網(wǎng)絡(luò)工程-朝陽幼兒師范職業(yè)學(xué)院校園網(wǎng)絡(luò)規(guī)劃與建設(shè)

朝陽幼兒師范職業(yè)學(xué)院校園網(wǎng)絡(luò)規(guī)劃與建設(shè)摘要:自1968年美國國防部高級研究計(jì)劃局組建的ARPANET（阿帕網(wǎng)）開始，互聯(lián)網(wǎng)已經(jīng)滲透到社會中的每一個(gè)角落，網(wǎng)絡(luò)已經(jīng)成為了人類的生活必需品。教育又是強(qiáng)國之本，各教育院校對教育智能化，先進(jìn)化，快速便捷化的需求日益增強(qiáng)，而實(shí)現(xiàn)它們需要依賴于一個(gè)高可靠高可用的底層網(wǎng)絡(luò)。本課題將從校園網(wǎng)絡(luò)的設(shè)計(jì)目標(biāo)，需求分析，系統(tǒng)設(shè)計(jì)，設(shè)備選型，網(wǎng)絡(luò)規(guī)劃，網(wǎng)絡(luò)安全性和可靠性等方向入手。遵循高可靠性，高安全性的原則，在保持易管理性，可拓展性的同時(shí)，使用模塊化的設(shè)計(jì)方法，按核心層，匯聚層和接入層的方法劃分整體網(wǎng)絡(luò)。并根據(jù)不同區(qū)域?qū)τ脩艚尤雽?、?shù)據(jù)匯聚層、核心轉(zhuǎn)發(fā)層進(jìn)行功能區(qū)域劃分。從而搭建一個(gè)有合理，有效的網(wǎng)絡(luò)管理，安全可靠且滿足廣大師生教學(xué)辦公需要的校園網(wǎng)絡(luò)。關(guān)鍵詞：校園網(wǎng)，分層設(shè)計(jì)，安全可靠。

CampusNetworkPlanningandConstructionofChaoyangPreschoolTeachersCollegeAbstract:SincetheARPANET(Arpanet)formedbytheAdvancedResearchProjectsAgencyoftheUnitedStatesDepartmentofDefensein1968,theInternethaspenetratedintoeverycornerofsociety,andtheInternethasbecomeanecessityofhumanlife.Educationisalsothefoundationofastrongcountry.Thedemandsofeducationinstitutionsforintelligent,advanced,andconvenienteducationareincreasing.Torealizethem,theyneedtorelyonahighlyreliableandhighlyavailableunderlyingnetwork.Thistopicwillstartwiththedesigngoals,requirementsanalysis,systemdesign,equipmentselection,networkplanning,networksecurity,andreliabilityofthecampusnetwork.Followingtheprinciplesofhighreliabilityandhighsecurity,whilemaintainingmanageabilityandscalability,themodulardesignmethodisusedtodividetheoverallnetworkaccordingtothecorelayer,convergencelayer,andaccesslayermethods.Accordingtodifferentareas,theuseraccesslayer,dataconvergencelayer,andcoreforwardinglayeraredividedintofunctionalareas.Inordertobuildacampusnetworkthathasreasonableandeffectivenetworkmanagement,issafeandreliable,andmeetstheteachingandofficeneedsofteachersandstudents.Keywords:campusnetwork,hierarchicaldesign,safeandreliable.

目錄TOC\o"1-3"\h\u第1章緒論 第1章緒論1.1課題的背景和意義1.1.1課題目的校園網(wǎng)是利用計(jì)算機(jī)與通信技術(shù)整合校園內(nèi)的各種數(shù)字資源的網(wǎng)絡(luò)徐彬.校園網(wǎng)網(wǎng)絡(luò)方案設(shè)計(jì)與實(shí)現(xiàn)[D].天津大學(xué),2009.。在教育信息話的背景下，我國多數(shù)高校已經(jīng)建立起了校園網(wǎng)絡(luò)，師生對網(wǎng)絡(luò)的需求不斷提高。校園網(wǎng)已成為學(xué)校信息化建設(shè)的重點(diǎn),是學(xué)校提高管理水平、工作效率、改善教學(xué)質(zhì)量、擴(kuò)充教學(xué)途徑的有力手段。而構(gòu)建一個(gè)具備運(yùn)轉(zhuǎn)效率高、實(shí)用性強(qiáng)的校園網(wǎng)絡(luò)平臺,需要通過不斷地實(shí)踐和總結(jié),徐彬.校園網(wǎng)網(wǎng)絡(luò)方案設(shè)計(jì)與實(shí)現(xiàn)[D].天津大學(xué),200課題意義校園網(wǎng)的建設(shè)對于學(xué)院來說具有重大且長遠(yuǎn)的意義。建設(shè)校園網(wǎng)是為學(xué)生學(xué)習(xí)活動服務(wù)的，校園網(wǎng)能夠?yàn)閷W(xué)生提供多種學(xué)習(xí)資源和學(xué)習(xí)工具，促進(jìn)學(xué)生內(nèi)部的交流與協(xié)作；校園網(wǎng)可以為校內(nèi)老師的教學(xué)和科研服務(wù)，能夠提供給老師豐富的教學(xué)資源和豐富的教學(xué)平臺；校園網(wǎng)是學(xué)校教育教學(xué)管理服務(wù)的重要支撐。學(xué)校內(nèi)部的學(xué)生學(xué)籍，人事等內(nèi)務(wù)管理都需要校園網(wǎng)的支撐；校園網(wǎng)是學(xué)校與學(xué)校之間溝通的橋梁，校園網(wǎng)能夠通過與校外組網(wǎng)的方式形成范圍更大的網(wǎng)絡(luò)，實(shí)現(xiàn)范圍更廣的網(wǎng)絡(luò)交互學(xué)習(xí)環(huán)境。通過校園網(wǎng)全國的學(xué)生能夠進(jìn)行資源分享鄧志武鄧志武.校園網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京郵電大學(xué),2012.1.2課題的研究1.2.1研究內(nèi)容針對朝陽幼兒師范職業(yè)學(xué)院對于現(xiàn)代化校園網(wǎng)的建設(shè)要求，結(jié)合主流校園網(wǎng)絡(luò)設(shè)計(jì)。利用網(wǎng)絡(luò)通信設(shè)備和互聯(lián)網(wǎng)通用通信協(xié)議，廠商通信協(xié)議，為朝陽幼兒師范職業(yè)學(xué)院建設(shè)一個(gè)具有穩(wěn)定性，靈活性，實(shí)用性和安全性的校園網(wǎng)。使校園網(wǎng)能夠滿足學(xué)校學(xué)生和老師的日常學(xué)習(xí)活動和教研工作，能夠滿足學(xué)校的教育管理服務(wù)，搭建安全的，大范圍的網(wǎng)絡(luò)交互學(xué)習(xí)環(huán)境。1.2.2研究方法本課題參考公司的實(shí)際網(wǎng)絡(luò)設(shè)計(jì)方案，在該方案的基礎(chǔ)上通過華為ENSP模擬器模擬相關(guān)網(wǎng)絡(luò)設(shè)備，搭建校園網(wǎng)絡(luò)拓?fù)?，通過模擬器上的設(shè)備搭建校園網(wǎng)絡(luò)總體設(shè)計(jì)并將相應(yīng)配置實(shí)現(xiàn)。由于模擬器無法實(shí)現(xiàn)實(shí)際項(xiàng)目中的部分配置，故在研究拓?fù)浯罱ㄊ墙梃b了網(wǎng)上手機(jī)的組網(wǎng)技術(shù)案例和有關(guān)網(wǎng)絡(luò)建設(shè)方面的文獻(xiàn)?？偠灾?，本課題采用方法是在公司原有設(shè)計(jì)方案上結(jié)合自己的理論知識和項(xiàng)目經(jīng)驗(yàn)，加上自己對校園網(wǎng)絡(luò)建設(shè)的理解。重新設(shè)計(jì)組網(wǎng)方案，并且保證最后的組網(wǎng)方案跟實(shí)際方案一樣都能確保校園網(wǎng)的可靠、安全、穩(wěn)定性。

第2章需求分析2.1校園網(wǎng)絡(luò)整體需求分析在高校信息化建設(shè)中，校園網(wǎng)建設(shè)是基礎(chǔ)設(shè)施建設(shè)，作為信息化建設(shè)的基礎(chǔ)平臺，這就意味著在建設(shè)過程應(yīng)充分規(guī)劃，使校園網(wǎng)能夠?yàn)閷W(xué)校的教研、辦公、管理和教學(xué)管理提供平臺，同時(shí)保證校園網(wǎng)的安全性、可靠性和可拓展性。這就要求建設(shè)的校園網(wǎng)在整體上需要滿足一下幾點(diǎn)：校園網(wǎng)要求運(yùn)行速度快、運(yùn)行穩(wěn)定，重要鏈路有冗余避免業(yè)務(wù)中斷，保證高可靠性；有一個(gè)性能優(yōu)良、具有可持續(xù)發(fā)展的有線寬帶網(wǎng)絡(luò)，有足夠的接入點(diǎn)滿足校園固定IT資產(chǎn)接入網(wǎng)絡(luò)并便于統(tǒng)一定位管理。能夠?qū)崿F(xiàn)全校無線覆蓋，在施工難度大的區(qū)域也能保證網(wǎng)絡(luò)覆蓋，同時(shí)滿足如今學(xué)生多手持移動終端（如手機(jī)、平板電腦）的接入，同時(shí)解決部分區(qū)域有線接入點(diǎn)不足的弊端。具有統(tǒng)一的標(biāo)準(zhǔn)智能化管理平臺，通過安全設(shè)備，如堡壘機(jī)、ACG等安全設(shè)備對內(nèi)網(wǎng)流量監(jiān)控和審計(jì)，保證信息可控性和快速定責(zé)。具有良好的可拓展性和易管理性，對未來的先進(jìn)設(shè)備接入和設(shè)備擴(kuò)容提供空間，為網(wǎng)絡(luò)管理和運(yùn)維人員提供穩(wěn)定的維護(hù)和遠(yuǎn)程管理平臺。2.2用戶需求分析針對校園網(wǎng)中接入場景多樣，在這里針對校園中的不同區(qū)域做需求分析，主要將其分為三個(gè)區(qū)域：教學(xué)樓和辦公區(qū)域、教師公寓和學(xué)生宿舍、公共區(qū)域。在網(wǎng)絡(luò)搭建結(jié)構(gòu)上要求整體實(shí)現(xiàn)“萬兆交換主干和千兆交換到桌面”。教學(xué)樓和辦公區(qū)域：這類區(qū)域以有線接入為主，配合無線覆蓋，各課室與辦公室要有足夠的接入點(diǎn)供多媒體教學(xué)設(shè)備和教師辦公用電腦的接入，同時(shí)這區(qū)域內(nèi)網(wǎng)段主要以教師角色為主，通過做ACL策略。教師角色網(wǎng)段將有權(quán)接入到學(xué)校教務(wù)管理、財(cái)務(wù)管理、資產(chǎn)管理、遠(yuǎn)程教學(xué)平臺等校內(nèi)服務(wù)器上的相應(yīng)系統(tǒng)。教師公寓及學(xué)生宿舍區(qū)域：此類區(qū)域主要以無線覆蓋為主，由于這類區(qū)域接入點(diǎn)密集、上網(wǎng)用戶并發(fā)量大、網(wǎng)絡(luò)流量多，所以傳輸鏈路上通過1G級光纖接入到樓層，無線的部署上每間宿舍都安裝一臺帶接入網(wǎng)口的面板AP，在保證接入穩(wěn)定的同時(shí)保持了室內(nèi)裝飾的美觀整潔以及學(xué)生有線終端的接入。流量上行方面要求所有上行流量經(jīng)過審計(jì)平臺，要保證網(wǎng)絡(luò)的可控性。公共區(qū)域：此類區(qū)域包括有（飯?zhí)?、操場、公共休息區(qū)等），這類區(qū)域主要是無線覆蓋方式為主，少量有線接入點(diǎn)用在校園一卡通、圖書借閱、校園廣播等設(shè)備的接入，這類區(qū)域?qū)⑻峁┟赓M(fèi)的WiFi接入，但是只有訪客角色的權(quán)限。提供給來訪的學(xué)生家長及學(xué)術(shù)交流的教研人員使用。2.3安全需求分析在如今的大學(xué)校園中大學(xué)生網(wǎng)絡(luò)需求大上網(wǎng)時(shí)間長，同時(shí)網(wǎng)絡(luò)中又充斥著大量不良信息以及別有用心的網(wǎng)絡(luò)黑客，隨著社交網(wǎng)絡(luò)的不斷完善和發(fā)展，虛假和詐騙信息對學(xué)生的財(cái)產(chǎn)和人生威脅構(gòu)成了巨大的威脅。校園網(wǎng)絡(luò)安全的建設(shè)和實(shí)施成為了校園網(wǎng)中不可或缺和及其重要的一個(gè)部分。個(gè)人信息賬戶安全：對于存儲學(xué)生信息的服務(wù)器應(yīng)進(jìn)行多重加密，關(guān)閉不必要的端口，減少訪問數(shù)量，避免被黑客盜取學(xué)生資料信息，并利用其信息進(jìn)行非法操作。校園出口網(wǎng)絡(luò)安全：做為與公網(wǎng)對接的接口，承載著大量的流量往來，而魚龍混雜的公網(wǎng)流量可能暗藏殺機(jī)，黑客們的手段層出不窮，這就需要安裝先進(jìn)的安全廠家的安全產(chǎn)品和相關(guān)的安全服務(wù)，在重要節(jié)點(diǎn)處設(shè)防，加裝waf，ips等安全設(shè)備，同時(shí)購買病毒特征庫等的授權(quán)，保證病毒庫實(shí)時(shí)更新，最大程度上減少被攻擊的可能性。

第3章總體設(shè)計(jì)3.1設(shè)計(jì)原則作為信息化網(wǎng)絡(luò)建設(shè)，智慧校園的基石。為保證其穩(wěn)定運(yùn)行，在規(guī)劃設(shè)計(jì)的過程中，將遵循以下設(shè)計(jì)原則：技術(shù)的成熟性和先進(jìn)性項(xiàng)目總體的實(shí)施采用國內(nèi)外主流的、成熟的技術(shù)和解決方案，設(shè)備選擇高端適用的網(wǎng)絡(luò)設(shè)備，要有遠(yuǎn)瞻的目光，在確保建成的系統(tǒng)在使用后的5-8年內(nèi)不會落后的同時(shí)，也要保證后期無需大范圍的割接和升級也能適應(yīng)學(xué)校的快速發(fā)展。標(biāo)準(zhǔn)化和可拓展性系統(tǒng)的設(shè)計(jì)和實(shí)際實(shí)施的過程中都嚴(yán)格遵循國家的行業(yè)相關(guān)產(chǎn)品能耗標(biāo)準(zhǔn)和施工標(biāo)準(zhǔn)。對于校園網(wǎng)中可能新增的子系統(tǒng)要預(yù)留接口，對可能擴(kuò)容和新增設(shè)備的區(qū)域預(yù)留IP地址。充分考慮后期的系統(tǒng)設(shè)備升級和設(shè)備的更替，保證校園網(wǎng)的可拓展性。安全性和可靠性整個(gè)校園網(wǎng)絡(luò)應(yīng)具備很強(qiáng)的安全性，要設(shè)置合理嚴(yán)格的訪問權(quán)限控制機(jī)制，要有先進(jìn)并及時(shí)更新的入侵防御檢測和安全監(jiān)控平臺，從而做到防止學(xué)生和教職工信息被非法竊取盜用和破壞。通過統(tǒng)一的審計(jì)和上網(wǎng)行為管理平臺來實(shí)現(xiàn)事故定責(zé)和追查管理能力。在保證安全性的同時(shí)要針對網(wǎng)絡(luò)中重要節(jié)點(diǎn)留有足夠的冗余，要具備良好的容錯和糾錯能力，保證故障恢復(fù)時(shí)間最優(yōu)化，提供有效的災(zāi)難恢復(fù)和應(yīng)急措施，從而保障校園網(wǎng)的安全性和可靠性。便利性和實(shí)用性從校園網(wǎng)的使用用戶角度出發(fā)，再保證安全審計(jì)接入的情況下最大程度上簡化上網(wǎng)流程步驟，充分考慮上網(wǎng)人員需求，為校園網(wǎng)用戶提供高效、便利、舒適的現(xiàn)代辦公環(huán)境和網(wǎng)絡(luò)應(yīng)用環(huán)境?？删S護(hù)性和易管理性建立健全的網(wǎng)絡(luò)管理系統(tǒng)，并與業(yè)務(wù)系統(tǒng)分開，便于運(yùn)維管理人員對系統(tǒng)進(jìn)行管理。校園網(wǎng)要具備故障報(bào)警、錯誤報(bào)告和應(yīng)急處理能力?？梢酝ㄟ^部署一體化、智能化的管理平臺，使校園網(wǎng)具備良好的遠(yuǎn)程管理維護(hù)能力。在提高網(wǎng)絡(luò)故障發(fā)現(xiàn)、故障診斷和故障排除的簡易性的同事，也為運(yùn)維管理人員提供了可視化的管理平臺，降低工作人員的管理難度，提高管理效率。3.2網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)3.2.1總體結(jié)構(gòu)規(guī)劃朝陽幼兒師范職業(yè)學(xué)院校園網(wǎng)絡(luò)規(guī)劃與建設(shè)總體設(shè)計(jì)以高性能、高可靠性、高安全性、良好的可擴(kuò)展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)為原則，以及考慮到技術(shù)的先進(jìn)性、成熟性，并采用模塊化的設(shè)計(jì)方法。在網(wǎng)絡(luò)整體架構(gòu)設(shè)計(jì)上，按照網(wǎng)絡(luò)核心、匯聚和接入的模型對網(wǎng)絡(luò)系統(tǒng)進(jìn)行劃分，從而完成用戶接入層面與數(shù)據(jù)中心的數(shù)據(jù)接入層面的分層設(shè)計(jì)。根據(jù)網(wǎng)絡(luò)實(shí)現(xiàn)的功能將其進(jìn)行功能區(qū)域劃分。交換核心區(qū)系統(tǒng)，交換核心區(qū)用于高速交換數(shù)據(jù)。無線網(wǎng)絡(luò)系統(tǒng)，實(shí)現(xiàn)在校園內(nèi)能夠?yàn)槭跈?quán)用戶提供無線上網(wǎng)服務(wù)。網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)對校園內(nèi)所有網(wǎng)絡(luò)設(shè)備的配置管理、故障管理、性能管理和流量管理等。網(wǎng)絡(luò)安全系統(tǒng)，保障校園網(wǎng)絡(luò)系統(tǒng)能夠安全運(yùn)行。3.2.2校園網(wǎng)絡(luò)拓?fù)鋱D校園網(wǎng)絡(luò)采用三層組網(wǎng)模式，在ENSP模擬器上模擬搭建，由于設(shè)備數(shù)量問題及模擬器部分功能不支持，在模擬器上搭建的是主要架構(gòu)的網(wǎng)絡(luò)，其他大同小異的接入層和匯聚層網(wǎng)絡(luò)設(shè)備就沒有完全展現(xiàn)，如圖3-1校園網(wǎng)絡(luò)拓?fù)鋱D，本拓?fù)浒阎饕W(wǎng)絡(luò)結(jié)構(gòu)模擬出來。圖3-1朝陽幼職校園網(wǎng)絡(luò)拓?fù)?.2.2系統(tǒng)分層設(shè)計(jì)借鑒于眾多高校網(wǎng)絡(luò)的優(yōu)質(zhì)規(guī)劃，網(wǎng)絡(luò)的分層化設(shè)計(jì)明確了各個(gè)層的功能，工作原理，標(biāo)準(zhǔn)等，將網(wǎng)絡(luò)的繁多功能分配到具體的層次，每個(gè)層次都有相應(yīng)的硬件、軟件標(biāo)準(zhǔn)，十分有利于網(wǎng)絡(luò)的標(biāo)準(zhǔn)化。在降低整個(gè)網(wǎng)絡(luò)復(fù)雜性的同時(shí)，也促使故障排除與維護(hù)變得簡單便捷。分層化設(shè)計(jì)分為三級結(jié)構(gòu)：核心層、匯聚層、接入層。接入層的主要作用是實(shí)現(xiàn)終端用戶的接入，把終端接入用戶的流量傳輸?shù)缴蠈?，從而接入校園網(wǎng)。匯聚層主要作用是處在各個(gè)建筑內(nèi)網(wǎng)絡(luò)流量的與接入用戶的匯聚節(jié)點(diǎn)。核心層主要是用來完成高速的包交換，構(gòu)成高速的交換骨干。3.3網(wǎng)絡(luò)層次詳細(xì)設(shè)計(jì)3.3.1核心層設(shè)計(jì)核心層的交換機(jī)設(shè)備采用的是新華三的園區(qū)高級核心交換機(jī)，型號是H3CLS-10508.圖3-2核心層交換機(jī)LS-10508核心層采用的是雙機(jī)熱備，有兩臺相同型號的LS-10508。兩臺設(shè)備做了負(fù)載分擔(dān)，同時(shí)負(fù)責(zé)整個(gè)校園網(wǎng)絡(luò)數(shù)據(jù)的集中和轉(zhuǎn)發(fā)，同時(shí)負(fù)責(zé)服務(wù)器區(qū)和網(wǎng)絡(luò)出口之間的流量轉(zhuǎn)化。所以在考慮核心交換機(jī)的負(fù)載分擔(dān)的同時(shí)，也配合使用了鏈路冗余技術(shù)，兩臺設(shè)備當(dāng)兩臺用，對其資源充分利用。本次規(guī)劃建設(shè)中結(jié)合ENSP模擬器做實(shí)驗(yàn)，采用的是VRRP+MSTP的組網(wǎng)方式，三層轉(zhuǎn)發(fā)上采用的是通過配置多個(gè)VRRP實(shí)現(xiàn)設(shè)備的負(fù)載分擔(dān)，通過MSTP在二層轉(zhuǎn)發(fā)上配置多個(gè)生成樹實(shí)例實(shí)現(xiàn)鏈路的負(fù)載分擔(dān)。在避免資源浪費(fèi)的同時(shí)也實(shí)現(xiàn)了鏈路冗余。3.3.2匯聚層設(shè)計(jì)匯聚層的交換機(jī)設(shè)備型號采用的是H3CS6520X-HI系列萬兆匯聚交換機(jī)，采用的是48個(gè)1/10GESFP+光接口，2個(gè)QSFP+光接口的版本，圖3-3匯聚層交換機(jī)H3CS6520X-HI匯聚層的交換機(jī)主要是部署在各棟建筑等接入交換機(jī)較多的機(jī)房，通過匯聚下聯(lián)接入層設(shè)備的流量，再集中匯聚的流量轉(zhuǎn)發(fā)給上層的核心設(shè)備。匯聚層的設(shè)備在匯聚本樓棟的IP地址和流量后的同時(shí)，通過劃分VLAN來對不同的樓棟做二次隔離，可以在這一層實(shí)施安全訪問控制（ACL），保證網(wǎng)絡(luò)的安全性，同時(shí)支持DHCP的相關(guān)安全功能。在鏈路的連接上選擇的是雙鏈路連接到核心設(shè)備，做到網(wǎng)絡(luò)的冗余性。3.3.3接入層設(shè)計(jì)接入層的設(shè)備直接與下聯(lián)終端連接，是校園網(wǎng)絡(luò)安全的第一道防線，因此要求接入層的交換機(jī)具有配置用戶認(rèn)證、端口綁定和端口隔離等功能，本次實(shí)施項(xiàng)目使用的是新華三的H3C5130-EI-PWR系列的交換機(jī)。圖3-4接入層交換機(jī)H3C5130-EI-PWR作為二層接入設(shè)備，接入層交換機(jī)需要為網(wǎng)絡(luò)終端提供百兆或千兆的接入能力。同時(shí)在無線網(wǎng)絡(luò)中要求支持POE供電功能，為下聯(lián)的AP供電，從而降低施工布線難度，最大程度上保持設(shè)備安裝美觀，在流量轉(zhuǎn)發(fā)上，這一款設(shè)備選用的是全千兆下行，萬兆上行。3.4校園無線網(wǎng)絡(luò)設(shè)計(jì)3.4.1無線設(shè)備部署在本次校園無線網(wǎng)絡(luò)組網(wǎng)方案中，無線的組網(wǎng)全部采用AC控制器加FITAP的組網(wǎng)方式，AC無線控制器部署在機(jī)房，AP經(jīng)過現(xiàn)場的無線工勘后部署在相應(yīng)位置，在上面說到無線網(wǎng)絡(luò)的接入層交換機(jī)均帶有POE供電的功能，所以AP均采用POE供電，在不同場景采用不同的AP型號來保證最佳用戶體驗(yàn)。在操場，校道采用室外AP，學(xué)生宿舍采用面板AP，大型教室等人員密集，并發(fā)量大的區(qū)域采用室內(nèi)高密AP，普通教室采用普通放裝AP。3.4.2AC可靠性部署為了防止由于AC設(shè)備出錯或者鏈路故障導(dǎo)致校園無線網(wǎng)絡(luò)崩潰導(dǎo)致無線用戶無法正常上網(wǎng)，此次方案采用雙鏈路AC備份的方法來保證其可靠性和冗余性。采用的是雙鏈路冷備份的方式，雙鏈路冷備份是指在AC加FITAP的組網(wǎng)結(jié)構(gòu)中部署兩臺AC無線控制器來管理AP，兩臺AC都跟網(wǎng)絡(luò)中的AP建立CAPWAP隧道鏈路。其中一臺AC作為無線網(wǎng)絡(luò)中的主AC，為網(wǎng)絡(luò)中的AP提供業(yè)務(wù)服務(wù)，另外一臺作為備份的AC控制器，不提供業(yè)務(wù)服務(wù)。當(dāng)主的AC無線控制器設(shè)備發(fā)生設(shè)備故障，或者CAPWAP鏈路出現(xiàn)問題時(shí)，備份的AC頂替主AC來為AP提供業(yè)務(wù)服務(wù)，同時(shí)管理AP。其組網(wǎng)示意圖如圖3-5所示圖3-5AC雙鏈路冷備組網(wǎng)示意圖3.4.3無線業(yè)務(wù)規(guī)劃為滿足校園網(wǎng)絡(luò)用戶使用和方便網(wǎng)絡(luò)管理人員管理，無線網(wǎng)絡(luò)中，無線AP的管理和業(yè)務(wù)地址時(shí)分開的，獲取業(yè)務(wù)地址的DHCP是做在其樓棟的匯聚交換機(jī)的，AP的管理地址統(tǒng)一做在AC上面。每一個(gè)區(qū)域會有自己區(qū)域的無線信號，名稱為該區(qū)域名稱的字母拼音，該網(wǎng)絡(luò)采用普通密碼驗(yàn)證登錄，方便區(qū)域的固定無線設(shè)備使用，例如無線監(jiān)控?cái)z像頭、無線電子白板設(shè)備。還有一個(gè)無線信號名稱為ZYYZ的，這是一個(gè)全院覆蓋的wifi信號，采用的是Portal認(rèn)證，關(guān)聯(lián)到radius計(jì)費(fèi)服務(wù)器，學(xué)生上網(wǎng)需申請賬號密碼，通過Portal認(rèn)證彈出的網(wǎng)頁認(rèn)證，當(dāng)輸入的賬號密碼與后端服務(wù)器匹配時(shí)才能上網(wǎng)。信號界面如下圖3-6所示：圖3-6無線信號名稱顯示圖3.5網(wǎng)絡(luò)安全設(shè)計(jì)3.5.1網(wǎng)絡(luò)防火墻部署信息高速傳播的同時(shí)國家對信息網(wǎng)絡(luò)的安全性同樣越來越重視，所以在校園網(wǎng)的建設(shè)過程中信息安全成為不可獲取的一部分，在本次的設(shè)計(jì)方案中安裝配備了防火墻安全設(shè)備，從而提高校園網(wǎng)內(nèi)的安全性能，通過配置不同的安全區(qū)域，把內(nèi)網(wǎng)跟外網(wǎng)分開。開啟默認(rèn)拒絕模式，配置相應(yīng)的安全策略使防火墻只轉(zhuǎn)發(fā)策略規(guī)則允許的流量通過，其他流量默認(rèn)拒絕。在服務(wù)器的關(guān)鍵節(jié)點(diǎn)也會設(shè)置防火墻，嚴(yán)格限制網(wǎng)絡(luò)用戶對校園服務(wù)器的訪問，只對外映射允許訪問的服務(wù)器，且端口號避免采用常用端口號。配置防火墻防DOS/DDOS功能，對Land、Smurf、Fraggle、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood等拒絕服務(wù)攻擊進(jìn)行防范，可以實(shí)現(xiàn)對各種拒絕服務(wù)攻擊的有效防范，保證網(wǎng)絡(luò)帶寬。3.5.2IDS部署IDS（入侵防御系統(tǒng)）是有過濾功能的特種交換機(jī)。一般部署在防火墻和外部網(wǎng)絡(luò)的設(shè)備之間，通過對數(shù)據(jù)包的檢測進(jìn)行防御（檢查入網(wǎng)的數(shù)據(jù)包，確定數(shù)據(jù)包的真正用途，然后決定是否允許其進(jìn)入內(nèi)網(wǎng)），IDS的部署能夠有效的的阻止網(wǎng)絡(luò)上后門木馬、系統(tǒng)漏洞、蠕蟲病毒、間諜軟件、惡意木馬、網(wǎng)絡(luò)釣魚、DoS/DDoS等惡意攻擊。在校園網(wǎng)內(nèi)部部署IDS，使外網(wǎng)訪問校園網(wǎng)時(shí)的流量先經(jīng)過IDS，IDS識別各種網(wǎng)絡(luò)攻擊流量且傾向于主動防護(hù)。使攻擊流量在到達(dá)校園內(nèi)網(wǎng)前就被阻斷，從而保護(hù)校園網(wǎng)內(nèi)部免受網(wǎng)絡(luò)中的惡意攻擊。IDS設(shè)備在對應(yīng)用流量分析和檢測的同時(shí)還能對分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理，從而對網(wǎng)絡(luò)上的應(yīng)用、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)性能進(jìn)行了保護(hù)。其主要功能如下圖3-7所示：圖3-7IDS主要功能示圖3.5.3DHCP安全防護(hù)由于校園網(wǎng)中用戶量較多，部分區(qū)域需要動態(tài)分配IP地址，一般會在網(wǎng)絡(luò)設(shè)備上配置DHCP服務(wù)器，為了保證DHCP分配地址的安全性，避免非法的DHCP的開設(shè)和接入，對系統(tǒng)產(chǎn)生影響，導(dǎo)致終端獲取不到IP地址，用戶接不上網(wǎng)絡(luò)，因此再配置完DHCP后要開啟DHCPsnooping特性，DHCPSnooping通過監(jiān)聽DHCP-REQUEST和信任端口收到的DHCP-ACK廣播報(bào)文，記錄DHCP客戶端的MAC地址以及獲取到的IP地址。管理員可以通過displaydhcp-snooping命令查看DHCP客戶端獲取的IP地址信息。同時(shí)把連接DHCP的端口設(shè)置為信任端口，指定接入終端從合法的DHCP服務(wù)器上獲取地址。3.5.4ARP攻擊防護(hù)網(wǎng)絡(luò)中有一種攻擊是很多防火墻和殺毒軟件很難擋住的，那就是ARP欺騙攻擊，因?yàn)锳RP欺騙攻擊的木馬程序通常偽裝成為常用軟件的一部分被下載并被激活，或者作為網(wǎng)頁的一部分自動傳送到瀏覽者的電腦上并被激活，由于木馬程序的形態(tài)特征都在不斷變化和升級，殺毒殺毒軟件常常會失去作用。ARP攻擊會導(dǎo)致網(wǎng)絡(luò)頻頻掉線、網(wǎng)速變得很慢，攻擊者利用ARP欺騙實(shí)行中間人攻擊，所有的網(wǎng)絡(luò)流量都經(jīng)過攻擊者主機(jī)進(jìn)行轉(zhuǎn)發(fā)，攻擊者通過截獲的信息可得到網(wǎng)銀、游戲、文件服務(wù)等系統(tǒng)的用戶名和口令。由于ARP欺騙攻擊利用了ARP協(xié)議的設(shè)計(jì)缺陷。光靠包過濾、IP+MAC+端口綁定等傳統(tǒng)辦法是比較難解決的。通過對ARP欺騙原理的剖析，防御該攻擊最理想的方法是在接入層對ARP報(bào)文進(jìn)行內(nèi)容有效性檢查，對沒有通過檢查的報(bào)文進(jìn)行丟棄處理。在接入層采用的這種技術(shù)，叫做ARP入侵檢測。其主要工作原理如下圖3-8所示；ARP欺騙攻擊時(shí)會存在大量的ARP報(bào)文，為延長設(shè)備使用壽命，降低網(wǎng)絡(luò)帶寬消耗資源和交換機(jī)CPU資源，部署ARP入侵防御檢測的同時(shí)也部署ARP報(bào)文限速。ARP入侵檢測報(bào)文的有效性是通過查找DHCPsnooping建立的綁定關(guān)系表，來判斷ARP應(yīng)答報(bào)文的發(fā)送者源MAC和源IP是否合法。圖3-8ARP入侵檢測工作示意圖3.5.5設(shè)備安全管理在前面提到為方便運(yùn)維人員和網(wǎng)絡(luò)管理員維護(hù)和管理設(shè)備，都會在網(wǎng)絡(luò)設(shè)備上開啟相對安全的SSH遠(yuǎn)程，通過配置不同級別的用戶口令，給不同維護(hù)人員不同的賬號密碼，不同賬號密碼的管理權(quán)限也不同，加強(qiáng)了對網(wǎng)絡(luò)設(shè)備的安全保護(hù)，保證網(wǎng)絡(luò)穩(wěn)定的運(yùn)行，較少人為操作失誤導(dǎo)致的網(wǎng)絡(luò)問題。默認(rèn)情況下對設(shè)備的console是沒有加認(rèn)證的，可以配置console口的認(rèn)證，加強(qiáng)設(shè)備管理的安全性。3.6網(wǎng)絡(luò)IP地址規(guī)劃在校園網(wǎng)中的IP地址規(guī)劃必須遵循地址的唯一性、可管理性、可拓展性與層次性。在不同的區(qū)域劃分配置不同的網(wǎng)段，劃分不相同的VLAN。有線網(wǎng)絡(luò)與無線網(wǎng)絡(luò)的規(guī)劃要分開。本次規(guī)劃有線網(wǎng)段從/16這個(gè)私網(wǎng)網(wǎng)段中挑選子網(wǎng)規(guī)劃，無線網(wǎng)絡(luò)采用/16網(wǎng)段里的子網(wǎng)規(guī)劃，設(shè)備的管理vlan都采用VLAN1000，無線AP管理VLAN采用VLAN2000，所有的設(shè)備管理地址采用/24網(wǎng)段。vlan號與IP部分信息是相對應(yīng)的。方便聯(lián)想管理。具體的校園網(wǎng)絡(luò)IP地址規(guī)劃如下所示。3.6.1有線地址規(guī)劃本次校園網(wǎng)絡(luò)IP地址是有線網(wǎng)絡(luò)跟無線網(wǎng)絡(luò)分開的，便于網(wǎng)絡(luò)管理人員管理和維護(hù)，在有線網(wǎng)絡(luò)IP地址的規(guī)劃中，采用的是B類的私有網(wǎng)絡(luò)地址/16。每一棟樓分配一個(gè)VLAN。以下為校園有線IP地址劃分表。表3-1教學(xué)樓有線IP地址規(guī)劃表教學(xué)樓vlanIp地址網(wǎng)段網(wǎng)關(guān)1棟vlan110/24542棟vlan120/24543棟vlan130/24544棟vlan140/2454表3-2實(shí)訓(xùn)樓有線IP地址規(guī)劃表實(shí)訓(xùn)樓vlanIp地址網(wǎng)段網(wǎng)關(guān)1棟vlan210/24542棟vlan220/24543棟vlan230/24544棟vlan240/2454此部分主要上網(wǎng)接入方式為有線固定終端，根據(jù)相應(yīng)的終端數(shù)量規(guī)劃地址。表3-3學(xué)生宿舍及教師公寓有線IP地址規(guī)劃表學(xué)生宿舍及教師公寓vlanIp地址網(wǎng)段網(wǎng)關(guān)1棟vlan410/23542棟vlan430/23543棟vlan450/23544棟vlan470/2354A棟vlan510/2354B棟vlan530/2354C棟vlan550/2354由于學(xué)生公寓和教師公寓屬于用戶密集區(qū)域，上網(wǎng)人數(shù)多，同時(shí)上網(wǎng)終端數(shù)量也多，因此這部分的IP子網(wǎng)劃分，一個(gè)網(wǎng)段的地址時(shí)分配510個(gè)可用IP地址，同時(shí)為方便vlan與IP地址網(wǎng)段對應(yīng)，vlan的前兩個(gè)數(shù)字與對應(yīng)網(wǎng)段的第三部分?jǐn)?shù)字相同。表3-4圖書館有線IP地址規(guī)劃表實(shí)訓(xùn)樓vlanIp地址網(wǎng)段網(wǎng)關(guān)1層vlan310/24542層vlan320/24543層vlan330/24543.6.2無線地址規(guī)劃由于無線接入用戶流動性大，臨時(shí)并發(fā)量可能劇增，所以規(guī)劃中將AP根據(jù)樓棟區(qū)域分組，每個(gè)區(qū)域再分配一個(gè)網(wǎng)段來給無線用戶分配地址，采用的是A類私有網(wǎng)段/8，每個(gè)區(qū)域分配一個(gè)VLAN。無線AP的管理vlan跟業(yè)務(wù)vlan也是分開的，方便網(wǎng)絡(luò)管理人員管理和維護(hù)。表3-5教學(xué)樓無線IP地址規(guī)劃表教學(xué)樓vlanIp地址網(wǎng)段網(wǎng)關(guān)1棟vlan1110/24542棟vlan1120/24543棟vlan1130/24544棟vlan1140/2454教學(xué)樓這部分無線地址劃分時(shí)，每個(gè)地址段會預(yù)留50個(gè)固定的IP地址，用于部分固定的無線終端使用。例如考勤打卡設(shè)備，人臉識別設(shè)備。表3-6實(shí)訓(xùn)樓無線IP地址規(guī)劃表實(shí)訓(xùn)樓vlanIp地址網(wǎng)段網(wǎng)關(guān)1棟vlan1210/24542棟vlan1220/24543棟vlan1230/24544棟vlan1240/2454實(shí)訓(xùn)樓區(qū)域用戶使用有線網(wǎng)絡(luò)的較多，在做無線地址規(guī)劃時(shí)按照每個(gè)區(qū)域最大接入數(shù)規(guī)劃。表3-7圖書館無線IP地址規(guī)劃表圖書館vlanIp地址網(wǎng)段網(wǎng)關(guān)1層vlan1310/24542層vlan1320/24543層vlan1330/2454圖書館大多固定設(shè)備使用有線網(wǎng)絡(luò)，無線網(wǎng)絡(luò)方便內(nèi)部學(xué)生移動接入校園內(nèi)網(wǎng)。表3-8學(xué)生宿舍及教師公寓無線IP地址規(guī)劃表學(xué)生宿舍及教師公寓vlanIp地址網(wǎng)段網(wǎng)關(guān)1棟vlan1410/2542棟vlan1450/2543棟vlan1490/2544棟vlan2410/254A棟vlan1510/254B棟vlan1550/254C棟vlan1590/254在住宿區(qū)，無線接入終端的數(shù)量往往會高于有線終端，因此在做住宿區(qū)無線規(guī)劃時(shí)，采用掩碼為22的網(wǎng)段地址，使得每個(gè)網(wǎng)段有效地址為1022個(gè)，從而滿足此區(qū)域內(nèi)的多用戶終端上網(wǎng)需求。表3-10公共設(shè)備業(yè)務(wù)IP地址規(guī)劃表位置vlanIp地址范圍網(wǎng)關(guān)公共區(qū)域vlan2000/254此部分區(qū)域作為公共區(qū)域，使用接入人數(shù)有時(shí)候會非常多，在此區(qū)域的地址規(guī)劃中，按照可容納人數(shù)的最大并發(fā)量來規(guī)劃IP地址，采用/22網(wǎng)段，使有效IP地址數(shù)達(dá)到1022個(gè)。滿足該區(qū)域最大并發(fā)量，例如全校大型活動現(xiàn)場互動，或者外來訪客使用的需求。3.6.3管理地址規(guī)劃管理地址的規(guī)劃是為每一臺設(shè)備分配一個(gè)用于訪問和管理的IP地址，在本次校園網(wǎng)絡(luò)規(guī)劃中，使用了一個(gè)C類的私有網(wǎng)段/24，除了無線AP，其他設(shè)備都在同一個(gè)VLAN，在路由配置時(shí)，該網(wǎng)絡(luò)段不需要連接上外網(wǎng)，通過一些權(quán)限配置，使得只有管理員賬號才有權(quán)限可以遠(yuǎn)程管理到每一臺設(shè)備，方便網(wǎng)關(guān)快速定位網(wǎng)絡(luò)設(shè)備進(jìn)行配置和排障。表3-9各樓棟設(shè)備管理IP地址規(guī)劃表位置vlanIp地址范圍網(wǎng)關(guān)教學(xué)樓vlan1000-192.16810.19/2454/24實(shí)訓(xùn)樓vlan10000-9/2454/24教師公寓及學(xué)生宿舍vlan10000-9/2454/24表3-10公共設(shè)備管理IP地址規(guī)劃表位置vlanIp地址范圍網(wǎng)關(guān)圖書館vlan10000-9/2454/24公共區(qū)域vlan100000-49/2454/24無線APvlan3000/2454/24管理地址的規(guī)劃時(shí)采用比較容易登記拓展的IP地址網(wǎng)段，每一棟樓預(yù)留了50個(gè)IP地址分配給設(shè)備使用，除無線AP設(shè)備由AC控制器獨(dú)立管理，其他設(shè)備均采用同一網(wǎng)段且同一VLAN，從而實(shí)現(xiàn)管理員無需到現(xiàn)場，可以遠(yuǎn)程配置管理設(shè)備的需求。

第4章功能實(shí)現(xiàn)4.1配置規(guī)劃4.1.1MSTP（多生成樹協(xié)議）規(guī)劃MSTP（多生成樹協(xié)議）是解決二層環(huán)路問題的一種冗余鏈路技術(shù)。在網(wǎng)絡(luò)的規(guī)劃建設(shè)中為保證鏈路的可靠性，往往會使用冗余鏈路，從而導(dǎo)致網(wǎng)絡(luò)中出現(xiàn)環(huán)路現(xiàn)象，導(dǎo)致MAC地址震蕩和廣播風(fēng)暴等故障現(xiàn)象，網(wǎng)絡(luò)通信中斷。最初STP（生成樹協(xié)議）應(yīng)運(yùn)而生，由于其收斂速度過慢，RSTP（快速生成樹協(xié)議）做出了改善，使得收斂速度加快。而本課題用到的MSTP（多生成樹協(xié)議）既解決了收斂速度慢的問題，同時(shí)能根據(jù)不同的vlan計(jì)算出多顆互相獨(dú)立的生成樹。使不同vlan的流量通過不同生成樹轉(zhuǎn)發(fā)，實(shí)現(xiàn)負(fù)載分擔(dān)。本次課題對MSTP的應(yīng)用是在匯聚與核心之間的連接中配置MSTP。在vlan規(guī)劃事將有線流量和無線流量已經(jīng)區(qū)分開來，配置完MSTP后要實(shí)現(xiàn)有線流量通過左側(cè)鏈路與核心轉(zhuǎn)發(fā)，無線流量通過右側(cè)鏈路與核心轉(zhuǎn)發(fā)。流量轉(zhuǎn)發(fā)示意圖如圖4.1所示：圖4-1流量路徑轉(zhuǎn)發(fā)圖4.1.2VRRP（虛擬路由冗余協(xié)議）規(guī)劃通常的網(wǎng)絡(luò)設(shè)計(jì)中，同一網(wǎng)段內(nèi)的所有主機(jī)都設(shè)置一條相同的、以網(wǎng)關(guān)為下一跳的缺省路由。主機(jī)跨網(wǎng)段訪問時(shí)都通過網(wǎng)關(guān)轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)網(wǎng)絡(luò)通訊，但是單一網(wǎng)關(guān)發(fā)生故障時(shí)，本網(wǎng)段內(nèi)所有以網(wǎng)關(guān)為缺省路由的主機(jī)將無法與外部網(wǎng)絡(luò)通信。為了解決這個(gè)問題，VRRP（虛擬路由冗余協(xié)議）出現(xiàn)了，VRRP在不改變組網(wǎng)的情況下，將多臺網(wǎng)關(guān)設(shè)備組合成一個(gè)虛擬網(wǎng)關(guān)設(shè)備，通過配置虛擬網(wǎng)關(guān)設(shè)備的IP地址為默認(rèn)網(wǎng)關(guān)，實(shí)現(xiàn)了鏈路的備份。且多臺網(wǎng)關(guān)設(shè)備中分為主備設(shè)備，單一設(shè)備發(fā)生故障時(shí)，VRRP機(jī)制會選舉新的網(wǎng)關(guān)設(shè)備承擔(dān)數(shù)據(jù)流量的轉(zhuǎn)發(fā)，保證了數(shù)據(jù)轉(zhuǎn)發(fā)的穩(wěn)定性。本次課題采用的VRRP組網(wǎng)設(shè)計(jì)中，在兩臺核心交換機(jī)中做了VRRP的配置，做了兩個(gè)VRRP備份組，將有線流量和無線流量的默認(rèn)網(wǎng)關(guān)分開轉(zhuǎn)發(fā)，在保證可靠性的同時(shí)也實(shí)現(xiàn)了負(fù)載分擔(dān)，達(dá)到了第二章設(shè)計(jì)原則中的核心層要求。雙機(jī)熱備的同時(shí)不浪費(fèi)設(shè)備資源。4.1.3BFD（雙向轉(zhuǎn)發(fā)檢測）規(guī)劃BFD（雙向轉(zhuǎn)發(fā)檢測）是一種全網(wǎng)通用的標(biāo)準(zhǔn)化檢測機(jī)制，他與介質(zhì)和協(xié)議無關(guān)，且快速檢測故障。BFD能夠用單一的機(jī)制對任何介質(zhì)、任何協(xié)議層進(jìn)行實(shí)時(shí)檢測。本次課題中BFD與VRRP配合使用，用來檢測核心與上層防火墻的鏈路連通性。鏈路出現(xiàn)問題后，BFD檢測機(jī)制檢測到異常后，核心能馬上知道異常，觸發(fā)VRRP重選機(jī)制，通過降低VRRP備份組的優(yōu)先級，使得另外一臺設(shè)備選舉為主設(shè)備，保證數(shù)據(jù)正常轉(zhuǎn)發(fā)。4.2配置實(shí)現(xiàn)4.2.1核心層配置針對核心層，主要的配置難點(diǎn)是在于MSTP跟VRRP，核心層作為校園有線網(wǎng)絡(luò)的核心轉(zhuǎn)發(fā)位置，對冗余性要求很高，實(shí)際項(xiàng)目中會使用兩臺高性能的設(shè)備做堆疊配置，由于模擬器不支持，在本次課題中采用VRRP的方式，配置多個(gè)組實(shí)現(xiàn)負(fù)載，通過配置MSTP對有線和無線分流轉(zhuǎn)發(fā)，減輕設(shè)備轉(zhuǎn)發(fā)壓力，同時(shí)單臺設(shè)備故障時(shí)又能快速收斂，好的設(shè)備承當(dāng)全部轉(zhuǎn)發(fā)任務(wù)，避免網(wǎng)絡(luò)中斷。MSTP配置示例：stpinstance1rootsecondarystpinstance2rootprimary//通過配置不同實(shí)例的主備實(shí)現(xiàn)指定轉(zhuǎn)發(fā)路徑stpregion-configurationregion-namehuiju-coreinstance1vlan110210310410510instance2vlan111012101310141015102000activeregion-configuration//將有線的vlan綁定在instance1上，將無線的vlan綁定在instance2上intg0/0/5stpinstance1cost20000//通過修改交換機(jī)根路徑的開銷，實(shí)現(xiàn)實(shí)例1跟實(shí)例2走不同鏈路的功能;有線的DHCP配置在核心設(shè)備里邊，DHCP服務(wù)器配置示例：ippoolvlan110gateway-list54networkmaskexcluded-ip-address0050leaseday1hour8minute0dns-list//配置DHCP地址池，預(yù)留了50個(gè)IP地址做固定IP，租期為32小時(shí).用戶管理配置示例：aaalocal-useradminpasswordsimpleAdmin@1234local-useradminprivilegelevel15local-useradminservice-typetelnetsshuser-interfacevty04authentication-modeaaa//創(chuàng)建管理用戶，用戶名為admin，密碼為Admin@1234//允許該用戶使用telnet和ssh的方式遠(yuǎn)程到該設(shè)備進(jìn)行管理VRRP配置示例：interfaceVlanif410ipaddress51vrrpvrid1virtual-ip54vrrpvrid1priority120vrrpvrid1preempt-modetimerdelay20dhcpselectglobal//在核心1的vlanif接口做vrrp，通過設(shè)置優(yōu)先級以核心1為主，開啟搶占延時(shí)20秒。默認(rèn)路由配置：iproute-static54//做一條默認(rèn)路由，將下一跳指定到防火墻。4.2.2匯聚層配置匯聚層在本模擬項(xiàng)目中承擔(dān)了無線業(yè)務(wù)網(wǎng)段的DHCP服務(wù)器，減輕核心的轉(zhuǎn)發(fā)壓力，同時(shí)接受由接入傳來的數(shù)據(jù)再轉(zhuǎn)發(fā)到核心。因此匯聚層交換機(jī)配合核心層交換機(jī)進(jìn)行MSTP轉(zhuǎn)發(fā)。作為每棟樓層的匯聚點(diǎn)，與之關(guān)聯(lián)的用戶量較多，因此匯聚上也要配置好相應(yīng)的用戶管理，保證管理網(wǎng)絡(luò)可達(dá)。MSTP配置示例：stpregion-configurationregion-namehuiju-coreinstance1vlan110210310410510instance2vlan111012101310141015102000activeregion-configuration//MSTP實(shí)現(xiàn)有線無線流量分流轉(zhuǎn)發(fā)無線業(yè)務(wù)DHCP配置示例：ippoolvlan1210gateway-list54networkmaskdns-list14//為分擔(dān)核心設(shè)備處理流量轉(zhuǎn)發(fā)，無線的業(yè)務(wù)地址分配的DHCP做在了匯聚交換機(jī)上。接口配置示例：interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan21012103000stpinstance2cost20000//修改實(shí)例2的轉(zhuǎn)發(fā)開銷，設(shè)定流量轉(zhuǎn)發(fā)路徑interfaceGigabitEthernet0/0/2portlink-typetrunkporttrunkallow-passvlan21012103000stpinstance1cost20000//修改實(shí)例1的轉(zhuǎn)發(fā)開銷，設(shè)定流量轉(zhuǎn)發(fā)路徑interfaceGigabitEthernet0/0/3portlink-typeaccessportdefaultvlan210//配置匯聚層的交換機(jī)，通過對接口的開銷值進(jìn)行修改達(dá)到阻塞相應(yīng)端口的目的4.2.3接入層配置接入層的數(shù)量較多，在實(shí)際項(xiàng)目中可以配置時(shí)相對比較簡單的，主要的配置是根據(jù)網(wǎng)絡(luò)規(guī)劃劃分好相應(yīng)的vlan，還有管理用戶和地址，方便遠(yuǎn)程登錄排查錯誤。用戶管理配置示例：aaalocal-useradminpasswordsimpleAdmin@1234local-useradminprivilegelevel15local-useradminservice-typetelnetsshuser-interfacevty04authentication-modeaaa//用戶管理配置與其他交換機(jī)相同接口管理配置示例：intvlanif1000ipaddress124//進(jìn)入管理vlan，配置設(shè)備的管理地址，實(shí)現(xiàn)遠(yuǎn)程管理設(shè)備4.3.4無線AC配置無線配置示例：capwapsourceinterfacevlanif3000//將VLAN3000設(shè)置為CAPWAP隧道的源VLANwlanacprotectenableprotect-ac0priority5security-profilenameshixunlousecuritywpa2pskpass-phrase12345678aes//創(chuàng)建安全加密文件ssid-profilenameshixunloussidshixunlou//創(chuàng)建ssid文件，配置無線信號名稱vap-profilenameshixunlouForwarding-modetunnelservice-vlanvlan-id1210ssid-profileshixunlousecurity-profileshixunlou//創(chuàng)建vap文件，綁定ssid，安全文件還有轉(zhuǎn)發(fā)方式和服務(wù)vlanregulatory-domain-profiledomain1//創(chuàng)建域管理模板ap-groupnameshixunlou//進(jìn)入ap組regulatory-domain-profiledomain1//綁定域管理模板radio0vap-profiletongyongwlan1//在射頻0中綁定公共通用模板radio1vap-profileshixunlouwlan1//在射頻1中綁定區(qū)域服務(wù)模板ap-id1ap-nameshixunlou-1//修改AP名稱ap-groupshixunlou//根據(jù)ap的位置給AP加到區(qū)域組無線配置里邊，每一個(gè)區(qū)域有一個(gè)AP組，組內(nèi)的AP是相同的VAP模板綁定在射頻1上，所有的組有一個(gè)公共的模板綁定在射頻0上，由此來實(shí)現(xiàn)每個(gè)區(qū)域通過射頻1有自己的無線信號，所有區(qū)域都有一個(gè)通過射頻0實(shí)現(xiàn)全校漫游。4.4安全功能實(shí)現(xiàn)4.4.1防火墻規(guī)劃做為校園網(wǎng)絡(luò)的進(jìn)出口設(shè)備，出口防火墻扮演著至關(guān)重要的角色。在這個(gè)關(guān)鍵節(jié)點(diǎn)上，需要部署性能強(qiáng)大的設(shè)備。同時(shí)在防火墻上盡可能的把內(nèi)外網(wǎng)流量的限制做的詳細(xì)。減少通過無關(guān)流量。同時(shí)向防火墻廠商購買相應(yīng)的病毒庫和防入侵威脅的相關(guān)證書，實(shí)時(shí)防范網(wǎng)絡(luò)中存在的各類惡意攻擊。通過將連接防火墻的不通接口加入不同的安全區(qū)域，并配置安全策略，對流量進(jìn)行限制和防御外來攻擊。在模擬實(shí)驗(yàn)中，采用的是WEB界面的配置方式。在本次課題設(shè)計(jì)中，出口防火墻主要實(shí)現(xiàn)了以下功能：配置安全策略，針對內(nèi)網(wǎng)劃分好的IP地址網(wǎng)段，對校園網(wǎng)的流量進(jìn)行分區(qū)限制，為防止學(xué)生上網(wǎng)成癮，熬夜上網(wǎng)，影響他人休息和日常學(xué)習(xí)。針對學(xué)生公寓的IP地址網(wǎng)段，通過配置安全策略對其上網(wǎng)時(shí)間進(jìn)行限制，如下圖4-2所示，只允許學(xué)生公寓區(qū)的有線接入和無線接入在周一至周五的8:00-23:00時(shí)間段上網(wǎng)，周六日則不做限制。圖4-2學(xué)生公寓上網(wǎng)時(shí)間限制為減少校內(nèi)網(wǎng)絡(luò)資源信息泄露風(fēng)險(xiǎn)，在各個(gè)區(qū)域的無線信號中有兩個(gè)信號，名稱分別為區(qū)域名稱如（shixunlou）還有全校通用（ZYYZ）。無線規(guī)劃時(shí)不同信號為不同網(wǎng)段。通過在防火墻上配置安全策略使得全校通用信號僅可訪問內(nèi)網(wǎng)，無法同時(shí)訪問內(nèi)外網(wǎng)。配置NAT策略，為保護(hù)校內(nèi)地址段，同時(shí)受全球IP地址不足的影響，在防火墻出口處采用EASY-IP的方式配置NAT策略，部分無需上網(wǎng)的網(wǎng)段可以通過匹配興趣流使其不做NAT轉(zhuǎn)換，從而拒絕其訪問外網(wǎng)。如下圖4-3所示。同時(shí)通過映射學(xué)校對外開放的服務(wù)器IP地址和端口，實(shí)現(xiàn)外網(wǎng)可以通過固定的公網(wǎng)IP加端口訪問內(nèi)網(wǎng)服務(wù)器。部分私用服務(wù)器不對外開放，如下圖4-4所示。圖4-3NAT策略配置示意圖圖4-4服務(wù)器映射示意圖由于學(xué)校出口帶寬有限，校內(nèi)用戶同時(shí)需求較大時(shí)，例如多用戶使用P2P協(xié)議下載東西時(shí)，校園網(wǎng)絡(luò)容易卡頓，不穩(wěn)定。因此在防火墻上做P2P限流，將P2P下載流量速率限制到單個(gè)IP最大下載速度為2Mbps。具體配置如下圖4-5所示：圖4-5P2P限流策略配置4.4.2安全設(shè)備部署針對實(shí)際情況，在校園網(wǎng)絡(luò)中防火墻到內(nèi)網(wǎng)用戶間還部署了WAF，IDS等安全設(shè)備，模擬器不支持，在此就不演示。在整個(gè)網(wǎng)絡(luò)中針對這類安全設(shè)備會做一個(gè)路由策略的配置，通過ACL或IP前綴列表匹配相應(yīng)流量。指定匹配的相應(yīng)流量的下一跳是指向到安全設(shè)備的，從而實(shí)現(xiàn)對內(nèi)外網(wǎng)流通的數(shù)據(jù)進(jìn)行過濾和監(jiān)控。在主要鏈路做路由策略是后邊再加上一條匹配所有，避免部分可信流量無法轉(zhuǎn)發(fā)或者安全設(shè)備轉(zhuǎn)發(fā)出錯時(shí)影響到整個(gè)網(wǎng)絡(luò)的內(nèi)外網(wǎng)通信。

第5章總體測試5.1無線測試以實(shí)訓(xùn)樓為例，拓?fù)浣Y(jié)構(gòu)如下圖5-1所示，主要測試點(diǎn)在無線終端設(shè)備是否能夠檢測到AP發(fā)出的射頻信號，能否通過AP獲取指定的ip網(wǎng)段，并通過該網(wǎng)段訪問外網(wǎng)。圖5-1實(shí)訓(xùn)樓無線拓?fù)涫疽鈭D無線終端獲取業(yè)務(wù)地址并上網(wǎng)圖5-2終端連接界面由圖5-2所示，無線終端能檢測到實(shí)訓(xùn)樓的單獨(dú)信號，也可檢測到ZYYZ的公共信號，連接shixunlou信號后，訪問出口地址，正常，說明無線功能正常實(shí)現(xiàn)。無線終端測試結(jié)果如圖5-3圖5-3終端測試結(jié)果圖5.2有線測試在校園網(wǎng)中，不同樓棟的用戶可以實(shí)現(xiàn)互通，可以實(shí)現(xiàn)教師在不同樓棟教學(xué)時(shí)無需自帶電腦，利用課室電腦遠(yuǎn)程回自己辦公筆記本拿教學(xué)課件或者搭建內(nèi)網(wǎng)FTP服務(wù)器共享教學(xué)課件。以實(shí)訓(xùn)樓PC機(jī)為例：自動獲取地址圖5-4PC機(jī)獲取地址圖與內(nèi)網(wǎng)地址互通圖5-5PC跨網(wǎng)段連通性測試圖通過圖5-5所示，不同樓棟網(wǎng)絡(luò)之間實(shí)現(xiàn)互通，則兩邊的設(shè)備可以互相訪問，有線網(wǎng)絡(luò)互通功能實(shí)現(xiàn)。5.3MSTP效果在前面的需求提到，有線跟無線的流量分開轉(zhuǎn)發(fā)，同時(shí)當(dāng)某臺設(shè)備出現(xiàn)問題后，另外一臺設(shè)備能夠承當(dāng)起所有的流量轉(zhuǎn)發(fā)任務(wù)，因此做了MSTP配置來實(shí)現(xiàn)，將有線流量的相關(guān)VLAN綁定在inst