【文章內容簡介】 0spanningtree vlan 32 priority 0spanningtree vlan 99 priority 4096S1的STP生成樹技術主要配置：spanningtree vlan 1 priority 0spanningtree vlan 11 priority 4096spanningtree vlan 12 priority 4096spanningtree vlan 21 priority 4096spanningtree vlan 22 priority 4096spanningtree vlan 10 priority 0spanningtree vlan 20 priority 0spanningtree vlan 30 priority 0spanningtree vlan 40 priority 0spanningtree vlan 31 priority 4096spanningtree vlan 32 priority 4096spanningtree vlan 99 priority 0使用interface fastport 0/0 – 1 這兩個接口來做捆綁，增大網絡的帶寬！主要配置如下interface FastEthernet0/0 switchport mode trunk channelgroup 2 mode on! interface FastEthernet0/1 switchport mode trunk channelgroup 2 mode on HSRP網關冗余技術：S1主要作為vlan1122332的主網關，以vlan11為例，配置如下：interface Vlan11 配置vlan11的端口 ip address 配置vlan11的IP地址 standby 11 ip 配置vlan11HSRP的虛網關 standby 11 priority 120 配置vlan11的優(yōu)先級 standby 11 preempt 配置vlan11的優(yōu)先級搶占 standby 11 track FastEthernet0/8 30 配置vlan11的上連端口跟蹤S2主要作為vlan99的主網關，vlan1122332的備份網關。S2主網關的配置參考S1vlan11的配置。備份網關的配置如下：interface Vlan11 ip address standby 11 ip standby 11 preempt5路由設計實施方案 vlan三層路由接入方案：對于vlan間的路由有傳統的vlan間路由技術，單臂路由技術，以及三層交換技術。其中三層交換技術解決了局域網中網段劃分之后，網段中子網必須依賴路由器進行管理的局面，解決了傳統路由器低速，復雜所造成的網絡瓶頸問題。三層交換技術主要實施配置命令如下：S1 (config) ip routing 啟動路由功能S1（config） intface vlan 11S1（configif） ip address 在湘潭大學的環(huán)境中，當網絡拓撲變更時，使用靜態(tài)路由維護起來比較麻煩，且配置起來很容易出錯，容易導致路由環(huán)路，影響設備的使用和網絡的帶寬。動態(tài)路由協議只需要對相應的路由器進行配置，路由器可以自動獲取相應的路由器上的網段，自動計算最佳路徑，自動生成路由表；拓撲變更時，自動變更路由表，不需要人為參與，管理維護起來很方便。靜態(tài)路由和動態(tài)路由各有各自的特點和適用范圍，因此在網絡中動態(tài)路由通常作為靜態(tài)路由的補充。當一個分組在路由器中進行尋徑時，路由器首先查找靜態(tài)路由，如果查到則根據相應的靜態(tài)路由轉發(fā)分組；否則再查找動態(tài)路由。因此，在此方案中，核心主要區(qū)域選動態(tài)路由協議，防火墻設備上使用靜態(tài)路由，這樣可以很好的利用靜態(tài)路由和動態(tài)理由的各自的優(yōu)點，為網絡傳輸服務。 主流的動態(tài)路由協議有RIP（路由信息協議），OSPF（開放最短路徑優(yōu)先）、BGP（邊界網關協議）。 RIP：RIP（距離向量路由選擇協議）路由協議用“更新（UNPDATES）”和“請求（REQUESTS）”這兩種分組來傳輸信息的。每個具有RIP協議功能的路由器每隔30秒就會使用UDP520端口給與之直接相連的機器廣播更新信息。更新信息反映了該路由器所有的路由選擇信息數據庫。路由選擇信息數據庫的每個條目由“局域網上能達到的IP地址”和“與該網絡的距離”兩部分組成。請求信息用于尋找網絡上能發(fā)出RIP報文的其他設備。任何距離向量路由選擇協議（如RIP）都有一個問題，路由器不知道網絡的全局情況，路由器必須依靠相鄰路由器來獲取網絡的可達信息。由于路由選擇更新信息在網絡上傳播慢，距離向量路由選擇算法有一個慢收斂問題，這個問題將導致不一致性產生，有可能會導致路由環(huán)路。 OSPF：OSPF路由協議是一種典型的鏈路狀態(tài)的路由協議，一般用于同一個路由域內。在這里，路由域是指一個自治系統（Autonomous System），即AS，它是指一組通過統一的路由政策或路由協議互相交換路由信息的網絡。在這個AS中，所有的OSPF路由器都維護一個相同的描述這個AS結構的數據庫，該數據庫中存放的是路由域中相應鏈路的狀態(tài)信息，OSPF路由器正是通過這個數據庫計算出其OSPF路由表的。 作為一種鏈路狀態(tài)的路由協議，OSPF將鏈路狀態(tài)廣播數據包LSA（Link State Advertisement）傳送給在某一區(qū)域內的所有路由器，這一點與距離矢量路由協議不同。運行距離矢量路由協議的路由器是將部分或全部的路由表傳遞給與其相鄰的路由器。SPF算法是OSPF路由協議的基礎。SPF算法將每一個路由器作為根（ROOT）來計算其到每一個目的地路由器的距離，每一個路由器根據一個統一的數據庫會計算出路由域的拓撲結構圖，該結構圖類似于一棵樹，在SPF算法中，被稱為最短路徑樹。OSPF協議根據SPF算法，以自己所在的路由器為根，計算出到達所有網段的最短路徑，添加到路由表中。 BGP：BGP是自治系統間的路由協議。BGP交換的網絡可達性信息提供了足夠的信息來檢測路由回路并根據性能優(yōu)先和策略約束對路由進行決策。特別地，BGP交換包含全部AS path的網絡可達性信息，按照配置信息執(zhí)行路由策略。 BGP協議擁有非常豐富的路由策略，適合大型的網絡拓撲，為路由區(qū)域與路由區(qū)域之間建立路由；缺點：占用較大的網絡設備的資源。 結合科技職業(yè)學院的實際情況考慮，本校園網絡設計不需要使用BGP路由協議。OSPF與RIP的比較： RIP路由協議中用于表示目的網絡遠近的唯一參數為跳，也即到達目的網絡所要經過的路由器個數。在RIP路由協議中，該參數被限制為最大15，也就是說RIP路由信息最多能傳遞至第16個路由器；對于OSPF路由協議，路由表中表示目的網絡的參數為Cost，該參數為一虛擬值，與網絡中鏈路的帶寬等相關，也就是說OSPF路由信息不受物理跳數的限制。并且，OSPF路由協議還支持TOS（Type of Service）路由，因此，OSPF比較適合應用于大中型網絡。 　　RIP路由協議不支持變長子網屏掩碼（VLSM），這被認為是RIP路由協議不適用于大型網絡的又一重要原因。采用變長子網屏蔽碼可以在最大限度上節(jié)約IP地址。OSPF路由協議對VLSM有良好的支持性。 　　RIP路由協議路由收斂較慢。RIP路由協議周期性地將整個路由表作為路由信息廣播至網絡中，該廣播周期為30秒。在一個較為大型的網絡中，RIP協議會產生很大的廣播信息，占用較多的網絡帶寬資源；并且由于RIP協議30秒的廣播周期，影響了RIP路由協議的收斂，甚至出現不收斂的現象。而OSPF是一種鏈路狀態(tài)的路由協議，當網絡比較穩(wěn)定時，網絡中的路由信息是比較少的，并且其廣播也不是周期性的，因此OSPF路由協議即使是在大型網絡中也能夠較快地收斂。 　　在RIP協議中，網絡是一個平面的概念，并無區(qū)域及邊界等的定義。隨著無級路由CIDR概念的出現，RIP協議就明顯落伍了。在OSPF路由協議中，一個網絡，或者說是一個路由域可以劃分為很多個區(qū)域，每一個區(qū)域通過OSPF邊界路由器相連，區(qū)域間可以通過路由總結（Summary）來減少路由信息，減小路由表，提高路由器的運算速度。 由此可見，OSPF更加適合作為本方案中骨干區(qū)域的動態(tài)路由協議。由于OSPF是鏈路狀態(tài)路由協議，本身就不會產生環(huán)路，而且可以自動將路徑開銷相同的兩條路由進行負載均衡，可以很好的實現本方案中的設備冗余及負載均衡。 在骨干網絡中，配置OSPF時，因為OSPF是鏈路狀態(tài)路由協議，配置了OSPF的路由，會在開啟傳播的接口上傳播鏈路狀態(tài)信息；為了防止其他端口泄露拓撲信息，應將不需要傳播鏈路狀態(tài)信息的接口配置為被動接口，使網絡更加安全。OSPF被動接口：即不進行OSPF協議信息傳播的接口，該接口不會主動傳播OSPF協議信息。 為使內部網絡所有需要通往外界Internet的流量均流向核心交換機，在核心交換機上下發(fā)缺省路由。 多區(qū)域OSPF的實施配置OSPF是開放式最短路徑路由協議是無環(huán)路鏈路狀態(tài)路由協議，而多區(qū)域的OSPF路由是對OSPF的改進，OSPF區(qū)域內使用的是最短路徑優(yōu)先算法，而區(qū)域間使用的則是DV算法。多區(qū)域的OSPF減少了OSPF的LSA報文流量，減小了路由表，也將出現的異?？刂圃趨^(qū)域內，對網絡的安全性以及穩(wěn)定性都有了顯著的提高。多區(qū)域OSPF的難點在于AREA 0的選取，由于區(qū)域間使用的是DV算法，所以各個分區(qū)域必須以AREA0為中心，連接各個分區(qū)域。多區(qū)域OSPF主要配置命令如下所示：router ospf 1 ospf進程號 routerid ospf router ID logadjacencychanges passiveinterface default 默認的passive端口 no passiveinterface Serial0/0 開放端口使他們能夠通告鄰居網絡 no passiveinterface Serial0/2 no passiveinterface FastEthernet1/0 no passiveinterface FastEthernet2/0 network area 0 關聯鄰居網段 network area 0 network area 0 network area 0 network area 2!6廣域網Internet與服務器接入實施方案 廣域網Internet接入到校園網絡的邊界路由器，而連接Intelnet的邊界路由器是進入內網的入口，對于該路由的安全性考慮，必須在此處設置防火墻。防止不法分子的入侵。 防火墻(firewall)是一項協助確保信息安全的設備，會依照特定的規(guī)則，允許或是限制傳輸的數據通過。防火墻可以是一臺專屬的硬件也可以是架設在一般硬件上的一套軟件。防火墻是在本地網絡與外界網絡之間的一道防御系統，是這一類防范措施總稱。防火墻是在兩個網絡通信時執(zhí)行的一種訪問控制尺度，它能允許“被同意”的人和數據進入你的網絡，同時將“不被同意”的人和數據拒之門外，最大限度地阻止網絡中的非法用戶來訪問你的網絡。互聯網上的防火墻是一種非常有效的網絡安全模型，通過它可以使企業(yè)內部局域網與Internet之間或者與其他外部網絡互相隔離、限制網絡互訪，從而達到保護內部網絡目的。 在校園網邊界與Internet連接處部署防火墻，可以從TCP/IP底層將非法流量拒之門外，保護校園網絡中數據的安全和網絡的穩(wěn)定。 本方案中防火墻的部署如下圖61所示：圖61 防火墻 邊界網路中，網絡變更不會很頻繁，為方便管理，在防火墻內使用靜態(tài)的路由協議，對內部的IP網段進行匯總，使用缺省路由指向外界網絡。 內部網絡匯總：內部教學、辦公等IP網段可以匯總為：；設備網管網段：；設備loopback網段：；三層鏈路網段：；服務器網段：；學生公寓網段匯總：。 防火墻與內部網絡連接的是兩個接口，為防止出現宕機影響網絡連通性，本方案設計浮動IP路由，通過修改靜態(tài)路由的開銷，達到自動切換的功能。防火墻靜態(tài)路由配置主要命令：（以下兩個以核心交換機RT1 為主，RT2為備）ip route ip route 120ip route ip route 120（以下兩個網段以核心交換機RT2為主，RT1為備）ip route ip route 120ip route ip route 120（以下為缺省路由，只想外網出口）ip route S0/0 防火墻為連接外網與內部局域網的一種中間設備，起到保護內部網絡的作用，內部網絡需穿過防火墻，才可以訪問外部網絡。由于內部局域網絡使用的是私有的IP地址，要使內部主機可以訪問