校园网系统集成方案设计.docx
《校园网系统集成方案设计.docx》由会员分享,可在线阅读,更多相关《校园网系统集成方案设计.docx(11页珍藏版)》请在冰豆网上搜索。
校园网系统集成方案设计
题目:
校园网系统集成方案设计
设计的目的和要求:
一、设计目的
1、根据要求能够进行需求分析,确定系统必须完成的工作和具体要求。
2、在需求分析的基础上进行系统设计
3、分配IP地址并进行测试验证
二、设计要求
该校园网的总体目标是:
建成一个以交换式千兆以太网技术为核心,地理范围覆盖教学楼、办公楼、图书馆的校园网。
该网络能够实现校内管理电子化、办公无纸化,通过计算机多媒体技术实现多媒体教学,同时具有高水平的可管理性和安全多样的广域网连接方式。
网络系统要求:
校园网逻辑上分三层:
核心层、汇聚层和接入层。
为了实现网络高宽带传输,骨干网采用千兆以太网为主干,1000M光纤到楼,10M/100M双绞线到桌面。
设计的软件环境:
1.CiscoPacketTracerV5.3版
2.MicrosoftVisio2010
设计过程和内容:
1、对系统进行需求分析,写出简单的需要分析报告
根据对校园网规划的总体需要分析,我们决定采用基本的三层交换架构来构建校园网。
从信息点的分布图来看,由于图书馆的信息点相对比较少,我们可以把图书馆的信息点汇聚到教学楼的交换机上,教学楼和办公楼的交换机和网络中心的核心交换机相连。
为了满足校内管理电子化、办公无纸化,多媒体教学的需要,我们可以把相应的服务器放置在防火墙的DMZ区中,外网用户可以通过VPN安全的访问内部网络。
在网络管理方面,为了管理的方便,我们把网管机连接到核心交换机上,可以在这台计算机上安装上相应的网络管理平台,网络分析软件等。
在互联网连接方面,我们可以采用安全多样的连接方式。
一条与Internet相连,另外一条和PSTN传统的电话交换网相连。
可以方便远程用户通过DSL拨号访问内部网络资源。
2、对系统进行设计,给出拓扑结构图
如图所示:
核心交换机、防火墙、服务器、边界路由器设备放置在网络中心机房、汇聚层交换机和接入层交换机中主要放置在办公楼和教学楼中,由于图书馆和教学楼之间有一段距离,图书馆的交换机通过100BASE-FX多模光纤接入到教学楼的汇聚层交换机上,办公楼和教学楼的汇聚层交换机通过1000BASE-LX标准单模光纤接入到核心交换机上。
由于服务器需要经常被访问,为了防止网络瓶颈,服务器也通过1000BASE-SX标准的多模光纤接到防火墙的DMZ区中。
在用户接入方面,我们采用100BASE-TX标准的五类双绞线。
3、选择合适的设备(供选择的产品品牌有思科、华为、锐捷)
所选产品均为Cisco系统产品
接入层交换机:
教学楼(4台)和办公楼(5台):
Catalyst2950-XL24口10/100BASE-TX自适应
图书馆(1台):
Catalyst2950C-XL
22口10/100BASE-TX自适应2口100BASE-FX自适应
汇聚层交换机:
教学楼(1台)、办公楼(1台)、中心机房[DMZ区](1台):
Catalyst3512-XL24口10/100BASE-TX自适应2口GBIC插槽
核心层交换机:
中心机房(1台)
Catalyst4506(SupervisorEngineII-Plus引擎)
防火墙:
中心机房(1台)
CiscoPIX5252个10/1006个FE/3GE
边界路由器:
中心机房(1台)
CISCO2851传输速率:
10/100/1000Mbps
端口结构:
模块化扩展模块:
4
服务器:
中心机房(4台)
IBMSystemx3650M3(7945I75)操作系统
域控制器(DC)DNS服务器Windows2003中文企业版R2
WEB服务器RedHatEnterpriseLinux4Apache
数据库服务器Oracle10G
流媒体服务器RedHatEnterpriseLinux4Helix
综合布线:
布线标准传输介质
用户接入层:
100BASE-TX五类双绞线
图书馆——教学楼:
100BASE-FX多模光纤
教学楼——网络中心:
1000BASE-LX单模光纤
办公楼——网络中心:
1000BASE-LX单模光纤
DMZ区——防火墙:
1000BASE-SX多模光纤
服务器——DMZ区交换机:
1000BASE-SX多模光纤
防火墙——边界路由器:
1000BASE-SX多模光纤
边界路由器——ISP:
1000BASE-LX单模光纤
边界路由器——PSTN:
10BASE-T三类双绞线
4、进行IP地址分配
办公楼:
VLAN10
IP地址:
192.168.1.2-192.168.1.101
子网掩码:
255.255.255.0
网关:
192.168.1.1/24
DNS服务器地址:
主61.177.7.1次210.28.177.1
教学楼:
VLAN20
IP地址:
192.168.2.2-192.168.1.51
子网掩码:
255.255.255.128
网关:
192.168.2.1/25
DNS服务器地址:
主61.177.7.1次210.28.177.1
图书馆:
VLAN30
IP地址:
192.168.2.130-192.168.2.144
子网掩码:
255.255.255.128
网关:
192.168.1.129/25
DNS服务器地址:
主61.177.7.1次210.28.177.1
核心交换机:
192.168.3.0/30
192.168.4.0/24
192.168.5.0/24(网管平台)
192.168.6.0/24
防火墙:
内网口:
192.168.3.2/24
外网口:
211.65.3.1/30
DMZ区口:
61.177.7.5/24
服务器:
DC/DNS服务器:
61.177.7.1/24网关:
61.177.7.5/24
WEB服务器:
61.177.7.2/24网关:
61.177.7.5/24
数据库服务器:
61.177.7.3/24网关:
61.177.7.5/24
流媒体服务器:
61.177.7.4/24网关:
61.177.7.5/24
边界路由器:
LAN口:
211.65.3.2/30WAN口ISP:
210.29.224.1/30
5、采用模拟器进行测试
由于CiscoPacketTracerV5.3版本的限制我们采用Cisco模块化路由器来代替PIX525防火墙。
如图所示:
1.根据拓扑图构建基本网络。
2.配置主机、交换机、路由器、防火墙、服务器的IP地址。
4.根据要求配置不同的VLAN,配置路由协议(这里我们采用的是OSPF协议)实现全网可以相互通信。
5.对路由器进行安全性配置,提高路由器的安全性,保护内部网络。
6.对防火墙进行NAT地址转换配置,把内网地址转换为公网地址
7.在防火墙上通过配置ACL来实现外网对内网的访问控制。
8.对园区网进行最终安全性调试,撰写课程设计报告。
6.实验结果及分析
1.全网可以实现互通从PC1ping园区网边界路由器接口
2.不同VLAN之间可以实现相互通信从VLAN10访问VLAN20和VLAN30的主机。
3.PC1访问校园网内部WEB服务器(通过DNS进行域名解析)
3.在PIX防火墙处进行NAT地址转换从PC1访问外部网络
4.通过PIX525防火墙对外网访问内网信息进行访问控制(通过ACL进行控制)
要求:
外网不可以访问内网的数据库和流媒体服务器
外网地址不可以ping内网(防止Ddos攻击)
其他行为可以放行
从外网访问内部数据库服务器(无法访问)
访问数据被ACL拒绝(5个数据包匹配)
5.对路由器进行安全管理
启动口令口令加密
linevty04
login
passwordhello
exec-timeout10//10s钟超时退出登录
linecon0
transportinputnone
passwordhello
应用密码策略
servicepassword-encryption
enablesecrethello
利用ACL禁止ping相关端口
access-list101denyicmpanyhost61.177.7.3echo
access-list101permitipanyany
ipaccess-group101in
关闭CDP协议
nocdprun全局配置
nocdpenable端口配置
noipdomain-lookup关闭域名解析
noipbootpserver关闭地址分配
nosnmp-server关闭snmp协议支持
收获:
本次课程设计我选择了一个构建园区网的项目,由于现实条件的限制,我们主要采用的是CiscoPacketTracer模拟器来完成这次项目的,以前感觉学的那些技术都是比较零散的,这次课程设计把它们都有机的结合起来,我感觉真是从中受益匪浅。
我学会了一个网络工程项目的基本流程,从需求分析开始到对网络系统进行设计,构建网络拓扑图,再到IP地址的规划、网络设备的选型、到最后全网的配置、调试。
每一个步骤都感觉有很多东西要去研究学习。
比如说在组网工程中的IP地址的规划问题,如何使用VLSM技术进行进一步划分子网;在配置路由协议时,采用哪种路由协议,是RIP还是OSPF或是EIGRP,它们之间又有什么区别;在比如说网络设备的选型,在不同的层次应该采用哪种类型的设备,哪个厂商的?
是Cisco、华为、还是锐捷,那些设备是选择模块化的,还是固定接口的、它们的接口是什么类型的;最后还有综合布线的问题,根据距离的长度采用的是双绞线还是光纤,光纤是采用单模的还是多模的?
采用的是哪种布线标准等等。
这一系列问题作为一名网络工程人员都要我们去好好思考的,认真选择的。
通过这次课程设计,使我进一步加深了对组网技术的理解,也培养了我克服困难的勇气和决心,使我对网络工程技术的学习更有了信心,对于今后从事网络技术方面的工作也很有帮助。
升级会员 