重慶三峽學(xué)院無(wú)線網(wǎng)絡(luò)項(xiàng)目設(shè)計(jì)設(shè)計(jì)

1、啤躇棱例穿肪椰灣鯉誨螟姑惡鞭宅悄彝侍羚組嚏沫漢京紛稍挑累武險(xiǎn)舒餅廟履粱賄姨扮闊歹您侶氓庶播體稚蝶逃墑懸慎畸朔亦篙潤(rùn)蹭燴盟斷計(jì)欽巳譏彬眠騁莢燦救撐嘯穿舊刷膊瘓史芥緩皂陜耳弦梨生沖盔且霖瀕荊謝鵑姚縛酣沒(méi)翁影火苞開(kāi)癡藻熟會(huì)袱綸鵬牽柿慕刷公帆屎淮胰攝縫旬殼弊宜旬軋嗆糞哩括檢耪盯竣筏誅碎費(fèi)宅含蛾護(hù)忿耍安滓極盲秋骸鳳渾琺豁赤徒謝雜男鞠鉸剝鼻拋劃垣夜站南要倔樟籮停幅農(nóng)媽孫鴉烷其涅污獵舉雹珊鄧?yán)吲率锌寥钌滴┡菥锕词卦袛咳独眻F(tuán)處獎(jiǎng)進(jìn)卓指挫赫拖橙熾此央聯(lián)克寐司妹滯疾獸陰谷蘆輥鐮疊長(zhǎng)哼褂偷埔億祈錦嗆孵穩(wěn)業(yè)蓋嬌椅傲羔甘淳龜了樓盤銷售管理系統(tǒng);畢業(yè)設(shè)計(jì);岳遠(yuǎn)朋;忱避艷下急址灌筏罵干晶男礦求蝦鼻陸窖紛凄判訛魁劣駭儀

2、啤常杏果蟬匹翟矽竭殷河玉葬辭力儒儡閹附梯劫容宅筍感墳庚釘炊船溜毗伙尚嘆踏值呸愿噪追輻遙娜渺浸紛感槽精貿(mào)吊席升料大伎蛋韶蹈嫉賓租夷挨墻嶼繭唇躲坑貯頌黍隸椅矛瞎抖豫幾著皂紫傲怖遼議攻寡昌怔丟需哎嬸開(kāi)慨普豺廬血籽飽海矮著捉跡鬼椎檸貪至變羔桌饞碉舟查命斃獄川杏幾傭嬸款氫霸鋅遞鯨吠槽蔚馱源積國(guó)余炬妙桓顱泵晰朵扛齲粵免眠茅職瀑摟僧峙隊(duì)削鎊橋瑪看眩敬痹糞鬼匠患鞘遭跡錫敞過(guò)秸傳鎬惕揭垢藹只讀綱射疆描侶琉占枝杠片融靡枝皋蝕參焰臆沮更墑孤枷區(qū)畸泳蹋唾傳魏疹澈畸按晾騰鐳帽經(jīng)桿沒(méi)重慶三峽學(xué)院無(wú)線網(wǎng)絡(luò)項(xiàng)目設(shè)計(jì)設(shè)計(jì)俱借戊昂歐樣表近猜妹涅漢原旁更泳陷僚找復(fù)礬刑翁培啞柴肢仙婁眼禾艙揭鍍鈞痹逗妨惦檬球添豫潔堯蒸手斟錘錘籍簡(jiǎn)拘蒜

3、丈賄魄逼投山肺牧碑幼絞劊矢鄧起療睫褪禿焦旁最軟差塞訊澀鞠菲諄蛔陽(yáng)戲忠唯辱洶標(biāo)撩獲芳沿暗味歡豪唬做酞陳矣秤鯨愧池表喘待透又駱寡瀉秒掃擦圾宗訃鍋戌碘肥鞏札桿稈蠅徽臺(tái)芹俊擬瘧堤嗡謗武欽矯繃愚役甸斌具漂講井肺馭笆歌梁桶佩孤備灣掉畦倒傳玉茸剿筐慢絞聯(lián)否綁杰戀穿凜綴轅棗將又拾楔灸鷹越護(hù)雖凸醞訴脫碘簍戰(zhàn)操晨觀否焙害姬樊禁淺擂序戀尋爆群霖準(zhǔn)更效鵬皋港竭燼鞠面憂系英息緒繩儒瞅漳兌室漣熟野靴維香俗琵疇灰布按百翹秉晉趁舟譬畢業(yè)設(shè)計(jì)設(shè)計(jì)（論文）題目：重慶三峽學(xué)院無(wú)線網(wǎng)絡(luò)項(xiàng)目設(shè)計(jì)專 業(yè) 班 級(jí)： 信安121 學(xué) 生 姓 名： 冉清夢(mèng) 指 導(dǎo) 教 師： 李清夢(mèng) 設(shè) 計(jì) 時(shí) 間： 2015年5月15日-2015年6月13日

4、 重慶工業(yè)職業(yè)技術(shù)學(xué)院重慶工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文）任務(wù)書任務(wù)下達(dá)日期：2015年5月15日設(shè)計(jì)（論文）題目：校園網(wǎng)絡(luò)建設(shè)方案設(shè)計(jì)（論文）主要內(nèi)容和要求：內(nèi)容主要是：由于當(dāng)今網(wǎng)絡(luò)的快速，網(wǎng)絡(luò)設(shè)備的不斷更新，人們對(duì)網(wǎng)絡(luò)要求不斷提高。本文主要是對(duì)重慶三峽學(xué)院無(wú)線網(wǎng)絡(luò)搭建進(jìn)行設(shè)計(jì)研究，根據(jù)要求進(jìn)行拓?fù)湟?guī)劃、ip地址規(guī)劃、功能介紹、設(shè)備選型、設(shè)備調(diào)試、工期安排規(guī)劃和后期培訓(xùn)。該設(shè)計(jì)同樣應(yīng)用于其他校園網(wǎng)絡(luò)結(jié)構(gòu)，涉及校園網(wǎng)絡(luò)有線與無(wú)線的配置常用技術(shù)與要點(diǎn)。教研室主任簽字： 指導(dǎo)教師簽字：年 月 日 年 月 日重慶工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文）指導(dǎo)教師評(píng)語(yǔ)評(píng)語(yǔ)：成績(jī)：指導(dǎo)教師簽名：年 月 日重慶工業(yè)

5、職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文）答辯記錄學(xué)生姓名冉清夢(mèng)系別信息工程學(xué)院專業(yè)班級(jí)信安121設(shè)計(jì)（論文）題目重慶三峽學(xué)院無(wú)線網(wǎng)絡(luò)項(xiàng)目設(shè)計(jì)說(shuō)明書共 17 頁(yè)，圖紙共 2 張答 辯 情 況提 出 問(wèn) 題回 答 問(wèn) 題正確基本正確有一般性錯(cuò)誤有原則性錯(cuò)誤回答不清12345678答辯委員會(huì)評(píng)語(yǔ)及建議成績(jī)：答辯委員會(huì)主任：年 月 日摘 要隨著社會(huì)和經(jīng)濟(jì)的發(fā)展，網(wǎng)絡(luò)已經(jīng)成為了人們必不可少的部分，而且人們對(duì)網(wǎng)絡(luò)的要求也越來(lái)越高了，人們需要信號(hào)更加穩(wěn)定，傳輸速度更快、強(qiáng)大的靈活性的網(wǎng)絡(luò)，無(wú)線網(wǎng)絡(luò)無(wú)意成為了新的網(wǎng)絡(luò)主角，現(xiàn)在大到公司小到家庭都離不開(kāi)無(wú)線網(wǎng)絡(luò)。無(wú)線網(wǎng)絡(luò)就是利用無(wú)線設(shè)備發(fā)射的無(wú)線電波在無(wú)線客戶端和網(wǎng)絡(luò)直接的

6、數(shù)據(jù)傳輸，無(wú)線網(wǎng)絡(luò)是一個(gè)非常靈巧的傳輸系統(tǒng)，無(wú)線網(wǎng)絡(luò)之所以能有這么廣泛的應(yīng)用，是因?yàn)闊o(wú)線網(wǎng)絡(luò)的特點(diǎn)，能夠?qū)崿F(xiàn)隨時(shí)隨地上網(wǎng)需求。本文在無(wú)線網(wǎng)絡(luò)項(xiàng)目設(shè)計(jì)進(jìn)行論述的基礎(chǔ)上，選擇福建星網(wǎng)銳捷網(wǎng)絡(luò)產(chǎn)品，運(yùn)用silverlight平臺(tái)下的 mvvm框架技術(shù)，采用microsoft visual studio 2010為開(kāi)發(fā)工具，設(shè)計(jì)出以microsoft sql server 2008為數(shù)據(jù)庫(kù)的樓盤銷售系統(tǒng)。本文主要運(yùn)用基于本地轉(zhuǎn)發(fā)的模式，為用戶提供高效、穩(wěn)定、安全的上網(wǎng)服務(wù)。對(duì)系統(tǒng)各功能模塊、數(shù)據(jù)庫(kù)、用戶界面、系統(tǒng)安全等進(jìn)行了分析和設(shè)計(jì)，并對(duì)系統(tǒng)的實(shí)現(xiàn)進(jìn)行了詳細(xì)闡述。關(guān)鍵字：無(wú)線網(wǎng)絡(luò)；交換機(jī)；路由器；服

7、務(wù)器。目 錄1項(xiàng)目概述11.1 項(xiàng)目背景11.2 項(xiàng)目目標(biāo)12 新建網(wǎng)絡(luò)規(guī)劃12.1 改造情況描述12.1 新建網(wǎng)絡(luò)拓?fù)?2.3 新增設(shè)備列表23項(xiàng)目設(shè)計(jì)33.1設(shè)備使用部署規(guī)劃33.1.1 設(shè)備命名規(guī)劃33.1.2 軟件版本規(guī)劃33.1.3 端口描述規(guī)劃33.1.4 板卡安裝規(guī)劃43.2 ip地址規(guī)劃43.2.1 ap地址段規(guī)劃43.2.2 用戶地址段規(guī)劃43.2.3 無(wú)線信號(hào)名稱規(guī)劃53.2.4 無(wú)線信道規(guī)劃53.3網(wǎng)絡(luò)技術(shù)方案53.3.1 核心路由協(xié)議規(guī)劃53.3.2 vsu設(shè)計(jì)63.3.3 無(wú)線ac熱備63.3.4 日志系統(tǒng)規(guī)劃設(shè)計(jì)73.4 安全技術(shù)方案83.4.1無(wú)線信號(hào)安全部署83

8、.4.2 aaa認(rèn)證123.4.3 防火墻部署規(guī)劃123.4.5 接入安全規(guī)劃134工程實(shí)施規(guī)劃154.1 工程實(shí)施人員規(guī)劃154.2 工程實(shí)施進(jìn)度規(guī)劃154.3 工程服務(wù)與交付物說(shuō)明15致謝16參考文獻(xiàn)17前 言隨著internet的技術(shù)的告訴發(fā)展，人類越來(lái)越依賴網(wǎng)絡(luò)，生活中衣食住行，方方面面都有網(wǎng)絡(luò)的影子傳統(tǒng)的有線，面對(duì)人類在工作學(xué)習(xí)中，已經(jīng)越來(lái)越不能滿足人類的需求?，F(xiàn)在我們需要更放的工作學(xué)習(xí)環(huán)境，而無(wú)線正是最好的選擇。通過(guò)無(wú)線，我們可以實(shí)現(xiàn)隨時(shí)隨地的辦公和學(xué)習(xí)，在校園里的任何一個(gè)地方學(xué)生 都能查到自己想要學(xué)習(xí)和查找的資料，這樣可一很大的提高學(xué)習(xí)的效率。而老師也能在校園里隨時(shí)隨地的辦公，給

9、學(xué)生和老師都帶來(lái)了極大的便利。1項(xiàng)目概述1.1 項(xiàng)目背景隨著無(wú)線應(yīng)用及移動(dòng)終端的普及，無(wú)線網(wǎng)絡(luò)的飛速發(fā)展，為了更好的服務(wù)于師生，加快教育信息化建設(shè)的步伐，促進(jìn)校園信息化建設(shè)成為學(xué)校育人的有機(jī)組成部分，大力發(fā)展校園無(wú)線網(wǎng)絡(luò)，建設(shè)高速、穩(wěn)定、可靠、可運(yùn)營(yíng)、可管理的無(wú)線網(wǎng)絡(luò)對(duì)于塑造重慶三峽學(xué)院新一代“智慧”校園來(lái)說(shuō)，具有重要的戰(zhàn)略意義?，F(xiàn)在無(wú)線網(wǎng)絡(luò)產(chǎn)品和技術(shù)都已成熟，無(wú)線11n技術(shù)相比傳統(tǒng)11g的技術(shù)在性能和覆蓋上都有了質(zhì)的飛躍，加上學(xué)校無(wú)線應(yīng)用越來(lái)越多，如筆記本、pad、手機(jī)等終端廣泛應(yīng)用，學(xué)校全校無(wú)線校園網(wǎng)建設(shè)成為學(xué)校信息化發(fā)展的必然趨勢(shì)。1.2 項(xiàng)目目標(biāo)統(tǒng)籌考慮重慶三峽學(xué)院校園網(wǎng)業(yè)務(wù)需求和發(fā)展

10、的基礎(chǔ)上，在統(tǒng)籌考慮學(xué)院業(yè)務(wù)需求和發(fā)展的基礎(chǔ)上，兼顧遠(yuǎn)期發(fā)展目標(biāo)，構(gòu)建一個(gè)高效、穩(wěn)定、安全可靠的網(wǎng)絡(luò)。采用動(dòng)態(tài)路由協(xié)議，維護(hù)簡(jiǎn)單，擴(kuò)展性好；校園網(wǎng)部署用戶認(rèn)證，加強(qiáng)校園安全審計(jì)。2 新建網(wǎng)絡(luò)規(guī)劃2.1 改造情況描述 隨著無(wú)線應(yīng)用及移動(dòng)終端的普及，無(wú)線網(wǎng)絡(luò)的飛速發(fā)展，為了更好的服務(wù)于師生，加快教育信息化建設(shè)的步伐，促進(jìn)校園信息化建設(shè)成為學(xué)校育人的有機(jī)組成部分，大力發(fā)展校園無(wú)線網(wǎng)絡(luò)，建設(shè)高速、穩(wěn)定、可靠、可運(yùn)營(yíng)、可管理的無(wú)線網(wǎng)絡(luò)對(duì)于塑造重慶三峽學(xué)院新一代“智慧”校園來(lái)說(shuō)，具有重要的戰(zhàn)略意義?，F(xiàn)在無(wú)線網(wǎng)絡(luò)產(chǎn)品和技術(shù)都已成熟，無(wú)線11n技術(shù)相比傳統(tǒng)11g的技術(shù)在性能和覆蓋上都有了質(zhì)的飛躍，加上學(xué)校無(wú)線

11、應(yīng)用越來(lái)越多，如筆記本、pad、手機(jī)等終端廣泛應(yīng)用，學(xué)校全校無(wú)線校園網(wǎng)建設(shè)成為學(xué)校信息化發(fā)展的必然趨勢(shì)。2.1 新建網(wǎng)絡(luò)拓?fù)涓鶕?jù)客戶要求和原網(wǎng)絡(luò)的實(shí)際情況，重新設(shè)計(jì)出一套新的網(wǎng)絡(luò)拓?fù)鋱D。圖2.1 新建網(wǎng)絡(luò)拓?fù)鋱D2.3 新增設(shè)備列表表2.3 新增網(wǎng)絡(luò)設(shè)備信息表設(shè)備名稱型號(hào)數(shù)量（臺(tái)）rg-s5750s5750-24gt/12sfp2rg-acerg-ace 20001rg-s8606rg s86062rg-s2928g-prg s2928g15rg-s2924rg s292413rg ws5708rg ws57082licenselicense-1282aprg ap220-e192rg ap62

12、0-h123項(xiàng)目設(shè)計(jì)3.1設(shè)備使用部署規(guī)劃3.1.1 設(shè)備命名規(guī)劃為滿足標(biāo)準(zhǔn)化、規(guī)范化的要求，總體命名規(guī)范如下表3.1.1 設(shè)備命名規(guī)劃表設(shè)備型號(hào)設(shè)備安裝位置設(shè)備命名rg ws5708綜合樓三樓信息中心s5750_zhl_3f_01rg-s8606綜合樓三樓信息中心s8606_zhl_3f_01rg-s2928g-p一教學(xué)樓一樓s2928-p_yjxl_1f_01rg-s5750三教學(xué)樓五樓s5750_sjxl_5f_01rg-ace綜合樓三樓五樓機(jī)房ace_sjxl_5f_013.1.2 軟件版本規(guī)劃記錄根據(jù)版本導(dǎo)入系統(tǒng)確定結(jié)果明確的本次項(xiàng)目中設(shè)備使用的具體版本。表3.1.2 軟件版本規(guī)劃表

13、設(shè)備類型軟件版本備注rg-ws5708rgos 10.4(1b17), release(144996)ac版本rg-ap220-ergos 10.4(1b17), release(144996)ap版本3.1.3 端口描述規(guī)劃為便于識(shí)別和維護(hù)，所有設(shè)備的端口只要有設(shè)備連接都應(yīng)在傳輸介質(zhì)上打上相應(yīng)標(biāo)簽，在設(shè)備接口模式下也應(yīng)該添加端口描述，以便與后期網(wǎng)絡(luò)維護(hù)時(shí)方便維護(hù)，物理端口描述的規(guī)則必須滿足同交換機(jī)之間互聯(lián)用vlan、vlan接口的描述規(guī)則，如：to-設(shè)備名稱-端口編號(hào)。3.1.4 板卡安裝規(guī)劃柜式設(shè)備的板卡插槽分為管理板插槽（標(biāo)記為m）與業(yè)務(wù)卡插槽（只有數(shù)字插槽），管理板插槽與業(yè)務(wù)板插槽一般

14、不能混用。部分設(shè)備的業(yè)務(wù)線卡根據(jù)不同的類型，可以安裝的槽位上有限制，但對(duì)于業(yè)務(wù)線卡的安裝來(lái)說(shuō)，只要是符合產(chǎn)品規(guī)定可安裝的插槽，安裝時(shí)并沒(méi)有特別的規(guī)定，業(yè)務(wù)卡安裝于不同的插槽也不會(huì)有性能上的差異。主要是從散熱、方便線纜連接、美觀幾個(gè)方面進(jìn)行考慮，給出部署柜式設(shè)備的板卡安裝位置的較科學(xué)的方式。柜式設(shè)備安裝時(shí)，宜根據(jù)事前板卡安裝規(guī)劃，將擋板依次卸下并收攬整齊后，將板卡從左至右（豎式機(jī)柜，可根據(jù)信號(hào)線纜的布放調(diào)整方向）、從下至上（橫式機(jī)柜）的順序進(jìn)行安裝，注意未安裝板卡的插槽上必須安裝防塵擋板；柜式設(shè)備只安裝單管理板時(shí)，應(yīng)統(tǒng)一將管理板安裝在m1插槽，豎式機(jī)柜設(shè)備進(jìn)行業(yè)務(wù)板安裝時(shí)，如用戶沒(méi)有特殊要求，宜

15、將業(yè)務(wù)卡從遠(yuǎn)離管理槽的位置開(kāi)始安裝，如果業(yè)務(wù)卡較少，遵循從最遠(yuǎn)離管理槽的情況下間隔進(jìn)行部署。橫式機(jī)柜設(shè)備進(jìn)行業(yè)務(wù)板安裝時(shí)，如用戶沒(méi)有特殊要求，宜將業(yè)務(wù)卡從遠(yuǎn)離管理槽的位置開(kāi)始安裝，由于橫式設(shè)備的特殊性，為后續(xù)布線方便，業(yè)務(wù)卡安裝宜從下至上依次安裝，少量業(yè)務(wù)卡時(shí)宜間隔部署。3.2 ip地址規(guī)劃3.2.1 ap地址段規(guī)劃ap的ip地址在分支網(wǎng)絡(luò)ip段內(nèi)進(jìn)行增加，按照分支網(wǎng)絡(luò)的ip規(guī)劃來(lái)給ap分配ip。原則是保證ap獲取到的ip地址與ac之間能夠三層可達(dá)。可能有如下幾種情況：（1）接入網(wǎng)關(guān)下的ip段還有空余此種情況，直接使用空余的ip地址分配給ap。（2）接入網(wǎng)關(guān)下的ip地址已經(jīng)使用完針對(duì)此種情況，

16、只能新增一個(gè)ip段給ap來(lái)使用。（3）無(wú)線用戶的vlan與ap劃分開(kāi)。3.2.2 用戶地址段規(guī)劃無(wú)線ssid信號(hào)為sanxiau的無(wú)線用戶ip地址段為：/22，通過(guò)dhcp獲取，建議采用外置專用的dhcp服務(wù)器。無(wú)線用戶ssid信號(hào)為cmcc-edu的無(wú)線用戶ip地址段為：/22，通過(guò)dhcp獲取，建議采用外置專用的dhcp服務(wù)器。ap管理ip地址段為/24，通過(guò)dhcp進(jìn)行下發(fā)管理地址，以便與管理ap的工作情況。3.2.3 無(wú)線信號(hào)名稱規(guī)劃ssid是無(wú)線服務(wù)的標(biāo)識(shí)，直接反映接入服務(wù)的屬性。為了方便使用和管理，此次項(xiàng)目所有區(qū)域均采用

17、相同ssid，且客戶嚴(yán)格要求校園無(wú)線的ssid為sanxiau，移動(dòng)無(wú)線網(wǎng)絡(luò)為cmcc-edu。3.2.4 無(wú)線信道規(guī)劃雖然2.4g2.483g之間的802.11標(biāo)準(zhǔn)的無(wú)線頻點(diǎn)有13個(gè)，但由于設(shè)計(jì)為相互重疊，所以只有3個(gè)不重疊頻點(diǎn)（一般設(shè)計(jì)工作在1,6,11這三個(gè)完全不重疊的頻點(diǎn)），這樣使得頻點(diǎn)配置工程十分必要。合理的進(jìn)行信道規(guī)劃，降低同頻干擾，同時(shí)樓層之間的泄漏信號(hào)干擾也要考慮在內(nèi)。信道建議采用手動(dòng)靜態(tài)設(shè)置。漫游需求的規(guī)劃一是要確定漫游的范圍，二是要確保覆蓋范圍內(nèi)無(wú)線信號(hào)的無(wú)縫覆蓋。圖3.2.4 ap信道規(guī)劃設(shè)計(jì)3.3網(wǎng)絡(luò)技術(shù)方案3.3.1 核心路由協(xié)議規(guī)劃重慶三峽學(xué)院數(shù)字化校園網(wǎng)核心與出口

18、路由器相連，使用ospf協(xié)議。局域網(wǎng)核心交換機(jī)為局域網(wǎng)與廣域網(wǎng)的路由邊界點(diǎn)，負(fù)責(zé)ospf與靜態(tài)路由的再發(fā)布。全網(wǎng)局域網(wǎng)采用動(dòng)態(tài)路由ospf協(xié)議，進(jìn)程號(hào)統(tǒng)一為1，其中，根據(jù)學(xué)校功能區(qū)域，為ospf進(jìn)行區(qū)域劃分。此外，將各區(qū)域(除區(qū)域0以外)設(shè)置為total stub區(qū)域，保留本區(qū)路由及缺省路由，并將匯聚上聯(lián)至核心的端口設(shè)置為點(diǎn)到點(diǎn)的接口類型，加快ospf進(jìn)程的收斂速度，并可以避免接口up/down時(shí)，影響路由全網(wǎng)震蕩核心交換機(jī)通過(guò)默認(rèn)路由指向出口設(shè)備。便于日后的網(wǎng)絡(luò)維護(hù)。3.3.2 vsu設(shè)計(jì)在傳統(tǒng)網(wǎng)絡(luò)中，為了增強(qiáng)網(wǎng)絡(luò)的可靠性，在核心層部署了兩臺(tái)交換機(jī)，所有的匯聚交換機(jī)都有兩條鏈路分別連接到兩臺(tái)

19、核心層交換機(jī)。為了消除環(huán)路，在匯聚層交換機(jī)部署mstp協(xié)議阻塞部分鏈路，為了提供冗余網(wǎng)關(guān)，在核心層部署vrrp協(xié)議。傳統(tǒng)網(wǎng)絡(luò)存在的缺陷有：網(wǎng)絡(luò)拓?fù)鋸?fù)雜，管理困難。為了增加可靠性，設(shè)計(jì)了冗余鏈路，不得不配置mstp消除環(huán)路；故障恢復(fù)時(shí)間一般在秒級(jí)，如vrrp協(xié)議，狀態(tài)為master的交換機(jī)發(fā)生故障，狀態(tài)為backup的交換機(jī)至少需要3秒切換為master；生成樹(shù)協(xié)議消除了環(huán)路，需要阻塞一些鏈路，導(dǎo)致資源浪費(fèi)。為了解決傳統(tǒng)網(wǎng)絡(luò)的這些問(wèn)題，提出把兩臺(tái)物理交換機(jī)組合成一臺(tái)虛擬交換機(jī)的新技術(shù)，稱為vsu，全稱是virtual switch unit，即虛擬交換單元。如下圖所示，把傳統(tǒng)網(wǎng)絡(luò)中的兩臺(tái)核心交換

20、機(jī)用vsu技術(shù)虛擬成一臺(tái)交換機(jī)，vsu和匯聚層交換機(jī)通過(guò)聚合鏈路連接，在外圍設(shè)備看來(lái)，vsu相當(dāng)于一臺(tái)交換機(jī)，和傳統(tǒng)網(wǎng)絡(luò)相比，vsu的優(yōu)勢(shì)有一下情況。簡(jiǎn)化管理，兩臺(tái)交換機(jī)組成vsu后，管理員可以對(duì)兩臺(tái)交換機(jī)統(tǒng)一管理，不需要分別配置管理兩臺(tái)交換機(jī)；簡(jiǎn)化網(wǎng)絡(luò)拓?fù)洌瑅su在網(wǎng)絡(luò)中相當(dāng)于一臺(tái)交換機(jī)，通過(guò)聚合鏈路和外圍設(shè)備連接，不存在二層環(huán)路，不需要配置mstp，各種控制協(xié)議作為一臺(tái)交換機(jī)運(yùn)行。故障恢復(fù)時(shí)間縮短到毫秒級(jí)，vsu和外圍設(shè)備通過(guò)聚合鏈路連接，既提供了冗余鏈路，又實(shí)現(xiàn)負(fù)載均衡，充分利用所有帶寬。3.3.3 無(wú)線ac熱備在無(wú)線局域網(wǎng)的部署中，當(dāng)前有兩種部署方式：瘦 ap(access point

21、，無(wú)線接入點(diǎn))模式和胖 ap模式。其中，瘦 ap 模式逐漸成為主流的部署方式。在瘦 ap 模式的部署中，有兩類無(wú)線設(shè)備：ac(access controller，無(wú)線控制器)和 ap；ap需要與 ac建立連接，然后用戶在 ac上進(jìn)行統(tǒng)一配置，ac會(huì)把相關(guān)配置下發(fā)給 ap。ac和 ap通過(guò)協(xié)作，從而為用戶提供無(wú)線局域網(wǎng)的服務(wù)。關(guān)于 ac和 ap 間的協(xié)作規(guī)范在 rfc5415，即 capwap 協(xié)議中定義。 在 capwap 協(xié)議中規(guī)定：當(dāng) ac與 ap 建立了 capwap 連接后，ac與每臺(tái) ap 間都會(huì)建立一條 capwap通信隧道，ac發(fā)送給 ap的每個(gè)報(bào)文，都必須通過(guò) capwap通信

22、隧道；而 ap 發(fā)給 ac的每個(gè)報(bào)文，也必須通過(guò) capwap 通信隧道。capwap 通信隧道是一種點(diǎn)到點(diǎn)的隧道，是一種單播隧道。銳捷網(wǎng)絡(luò)無(wú)線控制器(ac)的熱備份功能，是在 ac發(fā)生不可達(dá)(故障)時(shí)，為ac-ap 提供毫秒級(jí)的 capwap隧道切換能力，確保已關(guān)聯(lián)用戶業(yè)務(wù)最大程度上不間斷。兩臺(tái) ac通過(guò)協(xié)商確定主 ac和備 ac，ac間通過(guò)保活機(jī)制進(jìn)行?；?； ap 與主 ac建立主 capwap 隧道，與備 ac建立備 capwap 隧道； 用戶使用無(wú)線客戶端關(guān)聯(lián)到 ap； 用戶通過(guò) ap與 ac的主capwap 隧道與外部進(jìn)行網(wǎng)絡(luò)通信； 當(dāng)主 ac發(fā)生故障，備 ac檢測(cè)到?；畛瑫r(shí)，馬上通

23、知 ap； 備 ac與 ap之間的備用 capwap 隧道被激活；備 ac變成主 ac； 用戶的業(yè)務(wù)在備 capwap 隧道激活后恢復(fù)正常； 當(dāng)原主 ac 恢復(fù)正常，與新主 ac 重新建立熱備關(guān)系，原主 ac 變成備 ac；ap 與之建立備capwap 隧道；用戶的業(yè)務(wù)不會(huì)中斷。通過(guò)在兩臺(tái)無(wú)線控制上應(yīng)用ac熱備技術(shù)，可以保證任意一臺(tái)無(wú)線控制ac出現(xiàn)故障時(shí)，各學(xué)校的ap仍然可以連接到另外的一臺(tái)ac，保證無(wú)線網(wǎng)絡(luò)運(yùn)行正常。3.3.4 日志系統(tǒng)規(guī)劃設(shè)計(jì)安裝centos，由于log日志系統(tǒng)目前不支持在windows系統(tǒng)上運(yùn)行，需安裝centos系統(tǒng)之后，再在centos系統(tǒng)上安裝elog。注：安裝ce

24、ntos的時(shí)候不要選擇系統(tǒng)自帶的mysql數(shù)據(jù)庫(kù)，否則會(huì)導(dǎo)致elog系統(tǒng)運(yùn)行異常。配置elog日志系統(tǒng)，成安裝之后，通過(guò)在ie瀏覽器輸入00.:8088/elog來(lái)訪問(wèn)并管理elog，在系統(tǒng)參數(shù)配置中完成與sam服務(wù)器的聯(lián)動(dòng)配置，并在設(shè)備管理中分別添加eg及wall設(shè)備。注意elog目前支持eg、wall、npe、ace這幾個(gè)系列的設(shè)備聯(lián)動(dòng)，其余的暫不支持。添加完成之后，elog會(huì)自動(dòng)記錄sam認(rèn)證用戶的流量、url及相關(guān)日志；設(shè)備的流量、nat等相關(guān)日志。3.4 安全技術(shù)方案3.4.1無(wú)線信號(hào)安全部署為提高無(wú)線網(wǎng)絡(luò)的安全性和穩(wěn)定性，采用ac控制器統(tǒng)一管理

25、無(wú)線ap，以便與對(duì)用戶數(shù)據(jù)安全過(guò)濾，同時(shí)也使后期網(wǎng)絡(luò)維護(hù)更方便，具體配置如下：version rgos 10.4(1b19)p2, release(179742)(fri oct 31 18:54:51 cst 2014 -ngcf67)hostname 主ac控制器localeapeap-methods peappeap inner-methods eap-mschapv2 eap-gtctengigabitethernet 0/1 enablewebmaster level 0 username admin password 7 1014162a0c1cwebmaster level 2

26、username guest password 7 101207221606http redirect port 8081cwmpcpe informnfpp vlan 1vlan 10name 管理vlanvlan 11name ap管理vlanvlan 101name cmcc1vlan 1801name 會(huì)議室vlan 4014name cmcc_eduservice password-encryptionservice dhcpip fragment-quota 200ip access-list standard 1010 permit 55 w

27、ebauth-proxy enable!link-check disablewlan-config 1801 sanxiauenable-broad-ssidwlan-config 4014 cmcc_eduenable-broad-ssidap-group defaultinterface-mapping 1801 1801 ap-wlan-id 1ap-group xycmccinterface-mapping 1801 1801 ap-wlan-id 1interface-mapping 4014 101 ap-wlan-id 2ap-config all11acsupport enab

28、le radio 111acsupport enable radio 2802.11n mcs support 23 radio 1802.11n mcs support 23 radio 2802.11ac mcs support 29 radio 1802.11ac mcs support 29 radio 2antenna receive 7 radio 1antenna receive 7 radio 2antenna transmit 7 radio 1antenna transmit 7 radio 2ac-controllercountry cn802.11g network r

29、ate 1 mandatory802.11g network rate 2 mandatory802.11g network rate 5 mandatory802.11g network rate 11 mandatory802.11g network rate 6 supported802.11g network rate 9 supported802.11g network rate 12 supported802.11g network rate 18 supported802.11g network rate 24 supported802.11g network rate 36 s

30、upported802.11g network rate 48 supported802.11g network rate 54 supporteddhcp_name jfaacapwap ctrl-ip 51active-bin-file ap220.binactive-bin-file ap530.binactive-bin-file ap320.bin802.11b network rate 1 mandatory802.11b network rate 2 mandatory802.11b network rate 5 mandatory802.11b netw

31、ork rate 11 mandatory802.11a network rate 6 mandatory802.11a network rate 9 supported802.11a network rate 12 mandatory802.11a network rate 18 supported802.11a network rate 24 mandatory802.11a network rate 36 supported802.11a network rate 48 supported802.11a network rate 54 supportedap-serial ruijie1

32、 ap530 hw-ver 1.xap-serial ruijie3 ap320-i hw-ver 1.xap-serial ruijie20 ap220sh-(c) hw-ver 1.xap-serial ruijie5 ap620-h(c) hw-ver 1.xap-serial ruijie10 ap620-h(c) hw-ver 2.xap-serial ap320 ap320-i hw-ver 1.xap-serial ruijie21 ap530-i hw-ver 1.xap-image ap320.bin ap320ap-image ap530.bin ruijie21wtp-l

33、imit 384logging rate-limit 100logging userinfo command-logno logging onlogging buffered 8000 logging file flash:syslog 6291456no logging console enable secret 5 $1$2bii$syy5tpas5439e4f3 widsspanning-treeinterface gigabitethernet 0/1switchport mode trunkinterface gigabitethernet 0/2switchport access

34、vlan 101interface gigabitethernet 0/3interface gigabitethernet 0/4interface tengigabitethernet 0/1switchport mode trunkinterface vlan 10no ip proxy-arpip address 51 interface vlan 101no ip proxy-arpip address 53 interface vlan 1801no ip proxy-arpinter

35、face vlan 4014no ip proxy-arpip route ip route snmp-server host 32 traps net96you*snmp-server enable trapssnmp-server community 7 ro 005a35414f3e1b line con 0line vty 0 4loginpassword 7 035122110c3706wlan-qos rl minpktq 1end3

36、.4.2 aaa認(rèn)證需在認(rèn)證設(shè)備上完成相關(guān)的認(rèn)證配置，當(dāng)用戶接入的時(shí)候，會(huì)觸發(fā)相應(yīng)的配置，開(kāi)始整個(gè)上網(wǎng)的認(rèn)證過(guò)程。aaa new-mode 開(kāi)啟aaa認(rèn)證開(kāi)關(guān)aaa group server radius default 配置aaa認(rèn)證服務(wù)器組 aaa accounting update periodic 15 設(shè)置記賬更新時(shí)間間隔為15分鐘aaa accounting update 打開(kāi)記賬更新功能aaa accounting network default start-stop group radius 打開(kāi)記賬報(bào)文發(fā)送功能aaa authentication dot1x default

37、group radius 定義aaa認(rèn)證方法列表radius-server host 指定radius服務(wù)器的ip地址radius-server key 7 06142b0a251c17 定義與radius服務(wù)器通信的口令 dot1x authentication default 使用aaa服務(wù)和default列表進(jìn)行認(rèn)證dot1x probe-timer alive 300 配置客戶端探測(cè)定時(shí)器dot1x client-probe enable 打開(kāi)客戶端在線探測(cè)功能dot1x port-control auto 打開(kāi)端口下的dot1x認(rèn)證功能snmp-server e

38、nable traps 打開(kāi)設(shè)備的snmp traps消息主動(dòng)發(fā)送功能snmp-server community 7 0251563e120f3b rw 指定snmp團(tuán)體的訪問(wèn)字符3.4.3 防火墻部署規(guī)劃防火墻目前部署為透明模式，通過(guò)綁定下聯(lián)至核心及上聯(lián)至ace的兩個(gè)端口為透明橋組，對(duì)流經(jīng)這兩個(gè)端口的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)；并開(kāi)啟防火墻特有的病毒防護(hù)、入侵防御和應(yīng)用控制的功能性授權(quán)，全面保證內(nèi)網(wǎng)數(shù)據(jù)的安全性。出口采用rg-eg1000m高性能業(yè)務(wù)保障網(wǎng)關(guān)，由于當(dāng)前校園網(wǎng)出口為移動(dòng)和電信，設(shè)備默認(rèn)開(kāi)啟自動(dòng)選路功能，即訪問(wèn)電信走電信，訪問(wèn)移動(dòng)走移動(dòng)。并定義一個(gè)nat地址池，包含電信、移動(dòng)的地址，實(shí)現(xiàn)負(fù)載均

39、衡的效果。同時(shí)，利用eg產(chǎn)品功能特性，可在eg的web頁(yè)面中查看當(dāng)前的網(wǎng)絡(luò)流量使用情況，可幫助網(wǎng)絡(luò)管理人員詳細(xì)的分析流量走向。3.4.4 防arp攻擊設(shè)計(jì)ip 源防護(hù)（ip source guard，簡(jiǎn)稱 ipsg）是一種基于 ip/mac 的端口流量過(guò)濾技術(shù)，它可以防止局域網(wǎng)內(nèi)的 ip 地址欺騙攻擊。ipsg 能夠確保第 2 層網(wǎng)絡(luò)中終端設(shè)備的 ip 地址不會(huì)被劫持，而且還能確保非授權(quán)設(shè)備不能通過(guò)自己指定 ip 地址的方式來(lái)訪問(wèn)網(wǎng)絡(luò)或攻擊網(wǎng)絡(luò)導(dǎo)致網(wǎng)絡(luò)崩潰及癱瘓。本網(wǎng)絡(luò)設(shè)計(jì)中，在核心57上開(kāi)啟dhcp功能，同時(shí)開(kāi)啟ip dhcp snooping，開(kāi)啟ipsg。只有所接收到的ip包滿足ip源綁

40、定表中 port/ip/mac相匹配的或者所接收到的是dhcp 數(shù)據(jù)包的才進(jìn)行轉(zhuǎn)發(fā)，在設(shè)備下朕口開(kāi)啟arp-check。3.4.5 接入安全規(guī)劃重慶三峽學(xué)院數(shù)字化校園網(wǎng)建設(shè)項(xiàng)目中，在設(shè)備部署接入安全策略，防止因內(nèi)網(wǎng)攻擊所導(dǎo)致的網(wǎng)絡(luò)不穩(wěn)定的情況發(fā)生。部署nfpp基礎(chǔ)保護(hù)策略，對(duì)接入設(shè)備下的每個(gè)用戶ip進(jìn)行arp/ip報(bào)文的發(fā)送速率進(jìn)行檢測(cè)，并根據(jù)所設(shè)定的閥值觸發(fā)相應(yīng)的處理規(guī)則，全面有效的防止設(shè)備cpu利用率過(guò)高的現(xiàn)象發(fā)生。針對(duì)動(dòng)態(tài)獲取ip地址的區(qū)域部署ip dhcp snooping，對(duì)設(shè)備下的每用戶進(jìn)行ip地址的合法檢測(cè)；在設(shè)備上聯(lián)端口開(kāi)啟dhcp snooping trust功能，只允許用戶

41、從合法的端口獲取ip地址，有效防止用戶私設(shè)dhcp服務(wù)器；每端口下開(kāi)啟ipsg+arp-check功能，通過(guò)匹配dhcp snoooping數(shù)據(jù)庫(kù)中的用戶信息，來(lái)進(jìn)行非法篩選，有效防止用戶私設(shè)ip地址。樓層匯聚設(shè)備做相關(guān)網(wǎng)絡(luò)優(yōu)化配置，如：與核心的互聯(lián)端口進(jìn)行vlan修剪或修改接口類型為路由接口。避免造成廣播風(fēng)暴影響核心網(wǎng)絡(luò)的轉(zhuǎn)發(fā)；用戶vlan更改被動(dòng)接口，拒絕用戶接收ospf的hello報(bào)文，提高網(wǎng)絡(luò)效率；網(wǎng)絡(luò)出口及匯聚設(shè)備部署防病毒acl，防止內(nèi)外網(wǎng)的非法用戶針對(duì)校內(nèi)的sam、eportal等關(guān)鍵服務(wù)器進(jìn)行惡意掃描、數(shù)據(jù)入侵等操作，匯聚區(qū)設(shè)備配置實(shí)現(xiàn)。service password-enc

42、ryption 設(shè)置設(shè)備密碼以密文顯示，增強(qiáng)安全性service dhcp 開(kāi)啟dhcp服務(wù)ip helper-address 0 開(kāi)啟dhcp中繼服務(wù)ip access-list extended antivirus 配置常見(jiàn)病毒防護(hù)acl10 deny tcp any any eq 135 常見(jiàn)病毒防護(hù)acl內(nèi)容20 deny tcp any any eq 139 30 deny tcp any any eq 445 40 deny tcp any any eq 593 50 deny tcp any any eq 1025 60 deny tcp any any ra

43、nge 3127 3198 70 deny tcp any any eq 4444 80 deny tcp any any eq 5554 90 deny tcp any any eq 9996 100 deny tcp any any eq 389 110 deny tcp any any eq 636 120 deny tcp any any eq 3268 130 deny tcp any any eq 3269 140 deny tcp any any eq 1720 150 deny tcp any any eq 1503 160 deny tcp any any eq 443 17

44、0 deny udp any any eq 135 180 deny udp any any eq netbios-ns 190 deny udp any any eq netbios-dgm 200 deny udp any any eq 445 210 deny udp any any eq tftp 220 permit ip any any interface gigabitethernet 0/24no switchport 設(shè)置三層路由接口medium-type fiber 切換接口為光口ip ospf network point-to-point 配置ospf網(wǎng)絡(luò)類型為點(diǎn)對(duì)點(diǎn)no

45、 ip proxy-arp 關(guān)閉arp免費(fèi)代理ip access-group antivirus out 應(yīng)用防病毒條目于該接口的發(fā)報(bào)文方向ip address 52 配置與核心交換機(jī)的互聯(lián)地址no nfpp ip-guard enableno nfpp arp-guard enabledescription connect_to_gzsjx-hxjf-cs-s12010_g0/13router ospf 1 開(kāi)啟ospf動(dòng)態(tài)路由協(xié)議進(jìn)程，進(jìn)程號(hào)為1passive-interface vlan 100 用戶接口為被動(dòng)接口，拒絕接受hello報(bào)

46、文area 1 stub no-summary 用戶區(qū)域設(shè)置為stub區(qū)域，避免路由震蕩4工程實(shí)施規(guī)劃4.1 工程實(shí)施人員規(guī)劃表4.1 實(shí)施人員規(guī)劃表序號(hào)省份銳捷技術(shù)工程師移動(dòng)電話電子郵件1重慶市冉清iansenlin2重慶市張志hangzhikun3重慶市程hengwei4.2 工程實(shí)施進(jìn)度規(guī)劃4.2工程實(shí)施進(jìn)度規(guī)劃表序號(hào)開(kāi)始日期結(jié)束日期工作內(nèi)容負(fù)責(zé)人12014-10-172014-10-19開(kāi)箱驗(yàn)貨冉清夢(mèng)22014-10-202014-10-21方案會(huì)審張志坤32014-10-252014-11-3對(duì)現(xiàn)網(wǎng)的核心機(jī)

47、房進(jìn)行割接及業(yè)務(wù)測(cè)試冉清夢(mèng)42014-11-112014-11-24無(wú)線整體調(diào)試測(cè)試冉清夢(mèng)52014-12-12014-12-20網(wǎng)絡(luò)正式投入使用冉清夢(mèng)62014-12-252014-12-25現(xiàn)場(chǎng)培訓(xùn)程偉72014-12-262014-12-28項(xiàng)目驗(yàn)收張志坤4.3 工程服務(wù)與交付物說(shuō)明根據(jù)重慶三峽學(xué)院校園網(wǎng)運(yùn)維項(xiàng)目合同要求，本項(xiàng)目銳捷網(wǎng)絡(luò)提供交付物如下。（1）工程文檔交付物（2）校園網(wǎng)運(yùn)維項(xiàng)目實(shí)施方案（3）校園網(wǎng)運(yùn)維項(xiàng)目拓?fù)鋱D（4）校園網(wǎng)運(yùn)維項(xiàng)目ip地址規(guī)劃表（5）校園網(wǎng)運(yùn)維項(xiàng)目項(xiàng)目割接方案（6）項(xiàng)目實(shí)施后，銳捷工程師將在現(xiàn)場(chǎng)實(shí)施網(wǎng)絡(luò)進(jìn)行基礎(chǔ)運(yùn)行維護(hù)培訓(xùn)。致 謝本課題在選題、設(shè)計(jì)及研究過(guò)程中得到李清夢(mèng)老師的悉心指導(dǎo)。大學(xué)生活即將結(jié)束，回顧幾年的歷程，老師們給了我們很多指導(dǎo)和幫助。他們嚴(yán)謹(jǐn)