第6章組建大型計算機校園網(wǎng)

網(wǎng)絡工程組網(wǎng)技術實用教程第6章項目6：組建大型計算機校園網(wǎng)第6章項目6：組建大型計算機校園網(wǎng)【項目背景】

校園網(wǎng)是為學校師生提供教學、科研和綜合信息服務的寬帶多媒體網(wǎng)絡。首先，校園網(wǎng)應為學校教學、科研提供先進的信息化教學環(huán)境；其次，校園網(wǎng)應具有教務、行政和總務管理功能。本章將以項目為驅動，從一個大型校園網(wǎng)案例為基礎，通過完成五個設定的任務，深入淺出地介紹大型計算機校園網(wǎng)組建技術。2第6章項目6：組建大型計算機校園網(wǎng)【項目目標】本項目的目標，是要求參與者完成以下5個任務：任務1：校園網(wǎng)總體方案的設計任務2：校園網(wǎng)網(wǎng)絡設備的選型與配置任務3：校園網(wǎng)系統(tǒng)軟件的選型與配置任務4：廣域網(wǎng)接入技術的選型及配置任務5：遠程訪問站點的設計與配置3第6章項目6：組建大型計算機校園網(wǎng)【項目實施】作為一個教學過程，本項目建議在兩周內(nèi)完成，具體的實施辦法，按以下4個步驟進行：（1）分組，即將參與者按每5人一個小組進行分組，每人對應一個具體的任務，每小組確定一個負責人（類似項目負責人）組織安排本小組的具體活動。（2）課堂教學，即安排10~15學時左右的課堂教學，圍繞本章各任務中的背景案例，介紹涉及校園網(wǎng)總體方案的設計、網(wǎng)絡設備的選型與配置、網(wǎng)絡系統(tǒng)軟件的選型與配置、廣域網(wǎng)接入技術的選型與配置和遠程訪問站點的設計與配置等相關的教學內(nèi)容。4第6章項目6：組建大型計算機校園網(wǎng)（3）現(xiàn)場教學，即安排10~15學時左右的實訓進行現(xiàn)場教學，組織觀摩本校或當?shù)氐拇笮托@網(wǎng)工程項目，重點考察該項目涉及本章5個任務相關的內(nèi)容，并且在實驗室利用已有網(wǎng)絡設備或模擬環(huán)境，練習完成路由器、交換機的相關配置。（4）成果交流，用課余時間圍繞所觀摩的網(wǎng)絡工程項目，以小組為單位，由小組負責人組織本組人員整理、編寫并提交本組完成上述5個任務的項目總結報告。建議通過課外公示、課程網(wǎng)站發(fā)布、在線網(wǎng)上討論等形式開展項目報告交流活動。5第6章項目6：組建大型計算機校園網(wǎng)【項目評價】積極引導學生運用計算機網(wǎng)絡技術基本理論、方法與技能，參與網(wǎng)絡系統(tǒng)設計、網(wǎng)絡建設、網(wǎng)絡管理和網(wǎng)絡維護，提高學生實踐動手能力。任課教師通過記錄參與者在整個項目過程中的表現(xiàn)、各小組的項目總結報告的質(zhì)量，以及項目報告交流活動的效果等，對每一個參與者作出相應的成績評價。66.1任務1：校園網(wǎng)的總體方案的設計【背景案例】銳捷SH水產(chǎn)大學萬兆校園解決方案22……

隨著網(wǎng)絡應用的普及深入，校園網(wǎng)在學校的教學、科研和管理中發(fā)揮著越來越重要的作用。網(wǎng)絡應用遍及行政管理、財務管理、教學管理、信息服務等各個方面，成為學校辦公、教學、科研、交流必不可少的手段和服務平臺。本次建設SH水產(chǎn)大學新校區(qū)校園網(wǎng)主要為綜合考慮骨干網(wǎng)絡互聯(lián)和校園網(wǎng)絡接入層建設。在提供學校各學院樓、教學樓、實驗樓、學生食堂及活動中心區(qū)域等網(wǎng)絡接入的同時，為校內(nèi)師生員工提供高性能、高安全、靈活易管理的網(wǎng)絡應用平臺，為各種網(wǎng)絡應用以及視頻點播和學生宿舍上網(wǎng)業(yè)務服務，為實施校園一卡通工程和數(shù)字化校園工程做準備。6.1任務1：校園網(wǎng)的總體方案的設計6.1任務1：校園網(wǎng)的總體方案的設計6.1任務1：校園網(wǎng)的總體方案的設計【本節(jié)導讀】

校園網(wǎng)是各種類型網(wǎng)絡中一大分支，有著非常廣泛的應用?？傮w設計是校園網(wǎng)建設的總體思路和工程藍圖，是進行校園網(wǎng)建設的核心任務。進行校園網(wǎng)總體設計，首先，進行項目的需求分析，弄清學校的性質(zhì)、任務和改革發(fā)展的特點，對學校的信息化環(huán)境進行準確的描述，明確系統(tǒng)建設的需求和條件；其次，在應用需求分析的基礎上，確定校園網(wǎng)的服務類型，進而確定系統(tǒng)建設的具體目標，包括網(wǎng)絡設施、站點設置、開發(fā)應用和管理等方面的目標；第三，確定網(wǎng)絡拓樸結構和功能，根據(jù)應用需求、建設目標和學校主要建筑分布特點，進行系統(tǒng)分析和設計；第四，確定技術設計的原則要求，如在技術選型、布線設計、設備選擇、軟件配置等方面的標準和要求；第五，規(guī)劃安排校園網(wǎng)建設的實施步驟。

為便于學習和實踐，從本節(jié)開始將以下面的例1中的XX高校為例，討論組建大型計算機校園網(wǎng)的相關技術。本節(jié)從需求分析入手，著重闡述網(wǎng)絡拓撲選型與設計，層次化設計和IP地址規(guī)劃和子網(wǎng)的劃分。6.1.1“雙星型”網(wǎng)絡冗余鏈路拓撲結構的選型與設計

由于學校的規(guī)模及應用需求的不同，林林總總的校園網(wǎng)在網(wǎng)絡結構上差別很大，往往令人感到眼花繚亂。然而，從拓撲結構的歸類來看，通常情況下，中、小學的校園網(wǎng)的網(wǎng)絡規(guī)模不大、應用需求相對簡單，采用單一核心交換機的“單星型”網(wǎng)絡拓撲結構即可；大專院校校園網(wǎng)的網(wǎng)絡規(guī)模比較大、應用需求也相對復雜，多采用冗余性較強，擁有兩臺核心交換機的“雙星型”網(wǎng)絡拓撲結構。本節(jié)的背景案例就是“雙星型”網(wǎng)絡拓撲結構在高校校園網(wǎng)中的一個典型應用。6.1.1“雙星型”網(wǎng)絡冗余鏈路拓撲結構的選型與設計例1：XX高校是一個具有學生規(guī)模在1萬人左右的普通高校，校園網(wǎng)共分四大區(qū)域：教學樓區(qū)，行政樓區(qū)，實驗樓區(qū)和宿舍區(qū)。網(wǎng)絡應用需求包括：行政管理、財務管理、教學管理、信息服務、教學支持服務等多個方面。校園網(wǎng)的建設目標是成為學校辦公、教學、科研、管理、交流的高性能、高可靠、高效率的數(shù)字化平臺。

基于XX高校的校園網(wǎng)的建設目標和網(wǎng)絡應用需求，在進行總體設計時選擇網(wǎng)絡冗余鏈路完備的“雙星型”網(wǎng)絡拓撲結構較為合適6.1.1“雙星型”網(wǎng)絡冗余鏈路拓撲結構的選型與設計6.1.1“雙星型”網(wǎng)絡冗余鏈路拓撲結構的選型與設計

該校園網(wǎng)網(wǎng)絡拓撲的核心層采用了兩臺銳捷網(wǎng)絡RG-S8606萬兆路由核心交換機，組成萬兆互聯(lián)雙核心結構，彼此互為冗余備份，互連聚合帶寬40Gbps。RG-S8606的背板帶寬高達1.6Tbps，擴展插槽數(shù)達到6個，L2/L3層包轉發(fā)率達到1190/595Mpps，完善的支持IPv6、策略路由、NAT、負載均衡和MPLS等協(xié)議。既充分滿足了整個校園網(wǎng)數(shù)據(jù)和業(yè)務流量的高速路由和互訪的高性能、高效率要求，又具有高可靠優(yōu)越性能。6.1.1“雙星型”網(wǎng)絡冗余鏈路拓撲結構的選型與設計該校園網(wǎng)的總體設計方案具有以下特點：1）本校園網(wǎng)方案設計，本著“萬兆骨干，千兆備份、百兆到桌面”的原則。2）采用“雙星型”網(wǎng)絡拓撲，3）動態(tài)路由設計。

4）網(wǎng)絡核心、樓宇群會聚和接入產(chǎn)品都具有病毒防范、拒絕DDOS攻擊和防掃描等安全功能5）校園網(wǎng)網(wǎng)絡的核心層、匯聚層和接入層所選用的網(wǎng)絡設備具有良好的擴展性，為將來的網(wǎng)絡擴展留下了充分的余地。6.1.2核心層、匯聚層、接入層的設計

校園網(wǎng)建設目標是對校園網(wǎng)進行全網(wǎng)規(guī)劃設計，主要包括：骨干網(wǎng)（包含核心和匯聚以及兩者之間的鏈路）、出口設備、接入層、網(wǎng)絡管理系統(tǒng)和網(wǎng)絡安全系統(tǒng)規(guī)劃。最大程度地設計高的網(wǎng)絡的運行效率、穩(wěn)定性、易管理性和安全性，為學校數(shù)字化校園建設奠定堅實的基礎。

因此，案例中校園網(wǎng)絡設計按照業(yè)界通用的3層網(wǎng)絡模型設計（核心層---匯聚層---接入層）層次化網(wǎng)絡設計模型。采用層次化的網(wǎng)絡結構設計，樹型架構可以充分利用設備的性能、具有網(wǎng)絡結構清晰、擴展性好、易于管理和維護等優(yōu)點。6.1.2核心層、匯聚層、接入層的設計1.校園網(wǎng)核心設計

例1中核心層采用了高冗余度的“雙星型”拓撲結構，即設置兩臺核心交換機，核心交換機之間先通過SC光纖端口進行負載均衡和冗余連接，然后再通過一主一備的冗余鏈路與匯聚層交換機連接，與核心交換機連接的服務器則通過兩塊雙絞線千兆位網(wǎng)卡分別與兩臺核心交換機進行冗余連接。核心交換機主要有四個作用，連接匯聚層交換機，連接服務器，連接到出口防火墻，連接到IDS。6.1.2核心層、匯聚層、接入層的設計

為保障核心的穩(wěn)定和高性能，采用的核心交換機需要具有以下功能：1）采用先進的結構體系設計。核心最好支持先進的CROSSBAR設計架構、提供二層數(shù)據(jù)的高速轉發(fā)；2）提供業(yè)界較高的轉發(fā)性能，具有較高的背板帶寬和包轉發(fā)率，為保障端口的線速轉發(fā)，單板要具有較高的背板帶寬；3）要求核心能提供足夠的千兆光口、千兆電口，同時支持萬兆端口的擴展；4）為保障核心的穩(wěn)定，要求核心設備能提供豐富的安全功能，核心交換機系統(tǒng)本身需要具備豐富的安全特性。6.1.2核心層、匯聚層、接入層的設計5）為滿足以后和Cernet2的互連，建議核心采用支持IPv6的設備，保障以后可以平滑過渡到Cernet2，保護投資；6）為了滿足校園網(wǎng)多種應用，要求核心支持多種組播功能；7）為了實現(xiàn)方便快捷的管理，要求核心交換機提供豐富的管理功能。6.1.2核心層、匯聚層、接入層的設計2.校園網(wǎng)匯聚層設計

校園網(wǎng)絡系統(tǒng)實際上基本可分為校園網(wǎng)絡中心、教學子網(wǎng)、辦公子網(wǎng)、圖書館子網(wǎng)、宿舍子網(wǎng)及后勤子網(wǎng)等。校園網(wǎng)中匯聚交換機的作用就是將各子網(wǎng)內(nèi)的接入交換機匯聚起來，最后通過核心交換機出口出去。如圖6.1.1節(jié)的例1中案例中將教學樓、圖書館、行政樓各設置一個匯聚交換機，學生宿舍由于信息點較多，按地理位置劃分后使用兩個匯聚交換機。6.1.2核心層、匯聚層、接入層的設計匯聚交換機建議具有以下特性：1）具備千兆光口/電口，滿足和核心交換機以及接入交換機之間的互連；2）考慮到各個不同區(qū)域情況不同，千兆電口和千兆光口的數(shù)量也不一致，建議匯聚交換機提供足夠數(shù)量的光口和足夠數(shù)量的電口，可以復合使用，滿足不同環(huán)境的靈活配置；3）為徹底防止ARP病毒泛濫，要求在匯聚交換機上提供可信任ARP表項，能自動綁定用戶的IP地址和MAC地址；4）為滿足以后和Cernet2的互連，建議匯聚采用支持IPv6的設備，保障以后可以平滑過渡到Cernet2，保護投資；6.1.2核心層、匯聚層、接入層的設計5）要求匯聚提供PVLAN功能，這樣采用保護端口時不必占用VLAN資源，可非常方便地隔離用戶之間信息互通，充分保護用戶信息的安全；6）為了保障網(wǎng)絡的穩(wěn)定，對網(wǎng)絡中的廣播報文進行處理，要求匯聚設備支持廣播風暴控制，保障網(wǎng)絡的穩(wěn)定和安全，并提供簡單配置方式，可基于端口速率百分比、端口速率等多種方式進行閥值的設置，方便管理員使用；7）為了提供安全的訪問控制，要求匯聚交換機支持遠程訪問的源IP授權控制；6.1.2核心層、匯聚層、接入層的設計8）為了保障網(wǎng)絡的安全，控制非法用戶接入網(wǎng)絡，保證合法用戶合理化使用網(wǎng)絡，要求匯聚設備支持多種安全功能，如：端口安全、專家級ACL、時間ACL、基于應用數(shù)據(jù)流的帶寬限速、多元素綁定等等，滿足學校加強對訪問者進行控制、阻止非授權用戶通信的需求；9）為了實現(xiàn)方便快捷的管理，要求匯聚交換機提供豐富的管理功能。如：支持CLI(需兼容業(yè)界主流標準)、SNMPv1/v2/v3、Telnet、Console、RMON、Web管理、SSH、支持SNTP、支持Syslog等。6.1.2核心層、匯聚層、接入層的設計3.校園網(wǎng)接入層設計

網(wǎng)絡接入層計算機數(shù)量大，訪問流量相對比較大，所以建議接入層到匯聚層采用1000M互連。另外，接入層是部署網(wǎng)絡安全的重要區(qū)域，如果接入設備不具備豐富的安全功能，就無法對常見的病毒和攻擊從最低層進行防范，所以建議采用安全接入交換。同時網(wǎng)絡管理也是比較重要的，如果沒有該功能，那么網(wǎng)絡管理的難度將加大，故障排查不方便，所以建議采用可網(wǎng)管交換機。

接入層交換機的選擇上，可以根據(jù)各子網(wǎng)的特點進行不同的選擇。6.1.2核心層、匯聚層、接入層的設計

所以接入層設備設計，要求接入層設備具備以下特點：1）提供1000M上行口，實現(xiàn)和匯聚交換機的千兆互連，為提供靈活的配置特性，滿足不同信息點數(shù)的需求，要求能支持堆疊功能，并能實現(xiàn)混合堆疊，提供靈活的設備配置；2）為了保障網(wǎng)絡的安全和穩(wěn)定，建議接入交換機提供多種安全功能。如：支持端口與IP和MAC地址的同時綁定；支持多種硬件ACL策略，支持標準IPACL、擴展IPACL、擴展MACACL；支持IEEE802.1x，支持端口動態(tài)綁定IP和MAC地址，結合認證計費系統(tǒng)可嚴格控制用戶認證前后身份始終如一，并有效管理用戶IP地址分配，控制用戶訪問內(nèi)外網(wǎng)的權限；6.1.2核心層、匯聚層、接入層的設計3）為解決目前常見的ARP病毒和攻擊的問題，要求具備全面的防ARP功能。如：支持端口ARP檢查，嚴格防范ARP主機欺騙行為、支持專用的防范ARP網(wǎng)關欺騙功能，保護網(wǎng)關不被欺騙，保障用戶的正常上網(wǎng)；4）為了防止非法組播源任意播放，節(jié)約網(wǎng)絡帶寬，要求接入交換機支持IGMPSnoopingv1/v2/v3，支持IGMP源端口檢查，適應多種組播環(huán)境；5）為了實現(xiàn)方便快捷的管理，要求接入交換機提供豐富的管理功能。如：支持SNMPv1/v2c/v3，支持SSH，保證交換機管理信息的安全性，防止黑客攻擊和控制設備；支持Telnet、Web訪問的源IP授權控制；RMON1/2/3/9，Syslog，支持CLI/Telnet/WEB網(wǎng)管；6）建議接入層交換機采用風扇設計，使得接入交換機在高溫、密封的環(huán)境中可以正常使用。6.1.3IP地址的規(guī)劃及子網(wǎng)的劃分

在本案例中，為了節(jié)省網(wǎng)絡地址空間，同時考慮網(wǎng)絡地址的統(tǒng)一管理和將來擴展的需要，XX學校內(nèi)部網(wǎng)絡地址規(guī)劃的總體設計思路是：大部分用戶采用私有地址空間，為每個VLAN劃分一個C類地址段，網(wǎng)關地址為該網(wǎng)地址空間的第一個可用地址。為了減少路由表的大小和路由振蕩，在分配地址時盡量采用連續(xù)的IP地址，每臺匯聚層交換機上做路由聚合。對于用戶VLAN接口IP，子網(wǎng)掩碼統(tǒng)一采用。對于核心層交換機與匯聚層交換機之間的三層或VLAN接口，IP地址統(tǒng)一采用一個C類地址，子網(wǎng)掩碼統(tǒng)一采用52。對于交換機管理IP，所有設備統(tǒng)一采用一個C類IP地址段。6.1.3IP地址的規(guī)劃及子網(wǎng)的劃分

內(nèi)部地址的分配原則是按照建筑物，對于學生寢室A和學生寢室B、圖書館、會議大廳，由于用戶數(shù)多，流動性大，采用DHCP動態(tài)分配地址；而教學樓1-4號樓、實驗樓1-7號樓、行政樓1-2號樓等都采用靜態(tài)分配的IP地址，再將IP地址與MAC地址綁定，防止地址的盜用，而且通過IP也MAC的綁定也可以增加其安全性。6.2任務2：校園網(wǎng)網(wǎng)絡設備的選型與配置【背景案例】

中興打造XX石油大學校園網(wǎng)23

隨著因特網(wǎng)的快速普及與高速發(fā)展，校園網(wǎng)已經(jīng)成為每個學校必備的信息基礎設施之一，是學校提高教學、科研及管理水平的重要途徑和手段。較之一般的企業(yè)網(wǎng)，校園網(wǎng)面臨更復雜的用戶類型和業(yè)務需求，它不是單純的辦公網(wǎng)絡，而是一個承載教學、辦公自動化、圖書館等多種業(yè)務和應用的平臺，并且有部分網(wǎng)絡資源用來經(jīng)營，因此對投資回報有更高的要求，也就對承建校園網(wǎng)絡的團隊提出了高要求。在XX石油大學新校區(qū)網(wǎng)絡建設中，中興通訊充分展現(xiàn)了成熟與專業(yè)。6.2任務2：校園網(wǎng)網(wǎng)絡設備的選型與配置6.2任務2：校園網(wǎng)網(wǎng)絡設備的選型與配置【本節(jié)導讀】

網(wǎng)絡設備的選型屬于技術方案里面的一個部分，根據(jù)不同需求特點選擇適合的網(wǎng)絡設備，是充分發(fā)揮校園網(wǎng)作用的前提，前面小節(jié)提到過校園網(wǎng)的分層設計和校園網(wǎng)內(nèi)劃分的子網(wǎng)，那么，選擇不同層次和不同子網(wǎng)內(nèi)的網(wǎng)絡設備將是本節(jié)的一個內(nèi)容，另外，校園網(wǎng)的服務應用時建立在服務器之上的，如何選擇合適的服務器也是需要關注的問題。最后，將對部分設備的一些配置過程進行闡述。6.2.1服務器、交換機、路由器的選型

為了更好的理解校園網(wǎng)服務器、交換機、路由器等主要網(wǎng)絡設備的選型方法，首先，對6.1.1節(jié)的例1中（詳見圖6-3）所選的網(wǎng)絡設備作一個歸納和總結6.2.1服務器、交換機、路由器的選型1.服務器的選型

大規(guī)模校園網(wǎng)由于用戶多、范圍廣，因此，對服務器的負荷量要求較高。其間更涉及多個多媒體教室、整個校園的辦公自動化，且數(shù)據(jù)傳輸、系統(tǒng)安全、保密性都比中小型網(wǎng)絡結構要求高。因此，服務器不但要性能優(yōu)越，更要功能齊全。選擇一：聯(lián)想萬全R680G7選擇二：IBMSystemx3500M36.2.1服務器、交換機、路由器的選型

聯(lián)想R680G7服務器機箱形態(tài)是4U機架式，配備英特爾?至強?處理器XeonE7-48071.86G，內(nèi)存標配為8G，最大支持64個DIMM，支持ECC，最大支持8塊熱插拔SAS硬盤，4個千兆網(wǎng)卡。

IBMSystemx3500M3具備可選機架安裝能力的5U塔式服務器，多達2個六核英特爾?至強?X56903.46GHz處理器或四核英特爾?至強?X56873.60GHz處理器，每個處理器插槽的緩存為12MB。內(nèi)存是帶寄存器的1333MHzDDR-3DIMM。6.2.1服務器、交換機、路由器的選型2.交換機選型說明1）核心交換機的選型

結合圖6-3案例中校園網(wǎng)建設的實際情況，建議在中心機房部署一臺高性能萬兆多業(yè)務IPv6核心路由交換機，為了滿足實際網(wǎng)絡的需要和未來的升級擴展，該核心交換機要求：支持各種模塊熱插拔、支持千兆端口、支持萬兆端口、支持鏈路聚合IEEE802.3ad、支持三層協(xié)議、具有較高的背板帶寬和包轉發(fā)率、支持三種生成樹、支持802.1x、各種QOS和組播協(xié)議的支持等。選擇一：RG-S8600選擇二：H3CS7500E(X)6.2.1服務器、交換機、路由器的選型

RG-S8600（圖6-7）是銳捷網(wǎng)絡推出的面向十萬兆平臺設計的下一代高密度多業(yè)務IPv6核心路由交換機，滿足未來以太網(wǎng)絡的應用需求，支持下一代的以太網(wǎng)100G速率接口，提供14橫插槽設計、10豎插槽設計和6橫插槽設計三種主機：RG-S8614、RG-S8610和RG-S8606。H3CS7500E(X)系列包括S7510E（12槽）、S7508E-X（14槽）、S7506E（8槽）、S7506E-V（垂直8槽）、H3CS7506E-S（8槽）、S7503E（5槽）、7503E-S（3槽）和S7502E(4槽)8款產(chǎn)品6.2.1服務器、交換機、路由器的選型2）匯聚交換機選型

如圖6-3案例，該學校校園網(wǎng)建設的實際情況，需要在各個樓層區(qū)域布置多臺匯聚交換機，為了滿足實際網(wǎng)絡的需要，建議在部署RG-S5760匯聚交換機或H3CS5120-EI。具體特點如下RG-S5760交換機H3CS5120-EI交換機6.2.1服務器、交換機、路由器的選型3）接入交換機選型

根據(jù)圖6-3案例中學校的實際情況，在辦公和教學信息點上，都部署安全接入交換機。在機房位置，配置可網(wǎng)管接入交換機作為機房的接入交換機。

為了滿足實際網(wǎng)絡環(huán)境的需要，對于安全接入交換機都要求：較高的背板帶寬和包轉發(fā)率、支持三種生成樹協(xié)議、支持基于協(xié)議的網(wǎng)絡訪問控制、具有較高的安全性能、支持IP地址+MAC地址+交換機端口綁定、支持802.1x、各種QOS的支持等。

選擇RG-S2600或H3CS3100-EI系列交換機6.2.1服務器、交換機、路由器的選型RG-S2600E/P交換機（如圖6-11所示）是銳捷網(wǎng)絡為構架安全穩(wěn)定的網(wǎng)絡推出的基于新一代硬件架構的安全智能交換機，充分融合了網(wǎng)絡發(fā)展需要的高性能、高安全、多業(yè)務、易用性特點，并融入了IPv6的特性，為用戶提供全新的技術特性和解決方案。H3CS3100-EI系列交換機（如圖6-12所示）是H3C公司為構建高安全、高智能網(wǎng)絡需求而專門設計的新一代以太網(wǎng)交換機產(chǎn)品，在滿足高性能接入的基礎上，提供更全面的安全接入策略和更強的網(wǎng)絡管理維護易用性，是理想的安全易用接入層交換機。6.2.1服務器、交換機、路由器的選型

根據(jù)圖6-

3案例的學校校園網(wǎng)建設的實際情況，需要在網(wǎng)絡出口部署一臺萬兆路由器，專門提供NAT，并在一定程度上控制網(wǎng)絡攻擊和病毒，并且能提供基于IP的流量控制功能。建議采用銳捷RG-RSR7708路由器，或者H3CSR8800路由器。6.2.2交換機端口隔離及配置

端口隔離技術，是一種實現(xiàn)在同一個VLAN中的客戶端口間以足夠的隔離度來保證一個客戶端不會收到另外一個客戶端

在校園網(wǎng)中，學生宿舍區(qū)的電腦是最有可能經(jīng)常對外發(fā)送大量廣播的來源，從而造成網(wǎng)絡性能嚴重下降的地方，可以通過端口隔離配置可以有效防范這樣的問題。下面以H3C交換機在同一VLAN下的端口隔離配置為例，介紹端口隔離技術的實際應用。的流量的技術。6.2.2交換機端口隔離及配置1）將端口Ethernet1/0/1、Ethernet1/0/2、Ethernet1/0/3加入隔離組。<Device>system-view[Device]interfaceethernet1/0/1[Device-Ethernet1/0/1]port-isolateenable[Device-Ethernet1/0/1]quit[Device]interfaceethernet1/0/2[Device-Ethernet1/0/2]port-isolateenable[Device-Ethernet1/0/2]quit[Device]interfaceethernet1/0/3[Device-Ethernet1/0/3]port-isolateenable6.2.2交換機端口隔離及配置2）配置端口Ethernet1/0/4為隔離組的上行端口。[Device-Ethernet1/0/3]quit[Device]interfaceethernet1/0/4[Device-Ethernet1/0/4]port-isolateuplink-port[Device-Ethernet1/0/4]return3）顯示隔離組中的信息。<Device>displayport-isolategroup

Port-isolategroupinformation:

Uplinkportsupport:YES

GroupID:1

Uplinkport:Ethernet1/0/4

Ethernet1/0/1

Ethernet1/0/2

Ethernet1/0/36.2.3多生成樹協(xié)議MSTP的配置

在6.1.1節(jié)的例1中（如圖6-3所示），在學生宿舍子網(wǎng)中，匯聚層有兩臺交換機，兩臺匯聚交換機之間進行了端口聚合，同時接入層交換機與兩臺匯聚層交換機之間都有冗余鏈路連線，這樣雖然實現(xiàn)了通信線路上的雙保險，但是也形成了環(huán)路。為解決環(huán)路問題，就需要使用生成樹協(xié)議。生成樹協(xié)議VRRP技術常與MSTP技術6.2.3多生成樹協(xié)議MSTP的配置6.2.4三層VLAN的劃分及通信配置

三層交換機具備網(wǎng)絡層的功能，實現(xiàn)VLAN相互訪問的原理是：利用三層交換機的路由功能，通過識別數(shù)據(jù)包的IP地址，查找路由表進行選路轉發(fā)。三層交換機利用直連路由可以實現(xiàn)不同VLAN之間的互相訪問。三層交換機給接口配置IP地址，采用SVI（交換虛擬接口）的方式實現(xiàn)VLAN間互連。SVI是指為交換機中的VLAN創(chuàng)建虛擬接口，并且配置IP地址。

簡單的說，三層交換技術就是“二層交換技術+三層轉發(fā)”。6.2.4三層VLAN的劃分及通信配置1．三層VLAN配置方法

實現(xiàn)三層VIAL的配置，需要完成的工作如下：設置VTPDOMAIN（核心、匯聚交換機上都設置）配置中繼（核心、匯聚交換機上都設置）創(chuàng)建VLAN（在server上設置）將交換機端口劃入VLAN6.2.4三層VLAN的劃分及通信配置2．三層VLAN配置1）設置VTPDOMAIN（VTPDOMAIN稱為管理域）2）配置中繼。為了保證管理域能夠覆蓋所有的匯聚交換機，必須配置中繼。3）創(chuàng)建VLAN。建立管理域后，就可以創(chuàng)建VLAN了。4）將交換機端口劃入VLAN。5）配置三層交換6）給VLAN所有的節(jié)點分配靜態(tài)IP地址。7）給VLAN所有的節(jié)點分配動態(tài)IP地址。8）啟用中繼代理9）啟用路由6.3任務3：校園網(wǎng)系統(tǒng)軟件的選型與配置【背景案例】XXX大學校園網(wǎng)系統(tǒng)軟件的配置24

升級改造后的XXX大學校園網(wǎng)（網(wǎng)絡拓撲見2.2節(jié)中的圖2-17）的網(wǎng)絡系統(tǒng)軟件主要分為：網(wǎng)絡操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡應用系統(tǒng)、網(wǎng)絡管理系統(tǒng)等四種類型。為適應新形勢下的網(wǎng)絡應用需求，校園網(wǎng)的系統(tǒng)軟件在選型和配置上做了較大的調(diào)整，具體如下：

1．網(wǎng)絡操作系統(tǒng)……2．數(shù)據(jù)庫系統(tǒng)……3．網(wǎng)絡應用系統(tǒng)……4。網(wǎng)絡管理系統(tǒng)……6.3任務3：校園網(wǎng)系統(tǒng)軟件的選型與配置【本節(jié)導讀】

在背景案例中可以看到，XXX大學校園網(wǎng)系統(tǒng)軟件的配置情況，所需軟件系統(tǒng)包括網(wǎng)絡操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡應用系統(tǒng)和網(wǎng)絡管理系統(tǒng)等，這些軟件是校園網(wǎng)絡的重要組成和支撐，處理系統(tǒng)軟件，校園網(wǎng)還需要很多應用軟件，由于本教程重在組網(wǎng)，因此，只在本節(jié)簡要討論校園網(wǎng)常用系統(tǒng)軟件、代理服務器軟件和VOD軟件的選型及配置。6.3.1C/S、B/S服務器系統(tǒng)軟件的選型

一個大型的校園網(wǎng)往往需要架設多個用途不同的網(wǎng)站和應用軟件，有些軟件平臺采用C/S構架（Client/Server，客戶機/服務器模式），有的則采用B/S構架（Browser/Server，瀏覽器/服務器模式）。其中，C/S構架軟件以其優(yōu)良的安全性、穩(wěn)定性、可靠性和成熟性，在局域網(wǎng)應用中仍然是當今的主流，在校園網(wǎng)中主要用于以對內(nèi)服務為主的網(wǎng)絡應用，如OA、FTP、E-mail、內(nèi)部業(yè)務數(shù)據(jù)庫管理等等。B/S構架的網(wǎng)站則以其優(yōu)越的客戶端開放性、簡化性、靈活性和適應性，逐步成為基于Web的廣域網(wǎng)應用的主角，在校園網(wǎng)中主要用于以對外服務為主的網(wǎng)絡應用，如面向社會、開放式的合作辦學、認證培訓和教學支持服務等等。6.3.1C/S、B/S服務器系統(tǒng)軟件的選型6.3.1C/S、B/S服務器系統(tǒng)軟件的選型

在本節(jié)的背景案例中，XXX大學的開放學院網(wǎng)站、繼續(xù)教育學院網(wǎng)站，就是一種以開放方式面向社會開展合作辦學、認證培訓，以及學歷、非學歷教育的教學支持服務的典型應用。這些網(wǎng)站充分發(fā)揮了B/S構架的優(yōu)勢，面對分布在各市、縣中的眾多外網(wǎng)用戶，只要其電腦能上網(wǎng)，無論采用何種瀏覽器，也不管多大的上網(wǎng)帶寬，均能方便的從B/S網(wǎng)站上獲得招生、注冊、選課、教學、培訓、測評等“在線服務”。6.3.2WindowsServer2008的安裝與配置

在本節(jié)的背景案例中，服務器操作系統(tǒng)有WindowsServer2003SP2企業(yè)版和WindowsServer2008R2企業(yè)版，用于學校主網(wǎng)站、教學服務網(wǎng)站、數(shù)字圖書館網(wǎng)站、在線網(wǎng)考等服務器。下面以WindowsServer2008為例介紹服務器的安裝和配置。 MicrosoftWindowsServer2008R2是新一代WindowsServer操作系統(tǒng)，可以幫助網(wǎng)絡管理人員最大限度地控制其基礎結構，同時提供空前的可用性和管理功能，建立比以往更加安全、可靠和穩(wěn)定的服務器環(huán)境。WindowsServer2008R2可確保任何位置的所有用戶都能從網(wǎng)絡獲取完整的服務，從而為組織帶來新的價值。6.3.3代理服務器軟件的選型與配置

代理服務器（ProxyServer）是個人網(wǎng)絡和Internet服務商之間的中間代理機構，它負責轉發(fā)合法的網(wǎng)絡信息，對轉發(fā)進行控制和登記。代理服務器作為連接Internet(互聯(lián)網(wǎng))與Intranet（局域網(wǎng)）的橋梁，在實際應用中發(fā)揮著極其重要的作用，它可用于多個目的，最基本的功能是連接，將局域網(wǎng)的計算機連接到互聯(lián)網(wǎng)中，此外還包括安全性，緩存，內(nèi)容過濾，訪問控制管理等功能，對網(wǎng)站繼續(xù)過濾和控制功能。本文以海蜘蛛路由代理服務器為例介紹代理服務器的選型與配置。6.3.3代理服務器軟件的選型與配置1.代理服務器的功能1)充當局域網(wǎng)與外部網(wǎng)絡的連接出口2）作為防火墻3）網(wǎng)址過濾和訪問權限限制4）提高訪問速度2.海蜘蛛路由代理服務器配置

海蜘蛛路由代理服務器運行于x86-CPU硬件架構（即普通PC機）上，它基于Linux系統(tǒng)內(nèi)核開發(fā)，支持WEB與命令行模式管理，下面以海蜘蛛路由代理服務器為例介紹代理服務器的配置。點擊打開配置過程6.3.4VOD流媒體服務器的安裝與配置1.流媒體簡介

流媒體文件是目前非常流行的網(wǎng)絡媒體格式之一，這種文件允許用戶一邊下載一邊播放，大大減少了用戶等待播放的時間，同時通過網(wǎng)絡播放流媒體文件時，文件本身不會在本地磁盤中存儲，這樣就節(jié)省了大量的磁盤空間開銷。正是這些優(yōu)點，使得流媒體文件被廣泛應用于網(wǎng)絡播放。

流媒體服務器的主要功能是以流式協(xié)議（RTP/RTSP、MMS、RTMP等）將視頻文件傳輸?shù)娇蛻舳?，供用戶在線觀看；也可從視頻采集、壓縮軟件接收實時視頻流，再以流式協(xié)議直播給客戶端。6.3.4VOD流媒體服務器的安裝與配置2.流媒體服務器的安裝與配置過程點擊打開配置過程6.4任務4：廣域網(wǎng)接入技術的配置【背景案例】校園網(wǎng)出口順利升級NPE助力XX大學優(yōu)化網(wǎng)絡架構251．項目背景2．銳捷網(wǎng)絡解決之道6.4任務4：廣域網(wǎng)接入技術的配置【本節(jié)導讀】

隨著Internet技術在全球范圍內(nèi)的飛速發(fā)展，IP網(wǎng)絡作為一種最有前景的網(wǎng)絡技術，受到了人們的普遍關注。而作為IP網(wǎng)絡生存、運作、組織的核心——IP路由技術提供了解決IP網(wǎng)絡動態(tài)可變性、實時性、QoS等關鍵技術的一種可能。在眾多的路由技術中，OSPF協(xié)議已成為目前Internet廣域網(wǎng)和Intranet大型校園網(wǎng)、企業(yè)網(wǎng)采用最多、應用最廣泛的路由技術之一。本節(jié)將主要介紹廣域網(wǎng)OSPF路由協(xié)議的配置，同時介紹在各種大型網(wǎng)絡設備配置與管理中經(jīng)常使用的ACL訪問控制、NAT地址轉換技術。6.4.1路由協(xié)議OSPF配置1.OSPF簡介 OSPF是OpenShortestPathFirst（即“開放最短路由優(yōu)先協(xié)議”）的縮寫。它是IETF組織開發(fā)的一個基于鏈路狀態(tài)的自治系統(tǒng)內(nèi)部路由協(xié)議。在IP網(wǎng)絡上，它通過收集和傳遞自治系統(tǒng)的鏈路狀態(tài)來動態(tài)地發(fā)現(xiàn)并傳播路由。它是為克服RIP的缺點在1989年開發(fā)出來的。開放式最短路徑優(yōu)先協(xié)議主要用于在自主系統(tǒng)中的路由器之間傳輸路由信息。相較于RIP協(xié)議，開放式最短路徑優(yōu)先協(xié)議適用網(wǎng)絡的規(guī)模更大，范圍更廣。6.4.1路由協(xié)議OSPF配置OSPF協(xié)議為了減少自身的開銷，提出了以下概念。1）DR

在各類可以多址訪問的網(wǎng)絡中，如果存在兩臺或兩臺以上的路由器，該網(wǎng)絡上要選舉出一個“指定路由器”(DR)?！爸付酚善鳌必撠熍c本網(wǎng)段內(nèi)所有路由器進行LSDB的同步。這樣，兩臺非DR路由器之間就不再進行LSDB的同步。大大節(jié)省了同一網(wǎng)段內(nèi)的帶寬開銷。2）AREA OSPF可以根據(jù)自治系統(tǒng)的拓撲結構劃分成不同的區(qū)域（AREA），這樣區(qū)域邊界路由器（ABR）向其它區(qū)域發(fā)送路由信息時，以網(wǎng)段為單位生成摘要LSA。這樣可以減少自治系統(tǒng)中的LSA的數(shù)量，以及路由計算的復雜度。6.4.1路由協(xié)議OSPF配置2.OSPF協(xié)議主要優(yōu)點1）OSPF是真正的LOOP-FREE（無路由自環(huán)）路由協(xié)議。源自其算法本身的優(yōu)點。（鏈路狀態(tài)及最短路徑樹算法）2）OSPF收斂速度快。3）提出區(qū)域（AREA）劃分的概念，將自治系統(tǒng)劃分為不同區(qū)域后，通過區(qū)域之間的對路由信息的摘要，大大減少了需傳遞的路由信息數(shù)量。也使得路由信息不會隨網(wǎng)絡規(guī)模的擴大而急劇膨脹。4）將協(xié)議自身的開銷控制到最小。5）通過嚴格劃分路由的級別（共分四級），提供更可信的路由選擇。6）良好的安全性，OSPF支持基于接口的明文及md5驗證。7）OSPF適應各種規(guī)模的網(wǎng)絡，最多可達數(shù)千臺。6.4.1路由協(xié)議OSPF配置3.OSPF協(xié)議配置實例

三臺路由處于一個區(qū)域，三臺路由RJA、RJB、RJC之間為NBMA類型，將RJA設定為DR，RJB設定為BDR。配置RJA的廣域網(wǎng)端口IP配置RJA的封裝類型和OSPF類型配置OSPF路由協(xié)議配置RJB，過程與配置RJA類似配置RJC，過程與配置RJB類似RJARJB6.4.2訪問列表ACL的配置

訪問控制列表（AccessControlList，ACL）是路由器和交換機接口的指令列表，在路由器上讀取第三層及第四層包頭中的信息如源地址，目的地址，源端口，目的端口等，根據(jù)預先定義好的規(guī)則對數(shù)據(jù)包進行過濾，從而達到訪問控制的目的。1.訪問控制列表的類型

主要分成兩大類：標準訪問控制列表擴展訪問控制列表6.4.2訪問列表ACL的配置2.訪問控制列表的工作原理ACL是一簇規(guī)則的集合，它應用在路由的某個接口上。對路由器而言，訪問控制列表有兩個方向：出：已經(jīng)過路由的處理，正離開路由接口的數(shù)據(jù)包。入：已到達路由器接口的數(shù)據(jù)包，將被路由處理。如果對接口應用了訪問控制列表，也就是說該組應用了一組規(guī)則，那么路由器將對數(shù)據(jù)包應用該組規(guī)則進行順序檢查。如果匹配第一條規(guī)則，則不在往下檢查，路由器將決定該數(shù)據(jù)包允許通過或拒絕通過。如果不匹配第一條規(guī)則，則依次往下檢查，知道有任何一條規(guī)則配備，路由器將決定該數(shù)據(jù)包允許通過或拒絕通過

。如果沒有任何一條規(guī)則匹配則路由器根據(jù)默認規(guī)則將該數(shù)據(jù)包。數(shù)據(jù)包要么被允許，要么被拒絕。在ACL中，規(guī)則的放置順序是很重要的。一旦找到了某一匹配規(guī)則，就結束比較過程，不再檢查以后的其他規(guī)則。6.4.2訪問列表ACL的配置3.訪問列表的配置

訪問控制列表ACL分很多種，不同場合應用不同種類的ACL。其中最簡單的就是標準訪問控制列表，標準訪問控制列表是通過使用IP包中的源IP地址進行過濾，使用的訪問控制列表號1到99來創(chuàng)建相應的ACL。如果需要對目的地址、端口等其他參數(shù)進行判斷，則可以使用擴展的訪問列表。這里將兩種列表統(tǒng)稱為基本訪問列表。

基本訪問列表的配置包括以下兩步：定義基本訪問列表將基本訪問列表應用在特定的接口上6.4.2訪問列表ACL的配置6.4.2訪問列表ACL的配置配置實例點擊打開配置實例6.4.3地址轉換NAT的配置

隨著Internet技術的不斷以指數(shù)級速度增長，