jsgf-v1-02-03 双核心网络规划技术规范1_w

1、 JSGF-v1-02-03 双核心网络规划技术规范.doc密级：受控文档归属：技术服务部使用对象：技术服务部工程师双核心网络规划技术规范V1.02009-5-31福建星网锐捷网络有限公司版权所有侵权必究1 / 85 JSGF-v1-02-03双核心网络规划技术规范.doc修订记录2 / 85日期 修订说明 作者 2009-5-31第一次发布 高志岩 JSGF-v1-02-03 双核心网络规划技术规范.doc前言本文阐述了双核心结构校园网络的设计规范， 包含双核心二层结构、双核心三层结构两种常见网络结构的设计规范，在这两种网络结构下，分别结合相应的案例进行阐述， 需要注意的是，结合的案例是和实

2、际的项目存在差距的，因此本文虽然是规范类文档， 但更大程度上体现的是一种设计思路。 3 / 85 JSGF-v1-02-03 双核心网络规划技术规范.doc目录12综述6二双核心二层网络结构72.12.22.1 案例基本信息72.2 硬件安装规范82.2.1 2.2.1 设备板卡安装规范82.2.22.2.2 设备互联规范112.3 基本配置规范122.3.12.3.1 设备命名规范132.3.22.3.2 基本配置规范132.4 IP 地址规范132.4.12.4.1 IP 地址设计原则132.32.42.4.22.4.2 IP 地址及VLAN 表142.52.5 网络协议规范142.5.1

3、 2.5.1 数据不分流需求下的网络协议设计规范152.5.2 2.5.2 数据分流需求下的网络协议设计规范202.6 优化协议及配置规范272.6.1 防范环路282.6.2 DHCP 相关优化配置282.6.3 静态 IP 地址的唯一性292.6.4 防范ARP 欺骗302.6.5 防病毒ACL302.7 配置模板302.7.1 2.7.1 接入层设备配置模板312.7.2 2.7.2 核心层设备配置模板332.62.73三双核心三层网络结构353.13.23.1 案例基本信息353.2 硬件安装规范373.2.13.2.1 设备板卡安装规范383.2.23.2.2 设备互联规范403.3

4、 基本配置规范403.3.13.3.1 设备命名规范413.3.23.3.2 基本配置规范413.4 IP 地址规范413.4.13.4.1 IP 地址设计原则423.4.23.4.2 IP 地址及VLAN 表423.5 网络协议规范433.5.1 3.5.1 数据不分流需求下的网络协议设计规范443.5.2 3.5.2 数据分流需求下的网络协议设计规范593.6 优化协议及配置规范803.33.43.53.64 / 85 JSGF-v1-02-03 双核心网络规划技术规范.doc3.73.7 配置模板813.7.13.7.23.7.33.7.1 接入层交换机配置模板813.7.2 汇聚层交换

5、机配置模板833.7.3 核心层交换机配置模板845 / 85 JSGF-v1-02-03 双核心网络规划技术规范.doc综述1在实际的校园网络工程项目中，由于受到各种客观因素如物理位置、环境、需求、信息点等的影响，会存在拓扑结构各异的校园网络，如果我们过多地将精力局限在这些差异性上，会严重干扰我们的设计思路，甚至在实际项目中毫无头绪。 无论何种类型的校园网络，核心层设备是必然存在的，因此本文将一些变化不大的关键因素如核心设备，从这些种类繁多的影响校园网络设计的因素中剥离出来，然后围绕这些关键因素展开各种设计思路。 本文阐述了双核心结构校园网络的设计规范， 包含双核心二层结构、双核心三层结构两

6、种常见网络结构的设计规范，在这两种网络结构下，分别结合相应的案例进行阐述， 需要注意的是，结合的案例是和实际的项目存在差距的，因此本文虽然是规范类文档， 但更大程度上体现的是一种设计思路。 6 / 85 JSGF-v1-02-03 双核心网络规划技术规范.doc双核心二层网络结构2双核心二层网络结构包含核心层、接入层，接入层设备通过双链路上联到两台核心层设备，接入层设备与核心层设备之间运行生成树协议，并且通过调整生成树协议的配置以实现链路冗余或负载均衡需求。 两台核心层设备与出口设备相连，出口设备的形式可能会存在多种情况，单台、两台或多台，出口设备同核心层设备之间的连接方式也会存在多种情况，这

7、些不同形式出口组合存在多种设计方案，本章节的后续部分将尽可能的覆盖所有可能存在的各种组合形 式。 由于是二层网络结构，用户的网关是在核心层设备上，如同在单核心规范中单核心二层结构章节所描述的一样，这样网络结构下的核心设备是非常容易受到攻击，同时由于双核心二层结构的核心设备又运行了诸如生成树协议、VRRP、OSPF 等协议，一旦网络中出现了异常报文的攻击，这些协议的状态也会受到严重影响，因此在进行双核心二5C42 结构校园网络设计时，各层设备的优化协议及配置设计对于网络的正常运行具有 非常重要的意义。 本章的后续内容将分别从硬件安装规范、基本配置规范、IP 地址设计规范、网络协议规范以及优化协议

8、及配置规范等方面的内容来讲解双核心二层网络结构校园网的建设规范与思路。 2.1案例基本信息双核心二层网络结构常见拓扑图如下图所示7 / 85 JSGF-v1-02-03双核心网络规划技术规范.doc如上图所示，该校园网主要分为下列几个区域：网络中心、宿舍楼（2 栋）、教学楼、办 公楼、图书馆，所使用的设备如下表所示： 2.2硬件安装规范在网络基础技术规范中的硬件安装规范这一章节中对项目中与设备硬件相关的安装规范做了详细的阐述，本章节按照该文档中所制定的一些规范，并结合本章节的案例， 输出最终的设备板卡安装效果图及设备互联效果图。 8 / 85 JSGF-v1-02-03双核心网络规划技术规范.

9、doc2.2.1 设备板卡安装规范核心层设备RG-S8610 的线卡安装图如下图所示： 接入层设备RG-S2150G 的模块安装图如下所示： 1 . 光纤模块和堆叠模块（提供上联链路的接入层交换机）安装示意图如下图所示： 9 / 85 JSGF-v1-02-03 双核心网络规划技术规范.doc2 .堆叠模块（堆叠从交换机）的安装示意图如下图所示：3 .堆叠交换机堆叠线缆连接示意图10 / 85 JSGF-v1-02-03双核心网络规划技术规范.doc如上图所示，堆叠线缆的连接顺序会决定从交换机的序号，必须保证规划设计的从交换机的序号和实际的堆叠线缆连接出的从交换机序号相同，否则在进行 VLAN

10、 划分时，可能会出现错误。 2.2.2 设备互联规范核心层设备 RG-S8610 与出口设备 RG-WALL2000 之间、RG-S8610 与接入层设备 RG-S2150G 之间的互联图如下图所示： 11 / 85 JSGF-v1-02-03双核心网络规划技术规范.doc如上图所示，在设计双核心二层网络结构下的各级设备的互联时，遵循与单核心二层网络结构同样的原则：下级设备与上级设备互联时，下级设备从所有端口中从后向前分配端口与上级设备互联，上级设备从所有端口中从前向后分配端口与下级设备互联。 2.3基本配置规范在设备的基本配置这一部分，需要完成设备命名、登陆配置、端口描述、系统时间配置 、

11、管理IP地址配置等所有设备必需的配置，具体配置模板参考2.7小节配置模板中的描述 。 2.3.1 设备命名规范设备命名如下表所示12 / 85 JSGF-v1-02-03 双核心网络规划技术规范.doc2.3.2 基本配置规范在设备的基本配置这一部分，需要完成设备命名、登陆配置、端口描述、系统时间配置 、 管理IP地址配置等所有设备必需的配置，具体配置模板参考2.7小节配置模板中的描述 。 2.4IP 地址规范本章节的内容参考IP 地址和VLAN 设计规范文档的IP 地址设计示范中的双核心二 层结构部分，详细细节请参考该部分的描述，本章节不再重复介绍。 2.4.1 IP 地址设计原则双核心二层

12、结构网络的IP 地址设计思路同单核心二层结构的IP 地址设计思路基本一致， 存在的区别是，双核心二层结构通常使用 VRRP 协议，两台核心交换机上都需要配置用户IP 地址网段和二层设备管理地址网段的网关地址（一主一备），同时还要为两台核心 交换机之间配置三层的连接关系。 IP 地址及VLAN 表2.4.2按照相关原则，设计出的IP 地址表如下表所示，具体的设计思路请参考IP 地址和VLAN设计规范中的双核心二层结构下的描述，这里不再重复描述。 13 / 85 JSGF-v1-02-03双核心网络规划技术规范.doc2.5网络协议规范本章对在双核心二层结构网络下的所使用的主要二、三层网络协议的设

13、计规范及思路进 行了阐述。 双核心二层结构网络下的主要二、三层网络协议是指能够让网络能够基本运行起来的一些协议，如三层的路由协议、VRRP 协议，二层的 VLANTrunk、生成树协议等，其他 的协议或特殊配置如DHCP Snooping、防ARP 欺骗等，将不在本章内进行描述。 在进行双核心网络结构的协议规划时，需要根据不同的数据流向需求做不同的规划设 计，在实际项目中会存在两种不同的数据流走向的需求： 1 . 数据分流 由于双核心网络中存在两台核心设备，为了充分发挥两台核心设备的转发性能，在实际项目中可能会存在数据分流的需求，一部分流量通过一台核心设备进行转发，另一部分流量通过另外一台核心

14、设备进行转发。 14 / 85此处是以两台核心交换机一台出口 举例所做的 IP 地址表，如果存在多台出口设备，这些出口设备所使用的互联 IP 地址的设计规划所遵循的原则都是相同的，这里不再一一列举。 JSGF-v1-02-03 双核心网络规划技术规范.doc2 . 数据不分流 所有流量都经过其中一台核心进行转发，另一台核心设备处于热备份状态。在不同的数据流走向需求下，二、三层网络协议的设计思路会存在不同，本章的后续部 分将按照数据是否分流来展开二、三层网络协议的设计思路。 2.5.1 数据不分流需求下的网络协议设计规范数据不分流是指网络中所有用户的数据都通过一台核心层设备进行转发，这就要求在进

15、 行生成树协议、VRRP 协议设计时，都需要将一台核心设备设置为主。 同样，出口设备在返回数据时，也是将所有数据都转发到一台核心设备上，由于出口设 备形式、数量、连接方式存在多种组合，所以实现上述的需求会存在多种设计方案。 下面将结合二层协议、三层协议以及不同形式的出口组合来讲解如何实现双核心二层结 构下的数据不分流需求。 二层协议双核心二层网络结构常见的拓扑连接为接入层交换机双链路上联到两台核心层交换机， 两台核心层交换机之间存在一条心跳线，如下图所示 15 / 85 JSGF-v1-02-03双核心网络规划技术规范.doc为了实现数据流不分流，首先要在二层网络中，保证流量都是从转发到一台核

16、心交换机 上，比如核心交换机 1。 通常在不分流的需求下，使用的生成树协议为RSTP，并且保证核心交换机 1 的优先级最高为 4096 成为主根桥，核心交换机 2 的优先级为 8192 为备根桥，接入层交换机的优 先级保持默认的 32768，如下图所示： 16 / 85 JSGF-v1-02-03双核心网络规划技术规范.doc注意，两台核心交换机之间的心跳线必须配置为 trunk，在完成如上图所标注的生成树协议相关配置后，所有接入层交换机与核心交换机 2 相连的端口在生成树协议作用的结果下都处于阻塞状态，这就保证了在二层网络下，所有用户的数据都是经过本地接入层 交换机与核心交换机 1 之间的链

17、路进行转发。 内部三层协议在生成树协议作用的结果下，所有用户的数据通过接入层交换机与核心交换机 1 之间链路进行转发，这时候如果核心交换机 1 就是所有用户网段的网关，那么数据就会通过核 心交换机 1 进行三层转发。 如果只将核心交换机 1 配置为所有用户的网关，一旦核心交换机 1 出现故障，则整个网络将无法正常工作，或者通过手动修改用户网关指向核心交换机2 上的地址来进行恢复 ， 因此生成树协议只能控制二层网络中的数据走向，并且无法实现三层网关设备的冗余备 份。 实际中多采用VRRP 协议来实现网关设备的冗余备份，如下图所示： 17 / 85 JSGF-v1-02-03双核心网络规划技术规范

18、.doc如上图所示，核心交换机 1 同核心交换机 2 之间运行VRRP 协议，针对每个IP 网段生 成一个虚拟IP，所有用户的网关都指向这个虚拟IP 地址。 核心交换机 1 为所有VRRP Group 的Master，承担着实际的转发工作，这样就在三层网络中保证了用户数据都由核心交换机 1 来进行转发，同时由于VRRP 协议作用的结果， 核心交换机 2 处于备份状态，一旦核心交换机 1 出现故障，核心交换机 2 就会接替核心交换机 1 的转发工作，而在此过程中，虚拟 IP 地址是一直存在的，进而保证了实际负 责转发工作的三层网关设备切换，对于用户而言是完全透明的。 与出口设备之间的三层协议上述

19、两个章节完成了二层协议以及内部三层协议的设计规划后，就可以保证所有用户的数据都能够经过核心交换机 1 进行转发，实现了数据不分流的需求，同时也实现了链路和网关设备的冗余备份。 同样，数据不分流需求下，核心层交换机 1 将数据转发给出口设备后，出口设备在返回数据时也要将数据转发到核心层交换机 1 上，当核心交换机 1 出现故障后，出口设备就 将数据转发到核心交换机 2 上。 由于两台核心层设备同出口设备之间的连接形式存在多种拓扑结构，下面将结合不同的 18 / 85 JSGF-v1-02-03 双核心网络规划技术规范.doc可能存在于实际项目中的拓扑结构来进行设计规划以实现数据不分流需求。注意，

20、无论什么拓扑结构下的出口形式，都需要遵循的一条重要原则，出口设备开启的功能越少越好，开启NAT 功能的出口设备一定不要再运行动态路由协议，NAT 会占用大量CPU 资源，一旦网络中会话数过多，CPU 利用率过高使得路由协议报文处理异常， 路由邻接关系丢失，流量就不再转发到出口设备上，直接在核心交换机上丢弃，CPU 利用率下降，这时邻接关系恢复，路由再次重新学习到，大量的 NAT 再次占用CPU 资源 ， 这样周而复始，导致网络时通时断。所以在设计出口设备与核心层设备之间的三层协议 时，不要使用动态路由协议。 1 . 双核心+单出口 该结构常见拓扑图以及三层协议设计策略如下图所示通常不支持动态路

21、由协议甚至浮动路由，并且正如前面提到的不要在开启 NAT 功能的设备上再开启动态路由协议OSPF，因此采用VRRP 方式以达到返回数据时将数据转发到核心交换机 1 上，如果核心交换机 1 出现故障，则核心交换机 2 的上联口就会 成为该Group 的VRRP Master，这样以实现冗余备份。 当核心交换机 1 的上联接口及上联链路出现故障时，核心交换机 1 上的所有VLAN 内的 用户仍会将数据转发给核心交换机 1，由于核心交换机已经失去了与出口设备的连接， 19 / 85 JSGF-v1-02-03 双核心网络规划技术规范.doc路由表中的默认路由已经失效，导致网络中断。为了防止上述情况发

22、生，通常有两种方法进行解决： 在核心交换机 1 上的用户VLAN 的VRRP Group 配置VRRP 的 Track 功能，track的对象可以为核心交换机的上联接口（必须是三层接口）或者对端的出口的桥接接口的IP 地址，一旦track 失败，核心交换机 1 上所有VLAN 的VRRP 优先级自动进行降低一个数值（降低后要低于核心交换机2 上所有VLAN的VRRP Group 的优先级），这样核心交换机 2 就成为所有VLAN 的VRRP Mater，所有用户都会将数据转发给核心交换机 2。 如果核心设备不支持VRRP 的 Track 功能，可以考虑在核心交换机 1 上配置一条浮据被转发到核

23、心交换机 2 上，通过核心交换机 2 上的默认路由转发到出口上 。 上的 NAT 设计可参考单核心规范中出口规范章节的内容，这里不在重复描述。 2 . 双核心+单出口路由器 该结构常见拓扑图以及三层协议设计策略如下图所示虽然路由器是支持动态路由协议OSPF，但是如前面所提到的，路由器做为出口设备也 开启了 NAT 功能，因此不建议开启OSPF，为了替代 OSPF 可采用静态路由+浮动路由20 / 85 JSGF-v1-02-03 双核心网络规划技术规范.doc的方式，正常情况下，路由器在返回数据时会将数据转发给核心交换机 1，从而实现了数据不分流。当核心交换机 1 出现故障时，路由器上静态路由

24、就会失效，之前处于备份 状态的浮动路由开始生效，数据就被转发到核心交换机 2 上，这样实现了冗余备份。 同双核心二层结构+单模式一样，需要考虑当核心交换机 1 的上联链路出现故障时，数据流的切换问题，所采取的策略也是一致的，通过设置VRRP 的Track 功能或者浮动默认路由方式来规避该问题，这里不再重复描述。 路由器上的NAT 设计同单核心规范下的出口规范设计，这里不再重复描述。3 . 双核心+单路由器+双出口（NAT 设备） 该结构常见拓扑图以及三层协议设计策略如下图所示如上图所示，在核心交换机与出口之间存在一台路由器，该路由器上并不需要开 启 NAT 功能，所以可以将路由器同两台核心交换

25、机之间运行动态路由协议 OSPF，路由 21 / 85 JSGF-v1-02-03 双核心网络规划技术规范.doc器发布默认路由给两台核心交换机，调整核心交换机 2 与路由器之间的OSPF Cost，保证路由器的路由表中学习到的校园网内部路由的下一跳指向核心交换机 1，这样路由器 在返回数据时将数据转发给核心交换机 1，实现数据不分流的需求。 由于核心交换机是通过OSPF 方式学习到默认路由，所以在该拓扑情况下，核心交换机上联链路出现故障后，经过OSPF 计算后，可以进行自动切换。 另外，在本拓扑结构下也可以采用同双核心+单出口路由器同样的策略，即使用静态路 由+浮动路由的方式。 2.5.2

26、数据分流需求下的网络协议设计规范数据分流是指网络中一部分用户的数据通过一台核心层设备进行转发，另一部分用户的数据通过另外一台核心层设备进行转发，这就要求在进行生成树协议、VRRP 协议设计 时， 每台核心交换机上针对不同 VLAN 做不同的策略。 同样，出口设备在返回数据时，将数据都转发到不同的核心设备上，由于出口设备形式 、 数量、连接方式存在多种组合，所以实现上述的需求会存在多种设计方案。 下面将结合二层协议、三层协议以及不同形式的出口组合来讲解如何实现双核心二层结 构下的数据分流需求。 二层协议二层网络下的数据分流需要使用MSTP 协议，如下图所示 22 / 85在本处可以采用VRRP

27、的Track 功能，保证二层转发和三层转发的路径一致。 JSGF-v1-02-03双核心网络规划技术规范.doc如上图所示，在 MSTP 协议作用下，在二层网络中，实例 1 所对应的 VLAN11、21 的数据是通过各自所在的接入层交换机与核心交换机 1 之间的链路转发出去，实例 2 所对应的VLAN31、41、52 的数据通过各自所在的接入层交换机与核心交换机 2 之间的链路转发出去，这样就保证了在接入层交换机同核心层交换机之间的二层网络中实现了数据 分流。 关于MSTP 更详细的设计规范请参考网络基础技术规范。 内部三层协议上述通过MSTP 协议实现了二层网络中的数据分流，同样，MSTP

28、协议只能做到链路级备份无法做到网关备份，同样也需要应用 VRRP 协议来实现三层网络中的数据分流以及网关设备的冗余备份，如下图所示： 23 / 85 JSGF-v1-02-03双核心网络规划技术规范.doc如上图所示，通过在两台核心交换机上为不同的VRRP Group 设置不同的优先级，来实现三层数据分流需求，关于 MSTP+VRRP 的协议组合设计请参考基础规范部分关于 MSTP 和 VRRP 部分的描述。 与出口设备之间的三层协议上述两个章节完成了二层协议以及内部三层协议的设计规划后，就可以保证VLAN11、 21 的数据都经过核心交换机 1 进行转发，VLAN31、41、51 的数据都经

29、过核心交换机 2进行转发，实现了数据分流的需求，同时也实现了链路和网关设备的互为备份。 同样，数据分流需求下，核心层交换机 1 将VLAN11、21 的数据转发给出口设备后，出口设备在返回数据时也要将VLAN 11、21 所对应的IP 网段的数据转发到核心层交换机 1 上，当核心交换机 1 出现故障后，出口设备就将数据转发到核心交换机 2 上。 由于两台核心层设备同出口设备之间的连接形式存在多种拓扑结构，下面将结合不同的 可能存在于实际项目中的拓扑结构来进行设计规划以实现数据分流需求。 24 / 85 JSGF-v1-02-03 双核心网络规划技术规范.doc注意，无论什么拓扑结构下的出口形式

30、，都需要遵循的一条重要原则，出口设备开启的功能越少越好，开启NAT 功能的出口设备一定不要再运行动态路由协议，NAT 会占用大量CPU 资源，一旦网络中会话数过多，CPU 利用率过高使得路由协议报文处理异常， 路由邻接关系丢失，流量就不再转发到出口设备上，直接在核心交换机上丢弃，CPU 利用率下降，这时邻接关系恢复，路由再次重新学习到，大量的 NAT 再次占用CPU 资源 ， 这样周而复始，导致网络时通时断。所以在设计出口设备与核心层设备之间的三层协议 时，不要使用动态路由协议。 1 . 双核心+单出口 该结构常见拓扑图以及三层协议设计策略如下图所示如上图所示，在两台核心交换机的上联三层接口上

31、分别配置两个VRRP Group，虚拟出两个不同的虚拟 IP 地址，比如 10.255.255.1 和 10.255.255.2，其中 10.255.255.1 所对应的VRRP Group 的Master 为核心交换机 1，10.255.255.2 所对应的VRRP Group 的Master为核心交换机 2，为了实现数据分流以及分流的数据来回路径一致，在做静态回指路由时，将 VLAN1121 所对应的网段的静态路由指向 10.255.255.1，将 VLAN31/41/51所对应的网段的静态路由指向 10.255.255.2，同时由于 VRRP 的作用，当核心交换机 1出现故障或者与出口之

32、间互联的接口出现故障时， VRRP Group1 的 Master 进行 25 / 85 JSGF-v1-02-03 双核心网络规划技术规范.doc了切换，核心交换机 2 成为了VRRP Group 1 的Master，属于 VLAN11/21 的流量就可以 被转发到核心交换机 2 上。 在该拓扑下需要考虑两台核心交换机的上联口出现故障时的切换问题，在成为 VRRPMaster 的 Group 下配置Track 功能，在核心交换机 1 上VLAN11/21 的 VRRP Group 下配置Track 功能， Track 的对象可以为核心交换机 1 的上联接口或者对端内网口的IP地址，当 Tra

33、ck 失效时，自动将核心交换机 1 上的VLAN11/21 的VRRP 优先级降低（低于核心交换机 2 上的 VLAN11/21 的 VRRP 优先机），同样在核心交换机 2 上的 VLAN31/41/51 的VRRP Group 也配置Track 功能，策略同核心交换机 1 一致。 2 . 双核心+单出口路由器 该结构常见拓扑图以及三层协议设计策略如下图所示如上图所示，出口路由器在将用户数据返回时的数据分流，是通过针对不同网段的静态 路由做不同的下一跳来实现的，同时使用了静态浮动路由的方式实现了冗余备份。 26 / 85如果核心层设备支持 VRRP Track 功能，那么建议使用 Track

34、 功能来解决上述核心设备上联链路故障的情况，如果核心层设备不支持VRRP Track 功能，则才可以考虑使用浮动默认路由的方式。 JSGF-v1-02-03 双核心网络规划技术规范.doc同样为了解决核心层设备的上联链路出现故障，也需要做同双核心+单出口的设计，开启VRRP Track 功能或配置浮动默认路由。 一样 3 . 双核心+单路由器+双出口（NAT 设备） 该结构常见拓扑图以及三层协议设计策略如下图所示如上图所示，两台核心交换机同路由器运行OSPF 协议，并且只存在一个区域骨干区域0，实现数据分流的需求需要通过 OSPF 协议来实现，这里是采用这样的设计方法：核心交换机 1 作为VL

35、AN11、21 的转发主核心，VLAN31、41、51 的转发备核心，因此就将核心交换机 1 上的VLAN31、41、51 的 SVI 接口的OSPF Cost 增大改为 100，核心交换机 2 上面的VLAN11、21 的 SVI 接口的OSPF Cost 增大为 100。通过上面的设计，路由器在学习到 VLAN 11、21 所对应的网段的路由的下一跳为核心交换机 1，学习到 VLAN31、41、51 所对应的网段的路由的下一跳为核心交换机 2。 由于在该拓扑下，核心交换机同出口设备之间运行了 OSPF，所以不需要考虑使用 VRRP27 / 85 JSGF-v1-02-03 双核心网络规划技

36、术规范.docTrack 功能或浮动默认路由方式来解决核心交换机上联链路故障的情况。注意，可以采 用VRRP Track 功能保证二层转发和三层转发的一致性。 如果存在划分区域的情况，比如在两台核心交换机上将相应的 SVI 接口划分到不同的 OSPF 区域中，这样可以采用如单核心同样的设计方法即修改 SVI 的 OSPF Cost，也可以通过路由汇总的方式实现数据分流，如下图所示： 如上图所示，核心交换机 1 在通告经过路由汇总后生成的 3 类LSA 时，修改VLAN31、41、51 所对应的网段的LSA 的Cost 为 100，核心交换机 2 在通告经过路由汇总后生成的 3 类LSA 时，修

37、改 VLAN11、21 所对应的网段的LSA 的Cost 为 100，这样也可以实 现数据分流。 28 / 85在双核心+单路由器+双出口（NAT 设备）也可以采用同双核心+单路由器一样的 JSGF-v1-02-03 双核心网络规划技术规范.doc 设计策略，即使用静态路由+浮动路由方式。 2.6优化协议及配置规范前面提到在双核心二层结构网络中，网络最终用户是直接与核心交换机进行数据报文的交互，存在较多的安全隐患，因此需要采取相关措施来保证整个网络的正常运行，提升网络的健壮性。 本章描述了除了主要二、三层主要网络协议以外的优化协议及配置的设计规范。优化协议及配置，是指在网络能够基本运行的基础之

38、上能够保证网络的持续稳定运行的一些优化的协议或配置，如能够防范网络中出现环路的生成树协议、防范 ARP 欺骗、防范非法DHCP 服务器的相关特殊配置等。本章节的后续部分将分别对防范环路、DHCP 相关优化配置、静态 IP 地址唯一性、防范 ARP 欺骗、OSPF 相关优化等几个在校园网 项目实施中经常会使用到的优化协议及配置进行描述。 防范环路2.6.1网络环路所带来的广播风暴，导致协议报文成几何级的数量递增，严重增加三层网关设 备的负担，甚至导致三层网关设备死机。 在网络基础技术规范中，关于环路预防主要有两种方法：一是使用生成树协议，二 是使用RLDP 协议，更详细的描述请见该文档。 在双核

39、心二层结构案例中，通常由于要实现链路冗余备份或负载均衡已经开启了生成树协议，因此建议直接使用生成树协议的防范环路的一些配置，不再额外开启RLDP，生成树协议的防范环路的配置有如下注意点： 在连接用户的端口配置spanning-tree portfast enable 以及 spanning-tree bpduguard enable。无论是上联口还是下联口都不要开启spanning-tree bpdufilter2.6.2 DHCP 相关优化配置校园网中用户 IP 地址的分配通常分为动态分配和静态分配。动态方式是指通过 DHCP服务器为用户动态分配IP 地址。由于用户与DHCP 服务器或用户与

40、DHCP 中继之间交 29 / 85 JSGF-v1-02-03 双核心网络规划技术规范.doc互的 DHCP 报文为广播报文， DHCP 的广播报文变得十分容易。另外，如果一部分用户通过人为设置不使用DHCP 方式获取IP 地址，使用静态方式获取IP 地址，容易 导致IP 地址冲突，造成其他用户通过DHCP 服务器获取到的合法IP 地址无法使用。 综上所述，如果不采取相关安全防护措施，通过动态方式获取 IP 地址的网络会存在巨大的安全隐患，以下是DHCP 相关的安全措施设计规范。 1 . 防范非法DHCP 服务器 随着技术的日益进步，在目前的实际项目中，多采用 DHCP Snooping 方

41、式来防范非法 DHCP 服务器，DHCP Snooping 要尽量部署在网络的边缘处如接入交换机上，这样才能有效地将非法DHCP 报文控制在最小范围内，具体做法如下： 在全局模式下，配置下面三条命令：然后将接入交换机连接汇聚交换机或核心交换机的上联口配置为信任端口，通过在接口 模式下配置ip dhcp snooping trust。 2 . 防范用户使用静态IP 地址 DHCP Snooping 只能够客户与 DHCP 服务器或中继之间交互的 DHCP 报文，并从报文中提取相关信息形成 DHCP Snooping 数据库中的绑定记录， 并且一旦 DHCP Snooping 数据库中存在了某个接

42、口下的绑定信息，就相当于开启了该端口下的 IP 地址检测功能，后续收发的报文的 IP 和 MAC 如果不在这个端口下的绑定信息中，就会被丢弃，这样就可以防止用户使用静态方式配置IP 地址，但前提是 DHCP Snooping 数据库中在该接口下已经存在了一条绑定信息，如果在该接口下不存在任何绑定信息，那么也就不会进行检查，比如该接口下的用户都使用静态方式配置IP 地址，没有DHCP 报文的交互过程，DHCP Snooping 就无法生成该接口下绑定信息，也就不会对该接口下面收 发的报文进行检查。 可以通过配置静态绑定信息来激活DHCP Snooping 的 IP 地址检查功能，配置的绑定信息是

43、不存在的或错误的，如果用户使用静态方式接入网络，那么用户的 IP 和 MAC 肯定与该接口下的绑定信息不匹配，数据将被丢弃。这就要求用户必须要通过 DHCP 方式获取IP 地址，获取 IP 地址过程中所交互的报文被DHCP Snooping合法的绑定信息。 到并形成该用户的 30 / 85只需要在上联端口配置该命令以成为信任端口，其他连接用户的端口则不需要进行特殊配置，默认就为非可信端口。 ip dhcp snoopingip dhcp snooping address-bindip dhcp snooping verify mac-address JSGF-v1-02-03 双核心网络规划技

44、术规范.doc完成上述DHCP Snooping 相关配置后，可以通过静态绑定一条不存在的表项进入 DHCPSnooping 数据库，强制接入用户使用DHCP 方式来获取IP 地址，防范用户通过静态IP 地址方式接入网络。如下所示 配置时，需要保证端口和VLAN 的对应关系一定正确。 静态IP 地址的唯一性2.6.3在校园网中，通过静态方式分配IP 地址也是一个较为常见的方式，由于静态IP 地址是需要用户自己手工配置的，难免会出现无意或有意的 IP 地址配置错误导致占用其他用户的IP 地址。 针对于上述情况，预防措施通常是做在接入层交换机上，目前我司接入交换机上存在多 种解决方案 1 . 端口

45、安全方式 首先在接口下面开启端口安全，switchport port-security然后配置相关需要绑定的IP 和MAC 信息， switchport port-security mac-address H.H.H ip-address X.X.X.X由于上述功能是通过硬件芯片实现，因此在做如上配置时，需要根据实际所使用的产品 型号，确认每个端口下所能支持的最大绑定条目数。 2 . 静态配置DHCP Snooping 绑定信息 该方式请参考DHCP 相关部分的描述，仍需要注意所支持的最大条目数。 3 . SAM 方 式31 / 85ip dhcp snooping binding 0000.

46、0000.0001 vlan 11 ip 1.1.1.1 interface fastEthernet 0/1ip dhcp snooping binding 0000.0000.0002 vlan 12 ip 1.1.1.2 interface fastEthernet 0/2ip dhcp snooping binding 0000.0000.0003 vlan 24 ip 1.1.1.24 interface fastEthernet 0/24 JSGF-v1-02-03 双核心网络规划技术规范.doc前面两种做法都是通过事先搜集信息，然后在交换机上进行手动配置，实施量和后期维护量都较大

47、，因此只适用于小范围的网络内使用，比如教师办公场所，如果是大范围的网络，比如学生宿舍区，不推荐采用上面两种方式。 通过我司的SAM 解决方案中可以做到IP、MAC、用户的绑定，这些信息可以通过事先搜集并在用户开户时输入到SAM 数据库中，也可以在用户登陆时通过自动获取方式存入数据库中。如果绑定的是错误的信息，用户在第一次登陆时，输入了错误的IP 地址， 这个错误的IP 地址是分配给其他用户的，所以除了可能会造成用户自己无法正常上网， 也可能导致其他用户无法认证上网，这时必须在SAM 服务器上解除绑定，让用户使用 正确的IP 地址再次认证，以保证绑定正确的信息。 最后使用 aaa authori

48、zation ip-auth-mode supplicant 命令保证用户在认证后无法修改认证时所使用的IP 地址。 防范ARP 欺骗2.6.4在校园网的日常维护中，ARP 欺骗是在日常网络维护中经常遇到的问题，预先防范杜绝 ARP 欺骗能够大大减少校园网后期维护量。 防范 ARP 欺骗要尽量做在网络边缘处即接入交换机上，以将非法报文控制在最小范围内。 在实际项目中，多采用我司接入层交换机上arp-check 方式来控制arp 欺骗，命令如下： 在全局模式下，启用port-security arp-check 命令打开 arp 检测功能，接下来需要创建相关安全地址表项以供arp-check 使

49、用，常用的创建安全地址表项的方法有以下几种：（注意，由于 arp-check 开启后，并不读取已经存在的安全地址，导致已经创建的安全地址 对应的用户无法接入网络，所以一定要在创建安全地址表项之前打开arp-check 功能） 1 .通过端口安全方式获取安全地址表项2 .通过DHCP Snooping 方式获得安全地址表项 3 .通过 802.1X 认证的IP 授权模式获取安全地址表项前面两种方式在前面都有介绍，第 3 种方式在开启 802.1x 相关认证之后，配置如下命令 ： aaa authorization ip-auth-mode supplicant32 / 85 JSGF-v1-02

50、-03 双核心网络规划技术规范.doc2.6.5 防病毒ACL校园网中部署的防病毒ACL 通常配置在用户网关设备上，不建议配置在接入层设备上， 因为某些病毒端口也是局域网内共享访问的端口。 防病毒 ACL 可配置在物理端口下或三层SVI 接口下，在校园网中多使用在用户网段网 关交换机的下联二层接入交换机的物理端口下部署。 2.7配置模板本章节根据本文前面各章的内容，整理出双核心二层网络结构下各层次设备的配置模 板，分为接入层交换机配置模板和核心层交换机配置模板。 33 / 85需要关注ACL 的最后一条默认语句是permit 还是deny。 JSGF-v1-02-03双核心网络规划技术规范.d

51、oc2.7.1 接入层设备配置模板34 / 85 JSGF-v1-02-03双核心网络规划技术规范.doc35 / 85 JSGF-v1-02-03双核心网络规划技术规范.doc2.7.2 核心层设备配置模板36 / 85 JSGF-v1-02-03 双核心网络规划技术规范.doc双核心三层网络结构3双核心三层网络结构包含核心层、汇聚层以及接入层，汇聚层一般通过双链路上联到两 台核心层设备上，接入层设备通过单链路上联到汇聚层设备上。 在单核心规范中，提到了“大汇聚”和“小汇聚”的概念，“小汇聚”即虽然网络是三层结构，存在核心层、汇聚层、接入层，但用户的网关还是设置在核心层设备上， 汇聚层设备只

52、是起到一个VLAN 透传的功能，这种设计方法只是适用于单核心结构的小 型校园网。 在双核心三层网络结构“大汇聚”方式下，由于三层设备、三层互联链路较多，不适合 使用静态路由方式，通常是在汇聚层设备同核心层设备之间运行动态路由OSPF。 在双核心三层网络结构下，无论校园网规模是怎样的，都不建议采用“小汇聚”方式。 如果采用“小汇聚”方式，汇聚层设备就要同核心层设备之间运行生成树协议，核心层设备之间需要运行VRRP 协议，这种协议的组合比起“大汇聚”结构下单纯的OSPF 方式相比，网络的健壮性和安全性会小很多，网络用户可能会利用 VRRP 协议报文对核心设备进行攻击，而“大汇聚”方式可以在汇聚层设

53、备上通过一些优化配置，让网络用户接收不到OSPF 协议的报文，并且实现同样的需求，使用 MSTP+VRRP 协议组合的配置 量也要比单纯的OSPF 配置量大很多。 同双核心二层网络结构一样，在双核心三层网络结构下，出口设备的形式可能会存在多种 情况，单台、两台或多台，出口设备同核心层设备之间的连接方式也会存在多种情况 ， 这些不同形式出口组合存在多种设计方案，本章节的后续部分将尽可能的覆盖所有可能 存在的各种组合形式。 本章的后续内容将分别从硬件安装规范、基本配置规范、IP 地址设计规范、网络协议规范以及优化协议及配置规范等方面的内容来讲解双核心三层网络结构校园网的建设规范与思路。 3.1案例

54、基本信息双核心三层网络结构常见拓扑图如下图所示37 / 85 JSGF-v1-02-03双核心网络规划技术规范.doc如上图所示，该校园网主要分为下列几个区域：网络中心、宿舍楼（2 栋）、教学楼（2栋）、办公楼、图书馆、服务器区，所使用的设备如下表所示： 38 / 85 JSGF-v1-02-03双核心网络规划技术规范.doc3.2硬件安装规范在网络基础技术规范中的硬件安装规范这一章节中对项目中与设备硬件相关的安装规范做了详细的阐述，本章节按照该文档中所制定的一些规范，并结合本章节的案例， 输出最终的设备板卡安装效果图及设备互联效果图。 3.2.1 设备板卡安装规范核心层设备RG-S8610

55、的线卡安装图如下图所示： 39 / 85 JSGF-v1-02-03双核心网络规划技术规范.doc汇聚层设备RG-S8606 的线卡安装图如下图所示： 40 / 85 JSGF-v1-02-03 双核心网络规划技术规范.doc接入层设备RG-S2150G 的光纤模块安装图如下图所示： 41 / 85 JSGF-v1-02-03双核心网络规划技术规范.doc3.2.2 设备互联规范各级设备之间的互联规范如下图所示：如上图所示，在设计双核心二层网络结构下的各级设备的互联时，遵循与单核心二层网络结构同样的原则：下级设备与上级设备互联时，下级设备从所有端口中从后向前分配端口与上级设备互联，上级设备从所有端口中从前