配置规划实例

                           　　　　　　　目     录
1 网络设计方案 4
2 网络设备编码规则 4
2.1 网络设备编码规则 4
2.2 具体设备编码 6
3 VLAN规划 6
3.1 VLAN的划分原则 6
3.2 VLAN ID的规划 8
3.3 VLAN的命名 8
4 IP地址规划 8
4.1 西安电子科技大学IP地址使用现状 8
4.2 IP地址分配原则 9
4.3 VLAN IP地址分配 9
5 GEC的配置 15
6 路由策略 16
7 HSRP配置 16
7.1 HSRP的配置规则 17
8 安全设置策略 18
8.1 访问控制列表（ACCESS-LIST） 18
8.2 防火墙 19
8.3 网络管理的安全策略 19
8.4 路由协议的安全 20
8.5 网络设备安全 20
9 网络管理配置 22
  
1 网络设计方案
网络拓扑结构如下图所示：
2 网络设备编码规则
2.1 网络设备编码规则
西安电子科技大学网络设备编码采取统一的编码规则，编码要能反映设备的位置和设备的类型。设备编码共分4个部分：
            X（N/M）—Y—Z
 其中X为设备安装地点标识；
 Y为设备型号编码；
 Z表示相同位置、相同型号设备序号；
 N/M为安装地点设备间号。
 X为设备安装地点标识：
设备安装地点 标识
网络中心 WLZX
**#学生公寓 X-*#XSGY
院系综合楼 X-YXZHL
工程中心 X-GCZX
食堂 x-ST
 Y指设备的型号编码
设备型号                编码
CISCO Catalyst 6513 Switch C6509
锐捷RGS2150G                 RGS2150G
Quidway S6506R Switch         HWS6506R
 Z指设备序号：
由一位1到99的数字构成，在同一网络域内相同位置的同一类型设备，从1开始顺序排列编码。如在同一位置的某类设备只有一台，则可省略设备序号。
 N/M指安装地点设备间号：
N表示第几个设备间，M表示共有几个设备间。如设备安装地点只有一个设备间，则可省略设备间号。
2.2 具体设备编码
见附件1：网络设备编码和设备IP地址分配表。
3 VLAN规划
3.1 VLAN的划分原则
西安电子科技大学新校区信息点数较多，主要分布在学生公寓、院系综合楼、工程中心、食堂等数九座建筑内。共计20000个信息点。西电新校区校园网采用基于交换机端口的VLAN(虚拟网)划分技术，根据需要把若干交换机的端口划入相应的VLAN中。VLAN的划分遵循如下原则：
 对于联网计算机数量较多的院系（部门）或用户（如学生），可根据用户数量根据楼中的信息点数划分为多个VLAN，对网络数据安全要求较高的部门（如财务）可以单独划分一个VLAN，对一些计算机数量较少、对于数据安全要求不高的院系（部门）可以多个部门划分一个VLAN。
 对于一些使用范围涉及多个院系（部门）的服务器，根据业务内容的不同和其上业务数据的安全要求的高低，划分为多VLAN，来放置这些服务器。这样可以更好的对服务器的访问和安全进行控制和管理。
 对于局域网中的网络设备，各区域的网络设备统一划分到一个VLAN中。
根据以上VLAN划分规则，西电校园网VLAN分为：
1． 网络设备类LAN：网络设备VLAN主要是指网络设备上用于网络管理的端口所在的VLAN。此VLAN直接影响到网络的安全和稳定，其独立性较强，除网络管理人员外，不允许其它用户进行访问。
2． 网络管理类VLAN：网络管理设备（网管工作站或网络配置用PC机所在的VLAN。此类VLAN内的用户才能对网络的配置进行更改。
3． 用户类VLAN：根据各楼院系（部门）或用户（如学生、工作人员）用户的信息点数划分VLAN，对网络数据安全要求较高的部门（如财务）可以单独划分一个VLAN，对一些计算机数量较少、对于数据安全要求不高的院系（部门）可以多个部门划分一个VLAN。
4． 服务器类VLAN：专门用来放置一些提供公共（各院系）服务的服务器或相关管理PC的VLAN。根据服务器的所处位置、院系、业务种类、服务对象、数据安全要求的不同归纳划分为多个服务器组，每一个组使用一个VLAN。一组服务器单独使用一个VLAN的优势在于，使这些重要性较高的业务设备从一般的PC网络中独立出来，使对这些设备的访问可以通过第三层交换机功能上的访问控制手段进行限制和过滤，从而更便于这些重要设备和数据的安全控制和管理。
3.2 VLAN ID的规划
为了更好的规范VLAN ID的使用，建议为每一类VLAN分配一段ID使用范围。如下表：
说明 VLAN  ID范围
所有未被使用的交换机端口（缺省设置） 1
设备VLAN 20~50
网管VLAN 28
用户VLAN 151~250
服务器VLAN 300
3.3 VLAN的命名
西安电子科技大学新校区校园网局域网VLAN命名编码为该VLAN所在位置及具体VLAN名称缩写。如区域6的设备VLAN 9，则该VLAN命名为：AREA6-SB-VLAN 9。
4 IP地址规划
4.1 西安电子科技大学IP地址使用现状
4.2 IP地址分配原则
对VLAN统一分配IP地址，每个VLAN使用一个地址段，连续VLAN使用连续地址段。
1. 对于设备VLAN，由于西安电子科技大学新校区校园网使用的网络设备数量较多，建议采用私有C类地址段。
2. 服务器VLAN，可以根据不同类型的应用服务器数量分配IP地址。
3. 对于用户VLAN，西安电子科技大学新校区校园网信息点数较多，需要几十个教育网C类地址段。
在每个IP地址段中的每个地址的分配要遵循如下的地址分配原则：
1． 每个地址段的倒数第1个地址（主机地址部分全“1”减“1”）作为缺省网关地址。如VLAN 11的地址段为219.245.64.0/24，那么VLAN 11 的缺省网关地址为219.245.64.254/24。
2． 其它地址为主机地址。
4.3 VLAN IP地址分配
1． 设备VLAN
网络中心 VLAN 20 192.168.19.0—192.168.19.63
区域1(1A) VLAN21 192.168.20.0—192.168.20.31
区域2(1B) VLAN22 192.168.20.32—192.168.20.63
区域3(2A) VLAN23 192.168.20.64—192.168.20.95
区域4(2B) VLAN24 192.168.20.96—192.168.6.127
区域5(3A) VLAN25 192.168.20.128—192.168.20.191
区域6(3C) VLAN26 192.168.21.0—192.168.21.15
区域7(4A) VLAN27 192.168.20.192—192.168.20.255
区域8(4B) VLAN28 192.168.21.16—192.168.21.31
区域9(5) VLAN29 192.168.21.64—192.168.21.127
区域10(6) VLAN30 192.168.21.128—192.168.21.191
域11(YXZHL) VLAN31 192.168.21.32—192.168.21.63
设备IP地址分配详见附件1：网络设备编码和设备IP地址分配表。
2． 对于IP层网络设备（汇聚层交换机与核心交换机）之间的连接，我们通过设置互连端口为3层端口，形成仅两设备间点对点的连接的子网，所以设备连接子网内都只有两个地址，分配的地址都是4地址的地址段。具体划分如下：
X-WLZX-C6513……………………1#XSGY（A）-C4507R
192.168.1.1/30 ……………………192.168.1.2/30
X-WLZX-C6513……………………1#XSGY（B）-C4507R
192.168.1.5/30 ……………………192.168.1.6/30
X-WLZX-C6513……………………2#XSGY（A）-C4507R
192.168.1.9/30 ……………………192.168.1.10/30
X-WLZX-C6513……………………2#XSGY（B）-C4507R
192.168.1.13/30 ……………………192.168.1.14/30
X-WLZX-C6513……………………3#XSGY（A）-HW6506R
192.168.1.17/30 ……………………192.168.1.18/30
X-WLZX-C6513……………………3#XSGY（C）-HW6506R
192.168.1.21/30 ……………………192.168.1.22/30
X-WLZX-C6513……………………4#XSGY（A）-HW6506R
192.168.1.25/30 ……………………192.168.1.26/30
X-WLZX-C6513……………………4#XSGY（C）-HW6506R
192.168.1.29/30 ……………………192.168.1.30/30
X-WLZX-C6513……………………5#XSGY-HW6506R
192.168.1.33/30 ……………………192.168.1.34/30
X-WLZX-C6513……………………6#XSGY-HW6506R
192.168.1.37/30 ……………………192.168.1.38/30
X-WLZX-C6513……………………1#YXZHL-C4507R
192.168.1.41/30 ……………………192.168.1.42/30
3． 服务器VLAN，可根据需求分配。
用于服务器的地址范围：192.168.19.0—192.168.19.63
用户VLAN
用户VLAN根据现有的信息点数划分VLAN，具体见下表：
5 GEC的配置
CISCO的Gigabit EtherChannel技术可以使多条物理线路（最多8条）捆绑成一条逻辑线路使用，这样可以使带宽成倍增加，以满足设备互连等对网络带宽有特殊要求的应用。
我们在核心交换机之间的链路上使用GEC技术。即核心层交换机之间使用两条千兆光纤链路连接。这样在核心层交换机之间就形成了4G（全双工）的带宽。
以下是核心交换机连接端口对应表
源端设备  源端口 对端端口 对端设备
WLZX-C6509 GEC G1/1 G1/1 WLZX-C6506
          G1/2 G1/2
6 路由策略
在西电校园网中，由于使用了多台第三层交换机。为了使网络中的路由配置和维护更加方便，所以需要在这些第三层交换设备之间使用动态路由协议。这里使用OSPF路由协议，整个内部局域网络划分为一个路由区域，统一设为area 0。
7 安全设置策略
每一个网络的安全都直接影响到整个系统的正常运行。所以每一个网络都应该对其安全性进行充分的考虑。
这里从以下几个方面进行设置以使整个网络更安全可靠：
7.1 访问控制列表（Access-List）
访问控制列表（ACL,Access Control List）可以实现一种包过滤的功能，可以通过设置规则，对进出网络设备端口的数据包进行过滤。基于IP的访问控制列表有以下4种：
1． 基本访问控制列表，基于源IP地址进行检查；
2． 扩展访问控制列表，基于协议、源IP地址、源端口号、目的IP地址、目的端口号及ICMP包的各种类型进行检查；
3． 动态访问控制列表，基于用户名动态的创建访问控制列表，当用户的工作完成后，自动删除与这个用户相关的动态访问控制列表；
4． 高级访问控制列表，基于用户的连接信息动态的创建访问控制列表, 当此用户的工作完成后，自动删除与这个用户相关的动态访问控制列表。
访问控制列表可以根据需要限制某一个或一段IP地址的计算机对于其它指定IP地址的访问。这种对于访问的控制可以具体到某一台计算机的某一种TCP/IP应用。
在各台分布层交换机中根据需要对VLAN设置访问控制列表（Access-list）用以对各个VLAN之间的通信加以限制。可以根据需要限制某个VLAN上的一个或一段地址的计算机对于其他VLAN或VLAN里的某些服务器或PC机的访问。这种对于访问的控制可以具体到某一台计算机上的某一种TCP/IP应用。使不同部门和不同业务应用之间的网络相对独立。具体的访问控制列表根据实际应用的需要编写。
7.2 网络管理的安全策略
对于网络设备的管理是使用SNMP网络管理协议，SNMP是一种开放的网管协议。对于网络管理的安全考虑主要是在各个网络设备上都指定SNMP SERVER ，设置RO(只读操作)密码（community-string）和Rw (可读写操作) 密码（community-string）。在网管工作站在对网络设备的管理过程中。网管工作站只有知道了网络设备的RO 密码才能读取网络设备的配置和运行信息，查看网络设备的状态。如果网管设备希望对网络设备的配置和状态进行修改则必须知道此网络设备的RW密码。
另外还可以在所有的网络设备（交换机和路由器）中通过访问控制列表来控制指定这些设备只接受某一台（或几台）网管设备的配置管理。对来自其他非允许设备的网管配置信息置之不理。这样即使RW密码泄露只要对网管工作站进行严格管理也同样可以保证网管系统的安全。（具体配置见网络管理配置一章）
7.3 路由协议的安全
本网络中使用的是OSPF路由协议，在同一自制区域内的路由器之间可以自动的交换路由信息。一个网络的路由信息就象是一个网络的“交通图”，通过了解一个网络内的路由信息就可以知道这个网络的网络结构，IP地址的使用情况，网段的分配等网络的内部信息。如果非法入侵者得到这张“交通图”无疑将给整个网络的安全带来极大的威胁。这所以网络的路由信息对整个网络的安全也是至关重要的。网络的路由信息是在网络内的路由设备之间进行相互交换的，为了保证参与交换路由信息的网络设备都是内部的合法设备，OSPF路由协议可以在合法的参与路由信息交换的路由设备之间设置密码，来进行相互认证。相邻的两个路由设备的端口之间只有认证获得成功（相同密码）后才能进行路由信息的交换。
OSPF的安全认证有两种方法：明文密码认证、MD5加密密码认证。其中MD5认证的安全级别更高，其在认证的过程中所使用的密码都为MD5加密方式传输，这样即使密码被非法入侵者截获，也不能对密码进行解密。
所以在网内的路由设备之间使用OSPF路由协议的MD5认证。为了便于管理所有端口都使用相同的密码标号和密码串。
密码标号为：1
密码串：xidianospf
7.4 网络设备安全
进入网络设备的主要方法有2种，
 通过Console端口进入路由器和交换机查看配置和运行信息，更改配置。
每个网络设备上都有一个Console端口，这个端口就是用来进行对路由器进行配置的。只要用一根配置电缆接到计算机的COM口上就可以路由器，再进入超级用户模式就可以对此设备进行配置。由于Console端口是网络设备上的硬件端口，有最高的管理权限。但由于是硬件端口，只有在路由器旁边才可以使用，所以它的安全性较高。为了使网络设备更安全可以在此端口设置口令，只有使用正确的口令才能由Console口进入网络设备。
配置命令如下：
#config  term
#line  console  0
#login
#password  password-string
#end
 通过Telnet端口进入路由器。
通过Telnet协议可以远程登陆到路由器中，这样就对路由器的安全产生了威胁。为了防止对网络设备的远程登陆的威胁，可以在Telnet逻辑虚拟端口上设置密码，只有输入正确的密码才能登录到网络设备上。
对网络设备的安全非常重要，对网络设备进行远程的登录也是直接威胁到网络自身安全的重要操作，所以对使用telnet登录网络设备的权限限制要有更高的要求。可以通过访问控制列表来指定那些计算机可以Telnet 到网络设备，那些不可以对网络设备Telnet。
命令如下：
#Line  vty  0  4
#access-class  10  in
#password  password-string
#exit
#access-list  10  permit  a.a.a.a  b.b.b.b
8 网络管理配置
 网管工作站的IP地址：待定
 网管工作站为整个网络的SNMP-Server 和SNMP trap receiver，trap的访问权限为read-write-all
 snmp community的read-only 模式社区串（Community String）为“xdxxq-bd”
 snmp community的read-write模式社区串（Community String）为“xidiannm”
 snmp community的 read-write-all 模式社区串（Community String）为“xidiannm”
 启动snmp trap，所有的snmp trap信息都发给SNMP trap receiver，
 通过访问控制列表（ACL）控制只有网管工作站的IP地址才能对设备进行SNMP管理。