网络工程-朝阳幼儿师范职业学院校园网络规划与建设

朝阳幼儿师范职业学院校园网络规划与建设摘要:自1968年美国国防部高级研究计划局组建的ARPANET（阿帕网）开始，互联网已经渗透到社会中的每一个角落，网络已经成为了人类的生活必需品。教育又是强国之本，各教育院校对教育智能化，先进化，快速便捷化的需求日益增强，而实现它们需要依赖于一个高可靠高可用的底层网络。本课题将从校园网络的设计目标，需求分析，系统设计，设备选型，网络规划，网络安全性和可靠性等方向入手。遵循高可靠性，高安全性的原则，在保持易管理性，可拓展性的同时，使用模块化的设计方法，按核心层，汇聚层和接入层的方法划分整体网络。并根据不同区域对用户接入层、数据汇聚层、核心转发层进行功能区域划分。从而搭建一个有合理，有效的网络管理，安全可靠且满足广大师生教学办公需要的校园网络。关键词：校园网，分层设计，安全可靠。

CampusNetworkPlanningandConstructionofChaoyangPreschoolTeachersCollegeAbstract:SincetheARPANET(Arpanet)formedbytheAdvancedResearchProjectsAgencyoftheUnitedStatesDepartmentofDefensein1968,theInternethaspenetratedintoeverycornerofsociety,andtheInternethasbecomeanecessityofhumanlife.Educationisalsothefoundationofastrongcountry.Thedemandsofeducationinstitutionsforintelligent,advanced,andconvenienteducationareincreasing.Torealizethem,theyneedtorelyonahighlyreliableandhighlyavailableunderlyingnetwork.Thistopicwillstartwiththedesigngoals,requirementsanalysis,systemdesign,equipmentselection,networkplanning,networksecurity,andreliabilityofthecampusnetwork.Followingtheprinciplesofhighreliabilityandhighsecurity,whilemaintainingmanageabilityandscalability,themodulardesignmethodisusedtodividetheoverallnetworkaccordingtothecorelayer,convergencelayer,andaccesslayermethods.Accordingtodifferentareas,theuseraccesslayer,dataconvergencelayer,andcoreforwardinglayeraredividedintofunctionalareas.Inordertobuildacampusnetworkthathasreasonableandeffectivenetworkmanagement,issafeandreliable,andmeetstheteachingandofficeneedsofteachersandstudents.Keywords:campusnetwork,hierarchicaldesign,safeandreliable.

目录TOC\o"1-3"\h\u第1章绪论 第1章绪论1.1课题的背景和意义1.1.1课题目的校园网是利用计算机与通信技术整合校园内的各种数字资源的网络徐彬.校园网网络方案设计与实现[D].天津大学,2009.。在教育信息话的背景下，我国多数高校已经建立起了校园网络，师生对网络的需求不断提高。校园网已成为学校信息化建设的重点,是学校提高管理水平、工作效率、改善教学质量、扩充教学途径的有力手段。而构建一个具备运转效率高、实用性强的校园网络平台,需要通过不断地实践和总结,徐彬.校园网网络方案设计与实现[D].天津大学,200课题意义校园网的建设对于学院来说具有重大且长远的意义。建设校园网是为学生学习活动服务的，校园网能够为学生提供多种学习资源和学习工具，促进学生内部的交流与协作；校园网可以为校内老师的教学和科研服务，能够提供给老师丰富的教学资源和丰富的教学平台；校园网是学校教育教学管理服务的重要支撑。学校内部的学生学籍，人事等内务管理都需要校园网的支撑；校园网是学校与学校之间沟通的桥梁，校园网能够通过与校外组网的方式形成范围更大的网络，实现范围更广的网络交互学习环境。通过校园网全国的学生能够进行资源分享邓志武邓志武.校园网的设计与实现[D].北京邮电大学,2012.1.2课题的研究1.2.1研究内容针对朝阳幼儿师范职业学院对于现代化校园网的建设要求，结合主流校园网络设计。利用网络通信设备和互联网通用通信协议，厂商通信协议，为朝阳幼儿师范职业学院建设一个具有稳定性，灵活性，实用性和安全性的校园网。使校园网能够满足学校学生和老师的日常学习活动和教研工作，能够满足学校的教育管理服务，搭建安全的，大范围的网络交互学习环境。1.2.2研究方法本课题参考公司的实际网络设计方案，在该方案的基础上通过华为ENSP模拟器模拟相关网络设备，搭建校园网络拓扑，通过模拟器上的设备搭建校园网络总体设计并将相应配置实现。由于模拟器无法实现实际项目中的部分配置，故在研究拓扑搭建是借鉴了网上手机的组网技术案例和有关网络建设方面的文献。总而言之，本课题采用方法是在公司原有设计方案上结合自己的理论知识和项目经验，加上自己对校园网络建设的理解。重新设计组网方案，并且保证最后的组网方案跟实际方案一样都能确保校园网的可靠、安全、稳定性。

第2章需求分析2.1校园网络整体需求分析在高校信息化建设中，校园网建设是基础设施建设，作为信息化建设的基础平台，这就意味着在建设过程应充分规划，使校园网能够为学校的教研、办公、管理和教学管理提供平台，同时保证校园网的安全性、可靠性和可拓展性。这就要求建设的校园网在整体上需要满足一下几点：校园网要求运行速度快、运行稳定，重要链路有冗余避免业务中断，保证高可靠性；有一个性能优良、具有可持续发展的有线宽带网络，有足够的接入点满足校园固定IT资产接入网络并便于统一定位管理。能够实现全校无线覆盖，在施工难度大的区域也能保证网络覆盖，同时满足如今学生多手持移动终端（如手机、平板电脑）的接入，同时解决部分区域有线接入点不足的弊端。具有统一的标准智能化管理平台，通过安全设备，如堡垒机、ACG等安全设备对内网流量监控和审计，保证信息可控性和快速定责。具有良好的可拓展性和易管理性，对未来的先进设备接入和设备扩容提供空间，为网络管理和运维人员提供稳定的维护和远程管理平台。2.2用户需求分析针对校园网中接入场景多样，在这里针对校园中的不同区域做需求分析，主要将其分为三个区域：教学楼和办公区域、教师公寓和学生宿舍、公共区域。在网络搭建结构上要求整体实现“万兆交换主干和千兆交换到桌面”。教学楼和办公区域：这类区域以有线接入为主，配合无线覆盖，各课室与办公室要有足够的接入点供多媒体教学设备和教师办公用电脑的接入，同时这区域内网段主要以教师角色为主，通过做ACL策略。教师角色网段将有权接入到学校教务管理、财务管理、资产管理、远程教学平台等校内服务器上的相应系统。教师公寓及学生宿舍区域：此类区域主要以无线覆盖为主，由于这类区域接入点密集、上网用户并发量大、网络流量多，所以传输链路上通过1G级光纤接入到楼层，无线的部署上每间宿舍都安装一台带接入网口的面板AP，在保证接入稳定的同时保持了室内装饰的美观整洁以及学生有线终端的接入。流量上行方面要求所有上行流量经过审计平台，要保证网络的可控性。公共区域：此类区域包括有（饭堂、操场、公共休息区等），这类区域主要是无线覆盖方式为主，少量有线接入点用在校园一卡通、图书借阅、校园广播等设备的接入，这类区域将提供免费的WiFi接入，但是只有访客角色的权限。提供给来访的学生家长及学术交流的教研人员使用。2.3安全需求分析在如今的大学校园中大学生网络需求大上网时间长，同时网络中又充斥着大量不良信息以及别有用心的网络黑客，随着社交网络的不断完善和发展，虚假和诈骗信息对学生的财产和人生威胁构成了巨大的威胁。校园网络安全的建设和实施成为了校园网中不可或缺和及其重要的一个部分。个人信息账户安全：对于存储学生信息的服务器应进行多重加密，关闭不必要的端口，减少访问数量，避免被黑客盗取学生资料信息，并利用其信息进行非法操作。校园出口网络安全：做为与公网对接的接口，承载着大量的流量往来，而鱼龙混杂的公网流量可能暗藏杀机，黑客们的手段层出不穷，这就需要安装先进的安全厂家的安全产品和相关的安全服务，在重要节点处设防，加装waf，ips等安全设备，同时购买病毒特征库等的授权，保证病毒库实时更新，最大程度上减少被攻击的可能性。

第3章总体设计3.1设计原则作为信息化网络建设，智慧校园的基石。为保证其稳定运行，在规划设计的过程中，将遵循以下设计原则：技术的成熟性和先进性项目总体的实施采用国内外主流的、成熟的技术和解决方案，设备选择高端适用的网络设备，要有远瞻的目光，在确保建成的系统在使用后的5-8年内不会落后的同时，也要保证后期无需大范围的割接和升级也能适应学校的快速发展。标准化和可拓展性系统的设计和实际实施的过程中都严格遵循国家的行业相关产品能耗标准和施工标准。对于校园网中可能新增的子系统要预留接口，对可能扩容和新增设备的区域预留IP地址。充分考虑后期的系统设备升级和设备的更替，保证校园网的可拓展性。安全性和可靠性整个校园网络应具备很强的安全性，要设置合理严格的访问权限控制机制，要有先进并及时更新的入侵防御检测和安全监控平台，从而做到防止学生和教职工信息被非法窃取盗用和破坏。通过统一的审计和上网行为管理平台来实现事故定责和追查管理能力。在保证安全性的同时要针对网络中重要节点留有足够的冗余，要具备良好的容错和纠错能力，保证故障恢复时间最优化，提供有效的灾难恢复和应急措施，从而保障校园网的安全性和可靠性。便利性和实用性从校园网的使用用户角度出发，再保证安全审计接入的情况下最大程度上简化上网流程步骤，充分考虑上网人员需求，为校园网用户提供高效、便利、舒适的现代办公环境和网络应用环境。可维护性和易管理性建立健全的网络管理系统，并与业务系统分开，便于运维管理人员对系统进行管理。校园网要具备故障报警、错误报告和应急处理能力。可以通过部署一体化、智能化的管理平台，使校园网具备良好的远程管理维护能力。在提高网络故障发现、故障诊断和故障排除的简易性的同事，也为运维管理人员提供了可视化的管理平台，降低工作人员的管理难度，提高管理效率。3.2网络结构设计3.2.1总体结构规划朝阳幼儿师范职业学院校园网络规划与建设总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。在网络整体架构设计上，按照网络核心、汇聚和接入的模型对网络系统进行划分，从而完成用户接入层面与数据中心的数据接入层面的分层设计。根据网络实现的功能将其进行功能区域划分。交换核心区系统，交换核心区用于高速交换数据。无线网络系统，实现在校园内能够为授权用户提供无线上网服务。网络管理系统，实现对校园内所有网络设备的配置管理、故障管理、性能管理和流量管理等。网络安全系统，保障校园网络系统能够安全运行。3.2.2校园网络拓扑图校园网络采用三层组网模式，在ENSP模拟器上模拟搭建，由于设备数量问题及模拟器部分功能不支持，在模拟器上搭建的是主要架构的网络，其他大同小异的接入层和汇聚层网络设备就没有完全展现，如图3-1校园网络拓扑图，本拓扑把主要网络结构模拟出来。图3-1朝阳幼职校园网络拓扑3.2.2系统分层设计借鉴于众多高校网络的优质规划，网络的分层化设计明确了各个层的功能，工作原理，标准等，将网络的繁多功能分配到具体的层次，每个层次都有相应的硬件、软件标准，十分有利于网络的标准化。在降低整个网络复杂性的同时，也促使故障排除与维护变得简单便捷。分层化设计分为三级结构：核心层、汇聚层、接入层。接入层的主要作用是实现终端用户的接入，把终端接入用户的流量传输到上层，从而接入校园网。汇聚层主要作用是处在各个建筑内网络流量的与接入用户的汇聚节点。核心层主要是用来完成高速的包交换，构成高速的交换骨干。3.3网络层次详细设计3.3.1核心层设计核心层的交换机设备采用的是新华三的园区高级核心交换机，型号是H3CLS-10508.图3-2核心层交换机LS-10508核心层采用的是双机热备，有两台相同型号的LS-10508。两台设备做了负载分担，同时负责整个校园网络数据的集中和转发，同时负责服务器区和网络出口之间的流量转化。所以在考虑核心交换机的负载分担的同时，也配合使用了链路冗余技术，两台设备当两台用，对其资源充分利用。本次规划建设中结合ENSP模拟器做实验，采用的是VRRP+MSTP的组网方式，三层转发上采用的是通过配置多个VRRP实现设备的负载分担，通过MSTP在二层转发上配置多个生成树实例实现链路的负载分担。在避免资源浪费的同时也实现了链路冗余。3.3.2汇聚层设计汇聚层的交换机设备型号采用的是H3CS6520X-HI系列万兆汇聚交换机，采用的是48个1/10GESFP+光接口，2个QSFP+光接口的版本，图3-3汇聚层交换机H3CS6520X-HI汇聚层的交换机主要是部署在各栋建筑等接入交换机较多的机房，通过汇聚下联接入层设备的流量，再集中汇聚的流量转发给上层的核心设备。汇聚层的设备在汇聚本楼栋的IP地址和流量后的同时，通过划分VLAN来对不同的楼栋做二次隔离，可以在这一层实施安全访问控制（ACL），保证网络的安全性，同时支持DHCP的相关安全功能。在链路的连接上选择的是双链路连接到核心设备，做到网络的冗余性。3.3.3接入层设计接入层的设备直接与下联终端连接，是校园网络安全的第一道防线，因此要求接入层的交换机具有配置用户认证、端口绑定和端口隔离等功能，本次实施项目使用的是新华三的H3C5130-EI-PWR系列的交换机。图3-4接入层交换机H3C5130-EI-PWR作为二层接入设备，接入层交换机需要为网络终端提供百兆或千兆的接入能力。同时在无线网络中要求支持POE供电功能，为下联的AP供电，从而降低施工布线难度，最大程度上保持设备安装美观，在流量转发上，这一款设备选用的是全千兆下行，万兆上行。3.4校园无线网络设计3.4.1无线设备部署在本次校园无线网络组网方案中，无线的组网全部采用AC控制器加FITAP的组网方式，AC无线控制器部署在机房，AP经过现场的无线工勘后部署在相应位置，在上面说到无线网络的接入层交换机均带有POE供电的功能，所以AP均采用POE供电，在不同场景采用不同的AP型号来保证最佳用户体验。在操场，校道采用室外AP，学生宿舍采用面板AP，大型教室等人员密集，并发量大的区域采用室内高密AP，普通教室采用普通放装AP。3.4.2AC可靠性部署为了防止由于AC设备出错或者链路故障导致校园无线网络崩溃导致无线用户无法正常上网，此次方案采用双链路AC备份的方法来保证其可靠性和冗余性。采用的是双链路冷备份的方式，双链路冷备份是指在AC加FITAP的组网结构中部署两台AC无线控制器来管理AP，两台AC都跟网络中的AP建立CAPWAP隧道链路。其中一台AC作为无线网络中的主AC，为网络中的AP提供业务服务，另外一台作为备份的AC控制器，不提供业务服务。当主的AC无线控制器设备发生设备故障，或者CAPWAP链路出现问题时，备份的AC顶替主AC来为AP提供业务服务，同时管理AP。其组网示意图如图3-5所示图3-5AC双链路冷备组网示意图3.4.3无线业务规划为满足校园网络用户使用和方便网络管理人员管理，无线网络中，无线AP的管理和业务地址时分开的，获取业务地址的DHCP是做在其楼栋的汇聚交换机的，AP的管理地址统一做在AC上面。每一个区域会有自己区域的无线信号，名称为该区域名称的字母拼音，该网络采用普通密码验证登录，方便区域的固定无线设备使用，例如无线监控摄像头、无线电子白板设备。还有一个无线信号名称为ZYYZ的，这是一个全院覆盖的wifi信号，采用的是Portal认证，关联到radius计费服务器，学生上网需申请账号密码，通过Portal认证弹出的网页认证，当输入的账号密码与后端服务器匹配时才能上网。信号界面如下图3-6所示：图3-6无线信号名称显示图3.5网络安全设计3.5.1网络防火墙部署信息高速传播的同时国家对信息网络的安全性同样越来越重视，所以在校园网的建设过程中信息安全成为不可获取的一部分，在本次的设计方案中安装配备了防火墙安全设备，从而提高校园网内的安全性能，通过配置不同的安全区域，把内网跟外网分开。开启默认拒绝模式，配置相应的安全策略使防火墙只转发策略规则允许的流量通过，其他流量默认拒绝。在服务器的关键节点也会设置防火墙，严格限制网络用户对校园服务器的访问，只对外映射允许访问的服务器，且端口号避免采用常用端口号。配置防火墙防DOS/DDOS功能，对Land、Smurf、Fraggle、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood等拒绝服务攻击进行防范，可以实现对各种拒绝服务攻击的有效防范，保证网络带宽。3.5.2IDS部署IDS（入侵防御系统）是有过滤功能的特种交换机。一般部署在防火墙和外部网络的设备之间，通过对数据包的检测进行防御（检查入网的数据包，确定数据包的真正用途，然后决定是否允许其进入内网），IDS的部署能够有效的的阻止网络上后门木马、系统漏洞、蠕虫病毒、间谍软件、恶意木马、网络钓鱼、DoS/DDoS等恶意攻击。在校园网内部部署IDS，使外网访问校园网时的流量先经过IDS，IDS识别各种网络攻击流量且倾向于主动防护。使攻击流量在到达校园内网前就被阻断，从而保护校园网内部免受网络中的恶意攻击。IDS设备在对应用流量分析和检测的同时还能对分布在网络中的各种流量进行有效管理，从而对网络上的应用、网络基础设施和网络性能进行了保护。其主要功能如下图3-7所示：图3-7IDS主要功能示图3.5.3DHCP安全防护由于校园网中用户量较多，部分区域需要动态分配IP地址，一般会在网络设备上配置DHCP服务器，为了保证DHCP分配地址的安全性，避免非法的DHCP的开设和接入，对系统产生影响，导致终端获取不到IP地址，用户接不上网络，因此再配置完DHCP后要开启DHCPsnooping特性，DHCPSnooping通过监听DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文，记录DHCP客户端的MAC地址以及获取到的IP地址。管理员可以通过displaydhcp-snooping命令查看DHCP客户端获取的IP地址信息。同时把连接DHCP的端口设置为信任端口，指定接入终端从合法的DHCP服务器上获取地址。3.5.4ARP攻击防护网络中有一种攻击是很多防火墙和杀毒软件很难挡住的，那就是ARP欺骗攻击，因为ARP欺骗攻击的木马程序通常伪装成为常用软件的一部分被下载并被激活，或者作为网页的一部分自动传送到浏览者的电脑上并被激活，由于木马程序的形态特征都在不断变化和升级，杀毒杀毒软件常常会失去作用。ARP攻击会导致网络频频掉线、网速变得很慢，攻击者利用ARP欺骗实行中间人攻击，所有的网络流量都经过攻击者主机进行转发，攻击者通过截获的信息可得到网银、游戏、文件服务等系统的用户名和口令。由于ARP欺骗攻击利用了ARP协议的设计缺陷。光靠包过滤、IP+MAC+端口绑定等传统办法是比较难解决的。通过对ARP欺骗原理的剖析，防御该攻击最理想的方法是在接入层对ARP报文进行内容有效性检查，对没有通过检查的报文进行丢弃处理。在接入层采用的这种技术，叫做ARP入侵检测。其主要工作原理如下图3-8所示；ARP欺骗攻击时会存在大量的ARP报文，为延长设备使用寿命，降低网络带宽消耗资源和交换机CPU资源，部署ARP入侵防御检测的同时也部署ARP报文限速。ARP入侵检测报文的有效性是通过查找DHCPsnooping建立的绑定关系表，来判断ARP应答报文的发送者源MAC和源IP是否合法。图3-8ARP入侵检测工作示意图3.5.5设备安全管理在前面提到为方便运维人员和网络管理员维护和管理设备，都会在网络设备上开启相对安全的SSH远程，通过配置不同级别的用户口令，给不同维护人员不同的账号密码，不同账号密码的管理权限也不同，加强了对网络设备的安全保护，保证网络稳定的运行，较少人为操作失误导致的网络问题。默认情况下对设备的console是没有加认证的，可以配置console口的认证，加强设备管理的安全性。3.6网络IP地址规划在校园网中的IP地址规划必须遵循地址的唯一性、可管理性、可拓展性与层次性。在不同的区域划分配置不同的网段，划分不相同的VLAN。有线网络与无线网络的规划要分开。本次规划有线网段从/16这个私网网段中挑选子网规划，无线网络采用/16网段里的子网规划，设备的管理vlan都采用VLAN1000，无线AP管理VLAN采用VLAN2000，所有的设备管理地址采用/24网段。vlan号与IP部分信息是相对应的。方便联想管理。具体的校园网络IP地址规划如下所示。3.6.1有线地址规划本次校园网络IP地址是有线网络跟无线网络分开的，便于网络管理人员管理和维护，在有线网络IP地址的规划中，采用的是B类的私有网络地址/16。每一栋楼分配一个VLAN。以下为校园有线IP地址划分表。表3-1教学楼有线IP地址规划表教学楼vlanIp地址网段网关1栋vlan110/24542栋vlan120/24543栋vlan130/24544栋vlan140/2454表3-2实训楼有线IP地址规划表实训楼vlanIp地址网段网关1栋vlan210/24542栋vlan220/24543栋vlan230/24544栋vlan240/2454此部分主要上网接入方式为有线固定终端，根据相应的终端数量规划地址。表3-3学生宿舍及教师公寓有线IP地址规划表学生宿舍及教师公寓vlanIp地址网段网关1栋vlan410/23542栋vlan430/23543栋vlan450/23544栋vlan470/2354A栋vlan510/2354B栋vlan530/2354C栋vlan550/2354由于学生公寓和教师公寓属于用户密集区域，上网人数多，同时上网终端数量也多，因此这部分的IP子网划分，一个网段的地址时分配510个可用IP地址，同时为方便vlan与IP地址网段对应，vlan的前两个数字与对应网段的第三部分数字相同。表3-4图书馆有线IP地址规划表实训楼vlanIp地址网段网关1层vlan310/24542层vlan320/24543层vlan330/24543.6.2无线地址规划由于无线接入用户流动性大，临时并发量可能剧增，所以规划中将AP根据楼栋区域分组，每个区域再分配一个网段来给无线用户分配地址，采用的是A类私有网段/8，每个区域分配一个VLAN。无线AP的管理vlan跟业务vlan也是分开的，方便网络管理人员管理和维护。表3-5教学楼无线IP地址规划表教学楼vlanIp地址网段网关1栋vlan1110/24542栋vlan1120/24543栋vlan1130/24544栋vlan1140/2454教学楼这部分无线地址划分时，每个地址段会预留50个固定的IP地址，用于部分固定的无线终端使用。例如考勤打卡设备，人脸识别设备。表3-6实训楼无线IP地址规划表实训楼vlanIp地址网段网关1栋vlan1210/24542栋vlan1220/24543栋vlan1230/24544栋vlan1240/2454实训楼区域用户使用有线网络的较多，在做无线地址规划时按照每个区域最大接入数规划。表3-7图书馆无线IP地址规划表图书馆vlanIp地址网段网关1层vlan1310/24542层vlan1320/24543层vlan1330/2454图书馆大多固定设备使用有线网络，无线网络方便内部学生移动接入校园内网。表3-8学生宿舍及教师公寓无线IP地址规划表学生宿舍及教师公寓vlanIp地址网段网关1栋vlan1410/2542栋vlan1450/2543栋vlan1490/2544栋vlan2410/254A栋vlan1510/254B栋vlan1550/254C栋vlan1590/254在住宿区，无线接入终端的数量往往会高于有线终端，因此在做住宿区无线规划时，采用掩码为22的网段地址，使得每个网段有效地址为1022个，从而满足此区域内的多用户终端上网需求。表3-10公共设备业务IP地址规划表位置vlanIp地址范围网关公共区域vlan2000/254此部分区域作为公共区域，使用接入人数有时候会非常多，在此区域的地址规划中，按照可容纳人数的最大并发量来规划IP地址，采用/22网段，使有效IP地址数达到1022个。满足该区域最大并发量，例如全校大型活动现场互动，或者外来访客使用的需求。3.6.3管理地址规划管理地址的规划是为每一台设备分配一个用于访问和管理的IP地址，在本次校园网络规划中，使用了一个C类的私有网段/24，除了无线AP，其他设备都在同一个VLAN，在路由配置时，该网络段不需要连接上外网，通过一些权限配置，使得只有管理员账号才有权限可以远程管理到每一台设备，方便网关快速定位网络设备进行配置和排障。表3-9各楼栋设备管理IP地址规划表位置vlanIp地址范围网关教学楼vlan1000-192.16810.19/2454/24实训楼vlan10000-9/2454/24教师公寓及学生宿舍vlan10000-9/2454/24表3-10公共设备管理IP地址规划表位置vlanIp地址范围网关图书馆vlan10000-9/2454/24公共区域vlan100000-49/2454/24无线APvlan3000/2454/24管理地址的规划时采用比较容易登记拓展的IP地址网段，每一栋楼预留了50个IP地址分配给设备使用，除无线AP设备由AC控制器独立管理，其他设备均采用同一网段且同一VLAN，从而实现管理员无需到现场，可以远程配置管理设备的需求。

第4章功能实现4.1配置规划4.1.1MSTP（多生成树协议）规划MSTP（多生成树协议）是解决二层环路问题的一种冗余链路技术。在网络的规划建设中为保证链路的可靠性，往往会使用冗余链路，从而导致网络中出现环路现象，导致MAC地址震荡和广播风暴等故障现象，网络通信中断。最初STP（生成树协议）应运而生，由于其收敛速度过慢，RSTP（快速生成树协议）做出了改善，使得收敛速度加快。而本课题用到的MSTP（多生成树协议）既解决了收敛速度慢的问题，同时能根据不同的vlan计算出多颗互相独立的生成树。使不同vlan的流量通过不同生成树转发，实现负载分担。本次课题对MSTP的应用是在汇聚与核心之间的连接中配置MSTP。在vlan规划事将有线流量和无线流量已经区分开来，配置完MSTP后要实现有线流量通过左侧链路与核心转发，无线流量通过右侧链路与核心转发。流量转发示意图如图4.1所示：图4-1流量路径转发图4.1.2VRRP（虚拟路由冗余协议）规划通常的网络设计中，同一网段内的所有主机都设置一条相同的、以网关为下一跳的缺省路由。主机跨网段访问时都通过网关转发，从而实现网络通讯，但是单一网关发生故障时，本网段内所有以网关为缺省路由的主机将无法与外部网络通信。为了解决这个问题，VRRP（虚拟路由冗余协议）出现了，VRRP在不改变组网的情况下，将多台网关设备组合成一个虚拟网关设备，通过配置虚拟网关设备的IP地址为默认网关，实现了链路的备份。且多台网关设备中分为主备设备，单一设备发生故障时，VRRP机制会选举新的网关设备承担数据流量的转发，保证了数据转发的稳定性。本次课题采用的VRRP组网设计中，在两台核心交换机中做了VRRP的配置，做了两个VRRP备份组，将有线流量和无线流量的默认网关分开转发，在保证可靠性的同时也实现了负载分担，达到了第二章设计原则中的核心层要求。双机热备的同时不浪费设备资源。4.1.3BFD（双向转发检测）规划BFD（双向转发检测）是一种全网通用的标准化检测机制，他与介质和协议无关，且快速检测故障。BFD能够用单一的机制对任何介质、任何协议层进行实时检测。本次课题中BFD与VRRP配合使用，用来检测核心与上层防火墙的链路连通性。链路出现问题后，BFD检测机制检测到异常后，核心能马上知道异常，触发VRRP重选机制，通过降低VRRP备份组的优先级，使得另外一台设备选举为主设备，保证数据正常转发。4.2配置实现4.2.1核心层配置针对核心层，主要的配置难点是在于MSTP跟VRRP，核心层作为校园有线网络的核心转发位置，对冗余性要求很高，实际项目中会使用两台高性能的设备做堆叠配置，由于模拟器不支持，在本次课题中采用VRRP的方式，配置多个组实现负载，通过配置MSTP对有线和无线分流转发，减轻设备转发压力，同时单台设备故障时又能快速收敛，好的设备承当全部转发任务，避免网络中断。MSTP配置示例：stpinstance1rootsecondarystpinstance2rootprimary//通过配置不同实例的主备实现指定转发路径stpregion-configurationregion-namehuiju-coreinstance1vlan110210310410510instance2vlan111012101310141015102000activeregion-configuration//将有线的vlan绑定在instance1上，将无线的vlan绑定在instance2上intg0/0/5stpinstance1cost20000//通过修改交换机根路径的开销，实现实例1跟实例2走不同链路的功能;有线的DHCP配置在核心设备里边，DHCP服务器配置示例：ippoolvlan110gateway-list54networkmaskexcluded-ip-address0050leaseday1hour8minute0dns-list//配置DHCP地址池，预留了50个IP地址做固定IP，租期为32小时.用户管理配置示例：aaalocal-useradminpasswordsimpleAdmin@1234local-useradminprivilegelevel15local-useradminservice-typetelnetsshuser-interfacevty04authentication-modeaaa//创建管理用户，用户名为admin，密码为Admin@1234//允许该用户使用telnet和ssh的方式远程到该设备进行管理VRRP配置示例：interfaceVlanif410ipaddress51vrrpvrid1virtual-ip54vrrpvrid1priority120vrrpvrid1preempt-modetimerdelay20dhcpselectglobal//在核心1的vlanif接口做vrrp，通过设置优先级以核心1为主，开启抢占延时20秒。默认路由配置：iproute-static54//做一条默认路由，将下一跳指定到防火墙。4.2.2汇聚层配置汇聚层在本模拟项目中承担了无线业务网段的DHCP服务器，减轻核心的转发压力，同时接受由接入传来的数据再转发到核心。因此汇聚层交换机配合核心层交换机进行MSTP转发。作为每栋楼层的汇聚点，与之关联的用户量较多，因此汇聚上也要配置好相应的用户管理，保证管理网络可达。MSTP配置示例：stpregion-configurationregion-namehuiju-coreinstance1vlan110210310410510instance2vlan111012101310141015102000activeregion-configuration//MSTP实现有线无线流量分流转发无线业务DHCP配置示例：ippoolvlan1210gateway-list54networkmaskdns-list14//为分担核心设备处理流量转发，无线的业务地址分配的DHCP做在了汇聚交换机上。接口配置示例：interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan21012103000stpinstance2cost20000//修改实例2的转发开销，设定流量转发路径interfaceGigabitEthernet0/0/2portlink-typetrunkporttrunkallow-passvlan21012103000stpinstance1cost20000//修改实例1的转发开销，设定流量转发路径interfaceGigabitEthernet0/0/3portlink-typeaccessportdefaultvlan210//配置汇聚层的交换机，通过对接口的开销值进行修改达到阻塞相应端口的目的4.2.3接入层配置接入层的数量较多，在实际项目中可以配置时相对比较简单的，主要的配置是根据网络规划划分好相应的vlan，还有管理用户和地址，方便远程登录排查错误。用户管理配置示例：aaalocal-useradminpasswordsimpleAdmin@1234local-useradminprivilegelevel15local-useradminservice-typetelnetsshuser-interfacevty04authentication-modeaaa//用户管理配置与其他交换机相同接口管理配置示例：intvlanif1000ipaddress124//进入管理vlan，配置设备的管理地址，实现远程管理设备4.3.4无线AC配置无线配置示例：capwapsourceinterfacevlanif3000//将VLAN3000设置为CAPWAP隧道的源VLANwlanacprotectenableprotect-ac0priority5security-profilenameshixunlousecuritywpa2pskpass-phrase12345678aes//创建安全加密文件ssid-profilenameshixunloussidshixunlou//创建ssid文件，配置无线信号名称vap-profilenameshixunlouForwarding-modetunnelservice-vlanvlan-id1210ssid-profileshixunlousecurity-profileshixunlou//创建vap文件，绑定ssid，安全文件还有转发方式和服务vlanregulatory-domain-profiledomain1//创建域管理模板ap-groupnameshixunlou//进入ap组regulatory-domain-profiledomain1//绑定域管理模板radio0vap-profiletongyongwlan1//在射频0中绑定公共通用模板radio1vap-profileshixunlouwlan1//在射频1中绑定区域服务模板ap-id1ap-nameshixunlou-1//修改AP名称ap-groupshixunlou//根据ap的位置给AP加到区域组无线配置里边，每一个区域有一个AP组，组内的AP是相同的VAP模板绑定在射频1上，所有的组有一个公共的模板绑定在射频0上，由此来实现每个区域通过射频1有自己的无线信号，所有区域都有一个通过射频0实现全校漫游。4.4安全功能实现4.4.1防火墙规划做为校园网络的进出口设备，出口防火墙扮演着至关重要的角色。在这个关键节点上，需要部署性能强大的设备。同时在防火墙上尽可能的把内外网流量的限制做的详细。减少通过无关流量。同时向防火墙厂商购买相应的病毒库和防入侵威胁的相关证书，实时防范网络中存在的各类恶意攻击。通过将连接防火墙的不通接口加入不同的安全区域，并配置安全策略，对流量进行限制和防御外来攻击。在模拟实验中，采用的是WEB界面的配置方式。在本次课题设计中，出口防火墙主要实现了以下功能：配置安全策略，针对内网划分好的IP地址网段，对校园网的流量进行分区限制，为防止学生上网成瘾，熬夜上网，影响他人休息和日常学习。针对学生公寓的IP地址网段，通过配置安全策略对其上网时间进行限制，如下图4-2所示，只允许学生公寓区的有线接入和无线接入在周一至周五的8:00-23:00时间段上网，周六日则不做限制。图4-2学生公寓上网时间限制为减少校内网络资源信息泄露风险，在各个区域的无线信号中有两个信号，名称分别为区域名称如（shixunlou）还有全校通用（ZYYZ）。无线规划时不同信号为不同网段。通过在防火墙上配置安全策略使得全校通用信号仅可访问内网，无法同时访问内外网。配置NAT策略，为保护校内地址段，同时受全球IP地址不足的影响，在防火墙出口处采用EASY-IP的方式配置NAT策略，部分无需上网的网段可以通过匹配兴趣流使其不做NAT转换，从而拒绝其访问外网。如下图4-3所示。同时通过映射学校对外开放的服务器IP地址和端口，实现外网可以通过固定的公网IP加端口访问内网服务器。部分私用服务器不对外开放，如下图4-4所示。图4-3NAT策略配置示意图图4-4服务器映射示意图由于学校出口带宽有限，校内用户同时需求较大时，例如多用户使用P2P协议下载东西时，校园网络容易卡顿，不稳定。因此在防火墙上做P2P限流，将P2P下载流量速率限制到单个IP最大下载速度为2Mbps。具体配置如下图4-5所示：图4-5P2P限流策略配置4.4.2安全设备部署针对实际情况，在校园网络中防火墙到内网用户间还部署了WAF，IDS等安全设备，模拟器不支持，在此就不演示。在整个网络中针对这类安全设备会做一个路由策略的配置，通过ACL或IP前缀列表匹配相应流量。指定匹配的相应流量的下一跳是指向到安全设备的，从而实现对内外网流通的数据进行过滤和监控。在主要链路做路由策略是后边再加上一条匹配所有，避免部分可信流量无法转发或者安全设备转发出错时影响到整个网络的内外网通信。

第5章总体测试5.1无线测试以实训楼为例，拓扑结构如下图5-1所示，主要测试点在无线终端设备是否能够检测到AP发出的射频信号，能否通过AP获取指定的ip网段，并通过该网段访问外网。图5-1实训楼无线拓扑示意图无线终端获取业务地址并上网图5-2终端连接界面由图5-2所示，无线终端能检测到实训楼的单独信号，也可检测到ZYYZ的公共信号，连接shixunlou信号后，访问出口地址，正常，说明无线功能正常实现。无线终端测试结果如图5-3图5-3终端测试结果图5.2有线测试在校园网中，不同楼栋的用户可以实现互通，可以实现教师在不同楼栋教学时无需自带电脑，利用课室电脑远程回自己办公笔记本拿教学课件或者搭建内网FTP服务器共享教学课件。以实训楼PC机为例：自动获取地址图5-4PC机获取地址图与内网地址互通图5-5PC跨网段连通性测试图通过图5-5所示，不同楼栋网络之间实现互通，则两边的设备可以互相访问，有线网络互通功能实现。5.3MSTP效果在前面的需求提到，有线跟无线的流量分开转发，同时当某台设备出现问题后，另外一台设备能够承当起所有的流量转发任务，因此做了MSTP配置来实现，将有线流量的相关VLAN绑定在inst