【《基于HUAWEI-eNSP校园局域网设计》16000字】

引言近年来，随着教学手段的不断进步以及计算机网络技术在学校中应用的日益普及，校园网络化、教学智能化成为各学校竞相角逐的热点，校园网已成为各学校必备的重要信息基础设施，其规模和应用水平已成为衡量学校教学与科研综合实力的一个重要标志。发展校园局域网应有长远的规划，争取利用现有的网络技术和通信技术，将校园局域网建设成经济实用的现代化校园网，同时实现与其他兄弟院校之间的相互联系和信息资源共享，逐渐实现教育科研信息共享，各种功能齐全的网络管理系统。校园局域网项目实现后，将极大的提升学校在日常教学信息管理、人员办公自动化、计算机辅助教学、教学资源制作的自动化、图书和情报检索等重要服务上的效率。校园局域网规划设计目标：1.实现校园内部资源共享学校领导和教师能通过及时、准确地查询教学活动中的信息，掌握当前教学情况。并通过对信息的统计、汇总及分析，为教学、科研管理提供服务，同时对学校各级管理层对学校的规划、组织、决策提供了便捷的信息渠道和科学的管理手段，及时有效的指定、修改教学计划。2.完备的数据库管理系统和资源库能够支持大量的图文声像素材、多媒体课件片段，数据文件的收集、管理、存储的提取。数据算法需要检索方便，容错性强。3.以教学资源库为核心的教学自学环境为学校教师提供制作环境、备课工具、良好的教学演播环境以及教学评估机制。为学生提供自主学习、交互式协作学习、发现探究式学习的良好学习环境和提供自我评价机制。利用现代教育技术，提高学生的素质，改革课堂教学模式。4.现代化管理方法和管理手段加强对学校的人、财、物的管理，提高办公效率、降低成本消耗，逐步实现办公自动化、网络化。5.实现校园网与互联网的连接建立学校主页、教师主页、学生个人主页、电子邮箱、电子公告牌等信息发布窗口，发布有关教育教学信息，建立起学校、教师、家长、学生之间的信息交流平台，并逐步发展建设成为一个面向全省、全国的教育教学信息网站。1绪论校园网的建设将为“数字化校园”提供高可靠性的网络基础设施和高性能、高安全性的服务在一个平台上，让整个学校的教学、科研、管理和服务工作都实现信息化和网络化，使教师、学生、科研人员和行政管理人员等都可以最方便地实现信息的交流、进行协同工作和资源共享，搞好校园网的建设，有利于增强学校办学水平与社会竞争力。因此，建设高效实用的、安全的高级校园网，是大势所趋。本文将运用比较前沿的技术协议去部署校园网络，主要有VLAN技术的配置；GVRP协议的配置；Trunk技术的配置，MSTP协议的配置；VRRP协议的配置；OSPF动态路由协议跟静态路由协议的结合等等，保障网络运行的稳定性。防火墙使用双机热备技术，保障网络的高可靠性。严格按照等保2.0《信息安全技术网络安全等级保护安全设计技术要求》的要求，部署相关的网络安全防护措施，保障校园网的安全性。本次设计方案满足了一个园区网络的应有功能，此方案的优点有：控制简单；故障诊断和隔离容易；可扩展性强，方便服务。2计算机网络2.1计算机网络计算机网络，简单地说，就是通过电缆、电话线或无线通讯将两台以上的计算机互连起来的集合。它包括：计算机、网络操作系统、传输介质（可以是有形的，也可以是无形的，如无线网络的传输介质就是空气）以及相应的应用软件四部分。计算机网络如按网络的组建规模和地域范围来划分的话，可分为局域网(LocalAreaNetwork,LAN)、城域网(MetropolitanAreaNetwork,MAN)、广域网(WideAreaNetwork,WAN)。我们经常用到的因特网(Internet)属于广域网，校园网属局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密的方向发展。2.2局域网简介局域网，是指范围在几百米到十几公里内办公楼群或校园内的计算机相互连接所构成的，外部设备和数据库等互相联接起来组成的计算机通信网，简称LAN。2.2.1局域网的组成一个典型的局域网主要应包含如下四个部分：1.服务器（Server）：用来管理网络并为用户提供共享服务的计算机。与网络中的工作站相比，服务器通常具有更快的速率、更大的存储容量和更高的可靠性。此外，为了便于对网络进行管理，服务器中通常应安装相应的网络操作系统，如NovellNetware,WindowsNT/2000Server,UNIX等。2.工作站（Workstation）：用户使用的计算机，又称用户机或客户机。从网络构成的角度看，任何一台计算机（如286、386、486、PⅢ、P4等）都可作为工作站。当工作站登录到网络服务器后，可按规定权限存取服务器中的文件。此外，工作站通常还可以与网络中的其他用户进行通信或访问Internet。3.网络通信系统（NetworkCommunicationsSystem）：连接工作站和服务器的设备。这些设备通常应包括插在服务器或工作站中的网卡，它们应与通信介质相连；用于传输数据介质，如同轴电缆、双绞线、光纤等；专用的通信设备，如集线器（HUB）、局域网交换机、路由器等。4.网络操作系统（NetworkOperatingSystem）：对于稍在一点的网络来说，为了充分发挥网络的功能，以及更好地管理网络，通常应在服务器中安装网络操作系统。例如，基于安全起见，企业的几乎所有重要数据（如财务、销售等）都被保存在服务器中，并非每个人都能访问这些数据。通常情况下，只有企业负责人拥有最高权限，而其他人只能查看部分数据。此时就是借助网络操作系统来对资源和用户进行管理的，它规定了用户的权限，以及用户所能访问的资源。2.2.2局域网的拓扑结构所谓局域网的拓扑结构，是指局域网中各计算机之间的连接形式。如果抛开构建局域网时所采用的通信介质、通信设备等，局域网中各计算机之间的学用连接形式实际上只有两种，即总线型与星型。在总线型网络中，由于各计算机共享一条通信电缆，网络中某个节点出现故障，将导致整个网络瘫痪。因此，目前这类结构的网络已趋于淘汰。星型网络的优点是，当网络中某个节点出现故障时不会影响整个网络的运行。其缺点是每个计算机都要占用一条专用的通信线路，并且需要额外的通信设备，将导致成本的增加。但是，由于目前各种硬件设备价格都已非常便宜，所以，现在绝大部分局域网都采用了这种结构。本次设计我们使用的是星型结构，如图2-1所示：图2-1网络拓扑结构图2.2.3局域网规范事实上各种网络结构都是有章可循的，这就是局域网规范（或称为局域网标准）。从大的方面讲，根据网络的工作原理，目前的局域网大致可分为三类，即以太网、令牌环网和ARPNET网。其中，以太网是目前局域网中采用最多的通信协议标准，它采用CSMA/CD(载波监听多路访问/冲突检测)技术进行信息传递。该标准定义了在局域网中采用的电缆类型和信息处理方法，在互联设备之间可以10～100Mbit/s的速率传送信息包，目前约80％的局域网都是以太网。由于技术的发展和用户要求的多样性，以太网又被细分成了一系列规范。例如，10Base2以太网规范定义了构建以细同轴电缆为通信介质，网络通信速率为10Mbit/s，网络拓扑结构为总线型的局域网的技术指标；10BaseT以太网规范定义了构建以双绞线为通信介质，网络通信速率为10Mbit/s，网络拓扑结构为星型的局域网指标。一般来说，每种局域网规范都规定了如下几项指标：·网络通信速率，例如，10Mbit/s、100Mbit/s及1000Mbit/s等。·局域网的结构，例如，采用总线型或星型。·所使用的通信介质，例如，同轴电缆、双绞线或光纤。其中，每种介质中又包含了多个子类，例如，双绞线就包括了3类、4类、5类及超5类双绞线等。·所使用的网卡类型，其中包括数据传输速率与接口类型。例如，要构建10BaseT星型以太网，网卡的数据传输速率必须为10Mbit/s，且必须带有RJ-45接口。·网络中所能支持的最大用户数量。例如，构建廉价的细同轴电缆总线型网络时，每个网段中的用户数不能超过30。·距离要求。由于随着距离的增加，信号会逐渐衰减，因此，各种局域网规范都对各种距离（如通信设备与计算机之间，各种通信设备之间等）有明确的要求。例如，在构建以集线器为核心的双绞线星型网络时，集线器与计算机之间的距离通常不超过100m。2.2.4局域网的结构类型局域网的结构决定了局域网的管理方式，当我们创建一个局域网时，通常应遵循如下步骤来进行：⑴明确自己的需求，即希望局域网具备哪些功能。⑵在综合考虑局域网功能、现有软硬件的特点与价格、网络的可管理性与可扩充性等因素的基础上决定局域网的结构。⑶根据选定的局域网结构决定局域网的拓扑结构，以及应选择的相关设备和软件。⑷对局域网进行配置和维护。由此可以看出，决定局域网的结构是构建局域网时非常重要的一环。就目前来说，局域网的结构主要包括工作站/文件服务器结构、客户机/服务器结构、对等网结构及主机/终端系统等4种。1.工作站/文件服务器网络在这类网络中，某台运行特定网络操作系统的计算机被作为文件服务器，而网络中的其他计算机在登录该计算机之后，可以存取该计算机的文件。但是，文件服务器计算机并不进行任何网络应用处理，因此，服务器的功能非常单一。这类网络的主要优点包括如下两点：·数据的保密性和安全性较好，网络管理员可以按需要授予不同访问者不同的文件访问权限。·网络的可靠性较高，管理比较简单。但是，这类网络的缺点是非常明显的，它也主要包括如下两点：·网络效率较低。当网络中的大量用户都需要访问文件服务器中的数据时，网络效率会急剧下降。·网络中各工作站之间不能进行资源共享。·不能充分发挥文件服务器的运算能力。目前，这类网络已逐渐让位于客户机/服务器网络。2.客户机/服务器网络随着网络技术的发展和人们不断提出新的要求，网络应用中的重点早已不再局限于简单的资源共享。人们迫切要求服务器端能够完成一部分数据处理工作，即将任务同时分配给服务器和客户端共同完成。为此，人们开发出了目前最为流行的客户机/服务器网络。客户机/服务器网络系统的主要特点如下：·目前流行的操作系统基本都支持这种结构，如WindowsNT4.0Server、Windows2000/2003Server、Netware3.1以上版本等。·支持多种客户机，例如，客户机可以是一台PC或一台工作站，且客户机可以运行多种操作系统，如DOS、Windows3.x/95/98等。·不仅客户机与服务器能进行双向通信，各客户机之间也能直接进行通信，而无需服务器的参与。·由于很多应用任务都由服务器和客户机共同承担，因此，系统响应速度快，且对客户机的要求可以很低。例如，客户机可以是无盘工作站。·系统的可扩充性较好。当系统规模扩大时，不必重新设计系统，只需简单地将服务器和客户机连入网络即可。对等网络在对等网络中，没有专用的服务器，每个工作站既是服务器也是工作站，相互之间可以进行通信和资源共享。目前支持对等网络的操作系统主要有Microsoft公司的LANManager、Windows95/98及Novell公司的NetWareLite等。对等网络的主要优点是网络安装和维护非常简单，无需专用的服务器；其缺点是网络的安全性较差，且功能较弱。主机/终端网络在主机/终端网络系统中，用户通过与主机相连的终端在主机操作系统的管理下共享主机的内存、外存、中央处理器和各种输入/输出设备。经过几十年的发展，主机/终端系统已经非常成熟，在可靠性、系统容错、系统安全、开发手段、数据库管理等方面都形成了自己的一套十分完整的体系。因此，这类系统被广泛应用于民航、银行、军事等大型企业中。这类系统的主要缺点如下：·由于这类系统主要面向大型企业、事业单位，生产数量较少，因而系统价格通常很高。·由于终端功能比较弱（完全依赖于主机），将导致主机负荷比较重。局域网结构与局域网拓扑结构之间的关系应该说，局域网结构与局域网所采用的拓扑结构之间没有直接的关系。例如，对于一个小型的星型网络来说，如果网络中所有计算机都运行Windows98操作系统，那它就是一个对等望路。否则，如果某台计算机运行了WindowsNT/2000Server网络操作系统，那它就是一个客户/服务器网络。但是，局域网的结构对局域网拓扑结构的选择还是有影响的。例如，如果希望构建一个客户/服务器网络，且服务器的使用的频率很高，那么，如果选用总线型拓扑结构就不太合适了。其原因主要是由于此时服务器和工作站共享相同的通信通道，并拥有相同的带宽，因而无法实现对服务器的“特殊照顾”。因此，此时最好构建一个星型拓扑结构的交换网络，且使服务器与交换机之间的通信速率高于工作站与交换机之间的连接速率。2.2.5局域网中计算机数量的限制如前所述，局域网中所能连接的计算机数量首先取决于所采用的网络规范。例如，如果所构建是10BaseT双绞线星型以太网，则按照10BaseT规范，网络中总的计算机数量不得超过1023台。但是，在实际工作中，基于网络效率的考虑，网络中实际所能连接的计算机数量，要远远小于网络规范所规定的计算机的最大数量。例如，如果构建的是10BaseT双绞线星型以太网，网络中的计算机数量通常不能超过30台。那么，如果网络中的计算机数量较多，该如何解决这个问题呢？就目前来说，主要有以下几个方法：·将网络划分为几个网段，进行分段管理，从而平衡网络负荷，已扩充网络所能承载的用户。·选用速率更高的通信设备。例如，一个10BaseT网络（采用100Mbit/s集线器和5类双绞线，计算机中加装100Mbit/s网卡）当然要比一个10BaseT网络（采用10Mbit/s集线器和3类双绞线，计算机中加装10Mbit/s网卡）快。因此，这也意味着网络中能够容纳更多的计算机。·将共享式网络改造成交换式网络。在局域网中，以集线器构成的网络称为共享网络，此时局域网中的所有计算机共享一个带宽，并且在同一时间只能有一对计算机进行通信。对于交换式网络来说，它以交换机为核心通信设备。此时各计算机都可享有单独的带宽，并且可以同时建立多个通信链路。因此，这也意味着网络中能够容纳更多的计算机。3校园网总体规划设计网络的总体设计是建设校园网的工程蓝图，是搭建一个安全有效校园网一个最重要的任务。进行总体设计首先需要对象研究和需求调查，对学校的信息化要求有个明确的描述。其次在需求分析的基础上进行网络总体架构的规划，确定学校Internet服务类型，进而确定建设的具体目标，在这基础上来设计网络的拓扑结构，规划设计原则。3.1校园局域网需求本文校园网工程假设范围主要有政办公楼、教学楼、宿舍楼、图书馆、实验楼、信息科艺楼、学生宿舍、教学管理用房、食堂、体育馆、多功能厅等在内多个局域网部分。校园局域网的主要需求是高速、安全、便捷地传送信息，且能够安全稳定的运行，在某些时刻承受高强度的访问，至少能满足千人以上的网络应用需求。初期设计对响应时间不做特殊要求，但为了存储数据和备份数据，网管中心必须建立磁盘阵列。最大限度地考虑采用符合发展趋势的新技术，网络设备必须采用成熟先进的技术，所采用的标准要求统一，支持目前业界最新的网络协议，网络的标准必须符合国际/国家标准，并且拥有广泛的支持厂商；网络设备要求具有高可靠性、高稳定性和高可用性；网络设备要求提供足够的宽带，以适应校园网上信息结构多样化，要求支持虚拟网和第三层交换，形成分布式三层交换网；网络设备要求具有扩展性和可升级性，能够适应用户数量的扩展，能够保证未来网络升级时的平稳衔接，保证网络通信介质、网络基本设计核心的向后兼容性；要求网络易于管理，支持网络的拓扑视图、网段与端口的监控；网络流量及错误统计，具备计费管理、故障定位、诊断、修复和自动隔离等功能；要求网络具有高的安全性。在要求网络具有开放性的同时，要求保证其安全性。3.2网络总体架构规划1.网络技术选择目前常见的局域网类型包括：光纤分布式数据接口(FDDI)、异步传输模式(ATM)、千兆以太网等，它们在拓扑结构、传输介质、传输速率、数据格式等多方面都有许多不同。三种技术比较如下表1-1所示。表3-1网络技术对比表项目FDDIATM千兆以太网传输速率100M155M/622M10~1000M访问方式TokenProtocol信元交换带优先级的CSMA/CD介质类型双绞线、光纤双绞线、光纤双绞线、光纤价格高中中拓扑结构双环结构星型结构星型结构从表中明显看出千兆以太网技术优势明显，它支持10M、100M乃至1000M的各种通信速率，并有向更高带宽(10G及以上)发展的趋势。如今正在发展的IP交换技术也是基于以太网的，结合第三层交换机的路由功能，构造几个乃至几十、几百个G带宽的网络。另外，由于主要业务系统是建立在IP平台上的，以太网技术是IP网络最好的通信技术之一。采用IEEE802.1q标准以太网可以实现VLAN，而VLAN在很大程度上是保证网络高效和安全的重要手段。2.校园网络拓扑网络结构采用星形网络拓扑结构，以网络中心的核心交换机为中心节点。整个网络结构采用两层结构：汇聚层交换机用于汇接技术接入交换机，接入层交换机用于接到桌面的计算机，对信息点较多的部门可采用级联下一级普通交换机进行访问。校园网络工程涉及的主要建筑包括行政办公楼、教学楼、宿舍楼、图书馆、实验楼、信息科艺楼、学生宿舍、教学管理用房、食堂、体育馆、多功能厅等。校园网总拓扑设计如图3-1所示。图3-1校园网总拓扑图中心机房设置一台千兆核心交换机，负责整个校园网所有节点的数据交换，在教学楼，宿舍楼，图书馆，实验楼等地方分别设置二级交换机节点，接入层交换机通过二级节点与核心交换机连接。联网技术上采用三层的交换网络，主干网络采用交换式1000M以太网连接技术，主要用于各楼间核心设备之间以及上连到广域网设备。办公楼、教学楼、图书馆、宿舍楼之间采用光纤以全连接拓扑结构通过1000M交换机进行连接。接入层采用快速交换式以太网通过5类双绞线按照星型拓扑结构进行连接，使内网可以达到千兆。整个校园网设计有一个外网出口到Internet，带宽为1000M。3.3网络设备选型1.核心层网络核心层作为校园网系统的心脏，实现子网之间的路由，提供全线速的数据交换，当网络流量较大时，对关键业务的服务质量提供保证。另外，作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证网络稳定可靠的运行。因此在核心设备的选型和结构设计上必须兼顾考虑整体网络的高性能和高可靠性。考虑到学校网络应用的复杂性和多样性，核心层网络交换机的选型必须具备高性能、高可靠性和高可扩展性，主要包括，硬件如电源、管理模块、交换模块等是否支持冗余配置，软件如是否提供路由器冗余、端口聚合（PortTrunking）、生成树协议（STP、RSTP）等实现可靠性功能的协议。结合以上要求，本次设计选用高性能、多协议的华为S7706POE模块化交换机作为园区网络的核心。华为S7706POE交换机参数配置如下：产品类型：路由交换机、POE交换机应用层级：三层传输速率：10/100/1000Mbps交换方式：存储-转发背板带宽：3.84Tbps/5.12Tbps包转发率：1152Mpps/2880MppsMAC地址表：64K端口结构：模块化扩展模块：6个模块化插槽传输模式：支持全双工网络标准：IEEE802.3，IEEE802.3u，IEEE802.1s，IEEE802.1w/adVLAN：支持QOS：支持网络管理：支持Console、Telnet、SSH等终端服务，支持SNMPv1/v2/v3等网络管理协议，FTP、TFTP2.汇聚层网络汇聚层介于核心层和接入层之间，主要负责接入交换机的汇聚，并与核心交换机互联，分级实现校园网VLAN之间的路由，进行子网内部数据的交换、转发，提供流量控制和用户管理。根据网络拓扑结构，该院有教学楼、实验楼、学生宿舍区、服务器群、图书馆等5个汇聚节点，均选用华为S5720-36C-EI-AC交换机提供本区域内的第三层交换和路由功能。同时把整个网络区域根据部门或功能划分到这五个汇聚节点，进行VLAN划分和管理，并实现VLAN间的通信及访问控制。华为S5720-36C-EI-AC系列交换机是中端、中等密度的模块化交换机，它们提供了强大的2/3层智能服务。每台华为S5720-36C-EI-AC交换机配置4个复用千兆ComboSFP、4个万兆SFP+口，用于和核心层交换机以及部分关键汇聚层设备实现万兆互连，同时配置28个10/100/1000Base-T以太网端口，用于与接入层交换机的互联及今后发展的备用插槽。华为S5720-36C-EI-AC主要参数：产品类型：千兆以太网交换机应用层级：三层传输速率：10/100/1000Mbps交换方式：存储-转发背板带宽：598Gbps/5.98Tbps包转发率：222Mpps端口数量：36扩展模块：提供1个扩展插槽，可扩展支持业务插卡：2端口万兆SFP+接口板，2端口万兆RJ45接口板，8端口万兆SFP+接口板，8端口万兆RJ45接口板，2端口QSFP+接口板或堆叠卡传输模式：支持全双工网络标准：IEEE802.3，IEEE802.3u，IEEE802.3，IEEE802.3z，IEEE802.3x，IEEE802.3abVLAN：支持QOS：支持网络管理：SNMP管理信息库(MIB)II，SNMPMIB扩展，桥接MIB(RFC1493)3.接入层网络接入层作为用户接入网络的终端，该层主要功能是：提供各种标准接口将数据接入到网络和确定基于端口的VLAN成员及数据流过滤。接入层网络使用华为S5735S-L24T4S-A每个交换组最多提供144个终端的接入。其主要功能是为园区网用户提供高性价比的10/100/1000兆网络接口，实现用户的宽带接入。并与汇聚层通过千兆链路互连，为接入用户提供高速上连。华为S5735S-L24T4S-A主要参数：产品类型：千兆以太网交换机应用层级：二层传输速率：10/100/1000Mbps包转发率：51/126Mpps交换方式：存储-转发背板带宽：336Gbps/3.36Tbps端口数量：28个MAC地址表：8K3.4防火墙选择校园网边界防火墙选择华为USG6635E-AC主要参数：防火墙类型：下一代防火墙网络端口：2×40GE(QSFP+)+12×10GE(SFP+)+16×GE传输速率：10/100/1000Mbps控制端口：1×USB2.0VPN支持：支持丰富高可靠性的VPN特性，如IPSecVPN、SSLVPN、L2TPVPN、MPLSVPN、GRE，提供自研的VPN客户端SecoClient，实现SSLVPN、L2TPVPN和L2TPoverIPSecVPN用户远程接入，支持DES、3DES、AES、SHA、SM2/SM3/SM4等多种加密算法入侵检测：入侵防御与Web防护：第一时间获取最新威胁信息，准确检测并防御针对漏洞的攻击。可防护各种针对web的攻击，包括SQL注入攻击和跨站脚本攻击等5.服务器选择服务器群组统一使用华为FusionServerPro5885HV5，上面搭建win2003Server企业高级版。主要参数：CPU类型：IntelXeonGoldCPU型号：IntelXeonGold6230CPU频率：2.1GHz智能加速主频：3.9GHz标配CPU数量：4颗最大CPU数量：4颗内存类型：DDR4内存容量：256GB硬盘接口类型：SAS标配硬盘容量：21.6TB硬盘描述：12块1.8TBSAS硬盘内部硬盘架数：最大支持25块2.5英寸硬盘综上所述，我们的网络设备选型方案为，核心层采用华为S7706POE核心交换机，汇聚层采用华为S5720-36C-EI-AC智能交换机，接入层采用华为S5735S-L24T4S-A网管交换机，华为USG6635E-AC防火墙以及华为FusionServerPro5885HV5服务器。3.5校园网安全策略及安全防御措施随着网络的快速发展，网络安全问题日益突出，黑客攻击、网络病毒等在日常日常生活中屡见不鲜，各种各样的安全问题开始困扰网络管理人员。这些安全问题主要表现在：不良信息的传播，病毒的危害，非法访问，恶意破坏，口令入侵等[1]。随着关键应用的普及和深入，网络用户的快速增加，校园网络从早期教育、科研的试验网角色已经转变成为教育、科研和服务并重的带有运营性质的网络，如何保证网络信息安全已经成为影响学校的存与发展亟待解决的关键问题之一。另外，一个高效、实用且安全的网络环境，对于教师、学生、管理人员的信息传递，信息搜集，教育学习等都有着十分重要而深远的意义[1]WilliamStallings著.网络安全基础.北京:清华大学出版社,2020.07[1]WilliamStallings著.网络安全基础.北京:清华大学出版社,2020.07本次设计的三层校园局域网中采用边界防火墙、核心交换机在内的二层安全防御。第一层保护有边界防火墙实现。防火墙上配置访问控制列表，通过访问规则，控制和过滤经过路由器的数据流，隔离外网和内网，防止外部用户对内部网络不安全的访问，可有效防止各服务器受到来自外部的破坏。第二层防护由核心交换机提供。核心交换机上部署防火墙模块，可有效地防止内部攻击[2]（美）yusufbhaiji(著)田果;刘丹宁(译).网络安全技术与解决方案（修订版），人民邮电出版社，2020-01-01.35-57[2]（美）yusufbhaiji(著)田果;刘丹宁(译).网络安全技术与解决方案（修订版），人民邮电出版社，2020-01-01.35-57本章小结本章通过对现有主要网络技术的分析与比较，确定本校园网络采用千兆以太网技术路线，并设计出校园网络总拓扑，选择了硬件设备的品牌型号，同时对校园网络的安全形式和防御措施做出描述。4VLAN划分及参数配置4.1VLAN划分VLAN（VirtualLocalAreaNetwork）称为虚拟局域网，是指在逻辑上将物理的LAN分成不同小的逻辑子网，每一个逻辑子网就是一个单独的播域。简单地说，就是将一个大的物理的局域网（LAN）在交换机上通过软件划分成若干个小的虚拟的局域网（VLAN）。因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址，以便在交换机内部的MAC数据库建立MAC地址表，而广播不能跨越不同网段[3]。[3]梁广民，王隆杰编著.思科网络实验室CCNP(交换技术)实验指南.电子工业出版社，2020年5月.42-52[3]梁广民，王隆杰编著.思科网络实验室CCNP(交换技术)实验指南.电子工业出版社，2020年5月.42-52[4]（美）戴伊（Dye,M.A.），（美）麦克唐纳（McDonald,R.）,(美)鲁菲（Rufi,A.W.）著.思科网络技术学院教程.CCNAExploration：网络基础知识.人民邮电出版社，2019年1月.46-88VLAN基本上可以看成一个广播域，在物理网络的基础上，能根据需要灵活地设置出许多逻辑网络，从而摆脱了物理地域限制，以及因为位于布线柜或者路由器附近而造成的对用户组的限制，能根据用户实际需要灵活地建立逻辑的专用网络，使网络更安全、更便于管理、更畅通和带宽更有保证。根据学院校园网使用实际情况，提出校园网VLAN的建设规划，见表2-1。表4-1VLAN规划表子网名称IP网段默认网关备注服务器群/24Vlan200学生宿舍/24Vlan46实验楼/24Vlan36教学楼/24Vlan21图书馆/24Vlan16办公楼/24Vlan11信息楼/24Vlan41教学管理用房/24Vlan76食堂/24Vlan81体育馆/24Vlan84多功能厅/24Vlan874.2VLAN配置交换机分为二层交换机和三层交换机两种类型，其中二层交换机的工作原理是：（1）当交换机从某个端口收到一个数据包，它先读取包头中的源MAC地址，这样它就知道源MAC地址的机器是连在哪个端口上的[5]；[5]梁广民，王隆杰编著.思科网络实验室CCNP(路由技术)实验指南.电子工业出版社，2019年3月.77-82[5]梁广民，王隆杰编著.思科网络实验室CCNP(路由技术)实验指南.电子工业出版社，2019年3月.77-82[6]孙江宏主编.局域网组建及应用培训教程[M].北京:清华大学出版社,2018.6[7]刘正勇主编.校园网系统集成技术与应用[M].北京:清华大学出版社,2018.6[8]赵松涛主编.网络技术基础教程[M].北京:人民邮电出版社,2019.6[9]刘小辉主编.网络硬件完全手册[M].重庆:重庆大学出版社,2017.5[10]张公忠主编.现代网络技术教程[M].上海:电子工业出版社,2020.1[11]谭珂主编.局域网组建与管理实手册[M].北京:中国青年出版社,2018.2[12]林瑞初.计算机网络工程基础[M].北京:清华大学出版社,2018.3[13]林全新，周围等《计算机网络工程[M].北京:人民邮电出版社,2019.5[14]赵腾任，孙江宏《网络工程与综合布线培训教程[M].北京:清华大学出版社,2019.5（3）如表中有与这目的MAC地址对应的端口，把数据包直接复制到这端口上；（4）如表中找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机器回应时，交换机又可以学习一目的MAC地址与哪个端口对应，在下次传送数据时就不再需要对所有端口进行广播了。不断的循环这个过程，对于全网的MAC地址信息都可以学习到，二层交换机就是这样建立和维护它自己的地址表。可以看出二层交换机没有路由功能，当不同的子网进行通信是要借助路由器实现数据包的转发，所以当子网数量较多时，路由器的接口数量就成了一个瓶颈，而三层交换机就能解决这一缺点。三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，加入路由功能也是为这个目的服务的。因此具有路由功能的快速转发的三层交换机就成为首选。核心层的功能主要是实现骨干网络之间的优化传输,核心层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在核心层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。基于端口vlan的划分这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可[6]。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。4.3核心交换机配置4.3.1核心交换机配置GVRP所有交换机都通过中继线相连，在核心交换机上设置了一个管理域，校园网上所有的交换机都加入该域，这样同一管理域中的所有交换机就能够了解彼此的VLAN列表。交换机HX1配置（HX2同）如图4-1所示：图4-1GVRP配置设置该交换机接口为normal模式是指允许在本交换机上创建、修改、删除VLAN及其它一些对整个GVRP的配置参数，同步本GVRP中其它交换机传递来的最新的VLAN信息；normal模式可以传送本交换机创建的VLAN，可以把本交换机的VLAN传输到其他配有normal类型的trunk端口，也可以接收对端交换机创建的VLAN，HX2交换机配置同上，其他分支交换机也设置为normal模式。4.3.2配置TrunkTrunk是一个在交换机之间、交换机与路由器之间传递VLAN信息和VLAN数据流的协议，将交换机之间直接相连的端口配置为Trunk模式，就可跨越交换机进行整个网络的VLAN设置。HX1交换机配置如图4-2所示（HX2同）：图4-2Trunk配置4.3.3创建vlan及端口划分在交换机上建立VLAN信息，它就会通过GVRP通告所有配置了GVRP的交换机。另外，在相应的交换机上配置将各自的端口划入各个VLAN。配置如图4-3所示：图4-3vlan及端口划分配置4.3.4配置IP为了实现VLAN间的三层交换，再给各VLAN分配相应的IP地址。采用分配静态IP地址的方法，在核心交换机上设置如图4-4所示：图4-4IP配置4.3.5配置MSTPMSTP是一种多生成树协议，可以允许在一个交换环境中运行有多个生成树，每个生成树都称之为一个实例，实例时间的生成树之间彼此都是独立的。一个实例相当于是一棵树，实例越多生成树也就越多。在大部分的情况下，运行多个生成树实例的好处就是在于链路上的负载均衡，运行两个或者多个生成树实例时，就可以实现负载均衡了，同时又可以节约系统的开销。HX1、HX2、JXL、BGL、XXL交换机配置如图4-5所示：图4-5MSTP公共配置MSTP主备根桥配置如图4-6所示：图4-6MSTP主备根桥配置4.3.6配置VRRPVRRP是一种虚拟路由冗余协议，可以解决在局域网中配置的静态网关出现单点失效的一种路由协议。通过配置出口网关的备份，可以保证出口网关的高可靠性。主交换机失效后，备份交换机能够立即顶替主交换机的工作，从而保证数据的不丢失，提高网络的稳定性。HX1配置如图4-7所示：图4-7HX1VRRP配置HX2配置如图4-8所示：图4-8HX2VRRP配置4.3.7配置DHCPHX1、HX2配置如图4-9所示：图4-9DHCP配置其他vlanif接口配置同上。4.3.8路由配置将HX1、HX2交换机的直连网段宣告到ospf区域0里面。配置如图4-10所示：图4-10OSPF路由配置4.4配置汇聚交换机这里以BGL交换机为例，配置如图4-11所示：图4-11BGL交换机配置4.5接入交换机配置这里以JR-1交换机为例，配置如图4-12所示：图4-12JR-1交换机配置5防火墙配置防火墙路由器在网络中实现内外网转换，即校园网内所有主机要访问外网必须要经过所有地址转换。防火墙使用双机热备技术，以达到冗余备份，提高网络稳定性。防火墙通过静态链路与外网相连，使用双出口链路。通过千兆以太网链路与内网相连。5.1基本接口与IP设置FW1配置如图5-1所示:图5-1FW1接口与IP配置FW2配置如图5-2所示：图5-2FW2接口与IP配置5.2双机热备配置在边界防火墙上配置双机热备技术，通过在网络出口位置部署两台边界防火墙，以保证内部网络与外部网络之间的正常通讯。为了防止防火墙设备发生意外的故障而导致整个网络业务的中断，可以使用这用方式形成双机热备。当某一台设备发生故障时，另一台设备就会接替它的工作，从而保证网络的稳定性。配置如图5-3所示：图5-3防火墙双机热备配置5.3校园网边界防火墙路由配置把连接内网的网段宣告到ospf的区域0里面，然后用默认路由访问外网。启用了双机热备之后接下来的配置只需要在FW1防火墙（主设备）上配置，主设备会将配置同步到备份设备。配置如图5-4所示：图5-4防火墙路由配置5.4通过NAT技术实现内网访问internet配置NAT使源地址转换成出接口公网地址，以实现内网访问Internet。配置如图5-5所示：图5-5防火墙NAT配置5.5安全策略配置配置防火墙安全策略使得内网可以访问Internet，但Internet不能访问内网。配置如图5-6所示：图5-6防火墙安全策略配置5.6模拟ISP环境出口交换机配置ISP配置如图5-7所示：图5-7ISP配置6服务器配置6.1DHCP服务器配置配置DHCP服务可以给局域网内的电脑自动分配IP地址，免掉繁杂的手动分配可以避免IP地址冲突，保证局域网的稳定性。在一个大的网络环境中，一般都把DHCP服务部署在服务上，这样可以减少一些路由器或者交换机的资源损耗。DHCP服务器的IP配置如图6-1所示图6-1DHCP服务器的IP配置6.2WEB服务器配置WEB服务器用于部署学校的校园网系统，为学校的教育提供资源共享、信息交流和协同办公。突坡传统的教育方式，提高老师和同学们的教育水平。WEB服务器的IP配置如图6-2所示图6-2WEB服务器配置6.3DNS服务器配置DNS服务器部署DNS域名解析服务，将网站的IP地址域名绑定，访问网站时可以不用输入长长的IP地址，输入域名就可以访问，因为DNS服务会将输入正确的域名转换成IP地址访问。DNS服务器配置如图6-3所示图6-3DNS服务器配置6.4FTP服务器配置FTP服务器上部署FTP服务，为学校提供文件传输和共享平台，提高工作效率。FTP服务器配置如图6-4所示图6-4FTP服务器配置7网络安全控制校园网络安全问题是网络建设的重点之一，本次设计中采用边界防火墙、安全准入控制系统在内的二层安全防御。第一层保护有边界防火墙实现。选用华为下一代防火墙，防火墙上配置访问控制列表，通过访问规则，控制和过滤经过防火墙的数据流，隔离外网和内网，开启入侵防御功能模块和防病毒功能模块，防止外部用户对内部网络不安全的访问，可有效防止各服务器受到来自外部的破坏。第二层防护由安全准入控制系统提供。网络安全准入系统进行了专门的设计，可以确保为访问网络资源的所有设备如PC电脑、笔记本电脑和智能手机等提供足够的保护，以达到防御网络安全威胁。网络安全准入系统通个安全感知平台、运维审计、基线核查等系统对全网进行安全管控。能够对接入内部网络的终端进行严格、高细粒度的管控，保证合法以及安全的终端入网，全过程进行内网的安全严格管控、全方位的操作审计，实现内网的标准化管理，降低内网安全管理漏洞的风险，从源头对用户以及终端进行管控，真正有效做到内网安全管理。7.1访问控制表目前，大多数园区网用户使用的是微软操作系统，一些病毒程序或漏洞扫描软件通过UDP端口135、137、138、1434和TCP端口135、137、139、445、593、1434、2500、4444、5554、5800、5900、6346、6667、9393、9995、9996等进行病毒传播和攻击，可通过设置如下访问控制列表阻止病毒传播和黑客攻击。防病毒的ACL一般应用在接入层的设备上，下面以配置JR-1交换机的ACL为例。如图7-1所示：图7-1JR-1交换机ACL配置7.2对服务器群的服务进行控制网内有各种各样的应用服务器，如WWW服务器、DNS服务器、FTP服务器等，为了便于管理，这些