复杂校园网带代码解释带PPT带解释文档整体资料较全面

介绍下我实现的功能吧：

1.接入的主机能够通过汇聚层的DHCP服务器自动获取IP地址、网关等信息，同时划分了VLAN

2. 配置了VRRP协议来实现汇聚层三层交换机的主备备份和负载分担

3. 在汇聚层的交换机间配置了链路聚合以实现提高带宽和快速交换报文

4. 根据VRRP内容配置了MSTP，做到不同的VLAN的流量也能做到主备备份和负载分担

5. 配置了路由器协议（这里是OSPF，并且只配置了区域0）来实现网络自动获取路由信息，同时在网络出口处配置了NAT

6. 配置了BFD协议来监视汇聚层三层交换机的上行链路以实现VRRP快速收敛（这里忘记配置与OSPF的联动了）

7. 在接入防火墙集群和数据中心集群的端口处配置了端口镜像用于监听网络整体流量

8. 配置了组播协议，以实现组播功能（这里采用的是IGMPv2和PIM-SM）

9. 对汇聚层和核心层的交换机和路由器配置了Telnet

10. 配置了相应的安全内容（如端口镜像、ARP固化）（DHCP Snooping、IPSG、DAI等尚未配置），同时接入Kali虚拟机进行安全性测试

11. 配置了HTTP、DNS、FTP服务内容

12. 在防火墙集群处接入虚拟机并配置了m0n0wall防火墙系统

说说个人认为可以改进的地方吧：

1.首先是OSPF可以划分多个区域，如接入汇聚层交换机路由器划分至区域0，防火墙集群主机划分至区域1，数据中心集群划分至区域2等

2.上述提及的VRRP可以与OSPF也进行联动

3.上述提及的安全方面可以增加DHCP Snooping、IPSG、DAI等内容

4.可以尝试配置VPN、IP电话、IPV6等最新内容

那么这里进行一步的说明吧：

1.首先在网络整体布局上使用了接入层-汇聚层-核心层三个层次，布线使用了双上行线路。

2.第二就是对于网络设备的选择：

路由器选择了AR2220，因为其能够扩展接口卡

交换机方面，出于对性能和经济的考虑，汇聚层的三层交换机选择了S5700，接入层的二层交换机选择了S3700

防火墙方面选择了USG5500

服务器这里用的是ENSP自带的服务器虚拟机，当然也可以接入如VMWare虚拟机来使用Windows Server 2008这种操作系统

3.IP地址分配方面：首先内网使用的是172.22.vlan号.x/24的IP地址，出口处连接组播源侧使用的是115.200.60.x/24网段，连接外部服务器侧使用的是223.104.244.x/24网段（至于为什么这么规划么，只能说是根据当时真机获取的IP地址参考得出的）

4.DHCP方面，DHCP服务是在汇聚层的四台三层交换机上配置的，同时配合了VRRP协议以防止关键设备单点故障。规划如下：

VRRP方面：交换机5和6互相备份，交换机7和8互相备份。交换机5和7的IP地址为172.22.vlan号.100/24，交换机6和8的IP地址为172.22.vlan号.200/24。虚拟网关的IP地址为172.22.vlan号.254/24。（同时要确保各VLAN的VRRP的主路由器不能为同一个，否则会造成某些设备闲置浪费某些设备超负荷）

DHCP方面：同VRRP配置，交换机5和6为一组，交换机7和8为一组，交换机5和7分配172.22.vlan号.2~172.22.vlan号.99的IP地址，交换机6和8分配172.22.vlan号.101 ~172.22.vlan号.199的IP地址，主要目的是为了防止不同的主机通过不同的DHCP服务器获得相同的IP地址信息而造成故障（DHCP需要配置为全局地址池模式，否则指定的网关不能为虚拟网关）

5 .MSTP方面需要注意的是MSTP各个实例对应各个VLAN，同时要注意MSTP某个实例中的主根桥需要与该实例对应的VLAN的VRRP的主路由器一致，否则会造成次优路由问题

6.路由规划就不多讲了，只要注意一点：出口配置NAT是配置对应的ACL以做到只对允许的IP网段进行转换

7.BFD、链路聚合和端口镜像方面也感觉正常配置即可，注意的是BFD协议配合VRRP协议时，VRRP各个路由器的优先级推荐配置为加模式而不是减模式（即上行链路故障时对某些设备增加优先级而不是减少某些设备的优先级）

8.组播方面，采用IGMPv2的原因是其含组成员离开报文，且目前适用性最广。使用PIM的稀疏模式的原因是其包含RPT+SPT到SPT的转换且其特性符合校园网内组播时成员分布分散的特点。

需要注意的是，在配置PIM-SM时，RP和BSR的选举推荐在环回口上配置

9.最后就是安全内容了，这里只配置了端口安全和ARP固话，经测试mac地址泛洪攻击可以很好抵御，ARP攻击在没有配置DHCP Snooping和DAI的情况下还是会被攻击的（狗头）