網(wǎng)絡(luò)工程-廣東技術(shù)師范學(xué)院天河學(xué)院教學(xué)區(qū)網(wǎng)絡(luò)規(guī)劃與設(shè)計

廣東技術(shù)師范學(xué)院天河學(xué)院教學(xué)區(qū)網(wǎng)絡(luò)規(guī)劃與設(shè)計摘要：不同于個人家庭這種幾個終端的個體，一個大型企業(yè)的通信不單單依靠我們的家用路由器，而是需要使用交換機等設(shè)備通過調(diào)試和配置協(xié)議之后才能與互聯(lián)網(wǎng)共享數(shù)據(jù)。網(wǎng)絡(luò)是一所企業(yè)或一所高校不可缺少的一個部分，擁有了網(wǎng)絡(luò)才可以開展業(yè)務(wù)和與他人共享數(shù)據(jù)，為了建設(shè)互聯(lián)網(wǎng)校園，建設(shè)搭建該校的無線網(wǎng)絡(luò)，本項目從原有的拓撲結(jié)構(gòu)上新加入一批建設(shè)無線網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備，現(xiàn)在舉一些搭建該高校網(wǎng)絡(luò)所用到的技術(shù)，該高校的ap做了十分詳細的分類，每一棟樓都單獨劃分一個ap組，并且要使用本校的無線網(wǎng)絡(luò)，必須要有自己的賬號密碼，經(jīng)過學(xué)校服務(wù)器上的認證平臺通過后，才能夠正常上網(wǎng)。此外，該校還使用到了802.1x認證網(wǎng)絡(luò)設(shè)備，防止非法網(wǎng)絡(luò)設(shè)備的接入。其他技術(shù)將會在答辯時列出來講解。我想把這個項目從零開始的規(guī)劃重新復(fù)現(xiàn)一遍，旨在演示。這個項目提高了該高校內(nèi)網(wǎng)網(wǎng)絡(luò)的可用性，健壯性和冗余性。 這個項目的演示我將會用到華為的設(shè)備模擬器ensp進行復(fù)現(xiàn)拓撲和從最初的設(shè)計到最后連通互聯(lián)網(wǎng)的過程 我將對這個項目調(diào)試的設(shè)備的大部分配置進行詳細的講解，分別闡述它們在網(wǎng)絡(luò)通信中的作用：它是什么，為什么要這樣配置，這樣配置有什么好處進行分析。預(yù)期出現(xiàn)的結(jié)果是網(wǎng)絡(luò)結(jié)構(gòu)穩(wěn)定，不易出現(xiàn)故障，并且最重要的是能訪問互聯(lián)網(wǎng)。 設(shè)計這一種實驗，能夠幫助我們?nèi)蘸笤谄髽I(yè)中有規(guī)律性的規(guī)劃網(wǎng)絡(luò)，使我們接手的網(wǎng)絡(luò)項目簡單可靠，辨識度高，方便我們的甲方運維人員對設(shè)置好的網(wǎng)絡(luò)進行管理和運維。關(guān)鍵詞：OSPF，內(nèi)網(wǎng)設(shè)計，私有網(wǎng)絡(luò)搭建

ThenetworkplanninganddesigningoftheCollegeAbstract:Unlikeindividualhouseholds,whichhaveseveralterminals,alargeenterprisedoesnotsimplyrelyonourhomerouterforcommunication.Instead,itUSESdevicessuchasswitchestodebugandconfigureprotocolsbeforesharingdatawiththeInternet.Networkisanenterpriseorauniversityindispensablepart,havethenetworktoconductbusinessandsharedatawithothers,inordertobuildthecampusInternet,buildingstructures,theschool'swirelessnetwork,thisprojectfromtheoriginalonthetopologicalstructureofthenewjoinagroupofconstructionofthewirelessnetworknetworkequipment,nowgivesomebuildingnetworktechnologyusedintheuniversities,theuniversitieshavemadeverydetailedclassificationofap,eachbuildingseparatelydividedaapgroup,andtousetheschool'swirelessnetwork,mustwanttohaveyouraccountpassword,afterschoolserverauthenticationplatformthroughtonormalaccesstotheInternet.Inaddition,theschoolUSES802.1xcertifiednetworkequipmenttopreventaccesstoillegalnetworkequipment.,othertechniqueswillbelistedinthepresentation.Iwouldliketoreproducetheplanofthisprojectfromscratchfordemonstrationpurposes.Thisprojectimprovestheavailability,robustness,andredundancyoftheuniversity'sIntranetnetwork.Forthedemonstrationofthisproject,Iwilluseensp,ahuaweidevicesimulator,toreproducethetopologyandconnecttotheInternetfromtheinitialdesignIwillexplainindetailmostoftheconfigurationofthedevicebeingdebuggedinthisproject,explainingtheirroleinnetworkcommunication:whatitis,whyitisconfiguredthisway,andwhatthebenefitsofthisconfigurationare.Theexpectedresultisthatthenetworkisstructurallystable,lesspronetofailuresand,mostimportantly,accesstotheInternet.Thedesignofthiskindofexperimentcanhelpustoregularlyplanthenetworkintheenterpriseinthefuture,sothatthenetworkprojectwetakeoverissimpleandreliable,withhighidentification,anditisconvenientforourpartya'soperationandmaintenancepersonneltomanageandmaintaintheestablishednetwork.Keywords：OSPF，buildingprivatenetwork，networkdesigning

目錄廣東技術(shù)師范學(xué)院天河學(xué)院教學(xué)區(qū)網(wǎng)絡(luò)規(guī)劃與設(shè)計 ThenetworkplanninganddesigningoftheCollege 第一章設(shè)計意義 第一章設(shè)計意義1.1設(shè)計背景1.1.1設(shè)計背景學(xué)校內(nèi)網(wǎng)的建設(shè)的目的在于給予學(xué)生在校園中提供信息的共享和傳遞，在于教師能更效率，更方便的教學(xué)，學(xué)生能夠更主動更積極的學(xué)習知識。特別是最近幾年來云計算的發(fā)展，許多業(yè)務(wù)數(shù)據(jù)實現(xiàn)了從物理終端遷移到了云平臺上，更需要新型可靠的網(wǎng)絡(luò)設(shè)備作為底層保證業(yè)務(wù)的暢通網(wǎng)絡(luò)帶給我們的便利是無法想象的。上世紀國家內(nèi)的載人航天，兩彈一星，發(fā)生這些具有歷史意義的事情，離不開計算機和網(wǎng)絡(luò)。因為互聯(lián)網(wǎng)的存在，人們可以足不出戶了解國內(nèi)外的新聞；人們共享信息可以實現(xiàn)毫秒之內(nèi)的傳遞，不再出現(xiàn)古代的千里送信的例子；人們可以通過網(wǎng)絡(luò)的技術(shù)，輕松實現(xiàn)對一個區(qū)域的管理?？偠灾?，網(wǎng)絡(luò)的建立最終的目的就是實現(xiàn)資源的共享。廣東技術(shù)師范學(xué)院天河學(xué)院是一所公辦?？聘咝?，因為近幾年招生規(guī)模的擴大，并且該高校的領(lǐng)導(dǎo)也有優(yōu)化學(xué)校網(wǎng)絡(luò)的想法。原有的網(wǎng)絡(luò)設(shè)備已經(jīng)遠遠不能承受內(nèi)網(wǎng)數(shù)據(jù)的巨大吞吐量，學(xué)校網(wǎng)絡(luò)管理中心頻繁接到學(xué)生投訴網(wǎng)絡(luò)質(zhì)量太差。近幾年來，隨著云計算的發(fā)展，越來越多的業(yè)務(wù)都集中到了服務(wù)器集群上，該高校也有一些考試系統(tǒng)，教務(wù)系統(tǒng)等部署在服務(wù)器上，如果網(wǎng)絡(luò)的通信質(zhì)量太差，將會對這些系統(tǒng)的服務(wù)質(zhì)量大打折扣。此外，隨著移動終端的快速發(fā)展，智能手機已經(jīng)是人們生活過程中必備的電子設(shè)備，因此，無線網(wǎng)絡(luò)的搭建也是網(wǎng)絡(luò)設(shè)計中不可缺少的一個部分。根據(jù)上面的原因，需要對該高校的網(wǎng)絡(luò)進行重新設(shè)計和規(guī)劃，本畢業(yè)設(shè)計只對該高校的教學(xué)區(qū)重新進行規(guī)劃和設(shè)計。1.1.2課題研究的意義網(wǎng)絡(luò)是一所企業(yè)或一所高校不可缺少的一個部分，擁有了網(wǎng)絡(luò)才可以開展業(yè)務(wù)和與他人共享數(shù)據(jù)，本次畢業(yè)設(shè)計所選擇的題目是一個十分經(jīng)典的一所高校的網(wǎng)絡(luò)規(guī)劃。這所高校因為要進行網(wǎng)絡(luò)改造，所以在原有的網(wǎng)絡(luò)設(shè)備的基礎(chǔ)上，新加入一批設(shè)備，旨在加大該高校區(qū)域內(nèi)數(shù)據(jù)的吞吐量和網(wǎng)絡(luò)的規(guī)模和讓用戶連上互聯(lián)網(wǎng)獲得信息和數(shù)據(jù)，并且能讓學(xué)校的網(wǎng)管中心更加方便管理和控制學(xué)生的上網(wǎng)時間，此外，校園網(wǎng)是建設(shè)未來信息化校園的傳輸平臺，一個穩(wěn)健可靠高可用性的網(wǎng)絡(luò)規(guī)劃設(shè)計是建設(shè)信息化校園的基礎(chǔ)。隨著信息時代的到來，越來越多的事情需要依靠互聯(lián)網(wǎng)，因此設(shè)計出一個高可用性的校園網(wǎng)絡(luò)成為一個十分迫切的目標。這個項目提高了該高校內(nèi)網(wǎng)網(wǎng)絡(luò)的可用性，健壯性，冗余性和安全性。也充分展現(xiàn)了近幾年網(wǎng)絡(luò)搭建網(wǎng)絡(luò)二層，三層技術(shù)的體現(xiàn)，體現(xiàn)了這兩年幾千上萬終端一般的網(wǎng)絡(luò)搭建的方式和利用新型網(wǎng)絡(luò)協(xié)議比用舊的網(wǎng)絡(luò)協(xié)議突出了哪些優(yōu)勢1.2文獻敘述1.2.1國內(nèi)外研究在2010年以前，構(gòu)建大型的私網(wǎng)網(wǎng)絡(luò)往往都是采用一種叫RIP的協(xié)議，它計算路由的方式是根據(jù)經(jīng)過路由器的數(shù)量，每經(jīng)過一臺路由器就加一跳，一旦到了16跳或以上，該目的地址就會被判定為不可達。RIP在OSI七層網(wǎng)絡(luò)模型中是屬于最頂層的應(yīng)用層協(xié)議，雖然它能夠作為一個路由協(xié)議轉(zhuǎn)發(fā)報文，但是卻存在很多問題，十分的不可靠，比如：協(xié)議收斂速度非常慢，30秒才更新一次路由表和該協(xié)議運行的數(shù)據(jù)庫，對于一些業(yè)務(wù)不能中斷的網(wǎng)絡(luò)來說，30秒鐘的損失是無法估量的；度量值不科學(xué)和可擴展性差，16跳的目的地址不可達，對于小型的網(wǎng)絡(luò)幾十臺設(shè)備的影響還不大，可是如今網(wǎng)絡(luò)發(fā)展的非?？欤霈F(xiàn)幾百臺網(wǎng)絡(luò)設(shè)備的內(nèi)網(wǎng)網(wǎng)絡(luò)處處都有，如果所有路由器都運行RIP協(xié)議，一個報文從一臺路由器轉(zhuǎn)發(fā)，一旦經(jīng)過第15設(shè)備，這個報文就直接被路由器丟棄了，雖然說可以做vpn實例來擴大轉(zhuǎn)發(fā)的距離，可是這種方法會加大網(wǎng)絡(luò)的復(fù)雜度，網(wǎng)絡(luò)一旦出現(xiàn)問題將會很難解決。雖然后期出現(xiàn)了RIPv2這種更新了版本的RIP協(xié)議，但是它本身的基于距離矢量這種算法已經(jīng)不能承載大型私網(wǎng)網(wǎng)絡(luò)的的協(xié)議。我在此所舉的例子只是RIP諸多缺陷中很小的一個部分，它還有其他十分不足的地方，這里就不一一舉例子了。為此，后來誕生了另一種計算路由的協(xié)議，叫做OSPF，它算域內(nèi)路由的方式是計算鏈路狀態(tài)信息：先計算Transit節(jié)點，最后再把stub節(jié)點計算上去。這種算法又叫做SPF的算法（最短路徑優(yōu)先）。OSPF被譽為近似完美的IGP路由協(xié)議，它在對于路由的選擇和評估上幾乎無可挑剔，因為他對于路由的計算有著1，2，3，4，5，7這幾類LSA來計算路由。1.3網(wǎng)絡(luò)設(shè)計研究的方法和內(nèi)容1.3.1網(wǎng)絡(luò)設(shè)計研究的方法該論文的研究方法是通過查閱該項目所購買的設(shè)備的產(chǎn)品文檔和配置手冊，在項目實施地點內(nèi)交換機等網(wǎng)絡(luò)設(shè)備的實際配置來研究該高校內(nèi)網(wǎng)如何設(shè)計，如何構(gòu)建和需要用到什么網(wǎng)絡(luò)協(xié)議。并且對于無線AP的放置位置，需要到實地工勘定位，以確保無線網(wǎng)絡(luò)的運行不會受到當?shù)匚锢憝h(huán)境的影響。預(yù)期使用開源模擬器ENSP構(gòu)建網(wǎng)絡(luò)拓撲圖，該軟件能夠直觀簡明的繪制內(nèi)網(wǎng)設(shè)備的拓撲圖，讓駐場運維的網(wǎng)管在網(wǎng)絡(luò)出現(xiàn)問題時能第一時間確定故障位置解決網(wǎng)絡(luò)故障，確保斷網(wǎng)的時間被縮到最短，減少因為斷網(wǎng)而造成的經(jīng)濟損失。1.3.2網(wǎng)絡(luò)設(shè)計研究的內(nèi)容隨著科技的發(fā)展，教學(xué)資源分布日益廣泛，舊時代的網(wǎng)絡(luò)已經(jīng)滿足不了教師和學(xué)生對網(wǎng)絡(luò)的需求，因為虛擬化技術(shù)的不斷發(fā)展，舊的網(wǎng)絡(luò)模型已經(jīng)出現(xiàn)很大的改變，云計算和SDN對網(wǎng)絡(luò)的改變有很大的影響。首先確定該項目所運用的設(shè)備是否能夠滿足客戶內(nèi)網(wǎng)的網(wǎng)絡(luò)正常，是否滿足該網(wǎng)絡(luò)的吞吐流量。選好設(shè)備之后，需要規(guī)劃這些設(shè)備在項目現(xiàn)場放置的位置，最大化的減少網(wǎng)絡(luò)通信的質(zhì)量因為傳輸距離而衰減，保證每一位用戶的網(wǎng)絡(luò)服務(wù)質(zhì)量。規(guī)劃內(nèi)網(wǎng)的vlan和ip地址，設(shè)置多個網(wǎng)段，并且每個網(wǎng)段都有它獨特的作用，如網(wǎng)絡(luò)管理員管理設(shè)備的管理網(wǎng)段和內(nèi)網(wǎng)用戶跑業(yè)務(wù)的業(yè)務(wù)網(wǎng)段，并做一張關(guān)于規(guī)劃的表格，以防后期配置設(shè)備時出現(xiàn)ip地址的沖突。配置接入層，匯聚層交換機的vlan，ip地址，和DHCP等ip業(yè)務(wù)，先保證終端pc和匯聚層交換機的通信。配置匯聚層，控制數(shù)據(jù)阻塞，在匯聚層交換機上啟用鏈路聚合技術(shù)，讓數(shù)據(jù)分流在多個接口，防止單個接口的數(shù)據(jù)流量過大而導(dǎo)致癱瘓配置核心交換機，無線控制器，和出口防火墻的業(yè)務(wù)，使得無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)都能訪問互聯(lián)網(wǎng)。配置網(wǎng)絡(luò)協(xié)議和以太網(wǎng)協(xié)議，并且選擇承載吞吐量達到最優(yōu)的路徑。設(shè)置防火墻，交換機的安全策略，對特定的網(wǎng)絡(luò)進行訪問控制，設(shè)置網(wǎng)絡(luò)設(shè)備的遠程登錄服務(wù)。設(shè)置認證策略，提高內(nèi)網(wǎng)的安全性，防止非法設(shè)備的接入。預(yù)留本網(wǎng)絡(luò)可達到的最高帶寬，讓以后提高網(wǎng)絡(luò)帶寬時有空間。在路由器和交換機等一系列通信設(shè)備上設(shè)置loopback口使網(wǎng)絡(luò)管理員能夠遠程登陸設(shè)備修改交換機的配置和規(guī)則對于每臺內(nèi)網(wǎng)中的通信設(shè)備，都需要做好定期的配置備份，防止設(shè)備因未知原因重啟之后配置丟失要重新配置，備份好配置之后能快速還原配置，快速解除故障。

第二章解決方案分析2.1網(wǎng)絡(luò)方案分析2.1.1校園內(nèi)網(wǎng)的設(shè)計方案教學(xué)區(qū)每間教室內(nèi)的主機PC能夠通過RJ45口用千兆超六類網(wǎng)線連上網(wǎng)絡(luò)，并且能訪問互聯(lián)網(wǎng)。為了確認每臺終端的位置和教室，獲取ip地址的方式不使用DHCP，通過網(wǎng)管給予的ip地址，教師手動輸入ip地址。為建設(shè)數(shù)字化校園，教學(xué)區(qū)每間教室內(nèi)部署一到兩臺無線AP供高校學(xué)生接入，學(xué)生在經(jīng)過上網(wǎng)認證并且通過DHCP獲取ip地址，之后可以通過無線網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)。設(shè)置DNS服務(wù)器，學(xué)生教師訪問服務(wù)器獲取數(shù)據(jù)都通過域名。為存儲教學(xué)資料，本次設(shè)計的網(wǎng)絡(luò)給每間教室設(shè)置了一個獨立的ftp服務(wù)器來存儲教師上課產(chǎn)生的一些教學(xué)資料，以供日后有需要時可以登錄ftp服務(wù)器訪問獲取。除了教師辦公室可以通過web訪問存儲學(xué)生個人檔案和成績信息的服務(wù)器，其他地區(qū)一律禁止訪問，對于存儲學(xué)生信息的軟件設(shè)計，由其他軟件公司負責開發(fā)。學(xué)生和教師都可以訪問學(xué)校教務(wù)系統(tǒng)，教務(wù)系統(tǒng)分內(nèi)網(wǎng)訪問和外網(wǎng)訪問，使內(nèi)網(wǎng)訪問的數(shù)據(jù)不用先通過外網(wǎng)走次優(yōu)路徑。高校駐場運維的網(wǎng)管可以通過telnet，ssh2等方式遠程登錄網(wǎng)絡(luò)設(shè)備來管理，登錄方式采用aaa認證。學(xué)校web管理通信設(shè)備的方式是通過一個華三的網(wǎng)管平臺imc來管理網(wǎng)絡(luò)設(shè)備，所以需要給網(wǎng)絡(luò)設(shè)備配置snmp簡單網(wǎng)絡(luò)管理協(xié)議來使網(wǎng)管平臺imc能在web上發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備設(shè)置私有隧道，高校與分校的聯(lián)系需要通過vpn來訪問，并且由于學(xué)校購買了一些企業(yè)的教學(xué)產(chǎn)品，需要通過vpn來訪問。無線網(wǎng)絡(luò)，有線網(wǎng)絡(luò)等具體到每一個業(yè)務(wù)的網(wǎng)段都要單獨劃分開來，便于管理。接入終端的網(wǎng)關(guān)交換機設(shè)置兩臺，并且做VRRP做冗余備份，保證一臺網(wǎng)關(guān)交換機出現(xiàn)故障之后還能保證網(wǎng)絡(luò)不中斷。對于部署的終端網(wǎng)關(guān)交換機部署了VRRP虛擬網(wǎng)關(guān)之后，還需要部署B(yǎng)FD協(xié)議檢測上行鏈路狀態(tài)，上行鏈路一旦出現(xiàn)故障能在毫秒內(nèi)切換至備份鏈路，提高內(nèi)網(wǎng)的冗余性和可靠性。校園內(nèi)網(wǎng)使用的路由協(xié)議是OSPF，其骨干區(qū)域在于學(xué)校內(nèi)網(wǎng)出口到匯聚層這一部分，其他設(shè)置為一般區(qū)域，并且設(shè)置為stub區(qū)域，減少OSPF的LSA報文的泛洪。為了加大匯聚層之間鏈路的帶寬，需要在匯聚層的交換機使能鏈路聚合功能，在不超過設(shè)備極限性能的情況下，盡可能的加大內(nèi)網(wǎng)流量的吞吐量。2.1.2校園內(nèi)網(wǎng)安全需求分析為了防止學(xué)生隨意修改和惡意刪除學(xué)校成績系統(tǒng)等在服務(wù)器上存儲的機密信息，服務(wù)器區(qū)域?qū)τ趯W(xué)生連入的網(wǎng)段需要進行訪問控制。服務(wù)器區(qū)域僅對教師辦公室的網(wǎng)段開放。對于一臺交換機，對不直連對端是通信設(shè)備的接口設(shè)置為edged端口，edged端口不會不會參與根端口的計算，從而加快協(xié)議的收斂，并且一方面減少STP的BPDU報文占用鏈路帶寬，另一方面避免向邊緣端口轉(zhuǎn)發(fā)生成樹的BPDU報文被惡意攻擊者抓包利用。對于網(wǎng)絡(luò)設(shè)計初期配置好的根橋，設(shè)置根保護功能，記錄根橋的mac地址，防止新接入?yún)⑴c選舉根橋的交換機奪取原先設(shè)置好的根橋，從而引發(fā)網(wǎng)絡(luò)震蕩。除此之外，也防止惡意攻擊者接入交換機奪取根橋。對于該內(nèi)網(wǎng)的每臺網(wǎng)絡(luò)設(shè)備都要設(shè)置登錄密碼，密碼需要包含大小寫英文字母和數(shù)字，長度不小于8位。核心交換機中擁有學(xué)校最核心的業(yè)務(wù)配置，為了加強安全性，需要在登錄設(shè)備時設(shè)置超級密碼，用戶在登錄設(shè)備以后，還需要輸入超級密碼才能擁有讀取，修改核心交換機配置的最高權(quán)限。第三章學(xué)校網(wǎng)絡(luò)的總體規(guī)劃3.1網(wǎng)絡(luò)規(guī)劃3.1.1總的網(wǎng)絡(luò)規(guī)劃經(jīng)過與學(xué)校的網(wǎng)管中心討論，教學(xué)區(qū)域的日常常有人員狀況如下：對于教室的有線網(wǎng)絡(luò)：該教學(xué)樓每層大概有8~10個教室，每間教室預(yù)計只需要1~2臺網(wǎng)絡(luò)接入口，一共有9層樓，則教學(xué)區(qū)域最大的有線終端接入數(shù)量為180個，因此規(guī)劃一個c類地址24位掩碼即可滿足需求。對于教學(xué)區(qū)的無線AP數(shù)量，每間課室放置1~2臺AP，具體按教室大小而定數(shù)量；走廊上每隔一間教室放置一臺AP，確保無線ap的信號能夠覆蓋整個教學(xué)區(qū)域，則該教學(xué)區(qū)域最大規(guī)劃的AP數(shù)量大約有100~200個，因此規(guī)劃一個c類ip地址24位掩碼即可滿足需求。對于無線AP的接入終端數(shù)量，經(jīng)過學(xué)校網(wǎng)管統(tǒng)計學(xué)生的上課時間和上課人數(shù)，教學(xué)樓每日在線終端大約2000左右。對于教室辦公室及校領(lǐng)導(dǎo)的人數(shù)大約400多人，因此規(guī)劃一個c類ip地址23位掩碼滿足終端的接入數(shù)量。對于網(wǎng)絡(luò)設(shè)備的數(shù)量，經(jīng)過清點項目中交付設(shè)備的數(shù)量清單規(guī)劃一個c類24位掩碼的地址滿足遠程管理設(shè)備的需求。上述規(guī)劃以后，教學(xué)區(qū)總體的ip地址如表3.1.1-1所示：網(wǎng)段子網(wǎng)掩碼教學(xué)區(qū)有線終端接入域教學(xué)區(qū)無線AP管理域教學(xué)區(qū)無線AP終端接入域~服務(wù)器域教學(xué)區(qū)辦公室域網(wǎng)絡(luò)設(shè)備管理網(wǎng)段表3.1.1-1學(xué)校教學(xué)區(qū)ip地址規(guī)劃表當我們配置匯聚層交換機的DHCP地址池時，需要用到一開始規(guī)劃的ip地址表的ip地址設(shè)置，方便日后網(wǎng)絡(luò)維護對不同作用段的ip出問題時作為參考經(jīng)過對各個區(qū)域的ip地址規(guī)劃以后，為了方便網(wǎng)管人員管理網(wǎng)絡(luò)，vlan的劃分明細如表3.1.1-2所示：VlanidVlan描述教學(xué)區(qū)有線終端接入域8DescripttionYouXianPC教學(xué)區(qū)無線AP管理域9DescriptionWirelessManage教學(xué)區(qū)無線AP終端接入域7DescriptionWirelessAccess服務(wù)器域100DescriptionServer教學(xué)區(qū)辦公室域50DescriptionOffice網(wǎng)絡(luò)設(shè)備管理網(wǎng)段5DescriptionSwitchManage表3.1.1-2學(xué)校教學(xué)區(qū)vlan地址規(guī)劃表這是該高校的vlan規(guī)劃表，當以后需要擴展網(wǎng)絡(luò)的規(guī)模時，需要參考最初規(guī)劃好的vlan表，排除已經(jīng)用過的vlan，防止將不同的業(yè)務(wù)規(guī)劃到同一個vlan上造成一系列的網(wǎng)絡(luò)故障。3.1.2網(wǎng)絡(luò)分層設(shè)計接入層接入層的交換機主要是為有線用戶終端和無線AP提供接入互聯(lián)網(wǎng)的服務(wù)。對于接入類似PC的有線終端的端口，交換機需要關(guān)閉POE供電功能，防止網(wǎng)線被使能POE供電而燒壞；對于接入無線AP設(shè)備的端口，此端口需要開啟POE功能給AP供電。POE供電具有以下優(yōu)勢：高安全性，通過網(wǎng)線進行供電能避免接入插座式電源，一方面減少學(xué)校的供電負擔，減少部署強電。另一方面也減少了因無線接入點而要設(shè)置的插座，簡單易用，插上即用；實惠便利性，當需要關(guān)閉AP時，只需要進入交換機shutdown端口即可，不需要到接入點的位置關(guān)閉。無線AP根據(jù)學(xué)校教學(xué)區(qū)環(huán)境的特點，室內(nèi)放裝式和吸頂式AP的方案，是放裝還是吸頂具體依照無線工勘時實地環(huán)境決定，滿足精細化的覆蓋需求。AP2051DN-L-S無線終端支持802.11n協(xié)議，使用專業(yè)程序化的設(shè)計，該AP單射頻提供具有300Mbps的無線接入速率，是相同環(huán)境下802.11a/b/g協(xié)議產(chǎn)品的6倍左右。該AP設(shè)備內(nèi)部有無線智能天線，可免去外接天線，不影響各個AP接入點的內(nèi)部環(huán)境。部署AP時要充分考慮每個AP的射頻范圍，部署時應(yīng)采用市內(nèi)三角式放裝，確保AP之間的覆蓋范圍不會相互影響，或者將射頻影響減小到最小。另外，對于AP之間射頻覆蓋的相同區(qū)域，需要采用不同信道防止通信故障。匯聚層匯聚層是網(wǎng)絡(luò)結(jié)構(gòu)中的中堅力量，是十分重要的一個部分，將接入層的數(shù)據(jù)匯聚到一起轉(zhuǎn)發(fā)到核心層，核心交換機再將數(shù)據(jù)轉(zhuǎn)發(fā)到出口再轉(zhuǎn)發(fā)公網(wǎng)上。這一層的交換機計劃部署在學(xué)校的中間樓層，讓盡可能多的接入點的網(wǎng)線變短，將數(shù)據(jù)因為傳輸過程中隨距離的增長網(wǎng)絡(luò)傳輸效率的影響減小到最小，體現(xiàn)本設(shè)計的網(wǎng)絡(luò)的高可靠性。為了防止我們匯聚層一臺交換機突發(fā)故障，需要設(shè)置備選鏈路，當原來傳輸數(shù)據(jù)的交換機出現(xiàn)故障時數(shù)據(jù)能夠從原來的轉(zhuǎn)移到備用的交換機中進行傳輸。此外，匯聚層交換機之間要建立鏈路聚合端口來加大數(shù)據(jù)的吞吐量，減少單個端口負載的數(shù)據(jù)，延長設(shè)備的壽命，體現(xiàn)本網(wǎng)絡(luò)的冗余性和可持續(xù)發(fā)展性。本網(wǎng)絡(luò)的接入終端的IP地址池設(shè)計在匯聚層交換機，為了為了防止非法設(shè)備下發(fā)ip地址給需要獲取ip地址的設(shè)備，需要對提供匯聚層交換機設(shè)置ip地址的接口使用mac捆綁，保證用戶的無線終端不會獲取到除交換機提供的以外的ip地址，體現(xiàn)本網(wǎng)絡(luò)的安全性。核心層作為接近與公網(wǎng)連接的橋梁，核心層交換機是整個內(nèi)網(wǎng)的心臟，是所有數(shù)據(jù)要訪問互聯(lián)網(wǎng)的必須經(jīng)過的地方，因此，需要規(guī)劃兩臺交換機做虛擬化堆疊，堆疊簡單來說就是將兩臺交換機虛擬成一臺大交換機。主交換機控制著數(shù)據(jù)的傳輸，當主交換機出現(xiàn)問題時，堆疊會自己斷開，并且業(yè)務(wù)會遷移到備交換機上繼續(xù)傳輸，該過程可能會有幾秒的卡頓。內(nèi)網(wǎng)出口作為內(nèi)網(wǎng)的邊界，為了避免公網(wǎng)上有黑客對學(xué)校內(nèi)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)進行嗅探，預(yù)計將在防火墻規(guī)劃安全策略，禁止公網(wǎng)上的設(shè)備發(fā)送和接收來自該學(xué)校的icmp報文。對公網(wǎng)進入內(nèi)網(wǎng)的各種報文進行規(guī)定時間內(nèi)的數(shù)量限制，防止惡意DDos攻擊。3.1.3網(wǎng)絡(luò)總體邏輯拓撲如圖3.1.3-1所示，內(nèi)網(wǎng)的拓撲圖應(yīng)每過固定時間內(nèi)就需要更新一次，讓網(wǎng)絡(luò)的運維人員能夠更加直觀正確的了解拓撲，并且在網(wǎng)絡(luò)出現(xiàn)故障時，便于設(shè)備的原廠工程師了解網(wǎng)絡(luò)架構(gòu)之后快速的排除故障。圖3.1.3-1學(xué)校教學(xué)區(qū)域整體拓撲第四章設(shè)備選型4.1S2750-28TP-PWR-EI-AC接入層交換機4.1.1設(shè)備簡介它的基礎(chǔ)是下一代交換技術(shù)和華為獨特的VRP軟件平臺，可以提供十分簡單和容易的安裝維護操作，并且與靈活的設(shè)置網(wǎng)絡(luò)、安全和QoS流量限制策略、健康環(huán)保等先進的技術(shù)，可以滿足broadcast網(wǎng)絡(luò)多種業(yè)務(wù)的加入和接入需要，支持協(xié)助企業(yè)用戶搭建面向未來的下一代網(wǎng)絡(luò)！4.1.2產(chǎn)品的一些參數(shù)可以用PoE供電，可供無線AP的接入。產(chǎn)品內(nèi)部設(shè)置了7KV的防雷技術(shù)，能免疫感應(yīng)雷擊的大電壓；可以有IP、MAC、VLAN、端口等無線終端的標記參數(shù)的動態(tài)或靜態(tài)的配對，并可以使用用戶策略（ACL）的dymaic下發(fā)支持堆疊提升交換數(shù)據(jù)大小、可信性、可追加性，堆疊后的系統(tǒng)只用一個地址，統(tǒng)一進行管理，很大的讓系統(tǒng)維護使用的成本降低；具有數(shù)量8000個macaddresstable，可以刪除dymaicmac地址，可以做mac地址老化時間可配置。下行24個百兆端口，上行2個或4個千兆端口。4.2AP2051DN-L-S接入點4.2.1設(shè)備簡介AP2051DN-L-S是huawei向SMB市場發(fā)布的可以使用802.11acWare2協(xié)議的面板式AP，使用標準86×86mm的面板實際，可以簡單高速的安置再86型面板暗盒上。內(nèi)有天線，隱形指示燈，滑動面板，設(shè)計美觀，使用再酒店客房、高校宿舍、醫(yī)院走廊、小型的辦公室等房間體積小，戶型較多人的場所。4.2.2產(chǎn)品特性和規(guī)格電源：poe提供電源，匹配802.3af/at的廣播網(wǎng)絡(luò)協(xié)議標準最大耗電：6.63W天線：雙頻率全方向天線可以同時存在的用戶數(shù)量：256最大發(fā)射功率：2.4G21dBm，5G17dBm支持的無線協(xié)議：802.11a/b/g/n/ac/acwave2最高速率：833Mbps4.3CloudEngineS6730S-S24X6Q-A匯聚交換機4.3.1設(shè)備簡介CloudEngineS6730S-S交換機是Huawei自主研發(fā)的下一代萬兆盒型網(wǎng)橋，擁有全線速率萬兆接入的端口和40千兆的上行端口，同時又有豐富的業(yè)務(wù)特點、完善的安全控制acl、豐富的qos策略等特性，足以勝任園區(qū)和IDC網(wǎng)絡(luò)的可持續(xù)發(fā)展性、可信性、可管性及安全性等諸多特性4.3.2產(chǎn)品的一些參數(shù)該核心交換機可以進行統(tǒng)一用戶管理的功能，屏蔽了接入交換機設(shè)備的能力和接入方式的插別，可以用802.1X/MAC/Portal等諸多認證，可以對用戶進行分組/分區(qū)域/分時段的管理用戶、業(yè)務(wù)可看可控制，實現(xiàn)了從“以交換機管理為中心”到“以用戶管理為中心”的質(zhì)的改變。該核心交換機提供了高質(zhì)量的qos能力，具有完善的隊列調(diào)度算法、擁塞控制、擁塞管理等創(chuàng)新型的優(yōu)先級調(diào)度算法和多等級的隊列調(diào)度規(guī)則，能對數(shù)據(jù)流實現(xiàn)多等級的精確調(diào)用，從而滿足企業(yè)對不同的用戶終端、不同的業(yè)務(wù)的qos的要求。4.4S7706智能路由箱式核心交換機4.4.1設(shè)備簡介S7706交換機給我們提供了有線和無線的最大化融合、統(tǒng)一的用戶終端管理、網(wǎng)絡(luò)質(zhì)量的發(fā)現(xiàn)iPCA、完全的H-QoS策略、一體化的安全智能的業(yè)務(wù)優(yōu)化特點，具有十萬兆端口，具有SVF2.0超級的virtual交換機，具有超強的擴容性和可信性。4.4.2產(chǎn)品的一些參數(shù)S7700擁有無線控制器的功能，業(yè)務(wù)的板卡同時兼?zhèn)銩C無線控制器，沒有必要另外購買AC板卡；一臺機器最大可以管理4000臺AP，整機轉(zhuǎn)發(fā)性能可達T-bit級，解決傳統(tǒng)AC的處理性瓶頸；S7706支持統(tǒng)一用戶管理功能，屏蔽了接入層設(shè)備能力和接入方式的差異。SVF2.0超級virtual交換網(wǎng)絡(luò)，創(chuàng)新不僅將盒式交換機縱向虛擬成框式交換機板卡，并且將AP縱向虛擬成框式交換機的端口，把原來“核心/匯聚+接入交換機+AP"的網(wǎng)絡(luò)架構(gòu)，虛擬化成一臺設(shè)備進行管理，簡單化網(wǎng)絡(luò)的運維。15882和同步以太,滿足網(wǎng)絡(luò)設(shè)備間的高精度時間同步,相比GPS的時間同步方案,提升安全的同時降低成本。ServiceChain多業(yè)務(wù)虛擬化,對網(wǎng)絡(luò)増值業(yè)務(wù)處理能力(如防火墻F)進行虛擬化,從而園區(qū)網(wǎng)絡(luò)可以無差別地利用這些能力,而不受物理位置的約束。交換容量有19.84/86.4Tbps?？梢耘渲胕pv4的靜態(tài)路由、ospf、isis、bgp-4等三層通信協(xié)議；可配ipv6靜態(tài)路由、ripng、ospfv3、isis-6、bgp4+；可配置ipv4/v6等價路由、策略通信協(xié)議、三層通信策略；提供Pingv6、Telnetv6、FTPv6、TFTPv6、DNSv6、ICMPv6；提供IPv4向IPv6的轉(zhuǎn)換技術(shù)，包括：IPv6人工配置tunnel、6to4tunnel、ISATAPtunnel、GREtunnel、IPv4兼容自動配置tunnel。4.5USG6000Vvirtual綜合datagateway防火墻4.5.1設(shè)備簡介華為USG6000V是在NFV架構(gòu)基礎(chǔ)上設(shè)計的virtual綜合datagateway，virtual資源利用率很高，資源虛擬化的技術(shù)支持大量多租戶的同時應(yīng)用。產(chǎn)品擁有豐富的gateway業(yè)務(wù)能里，比如：vFW、vIPSec、vLB、vIPS、vAV、vURL過濾等，用戶可以根據(jù)對virtualgateway的業(yè)務(wù)需求，按需求使用，可以靈活的進行部署。4.5.2產(chǎn)品的一些參數(shù)全方位的防護：集成了傳統(tǒng)的防火墻、VPN、IPS、防惡意代碼、流量的管理、Anti-DDoS等多種功能在于一身的產(chǎn)品，global視圖和全方位的security-policy管理。應(yīng)用層應(yīng)用識別與管理控制：可識別大約六千的應(yīng)用，訪問控制精確度到應(yīng)用擁有的功能，例如：區(qū)分微信的文字和語音。應(yīng)用的識別與IDS、防惡意代碼、內(nèi)容安全相融合，提高檢測性能和正確率。IPS與http防護：第一時間獲得最新威脅信息并更新，準確檢測并防御針對漏洞的黑客攻擊?？煞雷o各種針對http的攻擊，包括SQL注入的攻擊和xss攻擊等。病毒庫每日更新，可迅速檢出超過500萬種病毒。

第五章部署測試5.1防火墻防火墻添加內(nèi)外網(wǎng)進出的策略圖5.1.1出口防火墻策略的設(shè)置此外，對于出口，還要設(shè)置路由，出口設(shè)置公網(wǎng)ip地址，還需要做NAT轉(zhuǎn)換技術(shù)，該部分留在論文開始上臺演講時給導(dǎo)師們進行演示。5.2接