前言

    校校园网一直是国内Internet发展的领头羊。1994年7月，中国教育和科研计算机网CERNET示范工程启动。也就是同一年，清华北大等顶尖大学建成了自己的校园网，事实上这些网络也是中国Internet的开端。高校校园网从1994年的启动建立到现在的13年间，无论是高校校园网的网络技术，还是高校校园网的关注要点，大致可以分为三个阶段。
    第一阶段是基础设施建设时期，时间大约从1994年到2000年。这期间各种网络技术在高校同时都有应用：以太网技术，FDDI，ATM网络技术。在这个阶段，由于校园网应用的技术比较繁杂，而且业务相对单一，因此，这一阶段，主要关注网络的连通性和兼容性，即如何保证校园网的连通，和各种不同网络技术的兼容和融合。
    第二阶段是应用平台建设时期，时间大约是从2000年到2005年。这期间，随着网络技术的发展，各种应用也开始出现并发展迅速，包括BBS、WWW、FTP、E-mail，以及近两年流行的BT下载、视音频业务等等，这些应用都对带宽提出了挑战。另一个在此阶段发展迅速的校园网应用就是IPTV，更是被成为带宽的杀手级应用。与此同时，网络技术--特别是以太网技术迅猛发展，1000M以太网已经步入校园，万兆标准也已经公布。结合实际应用和网络技术来看，这个阶段主要关注：带宽和应用。
    第三个阶段是信息资源建设时期。时间从2005年至今，乃至今后几年时间内。近两年，万兆以太网已经开始在高校校园网中规模化应用，下一代以太网标准也已经确立为10万兆标准。同时，随着cernet2的启动，IPV6技术也已经在校园网中实验并逐步应用。当基础设施、应用平台建设之后，信息资源的丰富与否决定了校园网络的真正价值。当信息资源充分丰富后，人们的工作、学习、生活、娱乐完全离不开网络，网络的安全与可信又成为头等重要的问题。纵观这两年整个网络世界，安全事件频发：冲击波、震荡波、ARP攻击等等。所以，安全可信成为了高校校园网当前关注的要点。
    简单来说，对于校园网：丰富的应用是关键，而稳定可靠的网络是基础，完善的安全和管理手段是保障。

 
 
 1  校园网概述
 
 校园网是以应用为目的、基于Internet/Intranet技术的计算机网络和它的使用者以及相关规定的集合。简单的说，就是像电话网一样在校园内分布的电脑网络，电话传递语音，电脑传递信息。
校园网的作用不仅仅是计算机的普及与学习，它的最大作用在于网络资源的共享，进而在校园中形成富有特色的校园信息文化。目前，学校的各教研室（组）一般都配置了计算机设备，用计算机辅助教学的大气候业已形成。但各计算机的应用还都是孤立的并没有构成实时的通信交互能力，它是信息的孤岛。应用校园网可发挥更大的作用。校园网络的具体应用在：（1）教学方面，教学资料的积累查阅；多媒体课件的共享；教学资料与方案可以通过网络发往教室的电脑以备教学之需；按不同的主题建立网上讨论组，备课之余可以上校园网的论坛进行教育教学的讨论；教学信息获取，与外部的Internet连通；学科成绩管理与分析，用电子表格统计与分析学生的成绩然后转成交互的网页放到校园网上供各科教师分析；（2）教务管理方面，课程表、各类活动的安排都可以网页的形式发布于校园网内，使教育教学的信息及时流通并有了最佳保存信息的方式，同时因为有了网络，上述信息便可以供老师共享，这些信息在应用者的电脑上用统一的浏览器进行访问、查询，简洁方便，容易上手。学籍管理由建网前的单纯封闭管理转变为建网后的开放性发布与查阅，政教处团委学生会的各种管理条例、活动安排甚至于活动本身都可以构建在网络上。（3）学生能力培养方面，校园网除了用于教学外，还可为学生活动创造一个全新的无时空间隔的虚拟世界，这在重点高中或在相关专业的重点职高更有实现的价值：不仅是信息化的熏陶，更是信息化的体验，校园网完全是一种工具成为班级活动的组成部分。班级信息发布，出版网上黑板报，建立各种论坛，班级与老师、校长的沟通，形成校园网上的虚拟社区与社团，使之成为学生生活中新的热点和兴奋点，以网络载体培养学生的能力，为学生创造一个展现自我的舞台，进而构建丰富多彩的网上校园文化。除此以外，还可在校园内部提供财务管理、图书管理、财产管理等信息网，实现资源高度共享。
 

图1-1校园网发展历程
 第三阶段关注的是安全可信
因为当基础设施、应用平台建设之后，信息资源的丰富与否决定了校园网络的真正价值。当信息资源充分丰富后，人们的工作、学习、生活、娱乐完全离不开网络，这时候网络的安全与可信即成为头等要考虑的问题。
安全可信将是下一代网络的根本保障，安全可信的网络基础架构将成为下一代网络的最根本特征。

2  需求分析
2.1  用户需求分析
 
 我国大学高校教育在信息社会和网络时代面临挑战和压力。信息社会和网络时已经改变了人们之间交际行为和交换信息的方式，这些必然对高校院研究与教育发展产生深刻影响
　　发达国家（例如美国）的网络科技融合于高校教育发展，他们已经有大约30 年以上的经验。在美国，高等教育与高校研究已经发生明显变化。著名的WESTLAW和LEXIS-NEXIS等法律数据库已经发展成为全球性的信息产业。WESTLAW公司已于1997年在北京开设了代表处，并在北京大学高校院开通了在中国大陆第一家该专用数据库查询终端。1999年上述两家美国数据库已经采用互连网络进行法律数据全文检索和阅读，其中已有相当部分的数据免费向全球开放。
　　在亚洲经济发达国家和地区，例如我国的台湾地区，网络科技发展也有大约10-15年的经验，使得高校教育方面使用网络科技方面也取得了较大发展。在中国大陆，在这方面起步较晚。发达国家和地区的经验值得我国高校院借鉴研究。
　　在我国，大学高校教育有许多方面受到网络科技的影响，以下10个方面影响较大：
一、网络科技影响图书馆发展模式，影响学生和研究人员资料查询和阅读的方式；
二、网络科技影响教室使用方式，影响教师与学生在教室交流方式；
三、网络科技影响高校研究方式，影响高校论文研究与表达方法以及学术评价标准和传播方式；
五、网络科技影响高校院考试制度、论文答辩制度、学籍管理制度、课程设计、高校讲义与教科书体系、课堂的研究与讨论制度设计模式；
六、网络科技影响高校教育与相关学科跨学科研究的发展模式；
七、网络科技影响高校院毕业生就业方向；
八、网络科技影响高校院师资构成，学科与学派构成与发展方向；
九、网络科技影响高校院学术能力提升，影响高校院综合排名以及高校院对社会的。

及时性（Timeliness）：随着网络的应用越来越广，对于网络的及时性的要求也比较高，比如对于视频，语音等应用就需要很高的及时性。
互动性(Interactivity)：园区网的应用有很大一部份是互动的一个过程，需要满足学生和学校服务器之间的联动，以及远程教学等功能。
可靠性（Reliability）：高校校园网中网络应用人数很多，并且随着网络应用技术的不断丰富，高校校园网应用也愈发复杂，例如FTP、VOD点播等大数据量的访问，产生了巨大的网络流量。如何高速进行网络传输，对网络设备提出了很高的要求。另一方面，随着校内教师、学生的工作、科研、学习、生活、娱乐越来越离不开网络，例如：随着远程教育、视频会议和VOD等多媒体业务在高校校园网上的运行，网络的稳定可靠性就显得愈发重要—网络随便断开几小时也无所谓的历史已经过去了。因此，网络提出了设备的稳定可靠、链路的稳定可靠的需求。 还有就是当各种特殊业务，如视频会议、IP电话，业务量猛增时，会造成时延、抖动、丢包等现象，而这对于实时的、时延敏感的网络应用，便会产生严重的影响。因此保障特殊业务的正常使用，也是高校的网络建设中必须要考虑的一个方面。
功能性（functionality）：信息化工作在教育领域开展了十多个年头，高校的许多职能都实现了数字化，总结起来可以分为五大类。科研业务：如虚拟实验网、数字化图书馆和搜索引擎；教学业务：如主动式/协作式/研究型教学、专业学科网站、和多媒体教学；管理业务：如数字化办公和视频会议；服务保障业务：如一卡通、VoIP和视频业务；政工业务：如在线调查和虚拟导师。所以在网络实施时必须考虑到多种业务的融合。
可实施性（Affordability）：设计的原则是要保证方案在满足用户最大需求时，要具有可实施性
安全（Security）：从网络诞生的那一天起，安全问题就一直伴随着网络的兴起而日趋严重。时间到了今天，计算机网络的安全问题更加的严重，各种各样的计算机病毒层出不穷，黑客的活动也更加的猖獗。在这样的一个大背景下，身处其中的学校校园网的安全也是令人堪忧。因此不得不做好防范工作，让校园网络能健康的运转，为学校的工作和学生的学习提供方便。越来越多的报道表明高校校园网已逐渐成为黑客的聚集地。这一方面是由于网络病毒、黑客工具的泛滥，而另一方面，高校学生——这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心，他们有着探索的高智商和冲劲，却缺乏全面思考的责任感。据有关数字显示，目前校园网遭受的恶意攻击，90%来自高校网络内部，如何保障校园网络的安全成为高校校园网络建设时不得不考虑的问题。
可扩展（Further growth）：一个网络建设时不能仅仅满足当时的需求和应用，还应该考虑到未来的变化和网络发展而为以后的扩展打下基础，让用户的网络具有可扩展是网络设计时不可欠缺的内容，当用户的网络在未来需要扩大升级时，一个可扩展性的网络一方面保障了用户升级的简易性，另一方面也保护了用户的投资。

2.2  流量分析
 
 在我们精心打造的校园网中，如果网络突然缓慢，在重要数据往来的教学时间段，留给系统管理员的响应时间只有宝贵的十几分钟、甚至几分钟。而且，蠕虫病毒对网络速度的影响越来越严重，例如“网络天空”等邮件蠕虫病毒，它们导致被感染的用户只要一连上网就不停地往外发邮件，病毒选择用户个人电脑中的随机论文附加在用户的通讯簿上，通过随机地址进行邮件发送。成百上千的这种垃圾邮件有的排着队往外发送，有的又成批地被退回来堆在服务器上。这都造成个教育网骨干线路出现明显拥塞，甚至在蠕虫泛滥的局域网中，瘫痪的事件屡有发生。

　　进行流量监控和流量分析是整个网络合理化的重要环节，它能在最短的时间内发现安全威胁，在第一时间进行分析，通过流量分析来确定攻击，然后发出预警，快速采取措施。如何在核心的网络设备上监控流量、限制异常流量就成了大家关注的技术问题。

监控对象的制定

连接性

　　连接性也称可用性、连通性或者可达性，学校需要高效率的带宽服务，更严格的说应该是网络服务的基本能力或属性。比如远程教学中需要宽带连接和视频点播等服务，这些都必须以网络的连接性能为基础和保障。

丢包率

　　丢包率是指丢失的IP 包与所有的IP 包的比值。许多因素会导致数据包在网络上传输时被丢弃，例如数据包的大小以及数据发送时链路的拥塞状况等。不同业务对丢包的敏感性不同，在多媒体教学中，丢包是导致图像质量降低和断帧的根本原因。

时延

　　时延定义了一个IP 包穿越一个或多个网段所经历的时间。时延由固定时延和可变时延两部分组成。固定时延基本不变，由传播时延和传输时延构成;可变时延由中间路由器处理时延和排队等待时延两部分构成。

带宽分析

　　带宽一般分为瓶颈带宽和可用带宽。瓶颈带宽是指当一条路径(通路)中没有其它背景流量时，网络能够提供的最大的吞吐量。可用带宽是指在网络路径(通路)存在背景流量的情况下，能够提供给某个业务的最大吞吐量。

协议分析

　　对网络流量进行协议划分，如:Web浏览(HTTP)、电子邮件(POP3、SMTP、WEB MAIL、文件下载(FTP)、即时聊天(MSN、QQ等)、流媒体(MMS、RTSP)等。针对不同的网络应用协议进行流量监控和分析，如果某一个协议在一个时间段内出现超常占用可用带宽的情况，就有可能是攻击流量或蠕虫病毒出现。

应用网段流量分析

 大多数学校都是将不同的业务应用通过VLAN来进行逻辑隔离的，所以可以通过流量分析系统针对不同VLAN来进行网络流量监控。

2.3  网络结构分析

校园骨干网建设相关需求
1稳定的骨干网络架构
2稳定的骨干网络设备
3全的骨干网络设备

校园网络出口设计需求
1出口设备的高性能
2负载分担&冗余备份
3出口设备的高可靠性

校园网络安全需求
1入网主机强制安全
2网络攻击自动抵御
3统一安全策略管理

校园网运营管理需求
1易于管理
2实时性强
3安全性强

3  IP地址的规划

3.1  IP地址
 
 这里提到的IP地址是指IPV4版本。IP地址就好象现实世界中每个人的名字一样， 必须为网络中每一个设备定义不同的IP地址，这样才能被其它设备访问。我们把整个因特网看成为一个单一的、抽象的网络。IP 地址就是给每个连接在因特网上的主机（或路由器）分配一个在全世界范围是惟一的 32 bit 的标识符。IP 地址现在由因特网名字与号码指派公司ICANN (Internet Corporation for Assigned Names and Numbers)进行分配。IPV4有32位能提供2的32次方个地址。而在设计一个园区网时，在网络结构

3.2  IP地址的分类
 
图3-1IP地址分类
 这是最基本的编址方法，在 1981 年就通过了相应的标准协议。
在这个基础上提出了私有地址和公有地址的区别，私有地址不能在公网上传输，只是分发下来作为本地局域网使用，如果想和公网进行通信就必须进行NAT。
私有地址：

图3-2IP私有地址
3.3   VLSM变长子网掩码
   
 变长子网掩码(Variable-Length Subnet Masks,VLSM)的出现是打破传统的以类(class)为标准的地址划分方法,是为了缓解IP 地址紧缺而产生的
作用:节约IP 地址空间;减少路由表大小.
所以在做整体的IP地址规划的时候，采用VLSM的方式。
3.3IP规划
   
图3-3IP地址划分
划分子网的划分子网方法:
1.你所选择的子网掩码将会产生多少个子网?:2 的x 次方(x 代表掩码位数)
2.每个子网能有多少主机?: 2 的y 次方-2(y 代表主机位数)
3.有效子网是?:有效子网号=256-10 进制的子网掩码(结果叫做block size 或base number)
4.每个子网的广播地址是?:广播地址=下个子网号-1
5.每个子网的有效主机分别是?:忽略子网内全为0 和全为1 的地址剩下的就是有效主机地址.
最后有效1 个主机地址=下个子网号-2(即广播地址-1)
EX：
网络地址192.168.10.0;子网掩码255.255.255.192(/26)
1.子网数=2*2=4
2.主机数=2 的6 次方-2=62
3. 有效子网?:block size=256-192=64; 所以第一个子网为192.168.10.64, 第二个为192.168.10.128
4.广播地址:下个子网-1.所以2 个子网的广播地址分别是192.168.10.127 和192.168.10.191
5.有效主机范围是:第一个子网的主机地址是192.168.10.65 到192.168.10.126;第二个是192.168.10.129 到192.168.10.190

4  骨干网络的设计

4.1  骨干网技术与架构概述

 骨干网的定义：核心设备、区域汇聚节点、服务器群交换机、出口之间的设备以及线路，形成骨干网络。
有各种各样的骨干网技术、有各种各样的网络结构，哪种又是最适合高校校园呢？我们必须从标准性、开放性、兼容性、易用易管理性、总体建设和维护成本等方面综合考虑。高校一般都有两个或者两个以上的出口，出口线路和带宽是最为重要的资源之一；如何充分、合理地利用出口资源？如何最有效实现各出口的负载分担和相互冗余备份？骨干网的稳固健壮与否非常的关键，因此为了保障稳固健壮，一定会考虑将多台骨干设备形成环路或冗余链路，万兆以太网的技术基本继承了过去以太网、快速以太网及千兆以太网技术，因此在用户普及率、使用的方便性、网络的互操作性及简易性上皆占有极大的引进优势，在升级到万兆以太网解决方案时，用户不需担心既有的程序或服务是否会受到影响，因此升级的风险非常低。这不仅可以从过去以太网一路升级到千兆以太网中得到证明，同时在未来升级到万兆，甚至4万兆（40G），10万兆（100G）都将是一个很明显的优势。从稳定的骨干网络架构，稳定的骨干网络设备，健全的骨干网络设备几方面去考虑。

4.2  骨干网物理结构设计
 
下面是一个骨干网典型构建方案：

图4-1骨干网典型构建
骨干网最重要的就是稳定可靠性
 影响骨干网稳定可靠的因素有很多，最主要的有三个方面：设备本身、网络架构、安全保障。只有这三个方面都没问题了，就会形成稳固健壮的骨干网络！网络架构包括物理网络架构 和 逻辑网络架构

物理网络架构：双核心双链路，任意一个设备或一条链路出现故障，不影响网络骨干的正常运行；
逻辑网络架构：冗余自愈的路由协议，任意一条路由出现问题，即会重新选择转发路径

4.3  骨干网路由设计

 路由协议定义了路由器与相邻路由器通信时所使用的一组规则。它能实时地适应网络结构的变化。如果路由更新信息表明发生了网络变化，路由选择软件就会重新计算路由，并发出新的路由更新信息。这些信息通过各个网络，引起各路由器重新启动其路由算法，并更新各自的路由表以动态地反映网络拓扑变化。
典型的路由选择方式有两种：静态路由和动态路由。
以手工的方式将路由添加到每台路由器的路由表中去时这种方式就是静态路由。同所有的路由过程一样，对于静态路由它也既有优点也有缺点。
静态路由具有以下的优点：
低处理器额外开销。路由器不需要花费宝贵的CPU周期来计算最付款路径。它要求的处理能力和内存低，因此它要求的路由器可以便宜一些。无带宽占用。路由器不会占用带宽来相互更新有关的静态路由。安全的运行。由于不发送路由更新，路由器不会大意地向不信任的源通知网络信息。不接收路由更新的路由器更不易被攻击。可预见性。静态路由使管理员能够准确地控制路由器的路径选择。动态路由经常产生意外的结果，即使在小型网络事也有这种可能。
静态路由具有以下缺点：
管理员必须真正地了解所配置的互联网络，以及每台路由器应该如何正确地连接以正确配置这些路由。如果某个网络加入到互联的网络中，管理员必须在所有的路由器上通过人工添加对它的路由。对于大型的网络来说，这几乎是不可行的，因为这时表态路由会导致巨大的工作量。
使用协议来查找并更新路由表的配置，就是动态路由。
动态路由具有以下的优点：
可适应性强。路由器能相互告知失效链路或新发现的路径，路由器能自动地尝到网络的拓扑结构并且选择最近路径。配置维护工作量小。在为路由选择协议正确地配置了基本参数后，不再需要管理员干预。路由器能够及时将失效的链路或者新发现的路径信息通告给相信的路由器。
动态路由具有以下的缺点：
增加了处理器的额外开销。动态路由进程需要大量的CPU时间和系统内存。高带宽占用。路由器必须占用带宽来发送和接收路由更新信息，这在低速广域网链路上会对性能产生有害的影响。
根据是否在一个自治域内部(AS)使用，动态路由协议分为内部网关协议(IGP)和外部网关协议(EGP)。这里的自治域指一个具有统一管理机构、统一路由策略的网络。自治域内部采用的路由选择协议称为内部网关协议，常用的有 RIP(Routing Information Protocols，路由信息协议)、OSPF、EIGRP；外部网关协议主要用于多个自治域之间的路由选择，常用的是 BGP(Border Gateway Protocol，边界网关协议)和 BGP-4。
校园网还是属于内部区域网络所有在对于路由协议的选择中主要是在RIPV2,OSPF,EIGRP这三个路由协议中进行选择。尽管RIPv2做出了很大改进，但它仍然无法解决RIPv1的所有局限性。对RIPv2的设计者来说，他们也只不过仅仅是想设计一个现代化的RIP而已，这其中包括保持它作为内部网关协议（IGP）以在小型网络中或自治系统中使用这一初衷。因此，几乎所有在RIPv1中的功能局限性也延续到了RIPv2。两者关键的区别在于RIPv2能够应用在需要支持认证或者支持可变长度子网掩码的网络中。
下面是RIPv2从RIPv1继承下来的一些比较突出的局限性：
缺乏可替代的路由——RIPv2在路由表中对任何指定目的地仍然只保存一条路由。
计数到无穷大——RIPv2仍然使用计数到无穷大的方法来解决网络中的某些错误，例如路由环路问题。此外，RIPv2仍然依靠计时器来产生路由更新。因此，当网络拓扑发生变化时，要达到对新网络拜年的收敛状态需要花费较长时间。网络收敛得越慢，无用的网络信息被当作当前的网络信息传播的机会也越大。这就可能导致路由一路。
15跳上限——RIPv2仍然将16跳以上认为是无限大的路径开销，这也许是它从RIP继承下来的最大的局限性了。当路由开销增加到16后，该路由就被视为无效，目的地也被认为是不可到达。
静态距离矢量度量值——RIPv2继承的另一个局限性是静态路由的度量值，和RIP一样，它的缺省值是1。虽然网络管理员可以手动修改这个缺省值，但是除非管理员做了修改，否则它将保持不变。因此，RIPv2仍然无法适应那些需要根据延迟，负荷和其他动态网络性能度量值来实时选择路由的网络环境。
而EIGRP虽然是比较好的以个路由协议，但是它是CISCO私有的协议，扩展性太差也不作考虑，所以最终还是选择OSPF协议。
开放最短路径优先（OSPF）是一种基于开放标准的链路状态型路由选择协议。它由几个RFC描述，最新的是RFC2328，其名字中的“开放”是指OSPF是对公众开放的而非专有的。非专有路由选择协议包括RIPv1和RIPv2等，OSPF是首选，因为它有非常好的扩展能力。两种版本的RIP扩展能力都比较有限。RIP的最长路径不能超过15跳。它收敛慢，而且因为没有考虑带宽等重要因素而导致选择的路由并非最佳路由。OSPF解决了所有这些限制，是一种稳定性好、可扩展的路由选择协议。
OSPF具备相当强的扩展能力是通过层次化设计和对域的运用实现的。通过在网络中恰当宣言区域，网络管理员可以减少路由额外开销并提高系统性能。OSPF依赖于复杂的通信和关系来维护一个综合的链路状态数据库，可以方便地扩展，但当一个OSPF网络扩展到含有100或500，甚至1000台路由器时，链路状态数据库会急剧膨胀，包含成千上万条链路。为了使OSPF路由哭喊能继续高效运转，将它们的CUP和内存资源保留给分组转发使用，网络工程师将OSPF网络划分成多个区域。
本节描述了如何创建和配置OSPF区域，并将会具体分析不同的OSPF区域类型，包括末节、完全末节和次末节（NSSA）区域。因为每种区域类型都使用一种特殊的通告方式与OSPF网络的部分区域交换路由信息，所以本节将会详细研究链路状态通告（LSA）。此外，本节还将介绍主干区域（区域0）的规则，以及虚拟链路如何解决主干区域的连通性问题。

图4-2ospf分区

使用层次化的OSPF协议：

OSPF使用了多个数据库和复杂的算法，相对RIP它消耗的路由器CPU和内存更多。而且在网络规模不断扩大的时候，OSPF对路由器的性能的要求是很高的，另一方面，虽然OSPF是一个链路状态协议相对于RIP的更新机制它的LSA洪泛更加有效率，但是对于一个大型网络来说，它依然会给路由器带来巨大甚至不可承受的负担。
所以OSPF利用了区域这个概念来缩小这些不利的影响，在OSPF环境下区域（Area）是一组逻辑上的路由器和链路，它可以将以一个大的OSPF域分割为几个小的区域。这种层次化的结构带来了很多好处：

路由器仅需维护同一区域的链路状态数据库
隐藏了拓朴变化，一个区域拓朴变化不会导致全网收敛
LSA洪泛被限制在一个区域里面
Ospf中区域大的可分为骨干区域（area0）和非骨干区域
骨干区域的作用是汇总所有的区域的信息到普通区域，所以所有的普通区域都必需通过骨干区域才能和其他区域进行通信。为什么OSPF会有二种不同的区域类型，普通区域必需通过骨干进行转发？这是学习OSPF种应该去考虑的问题，正如上面所提到的ospf划分区域是为了解决网络过大带来的问题，所以在区域里路由器通过传送LSA并通过SPF算法计算出路由表，而在区域间却是采取的直接发送路由汇总条目的方式，可以说这时的OSPF是基于D-V算法而不是链路状态，而D-V协议的最大的问题就是产生路由自环，解决的方法就是所有的路由汇总条目都经过以个区域来传送，这个区域就是骨干区域，所有的路由汇总都经由它进行转发，类似于RIP的水平分割，这样就解决了路由自环的问题。
当普通区域无法和骨干相连时便不能和其他区域进行通信，这种情况下可以通过虚链路进行连接。

5 校园网出口的设计与规划

5.1  园区网出口设计与部署概述
 
 园区网出口的设计与部署是园区网建设很关键的一个环节，也是经常产生网络拥塞和瓶颈的一个环节，为了能够更好的完成园区网出口的应用，本章就对出口的常见应用模型进行相关的介绍和阐述。在介绍常见的应用模型前，我们首先对园区网出口的常见功能需求进行简单的介绍，目的是能够更好的分析我们对出口设备、线路的合理选择和功能部署，下面介绍的内容是园区网出口常见的功能需求。
 
5.1.1  INTERNET访问

Internet为人们进行科学研究、商业活动、社会生活等方面的信息共享提供了重要手段，Internet访问是园区网出口最基本的需求，除了满足用户基本的WEB、Email、FTP、软件下载等常规的Internet访问需求外，还有在线电影、音视频聊天、BT下载等对网络实时性以及带宽需求比较大的Internet访问需求，基本的网络出口模型见图5-1。

图5-1
                                                          
图5-1   基本网络出口模型
5.1.2   CERNET访问
 中国教育和科研计算机网（CERNET）是我国教育信息化的重要基础设施、国家信息化基础设施的重要组成部分和建立学习型社会的重要平台，支撑了许多教育信息化重大应用。CERNET接入用户主要是高等学校和教育主管部门，CERNET提供面向教育的专门应用，包括许多国家层面教育信息化的重大应用，例如现代远程教育、网上招生远程录取、数字图书馆、中国教育科研网格、数字博物馆、国外大型期刊数据库、教育部的系列网站等。
 CERNET已经成为世界上最大的学术性计算机网络，拥有光纤干线30000多公里，DWDM高速传输网20000多公里；覆盖全国31个省（自治区、直辖市）的200多座城市；主干网传输速率达到2.5-10Gbps，国际出口带宽超过3G，与国内其他互联网连接带宽超过10G；联网单位1500多个，用户1800多万。
 我国高等院校的校园网络基本上都同时有Internet出口和CERNET出口，以满足学校用户的各种网络访问需求，校园网络出口模型见图5-2。

图5-2校园网络出口模型
5.1.3  对外服务器公布
 满足公网用户能够远程访问园区网内部的服务器，以达到对外提供信息服务的需求，如WEB、Email、FTP等应用服务。在实现对外服务器公布的同时，我们还要考虑对外提供服务的服务器安全，以防止外部网络的攻击，有关园区网出口安全的话题不在本课题中进行重点讨论，我们这里只是对出口的应用模型进行阐述。

5.1.4  多出口策略应用
 在园区网出口的建设和部署中，很多情况出口线路不仅仅有一条，而是有两个甚至多个出口，以满足不同网络资源的访问、基于速度的带宽考虑和线路的冗余备份等，下面是两种常见的园区网多出口应用模型。
两条Internet线路
园区网出口部署两条Internet线路时，大多数情况是选择两个不同的接入运营商，例如图5-4，其目的主要有以下几个方面：
访问不同的网络资源走不同的运营商，从而加快资源的访问速度；比如访问网通的服务器和信息资源时走网通的线路，其他的资源访问走电信的线路；
当上网流量比较大时，如果出口只有一条线路则很有能产生出口访问的拥塞和瓶颈，因此两条线路会分担上网流量，加快资源的访问速度；
当其中一条线路失效时（失效的原因很多），另外一条线路能够立刻接收所有的出口流量，从而实现线路的自动冗余备份。
一条Internet线路、一条CERNET线路
Internet线路通常是包月形式，无论学校使用的流量有多大，每月固定收取一定费用，但是由于通过Internet线路访问CERNET的资源速度比较慢，而且教育网中有些资源是对Internet屏蔽的，通过Internet线路完全无法访问，所以如果学校只使用Internet出口，则会造成无法正常利用教育网资源的情况。相反教育网出口是按照流量收费的，如果完全通过教育网来做出口，则会因为流量巨大造成网络资费过高。
基于速度、资源利用情况和费用的考虑，目前高校网络普遍采用两个出口的方式，其中一个出口为CERNET国家教育网出口，另一个为Internet出口，如图5-5，并且采用如下的方式确定访问方式，访问CERNET资源时（CERNET提供的地址列表中的地址）通过CERNET出口访问，访问CERNET地址列表以外的地址时，走电信出口。

 
 
 图5-4出口模型1

 
 图5-5出口模型2
5.1.5  负载均衡和热备份
 随着网络技术和信息化建设的发展，人们将越来越多的关键业务主机和数据放到了信息网络中，借以提高业务效率，实现自动化的管理。因此网络出口设备的性能、功能、安全性等得到人们的集中关注，网络出口设备安装在内部网络和不可信任网络的临界点，是内外网络所有往来流量集中地，所有的对外应用和服务都要经过出口设备，一旦临界点发生硬件和线路故障，将使内外网络的链接中断，对外的关键业务将无法进行，甚至影响整个企业的运作。
 为了保障网络365 x 24 x 5 的运转，关键业务的连续服务，除考虑高可用性的关键业务主机外，作为信息流量集中地的网络出口设备和运营商线路，我们应当考虑采用高可用性的解决方案，即网络出口的负载均衡和热备份（设备备份和线路备份），图5-6和 图5-5是两个简单的网络出口模型；

图5-6出口模型3

图5-7 出口模型4

图5-7出口模型2
 
5.2  园区网出口的设备需求
 前面一个章节介绍的是园区网出口常见的功能需求，其中Internet访问、CERNET访问、对外服务器公布、多出口策略应用、负载均衡和热备份属于应用功能需求，系统状态监控、日志记录和分析属于管理功能需求。目前，园区网出口设备的选择主要有三种方式：路由器、防火墙以及代理服务器。下面就对这三种方式的出口设备需求进行简单的介绍，以方便我们更好的进行网络出口的设计和规划。
5.2.1  路由器
 用路由器作为园区网的出口设备是一种比较典型的应用方式，它能够很好的满足网络出口设备的各种应用功能需求，但是这里有几个关键点需要特别强调：
由于园区网出口是一个信息流量集中地，对出口的设备性能有足够的要求，因此在选择路由器时，必须要选择性能足够强的高端路由器；
虽说路由器在出口应用功能需求上能够很好的满足，但是路由器的管理功能需求比较弱，尤其是人机界面，需要管理员有足够的设备操作能力；
路由器相对于其他的安全产品，在网络出口的安全防护方面不是强项，因此要是考虑网络出口的安全防护则需要与其他的安全产品来协同部署。
5.2.2  防火墙
 用防火墙作为园区网的出口设备也是一种比较普及的应用方式，它能够很好的满足网络出口设备的各种管理功能需求，并且能够完整地实现出口设备的各种应用功能需求，但是同样有几个关键点需要特别说明：
防火墙作为园区网的出口设备，对它的性能要求有比较大的考验，尤其是在数据流量大且复杂功能启用的比较多时，防火墙的性能会下降的比较明显；
网络出口单独采用防火墙，其目的除了满足出口的应用需求外，更重要的一点是对安全方面的考虑，对各种网络攻击行为的防护；
基于上面两点的阐述，防火墙在功能和性能上得到了双方面压力，因此锐捷网络建议在园区网出口应该采用“高端路由器+防火墙”的整体应用方案，合理的把功能和性能压力有效的分担在两个设备上，各负其职。
5.2.3  代理服务器
 代理服务器原理上就是在PC或者服务器上安装双网卡，其中一个网卡连内部网络，另外一个网卡连外部出口线路上，在这台PC或者服务器上安装代理软件。这种方式价格相对低廉，同时可以通过采用高主频的CPU来提高网络性能，但是在实际应用和管理上存在一些必须要面对的问题。
代理服务器的配置、维护和管理难度大，对管理人员的能力要求较高；
代理服务器采用软件模式，长时间运行容易死机，因此需要定期重新启动一次服务器。
代理服务器常常采用Linux系统，当遇到机房调整、服务器维护或者碰到代理服务器死机的情况，服务器重新启动需要等待5-10分钟；
如果内网中的很多用户启用了BT或者在线视频等占用带宽大的应用时，就会影响其他人的正常上网，代理服务器基本无法实现对内部IP地址限速的功能，即给每台PC进行最大带宽的限制；
代理服务器对DDOS攻击的防范有限，很容易由于恶意攻击而进入瘫痪状态，防攻击能力差是代理服务器的一大缺陷；
代理服务器不支持多出口线路的负载均衡和自动备份功能，因此无法充分利用多出口的带宽和信息资源。
综上所述，不推荐用户采用代理服务器方式进行园区网出口的部署，有条件的用户应该采用“高端路由器+防火墙”的整体应用方案。
5.3  园区网出口的线路需求
 在介绍完前面有关园区网出口的功能需求和设备需求后，我们来看一看在出口部署时的线路需求，下面主要从Internet运营商线路和CERNET线路两个方面进行阐述，目的是让大家了解一下出口线路的选择范围和合理使用。
5.3.1  Internet运营商线路
 中国国内有六大基础电信运营商，即中国电信、中国网通、中国移动、中国联通、中国卫通和中国铁通，他们都有Internet接入服务且接入方式非常丰富，其中适合园区网Internet接入的方式主要为光纤接入，这其中主要是由中国电信、中国网通和中国铁通来提供Internet的光纤接入服务，我们在选择Internet运营商线路时主要是从这三家运营商来进行合理的选择。
5.3.2  CERNET线路
 中国教育和科研计算机网CERNET是由国家投资建设，教育部负责管理，清华大学等高等学校承担建设和运行的全国性学术计算机互联网络，是全国最大的公益性计算机互联网络，1996年被国务院确认为全国四大骨干网之一。
 CERNET目前有10个地区中心，38个省节点，全国中心设在清华大学。CERNET目前联网大学、教育机构、科研单位超过1500个，用户超过1500万人，是我国教育信息化的基础平台。
 为进一步加强网络管理、提高服务质量、拓展服务领域，2000年8月，教育部党组批准CERNET转制方案，即保持CERNET原有的科研体制不变，继续承担国家建设CERNET的科研项目，同时组建赛尔网络有限公司，负责CERNET主干网的运行与维护，并发展网络增值业务。
 因此，我国高等院校的校园网络出口基本上都要有CERNET出口，以满足学校用户的各种网络访问需求。

5.4  园区网出口的负载冗余功能
 

图5-8 负载平衡

 两台防火墙在此处做为桥接，（因为几乎所有的防火墙OSPF路由做的不好，不能参与全网的OSPF路由），所以RSR-08E透过两台防火墙与双核心跑OSPF路由。
 双核心往RSR-08E之间的两台链路 以及 两台防火墙  之间  实现了很好的链路和设备负载分担的 效果。通过在核心上面做基于源地址的策略路由，控制不  同部门的流量从不同的区域访问外部，线路同时作互备。在路由器上启用基于源和目的地的强大的策略路由和NAT，在启用包过滤和内容过滤等主要的安全功能；在防火墙启用外网口、内网口、DMZ区。

6  接入层的设计与规划

6.1  接入层的概述
   
     接入层不同与核心层，核心层主要关注与数据的传输，而接入层就是直接面对用户的层面，用户通过接如层的交换机连接进网络从而得到访问网络的功能，所以接入层直接关联到每一个用户，它在我们整个网络体系中也是一个重要组成部分。接入层在为用户提供最基本的接入功能时，还要考虑到负载冗余，安全管理等多方面因素。

6.2  接入层的负载冗余与链路备份

6.21  vrrp虚拟路由备份协议

 
 图6-1 VRRP应用
 VRRP给路由器组提供了一个冗余网关地址，它是一种容错协议，通过定义不同的组，不同优先级的路由器，它保证网络的主路由器失效时，可以及时的由备分来实现路由器来替代，从而保持通讯的连续性和可靠性。并可以在该协议上实现负载均衡等高级交换特性。当我们在接入层启用了VRRP协议对与用户来说，其网关设置为VRRP组的虚拟网关，正常情况下数据通过主交换机进行访问，当主交换机当掉时，线路转换到备份交换机，而这一过程是用户不可见的，第二点是对于不同的用户组可以设置不同的主备交换机，这样就达到一个互相备份的效果。
 
图6-2实际拓扑
S3760的配置：
SW1(config)#vlan 10
SW1(config)#int vlan 10
SW1(config-if)#ip add 192.168.10.1 255.255.255.0    配置VLAN10的IP
SW1(config-if)#standby 1 ip 192.168.10.250     配置VRRP组1虚拟地址 
SW1(config-if)#standby 1 ip priority 150         设置VRRP组1优先级
SW1(config-if)#standby 1 ip preempt              设置VRRP的强占特性

SW1(config)#Vlan 20
SW1(config-if)#ip add 192.168.20.1 255.255.255.0    配置VLAN10的IP
SW1(config-if)#standby 2 ip 192.168.20.250      配置VRRP组2虚拟地址 

SW1(config)#Vlan 30
SW1(config-if)#ip add 192.168.30.1 255.255.255.0  
SW1(config-if)#standby 3 ip 192.168.30.250       
SW1(config-if)#standby 3 ip priority 150       
SW1(config-if)#standby 3 ip preempt           

SW1(config)#Vlan 40
SW1(config-if)#ip add 192.168.40.1 255.255.255.0   
SW1(config-if)#standby 4 ip 192.168.40.250     

SW1#sh standby
If      Group State  Priority Preempt Interval Virtual IP      Auth
------- ----- ------ -------- ------- -------- --------------- --------
VL10    1     master 150      may     1        192.168.10.250
VL20    2     backup 100      may     1        192.168.20.250
VL30    3     master 150      may     1        192.168.30.250
VL40    4     backup 100      may     1        192.168.40.250

sw2#sh standby

If      Group State  Priority Preempt Interval Virtual IP      Auth
------- ----- ------ -------- ------- -------- --------------- --------
VL10    1     backup 100      may     1        192.168.10.250
VL20    2     master 150      may     1        192.168.20.250
VL30    3     backup 100      may     1        192.168.30.250
VL40    4     master 150      may     1        192.168.40.250

6.22  生成树协议
  
 每个网络中都会提到冗余的概念，因为当今的网络也不在仅仅局限与为用户提供有一个接人INTERNET的应用，更都情况下我们要去关注一个网络的可靠性和安全性几个方面，这就促使了STP协议的诞生，在没有开启STP的网络中往往只有一条链路，不具备灾难恢复的功能。而增加一条或者几条备份链路的时候又会造成广播风暴，MAC地址重复，MAC地址表不稳定的情况，STP的出现解决了这个问题，通过将某些端口置于阻塞状态就能防止冗余结构的网络拓扑中产生回路。
 STP有很多种，从最开始的802。1D到现在的MSTP
 802.1D 是最早得到Spanning Tree Protocol 协议。但是以太网的 STP 协议标准是在局域网广泛采用之前所定义的，设计目标是能够在 1 分钟内将冗余路径进行收敛，这对以太网的初期应用是足够的。
 但是当以太网发展到了今天，人们发现以太网应用不仅仅是小型的局域网，并且大量运用在大型的企业网络、园区网络和近年来兴起的城域网络。网络的规模比以往大得多，意味着网络的拓扑将会越来越复杂，同时用户对网络的可靠性和冗余性需求也比以往来得迫切。大量的网络设计采用了环形拓扑和星型拓扑的结构，或者是环形和星型的混合设计，人们发现在二层以太网链路上采用 802.1d的收敛越来越满足不了用户的需求: 在主干链路上希望有快速切换地功能、当PC机连入交换机希望快速地上网，针对传统的 STP 收敛慢这一弱点，一些网络设备供应商开发了针对性的 STP增强协议，而 IEEE 正是看到了这一广泛的需求，才致力于制定标准的 802.1w协议，这一协议针对的是传统 802.1d收敛慢而作的改进，它使得以太网的环路收敛得以在1秒到10秒之中完成，所以 802.1w 又被称为快速 STP（RSTP - Rapid Spanning Tree Protocol）。从某种意义上说，802.1w 只是 802.1d 的改进和补充，而非一个创新的技术。
 同时，由于目前三层交换机的大量应用和基于 802.1q协议的 VLAN 设计的需要，网络设计人员迫切需要能够针对某一个 VLAN 而制定的 STP 来独立完成这一虚拟网络的二层设计，从而保证不同虚拟网络之间不会有相互的干扰，这一需求也未在 802.1d 和 802.1q 协议中体现，所以在交换机实现 802.1q 的初始阶段，大部分厂商将整个交换机置于同一个 STP 进程之中，当然用户更希望当一个 VLAN 在发生环路的情况下导致端口被封锁的同时，这一端口的其他 VLAN 的通信不会被封锁。这就使以后大部分厂商开发了可在每一个 VLAN 中单独运行 STP 算法的协议。由于交换机资源的因素，如果在单台交换机上实现几千个 VLAN ，那么要运行几千个独立的 STP 算法显然会对设备的性能和资源提出严峻的挑战，并且由于要区分不同 VLAN 和 VLAN 之间的 STP 协议，各个厂商的做法尚未存在标准，设备的互操作性存在问题。针对以上这些因素，IEEE 着手制定 802.1s 的协议，目的是既能够实现同一台交换机内运行不同 STP 算法的协议，同时又考虑到可以将相同属性的 VLAN 归纳成组，在一个 VLAN 组内采用单一的 STP 算法，现在已有一些厂商实现了这一功能。
需要指出的是，802.1w 和 802.1s 的协议是可以共存的，在城域网络设计中，在利用 802.1s 来实现 VLAN 组设计的同时，可以将每个 VLAN 组内的 STP 采用 802.1w 的算法，从而发挥快速收敛的功效。
802.1d
stp状态
状态 数据传输 BPDU监听 BPDU发送 MAC表记录
阻塞 否 是 否 否
监听[选举时就在这个状态] 否 是 是   否
学习 否 是 是 是
转发 是 是 是 是
禁用 管理关闭
STP定时器
定时器 目的 默认时间
Hello[ROOT发出，其他SW接收后转发] 根交换机发送BPDU的间隔 2s
Forward delay 监听和学习的时间 15s
Max age[如果超够20S还没有的到ROOT发出的BPDU进行更新，SW就认为RP不可达开始寻找新的RP] BPDU储存的时间 20s
在STP网络中，收敛可能要持续30-50S！
收敛的步骤：
1选举ROOT
2选举RP（根端口）
3选举DP（指定端口）
选举ROOT（根战争）
 最开始启动的SWA会将自己的BID[
]放到根桥BID中通告出去，如果接受到这个BPDU[
]的SWB的优先级高于它就会把自己的BID放到根桥BID中并通告这个新的BPDU当，SWA收到后就会把SWB的BID放入根BID中进行通告，直到所有的SW都把ROOT的位置让给SWB。
  根桥的选举就完成了。
选举RP
     当根战争结束后。每个非ROOT SW开始选举根端口。谁到跟桥的开销最底谁就是根端口。（开销为端口到ROOT的路径开销[
]叠加）具体过程：
由ROOT发送的BPDU来确定自己的RP
*开销是通过交换机内部后才叠加
所以，SW1和SW2的FA1/1端口被选举为RP

图6-3STP原理
选举DP
最后SW会在每个网段上选举一个指定端口。
在网段1，2上：    SW1的FA1/1COST：0
                SW2的FA1/1COST：19
所以SW1的FA1/1成为DP，同理SW1的FA1/2为DP。
在网段3上：       SW2的FA1/2COST：19
                   SW3的FA1/2COST：19
这时通过他们的BID进行选择，谁的BID小就为DP
四拓扑变化时
 当一个SW发现拓扑变化，它会发送一个tca BPDU目的为ROOT。然后ROOT会向源发送一个tca BPDU,当SW收到这个包时就会在15S内让自己的MZC池超时（比默认5分钟快多了）
ROOT直到没收到TCN时就完成收敛

图6-4拓扑变化
802.1w RSTP

802.1w标准中对端口状态的定义有:1.丢弃(discarding).2.堵塞(blocking).3.转发(forwarding).丢弃状态,实际上就类似802.1d中监听,学习和禁用状态的集合.在802.1w中,根端口(root port,RP)和指定端口(designated port,DP)仍然得以保留;而堵塞端口被改进为备份端口(backup port,BP)替代端口(alternate port,AP).不过,生成树算法(STA)仍然是依据BPDU决定端口的角色.和802.1d中对RP的定义一样,到达根桥(root bridge)最近的端口即为RP.同样的,每个桥接网段上,通过比较BPDU,决定出谁是DP.一个桥接网段上只能有一个DP(同时出现两个的话就形成了层2环路).在802.1d中,非RP和DP的端口,它的状态就为堵塞状态,这种状态虽然不转发数据,但是仍然需要接收BPDU来保持处于堵塞状态.AP和BP同样也是这样.AP提供了到达根桥的替代路径,因此,一旦RP挂掉后,AP可以取代RP的位置.BP也提供了到达同一桥接网段以及AP所不能保证到根桥连接性的冗余链路.

图6-5RSTP原理
阻塞端口：1，替代端口：收到来自其他网桥较好的BPDU[对与不同网桥来的，是到根桥最好的路径，如果路径相同那优先级低，就是好的BPDU。对与来自本身的BPDU，因为每一个端口有自己的MAC所以，MAC小的优先]
          2，备份端口：收到自己的比较好BPDU

RSTP的收敛过程
 传统的802.1d标准里,STA是被动的等待层2网络的收敛(由于转发延迟的定义).对STP默认的计时器进行修改,可能又会导致STP的稳定性问题;而RSTP可以主动的将端口立即转变为转发状态,而无需通过调整计时器的方式去缩短收敛时间.为了能够达到这种目的,就出现了两个新的变量:边缘端口(edge port)和链路类型(link type).边缘端口(EP)的概念：
和CISCO中Port Fast特性非常相似.由于连接端工作站的端口,是不可能导致层2环路的,因此这类端口就没有必要经过监听和学习状态,从而可以直接转变为转发状态.但是和Port Fast不同的是,一旦EP收到了BPDU,它将立即转变为普通的RSTP端口

链路类型(link type)：
      RSTP快速转变为转发状态的这一特性,可以在EP和点到点链路上实现的.由于全双工操作的端口被认为是点到点型的链路;半双工端口被认为是共享型链路.因此RSTP会将全双工操作的端口当成是点到点链路,从而达到快速收敛.

图6-6 RSTP收敛
上图表示了RSTP收敛过程：
交换机A收到一个BPDU，知道P1口将成为根，所以它用一个同步过程来保证其所以端口都知道这一信息的更新
只要满足下面条件，一个端口就处于同步：
1处与阻塞状态
2 是边缘端口
首先P3为了同步，将状态改为阻塞，这时P2，P3，P4同步。然后，P1才能发送一个消息来响应根，当收到根的响应后，P1进入转发状态。而P3阻塞继续刚才P0的工作，给其他邻居进行建议：

图6-7下发机制
这种建议机制是非常快的，以为它不依赖于任何定时器。

RSTP的拓扑变化
 
   与802.1D不同，在RSTP中只有非边缘端口进入转发的状态的时候才会导致拓扑变化。这就意味着那些连接中断并没有被认为是拓扑变化，以就是说一个进入阻塞的端口不在发送TC。
   当RSTP检测到拓扑发生变化：
1在所用RD和ED上起用一个TCtimer,2倍与HELLO
2RSTP网桥刷新所用的关于这些端口的MAC（除了收到TC的端口）
3在所有RT和DT上发送TC
所以RSTP的TC扩展速度比STP快很多

图6-8TC过程
在802.1W中网桥每阁2秒发送一次BPDU，与STP不同的时，不管是否收到了ROOT的BPDU通告，网桥都会发送。如果3个HELLO时间里没收到邻居的信息就认为邻居链路出先问题。这样RSTP检测链路出错的能力比STP快的多。

图6-9检测过程
在种情况下，交换机A知道ROOT还在，与是发送BPDU给B，B收到后停止发送劣质BPDU并把连到交换机A上的端口设置为根端口。

802．1S MST简介

802.1s结合了PVST+和802.1q的优点,将多个VLAN映射到较少的STP实例.之前的PVST+的优点,可以实现STP的负载均衡,对CPU资源是个负担.而MST减少了不必要的STP的实例

.如下图,假设D1和D2分别为VLAN 1到500和VLAN 501到1000的根桥,如果用PVST+,就将有1000个STP的实例,但是实际上整个层2网络只有2个逻辑拓扑,所以优化办法是将STP的实例减少到2个,同时保留STP负载均衡的优点:

图6-10多实例

MSTP 把一台交换机的一个或多个vlan 划分为一个instance，有着相同instance 配置的交换机就组成一个域（MST region），运行独立的生成树（IST，internal spanning-tree）；
这个MST region 就相当于一个大的交换机，与其他MST region 再进行生成树算法运算，得出一个整体的生成树，称为CST（common spanning tree）。

6-11多区划分
综上所述，MST有着更好的解决方案，所以在对园区网的设计中，选择的是MST的方式。
Sw1(config)#spanning-tree                       开启生成树
Sw1(config)#spanning-tree mode mstp       生成树类型为多生成树
Sw1(config)#spanning-tree mst configuration       配置多生成树
Sw1(config-mst)#instance 1 VLAN 10,30    将vlan10、30放入实例1                  
Sw1(config-mst)#revision 1
Sw1(config-mst)#instance 2 VLAN 20,40
Sw1(config-mst)#revision 1
SW1(config)#spanning-tree mst 1 priority 4096    
Sw1(config)#spanning-tree mst 2 priority 8192    
指定SW1为实例1的根桥！
SW1(config)#spanning-tree mst 0 priority 4096
还要注意的一点的是我们的VLAN1管理VLAN默认属于MST 0，所以在配置的时候还应该把它考虑进去，否则它有可能选择一个性能不太好的SW做为自己的根桥！

Sw2(config)#spanning-tree                       开启生成树
Sw2(config)#spanning-tree mode mstp       生成树类型为多生成树
Sw2(config)#spanning-tree mst configuration       配置多生成树
Sw2(config-mst)#instance 1 VLAN 10,30    将vlan10、30放入实例1                  
Sw2(config-mst)#revision 1
Sw2(config-mst)#instance 2 VLAN 20,40
Sw2(config-mst)#revision 1
SW2(config)#spanning-tree mst 1 priority 8192    
Sw2(config)#spanning-tree mst 2 priority 4096    
指定SW2为实例2的根桥！

21SW1,21SW2配置如下：
21sw(config)#spanning-tree                       开启生成树
21sw(config)#spanning-tree mode mstp       生成树类型为多生成树
21sw(config)#spanning-tree mst configuration       配置多生成树
21sw(config-mst)#instance 1 VLAN 10,30    将vlan10、30放入实例1                  
21sw(config-mst)#revision 1
21sw(config-mst)#instance 2 VLAN 20,40
21sw(config-mst)#revision 1

7  认证管理系统

7.1  园区接入网面临的问题与挑战
  
 由于校园网中用户数量众多，难免出现盗用他人IP 地址和用户账号的行为，这就大大 增加了学校网络管理的难度，IP地址冲突不断、用户无法正常上网，也给学校计费、缴费工作带来麻烦。
由于某些计费软件功能相对简单，没有对同一账号同时登录次数进行限制，使得多个用户可以使用一个账号上网，造成了学校资费流失。
7.2  SAM解决方案
接入要可控
必须做到认证入网，以及保证接入的公平性（只有申请开户的合法用户才可接入）
系统要安全
做到准确有效的身份认证、快速的审计定位（尤其在病毒泛滥，发生网络攻击的情况下，要能定位到个人）。
用户行为要规范
屏蔽用户私设代理服务器，保障运营收入
禁止用户在认证后拨号接入外网，保障内网安全
7.3  802.1x原理
特点：
只关注端口的状态，通过认证后端口为开启。没有通过认证时端口为关闭。认证的结果基于端口的开闭而不涉及其他方面，是各种认证技术中最简化的一种。
802．1x技术的操作粒度是一个端口，当合法用户接入这个端口后，这个端口就为开启状态，这时其它非法用户通过这个端口时不需要认证就可以接入网络。（对于无线网络来说就不存在这个问题，认证后建立起来的信道是被独占的）。
当认证完成后，ip数据包是封装在普通的层二帧上传输的。认证仅在接入的时候进行完成后不再进行合法性的检查。
基于这种协议本身所带来的缺陷，在某些环境中，将造成安全问题。

 802．1x的端口控制流程

图7-1802．1x的端口控制流程

任何一个加入802. 1X的接入设备的端口都会被逻辑的划分为2个端口：
受控端口：只有得到授权后才开始传输用户业务数据
非受控端口：不管是否得到授权，都可以传输数据但是只传输EAP认证报文
在非授权的情况下受控端口可以设定受控方向，一般情况下是默认的双向受控

工作机制：
802．1x利用EAP协议作为客户端和认证端交换信息的手段
在客户端到设备端之间EAP报文承载在LAN上进行交换（EAPOL）。在设备端与服务器端之间EAP可以承载在RADIUS报文上（EAPOR）或者PAP和CHAP

认证的过程：

图7-2认证的过程
7．4  SAM原理

基于802.1x
 RG-SAM是一套认证计费系统，它主要作用是对接入网络的用户实施认证、授权、计费（Authentication，Authorization，Accounting，即通常所说的3A。）。与普通的认证计费软件不同的是，RG-SAM提供了各种增强功能，管理员可以设置各种规则。认证的用户，只有符合既定规则，才能通过认证。

RG-SAM基于IEEE-802.1X标准与RADIUS协议进行开发，并在这两个协议的基础上进行了扩展，加入了很多我司独有的特色功能。

结构上RG-SAM主要由3部分构成：
Supplicant ： 即客户端程序，简称Su
认证交换机：  即NAS设备，支持802.1x端口认证功能的交换机
SAM服务端软件： 即RADIUS Server。
如前文所述，802.1X机制中有3个重要角色：恳求者、认证者和认证服务器，在RG-SAM认证系统中分别对应了SU客户端、21等接入交换机以及RG-SAM认证服务器。

图7-3结构图
相比PPPoE等传统的认证手段，802.1X的最大优势在于做到了“分布控制，集中仲裁”。在PPPoE和WEB认证等认证系统中，对用户的控制、验证和数据报文转发都是由一台中央的BAS（宽带接入服务器）集中进行，所有用户的所有数据包都要由BAS一一进行验证，对服务器的性能带宽要求很高；而在802.1X体系中，对用户的控制分散到下层的接入交换机执行，认证服务器只需要根据接入交换机提交上来的用户信息进行验证，仲裁该用户是否有权使用网络，并将仲裁结果下发给接入交换机执行即可，用户认证之后的数据报文不需要交由认证服务器处理，大大减轻了认证服务器的负担，对用户的控制也更加简单有效。

EAP与RADIUS在802.1X中的应用：

802.1X只是提供了一个认证系统的整体框架，在实际的应用环境中还需要具体的认证协议配合。在大多数的802.1X认证系统中，客户端和认证者之间使用EAPOL协议，认证者和认证服务器之间使用RADIUS协议，在我司的RG-SAM认证系统中也是如此。

对接入用户的控制：

 在用户的认证通过之前，认证者（即交换机）只允许用于认证的EAP报文通过端口发送；用户认证通过之后，认证者开放对端口的限制，允许该用户的所有报文通过端口发送，用户可以正常访问网络。

 RG-SAM认证系统中对用户的访问控制是基于MAC地址实现的。认证者（即交换机）将MAC地址作为区分不同用户的依据，如果一个交换机的物理端口启用了了802.1X认证，则该端口MAC地址的学习将会受到控制，只有通过认证的用户，其MAC地址才会被添加到交换机端口转发表中，该用户的报文才会被交换机转发。这就是所谓的“基于MAC地址的逻辑端口”被打开。这样即使有多个用户接入在同一个物理端口上，也不会因为其中一个用户通过认证，造成该端口下所有用户都可以不受限制的访问网络。

802.1X认证过程：

在一个典型的认证过程中，操作步骤如下：
 
认证阶段：
1客户端SU以组播方式发送一个EAP报文发起认证过程（协议标准组播地址为01-80-C2-00-00-03，锐捷私有组播地址为01-D0-F8-00-00-03）。
2交换机收到该报文后，发送一个EAP-Request报文响应客户端的认证请求，要求用户提供用户名信息。
3客户端收到EAP-Request之后响应一个EAP-Response报文，将用户名封装在EAP报文中发给交换机。
4交换机将客户端送来的EAP-Request报文与自己的交换机IP、端口等相关信息一起封装在RADIUS Access-Request报文中发给认证服务器。
5认证服务器收到RADIUS Access-Request报文后进行验证，如果该用户的相关信息有效，则对该用户发起一次认证挑战（RADIUS Access-Challenge），要求用户提供密码。
6交换机收到这条RADIUS Access-Challenge报文后，将挑战请求用一条EAP-Challenge Request转发给客户端。
7客户端接到挑战请求后，将用户密码进行加密处理，封装在EAP-Challenge Response中返回给交换机。
8交换机将用户的EAP-Challenge Response封装为RADIUS Access-Request报文转发给认证服务器。
9认证服务器对用户的密码进行验证，如果验证失败，服务器将返回一条RADIUS Access-Reject报文，拒绝用户的认证请求；如果验证通过，服务器则发送一条RADIUS Access-Accept报文给交换机。
10交换机在接到认证服务器发来的RADIUS Access-Accept之后，解除对客户端的访问控制，同时发送一条EAP-Success报文给客户端通知其认证已经成功。
 
图7-4交换过程
记账阶段：
交换机向认证服务器发送一条RADIUS Accounting-Request（Start）报文，申请对该用户进行记账。
认证服务器接到请求后开始记账，并向交换机返回一条RADIUS Accounting-Response报文，告知记账操作已经开始。
下线阶段：
用户下线时，客户端向交换机发送一条EAPOL-Logoff报文，申请开始下线操作。
交换机向认证服务器发送RADIUS Accounting-Request（Stop）请求，申请对该用户停止记账。
认证服务器收到请求后停止记账，同时响应一条RADIUS Accounting-Response报文。
交换机发送一条EAPOL Failure消息给客户端提示下线成功，并打开对该用户的访问控制。
 更详细的实现机制请参阅相关标准论文：IEEE 802.1X - 2004，RFC 2865，RFC 2866，RFC2869。

EAP和EAPOL报文的特点
 EAP（在802.1X体系中是EAPOL）是一个二层协议，在802.1X认证系统中，认证者一般是由部署在二层网络边界的接入交换机担任，客户端和认证交换机之间的协议信息交互不需要经过三层，也就是说用户在认证时不需要有IP地址便可进行认证，可以在认证通过后再通过DHCP或是服务器下发的方式来给用户分配IP地址。
 作为一个认证协议，EAP报文的格式很简单，由三个必须的标识位Code、Identifier、Length和若干属性字段组成。
 （EAP报文格式）
 Code值标识了EAP报文的类型，在802.1X认证过程中常见的几种EAP报文如下：
EAPOL-Start：由客户端发起，请求开始认证。认证交换机在接受到该报文后启动认证过程。
EAP-Request/Response：Request由认证交换机发给客户端，Response相反。一次有效的认证信息交互需要由一对Request/Response组成，在一个认证过程中，认证交换机和客户端可能要经历多次的认证信息交互。一对Request和Response报文必须有相同的Identifier值，否则视为无效。
EAP-Success/Failure：由认证交换机发给客户端，通知其认证是否通过。需要注意的是，用户主动申请下线的操作，也是由认证交换机发送的EAP-Failure来结束的。另外，即使客户端没有主动申请，当其收到由认证交换机发来的EAP-Failure报文后也会视为自己已经下线，并按照客户端的相关设置进行重认证。
EAPOL-Logoff：申请下线报文，由客户端主动发起。认证交换机接到此消息后开始进行用户下线操作。在用户的认证通过之前，除了EAP报文之外，用户的所有报文都会被认证交换机丢弃。
 8  全局安全部署

8.1  全局安全的概述
  
随着网络的发展，数据在网络上传输的安全性得到越来越多的重视和关注，而网络在不断发展的过程中也出现了很多不可避免的问题，其中最为重要的就是安全问题，各种病毒木马在网络中泛滥，严重影响了正常用户的网络访问应用，在网络发展初期，并没有什么安全问题，带宽和性能是最主要的问题，过低的网络连接极大地限制了业务的发展，但经过以太网30多年的发展，网络的速率从3M发展到现在的万兆，还有未来的100G，虽然带宽和性能作为一种资源永远是无法满足的，但如果现在让我们在安全与带宽之间做一个选择，我想我们所有的人都会选择安全，下一代网络的基石是安全，否则带宽和性能的优化带来的是更加强大的破坏力，对网络世界是个灾难。
      至少从现在的眼光来看，安全与网络，就如同病毒与生命，没有完全杜绝的可能所以新的一代校园的建设应该把建立安全可靠的网络放在首位。

8.2  网络安全风险分析

    首先是用户行为风险，目前以太网的用户接入和访问是无控制，这是网络风险的根源，如果我们可以保证接入用户的身份和系统安全，用户的网络访问处于管理员的控制和监控中，那网络的安全问题就会在一个根本的层面极大地减少。
     然后是网络威胁风险，当我们无法做到用户行为的严格控制，网络随时可能受到重大威胁，其中最主要的是安全漏洞引起的问题，前文提到公安部调查报告显示中国7３％的安全事件都是软件漏洞所导致的。
最后，针对网络安全，我们拥有大量的安全防护手段，但现实是，这些防护技术过于单一，同时被动安全技术对出现的问题往往无法及时处理，对未来许多未知的安全问题更是束手无策。

8.3  GSN全局解决方案
  
   GSN安全可信网络的工作机制分为五大功能模块，
首先是用户入网强制安全，不同安全级别的用户提供不同的网络接入权限。
其次是自动安全防御，安全平台和传输平台监控安全事件，系统平台自动下发相应的安全策略然后，是自动系统修复，系统不安全，被强行接入修复区域自动修复，修复完毕后恢复接入指定区域再然后，是自动网络行为与策略学习，
最后，是自动安全策略变更，不同的安全环境，自动启用不同的安全策略，适应不同环境的安全需求。

8.3.1  GSN系统组成

RG-SAM：锐捷身份认证系统，对接入网络的用户进行身份识别。
RG-SMP：锐捷安全管理平台，GSN的核心组件，担负对全网的执行统一的安全策略管理和日志汇总分析的任务。
RG-SU：锐捷安全认证客户端，执行入网时的认证操作，对用户的主机完整性进行评估，进行修复程序自动下发等功能。
RG-IDS：锐捷入侵检测系统，对网络中发生的安全事件进行检测收集，并反馈至RG-SMP进行统一处理。
RG-S2100:系列安全接入交换机：负责对接入网络的用户进行访问控制，并执行RG-SMP下发的安全策略

8.32  GSN系统的工作原理

8.3.3  ACL的应用
    访问列表为我们提供了一种对网络访问进行有效管理的方法，通过访问列表，我们可以设置允许或拒绝数据包通过路由器，或者允许或者拒绝具体的某些端口进行访问和使用，如果满足条件则执行相应的操作，放行这个包或者放弃这个包。我们通过这些设置来满足实际网络的灵活需求，从而达到设置网络安全策略，防止网络中的敏感设备受到非授权访问的情况。
比如在我们实际校园环境中，我们需要对校园网环境中重要的资源提供限制性的保护措施，例如学校的重要部门，如财务室，教务处的数据，首先要防止来自内网的风险，我们可以做出相应的措施，防止来自学生宿舍的网络地址对这些重要资源进行访问，或者指定只允许某些特定的地址能够访问这些敏感资源，那么我们就可以做到杜绝这方面存在的隐患。同时我们也需要注意服务器和其他网络设备的安全，这时我们也可以通过访问列表来实现，很多时候我们希望服务器上某些资源只对校内特定的一部分用户开放，那么可以设置相应的控制列表来控制，如想通过对FTP服务器资源的限制性访问，只需要做关于FTP服务器21号端口的访问控制便能达到目的，如想防止用户非法telnet到校园网的路由器上，那么要创建一个访问列表，列出允许telnet到路由器的计算机，然后应用到VTY即可。
 在具体实现过程中从技术上来说我们需要了解到ACL分为两种类型,他们分别是标准访问列表(Standard access lists)和扩展访问列表（Extends access lists）前者在过滤网络的时候只使用IP数据报的源地址，那么在使用这种访问列表的情况下它做出允许或者拒绝这个决定完全是依赖于源IP地址，它无法区分具体的流量类型。而扩展访问列表则可以提供更细的决定，它可以具体到端口，从而精确到某一个服务，比如对WEB,FTP的访问等，给我们网络的策略提供了更细的控制手段。我们利用这种访问列表进行协议级的控制以达到对网络一个有效的管理。标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一般放于近源端的路由器上。
 
  图8-1ACL
acls和QOSacls
ACL用与控制哪些数据流允许从交换机通过，QOS策略在这些允许通过的数据流中再根据QOSACLS进行优先级分类和处理。

一个ACLS由很多ACE组成(access control entry)
应用接口类型：
 a)二层接口 switch port
 b)二层接口 aggregate port
 c)三层接口 routed port
 d)三层接口 L3 arggregate port
 e)交换机虚拟接口 SVI(switch virtual interface)
 除了e可同时关联一个输出ACL，其他只能关联一个输入ACL
 
 s21下面的ACL配置注意：
 a) 过滤域模板限制：
    过滤域指的是报文是通过目的IP，还是源IP和TCP进行识别，分类。
 EX：permit ip x.x.x.x x.x.x.x any any
     permit tcp any host x.x.x.x eq www 
    这就是2条不同的过滤域模板
  1在21上每一组(每8个静态端口1~8，9~16)端口支持11个过滤域模板
  2每一个动态模块上可支持11个过滤域模板
  3如果交换机做了IP+MAC绑定，可支持的过滤域模板减小到8个
 b)ACE的限制
    每有一组最多支持224个ACE
    每个动态模块最多110个ACE
 ACE所占用的资源和系统中其他一些功能是共享的，当和其他功能一起使用的时候ACE支持数就回减小
  1在IP，MAC绑定中，每一条占用一个硬件表项，IP+MAC占用二条
  2使用了端口保护功能后每个端口将最多占用24条硬件资源
   S2126公式为：使用了端口保护的数目-1
   s2150公式为：一个区间使用了发保护的数目-1
  3使用了802.1x而且认证模式为IP授权为非DISABLE时。每一个认证用户占有一个硬件资源
 
 控制列表
  
   1.arp为系统保留不能通过ACL进行控制
   2.地址绑定，端口保护，源端口检查和ACL共用11个摸版
  
 配置ACLS：
   1.IP ACLs
     过滤IP报文，包括TCP和UDP
     1)Standard IP access lists标准：使用源IP地址进行匹配
     2)Extended IP access lists扩展：使用源IP地址，目的IP地址和可选的协议类型为匹配条件
   2.Ethernet ACLs
     用于过滤二层数据流
     MAC Extended access lists(MAC扩展控制列表)：使用源，目的，MAC地址以及可选的以太网类型为匹配条件。
   3.Expert ACLs
     用与跨层的过滤应用2到3，2到4，2到3，4
     Expert Extended access lists(专家访问控制列表)：使用源，目的，MAC地址，以太网类型。源IP地址，目的IP地址作为可选的协议类型为匹配条件。
 
 配置EX：
 
 time-range:
 sw(config)#time-range {name}
 sw(config-time-range)absolute {start xxx[end xxx]|end xxx}
 sw(config-time-range)#periodic day-of-the-week hh:mm to [day-of-the-week]hh:mm
 !一周中的某天
 sw(config-time-range)#periodic {weekdays|weekend|daily} hh:mm to hh:mm
 !                                1~5      6~7    1~7
 
 
 
 1)Standard IP access lists：
 SW(config)#ip access-lists standard {name}
 SW(config-std-nacl)#permit {source source-wildcard|source|any}
 SW(config-std-nacl)#deny {source source-wildcard|source|any}
 
 
 
 2)Extended IP access lists
 SW(config)#ip access-lists extended {name}
 SW(config-std-nacl)#{permit|deny} protocol {source source-wildcard|host source|any} eq xx
                     {destination destination-wildcard|host destination|any} eq xx
                     [time-range time-range-name]
 
 
 3)MAC Extended access lists
 sw(config)#MAC access lists {name}
 sw(config-ext-macl)#{permit|deny} {any|host source mac-add}{any|host destination mac-add}
                     [arrp|appletalk|etype-6000....][time-range time-range-name]
 
 
 4)Expert access lists
 sw(config)#expert access lists extended
            {permit|deny}{}

8.3.4  端口安全
 
 锐捷的交换设备定义了对端口保护的功能，我们能定义允许的最大MAC地址访问数，或者静态的定义特定的MAC地址。遇到不合法的MAC地址交换机采取的策略。
 配置举例
Switchport port-security
Switchport port-security maximum；定义允许的地址范围，默认为1。
Switchport port-security mac-address；设置特定的MAC地址。
Switchport port-security violation {shutdown|restrict\protect}；定义非法操作时交换机的端口动作。
端口出口限速
  QOS基于入口限速
  端口限速可控制一个端口的出口带宽
  SW(config-if)#rate-control xx(100M:1~100.1000M:1~1000)
  sh rate-control  xx

风暴控制
  当网络上接受到过量的广播，未知多播或者单播时，网络就会形成数据包风暴，这会导致网络变慢和报文传输超时。缺省情况下该功能在S21上已经打开，速率为端口的10%

 SW(config-if)#storm-control {broadcast|multicast|unicast}
 SW(config-if)#storm-control level xxx(1~100%)
1.AP口不允许设置风暴控制
2.在S21中，每8个100M口为有一个BLOCK，每个1000M口为一个BLOCK
  风暴控制是基于BLOCK的，所以一个开通，整个BLOCK都回受其影响

port blocking
   可以对广播/未名多播/未名单播进行控制
   SW(config-if)#SW block {broadcast|multicast|unicast}

protected port
   保护口之间不能进行通信（只能经过三层设备转发），可以与非保护口进行通信
对于S2150G交换机，其端口区间分为2部分：1模块+0~24端口，2模块+25~48端口，保护口只在区间里有效s2126g,s2150g支持对AP进行保护口设置
  SW(config-if)#sw protected

端口安全(不能和ACL一起使用)
违例处理：当打开安全功能时，端口就会自动去学习绑定(自动学习不会绑定IP地址，开了IP绑定之后端口不会再自动学习)

  protect: 安全地址满了之后，端口丢弃未知名地址的包
  restrict:当违例产生发生一个TRAP通知
  shutown:当违例产生，关闭端口产生一个TRAP通知
一个固定接口上有20个绑定地址，一个模块接口上最多110个
   
端口安全的限制：
~不能为AP
~不能为SPAN的目的端口
~只能是access port
~不能为802.1x端口

安全地址分3种：
单MAC，单IP，IP+MAC。只有一种生效。单MAC优先最低

EX1：
SW(config-if)#sw port-security
SW(config-if)#sw port-security maximum xx (可绑定多少地址)
SW(config-if)#sw port-security violation {protect|restrict|shutown}(定义违例处理方式)
SW(config-if)#sw port-security mac xx:xx:xx:xx:xx:xx  ip-address x.x.x.x(定义条目)
SW(config-if)#sw port-security aging time xx(自动学习到的老化时间)
SW(config-if)#sw port-security aging static(同时将老化时间应用到手工和自动学习的地址中)

配置安全地址的ARP检查：
  缺省情况下安全地址只检查IP报文，如果要进行ARP检查可以通过PORT-SECUIRTY ARP CHECK来实现
s2126s不支持
sw(config)#port-security arp-check [cpu]
1.打开此功能后所用端口的安全地址条目减半
2.对已经存在的安全地址不生效
3.当IP+MAC条目较多时,打开ARP-check对交换机CPU影响很大

SHOW:
1  sh port-security interface xx
2  sh port-security address
3  sh port-security {intxx} address
4  sh port-security
在同一个通到上不能同时使用ACLS和端口安全

9  NAT网络地址转换

9.1  NAT概述

简要的说NAT就是一个对IP地址进行映射的工具其最初的目的就是用较少的公有地址代表多数私有地址来缓减IPV4空间耗尽的速度但是随着NAT技术的广泛应用它在服务器负载均衡等方面也体现出很大的价值
NAT有三种类型：静态NAT（staticNAT）、动态NAT（pooledNAT）和端口NAT（PAT）。

其中静态NAT设置起来最为简单，内部网络中的每个主机都被永久映射成 外部网络中的某个合法的地址,多用于服务器。

而NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络,多用于网络中的工作站。

PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
9.2  原理结构

图9-1NAT原理图
通过又少数地址来翻译内部的多数地址，达到节省IP地址的目的。

9.3  配置

9.31  静态NAT配置

Router(config)#ip nat inside source static local-address global-address
定义内部源地址静态转换关系
Router(config)# interface interface-type interface-number
Router(config-if)#ip nat inside
定义该接口连接内部网络
Router(config)# interface interface-type interface-number
Router(config-if)#ip nat outside
定义接口连接外部网络

9.32  动态NAT配置

Router(config)#ip nat pool address-pool start-address end-address {netmask mask | prefix-length prefix-length}
定义全局IP地址池
Router(config)#access-list access-list-number permit ip-address wildcard
定义访问列表，只有匹配该列表的地址才转换
Router(config)#ip nat inside sourcelist access-list-number pool address-pool
定义内部源地址动态转换关系
Router(config)# interface interface-type interface-number
Router(config-if)#ip nat inside
定义该接口连接内部网络
Router(config)# interface interface-type interface-number
Router(config-if)#ip nat outside
定义接口连接外部网络

9.3.3  NAPT配置

Router(config)#ip nat pool address-pool start-address end-address {netmask mask | prefix-length prefix-length}
定义全局IP地址池，对于NAPT，一般就定义一个IP地址
Router(config)#access-list access-list-number permit ip-address wildcard
定义访问列表，只有匹配该列表的地址才转换
Router(config)#ip nat inside sourcelist access-list-number pool address-pool  [interface interface-type interface-number]} overload
定义内部源地址动态转换关系
Router(config-if)#ip nat inside
定义该接口连接内部网络
Router(config-if)#ip nat outside
定义接口连接外部网络

10  虚拟安全专用网（VPN）

10.1  VPN概述
  
 虚拟专用网(virtual private network)是一种在公用网络上通过创建隧道，封装数据模拟的一种私有专用链路。隧道起一个提供逻辑上点对点连接的作用，从隧道的一端到另外一端支持数据身份验证和加密。由于数据本身也要进行加密，所以即使通过公共网络，它仍然是安全的，因为即便数据包在通过网络结点时被拦截（如经过服务器时）但只要拦截者没有密钥。就无法查看包的内容。
从内容上来说VPN的连接主要可以分为两个部分，即隧道的建立和数据的加密，在第2层上常见的隧道协议包括PPTP（Point to Point Tunneling Protocol）点对点隧道协议，还有L2TP(Layer2 Tunneling Protocol)第二层隧道协议，L2TP隧道能够提供ATM和FRAME RELAY上的隧道，而且由于不依赖IP协议，它还可以支持不止一个连接，那么一般的网络设备如路由器等大多支持这个协议。在第三层上创建的隧道是基于IP的虚拟连接，这些连接通过收发IP数据包实现，这个抱被封装在由IETF（Internet Engineering Task Force）指定的协议包装之内。包装使用IP sec，IKE，以及身份验证和加密方法，如MD5，DES，以及SHA。数据加密使用的加密数据协议有MPPE,IPsec,VPNd,SSH.. IP sec可以与L2TP一起使用，这个时候L2TP建立隧道，IPsec加密数据，这种形式下IP sec运行于传输模式。
 那么采用VPN技术是基于以下的一些考虑，首先大学的各个校区之间存在一个联系，分校区和校本部之间存在数据传输的业务需求，学校的重要信息为了统一管理和维护有时需要存放在总部的机房的数据库和服务器中，比如学生的档案信息，学籍信息，学生在学校网络上填写的各种考试报名表，如果这些是在分校区进行的话都需要数据跨越校区查询。还有在大学行政办公趋于无纸化之后，各个校区之间内部信息我们不希望被外界了解。 还有各个学期学校财务信息的汇总，财务数据库同步，如果我们在公网上直接传输这些信息，无疑会带来巨大的风险，如果使用专线则成本过高，也是不现实的。所以我们在这里引入VPN技术，可以通过在学校各个分部的出口路由器上使用网关对网关形式的双向VPN连接，来实现跨公网进行保密传输的目的。
那么另外一个方面，我们网络在投入运行后的维护过程中，如果出现故障，我们希望维护人员能够第一时间尽快解决问题，即使不在现场，这个时候可以通过在设置VPN服务器，让维护人员在外地创建一个VPN的客户端连接，远程的连接到学校内的VPN服务器从而进行相应的远程操作维护。可以在不损害网络安全性的情况下即使可靠的解决问题。

10.2  VPN的种类

1．L2F
2．PPTP
3．L2TP
4．IPSEC+L2TP
5．MPLS+VPN
在对于校园网的VPN应用是根据用户需求来进行选择的，在校园网中VPN的应用主要是在于外部接入学校的资源和分校对联2种情况，所以选择了PPTP和L2TP+IPSEC的方式。

10.3  PPTP的原理及其应用

图10-3pptp
 PPTP是一种建立隧道的技术,由于是将私有数据用第二层协议PPP来封装的,因此被称为2层VPN技术.
 先将私有网络数据加上个PPP头部，然后再加上GRE头(见后面GRE介绍),最后再加上一个IP头.
 这样的话,可以通过最后加上的ip头从公网路由到对端设备,对端设备收到后,再逐一进行拆包,直到拆去PPP头部,从而实现私有网络的数据在公网上的传送.
 因为数据包在公网上路由的时候,公网上的路由器只是拆包到第三层,也就是它只看你的IP层信息,然后再进行路由,它并不关心你数据包里面的东西,而你的数据包里面装着私有网络的数据,公网路由器并不知道,只有数据包到了对端目的地路由器,由于都起用了同样的VPN技术,该路由器再进行拆包,将私有网络的数据包还原,再根据私有网络的数据包的私有地址,将该数据包发送到正确的目的地.

1)PPTP连接控制采用TCP
2)PPTP通过隧道转发PPP帧
3)PPP帧通过增强的GRE进行传输
PPTP在远程接入用户与PAC之间提供了2条不同的通信信道
1)控制连接/信道：用与建立终止会话以及执行错误报告和链路参数配置等功能
2)数据隧道：用与客户和PAC之间转发PPP帧

PPTP控制信道的建立
要通过隧道在PNS和PAC之间建立用户PPP会话，必须首先建立控制信道。
1。PNS通过发送一条目的端口为1723的TCP连接发起
1.SCCRQ 开始控制连接请求   7.OCRQ 呼出请求
2.SCCRP 开始控制连接应答   8.OCRP 呼出应答
3.stopCCRQ
4.StopCCRP
======PNS=======                              =======PAC========
     1-SCCRQ           ===========================》
          《===========================       2-SCCRP  指出控制连接建立成功或发生了错误

PPTP会话的建立
控制连接建立成功后，远程接入用户向PAC发送一条OCRQ消息，指明自己想在PPTP隧道中建立一个PPP会话
在自发模式中一个隧道只有一个会话
======PNS=======                              =======PAC========
     7-OCRQ          ===========================》
          《===========================       8-OCRP  指出会话建立是否成功

PPP协商和帧转发
.LCP协商
.PPP协商
.NCP协商
和直接相连的PPP对等体是一样的，完成后就开始PPP帧转发
在远程接入客户/PNS和PAC之间传输的PPP帧是被封装成增强的GRE分组，通过数据通道进行转发
增强的GRE与常规的GRT的区别在于提供了拥塞和流量控制功能

PPTP隧道维护
PPTP还提供了一种通过控制信道运行的存活机制。当远程接入客户/PNS和PAC之间发生连接性故障时，该存活机制让控制连接能够及时的被关闭。
控制机制使用回应请求和回应应答消息。
原理是当60S内控制信道上没有任何活动，将发送一条回应请求消息，如果60S内没有收到来自于对等体的回应应答消息，控制信道将被终止。

======PNS=======                              =======PAC========
   ECHO_REQUEST       ===========================》
          《===========================      ECHO_REPLY

PPTP会话和控制信道的终止
如果远程接入客户/PNS和PAC之间想要终止PPTP隧道
1)由远程接入客户/PNS发起
首先要拆除呼叫(会话)，然后拆除连接控制。
======PNS=======                              =======PAC========
  CCRQ(拆除请求)==========================》
                《==========================  CDN(断开通知)                 会话终止阶段
---------------------------------------------------------------------------------------------
              《===========================      5-stopCCRQ
4-stopCCRP     ===========================》                               控制连接终止阶段
---------------------------------------------------------------------------------------------
2)PAC发起

《==========================  CDN(断开通知)                 会话终止阶段
---------------------------------------------------------------------------------------------
              《===========================      5-stopCCRQ
4-stopCCRP     ===========================》                               控制连接终止阶段
---------------------------------------------------------------------------------------------

1)全局启用vpdn 
vpdn enable   启用vpdn
2)配置vpdn组
vpdn-gourp 1
  accept-dialin                允许拨入让设备能接受入站的VPDN连接
  protolcol pptp               指定VPDN用的协议
  virtual-template 1           指定应用虚拟接入接口(远程连接到PAC时自动创建的)端接入站的PPP连                                 接(所有的虚连接都也它为模版)
3)配置虚拟模版
int virtual-template 1
    ip unnumbered {fa|lo|xx}               为虚拟模版关联IP可以节省IP最好用lo接口
    peer default ip address {locoal|dhcp}  为接入到PAC的远程主机分配地址，可以用本地的地址池或                                            DHCP动态分配
    ppp authentication {pap|chap}          选择PPP验证方式
ip local pool {name}  {开始IP} {结束IP}   分配的IP决定同时容纳的远程连接数

总结
 
 
 校园网设计与建设总共面临有7大类的问题与挑战。但是之间是有思路的。
1、先是建设内部网，最主要的是骨干网技术与架构的选择问题（ 接入网即接入层是比较简单的，所以不单独列出来。）
2、内部网建设好了之后，接下来就是校园网如何出去，当前各大高校都有多个出口线路，多个出口如何设计以及设备如何选择成为比较关心的问题。
3、网络的内部和出口的基础平台搭建好后，网络的安全就成为了最主要的问题。安全打头，安全放在第一位。
4、网络平台搭建好了，安全有了保障后，持续要进行的就是运营与管理的问题。
在本论文中从上面几方面分别讲到了校园的设计和建设。

参考文献

[1]（美）赫顿 兰吉巴《 CCDP自学指南：设计 Cisco 网络体系架构》人民邮电出版社2006-6
[2]（美）弗鲁姆《组建Cisco多层交换网络》人民邮电出版社2006年06月
[3]（美）巴恩斯，（美）萨坎达 著〈Cisco局域网交换基础〉人民邮电出版社2005年09月
[4]（美）Jeff Doyle 著 TCP/IP路由技术（第一卷） 人民邮电出版社2003年03月
[5] （美）罗 等著 第二层VPN体系结构     人民邮电出版社  2004年05月
[6] 黄叔平 杨一平主编〈计算机网络工程教程》  清华大学出版社  1999年7月
[7] 王利等编著《计算机网络实用教程》  清华大学出版社  1999年12月第1版

相关论文