大学园区网络设计说明书.doc 132页

'大学园区网络设计说明书1中北大学园区网的设计目标1.1中北大学园区网项目说明中北大学是一所由山西省人民政府与国家国防科技工业局共建、山西省人民政府管理的多科性教学研究型大学。学校占地170万平方米，建筑面积近86万平方米，固定资产总值15亿元，教学科研仪器设备总值2.78亿元，可利用中外文图书资源285万册，拥有完善的教学和公共服务设施。学校面向全国31个省、市、自治区招生，全日制在校生28000多人，其中博士、硕士研究生近3000人。设有10个学院及研究生院、后备军官教育学院、软件学院等教学机构。学校拥有国家级国防科技重点实验室、国防重点学科实验室、教育部重点实验室和工程技术中心、国家大学生文化素质教育基地、山西中北国家大学科技园等。校园网建设是我国高校基础设施建设中十分重要的组成部分，是适应信息时代发展的要求。为了学校的科研、教学、管理的技术水平，为研究开发和培养高层次人才建立现代化平台，从而建立基于Intranet/Internet技术的高速多媒体校园网，实现教学、管理、图书资料检索和办公事务等业务的网络化和信息化。根据关于校园网建设规划的目标要求，建成要将校园网建成“高速、稳定、安全、可控、可管”的网络。1.2中北大学园区网设计目标1、建网目的将中北大学校园网建设成以信息中心为中枢，将各学院、行政机构、教学实验中心等各部门通过内部网络实现互联互通，通过CERNET和联通出口，实现对互联网的访问。完成校园网络应用建设，包括校园办公系统OA、综合教务教学管理系统、应用文件共享、Mail服务、视频点播服务等。最终将校园网建成资源共享、管理系统的信息化、自动化，“高速、稳定、安全、可控、可管”的网络。2、主要网络应用和服务说明（1）基于Web的校园办公系统OA（2）应用文件共享第132页 （3）综合教务教学管理系统（4）科研管理系统（5）财务综合管理系统（6）教职工人事管理系统（7）Mail服务（8）视频点播服务（9）Internet访问服务3、项目的技术要求（1）实现OSPF多区域技术（2）实现MSTP和VRRP技术（3）实现VLAN技术（4）实现访问控制列表（5）实现DHCP技术（6）实现VPN技术（7）实现端口限速技术（8）实现NAT技术（9）结构化综合布线1.3中北大学园区网项目设计进度说明开始时间（2011-11-21）～结束时间（2011-12-8）1、2011-11-21——2011-11-23：查找中北大学的相关材料（地理环境、学校的职能部门、网络的节点数预估、部门对网络的需求、以及中北大学分校的相关情况），并做出初步安排。2、2011-11-23——2011-11-28：根据初步调查的资料，对网络的需求进行网络规划，画出网络拓扑图，并整体确定在进行网络规划时所使用的网络技术（网络安全技术、管理技术等），并开始写设计说明书的相关内容：如：需求分析、项目背景以及目标说明、分工安排等。3、2011-11-29——2011-12-4：根据总体规划，在实验室按照拓扑图进行网络配置、论证，完善整体的情况，进一步分析并确定需要用到的网络技术，并且完善详细的设计说明书。第132页 4、2011-12-4——2011-12-7：对实验过程中的遗留问题进行解决，完成最终的文档，进行小组的项目答辩，组网实验周结束。2需求分析2.1中北大学园区网项目需求2.1.1中北大学的地理环境中北大学位于山西省省会太原市西北部，西倚二龙山，南临汾河，距市中心大约10公里。现有2个校区，一个分校，设有10个学院及研究生院、后备军官教育学院、示范性软件职业技术学院、成人教育学院、信息商务学院，主校区占地170万平方米，分为东区和西区，建筑面积近86万平方米。分校位于太原市迎新街，距主校区10.5公里。南校区位于晋中市榆次区，距主校区41.1公里。图2-1中北大学校园地理分布图第132页 图2-2中北大学分校地理位置图图2-3中北大学南校区地理位置图2.1.2中北大学的组织机构中北大学分主校区与分校区，分别是位于太原市的北校区和晋中市榆次区的南校区第132页 ，还有在太原市分校。南校区有两个学院，信息商务学院与成人教育技术学院。图2-4中北大学学院结构图图2-5中北大学组织机构图第132页 2.1.3中北大学园区网的网络设计原则1、实用性与先进性根据学校实际情况和特点，在设计中特别强调实用性与先进性的结合，应采用成熟的网络技术，保证校园网实用；跟踪国际网络技术的新发展，设计技术先进的网络。在保证校园网可靠、实用、先进的基础上，可以提供研究先进网络技术的科研环境，方便学校的科研与开发。2、开放性与标准化整个校园网的设计采用开放的网络体系，以方便网络的升级、扩展和互联。同时，在选择服务器、网络产品时，强调产品支持的网络协议的国际标准化。3、可靠性与安全性在校园网的设计中，主要考虑两个层次：一是整个网络的可靠性与安全性，采用高可靠性、高安全性的网络体系结构，包括合理设计广域网的访问控制和内部局域网的访问控制、对外部网络访问链路的备份等；二是网络设备的可靠性与安全性，主要是采用可带电插拔的模块、配置双电源、端口冗余、设置网络设备的用户表及口令限制等手段。4、经济性与可扩充性在满足学校需求的前提下，选用性价比高的网络设备和服务器。采用的网络架构和设备，应充分考虑到易升级换代，并且在升级时可以最大限度地保护原有的硬件设备和软件投资。2.2中北大学园区网的网络业务2.2.1网络业务说明网络业务需求：作为校园网最终用户有学校的管理人员、专业技术人员和各个部门的工作人员，他们对数据信息的需求都有所不同：管理人员既具有决策又有管理工作，希望能尽快收集信息，用以协调各部门工作。专业人员从事基础管理工作，希望通过计算机提高工作效率。工作人员主要是使用校园网完成各种办公任务，额外要求较少。教师希望能以更生动、形象的多媒体手段给学生授课，同时通过计算机网络查询资料、进行备课和与学生交流。学生也希望能够通过计算机网络快速、便捷地与老师沟通、下载课件和利用网络资源解决学习上的困难和自学。第132页 表2-1网络业务说明项目说明适用对象电子文档传递办公自动化教职员工E-mail电子邮件全体师生员工Web因特网信息服务对外宣传及通知发布FTP文件共享全体师生员工VOD视频点播服务全体师生员工E-Library电子图书馆全体师生员工电子教务系统课程编排，学生选课、学生成绩发布教务管理人员，教师，学生。信息安全对敏感信息进行保护机要部门，重要文档。Internet访问通过校园网访问因特网全体师生员工远程访问在校外访问校内网络全体师生员工表2-2每种网络业务的流量要求提供的服务此服务所需的流量（单位Kb）E-mail300Web200internet256视频服务2000ftp2562.2.2节点分布及流量估计1、信息点分布表2-3办公区信息点数部门类别部门名称办公室数办公室信息点数总计行政机关教务处3918人事处248考试评估中心166第132页 保卫处144校办144党务机构党办4824纪委248组织部248保密办248党校3918学生工作处2612学院分类研究生院3各办公室信息点数不等40经管院2080人文院2080机电院25120六院22130五院25300表2-4分校教工公寓区信息点区类楼号单元数层数住户数（单元数*层数*2*楼号数）小区总计户数（户）总计（户）怡丁苑1#、2#5550*253415363#、4#、8#2520*35#、6#、7#3618*39#、14#、16#、17#3530*411#、12#、13#、14#、15#4540*5西苑31#、32#、33#、34#、35#、37#、40#4540*748036#2520*124#5550*139#6560*138#7570*1中苑18#、19#、21#、26#、27#、28#、29#、30#5330*832220#544022#331823#4324南苑41#、42#、43#、45#5550*42002、流量估计各服务流量=E-mail/FTP/视频服务/internet/web=3012Kb/s（1）各行政机构和学院办公区计算公式：总流量=各服务流量和*节点数*0.8总流量=3012*868*0.8=2042.5M/s=1.995G（2）教职工宿舍区第132页 计算公式：总流量=各服务流量和*节点数*0.2总流量=3012*1536*0.2=903.6M/s=0.883G（3）学生宿舍区计算公式：总流量=各服务流量和*节点数*0.2总流量=3012*23*480*0.2=6494M/s=6.34G主干网流量为1.995+0.883+6.34=9.218G2.3中北大学园区网的安全和管理要求2.3.1安全要求1、物理安全物理安全主要包括设备的防火、防盗、防雷措施，防止断电。主要技术措施是按照标准建设中心机房，做好接地和避雷；突然断电是对网络和服务器的最大打击，极易造成网络服务瘫痪，甚至设备损坏，因此需要配置一定的UPS。机房要需要专职人员管理，做好出入登记。2、信息安全信息安全主要是网络的访问控制、病毒防范、数据库资源的备份、容错和恢复等。防火墙是隔离内外网的屏障，网络访问控制的主要设备。防火墙应当具有强大的抗拒绝服务攻击的能力。在内网防范病毒方面，全网客户端需要安装防病毒软件，定期更新补丁，病毒库升级。内网设备上配置必要的安全配置，防止常见的ARP攻击，DHCP攻击等。3、人员管理安全安全的最大隐患最终还是对人员管理的安全，再安全的设备，一定要有人员的安全使用才能保证真正的安全。校园网的使用人员并不都是计算机专业人员，因此，对相关的使用者进行必要的安全知识培训师非常必要的。2.3.2管理要求1、故障管理主要任务是发现和排除网络故障。其内容包括故障检测和报警功能、故障预测功能、故障诊断和定位功能；2、配置管理第132页 设备初始化、维护和关闭网络设备或子系统等操作。被管理的网络资源包括物理设备（如服务器、工作站、路由器）和底层的逻辑对象。3、网络性能管理性能监测与网络控制。通过测评网络运行中的主要性能指标，以检验网络服务是否达到了预定的水平，找出已经发生或潜在的网络瓶颈，报告网络性能的变化趋势，为网络管理决策提供依据。4、安全管理确保网络资源不被非法使用，防止网络资源由于入侵者攻击而遭受破坏。其内容包括对授权机制、访问控制、加密和加密关键字的管理，另外还有维护和检查安全日志。2.4中北大学园区网的WAN接入技术光纤接入网（OAN），是指用光纤作为主要的传输媒质，实现接入网的信息传送功能。通过光线路终端（OLT）与业务节点相连，通过光网络单元（ONU）与用户连接。光纤接入网包括远端设备——光网络单元和局端设备——光线路终端，它们通过传输设备相连。光纤接入网提供开放的V5接口，可实现与任何种类具有V5接口的交换设强备进行连接。光纤化程度高，减少铜线铺设半径，节省投资。业务承载能力强。对环境适应能力。有利于减少建设维护费用。网络的继承性和可发展性高，有利于引入新业务。综上，主校区可以采用联通和CERNET双线接入，在与分校区连接上可以使用IPSecVPN，即虚拟专用网，通过公用网络建立一个临时的、安全的连接，是一条穿过混乱的公用网的安全的稳定的隧道。VPN可以通过多种安全机制，如：入隧道技术、加解密技术、密钥管理技术、身份认证技术，保证信息在网络上的安全传输。而且只要分校与主校都接入了互联网，通过VPN连接，无需再建设一条直连的线路，大大的节约了网络建设的资金。2.5中北大学园区网设计的技术指标校园网建设应该充分考虑学校教学的需求、学校现代化管理程度，教师运用现代教育技术的熟练程度等诸多因素，同时考虑学校今后的校园网建设以及学校的经济实力，对自身的需要的网络要准确定位。核心层主干：核心层为双核心，采用VRRP+MSTP的冗余技术，实现网络的冗余备份及负载均衡。出口路由采用路由策略，实现网络的双出路，连接到CERNET第132页 及通过联通连接到Internet。核心交换机上采用浮动路由提供到出口路由的备份连接。在连接服务器的路由器上做TCP负载均衡，以实现对服务器的均衡会话。在出口路由器上做NAPT，将内部地址转换为注册外部地址，实现内部所有主机对外网的访问。图书馆：在图书馆汇聚层交换机上做冗余备份，采用双核心技术提高网络的可靠性。不同阅览室、不同科室、部门划分不同VLAN，建立独立的冲突域。采用基于时间的ACL控制内部借阅网络拒绝访问互联网，图书馆办公部门在办公时间禁止网络聊天、BT下载等业务。教职工与学生宿舍：在教工、学生公寓网络设计中，不同学院学生、老师建立不同VLAN，利用三层交换机，通过SVI实现跨网段的访问。在汇聚层交换机上，通过建立ACL，实现对教师、学生上网时间的控制及流量的控制。通过配置端口安全，限制端口的最大连接数。运用DHCP自动分配网络地址。各行政机构和学院办公区：在办公区子系统中，不同的行政部门、不同学院建立不同VLAN，建立独立冲突域提高网络质量。建立基于时间的ACL控制办公网络在办公时间进行BT下载等占用带宽的业务，涉及到特殊部门为之建立特殊的ACL。通过三层SVI实现跨网段访问。交换机上使用DHCP中继，给接入的终端自动分配地址。分校网络设计及与主校的连接：在分校的网络设计中，采用VPN实现与主校的连接。在路由器上做NAPT，实现内部地址和外部地址的转换。在汇聚层交换机上做MSTP实现冗余备份。分校中不同部门划分不同VLAN，利用三层SVI接口实现不同VLAN间的相互访问。开启端口安全功能，保证网络安全。第132页 3总体设计和分工说明3.1总体设计3.1.1总体网络拓扑设计图3-1总体网络拓扑设计图第132页 3.1.2校园网主干子项目设计图3-2主干网络拓扑设计图核心层采用双核心设计，采用VRRP+MSTP的冗余技术，实现网络的冗余备份及负载均衡。出口路由采用路由策略，实现网络的双出路，连接到CERNET及通过联通连接到Internet。核心交换机上采用浮动路由提供到出口路由的备份连接。在连接服务器的路由器上做TCP负载均衡，以实现对服务器的均衡会话。在出口路由器上做NAPT，将内部地址转换为注册外部地址，实现内部所有主机对外网的访问。第132页 3.1.3各行政机构和学院办公区子项目设计图3-3行政机构及办公区网络拓扑设计图在办公区网络中，汇聚交换机采用冗余的连接到核心层，采用MSTP解决环路问题，实现链路备份。根据不同的行政部门、不同学院建立不同VLAN，建立独立冲突域提高网络质量，通过三层SVI实现跨网段访问。建立ACL，对不同的网络进行访问控制。涉及到特殊部门为之建立特殊的ACL。在接入层交换机上采取必要的安全配置，开启端口安全，开启DHCPsnooping，防止一些恶意的攻击，和地址欺骗等。第132页 3.1.4图书馆网络子项目设计图4-1图书馆网络拓扑图图书馆网络拓扑说明：在图书馆汇聚层交换机上做冗余备份，采用双核心技术提高网络的可靠性。不同阅览室、不同科室、部门划分不同VLAN，建立独立的冲突域；采用基于时间的ACL控制内部借阅网络拒绝访问互联网，对电子阅览室的网络进行速度限制，拒绝图书馆办公部门在办公时间禁止网络聊天、BT下载等业务；应用交换机端口安全技术，防范网络中通过伪造地址而进行的攻击，应用在档案馆等重要部门，防止机密信息的泄露；应用端口限速技术，将需要限制的端口加入限速端口，从而将类似QQ、BT等对网络资源、网络性能的影响消除掉（QQ客户端使用端口4000，服务器端口为8000，BT一般使用TCP的6881～6889端口）；无线接入技术（Wi-Fi）是一种可以将个人电脑、手持设备（如PDA、手机）等终端以无线方式互相连接的无线局域网通信技术。该技术是基于IEEE802.11标准的无线通信技术，目前正在使用的通信标准为IEEE802.11a、IEEE802.11b和IEEE802.11g。第132页 3.1.5教职工与学生宿舍网络子项目设计图7-1设计说明、具体地址规划和网络拓扑图在学生、教职工公寓网络设计中，不同学院学生建立不同VLAN，利用三层交换机，通过SVI实现跨网段的访问。在二层交换机上，通过建立访问控制列表，实现对学生上网流量的控制，避免造成网络拥堵，优化网络环境。在二层交换机上还需要配置静态MAC绑定，端口安全，限制端口的最大安全地址个数，DHCPSnooping绑定过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。限制端口的最大安全地址个数可以有效控制访问用户数，避免其他多余的恶意连接，从数量上就避免了网络拥堵。第132页 教职工的网络的地址规划和网络拓扑图相同。3.2地址规划3.2.1地址说明及规划原则1、向运营商申请的注册地址段为：202.207.169.1/24202.207.177.1/24~202.207.177.254/24202.207.178.1/24~202.207.178.50/242、地址规划原则：利用VLSM（可变长子网掩码）实现IP地址的多层次地址分配3.2.2地址规划1、注册地址的分配：表3-1注册地址分配表区域注册地址主干设备202.207.169/28服务器办公区202.207.177.1/24--202.207.177.70/24图书馆学术交流中心202.207.177.141/24--202.207.178./24教职工公寓学生宿舍教学楼202.207.177.71/24--202.207.177.140/24分校1分校22、私有地址的总体规划私有地址是可以自由的在局域网内使用的IP地址，在构建局域网是利用私有地址可以灵活的进行地址分配。私有地址有10.0.0第132页 .0/8,172.16.0.0/16~172.31.0.0/16和192.168.0.0/24三类。在本设计中，以方便灵活性和可扩展性为目标，决定使用10.0.0.0/8网段为内网分配地址。（1）各学院分配各自的地址段，分别给1院到研究生院10.11.0.0/16，10.12.0.0/16，10.13.0.0/16，10.14.0.0/16，10.15.0.0/16，10.16.0.0/16，10.17.0.0/16，10.18.0.0/16，10.19.0.0/16，10.20.0.0/16，10.21.0.0/16，10.22.0.0/16，10.23.0.0/16，10.24.0.0/16（2）各行政机构分配地址段10.10.0.0/16（3）教学区分配地址段10.30.0.0/16（4）图书馆分配地址段10.31.0.0/16（5）各分校分配地址段10.25.0.0/16，10.26.0.0/16（6）教职工和学生宿舍分配地址段10.32.0.0/16，10.33.0.0/16，10.34.0.0/163、地址分配的方式说明校园的地址分配采用动态地址分配的方式，在网络中搭建DHCP服务器，实现IP地址的动态获取。4、NAT/NAPT的说明表3-2NAT/NAPT说明网络私有地址注册地址办公区网络10.10.0.0/16202.207.177.1/24--202.207.177.40/24图书馆网络10.31.0.0/16202.207.177.41/24--202.207.70./24教学区网络10.30.0.0/16202.207.177.71/24教职工和学生宿舍网络10.32.0.0/16202.207.177.141/24--202.207.171./24分校110.25.0.0/16202.207.177.72第132页 /24--202.207.177.100/24分校210.26.0.0/16202.207.177.101/24--202.207.177.140/24服务器10.1.0.0/24202.207.169/283.3分工说明表3-3分工说明项目负责人负责项目郭鑫核心层主干的设计和总体的地址规划刘强图书馆的网络设计丁佳钧分校的网络设计及与主校的网络连接郭鑫行政机构和办公区的网络设计杨青雷教职工宿舍的网络设计第132页 4校园网主干项目的设计方案（负责人：郭鑫）4.1校园网主干网络设计方案4.1.1校园网主干网络拓扑设计图4-1校园网主干拓扑设计图核心层采用双核心设计，采用VRRP+MSTP的冗余技术，实现网络的冗余备份及负载均衡。出口路由采用路由策略，实现网络的双出路，连接到CERNET及通过联通连接到Internet。核心交换机上采用浮动路由提供到出口路由的备份连接。在连接服务器的路由器上做TCP负载均衡，以实现对服务器的均衡会话。在出口路由器上做NAPT，将内部地址转换为注册外部地址，实现内部所有主机对外网的访问。第132页 4.1.2网络设备选型表4-1网络设备选型序号设备名称型号/规格单位单价（元）数量总价（元）1核心交换机RG-S8610台10000022000002核心交换机模块M8600P-48GT/4SFP个23核心交换机模块M8600-02XFP个24模块化路由器CISCO3845个394442788885广域网模块CISCOHWIC-4T个12100224200表4-2服务器选型学校服务器类型IBMSystemx3850X5(7145N02)价格10.6万产品类别机架式产品类型企业级CPU型号XeonE75201.866GHz标配CPU数量4颗内存容量32GDDR3标配硬盘数量584G网络控制器两个千兆以太网卡电池类型冗余电源产品结构4URAID模式RAID0，1，5扩展槽7×半长PCI-E（2个热插拔）光驱DVD价格10.6万数量8总价格84.8万设备总价格：1,151,088元4.1.3应用技术说明1、MSTP技术：MSTP（多生成树协议）是在交换网络中基于VLAN构建多个生成树，既避免了环路，又能让相同VLAN间的通讯不受影响。它可以把一台交换机的一个或多个VLAN划分为instance，有着相同instance配置的交换机就组成了一个域（MSTregion），运行独立的生成树（这个内部的生成树称为IST，InteralSpanningtree）；这个MSTregion组合就相当于一个大的交换机整体，与其他的MSTregion再进行生成树算法运算，得出一个整体的生成树，称为CST（CommonSpanningTree）。2、VRRP技术：VRRP(VirtualRouterRedundancyProtocol)第132页 能够从网络层保证网络系统的高度冗余，同时也能够实现网络流量的负载均衡。VRRP组内多个路由器都映射为一个虚拟的路由器。VRRP保证同时有且只有一个路由器在代表虚拟路由器进行包的发送。而主机则是把数据包发向该虚拟路由器。这个转发数据包的路由器被成为主路由器。如果这个主路由器在某个时候由于某种原因而无法工作的话，则处于备份状态的路由器将被选择来代替原来的主路由器。VRRP使得局域网内的主机看上去只使用了一个路由器，并且即使在它当前所使用的首跳路由器失败的情况下仍能够保持路由的连通性。3、OSPF多区域技术：开放式最短路径优先协议(OpenShortestPathFirst)。OSPF路由协议是一个链路状态协议，其使用最短路径优先算法（SPF）计算路由。多区域OSPF是在每一个区域中的路由器都按照该区域中定义的链路状态算法来计算网络拓扑结构，对于每一个区域，其网络拓扑结构在区域外是不可见的，同样，在每一个区域中的路由器对其域外的其余网络结构也不了解。在OSPF路由协议中存在一个骨干区域（Backbone），该区域包括属于这个区域的网络及相应的路由器，骨干区域必须是连续的，同时也要求其余区域必须与骨干区域直接相连。骨干区域一般为区域0，其主要工作是在其余区域间传递路由信息。所有的区域，包括骨干区域之间的网络结构情况是互不可见的，当一个区域的路由信息对外广播时，其路由信息是先传递至区域0（骨干区域），再由区域0将该路由信息向其余区域作广播。4、策略路由技术：策略路由，是根据一定的策略进行报文转发。在路由器转发一个数据报文时，首先根据配置的规则对报文进行过滤，匹配成功则按照一定的转发策略进行报文转发。这种规则可以是基于标准和扩展访问控制列表，也可以基于报文的长度；而转发策略则是控制报文按照指定的策略路由表进行转发，也可以修改报文的IP优先字段。因此，策略路由是对传统IP路由机制的有效增强。策略路由（PolicyRoute）是指在决定一个IP包的下一跳转发地址或是下一跳缺省IP地址时，不是简单的根据目的IP地址决定，而是综合考虑多种因素来决定。如可以根据DSCP字段、源和目的端口号，源IP地址等来为数据包选择路径。策略路由可以在一定程度上实现流量工程，使不同服务质量的流或者不同性质的数据（语音、FTP）走不同的路径。5、浮动路由技术：路由表的管理距离越低，优先级越高。浮动的静态路由是一种特殊的静态路由，通过配置一个比主路由的管理距离更大的静态路由，保证网络中主路由失效的情况下，提供备份路由。但在主路由存在的情况下它不会出现在路由表中。6、SVI（SwitchVirtualInterface）技术：利用三层交换机通过SVI方式实现VLAN第132页 间路由。实现方法是在三层交换机上为各VLAN创建虚拟VLSN接口，并为SVI接口配置IP地址，作为各VLAN中主机的网关。7、VPN（虚拟专用网）技术：利用公共网络来构建的私人专用网络称为虚拟私有网络（VPN，VirtualPrivateNetwork），用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、可靠性和可管理性等。减少WAN带宽的费用。能使用灵活的拓扑结构，包括全网连接。新的站点能更快、更容易地被连接。通过设备供应商WAN的连接冗余，可以延长网络的可用时间。8、端口聚合：端口聚合（又称为链路聚合)，将交换机上的多个端口在物理上连接起来，在逻辑上捆绑在一起，形成一个拥有较大宽带的逻辑端口，形成一条干路，可以实现负载分担，并提供冗余链路。9、NAPT技术：NAT就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为。这种特性使得内部局域网呈现给外部网络的IP地址，可以与正在使用的IP地址空间完全不同。这样一个组织就可以将本来非全局可路由地址通过NAT之后，变为全局可路由地址，实现了原有网络与互联网的连接，而不需要重新给每台主机分配IP地址。4.2校园网主干网络项目论证4.2.1校园网主干网络项目论证实验说明由于实验室设备数量和部分配置不支持的限制，将主干项目论证实验分为两个实验进行验证，分别是：主干区域内部的验证，出口路由策略路由和NAPT的验证。1、主干区域内部实验验证说明第132页 图4-1主干区域内部拓扑图（1）论证实验的综合应用技术说明：在论证实验中使用了MSTP技术，VRRP技术，OSPF单区域，浮动静态路由技术，SVI技术，端口聚合技术。（2）论证实验中的设备（应用技术）替换说明：论证实验采用了实验室的锐捷设备，用两台S3550代替核心交换机，用两台S2126代替汇聚层交换机，两台R1762代替出口路由器，用Loopback口代替接入CERNET和联通网络。（3）配置交换机VLAN及端口类型：分别在四台交换机上配置VLAN10，VLAN20，VLAN30，VLAN40，将三层与三层，三层与二层交换机相连的端口配置为Trunk模式，将相应接口划分给各个VLAN。（4）配置SVI（SwitchVirtualInterface）：在两台三层交换机上配置VLAN的IP地址。（5）配置端口聚合：在两台交换机上将两个相连的接口配置为Aggregate接口。（6）配置MSTP：第132页 在四个交换机上配置MSTP，将VLAN10、VLAN30划分为一个instance1，将VLAN20、VLAN40划分为一个instance2。分别将S3550A和S3550B配置为实例1和实例2的根交换机。（7）配置OSPF单区域：开启三层交换机路由功能，将两个三层交换机与路由器相连的接口配置为路由口，在两个三层交换机和两个路由器上开启OSPF路由协议。在路由器上开启回环口模拟互联网接入。（8）配置静态浮动路由：在两个交换机上配置两条缺省静态路由，一条指向正上方的路由器，管理距离不变；另一条指向斜向上的路由器，管理距离配置为120。2、策略路由和NAPT实验论证图4-2策略路由和NAPT实验拓扑图（1）论证实验的综合应用技术说明：在实验论证中使用了策略路由技术和NAPT技术（2）论证实验中的设备（应用技术）替换说明：论证实验采用了GNS3模拟器实现，用四台思科3640路由器分别模拟出口路由器，内部网络，外部联通局端设备和教育网局端设备。（3）在R1上配置route-map，基于目的地址的转发规则。在ISP和CERNET上配置一条默认路由指向R2，各自开启回环口。在R4上配置与R2相连的接口IP。（4）在R1配置两个route-map，match两个外网出口，配置NAT，基于两个route-map进行NAT转换。第132页 4.2.2校园网主干网络论证实验调试结果1、主干区域内部实验验证结果（1）MSTP配置结果：S3550A#showspanning-treeStpVersion:MSTPSysStpStatus:EnabledBaseNumPorts:24MaxAge:20HelloTime:2ForwardDelay:15BridgeMaxAge:20BridgeHelloTime:2BridgeForwardDelay:15MaxHops:20TxHoldCount:3PathCostMethod:LongBPDUGuard:DisabledBPDUFilter:Disabled######MST1vlansmapped:10,30BridgeAddr:00d0.f8b8.5135Priority:0TimeSinceTopologyChange:0d:2h:27m:9sTopologyChanges:0DesignatedRoot:000100D0F8B85135RootCost:0RootPort:0######MST2vlansmapped:20,40BridgeAddr:00d0.f8b8.5135Priority:4096第132页 TimeSinceTopologyChange:0d:2h:27m:9sTopologyChanges:0DesignatedRoot:000200D0F8B85D95RootCost:190000RootPort:Ag1不同实例下端口的角色不同S3550A#showspanning-treemst1intaggregatePort1######MST1vlansmapped:10,30PortState:forwardingPortPriority:128PortDesignatedRoot:000100D0F8B85135PortDesignatedCost:0PortDesignatedBridge:000100D0F8B85135PortDesignatedPort:83E9PortForwardTransitions:1PortAdminPathCost:0PortOperPathCost:190000PortRole:designatedPortS3550A#showspanning-treemst2intaggregatePort1######MST2vlansmapped:20,40PortState:forwardingPortPriority:128PortDesignatedRoot:000200D0F8B85D95PortDesignatedCost:0PortDesignatedBridge:000200D0F8B85D95PortDesignatedPort:83E9PortForwardTransitions:1PortAdminPathCost:0PortOperPathCost:190000第132页 PortRole:rootPortS3550B#showspanning-treeStpVersion:MSTPSysStpStatus:EnabledBaseNumPorts:24MaxAge:20HelloTime:2ForwardDelay:15BridgeMaxAge:20BridgeHelloTime:2BridgeForwardDelay:15MaxHops:20TxHoldCount:3PathCostMethod:LongBPDUGuard:DisabledBPDUFilter:Disabled######MST1vlansmapped:10,30BridgeAddr:00d0.f8b8.5d95Priority:4096TimeSinceTopologyChange:0d:2h:25m:35sTopologyChanges:0DesignatedRoot:000100D0F8B85135RootCost:190000RootPort:Ag1######MST2vlansmapped:20,40BridgeAddr:00d0.f8b8.5d95Priority:0TimeSinceTopologyChange:0d:2h:25m:35sTopologyChanges:0第132页 DesignatedRoot:000200D0F8B85D95RootCost:0RootPort:0S2126A#showspanning-treeStpVersion:MSTPSysStpStatus:EnabledBaseNumPorts:24MaxAge:20HelloTime:2ForwardDelay:15BridgeMaxAge:20BridgeHelloTime:2BridgeForwardDelay:15MaxHops:20TxHoldCount:3PathCostMethod:LongBPDUGuard:DisabledBPDUFilter:Disabled######MST1vlansmapped:10,30BridgeAddr:00d0.f8c0.1e7fPriority:32768TimeSinceTopologyChange:0d:2h:29m:12sTopologyChanges:0DesignatedRoot:000100D0F8B85135RootCost:200000RootPort:Fa0/1######MST2vlansmapped:20,40BridgeAddr:00d0.f8c0.1e7fPriority:32768第132页 TimeSinceTopologyChange:0d:2h:29m:12sTopologyChanges:0DesignatedRoot:000200D0F8B85D95RootCost:200000RootPort:Fa0/2S2126B#showspanning-treeStpVersion:MSTPSysStpStatus:EnabledBaseNumPorts:24MaxAge:20HelloTime:2ForwardDelay:15BridgeMaxAge:20BridgeHelloTime:2BridgeForwardDelay:15MaxHops:20TxHoldCount:3PathCostMethod:LongBPDUGuard:DisabledBPDUFilter:Disabled######MST1vlansmapped:10,30BridgeAddr:00d0.f8c0.2133Priority:32768TimeSinceTopologyChange:0d:2h:26m:26sTopologyChanges:0DesignatedRoot:000100D0F8B85135RootCost:200000RootPort:Fa0/2######MST2vlansmapped:20,40第132页 BridgeAddr:00d0.f8c0.2133Priority:32768TimeSinceTopologyChange:0d:2h:26m:26sTopologyChanges:0DesignatedRoot:000200D0F8B85D95RootCost:200000RootPort:Fa0/1（2）VRRP调试结果S3550B#showstandbyIfGroupStatePriorityPreemptIntervalVirtualIPAuth----------------------------------------------------------------VL1010backup100may110.10.10.254VL2020master200may110.10.20.254VL3030backup100may110.10.30.254VL4040master200may110.10.40.254S3550A#showstandbyIfGroupStatePriorityPreemptIntervalVirtualIPAuth----------------------------------------------------------------VL1010master200may110.10.10.254VL2020backup100may110.10.20.254VL3030master200may110.10.30.254VL4040backup100may110.10.40.254第132页 （3）测试VRRP提供备份网关图4-3测试VRRP提供的冗余网关（4）全网连通结果S3550A#showiprouteType:C-connected,S-static,R-RIP,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2TypeDestinationIPNexthopInterfaceDistanceMetricStatus----------------------------------------------------------------------S0.0.0.0/010.0.1.1Fa0/310ActiveS0.0.0.0/010.0.4.1Fa0/41200ActiveC10.0.1.0/240.0.0.0Fa0/300ActiveO10.0.2.0/2410.0.4.1Fa0/41102ActiveO10.0.3.0/2410.0.1.1Fa0/31102ActiveC10.0.4.0/240.0.0.0Fa0/400ActiveC10.10.10.0/240.0.0.0VL1000ActiveC10.10.20.0/240.0.0.0VL2000Active第132页 C10.10.30.0/240.0.0.0VL3000ActiveC10.10.40.0/240.0.0.0VL4000ActiveC10.10.100.0/240.0.0.0VL10000ActiveS3550B#showiprouteType:C-connected,S-static,R-RIP,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2TypeDestinationIPNexthopInterfaceDistanceMetricStatus----------------------------------------------------------------------S0.0.0.0/010.0.2.1Fa0/310ActiveS0.0.0.0/010.0.3.1Fa0/41200ActiveC10.0.2.0/240.0.0.0Fa0/300ActiveC10.0.3.0/240.0.0.0Fa0/400ActiveO10.0.4.0/2410.0.2.1Fa0/31102ActiveC10.10.10.0/240.0.0.0VL1000ActiveC10.10.20.0/240.0.0.0VL2000ActiveC10.10.30.0/240.0.0.0VL3000ActiveC10.10.40.0/240.0.0.0VL4000ActiveC10.10.100.0/240.0.0.0VL10000ActiveR1#showiprouteCodes:C-connected,S-static,R-RIPO-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2*-candidatedefaultGatewayoflastresortisnosetC1.1.1.0/24isdirectlyconnected,Loopback0C1.1.1.1/32islocalhost.C10.0.1.0/24isdirectlyconnected,FastEthernet1/0C10.0.1.1/32islocalhost.第132页 O10.0.2.0/24[110/2]via10.0.3.2,01:05:23,FastEthernet1/1C10.0.3.0/24isdirectlyconnected,FastEthernet1/1C10.0.3.1/32islocalhost.O10.0.4.0/24[110/2]via10.0.1.2,00:01:47,FastEthernet1/0O10.10.10.0/24[110/2]via10.0.1.2,00:01:47,FastEthernet1/0[110/2]via10.0.3.2,00:01:47,FastEthernet1/1O10.10.20.0/24[110/2]via10.0.1.2,00:01:47,FastEthernet1/0[110/2]via10.0.3.2,00:01:47,FastEthernet1/1O10.10.30.0/24[110/2]via10.0.1.2,00:01:47,FastEthernet1/0[110/2]via10.0.3.2,00:01:47,FastEthernet1/1O10.10.40.0/24[110/2]via10.0.1.2,00:01:47,FastEthernet1/0[110/2]via10.0.3.2,00:01:47,FastEthernet1/1R2#showiprouteCodes:C-connected,S-static,R-RIPO-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2*-candidatedefaultGatewayoflastresortisnosetC1.1.1.0/24isdirectlyconnected,Loopback0C1.1.1.1/32islocalhost.O10.0.1.0/24[110/2]via10.0.4.2,00:02:42,FastEthernet1/1C10.0.2.0/24isdirectlyconnected,FastEthernet1/0C10.0.2.1/32islocalhost.O10.0.3.0/24[110/2]via10.0.2.2,01:05:26,FastEthernet1/0C10.0.4.0/24isdirectlyconnected,FastEthernet1/1C10.0.4.1/32islocalhost.O10.10.10.0/24[110/2]via10.0.2.2,01:05:26,FastEthernet1/0[110/2]via10.0.4.2,01:05:26,FastEthernet1/1O10.10.20.0/24[110/2]via10.0.2.2,01:05:16,FastEthernet1/0第132页 [110/2]via10.0.4.2,01:05:16,FastEthernet1/1O10.10.30.0/24[110/2]via10.0.2.2,01:05:16,FastEthernet1/0[110/2]via10.0.4.2,01:05:16,FastEthernet1/1O10.10.40.0/24[110/2]via10.0.2.2,01:05:06,FastEthernet1/0[110/2]via10.0.4.2,01:05:06,FastEthernet1/1（5）测试全网连通性图4-4VLAN10主机ping路由器回环口图4-5VLAN10主机pingVLAN20主机第132页 （6）浮动路由验证图4-6默认路由失效后的路由表图4-7VLAN10主机tracert外网回环口2、策略路由和NAPT实验验证结果出口路由器的策略配置，基于目的转发。access-list101permitipany3.3.3.00.0.0.255第132页 access-list102permitipany58.192.0.00.0.0.255route-mapisppermit10matchipaddress101setipnext-hop11.11.11.2route-mapisppermit20matchipaddress102setipnext-hop22.22.22.2（1）策略路由验证结果内部网ping通两个符合目的转发规则的回环口可以连通，ping没有转发规则的回环口不通。图4-8策略路由验证测试第132页 图4-9出口路由器路由表（2）NAPT验证结果第132页 5办公区网络项目的设计方案（负责人：郭鑫）5.1办公区网络设计方案5.1.1办公区网络拓扑设计图5-1办公区网络拓扑图在办公区网络中，汇聚交换机采用冗余的连接到核心层，采用MSTP解决环路问题，实现链路备份。根据不同的行政部门、不同学院建立不同VLAN，建立独立冲突域提高网络质量，通过三层SVI实现跨网段访问。建立基于时间的ACL，对用户访问网络进行时间段的控制。涉及到特殊部门为之建立特殊的ACL。在接入层交换机上采取必要的安全配置，开启端口安全，开启DHCPsnooping，防止一些恶意的攻击，和地址欺骗等。第132页 表5-1办公区地址规划部门类别部门名称节点总计VLAN划分地址行政机关教务处181010.10.10.0/24人事处81110.10.11.0/24考试评估中心61210.10.12.0/24保卫处41310.10.13.0/24校办41410.10.14.0/24党务机构党办241510.10.15.0/24纪委81610.10.16.0/24组织部81710.10.17.0/24保密办81810.10.18.0/24党校181910.10.19.0/24学生工作处122010.10.20.0/24学院分类研究生院4022410.24.1.0/24经管院8021910.19.1.0/24人文院8021810.18.1.0/24机电院12021110.11.1.0/24六院13021610.16.1.0/24五院30021510.15.2.0/235.1.2网络设备选型根据办公区节点估算，办公区节点有868个，表5-1网络设备选型序号设备名称型号/规格单位单价（元）数量总价（元）1汇聚交换机RG-S5750-48GT/4SFP台136001136002接入交换机RG-S2628G-P个470040188000设备总价格：201,600元5.1.3应用技术说明1、MSTP技术：MSTP（多生成树协议）是在交换网络中基于VLAN构建多个生成树，既避免了环路，又能让相同VLAN间的通讯不受影响。它可以把一台交换机的一个或多个VLAN划分为instance，有着相同instance配置的交换机就组成了一个域（MST第132页 region），运行独立的生成树（这个内部的生成树称为IST，InteralSpanningtree）；这个MSTregion组合就相当于一个大的交换机整体，与其他的MSTregion再进行生成树算法运算，得出一个整体的生成树，称为CST（CommonSpanningTree）。2、VLAN（虚拟局域网）技术：VLAN能将网络划分为多个广播域，从而有效地控制广播风暴的发生，还能使网络的拓扑结构变得非常灵活，以及用于控制网络中不同部门、不同站点之间的互相访问。VLAN是为解决以太网的广播问题和安全性而提出的一种协议。3、ACL(访问控制列表)：应用在核心接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。4、DHCPSnooping：DHCPSnooping技术是DHCP安全特性，通过建立和维护DHCPSnooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCPSnooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID接口等信息。5、端口安全：防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口安全的基本功能，限制交换机端口的最大连接数，端口的安全地址绑定。第132页 5.2办公区网络项目论证5.2.1办公区网络项目论证实验说明图5-2办公区网络实验拓扑图1、论证实验的综合应用技术说明实验中应用的技术有MSTP技术，VLAN技术，ACL技术，端口安全技术，DHCP技术。2、论证实验中的设备（应用技术）替换说明本实验在思科模拟器上论证实现，由于模拟器不支持MSTP协议，所以用PVST技术代替MSTP。模拟器中不支持基于时间的ACL，故没有实现。由于模拟器中的交换机不支持DHCP中继技术，所以在核心交换机上开启DHCP服务代替DHCP服务器。实验中用两个三层交换机代替核心交换机，用两个三层交换接作为汇聚层交换机，四个二层交换机作为接入交换机。3、配置VLAN第132页 在所有交换机上配置VLAN，如图所示，将接口划入到VLAN中。将三层交换机之间相连的接口配置为trunk模式，将二层与三层连接的接口配置为trunk模式。3、配置PVST在四台三层交换机开启PVST，将核心1作为VLAN10，20，30，40的根，将核心2作为VLAN50，60，70，80的根。4、在核心1上配置DHCP服务，给VLAN10，分发地址。5、在二层交换机上开启端口安全。5.2.2办公区网络论证实验调试结果主要设备的调试信息（show、debug），切记：这里不要showrunping、traceroute、服务器、客户机、测试软件的验证抓图对论证实验的配置要求分别说明1、VLAN信息的配置办公1上的VLAN信息Bangong1#showvlanVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveFa0/4,Fa0/5,Fa0/6,Fa0/7Fa0/8,Fa0/9,Fa0/10,Fa0/11Fa0/12,Fa0/13,Fa0/14,Fa0/15Fa0/16,Fa0/17,Fa0/18,Fa0/19Fa0/20,Fa0/21,Fa0/22,Gig0/1Gig0/210test1active20test2active30test3active40test4active二层交换机上的VALN信息Switch1#showvlanVLANNameStatusPorts----------------------------------------------------------------------------第132页 1defaultactiveFa0/21,Fa0/22,Fa0/23,Fa0/24Gig1/1,Gig1/210test1activeFa0/2,Fa0/3,Fa0/4,Fa0/5Fa0/6,Fa0/7,Fa0/8,Fa0/9Fa0/1020test2activeFa0/11,Fa0/12,Fa0/13,Fa0/14Fa0/15,Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20Switch2#showvlanVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveFa0/2,Fa0/3,Fa0/4,Fa0/5Fa0/6,Fa0/7,Fa0/8,Fa0/9Fa0/10,Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15,Fa0/16,Fa0/17Fa0/18,Fa0/19,Fa0/20,Fa0/21Fa0/22,Fa0/23,Fa0/24,Gig1/1Gig1/230test3active40test4active2、PVST配置信息核心1上的PVST信息Core1#showspanning-treeVLAN0010SpanningtreeenabledprotocolieeeRootIDPriority4106Address0060.5CC7.0A7EThisbridgeistherootHelloTime2secMaxAge20secForwardDelay15sec第132页 BridgeIDPriority4106(priority4096sys-id-ext10)Address0060.5CC7.0A7EHelloTime2secMaxAge20secForwardDelay15secAgingTime20InterfaceRoleStsCostPrio.NbrType------------------------------------------------------------------------Fa0/1DesgFWD19128.1P2pFa0/2DesgFWD19128.2P2pGi0/1DesgFWD4128.25P2pVLAN0020SpanningtreeenabledprotocolieeeRootIDPriority4116Address0060.5CC7.0A7EThisbridgeistherootHelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority4116(priority4096sys-id-ext20)Address0060.5CC7.0A7EHelloTime2secMaxAge20secForwardDelay15secAgingTime20InterfaceRoleStsCostPrio.NbrType------------------------------------------------------------------------Fa0/1DesgFWD19128.1P2pFa0/2DesgFWD19128.2P2pGi0/1DesgFWD4128.25P2pVLAN0030SpanningtreeenabledprotocolieeeRootIDPriority4126Address0060.5CC7.0A7EThisbridgeistheroot第132页 HelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority4126(priority4096sys-id-ext30)Address0060.5CC7.0A7EHelloTime2secMaxAge20secForwardDelay15secAgingTime20InterfaceRoleStsCostPrio.NbrType------------------------------------------------------------------------Fa0/1DesgFWD19128.1P2pFa0/2DesgFWD19128.2P2pGi0/1DesgFWD4128.25P2pVLAN0040SpanningtreeenabledprotocolieeeRootIDPriority4136Address0060.5CC7.0A7EThisbridgeistherootHelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority4136(priority4096sys-id-ext40)Address0060.5CC7.0A7EHelloTime2secMaxAge20secForwardDelay15secAgingTime20InterfaceRoleStsCostPrio.NbrType------------------------------------------------------------------------Fa0/1DesgFWD19128.1P2pFa0/2DesgFWD19128.2P2pGi0/1DesgFWD4128.25P2pVLAN0050SpanningtreeenabledprotocolieeeRootIDPriority4146Address0007.EC37.6332Cost4第132页 Port25(GigabitEthernet0/1)HelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority32818(priority32768sys-id-ext50)Address0060.5CC7.0A7EHelloTime2secMaxAge20secForwardDelay15secAgingTime20InterfaceRoleStsCostPrio.NbrType------------------------------------------------------------------------Fa0/1DesgFWD19128.1P2pFa0/2DesgFWD19128.2P2pGi0/1RootFWD4128.25P2pVLAN0060SpanningtreeenabledprotocolieeeRootIDPriority4156Address0007.EC37.6332Cost4Port25(GigabitEthernet0/1)HelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority32828(priority32768sys-id-ext60)Address0060.5CC7.0A7EHelloTime2secMaxAge20secForwardDelay15secAgingTime20InterfaceRoleStsCostPrio.NbrType------------------------------------------------------------------------Fa0/1DesgFWD19128.1P2pFa0/2DesgFWD19128.2P2pGi0/1RootFWD4128.25P2pVLAN0070SpanningtreeenabledprotocolieeeRootIDPriority4166第132页 Address0007.EC37.6332Cost4Port25(GigabitEthernet0/1)HelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority32838(priority32768sys-id-ext70)Address0060.5CC7.0A7EHelloTime2secMaxAge20secForwardDelay15secAgingTime20InterfaceRoleStsCostPrio.NbrType------------------------------------------------------------------------Fa0/1DesgFWD19128.1P2pFa0/2DesgFWD19128.2P2pGi0/1RootFWD4128.25P2pVLAN0080SpanningtreeenabledprotocolieeeRootIDPriority4176Address0007.EC37.6332Cost4Port25(GigabitEthernet0/1)HelloTime2secMaxAge20secForwardDelay15secBridgeIDPriority32848(priority32768sys-id-ext80)Address0060.5CC7.0A7EHelloTime2secMaxAge20secForwardDelay15secAgingTime20InterfaceRoleStsCostPrio.NbrType------------------------------------------------------------------------Fa0/1DesgFWD19128.1P2pFa0/2DesgFWD19128.2P2pGi0/1RootFWD4128.25P2p第132页 3、DHCP验证结果图5-3VLAN10的主机DHCP获取地址截图4、端口安全验证部分端口的安全信息：interfaceFastEthernet0/2switchportaccessvlan10switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/3switchportaccessvlan10switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/4switchportaccessvlan10switchportport-securitymac-addressstickyswitchportport-securityviolationprotect第132页 interfaceFastEthernet0/5switchportaccessvlan10switchportport-securitymac-addressstickyswitchportport-securityviolationprotect第132页 6图书馆网络项目的设计方案（负责人：刘强）6.1图书馆网络设计方案6.1.1图书馆网络拓扑设计1、图书馆概况中北大学图书馆图书馆坐落在校园中央，馆舍始建于2002年，完工于2006年，学校图书馆馆舍总面积46707.48平方米，其中校图书馆总面积45007.48平方米，各学院资料室1700平方米。现有阅览室35个，设有阅览座位6114个，周开放时间为105小时。我校图书馆实行校长领导下的馆长负责制。图书馆设正副馆长，实行馆、部、室三级领导的管理体制。目前，图书馆下设办公室、采编部、流通部、阅览部、期刊部、信息咨询部、读者服务部、系统部。办公室行政业务职能机构，主要负责图书馆的财务、文书、人事、总务财产、行政管理及统计管理工作，负责内部事务处理、外部联系接洽，会议的组织和书刊加工材料的供应事项。办公室设在图书馆四层。采编部馆文献采访、标引、题目、加工的业务机构。采编部设在图书馆四层。流通部图书保管、组织、调配、利用的业务机构。流通部设在图书馆一层。阅览部馆藏文献阅览的业务机构。阅览部设在图书馆三、四层。期刊部报刊文献的收集、管理、利用业务机构。期刊部分布在图书馆二层。信息咨询部信息咨询部的主要工作包括情报服务、情报教育、电子阅览室的开放与管理、文献检索室的开放与管理。信息咨询部设在图书馆三层。读者服务部读者服务部负责办理读者的入学、离校的有关手续。负责为读者补办证件、打印、复印、装订、新书展订及读者服务的相关工作。负责全馆破损图书和期刊的修补、装订工作。负责图书的归还、超期图书、丢失图书的处理工作。读者服务部设在图书馆三层。系统部系统部的主要工作是图书馆自动化系统的设计、设备的调研、安装、调试、维护，电子资源的安装、调试、数据备份和更新等，图书馆主页的制作与动态维护，并负责工作人员及读者有关计算机知识的培训和指导。系统部设在图书馆三层。第132页 2、图书馆网络拓扑图6-1图书馆网络拓扑图图书馆网络拓扑说明：在图书馆汇聚层交换机上做冗余备份，采用双核心技术提高网络的可靠性。不同阅览室、不同科室、部门划分不同VLAN，建立独立的冲突域；采用基于时间的ACL控制内部借阅网络拒绝访问互联网，对电子阅览室的网络进行速度限制，拒绝图书馆办公部门在办公时间禁止网络聊天、BT下载等业务；应用交换机端口安全技术，防范网络中通过伪造地址而进行的攻击，应用在档案馆等重要部门，防止机密信息的泄露；应用端口限速技术，将需要限制的端口加入限速端口，从而将类似QQ、BT等对网络资源、网络性能的影响消除掉（QQ客户端使用端口4000，服务器端口为8000，BT一般使用TCP的6881～6889端口）；无线接入技术（Wi-Fi）是一种可以将个人电脑、手持设备（如PDA、手机）等终端以无线方式互相连接的无线局域网通信技术。该技术是基于IEEE802.11标准的无线通信技术，目前正在使用的通信标准为IEEE802.11a、IEEE802.11b和IEEE802.11g。第132页 根据图书馆各层厅室的布局和主要功能，应用设备和技术如下表：表6-1各部门应用设备和应用技术分配表馆层主要部门应用设备应用技术负一层验书部、学生阅览室接入交换机、终端设备ACL、VLAN、端口安全一层图书阅览室、目录检索厅、流通部接入交换机、终端设备ACL、VLAN、端口安全二层期刊、报纸阅览室、期刊部接入交换机、终端设备ACL、VLAN、端口安全三层系统部、信息咨询部、电子阅览室、读者服务部、阅览部、控制室、网络工作室汇聚交换机、服务器、接入交换机、终端设备MSTP、端口安全、端口限速、ACL、VLAN四层图书阅览室、办公室、阅览部、采编部、第一至第五会议室接入交换机、双路AP、终端设备ACL、VLAN、无线接入、端口限速五层学生阅览室、报告厅、贵宾室接入交换机、终端设备ACL、VLAN、端口安全六层学生阅览室、研究生阅览室、档案馆楼层交换机、终端设备ACL、VLAN、端口安全七层学生阅览室无无第132页 6.1.2网络设备选型表6-2图书馆信息点统计部门名称房间数目信息点数（每房间）统计数目总计1-验书部2486242-图书阅览室131133-目录检索厅120204-流通部3395-期刊部4146-系统部120207-控制室120208-网络工作室110107-信息咨询部110108-电子阅览室22004009-阅览部1101010-采编部1101011-会议室5105012-报告厅1101013-贵宾室2102014-档案馆11010第132页 表6-3交换机采购表交换机类型汇聚层交换机交换机类型接入层交换机产品型号RG-S5750-24GT/12SFP产品型号RG-S2724G产品类型智能交换机产品类型网管交换机传输速率10/100/1000Mbps传输速率10/100/1000Mbps交换方式存储-转发交换方式存储-转发背板带宽240Gbps背板带宽48Gbps端口结构非模块化包转发率36Mbps端口数量24个MAC地址表16K扩展模块2端口结构非模块化传输模式支持全双工端口数量24个Vlan支持扩展模块4电源电压AC176-264，48-60HZ传输模式全双工/半双工自适应产品尺寸440×435×44mmVlan支持商家报价70000Qos支持折扣价15000电源电压AC176-264，48-60HZ使用数量4产品尺寸440×435×44mm价格60000商家报价7000折扣价1500使用数量21价格315000第132页 表6-4无线接入点采购表产品类型CISCOWAP4400N报价1350元数量4总价5400元适用范围中小企业传输速率（Mbps）300额定电压（V）12V工作温度（℃）0-40产品亮点WEP64位/128位、WPA-PSK、WPA2-PSK、WPA-ENT、WPA2-ENT网络标准IEEE802.11n、IEEE802.11g、IEEE802.11b、IEEE802.3、IEEE802.3u、IEEE802.3af、IEEE802.1x、IEEE802.11i、IEEE802.11e表6-5图书馆服务器采购表图书馆服务器类型IBMSystemx3850X5(7145N05)产品类别机架式CPU型号XeonE75402GHz内存容量16GDDR3标配CPU数量2颗内部硬盘架数最大支持8块串行连接的SCSI（SAS）或16块SASSSD硬盘标配硬盘容量标配不提供网络控制器双千兆以太网卡电池类型冗余电源产品结构4URAID模式RAID5扩展槽7×半长PCI-E最大CPU数量4U价格5.2万数量6总价格31.2万设备总价378,900元第132页 6.1.3应用技术说明1、虚拟局域网技术（VLAN）VLAN（VirtualLocalAreaNetWork）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个一个网段从而实现虚拟工作组的技术。表6-5VLAN地址段划分部门名称所属VLANVLAN占用地址段所需地址数电子阅览室VLAN10~1110.21.10.0/2410.21.11.0/24400行政办公部门VLAN1210.21.12.0/24154other1（其他）VLAN13~1410.21.13.0/2410.21.14.0/24100会议室、贵宾室VLAN15~1610.21.15.0/2410.21.16.0/2470other2（其他）VLAN17~1810.21.17.0/2410.21.18.0/24100外部服务器管理室VLAN1910.21.19.0/2420内部服务器管理室VLAN2010.21.20.0/24102、多重生成树技术（MSTP）在第二层网络中，路由协议不可用，生成树协议能够通过从望格化物理拓扑结构而构建一个无环路逻辑转发拓扑结构，提供了冗余连接，消除了数据流量环路的威胁。应用于核心层交换机，避免环路并提供冗余连接。3、访问控制列表技术（ACL）访问控制列表是路由器或交换机接口的指令列表，用来控制端口进出的数据包，保证了整个网络的安全。对职工上网的时间和流量进行控制。4、交换机端口安全端口安全是一种通过限制允许访问交换机上的某个端口的MAC地址以及IP第132页 来实现严格控制对该端口的访问控制的配置功能，打开了端口安全的端口成为安全端口，被允许通过安全端口的地址成为安全地址。只有来自安全地址的流量可以通过交换机，从而防范网络中通过伪造地址而进行的攻击，应用在财务科以及档案室，防止机密信息的泄露。5、交换机端口限速端口限速是直接在端口上配置，例如把交换机端口1的出口方向限速为2M，则从该端口将发送的流量加起来被限制到2M。该种限速方式使用在汇聚交换机上实现，每端口接一个用户，这样用户就算使用BT下载工具，因为提供给他的下载速率已经被交换机给限制住，BT就算打开再多的TCP连接，也不会影响整个网络的性能，从而将BT对网络的影响给消除掉，这是一种强制性的限速方式。6、无线接入技术无线接入技术（Wi-Fi）是一种可以将个人电脑、手持设备（如PDA、手机）等终端以无线方式互相连接的无线局域网通信技术。相对于蓝牙技术十几米左右的电波范围，Wi-Fi根据产品性能以及传播环境的不同可以覆盖几十米至几百米的范围。该技术是基于IEEE802.11标准的无线通信技术，目前正在使用的通信标准为IEEE802.11a、IEEE802.11b和IEEE802.11g。从502.11g标准的发展情况来看，未来的WLAN技术标准还将不断演进，高带宽是最主要的发展方向，下一代WLAN网络的传输速率可以达到540Mbps。第132页 6.2图书馆网络项目论证6.2.1图书馆网络项目论证实验说明1、实验拓扑图图6-2图书馆实验拓扑图2、论证实验的综合应用技术说明Ø虚拟局域网技术（VLAN）VLAN（VirtualLocalAreaNetWork）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个一个网段从而实现虚拟工作组的技术。Ø多重生成树技术（MSTP）在第二层网络中，路由协议不可用，生成树协议能够通过从望格化物理拓扑结构而构建一个无环路逻辑转发拓扑结构，提供了冗余连接，消除了数据流量环路的威胁。应用于核心层交换机，避免环路并提供冗余连接。Ø访问控制列表技术（ACL）第132页 访问控制列表是路由器或交换机接口的指令列表，用来控制端口进出的数据包，保证了整个网络的安全。对职工上网的时间和流量进行控制。Ø交换机端口安全技术端口安全是一种通过限制允许访问交换机上的某个端口的MAC地址以及IP来实现严格控制对该端口的访问控制的配置功能，打开了端口安全的端口成为安全端口，被允许通过安全端口的地址成为安全地址。只有来自安全地址的流量可以通过交换机，从而防范网络中通过伪造地址而进行的攻击，应用在财务科以及档案室，防止机密信息的泄露。Ø交换机端口限速技术端口限速是直接在端口上配置，例如把交换机端口1的出口方向限速为2M，则从该端口将发送的流量加起来被限制到2M。该种限速方式使用在汇聚交换机上实现，每端口接一个用户，这样用户就算使用BT下载工具，因为提供给他的下载速率已经被交换机给限制住，BT就算打开再多的TCP连接，也不会影响整个网络的性能，从而将BT对网络的影响给消除掉，这是一种强制性的限速方式。Ø无限接入技术无线接入技术（Wi-Fi）是一种可以将个人电脑、手持设备（如PDA、手机）等终端以无线方式互相连接的无线局域网通信技术。相对于蓝牙技术十几米左右的电波范围，Wi-Fi根据产品性能以及传播环境的不同可以覆盖几十米至几百米的范围。该技术是基于IEEE802.11标准的无线通信技术，目前正在使用的通信标准为IEEE802.11a、IEEE802.11b和IEEE802.11g。从502.11g标准的发展情况来看，未来的WLAN技术标准还将不断演进，高带宽是最主要的发展方向，下一代WLAN网络的传输速率可以达到540Mbps。3、论证实验中的设备（应用技术）替换说明理想交换机：RG-S5750-24GT/12SFP、RG-S2724G实验用交换机：RG-S3750、RG-S2126;无线接入技术未实现，其他技术已经实现。4、论证实验的配置工作说明各个VLAN段划分；MSTP的配置；配置ACL；交换机端口安全；交换机端口限速。6.2.2图书馆组网论证实验调试结果1、VLAN论证实验调试结果S3550A#showvlan第132页 VLANNameStatusPorts-----------------------------------------------------------------------------1VLAN0001STATICFa0/1,Fa0/2,Fa0/6,Fa0/7Fa0/8,Fa0/9,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15,Fa0/16Fa0/17,Fa0/18,Fa0/19,Fa0/20Fa0/21,Fa0/22,Gi0/25,Gi0/26Gi0/27,Gi0/28,Ag110yuelanSTATICFa0/1,Fa0/2,Fa0/11,Ag120bangongSTATICFa0/1,Fa0/2,Fa0/11,Ag130other1STATICFa0/1,Fa0/2,Fa0/11,Ag140wuxianSTATICFa0/1,Fa0/2,Fa0/11,Ag150other2STATICFa0/1,Fa0/2,Fa0/11,Ag160waibuSTATICFa0/1,Fa0/2,Fa0/10,Fa0/11Ag170neibuSTATICFa0/1,Fa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/11,Ag1S3550B#showvlanVLANNameStatusPorts-----------------------------------------------------------------------------1VLAN0001STATICFa0/1,Fa0/2,Fa0/6,Fa0/7Fa0/8,Fa0/9,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15,Fa0/16Fa0/17,Fa0/18,Fa0/19,Fa0/20Fa0/21,Fa0/22,Gi0/25,Gi0/26Gi0/27,Gi0/28,Ag110yuelanSTATICFa0/1,Fa0/2,Fa0/11,Ag120bangongSTATICFa0/1,Fa0/2,Fa0/11,Ag130other1STATICFa0/1,Fa0/2,Fa0/11,Ag140wuxianSTATICFa0/1,Fa0/2,Fa0/11,Ag1第132页 50other2STATICFa0/1,Fa0/2,Fa0/11,Ag160waibuSTATICFa0/1,Fa0/2,Fa0/10,Fa0/11Ag170neibuSTATICFa0/1,Fa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/11,Ag1S2126A#showvlanVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/13Fa0/14,Fa0/15,Fa0/16Fa0/17,Fa0/18,Fa0/19Fa0/20,Fa0/21,Fa0/22Fa0/23,Fa0/2410yuelanactiveFa0/1,Fa0/2,Fa0/3Fa0/4,Fa0/5,Fa0/6Fa0/720bangongactiveFa0/1,Fa0/2,Fa0/8Fa0/9,Fa0/10,Fa0/11Fa0/12S2126B#showvlanVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/13Fa0/14,Fa0/15,Fa0/16Fa0/17,Fa0/18,Fa0/19Fa0/20,Fa0/21,Fa0/22Fa0/23,Fa0/2410VLAN0010activeFa0/1,Fa0/220VLAN0020activeFa0/1,Fa0/230other1activeFa0/1,Fa0/2,Fa0/3第132页 Fa0/4,Fa0/5,Fa0/6Fa0/750other2activeFa0/1,Fa0/2,Fa0/8Fa0/9,Fa0/10,Fa0/11Fa0/122、MSTP论证实验调试结果S3550A(config)#showspanning-treemstconfigurationMultispanningtreeprotocol:EnableName:libraryRevision:1InstanceVlansMapped----------------------------------------------------0:1-9,11-19,21-29,31-39,41-49,51-59,61-69,71-40941:10,20,30,502:40,60,70-----------------------------------------------------S3550A(config)#showspanning-treeStpVersion:MSTPSysStpStatus:ENABLEDMaxAge:20HelloTime:2ForwardDelay:15BridgeMaxAge:20BridgeHelloTime:2BridgeForwardDelay:15MaxHops:20TxHoldCount:3PathCostMethod:Long第132页 BPDUGuard:DisabledBPDUFilter:DisabledLoopGuardDef:Disabled######mst1vlansmap:10,20,30,50BridgeAddr:001a.a919.49e4Priority:0TimeSinceTopologyChange:0d:0h:2m:6sTopologyChanges:14DesignatedRoot:0001.001a.a919.49e4RootCost:0RootPort:0######mst2vlansmap:40,60,70BridgeAddr:001a.a919.49e4Priority:32768TimeSinceTopologyChange:0d:0h:12m:28sTopologyChanges:11DesignatedRoot:0002.001a.a919.49bcRootCost:190000RootPort:29S3550B(config)#showspanning-treemstconfigurationMultispanningtreeprotocol:EnableName:libraryRevision:1InstanceVlansMapped----------------------------------------------------0:1-9,11-19,21-29,31-39,41-49,51-59,61-69,71-40941:10,20,30,502:40,60,70------------------------------------第132页 S3550B#showspanning-treeStpVersion:MSTPSysStpStatus:ENABLEDMaxAge:20HelloTime:2ForwardDelay:15BridgeMaxAge:20BridgeHelloTime:2BridgeForwardDelay:15MaxHops:20TxHoldCount:3PathCostMethod:LongBPDUGuard:DisabledBPDUFilter:DisabledLoopGuardDef:Disabled######mst1vlansmap:10,20,30,50BridgeAddr:001a.a919.49bcPriority:32768TimeSinceTopologyChange:0d:0h:0m:40sTopologyChanges:7DesignatedRoot:0001.001a.a919.49e4RootCost:190000RootPort:29######mst2vlansmap:40,60,70BridgeAddr:001a.a919.49bcPriority:0TimeSinceTopologyChange:0d:0h:11m:4sTopologyChanges:3DesignatedRoot:0002.001a.a919.49bc第132页 RootCost:0RootPort:0S2126A#showspanning-treeStpVersion:MSTPSysStpStatus:EnabledBaseNumPorts:24MaxAge:20HelloTime:2ForwardDelay:15BridgeMaxAge:20BridgeHelloTime:2BridgeForwardDelay:15MaxHops:20TxHoldCount:3PathCostMethod:LongBPDUGuard:DisabledBPDUFilter:Disabled######MST1vlansmapped:10,20,30,50BridgeAddr:001a.a919.4ff7Priority:32768TimeSinceTopologyChange:0d:0h:42m:49sTopologyChanges:0DesignatedRoot:0001001AA91949E4RootCost:200000RootPort:Fa0/1######MST2vlansmapped:40,60,70BridgeAddr:001a.a919.4ff7Priority:32768TimeSinceTopologyChange:0d:0h:42m:49s第132页 TopologyChanges:0DesignatedRoot:0002001AA91949BCRootCost:200000RootPort:Fa0/2S2126B#showspanning-treeStpVersion:MSTPSysStpStatus:EnabledBaseNumPorts:24MaxAge:20HelloTime:2ForwardDelay:15BridgeMaxAge:20BridgeHelloTime:2BridgeForwardDelay:15MaxHops:20TxHoldCount:3PathCostMethod:LongBPDUGuard:DisabledBPDUFilter:Disabled######MST1vlansmapped:10,20,30,50BridgeAddr:001a.a919.502dPriority:32768TimeSinceTopologyChange:0d:0h:43m:31sTopologyChanges:0DesignatedRoot:0001001AA91949E4RootCost:200000RootPort:Fa0/2######MST2vlansmapped:40,60,70BridgeAddr:001a.a919.502d第132页 Priority:32768TimeSinceTopologyChange:0d:0h:43m:31sTopologyChanges:0DesignatedRoot:0002001AA91949BCRootCost:200000RootPort:Fa0/13、ACL论证实验调试结果S3550A#showaccess-listsipaccess-liststandardneibu10permit10.21.0.00.0.255.255S3550A#showaccess-groupipaccess-groupneibuoutAppliedOninterfaceVLAN70S3550B#showaccess-listsipaccess-liststandardneibu10permit10.21.0.00.0.255.255S3550B#showaccess-groupipaccess-groupneibuoutAppliedOninterfaceVLAN70S2126A#showipaccess-groupInterfaceinboundaccess-listoutboundaccess-list------------------------------------------------------------------------Fa0/3officeFa0/4officeFa0/5officeFa0/6officeFa0/7officeFa0/8officeFa0/9office第132页 Fa0/10officeFa0/11officeFa0/12officeFa0/13officeFa0/14officeFa0/15officeFa0/16officeFa0/17officeFa0/18officeFa0/19officeFa0/20officeFa0/21officeFa0/22officeFa0/23officeFa0/24officeS2126A#showipaccess-listsExtendedIPaccesslist:officedenyudpanyanyeq4000denyudpanyanyeq8000permitipanyanyS2126B#showipaccess-groupInterfaceinboundaccess-listoutboundaccess-list--------------------------------------------------------------------------Fa0/3officeFa0/4officeFa0/5officeFa0/6officeFa0/7officeFa0/8officeFa0/9office第132页 Fa0/10officeFa0/11officeFa0/12officeFa0/13officeFa0/14officeFa0/15officeFa0/16officeFa0/17officeFa0/18officeFa0/19officeFa0/20officeFa0/21officeFa0/22officeFa0/23officeFa0/24officeS2126B#showipaccess-listsExtendedIPaccesslist:officedenyudpanyanyeq4000denyudpanyanyeq8000permitipanyany4、交换机端口限速论证实验调试结果S3550A#showaccess-listsipaccess-liststandardneibu10permit10.21.0.00.0.255.255ipaccess-listextendedqos10denyipany10.21.0.00.0.255.25520permitip10.21.0.00.0.255.255anyS3550A#showclass-map1ClassMap1第132页 Matchaccess-groupqosS3550A#showpolicy-mapPolicyMapcontrol-speedClass1police10000008exceed-actiondropS3550B#showaccess-listsipaccess-liststandardneibu10permit10.21.0.00.0.255.255ipaccess-listextendedqos10denyipany10.21.0.00.0.255.25520permitip10.21.0.00.0.255.255anyS3550B#showclass-map1ClassMap1Matchaccess-groupqosS3550B#showpolicy-mapPolicyMapcontrol-speedClass1police10000008exceed-actiondrop5、交换机端口安全论证实验调试结果S2126A#showport-securityarp-checkPortSecurityArpCheck:ENABLEPortSecurityArpCheckCpu:DISABLES2126B#showport-securityarp-checkPortSecurityArpCheck:ENABLEPortSecurityArpCheckCpu:DISABLES2126A#showport-securityintf0/3Interface:Fa0/3第132页 PortSecurity:EnabledPortstatus:upViolationmode:ProtectMaximumMACAddresses:1TotalMACAddresses:1ConfiguredMACAddresses:0Agingtime:0minsSecurestaticaddressaging:DisabledS2126B#showport-securityintf0/3Interface:Fa0/3PortSecurity:EnabledPortstatus:upViolationmode:ProtectMaximumMACAddresses:1TotalMACAddresses:1ConfiguredMACAddresses:0Agingtime:0minsSecurestaticaddressaging:Disabled第132页 7学生、教职工宿舍网络设计项目的设计方案（负责人：杨青雷）7.1学生、教职工宿舍网络设计方案7.1.1学生宿舍、教职工网络拓扑设计图7-1设计说明、具体地址规划和网络拓扑图第132页 在学生、教职工公寓网络设计中，不同学院学生建立不同VLAN，利用三层交换机，通过SVI实现跨网段的访问。在二层交换机上，通过建立访问控制列表，实现对学生上网流量的控制，避免造成网络拥堵，优化网络环境。在二层交换机上还需要配置静态MAC绑定，端口安全，限制端口的最大安全地址个数，DHCPSnooping绑定过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。限制端口的最大安全地址个数可以有效控制访问用户数，避免其他多余的恶意连接，从数量上就避免了网络拥堵。教职工的网络的地址规划和网络拓扑图相同。7.1.2网络设备选型由于用户数量比较多，因此采用三层交换机和二层交换机来划分虚拟局域网，并通过三层交换机的路由功能实现跨网段的相互访问。汇聚层的交换机分为两台，分别设在学生公寓楼群和教职工宿舍楼群。汇聚交换机应支持全面的网络管理、VLAN、端口镜像、802.1X身份认证等功能，另外为防止常见的网络攻击，最大连接数、保证端口安全的功能。三层交换机选择锐捷网络RG-S3526二层交换机选择RG-S2126。7.1.3应用技术说明在学生宿舍网络设计中，不同学院学生建立不同VLAN，以实现广播域的隔离，只有相同学院的学生才能相互间访问。这样可以优化网络。不同VLAN间还存在相互访问的业务，所以利用三层交换机，通过SVI实现跨网段的访问。在学生宿舍网络设计中，不同年龄段的老师建立不同的VLAN，这样方便管理。对网络流量的控制。高校宿舍网面向的接入用户是在校学生，上网的时间相对比较集中，所以在此时段网络访问流量会较大，在一些特殊时候可能会出现大量的网络突发流量。为了保证网络质量和正常通信，必须对网络流量加以控制，利用基于流量控制的ACL实现对网络流量的控制，优化网络。在三层二层交换机上都开启DHCP中继服务功能，以便于核心层对地址的分配和管理。第132页 7.2学生宿舍项目论证7.2.1学生宿舍项目论证实验说明图7-2实验拓扑图论证实验的综合应用技术说明1.VLAN虚拟局域网通过划分VLAN的方法，可以将在二层交换网络中对广播域进行划分，将大的广播域划分为小的广播域，从而减少网络中的广播流量。划分VLAN后，不同VLAN间的主机是不能相互访问的，需要同过三层路由功能才能实现不同网段间的相互访问。划分到同一个VLAN的端口和设备属于同一个VLAN，即同一个广播域，因此规划IP地址时，同一个VLAN内的设备应属于同一个子网。在宿舍网络设计中设置VLAN划分是为了分割广播域，使同一VLAN下的网络通信只在本VLAN下广播。设计中，我们使用了基于端口的VLAN划分方式。学生宿舍按学院需划分14个VLAN。教职工宿舍按教职工工龄具体划分如下：VLAN序号网段说明VLAN1010.32.0.0/19管理VLAN1110.32.32.0/19一院学生VLAN1210.32.64.0/19二院学生第132页 VLAN1310.32.96.0/19三院学生VLAN1410.32.128.0/19四院学生VLAN1510.32.160.0/19五院学生VLAN1610.32.192.0/19六院学生VLAN1710.32.224.0/19七院学生VLAN1810.33.0.0/19八院学生VLAN1910.33.32.0/19九院学生VLAN11010.33.64.0/19十院学生VLAN11110.33.96.0/19后备军官院学生VLAN11210.33.128.0/19软件学院学生VLAN11310.33.160.0/19成教院学生VLAN11410.33.192.0/16信息商务院学生VLAN2010.33.224.0/16管理VLANVLAN2110.34.0.0/161-2年工龄VLAN2210.34.32.0/163-5年工龄VLAN2310.34.64.0/165-10年工龄VLAN2410.34.96.0/1610-15以上工龄VLAN2510.34.128.0/1615年以上表7-1学生宿舍VLAN及相应网段划分SVI利用三层交换机通过SVI方式实现VLAN间路由。实现方法是在三层交换机上为各VLAN创建虚拟VLSN接口，并为SVI接口配置IP地址，作为各VLAN中主机的网关。SVI配置：Switch(config)#intf0/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#exitSwitch(config)#iproutingSwitch(config)#vlan10Switch(config-vlan)#nameGuanliSwitch(config-vlan)#exit第132页 Switch(config)#vlan11Switch(config-vlan)#nameYiYuanSwitch(config-vlan)#exitSwitch(config)#vlan12Switch(config-vlan)#nameErYuanSwitch(config-vlan)#exitSwitch(config)#intvlan10Switch(config-if)#ipadd192.168.100.1255.255.255.0Switch(config-if)#noshutSwitch(config)#intvlan11Switch(config-if)#ipadd192.168.101.1255.255.255.0Switch(config-if)#noshutSwitch(config)#intvlan12Switch(config-if)#ipadd192.168.102.1255.255.255.0Switch(config-if)#noshutSwitch(config-if)#end在二层交换机上配置trunk和三层交换机连通，二层交换机上创建相同的VLAN和三层交换机一样，各接口根据学生的学院设置的不同划入相应的VLAN。。二层交换机的配置如下：Switch(config)#intf0/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#exitSwitch(config)#vlan10Switch(config-vlan)#exitSwitch(config)#vlan11Switch(config-vlan)#exitSwitch(config)#vlan12Switch(config-vlan)#exitSwitch(config)#intf0/2Switch(config-if)#switchportaccessvlan11Switch(config-if)#exit第132页 Switch(config)#intf0/3Switch(config-if)#switchportaccessvlan12Switch(config-if)#exitSwitch(config)#intf0/4Switch(config-if)#switchportaccessvlan13Switch(config-if)#exit1.端口安全利用端口安全的配置，可以限制交换机端口的最大安全地址个数，实现端口的安全地址绑定。因为二层交换机直接和用户连接，不配置端口安全很容易被破坏。二层交换机的端口安全配置：图7-3实验一个二层交换机的简易连接最大安全地址数，下面说明开取端口fastEthernet0/2上的端口安全功能，设置最大地址个数为2，设置违例方式为protect：Switch(config)#intf0/2Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum2Switch(config-if)#switchportport-securityviolationprotectswitch(config-if)#end第132页 MAC地址绑定配置Switch(config)#intf0/2Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum2Switch(config-if)#switchportport-securitymac-add00d1.0000.0001ip-add192.168.100.1Switch(config-if)#end1.基于时间的带宽控制基于时间的ACL可以有效对用户访问的数据流在时间上进行控制，可以有效地限制用户带宽。每天的10：00到21：30为忙。Switch#configterminalSwitch(config)#time-rangebusySwitch(config-time-range)#periodicdaily10:00to21:30Switch(config-time-range)#exitSwitch(config)#time-rangeno-busySwitch(config-time-range)#periodicdaily21:30to23:59Switch(config-time-range)#periodicdaily0:00to9:59Switch(config-time-range)#exitSwitch(config)#ipaccess-listextendedspeed1Switch(config-ext-nacl)#permitipanyanytime-rangebusySwitch(config-ext-nacl)#exitSwitch(config)#ipaccess-listextendedspeed2Switch(config-ext-nacl)#permitipanyanytime-rangeno-busySwitch(config-ext-nacl)#exitSwitch(config)#class-map1Switch(config-cmap)#matchaccess-groupspeed1Switch(config-cmap)#exitSwitch(config)#class-map2Switch(config-cmap)#matchaccess-groupspeed2Switch(config-cmap)#exit第132页 Switch(config)#policy-maplapSwitch(config-pmap)#class1Switch(config-pmap-c)#police100000065536exceed-actiondropSwitch(config-pmap-c)#exitSwitch(config-pmap)#class2Switch(config-pmap-c)#police300000065536exceed-actiondropSwitch(config-pmap-c)#exitSwitch(config)#intf0/1Switch(config-if)#service-policyinputlapSwitch(config-if)#end宿舍区网络在闲时（21:30-0:00，0:00-9:59）带宽为3M，在忙时（10:00-21:30）带宽为1M。带宽限制限制单个用户的流量上限。1.在二三层交换机上都开启DHCP中继服务。Switch(config)#servicedhcpSwitch(config)#iphelper-address192.168.100.17.2.2学生宿舍区网络论证实验调试结果1.SVI在三层交换机上建立SVI接口，实现VLAN间的相互访问。hostnameSwitchinterfaceVlan10ipaddress192.168.100.1255.255.255.0interfaceVlan11ipaddress192.168.101.1255.255.255.0interfaceVlan12ipaddress192.168.102.1255.255.255.0ipclassless通过两台PC机连接在不同VLAN下的两个端口，建立SVI接口后，实现PC机间ping通。第132页 图7-4不同主机间ping通2.端口安全,最大连接数，MAC的绑定。3.基于时间的带宽控制1)时间区域信息图7-5时间区域2)基于时间的ACL第132页 图7-6基于时间的ACL1)Class-map分类信息图7-7Class-map分类信息2)Policy-map信息图7-8Policy-map信息第132页 8学生、教职工宿舍楼宇综合布线系统设计（负责人：杨青雷）8.1学生、教职工宿舍楼宇综合布线需求分析8.1.1学生宿舍布线系统工程概述学生、教职工宿舍建筑占地总面积30多亩，是一个大型现代化社区，可容纳2万多学生、教职工入住。本工程项目主要负责学生宿舍、教职工中型楼宇的综合布线工程，根据学生的需求，综合布线应该包括计算机网络系统，电话语音系统两大类系统，本项工程方案设计将只对计算机网络布线系统进行详细设计。8.1.2建筑物及信息点说明学生宿舍有20栋宿舍楼，教职工宿舍有3个，就算建筑类型和楼宇设计都完全相同。每楼都6层楼高，每层按40个宿舍分。按照标准综合布线工程设计的等级，需要为每个宿舍都提供一个信息出口。在网络总体设计中，为每栋宿舍提供千兆光纤接入，通过楼宇汇聚交换机实现宽带接入。住宅楼在建筑时已经在楼梯对面留配电房及电缆竖井，可以利用作为配线间，同时每个宿舍及楼道内的内墙中也埋有预留的暗管，本项目要在此基础上完成楼内的综合布线设计及设备选型。联系实际情况，选出性价比高的设备组合。8.1.3系统设计原则根据智能化综合布线工程的概述和需求研究分析，运用国内外的成熟、先进技术，把握计算机网络的发展趋势，结合学校的实际情况、特点、使用需求及未来的发展。我们在设立中确定了以下原则：（1）经济实用性。信息网络必须经济实用而且要具有很高的性能性价比。（2）系统可靠性和稳定性。系统的高可靠性和稳定性是网络系统应用环境正常运行的首要条件。在保证系统可靠性的基础上，进一步提高系统的可用性。网络的高可靠性、稳定性就是保证网络可以在任何时间、任何地点提供信息访问服务。设备要有可靠的质量，并支持和热插拔特性及线路、电源备份，以保持一个稳定的运行环境。第132页 （3）系统的可管理性。当今世界，通信技术和计算机技术的发展日新月异，网络设计既要适应新科技技术发展的潮流，保证系统的先进性，选择代表世界先进水平的技术和设备，不使投资的设备在短时间内落伍。也要兼顾技术的成熟性、实用性降低由于新技术和新产品不成熟等因素给用户带来风险。网络设计中，选择先进的网络管理软件是必不可少的。通过这个管理平台的控制，监控主机、网络设备状态，故障报警，从而简化了管理工作，提高了主机系统和网络系统的利用率。（4）系统可扩展性和开放性。在网络设计中，首先要满足现有规模用户和应用的需求，同时考虑未来业务的发展、规模的扩大，应用设计关键网络设备扩展能力以及网络实施新应用的能力。同时，设备应采用开放技术、支持标准协议，具有良好的互联性和互通性，能够支持同一厂家的不同系列的产品以及不同厂家的产品之间的无缝连接与通信。灵活扩充性：灵活的端口扩充能力，模块扩充能力。满足网络规模的扩充。支持新应用的能力：产品具有支持新应用技术的技术设备，能够符合实际要求能力，方便快捷的实施新的应用。采用统一的网络体系结构，统一网络协议。围绕着统一网络体系结构，确定网络互联结构，网络操作系统和网络应用。（5）网络安全性和保密性。安全性是网络运行的生命线。对人员，设备的安全所考虑；对网络系统安全的考虑。硬件设备采用具有自主知识产权的设备，支持多种数字认证和加密方法，网络架构方面，根据国家电子政务网络的要求，实现内外网隔离。合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护。网络可以阻止任何非法的操作；网络设备可进行基于协议、基于IP地址的包过滤控制功能，不同的业务，划分到不同的虚网中。8.2学生、教职工宿舍楼宇综合布线设计方案8.2.1工作区子系统学生、教职工宿舍的信息插座为暗埋方式，信息插座将要安装一个超五类模块，并配有一个铁盒子起保护防尘作用，安装信息插座符合以下安装规范：（1）安装在墙面或柱子上的信息插座底部离地面的高度宜为30cm以上；（2）信息插座附近有电源插座的，信息插座应距离电源插座30cm以上；8.2.2水平子系统计算机网络系统将选用超五类非屏蔽双绞线电缆，以实现快速以太网接入的需求。室内外所有线缆采用暗埋方式进行布线，在建筑施工时，各个宿舍已将PVC管暗埋在墙内的插座底盒相连接。用户信息点至楼层配线间采用吊顶上架空线槽布线结合用户墙面暗埋管道方式。第132页 图5-1吊顶上架空线槽结合墙面暗管布线示意图8.2.3干线子系统干线子系统由连接设备间和各楼层设备间的线缆构成，其功能是把设备间的主配线架(MDF)与各楼层的分配线架（IDF）练级起来。由于学生、教职工宿舍信息点比较密集，造价及维护管理角度来说每楼每隔3层设置一楼层配线间，楼内各用户的线缆将直接连接到楼层配线间接入交换机。楼内配线间设有竖井，配线间交换机与楼宇交换机的连接采用多模光纤，连接交换机光口模块。以其中的一个楼为例子，综合布线系统采用星型拓扑结构，中心点为楼宇设备间，每个楼设置2个配线间，分别选在2楼和5楼。每个配线间用于连接本楼层和上线各1层的用户接入，线缆交叉及配线连接如图5-2第132页 5-2宿舍楼干线子系统8.2.4管理间和设备间子系统管理间和设备间子系统与干线系统的建筑物配线间,楼层配线间集成使用。1.管理间子系统每个楼层配线间通过竖井连接干线系统，同时提供上下共计3层的用户接入，水平布线信息点为120个，需要用5台24口交换机，并提供干线光纤的接入。每个安装1个24U机柜，机柜内安装6个24口的模块化数据配线架，1个理线架，1个光纤接线盒，6个24口以太网交换机。各个宿舍的计算机网络信息点引出的UTP电缆将端接在配线架上，通过RJ45-RJ45跳线连接于以太网交换机端口。2.设备间子系统每栋建筑物设备间需提供链接小区核心交换机的光缆接入，以及来自建筑物内23×2=46个管理间接入交换机的干线集成。总设备间安装一个落地42U机柜，机柜内安装建筑物汇聚交换机，24口以上的光纤配线架，理线架。各个楼层配线间布设的光纤配线架端接后由光纤跳线连接到汇聚交换机，而使得用户信息点连为宽带网络。设备间还设有防静电板，地板，设备外壳和机柜都进行了接地处理，设备间有消防栓，以免发生火灾。8.2.5建筑群子系统各宿舍楼与中心机房之间采用了地下管道方式布设光缆连接，选用的是多模光缆，各宿舍楼和中心机房各布设一根6芯50um多模光缆。第132页 8.3学生、教职工宿舍楼宇综合布线工程预算本节将针对一栋学生宿舍楼的干线子系统，水平子系统和配线间的相关设备与耗材进行统计和预算，该工程预算只涉及采购成本。8.3.1水平布线耗材预算1.RJ-45模块及底盒面板每一个宿舍楼有2个配线间，每个配线间连接3层的用户，每层的信息点为37个，参照3%预留，可得出每栋楼所需RJ-45模块及底盒和版面的数量为：2×3×37×1.03=228.66每栋宿舍楼所需要的RJ-45模板及底盒和面板的数量为229个。则全部需要229×23=5267个。RJ-45模块选择安普的图8-3AMP超五类信息模块2．超五类非屏蔽双绞线图5-4，5-5是一个宿舍楼的楼层平面及布线图，配线间在楼梯口对面，水平线缆都出自配线间，通过走廊吊顶上的桥架槽道接入每个宿舍内的暗管，总共40根双绞线从配线间壁挂式机柜配线架上引出来，穿过过道桥架槽道，连接到每个宿舍。第132页 图8-4水平布线局部示意图图8-5水平布线示意图第132页 在图中仅为实际中的部分平面图，因为实际上是以上图的重复，所以没全部画出来。计算的时候可以根据这种形式推算整栋楼的消耗。图8-6吊顶上架空线槽结合墙面暗管布线侧视图一个房间按4米算，40个房间分作2排，每排就20个放假算，再加上配线间占一个宿舍的面积，那么可以得到走廊的过道长是20×4=80米，走廊宽3米，楼层高3米，用户信息插座距地面30厘米，配线间壁挂式柜高2米，那么可以算出线长：（40个房间出去楼梯，水房，配线间，还有37个可以住人）（4+8+12+16+20+24+28+32+36+40）×2-（4+8）+（2.7×3+5）×37+3×19+6=308+484.7+63=855.7米，那么每个配线间管3个楼层。1，2，3层总线为855.7×3+3×2=2573.1米，每栋楼有2个配线间，基本都是一种形式，那么每栋楼所需总线长为2573.1×2=5146.2米。每个信息点还要加6米的端接容差和线缆损耗，则可得出损耗线缆长度为：6×37×6=1332米那么整栋楼所需双绞线长度为5146.2+1332=6478.2米有23栋楼，全部所需双绞线长度为6478.2×23=148998.6米以305M包装形式的装箱，需订购的电缆箱：INT（148998.6÷305）=489（箱）。双绞线选择安安普超五类非屏蔽双绞线。如图5-7所示：第132页 图8-7AMP超五类非屏蔽双绞线3.桥架槽道桥架槽道选择铝合金槽式架桥，规格为100×200，每米价格为30元。每层的桥架长度约为走廊长度加上楼层高度，即为76+3=79米，乘上楼层数和楼数就知道所需槽道的总长度为：79×6×23=10902米铝合金槽架如图5-8所示：图8-8铝合金槽架宿舍内一般布线时要套PVC阻燃管，而且要横平竖直，遇拐弯要用弯头。每个宿舍内PVC管需要：4+5+2.7×3=14.1米每层需要：14.1×37=521.7米每个宿舍楼需要：521.7×6=3130.2米总共需要：3130.2×23=71994.6米，PVC管如图5-9所示：图8-9PVC阻燃管8.3.2垂直布线耗材预算1.光缆建筑物干线选择使用62.5/125um的室内多模光缆，图5-2宿舍楼干线子系统设计，汇聚交换机设在1F配电室，接入交换机设在2F和5F第132页 配线间，配线间上下都是对齐的，使用电缆竖井，可以通过楼层和楼高估算干线长度。每栋宿舍楼所需光缆长度为：12+2+3+2=19米汇聚交换机假定放在12号宿舍楼，可以把23个宿舍楼放在一排线上，楼宇间隔等间的距离5米。12号宿舍楼左边11个宿舍楼，右边11个，刚好对称。那么可以计算左边的主干线缆长度可以计算出来，最近离12号宿舍楼的距离为:85米总的主干线长度为：（85+170+255+340+425+510+595+680+765+850+935）×2×2=22440米参照光缆连接时端接需要保留2米，以6米作为容差计算干线总长为22440+46×6=22716米。2.管理间设备及耗材管理间安装6台24口以太网交换机，6个24口的模块化数据配线架，选择安普超五类24口配线架/406330-1，如图5-10所示；1个理线架，选择安普1U理线器，如图5-11所示；1个光纤接线盒，提供120条双绞线和6对光纤的接入。图8-10安普超五类24口配线架/406330-1图8-11安普1U理线器以2F配线间为例，水平和干线线缆如表5-1所示：表5-1某一宿舍楼2F配线间线缆汇总序号端接连接类型说明1，2号交换机的1-20FC1-FC201FA-1FDUTP1，2号配线架1-20口，连接至一层用户FC1-FC202FA-2FDUTP第132页 3，4号交换机的1-203，4号配线架1-20口，连接至二层用户5，6号交换机的1-20FC1-FC203FA-3FDUTP5，6号配线架1-20口，连接至三层用户所有交换机的20-24FC20-FC24BDFB光纤接线盒，连接至建筑物配线间需要用跳线连接设备。每个管理间需要6对多模光纤跳线和120根超五类非屏蔽双绞线跳线，所以算下来每个宿舍楼需要12对多模光纤跳线和240根超五类非屏蔽双绞线跳线，依次类推，可以算得总共需要12×23=276条多模光纤跳线和240×23=5520根超五类非屏蔽双绞线跳线。设备安装时可以选择金盾24U机柜。如图所示5-12图8-12金盾Ja6624交换机选择锐捷RG-S2126G，24口，能满足基本的要求，价格也便宜，性价比较高，所以选择它。如图5-13所示图8-13锐捷RG-S2126考虑到散热以及美观易管理，机柜内的摆设基本是这样的：一个交换机占1个U，2个交换机之间隔1U，有足够的空间散热，有足够的空间方便工作人员的接线，配置等的工作。第132页 3.设备间设备及耗材鉴于线缆的数量和类型，以及汇聚层网络设计的需求，根据血学校的经济状况我们最终选择锐捷RG-S3526做三层交换机，其性价比较高，如图5-14所示：图8-14锐捷网络RG-S3526三层交换机是一款线速全千兆智能多层交换机，GBIC插槽支持千兆铜缆、光纤扩展模块，支持模块热插拔，极大方便用户灵活配置网络。光缆的耦合采用安普的机架光纤配线箱集中管理。如图5-15所示：图8-15AMP机架安装光纤配线箱设备间机柜选择金盾Ja6642(42U)网络机柜。8.3.3工程总预算汇总前文，学生宿舍网络布线工程设备及耗材采购预算。如表5-2所示：表8-2设备及耗材采购预算序号设备名称型号/规格单位单价（元）数量总价1汇聚交换机锐捷网络RG-S3526台200001200002接入交换机锐捷网络RG-S2126台56006336003机柜金盾Ja6642个180011800第132页 4机柜金盾Ja6624个90046414005光纤配线箱安普24口机架式光纤配线箱个49014906光纤跳线康普FC-SC多模光纤跳线对60276165607配线架安普超五类24口配线架/406330-1个55046253008理线器安普1U理线器个1804682809跳线安普超五类非屏蔽跳线根0.655520358810光缆安普室内6芯米202271645432011PVC阻燃管建华塑胶米0.8719955759612桥架槽道铝合金100*200米351090238157013双绞线安普非屏蔽超五类箱72048935208014RJ-45模块安普超五类个28526714747615信息面板安普单口个10526752670以上合计为1595890元.第132页 9分校网络及与主校连接项目的设计方案（负责人：丁佳钧）未能按时提交文档第132页 10中北大学校园网项目设计的汇总说明10.1中北大学校园网网络设计指标的偏差说明1、主干网络设计：设计要求采用MSTP+VRRP技术实现典型的双核心网络，并在出口路由做策略路由，使用浮动路由实现路由备份，在出口处实现NAPT，以上要求都已实现。与服务器的连接没有实现，没有做服务器的配置实验，基本满足了要求。2、办公区网络设计：设计要求与核心层实现MSTP，划分VLAN,实现VLAN间互通，在端口上开启端口安全，以上要求已实现。由于采用了思科模拟器验证，不能实现DHCP中继和DHCPsnooping技术，基于时间的访问列表也没有实现。基本满足了要求。3、图书馆网络设计：在图书馆汇聚层交换机上做冗余备份，采用双核心技术提高网络的可靠性。不同阅览室、不同科室、部门划分不同VLAN，建立独立的冲突域；采用基于时间的ACL控制内部借阅网络拒绝访问互联网，对电子阅览室的网络进行速度限制，拒绝图书馆办公部门在办公时间禁止网络聊天、BT下载等业务；应用交换机端口安全技术，防范网络中通过伪造地址而进行的攻击，应用在档案馆等重要部门，防止机密信息的泄露；应用端口限速技术，将需要限制的端口加入限速端口；实现无线接入技术（Wi-Fi）将会议室等部门进行无线覆盖。实际完成：除无线接入技术未实现，基本满足了要求。4、教职工和学生宿舍网络设计：在学生、教职工公寓网络设计中，不同学院学生建立不同VLAN，利用三层交换机，通过SVI实现跨网段的访问。这一点完全实现了。在二层交换机上，通过建立访问控制列表，实现对学生上网流量的控制，这个功能实现。在二层交换机上还需要配置静态MAC绑定，端口安全，限制端口的最大安全地址个数，这些都一一实现了。DHCPSnooping绑定过滤不可信任的DHCP信息，。这个由于实验设备和实际采购的三层交换机，没有实现这个功能，不过这功能影响不是太大。限制端口的最大安全地址个数可以有效控制访问用户数，避免其他多余的恶意连接，从数量上就避免了网络拥堵。这个功能也实现了。总的来说，基本上满足了要求。第132页 10.2中北大学校园网网络设计设备采购汇总表10-1设备采购汇总序号设备名称型号/规格单位单价（元）数量总价（元）1核心交换机RG-S8610台10000022000002核心交换机模块M8600P-48GT/4SFP个23核心交换机模块M8600-02XFP个24模块化路由器CISCO3845个394442788885广域网模块CISCOHWIC-4T个121002242006汇聚交换机RG-S5750-48GT/4SFP台136001136007接入交换机RG-S2628G-P台4700401880008汇聚交换机RG-S5750-24GT/12SFP台150004600009接入交换机RG-S2724G台1500213150010无线接入点CISCOWAP4400N台13504540011服务器IBMSystemx3850X5(7145N02)台106000884800012服务器IBMSystemx3850X5(7145N05)台52000631200013汇聚交换机锐捷网络RG-S3526台2000012000014接入交换机锐捷网络RG-S2126台560063360015机柜金盾Ja6642个18001180016机柜金盾Ja6624个900464140017光纤配线箱安普24口机架式光纤配线箱个490149018光纤跳线康普FC-SC多模光纤跳线对602761656019配线架安普超五类24口配线架/406330-1个550462530020理线器安普1U理线器个18046828021跳线安普超五类非屏蔽跳线根0.655520358822光缆安普室内6芯米2022716454320第132页 23PVC阻燃管建华塑胶米0.8719955759624桥架槽道铝合金100*200米351090238157025双绞线安普非屏蔽超五类箱72048935208026RJ-45模块安普超五类个28526714747627信息面板安普单口个10526752670总预算：3,125,878元第132页 11中北大学校园网项目设计的总结11.1小组总结报告我们小组这次组网项目是大学校园网络，相比较其他项目来说，在收集资料上有些优势，因为在网上有很多校园网络的方案。我们在做这个项目的时候也参照了一些网上的经典案例。当前比较流行的校园网络设计是双或多核心加多出口的方案。以多核心为例，在核心层采用三个核心交换机相连，运行OSPF协议，然后有一个或两个出口路由，提供教育网和联通或电信的多出口接入互联网。由于本小组成员的基础并不是很好，所以在选择方案时并没有采用比较复杂的解决方案。我们选取了双核心的方案。在其他分项目的选择上，也没有挑选太复杂的设计，尽量以简单但是能满足要求的方法来实现。经过小组内的讨论研究，将一部分较复杂的任务交给组长，运用已有知识能解决的项目分给基础叫薄弱的组员。这样的分配顾及到了各人水平的差距，但又不会让有的人很闲，有的人很忙，基础好的同学可以学习一些有难度的知识，基础薄弱的同学可以好好巩固一下已学的知识。组网实验周开始，小组成员基本都按照进度进行工作，需要实地调查的项目，我们都去进行了调查，比如图书馆的一些部门信息、节点结构分布，还有宿舍的一些情况和办公部门的节点分布。小组成员在遇到问题时，都能够再把相关的知识再学习，通过实际应用加深了印象。对于一些偏难的内容，我的计划就是组长先学会然后在交给其他组员。以前没有接触过一些制图软件，通过这次实验，我们对综合布线的制图都有了比较具体的学习，也锻炼了使用工具软件的能力。总体来说，这次组网实验周我们还是基本都达到了要求，各个组员也都学到了不少东西，但是由于能力有限，还是有不少技术没有实现，方案中一部分内容做的略显粗糙，不够详尽。中间了也出了点小意外，一名组员前期工作基本也完成了不少，但是由于个人原因，无法完成最后的文档和答辩，我们很遗憾。对于组网实验周的建议，我们觉得有一点，比如实验室的设备最好可以多一点，我们在验证阶段遇到了抢不上设备的问题，很耽误时间。还有设备本身的问题，有的设备老化一些本可以实现的东西，完成不了，这点也很让人头疼。第132页 11.2组员总结11.2.1郭鑫的总结三周的时间转瞬即逝，在组网实验周刚开始的时候，还感觉时间很充裕，没想到具体实施时，才发现自己浪费了不少时间。我自认为自己的基础还算可以，所以把小组内较重的任务给了自己。我们的题目是大学网络的设计，对于这种大学网络，网上和书上的资料还是比较多的，我在组网实验周之前就去图书馆借阅了一些关于组网方面的书籍，准备实验时使用。这些书上有不少介绍校园网络的内容，但是当我仔细阅读了之后发现，书上的讲解很浅显，很多技术没有实现，没有我想象的那么详细。还有一些新的技术上面没有讲解。后来我在网上又查找需要的资料，找到的很多也是概念性的东西，很少有实际的应用举例。在我的项目设计中，关于双核心技术的有关知识还是学过的，比较好下手，但是有关一些策略路由，和VPN的技术讲解的比较少，很多同学一开始都没有什么头绪，经过一段时间的学习，先了解了基本概念之后，开始通过实验来加深理解和应用。最后总算是基本实现了预想的要求，也算是有了一个小小的收获。组网实验周给我最大的感触就是，网络工程是一项和实践连接很紧密的工作，不是只会一点理论知识就能解决问题的，从开始的规划，到后续的一步步实施，都要结合实际的背景，根据实际的要求，你才知道要做什么，才有了目标。实际经常是千变万化的，一个小的错误很有可能导致整体的无法实现，这在我配置实验时遇到很多次。对于专业的课程，我个人的看法是，我们的课程理论上还是比较充足的，就是经历过的实际项目基本为零，对很多应用中的技术和设备不是很了解，这点在设备选型时很明显的体现出来。还有，网络工程往往不是单独进行的，很多技术单一拿出我们都会，但是一旦整合在一起就会出很多问题，还有很多比如服务器上的东西要一起部署，但是我们基本没有这方面的了解，对网络的整体性了解甚少。11.2.2刘强的总结刚接到图书馆组网项目的时候，觉得无从下手不知道应该先干什么，没有一点头绪。真是书到用时方恨少。好在项目组长很认真很负责，技术上给了我很大支持。在他的帮助下，我理清了思路有了头绪。我的图书馆组网项目总体上来说除了无线接入技术没有完成，其他任务基本已经完成。第132页 我首先去网上查了一下图书馆的简介和一些相关资料，然后去图书馆实地观察并统计了一下各层的部门和布局，还咨询了各层的上网的情况，根据这些做了初步设计：将各行政、办公部门、电子阅览室、图书阅览室、服务器管理室等各部门划分为若干个VLAN，分配相应的地址段；运用ACL对相应部门的上网时间、流量、通信端口进行控制；进行交换机端口安全配置，防范网络中通过伪造地址而进行的攻击；进行交换机端口限速配置对相应部门和阅览室上网流量进行限制，保证网络流量合理分配；核心层交换机应用MSTP，避免环路并提供冗余连接；对图书馆进行无线接入技术覆盖。这些想法确定之后，根据相关资料我确定了网络拓扑图和实验拓扑图。我又根据实验指导书的内容将书上的案例和我的设想进行了融合，先将相关的配置命令写完。又请教了组长，经过组长的指导最终确定了现在的版本，上机调试了几次基本通过。我在用实验室的S3750交换机模拟汇聚交换机时，出现了一些问题。在端口限速配置时，接口出方向的限速取值有点不同（S3750的出口方向范围是4-512）；在配置ACL时，对接口做range，一般格式为f0/1-2,11或者f0/1-211,但是S3750的配置格式是f0/1-2,0/11-12。这块研究了大概几分钟，但是最后知道怎么写了，很欣慰。经过这次模拟真实项目的实验，我深深体会到我的网络设备与集成知识学的很不好。但是这次的经历教会我：平时多积累，最后才能厚积薄发。11.2.3杨青雷的总结在老师的帮助指导下，发现了自己在学习计算机网络课程中有很多的弊端，在课堂教学内容中，学到的是计算机网络的体系结构、OSI模型和一些协议，分层结构中的一些基本功能，一般的配置命令，一些具体的组网技术和某些局域网、网络操作系统的知识。平时也进行一些基本的，小型的实验。因为有实验指导书，按部就班的往上敲命令，思考空间不是太多，思维局限性大，学到的也是死命令，也就是没学活，到正式拿来用的时候就显得笨拙，或者是不知道从何下手，在经过大量的尝试和失败后才会真正的懂得实际应用。第132页 我做的是学生宿舍网络设计项目部分和综合布线部分。学生宿舍网络设计东西不多，做的东西相对较少。只要在三层交换机上配置SVI方式实现VLAN间路由就行，再在二层交换机上限制下最大连接数和端口安全，开启DUCP中继服务，宿舍就能联网了。而综合布线部分就有点棘手，里面需要完成很多调查工作，总分的形式一步步的划分，先确定总体结构，再细分下来，选材得自己结合实际和性价比选最优化的搭配。期间出现了很多实际中我们在学校学习过程中没有碰到的问题，这是学习中美结合实际产生的问题，通过自己的亲身布设，才能真正领悟到精髓。学以致用，要将脑袋中的抽象结构框架通过自己的双手呈现在现实生活中。通过和老师同学的沟通、讨论、交流，在沟通中弥补自己的缺陷，加深对知识的理解，同时也能激发自己的学习兴趣和保持自己的学习动机。第132页 附录A：校园网主干网络论证实验设备配置清单实验拓扑图：项目负责人：郭鑫（1）R1762A设备R1762A#showrunhostnameR1762Ainterfaceserial1/2clockrate64000interfaceserial1/3clockrate64000interfaceFastEthernet1/0ipaddress10.0.1.1255.255.255.0duplexautospeedautointerfaceFastEthernet1/1第132页 ipaddress10.0.3.1255.255.255.0duplexautospeedautointerfaceLoopback0ipaddress1.1.1.1255.255.255.0routerospfrouter-id1.1.1.1network10.0.1.00.0.0.255area0.0.0.0network10.0.3.00.0.0.255area0.0.0.0end（2）R1762B设备R1762B#showrunhostnameR1762Binterfaceserial1/2clockrate64000interfaceserial1/3encapsulationPPPclockrate64000interfaceserial2/0clockrate64000interfaceserial2/1clockrate64000interfaceFastEthernet1/0ipaddress10.0.2.1255.255.255.0duplexautospeedautointerfaceFastEthernet1/1ipaddress10.0.4.1255.255.255.0duplexautospeedautointerfaceLoopback0ipaddress1.1.1.1255.255.255.0routerospfrouter-id2.2.2.2network10.0.2.00.0.0.255area0.0.0.0network10.0.4.00.0.0.255area0.0.0.0end（3）S3550A设备S3550A#showrunhostnameS3550Avlan10nametest1vlan20nametest2第132页 vlan30nametest3vlan40nametest4vlan100nameadminspanning-treespanning-treemstconfigurationinstance1vlan10,30instance2vlan20,40nameschoolrevision1spanning-treemst1priority0spanning-treemst2priority4096interfaceAggregatePort1switchportmodetrunkinterfaceFastEthernet0/1switchportmodetrunkinterfaceFastEthernet0/2switchportmodetrunkinterfaceFastEthernet0/3noswitchportipaddress10.0.1.2255.255.255.0interfaceFastEthernet0/4noswitchportipaddress10.0.4.2255.255.255.0interfaceFastEthernet0/5switchportaccessvlan100interfaceFastEthernet0/6switchportaccessvlan100interfaceFastEthernet0/7switchportaccessvlan100interfaceFastEthernet0/8switchportaccessvlan100interfaceFastEthernet0/9switchportaccessvlan100interfaceFastEthernet0/10switchportaccessvlan100interfaceFastEthernet0/23port-group1interfaceFastEthernet0/24port-group1interfaceVlan10ipaddress10.10.10.1255.255.255.0第132页 standby10ip10.10.10.254standby10priority200interfaceVlan20ipaddress10.10.20.1255.255.255.0standby20ip10.10.20.254interfaceVlan30ipaddress10.10.30.1255.255.255.0standby30ip10.10.30.254standby30priority200interfaceVlan40ipaddress10.10.40.1255.255.255.0standby40ip10.10.40.254interfaceVlan100ipaddress10.10.100.3255.255.255.0routerospfrouter-id3.3.3.3area0.0.0.0network10.0.1.0255.255.255.0area0.0.0.0network10.0.4.0255.255.255.0area0.0.0.0network10.10.10.0255.255.255.0area0.0.0.0network10.10.20.0255.255.255.0area0.0.0.0network10.10.30.0255.255.255.0area0.0.0.0network10.10.40.0255.255.255.0area0.0.0.0iproute0.0.0.00.0.0.0FastEthernet0/310.0.1.11enablediproute0.0.0.00.0.0.0FastEthernet0/410.0.4.1120enabledend（4）S3550B设备S3550B#showrunhostnameS3550Bvlan10nametest1vlan20nametest2vlan30nametest3vlan40nametest4vlan100nameadminspanning-treespanning-treemstconfigurationinstance1vlan10,30instance2vlan20,40nameschool第132页 revision1spanning-treemst1priority4096spanning-treemst2priority0interfaceAggregatePort1switchportmodetrunkinterfaceFastEthernet0/1switchportmodetrunkinterfaceFastEthernet0/2switchportmodetrunkinterfaceFastEthernet0/3noswitchportipaddress10.0.2.2255.255.255.0interfaceFastEthernet0/4noswitchportipaddress10.0.3.2255.255.255.0interfaceFastEthernet0/5switchportaccessvlan100interfaceFastEthernet0/6switchportaccessvlan100interfaceFastEthernet0/7switchportaccessvlan100interfaceFastEthernet0/8switchportaccessvlan100interfaceFastEthernet0/9switchportaccessvlan100interfaceFastEthernet0/10switchportaccessvlan100interfaceFastEthernet0/23port-group1interfaceFastEthernet0/24port-group1interfaceVlan10ipaddress10.10.10.2255.255.255.0standby10ip10.10.10.254interfaceVlan20ipaddress10.10.20.2255.255.255.0standby20ip10.10.20.254standby20priority200interfaceVlan30ipaddress10.10.30.2255.255.255.0standby30ip10.10.30.254interfaceVlan40ipaddress10.10.40.2255.255.255.0standby40ip10.10.40.254第132页 standby40priority200interfaceVlan100ipaddress10.10.100.4255.255.255.0routerospfrouter-id4.4.4.4area0.0.0.0network10.0.2.0255.255.255.0area0.0.0.0network10.0.3.0255.255.255.0area0.0.0.0network10.10.10.0255.255.255.0area0.0.0.0network10.10.20.0255.255.255.0area0.0.0.0network10.10.30.0255.255.255.0area0.0.0.0network10.10.40.0255.255.255.0area0.0.0.0iproute0.0.0.00.0.0.0FastEthernet0/310.0.2.11enablediproute0.0.0.00.0.0.0FastEthernet0/410.0.3.1120enabledend（5）S2126A设备S2126A#showrunversion1.0hostnameS2126Avlan1vlan10nametest1vlan20nametest2vlan30nametest3vlan40nametest4spanning-treespanning-treemstconfigurationinstance1vlan10,30instance2vlan20,40nameschoolrevision1interfacefastEthernet0/1switchportmodetrunkinterfacefastEthernet0/2switchportmodetrunkinterfacefastEthernet0/3switchportaccessvlan10interfacefastEthernet0/4switchportaccessvlan10interfacefastEthernet0/5第132页 switchportaccessvlan10interfacefastEthernet0/6switchportaccessvlan20interfacefastEthernet0/7switchportaccessvlan20interfacefastEthernet0/8switchportaccessvlan20interfacefastEthernet0/9switchportaccessvlan20interfacefastEthernet0/10switchportaccessvlan20interfacefastEthernet0/11switchportaccessvlan30interfacefastEthernet0/12switchportaccessvlan30interfacefastEthernet0/13switchportaccessvlan30interfacefastEthernet0/14switchportaccessvlan30interfacefastEthernet0/15switchportaccessvlan30interfacefastEthernet0/16switchportaccessvlan40interfacefastEthernet0/17switchportaccessvlan40interfacefastEthernet0/18switchportaccessvlan40interfacefastEthernet0/19switchportaccessvlan40interfacefastEthernet0/20switchportaccessvlan40end（6）S2126B设备S2126B#showrunhostnameS2126Bvlan1vlan10nametest1vlan20nametest2vlan30nametest3vlan40nametest4第132页 spanning-treespanning-treemstconfigurationinstance1vlan10,30instance2vlan20,40nameschoolrevision1interfacefastEthernet0/1switchportmodetrunkinterfacefastEthernet0/2switchportmodetrunkinterfacefastEthernet0/3switchportaccessvlan10interfacefastEthernet0/4switchportaccessvlan10interfacefastEthernet0/5switchportaccessvlan10interfacefastEthernet0/6switchportaccessvlan20interfacefastEthernet0/7switchportaccessvlan20interfacefastEthernet0/8switchportaccessvlan20interfacefastEthernet0/9switchportaccessvlan20interfacefastEthernet0/10switchportaccessvlan20interfacefastEthernet0/11switchportaccessvlan30interfacefastEthernet0/12switchportaccessvlan30interfacefastEthernet0/13switchportaccessvlan30interfacefastEthernet0/14switchportaccessvlan30interfacefastEthernet0/15switchportaccessvlan30interfacefastEthernet0/16switchportaccessvlan40interfacefastEthernet0/17switchportaccessvlan40interfacefastEthernet0/18switchportaccessvlan40interfacefastEthernet0/19switchportaccessvlan40第132页 interfacefastEthernet0/20switchportaccessvlan40end实验拓扑图（1）R1设备R1#showrunhostnameR1interfaceSerial0/0ipaddress11.11.11.1255.255.255.0ipnatoutsideencapsulationpppserialrestart-delay0noclnsroute-cacheinterfaceSerial0/1ipaddress22.22.22.1255.255.255.0ipnatoutsideencapsulationpppserialrestart-delay0noclnsroute-cacheinterfaceFastEthernet1/0ipaddress10.1.1.1255.255.255.0ipnatinsideippolicyroute-mapispipnatpoolcernet_pool202.207.177.10202.207.177.15netmask255.255.255.224ipnatpoolisp_pool5.5.5.55.5.5.10netmask255.255.255.224ipnatinsidesourceroute-mapcernet_natpoolcernet_pooloverloadipnatinsidesourceroute-mapisp_natpoolisp_pooloverloadipclasslessiproute0.0.0.00.0.0.022.22.22.2100第132页 iproute0.0.0.00.0.0.011.11.11.2access-list101permitipany3.3.3.00.0.0.255access-list102permitipany58.192.0.00.0.0.255access-list102permitipanyanyroute-mapcernet_natpermit10matchinterfaceSerial0/1route-mapisp_natpermit10matchinterfaceSerial0/0route-mapisppermit10matchipaddress101setipnext-hop11.11.11.2route-mapisppermit20matchipaddress102setipnext-hop22.22.22.2end（2）ISP设备ISP1#showrunhostnameISP1interfaceLoopback0ipaddress3.3.3.3255.255.255.0noclnsroute-cacheinterfaceLoopback1ipaddress4.4.4.4255.255.255.0noclnsroute-cacheinterfaceSerial0/0ipaddress11.11.11.2255.255.255.0encapsulationpppserialrestart-delay0noclnsroute-cacheinterfaceSerial0/1noipaddressshutdownserialrestart-delay0noclnsroute-cacheipclasslessiproute0.0.0.00.0.0.011.11.11.1end（3）CERNET设备Cernet#showrunhostnameCernetinterfaceLoopback0ipaddress58.192.0.1255.255.255.0noclnsroute-cacheinterfaceSerial0/0第132页 ipaddress22.22.22.2255.255.255.0encapsulationpppserialrestart-delay0noclnsroute-cacheinterfaceSerial0/1noipaddressshutdownserialrestart-delay0noclnsroute-cacheipclasslessiproute0.0.0.00.0.0.022.22.22.1（4）R4设备R4#showrunhostnameR4interfaceFastEthernet0/0ipaddress10.1.1.2255.255.255.0duplexautospeedautonoclnsroute-cacheipclasslessiproute0.0.0.00.0.0.010.1.1.1end第132页 附录B：办公区网络论证实验设备配置清单实验拓扑图：项目负责人：郭鑫（1）SW1设备（左下交换机）Sw1#showrunhostnameSw1interfaceFastEthernet0/1switchportmodetrunkinterfaceFastEthernet0/2switchportaccessvlan10switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/3switchportaccessvlan10switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/4第132页 switchportaccessvlan10switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/5switchportaccessvlan10switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/6switchportaccessvlan10switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/7switchportaccessvlan10switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/8switchportaccessvlan10switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/9switchportaccessvlan10switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/10switchportaccessvlan10switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/11switchportaccessvlan20switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/12switchportaccessvlan20switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/13switchportaccessvlan20switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/14switchportaccessvlan20switchportport-securitymac-addressstickyswitchportport-securityviolationprotect第132页 interfaceFastEthernet0/15switchportaccessvlan20switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/16switchportaccessvlan20switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/17switchportaccessvlan20switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/18switchportaccessvlan20switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/19switchportaccessvlan20switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/20switchportaccessvlan20switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/21switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/22switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/23switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceFastEthernet0/24switchportport-securitymac-addressstickyswitchportport-securityviolationprotectinterfaceGigabitEthernet1/1interfaceGigabitEthernet1/2end（2）办公1设备Bangong1#showrunhostnameBangong1interfaceFastEthernet0/1第132页 switchportmodetrunkinterfaceFastEthernet0/2switchportmodetrunkinterfaceFastEthernet0/3interfaceFastEthernet0/4interfaceFastEthernet0/5interfaceFastEthernet0/6interfaceFastEthernet0/7interfaceFastEthernet0/8interfaceFastEthernet0/9interfaceFastEthernet0/10interfaceFastEthernet0/11interfaceFastEthernet0/12interfaceFastEthernet0/13interfaceFastEthernet0/14interfaceFastEthernet0/15interfaceFastEthernet0/16interfaceFastEthernet0/17interfaceFastEthernet0/18interfaceFastEthernet0/19interfaceFastEthernet0/20interfaceFastEthernet0/21interfaceFastEthernet0/22interfaceFastEthernet0/23switchportmodetrunkinterfaceFastEthernet0/24switchportmodetrunkinterfaceGigabitEthernet0/1interfaceGigabitEthernet0/2end（3）办公2设备Bangong1#showrunhostnameBangong1interfaceFastEthernet0/1switchportmodetrunkinterfaceFastEthernet0/2switchportmodetrunkinterfaceFastEthernet0/3interfaceFastEthernet0/4interfaceFastEthernet0/5interfaceFastEthernet0/6interfaceFastEthernet0/7interfaceFastEthernet0/8interfaceFastEthernet0/9第132页 interfaceFastEthernet0/10interfaceFastEthernet0/11interfaceFastEthernet0/12interfaceFastEthernet0/13interfaceFastEthernet0/14interfaceFastEthernet0/15interfaceFastEthernet0/16interfaceFastEthernet0/17interfaceFastEthernet0/18interfaceFastEthernet0/19interfaceFastEthernet0/20interfaceFastEthernet0/21interfaceFastEthernet0/22interfaceFastEthernet0/23switchportmodetrunkinterfaceFastEthernet0/24switchportmodetrunkinterfaceGigabitEthernet0/1interfaceGigabitEthernet0/2end（4）核心1设备Core1#showrunhostnameCore1ipdhcpexcluded-address10.10.10.20010.10.10.254ipdhcpexcluded-address10.10.20.20010.10.20.254ipdhcppoolpool-1network10.10.10.0255.255.255.0default-router10.10.10.254dns-server202.207.177.3ipdhcppoolpool_2network10.10.20.0255.255.255.0default-router10.10.20.254dns-server202.207.177.3spanning-treevlan1,10,20,30,40priority4096interfaceFastEthernet0/1switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/2switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/3switchportaccessvlan100interfaceFastEthernet0/4interfaceFastEthernet0/5第132页 interfaceFastEthernet0/6interfaceFastEthernet0/7interfaceFastEthernet0/8interfaceFastEthernet0/9interfaceFastEthernet0/10interfaceFastEthernet0/11interfaceFastEthernet0/12interfaceFastEthernet0/13interfaceFastEthernet0/14interfaceFastEthernet0/15interfaceFastEthernet0/16interfaceFastEthernet0/17interfaceFastEthernet0/18interfaceFastEthernet0/19interfaceFastEthernet0/20interfaceFastEthernet0/21interfaceFastEthernet0/22interfaceFastEthernet0/23interfaceFastEthernet0/24interfaceGigabitEthernet0/1switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceGigabitEthernet0/2interfaceVlan10ipaddress10.10.10.254255.255.255.0interfaceVlan20ipaddress10.10.20.254255.255.255.0第132页 附录C：图书馆网络论证实验设备配置清单实验拓扑图：项目负责人：刘强（1）S3550A设备（左）S3550A#showrunning-configvlan10nameyuelanvlan20namebangongvlan30nameother1vlan40namewuxianvlan50nameother2vlan60第132页 namewaibuvlan70nameneibuipaccess-liststandardneibu10permit10.21.0.00.0.255.255ipaccess-listextendedqos10denyipany10.21.0.00.0.255.25520permitip10.21.0.00.0.255.255anyclass-map1matchaccess-groupqospolicy-mapcontrol-speedclass1police10000008exceed-actiondropspanning-treespanning-treemstconfigurationrevision1namelibraryinstance1vlan10,20,30,50instance2vlan40,60,70spanning-treemst1priority0hostnameS3550AinterfaceFastEthernet0/1switchportmodetrunkservice-policyinputcontrol-speedinterfaceFastEthernet0/2switchportmodetrunkservice-policyinputcontrol-speedinterfaceFastEthernet0/3switchportaccessvlan70interfaceFastEthernet0/4switchportaccessvlan70interfaceFastEthernet0/5switchportaccessvlan70interfaceFastEthernet0/6service-policyinputcontrol-speedinterfaceFastEthernet0/7service-policyinputcontrol-speedinterfaceFastEthernet0/8interfaceFastEthernet0/9interfaceFastEthernet0/10switchportaccessvlan60interfaceFastEthernet0/11switchportmodetrunkinterfaceFastEthernet0/12第132页 interfaceFastEthernet0/13interfaceFastEthernet0/14interfaceFastEthernet0/15interfaceFastEthernet0/16interfaceFastEtherneinterfaceFastEthernet0/18interfaceFastEthernet0/19interfaceFastEthernet0/20interfaceFastEthernet0/21interfaceFastEthernet0/22interfaceFastEthernet0/23port-group1interfaceFastEthernet0/24port-group1interfaceGigabitEthernet0/25interfaceGigabitEthernet0/26interfaceGigabitEthernet0/27interfaceGigabitEthernet0/28interfaceAggregatePort1switchportmodetrunkinterfaceVLAN70noipproxy-arpipaccess-groupneibuoutend（2）S3550B设备（右）S3550B#showrunning-configvlan10nameyuelanvlan20namebangongvlan30nameother1vlan40namewuxianvlan50nameother2vlan60namewaibuvlan70nameneibuipaccess-liststandardneibu10permit10.21.0.00.0.255.255ipaccess-listextendedqos第132页 10denyipany10.21.0.00.0.255.25520permitip10.21.0.00.0.255.255anyclass-map1matchaccess-groupqospolicy-mapcontrol-speedclass1police10000008exceed-actiondropspanning-treespanning-treemstconfigurationrevision1namelibraryinstance0vlan1-9,11-19,21-29,31-39,41-49,51-59,61-69,71-4094instance1vlan10,20,30,50instance2vlan40,60,70spanning-treemst2priority0hostnameS3550BinterfaceFastEthernet0/1switchportmodetrunkservice-policyinputcontrol-speedinterfaceFastEthernet0/2switchportmodetrunkservice-policyinputcontrol-speedinterfaceFastEthernet0/3switchportaccessvlan70interfaceFastEthernet0/4switchportaccessvlan70interfaceFastEthernet0/5switchportaccessvlan70interfaceFastEthernet0/6service-policyinputcontrol-speedinterfaceFastEthernet0/7service-policyinputcontrol-speedinterfaceFastEthernet0/8interfaceFastEthernet0/9interfaceFastEthernet0/10switchportaccinterfaceFastEthernet0/11switchportmodetrunkinterfaceFastEthernet0/12interfaceFastEthernet0/13interfaceFastEthernet0/14interfaceFastEthernet0/15interfaceFastEthernet0/16interfaceFastEthernet0/17第132页 interfaceFastEthernet0/18interfaceFastEthernet0/19interfaceFastEthernet0/20interfaceFastEthernet0/21interfaceFastEthernet0/22interfaceFastEthernet0/23port-group1interfaceFastEthernet0/24port-group1interfaceGigabitEthernet0/25interfaceGigabitEtherninterfaceGigabitEtherninterfaceGigabitEthernet0/27interfaceGigabitEthernet0/28interfaceAggregatePort1switchportmodetrunkinterfaceVLAN70noipproxy-arpipaccess-groupneibuoutend（3）S2126A设备（左）S2126A#showrunhostnameS2126Avlan10nameyuelanvlan20namebangongipaccess-listextendedofficedenyudpanyanyeq4000denyudpanyanyeq8000permitipanyanyspanning-treespanning-treemstconfigurationinstance1vlan10,20,30,50instance2vlan40,60,70namelibraryrevision1interfacefastEthernet0/1switchportmodetrunkinterfacefastEthernet0/2switchportmodetrunkinterfacefastEthernet0/3switchportaccessvlan10switchportport-securitymaximum1第132页 ipaccess-groupofficeininterfacefastEthernet0/4switchportaccessvlan10switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/5switchportaccessvlan10switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/6switchportaccessvlan10switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/7switchportaccessvlan10switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/8switchportaccessvlan20switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/9switchportaccessvlan20switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/10switchportaccessvlan20switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/11switchportaccessvlan20switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/12switchportaccessvlan20switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/13switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/14switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/15第132页 switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/16switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/17switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/18switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/19switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/20switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/21switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/22switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/23switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/24switchportport-securitymaximum1ipaccess-groupofficeinend（4）S2126B设备（右）S2126B#showrunhostnameS2126Bvlan10vlan20vlan30nameother1vlan50nameother2ipaccess-listextendedofficedenyudpanyanyeq4000denyudpanyanyeq8000permitipanyanyspanning-tree第132页 spanning-treemstconfigurationinstance1vlan10,20,30,50instance2vlan40,60,70namelibraryrevision1interfacefastEthernet0/1switchportmodetrunkinterfacefastEthernet0/2switchportmodetrunkinterfacefastEthernet0/3switchportaccessvlan30switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/4switchportaccessvlan30switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/5switchportaccessvlan30switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/6switchportaccessvlan30switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/7switchportaccessvlan30switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/8switchportaccessvlan50switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/9switchportaccessvlan50switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/10switchportaccessvlan50switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/11switchportaccessvlan50switchportport-securitymaximum1第132页 ipaccess-groupofficeininterfacefastEthernet0/12switchportaccessvlan50switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/13switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/14switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/15switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/16switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/17switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/18switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/19switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/20switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/21switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/22switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/23switchportport-securitymaximum1ipaccess-groupofficeininterfacefastEthernet0/24switchportport-securitymaximum1ipaccess-groupofficeinend第132页 附录D：学生、教职工宿舍网络设计论证实验设备配置清单实验拓扑图：项目负责人：杨青雷（1）三层交换机RG-S3526#showrunversion1.0hostnameRG-S3526vlan10nameGuanli1vlan11nameYiyuanvlan12nameEryuanvlan13nameSanyuanvlan14nameSiyuanvlan15nameWuyuanvlan16nameLiuyuanvlan17nameQiyuanvlan18nameBayuan第132页 vlan19nameJiuyuanvlan110nameShiiyuanvlan111nameHoubeijunguanvlan112nameRuanjianvlan113nameChenjiaovlan114nameXinxivlan20nameGuanli2vlan21nameTyearvlan22nameFyearvlan23nameTenyearvlan24nameFityyearvlan25nameMfyearservicedhcpiphelper-address192.168.100.1interfaceFastEthernet0/1switchportmodetrunkinterfaceVlan10ipaddress192.168.100.1255.255.255.0interfaceVlan11ipaddress192.168.101.1255.255.255.0interfaceVlan12ipaddress192.168.102.1255.255.255.0interfaceVlan13ipaddress192.168.103.1255.255.255.0interfaceVlan14ipaddress192.168.104.1255.255.255.0interfaceVlan15ipaddress192.168.105.1255.255.255.0interfaceVlan16ipaddress192.168.106.1255.255.255.0interfaceVlan17ipaddress192.168.107.1255.255.255.0第132页 interfaceVlan18ipaddress192.168.108.1255.255.255.0interfaceVlan19ipaddress192.168.109.1255.255.255.0interfaceVlan110ipaddress192.168.110.1255.255.255.0interfaceVlan111ipaddress192.168.111.1255.255.255.0interfaceVlan112ipaddress192.168.112.1255.255.255.0interfaceVlan113ipaddress192.168.113.1255.255.255.0interfaceVlan114ipaddress192.168.114.1255.255.255.0interfaceVlan20ipaddress192.168.115.1255.255.255.0interfaceVlan21ipaddress192.168.116.1255.255.255.0interfaceVlan22ipaddress192.168.117.1255.255.255.0interfaceVlan23ipaddress192.168.118.1255.255.255.0interfaceVlan24ipaddress192.168.119.1255.255.255.0interfaceVlan25ipaddress192.168.120.1255.255.255.0end（2）二层交换机RG-S2126#showrunversion1.0hostnameRG-S2126vlan10nameGuanlivlan11nameYiyuanvlan12nameEryuanipaccess-listextendedspeed1permitipanyanytime-rangebusyipaccess-listextendedspeed2permitipanyanytime-rangeno-busyservicedhcpiphelper-address192.168.100.1class-map1第132页 matchaccess-groupspeed1class-map2matchaccess-groupspeed2policy-maplapclass1police100000065536class2police300000065536interfacefastEthernet0/1service-policyinputlapinterfacefastEthernet0/2switchportaccessvlan11switchportport-securityswitchportport-securitymaximum2switchportport-securitymac-address00d1.0000.0001ip-address192.168.100.1interfacefastEthernet0/3switchportaccessvlan12time-rangebusyperiodicDaily10:00to21:30time-rangeno-busyperiodicDaily21:30to23:59periodicDaily0:00to9:59end第132页'