【正文】 網(wǎng)采用 OSPF 作為 IGP，考慮到目前三層網(wǎng)絡較小，整個核心匯聚層采用 OSPF 核心區(qū)域 area 0 。保證網(wǎng)絡安全主要從以下幾個方面著手。 配置一條靜態(tài)路由指向內(nèi)網(wǎng)網(wǎng)段 （六）、地址轉(zhuǎn)換（ nat） web 服務器地址映射（單對單）： 私有內(nèi)部地址： 對應公網(wǎng)地址： MAIL 服務器地址映射（單對單）： 私有內(nèi)部地址： 對應公網(wǎng)地址： 內(nèi)部網(wǎng)計算機訪問 inter 地址映射（多對多）： 私有內(nèi)部地址： 對應公網(wǎng)地址： （七）、訪問控制： ? 允許從內(nèi)網(wǎng)訪問 inter，端口全開放。 組播業(yè)務及 QOS 保障 組播業(yè)務的實現(xiàn) 通過標準的 ICMP、 PIM－ SM、 PIM－ DM、 MSDP 等組播協(xié)議完成用戶的組播管理，并通過HGMP 協(xié)議將各樓道交換機也納入到組播實現(xiàn)中?，F(xiàn)將各類業(yè)務大致分為以下 4 類： 網(wǎng)絡及日志管理 針對星型網(wǎng)絡拓撲結(jié)構的特點，采用集中式網(wǎng)絡管理結(jié)構，將 QUIDVIEW 網(wǎng)絡管理系統(tǒng) 、CAMS 綜合訪問管理系統(tǒng)、 XLog 網(wǎng)絡日志系統(tǒng)直接掛接在中心 S9508 核心交換機上來實現(xiàn)對整個網(wǎng)絡的運行狀況查看、故障管理、流量檢測及認證策略下發(fā)和日志收集等。 ? 配置 SNMP [LWJSL5FS9508]snmpagent trap enable standard coldstart [LWJSL5FS9508] snmpagent trap enable standard linkup [LWJSL5FS9508] snmpagent trap enable standard linkdown [LWJSL5FS9508] snmpagent targethost address udpdomain [LWJSL5FS9508] snmpagent munity write private [LWJSL5FS9508] snmpagent munity read public [LWJSL5FS9508] snmpagent trap source loopback0 注： 配置 SNMP 需指定陷阱報文接收主機和報文原接口，可加上 acl ? 配置 日志管理 [LWJSL5FS9508]infocenter enable [LWJSL5FS9508]infocenter loghost lauguage chinese [LWJSL5FS9508]infocenter loghost source loopback0 [LWJSL5FS9508]infocenter source default log level debugging [LWJSL5FS9508]infocenter timestamp log ? 配置 端口物理層參數(shù) [LWJSL5FS9508]interface gi0/1/1 [LWJSL5FS9508gi0/1/1]speed 1000 [LWJSL5FS9508gi0/1/1]duplex full 南寧職業(yè)技術學院 校園網(wǎng)項目實施方案 第 36 頁 共 43 頁 [LWJSL5FS9508gi0/1/1]description linktozhongdaannaiteswitch [LWJSL5FS9508gi0/1/1]port linktype trunk [LWJSL5FS9508gi0/1/1]port trunk permit vlan 501 [LWJSL5FS9508gi0/1/1]port trunk pvid vlan 501 [LWJSL5FS9508gi0/1/1]quit [LWJSL5FS9508]linkaggregation gi0/1/2 to gi0/1/3 both [LWJSL5FS9508]interface gi0/1/2 [LWJSL5FS9508gi0/1/2]description linkto XXzhongxue－ SYB－ 5F－ S3026 [LWJSL5FS9508gi0/1/2]port linktype trunk [LWJSL5FS9508gi0/1/2]port trunk permit vlan 503 [LWJSL5FS9508gi0/1/2]port trunk pvid vlan 503 [LWJSL5FS9508]interface gi0/1/4 [LWJSL5FS9508gi0/1/4]speed 1000 [LWJSL5FS9508gi0/1/4]duplex full [LWJSL5FS9508gi0/1/4]description linkto XXzhongxue－ SYB－ 5F－ S3026 [LWJSL5FS9508gi0/1/4]port linktype trunk [LWJSL5FS9508gi0/1/4]port trunk permit vlan 504 [LWJSL5FS9508gi0/1/4]port trunk pvid vlan 504 ? 配置 三層 Vlan 接口 [LWJSL5FS9508] interface vlaninterface 99 [LWJSL5FS9508vlaninterface501]ip address 192。 ? 配置 super、 tel 用戶 登錄密碼 [LWJSL5FS9508] super password level 3 simple zsuez 注：配置加密的 超級用戶 密碼。通過這種機制，使得整個網(wǎng)絡的流量做到最優(yōu)，有效的保證了視頻點播、網(wǎng)絡電視、會議電視等視頻業(yè)務的開展 對各類業(yè)務的 QOS 保障 Qos 對于網(wǎng)絡的應用來說是非常重要的，考慮到學校未來要增加多種的業(yè)務，如：流媒體點播、視頻點播等，利用 QoS 技術中的 PQ/CQ/WFQ/LLQ/CBWFQ 等轉(zhuǎn)發(fā)隊列優(yōu)先保證機制，同時可以針對不同的接入層交換機端口或是不同業(yè)務進行端口的限速，以提高全網(wǎng)的 Qos 業(yè)務的保證。 ? 禁止從公網(wǎng)到內(nèi)部區(qū)的訪問請求，端口全關閉。限制遠程訪問的安全設置方法如下表所示 安全接入和配置方法 訪問方式 保證網(wǎng)絡設備安全的方法 備注 Console 控制接口的訪問 設置密碼和超時限制 建議超時限制設成 5分鐘 進入特權 exec和設備配置級別的命令行 配置 Radius來記錄 logon/logout時間和操作活動；配置至少一個本地賬戶作應急之用 tel 訪問 采用 ACL 限制，指定從特定的 IP 地址來進行 tel 訪問；配置 Radius 安全紀錄方案；設置超時限制 SSH 訪問 激活 SSH 訪問，從而允許操作員從網(wǎng)絡的外部環(huán)境進行設備安全登陸 WEB 管理訪問 取消 Web 管理功能 SNMP 訪問 常規(guī)的 SNMP 訪問是用 ACL 限制從特定的 IP 地址來進行 SNMP 訪問；記錄非授權的 SNMP訪問并禁止非授權的 SNMP企圖和攻擊 為增加安全，建議更改缺省的 SNMP Commutiy 子串 南寧職業(yè)技術學院 校園網(wǎng)項目實施方案 第 25 頁 共 43 頁 設置不同賬號 通過設置不同的賬號的訪問權限，提高安全性 拒絕服務的防止 網(wǎng)絡設備拒絕服務攻擊的防止主要是防止出現(xiàn) TCP SYN 泛濫攻擊、 Smurf 攻擊等；網(wǎng)絡設備的防 TCP SYN 的方法主要是配置網(wǎng)絡設備 TCP SYN 臨界值，若多于這個臨界值，則丟棄多余的TCP SYN 數(shù)據(jù)包；防 Smurf 攻擊主要是配置網(wǎng)絡設備不轉(zhuǎn)發(fā) ICMP echo 請求 (directed broadcast)和設置 ICMP 包臨界值，避免成為一個 Smurf 攻擊的轉(zhuǎn)發(fā)者、受害者。 接入層設備因為拓撲結(jié)構相對穩(wěn)定，變化較少，為最大限度的提 高路由匯聚速度和效率 ，均使用靜態(tài)路由完成上行路徑匯聚。動態(tài)路由協(xié)議主要有 RIP、 OSPF 、 ISIS 、IGRP、 EIGRP 等。采用 開放的、標準的路由協(xié)議，現(xiàn)有各校區(qū)網(wǎng)絡可以通過靜態(tài)路由連接上來，這樣不會影響其他網(wǎng)絡的 BGP 路由。 樓層 對應標簽 對應 2 樓 配線架號 所屬 VLAN 信息點 網(wǎng)關 Ip 地址范圍和子網(wǎng)掩碼 實訓樓 202 202 準備加 配線架 VLAN 80 10 － 20/24 實訓一樓 藝術系 202 食堂 202 30 － 70/24 教工宿舍樓 圖書館 一樓 20 － 100/24 教師宿舍樓 5 － 120/24 學生宿舍 5 － 140/24 四分院 四分院 VLAN 81 200 － 254/24 圖書館 圖書館 VLAN 82 100 － 150/24 實訓樓四樓 401 VLAN83 210 － 254/24 實訓樓五樓 501 VLAN 84 60 － 100/24 舊教學一樓 舊教學 一樓 VALN85 50 － 80/24 舊教學二樓 公共部 舊教學三樓 計算機 協(xié)會 VLAN 86 50 － 80 /24 新教學樓 VLAN 87 90 － 150/24 南寧職業(yè)技術學院 校園網(wǎng)項目實施方案 第 23 頁 共 43 頁 IP 地址的分配原則如下： （ 1）、每個 vlan 分配一個 C 類地址 （ 2）、給三層交換機設備互連的點對點 IP 地址分配 1 個 C 類地址，提供足夠的擴展性 （ 3）、考慮到以后的網(wǎng)絡擴展規(guī)模，二層交換機設備的管理 IP 地址分配 1 個 C 類 IP 地址； （ 4）、可以考慮為學校校園網(wǎng)分配一個 C類私有地址段，如 ,將 的地址段分配給網(wǎng)絡設備使用， ，其它地址分配給各辦公室 PC 機。預留 VLAN3555 一共 20 個 VLAN 南寧職業(yè)技術學院 校園網(wǎng)項目實施方案 第 21 頁 共 43 頁 五里亭校區(qū) VLAN 劃分： 第 號實訓樓有 300 個信息點，預留 VLAN56— 66 一共 10 個 VLAN 管理 VLAN VLAN 99 用于 TELENT 管理網(wǎng)絡設備使用 路由 VLAN VLAN100 用于 VLAN 之間的路由通信 南寧職業(yè)技術學院 校園網(wǎng)項目實施方案 第 22 頁 共 43 頁 IP 地址的分配原則 IP 地址的統(tǒng)一、合理規(guī)劃以及整個網(wǎng)絡向 IPv6 的演進是關系到整體分層網(wǎng)絡穩(wěn)定、快速收斂的關鍵，也是南寧職業(yè)技術學院校園網(wǎng)網(wǎng)絡設計中的重要一環(huán)。 四、系統(tǒng)實施方案 設備命名與用途 本次工程大多為新增設備，對所有的網(wǎng)絡設備進行統(tǒng)一的命名，同時我們也需要對客戶方原有設備進行統(tǒng)一的命名，以方便網(wǎng)絡系統(tǒng)管理。 在這個網(wǎng)絡安裝調(diào)試階段可以保留網(wǎng)絡設備接收 Tel 登陸和 Ftp 文件傳輸，這樣可以方便網(wǎng)絡設備在項目實施過程中的參數(shù)調(diào)整。要求布線施工人員提交布線測試報告，并抽檢局域網(wǎng)線路（或全部測試）。 網(wǎng)絡設備的現(xiàn)場安裝調(diào)試，由南寧 電子科技有限公司擬定網(wǎng)絡連接拓撲方案、網(wǎng)絡路由選擇方案、網(wǎng)絡安全設備配置方案、網(wǎng)絡調(diào)試計劃等文件與客戶的相關人員共同商討審定，審定的內(nèi)容包括技術的可行性、人員時間安排、調(diào)試測試手段等。 網(wǎng)絡設備安裝調(diào)試過程： 網(wǎng)絡設備安裝調(diào)試工作是項目建設的重要步驟，也是項目準時上線運行的基本保證。這個監(jiān)測報告需要設備供應商工程師、 工程師和客戶工程師共同簽字確認并在雙方存檔。 網(wǎng)絡設備初檢 網(wǎng)絡設備初檢的前提條件是網(wǎng)絡調(diào)試準備階段的文檔經(jīng)客戶審定通過，工程所需要的網(wǎng)絡設備全部到貨。 4. 主要設備配置細節(jié)規(guī)劃 對于網(wǎng)絡交換設 備、網(wǎng)絡路由設備、網(wǎng)絡防火墻設備等做出相對具體的配置范本。工程施主要分為兩部分： 網(wǎng)絡調(diào)試準備及設備初檢 網(wǎng)絡系統(tǒng)的安裝調(diào)試準備工作相對較多，詳細、精心的準備工作可以使安裝調(diào)試達到事半功倍的效果。 項目實施技術部門 技術部是項目實施的技術保障部門， 下設幾個重要職能小組： （ 1）、 網(wǎng)絡調(diào)試組 主要工作與職責： ? 深入理解并貫徹總體設計方案精神