毕业论文-高校校园网网络规划与配置

1、南京邮电大学 毕 业 设 计（论 文）题 目高校校园网网络规划与配置专 业信息安全学生姓名班级学号指导教师指导单位计算机学院、软件学院 日期：2014年 3月 10日至2014年6 月13日毕业设计（论文）原创性声明本人郑重声明：所提交的毕业设计（论文），是本人在导师指导下，独立进行研究工作所取得的成果。除文中已注明引用的内容外，本毕业设计（论文）不包含任何其他个人或集体已经发表或撰写过的作品成果。对本研究做出过重要贡献的个人和集体，均已在文中以明确方式标明并表示了谢意。论文作者签名： 日期： 年 月 日摘 要随着计算机的普及，网络设备的更新换代，网络应用到越来越多的地方。高校校园网的规划和建

2、设不仅要以为教职工和学生提供稳定的网络环境为目的，更要考虑到网络的安全性和可扩展性。本文将介绍高校校园网网络规划建设过程应用的网络协议和配置，选择GNS3模拟器建立网络模型，主要以OSPF为园区网络协议，根据实际要求进行校园网网络规划，划分区域，分配IP地址，保证网络的基础连通性，实现两个校区之间的安全通讯。本课题的创新点是：在网络规划中，先用GNS3建立可视化网络模型，合理的避免了单点故障点，做好冗余备份。并以模型为基础，优化网络进行路由汇总，保证路由器之间的安全连接，实现了IPv4网络中IPv6孤岛的可靠通讯，在出口路由器上运用NAT多路复用，提供多样化的网络服务如IPv6、QoS等。关键

3、词：校园网；网络设备；网络规划；安全通讯全套设计加扣3012250582ABSTRACTWith the popularity of computer and the network equipments upgrades, network is applied to more and more places. University campuss network planning and construction should not only think about the purpose to provide a stable network environment for the te

4、acher staff and students but also make the network security and scalability into consideration. This graduation design introduces the network protocol and configuration in the campus network planning and construction process, take GNS3 simulator to establish a network model,choose OSPF as the main n

5、etwork protocol, base on the practical to make campus network planning,zone reasonablely, distribute IP addresses, make sure the connectedness of network and realize safety communications between the two campuses.The innovation of the topic is: in the planning of the network, establishe visible netw

6、ork model with GNS3,reasonablely avoid single point of failure and completes the redundant backup. Based on this model, make routing summary to optimize the network,ensure the router security connection between router, make NAT multiplexing on the export router, provide a variety of network services

7、 such as IPv6, QoS, etc.Key words：Campus Network；Network Equipment；Network Design；Safety Communication目 录第一章 绪论11.1引言11.2研究背景11.3研究现状21.4本文工作31.5论文组织3第二章 网络协议原理及配置概述52.1 OSPF协议52.1.1 OSPF协议简介52.1.2 OSPF网络类型的定义72.1.3 OSPF邻接关系建立过程82.1.4 OSPF链路状态数据库的维护102.1.5 OSPF协议特性112.2 RIP协议132.2.1 RIP协议简介132.2.2 R

8、IP更新发送行为132.3本章小结15第三章 应用在校园网中的网络策略163.1 QoS163.2 IPv6隧道173.3 MPLS/VPN183.3.1 MPLS/VPN简介183.3.2虚拟路由转发表193.4 NAT193.5本章小结20第四章 高校校园网网络规划214.1网络设计要求214.2网络拓扑规划224.3 IP地址规划234.4本章小结25第五章 功能实施及测试265.1 OSPF邻接关系建立和区域优化265.2建立IPv6隧道连通IPv6网络295.3 QoS限制宿舍区到达R12的流量295.4 MPLS/VPN实现两个校区的安全通讯305.5边界路由器上做NAT地址转换3

9、25.6本章小结33结束语34致 谢35参考文献36南京邮电大学2014届本科生毕业设计（论文）第一章 绪论1.1引言自从1994年接入Internet，中国互联网发展迅速，产生了翻天覆地的变化。人们的衣食住行和网络的联系越来越紧密，网络已经成为日常生活中不可或缺的部分。而高校作为教师学生日常学习工作生活的场所，能够提供快速稳定的网络环境已经成为其重要的硬件指标，因此，高校校园网网络规划显得越来越重要。高校不仅是教书育人的地方，更是科学研究和实验的重要场所，高校校园网的规划和建设不仅要以为教职工和学生提供稳定的网络环境为目的，更要考虑到其承载的科研项目。校园网网络系统并不是一尘不变的，它一直随

10、着网络技术的发展而升级换代，所以在规划过程中要结合历史因素，并考虑网络发展的前景设计出具有扩展性的网络系统。与此同时，在实际项目中，学校能够提供的资金也是一定的，如何利用有限的投资，规划出满足各项功能要求的校园网已经成为人们关注的重点。所以，能够针对各种需求和限制，设计出合适的校园网络系统变得尤为重要。本章将主要介绍此课题的研究背景和研究现状，并进一步介绍本文的工作，从而使读者能对此课题的关注点有大致了解。1.2研究背景随着网络技术的发展以及网络设备的更新换代，互联网在人们生活和工作中占的比重越来越大，因此园区网络的规划显得尤为重要。而高校校园网非常典型，是研究网络架构，新技术的尝试和新老技术

11、的融合的理想模型。高校校园网的网络建设与网络技术发展几乎是同步进行的，考虑网络发展趋势, 为了充分满足高校骨干网对高速，智能，安全，认证等需求，可以利用万兆以太网的校园网组网技术。网络技术的发展及应用促进了高校教学手段和管理方式的发展，自CERNET（中国教育和科研计算机网）于1995年全面启动，全国各地的高校都开始建设自己的校园网络。高校校园网的建设已经成为高校建设的重要组成部分，建立一个高效、快速、稳定的校园网络才能发挥出网络优势，提高管理效率，才能资源共享，进行科研合作。从高校校园网启动建立到现在，无论是网络技术应用的变化，还是高校校园网关注点的转移，大致都可以分为三个阶段。第一阶段是1

12、994年到2000年。这段时期，中国刚接入国际互联网，高校校园网建设也是刚刚起步。此时ATM网络技术，FDDI和以太网技术在网络中都有应用，每一项技术都有发展成为主流的趋势，因此高校校园网网络较为复杂，人们不明确未来的主流技术是什么，管理不方便。所以，这个阶段高校校园网的建设主要关注网络的连通性和兼容性，其目标在于保证网络的畅通与稳定。第二阶段是2000年到2005年。这段时间，随着网络技术的发展以及稳定性提高，各种网络应用都有了长足的发展，如FTP、WWW、BBS、E-mail等，最重要的是BT以及流媒体的发展，这对网络的带宽提出了很高的要求。而与此同时，以太网技术得到了很大的普及，各种网络

13、技术标准制定，千兆以太网已经步入校园成为主流。这一阶段的高校校园网主要关注带宽和网络应用。第三个阶段2005年至今。随着千兆带宽的普及和万兆带宽开始应用，IPv6开始试点，人们工作、生活、学习离不开网络，网络安全成为首要问题。尤其是最近OpenSSL漏洞等安全事件的曝出，高校校园网如何应对网络攻击，对安全漏洞做好应急措施成为重中之重。所以这一阶段高校校园网主要关注网络安全。随着网络技术的进步与提高，计算机已经相当普及，正在改变着人们的生活方式。因此建设一个快速，稳定，安全的高校校园网已经成为高校建设的重要组成部分。在这样的网络环境中，教师能够提供多样化的教学，学生能够高效的学习，科研合作能够互

14、通有无。正是在这样的时代背景下，高校校园网的网络规划显得非常重要，对于此课题的研究需要给予更多的重视。1.3研究现状高校校园网的规划与配置并没有现成的模板，每个学校都有各自的地理条件，和功能需求。于此同时学校的历史因素也是不得不考虑的，对于老旧设备的更新换代，网络的迁移，新老校区的网络规划这些都要具体问题具体分析的，因此对于高校校园网，现阶段都是结合学校实际情况做出个性化的网络规划。随着网络技术的发展和网络规模的增大，校园网面临的管理难度和来自多多方面的安全挑战也越来越大，虽然绝对的安全是做不到的，但是现在的研究在尽可能的为校园网提供安全防护，因此可扩展性和安全性成为人们关注的要点。但是，像其

15、他园区网络一样，高校校园网络规划依旧面临以下四个问题。（1）怎样做好向后的兼容性。随着国内外技术的日趋成熟，新兴的网络技术也发展的越来越快，网络设备也在更新换代，这是一个不断推陈出新的过程。但是在发展的过程中，如何让网络具有更好的兼容性是在规划网络中不得不考虑的问题。例如是否预留了私网地址使得新接入网络的设备拥有私网地址而不产生混乱，网络设备接口是否具有扩展性，能够接入更多的设备以及软件升级等等。现阶段很多校园网在网络规划中都没有考虑到网络的扩展性，这会给以后网络的升级带来了很多麻烦。（2）如何避免单点故障。很多校园网的规划没有注意冗余，存在很多单点故障点。当汇聚层连接核心交换层的链路出现故障

16、，没有备份链路，会导致网络瘫痪。所以在网络规划中要做好热备份，避免一些小故障产生大的影响。（3）网络设备的选择。学校能够提供的资金是一定的，不能因为有的学校有钱就选择最好的设备，这样会造成很大的性能浪费。要求在校园网规划过程中根据网络规模的大小和功能需求，选择合适的网络设备。（4）网络安全。校园网是给老师学生提供工作，学习，生活网络服务的，但是在实际应用中，有一些网络活动是与生活学习无关的，比如攻击学校的服务器，甚至有的是去访问色情、反动的非法网站。在这种情况下，网络资源被严重浪费。而对校园网来说，服务器要对流量做一定的限制，尽量避免来自外网和内网的攻击。 1.4本文工作本文主要涉及了在规划高

17、校校园网是所需要的网络协议如，OSPF、RIP，以及在对校园网功能实现方面采用的QoS服务质量保证，MPLS/VPN，NAT，IPV6与传统IPv4网络融合等方面的内容。结合用GNS3建立的网络模型，解释功能实现步骤并给出测试结构。主要包括以下几个方面。（1）OSPF、RIP协议原理，详细介绍了用OSPF架构校园网层次化网络拓扑，并表明各项特性在网络中的灵活运用。（2）MPLS/VPN 原理以及在本部和分部之间建立的安全连接的应用，使得位于公网两端的局域网可以用私网地址通讯。（3）IPV6和IPV4协议融合技术，介绍并实现了了位于校园网服务器区域和实验室区域的IPv6网络是如何穿过IPv4网络

18、进行通讯的。（4）为了节省IP地址使用NAT技术，在校园网出口路由器上做NAT的端口多路复用，实现节省IP地址并且对公网隐藏私有地址。（5）QoS流量管理，运用CAR技术限制突发流量，针对来自宿舍区域的流量进行访问限制。（6）针对校园网实际需求，设计网络拓扑，并用GNS3模拟路由器，搭建出拓扑。根据网络拓扑，合理划分IP地址。（7）结合各协议和配置方法，按步骤完成GNS3模型配置，给出测试结果。1.5论文组织本文主要应用网络技术规划高校校园网，并用GNS3模拟搭建一个网络模型，在此会着重介绍网络协议原理和配置方法，讲解在模拟拓扑中实现功能需求。本文的论文组织如下：第一章总体介绍了课题研究背景，

19、进而引出此课题的研究现状，阐述了现阶段高校校园网网络规划中存在的几点问题，最后介绍了具体工作和文章结构。第二章主要介绍了高校校园网采用的底层网络协议的原理和在规划中运用的协议特性，对于关键的配置做简要说明。第三章分析了几个重要的网络策略原理，针对高校校园网的网络特点，选择合适的策略模式做重点讲述。第四章介绍了高校校园网网络拓扑规划的设计原则，结合GNS3建立的网络模型，合理分配IP地址。第五章根据第四章建立的网络模型，主要介绍了OSPF、IPv6、QoS、MPLS/VPN和NAT功能实施的具体步骤，并在功能完成之后给出测试结果。36第二章 网络协议原理及配置概述2.1 OSPF协议2.1.1

20、OSPF协议简介OSPF（Open Shortest Path First），开放式最短路径优先协议，是大中型网络上使用最为广泛的IGP（Interior Gateway Protocol）协议。作为一种链路状态协议，OSPF通过著名的Dijkstra算法来计算最短路径树，它使用“代价（Cost）”作为路由度量。OSPF分为OSPFv2和OSPFv3两个版本,其中OSPFv2用在IPv4网络由RFC 2328定义，OSPFv3用在IPv6网络由RFC 5340定义。OSPF是一种层次化的网络协议，area 0 被称为骨干区域（Backbone Area），是OSPF域核心区域，其他的区域都要与

21、area 0 直接相连，并且通过骨干区域到达其他区域，如果某区域因为一些限制不能够与area 0相连，则需要通过虚链路来建立虚拟连接。正是因为OSPF区域的划分，OSPF域的路由器也有几种不同的类型。Backbone router：所有区域0中的路由器； ABR（area border router）：连接骨干区域和非骨干区域的路由器；ASBR（AS border router）：是连接OSPF 和外部路由协议的路由器。OSPF有五种Message分别为Hello、DBD、LSR、LSU、LSACK，每一种Message都有各自特殊的格式和设计功能。（1）Hello：用于发现建立维护邻接关系，

22、目标地址。hello包中包含的路由信息有router-id（路由器标示）、hello/dead interval（hello时间和死亡时间）、area id（区域ID）、Router priority(优先级)、认证。主要用来发现和维护OSPF邻接关系。（2）DBD（数据库描述）：对于本地数据库的描述，告诉对方本地有哪些网络。OSPF用DBD作为检索信息来减少OSPF路由消息对网络的负载，如果邻接路由器针对DBD发现本地没有需要学习的网络，OSPF就不需要向网络中发送详细的路由信息了。（3）LSR（链路状态查询）：是OSPF 的查询消息，通过DBD的比对，知道对方有哪些网络是

23、本地路由器需要的，因此通过LSR向对方请求该网络的详细信息。（4）LSU（链路状态更新）：当OSPF邻接关系建立初期，LSU用于通告网络的变化(泛洪和扩散)，还有一种功能就是回复邻接路由器的LSR路由查询，针对性的向邻接路由器跟新特定的网络。（5）LSACK（链路状态查询确认）：用于OSPF数据包的可靠发送，每当路由器接到消息时都要确认本地已经收到该信息。OSPF中对路由信息的描述都是封装在LSA中发布出去的，LSA常见以下几种类型：（1）1类LSA，Router LSA：发送本地直连的所有路由信息，每台运行OSPF的路由器都会发送，不会泛洪到其他区域，路由代码 O。（2）2类LSA，Netw

24、ork LSA：由DR产生，描述本网段的链路状态，在所属的区域内传播，路由代码O。（3）3类LSA，Network Summary LSA：由ABR产生，描述本区域的网段路由信息，并通告给其他相关区域，ADV会随着区域的改变而改变，变成相应所在区域的ABR，路由代码OIA。（4）4类LSA，ASBR Summary LSA：由ABR产生，随着5类LSA产生而产生，告知内部网络中所有路由器当前网络中的ASBR是谁，让OSPF内部的路由器找到ASBR，全网泛洪，宣告者id会随着区域的改变而改变，变成相应所在区域的ABR。（5）5类LSA，AS External LSA：由ASBR产生，描述到OSP

25、F区域外部的路由，通告到所有的区域（除了Stub区域和NSSA区域），路由代码OE1/2.（6）7类LSA，由ASBR产生，描述到AS外部的路由，仅在NSSA区域内传播，路由代码ON1/2。针对不同的网络环境，OSPF设置了一些特殊区域用来优化网络，以上某些LSA类型也是在特殊的区域类型中产生。OSPF特殊区域共有四个，末节区域（stub）、绝对末节区域（t-stub）、次末节区域（nssa）和绝对次末节区域（t-nssa）。特殊区域通过减少接收LSA来简化路由表，不同的特殊区域接收的LSA类型也不一样。因为不接收5类的LSA，所以在stub区域中不会存在ASBR。在nssa区域中，5类LSA

26、会在边界路由器上转化成7类LSA，所以在NSSA区域中其实是存在外部路由的，而边界路由器也是ASBR。末节区域（stub）：过滤4类和5类LSA，ABR上会在区域内产生并泛洪一条O*IA的默认路由到达外部网络。绝对末节区域（t-stub）：过滤3类、4类和5类LSA，ABR上会在区域内产生并泛洪一条O*IA的默认路由到达外部网络。次末节区域（nssa）：过滤4类和5类LSA，ABR上不会产生默认路由，可以手动配置默认路由，默认路由的路由代码为O*N2。在NSSA区域中，5类LSA会转变成7类LSA在NSSA区域中传递。绝对次末节区域（t-nssa）：过滤3类、4类和5类LSA，ABR上会在区域

27、内产生并泛洪一条O*IA的默认路由到达外部网络。在T-NSSA区域中，5类LSA会转变成7类LSA在NSSA区域中传递。配置Stub特殊区域：R2(config-router)#area 1 stub配置t-stub特殊区域：使用t-stub要在ABR上多配置个no-summary选项R2(config-router)#area 1 stub no-summary配置nssa特殊区域：R2(config-router)#area 1 nssa配置t-nssa特殊区域：R2(config-router)#area 1 nssa no-summary 为防止出现环路，OSPF对不同属性的OSPF路

28、由设定了不同的选取规则，具体有以下六种情况：（1）当路由器对于同一路由条目有2条O的路由（或2条O IA的路由）时：Metric值不同时会选择Metric值较低的路径，Metric值相同，则负载均衡。（2）当路由器对于同一路由条目收到2条O E1的路由：Metric值不同时会选择Metric值较低的路径，Metric值相同，则负载均衡。（3）当路由器对于同一路由条目收到2条O N1的路由：Metric值不同时会选择Metric值较低的路径，Metric值相同，则负载均衡。（4）当路由器对于同一路由条目收到1条O E1和1条O N1，选择O E1。（5）当路由器对于同一路由条目收到2条O E2的

29、路由：Metric值相同时选择到达ASBR Metric值较低的路径，Metric值相同，并且到达ASBR的Metric值也相同，则负载均衡。（6）当路由器对于同一路由条目收到2条O N2的路由：Metric值相同时选择到达ASBR Metric值较低的路径，Metric值相同，并且到达ASBR的Metric值也相同，则负载均衡。2.1.2 OSPF网络类型的定义OSPF协议定义了5种网络类型，分别为点到点网络（point-to-point）、广播型网络（broadcast）、非广播多路访问（NBMA）网络、点到多点网络（point-to-multipoint)和虚链路（virtual lin

30、ks）。（1）点到点网络点到点网络上的直接相连的路由器形成point-to-point邻接关系，而且 DR（指定路由器）和BDR（备份指定路由器）的选举将不会在此网络上进行，点到点网络上的路由器使用组播地址发送OSPF协议数据包。（2）广播网络OSPF在广播网络自动发现邻居，会选举一台指定路由器（DR）和一台备份指定路由器（BDR），DR和BDR会以发送信息给其他路由器，其他路由器以为目的发送路由信息到DR和BDR，所有的其他路由器只与DR和BDR建立完全邻接关系。（3）非广播多路访问网络NBMA网络，如ATM、帧中继、X.25等，可以同时

31、连接两台以上的路由器，这种网络不能以广播形式发送数据包，但是在NBMA网络上需要选举DR和BDR，所以NBMA网络路由器选择一种伪广播的形式向所有邻居单播发送路由信息。（4）点到多点网络这种网络类型可以看作是一群点到点链路的集合，显然在这种网络上也是不需要DR和BDR的并且和点到点网络一样以组播地址发送OSPF协议数据包。（5）虚链路虚链路是其他区域不能直连骨干区域时而通过某一区域连接骨干区域而产生的，被路由器认为是一种点到点网络，不能人工设置一个接口的网络类型为虚链路。OSPF对网络类型分为RFC公开和cisco私有两种方式，不同的网络类型上OSPF的Hello时间和DR/

32、BDR的选举都有不同，具体各网络类型之间的区别如表2.1所示：表2.1 网络类型分析表网络类型Hello时间DR/BDR的选举RFC公开/cisco私有NBMA30秒有RFC公开Broadcast10秒有Cisco私有Point-to-Multipoint30秒无RFC公开Point-to-Multipoint NBMA30秒无Cisco私有Point-to- Point10秒无Cisco私有2.1.3 OSPF邻接关系建立过程OSPF邻接关系建立过程主要会经历7个状态：Down、Init、Two way、Exstart、Exchange、Loading、FULL。不同的网络类型对邻居关系建立

33、的状态有影响，在以太网情况下，OSPF邻接关系建立过程：以两台直连路由器A和路由器B为例，在down状态下宣告一个网络后会发送目的地址为的hello包，hello包中包含了区域ID、route-id、优先级、认证、hello时间等参数。当B路由器收到A发来的hello包后状态会变成init。然后会回一个hello包给A，当A在收到的hello包中看到了自己的route-id时，状态会变成two way。two way状态下路由器A和路由器B会比较优先级来选举DR、BDR，因为默认优先级都是1无法比较选出DR、BDR，所以会去比较route-id，route-id大的会成为DR

34、，选出DR后，会进入exstart状态。在exstart下路由器A和路由器B会交换DBD包，两台路由器会比较DBD包中的route-id，route-id大的会成为主路由器，然后过渡到exchange状态。主路由器会先发送DBD，然后从路由器也会发送DBD，之后过渡到loading状态。主路由器参考从路由器的DBD，找到本地没有的路由，向从路由器发送LSR，从路由器回复LSU，主路由器再回复LSACK，从路由器也会重复这个过程，两台路由器交换完LSA后会过渡到full状态，从而形成完全的邻接关系。而在点到点网络类型下，OSPF会形成邻接，但是状态会维持在Two-way状态下，此时网络不选择DR

35、和BDR。为了更直观地理解OSPF邻居关系建立过程，做流程图如图2.1，该流程图包含了OSPF建立过程中可能遇到的事件。IE代表输入事件，DP代表判定点。图2.1 OSPF邻居关系建立过程OSPF的邻接关系的建立是一个动态的过程，图2.1中每一个输入事件都代表在邻接建立过程可能发生的事件，判定点用来确定当前网络状态是否需要向下一个网络状态转移，或者是由于某种输入事件的产生需要倒退到某一个状态。具体输入事件和判定点代表的意义由表2.2给出详细说明：表2.2 图2.1中输入事件和判定点IE 1本路由器在邻居发送的Hello包中的邻居字段发现自己的router-id。IE 2邻居路由器不能建立邻接关

36、系。IE 3（1）邻居状态开始转换到two-way状态；（2）接口状态发生变化。IE 4不能和这台路由器形成邻接关系。IE 5已经形成主从关系，并且开始交换数据库描述序列号。IE 6完成数据库描述数据表的交换。IE 7链路状态请求列表为非空，存在请求条目。IE 8链路请求表为空。IE 9邻接关系被中断并重新开始。IE 10本路由器在邻居发送的Hello包中邻居字段没有发现自己的router-id。IE 11接口状态变化。IE 12与该邻居之间现有的或者形成的邻接关系应该继续。IE 13与该邻居之间现有的或者形成的邻接关系不应该继续。DP 1是否应该与这台路由器建立邻接关系？如果满足下列任意一个

37、或多个条件就建立邻接关系：（1）网络类型是点到点；（2）网络类型是点到多点；（3）网络类型是虚链路；（4）本路由器是邻居路由器所在网络上的DR；（5）本路由器是邻居路由器所在网络上的BDR；（6）邻居路由器是DR；（7）邻居路由器是BDR。DP 2关于这台路由器的链路状态请求表是否是空的。DP 3该邻居之间现有的或者形成的邻接关系是否应该继续。2.1.4 OSPF链路状态数据库的维护OSPF规定任何一个区域最多只能包含25台路由器并且只能维护5000个路由条目，之所以有这样的规定是因为链路状态数据库，太多的路由条目会导致LSDB（链路状态数据库）过于庞大，路由器难以负载。一台OSPF路由器所有

38、有效的LSA都被存放在它的链路状态数据库中，整个数据库中LSA的集合描述了OSPF区域网络拓扑的结构，那么路由器维护和更新链路状态数据库就显得非常重要。路由器收到一个LSU消息后，会先查看本地链路状态数据库中是否已经存在，如果不存在该LUS中更新的内容，会将该更新添加到数据库中，并向发送方发送一条LSACK，然后运行SPF算法，计算出最优的路由条目放进路由表；如果存在该LUS中更新的内容，会去查看LSU的序列号，如果序列号一样就会忽略该LUS。如果序列号不一样再去比较序列号的大小，如果没有本地路由器序列号高，路由器会认为本地的链路状态数据库比邻接路由器的新，然后将本地的路由信息使用LSU发送给

39、邻接路由器进行更新，如果比本地路由器的序列号高，就会如同上文一样，将更新添加到链路状态数据库，发送LSACK给邻接路由器并计算最优路由条目放进路由表。具体流程图如图2.2： 图2.2 LSDB建立流程图2.1.5 OSPF协议特性在运用OSPF过程中有很多特性可以帮助优化网络使网络更加稳定安全。本文主要介绍在校园网设计中用到的汇总，认证。OSPF汇总是指在在路由器上，针对同一网段的路由条目可以汇总成一条。汇总不仅可以减小路由表大小，缓解路由器内存负担，增加路由条目查找效率实现快速转发也可以增加网络的稳定性。因为在OSPF骨干区域当中，一个区域的所有地址都会被通告进来。但是如果某个子网出现问题，

40、存在路由条目忽好忽坏不稳定，那么在它每次改变状态的时候，都会引起LSA在整个网络中泛洪。我们就可以对网络地址进行汇总来解决这个问题。OSPF 手动汇总后，会在汇总的当前路由器，产生一个下一跳为空的汇总路由，这样做的原因是当本区域的路由条目中不存在该查询的路由时，路由器认为只有本地拥有该网段的路由条目，本地没有该条目时，其他路由器也不会有了，所以直接丢弃。OSPF汇总有两种方式，分别为区域汇总和外部路由汇总。（1）区域汇总：首先是配置在ABR 上，让当前区域的汇总条目被发送出去，汇总必须配置在明细条目所产生的区域中的ABR中，如果配置在其他区域的ABR上则不生效。R2(config-router

41、)#area 1 range ?advertise /Advertise this range (default)cost /User specified metric for this range(给当前的汇总路由重新设置一个新的COST值)not-advertise /DoNotAdvertise this range（用于路由的过滤，因为在配置汇总之后，明细条目就不会被当做路由信息发送出去，如果定义该参数，汇总就不会被通告出去，相应其他邻居就既无法学习到明细，也无法学习汇总条目）（2）外部路由汇总：配置在ASBR 上，让外部路由进入OSPF

42、时被汇总之后发送出去Router(config-router)#summary-address ?not-advertise /Do not advertise when translating OSPF type-7 LSAtag /Set tag（用于路由策略）OSPF认证是OSPF对邻接路由器建立的安全认证机制，可以使用明文、密文两种加密方式。OSPF永远发送最新配置的一把密钥，如果本地有多把密钥,永远只发送最新配置的密钥,如果最新的密钥无法通过验证，那就会发送已经通过验证的密钥。OSPF认证机制分为链路认证和区域验证，链路认证只需两台直连的路由器参

43、与认证，而区域认证需要区域内的所有路由器参与认证，包括虚链路。区域认证与链路认证，命令上的区别就是区域认证需要在区域内声明启用认证，接口下的配置命令是一样的。R1(config-router)#area 0 authentication message-digest/在OSPF进程中声明area0区域启用密文认证。R1(config-if)#ip os authentication message-digest/在接口下声明启用密文认证。R1(config-if)#ip ospf message-digest-key 1 md5 cisco /配置第一把MD5密文钥匙，密码为cisco。2.2

44、 RIP协议2.2.1 RIP协议简介RIP（Routing Information Protocol），路由信息协议，是一种IGP协议，用于一个自制系统内的路由信息的传递。RIP是一种距离矢量路由协议，它基于跳数，即metric衡量到达目标地址的距离，最大跳数被限制在15跳，一旦到达16跳，RIP就认为目标网络不可达选择丢弃数据包。RIP通过用户数据报协议（UDP）报文交换路由信息，由于在RIP中大于15的跳数被定义为无穷大，所以RIP一般用于采用同类技术的中等规模网络，如校园网及一个地区范围内的网络，RIP并非为复杂、大型的网络而设计。但由于RIP使用简单，配置灵活，使得他在今天的网络设备

45、和互联网中被广泛使用。并且RIP是与邻居路由器交换路由信息，不再自己计算，对于路由信息是否正确全然不知。RIP工作在OSI七层网络模型的第七层，目前RIP有两个版本，RIPv1和RIPv2。RIPv2是对RIPv1的升级，现在多用RIPv2。RIPv1发送更新时，路由条目只包含IP网络号，没有掩码信息，所以RIPv1自动汇总不能关闭，RIPv1就会将收到的路由自动汇总为主类网络。RIPv2改掉了RIPv1的某些缺陷，在发送路由更新是包含了掩码，于是RIPv2支持CIDR（Classless Interdomain Routing）和VLSM（Variable-Length Subnets Ma

46、sks）。但是RIPv2自动汇总也是自动开启的，需要手动关闭。同时RIPv2支持手动汇总（只针对发送的路由条目）、认证。无论RIPv1还是RIPv2都会将路由表每隔30s定期向网络中发送，但是在正常情况下，路由不会经常变动，这样的定期发送是一种带宽的资源浪费。所以RIP有一种触发更新机制，只在路由发生变化时将有变化的路由发送出去。这种功能室基于接口开启和关闭的。但是因为RIP开发的比较早，早期的广域网都是串行链路，所以RIP的触发更新特性只适合在点到点链路上应用。2.2.2 RIP更新发送行为RIP每隔30秒定期使用广播或者组播向开启了RIP的接口上发出路由更新。RIP没有邻居的概念，所以路由

47、器并不知道发出去的路由更新被什么样的路由器收到，当RIP路由器相互之间IP地址或子网掩码长度不匹配时，都会造成路由不精确或者路由表错误，因此，RIP收到的路由更新源地址必须和接收接口处于相同子网，即使是源地址和接收接口的Secondary地址处于相同子网也可以，否则忽略收到的路由更新，该功能称为RIP的更新源有效性，默认为开启状态，RIPv2可以手动关闭。RIPv1的路由器遵循以下规则来进行路由更新的发送和接收。（1）发送路由更新的规则。当路由器A向路由器B发送路由更新信息时，路由器按如下规则判断路由更新信息是否能够被发送：路由器首先判断路由更新信息中的子网所在的主类网络是否与发送路由更新的接

48、口所在的主类网络相同，如果不相同，路由器A在网络边界上进行汇总，并发送汇总后的路由更新信息。如果相同，路由器会继续判断路由更新信息中所包含的子网，其子网掩码是否与发送路由更新的接口子网掩码相同。如果相同，路由器A将发送路由更新信息。如果不相同，路由器最后会判断路由更新信息中的子网，其子网掩码是否为32位。如果是32位，路由器会发送路由更新信息。 如果不是32位，路由器不发送路由更新信息。 （2）接收路由更新的规则。当路由器B收到路由器A发送的路由更新信息时，路由器B需判断更新信息是否需要接收，规则如下：路由器首先判断路由更新信息中子网所在的主类网络是否与接收到该路由更新信息的接口所在的主类网络

49、相同。如果相同，路由器B将使用接收接口的子网掩码作为路由更新信息中子网的子网掩码。若接收到路由更新信息中包含 32位，则路由器对该路由更新信息中的子网使用/32的子网掩码。在RIP协议中，该32位的路由条目会继续发送给其他路由器。如果不相同，路由器继续判断路由更新信息中子网所在的主类网络是否已经存在于路由表中。如果以存在，则忽略发送过来的路由更新信息。如果路由表中没有，则为路由更新信息中的主类网络添加接口掩码并添加进网络。 RIP路由器的本地直连网络跳数为0，当本地直连网络被当做更新发送时跳数加1。如果RIP路由器当前路由表中某条目为3跳，但是在它收到的更新中有一个更新告诉它这个路由条目为4，

50、然后当前路由器会等待180s，在这180s内，如果继续收到该条目跳数为3的更新，则此路由器忽略有较大跳数的更新报文。如果180s后，还是没收到带有较小跳数的报文，那么RIP路由器采用较大的跳数。RIP的最大跳数是15，无限跳数为16，如果一个更新报文含有某条目是16跳，那么这个条目将被忽略。如果这个前缀条目本来就存在，那么如上文等待180s看是否将其删除。正是因为RIP跳数和等待时间的限制，RIP有自身的局限性。最大15跳的机制，限制了RIP适用的网络规模，不能支持超过15跳的路由；路由信息更新需要30s，路由无效宣布等待180s限制了RIP网络的收敛时间，在网络变化时，往往需要比较漫长的时间

51、来重新收敛。于此同时，RIP路由表更新会占用大量的网络带宽，因为RIP每隔一段时间就会向网络中发送广播更新，在节点较多的网路中，会产生大量的泛洪信息，不仅消耗了大量的带宽资源，也增加了路由器的负载。由于本课题设计只是将RIP用在PE和CE间，只需要使得PE和CE能够正常通讯即可，RIP简单方便的优势在这里便体现出来了。2.3本章小结本章主要介绍了高校校园网规划中应用的底层网络协议。首先介绍了OSPF协议基本原理和协议特性，然后阐述了RIP的基本信息和更新发送行为，为校园网底层搭建提供理论准备。第三章 应用在校园网中的网络策略3.1 QoS默认情况下，在网络中所有数据同时在网络中传输，语音、视频

52、以及传统的数据等等同时被处理，但是在当今的网络中，不同种类的数据默认会争抢当前的带宽，也叫做FIFO（先进先出），这种数据转发方式无法识别这些不同类型的数据，只是一味的转发。因此当网络非常复杂、所要传输的数据非常多时，必然会造成网络的拥塞，对实时性要求比较高的数据就无法最先得到保证（语音）。因此需要一个机制将用户数据按照种类先进分类，之后给不同类别的数据添加一个策略（例：保证语音的数据被最优先处理），以此来保证特定数据可以得到相应的带宽资源这就是QoS（Quality of Service）。当网络发生拥塞时，需要使用之前的队列调度技术来合理的分配它们之前的优先级与带宽，但是无论如何分配，当数

53、据流超过接口软队列所能处理的上限时，超过的数据就会被丢弃。QoS的任何技术是无法避免数据被尾丢弃的，因为队列永远是固定的。默认的队列是FIFO，因此很有可能一些关键的数据被尾丢弃，这样就会导致这些应用无法正常进行。所以在校园网规划中，采用CAR技术，对不重要的流量进行限制，保证园区服务器能够正常稳定的提供服务。CAR（Committed Access Rate）承诺访问速率，是QoS技术当中的一种流量管制工具，基于传统命令行。除了分组丢弃能力外，CAR还使用IPP、DSCP和QoS群组设置分类和标记分组。CAR可以应用在接口的入口方向或者出口方向，它主要有两个作用：（1）对一个网络端口的流量按

54、照指定的标准进行限制。（2）对流量分类，划分出优先级。CAR可以针对流量策略进行标记和分类，主要基于ACL、DSCP、IP或者MAC来限制流量速率，同时CAR的标记可以改变DSCP值或者IP优先级。CAR工作基于令牌桶算法，在一个单位时间内，当有流量要求转发时，它首先会检查令牌桶中是否有足够的令牌，如果该接口有足够可用的令牌，该流量被转发。随着流量的转发，令牌桶中的令牌被消耗，如果该单位时间内令牌桶中的令牌不够需要转发的流量消耗，则CAR针对该多出的流量根据定义好的策略采取适当的行为。该单位时间过去之后，令牌桶会重新填满令牌，等待下一轮操作。CAR定义三种流量类型：（1）正常速率，是单位时间内

55、被添加进令牌桶中的令牌数量。（2）正常突发流量，是在一定时间范围内能够承担的突发流量。（3）超出的突发流量，是在这段时间范围内超出了正常突发流量，CAR会根据定义的策略，采取措施。CAR的基本配置方法，先定义ACL匹配需要整形的流量，然后在接口模式下配置下面的命令进行流量整形。Router(config-if)# rate-limit input | output access-group access-group normal rate burst-normal burst-max conform-action action exceed-action action (其中，access-g

56、roup表示匹配的ACL的序号。)3.2 IPv6隧道IPv6即Internet Protocol Version 6，长度为128位，相对于IPV4一下子多出了很多的IP地址，有人曾说“使用了IPV6，IP地址多到可以为地球上每一粒沙子分配一个IP 地址” 当然这是一个比较夸张的说法，但是也从侧面反映了IPV6可以解决当前IPV4地址不够的问题。在即将到来的大数据时代，越来越多的设备将接入互联网，因此人们对于IPV6需求也越来越迫切。IPv6单播地址分类 ：（1）链路本地单播地址在IPV4中，节点之间想要最终完成数据传输必须知道本地所连接节点的MAC地址，在IPV6中，想要完成数据交换，必须

57、知道对方的链路本地地址，这个地址只在链路由本地有效，不用于路由。并且多用于IPV6路由协议的邻居发现，路由协议邻居发现数据包的源地址就是该地址。（2）本地站点地址类似IPV4中的私有地址，只能在固定范围内进行数据的路由。（3）全球可路由单播地址这种IPv6地址是全球唯一的，能够在全球范围内被路由，而不需要像IPv4那样，需要在园区出口做NAT。在IPV6网络彻底代替IPv4网络之前，总是有一些接入网技术首先具有IPV6的协议栈。在IPv4向IPv6过度前期，我们把这些存在IPv4网络中的IPv6网络叫做IPv6孤岛。IPV6 隧道技术就是利用现有的IPv4设施，为分散于IPv4网络中的IPv6孤岛提供通讯服务。IPv6隧道技术机制就是封包、拆包。发送端启用隧道，将IPv6数据包封装在IPv4数据包中，然后在IPv4报头协议字段设置为41，表明这是一个封装在IPv4数据包中的IPv6数据包。然后在网络上传输到隧道接收端，接收端查看到IPv4报头协议字段是41，就拆掉数据包的IPv4报头取出IPv6数据包。因此怎么甄别IPv4地址成为I