【正文】 ? 配置 SNMP [LWJSL5FS9508]snmpagent trap enable standard coldstart [LWJSL5FS9508] snmpagent trap enable standard linkup [LWJSL5FS9508] snmpagent trap enable standard linkdown [LWJSL5FS9508] snmpagent targethost address udpdomain [LWJSL5FS9508] snmpagent munity write private [LWJSL5FS9508] snmpagent munity read public [LWJSL5FS9508] snmpagent trap source loopback0 注： 配置 SNMP 需指定陷阱報(bào)文接收主機(jī)和報(bào)文原接口，可加上 acl ? 配置 日志管理 [LWJSL5FS9508]infocenter enable [LWJSL5FS9508]infocenter loghost lauguage chinese [LWJSL5FS9508]infocenter loghost source loopback0 [LWJSL5FS9508]infocenter source default log level debugging [LWJSL5FS9508]infocenter timestamp log ? 配置 端口物理層參數(shù) [LWJSL5FS9508]interface gi0/1/1 [LWJSL5FS9508gi0/1/1]speed 1000 [LWJSL5FS9508gi0/1/1]duplex full 南寧職業(yè)技術(shù)學(xué)院 校園網(wǎng)項(xiàng)目實(shí)施方案 第 36 頁 共 43 頁 [LWJSL5FS9508gi0/1/1]description linktozhongdaannaiteswitch [LWJSL5FS9508gi0/1/1]port linktype trunk [LWJSL5FS9508gi0/1/1]port trunk permit vlan 501 [LWJSL5FS9508gi0/1/1]port trunk pvid vlan 501 [LWJSL5FS9508gi0/1/1]quit [LWJSL5FS9508]linkaggregation gi0/1/2 to gi0/1/3 both [LWJSL5FS9508]interface gi0/1/2 [LWJSL5FS9508gi0/1/2]description linkto XXzhongxue－ SYB－ 5F－ S3026 [LWJSL5FS9508gi0/1/2]port linktype trunk [LWJSL5FS9508gi0/1/2]port trunk permit vlan 503 [LWJSL5FS9508gi0/1/2]port trunk pvid vlan 503 [LWJSL5FS9508]interface gi0/1/4 [LWJSL5FS9508gi0/1/4]speed 1000 [LWJSL5FS9508gi0/1/4]duplex full [LWJSL5FS9508gi0/1/4]description linkto XXzhongxue－ SYB－ 5F－ S3026 [LWJSL5FS9508gi0/1/4]port linktype trunk [LWJSL5FS9508gi0/1/4]port trunk permit vlan 504 [LWJSL5FS9508gi0/1/4]port trunk pvid vlan 504 ? 配置 三層 Vlan 接口 [LWJSL5FS9508] interface vlaninterface 99 [LWJSL5FS9508vlaninterface501]ip address 192。 ? 配置 super、 tel 用戶 登錄密碼 [LWJSL5FS9508] super password level 3 simple zsuez 注：配置加密的 超級(jí)用戶 密碼?，F(xiàn)將各類業(yè)務(wù)大致分為以下 4 類： 網(wǎng)絡(luò)及日志管理 針對(duì)星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的特點(diǎn)，采用集中式網(wǎng)絡(luò)管理結(jié)構(gòu)，將 QUIDVIEW 網(wǎng)絡(luò)管理系統(tǒng) 、CAMS 綜合訪問管理系統(tǒng)、 XLog 網(wǎng)絡(luò)日志系統(tǒng)直接掛接在中心 S9508 核心交換機(jī)上來實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行狀況查看、故障管理、流量檢測(cè)及認(rèn)證策略下發(fā)和日志收集等。通過這種機(jī)制，使得整個(gè)網(wǎng)絡(luò)的流量做到最優(yōu)，有效的保證了視頻點(diǎn)播、網(wǎng)絡(luò)電視、會(huì)議電視等視頻業(yè)務(wù)的開展 對(duì)各類業(yè)務(wù)的 QOS 保障 Qos 對(duì)于網(wǎng)絡(luò)的應(yīng)用來說是非常重要的，考慮到學(xué)校未來要增加多種的業(yè)務(wù)，如：流媒體點(diǎn)播、視頻點(diǎn)播等，利用 QoS 技術(shù)中的 PQ/CQ/WFQ/LLQ/CBWFQ 等轉(zhuǎn)發(fā)隊(duì)列優(yōu)先保證機(jī)制，同時(shí)可以針對(duì)不同的接入層交換機(jī)端口或是不同業(yè)務(wù)進(jìn)行端口的限速，以提高全網(wǎng)的 Qos 業(yè)務(wù)的保證。 組播業(yè)務(wù)及 QOS 保障 組播業(yè)務(wù)的實(shí)現(xiàn) 通過標(biāo)準(zhǔn)的 ICMP、 PIM－ SM、 PIM－ DM、 MSDP 等組播協(xié)議完成用戶的組播管理，并通過HGMP 協(xié)議將各樓道交換機(jī)也納入到組播實(shí)現(xiàn)中。 ? 禁止從公網(wǎng)到內(nèi)部區(qū)的訪問請(qǐng)求，端口全關(guān)閉。 配置一條靜態(tài)路由指向內(nèi)網(wǎng)網(wǎng)段 （六）、地址轉(zhuǎn)換（ nat） web 服務(wù)器地址映射（單對(duì)單）： 私有內(nèi)部地址： 對(duì)應(yīng)公網(wǎng)地址： MAIL 服務(wù)器地址映射（單對(duì)單）： 私有內(nèi)部地址： 對(duì)應(yīng)公網(wǎng)地址： 內(nèi)部網(wǎng)計(jì)算機(jī)訪問 inter 地址映射（多對(duì)多）： 私有內(nèi)部地址： 對(duì)應(yīng)公網(wǎng)地址： （七）、訪問控制： ? 允許從內(nèi)網(wǎng)訪問 inter，端口全開放。限制遠(yuǎn)程訪問的安全設(shè)置方法如下表所示 安全接入和配置方法 訪問方式 保證網(wǎng)絡(luò)設(shè)備安全的方法 備注 Console 控制接口的訪問 設(shè)置密碼和超時(shí)限制 建議超時(shí)限制設(shè)成 5分鐘 進(jìn)入特權(quán) exec和設(shè)備配置級(jí)別的命令行 配置 Radius來記錄 logon/logout時(shí)間和操作活動(dòng)；配置至少一個(gè)本地賬戶作應(yīng)急之用 tel 訪問 采用 ACL 限制，指定從特定的 IP 地址來進(jìn)行 tel 訪問；配置 Radius 安全紀(jì)錄方案；設(shè)置超時(shí)限制 SSH 訪問 激活 SSH 訪問，從而允許操作員從網(wǎng)絡(luò)的外部環(huán)境進(jìn)行設(shè)備安全登陸 WEB 管理訪問 取消 Web 管理功能 SNMP 訪問 常規(guī)的 SNMP 訪問是用 ACL 限制從特定的 IP 地址來進(jìn)行 SNMP 訪問；記錄非授權(quán)的 SNMP訪問并禁止非授權(quán)的 SNMP企圖和攻擊 為增加安全，建議更改缺省的 SNMP Commutiy 子串 南寧職業(yè)技術(shù)學(xué)院 校園網(wǎng)項(xiàng)目實(shí)施方案 第 25 頁 共 43 頁 設(shè)置不同賬號(hào) 通過設(shè)置不同的賬號(hào)的訪問權(quán)限，提高安全性 拒絕服務(wù)的防止 網(wǎng)絡(luò)設(shè)備拒絕服務(wù)攻擊的防止主要是防止出現(xiàn) TCP SYN 泛濫攻擊、 Smurf 攻擊等；網(wǎng)絡(luò)設(shè)備的防 TCP SYN 的方法主要是配置網(wǎng)絡(luò)設(shè)備 TCP SYN 臨界值，若多于這個(gè)臨界值，則丟棄多余的TCP SYN 數(shù)據(jù)包；防 Smurf 攻擊主要是配置網(wǎng)絡(luò)設(shè)備不轉(zhuǎn)發(fā) ICMP echo 請(qǐng)求 (directed broadcast)和設(shè)置 ICMP 包臨界值，避免成為一個(gè) Smurf 攻擊的轉(zhuǎn)發(fā)者、受害者。保證網(wǎng)絡(luò)安全主要從以下幾個(gè)方面著手。 接入層設(shè)備因?yàn)橥負(fù)浣Y(jié)構(gòu)相對(duì)穩(wěn)定，變化較少，為最大限度的提 高路由匯聚速度和效率 ，均使用靜態(tài)路由完成上行路徑匯聚。 OSPF 和 ISIS 都屬于鏈路狀態(tài)型鏈路協(xié)議，兩個(gè)路由協(xié)議都采用 SPF 算法計(jì)算路由， OSPF 是開放的 IETF 標(biāo)準(zhǔn)協(xié)議，具有很好的 可靠性和擴(kuò)展性，具有高效南寧職業(yè)技術(shù)學(xué)院 校園網(wǎng)項(xiàng)目實(shí)施方案 第 24 頁 共 43 頁 的路由聚合和缺省路由機(jī)制， OSPF 和 MPLS 能夠很好的結(jié)合，而 ISIS 和 MPLS 的結(jié)合需要對(duì) ISIS進(jìn)行修改，因此 推薦教育城域網(wǎng)采用 OSPF 作為 IGP，考慮到目前三層網(wǎng)絡(luò)較小，整個(gè)核心匯聚層采用 OSPF 核心區(qū)域 area 0 。動(dòng)態(tài)路由協(xié)議主要有 RIP、 OSPF 、 ISIS 、IGRP、 EIGRP 等。域內(nèi)路由即可以通過動(dòng)態(tài)路由協(xié)議也可以通過靜態(tài)路由實(shí)現(xiàn)。采用 開放的、標(biāo)準(zhǔn)的路由協(xié)議，現(xiàn)有各校區(qū)網(wǎng)絡(luò)可以通過靜態(tài)路由連接上來，這樣不會(huì)影響其他網(wǎng)絡(luò)的 BGP 路由。 ? 匯聚層交換機(jī)和接入交換機(jī)之間的互連端口設(shè)置為 Trunk 模式， 路由策略 校園網(wǎng)一般設(shè)計(jì)兩個(gè)以上的出口，即電信運(yùn)營(yíng)商出口（ INTERNET）及 CERNET 出口。 樓層 對(duì)應(yīng)標(biāo)簽 對(duì)應(yīng) 2 樓 配線架號(hào) 所屬 VLAN 信息點(diǎn) 網(wǎng)關(guān) Ip 地址范圍和子網(wǎng)掩碼 實(shí)訓(xùn)樓 202 202 準(zhǔn)備加 配線架 VLAN 80 10 － 20/24 實(shí)訓(xùn)一樓 藝術(shù)系 202 食堂 202 30 － 70/24 教工宿舍樓 圖書館 一樓 20 － 100/24 教師宿舍樓 5 － 120/24 學(xué)生宿舍 5 － 140/24 四分院 四分院 VLAN 81 200 － 254/24 圖書館 圖書館 VLAN 82 100 － 150/24 實(shí)訓(xùn)樓四樓 401 VLAN83 210 － 254/24 實(shí)訓(xùn)樓五樓 501 VLAN 84 60 － 100/24 舊教學(xué)一樓 舊教學(xué) 一樓 VALN85 50 － 80/24 舊教學(xué)二樓 公共部 舊教學(xué)三樓 計(jì)算機(jī) 協(xié)會(huì) VLAN 86 50 － 80 /24 新教學(xué)樓 VLAN 87 90 － 150/24 南寧職業(yè)技術(shù)學(xué)院 校園網(wǎng)項(xiàng)目實(shí)施方案 第 23 頁 共 43 頁 IP 地址的分配原則如下： （ 1）、每個(gè) vlan 分配一個(gè) C 類地址 （ 2）、給三層交換機(jī)設(shè)備互連的點(diǎn)對(duì)點(diǎn) IP 地址分配 1 個(gè) C 類地址，提供足夠的擴(kuò)展性 （ 3）、考慮到以后的網(wǎng)絡(luò)擴(kuò)展規(guī)模，二層交換機(jī)設(shè)備的管理 IP 地址分配 1 個(gè) C 類 IP 地址； （ 4）、可以考慮為學(xué)校校園網(wǎng)分配一個(gè) C類私有地址段，如 ,將 的地址段分配給網(wǎng)絡(luò)設(shè)備使用， ，其它地址分配給各辦公室 PC 機(jī)。 ? 出口到互聯(lián)網(wǎng)可以采用 NAT 防火墻上做地址轉(zhuǎn)換 實(shí)現(xiàn)。預(yù)留 VLAN3555 一共 20 個(gè) VLAN 南寧職業(yè)技術(shù)學(xué)院 校園網(wǎng)項(xiàng)目實(shí)施方案 第 21 頁 共 43 頁 五里亭校區(qū) VLAN 劃分： 第 號(hào)實(shí)訓(xùn)樓有 300 個(gè)信息點(diǎn)，預(yù)留 VLAN56— 66 一共 10 個(gè) VLAN 管理 VLAN VLAN 99 用于 TELENT 管理網(wǎng)絡(luò)設(shè)備使用 路由 VLAN VLAN100 用于 VLAN 之間的路由通信 南寧職業(yè)技術(shù)學(xué)院 校園網(wǎng)項(xiàng)目實(shí)施方案 第 22 頁 共 43 頁 IP 地址的分配原則 IP 地址的統(tǒng)一、合理規(guī)劃以及整個(gè)網(wǎng)絡(luò)向 IPv6 的演進(jìn)是關(guān)系到整體分層網(wǎng)絡(luò)穩(wěn)定、快速收斂的關(guān)鍵，也是南寧職業(yè)技術(shù)學(xué)院校園網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)。另外，由于 協(xié)議支持至多 4096 個(gè) Vlan ID，按地理區(qū)域或行政科系劃分 Vlan ID 可以為以后管理帶來很大的方便。 四、系統(tǒng)實(shí)施方案 設(shè)備命名與用途 本次工程大多為新增設(shè)備，對(duì)所有的網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一的命名，同時(shí)我們也需要對(duì)客戶方原有設(shè)備進(jìn)行統(tǒng)一的命名，以方便網(wǎng)絡(luò)系統(tǒng)管理。 系統(tǒng)優(yōu)化調(diào)整 完成上訴步驟之后，網(wǎng)絡(luò)系統(tǒng)可以正常運(yùn)行。 在這個(gè)網(wǎng)絡(luò)安裝調(diào)試階段可以保留網(wǎng)絡(luò)設(shè)備接收 Tel 登陸和 Ftp 文件傳輸，這樣可以方便網(wǎng)絡(luò)設(shè)備在項(xiàng)目實(shí)施過程中的參數(shù)調(diào)整。 網(wǎng)絡(luò)設(shè)備連通性測(cè)試： 網(wǎng)絡(luò)設(shè)備連通性測(cè)