基于校园网技术改造的方案和设计

系统简介

网络的发展处于百花齐放的状态，同时推动着校园网的建设，不断出现崭新的技术，大量适应当今需求的设备慢慢显现，校园网的构建也获得足够的发展。即使如此，用户的数量是在不断增加的，应用程序也在不断更新，所以早期构建的校园网已经无法满足当今的需求,现在校园网应该能够让管理工作顺利进行,也能够为提供非常可靠、安全的用网环境。
本文以某职业技术学院为背景，对校园网建设现状进行分析，总结校园网中存在的不足以及问题，结合院校的需求进行分析，设计了一套在安全性、可靠性、稳定性等方面，都符合某职业技术学院校园网需求的改造方案。
对校园网现状和存在的问题进行分析后，总结出校园网存在以下问题：网络出现较大延迟，网络性能不稳定，网络设备老化，不符合当今对校园网的要求；单核心的网络结构不具有可靠性和稳定性等等，此次改造方案设计用到许多相应技术，如防火墙技术，链路聚合技术、ACL技术、VRRP技术等，这些技术都会在文中详细的介绍。
在现网中搭建该职业技术学院的网络拓扑图，方案里提到的技术会在各个设备通过配置对应命令进行实现，最后用验证结果来证明此次改造方案是否具有可行性。
关键词：校园网，改造方案，设计，技术

第1章 绪 论

1.1 研究背景及意义
随着互联网的不断发展，我们的生活已全面跨入互联网时代，如今各个行业的工作以及发展均与互联网有着密切关系，更是不可缺乏的重要一环。而互联网中的网络信息对于高校师生的文化、思想道德素质及精神文化生活亦产生了深刻的影响。
校园网的建设将成为先进文化和主旋律传播的重要渠道，是大学生思想政治教育发展的重要阵地，亦是提升大学生对互联网服务需求完善的重要平台，同时必须遵循互联网的发展规律和建设社会主义精神文明的规律，社会信息化进程要求和大学生的思想政治教育要求将会在此得到体现。努力将融思想性、知识性、趣味性、服务性与一体的校园网站体系完成建设，为学生学习生活提供全面、优质、高效的服务，使校园网真正成为广泛吸引学生、为学生喜爱、受学生关注的重要媒体，成为学生获取健康信息的重要渠道。校园网是高等学校基础设施建设的重要组成部分，对于学校管理水平、人员素质和办学质量的提高有着重要地位，是高等学校通过国家“211工程”评审和创办一流大学的必要条件。因此，教育与信息的有机结合是当前职业院校发展的必经之路。
在“互联网+”时代下，高职院校可结合自身特色，规划设计能够适应“互联网+”的职业院校的校园网，发展全新的校园网络环境，以改善师生所面对的网上学习、交流平台不够完善的问题。
本文以某职业技术学院的校园网络建设为例，对某职业技术学院的校园网现状进行分析，并总结出校园网存在的主要问题，根据校园网的实际情况和需求，对校园网络拓扑进行改造并与相关网络技术相结合，重新进行设计和思想。将其改造成符合校方需求，能够适应未来发展的新校园网。
1.2 国内外研究现状
1.2.1 国外发展状况
美国高校信息化方面的发展在投入大，得到当地政府政策的大力支持下，迅速发展起来，并且可以很好的达到高校的教学、科研、管理及学生的日常学习和生活的需要。
美国高校在日常网络管理方面从不马虎，能够有效的保证校园网日常维护和安全运行。经过二十多年的不断发展完善，美国高校已经建立了非常完善的信息运营与服务体系，在世界校园网发展中，其发展水平、管理体系、应用普及程度均处于领先地位。
在英国，政府投入了巨额资金在信息化建设上，并在校园信息化建设中大胆地采用了与企业合作的方式。使得校园网的教学模式得到改革更新，大大增加了普及程度。
随着时间的建设以及大力的发展研究下，国外各大高校已经建立了相较成熟的校园网络模式，对于提高高校的教学、科研及管理水平，校园网的信息技术起着重大作用，能够培养出迅速适应社会信息化的人才，更好地为社会提供服务及贡献。大学作为人才培养基地，大学信息化建设必须走在时代的前沿。
1.2.2 国内发展状况
互联网是网络与网络之间相连接的一个庞大的网络系统，其出现给人们的生活习惯，各行各业的发展及社会环境的现状带来了巨大而深刻的变化和影响，不仅仅是体现在经济生活方面，在对于社会及国家的管理方面也贡献出了一份力量。我国互联网的在20世纪80年代未开始发展起来。1989年9月是中国建设互联网的开始，国家计委会建立中关村地区教研示范网络，目的是想在北京大学，清华大学和中科院3个地方高速发展互联网，并在技术稳定后建立超级计算中心。1994年国际互联网出现，中国实现了与国际Internet全功能性的网络的连接，这也让中国的互联网技术得到更进一步的发展。1995年互联网得到了更大的普及，越来越多的老百姓学习了互联网知识，更多的老百姓接触到互联网，这给人们的生活带来了更大的便利性。1996年互联网处于高速发展时期，互联网逐渐普及到了各行各业，在教育行业中，目前校园网的管理已经运用在了学校的日常管理中，为学校开展各项工作提供了技术性的支持，提高了学校管理的水平，不仅仅体现在提高了处理事情的速度上，更体现在完善了学校领导层的管理能力，水平和丰富了管理人员的经验上，但是在早期的互联网的普及与高速发展中也存在了很多不足，也有很多需要改进的地方，在早期，大部分校园网的管理中存在以下三个不足之处，一是网络结构规划不合理，随着人们对网络应用的普及和需求的不断增加，网络处理能力跟不上，经常性的出现网络堵塞的情况，旧的网络规划已经无法满足人们日益增加的网络需求。二是网络设备的老化，内部硬件的损坏，运算能力的不足，不足以满足新时代中人们对网络的需求，这就需要校园网设备进行更新。三是网络环境管理难度的增加，网络安全问题应该值得引起越来越多的关注，而原有的网络配套设备已经很难满足当今复杂多变的网络环境。
1.3 论文的主要研究内容
论文主要研究某职业技术学院校园网存在的主要问题：在核心层，是单核心的网络结构，没有冗余备份设备；在汇聚层设备老化，运算处理能力下降，端口损坏，没有实现链路主备备份，不能够实现快速交换数据；在接入层，ARP广播数据包过多，网络出现较大的延时。在网络出口处，还是只有部分防火墙功能的路由器。此次主要对校园网的拓扑结构进行研究改进，并通过相应技术进行研究，如虚拟局域网技术、动态路由协议OSPF技术、三层交换技术、VRRP技术和MSTP技术等，设计出对应的解决方案。
具有三层交换技术的交换机，只要设置完VLAN ，并为每个VLAN 设置一个路由接口，第三层交换机就会自动把子网内部的数据流限定在子网之内，并通过路由实现子网之间的数据包交换；而一个具备三层功能的交换机不能仅仅是通过划分vlan来达到互相访问的目的，还要能够通过路由协议来选择路径，因此要支持常用的路由协议，如动态路由协议OSPF。
利用MSTP技术可以解决二层环路的问题，而VRRP技术实现设备冗余，MSTP技术和vrrp技术结合不仅可以为网关设备提供冗余备份，还可以为下行的二层链路提供冗余备份，实现负载分担，极大地提高了网络的可靠性。
1.4 论文组织结构
第一章为绪论，第一点介绍了本文的研宄背景及意义，第二点介绍了国内和国外的校园网研究状况，第三点介绍了此次研究的主要内容，第四点介绍了本文的结构安排。
第二章为某职业技术学院校园网现状分析，第一点介绍了某职业技术学院校园网的现状，第二点阐述此校园网存在的主要问题，第三点为校园网改造需求分析。
第三章为校园网改造的相关技术和理论，具体的介绍了在改造校园网所运用的技术和理论，如虚拟局域网技术、链路聚合技术、访问控制列表技术、防火墙技术等。
第四章为某职业技术学院校园网改造方案的设计，介绍了校园网改造的基本原则，以及网络结构设计、网络出口设计、IP地址规划和VLAN规划。
第五章为校园网改造方案设计实现，在现网搭建某职业技术学院的校园网络，实现校园网的方案设计，验证结果是否达到了预想的效果。
第六章为结论，对此次校园网改造方案和设计作出总结。

第2章 某职业技术学院校园网现状分析

2.1 某职业技术学院校园网的现状
下面是现某职业技术学院网络拓扑结构，如图2-1所示。

图 2-1 某职业技术学院网络拓扑图
2.2 目前校园网存在的主要问题
2.2.1 核心层
核心层是单核心单链路的网络结构，只有一台三层交换机和一台路由器在运行，一旦这台三层交换机或者路由器出现故障，网络就会中断，校园网内的用户就无法联网，可靠性极低。如果在短时间可以处理掉故障，对校园的影响并不是太大。但如果是长时间的维护必定会对校园网的正常运作造成重大影响。
通过校方了解到，校园网建设完毕初期，这台三层交换机是可以保证高速稳定运行的，但是校园里的老师和学生的数量是在不断增加的，数据流量越来越大导致无法适应现在校园的要求。以及部署在核心层的三层交换机从校园网建设以来就没有更换过，设备严重老化，随时都有出现故障的风险，这台核心层的交换机已无法保持高速稳定的数据传输，稳定性极低。
2.2.2 汇聚层
在汇聚层大量设备老化，运算处理能力下降，接口损坏，导致部分计算机无法正常联网；没有实现链路主备备份，不能够实现快速交换数据，没有针对性的安全策略；网络不具有可靠性、安全性。
经校方了解，学生公寓经常出现网络卡顿的现象，有大部分学生反馈在学生公寓的网络体验不理想；教学楼有出现过因为汇聚交换机单点故障，数据流量无法到达核心层，所以导致教学无法正常进行的情况。因为终端设备的网关IP地址都是静态配置的，当网关设备出现故障时，终端将无法进行数据交换。
2.2.3 接入层
在接入层，接口破损，部分终端无法接入交换机；ARP广播数据包过多，安全性低，占用了网络带宽，导致网络性能下降。另外，计算机收到ARP广播数据包，会对其作出处理，在处理过程中耗费部分CPU时间；另外有大量二层交换机私自接入，网络出现较大的延时。
2.2.4 网络出口
在网络出口处，部署的还是只有部分防火墙功能的路由器，校园网络有被攻击的风险，校园网的安全得不到保障。出口路由器是也是一台老设备，出现故障的机率也是十分高的。而且不管在日常管理还是在配置命令方面都不够人性化，同时所提供的安全性也是十分低，校园网里内部文件得不到很好的保护，用户信息也有可能会泄露。
在网络行为管控方面，出口路由器控制非法网络行为的效果也是不乐观的。
2.2.5 路由协议
校园网的路由协议采用的是静态路由，某职业技术学院属于中大型的网络环境，配置静态路由时的下一跳路由条目数量十分庞大，不利于网络管理员维护。当网络的拓扑结构和链路状态发生变化时，路由器中的静态路由信息需要大范围地调整，这一工作的难度和复杂程度非常高。而且当网络发生变化或网络发生故障时，不能重选路由，很可能使路由失败。
2.3 某职业技术学院校园网改造需求分析
某校园网的建设和运行至今近十年，从未将校园网进行升级以及改造，因此导致问题凸显也越来越多。我们对校园网络拓扑进行升级改造，提高整个方案的可靠性和稳定性。根据校园网存在的问题，结合校园网的实际，考虑校方资金较充裕，提出了以下几点需求：
（1）在接入层，更换二层交换机，合理规划VLAN，减少ARP广播数据包数量，隔离不同业务和用户组以便于有效管理；减少交换机级联的层次，数据交换的时延就会相对减少，保证网络的效率。
（2）在汇聚层，更换三层交换机，使用VRRP技术和MSTP技术，避免单点故障造成网络瘫痪，提升整体网络的可靠性，实现链路备份冗余以及增大链路带宽，实现快速交换数据；部署有针对性的安全策略，有效的辨别具有威胁性的数据包。
（3）在核心层，将单核心单链路的核心层改为双核心多链路的网络架构，这种结构稳定性高，能够使核心层做到设备冗余和链路冗余；同时采用链路聚合技术，保障链路故障备份功能，又实现增大带宽的效果，实现链路负载均衡，提高网络的可靠性和稳定性。
（4）在网络出口处，原网络出口的路由器安全防护能力较弱、安全策略不完善，设备陈旧老化、故障频发，已经不能满足当下的使用需求。要求更换一台防火墙,在安全性方面还是在功能特性方面都能满足校方要求，比如采用高性能的全状态检测技术，具有优异的管理功能，提供优异的GUI管理界面等。这样既能满足网络安全的需求，又能合理分配有限的网络带宽、有效监控管理学院终端的上网行为。
（5）路由协议选择方面，在动态路由中，采用OSPF路由协议，它相对于RIP、BGP比较适合校园网络建设。因为RIP路由协议对于路由线路用跳数来进行判断，大于十五跳的路由被认为不可达，所以限制很大，不适合校园网应用；BGP路由协议是一种外部网络管理路由协议，主要的应用区域是多个大型网络之间的路由交互、联系，所以不适用于校园内部的校园网络建设。OSPF路由协议没有跳数限制，使用组播发送链路状态更新，在链路状态变化时使用触发更新，提高带宽的利用率。
随着网络规模不断扩大，网络发生故障的可能性也随之增加，如果区域内某处发生故障，整个区域内的路由器都要重新计算路由，这将大大增加了设备的负担，降低网络运行的稳定性。OSPF路由协议可以根据层次进行区域划分成骨干区域和非骨干区域，每个三层交换机（路由器）都包含所属的区域内全部的拓扑信息，即使网络的拓扑结构和链路状态发生变化时，校园网也能便捷、有效地进行收敛，OSPF协议的系统会以最快的速度发出新的报文，从而使新的拓扑情况很快扩散到整个网络。

第3章 校园网改造的相关技术和理论

3.1 虚拟局域网技术
3.1.1 VLAN技术介绍
VLAN技术是交换技术的重要组成部分。VLAN技术允许网络管理者将一个物理的LAN逻辑地分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站不需要被放在同一个物理空间，即这些工作站不一定属于同一个物理LAN网段。
VLAN的优点主要包括：（1）ARP广播数据包限制在一个广播域里泛洪，减少了ARP广播数据包的数量，可以防止造成广播风暴，提高了网络的整体性能。（2）计算机之间只有在同一个广播域才能进行数据传输，即只有同一VLAN才能互通，有防止外界网络攻击的功能，增强了网络安全性；当网络出现故障时，定位故障的范围大大减小，提升了效率，简化了网络的管理和维护。
3.1.2 实现VLAN的方式
实现VLAN的主要方式如表3-1所示。
表3-1 实现VLAN的主要方式
实现方式 类型 优点 缺点 应用范围
基于端口 静态 划分简单，性能好，大部分交换机支持，交换机负担小 手工配置；变更端口时，必重新定义 应用广泛
基于MAC地址 动态 用户位置改变时不用重新配置，安全性好 用户都必须配置，交换机执行效率降低 一般
基于协议 动态 管理方便，维护工作量小 交换机负担较重 支持较多
基于IP多播 动态 可扩展到广域网，容易通过路由器进行扩展 不适合局域网，效率不高 应用较少
3.2 链路聚合技术
3.2.1 链路聚合技术介绍
链路聚合技术，就是把两台设备之间的多条物理链路聚合在一起，当做一条逻辑链路来使用。以实现出/入流量吞吐量在各成员端口的负荷分担，交换机根据用户配置的端口负荷分担策略决定网络封包从哪个成员端口发送到对端的交换机。当交换机检测到其中一个成员端口的链路发生故障时，就停止在此端口上发送封包，并根据负荷分担策略在剩下的链路中重新计算报文的发送端口，故障端口恢复后再次担任收发端口。
链路聚合包含两种模式：手动负载均衡模式和LACP模式。在LACP模式中，一部分链路作为备份链路。在手动负载均衡模式中，所有的成员口都处于转发状态。
3.2.2 链路聚合的作用
（1）链路聚合能够提高链路带宽。理论上，通过聚合几条链路，一个聚合口的带宽可以扩展为所有成员口带宽的总和，有效增加逻辑链路的带宽。
（2）链路聚合为网络提供了高可靠性。配置了链路聚合之后，如果一个成员接口发生故障，该成员口的物理链路会把流量切换到另一条成员链路上。
（3）链路聚合还可以在一个聚合口上实现负载均衡，一个聚合口可以把流量分散到多个不同的成员口上，通过成员链路把流量发送到同一个目的地，将网络产生拥塞的可能性降到最低。
3.3 MSTP技术
3.3.1 MSTP技术介绍
MSTP把一个交换网络划分成多个域，每个域内形成多棵生成树，生成树之间彼此独立。每棵生成树叫做一个多生成树实例MSTI，每个域叫做一个MST域。
所谓生成树实例就是多个VLAN的一个集合。通过将多个VLAN捆绑到一个实例，可以节省通信开销和资源占用率。MSTP各个实例拓扑的计算相互独立，在这些实例上可以实现负载均衡。可以把多个相同拓扑结构的VLAN映射到一个实例里，这些VLAN在端口上的转发状态取决于端口在对应MSTP实例的状态。
3.3.2 MSTP技术的优势
MSTP的优势如下表3-2所示。
表3-2 MSTP的优势
极大地提升了在不同组网条件下生成树协议的可部署性 为了保证运行不同类型生成树协议的网络可靠运行，可将不同类型的生成树协议划分到不同的进程中，不同进程对应的网络进行独立的生成树协议计算
增强了组网的可靠性，对于大量的二层接入设备，可减少单台设备故障对整个网络的冲击。 通过进程隔离不同的拓扑计算，即某台设备故障只影响其所在的进程对应的拓扑，不会影响其他进程拓扑计算
网络扩容时，可减少网络管理者维护量，从而提升了用户运维管理的方便性。 当网络扩容时，只需要划分新的进程与原有网络对接，不需要调整原有网络的MSTP进程配置。如果是某个进程中进行了设备扩容，此时也只需要针对扩容的进程进行修改，而不需要调整其他进程中的配置
实现二层端口分割管理 每个MSTP进程可以管理设备上的部分端口，即设备的二层端口资源被多个MSTP进程分割管理，每个MSTP进程上均可运行标准的MSTP
3.4 三层交换技术
3.4.1 三层交换技术介绍
三层交换是相对于传统交换概念提出来的。传统的交换技术是在OSI网络标准模型中的数据链路层进行数据交换，而三层交换技术是在网络模型中的网络层实现数据包的高速转发。三层交换技术就是二层交换技术和三层转发技术的结合。
3.4.2 三层交换技术的优势
解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题，实现了数据包的高速转发。

3.5 OSPF路由技术
3.5.1 OSPF路由技术介绍
OSPF是一个链路状态协议，其操作以网络连接或者链路状态为基础。OSPF基本绘制出互联网的全网结构图，然后根据这个结构图选择开销最小的路径。在OSPF中，计算网络拓扑时最基本的元素是每台路由器中的每条链路状态。通过学习每条链路连接到何处，OSPF可以建立一个数据库，记录网络中的所有链路，然后使用最短路径优先算法计算出到每个目标网络的最短路径。由于所有路由器都持有完全相同的网络拓扑图，OSPF只有在网络拓扑发生变化时才发送路由更新信息。

3.8 防火墙技术
3.8.1 防火墙技术介绍
防火墙是部署在不同网络或网络安全域之间的设备。它是不同网络或网络安全域之间信息的唯一出入口，能根据安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力，它可以有效地监控内部网和因特网之间的任何活动，进而保证内部网络的安全。对于普通用户来说，防火墙就是一种被放置在自己的计算机与外界网络之间的防御系统，从网络发往计算机的所有数据都要经过它的判断处理后，才决定是否把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，从而实现对计算机的必要保护。

第4章 某职业技术学院校园网的改造方案

4.1 校园网改造的基本原则
随着互联网的不断发展，校园网的发展给学校的管理和师生的学习生活带来了便利性，但师生规模的不断扩大，对校园网的要求也不断提高，加上新应用的不断出现，功能日益增加的情况，以致我们现如今的网络设备和网络结构已不足以支持现在校园师生对校园网的需求。这要求我们对校园网的结构和设备进行维护及更新，以满足如今师生需求。但在改造中应考虑到学校的实际情况和具体需求进行升级，针对校园网的改造升级，我们所应当遵守以下几个原则：
（1）高带宽
校园网的发展是日新月异的，业务功能会随之不断增多，为了网络可以高速运转，不出现堵塞现象，校园网的组网结构设计，应有包交换无瓶颈的特点，同时核心交换机也需要更强的功能特性，即转发性能和宽带特性。
（2）可扩展性
随着师生人数不断上涨，学校的规模也在不断扩建，因此老师和学生接入点人数在不断变化，各种各样的业务在不断地更新，总结得出，在关于网络的建设方面，校园内的网络业务在不断更新拓展，设计时应考虑组网的灵活性，网络设备的容量扩充，接口的丰富性，减少业务类型的单一性等方面。
（3）开放性
国际和国内都有相关的网络技术来衡量标准化，设计时要避免不采取个体的内部技术标准，为了方便后期网络的持久性，延展性和互联性。
（4）安全可靠性
校园网最重要和需要考虑的问题是网络的安全性和可靠性，设计时应把主要资金投入到安全性和可靠性方面上。为了保证校园网的安全性，应选用安全性能更强的防火墙作为网络出口；为了提高网络的可靠性，避免单点的故障导致整个网络出现堵塞甚至是瘫痪的状况，网络的冗余备份显得有尤为重要。
（5）易管理性
网络管理在网络建设后期中也是十分重要的工作，要更好的体现网络管理的便捷性，在网络建设的过程里合理地规划，比如IP地址和VLAN的规划，网络内部结构的规划等都能使网络建设变的简洁而又易操作。
4.2 校园网拓扑结构规划
下面是某职业技术学院校园网络拓扑结构的规划，具体实施要按照实际情况而定。如图4-1所示。

图4-1 校园网网络拓扑图
如上图4-1所示，在核心层，不再只使用一台核心交换机和核心路由器运行，而是使用两台核心交换机和核心路由器运行，并且两台核心交换机之间进行链路聚合，保证在有一台核心交换机出现故障或者有一条链路断开时，整个校园网还能正常运行，实现了网络的冗余；核心交换机分别连接了两台路由器，解决单链路故障的问题，实现核心交换机链路冗余备份。在汇聚层，汇聚层交换机分别连接核心层的两台核心交换机，当汇聚层交换机连接其中一台核心层交换机的链路断开了，数据还会沿着另外一条链路进行传输，保证了网络的可靠性。在接入层，原先私自接入的大量二层交换机已被拆除。在网络出口处，将原先的出口路由器替换成一台防火墙。
核心交换机LSW5和LSW31分别连接办公楼、机房中心、学生公寓和教学楼，机房中心由于负载较大，所以直接接入核心交换机，在提升转发性能的基础上，又降低了建设成本。
汇聚交换机LSW1、LS13、LSW4和LSW15分别连接核心交换机LSW5和LSW31，汇聚交换机LSW3和接入交换机LSW16与核心交换机LSW31之间进行链路聚合，具体的实施还会根据实际情况在进行调整，使校园网更加可靠、稳定。
接入交换机连接各汇聚交换机。接入交换机数量需根据该楼用户数的多少来决定，像人流量大，固定人数较少的地方，根据具体需要，放置一台或两台接入交换机即可。
4.3 校园网分层结构设计
4.3.1 核心层设计
核心层是网络中重要的组成部分，其担任着交换主干的功能，设计时保证其最重要的特性：可靠性和稳定性。设备采用高带宽的千兆以上的三层交换机，实现数据快速交换、链路备份以及链路负载均衡；实现网络的冗余，达到提高网络性能的目的。
核心层主要是处理校园网内以及和外网的数据交换，为了避免核心层出现故障时，导致校园网的数据无法正常交换的情况，我们将增强校园网的稳定性与可靠性及增强校园网的业务能力，在设计核心层时可参考以下方案：
（1）在图4-1中，核心交换机LSW5和LSW31作为校园网的主干，为保证核心交换机之间的高速运转，设计时核心交换机LSW5和LSW31之间进行链路聚合，使核心交换机之间有3条链路连接，形成一条逻辑链路，增大网络带宽；配置LSW5系统优先级为100，使其成为LACP主动端，配置活动成员链路的最大值是2，有一条链路属于非活动成员链路，即有一条备份链路。当有一条活动成员链路断开时，非活动成员链路转变成活动成员链路，链路正常运作，实现了链路冗余备份，提高了网络的可靠性。
（2）为解决链路发生故障，导致网络无法访问的问题。设计时核心交换机LSW5和LSW31分别连接核心路由器R2和R3，即每台核心交换机都有两条链路到达路由器R4，例如当核心交换机LSW5到达路由器R2的链路断开了，数据就会沿着到达路由器R3的链路实现了链路备份，提高了网络的可靠性。
（3）为保证各建筑楼之间可以互访，以及终端用户可以访问网络，在核心交换机以及连接核心交换机的三层设备上配置OSPF，并把建筑楼划分在OSPF的不同区域。把教学楼分别划分在区域1和区域2，办公楼划分在区域3，学生公寓划分在区域4，核心层划分在区域0，减少了LSA泛洪的范围，即拓扑发生改变时，链路状态数据库的同步只在本区域内进行。划分区域可以减少三层设备收到的LSA，减少三层设备的资源消耗，提高网络的稳定性。

功能特性
堆叠功能 可堆叠
VLAN 支持4K个VLAN
支持Guest VLAN、Voice VLAN
支持基于MAC/协议/IP子网/策略/端口的VLAN
支持1:1和N:1 VLAN交换功能
QOS 支持对端口接收和发送报文的速率进行限制
支持报文重定向
支持基于端口的流量监管，支持双速三色CAR功能
每端口支持8个队列
支持WRR、DRR、SP、WRR＋SP、DRR+SP队列调度算法
支持报文的802.1p和DSCP优先级重新标记
支持L2（Layer 2）-L4（Layer 4）包过滤功能，提供基于源MAC
地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN
的非法帧过滤功能
支持基于队列限速和端口Shapping功能
组播管理 支持IGMP v1/v2/v3 Snooping
和快速离开机制
支持VLAN内组播转发和组播
多VLAN复制
支持捆绑端口的组播负载分担
支持可控组播
基于端口的组播流量统计
IGMP v1/v2/v3、PIM-SM、PIM-DM、PIM-SSM
网络管理 支持堆叠
支持MFF
支持虚拟电缆检测（Virtual Cable Test）
支持端口镜像和RSPAN（远程端口镜像）
支持Telnet远程配置、维护
支持SNMPv1/v2/v3
支持RMON
支持网管系统、支持WEB网管特性
支持集群管理HGMP
支持系统日志、分级告警
支持GVRP协议
支持MUX VLAN功能
安全管理 用户分级管理和口令保护
支持防止DOS、ARP攻击功能、ICMP防攻击
支持IP、MAC、端口、VLAN的组合绑定
支持端口隔离、端口安全、Sticky MAC
支持黑洞MAC地址
支持MAC地址学习数目限制
支持IEEE 802.1X认证，支持单端口最大用户数限制
支持AAA认证，支持Radius、TACACS+、NAC等多种方式
支持SSH V2.0
支持HTTPS
支持CPU保护功能
支持 黑名单和白名单
4.3.2 汇聚层设计
汇聚层在网络中担任的功能是在工作站接入核心层前先做汇聚，减轻核心层的负荷。汇聚层作为接入层与核心层的中转站，要求其必须能够处理接入层中的信息并能提供到核心层中，这无疑对汇聚层中的性能，接口和交换速率提岀了更高的要求，汇聚层因具有实施工作组接入，虚拟局域网之间的路由，更应该注重网络隔离和分段。
某职业技术学院的汇聚层设计过程中应该根据学校的实际情况进行安排汇聚交换机放置的位置，在学生公寓，办学楼和机房中用到会比较多的地方放置汇聚交换机，而在人员比较少的地方，用处不大的地方可以先不急着单独放置汇聚交换机，要结合师生反馈的需求和实际情况进行后期的扩展工作，可参考以下方案:
（1）在图4-1中，LSW1、LSW13、LSW4、LSW16、LSW2和LSW3是汇聚层交换机，分别放置在教学楼、办公楼、学生公寓和机房中心。在校园里，为保证在一个小局域网内不同广播域之间可以访问，而且是高速低延的互访，我们在各建筑楼的汇聚交换机配置三层交换技术，例如在1号教学楼，配置汇聚交换机LSW1和LSW13的各接口类型及对应VLAN，还要在汇聚交换机LSW1和LSW13上配置对应VLAN的IP地址，这样1号教学楼不同VLAN之间才可以互访。三层交换技术可以加快局域网内部的数据交换，又可以避免广播风暴的产生。
（2）在校园网里，有涉及到个人隐私或校园内部机密文件等敏感数据，为了保证这些敏感数据不被泄露或窃取，在汇聚交换机配置访问控制列表，拦截访问这些敏感数据的终端用户，以达到保护数据安全完整的效果。经校方了解到，校园内部的机密文件和师生的个人隐私几乎都在办公楼处，一旦这些数据被非法手段窃取，会造成不可估量的后果。根据这些情况，我们将在办公楼处的汇聚交换机LSW2配置访问控制列表，对访问敏感数据的数据包进行过滤，达到访问控制的目的，提高了网络安全性。
（3）为改善学生公寓网络体验的不理想，需要增大其链路带宽，提高汇聚层与核心层之间数据交换的速度。按照具体情况，在学生公寓的汇聚交换机LSW3和核心交换机LSW31进行链路聚合，使汇聚交换机和核心交换机之间有3条链路连接，增大其网络带宽；并设置活动成员链路的最大值数量是2，这样就有一条链路属于备份链路，当某一条活动成员链路断开时，这条备份链路就会切换到活动成员链路，不仅增大链路带宽，还提高了网络的可靠性。
（4）为了解决教学楼出现单点故障的问题，以1号教学楼为例，在汇聚层放置两台三层交换机，各连接核心交换机LSW5和LSW31，即汇聚交换机都有两条链路到达核心层，实现链路冗余备份；汇聚交换机启用VRRP技术，把LSW1和LSW13两台汇聚交换机虚拟成一台汇聚交换机，配置虚拟汇聚交换机的IP地址作为终端设备的默认下一跳地址，在汇聚交换机接口配置虚拟组ID、虚拟地址和优先级，修改VRRP设备的抢占模式定时器时间，并监控汇聚交换机上行端口状态。这两台汇聚交换机都有数据流量通过，实现了网关冗余备份，提高网络的可靠性。
（5）为解决教学楼二层环路的情况，启用MSTP协议。以1号教学楼为例，出现二层环路的交换机分别是汇聚交换机LSW1、LSW13和接入交换机LSW20，配置交换机开启MSTP并设置相同的区域名称R1。交换机设置两个生成树实例：Instance1和Instance2，并把对应VLAN映射到Instance1和Instance2。配置汇聚交换机LSW1为Instance1的根交换机，汇聚交换机LSW13为Instance2的根交换机。Instance1阻断了接入交换机LSW20与汇聚交换机LSW13之间的链，Instance2阻断了接入交换机LSW20与汇聚交换机LSW1之间链路。不仅有效解决了二层环路的问题，而且实现了负载分担，避免资源浪费。
（6）在设备选型方面，汇聚交换机至少满足以下功能特性，如表4-3所示。

其它参数
电源电压 AC 100-240V，50/60Hz
DC -48–60V
产品认证 IEEE 802.1x认证
产品尺寸 442×220×43.6mm
产品重量 <2.5kg
环境标准 工作温度：0-45℃
相对湿度：5%-95%无凝结
其它参数 IP路由：静态路由，RIP，ECMP，OSPF，IS-IS，BGP
可靠性：支持RRPP环型拓扑、支持相交环和多实例等功能，故障保护切换时间低于50ms；支持SmartLink树型拓朴及SmartLink多实例，提供主备链路的毫秒级保护
支持STP(IEEE 802.1d)，RSTP(IEEE 802.1w)和MSTP(IEEE 802.1s)协议；支持BPDU保护、根保护和环回保护；支持智能以太保护SEP（Smart Ethernet Protection）
其它特点 6KV防雷技术

4.3.3 接入层设计
我们通常将用户连接网络端的部分称为接入层，接入层的作用是允许用户连接戓者访问网络，其直接面面用户，所以接入层应该具备较低的成本和高密度的端口特性，一般在接入层的选择上建议性价比高的接囗，满足使用方便,容易维护和端囗密度高的特点，设计时建议考虑采用以下的方案:
（1）因为交换机接收到未知MAC地址的数据包时，交换机会将这个数据包泛洪到整个校园网，消耗网络资源带宽，所以导致交换机因为处理大量的ARP广播数据包而无法处理正常的数据包。为了限制ARP广播数据包的泛洪，我们对用户流量进行基于端口的VLAN划分，把泛洪的范围限制在接入层。例如在1号教学楼，在接入交换机LSW20上配置VLAN，如果把PC1划分在VLAN10，PC10划分在VLAN20，PC1和PC10不能互访，只有在同一VLAN内才能互访，达到了隔离广播域的目的。如果PC1和PC10要进行互访，就要配置了三层交换机技术，否则不能互访。可以完成基本数据流量的隔离，减少ARP广播数据包数量，保证网络的稳定性和安全性。
（2）因为机房中心负载较大，终端用户访问网络出现卡顿的现象，可以增大链路带宽，实现负载均衡，提高接入层与核心层之间数据交换的速度来处理这个现象。使机房中心的接入交换机LSW16和核心交换机LSW31之间有3条链路连接，增大其链路带宽；并设置活动成员链路的最大值数量是2，这样就有一条链路属于备份链路，当某一条活动成员链路断开时，这条备份链路就会切换到活动成员链路，实现链路间互为备份，达到负载均衡的效果。
（3）在设备选型时，接入交换机至少满足以下功能特性，如表4-5所示。

功能特性
网络标准 IEEE 802.3，IEEE 802.3u，IEEE 802.3ab，IEEE 802.3z，IEEE 802.3x，IEEE 802.1Q，IEEE 802.1d，IEEE 802.1X
堆叠功能 可堆叠
VLAN 支持IEEE 802.1Q（VLAN），整机支持4K个VLAN
支持基于端口的VLAN
支持基于MAC地址的VLAN
基本QinQ
QOS 支持端口限速和流限速
支持每端口4个不同优先级的队列
支持根据报文802.1p映射到不同队列
支持SP、WRR、SP+WRR算法
支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、四层端口、协议类型、VLAN、以太网帧协议、CoS等信息的流分类
支持基于流的标记优先级、报文重定向
组播管理 支持IGMP v1/v2/v3 Snooping
支持捆绑端口的组播负载分担
支持基于端口的组播流速率限制和流量统计
支持端口1:1或N:1镜像
网络管理 支持堆叠
支持自动配置功能
支持CLI配置
支持Telnet远程配置
支持SNMP V1/V2/V3
支持RMON
支持集群管理HGMP V2
支持SSH V2
支持WEB管理特性
支持GVRP协议
支持基于MAC地址的VLAN
基本QinQ
支持802.1x，支持单端口最大用户数限制
支持动态ARP检测
支持IP Sourc
安全管理 支持堆叠
支持自动配置功能
支持CLI配置
支持Telnet远程配置
支持SNMP V1/V2/V3
支持RMON
支持集群管理HGMP V2
支持SSH V2
支持WEB管理特性
支持GVRP协议
支持基于MAC地址的VLAN
基本QinQ
支持802.1x，支持单端口最大用户数限制
支持动态ARP检测
支持IP Sourc

4.4 网络出口设计
为保障校园网络的安全，在网络的出口处部署一台防火墙，防火墙作为计算机和与外界网络的防御系统，从网络上接收到的数据信息都会经过防火墙，发现有害的数据，防御墙就会进行拦截，防止有害信息对计算机的伤害，从而进行对计算机的保护。
使用校园网的用户大多为学生和教职人员，在安全问题上，更多的是预测学校内部安全问题，而对外部的风险及病毒攻击可能就很难进行提前预测及采取防范措施。
设计时配置防火墙，把区域按照校园网内外分为两个区域，分别是信任区，非信任区，例如在防火墙FW1，把连接校园网内部的接口配置为trust区域，把连接外网的接口配置为untrust区域，配置trust区域可以访问untrust区域，而untrust区域不能访问trust区域，以保障校园网的网络安全问题。
在设备选型时，防火墙至少满足以下功能特性，如表4-7所示。
表4-7 防火墙功能特性
支持的功能特性
1、安全、成熟的特性。
2、具有专有的硬件平台和操作系统平台。
3、采用高性能的全状态检测（Stateful Inspection）技术。
4、具有优异的管理功能，提供优异的GUI管理界面。
5、支持多种用户认证类型和多种认证机制。
6、需要支持用户分组，并支持分组认证和授权。
7、支持内容过滤。
8、支持动态和静态地址翻译(NAT)。
9、支持高可用性，单台防火墙的故障不能影响系统的正常运行。
10、支持本地管理和远程管理。
11、支持日志管理和对日志的统计分析。
12、实时告警功能，在不影响性能的情况下，支持较大数量的连接数。
13、在保持足够的性能指标的前提下，能够提供尽量丰富的功能。
14、可以划分很多不同安全级别的区域，相同安全级别可控制是否相互通讯。
15、支持在线升级。
16、支持虚拟防火墙及对虚拟防火墙的资源限制等功能。
17、防火墙能够与入侵检测系统互动。
在防火墙的选型方面，校方要求选购性能强、稳定性高的防火墙，因为预留选购防火墙的资金充足，所以可以选择华为的USG6600，设备的详细参数如表4-8所示。
表4-8 USG6600详细参数
基本参数
防火墙类型 下一代防火墙
产品型号 USG6660
产品类型 企业级
外形尺寸 442×415×130.5mm
重量 22Kg
硬件参数
固定接口 2×10GE+8GE+8SFP
扩展插槽 6×WSIC

第5章 校园网改造方案设计实现

5.1 校园网功能实现方法
5.1.1设备的基本配置
对设备进行命令配置时，首先对设备的名称进行配置，以核心层交换机LSW5、LSW31为例。

（3）接入层交换机LSW20的配置：
[LSW20]stp mode mstp
[LSW20]stp region-configuration
[LSW20-mst-region]region-name R1
[LSW20-mst-region]instance 1 vlan 311
[LSW20-mst-region]instance 2 vlan 313
[LSW20-mst-region]active region-configuration
5.1.5 OSPF配置
以1号教学楼和2教学楼为例，把教学楼分别划分在区域1和区域2，核心层划分在区域0，为保证1号教学楼和2号教学楼之间正常通信，除了配置VLAN及其接口，还要配置OSPF。
（1）核心层交换机LSW31的配置：
[LSW31]ospf 1
[LSW31-ospf-1]area 0
[LSW31-ospf-1-area-0.0.0.0]network 10.0.0.0 0.255.255.255
[LSW31-ospf-1-area-0.0.0.0]quit
[LSW31]ospf 1
[LSW31-ospf-1]area 1
[LSW31-ospf-1-area-0.0.0.1]network 10.31.1.0 0.0.0.255
[LSW31-ospf-1-area-0.0.0.1]network 10.31.3.0 0.0.0.255
[LSW31-ospf-1-area-0.0.0.1]quit
[LSW31]ospf 1
[LSW31-ospf-1]area 2
[LSW31-ospf-1-area-0.0.0.2]network 10.32.2.0 0.0.0.255
[LSW31-ospf-1-area-0.0.0.2]network 10.32.3.0 0.0.0.255

（3）汇聚层交换机LSW1的配置：
[LSW1]ospf 1
[LSW1-ospf-1]area 1
[LSW1-ospf-1-area-0.0.0.1]network 10.31.1.0 0.0.0.255
[LSW1-ospf-1-area-0.0.0.1]network 10.31.3.0 0.0.0.255

（4）汇聚层交换机LSW13的配置：
[LSW13]ospf 1
[LSW13-ospf-1]area 1
[LSW13-ospf-1-area-0.0.0.1]network 10.31.1.0 0.0.0.255
[LSW13-ospf-1-area-0.0.0.1]network 10.31.3.0 0.0.0.255

（5）汇聚层交换机LSW4的配置：
[LSW4]ospf 1
[LSW4-ospf-1]area 2
[LSW4-ospf-1-area-0.0.0.2]network 10.32.2.0 0.0.0.255
[LSW4-ospf-1-area-0.0.0.2]network 10.32.3.0 0.0.0.255

（6）汇聚层交换机LSW15的配置：
[LSW15]ospf 1
[LSW15-ospf-1]area 2
[LSW15-ospf-1-area-0.0.0.2]network 10.32.2.0 0.0.0.255
[LSW15-ospf-1-area-0.0.0.2]network 10.32.3.0 0.0.0.255
5.1.6 ACL配置
（1）ACL基本配置
以汇聚层交换机LSW2为例，配置命令使学生公寓不能访问办公楼，以达到访问控制的效果。
[LSW2]acl 3000
[LSW2-acl-adv-3000]rule 5 deny ip source 10.11.0.0 0.0.255.255 destination 10.21.0.0 0.0.255.255
[LSW2-acl-adv-3000]rule 10 deny ip source 10.12.0.0 0.0.255.255 destination 10.21.0.0 0.0.255.255
[LSW2-acl-adv-3000]rule 15 deny ip source 10.13.0.0 0.0.255.255 destination 10.21.0.0 0.0.255.255
[LSW2-acl-adv-3000]rule 20 deny ip source 10.14.0.0 0.0.255.255 destination 10.21.0.0 0.0.255.255
[LSW2-acl-adv-3000]rule 25 deny ip source 10.15.0.0 0.0.255.255 destination 10.21.0.0 0.0.255.255
[LSW2-acl-adv-3000]rule 30 deny ip source 10.16.0.0 0.0.255.255 destination 10.21.0.0 0.0.255.255
[LSW2-acl-adv-3000]rule 35 deny ip source 10.17.0.0 0.0.255.255 destination 10.21.0.0 0.0.255.255
[LSW2-acl-adv-3000]rule 40 deny ip source 10.18.0.0 0.0.255.255 destination 10.21.0.0 0.0.255.255
[LSW2-acl-adv-3000]rule 45 deny ip source 10.19.0.0 0.0.255.255 destination 10.21.0.0 0.0.255.255
[LSW2-acl-adv-3000]rule 50 deny ip source 10.20.0.0 0.0.255.255 destination 10.21.0.0 0.0.255.255
[LSW2-acl-adv-3000]quit
[LSW2]interface GigabitEthernet0/0/4
[LSW2-GigabitEthernet0/0/4]traffic-filter inbound acl 3000
5.1.7 VRRP配置
为增加网络的可靠性，以1号教学楼为例，在汇聚交换机LSW1和LSW13上配置VRRP。
（1）汇聚交换机LSW1的配置：
[LSW1]interface Vlanif311
[LSW1-Vlanif311]vrrp vrid 1 virtual-ip 10.31.1.120
[LSW1-Vlanif311]vrrp vrid 1 priority 120
[LSW1-Vlanif311]vrrp vrid 1 preempt-mode timer delay 20
[LSW1-Vlanif311]vrrp vrid 1 track interface GigabitEthernet0/0/2 reduced 40
[LSW1-Vlanif311]quit
[LSW1]interface Vlanif313
[LSW1-Vlanif313]vrrp vrid 1 virtual-ip 10.31.3.120
[LSW1-Vlanif313]vrrp vrid 1 priority 110
[LSW1-Vlanif313]quit

5.2 校园网功能结果
5.2.1 链路聚合验证结果
核心交换机LSW5和LSW31配置完成后，查看设备的Eth-Trunk信息，查看链路是否协商成功，如图5-1所示。

图5-1 Eth-Trunk验证
为验证链路聚合的可靠性，把核心交换机LSW5的一个接口shutdown，如图5-2和图5-3所示。

图5-2 核心交换机的接口配置

图5-3 验证Eth-Trunk可靠性
验证表明，当连接核心交换机LSW5的GE2链路断开后，GE4口的备份链路成为活动成员链路，验证了链路聚合技术的可靠性。
5.2.2 三层交换验证结果
在没有配置三层交换技术前，1号教学楼VLAN之间是无法互访的，如图5-4所示。
在接入交换机LSW20和汇聚交换机LSW1配置三层交换技术后，1号教学楼各VLAN可以互访，如图5-5所示，PC1可以访问PC10。

图5-4 配置三层交换技术前连通性

图5-5 配置三层交换技术后连通性
验证表明，三层交换技术可以在一个小型局域网中保证数据交换，验证了三层交换技术的可行性。
5.2.3 MSTP验证结果
配置完MSTP命令后，查看接入交换机LSW2的STP接口角色及状态信息。如下图5-6所示。Instance1中的GigabitEthernet0/0/2和Instance 2中的GigabitEthernet0/0/1处于阻塞状态，并且两个实例之间互相独立彼此不受影响。
验证表明，MSTP协议不仅有效解决了二层环路的问题，而且实现了负载分担，避免资源浪费。

图5-6 STP接口角色及状态信息

第6章 结论

我们的日常生活已离不开网络，不管在哪个领域，比如在餐饮业、广告业、教育行业等等，都需要网络的支持，所以，校园网络也是不可缺少的。但是校园网的建设需要适应时代的要求，如果当前校园网已经不能达到当今时代的标准，就需要将其进行改造升级。
本论文以某职业技术学院为背景，对职业技术学院校园网的现状进行分析，总结当前校园网存在的主要问题，明确校方的需求之后，设计了一套适合某职业技术学院的改造方案。
验证某职业技术学院校园网的改造方案的可行性，在现网中搭建网络拓扑图，方案中采用的技术手段通过各种设备配置对应的命令进行实现校园网的主要功能，具体包括在核心层、汇聚层、接入层、网络出口层的配置，以及路由协议的配置。
验证结果表明，改造后的校园网络具有带宽增加、链路备份、负载分担等特性。此次为某职业技术学院设计的改造方案是具有可行性的。采用这次的改造方案，能够满足校方的需求，可以适应未来几年校园网的发展。
此次校园网改造升级的方案设计重点放在网络拓扑结构、网络改造的相关技术以及设备更换的方面上，涉及网络安全方面的设计比较少，是下一次网络改造升级需要注意的。本次改造方案虽然经过深入研究设计出来的，但是本人技术以及论述水平有限，所以方案的设计或许存在些许欠缺的地方，日后将继续加强在网络方面的学习。