网络综合课程设计某高中校园网集成项目规划与实施.docx
《网络综合课程设计某高中校园网集成项目规划与实施.docx》由会员分享,可在线阅读,更多相关《网络综合课程设计某高中校园网集成项目规划与实施.docx(27页珍藏版)》请在冰豆网上搜索。
网络综合课程设计某高中校园网集成项目规划与实施
网络综合课程设计--某高中校园网集成项目规划与实施
合肥学院
计算机科学与技术系
课程设计报告
2012~2013学年第二学期
题目
某高中校园网集成项目规划与实施
课程设计名称
网络综合课程设计
专业班级
10级网络工程一班
姓名/学号
指导教师
汪彩梅、李正茂
2013年6月
一、问题分析和任务定义:
园区网的应用背景:
随着信息时代的到来,园区网络已经成为各单位的必要基础设施,通过单位内部的电脑互联,可为员工内部网上办公提供便捷和效率;通过与Internet的互联,可为员工通过网络与外部进行业务联系并获取互联网上的各种服务。
从计算机网络应用角度来看,网络应用系统将向更深和更宽的方向发展,这也相应的影响着未来园区网的发展方向。
首先,Internet信息服务将会得到更大发展。
网上信息浏览、信息交换、资源共享等技术将进一步提高速度、容量及信息的安全性。
其次,远程会议、远程教学、远程医疗、远程购物等应用将逐步从实验室走出,不再只是幻想。
网络多媒体技术的应用也将成为网络发展的热点话题。
总体目标:
在校园网络中,视频、音频、数据集于一身,如果保证不了高带宽、又多种视频、音频、数据流混杂在一起进行传输,就没法对流做出最高优先级和次高优先级及底优先级的分类,这样就不能保证重要业务的畅通,造成网络延迟、服务不可用。
所以要想真正改变网络的效率,更有效的保证应用服务的运营,需要通过端到端的QOS,智能到边缘的方式来保证。
通过智能到边缘,端到端的应用方式,可以减少对网络核心设备的消耗,这样保证了网络的有效畅通。
可以对园区网应用中的,多媒体视频点播服务、数据备份服务、文献传递服务、E-mail服务、数据库服务器等服务。
对不同服务流进行详细的分类,划分优先级,以及尽可能地避免发生拥塞。
同时保证网络的高效运行,充分利用现有的带宽。
在园区网络中,存在多样的网络设备及系统应用环境,并且要考虑在用户迅速增长的今天,考虑到网络设备的可扩展性。
保证在多样网络设备,用户不断增加的环境中,仍能保证网络畅通。
所以万兆骨干网络平台就应具有良好的兼容性和可扩展性,能与当前校园网络无缝衔接,同时预留空间符合当前和以后的信息建设需要和足够的升级空间。
在校园网络建设中存在多用户,多服务的现状。
带来了对网络系统要求具有高效率等,以保证大数据量访问下有效的处理能力。
针对需求设备要能对数据做到分布式处理,这样的分布式处理可以节省主交换引擎的消耗。
使数据在独立的板卡上就能做出对数据的识别,这样比在中央处理器识别要快的多。
并在大量的数据应用,数据传输的过程中,要保证所有硬件设备都可以进行快速的转发,要具备高背板带宽(交换容量),所有端口都能保证线速转发。
这种分布式处理可以极大地提高整体处理能力,保证了网络畅通。
现在的网络环境中稳定可靠是争相谈论的话题,因现在在网络中运行了众多重要应用及服务,是要保证7*24小时不间断的服务。
就要完全能保证网络设备全天后的可用性。
即使在设备出现问题时切换到备用设备的过程中,也要保证较小的延迟,以满足网络应用中的有效畅通的需要。
在校园网络中,对于校园网的安全保障十分重要:
校园网的信息点分布很广,与一般企业网比较,校园网用户的流动性大,信息点存在随意接入使用的问题。
学生及外来不明身份的用户,在校园网中找到任何一个信息点,就可以进入到校园网,可以肆意干扰和破坏校园网网络平台及应用系统的正常运行。
另外校园网的网络安全,还需要考虑与外网及内网不同应用系统之间的安全访问控制。
为了发生安全事件后,能够有效、快捷地处理事故,采用上网审计手段是十分有必要的。
由于当前类似“冲击波、震荡波病毒”的肆虐,一个健壮的网络应该提供必要的手段,禁止特定病毒的传播以及由于病毒造成的流量拥塞。
需求分析:
具体校园网络需求如下:
1、某高中校园有五栋楼,分别是教学楼、学生宿舍、行政楼、实验楼、图书馆。
2、内部网络可以互访,外部网络只可以访问Web服务。
3、要求采用核心、接入架构。
4、内网需要连接Internet(利用NAT技术)
5、行政楼有三个部门,实验楼有两个部门,每个部门单独vlan,并规划好IP地址,教学楼有两百个节点,学生宿舍有400个节点,财务处有40个节点,教导处有50个节点,党办有60个节点,实验室有70个节点,科研室有80个节点,图书馆有200个节点,服务器端有10个节点。
6、终端PC通过DHCP获取IP
7、部署DNS、FTP、DHCP、Web、e-mail服务器,并完成数据库
8、应用服务器和数据库分离,防止应用服务器被攻击后,影响数据库安全。
9、本校园要求基础的安全保护措施,部署防火墙,入侵检测,漏洞扫描。
我们小组共三名成员:
***,***,***。
我们的共有任务:
1.根据给出的背景描述做出详细的需求分析;
2.根据需求完成该项目的整体架构设计,要求画出网络拓扑图;
3、网络基础架构规划与实施:
根据校园业务与管理的要求设计、规划并完成该高中校园网络基础架构部分的工作,深刻理解交换网络架构、部署实施要点,主要把握vlan规划、三层交换、路由与地址转换,远程接入等环节,在项目的实施过程中注重与其它项目任务之间的配合和衔接。
我完成分任务1:
基础服务和应用的建设:
要求采用目前主流的技术完成企业Web、Mail、dns、DHCP、数据库等基础服务的规划与建设,采用合适的技术实现企业内部门户网站。
另外,我用PT搭建了网络拓扑图,并完成了基本功能的配置。
***完成分任务2:
网络安全设计与实施:
根据业务和管理的安全性需求,完成该高中校园网络安全体系设计,部署防火墙、入侵监测、漏洞扫描、防病毒与补丁服务等安全措施,要求完成安全配置基本验证工作。
***完成分任务3:
Windows域的建立与用户管理:
根据校园业务和资源管理的需求,设计并实现Windows域,设计并实施严格的用户管理、资源访问控制策略,要求架设文件和打印服务器,利用组策略完善用户管理,同时利用域为整个项目中vpn等服务提供用户验证。
设计原则:
校园网络系统的建设在实用的前提下,应当在投资保护及长远性方面做适当考虑,在技术上、系统能力上要保持五年左右的先进性。
并且从学校的利益出发,从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。
根据校园网的总体需求,结合对应用系统的考虑,本次网络建设的设计目标是:
高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络平台。
我们遵循以下的原则进行网络设计:
1.实用性和经济性
网络建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则,建设的万兆骨干网络平台,保护用户的投资。
2.先进性和成熟性
网络建设设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。
不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证贵校网络建设的领先地位,采用万兆以太网技术来构建网络主干线路。
3.可靠性和稳定性
在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间,锐捷网络做为国内知名品牌,网络领导厂商,其产品的可靠性和稳定性是一流的。
为了保证骨干网络平台的健壮性和链路冗余性,建议网络实施时在学校启用千兆备份线路。
在学校启用物理链路冗余机制,保证任何一条线路出现故障后骨干网络平台的可用性。
4.安全性和保密性
在网络设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等,针对的各种应用,有多种的保护机制,如划分VLAN、ACL、路由过滤等具体技术提升整个网络的安全性。
5.可扩展性和可管理性
由于信息技术和人们对于新技术的需求发展都非常迅速,为了避免不必要的重复投资,我们必须选择具有一定扩展能力的设备,能够保证在网络规模逐渐扩大的时候,不需要增加新的设备,而只需要增加一定数量的模块就行。
最好能够做到在网络技术进一步发展,现有模块不支持新技术的情况下,只需要更换相应模块,而不需要更换整个设备。
为了适应网络结构变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护。
为了便于扩展,对于核心设备必须采用模块化高密度端口的设备,便于将来升级和扩展。
先进的设备必须配合先进的管理和维护方法,才能够发挥最大的作用。
全线采用基于SNMP标准的可网管产品,达到全程网管,降低了人力资源的费用,提高网络的易用性、可管理性,同时又具有很好的可扩充性。
二、任务概要设计:
根据公共任务和我的任务,概要设计如下:
1、一起讨论搭建网络拓扑图;
2、根据拓扑划分vlan以及IP地址的划分;
3、用PT实现部分内容,实现不了的另外用虚拟机或者真机实现;
4、用虚拟机运行windowsserver2003作为服务器,搭建DNS、DHCP、FTP、e-mail、Web服务;
三、详细设计:
1、实施计划
(1)搭建的拓扑图:
图3-1visio搭建的规划图
图3-2实验拓扑图
(2)设计分布:
在本园区网设计中,整个网络分成内网、外网及DMZ三部分分别进行设计。
内网:
在汇聚层之下二层交换机上分为教学楼、学生宿舍、财务处、教导处、党办、实验室、科研室、图书馆。
教学楼:
负责学校日常的教学活动
学生宿舍:
学生居住的地方
财务处:
负责学校的财务工作
教导处:
负责学校的学生的教育工作
党办:
党和团的办公地点
实验室:
老师和学生开展实验的地方
科研室:
老师和学生进行科研的地方
图书馆:
管理图书的工作
外网:
出口路由以外的地方
DMZ区域:
在DMZ区域放置Web服务器,DHCP服务器,FTP服务器,DNS服务器,e-mail服务器。
对内提供Web、DNS、DHCP、FTP、e-mail服务,对外提供Web服务。
(3)主要部署环节:
地址规划
根据园区网设计要求,该企业已在ISP申请了210.102.31.4和210.102.31.5两个公网地址,202.102.31.4主要为内网用户提供NAT使用,202.102.31.5主要为服务器提供地址映射。
校园网要求为全部用户提供安全的网络接入,园区网覆盖企业所有楼宇。
所以公网IP地址是210.102.31.4和210.102.31.5。
企业内部地址为一致的私有地址,在本设计中私网地址为192.168.0.0/24和172.16.0.0/16。
表3-1Vlan的划分
楼宇
节点数
IP地址网段
网关
Vlan
教学楼
200
172.16.1.0/24
172.16.1.254
2
学生宿舍
400
172.16.2.0/24
172.16.3.0/24
172.16.2.254
172.16.3.254
3
行政楼
财务处
40
172.16.4.0/24
172.16.4.254
4
教导处
50
172.16.5.0/24
172.16.5.254
5
党办
60
172.16.6.0/24
172.16.6.254
6
实验楼
实验室
70
172.16.7.0/24
172.16.7.254
7
科研楼
80
172.16.8.0/24
172.16.8.254
8
图书馆
200
172.16.9.0/24
172.16.9.254
9
服务器
10
192.168.0.106/24
192.168.0..254
10
数据库
172.16.31.1
172.16.31.254
路由选择
(1)核心层交换机:
写一条默认路由到网关,把不知道的流量全部交给网关。
(2)网关:
网关连接外网的部分运行RipV2协议,连接内网的部分写两条静态路由,让数据包可以返回给内网,一条静态路由指向内网服务器的私有IP地址,一条指向内网用户的私有IP地址,地址为内网私有地址的交给核心层交换机。
网关上还要加一条默认路由,把未知的流量全部交给ISP。
地址转换主要在网关上实现,对外提供Web服务的私有IP地址用静态NAT映射成202.102.31.4;内网用户如要访问外网,用端口NAT转换成公有地址202.102.31.5。
2、技术方案
(1)vlan的划分
(2)网络地址转换
(3)路由协议及静态路由
(4)访问控制列表
(5)DNS服务器的配置
(6)DHCP服务器的配置
(7)FTP服务器的配置
(8)e-mail服务器的配置
(9)Web服务器的配置
3、设备及线缆选型
核心层交换机:
CISCOWS-C3750G-48PS-E
防火墙:
CISCOASA5520-AIP40-K9
网关:
CISCO3825
服务器:
IBMX3650M2(7947I65)
二层交换机:
CISCOWS-C4948-10GE-E
用户与交换机:
直通线
交换机与三层交换机:
交叉线
三层交换机与出口路由器:
直通线
出口路由器与ISP运营商:
以太网线
4、配置文档
(1)二层交换机配置
以其中一个为例:
Switch(config)#vlan2//创建vlan2
Switch(config-vlan)#namejiaoxuelou//命名为jiaoxuelou
Switch(config)#vlan3//创建vlan3
Switch(config-vlan)#namexueshengsushe//命名为xueshengsushe
Switch(config)#vlan4//创建vlan4
Switch(config-vlan)#namecaiwubu//命名为caiwubu
Switch(config)#vlan5//创建vlan5
Switch(config-vlan)#namejiaodaochu//命名为jiaodaochu
Switch(config)#vlan6//创建vlan6
Switch(config-vlan)#namedangban//命名为dangban
Switch(config)#vlan7//创建vlan7
Switch(config-vlan)#nameshiyanshi//命名为shiyanshi
Switch(config)#vlan8//创建vlan8
Switch(config-vlan)#namekeyanshi//命名为keyanshi
Switch(config)#vlan9//创建vlan9
Switch(config-vlan)#nametushuguan//命名为tushuguan
Switch(config)#vlan10//创建vlan10
Switch(config-vlan)#namefuwuqi//命名为fuwuqi
Switch(config)#interfacef0/1//进入接口f0/1
Switch(config-if)#switchportmodeaccess//接口划为access模式
Switch(config-if)#switchportaccessvlan2//将接口划入vlan2
Switch(config)#interfacef0/2//进入接口f0/2
Switch(config-if)#switchportmodeaccess//接口划为access模式
Switch(config-if)#switchportaccessvlan2//将接口划入vlan2
Switch(config)#interfacef0/3//进入接口f0/3
Switch(config-if)#switchportmodetrunk//接口划为trunk模式
(2)核心层交换机配置
Switch(config)#vlan2//创建vlan2
Switch(config-vlan)#namejiaoxuelou//命名为jiaoxuelou
Switch(config)#vlan3//创建vlan3
Switch(config-vlan)#namexueshengsushe//命名为xueshengsushe
Switch(config)#vlan4//创建vlan4
Switch(config-vlan)#namecaiwubu//命名为caiwubu
Switch(config)#vlan5//创建vlan5
Switch(config-vlan)#namejiaodaochu//命名为jiaodaochu
Switch(config)#vlan6//创建vlan6
Switch(config-vlan)#namedangban//命名为dangban
Switch(config)#vlan7//创建vlan7
Switch(config-vlan)#nameshiyanshi//命名为shiyanshi
Switch(config)#vlan8//创建vlan8
Switch(config-vlan)#namekeyanshi//命名为keyanshi
Switch(config)#vlan9//创建vlan9
Switch(config-vlan)#nametushuguan//命名为tushuguan
Switch(config)#vlan10//创建vlan10
Switch(config-vlan)#namefuwuqi//命名为fuwuqi
Switch(config)#interfacef0/1//进入接口f0/1
Switch(config-if)#switchportmodetrunk//将接口划为trunk模式
Switch(config)#interfacef0/2//进入接口f0/2
Switch(config-if)#switchportmodetrunk//将接口划为trunk模式
Switch(config)#interfacef0/3//进入接口f0/3
Switch(config-if)#switchportmodetrunk//将接口划为trunk模式
Switch(config)#interfacef0/4//进入接口f0/4
Switch(config-if)#switchportmodetrunk//将接口划为trunk模式
Switch(config)#interfacef0/5//进入接口f0/5
Switch(config-if)#switchportmodetrunk//将接口划为trunk模式
Switch(config)#intvlan2//进入vlan2
Switch(config-if)#ipaddress172.16.1.254255.255.255.0//给vlan配地址
Switch(config-if)#noshutdown//激活vlan
Switch(config)#intvlan3//进入vlan3
Switch(config-if)#ipaddress172.16.2.254255.255.255.0//给vlan配地址
Switch(config-if)#noshutdown//激活vlan
Switch(config)#intvlan4//进入vlan4
Switch(config-if)#ipaddress172.16.4.254255.255.255.0//给vlan配地址
Switch(config-if)#noshutdown//激活vlan
Switch(config)#intvlan5//进入vlan5
Switch(config-if)#ipaddress172.16.5.254255.255.255.0//给vlan配地址
Switch(config-if)#noshutdown//激活vlan
Switch(config)#intvlan6//进入vlan6
Switch(config-if)#ipaddress172.16.6.254255.255.255.0//给vlan配地址
Switch(config-if)#noshutdown//激活vlan
Switch(config)#intvlan7//进入vlan7
Switch(config-if)#ipaddress172.16.7.254255.255.255.0//给vlan配地址
Switch(config-if)#noshutdown//激活vlan
Switch(config)#intvlan8//进入vlan8
Switch(config-if)#ipaddress172.16.8.254255.255.255.0//给vlan配地址
Switch(config-if)#noshutdown//激活vlan
Switch(config)#intvlan9//进入vlan9
Switch(config-if)#ipaddress172.16.9.254255.255.255.0//给vlan配地址
Switch(config-if)#noshutdown//激活vlan
Switch(config)#intvlan10//进入vlan10
Switch(config-if)#ipaddress192.168.0.254255.255.255.0//给vlan配地址
Switch(config-if)#noshutdown//激活vlan
Switch(config)#intf0/9//进入接口f0/9
Switch(config-if)#noswitchport//此条命令可以给接口配地址
Switch(config-if)#ipaddress172.16.10.1255.255.255.0//配地址
Switch(config)#iproute0.0.0.00.0.0.0172.16.10.254//默认路由
(3)网关路由配置
Router(config)#interfacef0/0//进入接口f0/0
Router(config-if)#ipaddress172.16.10.254255.255.255.0//给接口配地址
Router(config-if)#noshutdown//激活接口
Router(config)#interfaces0/0/0//进入接口s0/0/0
Router(config-if)#ipaddress202.102.31.5255.255.255.0//给接口配地址
Router(config-if)#noshutdown//激活接口
Router(config-if)#clockrate64000//配时钟频率
Router(config)#iproute0.0
升级会员 