基于校园网技术改造的方案和设计

广州大学松田学院2020届毕业论文基于校园网技术改造的方案和设计摘要：网络的发展处于百花齐放的状态，同时推动着校园网的建设，不断出现崭新的技术，大量适应当今需求的设备慢慢显现，校园网的构建也获得足够的发展。即使如此，用户的数量是在不断增加的，应用程序也在不断更新，所以早期构建的校园网已经无法满足当今的需求,现在校园网应该能够让管理工作顺利进行,也能够为提供非常可靠、安全的用网环境。本文以某职业技术学院为背景，对校园网建设现状进行分析，总结校园网中存在的不足以及问题，结合院校的需求进行分析，设计了一套在安全性、可靠性、稳定性等方面，都符合某职业技术学院校园网需求的改造方案。对校园网现状和存在的问题进行分析后，总结出校园网存在以下问题：网络出现较大延迟，网络性能不稳定，网络设备老化，不符合当今对校园网的要求；单核心的网络结构不具有可靠性和稳定性等等，此次改造方案设计用到许多相应技术，如防火墙技术，链路聚合技术、ACL技术、VRRP技术等，这些技术都会在文中详细的介绍。在现网中搭建该职业技术学院的网络拓扑图，方案里提到的技术会在各个设备通过配置对应命令进行实现，最后用验证结果来证明此次改造方案是否具有可行性。关键词：校园网，改造方案，设计，技术

BasedonthecampusnetworktechnologytransformationschemeanddesignAbstract：Withthecontinuousprogressofnetworktechnology,theconstructionanddevelopmentofcampusnetworkhasbeenimproved,andnewtechnologyhasgraduallyemerged,alargenumberofdevicestomeettheneedsoftodayareslowlyemerging,andtheconstructionofthecampusnetworkhasalsoobtainedsufficientdevelopment.Forallthat,moreandmorepeopleareusingitandtheapplicationprogramsareconstantlyimproving,sotheearlycampusnetworkcannotmeettheneedsoftoday.Nowthecampusnetworkshouldbeabletomakethemanagementworksmoothly,andalsoprovideaveryreliableandsafenetworkenvironment.Takingavocationalandtechnicalcollegeasanexample,inpaperwhatanalyzethecurrentsituationofthecampusnetworkconstruction,summarizestheshortcomingsandproblemsinthecampusnetwork,analyzestheneedsofthecollege,givesthespecificschemeofthecampusnetworkreconstructionofthevocationalandtechnicalcollege,anddesignsasetofeconomic,targetedandfeasiblenetworkupgradingandreconstructionschemeforthecampusnetworkofthecollege.Basedontheanalysisoftheactualsituation,itisfoundthatthesecurityofthecampusnetworkofthisvocationalandtechnicalcollegeisverylow,thenetworkhasalargedelay,thenetworkperformanceisnotstable,andthenetworkequipmentisaging,whichdoesnotmeettherequirementsoftoday'scampusnetwork.Wehaveredesignedthecampusnetworkstructure,adoptedamorereasonablethree-tiernetworkstructure,andredesignedthecorenetworkstructure.Manycorrespondingtechnologies,suchasfirewalltechnology,linkaggregationtechnology,ACLtechnology,VRRPtechnology,etc.,areusedinthetransformationschemedesign.Thesetechnologieswillbeintroducedindetailinthispaper.Tobuildthenetworktopologyofthevocationalandtechnicalcollege,thetechnologiesmentionedintheschemewillberealizedineachdevicebyconfiguringcorrespondingcommands.Finally,thefeasibilityofthetransformationschemewillbeprovedbytheverificationresults.Keywords：Campusnetwork，Transformationplan，Design，Technology目录8452第1章绪论 16291.1研究背景及意义 1243391.2国内外研究现状 243121.2.1国外发展状况 213701.2.2国内发展状况 2103281.3论文的主要研究内容 392181.4论文组织结构 44231第2章某职业技术学院校园网现状分析 5174412.1某职业技术学院校园网的现状 5140202.2目前校园网存在的主要问题 529922.2.1核心层 5181402.2.2汇聚层 6261692.2.3接入层 6228992.2.4网络出口 682.2.5路由协议 7284012.3某职业技术学院校园网改造需求分析 74072第3章校园网改造的相关技术和理论 9253073.1虚拟局域网技术 929883.1.1VLAN技术介绍 988733.1.2实现VLAN的方式 915563.2链路聚合技术 1032293.2.1链路聚合技术介绍 10104503.2.2链路聚合的作用 10159263.3MSTP技术 1050463.3.1MSTP技术介绍 1059203.3.2MSTP技术的优势 11292653.4三层交换技术 1173903.4.1三层交换技术介绍 11254833.4.2三层交换技术的优势 1131933.5OSPF路由技术 12273873.5.1OSPF路由技术介绍 1248623.5.2OSPF的优势 1287173.6VRRP技术 13108953.7ACL技术 13202703.7.1ACL技术介绍 13187673.7.2ACL的作用 14316493.8防火墙技术 14144603.8.1防火墙技术介绍 1493823.8.2防火墙的作用 1423912第4章某职业技术学院校园网的改造方案 16192184.1校园网改造的基本原则 16192544.2校园网拓扑结构规划 17318934.3校园网分层结构设计 18275244.3.1核心层设计 1831344.3.2汇聚层设计 22157264.3.3接入层设计 2771584.4网络出口设计 31259904.5IP地址规划及VLAN规划 34263834.5.1IP地址规划 34242484.5.2VLAN规划 3532286第5章校园网改造方案设计实现 37233545.1校园网功能实现方法 37262855.1.1设备的基本配置 3776615.1.2Eth-trunk配置 38260045.1.3三层交换配置 3961105.1.4MSTP配置 40125305.1.5OSPF配置 41130055.1.6ACL配置 43284505.1.7VRRP配置 44145615.1.8防火墙区域配置 45210235.2校园网功能结果 4627935.2.1链路聚合验证结果 46233405.2.2三层交换验证结果 4886825.2.3MSTP验证结果 49288775.2.4OSPF验证结果 50321935.2.5VRRP验证结果 513215.2.6ACL验证结果 54292125.2.7防火墙区域验证结果 5532294第6章结论 573113参考文献： 588688致谢 59广州大学松田学院2020届毕业论文PAGEPAGE8第1章绪论1.1研究背景及意义随着互联网的不断发展，我们的生活已全面跨入互联网时代，如今各个行业的工作以及发展均与互联网有着密切关系，更是不可缺乏的重要一环。而互联网中的网络信息对于高校师生的文化、思想道德素质及精神文化生活亦产生了深刻的影响。校园网的建设将成为先进文化和主旋律传播的重要渠道，是大学生思想政治教育发展的重要阵地，亦是提升大学生对互联网服务需求完善的重要平台，同时必须遵循互联网的发展规律和建设社会主义精神文明的规律，社会信息化进程要求和大学生的思想政治教育要求将会在此得到体现。努力将融思想性、知识性、趣味性、服务性与一体的校园网站体系完成建设，为学生学习生活提供全面、优质、高效的服务，使校园网真正成为广泛吸引学生、为学生喜爱、受学生关注的重要媒体，成为学生获取健康信息的重要渠道。校园网是高等学校基础设施建设的重要组成部分，对于学校管理水平、人员素质和办学质量的提高有着重要地位，是高等学校通过国家“211工程”评审和创办一流大学的必要条件。因此，教育与信息的有机结合是当前职业院校发展的必经之路。在“互联网+”时代下，高职院校可结合自身特色，规划设计能够适应“互联网+”的职业院校的校园网，发展全新的校园网络环境，以改善师生所面对的网上学习、交流平台不够完善的问题。本文以某职业技术学院的校园网络建设为例，对某职业技术学院的校园网现状进行分析，并总结出校园网存在的主要问题，根据校园网的实际情况和需求，对校园网络拓扑进行改造并与相关网络技术相结合，重新进行设计和思想。将其改造成符合校方需求，能够适应未来发展的新校园网。1.2国内外研究现状1.2.1国外发展状况美国高校信息化方面的发展在投入大，得到当地政府政策的大力支持下，迅速发展起来，并且可以很好的达到高校的教学、科研、管理及学生的日常学习和生活的需要。美国高校在日常网络管理方面从不马虎，能够有效的保证校园网日常维护和安全运行。经过二十多年的不断发展完善，美国高校已经建立了非常完善的信息运营与服务体系，在世界校园网发展中，其发展水平、管理体系、应用普及程度均处于领先地位。在英国，政府投入了巨额资金在信息化建设上，并在校园信息化建设中大胆地采用了与企业合作的方式。使得校园网的教学模式得到改革更新，大大增加了普及程度。随着时间的建设以及大力的发展研究下，国外各大高校已经建立了相较成熟的校园网络模式，对于提高高校的教学、科研及管理水平，校园网的信息技术起着重大作用，能够培养出迅速适应社会信息化的人才，更好地为社会提供服务及贡献。大学作为人才培养基地，大学信息化建设必须走在时代的前沿。1.2.2国内发展状况互联网是网络与网络之间相连接的一个庞大的网络系统，其出现给人们的生活习惯，各行各业的发展及社会环境的现状带来了巨大而深刻的变化和影响，不仅仅是体现在经济生活方面，在对于社会及国家的管理方面也贡献出了一份力量。我国互联网的在20世纪80年代未开始发展起来。1989年9月是中国建设互联网的开始，国家计委会建立中关村地区教研示范网络，目的是想在北京大学，清华大学和中科院3个地方高速发展互联网，并在技术稳定后建立超级计算中心。1994年国际互联网出现，中国实现了与国际Internet全功能性的网络的连接，这也让中国的互联网技术得到更进一步的发展。1995年互联网得到了更大的普及，越来越多的老百姓学习了互联网知识，更多的老百姓接触到互联网，这给人们的生活带来了更大的便利性。1996年互联网处于高速发展时期，互联网逐渐普及到了各行各业，在教育行业中，目前校园网的管理已经运用在了学校的日常管理中，为学校开展各项工作提供了技术性的支持，提高了学校管理的水平，不仅仅体现在提高了处理事情的速度上，更体现在完善了学校领导层的管理能力，水平和丰富了管理人员的经验上，但是在早期的互联网的普及与高速发展中也存在了很多不足，也有很多需要改进的地方，在早期，大部分校园网的管理中存在以下三个不足之处，一是网络结构规划不合理，随着人们对网络应用的普及和需求的不断增加，网络处理能力跟不上，经常性的出现网络堵塞的情况，旧的网络规划已经无法满足人们日益增加的网络需求。二是网络设备的老化，内部硬件的损坏，运算能力的不足，不足以满足新时代中人们对网络的需求，这就需要校园网设备进行更新。三是网络环境管理难度的增加，网络安全问题应该值得引起越来越多的关注，而原有的网络配套设备已经很难满足当今复杂多变的网络环境。1.3论文的主要研究内容论文主要研究某职业技术学院校园网存在的主要问题：在核心层，是单核心的网络结构，没有冗余备份设备；在汇聚层设备老化，运算处理能力下降，端口损坏，没有实现链路主备备份，不能够实现快速交换数据；在接入层，ARP广播数据包过多，网络出现较大的延时。在网络出口处，还是只有部分防火墙功能的路由器。此次主要对校园网的拓扑结构进行研究改进，并通过相应技术进行研究，如虚拟局域网技术、动态路由协议OSPF技术、三层交换技术、VRRP技术和MSTP技术等，设计出对应的解决方案。具有三层交换技术的交换机，只要设置完VLAN，并为每个VLAN设置一个\t"/item/%E4%B8%89%E5%B1%82%E4%BA%A4%E6%8D%A2%E6%8A%80%E6%9C%AF/_blank"路由接口，\t"/item/%E4%B8%89%E5%B1%82%E4%BA%A4%E6%8D%A2%E6%8A%80%E6%9C%AF/_blank"第三层交换机就会自动把\t"/item/%E4%B8%89%E5%B1%82%E4%BA%A4%E6%8D%A2%E6%8A%80%E6%9C%AF/_blank"子网内部的\t"/item/%E4%B8%89%E5%B1%82%E4%BA%A4%E6%8D%A2%E6%8A%80%E6%9C%AF/_blank"数据流限定在子网之内，并通过路由实现子网之间的\t"/item/%E4%B8%89%E5%B1%82%E4%BA%A4%E6%8D%A2%E6%8A%80%E6%9C%AF/_blank"数据包交换；而一个具备三层功能的交换机不能仅仅是通过划分vlan来达到互相访问的目的，还要能够通过路由协议来选择路径，因此要支持常用的路由协议，如动态路由协议OSPF。利用MSTP技术可以解决二层环路的问题，而VRRP技术实现设备冗余，MSTP技术和vrrp技术结合不仅可以为网关设备提供冗余备份，还可以为下行的二层链路提供冗余备份，实现负载分担，极大地提高了网络的可靠性。1.4论文组织结构第一章为绪论，第一点介绍了本文的研宄背景及意义，第二点介绍了国内和国外的校园网研究状况，第三点介绍了此次研究的主要内容，第四点介绍了本文的结构安排。第二章为某职业技术学院校园网现状分析，第一点介绍了某职业技术学院校园网的现状，第二点阐述此校园网存在的主要问题，第三点为校园网改造需求分析。第三章为校园网改造的相关技术和理论，具体的介绍了在改造校园网所运用的技术和理论，如虚拟局域网技术、链路聚合技术、访问控制列表技术、防火墙技术等。第四章为某职业技术学院校园网改造方案的设计，介绍了校园网改造的基本原则，以及网络结构设计、网络出口设计、IP地址规划和VLAN规划。第五章为校园网改造方案设计实现，在现网搭建某职业技术学院的校园网络，实现校园网的方案设计，验证结果是否达到了预想的效果。第六章为结论，对此次校园网改造方案和设计作出总结。

第2章某职业技术学院校园网现状分析2.1某职业技术学院校园网的现状下面是现某职业技术学院网络拓扑结构，如图2-1所示。图2-1某职业技术学院网络拓扑图2.2目前校园网存在的主要问题2.2.1核心层核心层是单核心单链路的网络结构，只有一台三层交换机和一台路由器在运行，一旦这台三层交换机或者路由器出现故障，网络就会中断，校园网内的用户就无法联网，可靠性极低。如果在短时间可以处理掉故障，对校园的影响并不是太大。但如果是长时间的维护必定会对校园网的正常运作造成重大影响。通过校方了解到，校园网建设完毕初期，这台三层交换机是可以保证高速稳定运行的，但是校园里的老师和学生的数量是在不断增加的，数据流量越来越大导致无法适应现在校园的要求。以及部署在核心层的三层交换机从校园网建设以来就没有更换过，设备严重老化，随时都有出现故障的风险，这台核心层的交换机已无法保持高速稳定的数据传输，稳定性极低。2.2.2汇聚层在汇聚层大量设备老化，运算处理能力下降，接口损坏，导致部分计算机无法正常联网；没有实现链路主备备份，不能够实现快速交换数据，没有针对性的安全策略；网络不具有可靠性、安全性。经校方了解，学生公寓经常出现网络卡顿的现象，有大部分学生反馈在学生公寓的网络体验不理想；教学楼有出现过因为汇聚交换机单点故障，数据流量无法到达核心层，所以导致教学无法正常进行的情况。因为终端设备的网关IP地址都是静态配置的，当网关设备出现故障时，终端将无法进行数据交换。2.2.3接入层在接入层，接口破损，部分终端无法接入交换机；ARP广播数据包过多，安全性低，占用了网络带宽，导致网络性能下降。另外，计算机收到ARP广播数据包，会对其作出处理，在处理过程中耗费部分CPU时间；另外有大量二层交换机私自接入，网络出现较大的延时。2.2.4网络出口在网络出口处，部署的还是只有部分防火墙功能的路由器，校园网络有被攻击的风险，校园网的安全得不到保障。出口路由器是也是一台老设备，出现故障的机率也是十分高的。而且不管在日常管理还是在配置命令方面都不够人性化，同时所提供的安全性也是十分低，校园网里内部文件得不到很好的保护，用户信息也有可能会泄露。在网络行为管控方面，出口路由器控制非法网络行为的效果也是不乐观的。2.2.5路由协议校园网的路由协议采用的是静态路由，某职业技术学院属于中大型的网络环境，配置静态路由时的下一跳路由条目数量十分庞大，不利于网络管理员维护。当网络的拓扑结构和链路状态发生变化时，路由器中的静态路由信息需要大范围地调整，这一工作的难度和复杂程度非常高。而且当网络发生变化或网络发生故障时，不能重选路由，很可能使路由失败。2.3某职业技术学院校园网改造需求分析某校园网的建设和运行至今近十年，从未将校园网进行升级以及改造，因此导致问题凸显也越来越多。我们对校园网络拓扑进行升级改造，提高整个方案的可靠性和稳定性。根据校园网存在的问题，结合校园网的实际，考虑校方资金较充裕，提出了以下几点需求：（1）在接入层，更换二层交换机，合理规划VLAN，减少ARP广播数据包数量，隔离不同业务和用户组以便于有效管理；减少交换机级联的层次，数据交换的时延就会相对减少，保证网络的效率。（2）在汇聚层，更换三层交换机，使用VRRP技术和MSTP技术，避免单点故障造成网络瘫痪，提升整体网络的可靠性，实现链路备份冗余以及增大链路带宽，实现快速交换数据；部署有针对性的安全策略，有效的辨别具有威胁性的数据包。（3）在核心层，将单核心单链路的核心层改为双核心多链路的网络架构，这种结构稳定性高，能够使核心层做到设备冗余和链路冗余；同时采用链路聚合技术，保障链路故障备份功能，又实现增大带宽的效果，实现链路负载均衡，提高网络的可靠性和稳定性。（4）在网络出口处，原网络出口的路由器安全防护能力较弱、安全策略不完善，设备陈旧老化、故障频发，已经不能满足当下的使用需求。要求更换一台防火墙,在安全性方面还是在功能特性方面都能满足校方要求，比如采用高性能的全状态检测技术，具有优异的管理功能，提供优异的GUI管理界面等。这样既能满足网络安全的需求，又能合理分配有限的网络带宽、有效监控管理学院终端的上网行为。（5）路由协议选择方面，在动态路由中，采用OSPF路由协议，它相对于RIP、BGP比较适合校园网络建设。因为RIP路由协议对于路由线路用跳数来进行判断，大于十五跳的路由被认为不可达，所以限制很大，不适合校园网应用；BGP路由协议是一种外部网络管理路由协议，主要的应用区域是多个大型网络之间的路由交互、联系，所以不适用于校园内部的校园网络建设。OSPF路由协议没有跳数限制，使用组播发送链路状态更新，在链路状态变化时使用触发更新，提高带宽的利用率。随着网络规模不断扩大，网络发生故障的可能性也随之增加，如果区域内某处发生故障，整个区域内的路由器都要重新计算路由，这将大大增加了设备的负担，降低网络运行的稳定性。OSPF路由协议可以根据层次进行区域划分成骨干区域和非骨干区域，每个三层交换机（路由器）都包含所属的区域内全部的拓扑信息，即使网络的拓扑结构和链路状态发生变化时，校园网也能便捷、有效地进行收敛，OSPF协议的系统会以最快的速度发出新的报文，从而使新的拓扑情况很快扩散到整个网络。PAGEPAGE59第3章校园网改造的相关技术和理论3.1虚拟局域网技术3.1.1VLAN技术介绍VLAN技术是交换技术的重要组成部分。VLAN技术允许网络管理者将一个物理的LAN逻辑地分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站不需要被放在同一个物理空间，即这些工作站不一定属于同一个物理LAN网段。VLAN的优点主要包括：（1）ARP广播数据包限制在一个广播域里泛洪，减少了ARP广播数据包的数量，可以防止造成广播风暴，提高了网络的整体性能。（2）计算机之间只有在同一个广播域才能进行数据传输，即只有同一VLAN才能互通，有防止外界网络攻击的功能，增强了网络安全性；当网络出现故障时，定位故障的范围大大减小，提升了效率，简化了网络的管理和维护。3.1.2实现VLAN的方式实现VLAN的主要方式如表3-1所示。表3-1实现VLAN的主要方式实现方式类型优点缺点应用范围基于端口静态划分简单，性能好，大部分交换机支持，交换机负担小手工配置；变更端口时，必重新定义应用广泛基于MAC地址动态用户位置改变时不用重新配置，安全性好用户都必须配置，交换机执行效率降低一般基于协议动态管理方便，维护工作量小交换机负担较重支持较多基于IP多播动态可扩展到广域网，容易通过路由器进行扩展不适合局域网，效率不高应用较少3.2链路聚合技术3.2.1链路聚合技术介绍链路聚合技术，就是把两台设备之间的多条物理链路聚合在一起，当做一条逻辑链路来使用。以实现出/入流量\t"/item/%E9%93%BE%E8%B7%AF%E8%81%9A%E5%90%88/_blank"吞吐量在各成员端口的负荷分担，交换机根据用户配置的端口负荷分担策略决定\t"/item/%E9%93%BE%E8%B7%AF%E8%81%9A%E5%90%88/_blank"网络封包从哪个成员端口发送到对端的交换机。当交换机检测到其中一个成员端口的链路发生故障时，就停止在此端口上发送封包，并根据负荷分担策略在剩下的链路中重新计算报文的发送端口，故障端口恢复后再次担任收发端口。链路聚合包含两种模式：手动负载均衡模式和LACP模式。在LACP模式中，一部分链路作为备份链路。在手动负载均衡模式中，所有的成员口都处于转发状态。3.2.2链路聚合的作用（1）链路聚合能够提高链路带宽。理论上，通过聚合几条链路，一个聚合口的带宽可以扩展为所有成员口带宽的总和，有效增加逻辑链路的带宽。（2）链路聚合为网络提供了高可靠性。配置了链路聚合之后，如果一个成员接口发生故障，该成员口的物理链路会把流量切换到另一条成员链路上。（3）链路聚合还可以在一个聚合口上实现负载均衡，一个聚合口可以把流量分散到多个不同的成员口上，通过成员链路把流量发送到同一个目的地，将网络产生拥塞的可能性降到最低。3.3MSTP技术3.3.1MSTP技术介绍MSTP把一个交换网络划分成多个域，每个域内形成多棵生成树，生成树之间彼此独立。每棵生成树叫做一个多生成树实例MSTI，每个域叫做一个MST域。所谓生成树实例就是多个VLAN的一个集合。通过将多个VLAN捆绑到一个实例，可以节省通信开销和资源占用率。MSTP各个实例拓扑的计算相互独立，在这些实例上可以实现负载均衡。可以把多个相同拓扑结构的VLAN映射到一个实例里，这些VLAN在端口上的转发状态取决于端口在对应MSTP实例的状态。3.3.2MSTP技术的优势MSTP的优势如下表3-2所示。表3-2MSTP的优势极大地提升了在不同组网条件下生成树协议的可部署性为了保证运行不同类型生成树协议的网络可靠运行，可将不同类型的生成树协议划分到不同的进程中，不同进程对应的网络进行独立的生成树协议计算增强了组网的可靠性，对于大量的二层接入设备，可减少单台设备故障对整个网络的冲击。通过进程隔离不同的拓扑计算，即某台设备故障只影响其所在的进程对应的拓扑，不会影响其他进程拓扑计算网络扩容时，可减少网络管理者维护量，从而提升了用户运维管理的方便性。当网络扩容时，只需要划分新的进程与原有网络对接，不需要调整原有网络的MSTP进程配置。如果是某个进程中进行了设备扩容，此时也只需要针对扩容的进程进行修改，而不需要调整其他进程中的配置实现二层端口分割管理每个MSTP进程可以管理设备上的部分端口，即设备的二层端口资源被多个MSTP进程分割管理，每个MSTP进程上均可运行标准的MSTP3.4三层交换技术3.4.1三层交换技术介绍三层交换是相对于传统交换概念提出来的。传统的交换技术是在OSI网络标准模型中的数据链路层进行数据交换，而三层交换技术是在网络模型中的网络层实现数据包的高速转发。三层交换技术就是二层交换技术和三层转发技术的结合。3.4.2三层交换技术的优势解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题，实现了数据包的高速转发。3.5OSPF路由技术3.5.1OSPF路由技术介绍OSPF是一个链路状态协议，其操作以网络连接或者链路状态为基础。OSPF基本绘制出互联网的全网结构图，然后根据这个结构图选择开销最小的路径。在OSPF中，计算网络拓扑时最基本的元素是每台路由器中的每条链路状态。通过学习每条链路连接到何处，OSPF可以建立一个数据库，记录网络中的所有链路，然后使用最短路径优先算法计算出到每个目标网络的最短路径。由于所有路由器都持有完全相同的网络拓扑图，OSPF只有在网络拓扑发生变化时才发送路由更新信息。3.5.2OSPF的优势OSPF的优点如下表3-3所示。表3-3OSPF的优势适应范围OSPF支持各种规模的网络，最多可支持几百台路由器最佳路径OSPF是基于带宽来选择路径治系统中同步快速收敛如果网络的拓扑结构发生变化，OSPF立即发送更新报文，使这一变化在自治系统中同步无自环由于OSPF通过收集到的链路状态用最短路径树算法计算路由，故从算法本身保证了不会生成自环路由子网拖码由于OSPF在描述路由时携带网段的掩码信息，所以OSPF协议不受自然掩码的限制，对VLSM和CIDR提供很好的支持区域划分OSPF协议允许自治系统的网络被划分成区域来管理，区域间传送的路由信息被进一步抽象，从而减少了占用网络的带宽等值路由OSPF支持到同一目的地址的多条等值路由路由分级OSPF使用4类不同的路由，按优先顺序来说分别是:区域内路由、区域间路由、第一类外部路由、第二类外部路由支持验证它支持基于接口的报文验证以保证路由计算的安全性3.6VRRP技术局域网中的用户终端通常采用配置一个默认网关的形式访问外部网络，如果此时默认网关设备发生故障，将中断所有用户终端的网络访问,这很可能会给用户带来不可预计的损失。VRRP，中文称虚拟路由冗余协议，能解决单网关和多网关存在的问题。VRRP能够在不改变组网的情况下,将多台路由器虚拟成一个虚拟路由器,通过配置虚拟路由器的IP地址为默认网关,实现网关的备份。3.7ACL技术3.7.1ACL技术介绍ACL技术，中文称为“访问控制列表”技术，它根据源地址、目的地址、源端口或目标端口等协议信息对数据包进行过滤，从而达到访问控制的目的。ACL语句的处理规则：（1）一旦发现匹配的语句，就不再处理列表中的其他语句。（2）如果有两条语句，一个拒绝来自某个主机的通信，另一个允许的话，排在前面的语句被执行。（3）如果整个列表中没有匹配的语句，则分组被丢弃。根据不同的划分规则，ACL可以分为基本ACL、高级ACL、二层ACL和用户ACL这几种类型。表3-4所示，比较了这几种ACL过滤功能的区别。表3-4ACL分类分类规则定义描述编号范围基本ACL使用报文的源IP地址、分片标记和时间段信息来匹配报文2000-2999高级ACL使用报文的源/目的IP地址、源/目的端口号以及协议类型等信息来匹配报文3000-3999二层ACL二层ACL可以使用源/目的MAC地址以及二层协议类型等二层信息来匹配报文4000-4999用户ACL既可使用IPv4报文的源IP地址，也可以使用目的IP地址、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口等来定义规则6000-60313.7.2ACL的作用ACL的作用主要有以下四点：（1）限制网络流量、提高网络性能。（2）提供对通信流量的控制手段。（3）提供网络访问的基本安全手段。（4）在网络设备接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。3.8防火墙技术3.8.1防火墙技术介绍防火墙是部署在不同网络或网络安全域之间的设备。它是不同网络或网络安全域之间信息的唯一出入口，能根据安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力，它可以有效地监控内部网和因特网之间的任何活动，进而保证内部网络的安全。对于普通用户来说，防火墙就是一种被放置在自己的计算机与外界网络之间的防御系统，从网络发往计算机的所有数据都要经过它的判断处理后，才决定是否把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，从而实现对计算机的必要保护。3.8.2防火墙的作用下面概括了防火墙的主要作用，如表3-5所示。表3-5防火墙的作用网络安全的屏障强化网络安全策略对网络存取和访问进行监控审计防止内部信息的外泄极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全；同时也可以保护网络免受基于路由的攻击能将所有安全软件配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济能记录访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，能进行适当的报警，并提供网络是否受到监测和攻击的详细信息实现对内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响；可以隐蔽那些透漏内部信息的细节

第4章某职业技术学院校园网的改造方案4.1校园网改造的基本原则随着互联网的不断发展，校园网的发展给学校的管理和师生的学习生活带来了便利性，但师生规模的不断扩大，对校园网的要求也不断提高，加上新应用的不断出现，功能日益增加的情况，以致我们现如今的网络设备和网络结构已不足以支持现在校园师生对校园网的需求。这要求我们对校园网的结构和设备进行维护及更新，以满足如今师生需求。但在改造中应考虑到学校的实际情况和具体需求进行升级，针对校园网的改造升级，我们所应当遵守以下几个原则：（1）高带宽校园网的发展是日新月异的，业务功能会随之不断增多，为了网络可以高速运转，不出现堵塞现象，校园网的组网结构设计，应有包交换无瓶颈的特点，同时核心交换机也需要更强的功能特性，即转发性能和宽带特性。（2）可扩展性随着师生人数不断上涨，学校的规模也在不断扩建，因此老师和学生接入点人数在不断变化，各种各样的业务在不断地更新，总结得出，在关于网络的建设方面，校园内的网络业务在不断更新拓展，设计时应考虑组网的灵活性，网络设备的容量扩充，接口的丰富性，减少业务类型的单一性等方面。（3）开放性国际和国内都有相关的网络技术来衡量标准化，设计时要避免不采取个体的内部技术标准，为了方便后期网络的持久性，延展性和互联性。（4）安全可靠性校园网最重要和需要考虑的问题是网络的安全性和可靠性，设计时应把主要资金投入到安全性和可靠性方面上。为了保证校园网的安全性，应选用安全性能更强的防火墙作为网络出口；为了提高网络的可靠性，避免单点的故障导致整个网络出现堵塞甚至是瘫痪的状况，网络的冗余备份显得有尤为重要。（5）易管理性网络管理在网络建设后期中也是十分重要的工作，要更好的体现网络管理的便捷性，在网络建设的过程里合理地规划，比如IP地址和VLAN的规划，网络内部结构的规划等都能使网络建设变的简洁而又易操作。4.2校园网拓扑结构规划下面是某职业技术学院校园网络拓扑结构的规划，具体实施要按照实际情况而定。如图4-1所示。图4-1校园网网络拓扑图如上图4-1所示，在核心层，不再只使用一台核心交换机和核心路由器运行，而是使用两台核心交换机和核心路由器运行，并且两台核心交换机之间进行链路聚合，保证在有一台核心交换机出现故障或者有一条链路断开时，整个校园网还能正常运行，实现了网络的冗余；核心交换机分别连接了两台路由器，解决单链路故障的问题，实现核心交换机链路冗余备份。在汇聚层，汇聚层交换机分别连接核心层的两台核心交换机，当汇聚层交换机连接其中一台核心层交换机的链路断开了，数据还会沿着另外一条链路进行传输，保证了网络的可靠性。在接入层，原先私自接入的大量二层交换机已被拆除。在网络出口处，将原先的出口路由器替换成一台防火墙。核心交换机LSW5和LSW31分别连接办公楼、机房中心、学生公寓和教学楼，机房中心由于负载较大，所以直接接入核心交换机，在提升转发性能的基础上，又降低了建设成本。汇聚交换机LSW1、LS13、LSW4和LSW15分别连接核心交换机LSW5和LSW31，汇聚交换机LSW3和接入交换机LSW16与核心交换机LSW31之间进行链路聚合，具体的实施还会根据实际情况在进行调整，使校园网更加可靠、稳定。接入交换机连接各汇聚交换机。接入交换机数量需根据该楼用户数的多少来决定，像人流量大，固定人数较少的地方，根据具体需要，放置一台或两台接入交换机即可。4.3校园网分层结构设计4.3.1核心层设计核心层是网络中重要的组成部分，其担任着交换主干的功能，设计时保证其最重要的特性：可靠性和稳定性。设备采用高带宽的千兆以上的三层交换机，实现数据快速交换、链路备份以及链路负载均衡；实现网络的冗余，达到提高网络性能的目的。核心层主要是处理校园网内以及和外网的数据交换，为了避免核心层出现故障时，导致校园网的数据无法正常交换的情况，我们将增强校园网的稳定性与可靠性及增强校园网的业务能力，在设计核心层时可参考以下方案：（1）在图4-1中，核心交换机LSW5和LSW31作为校园网的主干，为保证核心交换机之间的高速运转，设计时核心交换机LSW5和LSW31之间进行链路聚合，使核心交换机之间有3条链路连接，形成一条逻辑链路，增大网络带宽；配置LSW5系统优先级为100，使其成为LACP主动端，配置活动成员链路的最大值是2，有一条链路属于非活动成员链路，即有一条备份链路。当有一条活动成员链路断开时，非活动成员链路转变成活动成员链路，链路正常运作，实现了链路冗余备份，提高了网络的可靠性。（2）为解决链路发生故障，导致网络无法访问的问题。设计时核心交换机LSW5和LSW31分别连接核心路由器R2和R3，即每台核心交换机都有两条链路到达路由器R4，例如当核心交换机LSW5到达路由器R2的链路断开了，数据就会沿着到达路由器R3的链路实现了链路备份，提高了网络的可靠性。（3）为保证各建筑楼之间可以互访，以及终端用户可以访问网络，在核心交换机以及连接核心交换机的三层设备上配置OSPF，并把建筑楼划分在OSPF的不同区域。把教学楼分别划分在区域1和区域2，办公楼划分在区域3，学生公寓划分在区域4，核心层划分在区域0，减少了LSA泛洪的范围，即拓扑发生改变时，链路状态数据库的同步只在本区域内进行。划分区域可以减少三层设备收到的LSA，减少三层设备的资源消耗，提高网络的稳定性。（4）在设备选型方面，核心交换机至少满足以下功能特性，如表4-1所示。表4-1核心交换机功能特性1、稳定可靠作为网络的“核心”，必须保证7×24小时的连续性服务，在处理系统、总线系统、电源系统和风扇等重要部件上要有冗余设计2、性能强大设备应当具有高带宽性能，核心交换机的端口应当做到全线速转发，并应当具有良好的可扩展性，随着未来网络规模扩大，能够满足一定的升级需求3、简单的配置策略核心交换机的配置策略，原则上是越简单越好，因为策略会占用核心交换机的资源，降低交换机的处理能力，所以更简单的策略有助于节省资源根据以上分析，核心交换机可选择华为的S5700-28C-PWR-EI三层设备，设备的详细参数如表4-2所示。表4-2S5700-28C-PWR-EI详细参数主要参数产品类型千兆以太网交换机应用层级三层传输速率10/100/1000Mbps交换方式存储-转发背板带宽256Gbps包转发率96MppsMAC地址表16K端口参数端口结构非模块化端口数量28个端口描述24个10/100/1000Base-TX端口，4个1000Base-X

SFP端口扩展模块2个扩展插槽功能特性堆叠功能可堆叠VLAN支持4K个VLAN

支持GuestVLAN、VoiceVLAN

支持基于MAC/协议/IP子网/策略/端口的VLAN

支持1:1和N:1VLAN交换功能QOS支持对端口接收和发送报文的速率进行限制

支持报文重定向

支持基于端口的流量监管，支持双速三色CAR功能

每端口支持8个队列

支持WRR、DRR、SP、WRR＋SP、DRR+SP队列调度算法

支持报文的802.1p和DSCP优先级重新标记

支持L2（Layer2）-L4（Layer4）包过滤功能，提供基于源MAC

地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN

的非法帧过滤功能

支持基于队列限速和端口Shapping功能组播管理支持IGMPv1/v2/v3Snooping

和快速离开机制

支持VLAN内组播转发和组播

多VLAN复制

支持捆绑端口的组播负载分担

支持可控组播

基于端口的组播流量统计

IGMPv1/v2/v3、PIM-SM、PIM-DM、PIM-SSM网络管理支持堆叠

支持MFF

支持虚拟电缆检测（VirtualCableTest）

支持端口镜像和RSPAN（远程端口镜像）

支持Telnet远程配置、维护

支持SNMPv1/v2/v3

支持RMON

支持网管系统、支持WEB网管特性

支持集群管理HGMP

支持系统日志、分级告警

支持GVRP协议

支持MUXVLAN功能安全管理用户分级管理和口令保护

支持防止DOS、ARP攻击功能、ICMP防攻击

支持IP、MAC、端口、VLAN的组合绑定

支持端口隔离、端口安全、StickyMAC

支持黑洞MAC地址

支持MAC地址学习数目限制

支持IEEE802.1X认证，支持单端口最大用户数限制

支持AAA认证，支持Radius、TACACS+、NAC等多种方式

支持SSHV2.0

支持HTTPS

支持CPU保护功能

支持黑名单和白名单4.3.2汇聚层设计汇聚层在网络中担任的功能是在工作站接入核心层前先做汇聚，减轻核心层的负荷。汇聚层作为接入层与核心层的中转站，要求其必须能够处理接入层中的信息并能提供到核心层中，这无疑对汇聚层中的性能，接口和交换速率提岀了更高的要求，汇聚层因具有实施工作组接入，虚拟局域网之间的路由，更应该注重网络隔离和分段。某职业技术学院的汇聚层设计过程中应该根据学校的实际情况进行安排汇聚交换机放置的位置，在学生公寓，办学楼和机房中用到会比较多的地方放置汇聚交换机，而在人员比较少的地方，用处不大的地方可以先不急着单独放置汇聚交换机，要结合师生反馈的需求和实际情况进行后期的扩展工作，可参考以下方案:在图4-1中，LSW1、LSW13、LSW4、LSW16、LSW2和LSW3是汇聚层交换机，分别放置在教学楼、办公楼、学生公寓和机房中心。在校园里，为保证在一个小局域网内不同广播域之间可以访问，而且是高速低延的互访，我们在各建筑楼的汇聚交换机配置三层交换技术，例如在1号教学楼，配置汇聚交换机LSW1和LSW13的各接口类型及对应VLAN，还要在汇聚交换机LSW1和LSW13上配置对应VLAN的IP地址，这样1号教学楼不同VLAN之间才可以互访。三层交换技术可以加快局域网内部的数据交换，又可以避免广播风暴的产生。在校园网里，有涉及到个人隐私或校园内部机密文件等敏感数据，为了保证这些敏感数据不被泄露或窃取，在汇聚交换机配置访问控制列表，拦截访问这些敏感数据的终端用户，以达到保护数据安全完整的效果。经校方了解到，校园内部的机密文件和师生的个人隐私几乎都在办公楼处，一旦这些数据被非法手段窃取，会造成不可估量的后果。根据这些情况，我们将在办公楼处的汇聚交换机LSW2配置访问控制列表，对访问敏感数据的数据包进行过滤，达到访问控制的目的，提高了网络安全性。（3）为改善学生公寓网络体验的不理想，需要增大其链路带宽，提高汇聚层与核心层之间数据交换的速度。按照具体情况，在学生公寓的汇聚交换机LSW3和核心交换机LSW31进行链路聚合，使汇聚交换机和核心交换机之间有3条链路连接，增大其网络带宽；并设置活动成员链路的最大值数量是2，这样就有一条链路属于备份链路，当某一条活动成员链路断开时，这条备份链路就会切换到活动成员链路，不仅增大链路带宽，还提高了网络的可靠性。（4）为了解决教学楼出现单点故障的问题，以1号教学楼为例，在汇聚层放置两台三层交换机，各连接核心交换机LSW5和LSW31，即汇聚交换机都有两条链路到达核心层，实现链路冗余备份；汇聚交换机启用VRRP技术，把LSW1和LSW13两台汇聚交换机虚拟成一台汇聚交换机，配置虚拟汇聚交换机的IP地址作为终端设备的默认下一跳地址，在汇聚交换机接口配置虚拟组ID、虚拟地址和优先级，修改VRRP设备的抢占模式定时器时间，并监控汇聚交换机上行端口状态。这两台汇聚交换机都有数据流量通过，实现了网关冗余备份，提高网络的可靠性。（5）为解决教学楼二层环路的情况，启用MSTP协议。以1号教学楼为例，出现二层环路的交换机分别是汇聚交换机LSW1、LSW13和接入交换机LSW20，配置交换机开启MSTP并设置相同的区域名称R1。交换机设置两个生成树实例：Instance1和Instance2，并把对应VLAN映射到Instance1和Instance2。配置汇聚交换机LSW1为Instance1的根交换机，汇聚交换机LSW13为Instance2的根交换机。Instance1阻断了接入交换机LSW20与汇聚交换机LSW13之间的链，Instance2阻断了接入交换机LSW20与汇聚交换机LSW1之间链路。不仅有效解决了二层环路的问题，而且实现了负载分担，避免资源浪费。（6）在设备选型方面，汇聚交换机至少满足以下功能特性，如表4-3所示。表4-3汇聚交换机功能特性支持的功能特性1、高可靠性支持Smart-Link、智能以太保护SEP，支持STP／RSTP／MSTP等。2、支持多种路由支持三层路由功能，比如：静态路由、RIP、OSPF、IS-IS、BGP等。3、接入和安全特性支持端口隔离、端口安全、支持AAA认证，支持Radius等多种认证方式等。4、丰富的扩展功能设备采用模块化结构，支持光电口，多槽位，使网络具备扩展性和灵活性等。5、易于管理维护支持智能堆叠功能，支持Telnet远程配置、维护，支持自动配置功能，支持断电告警等。根据以上分析，汇聚交换机可选择S3700-28TP-EI-AC三层交换机，设备的详细参数如表4-4所示。表4-4S3700-28TP-EI-AC详细参数S3700-28TP-EI-AC主要参数产品类型千兆以太网交换机应用层级三层传输速率10/100/1000Mbps交换方式存储-转发背板带宽64Gbps包转发率14.1MppsMAC地址表16K端口参数端口结构非模块化端口数量28个端口描述24个10/100Base-TX以太网端口，4个千兆SFP，2个复用的10/100/1000Base-T以太网端口Combo传输模式全双工/半双工自适应功能特性网络标准IEEE802.1d堆叠功能可堆叠VLAN支持4K个VLAN

支持GuestVLAN、VoiceVLAN、SuperVLAN

支持基于MAC/协议/IP子网的VLAN

支持QinQ功能

支持灵活QinQ功能

支持1:1和N:1VLANMapping功能QOS支持对端口接收和发送报文的速率进行限制

支持报文重定向

支持基于端口的流量监管，支持双速三色CAR功能

每端口支持8个优先级队列

支持WRR、DRR、SP、WRR＋SP、DRR+SP等队列调度算法

支持报文的802.1p和DSCP优先级重新标记

支持L2（Layer2）~L4（Layer4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN的非法帧过滤功能

支持基于队列限速和端口Shaping功能纠错组播管理支持1K的组播组

支持IGMPv1/v2/v3Snooping和快速离开机制

支持组播VLAN和跨VLAN组播复制

支持捆绑端口的组播负载分担

基于可控组播网络管理支持智能堆叠

支持MFF

支持Telnet远程配置、维护

支持自动配置功能

支持VCT虚拟电缆检测(VirtualCableTest)

支持以太OAM（802.3ah和802.1ag）

支持断电告警Dyinggasp功能（S3700-28TP-EI-MC-AC）

支持SNMPv1/v2c/v3；支持RMON

支持MUXVLAN特性；支持GVRP协议

支持eSight网管系统、支持WEB管理特性

支持SSHV2安全管理用户分级管理和口令保护

支持防止DOS、ARP防攻击、ICMP防攻击功能

支持IP、MAC、端口、VLAN的组合绑定

支持端口隔离、端口安全、StickyMAC

支持黑洞MAC地址

支持MAC地址学习数目限制

支持IEEE802.1x认证，支持单端口最大用户数限制

支持AAA认证，支持Radius、HWTACACS等多种方式

支持SSHV2.0

支持CPU保护功能支持黑名单和白名单其它参数电源电压AC100-240V，50/60Hz

DC-48--60V产品认证IEEE802.1x认证产品尺寸442×220×43.6mm产品重量<2.5kg环境标准工作温度：0-45℃

相对湿度：5%-95%无凝结其它参数IP路由：静态路由，RIP，ECMP，OSPF，IS-IS，BGP

可靠性：支持RRPP环型拓扑、支持相交环和多实例等功能，故障保护切换时间低于50ms；支持SmartLink树型拓朴及SmartLink多实例，提供主备链路的毫秒级保护

支持STP(IEEE802.1d)，RSTP(IEEE802.1w)和MSTP(IEEE802.1s)协议；支持BPDU保护、根保护和环回保护；支持智能以太保护SEP（SmartEthernetProtection）其它特点6KV防雷技术4.3.3接入层设计我们通常将用户连接网络端的部分称为接入层，接入层的作用是允许用户连接戓者访问网络，其直接面面用户，所以接入层应该具备较低的成本和高密度的端口特性，一般在接入层的选择上建议性价比高的接囗，满足使用方便,容易维护和端囗密度高的特点，设计时建议考虑采用以下的方案:（1）因为交换机接收到未知MAC地址的数据包时，交换机会将这个数据包泛洪到整个校园网，消耗网络资源带宽，所以导致交换机因为处理大量的ARP广播数据包而无法处理正常的数据包。为了限制ARP广播数据包的泛洪，我们对用户流量进行基于端口的VLAN划分，把泛洪的范围限制在接入层。例如在1号教学楼，在接入交换机LSW20上配置VLAN，如果把PC1划分在VLAN10，PC10划分在VLAN20，PC1和PC10不能互访，只有在同一VLAN内才能互访，达到了隔离广播域的目的。如果PC1和PC10要进行互访，就要配置了三层交换机技术，否则不能互访。可以完成基本数据流量的隔离，减少ARP广播数据包数量，保证网络的稳定性和安全性。（2）因为机房中心负载较大，终端用户访问网络出现卡顿的现象，可以增大链路带宽，实现负载均衡，提高接入层与核心层之间数据交换的速度来处理这个现象。使机房中心的接入交换机LSW16和核心交换机LSW31之间有3条链路连接，增大其链路带宽；并设置活动成员链路的最大值数量是2，这样就有一条链路属于备份链路，当某一条活动成员链路断开时，这条备份链路就会切换到活动成员链路，实现链路间互为备份，达到负载均衡的效果。（3）在设备选型时，接入交换机至少满足以下功能特性，如表4-5所示。表4-5接入层交换机功能特性支持的功能特性1、支持8KMAC地址表；支持删除动态MAC地址；支持MAC地址老化时间可配置；支持基于端口的MAC地址学习使能控制；支持黑洞MAC地址等。2、支持IEEE802.1Q标准，整机支持4K个VLAN支持基于端口的VLAN，支持基于MAC地址的VLAN。3、支持STP，RSTP和MSTP协议等4、支持风暴抑制；支持AAA认证，支持Radius等多种方式；支持802.1X认证，支持MAC认证，支持MAC旁路认证；支持DHCPSnooping；支持MAC地址过滤等。结合学校的实际情况，接入交换机可以选择华为的一款S2700-52P-EI的二层交换机，设备的详细参数如表4-6所示。表4-6S2700-52P-EI详细参数S2700-52P-EI主要参数产品类型智能交换机应用层级二层传输速率10/100Mbps交换方式存储-转发背板带宽32Gbps包转发率17.7MppsMAC地址表8K端口参数端口结构非模块化端口数量52个端口描述48个10/100Base-TX端口，2个100/1000Base-XSFP端口，2个1000Base-XSFP端口传输模式全双工/半双工自适应功能特性网络标准IEEE802.3，IEEE802.3u，IEEE802.3ab，IEEE802.3z，IEEE802.3x，IEEE802.1Q，IEEE802.1d，IEEE802.1X堆叠功能可堆叠VLAN支持IEEE802.1Q（VLAN），整机支持4K个VLAN

支持基于端口的VLAN

支持基于MAC地址的VLAN

基本QinQQOS支持端口限速和流限速

支持每端口4个不同优先级的队列

支持根据报文802.1p映射到不同队列

支持SP、WRR、SP+WRR算法

支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、四层端口、协议类型、VLAN、以太网帧协议、CoS等信息的流分类

支持基于流的标记优先级、报文重定向组播管理支持IGMPv1/v2/v3Snooping

支持捆绑端口的组播负载分担

支持基于端口的组播流速率限制和流量统计

支持端口1:1或N:1镜像网络管理支持堆叠

支持自动配置功能

支持CLI配置

支持Telnet远程配置

支持SNMPV1/V2/V3

支持RMON

支持集群管理HGMPV2

支持SSHV2

支持WEB管理特性

支持GVRP协议

支持基于MAC地址的VLAN

基本QinQ

支持802.1x，支持单端口最大用户数限制

支持动态ARP检测

支持IPSourc安全管理支持堆叠

支持自动配置功能

支持CLI配置

支持Telnet远程配置

支持SNMPV1/V2/V3

支持RMON

支持集群管理HGMPV2

支持SSHV2

支持WEB管理特性

支持GVRP协议

支持基于MAC地址的VLAN

基本QinQ

支持802.1x，支持单端口最大用户数限制

支持动态ARP检测

支持IPSourc4.4网络出口设计为保障校园网络的安全，在网络的出口处部署一台防火墙，防火墙作为计算机和与外界网络的防御系统，从网络上接收到的数据信息都会经过防火墙，发现有害的数据，防御墙就会进行拦截，防止有害信息对计算机的伤害，从而进行对计算机的保护。使用校园网的用户大多为学生和教职人员，在安全问题上，更多的是预测学校内部安全问题，而对外部的风险及病毒攻击可能就很难进行提前预测及采取防范措施。设计时配置防火墙，把区域按照校园网内外分为两个区域，分别是信任区，非信任区，例如在防火墙FW1，把连接校园网内部的接口配置为trust区域，把连接外网的接口配置为untrust区域，配置trust区域可以访问untrust区域，而untrust区域不能访问trust区域，以保障校园网的网络安全问题。在设备选型时，防火墙至少满足以下功能特性，如表4-7所示。表4-7防火墙功能特性支持的功能特性1、安全、成熟的特性。2、具有专有的硬件平台和操作系统平台。3、采用高性能的全状态检测（StatefulInspection）技术。4、具有优异的管理功能，提供优异的GUI管理界面。5、支持多种用户认证类型和多种认证机制。6、需要支持用户分组，并支持分组认证和授权。7、支持内容过滤。8、支持动态和静态地址翻译(NAT)。9、支持高可用性，单台防火墙的故障不能影响系统的正常运行。10、支持本地管理和远程管理。11、支持日志管理和对日志的统计分析。12、实时告警功能，在不影响性能的情况下，支持较大数量的连接数。13、在保持足够的性能指标的前提下，能够提供尽量丰富的功能。14、可以划分很多不同安全级别的区域，相同安全级别可控制是否相互通讯。15、支持在线升级。16、支持虚拟防火墙及对虚拟防火墙的资源限制等功能。17、防火墙能够与入侵检测系统互动。在防火墙的选型方面，校方要求选购性能强、稳定性高的防火墙，因为预留选购防火墙的资金充足，所以可以选择华为的USG6600，设备的详细参数如表4-8所示。表4-8USG6600详细参数基本参数防火墙类型 下一代防火墙产品型号 USG6660产品类型 企业级外形尺寸 442×415×130.5mm重量 22Kg硬件参数固定接口 2×10GE+8GE+8SFP扩展插槽 6×WSIC 网络与软件每秒连接数 350000新建连接数并发连接数 10000000并发连接数策略数 40000个策略数VPN 支持VPN功能防火墙性能 防火墙吞吐量:25Gbit/sIPSec吞吐量:18Gbit/s虚拟防火墙:500SSLVPN并发用户数:5000功能特点支持入侵防御(IPS)支持防病毒(AV)支持数据防泄漏(DLP)支持上网行为管理/审计支持基于应用的QoS优化支持服务器负载均衡支持智能策略管理支持Anti-DDoS 其它参数电源电压 100-220VAC最大功率 350W其它 产品形态:3UHDD:选配,可支持300GB双硬盘(RAID1),热插拔冗余电源:标配电源DC:(-48)-(-60V) 工作环境:温度:0-45℃(不含硬盘)/5-40℃(包含硬盘)湿度:10-90%非工作环境 温度:-40-70℃/湿度:5-95%可扩展插卡类型:WSIC:2×10GE(SFP+)+8×GE(RJ45),8×GE(RJ45),8×GE(SFP4)×GE(RJ45)BYPASS 4.5IP地址规划及VLAN规划在一个中大规模校园里，会有许多建筑楼，如果出现网络故障，会让网络管理者的维护时间大大增加。对IP地址规划和VLAN规划，不仅可以让整个校园网内部数据交换的速度提升，而且可以让网络管理者快速定位何处故障，大大较少了网络管理者的工作负荷。进行校园网的IP地址规划和VLAN规划时，必须和校园网的拓扑结构、部门区域等因素紧密相连，相互对应。因此在确定网络设计方案时，应该要全面统筹、详细设计、认真核对，并考虑到网络未来的扩展情况。某职业技术学院的核心网络主要是三大区域，分别为教学楼、办公楼和学生宿舍。各种建筑的名称都是以汉字命名，所以在VLAN的规划和IP地址规划方面有较多不便之处，因为VLANID号和IP地址都是数字。根据学校的具体情况，提出如下设计方案。4.5.1IP地址规划下面只对校园网里的学生公寓、教学楼、办公楼、机房中心进行IP地址规划，具体实施时按实际情况执行。现在对学校的学生公寓十栋，教学楼两栋，办公楼一栋，机房中心一栋进行IP地址规划。根据学校具体情况，编号采用A类IP地址私网网段，建筑由IP地址中的第二段用来表示，楼层由IP地址中的第三段用来表示。具体编号如下表4-1所示：表4-1IP地址规划建筑IP地址编号学生公寓/24-/24（A栋）/24-/24（B栋）/24-/24（C栋）/24-/24（D栋）/24-/24（F栋）/24-/24（G栋）/24-/24（H栋）/24-/24（I栋）/24-/24（J栋）/24-/24（K栋）办公楼/24-/24教学楼/24-/24（1号）/24-/24（2号）机房中心/24-/24例如，在表4-1中，IP地址，表示学生公寓B栋三层的某台终端设备；IP地址，表示办公楼五层的某台终端设备。4.5.2VLAN规划IP地址规划完成后，VLAN的规划可以按照IP地址规划的情况来确定。因为学院各专业学生的宿舍楼层较集中，所以学生公寓划分VLAN均按楼层划分，办公楼、教学楼和机房中心的VLAN划分方法也和学生公寓类似。根据上一节的IP地址规划，现在把VLAN规划如下：VLAN编号采用三位阿拉伯数字，楼层的VLANID就是由IP地址的第二段和第三段的阿拉伯数字组成，如表4-2所示。表4-2VLAN规划表建筑楼VLAN编号网关学生公寓111-115（A栋）121-125（B栋）131-135（C栋）141-145（D栋）151-155（E栋）161-165（F栋）171-175（G栋）181-185（H栋）191-195（I栋）201-205（J栋）-（A栋）-（B栋）-（C栋）-（D栋）-（E栋）-（F栋）-（G栋）-（H栋）-（I栋）-（J栋）办公楼211-215-教学楼311-316（1号）321-326（2号）-（1号）-（2号）机房中心411-415-例如，在表4-2中，学生公寓A栋的第二层VLAN编号为112，IP网段为/24，网关为；1号教学楼的第三层VLAN编号为313，IP网段为/24，网关为。

第5章校园网改造方案设计实现5.1校园网功能实现方法5.1.1设备的基本配置对设备进行命令配置时，首先对设备的名称进行配置，以核心层交换机LSW5、LSW31为例。（1）核心层交换机LSW5的基本配置：<Huawei>system-view[Huawei]sysnameLSW5[LSW5]aaa[LSW5-aaa]local-usertest123password cipher test123[LSW5-aaa]local-usertest123service-typetelnet[LSW5-aaa]local-usertest123privilegelevel15[LSW5-aaa]quit[LSW5]user-interface vty 0 4[LSW5-ui-vty0-4]authentication-mode aaa[LSW5-ui-vty0-4]idle-timeout 30 0（2）核心层交换机LSW31的基本配置：<Huawei>system-view[Huawei]sysnameLSW31[LSW31]aaa[LSW31-aaa]local-usertest123password cipher test123[LSW31-aaa]local-usertest123service-typetelnet[LSW31-aaa]local-usertest123privilegelevel15[LSW31-aaa]quit[LSW31]user-interface vty 0 4[LSW31-ui-vty0-4]authentication-mode aaa[LSW31-ui-vty0-4]idle-timeout 30 05.1.2Eth-trunk配置以核心层交换机LSW5为例，配置与核心层交换机LSW31的静态LACP链路聚合，增加链路带宽，实现链路备份，提高可靠性。（1）核心层交换机LSW5的配置：[LSW5]lacp priority 100[LSW5]interfaceeth-trunk1[LSW5-Eth-Trunk1]modelacp-static[LSW5-Eth-Trunk1]maxactive-linknumber2[LSW5-Eth-Trunk1]quit[LSW5]interfaceGigabitEthernet0/0/2[LSW5-GigabitEthernet0/0/2]eth-trunk1[LSW5-GigabitEthernet0/0/2]quit[LSW5]interfaceGigabitEthernet0/0/3[LSW5-GigabitEthernet0/0/3]eth-trunk1[LSW5-GigabitEthernet0/0/3]quit[LSW5]interfaceGigabitEthernet0/0/4[LSW5-GigabitEthernet0/0/4]eth-trunk1（2）核心层交换机LSW31的配置：[LSW31]interfaceeth-trunk1[LSW31-Eth-Trunk1]modelacp-static[LSW31-Eth-Trunk1]quit[LSW31]interfaceGigabitEthernet0/0/2[LSW31-GigabitEthernet0/0/2]eth-trunk1[LSW31-GigabitEthernet0/0/2]quit[LSW31]interfaceGigabitEthernet0/