校園網(wǎng)設(shè)計與實現(xiàn)

校園網(wǎng)設(shè)計與實現(xiàn)摘要：計算機網(wǎng)絡(luò)和多媒體等互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，信息的傳遞速度更快，信息的處理能力更強，表現(xiàn)方式也比之前更加豐富，可想而知，信息無時無刻不在影響著人們的生產(chǎn)生活。在新時代里，人們都想通過掌握足夠豐富的計算機知識以便及時快速高效的搜集和利用網(wǎng)上信息資源，因此，校園網(wǎng)的水平成為評價學(xué)校好壞的標(biāo)準(zhǔn)之一，學(xué)生選擇學(xué)校的時候也會更多的考慮該校校園網(wǎng)的性能。信息化教教學(xué)環(huán)節(jié)進程中如果高校能夠合理使用校園網(wǎng)，充分發(fā)揮校園網(wǎng)的優(yōu)點，那么傳統(tǒng)的教學(xué)模式、教學(xué)方法和教學(xué)手段都會轉(zhuǎn)變成合適當(dāng)下教育教學(xué)的新媒體模式。誠然，新的教育觀念、教育思想會拓展教師和學(xué)生的視野，在信息技術(shù)的影響下，學(xué)生能夠更快的獲取信息、提高處理信息的能力，并在這個過程中不斷完善自己，因此如何通過設(shè)計規(guī)劃校園網(wǎng)，提高校園網(wǎng)的性能以滿足日益增長的網(wǎng)絡(luò)需求迫在眉睫。本文以XXX學(xué)院校園網(wǎng)建設(shè)為研究背景，對該大學(xué)的實際情況進行了詳細分析，按需設(shè)計、按未來發(fā)展進行規(guī)劃，從實際出發(fā)，采用三層網(wǎng)絡(luò)架構(gòu)，總體結(jié)構(gòu)上提高校園網(wǎng)的整體性能，在原有組網(wǎng)的基礎(chǔ)上從網(wǎng)絡(luò)技術(shù)的選擇、網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計、網(wǎng)絡(luò)設(shè)備的選舉、網(wǎng)絡(luò)安全的構(gòu)思和管理方式等方面做詳細設(shè)計，提出規(guī)劃目標(biāo)，制定可行性解決方案，并利用eNSP模擬器模擬真實網(wǎng)絡(luò)環(huán)境對設(shè)計方案進行驗證。關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)架構(gòu)；解決方案

CampusnetworkdesignandimplementationAbstract:TherapiddevelopmentofcomputernetworkandmultimediaandotherInternettechnologies,theinformationtransmissionspeedisfaster,theinformationprocessingabilityisstronger,theexpressionismorerichthanbefore,itcanbeimaginedthattheinformationisaffectingpeople'sproductionandlifeallthetime.Inthenewera,peoplewanttomasterenoughcomputerknowledgetotimely,quicklyanduseonlineinformationresources.Therefore,thelevelofthecampusnetworkhasbecomeoneofthecriteriatoevaluatethequalityofschools,andstudentswillconsidertheperformanceofthecampusnetworkmorewhenchoosingtheschool.Intheprocessofinformationteachingandteachinglink,ifcollegesanduniversitiescanusethecampusnetworkreasonablyandgivefullplaytotheadvantagesofthecampusnetwork,thenthetraditionalteachingmode,teachingmethodsandteachingmethodswillbetransformedintoanewmediamodesuitableforthecurrenteducationandteaching.Admittedly,theneweducationconcept,educationideaswillexpandteachersandstudents'vision,undertheinfluenceofinformationtechnology,studentscanobtaininformationfaster,improvetheabilityofprocessinformation,andconstantlyimprovethemselvesintheprocess,sohowtodesignplanningcampusnetwork,improvetheperformanceofthecampusnetworktomeetthegrowingnetworkdemandisimminent.Thispaperontheconstructionoftheresearchbackground,analyzestheactualsituationoftheuniversity,accordingtodemanddesign,accordingtothefuturedevelopment,usingthreelayersofnetworkarchitecture,theoverallstructuretoimprovetheoverallperformanceofthecampusnetwork,onthebasisoftheoriginalnetworkfromnetworktechnologyselection,networkstructuredesign,networkequipmentelection,networksecurityandmanagement,planninggoals,feasiblesolutions,andusingeNSPsimulatortosimulatetherealnetworkenvironmenttoverifythedesignscheme.Keywords:campusnetwork;networkarchitecture;solution;

目錄TOC\o"1-3"\h\u189591緒論 緒論1.1課題的研究背景二十世紀(jì)末，互聯(lián)網(wǎng)技術(shù)得到了迅猛的發(fā)展，經(jīng)濟信息化大潮興起，西方發(fā)達國家的教育資源從早期的書面教學(xué)形式逐漸轉(zhuǎn)變成多媒體教學(xué)形式。隨著我國改革開放和科學(xué)技術(shù)的發(fā)展，國內(nèi)各地各學(xué)校之間、學(xué)校與科研機構(gòu)之間的交流不斷增多，加上學(xué)校學(xué)生人數(shù)逐漸增多，信息交流受到阻礙，因此我國也把信息化校園建設(shè)作為重點任務(wù)，確定了互聯(lián)網(wǎng)在教育領(lǐng)域的重要地位。此后互聯(lián)網(wǎng)技術(shù)在我國得到了廣泛應(yīng)用，我國校園網(wǎng)的建設(shè)進入一個新的發(fā)展階段。從1994年互聯(lián)網(wǎng)進入中國，到2000年互聯(lián)網(wǎng)成功連接1000所大學(xué)，再到2005年有相關(guān)數(shù)據(jù)顯示98.4%高校的教學(xué)、科研已經(jīng)全部接入校園網(wǎng)，90.5%高校教室可正常接入網(wǎng)絡(luò)，校園網(wǎng)的建設(shè)得到舉世矚目的成績。如今，經(jīng)歷了十幾年的發(fā)展，校園網(wǎng)的建設(shè)更是達到了一個新的高度，在DHCP、OSPF、NAT動態(tài)轉(zhuǎn)換、VRRP、MSTP、VLAN劃分技術(shù)等協(xié)議的加持下，各高校校園網(wǎng)的性能不斷提升，資源越加豐富。但是，有關(guān)數(shù)據(jù)表明，即使校園網(wǎng)一直在更新?lián)Q代，但目前大多數(shù)高校的校園網(wǎng)仍然有不足之處，隨著校園網(wǎng)規(guī)模不斷擴大，用戶不斷增多，用戶對校園網(wǎng)網(wǎng)絡(luò)的性能要求只會隨著時代的變化越來越高，所以在建設(shè)校園網(wǎng)時要考慮多方要求，要做到與時俱進，符合學(xué)校的長遠發(fā)展規(guī)劃要求，其中拓撲結(jié)構(gòu)設(shè)計、物理硬件選擇、網(wǎng)絡(luò)協(xié)議引用等都要深思熟慮，立足當(dāng)下再考慮學(xué)校的發(fā)展?jié)摿Γ?guī)劃好校園網(wǎng)絡(luò)的架構(gòu)。新時代下我國的校園網(wǎng)建設(shè)水平不斷提高，越來越多的物聯(lián)網(wǎng)應(yīng)用將涌入校園，助力實現(xiàn)校園的智慧全聯(lián)接，但是金無足跡，再完美的設(shè)計也會存在一定的問題，因此在建設(shè)新的校園網(wǎng)的時候既要做好對當(dāng)下的校園網(wǎng)的查漏補缺又要有所留白方便它的未來發(fā)展。1.2校園網(wǎng)規(guī)劃與設(shè)計的意義傳統(tǒng)的結(jié)構(gòu)復(fù)雜功能簡單的校園網(wǎng)因設(shè)備的老化、特殊時間段諸如晚上19:00-23:00網(wǎng)絡(luò)質(zhì)量差、網(wǎng)絡(luò)覆蓋不全面以及安全性指數(shù)不高等問題早就不足以滿足當(dāng)下師生高質(zhì)量教育教學(xué)條件的需求，因而合理規(guī)劃與設(shè)計一個高性能的校園網(wǎng)解決方案具有重要現(xiàn)實意義，它不僅能夠減少大量人力物力以及巨大經(jīng)費的投入，并且能夠與時俱進，跟上時代發(fā)展的腳步，能夠更高效的改善辦學(xué)條件，提高教學(xué)、科研和管理水平，提升師生使用校園網(wǎng)的體驗感。2校園網(wǎng)設(shè)計原則校園網(wǎng)是學(xué)校與外界交流的窗口，是學(xué)生與教師獲取外界教學(xué)資源的重要途徑，一個好的校園網(wǎng)必定做到以最少的代價獲取最大的效益，集可靠性、實用性、安全性、可拓展性高性能于一身。本文根據(jù)XXX學(xué)院內(nèi)部局域網(wǎng)的實際情況，綜合需求提出以下設(shè)計原則：2.1實用性如今各高校的師生人數(shù)日益增多，校園內(nèi)有大量的終端用戶需要接入網(wǎng)絡(luò)。因而選擇設(shè)備時不可一味追求價值最高性能最好的型號，要從實際出發(fā)，考慮校園用戶規(guī)模，量需而用，充分利用和保護現(xiàn)有的資源，發(fā)揮各網(wǎng)絡(luò)設(shè)備的最大價值，建設(shè)一個滿足廣大師生需求的實用性高的校園網(wǎng)。2.2可靠性傳統(tǒng)的校園網(wǎng)因結(jié)構(gòu)復(fù)雜功能單一留下許多問題，用戶訪問網(wǎng)絡(luò)資源時有連接中斷或頁面丟失的現(xiàn)象發(fā)生，給用戶極差的體驗感，給網(wǎng)絡(luò)管理員的維護工作帶來一定挑戰(zhàn)性。在建設(shè)校園網(wǎng)時應(yīng)該采用可靠性較高的星型結(jié)構(gòu)，選用容錯能力較高的傳輸介質(zhì)，網(wǎng)絡(luò)中適當(dāng)設(shè)置冗余備份，提高局域網(wǎng)可靠性。2.3安全性學(xué)校是以教育教學(xué)為中心的場所，校園網(wǎng)雖然一直推陳出新，但是存在大量的安全漏洞，不法人員利用漏洞入侵校園網(wǎng)，植入病毒，損壞師生所使用的的辦公軟件盜取重要信息，特別的會導(dǎo)致網(wǎng)絡(luò)中斷，使得老師不能正常辦公，學(xué)生不能正常上網(wǎng)因此高性能的校園網(wǎng)必須具備良好的安全防范措施和保護技術(shù)，防范各種形式對網(wǎng)絡(luò)的非法入侵和內(nèi)部攻擊，保證在校師生使用網(wǎng)絡(luò)查找信息利用資源的安全性。2.4可拓展性校園師生人數(shù)與日俱增，校園網(wǎng)規(guī)模也越來越大，在建設(shè)校園網(wǎng)時應(yīng)選擇采購擴展性能力較強的設(shè)備，為后期發(fā)展對該網(wǎng)絡(luò)進行必要擴充時能夠有效保護現(xiàn)在所擁有的資源奠定基礎(chǔ)。保證今后技術(shù)、設(shè)備等更新時該網(wǎng)絡(luò)能夠成功的過渡到新的技術(shù)和網(wǎng)絡(luò)設(shè)備上，如此就會大大降低工作成本、難度也不會太大，校園網(wǎng)新用戶能夠無障礙的接入并使用網(wǎng)絡(luò)。2.5經(jīng)濟性校園網(wǎng)的規(guī)劃設(shè)計應(yīng)從生活實際出發(fā)，要充分考慮資金周轉(zhuǎn)問題，畢竟校園網(wǎng)的規(guī)模愈來愈大，用戶數(shù)量愈來愈多，用戶對網(wǎng)絡(luò)性能要求也愈來愈高，但是建設(shè)一個校園網(wǎng)的資金不允許任何一個網(wǎng)絡(luò)規(guī)劃設(shè)計師鋪張浪費，所以在設(shè)備的選取和方案的設(shè)計過程中，都要綜合考慮，設(shè)計出能夠滿足多方要求的方案,實現(xiàn)以最少的付出獲取最大的利益。建設(shè)校園網(wǎng)時應(yīng)該選取性價比高的網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備，減少不必要開銷。2.6先進性隨著高新技術(shù)的推陳出新以及當(dāng)下校園網(wǎng)的高性能要求，在對校園網(wǎng)進行設(shè)計規(guī)劃時要注意結(jié)構(gòu)、設(shè)備、工具的先進成熟性，要保證整個網(wǎng)絡(luò)的生命周期足夠長，能夠滿足當(dāng)下需求的同時還要保證在未來一定時間內(nèi)用戶需求增長的需要；簡而言之，校園網(wǎng)的建設(shè)不僅能反映時下技術(shù)的先進水平，又要具有一定的發(fā)展?jié)摿ΓＷC領(lǐng)先地位。3校園網(wǎng)絡(luò)需求分析3.1用戶需求分析經(jīng)了解，用戶對該高校內(nèi)部局域網(wǎng)的網(wǎng)絡(luò)設(shè)計提出如下要求：1．網(wǎng)絡(luò)拓撲中的服務(wù)器應(yīng)該包括：DNS服務(wù)器、DHCP服務(wù)器及其他服務(wù)器集群。2.與外部網(wǎng)絡(luò)連接的地址池為：-，-。3.IP地址規(guī)劃和VLAN劃分一一對應(yīng)合理規(guī)劃，便于管理員管理，考慮到將來學(xué)校規(guī)模變大，主機增多等原因設(shè)計的時候要預(yù)留足夠的地址。4.在兩臺防火墻上部署相應(yīng)策略路由，實現(xiàn)分流效果，讓不同流量從不同的端口流出。5.在網(wǎng)絡(luò)骨干區(qū)域的交換機之間部署多生成樹協(xié)議、VRRP冗余技術(shù)，實現(xiàn)流量負載均衡和數(shù)據(jù)冗余備份。6.在服務(wù)器集群中部署DHCP服務(wù)，保證隨時為接入用戶分配IP地址，避免手動配置出現(xiàn)錯誤。7.在局域網(wǎng)內(nèi)匯聚層部署AC，各部門接入AP，實現(xiàn)校園網(wǎng)無線覆蓋，老師和學(xué)生使用不同信道訪問網(wǎng)絡(luò)。8.財務(wù)管理部門部署標(biāo)準(zhǔn)訪問控制列表，限制用戶行為，只允許行政樓中校長、副校長以及管理員訪問。9.接入交換機劃分vlan，減少廣播域，控制廣播風(fēng)暴，從而提高網(wǎng)絡(luò)穩(wěn)定性。10.部署雙機熱備份，解決防火墻會話備份和負載分擔(dān)問題，避免單點故障風(fēng)險，加強網(wǎng)絡(luò)的安全性。3.2網(wǎng)絡(luò)管理需求分析網(wǎng)絡(luò)管理是校園網(wǎng)建設(shè)中不能缺少的部分，網(wǎng)絡(luò)規(guī)模不斷擴大后網(wǎng)絡(luò)管理員的工作內(nèi)容越來越復(fù)雜，難度也越來越大，為了減輕管理員的工作壓力也為了更好的管理校園網(wǎng)，可以讓網(wǎng)絡(luò)管理人員使用網(wǎng)絡(luò)設(shè)備和相關(guān)的設(shè)備管理軟件提供的服務(wù)管理網(wǎng)絡(luò)遠程控制管理。例如使用DHCP技術(shù)，讓DHCP服務(wù)器為接入網(wǎng)絡(luò)的所有終端用戶動態(tài)分配IP地址；引進AC控制器，將無線局域網(wǎng)接入控制設(shè)備，把來自不同AP的數(shù)據(jù)進行匯聚并接入網(wǎng)絡(luò)中，實現(xiàn)網(wǎng)絡(luò)管理員通過一個管理軟件對終端用戶的統(tǒng)籌管理，滿足校園網(wǎng)網(wǎng)絡(luò)管理簡單便捷的需求。3.3網(wǎng)絡(luò)安全需求分析校園網(wǎng)安全威脅表現(xiàn)方式多種多樣，但萬變不離其宗，歸根結(jié)底由兩個出處，其一源于內(nèi)網(wǎng)，其二便來自外網(wǎng)。據(jù)相關(guān)統(tǒng)計，攻擊校園網(wǎng)安全的不良行為80%來自網(wǎng)絡(luò)內(nèi)部，主要是病毒入侵與黑客攻擊，學(xué)生下載軟件的時候病毒乘機而入，植根于軟件中，當(dāng)連接網(wǎng)絡(luò)時會時不時的彈出廣告，導(dǎo)致頁面跳轉(zhuǎn)，影響電腦的正常使用，因此防范來自內(nèi)部攻擊成為了校園網(wǎng)網(wǎng)絡(luò)安全防護體系不可輕視的一部分。隨著校園網(wǎng)規(guī)模不斷地擴大，安全事件發(fā)生的頻率越來越大。當(dāng)然，外部的非法訪問也不可以忽視，所以校園網(wǎng)安全的設(shè)計時要采用上網(wǎng)審計、劃分VLAN隔離廣播風(fēng)暴、防火墻分割內(nèi)外網(wǎng)等必要手段禁止特定病毒大傳播以及由于病毒造成的網(wǎng)絡(luò)不正?，F(xiàn)象發(fā)生，保證校園網(wǎng)網(wǎng)絡(luò)安全。3.4網(wǎng)絡(luò)高性能需求分析校園網(wǎng)的主要目的是為了方便師生教學(xué)、辦公、科研、網(wǎng)上資源查詢利用等，網(wǎng)絡(luò)高性能的需求得到滿足將對教師的教學(xué)質(zhì)量、學(xué)生的學(xué)習(xí)熱情和學(xué)習(xí)效率有很大幫助。學(xué)校規(guī)模越來越大，師生人數(shù)越來越多，龐大的用戶要求我們在建設(shè)校園網(wǎng)時要使得校園網(wǎng)網(wǎng)絡(luò)帶寬足夠大，WEB網(wǎng)站等要有很快的響應(yīng)速度，不至于多人訪問時出現(xiàn)網(wǎng)絡(luò)癱瘓現(xiàn)象。4校園網(wǎng)的邏輯網(wǎng)絡(luò)設(shè)計4.1網(wǎng)絡(luò)拓撲設(shè)計本設(shè)計方案中的網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計如下圖所示：圖4-1校園網(wǎng)絡(luò)架構(gòu)圖拓撲圖中各設(shè)備命名說明如下表所示：表4-1設(shè)備命名規(guī)則命名說明HX-A拓撲圖中左邊的核心交換機HX-B拓撲圖中右邊的核心交換機HJ-A拓撲圖中左邊的匯聚層交換機HJ-B拓撲圖中右邊的匯聚層交換機JR-A行政樓、實驗樓接入交換機JR-B教學(xué)樓、圖書館接入交換機JR-C餐廳、宿舍樓接入交換機JR-D管理員接入交換機FW1左防火墻FW2右防火墻ISP1移動網(wǎng)出口ISP2電信網(wǎng)出口可知該校有行政樓、實驗樓、餐廳、辦公樓和圖書館各1棟，宿舍樓9棟。且該學(xué)校將復(fù)雜的網(wǎng)絡(luò)設(shè)計分成三個層次，分別為接入層、匯聚層和核心層，接入層功能簡單，主要負責(zé)用戶的連接和訪問，普遍采用即插即用、端口密度大的交換機；匯聚層在接入核心層前先進行數(shù)據(jù)匯聚，提供路由策略，由此減輕核心交換機設(shè)備負荷；而核心層是網(wǎng)絡(luò)的樞紐中心，主要目的是實現(xiàn)骨干網(wǎng)絡(luò)間優(yōu)化傳輸，保證整個網(wǎng)絡(luò)性能。校園網(wǎng)用戶網(wǎng)關(guān)放置匯聚層，在核心層部署OSPF鏈路狀態(tài)路由協(xié)議。核心層兩臺交換機出口出分別部署一臺防火墻實現(xiàn)雙機熱備分功能，服務(wù)器直連防火墻，校園網(wǎng)內(nèi)用戶都能夠訪問DNS，F(xiàn)TP、HTTP等服務(wù)器，但外網(wǎng)只能訪問HTTP服務(wù)器。骨干區(qū)域使用MSTP+VRRP協(xié)議，實現(xiàn)負載均衡和冗余備份功能，保證數(shù)據(jù)不丟失，提高網(wǎng)絡(luò)可靠性。4.2IP地址和VLAN劃分方案在局域網(wǎng)的建設(shè)中，IP地址和vlan的規(guī)劃需要與網(wǎng)絡(luò)拓撲結(jié)構(gòu)相結(jié)合，規(guī)劃IP時要考慮地址空間的利用率和靈活性問題。因此，根據(jù)XXX學(xué)院的實際信息點的分布情況將ip地址和vlan進行如下劃分。4.2.1信息點分布說明表4-2信息點分布樓宇信息點數(shù)辦公樓170實驗樓2020圖書館500教學(xué)樓300宿舍樓8750餐廳354.2.2IP地址和VLAN劃分 表4-3IP地址規(guī)劃及Vlan劃分子網(wǎng)區(qū)域子網(wǎng)掩碼子網(wǎng)網(wǎng)段VLAN行政樓Vlan10實驗樓-Vlan11-Vlan39圖書館-Vlan40-Vlan43教學(xué)樓-VLAN44-Vlan45餐廳Vlan46服務(wù)器172.16.101．0Vlan101管理員Vlan100宿舍樓1-Vlan47-Vlan52宿舍樓2-Vlan53-Vlan58宿舍樓3-Vlan59-Vlan64宿舍樓4192.168.60.-Vlan60-Vlan66宿舍樓5-Vlan67-Vlan72宿舍樓6-Vlan73-Vlan78宿舍樓7-Vlan79-Vlan84宿舍樓8-Vlan85-Vlan90宿舍樓9-Vlan91-Vlan96無線管理地址Vlan100無線業(yè)務(wù)地址2Vlan200子網(wǎng)區(qū)域子網(wǎng)掩碼子網(wǎng)網(wǎng)段VLAN4.3網(wǎng)絡(luò)冗余設(shè)計網(wǎng)絡(luò)結(jié)構(gòu)冗余設(shè)計的主要目的就是為了在線路出現(xiàn)故障時數(shù)據(jù)能夠快速轉(zhuǎn)換路徑，保證數(shù)據(jù)不丟失。在核心交換機部署VRRP協(xié)議，當(dāng)網(wǎng)絡(luò)中某臺設(shè)備、某個端口故障無法轉(zhuǎn)發(fā)數(shù)據(jù)時，處于備份狀態(tài)的設(shè)備能夠接替主設(shè)備的工作，保障用戶無間斷上網(wǎng)的需求。在本方案中使用冗余設(shè)計的主要目的是為了避免單點故障。當(dāng)某個接口某個設(shè)備出現(xiàn)問題時可以繞過故障點,從其他設(shè)備進行數(shù)據(jù)轉(zhuǎn)發(fā)，提供安全的方法防止服務(wù)丟失。4.4網(wǎng)絡(luò)安全設(shè)計網(wǎng)絡(luò)技術(shù)惠及全球，但各種各樣的安全問題也在人們享受網(wǎng)絡(luò)帶來的便利的過程中相繼出現(xiàn)，校園網(wǎng)安全事件也時有發(fā)生，造成論文極大惡劣影響和經(jīng)濟損失，因此在建設(shè)校園網(wǎng)的過程中無論是接入層、匯聚層、核心層還是服務(wù)器等模塊的設(shè)計都應(yīng)該著重考慮安全可靠性設(shè)計。為保證財務(wù)部門的安全，在接入層JR-D設(shè)備上部署ACL對財務(wù)部的訪問權(quán)限進行設(shè)置，僅允許行政樓和管理員訪問。網(wǎng)絡(luò)骨干部署MSTP+VRRP協(xié)議以及bfd協(xié)議，實現(xiàn)網(wǎng)絡(luò)冗余和鏈路冗余，確保某個端口down掉后，數(shù)據(jù)能夠快速切換從另一個端口轉(zhuǎn)發(fā)出去。核心層之上部署兩臺防火墻，在防火墻上部署安全策略以及NAT地址轉(zhuǎn)換技術(shù)，實現(xiàn)內(nèi)網(wǎng)子網(wǎng)用戶能夠正常訪問WEB、FTP和HTTP等服務(wù)，并且內(nèi)網(wǎng)用戶能夠正常訪問外網(wǎng)，而外部用戶只能訪問安全規(guī)則允許的對外開放的服務(wù)器以及其他隱藏的服務(wù)，提高網(wǎng)絡(luò)安全。5校園網(wǎng)建設(shè)關(guān)鍵技術(shù)5.1VLAN技術(shù)隨著校園網(wǎng)絡(luò)規(guī)模逐漸擴大，網(wǎng)絡(luò)中計算機數(shù)量越來越多,若是沒有一定規(guī)則的限制，就會導(dǎo)致某些計算機接收到本不該接收到的信息，而某些計算機卻收不到本該接收到的信息，如此一來不僅存在安全隱患，還會導(dǎo)致資源的浪費，進而使得整個網(wǎng)絡(luò)出現(xiàn)問題。在建設(shè)網(wǎng)絡(luò)時使用VLAN技術(shù)能夠?qū)⒂邢嗤枨蟮臄?shù)據(jù)劃分到同一個VLAN中，控制網(wǎng)絡(luò)中的廣播風(fēng)暴，用這種方式達到保護校園網(wǎng)的目的。5.2Trunk技術(shù)所謂trunk技術(shù)就是在線路需要承載多個不同vlan時能夠通過trunk連接不同交換機，使得不同交換機中相同的vlan能夠通過Trunk技術(shù)創(chuàng)造的共享鏈路進行數(shù)據(jù)傳輸需求。在接入層交換機和匯聚層交換機之間配置Trunk，數(shù)據(jù)包傳遞過程中在源Mac和type字段中間加上tag標(biāo)簽，用來區(qū)分不同vlan的數(shù)據(jù)包，并把這個信息傳遞到另一臺交換機上，實現(xiàn)不同交換機上相同id的vlan相互通信，保證數(shù)據(jù)正常流通。配置Trunk技術(shù)之后一條物理線路上可以傳送多個vlan，使得VLAN能夠發(fā)揮最大作用。trunk允許承載的vlan范圍缺省下為1-1005，在配置的時候可以根據(jù)需要進行合理修改。5.3鏈路聚合鏈路聚合顧名思義就是將交換機的多個端口捆綁成一個Eth-Trunk接口，保證業(yè)務(wù)不被中斷，實現(xiàn)鏈路負載均衡，避免二層環(huán)路。在HX-A和HX-B設(shè)備之間部署鏈路聚合，提高HX-A和HX-B鏈路之間帶寬，提升整個網(wǎng)絡(luò)的數(shù)據(jù)吞吐量，有效解決擁塞問題。當(dāng)交換機HX-AG0/0/23和g/0/24其中某一條鏈路出現(xiàn)故障時，可以快速地將流量轉(zhuǎn)移到另一條鏈路，防止數(shù)據(jù)丟包。5.4NAT地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)通常部署在網(wǎng)絡(luò)出口位置，主要作用是進行私有IP地址和公有IP地址之間的轉(zhuǎn)換。例如本方案中引用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，由宿舍樓某客戶端53和電信網(wǎng)出口互聯(lián)網(wǎng)服務(wù)器通信，192.168.60.253發(fā)送數(shù)據(jù)時，先轉(zhuǎn)換為防火墻:1723端口地址，然后再利用防火墻身份將數(shù)據(jù)發(fā)送給互聯(lián)網(wǎng)服務(wù)器，互聯(lián)網(wǎng)服務(wù)器收到請求后將回應(yīng)數(shù)據(jù)發(fā)送給:1723，此時NAT網(wǎng)關(guān)檢查自己的關(guān)聯(lián)表，發(fā)現(xiàn)該數(shù)據(jù)這是自己私網(wǎng)中主機53的數(shù)據(jù)包，然后就把這個數(shù)據(jù)發(fā)送給客戶端，由此實現(xiàn)位于網(wǎng)絡(luò)內(nèi)部的計算機與外部網(wǎng)絡(luò)進行通訊目的。NAT的實現(xiàn)方式是多樣性的，部署時應(yīng)根據(jù)場景需要進行選擇。5.5ACL訪問控制列表訪問控制列表可根據(jù)設(shè)定的規(guī)則對接口上的數(shù)據(jù)包進行帥選過濾，控制數(shù)據(jù)包的出入。ACL包括permit/deny兩種動作，分別表示允許和拒絕，在網(wǎng)絡(luò)中相應(yīng)設(shè)備接口處適當(dāng)部署acl，決定所經(jīng)過的流量是被轉(zhuǎn)發(fā)還是被阻塞。在局域網(wǎng)網(wǎng)絡(luò)中應(yīng)用ACL限制除行政樓和管理員其他設(shè)備訪問財務(wù)部，限制用戶行為，加強校園網(wǎng)內(nèi)部網(wǎng)絡(luò)安全。5.6MSTP多生成樹協(xié)議多生成樹協(xié)議將多個VLAN映射到同一個實例中，實例間相互獨立，可以提供數(shù)據(jù)轉(zhuǎn)發(fā)的冗余路徑。在校園網(wǎng)中配置MSTP，生成兩顆樹，HX-A作為實例1的根，HX-B為實例2的根，將網(wǎng)絡(luò)中的Vlan1015203040劃分到實例１中，而vlan50607080被劃分到實例２中，實現(xiàn)負載均衡的同時解決環(huán)路問題。5.7VRRP冗余技術(shù)VRRP是一種容錯機制，可以實現(xiàn)網(wǎng)關(guān)的備份，當(dāng)主機的下一跳路由器down掉時，流量可以快速切換到另一臺路由器上，保證正常通信。在網(wǎng)絡(luò)中的兩臺核心交換機啟用VRRP功能，讓HX-A和HX-B互為主備設(shè)備，當(dāng)主備發(fā)生故障之后，起監(jiān)聽狀態(tài)作用的備份設(shè)備立即肩負主備設(shè)備的工作，此時主備Master自動轉(zhuǎn)換為Backup，流量則從備設(shè)備轉(zhuǎn)發(fā)，保證業(yè)務(wù)正常工作。5.8OSPF動態(tài)路由協(xié)議OSPF動態(tài)路由協(xié)議主要作用是計算路由表，得出最短路徑，在路由域內(nèi)使用的比較多。在較大規(guī)模的網(wǎng)絡(luò)中，OSPF通常將網(wǎng)絡(luò)劃分成多個區(qū)域，每臺路由器都用一個router-id來標(biāo)識自己，且都會啟用lookback接口并配置IP地址以此提高網(wǎng)絡(luò)的可靠性和穩(wěn)定性。本方案設(shè)計在校園網(wǎng)的核心交換、防火墻和出口路由都部署OSPF協(xié)議，降低了域內(nèi)每個路由器的壓力，通過區(qū)域劃分使路由可達，路由器和火墻上的鏈路能夠通信。5.9DHCPDHCP即協(xié)議動態(tài)主機配置協(xié)議?？蛻舳艘詮V播方式向服務(wù)器發(fā)起申請，服務(wù)器動態(tài)分配IP地址信息。DHCP技術(shù)的產(chǎn)生為網(wǎng)絡(luò)管理員帶來了極大的便利，有了DHCP技術(shù)，網(wǎng)絡(luò)管理員避免了因手動設(shè)置IP地址所產(chǎn)生的錯誤和重復(fù)。本方案中部署DHCP服務(wù)器，使校園網(wǎng)內(nèi)有新的終端接入時能夠通過DHCP的方式自動獲取IP地址。DHCP配置操作簡單，對于管理員來說的工作難度不大且作用極大。5.10防火墻技術(shù)過去的組網(wǎng)架構(gòu)中，我們經(jīng)常將一臺防火墻部署在網(wǎng)絡(luò)出口處，多年的經(jīng)驗告訴我們，校園網(wǎng)的建設(shè)中如果只部署一臺防火墻會存在極大的安全隱患，因為一旦防火墻出現(xiàn)故障，內(nèi)網(wǎng)和外網(wǎng)之間就不能正常通信，也就是說通訊可靠性無法保證。為了防止中斷現(xiàn)象發(fā)生，在新一代校園網(wǎng)中可以部署兩臺防火墻形成雙機熱備份。在防火墻雙擊熱備架構(gòu)中，當(dāng)其中一臺防火墻出現(xiàn)故障時，業(yè)務(wù)流量能夠切換到另外一臺防火墻上，保證流量不中斷。在本方案中使用防火墻雙機熱備份技術(shù)是為了解決當(dāng)主設(shè)備出現(xiàn)問題時，備份能夠快速切換至主問題，保證主備之間的配置命令和會話狀態(tài)信息同步。最終目的是為了解決單點故障，保證內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的通訊通暢。6實現(xiàn)與結(jié)果驗證本方案結(jié)果驗證僅以網(wǎng)絡(luò)拓撲結(jié)構(gòu)中部分設(shè)備的配置為例進行說明，其余配置相似，不一一列舉。6.1VLAN劃分以行政樓為例：[JR-xzl]vlanbatch10//創(chuàng)建vlan10[JR-xzl-GigabitEthernet0/0/1]porttrunkallow-passvlanall//放行Vlan結(jié)果如圖所示:圖6-1將端口劃分到vlan下如圖6-1所示，將行政樓劃分到vlan10中，避免廣播風(fēng)暴的發(fā)生，提高網(wǎng)絡(luò)穩(wěn)定性。6.2MSTP配置接入層以行政樓為例[JR-xzl]stpmodemstp//配置stp的模式為mstp[JR-xzl]stpregion-configuration[JR-xzl-mst-region]region-namehuawei[JR-xzl-mst-region]instance1vlan1015203040//生成樹實例1映射vlan1015203040[JR-xzl-mst-region]instance2vlan50607080//生成樹實例2映射vlan50607080[JR-xzl-mst-region]activeregion-configuration//激活配置核心層以HX-A設(shè)備為例[HX-A]stpmodemstp//配置stp的模式為mstp[HX-A]stpregion-configuration[HX-A-mst-region]region-namehuawei[HX-A-mst-region]instance1vlan1015203040//生成樹實例1映射vlan1015203040[HX-A-mst-region]instance2vlan50607080//生成樹實例2映射vlan50607080[HX-A-mst-region]activeregion-configuration[HX-A]stpinstance1rootprimary//實例1以HX-A為主根[HX-A]stpinstance2rootsecondary//實例2以HX-B為備根圖6-2MSTP實例根端口查看如圖6-2所示，將vlan綁定到實例中，實現(xiàn)負載分擔(dān)。6.3VRRP配置以HX-A交換機配置為例[HX-A]intvlan10[HX-A-vlanif10]ipaddr24//配置vlan10的iP地址[HX-A-vlanif10]vrrpvrid10virtual-ip//虛擬網(wǎng)關(guān)[HX-A-Vlanif10]vrrpvrid10priority120//設(shè)置優(yōu)先級結(jié)果如下圖所示：圖6-3VRRP主備網(wǎng)關(guān)分布由圖6-3可見，行政樓用戶的網(wǎng)關(guān)主備在HX-A上，當(dāng)行政樓用戶訪問其他設(shè)備時先走HX-A，如若Master路由器出現(xiàn)故障，Backup路由器將根據(jù)優(yōu)先級重新選擇新的Master，也就說能夠達到當(dāng)網(wǎng)關(guān)發(fā)生故障時能讓PC快速切換路徑的效果。6.4DHCP幀中繼配置與實現(xiàn)[Huawei]dhcpenable//使能DHCP服務(wù)[Huawei]ippool10//地址池命名為10[Huawei-ip-pool-10]gateway//設(shè)置網(wǎng)關(guān)[Huawei-ip-pool-10]networkmask//設(shè)置地址池范圍[Huawei-ip-pool-10]excluded-ip-address//地址池中不包含的地址[Huawei-ip-pool-10]dns-list50//設(shè)置DNS服務(wù)器[Huawei-Vlanif10]dhcpselectglobal//采用全局地址池的方位分配IP地址圖6-4DHCP地址池如圖6-4所示，配置完DHCP之后，當(dāng)有用戶接入時DHCP服務(wù)器便會自定分配IP地址。6.5鏈路聚合[Huawei]intEth-Trunk10//進入Eth-Trunk10視圖[Huawei-Eth-Trunk1]trunkportg0/0/23[Huawei-Eth-Trunk1]trunkportg0/0/24//聚合端口G0/0/23和G0/0/24[Huawei-Eth-Trunk1]portling-typetrunk[Huawei-Eth-Trunk1]porttrunkallow-passvlanall//放行Vlan圖6-5鏈路聚合結(jié)果如圖6-5所示，通過將核心交換機HX-A、HX-B端口G0/0/23和G0/0/24成功聚合到Eth-Trunk10中，達到提升整個網(wǎng)絡(luò)的數(shù)據(jù)吞吐量，解決擁塞問題效果。6.6無線網(wǎng)絡(luò)配置與實現(xiàn)[AC6605]wlan//進入無線配置視圖[AC6605-wlan-view]regulatory-domain-profilenamedefault//創(chuàng)建域的管理模板[AC6605-wlan-view]security-profilenamedefault-wds//創(chuàng)建安全策略名稱[AC6605-wlan-vap-prof-student-vap]security-profileoffice-security//綁定安全策略[AC6605-wlan-vap-prof-student-vap]ssid-profilestudent-ssid//綁定SSID模板[AC6605-wlan-vap-prof-student-vap]service-vlanvlan-id15//綁定業(yè)務(wù)VLAN[AC6605-wlan-view]ap-groupnameap-group1//創(chuàng)建AP組名稱[AC6605-wlan-ap-group-student-ap-group]vap-profilestudent-vapwlan1radio 0 //綁定vap模板[AC6605-wlan-ap-group-student-ap-group]vap-profilestudent-vapwlan1radio 1 //綁定vap模板[AC6605-wlan-view]ap-id1type-id45ap-mac00e0-fc2a-7b40//添加AP，APmac[AC6605-wlan-ap-0]ap-groupoffice-ap-group1//添加到AP組 圖6-6AC上查看AP上線情況圖6-7AP覆蓋區(qū)域圖6-8用戶端可見的wifi圖6-9無線用戶上網(wǎng)結(jié)果如圖7、8、9、10，配置WLAN后，啟動AP上線功能，教師和學(xué)生分別通過不同信道連接網(wǎng)絡(luò)，輸入正確密碼后就能夠上網(wǎng).6.7ACL配置與實現(xiàn)[HX-A]aclnumber2000//創(chuàng)建ACL[HX-A-acl-basic-2000]rulepermitsource//允許源IP地址主機的報文通過，[HX-A-acl-basic-2000]ruledenysource55//拒絕/24其余報文通過[HX-A-acl-basic-2000]descriptionpermitonly9through[HX-A]intg0/0/22//在HX-A接口上應(yīng)用ACL[HX-A-GigabitEthernet0/0/22]traffic-filteroutboundacl2000圖6-10定義ACL規(guī)則圖6-11行政樓可訪問財務(wù)部圖6-12非行政樓人員、管理員無法訪問財務(wù)部如圖6-10、11、12所示，本文中以財務(wù)管理部門的訪問權(quán)限為例，限制除行政樓和管理員外其他網(wǎng)段不允許訪問，限制網(wǎng)絡(luò)用戶行為，以此保證財務(wù)部門的安全。6.8OSPF配置與實現(xiàn)[Huawei]ospf1router-id[Huawei-ospf-1]area0[Huawei-ospf-1-area-]network 55[Huawei-ospf-1-area-]network 55[Huawei-ospf-1-area-]network 55[Huawei-ospf-1-area-]network 55OSPF配置效果如下圖所示：圖6-13OSPF鄰居圖6.9防火墻模塊配置與實現(xiàn)6.9.1安全區(qū)域劃分[USG6000V1]firewallzonetrust//將端口加入到防火墻trust區(qū)域中[USG6000V1-zone-trust]setpriority85[USG6000V1-zone-trust]addinterfaceGigabitEthernet0/0/0[USG6000V1-zone-trust]addinterfaceGigabitEthernet1/0/0[USG6000V1-zone-trust]addinterfaceGigabitEthernet1/0/1[USG6000V1]firewallzoneuntrust//將端口加入到防火墻Untrust區(qū)域中[USG6000V1-zone-untrust]setpriority5[USG6000V1-zone-untrust]addinterfaceGigabitEthernet1/0/2[USG6000V1-zone-untrust]addinterfaceGigabitEthernet1/0/3[USG6000V1]firewallzonedmz//將端口加入到防火墻dmz區(qū)域中[USG6000V1-zone-dmz]setpriority50[USG6000V1-zone-dmz]addinterfaceGigabitEthernet1/0/4圖6-14區(qū)域劃分安全區(qū)域的劃分可以實現(xiàn)策略的統(tǒng)一管理。如圖15所示，g0/0/0、g1/0/0、g1/0/1均為內(nèi)部用戶所在的網(wǎng)絡(luò)區(qū)域，因而被劃分到trust區(qū)域，g1/0/2和g1/0/3所在地為Internet等不安全的網(wǎng)絡(luò)區(qū)域，因而被劃分到Untrust區(qū)域，而DHCP等服務(wù)器集群被劃分到dmz區(qū)域。6.9.2安全策略配置[USG6000V1]security-policy[USG6000V1-policy-security]rulenameht