完整项目拓扑如下:
https://download.csdn.net/download/xiaolong1155/87794750?spm=1001.2014.3001.5503
在传统的校园网网中,网络通常是三层结构。三层网络结构是采用层次化架构的三层网络,有三个层次:核心层(网络的高速交换主干)、汇聚层(提供基于策略的连接)、接入层(将工作站接入网络)。网络结构相对复杂,网络管理人员比较幸苦,需要对各个网络设备进行配置。因此本次设计引入大二层校园网络。
大二层校园网用户全部在核心交换机上认证,汇聚、接入设备不需要维护复杂的网络协议,层次清晰,架构稳定,方便管理,易于扩展和维护。
校园网通常包括:校园一卡通、教务管理系统、学生管理系统、办公自动化系统等方面,以及校园社区等与学生生活密切相关的部分。可以说校园网一方面提供信息资源、知识共享等,另一方面也在服务学生日常生活。随着无线网络技术的发展,当前这些应用已经不仅仅局限于计算机操作,也正向着手机用户转变。校园网承担着校园生活的重要使命,其构建目标一方面是功能需求,另一方面是安全保障。在功能方面,校园网应该是建立起数据、语音、视频一体化办公、学习、生活相结合的网络系统。因此其设计建设要本着高起点而又经济实用的标准。具体来说,应用大二层校园网络建设一个易管理,易部署,易维护的校园网络。
随着Internet 技术的发展,推动人们从各个角度去研究计算机网络,以使之在各个领域 得到广泛、成功的应用。校园网的概念是指大、中、小学教育单位的网络,它以应用为 目的,基于 Internet技术的计算机网络和它的使用者以及相关规章制度的集合。校园网是利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机、计算机教室和各种终端设备有机地集成在一起,并用于教学、教科研、学校管理、信息资源共享和远程教学等方面工作的计算机局域网络系统。校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。
在我国,学校是处于影响整个社会深刻变革的中心地位,所以是否在学校采用最先进的信息和传播技术是一个有决定性意义的问题。随着计算机多媒体和网络技术的不断发展与普及,校园网信息系统的建设,是非常必要的,也是可行的。
主要表现在:
第一,当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段,发展对学校教育现代化的建设提出了越来越高的要求。
第二,教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。个人是否具有获得信息和处理信息的能力对于能否成功进入职业界和融入社会都是个决定性的因素,因此学校应该培养所有学生具 有驾驭和掌握这种技术的能力。另一方面,信息技术在作为青少年教育工具的同时也向青少年提供了前所未有的机会。新技术提供的机会以及它们在教学方面具有的优势都是很多的,特别是计算机和多媒体系统的使用有助于个人化的道路,每个学生在个人的学习道路上都可以按照自己的速度发展。
第三,我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络上运行的软件及多媒体系统,并且越来越形象化、实用化,迫切需要网络环境。
第四,现代教育改革的需要。
在校园网中将计算机引入教学各个环节,从而引起了教学方法、教学手段、教学工具的重大革新。 对提高教学质量,推动我国教育现代化的发展起着不可估量的作用。
网络又为学校的管理者和老师提供了获取资源、协同工作的有效途径。 毫无疑问,校园网是学校提高管理水平、工作效率、改善教学质量的有力手段,是解决信息时代教育问题的基本工具。
第五,随着时代的进步、科技的发展,在现代化信息技术管理上,学校将面临新的挑战。 为了提高学校自身的现代化管理水平,丰富教学方法和手段,提高工作效率,及时掌握各种相关信息,提高处理各种业务及突发事件的能力,加强管理,拥有现代化信息技术手段,利用计算机网络与通信技术,全面、迅速、准确地掌握信息,已成为学校内部和教学业务处理的迫切需要。
网络结构也越来越复杂,管理运维的难度不断加大,校园信息化建设面临着越来越多的挑战。
首先,网络管理问题,校园网目前大多是传统的三层架构,网络结构相对复杂,汇聚层设备做三层网关,启用路由协议,与核心之间三层互通。同时,为了避免环路,接入层与汇聚层设备需要启用复杂的MSTP生成树协议,配置的复杂造成了管理的复杂,网络管理员需要熟知整网的状况以及每台设备的配置情况,以便在出现网络问题时能够快速定位。
其次,网络运营问题,校园网中有学生、教师等多种不同角色,针对不同角色计费方法不同,认证方式也不同,传统校园网为了加强对学生的管控力度,多采用802.1x认证,经过多年的实际运营,网管人员发现802.1x认证问题频出,不仅在接入交换机上启用,大量的接入设备配置复杂,而且客户端也很容易出问题,学生投诉不断。
另外,网络维护问题,传统网络架构中,网络运维管理人员的精力主要消耗在网络设备的功能配置、技术细节和繁琐的问题定位上,无法将工作聚焦,更多的关注用户体验和业务的创新。
主体网络为以千兆为骨干,百兆到桌面的有线网络,覆盖全校所有楼字,选择两台H3C S5700做为核心交换机(主备方式),承载整个校园网内外网流量的高速转发,同时做为用户业务的网关。五台H3C S5700做为各个楼宇的汇聚设备转发。通过在核心交换机建立动态地址池,通过DHCP下发IP地址。
核心交换机与出口路由器之间通过架设防火墙保障内网安全。为了保证教师与学生安全合理的使用校园网资源,利用安全认证进行用户对校园网的登录和认证。
校园网是一种用户高密度的网络,在有限的空间内聚集了大量的终端和用户。扁平化大二层网络的设计注重的是三个“易”:易管理,易部署,易维护。
易管理:扁平化的大二层网络,整体简化了网络结构,网络中大量的接入、汇聚作为逻辑二层设备只需要做简单的VLAN划分、端口隔离配置即可,不需要过多管理,核心设备作三层网关,启用路由、认证、安全相关功能,日常维护中,管理员只需要维护核心设备即可,大大降低了网络的运维难度,简化了工作量。
易部署:大二层网络,无论是有线用户还是无线用户,无论是采用802.1x认证还是portal认证,认证点统一集中在核心,部署方便快捷。同时,在大二层的环境中,大量的接入、汇聚设备配置基本类似,一些专注在教育行业的厂商也推出了快速配置工具用于批量设备上线时的快速配置下发,利用配置工具,操作过程简便,之前需要耗时几天的部署工作在2个小时内即可完成。
易维护:网络结构的简化将带来维护工作的简化,设备配置的简化必然会大幅度降低设备出问题的概率。从另一方面看,校园网的维护,需要在网络出现问题时能够快速定位,在网络管理层面上,需要把用户和端口对应起来,明确用户是从哪个端口接入上网,大二层架构中,可以轻松定位用户到具体的端口。
校园网络划分为多个逻辑区域,整体采用大二层结构设计,多个逻辑区域各司其职,用户全部在核心交换机上认证,汇聚、接入设备不需要维护复杂的网络协议,层次清晰,架构稳定,方便管理,易于扩展和维护。大二层组网具有以下特点:
(1)路由上收扁平化:核心设备作三层网关,终结ARP,启用路由协议,核心层设备功能丰富、性能强大、可以更好的满足校园网发展需求。接入、汇聚全部为纯二层配置,负责二层转发,维护工作简单,采购成本低廉。
(2)认证上收集中化:核心设备作为集中认证网管,终结认证,完成策略统一下发,接入层不需要启用认证,核心设备根据需要选择基于端口。
(3)有线无线一体化:有线无线统一认证,无线认证同样终结在核心,AC只需要管理AP,不需要同时做认证功能,解决了异构网络环境需要管理多套认证计费平台的问题。
(4)批量配置自动化:大二层架构,大量接入设备基本上配置相同,结合配置自动下发工具,在短时间内自动完成对接入设备的配置下发,大大减轻现场实施人员的工作量。
(5)用户定位精确化:与传统方案只能定位到接入交换机不同,大二层方案,可以直接定位用户到接入交换机的端口,满足的精确定位的需求。
计算机网络系统以目前国际流行的TCP/IP为基础,采用OSI体系结构遵循国际标准,整个网络系统采用星型网络拓扑架构。
一般校园网网络楼宇内信息点比较集中,涉及众多的楼宇部门办公室。网络整体采用路由方式,汇聚终结广播,交换式的以太网络就不会应为网络设备对资源的争用而影响网络整体的效率和传输速度,从而大大提高整个网络的性能,降低网络发生阻塞的概率。
在本方案中,网络系统按系统结构以及功能规划为:局域网和广域网两个部分。
广域网主要由各种功能的路由器、出口设备、应用服务器、网络安全设备等组成。
局域网按网络层次分为:核心层、大二层(接入汇聚层,接入层)
由于学校的楼宇众多信息点集中,根据这一特性拟采用如下的组网架构:内网主干网络采用万兆以太网技术进行互联,并保证全千兆到桌面的互联组网方式。核心层采用虚拟化技术将多台核心虚拟成一台接入网络。汇聚通过万兆光纤与核心设备连接,这样大大增加了网络的可靠性。楼层接入交换机根据物理台数合理选择堆叠上联或是单机上联模式,保证底层用户的可靠性。监控采用智能化监控专网架构进行搭建,同样采用核心层、大二层(接入汇聚层,接入层)的大二层架构。
核心层用两台交换机实现虚拟冗余,达到灾难备份。并且在核心层配置VLANIF进行路由、DHCP自动分配地址、OSPF实现IGP互通、将网关等都在核心交换机上配置。这样的配置使数据中心的管理员可以创建一个集中式的、更加灵活的、能够按需分配的资源池,服务器/虚拟机就可以在任意地点创建,迁移,而不需要修改 IP 地址或默认网关。而大二层网络包含的接入汇聚和汇聚层具有划分VLAN进行设备间透传,放行所有VLAN进行通信和划分VLAN供用户接入的作用。
方案设计以千兆以太网技术为基础,万兆以太网为目标,采用主干万兆,千兆到楼宇,百兆到桌面的设计思路,分为核心层、二层汇聚和二层接入简称大二层。核心层设计2台高性能万兆核心路由交换机,组成全冗余的万兆双链路,保证了校园网的高速数据路由交换,并且具有很好的可扩展性。设计拓扑图见图1,图2:
图2 无线网络拓扑图
根据拓扑要求,对校园各大区域进行VLAN划分。见表1:
表1 vlan划分
VLAN |
IP 地址 |
子网掩码 |
备注 |
VLAN 10 |
10.0.10.0 |
255.255.255.0 |
教学楼 |
VLAN 11 |
10.0.11.0 |
255.255.255.0 |
|
VLAN 12 |
10.0.12.0 |
255.255.255.0 |
图书馆 |
VLAN 13 |
10.0.13.0 |
255.255.255.0 |
|
VLAN 14 |
10.0.14.0 |
255.255.255.0 |
办公楼 |
VLAN 15 |
10.0.15.0 |
255.255.255.0 |
|
VLAN 16 |
10.0.16.0 |
255.255.225.0 |
教师公寓 |
VLAN 17 |
10.0.17.0 |
255.255.225.0 |
|
VLAN 18 |
10.0.18.0 |
255.255.225.0 |
学生公寓 |
VLAN 19 |
10.0.19.0 |
255.255.225.0 |
根据拓扑要求,对校园各大区域的具体设备进行IP地址设置。见表2:
表2 地址规划
设备名称 |
IP地址 |
公网 |
114.114.114.114 |
校园网出口 |
1.1.1.2 |
DNS |
10.0.1.106 |
FTP |
10.0.1.107 |
WEB |
10.0.1.105 |
入侵防御1 |
10.0.1.101 |
入侵防御2 |
10.0.1.100 |
服务器1 |
10.0.1.103 |
服务器2 |
10.0.1.104 |
无线网管理VLAN |
10.0.1.102 |
在校园网核心层设备担负着连接各个汇聚设备的工作,同时通过设备的互联,将分布在各物理位置的区域网络连接在一起形成一套完整的网络。核心层设备担负着整个网络的流量。骨干设备和链路的稳定性将直接影响整个网络的可靠运行。 由于骨干设备在网络核心层中,需要高性能、冗余备份,所以采用链路聚合技术。完成网络骨干层高速数据交换、转发以及稳定性的要求。
骨干网络性能是整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种业务的高质量传输,才能使网络不成为业务开展的瓶颈。
(1) 高速运送区域流量。
(2) 高可靠性。
(3) 提供故障隔离。
(4) 较少的时延和好的可管理性。
(5) 良好的路由交换能力。
(6) 良好的区域汇聚能力。
(7) 良好的万兆能力。
要求汇聚设备必须是纯千兆的高性能交换机;在校园网中汇聚设备担负着网络接入 层和骨干设备的连接,网络汇聚层有着承上启下的重要任务。
汇聚设备不但要完成接入层的链路汇聚和流量汇聚还要完成本地数据的交换以及接 入和骨干之间的数据转发。作为骨干层的入口和接入层的出口,汇聚层的身份如同关卡。 为保证整个网络良好 运行在汇聚层同样需要高性能、关键部件冗余等特性。
接入层在整个网络的边缘,学生通过接入设备接入网络。 为保证整个网络安全高效 的运行,作为网络的入口接入设备的智能识别是一项重要的功能。
在设备只有单主控的情况下,如主控板发生故障,重新启动主控板需要加载映像文件、初始化配置等操作,整个过程在5 min左右,对于网络中处于单点故障的节点来说,业务在这个过程中完全中断。在核心交换机上配置两块控制板,一块实际起作用,另一块备用。当主控板发生故障时,主控板与备控板倒置,备用板成为主控板,原来的主控板重启后成为备用板,保证核心交换机的正常运行。
为了提高网络的可用性,防止网络结构中的单点故障,在核心层网络中采用双机热备的冗余网络节点方式,通过冗余协议配置,正常情况下业务应用的数据可通过两台核心设备转发,降低大业务量对单台核心设备的压力;当一台核心设备故障的时候,汇聚层设备的业务可以自动切换到另外一台核心设备上正常转发。本网络中采用VRRP技术实现网关级冗余, VLAN的终结在核心层,由于本网络中有两台核心交换机,多个用户VLAN的流量分别由两台核心交换机来完成。两台核心交换机A和B,假设网络中有M个VLAN,在核心交换机上建立M个VRRP备份组,也就是M个虚拟IP。其中部分VRRP组设置核心交换机A为Mater,核心交换机B为Slave,其他VRRP组设置核心交换机B为Master,核心交换机A为Slave,具体的规划可按限流量或者VL AN中终端的数量进行考虑。在这M个VLAN中, 一部分VLAN的主机网关设置为核心交换机A为Master的VRRP组,而另外一部分VLAN的主机网关设置为核心交换B为Master的VRRP组。
在校园网络建设中存在多用户、多服务的现状。带来了对网络系统要求具有高效率等,以保证大数据量访问下有效的处理能力。针对需求设备要能对数据做到分布式处理,这样的分布式处理可以节省主交换引擎的消耗。使数据在独立的板卡上就能做出对数据的识别,这样比在中央处理器识别要快的多。并在大量的数据应用、数据传输过程中,要保证所有硬件设备都可以进行快速的转发,要具备高背板带宽(交换容量),所有端口都能保证线速转发。这种分布式处理可以极大地提高整体处理能力,保证了网络畅通。现在的网络环境中稳定可靠是争相谈论的话题,因现在在网络中运行了众多重要应用及服务,是要保证7*24小时不间断的服务。就要完全能保证网络设备全天后的可用性。即使在设备出现问题时切换到备用设备的过程中,也要保证较小的延迟,以满足网络应用中的有效畅通的需要。在这样的需求中利用,冗余的管理交换引擎、冗余的电源等关键部件的冗余,支持(802.1D、 802.1W) 802.1S 多VLAN生成树协议保证链路级的冗余和负载均衡,支持VRRP、OSPF等三层路由协议保证路由级的冗余,支持load balancing技术实现了应用级的冗余备份和负载均衡。全方位的完全保证了设备、网络、应用系统的可靠性。
各种调查都显示来自于内部的误用(操作)和滥用对学校网络和业务的影响都是最为致命的,通常的比例高达70%。这样,如何高效地防止误用损失、阻止滥用、监测业务网络的健康运行,并且在实际发生后能够成功地进行定位和取证分析,这样的能力对于一个学校显得至关重要。
值得注意的是,当前网络受到的拒绝服务攻击的威胁正在变得越来越紧迫。对拒绝服务攻击的解决方案也越来越受到大家的关注。对大规模拒绝服务攻击能够阻止、减轻、躲避的能力是标志着一个学校网络能否向用户承诺更为健壮、具有更高可用性的服务,也是一个学校的网络安全水平进入一个新境界的重要标志。
这里是通常所说的黑客威胁。从前面几年时间的网络安全管理经验和渗透测试结果来看,当前大多数的网络设备和服务都存在着被入侵的痕迹,甚至各种后门。这些是对网络自主运行的控制权的巨大威胁,使得客户在重要和关键应用场合没有信心,损失业务,甚至造成灾难性后果。
防火墙配置
1、 更改设备命名
sysname FW
2、 配置接口IP地址
interface GigabitEthernet0/0/1
ip address 192.168.2.1 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 1.1.1.2 255.255.255.0
#
3、 将接口加入指定安全域
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet0/0/1
#
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/2
#
4、配置OSPF
ospf 100 router-id 10.0.1.1 //创建OSPF进程
area 0.0.0.0 //进入区域0
network 192.168.2.0 0.0.0.255 //宣告所属网段
5、配置NAT策略
配置NAT以使内网用户能较为安全的访问公网。
nat-policy interzone trust untrust outbound
policy 1
action source-nat
easy-ip GigabitEthernet0/0/2
6、 配置域间策略
配置必须的域间策略以放通流量。
policy interzone local trust inbound
policy 1
action permit
#
policy interzone trust untrust outbound
policy 1
action permit
#
7、配置默认路由
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.1 //配置到公网的默认路由
核心交换机配置
1、更改设备命名
sysname CoreA
#
2、配置vlanvlan batch 2 to 30
#
3、配置生成树优先级
stp instance 0 root primary
#
4、配置DHCP地址池
ip pool 10
gateway-list 10.0.10.1
network 10.0.10.0 mask 255.255.255.0
#
ip pool 11
gateway-list 10.0.11.1
network 10.0.11.0 mask 255.255.255.0
#
ip pool 12
gateway-list 10.0.12.1
network 10.0.12.0 mask 255.255.255.0
#
ip pool 13
gateway-list 10.0.13.1
network 10.0.13.0 mask 255.255.255.0
#
ip pool 14
gateway-list 10.0.14.1
network 10.0.14.0 mask 255.255.255.0
#
ip pool 15
gateway-list 10.0.15.1
network 10.0.15.0 mask 255.255.255.0
#
ip pool 16
gateway-list 10.0.16.1
network 10.0.16.0 mask 255.255.255.0
#
ip pool 17
gateway-list 10.0.17.1
network 10.0.17.0 mask 255.255.255.0
#
ip pool 18
gateway-list 10.0.18.1
network 10.0.18.0 mask 255.255.255.0
#
ip pool 19
gateway-list 10.0.19.1
network 10.0.19.0 mask 255.255.255.0
#
5、配置SVI接口
interface Vlanif1
ip address 10.0.1.2 255.255.255.0
#
interface Vlanif3
ip address 10.0.3.2 255.255.255.0
vrrp vrid 3 virtual-ip 10.0.3.1 //配置VRRP虚拟网关
vrrp vrid 3 priority 120 //配置虚拟网关地址
#
interface Vlanif10
ip address 10.0.10.2 255.255.255.0
vrrp vrid 10 virtual-ip 10.0.10.1
vrrp vrid 10 priority 120
dhcp select global //配置动态获取IP地址
#
interface Vlanif11
ip address 10.0.11.2 255.255.255.0
vrrp vrid 11 virtual-ip 10.0.11.1
vrrp vrid 11 priority 120
dhcp select global
#
interface Vlanif12
ip address 10.0.12.2 255.255.255.0
vrrp vrid 12 virtual-ip 10.0.12.1
vrrp vrid 12 priority 120
dhcp select global
#
interface Vlanif13
ip address 10.0.13.2 255.255.255.0
vrrp vrid 13 virtual-ip 10.0.13.1
vrrp vrid 13 priority 120
dhcp select global
#
interface Vlanif14
ip address 10.0.14.2 255.255.255.0
vrrp vrid 14 virtual-ip 10.0.14.1
vrrp vrid 14 priority 120
dhcp select global
#
interface Vlanif15
ip address 10.0.15.2 255.255.255.0
vrrp vrid 15 virtual-ip 10.0.15.1
vrrp vrid 15 priority 120
dhcp select global
#
interface Vlanif16
ip address 10.0.16.2 255.255.255.0
vrrp vrid 16 virtual-ip 10.0.16.1
vrrp vrid 16 priority 120
dhcp select global
#
interface Vlanif17
ip address 10.0.17.2 255.255.255.0
vrrp vrid 17 virtual-ip 10.0.17.1
vrrp vrid 17 priority 120
dhcp select global
#
interface Vlanif18
ip address 10.0.18.2 255.255.255.0
vrrp vrid 18 virtual-ip 10.0.18.1
vrrp vrid 18 priority 120
dhcp select global
#
interface Vlanif19
ip address 10.0.19.2 255.255.255.0
vrrp vrid 19 virtual-ip 10.0.19.1
vrrp vrid 19 priority 120
dhcp select global
#
6、配置接口类型
interface GigabitEthernet0/0/1
port link-type access
stp edged-port enable
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/5
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/6
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/7
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/8
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/9
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/23
eth-trunk 1
#
interface GigabitEthernet0/0/24
eth-trunk 1
#
interface NULL0
#
8、配置OSPF
ospf 100 router-id 10.0.1.2
area 0.0.0.0
network 10.0.0.0 0.0.255.255
#
9、配置默认路由
ip route-static 0.0.0.0 0.0.0.0 192.168.2.1 preference 80
#
1、更改设备命名
#
sysname SWA
#
2、配置接口类型
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/5
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/6
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
sysname SW1
#
2、配置VLAN
vlan batch 2 to 30
#
3、配置接口类型
interface Ethernet0/0/1
port link-type access
port default vlan 10
stp edged-port enable
#
interface Ethernet0/0/2
port link-type access
port default vlan 10
stp edged-port enable
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
sysname ISP
#
interface GigabitEthernet0/0/0
ip address 1.1.1.1 255.255.255.0
#
interface LoopBack0
ip address 114.114.114.114 255.255.255.0
1、更改设备命名
sysname AC
#
2、配置用户地址池
vlan batch 2 to 100
#
vlan pool community
vlan 10
3、配置接口IP地址
interface Vlanif1
ip address 10.0.1.102 255.255.255.0
#
4、配置接口类型
interface GigabitEthernet0/0/1
port link-type access
stp edged-port enable
5、配置默认路由
ip route-static 0.0.0.0 0.0.0.0 10.0.1.1
#
6、配置CAPWAP隧道
capwap source interface vlanif1
#
7、配置安全模板
wlan
security-profile name community
security wpa2 psk pass-phrase 88888888 aes
8、配置SSID模板
ssid-profile name community
ssid community
9、配置VAP模板
vap-profile name community
service-vlan vlan-pool community
ssid-profile community
security-profile community
10、配置AP白名单
ap whitelist mac 00E0-FC81-3540
11、上线AP
ap-id 0 type-id 35 ap-mac 00e0-fccb-0870 ap-sn 210235448310FB1C3405
radio 0
vap-profile community wlan 1
此次的校园网设计与实现,使我对校园网络的认识更加深入了,特别是对大二层网络的各个方面有了全新的认识。在设计初期,通过对大二层网络和传统网络的对比,然后我们得到了大二层网络具有以下优势:核心设备作三层网关,终结ARP,启用路由协议,并且所有的底端用户的IP地址池网关等都在核心交换机,底端IP地址通过DHCP下发给各个设备。接入、汇聚全部为纯二层配置,负责二层转发,维护工作简单。核心层设备功能丰富、性能强大、可以更好的满足校园网发展需求。 因此基于这些优势,我设计了一个扁平化的大二层校园网。在这段时间的设计过程中,我对以前所学的知识又有了一次比较全面的巩固,同时也开拓了好多以前没有了解和学习到的知识,有了一次全新的认识。在本次的设计报告中,从开始的迷茫,到一点点的汲取这一方面的知识,通过对所了解知识的扩展,才有了这次的项目设计完成。
在本次项目设计中,所使用的软件是华为的eNSP。eNSP是一个很全面的模拟器,可以完美呈现真实设备实景,支持网络模拟,让广大用户有机会在没有真实设备的情况下能够模拟演练,学习网络技术。模拟器中好多设备和实际设备的配置是相同的,尤其是防火墙和无线AC设备的配置,在模拟器中所用到的配置命令和在实际环境中配置命令完全相同。并且对于AP,在通过命令的配置后,他可以呈现信道范围和无线信号,更加真实。虽然我们没有专业环境下的实际设备实验室,但是通过在eNSP下的模拟,我们也能有一个很好学习环境。
对于校园网要能很好地应用与发展,很大程度上取决于设计方案(包括组网技术、拓扑结构、IP及路由规划、安全防范等)的设计实施合理与否。一个实际合理的校园网才能更好地为全校师生的工作提供更加快捷可靠的网络服务。
完整项目拓扑如下:
https://download.csdn.net/download/xiaolong1155/87794750?spm=1001.2014.3001.5503