【導(dǎo)讀】大型校園網(wǎng)絡(luò)已經(jīng)成為校園信息化建設(shè)成功的關(guān)鍵基石。校園網(wǎng)是一個寬帶、且有交互功能和專業(yè)性很強的局域網(wǎng)絡(luò)。為學(xué)院師生提供教學(xué)、科研和綜合信息服務(wù)起了重要的作用。教學(xué)、考試資料庫等。在校園網(wǎng)中，主要的網(wǎng)絡(luò)設(shè)備都集中在網(wǎng)絡(luò)中心機房里。核心層的三層交換機，用于匯聚層的三層交換機，還有各種服務(wù)器，器，以及防火墻等等。和學(xué)校行政樓宇，以及與外界聯(lián)系。它擔(dān)當(dāng)著所有數(shù)據(jù)的傳輸、轉(zhuǎn)發(fā)、分類匯總以及流量控制等等功能。校園網(wǎng)的實現(xiàn)即方便了教師的日常。院的網(wǎng)絡(luò)是否正常運行以及網(wǎng)絡(luò)安全。針對這一問題，下面我們五人。小組將詳細(xì)分析介紹網(wǎng)絡(luò)中心機房的規(guī)劃與實現(xiàn)。

　　

【正文】 實現(xiàn)端口或交換機整機與用戶 IP 地址和 MAC 地址的靈活綁定，嚴(yán)格限定端口上的用戶接入或交換機整機上的用戶接入問題； 保護端口不必占用 VLAN 資源，即可非常方便地隔離用戶之間信息互通，充分保護用戶信息的安全； 支持 DHCP snooping，可只允許信任端口的 DHCP 響應(yīng)，防止私設(shè) DHCP Server 的欺騙；并在 DHCP 監(jiān)聽的基礎(chǔ)上，通過動 態(tài)監(jiān)測 ARP 和檢查用戶的 IP，直接丟棄不符合綁定表項的非法報文，有效防范 ARP 欺騙和用戶源 IP 地址的欺騙問題； 基于源 IP 地址控制的 Tel 和 Web 設(shè)備訪問控制，避免非法人員和黑客惡意攻擊和控制設(shè)備，增強了設(shè)備網(wǎng)管的安全性； SSH（ Secure Shell）和 SNMPv3 確保在 Tel 和 SNMP 進(jìn)程中加密管理信息，保證交換機管理信息的安全性，防止黑客攻擊和控制設(shè)備； 控制非法用戶接入網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口安全、端口隔離、專家級 ACL、時間 ACL、基于應(yīng)用數(shù)據(jù)流的帶寬限速、多元素綁 定等等，滿足企業(yè)和校園網(wǎng)加強對訪問者進(jìn)行控制、阻止非授權(quán)用戶通信的需求。 ? 高可靠性 支持生成樹協(xié)議 、 、 ，完全保證快速收斂，提高容錯能力，保證網(wǎng)絡(luò)的穩(wěn)定運行和鏈路的負(fù)載均衡，合理使用網(wǎng)絡(luò)通道，提供冗余鏈路利用率； 支持 VRRP 虛擬路由器冗余協(xié)議，有效保障網(wǎng)絡(luò)穩(wěn)定； 支持 RLDP，可快速檢測鏈路的通斷和光纖鏈路的單向性，并支持端口下的環(huán)路檢測功能，防止端口下因私接 Hub 等設(shè)備形成的環(huán)路而導(dǎo)致網(wǎng)絡(luò)故障的現(xiàn)象。 ? 方便易用易管理 靈活復(fù)用的多種千兆接口形式，可靈活滿足需要多個千兆銅 纜和多個千兆光纖鏈路的連接，方便用戶靈活選擇線纜； 為滿足網(wǎng)絡(luò)彈性擴展和高帶寬傳輸需要，簡單選配多種類型的萬兆模塊，網(wǎng)絡(luò)即可平滑升級到萬兆上鏈骨干； 為方便安裝地點或建筑物不適宜部署外部電源的環(huán)境， RGS5750 系列交換機特別提供支持 PoE 功能的產(chǎn)品型號，即通過雙絞線就可以向遠(yuǎn)端下掛的 PD 設(shè)備供電，如無線AP、 IP Phone、視頻監(jiān)控等設(shè)備，方便了任何符合 IEEE 標(biāo)準(zhǔn)的終端設(shè)備的接入， 實現(xiàn)以太網(wǎng)集中供電，以滿足金融、企業(yè)、學(xué)校、醫(yī)院、工廠等用戶實現(xiàn) VoIP、遠(yuǎn)程監(jiān)控、無線 AP 等網(wǎng)絡(luò)應(yīng)用的 需要； SNTP（簡單網(wǎng)絡(luò)時間協(xié)議）保證交換機時間的準(zhǔn)確性，并與網(wǎng)絡(luò)中時間服務(wù)器的時間統(tǒng)一化，方便日志信息和流量信息的分析、故障診斷等管理； Syslog 方便各種日志信息的統(tǒng)一收集、維護、分析、故障定位、備份，便于管理員網(wǎng)絡(luò)維護和管理； 多端口同步監(jiān)控，通過一個端口即可同時監(jiān)控多個端口的數(shù)據(jù)流，可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，大大提高維護效率； CLI 界面，方便高級用戶配置和使用； Javabased Web 管理方式，實現(xiàn)對交換機的可視化圖形界面管理，快速和高效地配置設(shè)備。 設(shè)備詳情 設(shè)備需求 銳捷網(wǎng)絡(luò) RGS5750P24GT/125FP 基本參數(shù) 產(chǎn)品型號 RGS5750P24GT/125FP 產(chǎn)品類型 部門級 ,三層 ,可網(wǎng)管型交換機 傳輸方式 存儲轉(zhuǎn)發(fā)方式 背板帶寬 240Gbps 包轉(zhuǎn)發(fā)率 66Mpps 外形尺寸 44043544mm 硬件參數(shù) 接口類型 10/100/1000BASET 端口 ,1000BaseX SFP 端口 接口數(shù)目 36 口 傳輸速率 10M/100M/1000Mbps 模塊化插槽數(shù) 2 堆疊 不可堆疊 網(wǎng)絡(luò)與軟件 支持網(wǎng)絡(luò)標(biāo)準(zhǔn) , , ,IEEE802. 1x,(GVRP), ,IGMP Snooping v1/v2/v3,LLDP,IEEE VLAN 支持 支持 VLAN 功能 網(wǎng)管功能 支持 網(wǎng)管功能 是否支持全雙工 支持全雙工 MAC 地址表 8k 其它參數(shù) 電源電壓 176VAC264VAC,48Hz60Hz 最大功率 90W （ 4）邊界路由器 需求分析 邊界路由器是校園網(wǎng)出外網(wǎng)的唯一通道，是校園網(wǎng)互聯(lián)網(wǎng)絡(luò)的高速交換主干，需要轉(zhuǎn)發(fā)非常大的數(shù)據(jù)流量。同時，為了對協(xié)調(diào)學(xué) 校各個校區(qū)的通信，需實現(xiàn)遠(yuǎn)程站點之間的優(yōu)化傳輸，以及盡可能提供較多的冗余，邊界路由器的冗余功能在硬件出現(xiàn)故障時的收斂速度也會更快。因此，在選擇邊界路由器時，應(yīng)著重考慮以下幾點： A 提供高可靠性和冗余性； B 提供故障隔離； C 迅速適應(yīng)升級； D 提供較少的滯后和較好的可管理性； E 具有有限和一致的直徑。 F 支持 VPN技術(shù) 基于以上的一些需求分析后，我組在邊界路由器的選擇中選取銳捷路由器 RGR2690. 路由器 RGR2690 的優(yōu)點如下： ? 模塊化結(jié)構(gòu)設(shè)計 具有 4個網(wǎng)絡(luò) /語音模塊插槽，支持種類豐富、功能齊全、高密度的網(wǎng)絡(luò) /語音模塊，可實現(xiàn)更多的組合應(yīng)用。 ? 強大的數(shù)據(jù)處理能力 采用先進(jìn)的 Motorola MPC 8241 CPU，主頻達(dá)到 200MHz，先進(jìn)的總線技術(shù)，包轉(zhuǎn)發(fā)延遲小，高效的數(shù)據(jù)處理能力支持高密度端口，保證在高速環(huán)境下的網(wǎng)絡(luò)應(yīng)用； 包轉(zhuǎn)發(fā)率達(dá)到 90100Kpps。 ? 高效安全的終端服務(wù) 提供 64位密鑰的 RC4加密，可以實現(xiàn)路由器到 UNIX服務(wù)器之間的數(shù)據(jù)安全加密； 提供固定終端服務(wù)登陸的功能，確保路由器上每臺終端登陸時，每次得到的終端號都是固定的，有利于管 理。 ? 良好的 VPN功能 支持 IPSec的 VPN功能； 支持 GRE的 VPN功能； 支持 L2TP/PPTP 的 VPDN應(yīng)用； 在 NAT應(yīng)用下，支持 L2TP/PPTP 的穿透功能。 ? 高可靠性 支持鏈路備份、路由備份等多種方式的備份技術(shù)，提高整個網(wǎng)絡(luò)的可靠性； 支持 VRRP熱備份協(xié)議，實現(xiàn)線路和設(shè)備的冗余備份。 ? 高安全性 完善的防火墻技術(shù)，支持基于源目的 IP、協(xié)議、端口以及時間段的訪問列表控制策略；支持 IP與 MAC地址的綁定，有效防止 IP地址的欺騙； 支持認(rèn)證、授權(quán)、記錄用戶信息的 AAA認(rèn)證技術(shù)，支持 Radius 認(rèn)證協(xié) 議； 支持動態(tài)路由協(xié)議中的路由信息認(rèn)證技術(shù)，保證動態(tài)路由網(wǎng)絡(luò)中路由信息的安全和可靠； 支持 PPP協(xié)議中的 PAP、 CHAP認(rèn)證及回?fù)芗夹g(shù)。 ? 方便易用易管理 采用標(biāo)準(zhǔn) CLI界面，操作更簡單； 支持 SNMP協(xié)議，配置文件的 TFTP上傳下載，方便網(wǎng)絡(luò)管理； 支持 Tel/Console，方便的實現(xiàn)遠(yuǎn)程管理和控制； 多樣的在線升級，為將來的功能擴展預(yù)留空間。 設(shè)備詳情 設(shè)備需求 銳捷網(wǎng)絡(luò) RGR2690 基本參數(shù) 產(chǎn)品型號 RGR2690 上市日期 2021 年 產(chǎn)品類型 模塊化路由器 廣域網(wǎng)接口 1 個 Console 端口 ,1 個 AUX端口 硬件參數(shù) 處理器 Motorola MPC 8241,200MHz DRAM 內(nèi)存 320MB Flash 內(nèi)存 72MB 控制端口 1 個 Console 端口 擴展插槽 4 個擴展模塊槽 接口模塊 網(wǎng)絡(luò) ,語音模塊 軟件參數(shù) 支持協(xié)議 oIP,PAP,CHAP,RADIUS,AAA NAT 支持 支持 認(rèn)證標(biāo)準(zhǔn) 不詳 其它性能 支持鏈路備份 ,路由備份等多種方式的備份技術(shù) 其它參數(shù) 網(wǎng)絡(luò)設(shè)備配置 （ 1）邊界路由器配置 核心路由器 R2690 基本配置 Routeren Router(config)conf t Router(config)host name R26901 R26901(config)enable secrtet star R26901(config)line vty 0 4 R26901(configline)password star R26901(configline)login R26901(configline)exit 聲明 s1/1端口外網(wǎng)接口 R26901(config)int s 1/1 R26901(configif)ip nat outside R26901(configif)ip add R26901(configif)no shutdown R26901(configif)exit 聲明 f1/1端口內(nèi)網(wǎng)接口 R26901(config)int f 1/1 R26901(configif)ip nat inside R26901(configif)ip add R26901(configif)no shutdown R26901(configif)exit 配置 ospf協(xié)議 R26901(config)route ospf 1 R26901(configrouter)work area 0 R26901(configrouter)work area 0 R26901(configrouter)exit 配置 NAPT協(xié)議 R26901(config)accesslist 10 permit R26901(config)ip nat pool ruijie mask R26901(config)ip nat inside source list 10 pool ruijie overload IPSEC 的 VPN 配置步驟（ 邊界路由器 R2690 的 VPN 配置如下 ） 第一步 配置 IKE 協(xié)商 Router1(config)crypto isakmp policy 1 建立 IKE 協(xié)商策略 Router1 (configisakmap) hash md5 設(shè)置密鑰驗證所用的算法 Router1 (configisakmap) authentication preshare 設(shè)置路由要使用的預(yù)先共享的密鑰 Router1 (config) crypto isakmp key 123 address 設(shè)置共享密鑰和對端地址 123 是密鑰 Router 2(config)crypto isakmp policy 1 Router 2(configisakmap) hash md5 Router 2(configisakmap) authentication preshare Router 2(config) crypto isakmp key 123 address 第二步 配置 IPSEC 相關(guān)參數(shù) Router1(config) crypto ipsec transformset cfanhome ahmd5hmac espdes 配置傳輸模式以及驗證的算法和加密的的算法 cfanhome 這里是給這個傳輸模式取個名字 Router1(config) accesslist 101 permit ip any any 我這里簡單的寫 但是大家做的時候可不能這樣寫這里是定義訪問控制列表 Router2(config) crypto ipsec transformset cfanhome ahmd5hmac espdes 兩邊的傳輸模式的名字要一樣 R2(config) accesslist 101 permit ip any any 第三步 應(yīng)用配置到端口 假設(shè) 2 個端口都是 s0/0 Router1(config) crypto map cfanhomemap 1 ipsecisakmp 采用 IKE 協(xié)商，優(yōu)先級為 1 這里的cfanhomemap 是一個表的名字 Router1(configcryptomap) set peer 指定 VPN 鏈路對端的 IP 地址 Router1(configcryptomap) set transformset cfanhome 指定先前所定義的傳輸模式 Router1(configcryptomap) match address 101 指定使用 的反問控制列表 這里的MATCH 是匹配的意思 Router1(config) int s0/0 Router1(configif) crypto map cfanhomemap 應(yīng)用此表到端口 （ 2）核心交換機配置 核心交換機 S5750P1 基本配置 Switchen Switch(config)conf t Switch(config)host name S5750P1 S5750P1(config)enable secrtet star S5750P1(config)line vty 0 4 S5750P1(configline)password star S5750P1(configline)login S57