《基于目前局域網(wǎng)技術(shù)的農(nóng)業(yè)產(chǎn)業(yè)研究園網(wǎng)絡(luò)規(guī)劃與仿真研究》10000字（論文）

基于目前局域網(wǎng)技術(shù)的農(nóng)業(yè)產(chǎn)業(yè)研究園網(wǎng)絡(luò)規(guī)劃與仿真研究摘要本文以建設(shè)現(xiàn)代農(nóng)業(yè)園區(qū)網(wǎng)絡(luò)工程為背景，研究了現(xiàn)代農(nóng)業(yè)產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)的特點。根據(jù)產(chǎn)業(yè)園區(qū)的實際情況和未來發(fā)展，結(jié)合目前局域網(wǎng)建設(shè)的主流技術(shù)，設(shè)計了完整的園區(qū)網(wǎng)絡(luò)建設(shè)方案，提出了安全部署等關(guān)鍵技術(shù)的選擇，對各類網(wǎng)絡(luò)連接設(shè)備的選型、網(wǎng)絡(luò)IP地址的規(guī)劃和管理進行了詳細設(shè)計，制定了切實可行的實施方案，確保園區(qū)網(wǎng)絡(luò)高效、穩(wěn)定、安全運行。關(guān)鍵詞：智慧園區(qū)；三層架構(gòu)；OSPF；VLAN；園區(qū)網(wǎng)規(guī)劃與設(shè)計目錄TOC\o"1-2"\h\u2334第1章緒論 第1章緒論1.1課題研究背景與意義隨著信息科技高速發(fā)展對人們的生產(chǎn)、生活帶來的重大影響，大量的智慧型科技現(xiàn)代化園區(qū)紛紛破土而出。而利用云計算技術(shù)、大數(shù)據(jù)技術(shù)、物聯(lián)網(wǎng)技術(shù)、移動互聯(lián)技術(shù)等新興技術(shù)融合形成跨平臺服務(wù)的現(xiàn)代農(nóng)業(yè)產(chǎn)業(yè)園也是智慧型科技現(xiàn)代化園區(qū)的代表之一，功能多樣化的農(nóng)業(yè)示范園區(qū)是作為現(xiàn)代集約型農(nóng)業(yè)示范窗口而產(chǎn)生的，是我國傳統(tǒng)農(nóng)業(yè)向現(xiàn)代農(nóng)業(yè)轉(zhuǎn)型的必然之路。其對區(qū)域農(nóng)業(yè)的生產(chǎn)和農(nóng)業(yè)現(xiàn)代化的發(fā)展具有帶頭示范的作用，這就決定了其在滿足農(nóng)業(yè)生產(chǎn)這一基本功能下，不斷呈現(xiàn)出多層次、多功能的特點。如具有標準種植，加以示范的功能；農(nóng)業(yè)氣象科學宣傳普及的作用等REF_Ref6370\r\h[1]，在此前提下不同系統(tǒng)之間實現(xiàn)信息互通，打破原本存在的信息孤島對園區(qū)發(fā)展就顯得尤為重要。因此，本文從當前農(nóng)業(yè)園區(qū)的實際情況和未來發(fā)展出發(fā)，根據(jù)當前智慧園區(qū)網(wǎng)絡(luò)建設(shè)的主流技術(shù)，設(shè)計了較為完整的農(nóng)業(yè)產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)方案，努力將產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)成為高可用、高穩(wěn)定、可管理、擴容升級順暢的高效網(wǎng)絡(luò)。為今后數(shù)字農(nóng)業(yè)的發(fā)展和建設(shè)打下堅實的基礎(chǔ)。建成后的產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)應將園區(qū)的基礎(chǔ)工業(yè)管理、人事、科研、辦公自動化等系統(tǒng)連接起來，實現(xiàn)信息共享，提供多種服務(wù)互聯(lián)互通。1.2國內(nèi)農(nóng)業(yè)產(chǎn)業(yè)園區(qū)及園區(qū)網(wǎng)現(xiàn)狀《國家農(nóng)業(yè)科技園區(qū)發(fā)展規(guī)劃（2018-2025年）》著力集聚創(chuàng)新資源，培育農(nóng)業(yè)農(nóng)村發(fā)展新動力，著力拓展農(nóng)村創(chuàng)新創(chuàng)業(yè)、成果展示、科技創(chuàng)新、成果轉(zhuǎn)化與推廣、農(nóng)民職業(yè)培訓等功能。強化創(chuàng)新鏈，支撐產(chǎn)業(yè)鏈，激活人才鏈，提升價值鏈，共享利益鏈，努力推動園區(qū)成為農(nóng)業(yè)創(chuàng)新驅(qū)動發(fā)展試驗區(qū)，農(nóng)業(yè)供給側(cè)結(jié)構(gòu)性改革試驗區(qū)和農(nóng)業(yè)高新技術(shù)產(chǎn)業(yè)集聚區(qū)，打造中國特色農(nóng)業(yè)自主創(chuàng)新示范區(qū)。到2020年，構(gòu)建以國家農(nóng)業(yè)科技園區(qū)為導向、省農(nóng)業(yè)科技園區(qū)為支撐，層次鮮明、功能互補、特色鮮明、創(chuàng)新發(fā)展的農(nóng)業(yè)科技園區(qū)體系。到2025年，建成農(nóng)業(yè)科技成果培育轉(zhuǎn)化創(chuàng)新高地、農(nóng)業(yè)高新技術(shù)產(chǎn)業(yè)和服務(wù)業(yè)集聚的核心載體、農(nóng)村群眾創(chuàng)業(yè)創(chuàng)新的重要陣地，城鄉(xiāng)一體化發(fā)展和農(nóng)村綜合改革示范模式[1]。而我國園區(qū)網(wǎng)絡(luò)化和信息化建設(shè)具有起步晚、發(fā)展快、跨越大的特點。目前，大多數(shù)園區(qū)網(wǎng)絡(luò)的體系結(jié)構(gòu)、規(guī)模和應用還不完善，網(wǎng)絡(luò)設(shè)備和計算機設(shè)備的功能沒有得到最大化。因此，如何合理地管理和利用設(shè)備，進一步發(fā)揮各種設(shè)備的潛在價值，實現(xiàn)園區(qū)各業(yè)務(wù)系統(tǒng)的集成，提高網(wǎng)絡(luò)使用效率，將是下一步網(wǎng)絡(luò)建設(shè)的重點工作[3]。1.3網(wǎng)絡(luò)建設(shè)目標與原則1.3.1網(wǎng)絡(luò)建設(shè)目標農(nóng)業(yè)產(chǎn)業(yè)園區(qū)局域網(wǎng)建設(shè)的總體目標是在國內(nèi)成熟的智能園區(qū)網(wǎng)絡(luò)技術(shù)的指導下，構(gòu)建高交換容量的園區(qū)網(wǎng)絡(luò)系統(tǒng)。該網(wǎng)絡(luò)能夠?qū)崿F(xiàn)全面的地理覆蓋，滿足辦公和生產(chǎn)生活的基本要求，確保產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)成為高可用、高穩(wěn)定、可管理、擴容升級的高效網(wǎng)絡(luò)[2]。1.3.2網(wǎng)絡(luò)建設(shè)原則本文從園區(qū)的實際需求出發(fā)，強調(diào)設(shè)計方案與當?shù)貙嶋H情況相結(jié)合，考慮網(wǎng)絡(luò)的高性能、高可靠性、可管理性和可擴展性。設(shè)計原則如下：1、高可靠性及穩(wěn)定性農(nóng)業(yè)產(chǎn)業(yè)園區(qū)的網(wǎng)絡(luò)應能提供連續(xù)可靠的網(wǎng)絡(luò)服務(wù)，因此必須考慮園區(qū)網(wǎng)絡(luò)的整體結(jié)構(gòu)進行高可靠性設(shè)計。網(wǎng)絡(luò)設(shè)計中應提供多級冗余備份，一旦出現(xiàn)故障，可在最短時間內(nèi)恢復。2、高性能設(shè)計方案時，在充分了解網(wǎng)絡(luò)應用需求的前提下，要綜合考慮網(wǎng)絡(luò)用戶的增長和使用設(shè)備的數(shù)量。在此前提下，進行網(wǎng)絡(luò)設(shè)計和規(guī)劃，有效延長網(wǎng)絡(luò)使用時間。3、統(tǒng)一性和易于管理性在農(nóng)業(yè)產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)中，要遵循當前產(chǎn)業(yè)園區(qū)發(fā)展的實際情況。在設(shè)計過程中，需要充分考慮所設(shè)計的網(wǎng)絡(luò)體系結(jié)構(gòu)的可管理性，提供及時發(fā)現(xiàn)和消除網(wǎng)絡(luò)故障的能力。方便了網(wǎng)絡(luò)管理人員的維護和管理，降低了網(wǎng)絡(luò)運維的操作難度。良好的擴展性考慮到未來網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)設(shè)備的增長，以便順利過渡到新的技術(shù)和設(shè)備。因此，在產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)的設(shè)計中，有必要考慮產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)在未來發(fā)展中的便利性，以支持更多的用戶需求。因此，在網(wǎng)絡(luò)設(shè)計中，需要采用模塊化、層次化的網(wǎng)絡(luò)拓撲設(shè)計方法，使網(wǎng)絡(luò)結(jié)構(gòu)易于擴展REF_Ref6638\r\hREF_Ref6638\r\h[3]1.4建設(shè)需求1.4.1網(wǎng)絡(luò)多出口需求網(wǎng)絡(luò)多出口能夠?qū)崿F(xiàn)與因特網(wǎng)連接；采用NAT技術(shù)實現(xiàn)對互聯(lián)網(wǎng)的訪問。1.4.2網(wǎng)絡(luò)安全需求：為保證網(wǎng)絡(luò)出口安全，建立了嚴格的訪問控制列表（ACL），不允許外部網(wǎng)絡(luò)訪問內(nèi)部服務(wù)器。互聯(lián)網(wǎng)是一個開放的網(wǎng)絡(luò)，產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)接入互聯(lián)網(wǎng)后，必然會存在影響網(wǎng)絡(luò)安全的不確定因素，因此出口安全主要是防范網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)病毒為了保證出口網(wǎng)絡(luò)的安全，建立了嚴格的訪問控制列表（ACL），產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)接入互聯(lián)網(wǎng)后，不可避免的存在不確定因素，所以出口的安全性非常重要，主要是防止網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)病毒[3]。內(nèi)網(wǎng)安全：核心層和匯聚層之間嚴格的訪問控制列表。內(nèi)網(wǎng)主要作用是防止網(wǎng)絡(luò)設(shè)備受到的攻擊和病毒的傳播，同時也要進行訪問認證REF_Ref6638\r\h[3]。1.4.3管理需求1、能通過遠程連接管理所有網(wǎng)絡(luò)設(shè)備，并對網(wǎng)絡(luò)中的主要設(shè)備和干線進行監(jiān)控。2、通過跨物理子網(wǎng)的可配置虛擬網(wǎng)絡(luò)可以有效地限制網(wǎng)絡(luò)接入，使每個用戶在不同的接入方式下都能獲得自己的權(quán)限。3、實現(xiàn)全網(wǎng)IP地址動態(tài)分配。4、實現(xiàn)各網(wǎng)段之間的通信方便一個管理軟件統(tǒng)一管理。

第2章關(guān)鍵技術(shù)本設(shè)計方案涉及的產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)的關(guān)鍵技術(shù)包括：端口聚合、動態(tài)路由OSPF協(xié)議、VLAN、trunk、VTP、NAT、DHCP等，具體介紹如下。2.1端口聚合EtherChannel端口聚合（Ethernetchannel）又稱以太網(wǎng)通道，廣泛應用于交換機連接，尤其是核心與匯聚之間的連接。端口聚合的優(yōu)點是將兩個或多個端口聚合形成一個聚合組，以達到負載共享和可靠性連接的目的，但同時會丟失路徑冗余。端口聚合有三種聚合方法：手工匯聚、動態(tài)Lacp匯聚和靜態(tài)Lacp匯聚。在實際應用中，端口聚合需要基本的配置保持一致，也就是聚合的端口要么是Trunk端口要么是Access端口，不同端口不能混入一個聚合組。端口聚合主要包括VLAN、端口屬性、STP、QoS等基本配置。端口聚合技術(shù)可以通過低成本的多端口聚合來提高帶寬。例如，通過端口聚合使用中繼鏈路類型，可以將兩個獨立的1000M端口聚合為2000M鏈路。其成本僅為多占用端口和連線，但能有效提高子網(wǎng)的上下行速度，更有效地消除網(wǎng)絡(luò)接入瓶頸。另外，trunk能夠自動容錯鏈路和帶寬均衡，這樣即使trunk中的一條鏈路發(fā)生故障，其他鏈路也能正常工作，提高了系統(tǒng)的可靠性REF_Ref6638\r\h[3]。2.2VLAN與TRUNK目前新建產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)大多采用千兆網(wǎng)絡(luò)技術(shù)，核心層交換機采用三層交換機，支持VLAN技術(shù)，突破了地理環(huán)境的限制，工作組可以在子網(wǎng)之間自由移動，而不改變子網(wǎng)的物理連接，組成邏輯工作組或虛擬子網(wǎng)[8]。2.2.1VLAN概述VLAN是一種將交換機劃分為邏輯應用網(wǎng)絡(luò)的技術(shù)，它可以接收同一VLAN中的廣播包，而其他VLAN的端口不能接收廣播包。VLAN提供以下一些特性：簡化了終端的刪除、添加和更改。2、控制通信活動，協(xié)商VLAN中的廣播和多播端口。。3、VLAN可以限制廣播域中的用戶接入數(shù)，控制VLAN的大小和配置，控制用戶數(shù)REF_Ref7027\r\h[4]。2.2.2TRUNK的介紹Trunk是一種點到點鏈路封裝技術(shù)，其主要功能是通過一條鏈路連接多個交換機，從而擴展VLAN配置此外，通過中繼技術(shù)和上級交換機的分層也可以擴展端口數(shù)，實現(xiàn)近似堆疊的功能，從而擴展整個網(wǎng)絡(luò)。Trunk的VLAN范圍默認為1-1005，可以修改，但必須有一個Trunk協(xié)議。當使用中繼時，相鄰端口上的協(xié)議應該是一致的[5]。2.3網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）NAT是針對IP地址不足的問題，提出的一種有效的地址轉(zhuǎn)換方法。2.3.1NAT概述在網(wǎng)絡(luò)內(nèi)可以自定義私網(wǎng)IP地址，所有的計算機根據(jù)定義私網(wǎng)IP地址進行通信。當內(nèi)部計算機要與外部網(wǎng)絡(luò)進行通信時，具有NAT功能的設(shè)備負責內(nèi)部IP地址的轉(zhuǎn)換2.3.2NAT的應用環(huán)境內(nèi)部網(wǎng)絡(luò)通過NAT與外部互聯(lián)網(wǎng)隔離。外部用戶不知道NAT設(shè)置的內(nèi)部IP地址，通過NAT功能可實現(xiàn)多用戶共享合法的IP地址。2.3.3設(shè)置NAT的條件具有NAT功能的路由器應至少有一個內(nèi)部端口和一個外部端口。內(nèi)部端口連接使用私網(wǎng)IP地址，內(nèi)部端口可以是任何路由器端口。外部端口連接到外部網(wǎng)絡(luò)。外部端口可以是路由器上的任何端口[6]。2.4VTPVTP（VLAN中繼協(xié)議）是一種VLAN中繼協(xié)議，也稱為虛擬局域網(wǎng)中繼協(xié)議。它最重要的作用是最小化在進行更改時可能出現(xiàn)的配置不一致性VTP（VLAN中繼協(xié)議）是一種VLAN中繼協(xié)議，其最重要的作用的是盡量減少更改時可能出現(xiàn)的配置沖突。它是OSI參考模型第二層的通信協(xié)議，主要管理同一域中VLAN的建立、刪除和重命名，VTP通過網(wǎng)絡(luò)中的ISL幀或Cisco專用DTP幀保持VLAN配置的一致性。VTP可以在系統(tǒng)級添加、刪除和調(diào)整VLAN，并自動向網(wǎng)絡(luò)中的其他交換機廣播信息。VTP客戶機將自動了解VTP服務(wù)器的VLAN信息。[7]。2.5DHCPsnoopingDHCPSnooping技術(shù)可以用來檢測和監(jiān)控DHCP信息，其主要功能是隔離私有DHCP服務(wù)器，防止DHCP服務(wù)器引起的網(wǎng)絡(luò)震蕩。當交換機開啟DHCP監(jiān)聽時，將監(jiān)聽DHCP消息并從DHCP請求和DHCPACK中提取IP地址和MAC地址。此外，DHCP偵聽允許將物理端口設(shè)置為受信任或不受信任的端口。受信任的端口可以正常接收和轉(zhuǎn)發(fā)DHCPoffer消息，不受信任的端口將丟棄接收到的DHCPoffer消息。這可確?？蛻舳藦暮戏ǖ腄HCP服務(wù)器獲得IP地址[8]。此外，DHCP偵聽允許指定是否信任物理端口。受信任端口正常發(fā)布DHCP消息，不受信任的端口將丟棄接收到的DHCPoffer消息。保證客戶從正確的DHCP服務(wù)器接收IP地址。確保網(wǎng)絡(luò)安全安全。2.6動態(tài)ARP監(jiān)測(DAI)CiscoDAI又稱動態(tài)ARP監(jiān)測。CiscoDAI為交換機提供IP地址和MAC地址之間的動態(tài)綁定關(guān)系，Dai是基于DHCP窺探綁定表的，對于沒有DHCP的模塊，可以根據(jù)DAI的DHCP監(jiān)聽綁定表添加靜態(tài)ARP訪問列表，可以通過對VLAN配置DAI?？梢源蜷_或關(guān)閉相同VLAN接口的DAI?？刂艫RP請求報文的數(shù)量以禁用ARP攻擊。[9]。2.7源IP防護(IPSourceGuard)IP源安全基本作用是防止IP地址欺騙?；贒HCP監(jiān)控，根據(jù)DHCP監(jiān)控綁定表生成IP源綁定表，自動在端口上加載相應的策略來檢測流量，發(fā)送符合要求的數(shù)據(jù)，丟棄不符合要求的數(shù)據(jù)。對于IP地址固定的服務(wù)器，應使用靜態(tài)IP源綁定將靜態(tài)綁定條目添加到IP源綁定表中。IP源防護只支持二層接口，包括訪問接口或中繼接口。不可靠端口上的IP源過濾有兩種保護策略，一種是源IP地址過濾，另一種是源IP地址過濾和源MAC地址過濾[10]。2.8動態(tài)路由協(xié)議OSPFOSPF（openshortestpathfirst）是互聯(lián)網(wǎng)上應用最廣泛的內(nèi)部網(wǎng)關(guān)路由協(xié)議，主要為自治系統(tǒng)（AS）提供動態(tài)路由。其特點如下:能適應各種規(guī)模的網(wǎng)絡(luò)，最大能支持數(shù)百個路由器。當快速收斂網(wǎng)絡(luò)的拓撲結(jié)構(gòu)發(fā)生變化時，會立即發(fā)送更新消息以同步自治系統(tǒng)中的變化。3、OSPF中沒有自循環(huán)。根據(jù)采集到的鏈路狀態(tài)，采用OSPF算法計算路由，保證算法本身不會產(chǎn)生自環(huán)路由。4、區(qū)域劃分允許將自治系統(tǒng)劃分為多個區(qū)域，進一步抽象區(qū)域間傳輸?shù)穆酚尚畔?，從而減少占用的網(wǎng)絡(luò)帶寬。5、等價路由支持到同一目的地的多條等價路由[11]。

第3章網(wǎng)絡(luò)總體設(shè)計3.1網(wǎng)絡(luò)整體架構(gòu)某產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)主要包括internet上聯(lián)、服務(wù)器區(qū)、辦公區(qū)、科普展示區(qū)、產(chǎn)品展示銷售區(qū)、種植采摘區(qū)、休閑度假區(qū)、生產(chǎn)體驗區(qū)共八個功能區(qū)，并且各個功能區(qū)直接與核心區(qū)相連。下面是網(wǎng)絡(luò)框架圖3.1圖3.1網(wǎng)絡(luò)框架圖3.2產(chǎn)業(yè)園區(qū)網(wǎng)網(wǎng)絡(luò)邏輯層次產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)采用核心層、匯聚（分發(fā)）層以及接入層的網(wǎng)絡(luò)架構(gòu)。3.2.1核心層核心層提供高速三層交換的骨干。核心層不連接終端系統(tǒng)，不實施影響高速交換性能的功能，原則上不配置低速接口模塊，提供自身的高可靠性。3.2.2匯聚/分發(fā)層匯聚/分發(fā)層具備以下功能：1、本功能區(qū)各VLAN間的路由；2、各功能分區(qū)IP地址匯聚；3、在功能區(qū)和功能區(qū)部署安全訪問策略，根據(jù)需要部署功能服務(wù)模塊。3.2.3接入層提供對網(wǎng)絡(luò)的訪問、并通過VLAN定義訪問和隔離，特點如下：接入層的接入端口規(guī)劃容量根據(jù)實際的使用情況具有一定的擴展性2、接入層實現(xiàn)用戶的802.1X認證和基于用戶的策略分配；3、接入網(wǎng)絡(luò)的終端系統(tǒng)的安全性檢查[12]。3.3IP地址規(guī)劃3.3.1私網(wǎng)IP地址規(guī)劃核心區(qū)域設(shè)備管理地址：/24服務(wù)器區(qū)管理地址：/24服務(wù)器區(qū)設(shè)備互聯(lián)地址：/24核心區(qū)域服務(wù)器地址：/24非核心區(qū)域設(shè)備管理地址：28/243.3.2NAT地址分配為將局域網(wǎng)內(nèi)私網(wǎng)地址轉(zhuǎn)化為公網(wǎng)地址采用NAT技術(shù)，地址分配結(jié)果如表3.1。表3.1NAT地址分配/24外網(wǎng)出口IP-NAT地址池3.3.3設(shè)備管理地址分配為方便設(shè)備遠程管理為交換機進行設(shè)備管理地址的分配，分配結(jié)果如表3.2。表3.2設(shè)備管理地址分配Switch0VLAN1Switch1VLAN1Switch2VLAN1Switch3VLAN1Switch4VLAN153.3.4VLAN劃分及網(wǎng)關(guān)地址根據(jù)應用進行邏輯劃分不同的VLAN以方便網(wǎng)絡(luò)規(guī)劃與管理，不同區(qū)域劃分結(jié)果如表3.3所示。表3.3VLAN劃分及網(wǎng)關(guān)地址服務(wù)器區(qū)域VLAN11/2454科普展示區(qū)VLAN12/2454產(chǎn)品展示銷售區(qū)VLAN13/2454種植采摘區(qū)VLAN14/2454休閑度假區(qū)VLAN15/2454生產(chǎn)體驗區(qū)VLAN16/2454辦公區(qū)VLAN17/24543.4網(wǎng)絡(luò)設(shè)備接口描述規(guī)則圖3.2總體設(shè)計圖該園區(qū)內(nèi)部動態(tài)路由采用OSPF(OpenShortestPathFirst)協(xié)議，具體設(shè)計如下：1、分區(qū)OSPF進程與第一區(qū)網(wǎng)絡(luò)區(qū)分，選用100為進程號；2、路由器及核心交換機的網(wǎng)絡(luò)區(qū)域，屬于骨Area0；3、核心交換機與各樓棟的匯聚交換機的互聯(lián)接口及相關(guān)匯聚交換機分屬于不同的非主干區(qū)域；4、本區(qū)域路由的路由匯總都設(shè)計在各個區(qū)域的邊界，達到減小路由數(shù)量的目的[13]。本項目OSPF非主干區(qū)域具體設(shè)計如下表3.4：表3.4OSPF非主干區(qū)域具體設(shè)計表區(qū)域范圍OSPF區(qū)域值服務(wù)器區(qū)域10科普展示區(qū)11產(chǎn)品展示銷售區(qū)12種植采摘區(qū)13休閑度假區(qū)14生產(chǎn)體驗區(qū)15辦公區(qū)16internet上聯(lián)173.5交換設(shè)計3.5.1端口聚合1、聚合端口的接口模式設(shè)為:Desirable，以手工方式來完成配置；intrangefa0/*-*；nosh2、聚合端口所用的ChannelProtocol保持一致；channel-group*modeon；3、聚合端口都通過Trunk端口與各區(qū)域互聯(lián)，且允許訪問的VLAN保持一致；switchportmodetrunk/access4、聚合端口上的連接端口啟用EtherchannelGuard功能，當有誤配置的端口時，將置于Err-disabled狀態(tài)下，達到防止二層環(huán)路的目的[14]。3.5.2TrunkTrunk主要是保障交換設(shè)備互聯(lián)的二層鏈路上VLAN之間的通信，其設(shè)計遵循原則如下：1、二層交換設(shè)備之間采用Trunk互連；switchportmodetrunk；2、Trunk協(xié)議采用dot1q協(xié)議；switchporttrunkencapsulationdot1q；3、Trunk兩端的設(shè)備接口Duplex和Speed必須保持一致；4、通過Trunk端口兩端的VLAN號必須一致[15]；3.5.3VTP設(shè)計本項目中，所有區(qū)域共享一個VTP域，匯聚交換機作VTP服務(wù)端，運行VTPServer，vtpdomainadmin；vtpmodeserver；vtppasswordadmin接入交換機作為客戶端，運行VTPClient。vtpdomainadmin；vtpmodeclient；vtppasswordadmin3.6網(wǎng)絡(luò)安全設(shè)計3.6.1設(shè)備安全加固本項目中，既可以通過設(shè)備的Console/Aux控制端口對路由器和交換機實行本地管理，也可以通過思科設(shè)備支持的訪問協(xié)議Telnet或SSH對設(shè)備進行遠程管理，其遠程訪問論證使用設(shè)備本地數(shù)據(jù)庫進行。同時，思科路由器和交換機也可以通過關(guān)閉一些不必要的服務(wù)來增強網(wǎng)絡(luò)設(shè)備自身的安全性，也可在明確需要是開戶，如通過noservicepad及noservicefinger關(guān)閉端口掃描、非法登陸[16]。3.6.2二層網(wǎng)絡(luò)安全為保障二層網(wǎng)絡(luò)的安全，本項目采用以下三種技術(shù)手段進行：1、交換機開啟DHCPSnooping，將偵聽DHCP報文，以確?？蛻舳耸菑暮戏―HCPServer獲取到的正確IP地址，防止虛假DHCP服務(wù)器對網(wǎng)絡(luò)的危害，其作用如下：（1）通過建立端口的信任關(guān)系，隔絕非法的dhcpserver，信任端口可以正常轉(zhuǎn)發(fā)DHCP數(shù)據(jù)包，而非信任端口對收到的DHCPoffer和DHCPack后，不進行轉(zhuǎn)發(fā)，做丟包處理。（2）防止ARP病毒的蔓延傳播，需要與交換機DAI配合。（3）通過手工指定或dhcpack包中的ip和mac地址，來建立和維護一張dhcpsnooping的綁定表，以此來限制非法用戶的連接，具體如下配置：ipdhcpsnoopingipdhcpsnoopingvlan10,11,12,13,14,15,16,17,18ipdhcpsnoopinginformationoptionallow-untrustedipdhcpsnoopingdatabaseflash:dhcp_snooping.dbipdhcpsnoopingdatabasewrite-delay30ipdhcpsnoopingdatabasetimeout信任端ipdhcpsnoopingtrust不信任端ipdhcpsnoopinglimitrate1002、動態(tài)ARP檢測（DAI）動態(tài)ARP檢測DAI稱為DynamicARPInspection，思科DAI實現(xiàn)對ARP攻擊的主動防御的具體過程如下：（1）在交換機上建立安全的ARP緩存庫；（2）非信任端口的ARP應答將被攔截和比對，比對接口如果是不真實的，該應答拋棄。（3）信任端口不被攔截和比對[17]。具體如下配置：swmaswitchportport-securityswitchportport-securitymac-address000A.411E.B83Dswitchportport-securitymaximum1允許最高5個MAC地址switchportport-securityviolation[protect|restrict|shutdown]3.7DHCP服務(wù)本項目未部署獨立的DHCP服務(wù)器，以核心層交換機為DHCP服務(wù)器，當注冊用戶聯(lián)入網(wǎng)絡(luò)時，DHCP服務(wù)器將為用戶分配合法的IP地址，并對其MAC地址進行靜態(tài)綁定，從而保證用戶在租賃期內(nèi)從DHCP服務(wù)器得到的都是相同IP地址，這種用戶IP地址的唯一性及靜態(tài)綁定，為項目中的上網(wǎng)行為審計系統(tǒng)提供了審查及追查依據(jù)[18]，配置命令如下一例：ipdhcpexcluded-address0ipdhcppoola1netdefault-routerdns-serverex

第4章區(qū)域詳細設(shè)計4.1核心層網(wǎng)絡(luò)核心區(qū)域，用來與其它各區(qū)域設(shè)備實現(xiàn)互聯(lián)互通，主要實現(xiàn)大數(shù)據(jù)流的高速轉(zhuǎn)發(fā)。4.1.1核心區(qū)設(shè)備型號核心區(qū)選用思科WS-C3560-24PS交換機其具體參數(shù)如表4.1:表4.1核心設(shè)備型號產(chǎn)品型號WS-C3560-24PS產(chǎn)品類型企業(yè)級,三層,固定配置,快速以太網(wǎng)型背板帶寬32Gbps包轉(zhuǎn)發(fā)率38.7Mpps傳輸方式存儲轉(zhuǎn)發(fā)方式硬件參數(shù)接口類型24個10/100Mbps接口,2個SFP千兆位以太網(wǎng)端口接口數(shù)目26傳輸速率10M/100M/1000Mbps擴展插槽堆疊支持不可堆疊網(wǎng)絡(luò)與軟件網(wǎng)絡(luò)標準IIEEE802.3,IEEE802.3u,IEEE802.3ab,IEEE802.1p,IEEE802.3af,IEEE802.1Q,IEVLAN支持支持VLAN功能雙工傳輸支持全雙工MAC地址表12k網(wǎng)管功能支持網(wǎng)管功能,SNMP管理信息庫(MIB)II,SNMPMIB擴展,橋接MIB(RFC1493)其它參數(shù)電源電壓220V最大功率550W外形尺寸301×445×44mm4.1.2核心區(qū)拓撲結(jié)構(gòu)及連接方式本項目中核心區(qū)網(wǎng)絡(luò)拓撲如圖4.1:圖4.1核心設(shè)備區(qū)網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖4.1.3路由設(shè)計本項目IGP協(xié)議使用的是OSPF協(xié)議，其進程號為1。Loopback地址及直連網(wǎng)段均通告到OSPFarea0。4.2出口區(qū)4.2.1設(shè)備型號及其數(shù)量互聯(lián)網(wǎng)出口區(qū)設(shè)備選擇如表4.2:表4.2internet上聯(lián)區(qū)域設(shè)備型號區(qū)域名設(shè)備型號設(shè)備數(shù)量互聯(lián)網(wǎng)出口區(qū)cisco281124.2.2互聯(lián)網(wǎng)出口區(qū)拓撲及連接方式互聯(lián)網(wǎng)出口區(qū)網(wǎng)絡(luò)拓撲如圖4.2:圖4.2互聯(lián)網(wǎng)出口區(qū)網(wǎng)絡(luò)拓撲圖互聯(lián)網(wǎng)出口區(qū)網(wǎng)絡(luò)對端設(shè)備選型如下表4.3：表4.3互聯(lián)網(wǎng)出口區(qū)域與對端設(shè)備互聯(lián)區(qū)域本端設(shè)備本端IP對端設(shè)備對端IP互聯(lián)網(wǎng)出口WS-C3560-24PScisco2811WS-C3560-24PScisco28114.2.3路由協(xié)議本區(qū)域路由協(xié)議也使用OSPF，其進程號為10。Loopback地址及直連網(wǎng)段也通告到OSPFarea0。4.2.4端口聚合EtherChannel聚合的方式將上聯(lián)端口聚合捆綁在一起，其模式采用手動模式modeon。出口路由器和城市熱點設(shè)備之間也采用端口聚合的方式進行互聯(lián)，其端口聚合也采用手動modeon模式[19]。4.3服務(wù)器區(qū)4.3.1拓撲及連接方式服務(wù)器區(qū)域網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖如圖4.3：圖4.3服務(wù)器區(qū)網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖4.3.2互聯(lián)接口信息服務(wù)器區(qū)互聯(lián)接口信息如表4.4:表4.4服務(wù)器區(qū)互聯(lián)接口信息表設(shè)備接口對端設(shè)備接口郵件服務(wù)器CiscoWS-C2960-24TTFastEthernet0/1DNS服務(wù)器CiscoWS-C2960-24TTFastEthernet0/2ftp服務(wù)器CiscoWS-C2960-24TTFastEthernet0/34.3.3路由協(xié)議本區(qū)域使用OSPF協(xié)議，其進程號10。直連網(wǎng)段、服務(wù)器網(wǎng)段、管理地址及互聯(lián)地址也通告進OSPFarea10，路由匯總在區(qū)域邊界進行，以降低路由條數(shù)量及減少路由抖動[20]。4.3.4網(wǎng)絡(luò)安全服務(wù)器區(qū)防火墻嚴格的ACL配置以確保服務(wù)器區(qū)域安全。4.4其他區(qū)其他區(qū)域網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖如圖4.4：圖4.4其他區(qū)域網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖

第5章模擬器測試本項目在模擬器完成搭建后，就要進行相應測試，在網(wǎng)絡(luò)環(huán)境中先加載相關(guān)軟件后，進行模塊測試和整體測試。進行測試功能特性，也要考察整個園區(qū)網(wǎng)系統(tǒng)運行的性能能否達到預期的目標。鑒于園區(qū)網(wǎng)系統(tǒng)龐大，測試結(jié)果不能一一列出，下面列出測試結(jié)果的一部分。5.1出口聯(lián)通測試通過對出口路由環(huán)回地址及外部路由環(huán)回地址的ping驗證出口路由連通性。驗證結(jié)果如圖5.1、圖5.2。圖5.1ping出口路由環(huán)回地址圖圖5.2ping外部路由環(huán)回地址5.2園區(qū)內(nèi)聯(lián)通測試通過ping園區(qū)內(nèi)部直連設(shè)備驗證園區(qū)內(nèi)部網(wǎng)絡(luò)與無線連接設(shè)備聯(lián)通情況，若網(wǎng)絡(luò)聯(lián)通則能正常ping通有對應IP的設(shè)備。驗證結(jié)果如圖5.3、圖5.4。圖5.3園區(qū)內(nèi)部直連設(shè)備與無線連接設(shè)備圖圖5.4VPN連接測試圖5.3其余測試利用showipnattranslations命令查看出口路由的NAT轉(zhuǎn)化表進行NAT測試與驗證，驗證結(jié)果如圖5.5。 圖5.5NAT地址轉(zhuǎn)換測試圖通過對郵件服務(wù)器與DNS服務(wù)器的相關(guān)配置之后可以使園區(qū)網(wǎng)絡(luò)內(nèi)能夠進行郵件的收發(fā)，郵件收發(fā)驗證如圖5.6。圖5.6郵件接收測試圖通過對相應路由器telephony-service配置可實現(xiàn)CiscoVOIP

電話的使用，驗證圖如5.7、圖5.8。圖5.7電話撥通測試圖5.8電話接通測試通過客戶端設(shè)備遠程Telnet登陸交換機進行遠程設(shè)備管理，遠程管理驗證如圖5.9。圖5.9telnet遠程管理通過對ftp服務(wù)器與DNS服務(wù)器的相關(guān)配置之后可以使園區(qū)網(wǎng)絡(luò)內(nèi)能夠進行ftp文件傳輸與下載，ftp成功配置驗證如圖5.10。圖5.10ftp登陸驗證第6章結(jié)論在設(shè)計之初，就參考智慧園區(qū)網(wǎng)絡(luò)規(guī)劃方案，結(jié)合目前農(nóng)業(yè)產(chǎn)業(yè)園實際劃分情況，決定設(shè)計一套基于思科設(shè)備的網(wǎng)絡(luò)仿真模擬。在設(shè)計時選用CiscoPacketTracer做為本次設(shè)計實現(xiàn)軟件，在此基礎(chǔ)上進行設(shè)備選型與相應腳本編寫使所規(guī)劃的網(wǎng)絡(luò)可以實現(xiàn)所需的基本功能。在查閱了大量相關(guān)幕資料后，確定了本次設(shè)計的主體思路。整個設(shè)計以思科WS-C3560-24PS交換機為核心層與匯聚層交換設(shè)備，思科WS-C2960-24TT為接入層交換設(shè)備,關(guān)于網(wǎng)絡(luò)安全方面在設(shè)計中使用ACL控制訪問關(guān)系，使用DHCPSnooping與動態(tài)ARP檢測保證二層交換機的安全，經(jīng)過一段時間的工作，最終完成了該農(nóng)業(yè)產(chǎn)業(yè)園網(wǎng)絡(luò)規(guī)劃的設(shè)計工作，并實現(xiàn)了項目所需的全部功能。通過本次設(shè)計，不僅加深了課題所涉及的通信知識，更重要的是實踐經(jīng)驗和過程中發(fā)現(xiàn)的問題。在整個設(shè)計實施過程中遇到的問題和困難留下了寶貴的經(jīng)驗和深刻的教訓。這些經(jīng)驗教訓如下:1、在設(shè)計前對所要設(shè)計的局域網(wǎng)整體規(guī)劃，確定一個清晰的設(shè)計思路。2、在選擇設(shè)備時，要仔細閱讀設(shè)備說明書，不僅要考慮設(shè)備的功能實現(xiàn)，還要考慮設(shè)備在整個系統(tǒng)中的兼容性。3、建立的網(wǎng)絡(luò)體系必須合理、穩(wěn)定，最好所需要的網(wǎng)絡(luò)協(xié)議在進行仿真時可以順利運行，為腳本運行提供可靠的測試平臺。在整個設(shè)計結(jié)束后也暴露出來了許多存在的缺陷與弊端，具體如下:因所選用的設(shè)備非當前最新的主流使用設(shè)備可能在真正實施時實用性存在爭議。CiscoPacketTracer在仿真時存在DHCPSnooping協(xié)議支持配置但運行存在問題。網(wǎng)絡(luò)雖然實現(xiàn)了基本功能但因設(shè)備選型的原因存在帶寬不足的缺陷。

參考文獻科技部.《國家農(nóng)業(yè)科技園區(qū)發(fā)展規(guī)劃(2018-2025年)》解讀

[J].科學中國人·下旬刊,2018,(2)楊建超,現(xiàn)代農(nóng)業(yè)產(chǎn)業(yè)園規(guī)劃設(shè)計研究與實踐[D].安徽農(nóng)業(yè)大學,2017,張海秀.碩士論文高校校園網(wǎng)規(guī)劃與設(shè)計[D].青島科技大學,2018.沈俊.探析我國高校網(wǎng)絡(luò)建設(shè)及問題[J]課程教育研究:外語學法教法研究2016(000)002.張立云.計算機網(wǎng)絡(luò)基礎(chǔ)教程[M]，北京:清華大學出版社，2009.8.

CiscoSystem.思科網(wǎng)絡(luò)學院技術(shù)教程[M]，北京:人民郵電出版社，2010.7.高玉雷.中小型局域網(wǎng)組建與管理教程[M],機械工業(yè)出版社,2004.9.王笑娟,鄒仁明,彭雋等.OSPF在校園網(wǎng)中的實現(xiàn)[J].中國科技信息,2010,(6):93-95.陶辰生.Vlan中的Trunk技術(shù)在局域網(wǎng)中的應用[J].煤炭技術(shù),2005(07):100-101.姚合生,孫家啟等.計算機網(wǎng)絡(luò)應用技術(shù)[M]，安徽:安徽大學出版社，2005.9.趙振國，楊英鵬，周海波.計算機網(wǎng)絡(luò)原理與實踐[M],電子工業(yè)出版,2007.9.崔北亮.非常網(wǎng)管一網(wǎng)絡(luò)管理從入門到精通[M],人民郵電出版社，2008.7.符水波.校園網(wǎng)系統(tǒng)維護與故障判斷[M],清華大學出版社，2007.6.陳洪彬。局域網(wǎng)組建與維護[M]，兵器工業(yè)出版社,2010.1.楊運濤.無線局域網(wǎng)技術(shù)在校園網(wǎng)建設(shè)中的應用[J].計算機安全,2014,(9):59-63.楊運濤.基于數(shù)據(jù)鏈路層的計算機網(wǎng)絡(luò)安全策略及實現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應用,2014,(5):180-182.楊運濤.無線局域網(wǎng)技術(shù)在校園網(wǎng)建設(shè)中的應用[J].計算機安全,2014,(9):59-63.王麗雯,龔尚福,馬旭.基于三層交換技術(shù)的虛擬局域網(wǎng)規(guī)劃[J].科技信息,2008,2:63-68.葛蘇慧.第三層交換技術(shù)在校園網(wǎng)設(shè)計中的應用探究[J].中國科技信息,2008,(20):110-111.張立峰.基于防火墻和三層交換機的校園網(wǎng)絡(luò)安全策略研究[D].電子科技大學,2011.童星.青島理工大學(臨沂)校園網(wǎng)規(guī)劃與設(shè)計[J].信息與電腦(理論版),2013,(12):38-39.

致謝轉(zhuǎn)眼間，四年的大學生生生涯就要結(jié)束了。值此論文完成之際，謹向四年的時間里所有幫助過我的老師致以最誠摯的謝意。首先，感謝我的導師張老師，在畢業(yè)論文的選題、資料的搜集整理、思路的建立和內(nèi)容寫作上，都給予了細心的指導。讓我學到了非常專業(yè)的知識和技術(shù)，導師平易近人的交往方式和淵博的學識，令我欽佩難忘。再次向我的導師表示最衷心的感謝和誠摯的敬意！此外,要感謝班主任和諸位代課老師在學習和生活上給予的照顧和幫助。再次，感謝我的家人在我學習過程中的全力支持。最后，衷心感謝參加論文評審的各位老師。

附錄遠程管理intvlan1ipaddnoshenablepasswordadminlinevty04loginpasswordadminexenconftintvlan1ipaddnoshenablepasswordadminlinevty04loginpasswordadminexitenconftintvlan1ipaddnoshenablepasswordadminlinevty04loginpasswordadminexitenconftintvlan1ipaddnoshenablepasswordadminlinevty04loginpasswordadminexitenconftintvlan1ipaddnoshenablepasswordadminlinevty04loginpasswordadminexit`enconftintvlan1ipaddnoshenablepasswordadminlinevty04loginpasswordadminexitenconftintvlan1ipaddnoshenablepasswordadminlinevty04loginpasswordadminexitenconftintvlan1ipaddnoshenablepasswordadminlinevty04loginpasswordadminexitenconftintvlan1ipaddnoshenablepasswordadminlinevty04loginpasswordadminexitenconftintvlan1ipadd0noshenablepasswordadminlinevty04loginpasswordadminexitenconftintvlan1ipadd1noshenablepasswordadminlinevty04loginpasswordadminexitenconftintvlan1ipadd2noshenablepasswordadminlinevty04loginpasswordadminexitVLAN網(wǎng)關(guān)intvlan11ipadd54noshexintvlan12ipadd54noshexintvlan13ipadd54noshexintvlan14ipadd54noshexintvlan15ipadd54noshexintvlan16ipadd54noshexintvlan17ipadd54noshexintvlan10ipadd54noshexintvlan18ipadd54noshexVTP配置vtpdomainadminvtpmodeservervtppasswordadminvtpdomainadminvtpmodeclientvtppasswordadmin鏈路聚合intrangefa0/1-3switchporttrunkencapsulationdot1qswmtchannel-group2modeonnoshintrangefa0/2-5switchporttrunkencapsulationdot1qswmtchannel-group1modeonnoshintrangefa0/6-9switchporttrunkencapsulationdot1qswmtchannel-group4modeonnoshintrangefa0/2-5switchporttrunkencapsulationdot1qswmtchannel-group3modeonnosh生成樹spanning-treevlan1,10,11,12,13,14,15,16,17,18priority0dhcp配置ipdhcpexcluded-address0ipdhcppoola1netdefault-routerdns-serverexipdhcpexcluded-addressipdhcppool1netdefault-router54dns-serverexipdhcpexcluded-addressipdhcppool2netdefault-router54dns-serverexipdhcppool3netdefault-router54dns-serverexipdhcppool4netdefault-router54dns-serverexipdhcppool5netdefault-router54dns-serverexipdhcppool6netdefault-router54dns-serverexipdhcppool7netdefault-router54dns-serverexipdhcppool8netdefault-router54dns-serverexipdhcpexcluded-address172.16.204ipdhcppoolVoIPnetdefault-routeroption150ipexDHCPspooningipdhcpsnoopingipdhcpsnoopingvlan10,11,12,13,14,15,16,17,18ipdhcpsnoopinginformationoptionallow-untrustedipdhcpsnoopingdatabaseflash:dhcp_snooping.dbipdhcpsnoopingdatabasewrite-delay30ipdhcpsnoopingdatabasetimeoutipdhcpsnoopingtrustipdhcpsnoopinglimitrate100ARP配置swmaswitchportport-securityswitchportport-securitymac-address000A.411E.B83Dswitchportport-securitymaximum1允許最高5個MAC地址switchportport-securityviolation[protect|restrict|shutdown]OSPFrouterospf1net55a11net55a12net55a13net55a14net55a15net55a16net55a17net55a18net55a1net55a0nat配置access-list110denyip5555access-list110permitipanyanyipnatpoolcknetmaskipnatinsidesourcelist110poolckipnatinsidesourcelist110interfaceFastEthernet0/1overloadintf1/0ipnatoutsideintf0/0ipnatinsideintf0/1ipnatinsideaccess-list110denyip5555access-list110permitipanyanyipnatpoolcknetmaskipnatinsidesourcelist110poolckipnatinsidesourcelist110interfaceFastEthernet0/1