概述1.1校園網(wǎng)簡(jiǎn)介本文主要是從湄洲灣職業(yè)技術(shù)學(xué)院為設(shè)計(jì)藍(lán)本，從而進(jìn)行相對(duì)應(yīng)的需求分析，并針對(duì)這些需求進(jìn)行相對(duì)應(yīng)的組網(wǎng)劃分、網(wǎng)絡(luò)要求設(shè)計(jì)、方案藍(lán)本設(shè)計(jì)、設(shè)備購(gòu)買采集、相應(yīng)設(shè)備的設(shè)置、網(wǎng)絡(luò)區(qū)域的劃分、網(wǎng)絡(luò)相應(yīng)服務(wù)的計(jì)費(fèi)付費(fèi)功能、服務(wù)系統(tǒng)到校園應(yīng)用系統(tǒng)等方面進(jìn)行相對(duì)應(yīng)的規(guī)劃與分析，這也對(duì)其他學(xué)校準(zhǔn)備提升校園網(wǎng)服務(wù)具有一定的參考價(jià)值。在設(shè)計(jì)原則上，校園網(wǎng)需要具有的功能分別為教學(xué)、通訊、管理。相關(guān)的教學(xué)資料也可以方便的為老師提供瀏覽和查詢，并通過(guò)這些進(jìn)行教學(xué)類和科研類的相關(guān)研究；并且這也使得學(xué)生更加方便的查詢或?yàn)g覽相關(guān)的學(xué)習(xí)資料也可以進(jìn)一步的實(shí)現(xiàn)遠(yuǎn)程學(xué)習(xí)；可進(jìn)一步的通過(guò)網(wǎng)上學(xué)習(xí)學(xué)會(huì)信息化的處理。作為一個(gè)典型的綜合網(wǎng)的實(shí)例，我們也對(duì)校園網(wǎng)的安全、管理、規(guī)劃、維護(hù)、配置、實(shí)施等幾個(gè)方面進(jìn)行綜合評(píng)估闡述。同時(shí)將重點(diǎn)放在子網(wǎng)規(guī)劃、配置及網(wǎng)絡(luò)主干設(shè)計(jì)上。對(duì)于服務(wù)器的加購(gòu)設(shè)計(jì)只做了簡(jiǎn)單的規(guī)劃。在這項(xiàng)工程中，無(wú)論是技術(shù)、安全上和規(guī)劃上，還是在應(yīng)用中、管理中和實(shí)施中都存在諸多需要解決的問(wèn)題，總體來(lái)說(shuō)主要包括IP地址的規(guī)劃和分配，主要設(shè)備的一些配置，拓?fù)錂C(jī)構(gòu)的設(shè)計(jì)。通過(guò)校園網(wǎng)的需求、問(wèn)題及解決方案，以便使讀者從整體上面透徹全面的了解校園網(wǎng)設(shè)計(jì)流程。1.2關(guān)鍵網(wǎng)絡(luò)技術(shù)簡(jiǎn)介本次校園網(wǎng)屬于較大的工程，所涉及的技術(shù)點(diǎn)較多，涉及的硬件也較多。在軟件的配置方面，此次的拓?fù)鋱D主要是由華為ensp軟件進(jìn)行繪制以及做出相應(yīng)的配置；在相關(guān)技術(shù)方面使用dhcp技術(shù)自動(dòng)獲取IP地址進(jìn)行路由；匯聚交換機(jī)配置為三層設(shè)備通過(guò)OSPF與核心交換機(jī)進(jìn)行互通；主備匯聚交換機(jī)通過(guò)VRRP與生成樹技術(shù)為終端用戶提供冗余；防火墻配置NAT轉(zhuǎn)換使得終端用戶較為安全的訪問(wèn)外部網(wǎng)絡(luò)；學(xué)校內(nèi)部部分區(qū)域提供無(wú)線訪問(wèn)，通過(guò)AC+瘦AP的方式實(shí)現(xiàn)；學(xué)校通GREOVERIPSec與各分部實(shí)現(xiàn)互通；主校區(qū)服務(wù)器對(duì)內(nèi)提供WWW、DNS以及FTP服務(wù)；運(yùn)營(yíng)商通過(guò)BGP實(shí)現(xiàn)路由可達(dá)。網(wǎng)絡(luò)建設(shè)方面。學(xué)校采用千兆網(wǎng)絡(luò)做為主干網(wǎng)，百兆網(wǎng)絡(luò)做桌面；VLAN劃分為：教學(xué)樓、綜合樓、宿舍樓A、食堂、體育館、宿舍樓B、實(shí)驗(yàn)樓、辦公樓，各個(gè)VLAN之間可以相互訪問(wèn)且上網(wǎng)；考慮冗余設(shè)計(jì)、網(wǎng)絡(luò)升級(jí)和擴(kuò)展需求。學(xué)校網(wǎng)對(duì)主機(jī)系統(tǒng)的主要要求：主機(jī)系統(tǒng)應(yīng)具有高的可靠性，能長(zhǎng)時(shí)間連續(xù)工作，并有容錯(cuò)措施；具有廣泛的軟件支持，軟件兼容性較好，并支持多種傳輸協(xié)議；主機(jī)系統(tǒng)采用國(guó)際上比較主流的技術(shù)，比切具有優(yōu)良的可擴(kuò)展能力；支持通用大型數(shù)據(jù)庫(kù)；能與Internet互聯(lián)，可以提供互聯(lián)網(wǎng)應(yīng)用，如WWW瀏覽器服務(wù)、E-mail電子服務(wù)、FTP文件傳輸服務(wù)、DNS域名系統(tǒng)服務(wù)。1.3本章小結(jié)依照湄洲灣職業(yè)技術(shù)學(xué)院所提出的需求，我方也采用了華為方面的軟硬件技術(shù)進(jìn)行配套支持。多媒體數(shù)字化校園是采用先進(jìn)的網(wǎng)絡(luò)技術(shù)構(gòu)建成性能高效的校園網(wǎng)絡(luò)，聯(lián)合學(xué)校各個(gè)部門，對(duì)該校的教學(xué)、科研、財(cái)務(wù)、辦公等信息系統(tǒng)進(jìn)行多方數(shù)據(jù)整合，滿足未來(lái)發(fā)展需求，為教學(xué)教育、科研提供良好的穩(wěn)定性、可靠性、安全性、高速高效的網(wǎng)絡(luò)平臺(tái)，進(jìn)一步的消除信息孤島，實(shí)現(xiàn)各個(gè)部門之間的協(xié)同處理，提高傳統(tǒng)校園的效率，擴(kuò)展傳統(tǒng)校園的功能，從而達(dá)到信息化建設(shè)的統(tǒng)一資源、數(shù)據(jù)共享。2校園網(wǎng)建設(shè)分析校園網(wǎng)需要具有三大功能分別為教學(xué)、管理、通訊。相關(guān)的教學(xué)資料可以方便老師的瀏覽和查詢，并通過(guò)這些進(jìn)行教學(xué)類和科研類的相關(guān)研究；并且這也使得學(xué)生更加方便的查詢或?yàn)g覽相關(guān)的學(xué)習(xí)資料也可以進(jìn)一步的線上教育進(jìn)行學(xué)習(xí)；類似于相關(guān)的學(xué)籍類、財(cái)務(wù)模塊、資料審核、教務(wù)管理也方便學(xué)校相關(guān)部門的人員進(jìn)行統(tǒng)一化處理，還可以實(shí)現(xiàn)不同管理層之間的信息相互交換，自動(dòng)化的去采集和處理網(wǎng)上的相關(guān)信息，達(dá)成資源在信息和設(shè)備之間的互通，此外，校園網(wǎng)的規(guī)劃必須有明確的建設(shè)與分析。校園網(wǎng)整體規(guī)劃的原則是：在選擇網(wǎng)絡(luò)產(chǎn)品、服務(wù)器時(shí)，需要加強(qiáng)產(chǎn)品支持的網(wǎng)絡(luò)協(xié)議的國(guó)際化和標(biāo)準(zhǔn)化；同時(shí)開放性采用開放性的網(wǎng)絡(luò)系統(tǒng)，以便后期網(wǎng)絡(luò)的擴(kuò)展、互聯(lián)和升級(jí)。3校園網(wǎng)總體建設(shè)3.1建設(shè)目標(biāo)3.1.1總體建設(shè)目標(biāo)校園網(wǎng)的規(guī)劃主要根據(jù)湄洲灣職業(yè)技術(shù)學(xué)院的各個(gè)教學(xué)樓對(duì)網(wǎng)絡(luò)的需求進(jìn)行分析，按照分步實(shí)施、總體規(guī)劃的原則，構(gòu)建一個(gè)集多媒體輔助教學(xué)、辦公自動(dòng)化和校園數(shù)字化交流等于一體，運(yùn)用已有的網(wǎng)絡(luò)技術(shù)，將學(xué)校中各種的設(shè)備，例如：pc機(jī)、工作站、終端設(shè)備和局域網(wǎng)等進(jìn)行互聯(lián)，并且擁有廣域網(wǎng)出口的網(wǎng)絡(luò)。在實(shí)現(xiàn)管理上，校方的管理員能夠快捷的進(jìn)行數(shù)字化的管理，例如：學(xué)生信息管理、行政事務(wù)管理、教務(wù)信息管理等。信息交互在各個(gè)部門之間也變得更加便利；在多媒體輔助教學(xué)方面，師生門不僅能夠視屏監(jiān)控教學(xué)，還能利用網(wǎng)絡(luò)獲得相應(yīng)的教學(xué)資源；在多媒體校園文化交談方面，強(qiáng)化了老師與學(xué)生之間的互動(dòng)，擁有極高的安全性、可靠性、優(yōu)良的開放性、可修改性、可拓展性，同時(shí)也具備建設(shè)經(jīng)濟(jì)性的校園網(wǎng)絡(luò)。3.1.2內(nèi)部網(wǎng)絡(luò)建設(shè)目標(biāo)湄洲灣職業(yè)技術(shù)學(xué)院具有宿舍樓13座、教學(xué)樓2座、綜合樓1座、食堂3座、體育館1座、實(shí)驗(yàn)樓1座、辦公樓2座，是一個(gè)集教育教學(xué)、師生活動(dòng)居住為一體的綜合性校園建筑群。當(dāng)前學(xué)校具有各類教學(xué)、辦公和服務(wù)等用途的PC機(jī)、交換機(jī)、路由器、服務(wù)器、終端設(shè)備等約以前多臺(tái)。校園網(wǎng)的建設(shè)主要是以信息中心綜合大樓為核心，因?yàn)樾?nèi)各機(jī)房、實(shí)訓(xùn)教室已建設(shè)有小型的局域網(wǎng)絡(luò)，將教學(xué)樓、各個(gè)機(jī)房和校內(nèi)的各個(gè)科室互聯(lián)，實(shí)現(xiàn)整個(gè)校園網(wǎng)絡(luò)的大數(shù)據(jù)化的資源共享與整合。3.2建設(shè)規(guī)則此次建設(shè)參考的主要對(duì)象還是以職業(yè)類技術(shù)學(xué)院為主，在參考的過(guò)程中，我們發(fā)現(xiàn)在校園網(wǎng)的建設(shè)中一般都以主校區(qū)的建設(shè)為主體，在此次的建設(shè)中，主校區(qū)的校園網(wǎng)絡(luò)建設(shè)，提出了以下幾條基本規(guī)則。安全性可靠性隨著互聯(lián)網(wǎng)的不斷發(fā)展，大數(shù)據(jù)、云計(jì)算等的技術(shù)層出不窮，網(wǎng)絡(luò)的安全性和可靠性，也被列為了國(guó)家戰(zhàn)略目標(biāo)之一。學(xué)校也不例外，在學(xué)校里也有諸多的學(xué)生信息、檔案庫(kù)、資料庫(kù)等重要的信息，這些信息也必須具備有安全性、保密性、可靠性等的設(shè)備為其保駕護(hù)航。學(xué)校每天都有大量的數(shù)據(jù)進(jìn)行傳輸，鏈路必須做好相應(yīng)的備份。實(shí)用性校園網(wǎng)的規(guī)劃需要依據(jù)師生的實(shí)際使用需求出發(fā)，以實(shí)際情況為大前提考慮現(xiàn)有的資源和情況來(lái)建設(shè)一個(gè)滿足廣大師生群體的實(shí)際使用需求。同時(shí)也要將將來(lái)設(shè)備的相關(guān)維護(hù)、管理、后期升級(jí)等盡可能的考慮進(jìn)去，不能脫離實(shí)際。經(jīng)濟(jì)性網(wǎng)絡(luò)的規(guī)劃需要結(jié)合實(shí)際的使用情況，進(jìn)行相應(yīng)的硬件設(shè)備的采購(gòu)，在采購(gòu)過(guò)程中盡量做到物盡其用，杜絕浪費(fèi)，采購(gòu)的設(shè)施設(shè)備應(yīng)該采用性價(jià)比較高的設(shè)備，同時(shí)也要考慮到后期的設(shè)備維護(hù)、設(shè)備更新的費(fèi)用，在設(shè)備維護(hù)、更新的過(guò)程中應(yīng)該盡量做到保留原有設(shè)備，盡量延長(zhǎng)原有設(shè)備的使用時(shí)長(zhǎng)。從而進(jìn)一步的提高網(wǎng)絡(luò)的經(jīng)濟(jì)效益。擴(kuò)展性擴(kuò)展性的要求是為校園網(wǎng)將來(lái)發(fā)展做準(zhǔn)備REF_Ref19275\n\h[7]，是對(duì)未來(lái)的網(wǎng)絡(luò)提升打下基礎(chǔ)。當(dāng)今互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，更好的擴(kuò)展性成為了校園網(wǎng)一個(gè)必須擁有的大前提。這也就意味著在選擇相應(yīng)設(shè)備和網(wǎng)絡(luò)規(guī)劃的時(shí)候必須預(yù)留出充足的冗余空間，以便使得后期的升級(jí)做出充足的準(zhǔn)備。言而總之，在技術(shù)不斷更新迭代的現(xiàn)代社會(huì)，適當(dāng)?shù)脑黾泳W(wǎng)絡(luò)設(shè)備的接入點(diǎn)和網(wǎng)絡(luò)的區(qū)域化是很有必要的?？删S護(hù)性隨著時(shí)間的推移，設(shè)備的滯后性和設(shè)備的老化，也會(huì)導(dǎo)致設(shè)備出現(xiàn)諸多的問(wèn)題，這對(duì)網(wǎng)絡(luò)的維護(hù)性就提出了要求，而在設(shè)計(jì)之初就應(yīng)該考慮好，設(shè)備的可維護(hù)性問(wèn)題，以便以后對(duì)網(wǎng)絡(luò)的調(diào)試和檢測(cè)做出周全的考慮。在選擇設(shè)備和安裝設(shè)備的時(shí)候也應(yīng)該做到選用好維護(hù)的設(shè)備。良好的可維護(hù)性也是整個(gè)校園網(wǎng)能夠源源不斷正常運(yùn)行的大前提。高冗余性校園網(wǎng)的相關(guān)資料，傳輸內(nèi)容較多，對(duì)網(wǎng)絡(luò)的穩(wěn)定性也提出了較高的要求。為避免單點(diǎn)故障，使得局域網(wǎng)絡(luò)的癱瘓，導(dǎo)致資料的丟失，在規(guī)劃校園網(wǎng)是，應(yīng)采用MSTP等技術(shù)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)多個(gè)冗余路徑，從而避免網(wǎng)絡(luò)的故障。3.3組網(wǎng)建設(shè)技術(shù)湄洲灣職業(yè)技術(shù)學(xué)院的校園網(wǎng)絡(luò)，類似于大型企業(yè)級(jí)網(wǎng)絡(luò)。事實(shí)上該網(wǎng)絡(luò)的覆蓋范圍并不是特別大，然而接入的設(shè)備卻眾多，接入的人數(shù)也眾多，網(wǎng)絡(luò)的服務(wù)類型也中多，所以一般將該類網(wǎng)絡(luò)歸位大型網(wǎng)絡(luò)，具體的邏輯架構(gòu)可以分為以下幾種類型，如圖3-1所示。圖3-1校園網(wǎng)絡(luò)架構(gòu)邏輯當(dāng)前，學(xué)校的校園網(wǎng)主要以二層架構(gòu)為主，二層架構(gòu)也鏈接著用戶層中的：教學(xué)樓、綜合樓、宿舍樓、體育館、實(shí)驗(yàn)樓、辦公樓等。此次校園網(wǎng)的二層加購(gòu)主要也是采用了樹形拓?fù)浣Y(jié)構(gòu)，三層架構(gòu)較為復(fù)雜而三層架構(gòu)較為簡(jiǎn)單，下圖是二層架構(gòu)的示意圖3-2所示。圖3-2二層架構(gòu)示意圖因?yàn)榇舜涡@網(wǎng)需要做一個(gè)整體的升級(jí)，并且考慮到未來(lái)校園網(wǎng)的一個(gè)升級(jí)需求，所以，在此次校園網(wǎng)的分析過(guò)程中，運(yùn)用了樹形結(jié)構(gòu)，在組網(wǎng)的方式上也從原來(lái)的二層結(jié)構(gòu)改造成三層結(jié)構(gòu)，也就是核心層、匯聚層、接入層，三層結(jié)構(gòu)如下圖3-3所示。圖3-3三層網(wǎng)絡(luò)結(jié)構(gòu)示意圖3.4校園網(wǎng)總體建設(shè)3.4.1校園網(wǎng)平面圖建設(shè)湄洲灣職業(yè)技術(shù)學(xué)院整體建筑布局情況以及摟一摟之間的部署結(jié)構(gòu)，如下圖3-5所示，校園規(guī)模在職業(yè)技術(shù)學(xué)院中屬于中上等水平，由學(xué)校的實(shí)際情況出發(fā)進(jìn)行規(guī)劃，從圖中可以看出其規(guī)劃的復(fù)雜度較高，對(duì)需要采用的技術(shù)和對(duì)應(yīng)的設(shè)備的要求也有較高的水平，故應(yīng)采用分層式網(wǎng)絡(luò)結(jié)構(gòu)，方便未來(lái)的升級(jí)性，也保證了網(wǎng)絡(luò)的整體性、穩(wěn)定性。相比新校區(qū)來(lái)說(shuō)，舊校區(qū)的規(guī)模也較小，這個(gè)體的用戶量也就5000人上下，所以此次分析主要以新校區(qū)的規(guī)劃分析為主，如圖3-6為湄洲灣職業(yè)技術(shù)學(xué)院舊校區(qū)平面圖。圖3-5新校區(qū)校園平面圖圖3-6舊校區(qū)校園平面圖3.4.2校園網(wǎng)各個(gè)層次架構(gòu)建設(shè)依據(jù)湄洲灣職業(yè)技術(shù)學(xué)院現(xiàn)有的建筑情況，校園網(wǎng)絡(luò)拓?fù)湟?guī)劃與分析后，將其拆分為核心層設(shè)計(jì)、匯聚層設(shè)計(jì)、接入層設(shè)計(jì)三大模塊進(jìn)行逐一分析，還會(huì)對(duì)用戶層中的教學(xué)樓、辦公樓、實(shí)驗(yàn)樓、學(xué)生宿舍樓、食堂、體育館進(jìn)行簡(jiǎn)要的分析。如圖3-7為湄洲灣職業(yè)技術(shù)學(xué)院新校區(qū)簡(jiǎn)圖，湄洲灣新校區(qū)于2016年開始開發(fā)建設(shè)，于2020年正是完工。舊校區(qū)此次只作為小幅度的升級(jí)，這次不做為主要分析對(duì)象，如圖3-8為湄洲灣職業(yè)技術(shù)學(xué)院舊校區(qū)拓?fù)浜?jiǎn)圖。圖3-7湄洲灣職業(yè)技術(shù)學(xué)院新校區(qū)圖3-8湄洲灣職業(yè)技術(shù)學(xué)院舊校區(qū)3.4.3建設(shè)核心層核心層已經(jīng)配備網(wǎng)絡(luò)設(shè)備方面都應(yīng)該有嚴(yán)格的要求與規(guī)劃，因?yàn)楹诵膶硬粌H僅是流量的匯聚者與承受著，同時(shí)也鏈接者防火墻，起到了網(wǎng)絡(luò)安全、監(jiān)控等的作用。湄洲灣職業(yè)技術(shù)學(xué)院的核心區(qū)網(wǎng)絡(luò)也是采用了華為s5700系列，湄洲灣職業(yè)技術(shù)學(xué)院新校區(qū)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)如圖3-9所示：圖3-9湄洲灣職業(yè)技術(shù)學(xué)院核心層校園網(wǎng)拓?fù)?.4.4建設(shè)接入層接入層中交換機(jī)等設(shè)備較多，在傳輸過(guò)程中一般采用兩種模式，一種是運(yùn)用ap進(jìn)行無(wú)線鏈接，另一種是運(yùn)用雙絞線進(jìn)行有線鏈接，更好的分配寬帶業(yè)務(wù)，同時(shí)將用戶與局域網(wǎng)進(jìn)行鏈接。這一層的具有成本較低，端口密度較高的特點(diǎn)。這就對(duì)硬件提出了速率高、密度高的端口要求，使得使用者能夠更方便快捷的訪問(wèn)校園網(wǎng)。3.4.5辦公樓辦公樓包含著系部各個(gè)樓群，主要用于平時(shí)開會(huì)、處理資料等事物。所以在網(wǎng)絡(luò)訴求方面，對(duì)穩(wěn)定性有著較高的要求。辦公樓的用戶設(shè)備也較多，其中包括pc機(jī)、手機(jī)、打印機(jī)等設(shè)備，如圖3-10所示。圖3-10辦公樓拓?fù)浞治?.4.6教學(xué)樓教學(xué)樓主要作用是以老師對(duì)學(xué)生的教學(xué)輔導(dǎo)為主進(jìn)行使用的片區(qū)，其中教學(xué)樓也包含：文學(xué)樓、醫(yī)學(xué)樓、經(jīng)管樓、機(jī)械樓等。此次規(guī)劃也將教學(xué)樓的接入方式大題分為兩類，教學(xué)樓和計(jì)信樓等所使用的計(jì)算機(jī)多媒體多用有線雙絞線進(jìn)行鏈接；而另一種為無(wú)線鏈接，多為手機(jī)、平板和筆記本電腦等設(shè)備接入校園網(wǎng)做規(guī)劃，如圖3-11所示。圖3-11教學(xué)樓網(wǎng)絡(luò)分析規(guī)劃3.4.7實(shí)驗(yàn)樓實(shí)驗(yàn)樓的主要作用是用于實(shí)踐教學(xué)，實(shí)驗(yàn)樓中用戶設(shè)備量較多的歸屬于計(jì)算機(jī)機(jī)房。因此接入的設(shè)備需求較多，也會(huì)有多臺(tái)的匯聚交換機(jī)放在實(shí)訓(xùn)樓中。實(shí)驗(yàn)樓網(wǎng)絡(luò)規(guī)劃分析如圖3-12所示。圖3-12實(shí)驗(yàn)樓網(wǎng)絡(luò)規(guī)劃3.4.8學(xué)生宿舍樓群Ａ和Ｂ湄洲灣職業(yè)技術(shù)學(xué)院擁有的學(xué)生宿舍樓較多，為了讓規(guī)劃布局更加方便，會(huì)將大量的匯聚交換機(jī)放入學(xué)生宿舍樓群A和學(xué)生宿舍樓群B之間，由于宿舍之間也有較多設(shè)備需要用到無(wú)限鏈接，此次也在各個(gè)宿舍的樓層之間部署了多臺(tái)無(wú)限設(shè)備鏈接樓層之間的交換機(jī)和AP，如圖3-13所示。圖3-13學(xué)生宿舍樓群Ａ和Ｂ網(wǎng)絡(luò)規(guī)劃3.4.9體育館學(xué)校體育館的占地面積較大，除了室內(nèi)游泳館，室外籃球館外，在體育館辦公區(qū)還有幾臺(tái)為數(shù)不多的pc機(jī)、打印機(jī)，所需要的優(yōu)先連接也較少，多數(shù)為無(wú)線設(shè)備的鏈接。如圖3-14為體育館的網(wǎng)絡(luò)規(guī)劃。圖3-14體育館網(wǎng)絡(luò)規(guī)劃3.4.10食堂學(xué)校有兩個(gè)食堂，每個(gè)食堂分為三層。兩個(gè)食堂的距離較遠(yuǎn)。食堂的用戶量遠(yuǎn)遠(yuǎn)小于教學(xué)樓、實(shí)驗(yàn)樓和宿舍樓。所以對(duì)無(wú)線用戶的鏈接較多。因食堂距離宿舍都比較近，食堂可以接入宿舍樓的交換機(jī)和AP。如圖3-15所示。圖3-15食堂網(wǎng)絡(luò)規(guī)劃3.5網(wǎng)絡(luò)設(shè)備選型3.5.1用戶層設(shè)備選型用戶層設(shè)備主要采用了AP5030DN-S無(wú)線接入點(diǎn)。AP5030DN-S是華為公司推出的經(jīng)濟(jì)適用級(jí)802.11n/ac產(chǎn)品，雙頻同時(shí)提供業(yè)務(wù)，支持3×3MIMO。適合部署在結(jié)構(gòu)較簡(jiǎn)單、面積相對(duì)較小、用戶相對(duì)集中的場(chǎng)合及對(duì)容量需求較大的區(qū)域，如中小型企業(yè)以及企業(yè)分支，提供基本的802.11n/ac無(wú)線接入網(wǎng)絡(luò)。關(guān)鍵特性：支持2.4GHz和5GHz頻率，支持3×3MIMO，整機(jī)最高速率可達(dá)1.75Gbps；完善的用戶接入控制能力，可根據(jù)用戶組策略，基于用戶實(shí)施訪問(wèn)控制；高等級(jí)的網(wǎng)絡(luò)安全性，支持WIDS和WIPS；強(qiáng)大的網(wǎng)絡(luò)特性，支持IPv4/IPv6雙協(xié)議棧。如下圖3-16為AP5030DN-S真機(jī)試圖圖3-16AP5030DN-S3.5.2接入層設(shè)備選型接入層主要采用的是華為s3700系列交換機(jī)設(shè)備，S3700系列企業(yè)交換機(jī)是華為公司推出的新一代綠色節(jié)能的三層以太交換機(jī)。圖3-17s3700真機(jī)試圖3.5.3匯聚層設(shè)備選型如圖3-18華為S5700-S真機(jī)試圖圖3-18華為S5700-S真機(jī)試圖3.5.4匯聚層設(shè)備選型匯聚層主要采用華為S5700-EI系列增強(qiáng)型千兆以太交換機(jī)。如圖3-19華為S5700-EI系列真機(jī)試圖圖3-19華為S5700-EI系列真機(jī)試圖3.5.5防火墻選型防火墻采用USG6000V虛擬綜合業(yè)務(wù)網(wǎng)關(guān)。如圖3-20華為USG6000V防火墻圖3-20華為USG6000V防火墻3.5.6路由器選型路由器選擇的是華為AR3260路。如下圖3-21華為AR3260路由器圖3-21華為AR3260路由器4IP規(guī)劃設(shè)計(jì)4.1IP地址技術(shù)一個(gè)IPV4地址有32BIT，IPV4地址采用“點(diǎn)十進(jìn)制”表示。然后將傳輸介質(zhì)由物理層到數(shù)據(jù)鏈路層到網(wǎng)絡(luò)層到傳輸層最終到達(dá)應(yīng)用層。如圖4-1所示數(shù)據(jù)封裝過(guò)程、如圖4-2所示中間網(wǎng)絡(luò)數(shù)據(jù)傳輸過(guò)程、如圖4-3所示接收方數(shù)據(jù)解封裝。如圖4-1數(shù)據(jù)封裝過(guò)程如圖4-2中間網(wǎng)絡(luò)數(shù)據(jù)傳輸過(guò)程如圖4-3接收方數(shù)據(jù)解封裝4.1.1DHCP技術(shù)DHCP技術(shù)，簡(jiǎn)而言之就是自動(dòng)分配地址池的技術(shù)。這類技術(shù)多應(yīng)用于大型網(wǎng)絡(luò)規(guī)劃中，例如：常用于校園、園區(qū)、企業(yè)網(wǎng)。這種地址池的好處是可以減少手動(dòng)配置地址池所帶來(lái)的IP沖突，使用動(dòng)態(tài)DHCP地址池還可以大量的減少工作人員的工作量。如圖4-4所示圖4-4DHCP的用處：大量主機(jī)分配IP地址是有DHCP進(jìn)行自動(dòng)分配的以及其他的網(wǎng)絡(luò)參數(shù)（網(wǎng)關(guān)、DNS、租期等等）并能夠集中管理。4.1.2NAT技術(shù)NAT技術(shù)技術(shù)背景：簡(jiǎn)單來(lái)說(shuō)就是因?yàn)閕pv4的地址枯竭，導(dǎo)致網(wǎng)絡(luò)發(fā)展受到了相關(guān)的限制，雖然說(shuō)現(xiàn)在有ipv6的技術(shù)，但是在ipv6還未全面普及之前，就產(chǎn)生了這種折中的方法NAT。NAT作用是什么：就是將私網(wǎng)地址能夠轉(zhuǎn)換成公網(wǎng)地址，使私網(wǎng)用戶能夠上網(wǎng)，這樣既可保證網(wǎng)絡(luò)互通，又節(jié)省了公網(wǎng)地址。如圖4-5所示。圖4-54.1.3OSPF技術(shù)為什么需要?jiǎng)討B(tài)路由協(xié)議？靜態(tài)路由是由工程師手動(dòng)配置和維護(hù)的路由條目，命令行簡(jiǎn)單明確，適用于小型或穩(wěn)定的網(wǎng)絡(luò)。靜態(tài)路由有以下問(wèn)題：無(wú)法適應(yīng)規(guī)模較大的網(wǎng)絡(luò)，隨著設(shè)備的增加，配置量急劇增加。無(wú)法動(dòng)態(tài)響應(yīng)手鏈網(wǎng)絡(luò)，需要工程師，手動(dòng)修改。如圖4-6靜態(tài)路由、圖4-7動(dòng)態(tài)路由（OSPF）兩者之間的對(duì)比。4-6靜態(tài)路由當(dāng)網(wǎng)絡(luò)規(guī)模越來(lái)越大時(shí)，使用手動(dòng)方式配置靜態(tài)路由的方式獲取路由條目將變得越來(lái)越復(fù)雜，同時(shí)在拓?fù)浒l(fā)生變化時(shí)，不能及時(shí)，靈活響應(yīng)。圖4-7動(dòng)態(tài)路由（OSPF）動(dòng)態(tài)路由協(xié)議能夠自動(dòng)發(fā)現(xiàn)和生成路由，并在拓?fù)渥兓瘯r(shí)及時(shí)變更路由，可以減少管理人員的工作量，更實(shí)用于大規(guī)模網(wǎng)絡(luò)。4.2IP地址規(guī)劃由于校園網(wǎng)所設(shè)計(jì)的設(shè)備眾多，所以用戶層所采用的IP規(guī)劃為ＤＨＣＰ技術(shù)進(jìn)行由網(wǎng)絡(luò)動(dòng)態(tài)合理的分配IP地址給主機(jī)使用。此次DHCP配置在匯聚層中。如圖4-8DHCP命令行所示。配置層為匯聚層設(shè)備，如圖4-10匯聚層圖4-8DHCP命令行dhcpenable//開啟DHCP功能#ippool16//創(chuàng)建全局地址池gateway-list//配置DHCP客戶端網(wǎng)關(guān)地址networkmask//配置全局地址池可動(dòng)態(tài)分配范圍dns-list01//配置DHCP客戶端使用DNS服務(wù)器的IP地址#ippool17//創(chuàng)建全局地址池gateway-list//配置DHCP客戶端網(wǎng)關(guān)地址networkmask//配置全局地址池可動(dòng)態(tài)分配范圍dns-list01//配置DHCP客戶端使用DNS服務(wù)器的IP地址#ippool18//創(chuàng)建全局地址池gateway-list//配置DHCP客戶端網(wǎng)關(guān)地址networkmask//配置全局地址池可動(dòng)態(tài)分配范圍dns-list01//配置DHCP客戶端使用DNS服務(wù)器的IP地址如圖4-10匯聚層更具學(xué)校具體情況，此次采用A類IP地址私有網(wǎng)段，以教學(xué)樓為例，通過(guò)DHCP的配置，匯聚層會(huì)給教學(xué)樓的設(shè)備隨機(jī)分配一個(gè)IP地址。如圖4-11教學(xué)樓IP地址規(guī)劃所示。圖4-11教學(xué)樓IP地址規(guī)劃當(dāng)通過(guò)相關(guān)命令PC>ipconfig查看相關(guān)IP地址配置時(shí)。如圖4-12所示圖4-12IPv4address:54//由DHCP分配的IP地址Subnetmask://24位maskGateway://由DHCP分配的網(wǎng)關(guān)Physicaladdress:54-89-98-4F-19-6F//物理mac地址DNSserver:01//DNS服務(wù)學(xué)校目前分為新校區(qū)和舊校區(qū)，新校區(qū)有教學(xué)樓、綜合樓、宿舍樓A、食堂，如圖4-13新校區(qū)IP規(guī)劃所示。舊校區(qū)有體育館、宿舍樓B、辦公樓，如圖4-14舊校區(qū)IP規(guī)劃所示。這些樓群的IP地址規(guī)劃由以下表格所示。建筑名稱地址范圍教學(xué)樓mask綜合樓mask宿舍樓Amask食堂mask圖4-13新校區(qū)IP規(guī)劃建筑名稱地址范圍體育館mask宿舍樓Bmask實(shí)驗(yàn)樓mask辦公樓mask圖4-14舊校區(qū)IP規(guī)劃例如，如圖圖4-13新校區(qū)IP規(guī)劃所示，IP地址為，表示宿舍樓A的某位同學(xué)；IP地址為，表示為教學(xué)樓的某位同學(xué)。4.3VLAN規(guī)劃4.3.1VLAN功能與技術(shù)VLAN是一種通過(guò)局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)REF_Ref11615\n\h[16]。VLAN之間通信VLAN在分割廣播域的同時(shí)也限制了不同VLAN間的主機(jī)進(jìn)行二層通信。如圖4-13所示圖4-13解決vlan間通信方法如下：

二層交換機(jī)+一臺(tái)路由器實(shí)現(xiàn)vlan之間通信（多臂路由）。

單臂路由的方式實(shí)現(xiàn)vlan之間通信。

現(xiàn)網(wǎng)中實(shí)際運(yùn)用vlanif邏輯接口來(lái)實(shí)現(xiàn)vlan之間通信。二層交換機(jī)+一臺(tái)路由器實(shí)現(xiàn)vlan之間通信只有相同的VLAN主機(jī)才能實(shí)現(xiàn)二層通信，因此必須通過(guò)三層路由才能將報(bào)文從一個(gè)VLAN轉(zhuǎn)發(fā)到另外一個(gè)VLAN，在二層交換機(jī)上配置VLAN，每一個(gè)VLAN使用一條獨(dú)占的物理鏈路連接到路由器的一個(gè)接口上，來(lái)實(shí)現(xiàn)vlan之間的通信。如圖4-14所示圖4-144.3.2VLAN技術(shù)在校園中的應(yīng)用圖4-15具體解釋了VLAN技術(shù)，其中PC1和PC2屬于VLAN1，PC3和PC4屬于VLAN2，雖然PC1和PC2不在同一個(gè)交換機(jī)上，但可以進(jìn)行通信，同樣PC3和PC4也可以進(jìn)行通信。但是VLAN1和VLAN2之間是不可以通信的，發(fā)送到VLAN1的數(shù)據(jù)VLAN2接收不到，要實(shí)現(xiàn)相互通信就必須用到路由器。圖4-15VLAN規(guī)劃4.3.3VLAN標(biāo)簽相關(guān)的技術(shù)講解校園中VLAN標(biāo)簽主要表現(xiàn)在以下三點(diǎn)：(1)Access接口在VLAN中，端口所屬的VLAN成為端口默認(rèn)VLAN，只允許默認(rèn)VLAN通過(guò)的端口稱為Access端口REF_Ref30911\n\h[17]。交換機(jī)上常用來(lái)鏈接用戶PC，服務(wù)器等終端設(shè)備接口。Access接口所鏈接的這些設(shè)備網(wǎng)卡往往只能首發(fā)無(wú)標(biāo)記幀。Access只能加入一個(gè)VLAN。(2)Trunk接口VLAN技術(shù)很重要的一項(xiàng)功能就是在網(wǎng)絡(luò)中構(gòu)建虛擬工作組，劃分用戶道不同的虛擬工作組REF_Ref494\n\h[18]。交換機(jī)的互聯(lián)，常用Trunk接口進(jìn)行相互直接的連接，也用于鏈接路防火墻等設(shè)備接口。Hybrid接口Hybrid接口和Trunk接口其實(shí)非常的相似，同時(shí)也可以使得很多的VLAN數(shù)據(jù)進(jìn)行相互之間的互通，這些數(shù)據(jù)幀通過(guò)802.1Ｑｔａｇ實(shí)現(xiàn)區(qū)分，用戶可以是靈活只能Ｈｙｂｒｉｄ接口在發(fā)送某個(gè)（或某些）ＶＬＡＮ的數(shù)據(jù)幀時(shí)是否攜帶ｔａｇ。如圖４－１６，解釋說(shuō)明了Ａｃｃｅｓｓ接口和Ｔｒｕｎｋ接口圖４－１６ＶＬＡＮ接口4.3.4校園內(nèi)設(shè)備中VLAN的劃分匯聚層中三臺(tái)三層交換機(jī)的VLAN劃分以及相關(guān)的配置命令行，分別為如以下表格所示匯聚層中三臺(tái)三層交換機(jī)的Trunk接口劃分以及相關(guān)的配置命令行，分別為如以下表格所示核心層中三臺(tái)三層交換機(jī)的劃分以及相關(guān)的配置命令行，分別為如以下表格所示匯聚層中三臺(tái)三層交換機(jī)的Trunk和Access接口劃分以及相關(guān)的配置命令行，分別為如以下表格所示5系統(tǒng)實(shí)施在學(xué)校網(wǎng)絡(luò)的綜合布線中，我們通常需要參考學(xué)校的綜合地理結(jié)構(gòu)因素、樓房排布因素、電子設(shè)備之間的兼容性、子系統(tǒng)和相對(duì)應(yīng)的管理區(qū)域、辦公區(qū)域等做出綜合的考量。5.1系統(tǒng)綜合布線電纜、相關(guān)硬件和連接器等都為設(shè)備之間子系統(tǒng)的組成部分，這些設(shè)備均可以有效的連接各個(gè)部門中的設(shè)備。有關(guān)的綜合布線之中，設(shè)計(jì)了多個(gè)設(shè)備間的系統(tǒng)，包括辦公樓、綜合樓、體育館、實(shí)驗(yàn)樓等更多的設(shè)備間的系統(tǒng)連接。5.2無(wú)線網(wǎng)絡(luò)覆蓋5.2.1無(wú)線網(wǎng)絡(luò)的總體需求分析隨著科技的快速發(fā)展，物聯(lián)網(wǎng)設(shè)備、無(wú)線終端設(shè)備也變得越來(lái)越多。為了方便設(shè)備之間的相互連接，同時(shí)也為了方便師生之間隨時(shí)能通過(guò)移動(dòng)端訪問(wèn)到互聯(lián)網(wǎng)，湄洲灣職業(yè)技術(shù)學(xué)院在各個(gè)場(chǎng)景也都實(shí)現(xiàn)了WIFI覆蓋。在不同的場(chǎng)景中對(duì)WIFI的使用量也有著不同的需求，此次設(shè)計(jì)也應(yīng)該按需劃分無(wú)線設(shè)備的分配，因此，也對(duì)不同地區(qū)的WIFI覆蓋提出了不同的要求，在裝備相關(guān)WIFI設(shè)備時(shí)也需要按照不同的場(chǎng)景做出不同的需求調(diào)整，這樣可更好的避免資源的浪費(fèi)。對(duì)于無(wú)線網(wǎng)絡(luò)覆蓋方面的規(guī)劃，無(wú)線網(wǎng)絡(luò)應(yīng)該對(duì)校園的所有地區(qū)進(jìn)行有效的覆蓋，包括辦公樓、實(shí)驗(yàn)樓、宿舍樓、體育館、教學(xué)樓、食堂等等。在某些特定的地區(qū)，因受到環(huán)境的屏蔽干擾較為嚴(yán)重，需要部署更多的AP，如人流量和房間數(shù)都較多的宿舍和實(shí)驗(yàn)樓。同時(shí)也要做到2.4G和5G頻段的雙頻覆蓋。5.2.3無(wú)線網(wǎng)絡(luò)的相關(guān)命令行配置1.AC基礎(chǔ)配置2.AC無(wú)線配置3.AC接口配置4.Switch配置5.3路由交換5.3.1路由與交換基本簡(jiǎn)介路由器（Router）：屬于網(wǎng)絡(luò)層，功能：為每個(gè)數(shù)據(jù)幀尋找最佳的傳輸路徑，并將其有效的傳送到目的站點(diǎn)，在路由器中通過(guò)路由表保存著各種傳輸路徑的相關(guān)數(shù)據(jù)，供路由選擇時(shí)使用。路由表：保存各種傳輸路徑的相關(guān)數(shù)據(jù)。靜態(tài)路由表：由系統(tǒng)管理員事先設(shè)定好的路由表動(dòng)態(tài)路由表：路由器根據(jù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況動(dòng)態(tài)調(diào)整的路由表工作流程：數(shù)據(jù)包送到路由器后，通過(guò)數(shù)據(jù)包首部的目的主機(jī)IP地址和子網(wǎng)掩碼計(jì)算出網(wǎng)絡(luò)地址，即目的主機(jī)所在的網(wǎng)絡(luò)，查找當(dāng)前路由器的路由表路由器是不同網(wǎng)絡(luò)之間相互連接的樞紐，路由器構(gòu)成了Internet的骨架；路由器具有判斷網(wǎng)路地址，選擇IP路徑的功能。如下圖5.3-1所示，為路由的工作過(guò)程。圖5.3-1路由的工作過(guò)程5.4路由與交換相關(guān)技術(shù)5.4.1OSPF技術(shù)OSPF路由之間的關(guān)系：?關(guān)于OSPF路由之間的關(guān)系有兩個(gè)重要的概念，鄰居關(guān)系和鄰接關(guān)系。?考慮一種簡(jiǎn)單的拓?fù)洹膳_(tái)路由器直連。在雙方的互聯(lián)接口上激活OSPF，路由器開始發(fā)送即偵聽hello報(bào)文。在通過(guò)hello報(bào)文發(fā)現(xiàn)彼此后，這兩臺(tái)路由器便形成了鄰居關(guān)系。?鄰居關(guān)系的建立只是一個(gè)開始，后續(xù)會(huì)進(jìn)行一系列的報(bào)文交互，例如DD、LSR、LSV和LSACK等。當(dāng)兩臺(tái)路由器LSDB同步完成后，并開始獨(dú)立計(jì)算路由器時(shí)，這兩臺(tái)路由器形成了鄰接關(guān)系。初始OSPF鄰接關(guān)系的建立有4個(gè)步驟，建立鄰居關(guān)系，協(xié)商主/從，交換LSDB信息，同步LSDB。如圖5.4-1，圖5.4-2，圖5.4-3，圖5.4-4所示圖5.4-1圖5.4-2圖5.4-3圖5.4-4OSPF的報(bào)文類型如下表格所示：狀態(tài)機(jī)：exstart狀態(tài)：2-Way后，雙方發(fā)送一個(gè)空的DD報(bào)文，協(xié)商主從。選舉方式：比如router，比大。選舉意義：保證后續(xù)的DD報(bào)文不丟失，有一個(gè)確認(rèn)的機(jī)制。exchange狀態(tài)：發(fā)完空?qǐng)?bào)文后買，正式的發(fā)送DD報(bào)文，里面攜帶的是個(gè)人本地的LSA。Londing狀態(tài)：DD報(bào)文獲取到信息后，我們要通過(guò)LSR請(qǐng)求LSA，狀態(tài)就切換為L(zhǎng)oding，這個(gè)階段我們會(huì)通過(guò)LSR/LSV/LSACK完整交換LSA。Full:狀態(tài)：同步完成后，發(fā)送Ack結(jié)束。5.4.2OSPF的配置案例分析（1）配置接口ISP-A的相關(guān)配置開啟LoopBack0接口，在LoopBack0接口下配置IP地址在對(duì)應(yīng)接口中配置相關(guān)的IP地址ISP-B的相關(guān)配置（2）配置OSPFOSPF參數(shù)規(guī)劃：OSPF進(jìn)程號(hào)為1。ISP-A和ISP-B的RouterID分別為和14配置步驟：創(chuàng)建并運(yùn)行OSPF進(jìn)程創(chuàng)建并進(jìn)入OSPF區(qū)域運(yùn)行指定的OSPF接口配置ISP-AOSPF相關(guān)協(xié)議配置ISP-BOSPF相關(guān)協(xié)議（3）結(jié)果驗(yàn)證1在路由器ISP-B上查看OSPF鄰居表結(jié)果驗(yàn)證（2）在路由器R1上查看路由表，并執(zhí)行源ping14disiprouting-table//查看路由表/32Direct00DGigabitEthernet0/0/2//從OSPF學(xué)習(xí)到/32的路由（4）OSPF的區(qū)域概念OSPFArea用于標(biāo)識(shí)一個(gè)OSPF區(qū)域區(qū)域是從邏輯接口上將設(shè)備分為不同的組，每個(gè)組區(qū)域號(hào)（AreaID）來(lái)標(biāo)識(shí)。OSPF的區(qū)域與單區(qū)域OSPF區(qū)域（Domain）：一系列使用相同用策略的連續(xù)OSPF網(wǎng)絡(luò)設(shè)備所構(gòu)成的網(wǎng)絡(luò)。OSPF路由器在同一個(gè)區(qū)域（Area）內(nèi)網(wǎng)絡(luò)中泛洪L(zhǎng)SA。為了確保每臺(tái)路由器都擁有網(wǎng)絡(luò)拓?fù)涞囊恢抡J(rèn)知，LSDB需要在區(qū)域內(nèi)進(jìn)行同步。如果OSPF域僅有一個(gè)區(qū)域，隨著網(wǎng)絡(luò)規(guī)模的越來(lái)越大，OSPF路由數(shù)量越來(lái)越多，這將導(dǎo)致諸多問(wèn)題：?LSDB越來(lái)越龐大，同時(shí)導(dǎo)致OSPF的規(guī)模增加。路由器資源消耗多，設(shè)備性能下降，影響數(shù)據(jù)轉(zhuǎn)發(fā)。?基于龐大的LSDB進(jìn)行路由計(jì)算變得困難。?當(dāng)網(wǎng)絡(luò)拓?fù)渥兏鼤r(shí)，LSA全域泛洪和全網(wǎng)SPF重計(jì)帶來(lái)巨大負(fù)擔(dān)。如下圖所示為L(zhǎng)SP-A的相關(guān)命令行area//area命令行用來(lái)創(chuàng)建OSPF區(qū)域，并進(jìn)入OSPF區(qū)域視圖network55network55network55network55//network命令用來(lái)指定運(yùn)行OSPF協(xié)議接口和接口所屬區(qū)域。Network-address為接口所在的網(wǎng)段地址。Wildcard-marsk為IP地址的反碼，相當(dāng)于IP地址掩碼反轉(zhuǎn)（0變1,1變0），例如55表示掩碼長(zhǎng)度24bit。5.4.5DNS技術(shù)·當(dāng)我們?cè)跒g覽器中輸入一個(gè)域名訪問(wèn)某個(gè)網(wǎng)站時(shí)，這個(gè)域名最終會(huì)被解析為一個(gè)IP地址，我們的瀏覽器實(shí)際是在和這個(gè)IP地址進(jìn)行通信?！ぎ?dāng)我們?cè)跒g覽器中輸入一個(gè)域名訪問(wèn)某個(gè)網(wǎng)站時(shí)，這個(gè)域名最終會(huì)被解析為一個(gè)IP地址，我們的瀏覽器實(shí)際是在和這個(gè)IP地址進(jìn)行通信。·負(fù)責(zé)將域名解析到lP地址的協(xié)議為DNS(DomainNameSystem，域名解析系統(tǒng))?！へ?fù)責(zé)將域名解析到LP地址的協(xié)議為dns(域名系統(tǒng)，域名解析系統(tǒng))?！ぞW(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)都有自己唯一的IP地址，通過(guò)IP地址可以實(shí)現(xiàn)節(jié)點(diǎn)之間的相互訪問(wèn)，但是如果和所有的節(jié)點(diǎn)進(jìn)行通信都使用IP地址的方式，人們很難記住這么多IP地址，為此提出了DNS，將難以記憶的IP地址映射為字符類型的地址?！ぞW(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)都有自己唯一的IP地址，通過(guò)IP地址可以實(shí)現(xiàn)節(jié)點(diǎn)之間的相互訪問(wèn)，但是如果和所有的節(jié)點(diǎn)進(jìn)行通信都使用IP地址的方式，人們很難記住這么多IP地址，為此提出了DNS將難以記憶的IP地址映射為字符類型的地址。域名系統(tǒng)組成：?域名:主機(jī)的字符標(biāo)識(shí)方式.大部分情況下，我們?cè)L問(wèn)網(wǎng)站時(shí)在瀏覽器內(nèi)輸入的URL就是該網(wǎng)站的域名。?域名解析服務(wù)器(DNS服務(wù)器)：負(fù)責(zé)維護(hù)域名與IP地址對(duì)應(yīng)關(guān)系的數(shù)據(jù)庫(kù)，并對(duì)解析者的請(qǐng)求進(jìn)行響應(yīng)。域名的表示方法域名的表示方法為:主機(jī)名.次頂級(jí)域名.頂級(jí)域名.根域，根域?yàn)椤?”，一般最后的根域不表示。DNS查詢方式DNS是一個(gè)分布式系統(tǒng)，絕大多數(shù)的DNS服務(wù)器端的數(shù)據(jù)庫(kù)不會(huì)擁有所有的域名記錄，當(dāng)客戶端向一個(gè)DNS服務(wù)器端查詢域名但該DNS服務(wù)器端上卻沒(méi)有該域名的記錄時(shí)，此時(shí)會(huì)有兩種繼續(xù)查詢的方式:?遞歸查詢:由DNs服務(wù)器向其他DNs服務(wù)器進(jìn)行查詢，將最終查詢結(jié)果返回給DNS客戶端。?迭代查詢:DNS服務(wù)器告知DNS客戶端其他DNs服務(wù)器地址，客戶端自行向其他DNs服務(wù)器進(jìn)行查詢。5.4.6FTP技術(shù)FTP傳輸過(guò)程-主動(dòng)模式FTP傳輸過(guò)程-被動(dòng)模式5.4.7Telent技術(shù)Telnet應(yīng)用場(chǎng)景Telnet可以通過(guò)終端對(duì)本地和遠(yuǎn)程的集中管理網(wǎng)絡(luò)設(shè)備認(rèn)證模式5.4.8Telnet配置案例分析user-interfacevty04//用戶界面vty04authentication-modepassword12345678//設(shè)置身份驗(yàn)證密碼為123456telnet客戶端進(jìn)行連接<Huiju-A>telnet//Huiju-A用telnet訪問(wèn)網(wǎng)段Password://輸入密碼Error:Thepasswordisinvalid.//密碼錯(cuò)誤提示Info:ThemaxnumberofVTYusersis5,andthenumberofcurrentVTYusersonlineis1.Thecurrentlogintimeis2022-01-1017:14:47.<Core-A>//密碼正確后，Huiju-A即可遠(yuǎn)程控制Core-A5.5網(wǎng)絡(luò)安全設(shè)置5.5.1目前現(xiàn)狀和建設(shè)目標(biāo)隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，各種網(wǎng)絡(luò)病毒層次不齊，網(wǎng)絡(luò)安全問(wèn)題也成為了21世紀(jì)以來(lái)計(jì)算機(jī)發(fā)展的重中之重。在這個(gè)大背景之下，湄洲灣職業(yè)技術(shù)學(xué)院的網(wǎng)絡(luò)面臨的威脅較多，其中有如下圖所示：圖5.5.1-1網(wǎng)絡(luò)風(fēng)險(xiǎn)相關(guān)圖5.5.2網(wǎng)絡(luò)安全建設(shè)原則在校園網(wǎng)絡(luò)的規(guī)劃分析之中，有關(guān)于校園網(wǎng)絡(luò)安全的問(wèn)題是十分重要的，在此次的湄洲灣職業(yè)技術(shù)學(xué)院的校園網(wǎng)絡(luò)規(guī)劃中應(yīng)該注意：區(qū)域劃分原則，不同的樓層對(duì)網(wǎng)絡(luò)的使用需求不同，對(duì)網(wǎng)絡(luò)的使用頻率也不同，有的區(qū)域所需要的安全等級(jí)較高，又的區(qū)域所需要的安全等級(jí)較低，例如：辦公樓存放這學(xué)校較多重要的文件，那么在這塊就應(yīng)該加強(qiáng)網(wǎng)絡(luò)安全的配置需求，如果是體育館這種公共場(chǎng)所對(duì)網(wǎng)絡(luò)安全的需求較低，就可以對(duì)網(wǎng)絡(luò)的安全等級(jí)做出適當(dāng)?shù)南陆嫡{(diào)整。做到按需分配，進(jìn)行針對(duì)性比較強(qiáng)的網(wǎng)絡(luò)安全設(shè)置。5.5.4防火墻配置案例分析下圖為配置防火墻通過(guò)對(duì)IP地址的設(shè)置過(guò)濾掉主機(jī)對(duì)內(nèi)網(wǎng)的權(quán)限，適用于這樣的需求：在其中一個(gè)時(shí)間段，禁止或者允許某些IP或部分端口的外網(wǎng)IP地址或者某些端口之間的相互通信。查看防火墻中OSPF的鄰居列表默認(rèn)情況防火墻只放行組播的報(bào)文，單播包不放行，需要配置安全策略

OSPF網(wǎng)絡(luò)類型OSPF報(bào)文的單播還是組播是否需要放行安全策略5.5.5NAT技術(shù)1、NAT作用：

就是將私網(wǎng)地址能夠轉(zhuǎn)換成公網(wǎng)地址，使私網(wǎng)用戶能夠上網(wǎng)，這樣既可保證網(wǎng)絡(luò)互通，又節(jié)省了公網(wǎng)地址5.5.6NAT配置案例分析nat-policy//配置NAT策略rulenamenat//規(guī)則名為NATdestination-address-excludemask//目的地地址，包中的一個(gè)地址，指明了該包發(fā)送的最終的目的地。在硬件結(jié)構(gòu)中，目的地地址必須是一個(gè)硬件地址。在IP數(shù)據(jù)報(bào)中，目的地地址必須是一個(gè)IP地址。5.5.8GREIPSec配置案例分析配置IPSECipsecproposalvpn//配置第二階段SAencapsulation-modetransportespauthentication-algorithmsha2-256espencryption-algorithmaes-256#ikeproposal1//配置第已階段SAencryption-algorithmaes-256//加密算法dhgroup14//指定DH組authentication-algorithmsha2-256//認(rèn)證算法authentication-methodpre-share//認(rèn)證方法integrity-algorithmhmac-sha2-256//完整性算法prfhmac-sha2-256ike-proposal1remote-id-typenonedpdtypeperiodic#ikepeerfwd//配置IKE鄰居pre-shared-key%^%#cxS90E>iL0br5*X[Y}-KU;xN-AnEP4gZ_m%".$4P%^%#//配置共享秘鑰ike-proposal1//第一階段SAremote-address//對(duì)端鄰居地址#ipsecpolicyvpn1isakmpsecurityacl3000//匹配興趣流ike-peerfwd//關(guān)聯(lián)IKE鄰居proposalvpn//關(guān)聯(lián)第二階段SA#6系統(tǒng)6.1華為VRP系統(tǒng)管理VRP是一種調(diào)試華為相關(guān)硬件設(shè)備的軟件系統(tǒng)，管理員可以通過(guò)對(duì)VRP的更改，從而調(diào)整校園網(wǎng)絡(luò)中各個(gè)設(shè)備之間的通信規(guī)則。隨著VRP版本的更新，VRP支持的特性也越來(lái)越多，可根據(jù)需求更新VRP版本1、VRP命名規(guī)范由VRP自身版本號(hào)和關(guān)聯(lián)產(chǎn)品版本號(hào)兩部分組成產(chǎn)品版本格式包含Vxxx(產(chǎn)品碼)，Rxxx(大版本號(hào))，Cxx(小版本號(hào))如果VRP產(chǎn)品版本有補(bǔ)丁，VRP產(chǎn)品版本號(hào)中還會(huì)包括SPC部分系統(tǒng)管理6.2防火墻管理系統(tǒng)1、console初始化華為防火墻默認(rèn)用戶名密碼admin密碼可修改為Admin@huawei.co,

路由器:adminAdmin@huawei

交換機(jī)：admin

\t"/u_13817711/_blank"?admin@

AC控制器:admin

\t"/u_13817711/_blank"?admin@

筆記本如何通過(guò)console調(diào)試網(wǎng)絡(luò)設(shè)備目前最流行的console線，是將串口芯片內(nèi)置于USBA公頭里面使整條線成一個(gè)整體，使用快捷方便(一般來(lái)講無(wú)需裝載驅(qū)動(dòng)直接可以使用)USB轉(zhuǎn)串口后此電腦—屬性—設(shè)置管理器—通用串行總線控制器—出現(xiàn)COM3在電腦上用工具進(jìn)行連接網(wǎng)絡(luò)設(shè)備超級(jí)終端像windowsXP系統(tǒng)自帶這個(gè)功能puTTY終端軟件Xshell終端軟件SecureCRT終端軟件2、telnettelnet登錄的流程

第一步：路由可達(dá)

第二步：打開設(shè)備的telnet功能

第三步：打開接口的telnet的管理功能

第四步：管理用戶打開telnet服務(wù)

第五步：調(diào)用AAA

第六步：登錄測(cè)試

NGFW缺省不允許通過(guò)telnet登錄，需要配置telnet服務(wù)，需要先通過(guò)其他方式登錄到設(shè)備上進(jìn)行telnet服務(wù)配置配置思路：

第一步：打開Telnet功能telnetserverenable1.telnetserverenable第二步：管理用戶打開telnet服務(wù)（AAA）manager-userkeypasswordcipherHuawei@123service-typetelnetlevel15第三步：打開接口的Telent的管理功能interfaceGigabitEthernet0/0/1ipaddress0service-managetelnetpermit第四步：調(diào)用AAAuser-interfacevty04authentication-modeaaa第五步：登錄測(cè)試7總結(jié)與展望7.1總結(jié)多媒數(shù)字化的校園網(wǎng)是