基于ipv4技術(shù)高校校園網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)畢業(yè)論文設(shè)計(jì)

基于IPv4技術(shù)高校校園網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)目錄TOC\o"1-3"\h\u27081緒論 I基于IPv4技術(shù)高校校園網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)摘要進(jìn)入新世紀(jì)以來，網(wǎng)絡(luò)技術(shù)開始前所未有的速度得以空前發(fā)展，其最大的特點(diǎn)就是具有強(qiáng)大的生命力，所以一直受到不少相關(guān)人員的關(guān)注。如今已經(jīng)進(jìn)入了知識經(jīng)濟(jì)時(shí)代，較大的改變了人們的生產(chǎn)和生活方式。在新時(shí)期，人們開始對自己生活周圍的環(huán)境予以高度的關(guān)注。因此，在這樣的背景下，有不少企業(yè)建筑物，醫(yī)院辦公樓，學(xué)校教室等也開始進(jìn)入了網(wǎng)絡(luò)化的發(fā)展行列。本論文主要描述高校校園網(wǎng)的設(shè)計(jì)，先是對具體的設(shè)計(jì)方案進(jìn)行了闡述。然后，按照已有的專業(yè)知識，在全面把握網(wǎng)絡(luò)技術(shù)的基礎(chǔ)上，以高校網(wǎng)絡(luò)化建設(shè)的未來發(fā)展走勢為依據(jù)，對網(wǎng)絡(luò)系統(tǒng)建設(shè)中提出的各類問題進(jìn)行了科學(xué)的分析，并建立了一個(gè)基于高校校園的網(wǎng)絡(luò)模型。然后在模型的基礎(chǔ)上，對系統(tǒng)進(jìn)行了詳細(xì)設(shè)計(jì)，選取了所需要使用的各類網(wǎng)絡(luò)軟件CiscoPackerTracer6.0，成功設(shè)計(jì)了一個(gè)實(shí)用科學(xué)，操作方便，可實(shí)現(xiàn)互動(dòng)的校園網(wǎng)絡(luò)設(shè)計(jì)系統(tǒng)等，對設(shè)備進(jìn)行配置，包括IPv4地址和路由協(xié)議等，為通過網(wǎng)絡(luò)進(jìn)行校園管理奠定了堅(jiān)實(shí)的基礎(chǔ)。關(guān)鍵詞：高校校園網(wǎng)；IPv4；OSPF；NAT；ACLBasedontheIPv4technologyuniversitycampusnetworkdesignandimplementationAbstractComputerNetworkTechnologywithitsrapidpaceofdevelopmentanditsvitalitybeingpopularwithpeopleofallages,andnowsocialintelligence,networkingseemstohavebecomethesubjectofnetworkdevelopment.Withthepopularityofthenetworkandtheexplosiveofinformation,peoplelivingintoday'ssocietyareincreasinglyconcernedaboutthesurroundingenvironment.Somanycompaniesbuildings,homes,hospitals,schools,etc.havejoinedtheranksofthenetworking.Thispaperdescribesthedesignandimplementationofcampusnetwork,elaboratedthedesignofuniversitycampusLANproject.AccordingtotheexistingknowledgeandfullunderstandingofthebasicLANnetworkingtechnology,basedonthecurrentdevelopmenttrendofcampusnetwork,campussciencewiththeneedsofnetworksystemanalysis,designofanuniversitymodelscampusLANsystem,andrefinedtheuniversitycampusnetworkmodelallaspectsofdesigndetails.Accordingtotheneedsandactualmodelofnetworkdevicesneedtousetheappropriateselection.HeretheuseofnetworksimulationsoftwareCiscoPackerTracer6.0,onthecampusnetworkplanning,equipmentconfiguration,includingIPv4addressesandroutingprotocols.Keywords:universitycampusnetwork；IPv4；OSPF；NAT；ACL1緒論1.1選題背景隨著信息技術(shù)高速發(fā)展，計(jì)算機(jī)和互聯(lián)網(wǎng)等現(xiàn)代技術(shù)活躍在社會(huì)各個(gè)領(lǐng)域，尤其在管理方面，信息及時(shí)溝通資源共享使大量復(fù)雜繁瑣的問題變的更簡單易行提高了生產(chǎn)效率。隨著社會(huì)的進(jìn)步和現(xiàn)代科技的發(fā)展，信息在人類的生活中顯得越來越重要了。高校間的競爭早已超越了單純的招生競爭、師資競爭、服務(wù)競爭、資源競爭、價(jià)格競爭和榮譽(yù)競爭等。隨著工業(yè)革命的完成，人類社會(huì)已步入信息時(shí)代。在各種競爭的方面也都不可避免地被打上了網(wǎng)絡(luò)化的烙印[1]。高校原有的教學(xué)和信息傳遞方式已不能滿足當(dāng)代高校運(yùn)作的需求。高校校園網(wǎng)是正是在這種背景下產(chǎn)生的，成熟的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和通訊技術(shù)為高校教學(xué)信息化、網(wǎng)絡(luò)化的需求提供技術(shù)支持。校園局域網(wǎng)為高校營造了一個(gè)安全、高效現(xiàn)代化的教育環(huán)境，也使計(jì)算機(jī)的功能得到了充分的發(fā)揮[2]。學(xué)校內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)互通，資源化、信息化，有利于數(shù)據(jù)交換（方便各部門之間傳遞內(nèi)部數(shù)據(jù)）、資源共享（隨時(shí)調(diào)用學(xué)校內(nèi)部開放的數(shù)據(jù)）、打印共享（隨時(shí)使用位于辦公室處的任意打印機(jī)）提高高校教學(xué)辦公的工作效率。1.2國內(nèi)外研究現(xiàn)狀如今國內(nèi)和國際的高校都非常重視校園網(wǎng)組建。如今，校園網(wǎng)已經(jīng)被視為實(shí)現(xiàn)教學(xué)信息化的一個(gè)重要環(huán)節(jié)，并在高校各大職能部門都有所涉及，可以說在他們學(xué)校生活的方方面面都有所體現(xiàn)，同時(shí)也一改以往的教學(xué)方法與觀念[2]。在國外，大學(xué)校園網(wǎng)建設(shè)要早于我國，大多數(shù)是興起到上世紀(jì)80年代，到了90年代中期，大部分歐美發(fā)達(dá)國家都建立了相對完善的高校校園網(wǎng)，而且大部分同學(xué)都學(xué)會(huì)利用校園網(wǎng)上的各項(xiàng)資源[3]。1.3研究內(nèi)容及組織結(jié)構(gòu)1.3.1研究內(nèi)容（1）研究校園網(wǎng)功能和開展需求調(diào)查工作，全面分析學(xué)校的特點(diǎn)，教學(xué)任務(wù)，以及所實(shí)施的改革策略，對高校校園網(wǎng)系統(tǒng)進(jìn)行設(shè)計(jì)，并準(zhǔn)確把握校園網(wǎng)的實(shí)際需求；

（2）在了解學(xué)校信息建設(shè)需求的基礎(chǔ)上，對學(xué)校Intranet的服務(wù)類型予以明確，并明確具體的設(shè)計(jì)目標(biāo)，包括網(wǎng)絡(luò)拓?fù)浯罱ā⒎?wù)器設(shè)置和路由交換的配置；

（3）確立高校校園網(wǎng)的詳細(xì)結(jié)構(gòu)和所能發(fā)揮的作用，按照需求分析和學(xué)校的具體情況，開展系統(tǒng)的分析和設(shè)計(jì)；

（4）確立技術(shù)設(shè)計(jì)的原則要求，如在技術(shù)選擇、設(shè)備選擇、網(wǎng)絡(luò)配置等應(yīng)用要求；（5）設(shè)計(jì)安排校園網(wǎng)搭建的實(shí)現(xiàn)過程。1.3.2組織結(jié)構(gòu)第一章緒論，討論了論文的選題背景、國內(nèi)外研究現(xiàn)狀和研究內(nèi)容及組織結(jié)構(gòu)。第二章高校校園網(wǎng)需求分析，介紹了校園網(wǎng)的需求及核心功能。第三章高校校園網(wǎng)規(guī)劃與設(shè)計(jì)，主要闡述了校園網(wǎng)的設(shè)計(jì)方案的科學(xué)性、建設(shè)整體內(nèi)容以及VALN劃分和IP規(guī)劃、設(shè)備選型。第四章高校校園網(wǎng)實(shí)施技術(shù)，例如：VLAN、OSPF、NAT、ACL、VPN、STP、端口安全等相關(guān)技術(shù)介紹。第五章高校校園網(wǎng)實(shí)施與測試，利用CiscoPacketTracer6.0模擬器搭建校園網(wǎng)絡(luò)環(huán)境，介紹了實(shí)現(xiàn)原理、關(guān)鍵配置命令、測試環(huán)境和測試記錄?？偨Y(jié)整篇論文的總結(jié)部分，對高校校園網(wǎng)絡(luò)設(shè)計(jì)的課題進(jìn)行主要結(jié)論概述。2高校校園網(wǎng)需求分析2.1高校校園網(wǎng)絡(luò)需求本論文主要是把某個(gè)高等院校的校園網(wǎng)設(shè)計(jì)作為工作中心，進(jìn)行校園網(wǎng)的規(guī)劃與模擬，并提出具體的解決方案。以該高校來看主要有兩個(gè)校區(qū)：CampusA、CampusB，通過某一邊界路由器C-R與CampusA和CampusB相連組成高校校園內(nèi)部網(wǎng)絡(luò)，邊界路由器出口是外網(wǎng)與ISP相連。該高校校園網(wǎng)絡(luò)的具體需求如下：該高校校園網(wǎng)由2個(gè)校區(qū)構(gòu)成，要求不同區(qū)域的PC在不同的VLAN中，根據(jù)高校網(wǎng)絡(luò)設(shè)計(jì)需求劃分VLAN，同時(shí)給每個(gè)VLAN分配IP地址段，同時(shí)利用VTP技術(shù)，實(shí)現(xiàn)VLAN信息的同步。學(xué)生宿舍區(qū)作為特殊存在不能訪問高校的辦公區(qū)域，而可以訪問學(xué)校內(nèi)部網(wǎng)絡(luò)和Internet。由于財(cái)務(wù)部是高校較為敏感的部門，所以要求財(cái)務(wù)部不能訪問外部網(wǎng)絡(luò)，也不能跟其它區(qū)域互訪，但是辦公區(qū)域之間（除財(cái)務(wù)部外）可以互訪且能夠訪問學(xué)校內(nèi)網(wǎng)和Internet。為了便于IP的管理，在核心交換機(jī)對應(yīng)的VLAN上搭建DHCP服務(wù)器，為接入高校校園網(wǎng)中的PC分配IP及相關(guān)的配置信息（如：網(wǎng)關(guān)，DNS）。由于該高校有上Internet的需求，因此要求網(wǎng)絡(luò)中要部署WEB和DNS服務(wù)器。為了方便高校師生資源共享，需要在網(wǎng)絡(luò)中部署FTP服務(wù)器。為了保證該高校校園網(wǎng)能夠?qū)崿F(xiàn)高速，可靠的數(shù)據(jù)轉(zhuǎn)發(fā)，需要在核心交換機(jī)上配置冗余及以太信道的鏈路聚合。為了保證高校內(nèi)部網(wǎng)絡(luò)的安全，不希望外網(wǎng)能夠訪問高校內(nèi)網(wǎng)，所以需要使用NAT技術(shù)，實(shí)現(xiàn)單向訪問。為了實(shí)現(xiàn)讓出差/在家辦公教師能夠訪問高校的內(nèi)部資源，要求通過VPN撥號進(jìn)入高校校園網(wǎng)辦公。2.2高校校園網(wǎng)絡(luò)實(shí)現(xiàn)功能通過建設(shè)校園網(wǎng)，可以實(shí)現(xiàn)以下的功能：(1)三層架構(gòu)設(shè)計(jì)本課題設(shè)計(jì)和實(shí)現(xiàn)過程中，主要是引入了三層網(wǎng)絡(luò)結(jié)構(gòu)(接入層，匯聚層，核心層)而進(jìn)行設(shè)計(jì)的。各層的具體功能如表2-1所示：表2-1三層結(jié)構(gòu)中各層的具體功能匯總表層名功能接入層提供較多的網(wǎng)絡(luò)入口匯聚層對接入層網(wǎng)絡(luò)的連接核心層校園內(nèi)部和外部數(shù)據(jù)的交換，完成路由和安全功能(2)路由模塊設(shè)計(jì)在OSPF路由協(xié)議的幫助下，完成選路工作。此處，筆者采用引入OSPF鏈路狀態(tài)路由完成這一工作。(3)交換模塊設(shè)計(jì)對虛擬網(wǎng)絡(luò)進(jìn)行合理布局，其主要是通過三層路由來實(shí)現(xiàn)。接入層交換機(jī)在進(jìn)行二次交換以后，就可以實(shí)現(xiàn)互通。(4)安全模塊設(shè)計(jì)把訪問控制表安裝于路由器上，并拒絕某些網(wǎng)絡(luò)的來訪，出差辦公教師和在家辦公教師通過VPN撥號接入對CampusA和CampusB進(jìn)行訪問。2.3小結(jié)根據(jù)高校校園網(wǎng)的需求分析，明確了本課題的設(shè)計(jì)任務(wù)及需要實(shí)現(xiàn)的功能。在本章上講述了高校校園網(wǎng)網(wǎng)絡(luò)核心功能的設(shè)計(jì)，其分為三層架構(gòu)、路由模塊、交換模塊、安全模塊設(shè)計(jì)。以及下一章節(jié)主要介紹高校校園網(wǎng)規(guī)劃與設(shè)計(jì)。3高校校園網(wǎng)規(guī)劃與設(shè)計(jì)3.1高校網(wǎng)絡(luò)規(guī)劃科學(xué)性整體安排：按照學(xué)校的要求，以及校園的實(shí)際情況，提出科學(xué)合理的系統(tǒng)目標(biāo)，結(jié)構(gòu)，以及所能完成的功能，需要的各項(xiàng)支出等。綜合性能：可以采用全球尖端技術(shù)，按照網(wǎng)絡(luò)建設(shè)需求和實(shí)際情況，來選擇合適的網(wǎng)絡(luò)產(chǎn)品，保證高校網(wǎng)絡(luò)安全、高速運(yùn)行。結(jié)構(gòu)合理：在進(jìn)行分部設(shè)計(jì)時(shí)，一定要保持一定的層次感，做到思路清晰，以及有一定的層次結(jié)構(gòu)，便于管理整個(gè)網(wǎng)絡(luò)系統(tǒng)。高效實(shí)用：科學(xué)分析，實(shí)現(xiàn)資金的效益最大化，能基本滿足對高校網(wǎng)絡(luò)提出的各項(xiàng)要求。良好的環(huán)境：較高的網(wǎng)絡(luò)，快速訪問網(wǎng)絡(luò)，保證學(xué)校間的交流。3.2高校校園網(wǎng)設(shè)計(jì)圖3-1高校校園網(wǎng)絡(luò)拓?fù)鋱D3.3IP地址規(guī)劃本高校校園網(wǎng)絡(luò)根據(jù)需求一共劃分了18個(gè)VLAN。具體的劃分如下表所示：表3-1IP地址規(guī)劃選項(xiàng)網(wǎng)段IP網(wǎng)關(guān)IP注意事項(xiàng)服務(wù)器集群/2454Vlan10教學(xué)A區(qū)/2454Vlan11/2454Vlan12學(xué)生寢室/2454Vlan13/2454Vlan14/2454Vlan15/2454Vlan16/2454Vlan17/2454Vlan18財(cái)務(wù)部/2454Vlan19教務(wù)部/2454Vlan20辦公室/2454Vlan21教學(xué)B區(qū)/2454Vlan22/2454Vlan23實(shí)訓(xùn)區(qū)/2454Vlan24/2454Vlan25/2454Vlan26/2454Vlan273.4高校校園網(wǎng)設(shè)備選型在本次課題設(shè)計(jì)中，筆者引入了Cisco公司開發(fā)的相關(guān)設(shè)備。從當(dāng)前情況來看，網(wǎng)絡(luò)是實(shí)現(xiàn)企業(yè)、社會(huì)、家庭等各方互相連接的設(shè)施，而Cisco網(wǎng)絡(luò)可以為多方之間進(jìn)行通信提供有效的解決方案。在選取了Cisco的硬件、軟件和相關(guān)的服務(wù)方案以后，可以使個(gè)人，學(xué)校的能力都得以提升，同時(shí)也使更多的顧客滿意。3.4.1交換機(jī)交換機(jī)牽涉到兩個(gè)重要參數(shù)：背板帶寬和吞吐率，它們是網(wǎng)絡(luò)交換能力強(qiáng)弱的指標(biāo)，是實(shí)現(xiàn)網(wǎng)絡(luò)交換的基礎(chǔ)性工作。1、三層交換機(jī)選擇:本次設(shè)計(jì)方案選擇CiscoCatalyst4948系列交換機(jī)。Catalyst4948交換機(jī)使多項(xiàng)高級功能整合為一體，用戶可以借助于這臺(tái)交換機(jī)，配上相應(yīng)的QoS、ACL和路由協(xié)議等，這一功能也是以往的二層交換機(jī)所不具備的。這樣使得整個(gè)交換網(wǎng)絡(luò)更加簡潔明了。表3-2三層交換機(jī)主要參數(shù)品牌思科CISCO型號WS-C34948-S傳輸速率10/100/1000Mpps傳輸模式全雙工背板帶寬96Gbps端口數(shù)48個(gè)模塊化插槽數(shù)4個(gè)產(chǎn)品數(shù)量3臺(tái)2、二層交換機(jī)選擇:在本課題設(shè)計(jì)中，筆者選取了思科2950系列交換機(jī)。該系列交換機(jī)擁有基于Web的Cisco集群管理套件和集成的Cisco操作系統(tǒng)軟件，它提供了增強(qiáng)的服務(wù)質(zhì)量（QoS）和組播管理特性[5]。表3-3二層交換機(jī)主要參數(shù)品牌思科CISCO型號2950-24產(chǎn)品類型快速以太網(wǎng)交換機(jī)傳輸速率10/100Mbps交換方式存儲(chǔ)轉(zhuǎn)發(fā)背板帶寬8.8Gbps端口數(shù)量24個(gè)接口介質(zhì)10BASE-T/10BASE-TX3類或3類以上UTP,100BASE-TX五類[6]。傳輸模式支持全雙工堆疊功能可級聯(lián)產(chǎn)品數(shù)量10臺(tái)3.4.2路由器本次設(shè)計(jì)方案選擇Cisco3925/K9路由器。它可以安全、快速、高質(zhì)量的為校園網(wǎng)絡(luò)可以提供多類并發(fā)性的服務(wù)。提供VPN模塊；入侵防御和防火墻功能；在各種需求的連接接口都適用；性能充足。表3-4路由器主要參數(shù)品牌思科CISCO型號3925/K9路由器類型多業(yè)務(wù)路由器傳輸速率10/100/1000Mbps局域網(wǎng)接口3個(gè)其它端口2個(gè)基于SFP端口+2個(gè)內(nèi)部USB2.0端口+1個(gè)串行控制臺(tái)端口+1個(gè)串行輔助端口[7]擴(kuò)展模塊2個(gè)服務(wù)模塊化插槽+1個(gè)雙寬度服務(wù)模塊插槽+4個(gè)EHWIC的模塊化插槽+2個(gè)雙寬度EHWIC插槽+1個(gè)ISM插槽數(shù)+4個(gè)板載DSP(PVDM)插槽[8]防火墻內(nèi)置防火墻Qos支持支持VPN支持支持產(chǎn)品數(shù)量3臺(tái)3.5小結(jié)本章講述了關(guān)于高校校園網(wǎng)的總體設(shè)計(jì)思想和規(guī)劃的科學(xué)性，從設(shè)計(jì)拓?fù)鋱D上給出IP規(guī)劃以及校區(qū)的VLAN劃分。其中VLAN10-21屬于Campus-A，Campus-A包括數(shù)據(jù)中心、教學(xué)A區(qū)、學(xué)生宿舍區(qū)、圖書館區(qū)；VLAN22-27屬于Campus--B，Campus--B包括教學(xué)B區(qū)、實(shí)驗(yàn)區(qū)。最后還介紹了高校校園網(wǎng)設(shè)備選型。下一章節(jié)主要介紹高校校園網(wǎng)實(shí)施技術(shù)。4高校校園網(wǎng)實(shí)施技術(shù)4.1VLAN技術(shù)VLAN的全寫就是VirtualLocalAreaNetwork，翻譯成中文是虛擬局域網(wǎng)。VLAN是以邏輯為對象進(jìn)行劃分的，可以實(shí)現(xiàn)多網(wǎng)段的通信。在交換網(wǎng)中，通過引入VLAN技術(shù)，可以把其中各段進(jìn)行靈活的劃分和科學(xué)的組織。利用對VLAN結(jié)構(gòu)進(jìn)行設(shè)計(jì)，可以集功能、項(xiàng)目組和應(yīng)用程序等各種分段方法為一體，而不需要關(guān)注用戶的物理位置[9]。也可以將每個(gè)二層交換機(jī)的端口只分配給一個(gè)VLAN，從而來加強(qiáng)安全防護(hù)。因?yàn)橥粋€(gè)VLAN分別歸屬于一個(gè)廣播域，不同的VLAN中的端口難以實(shí)現(xiàn)廣播的共享，所以可以把廣播限制在一個(gè)VLAN中，以此來改進(jìn)網(wǎng)絡(luò)的整體功能。4.2鏈路聚合技術(shù)鏈路聚合（LinkAggregation），把很多數(shù)據(jù)通道集在一起，形成更小的通道，該信道以某一單一的高寬路的邏輯鏈路的形式出現(xiàn)。當(dāng)交換機(jī)發(fā)現(xiàn)到其中一個(gè)接口的鏈路發(fā)生故障時(shí)，就會(huì)在此接口上停止發(fā)送報(bào)文，并根據(jù)負(fù)載分擔(dān)策略在剩下鏈路中重新計(jì)算報(bào)文發(fā)送的接口，故障接口恢復(fù)后再次重新計(jì)算報(bào)文發(fā)送接口[10]。4.3生成樹協(xié)議通常而言，復(fù)雜的網(wǎng)絡(luò)是借助于冗余設(shè)備與實(shí)現(xiàn)相應(yīng)的設(shè)計(jì)功能的。雖然這確實(shí)可以使一些問題得以解決，但是還是會(huì)出現(xiàn)問題，如產(chǎn)生環(huán)路，廣播風(fēng)暴等。生成樹協(xié)議是一種工作在OSI模型第二層的鏈路管理協(xié)議，其主要功能就是保證在復(fù)雜的交換網(wǎng)絡(luò)中不會(huì)再現(xiàn)環(huán)路現(xiàn)象，同時(shí)還提供了路徑的冗余[11]。不管是什么轉(zhuǎn)發(fā)幀，也不管是否清楚其目標(biāo)地址，都可以借助于一些合適的端口向外轉(zhuǎn)發(fā)，從而確保終端設(shè)備可以獲取轉(zhuǎn)發(fā)幀。但是，當(dāng)交換機(jī)或者鏈路存在故障時(shí)，這種網(wǎng)絡(luò)設(shè)計(jì)難以使用額外的鏈路來實(shí)現(xiàn)冗余，于是這樣交換機(jī)兩端的網(wǎng)絡(luò)將會(huì)被隔離。STP讓交換可以實(shí)現(xiàn)交換機(jī)之間的通信，借助于發(fā)送橋協(xié)議數(shù)據(jù)單元來協(xié)商根橋、根端口等信息。本高校校園網(wǎng)設(shè)計(jì)中是采用PVST。4.4HSRP技術(shù)HSRP的設(shè)計(jì)目標(biāo)是支持在某些情況下的IP流量失敗轉(zhuǎn)移，而不會(huì)引發(fā)內(nèi)部混亂，允許主機(jī)使用單路由器，以及就算路由器使用失敗以后還可以實(shí)現(xiàn)對路由器間的連通性的維護(hù)[12]。HSRP利用優(yōu)先級最高的設(shè)備成為Active路由器。其缺省優(yōu)先級默認(rèn)為100。若優(yōu)先級相同，具有最高接口IP地址的路由器成為Ative路由器。搶占（Preempt）使得具有最高優(yōu)先級的設(shè)備成為Active。4.5路由協(xié)議OSPFOSPF是鏈路狀態(tài)路由協(xié)議，同時(shí)也是內(nèi)部網(wǎng)關(guān)協(xié)議。OSPF通過路由器之間通告網(wǎng)絡(luò)接口的狀態(tài)建立相應(yīng)的數(shù)據(jù)庫，每個(gè)OSPF路由器使用這些最短路徑來實(shí)現(xiàn)路由表的構(gòu)造[13]。鏈路狀態(tài)路由協(xié)議采用把OSPF將LSA數(shù)據(jù)包向某一區(qū)域內(nèi)的所有路由器傳送，這種與距離矢量路由選擇協(xié)議有所區(qū)別。運(yùn)行距離矢量路由協(xié)議的路由器是把路由表中的部分或者是全部傳遞給周邊的路由器[14]。4.6網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù)NAT，NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換。局域網(wǎng)內(nèi)所有的IP使用NAT地址。它也可以隱藏個(gè)別IP地址，這樣外界就無法訪問內(nèi)部網(wǎng)絡(luò)[15]。同時(shí)，它可以將網(wǎng)絡(luò)的私有地址轉(zhuǎn)換成公有地址。NAT有三種類型：靜態(tài)NAT、動(dòng)態(tài)NAT、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT[16]。該校園網(wǎng)中心路由器與連接外網(wǎng)處做動(dòng)態(tài)NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)。其中動(dòng)態(tài)地址NAT主要是在網(wǎng)絡(luò)外部設(shè)置了大量的合法地址[17]。4.7訪問控制列表ACL技術(shù)訪問控制表就是路由器接口的指令列表。其功能是告知路由器是接受還是拒絕數(shù)據(jù)包。至于數(shù)據(jù)包到底是接收還是拒絕，可以由類似于源地址、端口號等各指標(biāo)確定[18]。ACL共有兩種：標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。標(biāo)準(zhǔn)的ACL只可以過濾源地址，且其具有的功能十分有限。擴(kuò)展ACL則可以過濾源地址和上層應(yīng)用數(shù)據(jù)[19]。本高校校園網(wǎng)在Campus-A中的兩臺(tái)核心交換機(jī)處做擴(kuò)展ACL，限制學(xué)生宿舍區(qū)訪問校園網(wǎng)的辦公區(qū)，辦公區(qū)中的財(cái)務(wù)部需要進(jìn)入VLAN端口限制外網(wǎng)和內(nèi)網(wǎng)對財(cái)務(wù)部的訪問。4.8虛擬專用網(wǎng)絡(luò)VPN技術(shù)VPN的功能是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進(jìn)行加密通訊，在校園網(wǎng)絡(luò)中有廣泛應(yīng)用[20]。對于高校校園網(wǎng)絡(luò)來說，出差辦公教師或在家辦公教師通過VPN撥號進(jìn)行對高校校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的訪問。而在傳統(tǒng)的高校校園網(wǎng)絡(luò)設(shè)計(jì)中，要進(jìn)行遠(yuǎn)程訪問，一般的方法就是租用DDN專業(yè)或者使用幀中繼。然而，這樣又會(huì)使費(fèi)用高漲。就個(gè)人看來，通過電話線撥號進(jìn)行該校園網(wǎng)，但是安全性難以保障，所以又有了VPN技術(shù)。在高校校園網(wǎng)中，本設(shè)計(jì)是采用EasyVPN技術(shù)，讓出差或在家辦公教師通過VPN撥號對校園內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問。4.9小結(jié)本章主要介紹了高校校園網(wǎng)實(shí)施的技術(shù)有：VLAN技術(shù)、鏈路聚合技術(shù)、HSRP技術(shù)、NAT技術(shù)、ACL技術(shù)、VPN技術(shù)，還介紹了本設(shè)計(jì)用到的STP和OSPF協(xié)議。下一章介紹高校校校園網(wǎng)的實(shí)施與測試，其中包括高校校園網(wǎng)的關(guān)鍵配置和高校校園網(wǎng)的測試結(jié)果。5高校校園網(wǎng)實(shí)施與測試5.1高校校園網(wǎng)實(shí)施5.1.1高校校園網(wǎng)A區(qū)拓?fù)鋱D與關(guān)鍵配置圖5-1校園網(wǎng)A校區(qū)拓?fù)鋱D1、路由器Campus-A-R配置routerospf100//開啟OSPF路由協(xié)議，進(jìn)程號100network55area0//宣告網(wǎng)段，反掩碼為55，骨干區(qū)域?yàn)?network55area0network55area02、三層交換機(jī)配置A校區(qū)三層交換機(jī)將要實(shí)施的具體命令如下：在核心交換機(jī)上搭建DHCP服務(wù)器：ipdhcppool11//定義地址池network//宣告要被分配的網(wǎng)段和子網(wǎng)掩碼default-router54//指定網(wǎng)關(guān)dns-server//指定DNS服務(wù)器ipdhcppool12networkdefault-router54dns-server在核心交換機(jī)創(chuàng)建VTP管理VLAN：vtpmodeserver//設(shè)置VTP為Servervtpdomainccna//創(chuàng)建VTP域名在二層交換機(jī)創(chuàng)建VTP管理VLAN：vtpmodeclient//設(shè)置VTP為Clientvtpdomainccna//創(chuàng)建VTP域名vlan10//創(chuàng)建VLANvlan11vlan12VLAN間路由配置：iprouting//開啟三層交換機(jī)路由功能interfaceFastEthernet0/1switchporttrunkencapsulationdot1q//封裝DOT1Q協(xié)議switchportmodetrunk//設(shè)置為trunk模式interfaceFastEthernet0/2switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceVlan10//進(jìn)入VLAN10ipaddress54//配置IP地址，為相應(yīng)VLAN的網(wǎng)關(guān)interfaceVlan11ipaddress440STP配置：spanning-treemodepvst//在所有VLAN端口上開啟生成樹協(xié)議spanning-treevlan10,17-21priority24576//設(shè)置各VLAN的優(yōu)先級，實(shí)現(xiàn)負(fù)載均衡spanning-treevlan11-16priority28672HSRP配置：活動(dòng)核心交換機(jī)：intvlan10//進(jìn)入vlan10standby10ip54//啟用HSRP功能，10為standby組號，IP為虛擬網(wǎng)關(guān)standby10priority120//配置HSRP的優(yōu)先級，越高越優(yōu)先standby10preempt//設(shè)置搶占優(yōu)先備份核心交換機(jī)：intvlan10standby10ip54standby10priority110standby10preempt鏈路聚合配置：interfaceGigabitEthernet0/1channel-group1modeon//將物理接口指定到已創(chuàng)建的通道中switchporttrunkencapsulationdot1q//封裝DOT1Q協(xié)議switchportmodetrunk//設(shè)置為trunk模式interfaceGigabitEthernet0/2channel-group1modeonswitchporttrunkencapsulationdot1qswitchportmodetrunkinterfacePort-channel1//進(jìn)入聚合端口switchporttrunkencapsulationdot1qswitchportmodetrunkACL配置：intvlan19//進(jìn)入vlan19ipaccess-group101in//將訪問控制列表放置于端口，并明確方向access-list101denyip55any//拒絕財(cái)務(wù)部訪問其他區(qū)域access-list101denyipany55//拒絕其他區(qū)域訪問財(cái)務(wù)部intvlan13//進(jìn)入vlan13ipaccess-group101in//將訪問控制列表放在端口，并確定方向access-list101denyip5555//拒絕學(xué)生宿舍區(qū)訪問教務(wù)部access-list101denyip5555//拒絕學(xué)生宿舍區(qū)訪問辦公室intvlan14//進(jìn)入vlan14ipaccess-group101in//將訪問控制列表放置于端口，并明確方向access-list101denyip5555//拒絕學(xué)生宿舍區(qū)對教務(wù)部進(jìn)行訪問；access-list101denyip5555//拒絕學(xué)生宿舍區(qū)訪問辦公室在其他宿舍區(qū)做以上相同acl配置access-list101permitipanyany//允許所有，控制列表最后一項(xiàng)是對所有進(jìn)行阻止，因此要有這一項(xiàng)3、服務(wù)器配置DNS服務(wù)器配置：圖5-2DNS服務(wù)器配置WEB服務(wù)器配置：圖5-3WEB服務(wù)器配置FTP服務(wù)器配置：圖5-4FTP服務(wù)器配置5.1.2高校校園網(wǎng)B區(qū)拓?fù)鋱D關(guān)鍵配置圖5-4校園網(wǎng)B校區(qū)拓?fù)鋱DB校區(qū)核心層路由器Campus-B-R配置（配置OSPF、默認(rèn)路由配置），而且按照如下命令：配置OSPF：routerospf100network55area0network55area0默認(rèn)路由配置并計(jì)算度量值：iproute0100//默認(rèn)路由都從0這個(gè)地址出去5.1.3高校校園網(wǎng)外網(wǎng)及VPN拓?fù)鋱D與關(guān)鍵配置圖5-5校園網(wǎng)外網(wǎng)拓?fù)鋱D校園網(wǎng)出口路由器C-R配置（配置OSPF、配置VPN、配置NAT），具體命令如下：配置OSPF：routerospf100network55area0network55area0iproutes0/0/1//配置默認(rèn)路由，指向ISP路由器在邊界路由器C-R配置ACL語句：access-list101denyip55any//拒絕財(cái)務(wù)部網(wǎng)段訪問所有access-list101permitipanyany配置VPN，確保出差老師可以使用校園網(wǎng)；aaanew-model//打開AAA認(rèn)證aaaauthenticationloginvtalocal//命名并認(rèn)證vtaaaaauthorizationnetworkvtolocal//命名并授權(quán)vto的事件usernamelywpassword123//用戶名和密碼設(shè)置cryptoisakmppolicy10//配置安全參數(shù)hashmd5//MD5加密authenticationpre-sharegroup2iplocalpoolvpn0//連通VPN后分配的IP地址cryptoisakmpclientconfigurationgroupmyvpn//配置VPN的組和密碼key123poolvpncryptoipsectransform-settimesp-3desesp-md5-hmac//IPSec第二階段cryptodynamic-mapvpnmap10//動(dòng)態(tài)加密圖settransform-settimreverse-route//反向路由注入（下面對VAP進(jìn)行認(rèn)證，并配置，list是實(shí)現(xiàn)對AAA的配置名的調(diào)用）cryptomaptomclientauthenticationlistvtacryptomaptomisakmpauthorizationlistvtocryptomaptomclientconfigurationaddressrespondcryptomaptom10ipsec-isakmpdynamicvpnmap//動(dòng)態(tài)加密圖中要實(shí)現(xiàn)靜態(tài)綁定interfaceFastEthernet1/0cryptomaptom//與接口綁定NAT配置：ipnatinsidesourcelist101interfaceSerial0/0/1overload//配置動(dòng)態(tài)NAT，實(shí)現(xiàn)內(nèi)部地址向S0/0/0的端口地址的轉(zhuǎn)換interfaceFastEthernet0/0//進(jìn)F0/0接口ipnatinside//定義NAT的內(nèi)部interfaceFastEthernet0/1ipnatinside//定義NAT的內(nèi)部interfaceFastEthernet1/0ipnatoutside//定義NAT的外部5.2高校校園網(wǎng)絡(luò)測試5.2.1客戶端自動(dòng)獲取IP地址測試圖5-6DHCP測試5.2.2NAT測試圖5-7NAT測試圖5-8查看NAT轉(zhuǎn)換表5.2.3STP生成樹測試若形成環(huán)路，則一切端口都要變綠，但邏輯上來看，有些端口是斷開的，當(dāng)根端口down，備份端口up，應(yīng)對二層網(wǎng)絡(luò)形成風(fēng)暴效應(yīng)。圖5-9環(huán)路結(jié)構(gòu)圖圖5-10交換機(jī)狀態(tài)圖5.2.4ACL測試學(xué)生宿舍區(qū)不能訪問辦公區(qū)各部門圖5-11學(xué)生宿舍區(qū)訪問財(cái)務(wù)部5.2.5WEB服務(wù)器測試圖5-12學(xué)生宿舍區(qū)訪問內(nèi)部網(wǎng)站圖5-13學(xué)生宿舍區(qū)訪問外部網(wǎng)站5.2.6FTP測試圖5-14學(xué)生宿舍區(qū)訪問ftp5.2.7HSRP測試圖5-15為辦公室訪問外網(wǎng)時(shí)模擬核心交換機(jī)Campus-A-S-1上接口G0/1出現(xiàn)故障時(shí)HSRP的測試。圖5-15HSRP測試5.2.8VPN測試默認(rèn)條件下，出差和在家辦公教師的PC端無法成功實(shí)現(xiàn)校園網(wǎng)的訪問工作。如（PC3）無法對內(nèi)網(wǎng)的主機(jī)，服務(wù)器進(jìn)行訪問，詳細(xì)界面圖如下所示：對A校區(qū)的VLAN11和B校區(qū)的VLAN23進(jìn)行訪問，其結(jié)果顯示無法獲取目標(biāo)。。一旦把VPN撥通，又可以訪問內(nèi)網(wǎng)。圖5-16默認(rèn)條件下PC3狀態(tài)圖圖5-17VPN撥號界面圖圖5-18撥通VPN界面圖圖5-19互通界面圖總結(jié)與展望通過這段時(shí)間的努力，筆者完成了整個(gè)設(shè)計(jì)工作。而且在這一時(shí)期，我終于認(rèn)識到網(wǎng)絡(luò)的強(qiáng)大。本次設(shè)計(jì)以某所高校的校園網(wǎng)絡(luò)需求、目標(biāo)以及實(shí)現(xiàn)技術(shù)為基礎(chǔ)，通過設(shè)備造型，配置相應(yīng)的網(wǎng)絡(luò)設(shè)備，到后來校園網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)，確實(shí)牽涉到了相當(dāng)多的技術(shù)。在本課題設(shè)計(jì)時(shí)，確實(shí)碰到了一些挫折。這主要是由于在選題時(shí)，導(dǎo)師建議我設(shè)計(jì)一個(gè)網(wǎng)絡(luò)，盡管不少同學(xué)認(rèn)為這一課題設(shè)計(jì)的難度不高，甚至可以不用吹灰之力。然而，在完成此次設(shè)計(jì)的整個(gè)過程中，我確實(shí)碰到了不少困難，網(wǎng)絡(luò)本身也是一個(gè)較大的工程，其中會(huì)牽涉到一些細(xì)節(jié)和相關(guān)的技術(shù)，此次只是對網(wǎng)絡(luò)進(jìn)行了總體方案設(shè)計(jì)，對服務(wù)器、交換機(jī)、路由器等各類設(shè)備的配置進(jìn)行詳細(xì)設(shè)計(jì)。因?yàn)楦咝Ｐ@網(wǎng)有齊全的功能，再加上融入了一系列先進(jìn)技術(shù)，且有較寬廣的知識面，所以在進(jìn)行網(wǎng)絡(luò)需求分析設(shè)計(jì)時(shí)，流程較多，所以在具體進(jìn)行闡述時(shí)不可能所有的地方都有所涉及，筆者感到這一塊需要加快，這也是我未來仍然需要解決的技術(shù)問題。當(dāng)然，值得指出的是，筆者由于缺乏具體的設(shè)計(jì)實(shí)踐經(jīng)驗(yàn)，所以在設(shè)計(jì)過程中還存在一些問題沒有認(rèn)真加以考慮。若未能獲得導(dǎo)師的指導(dǎo)，以及同學(xué)們的幫助，可能會(huì)碰到很多問題，甚至無法進(jìn)行下去，所以在以后還要不斷總結(jié)經(jīng)驗(yàn)，爭取精益求精。在設(shè)計(jì)了本課題以后，筆者接觸到了很多新知識，而且有相當(dāng)一部分是在實(shí)踐中學(xué)習(xí)到的，并不是通過課本知識學(xué)來的，所以以后還要拓展自己的知識深度，以便學(xué)到更多的專業(yè)知識。盡管我已經(jīng)盡最大能力完成本次課題設(shè)計(jì)任務(wù)，但是由于沒有足夠的經(jīng)驗(yàn)。在整個(gè)課題設(shè)計(jì)中仍然會(huì)有不足，希望各位老師和同學(xué)給予批評指正。致謝語畢業(yè)設(shè)計(jì)已接近尾聲，經(jīng)過近半年的時(shí)間，終于如期