基于ensp对乡村教学网络规划与设计

第一章前言1.1概述随着信息技术的迅猛发展，网络已经成为当代社会不可或缺的基础设施，尤其在教育领域，校园网络的建设与应用对于提升教学质量和科研水平具有重要意义。校园网络不仅为师生提供了便捷的信息交流平台，还极大地丰富了教学资源和手段，促进了教育信息化的发展。然而，尽管我国部分高校的校园网络已具备较高的技术水平，许多乡村学校的网络建设仍处于相对落后的状态，无法满足现代化教学的需求。现有网络技术陈旧、设备老化、资源利用率低下等问题普遍存在，导致校园网络的功能未能充分发挥，甚至造成资源浪费。为了改变这一现状，乡村教学网络的规划和设计显得尤为迫切。通过引入先进的建设理念和技术手段，构建一个功能完善、安全稳定、高效运行的校园网络，不仅可以提升学校的整体教学质量，还能为师生提供更好的学习和工作环境，从而推动乡村教育的信息化进程。1.2建设目的随着信息时代的来临，信息网络在我国正处于高速发展的阶段。学校作为教育的前沿重地，为我国未来各行业人才提供重要的学习环境。因此，校园网络的规模和应用水平是学校教学环境和科研力量的重要组成部分。学校需要优质的网络系统，提供稳定高效的服务。目前国外内的学校的发展建设需要强调网络化的技术条件，规划设计校园网有利于分享学校信息、教学资源等，让学校紧跟信息时代的发展脚步。建设校园网，有利于人才培养，让信息化素质教育渗透到学生日常学习中，增强学生对信息化技术的动手，动脑能力，紧跟信息时代。建设校园网，有助于增加学校教学质量，让它为教育教学提供先进的教学手段，并让网络技术应用到教学中，丰富教师的教育、教学方式。建设校园网络是基础教育信息化的根本途径，丰富多彩、健康清新的校园网络文化将成为学校培养学生思维方式、道德品质、创造能力的新环境，成为面向全体师生，培养全面发展的高素质人才的崭新平台。1.3主要研究内容1.3.1基本内容本设计要求对乡村教学各个建筑，各个楼层，各个教室的网络布线区域进行详尽的调查并进行网络需求分析，为乡村教学设计一个功能完善、安全稳定、高性能的园区型局域网。本设计要求即将建成的网络系统能够为学校师生提供安全高效、稳定可靠的基础网络服务，以满足学校教学和管理等工作的各种需求。1.3.2预期设计效果设计完成后给出网络系统需求分析和详细的网络系统设计说明书，并给出规范的逻辑拓扑结构图、虚拟子网划分及地址分配方案、设备选型及其投资预算等。并使用模拟器搭建一个该设计的模型网络，以证实该设计的可行性，同时给出主要设备的配置代码，测试网络基本的连通性。

第二章需求分析2.1用户需求分析教师：教师大多在使用校园网络时希望网络流畅，也就是说他们的需求是在内网访问校园数据库时候，上传或下载资料时候不卡，这时就是需要链路带宽高、负荷能力好的网络设备。学生：校园网络速度快，保证平时上网的网速流畅和稳定性。行政人员：行政人员则希望能够有效监控学生上网内容以及上网安全等，在出现断电断网的情况下能够使数据不发生丢失或者损坏等，还有方便管理校园网络。2.2网络安全需求分析网络中应当建立一套完整可行的网络安全和网络管理策略，对网络服务请求内容进行控制，使非法访问在到达主机前被拒绝；加强合法用户的访问认证，同时将用户的访问权限控制在最低限度；备份和灾难恢复，强化系统备份，实现系统快速恢复；加强网络安全管理，提供系统全体人员的网络安全意识和防范技术；防范入侵者的恶意攻击与破坏；保护用户通过网上传输过程中的机密性、完整性。2.3网络技术需求分析乡村教学的网络部署总体要求就是要具有可靠性、灵活性、稳定性、经济性。网络构造需要具有灵活性和容忍性，以便于后期公司规模扩大所需要增加设备、网络节点的要求；要具有经济性，架构的部署方式及选型要贴近校园人员办公、日常所使用网络的情况而选择设备；要具有可靠性和稳定性，如果学校三天两头的断网或者出现网络丢包、速度慢等情况，那么十分影响用户的上网体验性，因此技术上和物理上需要达到双冗余，确保公司业务的正常运行。2.4环境需求分析乡村教学位于南通如皋，校本部占地面积71万平方米，教学行政房面积21万平方米。现有教职工1000余人，学生10000余人。该校本部主要有教学楼、综合楼、宿舍楼、食堂等建筑群组成。教学楼分为3栋高层教学楼和9栋普通教学楼：卓越楼为21层，内设有教室、实验室、办公室、会议室、创业基地和培训中心；药学楼为18层，内设有教室、实验室、办公室和学校旗下子公司；临床教学楼为13层，内设有教室、实验室和办公室；普通教学楼为101~109馆，层数3~5层，设有教室、实验室、办公室等，用途不一；学校内还有高职教学楼、国际学院和研究生楼。综合楼1栋，主要用于教学与办公。宿舍楼分为男生宿舍、女生宿舍、研究生宿舍和留学生宿舍，宿舍楼层不一，男A栋有4层，每层17间宿舍，男B栋有5层，每层16间宿舍，男C栋有6层，每层12间宿舍等。食堂4间。

第三章总体规划设计3.1网络设计规划此次方案设计，对乡村教学老的网络架构进行重新以及部分综合布线改造，此次网络拓扑结构所使用的是三层架构。包含高端防火墙设备、三层交换机、汇聚交换机、接入交换机等。按照网络部署方案的标准结构工划分了接入层、汇聚层以及核心层为中心的校园网络结构的架构。为了在改造的过程中不让现网的业务出现问题或者中断的情况发生，此时将以平滑稳定的方式进行，为了让网络在搭建中的稳定安全性，在配置网络设备的时候使用了；（VLAN）虚拟局域网；（portchannel）冗余技术；(ACL)访问控制列表；(NAT)内外网网络地址转换等相关操作配置。新时代网络信息技术、网络安全技术、数据冗余备份技术已逐步体现起来。随着校园内容以及与教育网对网络需求也就越来越大，所以乡村教学网络需要建设一个与时俱进的可用性高、冗余性强的企业网络，只有这样校园的网络架构才会越安全，防止数据泄密。在本文中，我将结合现代化最先进信息技术，综合布线等来实现乡村教学校园网设计与实施需求。在网络技术十分发达状态的今天，构建一个具有信息安全化的校园已经十分重要了，根据校园的自身情况，制定合理的建设方案，是校园信息化建设最为重要的一步。所以，合理的利用网络协议策略，搭建一个稳定，可靠，高性能的校园网络。3.2网络设计原则在校园网的网络建设中我们需要的不仅仅是采用国际上先进的技术，而且还要保证系统的安全行、可靠性和实用性以及性能高和带宽高的同时要管理简单的原则选择网络整体架构，经过内部分析探讨后决定采用的网络架构为“核心层—汇聚层-接入层”的三层层次化的网络设计模型。1、主干网核心层：核心层是网络的高速交换骨干，是网络枢纽中心，负责整个网络的联通，完成不同网络之间的数据传输，所以核心层应该具备：可靠、高效、冗余性、容错性可管理性等特性。因此采用高带宽、高性能的千兆以上的交换机并且使用双机冗余热备份。2、局域网汇聚接入：汇聚接入层的用户流量，进行数据分组传输的汇聚、转发和交换机；根据接入层的用户流量和需要可以本地路由、过滤、流量均衡、QoS优先级管理，以及安全机制、IP地址转换、流量整形、组播管理等；根据处理结果将用户流量转发到核心交换层或在本地进行路由处理；3、终端接入层：接入层是提供本地网络的工作接入，提供数据的汇聚、传输等功能。主要提供接口让终端用户连接到网络，因此接入层的设备选择具有低成本和端口数量多的普通交换机。4、楼宇局域网设计：各个楼宇部署汇聚交换机及接入交换机，根据楼宇来进行网段划分，实现网络隔离的作用，确保安全性。5、互联网接入层：互联网通过电信运营商光纤接入实现通信。互联网接入设备主要是为了内网上网进行地址转换及外部运营商线路接入，同时可对一些内网地址及外网非法IP进行阻断。主要起到以互联网的一个衔接作用。3.3安全规划设计进入新的历史时期，计算机及网络的应用更加广泛，与此同时，影响网络安全的因素也在不断增加，各种网络犯罪活动也频繁发生。面对这一严峻形势，网络安全管理者应当对计算机及网络系统进行全面的评估，制定科学的网络安全整体解决方案，积极采取有效策略，构建包括防火墙、病毒检测和反应体系在内的网络安全防护体系，合理优化计算机及网络配置，最大限度地降低网络安全风险，维护网络用户的合法权益。1、建立一套完整可行的网络安全和网络管理策略3、对网络服务请求内容进行控制，使非法访问在到达主机前被拒绝。4、加强合法用户的访问认证，同时将用户的访问权限控制在最低限度5、备份和灾难恢复，强化系统备份，实现系统快速恢复。6、加强网络安全管理，提供系统全体人员的网络安全意识和防范技术。7、防范入侵者的恶意攻击与破坏8、保护企业信息通过网上传输过程中的机密性、完整性3.4IP地址和VLAN规划表3-1地址规划名称VLAN/接口地址网段网关FW1GE1/0/02001::2/64/GE1/0//30/GE1/0/2/24/FW2GE1/0/02002::2/64/GE1/0//30/GE1/0/2/24/FW6GE1/0/054/GE1/0/254/核心交换机1GE0/0/1/24/GE0/0/6/24/核心交换机2GE0/0/1/24/GE0/0/6/24/教学楼10192.168.10/24综合楼20192.168.20/24研究生楼30192.168.30/24食堂40192.168.40/24卓越楼50192.168.50/24药学楼60192.168.60/24男生宿舍楼70192.168.70/24女生宿舍楼80192.168.80/24服务器测试机90192.168.90/24HTTP服务器1000/24DNS服务器1001/24FTP服务器1002/243.5设备选型3.5.1核心交换机选型校园网的核心网络层设备选型经过分析后推荐采用华为公司专门为园区核心网络生产的S12708交换机，交换机吞吐量大，转发速率高，具体参数如下：表3-2核心交换机S12708交换容量28.8/102.4Tbps包转发率3600/24000Mpps主控板槽位数2交换网板槽位数2业务板槽位数4风扇框2架构CLOS架构冗余设计主控、交换网板、电源、风扇框（前后及左后风道）虚拟化支持CSS2交换网硬件集群，集群主控1+N备份，1.92Tbps集群

带宽，4跨框时延，支持1：N的虚拟化能力无线管理支持随板AC，每单板最大可管理4KAP，整机管理10KAP支持AP接入控制、AP域管理和AP配置模板管理支持射频模板管理、统一静态配置和集中动态管理支持WLAN基本业务、QoS、安全和用户管理图3-1华为S127083.5.2汇聚层交换机网络汇聚层建议校园网内部使用华为S7706交换机，S7706交换机具有很强的扩展性和兼容性，适合作为汇聚各类网络设备的交换机，交换机具体参数如下：表3-3S7706参数交换容量19.2/48Tbps包转发率1440/16560Mpps冗余设计主控、电源、监控板、风扇框（前后及左后风道）无线管理支持随板AC

支持AP接入控制、AP域管理和AP配置模板管理

支持射频模板管理、统一静态配置和集中动态管理

支持WLAN基本业务、QoS、安全和用户管理

支持AC功能分层部署用户管理支持统一用户管理

支持PPPoE、802.1X、MAC、Portal认证方式

支持基于流量和时长计费方式

支持分组分域分时授权方式路由特性支持IPV4静态路由、RIP、OSPF、IS-IS、BGP4等

支持IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+

支持IPv4/IPv6等价路由、策略路由、路由策略

支持IPv4和IPv6双协议栈

支持Pingv6、Telnetv6、FTPv6、TFTPv6、DNSv6、ICMPv6

支持IPv4向IPv6的过渡技术，包括：IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道iPCA质量感知支持直接对业务报文标记以获得丢包数量和丢包率统计数据，实时统计，零开销

支持二三层网络网络级和设备级丢包数量和丢包率统计SVF简化运维支持将256个Client节点（接入交换机）、最大支持4K个AP虚拟为一台设备管理

支持2层AS架构

支持与第三方厂商混合组网管理缓存容量支持每端口200ms数据缓存数据中心特性支持TRILL，FCoE（DCB），EVN，nCenter，EVB，SPB，VXLAN等数据中心特性OpenFlow支持多控制器

支持高达九级流表

支持高达256K流表

支持Grouptable

支持Meter

支持OpenFlow1.3标准互通性VBST基于VLAN生成树协议（和PVST/PVST+/RPVST互通）

LNP链路类型协商协议（和DTP相似功能）

VCMPVLAN集中管理协议（和VTP相似功能）图3-2S7706交换机3.5.3接入层交换机华为的接入层交换机S5736-S交换机是一款三层的交换机，它具备万兆的上行接口和千兆的下联接口，适合终端接入使用。具体参数如下：表3-4接入交换机参数包转发率660Mpps交换容量2.56/25.6Tbps固定端口24个100M/1G/2.5G/5G/10GBase-T以太网端口，4个10GESFP+PoE++支持，单端口最大90W供电扩展插槽1个扩展插槽，支持2*25GE或8*10GE光、4*40GE光子卡MAC特性支持MAC地址自动学习和老化

支持静态、动态、黑洞MAC表项

支持源MAC地址过滤VLAN特性支持4K个VLAN

支持GuestVLAN、VoiceVLAN

支持GVRP协议

支持MUXVLAN功能

支持基于MAC/协议/IP子网/策略/端口的VLAN

支持1:1和N:1VLANMapping功能IP路由静态路由、RIPv1/2、RIPng、OSPF、OSPFv3、ECMP、ISIS、ISISv6、BGP、BGP4+、VRRP、VRRP6互通性VBST基于VLAN生成树协议（和PVST/PVST+/RPVST互通）

LNP链路类型协商协议（和DTP相似功能）

VCMPVLAN集中管理协议（和VTP相似功能）图3-3华为S5720系列交换机3.5.4防火墙网络出口USG防火墙为用户提供统一的外网连接业务，避免各部门各自建立出口链路。设备推荐使用华为USG6600E防火墙，该防火墙是一款万兆的出口防护设备，具有入侵检测、主动防御等安全能力。具体参数如下：表3-5防火墙参数固定接口12×GE(RJ45)+8×GE(SFP)+4×10GE(SFP+)+1×USB3.0产品形态1U存储选配2.5英寸形态硬盘，支持SSD240GB/960GB，HDD1TB一体化防护集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤、反垃圾邮件等多种功能于一身，全局配置视图和一体化策略管理应用识别与管控识别6000+应用，访问控制精度到应用功能，例如：区分微信的文字和语音。应用识别与入侵检测、防病毒、内容过滤相结合，提高检测性能和准确率。带宽管理在识别业务应用的基础上，可管理每用户/IP使用的带宽,确保关键业务和关键用户的网络体验。管控方式包括：限制最大带宽或保障最小带宽、应用的策略路由、修改应用转发优先级等入侵防御与Web防护第一时间获取最新威胁信息，准确检测并防御针对漏洞的攻击。可防护各种针对web的攻击，包括SQL注入攻击和跨站脚本攻击等。APT防御与本地/云端沙箱联动，对恶意文件进行检测和阻断。

支持流探针信息采集功能,对流量信息进行全面的信息采集，并将采集的信息发送到网络安全智能系统(HiSecInsight)进行分析、评估、识别网络中的威胁和APT攻击。

加密流量无需解密，联动HiSecInsight，实现对加密流量威胁检测。

主动响应恶意扫描行为，并通过联动HiSecInsight进行行为分析，快速发现，记录恶意行为，实现对企业威胁的实时防护。云管理模式设备自行向云管理平台发起认证注册，实现即插即用，简化网络创建和开局

远程业务配置管理、设备监控故障管理，实现海量设备的云端管理云应用安全感知可对企业云应用进行精细化和差异化的控制，满足企业对用户使用云应用的管控需求。图3-4华为USG6600E系列防火墙3.6网络拓扑图图3-5网络拓扑图本设计方案中的校园网络的网络架构划分为三层类型：核心层、汇聚层、接入层。伴随着乡村教学的校园业务增加，校园网在网络架构规模越来越庞大，为了进一步提升校园网络及其其他学校在互联网上的热度以及社会推广度，乡村教学在网络内网上设立独立web服务器、DNS服务器、FTP服务器等。现如今按照乡村教学的网络需求，我们所规定的三层网络架构是为搭建网络拓扑实用方案，这样的搭网环境会让整个架构层次变得分明，结构变得更为简单，出现问题的时候，容易定位在故障点。此次校园拓扑的优点：1、扩展性：可将三层次网络分别进行扩展变化，严格按照核心层、汇聚层、接入层架构实施。2、可冗余性：在汇聚设备上使用VRRP技术，可以更好提高乡村教学校园网络可行性。3、高性能：将两到三个层次之间运用ethchannel链路聚合特性，这样可以能够更好的提高网络的稳定性以及可用性。

第四章关键技术介绍4.1VLAN技术VLAN技术是虚拟局域网技术的简称，它通过在物理网络中划分逻辑子网，将不同设备和用户划分到不同的广播域中，从而实现网络的隔离和管理。VLAN技术的应用可以有效减少广播风暴的发生，提高网络的安全性和性能。在乡村教学网络规划中，VLAN技术被用于将不同部门和功能区域划分为独立的网络段，例如将教学楼、宿舍楼和行政区域分别划分到不同的VLAN中，确保数据的隔离和安全。此外，VLAN技术还能够灵活地调整网络结构，方便网络管理员根据需求重新配置网络，从而提升网络的可管理性和扩展性，为校园网络的高效运行提供技术支撑。4.2OSPF动态路由协议OSPF动态路由协议是一种基于链路状态的路由协议，适用于大规模网络环境。它通过广播链路状态信息，构建最短路径树，实现路由的动态更新和优化。在乡村教学网络的规划中，OSPF协议被用于核心层和汇聚层之间的路由管理，确保数据能够以最优路径进行传输。OSPF支持分层设计，能够将网络划分为多个区域，从而减少路由信息的传播范围，降低网络设备的负担。同时，OSPF协议具备快速收敛和高可靠性的特点，能够在网络拓扑发生变化时迅速更新路由表，确保网络的稳定运行。通过OSPF协议的应用，乡村教学网络能够实现高效的路由管理和灵活的网络扩展。4.3VRRP技术VRRP技术是虚拟路由冗余协议的简称，用于实现网关的高可用性和冗余备份。在乡村教学网络中，VRRP技术被应用于核心交换机和防火墙之间的网关冗余设计，确保在主设备故障时，备份设备能够快速接管业务，避免网络中断。通过配置VRRP虚拟网关，用户设备始终指向同一个网关地址，即使主设备发生故障，备设备也能无缝切换，用户无需感知网络的变化。VRRP还支持优先级配置和抢占模式，能够根据设备状态和网络条件自动调整主备关系，提升网络的可靠性。这种技术的应用为乡村教学网络提供了更高水平的业务连续性保障。4.4STP生成树STP生成树协议是一种用于解决以太网网络环路的协议，通过阻塞冗余链路构建无环路的树形网络结构，避免广播风暴和MAC地址表震荡问题。在乡村教学网络中，STP协议被应用于汇聚层和接入层之间的链路管理，确保网络的高可靠性和稳定性。当网络中的某条链路发生故障时，STP协议能够快速激活备份链路，恢复网络连通性。同时，STP协议还支持快速生成树（RSTP）和多生成树（MSTP）等增强版本，能够进一步提升网络的收敛速度和灵活性。通过STP协议的应用，乡村教学网络能够在保障冗余设计的同时，避免环路问题，为网络的高效运行提供技术保障。

第五章详细设计5.1VRRP+MSTP冗余配置部分配置举例：stpinstance0rootprimaryinterfaceVlanif10ipaddressvrrpvrid1virtual-ipvrrpvrid1priority150vrrpvrid1preempt-modetimerdelay20interfaceVlanif20ipaddressvrrpvrid2virtual-ipvrrpvrid2priority150vrrpvrid2preempt-modetimerdelay205.2DHCP配置DHCP配置：ippool10gateway-listnetworkmaskexcluded-ip-address0054dns-list1ippool20gateway-listnetworkmaskexcluded-ip-address0054dns-list15.3OSPF配置OSPF配置：ospf1router-idareanetwork55network55network555.4IPv4overIPv6隧道隧道配置：interfaceTunnel2ipaddresstunnel-protocolipv4-ipv6source2002::2destination2002::1interfaceTunnel1description10::1ipaddresstunnel-protocolipv4-ipv6source2001::1destination2001::25.5FW热备份配置hrpenablehrpinterfaceGigabitEthernet1/0/1remotehrpauto-syncconfigstatic-routehrptrackinterfaceGigabitEthernet1/0/0hrptrackinterfaceGigabitEthernet1/0/2

第六章测试结果6.1局域网互通测试VLAN划分可以简化网络管理，同时隔绝广播域的作用，不同VLAN默认是不能互相通信的，如果需要相互通信的话必须经过网关转发。下图为不同VLAN之间相互通信测试。图6-1VLAN之间通信测试6.2DHCP测试采用DHCP可以自动的给终端分配IP地址，能够充分的利用IP地址，避免IP地址的浪费。图6-2DHCP配置测试6.3OSPF测试OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短构造路由表。如下图所示将出口防火墙和核心交换机划分到了骨干区域。图6-3防火墙OSPF邻接状态如下图所示防火墙上学到的OSPF路由。图6-4防火墙路由表6.4HTTP服务及DNS测试服务器开放HTTP服务和DNS域名解析，内网都可通过域名来对http服务器进行访问。下图为内外网通过web访问域名进入HTT