《基于目前局域网技术的农业产业研究园网络规划与仿真研究》10000字（论文）

基于目前局域网技术的农业产业研究园网络规划与仿真研究摘要本文以建设现代农业园区网络工程为背景，研究了现代农业产业园区网络建设的特点。根据产业园区的实际情况和未来发展，结合目前局域网建设的主流技术，设计了完整的园区网络建设方案，提出了安全部署等关键技术的选择，对各类网络连接设备的选型、网络IP地址的规划和管理进行了详细设计，制定了切实可行的实施方案，确保园区网络高效、稳定、安全运行。关键词：智慧园区；三层架构；OSPF；VLAN；园区网规划与设计目录TOC\o"1-2"\h\u2334第1章绪论 第1章绪论1.1课题研究背景与意义随着信息科技高速发展对人们的生产、生活带来的重大影响，大量的智慧型科技现代化园区纷纷破土而出。而利用云计算技术、大数据技术、物联网技术、移动互联技术等新兴技术融合形成跨平台服务的现代农业产业园也是智慧型科技现代化园区的代表之一，功能多样化的农业示范园区是作为现代集约型农业示范窗口而产生的，是我国传统农业向现代农业转型的必然之路。其对区域农业的生产和农业现代化的发展具有带头示范的作用，这就决定了其在满足农业生产这一基本功能下，不断呈现出多层次、多功能的特点。如具有标准种植，加以示范的功能；农业气象科学宣传普及的作用等REF_Ref6370\r\h[1]，在此前提下不同系统之间实现信息互通，打破原本存在的信息孤岛对园区发展就显得尤为重要。因此，本文从当前农业园区的实际情况和未来发展出发，根据当前智慧园区网络建设的主流技术，设计了较为完整的农业产业园区网络建设方案，努力将产业园区网络建设成为高可用、高稳定、可管理、扩容升级顺畅的高效网络。为今后数字农业的发展和建设打下坚实的基础。建成后的产业园区网络应将园区的基础工业管理、人事、科研、办公自动化等系统连接起来，实现信息共享，提供多种服务互联互通。1.2国内农业产业园区及园区网现状《国家农业科技园区发展规划（2018-2025年）》着力集聚创新资源，培育农业农村发展新动力，着力拓展农村创新创业、成果展示、科技创新、成果转化与推广、农民职业培训等功能。强化创新链，支撑产业链，激活人才链，提升价值链，共享利益链，努力推动园区成为农业创新驱动发展试验区，农业供给侧结构性改革试验区和农业高新技术产业集聚区，打造中国特色农业自主创新示范区。到2020年，构建以国家农业科技园区为导向、省农业科技园区为支撑，层次鲜明、功能互补、特色鲜明、创新发展的农业科技园区体系。到2025年，建成农业科技成果培育转化创新高地、农业高新技术产业和服务业集聚的核心载体、农村群众创业创新的重要阵地，城乡一体化发展和农村综合改革示范模式[1]。而我国园区网络化和信息化建设具有起步晚、发展快、跨越大的特点。目前，大多数园区网络的体系结构、规模和应用还不完善，网络设备和计算机设备的功能没有得到最大化。因此，如何合理地管理和利用设备，进一步发挥各种设备的潜在价值，实现园区各业务系统的集成，提高网络使用效率，将是下一步网络建设的重点工作[3]。1.3网络建设目标与原则1.3.1网络建设目标农业产业园区局域网建设的总体目标是在国内成熟的智能园区网络技术的指导下，构建高交换容量的园区网络系统。该网络能够实现全面的地理覆盖，满足办公和生产生活的基本要求，确保产业园区网络建设成为高可用、高稳定、可管理、扩容升级的高效网络[2]。1.3.2网络建设原则本文从园区的实际需求出发，强调设计方案与当地实际情况相结合，考虑网络的高性能、高可靠性、可管理性和可扩展性。设计原则如下：1、高可靠性及稳定性农业产业园区的网络应能提供连续可靠的网络服务，因此必须考虑园区网络的整体结构进行高可靠性设计。网络设计中应提供多级冗余备份，一旦出现故障，可在最短时间内恢复。2、高性能设计方案时，在充分了解网络应用需求的前提下，要综合考虑网络用户的增长和使用设备的数量。在此前提下，进行网络设计和规划，有效延长网络使用时间。3、统一性和易于管理性在农业产业园区网络建设中，要遵循当前产业园区发展的实际情况。在设计过程中，需要充分考虑所设计的网络体系结构的可管理性，提供及时发现和消除网络故障的能力。方便了网络管理人员的维护和管理，降低了网络运维的操作难度。良好的扩展性考虑到未来网络技术的不断发展和网络设备的增长，以便顺利过渡到新的技术和设备。因此，在产业园区网络的设计中，有必要考虑产业园区网络在未来发展中的便利性，以支持更多的用户需求。因此，在网络设计中，需要采用模块化、层次化的网络拓扑设计方法，使网络结构易于扩展REF_Ref6638\r\hREF_Ref6638\r\h[3]1.4建设需求1.4.1网络多出口需求网络多出口能够实现与因特网连接；采用NAT技术实现对互联网的访问。1.4.2网络安全需求：为保证网络出口安全，建立了严格的访问控制列表（ACL），不允许外部网络访问内部服务器。互联网是一个开放的网络，产业园区网络接入互联网后，必然会存在影响网络安全的不确定因素，因此出口安全主要是防范网络攻击和网络病毒为了保证出口网络的安全，建立了严格的访问控制列表（ACL），产业园区网络接入互联网后，不可避免的存在不确定因素，所以出口的安全性非常重要，主要是防止网络攻击和网络病毒[3]。内网安全：核心层和汇聚层之间严格的访问控制列表。内网主要作用是防止网络设备受到的攻击和病毒的传播，同时也要进行访问认证REF_Ref6638\r\h[3]。1.4.3管理需求1、能通过远程连接管理所有网络设备，并对网络中的主要设备和干线进行监控。2、通过跨物理子网的可配置虚拟网络可以有效地限制网络接入，使每个用户在不同的接入方式下都能获得自己的权限。3、实现全网IP地址动态分配。4、实现各网段之间的通信方便一个管理软件统一管理。

第2章关键技术本设计方案涉及的产业园区网络建设的关键技术包括：端口聚合、动态路由OSPF协议、VLAN、trunk、VTP、NAT、DHCP等，具体介绍如下。2.1端口聚合EtherChannel端口聚合（Ethernetchannel）又称以太网通道，广泛应用于交换机连接，尤其是核心与汇聚之间的连接。端口聚合的优点是将两个或多个端口聚合形成一个聚合组，以达到负载共享和可靠性连接的目的，但同时会丢失路径冗余。端口聚合有三种聚合方法：手工汇聚、动态Lacp汇聚和静态Lacp汇聚。在实际应用中，端口聚合需要基本的配置保持一致，也就是聚合的端口要么是Trunk端口要么是Access端口，不同端口不能混入一个聚合组。端口聚合主要包括VLAN、端口属性、STP、QoS等基本配置。端口聚合技术可以通过低成本的多端口聚合来提高带宽。例如，通过端口聚合使用中继链路类型，可以将两个独立的1000M端口聚合为2000M链路。其成本仅为多占用端口和连线，但能有效提高子网的上下行速度，更有效地消除网络接入瓶颈。另外，trunk能够自动容错链路和带宽均衡，这样即使trunk中的一条链路发生故障，其他链路也能正常工作，提高了系统的可靠性REF_Ref6638\r\h[3]。2.2VLAN与TRUNK目前新建产业园区网络大多采用千兆网络技术，核心层交换机采用三层交换机，支持VLAN技术，突破了地理环境的限制，工作组可以在子网之间自由移动，而不改变子网的物理连接，组成逻辑工作组或虚拟子网[8]。2.2.1VLAN概述VLAN是一种将交换机划分为逻辑应用网络的技术，它可以接收同一VLAN中的广播包，而其他VLAN的端口不能接收广播包。VLAN提供以下一些特性：简化了终端的删除、添加和更改。2、控制通信活动，协商VLAN中的广播和多播端口。。3、VLAN可以限制广播域中的用户接入数，控制VLAN的大小和配置，控制用户数REF_Ref7027\r\h[4]。2.2.2TRUNK的介绍Trunk是一种点到点链路封装技术，其主要功能是通过一条链路连接多个交换机，从而扩展VLAN配置此外，通过中继技术和上级交换机的分层也可以扩展端口数，实现近似堆叠的功能，从而扩展整个网络。Trunk的VLAN范围默认为1-1005，可以修改，但必须有一个Trunk协议。当使用中继时，相邻端口上的协议应该是一致的[5]。2.3网络地址转换（NAT）NAT是针对IP地址不足的问题，提出的一种有效的地址转换方法。2.3.1NAT概述在网络内可以自定义私网IP地址，所有的计算机根据定义私网IP地址进行通信。当内部计算机要与外部网络进行通信时，具有NAT功能的设备负责内部IP地址的转换2.3.2NAT的应用环境内部网络通过NAT与外部互联网隔离。外部用户不知道NAT设置的内部IP地址，通过NAT功能可实现多用户共享合法的IP地址。2.3.3设置NAT的条件具有NAT功能的路由器应至少有一个内部端口和一个外部端口。内部端口连接使用私网IP地址，内部端口可以是任何路由器端口。外部端口连接到外部网络。外部端口可以是路由器上的任何端口[6]。2.4VTPVTP（VLAN中继协议）是一种VLAN中继协议，也称为虚拟局域网中继协议。它最重要的作用是最小化在进行更改时可能出现的配置不一致性VTP（VLAN中继协议）是一种VLAN中继协议，其最重要的作用的是尽量减少更改时可能出现的配置冲突。它是OSI参考模型第二层的通信协议，主要管理同一域中VLAN的建立、删除和重命名，VTP通过网络中的ISL帧或Cisco专用DTP帧保持VLAN配置的一致性。VTP可以在系统级添加、删除和调整VLAN，并自动向网络中的其他交换机广播信息。VTP客户机将自动了解VTP服务器的VLAN信息。[7]。2.5DHCPsnoopingDHCPSnooping技术可以用来检测和监控DHCP信息，其主要功能是隔离私有DHCP服务器，防止DHCP服务器引起的网络震荡。当交换机开启DHCP监听时，将监听DHCP消息并从DHCP请求和DHCPACK中提取IP地址和MAC地址。此外，DHCP侦听允许将物理端口设置为受信任或不受信任的端口。受信任的端口可以正常接收和转发DHCPoffer消息，不受信任的端口将丢弃接收到的DHCPoffer消息。这可确保客户端从合法的DHCP服务器获得IP地址[8]。此外，DHCP侦听允许指定是否信任物理端口。受信任端口正常发布DHCP消息，不受信任的端口将丢弃接收到的DHCPoffer消息。保证客户从正确的DHCP服务器接收IP地址。确保网络安全安全。2.6动态ARP监测(DAI)CiscoDAI又称动态ARP监测。CiscoDAI为交换机提供IP地址和MAC地址之间的动态绑定关系，Dai是基于DHCP窥探绑定表的，对于没有DHCP的模块，可以根据DAI的DHCP监听绑定表添加静态ARP访问列表，可以通过对VLAN配置DAI。可以打开或关闭相同VLAN接口的DAI。控制ARP请求报文的数量以禁用ARP攻击。[9]。2.7源IP防护(IPSourceGuard)IP源安全基本作用是防止IP地址欺骗。基于DHCP监控，根据DHCP监控绑定表生成IP源绑定表，自动在端口上加载相应的策略来检测流量，发送符合要求的数据，丢弃不符合要求的数据。对于IP地址固定的服务器，应使用静态IP源绑定将静态绑定条目添加到IP源绑定表中。IP源防护只支持二层接口，包括访问接口或中继接口。不可靠端口上的IP源过滤有两种保护策略，一种是源IP地址过滤，另一种是源IP地址过滤和源MAC地址过滤[10]。2.8动态路由协议OSPFOSPF（openshortestpathfirst）是互联网上应用最广泛的内部网关路由协议，主要为自治系统（AS）提供动态路由。其特点如下:能适应各种规模的网络，最大能支持数百个路由器。当快速收敛网络的拓扑结构发生变化时，会立即发送更新消息以同步自治系统中的变化。3、OSPF中没有自循环。根据采集到的链路状态，采用OSPF算法计算路由，保证算法本身不会产生自环路由。4、区域划分允许将自治系统划分为多个区域，进一步抽象区域间传输的路由信息，从而减少占用的网络带宽。5、等价路由支持到同一目的地的多条等价路由[11]。

第3章网络总体设计3.1网络整体架构某产业园区网络主要包括internet上联、服务器区、办公区、科普展示区、产品展示销售区、种植采摘区、休闲度假区、生产体验区共八个功能区，并且各个功能区直接与核心区相连。下面是网络框架图3.1图3.1网络框架图3.2产业园区网网络逻辑层次产业园区网络采用核心层、汇聚（分发）层以及接入层的网络架构。3.2.1核心层核心层提供高速三层交换的骨干。核心层不连接终端系统，不实施影响高速交换性能的功能，原则上不配置低速接口模块，提供自身的高可靠性。3.2.2汇聚/分发层汇聚/分发层具备以下功能：1、本功能区各VLAN间的路由；2、各功能分区IP地址汇聚；3、在功能区和功能区部署安全访问策略，根据需要部署功能服务模块。3.2.3接入层提供对网络的访问、并通过VLAN定义访问和隔离，特点如下：接入层的接入端口规划容量根据实际的使用情况具有一定的扩展性2、接入层实现用户的802.1X认证和基于用户的策略分配；3、接入网络的终端系统的安全性检查[12]。3.3IP地址规划3.3.1私网IP地址规划核心区域设备管理地址：/24服务器区管理地址：/24服务器区设备互联地址：/24核心区域服务器地址：/24非核心区域设备管理地址：28/243.3.2NAT地址分配为将局域网内私网地址转化为公网地址采用NAT技术，地址分配结果如表3.1。表3.1NAT地址分配/24外网出口IP-NAT地址池3.3.3设备管理地址分配为方便设备远程管理为交换机进行设备管理地址的分配，分配结果如表3.2。表3.2设备管理地址分配Switch0VLAN1Switch1VLAN1Switch2VLAN1Switch3VLAN1Switch4VLAN153.3.4VLAN划分及网关地址根据应用进行逻辑划分不同的VLAN以方便网络规划与管理，不同区域划分结果如表3.3所示。表3.3VLAN划分及网关地址服务器区域VLAN11/2454科普展示区VLAN12/2454产品展示销售区VLAN13/2454种植采摘区VLAN14/2454休闲度假区VLAN15/2454生产体验区VLAN16/2454办公区VLAN17/24543.4网络设备接口描述规则图3.2总体设计图该园区内部动态路由采用OSPF(OpenShortestPathFirst)协议，具体设计如下：1、分区OSPF进程与第一区网络区分，选用100为进程号；2、路由器及核心交换机的网络区域，属于骨Area0；3、核心交换机与各楼栋的汇聚交换机的互联接口及相关汇聚交换机分属于不同的非主干区域；4、本区域路由的路由汇总都设计在各个区域的边界，达到减小路由数量的目的[13]。本项目OSPF非主干区域具体设计如下表3.4：表3.4OSPF非主干区域具体设计表区域范围OSPF区域值服务器区域10科普展示区11产品展示销售区12种植采摘区13休闲度假区14生产体验区15办公区16internet上联173.5交换设计3.5.1端口聚合1、聚合端口的接口模式设为:Desirable，以手工方式来完成配置；intrangefa0/*-*；nosh2、聚合端口所用的ChannelProtocol保持一致；channel-group*modeon；3、聚合端口都通过Trunk端口与各区域互联，且允许访问的VLAN保持一致；switchportmodetrunk/access4、聚合端口上的连接端口启用EtherchannelGuard功能，当有误配置的端口时，将置于Err-disabled状态下，达到防止二层环路的目的[14]。3.5.2TrunkTrunk主要是保障交换设备互联的二层链路上VLAN之间的通信，其设计遵循原则如下：1、二层交换设备之间采用Trunk互连；switchportmodetrunk；2、Trunk协议采用dot1q协议；switchporttrunkencapsulationdot1q；3、Trunk两端的设备接口Duplex和Speed必须保持一致；4、通过Trunk端口两端的VLAN号必须一致[15]；3.5.3VTP设计本项目中，所有区域共享一个VTP域，汇聚交换机作VTP服务端，运行VTPServer，vtpdomainadmin；vtpmodeserver；vtppasswordadmin接入交换机作为客户端，运行VTPClient。vtpdomainadmin；vtpmodeclient；vtppasswordadmin3.6网络安全设计3.6.1设备安全加固本项目中，既可以通过设备的Console/Aux控制端口对路由器和交换机实行本地管理，也可以通过思科设备支持的访问协议Telnet或SSH对设备进行远程管理，其远程访问论证使用设备本地数据库进行。同时，思科路由器和交换机也可以通过关闭一些不必要的服务来增强网络设备自身的安全性，也可在明确需要是开户，如通过noservicepad及noservicefinger关闭端口扫描、非法登陆[16]。3.6.2二层网络安全为保障二层网络的安全，本项目采用以下三种技术手段进行：1、交换机开启DHCPSnooping，将侦听DHCP报文，以确保客户端是从合法DHCPServer获取到的正确IP地址，防止虚假DHCP服务器对网络的危害，其作用如下：（1）通过建立端口的信任关系，隔绝非法的dhcpserver，信任端口可以正常转发DHCP数据包，而非信任端口对收到的DHCPoffer和DHCPack后，不进行转发，做丢包处理。（2）防止ARP病毒的蔓延传播，需要与交换机DAI配合。（3）通过手工指定或dhcpack包中的ip和mac地址，来建立和维护一张dhcpsnooping的绑定表，以此来限制非法用户的连接，具体如下配置：ipdhcpsnoopingipdhcpsnoopingvlan10,11,12,13,14,15,16,17,18ipdhcpsnoopinginformationoptionallow-untrustedipdhcpsnoopingdatabaseflash:dhcp_snooping.dbipdhcpsnoopingdatabasewrite-delay30ipdhcpsnoopingdatabasetimeout信任端ipdhcpsnoopingtrust不信任端ipdhcpsnoopinglimitrate1002、动态ARP检测（DAI）动态ARP检测DAI称为DynamicARPInspection，思科DAI实现对ARP攻击的主动防御的具体过程如下：（1）在交换机上建立安全的ARP缓存库；（2）非信任端口的ARP应答将被拦截和比对，比对接口如果是不真实的，该应答抛弃。（3）信任端口不被拦截和比对[17]。具体如下配置：swmaswitchportport-securityswitchportport-securitymac-address000A.411E.B83Dswitchportport-securitymaximum1允许最高5个MAC地址switchportport-securityviolation[protect|restrict|shutdown]3.7DHCP服务本项目未部署独立的DHCP服务器，以核心层交换机为DHCP服务器，当注册用户联入网络时，DHCP服务器将为用户分配合法的IP地址，并对其MAC地址进行静态绑定，从而保证用户在租赁期内从DHCP服务器得到的都是相同IP地址，这种用户IP地址的唯一性及静态绑定，为项目中的上网行为审计系统提供了审查及追查依据[18]，配置命令如下一例：ipdhcpexcluded-address0ipdhcppoola1netdefault-routerdns-serverex

第4章区域详细设计4.1核心层网络核心区域，用来与其它各区域设备实现互联互通，主要实现大数据流的高速转发。4.1.1核心区设备型号核心区选用思科WS-C3560-24PS交换机其具体参数如表4.1:表4.1核心设备型号产品型号WS-C3560-24PS产品类型企业级,三层,固定配置,快速以太网型背板带宽32Gbps包转发率38.7Mpps传输方式存储转发方式硬件参数接口类型24个10/100Mbps接口,2个SFP千兆位以太网端口接口数目26传输速率10M/100M/1000Mbps扩展插槽堆叠支持不可堆叠网络与软件网络标准IIEEE802.3,IEEE802.3u,IEEE802.3ab,IEEE802.1p,IEEE802.3af,IEEE802.1Q,IEVLAN支持支持VLAN功能双工传输支持全双工MAC地址表12k网管功能支持网管功能,SNMP管理信息库(MIB)II,SNMPMIB扩展,桥接MIB(RFC1493)其它参数电源电压220V最大功率550W外形尺寸301×445×44mm4.1.2核心区拓扑结构及连接方式本项目中核心区网络拓扑如图4.1:图4.1核心设备区网络拓扑结构图4.1.3路由设计本项目IGP协议使用的是OSPF协议，其进程号为1。Loopback地址及直连网段均通告到OSPFarea0。4.2出口区4.2.1设备型号及其数量互联网出口区设备选择如表4.2:表4.2internet上联区域设备型号区域名设备型号设备数量互联网出口区cisco281124.2.2互联网出口区拓扑及连接方式互联网出口区网络拓扑如图4.2:图4.2互联网出口区网络拓扑图互联网出口区网络对端设备选型如下表4.3：表4.3互联网出口区域与对端设备互联区域本端设备本端IP对端设备对端IP互联网出口WS-C3560-24PScisco2811WS-C3560-24PScisco28114.2.3路由协议本区域路由协议也使用OSPF，其进程号为10。Loopback地址及直连网段也通告到OSPFarea0。4.2.4端口聚合EtherChannel聚合的方式将上联端口聚合捆绑在一起，其模式采用手动模式modeon。出口路由器和城市热点设备之间也采用端口聚合的方式进行互联，其端口聚合也采用手动modeon模式[19]。4.3服务器区4.3.1拓扑及连接方式服务器区域网络拓扑结构图如图4.3：图4.3服务器区网络拓扑结构图4.3.2互联接口信息服务器区互联接口信息如表4.4:表4.4服务器区互联接口信息表设备接口对端设备接口邮件服务器CiscoWS-C2960-24TTFastEthernet0/1DNS服务器CiscoWS-C2960-24TTFastEthernet0/2ftp服务器CiscoWS-C2960-24TTFastEthernet0/34.3.3路由协议本区域使用OSPF协议，其进程号10。直连网段、服务器网段、管理地址及互联地址也通告进OSPFarea10，路由汇总在区域边界进行，以降低路由条数量及减少路由抖动[20]。4.3.4网络安全服务器区防火墙严格的ACL配置以确保服务器区域安全。4.4其他区其他区域网络拓扑结构图如图4.4：图4.4其他区域网络拓扑结构图

第5章模拟器测试本项目在模拟器完成搭建后，就要进行相应测试，在网络环境中先加载相关软件后，进行模块测试和整体测试。进行测试功能特性，也要考察整个园区网系统运行的性能能否达到预期的目标。鉴于园区网系统庞大，测试结果不能一一列出，下面列出测试结果的一部分。5.1出口联通测试通过对出口路由环回地址及外部路由环回地址的ping验证出口路由连通性。验证结果如图5.1、图5.2。图5.1ping出口路由环回地址图图5.2ping外部路由环回地址5.2园区内联通测试通过ping园区内部直连设备验证园区内部网络与无线连接设备联通情况，若网络联通则能正常ping通有对应IP的设备。验证结果如图5.3、图5.4。图5.3园区内部直连设备与无线连接设备图图5.4VPN连接测试图5.3其余测试利用showipnattranslations命令查看出口路由的NAT转化表进行NAT测试与验证，验证结果如图5.5。 图5.5NAT地址转换测试图通过对邮件服务器与DNS服务器的相关配置之后可以使园区网络内能够进行邮件的收发，邮件收发验证如图5.6。图5.6邮件接收测试图通过对相应路由器telephony-service配置可实现CiscoVOIP

电话的使用，验证图如5.7、图5.8。图5.7电话拨通测试图5.8电话接通测试通过客户端设备远程Telnet登陆交换机进行远程设备管理，远程管理验证如图5.9。图5.9telnet远程管理通过对ftp服务器与DNS服务器的相关配置之后可以使园区网络内能够进行ftp文件传输与下载，ftp成功配置验证如图5.10。图5.10ftp登陆验证第6章结论在设计之初，就参考智慧园区网络规划方案，结合目前农业产业园实际划分情况，决定设计一套基于思科设备的网络仿真模拟。在设计时选用CiscoPacketTracer做为本次设计实现软件，在此基础上进行设备选型与相应脚本编写使所规划的网络可以实现所需的基本功能。在查阅了大量相关幕资料后，确定了本次设计的主体思路。整个设计以思科WS-C3560-24PS交换机为核心层与汇聚层交换设备，思科WS-C2960-24TT为接入层交换设备,关于网络安全方面在设计中使用ACL控制访问关系，使用DHCPSnooping与动态ARP检测保证二层交换机的安全，经过一段时间的工作，最终完成了该农业产业园网络规划的设计工作，并实现了项目所需的全部功能。通过本次设计，不仅加深了课题所涉及的通信知识，更重要的是实践经验和过程中发现的问题。在整个设计实施过程中遇到的问题和困难留下了宝贵的经验和深刻的教训。这些经验教训如下:1、在设计前对所要设计的局域网整体规划，确定一个清晰的设计思路。2、在选择设备时，要仔细阅读设备说明书，不仅要考虑设备的功能实现，还要考虑设备在整个系统中的兼容性。3、建立的网络体系必须合理、稳定，最好所需要的网络协议在进行仿真时可以顺利运行，为脚本运行提供可靠的测试平台。在整个设计结束后也暴露出来了许多存在的缺陷与弊端，具体如下:因所选用的设备非当前最新的主流使用设备可能在真正实施时实用性存在争议。CiscoPacketTracer在仿真时存在DHCPSnooping协议支持配置但运行存在问题。网络虽然实现了基本功能但因设备选型的原因存在带宽不足的缺陷。

参考文献科技部.《国家农业科技园区发展规划(2018-2025年)》解读

[J].科学中国人·下旬刊,2018,(2)杨建超,现代农业产业园规划设计研究与实践[D].安徽农业大学,2017,张海秀.硕士论文高校校园网规划与设计[D].青岛科技大学,2018.沈俊.探析我国高校网络建设及问题[J]课程教育研究:外语学法教法研究2016(000)002.张立云.计算机网络基础教程[M]，北京:清华大学出版社，2009.8.

CiscoSystem.思科网络学院技术教程[M]，北京:人民邮电出版社，2010.7.高玉雷.中小型局域网组建与管理教程[M],机械工业出版社,2004.9.王笑娟,邹仁明,彭隽等.OSPF在校园网中的实现[J].中国科技信息,2010,(6):93-95.陶辰生.Vlan中的Trunk技术在局域网中的应用[J].煤炭技术,2005(07):100-101.姚合生,孙家启等.计算机网络应用技术[M]，安徽:安徽大学出版社，2005.9.赵振国，杨英鹏，周海波.计算机网络原理与实践[M],电子工业出版,2007.9.崔北亮.非常网管一网络管理从入门到精通[M],人民邮电出版社，2008.7.符水波.校园网系统维护与故障判断[M],清华大学出版社，2007.6.陈洪彬。局域网组建与维护[M]，兵器工业出版社,2010.1.杨运涛.无线局域网技术在校园网建设中的应用[J].计算机安全,2014,(9):59-63.杨运涛.基于数据链路层的计算机网络安全策略及实现[J].网络安全技术与应用,2014,(5):180-182.杨运涛.无线局域网技术在校园网建设中的应用[J].计算机安全,2014,(9):59-63.王丽雯,龚尚福,马旭.基于三层交换技术的虚拟局域网规划[J].科技信息,2008,2:63-68.葛苏慧.第三层交换技术在校园网设计中的应用探究[J].中国科技信息,2008,(20):110-111.张立峰.基于防火墙和三层交换机的校园网络安全策略研究[D].电子科技大学,2011.童星.青岛理工大学(临沂)校园网规划与设计[J].信息与电脑(理论版),2013,(12):38-39.

致谢转眼间，四年的大学生生生涯就要结束了。值此论文完成之际，谨向四年的时间里所有帮助过我的老师致以最诚挚的谢意。首先，感谢我的导师张老师，在毕业论文的选题、资料的搜集整理、思路的建立和内容写作上，都给予了细心的指导。让我学到了非常专业的知识和技术，导师平易近人的交往方式和渊博的学识，令我钦佩难忘。再次向我的导师表示最衷心的感谢和诚挚的敬意！此外,要感谢班主任和诸位代课老师在学习和生活上给予的照顾和帮助。再次，感谢我的家人在我学习过程中的全力支持。最后，衷心感谢参加论文评审的各位老师。

附录远程管理intvlan1ipaddnoshenablepasswordadminlinevty04loginpasswordadminexenconftintvlan1ipaddnoshenablepasswordadminlinevty04loginpasswordadminexitenconftintvlan1ipaddnoshenablepasswordadminlinevty04loginpasswordadminexitenconftintvlan1ipaddnoshenablepasswordadminlinevty04loginpasswordadminexitenconftintvlan1ipaddnoshenablepasswordadminlinevty04loginpasswordadminexit`enconftintvlan1ipaddnoshenablepasswordadminlinevty04loginpasswordadminexitenconftintvlan1ipaddnoshenablepasswordadminlinevty04loginpasswordadminexitenconftintvlan1ipaddnoshenablepasswordadminlinevty04loginpasswordadminexitenconftintvlan1ipaddnoshenablepasswordadminlinevty04loginpasswordadminexitenconftintvlan1ipadd0noshenablepasswordadminlinevty04loginpasswordadminexitenconftintvlan1ipadd1noshenablepasswordadminlinevty04loginpasswordadminexitenconftintvlan1ipadd2noshenablepasswordadminlinevty04loginpasswordadminexitVLAN网关intvlan11ipadd54noshexintvlan12ipadd54noshexintvlan13ipadd54noshexintvlan14ipadd54noshexintvlan15ipadd54noshexintvlan16ipadd54noshexintvlan17ipadd54noshexintvlan10ipadd54noshexintvlan18ipadd54noshexVTP配置vtpdomainadminvtpmodeservervtppasswordadminvtpdomainadminvtpmodeclientvtppasswordadmin链路聚合intrangefa0/1-3switchporttrunkencapsulationdot1qswmtchannel-group2modeonnoshintrangefa0/2-5switchporttrunkencapsulationdot1qswmtchannel-group1modeonnoshintrangefa0/6-9switchporttrunkencapsulationdot1qswmtchannel-group4modeonnoshintrangefa0/2-5switchporttrunkencapsulationdot1qswmtchannel-group3modeonnosh生成树spanning-treevlan1,10,11,12,13,14,15,16,17,18priority0dhcp配置ipdhcpexcluded-address0ipdhcppoola1netdefault-routerdns-serverexipdhcpexcluded-addressipdhcppool1netdefault-router54dns-serverexipdhcpexcluded-addressipdhcppool2netdefault-router54dns-serverexipdhcppool3netdefault-router54dns-serverexipdhcppool4netdefault-router54dns-serverexipdhcppool5netdefault-router54dns-serverexipdhcppool6netdefault-router54dns-serverexipdhcppool7netdefault-router54dns-serverexipdhcppool8netdefault-router54dns-serverexipdhcpexcluded-address172.16.204ipdhcppoolVoIPnetdefault-routeroption150ipexDHCPspooningipdhcpsnoopingipdhcpsnoopingvlan10,11,12,13,14,15,16,17,18ipdhcpsnoopinginformationoptionallow-untrustedipdhcpsnoopingdatabaseflash:dhcp_snooping.dbipdhcpsnoopingdatabasewrite-delay30ipdhcpsnoopingdatabasetimeoutipdhcpsnoopingtrustipdhcpsnoopinglimitrate100ARP配置swmaswitchportport-securityswitchportport-securitymac-address000A.411E.B83Dswitchportport-securitymaximum1允许最高5个MAC地址switchportport-securityviolation[protect|restrict|shutdown]OSPFrouterospf1net55a11net55a12net55a13net55a14net55a15net55a16net55a17net55a18net55a1net55a0nat配置access-list110denyip5555access-list110permitipanyanyipnatpoolcknetmaskipnatinsidesourcelist110poolckipnatinsidesourcelist110interfaceFastEthernet0/1overloadintf1/0ipnatoutsideintf0/0ipnatinsideintf0/1ipnatinsideaccess-list110denyip5555access-list110permitipanyanyipnatpoolcknetmaskipnatinsidesourcelist110poolckipnatinsidesourcelist110interfaceFastEthernet0/1