【《S中学的网络规划与设计》10000字（论文）】

S中学的网络规划与设计摘要随着计算机网络和信息化技术的高速发展，越来越多的学校搭建并完善自己的校园网。校园网的建设可以实现教育资源的共享，实现校园教学信息化、办公自动化，有效地提高教育教学效率。S二中是宾阳县的一所重点初中，随着学校的发展，需要一套符合目前学校发展与未来发展需求的校园网。本文以S二中的校园网建设为研究课题，在充分了解学校需求的基础上，根据学校的具体情况，合理规划学校的校园网。从有线和无线的两个方案提出新的网络建设方案，方案主要包括IP地址规划、VLAN划分、路由、DHCP服务、NAT网络地址转换等基本技术的实现，同时，使用VRRP网络冗余技术提高网络可靠性，通过防火墙的设计与配置提高网络的安全性。使用华为模拟器进行校园网规划的配置实现与测试。关键词：校园网；规划；VLAN；VRRP目录1前言 11.1研究意义和背景 11.2使用技术 12学校网络需求分析 22.1网络建设需求 22.1.1情况分析与建设需求 22.1.2规划需求 22.2网络应用的需求 32.3网络布线的需求 32.4网络安全需求 32.5网络管理需求 42.6网络无线需求 43逻辑网络设计 53.1网络结构的设计 53.2Vlan的规划 63.2IP地址的划分 63.4DHCP动态地址分配协议 83.5NAT网络地址转换协议 83.6VRRP虚拟路由器冗余协议 83.7ACL访问控制列表 93.8MSTP生成数 93.9远程控制 103.10链路聚合 103.11防火墙 104校园网物理网络设计 114.1综合布线设计 114.2信息点分配 124.3网络设备选型 125网络功能配置与测试 145.1VLAN配置 145.2DHCP配置 145.3无线网络配置 155.4OSPF配置 175.5VRRP配置 185.6MSTP配置 195.7ACL配置 205.8NAT配置 215.9连通测试 225.10服务器测试 236总结 24参考文献 251前言1.1研究意义和背景建好校园网络有利于实现计算机辅助管理，在中小学中应用计算机辅助管理将大大提高办学效益，而计算机及校园网络建设是中小学计算机辅助管理的“重中之重”[1]。校园网的发展和不断的优化改进，在教学中可以采用信息化的方式进行交流让广泛的教学资源得到了共享。利用学校网信息化的建设，对传统教育起到了一些改进，如利用网络可以通过网上上课的方式进行网络教学，对教学资源来说不仅仅是在某个地点固定传授教学，而是利用网络推广教学资源的交流。S二中是宾阳县的一所重点初中，随着学校的发展，需要一套符合目前学校发展与未来发展需求的校园网。根据了解S二中的建筑物有四栋教学楼、一栋办公楼、一个图书馆、三栋教师公寓，并且在办公楼和图书馆是没有无线覆盖的考虑到教职员工们无线设备随着网络的发展和教学的需要也会有所增加无线设备方便工作等。接下来将进行S二中的现有建筑物进行网络规划和搭建，设置符合目前和未来发展的网络结构，在有线的基础上部署无线覆盖办公楼和图书馆并设计出新的校园网网络建设。1.2使用技术根据S二中的实际情况进行IP地址的规划、划分VLAN、实现路由、设立无线局域网、NAT的地址转换、服务器部署等。在此基础上使用VRRP虚拟路由冗余、STP提高校园网的可靠性；考虑网络安全，合理的使用防火墙等安全设备或安全软件。同时，设计有效的管理方案，方便时行校园网络管理、重要数据进行数据备份等。

2学校网络需求分析2.1网络建设需求2.1.1情况分析与建设需求S第二初级中学校园网建设，为两千五百多名师生提供网络服务，校园主要以教师公寓和教师，办公楼，图书馆，为提供网络部署。校园占地面积为38.6亩，综合布线路主要以楼层之间水平系统的方式来部署线缆，在教室，特别是机房教室大量的终端设备和网络用户在一个有限的狭小的空间内。顺畅且良好的校园网，应具备安全可靠、简单操作、利于管理员维护等特点。S镇第二初级中学校园网的规划及实现以树型网络拓扑的方式来采用，主要特征是：维护管理容易：使用树型拓扑的结构，通信都是经过汇聚然后在到核心检测起来比较容易；设备管理：在楼层配线间的配线架上的设备可以根据日后的发展而增加或拆除信息设备，配置Vlan和IP地址可有效的管理设备；故障隔离和检测容易：由于DHCP地址池在核心，下面汇聚交换机只是放行DHCP中继。因此故障只需要检测线路是否切换成功。2.1.2规划需求随着S二中的校园网信息化的不断完善，进行以下网络规划建设：根据网络布置的楼层和楼间的距离规划好学校网络，尽可能节约成本：确保网络的可用性，保证内外网都可以正常通信；确保内部网络可用通过到内部网络连接到教育信息中心;使校园网拥有高扩展性、高可靠性、高安全性;实现网络管理员远程集中管理网络。便于网络管理员管理与维护网络;根据学校学习和工作密集的地方设置无线网络的建设，如办公楼、图书馆等主要场所。2.2网络应用的需求 S二中学有两千五百多人，其次教师有一百四十五人，校园网建设承载一些网络应用需求，如办公邮件、会议室系统的视频会议、FTP服务器等。例如学校有一百多名教师，为教师们提供存放文件等一些课程教学资料的服务，采取部署一台FTP服务器，备注每一个教师或是部门登陆进去存放资料等文件，考虑到一些重要的资料使用限制那些用户或者网络IP地址才可以登陆。2.3网络布线的需求观察S二中有3栋教师公寓，4栋教学楼，1栋办公楼，为了满足学生和老师们上课和工作需求，合理的规划楼层与楼层之间的互通，根据GB50311标准，进行综合布线合理满足校园网的需求，且能保证校园网能稳定正常通信的前提条件下，并具有高度的灵活性、可靠性、综合性、可扩展性。根据S二中的楼层而满足布线需求，使用综合布线的建筑群子系统、配线子系统、垂直子系统、建筑群子系统、设备间子系统、进线间子系统、管理子系统。实现校园网通信，具有可靠性、综合性、可扩展性。2.4网络安全需求据了解S二中有两千多名师生下校，校园网使用的用户较多，范围比较密集，网络也会出现问题，会造成不小的损失。在范围密集的网络环境会出现链路问题、环路问题，防止链路和环路的问题，采取VRRP的技术冗余或STP生成树的运用，减少网络环路和链路的不可性。网络故障如网络线路被老鼠咬了或是出现交换机崩坏了需要进行维修或是跟换，可以采用以上两个技术避免可以有效的不干扰网络正常运行的情况下进行切换，有效可靠的维持网络运行。校园网也是需要连接外网，考虑到内部网络连接外部可能会暴露内部地址到外部，会被一些不法分子如黑客，利用第三方软件和网络渗透的方式进行网络攻击，为了防范这种外来的网络安全，在连接外部网络需要添加一个防火墙在基础上提供强有力的保护，使用NAT地址转换的技术把内部地址转化为外部地址，进行数据包过滤的作用下保护内部地址的不被暴露在外部避免了黑客等第三方软件来查询到内部地址和渗透。使用防火墙修改和关闭不必要的端口和协议的安全需求。2.5网络管理需求为了确保学院内网络稳定运行，方便网络管理员的工作，校园网应该具备良好的可管理性和可维护性的管理需求：远程集中化管理。网络管控，实时监测数据流量，防止出现堵塞造成用户无法上网等；运行维护简单化，每个设备提供一个IP地址进行管理，每天查看一下网络行为管理，避免设备挂机不能及时进行补修；建立网络管理中心，通过使用管理软件，实时监督整个校园网的通信情况。2.6网络无线需求随着无线的发展，在原有的网络基础上添加无线网络的部署，教职员工的移动办公设备越来越多如一些笔记本等一些移动设备，都需要无线网络来方便的进行远程办公。无线网络的发展实现了移动PC的移动节点的物理层和数据链路层的功能，并为了移动计算机提供了物理接口。根据观察S二中没有无线网络的覆盖，学校是一个重点初中学校，学生是没有无线设备，主要是以教师们为服务对象。随着网络移动设备的发展教师们的移动设备也会有所增加。有助于教师们的日常办公和移动设备的需求，以学校的办公楼和图书馆实施部署无线网络，无线网络的覆盖可根据学校的需求进行实施。无线覆盖在于AP的部署，AP的需求。如表2.1所示：表2.1无线分析表Table2.1wirelessanalysistable建筑建筑数量AP数量办公楼110图书馆16

3逻辑网络设计3.1网络结构的设计根据前面的需求分析以学校的校园建筑建设校园网络的搭建，采用的模式为树型拓扑的结构方式，在于的有点事分级的方式控制网络，与星型拓扑图相比，树型拓扑的线路长度短、成本低、为未来的发展提供了扩展性。通过需求分析合理规划网络设计，并结合所学的知识，使用eNSP华为网络模拟器来进行网络搭建，网络拓扑图的结构设计分为三层，分别以核心层、汇聚层、接入层进行搭建该校的校园网。核心层的设计：核心层是网络的交换主干，核心层的交换机采用了DHCP技术用于自动分配给不同的Vlan和地址给终端设备，在主备核心设置MSTP和VRRP来确保链路切换成功，MSTP在主备核心上设置不通的VLAN在SW1或者SW2通信，减少资源的浪费，保证区域通信的链通性和可靠性。核心交换机主备互连启用链路聚合使用LACP工作模式，提高传输、带宽，使用OSPF技术，让核心交换机的收敛速度能更快，OSPF的设计使用最短的路径，收到路由的链路状态。核心交换机链接到边界路由提供对外界网络的基本保护，使用OSPF路由通信，在防火墙的设置NAT可以让内网方位外网，转换内网地址确保内部地址不暴露在外网之中。汇聚层的设计：汇聚层是网络接入层和核心层的“中介”，汇聚层到核心层使用trunk放行相应的VLAN通信。启用DHCP中继确保动态地址的分发到终端设备，启用MSTP生成树防止网络中的冗余链路形成环路，部分区域启用无线网络的搭建。接入层的设计：接入层是接入终端设备向用户提供连接，终端通过接入层的设备进行访问互联网。汇聚连接楼层交换机使用Access进行通信，并收到对应的DHCP地址池IP地址，实现网络通信。所设计的S二中网络拓扑图如图3.1所示：图3.1S二中校园网拓扑图Figure3.1campusnetworktopologyofPennsylvaniaNo.2middleschool3.2VLAN的规划随着校园网的不断完善和扩大，用户不断增加，网络需求也不断增加等多需求改善。以学校的建筑物进行划分不同的VLAN管理不同区域的IP地址，使用VLAN虚拟局域网有效对广播域进行限制，提高网络处理能力和节省带宽，可根据S二中现有地建筑物为例，合理规划区域VLAN有效隔离广播域。S二中有多栋教学楼将命名为教学楼1、教学楼2、教学楼3、教学楼4等。在此拓扑图的设备SW3为办公楼、SW4为教学楼1，其余的设备名称也是根据宾二中建筑物进行对应的命名。3.2IP地址的划分IP地址的分配结合S二中的网络实施结构图并根据图中的区域划分IP地址，合理地规划IP地址规划有效地提高路由算法，加快路由收敛速度，还考虑到了地址的可管理性。同时，为了更好的管理网络设备，规划一个管理VLAN和管理IP，让管理员可以远程登录网络设备，方便网络的维护。在不同的区域使用不同的区域VLAN和IP地址避免地址冲突或者地址不够用等情况。S二中的VLAN规划和IP地址划分表如3.2所示：表3.2VLAN的划分和IP地址分配表Table3.2VLANdivisionandIPaddressallocation建筑物名称VLAN网络地址子网掩码IP地址范围默认网关办公楼（一楼）10-5354办公楼（四楼）11-5354图书馆12-5354无线业务地址13-5354教学楼114-5354教学楼215-5354教学楼316-5354教学楼417-5354教师公寓118-5354教师公寓219-5354设备管理地址99-53543.4DHCP动态地址分配协议DHCP动态地址分配协议可实现IP地址的动态分配，相对手工配置IP来说，可以减少工作量，也可避免手工配错IP。当配置好并开启DHCO服务时，客户端可以自动随机地获取DHCP地址池中的IP地址、网关、DNS服务器等信息。DHCP服务配置在SW1和SW2地核心交换机里，由SW1和SW2统一下发给相对应的VLAN和IP地址，对应的DHCP地址池客户机可随机获得一个动态地址，在客户机重新启动时，获取的动态地址也会更新但不会获取原来得到地址。使用DHCP动态分配减少不必要的手动配置静态，避免IP地址的冲突。考虑到学校的一些重要部门会使用一些静态地址并在SW1和SW2上配置DHCP池时会预留一些地址，在此SW1和SW2配置DHCP时会预留三十个静态IP地址进行不分配。DHCP配置在SW1和SW2的核心交换机上，在SW3的汇聚层设置了DHCP中继，并且每一台汇聚都有对应DHCP中继地址池的IP地址，如SW1到SW3的DHCP中继是使用该楼层的业务网关为中继。3.5NAT网络地址转换协议校园网链接到外网会存在一些网络问题，容易暴露校园网的内部私有地址。使用NAT地址转换把私有地址转换为外网地址，避免校园网的私有地址暴露在外网中，这样不会被一些黑客利用到私有地址进行网络攻击等行为。还可以使用NAT转换网络端口，如80端口等一些网上风险较大的端口进行NAT转换，在一定程度保护网络安全。校园网的FW1具备路由等功能，使用NAT多对多的转换方式并在FW1设置NAT地址转换地外网地址池。通过在FW1的NAT策略转换把内部地址变成外部地址实现互联网互通，并在FW1设置安全策略如监测流量等策略安全。3.6VRRP虚拟路由器冗余协议在密集地网络里可能会存在一些网络故障，比如一些物理链路的问题导致链路中断，使网络无法通信，采用VRRP虚拟路由冗余协议进行解决。VRRP组里存在一个主设备，也可以存在多台备用设备。一旦主设备的链路启用不了，它就会提供动态的故障转移机制切换到备用设备进行通信，VRRP也称为备份路由协议。使用该协议保证网络的稳定性，确保网络在故障切换不影响业务的情况下运行保证了网络的可靠性。VRRP的配置在SW1和SW2的核心层中，在配置VRRP的过程要确保它们在一个组上和IP地址对应。VRRP在SW1和SW2对应的情况下配置虚拟IP，使用的IP地址为它们的网关。并在SW1对应SW3的VRRP链路上设置优先级，最大的为主设备，小的为备。例如SW3办公楼的汇聚连接SW1和SW2的核心链路上配置VRRP，若是该链路出现故障时保证楼层业务正常通信的情况下实现切换，在此其它楼层的配置也是如此，要核对该楼层的业务地址并配置虚拟IP确保网络互通。3.7ACL访问控制列表ACL是过滤网络访问的控制技术，能够设置规则对端口进行设定过滤网络数据从而提高网络安全。本次使用该技术是进行对IP地址的过滤，让其它地址无法远程访问网络设备进行管理。为了日后方便管理网络设备，例如在SW1上设置ACL并允许管理地址通过，其它的业务地址和端口互通的地址都无法远程访问控制网络设备。其它的网络设备配置也是如此无需修改任何IP地址，只要在ACL上设置允许管理地址，拒绝所有不属于管理地址访问。3.8MSTP生成数在配置环境VRRP冗余是会出现环路的问题，例如一些VRRP在主备抢占之类，从而导致主备设备同时发生数据，产生环路。采用MSTP生成树协议在主设备上设置优先级设置为最小，最小的为根桥从而消除环路。在本次模拟校园网拓扑图中，启用VRRP冗余导致SW1和SW2都认为自己是根桥，从而形成了两边都在抢占导致两边同时发数据包，形成环路消耗设备资源，在SW1和SW2的核心交换机里配置MSTP生成数，设置主备优先级，如一些vlan走SW1核心交换机，有的走SW2核心交换机。这样有效合理的利用资源，解决冗余抢占环路的问题，从而保证了网络通信。3.9远程控制为了日后更好的管理网络设备，如需要创建和放行那个VLAN或修改端口配置，让管理员减少去设备间的路程。采用SSH和Telnet提供远程，有助于日后管理员更好的管理网络。使用该技术实施在核心层和汇聚层的设备上，配置都是一样没有改变任何的IP地址。如SW1的核心交换机实施并绑定ACL保证管理VLAN能够远程访问。3.10链路聚合链路聚合运用在SW1和SW2核心交换机之间并捆绑两个端口进行链路聚合，捆绑SW1和SW2的两个端口形成一个逻辑端口，启用LACP模式使用默认并没有进行数量和抢占功等能。SW1和SW2的捆绑有效提高数据的传输、增加链路带宽、从而实现数据的快速转发。3.11防火墙FW1是网络防御的一个重要部件组合，是通过端口添加在不同的安全域里面使用策略进行网络过滤。在此结合S二中的网络搭建在FW1里配置NAT策略，在连接外网和内网的端口添加Trust区域和Untrust区域使用安全策略实现通信，并监听流量控制。通过FW1在不同的安全策略下完成限制和隔离网络等维护校园网网络的安全。

4校园网物理网络设计4.1综合布线设计S二中的综合布线根据GB5311国家标准来实施。并且综合布线需要满足S二中的网络需求，且保证网络稳定可通信的前提下，尽可能节约成本。接下来综合布线设计结合S二中的办公楼为例，使用所学的综合布线知识设计办公楼的物理网络结构，其它楼层参考办公楼的设计。本次设计布线系统为下：工作区子系统：工作区子系统又称为服务区子系统，以办公楼为例，布置在办公室里的信息插座。使用两个端口的信息插座，信息插座的安装距离地面高低为0.3米与旁边的电源插座应保持0.2米的距离与使用设备终端距离小于5米的墙面上，信息插座使用跟终端设备的网卡接口类型一致的模块，当然有的办公室是地面信息插座，但设置安装是一样的；水平子系统：水平子系统也是水平干线子系统，是连接工作区到管理间的一部分，以办公楼为例，工作区是办公室的信息插座到放置设备的管理间这一段。在这一段距离使用超五类双绞线从管理间的配线架链接到工作区的信息插座。双绞线的信道长度不能超过100米，超过100米需要再设一个管理间。布置的双绞线避免跟强电供电线路平行，防止线路受到干扰。若必须跟强电供电线路平行，安装非屏蔽双绞线时，距离强电电缆至少0.3米，部署屏蔽双绞线时，应距离强电电缆至少0.07米；垂直子系统：垂直子系统又称为干线子系统，以办公楼为例在每一层管理间安装垂直桥架，通过使用多模多芯光纤将各层管理间和设备间相连；建筑群子系统：建筑群子系统是将各个设备间的设备有效相连，设备间一般都是设置人来稀少的地方避免干扰，如办公楼的楼梯间，在设置建筑群子系统时都会预留一些空间，为未来的发展；设备间子系统：以办公楼的摆放为例，用于管理一层楼的设备，该设备间一般摆放于楼梯间，并做好散热和空气流通等措施；管理间子系统：以办公楼为例，每一层楼都设有一个管理间，用于存放该楼层的接入交换机进行集中管理，如果楼层面积大可设置两个管理间。在设计时，一般以优先考虑弱电间，如没有弱电间可采用悬挂式挂在墙壁上并备注好线路的标志。4.2信息点分配S二中有4教学楼、1栋办公楼、办公楼1栋、教师公寓3栋、图书馆1个、会议室1个，以下是配置信息点的需求，如表下4.1所示：表4.1信息点配置表Table4.1configurationofinformationpoints建筑物数量信息点办公楼1楼1楼150办公楼4楼1楼150图书馆1个100教师公寓11栋200教师公寓21栋200教学楼11栋100教学楼21栋100教学楼31栋100教学楼41栋1004.3网络设备选型设备的选型也是很重要，选型表如4.2所示：表4.2设备选型表Table4.2equipmentselection应用层设备型号传输速率价格（元）接入层华为S3700-52P-EI(AC)10/100Mbps3552汇聚层华为S5700S-28X-LI-AC10/100/1000Mbps3949核心层华为S6700-24-EI10/100/1000/10000Mbps35677核心层华为USG6515E10/100/1000/10000Mbps13500汇聚层的交换机用于集中接入楼层交换机的数据通信，在选择设备时一般比接入层的性能要好，还要较高的传输率，因此选择汇聚层交换机需要具备高速转发性能。核心层的交换机是整个网络的主干，在部署学校网时采取的核心交换机必须拥有更好的冗余性、吞吐量等和相对较低的延时性。因此核心层的交换机必须选择满足高速转发数据提供快速、可靠性。接入层是直接面对用户的PC设备选择的型号和速率都是符合楼层设计，用于完成用户流量的接入和隔离。

5网络功能配置与测试5.1VLAN配置S二中的网络功能实施，以办公楼的SW3汇聚为例配置VLAN。其它的网络设备也是如此配置命令基本相似，配置业务VLAN可根据表3.2的VLAN划分和IP规划进行配置。进入办公楼的汇聚SW3的配置界面进行配置，在配置界面输入VLAN然后根据不同区域配置VLAN并在端口放行。具体配置如下：Vlan10//创建单个vlanVlanbatch1011//可创建多个vlan5.2DHCP配置在核心层SW1配置不同区域的VLAN并配置DHCP地址池，办公楼SW3汇聚配置DHCP中继。使终端PC获取对应楼层动态IP地址、网关等地址信息。接来以办公楼的DHCP配置为例，在此其它楼层的配置也是一致的。除去不同区域的IP地址和VLAN不同，具体IP地址和Vlan划分可根据表3.2的分配表进行参考。配置如下：DHCP地址池的配置：dhcpenable//开启DHCPippoolvlan10//创建DHCP地址池的名词gateway-list54//设置网关networkmask//设置提供给终端设备地址范围excluded-ip-address2050//设置预留地址dns-list//设置DNS设置全局模式：interfaceVlanif10ipaddress54dhcpselectglobal//在端口视图下启用DHCP全局模式在办公楼的SW3汇聚启用DHCP中继：dhcpenableinterfaceVlanif10dhcpselectrelay//启用接口的中继模式(些接口必须为vlan10的直连口)dhcprelayserver-ip54//设置中继转发配置完成，打开测试办公楼PC机可以自动获取创建该网段的动态地址，输入ipconfig可查取是否获得的对应的IP地址。如图5.1所示：图5.1DHCP测试图Figure5.1DHCPtestdiagram配置放在SW1和SW2中，以办公楼的配置为例，其它楼层的DHCP配置命令也是如此，除去不同区域的VLAN和IP地址。图可以参考3.1的拓扑图。5.3无线网络配置部署无线AP的位置在SW3，SW3属于办公楼区域。办公楼教职工的移动设备众多，通过前面的无线网络规划出的VLAN和IP地址可查看3.2的表格。第一步在办公楼的SW3汇聚连接的AP端口上配置：porttrunkallow-passvlan1323//放行业务vlan13，AC的源vlan23porttrunkpvidvlan23//因为AP不能识别TAG标签，需要端口剥离标签识别由于办公楼的AP业务地址池在于SW1和SW2，并开启了DHCP分配下去给无线设备连接，具体配置如下：办公楼的SW3汇聚启用DHCP中继：interfaceVlanif13//无线业务vlandhcpselectrelay//设置无线中继dhcprelayserver-ip54//设置无线中继转发DHCP地址而SW1和SW2提供AP的DHCP地址池：ippoolvlan13//地址池名称gateway-list54//网关networkmask//设置下发的地址范围dns-list//设置DNSoption43sub-option3ascii//建立渠道为AP指定AC地址AC的配置渠道传输业务和下发：capwapsourceinterfaceerfaceVlanif23//建立渠道绑定AC的源vlan23AC的基本配置如下：ap-groupnameap-group1//创建AP组，方便后面其他ap加入，名字是ap-group1regulatory-domain-profilenamedefault//创建域管理模版，名字defaultcountry-codeCN//国家代码CNap-groupnameap-group1//模板和域管理模板绑定regulatory-domain-profiledefault//绑定模板apauth-modemac-auth//AP上线的方式MAC认证ap-id0ap-mac00E0-FC76-2570//绑定AP的mac地址ap-namearea_1//这个AP的区域命名为area_1ap-groupap-group1//AP加入组ap-group1security-profilenamewifi//创建安全模板securitywpa-wpa2pskpass-phrasea12345678aes//认证方式和密码，在安全模板ssid-profilenamewifi//创建SSID模板，名称为wifissidwifi//绑定命名，在SSID模板下配置vap-profilenamewifi//创建VAP模板，配置业务数据转发模式，forward-modedirect-forward//转发模式，在VAP模板下配置service-vlanvlan-id13//配置业务vlan，在VAP模板下配置security-profilewifi//调用安全模板，在VAP模板下配置ssid-profilewifi//调用SSID模板，在VAP模板下配置完成以上配置AC就可以识别到AP并进行管理，让办公楼的移动PC获取移动地址。如图5.2所示：图5.2无线配置测试Figure5.2wirelessconfigurationtest5.4OSPF配置OSPF配置核心层的SW1和SW2设备中，不同区域的网关都放在SW1和SW2里。在SW1和SW2配置的OSPF与其它设备配置OSPF是一样的，宣告本区域的地址，OSFP使用单区域的模式。地址划分可以参考3.1拓扑图里的IP地址，配置如下：ospf1//创建进程为1area0//区域为0network55//宣告该区域的地址因为不同区域的网关都使用虚拟网关的形式放在核心层的SW1和SW2的设备里，其它的核心设备如FW1和AR1，只要宣告内部IP地址，OSPF采用单区域的形式。宣告的内部IP地址可以参考3.1的拓扑图。5.5VRRP配置以办公楼的SW3汇聚连接在核心层SW1和SW2的链路启用VRRP确定主备核心，其它的楼层链路配置也是如此，除去VLAN和IP地址、以及组号的不同，IP和VLAN以表3.2为主。为了确保主备成功，VRRP的默认优先级是100，越大越优先因此把SW1的优先级修改为200。例如办公楼的组号是1，VRRP配置如下：interfaceVlanif10//办公楼一楼的业务VLANipaddress52//办公楼一楼的业务VLAN地址vrrpvrid1virtual-ip54//办公楼一楼的业务VLAN虚拟网关vrrpvrid1priority200//优先级设置为200vrrpvrid1trackinterfaceGigabitEthernet0/0/5reduced30//追踪该端口，当该端口出现故障，降为30。配置完，测试VRRP是否成功，在核心交换机查询便可。如图5.3所示：图5.3VRRP配置查看Figure5.3VRRPconfigurationview配置链路以办公楼到核心的那天链路为演示，其它楼层的配置也是一样的，根据前面表3.2的分划配置不同区域IP地址和VLAN，线路参考以3.1的拓扑图为主。5.6MSTP配置在前面SW1和SW2配置VRRP冗余，会出现抢占的情况。为了避免抢占和有效的利用资源，在MSTP上设置策略让一部分业务VLAN走SW1，一部分走SW2。如教学楼1走SW2，办公楼走SW1。该配置在SW1和SW2核心上进行实施，具体配置如下：SW1的配置：stpmodemstp//模式为MSTP，默认的情况下就是MSTP模式stpregion-configuration//进入MSTP配置模式region-nameHX//配置域instance1vlan1012to1319to21//将业务vlan加入实列1中instance2vlan1114to18//将业务vlan加入实列2中activeregion-configuration//激活配置stpinstance1rootprimary//配置1为主根stpinstance2rootsecondary//配置2为备根SW2的配置：stpregion-configuration//进入MSTP配置模式region-nameHX//配置域instance1vlan1012to1319to21//将业务vlan加入实列1中instance2vlan1114to18//将业务vlan加入实列2中activeregion-configuration//激活配置stpinstance1rootsecondary//配置1为主根stpinstance2rootprimary//配置2为备根配置完成，可以查看教学楼1的端口状态一个为根、一个为备，如图5.4所示：图5.4MSTP端口状态图Figure5.4MSTPportstatusdiagram5.7ACL配置为了方便管理网络设备，在设置管理VLAN的情况下，防止其它网络的远程。采用高级ACL进行限制其它地址的远程，可通过前面图3.1了解不同区域的管理地址，每一台的设备配置的ACL都是相同的。配置如下：aclnumber3000//创建ACL3000rule5permitipsource55//放行地址rule10denyipsourceanyany//限制其它所有地址使用ACL放入远程：user-interfacevty04acl3000inbound//执行ACL3000使用管理地址远程如图5.5所示：图5.5使用管理地址远程的测试Figure5.5remotetestusingmanagementaddress使用不是管理地址进行远程是不可通的。如图5.6所示：图5.6不是管理地址远程的测试Figure5.6remotetestwithoutmanagementaddress5.8NAT配置内网连通外网通过NAT转化，NAT的