系统简介

不同于个人家庭这种几个终端的个体，一个大型企业的通信不单单依靠我们的家用路由器，而是需要使用交换机等设备通过调试和配置协议之后才能与互联网共享数据。网络是一所企业或一所高校不可缺少的一个部分，拥有了网络才可以开展业务和与他人共享数据，为了建设互联网校园，建设搭建该校的无线网络，本项目从原有的拓扑结构上新加入一批建设无线网络的网络设备，现在举一些搭建该高校网络所用到的技术，该高校的ap做了十分详细的分类，每一栋楼都单独划分一个ap组，并且要使用本校的无线网络，必须要有自己的账号密码，经过学校服务器上的认证平台通过后，才能够正常上网。此外，该校还使用到了802.1x认证网络设备，防止非法网络设备的接入。其他技术将会在答辩时列出来讲解。我想把这个项目从零开始的规划重新复现一遍，旨在演示。这个项目提高了该高校内网网络的可用性，健壮性和冗余性。
这个项目的演示我将会用到华为的设备模拟器ensp进行复现拓扑和从最初的设计到最后连通互联网的过程
我将对这个项目调试的设备的大部分配置进行详细的讲解，分别阐述它们在网络通信中的作用：它是什么，为什么要这样配置，这样配置有什么好处进行分析。预期出现的结果是网络结构稳定，不易出现故障，并且最重要的是能访问互联网。
设计这一种实验，能够帮助我们日后在企业中有规律性的规划网络，使我们接手的网络项目简单可靠，辨识度高，方便我们的甲方运维人员对设置好的网络进行管理和运维。
关键词：OSPF，内网设计，私有网络搭建

第一章 设计意义

1.1.2 课题研究的意义
网络是一所企业或一所高校不可缺少的一个部分，拥有了网络才可以开展业务和与他人共享数据，本次毕业设计所选择的题目是一个十分经典的一所高校的网络规划。这所高校因为要进行网络改造，所以在原有的网络设备的基础上，新加入一批设备，旨在加大该高校区域内数据的吞吐量和网络的规模和让用户连上互联网获得信息和数据，并且能让学校的网管中心更加方便管理和控制学生的上网时间，此外，校园网是建设未来信息化校园的传输平台，一个稳健可靠高可用性的网络规划设计是建设信息化校园的基础。随着信息时代的到来，越来越多的事情需要依靠互联网，因此设计出一个高可用性的校园网络成为一个十分迫切的目标。
这个项目提高了该高校内网网络的可用性，健壮性，冗余性和安全性。也充分展现了近几年网络搭建网络二层，三层技术的体现，体现了这两年几千上万终端一般的网络搭建的方式和利用新型网络协议比用旧的网络协议突出了哪些优势
1.2 文献叙述
1.2.1 国内外研究
在2010年以前，构建大型的私网网络往往都是采用一种叫RIP的协议，它计算路由的方式是根据经过路由器的数量，每经过一台路由器就加一跳，一旦到了16跳或以上，该目的地址就会被判定为不可达。RIP在OSI七层网络模型中是属于最顶层的应用层协议，虽然它能够作为一个路由协议转发报文，但是却存在很多问题，十分的不可靠，比如：协议收敛速度非常慢，30秒才更新一次路由表和该协议运行的数据库，对于一些业务不能中断的网络来说，30秒钟的损失是无法估量的；度量值不科学和可扩展性差，16跳的目的地址不可达，对于小型的网络几十台设备的影响还不大，可是如今网络发展的非常快，出现几百台网络设备的内网网络处处都有，如果所有路由器都运行RIP协议，一个报文从一台路由器转发，一旦经过第15设备，这个报文就直接被路由器丢弃了，虽然说可以做vpn实例来扩大转发的距离，可是这种方法会加大网络的复杂度，网络一旦出现问题将会很难解决。虽然后期出现了RIPv2这种更新了版本的RIP协议，但是它本身的基于距离矢量这种算法已经不能承载大型私网网络的的协议。我在此所举的例子只是RIP诸多缺陷中很小的一个部分，它还有其他十分不足的地方，这里就不一一举例子了。
为此，后来诞生了另一种计算路由的协议，叫做OSPF，它算域内路由的方式是计算链路状态信息：先计算Transit节点，最后再把stub节点计算上去。这种算法又叫做SPF的算法（最短路径优先）。OSPF被誉为近似完美的IGP路由协议，它在对于路由的选择和评估上几乎无可挑剔，因为他对于路由的计算有着1，2，3，4，5，7这几类LSA来计算路由。
1.3 网络设计研究的方法和内容
1.3.1网络设计研究的方法
该论文的研究方法是通过查阅该项目所购买的设备的产品文档和配置手册，在项目实施地点内交换机等网络设备的实际配置来研究该高校内网如何设计，如何构建和需要用到什么网络协议。并且对于无线AP的放置位置，需要到实地工勘定位，以确保无线网络的运行不会受到当地物理环境的影响。
预期使用开源模拟器ENSP构建网络拓扑图，该软件能够直观简明的绘制内网设备的拓扑图，让驻场运维的网管在网络出现问题时能第一时间确定故障位置解决网络故障，确保断网的时间被缩到最短，减少因为断网而造成的经济损失。
1.3.2 网络设计研究的内容
随着科技的发展，教学资源分布日益广泛，旧时代的网络已经满足不了教师和学生对网络的需求，因为虚拟化技术的不断发展，旧的网络模型已经出现很大的改变，云计算和SDN对网络的改变有很大的影响。
首先确定该项目所运用的设备是否能够满足客户内网的网络正常，是否满足该网络的吞吐流量。
选好设备之后，需要规划这些设备在项目现场放置的位置，最大化的减少网络通信的质量因为传输距离而衰减，保证每一位用户的网络服务质量。
规划内网的vlan和ip地址，设置多个网段，并且每个网段都有它独特的作用，如网络管理员管理设备的管理网段和内网用户跑业务的业务网段，并做一张关于规划的表格，以防后期配置设备时出现ip地址的冲突。
配置接入层，汇聚层交换机的vlan，ip地址，和DHCP等ip业务，先保证终端pc和汇聚层交换机的通信。
配置汇聚层，控制数据阻塞，在汇聚层交换机上启用链路聚合技术，让数据分流在多个接口，防止单个接口的数据流量过大而导致瘫痪
配置核心交换机，无线控制器，和出口防火墙的业务，使得无线网络和有线网络都能访问互联网。
配置网络协议和以太网协议，并且选择承载吞吐量达到最优的路径。
设置防火墙，交换机的安全策略，对特定的网络进行访问控制，设置网络设备的远程登录服务。设置认证策略，提高内网的安全性，防止非法设备的接入。
预留本网络可达到的最高带宽，让以后提高网络带宽时有空间。
在路由器和交换机等一系列通信设备上设置loopback口使网络管理员能够远程登陆设备修改交换机的配置和规则
对于每台内网中的通信设备，都需要做好定期的配置备份，防止设备因未知原因重启之后配置丢失要重新配置，备份好配置之后能快速还原配置，快速解除故障。

第二章 解决方案分析

2.1 网络方案分析
2.1.1 校园内网的设计方案
教学区每间教室内的主机PC能够通过RJ45口用千兆超六类网线连上网络，并且能访问互联网。为了确认每台终端的位置和教室，获取ip地址的方式不使用DHCP，通过网管给予的ip地址，教师手动输入ip地址。
为建设数字化校园，教学区每间教室内部署一到两台无线AP供高校学生接入，学生在经过上网认证并且通过DHCP获取ip地址，之后可以通过无线网络访问互联网。
设置DNS服务器，学生教师访问服务器获取数据都通过域名。
为存储教学资料，本次设计的网络给每间教室设置了一个独立的ftp服务器来存储教师上课产生的一些教学资料，以供日后有需要时可以登录ftp服务器访问获取。
除了教师办公室可以通过web访问存储学生个人档案和成绩信息的服务器，其他地区一律禁止访问，对于存储学生信息的软件设计，由其他软件公司负责开发。
学生和教师都可以访问学校教务系统，教务系统分内网访问和外网访问，使内网访问的数据不用先通过外网走次优路径。
高校驻场运维的网管可以通过telnet，ssh2等方式远程登录网络设备来管理，登录方式采用aaa认证。
学校web管理通信设备的方式是通过一个华三的网管平台imc来管理网络设备，所以需要给网络设备配置snmp简单网络管理协议来使网管平台imc能在web上发现网络设备
设置私有隧道，高校与分校的联系需要通过vpn来访问，并且由于学校购买了一些企业的教学产品，需要通过vpn来访问。
无线网络，有线网络等具体到每一个业务的网段都要单独划分开来，便于管理。
接入终端的网关交换机设置两台，并且做VRRP做冗余备份，保证一台网关交换机出现故障之后还能保证网络不中断。
对于部署的终端网关交换机部署了VRRP虚拟网关之后，还需要部署BFD协议检测上行链路状态，上行链路一旦出现故障能在毫秒内切换至备份链路，提高内网的冗余性和可靠性。
校园内网使用的路由协议是OSPF，其骨干区域在于学校内网出口到汇聚层这一部分，其他设置为一般区域，并且设置为stub区域，减少OSPF的LSA报文的泛洪。
为了加大汇聚层之间链路的带宽，需要在汇聚层的交换机使能链路聚合功能，在不超过设备极限性能的情况下，尽可能的加大内网流量的吞吐量。
2.1.2 校园内网安全需求分析
为了防止学生随意修改和恶意删除学校成绩系统等在服务器上存储的机密信息，服务器区域对于学生连入的网段需要进行访问控制。服务器区域仅对教师办公室的网段开放。
对于一台交换机，对不直连对端是通信设备的接口设置为edged端口，edged端口不会不会参与根端口的计算，从而加快协议的收敛，并且一方面减少STP的BPDU报文占用链路带宽，另一方面避免向边缘端口转发生成树的BPDU报文被恶意攻击者抓包利用。
对于网络设计初期配置好的根桥，设置根保护功能，记录根桥的mac地址，防止新接入参与选举根桥的交换机夺取原先设置好的根桥，从而引发网络震荡。除此之外，也防止恶意攻击者接入交换机夺取根桥。
对于该内网的每台网络设备都要设置登录密码，密码需要包含大小写英文字母和数字，长度不小于8位。
核心交换机中拥有学校最核心的业务配置，为了加强安全性，需要在登录设备时设置超级密码，用户在登录设备以后，还需要输入超级密码才能拥有读取，修改核心交换机配置的最高权限。

第三章 学校网络的总体规划

3.1 网络规划
3.1.1总的网络规划
经过与学校的网管中心讨论，教学区域的日常常有人员状况如下：
对于教室的有线网络：该教学楼每层大概有810个教室，每间教室预计只需要12台网络接入口，一共有9层楼，则教学区域最大的有线终端接入数量为180个，因此规划一个c类地址24位掩码即可满足需求。
对于教学区的无线AP数量，每间课室放置12台AP，具体按教室大小而定数量；走廊上每隔一间教室放置一台AP，确保无线ap的信号能够覆盖整个教学区域，则该教学区域最大规划的AP数量大约有100200个，因此规划一个c类ip地址24位掩码即可满足需求。
对于无线AP的接入终端数量，经过学校网管统计学生的上课时间和上课人数，教学楼每日在线终端大约2000左右。
对于教室办公室及校领导的人数大约400多人，因此规划一个c类ip地址23位掩码满足终端的接入数量。
对于网络设备的数量

3.1.2 网络分层设计
接入层
接入层的交换机主要是为有线用户终端和无线AP提供接入互联网的服务。对于接入类似PC的有线终端的端口，交换机需要关闭POE供电功能，防止网线被使能POE供电而烧坏；对于接入无线AP设备的端口，此端口需要开启POE功能给AP供电。POE供电具有以下优势：高安全性，通过网线进行供电能避免接入插座式电源，一方面减少学校的供电负担，减少部署强电。另一方面也减少了因无线接入点而要设置的插座，简单易用，插上即用；实惠便利性，当需要关闭AP时，只需要进入交换机shutdown端口即可，不需要到接入点的位置关闭。

无线AP
根据学校教学区环境的特点，室内放装式和吸顶式AP的方案，是放装还是吸顶具体依照无线工勘时实地环境决定，满足精细化的覆盖需求。AP2051DN-L-S无线终端支持802.11n协议，使用专业程序化的设计，该AP单射频提供具有300Mbps的无线接入速率，是相同环境下802.11a/b/g协议产品的6倍左右。该AP设备内部有无线智能天线，可免去外接天线，不影响各个AP接入点的内部环境。
部署AP时要充分考虑每个AP的射频范围，部署时应采用市内三角式放装，确保AP之间的覆盖范围不会相互影响，或者将射频影响减小到最小。另外，对于AP之间射频覆盖的相同区域，需要采用不同信道防止通信故障。
汇聚层
汇聚层是网络结构中的中坚力量，是十分重要的一个部分，将接入层的数据汇聚到一起转发到核心层，核心交换机再将数据转发到出口再转发公网上。这一层的交换机计划部署在学校的中间楼层，让尽可能多的接入点的网线变短，将数据因为传输过程中随距离的增长网络传输效率的影响减小到最小，体现本设计的网络的高可靠性。
为了防止我们汇聚层一台交换机突发故障，需要设置备选链路，当原来传输数据的交换机出现故障时数据能够从原来的转移到备用的交换机中进行传输。此外，汇聚层交换机之间要建立链路聚合端口来加大数据的吞吐量，减少单个端口负载的数据，延长设备的寿命，体现本网络的冗余性和可持续发展性。
本网络的接入终端的IP地址池设计在汇聚层交换机，为了为了防止非法设备下发ip地址给需要获取ip地址的设备，需要对提供汇聚层交换机设置ip地址的接口使用mac捆绑，保证用户的无线终端不会获取到除交换机提供的以外的ip地址，体现本网络的安全性。
核心层
作为接近与公网连接的桥梁，核心层交换机是整个内网的心脏，是所有数据要访问互联网的必须经过的地方，因此，需要规划两台交换机做虚拟化堆叠，堆叠简单来说就是将两台交换机虚拟成一台大交换机。主交换机控制着数据的传输，当主交换机出现问题时，堆叠会自己断开，并且业务会迁移到备交换机上继续传输，该过程可能会有几秒的卡顿。
内网出口
作为内网的边界，为了避免公网上有黑客对学校内网的网络结构进行嗅探，预计将在防火墙规划安全策略，禁止公网上的设备发送和接收来自该学校的icmp报文。对公网进入内网的各种报文进行规定时间内的数量限制，防止恶意DDos攻击。
3.1.3 网络总体逻辑拓扑
如图3.1.3-1所示，内网的拓扑图应每过固定时间内就需要更新一次，让网络的运维人员能够更加直观正确的了解拓扑，并且在网络出现故障时，便于设备的原厂工程师了解网络架构之后快速的排除故障。

图3.1.3-1 学校教学区域整体拓扑

第四章 设备选型

4.1 S2750-28TP-PWR-EI-AC接入层交换机
4.1.1 设备简介
它的基础是下一代交换技术和华为独特的VRP软件平台，可以提供十分简单和容易的安装维护操作，并且与灵活的设置网络、安全和QoS流量限制策略、健康环保等先进的技术，可以满足broadcast网络多种业务的加入和接入需要，支持协助企业用户搭建面向未来的下一代网络！
4.1.2 产品的一些参数
可以用PoE供电，可供无线AP的接入。
产品内部设置了7KV的防雷技术，能免疫感应雷击的大电压；
可以有IP、MAC、VLAN、端口等无线终端的标记参数的动态或静态的配对，并可以使用用户策略（ACL）的dymaic下发
支持堆叠提升交换数据大小、可信性、可追加性，堆叠后的系统只用一个地址，统一进行管理，很大的让系统维护使用的成本降低；
具有数量8000个 mac address table，可以删除dymaic mac地址，可以做mac地址老化时间可配置。
下行24个百兆端口，上行2个或4个千兆端口。
4.2 AP2051DN-L-S接入点
4.2.1 设备简介
AP2051DN-L-S是huawei向SMB市场发布的可以使用802.11ac Ware 2协议的面板式AP，使用标准86×86mm的面板实际，可以简单高速的安置再86型面板暗盒上。内有天线，隐形指示灯，滑动面板，设计美观，使用再酒店客房、高校宿舍、医院走廊、小型的办公室等房间体积小，户型较多人的场所。
4.2.2 产品特性和规格
电源：poe提供电源，匹配802.3af/at的广播网络协议标准
最大耗电：6.63W
天线：双频率全方向天线
可以同时存在的用户数量：256
最大发射功率：2.4G 21dBm，5G 17dBm
支持的无线协议：802.11a/b/g/n/ac/ac wave2
最高速率：833Mbps
4.3 CloudEngine S6730S-S24X6Q-A汇聚交换机
4.3.1 设备简介
CloudEngine S6730S-S交换机是Huawei自主研发的下一代万兆盒型网桥，拥有全线速率万兆接入的端口和40千兆的上行端口，同时又有丰富的业务特点、完善的安全控制acl、丰富的qos策略等特性，足以胜任园区和IDC网络的可持续发展性、可信性、可管性及安全性等诸多特性

4.3.2 产品的一些参数
该核心交换机可以进行统一用户管理的功能，屏蔽了接入交换机设备的能力和接入方式的插别，可以用802.1X/MAC/Portal等诸多认证，可以对用户进行分组/分区域/分时段的管理用户、业务可看可控制，实现了从“以交换机管理为中心”到“以用户管理为中心”的质的改变。
该核心交换机提供了高质量的qos能力，具有完善的队列调度算法、拥塞控制、拥塞管理等创新型的优先级调度算法和多等级的队列调度规则，能对数据流实现多等级的精确调用，从而满足企业对不同的用户终端、不同的业务的qos的要求。
4.4 S7706智能路由箱式核心交换机
4.4.1 设备简介
S7706交换机给我们提供了有线和无线的最大化融合、统一的用户终端管理、网络质量的发现iPCA、完全的H-QoS策略、一体化的安全智能的业务优化特点，具有十万兆端口，具有SVF2.0超级的virtual交换机，具有超强的扩容性和可信性。
4.4.2 产品的一些参数
S7700拥有无线控制器的功能，业务的板卡同时兼备AC无线控制器，没有必要另外购买AC板卡；一台机器最大可以管理4000台AP，整机转发性能可达T-bit级，解決传统AC的处理性瓶颈；S7706支持统一用户管理功能，屏蔽了接入层设备能力和接入方式的差异。
SVF2.0超级virtual交换网络，创新不仅将盒式交换机纵向虚拟成框式交换机板卡，并且将AP纵向虚拟成框式交换机的端口，把原来“核心/汇聚+接入交换机+AP"的网络架构，虚拟化成一台设备进行管理，简单化网络的运维。
15882和同步以太,满足网络设备间的高精度时间同步,相比GPS的时间同步方案,提升安全的同时降低成本。
Service Chain多业务虚拟化,对网络増值业务处理能力(如防火墙F)进行虚拟化,从而园区网络可以无差别地利用这些能力,而不受物理位置的约束。
交换容量有19.84/86.4Tbps。
可以配置ipv4的静态路由、ospf、isis、bgp-4等三层通信协议；可配ipv6静态路由、ripng、ospfv3、isis-6、bgp4+；可配置ipv4/v6等价路由、策略通信协议、三层通信策略；提供Pingv6、Telnetv6、FTPv6、TFTPv6、DNSv6、ICMPv6；提供IPv4向IPv6的转换技术，包括：IPv6人工配置tunnel、6to4 tunnel、ISATAP tunnel、GRE tunnel、IPv4兼容自动配置tunnel。
4.5 USG6000V virtual综合data gateway防火墙
4.5.1 设备简介
华为USG6000V是在NFV架构基础上设计的virtual综合data gateway，virtual资源利用率很高，资源虚拟化的技术支持大量多租户的同时应用。产品拥有丰富的gateway业务能里，比如：vFW、vIPSec、vLB、vIPS、vAV、vURL过滤等，用户可以根据对virtual gateway的业务需求，按需求使用，可以灵活的进行部署。
4.5.2 产品的一些参数
全方位的防护：集成了传统的防火墙、VPN、IPS、防恶意代码、流量的管理、Anti-DDoS等多种功能在于一身的产品，global视图和全方位的security-policy管理。
应用层应用识别与管理控制：可识别大约六千的应用，访问控制精确度到应用拥有的功能，例如：区分微信的文字和语音。应用的识别与IDS、防恶意代码、内容安全相融合，提高检测性能和正确率。
IPS与http防护：第一时间获得最新威胁信息并更新，准确检测并防御针对漏洞的黑客攻击。可防护各种针对http的攻击，包括SQL注入的攻击和xss攻击等。
病毒库每日更新，可迅速检出超过500万种病毒。

第五章 部署测试

5.1 防火墙
防火墙添加内外网进出的策略

图5.1.1 出口防火墙策略的设置
此外，对于出口，还要设置路由，出口设置公网ip地址，还需要做NAT转换技术，该部分留在论文开始上台演讲时给导师们进行演示。

5.2 接入交换机

图5.2.1一部分接入交换机的逻辑拓扑

以一部分的接入交换机为例，其他接入交换机的配置相似。对于两台交换机之间的串联口，设置链路聚合，使用协议lacp。

图5.2.2 接入交换机链路聚合的详情信息
对用来跑数据的vlan和网段，该内网使用ospf。骨干区域在防火墙—核心交换机—汇聚交换机区域，详情配置会在演讲时展示。
而对于设备管理的vlan和网段，采用交换机接收到数据包广播的特性，不需要设置路由，只走数据链路层，详情原理也会在答辩中解释。

图5.2.3 接入交换机OSPF的配置

系统简介

不同于个人家庭这种几个终端的个体，一个大型企业的通信不单单依靠我们的家用路由器，而是需要使用交换机等设备通过调试和配置协议之后才能与互联网共享数据。网络是一所企业或一所高校不可缺少的一个部分，拥有了网络才可以开展业务和与他人共享数据，为了建设互联网校园，建设搭建该校的无线网络，本项目从原有的拓扑结构上新加入一批建设无线网络的网络设备，现在举一些搭建该高校网络所用到的技术，该高校的ap做了十分详细的分类，每一栋楼都单独划分一个ap组，并且要使用本校的无线网络，必须要有自己的账号密码，经过学校服务器上的认证平台通过后，才能够正常上网。此外，该校还使用到了802.1x认证网络设备，防止非法网络设备的接入。其他技术将会在答辩时列出来讲解。我想把这个项目从零开始的规划重新复现一遍，旨在演示。这个项目提高了该高校内网网络的可用性，健壮性和冗余性。
这个项目的演示我将会用到华为的设备模拟器ensp进行复现拓扑和从最初的设计到最后连通互联网的过程
我将对这个项目调试的设备的大部分配置进行详细的讲解，分别阐述它们在网络通信中的作用：它是什么，为什么要这样配置，这样配置有什么好处进行分析。预期出现的结果是网络结构稳定，不易出现故障，并且最重要的是能访问互联网。
设计这一种实验，能够帮助我们日后在企业中有规律性的规划网络，使我们接手的网络项目简单可靠，辨识度高，方便我们的甲方运维人员对设置好的网络进行管理和运维。
关键词：OSPF，内网设计，私有网络搭建

第一章 设计意义

1.1.2 课题研究的意义
网络是一所企业或一所高校不可缺少的一个部分，拥有了网络才可以开展业务和与他人共享数据，本次毕业设计所选择的题目是一个十分经典的一所高校的网络规划。这所高校因为要进行网络改造，所以在原有的网络设备的基础上，新加入一批设备，旨在加大该高校区域内数据的吞吐量和网络的规模和让用户连上互联网获得信息和数据，并且能让学校的网管中心更加方便管理和控制学生的上网时间，此外，校园网是建设未来信息化校园的传输平台，一个稳健可靠高可用性的网络规划设计是建设信息化校园的基础。随着信息时代的到来，越来越多的事情需要依靠互联网，因此设计出一个高可用性的校园网络成为一个十分迫切的目标。
这个项目提高了该高校内网网络的可用性，健壮性，冗余性和安全性。也充分展现了近几年网络搭建网络二层，三层技术的体现，体现了这两年几千上万终端一般的网络搭建的方式和利用新型网络协议比用旧的网络协议突出了哪些优势
1.2 文献叙述
1.2.1 国内外研究
在2010年以前，构建大型的私网网络往往都是采用一种叫RIP的协议，它计算路由的方式是根据经过路由器的数量，每经过一台路由器就加一跳，一旦到了16跳或以上，该目的地址就会被判定为不可达。RIP在OSI七层网络模型中是属于最顶层的应用层协议，虽然它能够作为一个路由协议转发报文，但是却存在很多问题，十分的不可靠，比如：协议收敛速度非常慢，30秒才更新一次路由表和该协议运行的数据库，对于一些业务不能中断的网络来说，30秒钟的损失是无法估量的；度量值不科学和可扩展性差，16跳的目的地址不可达，对于小型的网络几十台设备的影响还不大，可是如今网络发展的非常快，出现几百台网络设备的内网网络处处都有，如果所有路由器都运行RIP协议，一个报文从一台路由器转发，一旦经过第15设备，这个报文就直接被路由器丢弃了，虽然说可以做vpn实例来扩大转发的距离，可是这种方法会加大网络的复杂度，网络一旦出现问题将会很难解决。虽然后期出现了RIPv2这种更新了版本的RIP协议，但是它本身的基于距离矢量这种算法已经不能承载大型私网网络的的协议。我在此所举的例子只是RIP诸多缺陷中很小的一个部分，它还有其他十分不足的地方，这里就不一一举例子了。
为此，后来诞生了另一种计算路由的协议，叫做OSPF，它算域内路由的方式是计算链路状态信息：先计算Transit节点，最后再把stub节点计算上去。这种算法又叫做SPF的算法（最短路径优先）。OSPF被誉为近似完美的IGP路由协议，它在对于路由的选择和评估上几乎无可挑剔，因为他对于路由的计算有着1，2，3，4，5，7这几类LSA来计算路由。
1.3 网络设计研究的方法和内容
1.3.1网络设计研究的方法
该论文的研究方法是通过查阅该项目所购买的设备的产品文档和配置手册，在项目实施地点内交换机等网络设备的实际配置来研究该高校内网如何设计，如何构建和需要用到什么网络协议。并且对于无线AP的放置位置，需要到实地工勘定位，以确保无线网络的运行不会受到当地物理环境的影响。
预期使用开源模拟器ENSP构建网络拓扑图，该软件能够直观简明的绘制内网设备的拓扑图，让驻场运维的网管在网络出现问题时能第一时间确定故障位置解决网络故障，确保断网的时间被缩到最短，减少因为断网而造成的经济损失。
1.3.2 网络设计研究的内容
随着科技的发展，教学资源分布日益广泛，旧时代的网络已经满足不了教师和学生对网络的需求，因为虚拟化技术的不断发展，旧的网络模型已经出现很大的改变，云计算和SDN对网络的改变有很大的影响。
首先确定该项目所运用的设备是否能够满足客户内网的网络正常，是否满足该网络的吞吐流量。
选好设备之后，需要规划这些设备在项目现场放置的位置，最大化的减少网络通信的质量因为传输距离而衰减，保证每一位用户的网络服务质量。
规划内网的vlan和ip地址，设置多个网段，并且每个网段都有它独特的作用，如网络管理员管理设备的管理网段和内网用户跑业务的业务网段，并做一张关于规划的表格，以防后期配置设备时出现ip地址的冲突。
配置接入层，汇聚层交换机的vlan，ip地址，和DHCP等ip业务，先保证终端pc和汇聚层交换机的通信。
配置汇聚层，控制数据阻塞，在汇聚层交换机上启用链路聚合技术，让数据分流在多个接口，防止单个接口的数据流量过大而导致瘫痪
配置核心交换机，无线控制器，和出口防火墙的业务，使得无线网络和有线网络都能访问互联网。
配置网络协议和以太网协议，并且选择承载吞吐量达到最优的路径。
设置防火墙，交换机的安全策略，对特定的网络进行访问控制，设置网络设备的远程登录服务。设置认证策略，提高内网的安全性，防止非法设备的接入。
预留本网络可达到的最高带宽，让以后提高网络带宽时有空间。
在路由器和交换机等一系列通信设备上设置loopback口使网络管理员能够远程登陆设备修改交换机的配置和规则
对于每台内网中的通信设备，都需要做好定期的配置备份，防止设备因未知原因重启之后配置丢失要重新配置，备份好配置之后能快速还原配置，快速解除故障。

第二章 解决方案分析

2.1 网络方案分析
2.1.1 校园内网的设计方案
教学区每间教室内的主机PC能够通过RJ45口用千兆超六类网线连上网络，并且能访问互联网。为了确认每台终端的位置和教室，获取ip地址的方式不使用DHCP，通过网管给予的ip地址，教师手动输入ip地址。
为建设数字化校园，教学区每间教室内部署一到两台无线AP供高校学生接入，学生在经过上网认证并且通过DHCP获取ip地址，之后可以通过无线网络访问互联网。
设置DNS服务器，学生教师访问服务器获取数据都通过域名。
为存储教学资料，本次设计的网络给每间教室设置了一个独立的ftp服务器来存储教师上课产生的一些教学资料，以供日后有需要时可以登录ftp服务器访问获取。
除了教师办公室可以通过web访问存储学生个人档案和成绩信息的服务器，其他地区一律禁止访问，对于存储学生信息的软件设计，由其他软件公司负责开发。
学生和教师都可以访问学校教务系统，教务系统分内网访问和外网访问，使内网访问的数据不用先通过外网走次优路径。
高校驻场运维的网管可以通过telnet，ssh2等方式远程登录网络设备来管理，登录方式采用aaa认证。
学校web管理通信设备的方式是通过一个华三的网管平台imc来管理网络设备，所以需要给网络设备配置snmp简单网络管理协议来使网管平台imc能在web上发现网络设备
设置私有隧道，高校与分校的联系需要通过vpn来访问，并且由于学校购买了一些企业的教学产品，需要通过vpn来访问。
无线网络，有线网络等具体到每一个业务的网段都要单独划分开来，便于管理。
接入终端的网关交换机设置两台，并且做VRRP做冗余备份，保证一台网关交换机出现故障之后还能保证网络不中断。
对于部署的终端网关交换机部署了VRRP虚拟网关之后，还需要部署BFD协议检测上行链路状态，上行链路一旦出现故障能在毫秒内切换至备份链路，提高内网的冗余性和可靠性。
校园内网使用的路由协议是OSPF，其骨干区域在于学校内网出口到汇聚层这一部分，其他设置为一般区域，并且设置为stub区域，减少OSPF的LSA报文的泛洪。
为了加大汇聚层之间链路的带宽，需要在汇聚层的交换机使能链路聚合功能，在不超过设备极限性能的情况下，尽可能的加大内网流量的吞吐量。
2.1.2 校园内网安全需求分析
为了防止学生随意修改和恶意删除学校成绩系统等在服务器上存储的机密信息，服务器区域对于学生连入的网段需要进行访问控制。服务器区域仅对教师办公室的网段开放。
对于一台交换机，对不直连对端是通信设备的接口设置为edged端口，edged端口不会不会参与根端口的计算，从而加快协议的收敛，并且一方面减少STP的BPDU报文占用链路带宽，另一方面避免向边缘端口转发生成树的BPDU报文被恶意攻击者抓包利用。
对于网络设计初期配置好的根桥，设置根保护功能，记录根桥的mac地址，防止新接入参与选举根桥的交换机夺取原先设置好的根桥，从而引发网络震荡。除此之外，也防止恶意攻击者接入交换机夺取根桥。
对于该内网的每台网络设备都要设置登录密码，密码需要包含大小写英文字母和数字，长度不小于8位。
核心交换机中拥有学校最核心的业务配置，为了加强安全性，需要在登录设备时设置超级密码，用户在登录设备以后，还需要输入超级密码才能拥有读取，修改核心交换机配置的最高权限。

第三章 学校网络的总体规划

3.1 网络规划
3.1.1总的网络规划
经过与学校的网管中心讨论，教学区域的日常常有人员状况如下：
对于教室的有线网络：该教学楼每层大概有810个教室，每间教室预计只需要12台网络接入口，一共有9层楼，则教学区域最大的有线终端接入数量为180个，因此规划一个c类地址24位掩码即可满足需求。
对于教学区的无线AP数量，每间课室放置12台AP，具体按教室大小而定数量；走廊上每隔一间教室放置一台AP，确保无线ap的信号能够覆盖整个教学区域，则该教学区域最大规划的AP数量大约有100200个，因此规划一个c类ip地址24位掩码即可满足需求。
对于无线AP的接入终端数量，经过学校网管统计学生的上课时间和上课人数，教学楼每日在线终端大约2000左右。
对于教室办公室及校领导的人数大约400多人，因此规划一个c类ip地址23位掩码满足终端的接入数量。
对于网络设备的数量

3.1.2 网络分层设计
接入层
接入层的交换机主要是为有线用户终端和无线AP提供接入互联网的服务。对于接入类似PC的有线终端的端口，交换机需要关闭POE供电功能，防止网线被使能POE供电而烧坏；对于接入无线AP设备的端口，此端口需要开启POE功能给AP供电。POE供电具有以下优势：高安全性，通过网线进行供电能避免接入插座式电源，一方面减少学校的供电负担，减少部署强电。另一方面也减少了因无线接入点而要设置的插座，简单易用，插上即用；实惠便利性，当需要关闭AP时，只需要进入交换机shutdown端口即可，不需要到接入点的位置关闭。

无线AP
根据学校教学区环境的特点，室内放装式和吸顶式AP的方案，是放装还是吸顶具体依照无线工勘时实地环境决定，满足精细化的覆盖需求。AP2051DN-L-S无线终端支持802.11n协议，使用专业程序化的设计，该AP单射频提供具有300Mbps的无线接入速率，是相同环境下802.11a/b/g协议产品的6倍左右。该AP设备内部有无线智能天线，可免去外接天线，不影响各个AP接入点的内部环境。
部署AP时要充分考虑每个AP的射频范围，部署时应采用市内三角式放装，确保AP之间的覆盖范围不会相互影响，或者将射频影响减小到最小。另外，对于AP之间射频覆盖的相同区域，需要采用不同信道防止通信故障。
汇聚层
汇聚层是网络结构中的中坚力量，是十分重要的一个部分，将接入层的数据汇聚到一起转发到核心层，核心交换机再将数据转发到出口再转发公网上。这一层的交换机计划部署在学校的中间楼层，让尽可能多的接入点的网线变短，将数据因为传输过程中随距离的增长网络传输效率的影响减小到最小，体现本设计的网络的高可靠性。
为了防止我们汇聚层一台交换机突发故障，需要设置备选链路，当原来传输数据的交换机出现故障时数据能够从原来的转移到备用的交换机中进行传输。此外，汇聚层交换机之间要建立链路聚合端口来加大数据的吞吐量，减少单个端口负载的数据，延长设备的寿命，体现本网络的冗余性和可持续发展性。
本网络的接入终端的IP地址池设计在汇聚层交换机，为了为了防止非法设备下发ip地址给需要获取ip地址的设备，需要对提供汇聚层交换机设置ip地址的接口使用mac捆绑，保证用户的无线终端不会获取到除交换机提供的以外的ip地址，体现本网络的安全性。
核心层
作为接近与公网连接的桥梁，核心层交换机是整个内网的心脏，是所有数据要访问互联网的必须经过的地方，因此，需要规划两台交换机做虚拟化堆叠，堆叠简单来说就是将两台交换机虚拟成一台大交换机。主交换机控制着数据的传输，当主交换机出现问题时，堆叠会自己断开，并且业务会迁移到备交换机上继续传输，该过程可能会有几秒的卡顿。
内网出口
作为内网的边界，为了避免公网上有黑客对学校内网的网络结构进行嗅探，预计将在防火墙规划安全策略，禁止公网上的设备发送和接收来自该学校的icmp报文。对公网进入内网的各种报文进行规定时间内的数量限制，防止恶意DDos攻击。
3.1.3 网络总体逻辑拓扑
如图3.1.3-1所示，内网的拓扑图应每过固定时间内就需要更新一次，让网络的运维人员能够更加直观正确的了解拓扑，并且在网络出现故障时，便于设备的原厂工程师了解网络架构之后快速的排除故障。

图3.1.3-1 学校教学区域整体拓扑

第四章 设备选型

4.1 S2750-28TP-PWR-EI-AC接入层交换机
4.1.1 设备简介
它的基础是下一代交换技术和华为独特的VRP软件平台，可以提供十分简单和容易的安装维护操作，并且与灵活的设置网络、安全和QoS流量限制策略、健康环保等先进的技术，可以满足broadcast网络多种业务的加入和接入需要，支持协助企业用户搭建面向未来的下一代网络！
4.1.2 产品的一些参数
可以用PoE供电，可供无线AP的接入。
产品内部设置了7KV的防雷技术，能免疫感应雷击的大电压；
可以有IP、MAC、VLAN、端口等无线终端的标记参数的动态或静态的配对，并可以使用用户策略（ACL）的dymaic下发
支持堆叠提升交换数据大小、可信性、可追加性，堆叠后的系统只用一个地址，统一进行管理，很大的让系统维护使用的成本降低；
具有数量8000个 mac address table，可以删除dymaic mac地址，可以做mac地址老化时间可配置。
下行24个百兆端口，上行2个或4个千兆端口。
4.2 AP2051DN-L-S接入点
4.2.1 设备简介
AP2051DN-L-S是huawei向SMB市场发布的可以使用802.11ac Ware 2协议的面板式AP，使用标准86×86mm的面板实际，可以简单高速的安置再86型面板暗盒上。内有天线，隐形指示灯，滑动面板，设计美观，使用再酒店客房、高校宿舍、医院走廊、小型的办公室等房间体积小，户型较多人的场所。
4.2.2 产品特性和规格
电源：poe提供电源，匹配802.3af/at的广播网络协议标准
最大耗电：6.63W
天线：双频率全方向天线
可以同时存在的用户数量：256
最大发射功率：2.4G 21dBm，5G 17dBm
支持的无线协议：802.11a/b/g/n/ac/ac wave2
最高速率：833Mbps
4.3 CloudEngine S6730S-S24X6Q-A汇聚交换机
4.3.1 设备简介
CloudEngine S6730S-S交换机是Huawei自主研发的下一代万兆盒型网桥，拥有全线速率万兆接入的端口和40千兆的上行端口，同时又有丰富的业务特点、完善的安全控制acl、丰富的qos策略等特性，足以胜任园区和IDC网络的可持续发展性、可信性、可管性及安全性等诸多特性

4.3.2 产品的一些参数
该核心交换机可以进行统一用户管理的功能，屏蔽了接入交换机设备的能力和接入方式的插别，可以用802.1X/MAC/Portal等诸多认证，可以对用户进行分组/分区域/分时段的管理用户、业务可看可控制，实现了从“以交换机管理为中心”到“以用户管理为中心”的质的改变。
该核心交换机提供了高质量的qos能力，具有完善的队列调度算法、拥塞控制、拥塞管理等创新型的优先级调度算法和多等级的队列调度规则，能对数据流实现多等级的精确调用，从而满足企业对不同的用户终端、不同的业务的qos的要求。
4.4 S7706智能路由箱式核心交换机
4.4.1 设备简介
S7706交换机给我们提供了有线和无线的最大化融合、统一的用户终端管理、网络质量的发现iPCA、完全的H-QoS策略、一体化的安全智能的业务优化特点，具有十万兆端口，具有SVF2.0超级的virtual交换机，具有超强的扩容性和可信性。
4.4.2 产品的一些参数
S7700拥有无线控制器的功能，业务的板卡同时兼备AC无线控制器，没有必要另外购买AC板卡；一台机器最大可以管理4000台AP，整机转发性能可达T-bit级，解決传统AC的处理性瓶颈；S7706支持统一用户管理功能，屏蔽了接入层设备能力和接入方式的差异。
SVF2.0超级virtual交换网络，创新不仅将盒式交换机纵向虚拟成框式交换机板卡，并且将AP纵向虚拟成框式交换机的端口，把原来“核心/汇聚+接入交换机+AP"的网络架构，虚拟化成一台设备进行管理，简单化网络的运维。
15882和同步以太,满足网络设备间的高精度时间同步,相比GPS的时间同步方案,提升安全的同时降低成本。
Service Chain多业务虚拟化,对网络増值业务处理能力(如防火墙F)进行虚拟化,从而园区网络可以无差别地利用这些能力,而不受物理位置的约束。
交换容量有19.84/86.4Tbps。
可以配置ipv4的静态路由、ospf、isis、bgp-4等三层通信协议；可配ipv6静态路由、ripng、ospfv3、isis-6、bgp4+；可配置ipv4/v6等价路由、策略通信协议、三层通信策略；提供Pingv6、Telnetv6、FTPv6、TFTPv6、DNSv6、ICMPv6；提供IPv4向IPv6的转换技术，包括：IPv6人工配置tunnel、6to4 tunnel、ISATAP tunnel、GRE tunnel、IPv4兼容自动配置tunnel。
4.5 USG6000V virtual综合data gateway防火墙
4.5.1 设备简介
华为USG6000V是在NFV架构基础上设计的virtual综合data gateway，virtual资源利用率很高，资源虚拟化的技术支持大量多租户的同时应用。产品拥有丰富的gateway业务能里，比如：vFW、vIPSec、vLB、vIPS、vAV、vURL过滤等，用户可以根据对virtual gateway的业务需求，按需求使用，可以灵活的进行部署。
4.5.2 产品的一些参数
全方位的防护：集成了传统的防火墙、VPN、IPS、防恶意代码、流量的管理、Anti-DDoS等多种功能在于一身的产品，global视图和全方位的security-policy管理。
应用层应用识别与管理控制：可识别大约六千的应用，访问控制精确度到应用拥有的功能，例如：区分微信的文字和语音。应用的识别与IDS、防恶意代码、内容安全相融合，提高检测性能和正确率。
IPS与http防护：第一时间获得最新威胁信息并更新，准确检测并防御针对漏洞的黑客攻击。可防护各种针对http的攻击，包括SQL注入的攻击和xss攻击等。
病毒库每日更新，可迅速检出超过500万种病毒。

第五章 部署测试

5.1 防火墙
防火墙添加内外网进出的策略

图5.1.1 出口防火墙策略的设置
此外，对于出口，还要设置路由，出口设置公网ip地址，还需要做NAT转换技术，该部分留在论文开始上台演讲时给导师们进行演示。

5.2 接入交换机

图5.2.1一部分接入交换机的逻辑拓扑

以一部分的接入交换机为例，其他接入交换机的配置相似。对于两台交换机之间的串联口，设置链路聚合，使用协议lacp。

图5.2.2 接入交换机链路聚合的详情信息
对用来跑数据的vlan和网段，该内网使用ospf。骨干区域在防火墙—核心交换机—汇聚交换机区域，详情配置会在演讲时展示。
而对于设备管理的vlan和网段，采用交换机接收到数据包广播的特性，不需要设置路由，只走数据链路层，详情原理也会在答辩中解释。

图5.2.3 接入交换机OSPF的配置