利用现代技术进行网络化建设-校园网搭建

摘要在教育体制改革的过程中，世界各国都在加快教育体制的现代化进程，信息化水平也逐渐成为了国家综合国力的体现。为了加快国民教育信息化改革，必须利用现代技术进行网络化建设。学校主要通过教育战略建设网络文化，为现代教育提供创新优势，更好的营造校园网络文化氛围。本文以某高校校园网的建设作为背景，立足实际，对校园分布和网络需求进行分析，设计了一套适合高校校园网的建设方案。本设计采用了典型的三层物理结构的网络建设模式，这需要三层交换、VLAN、NAT、VPN等很多相关技术。对于一个好的校园网来讲，合理的拓扑结构和VLAN和IP地址规划同等重要。因此，结合学校的实际情况，详细规划了VLAN和IP地址，基于ENSP的设计部署之后，达到了预期的目标。关键词：校园网，VLAN，三层交换，拓扑结构

AbstractIntheprocessofeducationalsystemreform,countriesallovertheworldareacceleratingthemodernizationofeducationalsystem,andthelevelofinformatizationhasgraduallybecometheembodimentofnationalcomprehensivenationalstrength.Inordertospeedupthereformofnationaleducationinformatization,wemustusemoderntechnologyfornetworkconstruction.Theschoolmainlyconstructsthenetworkculturethroughtheeducationstrategytoprovideinnovativeadvantagesformoderneducationandbettercreatethecampusnetworkcultureatmosphere.Thispapertakestheconstructionofauniversitycampusnetworkasthebackground,basedonthereality,anddesignsasetofconstructionschemesuitablefortheuniversitycampusnetworkbyanalyzingthecampusdistributionandnetworkdemand.Thisdesignadoptsthetypicalnetworkconstructionmodeofthree-tierphysicalstructure,whichrequiresmanyrelatedtechnologies,suchasthree-tierswitching,VLAN,NAT,VPNandsoon.Agoodcampusnetworkshouldnotonlyhaveareasonabletopology,butalsohaveareasonableVLANandIPaddressplanning.Therefore,combinedwiththeactualsituationoftheschool,theVLANandIPaddressareplannedindetail.AfterthedesignanddeploymentbasedonENSP,theexpectedgoalisachieved.Keywords：campusnetwork,VLAN,three-layerswitching,topology

前言高速的信息化发展，给全球带来了空前的发展机遇。置身于全球信息中心的高校也一样，开始了信息化进程。实现校园信息化，实现信息共享，实现教学多媒体化，满足师生的教学和学习要求，计算机技术与现代通信技术呈现出有机结合的趋势，计算机改变了人们的自然生活、生产和学习方式，这个之后进入了一个全新的信息时代[1]。当代社会正处于信息时代的大环境中，各高校也要学会顺应时代发展的潮流，通过教育信息化的手段实现数字化校园的建设，如何建设好数字化校园成为了各高校重要的课题之一。数字化校园的基础就是校园网的搭建和完善，校园网不仅仅可以提高工作效率，改善教学方法，提升管理水平，还在一定程度上解决了时代教育问题。如今，如何利用好现有网络工程建设方法，搭建出一套可靠性强、安全保密性高、具有先进实用性、容易管理且扩展性高的网络系统，成为了各个院校面临的机遇和挑战。校园网属于一种局域网连接，将校园各处的相关设备、中断小型设备和计算机连接起来，于同一网络中实现整体协调应用，并能综合管理学校的老师里的各种网络使用的设备，提高学校高效管理，促进教学资源共享[2]。本文首先对校园网研究的背景和意义做了一定阐述，进而明确研究内容、需求分析和设计思路，同时在已有的知识储备基础之上，参考了一些高校校园网和职业院校校园网设计的成功案例，并进行分析，结合院校的实际分布情况和网络需求，完成了两校区之间以及两校区对外部网络之间的网络互联和资源共享。1绪论1.1研究背景和意义在信息技术的飞速发展的大背景之下，传统的教育模式不断的受到网络发展进程的影响。大学网络是大学计算机科学建设的基础。随着大学信息化进程的加快，构建完备可靠的数字校园网络是大学的核心任务和重点工作，校园网络将教育、科研、服务、学生管理以及校园网络安全有机结合，确保大学各部门之间的信息共享。大学不仅是教育院校，更是学生融入社会的重要责任方。大学网络的建立是构成广泛而复杂体系的大学的必然选择。此外，亦为学校管理和办公室自动化，以及使学生早日融入社会，提供了可靠、稳定和有效的平台。作为二十一世纪的合格专业人士，他们必须具备广泛的知识，提高教育的成效。目前许多新的教学方法有助于学生通过多种途径学习，同时他们也比以前获得了更多的文化知识，因为先进的教学手段要利用互联网进行，所以将学校网络打造为专业的、交互式的局域网是必要前提，学校网络应推动师生尽快提升资讯科技的应用水平。学校网络为教师提供现代化的辅助教学工具和丰富的资源基础，在一定程度上可以提高教育质量、推进教育体制改革。1.2国内外研究现状1.2.1国内研究现状校园网络在一定程度上反映了国内网络的发展现状，1994年中国启动了CERNET项目。同年，清华大学等高等院校建立了自己的校园网，1994年至2000年，校园内的各种网络技术可以说是多样化的，具有代表性的有以太网、FDI、ATM、FR等网络技术。由于在这段期间，学校网络采用了更为复杂的技术，其活动相对单一。因此，网络连接和兼容性在这一时期尤为重要，在2000年至2005年期间，随着互联网技术的发展，出现了BBS、WW、FTP、电子邮件、BT下载、JIPTV、视频会议等新业务带来的带宽问题。同时，针对以太网技术的飞速发展，在学校网络中引入了“以太网”网络，并介绍了“EIE”标准。为了满足这些大范围的基本业务需求，此时工程和应用在校区的流动性得到了扩展。在2002年，北京大学和香港大学联合发起的亚洲第一个国际大学信息化研究“ACCS”对学校网络提出了更高的要求，通过多方面的分析，认为现有的学校网络存在以下缺陷：网络结构层次不够，设备陈旧，网络可靠性太弱，网络管理工作复杂，网络出口安全性差，无线覆盖不够。正是由于互联网与学校紧密相连，中国教育科学研究计算机网络(CERNET)于1994年在全国建立起来。中国教育科学研究网络正式开通后，中国教育科学研究网络第二阶段工程于1998年10月正式启动，该网络汇集了全国数百所学校，为广大师生提供了新的网络环境。除了达到连接1000所大学的目标外，有关的中、小学亦有互联网的设施。由于科技发展日新月异，中小学的校园网络问题逐渐被提上日程，国外院校的网络建设相较于国内院校网络建设来讲，校园结构和应用都比较完善，网络设备和计算机技术得到了充分利用。为此，学校网络建设的下一个工作方向将是利用网络设备，更有效地利用各种技术手段，完善学校的各种教学和办公系统，提高其应用水平。1.2.2国外研究现状在20世纪90年代初期，信息技术和通讯技术得到了迅速的发展和广泛的应用，美国的社会学家曼纽尔·卡斯特探讨了互联网对人类社会的利弊及其未来的演变理论，当技术和信息迅速发展时，社会系统在网络的基础之上属于动态开放的范畴内，不会影响一种容易改变的平衡，在创新方向上更加容易。此外，就“信息社会与网络的关系”这一历史趋势而言，信息社会代表着社会新形态，社会规范和变革也源自于信息社会，而网络是构建信息社会基本功能和基本方法的核心，卡斯特尔曾经说过：“信息社会发展的基本框架是网络。”此外，本报告首次将教育信息化等问题作为美国教育改革的重要方向和基本切入点。在这种社会背景下，教育信息化已成为美国乃至世界教育改革与发展的核心内容[3]。校园信息化的概念是由一个美国大学教授在1990年提出的，同时校园信息化项目被列为美国大学信息化研究项目中的重要部分，该项目深入研究长达13年之久，被列为世界上最具代表性的学术研究项目之一。可以说，高等教育信息化的研究是不可阻挡的，这项研究仍然是当今世界各个国家的教育研究者所要积极探索的重要研究课题。1.3研究内容与方法根据学院现有校园网建设需要，结合未来的发展机制，将创建一个支持数据、语音、图像、媒体和其他教育信息的学校信息的传输系统，在搭建过程中尽可能地减少运营成本，在数据传输自动化和运用多媒体进行教学管理性能和速率方面有所提升，这可能包括现有和未来的网络程序，如图书馆统计和互联网。网络总体规划根据大学校园的建筑布局、各建筑物的网络分布和学校的网络应用情况，采用分层分区的设计思想，对网络功能的划分、运行、维护和管理更加方便。本论文时所构建版式设计采用典型的三层基本结构：接入层、汇聚层、核心层。网络主干部分是整个网络性能的保证，所以核心层占据很重要的部分，核心层的主要设定目标是实现高速通信数据发送实现高速转可靠的主传输结构。因此，可靠度高、效率高、冗余性、可用性强、可控性强、适应性强和低延迟的特性是必须要拥有的。因为主层是一个网络节点，作为枢纽中心的核心层是非常重要的。所以，位于核心层的交换机应该是可控的兆位，甚至是百万兆位开关，并具有高带宽、高可靠性、高性能和吞吐量的特性。汇聚层在中间的固定位置，用于相互连接上部的核心层和下部的接入层。汇聚器层的基本功能包括实施执行策略方法、工作组访问、路由地址过滤、或目标地址过滤等。它是实现整体策略的地方。一般来讲，在网络中直接把面向网络访问或终端用户连接的网络被称为接入层，它具体来讲解决相邻用户之间的相互访问基本需求，并提供了在本地网段访问应用系统的技术能力，进而提供足够的网络带宽。2需求分析2.1网络现状某学院成立于2018年，总校区位于杭州市，分校区位于成都市，校园总校区有约4000人，分校区有约2500人，校园总校区需要600个信息点，分校区需要400个信息点，总校区一共有4个栋大楼，分别是教学楼、教务处、行政楼和实验楼。分校区一共有2栋大楼，分别为教学楼和教务处。由于校园的业务升级，原来的网络过于陈旧，已经满足不了校园的需求，现在需要重新搭建网络，校园的网络业务非常重要，所以要求整体网络满足高性能和高可靠，总校区需要一个无线网络，初始密码设置为123456789，总校区和分校区都需要安装防火墙，并且需要在校园总校区和分校区的防火墙出口之间需要搭建一个VPN网络，满足总校区和分校区的内网之间互通，校园总校区有一台FTP和WWW服务器，主要供校园总校区和分校区的电脑存储项目时使用，校园向电信运营商申请了两个公网IP地址，总校区为/30，分校区为/30。2.2网络设计原则2.2.1网络系统设计原则本文从某学院两校区的实际需求出发，注重具体的方案应该与该学院的实际情况相结合，并考虑网络的可靠性、安全保密性、先进实用性、易管理性和可扩展性等诸多方面。在方案设计中需要遵循以下设计原则:(1)可靠性无论哪一种大学网络，其高的可靠性和高的稳定性都是学校建立的首要目的。由于学校一卡通系统的建立，学校的学生和老师们的日常生活都是在网上完成的，如果这个系统出现了问题，对学校的学生和财务部门都会有很大的影响。因此，如何在最短的时间里，让学校的网络恢复到最稳定的状态，并确保学校的工作稳定，这是学校在进行校园网设计的时候，通过设置冗余备份，以确保校园网的可靠和稳定。(2)安全保密性大学的校园网并不是完全的机密，但也不能让任何居心叵测的人随意进入，因为，不管是学生的资料，还是考试的试卷，都是学校的机密，不能被无关人员看到，所以，在建设的时候，必须要考虑到网络的安全保密性，通过防火墙拦截和内部访问控制有效确保校园网的安全。(3)先进实用性因为学校的校园面积不大，所以学校的网络并没有太多的学生和学生的个人资料，所以学校的网络并不是很大。然而，由于课堂上的大量的多媒体资源，以及对校园网的各种性能指标的需求，使得学校的校园网能够更好的满足教育的需求，从而达到更好的效果，因此，我们提出的校园网必须具备一定的先进性和实践性，它不但要在网络的设计和软硬件上更加的先进，而且要确保在高效能的前提下，能够灵活、稳定地工作，并且要便于网络的扩充和更新，以及网络的日常保养。(4)易管理性系统的易管理性对决策起着决定性的作用，而对其进行管理也是不可或缺的一部分。因此，在网络的构建中要以后的维护与维护提供便利，在硬件上，应便于维护和替换，合理地布置和布置设备，并制订最科学的网络管理战略，使得校内的日常维护和管理工作，更加简单、有效，而且，网络和它的所有关键的支撑服务和设备，都便于监控，从而能够实现正确的校正和预防的工作。(5)可扩展性目前来看，学院是处于一个逐渐发展壮大的阶段的，后期的规模也会远超前期，因此校园网的建设也成为了分期建设工程，首先需要根据校园网当前的规模建立成初期的基本框架，再根据发展扩大的状况逐步扩充。所以，在设计校园网的时候，各项网络设备的可扩展性就显得尤为重要，在结构布局和布线等方面既要达到国际标准，保障系统的运行和安全，又要提高灵活度，为以后网络的扩展升级留有冗余，能够适应后期系统的扩展以及软件版本的升级更新，以此来奠定日后的学院壮大扩建中校园网需求的良好基础，节省学院的先后期资金、人力、物力等投入，同时也很好的响应国家倡导的节约资源、保护环境的消费方式，避免因为重复投资导致浪费现象。2.2.2网络设备选用原则(1)更好的扩充和升级放眼看向未来，不论是我国的哪一所院校，它都是会随着发展而不断变化的，因此在建设校园网的时候，也会将校园网看作是一个动态建立的过程，随着学校的不断发展变化，旧设备以及旧设备的结构空间不再满足于当前学校的发展需要，所以在网络扩展升级的过程当中，会不断地增添新的模块，升级软件版本，扩大网络的规模，以此来提升网络性能。为了能使校园网顺应学校的发展方向，提供更加优质的服务，在主要设备的选择上，拥有易于扩展特性的产品成为了第一选择，想要实现扩容的时候，按照增加模块就可以实现扩容的标准选用设备，这样不仅可以轻松的实现扩容，还可以避免资金的过度浪费。(2)易于管理建立校园网是一个重大的工程，校园网的维护是一个要耗费很长时间的工作，势必会投入大量的人力物力，虽然建立得很快，但也不可能一步到位，因为要节省工作量和成本，所以在挑选校园网建设设备的时候，要充分考虑到在日常生活中对校园网的维护需求，选用便于管理易维护的设备和建设标准，做到长效化监管。用相应的技术智能化管理硬件与软件也不失为一个优质的方法，充分简化、优化维护管理程序和过程。(3)高性能价格比、可靠当前，国内、外的网络装置厂商数量繁多，其中包括思科、华为、华三等品牌的路由器、路由器、硬件、防火墙都是主流，除了联想、惠普、戴尔这些著名品牌之外，国内一些小众品牌的设备也是层出不穷，一定要各方对比之后再选择网络设备，保证质优价廉，我们要重视品牌但不一定选择名牌，不能只看品牌不看价格，也不能只看价格不看质量和品牌，要选择可靠与性价比高并存的设备。(4)售后服务到位在校园网的运行过程中，所应用的的设备是多种多样的，其中有一些设备是在无休止的工作的，例如：交换机、路由器、防火墙等，这就要求设备必须具有稳定且质量高的特点，并且在出现问题的时候能够以最快的速度得以解决，尽量不会影响正常的教学活动和办公秩序。所以选择设备服务商的时候，一定要选择售后服务较为优质的服务商，最好是可以“一条龙服务”，在遇到问题的时候，可以快速回复，提供相应的解决方案，保证校园网可以不间断的为广大师生服务。2.3网络建设目标任何网络功能的实现都需要以安全管理为重要的基础，根据校园的背景和网络现状的介绍，可以知道该校园所需要的信息点数量也较多，如果手动去配置IP地址，那么会非常麻烦，因此每个电脑都需要自动获取IP地址，校园的网络业务比较重要，那么内网可以使用双核心三层网络，在核心网络上使用MSTP+VRRP的配置，此配置可以实现内部网络的负载均衡和冗余，将使用OSPF动态路由协议来设置内网路由，来保证各个大楼的电脑之间可以无障碍互相访问，在访问互联网上，由于校园总校区和分校区的公网出口IP只有一个，那么可以配置EASY-IP来实现端口转换地址复用，就可以解决校园所有电脑访问互联网的需求，学院总校区与学院分校区之间可以建立一条IPSecVPN网络，用来实现总校区和分校区之间的互相访问。3总体设计3.1校园网络整体架构在传统的大型数据中心中，网络结构通常是三层结构。其中包括三个层次：接入层、汇聚层、核心层，主要功能分别为：将工作站连接到网络、提供基于策略的连接、网络的高速交换[4]。本实验将采用核心层-汇聚层-接入层的三层网络结构，这样的结构不但利于网络搭建和拓展，更重要的是网络便于维护，当网络出现问题时，管理员能够及时找出问题所在，在核心层网络上，配置VRRP和MSTP，既能防止网络环路的产生，还能起到路由冗余备份和负载均衡，使网络性能得到最大化。设计的网络拓扑图如图3.1所示：图3.1网络拓扑图Fig.3.1networktopology3.2设备选用以及备选在本次设计中，我们二层交换机选择的是华为的S1730S-S48T4S-A，三层交换机选择的是华为的S5735S-L32ST4X-A，防火墙选择的是华为的USG6325E-AC。3.2.1接入层和汇聚层交换机一般来讲，接入层不仅直接面向网络访问，还会直接面向终端用户。若终端用户想要访问本地网段的相邻用户，则可以通过接入层的实现访问需求，进而提供足够的网络带宽。正是由于接入层可以使终端用户快速链接网络的主要目的，接入层交换机通常有低成本和高密度端口的特点，在投入使用时，往往是性价比相对较高的。核心层和接入层由汇聚层相互连接，位于中心的固定位置，核心网络交换机是它的上部，接入层交换机是它的下部。基本功能包括实施执行策略方法、路由地址过滤、目标地址过滤VLAN之间的源地址、工作组访问、安全性等。由于汇聚层是实现整体策略的关键，因此交换器能够从接入层装置接收的全部通信量，还能向核心层供应上行链路，所以与接入级交换器相比，需要更高的效率和切换速率，并且接口更少。三层交换机样式图如图3.2所示：图3.2三层交换机样式图3.2.2核心层交换机核心层是高速的交换机最重要的部分，在网络中发挥着关键的功能。核心层应具备以下特征：强可靠性、有效性、冗余性，容错性，易于管理，低延时性等[5]。核心层应选用高频段的交换机，核心层的器件有两台冗余备用，并利用负荷平衡的方式提高了系统的运行效率。最好是在主干层次上尽可能地实现对网络的控制。因为核心层是整个网络最核心最重要的部分，它的作用是非常显著的。三层交换机样式图如图3.3所示：图3.3三层交换机样式图3.2.3防火墙防火墙技术是将各种安全管理和过滤的各种软体和硬件设施有机地整合在一起，在内部网和外部网之间建立起一种隔离的防护，从而保证使用者的数据和数据的安全。防火墙可以在很大程度上增强内部网的安全性，并减少对非安全业务的过滤。例如，通过一个防火墙，可以阻止非安全性的NFS协议进入或进入到被保护的网路，从而使外来入侵的人无法使用这种易被入侵的协定来攻破内部网路。同时，防火墙也能够阻止所有普通类型的袭击，并向系统管理者报告。防火墙样式图如图3.4所示：图3.4防火墙样式图4项目实现4.1子网划分伴随着校园网的逐步建成，对校园网的管理标准也随之提高。当前，校园网内的计算机数量是呈增加的趋势，同时广播的数量增加，由于学院内的计算机数量较多，此时就需要将大的广播域划分为很多个小的广播域，来强化网络管理和网络安全，所以在本次实验中根据校园的部门将校园网划分为若干个子网，具体设计的VLAN划分如表4.1、表4.2、表4.3所示：表4.1总校区Tab.4.1GeneralCampusLAN表4.2分校区Tab.4.2campusesLAN44表4.3各个设备的IP地址划分Tab.4.3IPaddressdivisionofeachequipmentGEGEGEGEGEGEGE4.2路由协议及规划关于路由策略，有两种结构：静态和动态。动静态路由的概念是相对的，当路由器之间进行信息交换的时候，能够产生特定的路由信息并自动生成路由表，当链路和节点产生变化的时候，路由表也可以随着变化进行自我更新调整。当出现节点自身或者节点与节点之间的链路发生一些不可预料的故障，或者存在其他的可用路由的时候，选择使用动态路由可以很好的规避这种障碍并继续传输数据包。静态路由的最大优点是在网络数据的传输过程中，更好的保证了安全性，防止数据的外泄，且路由器不需要频繁交换路由表、占用网络带宽、产生更新流量。出于实用性考虑，本实验使用了校园内网都使用单区域的OSPF动态路由，动态路由和静态路由相结合的方法。4.3系统的具体实现4.3.1VLAN的配置划分VLAN(虚拟局域网)是用户和设备的逻辑集合。功能、部门和应用程序是影响用户与设备之间通信的因素，虚拟局域网能够参照影响因素组织起来，实现通信。目前主要有四种vlan实现技术：基于mac地址、端口、ip组播、网络层划分vlan[6]。通过分段，在更大的局域网中创建不同的VLAN，可以抵御广播风暴的影响，同时可以配置更多的防火墙，提高网络安全性，提高工作效率和访问速度。主要设计部分以教学楼交换机为例(其他部门VLAN配置类似)：[S1]vlan10//创建vlan10[S1]inte0/0/2//进入接口e0/0/2[S1-Ethernet0/0/2]portlink-taccess//设置接口类型为access[S1-Ethernet0/0/2]portdevlan10//划分vlan10到接口上[S1-Ethernet0/0/2]unshut//开启接口[S1-Ethernet0/0/2]inte0/0/3//进入接口e0/0/3[S1-Ethernet0/0/3]portlink-taccess//设置接口类型为access[S1-Ethernet0/0/3]portdevlan20//划分VLAN20到接口上[S1-Ethernet0/0/3]unshut//开启接口[S1-Ethernet0/0/3]inte0/0/1//进入接口e0/0/1[S1-Ethernet0/0/1]portlink-ttrunk//设置接口类型为trunk[S1-Ethernet0/0/1]porttralvlal//允许所有vlan通过[S1-Ethernet0/0/1]unshut//开启接口4.3.2MSTP多生成树协议MSTP将环网规模化为无环树网，可以有效避免数据包的扩散和无限循环，同时也为数据转发和数据传输提供了多条冗余的路径[7]。在MSTP中，相互联通的整个二层网络被划分为多个域，在各个域中，又可以将vlan划分成若干个拓扑结构相同的组，然后定义若干个MSTI，将这些生成树实例映射到不同的vlan。本例中的交换机都使用二层接口运行MSTP。这里的配置思路是，汇聚交换机S5作为vlan10、vlan20的主根，同时作为vlan30和vlan40的次根，汇聚交换机S6的配置刚好相反。[S5]stpmodemstp//设置STP模式为MSTP[S5]stpregion-configuration//进入STP配置界面[S5-mst-region]instance1vlan10//设置一个实例1代表vlan10[S5-mst-region]instance2vlan20//设置一个实例2代表vlan20[S5-mst-region]instance3vlan30//设置一个实例3代表vlan30[S5-mst-region]instance4vlan40//设置一个实例4代表vlan40[S5-mst-region]activeregion-configuration//激活配置[S5-mst-region]q[S5]stpinstance1rootprimary//设置S5为实例1的主根[S5]stpinstance2rootprimary//设置S5为实例2的主根[S5]stpinstance3rootsecondary//设置S5为实例3的次根[S5]stpinstance4rootsecondary//设置S5为实例4的次根4.3.3VRRP的配置目前，TCP/IP网络的使用至关重要，几乎所有公司、政府或私人机构都依赖该网络开展业务并继续通信。链路故障或设备故障导致的网络故障是非常不可接受的，因为它会中断业务和通信活动，使用VRRP方法可以提供克服网络故障的解决方案[12]。在网路中，如果主机想要去发送的目的地址不在当前网段的时候，数据包就会经过缺省路由被传送到外部路由器，以此来完成当前主机和外部网络的数据传输。VRRP是一种可选择协议，可进行动态分配，它负责将数据包转发到这些虚拟IP地址[8]。以中部为例，这里的配置思路与MSTP配置的思路类似，SW1交换机成为教学楼和教务处的活跃网关，同时成为行政楼和实验楼的备份网关，SW2交换机的配置刚好相反，SW1核心交换机配置如下所示(以VLAN10接口配置为例，VLAN10-40配置相似)：1.配置SVI接口。[SW1-Eth-Trunk1]intvlan10//进入VLAN10[SW1-Vlanif10]ipaddr5324//配置网口IP地址为5324[SW1-Vlanif10]unshut//开启接口Info:InterfaceVlanif10isnotshutdown.2.创建VRRP组，组号为1，设置虚拟IP，关闭抢占模式。[SW1-Vlanif10]vrrpvrid1virtual-ip//设置vrrp的vrid和virtual-ip[SW1-Vlanif10]vrrpvrid1priority150//设置接口参与vrid为1时进行master选举时的优先级为150(默认是100)[SW1-Vlanif10]vrrpvrid1preempt-modetimerdelay5//设置备份组1的抢占延迟时间为5秒[SW1-Vlanif10]intvlan20[SW1-Vlanif20]ipaddr5324[SW1-Vlanif20]unshutInfo:InterfaceVlanif20isnotshutdown.4.3.4DHCP和OSPF协议DHCP是一种动态主机配置协议。当用户的主IP被设定为一个动态的访问方式时，DHCP会按照相应的协议把IP分配到客户端，从而让客户端可以通过这个IP进行网络访问。这种协议的功能有两个:一是为局域网或网络服务商将IP地址的自动分配给用户，二是由局域网的管理者负责全部计算机的集中管理。DHCP分配了包括子网掩码、默认网关地址、域名服务器(DNS)在内的多种相关网络参数，当用户的主IP被设定为一个动态的访问方式时，DHCP动态地分配地址，将主机连接到网络，同时也分配网络参数，网络管理员可以将某些子网参数分配给特定用户组[13]。需要在核心交换机上配置Sub-VLAN的IP地址池(以VLAN10为例)，如下所示：[SW1-Vlanif40]ippoolvlan10Info:It'ssuccessfultocreateanIPaddresspool.[SW1-ip-pool-vlan10]gate[SW1-ip-pool-vlan10]netwmask//VLAN10-40分别对应IP地址-[SW1-ip-pool-vlan40]intvlan10[SW1-Vlanif10]dhcpselectglobal//选择地址池给DHCP客户端使用OSPF是一种以链路状态为基础，对在自治系统中的路由表进行处理的一种动态的路由协定。OSPF是专为TCP/IP而开发的，它包含了清晰的CIDR和标识来自于外部的路由路径，同时还能提供路由的更新验证，以及IP组播用于传输/接受的发送。另外，该协定能够迅速地对网络结构变化做出反应，只需要少量的路由业务。[SW2-Vlanif40]ospf1//进入OSPF，进程号为1[SW2-ospf-1]area0//进入区域0[SW2-ospf-1-area-]netw//宣告周围的路由[SW2-ospf-1-area-]netw[SW2-ospf-1-area-]netw[SW2-ospf-1-area-]netw[SW2-ospf-1-area-]netw4.3.5NAT的实现NAT(网络地址转换)是一种将私有地址转变为合法IP的技术，可以防止网络外的攻击，对网络中的电脑进行隐蔽和保护[9]。在NAT的帮助下，“内部”的私有网络经由路由器传送资料分组，将私有地址转变为合法IP地址，而一个局域网仅用少数IP位址(甚至1个)，就可以满足私有位址网路中所有电脑与因特网通讯的要求。在FW1中配置从信任区域到非信任区域的出口NAT安全策略。1.配置从信任区域到非信任区域的出口安全策略。[FW1]policyinterzonetrustuntrustoutbound[FW1-policy-interzone-trust-untrust-outbound]policy0//创建策略0[FW1-policy-interzone-trust-untrust-outbound-0]actper//允许所有连接通过[FW1-policy-interzone-trust-untrust-outbound-0]iproute-static0//配置一条静态路由2.配置从信任区到非信任区的出口NAT安全策略。[FW1]nat-policyinterzonetrustuntrustoutbound[FW1-nat-policy-interzone-trust-untrust-outbound]policy0//创建策略0[FW1-nat-policy-interzone-trust-untrust-outbound-0]policysou55//配置源地址[FW1-nat-policy-interzone-trust-untrust-outbound-0]policydest55[FW1-nat-policy-interzone-trust-untrust-outbound-0]actionno-nat[FW1-nat-policy-interzone-trust-untrust-outbound-0]policy1[FW1-nat-policy-interzone-trust-untrust-outbound-1]actionsource-nat[FW1-nat-policy-interzone-trust-untrust-outbound-1]easy-ipg0/0/3//配置NAT类型为Easy-IP端口复用模式4.3.6IPSecVPN的配置IPSec是一组开放的网络安全协议，为IP网络提供安全性的协议和服务，ESP封装到数据包前会将数据中的有效载荷进行加密，对数据起到了保密的作用，所以本次实验选取ESP封装协议；IPSec的封装模式有两种，分别为：AH、ESP，在使用的时候双方协商出封，一般一并使用。以总校区防火墙的配置为例(分校区防火墙的VPN配置类似)：[FW1]ikeproposal1//创建一个安全提议1[FW1-ike-proposal-1]authentication-methodpre-share//IKE认证方式为预共享秘钥[FW1-ike-proposal-1]authentication-algorithmmd5//IKE算法为md5[FW1-ike-proposal-1]integrity-algorithmaes-xcbc-96//配置IKE完整性算法为aes-xcbc-96[FW1-ike-proposal-1]dhgroup2//使用group2长度协商IKE秘钥[FW1-ike-proposal-1]quit[FW1]ikepeerFW2//创建IKE对等体[FW1-ike-peer-fw2]pre-shared-keyhuawei123//设置预共享秘钥为huawei123[FW1-ike-peer-fw2]remote-address//设置对等体的IP地址[FW1-ike-peer-fw2]ike-proposal1//调用IKE安全提议[FW1-ike-peer-fw2]quit[FW1]ipsecproposalhuawei//创建IPSec安全提议[FW1-ipsec-proposal-huawei]encapsulation-modetunnel//封装为隧道模式[FW1-ipsec-proposal-huawei]transformesp//配置安全提议为esp[FW1-ipsec-proposal-huawei]espencryption-algorithm3des//加密算法为3des[FW1-ipsec-proposal-huawei]espauthentication-algorithmmd5//协议认证算法md5[FW1-ipsec-proposal-huawei]quit[FW1]acl3000//配置感兴趣流量[FW1-acl-adv-3000]rulepermitipsource55destination55[FW1-acl-adv-3000]quit[FW1]ipsecpolicymap1isakmp//创建加密图[FW1-ipsec-policy-isakmp-map-1]ike-peerFW2//调用对等体[FW1-ipsec-policy-isakmp-map-1]proposalhuawei//调用IPSec安全提议[FW1-ipsec-policy-isakmp-map-1]securityacl3000//调用感兴趣流量[FW1-ipsec-policy-isakmp-map-1]quit[FW1]intg0/0/3[FW1-GigabitEthernet0/0/3]ipsecpolicymap//在接口上启用IPSec安全策略[FW1-GigabitEthernet0/0/3]quit[FW1]policyinterzonetrustuntrustinbound//配置分校区内网访问总校区内网[FW1-policy-interzone-trust-untrust-inbound]policy0[FW1-policy-interzone-trust-untrust-inbound-0]policysourcemask[FW1-policy-interzone-trust-untrust-inbound-0]policydestinationmask[FW1-policy-interzone-trust-untrust-inbound-0]actionpermit//允许访问4.3.7无线网络的配置目前的WLAN一般是指802.11无线网络，基于当前技术WLAN的应用，几乎所有的移动互联网都会具备WiFi的基本功能，无线技术已应用于办公、教育、医疗等诸多方面。WLAN由四部分组成：Station(工作站)、AccessPoint、WirelessMedium(无线媒体)、Distribution·System(分布式系统)[10]。无线AC控制器的配置如下所示：[AC1]vlanbatch100200//创建管理VLAN和业务VLAN[AC1]intvlan100[AC1-Vlanif100]ipaddr24[AC1-Vlanif100]dhcpselectinterface[AC1-Vlanif100]intvlan200[AC1-Vlanif200]ipaddr24[AC1-Vlanif200]dhcpselectglobal[AC1-Vlanif200]capwapsourceinterfaceVlanif100[AC1]wlan//进入WLAN全局控制[AC1-wlan-view]regulatory-domain-profilenamedomain-vlan100[AC1-wlan-regulate-domain-domain-vlan100]country-codeCN//设置国家代码[AC1-wlan-view]ssid-profilenamessid-ap-1//配置SSI