobjectservice0protocoltcpdestination-port135139445#//设置OSPF服务集undoudp，把udp目的端口为135，137，138，445加入该服务集ipservice-setundoudptypeobjectservice0protocoludpdestination-port135137to138445#//配置周日到周四晚上11点30分到凌晨0点时间段。time-range0dao423:30to00:00ThuWedTueMonSun//配置周一到轴五凌晨0点到早上6点30分时间段time-range1dao500:00to06:30working-day//上面两个时间段加起来就是学生宿舍断网时间#//禁止外网访问内网policyinterzonetrustuntrustinboundpolicy1actiondeny#//配置内网访问外网的安全策略policyinterzonetrustuntrustoutbound//policy1和policy2加起来就是晚上11点半到第二天6点半是禁止学生宿舍上网policy1actiondenypolicytime-range0dao4policysourcemask16policy2actiondenypolicytime-range1dao5policysourcemask16//若不是上面两个策略控制学生宿舍上网外，其他时间学生宿舍都可以上网，而非学生宿舍的无时间控制上网policy3actionpermitpolicysource55policysource55#//允许内网访问学校的服务器的WEB、FTP服务。policyinterzonetrustdmzoutboundpolicy1actionpermitpolicyserviceservice-seticmppolicyserviceservice-sethttppolicyserviceservice-setftp#//配置外网对内网服务器访问控制的安全策略policyinterzonedmzuntrustinbound//禁止外网访问undotcp服务集里面设置的tcp端口policy1actiondenypolicyserviceservice-setundotcppolicyserviceservice-setundoudp//禁止外网访问undoudp服务集里面设置的udp端口policy2actionpermitpolicyserviceservice-sethttppolicydestination0#//允许内网服务器访问外网policyinterzonedmzuntrustoutboundpolicy1actionpermit#路由协议（静态路由、动态OSPF）静态路由，是一种路由项是由网络管理员进行手工配置。OSPF，是一种基于链路状态的协议，具有收敛快、路由无环、扩展性好等优点，目前使用的比较广泛。校园网使用静态+OSPF多区域配置在校园这个大网络中，使用OSPF单区域将会造成设备收集其他设备的链路状态信息造成链路状态数据库非常庞大，不利于后面的维护管理。校园网中使用静态+OSPF多区域配置，其中防火墙使用静态路由，核心层交换机采用静态+OSPF多区域配置，核心层交换机为骨干区域，其他每一栋楼各自划分一个区域与核心层交换机连接。静态路由，OSPF实施配置现在以学生宿舍1栋OSPF配置为例，具体配置命令如下：汇聚层交换机路由配置：#ospf1 //创建OSPF进程1silent-interfaceVlanif60areaarea //创建并进入区域1network55 //通告/21网段network55network55#核心层交换机路由配置#ospf1//配置OSPF发布默认路由，让各区域都可通过OSPF获得默认路由，然后在核心层交换机查询路由表查询在整个校园网络是否拥有此网段，若没有则在核心层交换机通过静态缺省路由转发到防火墙，由防火墙查询是否为校园网的网段若没有则发往外网（防火墙上不做OSPF，只做静态路由）default-route-advertisealways area //创建并进入骨干区域0//通告骨干网络网段（这里只通告自己本身一个IP）network area //创建并进入区域1并通告与汇聚层交换机连接的网段network55network55#iproute-static54 //使用静态默认路由，下一跳为防火墙vrrp备份组1的虚拟IP#防火墙路由配置#//配置缺省路由转发到外网iproute-static //配置校园网段发往核心层交换机1iproute-static //配置校园网段发往核心层交换机2iproute-static #本章小结本章主要通过对广东蓝云职业技术学院校园网网络设计进行实施，通过使用VLAN、链路聚合技术（Eth-Trunk）、动态主机设置协议（DHCP）、远程登录服务（Telnet）、双机热备协议（VRRP）、生成树协议（MSTP）、网络地址转换技术（NAPT，NATServer）、防火墙安全策略、路由协议等技术来实现本次设计中所需要实现的需求功能，并进行试运行。第6章.设备连通性测试网络测试VLAN间通信测试其中学生宿舍1栋VLAN为60，学生宿舍2栋VLAN为61。选择学生宿舍1栋一台PC2（55）和学生宿舍2栋一台PC4（55），先输入ipconfig查看pc2的ip配置信息，然后用pc2pingpc4测试结果如下图5-1所示。图5-1pc2pingpc4通过测试，使用三层交换机实现不同VLAN间通信功能。Eth-Trunk配置验证汇聚层交换机与核心层交换机之间的链路都配置了Eth-Trunk，现在以学生宿舍1栋与核心层交换机1间的Eth-Trunk配置为例，在学生宿舍1栋汇聚层交换机来查看Eth-Trunk配置是否成功。查看Eth-Trunk1接口信息如图5-2所示。图5-2查看Eth-Trunk1接口信息通过测试可以看到现在该接口的总带宽是GE0/0/1和GE0/0/4接口带宽之和，Eth-Trunk配置验证成功。DHCP服务验证以学生宿舍1栋中PC2来作测试，配置该主机为自动获取信息，如图5-3所示。图5-3配置PC2为自动获取IP输入ipconfig查看主机ip地址信息，如图5-4所示。图5-4查看IP地址PC2成功获取IP信息。Telnet服务验证使用学生宿舍1栋中汇聚层交换机来远程控制防火墙1来测试，如图5-5所示。图5-5远程控制防火墙1学生宿舍1栋汇聚层交换机成功Telnet远程控制防火墙1。VRRP协议验证在防火墙1和防火墙2中分别使用displayvrrp来显示VRRP的工作状态，如图5-6和图5-7所示。图5-6防火墙1的VRRP工作状态图5-7防火墙2的VRRP工作状态通过上面图5-6和图5-7可以看到防火墙1所有接口皆为Master，防火墙2的所有接口皆为Backup。各接口一一对应在一样的VRRP备份组。验证VRRP主备切换，把防火墙1中在VRRP备份组4的接口shutdown，如图5-8所示。图5-8关闭防火墙1g0/0/7接口在防火墙2查看VRRP备份组4的工作状态，如图5-9所示。图5-9在防火墙2查看VRRP备份组4动作状态发现防火墙2vrrp4成功切换称为了Master。MSTP