【正文】 分工說明 總體設(shè)計圖31總體網(wǎng)絡(luò)拓撲設(shè)計圖圖32主干網(wǎng)絡(luò)拓撲設(shè)計圖核心層采用雙核心設(shè)計，采用VRRP+MSTP的冗余技術(shù)，實現(xiàn)網(wǎng)絡(luò)的冗余備份及負載均衡。出口路由采用路由策略，實現(xiàn)網(wǎng)絡(luò)的雙出路，連接到CERNET及通過聯(lián)通連接到Internet。核心交換機上采用浮動路由提供到出口路由的備份連接。在連接服務(wù)器的路由器上做TCP負載均衡，以實現(xiàn)對服務(wù)器的均衡會話。在出口路由器上做NAPT，將內(nèi)部地址轉(zhuǎn)換為注冊外部地址，實現(xiàn)內(nèi)部所有主機對外網(wǎng)的訪問。圖33 行政機構(gòu)及辦公區(qū)網(wǎng)絡(luò)拓撲設(shè)計圖在辦公區(qū)網(wǎng)絡(luò)中，匯聚交換機采用冗余的連接到核心層，采用MSTP解決環(huán)路問題，實現(xiàn)鏈路備份。根據(jù)不同的行政部門、不同學院建立不同VLAN，建立獨立沖突域提高網(wǎng)絡(luò)質(zhì)量，通過三層SVI實現(xiàn)跨網(wǎng)段訪問。建立ACL，對不同的網(wǎng)絡(luò)進行訪問控制。涉及到特殊部門為之建立特殊的ACL。在接入層交換機上采取必要的安全配置，開啟端口安全，開啟DHCPsnooping，防止一些惡意的攻擊，和地址欺騙等。圖41圖書館網(wǎng)絡(luò)拓撲圖圖書館網(wǎng)絡(luò)拓撲說明：在圖書館匯聚層交換機上做冗余備份，采用雙核心技術(shù)提高網(wǎng)絡(luò)的可靠性。不同閱覽室、不同科室、部門劃分不同VLAN，建立獨立的沖突域；采用基于時間的ACL控制內(nèi)部借閱網(wǎng)絡(luò)拒絕訪問互聯(lián)網(wǎng)，對電子閱覽室的網(wǎng)絡(luò)進行速度限制，拒絕圖書館辦公部門在辦公時間禁止網(wǎng)絡(luò)聊天、BT下載等業(yè)務(wù)；應(yīng)用交換機端口安全技術(shù)，防范網(wǎng)絡(luò)中通過偽造地址而進行的攻擊，應(yīng)用在檔案館等重要部門，防止機密信息的泄露；應(yīng)用 端口限速技術(shù)，將需要限制的端口加入限速端口，從而將類似、BT等對網(wǎng)絡(luò)資源、網(wǎng)絡(luò)性能的影響消除掉（客戶端使用端口4000，服務(wù)器端口為8000，BT一般使用TCP的6881～6889端口）；無線接入技術(shù)（WiFi）是一種可以將個人電腦、手持設(shè)備（如PDA、手機）等終端以無線方式互相連接的無線局域網(wǎng)通信技術(shù)。，、。圖71設(shè)計說明、具體地址規(guī)劃和網(wǎng)絡(luò)拓撲圖在學生、教職工公寓網(wǎng)絡(luò)設(shè)計中，不同學院學生建立不同VLAN，利用三層交換機，通過SVI實現(xiàn)跨網(wǎng)段的訪問。在二層交換機上，通過建立訪問控制列表，實現(xiàn)對學生上網(wǎng)流量的控制，避免造成網(wǎng)絡(luò)擁堵，優(yōu)化網(wǎng)絡(luò)環(huán)境。在二層交換機上還需要配置靜態(tài)MAC綁定，端口安全，限制端口的最大安全地址個數(shù)，DHCP Snooping綁定過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。限制端口的最大安全地址個數(shù)可以有效控制訪問用戶數(shù)，避免其他多余的惡意連接，從數(shù)量上就避免了網(wǎng)絡(luò)擁堵。教職工的網(wǎng)絡(luò)的地址規(guī)劃和網(wǎng)絡(luò)拓撲圖相同。 地址規(guī)劃向運營商申請的注冊地址段為：~~地址規(guī)劃原則：利用VLSM（可變長子網(wǎng)掩碼）實現(xiàn)IP地址的多層次地址分配注冊地址的分配：表31 注冊地址分配表區(qū)域注冊地址主干設(shè)備服務(wù)器辦公區(qū)圖書館學術(shù)交流中心教職工公寓學生宿舍教學樓分校1分校2私有地址的總體規(guī)劃私有地址是可以自由的在局域網(wǎng)內(nèi)使用的IP地址，在構(gòu)建局域網(wǎng)是利用私有地址可以靈活的進行地址分配。,~。在本設(shè)計中，以方便靈活性和可擴展性為目標。（1）各學院分配各自的地址段，分別給1院到研究生院，，，，，，，（2）各行政機構(gòu)分配地址段（3）教學區(qū)分配地址段（4）圖書館分配地址段（5）各分校分配地址段，（6）教職工和學生宿舍分配地址段，地址分配的方式說明校園的地址分配采用動態(tài)地址分配的方式，在網(wǎng)絡(luò)中搭建DHCP服務(wù)器，實現(xiàn)IP地址的動態(tài)獲取。NAT/NAPT的說明表32 NAT/NAPT說明網(wǎng)絡(luò)私有地址注冊地址辦公區(qū)網(wǎng)絡(luò)圖書館網(wǎng)絡(luò)教學區(qū)網(wǎng)絡(luò)教職工和學生宿舍網(wǎng)絡(luò)分校1分校2服務(wù)器 分工說明表33分工說明項目負責人負責項目郭鑫核心層主干的設(shè)計和總體的地址規(guī)劃劉強圖書館的網(wǎng)絡(luò)設(shè)計丁佳鈞分校的網(wǎng)絡(luò)設(shè)計及與主校的網(wǎng)絡(luò)連接郭鑫行政機構(gòu)和辦公區(qū)的網(wǎng)絡(luò)設(shè)計楊青雷教職工宿舍的網(wǎng)絡(luò)設(shè)計4校園網(wǎng)主干項目的設(shè)計方案（負責人：郭鑫）圖41 校園網(wǎng)主干拓撲設(shè)計圖核心層采用雙核心設(shè)計，采用VRRP+MSTP的冗余技術(shù)，實現(xiàn)網(wǎng)絡(luò)的冗余備份及負載均衡。出口路由采用路由策略，實現(xiàn)網(wǎng)絡(luò)的雙出路，連接到CERNET及通過聯(lián)通連接到Internet。核心交換機上采用浮動路由提供到出口路由的備份連接。在連接服務(wù)器的路由器上做TCP負載均衡，以實現(xiàn)對服務(wù)器的均衡會話。在出口路由器上做NAPT，將內(nèi)部地址轉(zhuǎn)換為注冊外部地址，實現(xiàn)內(nèi)部所有主機對外網(wǎng)的訪問。表41網(wǎng)絡(luò)設(shè)備選型序號設(shè)備名稱型號/規(guī)格單位單價（元）數(shù)量總價（元）1核心交換機RGS8610臺10000022000002核心交換機模塊M8600P48GT/4SFP個23核心交換機模塊M860002XFP個24模塊化路由器CISCO3845個394442788885廣域網(wǎng)模塊CISCO HWIC4T個12100224200表42服務(wù)器選型學校服務(wù)器類型IBM System x3850 X5(7145N02)價格產(chǎn)品類別機架式產(chǎn)品類型企業(yè)級CPU型號Xeon E7520 標配CPU數(shù)量4顆內(nèi)存容量32G DDR3標配硬盤數(shù)量584G網(wǎng)絡(luò)控制器兩個千兆以太網(wǎng)卡電池類型冗余電源產(chǎn)品結(jié)構(gòu)4URAID模式RAID 0，1，5擴展槽7半長PCIE（2個熱插拔）光驅(qū)DVD價格數(shù)量8總價格設(shè)備總價格：1,151,088元MSTP技術(shù)：MSTP（多生成樹協(xié)議）是在交換 網(wǎng)絡(luò)中基于VLAN構(gòu)建多個生成樹，既避免了環(huán)路，又能讓相同VLAN間的通訊不受影響。它可以把一臺交換機的一個或多個VLAN劃分為instance，有著相同instance配置的交換機就組成了一個域（MST region），運行獨立的生成樹（這個內(nèi)部的生成樹稱為IST，Interal Spanning tree）；這個MST region組合就相當于一個大的交換機整體，與其他的MST region 再進行生成樹算法運算，得出一個整體的生成樹，稱為CST（Common Spanning Tree）。VRRP技術(shù)：VRRP(Virtual Router Redundancy Protocol)能夠從網(wǎng)絡(luò)層保證網(wǎng)絡(luò)系統(tǒng)的高度冗余，同時也能夠?qū)崿F(xiàn)網(wǎng)絡(luò)流量的負載均衡。VRRP組內(nèi)多個路由器都映射為一個虛擬的路由器。VRRP保證同時有且只有一個路由器在代表虛擬路由器進行包的發(fā)送。而主機則是把數(shù)據(jù)包發(fā)向該虛擬路由器。這個轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器被成為主路由器。如果這個主路由器在某個時候由于某種原因而無法工作的話，則處于備份狀態(tài)的路由器將被選擇來代替原來的主路由器。VRRP使得局域網(wǎng)內(nèi)的主機看上去只使用了一個路由器，并且即使在它當前所使用的首跳路由器失敗的情況下仍能夠保持路由的連通性。OSPF多區(qū)域技術(shù)：開放式最短路徑優(yōu)先協(xié)議(Open Shortest Path First )。OSPF路由協(xié)議是一個鏈路狀態(tài)協(xié)議，其使用最短路徑優(yōu)先算法（SPF）計算路由。多區(qū)域OSPF是在每一個區(qū)域中的路由器都按照該區(qū)域中定義的鏈路狀態(tài)算法來計算網(wǎng)絡(luò)拓撲結(jié)構(gòu)，對于每一個區(qū)域，其網(wǎng)絡(luò)拓撲結(jié)構(gòu)在區(qū)域外是不可見的，同樣，在每一個區(qū)域中的路由器對其域外的其余網(wǎng)絡(luò)結(jié)構(gòu)也不了解。在OSPF路由協(xié)議中存在一個骨干區(qū)域（Backbone），該區(qū)域包括屬于這個區(qū)域的網(wǎng)絡(luò)及相應(yīng)的路由器，骨干區(qū)域必須是連續(xù)的，同時也要求其余區(qū)域必須與骨干區(qū)域直接相連。骨干區(qū)域一般為區(qū)域0，其主要工作是在其余區(qū)域間傳遞路由信息。所有的區(qū)域，包括骨干區(qū)域之間的網(wǎng)絡(luò)結(jié)構(gòu)情況是互不可見的，當一個區(qū)域的路由信息對外廣播時，其路由信息是先傳遞至區(qū)域0（骨干區(qū)域），再由區(qū)域0將該路由信息向其余區(qū)域作廣播。 策略路由技術(shù)：策略路由，是根據(jù)一定的策略進行報文轉(zhuǎn)發(fā)。在路由器轉(zhuǎn)發(fā)一個數(shù)據(jù)報文時，首先根據(jù)配置的規(guī)則對報文進行過濾，匹配成功則按照一定的轉(zhuǎn)發(fā)策略進行報文轉(zhuǎn)發(fā)。這種規(guī)則可以是基于標準和擴展訪問控制列表，也可以基于報文的長度；而轉(zhuǎn)發(fā)策略則是控制報文按照指定的策略路由表進行轉(zhuǎn)發(fā)，也可以修改報文的IP優(yōu)先字段。因此，策略路由是對傳統(tǒng)IP路由機制的有效增強。策略路由（Policy Route）是指在決定一個IP包的下一跳轉(zhuǎn)發(fā)地址或是下一跳缺省IP地址時，不是簡單的根據(jù)目的IP地址決定，而是綜合考慮多種因素來決定。如可以根據(jù)DSCP字段、源和目的端口號，源IP地址等來為數(shù)據(jù)包選擇路徑。策略路由可以在一定程度上實現(xiàn)流量工程，使不同服務(wù)質(zhì)量的流或者不同性質(zhì)的數(shù)據(jù)（語音、FTP）走不同的路徑。浮動路由技術(shù)：路由表的管理距離越低，優(yōu)先級越高。浮動的靜態(tài)路由是一種特殊的靜態(tài)路由，通過配置一個比主路由的管理距離更大的靜態(tài)路由，保證網(wǎng)絡(luò)中主路由失效的情況下，提供備份路由。但在主路由存在的情況下它不會出現(xiàn)在路由表中。SVI（Switch Virtual Interface）技術(shù)：利用三層交換機通過SVI方式實現(xiàn)VLAN間路由。實現(xiàn)方法是在三層交換機上為各VLAN創(chuàng)建虛擬VLSN接口，并為SVI接口配置IP地址，作為各VLAN中主機的網(wǎng)關(guān)。VPN（虛擬專用網(wǎng)）技術(shù)：利用公共網(wǎng)絡(luò)來構(gòu)建的私人專用網(wǎng)絡(luò)稱為虛擬私有網(wǎng)絡(luò)（VPN，Virtual Private Network），用于構(gòu)建VPN的公共網(wǎng)絡(luò)包括Internet、幀中繼、ATM等。在公共網(wǎng)絡(luò)上組建的VPN象企業(yè)現(xiàn)有的私有網(wǎng)絡(luò)一樣提供安全性、可靠性和可管理性等。減少WAN帶寬的費用。 能使用靈活的拓撲結(jié)構(gòu)，包括全網(wǎng)連接。 新的站點能更快、更容易地被連接。 通過設(shè)備供應(yīng)商WAN的連接冗余，可以延長網(wǎng)絡(luò)的可用時間。端口聚合：端口聚合（又稱為鏈路聚合)，將交換機上的多個端口在物理上連接起來，在邏輯上捆綁在一起，形成一個擁有較大寬帶的邏輯端口，形成一條干路，可以實現(xiàn)負載分擔，并提供冗余鏈路。NAPT技術(shù)：NAT就是將網(wǎng)絡(luò)地址從一個地址空間轉(zhuǎn)換到另外一個地址空間的一個行為。這種特性使得內(nèi)部局域網(wǎng)呈現(xiàn)給外部網(wǎng)絡(luò)的IP地址，可以與正在使用的IP地址空間完全不同。這樣一個組織就可以將本來非全局可路由地址通過NAT之后，變?yōu)槿挚陕酚傻刂罚瑢崿F(xiàn)了原有網(wǎng)絡(luò)與互聯(lián)網(wǎng)的連接，而不需要重新給每臺主機分配IP地址。由于實驗室設(shè)備數(shù)量和部分配置不支持的限制，將主干項目論證實驗分為兩個實驗進行驗證，分別是：主干區(qū)域內(nèi)部的驗證，出口路由策略路由和NAPT的驗證。主干區(qū)域內(nèi)部實驗驗證說明圖41 主干區(qū)域內(nèi)部拓撲圖（1）論證實驗的綜合應(yīng)用技術(shù)說明：在論證實驗中使用了MSTP技術(shù)，VRRP技術(shù)，OSPF單區(qū)域，浮動靜態(tài)路由技術(shù)，SVI技術(shù)，端口聚合技術(shù)。（2）論證實驗中的設(shè)備（應(yīng)用技術(shù)）替換說明：論證實驗采用了實驗室的銳捷設(shè)備，用兩臺S3550代替核心交換機，用兩臺S2126代替匯聚層交換機，兩臺R1762代替出口路由器，用Loopback口代替接入CERNET和聯(lián)通網(wǎng)絡(luò)。（3）配置交換機VLAN及端口類型：分別在四臺交換機上配置VLAN10，VLAN20，VLAN30，VLAN40，將三層與三層，三層與二層交換機相連的端口配置為Trunk模式，將相應(yīng)接口劃分給各個VLAN。（4）配置SVI（Switch Virtual Interface）：在兩臺三層交換機上配置VLAN的IP地址。（5）配置端口聚合：在兩臺交換機上將兩個相連的接口配置為Aggregate接口。（6）配置MSTP：在四個交換機上配置MSTP，將VLANVLAN30劃分為一個instance1，將VLANVLAN40劃分為一個instance2。分別將S3550A和S3550B配置為實例1和實例2的根交換機。（7）配置OSPF單區(qū)域：開啟三層交換機路由功能，將兩個三層交換機與路由器相連的接口配置為路由口，在兩個三層交換機和兩個路由器上開啟OSPF路由協(xié)議。在路由器上開啟回環(huán)口模擬互聯(lián)網(wǎng)接入。（8）配置靜態(tài)浮動路由：在兩個交換機上配置兩條缺省靜態(tài)路由，一條指向正上方的路由器，管理距離不變；另一條指向斜向上的路由器，管理距離配置為120。策略路由和NAPT實驗論證圖42 策略路由和NAPT實驗拓撲圖（1）論證實驗的綜合應(yīng)用技術(shù)說明：在實驗論證中使用了策略路由技術(shù)和NAPT技術(shù)（2）論證實驗中的設(shè)備（應(yīng)用技術(shù)）替換說明：論證實驗采用了GNS3模擬器實現(xiàn)，用四臺思科3640路由器分別模擬出口路由器，內(nèi)部網(wǎng)絡(luò)，外部聯(lián)通局端設(shè)備和教育網(wǎng)局端設(shè)備。（3）在R1上配置routemap，基于目的地址的轉(zhuǎn)發(fā)規(guī)則。在ISP和CERNET上配置一條默認路由指向R2，各自開啟回環(huán)口。在R4上配置與R2相連的接口IP。（4）在R1配置兩個routemap，match兩個外網(wǎng)出口，配置NAT，基于兩個routemap進行NAT轉(zhuǎn)換。主干區(qū)域內(nèi)部實驗驗證結(jié)果（1）MSTP配置結(jié)果：S3550Ashow spanningtreeStpVersion : MSTPSysStpStatus : EnabledBaseNumPorts : 24MaxAge : 20HelloTime : 2ForwardDelay : 15BridgeMaxAge : 20BridgeHelloTime : 2BridgeForwardDela