校园网设计与实现

校园网设计与实现摘要：计算机网络和多媒体等互联网技术的迅猛发展，信息的传递速度更快，信息的处理能力更强，表现方式也比之前更加丰富，可想而知，信息无时无刻不在影响着人们的生产生活。在新时代里，人们都想通过掌握足够丰富的计算机知识以便及时快速高效的搜集和利用网上信息资源，因此，校园网的水平成为评价学校好坏的标准之一，学生选择学校的时候也会更多的考虑该校校园网的性能。信息化教教学环节进程中如果高校能够合理使用校园网，充分发挥校园网的优点，那么传统的教学模式、教学方法和教学手段都会转变成合适当下教育教学的新媒体模式。诚然，新的教育观念、教育思想会拓展教师和学生的视野，在信息技术的影响下，学生能够更快的获取信息、提高处理信息的能力，并在这个过程中不断完善自己，因此如何通过设计规划校园网，提高校园网的性能以满足日益增长的网络需求迫在眉睫。本文以XXX学院校园网建设为研究背景，对该大学的实际情况进行了详细分析，按需设计、按未来发展进行规划，从实际出发，采用三层网络架构，总体结构上提高校园网的整体性能，在原有组网的基础上从网络技术的选择、网络结构的设计、网络设备的选举、网络安全的构思和管理方式等方面做详细设计，提出规划目标，制定可行性解决方案，并利用eNSP模拟器模拟真实网络环境对设计方案进行验证。关键词：校园网；网络架构；解决方案

CampusnetworkdesignandimplementationAbstract:TherapiddevelopmentofcomputernetworkandmultimediaandotherInternettechnologies,theinformationtransmissionspeedisfaster,theinformationprocessingabilityisstronger,theexpressionismorerichthanbefore,itcanbeimaginedthattheinformationisaffectingpeople'sproductionandlifeallthetime.Inthenewera,peoplewanttomasterenoughcomputerknowledgetotimely,quicklyanduseonlineinformationresources.Therefore,thelevelofthecampusnetworkhasbecomeoneofthecriteriatoevaluatethequalityofschools,andstudentswillconsidertheperformanceofthecampusnetworkmorewhenchoosingtheschool.Intheprocessofinformationteachingandteachinglink,ifcollegesanduniversitiescanusethecampusnetworkreasonablyandgivefullplaytotheadvantagesofthecampusnetwork,thenthetraditionalteachingmode,teachingmethodsandteachingmethodswillbetransformedintoanewmediamodesuitableforthecurrenteducationandteaching.Admittedly,theneweducationconcept,educationideaswillexpandteachersandstudents'vision,undertheinfluenceofinformationtechnology,studentscanobtaininformationfaster,improvetheabilityofprocessinformation,andconstantlyimprovethemselvesintheprocess,sohowtodesignplanningcampusnetwork,improvetheperformanceofthecampusnetworktomeetthegrowingnetworkdemandisimminent.Thispaperontheconstructionoftheresearchbackground,analyzestheactualsituationoftheuniversity,accordingtodemanddesign,accordingtothefuturedevelopment,usingthreelayersofnetworkarchitecture,theoverallstructuretoimprovetheoverallperformanceofthecampusnetwork,onthebasisoftheoriginalnetworkfromnetworktechnologyselection,networkstructuredesign,networkequipmentelection,networksecurityandmanagement,planninggoals,feasiblesolutions,andusingeNSPsimulatortosimulatetherealnetworkenvironmenttoverifythedesignscheme.Keywords:campusnetwork;networkarchitecture;solution;

目录TOC\o"1-3"\h\u189591绪论 绪论1.1课题的研究背景二十世纪末，互联网技术得到了迅猛的发展，经济信息化大潮兴起，西方发达国家的教育资源从早期的书面教学形式逐渐转变成多媒体教学形式。随着我国改革开放和科学技术的发展，国内各地各学校之间、学校与科研机构之间的交流不断增多，加上学校学生人数逐渐增多，信息交流受到阻碍，因此我国也把信息化校园建设作为重点任务，确定了互联网在教育领域的重要地位。此后互联网技术在我国得到了广泛应用，我国校园网的建设进入一个新的发展阶段。从1994年互联网进入中国，到2000年互联网成功连接1000所大学，再到2005年有相关数据显示98.4%高校的教学、科研已经全部接入校园网，90.5%高校教室可正常接入网络，校园网的建设得到举世瞩目的成绩。如今，经历了十几年的发展，校园网的建设更是达到了一个新的高度，在DHCP、OSPF、NAT动态转换、VRRP、MSTP、VLAN划分技术等协议的加持下，各高校校园网的性能不断提升，资源越加丰富。但是，有关数据表明，即使校园网一直在更新换代，但目前大多数高校的校园网仍然有不足之处，随着校园网规模不断扩大，用户不断增多，用户对校园网网络的性能要求只会随着时代的变化越来越高，所以在建设校园网时要考虑多方要求，要做到与时俱进，符合学校的长远发展规划要求，其中拓扑结构设计、物理硬件选择、网络协议引用等都要深思熟虑，立足当下再考虑学校的发展潜力，规划好校园网络的架构。新时代下我国的校园网建设水平不断提高，越来越多的物联网应用将涌入校园，助力实现校园的智慧全联接，但是金无足迹，再完美的设计也会存在一定的问题，因此在建设新的校园网的时候既要做好对当下的校园网的查漏补缺又要有所留白方便它的未来发展。1.2校园网规划与设计的意义传统的结构复杂功能简单的校园网因设备的老化、特殊时间段诸如晚上19:00-23:00网络质量差、网络覆盖不全面以及安全性指数不高等问题早就不足以满足当下师生高质量教育教学条件的需求，因而合理规划与设计一个高性能的校园网解决方案具有重要现实意义，它不仅能够减少大量人力物力以及巨大经费的投入，并且能够与时俱进，跟上时代发展的脚步，能够更高效的改善办学条件，提高教学、科研和管理水平，提升师生使用校园网的体验感。2校园网设计原则校园网是学校与外界交流的窗口，是学生与教师获取外界教学资源的重要途径，一个好的校园网必定做到以最少的代价获取最大的效益，集可靠性、实用性、安全性、可拓展性高性能于一身。本文根据XXX学院内部局域网的实际情况，综合需求提出以下设计原则：2.1实用性如今各高校的师生人数日益增多，校园内有大量的终端用户需要接入网络。因而选择设备时不可一味追求价值最高性能最好的型号，要从实际出发，考虑校园用户规模，量需而用，充分利用和保护现有的资源，发挥各网络设备的最大价值，建设一个满足广大师生需求的实用性高的校园网。2.2可靠性传统的校园网因结构复杂功能单一留下许多问题，用户访问网络资源时有连接中断或页面丢失的现象发生，给用户极差的体验感，给网络管理员的维护工作带来一定挑战性。在建设校园网时应该采用可靠性较高的星型结构，选用容错能力较高的传输介质，网络中适当设置冗余备份，提高局域网可靠性。2.3安全性学校是以教育教学为中心的场所，校园网虽然一直推陈出新，但是存在大量的安全漏洞，不法人员利用漏洞入侵校园网，植入病毒，损坏师生所使用的的办公软件盗取重要信息，特别的会导致网络中断，使得老师不能正常办公，学生不能正常上网因此高性能的校园网必须具备良好的安全防范措施和保护技术，防范各种形式对网络的非法入侵和内部攻击，保证在校师生使用网络查找信息利用资源的安全性。2.4可拓展性校园师生人数与日俱增，校园网规模也越来越大，在建设校园网时应选择采购扩展性能力较强的设备，为后期发展对该网络进行必要扩充时能够有效保护现在所拥有的资源奠定基础。保证今后技术、设备等更新时该网络能够成功的过渡到新的技术和网络设备上，如此就会大大降低工作成本、难度也不会太大，校园网新用户能够无障碍的接入并使用网络。2.5经济性校园网的规划设计应从生活实际出发，要充分考虑资金周转问题，毕竟校园网的规模愈来愈大，用户数量愈来愈多，用户对网络性能要求也愈来愈高，但是建设一个校园网的资金不允许任何一个网络规划设计师铺张浪费，所以在设备的选取和方案的设计过程中，都要综合考虑，设计出能够满足多方要求的方案,实现以最少的付出获取最大的利益。建设校园网时应该选取性价比高的网络技术和网络设备，减少不必要开销。2.6先进性随着高新技术的推陈出新以及当下校园网的高性能要求，在对校园网进行设计规划时要注意结构、设备、工具的先进成熟性，要保证整个网络的生命周期足够长，能够满足当下需求的同时还要保证在未来一定时间内用户需求增长的需要；简而言之，校园网的建设不仅能反映时下技术的先进水平，又要具有一定的发展潜力，保证领先地位。3校园网络需求分析3.1用户需求分析经了解，用户对该高校内部局域网的网络设计提出如下要求：1．网络拓扑中的服务器应该包括：DNS服务器、DHCP服务器及其他服务器集群。2.与外部网络连接的地址池为：-，-。3.IP地址规划和VLAN划分一一对应合理规划，便于管理员管理，考虑到将来学校规模变大，主机增多等原因设计的时候要预留足够的地址。4.在两台防火墙上部署相应策略路由，实现分流效果，让不同流量从不同的端口流出。5.在网络骨干区域的交换机之间部署多生成树协议、VRRP冗余技术，实现流量负载均衡和数据冗余备份。6.在服务器集群中部署DHCP服务，保证随时为接入用户分配IP地址，避免手动配置出现错误。7.在局域网内汇聚层部署AC，各部门接入AP，实现校园网无线覆盖，老师和学生使用不同信道访问网络。8.财务管理部门部署标准访问控制列表，限制用户行为，只允许行政楼中校长、副校长以及管理员访问。9.接入交换机划分vlan，减少广播域，控制广播风暴，从而提高网络稳定性。10.部署双机热备份，解决防火墙会话备份和负载分担问题，避免单点故障风险，加强网络的安全性。3.2网络管理需求分析网络管理是校园网建设中不能缺少的部分，网络规模不断扩大后网络管理员的工作内容越来越复杂，难度也越来越大，为了减轻管理员的工作压力也为了更好的管理校园网，可以让网络管理人员使用网络设备和相关的设备管理软件提供的服务管理网络远程控制管理。例如使用DHCP技术，让DHCP服务器为接入网络的所有终端用户动态分配IP地址；引进AC控制器，将无线局域网接入控制设备，把来自不同AP的数据进行汇聚并接入网络中，实现网络管理员通过一个管理软件对终端用户的统筹管理，满足校园网网络管理简单便捷的需求。3.3网络安全需求分析校园网安全威胁表现方式多种多样，但万变不离其宗，归根结底由两个出处，其一源于内网，其二便来自外网。据相关统计，攻击校园网安全的不良行为80%来自网络内部，主要是病毒入侵与黑客攻击，学生下载软件的时候病毒乘机而入，植根于软件中，当连接网络时会时不时的弹出广告，导致页面跳转，影响电脑的正常使用，因此防范来自内部攻击成为了校园网网络安全防护体系不可轻视的一部分。随着校园网规模不断地扩大，安全事件发生的频率越来越大。当然，外部的非法访问也不可以忽视，所以校园网安全的设计时要采用上网审计、划分VLAN隔离广播风暴、防火墙分割内外网等必要手段禁止特定病毒大传播以及由于病毒造成的网络不正常现象发生，保证校园网网络安全。3.4网络高性能需求分析校园网的主要目的是为了方便师生教学、办公、科研、网上资源查询利用等，网络高性能的需求得到满足将对教师的教学质量、学生的学习热情和学习效率有很大帮助。学校规模越来越大，师生人数越来越多，庞大的用户要求我们在建设校园网时要使得校园网网络带宽足够大，WEB网站等要有很快的响应速度，不至于多人访问时出现网络瘫痪现象。4校园网的逻辑网络设计4.1网络拓扑设计本设计方案中的网络拓扑结构设计如下图所示：图4-1校园网络架构图拓扑图中各设备命名说明如下表所示：表4-1设备命名规则命名说明HX-A拓扑图中左边的核心交换机HX-B拓扑图中右边的核心交换机HJ-A拓扑图中左边的汇聚层交换机HJ-B拓扑图中右边的汇聚层交换机JR-A行政楼、实验楼接入交换机JR-B教学楼、图书馆接入交换机JR-C餐厅、宿舍楼接入交换机JR-D管理员接入交换机FW1左防火墙FW2右防火墙ISP1移动网出口ISP2电信网出口可知该校有行政楼、实验楼、餐厅、办公楼和图书馆各1栋，宿舍楼9栋。且该学校将复杂的网络设计分成三个层次，分别为接入层、汇聚层和核心层，接入层功能简单，主要负责用户的连接和访问，普遍采用即插即用、端口密度大的交换机；汇聚层在接入核心层前先进行数据汇聚，提供路由策略，由此减轻核心交换机设备负荷；而核心层是网络的枢纽中心，主要目的是实现骨干网络间优化传输，保证整个网络性能。校园网用户网关放置汇聚层，在核心层部署OSPF链路状态路由协议。核心层两台交换机出口出分别部署一台防火墙实现双机热备分功能，服务器直连防火墙，校园网内用户都能够访问DNS，FTP、HTTP等服务器，但外网只能访问HTTP服务器。骨干区域使用MSTP+VRRP协议，实现负载均衡和冗余备份功能，保证数据不丢失，提高网络可靠性。4.2IP地址和VLAN划分方案在局域网的建设中，IP地址和vlan的规划需要与网络拓扑结构相结合，规划IP时要考虑地址空间的利用率和灵活性问题。因此，根据XXX学院的实际信息点的分布情况将ip地址和vlan进行如下划分。4.2.1信息点分布说明表4-2信息点分布楼宇信息点数办公楼170实验楼2020图书馆500教学楼300宿舍楼8750餐厅354.2.2IP地址和VLAN划分 表4-3IP地址规划及Vlan划分子网区域子网掩码子网网段VLAN行政楼Vlan10实验楼-Vlan11-Vlan39图书馆-Vlan40-Vlan43教学楼-VLAN44-Vlan45餐厅Vlan46服务器172.16.101．0Vlan101管理员Vlan100宿舍楼1-Vlan47-Vlan52宿舍楼2-Vlan53-Vlan58宿舍楼3-Vlan59-Vlan64宿舍楼4192.168.60.-Vlan60-Vlan66宿舍楼5-Vlan67-Vlan72宿舍楼6-Vlan73-Vlan78宿舍楼7-Vlan79-Vlan84宿舍楼8-Vlan85-Vlan90宿舍楼9-Vlan91-Vlan96无线管理地址Vlan100无线业务地址2Vlan200子网区域子网掩码子网网段VLAN4.3网络冗余设计网络结构冗余设计的主要目的就是为了在线路出现故障时数据能够快速转换路径，保证数据不丢失。在核心交换机部署VRRP协议，当网络中某台设备、某个端口故障无法转发数据时，处于备份状态的设备能够接替主设备的工作，保障用户无间断上网的需求。在本方案中使用冗余设计的主要目的是为了避免单点故障。当某个接口某个设备出现问题时可以绕过故障点,从其他设备进行数据转发，提供安全的方法防止服务丢失。4.4网络安全设计网络技术惠及全球，但各种各样的安全问题也在人们享受网络带来的便利的过程中相继出现，校园网安全事件也时有发生，造成论文极大恶劣影响和经济损失，因此在建设校园网的过程中无论是接入层、汇聚层、核心层还是服务器等模块的设计都应该着重考虑安全可靠性设计。为保证财务部门的安全，在接入层JR-D设备上部署ACL对财务部的访问权限进行设置，仅允许行政楼和管理员访问。网络骨干部署MSTP+VRRP协议以及bfd协议，实现网络冗余和链路冗余，确保某个端口down掉后，数据能够快速切换从另一个端口转发出去。核心层之上部署两台防火墙，在防火墙上部署安全策略以及NAT地址转换技术，实现内网子网用户能够正常访问WEB、FTP和HTTP等服务，并且内网用户能够正常访问外网，而外部用户只能访问安全规则允许的对外开放的服务器以及其他隐藏的服务，提高网络安全。5校园网建设关键技术5.1VLAN技术随着校园网络规模逐渐扩大，网络中计算机数量越来越多,若是没有一定规则的限制，就会导致某些计算机接收到本不该接收到的信息，而某些计算机却收不到本该接收到的信息，如此一来不仅存在安全隐患，还会导致资源的浪费，进而使得整个网络出现问题。在建设网络时使用VLAN技术能够将有相同需求的数据划分到同一个VLAN中，控制网络中的广播风暴，用这种方式达到保护校园网的目的。5.2Trunk技术所谓trunk技术就是在线路需要承载多个不同vlan时能够通过trunk连接不同交换机，使得不同交换机中相同的vlan能够通过Trunk技术创造的共享链路进行数据传输需求。在接入层交换机和汇聚层交换机之间配置Trunk，数据包传递过程中在源Mac和type字段中间加上tag标签，用来区分不同vlan的数据包，并把这个信息传递到另一台交换机上，实现不同交换机上相同id的vlan相互通信，保证数据正常流通。配置Trunk技术之后一条物理线路上可以传送多个vlan，使得VLAN能够发挥最大作用。trunk允许承载的vlan范围缺省下为1-1005，在配置的时候可以根据需要进行合理修改。5.3链路聚合链路聚合顾名思义就是将交换机的多个端口捆绑成一个Eth-Trunk接口，保证业务不被中断，实现链路负载均衡，避免二层环路。在HX-A和HX-B设备之间部署链路聚合，提高HX-A和HX-B链路之间带宽，提升整个网络的数据吞吐量，有效解决拥塞问题。当交换机HX-AG0/0/23和g/0/24其中某一条链路出现故障时，可以快速地将流量转移到另一条链路，防止数据丢包。5.4NAT地址转换技术网络地址转换技术通常部署在网络出口位置，主要作用是进行私有IP地址和公有IP地址之间的转换。例如本方案中引用网络地址转换技术，由宿舍楼某客户端53和电信网出口互联网服务器通信，192.168.60.253发送数据时，先转换为防火墙:1723端口地址，然后再利用防火墙身份将数据发送给互联网服务器，互联网服务器收到请求后将回应数据发送给:1723，此时NAT网关检查自己的关联表，发现该数据这是自己私网中主机53的数据包，然后就把这个数据发送给客户端，由此实现位于网络内部的计算机与外部网络进行通讯目的。NAT的实现方式是多样性的，部署时应根据场景需要进行选择。5.5ACL访问控制列表访问控制列表可根据设定的规则对接口上的数据包进行帅选过滤，控制数据包的出入。ACL包括permit/deny两种动作，分别表示允许和拒绝，在网络中相应设备接口处适当部署acl，决定所经过的流量是被转发还是被阻塞。在局域网网络中应用ACL限制除行政楼和管理员其他设备访问财务部，限制用户行为，加强校园网内部网络安全。5.6MSTP多生成树协议多生成树协议将多个VLAN映射到同一个实例中，实例间相互独立，可以提供数据转发的冗余路径。在校园网中配置MSTP，生成两颗树，HX-A作为实例1的根，HX-B为实例2的根，将网络中的Vlan1015203040划分到实例１中，而vlan50607080被划分到实例２中，实现负载均衡的同时解决环路问题。5.7VRRP冗余技术VRRP是一种容错机制，可以实现网关的备份，当主机的下一跳路由器down掉时，流量可以快速切换到另一台路由器上，保证正常通信。在网络中的两台核心交换机启用VRRP功能，让HX-A和HX-B互为主备设备，当主备发生故障之后，起监听状态作用的备份设备立即肩负主备设备的工作，此时主备Master自动转换为Backup，流量则从备设备转发，保证业务正常工作。5.8OSPF动态路由协议OSPF动态路由协议主要作用是计算路由表，得出最短路径，在路由域内使用的比较多。在较大规模的网络中，OSPF通常将网络划分成多个区域，每台路由器都用一个router-id来标识自己，且都会启用lookback接口并配置IP地址以此提高网络的可靠性和稳定性。本方案设计在校园网的核心交换、防火墙和出口路由都部署OSPF协议，降低了域内每个路由器的压力，通过区域划分使路由可达，路由器和火墙上的链路能够通信。5.9DHCPDHCP即协议动态主机配置协议。客户端以广播方式向服务器发起申请，服务器动态分配IP地址信息。DHCP技术的产生为网络管理员带来了极大的便利，有了DHCP技术，网络管理员避免了因手动设置IP地址所产生的错误和重复。本方案中部署DHCP服务器，使校园网内有新的终端接入时能够通过DHCP的方式自动获取IP地址。DHCP配置操作简单，对于管理员来说的工作难度不大且作用极大。5.10防火墙技术过去的组网架构中，我们经常将一台防火墙部署在网络出口处，多年的经验告诉我们，校园网的建设中如果只部署一台防火墙会存在极大的安全隐患，因为一旦防火墙出现故障，内网和外网之间就不能正常通信，也就是说通讯可靠性无法保证。为了防止中断现象发生，在新一代校园网中可以部署两台防火墙形成双机热备份。在防火墙双击热备架构中，当其中一台防火墙出现故障时，业务流量能够切换到另外一台防火墙上，保证流量不中断。在本方案中使用防火墙双机热备份技术是为了解决当主设备出现问题时，备份能够快速切换至主问题，保证主备之间的配置命令和会话状态信息同步。最终目的是为了解决单点故障，保证内部网络与外部网络之间的通讯通畅。6实现与结果验证本方案结果验证仅以网络拓扑结构中部分设备的配置为例进行说明，其余配置相似，不一一列举。6.1VLAN划分以行政楼为例：[JR-xzl]vlanbatch10//创建vlan10[JR-xzl-GigabitEthernet0/0/1]porttrunkallow-passvlanall//放行Vlan结果如图所示:图6-1将端口划分到vlan下如图6-1所示，将行政楼划分到vlan10中，避免广播风暴的发生，提高网络稳定性。6.2MSTP配置接入层以行政楼为例[JR-xzl]stpmodemstp//配置stp的模式为mstp[JR-xzl]stpregion-configuration[JR-xzl-mst-region]region-namehuawei[JR-xzl-mst-region]instance1vlan1015203040//生成树实例1映射vlan1015203040[JR-xzl-mst-region]instance2vlan50607080//生成树实例2映射vlan50607080[JR-xzl-mst-region]activeregion-configuration//激活配置核心层以HX-A设备为例[HX-A]stpmodemstp//配置stp的模式为mstp[HX-A]stpregion-configuration[HX-A-mst-region]region-namehuawei[HX-A-mst-region]instance1vlan1015203040//生成树实例1映射vlan1015203040[HX-A-mst-region]instance2vlan50607080//生成树实例2映射vlan50607080[HX-A-mst-region]activeregion-configuration[HX-A]stpinstance1rootprimary//实例1以HX-A为主根[HX-A]stpinstance2rootsecondary//实例2以HX-B为备根图6-2MSTP实例根端口查看如图6-2所示，将vlan绑定到实例中，实现负载分担。6.3VRRP配置以HX-A交换机配置为例[HX-A]intvlan10[HX-A-vlanif10]ipaddr24//配置vlan10的iP地址[HX-A-vlanif10]vrrpvrid10virtual-ip//虚拟网关[HX-A-Vlanif10]vrrpvrid10priority120//设置优先级结果如下图所示：图6-3VRRP主备网关分布由图6-3可见，行政楼用户的网关主备在HX-A上，当行政楼用户访问其他设备时先走HX-A，如若Master路由器出现故障，Backup路由器将根据优先级重新选择新的Master，也就说能够达到当网关发生故障时能让PC快速切换路径的效果。6.4DHCP帧中继配置与实现[Huawei]dhcpenable//使能DHCP服务[Huawei]ippool10//地址池命名为10[Huawei-ip-pool-10]gateway//设置网关[Huawei-ip-pool-10]networkmask//设置地址池范围[Huawei-ip-pool-10]excluded-ip-address//地址池中不包含的地址[Huawei-ip-pool-10]dns-list50//设置DNS服务器[Huawei-Vlanif10]dhcpselectglobal//采用全局地址池的方位分配IP地址图6-4DHCP地址池如图6-4所示，配置完DHCP之后，当有用户接入时DHCP服务器便会自定分配IP地址。6.5链路聚合[Huawei]intEth-Trunk10//进入Eth-Trunk10视图[Huawei-Eth-Trunk1]trunkportg0/0/23[Huawei-Eth-Trunk1]trunkportg0/0/24//聚合端口G0/0/23和G0/0/24[Huawei-Eth-Trunk1]portling-typetrunk[Huawei-Eth-Trunk1]porttrunkallow-passvlanall//放行Vlan图6-5链路聚合结果如图6-5所示，通过将核心交换机HX-A、HX-B端口G0/0/23和G0/0/24成功聚合到Eth-Trunk10中，达到提升整个网络的数据吞吐量，解决拥塞问题效果。6.6无线网络配置与实现[AC6605]wlan//进入无线配置视图[AC6605-wlan-view]regulatory-domain-profilenamedefault//创建域的管理模板[AC6605-wlan-view]security-profilenamedefault-wds//创建安全策略名称[AC6605-wlan-vap-prof-student-vap]security-profileoffice-security//绑定安全策略[AC6605-wlan-vap-prof-student-vap]ssid-profilestudent-ssid//绑定SSID模板[AC6605-wlan-vap-prof-student-vap]service-vlanvlan-id15//绑定业务VLAN[AC6605-wlan-view]ap-groupnameap-group1//创建AP组名称[AC6605-wlan-ap-group-student-ap-group]vap-profilestudent-vapwlan1radio 0 //绑定vap模板[AC6605-wlan-ap-group-student-ap-group]vap-profilestudent-vapwlan1radio 1 //绑定vap模板[AC6605-wlan-view]ap-id1type-id45ap-mac00e0-fc2a-7b40//添加AP，APmac[AC6605-wlan-ap-0]ap-groupoffice-ap-group1//添加到AP组 图6-6AC上查看AP上线情况图6-7AP覆盖区域图6-8用户端可见的wifi图6-9无线用户上网结果如图7、8、9、10，配置WLAN后，启动AP上线功能，教师和学生分别通过不同信道连接网络，输入正确密码后就能够上网.6.7ACL配置与实现[HX-A]aclnumber2000//创建ACL[HX-A-acl-basic-2000]rulepermitsource//允许源IP地址主机的报文通过，[HX-A-acl-basic-2000]ruledenysource55//拒绝/24其余报文通过[HX-A-acl-basic-2000]descriptionpermitonly9through[HX-A]intg0/0/22//在HX-A接口上应用ACL[HX-A-GigabitEthernet0/0/22]traffic-filteroutboundacl2000图6-10定义ACL规则图6-11行政楼可访问财务部图6-12非行政楼人员、管理员无法访问财务部如图6-10、11、12所示，本文中以财务管理部门的访问权限为例，限制除行政楼和管理员外其他网段不允许访问，限制网络用户行为，以此保证财务部门的安全。6.8OSPF配置与实现[Huawei]ospf1router-id[Huawei-ospf-1]area0[Huawei-ospf-1-area-]network 55[Huawei-ospf-1-area-]network 55[Huawei-ospf-1-area-]network 55[Huawei-ospf-1-area-]network 55OSPF配置效果如下图所示：图6-13OSPF邻居图6.9防火墙模块配置与实现6.9.1安全区域划分[USG6000V1]firewallzonetrust//将端口加入到防火墙trust区域中[USG6000V1-zone-trust]setpriority85[USG6000V1-zone-trust]addinterfaceGigabitEthernet0/0/0[USG6000V1-zone-trust]addinterfaceGigabitEthernet1/0/0[USG6000V1-zone-trust]addinterfaceGigabitEthernet1/0/1[USG6000V1]firewallzoneuntrust//将端口加入到防火墙Untrust区域中[USG6000V1-zone-untrust]setpriority5[USG6000V1-zone-untrust]addinterfaceGigabitEthernet1/0/2[USG6000V1-zone-untrust]addinterfaceGigabitEthernet1/0/3[USG6000V1]firewallzonedmz//将端口加入到防火墙dmz区域中[USG6000V1-zone-dmz]setpriority50[USG6000V1-zone-dmz]addinterfaceGigabitEthernet1/0/4图6-14区域划分安全区域的划分可以实现策略的统一管理。如图15所示，g0/0/0、g1/0/0、g1/0/1均为内部用户所在的网络区域，因而被划分到trust区域，g1/0/2和g1/0/3所在地为Internet等不安全的网络区域，因而被划分到Untrust区域，而DHCP等服务器集群被划分到dmz区域。6.9.2安全策略配置[USG6000V1]security-policy[USG6000V1-policy-security]rulenameht