校园网无线网络投标书Word文档格式.docx
《校园网无线网络投标书Word文档格式.docx》由会员分享,可在线阅读,更多相关《校园网无线网络投标书Word文档格式.docx(21页珍藏版)》请在冰豆网上搜索。
Cernet(教育网)和ISP,所以需要改变网流量的走向,需配置策略路由等功能;
核心交换机和出口路由器应配置冗余备份、负载均衡功能,可使用VRRP、MSTP等技术来实现,另外路由器上还需配置NAT。
对于路由规划,网路由配置针对小型网络的动态路由协议RIP(路由信息协议),即核心交换机和汇聚层交换机上配置RIP。
二、双核心校园网系统图
1、双核心校园网规划设计
双核心网络冗余结构设计
冗余设计的手段是在网络中安装并行的,备用的组件,例如路由器,核心交换机,电源,
如图所示,备用的核心交换机A1在核心交换机A2出现故障时,仍然能将来自汇聚层交换机B2的数据接收到核心层。
(2)备用链路
当网络中的某条主路径出现故障时,会影响到网络的互联性,为了保持网络的畅通,冗余网络设计提供了备用链路的设计。
备用链路是由路由器、交换机以及路由器与交换机之间的独立备用链路构成的,它是主路径上的设备与链路的重复设置。
本项目中,采用非对称性备份链路设计方案。
非对称性备份链路设计方案中备份链路提供较小或相等的带宽,只在主链路出现故障时备份链路才生效。
如上图,L2可提供较小的带宽,在主链路L1和设备A1运行正常的情况下,备份链路L2可以不运行。
(3)校园网双核心双出口网络拓扑
该网络拓扑中,为增强网络的稳定性、健壮性,在网络核心层采用了增加网络设备的冗余方法,采用双核心交换机结构,为网络的核心增强了可用性。
而在网络出口也采用了双出口的Internet接入方案,满足用户不同网流量访问不同网络资源的需求。
B、IP地址规划设计
(1)子网划分及IP地址分配表
一级子网地址/掩码
二级子网地址/掩码
IP地址围
用途
172.17.0.0/21
172.17.0.0/24
172.17.0.1~172.17.0.254
核心层设备互连及服务器组
172.17.1.0/24
172.17.1.1~172.17.1.254
172.17.2.0/24
172.17.2.1~172.17.2.254
172.17.3.0/24
172.17.3.1~172.17.3.254
172.17.4.0/24
172.17.4.1~172.17.4.254
172.17.5.0/24
172.17.5.1~172.17.5.254
172.17.6.0/24
172.17.6.1~172.17.6.254
172.17.7.0/24
172.17.7.1~172.17.7.254
172.17.8.0/21
172.17.8.0/24
172.17.8.1~172.17.8.254
汇聚层-核心层设备互连
172.17.9.0/24
172.17.9.1~172.17.9.254
172.17.10.0/24
172.17.10.1~172.17.10.254
172.17.11.0/24
172.17.11.1~172.17.11.254
172.17.12.0/24
172.17.12.1~172.17.12.254
172.17.13.0/24
172.17.13.1~172.17.13.254
172.17.14.0/24
172.17.14.1~172.17.14.254
172.17.15.0/24
172.17.15.1~172.17.15.254
172.17.16.0/21
172.17.16.0/24
172.17.16.1~172.17.16.254
办公图书楼
172.17.17.0/24
172.17.17.1~172.17.17.254
172.17.18.0/24
172.17.18.1~172.17.18.254
172.17.19.0/24
172.17.19.1~172.17.19.254
172.17.20.0/24
172.17.20.1~172.17.20.254
172.17.21.0/24
172.17.21.1~172.17.21.254
172.17.22.0/24
172.17.22.1~172.17.22.254
172.17.23.0/24
172.17.23.1~172.17.23.254
172.17.24.0/21
172.17.24.0/24
172.17.24.1~172.17.24.254
教学实训楼
172.17.25.0/24
172.17.25.1~172.17.25.254
172.17.26.0/24
172.17.26.1~172.17.26.254
172.17.27.0/24
172.17.27.1~172.17.27.254
172.17.28.0/24
172.17.28.1~172.17.28.254
172.17.29.0/24
172.17.29.1~172.17.29.254
172.17.30.0/24
172.17.30.1~172.17.30.254
172.17.31.0/24
172.17.31.1~172.17.31.254
172.17.32.0/21
172.17.32.0/24
172.17.32.1~172.17.32.254
学生宿舍楼
172.17.33.0/24
172.17.33.1~172.17.33.254
172.17.34.0/24
172.17.34.1~172.17.34.254
172.17.35.0/24
172.17.35.1~172.17.35.254
172.17.36.0/24
172.17.36.1~172.17.36.254
172.17.37.0/24
172.17.37.1~172.17.37.254
172.17.38.0/24
172.17.38.1~172.17.38.254
172.17.39.0/24
172.17.39.1~172.17.39.254
……
备用
172.17.240.0/21
172.17.248.0/21
(2)VLAN-IP规划表
所在位置
VLANID
子网地址/掩码
图书办公楼
Vlan10
办公用
Vlan20
电子阅览室用
Vlan30
1#教学实训楼
Vlan40
2#教学实训楼
Vlan50
3#教学实训楼
Vlan60
1#学生宿舍楼
Vlan70
2#学生宿舍楼
Vlan80
3#学生宿舍楼
Vlan90
4#学生宿舍楼
Vlan100
5#学生宿舍楼
Vlan110
6#学生宿舍楼
(3)子网区域分配对照表
区域
IP子网
办公图书馆
4.2RIP动态路由协议及其配置
3、对两台出口设备,两台核心交换机以及四台汇聚层交换机上的RIPV2配置
Rip的特点:
仅和相邻的路由器交换信息。
如果两个路由器之间的通信不经过另外一个路由器,那么这两个路由器是相邻的。
RIP规定,不相邻的路由器之间不交换信息。
路由器交换的信息是当前本路由器所知道的全部信息,即自己的路由表。
按固定时间交换路由信息,如每隔30s,然后路由器根据收到的路由信息更新路由表。
RIP只适用于小型互联网,如小型的校园网和局域网。
建立此拓扑的作用:
使两台相邻的路由器之间通过rip动态路由协议,实现校园网或者区域网中两台路由器之间路由信息的互通。
本项目中RIPV2的配置:
routerrip(启动rip动态路由协议)
Version2(声明rip版本2)
Noauto-summary(关闭自动汇总)
Network172.17.0.0(通告网段)
RIPV2的管理及排错
用shiproute查看路由信息
通过debugiprip命令进行调试,以便排错
问题:
为什么用RIPV2配置?
答:
适用分类路由,在它的路由更新中并不带有子网信息;
Ripv2是一种无类别路由协议;
Ripv2报文中携带掩码信息,支持VLSM和CIDR;
Ripv2支持以组播方式发送路由更新报文,组播地址为224.0.0.9,减少网络与系统资源消耗;
(优化路由更新发送地址,由广播变成组播,支持触发更新功能。
大大缩减协议流量)
Ripv2支持对协议报文经行验证,并提供明文验证和MD5验证方式,增强安全性。
(增加了验证机制)
本端设备
设备描述
本端接口
IP地址/掩码
对端设备
对端接口
R1
ISP出口路由器
GE0/0/0
172.17.0.1/24
L1
E0/0/6
E0/0/0
172.17.3.1/24
L2
E0/0/1
R2
Cernet出口路由器
172.17.1.1/24
172.17.2.1/24
核心层交换机1
172.17.0.2/24
172.17.2.2/24
E0/0/5
172.17.8.1/24
L3
E0/0/4
172.17.9.1/24
L4
E0/0/3
172.17.10.1/24
L5
E0/0/2
172.17.11.1/24
L6
核心层交换机2
172.17.1.2/24
172.17.3.2/24
172.17.12.1/24
172.17.13.1/24
172.17.14.1/24
172.17.15.1/24
办公图书楼汇聚成交换机1
172.17.8.2/24
172.17.12.2/24
办公图书楼汇聚成交换机2
172.17.9.2/24
172.17.13.2/24
教学实训楼汇聚层交换机
172.17.10.2/24
172.17.14.2/24
学生宿舍楼汇聚层交换机
172.17.11.2/24
172.17.15.2/24
4.3网络冗余设计
1、链路聚合
本项目中,我们将在核心交换0/8两个物理端口捆绑成一个逻辑端口,该逻辑端口带宽为两个物理端口带宽机L1和L2之间采用链路聚合,L1与L2分别通过两个物理端口E0/0/5和E0/0/6连接,如果在两个交换机上分别作链路聚合的配置,即可把E0/0/5和E0/0/6之和,那么两个交换机这时就是通过一条逻辑通道连接的了,该逻辑通道中的任一物理链路还可起到链路备份作用。
2、多生成树协议MSTP
本次项目中,采用的MSTP技术,MSTP设置VLAN映射表(即VLAN和生成树的对应关系表),把VLAN和生成树联系起来;
通过增加“实例”(将多个VLAN整合到一个集合中)这个概念,将多个VLAN捆绑到一个实例中,以节省通信开销和资源占用率。
MSTP把一个交换网络划分成多个域,每个域形成多棵生成树,生成树之间彼此独立。
MSTP将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载分担。
3、虚拟路由冗余协议(VRRP)
VRRP报文是封装在IP报文上的,支持各种上层协议,同时VRRP还支持将真实接口IP地址设置为虚拟IP地址。
在本项目中,采用双核心结构,两台核心交换机采用链路聚合方式连接,可以起到负载均衡的作用。
在核心交换机L1和L2上,配置VRRP,为各VLAN用户提供网关的冗余。
如,VLAN10的主路由设备为L1,备份路由设备为L2,当主L1故障或跟踪的接口故障时,L2将成为VLAN10主路由设备。
4.4双链路接入Internet
保证Internet接入的稳定性对于校园网来说是重要的。
采用一条Internet接入,也就是说使用一个ISP的链路无法保证它提供的Internet链路的持续可用性,从而可能导致Internet访问和web服务器的中断,而中断带来的影响是不可估量的。
多链路冗余起到在多个运营商之间故障的转移,但是网络边界设备作为外网的接入点,当设备出现故障便会导致外网之间的网络业务的全部中断,引起单点故障影响业务正常运行。
因此在网络接入点部署多台设备形成备份/冗余是非常必要的,其中一台设备发生故障时,数据便会切换到另外一台设备上继续传输,而且还可以做设备性能的叠加增强。
(1)策略路由
三层设备在转发数据包时一般都基于数据包的目的地址,策略路由可以不仅仅依据目的地址转发数据包,它可以基于源地址、数据应用、数据包长度等。
这样转发数据包更灵活。
使用策略路由可以设置数据包的行为,比如下一跳、下一接口等,这样在存在多条链路的情况下,可以根据数据包的应用不同而使用不同的链路,进而提供高效的负载平衡能力。
策略路由一般针对的是接口入(in)方向的数据包。
为了保证校园网办公图书楼以及教学实训楼流量可以访问教育网免费资源,而其他流量或访问资源均通过ISP访问,需要在核心交换机L1和L2上配置NAT和策略路由。
172.17.16.0/21、172.17.24.0/21和172.17.32.0/21是校园网部地址,其中172.17.160/21为办公图书楼网络、172.17.24.0/21.为教学实训楼网络、172.17.32.0/21为学生宿舍楼网络;
202.110.33.0/24表示ISP的地址,101.220.22.0/24表示cernet公网地址,ISP出口设备的口ip地址为172.17.0.1/30,cernet出口设备口ip地址为172.17.1.1/30。
、
核心交换机上的配置:
!
配置校园网访问教育网资源的访问控制列表
access-list110permitip172.17.16.00.0.7.255any
access-list110permitip172.17.24.00.0.7.255any
access-list110denyipanyany
配置基于所有教育网的国站点(免费流量)的访问控制列表
access-list112permitipany61.140.0.0252.252.0.0
access-list112permitipany61.149.0.0252.255.0.0
......
access-list112permitipany211.152.0.0252.255.128.0
access-list112permitipany211.167.64.0252.255.192.0
access-list112permitipany211.167.128.0252.255.224.0
access-list112permitipany211.167.192.0252.255.192.0
access-list112denyipanyany
配置策略路由,特定网段的所有流量都经由cernet出口设备到教育网,其它的流量经ISP出口设备到Internet
route-mappolicy1permit10!
定义策略路由policy1,用于实现负载分担和备份
matchipaddress110!
匹配访问列表110,办公图书楼以及教学实训楼流量
matchipaddress112!
同时匹配列表112,目标地址为教育网免费资源
setipnest-hop172.17.2.1!
设置下一跳为171.17.2.1,即cernet出口设备与cat4500E-1的连接口
setipdefaultnext-hop172.17.0.1!
如果cat4500E-1和cernet出口设备之间的链路down掉了,就使用默认的下一跳,也就是ISP出口设备
route-mappolicy1permit20!
不满足序列号10规则的,就匹配序列号20规则
setipnext–hop172.17.0.1!
除办公图书楼、教学实训楼外的流量,则下一跳为ISP出口设备
setipdefaultnext-hop172.17.2.1!
如果cat4500E-1和ISP出口设备之间的链路down掉了,就使用默认的下一跳,也就是cernet出口设备
完全保证没有非授权流量从Cernet流出,应当把中国教育科研网的免费地址访问控制列表(即上文中的access–list112访问控制列表)应用连接到cernet出口设备的端口。
Ipaccess-group112
将提供负载均衡和备份的路由策略应用于cat4500E-1的网入接口。
Ippolicyroute-mappolicy1
(2)ISP出口设备配置:
配置ISP出口设备与核心交换机cat4500E-1连接接口f0/0,与核心交换机cat4500E-2连接接口f0/1,与ISP设备连接接口为s0/0。
配置如下:
interfacef0/0
ipaddress172.17.0.1255.255.255.252
ipnatinside
ipnatpoolmy-isp202.110.33.10202.110.33.40!
设置对外访问地址
ipnatinsidesourceroute-mapISP-apoolmy-ispoverload
access-list111permitip172.17.0.00.0.255.255any!
指定NAT围
route-mapISP-apermit10!
源地址为局域网所有地址且匹配s0/0口路由的策略
matchipaddress111
matchinterfaces0/0
interfacef0/1
ipaddress172.17.3.1255.255.255.252
interfaces0/0
ipaddress202.110.33.1255.255.255.252
ipnatoutside
iproute0.0.0.00.0.0.0202.110.33.2!
配置默认路由
(3)cernet出口设备配置。
配置cernet出口设备与核心交换机cat4500E-1连接接口f0/1,与核心交换机cat4500E-2连接接口f0/0。
ipaddress172.17.1.1255.255.255.252
ipaddress172.17.2.2255.255.255.252
ipnatpoolmy-edu101.220.22.20101.220.22.30!
ipnatinsidesourceroute-mapcernet-apoolmy-eduoverload
access-list112permitipany61.140.0.0255.252.0.0
access-list112permitipany61.149.0.0255.252.0.0
access-list112permitipany211.152.
升级会员 