【《校园网拓扑分析与规划研究》14000字（论文）】

概述1.1校园网简介本文主要是从湄洲湾职业技术学院为设计蓝本，从而进行相对应的需求分析，并针对这些需求进行相对应的组网划分、网络要求设计、方案蓝本设计、设备购买采集、相应设备的设置、网络区域的划分、网络相应服务的计费付费功能、服务系统到校园应用系统等方面进行相对应的规划与分析，这也对其他学校准备提升校园网服务具有一定的参考价值。在设计原则上，校园网需要具有的功能分别为教学、通讯、管理。相关的教学资料也可以方便的为老师提供浏览和查询，并通过这些进行教学类和科研类的相关研究；并且这也使得学生更加方便的查询或浏览相关的学习资料也可以进一步的实现远程学习；可进一步的通过网上学习学会信息化的处理。作为一个典型的综合网的实例，我们也对校园网的安全、管理、规划、维护、配置、实施等几个方面进行综合评估阐述。同时将重点放在子网规划、配置及网络主干设计上。对于服务器的加购设计只做了简单的规划。在这项工程中，无论是技术、安全上和规划上，还是在应用中、管理中和实施中都存在诸多需要解决的问题，总体来说主要包括IP地址的规划和分配，主要设备的一些配置，拓扑机构的设计。通过校园网的需求、问题及解决方案，以便使读者从整体上面透彻全面的了解校园网设计流程。1.2关键网络技术简介本次校园网属于较大的工程，所涉及的技术点较多，涉及的硬件也较多。在软件的配置方面，此次的拓扑图主要是由华为ensp软件进行绘制以及做出相应的配置；在相关技术方面使用dhcp技术自动获取IP地址进行路由；汇聚交换机配置为三层设备通过OSPF与核心交换机进行互通；主备汇聚交换机通过VRRP与生成树技术为终端用户提供冗余；防火墙配置NAT转换使得终端用户较为安全的访问外部网络；学校内部部分区域提供无线访问，通过AC+瘦AP的方式实现；学校通GREOVERIPSec与各分部实现互通；主校区服务器对内提供WWW、DNS以及FTP服务；运营商通过BGP实现路由可达。网络建设方面。学校采用千兆网络做为主干网，百兆网络做桌面；VLAN划分为：教学楼、综合楼、宿舍楼A、食堂、体育馆、宿舍楼B、实验楼、办公楼，各个VLAN之间可以相互访问且上网；考虑冗余设计、网络升级和扩展需求。学校网对主机系统的主要要求：主机系统应具有高的可靠性，能长时间连续工作，并有容错措施；具有广泛的软件支持，软件兼容性较好，并支持多种传输协议；主机系统采用国际上比较主流的技术，比切具有优良的可扩展能力；支持通用大型数据库；能与Internet互联，可以提供互联网应用，如WWW浏览器服务、E-mail电子服务、FTP文件传输服务、DNS域名系统服务。1.3本章小结依照湄洲湾职业技术学院所提出的需求，我方也采用了华为方面的软硬件技术进行配套支持。多媒体数字化校园是采用先进的网络技术构建成性能高效的校园网络，联合学校各个部门，对该校的教学、科研、财务、办公等信息系统进行多方数据整合，满足未来发展需求，为教学教育、科研提供良好的稳定性、可靠性、安全性、高速高效的网络平台，进一步的消除信息孤岛，实现各个部门之间的协同处理，提高传统校园的效率，扩展传统校园的功能，从而达到信息化建设的统一资源、数据共享。2校园网建设分析校园网需要具有三大功能分别为教学、管理、通讯。相关的教学资料可以方便老师的浏览和查询，并通过这些进行教学类和科研类的相关研究；并且这也使得学生更加方便的查询或浏览相关的学习资料也可以进一步的线上教育进行学习；类似于相关的学籍类、财务模块、资料审核、教务管理也方便学校相关部门的人员进行统一化处理，还可以实现不同管理层之间的信息相互交换，自动化的去采集和处理网上的相关信息，达成资源在信息和设备之间的互通，此外，校园网的规划必须有明确的建设与分析。校园网整体规划的原则是：在选择网络产品、服务器时，需要加强产品支持的网络协议的国际化和标准化；同时开放性采用开放性的网络系统，以便后期网络的扩展、互联和升级。3校园网总体建设3.1建设目标3.1.1总体建设目标校园网的规划主要根据湄洲湾职业技术学院的各个教学楼对网络的需求进行分析，按照分步实施、总体规划的原则，构建一个集多媒体辅助教学、办公自动化和校园数字化交流等于一体，运用已有的网络技术，将学校中各种的设备，例如：pc机、工作站、终端设备和局域网等进行互联，并且拥有广域网出口的网络。在实现管理上，校方的管理员能够快捷的进行数字化的管理，例如：学生信息管理、行政事务管理、教务信息管理等。信息交互在各个部门之间也变得更加便利；在多媒体辅助教学方面，师生门不仅能够视屏监控教学，还能利用网络获得相应的教学资源；在多媒体校园文化交谈方面，强化了老师与学生之间的互动，拥有极高的安全性、可靠性、优良的开放性、可修改性、可拓展性，同时也具备建设经济性的校园网络。3.1.2内部网络建设目标湄洲湾职业技术学院具有宿舍楼13座、教学楼2座、综合楼1座、食堂3座、体育馆1座、实验楼1座、办公楼2座，是一个集教育教学、师生活动居住为一体的综合性校园建筑群。当前学校具有各类教学、办公和服务等用途的PC机、交换机、路由器、服务器、终端设备等约以前多台。校园网的建设主要是以信息中心综合大楼为核心，因为校内各机房、实训教室已建设有小型的局域网络，将教学楼、各个机房和校内的各个科室互联，实现整个校园网络的大数据化的资源共享与整合。3.2建设规则此次建设参考的主要对象还是以职业类技术学院为主，在参考的过程中，我们发现在校园网的建设中一般都以主校区的建设为主体，在此次的建设中，主校区的校园网络建设，提出了以下几条基本规则。安全性可靠性随着互联网的不断发展，大数据、云计算等的技术层出不穷，网络的安全性和可靠性，也被列为了国家战略目标之一。学校也不例外，在学校里也有诸多的学生信息、档案库、资料库等重要的信息，这些信息也必须具备有安全性、保密性、可靠性等的设备为其保驾护航。学校每天都有大量的数据进行传输，链路必须做好相应的备份。实用性校园网的规划需要依据师生的实际使用需求出发，以实际情况为大前提考虑现有的资源和情况来建设一个满足广大师生群体的实际使用需求。同时也要将将来设备的相关维护、管理、后期升级等尽可能的考虑进去，不能脱离实际。经济性网络的规划需要结合实际的使用情况，进行相应的硬件设备的采购，在采购过程中尽量做到物尽其用，杜绝浪费，采购的设施设备应该采用性价比较高的设备，同时也要考虑到后期的设备维护、设备更新的费用，在设备维护、更新的过程中应该尽量做到保留原有设备，尽量延长原有设备的使用时长。从而进一步的提高网络的经济效益。扩展性扩展性的要求是为校园网将来发展做准备REF_Ref19275\n\h[7]，是对未来的网络提升打下基础。当今互联网技术的不断发展，更好的扩展性成为了校园网一个必须拥有的大前提。这也就意味着在选择相应设备和网络规划的时候必须预留出充足的冗余空间，以便使得后期的升级做出充足的准备。言而总之，在技术不断更新迭代的现代社会，适当的增加网络设备的接入点和网络的区域化是很有必要的。可维护性随着时间的推移，设备的滞后性和设备的老化，也会导致设备出现诸多的问题，这对网络的维护性就提出了要求，而在设计之初就应该考虑好，设备的可维护性问题，以便以后对网络的调试和检测做出周全的考虑。在选择设备和安装设备的时候也应该做到选用好维护的设备。良好的可维护性也是整个校园网能够源源不断正常运行的大前提。高冗余性校园网的相关资料，传输内容较多，对网络的稳定性也提出了较高的要求。为避免单点故障，使得局域网络的瘫痪，导致资料的丢失，在规划校园网是，应采用MSTP等技术进行数据转发多个冗余路径，从而避免网络的故障。3.3组网建设技术湄洲湾职业技术学院的校园网络，类似于大型企业级网络。事实上该网络的覆盖范围并不是特别大，然而接入的设备却众多，接入的人数也众多，网络的服务类型也中多，所以一般将该类网络归位大型网络，具体的逻辑架构可以分为以下几种类型，如图3-1所示。图3-1校园网络架构逻辑当前，学校的校园网主要以二层架构为主，二层架构也链接着用户层中的：教学楼、综合楼、宿舍楼、体育馆、实验楼、办公楼等。此次校园网的二层加购主要也是采用了树形拓扑结构，三层架构较为复杂而三层架构较为简单，下图是二层架构的示意图3-2所示。图3-2二层架构示意图因为此次校园网需要做一个整体的升级，并且考虑到未来校园网的一个升级需求，所以，在此次校园网的分析过程中，运用了树形结构，在组网的方式上也从原来的二层结构改造成三层结构，也就是核心层、汇聚层、接入层，三层结构如下图3-3所示。图3-3三层网络结构示意图3.4校园网总体建设3.4.1校园网平面图建设湄洲湾职业技术学院整体建筑布局情况以及搂一搂之间的部署结构，如下图3-5所示，校园规模在职业技术学院中属于中上等水平，由学校的实际情况出发进行规划，从图中可以看出其规划的复杂度较高，对需要采用的技术和对应的设备的要求也有较高的水平，故应采用分层式网络结构，方便未来的升级性，也保证了网络的整体性、稳定性。相比新校区来说，旧校区的规模也较小，这个体的用户量也就5000人上下，所以此次分析主要以新校区的规划分析为主，如图3-6为湄洲湾职业技术学院旧校区平面图。图3-5新校区校园平面图图3-6旧校区校园平面图3.4.2校园网各个层次架构建设依据湄洲湾职业技术学院现有的建筑情况，校园网络拓扑规划与分析后，将其拆分为核心层设计、汇聚层设计、接入层设计三大模块进行逐一分析，还会对用户层中的教学楼、办公楼、实验楼、学生宿舍楼、食堂、体育馆进行简要的分析。如图3-7为湄洲湾职业技术学院新校区简图，湄洲湾新校区于2016年开始开发建设，于2020年正是完工。旧校区此次只作为小幅度的升级，这次不做为主要分析对象，如图3-8为湄洲湾职业技术学院旧校区拓扑简图。图3-7湄洲湾职业技术学院新校区图3-8湄洲湾职业技术学院旧校区3.4.3建设核心层核心层已经配备网络设备方面都应该有严格的要求与规划，因为核心层不仅仅是流量的汇聚者与承受着，同时也链接者防火墙，起到了网络安全、监控等的作用。湄洲湾职业技术学院的核心区网络也是采用了华为s5700系列，湄洲湾职业技术学院新校区拓扑结构设计如图3-9所示：图3-9湄洲湾职业技术学院核心层校园网拓扑3.4.4建设接入层接入层中交换机等设备较多，在传输过程中一般采用两种模式，一种是运用ap进行无线链接，另一种是运用双绞线进行有线链接，更好的分配宽带业务，同时将用户与局域网进行链接。这一层的具有成本较低，端口密度较高的特点。这就对硬件提出了速率高、密度高的端口要求，使得使用者能够更方便快捷的访问校园网。3.4.5办公楼办公楼包含着系部各个楼群，主要用于平时开会、处理资料等事物。所以在网络诉求方面，对稳定性有着较高的要求。办公楼的用户设备也较多，其中包括pc机、手机、打印机等设备，如图3-10所示。图3-10办公楼拓扑分析3.4.6教学楼教学楼主要作用是以老师对学生的教学辅导为主进行使用的片区，其中教学楼也包含：文学楼、医学楼、经管楼、机械楼等。此次规划也将教学楼的接入方式大题分为两类，教学楼和计信楼等所使用的计算机多媒体多用有线双绞线进行链接；而另一种为无线链接，多为手机、平板和笔记本电脑等设备接入校园网做规划，如图3-11所示。图3-11教学楼网络分析规划3.4.7实验楼实验楼的主要作用是用于实践教学，实验楼中用户设备量较多的归属于计算机机房。因此接入的设备需求较多，也会有多台的汇聚交换机放在实训楼中。实验楼网络规划分析如图3-12所示。图3-12实验楼网络规划3.4.8学生宿舍楼群Ａ和Ｂ湄洲湾职业技术学院拥有的学生宿舍楼较多，为了让规划布局更加方便，会将大量的汇聚交换机放入学生宿舍楼群A和学生宿舍楼群B之间，由于宿舍之间也有较多设备需要用到无限链接，此次也在各个宿舍的楼层之间部署了多台无限设备链接楼层之间的交换机和AP，如图3-13所示。图3-13学生宿舍楼群Ａ和Ｂ网络规划3.4.9体育馆学校体育馆的占地面积较大，除了室内游泳馆，室外篮球馆外，在体育馆办公区还有几台为数不多的pc机、打印机，所需要的优先连接也较少，多数为无线设备的链接。如图3-14为体育馆的网络规划。图3-14体育馆网络规划3.4.10食堂学校有两个食堂，每个食堂分为三层。两个食堂的距离较远。食堂的用户量远远小于教学楼、实验楼和宿舍楼。所以对无线用户的链接较多。因食堂距离宿舍都比较近，食堂可以接入宿舍楼的交换机和AP。如图3-15所示。图3-15食堂网络规划3.5网络设备选型3.5.1用户层设备选型用户层设备主要采用了AP5030DN-S无线接入点。AP5030DN-S是华为公司推出的经济适用级802.11n/ac产品，双频同时提供业务，支持3×3MIMO。适合部署在结构较简单、面积相对较小、用户相对集中的场合及对容量需求较大的区域，如中小型企业以及企业分支，提供基本的802.11n/ac无线接入网络。关键特性：支持2.4GHz和5GHz频率，支持3×3MIMO，整机最高速率可达1.75Gbps；完善的用户接入控制能力，可根据用户组策略，基于用户实施访问控制；高等级的网络安全性，支持WIDS和WIPS；强大的网络特性，支持IPv4/IPv6双协议栈。如下图3-16为AP5030DN-S真机试图图3-16AP5030DN-S3.5.2接入层设备选型接入层主要采用的是华为s3700系列交换机设备，S3700系列企业交换机是华为公司推出的新一代绿色节能的三层以太交换机。图3-17s3700真机试图3.5.3汇聚层设备选型如图3-18华为S5700-S真机试图图3-18华为S5700-S真机试图3.5.4汇聚层设备选型汇聚层主要采用华为S5700-EI系列增强型千兆以太交换机。如图3-19华为S5700-EI系列真机试图图3-19华为S5700-EI系列真机试图3.5.5防火墙选型防火墙采用USG6000V虚拟综合业务网关。如图3-20华为USG6000V防火墙图3-20华为USG6000V防火墙3.5.6路由器选型路由器选择的是华为AR3260路。如下图3-21华为AR3260路由器图3-21华为AR3260路由器4IP规划设计4.1IP地址技术一个IPV4地址有32BIT，IPV4地址采用“点十进制”表示。然后将传输介质由物理层到数据链路层到网络层到传输层最终到达应用层。如图4-1所示数据封装过程、如图4-2所示中间网络数据传输过程、如图4-3所示接收方数据解封装。如图4-1数据封装过程如图4-2中间网络数据传输过程如图4-3接收方数据解封装4.1.1DHCP技术DHCP技术，简而言之就是自动分配地址池的技术。这类技术多应用于大型网络规划中，例如：常用于校园、园区、企业网。这种地址池的好处是可以减少手动配置地址池所带来的IP冲突，使用动态DHCP地址池还可以大量的减少工作人员的工作量。如图4-4所示图4-4DHCP的用处：大量主机分配IP地址是有DHCP进行自动分配的以及其他的网络参数（网关、DNS、租期等等）并能够集中管理。4.1.2NAT技术NAT技术技术背景：简单来说就是因为ipv4的地址枯竭，导致网络发展受到了相关的限制，虽然说现在有ipv6的技术，但是在ipv6还未全面普及之前，就产生了这种折中的方法NAT。NAT作用是什么：就是将私网地址能够转换成公网地址，使私网用户能够上网，这样既可保证网络互通，又节省了公网地址。如图4-5所示。图4-54.1.3OSPF技术为什么需要动态路由协议？静态路由是由工程师手动配置和维护的路由条目，命令行简单明确，适用于小型或稳定的网络。静态路由有以下问题：无法适应规模较大的网络，随着设备的增加，配置量急剧增加。无法动态响应手链网络，需要工程师，手动修改。如图4-6静态路由、图4-7动态路由（OSPF）两者之间的对比。4-6静态路由当网络规模越来越大时，使用手动方式配置静态路由的方式获取路由条目将变得越来越复杂，同时在拓扑发生变化时，不能及时，灵活响应。图4-7动态路由（OSPF）动态路由协议能够自动发现和生成路由，并在拓扑变化时及时变更路由，可以减少管理人员的工作量，更实用于大规模网络。4.2IP地址规划由于校园网所设计的设备众多，所以用户层所采用的IP规划为ＤＨＣＰ技术进行由网络动态合理的分配IP地址给主机使用。此次DHCP配置在汇聚层中。如图4-8DHCP命令行所示。配置层为汇聚层设备，如图4-10汇聚层图4-8DHCP命令行dhcpenable//开启DHCP功能#ippool16//创建全局地址池gateway-list//配置DHCP客户端网关地址networkmask//配置全局地址池可动态分配范围dns-list01//配置DHCP客户端使用DNS服务器的IP地址#ippool17//创建全局地址池gateway-list//配置DHCP客户端网关地址networkmask//配置全局地址池可动态分配范围dns-list01//配置DHCP客户端使用DNS服务器的IP地址#ippool18//创建全局地址池gateway-list//配置DHCP客户端网关地址networkmask//配置全局地址池可动态分配范围dns-list01//配置DHCP客户端使用DNS服务器的IP地址如图4-10汇聚层更具学校具体情况，此次采用A类IP地址私有网段，以教学楼为例，通过DHCP的配置，汇聚层会给教学楼的设备随机分配一个IP地址。如图4-11教学楼IP地址规划所示。图4-11教学楼IP地址规划当通过相关命令PC>ipconfig查看相关IP地址配置时。如图4-12所示图4-12IPv4address:54//由DHCP分配的IP地址Subnetmask://24位maskGateway://由DHCP分配的网关Physicaladdress:54-89-98-4F-19-6F//物理mac地址DNSserver:01//DNS服务学校目前分为新校区和旧校区，新校区有教学楼、综合楼、宿舍楼A、食堂，如图4-13新校区IP规划所示。旧校区有体育馆、宿舍楼B、办公楼，如图4-14旧校区IP规划所示。这些楼群的IP地址规划由以下表格所示。建筑名称地址范围教学楼mask综合楼mask宿舍楼Amask食堂mask图4-13新校区IP规划建筑名称地址范围体育馆mask宿舍楼Bmask实验楼mask办公楼mask图4-14旧校区IP规划例如，如图图4-13新校区IP规划所示，IP地址为，表示宿舍楼A的某位同学；IP地址为，表示为教学楼的某位同学。4.3VLAN规划4.3.1VLAN功能与技术VLAN是一种通过局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术REF_Ref11615\n\h[16]。VLAN之间通信VLAN在分割广播域的同时也限制了不同VLAN间的主机进行二层通信。如图4-13所示图4-13解决vlan间通信方法如下：

二层交换机+一台路由器实现vlan之间通信（多臂路由）。

单臂路由的方式实现vlan之间通信。

现网中实际运用vlanif逻辑接口来实现vlan之间通信。二层交换机+一台路由器实现vlan之间通信只有相同的VLAN主机才能实现二层通信，因此必须通过三层路由才能将报文从一个VLAN转发到另外一个VLAN，在二层交换机上配置VLAN，每一个VLAN使用一条独占的物理链路连接到路由器的一个接口上，来实现vlan之间的通信。如图4-14所示图4-144.3.2VLAN技术在校园中的应用图4-15具体解释了VLAN技术，其中PC1和PC2属于VLAN1，PC3和PC4属于VLAN2，虽然PC1和PC2不在同一个交换机上，但可以进行通信，同样PC3和PC4也可以进行通信。但是VLAN1和VLAN2之间是不可以通信的，发送到VLAN1的数据VLAN2接收不到，要实现相互通信就必须用到路由器。图4-15VLAN规划4.3.3VLAN标签相关的技术讲解校园中VLAN标签主要表现在以下三点：(1)Access接口在VLAN中，端口所属的VLAN成为端口默认VLAN，只允许默认VLAN通过的端口称为Access端口REF_Ref30911\n\h[17]。交换机上常用来链接用户PC，服务器等终端设备接口。Access接口所链接的这些设备网卡往往只能首发无标记帧。Access只能加入一个VLAN。(2)Trunk接口VLAN技术很重要的一项功能就是在网络中构建虚拟工作组，划分用户道不同的虚拟工作组REF_Ref494\n\h[18]。交换机的互联，常用Trunk接口进行相互直接的连接，也用于链接路防火墙等设备接口。Hybrid接口Hybrid接口和Trunk接口其实非常的相似，同时也可以使得很多的VLAN数据进行相互之间的互通，这些数据帧通过802.1Ｑｔａｇ实现区分，用户可以是灵活只能Ｈｙｂｒｉｄ接口在发送某个（或某些）ＶＬＡＮ的数据帧时是否携带ｔａｇ。如图４－１６，解释说明了Ａｃｃｅｓｓ接口和Ｔｒｕｎｋ接口图４－１６ＶＬＡＮ接口4.3.4校园内设备中VLAN的划分汇聚层中三台三层交换机的VLAN划分以及相关的配置命令行，分别为如以下表格所示汇聚层中三台三层交换机的Trunk接口划分以及相关的配置命令行，分别为如以下表格所示核心层中三台三层交换机的划分以及相关的配置命令行，分别为如以下表格所示汇聚层中三台三层交换机的Trunk和Access接口划分以及相关的配置命令行，分别为如以下表格所示5系统实施在学校网络的综合布线中，我们通常需要参考学校的综合地理结构因素、楼房排布因素、电子设备之间的兼容性、子系统和相对应的管理区域、办公区域等做出综合的考量。5.1系统综合布线电缆、相关硬件和连接器等都为设备之间子系统的组成部分，这些设备均可以有效的连接各个部门中的设备。有关的综合布线之中，设计了多个设备间的系统，包括办公楼、综合楼、体育馆、实验楼等更多的设备间的系统连接。5.2无线网络覆盖5.2.1无线网络的总体需求分析随着科技的快速发展，物联网设备、无线终端设备也变得越来越多。为了方便设备之间的相互连接，同时也为了方便师生之间随时能通过移动端访问到互联网，湄洲湾职业技术学院在各个场景也都实现了WIFI覆盖。在不同的场景中对WIFI的使用量也有着不同的需求，此次设计也应该按需划分无线设备的分配，因此，也对不同地区的WIFI覆盖提出了不同的要求，在装备相关WIFI设备时也需要按照不同的场景做出不同的需求调整，这样可更好的避免资源的浪费。对于无线网络覆盖方面的规划，无线网络应该对校园的所有地区进行有效的覆盖，包括办公楼、实验楼、宿舍楼、体育馆、教学楼、食堂等等。在某些特定的地区，因受到环境的屏蔽干扰较为严重，需要部署更多的AP，如人流量和房间数都较多的宿舍和实验楼。同时也要做到2.4G和5G频段的双频覆盖。5.2.3无线网络的相关命令行配置1.AC基础配置2.AC无线配置3.AC接口配置4.Switch配置5.3路由交换5.3.1路由与交换基本简介路由器（Router）：属于网络层，功能：为每个数据帧寻找最佳的传输路径，并将其有效的传送到目的站点，在路由器中通过路由表保存着各种传输路径的相关数据，供路由选择时使用。路由表：保存各种传输路径的相关数据。静态路由表：由系统管理员事先设定好的路由表动态路由表：路由器根据网络系统的运行情况动态调整的路由表工作流程：数据包送到路由器后，通过数据包首部的目的主机IP地址和子网掩码计算出网络地址，即目的主机所在的网络，查找当前路由器的路由表路由器是不同网络之间相互连接的枢纽，路由器构成了Internet的骨架；路由器具有判断网路地址，选择IP路径的功能。如下图5.3-1所示，为路由的工作过程。图5.3-1路由的工作过程5.4路由与交换相关技术5.4.1OSPF技术OSPF路由之间的关系：▪关于OSPF路由之间的关系有两个重要的概念，邻居关系和邻接关系。▪考虑一种简单的拓扑。两台路由器直连。在双方的互联接口上激活OSPF，路由器开始发送即侦听hello报文。在通过hello报文发现彼此后，这两台路由器便形成了邻居关系。▪邻居关系的建立只是一个开始，后续会进行一系列的报文交互，例如DD、LSR、LSV和LSACK等。当两台路由器LSDB同步完成后，并开始独立计算路由器时，这两台路由器形成了邻接关系。初始OSPF邻接关系的建立有4个步骤，建立邻居关系，协商主/从，交换LSDB信息，同步LSDB。如图5.4-1，图5.4-2，图5.4-3，图5.4-4所示图5.4-1图5.4-2图5.4-3图5.4-4OSPF的报文类型如下表格所示：状态机：exstart状态：2-Way后，双方发送一个空的DD报文，协商主从。选举方式：比如router，比大。选举意义：保证后续的DD报文不丢失，有一个确认的机制。exchange状态：发完空报文后买，正式的发送DD报文，里面携带的是个人本地的LSA。Londing状态：DD报文获取到信息后，我们要通过LSR请求LSA，状态就切换为Loding，这个阶段我们会通过LSR/LSV/LSACK完整交换LSA。Full:状态：同步完成后，发送Ack结束。5.4.2OSPF的配置案例分析（1）配置接口ISP-A的相关配置开启LoopBack0接口，在LoopBack0接口下配置IP地址在对应接口中配置相关的IP地址ISP-B的相关配置（2）配置OSPFOSPF参数规划：OSPF进程号为1。ISP-A和ISP-B的RouterID分别为和14配置步骤：创建并运行OSPF进程创建并进入OSPF区域运行指定的OSPF接口配置ISP-AOSPF相关协议配置ISP-BOSPF相关协议（3）结果验证1在路由器ISP-B上查看OSPF邻居表结果验证（2）在路由器R1上查看路由表，并执行源ping14disiprouting-table//查看路由表/32Direct00DGigabitEthernet0/0/2//从OSPF学习到/32的路由（4）OSPF的区域概念OSPFArea用于标识一个OSPF区域区域是从逻辑接口上将设备分为不同的组，每个组区域号（AreaID）来标识。OSPF的区域与单区域OSPF区域（Domain）：一系列使用相同用策略的连续OSPF网络设备所构成的网络。OSPF路由器在同一个区域（Area）内网络中泛洪LSA。为了确保每台路由器都拥有网络拓扑的一致认知，LSDB需要在区域内进行同步。如果OSPF域仅有一个区域，随着网络规模的越来越大，OSPF路由数量越来越多，这将导致诸多问题：▪LSDB越来越庞大，同时导致OSPF的规模增加。路由器资源消耗多，设备性能下降，影响数据转发。▪基于庞大的LSDB进行路由计算变得困难。▪当网络拓扑变更时，LSA全域泛洪和全网SPF重计带来巨大负担。如下图所示为LSP-A的相关命令行area//area命令行用来创建OSPF区域，并进入OSPF区域视图network55network55network55network55//network命令用来指定运行OSPF协议接口和接口所属区域。Network-address为接口所在的网段地址。Wildcard-marsk为IP地址的反码，相当于IP地址掩码反转（0变1,1变0），例如55表示掩码长度24bit。5.4.5DNS技术·当我们在浏览器中输入一个域名访问某个网站时，这个域名最终会被解析为一个IP地址，我们的浏览器实际是在和这个IP地址进行通信。·当我们在浏览器中输入一个域名访问某个网站时，这个域名最终会被解析为一个IP地址，我们的浏览器实际是在和这个IP地址进行通信。·负责将域名解析到lP地址的协议为DNS(DomainNameSystem，域名解析系统)。·负责将域名解析到LP地址的协议为dns(域名系统，域名解析系统)。·网络中每个节点都有自己唯一的IP地址，通过IP地址可以实现节点之间的相互访问，但是如果和所有的节点进行通信都使用IP地址的方式，人们很难记住这么多IP地址，为此提出了DNS，将难以记忆的IP地址映射为字符类型的地址。·网络中每个节点都有自己唯一的IP地址，通过IP地址可以实现节点之间的相互访问，但是如果和所有的节点进行通信都使用IP地址的方式，人们很难记住这么多IP地址，为此提出了DNS将难以记忆的IP地址映射为字符类型的地址。域名系统组成：▪域名:主机的字符标识方式.大部分情况下，我们访问网站时在浏览器内输入的URL就是该网站的域名。▪域名解析服务器(DNS服务器)：负责维护域名与IP地址对应关系的数据库，并对解析者的请求进行响应。域名的表示方法域名的表示方法为:主机名.次顶级域名.顶级域名.根域，根域为“.”，一般最后的根域不表示。DNS查询方式DNS是一个分布式系统，绝大多数的DNS服务器端的数据库不会拥有所有的域名记录，当客户端向一个DNS服务器端查询域名但该DNS服务器端上却没有该域名的记录时，此时会有两种继续查询的方式:▪递归查询:由DNs服务器向其他DNs服务器进行查询，将最终查询结果返回给DNS客户端。▪迭代查询:DNS服务器告知DNS客户端其他DNs服务器地址，客户端自行向其他DNs服务器进行查询。5.4.6FTP技术FTP传输过程-主动模式FTP传输过程-被动模式5.4.7Telent技术Telnet应用场景Telnet可以通过终端对本地和远程的集中管理网络设备认证模式5.4.8Telnet配置案例分析user-interfacevty04//用户界面vty04authentication-modepassword12345678//设置身份验证密码为123456telnet客户端进行连接<Huiju-A>telnet//Huiju-A用telnet访问网段Password://输入密码Error:Thepasswordisinvalid.//密码错误提示Info:ThemaxnumberofVTYusersis5,andthenumberofcurrentVTYusersonlineis1.Thecurrentlogintimeis2022-01-1017:14:47.<Core-A>//密码正确后，Huiju-A即可远程控制Core-A5.5网络安全设置5.5.1目前现状和建设目标随着网络技术的迅速发展，各种网络病毒层次不齐，网络安全问题也成为了21世纪以来计算机发展的重中之重。在这个大背景之下，湄洲湾职业技术学院的网络面临的威胁较多，其中有如下图所示：图5.5.1-1网络风险相关图5.5.2网络安全建设原则在校园网络的规划分析之中，有关于校园网络安全的问题是十分重要的，在此次的湄洲湾职业技术学院的校园网络规划中应该注意：区域划分原则，不同的楼层对网络的使用需求不同，对网络的使用频率也不同，有的区域所需要的安全等级较高，又的区域所需要的安全等级较低，例如：办公楼存放这学校较多重要的文件，那么在这块就应该加强网络安全的配置需求，如果是体育馆这种公共场所对网络安全的需求较低，就可以对网络的安全等级做出适当的下降调整。做到按需分配，进行针对性比较强的网络安全设置。5.5.4防火墙配置案例分析下图为配置防火墙通过对IP地址的设置过滤掉主机对内网的权限，适用于这样的需求：在其中一个时间段，禁止或者允许某些IP或部分端口的外网IP地址或者某些端口之间的相互通信。查看防火墙中OSPF的邻居列表默认情况防火墙只放行组播的报文，单播包不放行，需要配置安全策略

OSPF网络类型OSPF报文的单播还是组播是否需要放行安全策略5.5.5NAT技术1、NAT作用：

就是将私网地址能够转换成公网地址，使私网用户能够上网，这样既可保证网络互通，又节省了公网地址5.5.6NAT配置案例分析nat-policy//配置NAT策略rulenamenat//规则名为NATdestination-address-excludemask//目的地地址，包中的一个地址，指明了该包发送的最终的目的地。在硬件结构中，目的地地址必须是一个硬件地址。在IP数据报中，目的地地址必须是一个IP地址。5.5.8GREIPSec配置案例分析配置IPSECipsecproposalvpn//配置第二阶段SAencapsulation-modetransportespauthentication-algorithmsha2-256espencryption-algorithmaes-256#ikeproposal1//配置第已阶段SAencryption-algorithmaes-256//加密算法dhgroup14//指定DH组authentication-algorithmsha2-256//认证算法authentication-methodpre-share//认证方法integrity-algorithmhmac-sha2-256//完整性算法prfhmac-sha2-256ike-proposal1remote-id-typenonedpdtypeperiodic#ikepeerfwd//配置IKE邻居pre-shared-key%^%#cxS90E>iL0br5*X[Y}-KU;xN-AnEP4gZ_m%".$4P%^%#//配置共享秘钥ike-proposal1//第一阶段SAremote-address//对端邻居地址#ipsecpolicyvpn1isakmpsecurityacl3000//匹配兴趣流ike-peerfwd//关联IKE邻居proposalvpn//关联第二阶段SA#6系统6.1华为VRP系统管理VRP是一种调试华为相关硬件设备的软件系统，管理员可以通过对VRP的更改，从而调整校园网络中各个设备之间的通信规则。随着VRP版本的更新，VRP支持的特性也越来越多，可根据需求更新VRP版本1、VRP命名规范由VRP自身版本号和关联产品版本号两部分组成产品版本格式包含Vxxx(产品码)，Rxxx(大版本号)，Cxx(小版本号)如果VRP产品版本有补丁，VRP产品版本号中还会包括SPC部分系统管理6.2防火墙管理系统1、console初始化华为防火墙默认用户名密码admin密码可修改为Admin@huawei.co,

路由器:adminAdmin@huawei

交换机：admin

\t"/u_13817711/_blank" admin@

AC控制器:admin

\t"/u_13817711/_blank" admin@

笔记本如何通过console调试网络设备目前最流行的console线，是将串口芯片内置于USBA公头里面使整条线成一个整体，使用快捷方便(一般来讲无需装载驱动直接可以使用)USB转串口后此电脑—属性—设置管理器—通用串行总线控制器—出现COM3在电脑上用工具进行连接网络设备超级终端像windowsXP系统自带这个功能puTTY终端软件Xshell终端软件SecureCRT终端软件2、telnettelnet登录的流程

第一步：路由可达

第二步：打开设备的telnet功能

第三步：打开接口的telnet的管理功能

第四步：管理用户打开telnet服务

第五步：调用AAA

第六步：登录测试

NGFW缺省不允许通过telnet登录，需要配置telnet服务，需要先通过其他方式登录到设备上进行telnet服务配置配置思路：

第一步：打开Telnet功能telnetserverenable1.telnetserverenable第二步：管理用户打开telnet服务（AAA）manager-userkeypasswordcipherHuawei@123service-typetelnetlevel15第三步：打开接口的Telent的管理功能interfaceGigabitEthernet0/0/1ipaddress0service-managetelnetpermit第四步：调用AAAuser-interfacevty04authentication-modeaaa第五步：登录测试7总结与展望7.1总结多媒数字化的校园网是