目录
一、方案整体规划… 3
(一)网络拓扑图… 3
(二)需求分析… 4
1.教学需求… 4
2.科研需求… 4
3.办公需求… 5
4.学生需求… 5
5.安全需求… 5
(三)网络架构设计… 6
1.接入层设计… 6
2.汇聚层设计… 6
3.核心层设计… 6
4.无线局域网设计… 7
5.防火墙与服务器区域设计… 7
6.安全体系构建… 8
(四)IP地址和VLAN规划… 8
二、设备选型与配置参数… 11
(一)网络核心层路由器选型… 11
(二)网络核心层和汇聚层交换机选型… 12
(三)网络接入层交换机选型… 14
(四)网络安全防护设备选型… 15
(五)无线网络控制器选型… 17
(六)无线网络接入点选型… 18
三、关键技术介绍及相应配置… 19
(一)虚拟局域网络(VLAN)详解… 19
1.VLAN概述… 19
2.VLAN的工作原理… 20
3.VLAN的配置示例:… 20
(二)动态主机配置协议(DHCP)详解… 21
1.DHCP概述… 21
2.DHCP的工作原理… 21
3.DHCP的配置示例… 22
(三)链路聚合详解… 23
1.链路聚合概述… 23
2.链路聚合的工作原理… 23
3.链路聚合的配置示例… 24
(四)虚拟路由器冗余协议(VRRP)详解… 24
1.VRRP概述… 24
2.VRRP的工作原理… 25
3.ENSP中的VRRP命令… 25
(五)多生成树协议(MSTP)详解… 26
1.MSTP 概述… 26
2.MSTP 的工作原理… 27
3.MSTP 的配置示例… 27
(六)开放最短路径优先(ospf)详解… 28
1.OSPF 概述… 28
2.OSPF 的工作原理… 29
3.OSPF 的配置示例… 29
(七)防火墙配置详解… 31
1.防火墙概述… 31
2.防火墙的工作原理… 31
3.防火墙(usg5500)的配置示例… 31
(八)服务器配置详解… 34
1.服务器简介… 34
2.服务器的工作原理… 34
3.服务器的配置示例… 34
(九)无线局域网(WLAN)详解… 38
1.WLAN 概述… 38
2.WLAN 的工作原理… 38
3.WLAN 的配置示例… 38
四、测试结果… 42
(一)网络通信测试… 42
(二)动态主机配置协议(DHCP)测试… 43
(三)虚拟路由器冗余协议(VRRP)测试… 44
(四)多生成树协议(MSTP)测试… 45
(五)OSPF测试… 47
(六)服务器测试… 49
(七)无线局域网(WLAN)测试… 51
一、方案整体规划
(一)网络拓扑图
图1-1 网络拓扑图
主要组成元素:
核心层:位于拓扑图的中心,通常由高性能的交换机或路由器组成,负责高速转发校园网内部及与外部网络(如互联网)之间的数据流量。核心层设备具有高吞吐量、低延迟和高度冗余的特点,确保网络的高可用性和稳定性。
汇聚层:作为核心层与接入层之间的桥梁,汇聚层设备负责将来自多个接入层的数据流量进行聚合,并转发至核心层。这一层次的存在有助于减轻核心层的负担,同时实现更灵活的网络管理和安全控制。
接入层:直接连接用户终端(如计算机、手机、平板等)或小型局域网(如教学楼、宿舍楼内的局域网),提供网络接入服务。接入层设备通常包括交换机和无线接入点(AP),它们负责将用户数据上传至汇聚层,并允许用户访问网络资源和服务。
服务器群:包括各类应用服务器、文件服务器、数据库服务器等,为校园用户提供各种网络服务(如教学管理系统、图书馆资源、电子邮件等)。服务器群通常与核心层或汇聚层直接相连,以确保高效的数据传输和访问速度。
安全设备:如防火墙、入侵检测系统(IDS/IPS)、VPN网关等,部署在网络的关键位置,用于保护校园网络免受外部攻击和内部滥用。这些设备能够监控网络流量,识别并阻止潜在的安全威胁。
(二)需求分析
1.教学需求
1.1确保每个教室都能接入校园网:部署有线和无线网络基础设施,确保教室内的每一台教学设备(如电脑、投影仪、电子白板等)都能稳定接入校园网。优化网络带宽和延迟,特别是针对多媒体教学和视频会议等高带宽需求的应用场景,提供足够的带宽资源和低延迟的网络环境,确保教学过程的流畅性。
1.2支持多媒体教学、视频会议和远程教育:集成多媒体教学平台,支持多种媒体格式(视频、音频、图像、PPT等)的播放和展示。部署视频会议系统,支持高清视频通话、屏幕共享、电子白板等功能,提升远程教学的互动性和真实感。提供稳定的远程访问服务,使校外师生能够顺利接入校内教学资源和平台。
2.科研需求
2.1大数据传输:构建高速、可靠的数据传输网络,支持科研人员之间以及科研人员与数据中心之间的大数据文件传输。采用分布式存储和并行处理技术,提高大数据处理的效率和可扩展性。
2.2云计算资源:搭建或接入公有/私有云平台,为科研人员提供按需分配的计算资源、存储资源和网络资源。支持虚拟机、容器等虚拟化技术,提高资源的利用率和灵活性。
2.3远程访问:提供安全的远程访问服务,使科研人员能够随时随地访问实验室设备、数据和应用程序。实施远程桌面协议(如RDP、VNC等),支持科研人员远程操控实验室内的高性能计算机或专用设备。
3.办公需求
3.1稳定、高速的网络服务:为教职工提供稳定、高速的有线和无线网络接入服务,确保日常办公的顺畅进行。优化网络架构和带宽分配策略,确保关键业务应用(如OA系统、ERP系统等)的优先访问权。
3.2支持办公自动化、信息管理、协同办公等应用:部署办公自动化系统(OA),实现公文流转、会议管理、日程安排等自动化办公流程。集成信息管理平台,统一管理教职工的个人信息、工作成果、项目资料等。推广协同办公工具(如钉钉、企业微信等),促进团队内部的沟通与协作。
4.学生需求
4.1确保学生宿舍、图书馆、食堂等区域都能接入校园网:在学生宿舍楼、图书馆、食堂等区域部署无线网络接入点(AP),实现无线网络的全覆盖,并提供有线网络接口,满足部分学生对有线网络接入的需求。
4.2满足学生日常上网、学习、娱乐等需求:提供稳定、高速的网络连接,确保学生能够流畅地访问互联网资源。搭建或接入学习资源平台(如在线课程、电子图书馆等),满足学生的学习需求。
5.安全需求
5.1加强网络安全措施:通过部署防火墙、IDS/IPS系统以及定期的安全漏洞扫描与风险评估,构建多层次的防御体系,有效抵御外部攻击与不良信息侵入,保障校园网络的整体安全。
5.2保护教职工个人信息和办公数据安全:采用加密技术确保教职工数据在存储与传输中的安全,结合严格的访问控制策略,仅允许授权用户访问敏感信息,全方位保护教职工的隐私与数据安全。
5.3防止外部攻击和内部泄露:建立应急响应机制,制定详尽的应急预案,提升应对安全事件的能力;同时,强化内网用户的安全教育与培训,提升整体安全意识;并通过网络隔离与访问控制策略,有效遏制内部泄露风险,构建安全的网络环境。
(三)网络架构设计
1.接入层设计
接入层作为校园网架构的最前端,直接面向用户终端(如学生电脑、教职工笔记本、智能设备等),其设计需兼顾灵活性、安全性与可扩展性。我们计划采用高性能的可管理智能接入交换机,这些交换机支持多种接入方式(包括有线以太网、Wi-Fi接入点的桥接等),以满足不同用户群体的需求。每台接入交换机均集成802.1X、MAC地址绑定等安全认证协议,确保只有授权用户才能接入网络,有效防止非法访问。此外,接入交换机还将支持POE(Power Over Ethernet)供电功能,为无线AP、IP摄像头等终端设备提供便捷的电源解决方案,减少布线复杂度,提升部署效率。
2.汇聚层设计
汇聚层位于接入层与核心层之间,负责将多个接入层交换机的数据流量进行高效汇聚与转发。我们将根据校园内不同区域(如教学楼、宿舍楼、图书馆等)的业务流量特性和地理位置,合理规划汇聚节点的位置与数量。汇聚交换机与核心交换机之间采用多条高速链路(如光纤链路)进行连接,实现负载均衡与故障自动切换,确保网络在高负载或单点故障情况下仍能稳定运行。同时,汇聚层还将部署流量监控与分析设备,为网络优化与故障排除提供数据支持。
3.核心层设计
核心层是整个校园网架构的心脏,负责高速、可靠地转发整个网络的数据流量。我们选用业界领先的高性能交换机作为核心交换机,这些设备不仅支持超高速的数据传输能力,还具备强大的多业务融合能力,能够轻松应对高清视频、大数据传输等高带宽需求。核心层采用双核心交换机架构,实现完全的冗余备份与负载均衡,确保网络的高可用性与稳定性。此外,在核心层还将部署防火墙、入侵检测/防御系统(IDS/IPS)等安全设备,构建全方位的安全防护体系,有效抵御外部网络攻击与内部威胁。
4.无线局域网设计
无线局域网(WLAN)作为校园网的重要组成部分,为师生提供了随时随地接入网络的便利。我们计划采用先进的无线AP设备,覆盖校园内的主要区域(包括教学楼、图书馆、公共休息区、运动场等),形成无缝的Wi-Fi网络覆盖。无线AP将通过POE供电方式接入对应的交换机,实现快速部署与灵活管理。同时,我们将采用最新的无线安全技术(如WPA3)与认证机制(如802.1X+RADIUS),确保无线接入的安全性与稳定性。此外,还将实施无线漫游策略,保障用户在校园内移动时能够无缝切换至最佳信号源。
5.防火墙与服务器区域设计
防火墙作为校园网与外部网络之间的安全屏障,其重要性不言而喻。我们将在核心层与校园网出口之间部署高性能防火墙设备,通过精细的访问控制策略与流量过滤机制,有效抵御外部网络攻击与恶意流量入侵。同时,防火墙还将支持VPN(虚拟专用网络)功能,为远程办公与教学提供安全可靠的加密通道。
服务器区域则承载着校园网的各种应用服务(如网站服务、邮件服务、教学资源库等)。我们计划采用虚拟化技术构建服务器集群,实现资源的动态分配与高效利用。服务器区域将采用独立的物理网络区域划分(如VLAN划分、子网划分等),并通过防火墙进行严格的访问控制,确保应用服务的安全性与稳定性。同时,还将实施定期的安全审计与备份策略,以应对潜在的安全风险与数据丢失问题。
6.安全体系构建
(1)防火墙技术应用与策略制定:选择并部署先进的防火墙技术,根据校园网络的实际需求定制防火墙安全策略。明确界定允许或禁止的网络访问行为,确保内网用户数据安全,同时过滤不良信息。对接入Internet的用户实施严格的权限控制,防止未授权访问。
(2)入侵检测与防范:在网络的关键节点部署高效的入侵检测系统(IDS),实时监测并分析网络流量与事件。一旦发现潜在的安全威胁,立即触发警报并采取相应措施,确保网络免受攻击。
(3)数据加密与备份恢复:对所有重要数据进行加密存储,防止数据在存储过程中被非法获取或篡改。定期执行数据备份计划,确保数据的完整性和可恢复性,在灾难发生时迅速恢复业务运行。
(4)安全审计与日志分析:加强对网络设备和安全设备的日志管理,实施定期的安全审计与日志分析。通过分析日志数据,及时发现并应对潜在的安全威胁,持续优化网络安全策略。
(5)网络安全需求分析汇总:1鉴于校园网络接入Internet,必须使用防火墙设备保护内网用户数据安全,过滤不良信息,并控制Internet用户权限。2禁止服务器主动访问内网用户,防止潜在的拒绝服务攻击。3内网用户普遍允许访问服务器,以支持日常教学、科研及管理工作。4外网用户禁止直接访问内网用户,但内网用户可访问外网资源,以满足学术交流、资料查询等需求。
(四)IP地址和VLAN规划
|
设备名称 |
VLAN/接口 |
地址/网段 |
网关地址 |
|
防火墙 |
GE 0/0/1 |
192.168.200.1/24 |
/ |
|
GE 0/0/2 |
192.168.1.1/24 |
/ |
|
|
GE 0/0/3 |
192.168.2.1/24 |
/ |
|
|
GE 0/0/4 |
200.100.50.1/30 |
/ |
|
|
核心路由器1 |
GE 0/0/0 |
192.168.1.2/24 |
/ |
|
GE 0/0/1 |
192.168.5.1/24 |
/ |
|
|
GE 2/0/0 |
192.168.3.1/24 |
/ |
|
|
GE 2/0/1 |
192.168.4.1/24 |
/ |
|
|
核心路由器2 |
GE 0/0/0 |
192.168.2.2/24 |
/ |
|
GE 0/0/1 |
192.168.5.2/24 |
/ |
|
|
GE 2/0/0 |
192.168.7.1/24 |
/ |
|
|
GE 2/0/1 |
192.168.6.1/24 |
/ |
|
|
核心交换机1 |
3 |
192.168.3.2/24 |
/ |
|
6 |
192.168.6.2/24 |
/ |
|
|
101 |
192.168.101.254/24 |
/ |
|
|
核心交换机2 |
7 |
192.168.7.2/24 |
/ |
|
4 |
192.168.4.2/24 |
/ |
|
|
100 |
192.168.100.253/24 |
/ |
|
|
ISP-R |
GE 0/0/0 |
200.100.50.1/30 |
/ |
|
GE 0/0/1 |
200.100.20.1/24 |
/ |
|
|
无线AC |
GE 0/0/1 |
192.168.100.1/24 |
192.168.100.254 |
|
无线AP |
GE 0/0/0 |
192.168.101.0/24 |
192.168.101.254 |
|
DNSServer |
200 |
192.168.200.10/24 |
192.168.200.254 |
|
FtpServer |
200 |
192.168.200.20/24 |
192.168.200.254 |
|
HttpServer |
200 |
192.168.200.30/24 |
192.168.200.254 |
|
宿舍楼1 |
10 |
192.168.10.0/24 |
192.168.10.254 |
|
宿舍楼2 |
20 |
192.168.20.0/24 |
192.168.20.254 |
|
宿舍楼3 |
30 |
192.168.30.0/24 |
192.168.30.254 |
|
实验楼 |
40 |
192.168.40.1/24 |
192.168.40.254 |
|
公共教育楼 |
50 |
192.168.50.1/24 |
192.168.50.254 |
|
艺术学院 |
60 |
192.168.60.1/24 |
192.168.60.254 |
|
财政处 |
70 |
192.168.70.1/24 |
192.168.70.254 |
|
教务处 |
80 |
192.168.80.1/24 |
192.168.80.254 |
|
学生处 |
80 |
192.168.80.2/24 |
192.168.80.254 |
|
打印机室 |
80 |
192.168.80.3/24 |
192.168.80.254 |
|
自习室 |
90 |
192.168.90.1/24 |
192.168.90.254 |
|
阅览室 |
90 |
192.168.90.2/24 |
192.168.90.254 |
|
图书馆客户端 |
90 |
192.168.90.3/24 |
192.168.90.254 |
二、设备选型与配置参数
(一)网络核心层路由器选型
网络核心层采用华为AR1220路由器:AR1220路由器以其卓越的性能和稳定性,成为网络核心层的关键设备,支持复杂路由协议,确保网络高效、安全地运行。
图2-1 华为AR1220
配置参数:
|
路由器类型 |
企业级路由器 |
|
其它端口 |
固定端口:4个GE,1个GE光,8个GE(支持切换为WAN口) |
|
扩展模块 |
SIC插槽:2个,WSIC插槽(缺省/最大):0/1 |
|
包转发率 |
转发性能:2Mpps |
|
Qos支持 |
支持,Diffserv模式,MPLS QoS,优先级映射,流量监管(CAR),流量整形,拥塞避免(基于IP优先级/DSCP WRED),拥塞管理(LAN接口:SP/WRR/SP+WRR;WAN 接口:PQ/CBWFQ),MQC(流分类,流行为,流策略),端口三级调度和三级整形(Hierarchical QoS),WLAN QoS,FR QoS |
|
VPN支持 |
支持,IPSec VPN,GRE VPN,DSVPN,A2A VPN,L2TP VPN,Smart VPN |
|
网络安全 |
ACL,基于域的状态防火墙,802.1x认证,MAC认证,Portal认证,AAA,RADIUS,HWTACACS,广播风暴抑制,ARP安全,ICMP反攻击,URPF,CPCAR,黑名单,攻击源追踪,国密算法,上网行为管理,IPS,URL过滤,文件过滤 |
|
网络管理 |
升级管理,设备管理,Web网管,GTL,SNMP(v1/v2c/v3),RMON,NTP,CWMP,Auto-Config,Auto-Start,U盘开局,短信开局,NetConf,命令行,NetStream,IP Accounting,NQA,OPS |
|
产品内存 |
DRAM内存:512MB,FLASH内存:512MB |
|
电源电压 |
AC 100-240V,50/60Hz |
|
电源功率 |
25W |
|
产品尺寸 |
390×220×44.5mm |
|
产品重量 |
2.9kg(不含插卡) |
|
环境标准 |
工作温度:0-45℃ |
|
其它特点 |
支持3G |
|
其它性能 |
每槽位交换容量:SIC和WSIC插槽2Gbps |
(二)网络核心层和汇聚层交换机选型
网络核心交换机和网络汇聚交换机都采用华为S5700-28C-HI:S5700-28C-HI交换机凭借其高性能、高可靠性和丰富的接口类型,成为核心交换层的理想选择,支持高速数据转发,满足大规模网络需求。
图2-2 华为S5700-28C-HI
配置参数:
|
产品类型 |
千兆以太网交换机 |
|
传输速率 |
10/100/1000Mbps |
|
交换方式 |
存储-转发 |
|
背板带宽 |
256Gbps |
|
包转发率 |
96Mpps |
|
MAC地址表 |
32K |
|
端口结构 |
非模块化 |
|
端口数量 |
24个 |
|
端口描述 |
24个10/100/1000Base-T,上行支持4×1000Base-X SFP、2×10GE SFP+、4×10GE SFP+插卡 |
|
扩展模块 |
提供1个扩展插槽: |
|
传输模式 |
全双工/半双工自适应 |
|
网络标准 |
IEEE 802.3,IEEE 802.3u,IEEE 802.3ab,IEEE 802.3z,IEEE 802.3x,IEEE 802.1Q,IEEE 802.1d,IEEE 802.1X |
|
堆叠功能 |
可堆叠 |
|
VLAN |
支持4K个VLAN |
|
QOS |
支持对端口接收和发送报文的速率进行限制 |
|
组播管理 |
支持IGMP v1/v2/v3 Snooping |
(三)网络接入层交换机选型
网络接入层采用华为S3700-26C-HI交换机:S3700-26C-HI交换机专为接入层设计,提供稳定、高速的千兆接入,简化网络管理,满足中小企业及大型企业分支机构的接入需求。
图2-3 华为S3700-26C-HI
(四)网络安全防护设备选型
网络安全防护采用华为USG5500防火墙:USG5500防火墙具备强大的安全防护能力和灵活的策略配置,全方位保护企业网络免受各种网络威胁,确保数据安全和业务连续性。
图2-4 华为USG5500
(五)无线网络控制器选型
无线网络控制采用华为AC6605无线接入控制器:AC6605无线接入控制器集中管理大规模无线网络,提供智能射频管理、无缝漫游等功能,提升无线网络性能和用户体验。
图2-5 华为AC6605
配置参数:
|
管理AP数量 |
最大可管理AP的数量:1024 |
|
其他参数 |
端口:20×GE+4×GE Combo+2×10GE |
|
功能描述 |
AP与AC间组网方式:支持L2/L3层网络拓扑 |
(六)无线网络接入点选型
无线网络覆盖采用华为6050无线接入点:6050无线接入点以其高性能和智能优化特性,确保无线网络信号覆盖广泛且稳定,支持高速无线接入,满足企业移动办公和无线应用需求。
图2-6 华为AP6050
配置参数:
|
产品类型 |
室内接入点 |
|
网络标准 |
802.11a/b/g/n/ac/ac wave2 |
|
最高传输速率 |
2.53Gbps |
|
频率范围 |
双频(2.4GHz,5GHz) |
|
其它接口 |
提供USB接口 |
|
天线类型 |
内置双频合路天线,硬件芯片支持智能天线技术 |
|
供电方式 |
DC:12V±10% |
|
电源功率 |
22.9W(不含USB接口输出功耗) |
|
产品尺寸 |
220×220×53mm |
|
环境标准 |
工作温度:-10℃~+50℃ |
|
其它特点 |
可同时在线的用户数量:≤512 |
三、关键技术介绍及相应配置
(一)虚拟局域网络(VLAN)详解
1.VLAN概述
VLAN(Virtual Local Area Network,虚拟局域网络)技术是一种将物理局域网在逻辑上划分为多个虚拟网络的技术。VLAN技术的出现,打破了传统物理网络的限制,使得网络管理更加灵活、高效。VLAN技术广泛应用于企业网络、数据中心、云计算环境等各个领域,为网络的可靠性、安全性和可扩展性提供了有力支持。
2.VLAN的工作原理
VLAN的工作原理主要基于交换机的端口划分和标签技术。交换机通过识别数据帧中的VLAN标签(通常为IEEE 802.1Q标准中的VLAN ID),将来自不同VLAN的数据帧进行隔离,确保它们只能在各自的VLAN内传输。
VLAN技术的实现过程通常包括以下几个步骤:
VLAN划分:网络管理员根据业务需求、部门划分、安全策略等因素,将网络中的设备划分到不同的VLAN中。
VLAN标签添加:交换机在转发数据帧时,会根据数据帧的源端口或MAC地址等信息,为其添加相应的VLAN标签。
VLAN隔离:交换机根据数据帧中的VLAN标签,将来自不同VLAN的数据帧进行隔离,确保它们不会互相干扰。
VLAN间通信:如果需要在不同VLAN之间进行通信,可以通过配置路由器或三层交换机来实现VLAN间的路由功能。
3.VLAN的配置示例:
|
# 创建VLAN 10 [Huawei]vlan 10 # 创建多个VLAN 20 30 [Huawei]vlan batch 20 30 # 进入接口视图 (配置access链路) [Huawei]interface GigabitEthernet0/0/1 # 将端口加入到VLAN 10 [Huawei-GigabitEthernet0/0/1]port link-type access [Huawei-GigabitEthernet0/0/1]port default vlan 10 # 进入接口视图(配置trunk链路) [Huawei]interface GigabitEthernet0/0/24 # 配置接口为中继模式 [Huawei-GigabitEthernet0/0/24]port link-type trunk # 允许所有VLAN通过 [Huawei-GigabitEthernet0/0/24]port trunk allow-pass vlan all # 进入三层交换机接口视图 (配置vlanif的IP地址) [Huawei]interface Vlanif 10 # 配置IP地址作为VLAN 10的网关 [Huawei-Vlanif10]ip address 192.168.10.1 255.255.255.0 # 为其他VLAN配置网关地址 # 配置静态路由或启用动态路由协议以实现VLAN间路由 |
(二)动态主机配置协议(DHCP)详解
1.DHCP概述
动态主机配置协议(Dynamic Host Configuration Protocol,简称DHCP)是一种由IETF提出的网络协议,旨在简化网络管理任务,允许网络中的计算机自动获取IP地址、子网掩码、默认网关等网络配置信息。DHCP减少了手动配置IP地址的复杂性,提高了网络管理的效率,并有助于避免IP地址冲突。
2.DHCP的工作原理
DHCP协议通过DHCP服务器、DHCP客户端和DHCP中继代理之间的交互来实现网络配置信息的自动分配。DHCP服务器负责维护一个IP地址池,当DHCP客户端请求配置信息时,服务器会从地址池中选择一个可用的IP地址并分配给客户端。客户端在接收到IP地址后,可以使用该地址进行网络通信。
DHCP协议的工作流程通常包括以下四个步骤:
发现阶段:DHCP客户端向本地子网发送DHCP DISCOVER广播报文,请求IP地址。
提供阶段:DHCP服务器收到DHCP DISCOVER广播报文后,从地址池中选择一个可用的IP地址,并通过DHCP OFFER报文发送给客户端。
选择阶段:DHCP客户端从接收到的多个DHCP OFFER报文中选择一个,并向选中的DHCP服务器发送DHCP REQUEST报文进行确认。
确认阶段:DHCP服务器收到DHCP REQUEST报文后,会发送DHCP ACK报文进行确认,并将IP地址分配给客户端。客户端在接收到DHCP ACK报文后,即完成IP地址的获取过程。
3.DHCP的配置示例
|
# 进入系统视图 [Huawei]system-view # 进入DHCP视图 [Huawei]dhcp enable [Huawei]dhcp # 配置IP地址池 [Huawei-dhcp]ip pool pool1 [Huawei-dhcp-pool-pool1]network 192.168.1.0 mask 255.255.255.0 [Huawei-dhcp-pool-pool1]dns-list 192.168.200.10 # 配置DHCP服务器与接口关联 (路由器中) [Huawei-dhcp]interface GigabitEthernet0/0/0 [Huawei-GigabitEthernet0/0/0]dhcp select global # 配置DHCP服务器与vlanif关联 (交换机中) [Huawei-dhcp]interface Vlanif 10 [Huawei- Vlanif 10]ip address 192.168.10.254 255.255.255.0 [Huawei- Vlanif 10]dhcp select global |
(三)链路聚合详解
1.链路聚合概述
链路聚合(Link Aggregation)是一种网络技术,旨在通过将多个物理链路捆绑成一个逻辑链路来提高网络的带宽、可靠性和灵活性。链路聚合允许网络管理员将多个物理接口组合成一个单一的、更高带宽的聚合接口,从而实现更高效的数据传输。该技术常用于提高核心网络的吞吐量、备份和负载均衡等场景。
2.链路聚合的工作原理
链路聚合的工作原理基于IEEE 802.3ad标准,也称为链路聚合控制协议(Link Aggregation Control Protocol, LACP)。通过LACP协议,多个物理接口被配置为一个聚合组(Aggregation Group),并且组内的物理接口会共同工作,共享一个逻辑接口(Aggregated Interface)的IP地址和MAC地址。
在链路聚合中,数据流量会被分散到聚合组内的多个物理接口上进行传输,从而提高了整体的带宽。当某个物理接口出现故障时,流量会被自动重定向到其他可用的物理接口上,确保了网络的可靠性。此外,链路聚合还支持负载均衡功能,可以根据网络流量情况动态调整各个物理接口的负载,实现网络资源的优化利用。
3.链路聚合的配置示例
(1)创建聚合组并进入聚合组视图:
|
<Huawei> system-view |
|
[Huawei] interface eth-trunk trunk_id |
|
[Huawei-Eth-Trunktrunk_id] |
其中,trunk_id 是聚合组的标识符,可以根据需要自定义。
(2)将物理接口加入到聚合组中:
|
[Huawei-Eth-Trunktrunk_id] trunkport interface-type interface-number [ to interface-type interface-number ] |
其中,interface-type 是物理接口的类型(如GigabitEthernet),interface-number 是物理接口的编号。
(3)配置聚合组的参数(如负载均衡模式、端口类型等):
|
[Huawei-Eth-Trunktrunk_id] load-balance { dst-ip | dst-mac | src-ip | src-mac | src-dst-ip | src-dst-mac | src-ip-dst-port | src-mac-dst-port } |
|
[Huawei-Eth-Trunktrunk_id] port link-type trunk |
其中负载均衡可不配置。
(四)虚拟路由器冗余协议(VRRP)详解
1.VRRP概述
虚拟路由器冗余协议(Virtual Router Redundancy Protocol,简称VRRP)是一种由IETF提出的网络协议,旨在解决局域网中配置静态网关出现的单点失效问题。该协议通过动态地将虚拟路由器的责任分配给局域网上的VRRP路由器,从而实现了网络的冗余备份和故障切换。
2.VRRP的工作原理
VRRP协议通过在设备之间动态分配虚拟路由器主机地址来实现路由器冗余和故障恢复。在VRRP组中,只有一台路由器处于主控角色,负责ARP解析和转发IP数据包。其他路由器则作为备份角色,并处于待命状态。当主控路由器出现故障时,备份路由器将迅速接管其工作,从而确保网络流量的顺利传输。
3.ENSP中的VRRP命令
在华为ENSP模拟器中,可以使用以下命令来配置VRRP:
(1)启用VRRP
在路由设备上的配置:
在需要配置VRRP的接口上启用VRRP功能。例如,在GigabitEthernet0/0/0接口上启用VRRP,并设置虚拟路由器ID为10:
|
[Huawei]interface GigabitEthernet0/0/0 [Huawei-GigabitEthernet0/0/0]vrrp vrid 10 virtual-ip 192.168.10.254 |
其中,192.168.1.254是虚拟IP地址,用于作为主机的默认网关。
在交换机上的配置:
在需要配置VRRP的接口上启用VRRP功能。例如,在Vlanif10上启用VRRP,并设置虚拟路由器ID为10:
|
[Huawei]vlan 10 [Huawei]interface Vlanif 10 [Huawei-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.254 |
其中,192.168.1.254是虚拟IP地址,用于作为主机的默认网关。
(2)设置优先级和抢占模式
默认情况下,VRRP路由器的优先级为100。可以通过设置更高的优先级来指定某台路由器为主控路由器。同时,可以设置抢占模式(preempt mode)来允许备份路由器在主控路由器恢复后重新成为备份,默认为抢占模式可以不做配置。
|
[Huawei-GigabitEthernet0/0/0]vrrp vrid 10 priority 120 [Huawei-GigabitEthernet0/0/0]vrrp vrid 10 preempt-mode enable |
(3)配置定时器(可选)
可以设置VRRP的定时器,包括广告间隔(advertisement interval)和抢占延迟(preempt delay)。广告间隔决定了VRRP路由器发送VRRP通告的频率,而抢占延迟则用于防止在主控路由器刚刚恢复时发生不必要的角色切换。
|
[Huawei-GigabitEthernet0/0/0]vrrp vrid 10 advertisement-interval 1 |
|
[Huawei-GigabitEthernet0/0/0]vrrp vrid 10 preempt-delay 30 |
(4)查看VRRP状态
可以使用display vrrp命令来查看VRRP的状态信息,包括VRRP组的状态、主控路由器、虚拟IP地址等。
|
[Huawei]display vrrp |
(五)多生成树协议(MSTP)详解
1.MSTP 概述
多生成树协议(Multiple Spanning Tree Protocol,简称MSTP)是一种基于IEEE 802.1s标准的网络协议,旨在优化网络的冗余性和负载均衡。MSTP作为RSTP(快速生成树协议)的扩展,允许在一个VLAN交换网络中使用多个生成树实例,从而实现了网络资源的更高效利用和更灵活的配置。
2.MSTP 的工作原理
MSTP通过创建多个生成树实例(MSTI)来管理网络中的冗余链路,每个MSTI都运行一个独立的STP(生成树协议)实例。这些MSTI共享公共的网桥ID和配置BPDU(Bridge Protocol Data Unit,桥接协议数据单元),但具有不同的MSTI ID。MSTP使用这些MSTI ID来区分不同的生成树实例,并为每个VLAN分配一个或多个MSTI。
MSTP的工作流程包括以下几个关键步骤:
BPDU交换:MSTP交换机之间通过交换BPDU来学习和了解网络拓扑结构。
角色选举:基于BPDU中的信息,MSTP交换机选举出每个MSTI的根桥、指定端口和备份端口。
阻塞非指定端口:为了避免环路,MSTP会阻塞非指定端口上的数据转发。
负载均衡:通过将不同的VLAN映射到不同的MSTI,MSTP可以实现网络流量的负载均衡。
3.MSTP 的配置示例
|
# 进入系统视图 <Huawei> system-view # 进入MSTP视图 [Huawei] stp region-configuration
# 配置MSTP区域名称和修订级别 [Huawei-mst-region] region-name 1 [Huawei-mst-region] revision-level 1
# 配置MSTP实例的VLAN映射 [Huawei-mst-region] instance 1 vlan 10 20 [Huawei-mst-region] instance 2 vlan 30 40 #激活MST域配置 [Huawei-mst-region] active region-configuration # 配置MSTP的优先级 [Huawei-mst-region] quit # 将交换机配置为VLAN 10(实例1)的根桥(二选一) [Huawei] stp instance 1 priority 0 [Huawei]stp instance 1 root primary # 将交换机配置为VLAN 20(实例2)的备份根桥(二选一) [Huawei] stp instance 2 priority 4096 [Huawei] stp instance 1 root secondary # 配置接口为MSTP模式并指定实例(可选) [Huawei] interface GigabitEthernet 0/0/1 [Huawei-GigabitEthernet0/0/1] stp instance 1 enable
# 退出配置模式 [Huawei-GigabitEthernet0/0/1] quit [Huawei] save |
(六)开放最短路径优先(ospf)详解
1.OSPF 概述
开放最短路径优先(Open Shortest Path First,简称OSPF)是一种链路状态路由协议,由IETF(Internet Engineering Task Force)开发并广泛应用于自治系统(AS)内部的路由选择。OSPF通过收集网络中的链路状态信息来构建网络拓扑图,并使用Dijkstra算法来计算最短路径,从而实现高效、稳定的路由选择和转发。
2.OSPF 的工作原理
OSPF协议通过路由器之间的交互来发现网络中的链路状态,并构建链路状态数据库(LSDB)。每个路由器都会周期性地广播链路状态通告(LSA)来更新LSDB。路由器使用Dijkstra算法来计算到达每个目的地的最短路径,并据此构建路由表。
OSPF协议的工作流程通常包括以下几个步骤:
邻居发现:路由器通过发送Hello报文来发现相邻的OSPF路由器,并建立邻接关系。
链路状态通告(LSA)交换:邻接路由器之间交换链路状态信息,包括路由器接口的状态、邻居信息和网络拓扑等。
构建链路状态数据库(LSDB):路由器将接收到的LSA存储到LSDB中,并使用LSDB来构建网络拓扑图。
计算最短路径:路由器使用Dijkstra算法来计算到达每个目的地的最短路径,并据此构建路由表。
3.OSPF 的配置示例
|
#进入OSPF配置模式: 命令:[Huawei] ospf [process-id] 示例:[Huawei] ospf 1(process-id通常取值为1-255) #配置Router ID(可选): 命令:[Huawei-ospf-process-id] router-id [router-id] 示例:[Huawei-ospf-1] router-id 1.1.1.1(router-id用于在OSPF网络中唯一标识设备) #配置OSPF区域: 命令:[Huawei-ospf-process-id] area [area-id] 示例:[Huawei-ospf-1] area 0(进入特定区域配置模式) 接着配置网络段:[Huawei-ospf-process-id-area-area-id] network [ip-address] [mask] 示例:[Huawei-ospf-1-area-0] network 192.168.1.0 0.0.0.255 #查看OSPF配置和状态: 命令:display ospf peer(查看OSPF邻居状态) display ip routing-table protocol ospf(查看OSPF路由表) #附加命令 路由汇总 ospf 1 area 0 abr-summary 192.168.0.0 255.255.0.0 配置完全stub ospf 1 area 10 stub no-summary ospf 1 area 10 stub no-summary ospf分流,去和回都配置 int g0/0/1 ospf cost 1000 |
(七)防火墙配置详解
1.防火墙概述
防火墙(Firewall)是一种网络安全系统,用于监控和控制进出网络的通信流量。它通过制定安全规则,对进入和离开网络的数据包进行过滤和检查,以防止未授权的访问和数据泄露。防火墙是网络安全的第一道防线,对于保护企业网络免受外部威胁和攻击具有重要意义。
2.防火墙的工作原理
防火墙的工作原理基于安全策略,这些策略定义了哪些数据包可以通过防火墙进行传输。防火墙会对每个数据包进行检查,并根据安全策略进行决策。如果数据包符合安全策略,防火墙会允许其通过;否则,防火墙会阻止其传输。
防火墙通常部署在网络的边界,如企业网络的入口和出口处。它可以检查所有进出网络的数据包,并根据源地址、目标地址、端口号、协议类型等信息进行过滤。防火墙还可以记录网络活动的日志,以便管理员进行审计和追踪。
3.防火墙(usg5500)的配置示例
|
# 进入对应安全区域视图 trust/dmz/untrust [SRG] firewall zone name trust # 将接口加入对应安全区域 [SRG-zone-trust] add interface GigabitEthernet 1/0/0 # 在系统视图下选择源区域、目的区域、方向进行配置 inbound:数据由低级别的安全区域向高级别的安全区域传输的方向。 outbound:数据由高级别的安全区域向低级别的安全区域传输的方向。 [SRG] policy interzone trust untrust outbound # 自定义规则序号 [SRG-policy-interzone-trust-untrust-outbound] policy 1 # 添加源地址 [SRG-policy-interzone-trust-untrust-outbound-1] source-address ipv4 192.168.1.0 255.255.255.0 # 添加目的地址 [SRG-policy-interzone-trust-untrust-outbound-1] destination-address ipv4 192.168.2.0 255.255.255.0
# 设置动作允许/拒绝 [SRG-policy-interzone-trust-untrust-outbound-1] action permit # 进入OSPF视图 [SRG] ospf 1
# 配置OSPF区域0 [SRG-ospf-1] area 0
# 配置OSPF网络段 [SRG-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
# 退出OSPF区域视图 [SRG-ospf-1-area-0.0.0.0] quit
# 配置OSPF默认路由广告 [SRG-ospf-1] default-route-advertise always
# 退出OSPF视图 [SRG-ospf-1] quit
# 配置静态路由 [SRG] ip route-static 0.0.0.0 0.0.0.0 200.100.50.2 # 进入NAT策略视图 [SRG] nat-policy interzone trust untrust outbound
# 创建NAT策略条目 [SRG-policy-nat-trust-untrust-outbound] policy 10
# 配置源NAT动作 [SRG-policy-nat-trust-untrust-outbound-10] action source-nat
# 配置源地址 [SRG-policy-nat-trust-untrust-outbound-10] source-address 192.168.0.0 0.0.255.255
# 配置Easy-IP地址池 [SRG-policy-nat-trust-untrust-outbound-10] easy-ip GigabitEthernet 0/0/4
# 配置NAT服务器 [SRG] nat server protocol tcp global 200.100.50.1 www inside 192.168.200.30 www [SRG] nat server protocol tcp global 200.100.50.1 ftp inside 192.168.200.20 ftp |
(八)服务器配置详解
1.服务器简介
服务器(Server)是计算机网络中的关键设备,通常用于存储、处理、传输和共享数据资源。它们在网络中扮演着重要角色,为客户端设备(如计算机、手机、平板等)提供各种服务,如文件存储、数据库访问、邮件服务、网页浏览等。服务器的性能直接影响到整个网络的运行效率和用户体验。
2.服务器的工作原理
服务器的工作原理基于客户端-服务器(Client-Server)架构。在这个架构中,客户端设备向服务器发送请求,服务器处理这些请求并返回相应的响应。服务器通常运行特定的服务软件,如Web服务器、数据库服务器、文件服务器等,以处理不同类型的请求。
3.服务器的配置示例
配置DNS服务器:
域名自定义,IP地址填写对应的http服务器的IP地址,填写好后点添加然后启动DNS服务器,启动后在想更改域名需停止服务器
配置FTP服务器:
文件根目录自选,配置后启动服务器
配置HTTP服务器:
文件根目录任选,配置完成后启动服务器
(九)无线局域网(WLAN)详解
1.WLAN 概述
无线局域网(Wireless Local Area Network,简称WLAN)是一种利用无线通信技术实现设备间互连的网络系统。它允许在特定区域内,如办公室、家庭或公共场所,通过无线方式连接各种设备(如笔记本电脑、智能手机、平板电脑等)进行数据传输和资源共享。WLAN 技术不仅提高了网络的灵活性和便捷性,还极大地扩展了网络覆盖范围,成为现代通信中不可或缺的一部分。
2.WLAN 的工作原理
WLAN 的工作原理主要依赖于无线接入点(Access Point,简称AP)和无线客户端(如无线网卡设备)之间的交互。AP 负责将有线网络信号转换为无线信号,并通过无线信道广播给无线客户端。无线客户端接收到信号后,通过认证和加密过程与AP建立连接,从而实现数据的双向传输。
WLAN 的基本工作流程通常包括以下几个步骤:
扫描阶段:无线客户端扫描可用的无线信号,寻找可连接的AP。
认证阶段:客户端与AP之间进行身份认证,确保只有授权设备才能接入网络。
关联阶段:认证通过后,客户端与AP建立连接,并协商通信参数。
数据传输阶段:连接建立后,客户端和AP之间开始传输数据。
3.WLAN 的配置示例
|
# 进入系统视图 [Huawei]system-view # 批量创建VLAN [Huawei]vlan batch 100 101 # 进入VLANIF 100视图并配置IP地址 [Huawei]interface vlanif 100 [Huawei-Vlanif100]ip address 192.168.100.1 24 # 进入VLANIF 101视图并配置IP地址 [Huawei-Vlanif100]quit [Huawei]interface vlanif 101 [Huawei-Vlanif101]ip address 192.168.101.1 24 # 退出VLANIF 101视图 [Huawei-Vlanif101]quit
# 配置GigabitEthernet 0/0/1接口为Trunk模式,并允许所有VLAN通过 [Huawei]interface GigabitEthernet0/0/1 [Huawei-GigabitEthernet0/0/1]port link-type trunk [Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan all # 设置CAPWAP隧道源接口为Vlanif 100(通常用于AC与AP之间的通信) [Huawei-GigabitEthernet0/0/1]capwap source interface Vlanif100 # 退出接口视图 [Huawei-GigabitEthernet0/0/1]quit # 配置静态路由,假设AC的网关是192.168.100.254 [Huawei]ip route-static 192.168.0.0 16 192.168.100.254 启用DHCP服务 [Huawei]dhcp enable # 创建IP地址池ap [Huawei]ip pool ap [Huawei-ip-pool-ap]network 192.168.101.0 mask 255.255.255.0 [Huawei-ip-pool-ap]gateway-list 192.168.101.254 # 配置Option 43(可选,用于CAPWAP发现) [Huawei-ip-pool-ap]option 43 sub-option 2 ip-address 192.168.100.1 # 应用DHCP到VLANIF 101 [Huawei-ip-pool-ap]quit [Huawei]interface vlanif 101 [Huawei-Vlanif101]dhcp select global 创建SSID模板 # 进入WLAN视图 [Huawei]wlan # 创建SSID模板wlan [Huawei-wlan-view]ssid-profile name ssid [Huawei-wlan-ssid-prof-wlan]ssid ssid # 退出SSID模板视图 [Huawei-wlan-ssid-prof-wlan]quit 创建安全模板 # 回到WLAN视图 [Huawei-wlan-view]security-profile name sec [Huawei-wlan-sec-prof-sec]security wpa-wpa2 psk pass-phrase abc123456 aes # 退出安全模板视图 [Huawei-wlan-sec-prof-sec]quit 创建VAP模板 # 回到WLAN视图 [Huawei-wlan-view]vap-profile name vap [Huawei-wlan-vap-prof-vap]forward-mode tunnel [Huawei-wlan-vap-prof-vap]service-vlan vlan-id 101 [Huawei-wlan-vap-prof-vap]ssid-profile ssid [Huawei-wlan-vap-prof-vap]security-profile sec # 退出VAP模板视图 [Huawei-wlan-vap-prof-vap]quit 创建AP组并应用VAP模板 # 回到WLAN视图 # 创建AP组 [Huawei-wlan-view]ap-group name group-ap # 将VAP模板应用到AP组,并指定无线电频段(这里假设是全部) [Huawei-wlan-ap-group-group-ap]vap-profile vap-template wlan 1 radio all # 退出AP组视图 [Huawei-wlan-ap-group-group-ap]quit 将AP加入AP组 # 将AP加入AP组(这里假设AP的MAC地址为00e0-fc41-6420,并且设备支持直接通过MAC地址加入) [Huawei-wlan-view]ap-group group-ap [Huawei-wlan-ap-group-group-ap] ap-id 1 ap-mac 00e0-fc41-6420 |
四、测试结果
(一)网络通信测试
图4-1-1 局域网不同VLAN之间通信测试
图4-1-2 内网主机访问内网服务器测试
图4-1-3 内网访问外网测试
图4-1-4 外网访问内网服务器测试
(二)动态主机配置协议(DHCP)测试
动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)是一种网络协议,它允许网络设备(如计算机、打印机等)自动地从一个指定的DHCP服务器获得IP地址、子网掩码、默认网关地址、DNS服务器地址等网络配置信息,而无需手动配置。
图4-2-1 DHCP配置测试
(三)虚拟路由器冗余协议(VRRP)测试
VRRP 是一种容错协议,用于确保在局域网中当一台或多台路由器出现故障时,网络的连通性和服务不会中断。它通过允许几台物理路由器(或其他网络设备)共同维护一个虚拟的IP地址(即虚拟网关地址)来实现这一点。这个虚拟IP地址在网络中代表了一个或多个实际设备的集合,而网络中的其他设备(如客户端或服务器)则将这个虚拟IP地址视为其默认网关。
图4-3-1 查看VRRP主备交换机
图4-3-2 主备故障切换测试
(四)多生成树协议(MSTP)测试
多生成树协议(Multiple Spanning Tree Protocol,简称MSTP)是一种基于IEEE 802.1s标准的网络协议,旨在优化网络的冗余性和负载均衡。MSTP作为RSTP(快速生成树协议)的扩展,允许在一个VLAN交换网络中使用多个生成树实例,从而实现了网络资源的更高效利用和更灵活的配置。
图4-4-1 查看核心交换机1的生成树
图4-4-2 查看学生公寓的生成树
(五)OSPF测试
开放最短路径优先(Open Shortest Path First,简称OSPF)是一种广泛使用的链路状态路由协议,由Internet Engineering Task Force(IETF)开发和标准化。OSPF 主要用于在同一个自治系统(Autonomous System,简称AS)内部动态地发现、计算和维护路由信息。
图4-5-1查看防火墙OSPF的邻居信息
图4-5-2查看核心路由器1的路由表
图4-5-3 查看学生公寓的路由表
(六)服务器测试
服务器(Server)是计算机网络中的关键设备,通常用于存储、处理、传输和共享数据资源。它们在网络中扮演着重要角色,为客户端设备(如计算机、手机、平板等)提供各种服务,如文件存储、数据库访问、邮件服务、网页浏览等。服务器的性能直接影响到整个网络的运行效率和用户体验。
图4-6-1 Ftp登录测试
图4-6-2 http通过IP地址登录测试
图4-6-3 http通过域名登录测试
(七)无线局域网(WLAN)测试
无线局域网(Wireless Local Area Network,简称WLAN)是一种利用无线通信技术实现设备间互连的网络系统。它允许在特定区域内,如办公室、家庭或公共场所,通过无线方式连接各种设备(如笔记本电脑、智能手机、平板电脑等)进行数据传输和资源共享。
图4-7-1 无线网络连接测试
图4-7-2 无线网络通信测试
暂无评论内容