-6-緒論課題背景信息技術(shù)在這個(gè)不斷更新的時(shí)代，已經(jīng)與社會(huì)中的各個(gè)行業(yè)實(shí)現(xiàn)高度融合，教育與信息的有機(jī)融合已經(jīng)成為我國(guó)高校發(fā)展的必經(jīng)之路。高校校園網(wǎng)主要用于實(shí)現(xiàn)學(xué)習(xí)、生活、工作上的網(wǎng)絡(luò)綜合服務(wù)一體化。但由于互聯(lián)網(wǎng)技術(shù)的深度融入，校園網(wǎng)將經(jīng)受更多潛在安全威脅的考驗(yàn)，駭客攻擊、病毒入侵等的網(wǎng)絡(luò)攻擊手段層見迭出，方式多變，具有較強(qiáng)的隱蔽性和傳播性等特點(diǎn)，對(duì)校園網(wǎng)絡(luò)造成極大的破壞和影響高校校園網(wǎng)安全建設(shè)。如何建設(shè)一個(gè)安全可靠的數(shù)字化校園網(wǎng)已經(jīng)成為國(guó)內(nèi)各大高校的重點(diǎn)工作，網(wǎng)絡(luò)安全建設(shè)也成為高質(zhì)量建設(shè)信息化校園亟待解決的發(fā)展問題。國(guó)內(nèi)外研究現(xiàn)狀國(guó)外研究現(xiàn)狀在世界范圍內(nèi)，歐洲和北美國(guó)家較早投入到網(wǎng)絡(luò)信息安全領(lǐng)域的研究中，對(duì)網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)架構(gòu)的研究，始終走在前沿。上世紀(jì)八十年代，美國(guó)相繼提出靜態(tài)防御體系TCESC安全模型和動(dòng)態(tài)安全防御模型PDRR，強(qiáng)調(diào)信息安全防護(hù)需要從“防護(hù)”、“檢測(cè)”、“恢復(fù)”、“響應(yīng)”這四個(gè)環(huán)節(jié)進(jìn)行展開。美國(guó)會(huì)定期對(duì)網(wǎng)絡(luò)概念、架構(gòu)和建設(shè)計(jì)劃進(jìn)行更新REF_Ref24158\r\h[1]。在2000年后，美國(guó)提出了P2DR模型、CGS2.0標(biāo)準(zhǔn)框架、IATF框架等動(dòng)態(tài)安全防御體系架構(gòu)，分別針對(duì)了自適應(yīng)、縱深防御以及安全四大總體性能等動(dòng)態(tài)安全防御概念進(jìn)行展開，通過防護(hù)與檢測(cè)并行、分區(qū)分域、快速相應(yīng)與恢復(fù)等思想，運(yùn)用身份認(rèn)證、數(shù)據(jù)加密、漏洞評(píng)估、容災(zāi)備份、入侵檢測(cè)以及訪問控制等技術(shù)，使動(dòng)態(tài)防御系統(tǒng)能夠根據(jù)用戶安全現(xiàn)狀同步調(diào)整安全策略，通過持續(xù)檢測(cè)和監(jiān)測(cè)發(fā)現(xiàn)潛在的安全隱患，調(diào)動(dòng)安全設(shè)備調(diào)整策略，阻斷潛在攻擊，形成安全閉環(huán)。國(guó)內(nèi)研究現(xiàn)狀2000年到2010年間，我國(guó)對(duì)高校校園網(wǎng)的研究主要以網(wǎng)絡(luò)技術(shù)研究為主，目的是實(shí)現(xiàn)校園網(wǎng)教育使用需求以及資源共享需求，但對(duì)網(wǎng)絡(luò)安全領(lǐng)域并未進(jìn)行深入研究。直至2012年以后，我國(guó)正式進(jìn)入互聯(lián)網(wǎng)+時(shí)代，互聯(lián)網(wǎng)接入人數(shù)激增，校園網(wǎng)絡(luò)安全問題頻發(fā)，高校對(duì)網(wǎng)絡(luò)安全的建設(shè)逐漸重視。在2016年，國(guó)家頒布了最新的網(wǎng)絡(luò)安全法，要求各行業(yè)需要嚴(yán)格根據(jù)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和等保要求進(jìn)行網(wǎng)絡(luò)運(yùn)營(yíng)，高校也根據(jù)最新的等保標(biāo)準(zhǔn)，對(duì)校園網(wǎng)進(jìn)行安全升級(jí)、改造。2017年徐世文學(xué)者在《集美工校安全校園網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)》REF_Ref25539\r\h[2]一文中，仔細(xì)剖析了校園網(wǎng)絡(luò)安全建設(shè)情況，說明了高校安全設(shè)計(jì)有待改善的地方。徐世文學(xué)者對(duì)安全需求深入解析，通過設(shè)計(jì)兩個(gè)核心的方式，運(yùn)用VLAN、OSPF技術(shù)、鏈路冗余、端口隔離等網(wǎng)絡(luò)技術(shù)，設(shè)計(jì)一份校園網(wǎng)安全方案，對(duì)學(xué)校網(wǎng)絡(luò)進(jìn)行了安全升級(jí)和改造。2018年張海秀學(xué)者在《高校校園網(wǎng)規(guī)劃與設(shè)計(jì)》REF_Ref25471\r\h[3]一文中，依托高校建設(shè)項(xiàng)目，深入分析研究國(guó)內(nèi)外高校校園網(wǎng)在技術(shù)上和設(shè)計(jì)上的優(yōu)點(diǎn)和不足，根據(jù)高校校園網(wǎng)絡(luò)實(shí)際需求和投入運(yùn)行情況，運(yùn)用VLAN、OSPF、NAT等網(wǎng)絡(luò)技術(shù)，結(jié)合DHCP監(jiān)聽技術(shù)，完成了高校校園網(wǎng)規(guī)劃與設(shè)計(jì)。2018年李開麗學(xué)者在《職業(yè)院校校園網(wǎng)絡(luò)設(shè)計(jì)及實(shí)現(xiàn)》REF_Ref25653\r\h[4]一文中，以高校建設(shè)為背景,對(duì)國(guó)內(nèi)校園網(wǎng)建設(shè)遇到的共性問題，進(jìn)行分析和研究，指出校園網(wǎng)有規(guī)劃不佳、性能不穩(wěn)定等問題。文中以三層網(wǎng)絡(luò)結(jié)構(gòu)為基礎(chǔ)，運(yùn)用主流網(wǎng)絡(luò)技術(shù)，設(shè)計(jì)一份校園網(wǎng)建設(shè)方案,實(shí)現(xiàn)了防廣播風(fēng)暴、鏈路冗余、流量控制、地址轉(zhuǎn)換等功能。2019年徐慧學(xué)者在《某技術(shù)學(xué)院校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)研究》REF_Ref25304\r\h[5]一文中，剖析國(guó)內(nèi)外的校園網(wǎng)絡(luò)安全現(xiàn)狀，對(duì)比目標(biāo)院校需求，對(duì)學(xué)院網(wǎng)絡(luò)的安全情況進(jìn)行分層化剖析，得出該學(xué)院存在網(wǎng)絡(luò)系統(tǒng)復(fù)雜、網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)管理上存在安全漏洞等問題的結(jié)論。在明確該學(xué)院的安全和需求分析結(jié)果后，徐慧學(xué)者從物理、軟件和管理設(shè)計(jì)三大方向，提出設(shè)計(jì)目標(biāo)，然后根據(jù)整體性、安全性等安全設(shè)計(jì)原則。運(yùn)用防火墻、入侵檢測(cè)和訪問控制技術(shù)等安全技術(shù)，設(shè)計(jì)并實(shí)現(xiàn)高校校園網(wǎng)絡(luò)安全系統(tǒng)REF_Ref26643\r\h[6]。2019年何偉明學(xué)者在《入侵檢測(cè)技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用》REF_Ref26104\r\h[7]一文中，剖析國(guó)內(nèi)外校園網(wǎng)絡(luò)安全情況，指出國(guó)內(nèi)高校主要采取靜態(tài)的防火墻技術(shù)和動(dòng)態(tài)的入侵檢測(cè)技術(shù)進(jìn)行校園網(wǎng)絡(luò)建設(shè)。何偉明學(xué)者對(duì)高校的網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行分析，針對(duì)該校現(xiàn)實(shí)的安全需求，運(yùn)用監(jiān)測(cè)和防護(hù)安全技術(shù)，實(shí)現(xiàn)對(duì)校園網(wǎng)路數(shù)據(jù)的動(dòng)態(tài)監(jiān)測(cè)和分析，在發(fā)現(xiàn)網(wǎng)絡(luò)安全攻擊時(shí)，能夠迅速進(jìn)行處理。2021年王殿利學(xué)者在《基于入侵檢測(cè)技術(shù)的校園網(wǎng)安全的設(shè)計(jì)與研究》REF_Ref15438\n\h[8]一文中，依托高校項(xiàng)目，以入侵檢測(cè)技術(shù)為重點(diǎn)研究方向，使用端口映射技術(shù)、數(shù)據(jù)特征提取和降維技術(shù)、異常數(shù)據(jù)流分類技術(shù)，實(shí)現(xiàn)校園網(wǎng)內(nèi)、外部攻擊識(shí)別，搭建了高精度、分類快的校園網(wǎng)入侵檢測(cè)系統(tǒng)，從而實(shí)現(xiàn)高校安全網(wǎng)絡(luò)的良好運(yùn)行。研究意義信息技術(shù)在這個(gè)不斷更新的時(shí)代，已經(jīng)與社會(huì)中的各個(gè)行業(yè)實(shí)現(xiàn)高度融合，教育與信息的有機(jī)融合已經(jīng)成為我國(guó)高校發(fā)展的必經(jīng)之路。提高網(wǎng)絡(luò)安全水平是一個(gè)高校亟待解決的問題REF_Ref15650\r\h[9]。高校校園網(wǎng)主要用于為學(xué)校的老師和同學(xué)生提供網(wǎng)絡(luò)服務(wù)，實(shí)現(xiàn)學(xué)習(xí)、工作和生活上的網(wǎng)絡(luò)綜合服務(wù)一體化，需要不斷進(jìn)行安全升級(jí)、改造。校園網(wǎng)是高校信息化建設(shè)的基礎(chǔ)，建設(shè)一個(gè)安全可靠的數(shù)字化校園網(wǎng)是國(guó)內(nèi)各大高校的重點(diǎn)工作，校園網(wǎng)絡(luò)的安全關(guān)系著學(xué)校的教學(xué)和管理可不可以良好運(yùn)作，關(guān)系著能否為師生提供了物質(zhì)保證，本課題以某高校校園網(wǎng)絡(luò)為研究對(duì)象，以校區(qū)為基礎(chǔ)單元，實(shí)行校園網(wǎng)絡(luò)的安全控制,結(jié)合網(wǎng)絡(luò)互聯(lián)安全接入控制進(jìn)行了研究探討，制定一個(gè)適用于該校的校園網(wǎng)絡(luò)安全設(shè)計(jì)方案，目的是實(shí)現(xiàn)校園網(wǎng)的安全可靠性保障，確保校園網(wǎng)內(nèi)部的各項(xiàng)業(yè)務(wù)正常運(yùn)轉(zhuǎn)，保障校園網(wǎng)絡(luò)的良好運(yùn)行。主要安排第一章：緒論。對(duì)課題背景、研究意義進(jìn)行分析和探討，參照和研究國(guó)內(nèi)外的校園網(wǎng)建設(shè)的發(fā)展情況，對(duì)校園網(wǎng)安全設(shè)計(jì)提出一個(gè)整體安排。第二章：校園網(wǎng)網(wǎng)絡(luò)需求分析。根據(jù)此次設(shè)計(jì)所面向高校的實(shí)際情況，對(duì)網(wǎng)絡(luò)和安全兩方面進(jìn)行需求分析，依托校園網(wǎng)建設(shè)的基本原則，提出校園網(wǎng)安全建設(shè)的預(yù)期目標(biāo)。第三章：關(guān)鍵技術(shù)介紹。本章主要介紹校園網(wǎng)建設(shè)過程中，使用的關(guān)鍵技術(shù)主要有DHCPsnooping+IPSG技術(shù)、MSTP、防火墻技術(shù)等安全技術(shù)與網(wǎng)絡(luò)技術(shù)。第四章：校園網(wǎng)網(wǎng)絡(luò)方案規(guī)劃。根據(jù)高校實(shí)際現(xiàn)狀和需求，對(duì)校園網(wǎng)建設(shè)方案進(jìn)行拓?fù)湓O(shè)計(jì)、地址規(guī)劃和設(shè)備選取，對(duì)每個(gè)區(qū)域進(jìn)行具體劃分以及區(qū)域內(nèi)部按照接入、匯聚、核心的結(jié)構(gòu)部署。第五章：仿真實(shí)現(xiàn)與測(cè)試。使用eNSP軟件對(duì)設(shè)計(jì)的校園網(wǎng)絡(luò)進(jìn)行仿真實(shí)現(xiàn)和測(cè)試，并從校園網(wǎng)絡(luò)技術(shù)方面和校園網(wǎng)絡(luò)安全技術(shù)方面進(jìn)行連通性、可靠性和安全性等功能網(wǎng)絡(luò)測(cè)試，模擬故障的發(fā)生情景，觀察測(cè)試結(jié)果。第六章：總結(jié)與展望。歸納總結(jié)校園網(wǎng)絡(luò)安全設(shè)計(jì)與規(guī)劃主要內(nèi)容，在設(shè)計(jì)中遇到的重點(diǎn)問題以及難點(diǎn)，總結(jié)研究成果，分析設(shè)計(jì)中存在的不足，對(duì)將來研究提出建議。

校園網(wǎng)網(wǎng)絡(luò)需求分析校園網(wǎng)網(wǎng)絡(luò)建設(shè)原則易管理原則校園網(wǎng)絡(luò)建設(shè)應(yīng)以校園實(shí)際情況為基準(zhǔn)，在校園網(wǎng)絡(luò)的設(shè)計(jì)與規(guī)劃階段，應(yīng)當(dāng)充分考慮學(xué)校網(wǎng)絡(luò)的使用情況，根據(jù)教師、學(xué)生的實(shí)際使用需求，從方便管理人員對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控、管理和維護(hù)的立場(chǎng)出發(fā)，合理地設(shè)計(jì)校園網(wǎng)絡(luò)結(jié)構(gòu)和規(guī)劃校園網(wǎng)絡(luò)地址，提高管理人員在知曉網(wǎng)絡(luò)問題后對(duì)故障進(jìn)行排查和解決的速度。高性能原則校園網(wǎng)絡(luò)主要用于支持在校師生完成日常的教學(xué)工作或?qū)W習(xí)任務(wù)，為在校師生提供日常生活所需的網(wǎng)絡(luò)支撐，具有網(wǎng)絡(luò)使用人數(shù)基量大、網(wǎng)絡(luò)訪問內(nèi)容繁雜以及網(wǎng)絡(luò)訪問時(shí)間較為集中等特點(diǎn)。因此，在設(shè)計(jì)校園骨干網(wǎng)絡(luò)時(shí)，需考慮使用較高性能的設(shè)備，為校園網(wǎng)絡(luò)提供足夠的帶寬和吞吐量，用于保障網(wǎng)絡(luò)的良好運(yùn)行。高可靠性與穩(wěn)定性原則在設(shè)計(jì)網(wǎng)絡(luò)時(shí)應(yīng)當(dāng)充分考慮校園網(wǎng)絡(luò)的容錯(cuò)性能和冗余備份設(shè)計(jì)，采用較高性能的可靠設(shè)備充當(dāng)主備份設(shè)備，通過網(wǎng)絡(luò)技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)的鏈路冗余和安全備份，高安全性原則由于校園網(wǎng)用戶基數(shù)大，且數(shù)據(jù)流動(dòng)性較強(qiáng)。由于高校的不能和企業(yè)一樣，強(qiáng)行要求員工進(jìn)行安全防護(hù)，只可以通過較為寬松的管理REF_Ref18435\r\h[10]。因此，在設(shè)計(jì)校園網(wǎng)絡(luò)時(shí)，應(yīng)當(dāng)注重校園網(wǎng)絡(luò)的安全性設(shè)置，通過制定安全策略、攻擊防護(hù)策略等方式，確保網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，同時(shí)做好設(shè)備的容災(zāi)備份，提供一個(gè)安全的網(wǎng)絡(luò)環(huán)境?？赏卣剐栽瓌t隨著網(wǎng)高校校園網(wǎng)絡(luò)化進(jìn)程的不斷推進(jìn)和網(wǎng)絡(luò)技術(shù)的高速發(fā)展，校園網(wǎng)絡(luò)的設(shè)備規(guī)模和用戶數(shù)量必定不斷擴(kuò)張。高校對(duì)校園網(wǎng)絡(luò)設(shè)備的性能與數(shù)量要求也將不斷提高。因此，在設(shè)計(jì)和規(guī)劃校園網(wǎng)絡(luò)的框架時(shí)，必須持有易于校園網(wǎng)規(guī)模擴(kuò)張的設(shè)計(jì)意識(shí)，采取模塊化、層次化的方法對(duì)網(wǎng)絡(luò)拓?fù)溥M(jìn)行設(shè)計(jì)，為校園網(wǎng)后期的拓建規(guī)劃留有足夠的拓建空間。校園網(wǎng)網(wǎng)絡(luò)建設(shè)需求設(shè)計(jì)主要針對(duì)某高校進(jìn)行設(shè)計(jì)，分為A、B兩個(gè)校區(qū)，A校區(qū)為主校區(qū)、B校區(qū)為分校區(qū)，具體需求分析如下：網(wǎng)絡(luò)管理需求（1）web管理設(shè)備。能遠(yuǎn)程對(duì)校內(nèi)網(wǎng)絡(luò)設(shè)備進(jìn)行控制，并對(duì)骨干網(wǎng)絡(luò)的設(shè)備進(jìn)行監(jiān)聽。（2）訪問控制。由于高校內(nèi)部不同區(qū)域間之間的流量訪問需求不同，校園網(wǎng)部分區(qū)域不允許特殊流量通過，因此，需要配置ACL訪問控制策略對(duì)區(qū)域進(jìn)行訪問控制，實(shí)現(xiàn)不同區(qū)域之間的訪問隔離。（3）IP地址動(dòng)態(tài)分配。高校校園網(wǎng)絡(luò)使用人數(shù)較多，使用情況較為復(fù)雜，通過人工劃分和管理IP地址的方式，維護(hù)難度較大且容易出現(xiàn)IP地址沖突的情況，網(wǎng)絡(luò)安全需求（1）內(nèi)外網(wǎng)通信安全互聯(lián)網(wǎng)具有開放性特征，高校校園網(wǎng)與互聯(lián)網(wǎng)之間需要進(jìn)行信息共享與信息交流，以滿足師生的日常教學(xué)和學(xué)習(xí)工作需求。但在互聯(lián)網(wǎng)與校園網(wǎng)交互的過程中，容易被外網(wǎng)中的病毒攻擊和駭客的惡意入侵，面臨著較為嚴(yán)峻的網(wǎng)絡(luò)安全問題。為了解決校園網(wǎng)內(nèi)外網(wǎng)通信安全問題，設(shè)計(jì)采取配置防火墻安全策略的方式，對(duì)內(nèi)外網(wǎng)進(jìn)行區(qū)域劃分，阻攔外網(wǎng)對(duì)內(nèi)網(wǎng)進(jìn)行訪問，準(zhǔn)許內(nèi)網(wǎng)對(duì)外網(wǎng)實(shí)現(xiàn)訪問。運(yùn)用NAT技術(shù)將流經(jīng)防火墻的數(shù)據(jù)包的源地址進(jìn)行轉(zhuǎn)換，使用制定地址進(jìn)行信息交流。同時(shí)，對(duì)于AB校區(qū)之間的數(shù)據(jù)訪問采取GREoverIPSecVPN專用通道進(jìn)行傳輸，保證校園網(wǎng)的內(nèi)外網(wǎng)之間的通信安全問題，對(duì)校園網(wǎng)絡(luò)的安全訪問提供保障。（2）網(wǎng)絡(luò)服務(wù)器區(qū)安全由于校園網(wǎng)服務(wù)器需要與內(nèi)外網(wǎng)進(jìn)行信息交流和訪問，因此需要將服務(wù)器劃分在防火墻的隔離區(qū)域中，并且需要限制一些特定端口的訪問，以防外部黑客利用服務(wù)器端口進(jìn)行入侵攻擊或部分學(xué)生錯(cuò)誤訪問引起的網(wǎng)絡(luò)安全事故。（3）網(wǎng)絡(luò)內(nèi)網(wǎng)安全現(xiàn)在主流的計(jì)算機(jī)病毒主要是worm病毒、ARP病毒等，病毒主要的傳播方式是在局域網(wǎng)內(nèi)進(jìn)行廣播，對(duì)局域網(wǎng)內(nèi)部的網(wǎng)關(guān)進(jìn)行攻擊，導(dǎo)致服務(wù)器拒絕服務(wù)。為了避免病毒在局域網(wǎng)內(nèi)進(jìn)行洪泛攻擊，在局域網(wǎng)內(nèi)需要根據(jù)校園實(shí)際情況劃分VLAN，以減少?gòu)V播域范圍，減輕網(wǎng)絡(luò)廣播泛濫的情況，并結(jié)合DHCPsnooping+IPSG技術(shù)，防止非法服務(wù)器侵入校園網(wǎng)內(nèi)網(wǎng)，冒充DHCP服務(wù)器對(duì)內(nèi)網(wǎng)設(shè)備進(jìn)行偽冒，攻擊校內(nèi)主機(jī)。（4）無線安全隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，無線網(wǎng)絡(luò)的需求問題亟待解決，高校對(duì)于現(xiàn)代化移動(dòng)網(wǎng)絡(luò)的需求不斷擴(kuò)大，傳統(tǒng)的有線網(wǎng)絡(luò)由于接入方式固定、單一，接入數(shù)量有限，已經(jīng)無法滿足高校的特色需求。高校對(duì)無線網(wǎng)絡(luò)的需求逐步上升，校園網(wǎng)將經(jīng)受更多無線安全威脅的考驗(yàn)設(shè)計(jì)主要采取AC+AP的方式，實(shí)現(xiàn)校園無線網(wǎng)絡(luò)的搭建，通過在不同樓宇之間接入AP設(shè)備，確保無線信號(hào)能夠?qū)π^(qū)進(jìn)行全覆蓋。在搭建無線虛擬局域網(wǎng)的同時(shí)，考慮校園網(wǎng)絡(luò)的安全問題，在AC設(shè)備上配置WPA-PSK安全機(jī)制，對(duì)數(shù)據(jù)進(jìn)行數(shù)據(jù)加密，并選用支持802.11通信標(biāo)準(zhǔn)的AP設(shè)備，實(shí)現(xiàn)用戶通過web、Client設(shè)備進(jìn)行身份認(rèn)證登陸的效果，從而實(shí)現(xiàn)校園網(wǎng)無線網(wǎng)絡(luò)的安全運(yùn)行。校園網(wǎng)網(wǎng)絡(luò)建設(shè)目標(biāo)校園網(wǎng)絡(luò)整體建設(shè)目標(biāo)三層網(wǎng)絡(luò)架構(gòu)有利于校園網(wǎng)組網(wǎng)的層次化、模塊化建設(shè)，擁有較好的可拓展性和易維護(hù)性。設(shè)計(jì)選用雙核心結(jié)構(gòu)進(jìn)行組網(wǎng)，實(shí)現(xiàn)冗余連接和流量分擔(dān)功能，使得網(wǎng)絡(luò)更加穩(wěn)定、可靠。核心層核心層主要用于骨干網(wǎng)絡(luò)的建設(shè)，負(fù)責(zé)實(shí)現(xiàn)骨干網(wǎng)絡(luò)的鏈路冗余、負(fù)載均衡以及高速傳輸?shù)裙δ?，設(shè)備一般需用高性能的路由器或千兆交換機(jī)。需要注意的是，在設(shè)計(jì)核心層時(shí)，需要控制覆蓋范圍且不能接入過多的設(shè)備，避免引起網(wǎng)絡(luò)復(fù)雜度加大的問題。并且，在設(shè)計(jì)時(shí)需注意避免使用訪問控制技術(shù)，避免影響核心層的數(shù)據(jù)轉(zhuǎn)發(fā)速度。在校園網(wǎng)設(shè)計(jì)中，由于A校區(qū)是主校區(qū)，整體規(guī)模較大，選用兩臺(tái)S5700交換機(jī)器作為核心層設(shè)備，上接防火墻，下接匯聚層交換機(jī)，主要用于流量的高速轉(zhuǎn)發(fā)。相較于A校區(qū)，B校區(qū)為分校區(qū)，校區(qū)占地面積較小，同樣選取兩臺(tái)S5700三層交換機(jī)作為核心層交換機(jī)，通過配置VRRP+MSTP技術(shù)，實(shí)現(xiàn)校園網(wǎng)絡(luò)的冗余功能，保障校園網(wǎng)絡(luò)的良好運(yùn)行。匯聚層匯聚層主要用于收攏接入層的流量，因此設(shè)備接入端口一般較少，但速率和性能比二層交換機(jī)更高。匯聚層可以實(shí)現(xiàn)訪問控制、流量分擔(dān)和路由信息交換等功能。匯聚在向核心層傳輸流量時(shí)，會(huì)通過不同的協(xié)議隱藏接入層的詳細(xì)信息，以便減少核心層的負(fù)擔(dān)。在校園網(wǎng)絡(luò)安全設(shè)計(jì)中，A校區(qū)選用的是兩臺(tái)型號(hào)為S5700的華為三層交換機(jī)，配合VRRP、MSTP協(xié)議，實(shí)現(xiàn)負(fù)載均衡與鏈路冗余功能，同時(shí)結(jié)合VLAN虛擬局域網(wǎng)技術(shù)與DHCP動(dòng)態(tài)IP地址分配技術(shù)，實(shí)現(xiàn)對(duì)接入層流量整合。B校區(qū)由于是分校區(qū)，網(wǎng)絡(luò)規(guī)模較小，因此并未設(shè)置匯聚層一層，采取扁平化設(shè)計(jì)，將匯聚層與核心層進(jìn)行融合，減少網(wǎng)絡(luò)設(shè)備成本以及管理壓力。接入層接入層，一般指的是為用戶提供訪問或者連接的部分REF_Ref21841\r\h[11]，實(shí)現(xiàn)用戶的網(wǎng)絡(luò)訪問。同時(shí)，還可以接入虛擬局域網(wǎng)，用于用戶間的訪問控制。接入層交換機(jī)會(huì)選用價(jià)格便宜、接口多的設(shè)備，因?yàn)榻尤氲挠脩艋看?。校園網(wǎng)設(shè)計(jì)中，AB校區(qū)均選取型號(hào)為S3700的華為二層交換機(jī)，主要用于負(fù)責(zé)各個(gè)校園場(chǎng)景區(qū)域的設(shè)備VLAN接入，以便擴(kuò)大網(wǎng)絡(luò)接入范圍，避免不同網(wǎng)段之間的沖突，實(shí)現(xiàn)區(qū)域間的互相訪問。2.3.2校園網(wǎng)絡(luò)預(yù)期建設(shè)目標(biāo)（1）網(wǎng)絡(luò)建設(shè)方面①實(shí)現(xiàn)校園骨干網(wǎng)絡(luò)冗余設(shè)計(jì)和流量均衡；②實(shí)現(xiàn)學(xué)校不同場(chǎng)所的虛擬局域網(wǎng)接入，并實(shí)現(xiàn)IP地址動(dòng)態(tài)分配管理；③實(shí)現(xiàn)校園網(wǎng)內(nèi)網(wǎng)與所有區(qū)域互通，部分局域網(wǎng)不能互通；（2）網(wǎng)絡(luò)安全方面①實(shí)現(xiàn)無線網(wǎng)絡(luò)全覆蓋和認(rèn)證登陸；②實(shí)現(xiàn)AB校區(qū)的安全通信，運(yùn)用安全策略，保證網(wǎng)絡(luò)出口安全；③運(yùn)用ACL訪問控制技術(shù)與DHCPsnooping+ISPG技術(shù)，保證校園網(wǎng)內(nèi)部網(wǎng)絡(luò)訪問安全與動(dòng)態(tài)IP地址分配安全問題，提高校園網(wǎng)網(wǎng)絡(luò)總體安全性。2.4本章小結(jié)本章首先對(duì)校園網(wǎng)絡(luò)建設(shè)的原則進(jìn)行一個(gè)簡(jiǎn)單闡述，為校園網(wǎng)建設(shè)方案的設(shè)計(jì)提供一個(gè)設(shè)計(jì)標(biāo)準(zhǔn)。然后，按照校園網(wǎng)建設(shè)的現(xiàn)實(shí)需求，從管理和安全角度完成需求分析。最后，制定預(yù)期建設(shè)目標(biāo)。

關(guān)鍵技術(shù)介紹校園網(wǎng)網(wǎng)絡(luò)技術(shù)虛擬局域網(wǎng)技術(shù)虛擬局域網(wǎng)技術(shù)（VirtualLocalAreaNetwork，VLAN），可以將局域網(wǎng)切割為多個(gè)邏輯子網(wǎng)REF_Ref7801\n\h[12]。VLAN中的每個(gè)邏輯子網(wǎng)，可以涵蓋數(shù)臺(tái)網(wǎng)絡(luò)設(shè)備，子網(wǎng)間可以達(dá)到訪問隔離的效果。由于劃分VLAN可以限制網(wǎng)絡(luò)通信范圍，二層中的單、多、廣播報(bào)文只可以在組內(nèi)實(shí)行傳遞，減少了報(bào)文傳遞涉及的區(qū)域范圍，從而減輕廣播風(fēng)暴的帶來的影響。使用虛擬局域網(wǎng)技術(shù)，還有利于網(wǎng)絡(luò)管理人員對(duì)校園網(wǎng)絡(luò)設(shè)備進(jìn)行靈活管理，管理人員只需通過將不同的網(wǎng)絡(luò)設(shè)備接入到不同的子網(wǎng)當(dāng)中，就可以實(shí)現(xiàn)相應(yīng)的訪問控制，如REF_Ref15502\h圖STYLEREF1\s3.1所示。在轉(zhuǎn)發(fā)控制方面，虛擬局域網(wǎng)技術(shù)可以在幀轉(zhuǎn)發(fā)時(shí)，檢查數(shù)據(jù)包中的Tag是否與以太網(wǎng)報(bào)文攜帶Tag相同，實(shí)現(xiàn)二層網(wǎng)絡(luò)的訪問控制。圖STYLEREF1\s3.SEQ圖\*ARABIC\s11虛擬局域網(wǎng)劃分圖鏈路聚合技術(shù)鏈路聚合控制協(xié)議(LinkAggregationControlProtocol，LACP)，可以把數(shù)個(gè)鏈路綁定成為一個(gè)聚合邏輯鏈路REF_Ref32063\r\h[13]。該技術(shù)主要通過將物理的鏈路通過邏輯綁定的方式，捆綁成為一個(gè)組，該組也稱做Eth-Trunk接口，如REF_Ref15675\h圖STYLEREF1\s3.2所示。在性能提升方面，通過增加捆綁組內(nèi)鏈路數(shù)量的方式，增加同一時(shí)間內(nèi)可以通過該鏈路數(shù)據(jù)流量的總帶寬，提高網(wǎng)絡(luò)的性能。在流量分擔(dān)方面，由于捆綁組內(nèi)有多個(gè)物理鏈路，即便某些鏈路斷開，不影響網(wǎng)絡(luò)的正常運(yùn)行。圖STYLEREF1\s3.SEQ圖\*ARABIC\s12鏈路聚合生成樹技術(shù)STP(SpanningTreeProtocol,生成樹協(xié)議)，可以減少設(shè)備在使用冗余連接時(shí)環(huán)路問題的發(fā)生REF_Ref0\r\h[14]。由于在網(wǎng)絡(luò)拓?fù)渲校乐钩霈F(xiàn)單條鏈路故障影響網(wǎng)絡(luò)通信的情況發(fā)生，一般需要進(jìn)行鏈路備份，在目標(biāo)交換機(jī)上連接兩臺(tái)設(shè)備，并將兩臺(tái)設(shè)備進(jìn)行連接，以便保障網(wǎng)絡(luò)的良好運(yùn)行。但是在將兩臺(tái)設(shè)備連接后，就會(huì)形成一個(gè)三角形閉環(huán)，使得數(shù)據(jù)流量在環(huán)內(nèi)進(jìn)行無限轉(zhuǎn)發(fā)或者出現(xiàn)轉(zhuǎn)發(fā)錯(cuò)誤的情況，導(dǎo)致用戶通信效果不佳，甚至通信中斷的情況發(fā)生，所以制定了生成樹協(xié)議。生成樹協(xié)議主要用在有環(huán)路結(jié)構(gòu)的二層網(wǎng)絡(luò)，利用根橋，確定根端口、指定端口和阻塞預(yù)備端口的方式，選出根交換機(jī)消除環(huán)路，構(gòu)建一個(gè)不存在環(huán)的樹形二層拓?fù)?，如REF_Ref15763\h圖STYLEREF1\s3.3所示。圖STYLEREF1\s3.SEQ圖\*ARABIC\s13STP防環(huán)路示意圖RSTP(RapidSpanningTreeProtocol,快速生成樹協(xié)議)REF_Ref0\r\h[14]，可以在網(wǎng)絡(luò)結(jié)構(gòu)出現(xiàn)更新時(shí)，迅速啟用備用網(wǎng)絡(luò)對(duì)原來的網(wǎng)絡(luò)進(jìn)行更新。由于STP技術(shù)存在收斂速度慢，端口狀態(tài)不清晰，端口角色不明確定等問題，設(shè)計(jì)了RSTP協(xié)議。RSTP協(xié)議的計(jì)算流程與STP相同，但在端口角色選取上，從三種變?yōu)榱宋宸N，增設(shè)了Backup和邊緣端口。而RSTP的端口狀態(tài)從五種變?yōu)榱巳N，分別為：Discarding、Learing、Forwarding，很好的補(bǔ)全了STP技術(shù)收斂速度慢，端口狀態(tài)不清晰，端口角色不明確定的缺陷。MSTP(MultipleSpanningTreeProtocol,多生成樹協(xié)議)REF_Ref0\r\h[14]，可以將1個(gè)或者幾個(gè)虛擬局域網(wǎng)綁定到MST實(shí)例上，實(shí)現(xiàn)多區(qū)域生成樹的配置。由于舊的兩種協(xié)議都共享使用同一顆生成樹，不能達(dá)到不同的虛擬局域網(wǎng)間的負(fù)載分擔(dān)效果，當(dāng)鏈路邏輯聚合連接組被斷開后將不能完成流量轉(zhuǎn)發(fā)，部分VLAN報(bào)文無法轉(zhuǎn)發(fā)，因此制定了MSTP協(xié)議。MSTP協(xié)議可以將一個(gè)網(wǎng)絡(luò)劃分為MST域，并在每個(gè)域內(nèi)配置多個(gè)MST實(shí)例，使得MST實(shí)例綁定的虛擬局域網(wǎng)之間可以互不干擾的運(yùn)行，從而解決了部分VLAN不能實(shí)現(xiàn)負(fù)載均衡的問題，如REF_Ref15819\h圖STYLEREF1\s3.4所示。MSTP在原有的兩種協(xié)議的基礎(chǔ)上，新增了Master和域邊緣兩種端口。其中，Master端口總是指向總根方向，所有的流量和報(bào)文都要通過該端口進(jìn)行傳輸，去往總根。而邊緣端口則一般是設(shè)置在MST域和另外兩種協(xié)議網(wǎng)橋相連處，用于連接不同的生成樹協(xié)議。圖STYLEREF1\s3.SEQ圖\*ARABIC\s14MSTP多生成樹實(shí)例示意圖VRRP技術(shù)虛擬路由器冗余技術(shù)(VirtualRouterRedundancyProtocol，VRRP)REF_Ref2446\r\h[15]，是一種容錯(cuò)技術(shù)REF_Ref2472\r\h[16]。對(duì)于虛擬局域網(wǎng)來說，每個(gè)虛擬局域網(wǎng)都要選定一個(gè)網(wǎng)關(guān)，用于與其他網(wǎng)絡(luò)進(jìn)行通信，但是當(dāng)負(fù)責(zé)該局域網(wǎng)的交換機(jī)設(shè)備上的網(wǎng)關(guān)出現(xiàn)了問題時(shí)，該網(wǎng)關(guān)無法繼續(xù)為虛擬局域網(wǎng)提供通信。虛擬局域網(wǎng)技術(shù)可以用于解決上述問題，通過為一個(gè)虛擬局域網(wǎng)設(shè)置兩個(gè)網(wǎng)關(guān)的方式，形成主備網(wǎng)關(guān)的選取，當(dāng)主網(wǎng)關(guān)失效時(shí)，啟用備用網(wǎng)進(jìn)行數(shù)據(jù)流量轉(zhuǎn)發(fā)工作，從而保障網(wǎng)絡(luò)的良好運(yùn)行。VRRP協(xié)議通過選取主備設(shè)備進(jìn)行虛擬路由器組的信息傳遞，擁有三種狀態(tài)，分別為：Master、Backup和Initialize狀態(tài)。主備狀態(tài)的判定以優(yōu)先級(jí)為標(biāo)準(zhǔn)，優(yōu)先級(jí)大的是主設(shè)備，狀態(tài)對(duì)應(yīng)的是Master，只主設(shè)備可以轉(zhuǎn)發(fā)報(bào)文。如REF_Ref15861\h圖STYLEREF1\s3.5所示。主設(shè)備會(huì)定期發(fā)送VRRP通知消息，當(dāng)主設(shè)備出現(xiàn)問題時(shí)，備份設(shè)備將替換主設(shè)備，達(dá)到更換的效果。圖STYLEREF1\s3.SEQ圖\*ARABIC\s15VRRPMaster設(shè)備報(bào)文轉(zhuǎn)發(fā)示意圖校園網(wǎng)安全技術(shù)DHCPsnooping+IPSG技術(shù)DHCP監(jiān)聽（DHCPsnooping）REF_Ref5153\n\h[17]，可以達(dá)到不讓不可信的非法服務(wù)器接入的效果，是與DHCP有關(guān)的安全技術(shù)。通過設(shè)置和檢測(cè)DHCPsnooping綁定表，用于減少針對(duì)DHCP報(bào)文的攻擊的情況出現(xiàn)，一般在網(wǎng)絡(luò)的二層接口上使用。DHCPSnooping通過修改CHADDR值防止接入DHCP服務(wù)的設(shè)備遭到DHCPDOS攻擊，還能通過配置信任端口，對(duì)DHCPRequest報(bào)文進(jìn)行監(jiān)聽，減少網(wǎng)絡(luò)被DHCPServer偽冒、洪泛或者ARP攻擊的概率。源地址防護(hù)(IPSourceGuard，IPSG）是一種基于MAC/IP/PORT綁定表的過濾技術(shù)REF_Ref5218\n\h[18]，主要依靠DHCP綁定表對(duì)IP地址等信息進(jìn)行檢測(cè)，避免非信任的IP地址欺騙攻擊，避免未經(jīng)授權(quán)設(shè)備篡改IP地址的方式，對(duì)設(shè)備進(jìn)行攻擊，從而致使網(wǎng)絡(luò)癱瘓。DHCPSnooping能與IPSG配合使用，如REF_Ref15950\h圖STYLEREF1\s3.6所示。圖STYLEREF1\s3.SEQ圖\*ARABIC\s16DHCPSnooping+IPSG示意圖無線技術(shù)無線局域網(wǎng)(WirelessLocalAreaNetwork，WLAN)，是一種通過無線電波作為介質(zhì)的數(shù)據(jù)傳輸技術(shù)REF_Ref10039\n\h[19]。傳統(tǒng)的有線網(wǎng)絡(luò)由于接入方式固定、單一，接入數(shù)量有限，已經(jīng)無法滿足高校的特色需求，設(shè)計(jì)使用以802.11標(biāo)準(zhǔn)的無線技術(shù)，即高頻信號(hào)作為傳輸介質(zhì)的無線局域網(wǎng)，通過AC+AP的配置方式，配合AP管理和使用CAPWAP傳輸機(jī)制、虛擬接入點(diǎn)VAP模板和服務(wù)及標(biāo)識(shí)符SSID進(jìn)行無線網(wǎng)絡(luò)配置，配合WPA2-PSK身份認(rèn)證機(jī)制，實(shí)現(xiàn)校園網(wǎng)無線網(wǎng)絡(luò)身份認(rèn)證接入功能，對(duì)接入校園網(wǎng)絡(luò)的用戶終端進(jìn)行身份認(rèn)證，允許授權(quán)用戶使用賬號(hào)密碼登錄網(wǎng)絡(luò)，防止非法用戶接入校園網(wǎng)絡(luò)。AC+AP配置如REF_Ref16067\h圖STYLEREF1\s3.7所示。圖STYLEREF1\s3.SEQ圖\*ARABIC\s17AC+AP配置示意圖ACL技術(shù)訪問控制列表（AccessControlLists，ACL），可以達(dá)到訪問控制的目的，對(duì)源、目的地址的端口信息和數(shù)據(jù)流量進(jìn)行過濾REF_Ref10179\n\h[20]。當(dāng)網(wǎng)絡(luò)中的設(shè)備進(jìn)行通信時(shí)，ACL主要通過permit和deny兩種動(dòng)作，根據(jù)規(guī)則條目對(duì)數(shù)據(jù)包進(jìn)行匹配，如果識(shí)別成功，ACL將對(duì)流量進(jìn)行訪問行為控制，從而防止非法網(wǎng)絡(luò)攻擊，保障數(shù)據(jù)的可靠傳輸。NAT技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NetworkAddressTranslation，NAT），可以將數(shù)據(jù)包的源地址轉(zhuǎn)化為指定的地址REF_Ref12017\n\h[21]。NAT技術(shù)正常應(yīng)用在防火墻出口處，如REF_Ref16119\h圖STYLEREF1\s3.8所示。由于公網(wǎng)的IP地址數(shù)量有限，校園無法申請(qǐng)過多的公網(wǎng)IP地址，而且私有網(wǎng)絡(luò)地址暴露在互聯(lián)網(wǎng)中容易遭到黑客的攻擊。因此，在私有網(wǎng)絡(luò)用戶與公網(wǎng)進(jìn)行信息交流時(shí)，須進(jìn)行NAT轉(zhuǎn)換，既減少了對(duì)公有地址的占用，也可以有效地對(duì)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)地址進(jìn)行隱藏，保障了校園網(wǎng)用戶的安全。圖STYLEREF1\s3.SEQ圖\*ARABIC\s18NAT轉(zhuǎn)換示意圖防火墻技術(shù)防火墻可用來達(dá)到區(qū)域間的邏輯隔離效果。防火墻主要通過配置防火墻策略和網(wǎng)絡(luò)安全技術(shù)的方式，完成對(duì)不信任網(wǎng)絡(luò)區(qū)域的入侵隔離，保障信任區(qū)域的安全運(yùn)行，本次設(shè)計(jì)的防火墻技術(shù)如下：（1）防火墻區(qū)域與策略防火墻可以通過配置防火墻區(qū)域來將設(shè)備添加到相應(yīng)的邏輯區(qū)域中，從而實(shí)現(xiàn)區(qū)域間的訪問控制管理，達(dá)到保護(hù)目標(biāo)網(wǎng)絡(luò)的目的。在缺省時(shí)，防火墻分為local、trust、DMZ和untrust四個(gè)區(qū)域，如REF_Ref16201\h圖STYLEREF1\s3.9所示。其中防火墻區(qū)域的信任度是通過優(yōu)先級(jí)來判斷區(qū)域類型，優(yōu)先級(jí)越高表示越信任，untrust的優(yōu)先級(jí)最低，是5，trust和DMZ的優(yōu)先級(jí)分別是75和50，local的優(yōu)先級(jí)最高，是100。此外，防火墻還可以通過配置安全策略的方式，對(duì)通過防火墻的流量進(jìn)行安全策略檢測(cè)，如果流量中源、目的IP地址條目的匹配，則執(zhí)行permit或deny兩種動(dòng)作，若不匹配則不允許通過，實(shí)現(xiàn)了區(qū)域間的流量控制，實(shí)現(xiàn)內(nèi)網(wǎng)的安全通信。圖STYLEREF1\s3.SEQ圖\*ARABIC\s19防火墻區(qū)域劃分示意圖（2）防火墻雙機(jī)熱備技術(shù)在傳統(tǒng)的網(wǎng)絡(luò)中，一般放置一臺(tái)防火墻在內(nèi)外網(wǎng)連接處，對(duì)網(wǎng)絡(luò)實(shí)現(xiàn)保護(hù)，但是當(dāng)這臺(tái)防火墻出現(xiàn)故障時(shí)，內(nèi)網(wǎng)與外網(wǎng)唯一通信路徑將會(huì)被截?cái)啵瑹o法進(jìn)行可靠通信，通訊的可靠性無法保證。為了實(shí)現(xiàn)防火墻鏈路冗余，需要在網(wǎng)絡(luò)出口布置兩臺(tái)或兩臺(tái)以上的防火墻設(shè)備，以保障網(wǎng)絡(luò)的良好運(yùn)行，制定了防火墻雙機(jī)熱備技術(shù)。具體配置如REF_Ref16433\h圖STYLEREF1\s3.10所示。防火墻雙機(jī)熱備技術(shù)由三種技術(shù)組成，分別是：HRP、VRRP和VGMP。HRP協(xié)議可以達(dá)到對(duì)兩臺(tái)防火墻設(shè)備的數(shù)據(jù)和安全配置備份的目的。而VGMP是對(duì)VRRP備份組實(shí)行統(tǒng)一管理，對(duì)所有組進(jìn)行管理控制。圖STYLEREF1\s3.SEQ圖\*ARABIC\s110雙機(jī)熱備技術(shù)配置示意圖（3）GREoverIPSecVPN技術(shù)通用路由協(xié)議(GenericRoutingEncapsulation，GRE)REF_Ref13369\n\h，主要用于對(duì)IP協(xié)議的數(shù)據(jù)包進(jìn)行封裝，使得被封裝的協(xié)議能在另一種協(xié)議下進(jìn)行傳輸REF_Ref13578\n\h[22]。GRE使用了隧道技術(shù)，是一種隧道接口，常用于信任網(wǎng)絡(luò)之間的傳輸?；ヂ?lián)網(wǎng)協(xié)議安全(InternetProtocolSecurity，IPSec）是位于TCP/IP協(xié)議棧網(wǎng)絡(luò)層和傳輸層之間的一套互聯(lián)網(wǎng)安全協(xié)議合集REF_Ref27040\r\h[23]。主要作用是對(duì)兩端需要進(jìn)行加密傳輸?shù)腎P數(shù)據(jù)包，運(yùn)用特定算法和安全協(xié)議實(shí)現(xiàn)加密，達(dá)到加密通信的效果。GREoverIPSec就是在GRE隧道外配合IPSec的一種通信方式。GRE與IPSec的結(jié)合，能夠較好的填補(bǔ)對(duì)方的缺陷，由于IPSec僅提供加密算法和安全協(xié)議兩大功能，但在實(shí)現(xiàn)目標(biāo)端和本端通信時(shí)，需要獲取目標(biāo)網(wǎng)絡(luò)的路由，但是IPSec不擁有對(duì)組播報(bào)文封裝的能力，因此需要和GRE協(xié)議進(jìn)行配合使用，實(shí)現(xiàn)兩端網(wǎng)絡(luò)的封裝加密傳輸。具體如REF_Ref2354\h圖STYLEREF1\s3.11所示。圖STYLEREF1\s3.SEQ圖\*ARABIC\s111GREoverIPSec配置示意圖本章小結(jié)本章主要介紹校園網(wǎng)安全建設(shè)方案中使用的關(guān)鍵技術(shù)，內(nèi)容涵蓋虛擬局域網(wǎng)技術(shù)、鏈路冗余技術(shù)、生成樹技術(shù)、無線技術(shù)、DHCPSooping+IPSG技術(shù)以及防火墻技術(shù)，具體闡述了上述關(guān)鍵技術(shù)的具體應(yīng)用場(chǎng)合以及功能實(shí)現(xiàn)效果情況。

校園網(wǎng)網(wǎng)絡(luò)方案規(guī)劃網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)高校分為A校區(qū)（主）和B校區(qū)（分）。根據(jù)高校的實(shí)際情況和需求分析，對(duì)校園拓?fù)渥鋈缦略O(shè)計(jì)，如REF_Ref16492\h圖STYLEREF1\s4.1所示。圖STYLEREF1\s4.SEQ圖\*ARABIC\s11校園網(wǎng)安全設(shè)計(jì)圖校區(qū)網(wǎng)絡(luò)區(qū)域規(guī)劃設(shè)計(jì)主要將AB校區(qū)劃分為五大區(qū)域，分別是：DMZ服務(wù)區(qū)、網(wǎng)絡(luò)交換區(qū)、工作生活區(qū)、外網(wǎng)區(qū)和防火墻區(qū)域，對(duì)應(yīng)功能如REF_Ref16616\h表STYLEREF1\s4.1所示。設(shè)計(jì)主要通過在這兩個(gè)區(qū)域上使用無線技術(shù)、DHCPsnooping+IPSG技術(shù)、ACL技術(shù)以及防火墻技術(shù)等安全技術(shù)，建設(shè)一個(gè)安全可靠的校園網(wǎng)絡(luò)。表STYLEREF1\s4.SEQ表\*ARABIC\s11校園網(wǎng)絡(luò)區(qū)域劃分表區(qū)域功能DMZ服務(wù)器區(qū)該區(qū)域用于Web、FTP、DNS等服務(wù)器的部署，主要提供為在校師生提供網(wǎng)頁訪問、文件傳輸以及域名解析等服務(wù)。Trust內(nèi)網(wǎng)區(qū)網(wǎng)絡(luò)交換區(qū)骨干網(wǎng)絡(luò)區(qū)域主要用于校園網(wǎng)內(nèi)部的流量訪問控制以及數(shù)據(jù)的高速轉(zhuǎn)發(fā)，通過負(fù)載均衡和冗余協(xié)議，支持校園網(wǎng)的良好運(yùn)行。工作生活區(qū)工作生活區(qū)主要用于校園網(wǎng)內(nèi)部用戶的網(wǎng)絡(luò)接入，實(shí)現(xiàn)校園網(wǎng)網(wǎng)的互相訪問。Untrust外網(wǎng)區(qū)外網(wǎng)主要用于模擬實(shí)際外部網(wǎng)絡(luò)情況，設(shè)置PC主機(jī)、服務(wù)器以及監(jiān)聽設(shè)備等，用于測(cè)試內(nèi)外網(wǎng)通信情況。Local防火墻區(qū)主要用于對(duì)不同區(qū)域之間實(shí)現(xiàn)隔離，保障目標(biāo)網(wǎng)絡(luò)區(qū)域安全，并實(shí)現(xiàn)兩校區(qū)之間的通信。A校區(qū)網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃與設(shè)計(jì)A校區(qū)主要以三層網(wǎng)絡(luò)架構(gòu)為基礎(chǔ)進(jìn)行分層設(shè)計(jì)。具體如下：（1）核心層：在A校區(qū)核心層設(shè)計(jì)中，采用兩臺(tái)華為S5700型號(hào)的三層交換機(jī)組成，上接防火墻，下接匯聚層交換機(jī)，運(yùn)用ospf動(dòng)態(tài)路由協(xié)議，實(shí)現(xiàn)校園網(wǎng)絡(luò)數(shù)據(jù)流量的快速交換和傳輸，為校園提供高性能的網(wǎng)絡(luò)支持。（2）匯聚層：在A校區(qū)匯聚層設(shè)計(jì)中，采用兩臺(tái)華為S5700型號(hào)的三層交換機(jī)進(jìn)行組網(wǎng)，并接入無線AC設(shè)備和DHCP服務(wù)器。為了避免核心層骨干網(wǎng)絡(luò)與匯聚層網(wǎng)絡(luò)，因?yàn)榫植烤W(wǎng)絡(luò)設(shè)備故障，導(dǎo)致校園網(wǎng)絡(luò)整體崩潰的情況，需要雙機(jī)熱備技術(shù)，對(duì)匯聚層進(jìn)行設(shè)計(jì)。其中，MSTP多生成樹協(xié)議可以有效的防止冗余設(shè)備形成環(huán)路，能夠有減輕因?yàn)榄h(huán)路致使的廣播風(fēng)暴的影響。而VRRP協(xié)議可以自動(dòng)選取主、備網(wǎng)關(guān)設(shè)備，當(dāng)局部網(wǎng)絡(luò)出現(xiàn)故障或者部分鏈路斷開時(shí)，VRRP能夠?qū)崿F(xiàn)主、備網(wǎng)絡(luò)設(shè)備之間的快速切換，保證數(shù)據(jù)的正常轉(zhuǎn)發(fā)。（3）接入層：在A校區(qū)的接入層設(shè)計(jì)中，主要選用華為S3700型號(hào)的二層交換機(jī)。接入層主要負(fù)責(zé)對(duì)校園的工作生活區(qū)的有線網(wǎng)絡(luò)用戶設(shè)備進(jìn)行接入，因此選用成本較低，端口較多的二層交換機(jī)經(jīng)濟(jì)效益較高。B校區(qū)網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃與設(shè)計(jì)B校區(qū)由同樣以三層網(wǎng)絡(luò)架構(gòu)為基礎(chǔ)進(jìn)行分層設(shè)計(jì)，但是考慮到B校區(qū)是分校區(qū)，校區(qū)占地面積較小，網(wǎng)絡(luò)使用規(guī)模相較于A校區(qū)較小，將核心層與匯聚層融合。（1）核心層：B校區(qū)核心層選用兩臺(tái)華為S5700型號(hào)的設(shè)備進(jìn)行骨干網(wǎng)絡(luò)組網(wǎng)，校園骨干網(wǎng)絡(luò)的設(shè)計(jì)是校園網(wǎng)絡(luò)建設(shè)方案中的重要一環(huán)。在B校區(qū)骨干網(wǎng)絡(luò)設(shè)計(jì)中，通過使用VRRP+MSTP技術(shù)與負(fù)載均衡技術(shù)相結(jié)合的方式，為校園提供鏈路冗余，保障網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。此外，由于該高校領(lǐng)導(dǎo)辦公室以及重要資料存儲(chǔ)室在B校區(qū)，因此B校區(qū)的防火墻區(qū)域選擇使用了兩臺(tái)USG6000V型號(hào)的防火墻，結(jié)合雙機(jī)熱備技術(shù)，接入核心層，進(jìn)一步增強(qiáng)了骨干網(wǎng)絡(luò)的容災(zāi)能力。（2）接入層：B校區(qū)接入層與A校區(qū)設(shè)計(jì)方案一致，選用華為S3700型號(hào)的二層交換機(jī)，對(duì)校園的工作生活區(qū)的有線網(wǎng)絡(luò)用戶設(shè)備進(jìn)行接入，通過虛擬局域網(wǎng)技術(shù)，對(duì)二層廣播域進(jìn)行切割，實(shí)現(xiàn)訪問隔離，并減輕廣播域之間的影響。網(wǎng)絡(luò)地址方案規(guī)劃IP地址分配原則（1）與VLAN技術(shù)結(jié)合。在IP地址規(guī)劃過程中，要配合虛擬局域網(wǎng)技術(shù)進(jìn)行規(guī)劃，其本質(zhì)子網(wǎng)劃分相同，主要用于切割廣播域，避免在網(wǎng)絡(luò)上出現(xiàn)大規(guī)模的廣播風(fēng)暴帶來的影響。校園網(wǎng)一般運(yùn)用靜態(tài)VLAN對(duì)網(wǎng)絡(luò)進(jìn)行劃分，需要注意的是，在對(duì)IP子網(wǎng)進(jìn)行劃分時(shí)，應(yīng)當(dāng)注意VLAN號(hào)與IP子網(wǎng)對(duì)應(yīng)，以便后期管理。（2）IP地址唯一。在同一個(gè)私網(wǎng)中，需要在地址劃分時(shí)確保IP地址是唯一的，防止IP地址沖突問題的產(chǎn)生。（3）IP地址連續(xù)。采用連續(xù)的IP地址劃分方式，有利于在使用訪問控制策略和路由協(xié)議對(duì)網(wǎng)絡(luò)進(jìn)行管理，縮減路由表長(zhǎng)度。A校區(qū)IP地址劃分A校區(qū)的設(shè)備IP地址分配，如REF_Ref16724\h表STYLEREF1\s4.2所示。表STYLEREF1\s4.SEQ表\*ARABIC\s12校園網(wǎng)絡(luò)區(qū)域劃分表區(qū)域設(shè)備名稱型號(hào)接口|Vlanif接口地址服務(wù)器區(qū)域FTPServerE0/0/300/24WebServerE0/0/150/24DNSServerE0/0/200/24防火墻區(qū)域FW1USG6000VG0/0/0/24G1/0/0/30G1/0//30G1/0/554/24G1/06/29網(wǎng)絡(luò)交換區(qū)域（核心層網(wǎng)絡(luò)）LSW_R1S5700Vlanif66/30Vlanif67/30Vlanif64/30G0/0/1154/24Loopback0/32LSW_R2S5700G0/0//30G0/0//30G0/0/10/30G0/0/154/24Loopback0/32網(wǎng)絡(luò)交換區(qū)域（匯聚層網(wǎng)絡(luò)）LSW1S5700G0/0/1Eth-Trunk1G0/0/2Eth-Trunk1Vlanif1051/24Vlanif2051/24Vlanif3051/24Vlanif4051/24Vlanif5554/24Vlanif60/30Vlanif70/30Vlanif100/24Vlanif10151/24Vlanif10251/24Loopback0/32LSW2S5700G0/0/1Eth-Trunk1G0/0/2Eth-Trunk1Vlanif1052/24Vlanif2052/24Vlanif3052/24Vlanif4052/24Vlanif9954/24Vlanif90/30Vlanif80/30Vlanif100/24Vlanif10152/24Vlanif10252/24Loopback0/32AR_DHCPAR220Vlanif555/24AC1AC6005Vlanif999/24網(wǎng)絡(luò)交換區(qū)域（接入層網(wǎng)絡(luò)）LSW3S3700Vlanif100/24LSW4S3700Vlanif100/24LSW5S3700Vlanif100/24LSW6S3700Vlanif100/24工作生活區(qū)域宿舍_飯?zhí)肞CVlanif10/24AP1AP6050Vlanif101/24教學(xué)樓PCVlanif20/24教務(wù)處PCVlanif20/24圖書館PCVlanif30/24網(wǎng)絡(luò)中心PCVlanif30/24AP2AP6050Vlanif102/24實(shí)驗(yàn)樓PCVlanif40/24B校區(qū)IP地址劃分B校區(qū)設(shè)備IP地址分配，如REF_Ref16776\h表STYLEREF1\s4.3所示。表STYLEREF1\s4.SEQ表\*ARABIC\s13校園網(wǎng)絡(luò)區(qū)域劃分表區(qū)域設(shè)備名稱型號(hào)接口|Vlanif接口地址服務(wù)器區(qū)域FTPServerE0/0/100/24DNSServerE0/0/200/24防火墻區(qū)域FW2USG6000VG1/0//29G1/0//29G1/0/3/29G1/0/454/24G1/0/5/29FW3USG6000VG1/0//29G1/0//29G1/0/3/29G1/0/454/24G1/0/5/29網(wǎng)絡(luò)交換區(qū)域（核心層網(wǎng)絡(luò)）LSW_R1S5700G0/0/3Eth-Trunk1G0/0/4Eth-Trunk1Vlanif6/29Vlanif6/29Vlanif1551/24Vlanif2551/24Vlanif3551/24Vlanif110/24Vlanif11151/24Vlanif11251/24LSW_R2S5700G0/0/3Eth-Trunk1G0/0/4Eth-Trunk1Vlanif6/29Vlanif6/29Vlanif1552/24Vlanif2552/24Vlanif3552/24Vlanif5654/24Vlanif110/24Vlanif11152/24Vlanif11252/24AC2AC6005Vlanif566/24網(wǎng)絡(luò)交換區(qū)域（接入層網(wǎng)絡(luò)）LSW3S3700Vlanif110/24LSW4S3700Vlanif110/24LSW5S3700Vlanif110/24工作生活區(qū)域教學(xué)樓_BPCVlanif15/24綜合樓_BPCVlanif15/24AP3AP6050Vlanif101/24學(xué)生宿舍_BPCVlanif25/24飯?zhí)胈BPCVlanif25/24AP2AP6050Vlanif110/24辦公樓_BPCVlanif35/24本章小結(jié)本章詳細(xì)介紹了高校A、B兩個(gè)校區(qū)的IP地址劃分情況，主要從校園實(shí)際情況出發(fā)，根據(jù)AB校區(qū)的實(shí)際情況，將校園劃分為DMZ服務(wù)區(qū)、網(wǎng)絡(luò)交換區(qū)、工作生活區(qū)、外網(wǎng)區(qū)和防火墻區(qū)域五個(gè)區(qū)域，并對(duì)五個(gè)區(qū)域的IP地址和虛擬局域網(wǎng)進(jìn)行劃分，并標(biāo)明所用設(shè)備型號(hào)。

仿真實(shí)現(xiàn)與測(cè)試本章通過運(yùn)用eNSP軟件，對(duì)設(shè)計(jì)的校園網(wǎng)絡(luò)安全方案進(jìn)行仿真的實(shí)現(xiàn)和測(cè)試，對(duì)校園網(wǎng)絡(luò)安全建設(shè)方案中所使用的技術(shù)進(jìn)行效果展示。eNSP仿真軟件介紹eNSP是華為公司開發(fā)仿真軟件，主要用途是為從事ICT行業(yè)的工作人員和學(xué)習(xí)路由與交換技術(shù)的學(xué)習(xí)者提供的仿真模擬平臺(tái)，并提供圖形化界面，如REF_Ref16880\h圖STYLEREF1\s5.1所示。通過在eNSP軟件上進(jìn)行網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)和配置，幫助從業(yè)者和學(xué)習(xí)者在虛擬環(huán)境下進(jìn)行抓包分析、故障排查以及設(shè)計(jì)規(guī)劃等操作，跟進(jìn)一步學(xué)習(xí)和理解數(shù)據(jù)通信的實(shí)際情況。設(shè)計(jì)使用的eNSP軟件版本為eNSP1.3.00.100，配合Wireshark和OracleVirtualBox進(jìn)行工具進(jìn)行仿真實(shí)驗(yàn)。校園網(wǎng)絡(luò)技術(shù)仿真實(shí)現(xiàn)VLAN配置在校園網(wǎng)安全設(shè)計(jì)中，虛擬局域網(wǎng)技術(shù)主要應(yīng)用于工作生活區(qū)域與網(wǎng)絡(luò)交換區(qū)中，通過對(duì)局域網(wǎng)進(jìn)行子網(wǎng)劃分，切割廣播域，在降低廣播風(fēng)暴影響的同時(shí)，更好的實(shí)現(xiàn)不同部門、樓宇之間的管理。測(cè)試以A校區(qū)LSW3配置為例，將宿舍與飯?zhí)弥鳈C(jī)劃入虛擬局域網(wǎng)10中，如REF_Ref16926\h圖STYLEREF1\s5.1所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s11LSW3的VLAN配置示意圖配置思路為：首先，創(chuàng)建VLAN，然后，進(jìn)入需要?jiǎng)澐值亩丝?，將端口配置成為接口模式，最后，將端口加入到?chuàng)建的VLAN中。具體實(shí)現(xiàn)過程如下：在LSW3交換機(jī)上創(chuàng)建VLAN10和100，VLAN10是宿舍與飯?zhí)玫奶摂M局域網(wǎng)，VLAN100用于與匯聚層交換機(jī)實(shí)現(xiàn)通信；進(jìn)入vlanif100邏輯接口，配置IP為/24；進(jìn)入e0/0/1端口，將端口設(shè)置為接口模式，并將VLAN10加入端口，實(shí)現(xiàn)VLAN劃分；接入端口e0/0/11，將端口設(shè)置為trunk模式，并允許VLAN號(hào)為10到120的虛擬局域網(wǎng)通過；最后，配置到三層交換機(jī)LSW1的靜態(tài)路由，實(shí)現(xiàn)三層通信。鏈路聚合技術(shù)校園網(wǎng)安全設(shè)計(jì)主要通過在A校區(qū)LSW1與LSW2與B校區(qū)的LSW_1與LSW_2上配置鏈路聚合，支持校園網(wǎng)絡(luò)良好運(yùn)行，降低網(wǎng)路故障的影響。仿真測(cè)試以A校區(qū)LSW1、LSW2配置為例，示意圖如REF_Ref16978\h圖STYLEREF1\s5.2所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s12LACP配置示意圖配置思路為：首先，進(jìn)入鏈路聚合邏輯連接組，開啟鏈路聚合模式，然后進(jìn)入端口，將端口加入組中，最后在主動(dòng)端配置優(yōu)先級(jí)完成配置。鏈路聚合具體實(shí)現(xiàn)過程如下：進(jìn)入鏈路聚合邏輯連接組，開啟鏈路聚合模式；進(jìn)入端口g0/0/1和g0/0/2，將端口加入到鏈路聚合邏輯連接組中；最后，在主動(dòng)端配置優(yōu)先級(jí)100，使得優(yōu)先級(jí)高一側(cè)為主動(dòng)端；生成樹技術(shù)在校園網(wǎng)安全設(shè)計(jì)中，主要使用生成樹技術(shù)中的MSTP技術(shù)，分別應(yīng)用在A校區(qū)LSW1、2與LSW3、4、5、6上以及B校區(qū)LSW_A1、LSW_A2和LSW_3、LSW_4、LSW_5上，避免因?yàn)樵鎏砣哂嘣O(shè)備引起環(huán)路問題。以A校區(qū)LSW1、2和LSW3-6交換機(jī)的生成樹配置為例。示意圖如REF_Ref17040\h圖STYLEREF1\s5.3所示。A校區(qū)匯聚層和接入層的總根是LSW_R1交換機(jī)，備根是LSW_R2交換機(jī)，然后實(shí)例1、3、10、11的總根是LSW1、實(shí)例2、4、12的備根是LSW_R2。圖STYLEREF1\s5.SEQ圖\*ARABIC\s13MSTP配置示意圖配置思路：首先，在所有目標(biāo)交換機(jī)上開啟多生成樹協(xié)議模式并在生成樹區(qū)域中配置生成樹實(shí)例MSTI，然后將目標(biāo)交換機(jī)設(shè)置為Master狀態(tài)，冗余設(shè)備則設(shè)置為Backup狀態(tài)，實(shí)現(xiàn)生成樹域的配置。生成樹技術(shù)的具體實(shí)現(xiàn)過程如下：在交換機(jī)上開啟MSTP模式；進(jìn)入MSTP域配置界面，配置域名為campusnet1，版本級(jí)別為1；創(chuàng)建MST實(shí)例，將VLAN加入到實(shí)例中，并開啟MSTP域配置，讓VLAN10-40分別對(duì)應(yīng)實(shí)例1-4；在系統(tǒng)視圖下，通過配置MST實(shí)例1、3的優(yōu)先級(jí)為4092，MST實(shí)例2、4的優(yōu)先級(jí)為8192，選出MST實(shí)例的主根和備根，其中優(yōu)先級(jí)小實(shí)例為主根，即實(shí)例1、3為主根。最后，配置MST實(shí)例0為總根，完成MSTP的配置；VRRP技術(shù)在校園網(wǎng)安全設(shè)計(jì)中，VRRP技術(shù)分別應(yīng)用在A校區(qū)匯聚層交換機(jī)LSW1、2與接入層交換機(jī)LSW3、4、5、6上以及B校區(qū)核心層交換機(jī)LSW_1、LSW_2和接入層交換LSW_3、LSW_4、LSW_5上，與MSTP技術(shù)進(jìn)行結(jié)合使用，主要作用是選取主、備交換機(jī)，在網(wǎng)絡(luò)鏈路斷開時(shí)，實(shí)現(xiàn)鏈路切換，保障網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。設(shè)計(jì)以A校區(qū)的LSW1、2和LSW3-6的生成樹配置為例。示意圖如REF_Ref17177\h圖STYLEREF1\s5.4所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s14VRRP配置示意圖配置思路：首先，創(chuàng)建VLAN；然后，進(jìn)入Vlanif設(shè)置對(duì)應(yīng)的VRID和虛擬網(wǎng)關(guān)地址；最后，通過修改VRRP的Priority值，確定主備設(shè)備。VRRP的具體實(shí)現(xiàn)過程如下：在主交換機(jī)上配置相應(yīng)的VLAN10，進(jìn)入vlanif10邏輯接口設(shè)置虛擬網(wǎng)關(guān)地址為54，設(shè)置虛擬ID為10；配置優(yōu)先級(jí)，Mater配置為110，Backup配置為90，數(shù)值更大的是主設(shè)備；最后，配置失效搶占延遲時(shí)間為3和MD5認(rèn)證；校園網(wǎng)絡(luò)安全技術(shù)仿真實(shí)現(xiàn)DHCPsnooping+IPSG技術(shù)（1）DHCP服務(wù)配置在校園網(wǎng)安全設(shè)計(jì)中，工作生活區(qū)域的用戶主機(jī)的IP都通過DHCP地址池動(dòng)態(tài)分配的方式獲取的。如REF_Ref17223\h圖STYLEREF1\s5.5所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s15DHCP配置示意圖配置思路：首先在DHCP服務(wù)器配置DHCP地址池，然后，配置DHCP服務(wù)接口，最后，利用三層交換機(jī)進(jìn)行DHCP中繼的方式實(shí)現(xiàn)用戶的DHCP服務(wù)。DHCP的具體實(shí)現(xiàn)過程如下：在DHCP服務(wù)器上開啟DHCP功能；配置名為DHCP_VLAN10地址池；配置地址池的網(wǎng)關(guān)為54；配置動(dòng)態(tài)地址分配網(wǎng)段為/24去除46到192.168.253地址段的分配；接入g0/0/0端口，設(shè)置IP為5/24，實(shí)現(xiàn)與核心交換機(jī)通信，并開啟DHCPglobal模式；在三層交換機(jī)上開啟DHCP服務(wù)；最后，接入vlanif10邏輯端口，開啟DHCP中繼，設(shè)置中繼地址為5；（2）DHCPsnooping+IPSG配置由于AB校區(qū)的校園網(wǎng)用戶設(shè)備的IP地址，是運(yùn)用DHCPServer自動(dòng)分配的。為了避免外部黑客針對(duì)這一特性進(jìn)行DHCPServer偽冒攻擊、ARP中間人攻擊以及泛洪攻擊等網(wǎng)絡(luò)攻擊事件，在校園網(wǎng)絡(luò)安全設(shè)計(jì)中，在A校區(qū)匯聚層交換機(jī)LSW1、2上應(yīng)用DHCPsnooping+IPSG技術(shù)。仿真測(cè)試以A校區(qū)配置LSW1交換機(jī)配置為例，示意圖如REF_Ref17752\h圖STYLEREF1\s5.6所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s16DHCPsnooping+IPSG配置示意圖配置思路：首先，需要在接入DHCPServer上的交換機(jī)開啟DHCPsnooping服務(wù)，并將與DHCPServer連接的端口配置為trust端口，開啟ISPG功能；然后，在LSW1配置ARP與DHCPsnooping的關(guān)聯(lián)；最后，開啟DHCP報(bào)文的檢查功能。DHCPsnooping的具體實(shí)現(xiàn)過程如下：在LSW1上開啟DHCPsnooping服務(wù)；在接入?yún)R聚層的端口下，開啟DHCPsnooping服務(wù)；在接入?yún)R聚層的端口下，開啟對(duì)DHCP報(bào)文的檢查，主要用于對(duì)動(dòng)態(tài)生成綁定表進(jìn)行監(jiān)測(cè)以及表內(nèi)的MAC地址段是否非空；在接入?yún)R聚層的端口下，配置允許接入的最大用戶數(shù)量為20；在接入?yún)R聚層的端口下，開啟對(duì)MAC是否為空和報(bào)文丟棄警告功能，并設(shè)置監(jiān)測(cè)區(qū)間值；開啟ARP與DHCPsnooping的結(jié)合功能；最后，將接入的端口設(shè)置為信任端口；IPSG的具體實(shí)現(xiàn)過程如下：接入vlanif55邏輯接口；開啟DHCPsnooping功能；開啟IPSG服務(wù)，實(shí)現(xiàn)IP源地址檢查；無線技術(shù)在校園網(wǎng)安全設(shè)計(jì)中，無線配置主要用于為工作生活區(qū)中的用戶提供無線網(wǎng)絡(luò)認(rèn)證接入，通過AC+AP的方式進(jìn)行組網(wǎng)設(shè)計(jì)。無線配置以A校區(qū)的AC設(shè)備為例，如REF_Ref17866\h圖STYLEREF1\s5.7所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s17無線技術(shù)配置示意圖配置思路：首先，在AC上配置AP上線，將AP與AC的AP進(jìn)行關(guān)聯(lián)，并接入信令源，然后，配置WLAN業(yè)務(wù)，通過對(duì)安全、SSID和VAP模板進(jìn)行配置，實(shí)現(xiàn)配置。無線技術(shù)的具體實(shí)現(xiàn)過程如下：配置AP上線：在AC上進(jìn)入wlan視圖，創(chuàng)建AP管理組gdei；創(chuàng)建管理模板，配置國(guó)家代碼為CN，設(shè)置監(jiān)管域的配置文件的名稱為cfig，并開啟監(jiān)管域配置文件；配置AC源接口，配置CAPWAP協(xié)議的信令源為vlanif99接口在AC上通過MAC地址00e0-fce6-48c0綁定AP2，將AP加入gdei組內(nèi)；配置WLAN業(yè)務(wù)：設(shè)置安全模板gdei，設(shè)置使用的安全策略為WPA2-PSK-AES；設(shè)置SSID模板gdei，配置SSID為Gdei，即WIFI命名；設(shè)置VAP模板,綁定安全模板和SSID模板，設(shè)置連接方式為直連模式，配置地址池為VLAN102；配置AP組引用VAP模板，僅AP射頻0、1引用模板；ACL技術(shù)在校園網(wǎng)安全設(shè)計(jì)中，訪問控制技術(shù)主要配置在匯聚層的交換機(jī)上，用于控制工作生活區(qū)之間流量訪問，在設(shè)計(jì)中，學(xué)生宿舍對(duì)除了圖書館和網(wǎng)絡(luò)中心以外網(wǎng)絡(luò)進(jìn)行訪問，保障了校園內(nèi)部網(wǎng)絡(luò)訪問的安全。同時(shí)，設(shè)計(jì)通過設(shè)置時(shí)間ACL的方式，實(shí)現(xiàn)了學(xué)生宿舍網(wǎng)絡(luò)僅能在工作日6-24點(diǎn)和周末6-次日凌晨2點(diǎn)進(jìn)行網(wǎng)絡(luò)訪問，促使大學(xué)生健康使用網(wǎng)絡(luò)。仿真測(cè)試以A校區(qū)配置LSW1交換機(jī)配置為例，示意圖如REF_Ref17922\h圖STYLEREF1\s5.8所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s18ACL配置示意圖配置思路：首先，需要配置ACL規(guī)則，然后，對(duì)ACL進(jìn)行流分類和流行為的配置，最后，配置流策略是的流分類與流行為關(guān)聯(lián)，在接口下應(yīng)用流策略即可實(shí)現(xiàn)訪問控制。高級(jí)ACL具體實(shí)現(xiàn)過程：創(chuàng)建高級(jí)ACL3001，設(shè)置規(guī)則，不允許VLAN10與20的通信；配置流分類，匹配ACL3001；配置流行為，允許流量通過；配置流策略，關(guān)聯(lián)流分類和流行為；在端口g0/0/6入方向應(yīng)用流策略；時(shí)間ACL具體實(shí)現(xiàn)過程：設(shè)置訪問限制時(shí)間段：工作日6:-24點(diǎn)，周六日6-2點(diǎn)；創(chuàng)建高級(jí)ACL3003，設(shè)置規(guī)則，限制宿舍和WIFI網(wǎng)段通信；配置流行為，允許流量通過；配置流策略，關(guān)聯(lián)流分類和流行為；在端口g0/0/23入方向應(yīng)用流策略；NAT技術(shù)在校園網(wǎng)安全設(shè)計(jì)中，AB校區(qū)在防火墻上使用了地址轉(zhuǎn)換技術(shù)。當(dāng)內(nèi)網(wǎng)用戶訪問外網(wǎng)時(shí)，防火墻對(duì)流量的源地址進(jìn)行轉(zhuǎn)換，轉(zhuǎn)換為防火墻出接口地址，與外網(wǎng)進(jìn)行數(shù)據(jù)交流，有效保護(hù)內(nèi)外網(wǎng)通信安全。以A校區(qū)FW1防火墻為例，主要思路在FW1上設(shè)置NAT策略，使得簡(jiǎn)易IP地址轉(zhuǎn)換功能。NAT具體實(shí)現(xiàn)過程：進(jìn)入nat策略；制定名為easy_policy的nat策略；設(shè)置trust為源區(qū)域；設(shè)置untrust為目的區(qū)域；啟用源地址轉(zhuǎn)換功能，使用簡(jiǎn)易IP進(jìn)行地址轉(zhuǎn)換；防火墻技術(shù)在校園網(wǎng)安全設(shè)計(jì)中，為了保障校園網(wǎng)內(nèi)外網(wǎng)、兩校區(qū)信任區(qū)域之間的通信安全，運(yùn)用防火墻技術(shù)對(duì)兩校區(qū)防火墻進(jìn)行安全配置。（1）防火墻使用方法為了方便校園網(wǎng)絡(luò)管理人員對(duì)防火墻進(jìn)行管理和維護(hù)，下面介紹防火墻的兩種登錄方式，分別為命令行登陸方式和Web界面登陸方式。①命令行登陸方式在eNSP軟件上，使用命令行登陸防火墻，如REF_Ref17964\h圖STYLEREF1\s5.9所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s19防火墻命令界面圖②web登陸方式在eNSP軟件上接入云，通過在云上配置與本機(jī)地址的端口映射的方式，如REF_Ref18007\h圖STYLEREF1\s5.10所示，在配置完成后可以使用本地的瀏覽器訪問:8443，即可實(shí)現(xiàn)Web登陸，如REF_Ref15848\h圖STYLEREF1\s5.11所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s110端口映射配置圖圖STYLEREF1\s5.SEQ圖\*ARABIC\s111防火墻Web界面登陸圖（2）防火墻區(qū)域與策略在校園網(wǎng)安全設(shè)計(jì)中，防火墻區(qū)域的劃分和防火墻策略的實(shí)現(xiàn)起到實(shí)現(xiàn)內(nèi)外網(wǎng)隔離的效果，其中內(nèi)網(wǎng)劃分為信任區(qū)、服務(wù)器區(qū)劃分為DMZ隔離區(qū)、外網(wǎng)劃分為非信任區(qū)。仿真測(cè)試以A校區(qū)配置FW1防火墻配置為例，示意圖如REF_Ref15622\h圖STYLEREF1\s5.12所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s112防火墻配置示意圖配置思路：首先，在防火墻上劃分信任、不信任和隔離區(qū)三個(gè)區(qū)域；然后，將端口分別接入三個(gè)區(qū)域中；最后，配置防火墻策略，達(dá)到流量訪問控制的效果。防火墻區(qū)域劃分和策略配置具體實(shí)現(xiàn)過程：劃分防火墻區(qū)域進(jìn)入Trust區(qū)域，設(shè)置優(yōu)先級(jí)為85，將內(nèi)網(wǎng)端口劃入?yún)^(qū)域；進(jìn)入U(xiǎn)ntrust區(qū)域，設(shè)置優(yōu)先級(jí)為5，將網(wǎng)端口劃入?yún)^(qū)域；進(jìn)入DMZ區(qū)域，設(shè)置優(yōu)先級(jí)為50，將服務(wù)器區(qū)端口劃入?yún)^(qū)域；配置防火墻策略進(jìn)入防火墻策略配置視圖；配置Trust->Untrsut的策略，配置源區(qū)域?yàn)門rust，目的區(qū)域?yàn)閡ntrust，允許流量行為；配置Trust->DMZ的策略，配置源區(qū)域?yàn)門rust，目的區(qū)域?yàn)镈MZ，允許流量行為；配置Untrust->Trsut的策略，配置源區(qū)域?yàn)閁ntrust，目的區(qū)域?yàn)門rust，不允許流量行為；（3）防火墻雙機(jī)熱備技術(shù)在校園網(wǎng)安全設(shè)計(jì)中，考慮到學(xué)校的領(lǐng)導(dǎo)和行政都集中在B校區(qū)進(jìn)行辦公，與外網(wǎng)進(jìn)行信息共享有更高的安全需求，為了保障B校區(qū)安全通信需求，在B校區(qū)使用了防火墻雙機(jī)熱備技術(shù)，主要通過在FW2、FW3上配置HRP協(xié)議，實(shí)現(xiàn)防火墻的熱備份。仿真測(cè)試以B校區(qū)配置FW2、FW3防火墻配置為例，示意圖如REF_Ref18056\h圖STYLEREF1\s5.13所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s113防火墻雙機(jī)熱備份示意圖配置思路是：首先，在FW2防火墻上開啟HRP功能并配置心跳線，然后，結(jié)合VRRP協(xié)議，實(shí)現(xiàn)防火墻雙機(jī)熱備份。HRP具體實(shí)現(xiàn)過程如下：在FW2的g1/0/3端口上配置心跳線遠(yuǎn)端地址為開啟HRP功能；開啟HRP自動(dòng)備份模式；開啟HRP會(huì)話表鏡像；VGMP具體實(shí)現(xiàn)過程如下：在FW2端口g1/0/1，配置虛擬網(wǎng)關(guān)地址在FW2端口g1/0/1，設(shè)置虛擬網(wǎng)關(guān)為Active（對(duì)端設(shè)備FW3為Standby）；在FW2端口g1/0/2，配置虛擬網(wǎng)關(guān)地址在FW2端口g1/0/2，設(shè)置虛擬網(wǎng)關(guān)為Active（對(duì)端設(shè)備FW3為Standby）；（3）GREoverIPSecVPN技術(shù)在校園網(wǎng)安全設(shè)計(jì)中，主要運(yùn)用GREoverIPSecVPN技術(shù)進(jìn)行數(shù)據(jù)加密，實(shí)現(xiàn)兩校區(qū)之間的通信安全。主要通過在兩校區(qū)防火墻上配置實(shí)現(xiàn)，本文設(shè)計(jì)以防火墻FW1為例，示意圖如REF_Ref18105\h圖STYLEREF1\s5.14所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s114GREoverIPSec配置示意圖GRE具體實(shí)現(xiàn)過程如下：進(jìn)入隧道；將隧道設(shè)置為GRE模式；配置源端地址為/32，對(duì)端地址為：/32；配置隧道地址為：/30，并開啟Ping服務(wù)；將隧道劃分到untrust區(qū)域；通過在防火墻上配置靜態(tài)路由，將流量導(dǎo)向隧道；IPSec具體實(shí)現(xiàn)過程如下：配置IPSec安全提議創(chuàng)建名為1的IPSec安全提議；指定使用sha2-256認(rèn)證算法；指定使用aes-256加密算法；配置IKE安全提議創(chuàng)建名為1的IKE安全提議；指定使用aes-256加密算法進(jìn)行IKE協(xié)商；指定使用sha2-256認(rèn)證算法進(jìn)行IKE協(xié)商；配置秘鑰的安全等級(jí)；使用共享秘鑰進(jìn)行認(rèn)證；指定協(xié)商時(shí)使用的完整性算法hrmac-sha2-256；配置協(xié)商時(shí)使用指定的隨機(jī)生成算法為hmac-sha2-256；配置IKEpeer對(duì)等體創(chuàng)建IKE對(duì)等體FW2；配置共享秘鑰方式和密碼；引用IKE安全提議1；配置IKD協(xié)商的對(duì)端IP地址；配置IPsec文件配置名為FW1的IPSec文件；關(guān)聯(lián)IKE對(duì)等體FW2；關(guān)聯(lián)IPSec安全提議1；在tunnel1下綁定IPSec文件綁定FW1IPSec文件；校園網(wǎng)絡(luò)技術(shù)仿真測(cè)試VLAN配置測(cè)試在配置完成后，實(shí)現(xiàn)了宿舍_飯?zhí)玫腜C主機(jī)與LSW3交換機(jī)上的VLAN10之間的通信。通信效果如REF_Ref18141\h圖STYLEREF1\s5.15所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s115VLAN互通測(cè)試示意圖鏈路聚合配置測(cè)試在配置完成后，輸入查看命令，如REF_Ref18187\h圖STYLEREF1\s5.16所示，可以看到lacp配置成功。然后，將g0/0/1端口關(guān)閉，等同一條鏈路斷開。再次查看配置情況，會(huì)發(fā)現(xiàn)G0/0/1端口失效，但是仍然能夠?qū)崿F(xiàn)LSW1與LSW2之間的流量互通，如REF_Ref18193\h圖STYLEREF1\s5.17、REF_Ref18376\h圖STYLEREF1\s5.18所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s116LACP狀態(tài)示意圖圖STYLEREF1\s5.SEQ圖\*ARABIC\s117端口關(guān)閉后LACP狀態(tài)示意圖圖STYLEREF1\s5.SEQ圖\*ARABIC\s118端口關(guān)閉后LSW1、LSW2通信示意圖生成樹配置測(cè)試A校區(qū)匯聚層和接入層的總根是LSW1，備根是LSW2，然后實(shí)例1、3、10、11的總根是LSW1、實(shí)例2、4、12的備根是LSW2。在MSTP配置完成后，通過displaystpbrief查看LSW1和LSW3生成樹的具體配置情況，如REF_Ref18500\h圖STYLEREF1\s5.19、REF_Ref18510\h圖STYLEREF1\s5.20所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s119LSW1MSTP配置情況示意圖圖STYLEREF1\s5.SEQ圖\*ARABIC\s120LSW3MSTP配置情況示意圖通過配置結(jié)果可以看出，LSW3的與總根LSW1連接的端口被設(shè)置為根端口，與備根LSW2備份端口備阻塞，生成樹配置成功，環(huán)路被有效切斷。下面我們嘗試斷掉LSW1與LSW3之間的連接，如圖REF_Ref18572\h圖STYLEREF1\s5.21所示，在LSW3上使用displaystpbrief命令查看會(huì)發(fā)現(xiàn)，連接備份交換機(jī)的端口由阻塞狀態(tài)變?yōu)橹边B狀態(tài)，如REF_Ref18921\h圖STYLEREF1\s5.22所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s121MSTP故障模擬圖圖STYLEREF1\s5.SEQ圖\*ARABIC\s122MSTP故障模擬查詢圖VRRP配置測(cè)試如REF_Ref18974\h圖STYLEREF1\s5.23所示，在VRRP配置完成后，在LSW1上輸入disvrrpbrief命令，查看主備設(shè)備情況，發(fā)現(xiàn)接入Vlanif10的LSW1交換機(jī)狀態(tài)為Master，Vlanif20的為Backup，配置成功。圖STYLEREF1\s5.SEQ圖\*ARABIC\s123LSW1VRRP配置結(jié)果圖校園安全技術(shù)仿真測(cè)試DHCPsnooping+IPSG配置測(cè)試如REF_Ref19016\h圖STYLEREF1\s5.24所示，在DHCP服務(wù)配置完成后，在宿舍_飯?zhí)玫腜C上查看網(wǎng)卡情況，發(fā)現(xiàn)實(shí)現(xiàn)了IP地址的動(dòng)態(tài)分配，配置成功。圖STYLEREF1\s5.SEQ圖\*ARABIC\s124VLAN10動(dòng)態(tài)地址分配效果圖如REF_Ref19094\h圖STYLEREF1\s5.25、REF_Ref19098\h圖STYLEREF1\s5.26所示，在完成DHCPsnooping+IPSG配置后，可以通過displaydhcpsnoopinginterface命令和displaydhcpsnoopinguser-bindall查看運(yùn)行情況。在查看配置后可以發(fā)現(xiàn)交換機(jī)已經(jīng)實(shí)現(xiàn)對(duì)接入的設(shè)備進(jìn)行了動(dòng)態(tài)綁定，能過有效的防止非信任端口的設(shè)備接入，防止DHCP偽冒攻擊。圖STYLEREF1\s5.SEQ圖\*ARABIC\s125DHCPsnooping配置效果圖圖STYLEREF1\s5.SEQ圖\*ARABIC\s126IPSG配置效果圖無線配置測(cè)試在完成AP上線后可以通過disapall無線技術(shù)配置后對(duì)上線的AP設(shè)備狀態(tài)進(jìn)行查看，可以發(fā)現(xiàn)AP通過MAC地址綁定成功，如REF_Ref19143\h圖STYLEREF1\s5.27所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s127AP上線狀態(tài)圖在完成無線技術(shù)的部署后，可以登陸STA設(shè)備進(jìn)行無線連接，并進(jìn)行連通性測(cè)試，如REF_Ref19147\h圖STYLEREF1\s5.28、REF_Ref19166\h圖STYLEREF1\s5.29所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s128無線連接示意圖圖STYLEREF1\s5.SEQ圖\*ARABIC\s129STA連通性測(cè)試圖ACL配置測(cè)試在訪問控制技術(shù)配置完成后，使用宿舍PC機(jī)對(duì)教學(xué)樓進(jìn)行ping測(cè)試，無法實(shí)現(xiàn)互通，而與圖書館可以互通，如REF_Ref19558\h圖STYLEREF1\s5.30、REF_Ref19604\h圖STYLEREF1\s5.31所示。在LSW1上使用disacl3003查看時(shí)間訪問控制配置生效可以實(shí)現(xiàn)網(wǎng)絡(luò)訪問，如REF_Ref19630\h圖STYLEREF1\s5.32所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s130宿舍ping教學(xué)樓測(cè)試圖圖STYLEREF1\s5.SEQ圖\*ARABIC\s131宿舍ping圖書館測(cè)試圖圖STYLEREF1\s5.SEQ圖\*ARABIC\s132時(shí)間訪問控制配置效果圖NAT配置測(cè)試在配置完成后，使用內(nèi)網(wǎng)交換機(jī)LSW_R1對(duì)外網(wǎng)路由器端口地址進(jìn)行訪問，通過抓包能看到IP地址進(jìn)行了轉(zhuǎn)換，轉(zhuǎn)換后的地址為防火墻出接口的IP地址。抓包結(jié)果如REF_Ref19708\h圖STYLEREF1\s5.33所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s133NAT效果圖防火墻技術(shù)配置測(cè)試（1）防火墻區(qū)域劃分和策略配置測(cè)試在配置成功后，對(duì)不同區(qū)域之間的訪問進(jìn)行測(cè)試。首先，使用內(nèi)網(wǎng)訪問服務(wù)器區(qū)和外網(wǎng)，測(cè)試結(jié)果為內(nèi)網(wǎng)可以訪問服務(wù)器區(qū)域和外網(wǎng)區(qū)域，然后，使用外網(wǎng)訪問內(nèi)網(wǎng)，測(cè)試結(jié)果為外網(wǎng)無法訪問內(nèi)網(wǎng)，效果如REF_Ref19757\h圖STYLEREF1\s5.34、REF_Ref19764\h圖STYLEREF1\s5.35所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s134內(nèi)網(wǎng)訪問服務(wù)器區(qū)和外網(wǎng)區(qū)測(cè)試圖圖STYLEREF1\s5.SEQ圖\*ARABIC\s135外網(wǎng)訪問內(nèi)網(wǎng)區(qū)測(cè)試圖防火墻雙機(jī)熱備在雙機(jī)熱備配置完成后，查看防火墻配置情況，發(fā)現(xiàn)FW2成為了主設(shè)備狀態(tài)為Active，F(xiàn)W3為備用設(shè)備狀態(tài)為Standby，如REF_Ref19842\h圖STYLEREF1\s5.36、REF_Ref19845\h圖STYLEREF1\s5.37所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s136防火墻FW2狀態(tài)圖圖STYLEREF1\s5.SEQ圖\*ARABIC\s137防火墻FW3狀態(tài)圖（3）GREoverIPSecVPN配置測(cè)試在GRE配置完成后，使用A校區(qū)LSW_R1交換機(jī)pingB校區(qū)的LSW_A1交換機(jī)，發(fā)現(xiàn)數(shù)據(jù)包源地址為，配置成功，兩校區(qū)數(shù)據(jù)封裝傳輸功能實(shí)現(xiàn)，如REF_Ref19904\h圖STYLEREF1\s5.38所示。圖STYLEREF1\s5.SEQ圖\*ARABIC\s138GRE測(cè)試圖在完成GRE的配置后，繼續(xù)在防火墻上進(jìn)行IPSec的配置。配置完成后：輸入IKESA的查看命令，查看對(duì)等體建立狀態(tài)。如REF_Ref16648\h圖STYLEREF1\s5.39所示，可以發(fā)現(xiàn)防火墻已經(jīng)完成了與對(duì)等體的協(xié)商，可以實(shí)現(xiàn)兩端之間的數(shù)據(jù)傳輸。圖STYLEREF1\s5.SEQ圖\*ARABIC\s139IKESA建立情況圖輸入IPSecSA的查看命令，查看IPSec文件綁定情況。如REF_Ref16605\h圖STYLEREF1\s5.40所示，可以發(fā)現(xiàn)在Tunnel1中，成功建立名為FW1的IPSecSA，且與對(duì)端連接成功，可以實(shí)現(xiàn)兩端通信數(shù)據(jù)的加密。圖STYLEREF1\s5.SEQ圖\*ARABIC\s140IPSecSA建立情況圖在A校區(qū)的LSW_R1上pingB校區(qū)的LSW_A1，并防火墻出端口進(jìn)行抓包，接著在防火墻上查看